陸世堯

（南京廣播電視大學(xué)，江蘇 南京 210002）

高校信息安全實驗室的建設(shè)探討

陸世堯

（南京廣播電視大學(xué)，江蘇 南京 210002）

信息安全不僅僅是一個應(yīng)用型的專業(yè)領(lǐng)域，同時也是一種以信息安全教育為目的的實踐性教學(xué)。高校如果要培養(yǎng)出適應(yīng)國家和社會發(fā)展需要的安全技術(shù)人才，就必須搭建一個符合現(xiàn)代化要求的信息安全實驗室。文章從實際出發(fā)，分析了信息安全的建設(shè)背景，提出了信息安全實驗室建設(shè)標準，最后探討了信息安全實驗室環(huán)境建設(shè)方案。

高校；信息安全；實驗室建設(shè)；網(wǎng)絡(luò)與信息安全教學(xué)

1 互聯(lián)網(wǎng)發(fā)展帶來安全隱患—催生安全產(chǎn)業(yè)需求

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)技術(shù)給我們的生活帶來了很多便利，但同時也將很多用戶帶入了進退兩難的境地。近年來，中國的信息化正以驚人的速度發(fā)展，但隨之而來的信息安全問題也日益突出。國內(nèi)的網(wǎng)絡(luò)安全攻擊事件愈演愈烈，國際上以"棱鏡門”為代表性的事件陸續(xù)被曝光，國內(nèi)以“世紀樂知”（China Software Developer Network，CSDN）—最大的IT社區(qū)被拖庫為最具有代表性的事件，震撼國內(nèi)互聯(lián)網(wǎng)，事件影響巨大。

院校嚴重缺乏雙師型師資、實踐教材、實驗環(huán)境。國內(nèi)信息安全、網(wǎng)絡(luò)安全技術(shù)發(fā)展相對落后，從武漢大學(xué)第一個試點信息安全專業(yè)至今，國家對網(wǎng)絡(luò)安全人才的培養(yǎng)越來越重視，但是由于國情，網(wǎng)絡(luò)安全教學(xué)中沒有教材和案例，亦沒有資深教師，另外一個層面，網(wǎng)絡(luò)安全技術(shù)是實踐性、操作性很強的學(xué)科，攻防實驗室的出現(xiàn)是網(wǎng)絡(luò)安全教學(xué)中重要的發(fā)展階段，目前國內(nèi)基本沒有商業(yè)化或者對外公開的實驗室環(huán)境，因為對網(wǎng)絡(luò)安全實驗環(huán)境很難做到實驗環(huán)境內(nèi)核不被破壞和攻擊。沒有良好的實驗環(huán)境很難進行有成效的教學(xué)。

基于這些大背景，調(diào)研發(fā)現(xiàn)很多高職院校有建設(shè)銳捷網(wǎng)絡(luò)的信息安全實驗室，其在信息安全領(lǐng)域引入了成功應(yīng)用的安全解決方案，并將其帶入到實驗室建設(shè)中，以期為學(xué)校培養(yǎng)出大量滿足市場需求的安全應(yīng)用復(fù)合型人才。

2 信息安全實驗室建設(shè)標準

信息安全不僅僅是一個應(yīng)用型的專業(yè)，同時也是一種以信息安全教育為目的的實踐性教學(xué)。如果高校能給學(xué)生提供一個信息安全實踐環(huán)境，讓學(xué)生在該實踐環(huán)境中進行測試和實驗，不僅將大大提高學(xué)生的動手能力，還能深化其對理論知識的理解，這是非常有意義的一件事，尤其是在如此大的信息安全人才缺口下。因而，高校有義務(wù)也有責(zé)任開設(shè)信息安全學(xué)科和組建信息安全實驗室。

信息安全實驗室一方面應(yīng)當(dāng)結(jié)合信息安全技術(shù)和應(yīng)用領(lǐng)域的經(jīng)驗深入探索，另一面，要以培養(yǎng)信息安全人才為目的組建信息安全實踐環(huán)境。在信息安全技術(shù)領(lǐng)域里進行實踐性的教學(xué)，它的主要形式是實驗，應(yīng)該強調(diào)實驗環(huán)境的仿真性和實驗環(huán)節(jié)的綜合性，以培養(yǎng)學(xué)生的整體實戰(zhàn)意識和開闊學(xué)生的安全視野。信息安全技術(shù)的應(yīng)用范圍是非常廣闊的。

信息安全教學(xué)實踐環(huán)境強調(diào)以下幾點：

（1）系統(tǒng)化。信息安全既是單一的系統(tǒng)化概念，也是一套完整的系統(tǒng)化概念。個體的安全保障并不能保護整個網(wǎng)絡(luò)環(huán)境，更不能保護整個信息系統(tǒng)的安全。整套安全系統(tǒng)由多種安全防護技術(shù)和安全保障措施有機地結(jié)合。信息安全管理員需要對整個網(wǎng)絡(luò)實驗環(huán)境有一個系統(tǒng)的、概念化的認識。因此不僅要培養(yǎng)學(xué)生的縱深防御技術(shù)能力，也要深入培養(yǎng)學(xué)生的全局安全觀。

