基于“虛擬仿真”的信息安全實驗教學體系改革

王瑞錦 周世杰 秦志光 吉家成

文章編號：1672-5913（2015）11-0031-05

中圖分類號：G642

摘要：針對信息安全實驗項目在真實環境中開展會出現破壞性大、搭建實驗環境復雜、實驗成本高以及跨校的高水平實驗遠程共享難等問題，分析現有手段的弊端，提出“3層次、5模塊、7平臺”的基于“虛擬仿真”的信息安全實驗教學體系觀點，同時闡述網絡安全防護體系架構的設計，用以保障平臺的安全運行。

關鍵詞：虛擬仿真；信息安全實驗教學體系；安全防護體系

1 背景

當前信息安全事件層出不窮，從各類信用卡數據泄露、用戶數據庫泄露到網絡間諜威脅、棱鏡門事件等，可以看出信息安全事件的影響越來越大。信息安全問題不僅是個人和企業的問題，也是維護國家安全和社會穩定的一個焦點。2014年2月，中央宣布習近平總書記擔任中央網絡安全和信息化領導小組組長，更加表明信息安全已經成為一個關系國家安全和主權、社會穩定、民族文化繼承和發揚的重要問題。因此，構建可靠的信息安全保障系統，培養高素質的信息安全專業精英人才已成為當務之急。

信息安全是通信、計算機、數學、軟件工程、管理和法律等學科的交叉學科，主要研究信息與網絡安全的科學與技術。據不完全統計，截至2014年，國內有100多所高校開設了信息安全專業，各高校都在不斷探索和研究，初步建立了特點不一的實驗教學體系。其中，武漢大學構建了“基礎實驗一綜合設計實驗一研究創新實驗”的3層次實踐教學模式，通過多種平臺培養學生的實踐和創新能力。北京郵電大學搭建了“以能力提升為中心、項目實訓為基礎、創新培育為重點”的整體化實驗教學創新體系。哈爾濱工業大學秉承“項目實踐能力強”的作風，將創新能力和實踐能力貫穿到實驗教學的各環節。雖然有如此多的高校開展研究探索，但大多數高校的人才培養仍然停留在單純的理論授課或設備應用層面，并且高校都面臨開展真實實驗項目破壞性大、搭建實驗環境復雜、實驗成本高以及跨校的高水平實驗遠程共享難等問題。

電子科技大學作為我國首批設立信息安全專業的高校之一，在信息安全實驗教學體系中，通過學習與借鑒國內外著名院校信息安全專業建設與實踐的經驗，在建設國家級“信息與網絡安全虛擬仿真實驗教學中心”（以下簡稱“中心”）的有力支持下，建成了基于“虛擬仿真”的信息安全實驗教學體系，涵蓋了信息、系統、網絡、移動智能終端、云計算、空天等領域的安全實驗項目，取得了很好的教學效果。

2 建設虛擬仿真實驗教學平臺的必要性

1）在真實實驗環境中開展實驗，破壞性大。

因網絡信息安全與攻防技術本身所具有的破壞性，為教學而設置網絡安全漏洞會產生巨大風險。在真實的網絡環境中開展網絡攻擊、病毒注入等實驗，將釀成災難性后果。實驗性計算機病毒流向公共網絡在計算機發展史上不乏其例，世界上第一例病毒就是從實驗室流出到公共網絡。這使得該類實驗教學必須依賴于虛擬仿真技術和手段。

2）搭建真實實驗環境復雜、實驗成本高。

信息安全與攻防技術真實實驗環境規模龐大、結構復雜，系統難度大，建設和維護成本高；實驗教學中涉及的形形色色的病毒也無法在需要時實時再現，這些使得學生幾乎無法進行實際的網絡攻防設計。

另外，受地域環境、儀器設備和安全性等因素的限制，學生不能深入生產一線進行實踐鍛煉，而目前的綜合設計性實驗僅具有少量的工程能力培養內容，不能滿足需求。

3）采用“虛擬仿真”開展信息安全實驗的優點。

虛擬仿真實驗以網絡虛擬化的方式為學生提供實戰靶機和實戰環境等要素共同構成的動態仿真環境，以完成攻防過程的模擬實驗。此外，用虛擬現實技術形象生動地展現攻防的真實過程能幫助學生更加深入地了解網絡攻防的工作原理和工作過程。這樣既能節省實驗室建設的經費成本，又能模擬網絡信息安全開設實驗時高端實驗設備的運行情況、實驗的配置環境和命令行操作的一致性。同時，由于采用虛擬手段能夠實現所有實驗的過程，學生通過遠程登錄，參與整個實驗工程項目，能夠靈活、方便地搭建實驗環境，能夠快速恢復實驗環境，在達到相同教學效果的前提下，大大降低了開展真實實驗的破壞性。

總之，基于虛擬化技術的信息安全實驗教學體系，能將信息安全的相關實驗和創新應用模塊通過在線、遠程方式加以實現，從而解決了真實實驗項目破壞性大、搭建實驗環境復雜、實驗成本高以及跨校的高水平實驗遠程共享等問題。虛擬仿真能夠很好地豐富實驗教學手段，達到全面提高本科生的創新精神和綜合實踐能力的目的。

