一种信息安全技术研究平台的制作方法
【专利说明】一种信息安全技术研究平台发明领域
[0001]本发明涉及信息安全技术,特别涉及一种基于虚拟化技术的信息安全技术研究平台O
【背景技术】
[0002]在信息社会中,信息一方面已经成为人类的重要资产,另一方面随着信息技术的迅猛发展,信息安全问题也变得日益突出。由于信息具有易传播、易扩散和易毁损的特点,信息资产比有形资产更加脆弱,其给业务运行过程带来的风险也更大,因此如何确保信息系统的安全已经成为社会关注的焦点问题。
[0003]信息安全技术的研究目的是向信息系统(包括硬件、软件、数据、物理环境和基础设施)提供可靠、有效的保护手段,使其免遭破坏和侵入。信息安全技术研究平台被用于对涉及信息安全的各个方面进行系统的研究,其是各种硬件和软件的集合。传统的信息安全技术研究平台被直接部署在物理上独立的计算设备上,其具有众多的缺点。首先,信息安全技术研究通常需要在多种不同的运行环境(例如特定的操作系统和该操作系统下运行的应用程序的组合)下展开,每种环境都采用一台物理设备来模拟,这导致大量的硬件开销。其次,在多环境信息安全技术研究中,为了对多台物理设备进行统一的管理和控制,通常要在物理设备上安装代理者(agent),但是安装代理者将在一定程度上干扰测试环境的纯净性,从而影响研究结果的准确性。再者,部署一套定制的研究测试环境需要花费较多的时间来安装操作系统和软件。最后,传统的信息安全技术研究平台缺乏统一的管理和备份机制,在使用时难以对用户权限进行有效、精确的管控,且一旦平台内的设备机器出现故障,则无法完成快速的恢复,也无法将平台的状态快速转换到之前的某个时间节点。
[0004]由上可见,迫切需要一种能够克服上述缺点或缓解上述缺点带来的不利影响的适于多环境下信息安全技术研究的平台。
【发明内容】
[0005]本发明的一个目的是提供一种信息安全技术平台,其具有节省硬件资源和高可靠性、高可实现性等优点。
[0006]按照本发明一个实施例的信息安全技术研究平台包括:
多个物理上独立的研究单元,至少一个所述研究单元包括一个或多个宿主机,所述宿主机上运行虚拟机监视器(hypervisor)和用于模拟多种环境的多个虚拟机;
虚拟化统一管理服务器;
集中备份服务器;
管理网络,所述虚拟机监视器、虚拟化统一管理器和备份管理器经所述管理网络实现相互之间的通信;以及
业务网络,所述虚拟机被接入所述业务网络以实现与外部网络的通信,
其中,所述虚拟化统一管理服务器借助管理网络管理所述虚拟机监视器,所述集中备份服务器经所述管理网络向所述虚拟机提供集中备份功能。
[0007]优选地,在上述信息安全技术研究平台中,进一步包括接入所述管理网络的综合管理服务器,用于提供DHCP服务、DNS服务和VPN服务。
[0008]优选地,在上述信息安全技术研究平台中,所述研究单元包括:
病毒研究单元,用于恶意软件的研究;
攻防演练单元,用于网络攻防技术的研究和演练;
检测分析单元,用于安全软件、防护手段/技术的研究;以及算法研究单元,用于算法破解、验证、实际时间/空间复杂度的测量。
[0009]优选地,在上述信息安全技术研究平台中,所述病毒研究单元包括:
接入所述管理网络和业务网络的路由器;
与所述路由器通信的病毒宿主机,其上运行多个安装恶意软件的虚拟机,所述病毒宿主机的虚拟机经所述路由器被接入所述业务网络;以及
与所述路由器通信的移动终端,其上安装恶意软件并且经所述路由器被接入所述业务网络。
[0010]优选地,在上述信息安全技术研究平台中,在所述路由器与所述管理网络之间设置硬件防病毒设备。
[0011]优选地,在上述信息安全技术研究平台中,所述攻防演练单元包括:
被攻击宿主机,其上运行多个虚拟机以模拟多种环境下的网络攻击对象,所述被攻击宿主机的虚拟机被接入所述业务网络;
攻击宿主机,其上运行多个虚拟机以模拟多种环境下对所述被攻击宿主机的网络攻击;以及
耦合在所述被攻击宿主机和攻击宿主机之间的网络设备和网络安全设备,分别用于实现所述被攻击宿主机和攻击宿主机之间的网络连接和用于防御来自所述攻击宿主机的网络攻击。
[0012]优选地,在上述信息安全技术研究平台中,所述攻防演练单元进一步包括:
第一交换机,所述攻击宿主机经其接入所述网络安全设备;
审计服务器,其接入所述第一交换机以通过交换机端口镜像记录所述攻击宿主机的操作。
[0013]优选地,在上述信息安全技术研究平台中,所述检测分析单元包含:
