朱璽， 張黎首

(國(guó)網(wǎng)上海市電力公司信息通信公司，上海200122)

0 引言

隨著信息化的快速發(fā)展，各行業(yè)對(duì)于信息化的依賴(lài)越來(lái)越高，信息系統(tǒng)的基礎(chǔ)性、全局性作用越來(lái)越強(qiáng)。信息化在帶來(lái)效能的同時(shí)，病毒感染、黑客攻擊也極大威脅著企業(yè)的網(wǎng)絡(luò)安全與應(yīng)用安全［1，2］。

為了進(jìn)一步提升安全人員的攻防技能，并能利用常見(jiàn)的攻擊方式對(duì)測(cè)試系統(tǒng)進(jìn)行模擬攻擊，測(cè)試出應(yīng)用系統(tǒng)自身的抗攻擊能力和安全配置的實(shí)效性［3］，進(jìn)而能夠提出安全策略修訂和相關(guān)加固方案，確保應(yīng)用系統(tǒng)的安全性，需要進(jìn)行信息安全攻防演練平臺(tái)的建設(shè)。

目前業(yè)界知名的信息安全攻防演練平臺(tái)，主要是國(guó)外開(kāi)源機(jī)構(gòu)發(fā)布的基于主流的漏洞的模擬環(huán)境。主要有Webgoat、dvwa和Linux－Metasploitable。Webgoat是知名應(yīng)用安全機(jī)構(gòu)OWASP發(fā)布的一個(gè)基于OWASP TOP 10的一個(gè)教學(xué)環(huán)境，主要覆蓋Web常見(jiàn)經(jīng)典漏洞，SQL(關(guān)系化數(shù)據(jù)庫(kù)查詢(xún)語(yǔ)言)注入、跨站腳本等等，dvwa與之類(lèi)似。linux－Metasloit是著名的Rapid7公司為其滲透測(cè)試產(chǎn)品量身定制的Vmware Workstation漏洞虛擬機(jī)，其主要覆蓋系統(tǒng)層漏洞，切中滲透攻擊的展示。

基于虛擬化和業(yè)務(wù)化安全攻防演練平臺(tái)(以下簡(jiǎn)稱(chēng)攻防演練平臺(tái))，可進(jìn)行主流網(wǎng)絡(luò)層(IP層等)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、中間件系統(tǒng)等的漏洞攻擊防護(hù)測(cè)試，提供培訓(xùn)、演練、測(cè)試的平臺(tái)，培養(yǎng)信息安全專(zhuān)家隊(duì)伍，不斷提升公司人員信息安全技術(shù)水平［4，5］。另外通過(guò)引入虛擬化技術(shù)可以極大的方便對(duì)于漏洞環(huán)境的備份、恢復(fù)等，攻防環(huán)境在攻擊和測(cè)試過(guò)程中不會(huì)遭受到破壞;同時(shí)結(jié)合行業(yè)業(yè)務(wù)引入業(yè)務(wù)系統(tǒng)的仿真模擬訓(xùn)練環(huán)境，這樣彌補(bǔ)了傳統(tǒng)的漏洞環(huán)境的生硬，牽強(qiáng)，對(duì)于一些業(yè)務(wù)安全漏洞，有了更好的展示，有利于訓(xùn)練人員理解和接收。

1 虛擬化和業(yè)務(wù)化的關(guān)鍵技術(shù)分析

1.1 虛擬化

虛擬化，是指通過(guò)虛擬化技術(shù)將一臺(tái)計(jì)算機(jī)虛擬為多臺(tái)邏輯計(jì)算機(jī)。在一臺(tái)計(jì)算機(jī)上同時(shí)運(yùn)行多個(gè)邏輯計(jì)算機(jī)，每個(gè)邏輯計(jì)算機(jī)可運(yùn)行不同的操作系統(tǒng)，并且應(yīng)用程序都可以在相互獨(dú)立的空間內(nèi)運(yùn)行而互不影響，從而顯著提高計(jì)算機(jī)的工作效率。虛擬化的主要目的是對(duì)IT基礎(chǔ)設(shè)施進(jìn)行簡(jiǎn)化。它可以簡(jiǎn)化對(duì)資源以及對(duì)資源管理的訪問(wèn)。目前在服務(wù)器市場(chǎng)上應(yīng)用的虛擬化產(chǎn)品主要是VMware的產(chǎn)品，包括GSX Server和ESX Server，本攻防演練平臺(tái)中采用ESX server進(jìn)行實(shí)現(xiàn)。VMware ESX Server適用于任何系統(tǒng)環(huán)境的企業(yè)級(jí)的虛擬計(jì)算機(jī)軟件，基本上支持所有類(lèi)型的操作系統(tǒng)(LINUX、WINDOWS、UNIX等)，同時(shí)可以實(shí)現(xiàn)服務(wù)器部署整合，構(gòu)建復(fù)雜的網(wǎng)絡(luò)業(yè)務(wù)環(huán)境，是攻防演練平臺(tái)的首選。在攻防演練平臺(tái)中，虛擬化的應(yīng)用主要體現(xiàn)在虛擬化技術(shù)的使用和虛擬化API接口的調(diào)用。

