張俊青

【摘要】 隨著科學(xué)技術(shù)的進(jìn)步，信息與安全技術(shù)已經(jīng)成為一門(mén)重要的新興學(xué)科，該學(xué)科在未來(lái)仍然有十分廣闊的發(fā)展前景，對(duì)于國(guó)家的發(fā)展也有重要意義。筆者將介紹高職計(jì)算機(jī)信息與安全實(shí)驗(yàn)室的建設(shè)、規(guī)劃以及維護(hù)工作，不僅可以幫助學(xué)生提高技能素養(yǎng)，還能開(kāi)發(fā)學(xué)生創(chuàng)新能力和動(dòng)手能力。

【關(guān)鍵詞】 計(jì)算機(jī) 信息與安全 實(shí)驗(yàn)室 維護(hù)

信息安全作為二十一世紀(jì)最具有活力的技術(shù)之一，有很強(qiáng)的應(yīng)用性和實(shí)踐性。目前不少高職院校為了加強(qiáng)學(xué)生相關(guān)技能的培養(yǎng)，逐漸開(kāi)始建設(shè)計(jì)算機(jī)信息與安全實(shí)驗(yàn)室，為社會(huì)輸送大量信息安全的人才。由于信息安全又是一門(mén)理論性很強(qiáng)的學(xué)科，所以實(shí)驗(yàn)室的建立也并非易事，信息與安全實(shí)驗(yàn)室的實(shí)現(xiàn)將會(huì)使教學(xué)更加生動(dòng)，對(duì)學(xué)生的發(fā)展有不可估量的作用。

一、建立信息與安全實(shí)驗(yàn)室的意義

1.1 企業(yè)對(duì)信息安全人才的需求增加

隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，其應(yīng)用相比以前也更加廣泛，涉及到各行各業(yè)。而科學(xué)的運(yùn)用是把雙刃劍，計(jì)算機(jī)的大范圍運(yùn)用必將爆發(fā)信息安全問(wèn)題。在企業(yè)信息化進(jìn)程加快的情況下，高度集中的信息極其容易遭受黑客、木馬等的攻擊，使企業(yè)面臨信息泄露的險(xiǎn)境。企業(yè)為了加強(qiáng)信息安全工作，對(duì)相關(guān)人才的需求量越來(lái)越大。因此信息與安全實(shí)驗(yàn)室的建立可以為企業(yè)輸送大量具備較強(qiáng)實(shí)踐能力的信息安全技術(shù)人才，確保企業(yè)的正常運(yùn)行。

1.2 信息安全問(wèn)題對(duì)社會(huì)的不良影響

計(jì)算機(jī)已經(jīng)成為大多數(shù)城市居民的家庭必需品，互聯(lián)網(wǎng)也成為人們生活中不可缺少的一部分。不少網(wǎng)絡(luò)木馬和病毒對(duì)個(gè)人計(jì)算機(jī)的正常使用造成威脅，導(dǎo)致經(jīng)濟(jì)上和心理上的損失，因此計(jì)算機(jī)信息安全是當(dāng)今社會(huì)的迫切需求，盡管目前市面上殺毒軟件種類(lèi)繁多，但是有時(shí)面對(duì)新型入侵方式仍然手足無(wú)措，為了避免社會(huì)遭受越來(lái)越嚴(yán)重的損失，必須加強(qiáng)社會(huì)的信息安全工作水平。

1.3 高職院校的教學(xué)要求

高職院校的辦學(xué)初衷就是為社會(huì)輸送具備扎實(shí)技能的實(shí)踐性人才，而目前不少高職院校的信息安全科學(xué)僅停留在理論層面，學(xué)生對(duì)信息與安全技術(shù)并沒(méi)有太多實(shí)踐的機(jī)會(huì)。為了加強(qiáng)培養(yǎng)學(xué)生的實(shí)踐能力和創(chuàng)新能力，計(jì)算機(jī)信息與安全實(shí)驗(yàn)室的建立勢(shì)在必行，只有這樣才能使學(xué)生具備更強(qiáng)的解決實(shí)際問(wèn)題的能力，在未來(lái)的工作崗位為社會(huì)、國(guó)家做出更大的貢獻(xiàn)。

