基于過程的網(wǎng)絡(luò)安全實(shí)訓(xùn)系統(tǒng)改造探索

沈晨

摘要：信息安全專業(yè)實(shí)訓(xùn)系統(tǒng)普遍停留在碎片化分項(xiàng)目分模塊，按照教材的章節(jié)順序來實(shí)訓(xùn)和練習(xí)，對(duì)學(xué)生不易形成整體的安全思維習(xí)慣，本文根據(jù)實(shí)踐著重探討運(yùn)用基于過程的網(wǎng)絡(luò)攻擊行為捕獲分析，來銜接各個(gè)實(shí)訓(xùn)模塊，聚合為整體流程化的實(shí)訓(xùn)系統(tǒng)，便于提高學(xué)生整體安全認(rèn)識(shí)，形成良好的思維習(xí)慣。

關(guān)鍵詞：基于過程；實(shí)訓(xùn)系統(tǒng)；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）05-0094-01

信息安全是互聯(lián)網(wǎng)數(shù)十年發(fā)展歷程中一直伴生的領(lǐng)域，尤其在近十年的互聯(lián)網(wǎng)應(yīng)用爆發(fā)式增長過程中，出現(xiàn)了越來越多的各種信息安全問題，“信息安全”也因此成為2014年兩會(huì)“熱詞”。隨著2014年2月中央信息安全和信息化領(lǐng)導(dǎo)小組的成立，顯示出國家層面在保障信息安全、維護(hù)國家利益、推動(dòng)信息化發(fā)展的決心。高層的重視和行業(yè)層面的旺盛需求，共同促成了信息安全行業(yè)的大發(fā)展；根據(jù)信息安全產(chǎn)業(yè)“十二五”規(guī)劃，2015年我國信息安全產(chǎn)業(yè)規(guī)模將突破670億元，保持年均30%以上的增速；尤其在大數(shù)據(jù)、云計(jì)算和物聯(lián)網(wǎng)等未來網(wǎng)絡(luò)發(fā)展的領(lǐng)域，都離不開信息安全的保駕護(hù)航。

根據(jù)信息安全行業(yè)評(píng)估，國內(nèi)的信息安全人才極其缺乏。從信息化建設(shè)的規(guī)模保守估計(jì)，全國對(duì)高級(jí)信息安全人才的需求在數(shù)萬人左右，對(duì)一般安全人才的需求是數(shù)十萬計(jì)，而國內(nèi)現(xiàn)有信息安全專業(yè)人才僅數(shù)萬人，遠(yuǎn)不能滿足市場需求，長期看來國內(nèi)信息安全專業(yè)人才仍存在近百萬的巨大缺口，高級(jí)的戰(zhàn)略人才和專業(yè)技術(shù)人才尤為匱乏。

響應(yīng)國家強(qiáng)化信息安全領(lǐng)域建設(shè)號(hào)召，教育部近期確定的新設(shè)專業(yè)中有信息安全專業(yè)，各大高校也紛紛開設(shè)網(wǎng)絡(luò)安全課程和方向。

在課堂教學(xué)中可以觀察到，大部分實(shí)訓(xùn)內(nèi)容都按照教材章節(jié)，分項(xiàng)目練習(xí)，諸如：密碼、系統(tǒng)、服務(wù)等等，學(xué)生對(duì)各章節(jié)掌握情況較好，但對(duì)整體安全意識(shí)沒有形成體系，對(duì)黑客入侵過程和安全整體防護(hù)沒有概念。如果改變這一現(xiàn)狀，個(gè)人認(rèn)為應(yīng)重新結(jié)合各個(gè)知識(shí)模塊，將相對(duì)獨(dú)立化的分塊實(shí)訓(xùn)整合為基于過程的網(wǎng)絡(luò)安全綜合實(shí)訓(xùn)，而這就要求在實(shí)訓(xùn)系統(tǒng)中重點(diǎn)建設(shè)一套基于過程的網(wǎng)絡(luò)安全實(shí)訓(xùn)系統(tǒng)，這需要對(duì)實(shí)訓(xùn)室從軟硬件各方面結(jié)合提升改造。

