為解決信息安全實(shí)驗(yàn)室建設(shè)中所面臨的設(shè)備投資大、實(shí)驗(yàn)環(huán)境構(gòu)建困難等問(wèn)題，本文研究如何以KVM虛擬化為核心構(gòu)建統(tǒng)一的資源管理平臺(tái)，通過(guò)集成各種安全軟件，構(gòu)建一套可滿足密碼學(xué)、入侵檢測(cè)、漏洞掃描技術(shù)等多種實(shí)驗(yàn)要求的綜合性信息安全實(shí)驗(yàn)平臺(tái)，滿足信息安全相關(guān)實(shí)驗(yàn)教學(xué)要求。

【關(guān)鍵詞】KVM虛擬化 信息安全 實(shí)驗(yàn)平臺(tái)

為促進(jìn)信息安全相關(guān)人才培養(yǎng)，2015年教育部增設(shè)了“網(wǎng)絡(luò)空間安全”一級(jí)學(xué)科，面對(duì)這種需求，各院校都在積極開設(shè)信息安全類課程和專業(yè)，但信息安全是一門實(shí)踐性較強(qiáng)的學(xué)科，學(xué)生在掌握了安全理論知識(shí)的基礎(chǔ)上，需要在具體實(shí)驗(yàn)中加深信息安全知識(shí)與技術(shù)的理解，因此，構(gòu)建一個(gè)完善健全的信息安全實(shí)驗(yàn)平臺(tái)是開展相關(guān)教學(xué)的基礎(chǔ)條件。

近年來(lái)一些信息安全設(shè)備公司也開發(fā)了一些安全實(shí)驗(yàn)平臺(tái)，但普遍是以物理服務(wù)器、安全設(shè)備為基礎(chǔ)構(gòu)建，由于信息安全實(shí)驗(yàn)涉及的實(shí)驗(yàn)設(shè)備種類多，更新快，此類方案面臨巨額的持續(xù)資金投入，多數(shù)高校均難以承受。同時(shí)，受限于硬件設(shè)備，實(shí)驗(yàn)平臺(tái)實(shí)際所能完成的實(shí)驗(yàn)項(xiàng)目較為固定，可擴(kuò)展性較差。而隨著虛擬化技術(shù)的發(fā)展，以虛擬化技術(shù)為核心構(gòu)建信息安全實(shí)驗(yàn)平臺(tái)不僅能節(jié)約成本，同時(shí)具備靈活性和高可擴(kuò)展性。因此，選擇適合的虛擬化技術(shù)構(gòu)建信息安全實(shí)驗(yàn)平臺(tái)是一種較為現(xiàn)實(shí)可行的方案。

1 相關(guān)技術(shù)方案對(duì)比研究

如何構(gòu)建信息安全實(shí)驗(yàn)平臺(tái)，國(guó)外的Xiangdong Li、Herbert J.Mattord，以及國(guó)內(nèi)的上海交通大學(xué)信息安全工程學(xué)院等已經(jīng)提供了一些解決思路。總體來(lái)說(shuō)，主要有如下三種類型：

1.1 以現(xiàn)有商用信息安全產(chǎn)品為基礎(chǔ)構(gòu)建以功能驗(yàn)證演示為主的實(shí)驗(yàn)平臺(tái)

這種方案主要采用安全設(shè)備為基礎(chǔ)完成信息安全實(shí)踐平臺(tái)的搭建。但商用的安全產(chǎn)品主要功能是完成安全檢測(cè)和防護(hù)功能，對(duì)并發(fā)性訪問(wèn)支持較差，難以滿足教學(xué)實(shí)驗(yàn)需求；同時(shí)，其設(shè)計(jì)目標(biāo)是功能實(shí)現(xiàn)，難以滿足實(shí)驗(yàn)平臺(tái)對(duì)“交互性”的需求。

1.2 基于網(wǎng)絡(luò)仿真軟件實(shí)現(xiàn)

這種方法依賴于仿真軟件，軟件本身的缺陷難以避免，對(duì)于復(fù)雜網(wǎng)絡(luò)架構(gòu)模擬不完善，商用版本價(jià)格高昂。因此，建議使用開源的網(wǎng)絡(luò)仿真軟件，比如NS2，作為網(wǎng)絡(luò)攻防平臺(tái)的一部分，用于網(wǎng)絡(luò)協(xié)議的研究和網(wǎng)絡(luò)結(jié)構(gòu)研究之用，而不是把它作為綜合實(shí)驗(yàn)平臺(tái)。

1.3 基于商用虛擬化技術(shù)實(shí)現(xiàn)

例如VMware ESXI，雖然其可操作性較好，但其受制于廠商，價(jià)格昂貴，無(wú)法在其基礎(chǔ)上做一些擴(kuò)展性的開發(fā)；而對(duì)于Open Staack等虛擬化平臺(tái)，因其功能組件較為復(fù)雜，學(xué)習(xí)難度大；代碼量龐大，定制式的開發(fā)難度較大。

因此，現(xiàn)有的幾種方案在靈活性、可擴(kuò)展性、開發(fā)便利性上都存在一定問(wèn)題，而目前以KVM為代表的基于Linux kernel的全虛擬化技術(shù)，作為一個(gè)開源的虛擬化解決方案，有大量成熟的API，能夠降低開發(fā)門檻，降低開發(fā)成本，使用KVM為基礎(chǔ)開發(fā)信息安全實(shí)驗(yàn)平臺(tái)是一種較為現(xiàn)實(shí)可行的方案。

