中職網絡安全仿真課程資源的建設與應用

劉 龍,李鳴華

(哈爾濱市第二職業中學校，哈爾濱 150001)

0 引言

無論是從當今時代的發展來看，還是從計算機網絡技術專業教學的重要性來講，網絡安全都已成為核心關鍵技術。2019年，教育部啟動“1+X”證書制度試點工作，其中職業技能等級證書由行業、企業主導考核標準，例如：在網絡安全運維職業等級證書(初級)的考核內容中要求從業者掌握“從事網絡安全策略部署、操作系統安全管理與維護、系統安全和網絡安全測試等崗位技能要求；能根據網絡和系統安全需求，完成常見操作系統的安全管理與維護、網絡安全策略的部署、常見操作系統和網絡安全的滲透測試等作業。”[1]中級證書和高級證書的考核項目中增加了Web安全防護、網絡安全項目集成和網絡安全方案咨詢、風險評估等內容。計算機和網絡相關專業的學生如果要考取網絡安全運維職業等級認證，必須熟練掌握網絡安全技術相關實操技能，這對網絡安全教學提出了更高要求。

建設和應用仿真課程資源需要界定模擬、仿真、虛擬現實等概念。模擬(simulation)，通常指用由具象到抽象的方法為某種理論或系統建立趨近于真實情況的模型，很多時候會采用數字建模的方法，以計算機程序實現，是面向“試驗”的。仿真(emulation)是在模擬的基礎上進行實驗的全過程，是面向“實驗”的，有些人也會將仿真理解為“模擬”的硬件實現。還有一種說法是模擬的過程是假的，結果是真的，仿真的過程是真的，結果也是真的。很多時候，只要結果趨近真實，人們并不在意稱其為模擬還是仿真。虛擬現實(virtual reality)是仿真技術的延伸，是它與計算機圖形學和人機接口、多媒體、傳感及網絡技術等多種技術的集合，是一門富有挑戰性的交叉技術前沿學科和研究領域。[2]在此基礎上又發展出了AR(增強現實)、MR(混合現實)等概念。具體涉及計算機三維設計、可視化設計、物聯網技術等眾多主流技術，是對現實世界的再現，是面向“體驗”的。總體來說，模擬是針對主觀想法的，仿真是針對客觀存在的，虛擬現實是針對感觀世界的。

在網絡安全課程實訓過程中，采用虛擬化和云計算技術，可以將網絡安全所涉及的滲透、攻防、加固等全過程在計算機上進行再現，這一過程不涉及數字建模和多媒體感觀交互，所以用網絡安全課程教學仿真資源對它進行定義。網絡安全虛擬仿真實驗對比實體實驗，最大的區別在于用虛擬的手段模擬了成本昂貴的實體實驗器材和實驗場地，節省了資金，同時帶來了教學的靈活性，避免破壞性。[3]

1 網絡安全仿真教學資源的建設依據

1.1 實訓項目內容的選擇

1.1.1 源于生產生活實踐

職業教育是面向就業的教育，網絡安全實訓案例必須貼近實際生產生活環境。項目實例通常來自兩個方面：一是日常計算機網絡應用當中經常會遇到的網絡安全問題；二是典型的網絡安全事件所暴露出的技術問題。對這些網絡安全的實例還需要經過適用性梳理，包括場景分類、技術分類、教材匹配等。

1.1.2 契合職業認證標準

2019年國家實施“1+X”證書制度，這就要求網絡安全課程教學內容要與網絡安全相關的“1+X”技能證書所要求的技能標準相匹配，這樣更方便學生選擇相關職業認證。截至2021年1月，可以從“1+X”證書管理服務平臺[1]上檢索到的與網絡安全有關的職業證書共有8個(如表1所示)，每個證書對應的考核標準側重點均有不同，教學當中的實訓項目可根據不同考核標準進行調整。

表1 網絡安全相關“1+X”技能證書信息

1.1.3 符合專業教材要求

實訓項目仿真資源所涵蓋的知識技術點要符合課程教材的要求，教材是課程標準的具體呈現，日常課堂教學必定要以教材為依據，實訓項目不能脫離教材的知識范疇。由于網絡技術發展迅速，網絡安全所涉及的技術技能要求也在迭代更新，這需要教學內容也要隨之不斷更新，但教學內容的更新一定要按照課程標準—教材內容—教學資源的順序，避免造成教學內容規范自相矛盾的情況。

