2019年网络安全实训系统改造探索论文.doc

网络安全实训系统改造探索论文 1实训室现状 信息安全实训室是包含网络安全教学设备的实训室，除了基础课程外，专业课程主要担负了服务器配置与管理、信息安全技术、网络安全管理与维护等课程的教学，以及针对信息网络安全方向的对外培训、测试、合作等项目。实训室内主要硬件设备有各厂商安全设备，包括防火墙、防毒墙、入侵检测、入侵防护、威胁分析等设备，除此外还有部分网络设备和服务器。在教师和学生机上则主要以独立的软件和项目碎片化的虚拟机为主。即便部分厂商开发的安全实训平台，也多多少少离不开这些项目碎片化的影子。因此要形成过程化的分析系统，必须对硬件进行整合。 2需求分析 当前社会需求的网络安全方面人才主要集中在以下几个方面：1）专业型网络安全人才。这类人员的岗位要求具备较深的网络安全实践基础，对当前主流网络攻击和防御技术有较为全面的掌握；目前，有关监察审查部门、专业安全评测机构等单位对这类人才需求较高。2）综合型网络安全人才。这类人员的岗位原本都不是网络安全方向，但是由于网络安全形势的需要，除了具备原有的知识技能外，还应担负相应的网络安全维护责任；目前党政军重要机构、电子商务和金融等关键机构的网管、维运人员；等级保护安全员等岗位对这类人才需求较高。因此网络安全专业人才的培养应紧贴社会需求，同样网络安全实训室的建设也应具备以下几个功能：1）有效完成教学任务，满足主流信息安全、网络安全类课程实验实训内容的实现和操作。2）能够为相关行业和岗位定向培养输送毕业生，通过实训室训练达到岗位所需求的实践操作水平（如等级保护安全员）。3）能够为需要安全培训的单位（如社保医保等政府单位、电子商务等企业）或者结合权威部门提供培训认证服务。 3改造思路 总体思路是在这些教学和项目在实施过程中，需要对网络攻防双方在操作上进行动态跟踪，其中比较主要的一块是针对网络攻击行为进行捕获和分析，以攻学防、以攻促防；达到良好的实训效果。网络安全实训在传统的教学中，着重以攻辅防，即攻击行为仅仅是学习防御行为的辅助手段，着重采用较为直接的结果引导教学方式，如攻击行为会造成的结果应该如何防御；该方式是通过攻击结果引导学生思考防御方法，虽然有一定的效果，但是仅仅通过结果来逆推攻击手法和原理，难度过高且不利于学生了解本质和举一反三发散性思维，容易导致教学和实训效果不佳。而基于过程的攻击行为分析，能够全程还原攻击细节和方式，引导学习实训过程中的主观能动性，变结果学习为过程学习；此外，在实验室未来的对外安全项目合作、安全产品和系统资质测试、受训人员水平资格考试等过程中，都需要采用细颗粒度的攻防行为分析；该系统的研究能够促进教学、测试及合作项目的效果体现，提升实训室整体品质。 4总体架构 实训室逻辑拓扑总体由四个部分组成，包含攻击区、防御区、互联网模拟区、监测管理区。1）攻击区主要由攻击平台组成，该平台内含主流网络安全测试工具，供学生终端机器调用以进行攻击测试，该平台可以用神码的攻击工具集，也可以采用Backtrack或Kali开源骇客平台。此外攻击区配备文件服务器供训练数据的存储共享，同时提供wifi环境做无线安全方面的实验。如果条件允许，尽量配备流量发生器，用以模拟商业网络流量便于仿真测试。2）防御区是实验室的主要区域，该区域尽量模拟常见园区网络环境和流行应用，供学生模拟骇客攻击以及安全加固。具体配置为防火墙数款，包括微软ISA宿主型软件防火墙、神码堡垒主机和各种独立应用虚拟机。此外放置一台CiscoACS服务器用作AAA认证实验，同时和攻击区一样配备wifi网络环境和流量发生设备。