宣樂飛

【摘 要】網(wǎng)絡(luò)靶場是實現(xiàn)網(wǎng)絡(luò)安全技術(shù)研究、網(wǎng)絡(luò)安全人才培養(yǎng)的重要平臺。利用開源云計算技術(shù)open stack，完成網(wǎng)絡(luò)空間安全靶場的搭建。通過綜合云管理平臺，對教學(xué)實驗、綜合實戰(zhàn)、仿真實戰(zhàn)、攻防對抗等功能進行集中監(jiān)控與管理。使用Docker技術(shù)，快速生成靶機，為高校信息安全類專業(yè)開展實訓(xùn)教學(xué)提供快速響應(yīng)的實戰(zhàn)訓(xùn)練環(huán)境。

【關(guān)鍵詞】網(wǎng)絡(luò)空間;靶場;云計算;Docker

中圖分類號： TP393.08 文獻標識碼： A 文章編號： 2095-2457（2019）11-0087-002

DOI：10.19694/j.cnki.issn2095-2457.2019.11.038

【Abstract】Network shooting range is an important platform for the research of network security technology and the training of network security talents. Open stack， an open source cloud computing technology， is used to build a safe shooting range in cyberspace. Through the integrated cloud management platform， the functions of teaching experiment， integrated combat， simulation combat， attack and defense confrontation are centralized monitored and managed. Docker technology is used to generate target machine quickly， which provides a fast response training environment for information security major in Colleges and universities to carry out practical teaching.

【Key words】Cyberspace; Shooting range; Cloud computing; Docker

0 引言

信息安全是國家安全的重要組成部分，已經(jīng)上升到與政治安全、經(jīng)濟安全、領(lǐng)土安全等并駕齊驅(qū)的戰(zhàn)略高度?！皼]有網(wǎng)絡(luò)安全就沒有國家安全”，而“網(wǎng)絡(luò)空間的競爭，歸根結(jié)底是人才競爭”。網(wǎng)絡(luò)靶場可擬真網(wǎng)絡(luò)空間環(huán)境，開展網(wǎng)絡(luò)空間安全研究、學(xué)習(xí)、測試、驗證、演練等活動，成為現(xiàn)階段研究的熱點[1]。

1 研究現(xiàn)狀

網(wǎng)絡(luò)空間安全靶場的發(fā)展主要包括三個階段， 第一階段主要針對病毒、木馬等攻擊武器建立基于實物的高仿真環(huán)境[2]。在此階段， 根據(jù)攻擊目標的軟硬件平臺， 建立盡可能相似的軟硬件平臺，用于測試攻擊武器能否成功繞過攻擊目標的防護軟件，主要包括蜜罐系統(tǒng)、木馬測試系統(tǒng)等。第二階段是小型虛擬化互聯(lián)網(wǎng)靶場時期。在此階段，云計算、SDN等虛擬技術(shù)是該階段的主流技術(shù)，通過提供虛擬環(huán)境模擬真實的互聯(lián)網(wǎng)攻防過程。第三階段是支撐泛在網(wǎng)的大型虛實結(jié)合網(wǎng)絡(luò)空間靶場。由于“震網(wǎng)”、“火焰”等針對工控網(wǎng)的新型網(wǎng)絡(luò)攻擊突現(xiàn)， 網(wǎng)絡(luò)空間靶場的研究目標轉(zhuǎn)向?qū)崿F(xiàn)虛實結(jié)合的網(wǎng)絡(luò)空間靶場技術(shù)。高校作為信息安全類人才培養(yǎng)的承擔(dān)者，亟需相應(yīng)的實訓(xùn)平臺，滿足教學(xué)、科研、實訓(xùn)和社會培訓(xùn)的相關(guān)工作。

2 關(guān)鍵技術(shù)研究

2.1 云計算技術(shù)

云計算是分布式計算、并行計算、效用計算、網(wǎng)絡(luò)存儲、虛擬化、負載均衡等傳統(tǒng)計算機和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物[3]。開源云計算管理平臺是構(gòu)建實訓(xùn)平臺的理想選擇，具有標準化和開放性的特點，能夠同時提高資源的統(tǒng)一管理與利用效率。OpenStack是業(yè)內(nèi)主流的開源云計算管理平臺，具有標準統(tǒng)一、實施簡單、可大規(guī)模擴展的特性，便于用戶進行二次開發(fā)。

OpenStack包括計算服務(wù)nova、對象存儲swift、鏡像服務(wù)glance、認證服務(wù)keystone和控制臺horizon等核心功能[4]。Keystone模塊主要完成平臺的用戶、角色管理與權(quán)限分配。Swift模塊進行分布式存儲環(huán)境的搭建，具有較強的可擴展性。Glance模塊主要完成靶機的注冊、創(chuàng)建與使用。Nova模塊與Neutron、Cinder等模塊完成網(wǎng)絡(luò)靶場的構(gòu)建。通過該設(shè)計，實現(xiàn)實訓(xùn)平臺的快速部署與實施，滿足攻防環(huán)境的快速切換。

2.2 SDN技術(shù)

SDN即軟件定義網(wǎng)絡(luò)，是網(wǎng)絡(luò)虛擬化的一種實現(xiàn)方式。SDN通過將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離，實現(xiàn)網(wǎng)絡(luò)流量的靈活控制。通過OpenFlow技術(shù)，以圖形化方式自由拖拽各類網(wǎng)絡(luò)設(shè)備，模擬各種真實的目標場景、仿真各類網(wǎng)絡(luò)拓撲。用戶可以在該網(wǎng)絡(luò)空間靶場環(huán)境下，實現(xiàn)各類滲透測試訓(xùn)練。