1 實(shí)訓(xùn)室現(xiàn)狀

信息安全實(shí)訓(xùn)室是包含網(wǎng)絡(luò)安全教學(xué)設(shè)備的實(shí)訓(xùn)室，除了基礎(chǔ)課程外，專業(yè)課程主要擔(dān)負(fù)了《服務(wù)器配置與管理》、《信息安全技術(shù)》、《網(wǎng)絡(luò)安全管理與維護(hù)》等課程的教學(xué)，以及針對(duì)信息網(wǎng)絡(luò)安全方向的對(duì)外培訓(xùn)、測試、合作等項(xiàng)目。實(shí)訓(xùn)室內(nèi)主要硬件設(shè)備有各廠商安全設(shè)備，包括防火墻、防毒墻、入侵檢測、入侵防護(hù)、威脅分析等設(shè)備，除此外還有部分網(wǎng)絡(luò)設(shè)備和服務(wù)器。在教師和學(xué)生機(jī)上則主要以獨(dú)立的軟件和項(xiàng)目碎片化的虛擬機(jī)為主。即便部分廠商開發(fā)的安全實(shí)訓(xùn)平臺(tái)，也多多少少離不開這些項(xiàng)目碎片化的影子。因此要形成過程化的分析系統(tǒng)，必須對(duì)硬件進(jìn)行整合。

2 需求分析

當(dāng)前社會(huì)需求的網(wǎng)絡(luò)安全方面人才主要集中在以下幾個(gè)方面：

1）專業(yè)型網(wǎng)絡(luò)安全人才。這類人員的崗位要求具備較深的網(wǎng)絡(luò)安全實(shí)踐基礎(chǔ)，對(duì)當(dāng)前主流網(wǎng)絡(luò)攻擊和防御技術(shù)有較為全面的掌握；目前，有關(guān)監(jiān)察審查部門、專業(yè)安全評(píng)測機(jī)構(gòu)等單位對(duì)這類人才需求較高。

2）綜合型網(wǎng)絡(luò)安全人才。這類人員的崗位原本都不是網(wǎng)絡(luò)安全方向，但是由于網(wǎng)絡(luò)安全形勢的需要，除了具備原有的知識(shí)技能外，還應(yīng)擔(dān)負(fù)相應(yīng)的網(wǎng)絡(luò)安全維護(hù)責(zé)任；目前黨政軍重要機(jī)構(gòu)、電子商務(wù)和金融等關(guān)鍵機(jī)構(gòu)的網(wǎng)管、維運(yùn)人員；等級(jí)保護(hù)安全員等崗位對(duì)這類人才需求較高。

因此網(wǎng)絡(luò)安全專業(yè)人才的培養(yǎng)應(yīng)緊貼社會(huì)需求，同樣網(wǎng)絡(luò)安全實(shí)訓(xùn)室的建設(shè)也應(yīng)具備以下幾個(gè)功能：

1）有效完成教學(xué)任務(wù)，滿足主流信息安全、網(wǎng)絡(luò)安全類課程實(shí)驗(yàn)實(shí)訓(xùn)內(nèi)容的實(shí)現(xiàn)和操作。

2）能夠?yàn)橄嚓P(guān)行業(yè)和崗位定向培養(yǎng)輸送畢業(yè)生，通過實(shí)訓(xùn)室訓(xùn)練達(dá)到崗位所需求的實(shí)踐操作水平（如等級(jí)保護(hù)安全員）。

3）能夠?yàn)樾枰踩嘤?xùn)的單位（如社保醫(yī)保等政府單位、電子商務(wù)等企業(yè)）或者結(jié)合權(quán)威部門提供培訓(xùn)認(rèn)證服務(wù)。

3 改造思路

總體思路是在這些教學(xué)和項(xiàng)目在實(shí)施過程中，需要對(duì)網(wǎng)絡(luò)攻防雙方在操作上進(jìn)行動(dòng)態(tài)跟蹤，其中比較主要的一塊是針對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行捕獲和分析，以攻學(xué)防、以攻促防；達(dá)到良好的實(shí)訓(xùn)效果。

