俞立峰 楊瓊

摘 要： 信息安全是一門綜合性、實(shí)踐性非常強(qiáng)的學(xué)科，針對信息安全的實(shí)踐教學(xué)，通常需購買相應(yīng)的硬件設(shè)備才能有效實(shí)施。然而購買硬件花費(fèi)不菲，受資金等多種因素限制，導(dǎo)致了信息安全實(shí)踐教學(xué)流于形式。為此，研究、設(shè)計(jì)并實(shí)現(xiàn)了基于職業(yè)能力培養(yǎng)的信息安全虛擬實(shí)踐教學(xué)平臺(tái)，該平臺(tái)主要包括兩個(gè)大模塊：網(wǎng)絡(luò)攻擊模塊與安全防護(hù)模塊，各模塊分別包括七個(gè)子模塊。

關(guān)鍵詞： 信息安全； 職業(yè)能力； 實(shí)踐教學(xué)平臺(tái)； 網(wǎng)絡(luò)攻擊； 安全防護(hù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2014）02-18-02

0 引言

隨著經(jīng)濟(jì)全球化和計(jì)算機(jī)及互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，信息安全問題已經(jīng)成為全社會(huì)關(guān)注的焦點(diǎn)，并且成為涉及國家政治、軍事、經(jīng)濟(jì)和文教等諸多領(lǐng)域的重要課題。社會(huì)對信息安全專業(yè)人才的需求量達(dá)幾十萬人，并呈現(xiàn)與日俱增的態(tài)勢。但是，目前信息安全方面的專業(yè)人才還很稀少，并且只有在高校才會(huì)進(jìn)行專業(yè)性的信息安全課程教學(xué)。由于信息安全學(xué)科是一門綜合性、實(shí)踐性非常強(qiáng)的學(xué)科（信息安全學(xué)科是計(jì)算機(jī)、通訊工程、數(shù)學(xué)、密碼學(xué)等領(lǐng)域的交叉應(yīng)用學(xué)科）[1-4]，要解決信息安全專業(yè)人才供需矛盾，需要各高校加強(qiáng)信息安全專業(yè)建設(shè)，尤其是實(shí)踐教學(xué)建設(shè)，增強(qiáng)學(xué)生的動(dòng)手實(shí)踐能力，以保證對信息安全專業(yè)人才培養(yǎng)的質(zhì)和量。

教育部等七部委《關(guān)于進(jìn)一步加強(qiáng)職業(yè)教育工作的若干意見》（教職成[2004]12號(hào)）中明確指出：“加快職業(yè)教育實(shí)訓(xùn)基地建設(shè)，切實(shí)提高學(xué)生職業(yè)技能”。要求學(xué)生具備在實(shí)際環(huán)境中應(yīng)用自身的知識(shí)完成信息安全實(shí)驗(yàn)以提高自身的動(dòng)手能力和實(shí)踐水平。實(shí)踐是理解信息安全基礎(chǔ)知識(shí)，提升信息安全技能的關(guān)鍵環(huán)節(jié)。然而，信息安全基礎(chǔ)實(shí)踐教學(xué)相對于其他傳統(tǒng)計(jì)算機(jī)實(shí)踐教學(xué)而言有一定的特殊性：①實(shí)驗(yàn)條件要求相對苛刻，需要購買專門的軟硬件設(shè)備；②實(shí)驗(yàn)內(nèi)容側(cè)重信息保護(hù)；③實(shí)驗(yàn)方式有一定的攻擊性。如果實(shí)驗(yàn)控制不當(dāng)，會(huì)帶來非常嚴(yán)重的安全事故，因此必須擁有一個(gè)合理的實(shí)驗(yàn)環(huán)境，使惡意代碼實(shí)驗(yàn)不影響正常的信息環(huán)境。此外，信息安全實(shí)踐教學(xué)也面臨著由于學(xué)生人數(shù)多、實(shí)驗(yàn)室教學(xué)任務(wù)重而帶來的資源匱乏等問題。

目前，各高?；旧弦再徺I軟硬件設(shè)備來支持信息安全的實(shí)踐教學(xué)，而軟硬件設(shè)備的更新?lián)Q代成本對于高校教學(xué)機(jī)構(gòu)來說是相當(dāng)難以承受的。因此，設(shè)計(jì)一種既能滿足信息安全技術(shù)、技能教學(xué)需要，又能培養(yǎng)學(xué)生的職業(yè)能力，且不需要對現(xiàn)有網(wǎng)絡(luò)、實(shí)驗(yàn)環(huán)境進(jìn)行太大改變的虛擬實(shí)驗(yàn)教學(xué)平臺(tái)就顯得尤為重要，也具有重要的現(xiàn)實(shí)意義。

1 虛擬實(shí)踐教學(xué)平臺(tái)構(gòu)建原則

基于職業(yè)能力培養(yǎng)的信息安全虛擬實(shí)踐教學(xué)平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)是對高校信息安全專業(yè)針對信息安全基礎(chǔ)實(shí)踐教學(xué)進(jìn)行的一項(xiàng)整體性的教學(xué)模式改革，因此，該平臺(tái)應(yīng)從以下幾個(gè)方面進(jìn)行設(shè)計(jì)[5-6]。