二、計(jì)算機(jī)信息與安全實(shí)驗(yàn)室建設(shè)的目標(biāo)和總體規(guī)劃

高職計(jì)算機(jī)信息與安全實(shí)驗(yàn)室應(yīng)當(dāng)主要分為三部分：中心實(shí)驗(yàn)室、研究實(shí)驗(yàn)室、基礎(chǔ)實(shí)驗(yàn)室。學(xué)生在學(xué)習(xí)過(guò)程中進(jìn)行實(shí)踐訓(xùn)練應(yīng)當(dāng)在基礎(chǔ)實(shí)驗(yàn)室進(jìn)行，該實(shí)驗(yàn)室面向的對(duì)象是處于基礎(chǔ)知識(shí)學(xué)習(xí)階段的學(xué)生。研究實(shí)驗(yàn)室也稱(chēng)為專(zhuān)項(xiàng)實(shí)驗(yàn)室，此實(shí)驗(yàn)室面對(duì)的對(duì)象是執(zhí)行特定項(xiàng)目的研究人員，能夠?qū)崿F(xiàn)某種具體的實(shí)驗(yàn)要求，適用面較窄、較偏，僅作為院校研究課題使用。中心實(shí)驗(yàn)室則面向所有學(xué)生，適用性較強(qiáng)，應(yīng)用面更加廣泛。

2.1 建立信息與安全實(shí)驗(yàn)室的目的

計(jì)算機(jī)信息與安全實(shí)驗(yàn)室和其他實(shí)驗(yàn)室有較大差異，信息與安全實(shí)驗(yàn)室對(duì)設(shè)備的要求比較高，通常需要特定的服務(wù)器和微機(jī)。

服務(wù)器通常必須支撐不同使用情況，滿足不同的應(yīng)用平臺(tái)，既可以實(shí)現(xiàn)教學(xué)要求，也可以實(shí)現(xiàn)科研的需求，學(xué)生和教師都是實(shí)驗(yàn)室服務(wù)器服務(wù)的對(duì)象，這一點(diǎn)必須兼顧。學(xué)生應(yīng)當(dāng)能夠通過(guò)信息與安全實(shí)驗(yàn)室學(xué)到扎實(shí)的信息安全技術(shù)，能夠在未來(lái)就業(yè)崗位發(fā)揮重要作用，教師應(yīng)當(dāng)能夠借助實(shí)驗(yàn)室完成相關(guān)研究工作，除此之外，實(shí)驗(yàn)室還應(yīng)為學(xué)生提供實(shí)習(xí)機(jī)會(huì)，了解更多信息安全問(wèn)題，注重項(xiàng)目實(shí)踐以外，了解更多理論研究工作。

2.1.1 教育方面

高職院校計(jì)算機(jī)信息與安全實(shí)驗(yàn)室首先應(yīng)當(dāng)滿足的是學(xué)生的教育問(wèn)題，實(shí)驗(yàn)室是學(xué)生運(yùn)用理論知識(shí)的最好的平臺(tái)，可以進(jìn)行實(shí)驗(yàn)、課程設(shè)計(jì)等實(shí)踐環(huán)節(jié)。實(shí)現(xiàn)這一目的的難點(diǎn)在于如何構(gòu)建自主的實(shí)驗(yàn)環(huán)境，否則實(shí)驗(yàn)將變得毫無(wú)意義，而且配置應(yīng)當(dāng)容易恢復(fù)初始狀態(tài)。實(shí)驗(yàn)室必須提供足夠豐富的安全工具庫(kù)，才能保證學(xué)生進(jìn)行更加自主的實(shí)驗(yàn)，提升創(chuàng)新能力和獨(dú)立思考能力。安全數(shù)據(jù)庫(kù)也可以理解為資源庫(kù)，是教師和學(xué)生都極其需要的資源來(lái)源，否則難以在這個(gè)信息技術(shù)爆炸的時(shí)代緊緊抓住最新的信息安全技術(shù)。在計(jì)算機(jī)信息安全實(shí)驗(yàn)課中，學(xué)生可以將安全工具庫(kù)作為工具來(lái)進(jìn)行試驗(yàn)和模擬。