網(wǎng)絡(luò)安全實(shí)訓(xùn)在傳統(tǒng)的教學(xué)中，著重以攻輔防，即攻擊行為僅僅是學(xué)習(xí)防御行為的輔助手段，著重采用較為直接的結(jié)果引導(dǎo)教學(xué)方式，如攻擊行為會(huì)造成的結(jié)果應(yīng)該如何防御；該方式是通過攻擊結(jié)果引導(dǎo)學(xué)生思考防御方法，雖然有一定的效果，但是僅僅通過結(jié)果來逆推攻擊手法和原理，難度過高且不利于學(xué)生了解本質(zhì)和舉一反三發(fā)散性思維，容易導(dǎo)致教學(xué)和實(shí)訓(xùn)效果不佳。而基于過程的攻擊行為分析，能夠全程還原攻擊細(xì)節(jié)和方式，引導(dǎo)學(xué)習(xí)實(shí)訓(xùn)過程中的主觀能動(dòng)性，變結(jié)果學(xué)習(xí)為過程學(xué)習(xí)；此外，在實(shí)驗(yàn)室未來的對(duì)外安全項(xiàng)目合作、安全產(chǎn)品和系統(tǒng)資質(zhì)測試、受訓(xùn)人員水平資格考試等過程中，都需要采用細(xì)顆粒度的攻防行為分析；該系統(tǒng)的研究能夠促進(jìn)教學(xué)、測試及合作項(xiàng)目的效果體現(xiàn)，提升實(shí)訓(xùn)室整體品質(zhì)。

4 總體架構(gòu)

實(shí)訓(xùn)室邏輯拓?fù)淇傮w由四個(gè)部分組成，包含攻擊區(qū)、防御區(qū)、互聯(lián)網(wǎng)模擬區(qū)、監(jiān)測管理區(qū)。

1）攻擊區(qū)主要由攻擊平臺(tái)組成，該平臺(tái)內(nèi)含主流網(wǎng)絡(luò)安全測試工具，供學(xué)生終端機(jī)器調(diào)用以進(jìn)行攻擊測試，該平臺(tái)可以用神碼的攻擊工具集，也可以采用Backtrack或Kali開源黑客平臺(tái)。此外攻擊區(qū)配備文件服務(wù)器供訓(xùn)練數(shù)據(jù)的存儲(chǔ)共享，同時(shí)提供wifi環(huán)境做無線安全方面的實(shí)驗(yàn)。如果條件允許，盡量配備流量發(fā)生器，用以模擬商業(yè)網(wǎng)絡(luò)流量便于仿真測試。

2）防御區(qū)是實(shí)驗(yàn)室的主要區(qū)域，該區(qū)域盡量模擬常見園區(qū)網(wǎng)絡(luò)環(huán)境和流行應(yīng)用，供學(xué)生模擬黑客攻擊以及安全加固。具體配置為防火墻數(shù)款，包括微軟ISA宿主型軟件防火墻、神碼WAF網(wǎng)絡(luò)應(yīng)用級(jí)防火墻、Cisco或Juniper主流防火墻；神碼堡 壘主機(jī)和各種獨(dú)立應(yīng)用虛擬機(jī)。此外放置一臺(tái)Cisco ACS服務(wù)器用作AAA認(rèn)證實(shí)驗(yàn)，同時(shí)和攻擊區(qū)一樣配備wifi網(wǎng)絡(luò)環(huán)境和流量發(fā)生設(shè)備。

3）互聯(lián)網(wǎng)模擬區(qū)主要擔(dān)負(fù)攻擊區(qū)和防御區(qū)的互聯(lián)和入網(wǎng)，以及部分廣域網(wǎng)協(xié)議互聯(lián)的模擬，如幀中繼等，后期也可接入其他廣域網(wǎng)協(xié)議，便于安全領(lǐng)域的抓包嗅探等測試。

4）監(jiān)測管理區(qū)負(fù)責(zé)對(duì)實(shí)驗(yàn)過程的監(jiān)控和結(jié)果呈現(xiàn)，同時(shí)也擔(dān)負(fù)對(duì)整個(gè)實(shí)驗(yàn)室設(shè)備的維護(hù)管理任務(wù)。其中入侵檢測可以采用開源snort系統(tǒng)，流控和日志可以采用神碼的設(shè)備，另外再配備一臺(tái)管理主機(jī)完成服務(wù)器和設(shè)備的管理操作。

5 項(xiàng)目實(shí)施

5.1 改革內(nèi)容

1）針對(duì)入侵行為進(jìn)行檢測；2）檢測覆蓋面應(yīng)包括掃描、溢出、注入、拒絕服務(wù)等攻擊內(nèi)容；3）能夠捕獲樣本數(shù)據(jù)，顯示數(shù)據(jù)包細(xì)節(jié)和結(jié)構(gòu)分析信息；4）能夠顯示直觀的報(bào)告和分析結(jié)果，供安全防御訓(xùn)練參考。

5.2改革目標(biāo)