⑴ 基礎(chǔ)性原則。本研究構(gòu)建的是虛擬的信息安全實(shí)踐教學(xué)平臺(tái)，側(cè)重信息安全技術(shù)基礎(chǔ)知識(shí)的培養(yǎng)與鍛煉，在模擬的實(shí)踐環(huán)境中掌握網(wǎng)絡(luò)攻防的技術(shù)。

⑵ 易操作性原則。在設(shè)計(jì)實(shí)踐操作環(huán)節(jié)，考慮基礎(chǔ)性的同時(shí)，注重職業(yè)能力的培養(yǎng)；考慮學(xué)生操作的難易程度，把實(shí)踐的關(guān)鍵步驟、安裝軟件都植入虛擬平臺(tái)中；考慮認(rèn)識(shí)的認(rèn)知性，可以適當(dāng)?shù)刈鲆恍┕魧?shí)驗(yàn)，通過攻擊實(shí)驗(yàn)，讓學(xué)生掌握攻擊的理論知識(shí)，同時(shí)也更有助于學(xué)生掌握和學(xué)習(xí)安全防范技術(shù)。

⑶ 綜合性原則。虛擬平臺(tái)的實(shí)踐教學(xué)設(shè)計(jì)應(yīng)遵循由簡單到復(fù)雜，由易到難的原則，最后通過綜合性實(shí)驗(yàn)來提升學(xué)生的實(shí)踐技能和綜合素質(zhì)。

2 虛擬實(shí)踐教學(xué)平臺(tái)功能模塊

根據(jù)虛擬實(shí)踐教學(xué)平臺(tái)的構(gòu)建原則，本平臺(tái)主要包括網(wǎng)絡(luò)攻擊模塊與安全防護(hù)模塊。其中網(wǎng)絡(luò)攻擊模塊主要包括：Web攻擊、口令破解、欺騙攻擊、數(shù)據(jù)庫攻擊、緩沖區(qū)溢出攻擊、拒絕服務(wù)攻擊、木馬與蠕蟲攻擊等子模塊。安全防護(hù)模塊主要包括：操作系統(tǒng)安全、密碼學(xué)技術(shù)、信息隱藏技術(shù)、PKI技術(shù)、防火墻技術(shù)、VPN技術(shù)及入侵檢測技術(shù)子模塊。該教學(xué)平臺(tái)功能如圖1所示。

2.1 網(wǎng)絡(luò)攻擊模塊

該模塊要側(cè)重常用的攻擊方法的學(xué)習(xí)與掌握，其子模塊功能如下。

⑴ Web攻擊模塊。主要包括Web腳本攻擊、網(wǎng)絡(luò)釣魚等攻擊方法的實(shí)現(xiàn)。

⑵ 口令破解模塊。主要包括Windows口令破解和Linux口令破解。

⑶ 欺騙攻擊模塊。主要采用常用的ARP欺騙和ICMP重定向來實(shí)現(xiàn)，讓學(xué)生掌握常用的欺騙攻擊方法的實(shí)現(xiàn)。

⑷ 數(shù)據(jù)庫攻擊模塊。主要包括SQL注入攻擊的實(shí)現(xiàn)。

⑸ 緩沖區(qū)溢出攻擊模塊。主要包括本地緩沖區(qū)溢出、遠(yuǎn)程溢出與后門植入的實(shí)現(xiàn)。

⑹ 拒絕服務(wù)攻擊模塊。主要包括洪范攻擊、DDOS攻擊、Smurf攻擊的實(shí)現(xiàn)。

⑺ 木馬與蠕蟲攻擊模塊。主要包括特洛伊木馬、網(wǎng)絡(luò)蠕蟲的攻擊方式的實(shí)現(xiàn)。

2.2 安全防護(hù)模塊

該模塊要側(cè)重安全保護(hù)方法的學(xué)習(xí)與掌握，其子模塊的功能如下。

⑴ 操作系統(tǒng)安全模塊。主要包括Windows操作系統(tǒng)、Linux操作系統(tǒng)的安全配置與維護(hù)，加強(qiáng)學(xué)生對系統(tǒng)安全知識(shí)的培養(yǎng)。

