在基礎網絡實驗室中開發信息安全專業實驗

　　摘要：信息安全新專業建設中，理論教學要以有效的實踐環節作支撐，確保實驗內容具有科學性、先進性和應用性，還要適當兼顧基礎專業實驗設備的資源共享，節省建設資金。VPN技術作為網絡安全典型技術，學校有必要為學生開設此實驗。文中給出了如何在公共基礎實驗室現有的實驗環境中開設VPN實驗。
　　關鍵詞：網絡實驗室；安全專業實驗；虛擬專用網；資源共享
　　文章編號：1672-5913(2010)08-0129-03
　　中圖分類號：G642
　　文獻標識碼：B
　　
　　隨著經濟全球化和市場的發展，信息需求量日益增長。由于信息在網絡上傳輸可能會導致泄密，信息安全已成為國家安全、社會安全和經濟安全的重要組成部分，信息安全保障能力成為一個國家綜合國力的重要組成部分。社會對信息安全專業人才的需求量達幾十萬人，為解決供需矛盾，加快培養信息安全領域的專業人才已成為當務之急。2001年經教育部批準，武漢大學創建了全國第一個信息安全本科專業。隨后，2003年北京工業大學計算機學院也開始招收信息安全專業(以下簡稱安全專業)本科生。
　　安全專業是計算機、通訊工程、數學專業等領域的交叉學科，安全專業的建設，尤其是實踐教學建設一直是各院校探索并逐步走向完善的艱巨任務。
　　
　　1
　　安全專業應以有效的實踐環節作支撐
　　
　　安全專業是理論性強、比較枯燥、不容易理解但又應用廣泛且實用性非常強的學科。為提高教學質量，應突出實踐教學在安全專業課程中的地位和作用，理論教學要以有效的實踐環節作支撐，以實踐驗證理論，以實踐調動學生學習的積極性和主動性，通過實踐盡快掌握理論知識和專業技能。實驗教學要以實用性強和應用廣泛的經典實例為實驗教學的基礎，加大加強實驗環節在安全專業教學中顯得尤為重要。
　　
　　
　　2　基礎網絡實驗室開設安全專業實驗課
　　
　　安全專業是一個新專業，又是多學科交叉且實踐性很強的學科。每年只招收1～2班，建立專用學科實驗室目前不大可能。如何在現有公共基礎網絡實驗室的基礎上建設有特色、有針對性和先進的安全專業實驗室，是一個值得探討的問題[I-2]。目前我們充分利用網絡技術，綜合網絡實驗室現有的設備環境，在公共基礎網絡實驗室開設VPN(虛擬專用網)安全專業實驗課。
　　
　　2，1VPN典型的應用
　　VPN的典型應用是總公司與異地子公司之間的業務信息加密傳輸。比如：北京總公司為了更好的發展業務，需要在上海等地建立分公司。為了確保機密數據傳輸相對安全，可以采用專線進行業務聯系，但專線的租賃費用非常昂貴。VPN技術的出現使得上述問題迎刃而解，
　　可以使用站到站(site-to-site)模式的VPN技術，在總公司和分公司之間建立IPSEC安全隧道，確保信息在VPN隧道中實現安全通訊。網絡拓撲如圖1所示。
　　實驗使用的設備有Cisco26系列路由器二臺、Cisco2950交換機二臺、PC機不限。在總公司和子公司中各選一PC機，在PC機上通過軟件配置實現VPN網關，其他PC可以配置為服務器和工作站。在Cisco2950交換機劃分VLAN，將內部網與外部可訪問服務器做有效隔離。在Cisco26系列路由器配置單臂路由，實現VLAN間的訪問，這樣就可以實現VPNSite-to-Site模式實驗。這些設備均為網絡實驗室必備設備，因此在不增加任何費用的情況下，可以開設典型安全實驗。
　　實驗要求：(1)實驗采用IPSEC安全協議；(2)通過VPN隧道在Internet上安全、加密連接服務，實現站到站的遠程訪問，保證各分支機構之間數據安全傳輸；(3)同學可以考慮在通道上使用HUB或者交換機的端口映射功能觀察數據是否被加密。
　　
　　2，2開設VPN實驗的理由
　　安全專業實驗教學應該綜合現代科技發展的新知識、新技術和新實驗教學方法，實驗教學改革要具有較強的應用性、先進性、代表性和方向性，實驗內容要充分體現時代特征和現代科學技術，突出鍛煉培養學生的獨立思考和解決問題的能力。
