淺談信息安全攻防實驗室建設
第一章 信息安全技術人才需求分析
1.1 國內信息安全技術人才的需求現狀分析
調查顯示,從2006到2012年,網絡信息安全行業的就業需求將以年均14%的速度遞增。到2012年,網絡安全行業的就業總人數將由目前的220萬上升到310萬,即以每年15萬的需求量遞增。無論是職業前景、受重視程度、提升空間還是薪酬基數、薪酬增長預期等,網絡安全職業較IT其它職業都更為優越。調查結果再次說明了網絡安全重要性的日益增強,“整個企業領域逐漸認識到網絡安全的重要性”。
另外,從目前國內各企事業單位的IT技術人員需求來看,信息安全技術人才十分匱乏。隨著計算機的廣泛使用,病毒的種類也越來越多,危害越來越大。專業的信息安全技術人才還是國內IT人才架構中的一個空白。隨著信息安全受到社會各界越來越多的關注,以及入侵事件和電腦病毒危害的頻頻發生,從企業內部網絡的管理維護到反病毒軟件的安裝、調試、維護及使用,都需要具備一定安全技能的技術人員來擔任。因此,信息安全技術人才必將成為國內I T技術人才需求的一個新熱點。
1.2 國內信息安全技術人才的教育現狀分析
我國的網絡安全學科的人才培養已經拉開了序幕,但是與發達國家相比,我國高校的安全方向培養學生規模、學科建設、實訓室建設、實踐教學等方面還存在著很大的差距,理論多于實踐的現象在各高校已是相當普遍,遠遠不能滿足信息化進程對應用型人才的迫切需求。
由于信息系統本身的脆弱性和不斷出現的復雜性,信息安全、網絡安全的問題也日趨嚴重,而在建設信息安全專業的過程中,存在著以下的嚴重的不足:
專業基礎課程覆蓋廣、難度大
信息安全領域的知識覆蓋面廣、學習難度大,涉及的核心課程有密碼學、PKI原理與技術、網絡操作系統、網絡攻擊與防范、計算機病毒原理與技術等。許多安全技術需要強大的理論支撐,這些理論往往建立在大量抽象、復雜的數學模型及計算機網絡基礎上,這就要求學生對專業基礎課程有著全面、深入地掌握。
實踐教學環境搭建困難
作為一門交叉學科,信息安全不僅具有很強的理論性,同時具有非常強的實踐性,許多安全技術需要在實踐過程中去認識,往往需要專業的、能夠提供多種復雜環境的教學平臺。該平臺要求能夠快速搭建,減少實驗環境準備時間,要求能夠快速恢復,保證實驗環境、實驗場景可再現,并且該平臺一定要易于管理。
實踐教學積累相對薄弱
信息安全是一門新興的學科,與傳統的軟件工程、網絡工程教學相比,高校在信息安全學科建設、教學積累、實驗要求上仍處于探索階段,各個高校之間的培養方式和側重點都存在差異,尤其是在實踐教學環節上,教學經驗還有待豐富,科學合理的教學模式有待形成。
獲取行業案例有困難
缺少來自行業的項目案例,缺少獲取行業案例的渠道。在教學中“如何能夠獲取到有效的行業案例”、“如何對案例進行教學改造”一直以來都是困擾教師的一個問題,教師需要一個能夠持續獲取行業案例的渠道。
現有網絡安全設備無法有效利用
在一個已經部署防毒軟件、防火墻、IDS、VPN等傳統信息安全產品的網絡環境中,很少有人清晰的知道這些安全產品的作用,以及能夠為計算機安全所帶來的保障,嚴重匱乏的教學和培訓環境,讓很多教師感到無從著手,無力進行計算機安全的培訓教育,而且網絡安全的培訓不是書本知識,必須是靠知識和經驗的積累,有經驗的高手在這個市場里可以更有作為,對于面臨的一下問題也無法解決:
問題一:如何更加有效的教育,培訓學生在計算機安全方面的知識匱乏;
問題二:怎樣的教學,培訓方式才能讓學生更加快捷,高效的學習計算機安全方面的知識;
問題三:什么樣的教學,培訓環境才能讓學生更容易,積極的學習計算機安全方面的知識,增強計算機安全意識。
問題四:如何才能讓學生在學校的安全課程培訓期間就獲得豐富的網絡安全攻防的經驗
該如何解決上述的在信息安全課程教學中所遇到的一個個的問題呢?
