某学院信息安全实验室建设方案.doc

XXXXXXX学院信息安全实验室建设方案计算机科学系2010年5月目 录1.建设背景及意义11.1建设背景11.2建设目的及意义22.实验室规划32.1实验室总体设计32.1.1实验环境平台32.1.2教学支撑平台42.1.3扩展服务平台42.2实验室环境设计52.2.1实验室平面布局52.2.2实验室逻辑结构53.实验室技术实现方案63.1课程实践平台：信息安全实验教学系统63.1.1系统结构93.1.2系统组成93.1.3源代码及开发接口153.1.4实验指导书153.1.5功能模块163.2设备实训平台：信息安全实训系统263.2.1系统概述263.2.2培训平台283.2.3考试平台343.3.4管理平台394.实验课程设计394.1课程实践实验设计404.2实训实验课程设计435.系统建设前提条件445.1硬件要求445.2软件要求446.培训及认证服务446.1中国信息安全评测中心简介446.2人员培训及注册认证服务456.3 工作流程466.4 相关费用477.技术服务477.1售前技术服务477.2技术培训477.3售后技术服务481.建设背景及意义1.1建设背景二十年来，信息领域中多媒体与Internet两大技术蓬勃发展，形成了集通信、计算机和信息处理于一体的庞大巨系统，成为现代社会运转不可缺少的基础。这是信息时代的主要标志，同时也深刻反映了当今社会对信息系统的巨大依赖性。信息系统安全无误的运转变得空前重要，并引起了各国政府和经济界人士的高度重视。信息系统的安全一旦受到破坏，不仅会导致社会的混乱，也会带来巨大经济损失。世界主要发达国家每年因计算机犯罪所蒙受的经济损失令人吃惊，远远超过普通经济犯罪的经济损失。因此确保计算机系统的安全已成为世人关注的社会问题，信息安全自然也成为目前研究的热点。传统上，人们认为信息安全就是保障信息的机密性。随着信息技术的发展与应用，信息安全的内涵在不断延伸，从最初的信息保密发展到信息的机密性、完整性、可用性、可控性和不可否认性。对信息系统提出了“保护、检测、反应、恢复”的保障安全的策略，即所谓的PDRR原则。信息安全技术涉及物理安全、网络安全、数据安全、信息基础设施安全、管理安全等等，是保障国家信息安全的基础。有关数据表明，中国目前共有50多万家大中型企、事业单位3500万台计算机联入网络，按照每家单位需要1-2名信息安全管理人员计算，中国目前需要的信息安全专业人才至少是80万，随着电子政务的推行和信息化建设的不断深入，信息安全专业人才的需求将逐年增加。但是，目前信息安全方面的人才还很稀少，并且大多分布在高校和研究院所，按照目前信息化发展的状况，社会对信息安全专业的人才需求量还会迅速扩增。我国的信息安全教育才刚刚兴起，本科专业设置始于2001年，截止2005年底教育部共批准了50余所高校开设信息安全本科专业。基于信息安全知识的综合性、应用性和工程性，从丰富信息安全类课程的教学手段及人才培养的角度出发，建设信息安全综合实验室是非常有必要的。一方面，能为日常信息安全教学工作提供很好的实验、演示环境，另一方面能提供师生一个安全攻防的实践环境，还能让学生实际了解到业内主流安全设备的应用和了解。从而丰富并提高学校原有网络工程类人才的培养层次，同时，扩展进行信息安全类人才的建设中，为社会提供更广泛的职业技术人才。1.2建设目的及意义当前的社会需要高素质的毕业生，尤其需要具有实际动手能力和解决问题能力的应用型人才。信息安全作为目前最为热门的网络技术，如何将这些抽象的网络技术，采用实物化的网络实验教学，有效地加深学生对网络技术的理解，提高动手能力和实际环境中发现问题、解决问题的能力。在建立信息安全综合实验室，有助于学校在此领域教学和科研水平的较快提升，为学校信息安全人才培养体系注入新的活力。为在校的大学生搭建一个真正的实践操作演练平台，让大学生们不走出校园就可以捕捉到当前最先进的信息安全技术脉动、获取用人单位求才时要求具备的技术能力。通过建立设计精巧、设备先进、涵盖信息安全基础理论实践与专业技能训练的信息安全综合实验室，可以达到以下目的： 对信息安全相关课程的理论教学提供配套实验支持； 让学生了解、熟悉防火墙、IDS、VPN各种相关安全产品的理论和实际应用能力； 研究和分析主流网络设备、操作系统、应用系统的安全漏洞、弱点和基于主流安全设备的弥补技术； 对学生进行就业技能培训和认证，提高学生的就业竞争力。具体来说，信息安全综合实验实验室完成后，可以满足以下要求：(1) 基础理论实践可以承担认识性、验证性和原理性信息安全实验，如古典密码加/解密、PGP、访问控制、端口扫描、DDOS攻击、病毒/蠕虫感染、防火墙/VPN/IDS的配置等；(2) 专业技能训练可以承担专业性、综合性和设计性实验，如缓冲区溢出攻击实施、IPS/UTM分析、防火墙设计、蠕虫解剖、攻击对抗、漏洞发现、主动信息获取、网络取证和企业安全管理等实验；(3) 提供相关课程的实践需要，同时达到因材施教、分类培养的目的。