信息安全虚拟化实训云平台综合实验室解决方案.doc

信息安全虚拟化实训云平台综合实验室解决方案上海盾联信息技术有限公司2014年3月目录一、需求分析31、管理服务人才的需求31.1 信息安全人才需求分析31.2 信息安全人才培养面临的问题41.3 信息安全专业需求分析41.4 信息安全实验室的意义52、网络信息安全实施人才的需求。63、系统防护和安全应急响应人才的需求。64、网络信息安全培训人才的需求。6二、国内国外发展现状7三、现有基础状况81、思维方式问题82、理论过多问题83、实践过少问题84、建设网络攻防实验室的难点8四、建设目标101、以理论学习为基础，结合最全面最专业的实训102、教、学、练一体化信息安全实训平台103、自主创新，因地制宜10五、建设内容121、基础网络搭建实验室建设内容：122、信息安全实验室建设内容20六、建设步骤311、基础网络实验室建设312、信息安全教学实训平台建设313、信息安全对抗平台建设314、信息安全技术知识库建设315、信息安全技术研究能力建设326、信息安全实验室扩展建设33七、信息安全实验室实施方案361、部署示意图361.1实验室布局361.2实验室设备安装和布线示意图372、部署实施建议402.1 信息安全实验室基本实施402.2 评测工具区实施402.3 评测工作区实施402.4 评测接入区实施413、实施计划413.1 项目实施说明413.2 实施时间表41八、费用预算43附录 参考标准44一、 需求分析信息化在带来巨大发展机遇的同时也带来了严峻的挑战,防止各种信息泄密、黑客攻击等行为的信息安全人才的短缺就是严峻的挑战之一。相对于已初步形成的专业信息安全领域以及信息化建设和信息安全产业发展速度而言,各个行业的信息安全人才培养机制和手段显得非常匮乏。目前各个行业信息安全专业人才的需求包括了多个层次和多个方面,我们认为大体可以分为以下几种类型：1、 管理服务人才的需求这种需求目前是广大企事业单位和政府部门的主要需求。信息安全管理服务人才是一种复合型和应用型的人才,不仅需要具备一定信息安全技术能力,能够正确使用、配置、维护常规的信息安全设备,还必须具有一定的管理和法律知识，并且拥有丰富的信息安全经验,能正确规划、实施和维护信息系统的安全保障体系。1.1 信息安全人才需求分析信息化在带来巨大发展机遇的同时也带来了严峻的挑战,防止各种信息泄密、黑客攻击等行为的信息安全人才的短缺就是严峻的挑战之一。相对于已初步形成的专业信息安全领域以及信息化建设和信息安全产业发展速度而言,各个行业的信息安全人才培养机制和手段显得非常匮乏。目前各个行业信息安全专业人才的需求包括了多个层次和多个方面,我们认为大体可以分为以下几种类型：1.1.1 第一类是对管理服务人才的需求这种需求目前是广大企事业单位和政府部门的主要需求。信息安全管理服务人才是一种复合型和应用型的人才,不仅需要具备一定信息安全技术能力,能够正确使用、配置、维护常规的信息安全设备,还必须具有一定的管理和法律知识，并且拥有丰富的信息安全经验,能正确规划、实施和维护信息系统的安全保障体系。1.1.2 第二类是对网络信息安全实施人才的需求这种需求通常来源于安全产品提供商、系统集成服务商。信息安全技术开发人才要求具备良好的信息安全基础知识,具有较强的动手实践能力，能够严格按照实施方案完成安全设备部署。1.1.3 第三类是对系统防护和安全应急响应人才的需求这方面的人才要求具有良好的学术功底,具备扎实的学科理论基础知识,能系统深入地掌握密码学、安全协议、安全体系结构、信息对抗、网络安全等信息安全理论和方法以及熟练的产品设计开发能力。1.1.4 第四类是网络信息安全培训人才的需求这种需求主要来源于高等院校和各种培训机构。1.2 信息安全人才培养面临的问题随着信息化进程的深入和互联网的迅速发展，人们的工作、学习和生活方式正在发生巨大变化，效率大为提高，信息资源得到最大程度的共享。但是与此同时以各种各样黑客技术为基础的黑色产业链诞生了，网络安全的需求也随之而来，无论是厂家、开发商，还是用户，都对这种需求明确了，网络安全开始作为独立的部分迎来越来越多企业的重视。中国黑色产业链的飞速发展带来的另一现象是，网络安全人才匮乏到一个相当严重的地步，人才的培育至少滞后于社会需求5到10年。计算机拥有多种角色属性，承载着传输、处理、存储等复杂的业务应用。因此计算机所面临的安全问题是纷繁多样的，并且由于网络应用的大规模普及，导致存在于任何一个计算机的安全问题都可能威胁到整个信息网络的安全。然而长时间以来，各类计算机使用者，很少了解到计算机所面临的安全威胁，也很少有学校，企业能够提供对计算机安全培训的环境，使得大多数人无法真正了解到计算机的安全隐患，也无法对计算机存在的安全隐患进行防御。