信息安全综合实验系统功能介绍.doc

信息安全综合实验系统 功 能 介 绍 上海交通大学信息安全工程学院 2008 年 目目 录录 1 信息安全综合实验系统设计总述信息安全综合实验系统设计总述 .3 1.1 信息安全综合实验系统的含义3 1.2 信息安全综合实验系统的技术体系3 1.3 信息安全实验室的拓扑结构3 1.4 信息安全实验室的设备选型（示列 60 人）4 1.5 信息安全综合实验系统的优势与特色5 1）优势体现在5 2）特色体现在5 2 信息安全实验室解决方案比较信息安全实验室解决方案比较 .6 3 信息安全综合实验系统的构成和功能信息安全综合实验系统的构成和功能 .7 3.1 信息安全综合实验系统的构成7 3.2 信息安全综合实验系统的功能7 1）防火墙教学实验系统7 2）攻防教学实验系统8 3）密码教学实验系统8 4）安全审计教学实验系统9 5）PKI 教学实验系统.9 6）多级安全访问控制实验系统10 6）入侵检测教学实验系统10 7）病毒防护教学实验系统11 8）VPN 教学实验系统.11 4 信息安全专业实验安排（参考）信息安全专业实验安排（参考） .13 1 信息安全综合实验系统信息安全综合实验系统设计总述设计总述 1.1 信息安全综合实验系统的含义信息安全综合实验系统的含义 信息安全综合实验系统，是上海交通大学在国家科技部“十.五”863 计划信息安全重大项目 信息安全工程实践综合实验平台系统研究与集成的支持下研发的，是目前国内信息安全领域 首创的、最大规模的支持信息安全教学与培训的实验系统。在该系统下，可演示和运行各项网络 安全实验，全面支持信息安全专业人才培养、社会化培训、科研、安全产品研发及仿真测试等服 务。 在国家 863 计划重大项目支持下，上海交通大学信息安全工程学院经过四年多的攻关，研制 出具有国际先进水平的高级信息安全工程实践综合实验平台系统。该系统按照信息安全保障体系 进行构架设计，选择信息安全领域典型技术或研究方向构造全方位的实验专题，在不同层面上不 同方向提供系列的及个性化的实验，通过提供信息安全重点专项技术系统以及相配套的实验，能 够有效支持信息安全专业人才培养，加强信息安全人才培养的实践环节，从而有利于提升学生的 动手能力和实战能力。 1.2 信息安全综合实验系统的技术体系信息安全综合实验系统的技术体系 信息安全综合实验系统以安全基础支撑、安全网络隔离、安全检测防护、安全访问控制、安 全内容监控以及安全综合管理等六个方面的典型信息安全技术构建实验系统，形成了体现信息安 全保障体系架构的涵盖 13 个信息安全实验系统的规模宏大的综合测试及实验系统，可以支持大规 模的复杂网络信息系统的测试和实验，支持国家信息安全高级专业人材培养以及社会化高级人材 培训。 1.3 信息安全实验室的拓扑结构信息安全实验室的拓扑结构 信息安全实验室划分二个功能区：教学与培训功能区（深蓝色）和互动教学功能区（橘红色） 。 Internet 信信息息安安全全综综合合实实验验系系统统 学学生生端端(40) 防防火火墙墙 实实验验服服务务器器 入入侵侵检检测测 病病毒毒 实实验验服服务务器器 P PK KI I 安安全全审审计计 密密码码 攻攻防防 实实验验服服务务器器 目目标标主主机机 教教师师端端 交交换换机机（48口口） 交交换换机机（24口口） 实实验验区区（VPNA客客户户端端区区） IP:192.168.1.*/ GW1:54 *注注意意： 如如果果是是双双网网卡卡，实实验验时时，要要求求只只启启用用一一块块网网卡卡 WWe eb b服服务务器器 Firewall+IDS 交交换换机机2 VPN A 学学生生机机N 学学生生机机2 学学生生机机1 Internet Eth1 IP: Eth0 IP:53 Eth1 IP: Eth1 IP:21 Eth0 IP:0 GW: Eth1 IP: Eth0 IP:51 GW:54 Eth1 IP:54 虚虚拟拟internet和和DMZ区区 223.120.16.