信息安全導論實驗教學的研究與實踐

文章編號：1672-5913(2008)12-0113-04

摘要：本文提出階梯式的驗證性實驗教學方法，即將多個獨立的實驗按照所需安全技術水平的高低有機的組織起來，從而在短時間內取得較好的實驗教學效果。

關鍵詞：信息安全導論；階梯式實驗教學；驗證性實驗

中圖分類號：G642

文獻標識碼：A

1課程概述

“信息安全導論”是面向計算機科學與技術專業和網絡工程專業學員的一門專業技術課程。隨著部隊信息化建設的迅猛發展，部隊對信息系統的依賴日益加重，信息安全問題日益突出，因此在利用信息化提升部隊戰斗力的同時，必須研究信息安全的自身特點，尋找信息安全問題的解決之道。

本課程要求學員了解信息安全的重要性和復雜性、理解信息安全的基本概念和基本原理、掌握信息安全的基本技能和基本方法。而實驗教學的主要目的是讓學員通過實驗能夠掌握基本的信息安全防護技能，了解系統存在的安全隱患，樹立牢固的安全意識，培養良好的安全習慣，另一方面提高實踐操作和應用能力。

課程的課內學時為32課時，課外學時即實驗學時為12學時。課程內容基本覆蓋了信息安全領域所涉及的主要分支和領域，共包括信息安全緒論、密碼學基礎、計算機系統安全、計算機網絡安全、計算機應用安全和信息系統安全工程六章內容。而課外實驗由于學時有限，只能在課程內容中進行適當的選擇。

2實驗教學內容選擇

由于時間有限，應該優先選擇最基本、最常用的安全技術方面的實驗，并按照所需技術水平的高低進行階梯式的安排。

根據這一原則在整個課程中計算機系統安全章節、計算機網絡安全章節中涉及的內容成為實驗內容安排的重點。

2.1計算機系統安全的實驗內容選擇

在計算機系統安全章節中的計算機操作系統的安全內容成為實驗內容的首選。計算機操作系統是應用軟件同系統硬件的接口，其目標是高效地、最大限度地、合理地使用計算機資源。沒有系統的安全就沒有信息的安全。操作系統作為系統軟件中最基礎的部分，其安全問題的解決最為關鍵。目前操作系統主要分為Windows系列的操作系統和類Unix的操作系統。雖然這些操作系統符合C2級安全級別，即自主安全保護和受控存儲控制，但操作系統仍存在不少安全漏洞，而大多數惡意代碼正是針對操作系統存在的安全漏洞進行攻擊，因此導致出現很多安全問題。

為了讓學員了解操作系統存在的安全漏洞以及攻擊者入侵操作系統的手段，加強自身的安全意識，我們設計了一個Windows 2000漏洞入侵實驗。實際上，對于大部分的安全問題，我們可以通過對操作系統的安全管理配置操作來進行防范。在實驗內容中，我們選擇Windows 2000和Linux操作系統進行操作系統的安全管理配置操作的學習。

2.2計算機網絡安全的實驗內容選擇

在計算機網絡安全章節中防火墻技術、嗅探技術和VPN技術被選擇為實驗的內容。

許多來自網絡的遠程攻擊可以通過防火墻技術來進行防范。防火墻是在兩個網絡之間執行訪問控制策略的一組硬件和軟件系統，其目的是保護本地網絡的通信安全。使用防火墻進行網絡的安全防護是最常用的安全技術。據統計，全球接入因特網的計算機中有1/3以上處在防火墻保護之下。因此，理解防火墻的工作原理，并能根據定義的安全策略配置相應的安全規則是學習安全技術的一個重點。

嗅探技術主要通過將網卡設置為混雜模式來接收和分析所有經過網卡的數據包。而利用嗅探器竊取別人的用戶密碼和秘密信息是惡意攻擊者常用的手段。通過學習嗅探器的使用，可以使學員們了解數據包的基本結構，從而加深對后階段實驗的理解，同時增強數據包在網絡上傳輸時需要安全保護的意識。