3）互联网模拟区主要担负攻击区和防御区的互联和入网，以及部分广域网协议互联的模拟，如帧中继等，后期也可接入其他广域网协议，便于安全领域的抓包嗅探等测试。4）监测管理区负责对实验过程的监控和结果呈现，同时也担负对整个实验室设备的维护管理任务。其中入侵检测可以采用开源snort系统，流控和日志可以采用神码的设备，另外再配备一台管理主机完成服务器和设备的管理操作。 5项目实施 5.1改革内容 1）针对入侵行为进行检测；2）检测覆盖面应包括扫描、溢出、注入、拒绝服务等攻击内容；3）能够捕获样本数据，显示数据包细节和结构分析信息；4）能够显示直观的报告和分析结果，供安全防御训练参考。 5.2改革目标 建立一个针对网络攻击行为的捕获分析系统，对信息安全实训室内的实训项目中攻击行为能进行捕获和分析，提升实训效果。 5.3拟解决的关键问题 1）大型源码包的编译安装问题；2）网络接口混杂模式、数据捕获模块、数据包分析模块、规则库匹配模块、管理模块的耦合稳定；3）报告系统的时效性和完整性；4）大数据流量下整体系统的稳定性。 5.4实施方法 学习研究国外已经成型的检测评估体系，结合我院网络安全实训室的具体情况，分析需要构建的模块和系统，设计出系统雏形，根据该雏形编译相关的模块和插件，整合系统。在一个标准实验台内可以完成基本的服务器、安全实验，基本满足实验教学需要。另外，可以根据需求进行组合，满足不同层次实验的需要。组合如下：标准型实验(服务器实验、主机安全实验)功能型实验A(标准型无线AP流量安全硬件)功能型实验B(A网络安全，通过2台防火墙)功能型实验C(B入侵检测和防御，通过2台安全网关来实现)功能型实验D(C威胁发现，通过流量、资产监控、入侵检测、威胁发现来实现)学生做实验时，通过访问控制服务器CMS对实验台内的网络实验设备进行配置、管理、实验操作，无须来回插拔控制线。学生只有登录权限，没有修改权限。教师在教师机上可以登录到学生实验的设备上，指导检查学生的实验过程和结果。主要承担的实训项目为网络安全，设备安全包含熟悉互联网主流安全技术配置，包括交换机的端口安全、IP访问控制列表、基于时间的访问控制列表、专家级访问控制列表、防火墙的配置、局域网于Inter之间的互联等。网络安全包含主机和网络安全、攻防模拟、入侵检测和威胁发现、主机和WEB应用、数据库应用安全、云计算的模拟和应用、CTF攻防竞赛等等。此外，也可以完成网络集成教学所需要的局域网基础实验、广域网基础实验、VOIP实验、安全实验、无线实验、网络管理实验、IPV6实验。整个实验室的实验台台数，实验组数由学生人数和实验室项目灵活调整。此外纳入建有的创新实验室，根据实训功能和规模，可灵活调整实训人数和项目。 5.5可行性分析 在网络安全的教学实训活动中，传统的网络安全教学往往是在攻击行为完成后提出防御措施，继而让学生被动学习训练防御和加固技术，但学生在学习过程中容易产生的对攻击细节的疑问往往因为没有可视化或过程化的手段，而无法得到有效解答，同时也限制了学生自行思考、举一反三的可能性。此外，实训室在未来可能担负安全检测、合作项目等方向的内容，都需要对攻击行为进行过程化的还原。针对攻击行为过程的检测分析是近年来网络安全界发展迅猛的一项技术，该技术的出现为网络安全技术从传统的结果分析过度到过程分析奠定了基础；目前，全球各大厂商和标准化组织都提出了各自的标准，其中一些还有较为完善的体系模型和开源项目，并在兼容性、适用性上都取得了很多进步。经过初步调研，这些已有的成果符合实训室现有条件和项目需求，可以取主流的模型加以分解调整，完成本地化，结合实训室实际建设一套实用的分析系统。 6特色与创新 1）变网络安全攻击行为的结果分析为过