王瑞錦 周世杰 秦志光 吉家成

文章編號(hào)：1672-5913（2015）11-0031-05

中圖分類號(hào)：G642

摘要：針對(duì)信息安全實(shí)驗(yàn)項(xiàng)目在真實(shí)環(huán)境中開展會(huì)出現(xiàn)破壞性大、搭建實(shí)驗(yàn)環(huán)境復(fù)雜、實(shí)驗(yàn)成本高以及跨校的高水平實(shí)驗(yàn)遠(yuǎn)程共享難等問(wèn)題，分析現(xiàn)有手段的弊端，提出“3層次、5模塊、7平臺(tái)”的基于“虛擬仿真”的信息安全實(shí)驗(yàn)教學(xué)體系觀點(diǎn)，同時(shí)闡述網(wǎng)絡(luò)安全防護(hù)體系架構(gòu)的設(shè)計(jì)，用以保障平臺(tái)的安全運(yùn)行。

關(guān)鍵詞：虛擬仿真；信息安全實(shí)驗(yàn)教學(xué)體系；安全防護(hù)體系

1 背景

當(dāng)前信息安全事件層出不窮，從各類信用卡數(shù)據(jù)泄露、用戶數(shù)據(jù)庫(kù)泄露到網(wǎng)絡(luò)間諜威脅、棱鏡門事件等，可以看出信息安全事件的影響越來(lái)越大。信息安全問(wèn)題不僅是個(gè)人和企業(yè)的問(wèn)題，也是維護(hù)國(guó)家安全和社會(huì)穩(wěn)定的一個(gè)焦點(diǎn)。2014年2月，中央宣布習(xí)近平總書記擔(dān)任中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組組長(zhǎng)，更加表明信息安全已經(jīng)成為一個(gè)關(guān)系國(guó)家安全和主權(quán)、社會(huì)穩(wěn)定、民族文化繼承和發(fā)揚(yáng)的重要問(wèn)題。因此，構(gòu)建可靠的信息安全保障系統(tǒng)，培養(yǎng)高素質(zhì)的信息安全專業(yè)精英人才已成為當(dāng)務(wù)之急。

信息安全是通信、計(jì)算機(jī)、數(shù)學(xué)、軟件工程、管理和法律等學(xué)科的交叉學(xué)科，主要研究信息與網(wǎng)絡(luò)安全的科學(xué)與技術(shù)。據(jù)不完全統(tǒng)計(jì)，截至2014年，國(guó)內(nèi)有100多所高校開設(shè)了信息安全專業(yè)，各高校都在不斷探索和研究，初步建立了特點(diǎn)不一的實(shí)驗(yàn)教學(xué)體系。其中，武漢大學(xué)構(gòu)建了“基礎(chǔ)實(shí)驗(yàn)一綜合設(shè)計(jì)實(shí)驗(yàn)一研究創(chuàng)新實(shí)驗(yàn)”的3層次實(shí)踐教學(xué)模式，通過(guò)多種平臺(tái)培養(yǎng)學(xué)生的實(shí)踐和創(chuàng)新能力。北京郵電大學(xué)搭建了“以能力提升為中心、項(xiàng)目實(shí)訓(xùn)為基礎(chǔ)、創(chuàng)新培育為重點(diǎn)”的整體化實(shí)驗(yàn)教學(xué)創(chuàng)新體系。哈爾濱工業(yè)大學(xué)秉承“項(xiàng)目實(shí)踐能力強(qiáng)”的作風(fēng)，將創(chuàng)新能力和實(shí)踐能力貫穿到實(shí)驗(yàn)教學(xué)的各環(huán)節(jié)。雖然有如此多的高校開展研究探索，但大多數(shù)高校的人才培養(yǎng)仍然停留在單純的理論授課或設(shè)備應(yīng)用層面，并且高校都面臨開展真實(shí)實(shí)驗(yàn)項(xiàng)目破壞性大、搭建實(shí)驗(yàn)環(huán)境復(fù)雜、實(shí)驗(yàn)成本高以及跨校的高水平實(shí)驗(yàn)遠(yuǎn)程共享難等問(wèn)題。

