隨著互聯(lián)網(wǎng)、專用網(wǎng)絡(luò)化信息系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的普及，信息安全已成為關(guān)系到國家政治、國防、社會(huì)的重要問題。

筆者所在地區(qū)于2012建成了地方云計(jì)算中心，目前該中心承載了百余個(gè)黨政機(jī)關(guān)、企事業(yè)單位網(wǎng)站和應(yīng)用系統(tǒng)，重要程度不言而喻，以前安全隱患是分散的，現(xiàn)在集中在一起，風(fēng)險(xiǎn)巨大，萬一發(fā)生信息安全事件，后果不堪設(shè)想，所以必須加強(qiáng)安全防護(hù)和管理。

根據(jù)相關(guān)文件精神，各地、各部門應(yīng)采取定期和不定期相結(jié)合的形式，組織開展網(wǎng)絡(luò)與信息安全應(yīng)急演練。該文件規(guī)定提供7*24小時(shí)不間斷服務(wù)的重要網(wǎng)絡(luò)信息系統(tǒng)每年應(yīng)至少組織一次演練。通過定期攻防演練來驗(yàn)證云計(jì)算中心安全防護(hù)措施的有效性是一種有效可行的技術(shù)手段。定期的攻防演練要在不影響正常業(yè)務(wù)的情況下來進(jìn)行，需要搭建一個(gè)模擬的環(huán)境即攻防演練平臺(tái)，在平臺(tái)上進(jìn)行模擬攻防演練。

攻防演練平臺(tái)概述

目前有廠商可以提供以“學(xué)、練、賽、測”為一體的全方位信息安全攻防演練平臺(tái)，以攻擊步驟為線索向?qū)W員介紹黑客攻擊各階段常用的攻擊方法和原理，以及對相應(yīng)網(wǎng)絡(luò)攻擊的防護(hù)策略和手段，涵蓋網(wǎng)絡(luò)技術(shù)、操作系統(tǒng)、數(shù)據(jù)庫技術(shù)、Web應(yīng)用、手機(jī)應(yīng)用、無線應(yīng)用在內(nèi)的全方位漏洞技術(shù)研究，內(nèi)含攻防平臺(tái)、知識庫、漏洞分析庫、工具集、課件系統(tǒng)等。

有的科研院校采用PC機(jī)、交換機(jī)、防火墻組網(wǎng)，使用虛擬化技術(shù)搭建網(wǎng)絡(luò)攻防演練平臺(tái)，該平臺(tái)主要用于教學(xué)目的，具有教學(xué)演示、攻擊實(shí)驗(yàn)和攻擊演練的功能。教學(xué)演示由Web服務(wù)器、流媒體和備份服務(wù)器組成，具有課件、學(xué)生管理、在線問答、作業(yè)提交等功能。

也有采用蜜網(wǎng)技術(shù)來構(gòu)建以攻防實(shí)驗(yàn)為主要目的的網(wǎng)絡(luò)攻防平臺(tái)。使用交換機(jī)、PC機(jī)組成局域網(wǎng)，采用VMware軟件部署虛擬機(jī)，安裝虛擬蜜罐操作系統(tǒng)，部署Web服務(wù)器、郵件服務(wù)器、FTP服務(wù)器等。該試驗(yàn)平臺(tái)具有數(shù)據(jù)控制、重定向和數(shù)據(jù)捕獲功能。

攻防演練平臺(tái)設(shè)計(jì)

1.總體架構(gòu)

攻防演練平臺(tái)總體架構(gòu)如圖1所示。

通過MPLS VPN技術(shù)單獨(dú)劃分一個(gè)功能區(qū)，即攻防演練區(qū)。使用云計(jì)算環(huán)境下的軟件硬件，包括防火墻、IDS、IPS、存儲(chǔ)、刀片、交換機(jī)、數(shù)據(jù)庫等。

2.攻防演練平臺(tái)軟硬件環(huán)境

（1）主機(jī)。通過VMware vspere將刀片服務(wù)器虛擬化，形成資源池，分配虛擬機(jī)，制作系統(tǒng)模版，如：Microsoft Windows 2008 Server、Windows XP professional、Windows 7、Redhat Linux等常用系統(tǒng)。制作模版后，方便虛機(jī)部署。

（2）網(wǎng)絡(luò)。通過BGP/MPLS VPN技術(shù)將云計(jì)算中心的網(wǎng)絡(luò)劃分為不同的功能區(qū)，為該平臺(tái)獨(dú)立劃分功能區(qū)，即攻防演練區(qū)，保證和核心業(yè)務(wù)應(yīng)用邏輯隔離。

（3）防火墻。通過防火墻設(shè)置阻斷策略，進(jìn)行訪問控制，保護(hù)核心業(yè)務(wù)應(yīng)用安全。

（4）日志審計(jì)。通過收集主機(jī)、網(wǎng)絡(luò)、安全設(shè)備的日志，來分析來自外部和內(nèi)部的攻擊。

（5）漏洞掃描系統(tǒng)。在攻防演練區(qū)部署漏洞掃描系統(tǒng)，可以對新上線系統(tǒng)進(jìn)行安全評估，分析系統(tǒng)的漏洞情況。

