高校信息安全實(shí)驗(yàn)室的建設(shè)探討

陸世堯

（南京廣播電視大學(xué)，江蘇 南京 210002）

高校信息安全實(shí)驗(yàn)室的建設(shè)探討

陸世堯

（南京廣播電視大學(xué)，江蘇 南京 210002）

信息安全不僅僅是一個(gè)應(yīng)用型的專(zhuān)業(yè)領(lǐng)域，同時(shí)也是一種以信息安全教育為目的的實(shí)踐性教學(xué)。高校如果要培養(yǎng)出適應(yīng)國(guó)家和社會(huì)發(fā)展需要的安全技術(shù)人才，就必須搭建一個(gè)符合現(xiàn)代化要求的信息安全實(shí)驗(yàn)室。文章從實(shí)際出發(fā)，分析了信息安全的建設(shè)背景，提出了信息安全實(shí)驗(yàn)室建設(shè)標(biāo)準(zhǔn)，最后探討了信息安全實(shí)驗(yàn)室環(huán)境建設(shè)方案。

高校；信息安全；實(shí)驗(yàn)室建設(shè)；網(wǎng)絡(luò)與信息安全教學(xué)

1 互聯(lián)網(wǎng)發(fā)展帶來(lái)安全隱患—催生安全產(chǎn)業(yè)需求

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)技術(shù)給我們的生活帶來(lái)了很多便利，但同時(shí)也將很多用戶帶入了進(jìn)退兩難的境地。近年來(lái)，中國(guó)的信息化正以驚人的速度發(fā)展，但隨之而來(lái)的信息安全問(wèn)題也日益突出。國(guó)內(nèi)的網(wǎng)絡(luò)安全攻擊事件愈演愈烈，國(guó)際上以"棱鏡門(mén)”為代表性的事件陸續(xù)被曝光，國(guó)內(nèi)以“世紀(jì)樂(lè)知”（China Software Developer Network，CSDN）—最大的IT社區(qū)被拖庫(kù)為最具有代表性的事件，震撼國(guó)內(nèi)互聯(lián)網(wǎng)，事件影響巨大。

院校嚴(yán)重缺乏雙師型師資、實(shí)踐教材、實(shí)驗(yàn)環(huán)境。國(guó)內(nèi)信息安全、網(wǎng)絡(luò)安全技術(shù)發(fā)展相對(duì)落后，從武漢大學(xué)第一個(gè)試點(diǎn)信息安全專(zhuān)業(yè)至今，國(guó)家對(duì)網(wǎng)絡(luò)安全人才的培養(yǎng)越來(lái)越重視，但是由于國(guó)情，網(wǎng)絡(luò)安全教學(xué)中沒(méi)有教材和案例，亦沒(méi)有資深教師，另外一個(gè)層面，網(wǎng)絡(luò)安全技術(shù)是實(shí)踐性、操作性很強(qiáng)的學(xué)科，攻防實(shí)驗(yàn)室的出現(xiàn)是網(wǎng)絡(luò)安全教學(xué)中重要的發(fā)展階段，目前國(guó)內(nèi)基本沒(méi)有商業(yè)化或者對(duì)外公開(kāi)的實(shí)驗(yàn)室環(huán)境，因?yàn)閷?duì)網(wǎng)絡(luò)安全實(shí)驗(yàn)環(huán)境很難做到實(shí)驗(yàn)環(huán)境內(nèi)核不被破壞和攻擊。沒(méi)有良好的實(shí)驗(yàn)環(huán)境很難進(jìn)行有成效的教學(xué)。

基于這些大背景，調(diào)研發(fā)現(xiàn)很多高職院校有建設(shè)銳捷網(wǎng)絡(luò)的信息安全實(shí)驗(yàn)室，其在信息安全領(lǐng)域引入了成功應(yīng)用的安全解決方案，并將其帶入到實(shí)驗(yàn)室建設(shè)中，以期為學(xué)校培養(yǎng)出大量滿足市場(chǎng)需求的安全應(yīng)用復(fù)合型人才。

2 信息安全實(shí)驗(yàn)室建設(shè)標(biāo)準(zhǔn)

信息安全不僅僅是一個(gè)應(yīng)用型的專(zhuān)業(yè)，同時(shí)也是一種以信息安全教育為目的的實(shí)踐性教學(xué)。如果高校能給學(xué)生提供一個(gè)信息安全實(shí)踐環(huán)境，讓學(xué)生在該實(shí)踐環(huán)境中進(jìn)行測(cè)試和實(shí)驗(yàn)，不僅將大大提高學(xué)生的動(dòng)手能力，還能深化其對(duì)理論知識(shí)的理解，這是非常有意義的一件事，尤其是在如此大的信息安全人才缺口下。因而，高校有義務(wù)也有責(zé)任開(kāi)設(shè)信息安全學(xué)科和組建信息安全實(shí)驗(yàn)室。

