網(wǎng)絡安全實訓系統(tǒng)改造探索論文

　　1實訓室現(xiàn)狀

　　信息安全實訓室是包含網(wǎng)絡安全教學設備的實訓室，除了基礎課程外，專業(yè)課程主要擔負了《服務器配置與管理》、《信息安全技術》、《網(wǎng)絡安全管理與維護》等課程的教學，以及針對信息網(wǎng)絡安全方向的對外培訓、測試、合作等項目。實訓室內(nèi)主要硬件設備有各廠商安全設備，包括防火墻、防毒墻、入侵檢測、入侵防護、威脅分析等設備，除此外還有部分網(wǎng)絡設備和服務器。在教師和學生機上則主要以獨立的軟件和項目碎片化的虛擬機為主。即便部分廠商開發(fā)的安全實訓平臺，也多多少少離不開這些項目碎片化的影子。因此要形成過程化的分析系統(tǒng)，必須對硬件進行整合。

　　2需求分析

　　當前社會需求的網(wǎng)絡安全方面人才主要集中在以下幾個方面：1）專業(yè)型網(wǎng)絡安全人才。這類人員的崗位要求具備較深的網(wǎng)絡安全實踐基礎，對當前主流網(wǎng)絡攻擊和防御技術有較為全面的掌握；目前，有關監(jiān)察審查部門、專業(yè)安全評測機構等單位對這類人才需求較高。2）綜合型網(wǎng)絡安全人才。這類人員的崗位原本都不是網(wǎng)絡安全方向，但是由于網(wǎng)絡安全形勢的需要，除了具備原有的知識技能外，還應擔負相應的網(wǎng)絡安全維護責任；目前黨政軍重要機構、電子商務和金融等關鍵機構的網(wǎng)管、維運人員；等級保護安全員等崗位對這類人才需求較高。因此網(wǎng)絡安全專業(yè)人才的培養(yǎng)應緊貼社會需求，同樣網(wǎng)絡安全實訓室的建設也應具備以下幾個功能：1）有效完成教學任務，滿足主流信息安全、網(wǎng)絡安全類課程實驗實訓內(nèi)容的實現(xiàn)和操作。2）能夠為相關行業(yè)和崗位定向培養(yǎng)輸送畢業(yè)生，通過實訓室訓練達到崗位所需求的實踐操作水平（如等級保護安全員）。3）能夠為需要安全培訓的單位（如社保醫(yī)保等政府單位、電子商務等企業(yè)）或者結合權威部門提供培訓認證服務。

　　3改造思路

　　總體思路是在這些教學和項目在實施過程中，需要對網(wǎng)絡攻防雙方在操作上進行動態(tài)跟蹤，其中比較主要的一塊是針對網(wǎng)絡攻擊行為進行捕獲和分析，以攻學防、以攻促防；達到良好的實訓效果。網(wǎng)絡安全實訓在傳統(tǒng)的教學中，著重以攻輔防，即攻擊行為僅僅是學習防御行為的輔助手段，著重采用較為直接的結果引導教學方式，如攻擊行為會造成的結果應該如何防御；該方式是通過攻擊結果引導學生思考防御方法，雖然有一定的效果，但是僅僅通過結果來逆推攻擊手法和原理，難度過高且不利于學生了解本質(zhì)和舉一反三發(fā)散性思維，容易導致教學和實訓效果不佳。而基于過程的攻擊行為分析，能夠全程還原攻擊細節(jié)和方式，引導學習實訓過程中的主觀能動性，變結果學習為過程學習；此外，在實驗室未來的對外安全項目合作、安全產(chǎn)品和系統(tǒng)資質(zhì)測試、受訓人員水平資格考試等過程中，都需要采用細顆粒度的攻防行為分析；該系統(tǒng)的研究能夠促進教學、測試及合作項目的效果體現(xiàn)，提升實訓室整體品質(zhì)。

