(天津鐵道職業(yè)技術(shù)學(xué)院，天津 300240)

網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展，人們在享受數(shù)字化時代所帶來的便捷的同時，越來越擔(dān)心自身系統(tǒng)或信息的穩(wěn)定和安全，如何保護網(wǎng)絡(luò)中信息的安全成為網(wǎng)絡(luò)安全學(xué)科最熱點的課題，目前我國的網(wǎng)絡(luò)安全及技術(shù)方面正出于起步階段，網(wǎng)絡(luò)安全科研和教育嚴重滯后，關(guān)鍵是網(wǎng)絡(luò)安全人才的匱乏，要培養(yǎng)符合社會需求的網(wǎng)絡(luò)安全技術(shù)人才，就需要提供一個基于網(wǎng)絡(luò)安全實踐教學(xué)的網(wǎng)絡(luò)安全實驗室。

1．建設(shè)網(wǎng)絡(luò)安全實驗室的特點和原則

1.1 建設(shè)網(wǎng)絡(luò)安全實驗室的特點

網(wǎng)絡(luò)安全領(lǐng)域已經(jīng)成為一個綜合、交叉的學(xué)科領(lǐng)域，涉及到網(wǎng)絡(luò)通信、信息系統(tǒng)、數(shù)據(jù)等各個層面，它需要綜合利用計算機技術(shù)、網(wǎng)絡(luò)通信、電子電路技術(shù)等諸多學(xué)科的長期知識積累和最新研究成果，網(wǎng)絡(luò)安全也是一個復(fù)雜的系統(tǒng)工程，它涉及到信息基礎(chǔ)建設(shè)、網(wǎng)絡(luò)與系統(tǒng)的構(gòu)造、信息系統(tǒng)與業(yè)務(wù)應(yīng)用系統(tǒng)的開發(fā)、信息安全的法律法規(guī)、安全管理體系等。因此網(wǎng)絡(luò)安全是網(wǎng)絡(luò)通信應(yīng)用領(lǐng)域安全防護問題的一門新興的應(yīng)用學(xué)科。

在實際的網(wǎng)絡(luò)安全部署中，網(wǎng)絡(luò)安全不是一個產(chǎn)品，也不是一個結(jié)果，而是一個過程，它是匯集了硬件、軟件、網(wǎng)絡(luò)、人與人之間相互關(guān)系和接口系統(tǒng)，因此，在建設(shè)網(wǎng)絡(luò)安全實驗室的過程中需要考慮安全的連續(xù)過程，以及網(wǎng)絡(luò)安全中相互匹配鏈條中每一個因素。網(wǎng)絡(luò)安全實驗室的課程類型將根據(jù)網(wǎng)絡(luò)安全的過程進行設(shè)置：網(wǎng)絡(luò)安全分析階段、網(wǎng)絡(luò)安全保護階段、網(wǎng)絡(luò)安全檢測階段、網(wǎng)絡(luò)安全管理階段、網(wǎng)絡(luò)安全恢復(fù)階段。主要課程領(lǐng)域?qū)⑸婕埃壕W(wǎng)絡(luò)物理安全、計算機軟件安全、操作系統(tǒng)安全、安全協(xié)議理論和技術(shù)、數(shù)據(jù)庫系統(tǒng)安全、入侵檢測技術(shù)、漏洞掃描技術(shù)、防火墻技術(shù)、授權(quán)和認證、加密與數(shù)字簽名、數(shù)據(jù)分析、行為監(jiān)控等方面，整個安全過程相互間協(xié)同工作形成一整套實驗課程。

網(wǎng)絡(luò)安全實驗室以構(gòu)建安全的網(wǎng)絡(luò)為主線，以信息安全、應(yīng)用安全、用戶安全和系統(tǒng)安全為支撐，從評估網(wǎng)絡(luò)安全、制定網(wǎng)絡(luò)安全策略、設(shè)計網(wǎng)絡(luò)安全體系結(jié)構(gòu)、部署安全應(yīng)用技術(shù)，架構(gòu)全面的安全層次體系結(jié)構(gòu)。讓學(xué)員在實驗室實際的網(wǎng)絡(luò)環(huán)境里將理論與實踐相結(jié)合，提高學(xué)習(xí)效率。