2 實(shí)驗(yàn)平臺(tái)設(shè)計(jì)思路

基于虛擬化技術(shù)的信息安全實(shí)驗(yàn)平臺(tái)可使用Cent OS為底層操作系統(tǒng)，采用以KVM為代表的基于Linux kernel的全虛擬化技術(shù)構(gòu)建，提高整個(gè)硬件平臺(tái)的綜合資源利用率，并使用開源軟件進(jìn)行集成，如交換機(jī)：VSwitch，路由器：RouterOS，防火墻：Vyatta，漏洞掃描：Nessus等。

系統(tǒng)可使用KVM虛擬化建立統(tǒng)一資源管理平臺(tái)，簡(jiǎn)化資源管理、調(diào)度的難度，將物理服務(wù)器構(gòu)建成一個(gè)統(tǒng)一、可擴(kuò)充的資源池。繼而通過(guò)運(yùn)行分布式存儲(chǔ)服務(wù)供實(shí)驗(yàn)環(huán)境調(diào)用，通過(guò)系統(tǒng)接口在交換機(jī)、安全設(shè)備的IOS基礎(chǔ)上，構(gòu)建實(shí)驗(yàn)拓?fù)?，供學(xué)生實(shí)驗(yàn)使用。系統(tǒng)可采用B/S結(jié)構(gòu)，使用戶可通過(guò)瀏覽器完成所有操作。系統(tǒng)前臺(tái)頁(yè)面使用HTML5+CSS+Javascript構(gòu)建，后臺(tái)服務(wù)器腳本引擎使用PHP。數(shù)據(jù)庫(kù)系統(tǒng)選擇上，可使用MySql作為整個(gè)系統(tǒng)的數(shù)據(jù)庫(kù)引擎。

系統(tǒng)功能設(shè)計(jì)上，可分為教師管理后臺(tái)和學(xué)生使用前臺(tái)。教師管理后臺(tái)主要功能應(yīng)涵蓋：實(shí)驗(yàn)管理、日程管理、系統(tǒng)仿真、環(huán)境仿真、課程管理等模塊。學(xué)生使用前臺(tái)主要功能應(yīng)涵蓋：學(xué)習(xí)中心、課程表、個(gè)人中心等模塊。

3 結(jié)語(yǔ)

基于此種方案構(gòu)建信息安全實(shí)驗(yàn)平臺(tái)，相對(duì)于傳統(tǒng)方案，具備如下優(yōu)勢(shì)：實(shí)驗(yàn)環(huán)境可實(shí)現(xiàn)定制化調(diào)整，滿足不同領(lǐng)域的實(shí)驗(yàn)需求；利用開源網(wǎng)絡(luò)安全設(shè)備IOS進(jìn)行構(gòu)建，擺脫了硬件的局限，能隨時(shí)進(jìn)行升級(jí)和調(diào)整；傳統(tǒng)基于硬件的實(shí)驗(yàn)平臺(tái)，只能提供統(tǒng)一的實(shí)驗(yàn)環(huán)境，基于虛擬化技術(shù)的實(shí)驗(yàn)平臺(tái)，每個(gè)用戶都可有自己的實(shí)驗(yàn)環(huán)境，靈活性高；傳統(tǒng)的安全實(shí)驗(yàn)平臺(tái)，未使用標(biāo)準(zhǔn)接口，難以二次開發(fā)，而本平臺(tái)主要基于開源系統(tǒng)和軟件構(gòu)建，穩(wěn)定性較好，可擴(kuò)展性好，便于與各種安全和網(wǎng)絡(luò)設(shè)備對(duì)接；基于高校用戶的功能分析，在高校范圍內(nèi)具有更好的應(yīng)用前景。

綜上所述，基于KVM虛擬化技術(shù)構(gòu)建一個(gè)能涵蓋信息安全領(lǐng)域典型安全技術(shù)知識(shí)點(diǎn)，具有可控性和高可擴(kuò)展性的信息安全實(shí)驗(yàn)平臺(tái)系統(tǒng)能最大限度滿足信息安全類課程的實(shí)驗(yàn)教學(xué)需求。

參考文獻(xiàn)

[1]史景慧.網(wǎng)絡(luò)安全虛擬實(shí)驗(yàn)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2012.

[2]李祥池.基于SDN的網(wǎng)絡(luò)攻防平臺(tái)的研究與實(shí)現(xiàn)[D].濟(jì)南：山東大學(xué)，2015.

[3]俞立峰，楊瓊.信息安全虛擬實(shí)踐教學(xué)平臺(tái)的構(gòu)建[J].計(jì)算機(jī)時(shí)代，2014（02）：18-19+24.

[4]徐川，唐建，唐紅.網(wǎng)絡(luò)攻防對(duì)抗虛擬實(shí)驗(yàn)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2011（04）：1268-1271.

作者簡(jiǎn)介

李蒙（1980-），男，遼寧省沈陽(yáng)市人。海軍航空工程學(xué)院學(xué)士學(xué)位。現(xiàn)為青島工學(xué)院講師。研究方向?yàn)閿?shù)據(jù)中心虛擬化、網(wǎng)絡(luò)安全。

作者單位

青島工學(xué)院 山東省青島市 266300