在一个已经部署防毒软件、防火墙、IDS、VPN等传统信息安全产品的网络环境中，很少有人清晰的知道这些安全产品的作用，以及能够为计算机安全所带来的保障，严重匮乏的教学和培训环境，让很多学校以及企业感到无从着手，无力进行计算机安全的培训教育，而且网络安全的培训不是书本知识，必须是靠知识和经验的积累，有经验的高手在这个市场里可以更有作为，对于面临的一下问题也无法解决：问题一如何更加有效的教育，培训学员在计算机安全方面的知识匮乏；问题二怎样的教学，培训方式才能让学员更加快捷，高效的学习计算机安全方面的知识；问题三什么样的教学，培训环境才能让学员更容易，积极的学习计算机安全方面的知识，增强计算机安全意识。问题四如何才能让学生在学校的安全课程培训期间就获得丰富的网络组建、信息安全的经验。1.3 信息安全专业需求分析信息安全专业的就业方向主要包括公安局信息监查、网站、病毒杀毒公司以及涉及信息安全的地方，比如电信、网通的技术安全维护部门，政府各个重要部门的网络安全监测部门等。信息安全专业是我国高等院校自2010年起顺应当代信息技术发展需要开设的新兴本科专业。该专业培养掌握计算机技术和信息安全技术的复合型人才，经过培养，使学生在计算机系统安全方面具有较强的能力，能运用所学知识开发安全的信息系统，或运用、管理和维护安全的信息系统，为在今后的工作中对抗黑客攻击、保护信息网络空间的安全和打击计算机犯罪打下扎实的基础。信息安全的概念在本世纪经历了一个漫长的历史阶段，90年代以来得到了深化。进入21世纪，随着信息技术的不断发展，信息安全问题也日显突出。如何确保信息系统的安全已成为全社会关注的问题。国际上对于信息安全的研究起步较早，投入力度大，已取得了许多成果，并得以推广应用。信息安全专业，具有全面的信息安全专业知识，使得学生有较宽的知识面和进一步发展的基本能力；加强学科所要求的基本修养，使学生具有本学科科学研究所需的基本素质，为学生今后的发展、创新打下良好的基础；使学生具有较强的应用能力，具有应用已掌握的基本知识解决实际应用问题的能力，不断增强系统的应用、开发以及不断获取新知识的能力。努力使学生既有扎实的理论基础，又有较强的应用能力；既可以承担实际系统的开发，又可进行科学研究。目前，我国高校开设的信息安全专业学习的专业基础和专业课主要有：高等数学、线性代数、计算方法、概率论与数理统计、计算机与算法初步、C+语言程序设计、数据结构与算法、计算机原理与汇编语言、数据库原理、操作系统、大学物理、集合与图论、代数与逻辑、密码学原理、编码理论、信息论基础、信息安全体系结构、软件工程、数字逻辑、计算机网络等。除上述专业课外还开设了大量专业选修课，主要有：数据通信原理、信息安全概论、计算机网络安全管理、数字鉴别及认证系统、网络安全检测与防范技术、防火墙技术、入侵检测与防护、病毒机制与防护技术、网络安全协议与标准、操作系统安全、网络应用服务安全、安全应用及设计、安全体系、PKI、访问控制、安全协议、VPN等。学生除要完成信息安全体系不同层次上的各种实验和课程设计外，还将在毕业设计中接受严格训练，例如完成网络攻击、计算机病毒、身份认证、访问控制、信息隐藏、加密通信、安全操作系统、防火墙操作、入侵检测、网络扫描、协议分析等安全实验。1.4 信息安全实验室的意义1.4.1 实验室对学校的意义信息安全实验室的建设对学校科研、教学的实现和完善具有重要意义；促进产学研一体化、促进科研成果转化并最终成为生产力；提高学校的竞争力和学生的实践能力；有利于提升学校的品牌。1.4.2 实验室对教师的意义实验室提供更多的真实设备，便于老师备课和实验指导；实验室方便教师对学员实验过程进行把控，提升教学质量；实验室提供管理机，使老师便于对学生实验的管理，使教学效率提高；实验室可以提供对各类竞赛的支持。1.4.3 实验室对学生的意义信息安全实验室提供了真实的网络环境，可以让学生亲自搭建网络、亲自动手调试、配置网络，进行安全实验，从而让学生直观、全方位了解各种网络设备和应用环境，真正加深对网络原理、协议、标准的认识；通过信息安全实验室的学习，真正提高了学生的信息安全技能和实战能力；同时，也使学生在毕业时扩大了择业的范围，可以从事网络技术工程师、网络管理员、信息安全工程师、安全管理员等网络技术类职业。2、 网络信息安全实施人才的需求。这种需求通常来源于安全产品提供商、系统集成服务商。信息安全技术开发人才要求具备良好的信息安全基础知识,具有较强的动手实践能力，能够严格按照实施方案完成安全设备部署。3、 系统防护和安全应急响应人才的需求。这方面的人才要求具有良好的学术功底,具备扎实的学科理论基础知识,能系统深入地掌握密码学、安全协议、安全体系结构、信息对抗、网络安全等信息安全理论和方法以及熟练的产品设计开发能力。4、 网络信息安全培训人才的需求。这种需求主要来源于高等院校和各种培训机构。二、 国内国外发展现状信息安全是我国高等院校自2010年起顺应当代信息技术发展需要开设的新兴本科专业。该方向培养掌握计算机技术和信息安全技术的复合型人才，经过培养，使学生在计算机系统安全方面具有较强的能力，能运用所学知识开发安全的信息系统，或运用、管理和维护安全的信息系统，为在今后的工作中对抗黑客攻击、保护信息网络空间的安全和打击计算机犯罪打下扎实的基础。