　　4總體架構

　　實訓室邏輯拓撲總體由四個部分組成，包含攻擊區(qū)、防御區(qū)、互聯(lián)網(wǎng)模擬區(qū)、監(jiān)測管理區(qū)。1）攻擊區(qū)主要由攻擊平臺組成，該平臺內(nèi)含主流網(wǎng)絡安全測試工具，供學生終端機器調(diào)用以進行攻擊測試，該平臺可以用神碼的攻擊工具集，也可以采用Backtrack或Kali開源駭客平臺。此外攻擊區(qū)配備文件服務器供訓練數(shù)據(jù)的存儲共享，同時提供wifi環(huán)境做無線安全方面的實驗。如果條件允許，盡量配備流量發(fā)生器，用以模擬商業(yè)網(wǎng)絡流量便于仿真測試。2）防御區(qū)是實驗室的主要區(qū)域，該區(qū)域盡量模擬常見園區(qū)網(wǎng)絡環(huán)境和流行應用，供學生模擬駭客攻擊以及安全加固。具體配置為防火墻數(shù)款，包括微軟ISA宿主型軟件防火墻、神碼堡壘主機和各種獨立應用虛擬機。此外放置一臺CiscoACS服務器用作AAA認證實驗，同時和攻擊區(qū)一樣配備wifi網(wǎng)絡環(huán)境和流量發(fā)生設備。3）互聯(lián)網(wǎng)模擬區(qū)主要擔負攻擊區(qū)和防御區(qū)的互聯(lián)和入網(wǎng)，以及部分廣域網(wǎng)協(xié)議互聯(lián)的模擬，如幀中繼等，后期也可接入其他廣域網(wǎng)協(xié)議，便于安全領域的抓包嗅探等測試。4）監(jiān)測管理區(qū)負責對實驗過程的監(jiān)控和結果呈現(xiàn)，同時也擔負對整個實驗室設備的維護管理任務。其中入侵檢測可以采用開源snort系統(tǒng)，流控和日志可以采用神碼的設備，另外再配備一臺管理主機完成服務器和設備的管理操作。

　　5項目實施

　　5.1改革內(nèi)容

　　1）針對入侵行為進行檢測；2）檢測覆蓋面應包括掃描、溢出、注入、拒絕服務等攻擊內(nèi)容；3）能夠捕獲樣本數(shù)據(jù)，顯示數(shù)據(jù)包細節(jié)和結構分析信息；4）能夠顯示直觀的報告和分析結果，供安全防御訓練參考。

　　5.2改革目標

　　建立一個針對網(wǎng)絡攻擊行為的捕獲分析系統(tǒng)，對信息安全實訓室內(nèi)的實訓項目中攻擊行為能進行捕獲和分析，提升實訓效果。

　　5.3擬解決的關鍵問題

　　1）大型源碼包的編譯安裝問題；2）網(wǎng)絡接口混雜模式、數(shù)據(jù)捕獲模塊、數(shù)據(jù)包分析模塊、規(guī)則庫匹配模塊、管理模塊的耦合穩(wěn)定；3）報告系統(tǒng)的時效性和完整性；4）大數(shù)據(jù)流量下整體系統(tǒng)的穩(wěn)定性。

