基于公有云的信息安全攻防平台研究与实现

◆冷 令



基于公有云的信息安全攻防平台研究与实现

◆冷 令

（中山职业技术学院 广东 528400）

随着云计算和虚拟化技术的不断成熟，尤其是公有云服务的快速发展，开发者可以方便的整合上游的服务和下游最终用户，打造新的价值链和生态系统。本文以公有云为载体，设计并实现一个基于B/S架构的信息安全攻防平台。该平台以攻击与防护理论学习为基础，加深学生对信息安全诸多领域的深入理解，支持多方面的实训及工程实践，涵盖多层次的实验操作，以真实环境的真实攻防演练为指南。同时，平台通过端口映射技术联动校内的另一套硬件网络攻防设备。

云计算；信息安全攻防平台；虚拟化；公有云

0 引言

随着信息技术的飞速发展，网络安全威胁也日益增长。针对高校的信息安全专业人才培养也提出了更高的要求，传统的攻防平台都是基于真实的网络和物理设备搭建，不仅费用高昂，而且网络攻防演练很可能会对真实网络设备和主机造成一定危害，所以研究如何实现有效的搭建和管理信息安全攻防演练平台成为培育信息安全人才的重要课题。

本平台基于公有云资源，利用B/S架构为学生提供模拟网络攻击与防护的场景，平台以知识点管理为中心、学习活动为驱动，结合学生自主搭建模拟攻防环境，共同提供一套辅助性培训信息化解决方案。创新性的引进了公有云平台教学的理念、模拟网络攻击与防护环境，可将面授课堂及网络攻击过程完全搬到网络平台进行。

1 基于云平台的信息安全攻防平台总体功能

通过分析当前主流的网络攻防平台技术，包括基于仿真的网络攻防平台、基于传统技术的网络攻防平台和基于虚拟化技术的网络攻防平台，吸收现有平台技术的优点，给出一种适用高校教学实验环境的基于公有云平台的信息安全攻防系统的技术方案，研究和实现基于公有云的信息安全攻防平台。

平台包括挑战模式和对抗模式两种模式。挑战模式是由系统提供若干套靶场环境，学员进行渗透，目标为固定目标，主要提高学生的渗透能力；对抗模式每小组分别由2个渗透学员和1名防护学员组成，除了攻击其他小组目标时，还要针对本团队目标进行防护，防止其他学员攻击本组目标，主要考核学员在安全防护过程中的应变能力。

1.1 公有云平台选用

公有云通常指第三方提供商为用户提供的能够使用的云，公有云一般通过 Internet 使用，免费或成本低廉，公有云的核心属性是共享资源服务。它使客户能够访问和共享基本的计算机基础设施，其中包括硬件、存储和带宽等资源。除了通过网络提供服务外，客户只需为他们使用的资源支付费用。此外，由于组织可以访问服务提供商的云计算基础设施，因此他们无需担心自己安装和维护的问题。

由于目前国内并未完全开放外国公司在中国大陆地区直接进行云计算业务，因此导致像亚马孙、IBM等国外厂商在中国市场水土不服。目前，国内公有云市场以阿里云、腾讯云为代表的服务提供商不断发展，让云服务的深度和广度得到进一步延伸。本系统在综合评估效能、成本、安全性等方面指标后，最终选用阿里云PaaS作为攻防平台载体。

1.2 系统总体设计

开发的信息安全攻防实验平台集成阿里云平台技术，整合现有蓝盾实验室硬件环境，实现网络攻防实验环境的配置分发，给学生提供了真实的攻防环境。同时，系统利用虚拟机技术，快速地恢复整个实验网络系统，减少实验室配置人员的工作量。该平台总体结构如图1所示，网络攻防实验系统由控制端、实验及用户信息数据库、服务器等组成，阿里云平台集成在实验系统中，提供虚拟靶机的环境。教师或学生可以登录实验系统，进行实验上传和分发，以及进行相应的实验操作。

图1 信息安全攻防平台总体结构

本系统采用 B/S总体构架，系统按对象分模块进行设计，平台由挑战模式和对抗模式组成。所设计的模块有用户信息管理模块、实验操作平台和评分记录系统。在实验操作平台中设置按钮，当学生进入实验操作平台并点击按钮，学生将自动进入相应的实验。该系统拟分为4层：GUI（图形用户界面层）、应用逻辑层、业务逻辑层以及数据层[4]，如图2所示。

