淺談信息安全攻防實驗室建設
第一章 信息安全技術人才需求分析
1.1 國內(nèi)信息安全技術人才的需求現(xiàn)狀分析
調(diào)查顯示,從2006到2012年,網(wǎng)絡信息安全行業(yè)的就業(yè)需求將以年均14%的速度遞增。到2012年,網(wǎng)絡安全行業(yè)的就業(yè)總人數(shù)將由目前的220萬上升到310萬,即以每年15萬的需求量遞增。無論是職業(yè)前景、受重視程度、提升空間還是薪酬基數(shù)、薪酬增長預期等,網(wǎng)絡安全職業(yè)較IT其它職業(yè)都更為優(yōu)越。調(diào)查結果再次說明了網(wǎng)絡安全重要性的日益增強,“整個企業(yè)領域逐漸認識到網(wǎng)絡安全的重要性”。
另外,從目前國內(nèi)各企事業(yè)單位的IT技術人員需求來看,信息安全技術人才十分匱乏。隨著計算機的廣泛使用,病毒的種類也越來越多,危害越來越大。專業(yè)的信息安全技術人才還是國內(nèi)IT人才架構中的一個空白。隨著信息安全受到社會各界越來越多的關注,以及入侵事件和電腦病毒危害的頻頻發(fā)生,從企業(yè)內(nèi)部網(wǎng)絡的管理維護到反病毒軟件的安裝、調(diào)試、維護及使用,都需要具備一定安全技能的技術人員來擔任。因此,信息安全技術人才必將成為國內(nèi)I T技術人才需求的一個新熱點。
1.2 國內(nèi)信息安全技術人才的教育現(xiàn)狀分析
我國的網(wǎng)絡安全學科的人才培養(yǎng)已經(jīng)拉開了序幕,但是與發(fā)達國家相比,我國高校的安全方向培養(yǎng)學生規(guī)模、學科建設、實訓室建設、實踐教學等方面還存在著很大的差距,理論多于實踐的現(xiàn)象在各高校已是相當普遍,遠遠不能滿足信息化進程對應用型人才的迫切需求。
由于信息系統(tǒng)本身的脆弱性和不斷出現(xiàn)的復雜性,信息安全、網(wǎng)絡安全的問題也日趨嚴重,而在建設信息安全專業(yè)的過程中,存在著以下的嚴重的不足:
專業(yè)基礎課程覆蓋廣、難度大
信息安全領域的知識覆蓋面廣、學習難度大,涉及的核心課程有密碼學、PKI原理與技術、網(wǎng)絡操作系統(tǒng)、網(wǎng)絡攻擊與防范、計算機病毒原理與技術等。許多安全技術需要強大的理論支撐,這些理論往往建立在大量抽象、復雜的數(shù)學模型及計算機網(wǎng)絡基礎上,這就要求學生對專業(yè)基礎課程有著全面、深入地掌握。
實踐教學環(huán)境搭建困難
作為一門交叉學科,信息安全不僅具有很強的理論性,同時具有非常強的實踐性,許多安全技術需要在實踐過程中去認識,往往需要專業(yè)的、能夠提供多種復雜環(huán)境的教學平臺。該平臺要求能夠快速搭建,減少實驗環(huán)境準備時間,要求能夠快速恢復,保證實驗環(huán)境、實驗場景可再現(xiàn),并且該平臺一定要易于管理。
實踐教學積累相對薄弱
信息安全是一門新興的學科,與傳統(tǒng)的軟件工程、網(wǎng)絡工程教學相比,高校在信息安全學科建設、教學積累、實驗要求上仍處于探索階段,各個高校之間的培養(yǎng)方式和側重點都存在差異,尤其是在實踐教學環(huán)節(jié)上,教學經(jīng)驗還有待豐富,科學合理的教學模式有待形成。
獲取行業(yè)案例有困難
缺少來自行業(yè)的項目案例,缺少獲取行業(yè)案例的渠道。在教學中“如何能夠獲取到有效的行業(yè)案例”、“如何對案例進行教學改造”一直以來都是困擾教師的一個問題,教師需要一個能夠持續(xù)獲取行業(yè)案例的渠道。
現(xiàn)有網(wǎng)絡安全設備無法有效利用
在一個已經(jīng)部署防毒軟件、防火墻、IDS、VPN等傳統(tǒng)信息安全產(chǎn)品的網(wǎng)絡環(huán)境中,很少有人清晰的知道這些安全產(chǎn)品的作用,以及能夠為計算機安全所帶來的保障,嚴重匱乏的教學和培訓環(huán)境,讓很多教師感到無從著手,無力進行計算機安全的培訓教育,而且網(wǎng)絡安全的培訓不是書本知識,必須是靠知識和經(jīng)驗的積累,有經(jīng)驗的高手在這個市場里可以更有作為,對于面臨的一下問題也無法解決:
問題一:如何更加有效的教育,培訓學生在計算機安全方面的知識匱乏;
問題二:怎樣的教學,培訓方式才能讓學生更加快捷,高效的學習計算機安全方面的知識;
問題三:什么樣的教學,培訓環(huán)境才能讓學生更容易,積極的學習計算機安全方面的知識,增強計算機安全意識。
問題四:如何才能讓學生在學校的安全課程培訓期間就獲得豐富的網(wǎng)絡安全攻防的經(jīng)驗
該如何解決上述的在信息安全課程教學中所遇到的一個個的問題呢?
