侯海燕　趙鼎　白光安

[摘要]信息安全技能競賽是全國大學(xué)生信息安全綜合賽事，是國家工業(yè)和信息化部信息安全協(xié)調(diào)指導(dǎo)的綜合網(wǎng)絡(luò)類競技比賽。競賽影響力很大，是各地人力資源和社會(huì)保障部門認(rèn)可的競技比賽，為信息安全相關(guān)企業(yè)輸送了大量人才。目前高校開設(shè)的計(jì)算機(jī)網(wǎng)絡(luò)安全類課程偏重理論教學(xué)，課程缺乏綜合性的實(shí)訓(xùn)實(shí)踐平臺(tái)支撐，信息安全中常見的攻防實(shí)驗(yàn)和滲透實(shí)驗(yàn)無法開展。本文研究設(shè)計(jì)并實(shí)現(xiàn)了基于云服務(wù)器安裝與部署的信息安全攻防實(shí)訓(xùn)平臺(tái)。在云服務(wù)器上鏡像出特定的網(wǎng)絡(luò)操作系統(tǒng)，可進(jìn)行系統(tǒng)防御、系統(tǒng)加固、系統(tǒng)滲透實(shí)驗(yàn)。

[關(guān)鍵詞]信息安全；云服務(wù)器；設(shè)計(jì)

1背景技術(shù)

1.1云計(jì)算技術(shù)

云計(jì)算是一種Ⅱ資源的交付和使用模式，通過網(wǎng)絡(luò)以按需、易擴(kuò)展的方式獲得所需的硬件、平臺(tái)、軟件及服務(wù)等資源?！霸啤钡挠?jì)算能力通常是由分布式的大規(guī)模集群和服務(wù)器虛擬化軟件搭建。云計(jì)算技術(shù)具有以下特點(diǎn)：①云計(jì)算系統(tǒng)提供的是服務(wù)。服務(wù)實(shí)現(xiàn)機(jī)制對用戶透明，用戶無需了解云計(jì)算工作原理，就可獲得所需服務(wù)。②按需、自動(dòng)服務(wù)。用戶可以根據(jù)自己的需求，通過網(wǎng)絡(luò)申請服務(wù)、調(diào)研。當(dāng)不需要服務(wù)時(shí)，服務(wù)方可以及時(shí)進(jìn)行資源的回收及重新配置。③快速、彈性?？梢詣?dòng)態(tài)伸縮，滿足應(yīng)用和用戶變化的需求。服務(wù)方可以根據(jù)訪問用戶的多少增減資源（包括CPU、存儲(chǔ)、寬帶和軟件應(yīng)用等），從而可以快速并彈性地為用戶提供不同的服務(wù)。④虛擬化。云計(jì)算技術(shù)將硬件設(shè)備通過虛擬技術(shù)形成資源池，部署在物理服務(wù)器中，用戶使用云服務(wù)時(shí)無需了解這些服務(wù)具體在哪一臺(tái)物理設(shè)備上。云服務(wù)器的存在是為了解決硬件資源利用率低下分配不合理等而產(chǎn)生的，它是以提高物理資源利用率和降低整體擁有成本為目的。此外，還提供了完備的高可用性、動(dòng)態(tài)資源調(diào)整、動(dòng)態(tài)資源擴(kuò)展等高級功能，本項(xiàng)目以云服務(wù)器為關(guān)鍵組件。

1.2虛擬化技術(shù)

虛擬化技術(shù)為云計(jì)算服務(wù)提供基礎(chǔ)架構(gòu)層面的支撐，是ICT服務(wù)快速走向云計(jì)算的最主要驅(qū)動(dòng)力。虛擬化是一種在軟件中仿真計(jì)算機(jī)硬件，以虛擬資源為用戶提供服務(wù)的計(jì)算形式。旨在合理調(diào)配計(jì)算機(jī)資源，使其更高效地提供服務(wù)。它把應(yīng)用系統(tǒng)各硬件間的物理劃分打破，從而實(shí)現(xiàn)架構(gòu)的動(dòng)態(tài)化，實(shí)現(xiàn)物理資源的集中管理和使用。虛擬化的最大好處是增強(qiáng)系統(tǒng)的彈性和靈活性，降低成本、改進(jìn)服務(wù)、提高資源利用效率。