比如學(xué)生可以首先安裝出入侵檢測(cè)系統(tǒng)，并用安全工具庫(kù)中的具有攻擊性的工具對(duì)計(jì)算機(jī)展開(kāi)攻擊，檢驗(yàn)IDS的可靠性，信息安全數(shù)據(jù)庫(kù)可以為學(xué)生節(jié)省大量時(shí)間和精力，提供更多的便利，將理論與實(shí)踐相結(jié)合，取得更佳的學(xué)習(xí)效果。安全工具庫(kù)還可以幫助學(xué)生進(jìn)行系統(tǒng)管理的練習(xí)。比如在某個(gè)課程中，三個(gè)學(xué)生分為一組，每組負(fù)責(zé)維護(hù)三臺(tái)計(jì)算機(jī)，這三臺(tái)計(jì)算機(jī)采用不同的操作系統(tǒng)，每組學(xué)生之間相互進(jìn)行攻擊和防御練習(xí)。

2.1.2 研究方面

信息與安全實(shí)驗(yàn)室除了可以用于學(xué)生練習(xí)和培養(yǎng)技能外，還可以作為理想的研究場(chǎng)所。目前不少高職院校也承擔(dān)了入侵檢測(cè)、門(mén)限密碼、信息隱藏處理等項(xiàng)目的研究工作，計(jì)算機(jī)信息與安全實(shí)驗(yàn)室應(yīng)當(dāng)提供研究的基本需求，信息安全實(shí)驗(yàn)室要立足于科研，提供優(yōu)良的科研環(huán)境。面對(duì)最終產(chǎn)品的測(cè)試時(shí)，信息與安全實(shí)驗(yàn)室要提供理想的試驗(yàn)環(huán)境，在配置上要滿足易于恢復(fù)的條件，因?yàn)樵囼?yàn)時(shí)經(jīng)常會(huì)因?yàn)檎`操作損壞計(jì)算機(jī)初始配置，影響使用。

2.2 信息與安全實(shí)驗(yàn)室總體規(guī)劃

信息與安全實(shí)驗(yàn)室除了對(duì)硬件設(shè)施要比較苛刻的要求外，對(duì)安全軟件也要明確的需求，只有使用正版的專(zhuān)用安全軟件，才能真正地實(shí)現(xiàn)信息安全研究和管理，軟件的使用對(duì)操作系統(tǒng)也常常有特殊要求，這就要求采用專(zhuān)門(mén)的信息安全教學(xué)平臺(tái)。計(jì)算機(jī)信息與安全實(shí)驗(yàn)室的實(shí)現(xiàn)對(duì)實(shí)驗(yàn)人員也提出很高的要求，實(shí)驗(yàn)人員不僅要能夠維護(hù)實(shí)驗(yàn)室的正常運(yùn)行，而且能夠協(xié)助教師完成教學(xué)任務(wù)，對(duì)學(xué)生的技能培養(yǎng)有指導(dǎo)作用。

三、計(jì)算機(jī)信息與安全實(shí)驗(yàn)室的設(shè)備構(gòu)成

高職院校計(jì)算機(jī)信息與安全實(shí)驗(yàn)室的教學(xué)平臺(tái)主要通過(guò)中心控制平臺(tái)、安全設(shè)備、組控設(shè)備（有線、無(wú)線）和管理服務(wù)器構(gòu)成。針對(duì)教學(xué)內(nèi)容，構(gòu)建出特定的網(wǎng)絡(luò)條件，這樣可以有助于實(shí)現(xiàn)各種不同的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

安全設(shè)備和組控設(shè)備安裝在一起，共同構(gòu)成主控中心平臺(tái)，為日常的實(shí)驗(yàn)和教學(xué)提供網(wǎng)絡(luò)結(jié)構(gòu)，并且可以對(duì)各設(shè)備統(tǒng)一管理，必要時(shí)為用戶實(shí)現(xiàn)擴(kuò)展，在教師機(jī)和學(xué)生機(jī)之間實(shí)現(xiàn)通訊功能。

