王瑞錦 周世杰 秦志光 吉家成

文章編號：1672-5913（2015）11-0031-05

中圖分類號：G642

摘要：針對信息安全實(shí)驗(yàn)項(xiàng)目在真實(shí)環(huán)境中開展會出現(xiàn)破壞性大、搭建實(shí)驗(yàn)環(huán)境復(fù)雜、實(shí)驗(yàn)成本高以及跨校的高水平實(shí)驗(yàn)遠(yuǎn)程共享難等問題，分析現(xiàn)有手段的弊端，提出“3層次、5模塊、7平臺”的基于“虛擬仿真”的信息安全實(shí)驗(yàn)教學(xué)體系觀點(diǎn)，同時闡述網(wǎng)絡(luò)安全防護(hù)體系架構(gòu)的設(shè)計(jì)，用以保障平臺的安全運(yùn)行。

關(guān)鍵詞：虛擬仿真；信息安全實(shí)驗(yàn)教學(xué)體系；安全防護(hù)體系

1 背景

當(dāng)前信息安全事件層出不窮，從各類信用卡數(shù)據(jù)泄露、用戶數(shù)據(jù)庫泄露到網(wǎng)絡(luò)間諜威脅、棱鏡門事件等，可以看出信息安全事件的影響越來越大。信息安全問題不僅是個人和企業(yè)的問題，也是維護(hù)國家安全和社會穩(wěn)定的一個焦點(diǎn)。2014年2月，中央宣布習(xí)近平總書記擔(dān)任中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組組長，更加表明信息安全已經(jīng)成為一個關(guān)系國家安全和主權(quán)、社會穩(wěn)定、民族文化繼承和發(fā)揚(yáng)的重要問題。因此，構(gòu)建可靠的信息安全保障系統(tǒng)，培養(yǎng)高素質(zhì)的信息安全專業(yè)精英人才已成為當(dāng)務(wù)之急。

信息安全是通信、計(jì)算機(jī)、數(shù)學(xué)、軟件工程、管理和法律等學(xué)科的交叉學(xué)科，主要研究信息與網(wǎng)絡(luò)安全的科學(xué)與技術(shù)。據(jù)不完全統(tǒng)計(jì)，截至2014年，國內(nèi)有100多所高校開設(shè)了信息安全專業(yè)，各高校都在不斷探索和研究，初步建立了特點(diǎn)不一的實(shí)驗(yàn)教學(xué)體系。其中，武漢大學(xué)構(gòu)建了“基礎(chǔ)實(shí)驗(yàn)一綜合設(shè)計(jì)實(shí)驗(yàn)一研究創(chuàng)新實(shí)驗(yàn)”的3層次實(shí)踐教學(xué)模式，通過多種平臺培養(yǎng)學(xué)生的實(shí)踐和創(chuàng)新能力。北京郵電大學(xué)搭建了“以能力提升為中心、項(xiàng)目實(shí)訓(xùn)為基礎(chǔ)、創(chuàng)新培育為重點(diǎn)”的整體化實(shí)驗(yàn)教學(xué)創(chuàng)新體系。哈爾濱工業(yè)大學(xué)秉承“項(xiàng)目實(shí)踐能力強(qiáng)”的作風(fēng)，將創(chuàng)新能力和實(shí)踐能力貫穿到實(shí)驗(yàn)教學(xué)的各環(huán)節(jié)。雖然有如此多的高校開展研究探索，但大多數(shù)高校的人才培養(yǎng)仍然停留在單純的理論授課或設(shè)備應(yīng)用層面，并且高校都面臨開展真實(shí)實(shí)驗(yàn)項(xiàng)目破壞性大、搭建實(shí)驗(yàn)環(huán)境復(fù)雜、實(shí)驗(yàn)成本高以及跨校的高水平實(shí)驗(yàn)遠(yuǎn)程共享難等問題。

電子科技大學(xué)作為我國首批設(shè)立信息安全專業(yè)的高校之一，在信息安全實(shí)驗(yàn)教學(xué)體系中，通過學(xué)習(xí)與借鑒國內(nèi)外著名院校信息安全專業(yè)建設(shè)與實(shí)踐的經(jīng)驗(yàn)，在建設(shè)國家級“信息與網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)中心”（以下簡稱“中心”）的有力支持下，建成了基于“虛擬仿真”的信息安全實(shí)驗(yàn)教學(xué)體系，涵蓋了信息、系統(tǒng)、網(wǎng)絡(luò)、移動智能終端、云計(jì)算、空天等領(lǐng)域的安全實(shí)驗(yàn)項(xiàng)目，取得了很好的教學(xué)效果。