信息安全方向的就业方向主要包括公安局信息监查、网站、病毒杀毒公司以及涉及信息安全的地方，比如电信、网通的技术安全维护部门，政府各个重要部门的网络安全监测部门等。基于信息安全知识的综合性、应用性和工程性，从丰富信息安全类课程的教学手段及人才培养的角度出发，建设信息安全攻防实验室都是非常有必要的。一方面，能为日常信息安全教学工作提供良好的实验、演示环境；另外一个方面能够提供一个安全攻防的实践环境，让能让学生实际了解到业内主流安全设备的应用；同时，使用业内最开放设计的安全攻防平台可以应用于风险评估、系统安全测评、安卓自动化测试、云平台设计、综合实训平台开发、SDN开发、可信网络开发、信息安全产品开发等各类科研领域。“没有对抗就没有成长，在对抗中学习信息安全技术！”这已经是信息安全教学的一种新模式，正是基于此模式，信息安全实验室以培养学生兴趣为前提，在对抗中培训学生的实际操作能力，结合实际的安全设备的配置能力，使学生能够快速就业。三、 现有基础状况信息安全事件层出不穷，从各类信用卡数据泄露、网络用户数据库泄露到棱镜门事件，信息安全事件的影响越来越大，信息安全问题已经不仅是个人和企业问题，同时已经上升到了国家安全问题。同时，新型的攻击方式层次不穷，以APT攻击（高级持续性威胁，Advanced Persistent Threat）为例。APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。传统的信息安全教学过程中，普遍存在以下几类问题：1、 思维方式问题信息安全不同于其他学科，由于攻击方式多种多样，信息安全要求与其他专业一样的从全局到局部的信息安全意识；但是由于需要针对不同攻击方式进行不同的处理方式，因此信息安全又强调独特的黑客思维，魔高一尺，道高一丈。而传统的信息安全教学过程，一般仅强调第一种意识，而不考虑第二种意识。2、 理论过多问题信息安全对理论要求较高，过多的理论强烈的压抑了学生的学习兴趣，而理论过多同样带来了课程体系设计比较难的问题，学生的评价体系问题等等。3、 实践过少问题传统的信息安全教学过于追求知识的系统性和完整性，较多地存在着重理论、轻实践的问题。而信息安全学科不仅强调理论基础，同时要求学生有很高的动手能力。信息安全项目是系统工程（木桶原理，信息安全项目的安全程度取决于其分子项目的最短板），实践训练过少不利于学生理解整体的安全架构，从而站在信息安全项目的项目质量。4、 建设网络攻防实验室的难点网络攻防在信息安全教学当中占据相当重要的地位，但作为教学者来看，开展相关的实验却遇到了很多难点，只要我想法克服相关的困难才能使们实验教学更上一个层次，目前主要面临的问题如下：1）、建设成本网络攻防实验需要真实的环境，开展实验需要大量的网络设备（路由、交换机、防火墙等）及服务器设备，在国内目前形成一个大规模的真实的实验室，付出的成本是非常的昂贵，所以经费是目前网络攻防实验室第一个难点；2)、网络攻击分析与评估网络攻防实验，是一个不太容易被可视化的实验，往往在做实验当中难以评估学生的学习情况，比如攻击实时监控、攻防手段分析等，所以攻击分析及攻击相关的评估对一个教学者来说，是非常的重要，攻防的效果评估，分析也成为了一个实验难点；3）、真实的被攻击环境灵活度 网络攻击往往需要一个真实而复杂的环境，实学生有效的练习攻防手段，现很多学生经常对校院网、对社会真实的网络环境进行攻防，从而带来了一定的法律风险，但对于实验室来讲，布置一个真实复杂的网络环境，前期准备工作需要大量的时间，所以实验环境的准备也是一个难点，能否图形化、智能化的通过一个人机界面准备实验环境，并且可以灵活性的改变目标环境，对于网络攻防实验至关重要。2.2实验室建设思路实验建设思路一方面要考虑建设成本，另一方面更要考虑实验环境准备和攻击评估；我们通过多年的调研，建议学校采用软硬件结合的方式，来建设性价比相对合理的实验平台；在硬件方面，采用云计算技术，可大规模生成网络设备及服务器设备，且可以在一个人机界面下，以拖拽的形式增加或减少网络设备和主机，并能对设备进行配置。一方面提升了网络环境的复杂性，使实验环境更加的真实，另一方面采用后台有着强大分析功能的系统，可对攻防过程，攻击结果、攻防次数、攻防的手段进行实时的分析，并可以以图表形式展现出来，并对现有的服务器环境进行评估，评估网络环境安全性能；从实验层面考虑，最好以循序渐进方法来进行实验，从练兵，到任务，到真实演练，至最后的网络对抗，从入门到深入，从攻到防，从防到科研的方式来进行实验.四、 建设目标1、 以理论学习为基础，结合最全面最专业的实训以理论学习为基础，结合最全面最专业的实训，增加学生对信息安全诸多领域的深入理解，为解决学生就业提供坚实的技术基础。神州数码信息安全虚拟化实训云平台提供多个方面的实验、实训及工程实践，涵盖多层次的实验操作，以真实环境的真实案例为操作指南，贴近实际岗位能力要求。同时，配有强大的实验管理系统，能够为信息安全教学及科研提供一个完整的、一体化的实验教学环境。