⑵ 密碼學(xué)技術(shù)模塊。主要包括對稱加密、公開加密、混合加密的實(shí)現(xiàn)。

⑶ 信息隱藏模塊。主要包括信息偽裝、數(shù)字水印技術(shù)的實(shí)現(xiàn)。

⑷ PKI模塊。主要包括CA數(shù)字證書的申請、安裝、更新、吊銷、使用等功能。

⑸ 防火墻模塊。主要使用微軟的ISA防火墻進(jìn)行訪問控制的配置。

⑹ VPN技術(shù)模塊。利用Windows系統(tǒng)進(jìn)行VPN的創(chuàng)建與測試。

⑺ 入侵檢測模塊。主要包括Windows系統(tǒng)平臺(tái)、Linux系統(tǒng)平臺(tái)下Snort入侵檢測的安裝、配置與檢測。

3 虛擬實(shí)踐教學(xué)平臺(tái)測試

基于職業(yè)能力培養(yǎng)的信息安全虛擬實(shí)踐教學(xué)平臺(tái)涵蓋了信息安全攻防實(shí)踐教學(xué)的絕大多數(shù)內(nèi)容，主要分為兩個(gè)大的模塊，然后不同模塊再根據(jù)學(xué)生認(rèn)知能力由簡單到綜合來進(jìn)行學(xué)習(xí)與實(shí)踐。本平臺(tái)采用C/S模式，開發(fā)環(huán)境為Microsoft Visual Studio 6.0，主要使用C語言完成整個(gè)虛擬實(shí)踐教學(xué)平臺(tái)的編程，實(shí)驗(yàn)操作系統(tǒng)為2003，數(shù)據(jù)庫采用SQL 2005。下面以圖2的ARP攻擊與防護(hù)為例來進(jìn)行測試。

3.1 ARP攻擊過程

首先，需要在黑客主機(jī)平臺(tái)上運(yùn)行ARPattack程序攻擊目標(biāo)主機(jī)一，將其ARP緩存表中與目標(biāo)主機(jī)二相映射的MAC地址更改為黑客主機(jī)的MAC地址。

3.2 防范ARP欺騙

當(dāng)發(fā)現(xiàn)主機(jī)通信異常或通過網(wǎng)關(guān)不能夠正常上網(wǎng)時(shí)，很可能是網(wǎng)關(guān)的IP被偽造?？梢允褂孟铝惺止げ僮鞣椒ǚ婪禔RP欺騙攻擊：①清空ARP緩存表；②實(shí)現(xiàn)IP/MAC地址綁定，Windows下綁定IP/MAC，首先清除ARP緩存表，然后將IP MAC地址對添加到緩存表中，最后實(shí)現(xiàn)開機(jī)后自動(dòng)執(zhí)行。Linux下綁定IP/MAC，實(shí)驗(yàn)使用的Linux系統(tǒng)環(huán)境（FC5）中，arp命令提供了-f選項(xiàng)，功能是將/etc/ethers文件中的IP/MAC地址對以靜態(tài)方式添加到ARP緩存表中。

建立靜態(tài)IP/MAC捆綁的方法如下：

首先建立/etc/ethers文件（或其他任意可編輯文件），編輯ethers文件，寫入正確的IP/MAC地址對應(yīng)關(guān)系，格式為：172.16.0.151 00：0c：29：1d：af：2a。

然后讓系統(tǒng)在啟動(dòng)后自動(dòng)加載項(xiàng)目，具體操作：在/etc/rc.d/rc.local最后添加新行arp -f，重啟系統(tǒng)即可生效。此時(shí)查看arp緩存表，靜態(tài)項(xiàng)目的Flags Mask內(nèi)容為CM，其中M表示當(dāng)前項(xiàng)目永久有效。

4 結(jié)束語

信息安全實(shí)踐教學(xué)平臺(tái)主要用于日常的信息安全實(shí)踐教學(xué)，系統(tǒng)運(yùn)行速度較快，客戶端無需安裝任何軟件，配置靈活、操作簡便；本平臺(tái)主要包括網(wǎng)絡(luò)攻擊模塊和安全防護(hù)模塊兩大模塊，并分別包括七個(gè)子模塊，基本滿足信息安全攻防實(shí)踐教學(xué)需求，能替代價(jià)格昂貴的網(wǎng)絡(luò)攻防真實(shí)設(shè)備的功能，極大地節(jié)省了教學(xué)成本。因此，本平臺(tái)為信息安全技術(shù)人才的培養(yǎng)，以及學(xué)校信息安全專業(yè)教學(xué)條件的改善提供了良好的實(shí)驗(yàn)環(huán)境。

參考文獻(xiàn)：

[1] 李成大.基于Web服務(wù)的信息安全虛擬實(shí)驗(yàn)系統(tǒng)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用，2007.27（1）：122-125

[2] 徐川，唐建，唐紅.網(wǎng)絡(luò)攻防對抗虛擬實(shí)驗(yàn)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2011.32（4）：1268-1271

[3] 張艷伶，黃聲烈，高艷華.網(wǎng)絡(luò)信息安全教學(xué)實(shí)驗(yàn)系統(tǒng)平臺(tái)的構(gòu)建[J].實(shí)驗(yàn)技術(shù)與管理，2008.23（10）：66-68

[4] 王陳章.網(wǎng)絡(luò)信息安全教學(xué)實(shí)驗(yàn)系統(tǒng)[D].吉林大學(xué)，2006.

[5] 郭春霞，劉增良，陶源.虛擬網(wǎng)絡(luò)攻防分析模型[J].計(jì)算機(jī)工程與應(yīng)用，2008.44（25）：100-103

[6] 劉武，吳建平.段海新.用VM ware構(gòu)建高效的網(wǎng)絡(luò)安全實(shí)驗(yàn)床[J].計(jì)算機(jī)應(yīng)用研究，2001.22（2）：216-218