高職計算機信息與安全實驗室的實現(xiàn)與維護

張俊青

【摘要】 隨著科學技術(shù)的進步，信息與安全技術(shù)已經(jīng)成為一門重要的新興學科，該學科在未來仍然有十分廣闊的發(fā)展前景，對于國家的發(fā)展也有重要意義。筆者將介紹高職計算機信息與安全實驗室的建設(shè)、規(guī)劃以及維護工作，不僅可以幫助學生提高技能素養(yǎng)，還能開發(fā)學生創(chuàng)新能力和動手能力。

【關(guān)鍵詞】 計算機 信息與安全 實驗室 維護

信息安全作為二十一世紀最具有活力的技術(shù)之一，有很強的應(yīng)用性和實踐性。目前不少高職院校為了加強學生相關(guān)技能的培養(yǎng)，逐漸開始建設(shè)計算機信息與安全實驗室，為社會輸送大量信息安全的人才。由于信息安全又是一門理論性很強的學科，所以實驗室的建立也并非易事，信息與安全實驗室的實現(xiàn)將會使教學更加生動，對學生的發(fā)展有不可估量的作用。

一、建立信息與安全實驗室的意義

1.1 企業(yè)對信息安全人才的需求增加

隨著計算機技術(shù)的不斷發(fā)展，其應(yīng)用相比以前也更加廣泛，涉及到各行各業(yè)。而科學的運用是把雙刃劍，計算機的大范圍運用必將爆發(fā)信息安全問題。在企業(yè)信息化進程加快的情況下，高度集中的信息極其容易遭受黑客、木馬等的攻擊，使企業(yè)面臨信息泄露的險境。企業(yè)為了加強信息安全工作，對相關(guān)人才的需求量越來越大。因此信息與安全實驗室的建立可以為企業(yè)輸送大量具備較強實踐能力的信息安全技術(shù)人才，確保企業(yè)的正常運行。

1.2 信息安全問題對社會的不良影響

計算機已經(jīng)成為大多數(shù)城市居民的家庭必需品，互聯(lián)網(wǎng)也成為人們生活中不可缺少的一部分。不少網(wǎng)絡(luò)木馬和病毒對個人計算機的正常使用造成威脅，導致經(jīng)濟上和心理上的損失，因此計算機信息安全是當今社會的迫切需求，盡管目前市面上殺毒軟件種類繁多，但是有時面對新型入侵方式仍然手足無措，為了避免社會遭受越來越嚴重的損失，必須加強社會的信息安全工作水平。

1.3 高職院校的教學要求

高職院校的辦學初衷就是為社會輸送具備扎實技能的實踐性人才，而目前不少高職院校的信息安全科學僅停留在理論層面，學生對信息與安全技術(shù)并沒有太多實踐的機會。為了加強培養(yǎng)學生的實踐能力和創(chuàng)新能力，計算機信息與安全實驗室的建立勢在必行，只有這樣才能使學生具備更強的解決實際問題的能力，在未來的工作崗位為社會、國家做出更大的貢獻。

二、計算機信息與安全實驗室建設(shè)的目標和總體規(guī)劃

高職計算機信息與安全實驗室應(yīng)當主要分為三部分：中心實驗室、研究實驗室、基礎(chǔ)實驗室。學生在學習過程中進行實踐訓練應(yīng)當在基礎(chǔ)實驗室進行，該實驗室面向的對象是處于基礎(chǔ)知識學習階段的學生。研究實驗室也稱為專項實驗室，此實驗室面對的對象是執(zhí)行特定項目的研究人員，能夠?qū)崿F(xiàn)某種具體的實驗要求，適用面較窄、較偏，僅作為院校研究課題使用。中心實驗室則面向所有學生，適用性較強，應(yīng)用面更加廣泛。

2.1 建立信息與安全實驗室的目的

計算機信息與安全實驗室和其他實驗室有較大差異，信息與安全實驗室對設(shè)備的要求比較高，通常需要特定的服務(wù)器和微機。

服務(wù)器通常必須支撐不同使用情況，滿足不同的應(yīng)用平臺，既可以實現(xiàn)教學要求，也可以實現(xiàn)科研的需求，學生和教師都是實驗室服務(wù)器服務(wù)的對象，這一點必須兼顧。學生應(yīng)當能夠通過信息與安全實驗室學到扎實的信息安全技術(shù)，能夠在未來就業(yè)崗位發(fā)揮重要作用，教師應(yīng)當能夠借助實驗室完成相關(guān)研究工作，除此之外，實驗室還應(yīng)為學生提供實習機會，了解更多信息安全問題，注重項目實踐以外，了解更多理論研究工作。