(4) 面向正规本科生的实践需要，有一定量的实践环节供学生实施综合性、创新性的二次开发；(5) 实验环境配置方便、易操作。2.实验室规划2.1实验室总体设计图2-1：实验室总体设计信息安全综合实验室作为学校在信息安全领域方向的一个综合实验平台，需要从实验环境、支撑的教学内容、可能的扩展服务等多方面来进行建设，以实现实验室的高效运转。2.1.1实验环境平台实验环境平台作为实验室的硬件基础，构建了实验教学所需要的各种网络环境。在实验平台方面包含课程实践平台和设备实训平台，其中课程实践平台主要采用一套网络信息安全实验教学系统进行各种安全知识的原理验证及动手实践；设备实训平台则采用一套模拟仿真的安全实训系统，对著名安全设备厂商的设备进行模拟操作，进行完成防火墙、IDS、VPN等各种安全设备的实训实验，锻炼学生对真实设备的配置管理能力。根据实验操作区域的不同，包含教学演示环境和学生实验环境。其中，教学演示环境为教师进行各种实验室的演示场所，利用投影仪等设备对各个实验及相关知识的讲解；学生实验环境则为学生进行安全实验的场所，进行分组实验操作，我们建议每5个学生为一个实验组，通过独立与分组实验并重的方式，培训学生独立及团队协作精神。2.1.2教学支撑平台对于实验教学而言，利用各种软硬件设备搭建实验环境平台仅仅是基础，在此基础上，为支持学校利用实验平台开设相关的实验课程，西普科技提供相关的实验指导书，并对实验平台进行操作培训，为学校尽快利用实验设备提供师资培训。同时，利用本实验室的管理平台还可建立一个信息安全实验教学资源中心，对学校在网络信息安全学科的教学进行统一的管理，实现资源共享。2.1.3扩展服务平台实验室作为学校一个公共实验场所，如何最大化地利用实验室内的各种资源，为学生、教师甚至社会提供服务是实验室建设中必须考虑的一个问题。在本实验室中，针对信息安全专业人才的培养及科研项目开发需求，我们提供针对学生及社会人员的知名安全企业及国家权威机构培训认证服务，以此满足学生在课程实践教学后的“培训-取证-就业”的需求，提高其就业竞争力。此外，利用实验室的实验环境，还可承接相关的科研项目或企业横向课题，教师可带领学生组建研发团队，进一步带动信息安全专业人才培养及团队建设。2.2实验室环境设计2.2.1实验室平面布局图2-2：实验室平面布局2.2.2实验室逻辑结构实验室网络结构分学生实验区、教学演示区和实验平台区。 如图2-3，对于实验环境平台环境设计如下：l 在学生实验区部署50台学生实验用机，其中分为10个学生小组，每组5人。为更好的进行在不同操作系统下的安全实验，每台学生用机配置了windows、linux双虚拟机系统。l 教学演示区部署一台教师机，用来安装所有安全设备的控制台，实现对安全设备的管理。并用来给学生进行网络信息安全实验、安全攻防的集中演示。图2-3：实验环境逻辑结构3.实验室技术实现方案信息安全综合实验室主要进行两个实验平台的建设：课程实践平台和设备实训平台。一方面可以满足信息安全专业的课程实验需要，帮助学生深刻理解信息安全的相关原理性知识，为信息安全的相关应用打下坚实的基础；另一方面，为学生提供一个实训、实习的设备实训环境，帮助学生将所学知识充分的应用的实践之中，提高学生的实际应用能力。同时教师和学生还可以通过使用这两个实验平台进行一些科技创新活动。3.1课程实践平台：信息安全实验教学系统课程实践平台强调的是为信息安全相关课程的课堂教学提供相应的实验环境，根据课程教学大纲及相关知识点的要求，平台配置对应的实验，通过学生动手操作来进一步加深对相关知识的理解，从而提高教学质量。针对学校的信息安全相关课程教学的特点和相关教学知识点情况，课程实践平台主要采用西普科技的信息安全实验教学系统（SimpleISES：Simple Information Security Experiment System）作为平台的核心设备。SimpleISES是针对高校信息安全及相关专业开发的教学实验系统。系统参考教育部高等学校信息安全类专业教学指导委员会制定的信息安全类专业知识结构及能力要求，提供密码学及应用、信息系统安全、网络安全、应用安全及自主设计实验等多个方面的实验辅助教学，涵盖原理验证、实训应用、综合分析及自主设计等多层次的实验操作。同时，SimpleISES配有强大的实验管理系统，能够为信息安全教学及科研提供一个完整的、一体化的实验教学环境，从而打造出全方位的专业信息安全实验室。SimpleISES系统提供实验工具管理、实验内容管理等多种扩展接口，方便学校定制添加已有实验。同时提供开发API及部分源代码，支持校企合作进行实验系统的开发。此外，西普科技可辅助学校利用实验室资源开展CNITSEC组织的注册信息安全人员培训及认证服务。图3-1：系统层次图作为一套完整的信息安全实验教学系统，SimpleISES具有以下特点和优势： 完备的实验体系根据信息安全体系架构设计实验模块，实验涵盖信息安全领域的各项重点专项技术，提供了一个综合的信息安全实验教学平台。