我們提出了以下幾點:
1. 讓學生參與進攻防的實踐過程
2. 讓學生體驗到攻防的實踐過程
3. 讓學生了解到攻防的實踐過程
1.3 信息安全實訓室建設的應用需求
1.3.1提供真實的信息安全實驗教學環(huán)境
社會或企事業(yè)單位用人的標準是更需要的是具有動手能力的網(wǎng)絡安全技術人才這和學校的人才培養(yǎng)模式、培養(yǎng)目標等方面與存在著差距,F(xiàn)在很多學校更多的是注重理論的教學,現(xiàn)在,很多政府機關、電信及金融行業(yè)更需要的是具有動手能力的網(wǎng)絡安全技術人才。對于學校來說,學生動手能力的培養(yǎng),在很大程度上取決于學校的安全實驗環(huán)境和學生的實踐經(jīng)驗。那對于我們信息安全專業(yè)或網(wǎng)絡安全方向的教學,如何來做到這一點?這就要求提供真實的實驗環(huán)境。
1.3.2滿足不同層次實驗的需要
對于很多高等院校來說,建信息安全實訓室需要它能滿足做不同類別的實驗。這就要求在這個實訓室內(nèi)同時完成不同層次人才的培養(yǎng)需要。涵蓋協(xié)議安全、操作系統(tǒng)、密碼機制、PKI/PMI數(shù)字證書、安全審計、網(wǎng)絡攻擊與防御、網(wǎng)絡病毒、網(wǎng)絡后門與隱身、網(wǎng)絡掃描與監(jiān)聽、防火墻與入侵檢測、認證和授權、日志與審計、網(wǎng)絡安全方案設計、網(wǎng)絡管理等等。
1.3.3提供實訓室配套的實驗教學系統(tǒng)
就是網(wǎng)絡與信息安全實訓室是建成了,如何能迅速的將這個實訓室應用到教學中去,這就要求合作伙伴或廠家在提供解決方案的時候,能一并考慮相關的教學支持系統(tǒng),即廠家不僅僅是把設備賣給學校,還要解決相關的教材,師資等問題。必不可少的詳實豐富的實驗內(nèi)容、系統(tǒng)的實踐型實驗教材、完善的師資培訓三個方面與實訓室的硬件配套教學系統(tǒng)。
1.3.4提供完備和成熟的整體解決方案
這就要求目前要在全國各類高等院校得到廣泛的應用,在業(yè)界是領導的地位。是投入了大量人力物力專注與教育行業(yè),經(jīng)得起實踐考驗的,成熟的方案。所提供的實驗內(nèi)容、系統(tǒng)的實踐型實驗教材、完善的師資培訓都經(jīng)過應用驗證的,并真正能提高學校教學效果和學生就業(yè)能力的。
各學校投入網(wǎng)絡與信息安全實訓室建設的經(jīng)費有限,因此信息安全實訓室建設方案具有良好的性能價格比,經(jīng)濟實用,適用范圍廣,技術符合信息安全教學的特點。通過精心分析信息安全教學實驗的課時量,要合理安排網(wǎng)絡教學實驗和網(wǎng)絡培訓實驗環(huán)節(jié),完全能夠避免對教學體系的影響。同時可與各學院在校內(nèi)合作開辦的網(wǎng)絡安全技術教育中心。滿足教學、科研需求,并在此基礎上,可進行信息安全技術職業(yè)認證培訓。
第二章 信息安全實訓室建設方案
2.1 信息安全實訓室建設原則
2.1.1 信息安全技術人才實訓環(huán)境的真實性
我國高校應屆畢業(yè)生的動手能力低是一個普遍現(xiàn)象,這也是眾多企業(yè)不愿意接收應屆畢業(yè)生的原因,部分學生的動手能力在一定程度上甚至不如高等院校的學生。高校一直采用“精英教育”模式,在理論教學上成績突出,但忽視了動手能力的培養(yǎng)。而大部分用人單位需要的是畢業(yè)即能融入日常工作的學生,因此我們需要用真實的設備、真實的案例、真實的實驗環(huán)境來鍛煉學生的實際動手能力,以改變一直以來的精英教學模式。
2.1.2 信息安全技術人才技能知識點覆蓋的全面性
信息安全實訓室的建設要適用于高等院校的多個專業(yè),不同的年級學生學習。因此這就要求信息安全實訓室方案具有極強的適用性,適用于不同的情況。實驗內(nèi)容應包括端口隔離技術、動態(tài)包檢測技術、主機安全技術、信息安全技術、病毒、木馬、網(wǎng)絡掃描與偵聽、流量工程、入侵檢測、入侵防御、內(nèi)網(wǎng)審計、認證計費以及真實項目再現(xiàn)的大型綜合實驗。
2.1.3 信息安全實訓室的可管理性