2.1.1 教育方面

高職院校計算機信息與安全實驗室首先應(yīng)當滿足的是學生的教育問題，實驗室是學生運用理論知識的最好的平臺，可以進行實驗、課程設(shè)計等實踐環(huán)節(jié)。實現(xiàn)這一目的的難點在于如何構(gòu)建自主的實驗環(huán)境，否則實驗將變得毫無意義，而且配置應(yīng)當容易恢復初始狀態(tài)。實驗室必須提供足夠豐富的安全工具庫，才能保證學生進行更加自主的實驗，提升創(chuàng)新能力和獨立思考能力。安全數(shù)據(jù)庫也可以理解為資源庫，是教師和學生都極其需要的資源來源，否則難以在這個信息技術(shù)爆炸的時代緊緊抓住最新的信息安全技術(shù)。在計算機信息安全實驗課中，學生可以將安全工具庫作為工具來進行試驗和模擬。

比如學生可以首先安裝出入侵檢測系統(tǒng)，并用安全工具庫中的具有攻擊性的工具對計算機展開攻擊，檢驗IDS的可靠性，信息安全數(shù)據(jù)庫可以為學生節(jié)省大量時間和精力，提供更多的便利，將理論與實踐相結(jié)合，取得更佳的學習效果。安全工具庫還可以幫助學生進行系統(tǒng)管理的練習。比如在某個課程中，三個學生分為一組，每組負責維護三臺計算機，這三臺計算機采用不同的操作系統(tǒng)，每組學生之間相互進行攻擊和防御練習。

2.1.2 研究方面

信息與安全實驗室除了可以用于學生練習和培養(yǎng)技能外，還可以作為理想的研究場所。目前不少高職院校也承擔了入侵檢測、門限密碼、信息隱藏處理等項目的研究工作，計算機信息與安全實驗室應(yīng)當提供研究的基本需求，信息安全實驗室要立足于科研，提供優(yōu)良的科研環(huán)境。面對最終產(chǎn)品的測試時，信息與安全實驗室要提供理想的試驗環(huán)境，在配置上要滿足易于恢復的條件，因為試驗時經(jīng)常會因為誤操作損壞計算機初始配置，影響使用。

2.2 信息與安全實驗室總體規(guī)劃

信息與安全實驗室除了對硬件設(shè)施要比較苛刻的要求外，對安全軟件也要明確的需求，只有使用正版的專用安全軟件，才能真正地實現(xiàn)信息安全研究和管理，軟件的使用對操作系統(tǒng)也常常有特殊要求，這就要求采用專門的信息安全教學平臺。計算機信息與安全實驗室的實現(xiàn)對實驗人員也提出很高的要求，實驗人員不僅要能夠維護實驗室的正常運行，而且能夠協(xié)助教師完成教學任務(wù)，對學生的技能培養(yǎng)有指導作用。

三、計算機信息與安全實驗室的設(shè)備構(gòu)成

高職院校計算機信息與安全實驗室的教學平臺主要通過中心控制平臺、安全設(shè)備、組控設(shè)備（有線、無線）和管理服務(wù)器構(gòu)成。針對教學內(nèi)容，構(gòu)建出特定的網(wǎng)絡(luò)條件，這樣可以有助于實現(xiàn)各種不同的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。

安全設(shè)備和組控設(shè)備安裝在一起，共同構(gòu)成主控中心平臺，為日常的實驗和教學提供網(wǎng)絡(luò)結(jié)構(gòu)，并且可以對各設(shè)備統(tǒng)一管理，必要時為用戶實現(xiàn)擴展，在教師機和學生機之間實現(xiàn)通訊功能。

安全設(shè)備有多種不同工作模式，可以方便進行網(wǎng)絡(luò)拓撲結(jié)構(gòu)間的轉(zhuǎn)換。安全設(shè)備能夠?qū)崿F(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)，并實現(xiàn)交換模塊的功能，企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)中安全設(shè)備多以安全防火墻的形式出現(xiàn)。組控設(shè)備則是學校信息安全實驗室中特殊用途的硬件設(shè)施，通常是由若干共享模塊共同構(gòu)成，可以實現(xiàn)數(shù)據(jù)搜集、合理分配緩存區(qū)等作用。無線組控符合IEEE802.11g標準，和學生機之間可以共同構(gòu)成無線局域網(wǎng)。應(yīng)用服務(wù)器專門為實驗提供軟件服務(wù)，可以作為實驗的參考和查詢手冊。管理服務(wù)器的功能和其他管理系統(tǒng)蕾絲，都是對信息進行集成化管理，對實驗設(shè)備使用狀況、課程安排、實驗考勤記載、成績登記、文件安全等進行協(xié)調(diào)管理。