针对信息安全学科人才的特点，在实验设计上以实验手段辅助原理教学，涵盖原理验证、实训应用、综合分析及自主设计等多个层次，所有模块均采用从原理到实训、分析、综合的“阶梯式”实验，更能满足高校的实际教学需求。独创性开发出集成实验客户端、虚拟实验操作系统等多功能的实验操作平台，大大提高用户的操作体验。 多样的实验方式采用独立与分组相结合的实验方式，针对不同实验内容设计不同实验方式，通过实验日志记录，可杜绝学生的“抄袭”现象。支持多用户的并发实验，每个用户操作互相独立，大大提高实验室的整体实验能力和实验教学质量。适合学校实验室的多功能需求，即可满足学校实验教学，又可实现社会信息安全培训。 高效的实验管理具有一键式实验准备、用户管理、教师管理、课程管理等管理功能，可实现实验用户的安全认证访问，教师通过管理后台即可自定义哪些学生什么时间做什么实验的“3W”（Who、When、What）管理。 快捷的实验考核创新的在线实验考核功能，可实现教师的命题、评卷（客观题自动评分）、实验报告上载、题库管理及考场管理等功能。结合实验的日志记录，老师可从实验考核分数及实验课堂表现两个方面对学生进行考核，从而掌握学生的学习情况，提高教学质量。 创新的实验设备集中式的硬件设备部署及管理，无需改变学校实验室的现有环境，实现信息安全实验系统的“即插即用”，单台安全设备可满足多达20个学生的并发实验。所有实验模块实现“可插拔”独立部署，支持不同学校的个性化定制需求。针对信息安全技术的不断发展，系统模块化的设计可实现与未来实验模块的无缝结合，具有很好的可扩展性，同时方便进行系统升级和维护。 开放式实验平台共建系统提供实验工具管理、实验内容管理等多种扩展接口，方便学校定制添加已有实验。同时提供开发API及部分源代码，支持校企合作进行实验系统的二次开发，利用本实验平台搭建信息安全实验环境，组建校企联合研发团队，开展校企横向课题合作，促进高校产学研的良性循环发展。3.1.1系统结构系统部署非常简便，只需在学校原有实验室主交换机上引出一根网线接入系统实验机柜，并在学生PC机安装实验客户端软件即可完成实验系统的部署。实验系统分为服务区及客户操作区两部分。服务区存放实验教学系统相关的硬件设备，包括管理中心设备、数据服务设备、安全实验设备、交换设备和显示控制设备等，为实验系统提供完善的硬件支撑环境；客户操作区为实验室用户操作区，主要为学生用PC机、教师管理PC机。图3-2：信息安全实验教学系统逻辑结构图3.1.2系统组成SimpleISES由硬件系统、软件系统、实验教程和源代码及二次开发接口等部分组成。SimpleISES标准配置支持40台学生机，并可自由扩充，支持更多学生的并发实验。可以搭建不同的实验环境，根据实验内容既支持部分模块的独立操作，也可以进行实验分组和角色分配。 硬件组成SimpleISES信息安全实验教学系统的硬件平台主要包括管理控制设备、数据服务设备、安全实验设备、交换设备和显示控制设备等硬件设备，为实验系统提供安全可靠的硬件环境。 管理控制设备：作为实验系统的核心管理设备，构建实验的核心硬件环境，负责处理实验操作终端与所有实验设备之间的通信管理。通过配套加密设备进行实验系统的认证管理。内置实验管理平台实现对系统使用者的统一管理和访问认证授权，并对所有实验模块进行统一的管理和配置，为各个实验的顺利进行提供后台服务支持。实现用户管理、实验班级管理、实验课程管理、一键式实验准备、实验数据维护、实验环境设置等功能。教师可自定义各个实验模块实验目录，并添加新的实验。 数据服务设备：利用高性能的数据存储硬件系统，内置定制的数据管理系统为整个实验系统的数据存储和安全等提供保障。作为实验系统的数据中心，负责对用户信息的统一存储和控制，主要包含用户注册信息、实验操作日志、实验结果、考核成绩信息等。 安全实验设备：基于Linux操作系统，通过专用技术实现至少20个独立防火墙实验功能，可完成普通包过滤、状态检测、NAT、应用代理等实验项目，或提供相应设备满足此功能。 交换设备：提供用户区接入实验系统的能力，并为实验系统各个硬件平台提供通信支持。 显示控制设备：为实验系统的本地运维提供环境支持。软件组成SimpleISES软件系统由实验操作平台、实验管理系统组成，其中实验管理系统中，包含了专业的实验考核平台，完成电子化的在线考试功能。.1实验操作平台 SimpleISES实验操作平台为教师和学生提供了访问实验系统的接口，提供了整个实验的操作环境，并将实验过程中涉及到的实验内容、实验步骤、实验操作、实验考核、思考实验等集成在平台中。1）实验客户端：教师、学生采用统一的客户端进行登录，并根据权限提供不同功能支持。独创的多平台虚拟机嵌入技术，集成了Windows和Linux两套虚拟操作系统，实现对网络攻防、木马病毒、VPN、入侵检测等实验模块的操作，实现友好用户体验。