網(wǎng)絡(luò)安全實驗室建設(shè)的探討

摘要:網(wǎng)絡(luò)安全是當(dāng)前高校實驗室教學(xué)重要課程之一，也是高校培養(yǎng)合格的信息安全人才的重要科目。該文結(jié)合高校的教學(xué)情況，對建設(shè)信息安全教學(xué)實驗室的問題進行了探索，提出了一個有助于高校信息安全教學(xué)實驗室建設(shè)的方案。

關(guān)鍵詞:網(wǎng)絡(luò)安全;實驗室建設(shè);信息安全

中圖分類號:TP393文獻標(biāo)識碼:A文章編號:1009-3044(2009)26-7570-02

Network Safety Laboratory Construction of Study

LIU Qing-jie1， GAO Huan-zhi2， WANG Xiao-ying1， BAI Ling1

(1.Institute of Disaster Prevention Science and Technology， Beijing 065201， China; 2.General Research Institute for Nonferrous Metals， Beijing 100088， China)

Abstract: The network safety is current Gao Xiao4 laboratory teaching importance one of the courses， is also Gao Xiao4 development qualified information safety talented person of importance category.This text combine Gao Xiao4's teaching circumstance， carried on investigate to the problem of the safety teaching of the construction information laboratory and put forward a contribute to Gao Xiao4 an information safety teaching laboratory construction of project.

Key words: Network safety; laboratory construction; information safety

隨著計算機網(wǎng)絡(luò)技術(shù)的普及，電子政務(wù)和電子商務(wù)得到越來越廣泛的應(yīng)用。這樣，網(wǎng)絡(luò)安全的問題隨之產(chǎn)生，病毒感染與“黑客”攻擊成為計算機網(wǎng)絡(luò)安全的重要課題。加強計算機網(wǎng)絡(luò)建設(shè)成為電子商務(wù)增值業(yè)務(wù)的關(guān)鍵。為適應(yīng)這一形勢，2000 年教育部批準(zhǔn)在高校中建立信息安全本科專業(yè)，培養(yǎng)社會急需的信息安全專門人才。而目前大多數(shù)高校的信息安全課程偏重于理論教學(xué)，而相應(yīng)的實驗教學(xué)環(huán)節(jié)滯后。所以建設(shè)一個滿足信息安全專業(yè)教學(xué)要求的綜合實驗室是高校信息安全專業(yè)建設(shè)和培養(yǎng)合格的信息安全人才具有重要的意義。

1 網(wǎng)絡(luò)安全實驗室建設(shè)的背景

盡管近幾年來，國家和各企事業(yè)單位對信息安全的問題越來越重視，并且投入大量的人力和財力來加強網(wǎng)絡(luò)的安全，但我國的計算機網(wǎng)絡(luò)安全的形勢還是相當(dāng)嚴(yán)峻。2001年1-6月份，我國互聯(lián)網(wǎng)上多次爆發(fā)大范圍蠕蟲傳播事件，影響最大的微軟視窗LSASSL漏洞的“震蕩波”系列蠕蟲，感染用戶數(shù)量達到數(shù)以百萬計。此外木馬程序帶來的危害愈加嚴(yán)重，據(jù)抽樣監(jiān)測統(tǒng)計，我國有大量計算機中被放置木馬程序，所開放的后門一旦被人惡意利用后果將十分嚴(yán)重。

根據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT /CC )的權(quán)威統(tǒng)計結(jié)果，2005 年，CNCERT / CC 及其各省分中心共接受來自國內(nèi)外的網(wǎng)絡(luò)安全事件報告總計達到12 萬件，與2004 年相比，數(shù)量增加一倍以上。同時，與2003 年相比，2004年和2005 年安全事件報告的數(shù)量的增長更加明顯。

