CN104410617B - 一种云平台的信息安全攻防体系架构 - Google Patents

Abstract

本发明提供了一种云平台的信息安全攻防体系架构，其特殊之处在于：该体系架构包括网络靶场系统、安全防护系统、综合打击环境和安全诱捕分析系统；所述网络靶场系统包括具备多种信息安全漏洞环境，可以模拟操作系统级、应用级、网络级的漏洞；所述安全防护系统包括多种信息安全防护工具，可具有监测、防御和审计的能力；所述综合打击系统包括多种渗透攻击工具，具有综合、多方位的攻击能力；所述诱捕分析系统包括多样化的诱捕环境，吸引和诱捕恶意攻击行为，提供攻击行为的分析能力获取攻击的特征。本发明提供了一种信息安全攻防体系架构，实现了适用于云平台的信息安全攻防与验证体系，与虚拟化、面向服务应用技术结合，解决云平台安全体系难于验证的信息安全风险问题。

Description

一种云平台的信息安全攻防体系架构

技术领域

本发明涉及信息安全领域，更具体地，涉及一种云平台的信息安全攻防体系架构。背景技术

以服务为基础的云计算平台是互联网时代信息基础设施的重要形态.是高性能和分布式计算发展的最新形式。它以新的业务模式提供高性能、低成本的计算与数据服务，支撑各类信息化应用。作为一种以虚拟化为基础、以服务为特征、以按需使用为业务模式的新型信息化形态。云计算概念诞生后迅速引起了政府、产业界和学术界的强烈关注,其应用的推广和普及已势不可挡。各大企业纷纷进行云计算产品和服务的研发，力争抢占云计算应用市场的制高点。

作为一项新生事物，云计算在提供方便易用与低成本特性的同时也带来了新的挑战。安全问题首当其冲，并且随着云计算的不断普及，其重要性呈现逐步上升趋势，已成为制约云计算发展的核心因素。近年来，国内外的多起重大安全事件已经充分证明了上述安全风险的现实存在性和危害。多起云计算安全攻击造成云计算潜在用户对云计算产品和服务的顾虑，云平台是否能够抵御网络攻击，其防御体系是否完备等安全问题成为用户采用云计算服务和产品犹豫不决的原因，也是云计算应用和推广的主要障碍，严重影响了云计算产业的发展，安全攻防问题成为云计算服务的核心问题。因此，对云计算环境的安全攻防进行系统研究显得迫切而重要。

信息安全攻防技术是从信息安全所面临的不同威胁入手来开展相关技术的研究。但现有技术因为一方面随着关注点的不同、成本的不同等，网络攻防技术侧重点也不同，往往注重于某个问题的解决，缺乏完整的网络攻防体系，一方面鉴于云计算平台安全的重要性，虚拟化技术的应用和发展，现有的攻防体系更注重于传统安全领域问题的解决，已经难于适应新技术的需求和新的安全威胁。

发明内容

为了解决背景技术中存在的上述技术问题，本发明提出了一种云平台的信息安全攻防体系架构，实现适用于云平台的信息安全攻防与验证平台，与虚拟化、面向服务应用技术结合，解决云平台安全体系难于验证的信息安全风险问题。