1、通过思路优化和实训平台新建与整合，完成网络信息安全运维人才需求的计算机网络，信息安全基础，信息安全设备调试与原理等相关的全套教学流程实训平台支持；2、同时完成系统集成沙盘、创新实训基地项目的设计与建设工作，满足学生网络系统集成通用的基础知识，企业实践知识与项目式教学的通用实训平台支持。3、满足计算机网络技术专业，软件技术专业，信息安全专业，电子信息类专业在计算机网络技术，网络系统集成，信息安全方面课程的教学和企业项目实践实训需求4、满足工业与信息化产业部NSACE和中国信息安全测评中心CISP计算机网络信息安全工程师，信息系统管理工程师，系统集成项目工程师，网络工程师，国家劳动与社会保障厅网络管理员，国际认证CISSP安全认证工程师等国家职业鉴定，企业行业等认证。2、 教、学、练一体化信息安全实训平台利用实验平台资源，搭建信息安全教学实训平台，将理论教学与实训教学融为一体，让学生在做中学，学中做，将教学与实训紧密结合，不断提高学习技能，获得能力。 基于教学流程设计，更加贴近教学需求提高教学及实验管理效率； 贴合教学需求的重视管理的阶段。 教学和实验能够更方便灵活的调用； 更全面的教学、实验全流程管理； 提供远程多人学习、协同实验等需求成为新一代实验室建设时更加看重的管理要素。3、 自主创新，因地制宜提供独立、高效的信息化教学和实验环境采用教学和实验平台完全融合的架构； 自动加载课程所需环境，教学快捷方便； 实验数据在内部虚拟化系统传输，从而从最大程度上保证了信息化教学的安全，不会受外部网络环境造成影响。五、 建设内容1、基础网络搭建实验室建设内容：北京信息技术有限公司通过多年在教育行业的观察和建设发现，国内高校、职教的基础网络实验室大体上经历了三个阶段：第一代的网络实验室主要是以分散性实验室为主。这一阶段的网络实验的特点就是网络设备全都堆在试验台上，设备console口直接连接到PC上进行调试。这样的优点在于拓扑结构直观、实验效果明显。但是随着设备的不断使用，其弊端也日益凸显出来：设备管理难度大，每次课堂实验完成后，管理员/教师就要花费很大的精力去登陆到每一台设备上去清除配置，恢复出厂状态，维护的工作量很大；学生在做实验的时候无数次的插拔设备的console口，也造成了设备极大的耗损，大大降低了设备的使用寿命；并且在整个实验室的布局上面受到了很大的限制，设备只能近距离的布置在PC和学生身边。随着第一代实验室的问题日益严重，渐渐就出现了能够对设备进行“一键清除”的实验室管理设备。伴随各个厂商的推广，国内院校的基础网络实验室就逐渐发展了第二阶段，我们称之为“分步控制型网络实验室”。较第一代基础网络实验室的变化就是该类实验室出现了实验室管理设备，该设备普遍采用路由器+8口（16口）异步卡形式，加载一定的软件程序，可做到对单组设备进行一定的控制。具备对设备的一键清功能，在一定程度上实现了对设备的管理，减轻了实验室管理员/教师的维护工作量。从布局上来说，也改变了传统的受空间位置限制的布局模式，在一定程度上也减少了设备的损耗，特别是console口的损耗。但是这种实验室还是存在两个最大的弊端：一是这种管理设备是经过路由器来改造的，其性能受路由器的性能限制，管理功能较弱，设备造价成本较高，只能控制单组设备，不能实现整个实验室所有设备的统一管理。随着国内高校网络实验室的不断发展，截止到目前第三代网络实验室已经渐进雏形。这个阶段的实验室主要是要求对整个实验室的资源进行统一的管理和维护，我们称之为“统一管理型网络实验室”。对此，信息技术有限公司在总结前几代网络实验室的优缺点、不断征集国内各个高校一线教师的意见之后，提出了采用串口控制服务器+统一管理平台模式的解决方案。结合实验室各方面需求，推出网络信息安全实验室管理系统ISLMS。ISLMS在整个实验室采用物理旁路、逻辑干路的组网方式：在物理连接上，网络实验室管理平台采用旁路的方式；在逻辑访问控制上，网络实验室管理平台采用干路方式，即访问实验设备的数据流要由此设备进行转发。统一的使用浏览器进行登陆操作，同时实现了对实验设备、教学课程、实验过程、实验成果、实验人员等综合的管理；许多人性化管理功能的设计，更方便教学使用；减少了设备的损耗；可开发性和可拓展性较强。ISLMS功能特性网络实验室配套管理系统ISLMS，该系统是专为实验室用户研制开发的产品。ISLMS是一款基于WEB的远程网络实验室管理平台，用来更方便的管理设备、辅助教学。该管理平台提供网络实验室设备的集中、可视化统一拓扑图、图形化管理及丰富的基于各种具体环境的“一键恢复”功能，方便管理；提供远程模拟串口登陆设备功能，满足学习的需要；结合实验室拓扑连接器，可以做到所见即所得的网络拓扑，只需点击鼠标即可搭建真实的网络拓扑环境，而不需手动的去插拔网线；提供针对不同类型的用户分配不同的使用和管理权限；提供多人共享同一台设备，以小组方式学习的功能，同时教师还可以实时中断、接入学生的操作，用来指导；内置丰富、详尽的网络实验教学课程，教师可根据需要对课程进行调度，加载相应的实验课程和实验拓扑给学生，通过调度，学生只学习到教师所调度的课程；还提供系统的管理、维护、运行状态实时统计更新；支持学生电子报告功能；针对不同类型的设备灵活的关键命令过滤功能。