在學習嗅探器使用的實驗中，學員已經認識到數據包在網絡上傳輸的不安全性。而VPN技術是實現網絡安全傳輸的一種安全技術。VPN稱為虛擬專用網，它是在因特網上實現的一個專用網絡。由于利用VPN技術構建的虛擬網絡中數據包是加密傳輸的，從而能夠保證信息在網絡傳輸的機密性。通過學習VPN服務的配置和連接的建立技術，可以加深學員對VPN技術的理解。

最后，學員通過學習本門課程不斷地提高自身信息安全技術水平，并按照如圖1的階梯式實驗內容的安排進行學習，能夠了解入侵操作系統的典型攻擊手段、掌握主流操作系統的安全管理配置操作、掌握防火墻的基本配置和使用、學會嗅探工具的使用和掌握VPN服務的配置和連接。

3實驗內容設計

根據圖1的安排，整個實驗課程的內容包括六個實驗。每個實驗所占課時為2個課時，為了讓學員們能夠在短時間達到實驗要求，實驗內容主要以驗證性的實驗為主，部分提高型的設計實驗為輔。驗證性的實驗內容的實驗步驟比較詳細，力爭學員在實驗課時間內完成所需實驗，而提高型的實驗內容用于部分感興趣的同學在課后進一步提高技術水平。

3.1Windows 2000漏洞入侵的實驗內容

操作系統存在許多安全漏洞如緩沖區溢出，很多攻擊都是針對這些漏洞進行的。此次實驗的操作系統選擇的是Windows 2000。實驗的主要目的是讓學員們了解典型入侵過程，提高安全意識。針對漏洞入侵的典型過程如圖2。在入侵典型過程中安裝后門和清除入侵痕跡不屬于必備環節，而是較高級的攻擊者采取的方法。

此次實驗的主要內容是設計兩個可驗證步驟的漏洞入侵過程，讓學員可以在實驗課時內按照實驗步驟完成實驗。這兩個入侵過程分別為：1433溢出漏洞攻擊和弱口令入侵。第一個實驗包括了典型入侵過程的主要環節。第二個實驗進一步提高學習內容，包括了安裝后門的環節。

3.2操作系統的安全配置實驗內容

針對攻擊者的攻擊，實際上可以通過對操作系統進行安全管理配置的操作來進行防范。操作系統的安全配置實驗包括Windows的安全管理配置和Linux的安全管理配置兩次實驗。

這兩次實驗的具體操作雖然不同，但實驗的內容是相同的。每次的實驗內容包括三部分：系統用戶管理、系統服務管理和系統安全配置。

多用戶的操作系統通過將用戶進行分組的管理，每組賦予不同的權限，來限制用戶對系統資源的使用，從而防止非授權用戶進行非法操作。通過系統用戶管理的學習，學員不僅可以掌握如何增加和刪除用戶，而且還可以學會如何修改用戶權限。

由于針對操作系統的漏洞進行攻擊是攻擊者的主要手段，因此操作系統應遵循最小特權原則，盡可能關閉不需要的服務。通過系統服務管理，學員可以知道如何根據需求關閉特定的服務和端口。

為了防御攻擊，操作系統還可以進行專門的安全配置。審核策略就是其中的一項重要的功能。審核策略可以對特定事件如登陸失敗的事件進行日志記錄。系統管理員通過對日志記錄進行分析可以對攻擊者的攻擊行為進行事后追蹤。同時，管理員還可以發現攻擊者的不良企圖，從而加強對系統的防護。

3.3嗅探工具Sniffer的使用的實驗內容

利用嗅探器竊取別人的用戶密碼和秘密信息是惡意攻擊者常用的手段。此實驗的目的是通過學習典型嗅探器sniffer的使用了解數據包的結構，加深學員對后階段實驗的理解，并增強學員對數據包在網絡傳輸要進行保護的安全意識。