安全設(shè)備有多種不同工作模式，可以方便進(jìn)行網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)間的轉(zhuǎn)換。安全設(shè)備能夠?qū)崿F(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)，并實(shí)現(xiàn)交換模塊的功能，企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)中安全設(shè)備多以安全防火墻的形式出現(xiàn)。組控設(shè)備則是學(xué)校信息安全實(shí)驗(yàn)室中特殊用途的硬件設(shè)施，通常是由若干共享模塊共同構(gòu)成，可以實(shí)現(xiàn)數(shù)據(jù)搜集、合理分配緩存區(qū)等作用。無(wú)線組控符合IEEE802.11g標(biāo)準(zhǔn)，和學(xué)生機(jī)之間可以共同構(gòu)成無(wú)線局域網(wǎng)。應(yīng)用服務(wù)器專(zhuān)門(mén)為實(shí)驗(yàn)提供軟件服務(wù)，可以作為實(shí)驗(yàn)的參考和查詢手冊(cè)。管理服務(wù)器的功能和其他管理系統(tǒng)蕾絲，都是對(duì)信息進(jìn)行集成化管理，對(duì)實(shí)驗(yàn)設(shè)備使用狀況、課程安排、實(shí)驗(yàn)考勤記載、成績(jī)登記、文件安全等進(jìn)行協(xié)調(diào)管理。

高職計(jì)算機(jī)信息與安全實(shí)驗(yàn)室是一項(xiàng)規(guī)模較大、技術(shù)先進(jìn)的項(xiàng)目，實(shí)驗(yàn)室網(wǎng)絡(luò)環(huán)境應(yīng)當(dāng)多樣化，提供各類(lèi)局域網(wǎng)、無(wú)線網(wǎng)和內(nèi)部通訊網(wǎng)絡(luò)，并能外接至Cernet，專(zhuān)用網(wǎng)絡(luò)的帶寬必須足夠?qū)?，否則對(duì)安全理論研究會(huì)產(chǎn)生阻礙。由于實(shí)驗(yàn)室各類(lèi)軟件對(duì)操作系統(tǒng)的要求不一，所以必須具備多種型號(hào)的主機(jī)，并選取性能優(yōu)良的計(jì)算機(jī)作為服務(wù)器、工作站。除了支持一般的Windows操作系統(tǒng)外，也應(yīng)當(dāng)兼容Unix系列的操作系統(tǒng)，這都是信息安全工作最常用的操作系統(tǒng)。信息與安全實(shí)驗(yàn)室是開(kāi)放性的實(shí)驗(yàn)環(huán)境，應(yīng)當(dāng)具備功能全面的實(shí)驗(yàn)系統(tǒng)，教師能夠完成絕大部分實(shí)驗(yàn)教學(xué)。

為了加強(qiáng)信息安全實(shí)驗(yàn)室的實(shí)踐意義，應(yīng)當(dāng)配備網(wǎng)絡(luò)攻防仿真環(huán)境，為學(xué)生創(chuàng)造虛擬的實(shí)踐機(jī)會(huì)，鍛煉動(dòng)手能力和解決實(shí)際問(wèn)題的能力。實(shí)驗(yàn)室能夠有能力承擔(dān)重要科研項(xiàng)目的研究工作。

信息與安全實(shí)驗(yàn)室的設(shè)備應(yīng)當(dāng)是成套的，要滿足學(xué)生用戶的課程設(shè)計(jì)等需要。對(duì)于網(wǎng)絡(luò)設(shè)備，應(yīng)當(dāng)有訪問(wèn)物理層的權(quán)限，并以某單IP實(shí)現(xiàn)所有交換機(jī)端口的管理。將實(shí)驗(yàn)室分為若干網(wǎng)段，可以使得PC和路由器一樣與其他PC相連，方便實(shí)現(xiàn)不同的模擬環(huán)境。

四、信息與安全實(shí)驗(yàn)室的軟件需求

4.1 操作系統(tǒng)

上文已經(jīng)提到信息與安全實(shí)驗(yàn)室至少裝有Windows和Unix系列的操作系統(tǒng)，后者主要包括Unix、Linux、Solaris等，操作系統(tǒng)的種類(lèi)越多越好，因?yàn)檫@樣更加方便研究人員在不同系統(tǒng)中驗(yàn)證試驗(yàn)結(jié)果。

