基于虛擬化和業(yè)務(wù)化的攻防演練平臺的研究

朱璽， 張黎首

(國網(wǎng)上海市電力公司信息通信公司，上海200122)

0 引言

隨著信息化的快速發(fā)展，各行業(yè)對于信息化的依賴越來越高，信息系統(tǒng)的基礎(chǔ)性、全局性作用越來越強。信息化在帶來效能的同時，病毒感染、黑客攻擊也極大威脅著企業(yè)的網(wǎng)絡(luò)安全與應(yīng)用安全［1，2］。

為了進一步提升安全人員的攻防技能，并能利用常見的攻擊方式對測試系統(tǒng)進行模擬攻擊，測試出應(yīng)用系統(tǒng)自身的抗攻擊能力和安全配置的實效性［3］，進而能夠提出安全策略修訂和相關(guān)加固方案，確保應(yīng)用系統(tǒng)的安全性，需要進行信息安全攻防演練平臺的建設(shè)。

目前業(yè)界知名的信息安全攻防演練平臺，主要是國外開源機構(gòu)發(fā)布的基于主流的漏洞的模擬環(huán)境。主要有Webgoat、dvwa和Linux－Metasploitable。Webgoat是知名應(yīng)用安全機構(gòu)OWASP發(fā)布的一個基于OWASP TOP 10的一個教學(xué)環(huán)境，主要覆蓋Web常見經(jīng)典漏洞，SQL(關(guān)系化數(shù)據(jù)庫查詢語言)注入、跨站腳本等等，dvwa與之類似。linux－Metasloit是著名的Rapid7公司為其滲透測試產(chǎn)品量身定制的Vmware Workstation漏洞虛擬機，其主要覆蓋系統(tǒng)層漏洞，切中滲透攻擊的展示。

基于虛擬化和業(yè)務(wù)化安全攻防演練平臺(以下簡稱攻防演練平臺)，可進行主流網(wǎng)絡(luò)層(IP層等)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件系統(tǒng)等的漏洞攻擊防護測試，提供培訓(xùn)、演練、測試的平臺，培養(yǎng)信息安全專家隊伍，不斷提升公司人員信息安全技術(shù)水平［4，5］。另外通過引入虛擬化技術(shù)可以極大的方便對于漏洞環(huán)境的備份、恢復(fù)等，攻防環(huán)境在攻擊和測試過程中不會遭受到破壞;同時結(jié)合行業(yè)業(yè)務(wù)引入業(yè)務(wù)系統(tǒng)的仿真模擬訓(xùn)練環(huán)境，這樣彌補了傳統(tǒng)的漏洞環(huán)境的生硬，牽強，對于一些業(yè)務(wù)安全漏洞，有了更好的展示，有利于訓(xùn)練人員理解和接收。

1 虛擬化和業(yè)務(wù)化的關(guān)鍵技術(shù)分析

1.1 虛擬化

虛擬化，是指通過虛擬化技術(shù)將一臺計算機虛擬為多臺邏輯計算機。在一臺計算機上同時運行多個邏輯計算機，每個邏輯計算機可運行不同的操作系統(tǒng)，并且應(yīng)用程序都可以在相互獨立的空間內(nèi)運行而互不影響，從而顯著提高計算機的工作效率。虛擬化的主要目的是對IT基礎(chǔ)設(shè)施進行簡化。它可以簡化對資源以及對資源管理的訪問。目前在服務(wù)器市場上應(yīng)用的虛擬化產(chǎn)品主要是VMware的產(chǎn)品，包括GSX Server和ESX Server，本攻防演練平臺中采用ESX server進行實現(xiàn)。VMware ESX Server適用于任何系統(tǒng)環(huán)境的企業(yè)級的虛擬計算機軟件，基本上支持所有類型的操作系統(tǒng)(LINUX、WINDOWS、UNIX等)，同時可以實現(xiàn)服務(wù)器部署整合，構(gòu)建復(fù)雜的網(wǎng)絡(luò)業(yè)務(wù)環(huán)境，是攻防演練平臺的首選。在攻防演練平臺中，虛擬化的應(yīng)用主要體現(xiàn)在虛擬化技術(shù)的使用和虛擬化API接口的調(diào)用。