本发明的技术解决方案是：本发明提供了一种云平台的信息安全攻防体系架构，其特征之处在于：该体系架构包括网络靶场系统、安全防护系统、综合打击环境和安全诱捕分析环境；

所述网络靶场系统包括具备多种信息安全漏洞环境，可以模拟操作系统级、应用级、网络级的漏洞；

所述安全防护系统包括多种信息安全防护工具，可具有监测、防御和审计的能力；

所述综合打击系统包括多种渗透攻击工具，具有综合、多方位的攻击能力；

所述诱捕分析系统包括多样化的诱捕环境，吸引和诱捕恶意攻击行为，提供攻击行为的分析能力获取攻击的特征。

所述网络靶场系统是采用虚拟化技术设计，漏洞环境以虚拟机镜像的形式成提供，可根据需要快速动态部署；

所述网络靶场系统即为安全验证提供了目标测试环境，同时也可检验攻击的效果。

所述安全防护系统可利用虚拟化技术，安全软硬件以组件、软件的方式实现，能够按照安全措施软件化，组件化，分布化，动态化和服务化的原则构件一体安全防护环境；

所述安全防护系统即保护真实的业务网络的安全，也可检验安全防护的效果，除此之外还为攻防演练提供了熟悉环境和方法的平台。

所述综合打击系统可按照攻击类型的不同分为6个大类，包括：

攻击类：面向远程扫描、渗透、评测，提供综合打击平台主要终端攻击工具；

破解类：提供针对木马的分析、应用程序的动态跟踪和静态分析、加解密的工具；

防御类：提供针对病毒、网络防御、入侵检测的终端防御工具；

系统类：涵盖系统优化、监控、升级等系统加固和调优的终端工具；

取证类：提供与电子证据、日志分析和数据恢复等取证和日志管理工具；

其它类：提供网络攻击与防御相关的各种辅助工具和运行支持环境包。

所述综合打击系统可利用资源共享技术，形成一个攻防工具池，根据需要在工具池中选择工具，运行结果可统一记录和保存。

所述诱捕分析系统可利用虚拟化技术，建立基于虚拟蜜网的诱捕环境，也可利用资源建立物理蜜网的诱捕环境；

所述诱捕分析系统可由多个蜜罐、蜜网网关、蜜网宿主机、管控系统、信息分析系统多个组成部分。应保证蜜网本身的安全，又有有效的监控其中的攻击行为和攻击方式。

所述信息安全攻防体系架构各部分具有低耦合性，可根据需求进行替换和扩展，提升适应性和可用性。所述信息安全攻防体系架构不仅提供攻击环境、防护环境，还提供验证环境和分析环境；

所述信息安全攻防体系架构部署后，用户不仅可以目标环境发起多种类型的攻击，而且还可构建一个安全防御系统，保证目标环境的安全；

所述信息安全攻防体系架构所述信息安全攻防体系架构提供了攻击与防御的模拟演练平台，利用虚拟化技术，模拟了对主机、路由器、防火墙、集线器以及网线设备的功能和特性，可利用这些虚拟设备构建目标网络环境，进行攻防验证；

所述信息安全攻防体系架构为云计算平台提供一个试验环境，一个不同顺序的网络攻击序列攻击的效果可能不一样，同样，一个不同层次的网络防御系统，它的防御效果也不一样，信息安全技术人员可以基于试验环境进行研究。

所述信息安全攻防体系架构为内部信息安全人员提供了培训环境，在不影响生产环境的情况下，使内部人员掌握信息安全攻击的思路与方法，锻炼抵御类似攻击的能力。

所述所述所述所述所述所述所述所述

所述信息安全攻防体系架构根据功能区域和安全隔离的需要，划分为5大区域，包括：攻击操作区、安全防护区、靶场区域、密网区域、木马分析区；

所述攻击操作区部署综合打击系统，是对目标环境进行攻击测试以及进行教学实践的主要区域；

所述安全防护区部署安全防护系统，是攻击操作区与靶场区域、目标区域的路由区域，对攻击行为进行审计和防护，是防护策略的部署区域；

所述靶场区域是攻防体系的目标验证环境，验证所面临的攻击行为所能造成的影响，另外，在该区域中划分出一个业务平台测试区，可以日后对进入平台的各种业务系统等进行有效地安全检测与评价；

所述蜜网区部署有蜜网系统，捕获对于云平台的攻击行为，该区域应可以识别出已有攻击，并通过特征、行为等识别未知的攻击行为及未知的恶意代码，及时的为云平台提供安全支撑；