整次實驗包括如何利用嗅探器sniffer對報文進行捕獲、解碼和編寫報文的內容。其中報文捕獲和解碼是基本學習內容，而編寫報文為提高內容。

報文捕獲的實驗內容如下：

利用sniffer工具捕獲指定目標機發出的所有數據包。

利用sniffer分析捕獲的報文。讓學員兩人一組：一人在目標機上登錄某網站并輸入用戶名和密碼；一人捕獲其發出的數據包并分析出用戶名和密碼。

報文解碼的實驗內容包括熟悉各種協議報文結構并對捕獲的IP報文主要是報文頭部的各種信息進行分析。

編寫報文的實驗內容是利用sniffer提供的報文編輯功能，自行編寫一個IP報文并發送到合作伙伴的目標機上，并由合作伙伴捕獲進行分析。

3.4防火墻iptables的啟用與配置的實驗內容

使用防火墻是防范攻擊者攻擊的一種最常用的安全技術。此實驗的目的是通過啟動配置linux系統下的防火墻iptables，理解防火墻的工作原理，并能根據定義的安全策略配置相應的安全規則。

此次實驗需要兩臺機器，可驗證的實驗步驟如下：

(1) 一臺機器啟動防火墻iptables，充當服務器。

(2) 服務器清空防火墻的過濾規則表。

(3) 另一臺機器充當客戶機，使用掃描器nmap對服務器進行掃描，發現其開放的服務，并使用其提供的服務。

(4) 服務器配置報文過濾表使得客戶機不能訪問服務器提供的任何服務。

(5) 客戶機再次訪問服務器，已不能使用其提供的服務。

3.5VPN服務器配置與連接的實驗內容

VPN技術是在因特網上構建的虛擬專用網絡。它通過一套復雜的協議來保證數據包在網絡上進行安全的傳輸。此實驗的目的就是通過對學習VPN服務器的配置和連接建立來加深學員對VPN概念的理解。

實驗內容選擇學習VPN中最常用的一種訪問連接方式——遠程訪問連接方式。通過虛擬專用網的遠程訪問方式，VPN客戶端可以通過IP網絡(例如因特網)與充當VPN服務器的遠程訪問服務器建立虛擬點對點連接。這種方式最適用于公司內部經常有流動人員遠程辦公的情況。

可驗證的實驗步驟包括：

(1) 配置和啟動Windows 2000 Server下的VPN服務器。

(2) 授予用戶通過VPN連接服務器的權限。

(3) 授權用戶與VPN服務器建立VPN連接。

4教學效果

信息安全導論實驗課程的每次實驗都需要提交實驗報告來考察實驗教學的效果。從提交的實驗報告來看，所有學員都在既定時間內完成了實驗規定的基本內容，而部分學員在課外時間完成了提高部分的內容。信息安全導論課程的總評分中筆試占70%，實驗成績占30%。整個課程的成績在良好以上的學員占30%，中以上的學員占80%，達到預期目標。

課程學習結束后，我們對學員進行了調查，學員普遍反映通過實驗課的學習加深了對信息安全技術的理解，同時提高了自身的安全意識。

參考文獻

[1] 威特曼著，齊立博譯. 信息安全原理(第二版)[M]. 北京:清華大學出版社，2006.

[2] 段云所，魏仕民，唐禮勇，陳鐘. 信息安全概論[M]. 北京:高等教育出版社，2003.

[3] 王景中，徐小青. 計算機通信信息安全技術[M]. 北京:清華大學出版社，2006.

Study and Practice on Information Security Introduction

ZHENG Qian-bingYAO Dan-linZHAO Wen-tao

(National University of Defense Technology， School of Computer， Hunan Changsha， 410073)

Abstract: This paper puts forwards a staged and validated experiment teaching method which organizes many independent experiments logically according to their difficulty and content. With this method， students get expectant experiment effect in the limited time.

Keywords: Information security introduction; staged experiment teaching; validated experiment