為解決信息安全實驗室建設(shè)中所面臨的設(shè)備投資大、實驗環(huán)境構(gòu)建困難等問題，本文研究如何以KVM虛擬化為核心構(gòu)建統(tǒng)一的資源管理平臺，通過集成各種安全軟件，構(gòu)建一套可滿足密碼學(xué)、入侵檢測、漏洞掃描技術(shù)等多種實驗要求的綜合性信息安全實驗平臺，滿足信息安全相關(guān)實驗教學(xué)要求。

【關(guān)鍵詞】KVM虛擬化 信息安全 實驗平臺

為促進信息安全相關(guān)人才培養(yǎng)，2015年教育部增設(shè)了“網(wǎng)絡(luò)空間安全”一級學(xué)科，面對這種需求，各院校都在積極開設(shè)信息安全類課程和專業(yè)，但信息安全是一門實踐性較強的學(xué)科，學(xué)生在掌握了安全理論知識的基礎(chǔ)上，需要在具體實驗中加深信息安全知識與技術(shù)的理解，因此，構(gòu)建一個完善健全的信息安全實驗平臺是開展相關(guān)教學(xué)的基礎(chǔ)條件。

近年來一些信息安全設(shè)備公司也開發(fā)了一些安全實驗平臺，但普遍是以物理服務(wù)器、安全設(shè)備為基礎(chǔ)構(gòu)建，由于信息安全實驗涉及的實驗設(shè)備種類多，更新快，此類方案面臨巨額的持續(xù)資金投入，多數(shù)高校均難以承受。同時，受限于硬件設(shè)備，實驗平臺實際所能完成的實驗項目較為固定，可擴展性較差。而隨著虛擬化技術(shù)的發(fā)展，以虛擬化技術(shù)為核心構(gòu)建信息安全實驗平臺不僅能節(jié)約成本，同時具備靈活性和高可擴展性。因此，選擇適合的虛擬化技術(shù)構(gòu)建信息安全實驗平臺是一種較為現(xiàn)實可行的方案。

1 相關(guān)技術(shù)方案對比研究

如何構(gòu)建信息安全實驗平臺，國外的Xiangdong Li、Herbert J.Mattord，以及國內(nèi)的上海交通大學(xué)信息安全工程學(xué)院等已經(jīng)提供了一些解決思路?？傮w來說，主要有如下三種類型：

1.1 以現(xiàn)有商用信息安全產(chǎn)品為基礎(chǔ)構(gòu)建以功能驗證演示為主的實驗平臺

這種方案主要采用安全設(shè)備為基礎(chǔ)完成信息安全實踐平臺的搭建。但商用的安全產(chǎn)品主要功能是完成安全檢測和防護功能，對并發(fā)性訪問支持較差，難以滿足教學(xué)實驗需求；同時，其設(shè)計目標(biāo)是功能實現(xiàn)，難以滿足實驗平臺對“交互性”的需求。

1.2 基于網(wǎng)絡(luò)仿真軟件實現(xiàn)

這種方法依賴于仿真軟件，軟件本身的缺陷難以避免，對于復(fù)雜網(wǎng)絡(luò)架構(gòu)模擬不完善，商用版本價格高昂。因此，建議使用開源的網(wǎng)絡(luò)仿真軟件，比如NS2，作為網(wǎng)絡(luò)攻防平臺的一部分，用于網(wǎng)絡(luò)協(xié)議的研究和網(wǎng)絡(luò)結(jié)構(gòu)研究之用，而不是把它作為綜合實驗平臺。

1.3 基于商用虛擬化技術(shù)實現(xiàn)

例如VMware ESXI，雖然其可操作性較好，但其受制于廠商，價格昂貴，無法在其基礎(chǔ)上做一些擴展性的開發(fā)；而對于Open Staack等虛擬化平臺，因其功能組件較為復(fù)雜，學(xué)習(xí)難度大；代碼量龐大，定制式的開發(fā)難度較大。

因此，現(xiàn)有的幾種方案在靈活性、可擴展性、開發(fā)便利性上都存在一定問題，而目前以KVM為代表的基于Linux kernel的全虛擬化技術(shù)，作為一個開源的虛擬化解決方案，有大量成熟的API，能夠降低開發(fā)門檻，降低開發(fā)成本，使用KVM為基礎(chǔ)開發(fā)信息安全實驗平臺是一種較為現(xiàn)實可行的方案。

