為解決信息安全實驗室建設(shè)中所面臨的設(shè)備投資大、實驗環(huán)境構(gòu)建困難等問題,本文研究如何以KVM虛擬化為核心構(gòu)建統(tǒng)一的資源管理平臺,通過集成各種安全軟件,構(gòu)建一套可滿足密碼學(xué)、入侵檢測、漏洞掃描技術(shù)等多種實驗要求的綜合性信息安全實驗平臺,滿足信息安全相關(guān)實驗教學(xué)要求。
【關(guān)鍵詞】KVM虛擬化 信息安全 實驗平臺
為促進信息安全相關(guān)人才培養(yǎng),2015年教育部增設(shè)了“網(wǎng)絡(luò)空間安全”一級學(xué)科,面對這種需求,各院校都在積極開設(shè)信息安全類課程和專業(yè),但信息安全是一門實踐性較強的學(xué)科,學(xué)生在掌握了安全理論知識的基礎(chǔ)上,需要在具體實驗中加深信息安全知識與技術(shù)的理解,因此,構(gòu)建一個完善健全的信息安全實驗平臺是開展相關(guān)教學(xué)的基礎(chǔ)條件。
近年來一些信息安全設(shè)備公司也開發(fā)了一些安全實驗平臺,但普遍是以物理服務(wù)器、安全設(shè)備為基礎(chǔ)構(gòu)建,由于信息安全實驗涉及的實驗設(shè)備種類多,更新快,此類方案面臨巨額的持續(xù)資金投入,多數(shù)高校均難以承受。同時,受限于硬件設(shè)備,實驗平臺實際所能完成的實驗項目較為固定,可擴展性較差。而隨著虛擬化技術(shù)的發(fā)展,以虛擬化技術(shù)為核心構(gòu)建信息安全實驗平臺不僅能節(jié)約成本,同時具備靈活性和高可擴展性。因此,選擇適合的虛擬化技術(shù)構(gòu)建信息安全實驗平臺是一種較為現(xiàn)實可行的方案。
1 相關(guān)技術(shù)方案對比研究
如何構(gòu)建信息安全實驗平臺,國外的Xiangdong Li、Herbert J.Mattord,以及國內(nèi)的上海交通大學(xué)信息安全工程學(xué)院等已經(jīng)提供了一些解決思路??傮w來說,主要有如下三種類型:
1.1 以現(xiàn)有商用信息安全產(chǎn)品為基礎(chǔ)構(gòu)建以功能驗證演示為主的實驗平臺
這種方案主要采用安全設(shè)備為基礎(chǔ)完成信息安全實踐平臺的搭建。但商用的安全產(chǎn)品主要功能是完成安全檢測和防護功能,對并發(fā)性訪問支持較差,難以滿足教學(xué)實驗需求;同時,其設(shè)計目標(biāo)是功能實現(xiàn),難以滿足實驗平臺對“交互性”的需求。
1.2 基于網(wǎng)絡(luò)仿真軟件實現(xiàn)
這種方法依賴于仿真軟件,軟件本身的缺陷難以避免,對于復(fù)雜網(wǎng)絡(luò)架構(gòu)模擬不完善,商用版本價格高昂。因此,建議使用開源的網(wǎng)絡(luò)仿真軟件,比如NS2,作為網(wǎng)絡(luò)攻防平臺的一部分,用于網(wǎng)絡(luò)協(xié)議的研究和網(wǎng)絡(luò)結(jié)構(gòu)研究之用,而不是把它作為綜合實驗平臺。
1.3 基于商用虛擬化技術(shù)實現(xiàn)
例如VMware ESXI,雖然其可操作性較好,但其受制于廠商,價格昂貴,無法在其基礎(chǔ)上做一些擴展性的開發(fā);而對于Open Staack等虛擬化平臺,因其功能組件較為復(fù)雜,學(xué)習(xí)難度大;代碼量龐大,定制式的開發(fā)難度較大。
因此,現(xiàn)有的幾種方案在靈活性、可擴展性、開發(fā)便利性上都存在一定問題,而目前以KVM為代表的基于Linux kernel的全虛擬化技術(shù),作為一個開源的虛擬化解決方案,有大量成熟的API,能夠降低開發(fā)門檻,降低開發(fā)成本,使用KVM為基礎(chǔ)開發(fā)信息安全實驗平臺是一種較為現(xiàn)實可行的方案。