企業(yè)商業(yè)業(yè)內(nèi)部網(wǎng)絡(luò)的安全問題是企業(yè)信息化首先需要解決的一個關(guān)鍵的問題。每個企業(yè)商業(yè)都需要專門的信息安全人員來制訂合適的安全策略，并用各種安全技術(shù)來實施安全策略，保證內(nèi)部網(wǎng)絡(luò)的安全和各種網(wǎng)絡(luò)服務(wù)的可靠提供。信息化建設(shè)需要大量的信息安全人員來保駕護航，為企業(yè)商業(yè)信息化建設(shè)培養(yǎng)網(wǎng)絡(luò)安全基本理論和技術(shù)技能的專門人才迫在眉睫。

高校作為我國培養(yǎng)專門技術(shù)人才的最重要機構(gòu)，原有的網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)安全方面的實驗教學(xué)已經(jīng)跟不上新設(shè)立的信息安全專業(yè)的建設(shè)和發(fā)展的要求。新的形勢要求高等院校建專業(yè)教學(xué)要求的綜合實驗室，要在網(wǎng)絡(luò)安全實驗室的硬件上進行改造，還要實驗教學(xué)上做出更大的調(diào)整，設(shè)計出一批更適合學(xué)生教學(xué)要求的實驗項目。

2 網(wǎng)絡(luò)安全實驗室建設(shè)的要求

網(wǎng)絡(luò)安全涉及到國際和國家信息安全標(biāo)準(zhǔn)、密碼學(xué)理論、各種信息安全基本理論和技術(shù)等等，涵蓋的范圍非常廣泛。不同層次的學(xué)生和不同專業(yè)方向的學(xué)生，對其掌握信息安全理論與技術(shù)的要求不同。網(wǎng)絡(luò)方向的本科生應(yīng)該掌握較為完整的網(wǎng)絡(luò)安全的理論和技術(shù)，具備基本的網(wǎng)絡(luò)安全管理的實際技能。網(wǎng)絡(luò)安全實驗室也應(yīng)該能夠滿足研究生在網(wǎng)絡(luò)安全方向的實驗教學(xué)的需求。

網(wǎng)絡(luò)信息技術(shù)日新月異，相關(guān)領(lǐng)域的理論和技術(shù)發(fā)展很快。實驗室提供的信息安全實驗平臺應(yīng)該能夠及時升級、更新，以適應(yīng)技術(shù)的發(fā)展。在建設(shè)信息安全實驗室時，要遵循良好的可擴充性原則。實驗室的設(shè)備能夠方便的通過軟硬件升級的方式，保證實驗室跟上信息安全技術(shù)發(fā)展的趨勢。

網(wǎng)絡(luò)安全技術(shù)是基于網(wǎng)絡(luò)通訊協(xié)議構(gòu)建的。目前基于IFv4 的仲網(wǎng)絡(luò)正在向下一代的網(wǎng)絡(luò)層協(xié)議工Pv6 轉(zhuǎn)變和過渡。除了提供幾乎無窮的工Pv6 地址之外，工Pv6 的安全性也得到了極大的改善。因此在設(shè)備的采購和實驗室建設(shè)的過程中，應(yīng)該充分考慮到對未來工Pv6 協(xié)議的兼容性。信息安全實驗室除了提供本科生信息安全相關(guān)課程教育的實驗環(huán)境以外，還應(yīng)該結(jié)合學(xué)生將來就業(yè)的需求，在設(shè)備的采購過程中既考慮到技術(shù)上的先進性，又考慮到設(shè)備的實用性。

3 建立網(wǎng)絡(luò)安全實驗實驗的探討

根據(jù)網(wǎng)絡(luò)安全實驗室的設(shè)計原則，實驗室分成十個小組，每個小組可以容納4 —6 人做實驗。每個實驗小組組成一個子網(wǎng)，各實驗小組子網(wǎng)間通過一臺三層交換機分割。實驗室還有一個由各種基本的網(wǎng)絡(luò)服務(wù)器組成的專門為各子網(wǎng)提供服務(wù)的服務(wù)器子網(wǎng)，該子網(wǎng)也通過三層交換機與其他實驗小組子網(wǎng)相連。各實驗小組可以獲得服務(wù)器子網(wǎng)的服務(wù)，也可以模擬訪問、攻擊服務(wù)器子網(wǎng)。