所述木马分析区是对蜜网所捕获的恶意代码进行研究、分析的主要区域，根据分析研究结果制定相应的安全防护措施(定制安全设备策略等)。

所述信息安全攻防体系架构的各个区域的安全隔离通过安全隔离设备定义安全策略进行划分；

所述木马分析区域由于其特殊性，不得与其他区域部署于同一安全域，必须对其进行安全隔离与划分，降低安全风险。

本发明的优点是：

1、站在云平台整体安全的高度，设计了云计算平台的体系架构，实现平台安全攻防的一体设计，利用虚拟化技术，降低安全攻防的实施成本和难度，提供云平台安全攻防设计的灵活性；

2、本体系架构满足云平台安全攻防体系完整，易于部署和使用的需要，利用虚拟机模版和镜像可以快速实现环境的部署和调整；

3、信息安全攻防体系不仅有攻有防，还提供了攻防的验证与分析环境，可以对攻击和防护的效果进行验证，并提供分析环境支撑安全攻防体系的进一步完善；

4、考虑到攻防体系自身的安全性，按照功能的不同划分了不同的安全区域，并对安全区域进行的安全防护和隔离；

5、一方面与云平台结合紧密，即模拟了云计算环境的各种应用环境，也利用了云平台的虚拟化技术来构件安全攻防体系。另一方面本攻防体系不局限于云平台环境，也适用于传统网络环境；

6、实现攻防体系的各个系统的低耦合性，可根据需求对体系进行工具扩展与模块替换，全面提升平台的可用性与适应性。

附图说明

图1为本发明所提供的信息安全攻防体系架构示意图；

图2为本发明的综合打击系统攻击类型示意图；

图3为本发明的攻防工具共享服务平台工作方式示意图；

图4本发明的安全诱捕分析系统实施示意图；

图5为本发明的攻防区域划分示意图；

图6为本发明的攻防体系的部署示例图。

具体实施方式

参见图1，本发明提供了一种云平台的信息安全攻防体系架构，该体系架构包括网络靶场系统、安全防护系统、综合打击系统和安全诱捕分析系统。

网络靶场系统是攻防体系的重要基础，可系统采用虚拟化环境设计，具备多种漏洞镜像，可以模拟操作系统级、应用级、网络级的漏洞，并可以根据需要快速动态部署被攻击对象。从而为攻击网络提供攻击演练的机会，同时也可检测攻击的效果。

网络靶场系统可采用单台或多台服务器运行虚拟化环境实现靶场网络。其中每台虚拟服务器都被设计成有缺陷的，用于模拟主机层、系统层、应用层、网络层的漏洞。采用虚拟化环境的优点是既可以节省硬件资源，又可以动态的部署和还原靶机，方便灵活。靶场的可操作对象分为漏洞镜像和靶机样本实例。其中，漏洞镜像就是未激活的靶机样本实例，只需发布激活就能快速创建一个虚拟机靶机实例。靶机样本具有快照、备份、重建、销毁等功能。

网络靶场系统的靶机可以分为操作系统类、应用系统类、数据库类、中间件类、源码类、虚拟环境类。

操作系统类，操作系统的类型应该尽可能广泛且有代表性，服务器操作系统主要有Windows、Linux、Unix、IOS四大类。

应用系统类，应用系统的部署也相当关键，一些常用但与网络无交互的软件就变得次要一些，关键在于与网络产生交互并且存在安全隐患的应用。因此靶机主要部署和渗透攻击关系比较大的应用，如WEB应用类、FTP类、远控类等。

数据库类，数据库类按照数据的类型分为结构化数据库和非结构化数据库，结构化数据库类包括如Oracle、Sybase、MySQL、SqlServer，非结构化数据库类包括如MangoDB、Hbase；

中间件类，是支撑业务应用的支撑环境，包括企业数据总线、WebLogic、Websphere。

源码类，则是用于验证源码分析常见漏洞，按照漏洞等级分为高、中、低和信息四类；

虚拟环境类，依据目标云平台的虚拟化技术，验证其关键的虚拟化层环境。

网络靶场系统的靶机环境缺陷与漏洞在系统上故意设计漏洞、或者植入木马后门的方法，可分为五种类别，包括：软件缺陷、错误配置、弱口令、系统漏洞、脚本漏洞。

软件缺陷是很多商用软件在未打上最新的补丁前具有的漏洞，部署时选择有缺陷的版本故意留出漏洞，让测试者可以通过如反汇编、修改PE文件等，学习缓冲区溢出的利用方法。

错误配置是几乎所有软件都存在配置文件，很多漏洞是由于管理员的配置不当引起的。例如PHP网页的配置文件为php.ini，很多选项是和安全相关的，如magic_quotes_gpc、safe_mode、display_errors等等。这些参数配置不正确将带来很大的安全隐患。

