侯海燕　趙鼎　白光安

[摘要]信息安全技能競賽是全國大學生信息安全綜合賽事，是國家工業(yè)和信息化部信息安全協(xié)調(diào)指導的綜合網(wǎng)絡(luò)類競技比賽。競賽影響力很大，是各地人力資源和社會保障部門認可的競技比賽，為信息安全相關(guān)企業(yè)輸送了大量人才。目前高校開設(shè)的計算機網(wǎng)絡(luò)安全類課程偏重理論教學，課程缺乏綜合性的實訓實踐平臺支撐，信息安全中常見的攻防實驗和滲透實驗無法開展。本文研究設(shè)計并實現(xiàn)了基于云服務(wù)器安裝與部署的信息安全攻防實訓平臺。在云服務(wù)器上鏡像出特定的網(wǎng)絡(luò)操作系統(tǒng)，可進行系統(tǒng)防御、系統(tǒng)加固、系統(tǒng)滲透實驗。

[關(guān)鍵詞]信息安全；云服務(wù)器；設(shè)計

1背景技術(shù)

1.1云計算技術(shù)

云計算是一種Ⅱ資源的交付和使用模式，通過網(wǎng)絡(luò)以按需、易擴展的方式獲得所需的硬件、平臺、軟件及服務(wù)等資源?！霸啤钡挠嬎隳芰νǔＪ怯煞植际降拇笠?guī)模集群和服務(wù)器虛擬化軟件搭建。云計算技術(shù)具有以下特點：①云計算系統(tǒng)提供的是服務(wù)。服務(wù)實現(xiàn)機制對用戶透明，用戶無需了解云計算工作原理，就可獲得所需服務(wù)。②按需、自動服務(wù)。用戶可以根據(jù)自己的需求，通過網(wǎng)絡(luò)申請服務(wù)、調(diào)研。當不需要服務(wù)時，服務(wù)方可以及時進行資源的回收及重新配置。③快速、彈性?？梢詣討B(tài)伸縮，滿足應(yīng)用和用戶變化的需求。服務(wù)方可以根據(jù)訪問用戶的多少增減資源（包括CPU、存儲、寬帶和軟件應(yīng)用等），從而可以快速并彈性地為用戶提供不同的服務(wù)。④虛擬化。云計算技術(shù)將硬件設(shè)備通過虛擬技術(shù)形成資源池，部署在物理服務(wù)器中，用戶使用云服務(wù)時無需了解這些服務(wù)具體在哪一臺物理設(shè)備上。云服務(wù)器的存在是為了解決硬件資源利用率低下分配不合理等而產(chǎn)生的，它是以提高物理資源利用率和降低整體擁有成本為目的。此外，還提供了完備的高可用性、動態(tài)資源調(diào)整、動態(tài)資源擴展等高級功能，本項目以云服務(wù)器為關(guān)鍵組件。

1.2虛擬化技術(shù)

虛擬化技術(shù)為云計算服務(wù)提供基礎(chǔ)架構(gòu)層面的支撐，是ICT服務(wù)快速走向云計算的最主要驅(qū)動力。虛擬化是一種在軟件中仿真計算機硬件，以虛擬資源為用戶提供服務(wù)的計算形式。旨在合理調(diào)配計算機資源，使其更高效地提供服務(wù)。它把應(yīng)用系統(tǒng)各硬件間的物理劃分打破，從而實現(xiàn)架構(gòu)的動態(tài)化，實現(xiàn)物理資源的集中管理和使用。虛擬化的最大好處是增強系統(tǒng)的彈性和靈活性，降低成本、改進服務(wù)、提高資源利用效率。

在虛擬化技術(shù)領(lǐng)域中，以X86體系結(jié)構(gòu)虛擬化為代表。VMware公司目前在大力發(fā)展用于云計算基礎(chǔ)架構(gòu)的虛擬化技術(shù)，推出了面向云計算的一系列產(chǎn)品，用于云計算基礎(chǔ)架構(gòu)的部署與配置。采用虛擬化技術(shù)可以緩解信息安全面臨的難題，主要表現(xiàn)在：①高可用性。在不影響用戶的情況下對物理資源進行刪除、升級、更改。②高擴展性。虛擬化技術(shù)采用動態(tài)方式部署，可以根據(jù)不同產(chǎn)品對資源的需求支持比物理資源小或大得多的虛擬資源。③高安全性。虛擬化技術(shù)可以實現(xiàn)簡單的共享機制，這便于實現(xiàn)對數(shù)據(jù)和服務(wù)的控制和安全訪問。

2信息安全攻防平臺的設(shè)計與實現(xiàn)

2.1硬件平臺框圖設(shè)計

該設(shè)計可實現(xiàn)在實驗室內(nèi)網(wǎng)環(huán)境中利用虛擬機技術(shù)進行系統(tǒng)防御、系統(tǒng)加固、系統(tǒng)滲透等實驗。創(chuàng)新團隊自主設(shè)計信息安全實驗和實驗環(huán)境，在實訓平臺中部署多個實驗靶機，供學生端訪問而不干擾，保證實驗環(huán)境安全無破壞。結(jié)構(gòu)框圖如圖1。

