高校網(wǎng)絡(luò)空間安全靶場(chǎng)設(shè)計(jì)與實(shí)現(xiàn)

宣樂飛

【摘 要】網(wǎng)絡(luò)靶場(chǎng)是實(shí)現(xiàn)網(wǎng)絡(luò)安全技術(shù)研究、網(wǎng)絡(luò)安全人才培養(yǎng)的重要平臺(tái)。利用開源云計(jì)算技術(shù)open stack，完成網(wǎng)絡(luò)空間安全靶場(chǎng)的搭建。通過(guò)綜合云管理平臺(tái)，對(duì)教學(xué)實(shí)驗(yàn)、綜合實(shí)戰(zhàn)、仿真實(shí)戰(zhàn)、攻防對(duì)抗等功能進(jìn)行集中監(jiān)控與管理。使用Docker技術(shù)，快速生成靶機(jī)，為高校信息安全類專業(yè)開展實(shí)訓(xùn)教學(xué)提供快速響應(yīng)的實(shí)戰(zhàn)訓(xùn)練環(huán)境。

【關(guān)鍵詞】網(wǎng)絡(luò)空間;靶場(chǎng);云計(jì)算;Docker

中圖分類號(hào)： TP393.08 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 2095-2457（2019）11-0087-002

DOI：10.19694/j.cnki.issn2095-2457.2019.11.038

【Abstract】Network shooting range is an important platform for the research of network security technology and the training of network security talents. Open stack， an open source cloud computing technology， is used to build a safe shooting range in cyberspace. Through the integrated cloud management platform， the functions of teaching experiment， integrated combat， simulation combat， attack and defense confrontation are centralized monitored and managed. Docker technology is used to generate target machine quickly， which provides a fast response training environment for information security major in Colleges and universities to carry out practical teaching.

【Key words】Cyberspace; Shooting range; Cloud computing; Docker

0 引言

信息安全是國(guó)家安全的重要組成部分，已經(jīng)上升到與政治安全、經(jīng)濟(jì)安全、領(lǐng)土安全等并駕齊驅(qū)的戰(zhàn)略高度?！皼]有網(wǎng)絡(luò)安全就沒有國(guó)家安全”，而“網(wǎng)絡(luò)空間的競(jìng)爭(zhēng)，歸根結(jié)底是人才競(jìng)爭(zhēng)”。網(wǎng)絡(luò)靶場(chǎng)可擬真網(wǎng)絡(luò)空間環(huán)境，開展網(wǎng)絡(luò)空間安全研究、學(xué)習(xí)、測(cè)試、驗(yàn)證、演練等活動(dòng)，成為現(xiàn)階段研究的熱點(diǎn)[1]。

1 研究現(xiàn)狀

網(wǎng)絡(luò)空間安全靶場(chǎng)的發(fā)展主要包括三個(gè)階段， 第一階段主要針對(duì)病毒、木馬等攻擊武器建立基于實(shí)物的高仿真環(huán)境[2]。在此階段， 根據(jù)攻擊目標(biāo)的軟硬件平臺(tái)， 建立盡可能相似的軟硬件平臺(tái)，用于測(cè)試攻擊武器能否成功繞過(guò)攻擊目標(biāo)的防護(hù)軟件，主要包括蜜罐系統(tǒng)、木馬測(cè)試系統(tǒng)等。第二階段是小型虛擬化互聯(lián)網(wǎng)靶場(chǎng)時(shí)期。在此階段，云計(jì)算、SDN等虛擬技術(shù)是該階段的主流技術(shù)，通過(guò)提供虛擬環(huán)境模擬真實(shí)的互聯(lián)網(wǎng)攻防過(guò)程。第三階段是支撐泛在網(wǎng)的大型虛實(shí)結(jié)合網(wǎng)絡(luò)空間靶場(chǎng)。由于“震網(wǎng)”、“火焰”等針對(duì)工控網(wǎng)的新型網(wǎng)絡(luò)攻擊突現(xiàn)， 網(wǎng)絡(luò)空間靶場(chǎng)的研究目標(biāo)轉(zhuǎn)向?qū)崿F(xiàn)虛實(shí)結(jié)合的網(wǎng)絡(luò)空間靶場(chǎng)技術(shù)。高校作為信息安全類人才培養(yǎng)的承擔(dān)者，亟需相應(yīng)的實(shí)訓(xùn)平臺(tái)，滿足教學(xué)、科研、實(shí)訓(xùn)和社會(huì)培訓(xùn)的相關(guān)工作。