在虛擬化技術(shù)領(lǐng)域中，以X86體系結(jié)構(gòu)虛擬化為代表。VMware公司目前在大力發(fā)展用于云計(jì)算基礎(chǔ)架構(gòu)的虛擬化技術(shù)，推出了面向云計(jì)算的一系列產(chǎn)品，用于云計(jì)算基礎(chǔ)架構(gòu)的部署與配置。采用虛擬化技術(shù)可以緩解信息安全面臨的難題，主要表現(xiàn)在：①高可用性。在不影響用戶的情況下對物理資源進(jìn)行刪除、升級、更改。②高擴(kuò)展性。虛擬化技術(shù)采用動(dòng)態(tài)方式部署，可以根據(jù)不同產(chǎn)品對資源的需求支持比物理資源小或大得多的虛擬資源。③高安全性。虛擬化技術(shù)可以實(shí)現(xiàn)簡單的共享機(jī)制，這便于實(shí)現(xiàn)對數(shù)據(jù)和服務(wù)的控制和安全訪問。

2信息安全攻防平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)

2.1硬件平臺(tái)框圖設(shè)計(jì)

該設(shè)計(jì)可實(shí)現(xiàn)在實(shí)驗(yàn)室內(nèi)網(wǎng)環(huán)境中利用虛擬機(jī)技術(shù)進(jìn)行系統(tǒng)防御、系統(tǒng)加固、系統(tǒng)滲透等實(shí)驗(yàn)。創(chuàng)新團(tuán)隊(duì)自主設(shè)計(jì)信息安全實(shí)驗(yàn)和實(shí)驗(yàn)環(huán)境，在實(shí)訓(xùn)平臺(tái)中部署多個(gè)實(shí)驗(yàn)靶機(jī)，供學(xué)生端訪問而不干擾，保證實(shí)驗(yàn)環(huán)境安全無破壞。結(jié)構(gòu)框圖如圖1。

圖1是一種基于云服務(wù)器的信息安全實(shí)驗(yàn)教學(xué)平臺(tái)的網(wǎng)絡(luò)拓?fù)鋱D，其包括云服務(wù)器或者云服務(wù)器群1、防火墻2/3、教師機(jī)4、學(xué)生機(jī)7/8、核心交換機(jī)5、模擬外網(wǎng)的路由器6、LAN A、LAN B。LAN A和LAN B學(xué)生接入的兩個(gè)內(nèi)部網(wǎng)絡(luò)，連接到LAN A的學(xué)生端7可通過核心交換機(jī)5訪問云服務(wù)器或云服務(wù)器群1上的虛擬靶機(jī)和文件服務(wù)器，連接到LAN B的教師端4、連接LAN B的學(xué)生端8通過防火墻2/3構(gòu)建的VPN網(wǎng)絡(luò)同時(shí)訪問云服務(wù)器端的虛擬靶機(jī)和文件服務(wù)器。防火墻2和防火墻3通過路由器6模擬的外網(wǎng)相連，可供LANA和LAN B的學(xué)生雙方進(jìn)行防火墻安全類實(shí)驗(yàn)，包括防火墻基本配置、防火墻高級配置、防火墻VPN隧道配置、防火墻過濾類實(shí)驗(yàn)配置。LAN A和LAN B的學(xué)生機(jī)安裝有Windows server 2003、Windows XP、Linux操作系統(tǒng)。可進(jìn)行本地系統(tǒng)加固、網(wǎng)絡(luò)嗅探等實(shí)驗(yàn)，也可同時(shí)進(jìn)行場外網(wǎng)絡(luò)攻防對抗類實(shí)驗(yàn)。教師端4接人到LAN B中，經(jīng)由防火墻VPN鏈路接人到云服務(wù)器中，將實(shí)驗(yàn)指導(dǎo)書云存儲(chǔ)到云服務(wù)器中。學(xué)生端7/8可經(jīng)由網(wǎng)絡(luò)從云服務(wù)器中下載實(shí)驗(yàn)指導(dǎo)書并上傳實(shí)驗(yàn)成果至云服務(wù)器中，防火墻采用神碼FW1800S，核心交換機(jī)采用神碼交換機(jī)$5900。