图3-3：实验操作平台：实验台2）实验工具箱：针对实验系统设计到的网络攻防、病毒等实验模块以及在教学实验中需要用到的工具，专门设计了统一的实验工具箱，对攻防工具、攻防演示、病毒库、加密算法源码、实验报告模板进行了统一的管理。教师可根据实验自行添加相关工具，从而丰富工具箱并进行个性化的定制。图3-4：实验操作平台：工具箱.2实验管理系统采用B/S模式，服务端运行于管理控制设备及数据服务设备中，包括系统管理模块、考核管理模块、个人设置模块以及实验管理模块，实现系统管理、考核管理、学生管理、班级管理、实验及实验体系管理等功能。图3-5：实验管理系统主要功能1）系统管理：系统设置一键式初始化功能，每次实验前只需一键式操作即可完成实验设备的准备工作。图3-6：系统初始化界面教师也可以通过是开启标配实验体系以及添加新的实验内容进行个性化的实验内容定制。图3-7：实验体系管理针对实验过程中用到的各种实验工具、实验报告模板、开放源代码可实现自定义和扩展，以融合教师原有实验。图3-8：实验工具箱管理2）考核管理：基于B/S架构，提供教师出题、考场管理、自动批卷、成绩分析等功能，同时实现学生实验过程的日志记录，通过主客观题的考试以及实验过程日志的分析来对学生的实验情况进行综合的考核。教师利用本平台可实时定义学生实验操作平台的实验考核题目。教师可对试题、课程、成绩等进行管理，实现在线化的实验考核、系统化的自动批阅、集中化成绩管理分析等功能，减轻教师工作量。图3-9：考核管理3）实验管理：在实验管理模块可以实现学生、班级、教师、课程等管理功能。图3-10：实验学生管理3.1.3源代码及开发接口为了配合学校进行实验二次开发以及部分学生高级自主编程实验的进行，一方面针对部分基于开源软件的实验模块，系统提供开放源代码，以供教师及学生进行实验模块自身产品的深入学习；另一方面，根据学校的情况，开放API接口，以便进行个性化的定制。3.1.4实验指导书为配合学校进行信息安全相关实验的开设，产品标配相关实验教材，对具体实验操作进行讲解，对实验目的、实验原理、实验环境、实验步骤等多个教学环节进行详细说明。并针对实验结果，设置了问题，使学生通过分析实验数据，了解实验的实质。为加深学生对实验中所涉及的知识点的理解，每个实验结束后都有实验思考题。图3-11：实验指导书3.1.5功能模块密码学实验模块主要功能特点：l 根据实验教学不同层次需求，提供加密计算器加密分步流程演示加密算法程序跟踪调试等三个层面的实验功能，实现各种主流算法由浅入深的实验。l 提供主流密码算法（对称加密、对称分组加密、流加密、古典加密、散列函数、非对称加密、数字签名）的原理讲解及加密实验。l 提供主流加密算法的程序源代码，同时开展部分加密算法的应用实验，从原理到应用全方位进行密码学的实验教学。图3-12：密码学实验面板 信息隐藏实验模块主要功能特点：l 支持基于图片、音频、文本、网页等不同载体的信息隐藏实验，使学生了解各种载体的信息隐藏方法。l 提供基于LSB、DCT算法的图片信息隐藏实例及细节展示，使学生学习掌握传统的信息隐藏算法原理。l 通过水印攻击、权益管理、编程等实验，使学生了解水印的攻击策略，信息隐藏在版权保护中的作用及信息隐藏的编程实现等。图3-13：信息隐藏实验界面 主机安全实验模块主要功能特点：l 通过对操作系统、数据库、网络服务等安全的配置实验，为学生提供对网络环境中主流主机节点的实训安全实验。l 覆盖主流操作系统（Windows 2003 Server、Linux）的安全配置实验。l 提供主流数据库（SQL Server、MySQL）的安全配置及管理实验。l 实现了对不同操作系统平台下的主流网络服务的安全配置实验。图3-14：主机安全实验界面 防火墙实验模块主要功能特点：l 单台设备支持多用户独立并发访问实验，方便教师管理，节省硬件投资。l 利用C/S结构的可视化实验界面，基于IPTABLES的规则配置，可方便防火墙原理知识教学，同时支持普通包过滤、状态检测、应用代理等核心防火墙技术实验。l 创新的系统还原功能，支持防火墙系统实验的痕迹清理，减少实验准备时间及实验设备管理工作量。l 全面的实用防火墙实训，可让系统掌握商用防火墙及相关集成功能（如VPN、IDS等）的配置及应用。图3-15：防火墙实验面板 安全审计实验模块主要功能特点：l 每个学生端分配一个独立的真实审计系统，学生可通过真实的审计操作熟悉安全审计流程及工作方式。l 灵活的策略制定方式：可以针对时间、事件对象等组合制定出灵活的审计策略。l 全方位的审计实验：覆盖文件、网络、应用程序等方面，利用嵌入操作系统内核的审计客户端实时采集事件信息，统一的事件信息管理平台方便事后信息的查询和分析。l 创新的关联审计实验：利用统一的审计管理平台，可对不同事件的审计信息进行关联分析，培养学生面对海量安全信息的综合处理能力。图3-16：安全审计实验面板 PKI实验模块主要功能特点：l 实验覆盖了证书申请、管理及应用的PKI技术应用的全过程。