弱口令漏洞是在业务运营使用中的不规范而产生的漏洞。这类漏洞是因为管理员安全意识薄弱造成的。在缺陷系统的部署中，可故意将口令设为弱口令，如数据库口令、管理后台口令、FTP口令等等。

系统漏洞是很多系统如windows的某些版本本身就具有可以利用的漏洞，一般这类漏洞都会由厂商定时发布补丁更新掉。在设计时可以选用未打过补丁的系统版本，如微软的IE就有很大的缺陷，可以网页植入木马。

脚本漏洞是这类漏洞是由于网站开发人员设计上的逻辑错误造成的。这类漏洞在实际网络中占的比例极大，几乎绝大部分都是此类漏洞。脚本漏洞的可以分为两类，一类是单页面的形式，只有单独的一个页面，只是为了测试而设计的，没有实际的用途；另一类是网站的形式，在该网站中，混杂了多种漏洞。WEB网站采用直接从互联网下载选择包含数据库的漏洞网站源代码，然后在此基础上进行修改，不能影响原本网站的运行，同时应提醒该网站管理员即时修改问题界面。

安全防护系统是建立起一套完成的应对网络攻击的安全防卫体系，一方面可以保护实际业务系统，一方面可以为攻防演练提供防卫手段和借鉴的平台。目前安全防护系统的安全防卫手段包括：信息安全审计、入侵检测、虚拟主机防护、防火墙、补丁管理以及代码检测等组成。

针对传统防御对云环境适应性不够的缺陷，可引入一种新的虚拟环境动态安全防护机制，该机制将现有的物理安全设备以组件、软件的方式实现，能够按照安全措施软件化，组件化，分布化，动态化和服务化的原则将安全设备作为软件组件纳入虚拟主机保护范围，实现一体化云安全防护层云安全一体机的概念，即真实应用环境下的一个计算节点机柜，由包括应用服务器(虚拟机)，虚拟主机防护服务器组成。虚拟主机防护提供统一的网关防护系统，可以统一处理各类安全威胁，支持虚拟防火墙、安全审计、入侵检测/防护；、漏洞扫描、防病毒。

为便于部署与实施，安全防护系统可以机柜为单位构成一体化部署环境，以机柜为单位在云平台部署，大大简化了安全防护系统的部署工作量。

综合打击系统提供多种渗透攻击工具，具有综合、多方位的攻击能力，是攻防平台的攻击端，可采用集成化、定制灵活、全面的攻防工具共享服务平台，覆盖了终端环境常用和主流的攻击、防御工具，根据应用目的的不同分为6个大类包括:攻击类，破解类、检测类、系统类、取证类、其它类，52个子类，参见图2，其中：

攻击类：面向远程扫描、渗透、评测，提供综合打击平台主要远程攻击工具；

破解类：提供针对木马的分析、应用程序的动态跟踪和静态分析、加解密的工具；

检测类：提供针对病毒、入侵检测的检测手段和工具；

系统类：涵盖系统优化、监控、升级等系统加固和调优的终端工具；

取证类：提供与电子证据、日志分析和数据恢复等取证和日志管理的工具；

其它类：提供网络攻击与防御相关的各种辅助工具和运行支持环境包。

综合打击系统由服务器平台、攻防工具库和客户端三部分组成，其中:

