劉東生

摘要：文章主要是對信息安全攻防實驗室建設(shè)的相關(guān)內(nèi)容進行闡述，包括建設(shè)的目標和必要性以及研究領(lǐng)域等。實驗室的建設(shè)構(gòu)想主要是從兩個方面進行著重闡述的，即實驗室的組建和功能兩方面，最終立足于與功能實現(xiàn)來對建設(shè)信息安全實驗的意義進行討論。

關(guān)鍵詞：信息安全；攻防技術(shù)；數(shù)據(jù)庫應(yīng)用；實驗室組建

1 信息安全攻防實驗室概述

1.1 目標

信息安全實驗室的建立主要是針對網(wǎng)絡(luò)攻防技術(shù)的應(yīng)用，主要是為了促使安全攻防實驗在互聯(lián)網(wǎng)的應(yīng)用能夠順利實現(xiàn)，以便搞好互聯(lián)網(wǎng)應(yīng)用安全管理工作，展現(xiàn)出其中的威脅和漏洞，管理好安全風險的威脅、漏洞，做好培訓和攻防實驗，更好的針對信息系統(tǒng)做出安全測評，更好的針對生產(chǎn)系統(tǒng)做出滲透測試。

1.2 建立的必要性

為了更深刻的認識信息安全威脅及其漏洞，就務(wù)必要針對信息安全促使其防范技能的不斷提高。因而很有必要將一個科學的信息安全實驗室建立起來，作用主要有：針對某些特定領(lǐng)域集中管理信息安全威脅，以及對信息安全脆弱性的管理；可視化地對某些特定領(lǐng)域的信息安全威脅和脆弱性進行再現(xiàn)或展示；根據(jù)需要將特殊的攻防演練環(huán)境搭建起來，支持信息安全攻防演練，尤其是某些有特定要求的；針對信息安全攻防技術(shù)，提供某些具有特定需求的培訓、實驗；進行信息安全攻擊實驗的展示，進一步認識信息安全；提供特殊的研究和學習實驗平臺。

1.3 研究領(lǐng)域

信息安全包含著十分廣泛的領(lǐng)域，此次建設(shè)構(gòu)想主要涉及了四個方面：包括了網(wǎng)絡(luò)、主機、應(yīng)用以及數(shù)據(jù)庫等的安全領(lǐng)域。

2 信息安全攻防實驗室組件

2.1 總體架構(gòu)

信息安全攻防實驗室的組成主要包括了六個子系統(tǒng)，分別是網(wǎng)絡(luò)以及操作平臺，攻擊、檢測與防御、目標等系統(tǒng)，還包括培訓和展示平臺。其中的網(wǎng)絡(luò)平臺主要是對不同的實驗網(wǎng)絡(luò)進行仿真，同時對平臺進行互聯(lián)。其中的操作平臺主要是用于攻守雙方的網(wǎng)絡(luò)操作，為系統(tǒng)操作提供一個終端，或是用于攻守雙方接入各自的自帶設(shè)備。攻擊系統(tǒng)主要是為攻擊方供給常用攻擊工具。檢測和防御系統(tǒng)主要是為防守方提供一個工具用來檢測和防御攻擊行為。目標系統(tǒng)提供的是一個應(yīng)用系統(tǒng)用來提供仿真和數(shù)據(jù)庫系統(tǒng)等。培訓與展示平臺主要是方便教官講課和進行實驗演示等。

2.2 網(wǎng)絡(luò)平臺

網(wǎng)絡(luò)平臺的組成部分主要包括：路由器、三層交換機、防火墻、二級交換機等。

2.3 操作平臺

操作平臺是為學員和攻防實驗人員提供的終端系統(tǒng)主要用于學習和進行實驗。操作平臺可按照實驗需要來劃分成兩個子系統(tǒng)，即防御與攻擊兩大操作平臺。其中防御操作平臺是為防守方提供一定的操作環(huán)境，攻擊操作平臺則是為攻擊方提供一定的操作環(huán)境。

2.4 攻擊系統(tǒng)