3 教學體系設計

電子科技大學信息安全專業以人才培養目標和創新能力教育為宗旨，以全面提高學生的創新精神和綜合實踐能力為目標，堅持“攻防兼備、以攻促防、應用牽引、資源共享”的建設理念，構建了以“3層次、5模塊、7平臺”為內容的信息與網絡安全虛擬仿真實驗教學體系，如圖1所示。

中心通過“虛”“實”結合的方式完成教學大綱要求。2007年建成的“國家級計算機實驗教學示范中心”，為中心提供實驗教學所需的物理環境和實物平臺。

3.1 3 層次

以“基礎驗證、工程實踐和創新研究”為內容的“3層次”遞進式模型（如圖2所示），為實驗教學的規劃提供了方法論的指導。學生通過集虛擬仿真實驗資源的展示、管理、共享、交流、服務于一體的虛擬化平臺，遠程共享實驗室軟硬件資源，完成3層次遞進式“金字塔”模式的實驗。

基礎驗證層包含了密碼學基礎實驗、系統加固安全等實驗；工程實踐層包括網絡互聯安全、網絡攻防實戰等實驗；創新研究層包括云計算安全實驗、移動終端安全、空天信息安全、信息安全競賽等實驗。

3.2

5模塊

以“信息加密、系統安全加固、網絡互聯安全、網絡攻防和安全應用”為內容的“5模塊”，解決了如何建設實驗項目的問題。

信息加密模塊支撐包括信息安全導論實驗在內的3門課程的實驗教學任務；系統安全加固模塊支撐計算機病毒與防護等5門課程的實驗教學任務；網絡互聯安全模塊支撐網絡設備配置、網絡與信息安全綜合設計實驗在內的3門課程的實驗教學任務；網絡攻防支撐網絡攻防技術等4門課程的實驗教學任務；安全應用模塊支撐移動智能終端安全等2門課程的實驗教學任務。

3.3 7平臺

最終構建的信息安全基礎仿真實驗平臺、系統安全加固仿真實驗平臺、網絡互聯安全虛擬仿真實驗平臺、網絡攻防實戰虛擬仿真實驗平臺、移動智能終端安全虛擬仿真實驗平臺、云信息安全虛擬仿真實驗平臺、空天信息安全虛擬仿真實驗平臺7個具體的虛擬實驗平臺，解決了數據恢復開盤、網絡滲透攻擊、虛擬路由器模擬、網絡入侵檢測、網絡攻防、移動智能終端安全等27個虛擬仿真實驗項目如何開設的問題。

3.4 開設的實驗項目

實驗課程按照學科和專業分布分別由7個實驗平臺負責完成，目前可進行27項虛擬仿真實驗項目，包括適合開設的課程22門課程，共206學時。見表1。

4 安全防護體系架構

我們把中心的網絡系統分為遠程實驗區與核心內網兩個區域。根據這兩個區域內用戶對虛擬仿真實驗教學系統的實際需求，分別部署和完善了相應的網絡與信息安全防護設施。網絡安全防護體系情況如圖3所示。

1）遠程實驗區安全防護。

遠程實驗區定義為本校校園網以外的互聯網區域，該區域中的用戶主要通過互聯網訪問本中心的信息門戶獲取和查詢公開信息，或者訪問位于核心內網中的仿真實驗平臺進行遠程在線實驗。因此本區域中的安全防護設施主要部署于網絡對外接口位置，包括防火墻、IPS、VPN等設備，提供邊界檢查、建立安全區域、控制數據包的進出、防范和抵御網絡入侵和攻擊等防護功能。這些安全防護設施側重于為互聯網用戶提供兩類信息服務。

第一類服務是為互聯網用戶提供關于本中心實驗教學與服務信息的獲取與查詢服務，主要采用在防火墻的DMZ區部署對外提供信息服務的Web門戶服務器等。用戶通過瀏覽器即可便捷地獲取本中心對外發布的公開信息。

第二類服務是為用戶提供接人核心內網的安全接入通道。互聯網用戶通過VPN方式接入后即可獲得與校園網內主機相同的地位，在完成身份認證后即可實現安全接入仿真平臺進行在線實驗的功能。IPS入侵防護用于檢測和防范各種惡意攻擊。

2）核心內網區安全防護。

核心內網定義為本中心內部網絡區域，通過防火墻與外網遠程實驗區進行安全隔離與訪問控制。

核心內網中部署各仿真實驗平臺和相關安全管理設施，是提供在線仿真實驗教學各項應用服務的核心設施。核心內網在基礎網絡上采用VLAN技術實現子網的劃分、用戶的隔離和訪問控制；在實驗平臺的物理部署上采用本中心主平臺與各分實驗平臺分離的模式實現安全保障；在應用層面上采用用戶身份注冊、認證和訪問權限的授權等措施來確保應用訪問的安全性。

5 結語

電子科技大學構建了基于“虛擬仿真”的信息安全實驗教學體系，涵蓋了信息、系統、網絡、移動智能終端、云計算、空天等領域的安全實驗項目，取得了很好的教學效果，對于推進我國信息安全專業人才教育和發展有著重要的實踐與現實意義。