l 实验过程中证书的实时可视化及证书在Word等应用程序中的具体应用，可有效帮助学生理解PKI技术的理论知识和工程应用。l 每个学生主机内置实现CA，学生可以独立实验PKI知识体系的各种相关实验，支持多级CA体系及多信任域架构。图3-17：PKI实验面板PMI实验模块主要功能特点：l 实验覆盖了证书申请、管理及应用的PMI技术应用的全过程。l 实验过程中证书的实时可视化及PMI证书的具体应用，可有效帮助学生理解PMI的理论知识和工程应用。图3-18：PMI实验面板入侵检测与防御实验模块主要功能特点：l 针对入侵检测与防御知识体系，覆盖入侵检测系统IDS、入侵防御系统IPS及蜜罐系统Honeypot等三方面的实验。l 通过嗅探实验、数据包记录器实验、入侵检测实验来理解IDS的主要功能及组成模块；通过网络异常行为检测实验完成对IDS两大主流检测技术异常检测与误用检测的了解；通过自定义规则及验证试验来对常见攻击进行检测实验；通过误报分析实验、漏报分析实验来分析IDS的缺陷；l 扩展至IPS相关技术实验，同时实现IDS与防火墙的联动实验；l 通过HIDS及企业IDS产品的部署，理解常见的两类IDS产品，掌握实际IDS的部署能力；通过蜜罐系统的部署实验，掌握蜜罐技术；l 结合网络攻防实验和真实网络环境，可培养学生的IDS/IPS/蜜罐应用能力，扩展学生的理论知识水平。图3-19: 入侵检测与防御实验面板漏洞扫描实验模块主要功能特点：l 基于自主研发的漏洞扫描系统，可锻炼学生的真实软件操控能力。l 提供覆盖主机存活、操作系统类型、服务端口、协议漏洞等多层次扫描技术实验，培养学生的综合应用能力。图3-20：漏洞扫描实验面板0网络攻防实验模块主要功能特点：l 通过大量最新网络攻防技术实验，可培养学生在掌握基础信息安全理论知识基础上，能对网络攻防技术进行学习和研究，从而加强自身的防护水平和攻击能力。l 针对攻击过程：踩点扫描攻击获得权限种植后门清除痕迹设计一体化攻防实验教学目录，实现主流攻击方法的实验，同时提出应对防御措施，使得学生掌握攻击发生的原理及应对之道。l 多虚拟机的环境，可实现各个学生的独立攻防实验，或者分组扮演攻击角色与防御角色。图3-21：网络攻防实验界面1病毒实验模块主要功能特点：l 实验丰富：覆盖了脚本型病毒、DLL注入型病毒、木马、PE型病毒等病毒实验，通过实验可全面了解目前主流的病毒原理、爆发症状及查杀方式。l 可视化程度高：通过剖析注册表、比较文件染毒前后在内存形式上发生的变化和捕获病毒实时运行的细节信息等多种手段揭示病毒感染和传播的技术内幕。l 高交互性及可编程性：针对脚本型病毒，学生可通过改写病毒脚本或工具修改病毒来自定义病毒行为，更深掌握病毒原理。l 可控性强：所有病毒实验都配备有专门的查杀工具，同时通过硬盘还原卡等手段保护主机系统，从而避免实验中系统的损坏，减轻管理工作量。图3-22：病毒实验界面2VPN实验模块主要功能特点：l 提供目前应用最广的PPTP、IPSec及SSL VPN实验，可供学生进行主流VPN技术的原理学习和配置操作，同时对相关的PPP、IPSec等安全协议进行分析学习。l 实训式的配置安装实验，结合可验证的网络环境，可提高学生的实际动手能力。图3-23：VPN实验界面3 安全编程实验模块主要功能特点：l 基于C、C#、JS等多种语言的编程实验，提高学生的安全软件开发能力；l 提供基于USB-Key的加密编程及应用实验，实现密码学的自主应用设计实验。l 基于网络攻防的安全编程，提高学生应对攻击的能力及网络安全管理能力。4大型综合安全实验模块主要功能特点：l 综合多个信息安全专项领域的综合实验设计，提高学生的综合安全知识水平。l 针对综合安全的自主设计实验，可有效提升学生的安全应用能力。5 无线安全实验模块主要功能特点：l 利用成熟商用无线网络设备，搭建真实无线网络环境。l 提供涵盖无线组网、各种无线网络安全配置、攻防及规划等多层次实验内容，可培养学生对无线网络的整体安全设计能力。3.2设备实训平台：信息安全实训系统在实验安全实验教学平台中，配合课程教学及实验指导书，学生可实现对信息安全各种技术理论的验证、演示、设计等实验，通过动手操作来加深知识的理解。在此基础上，建设一个信息安全实训平台，一方面可通过软件模拟仿真的SimpleISTS系统进行安全设备的模拟仿真配置，另一方面，采购部分真实的商用真实硬件设备，进一步贴近网络安全应用环境，提升学生的综合技能。3.2.1系统概述信息安全实训系统通过采用仿真技术、实际案例教学、演示系统、智能化考核等一系列革新技术来建设一个以国内外各种知名信息安全产品实际操作为主的具有国际先进水平的信息安全实验培训考试平台，以期提高信息安全教学水平，重点培养学生的实际操作技能。信息安全实训系统是进行信息安全技能教学和考试的环境，提供信息安全领域中相关知识和技能的培训，提供学生对真实信息安全设备的操作能力以及对安全体系的理解能力。