（2）仿真性。信息安全保障的是有價值的信息資源，它們可能是個人隱私信息，可能關(guān)系國家安全信息，也可能是企業(yè)商業(yè)情報等。有別于傳統(tǒng)的信息技術(shù)應(yīng)用，信息安全管理員必須意識到他們的權(quán)利和責(zé)任的特殊性。如果實踐內(nèi)容能夠源于真實的行業(yè)安全解決方案，那么將很大程度上幫助學(xué)生培養(yǎng)安全意識和法律意識。與此同時，一個以現(xiàn)實網(wǎng)絡(luò)環(huán)境為基礎(chǔ)，由此來搭建的安全實驗環(huán)境對于加強學(xué)生的實踐能力有著無法超越的作用。

（3）標準化。2007年6月，公安部、國家保密局、國家密碼管理局和國務(wù)院信息化工作辦公室聯(lián)合下發(fā)了《信息安全等級保護管理辦法》，對信息安全等級的劃分與保護、等級保護的實施與管理、法律責(zé)任進行了規(guī)定。7月，下發(fā)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》對重要信息系統(tǒng)安全等級保護定級工作提出要求。其對應(yīng)的安全保障措施就是國內(nèi)各安全方案提供商提出的網(wǎng)絡(luò)空間安全防御策略。將這些最佳實踐案例融入實驗教學(xué)中，能夠讓學(xué)生掌握更符合國情的安全實踐能力。

（4）適用性。信息安全實踐內(nèi)容，既要真實性，也要適用于院校的專業(yè)課程設(shè)置。信息安全實驗室的建設(shè)，必須與院校的專業(yè)與課程定位匹配。先進的行業(yè)案例要聚焦到不同專業(yè)、不同課程的教學(xué)目標中，確保實驗室建設(shè)適用并滿足教學(xué)需求。

由上述分析得出，信息安全實驗室的建設(shè)必須建立一個現(xiàn)實的網(wǎng)絡(luò)模型，建立一個全面的信息安全實驗環(huán)境。該環(huán)境由一套軟硬件設(shè)施構(gòu)成，能夠再現(xiàn)源于真實行業(yè)解決方案的實驗案例，學(xué)習(xí)到行業(yè)中安全解決方案的最佳實踐經(jīng)驗；在這個環(huán)境中，學(xué)生可以進行實驗規(guī)劃、實施、分析和報告，也可以進行安全理論技術(shù)拓展研究。因此，信息安全實驗室建設(shè)的依據(jù)和標準須遵循以下框架。

3 信息安全實驗室環(huán)境建設(shè)方案

3.1 實驗機架部署

實驗機架部署示意圖如圖1所示。

圖1 實驗機架部署示意圖

3.2 實驗機架產(chǎn)品介紹

（1）網(wǎng)絡(luò)設(shè)備控制單元。網(wǎng)絡(luò)設(shè)備的控制單元提供了一個高密度的一步接口和16路控制電纜，可以連接至三層交換機、數(shù)據(jù)中心交換機等網(wǎng)絡(luò)設(shè)備的控制臺接口上。其IP接口與教室局域網(wǎng)核心交換機互聯(lián)，與學(xué)生PC的IP可達。這樣，學(xué)生只需要通過遠程登錄終端訪問續(xù)存卡管理系統(tǒng)（Recharge Card Management System，RCMS），就可以通過RCMS登錄到機架內(nèi)所有網(wǎng)絡(luò)設(shè)備的控制臺，不需要在學(xué)生電腦和網(wǎng)絡(luò)設(shè)備之間頻繁插入控制臺電纜。

（2）下一代防火墻。具備行業(yè)普遍的各層防火墻安全功能，學(xué)生可以練習(xí)防火墻的各種部署方式和安全策略實現(xiàn)方式。并且學(xué)生還可以學(xué)習(xí)到業(yè)界先進的虛擬防火墻技術(shù)，將一臺防火墻虛擬成多臺防火墻以滿足混合式的安全需求。

（3）用戶行為管理與審計系統(tǒng)。學(xué)生可以練習(xí)到帶寬管理、用戶行為管理、日志審計管理、內(nèi)網(wǎng)信息推送等普遍的用戶上網(wǎng)行為策略?？梢匀胬斫?～7層的全面檢查和分析，深度識別、管控和審計的行業(yè)應(yīng)用方法。