建立一個(gè)針對(duì)網(wǎng)絡(luò)攻擊行為的捕獲分析系統(tǒng)，對(duì)信息安全實(shí)訓(xùn)室內(nèi)的實(shí)訓(xùn)項(xiàng)目中攻擊行為能進(jìn)行捕獲和分析，提升實(shí)訓(xùn)效果。

5.3 擬解決的關(guān)鍵問題

1）大型源碼包的編譯安裝問題；

2）網(wǎng)絡(luò)接口混雜模式、數(shù)據(jù)捕獲模塊、數(shù)據(jù)包分析模塊、規(guī)則庫匹配模塊、管理模塊的耦合穩(wěn)定；

3）報(bào)告系統(tǒng)的時(shí)效性和完整性；

4）大數(shù)據(jù)流量下整體系統(tǒng)的穩(wěn)定性。

5.4 實(shí)施方法

學(xué)習(xí)研究國外已經(jīng)成型的檢測評(píng)估體系，結(jié)合我院網(wǎng)絡(luò)安全實(shí)訓(xùn)室的具體情況，分析需要構(gòu)建的模塊和系統(tǒng)，設(shè)計(jì)出系統(tǒng)雛形，根據(jù)該雛形編譯相關(guān)的模塊和插件，整合系統(tǒng)。

在一個(gè)標(biāo)準(zhǔn)實(shí)驗(yàn)臺(tái)內(nèi)可以完成基本的服務(wù)器、安全實(shí)驗(yàn)，基本滿足實(shí)驗(yàn)教學(xué)需要。另外，可以根據(jù)需求進(jìn)行組合，滿足不同層次實(shí)驗(yàn)的需要。組合如下：

標(biāo)準(zhǔn)型實(shí)驗(yàn)（服務(wù)器實(shí)驗(yàn)、主機(jī)安全實(shí)驗(yàn)）

功能型實(shí)驗(yàn)A（標(biāo)準(zhǔn)型+無線AP+流量+安全硬件）

功能型實(shí)驗(yàn)B（A+網(wǎng)絡(luò)安全，通過2臺(tái)防火墻）

功能型實(shí)驗(yàn)C（B+入侵檢測和防御，通過2臺(tái)安全網(wǎng)關(guān)來實(shí)現(xiàn)）

功能型實(shí)驗(yàn)D（C+威脅發(fā)現(xiàn)，通過流量、資產(chǎn)監(jiān)控、入侵檢測、威脅發(fā)現(xiàn)來實(shí)現(xiàn)）

學(xué)生做實(shí)驗(yàn)時(shí)，通過訪問控制服務(wù)器CMS對(duì)實(shí)驗(yàn)臺(tái)內(nèi)的網(wǎng)絡(luò)實(shí)驗(yàn)設(shè)備進(jìn)行配置、管理、實(shí)驗(yàn)操作，無須來回插拔控制線。學(xué)生只有登錄權(quán)限，沒有修改權(quán)限。教師在教師機(jī)上可以登錄到學(xué)生實(shí)驗(yàn)的設(shè)備上，指導(dǎo)檢查學(xué)生的實(shí)驗(yàn)過程和結(jié)果。

主要承擔(dān)的實(shí)訓(xùn)項(xiàng)目為網(wǎng)絡(luò)安全，設(shè)備安全包含熟悉互聯(lián)網(wǎng)主流安全技術(shù)配置，包括交換機(jī)的端口安全、IP訪問控制列表、基于時(shí)間的訪問控制列表、專家級(jí)訪問控制列表、防火墻的配置、局域網(wǎng)于Internet之間的互聯(lián)等。網(wǎng)絡(luò)安全包含主機(jī)和網(wǎng)絡(luò)安全、攻防模擬、入侵檢測和威脅發(fā)現(xiàn)、主機(jī)和WEB應(yīng)用、數(shù)據(jù)庫應(yīng)用安全、云計(jì)算的模擬和應(yīng)用、CTF攻防競賽等等。