本系统通过建立了一套以国内外著名厂家的安全软硬件设备为主、以自行定制开发的实训教学软件为辅的实训、考试和管理平台。在教师的指导下，学生可以使用模拟仿真系统进行学习，既掌握理论知识，又能掌握真实的操作技能。图3-24：信息安全实验系统界面从物理上来讲，系统由服务器端、教师端和学生端组成。l 服务器端：存放各种权限数据、案例数据、各种数据库等；l 教师端：提供对系统的配置、学生管理、讲课内容管理和配置、鉴定安排等功能；l 学生端：完成学习、实验、鉴定等工作从功能结构上来讲，系统包含培训和考试两大部分。l 培训平台：包括了产品模拟仿真、实验案例、病毒演示、攻击工具演示、攻击演示、模拟考试等六大部分；l 考试平台：包括了考试场次管理、考生管理、成绩管理、题库管理、操作技能考试和理论考试几大部分。从硬件设备上来看，包含以下两种设备：l 实训控制设备：利用高可靠性硬件设备，实现对所有客户端的访问进行授权及认证。l 实训数据服务设备：对仿真课程及用户仿真数据进行统一的管理。信息安全实训考试平台通过采用仿真技术、实际案例教学、专家系统、智能化考核等一系列革新技术来建设一个以国内外各种知名信息安全产品实际操作为主的具有国际先进水平的信息安全实验培训考试平台，以期提高信息安全职业从业人员素质，重点培养学员的实际操作技能。本信息安全实训系统具有如下特点：1) 国内外第一套以仿真技术为核心，集成各种主流知名信息安全产品为一体的信息安全实训系统。2) 第一次召集国内多名安全专家精心设计训练案例集，真实模拟现实环境。3) 以实际产品操作为核心、案例学习为提高的信息安全教学模式，真正做到学以致用。4) 采用智能化考核技术，实现鉴定的无纸化。5) 可控前提下的病毒和攻击培训，即培养学生对病毒和攻击的认识，又防止病毒和攻击的扩散。6) 全模块化设计，非常方便地向未来扩展和升级。7) 提供个性化设置，授课教师可根据具体情况设置不同的教学内容和案例，充分满足教师的不同需求。3.2.2培训平台信息安全实训系统是学员进行培训的软硬件环境，具有先进性、可操作性和拓展性等特点。该系统充分考虑了信息安全培训的特点和需求，包括了国内外著名的信息安全软硬件产品：防火墙、入侵检测系统、VPN系统、漏洞扫描系统、无线网络系统等；同时该系统还包括以下6个部分的配套软件：模拟仿真、实验案例、攻击工具、攻击演示、病毒演示和模拟考试。图3-25：培训平台界面模拟仿真子系统本系统采用我国自行开发的第一套以国内外典型信息安全设备作为原型的模拟仿真系统。该系统提供了清晰明了、与现实操作非常接近的系统界面，学员能在脱离实物的情况下很方便地学习各种产品的功能和操作；提供了尽可能多的说明、帮助、专家建议和标准化流程，学员能在专家的指导下更好地掌握所学的内容；提供了及实时监控和反馈系统，教师能够及时检查学员的操作，对学员进行在线远程辅导；提供了快速恢复和循环使用功能，能够在实训、考试结束后快速恢复到初始状态同时根据每个学员的学习程度任意调用学习内容，方便后续的学习和适应每个学员的个性需求。目前本系统提供了针对以下设备的模拟仿真：防火墙、IDS、漏洞扫描、审计、VPN、无线网络；并可在未来无缝地扩充其他设备的模拟仿真。图3-26：模拟仿真拓扑图及防火墙管理系统仿真平台实验案例子系统知识的学习还要辅助经验的积累才能获得提升。由于信息安全的高技术性和复杂性，必须采用多种实战演练的方式，来帮助学员学会创造性地分析、解决问题的能力。信息安全实训室采用了最先进的第四代培训方式，通过由多名信息安全专家总结的实验案例来提高学员分析和处理实际问题的经验和能力。实验案例包括了实际工作中可能会出现的各种典型案例情况以及对应的解决技巧。学员可以自行尝试解决，也可按照系统提供的解决方案进行更深入了解；如果学员处理失败，系统也会进行相关提示；问题解决后，系统会总结是什么问题应该如何去解决，并对学员的操作进行评价分析。学员通过学习不仅可以掌握安全的相关知识，更重要的是能学会如何应用知识来解决问题的思路。系统目前提供了针对操作系统、应用系统、网络攻击防范、安全策略管理以及应急处理等内容的几十个实验案例。图3-27：实验案例子系统病毒演示子系统病毒演示系统是一个以全面学习计算机病毒的引导、传播、触发、破坏、恢复以及清除等技能知识的系统。学员通过该系统可以了解计算机病毒的发作机制、传播原理以及修复方法，从而能够胜任预防、分析和诊治计算机病毒的相关工作。病毒库涉及的病毒包括：木马病毒、蠕虫病毒、后门病毒、引导区病毒、宏病毒、脚本病毒、DOS病毒、PE病毒等多达近百种的典型病毒。图3-28：木马病毒演示攻击工具子系统在可控制的前提下，本信息安全实训室为学员提供了掌握攻击工具相关知识的环境。攻击工具系统由教师操作演示攻击和防御的基础知识，从踩点、探测、攻击到破坏的整个过程进行演示，目的是让学员深刻理解攻击的本质，为有效防御打好基础；同时也可结合实训区里学到的知识进行防御演示，更进一步加强学员对防御重要性和实用性的深刻认识。