（4）虛擬專用網(wǎng)（Virtual Private Network，VPN）網(wǎng)關(guān)。具備行業(yè)普遍使用的多種VPN功能，學(xué)生可以練習(xí)到L2L，Remote等多種VPN部署方式，以及多種隧道和加密技術(shù)在VPN部署中的實現(xiàn)方式。

（5）三層交換機。學(xué)生可以學(xué)習(xí)網(wǎng)絡(luò)接入層的各種安全策略，包括CPP，NFPP，ISG、防ARP欺騙、ACL、端口安全技術(shù)等，在網(wǎng)絡(luò)工程教學(xué)中學(xué)習(xí)多種交換網(wǎng)絡(luò)常用技術(shù)，包括VLAN、生成樹、PVLAN等。

（6）虛擬實驗平臺?？缮啥喾N應(yīng)用環(huán)境，通過標準的以太網(wǎng)口與真實的網(wǎng)絡(luò)設(shè)備、安全設(shè)備共同完成安全類、網(wǎng)絡(luò)組建類和網(wǎng)絡(luò)管理類實驗。通過這個平臺，學(xué)生可以練習(xí)各種常見業(yè)務(wù)系統(tǒng)的搭建和攻擊實驗，而不依賴于實驗室PC，更不會對校園網(wǎng)產(chǎn)生不良影響。

3.3 攻防對抗實驗平臺部署

攻防對抗實訓(xùn)平臺是一款軟硬件結(jié)合的高性能信息安全實戰(zhàn)平臺。高性能計算節(jié)點直接連接在實驗室局域網(wǎng)交換機上，共教師和學(xué)生訪問。

攻防平臺介紹。攻防對抗實驗平臺采用分層式設(shè)計架構(gòu)，最底層是綜合管理中心，綜合管理中心實現(xiàn)對所有平臺的集中、統(tǒng)一化管理、維護，綜合管理中心也是攻防實驗室管理維護的統(tǒng)一界面。支持單點登錄、多點管理。

綜合管理是實現(xiàn)對實驗環(huán)境統(tǒng)一化、集中化管理、維護的管理平臺。該平臺主要是實現(xiàn)對培訓(xùn)教學(xué)平臺、兵器庫平臺進行統(tǒng)一集中化管理，支持單點登錄、多點管理。除此之外，綜合管理平臺的能夠?qū)μ摂M機進行批量創(chuàng)建、管理、維護，攻防實驗平臺里面內(nèi)置了各種各樣的漏洞虛擬機模板、學(xué)員可以依托培訓(xùn)教學(xué)平臺進行實驗，通過預(yù)制的虛擬機展開各類實驗、訓(xùn)練等活動。

平臺通過虛擬化的技術(shù)使學(xué)員通過強大的資源庫學(xué)習(xí)后，通過預(yù)制相應(yīng)的實驗環(huán)境進行實驗，使學(xué)員掌握各類技術(shù)的漏洞原理、攻擊與防御方法。

平臺支持組織各類攻防訓(xùn)練、競賽等活動提供強大的支撐平臺。在攻防對抗中建立了大量的試題庫，具有全面、廣泛、深入的研究。支持練習(xí)、比賽等模式，支持對學(xué)生比賽模式的進度情況以可視化的方式進行實時展現(xiàn)。攻防對抗比賽實時呈現(xiàn)效果如圖2所示。

圖2 攻防對抗比賽實時呈現(xiàn)效果圖

內(nèi)置的工具庫是銳捷網(wǎng)絡(luò)安全團隊多年的攻防實戰(zhàn)經(jīng)驗及安全研究最佳實踐經(jīng)驗匯聚的結(jié)晶。具有豐富的攻防工具集100余款，覆蓋漏洞探測、漏洞掃描、滲透測試、逆向工程等類別，可依托工具庫結(jié)合學(xué)習(xí)過程中的各類實驗。

［1］左鐵鏞.高等學(xué)校實驗室建設(shè)的作用和思考［J］.實驗室研究與探索，2011（4）：1-5.

［2］許馳.高職院校信息安全實驗室建設(shè)探討［J］.科技創(chuàng)新導(dǎo)報，2011（25）：240.

［3］李長春.高職院校信息安全實驗室建設(shè)研究與實踐［J］.湘南學(xué)院學(xué)報，2013（2）：92-98.

Exploration on building of information security laboratory in colleges and universities

Lu Shiyao

（Nanjing Radio and Television University，Nanjing 210002，China）

Information security is not only an application of the professional field，but also a kind of practical teaching for the purpose of information security education.If we want to train the safety technical personnel to meet the needs of the development of the country and society，we must set up an information security laboratory.This paper analyzed the construction background of information security，and put forward the construction standards of information security laboratory，finally discussed the construction scheme of information security laboratory environment.

colleges and universities；information security；laboratory construction；network and information security teaching

陸世堯（1986—），男，江蘇淮安，助理工程師。