所有用户（管理员、教师、学生）的操作统一到一套系统上，即全部用户面对的只有一个ISLMS；所有用户只需要在浏览器中输入ISLMS服务器的IP地址，输入相应的用户名和密码，即可以获得不同的用户权限。管理员和老师可对网络实验室和实验组进行管理；学生在网络中的任何位置打开统一的网页，即可根据提示进入所要调试的设备中；如果条件允许，将系统连接到校园网或者公共网络当中，在网络实验室设备开启的前提下，教师和学生可通过PC、Pad、手机等终端对设备进行访问和调试，最大限度的利用现有的实验室资源。网络实验室整体框架结构网络实验室逻辑访问图灵活直观的图形化界面系统采用B/S架构，所有用户通过浏览器和IP地址，登陆到系统中来。教师和管理员通过web界面管理实验室内的所能看到的一切物理和逻辑上的资源，包括人员、设备、课程、实验报告等资源。学生用户则通过登陆平台系统进行学习相应的课程、调试设备、提交报告等。每个实验台的设备和连接的拓扑关系图形化显示。教师或管理员在后台根据实验室实际网络设备环境和教学需求任意搭建拓扑，所见即所得，学生账户登陆，只需鼠标点击拓扑中的网络设备图标即可登陆到相应实验组内的设备。无需再去插拔console线和网线。分组教学，团队合作完成实验任务通过独立的分组设计，组与组之间的成员不会相互干涉，相对对立，避免了组与组之间的成员误操作或者恶意操作带来的危害。这种独立是相对的，管理员可以在实验室中心交换机上来解除访问控制，让组与组的成员能够访问到对方的CCM，组成更大的实验组进行综合实验。多用户同时访问多用户同时访问一台设备，做到屏幕监控和协作学习，系统连接的每一台网络设备允许多个学生同时访问，第一个进入设备的学生自动获得“写”权限，其他学生进入只能获得“读”权限。教师拥有最高的权限，随时可以查看每一台网络设备的配置情况，同时也可以收回“写”权限，即时指导教学。 “一键恢复”功能和场景配置在教师管理机的网页上，可方便的对全网、某实验室、某实验台上所有实验设备，或者单台实验设备，或者选中的一组设备，进行“一键恢复”功能。可通过选择，恢复成出厂配置，也可恢复成“指定配置”，指定配置是需要管理员/教师预先将配置脚本在ISLMS中设置好的，如果没有配置则默认为出厂配置。在进行排错课程的时候，教师可以使用该功能将预先定义的配置分发到每组设备中，由学生进行修正。查询统计功能查看当前设备的运行状态、设备使用情况、学生在线情况、学生考勤、操作日志、命令日志等功能。易用性组内设备自由组合，无需反复拔插配置口就能访问到组内所有设备。采用这种实验台的设计，学生在做实验时就可以不用插拔配置线，而是通过访问控制服务器对网络设备进行实验操作，不仅可以让学生集中精力做实验，大大提高了实验教学的效率和秩序，方便老师对实验过程进行管理、监督、检验；同时也大大降低了由于传统实验形式下插拔配置线带来过高的硬件端口损坏率。灵活的扩展性模块化的实验组设计给实验室带来扩展上的极大方便，由于场地问题物理实验组不能无限制增加，但是多个逻辑组可以组成综合实验组，公用1台CCM。另外，CCM具有16口、24口、32口不同规格的产品形态，可以满足不同规模的实验室需求。在线学生的用户列表显示，哪些学生当前在哪个实验室、哪个实验台、哪个设备上做实验，一目了然。对在线学生的操作进行实时查看，实时指导，可对选定的学生，查看其对设备操作的过程，并可进行指导。安全控制所有人无法直接访问CCM，必须经过管理控制中心做映射和数据安全转换；所有用户必须经过身份认证才可进行系统；通过https加密访问。自动作业提交学生进行实验之后，可以通过提交实验报告，将实验结果上传到服务器中，老师可以提取学生的作业，进行批改。全真模拟现实配置环境、多种配置的学习功能可在学生的web页面中，单击设备后，选择真实的超级终端的配置功能，只需鼠标一点轻松实现真实的超级终端串口配置练习环境。可在学生的web页面中，单击设备后，选择telnet方式模拟超级终端的配置功能。可在学生的web页面中，单击设备后，选择设备本身的web配置功能。危险命令过滤为防止学生对设备进行不可逆转的操作，保护设备，可以提供危险命令过滤功能，使这些危险命令不能生效。并且危险命令可以由管理员任意配置，同时还支持对危险命令的特殊参数不阻塞的功能。