浅谈信息安全攻防实验室建设
第一章 信息安全技术人才需求分析
1.1 国内信息安全技术人才的需求现状分析
调查显示,从2006到2012年,网络信息安全行业的就业需求将以年均14%的速度递增。到2012年,网络安全行业的就业总人数将由目前的220万上升到310万,即以每年15万的需求量递增。无论是职业前景、受重视程度、提升空间还是薪酬基数、薪酬增长预期等,网络安全职业较IT其它职业都更为优越。调查结果再次说明了网络安全重要性的日益增强,“整个企业领域逐渐认识到网络安全的重要性”。
另外,从目前国内各企事业单位的IT技术人员需求来看,信息安全技术人才十分匮乏。随着计算机的广泛使用,病毒的种类也越来越多,危害越来越大。专业的信息安全技术人才还是国内IT人才架构中的一个空白。随着信息安全受到社会各界越来越多的关注,以及入侵事件和电脑病毒危害的频频发生,从企业内部网络的管理维护到反病毒软件的安装、调试、维护及使用,都需要具备一定安全技能的技术人员来担任。因此,信息安全技术人才必将成为国内I T技术人才需求的一个新热点。
1.2 国内信息安全技术人才的教育现状分析
我国的网络安全学科的人才培养已经拉开了序幕,但是与发达国家相比,我国高校的安全方向培养学生规模、学科建设、实训室建设、实践教学等方面还存在着很大的差距,理论多于实践的现象在各高校已是相当普遍,远远不能满足信息化进程对应用型人才的迫切需求。
由于信息系统本身的脆弱性和不断出现的复杂性,信息安全、网络安全的问题也日趋严重,而在建设信息安全专业的过程中,存在着以下的严重的不足:
专业基础课程覆盖广、难度大
信息安全领域的知识覆盖面广、学习难度大,涉及的核心课程有密码学、PKI原理与技术、网络操作系统、网络攻击与防范、计算机病毒原理与技术等。许多安全技术需要强大的理论支撑,这些理论往往建立在大量抽象、复杂的数学模型及计算机网络基础上,这就要求学生对专业基础课程有着全面、深入地掌握。
实践教学环境搭建困难
作为一门交叉学科,信息安全不仅具有很强的理论性,同时具有非常强的实践性,许多安全技术需要在实践过程中去认识,往往需要专业的、能够提供多种复杂环境的教学平台。该平台要求能够快速搭建,减少实验环境准备时间,要求能够快速恢复,保证实验环境、实验场景可再现,并且该平台一定要易于管理。
实践教学积累相对薄弱
信息安全是一门新兴的学科,与传统的软件工程、网络工程教学相比,高校在信息安全学科建设、教学积累、实验要求上仍处于探索阶段,各个高校之间的培养方式和侧重点都存在差异,尤其是在实践教学环节上,教学经验还有待丰富,科学合理的教学模式有待形成。
获取行业案例有困难
缺少来自行业的项目案例,缺少获取行业案例的渠道。在教学中“如何能够获取到有效的行业案例”、“如何对案例进行教学改造”一直以来都是困扰教师的一个问题,教师需要一个能够持续获取行业案例的渠道。
现有网络安全设备无法有效利用
在一个已经部署防毒软件、防火墙、IDS、VPN等传统信息安全产品的网络环境中,很少有人清晰的知道这些安全产品的作用,以及能够为计算机安全所带来的保障,严重匮乏的教学和培训环境,让很多教师感到无从着手,无力进行计算机安全的培训教育,而且网络安全的培训不是书本知识,必须是靠知识和经验的积累,有经验的高手在这个市场里可以更有作为,对于面临的一下问题也无法解决:
问题一:如何更加有效的教育,培训学生在计算机安全方面的知识匮乏;
问题二:怎样的教学,培训方式才能让学生更加快捷,高效的学习计算机安全方面的知识;
问题三:什么样的教学,培训环境才能让学生更容易,积极的学习计算机安全方面的知识,增强计算机安全意识。
问题四:如何才能让学生在学校的安全课程培训期间就获得丰富的网络安全攻防的经验
该如何解决上述的在信息安全课程教学中所遇到的一个个的问题呢?