2 關(guān)鍵技術(shù)研究

2.1 云計(jì)算技術(shù)

云計(jì)算是分布式計(jì)算、并行計(jì)算、效用計(jì)算、網(wǎng)絡(luò)存儲(chǔ)、虛擬化、負(fù)載均衡等傳統(tǒng)計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物[3]。開源云計(jì)算管理平臺(tái)是構(gòu)建實(shí)訓(xùn)平臺(tái)的理想選擇，具有標(biāo)準(zhǔn)化和開放性的特點(diǎn)，能夠同時(shí)提高資源的統(tǒng)一管理與利用效率。OpenStack是業(yè)內(nèi)主流的開源云計(jì)算管理平臺(tái)，具有標(biāo)準(zhǔn)統(tǒng)一、實(shí)施簡(jiǎn)單、可大規(guī)模擴(kuò)展的特性，便于用戶進(jìn)行二次開發(fā)。

OpenStack包括計(jì)算服務(wù)nova、對(duì)象存儲(chǔ)swift、鏡像服務(wù)glance、認(rèn)證服務(wù)keystone和控制臺(tái)horizon等核心功能[4]。Keystone模塊主要完成平臺(tái)的用戶、角色管理與權(quán)限分配。Swift模塊進(jìn)行分布式存儲(chǔ)環(huán)境的搭建，具有較強(qiáng)的可擴(kuò)展性。Glance模塊主要完成靶機(jī)的注冊(cè)、創(chuàng)建與使用。Nova模塊與Neutron、Cinder等模塊完成網(wǎng)絡(luò)靶場(chǎng)的構(gòu)建。通過(guò)該設(shè)計(jì)，實(shí)現(xiàn)實(shí)訓(xùn)平臺(tái)的快速部署與實(shí)施，滿足攻防環(huán)境的快速切換。

2.2 SDN技術(shù)

SDN即軟件定義網(wǎng)絡(luò)，是網(wǎng)絡(luò)虛擬化的一種實(shí)現(xiàn)方式。SDN通過(guò)將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離，實(shí)現(xiàn)網(wǎng)絡(luò)流量的靈活控制。通過(guò)OpenFlow技術(shù)，以圖形化方式自由拖拽各類網(wǎng)絡(luò)設(shè)備，模擬各種真實(shí)的目標(biāo)場(chǎng)景、仿真各類網(wǎng)絡(luò)拓?fù)?。用戶可以在該網(wǎng)絡(luò)空間靶場(chǎng)環(huán)境下，實(shí)現(xiàn)各類滲透測(cè)試訓(xùn)練。

2.3 Docker技術(shù)

Docker是一個(gè)開源的應(yīng)用容器引擎，開發(fā)者將應(yīng)用以及依賴包打包到可移植的容器中，然后發(fā)布到任何流行的Linux機(jī)器上。與傳統(tǒng)KVM技術(shù)相比，Docker在宿主機(jī)器的操作系統(tǒng)上創(chuàng)建Docker引擎，直接在宿主主機(jī)的操作系統(tǒng)上調(diào)用硬件資源，而不是虛擬化操作系統(tǒng)和硬件資源，所以啟動(dòng)速度快。同時(shí)，Docker共享同一個(gè)操作系統(tǒng)內(nèi)核，占用資源遠(yuǎn)小于虛擬機(jī)，便于輕量化部署。

3 網(wǎng)絡(luò)靶場(chǎng)的實(shí)現(xiàn)

根據(jù)高校教學(xué)與實(shí)訓(xùn)的需求，網(wǎng)絡(luò)靶場(chǎng)由攻防實(shí)戰(zhàn)和綜合管理兩大模塊組成，并通過(guò)綜合管理云平臺(tái)進(jìn)行統(tǒng)一管理。綜合管理模塊提供對(duì)于各類教學(xué)資源的管理與維護(hù)，如課程、模板、靶機(jī)、題庫(kù)等。攻防實(shí)戰(zhàn)模塊通過(guò)模擬真實(shí)環(huán)境，提供教學(xué)實(shí)訓(xùn)、攻防對(duì)抗等主要功能[5]。