1.1.1 虛擬化技術(shù)的使用

漏洞環(huán)境虛擬化處理是攻防演練平臺(tái)中最為重要和關(guān)鍵的技術(shù)，主要使用的虛擬化處理功能是虛擬操作系統(tǒng)、虛擬化的快照管理功能、硬件虛擬技術(shù)。

虛擬操作系統(tǒng)的技術(shù)，主要是指虛擬各種各樣類(lèi)型的操作系統(tǒng)。由于信息安全的快速發(fā)展，信息安全漏洞出現(xiàn)在各種各樣的操作系統(tǒng)中，針對(duì)這些操作系統(tǒng)的虛擬化是攻防演練平臺(tái)的基礎(chǔ)工作。在很多低版本的操作系統(tǒng)中，操作系統(tǒng)本身自帶了很多安全漏洞(如windows2000系統(tǒng))，直接在ESX中部署這個(gè)操作系統(tǒng)即構(gòu)成了一個(gè)漏洞環(huán)境。虛擬操作系統(tǒng)的技術(shù)還有一個(gè)重要的特性就是，部署后的操作系統(tǒng)，可以直接對(duì)其進(jìn)行克隆為部署應(yīng)用層漏洞環(huán)境的底層操作系統(tǒng)。

虛擬化的快照管理功能，是使用虛擬機(jī)的快照管理功能，對(duì)漏洞環(huán)境進(jìn)行當(dāng)前狀態(tài)下的快照存儲(chǔ)，該技術(shù)支持“內(nèi)存快照“，可以使用該技術(shù)對(duì)每一個(gè)部署好的漏洞環(huán)境進(jìn)行快照，在下一次演練測(cè)試之前，恢復(fù)到記錄好的快照進(jìn)而保證漏洞環(huán)境的準(zhǔn)確可用，并且不用擔(dān)心演練破壞攻防實(shí)驗(yàn)環(huán)境。

硬件虛擬技術(shù)，主要是指虛擬化技術(shù)對(duì)硬件的虛擬，比如虛擬網(wǎng)卡，虛擬網(wǎng)絡(luò)設(shè)備，虛擬USB接口。應(yīng)用于攻防演練平臺(tái)中，主要通過(guò)虛擬化技術(shù)，把攻擊鏈路以及管理連路分別映射到不同的物理網(wǎng)卡。虛擬機(jī)網(wǎng)絡(luò)隔離與管理鏈路隔離，在目標(biāo)虛擬機(jī)上無(wú)法感知到管理鏈路的存在。另外是通過(guò)使用虛擬機(jī)交換機(jī)(vswitch)建立復(fù)雜的演練網(wǎng)絡(luò)環(huán)境，演練中攻擊一方必須通過(guò)滲透手段擺渡到虛擬的DMZ(安全隔離區(qū)域)區(qū)才能完成演練任務(wù)。

虛擬化技術(shù)應(yīng)用于攻防演練平臺(tái)中，不僅可以簡(jiǎn)化管理漏洞環(huán)境，還可以將“虛擬機(jī)“抽象為單個(gè)單元的漏洞，通過(guò)部署不同的虛擬機(jī)來(lái)實(shí)現(xiàn)演練平臺(tái)的漏洞添加，極大的保證了攻防演練平臺(tái)的可擴(kuò)展性。

1.1.2 虛擬化API接口的調(diào)用

VMWare為ESX產(chǎn)品及其組件開(kāi)放了 API以及提供了不同的SDK(軟件集成化開(kāi)發(fā)工具組件)，以便開(kāi)發(fā)者開(kāi)發(fā)出自己的VMWare客戶(hù)端。vSphere是VMware的旗艦產(chǎn)品，是基于云的新一代數(shù)據(jù)中心虛擬化套件，包含了諸如 ESX/ESXi，vCenter，vSphere Client等組件，提供了虛擬化基礎(chǔ)架構(gòu)、高可用性、集中管理、監(jiān)控等一整套解決方案。VMWare針對(duì)vSphere提供了完整的 API及 Web Servicess SDK。