網(wǎng)絡(luò)安全實驗室主要用來開展網(wǎng)絡(luò)安全實驗的，網(wǎng)絡(luò)安全實驗室的總體設(shè)計應(yīng)當(dāng)滿足各方面網(wǎng)絡(luò)實驗的需求，因此完備性是網(wǎng)絡(luò)實驗室建設(shè)的基本目標。據(jù)此我們把計算機網(wǎng)絡(luò)實驗室的建設(shè)目標分為以下五個層次：

第一個層次是物理網(wǎng)絡(luò)安全層。在網(wǎng)絡(luò)物理安全實驗室中可以做的網(wǎng)絡(luò)物理安全實驗是：物理鏈路安全、體系架構(gòu)安全實驗、防火墻物理部署實驗、安全網(wǎng)關(guān)部署、硬件入侵檢測部署、VPN部署等實驗。網(wǎng)絡(luò)物理安全實驗的內(nèi)容根據(jù)實際的研究需要來定，網(wǎng)絡(luò)線路的復(fù)雜性需要盡可能模擬寬帶數(shù)據(jù)城域網(wǎng)及大型園區(qū)網(wǎng)的組網(wǎng)方式和業(yè)務(wù)，能夠根據(jù)網(wǎng)絡(luò)架構(gòu)的鏈路、體系結(jié)構(gòu)來進行實驗，完成桌面、接入、匯聚、核心、出口、應(yīng)用等整個網(wǎng)絡(luò)部署安全實驗。

第二個層次是網(wǎng)絡(luò)系統(tǒng)安全層。在網(wǎng)絡(luò)系統(tǒng)安全層包括了網(wǎng)絡(luò)操作系統(tǒng)安全、軟件安全、數(shù)據(jù)庫安全、協(xié)議分析、行為及模式匹配、安全評估、風(fēng)險評估等實驗內(nèi)容，通過一系列操作系統(tǒng)、軟件、協(xié)議分析器、數(shù)據(jù)庫應(yīng)用系統(tǒng)等應(yīng)用環(huán)境進行組網(wǎng)，模擬真實的網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)模型，開展一系列的驗證、測試等技能型的系統(tǒng)級安全實驗。

第三個層次是網(wǎng)絡(luò)應(yīng)用安全層。網(wǎng)絡(luò)應(yīng)用安全實驗包含：防火墻技術(shù)實驗、攻防實驗、病毒防護實驗、入侵檢測技術(shù)實驗、漏洞掃描、流量監(jiān)控、VPN技術(shù)實驗、安全審計實驗、應(yīng)用服務(wù)區(qū)域防護實驗等。通過一系列的網(wǎng)絡(luò)安全應(yīng)用技術(shù)實驗完成網(wǎng)絡(luò)應(yīng)用安全領(lǐng)域最核心的課程。

第四個層次是網(wǎng)絡(luò)管理安全層。網(wǎng)絡(luò)中的用戶經(jīng)常變化，并且難以進行管理，因此用戶安全變得尤其重要，同時網(wǎng)絡(luò)的管理包含了故障管理、設(shè)備管理、性能管理等等重要內(nèi)容，因此對網(wǎng)絡(luò)的管理本身的安全性要求就會更高，常用的網(wǎng)絡(luò)管理安全實驗包含：身份認證技術(shù)、對用戶/組的管理、訪問控制授權(quán)、網(wǎng)絡(luò)狀態(tài)、性能監(jiān)控等管理實驗，同時也具備了管理過程授權(quán)及加密等實驗。