我們提出了以下幾點:
1. 讓學生參與進攻防的實踐過程
2. 讓學生體驗到攻防的實踐過程
3. 讓學生了解到攻防的實踐過程
1.3 信息安全實訓室建設的應用需求
1.3.1提供真實的信息安全實驗教學環境
社會或企事業單位用人的標準是更需要的是具有動手能力的網絡安全技術人才這和學校的人才培養模式、培養目標等方面與存在著差距。現在很多學校更多的是注重理論的教學,現在,很多政府機關、電信及金融行業更需要的是具有動手能力的網絡安全技術人才。對于學校來說,學生動手能力的培養,在很大程度上取決于學校的安全實驗環境和學生的實踐經驗。那對于我們信息安全專業或網絡安全方向的教學,如何來做到這一點?這就要求提供真實的實驗環境。
1.3.2滿足不同層次實驗的需要
對于很多高等院校來說,建信息安全實訓室需要它能滿足做不同類別的實驗。這就要求在這個實訓室內同時完成不同層次人才的培養需要。涵蓋協議安全、操作系統、密碼機制、PKI/PMI數字證書、安全審計、網絡攻擊與防御、網絡病毒、網絡后門與隱身、網絡掃描與監聽、防火墻與入侵檢測、認證和授權、日志與審計、網絡安全方案設計、網絡管理等等。
1.3.3提供實訓室配套的實驗教學系統
就是網絡與信息安全實訓室是建成了,如何能迅速的將這個實訓室應用到教學中去,這就要求合作伙伴或廠家在提供解決方案的時候,能一并考慮相關的教學支持系統,即廠家不僅僅是把設備賣給學校,還要解決相關的教材,師資等問題。必不可少的詳實豐富的實驗內容、系統的實踐型實驗教材、完善的師資培訓三個方面與實訓室的硬件配套教學系統。
1.3.4提供完備和成熟的整體解決方案
這就要求目前要在全國各類高等院校得到廣泛的應用,在業界是領導的地位。是投入了大量人力物力專注與教育行業,經得起實踐考驗的,成熟的方案。所提供的實驗內容、系統的實踐型實驗教材、完善的師資培訓都經過應用驗證的,并真正能提高學校教學效果和學生就業能力的。
各學校投入網絡與信息安全實訓室建設的經費有限,因此信息安全實訓室建設方案具有良好的性能價格比,經濟實用,適用范圍廣,技術符合信息安全教學的特點。通過精心分析信息安全教學實驗的課時量,要合理安排網絡教學實驗和網絡培訓實驗環節,完全能夠避免對教學體系的影響。同時可與各學院在校內合作開辦的網絡安全技術教育中心。滿足教學、科研需求,并在此基礎上,可進行信息安全技術職業認證培訓。
第二章 信息安全實訓室建設方案
2.1 信息安全實訓室建設原則
2.1.1 信息安全技術人才實訓環境的真實性
我國高校應屆畢業生的動手能力低是一個普遍現象,這也是眾多企業不愿意接收應屆畢業生的原因,部分學生的動手能力在一定程度上甚至不如高等院校的學生。高校一直采用“精英教育”模式,在理論教學上成績突出,但忽視了動手能力的培養。而大部分用人單位需要的是畢業即能融入日常工作的學生,因此我們需要用真實的設備、真實的案例、真實的實驗環境來鍛煉學生的實際動手能力,以改變一直以來的精英教學模式。
2.1.2 信息安全技術人才技能知識點覆蓋的全面性
信息安全實訓室的建設要適用于高等院校的多個專業,不同的年級學生學習。因此這就要求信息安全實訓室方案具有極強的適用性,適用于不同的情況。實驗內容應包括端口隔離技術、動態包檢測技術、主機安全技術、信息安全技術、病毒、木馬、網絡掃描與偵聽、流量工程、入侵檢測、入侵防御、內網審計、認證計費以及真實項目再現的大型綜合實驗。
2.1.3 信息安全實訓室的可管理性