實驗小組子網(wǎng)主要由一臺高性能PC 機和4 —6 臺學(xué)生用PC 機組成。高性能PC 機的Windows 操作系統(tǒng)上安裝由北京艾克斯特工業(yè)自動化技術(shù)有限公司開發(fā)的的商用防火墻軟件“清網(wǎng)”防火墻軟件。該防火墻軟件具有強大的數(shù)據(jù)包過濾、VPN ( Virtual Private Network )、NAT ( Network Address Trallsitioll )入侵檢測、安全審計等功能。高性能PC 機的Linux 操作系統(tǒng)上安裝各種基于Linux 的網(wǎng)絡(luò)安全工具。源碼公開的Limix 操作系統(tǒng)具有很強的網(wǎng)絡(luò)互聯(lián)功能，同時Limix 操作系統(tǒng)還提供許多使用性很強的網(wǎng)絡(luò)安全工具，如lptables FreeS / WAN 虛擬專用網(wǎng)(vPN )軟件、ClamAN 病毒掃描引擎等。基于這些網(wǎng)絡(luò)安全工具的實驗項目和安全工具源代碼的分析對學(xué)生掌握網(wǎng)絡(luò)安全的基本理論和基本技能具有較大的促進作用。

首先基本實驗?zāi)軌驖M足計算機本科生網(wǎng)絡(luò)安全實驗教學(xué)的要求。通過基本實驗，學(xué)生能夠掌握保障網(wǎng)絡(luò)安全的一些基本技術(shù)的使用方法，其中最主要的是防火墻數(shù)據(jù)包過濾功能和NAT 功能的配置。具體掌握L inux 操作系統(tǒng)下防火墻和NAT 功能的配置，W indows 操作系統(tǒng)下“清網(wǎng)”防火墻數(shù)據(jù)包過濾和NAT 功能的配置。

防火墻基本實驗:每個小組可以通過配置自己網(wǎng)絡(luò)中安裝的“清網(wǎng)”防火墻和Limix 防火墻來訪問、攻擊服務(wù)器網(wǎng)絡(luò)中的網(wǎng)絡(luò)應(yīng)用服務(wù)器。通過配置防火墻過濾規(guī)則和攻擊用PC 機上的各種攻擊工具，理解防火墻在網(wǎng)絡(luò)中的地位、作用和工作機理、熟悉防火墻的各種配置手段。網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT )基本實驗:每個小組可以通過配置自己網(wǎng)絡(luò)中安裝了“清網(wǎng)”模塊和Linux NAT 模塊的PC 機，理解NAT 的工作機理、熟悉NAT 的各種配置手段。

其次在掌握以上基本實驗的基礎(chǔ)上，對網(wǎng)絡(luò)方向的本科生還要求其掌握高級的信息安全技術(shù)及其相應(yīng)的實驗。這些技術(shù)包括v 洲技術(shù)及其配置、數(shù)字證書發(fā)放的實驗、通過數(shù)字證書進行身份認證的實驗、入侵檢測實驗、安全審計實驗、病毒防治實驗、網(wǎng)絡(luò)掃描實驗等等。