4.2 安全工具

安全工具庫(kù)是教學(xué)和研究甚至其他外延工作的基礎(chǔ)，建立安全工具庫(kù)必須提供數(shù)量足夠龐大的安全工具，其中主要的安全工具包括掃描器、嗅探器、木馬、拒絕服務(wù)攻擊、后門(mén)程序、入侵檢測(cè)系統(tǒng)和防病毒工具。掃描器是通過(guò)搜集系統(tǒng)信息來(lái)自動(dòng)檢測(cè)遠(yuǎn)程或者本地主機(jī)的安全性弱點(diǎn)的程序，分為主動(dòng)探測(cè)和被動(dòng)探測(cè)兩類(lèi)，兩者的區(qū)別在于是否向目的主機(jī)發(fā)送信息。拒絕服務(wù)是一類(lèi)攻擊行為，通過(guò)不停發(fā)送大量數(shù)據(jù)包致使系統(tǒng)崩潰。

4.3 模擬軟件

模擬軟件是幫助學(xué)生檢驗(yàn)學(xué)習(xí)效果，教師檢驗(yàn)試驗(yàn)結(jié)論的重要軟件，可以彌補(bǔ)實(shí)驗(yàn)室無(wú)法完成的試驗(yàn)需求的漏洞。比如試驗(yàn)需要在城域網(wǎng)或者范圍更大的網(wǎng)絡(luò)上進(jìn)行，實(shí)驗(yàn)室無(wú)法提供這種大規(guī)模試驗(yàn)條件，經(jīng)濟(jì)條件難以達(dá)到，但是通過(guò)適當(dāng)?shù)哪M軟件，就可以用軟件有效地彌補(bǔ)硬件上的空缺。目前商用的模擬軟件種類(lèi)很多，國(guó)內(nèi)大學(xué)和科研機(jī)構(gòu)自主研發(fā)的模擬軟件也較多，相比商業(yè)軟件價(jià)格更加低廉和適用于研究工作，兼容性也較好?？茖W(xué)研究使用的軟件大多是開(kāi)放性強(qiáng)的軟件包，方便建模和模擬，也可以通過(guò)網(wǎng)絡(luò)共享的形式將資源共享，方便研究人員之間交流和研究，但是功能沒(méi)有商業(yè)軟件齊全。

適合高職計(jì)算機(jī)信息與安全實(shí)驗(yàn)室的模擬軟件主要有SSFNet、Cnet、OPNET、BONes等。這些模擬軟件的模擬方式都是事件驅(qū)動(dòng)，前二者是命令符編輯器建模，后二者是圖形化編輯器建模。OPNET和BONes均是商業(yè)軟件，所以均支持動(dòng)態(tài)觀察模擬過(guò)程，其中OPNET的運(yùn)行環(huán)境最為廣泛，但是價(jià)格十分高昂，高職院校在確定仿真需求后才決定是否選用OPNET。

五、 信息與安全實(shí)驗(yàn)室的維護(hù)

信息與安全實(shí)驗(yàn)室的構(gòu)建耗資巨大，因此必須加強(qiáng)維護(hù)工作，日常進(jìn)行軟件的安裝和管理工作，對(duì)安全性能較高的工具設(shè)置管理員權(quán)限都十分有必要，確保主機(jī)沒(méi)有安全漏洞。

維護(hù)信息與安全實(shí)驗(yàn)室必須確保完整性，實(shí)現(xiàn)維護(hù)的完整性就必須從計(jì)算機(jī)的配置進(jìn)行控制，因?yàn)橛?jì)算機(jī)配置一旦被攻擊，計(jì)算機(jī)將會(huì)處于更為嚴(yán)重的威脅之下，直接影響正常工作，產(chǎn)生大量虛假數(shù)據(jù)，除此之外，如果在計(jì)算機(jī)內(nèi)新裝入軟件，也會(huì)產(chǎn)生其他負(fù)面影響。因此維護(hù)計(jì)算機(jī)時(shí)除非管理人員均不能隨意改變計(jì)算機(jī)配置。下面將介紹三類(lèi)保護(hù)工作中基準(zhǔn)配置的技術(shù)手段。

5.1 配置鎖定技術(shù)