我们提出了以下几点:
1. 让学生参与进攻防的实践过程
2. 让学生体验到攻防的实践过程
3. 让学生了解到攻防的实践过程
1.3 信息安全实训室建设的应用需求
1.3.1提供真实的信息安全实验教学环境
社会或企事业单位用人的标准是更需要的是具有动手能力的网络安全技术人才这和学校的人才培养模式、培养目标等方面与存在着差距。现在很多学校更多的是注重理论的教学,现在,很多政府机关、电信及金融行业更需要的是具有动手能力的网络安全技术人才。对于学校来说,学生动手能力的培养,在很大程度上取决于学校的安全实验环境和学生的实践经验。那对于我们信息安全专业或网络安全方向的教学,如何来做到这一点?这就要求提供真实的实验环境。
1.3.2满足不同层次实验的需要
对于很多高等院校来说,建信息安全实训室需要它能满足做不同类别的实验。这就要求在这个实训室内同时完成不同层次人才的培养需要。涵盖协议安全、操作系统、密码机制、PKI/PMI数字证书、安全审计、网络攻击与防御、网络病毒、网络后门与隐身、网络扫描与监听、防火墙与入侵检测、认证和授权、日志与审计、网络安全方案设计、网络管理等等。
1.3.3提供实训室配套的实验教学系统
就是网络与信息安全实训室是建成了,如何能迅速的将这个实训室应用到教学中去,这就要求合作伙伴或厂家在提供解决方案的时候,能一并考虑相关的教学支持系统,即厂家不仅仅是把设备卖给学校,还要解决相关的教材,师资等问题。必不可少的详实丰富的实验内容、系统的实践型实验教材、完善的师资培训三个方面与实训室的硬件配套教学系统。
1.3.4提供完备和成熟的整体解决方案
这就要求目前要在全国各类高等院校得到广泛的应用,在业界是领导的地位。是投入了大量人力物力专注与教育行业,经得起实践考验的,成熟的方案。所提供的实验内容、系统的实践型实验教材、完善的师资培训都经过应用验证的,并真正能提高学校教学效果和学生就业能力的。
各学校投入网络与信息安全实训室建设的经费有限,因此信息安全实训室建设方案具有良好的性能价格比,经济实用,适用范围广,技术符合信息安全教学的特点。通过精心分析信息安全教学实验的课时量,要合理安排网络教学实验和网络培训实验环节,完全能够避免对教学体系的影响。同时可与各学院在校内合作开办的网络安全技术教育中心。满足教学、科研需求,并在此基础上,可进行信息安全技术职业认证培训。
第二章 信息安全实训室建设方案
2.1 信息安全实训室建设原则
2.1.1 信息安全技术人才实训环境的真实性
我国高校应届毕业生的动手能力低是一个普遍现象,这也是众多企业不愿意接收应届毕业生的原因,部分学生的动手能力在一定程度上甚至不如高等院校的学生。高校一直采用“精英教育”模式,在理论教学上成绩突出,但忽视了动手能力的培养。而大部分用人单位需要的是毕业即能融入日常工作的学生,因此我们需要用真实的设备、真实的案例、真实的实验环境来锻炼学生的实际动手能力,以改变一直以来的精英教学模式。
2.1.2 信息安全技术人才技能知识点覆盖的全面性
信息安全实训室的建设要适用于高等院校的多个专业,不同的年级学生学习。因此这就要求信息安全实训室方案具有极强的适用性,适用于不同的情况。实验内容应包括端口隔离技术、动态包检测技术、主机安全技术、信息安全技术、病毒、木马、网络扫描与侦听、流量工程、入侵检测、入侵防御、内网审计、认证计费以及真实项目再现的大型综合实验。
2.1.3 信息安全实训室的可管理性
信息安全实训室会同时为一个或多个班级同时服务,那么就需要一套完整的管理系统来帮助老师担任管理工作。管理实验人员、实验设备,实现实验过程管理与实验结果考核。同时管理系统可为学校提供远程实验与实验预约功能,所有实验人员都能够通过管理系统登录实训室设备进行调试,在实验完毕后,管理系统能够将实验痕迹彻底清除,为实训室的下次使用做好准备。
2.1.4 信息安全实训室方案的完整性
信息安全实训室的建立并非是指实验设备全部上架,然后将实训室环境搭建起来就完工了。因为网络安全实训室后期的使用才是最为关键的,我们建设实训室为的是培养网络安全专业人才,所以如何运用这个实训室培育出高质量的人才才是实训室建设的目标。这就需要厂商在为学校提供网络设备的同时,还要为学校提供完善的实验教材以及专业的师资培训,同时还要为学员提供高含金量的认证证书以提高毕业生的就业竞争力。
2.1.5 实训环境自身安全性
制订统一的安全策略,整体考虑实验平台的安全性。可以通过各业务子网隔离,统一规划,根据不同的业务划分子网。具有保证系统安全,防止系统被人为破坏的能力。
2.2 建设规模
1) 提供可支持信息安全专业全部科目类别的课程体系。
2) 提供可进行校内远程指导的实训室远程网络建设。
2.3 建设目标