服务器平台：提供攻防工具的集中管理和个性化定制服务。支持每个终端的工具环境配置定制化，以及提供工具库的环境映射服务；

攻防工具库：保存工具库的数据存储空间；

客户端：负责与服务器建立连接，并与攻击库建立映射。

参见图3，攻击终端上部署客户端，然后由客户端与服务器建立连接，通过协商后在攻击工具库与攻击终端建立映射，将工具库映射到攻击终端环境中，然后就可以选择需要使用的攻防工具在攻击终端中环境下进行运行，攻击工具的环境配置以及输出的分析报告保存在攻击工具库环境中，每个终端的相关内容是隔离的，即每个终端下次使用还可以看到上次该终端的相关配置和报告内容。

安全诱捕分析系统可以识别出已有攻击，并通过特征、行为等识别未知的攻击行为及未知的恶意代码，特别是特殊实体价值的特种木马及0day攻击行为，跟踪云平台遭受的高水平攻击态势，并结合恶意代码分析等后台工作，为提供防御技术手段提供支撑。

参见图4，安全诱捕分析系统由多个蜜罐、蜜网网关、蜜网宿主机、管控系统、信息分析系统等多个组成部分。该系统结构高度可控，既能保证系统本身的安全，又能有效的监控其中的攻击行为和攻击方式。主要功能包括：支持高交互蜜罐和低交互蜜罐；支持虚拟机蜜罐和物理蜜罐；支持windows 2000、windows xp、windows 2003操作系统，支持unbuntu等主流linux发行版本；提供详细的HTML格式木马样本分析报告，包括：样本基本信息、危险点评、病毒检测、动态行为四要素(文件行为监控、进程行为监控、注册表监控、网络监控)、运行截图；捕获系统新生成或者被修改的可执行文件，形成样本文件输出；自身进程隐藏；数据传输隐藏，避免嗅探；提供完善的网络数据捕获与数据控制功能；支持密网流量的限制；内置多种病毒扫描引擎，对样本文件进行扫描分析，区别已知病毒和未知攻击；木马样本的捕获和分析。

参见图5，攻防验证环境根据功能区域和安全隔离的需要，可划分为5大区域，包括：攻击操作区、安全防护区、靶场区域、密网区域、木马分析区。区域的安全隔离通过安全隔离设备定义安全策略进行划分。

攻击操作区主要是使用部分攻击脚本、攻击测试数据包(采用数据包回放方式)等相关攻击工具对被测试系统、主机进行攻击测试以及进行教学实践的主要区域。该区域主要以相应的集成平台、实验用终端等设备构成。计划目标是能够模拟并实验目前大多数的安全攻击内容。

安全防护区是作为电子政务测试平台的主要测评区域，该区域日后可以作为电子政务平台安全设备功能及性能测试的主要区域。安全防护区被用来部署和测试安全防护设备，包括但不局限于：入侵检测/防护系统、防火墙、安全审计系统、安全网关和安全一体机等。安全防护区通过部署安全设备并设置相应的安全防护策略，模拟真实环境中的防护技术手段，检测和阻断攻击操作区发起的攻击活动，检验安全设备的安全防护能力，同时用来模拟应用系统(位于靶场区)的真实生产环境(具备安全设备的防护条件)，以验证应用系统在防护状态下的安全程度(由攻击操作区发起攻击进行测试)。

靶场区域是整个平台的目标验证环境，该区域的建设主要是采用虚拟化技术，模拟电子政务外网各网站的主要内容，做到高仿真，这样可以有效检测电子政务网所面临的攻击行为所能造成的影响，同时通过相应的测试工作也可以有效的测试安全产品在高仿真环境下的可靠性。

靶场区域包括三个部分构成，即虚拟化靶机群、物理靶机群以及新上线业务平台安全测试区域三个部分。

蜜网区主要是通过高性能、高仿真的蜜网系统，全面、有效的捕获对于电子政务平台的攻击行为，该区域应可以识别出已有攻击，并通过特征、行为等识别未知的攻击行为及未知的恶意代码，及时的为电子政务网提供安全趋势报告。