配置鎖定是計(jì)算機(jī)經(jīng)常使用的技術(shù)，可以將計(jì)算機(jī)的配置鎖定，除了管理員外都不能修改計(jì)算機(jī)配置。但是在計(jì)算機(jī)信息與安全實(shí)驗(yàn)室如果孤立地使用配置鎖定技術(shù)，實(shí)驗(yàn)室的教學(xué)和科研目的將不能實(shí)現(xiàn)。

5.2 克隆

信息安全實(shí)驗(yàn)室采用的克隆技術(shù)是把鏡像文件從受保護(hù)工作站中拷貝至配置完全相同的計(jì)算機(jī)中，方便恢復(fù)原始配置?？寺〖夹g(shù)可以有效地解決配置恢復(fù)問(wèn)題，但是突出的問(wèn)題就是拷貝過(guò)程花費(fèi)大量時(shí)間。通過(guò)網(wǎng)絡(luò)傳輸雖然理論上更加方便快捷，但是克隆結(jié)果預(yù)知性較差，對(duì)于科研項(xiàng)目這種對(duì)時(shí)間敏感性較強(qiáng)的實(shí)踐，網(wǎng)絡(luò)一旦癱瘓，項(xiàng)目將無(wú)法繼續(xù)，直接影響信息安全實(shí)驗(yàn)室的正常運(yùn)行。

5.3 配置保持

配置鎖定和克隆技術(shù)都有各自的不足，為了尋找一種更加有效的維護(hù)手段，可以用一些功能性軟件實(shí)現(xiàn)實(shí)驗(yàn)室的需求。其中常用的是“沙盒”和“封裝”這兩類(lèi)應(yīng)用。

“沙盒”是用于保護(hù)底層資源的子集，用戶可以獲得某臺(tái)計(jì)算機(jī)的超級(jí)用戶權(quán)限，進(jìn)而可以根據(jù)自身需要安裝、配置軟件，但是一切操作都限制在沙盒文件系統(tǒng)之中?！胺庋b”把外層用戶從底層軟件資源中分離出來(lái)，使用者不會(huì)覺(jué)得在“封裝”之外和實(shí)際操作有任何差異?！胺庋b”和“沙盒”的思想是相似的，均是在對(duì)工作站有很強(qiáng)保護(hù)的基礎(chǔ)上，為用戶提供盡量多的權(quán)限，二者的區(qū)別是前者使用戶感覺(jué)其是一臺(tái)普通的計(jì)算機(jī)，但能使用所有功能，后者則僅保護(hù)必須的文件系統(tǒng)和庫(kù)。

綜上所述，配置保持是效果最好的維護(hù)工作站安全工作的技術(shù)手段，克隆和配置鎖定在一定情況下效果也較好，實(shí)現(xiàn)過(guò)程更加容易，只有在特殊的條件下缺點(diǎn)暴露的比較明顯，一般而言，情況允許的情況下采用配置保持是最佳方案。

六、小結(jié)

高職院校培養(yǎng)學(xué)生是為了為社會(huì)輸送更加具備實(shí)踐操作能力的人才，因此建立計(jì)算機(jī)信息與安全實(shí)驗(yàn)室十分必要，只要這樣才能為學(xué)生創(chuàng)造良好的實(shí)踐環(huán)境，才能將理論知識(shí)轉(zhuǎn)化為實(shí)際技能，實(shí)驗(yàn)室的實(shí)現(xiàn)需要從軟件和硬件等多方面進(jìn)行，要綜合考慮各項(xiàng)因素，選擇最合適的設(shè)備和軟件，為學(xué)生、教職工提供優(yōu)良的平臺(tái)，促進(jìn)社會(huì)信息安全技術(shù)的發(fā)展。

參 考 文 獻(xiàn)

[1] 張新剛，潘恒，王保平等.高校計(jì)算機(jī)公共實(shí)驗(yàn)室的典型安全威脅及防御[J].實(shí)驗(yàn)室研究與探索，2011，30（7）：197-200.

[2] 喬岸紅.論實(shí)驗(yàn)室信息網(wǎng)絡(luò)安全技術(shù)與管理[J].電腦編程技巧與維護(hù)，2013，（8）：115-118.

[3] 唐海濤，金京姬，孟繁二等.淺談網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室規(guī)劃與建設(shè)[J].中國(guó)科教創(chuàng)新導(dǎo)刊，2010，（10）：173-174.