信息安全實(shí)驗(yàn)室一方面應(yīng)當(dāng)結(jié)合信息安全技術(shù)和應(yīng)用領(lǐng)域的經(jīng)驗(yàn)深入探索，另一面，要以培養(yǎng)信息安全人才為目的組建信息安全實(shí)踐環(huán)境。在信息安全技術(shù)領(lǐng)域里進(jìn)行實(shí)踐性的教學(xué)，它的主要形式是實(shí)驗(yàn)，應(yīng)該強(qiáng)調(diào)實(shí)驗(yàn)環(huán)境的仿真性和實(shí)驗(yàn)環(huán)節(jié)的綜合性，以培養(yǎng)學(xué)生的整體實(shí)戰(zhàn)意識(shí)和開(kāi)闊學(xué)生的安全視野。信息安全技術(shù)的應(yīng)用范圍是非常廣闊的。

信息安全教學(xué)實(shí)踐環(huán)境強(qiáng)調(diào)以下幾點(diǎn)：

（1）系統(tǒng)化。信息安全既是單一的系統(tǒng)化概念，也是一套完整的系統(tǒng)化概念。個(gè)體的安全保障并不能保護(hù)整個(gè)網(wǎng)絡(luò)環(huán)境，更不能保護(hù)整個(gè)信息系統(tǒng)的安全。整套安全系統(tǒng)由多種安全防護(hù)技術(shù)和安全保障措施有機(jī)地結(jié)合。信息安全管理員需要對(duì)整個(gè)網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境有一個(gè)系統(tǒng)的、概念化的認(rèn)識(shí)。因此不僅要培養(yǎng)學(xué)生的縱深防御技術(shù)能力，也要深入培養(yǎng)學(xué)生的全局安全觀。

（2）仿真性。信息安全保障的是有價(jià)值的信息資源，它們可能是個(gè)人隱私信息，可能關(guān)系國(guó)家安全信息，也可能是企業(yè)商業(yè)情報(bào)等。有別于傳統(tǒng)的信息技術(shù)應(yīng)用，信息安全管理員必須意識(shí)到他們的權(quán)利和責(zé)任的特殊性。如果實(shí)踐內(nèi)容能夠源于真實(shí)的行業(yè)安全解決方案，那么將很大程度上幫助學(xué)生培養(yǎng)安全意識(shí)和法律意識(shí)。與此同時(shí)，一個(gè)以現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境為基礎(chǔ)，由此來(lái)搭建的安全實(shí)驗(yàn)環(huán)境對(duì)于加強(qiáng)學(xué)生的實(shí)踐能力有著無(wú)法超越的作用。

（3）標(biāo)準(zhǔn)化。2007年6月，公安部、國(guó)家保密局、國(guó)家密碼管理局和國(guó)務(wù)院信息化工作辦公室聯(lián)合下發(fā)了《信息安全等級(jí)保護(hù)管理辦法》，對(duì)信息安全等級(jí)的劃分與保護(hù)、等級(jí)保護(hù)的實(shí)施與管理、法律責(zé)任進(jìn)行了規(guī)定。7月，下發(fā)《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》對(duì)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作提出要求。其對(duì)應(yīng)的安全保障措施就是國(guó)內(nèi)各安全方案提供商提出的網(wǎng)絡(luò)空間安全防御策略。將這些最佳實(shí)踐案例融入實(shí)驗(yàn)教學(xué)中，能夠讓學(xué)生掌握更符合國(guó)情的安全實(shí)踐能力。

（4）適用性。信息安全實(shí)踐內(nèi)容，既要真實(shí)性，也要適用于院校的專(zhuān)業(yè)課程設(shè)置。信息安全實(shí)驗(yàn)室的建設(shè)，必須與院校的專(zhuān)業(yè)與課程定位匹配。先進(jìn)的行業(yè)案例要聚焦到不同專(zhuān)業(yè)、不同課程的教學(xué)目標(biāo)中，確保實(shí)驗(yàn)室建設(shè)適用并滿足教學(xué)需求。

