俞立峰 楊瓊
摘 要: 信息安全是一門綜合性、實踐性非常強的學科,針對信息安全的實踐教學,通常需購買相應的硬件設備才能有效實施。然而購買硬件花費不菲,受資金等多種因素限制,導致了信息安全實踐教學流于形式。為此,研究、設計并實現(xiàn)了基于職業(yè)能力培養(yǎng)的信息安全虛擬實踐教學平臺,該平臺主要包括兩個大模塊:網(wǎng)絡攻擊模塊與安全防護模塊,各模塊分別包括七個子模塊。
關鍵詞: 信息安全; 職業(yè)能力; 實踐教學平臺; 網(wǎng)絡攻擊; 安全防護
中圖分類號:TP393 文獻標志碼:A 文章編號:1006-8228(2014)02-18-02
0 引言
隨著經(jīng)濟全球化和計算機及互聯(lián)網(wǎng)技術的高速發(fā)展,信息安全問題已經(jīng)成為全社會關注的焦點,并且成為涉及國家政治、軍事、經(jīng)濟和文教等諸多領域的重要課題。社會對信息安全專業(yè)人才的需求量達幾十萬人,并呈現(xiàn)與日俱增的態(tài)勢。但是,目前信息安全方面的專業(yè)人才還很稀少,并且只有在高校才會進行專業(yè)性的信息安全課程教學。由于信息安全學科是一門綜合性、實踐性非常強的學科(信息安全學科是計算機、通訊工程、數(shù)學、密碼學等領域的交叉應用學科)[1-4],要解決信息安全專業(yè)人才供需矛盾,需要各高校加強信息安全專業(yè)建設,尤其是實踐教學建設,增強學生的動手實踐能力,以保證對信息安全專業(yè)人才培養(yǎng)的質和量。
教育部等七部委《關于進一步加強職業(yè)教育工作的若干意見》(教職成[2004]12號)中明確指出:“加快職業(yè)教育實訓基地建設,切實提高學生職業(yè)技能”。要求學生具備在實際環(huán)境中應用自身的知識完成信息安全實驗以提高自身的動手能力和實踐水平。實踐是理解信息安全基礎知識,提升信息安全技能的關鍵環(huán)節(jié)。然而,信息安全基礎實踐教學相對于其他傳統(tǒng)計算機實踐教學而言有一定的特殊性:①實驗條件要求相對苛刻,需要購買專門的軟硬件設備;②實驗內(nèi)容側重信息保護;③實驗方式有一定的攻擊性。如果實驗控制不當,會帶來非常嚴重的安全事故,因此必須擁有一個合理的實驗環(huán)境,使惡意代碼實驗不影響正常的信息環(huán)境。此外,信息安全實踐教學也面臨著由于學生人數(shù)多、實驗室教學任務重而帶來的資源匱乏等問題。
目前,各高校基本上以購買軟硬件設備來支持信息安全的實踐教學,而軟硬件設備的更新?lián)Q代成本對于高校教學機構來說是相當難以承受的。因此,設計一種既能滿足信息安全技術、技能教學需要,又能培養(yǎng)學生的職業(yè)能力,且不需要對現(xiàn)有網(wǎng)絡、實驗環(huán)境進行太大改變的虛擬實驗教學平臺就顯得尤為重要,也具有重要的現(xiàn)實意義。
1 虛擬實踐教學平臺構建原則
基于職業(yè)能力培養(yǎng)的信息安全虛擬實踐教學平臺的設計與實現(xiàn)是對高校信息安全專業(yè)針對信息安全基礎實踐教學進行的一項整體性的教學模式改革,因此,該平臺應從以下幾個方面進行設計[5-6]。
⑴ 基礎性原則。本研究構建的是虛擬的信息安全實踐教學平臺,側重信息安全技術基礎知識的培養(yǎng)與鍛煉,在模擬的實踐環(huán)境中掌握網(wǎng)絡攻防的技術。
⑵ 易操作性原則。在設計實踐操作環(huán)節(jié),考慮基礎性的同時,注重職業(yè)能力的培養(yǎng);考慮學生操作的難易程度,把實踐的關鍵步驟、安裝軟件都植入虛擬平臺中;考慮認識的認知性,可以適當?shù)刈鲆恍┕魧嶒?,通過攻擊實驗,讓學生掌握攻擊的理論知識,同時也更有助于學生掌握和學習安全防范技術。
⑶ 綜合性原則。虛擬平臺的實踐教學設計應遵循由簡單到復雜,由易到難的原則,最后通過綜合性實驗來提升學生的實踐技能和綜合素質。
2 虛擬實踐教學平臺功能模塊
根據(jù)虛擬實踐教學平臺的構建原則,本平臺主要包括網(wǎng)絡攻擊模塊與安全防護模塊。其中網(wǎng)絡攻擊模塊主要包括:Web攻擊、口令破解、欺騙攻擊、數(shù)據(jù)庫攻擊、緩沖區(qū)溢出攻擊、拒絕服務攻擊、木馬與蠕蟲攻擊等子模塊。安全防護模塊主要包括:操作系統(tǒng)安全、密碼學技術、信息隱藏技術、PKI技術、防火墻技術、VPN技術及入侵檢測技術子模塊。該教學平臺功能如圖1所示。
2.1 網(wǎng)絡攻擊模塊
該模塊要側重常用的攻擊方法的學習與掌握,其子模塊功能如下。
⑴ Web攻擊模塊。主要包括Web腳本攻擊、網(wǎng)絡釣魚等攻擊方法的實現(xiàn)。
⑵ 口令破解模塊。主要包括Windows口令破解和Linux口令破解。
⑶ 欺騙攻擊模塊。主要采用常用的ARP欺騙和ICMP重定向來實現(xiàn),讓學生掌握常用的欺騙攻擊方法的實現(xiàn)。
⑷ 數(shù)據(jù)庫攻擊模塊。主要包括SQL注入攻擊的實現(xiàn)。