高職計算機信息與安全實驗室是一項規(guī)模較大、技術(shù)先進的項目，實驗室網(wǎng)絡(luò)環(huán)境應(yīng)當多樣化，提供各類局域網(wǎng)、無線網(wǎng)和內(nèi)部通訊網(wǎng)絡(luò)，并能外接至Cernet，專用網(wǎng)絡(luò)的帶寬必須足夠?qū)?，否則對安全理論研究會產(chǎn)生阻礙。由于實驗室各類軟件對操作系統(tǒng)的要求不一，所以必須具備多種型號的主機，并選取性能優(yōu)良的計算機作為服務(wù)器、工作站。除了支持一般的Windows操作系統(tǒng)外，也應(yīng)當兼容Unix系列的操作系統(tǒng)，這都是信息安全工作最常用的操作系統(tǒng)。信息與安全實驗室是開放性的實驗環(huán)境，應(yīng)當具備功能全面的實驗系統(tǒng)，教師能夠完成絕大部分實驗教學。

為了加強信息安全實驗室的實踐意義，應(yīng)當配備網(wǎng)絡(luò)攻防仿真環(huán)境，為學生創(chuàng)造虛擬的實踐機會，鍛煉動手能力和解決實際問題的能力。實驗室能夠有能力承擔重要科研項目的研究工作。

信息與安全實驗室的設(shè)備應(yīng)當是成套的，要滿足學生用戶的課程設(shè)計等需要。對于網(wǎng)絡(luò)設(shè)備，應(yīng)當有訪問物理層的權(quán)限，并以某單IP實現(xiàn)所有交換機端口的管理。將實驗室分為若干網(wǎng)段，可以使得PC和路由器一樣與其他PC相連，方便實現(xiàn)不同的模擬環(huán)境。

四、信息與安全實驗室的軟件需求

4.1 操作系統(tǒng)

上文已經(jīng)提到信息與安全實驗室至少裝有Windows和Unix系列的操作系統(tǒng)，后者主要包括Unix、Linux、Solaris等，操作系統(tǒng)的種類越多越好，因為這樣更加方便研究人員在不同系統(tǒng)中驗證試驗結(jié)果。

4.2 安全工具

安全工具庫是教學和研究甚至其他外延工作的基礎(chǔ)，建立安全工具庫必須提供數(shù)量足夠龐大的安全工具，其中主要的安全工具包括掃描器、嗅探器、木馬、拒絕服務(wù)攻擊、后門程序、入侵檢測系統(tǒng)和防病毒工具。掃描器是通過搜集系統(tǒng)信息來自動檢測遠程或者本地主機的安全性弱點的程序，分為主動探測和被動探測兩類，兩者的區(qū)別在于是否向目的主機發(fā)送信息。拒絕服務(wù)是一類攻擊行為，通過不停發(fā)送大量數(shù)據(jù)包致使系統(tǒng)崩潰。

4.3 模擬軟件

模擬軟件是幫助學生檢驗學習效果，教師檢驗試驗結(jié)論的重要軟件，可以彌補實驗室無法完成的試驗需求的漏洞。比如試驗需要在城域網(wǎng)或者范圍更大的網(wǎng)絡(luò)上進行，實驗室無法提供這種大規(guī)模試驗條件，經(jīng)濟條件難以達到，但是通過適當?shù)哪M軟件，就可以用軟件有效地彌補硬件上的空缺。目前商用的模擬軟件種類很多，國內(nèi)大學和科研機構(gòu)自主研發(fā)的模擬軟件也較多，相比商業(yè)軟件價格更加低廉和適用于研究工作，兼容性也較好?？茖W研究使用的軟件大多是開放性強的軟件包，方便建模和模擬，也可以通過網(wǎng)絡(luò)共享的形式將資源共享，方便研究人員之間交流和研究，但是功能沒有商業(yè)軟件齊全。