木马分析区是对蜜网所捕获的恶意代码进行研究、分析的主要区域，根据分析研究结果制定相应的安全防护措施(定制安全设备策略等)；该区域由于其特殊性，必须对其进行有效的安全隔离与划分，降低安全风险。

攻防体系在实际环境部署时，根据不同区域之间的安全要求，不同区域之间必须继续进行有效的安全控制与隔离，降低安全事件发生的可能性。同时及时监控相应的安全测试活动与测试内容，避免人为等行为造成破坏。

靶场区域的主要技术措施方面，主要考虑部署的软件为各主流操作系统、虚拟化软件以及电子政务外网的相应业务平台等。相关平台的防护措施主要是对其进行严格的安全访问控制措施限制，除攻击区以及安全产品测试区域外，其他区域均禁止访问该区域。

攻击区域的主要目标是对相关内容进行攻击模拟与测试，该区域应受限访问外网，同时仅限定能够访问高仿真靶向目标区、安全产品测试区。

安全防护区主要是为产品测试提供接入环境，应严禁访问蜜网区等，仅允许访问靶向目标区与安全产品测试区。

木马分析区主要的功能包括了木马的分析、采样与研究。由于该区域承担了相应的未知恶意代码(如：特种木马等)的分析工作，同时其整个的不可控因素较多，在该区域进行建设时，必须充分考虑自身安全性，并通过相应的技术手段对相应的设备进行监控。该区域需要进行严格的访问控制限制，仅允许访问蜜网区域，从蜜网获取未知恶意代码样本。同时该区域应该部署强审计措施，对于相关人员的操作、移动存储设备的使用进行全面的监控。

参见图6，在进行攻防验证平台建设时，充分考虑了云计算环境下可能面临的各种安全威胁和攻防验证平台的远期可用性。目前攻防验证平台的部署根据实际的安全等级要求、业务作用要求等进行区域隔离与划分，主要功能区包括：攻击操作区、安全防护区、靶场区域、密网区域、木马分析区。各区域之间需要根据实际的安全要求进行有效的区域隔离与划分，主要作用是降低各区域之间的影响，对于部分敏感区域必须严格进行安全管控，避免平台之间的安全事件发生。

靶场区域包括三个部分构成，即虚拟化靶机群、物理靶机群以及新上线业务平台安全测试区域三个部分。

虚拟化靶机群区主要是通过虚拟化平台为基础，模拟目前政务网的整体内容，通过相应的模拟，来验证具体的攻击行为、攻击技术对电子政务网所能造成的影响。同时以该措施为基础，检验相应的安全产品是否能够对政务网进行有效的安全防护。

物理靶机群的主要功能是该区域承担的功能与虚拟靶机群相似，但因使用真实主机因此具有更好的诱捕能力。

新上线业务平台安全测试区主要的功能是对政务网在新平台上线前进行安全测试与安全验证的主要平台。即将上线的业务系统将接入该区域，通过攻击区的攻击对新上线平台进行全面的安全性测试，并提供更为可靠地验证结果，帮助提升政务网的安全性。

靶场区域的主要技术措施方面，主要考虑部署的软件为各主流操作系统、虚拟化软件以及电子政务外网的相应业务平台等。

相关平台的防护措施主要是对其进行严格的安全访问控制措施限制，除攻击区以及安全产品测试区域外，其他区域均禁止访问该区域。

攻击操作区主要用于安全产品攻击防护功能测试、漏洞扫描与验证和攻防演练(攻击方发起攻击和操作的区域)以及业务系统安全评估检测。可部署漏扫与验证系统、DDOS攻击平台、攻击终端集，其中：

攻击终端集：由一组PC终端组成，可使用攻防工具平台的各类攻击工具来对靶场环境进行攻击测试；

漏扫与验证系统：负责对靶场环境或其他网络环境做漏扫检测，并对存在漏洞经过授权后进行验证，确定漏洞的真实性和危险等级；

DDOS攻击平台：负责对目标环境做DDOS大流量攻击测试。

安全防护区被用来部署和测试安全防护设备，包括但不局限于：入侵检测/防护系统、防火墙、安全审计系统、安全网关和云安全一体机等。安全产品测试区通过部署安全设备并设置相应的安全防护策略，模拟真实环境中的防护技术手段，检测和阻断攻击操作区发起的攻击活动，检验安全设备的安全防护能力，同时用来模拟应用系统(位于靶场区)的真实生产环境(具备安全设备的防护条件)，以验证应用系统在防护状态下的安全程度(由攻击操作区发起攻击进行测试)。