電子科技大學(xué)作為我國(guó)首批設(shè)立信息安全專業(yè)的高校之一，在信息安全實(shí)驗(yàn)教學(xué)體系中，通過(guò)學(xué)習(xí)與借鑒國(guó)內(nèi)外著名院校信息安全專業(yè)建設(shè)與實(shí)踐的經(jīng)驗(yàn)，在建設(shè)國(guó)家級(jí)“信息與網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)中心”（以下簡(jiǎn)稱“中心”）的有力支持下，建成了基于“虛擬仿真”的信息安全實(shí)驗(yàn)教學(xué)體系，涵蓋了信息、系統(tǒng)、網(wǎng)絡(luò)、移動(dòng)智能終端、云計(jì)算、空天等領(lǐng)域的安全實(shí)驗(yàn)項(xiàng)目，取得了很好的教學(xué)效果。

2 建設(shè)虛擬仿真實(shí)驗(yàn)教學(xué)平臺(tái)的必要性

1）在真實(shí)實(shí)驗(yàn)環(huán)境中開展實(shí)驗(yàn)，破壞性大。

因網(wǎng)絡(luò)信息安全與攻防技術(shù)本身所具有的破壞性，為教學(xué)而設(shè)置網(wǎng)絡(luò)安全漏洞會(huì)產(chǎn)生巨大風(fēng)險(xiǎn)。在真實(shí)的網(wǎng)絡(luò)環(huán)境中開展網(wǎng)絡(luò)攻擊、病毒注入等實(shí)驗(yàn)，將釀成災(zāi)難性后果。實(shí)驗(yàn)性計(jì)算機(jī)病毒流向公共網(wǎng)絡(luò)在計(jì)算機(jī)發(fā)展史上不乏其例，世界上第一例病毒就是從實(shí)驗(yàn)室流出到公共網(wǎng)絡(luò)。這使得該類實(shí)驗(yàn)教學(xué)必須依賴于虛擬仿真技術(shù)和手段。

2）搭建真實(shí)實(shí)驗(yàn)環(huán)境復(fù)雜、實(shí)驗(yàn)成本高。

信息安全與攻防技術(shù)真實(shí)實(shí)驗(yàn)環(huán)境規(guī)模龐大、結(jié)構(gòu)復(fù)雜，系統(tǒng)難度大，建設(shè)和維護(hù)成本高；實(shí)驗(yàn)教學(xué)中涉及的形形色色的病毒也無(wú)法在需要時(shí)實(shí)時(shí)再現(xiàn)，這些使得學(xué)生幾乎無(wú)法進(jìn)行實(shí)際的網(wǎng)絡(luò)攻防設(shè)計(jì)。

另外，受地域環(huán)境、儀器設(shè)備和安全性等因素的限制，學(xué)生不能深入生產(chǎn)一線進(jìn)行實(shí)踐鍛煉，而目前的綜合設(shè)計(jì)性實(shí)驗(yàn)僅具有少量的工程能力培養(yǎng)內(nèi)容，不能滿足需求。