符合国家信息安全技术人才培训要求:
提供国家信息安全技术人才培训的课程体系,该体系根据国家信息安全技术人才培训标准进行制定,包含信息安全技术人才教材里的全部实践课程。
信息安全实验环境可控性:
提供信息安全攻防技能基础学习所需的实验环境、工具,且实验环境以不影响物理网络为建设原则,工具以不允许学员拷贝离开实训室为建设原则。
攻防实战环境的真实性:
提供符合现代企业内部网络环境的攻防实验供学生进行攻防演练,作为提高学生综合就业竞争力的实践基础。
实验环境的可恢复性:
提供可对实验环境进行反复使用的基础环境,提供维护量较低的实行方法。
具备评测与科研课题研究的实行性:
能够对学校科研课题成功进行相应的环境压力测试,以及能够实行科研课题的开展及科研课题的进行。
具备活动组织的可行性:
支持持续性实训室运营,如培训基地建设、横向课题及安全竞赛组织等。
综合提供就业竞争力:
培训学生全面的安全技能动手能力,为社会企业输出可即时上岗的合格安全人员。
2.4信息安全攻防教学实训室解决方案
信息安全技术人才实训平台系统主要用于计算机信息安全教育,培训,提供体系化实验课程以及实验环境,为现有的网络信息安全教学,培训提供基本的思路以及课程安排;教师可以通过信息安全教育平台系统,结合各种安全设备进行实验课程的教学;
2.4.1 信息安全实训室框架
信息安全实训室主要以基础设备、应用平台(课件资源池、应用环境仿真系统)、工具平台、防御体系、综合实训室管理平台等六大模块组成,不仅可以提供各种安全演练实验操作,同时为教师提供本地信息安全课题研究。
第三章 信息安全技术人才实验教学内容
3.1 实验内容列表
组建信息安全实验室的工作,可以按照实验室的性质和当前需要分为安全基础防护实验、安全设备配置与使用实验、信息安全基线配置实验、初级渗透测试实验和综合安全实验等几个方面。| 编号 | 实验内容 | 掌握技能 | 掌握程度 | 面向对象 |
| 1 | 操作系统帐户原理 | 帐户密码安全设置 | 符合信息安全技术人才信息安全基础防护工作内容 | 中职、高职、本科 |
| 2 | 操作系统帐户配置技术 | 中职、高职、本科 | ||
| 3 | 针对操作系统帐户常见的攻击方法 | 中职、高职、本科 | ||
| 4 | 操作系统帐户安全策略配置要点 | 中职、高职、本科 | ||
| 5 | 主机防火墙原理 | 主机防火墙安全设置 | 中职、高职、本科 | |
| 6 | 主机防火墙配置技术 | 中职、高职、本科 | ||
| 7 | 个人防火墙使用方法 | 中职、高职、本科 | ||
| 8 | 防病毒软件特点介绍 | 防病毒软件安装配置 | 中职、高职、本科 | |
| 9 | 防病毒软件基本原理 | 中职、高职、本科 | ||
| 10 | 防病毒软件配置技术 | 中职、高职、本科 | ||
| 11 | Windows/Linux操作系统的系统服务和进程工作原理 | 系统服务和进程管理 | 中职、高职、本科 | |
| 12 | Windows/Linux操作系统常见系统服务和进程管理知识 | 中职、高职、本科 | ||
| 13 | Windows/Linux操作系统的系统服务和进程优化方法 | 中职、高职、本科 | ||
| 14 | 操作系统系统服务和进程常见的攻击方法 | 中职、高职、本科 | ||
| 15 | 主机注册表配置基础 | 常用注册表及文件权限安全配置 | 中职、高职、本科 | |
| 16 | 主机文件及目录权限配置技术 | 中职、高职、本科 | ||
| 17 | 浏览器安全配置技术 | 中职、高职、本科 | ||
| 18 | 系统升级及补丁配置知识 | 系统升级及补丁安装配置 | 中职、高职、本科 | |
| 19 | 版本升级及补丁安装注意事项 | 中职、高职、本科 | ||
| 20 | 加解密技术原理 | 加解密基础 | 中职、高职、本科 | |
| 21 | 加解密算法知识 | 中职、高职、本科 | ||
| 22 | 混合加解密体系的使用方法 | 中职、高职、本科 | ||
| 23 | 身份认证技术原理 | 身份认证基础 | 中职、高职、本科 | |
| 24 | 公共密钥与数字证书认证体系PKI/CA基础知识 | 中职、高职、本科 | ||
| 25 | 防火墙技术原理 | 硬件防火墙安装配置 | 符合信息安全技术人才常用安全设备安装和配置工作内容 | 中职、高职、本科 |
| 26 | 硬件防火墙的分类与特点 | 中职、高职、本科 | ||
| 27 | 防火墙配置技术 | 中职、高职、本科 | ||
| 28 | VPN的概念和工作原理 | VPN系统安装配置 | 中职、高职、本科 | |