2 建設(shè)虛擬仿真實(shí)驗(yàn)教學(xué)平臺的必要性

1）在真實(shí)實(shí)驗(yàn)環(huán)境中開展實(shí)驗(yàn)，破壞性大。

因網(wǎng)絡(luò)信息安全與攻防技術(shù)本身所具有的破壞性，為教學(xué)而設(shè)置網(wǎng)絡(luò)安全漏洞會產(chǎn)生巨大風(fēng)險。在真實(shí)的網(wǎng)絡(luò)環(huán)境中開展網(wǎng)絡(luò)攻擊、病毒注入等實(shí)驗(yàn)，將釀成災(zāi)難性后果。實(shí)驗(yàn)性計(jì)算機(jī)病毒流向公共網(wǎng)絡(luò)在計(jì)算機(jī)發(fā)展史上不乏其例，世界上第一例病毒就是從實(shí)驗(yàn)室流出到公共網(wǎng)絡(luò)。這使得該類實(shí)驗(yàn)教學(xué)必須依賴于虛擬仿真技術(shù)和手段。

2）搭建真實(shí)實(shí)驗(yàn)環(huán)境復(fù)雜、實(shí)驗(yàn)成本高。

信息安全與攻防技術(shù)真實(shí)實(shí)驗(yàn)環(huán)境規(guī)模龐大、結(jié)構(gòu)復(fù)雜，系統(tǒng)難度大，建設(shè)和維護(hù)成本高；實(shí)驗(yàn)教學(xué)中涉及的形形色色的病毒也無法在需要時實(shí)時再現(xiàn)，這些使得學(xué)生幾乎無法進(jìn)行實(shí)際的網(wǎng)絡(luò)攻防設(shè)計(jì)。

另外，受地域環(huán)境、儀器設(shè)備和安全性等因素的限制，學(xué)生不能深入生產(chǎn)一線進(jìn)行實(shí)踐鍛煉，而目前的綜合設(shè)計(jì)性實(shí)驗(yàn)僅具有少量的工程能力培養(yǎng)內(nèi)容，不能滿足需求。

3）采用“虛擬仿真”開展信息安全實(shí)驗(yàn)的優(yōu)點(diǎn)。

虛擬仿真實(shí)驗(yàn)以網(wǎng)絡(luò)虛擬化的方式為學(xué)生提供實(shí)戰(zhàn)靶機(jī)和實(shí)戰(zhàn)環(huán)境等要素共同構(gòu)成的動態(tài)仿真環(huán)境，以完成攻防過程的模擬實(shí)驗(yàn)。此外，用虛擬現(xiàn)實(shí)技術(shù)形象生動地展現(xiàn)攻防的真實(shí)過程能幫助學(xué)生更加深入地了解網(wǎng)絡(luò)攻防的工作原理和工作過程。這樣既能節(jié)省實(shí)驗(yàn)室建設(shè)的經(jīng)費(fèi)成本，又能模擬網(wǎng)絡(luò)信息安全開設(shè)實(shí)驗(yàn)時高端實(shí)驗(yàn)設(shè)備的運(yùn)行情況、實(shí)驗(yàn)的配置環(huán)境和命令行操作的一致性。同時，由于采用虛擬手段能夠?qū)崿F(xiàn)所有實(shí)驗(yàn)的過程，學(xué)生通過遠(yuǎn)程登錄，參與整個實(shí)驗(yàn)工程項(xiàng)目，能夠靈活、方便地搭建實(shí)驗(yàn)環(huán)境，能夠快速恢復(fù)實(shí)驗(yàn)環(huán)境，在達(dá)到相同教學(xué)效果的前提下，大大降低了開展真實(shí)實(shí)驗(yàn)的破壞性。

總之，基于虛擬化技術(shù)的信息安全實(shí)驗(yàn)教學(xué)體系，能將信息安全的相關(guān)實(shí)驗(yàn)和創(chuàng)新應(yīng)用模塊通過在線、遠(yuǎn)程方式加以實(shí)現(xiàn)，從而解決了真實(shí)實(shí)驗(yàn)項(xiàng)目破壞性大、搭建實(shí)驗(yàn)環(huán)境復(fù)雜、實(shí)驗(yàn)成本高以及跨校的高水平實(shí)驗(yàn)遠(yuǎn)程共享等問題。虛擬仿真能夠很好地豐富實(shí)驗(yàn)教學(xué)手段，達(dá)到全面提高本科生的創(chuàng)新精神和綜合實(shí)踐能力的目的。

3 教學(xué)體系設(shè)計(jì)