此外，也可以完成網(wǎng)絡(luò)集成教學(xué)所需要的局域網(wǎng)基礎(chǔ)實(shí)驗(yàn)、廣域網(wǎng)基礎(chǔ)實(shí)驗(yàn)、VOIP實(shí)驗(yàn)、安全實(shí)驗(yàn)、無線實(shí)驗(yàn)、網(wǎng)絡(luò)管理實(shí)驗(yàn)、IPV6實(shí)驗(yàn)。整個(gè)實(shí)驗(yàn)室的實(shí)驗(yàn)臺(tái)臺(tái)數(shù)，實(shí)驗(yàn)組數(shù)由學(xué)生人數(shù)和實(shí)驗(yàn)室項(xiàng)目靈活調(diào)整。此外納入建有的創(chuàng)新實(shí)驗(yàn)室，根據(jù)實(shí)訓(xùn)功能和規(guī)模，可靈活調(diào)整實(shí)訓(xùn)人數(shù)和項(xiàng)目。

5.5 可行性分析

在網(wǎng)絡(luò)安全的教學(xué)實(shí)訓(xùn)活動(dòng)中，傳統(tǒng)的網(wǎng)絡(luò)安全教學(xué)往往是在攻擊行為完成后提出防御措施，繼而讓學(xué)生被動(dòng)學(xué)習(xí)訓(xùn)練防御和加固技術(shù)，但學(xué)生在學(xué)習(xí)過程中容易產(chǎn)生的對(duì)攻擊細(xì)節(jié)的疑問往往因?yàn)闆]有可視化或過程化的手段，而無法得到有效解答，同時(shí)也限制了學(xué)生自行思考、舉一反三的可能性。此外，實(shí)訓(xùn)室在未來可能擔(dān)負(fù)安全檢測、合作項(xiàng)目等方向的內(nèi)容，都需要對(duì)攻擊行為進(jìn)行過程化的還原。針對(duì)攻擊行為過程的檢測分析是近年來網(wǎng)絡(luò)安全界發(fā)展迅猛的一項(xiàng)技術(shù)，該技術(shù)的出現(xiàn)為網(wǎng)絡(luò)安全技術(shù)從傳統(tǒng)的結(jié)果分析過度到過程分析奠定了基礎(chǔ)；目前，全球各大廠商和標(biāo)準(zhǔn)化組織都提出了各自的標(biāo)準(zhǔn)，其中一些還有較為完善的體系模型和開源項(xiàng)目，并在兼容性、適用性上都取得了很多進(jìn)步。經(jīng)過初步調(diào)研，這些已有的成果符合實(shí)訓(xùn)室現(xiàn)有條件和項(xiàng)目需求，可以取主流的模型加以分解調(diào)整，完成本地化，結(jié)合實(shí)訓(xùn)室實(shí)際建設(shè)一套實(shí)用的分析系統(tǒng)。

6 特色與創(chuàng)新

1）變網(wǎng)絡(luò)安全攻擊行為的結(jié)果分析為過程分析，為教學(xué)實(shí)訓(xùn)提供新的思路和條件。

2）針對(duì)掃描、注入、溢出、拒絕服務(wù)等多種攻擊行為進(jìn)行捕獲分析，全程反映攻擊動(dòng)作，由點(diǎn)及線，全面還原攻擊行為思路。

3）分析結(jié)果直觀化呈現(xiàn)，有圖有表，有捕獲的原始數(shù)據(jù)，從宏觀到微觀提供準(zhǔn)確的分析依據(jù)。

4）為實(shí)訓(xùn)室對(duì)外提供安全檢測、培訓(xùn)、合作項(xiàng)目等服務(wù)添磚加瓦，提升實(shí)訓(xùn)室功能和品質(zhì)。

參考文獻(xiàn)：

[1] 張衛(wèi)東，李暉，劉乃安.開放式信息安全實(shí)驗(yàn)教學(xué)模式的改革與創(chuàng)新[J].信息安全與技術(shù)，2010（08）.

[2] 顧玉麟.企業(yè)網(wǎng)絡(luò)安全實(shí)驗(yàn)室建設(shè)研究[J].寶鋼技術(shù)，2008年03期

[3] 伍春，印茂偉，任立學(xué).信息對(duì)抗技術(shù)專業(yè)建設(shè)的研究與實(shí)踐[J].時(shí)代教育，2010（04）.

[4] 郝梅.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)改革研究[J].電腦知識(shí)與技術(shù)，2011（04）.

[5] 歐文吉斯，王穩(wěn)波，歐亞湘. 網(wǎng)絡(luò)技術(shù)教學(xué)方法初探[J].福建電腦，2011（11）.

[6] 趙銳，李華. 計(jì)算機(jī)網(wǎng)絡(luò)工程的實(shí)驗(yàn)優(yōu)化[J].產(chǎn)業(yè)與科技論壇，2012（17）.