適合高職計算機信息與安全實驗室的模擬軟件主要有SSFNet、Cnet、OPNET、BONes等。這些模擬軟件的模擬方式都是事件驅(qū)動，前二者是命令符編輯器建模，后二者是圖形化編輯器建模。OPNET和BONes均是商業(yè)軟件，所以均支持動態(tài)觀察模擬過程，其中OPNET的運行環(huán)境最為廣泛，但是價格十分高昂，高職院校在確定仿真需求后才決定是否選用OPNET。

五、 信息與安全實驗室的維護

信息與安全實驗室的構(gòu)建耗資巨大，因此必須加強維護工作，日常進行軟件的安裝和管理工作，對安全性能較高的工具設(shè)置管理員權(quán)限都十分有必要，確保主機沒有安全漏洞。

維護信息與安全實驗室必須確保完整性，實現(xiàn)維護的完整性就必須從計算機的配置進行控制，因為計算機配置一旦被攻擊，計算機將會處于更為嚴重的威脅之下，直接影響正常工作，產(chǎn)生大量虛假數(shù)據(jù)，除此之外，如果在計算機內(nèi)新裝入軟件，也會產(chǎn)生其他負面影響。因此維護計算機時除非管理人員均不能隨意改變計算機配置。下面將介紹三類保護工作中基準配置的技術(shù)手段。

5.1 配置鎖定技術(shù)

配置鎖定是計算機經(jīng)常使用的技術(shù)，可以將計算機的配置鎖定，除了管理員外都不能修改計算機配置。但是在計算機信息與安全實驗室如果孤立地使用配置鎖定技術(shù)，實驗室的教學和科研目的將不能實現(xiàn)。

5.2 克隆

信息安全實驗室采用的克隆技術(shù)是把鏡像文件從受保護工作站中拷貝至配置完全相同的計算機中，方便恢復原始配置。克隆技術(shù)可以有效地解決配置恢復問題，但是突出的問題就是拷貝過程花費大量時間。通過網(wǎng)絡(luò)傳輸雖然理論上更加方便快捷，但是克隆結(jié)果預知性較差，對于科研項目這種對時間敏感性較強的實踐，網(wǎng)絡(luò)一旦癱瘓，項目將無法繼續(xù)，直接影響信息安全實驗室的正常運行。

5.3 配置保持

配置鎖定和克隆技術(shù)都有各自的不足，為了尋找一種更加有效的維護手段，可以用一些功能性軟件實現(xiàn)實驗室的需求。其中常用的是“沙盒”和“封裝”這兩類應(yīng)用。

“沙盒”是用于保護底層資源的子集，用戶可以獲得某臺計算機的超級用戶權(quán)限，進而可以根據(jù)自身需要安裝、配置軟件，但是一切操作都限制在沙盒文件系統(tǒng)之中?！胺庋b”把外層用戶從底層軟件資源中分離出來，使用者不會覺得在“封裝”之外和實際操作有任何差異。“封裝”和“沙盒”的思想是相似的，均是在對工作站有很強保護的基礎(chǔ)上，為用戶提供盡量多的權(quán)限，二者的區(qū)別是前者使用戶感覺其是一臺普通的計算機，但能使用所有功能，后者則僅保護必須的文件系統(tǒng)和庫。

綜上所述，配置保持是效果最好的維護工作站安全工作的技術(shù)手段，克隆和配置鎖定在一定情況下效果也較好，實現(xiàn)過程更加容易，只有在特殊的條件下缺點暴露的比較明顯，一般而言，情況允許的情況下采用配置保持是最佳方案。

六、小結(jié)

高職院校培養(yǎng)學生是為了為社會輸送更加具備實踐操作能力的人才，因此建立計算機信息與安全實驗室十分必要，只要這樣才能為學生創(chuàng)造良好的實踐環(huán)境，才能將理論知識轉(zhuǎn)化為實際技能，實驗室的實現(xiàn)需要從軟件和硬件等多方面進行，要綜合考慮各項因素，選擇最合適的設(shè)備和軟件，為學生、教職工提供優(yōu)良的平臺，促進社會信息安全技術(shù)的發(fā)展。

參 考 文 獻

[1] 張新剛，潘恒，王保平等.高校計算機公共實驗室的典型安全威脅及防御[J].實驗室研究與探索，2011，30（7）：197-200.

[2] 喬岸紅.論實驗室信息網(wǎng)絡(luò)安全技術(shù)與管理[J].電腦編程技巧與維護，2013，（8）：115-118.

[3] 唐海濤，金京姬，孟繁二等.淺談網(wǎng)絡(luò)與信息安全實驗室規(guī)劃與建設(shè)[J].中國科教創(chuàng)新導刊，2010，（10）：173-174.