基于虚拟化技术的信息安全实验平台构建.docVIP

基于虚拟化技术的信息安全实验平台构建 　　为解决信息安全实验室建设中所面临的设备投资大、实验环境构建困难等问题，本文研究如何以KVM虚拟化为核心构建统一的资源管理平台，通过集成各种安全软件，构建一套可满足密码学、入侵检测、漏洞扫描技术等多种实验要求的综合性信息安全实验平台，满足信息安全相关实验教学要求。 　　【关键词】KVM虚拟化 信息安全 实验平台 　　为促进信息安全相关人才培养，2015年教育部增设了“网络空间安全”一级学科，面对这种需求，各院校都在积极开设信息安全类课程和专业，但信息安全是一门实践性较强的学科，学生在掌握了安全理论知识的基础上，需要在具体实验中加深信息安全知识与技术的理解，因此，构建一个完善健全的信息安全实验平台是开展相关教学的基础条件。 　　近年来一些信息安全设备公司也开发了一些安全实验平台，但普遍是以物理服务器、安全设备为基础构建，由于信息安全实验涉及的实验设备种类多，更新快，此类方案面临巨额的持续资金投入，多数高校均难以承受。同时，受限于硬件设备，实验平台实际所能完成的实验项目较为固定，可扩展性较差。而随着虚拟化技术的发展，以虚拟化技术为核心构建信息安全实验平台不仅能节约成本，同时具备灵活性和高可扩展性。因此，选择适合的虚拟化技术构建信息安全实验平台是一种较为现实可行的方案。 　　1 相关技术方案对比研究 　　如何构建信息安全实验平台，国外的Xiangdong Li、Herbert J.Mattord，以及国内的上海交通大学信息安全工程?W院等已经提供了一些解决思路。总体来说，主要有如下三种类型： 　　1.1 以现有商用信息安全产品为基础构建以功能验证演示为主的实验平台 　　这种方案主要采用安全设备为基础完成信息安全实践平台的搭建。但商用的安全产品主要功能是完成安全检测和防护功能，对并发性访问支持较差，难以满足教学实验需求；同时，其设计目标是功能实现，难以满足实验平台对“交互性”的需求。 　　1.2 基于网络仿真软件实现 　　这种方法依赖于仿真软件，软件本身的缺陷难以避免，对于复杂网络架构模拟不完善，商用版本价格高昂。因此，建议使用开源的网络仿真软件，比如NS2，作为网络攻防平台的一部分，用于网络协议的研究和网络结构研究之用，而不是把它作为综合实验平台。 　　1.3 基于商用虚拟化技术实现 　　例如VMware ESXI，虽然其可操作性较好，但其受制于厂商，价格昂贵，无法在其基础上做一些扩展性的开发；而对于Open Staack等虚拟化平台，因其功能组件较为复杂，学习难度大；代码量庞大，定制式的开发难度较大。 　　因此，现有的几种方案在灵活性、可扩展性、开发便利性上都存在一定问题，而目前以KVM为代表的基于Linux kernel的全虚拟化技术，作为一个开源的虚拟化解决方案，有大量成熟的API，能够降低开发门槛，降低开发成本，使用KVM为基础开发信息安全实验平台是一种较为现实可行的方案。 　　2 实验平台设计思路 　　基于虚拟化技术的信息安全实验平台可使用Cent OS为底层操作系统，采用以KVM为代表的基于Linux kernel的全虚拟化技术构建，提高整个硬件平台的综合资源利用率，并使用开源软件进行集成，如交换机：VSwitch，路由器：RouterOS，防火墙：Vyatta，漏洞扫描：Nessus等。 　　系统可使用KVM虚拟化建立统一资源管理平台，简化资源管理、调度的难度，将物理服务器构建成一个统一、可扩充的资源池。继而通过运行分布式存储服务供实验环境调用，通过系统接口在交换机、安全设备的IOS基础上，构建实验拓扑，供学生实验使用。系统可采用B/S结构，使用户可通过浏览器完成所有操作。系统前台页面使用HTML5+CSS+Javascript构建，后台服务器脚本引擎使用PHP。数据库系统选择上，可使用MySql作为整个系统的数据库引擎。 　　系统功能设计上，可分为教师管理后台和学生使用前台。教师管理后台主要功能应涵盖：实验管理、日程管理、系统仿真、环境仿真、课程管理等模块。学生使用前台主要功能应涵盖：学习中心、课程表、个人中心等模块。 　　3 结语 　　基于此种方案构建信息安全实验平台，相对于传统方案，具备如下优势：实验环境可实现定制化调整，满足不同领域的实验需求；利用开源网络安全设备IOS进行构建，摆脱了硬件的局限，能随时进行升级和调整；传统基于硬件的实验平台，只能提供统一的实验环境，基于虚拟化技术的实验平台，每个用户都可有自己的实验环境，灵活性高；传统的安全实验平台，未使用标准接口，难以二次开发，而本平台主要基于开源系统和软件构建，稳定性较好，可扩展性好，便于与各种安全和网络设备对接；基于高校用户的功能分析，在高校范围内具有更好的应用前景。