*/ VPN B 客客户户端端区区 172.16.15.*/ Auth+Audit VPN B Eth0 IP: GW: Eth0（外外网网） IP: GW: DNS： 70 F FT TP P服服务务器器 internet或或外外网网区区 交交换换机机1 STAR SR2150G 教教师师机机 图 1 信息安全实验室网络拓扑结构 1.5 信息安全综合实验系统的优势与特色信息安全综合实验系统的优势与特色 1）优势体现在）优势体现在 1 国内唯一的体现信息安全保障体系架构、涵盖信息安全重点专项技术原理及应用的分析、验 证及设计等各类实验的综合性实践平台； 2 系统支持每个专项技术的系列实验，便于大学根据教学需求选择课程教学中的实验内容； 3 既支持专项技术的深入原理及应用实验，也支持跨系统平台级综合实验； 4 全面覆盖专项技术及应用的要点，具备多用户并发实验、用户管理、日志记录、实验结果记 录等附加功能，适合信息安全学历教育和社会化培训； 5 本实验系统全面覆盖信息安全各个层次和各类技术，并且具有整体化安全架构、多项功能集 成、支持远程教学、支持大规模多用户并发控制及远程信息实时交互及可视化等特点。 2）特色体现在）特色体现在 1 系统具备高集成度和强扩展性，便于及时融入各类新型安全技术研究成果。 2 满足教学培训要求，支持大规模多用户并发实验： 可支持 100 人以上 每个学员完成实验相互独立、互不影响 3 满足教学环节中实验内容的可扩充需求： 平台具有良好的可扩展性，可方便增加新的实验系统 每一个实验子系统增添新的实验内容无需添置硬件，软件升级、扩展、维护方便 4 具有良好的交互性： 学生可以通过交互手段进行实验 实现交互信息的可视化 5 整个系统提供多用户集中管理功能，包括： 多用户统一身份认证 多用户统一权限管理 多用户统一数据管理 6 实验子系统相互独立运行，根据用户的需要灵活选择组合，每个子系统具备如下完整功能： 身份认证 权限管理 实验日志 2 信息安全实验室解决方案比较信息安全实验室解决方案比较 截至 2005 年底，国家教育部目前备案和批准设置信息安全专业的高校有 50 余家，针对设置 信息安全专业和开设信息安全专业相关课程的高校，国内一些高校及有关企业也提出了信息安全 实验室建设解决方案，但是他们都没有像上海交大研制出覆盖信息安全完整技术体系的、针对信 息安全教学培训实验的综合实验平台，主要有以下几种情况： 其一，主要是依托商用安全产品提供解决方案,教学方式以功能演示为主。 他们的办法主要是购买大量商用安全产品，结合交换机等网络产品构建信息安全实验室。但 是，众所周知，商用的安全产品主要功能是完成安全检测和防护的功能，不能支持针对教学的大 规模多用户的并发访问和同时在线实验；而且，商用产品只重结果（强调功能如何强大），不重 过程，缺乏交互性，因此针对商用产品的实验只能停留在操作使用层面，整个技术对学生来说只 是一个黑盒。 其二，是将商用安全产品与 Windows/Linux 操作系统的安全功能结合提供解决方案，教学方 式大部分也是功能验证。 这种方案中，商用产品应用到教学实验环节的缺点与第一点相同。除此以外，Windows/Linux 操作系统的安全功能配置开展实验，一方面实验做起来比较零散，缺乏交互性；另一方面，由于 没有专门的软件系统，实验前的准备和实验后的维护非常麻烦，没有针对学生做实验的 copy 或 抄袭等行为的管理和监控措施。 其三，按信息安全技术体系建立真实的信息安全教学环境，支持大规模、多用户并发控制的 信息安全综合实验。 