| 29 | VPN系统的分类与特点 | 中职、高职、本科 | ||
| 30 | VPN配置技术 | 中职、高职、本科 | ||
| 31 | 入侵防范系统(IDS/IPS)原理 | 入侵防范系统(IDS/IPS)安装配置 | 中职、高职、本科 | |
| 32 | 入侵防范系统(IDS/IPS)的分类与特点 | 中职、高职、本科 | ||
| 33 | 入侵防范系统(IDS/IPS)部署知识 | 中职、高职、本科 | ||
| 34 | 入侵防范系统(IDS/IPS)配置技术 | 中职、高职、本科 | ||
| 35 | WEB应用防火墙原理 | WEB应用防火墙安装配置 | 中职、高职、本科 | |
| 36 | WEB应用防火墙分类与特点 | 中职、高职、本科 | ||
| 37 | WEB应用防火墙部署知识 | 中职、高职、本科 | ||
| 38 | WEB应用防火墙配置技术 | 中职、高职、本科 | ||
| 39 | 审计系统原理 | 审计系统安装配置 | 中职、高职、本科 | |
| 40 | 审计系统的分类和特点 | 中职、高职、本科 | ||
| 41 | 审计系统配置技术 | 中职、高职、本科 | ||
| 42 | 网络防病毒系统原理 | 网络防病毒系统安装配置 | 中职、高职、本科 | |
| 43 | 网络防病毒系统的种类和特点 | 中职、高职、本科 | ||
| 44 | 网络防病毒系统配置技术 | 中职、高职、本科 | ||
| 45 | 网络设备安全配置技术 | 网络设备安全配置 | 符合信息安全技术人才信息安全基线配置工作内容 | 中职、高职、本科 |
| 46 | 网络设备基线基本要求 | 中职、高职、本科 | ||
| 47 | 主机系统安全配置技术 | 主机系统安全配置 | 中职、高职、本科 | |
| 48 | 主机系统基线基本要求 | 中职、高职、本科 | ||
| 49 | 应用系统安全配置技术 | 应用系统安全配置 | 中职、高职、本科 | |
| 50 | 应用系统基线基本要求 | 中职、高职、本科 | ||
| 51 | 信息收集方法与技术 | 信息收集与工具扫描 | 符合信息安全技术人才初级渗透测试技术工作内容 | 中职、高职、本科 |
| 52 | 扫描工具使用方法 | 中职、高职、本科 | ||
| 53 | 漏洞类型与危害知识 | 中职、高职、本科 | ||
| 54 | 漏洞形成原理 | 常见漏洞手工检测 | 中职、高职、本科 | |
| 55 | 漏洞的利用方法和原理 | 中职、高职、本科 | ||
| 56 | 漏洞测试方法和原理 | 中职、高职、本科 | ||
| 57 | 漏洞修复方法 | 中职、高职、本科 | ||
| 58 | 渗透测试报告编制要点 | 编制渗透测试报告 | 中职、高职、本科 | |
| 59 | 渗透测试报告编制模板 | 中职、高职、本科 | ||
| 60 | 机房场地安全基本要求 | 机房安全巡查 | 符合信息安全技术人才日常安全巡查工作内容 | 中职、高职、本科 |
| 61 | 机房环境基本要求 | 中职、高职、本科 | ||
| 62 | 机房安防基本要求 | 中职、高职、本科 | ||
| 63 | 网络设备安全合规性 | 网络安全巡查 | 中职、高职、本科 | |
| 64 | 网络安全巡查范围要求 | 中职、高职、本科 | ||
| 65 | 网络设备巡查规程 | 中职、高职、本科 | ||
| 66 | 网络设备检测方法 | 中职、高职、本科 | ||
| 67 | 主机设备安全合规性 | 主机系统安全巡查 | 中职、高职、本科 | |
| 68 | 主机硬件安全维护 | 中职、高职、本科 | ||
| 69 | 应用系统(如:邮件系统、WEB系统、文件服务系统和域控系统等)安全维护 | 应用及数据安全巡查 | 中职、高职、本科 | |
| 70 | 数据库系统安全维护 | 中职、高职、本科 |
3.2 实验进度设计
由于实验内容涉及面广,考虑到学生的学习知识需要遵循“循序渐进”规则,故在设计该实验室时,我们对实验进行了两个层面的分类,并对实验进度有如下设计:应用系统防护基础类:
第一阶段:应用系统安全基础理论
基础理论:包括相关的基础理论、原型以及实验原理等;
第二阶段:应用系统安全基础实验操作
在经过第一阶段基础理论认识后,进入第二阶段应用系统安全各个知识模块的实验演示与实验操作,配套的资料包括:
第三阶段:应用系统安全攻防演练
在经过第二阶段的基础实验之后,进行仿真企业环境的实验操作环境进行组别学生的攻防演练,使学生加固已学基础知识并使教师得以评测学生学习掌握程度。