圖1是一種基于云服務(wù)器的信息安全實驗教學平臺的網(wǎng)絡(luò)拓撲圖，其包括云服務(wù)器或者云服務(wù)器群1、防火墻2/3、教師機4、學生機7/8、核心交換機5、模擬外網(wǎng)的路由器6、LAN A、LAN B。LAN A和LAN B學生接入的兩個內(nèi)部網(wǎng)絡(luò)，連接到LAN A的學生端7可通過核心交換機5訪問云服務(wù)器或云服務(wù)器群1上的虛擬靶機和文件服務(wù)器，連接到LAN B的教師端4、連接LAN B的學生端8通過防火墻2/3構(gòu)建的VPN網(wǎng)絡(luò)同時訪問云服務(wù)器端的虛擬靶機和文件服務(wù)器。防火墻2和防火墻3通過路由器6模擬的外網(wǎng)相連，可供LANA和LAN B的學生雙方進行防火墻安全類實驗，包括防火墻基本配置、防火墻高級配置、防火墻VPN隧道配置、防火墻過濾類實驗配置。LAN A和LAN B的學生機安裝有Windows server 2003、Windows XP、Linux操作系統(tǒng)。可進行本地系統(tǒng)加固、網(wǎng)絡(luò)嗅探等實驗，也可同時進行場外網(wǎng)絡(luò)攻防對抗類實驗。教師端4接人到LAN B中，經(jīng)由防火墻VPN鏈路接人到云服務(wù)器中，將實驗指導書云存儲到云服務(wù)器中。學生端7/8可經(jīng)由網(wǎng)絡(luò)從云服務(wù)器中下載實驗指導書并上傳實驗成果至云服務(wù)器中，防火墻采用神碼FW1800S，核心交換機采用神碼交換機$5900。

2.2云服務(wù)搭建與部署

該實驗教學平臺通過網(wǎng)絡(luò)組網(wǎng)技術(shù)將云服務(wù)器、防火墻、交換路由設(shè)備、學生端和教師端構(gòu)成一個物理互通網(wǎng)絡(luò)，其中云服務(wù)器底層云服務(wù)支持是H3Cloud。H3Cloud云計算解決方案通過標準的IEEE802.10bg（EVB）技術(shù)，將網(wǎng)絡(luò)管理邊界延伸至虛擬機和虛擬交換機。在云服務(wù)器中創(chuàng)建多種操作系統(tǒng)（Windows XP，Windows server 2003和Linux）做實驗操作系統(tǒng)模板，模擬各操作系統(tǒng)可能出現(xiàn)的安全實驗環(huán)境。①同一操作系統(tǒng)屬于同一虛擬網(wǎng)段，每種操作系統(tǒng)又可鏡像克隆出多個虛擬主機。②教師端通過管理地址登錄到云服務(wù)器，為學生端創(chuàng)建登錄用戶名和實驗操作系統(tǒng)模板。③學生端由教師分配的用戶名登錄云服務(wù)器的虛擬靶機中進行安全實驗，保證多終端遠程登錄同一實驗環(huán)境且互不干擾。④云服務(wù)器中還需要安裝文件服務(wù)器，教師通過云端將實驗指導書和實驗素材上傳云端，供學生端下載和上傳。教師可根據(jù)特定的實驗要求靈活制作特定的操作系統(tǒng)實驗鏡像文件，在云服務(wù)器上克隆出足夠的虛擬機做實驗靶機，滿足學生同時進行同一實驗的要求，且對學生端和教師端的安裝和配置沒有要求。

為了避免用戶之間的干擾每個用戶必須有獨立的接人賬號。H3CCloud原來的賬號控制，開發(fā)了適合我們實際學習環(huán)境的賬號控制系統(tǒng)，系統(tǒng)由mysql提供后臺數(shù)據(jù)支撐用戶密碼采用rod5方式加密后存儲，一個用戶可以有多個角色，每個角色有且只有一個對應(yīng)環(huán)境模板。用戶的概念就相當于每個使用者包括老師。學生等等，角色的概念就相當于每一節(jié)課的學習內(nèi)容，老師的賬號可以操作學生的賬號，包括更改角色。密碼、別名等等如圖2更改角色。上課前老師批量把學生角色該成對應(yīng)上課類容的角色，學生上課的時候拿著自己的用戶名和密碼去登陸賬號控制系統(tǒng)，驗證通過后我們會直接將頁面調(diào)到H3Cloud的CIC管理頁面，然后學生直接運行老師之前部署好的該節(jié)課對應(yīng)的學習環(huán)境，整個過程是透明的，所以不會影響學生的用戶體驗。等下課后老師統(tǒng)一回收上節(jié)課的資源然后重新部署這樣對別的班的學生過來上一樣的課程則沒有任何影響，并且我們的賬號控制也是基于B/S架構(gòu)所以和CIC控制界面的過度非常友好。

3結(jié)語

基于云服務(wù)器的虛擬靶機構(gòu)成的信息安全實訓平臺可以實現(xiàn)一個安全的實驗環(huán)境，實現(xiàn)本地網(wǎng)絡(luò)安全實驗環(huán)境和遠程網(wǎng)絡(luò)對抗安全實驗環(huán)境。該實訓平臺還可以實現(xiàn)實驗指導書和實驗成果的發(fā)放和上交，形成一個實時教學實驗教學平臺。云服務(wù)器中可以根據(jù)信息安全實驗要求靈活制作靶機鏡像文件，部署靶機環(huán)境，達到統(tǒng)一實驗、安全實驗的目的。

[責任編輯：楊玉潔]