王瑞錦 周世杰 秦志光 吉家成

文章編號：1672-5913（2015）11-0031-05

中圖分類號：G642

摘要：針對信息安全實驗項目在真實環(huán)境中開展會出現(xiàn)破壞性大、搭建實驗環(huán)境復雜、實驗成本高以及跨校的高水平實驗遠程共享難等問題，分析現(xiàn)有手段的弊端，提出“3層次、5模塊、7平臺”的基于“虛擬仿真”的信息安全實驗教學體系觀點，同時闡述網(wǎng)絡安全防護體系架構的設計，用以保障平臺的安全運行。

關鍵詞：虛擬仿真；信息安全實驗教學體系；安全防護體系

1 背景

當前信息安全事件層出不窮，從各類信用卡數(shù)據(jù)泄露、用戶數(shù)據(jù)庫泄露到網(wǎng)絡間諜威脅、棱鏡門事件等，可以看出信息安全事件的影響越來越大。信息安全問題不僅是個人和企業(yè)的問題，也是維護國家安全和社會穩(wěn)定的一個焦點。2014年2月，中央宣布習近平總書記擔任中央網(wǎng)絡安全和信息化領導小組組長，更加表明信息安全已經(jīng)成為一個關系國家安全和主權、社會穩(wěn)定、民族文化繼承和發(fā)揚的重要問題。因此，構建可靠的信息安全保障系統(tǒng)，培養(yǎng)高素質的信息安全專業(yè)精英人才已成為當務之急。

信息安全是通信、計算機、數(shù)學、軟件工程、管理和法律等學科的交叉學科，主要研究信息與網(wǎng)絡安全的科學與技術。據(jù)不完全統(tǒng)計，截至2014年，國內(nèi)有100多所高校開設了信息安全專業(yè)，各高校都在不斷探索和研究，初步建立了特點不一的實驗教學體系。其中，武漢大學構建了“基礎實驗一綜合設計實驗一研究創(chuàng)新實驗”的3層次實踐教學模式，通過多種平臺培養(yǎng)學生的實踐和創(chuàng)新能力。北京郵電大學搭建了“以能力提升為中心、項目實訓為基礎、創(chuàng)新培育為重點”的整體化實驗教學創(chuàng)新體系。哈爾濱工業(yè)大學秉承“項目實踐能力強”的作風，將創(chuàng)新能力和實踐能力貫穿到實驗教學的各環(huán)節(jié)。雖然有如此多的高校開展研究探索，但大多數(shù)高校的人才培養(yǎng)仍然停留在單純的理論授課或設備應用層面，并且高校都面臨開展真實實驗項目破壞性大、搭建實驗環(huán)境復雜、實驗成本高以及跨校的高水平實驗遠程共享難等問題。

電子科技大學作為我國首批設立信息安全專業(yè)的高校之一，在信息安全實驗教學體系中，通過學習與借鑒國內(nèi)外著名院校信息安全專業(yè)建設與實踐的經(jīng)驗，在建設國家級“信息與網(wǎng)絡安全虛擬仿真實驗教學中心”（以下簡稱“中心”）的有力支持下，建成了基于“虛擬仿真”的信息安全實驗教學體系，涵蓋了信息、系統(tǒng)、網(wǎng)絡、移動智能終端、云計算、空天等領域的安全實驗項目，取得了很好的教學效果。

2 建設虛擬仿真實驗教學平臺的必要性

1）在真實實驗環(huán)境中開展實驗，破壞性大。

因網(wǎng)絡信息安全與攻防技術本身所具有的破壞性，為教學而設置網(wǎng)絡安全漏洞會產(chǎn)生巨大風險。在真實的網(wǎng)絡環(huán)境中開展網(wǎng)絡攻擊、病毒注入等實驗，將釀成災難性后果。實驗性計算機病毒流向公共網(wǎng)絡在計算機發(fā)展史上不乏其例，世界上第一例病毒就是從實驗室流出到公共網(wǎng)絡。這使得該類實驗教學必須依賴于虛擬仿真技術和手段。

2）搭建真實實驗環(huán)境復雜、實驗成本高。

信息安全與攻防技術真實實驗環(huán)境規(guī)模龐大、結構復雜，系統(tǒng)難度大，建設和維護成本高；實驗教學中涉及的形形色色的病毒也無法在需要時實時再現(xiàn)，這些使得學生幾乎無法進行實際的網(wǎng)絡攻防設計。