如圖1所示［6］，ESX server提供了Webservice API以及各種各樣的SDK，對(duì)于使用其他語(yǔ)言和環(huán)境來(lái)進(jìn)行二次開(kāi)發(fā)和調(diào)用提供了極大的方便。在攻防演練平臺(tái)中，可以調(diào)用API接口進(jìn)行二次開(kāi)發(fā)，開(kāi)發(fā)更方便和直觀具備企業(yè)信息和特性的攻防演練平臺(tái)管理端。

圖1 ESX API概覽

1.2 業(yè)務(wù)化

攻防演練平臺(tái)是一個(gè)信息安全漏洞攻防演練平臺(tái)，漏洞環(huán)境必須包含行業(yè)的業(yè)務(wù)系統(tǒng)、業(yè)務(wù)安全漏洞，才能發(fā)揮更大的價(jià)值。國(guó)內(nèi)知名漏洞網(wǎng)站烏云(http://www.wooyun.org)有大量的漏洞數(shù)據(jù)，對(duì)其分析發(fā)現(xiàn)同一個(gè)類(lèi)型的漏洞，在不同的行業(yè)系統(tǒng)中，其安全風(fēng)險(xiǎn)值是不一樣的。另外攻防演練平臺(tái)中如果沒(méi)有行業(yè)所對(duì)應(yīng)的業(yè)務(wù)系統(tǒng)，將無(wú)法發(fā)揮其模擬效果，不能有效的培訓(xùn)企業(yè)的信息安全工作人員。

攻防演練平臺(tái)的業(yè)務(wù)化主要體現(xiàn)在業(yè)務(wù)系統(tǒng)上，一是根據(jù)企業(yè)所屬行業(yè)不同，搭建不同的行業(yè)業(yè)務(wù)系統(tǒng);二是明確企業(yè)的核心信息系統(tǒng)和核心數(shù)據(jù)。例如，電力行業(yè)業(yè)務(wù)系統(tǒng)是“SGERP”系統(tǒng)，通過(guò)平臺(tái)集中、業(yè)務(wù)融合、決策智能、安全使用等理念，將發(fā)電、輸電、調(diào)度等具體應(yīng)用納入到整體信息化建設(shè)過(guò)程中來(lái);那么核心信息系統(tǒng)一般是行業(yè)的信息系統(tǒng)，核心數(shù)據(jù)即是核心系統(tǒng)所對(duì)應(yīng)的管理數(shù)據(jù)、用戶(hù)數(shù)據(jù)等等。

攻防演練平臺(tái)中業(yè)務(wù)化的另外一個(gè)體現(xiàn)是部署常見(jiàn)的業(yè)務(wù)系統(tǒng)，比如人力資源系統(tǒng)、OA辦公系統(tǒng)、門(mén)戶(hù)網(wǎng)站系統(tǒng)、郵件系統(tǒng)等，這些系統(tǒng)是在各個(gè)行業(yè)均存在，且是黑客攻擊的重點(diǎn)，是攻防演練平臺(tái)的一個(gè)重要體現(xiàn)。

2 攻防演練平臺(tái)的總體設(shè)計(jì)

2.1 設(shè)計(jì)原則

在規(guī)劃和設(shè)計(jì)時(shí)，系統(tǒng)應(yīng)遵循以下幾項(xiàng)設(shè)計(jì)原則［7］:

1)穩(wěn)定性。保證7×24小時(shí)不間斷穩(wěn)定運(yùn)行。

2)可靠性。系統(tǒng)運(yùn)行平均無(wú)故障時(shí)間超過(guò)100，000小時(shí);系統(tǒng)平均無(wú)故障率 ＞99.96%;具備手動(dòng)恢復(fù)措施。

3)擴(kuò)展性?；诂F(xiàn)有虛擬系統(tǒng)環(huán)境，應(yīng)具有二次開(kāi)發(fā)能力模塊。

4)時(shí)效性。系統(tǒng)應(yīng)該有專(zhuān)人維護(hù)漏洞環(huán)境，保證漏洞的時(shí)效性，同時(shí)保證系統(tǒng)的多樣性和異構(gòu)性。

2.2 構(gòu)架設(shè)計(jì)

攻防演練平臺(tái)總架設(shè)計(jì)如圖2所示，攻防演練平臺(tái)主要包含四個(gè)部分:

1)管理平臺(tái)

管理平臺(tái)主要分為基于Vmware Esx官方提供的client進(jìn)行維護(hù)和管理的管理平臺(tái)和調(diào)用ESX API接口二次開(kāi)發(fā)的個(gè)性化管理平臺(tái)。前一種方便高效，后一種可以根據(jù)快照鏡像狀態(tài)開(kāi)發(fā)自定義的功能，如通過(guò)快照及其描述構(gòu)建關(guān)卡，當(dāng)通過(guò)一個(gè)關(guān)卡之后，管理平臺(tái)自動(dòng)恢復(fù)快照至下一個(gè)關(guān)卡等。