云平台由于其自身的特殊性，成为网络攻击、特别是高级可持续性威胁攻击(APT)的高价值目标；针对云平台，可能存放了大量敏感文件和信息，为了得到这些敏感文件和信息，具有间谍组织背景的高水平黑客团体往往会使用由0day漏洞构建的特种木马来攻击云平台，由于信息的不对称性，在现有的技术防护手段和安全管理措施下，对于这种特种攻击往往难于应对。有效地利用技术手段来捕获这些针对云平台的新型攻击样征，并对捕获到的未知攻击样征进行安全环境下的深度分析，从而研究和制定新的防护技术和安全管理策略，是平台建设主要方向。

密网区域目前包括有密网防火墙、虚拟蜜罐群，物理蜜罐群。

密网防火墙负责保障密网以及木马分析区的网络安全，检测网络攻击行为，并限制木马的外泄、传播。

虚拟蜜罐群：采用虚拟化技术搭建的存在各种安全隐患、以及模拟各种应用场景的虚拟机群，管理方便，部署和扩展容易的特点。

物理蜜罐群：使用真实物理主机搭建的蜜罐系统。

木马分析区主要的功能包括了木马的分析、采样与研究。由于该区域承担了相应的未知恶意代码(如：特种木马等)的分析工作，同时其整个的不可控因素较多，在该区域进行建设时，必须充分考虑自身安全性，并通过相应的技术手段对相应的设备进行监控。

木马分析区的主要需求技术措施包括了软件逆向工程相关工具、动态调试工具、虚拟机、静态分析工具。

硬件方面，主要需要独立的主机与专用服务器，避免木马等出现不可控现象。

网络方面：通过防火墙严格限制该区域的访问权限。

木马分析区需要进行严格的访问控制限制，仅允许访问蜜网区域，从蜜网获取未知恶意代码样本。同时该区域应该部署强审计措施，对于相关人员的操作、移动存储设备的使用进行全面的监控。

Claims (6)

1.一种云平台的信息安全攻防体系架构，其特征在于：该体系架构包括网络靶场系统、安全防护系统、综合打击系统和安全诱捕分析系统；

所述网络靶场系统包括多种信息安全漏洞环境，可以模拟操作系统级、应用级、网络级的漏洞；靶场的可操作对象分为漏洞镜像和靶机样本，其中，漏洞镜像就是未激活的靶机样本，只需发布激活就能快速创建一个虚拟机靶机样本；靶机样本具有快照、备份、重建、销毁功能；

所述安全防护系统引入一种新的虚拟环境动态安全防护机制，该机制将现有的物理安全设备以组件、软件的方式实现，能够按照安全措施软件化，组件化，分布化，动态化和服务化的原则将安全设备作为软件组件纳入虚拟主机保护范围，实现一体化云安全防护层云安全一体机；

所述综合打击系统包括多种渗透攻击工具，具有综合、多方位的攻击能力；可采用集成化、定制灵活、全面的攻防工具共享服务平台；

所述诱捕分析系统包括多样化的诱捕环境，吸引和诱捕恶意攻击行为，提供攻击行为的分析能力获取攻击的特征，支持高交互蜜罐和低交互蜜罐；支持虚拟机蜜罐和物理蜜罐。

2.根据权利要求1所述信息安全攻防体系架构，其特征在于：所述安全防护系统可利用虚拟化技术，安全软硬件以组件、软件的方式实现，能够按照安全措施软件化，组件化，分布化，动态化和服务化的原则构件一体安全防护环境；