電子科技大學(xué)信息安全專業(yè)以人才培養(yǎng)目標(biāo)和創(chuàng)新能力教育為宗旨，以全面提高學(xué)生的創(chuàng)新精神和綜合實(shí)踐能力為目標(biāo)，堅(jiān)持“攻防兼?zhèn)?、以攻促防、?yīng)用牽引、資源共享”的建設(shè)理念，構(gòu)建了以“3層次、5模塊、7平臺”為內(nèi)容的信息與網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)體系，如圖1所示。

中心通過“虛”“實(shí)”結(jié)合的方式完成教學(xué)大綱要求。2007年建成的“國家級計(jì)算機(jī)實(shí)驗(yàn)教學(xué)示范中心”，為中心提供實(shí)驗(yàn)教學(xué)所需的物理環(huán)境和實(shí)物平臺。

3.1 3 層次

以“基礎(chǔ)驗(yàn)證、工程實(shí)踐和創(chuàng)新研究”為內(nèi)容的“3層次”遞進(jìn)式模型（如圖2所示），為實(shí)驗(yàn)教學(xué)的規(guī)劃提供了方法論的指導(dǎo)。學(xué)生通過集虛擬仿真實(shí)驗(yàn)資源的展示、管理、共享、交流、服務(wù)于一體的虛擬化平臺，遠(yuǎn)程共享實(shí)驗(yàn)室軟硬件資源，完成3層次遞進(jìn)式“金字塔”模式的實(shí)驗(yàn)。

基礎(chǔ)驗(yàn)證層包含了密碼學(xué)基礎(chǔ)實(shí)驗(yàn)、系統(tǒng)加固安全等實(shí)驗(yàn)；工程實(shí)踐層包括網(wǎng)絡(luò)互聯(lián)安全、網(wǎng)絡(luò)攻防實(shí)戰(zhàn)等實(shí)驗(yàn)；創(chuàng)新研究層包括云計(jì)算安全實(shí)驗(yàn)、移動終端安全、空天信息安全、信息安全競賽等實(shí)驗(yàn)。

3.2

5模塊

以“信息加密、系統(tǒng)安全加固、網(wǎng)絡(luò)互聯(lián)安全、網(wǎng)絡(luò)攻防和安全應(yīng)用”為內(nèi)容的“5模塊”，解決了如何建設(shè)實(shí)驗(yàn)項(xiàng)目的問題。

信息加密模塊支撐包括信息安全導(dǎo)論實(shí)驗(yàn)在內(nèi)的3門課程的實(shí)驗(yàn)教學(xué)任務(wù)；系統(tǒng)安全加固模塊支撐計(jì)算機(jī)病毒與防護(hù)等5門課程的實(shí)驗(yàn)教學(xué)任務(wù)；網(wǎng)絡(luò)互聯(lián)安全模塊支撐網(wǎng)絡(luò)設(shè)備配置、網(wǎng)絡(luò)與信息安全綜合設(shè)計(jì)實(shí)驗(yàn)在內(nèi)的3門課程的實(shí)驗(yàn)教學(xué)任務(wù)；網(wǎng)絡(luò)攻防支撐網(wǎng)絡(luò)攻防技術(shù)等4門課程的實(shí)驗(yàn)教學(xué)任務(wù)；安全應(yīng)用模塊支撐移動智能終端安全等2門課程的實(shí)驗(yàn)教學(xué)任務(wù)。

3.3 7平臺

最終構(gòu)建的信息安全基礎(chǔ)仿真實(shí)驗(yàn)平臺、系統(tǒng)安全加固仿真實(shí)驗(yàn)平臺、網(wǎng)絡(luò)互聯(lián)安全虛擬仿真實(shí)驗(yàn)平臺、網(wǎng)絡(luò)攻防實(shí)戰(zhàn)虛擬仿真實(shí)驗(yàn)平臺、移動智能終端安全虛擬仿真實(shí)驗(yàn)平臺、云信息安全虛擬仿真實(shí)驗(yàn)平臺、空天信息安全虛擬仿真實(shí)驗(yàn)平臺7個具體的虛擬實(shí)驗(yàn)平臺，解決了數(shù)據(jù)恢復(fù)開盤、網(wǎng)絡(luò)滲透攻擊、虛擬路由器模擬、網(wǎng)絡(luò)入侵檢測、網(wǎng)絡(luò)攻防、移動智能終端安全等27個虛擬仿真實(shí)驗(yàn)項(xiàng)目如何開設(shè)的問題。

3.4 開設(shè)的實(shí)驗(yàn)項(xiàng)目

實(shí)驗(yàn)課程按照學(xué)科和專業(yè)分布分別由7個實(shí)驗(yàn)平臺負(fù)責(zé)完成，目前可進(jìn)行27項(xiàng)虛擬仿真實(shí)驗(yàn)項(xiàng)目，包括適合開設(shè)的課程22門課程，共206學(xué)時。見表1。