另外，受地域環(huán)境、儀器設備和安全性等因素的限制，學生不能深入生產(chǎn)一線進行實踐鍛煉，而目前的綜合設計性實驗僅具有少量的工程能力培養(yǎng)內(nèi)容，不能滿足需求。

3）采用“虛擬仿真”開展信息安全實驗的優(yōu)點。

虛擬仿真實驗以網(wǎng)絡虛擬化的方式為學生提供實戰(zhàn)靶機和實戰(zhàn)環(huán)境等要素共同構成的動態(tài)仿真環(huán)境，以完成攻防過程的模擬實驗。此外，用虛擬現(xiàn)實技術形象生動地展現(xiàn)攻防的真實過程能幫助學生更加深入地了解網(wǎng)絡攻防的工作原理和工作過程。這樣既能節(jié)省實驗室建設的經(jīng)費成本，又能模擬網(wǎng)絡信息安全開設實驗時高端實驗設備的運行情況、實驗的配置環(huán)境和命令行操作的一致性。同時，由于采用虛擬手段能夠實現(xiàn)所有實驗的過程，學生通過遠程登錄，參與整個實驗工程項目，能夠靈活、方便地搭建實驗環(huán)境，能夠快速恢復實驗環(huán)境，在達到相同教學效果的前提下，大大降低了開展真實實驗的破壞性。

總之，基于虛擬化技術的信息安全實驗教學體系，能將信息安全的相關實驗和創(chuàng)新應用模塊通過在線、遠程方式加以實現(xiàn)，從而解決了真實實驗項目破壞性大、搭建實驗環(huán)境復雜、實驗成本高以及跨校的高水平實驗遠程共享等問題。虛擬仿真能夠很好地豐富實驗教學手段，達到全面提高本科生的創(chuàng)新精神和綜合實踐能力的目的。

3 教學體系設計

電子科技大學信息安全專業(yè)以人才培養(yǎng)目標和創(chuàng)新能力教育為宗旨，以全面提高學生的創(chuàng)新精神和綜合實踐能力為目標，堅持“攻防兼?zhèn)洹⒁怨ゴ俜?、應用牽引、資源共享”的建設理念，構建了以“3層次、5模塊、7平臺”為內(nèi)容的信息與網(wǎng)絡安全虛擬仿真實驗教學體系，如圖1所示。

中心通過“虛”“實”結合的方式完成教學大綱要求。2007年建成的“國家級計算機實驗教學示范中心”，為中心提供實驗教學所需的物理環(huán)境和實物平臺。

3.1 3 層次

以“基礎驗證、工程實踐和創(chuàng)新研究”為內(nèi)容的“3層次”遞進式模型（如圖2所示），為實驗教學的規(guī)劃提供了方法論的指導。學生通過集虛擬仿真實驗資源的展示、管理、共享、交流、服務于一體的虛擬化平臺，遠程共享實驗室軟硬件資源，完成3層次遞進式“金字塔”模式的實驗。

基礎驗證層包含了密碼學基礎實驗、系統(tǒng)加固安全等實驗；工程實踐層包括網(wǎng)絡互聯(lián)安全、網(wǎng)絡攻防實戰(zhàn)等實驗；創(chuàng)新研究層包括云計算安全實驗、移動終端安全、空天信息安全、信息安全競賽等實驗。

3.2

5模塊

以“信息加密、系統(tǒng)安全加固、網(wǎng)絡互聯(lián)安全、網(wǎng)絡攻防和安全應用”為內(nèi)容的“5模塊”，解決了如何建設實驗項目的問題。

信息加密模塊支撐包括信息安全導論實驗在內(nèi)的3門課程的實驗教學任務；系統(tǒng)安全加固模塊支撐計算機病毒與防護等5門課程的實驗教學任務；網(wǎng)絡互聯(lián)安全模塊支撐網(wǎng)絡設備配置、網(wǎng)絡與信息安全綜合設計實驗在內(nèi)的3門課程的實驗教學任務；網(wǎng)絡攻防支撐網(wǎng)絡攻防技術等4門課程的實驗教學任務；安全應用模塊支撐移動智能終端安全等2門課程的實驗教學任務。