管理平臺(tái)可以對(duì)虛擬機(jī)進(jìn)行管理，包括增加、刪除、啟動(dòng)、關(guān)閉、插入硬件設(shè)備等;亦可以直接管理虛擬交換機(jī)(vswitch)，根據(jù)需求不同劃分不同的vlan。

2)漏洞環(huán)境

漏洞環(huán)境主要包含通用業(yè)務(wù)信息系統(tǒng)、經(jīng)典漏洞環(huán)境、核心業(yè)務(wù)系統(tǒng)、DMZ區(qū);通用業(yè)務(wù)系統(tǒng)主要由郵件系統(tǒng)、門(mén)戶(hù)網(wǎng)站、OA系統(tǒng)等組成;經(jīng)典漏洞收集于互聯(lián)網(wǎng)主要包括DVWA、Linux－Metasploitable等;核心業(yè)務(wù)區(qū)主要體現(xiàn)行業(yè)區(qū)分，根據(jù)業(yè)務(wù)不同添加不同的業(yè)務(wù)系統(tǒng);DMZ區(qū)是僅和核心業(yè)務(wù)相連通，模擬內(nèi)網(wǎng)滲透、擺渡攻擊等手法。

3)攻擊平臺(tái)

攻擊平臺(tái)主要采用BT5滲透測(cè)試下同，本文中的kali是BT5的最新版本，并且包含了全球著名的開(kāi)源滲透測(cè)試框架:“The Metasploit Framework“。該平臺(tái)包括了信息收集、掃描、滲透、縱向收集竊取數(shù)據(jù)這些攻擊手法中用到的各種工具。

4)底層支撐平臺(tái)

底層平臺(tái)的支持，采用Vmware ESX server和硬件服務(wù)器組成，提供不少于20T的硬盤(pán)和256G內(nèi)存的平臺(tái)組成，結(jié)合Vware Vcenter，硬件可以由多臺(tái)服務(wù)器組成而成。

圖2 攻防演練平臺(tái)構(gòu)架設(shè)計(jì)

3 結(jié)語(yǔ)

本文介紹了基于虛擬化和業(yè)務(wù)化的攻防演練平臺(tái)的關(guān)鍵技術(shù)和總體構(gòu)架設(shè)計(jì)，該平臺(tái)具備以下特點(diǎn):系統(tǒng)結(jié)構(gòu)合理、功能完善、簡(jiǎn)單易用、擴(kuò)展性良好、實(shí)用實(shí)踐性強(qiáng)，能夠較好的滿(mǎn)足于各行各業(yè)的攻防演練平臺(tái)。然而該平臺(tái)也存在一些不足，主要體現(xiàn)在未設(shè)計(jì)課程和培訓(xùn)實(shí)驗(yàn)的概念，另外調(diào)用ESX API實(shí)現(xiàn)自定義的管理接口，受限于Vware ESX API最新的收費(fèi)策略。下一步將加強(qiáng)課程和實(shí)驗(yàn)的設(shè)計(jì)，另外一方面繼續(xù)研究vmware其他虛擬化接口和技術(shù)，為更好的將虛擬化應(yīng)用攻防演練平臺(tái)做好準(zhǔn)備。

［1］ YUAN E，TONG Jing.Attribute based access control(ABAC)for web services［C］//Proc.of the IEEE International Conference on Web Services.Piscataway，USA:IEEE Computer Society，2005:561－569.

［2］ Perlman R.An overview of PKI trust models［J］.IEEE Network，1999，13(6):38－43.

［3］ Lang Bo，F(xiàn)oster I，Siebenlist F，et al.Attribute based access control for grid computing［EB/OL］.2006 －04 －25.［2014 －10 － 5］.ftp://info.mcs.anl.gov/pub/tech_reports/reports/P1367.pdf.

［4］ Park J S，Sandhu R.Smart certificates:extending X.509 for secure attribute service on the web［C］.Proc.of National Information Systems Security Conference.Arlington，USA:［s.n.］，1999:340 －346.

［5］ Oasis.eXtensible access control markup language(XACML)version 2.0［EB/OL］.2005 －02 －01.［2014 －10 －3］.docs.oasis－ open.org/xacml/2.0/access_control－xacml－2.0 － core－ spec－ os.pdf.

［6］ Vmware Documentation.vmware 文檔中心 5.0［EB/OL］.2012－03 －15.［2014 －10 －3］.http://pubs.vmware.com/vsphere －50/index.jsp.

［7］ 董輝，馬建.基于虛擬蜜網(wǎng)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)的構(gòu)建［J］.齊齊哈爾大學(xué)學(xué)報(bào):自然科學(xué)版，2012，28(02):67－72.