⑸ 緩沖區(qū)溢出攻擊模塊。主要包括本地緩沖區(qū)溢出、遠程溢出與后門植入的實現(xiàn)。
⑹ 拒絕服務攻擊模塊。主要包括洪范攻擊、DDOS攻擊、Smurf攻擊的實現(xiàn)。
⑺ 木馬與蠕蟲攻擊模塊。主要包括特洛伊木馬、網(wǎng)絡蠕蟲的攻擊方式的實現(xiàn)。
2.2 安全防護模塊
該模塊要側重安全保護方法的學習與掌握,其子模塊的功能如下。
⑴ 操作系統(tǒng)安全模塊。主要包括Windows操作系統(tǒng)、Linux操作系統(tǒng)的安全配置與維護,加強學生對系統(tǒng)安全知識的培養(yǎng)。
⑵ 密碼學技術模塊。主要包括對稱加密、公開加密、混合加密的實現(xiàn)。
⑶ 信息隱藏模塊。主要包括信息偽裝、數(shù)字水印技術的實現(xiàn)。
⑷ PKI模塊。主要包括CA數(shù)字證書的申請、安裝、更新、吊銷、使用等功能。
⑸ 防火墻模塊。主要使用微軟的ISA防火墻進行訪問控制的配置。
⑹ VPN技術模塊。利用Windows系統(tǒng)進行VPN的創(chuàng)建與測試。
⑺ 入侵檢測模塊。主要包括Windows系統(tǒng)平臺、Linux系統(tǒng)平臺下Snort入侵檢測的安裝、配置與檢測。
3 虛擬實踐教學平臺測試
基于職業(yè)能力培養(yǎng)的信息安全虛擬實踐教學平臺涵蓋了信息安全攻防實踐教學的絕大多數(shù)內(nèi)容,主要分為兩個大的模塊,然后不同模塊再根據(jù)學生認知能力由簡單到綜合來進行學習與實踐。本平臺采用C/S模式,開發(fā)環(huán)境為Microsoft Visual Studio 6.0,主要使用C語言完成整個虛擬實踐教學平臺的編程,實驗操作系統(tǒng)為2003,數(shù)據(jù)庫采用SQL 2005。下面以圖2的ARP攻擊與防護為例來進行測試。
3.1 ARP攻擊過程
首先,需要在黑客主機平臺上運行ARPattack程序攻擊目標主機一,將其ARP緩存表中與目標主機二相映射的MAC地址更改為黑客主機的MAC地址。
3.2 防范ARP欺騙
當發(fā)現(xiàn)主機通信異?;蛲ㄟ^網(wǎng)關不能夠正常上網(wǎng)時,很可能是網(wǎng)關的IP被偽造??梢允褂孟铝惺止げ僮鞣椒ǚ婪禔RP欺騙攻擊:①清空ARP緩存表;②實現(xiàn)IP/MAC地址綁定,Windows下綁定IP/MAC,首先清除ARP緩存表,然后將IP MAC地址對添加到緩存表中,最后實現(xiàn)開機后自動執(zhí)行。Linux下綁定IP/MAC,實驗使用的Linux系統(tǒng)環(huán)境(FC5)中,arp命令提供了-f選項,功能是將/etc/ethers文件中的IP/MAC地址對以靜態(tài)方式添加到ARP緩存表中。
建立靜態(tài)IP/MAC捆綁的方法如下:
首先建立/etc/ethers文件(或其他任意可編輯文件),編輯ethers文件,寫入正確的IP/MAC地址對應關系,格式為:172.16.0.151 00:0c:29:1d:af:2a。
然后讓系統(tǒng)在啟動后自動加載項目,具體操作:在/etc/rc.d/rc.local最后添加新行arp -f,重啟系統(tǒng)即可生效。此時查看arp緩存表,靜態(tài)項目的Flags Mask內(nèi)容為CM,其中M表示當前項目永久有效。
4 結束語
信息安全實踐教學平臺主要用于日常的信息安全實踐教學,系統(tǒng)運行速度較快,客戶端無需安裝任何軟件,配置靈活、操作簡便;本平臺主要包括網(wǎng)絡攻擊模塊和安全防護模塊兩大模塊,并分別包括七個子模塊,基本滿足信息安全攻防實踐教學需求,能替代價格昂貴的網(wǎng)絡攻防真實設備的功能,極大地節(jié)省了教學成本。因此,本平臺為信息安全技術人才的培養(yǎng),以及學校信息安全專業(yè)教學條件的改善提供了良好的實驗環(huán)境。
參考文獻:
[1] 李成大.基于Web服務的信息安全虛擬實驗系統(tǒng)的研究與實現(xiàn)[J].計算機應用,2007.27(1):122-125
[2] 徐川,唐建,唐紅.網(wǎng)絡攻防對抗虛擬實驗系統(tǒng)的設計與實現(xiàn)[J].計算機工程與設計,2011.32(4):1268-1271
[3] 張艷伶,黃聲烈,高艷華.網(wǎng)絡信息安全教學實驗系統(tǒng)平臺的構建[J].實驗技術與管理,2008.23(10):66-68
[4] 王陳章.網(wǎng)絡信息安全教學實驗系統(tǒng)[D].吉林大學,2006.
[5] 郭春霞,劉增良,陶源.虛擬網(wǎng)絡攻防分析模型[J].計算機工程與應用,2008.44(25):100-103
[6] 劉武,吳建平.段海新.用VM ware構建高效的網(wǎng)絡安全實驗床[J].計算機應用研究,2001.22(2):216-218