1.2 技術平臺選擇

1.2.1 虛擬化技術對比

計算機虛擬化技術發展至今，各廠商的虛擬化產品在架構實用性、穩定性和兼用性上已經十分接近，不同點主要表現在授權、應用場景和用戶群體上。目前，比較主流的虛擬化架構有VmwareESX、Hyper-V、Xen、KVM。這其中VmwareESX和Hyper-V分別是VMware和微軟的商業化產品，服務器版本價格昂貴，提供了桌面免費版本給用戶使用。Xen和KVM是開源項目，對使用者技術要求較高。

1.2.2 虛擬化技術選擇

在采用虛擬化技術進行仿真實訓過程中，如果不追求實訓操作外觀，或者學生技術基礎較好的話，可以采用Vmware Workstation或Hyper-V虛擬化軟件的桌面版本來實施，以降低仿真資源的開發成本。如果想要建設云架構的網絡安全仿真實訓平臺，首選還是Xen或KVM這樣的開源項目，尤其是KVM，它是默認集成在大部分Linux發行版本中的，配合Openstack等開源開發框架可極大地降低建設成本。在虛擬仿真網絡環境中，開展網絡安全攻防實驗和大型網絡綜合設計類實驗，不會出現病毒泄露等網絡安全隱患。[4]

1.3 建設方式選擇

1.3.1 自主開發

從信息技術類專業教師本身來講，能夠自主開發仿真教學資源是最佳解決方案，開發的過程也是提升信息技術專業水平的過程。現實情況是雖然信息技術類課程教學內容與仿真資源開發所涉及技術有復合之處，但還是有本質區別的，教師可以選擇界面友好且功能完備的虛擬化工具來完成資源開發工作。一般情況下，大多數專業教師如果能夠采用Vmware或Hyper-V桌面虛擬機系統完成仿真項目基本上已經可以完成網絡安全課程所涉及的大部分實訓項目。以Vmware Workstation為例，其模板、快照和克隆功能使為快速生成帶有預設網絡安全教學環境的操作系統成為可能。專業教師可以將精力重點放在網絡安全事件場景的模擬上，而不必去關注仿真環境如何去實現，Vmware Workstation可以很好地解決這個問題。如果要進行云平臺的仿真實訓項目開發，涉及云端架構的設計、UI界面的設計、交互程序的設計等，這時就突顯出專業技術團隊的優勢了。

1.3.2 委托開發

如果學校經費充足的話，采用委托方式來開發網絡安全仿真實訓資源是最有利于課程建設的，這樣可以完全按照學校專業教學的需要來開發實訓資源，滿足多方面的各種需求。委托開發是所有開發方式當中成本最高的，其開發質量由需求提出者和開發承擔者共同決定。包括任課教師在內的需求提出者需要對課程實訓的項目技能要求、交互方式、考核方式等給出具體要求，開發承擔者要按照開發要求給出仿真實訓平臺開發方案，并具體實施開發過程，建設適應學校需求的、可持續維護和更新的仿真實訓資源。

1.3.3 直接采購

隨著國家不斷加大對職業院校專業建設的投入，專業教學資源建設的力度也在不斷加強。很多信息技術企業也在開發職業院校所需的仿真實訓資源，并且通常會綜合多所學校的需求開發通用性較強的實訓平臺，有的還按照專業教學的需求劃分不同的模塊，學校按需要選擇相應模塊即可，這種資源平臺通常價格相對比較透明，技術成熟度較高，但其實訓內容通常不可改動，后續的升級和維護成本也不低。

2 網絡安全仿真教學資源的建設過程

2.1 項目預設

2.1.1 生產項目實例的搜集與整理

仿真實訓內容的開發一定要源于實際生產過程。教材中的教學內容要符合教學標準的要求，但實訓項目要根據生產實際情況進行選擇。對于網絡安全課程中所涉及的網絡安全事件，除了從教材、網絡和其他媒體搜集整理之外，網絡安全企業在這方面具有更專業的經驗，接觸到的也是最真實的、與網絡安全行業最貼近的案例。這些案例需要與教學標準、教材進行相關性分類才可以繼續使用。

2.1.2 生產項目和教學項目轉化

中職的實訓教學項目源于生產實踐，但這些生產項目要符合教學規律、遵循教育教學規范的要求，絕不是生搬硬套。如果生產實踐中的項目與教學要求相悖，就要對生產項目所涉及目標、過程、要求等進行調整。例如：網絡安全教學中所涉及的網絡滲透教學，同樣的技術，攻防的角度不同，所體現的教育立場是不一樣的。網絡安全技術課程要特別強調合法、守法、保護自身、不危害他人的價值觀導向，在實訓項目的選擇和調整上要特別注意。