系统涉及扫描工具、正规远程控制、木马与后门、口令破解、嗅探监听、脚本漏洞攻击、拒绝服务攻击、Exploit等多达几十种的攻击工具演示。图3-29：扫描工具演示攻击演示子系统信息安全攻防技术是信息安全技术的重要组成，了解安全攻防才能对信息安全的攻击方法、信息安全的潜在威胁以及信息安全的安全防范等知识有更加深刻的认识。攻击演示包括了从扫描、窃听、密码破解到DDoS、溢出等国内外最先进的黑客攻击技术，以演示录像并辅以描述和说明的方式形象生动地演示了攻击方法及攻击后果，让学员在制定防御方法时针对性更强，效率更高。系统涉及信息采集、漏洞利用、破解技术、清理痕迹、钓鱼攻击、综合入侵、工具使用等几十种攻击演示效果。图3-30：信息采集演示模拟考试子系统为了方便考核和提高鉴定效率，让考生尽快了解和适应鉴定环境，实训系统中增加了模拟考试模块。通过该模块，考生可以充分了解鉴定的方式和范围，更好地参加并通过鉴定。图3-31：模拟考试子系统3.2.3考试平台考试平台是信息安全实训系统的主要组成部分，考试平台的优劣和鉴定管理的方便性将影响信息安全实训系统的整体运行效果。图3-32：考试系统界面教师端提供了考试场次管理、考生管理、成绩管理、题库管理、考题选择等功能，供管理员对考试场次的人数和时间、考生基本信息、考试成绩以及考题进行管理和设置。操作技能考试目前包括了包括操作系统和数据库安全、病毒和防火墙技术、扫描和入侵检测技术、网络应用安全和审计、安全策略和应急处理等，共5类考题；理论考试目前包括了操作系统安全、数据库安全评估、计算机病毒分析与防御、防火墙技术、扫描和入侵检测技术、密码技术应用、网络应用服务安全技能、安全审计技术、安全策略管理技能、应急事件处理技能等，共10类考题。以上考题均可对进行预览、修改、删除和备份；并可根据实际需要进行扩充。学员可直接通过本系统进行理论考试；操作技能的考试需要学员通过操作实物来完成，本系统提供试题内容和考试结果录入。场次管理包括场次创建（包括场次查询，创建以及导出考评表等功能）、场次调整和考位配置。图3-33：场次管理考生管理包括考生录入，考生修改，考试信息查看。图3-34：考生录入查看成绩管理包括成绩录入，成绩查询两部分。图3-35：成绩查询题库管理包括操作技能导入、理论技能导入、恢复已备份考题三块。 图3-36：理论技能考题导入界面操作技能考题包括操作系统和数据库安全、病毒和防火墙技术、扫描和入侵检测技术、网络应用安全和审计、安全策略和应急处理等，共5类考题。可以对考题进行预览、修改、删除和备份。 图3-37：操作系统和数据库安全理论技能考题包括了操作系统安全、数据库安全评估、计算机病毒分析与防御、防火墙技术、扫描和入侵检测技术、密码技术应用、网络应用服务安全技能、安全审计技术、安全策略管理技能、应急事件处理技能等，共10类考题，可以对考题进行修改、删除和备份。考试操作过程图3-38：理论技能考试界面信息安全智能考核流程简要说明如下：3.3.4管理平台用户管理主要是对账户的查询、添加、修改、删除等管理。实训室运行管理包括实训室使用记录管理、设备信息管理和设备使用记录管理。系统管理包含系统操作日志查询4.实验课程设计针对信息安全相关专业学生多层次能力培养需求，西普科技SimpleISES产品在实验设计上以实验手段辅助原理教学，涵盖原理验证、实训应用、综合分析及自主设计等多个层次。如防火墙先利用自行开发的专用系统进行普通包过滤、状态检测等原理分析实验，再利用一个实用防火墙进行实现配置实验。所有模块均采用从原理到实训、分析、综合的“阶梯式”实验，这种实验设计方式更能满足高校的实际教学需求。4.1课程实践实验设计目前，SimpleISES系统正式投入使用的实验模块有以下15个模块，总计包含180余个实验，学校授课教师可根据相关课程中实验课时的安排情况，选择进行相关的实验教学。实验模块实验内容支持实验教学的专业及课程网络工程专业信息安全专业密码学对称密码基本加密实验：DES、3DES、AES-128、AES-192、AES-256、SMS算法分析与设计、密码学原理与应用、C语言程序设计、数据结构、C+程序设计语言、可视化程序设计密码学基础、算法设计与分析、. Net技术分析与程序设计、C语言课程设计、数据结构课程设计、密码学课程设计、应用密码算法程序设计对称密码分组加密实验：DES、3DES、AES-128、AES-192、AES-256、SMS古典加密实验：移位密码、仿射密码、维吉尼亚密码流密码加密实验：RC4散列函数实验：MD5、SHA-1、SHA-256非对称加密实验：RSA、Elgamal数字签名实验：RSA-PKCS、DSA、ECC大数运算实验文件加解密实验密码学应用实验：基于SSH协议的安全通信实验；基于GnuPG的加密及签名实验信息隐藏基于文本的信息隐藏实验C语言程序设计、数据结构、C+程序设计语言、可视化程序设计、网络程序设计课程设计、网络程序设计、软件