第五個層次是網(wǎng)絡(luò)數(shù)據(jù)安全層。數(shù)據(jù)安全是一個非常重要的學(xué)科，數(shù)據(jù)是整個安全層次保護的核心，因此在整個網(wǎng)絡(luò)安全層次中出于最高層，數(shù)據(jù)安全的實驗內(nèi)容包含了：密碼技術(shù)、身份鑒別、數(shù)字簽名、PKI技術(shù)、IPSAN設(shè)計、遠程災(zāi)難備份等。

1.2 建設(shè)網(wǎng)絡(luò)安全實驗室的原則

第一，高可靠性。網(wǎng)絡(luò)實驗系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運行的前提保證，在網(wǎng)絡(luò)設(shè)計中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運行。使得網(wǎng)絡(luò)在高負荷情況下仍然具有較高的吞吐能力和效率，延遲低。

第二，標準性及開放性。通訊協(xié)議和接口符合國際標準。支持國際上通用標準的網(wǎng)絡(luò)協(xié)議(如TCP/IP)、 國際標準的開放協(xié)議，有利于保證與其他網(wǎng)絡(luò)之間的平滑連接互通。方便接入不同廠商的設(shè)備和網(wǎng)絡(luò)產(chǎn)品。在網(wǎng)絡(luò)中，即使有多個網(wǎng)絡(luò)和多應(yīng)用并存，采用統(tǒng)一的標準，也能使這些網(wǎng)絡(luò)能融合到一起，實現(xiàn)業(yè)務(wù)整合及數(shù)據(jù)集中。

第三，靈活性及可擴展性。根據(jù)未來業(yè)務(wù)的增長和變化，網(wǎng)絡(luò)可以平滑的擴充和升級，最大程度的減少對網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。易于增加新設(shè)備、新用戶，易于和各種公用網(wǎng)絡(luò)連接，隨系統(tǒng)應(yīng)用的逐步成熟不斷延伸和擴充，充分保護現(xiàn)有投資利益。

第四，先進性。高職院校作為最前沿學(xué)科和技術(shù)研究場所，要求網(wǎng)絡(luò)實驗室要配備最先進的網(wǎng)絡(luò)設(shè)備，能夠開展最新技術(shù)的科研、教學(xué)實踐活動，對網(wǎng)絡(luò)實驗室的設(shè)備，網(wǎng)絡(luò)方案的技術(shù)先進性要求非常高。

第五，可管理性。對網(wǎng)絡(luò)實行集中監(jiān)測，分權(quán)管理，并統(tǒng)一分配寬帶資源。選用先進的網(wǎng)絡(luò)管理平臺，具有對設(shè)備、軟件、接口等的管理，流量統(tǒng)計分析，及可提供故障自動報警。整個實驗室平臺可以進行遠程控制。

第六，安全性。制訂統(tǒng)一的安全策略，整體考慮實驗平臺的安全性。可以通過各業(yè)務(wù)子網(wǎng)隔離，統(tǒng)一規(guī)劃，根據(jù)不同的業(yè)務(wù)劃分子網(wǎng)。具有保證系統(tǒng)安全，防止系統(tǒng)被人為破壞的能力。支持AAA功能、ACL、IPSEC、NAT、路由驗證、CHAP、PAP、CA、MD5、DES、3DES、日志等安全功能。

2．網(wǎng)絡(luò)安全實驗室解決方案的特點

2.1 實驗內(nèi)容完全滿足高職院校的教學(xué)需要

高職院校教育培養(yǎng)目標的復(fù)雜性決定了其培養(yǎng)手段的多樣性。在教學(xué)形式上，不僅有一定的理論教學(xué)，使學(xué)生掌握基本理論與基本知識，而且有大量的實驗、實習(xí)、設(shè)計、實訓(xùn)等實踐教學(xué)，培養(yǎng)學(xué)生的綜合職業(yè)能力。