安全防护系统可以机柜为单位构成一体化部署环境，以机柜为单位在云平台部署，大大简化了安全防护系统的部署工作量；

所述安全防护系统既保护真实的业务网络的安全，也可检验安全防护的效果，除此之外还为攻防演练提供了熟悉环境和方法的平台。

3.根据权利要求1所述信息安全攻防体系架构，其特征在于：所述综合打击系统由服务器平台、攻防工具库和客户端三部分组成，其中：

服务器平台：提供攻防工具的集中管理和个性化定制服务，支持每个终端的工具环境配置定制化，以及提供攻防工具库的环境映射服务；

攻防工具库：保存攻防工具的数据存储空间；

客户端：负责与服务器建立连接，并与攻防工具库建立映射；所述综合打击系统可利用资源共享技术，形成一个攻防工具池，根据需要在工具池中选择工具，运行结果可统一记录和保存；

工作方式由客户端与服务器建立连接，通过协商后在攻防工具库与攻击终端建立映射，将攻防工具库映射到攻击终端环境中，然后就可以选择需要使用的攻防工具在攻击终端中环境下进行运行，攻防工具的环境配置以及输出的分析报告保存在攻防工具库环境中，每个终端的相关内容是隔离的，即每个终端下次使用还可以看到上次该终端的相关配置和报告内容。

4.根据权利要求1所述信息安全攻防体系架构，其特征在于：所述诱捕分析系统利用虚拟化技术，建立基于虚拟蜜网的诱捕环境，或者，利用资源建立物理蜜网的诱捕环境；

所述诱捕分析系统由多个蜜罐、蜜网网关、蜜网宿主机、管控系统、信息分析系统多个部分组成；应保证蜜网本身的安全，又要有效的监控其中的攻击行为和攻击方式；

所述诱捕分析系统提供详细的HTML格式木马样本分析报告，包括：样本基本信息、危险点评、病毒检测、动态行为四要素、运行截图；捕获系统新生成或者被修改的可执行文件，形成样本文件输出；自身进程隐藏；数据传输隐藏，避免嗅探；提供完善的网络数据捕获与数据控制功能；支持密网流量的限制；内置多种病毒扫描引擎，对样本文件进行扫描分析，区别已知病毒和未知攻击；木马样本的捕获和分析。

5.根据权利要求1所述信息安全攻防体系架构，其特征在于：所述信息安全攻防体系架构不仅提供攻击环境、防护环境，还提供验证环境和分析环境。

6.根据权利要求1所述信息安全攻防体系架构，其特征在于：所述信息安全攻防体系架构根据功能区域和安全隔离的需要，划分为5大区域，包括：攻击操作区、安全防护区、靶场区域、密网区域、木马分析区；

所述攻击操作区部署综合打击系统，是对目标环境进行攻击测试以及进行教学实践的主要区域；该区域应受限访问外网，同时仅限定能够访问靶场区域、安全测试区域；

所述安全防护区部署安全防护系统，是攻击操作区与靶场区域的路由区域，对攻击行为进行审计和防护，是防护策略的部署区域；应严禁访问蜜网区域，仅允许访问靶场区域与安全测试区域；

所述靶场区域是攻防体系的目标验证环境，靶场区域包括三个部分构成，即虚拟化靶机群、物理靶机群以及安全测试区域三个部分；相关平台的防护措施主要是对其进行严格的安全访问控制措施限制，除攻击操作区以及安全测试区域外，其他区域均禁止访问该区域；

所述蜜网区域部署有蜜网系统，捕获对于云平台的攻击行为，该区域应可以识别出已有攻击，并通过特征、行为识别未知的攻击行为及未知的恶意代码，及时的为云平台提供安全支撑；

所述木马分析区是对蜜网所捕获的恶意代码进行研究、分析的主要区域，根据分析研究结果制定相应的安全防护措施；木马分析区需要进行严格的访问控制限制，仅允许访问蜜网区域，从蜜网获取未知恶意代码样本；同时该区域应该部署强审计措施，对于相关人员的操作、移动存储设备的使用进行全面的监控。