3.3 7平臺

最終構建的信息安全基礎仿真實驗平臺、系統(tǒng)安全加固仿真實驗平臺、網(wǎng)絡互聯(lián)安全虛擬仿真實驗平臺、網(wǎng)絡攻防實戰(zhàn)虛擬仿真實驗平臺、移動智能終端安全虛擬仿真實驗平臺、云信息安全虛擬仿真實驗平臺、空天信息安全虛擬仿真實驗平臺7個具體的虛擬實驗平臺，解決了數(shù)據(jù)恢復開盤、網(wǎng)絡滲透攻擊、虛擬路由器模擬、網(wǎng)絡入侵檢測、網(wǎng)絡攻防、移動智能終端安全等27個虛擬仿真實驗項目如何開設的問題。

3.4 開設的實驗項目

實驗課程按照學科和專業(yè)分布分別由7個實驗平臺負責完成，目前可進行27項虛擬仿真實驗項目，包括適合開設的課程22門課程，共206學時。見表1。

4 安全防護體系架構

我們把中心的網(wǎng)絡系統(tǒng)分為遠程實驗區(qū)與核心內(nèi)網(wǎng)兩個區(qū)域。根據(jù)這兩個區(qū)域內(nèi)用戶對虛擬仿真實驗教學系統(tǒng)的實際需求，分別部署和完善了相應的網(wǎng)絡與信息安全防護設施。網(wǎng)絡安全防護體系情況如圖3所示。

1）遠程實驗區(qū)安全防護。

遠程實驗區(qū)定義為本校校園網(wǎng)以外的互聯(lián)網(wǎng)區(qū)域，該區(qū)域中的用戶主要通過互聯(lián)網(wǎng)訪問本中心的信息門戶獲取和查詢公開信息，或者訪問位于核心內(nèi)網(wǎng)中的仿真實驗平臺進行遠程在線實驗。因此本區(qū)域中的安全防護設施主要部署于網(wǎng)絡對外接口位置，包括防火墻、IPS、VPN等設備，提供邊界檢查、建立安全區(qū)域、控制數(shù)據(jù)包的進出、防范和抵御網(wǎng)絡入侵和攻擊等防護功能。這些安全防護設施側重于為互聯(lián)網(wǎng)用戶提供兩類信息服務。

第一類服務是為互聯(lián)網(wǎng)用戶提供關于本中心實驗教學與服務信息的獲取與查詢服務，主要采用在防火墻的DMZ區(qū)部署對外提供信息服務的Web門戶服務器等。用戶通過瀏覽器即可便捷地獲取本中心對外發(fā)布的公開信息。

第二類服務是為用戶提供接人核心內(nèi)網(wǎng)的安全接入通道?；ヂ?lián)網(wǎng)用戶通過VPN方式接入后即可獲得與校園網(wǎng)內(nèi)主機相同的地位，在完成身份認證后即可實現(xiàn)安全接入仿真平臺進行在線實驗的功能。IPS入侵防護用于檢測和防范各種惡意攻擊。

2）核心內(nèi)網(wǎng)區(qū)安全防護。

核心內(nèi)網(wǎng)定義為本中心內(nèi)部網(wǎng)絡區(qū)域，通過防火墻與外網(wǎng)遠程實驗區(qū)進行安全隔離與訪問控制。

核心內(nèi)網(wǎng)中部署各仿真實驗平臺和相關安全管理設施，是提供在線仿真實驗教學各項應用服務的核心設施。核心內(nèi)網(wǎng)在基礎網(wǎng)絡上采用VLAN技術實現(xiàn)子網(wǎng)的劃分、用戶的隔離和訪問控制；在實驗平臺的物理部署上采用本中心主平臺與各分實驗平臺分離的模式實現(xiàn)安全保障；在應用層面上采用用戶身份注冊、認證和訪問權限的授權等措施來確保應用訪問的安全性。

5 結語

電子科技大學構建了基于“虛擬仿真”的信息安全實驗教學體系，涵蓋了信息、系統(tǒng)、網(wǎng)絡、移動智能終端、云計算、空天等領域的安全實驗項目，取得了很好的教學效果，對于推進我國信息安全專業(yè)人才教育和發(fā)展有著重要的實踐與現(xiàn)實意義。