网站平台构建采用PHP+MySQL +Apache的架构，以Zend Studio作为开发环境。系统配置使用phpstudy程序集成包，通过在Windows系统上部署Phpstudy，而该程序包集成最新的PHP+MySQL+Apache+phpMyAdmin+ZendOptim-izer一次性安装，无须配置即可使用，成功创建一个方便好用的PHP调试环境。PHP+Mysql+Apache是目前稳定、成熟、安全的Web开发技术，其成熟的架构，稳定的性能，嵌入式开发方式和简洁的语法为本网站的开发提供了很大的可行性和便利性。网站的开发主要包括前端页面的开发和后台数据库的建立及维护两个方面，定义了管理和用户的两个功能模块，为此实现不同的功能需求[5]。

图2 信息安全攻防平台结构层次

1.3 用户界面功能设计

（1）系统首页

用户登录成功后首先进入的是攻防平台的首页界面，在此界面中可看到关于安全攻防平台的信息介绍，用户可点击页面上的进入练习按钮进入攻防练习界面进行练习，点击平台首页页面上的进入练习按钮，进入攻防练习主页；攻防练习类型主要分为挑战练习和对抗练习；用户可根据个人练习内容进入挑战练习界面或进入对抗练习界面，进行攻防练习学习。如图3所示。

图3 系统首页

（2）知识库

知识库是对本平台中所涉及到网络安全知识从概念原理和简单应用两方面对知识进行详细全面地描述和讲解，同时对没有涉及到的知识进行补充。当用户在平台训练中遇到不熟悉的问题，或是对靶机漏洞不太了解时，能够填补知识的空白。主要涉及XSS原理及应用、权限绕过、暴力破解、SQL注入、漏洞扫描、密码破解、Webshell上传等方面。

（3）挑战练习

挑战练习科目分为五大类，分别为：基础关、脚本关、注入关、上传关和解密关；每个类别中再根据需求对练习题目进行再次分类。以基础关为例，主要包括判断题和选择题两大类，点击判断题或选择题按钮即可进入相应题目类型的练习界面；判断题或选择题练习界面的左侧显示题目列表，用户可通过点击选择要作答的题目；页面右侧显示用户所选题目的题目标题、题目内容及个人作答的答案，用户点击提交答案后，可通过点击查看答案查看个人作答的对错或显示正确答案。如图4所示。

图4 挑战练习示例

（4）对抗练习

对抗练习界面主要用于多人模拟对抗攻防的演练；该界面通过端口映射技术链接进入到开放的云安全攻防练习平台--蓝盾攻防练习平台。

图5 对抗练习示例

2 总结

对于信息安全，放在不同的维度来看会有不同的社会、经济效益。放在国家层面，信息安全代表着国家安全和利益；放在企业层面，信息安全代表着资产安全与系统安全；放在个人层面，信息安全代表着人权与个人隐私。因此，用辩证与多角度的视野来审视安全问题，会让我们对信息安全有着全面的认识。在面对日益复杂的国际、国内环境下，加大信息安全技术产品的研发投入尤为重要，本文介绍了一种适用高校教学实验环境的基于公有云的信息安全攻防平台技术方案，为学生提供了综合仿真的实训环境，有效的调动了学生的学习兴趣，提高专业技能操作水平。

[1]冷令,吴伟斌.光纤网络中多通道最优选取的路由协议设计[J].激光技术，2017.

[2]余姜德,梁本来,冷令.高职信息安全专业实训课程与实训平台构建探索[J].广东职业技术教育与研究，2018.

[]张容齐.基于云计算平台的服务自动化部署机制研究[D].北京邮电大学，2015.

黄晓芳.网络攻防实验平台开发与实现[J].实验技术与管理，2017.

陈昕等.云技术网络攻防实验平台的研究与实现[J].网络空间安全，2017.

2018年度中山职业技术学院校级科研项目（一般项目）：基于云平台的网络攻防系统研究与实现（2018KQ11）。