2.2 實驗的綜合性

讓學(xué)生根據(jù)這些背景，運用所學(xué)的知識，去設(shè)計這個大型企業(yè)的整網(wǎng)安全解決方案。并且還要學(xué)生就用實驗室里的設(shè)備，按照自己設(shè)計的拓撲來把這個企業(yè)的拓撲搭建起來；之后要求學(xué)生把搭建的企業(yè)網(wǎng)調(diào)通，部署好安全策略來優(yōu)化這個網(wǎng)絡(luò)，比如要配ACL、QOS等；同時設(shè)置一些病毒和攻擊實時對網(wǎng)絡(luò)關(guān)鍵業(yè)務(wù)造成侵擾，鍛煉學(xué)生的處理問題的能力。通過綜合性實驗，學(xué)生的實戰(zhàn)技能得到極大的鍛煉，這對他們將來的就業(yè)及在工作崗位上的成長都是極有幫助。

3．網(wǎng)絡(luò)安全實驗室建設(shè)方案

3.1 網(wǎng)絡(luò)安全實驗室拓樸圖

網(wǎng)絡(luò)安全技術(shù)是一門實踐性很強的學(xué)科，學(xué)生除了需要學(xué)習(xí)大量的網(wǎng)絡(luò)技術(shù)知識、系統(tǒng)安全、數(shù)據(jù)安全知識之外同時也需要做大量的實驗。隨著需要進行網(wǎng)絡(luò)安全實驗的學(xué)生數(shù)量越來越多，安全實驗的需求量也越來越大，如何有效管理網(wǎng)安全絡(luò)實驗室，如何方便的進行靈活的網(wǎng)絡(luò)安全實驗組合，如何組織配套的相關(guān)實驗資料，成為了建設(shè)網(wǎng)絡(luò)安全實驗室的重要問題。

針對網(wǎng)絡(luò)實驗室的現(xiàn)狀，安全實驗基本單元的實驗室設(shè)計理念(如圖1所示)。

圖-1

網(wǎng)絡(luò)安全實驗室解決方案把實驗室分為6個區(qū)域，連接區(qū)、教師區(qū)、學(xué)生區(qū)、教學(xué)服務(wù)區(qū)、實驗教學(xué)區(qū)和出口區(qū)。

整個實驗環(huán)境都是模擬當(dāng)前最新的網(wǎng)絡(luò)安全技術(shù)應(yīng)用環(huán)境設(shè)計，滿足目前網(wǎng)絡(luò)安全實驗室需要，而且可以后期進行平滑升級，通過添加部分網(wǎng)絡(luò)設(shè)備和模塊來組建更為復(fù)雜的網(wǎng)絡(luò)安全實驗室環(huán)境，為學(xué)生提供更多的實驗內(nèi)容，實現(xiàn)更復(fù)雜的網(wǎng)絡(luò)實驗。

3.2 每組實驗臺資源配置

網(wǎng)絡(luò)安全實驗室方案中實驗用的網(wǎng)絡(luò)設(shè)備都由標準實驗臺這一網(wǎng)絡(luò)實驗基本單元組成。

安全實驗臺實驗環(huán)境說明：配置兩臺三層交換機，作為每個小組的三層網(wǎng)關(guān)設(shè)備，同時可以開展DHCP Snooping、端口保護、PVLAN等試驗；配置三臺模塊化路由器，作為每個小組的出口路由及訪問控制實驗環(huán)境，兩臺之間做路由器的GRE、IPsec、GREoIPsec VPN用，也可以用來在綜合案例中模擬Internet。配置一臺防火墻，作為每個小組的防火墻出口安全設(shè)備；配置一臺IDS，可以完成入侵檢測實驗環(huán)境；配置兩臺VPN網(wǎng)關(guān)，可以完成VPN實驗；配置一臺病毒墻設(shè)備可以完成病毒防護實驗；配置一臺網(wǎng)絡(luò)存儲設(shè)備可以完成災(zāi)難備份等數(shù)據(jù)安全實驗；配置一臺密碼/病毒服務(wù)器可以完成密碼學(xué)和病毒實驗；配置一臺PKI和安全審計服務(wù)器可以完成證書、密鑰和審計日志等實驗。每組學(xué)生可以利用學(xué)生區(qū)的學(xué)生機來對教學(xué)服務(wù)區(qū)的服務(wù)器進行用于攻擊、防御、病毒等行為目標測試。