本實驗室建設(shè)方案攻擊系統(tǒng)的組成包括兩部分，分別為漏洞掃描工具和攻擊工具系統(tǒng)，其中前者運用的是Web應(yīng)用以及數(shù)據(jù)庫的弱點掃描器，此外還包括主機掃描器產(chǎn)品和第三方網(wǎng)絡(luò)；后者將多數(shù)常見攻擊工具都包括在內(nèi)，實驗人員可借助軟件庫中的軟件來安裝自己所需的攻擊工具，從而作為自己的設(shè)備，或者是將這一系統(tǒng)中工作環(huán)境虛擬機開啟，對其中的攻擊工具進行直接的使用。一些常見的攻擊工具主要有BT5、CAIN和Netcat等等。

2.5 檢測與防御系統(tǒng)

2.5.1 防火墻

防火墻就是一種保護屏障，主要是用于內(nèi)外部分的網(wǎng)絡(luò)以及專用和公共網(wǎng)絡(luò)之間，組合部分包括了軟、硬件設(shè)備。這是一種比較形象的稱呼，能夠取得一定的安全性。其體現(xiàn)了計算機硬軟件的良好結(jié)合，建立了一個存在于互聯(lián)網(wǎng)之間的安全網(wǎng)關(guān)，進而內(nèi)部網(wǎng)受到保護，不再被非法用戶的隨意入侵。防火墻的構(gòu)成主要包括四個部分：分別是訪問規(guī)則、包過濾、驗證工具、應(yīng)用網(wǎng)關(guān)。

2.5.2 Web應(yīng)用防火墻

Web應(yīng)用防火墻主要是針對http/https，并據(jù)此執(zhí)行了一系列安全策略，從而為Web應(yīng)用進行專門的保護?？傮w而言，Web應(yīng)用防火墻的功能主要包括四大方面：一是審計設(shè)備：主要是對全部http數(shù)據(jù)的截取或只是提供一些規(guī)則的服務(wù)會話；二是訪問控制設(shè)備：主要是為了對Web應(yīng)用的訪問進行控制，這將主動安全模式和被動安全模式都包括在內(nèi)。三是架構(gòu)/網(wǎng)絡(luò)設(shè)計工具：在反向代理模式運行狀態(tài)下，可進行職能的分配、對基礎(chǔ)機構(gòu)的虛擬以及集中控制等等。四是Web應(yīng)用加固工具：促使Web應(yīng)用的安全性得到增強，不但能將Web應(yīng)用的固有弱點屏蔽掉，還可以對因編程錯誤造成的安全隱患進行保護。

2.5.3 網(wǎng)站安全監(jiān)測平臺

網(wǎng)站安全監(jiān)測平臺體現(xiàn)了軟硬件的一體化，借助遠程監(jiān)測技術(shù)實時的監(jiān)測Web應(yīng)用，服務(wù)時間達7×24小時。經(jīng)過不間斷的檢測網(wǎng)站，進而促使網(wǎng)站具有更強的安全防護能力和更好的服務(wù)質(zhì)量，借助平臺的事件跟蹤功能還可以將長效安全保障機制建立起來。

2.6 目標系統(tǒng)

目標系統(tǒng)作為一種信息系統(tǒng)設(shè)施，擁有不同的漏洞。主要包括主機、應(yīng)用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)之類。系統(tǒng)都是運用了虛擬化技術(shù)，借助設(shè)計來合理的排布一些常見漏洞，使其進入虛擬機系統(tǒng)中，同時固化這些虛擬機系統(tǒng)，使其成為一個映像，借助重啟可至原始狀態(tài)。

3 信息安全攻防實驗室功能

3.1 信息安全攻防對抗演習

信息安全攻防實驗室建設(shè)構(gòu)想可以進行信息安全攻防對抗演習，由攻防雙方進行的攻防演習主要是在仿真平臺上加以應(yīng)用。攻方可以借助所有可用的手段或工具來進攻目標系統(tǒng)。而防御方則可借助檢測和防御系統(tǒng)來抵御，同時防御攻擊的手段還包括安全加固信息系統(tǒng)。信息安全攻防對抗演習作為一項很有實效的方法，主要是用于對安全防御和攻擊的能力進行評估，還可以很好的驗證信息系統(tǒng)是否安全。