在教學(xué)實(shí)訓(xùn)功能中，設(shè)置了網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)庫(kù)安全、應(yīng)用安全、物聯(lián)網(wǎng)安全、工控安全等相關(guān)課程。并根據(jù)內(nèi)容難度，對(duì)學(xué)習(xí)項(xiàng)目按照初、中、高進(jìn)行分類。用戶可以按照能力層級(jí)進(jìn)行自主學(xué)習(xí)，并記錄相關(guān)學(xué)習(xí)信息，便于學(xué)習(xí)者了解學(xué)習(xí)進(jìn)度，教師也可掌握學(xué)生的成長(zhǎng)軌跡。此外，教師可以通過(guò)該平臺(tái)提供的課程模板，靈活選取各類資源組建課程，滿足不同教師個(gè)性化的課程教學(xué)要求。

在攻防對(duì)抗功能中，用戶可以根據(jù)實(shí)際環(huán)境搭建仿真業(yè)務(wù)系統(tǒng)，也可以模擬外部互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)場(chǎng)景，并通過(guò)Docker技術(shù)實(shí)現(xiàn)靶機(jī)的快速部署。根據(jù)測(cè)算，單個(gè)靶機(jī)占用的磁盤資源平均降低70%以上，占用的內(nèi)存資源平均降低80%以上，啟動(dòng)速度提高90%以上，適合大批量用戶同時(shí)開展實(shí)驗(yàn)實(shí)訓(xùn)。由于Docker技術(shù)對(duì)于windows系統(tǒng)支持不佳，因此現(xiàn)階段基于windows系統(tǒng)的靶機(jī)仍然采用傳統(tǒng)虛擬機(jī)方式。但該類靶機(jī)占整體靶機(jī)的不多，對(duì)于用戶使用效果影響較小。后續(xù)隨著Docker技術(shù)對(duì)windows平臺(tái)的兼容性的提高，可以解決上述問(wèn)題。攻防對(duì)抗可以以個(gè)人或者小組方式進(jìn)行，通過(guò)平臺(tái)可以實(shí)現(xiàn)整個(gè)攻防對(duì)抗過(guò)程的可視化實(shí)時(shí)展示，提高了趣味性和觀賞性。通過(guò)攻防對(duì)抗，可以讓學(xué)習(xí)者發(fā)現(xiàn)企業(yè)業(yè)務(wù)系統(tǒng)中存在的真實(shí)問(wèn)題，進(jìn)而分析解決辦法。

4 結(jié)束語(yǔ)

網(wǎng)絡(luò)空間安全靶場(chǎng)對(duì)于信息安全類人才培養(yǎng)具有十分重要的作用。本平臺(tái)使用云計(jì)算技術(shù)，具有易于擴(kuò)展、部署靈活的特點(diǎn)。使用SDN技術(shù)，改變傳統(tǒng)平臺(tái)對(duì)于網(wǎng)絡(luò)技術(shù)的依賴，實(shí)現(xiàn)了網(wǎng)絡(luò)的虛擬化。通過(guò)docker技術(shù)，實(shí)現(xiàn)輕量化的系統(tǒng)部署，提高了實(shí)訓(xùn)平臺(tái)的承載能力，降低了維護(hù)使用成本。通過(guò)網(wǎng)絡(luò)空間安全靶場(chǎng)建設(shè)，為高校提高學(xué)生實(shí)訓(xùn)技能，培養(yǎng)學(xué)生攻防水平提供了解決辦法，為專業(yè)人才培養(yǎng)提供了有力的支撐。

【參考文獻(xiàn)】

[1]韓挺.網(wǎng)絡(luò)空間安全靶場(chǎng)設(shè)計(jì)研究[J].信息安全研究.2018（4）：430-432.

[2]方濱興，賈焰，李愛平，張偉哲.網(wǎng)絡(luò)空間靶場(chǎng)技術(shù)研究[J].信息安全學(xué)報(bào).2016（03）：1-9.

[3]宣樂飛.基于云技術(shù)的網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)時(shí)代，2018（06）：26-28.

[4]韓衛(wèi)國(guó)，徐明迪.面向賽博空間的網(wǎng)絡(luò)靶場(chǎng)建設(shè)思路[J]. 計(jì)算機(jī)與數(shù)字工程.2015（08）：1465-1470.

[5]宣樂飛.網(wǎng)絡(luò)空間安全實(shí)訓(xùn)平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[J].科技視界，2018（8）：36-37.

※基金項(xiàng)目：本文為杭州職業(yè)技術(shù)學(xué)院科研項(xiàng)目《網(wǎng)絡(luò)空間安全靶場(chǎng)設(shè)計(jì)與實(shí)現(xiàn)》（ky201921）的部分成果。

作者簡(jiǎn)介：宣樂飛（1980—），男，浙江杭州人，講師，碩士，主要研究方向?yàn)榫W(wǎng)絡(luò)安全，職業(yè)教育。