推荐网络实验室实训清单：交换实验：实验一、 认识交换机，交换机带外管理实验二、 熟悉交换机的各种配置模式实验三、 熟悉交换机的CLI界面调试技巧实验四、 交换机恢复出厂设置及其基本配置实验五、 使用telnet方式管理交换机实验六、 使用Web方式管理交换机实验七、 交换机文件备份实验八、 交换机系统升级和文件还原实验九、 密码丢失的解决方法实验十、 BootRom下的升级配置实验十一、 交换机simplex堆叠实验实验十二、 交换机duplex堆叠实验实验十三、 交换机super堆叠实验实验十四、 VLAN的划分实验实验十五、 跨交换机相同VLAN间通信实验十六、 公用端口实验实验十七、 私有VLAN实验实验十八、 端口和MAC地址绑定实验（静态、动态两种方式）实验十九、 配置MAC地址表实现Mac地址绑定与过滤实验二十、 交换机MAC与IP的绑定实验二十一、 生成树和快速生成树实验实验二十二、 链路聚合实验（静、动态两种方式）实验二十三、 端口镜像实验二十四、 IEEE802.1X的端口认证实验（需radius服务器）路由实验：实验一、 路由器接口简介实验二、 路由器的管理方式实验三、 路由器的基本配置实验四、 配置文件上传下载实验五、 路由器的系统升级实验六、 路由器广域网HDLC封装配置实验七、 路由器广域网PPP基础配置实验八、 路由器静态路由配置实验九、 RIP-1路由协议配置实验十、 RIP-2路由协议的基本配置实验十一、 静态路由引入配置实验十二、 直连路由引入配置实验十三、 OSPF路由协议单区域基本配置实验十四、 路由器广域网PPP封装PAP配置实验十五、 路由器广域网PPP封装CHAP配置高端交换组可以实现的实验：实验一、 认识三层交换机实验二、 多层交换机VLAN的划分和VLAN间路由实验三、 使用多层交换机实现二层交换机VLAN之间的路由实验四、 核心交换机静态路由实验五、 三层交换机RIP动态路由实验六、 三层交换机OSPF动态路由实验七、 三层交换机标准编号ACL实验八、 三层交换机标准命名ACL实验九、 三层交换机扩展编号ACL实验十、 三层交换机扩展命名ACL实验十一、 交换机单向访问控制的实现实验十二、 使用ACL过滤特定病毒报文实验十三、 交换机实现DHCP服务器的配置实验十四、 交换机实现DHCP中继的配置实验十五、 交换机HSRP实验实验十六、 交换机VRRP实验实验十七、 交换机组播PIM-DM实验实验十八、 交换机组播DVMRP实验十九、 实验交换机Q0S实验高端路由组可以实现的实验：实验一、 路由器广域网FR基础封装配置实验二、 帧中继交换机的配置实验三、 路由器广域网X.25封装配置实验四、 通过modem拨出访问internet实验五、 通过ISDN访问internet实验六、 OSPF路由协议NBMA的网络配置实验七、 CE1/UE1的配置实验八、 RIP-2路由协议邻居认证实验实验九、 RIP-2路由协议定时器配置实验十、 RIP-2路由协议单播路由更新配置实验十一、 RIP-2路由协议NBMA的网络配置实验十二、 RIP协议环路避免的几种方法实验实验十三、 OSPF路由协议多区域基本配置实验十四、 OSPF路由协议NBMA点到点的网络配置实验十五、 OSPF路由协议NBMA点到多点的网络配置实验十六、 OSPF路由协议虚链路配置实验十七、 OSPF路由协议Stub、totally Stub网络配置实验十八、 OSPF路由协议邻居认证配置实验十九、 OSPF路由协议路由汇总配置实验二十、 DEIGRP路由协议配置实验二十一、 BGP的配置实验二十二、 路由再分配/路由重分布实验二十三、 标准ACL配置（数字的和命名的）实验二十四、 扩展ACL配置（有五类）实验二十五、 NAT地址转换实验二十六、 策略路由PBR的配置实验二十七、 HSRP协议实验实验二十八、 DHCP配置实验二十九、 VPN（L2TP、PPTP）实验三十、 配置GRE协议实验三十一、 VPN（Ipsec）实验三十二、 VPN（IKE）（静态、动态）实验三十三、 VOIP配置实验三十四、 配置QOS2、信息安全实验室建设内容1、 内容全，覆盖广，采用最专业的信息安全教学体系，完美契合信息安全方向教学：从信息安全实验的覆盖范围，的信息安全实验室建设方案参考教育部高等学校信息安全类专业教学指导委员会制定的信息安全类专业知识结构及能力要求，并联合北京邮电大学开发了密码学与应用、信息系统安全、应用安全、网络安全、数字内容安全、软件安全、信息安全工程实践和计算机取证与司法鉴定八大类信息安全课程体系，覆盖了多个方面的信息安全教学内容，包括实验原理、教学虚拟化环境、实验指导书，学生可以自主学习实验，进行实验验证与应用，并进行信息安全综合分析及自主设计，实现多层次的实验操作。同时，通过与北京邮电大学信息安全系的深入合作，后续将源源不断的更新最新的信息安全内容。因此，它不仅可以作为信息安全专业教学的首选方案，也可以作为计算机、网络专业以及各类培训机构的信息安全知识培训平台。北京邮电大学信息安全专业课程体系2、 实验内容为国内最全最深最专业，最强版本支持660余个不同的信息安全实验（其中包括最新的BT5实验、各类复杂网络场景以及路由交换类实验）：不仅覆盖常规的系统攻防、网络攻防，同时在WEB安全日益重要的今天，引入了SQL注入、跨站攻击等不同的实验，也可以支持BT5等类型的实验。同时，最重要的是通过内置的虚拟化实验场景，用户不是单纯的做某个操作系统的小实验，而是可以根据用户自己的意愿构建某些复杂网络环境，来实现组网、安全、部署应用系统等项目式教学内容，为教学改革提供技术基础。