1.1.1 虛擬化技術(shù)的使用

漏洞環(huán)境虛擬化處理是攻防演練平臺中最為重要和關(guān)鍵的技術(shù)，主要使用的虛擬化處理功能是虛擬操作系統(tǒng)、虛擬化的快照管理功能、硬件虛擬技術(shù)。

虛擬操作系統(tǒng)的技術(shù)，主要是指虛擬各種各樣類型的操作系統(tǒng)。由于信息安全的快速發(fā)展，信息安全漏洞出現(xiàn)在各種各樣的操作系統(tǒng)中，針對這些操作系統(tǒng)的虛擬化是攻防演練平臺的基礎(chǔ)工作。在很多低版本的操作系統(tǒng)中，操作系統(tǒng)本身自帶了很多安全漏洞(如windows2000系統(tǒng))，直接在ESX中部署這個操作系統(tǒng)即構(gòu)成了一個漏洞環(huán)境。虛擬操作系統(tǒng)的技術(shù)還有一個重要的特性就是，部署后的操作系統(tǒng)，可以直接對其進行克隆為部署應(yīng)用層漏洞環(huán)境的底層操作系統(tǒng)。

虛擬化的快照管理功能，是使用虛擬機的快照管理功能，對漏洞環(huán)境進行當(dāng)前狀態(tài)下的快照存儲，該技術(shù)支持“內(nèi)存快照“，可以使用該技術(shù)對每一個部署好的漏洞環(huán)境進行快照，在下一次演練測試之前，恢復(fù)到記錄好的快照進而保證漏洞環(huán)境的準確可用，并且不用擔(dān)心演練破壞攻防實驗環(huán)境。

硬件虛擬技術(shù)，主要是指虛擬化技術(shù)對硬件的虛擬，比如虛擬網(wǎng)卡，虛擬網(wǎng)絡(luò)設(shè)備，虛擬USB接口。應(yīng)用于攻防演練平臺中，主要通過虛擬化技術(shù)，把攻擊鏈路以及管理連路分別映射到不同的物理網(wǎng)卡。虛擬機網(wǎng)絡(luò)隔離與管理鏈路隔離，在目標虛擬機上無法感知到管理鏈路的存在。另外是通過使用虛擬機交換機(vswitch)建立復(fù)雜的演練網(wǎng)絡(luò)環(huán)境，演練中攻擊一方必須通過滲透手段擺渡到虛擬的DMZ(安全隔離區(qū)域)區(qū)才能完成演練任務(wù)。

虛擬化技術(shù)應(yīng)用于攻防演練平臺中，不僅可以簡化管理漏洞環(huán)境，還可以將“虛擬機“抽象為單個單元的漏洞，通過部署不同的虛擬機來實現(xiàn)演練平臺的漏洞添加，極大的保證了攻防演練平臺的可擴展性。

1.1.2 虛擬化API接口的調(diào)用

VMWare為ESX產(chǎn)品及其組件開放了 API以及提供了不同的SDK(軟件集成化開發(fā)工具組件)，以便開發(fā)者開發(fā)出自己的VMWare客戶端。vSphere是VMware的旗艦產(chǎn)品，是基于云的新一代數(shù)據(jù)中心虛擬化套件，包含了諸如 ESX/ESXi，vCenter，vSphere Client等組件，提供了虛擬化基礎(chǔ)架構(gòu)、高可用性、集中管理、監(jiān)控等一整套解決方案。VMWare針對vSphere提供了完整的 API及 Web Servicess SDK。

如圖1所示［6］，ESX server提供了Webservice API以及各種各樣的SDK，對于使用其他語言和環(huán)境來進行二次開發(fā)和調(diào)用提供了極大的方便。在攻防演練平臺中，可以調(diào)用API接口進行二次開發(fā)，開發(fā)更方便和直觀具備企業(yè)信息和特性的攻防演練平臺管理端。