3.攻防演練平臺(tái)功能

（1）模擬攻擊功能

常見的網(wǎng)絡(luò)攻擊包括：拒絕服務(wù)攻擊、后門攻擊、漏洞攻擊、網(wǎng)絡(luò)掃描竊聽、網(wǎng)絡(luò)釣魚、干擾等。攻防演練平臺(tái)要實(shí)現(xiàn)各種常見的網(wǎng)絡(luò)攻擊功能，能夠提供豐富的攻擊工具，使該平臺(tái)能開展日常的應(yīng)急演練。

模擬攻擊功能是在虛機(jī)上部署攻擊應(yīng)用程序或者專用工具來實(shí)現(xiàn)模擬攻擊功能。可以分配多個(gè)虛機(jī)來部署不同的攻擊程序和攻擊工具，但是這些攻擊程序和攻擊工具不能用來攻擊真正的業(yè)務(wù)環(huán)境，只能攻擊攻防演練功能區(qū)內(nèi)的服務(wù)器和網(wǎng)絡(luò)；可以在刀片服務(wù)器上劃分一個(gè)特定的集群，分配一些虛機(jī)，用來部署虛擬蜜罐，收集來自互聯(lián)網(wǎng)、網(wǎng)內(nèi)以及攻防演練區(qū)的攻擊日志，分析這些攻擊行為，根據(jù)這些日志來強(qiáng)化、細(xì)化現(xiàn)有的安全策略。

（2）日志分析功能

攻防演練區(qū)的虛機(jī)、網(wǎng)絡(luò)設(shè)備的日志都推送到綜合日志審計(jì)系統(tǒng)上，入侵檢測系統(tǒng)（IDS）、防火墻、入侵防御系統(tǒng)（IPS）等安全設(shè)備的日志也推送到綜合日志審計(jì)系統(tǒng)。

查看主機(jī)日志，可以了解主機(jī)CPU利用率、內(nèi)存使用率、帶寬利用率、硬盤空間大小等信息，可以判定是否主機(jī)存在異常，是否遭到攻擊；可以查看網(wǎng)絡(luò)設(shè)備日志，分析流量是否異常，判定是否遭到DDoS攻擊、SYN泛洪攻擊等；也可以分析IDS日志，判定有無來自內(nèi)部的攻擊；查看分析IPS日志，發(fā)現(xiàn)有惡意攻擊，可以通過策略阻斷攻擊；查看防火墻日志，通過訪問控制來限制攻擊源；在攻防演練區(qū)部署多個(gè)蜜罐，從而形成虛擬蜜網(wǎng)，通過和IPS、IDS、防火墻的聯(lián)動(dòng)，用來捕獲攻擊數(shù)據(jù)，分析這些日志信息，來優(yōu)化、細(xì)化、強(qiáng)化安全設(shè)備的策略。

（3）系統(tǒng)上線測試功能

新開發(fā)的系統(tǒng)，不能直接部署在真實(shí)的業(yè)務(wù)環(huán)境中，需要在模擬環(huán)境中進(jìn)行測試，如壓力測試、代碼審計(jì)、漏洞掃描等才可以在真正的業(yè)務(wù)環(huán)境中上線運(yùn)行。

因此，在攻防演練區(qū)部署虛機(jī)，用于系統(tǒng)上線測試，經(jīng)過壓力測試、代碼審計(jì)、漏洞掃描等安全測試后，通過VMware的vMotion功能將應(yīng)用系統(tǒng)的虛機(jī)遷移到業(yè)務(wù)區(qū)的刀片服務(wù)器上。

（4）數(shù)據(jù)庫恢復(fù)演練功能

為確保業(yè)務(wù)系統(tǒng)的應(yīng)用及數(shù)據(jù)安全，檢驗(yàn)現(xiàn)有備份機(jī)制的完善性和有效性，對突發(fā)事件能在最短時(shí)間內(nèi)采取有效措施，需要對數(shù)據(jù)庫備份與恢復(fù)進(jìn)行了應(yīng)急演練。演練不能在真實(shí)環(huán)境中進(jìn)行，在攻防演練區(qū)搭建模擬環(huán)境，分配虛機(jī)，安裝數(shù)據(jù)庫等應(yīng)用程序。云計(jì)算中心的備份手段有虛擬機(jī)快照、存儲(chǔ)快照、NBU（NetBackup）備份虛擬機(jī)、NBU備份文件目 錄、Export導(dǎo) 出、NBU備份Oracle數(shù)據(jù)庫等。

圖2 攻擊前查看TCP三次握手情況

圖3 攻擊開始階段TCP三次握手不正常結(jié)果

圖4 點(diǎn)擊快照時(shí)間點(diǎn)

圖5 執(zhí)行快照恢復(fù)

攻防演練實(shí)驗(yàn)

1.DDoS攻擊實(shí)驗(yàn)