这也是目前其他平台所不能实现的。3、 它是国内最开放的平台，极大降低信息安全实验室的构建成本：平台不仅可以用于实验室教学，尤其是基于LINUX等操作系统方面的实验，它提供的云实验可以节约在实验室管理上的人员和运营上的成本投入；它也可以用于举办信息安全大赛（我们已经用它办了连续2年的高职信息安全攻防大赛）；同时由于平台支持虚拟机的上传功能，老师也可以将它作为防火墙、交换机、安卓等项目研发的平台；而且如果学校有比较复杂的软件系统的话，通过进行课件定制或者老师自己制作课件，也可以完成业务系统的培训工作。它是全球首创的虚拟化教学产品，产品内嵌了虚拟路由器、虚拟防火墙、虚拟服务器、虚拟客户端，这将极大的降低学校在PC机和硬件上的设备投入。4、 提供最完整的实验室管理方案：提供的信息安全实验室方案同时还拥有业界领先的实验室管理系统，具有强大的和管理功能与考核功能，同时整个课程体系专注实践教学，运用真实案例作为教学蓝本，具有高效性、先进性与安全性。5、 校企合作保证：作为在信息安全实验室领域的领导者，一直认为产品只是教学的基础，要保障学校在计算机、网络、信息安全等专业方面的成功，同样需要完整的校企合作内容保障。因此，一直致力于与中职、高职和本科类院校的校企合作，为学校提供师资培养、课程置换、课程体系改革、教材合编、认证考试、实习就业等诸多方面的校企合作服务内容。选择信息安全实验室，您可以做到：1. 与国内最权威的信息安全体系同步，培养出类拔萃的专业带头人；2. 填补了计算机信息安全实验教学方面的空白；3. 极大改善信息安全实验教学的条件；4. 具备了跟踪先进网络通信和安全技术，开阔学生的思路和眼界，提高教学水平和教学质量；5. 在信息安全技术方向，为创新人才培养基地提供良好的教学与科研条件；6. 极大降低设备投入，同时采用虚拟化平台可以为各类科研平台提供统一的资源中心，方便进行科研管理；7. 构建区域性中心，为周边学校、培训机构、社会人员提供服务或者提供各类竞赛（计算机类、网络类和信安类大赛），提升学校影响力和专业美誉度；校企合作提供师资培养、课程体系改革和认证、实习等方面的保障；8. 2. 产品架构2.1 核心产品简介信息安全实训平台（即DCST系列）是网络公司（以下简称）面对于信息安全方向专门设计开发的产品。 DCST-6000-N10和DCST-6000-N60提供不同的信息安全实验，一般主要用于信息安全教学演练平台，而安全攻防平台产品则是针对不同类型的漏洞进行攻击的实战场。2.2 系统结构DCST产品体系包括：实验平台、实验内容和培训体系，提供实验工具管理、实验内容管理、虚拟化调用API等多种扩展接口，方便学校定制添加教学时候所需的实验。如图所示：DCST配有强大的实训平台管理系统ISLMS，能够为信息安全培训、教学及科研提供一个完整的、一体化的实验教学环境，从而打造出全方位的专业信息安全实验室。2.3 核心技术DCST系列产品是汇聚多年云虚拟化技术研究成果，在计算机知识的教育、培训方面，推出的一款新型教学系统，它是中国领先的云计算虚拟化实验教育平台。云计算虚拟化实训平台系统包含两部分：云计算虚拟化技术和教育培训管理。云计算虚拟化技术云计算虚拟化技术通过云计算虚拟化调度和管理为计算机教学虚拟各种实验操作环境，让学生进行各种计算机、网络设备和安全设备等实际操作，了解计算机、网络设备和安全设备的原理，掌握计算机系统、网络和安全信息知识和实际操作技能，真实体验计算机系统、网络和安全信息知识和实际操作演练过程。DCST为了确保云计算虚拟实验教学平台能够保证计算机教学的各种实验操作环境，通过云计算虚拟化和在线教学平台两大模块满足了学校对于云计算虚拟化技术提出了三点具体要求：1、DCST拥有先进的计算机架构，具备强大的处理能力采用的处理器必须在硬件层面上高度支持虚拟技术，从而确保可以提供强大的并行数据处理能力，能够在根本上支撑虚拟系统的高效运转。2、DCST支持64位计算系统，易于升级内存不足将严重影响虚拟系统的性能，并会直接限制虚拟机的数量，为了能够尽可能地扩展内存的空间， 64位带宽能够突破传统的4GB内存限制，可以做到轻松升级，可以让实训平台部署更多的虚拟机，让每台虚拟机可以处理更多的事务。3、DCST高效的虚拟化调度算法能够快速调度和虚拟化出计算机教学的各种实验操作环境虚拟平台调度方便快捷，达到资源共享。 功能特点安全沙盒DCST-6000-N10/N60提供了学生、老师、管理员三种角色，并提供了以下的功能:1、提供多系统平台的教学DCST-6000-N10/N60为计算机及网络安全教育提供多系统平台的教学课件，在教学、培训过程中，根据需要可以启动基于不同操作系统平台的教学课件，满足所有教学环境的需求。2、部署简易，操作方便信息安全实训平台部署非常简易，通过一根网线接入到实验室网络中，客户端无须安装任何客户端软件，即可完成设备的部署和环境的搭建。