2.1.3 教學項目的設計

網絡安全仿真教學資源項目設計首先要保證與教學需求的一致性，要符合教學計劃安排，教學重點、難點的設定等。其次是仿真教學項目的呈現形式，像自主開發時經常采用的單機模板包的形式，還有定制開發時經常采用的B/S架構虛擬化平臺的形式等。另外，網絡安全所涉及技術本身具有很強的邏輯性特征，對可視化外觀的要求并不是最重要的，但與現實相似的實物形態有助于學生，尤其是初學者對邏輯的理解。

2.2 技術實現

網絡安全仿真實訓主要包括服務器和操作系統、網絡設備、網絡拓撲和網絡安全生產實例的仿真，可以解決開展真實實驗項目破壞性大、搭建實驗環境復雜、實驗成本高等問題。[5]

2.2.1 虛擬計算機操作系統

在網絡安全仿真資源建設過程中，主要的技術基礎是對計算機及操作系統的模擬。目前能夠進行計算機虛擬化的工具的主流是VMware、Hyper-v、Kvm、Xen，大部分網絡安全仿真資源基本上也是采用這幾種技術作為基礎技術平臺進行開發。從應用成本的角度來看，VMwareESXI是付費的虛擬化軟件，Hyper-v是與微軟Windows系統集成的，與Windows系統的授權相關聯，Kvm和Xen是開源免費的。從性能上來看，hyper-v、VMware ESXI、Xenserver等可直接運行在宿主機硬件上，而VMware Workstation、Kvm等是安裝在操作系統上，通過操作系統來控制硬件的。此外，Hyper-v是微軟的產品，虛擬Windows系統有先天優勢；Kvm是集成在Linux操作系統中的，更方便調用。

2.2.2 虛擬計算機網絡

各種虛擬化軟件在虛擬網絡的時候，雖然在配置上稍有不同，但基本邏輯都是一樣的。以VMware Workstation為例，其虛擬網絡分為三種類型，即橋接模式、地址轉換模式、僅主機模式(如圖1所示)。在仿真項目設計過程中，要按照教學項目來選擇適應的網絡類型，保證網絡鏈路與現實情況一致。

圖1 VMware Workstation虛擬網絡拓撲圖

2.2.3 虛擬機系統與網絡設備仿真軟件的互聯

VMware、Hyper-v、Kvm等虛擬化軟件主要用于對Windows、Linux等操作系統的虛擬化再現，可用于網絡安全課程當中與服務器、客戶端計算機相關的網絡安全仿真實驗。但這些虛擬化軟件對網絡的虛擬化僅限于網絡聯通，不涉及具體網絡設備的模擬，如果要將網絡安全課程內容拓展到網絡設備的安全配置上，可采用網絡設備廠商推出的設備仿真模擬軟件，如華為公司eNSP網絡設備仿真模擬器。目前，在個人計算機上用VMware Workstation搭配GNS3來模擬思科網絡環境，或者用VMware Workstation搭配eNSP來模擬華為網絡環境是比較常見的方法。這種混搭方案基本可以模擬出現實生產生活中所能遇到的大部分網絡環境，當然它對計算機的性能要求也很高，畢竟要在一臺計算機上模擬出服務器、終端電腦、交換機、路由器、防火墻等眾多系統。需要注意的是，初學網絡設備配置的時候，大部分人會使用思科公司的Packet Tracer模擬器，它簡單易用，系統資源占用率低，非常適合初學者，但如果與VMware Workstation進行混搭，就不建議使用它，因為Packer Tracer的模擬過程與結果都是程序做出來的，而GNS3是在虛擬網絡設備上運行真正的網絡設備操作系統。

2.2.4 仿真實訓平臺的開發

采用虛擬化云端平臺架構來開發的網絡安全課程仿真實訓平臺對于中職教學來說，具有管理維護方便、實訓項目生成可控、可嵌入微課教學內容、實施線上實做考試等諸多優勢。大部分教育資源開發企業都會采用Xen或Kvm這樣的開源項目作為基礎技術平臺來開發網絡安全仿真實訓資源。這種開源平臺既可以降低開發成本，同時在后續拓展上也沒有太多限制。例如：一些網絡安全“1+X”職業技能認證企業就在培訓過程中采用與認證考核技術點相匹配的虛擬化仿真平臺來進行培訓和考核，既提升了學生的學習效率，也為認證考核實踐操作部分提供了解決方案。