信息安全實訓室會同時為一個或多個班級同時服務,那么就需要一套完整的管理系統來幫助老師擔任管理工作。管理實驗人員、實驗設備,實現實驗過程管理與實驗結果考核。同時管理系統可為學校提供遠程實驗與實驗預約功能,所有實驗人員都能夠通過管理系統登錄實訓室設備進行調試,在實驗完畢后,管理系統能夠將實驗痕跡徹底清除,為實訓室的下次使用做好準備。
2.1.4 信息安全實訓室方案的完整性
信息安全實訓室的建立并非是指實驗設備全部上架,然后將實訓室環境搭建起來就完工了。因為網絡安全實訓室后期的使用才是最為關鍵的,我們建設實訓室為的是培養網絡安全專業人才,所以如何運用這個實訓室培育出高質量的人才才是實訓室建設的目標。這就需要廠商在為學校提供網絡設備的同時,還要為學校提供完善的實驗教材以及專業的師資培訓,同時還要為學員提供高含金量的認證證書以提高畢業生的就業競爭力。
2.1.5 實訓環境自身安全性
制訂統一的安全策略,整體考慮實驗平臺的安全性。可以通過各業務子網隔離,統一規劃,根據不同的業務劃分子網。具有保證系統安全,防止系統被人為破壞的能力。
2.2 建設規模
1) 提供可支持信息安全專業全部科目類別的課程體系。
2) 提供可進行校內遠程指導的實訓室遠程網絡建設。
2.3 建設目標
符合國家信息安全技術人才培訓要求:
提供國家信息安全技術人才培訓的課程體系,該體系根據國家信息安全技術人才培訓標準進行制定,包含信息安全技術人才教材里的全部實踐課程。
信息安全實驗環境可控性:
提供信息安全攻防技能基礎學習所需的實驗環境、工具,且實驗環境以不影響物理網絡為建設原則,工具以不允許學員拷貝離開實訓室為建設原則。
攻防實戰環境的真實性:
提供符合現代企業內部網絡環境的攻防實驗供學生進行攻防演練,作為提高學生綜合就業競爭力的實踐基礎。
實驗環境的可恢復性:
提供可對實驗環境進行反復使用的基礎環境,提供維護量較低的實行方法。
具備評測與科研課題研究的實行性:
能夠對學校科研課題成功進行相應的環境壓力測試,以及能夠實行科研課題的開展及科研課題的進行。
具備活動組織的可行性:
支持持續性實訓室運營,如培訓基地建設、橫向課題及安全競賽組織等。
綜合提供就業競爭力:
培訓學生全面的安全技能動手能力,為社會企業輸出可即時上崗的合格安全人員。
2.4信息安全攻防教學實訓室解決方案
信息安全技術人才實訓平臺系統主要用于計算機信息安全教育,培訓,提供體系化實驗課程以及實驗環境,為現有的網絡信息安全教學,培訓提供基本的思路以及課程安排;教師可以通過信息安全教育平臺系統,結合各種安全設備進行實驗課程的教學;
2.4.1 信息安全實訓室框架
信息安全實訓室主要以基礎設備、應用平臺(課件資源池、應用環境仿真系統)、工具平臺、防御體系、綜合實訓室管理平臺等六大模塊組成,不僅可以提供各種安全演練實驗操作,同時為教師提供本地信息安全課題研究。
第三章 信息安全技術人才實驗教學內容
3.1 實驗內容列表
組建信息安全實驗室的工作,可以按照實驗室的性質和當前需要分為安全基礎防護實驗、安全設備配置與使用實驗、信息安全基線配置實驗、初級滲透測試實驗和綜合安全實驗等幾個方面。| 編號 | 實驗內容 | 掌握技能 | 掌握程度 | 面向對象 |
| 1 | 操作系統帳戶原理 | 帳戶密碼安全設置 | 符合信息安全技術人才信息安全基礎防護工作內容 | 中職、高職、本科 |
| 2 | 操作系統帳戶配置技術 | 中職、高職、本科 | ||
| 3 | 針對操作系統帳戶常見的攻擊方法 | 中職、高職、本科 | ||
| 4 | 操作系統帳戶安全策略配置要點 | 中職、高職、本科 | ||