3）采用“虛擬仿真”開展信息安全實(shí)驗(yàn)的優(yōu)點(diǎn)。

虛擬仿真實(shí)驗(yàn)以網(wǎng)絡(luò)虛擬化的方式為學(xué)生提供實(shí)戰(zhàn)靶機(jī)和實(shí)戰(zhàn)環(huán)境等要素共同構(gòu)成的動(dòng)態(tài)仿真環(huán)境，以完成攻防過(guò)程的模擬實(shí)驗(yàn)。此外，用虛擬現(xiàn)實(shí)技術(shù)形象生動(dòng)地展現(xiàn)攻防的真實(shí)過(guò)程能幫助學(xué)生更加深入地了解網(wǎng)絡(luò)攻防的工作原理和工作過(guò)程。這樣既能節(jié)省實(shí)驗(yàn)室建設(shè)的經(jīng)費(fèi)成本，又能模擬網(wǎng)絡(luò)信息安全開設(shè)實(shí)驗(yàn)時(shí)高端實(shí)驗(yàn)設(shè)備的運(yùn)行情況、實(shí)驗(yàn)的配置環(huán)境和命令行操作的一致性。同時(shí)，由于采用虛擬手段能夠?qū)崿F(xiàn)所有實(shí)驗(yàn)的過(guò)程，學(xué)生通過(guò)遠(yuǎn)程登錄，參與整個(gè)實(shí)驗(yàn)工程項(xiàng)目，能夠靈活、方便地搭建實(shí)驗(yàn)環(huán)境，能夠快速恢復(fù)實(shí)驗(yàn)環(huán)境，在達(dá)到相同教學(xué)效果的前提下，大大降低了開展真實(shí)實(shí)驗(yàn)的破壞性。

總之，基于虛擬化技術(shù)的信息安全實(shí)驗(yàn)教學(xué)體系，能將信息安全的相關(guān)實(shí)驗(yàn)和創(chuàng)新應(yīng)用模塊通過(guò)在線、遠(yuǎn)程方式加以實(shí)現(xiàn)，從而解決了真實(shí)實(shí)驗(yàn)項(xiàng)目破壞性大、搭建實(shí)驗(yàn)環(huán)境復(fù)雜、實(shí)驗(yàn)成本高以及跨校的高水平實(shí)驗(yàn)遠(yuǎn)程共享等問(wèn)題。虛擬仿真能夠很好地豐富實(shí)驗(yàn)教學(xué)手段，達(dá)到全面提高本科生的創(chuàng)新精神和綜合實(shí)踐能力的目的。

3 教學(xué)體系設(shè)計(jì)

電子科技大學(xué)信息安全專業(yè)以人才培養(yǎng)目標(biāo)和創(chuàng)新能力教育為宗旨，以全面提高學(xué)生的創(chuàng)新精神和綜合實(shí)踐能力為目標(biāo)，堅(jiān)持“攻防兼?zhèn)洹⒁怨ゴ俜?、?yīng)用牽引、資源共享”的建設(shè)理念，構(gòu)建了以“3層次、5模塊、7平臺(tái)”為內(nèi)容的信息與網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)體系，如圖1所示。

中心通過(guò)“虛”“實(shí)”結(jié)合的方式完成教學(xué)大綱要求。2007年建成的“國(guó)家級(jí)計(jì)算機(jī)實(shí)驗(yàn)教學(xué)示范中心”，為中心提供實(shí)驗(yàn)教學(xué)所需的物理環(huán)境和實(shí)物平臺(tái)。

3.1 3 層次

以“基礎(chǔ)驗(yàn)證、工程實(shí)踐和創(chuàng)新研究”為內(nèi)容的“3層次”遞進(jìn)式模型（如圖2所示），為實(shí)驗(yàn)教學(xué)的規(guī)劃提供了方法論的指導(dǎo)。學(xué)生通過(guò)集虛擬仿真實(shí)驗(yàn)資源的展示、管理、共享、交流、服務(wù)于一體的虛擬化平臺(tái)，遠(yuǎn)程共享實(shí)驗(yàn)室軟硬件資源，完成3層次遞進(jìn)式“金字塔”模式的實(shí)驗(yàn)。

基礎(chǔ)驗(yàn)證層包含了密碼學(xué)基礎(chǔ)實(shí)驗(yàn)、系統(tǒng)加固安全等實(shí)驗(yàn)；工程實(shí)踐層包括網(wǎng)絡(luò)互聯(lián)安全、網(wǎng)絡(luò)攻防實(shí)戰(zhàn)等實(shí)驗(yàn)；創(chuàng)新研究層包括云計(jì)算安全實(shí)驗(yàn)、移動(dòng)終端安全、空天信息安全、信息安全競(jìng)賽等實(shí)驗(yàn)。