采用12臺設(shè)備組成一個標準實驗臺。就可以在一個標準實驗臺內(nèi)完成幾乎所有的網(wǎng)絡(luò)安全實驗內(nèi)容，滿足教學(xué)需要，實驗設(shè)備的數(shù)量可以根據(jù)學(xué)生數(shù)和開設(shè)的安全課程內(nèi)容進行適當(dāng)調(diào)整。

3.3 實驗室的布局

每個實驗臺可供4人同時實驗，每個實驗小組都能在一個實驗臺上單獨完成全部實驗內(nèi)容。一般由8個實驗臺可以構(gòu)成一個實驗室，供30人左右實驗。

3.4 安全實驗室服務(wù)器設(shè)計

采用三種操作系統(tǒng)的服務(wù)器，來完成網(wǎng)絡(luò)安全的應(yīng)用需求，以及實驗需求，密碼服務(wù)器、病毒服務(wù)器、攻防服務(wù)器、PKI/安全審計服務(wù)器等，建議采用專用服務(wù)器。需要安裝NT/LINUX/UNIX/VISTA等操作系統(tǒng)、數(shù)據(jù)庫MYSQL、各種服務(wù)器組件、路由、FTP、WEB、視頻服務(wù)器、FTP服務(wù)、SSH、電子郵件、新聞服務(wù)器、DHCP服務(wù)、DNS服務(wù)、計費系統(tǒng)、SNIFFER等軟件。

3.5 網(wǎng)絡(luò)安全實驗室課程設(shè)計

圖-2

由于計算機網(wǎng)絡(luò)組網(wǎng)的復(fù)雜性及網(wǎng)絡(luò)協(xié)議的多樣性，網(wǎng)絡(luò)安全實驗室盡可能多的實現(xiàn)這些環(huán)境實驗。同時基于實際網(wǎng)絡(luò)結(jié)構(gòu)及應(yīng)用的復(fù)雜性、多樣性，網(wǎng)絡(luò)安全實驗室應(yīng)具備能包含盡可能多實際應(yīng)用環(huán)境的模擬。

安全實驗課程采用經(jīng)典應(yīng)用案例教學(xué)的方式，通過實際的拓撲來構(gòu)造實際應(yīng)用。

比如財務(wù)專用網(wǎng)絡(luò)的搭建實驗課程(如圖2所示)

3.6 完善的網(wǎng)絡(luò)安全實驗教學(xué)計劃是構(gòu)建網(wǎng)絡(luò)安全實驗室是一個必不可少的環(huán)節(jié)

為保證了網(wǎng)絡(luò)安全實驗室得到最充分的利用，教學(xué)計劃應(yīng)包括：

操作系統(tǒng)及桌面安全實驗；

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全實驗；

防火墻安全實驗；

密碼學(xué)與安全VPN實驗；

入侵檢測與攻防實驗；

防病毒實驗；

無線局域網(wǎng)安全實驗；

網(wǎng)絡(luò)身份認證實驗；

網(wǎng)絡(luò)性能與故障管理實驗；

容災(zāi)備份實驗。

通過以上幾個方面的建設(shè)，最終能夠建成一個高水平的網(wǎng)絡(luò)安全實驗室，在其實驗平臺上運行多種實驗系統(tǒng)。成為滿足不同層次教學(xué)需要的IT專業(yè)網(wǎng)絡(luò)安全實驗室和人才培養(yǎng)基地。

參考文獻：

[1]劉兵.《計算機網(wǎng)絡(luò)》課程實驗教學(xué)探討[J].計算機教育,2007,(01).

[2]常小燕,宋長青,張福嶺.計算機網(wǎng)絡(luò)實驗室建設(shè)方案設(shè)計探索[J].科技廣場,2007,(03).