2.3 Docker技術(shù)

Docker是一個開源的應(yīng)用容器引擎，開發(fā)者將應(yīng)用以及依賴包打包到可移植的容器中，然后發(fā)布到任何流行的Linux機器上。與傳統(tǒng)KVM技術(shù)相比，Docker在宿主機器的操作系統(tǒng)上創(chuàng)建Docker引擎，直接在宿主主機的操作系統(tǒng)上調(diào)用硬件資源，而不是虛擬化操作系統(tǒng)和硬件資源，所以啟動速度快。同時，Docker共享同一個操作系統(tǒng)內(nèi)核，占用資源遠小于虛擬機，便于輕量化部署。

3 網(wǎng)絡(luò)靶場的實現(xiàn)

根據(jù)高校教學(xué)與實訓(xùn)的需求，網(wǎng)絡(luò)靶場由攻防實戰(zhàn)和綜合管理兩大模塊組成，并通過綜合管理云平臺進行統(tǒng)一管理。綜合管理模塊提供對于各類教學(xué)資源的管理與維護，如課程、模板、靶機、題庫等。攻防實戰(zhàn)模塊通過模擬真實環(huán)境，提供教學(xué)實訓(xùn)、攻防對抗等主要功能[5]。

在教學(xué)實訓(xùn)功能中，設(shè)置了網(wǎng)絡(luò)安全、主機安全、數(shù)據(jù)庫安全、應(yīng)用安全、物聯(lián)網(wǎng)安全、工控安全等相關(guān)課程。并根據(jù)內(nèi)容難度，對學(xué)習(xí)項目按照初、中、高進行分類。用戶可以按照能力層級進行自主學(xué)習(xí)，并記錄相關(guān)學(xué)習(xí)信息，便于學(xué)習(xí)者了解學(xué)習(xí)進度，教師也可掌握學(xué)生的成長軌跡。此外，教師可以通過該平臺提供的課程模板，靈活選取各類資源組建課程，滿足不同教師個性化的課程教學(xué)要求。

在攻防對抗功能中，用戶可以根據(jù)實際環(huán)境搭建仿真業(yè)務(wù)系統(tǒng)，也可以模擬外部互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)場景，并通過Docker技術(shù)實現(xiàn)靶機的快速部署。根據(jù)測算，單個靶機占用的磁盤資源平均降低70%以上，占用的內(nèi)存資源平均降低80%以上，啟動速度提高90%以上，適合大批量用戶同時開展實驗實訓(xùn)。由于Docker技術(shù)對于windows系統(tǒng)支持不佳，因此現(xiàn)階段基于windows系統(tǒng)的靶機仍然采用傳統(tǒng)虛擬機方式。但該類靶機占整體靶機的不多，對于用戶使用效果影響較小。后續(xù)隨著Docker技術(shù)對windows平臺的兼容性的提高，可以解決上述問題。攻防對抗可以以個人或者小組方式進行，通過平臺可以實現(xiàn)整個攻防對抗過程的可視化實時展示，提高了趣味性和觀賞性。通過攻防對抗，可以讓學(xué)習(xí)者發(fā)現(xiàn)企業(yè)業(yè)務(wù)系統(tǒng)中存在的真實問題，進而分析解決辦法。

4 結(jié)束語

網(wǎng)絡(luò)空間安全靶場對于信息安全類人才培養(yǎng)具有十分重要的作用。本平臺使用云計算技術(shù)，具有易于擴展、部署靈活的特點。使用SDN技術(shù)，改變傳統(tǒng)平臺對于網(wǎng)絡(luò)技術(shù)的依賴，實現(xiàn)了網(wǎng)絡(luò)的虛擬化。通過docker技術(shù)，實現(xiàn)輕量化的系統(tǒng)部署，提高了實訓(xùn)平臺的承載能力，降低了維護使用成本。通過網(wǎng)絡(luò)空間安全靶場建設(shè)，為高校提高學(xué)生實訓(xùn)技能，培養(yǎng)學(xué)生攻防水平提供了解決辦法，為專業(yè)人才培養(yǎng)提供了有力的支撐。

【參考文獻】

[1]韓挺.網(wǎng)絡(luò)空間安全靶場設(shè)計研究[J].信息安全研究.2018（4）：430-432.

[2]方濱興，賈焰，李愛平，張偉哲.網(wǎng)絡(luò)空間靶場技術(shù)研究[J].信息安全學(xué)報.2016（03）：1-9.

[3]宣樂飛.基于云技術(shù)的網(wǎng)絡(luò)攻防實訓(xùn)平臺設(shè)計與實現(xiàn)[J].計算機時代，2018（06）：26-28.

[4]韓衛(wèi)國，徐明迪.面向賽博空間的網(wǎng)絡(luò)靶場建設(shè)思路[J]. 計算機與數(shù)字工程.2015（08）：1465-1470.

[5]宣樂飛.網(wǎng)絡(luò)空間安全實訓(xùn)平臺的設(shè)計與實現(xiàn)[J].科技視界，2018（8）：36-37.

※基金項目：本文為杭州職業(yè)技術(shù)學(xué)院科研項目《網(wǎng)絡(luò)空間安全靶場設(shè)計與實現(xiàn)》（ky201921）的部分成果。

作者簡介：宣樂飛（1980—），男，浙江杭州人，講師，碩士，主要研究方向為網(wǎng)絡(luò)安全，職業(yè)教育。