　　5.4實施方法

　　學習研究國外已經(jīng)成型的檢測評估體系，結合我院網(wǎng)絡安全實訓室的具體情況，分析需要構建的模塊和系統(tǒng)，設計出系統(tǒng)雛形，根據(jù)該雛形編譯相關的模塊和插件，整合系統(tǒng)。在一個標準實驗臺內(nèi)可以完成基本的服務器、安全實驗，基本滿足實驗教學需要。另外，可以根據(jù)需求進行組合，滿足不同層次實驗的需要。組合如下：標準型實驗(服務器實驗、主機安全實驗)功能型實驗A(標準型＋無線AP＋流量＋安全硬件)功能型實驗B(A＋網(wǎng)絡安全，通過2臺防火墻)功能型實驗C(B＋入侵檢測和防御，通過2臺安全網(wǎng)關來實現(xiàn))功能型實驗D(C＋威脅發(fā)現(xiàn)，通過流量、資產(chǎn)監(jiān)控、入侵檢測、威脅發(fā)現(xiàn)來實現(xiàn))學生做實驗時，通過訪問控制服務器CMS對實驗臺內(nèi)的網(wǎng)絡實驗設備進行配置、管理、實驗操作，無須來回插拔控制線。學生只有登錄權限，沒有修改權限。教師在教師機上可以登錄到學生實驗的設備上，指導檢查學生的實驗過程和結果。主要承擔的實訓項目為網(wǎng)絡安全，設備安全包含熟悉互聯(lián)網(wǎng)主流安全技術配置，包括交換機的端口安全、IP訪問控制列表、基于時間的訪問控制列表、專家級訪問控制列表、防火墻的配置、局域網(wǎng)于Internet之間的互聯(lián)等。網(wǎng)絡安全包含主機和網(wǎng)絡安全、攻防模擬、入侵檢測和威脅發(fā)現(xiàn)、主機和WEB應用、數(shù)據(jù)庫應用安全、云計算的模擬和應用、CTF攻防競賽等等。此外，也可以完成網(wǎng)絡集成教學所需要的局域網(wǎng)基礎實驗、廣域網(wǎng)基礎實驗、VOIP實驗、安全實驗、無線實驗、網(wǎng)絡管理實驗、IPV6實驗。整個實驗室的實驗臺臺數(shù)，實驗組數(shù)由學生人數(shù)和實驗室項目靈活調(diào)整。此外納入建有的創(chuàng)新實驗室，根據(jù)實訓功能和規(guī)模，可靈活調(diào)整實訓人數(shù)和項目。

　　5.5可行性分析

　　在網(wǎng)絡安全的教學實訓活動中，傳統(tǒng)的網(wǎng)絡安全教學往往是在攻擊行為完成后提出防御措施，繼而讓學生被動學習訓練防御和加固技術，但學生在學習過程中容易產(chǎn)生的對攻擊細節(jié)的疑問往往因為沒有可視化或過程化的手段，而無法得到有效解答，同時也限制了學生自行思考、舉一反三的可能性。此外，實訓室在未來可能擔負安全檢測、合作項目等方向的內(nèi)容，都需要對攻擊行為進行過程化的還原。針對攻擊行為過程的檢測分析是近年來網(wǎng)絡安全界發(fā)展迅猛的一項技術，該技術的出現(xiàn)為網(wǎng)絡安全技術從傳統(tǒng)的結果分析過度到過程分析奠定了基礎；目前，全球各大廠商和標準化組織都提出了各自的標準，其中一些還有較為完善的體系模型和開源項目，并在兼容性、適用性上都取得了很多進步。經(jīng)過初步調(diào)研，這些已有的成果符合實訓室現(xiàn)有條件和項目需求，可以取主流的模型加以分解調(diào)整，完成本地化，結合實訓室實際建設一套實用的分析系統(tǒng)。

　　6特色與創(chuàng)新

　　1）變網(wǎng)絡安全攻擊行為的結果分析為過程分析，為教學實訓提供新的思路和條件。2）針對掃描、注入、溢出、拒絕服務等多種攻擊行為進行捕獲分析，全程反映攻擊動作，由點及線，全面還原攻擊行為思路。3）分析結果直觀化呈現(xiàn)，有圖有表，有捕獲的原始數(shù)據(jù)，從宏觀到微觀提供準確的分析依據(jù)。4）為實訓室對外提供安全檢測、培訓、合作項目等服務添磚加瓦，提升實訓室功能和品質(zhì)。

【網(wǎng)絡安全實訓系統(tǒng)改造探索論文】相關文章：

收費系統(tǒng)改造設計思路探索04-27

藥學實訓教學探索04-30

關于高職院校校內(nèi)實訓基地建設的探索的論文04-27

對污水泵密封的改造探索論文04-29

廣告策劃實訓模塊化教學改革的探索論文05-02

基于能力本位的高職文秘專業(yè)實訓教學實踐與探索論文05-02

倉儲管理系統(tǒng)實訓報告10-24

基于職業(yè)能力培養(yǎng)的高職文秘專業(yè)實訓教學模式探索論文05-02

軟件技術實訓教學的實踐探索05-01

試析住宅改造區(qū)消防給水設計探索論文04-29