數(shù)字證書發(fā)實驗:通過服務(wù)器網(wǎng)絡(luò)中的以證書服務(wù)器，為各個實驗小組中的成員在線或離線發(fā)放數(shù)字證書。讓學(xué)生掌握公鑰密碼體制中公鑰和私鑰生成、公鑰的安全傳送、私鑰的存放、數(shù)字證書的申請和存放等技術(shù)，加深對基于FKI 的數(shù)字證書技術(shù)整體框架的理解。基于數(shù)字證書的身份認證實驗:各小組的成員以發(fā)放的數(shù)字證書為憑證，訪問服務(wù)器網(wǎng)絡(luò)中的網(wǎng)絡(luò)服務(wù)。服務(wù)器在提供網(wǎng)絡(luò)服務(wù)之前，要先通過小組成員的數(shù)字證書進行身份認證，只有合法的用戶才能獲得相關(guān)的服務(wù)。入侵檢測實驗:利用各小組網(wǎng)絡(luò)中作為防火墻的PC 機上安裝的“清網(wǎng)”防火墻軟件的入侵檢測模塊和Limix 操作系統(tǒng)下的Snort 的入侵檢測工具進行入侵檢測方面的實驗。通過實驗，加深對入侵檢測技術(shù)的理解和實際入侵檢測軟件的使用。安全審計實驗:利用各小組網(wǎng)絡(luò)中作為防火墻的PC 機上安裝的“清網(wǎng)”防火墻軟件的安全審計模塊進行安全審計方面的實驗。通過實驗，加深對安全審計技術(shù)的理解和具體安全審計軟件的使用。虛擬專網(wǎng)(VPN )實驗:兩個小組利用圖3 所示的實驗環(huán)境，通過配置各小組網(wǎng)絡(luò)中作為防火墻的PC 機上安裝的“清網(wǎng)”防火墻軟件的V洲模塊或Linux 下的FreeS / WAN VPN 模塊，進行兩個網(wǎng)絡(luò)間通過v 洲技術(shù)進行安全連接的實驗。通過實驗，加深對基于IPsec 協(xié)議的V洲技術(shù)的理解和具體軟件的使用。

再次實驗室也能給高年級學(xué)生及研究生進行網(wǎng)絡(luò)安全方面的創(chuàng)新實驗提供相應(yīng)的環(huán)境，如進行Linux 網(wǎng)絡(luò)源代碼分析、Linux 防火墻設(shè)計與實現(xiàn)、敏感信息過濾系統(tǒng)設(shè)計、IPSeC 協(xié)議的設(shè)計與實現(xiàn)、病毒掃描引擎設(shè)計與實現(xiàn)、工Pv6 環(huán)境下的網(wǎng)絡(luò)安全問題的研究等。因為實驗室所有的PC 機上都安裝Linux 操作系統(tǒng)，Linux 操作系統(tǒng)平臺上有很多基于開放源碼的與信息安全相關(guān)的軟件。學(xué)生可以改進這些軟件，根據(jù)研究結(jié)果增加相應(yīng)的功能模塊，這些改進的軟件可以在本實驗室平臺的PC 機上安裝，驗證軟件功能改進的效果等。從而為學(xué)生的創(chuàng)新實驗提供很好的平臺。

隨著計算機網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)應(yīng)用中面臨著截獲、中斷、篡改和偽造等威脅，漏洞攻擊、黑客大戰(zhàn)、拒絕服務(wù)、網(wǎng)絡(luò)釣魚、間諜軟件等都讓網(wǎng)絡(luò)安全威脅變得無處不在。安全威脅的日益嚴(yán)重決定著用戶的需求，高等學(xué)校培養(yǎng)網(wǎng)絡(luò)安全方面的專業(yè)技術(shù)人才已迫在眉捷。網(wǎng)絡(luò)安全是一門實踐性很強的學(xué)科，建設(shè)一個滿足信息安全專業(yè)教學(xué)要求的實驗室是培養(yǎng)合格的信息安全人才的關(guān)鍵之一。本文論述了網(wǎng)絡(luò)安全實驗室建設(shè)的必要性，提出了建設(shè)過程中應(yīng)遵循的基本原則，討論了建設(shè)網(wǎng)絡(luò)安全實驗室的具體方案，并給出了網(wǎng)絡(luò)安全實驗項目的參考方案，這些對高校網(wǎng)絡(luò)安全教學(xué)實驗室的建設(shè)具有較大的參考價值。

參考文獻:

[1] 魏立偉，姚躍華，弼成.信息類專業(yè)實驗室建設(shè)的思路與實踐[J].中國科技信息，2005(1).

[2] 黃海軍.基于三層交換網(wǎng)絡(luò)實驗室規(guī)劃與組建[J].江蘇技術(shù)師范學(xué)院學(xué)報，2002(12).

[3] 潘自強，焦中明.高校網(wǎng)絡(luò)實驗室建設(shè)研究[J].計算機與現(xiàn)代化，2003(11).