信息安全虛擬實踐教學平臺的構建

俞立峰 楊瓊

摘 要： 信息安全是一門綜合性、實踐性非常強的學科，針對信息安全的實踐教學，通常需購買相應的硬件設備才能有效實施。然而購買硬件花費不菲，受資金等多種因素限制，導致了信息安全實踐教學流于形式。為此，研究、設計并實現了基于職業能力培養的信息安全虛擬實踐教學平臺，該平臺主要包括兩個大模塊：網絡攻擊模塊與安全防護模塊，各模塊分別包括七個子模塊。

關鍵詞： 信息安全； 職業能力； 實踐教學平臺； 網絡攻擊； 安全防護

中圖分類號：TP393 文獻標志碼：A 文章編號：1006-8228（2014）02-18-02

0 引言

隨著經濟全球化和計算機及互聯網技術的高速發展，信息安全問題已經成為全社會關注的焦點，并且成為涉及國家政治、軍事、經濟和文教等諸多領域的重要課題。社會對信息安全專業人才的需求量達幾十萬人，并呈現與日俱增的態勢。但是，目前信息安全方面的專業人才還很稀少，并且只有在高校才會進行專業性的信息安全課程教學。由于信息安全學科是一門綜合性、實踐性非常強的學科（信息安全學科是計算機、通訊工程、數學、密碼學等領域的交叉應用學科）[1-4]，要解決信息安全專業人才供需矛盾，需要各高校加強信息安全專業建設，尤其是實踐教學建設，增強學生的動手實踐能力，以保證對信息安全專業人才培養的質和量。

教育部等七部委《關于進一步加強職業教育工作的若干意見》（教職成[2004]12號）中明確指出：“加快職業教育實訓基地建設，切實提高學生職業技能”。要求學生具備在實際環境中應用自身的知識完成信息安全實驗以提高自身的動手能力和實踐水平。實踐是理解信息安全基礎知識，提升信息安全技能的關鍵環節。然而，信息安全基礎實踐教學相對于其他傳統計算機實踐教學而言有一定的特殊性：①實驗條件要求相對苛刻，需要購買專門的軟硬件設備；②實驗內容側重信息保護；③實驗方式有一定的攻擊性。如果實驗控制不當，會帶來非常嚴重的安全事故，因此必須擁有一個合理的實驗環境，使惡意代碼實驗不影響正常的信息環境。此外，信息安全實踐教學也面臨著由于學生人數多、實驗室教學任務重而帶來的資源匱乏等問題。

目前，各高校基本上以購買軟硬件設備來支持信息安全的實踐教學，而軟硬件設備的更新換代成本對于高校教學機構來說是相當難以承受的。因此，設計一種既能滿足信息安全技術、技能教學需要，又能培養學生的職業能力，且不需要對現有網絡、實驗環境進行太大改變的虛擬實驗教學平臺就顯得尤為重要，也具有重要的現實意義。

1 虛擬實踐教學平臺構建原則

基于職業能力培養的信息安全虛擬實踐教學平臺的設計與實現是對高校信息安全專業針對信息安全基礎實踐教學進行的一項整體性的教學模式改革，因此，該平臺應從以下幾個方面進行設計[5-6]。

⑴ 基礎性原則。本研究構建的是虛擬的信息安全實踐教學平臺，側重信息安全技術基礎知識的培養與鍛煉，在模擬的實踐環境中掌握網絡攻防的技術。

⑵ 易操作性原則。在設計實踐操作環節，考慮基礎性的同時，注重職業能力的培養；考慮學生操作的難易程度，把實踐的關鍵步驟、安裝軟件都植入虛擬平臺中；考慮認識的認知性，可以適當地做一些攻擊實驗，通過攻擊實驗，讓學生掌握攻擊的理論知識，同時也更有助于學生掌握和學習安全防范技術。

⑶ 綜合性原則。虛擬平臺的實踐教學設計應遵循由簡單到復雜，由易到難的原則，最后通過綜合性實驗來提升學生的實踐技能和綜合素質。

2 虛擬實踐教學平臺功能模塊

根據虛擬實踐教學平臺的構建原則，本平臺主要包括網絡攻擊模塊與安全防護模塊。其中網絡攻擊模塊主要包括：Web攻擊、口令破解、欺騙攻擊、數據庫攻擊、緩沖區溢出攻擊、拒絕服務攻擊、木馬與蠕蟲攻擊等子模塊。安全防護模塊主要包括：操作系統安全、密碼學技術、信息隱藏技術、PKI技術、防火墻技術、VPN技術及入侵檢測技術子模塊。該教學平臺功能如圖1所示。