2.2云服務(wù)搭建與部署

該實(shí)驗(yàn)教學(xué)平臺(tái)通過網(wǎng)絡(luò)組網(wǎng)技術(shù)將云服務(wù)器、防火墻、交換路由設(shè)備、學(xué)生端和教師端構(gòu)成一個(gè)物理互通網(wǎng)絡(luò)，其中云服務(wù)器底層云服務(wù)支持是H3Cloud。H3Cloud云計(jì)算解決方案通過標(biāo)準(zhǔn)的IEEE802.10bg（EVB）技術(shù)，將網(wǎng)絡(luò)管理邊界延伸至虛擬機(jī)和虛擬交換機(jī)。在云服務(wù)器中創(chuàng)建多種操作系統(tǒng)（Windows XP，Windows server 2003和Linux）做實(shí)驗(yàn)操作系統(tǒng)模板，模擬各操作系統(tǒng)可能出現(xiàn)的安全實(shí)驗(yàn)環(huán)境。①同一操作系統(tǒng)屬于同一虛擬網(wǎng)段，每種操作系統(tǒng)又可鏡像克隆出多個(gè)虛擬主機(jī)。②教師端通過管理地址登錄到云服務(wù)器，為學(xué)生端創(chuàng)建登錄用戶名和實(shí)驗(yàn)操作系統(tǒng)模板。③學(xué)生端由教師分配的用戶名登錄云服務(wù)器的虛擬靶機(jī)中進(jìn)行安全實(shí)驗(yàn)，保證多終端遠(yuǎn)程登錄同一實(shí)驗(yàn)環(huán)境且互不干擾。④云服務(wù)器中還需要安裝文件服務(wù)器，教師通過云端將實(shí)驗(yàn)指導(dǎo)書和實(shí)驗(yàn)素材上傳云端，供學(xué)生端下載和上傳。教師可根據(jù)特定的實(shí)驗(yàn)要求靈活制作特定的操作系統(tǒng)實(shí)驗(yàn)鏡像文件，在云服務(wù)器上克隆出足夠的虛擬機(jī)做實(shí)驗(yàn)靶機(jī)，滿足學(xué)生同時(shí)進(jìn)行同一實(shí)驗(yàn)的要求，且對學(xué)生端和教師端的安裝和配置沒有要求。

為了避免用戶之間的干擾每個(gè)用戶必須有獨(dú)立的接人賬號。H3CCloud原來的賬號控制，開發(fā)了適合我們實(shí)際學(xué)習(xí)環(huán)境的賬號控制系統(tǒng)，系統(tǒng)由mysql提供后臺(tái)數(shù)據(jù)支撐用戶密碼采用rod5方式加密后存儲(chǔ)，一個(gè)用戶可以有多個(gè)角色，每個(gè)角色有且只有一個(gè)對應(yīng)環(huán)境模板。用戶的概念就相當(dāng)于每個(gè)使用者包括老師。學(xué)生等等，角色的概念就相當(dāng)于每一節(jié)課的學(xué)習(xí)內(nèi)容，老師的賬號可以操作學(xué)生的賬號，包括更改角色。密碼、別名等等如圖2更改角色。上課前老師批量把學(xué)生角色該成對應(yīng)上課類容的角色，學(xué)生上課的時(shí)候拿著自己的用戶名和密碼去登陸賬號控制系統(tǒng)，驗(yàn)證通過后我們會(huì)直接將頁面調(diào)到H3Cloud的CIC管理頁面，然后學(xué)生直接運(yùn)行老師之前部署好的該節(jié)課對應(yīng)的學(xué)習(xí)環(huán)境，整個(gè)過程是透明的，所以不會(huì)影響學(xué)生的用戶體驗(yàn)。等下課后老師統(tǒng)一回收上節(jié)課的資源然后重新部署這樣對別的班的學(xué)生過來上一樣的課程則沒有任何影響，并且我們的賬號控制也是基于B/S架構(gòu)所以和CIC控制界面的過度非常友好。

3結(jié)語

基于云服務(wù)器的虛擬靶機(jī)構(gòu)成的信息安全實(shí)訓(xùn)平臺(tái)可以實(shí)現(xiàn)一個(gè)安全的實(shí)驗(yàn)環(huán)境，實(shí)現(xiàn)本地網(wǎng)絡(luò)安全實(shí)驗(yàn)環(huán)境和遠(yuǎn)程網(wǎng)絡(luò)對抗安全實(shí)驗(yàn)環(huán)境。該實(shí)訓(xùn)平臺(tái)還可以實(shí)現(xiàn)實(shí)驗(yàn)指導(dǎo)書和實(shí)驗(yàn)成果的發(fā)放和上交，形成一個(gè)實(shí)時(shí)教學(xué)實(shí)驗(yàn)教學(xué)平臺(tái)。云服務(wù)器中可以根據(jù)信息安全實(shí)驗(yàn)要求靈活制作靶機(jī)鏡像文件，部署靶機(jī)環(huán)境，達(dá)到統(tǒng)一實(shí)驗(yàn)、安全實(shí)驗(yàn)的目的。

[責(zé)任編輯：楊玉潔]