專業網絡安全防護模擬訓練系統方案研究

摘 要：專業網絡安全防護模擬訓練系統是采用軟硬件系統結合使用的方法，用網絡安全防護模擬設備代替實裝，實現與實裝基本一致的操作使用效果；用管理控制軟件系統實現演示教學、操作訓練管理等功能。本文從模擬訓練系統的研制內容、基本設計思路和總體方案設計三個方面，闡述了專業網絡安全防護模擬訓練系統研制設計方案，為下一步項目研制打下理論基礎。

關鍵詞：模擬訓練系統；研究內容；基本思路；方案設計

由于系統安全防護性高、傳輸速度快等特點，專業網絡在任職崗位已經廣泛使用，并為信息傳輸和綜合運用提供信道。安全防護子系統是專業網絡的重要組成部分，為網絡的安全性能提供了重要的技術手段和安全防護支撐。網絡的安全維護是崗位任職技能的一個重要內容，目前專業教學尚無安防系統軟、硬件設備，無法滿足該項內容演示教學與實踐訓練需要。因此，考慮通過計算機軟件設計與單片機硬件編程相結合的方式，研制專業網絡安全防護模擬訓練系統，解決專業教學訓練中的實際問題，提高教學訓練質量和效益。

1 專業網絡安全防護模擬訓練系統研制內容

（一）搭建專業網絡三級節點架構

專業網絡包括三級節點網絡拓撲結構，在每級節點路由器之間加裝保密設備，在每級節點網絡內部，部署相應的安全防護分系統。網絡安全防護模擬訓練系統在實現過程中，首先需要按照專業網絡設備型號要求，自購路由器、交換機和計算機等設備構成三級網絡環境。

（二）研制安全防護模擬訓練系統

在專業網絡三級節點網絡環境基礎上，自主研發防火墻、入侵檢測、漏洞掃描、安全認證、密碼保護等模擬分系統，實現設備硬件外觀、操作步驟和軟件流程控制模擬。系統核心是管理主機，研制訓練管理軟件在管理主機上運行，負責對模擬訓練系統的各部分工作進行監控和協調，通過自主研發方式實現。

（三）形成安全防護模擬訓練系統應用方案

本模擬訓練系統包括硬件訓練設備和訓練管理軟件兩部分，在操作訓練環節，通過搭建近似崗位任職實際的網絡安防系統環境，學生可以自己動手對安防設備進行線纜連接與操作使用，體會各種設備在網絡中的安全防護功能，從而進一步理解專業網絡的組成架構和信號流程，提高崗位任職技能。

教師使用安全防護模擬訓練系統可進行新內容的演示講授、示范操作，通過投影使學生清楚明白地觀察設備外形、按鍵位置、顯示屏內容以及教師對訓練設備的具體操作，改善了由于實裝體型較小，學生不易觀察的問題，大大提高教學效果。

此外，模擬訓練系統可以對學生的操作訓練數據進行采集、評判、分析，通過點看與回放操作，幫助教師查找學生操作的錯誤原因，分析學生學習的薄弱環節，提出改進意見，達到更好的訓練效果。

2 專業網絡安全防護模擬訓練系統設計思路

網絡安全防護模擬訓練系統在實現時，在各節點網絡內部網絡計算機終端上安裝代理軟件（Agent），通過代理軟件收集網內各計算機的各種操作行為，并將行為所表示的信號傳輸給管理主機，在管理主機內對此操作行為進行分析，以判斷該行為是否與各安防分系統的規則策略匹配，最后由管理主機向各終端計算機發出命令以控制各終端計算機的操作行為，比如關閉端口、斷開連接等。

3 網絡安全防護模擬訓練系統設計方案

（一）代理程序設計與實現

由于防火墻、入侵檢測、漏洞掃描三個模擬訓練分系統，在實現過程中都需要對各節點訪問網絡的行為進行實時監測，并根據檢測結果進行進一步的控制。因此，需要分別編寫對應的代理程序，安裝在網絡終端上，與服務器配合完成安全防護功能。

實現方法：

通過windows系統下的MFC程序設計編寫代理（Agent）程序，實現對各終端計算機發送和接收數據包的檢測，從而分析得到計算機是否有違規發送或接收數據的行為。根據用戶的相關網絡安全設置對相應的端口進行關閉或打開處理，以模擬出實裝網絡防火墻、入侵檢測和漏洞掃描系統等指控安防系統的基本功能。

（二）網絡環境下自定義網絡通信設計與實現

由于本項目中的安防系統結合專網三級網絡結構搭建起一個虛擬網絡環境，各節點之間的線路通斷常常依靠主控機程序判斷實現，因此，需要設計一個專用的協議來實現主控程序軟件與模擬設備之間的協同通信。

實現方法：

1. 構建通信協議采用四層參考模型

通信協議的四層參考模型最底層的物理層通過以太網通信實現，采用標準的局域網IEEE802.3協議；為滿足系統數據通信和軟件響應的實時性，傳輸層考慮采用UDP協議實現；在UDP協議之上使用自研專用數據交互通信GCP協議，實現對各種信息的傳輸。

2. 設計專用通信線程

設計系統專用通信線程，主要負責采集各個代理程序傳送過來的數據，接受并對其進行分析、判斷、顯示。

3. 研制專用數據交互通信GCP協議

為了方便軟硬件系統之間信息含義的解析，在TCP端口基礎上規劃設計專用的數據交互通信協議GCP（General Communication Protocol）協議，通過定義協議的語義、語法和時序來簡化數據交互的復雜性。

專用通信協議GCP協議包格式如下圖所示，主要包括top、length、keynum三個主要字段。

top字段為包類型字段，長度為4bit，top=0000代表按鍵數據包，top=0001代表同步數據包，top=0010代表時間數據包，top=0011代表初始化數據包，其他值備用。

length字段為數據包長度字段，長度為12bit，代表除去數據包頭字段之外的數據包長度，以bit為單位。

keynum字段為內容字段，代表數據包的具體內容。

（三）AVR單片機控制系統設計

系統中模擬訓練設備的操作、顯示以及與管理主機的數據交互的控制均由AVR單片機系統實現，硬件部分控制核心芯片采用AVR128系列單片機。單片機控制模塊置于模擬設備機箱內，通過AVR單片機系統編程對模擬設備的操作進行模擬響應控制，完成對實裝基本功能的模擬，實現與實裝操作感觀基本一致的操作效果，滿足模擬設備單機教學、訓練需求；研制數據、話音模擬信道通模塊，在AVR單片機系統的控制下單片機以太網接口電路、鍵盤按鍵電路和顯示輸出電路等，實現模擬設備功能響應與語音通道通斷控制，模擬實裝實現話音、數據信號的傳輸。

作者簡介

張鵬（1974-）女，漢，山東省青州市人，第二炮兵工程大學士官學院，副教授（現有職稱），研究生學歷，網絡管理方向。