由上述分析得出，信息安全實(shí)驗(yàn)室的建設(shè)必須建立一個(gè)現(xiàn)實(shí)的網(wǎng)絡(luò)模型，建立一個(gè)全面的信息安全實(shí)驗(yàn)環(huán)境。該環(huán)境由一套軟硬件設(shè)施構(gòu)成，能夠再現(xiàn)源于真實(shí)行業(yè)解決方案的實(shí)驗(yàn)案例，學(xué)習(xí)到行業(yè)中安全解決方案的最佳實(shí)踐經(jīng)驗(yàn)；在這個(gè)環(huán)境中，學(xué)生可以進(jìn)行實(shí)驗(yàn)規(guī)劃、實(shí)施、分析和報(bào)告，也可以進(jìn)行安全理論技術(shù)拓展研究。因此，信息安全實(shí)驗(yàn)室建設(shè)的依據(jù)和標(biāo)準(zhǔn)須遵循以下框架。

3 信息安全實(shí)驗(yàn)室環(huán)境建設(shè)方案

3.1 實(shí)驗(yàn)機(jī)架部署

實(shí)驗(yàn)機(jī)架部署示意圖如圖1所示。

圖1 實(shí)驗(yàn)機(jī)架部署示意圖

3.2 實(shí)驗(yàn)機(jī)架產(chǎn)品介紹

（1）網(wǎng)絡(luò)設(shè)備控制單元。網(wǎng)絡(luò)設(shè)備的控制單元提供了一個(gè)高密度的一步接口和16路控制電纜，可以連接至三層交換機(jī)、數(shù)據(jù)中心交換機(jī)等網(wǎng)絡(luò)設(shè)備的控制臺(tái)接口上。其IP接口與教室局域網(wǎng)核心交換機(jī)互聯(lián)，與學(xué)生PC的IP可達(dá)。這樣，學(xué)生只需要通過(guò)遠(yuǎn)程登錄終端訪問(wèn)續(xù)存卡管理系統(tǒng)（Recharge Card Management System，RCMS），就可以通過(guò)RCMS登錄到機(jī)架內(nèi)所有網(wǎng)絡(luò)設(shè)備的控制臺(tái)，不需要在學(xué)生電腦和網(wǎng)絡(luò)設(shè)備之間頻繁插入控制臺(tái)電纜。

（2）下一代防火墻。具備行業(yè)普遍的各層防火墻安全功能，學(xué)生可以練習(xí)防火墻的各種部署方式和安全策略實(shí)現(xiàn)方式。并且學(xué)生還可以學(xué)習(xí)到業(yè)界先進(jìn)的虛擬防火墻技術(shù)，將一臺(tái)防火墻虛擬成多臺(tái)防火墻以滿足混合式的安全需求。

（3）用戶行為管理與審計(jì)系統(tǒng)。學(xué)生可以練習(xí)到帶寬管理、用戶行為管理、日志審計(jì)管理、內(nèi)網(wǎng)信息推送等普遍的用戶上網(wǎng)行為策略。可以全面理解2～7層的全面檢查和分析，深度識(shí)別、管控和審計(jì)的行業(yè)應(yīng)用方法。

（4）虛擬專(zhuān)用網(wǎng)（Virtual Private Network，VPN）網(wǎng)關(guān)。具備行業(yè)普遍使用的多種VPN功能，學(xué)生可以練習(xí)到L2L，Remote等多種VPN部署方式，以及多種隧道和加密技術(shù)在VPN部署中的實(shí)現(xiàn)方式。

（5）三層交換機(jī)。學(xué)生可以學(xué)習(xí)網(wǎng)絡(luò)接入層的各種安全策略，包括CPP，NFPP，ISG、防ARP欺騙、ACL、端口安全技術(shù)等，在網(wǎng)絡(luò)工程教學(xué)中學(xué)習(xí)多種交換網(wǎng)絡(luò)常用技術(shù)，包括VLAN、生成樹(shù)、PVLAN等。

（6）虛擬實(shí)驗(yàn)平臺(tái)?？缮啥喾N應(yīng)用環(huán)境，通過(guò)標(biāo)準(zhǔn)的以太網(wǎng)口與真實(shí)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備共同完成安全類(lèi)、網(wǎng)絡(luò)組建類(lèi)和網(wǎng)絡(luò)管理類(lèi)實(shí)驗(yàn)。通過(guò)這個(gè)平臺(tái)，學(xué)生可以練習(xí)各種常見(jiàn)業(yè)務(wù)系統(tǒng)的搭建和攻擊實(shí)驗(yàn)，而不依賴于實(shí)驗(yàn)室PC，更不會(huì)對(duì)校園網(wǎng)產(chǎn)生不良影響。

3.3 攻防對(duì)抗實(shí)驗(yàn)平臺(tái)部署

攻防對(duì)抗實(shí)訓(xùn)平臺(tái)是一款軟硬件結(jié)合的高性能信息安全實(shí)戰(zhàn)平臺(tái)。高性能計(jì)算節(jié)點(diǎn)直接連接在實(shí)驗(yàn)室局域網(wǎng)交換機(jī)上，共教師和學(xué)生訪問(wèn)。