圖1 ESX API概覽

1.2 業(yè)務(wù)化

攻防演練平臺是一個信息安全漏洞攻防演練平臺，漏洞環(huán)境必須包含行業(yè)的業(yè)務(wù)系統(tǒng)、業(yè)務(wù)安全漏洞，才能發(fā)揮更大的價值。國內(nèi)知名漏洞網(wǎng)站烏云(http://www.wooyun.org)有大量的漏洞數(shù)據(jù)，對其分析發(fā)現(xiàn)同一個類型的漏洞，在不同的行業(yè)系統(tǒng)中，其安全風(fēng)險值是不一樣的。另外攻防演練平臺中如果沒有行業(yè)所對應(yīng)的業(yè)務(wù)系統(tǒng)，將無法發(fā)揮其模擬效果，不能有效的培訓(xùn)企業(yè)的信息安全工作人員。

攻防演練平臺的業(yè)務(wù)化主要體現(xiàn)在業(yè)務(wù)系統(tǒng)上，一是根據(jù)企業(yè)所屬行業(yè)不同，搭建不同的行業(yè)業(yè)務(wù)系統(tǒng);二是明確企業(yè)的核心信息系統(tǒng)和核心數(shù)據(jù)。例如，電力行業(yè)業(yè)務(wù)系統(tǒng)是“SGERP”系統(tǒng)，通過平臺集中、業(yè)務(wù)融合、決策智能、安全使用等理念，將發(fā)電、輸電、調(diào)度等具體應(yīng)用納入到整體信息化建設(shè)過程中來;那么核心信息系統(tǒng)一般是行業(yè)的信息系統(tǒng)，核心數(shù)據(jù)即是核心系統(tǒng)所對應(yīng)的管理數(shù)據(jù)、用戶數(shù)據(jù)等等。

攻防演練平臺中業(yè)務(wù)化的另外一個體現(xiàn)是部署常見的業(yè)務(wù)系統(tǒng)，比如人力資源系統(tǒng)、OA辦公系統(tǒng)、門戶網(wǎng)站系統(tǒng)、郵件系統(tǒng)等，這些系統(tǒng)是在各個行業(yè)均存在，且是黑客攻擊的重點，是攻防演練平臺的一個重要體現(xiàn)。

2 攻防演練平臺的總體設(shè)計

2.1 設(shè)計原則

在規(guī)劃和設(shè)計時，系統(tǒng)應(yīng)遵循以下幾項設(shè)計原則［7］:

1)穩(wěn)定性。保證7×24小時不間斷穩(wěn)定運行。

2)可靠性。系統(tǒng)運行平均無故障時間超過100，000小時;系統(tǒng)平均無故障率 ＞99.96%;具備手動恢復(fù)措施。

3)擴展性。基于現(xiàn)有虛擬系統(tǒng)環(huán)境，應(yīng)具有二次開發(fā)能力模塊。

4)時效性。系統(tǒng)應(yīng)該有專人維護漏洞環(huán)境，保證漏洞的時效性，同時保證系統(tǒng)的多樣性和異構(gòu)性。

2.2 構(gòu)架設(shè)計

攻防演練平臺總架設(shè)計如圖2所示，攻防演練平臺主要包含四個部分:

1)管理平臺

管理平臺主要分為基于Vmware Esx官方提供的client進行維護和管理的管理平臺和調(diào)用ESX API接口二次開發(fā)的個性化管理平臺。前一種方便高效，后一種可以根據(jù)快照鏡像狀態(tài)開發(fā)自定義的功能，如通過快照及其描述構(gòu)建關(guān)卡，當(dāng)通過一個關(guān)卡之后，管理平臺自動恢復(fù)快照至下一個關(guān)卡等。

管理平臺可以對虛擬機進行管理，包括增加、刪除、啟動、關(guān)閉、插入硬件設(shè)備等;亦可以直接管理虛擬交換機(vswitch)，根據(jù)需求不同劃分不同的vlan。