2 實驗平臺設(shè)計思路

基于虛擬化技術(shù)的信息安全實驗平臺可使用Cent OS為底層操作系統(tǒng)，采用以KVM為代表的基于Linux kernel的全虛擬化技術(shù)構(gòu)建，提高整個硬件平臺的綜合資源利用率，并使用開源軟件進行集成，如交換機：VSwitch，路由器：RouterOS，防火墻：Vyatta，漏洞掃描：Nessus等。

系統(tǒng)可使用KVM虛擬化建立統(tǒng)一資源管理平臺，簡化資源管理、調(diào)度的難度，將物理服務(wù)器構(gòu)建成一個統(tǒng)一、可擴充的資源池。繼而通過運行分布式存儲服務(wù)供實驗環(huán)境調(diào)用，通過系統(tǒng)接口在交換機、安全設(shè)備的IOS基礎(chǔ)上，構(gòu)建實驗拓?fù)?，供學(xué)生實驗使用。系統(tǒng)可采用B/S結(jié)構(gòu)，使用戶可通過瀏覽器完成所有操作。系統(tǒng)前臺頁面使用HTML5+CSS+Javascript構(gòu)建，后臺服務(wù)器腳本引擎使用PHP。數(shù)據(jù)庫系統(tǒng)選擇上，可使用MySql作為整個系統(tǒng)的數(shù)據(jù)庫引擎。

系統(tǒng)功能設(shè)計上，可分為教師管理后臺和學(xué)生使用前臺。教師管理后臺主要功能應(yīng)涵蓋：實驗管理、日程管理、系統(tǒng)仿真、環(huán)境仿真、課程管理等模塊。學(xué)生使用前臺主要功能應(yīng)涵蓋：學(xué)習(xí)中心、課程表、個人中心等模塊。

3 結(jié)語

基于此種方案構(gòu)建信息安全實驗平臺，相對于傳統(tǒng)方案，具備如下優(yōu)勢：實驗環(huán)境可實現(xiàn)定制化調(diào)整，滿足不同領(lǐng)域的實驗需求；利用開源網(wǎng)絡(luò)安全設(shè)備IOS進行構(gòu)建，擺脫了硬件的局限，能隨時進行升級和調(diào)整；傳統(tǒng)基于硬件的實驗平臺，只能提供統(tǒng)一的實驗環(huán)境，基于虛擬化技術(shù)的實驗平臺，每個用戶都可有自己的實驗環(huán)境，靈活性高；傳統(tǒng)的安全實驗平臺，未使用標(biāo)準(zhǔn)接口，難以二次開發(fā)，而本平臺主要基于開源系統(tǒng)和軟件構(gòu)建，穩(wěn)定性較好，可擴展性好，便于與各種安全和網(wǎng)絡(luò)設(shè)備對接；基于高校用戶的功能分析，在高校范圍內(nèi)具有更好的應(yīng)用前景。

綜上所述，基于KVM虛擬化技術(shù)構(gòu)建一個能涵蓋信息安全領(lǐng)域典型安全技術(shù)知識點，具有可控性和高可擴展性的信息安全實驗平臺系統(tǒng)能最大限度滿足信息安全類課程的實驗教學(xué)需求。

參考文獻

[1]史景慧.網(wǎng)絡(luò)安全虛擬實驗系統(tǒng)的設(shè)計與實現(xiàn)[D].北京：北京郵電大學(xué)，2012.

[2]李祥池.基于SDN的網(wǎng)絡(luò)攻防平臺的研究與實現(xiàn)[D].濟南：山東大學(xué)，2015.

[3]俞立峰，楊瓊.信息安全虛擬實踐教學(xué)平臺的構(gòu)建[J].計算機時代，2014（02）：18-19+24.

[4]徐川，唐建，唐紅.網(wǎng)絡(luò)攻防對抗虛擬實驗系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機工程與設(shè)計，2011（04）：1268-1271.

作者簡介

李蒙（1980-），男，遼寧省沈陽市人。海軍航空工程學(xué)院學(xué)士學(xué)位?，F(xiàn)為青島工學(xué)院講師。研究方向為數(shù)據(jù)中心虛擬化、網(wǎng)絡(luò)安全。

作者單位

青島工學(xué)院 山東省青島市 266300