3.2 安全驗證

安全驗證針對的信息系統(tǒng)，主要是對其進行全生命周期的安全測評。其涵蓋的工作內(nèi)容主要是相關(guān)的測評工作，涉及信息系統(tǒng)的驗收測試、上線前和生產(chǎn)環(huán)境中的測評。就信息系統(tǒng)上線前的測評工作來說，主要是為了在投運系統(tǒng)前、升級改造后，可以全面的進行運行環(huán)境的安全測評，同時對其安全加固進行協(xié)助，從而確保系統(tǒng)上線運行的時候能夠使有關(guān)安全要求得到滿足。

3.3 滲透測試

要想針對生產(chǎn)系統(tǒng)采取風險評估，就有必要對其開展?jié)B透測試。而信息安全攻防實驗室創(chuàng)設(shè)了這樣一個接口，測試人員可借助實驗室的攻擊系統(tǒng)來采取滲透測試，還可借助攻擊系統(tǒng)來監(jiān)控和評估這一測試。文中提出的信息安全攻防實驗室構(gòu)想這方面比較完善，有的接口可以直接連接Internet網(wǎng)絡(luò)，滲透測試工程師可借助實驗室提供一些工具來進行滲透測試，諸如應(yīng)用系統(tǒng)弱點以及數(shù)據(jù)庫弱點的掃描器等攻擊工具。借助實驗室來針對生產(chǎn)系統(tǒng)開展?jié)B透測試，其具有兩點益處：第一，實驗室具有較為齊全的掃描和測試工具；第二，實驗室擁有不同的信息安全的漏洞以及威脅，還包括了驗證實驗環(huán)境。這些條件對實施滲透測試工作是非常有幫助的。

3.4 信息安全及網(wǎng)絡(luò)技術(shù)培訓

信息安全攻防實驗室可創(chuàng)造良好的教學培訓平臺，這是在虛擬化技術(shù)基礎(chǔ)上建立的平臺，可以進行專業(yè)的攻防演練，還擁有專門的考試系統(tǒng)。借助這一系統(tǒng)，可以對攻防過程加深理解，從而促使技術(shù)人員更好的提高自身的安全技能。這一系統(tǒng)能夠借助大屏幕來為觀摩的人員展示攻防的過程，從而為其參觀和考察提供方便，還能錄制攻防過程的實況以及進行實況回放。該平臺對有關(guān)信息安全技術(shù)的培訓和考試很有幫助，要與相關(guān)培訓活動相結(jié)合，諸如仿真系統(tǒng)安全防護演練等。對于信息安全人才的培養(yǎng)來說是很有幫助的，可進行信息安全意識教育和競賽等活動。此次構(gòu)想的教學培訓平臺還會創(chuàng)設(shè)一個考試與驗證的功能給學員提供便利，教官也能夠借助系統(tǒng)這一平臺來評價學員的實驗。

3.5 信息安全威脅與漏洞概念驗證

通常我們易理解信息和信息技術(shù)存在安全風險。然而普遍人員往往對于威脅和信息技術(shù)的脆弱性無法直觀的體會和了解。攻防演練平臺可以很好的驗證信息安全威脅和漏洞的概念。對于攻擊路徑和具體操作方法也能通過比較直觀的方式呈現(xiàn)出來。借助攻防平臺形象直觀的演示，能夠促使參觀人員對于一些抽象的內(nèi)容更直觀的了解，諸如威脅、脆弱性、作用原理等等。

4 結(jié)語

總之，文章提出建設(shè)信息安全實驗室主要是借助了網(wǎng)絡(luò)攻防技術(shù)；主要是致力于研究Web應(yīng)用以及數(shù)據(jù)庫的安全，從而將必要的科研環(huán)境創(chuàng)造出來，為相關(guān)安全研究提供方便，諸如Web應(yīng)用、數(shù)據(jù)庫和主機等的安全研究。希望最終能夠有相關(guān)工作的開展提供一定的借鑒。