| 5 | 主機防火墻原理 | 主機防火墻安全設置 | 中職、高職、本科 | |
| 6 | 主機防火墻配置技術 | 中職、高職、本科 | ||
| 7 | 個人防火墻使用方法 | 中職、高職、本科 | ||
| 8 | 防病毒軟件特點介紹 | 防病毒軟件安裝配置 | 中職、高職、本科 | |
| 9 | 防病毒軟件基本原理 | 中職、高職、本科 | ||
| 10 | 防病毒軟件配置技術 | 中職、高職、本科 | ||
| 11 | Windows/Linux操作系統的系統服務和進程工作原理 | 系統服務和進程管理 | 中職、高職、本科 | |
| 12 | Windows/Linux操作系統常見系統服務和進程管理知識 | 中職、高職、本科 | ||
| 13 | Windows/Linux操作系統的系統服務和進程優化方法 | 中職、高職、本科 | ||
| 14 | 操作系統系統服務和進程常見的攻擊方法 | 中職、高職、本科 | ||
| 15 | 主機注冊表配置基礎 | 常用注冊表及文件權限安全配置 | 中職、高職、本科 | |
| 16 | 主機文件及目錄權限配置技術 | 中職、高職、本科 | ||
| 17 | 瀏覽器安全配置技術 | 中職、高職、本科 | ||
| 18 | 系統升級及補丁配置知識 | 系統升級及補丁安裝配置 | 中職、高職、本科 | |
| 19 | 版本升級及補丁安裝注意事項 | 中職、高職、本科 | ||
| 20 | 加解密技術原理 | 加解密基礎 | 中職、高職、本科 | |
| 21 | 加解密算法知識 | 中職、高職、本科 | ||
| 22 | 混合加解密體系的使用方法 | 中職、高職、本科 | ||
| 23 | 身份認證技術原理 | 身份認證基礎 | 中職、高職、本科 | |
| 24 | 公共密鑰與數字證書認證體系PKI/CA基礎知識 | 中職、高職、本科 | ||
| 25 | 防火墻技術原理 | 硬件防火墻安裝配置 | 符合信息安全技術人才常用安全設備安裝和配置工作內容 | 中職、高職、本科 |
| 26 | 硬件防火墻的分類與特點 | 中職、高職、本科 | ||
| 27 | 防火墻配置技術 | 中職、高職、本科 | ||
| 28 | VPN的概念和工作原理 | VPN系統安裝配置 | 中職、高職、本科 | |
| 29 | VPN系統的分類與特點 | 中職、高職、本科 | ||
| 30 | VPN配置技術 | 中職、高職、本科 | ||
| 31 | 入侵防范系統(IDS/IPS)原理 | 入侵防范系統(IDS/IPS)安裝配置 | 中職、高職、本科 | |
| 32 | 入侵防范系統(IDS/IPS)的分類與特點 | 中職、高職、本科 | ||
| 33 | 入侵防范系統(IDS/IPS)部署知識 | 中職、高職、本科 | ||
| 34 | 入侵防范系統(IDS/IPS)配置技術 | 中職、高職、本科 | ||
| 35 | WEB應用防火墻原理 | WEB應用防火墻安裝配置 | 中職、高職、本科 | |
| 36 | WEB應用防火墻分類與特點 | 中職、高職、本科 | ||
| 37 | WEB應用防火墻部署知識 | 中職、高職、本科 | ||
| 38 | WEB應用防火墻配置技術 | 中職、高職、本科 | ||
| 39 | 審計系統原理 | 審計系統安裝配置 | 中職、高職、本科 | |
| 40 | 審計系統的分類和特點 | 中職、高職、本科 | ||