与某些相类似产品的比较，以防火墙实验系统为例：某些解决方案就是利用市场上的商用防 火墙，利用实验老师按照预先设定的规则演示或检验防火墙实际功能和安全策略，其特点是：把 学生按防火墙的原理，分成两个区域，用预先设定的安全规则，对防火墙 DMZ 区互访，让两方 学生相互检验防火墙安全策略的效果，在实验过程中，不能任意更改预先设定的规则，学生不能 按照自己建立的安全规则去做实验，由于受到商用产品的特点，不能用于大规模、并发的防火墙 教学实验，用户数量受到限制。 而上海交通大学的“信息安全综合实验系统”，正是这种支持大规模、多用户并发控制实验， 教学方式是为高校提供真实的信息安全教学环境。使每个学生可以按照自己设计的安全规则和策 略，建立和进行防火墙实验，而且每个学生在配置和检验防火墙安全规则时，互不影响，非常适 合实验教学，保证每个学生都可以动手实践，具有良好的交互性，支持交互信息的可视化，不仅 注重安全功能的结果，同时也注重安全功能的过程；同时还具有统一身份认证、统一权限管理及 统一数据管理功能，支持系统在线评分，具备日志审计功能，能够对针对学生做实验的 copy 或 抄袭等行为的管理和监控。 3 信息安全综合实验系统的构成和功能信息安全综合实验系统的构成和功能 3.1 信息安全综合实验系统的构成信息安全综合实验系统的构成 信息安全综合实验系统目前已经投入产品化使用的实验系统共有 9 个（防火墙教学实验系统、 攻防教学实验系统、密码教学实验系统、病毒防护教学实验系统、PKI 教学实验系统、多级安全 访问控制实验系统、安全审计教学实验系统、入侵检测教学实验系统、VPN 教学实验系统），即 将投入使用的实验系统还有（虚拟交换机实验系统、虚拟路由器实验系统、安全协议验证实验系 统）。 图 3 信息安全综合实验系统构成 3.2 信息安全综合实验系统的功能信息安全综合实验系统的功能 1 1）防火墙教学实验系统）防火墙教学实验系统（参考学时（参考学时 8 8 个）个） 主要功能特点：主要功能特点： 支持多用户并发控制：允许多个用户同时在一台防火墙上进行实验。 具备商用防火墙基本功能和配置管理方式：支持普通包过滤、状态检测、应用代理等核 心防火墙技术，并且提供了方便的管理功能。 界面友好、交互性强：采用 B/S 架构，用户通过 WEB 页面即可完成对防火墙规则的配置， 通过嵌入 WEB 的远程虚拟命令操作控制台，即可完成对防火墙规则验证。 利用该系统可灵活进行内部模块的功能验证、掌握防火墙相关技术以及防火墙设备的测 试方法，为不同层次的学生在防火墙技术方面的学习和实践提供强大的支撑环境。 实验项目：实验项目： 包过滤实验 普通包过滤 动态包过滤 应用代理实验 HTTP 代理 FTP 代理 Telnet 代理 DMZ 实验 NAT 实验 2 2）攻防教学实验系统）攻防教学实验系统（参考学时（参考学时 8 8 个）个） 主要功能特点：主要功能特点： 采用了大量的网络最新攻防技术，旨在使学生在掌握基本原理的前提下，能够开展对攻 防核心技术的学习和研究。 实验内容包括信息探测类攻防技术；远程控制类攻防技术；口令猜解类攻防技术；缓冲 区溢出类攻防技术。 实验项目：实验项目： RpcDcom 堆栈溢出实验 端口扫描实验 漏洞扫描实验 Unix 系统口令破解实验 Windows 系统口令破解实验 远程控制实验 3 3）密码教学实验系统）密码教学实验系统（参考学时（参考学时 8 8 个）个） 主要功能特点：主要功能特点： 密码系统，从密码理论结合工程应用的角度提供密码知识的学习。 主流密码算法(AES、DES、3DES、RSA 等)的原理讲解以及代码实例，流程演示。 大数软件包的开发过程以及代码实例给出了公钥密码系统所需要的教学辅助环节，使得 用户对公钥密码的内在体制具有更深刻的了解，同时方便公钥密码的教学演示。 根据密码学教学的特点对其中的算法中间结果进行展现，使得密码原理分析过程更为直 观明了，同时对于密码编程起到了有效的检验作用。 加解密小例子给出了一些常用加密算法的实用例子，可以对字符串和文档进行实际的加 解密操作。 