3.2

5模塊

以“信息加密、系統(tǒng)安全加固、網(wǎng)絡(luò)互聯(lián)安全、網(wǎng)絡(luò)攻防和安全應(yīng)用”為內(nèi)容的“5模塊”，解決了如何建設(shè)實(shí)驗(yàn)項(xiàng)目的問(wèn)題。

信息加密模塊支撐包括信息安全導(dǎo)論實(shí)驗(yàn)在內(nèi)的3門課程的實(shí)驗(yàn)教學(xué)任務(wù)；系統(tǒng)安全加固模塊支撐計(jì)算機(jī)病毒與防護(hù)等5門課程的實(shí)驗(yàn)教學(xué)任務(wù)；網(wǎng)絡(luò)互聯(lián)安全模塊支撐網(wǎng)絡(luò)設(shè)備配置、網(wǎng)絡(luò)與信息安全綜合設(shè)計(jì)實(shí)驗(yàn)在內(nèi)的3門課程的實(shí)驗(yàn)教學(xué)任務(wù)；網(wǎng)絡(luò)攻防支撐網(wǎng)絡(luò)攻防技術(shù)等4門課程的實(shí)驗(yàn)教學(xué)任務(wù)；安全應(yīng)用模塊支撐移動(dòng)智能終端安全等2門課程的實(shí)驗(yàn)教學(xué)任務(wù)。

3.3 7平臺(tái)

最終構(gòu)建的信息安全基礎(chǔ)仿真實(shí)驗(yàn)平臺(tái)、系統(tǒng)安全加固仿真實(shí)驗(yàn)平臺(tái)、網(wǎng)絡(luò)互聯(lián)安全虛擬仿真實(shí)驗(yàn)平臺(tái)、網(wǎng)絡(luò)攻防實(shí)戰(zhàn)虛擬仿真實(shí)驗(yàn)平臺(tái)、移動(dòng)智能終端安全虛擬仿真實(shí)驗(yàn)平臺(tái)、云信息安全虛擬仿真實(shí)驗(yàn)平臺(tái)、空天信息安全虛擬仿真實(shí)驗(yàn)平臺(tái)7個(gè)具體的虛擬實(shí)驗(yàn)平臺(tái)，解決了數(shù)據(jù)恢復(fù)開盤、網(wǎng)絡(luò)滲透攻擊、虛擬路由器模擬、網(wǎng)絡(luò)入侵檢測(cè)、網(wǎng)絡(luò)攻防、移動(dòng)智能終端安全等27個(gè)虛擬仿真實(shí)驗(yàn)項(xiàng)目如何開設(shè)的問(wèn)題。

3.4 開設(shè)的實(shí)驗(yàn)項(xiàng)目

實(shí)驗(yàn)課程按照學(xué)科和專業(yè)分布分別由7個(gè)實(shí)驗(yàn)平臺(tái)負(fù)責(zé)完成，目前可進(jìn)行27項(xiàng)虛擬仿真實(shí)驗(yàn)項(xiàng)目，包括適合開設(shè)的課程22門課程，共206學(xué)時(shí)。見表1。

4 安全防護(hù)體系架構(gòu)

我們把中心的網(wǎng)絡(luò)系統(tǒng)分為遠(yuǎn)程實(shí)驗(yàn)區(qū)與核心內(nèi)網(wǎng)兩個(gè)區(qū)域。根據(jù)這兩個(gè)區(qū)域內(nèi)用戶對(duì)虛擬仿真實(shí)驗(yàn)教學(xué)系統(tǒng)的實(shí)際需求，分別部署和完善了相應(yīng)的網(wǎng)絡(luò)與信息安全防護(hù)設(shè)施。網(wǎng)絡(luò)安全防護(hù)體系情況如圖3所示。