2.1 網絡攻擊模塊

該模塊要側重常用的攻擊方法的學習與掌握，其子模塊功能如下。

⑴ Web攻擊模塊。主要包括Web腳本攻擊、網絡釣魚等攻擊方法的實現。

⑵ 口令破解模塊。主要包括Windows口令破解和Linux口令破解。

⑶ 欺騙攻擊模塊。主要采用常用的ARP欺騙和ICMP重定向來實現，讓學生掌握常用的欺騙攻擊方法的實現。

⑷ 數據庫攻擊模塊。主要包括SQL注入攻擊的實現。

⑸ 緩沖區溢出攻擊模塊。主要包括本地緩沖區溢出、遠程溢出與后門植入的實現。

⑹ 拒絕服務攻擊模塊。主要包括洪范攻擊、DDOS攻擊、Smurf攻擊的實現。

⑺ 木馬與蠕蟲攻擊模塊。主要包括特洛伊木馬、網絡蠕蟲的攻擊方式的實現。

2.2 安全防護模塊

該模塊要側重安全保護方法的學習與掌握，其子模塊的功能如下。

⑴ 操作系統安全模塊。主要包括Windows操作系統、Linux操作系統的安全配置與維護，加強學生對系統安全知識的培養。

⑵ 密碼學技術模塊。主要包括對稱加密、公開加密、混合加密的實現。

⑶ 信息隱藏模塊。主要包括信息偽裝、數字水印技術的實現。

⑷ PKI模塊。主要包括CA數字證書的申請、安裝、更新、吊銷、使用等功能。

⑸ 防火墻模塊。主要使用微軟的ISA防火墻進行訪問控制的配置。

⑹ VPN技術模塊。利用Windows系統進行VPN的創建與測試。

⑺ 入侵檢測模塊。主要包括Windows系統平臺、Linux系統平臺下Snort入侵檢測的安裝、配置與檢測。

3 虛擬實踐教學平臺測試

基于職業能力培養的信息安全虛擬實踐教學平臺涵蓋了信息安全攻防實踐教學的絕大多數內容，主要分為兩個大的模塊，然后不同模塊再根據學生認知能力由簡單到綜合來進行學習與實踐。本平臺采用C/S模式，開發環境為Microsoft Visual Studio 6.0，主要使用C語言完成整個虛擬實踐教學平臺的編程，實驗操作系統為2003，數據庫采用SQL 2005。下面以圖2的ARP攻擊與防護為例來進行測試。

3.1 ARP攻擊過程

首先，需要在黑客主機平臺上運行ARPattack程序攻擊目標主機一，將其ARP緩存表中與目標主機二相映射的MAC地址更改為黑客主機的MAC地址。

3.2 防范ARP欺騙

當發現主機通信異常或通過網關不能夠正常上網時，很可能是網關的IP被偽造。可以使用下列手工操作方法防范ARP欺騙攻擊：①清空ARP緩存表；②實現IP/MAC地址綁定，Windows下綁定IP/MAC，首先清除ARP緩存表，然后將IP MAC地址對添加到緩存表中，最后實現開機后自動執行。Linux下綁定IP/MAC，實驗使用的Linux系統環境（FC5）中，arp命令提供了-f選項，功能是將/etc/ethers文件中的IP/MAC地址對以靜態方式添加到ARP緩存表中。

建立靜態IP/MAC捆綁的方法如下：

首先建立/etc/ethers文件（或其他任意可編輯文件），編輯ethers文件，寫入正確的IP/MAC地址對應關系，格式為：172.16.0.151 00：0c：29：1d：af：2a。

然后讓系統在啟動后自動加載項目，具體操作：在/etc/rc.d/rc.local最后添加新行arp -f，重啟系統即可生效。此時查看arp緩存表，靜態項目的Flags Mask內容為CM，其中M表示當前項目永久有效。

4 結束語

信息安全實踐教學平臺主要用于日常的信息安全實踐教學，系統運行速度較快，客戶端無需安裝任何軟件，配置靈活、操作簡便；本平臺主要包括網絡攻擊模塊和安全防護模塊兩大模塊，并分別包括七個子模塊，基本滿足信息安全攻防實踐教學需求，能替代價格昂貴的網絡攻防真實設備的功能，極大地節省了教學成本。因此，本平臺為信息安全技術人才的培養，以及學校信息安全專業教學條件的改善提供了良好的實驗環境。

參考文獻：

[1] 李成大.基于Web服務的信息安全虛擬實驗系統的研究與實現[J].計算機應用，2007.27（1）：122-125

[2] 徐川，唐建，唐紅.網絡攻防對抗虛擬實驗系統的設計與實現[J].計算機工程與設計，2011.32（4）：1268-1271

[3] 張艷伶，黃聲烈，高艷華.網絡信息安全教學實驗系統平臺的構建[J].實驗技術與管理，2008.23（10）：66-68

[4] 王陳章.網絡信息安全教學實驗系統[D].吉林大學，2006.

[5] 郭春霞，劉增良，陶源.虛擬網絡攻防分析模型[J].計算機工程與應用，2008.44（25）：100-103

[6] 劉武，吳建平.段海新.用VM ware構建高效的網絡安全實驗床[J].計算機應用研究，2001.22（2）：216-218