学生通过web页面访问设备并进行实验，教师和管理员通过web页面进行实验和设备的管理。3、多种模式的攻防课件DCST-6000-N10/N60为计算机及网络安全教育提供多模式的安全攻防实验课件，能够进行各种安全威胁的攻防操作，针对不同的攻击防御模式，提供多种实验课件选择。4、全程自主操作的攻防演练安全沙盒系统的全部课件均是将安全理论与实际环境和动手操作相结合的实验课程，所有的学习过程中，都需要通过实际动手进行实验操作，完成课件要求的安全威胁攻击以及针对该攻击的安全防御措施。通过不同的实验课程让学员亲身体验计算机及网络安全的攻防全过程，让学生从枯燥的理论学习中解脱出来，可以极大的提升学生学习网络安全知识的积极性，并帮助学生在未来的就业和职业发展奠定扎实、实用的技术基础和经验。 5、真实的攻防环境目标主机、操作系统、漏洞均是真实存在的，入侵、防护过程完全真实。并非像一些实验系统只能模拟输出既定的结果，贴近实际。6、模块化可独立部署或融合部署可单独接入终端机器进行安全实验，更可配合DCFW防火墙、IDS入侵检测系统、DCSM内网安全管理系统、交换机、路由器、DCFS、NETLOG等基础安全及信息安全实验室模块组合成为真实攻防的全局环境中。7、 课件资源丰富，接口全面开放N10/N60产品课件资源丰富，系统接口全面开放，可自定义实验课件、实验设备和实验拓扑，后续内容会实时增加。8、实验加载快，支持远程协助通过web浏览器直接登录实训平台并启动实验，参照实验课件可以进行自主学习。在学生进行实验的过程当中，教师可以随时进行远程协助，对学生进行指导。实验结束后，自动释放系统资源。9、系统界面学生实验环境课程介绍拓扑设计路由交换实训路由交换实训教师远程协助界面云管理页面六、 建设步骤高校信息安全实验室建设分为一下六个建设步骤： 基础网络实验室建设 信息安全教学实训平台建设 信息安全对抗平台建设 信息安全技术知识库建设 信息安全技术研究能力建设 信息安全实验室扩展建设1、基础网络实验室建设皮之不存，毛将焉附。没有基础网络架构的支撑，就谈不上网络信息安全。信息安全攻防实验室建立的前提是学校已经建设有基础网络实验室，安全实验室必须以基础网络实验室作为网络通信设备的网络平台。2、信息安全教学实训平台建设信息安全知识的传递，首先要通过教学。我国高校毕业生的动手能力低是一个普遍现象，部分本科毕业学生的动手能力在一定程度上甚至不如高职院校的学生。高校一直采用“精英教育”模式，在理论教学上成绩突出，但忽视了动手能力的培养。而大部分用人单位需要的是毕业即能融入日常工作的学生，因此我们需要用真实的设备、真实的案例、真实的实验环境来锻炼学生的实际动手能力，以改变一直以来的精英教学模式。3、信息安全对抗平台建设在具备一定量的理论知识和实际动手能力的情况下，开展实战分组对抗演练，更加贴近真实的信息安全网络攻防操作过程，进一步加强学生的信息安全技能。4、信息安全技术知识库建设早期的信息安全关注的是技术,但自20世纪90年代以来,业内对信息安全管理的关注逐渐超出了对技术的关注,特别是在一些信息安全管理标准的指导下,加速了信息安全管理的发展。然而,目前国内高校对信息安全管理的智能化研究还比较欠缺,建立信息安全管理知识库,可以提高信息安全管理的智能化研究水平,为信息安全管理决策提供有效的指导。同时为高校积累宝贵的信息安全教学研究资料。信息安全知识库是高校形成结构化、易操作、易利用、易储存、可传承的信息安全知识集群，这些知识包括的各个专业、学科中的的一切信息安全知识内容，如：培训资料、学习资料、多媒体资料、信息安全工具资料等等很多方面。因此，在信息安全实验室建设中，对信息安全知识库系统的建设尤为重要。作用主要表现在：第一，信息安全知识库使信息和知识结构化，提供标准的建立条件。第二，信息安全知识库为企业内部知识和信息的传播，提供有力的平台。第三，信息安全知识库有利于实现高校对知识的更好利用。第四，信息安全知识库对高校信息安全知识资料提供有效管理。在信息安全实验室的信息安全管理知识库系统的本体类层次可分为如下：1安全方针类2 组织信息安全类3 资产管理类4 人力资源安全类5 物理和环境安全类6 通信和操作管理类7 访问控制类8 信息系统的获取、开发和保持类9 信息安全事故管理类10 业务连续性管理类11 符合性类5、信息安全技术研究能力建设科学技术研究是高等学校中心任务之一。科研活动的开展及其水平必然与高校的科研能力紧密相关。科研能力的强弱是学校水平高低的重要指标，它与高等学校出人才出成果上质量上水平有直接的关系。高等学校科研能力，简单地说，是指高等学校凭借一定的条件多出科研成果、快出科研成果、出高水平科研成果的本领。也就是说高校科研能力是高等学校为进行科技活动所拥有的科研能量。一般说，高校开展科研活动具有特别的优势。这种优势表现为：有大量的人才资源。高校拥有众多的包括各门学科、各个领域的科学技术人才，他们有宽厚的基础理论、专业知识和很强的研究能力，能够根据科学技术发展的趋势来积极从事科研工作。同时，高校的人才是多层次的，容易组成合理的科研梯