4 安全防護(hù)體系架構(gòu)

我們把中心的網(wǎng)絡(luò)系統(tǒng)分為遠(yuǎn)程實(shí)驗(yàn)區(qū)與核心內(nèi)網(wǎng)兩個區(qū)域。根據(jù)這兩個區(qū)域內(nèi)用戶對虛擬仿真實(shí)驗(yàn)教學(xué)系統(tǒng)的實(shí)際需求，分別部署和完善了相應(yīng)的網(wǎng)絡(luò)與信息安全防護(hù)設(shè)施。網(wǎng)絡(luò)安全防護(hù)體系情況如圖3所示。

1）遠(yuǎn)程實(shí)驗(yàn)區(qū)安全防護(hù)。

遠(yuǎn)程實(shí)驗(yàn)區(qū)定義為本校校園網(wǎng)以外的互聯(lián)網(wǎng)區(qū)域，該區(qū)域中的用戶主要通過互聯(lián)網(wǎng)訪問本中心的信息門戶獲取和查詢公開信息，或者訪問位于核心內(nèi)網(wǎng)中的仿真實(shí)驗(yàn)平臺進(jìn)行遠(yuǎn)程在線實(shí)驗(yàn)。因此本區(qū)域中的安全防護(hù)設(shè)施主要部署于網(wǎng)絡(luò)對外接口位置，包括防火墻、IPS、VPN等設(shè)備，提供邊界檢查、建立安全區(qū)域、控制數(shù)據(jù)包的進(jìn)出、防范和抵御網(wǎng)絡(luò)入侵和攻擊等防護(hù)功能。這些安全防護(hù)設(shè)施側(cè)重于為互聯(lián)網(wǎng)用戶提供兩類信息服務(wù)。

第一類服務(wù)是為互聯(lián)網(wǎng)用戶提供關(guān)于本中心實(shí)驗(yàn)教學(xué)與服務(wù)信息的獲取與查詢服務(wù)，主要采用在防火墻的DMZ區(qū)部署對外提供信息服務(wù)的Web門戶服務(wù)器等。用戶通過瀏覽器即可便捷地獲取本中心對外發(fā)布的公開信息。

第二類服務(wù)是為用戶提供接人核心內(nèi)網(wǎng)的安全接入通道?；ヂ?lián)網(wǎng)用戶通過VPN方式接入后即可獲得與校園網(wǎng)內(nèi)主機(jī)相同的地位，在完成身份認(rèn)證后即可實(shí)現(xiàn)安全接入仿真平臺進(jìn)行在線實(shí)驗(yàn)的功能。IPS入侵防護(hù)用于檢測和防范各種惡意攻擊。

2）核心內(nèi)網(wǎng)區(qū)安全防護(hù)。

核心內(nèi)網(wǎng)定義為本中心內(nèi)部網(wǎng)絡(luò)區(qū)域，通過防火墻與外網(wǎng)遠(yuǎn)程實(shí)驗(yàn)區(qū)進(jìn)行安全隔離與訪問控制。

核心內(nèi)網(wǎng)中部署各仿真實(shí)驗(yàn)平臺和相關(guān)安全管理設(shè)施，是提供在線仿真實(shí)驗(yàn)教學(xué)各項(xiàng)應(yīng)用服務(wù)的核心設(shè)施。核心內(nèi)網(wǎng)在基礎(chǔ)網(wǎng)絡(luò)上采用VLAN技術(shù)實(shí)現(xiàn)子網(wǎng)的劃分、用戶的隔離和訪問控制；在實(shí)驗(yàn)平臺的物理部署上采用本中心主平臺與各分實(shí)驗(yàn)平臺分離的模式實(shí)現(xiàn)安全保障；在應(yīng)用層面上采用用戶身份注冊、認(rèn)證和訪問權(quán)限的授權(quán)等措施來確保應(yīng)用訪問的安全性。

5 結(jié)語

電子科技大學(xué)構(gòu)建了基于“虛擬仿真”的信息安全實(shí)驗(yàn)教學(xué)體系，涵蓋了信息、系統(tǒng)、網(wǎng)絡(luò)、移動智能終端、云計(jì)算、空天等領(lǐng)域的安全實(shí)驗(yàn)項(xiàng)目，取得了很好的教學(xué)效果，對于推進(jìn)我國信息安全專業(yè)人才教育和發(fā)展有著重要的實(shí)踐與現(xiàn)實(shí)意義。