您好, 访客   登录/注册

高校网络空间安全靶场设计与实现

来源:用户上传      作者:

  【摘 要】网络靶场是实现网络安全技术研究、网络安全人才培养的重要平台。利用开源云计算技术open stack,完成网络空间安全靶场的搭建。通过综合云管理平台,对教学实验、综合实战、仿真实战、攻防对抗等功能进行集中监控与管理。使用Docker技术,快速生成靶机,为高校信息安全类专业开展实训教学提供快速响应的实战训练环境。
  【关键词】网络空间;靶场;云计算;Docker
  中图分类号: TP393.08 文献标识码: A 文章编号: 2095-2457(2019)11-0087-002
  DOI:10.19694/j.cnki.issn2095-2457.2019.11.038
  【Abstract】Network shooting range is an important platform for the research of network security technology and the training of network security talents. Open stack, an open source cloud computing technology, is used to build a safe shooting range in cyberspace. Through the integrated cloud management platform, the functions of teaching experiment, integrated combat, simulation combat, attack and defense confrontation are centralized monitored and managed. Docker technology is used to generate target machine quickly, which provides a fast response training environment for information security major in Colleges and universities to carry out practical teaching.
  【Key words】Cyberspace; Shooting range; Cloud computing; Docker
  0 引言
  信息安全是国家安全的重要组成部分,已经上升到与政治安全、经济安全、领土安全等并驾齐驱的战略高度。“没有网络安全就没有国家安全”,而“网络空间的竞争,归根结底是人才竞争”。网络靶场可拟真网络空间环境,开展网络空间安全研究、学习、测试、验证、演练等活动,成为现阶段研究的热点[1]。
  1 研究现状
  网络空间安全靶场的发展主要包括三个阶段, 第一阶段主要针对病毒、木马等攻击武器建立基于实物的高仿真环境[2]。在此阶段, 根据攻击目标的软硬件平台, 建立尽可能相似的软硬件平台,用于测试攻击武器能否成功绕过攻击目标的防护软件,主要包括蜜罐系统、木马测试系统等。第二阶段是小型虚拟化互联网靶场时期。在此阶段,云计算、SDN等虚拟技术是该阶段的主流技术,通过提供虚拟环境模拟真实的互联网攻防过程。第三阶段是支撑泛在网的大型虚实结合网络空间靶场。由于“震网”、“火焰”等针对工控网的新型网络攻击突现, 网络空间靶场的研究目标转向实现虚实结合的网络空间靶场技术。高校作为信息安全类人才培养的承担者,亟需相应的实训平台,满足教学、科研、实训和社会培训的相关工作。
  2 关键技术研究
  2.1 云计算技术
  云计算是分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机和网络技术发展融合的产物[3]。开源云计算管理平台是构建实训平台的理想选择,具有标准化和开放性的特点,能够同时提高资源的统一管理与利用效率。OpenStack是业内主流的开源云计算管理平台,具有标准统一、实施简单、可大规模扩展的特性,便于用户进行二次開发。
  OpenStack包括计算服务nova、对象存储swift、镜像服务glance、认证服务keystone和控制台horizon等核心功能[4]。Keystone模块主要完成平台的用户、角色管理与权限分配。Swift模块进行分布式存储环境的搭建,具有较强的可扩展性。Glance模块主要完成靶机的注册、创建与使用。Nova模块与Neutron、Cinder等模块完成网络靶场的构建。通过该设计,实现实训平台的快速部署与实施,满足攻防环境的快速切换。
  2.2 SDN技术
  SDN即软件定义网络,是网络虚拟化的一种实现方式。SDN通过将网络设备控制面与数据面分离,实现网络流量的灵活控制。通过OpenFlow技术,以图形化方式自由拖拽各类网络设备,模拟各种真实的目标场景、仿真各类网络拓扑。用户可以在该网络空间靶场环境下,实现各类渗透测试训练。
  2.3 Docker技术
  Docker是一个开源的应用容器引擎,开发者将应用以及依赖包打包到可移植的容器中,然后发布到任何流行的Linux机器上。与传统KVM技术相比,Docker在宿主机器的操作系统上创建Docker引擎,直接在宿主主机的操作系统上调用硬件资源,而不是虚拟化操作系统和硬件资源,所以启动速度快。同时,Docker共享同一个操作系统内核,占用资源远小于虚拟机,便于轻量化部署。
  3 网络靶场的实现
  根据高校教学与实训的需求,网络靶场由攻防实战和综合管理两大模块组成,并通过综合管理云平台进行统一管理。综合管理模块提供对于各类教学资源的管理与维护,如课程、模板、靶机、题库等。攻防实战模块通过模拟真实环境,提供教学实训、攻防对抗等主要功能[5]。   在教学实训功能中,设置了网络安全、主机安全、数据库安全、应用安全、物联网安全、工控安全等相关课程。并根据内容难度,对学习项目按照初、中、高进行分类。用户可以按照能力层级进行自主学习,并记录相关学习信息,便于学习者了解学习进度,教师也可掌握学生的成长轨迹。此外,教师可以通过该平台提供的课程模板,灵活选取各类资源组建课程,满足不同教师个性化的课程教学要求。
  在攻防对抗功能中,用户可以根据实际环境搭建仿真业务系统,也可以模拟外部互联网业务系统场景,并通过Docker技术实现靶机的快速部署。根据测算,单个靶机占用的磁盘资源平均降低70%以上,占用的内存资源平均降低80%以上,启动速度提高90%以上,适合大批量用户同时开展实验实训。由于Docker技术对于windows系统支持不佳,因此现阶段基于windows系统的靶机仍然采用传统虚拟机方式。但该类靶机占整体靶机的不多,对于用户使用效果影响较小。后续随着Docker技术对windows平台的兼容性的提高,可以解决上述问题。攻防对抗可以以个人或者小组方式进行,通过平台可以实现整个攻防对抗过程的可视化实时展示,提高了趣味性和观赏性。通过攻防对抗,可以让学习者发现企业业务系统中存在的真实问题,进而分析解决办法。
  4 结束语
  网络空间安全靶场对于信息安全类人才培养具有十分重要的作用。本平台使用云计算技术,具有易于扩展、部署灵活的特点。使用SDN技术,改变传统平台对于网络技术的依赖,实现了网络的虚拟化。通过docker技术,实现轻量化的系统部署,提高了实训平台的承载能力,降低了维护使用成本。通过网络空间安全靶场建设,为高校提高学生实训技能,培养学生攻防水平提供了解决办法,为专业人才培养提供了有力的支撑。
  【参考文献】
  [1]韩挺.网络空间安全靶场设计研究[J].信息安全研究.2018(4):430-432.
  [2]方濱兴,贾焰,李爱平,张伟哲.网络空间靶场技术研究[J].信息安全学报.2016(03):1-9.
  [3]宣乐飞.基于云技术的网络攻防实训平台设计与实现[J].计算机时代,2018(06):26-28.
  [4]韩卫国,徐明迪.面向赛博空间的网络靶场建设思路[J]. 计算机与数字工程.2015(08):1465-1470.
  [5]宣乐飞.网络空间安全实训平台的设计与实现[J].科技视界,2018(8):36-37.
  ※基金项目:本文为杭州职业技术学院科研项目《网络空间安全靶场设计与实现》(ky201921)的部分成果。
  作者简介:宣乐飞(1980—),男,浙江杭州人,讲师,硕士,主要研究方向为网络安全,职业教育。
转载注明来源:https://www.xzbu.com/8/view-14839805.htm