在攻防演練區(qū)部署虛機(jī)，在虛機(jī)上安裝攻擊軟件，攻擊前查看TCP三次握手情況，如圖2所示。

攻擊開始，如圖3所示，只有TCP三次握手的第一階段，而且是連續(xù)的。明顯不是正常的三次握手。

2.虛機(jī)恢復(fù)實(shí)驗(yàn)

虛機(jī)快照是虛擬機(jī)磁盤文件（VMDK）在某個(gè)點(diǎn)即時(shí)的復(fù)本。當(dāng)系統(tǒng)崩潰或系統(tǒng)異常時(shí)，可以通過快照來恢復(fù)虛機(jī)系統(tǒng)。

實(shí)驗(yàn)步驟如下：

（1）查看虛擬機(jī)當(dāng)前快照；

（2）確認(rèn)恢復(fù)到哪個(gè)快照時(shí)間點(diǎn)，點(diǎn)擊快照時(shí)間點(diǎn)（如圖4所示）；

（3）執(zhí)行快照恢復(fù)（如圖5所示）。點(diǎn)擊“轉(zhuǎn)到”，選擇“是”即可恢復(fù)到某個(gè)時(shí)間點(diǎn)。

3.數(shù)據(jù)庫恢復(fù)實(shí)驗(yàn)

數(shù)據(jù)庫備份采用兩種方式EXPDP導(dǎo)出和NBU備份。

EXPDP導(dǎo)出是利用Oracle自帶的功能，將Oracle數(shù)據(jù)庫中的數(shù)據(jù)導(dǎo)出成一個(gè)備份文件，實(shí)現(xiàn)Oracle數(shù)據(jù)庫的邏輯備份。NBU備份是使用NBU軟件對Oracle RMAN備份的數(shù)據(jù)文件進(jìn)行備份(備份至磁帶)，實(shí)現(xiàn)Oracle數(shù)據(jù)庫的物理備份。

實(shí)驗(yàn)步驟如下：

（1）查看成功的備份文件，進(jìn)入NBU catalog確認(rèn)備份文件存在。

（2） 進(jìn) 入 power shell，確認(rèn)控制文件存在，如圖6所示。

（3）登錄恢復(fù)目標(biāo)庫，進(jìn)入RMAN模式，利用初始化文件啟動(dòng)目標(biāo)恢復(fù)庫到nomount狀態(tài)，如圖7所示。

（4）進(jìn)入 RMAN，利用第powershell下找到的控制文件恢復(fù)數(shù)據(jù)庫的控制文件，如圖8所示。

（5）啟動(dòng)數(shù)據(jù)庫到mount狀態(tài)，如圖9所示。

（6）恢復(fù)數(shù)據(jù)庫的數(shù)據(jù)文件，如圖10所示。

（7）打開數(shù)據(jù)庫，alter database open resetlogs；查看數(shù)據(jù)庫狀態(tài)；查看數(shù)據(jù)庫當(dāng)前狀態(tài)、數(shù)據(jù)文件大小、表空間大小、用戶數(shù)、表數(shù)，確認(rèn)是否與生產(chǎn)庫一致，如圖11所示。

圖6 進(jìn)入powershell 確認(rèn)控制文件存在

圖7 啟動(dòng)目標(biāo)恢復(fù)庫到nomount狀態(tài)

圖8 恢復(fù)數(shù)據(jù)庫的控制文件

圖9 啟動(dòng)數(shù)據(jù)庫到mount狀態(tài)

圖10 恢復(fù)數(shù)據(jù)庫的數(shù)據(jù)文件

圖11 查看數(shù)據(jù)庫狀態(tài)

總結(jié)與展望

本文通過介紹現(xiàn)有的產(chǎn)品級攻防演練平臺(tái)和大學(xué)教學(xué)實(shí)驗(yàn)型的攻防演練平臺(tái)的基礎(chǔ)上，利用單位現(xiàn)有的云計(jì)算環(huán)境搭建了攻防演練平臺(tái)，可以用于模擬攻擊實(shí)驗(yàn)、日志分析、系統(tǒng)上線安全測試和數(shù)據(jù)庫備份恢復(fù)演練等。

通過實(shí)際測試、演練，該平臺(tái)基本滿足了云計(jì)算中心日常攻防演練的需求。為提高單位工作人員的信息安全意識，提升信息安全技術(shù)水平，可以購買專業(yè)的產(chǎn)品級攻防演練平臺(tái)（設(shè)備），通過在線學(xué)習(xí)和實(shí)際操作將網(wǎng)絡(luò)安全培訓(xùn)和網(wǎng)絡(luò)攻防實(shí)操結(jié)合起來，進(jìn)一步加強(qiáng)單位信息安全人才的培養(yǎng)，再通過云計(jì)算環(huán)境的攻防演練平臺(tái)進(jìn)行攻防演練，以檢驗(yàn)云計(jì)算中心的安全防護(hù)措施的有效性，和不斷完善安全策略，保障云計(jì)算中心的安全運(yùn)行。