　　VPN技術作為典型的信息安全技術，學校有必要為學生開設此實驗。VPN技術是解決Internet上的數據傳輸安全問題而越來越成為各界公認的熱門技術之～。因為以Internet為代表的網絡迅速發展，使得電子政務、電子商務等信息系統在軍事、政治、金融、商業等對外關系及合作范圍也越來越廣，各部門敏感信息、工作數據和財務記錄可能被截取。VPN最主要的優點是使用跨越公網加密替代傳統的專線，降低了成本，增加了靈活性。應用VPN技術的目的是解決數據傳輸的安全問題，保證網絡內部的關鍵敏感數據能夠借助公共網絡安全地進行數據的交換。
　　
　　2，3VPN技術
　　VPN(虛擬專用網)技術是利用開放的公用網絡(以Internet為基礎)，建立一條臨時的、安全的、私有內部的專用網，通過采用安全隧道技術、加密技術和認證技術，實現具有高度安全性能相似專用的網絡。安全隧道技術是VPN技術的底層支持技術，所謂安全隧道技術在網絡中實質上是一種封裝技術，將一種協議封裝在另一種協議中傳輸，實現協議對公用網的透明性。
　　VPN隧道協議通常是在OSI體系結構的第二層和第三層中實現，如圖2所示。第二層(鏈路層)主要隧道協議有PPTP、L2P、L2TP等，第三層(網絡層)主要隧道協議有IPSec、GRE等。第二層和第三層的本質區別在于：用戶的IP數據包被封裝在不同的數據包中在隧道中傳輸。
　　
　　2，4通過實踐教學讓學生掌握更多先進技術
　　安全專業實驗教學最顯著的特點就是“實踐驗證理論”。實驗教學的目的是運用實驗的方法，驗證并鞏固課堂講述的理論。開設具有先進性、廣泛應用性、實用性強和具有探索性的實驗題目如：ACL訪問控制技術、網絡攻防、病毒分析與對抗、VPN技術、加密解密算法的實現等等。使學生真正體會到“實驗教學是認識世界的一個重要源頭”。這些安全實驗都可以通過整合現有網絡實驗室設備開發出來，充分利用現有資源，實現資源共享。
　　
　　2，5鼓勵學生自動走進實驗室
　　根據實驗室現有環境，學生可以自帶教學以外感興趣實用性、工程性較強的題目，個人或小組來實驗室做實驗。學生自己設計實施方案、畫出實驗拓撲圖、自己連接物理環境，自己解決實驗中遇到的問題，通過實踐鍛煉學生的思考分析問題的能力、應變和創意能力，培養學生自學和解決問題的能力。
　　
　　3　充分利用現有資源提高設備利用率
　　
　　實驗室是高校進行教學、科研的重要基地，其地位和作用隨著實驗手段的現代化和新學科不斷發展越來越被人們高度重視。要堅持以教學為主的原則，確保實驗室建設具有科學性、先進性，適當兼顧基礎教學設備、專業實驗設備的共享。
　　在實驗室管理、實驗室建設、基礎實驗教學和專業實驗教學等方面要有全局意識，各實驗室不要相對獨立，不能追求小而全，這樣容易造成財務資源的浪費，有制約實驗教學的發展和創新，影響實驗教學和學科建設的發展。實驗室建設要有整體長遠規劃(起碼保持5年內科學性、先進性、綜合性、合理性)，要堅持合理配置、資源共享的原則。公共基礎實驗室和學科專業實驗室盡可能建立在學科發展基礎上，以擴大受益范圍，減少開支，避免重復投入。資源共享多學科使用，使實驗設備利用率大大提高。
　　目前此實驗是在本校計算機學院實驗中心的網絡實驗室中開展的，網絡實驗室一直承擔著本校的計算機網絡實驗，開設了路由協議、交換、網絡通信等基礎實驗。根據圖1可以看出，VPN實驗使用的設備有Cisco26系列路由器二臺、Cisco2950交換機二臺、PC機等，現有的網絡實驗室設備完全能支撐VPN安全實驗，開設實驗時只需重新配置一下網絡拓撲即可。因此在上述原則下，應在現有的網絡實驗室中盡可能地挖掘潛力，共享實驗設備資源，開發出新的信息安全實驗。
　　
　　4　結語
　　
　　實驗室是高校進行教學、科研的重要基地，其地位和作用隨著實驗手段的現代化和新學科不斷發展越來越被人們高度重視。理論教學要以有效的實踐環節作支撐，大膽嘗試和摸索信息安全專業實驗教學的設計和方法，確保實驗內容具有科學性、先進性和應用性，還要適當兼顧基礎教學設備、專業實驗設備的共享。
　　隨著經濟全球化信息技術的日益發展，信息安全人才的需求量也與日俱增，安全專業在高校作為一個新專業，搞好學科建設、搞好實驗室建設和實驗教學還有待我們教師共同去努