1）遠(yuǎn)程實(shí)驗(yàn)區(qū)安全防護(hù)。

遠(yuǎn)程實(shí)驗(yàn)區(qū)定義為本校校園網(wǎng)以外的互聯(lián)網(wǎng)區(qū)域，該區(qū)域中的用戶主要通過(guò)互聯(lián)網(wǎng)訪問(wèn)本中心的信息門戶獲取和查詢公開信息，或者訪問(wèn)位于核心內(nèi)網(wǎng)中的仿真實(shí)驗(yàn)平臺(tái)進(jìn)行遠(yuǎn)程在線實(shí)驗(yàn)。因此本區(qū)域中的安全防護(hù)設(shè)施主要部署于網(wǎng)絡(luò)對(duì)外接口位置，包括防火墻、IPS、VPN等設(shè)備，提供邊界檢查、建立安全區(qū)域、控制數(shù)據(jù)包的進(jìn)出、防范和抵御網(wǎng)絡(luò)入侵和攻擊等防護(hù)功能。這些安全防護(hù)設(shè)施側(cè)重于為互聯(lián)網(wǎng)用戶提供兩類信息服務(wù)。

第一類服務(wù)是為互聯(lián)網(wǎng)用戶提供關(guān)于本中心實(shí)驗(yàn)教學(xué)與服務(wù)信息的獲取與查詢服務(wù)，主要采用在防火墻的DMZ區(qū)部署對(duì)外提供信息服務(wù)的Web門戶服務(wù)器等。用戶通過(guò)瀏覽器即可便捷地獲取本中心對(duì)外發(fā)布的公開信息。

第二類服務(wù)是為用戶提供接人核心內(nèi)網(wǎng)的安全接入通道?；ヂ?lián)網(wǎng)用戶通過(guò)VPN方式接入后即可獲得與校園網(wǎng)內(nèi)主機(jī)相同的地位，在完成身份認(rèn)證后即可實(shí)現(xiàn)安全接入仿真平臺(tái)進(jìn)行在線實(shí)驗(yàn)的功能。IPS入侵防護(hù)用于檢測(cè)和防范各種惡意攻擊。

2）核心內(nèi)網(wǎng)區(qū)安全防護(hù)。

核心內(nèi)網(wǎng)定義為本中心內(nèi)部網(wǎng)絡(luò)區(qū)域，通過(guò)防火墻與外網(wǎng)遠(yuǎn)程實(shí)驗(yàn)區(qū)進(jìn)行安全隔離與訪問(wèn)控制。

核心內(nèi)網(wǎng)中部署各仿真實(shí)驗(yàn)平臺(tái)和相關(guān)安全管理設(shè)施，是提供在線仿真實(shí)驗(yàn)教學(xué)各項(xiàng)應(yīng)用服務(wù)的核心設(shè)施。核心內(nèi)網(wǎng)在基礎(chǔ)網(wǎng)絡(luò)上采用VLAN技術(shù)實(shí)現(xiàn)子網(wǎng)的劃分、用戶的隔離和訪問(wèn)控制；在實(shí)驗(yàn)平臺(tái)的物理部署上采用本中心主平臺(tái)與各分實(shí)驗(yàn)平臺(tái)分離的模式實(shí)現(xiàn)安全保障；在應(yīng)用層面上采用用戶身份注冊(cè)、認(rèn)證和訪問(wèn)權(quán)限的授權(quán)等措施來(lái)確保應(yīng)用訪問(wèn)的安全性。

5 結(jié)語(yǔ)

電子科技大學(xué)構(gòu)建了基于“虛擬仿真”的信息安全實(shí)驗(yàn)教學(xué)體系，涵蓋了信息、系統(tǒng)、網(wǎng)絡(luò)、移動(dòng)智能終端、云計(jì)算、空天等領(lǐng)域的安全實(shí)驗(yàn)項(xiàng)目，取得了很好的教學(xué)效果，對(duì)于推進(jìn)我國(guó)信息安全專業(yè)人才教育和發(fā)展有著重要的實(shí)踐與現(xiàn)實(shí)意義。