工程、计算机网络、软件工程课程设计、网络程序设计课程设计、计算机网络信息隐藏、数字版权管理、数据结构课程设计、密码学课程设计、数据结构、算法设计与分析、. Net技术分析与程序设计、算法设计与分析基于网页的信息隐藏实验基于图像的信息隐藏实验：BMP、JPG、PNG、GIF格式图像实验基于音频的信息隐藏实验：WAV、MIDI、MP3格式音频实验基于数字指纹的数字图像权益管理实验数字水印攻击实验：基于LSB、DCT算法嵌入/提取/破坏水印实验主机安全操作系统安全Windows安全：文件系统、用户管理、策略、网络及服务操作系统、操作系统课程设计、数据库原理、数据库原理课程设计、计算机网络、计算机组成原理、数据库原理及应用、计算机网络与通信、数据备份与恢复操作系统原理、操作系统安全、数据库系统原理、数据库系统安全、计算机网络、计算机网络安全、数据备份与恢复Linux安全：文件系统、用户管理、网络及服务、日志管理数据库安全SQL Server安全：安全配置、数据库备份与恢复MySQL安全：安全配置、数据库备份及恢复网络应用服务安全Windows下WEB、FTP、远程桌面服务安全配置Linux下WEB、FTP、SSH服务安全配置防火墙普通包过滤实验防火墙与入侵检测、计算机网络、网络技术与组网工程、计算机组成原理、计算机网络与通信、网络服务器配置与安全管理防火墙技术、计算机网络安全、访问控制技术、网络安全课程设计、计算机网络、网络服务器配置与安全管理状态检测实验应用代理实验NAT转换实验事件审计实验Linux IPtables防火墙配置实验Windows防火墙配置实验实用防火墙实训:防火墙端口映射VPN（虚拟专用网络）Windows下PPTP VPN的搭建计算机网络、网络技术与组网工程、计算机组成原理、计算机网络与通信安全协议及其应用、计算机网络、计算机网络安全、网络安全课程设计、Windows下IPSec VPN的搭建Windows环境下利用OpenVPN搭建SSL VPNLinux环境下利用Openswan搭建IPSec VPNPPP安全协议分析IPSec安全协议分析PKI（公共密钥基础设施）证书申请实验计算机网络、网络技术与组网工程、计算机组成原理、计算机网络与通信PKI原理与技术、数字签名及认证系统、访问控制技术、网络安全课程设计请求管理实验证书管理实验交叉认证实验证书应用实验（Word签名、Foxmail签名、IIS应用）Windows CA实现IIS双向认证PMI（授权管理基础设施）证书申请实验计算机网络、计算机组成原理、计算机网络与通信访问控制技术、网络安全课程设计、数字签名及认证系统申请管理实验属性管理实验证书管理实验证书应用实验（基于角色的授权与访问控制、基于安全级别的授权与强制访问控制）入侵检测与防御IDS实验：嗅探实验、数据包记录器实验、异常行为检测实验、入侵行为检测实验、入侵检测规则编写实验、误报及漏报分析实验防火墙与入侵检测、计算机网络、网络技术与组网工程、计算机组成原理、计算机网络与通信入侵检测原理与技术、计算机网络、计算机网络安全、网络安全课程设计IDS实验：HIDS部署实验、企业级NIDS部署实验、IDS与单台防火墙联动实验IPS实验：IPS部署实验、IPS自定义规则实验蜜罐实验：WEB服务蜜罐部署实验、系统蜜罐部署实验、利用蜜罐捕捉攻击行为病毒脚本病毒实验计算机网络、编译原理、C语言程序设计、数据结构、网络程序设计课程设计、网络程序设计计算机病毒及其防治、计算机网络、计算机网络安全、网络安全课程设计、DLL注入型病毒实验木马攻击实验查杀病毒实验PE病毒实验COM病毒实验邮件型病毒实验WORD宏病毒实验HTML恶意代码实验Linux恶意脚本实验Clam AntiVirus开源反病毒工具漏洞扫描主机存活性判断计算机网络、网络技术与组网工程、计算机组成原理漏洞扫描技术、计算机风险评估、计算机网络、计算机网络安全、网络安全课程设计服务/端口判断操作系统判断操作系统漏洞判断应用服务系统漏洞扫描协议层漏扫扫描特色漏洞与方法扫描网络攻防踩点扫描实验:扫描实验；数据嗅探实验；网络攻防技术、计算机网络、编译原理、计算机组成原理、网络服务器配置与安全管理网络攻击与防御、计算机网络、计算机网络安全、网络安全课程设计、网络服务器配置与安全管理攻击实验：缓冲区溢出实验； IPC$管道的利用与远程控制；SQL注入；拒绝服务攻击；密码破解实验；网络后门种植实验：系统后门、软件后门痕迹清除实验：日志清除实验、代理跳板安全审计文件事件审计实验计算机网络、网络技术与组网工程、计算机组成原理、网络服务器配置与安全管理计算机网络、计算机网络安全、网络安全课程设计、网络服务器配置与安全管理网络事件审计实验应用程序审计实验日志事件审计实验日志关联审计实验审计跟踪实验主机监管实验安全编程基于USB-key的软件授权编程实验程序设计基础、C语言程序设计、数据结构、C+程序设计语言、可视化程序设计、网络程序设计课程设计、网络