攻防平臺(tái)介紹。攻防對(duì)抗實(shí)驗(yàn)平臺(tái)采用分層式設(shè)計(jì)架構(gòu)，最底層是綜合管理中心，綜合管理中心實(shí)現(xiàn)對(duì)所有平臺(tái)的集中、統(tǒng)一化管理、維護(hù)，綜合管理中心也是攻防實(shí)驗(yàn)室管理維護(hù)的統(tǒng)一界面。支持單點(diǎn)登錄、多點(diǎn)管理。

綜合管理是實(shí)現(xiàn)對(duì)實(shí)驗(yàn)環(huán)境統(tǒng)一化、集中化管理、維護(hù)的管理平臺(tái)。該平臺(tái)主要是實(shí)現(xiàn)對(duì)培訓(xùn)教學(xué)平臺(tái)、兵器庫(kù)平臺(tái)進(jìn)行統(tǒng)一集中化管理，支持單點(diǎn)登錄、多點(diǎn)管理。除此之外，綜合管理平臺(tái)的能夠?qū)μ摂M機(jī)進(jìn)行批量創(chuàng)建、管理、維護(hù)，攻防實(shí)驗(yàn)平臺(tái)里面內(nèi)置了各種各樣的漏洞虛擬機(jī)模板、學(xué)員可以依托培訓(xùn)教學(xué)平臺(tái)進(jìn)行實(shí)驗(yàn)，通過(guò)預(yù)制的虛擬機(jī)展開(kāi)各類(lèi)實(shí)驗(yàn)、訓(xùn)練等活動(dòng)。

平臺(tái)通過(guò)虛擬化的技術(shù)使學(xué)員通過(guò)強(qiáng)大的資源庫(kù)學(xué)習(xí)后，通過(guò)預(yù)制相應(yīng)的實(shí)驗(yàn)環(huán)境進(jìn)行實(shí)驗(yàn)，使學(xué)員掌握各類(lèi)技術(shù)的漏洞原理、攻擊與防御方法。

平臺(tái)支持組織各類(lèi)攻防訓(xùn)練、競(jìng)賽等活動(dòng)提供強(qiáng)大的支撐平臺(tái)。在攻防對(duì)抗中建立了大量的試題庫(kù)，具有全面、廣泛、深入的研究。支持練習(xí)、比賽等模式，支持對(duì)學(xué)生比賽模式的進(jìn)度情況以可視化的方式進(jìn)行實(shí)時(shí)展現(xiàn)。攻防對(duì)抗比賽實(shí)時(shí)呈現(xiàn)效果如圖2所示。

圖2 攻防對(duì)抗比賽實(shí)時(shí)呈現(xiàn)效果圖

內(nèi)置的工具庫(kù)是銳捷網(wǎng)絡(luò)安全團(tuán)隊(duì)多年的攻防實(shí)戰(zhàn)經(jīng)驗(yàn)及安全研究最佳實(shí)踐經(jīng)驗(yàn)匯聚的結(jié)晶。具有豐富的攻防工具集100余款，覆蓋漏洞探測(cè)、漏洞掃描、滲透測(cè)試、逆向工程等類(lèi)別，可依托工具庫(kù)結(jié)合學(xué)習(xí)過(guò)程中的各類(lèi)實(shí)驗(yàn)。

［1］左鐵鏞.高等學(xué)校實(shí)驗(yàn)室建設(shè)的作用和思考［J］.實(shí)驗(yàn)室研究與探索，2011（4）：1-5.

［2］許馳.高職院校信息安全實(shí)驗(yàn)室建設(shè)探討［J］.科技創(chuàng)新導(dǎo)報(bào)，2011（25）：240.

［3］李長(zhǎng)春.高職院校信息安全實(shí)驗(yàn)室建設(shè)研究與實(shí)踐［J］.湘南學(xué)院學(xué)報(bào)，2013（2）：92-98.

Exploration on building of information security laboratory in colleges and universities

Lu Shiyao

（Nanjing Radio and Television University，Nanjing 210002，China）

Information security is not only an application of the professional field，but also a kind of practical teaching for the purpose of information security education.If we want to train the safety technical personnel to meet the needs of the development of the country and society，we must set up an information security laboratory.This paper analyzed the construction background of information security，and put forward the construction standards of information security laboratory，finally discussed the construction scheme of information security laboratory environment.

colleges and universities；information security；laboratory construction；network and information security teaching

陸世堯（1986—），男，江蘇淮安，助理工程師。