| 41 | 審計系統配置技術 | 中職、高職、本科 | ||
| 42 | 網絡防病毒系統原理 | 網絡防病毒系統安裝配置 | 中職、高職、本科 | |
| 43 | 網絡防病毒系統的種類和特點 | 中職、高職、本科 | ||
| 44 | 網絡防病毒系統配置技術 | 中職、高職、本科 | ||
| 45 | 網絡設備安全配置技術 | 網絡設備安全配置 | 符合信息安全技術人才信息安全基線配置工作內容 | 中職、高職、本科 |
| 46 | 網絡設備基線基本要求 | 中職、高職、本科 | ||
| 47 | 主機系統安全配置技術 | 主機系統安全配置 | 中職、高職、本科 | |
| 48 | 主機系統基線基本要求 | 中職、高職、本科 | ||
| 49 | 應用系統安全配置技術 | 應用系統安全配置 | 中職、高職、本科 | |
| 50 | 應用系統基線基本要求 | 中職、高職、本科 | ||
| 51 | 信息收集方法與技術 | 信息收集與工具掃描 | 符合信息安全技術人才初級滲透測試技術工作內容 | 中職、高職、本科 |
| 52 | 掃描工具使用方法 | 中職、高職、本科 | ||
| 53 | 漏洞類型與危害知識 | 中職、高職、本科 | ||
| 54 | 漏洞形成原理 | 常見漏洞手工檢測 | 中職、高職、本科 | |
| 55 | 漏洞的利用方法和原理 | 中職、高職、本科 | ||
| 56 | 漏洞測試方法和原理 | 中職、高職、本科 | ||
| 57 | 漏洞修復方法 | 中職、高職、本科 | ||
| 58 | 滲透測試報告編制要點 | 編制滲透測試報告 | 中職、高職、本科 | |
| 59 | 滲透測試報告編制模板 | 中職、高職、本科 | ||
| 60 | 機房場地安全基本要求 | 機房安全巡查 | 符合信息安全技術人才日常安全巡查工作內容 | 中職、高職、本科 |
| 61 | 機房環境基本要求 | 中職、高職、本科 | ||
| 62 | 機房安防基本要求 | 中職、高職、本科 | ||
| 63 | 網絡設備安全合規性 | 網絡安全巡查 | 中職、高職、本科 | |
| 64 | 網絡安全巡查范圍要求 | 中職、高職、本科 | ||
| 65 | 網絡設備巡查規程 | 中職、高職、本科 | ||
| 66 | 網絡設備檢測方法 | 中職、高職、本科 | ||
| 67 | 主機設備安全合規性 | 主機系統安全巡查 | 中職、高職、本科 | |
| 68 | 主機硬件安全維護 | 中職、高職、本科 | ||
| 69 | 應用系統(如:郵件系統、WEB系統、文件服務系統和域控系統等)安全維護 | 應用及數據安全巡查 | 中職、高職、本科 | |
| 70 | 數據庫系統安全維護 | 中職、高職、本科 |
3.2 實驗進度設計
由于實驗內容涉及面廣,考慮到學生的學習知識需要遵循“循序漸進”規則,故在設計該實驗室時,我們對實驗進行了兩個層面的分類,并對實驗進度有如下設計:應用系統防護基礎類:
第一階段:應用系統安全基礎理論
基礎理論:包括相關的基礎理論、原型以及實驗原理等;
第二階段:應用系統安全基礎實驗操作
在經過第一階段基礎理論認識后,進入第二階段應用系統安全各個知識模塊的實驗演示與實驗操作,配套的資料包括:
第三階段:應用系統安全攻防演練
在經過第二階段的基礎實驗之后,進行仿真企業環境的實驗操作環境進行組別學生的攻防演練,使學生加固已學基礎知識并使教師得以評測學生學習掌握程度。