2 實驗平臺設(shè)計思路
基于虛擬化技術(shù)的信息安全實驗平臺可使用Cent OS為底層操作系統(tǒng),采用以KVM為代表的基于Linux kernel的全虛擬化技術(shù)構(gòu)建,提高整個硬件平臺的綜合資源利用率,并使用開源軟件進行集成,如交換機:VSwitch,路由器:RouterOS,防火墻:Vyatta,漏洞掃描:Nessus等。
系統(tǒng)可使用KVM虛擬化建立統(tǒng)一資源管理平臺,簡化資源管理、調(diào)度的難度,將物理服務(wù)器構(gòu)建成一個統(tǒng)一、可擴充的資源池。繼而通過運行分布式存儲服務(wù)供實驗環(huán)境調(diào)用,通過系統(tǒng)接口在交換機、安全設(shè)備的IOS基礎(chǔ)上,構(gòu)建實驗拓?fù)?,供學(xué)生實驗使用。系統(tǒng)可采用B/S結(jié)構(gòu),使用戶可通過瀏覽器完成所有操作。系統(tǒng)前臺頁面使用HTML5+CSS+Javascript構(gòu)建,后臺服務(wù)器腳本引擎使用PHP。數(shù)據(jù)庫系統(tǒng)選擇上,可使用MySql作為整個系統(tǒng)的數(shù)據(jù)庫引擎。
系統(tǒng)功能設(shè)計上,可分為教師管理后臺和學(xué)生使用前臺。教師管理后臺主要功能應(yīng)涵蓋:實驗管理、日程管理、系統(tǒng)仿真、環(huán)境仿真、課程管理等模塊。學(xué)生使用前臺主要功能應(yīng)涵蓋:學(xué)習(xí)中心、課程表、個人中心等模塊。
3 結(jié)語
基于此種方案構(gòu)建信息安全實驗平臺,相對于傳統(tǒng)方案,具備如下優(yōu)勢:實驗環(huán)境可實現(xiàn)定制化調(diào)整,滿足不同領(lǐng)域的實驗需求;利用開源網(wǎng)絡(luò)安全設(shè)備IOS進行構(gòu)建,擺脫了硬件的局限,能隨時進行升級和調(diào)整;傳統(tǒng)基于硬件的實驗平臺,只能提供統(tǒng)一的實驗環(huán)境,基于虛擬化技術(shù)的實驗平臺,每個用戶都可有自己的實驗環(huán)境,靈活性高;傳統(tǒng)的安全實驗平臺,未使用標(biāo)準(zhǔn)接口,難以二次開發(fā),而本平臺主要基于開源系統(tǒng)和軟件構(gòu)建,穩(wěn)定性較好,可擴展性好,便于與各種安全和網(wǎng)絡(luò)設(shè)備對接;基于高校用戶的功能分析,在高校范圍內(nèi)具有更好的應(yīng)用前景。
綜上所述,基于KVM虛擬化技術(shù)構(gòu)建一個能涵蓋信息安全領(lǐng)域典型安全技術(shù)知識點,具有可控性和高可擴展性的信息安全實驗平臺系統(tǒng)能最大限度滿足信息安全類課程的實驗教學(xué)需求。
參考文獻
[1]史景慧.網(wǎng)絡(luò)安全虛擬實驗系統(tǒng)的設(shè)計與實現(xiàn)[D].北京:北京郵電大學(xué),2012.
[2]李祥池.基于SDN的網(wǎng)絡(luò)攻防平臺的研究與實現(xiàn)[D].濟南:山東大學(xué),2015.
[3]俞立峰,楊瓊.信息安全虛擬實踐教學(xué)平臺的構(gòu)建[J].計算機時代,2014(02):18-19+24.
[4]徐川,唐建,唐紅.網(wǎng)絡(luò)攻防對抗虛擬實驗系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機工程與設(shè)計,2011(04):1268-1271.
作者簡介
李蒙(1980-),男,遼寧省沈陽市人。海軍航空工程學(xué)院學(xué)士學(xué)位?,F(xiàn)為青島工學(xué)院講師。研究方向為數(shù)據(jù)中心虛擬化、網(wǎng)絡(luò)安全。
作者單位
青島工學(xué)院 山東省青島市 266300