实验项目：实验项目： DES 单步加密实验 DES 算法实验 3DES 算法实验 AES 算法实验 MD5 算法实验 SHA-1 算法实验 RSA 算法实验 DSA 数字签名实验 大数算法编程实验 4 4）安全审计教学实验系统）安全审计教学实验系统（参考学时（参考学时 8 8 个）个） 主要功能特点：主要功能特点： 灵活的策略制定方式：系统可以针对机器、操作员、事件、处理方式以及处理日期和时 段等对象组合制定出灵活的监控策略。 实时可靠的审计信息采集方式：利用嵌入操作系统内核的审计客户端实时采集系统操作 信息，保证了信息采集的实时性与可靠性。 丰富实用的实验内容：帮助实验者从安全审计与监控技术的多个方面有效深入地学习， 最大限度地掌握安全审计与监控知识。 有效的信息加密与签名方案：针对审计数据进行有效的信息加密与签名，防止监控。 实验项目：实验项目： 文件事件审计实验 网络事件审计实验 打印事件审计实验 日志事件审计实验 拨号审计实验 审计跟踪实验 主机监管实验 5 5）PKIPKI 教学实验系统教学实验系统（参考学时（参考学时 8 8 个）个） 主要功能特点：主要功能特点： 支持大规模并发操作：采用 J2EE 技术，提供多用户并发操作。 同时支持 C/S 及 B/S 架构：EJB 技术为用户程序及 Web Server 提供远程方法调用操作， 从而支持两类架构。 支持多级 CA 体系及多信任域架构：以虚拟多信任域技术实现提供信任域间的交叉认证操 作及信任管理。 支持面向可信计算的信任管理技术：提供面向可信计算的信任域的信任管理。 支持本地和远程访问，提供本地客户端、远程客户端、Web 客户端程序。 实验项目：实验项目： 用户证书申请实验 用户申请管理实验 证书管理实验 交叉认证实验 信任管理实验 证书应用实验 SSL 应用实验 6 6）多级安全访问控制实验系统）多级安全访问控制实验系统（参考学时（参考学时 8 8 个）个） 主要功能特点：主要功能特点： 支持多用户并发控制实验，各学生的实验环境独立，互不影响。 精度，在整个多级安全访问控制系统中，PMI 属性证书实验遵守 X.509v4 规范设计， XACML 实验按照 XACML 2.0 规范设计，MAC 模型实验按照传统的 BLP 与 Biba 模型， RBAC 模型实验按照 RBAC96 规范并参考 ARBAC97 规范进行开发。 时间特性，客户端与服务器同步。 跨平台性，本 PKI 系统基于 Java 和 J2EE 技术开发，因此具有 Java 和 J2EE 应用所共有 的硬件平台、操作系统无关性。配以相适应的 Java 运行库，系统可以部署在不同的平台上， 从而保证系统具有更广的适用环境。 兼容性，本系统遵循国际公认的安全访问控制标准协议，包括 X.509v4，XACML2.0，BLP 与 Biba，RBAC96 与 ARBAC97 规范等等。因此它具有一 定的通用性。 实验项目：实验项目： 基于 PMI 属性证书的访问控制实验 基于 XACML 策略的访问控制实验 基于可信级别的多级安全策略实验 基于角色的多级访问控制实验 7 7）入侵检测教学实验系统）入侵检测教学实验系统（参考学时（参考学时 8 8 个）个） 主要功能特点：主要功能特点： 交互性强：本系统支持多用户并发控制，可达到实验者与教师、实验者与入侵检测系统 之间的良好互动，以求最好地帮助实验者迅速掌握入侵检测技术。 友好的人性化界面：采用 B/S 结构，通过图表和动态页面等多种表现形式，可为用户提 供一个直观生动的学习环境。 丰富实用的实验内容：帮助学员从入侵检测技术的多个方面有效深入地学习，最大限度 地掌握入侵检测知识。 稳定性高：实验系统良好的设计框架和思路，可保证系统在负荷较大的情况下仍然可以 稳定高效地运行。 实验项目：实验项目： 模式匹配实验 典型网络事件 特殊网络事件 完整性检测实验 文件检测 统计分析实验 流量分析 误警分析实验 漏警实验 虚警实验 8 8