2.3 維護與更新

教師自主開發建設的網絡安全課程仿真實訓項目資源一般以單機虛擬化軟件和廠商網絡設備模擬軟件為基礎，主要是實例模板的不斷豐富和歸納整理，所使用軟件基本為免費版本，定期升級即可。定制或采購的網絡安全課程仿真實訓平臺在后續功能升級時通常會產生開發成本，一般在短時間內不會考慮升級，這就要求平臺最好能提供網絡拓撲、虛擬機、教程、視頻等的自定義和修改功能，教師可以通過這些功能不斷豐富平臺的教學資源，延長平臺的使用周期，提高仿真平臺的性價比。

3 網絡安全仿真教學資源的應用

3.1 學科知識儲備

網絡安全課程是中職計算機相關專業課程體系當中的上游學科，必須在具備一定的網絡技術專業學科知識的基礎上才可以學習。這些基礎課程主要包括計算機基礎、服務器操作系統、網絡技術基礎、網絡設備配置技術、程序設計語言、數據庫基礎等。因為不同學校人才培養方案和課程體系設計的不同，各學期的課時安排不一定會完全符合以上要求，但至少桌面操作系統、服務器操作系統和網絡技術基礎3門課程是需要在網絡安全課程之前就進行的。

3.2 桌面操作系統

桌面操作系統是用戶使用計算機的主要界面，首先要熟練掌握桌面操作系統的安裝、配置、應用、備份等應用操作，這是進一步開展其他計算機和網絡工作的基礎；此外，桌面操作系統的網絡安全配置也是計算機網絡安全課程教學的重要內容之一，終端用戶能最直觀感受到的網絡安全危險基本都是通過使用個人電腦感受到的。對桌面操作系統的學習可以通過虛擬機軟件或者仿真實訓平臺進行，這樣不會對真實操作系統產生影響。

3.3 服務器操作系統

中職學生進行網絡安全技術學習，服務器的安全配置是非常重要的部分。日常教學環境中，學生很少有機會去接觸真正用于生產環境的服務器，即使有些學校實訓室配備了用于實驗的物理服務器，對于服務器操作系統的學習來說也沒有在虛擬化仿真平臺上學習效率高。學生要學習的服務器系統主要是Windows Server和Linux，因為Linux在生產環境享有更高的占有率，應該作為主要學習內容。此外，像Kali這樣的網絡安全技術工具也基本上是以Linux為基礎平臺，或者是在Linux系統上運行的。網絡安全仿真實訓資源的重要內容就是對不同服務器或桌面操作系統環境的模擬，尤其是網絡安全漏洞的模擬。

3.4 網絡技術基礎

網絡技術基礎是學習網絡安全課程之前必須要完成的教學內容，是其必備的前置課程。網絡技術基礎涉及電子通訊原理、網絡通信協議、網絡設備、Internet應用技術等內容。這些是學習其他與網絡相關課程的知識基礎。在網絡安全仿真實訓過程中，涉及TCP/IP協議、虛擬局域網VLAN的劃分、網關路由配置等，這些都需要具備扎實網絡基礎知識。

3.5 其他

在網絡安全仿真資源應用過程中，教師必須了解仿真實訓所涉及各模塊的技術與課程教學內容的對應關系，明確教學重點與難點；要針對學生實際來調整各實訓項目實例的內容組成，保證內容難度與學生的技術水平一致；教師既是網絡安全仿真資源的應用者，也是建設者，能根據教學內容和學生實際進行調整的仿真教學資源才是最有用的資源。

4 結語

中職網絡安全課程教學過程中，仿真實訓已經成為必不可少的教學內容組成部分，現實計算機技術和網絡技術的發展水平也為網絡安全仿真實訓資源的開發與應用提供了技術支撐。仿真教學資源的建設要關注開發方式和技術平臺的選擇、教學項目實例的開發與更新；仿真教學資源的應用要關注學生的知識技能基礎。此外，不論采用云平臺架構的網絡安全實訓平臺來實施教學，還是教師自行在計算機桌面上采用虛擬化軟件進行仿真實訓教學，這些方法和措施都能夠促使專業教師有效提高自身的專業技術水平和執教能力，從而提升學生的學習效果和操作技能。教師計算機網絡技術水平以及信息化教學應用能力的提升，最終決定仿真實訓教學資源的應用水平。教師自主建設與應用仿真資源更能提升教師專業水準和教學水平，而定制、開發或采購的仿真實訓平臺可以拿來就用，降低了教學實訓的難度，具體如何選擇取決于學校的實際情況。