接入所述业务网络的代理网关服务器;
与所述代理网关服务器相连的第二交换机;
与所述第二交换机相连的检测分析宿主机,其上运行多个安装安全软件的虚拟机以测试所述安全软件在多种环境下的性能,所述检测分析宿主机的虚拟机经所述第二交换机和代理网关服务器被接入所述业务网络;以及
与所述第二交换机相连的移动终端,其上安装安全软件以测试所述安全软件在多种环境下的性能。
[0014]优选地,在上述信息安全技术研究平台中,所述算法研究单元为服务器集群或云计算系统,其接入所述管理网络和业务网络。
[0015]优选地,在上述信息安全技术研究平台中,所述移动终端为下列设备中的一种:笔记本电脑、智能手机和平板电脑。
【附图说明】
[0016]从结合附图的以下详细说明中,将会使本发明的上述和其它目的及优点更加完全清楚。
[0017]图1为按照本发明一个实施例的信息安全技术平台的架构示意图。
[0018]图2为实现图1所示架构的信息安全技术平台的示意图。
【具体实施方式】
[0019]下面参照其中图示了本发明示意性实施例的附图更为全面地说明本发明。但本发明可以按不同形式来实现,而不应解读为仅限于本文给出的各实施例。给出的上述各实施例旨在使本文的披露全面完整,从而使对本发明保护范围的理解更为全面和准确。
[0020]诸如“包含”和“包括”之类的用语表示除了具有在说明书和权利要求书中有直接和明确表述的单元和步骤以外,本发明的技术方案也不排除具有未被直接或明确表述的其它单元和步骤的情形。
[0021]按照本发明的一个方面,信息安全技术研究平台采用虚拟化技术构建多种不同的环境以进行各类安全技术研究和测试。另一方面,信息安全技术研究平台同时还具有统一的管理和备份中心,并可灵活增添各类安全设备、网络设备或测试环境,具有高度的可靠性和可扩展性,从而极大地提高信息安全技术研究的效率和覆盖范围。
[0022]图1为按照本发明一个实施例的信息安全技术平台的架构示意图。
[0023]如图1所示,本实施例的信息安全技术研究平台10包括病毒研究单元110、攻防演练单元120、检测分析单元130和算法研究单元140、管理网络150、业务网络160、虚拟化统一管理服务器170、集中备份服务器180和综合管理服务器190。
[0024]病毒研究单元110、攻防演练单元120、检测分析单元130和算法研究单元140是物理上独立的研究单元,其中,病毒研究单元110、攻防演练单元120和检测分析单元130的每一个都包括一个或多个宿主机,这些宿主机上运行虚拟机监视器(hypervisor)和用于模拟多种环境的多个虚拟机。
[0025]在图1所示的信息安全技术研究平台10中,病毒研究单元110、攻防演练单元120和检测分析单元130的各个宿主机上的虚拟机监视器、虚拟化统一管理器170和备份管理器180被接入管理网络150,从而实现相互之间的通信,虚拟化统一管理服务器170由此能够经管理网络150管理宿主机上的虚拟机监视器,对整个虚拟化平台进行管理和监控(例如对使用虚拟机的用户进行认证和提供虚拟桌面连接),并且平台的使用者可通过管理网络150对虚拟机施行各种操作(例如创建、修改、删除、快照、克隆等操作)。另一方面,业务网络160用于虚拟机与外部网络20 (例如因特网)的连接。具体而言,各个宿主机上的虚拟机被接入业务网络160以实现与外部网络20的通信。
[0026]参见图1,集中备份服务器180被接入管理网络150,从而能够经管理网络150向宿主机上的虚拟机提供集中备份功能。由此,当某一台宿主机或虚拟机出现问题时,或因病毒测试等原因导致某台虚拟机操作系统被破坏时,可以通过集中备份服务器180进行快速的恢复。
[0027]由于管理网络150与业务网络160是分离的,因此可以确保在研究单元内研究的恶意软件或攻击手段不会对使用者网络30 (例如日常办公环境)造成影响。
[0028]综合管理服务器190也接入管理网络150,其主要用于辅助虚拟化统一管理服务器170以提供DHCP服务、DNS服务和VPN服务。需要指出的是,这里的综合管理服务器190既可以是一台同时提供DHCP服务、DNS服务和VPN服务的物理设备,也可以是分别提供上述各种服务的多台物理设备。
[0029]图2为实现图1所示架构的信息安全技术平台的示意图。
[0030]如图2所示,管理网络150和业务网络160分别包含管理核心交换机151和业务核心交换机161。虚拟化统一管理器170和备份管理器180例如通过连接至核