2)漏洞環(huán)境

漏洞環(huán)境主要包含通用業(yè)務(wù)信息系統(tǒng)、經(jīng)典漏洞環(huán)境、核心業(yè)務(wù)系統(tǒng)、DMZ區(qū);通用業(yè)務(wù)系統(tǒng)主要由郵件系統(tǒng)、門戶網(wǎng)站、OA系統(tǒng)等組成;經(jīng)典漏洞收集于互聯(lián)網(wǎng)主要包括DVWA、Linux－Metasploitable等;核心業(yè)務(wù)區(qū)主要體現(xiàn)行業(yè)區(qū)分，根據(jù)業(yè)務(wù)不同添加不同的業(yè)務(wù)系統(tǒng);DMZ區(qū)是僅和核心業(yè)務(wù)相連通，模擬內(nèi)網(wǎng)滲透、擺渡攻擊等手法。

3)攻擊平臺

攻擊平臺主要采用BT5滲透測試下同，本文中的kali是BT5的最新版本，并且包含了全球著名的開源滲透測試框架:“The Metasploit Framework“。該平臺包括了信息收集、掃描、滲透、縱向收集竊取數(shù)據(jù)這些攻擊手法中用到的各種工具。

4)底層支撐平臺

底層平臺的支持，采用Vmware ESX server和硬件服務(wù)器組成，提供不少于20T的硬盤和256G內(nèi)存的平臺組成，結(jié)合Vware Vcenter，硬件可以由多臺服務(wù)器組成而成。

圖2 攻防演練平臺構(gòu)架設(shè)計

3 結(jié)語

本文介紹了基于虛擬化和業(yè)務(wù)化的攻防演練平臺的關(guān)鍵技術(shù)和總體構(gòu)架設(shè)計，該平臺具備以下特點:系統(tǒng)結(jié)構(gòu)合理、功能完善、簡單易用、擴展性良好、實用實踐性強，能夠較好的滿足于各行各業(yè)的攻防演練平臺。然而該平臺也存在一些不足，主要體現(xiàn)在未設(shè)計課程和培訓(xùn)實驗的概念，另外調(diào)用ESX API實現(xiàn)自定義的管理接口，受限于Vware ESX API最新的收費策略。下一步將加強課程和實驗的設(shè)計，另外一方面繼續(xù)研究vmware其他虛擬化接口和技術(shù)，為更好的將虛擬化應(yīng)用攻防演練平臺做好準備。

［1］ YUAN E，TONG Jing.Attribute based access control(ABAC)for web services［C］//Proc.of the IEEE International Conference on Web Services.Piscataway，USA:IEEE Computer Society，2005:561－569.

［2］ Perlman R.An overview of PKI trust models［J］.IEEE Network，1999，13(6):38－43.

［3］ Lang Bo，F(xiàn)oster I，Siebenlist F，et al.Attribute based access control for grid computing［EB/OL］.2006 －04 －25.［2014 －10 － 5］.ftp://info.mcs.anl.gov/pub/tech_reports/reports/P1367.pdf.

［4］ Park J S，Sandhu R.Smart certificates:extending X.509 for secure attribute service on the web［C］.Proc.of National Information Systems Security Conference.Arlington，USA:［s.n.］，1999:340 －346.

［5］ Oasis.eXtensible access control markup language(XACML)version 2.0［EB/OL］.2005 －02 －01.［2014 －10 －3］.docs.oasis－ open.org/xacml/2.0/access_control－xacml－2.0 － core－ spec－ os.pdf.

［6］ Vmware Documentation.vmware 文檔中心 5.0［EB/OL］.2012－03 －15.［2014 －10 －3］.http://pubs.vmware.com/vsphere －50/index.jsp.

［7］ 董輝，馬建.基于虛擬蜜網(wǎng)的網(wǎng)絡(luò)攻防實驗平臺的構(gòu)建［J］.齊齊哈爾大學(xué)學(xué)報:自然科學(xué)版，2012，28(02):67－72.