信息安全實訓室會同時為一個或多個班級同時服務,那么就需要一套完整的管理系統(tǒng)來幫助老師擔任管理工作。管理實驗人員、實驗設備,實現(xiàn)實驗過程管理與實驗結果考核。同時管理系統(tǒng)可為學校提供遠程實驗與實驗預約功能,所有實驗人員都能夠通過管理系統(tǒng)登錄實訓室設備進行調(diào)試,在實驗完畢后,管理系統(tǒng)能夠?qū)嶒灪圹E徹底清除,為實訓室的下次使用做好準備。
2.1.4 信息安全實訓室方案的完整性
信息安全實訓室的建立并非是指實驗設備全部上架,然后將實訓室環(huán)境搭建起來就完工了。因為網(wǎng)絡安全實訓室后期的使用才是最為關鍵的,我們建設實訓室為的是培養(yǎng)網(wǎng)絡安全專業(yè)人才,所以如何運用這個實訓室培育出高質(zhì)量的人才才是實訓室建設的目標。這就需要廠商在為學校提供網(wǎng)絡設備的同時,還要為學校提供完善的實驗教材以及專業(yè)的師資培訓,同時還要為學員提供高含金量的認證證書以提高畢業(yè)生的就業(yè)競爭力。
2.1.5 實訓環(huán)境自身安全性
制訂統(tǒng)一的安全策略,整體考慮實驗平臺的安全性。可以通過各業(yè)務子網(wǎng)隔離,統(tǒng)一規(guī)劃,根據(jù)不同的業(yè)務劃分子網(wǎng)。具有保證系統(tǒng)安全,防止系統(tǒng)被人為破壞的能力。
2.2 建設規(guī)模
1) 提供可支持信息安全專業(yè)全部科目類別的課程體系。
2) 提供可進行校內(nèi)遠程指導的實訓室遠程網(wǎng)絡建設。
2.3 建設目標
符合國家信息安全技術人才培訓要求:
提供國家信息安全技術人才培訓的課程體系,該體系根據(jù)國家信息安全技術人才培訓標準進行制定,包含信息安全技術人才教材里的全部實踐課程。
信息安全實驗環(huán)境可控性:
提供信息安全攻防技能基礎學習所需的實驗環(huán)境、工具,且實驗環(huán)境以不影響物理網(wǎng)絡為建設原則,工具以不允許學員拷貝離開實訓室為建設原則。
攻防實戰(zhàn)環(huán)境的真實性:
提供符合現(xiàn)代企業(yè)內(nèi)部網(wǎng)絡環(huán)境的攻防實驗供學生進行攻防演練,作為提高學生綜合就業(yè)競爭力的實踐基礎。
實驗環(huán)境的可恢復性:
提供可對實驗環(huán)境進行反復使用的基礎環(huán)境,提供維護量較低的實行方法。
具備評測與科研課題研究的實行性:
能夠?qū)W?蒲姓n題成功進行相應的環(huán)境壓力測試,以及能夠?qū)嵭锌蒲姓n題的開展及科研課題的進行。
具備活動組織的可行性:
支持持續(xù)性實訓室運營,如培訓基地建設、橫向課題及安全競賽組織等。
綜合提供就業(yè)競爭力:
培訓學生全面的安全技能動手能力,為社會企業(yè)輸出可即時上崗的合格安全人員。
2.4信息安全攻防教學實訓室解決方案
信息安全技術人才實訓平臺系統(tǒng)主要用于計算機信息安全教育,培訓,提供體系化實驗課程以及實驗環(huán)境,為現(xiàn)有的網(wǎng)絡信息安全教學,培訓提供基本的思路以及課程安排;教師可以通過信息安全教育平臺系統(tǒng),結合各種安全設備進行實驗課程的教學;
2.4.1 信息安全實訓室框架
信息安全實訓室主要以基礎設備、應用平臺(課件資源池、應用環(huán)境仿真系統(tǒng))、工具平臺、防御體系、綜合實訓室管理平臺等六大模塊組成,不僅可以提供各種安全演練實驗操作,同時為教師提供本地信息安全課題研究。
第三章 信息安全技術人才實驗教學內(nèi)容
3.1 實驗內(nèi)容列表
組建信息安全實驗室的工作,可以按照實驗室的性質(zhì)和當前需要分為安全基礎防護實驗、安全設備配置與使用實驗、信息安全基線配置實驗、初級滲透測試實驗和綜合安全實驗等幾個方面。編號 | 實驗內(nèi)容 | 掌握技能 | 掌握程度 | 面向?qū)ο?/td> |
1 | 操作系統(tǒng)帳戶原理 | 帳戶密碼安全設置 | 符合信息安全技術人才信息安全基礎防護工作內(nèi)容 | 中職、高職、本科 |
2 | 操作系統(tǒng)帳戶配置技術 | 中職、高職、本科 | ||
3 | 針對操作系統(tǒng)帳戶常見的攻擊方法 | 中職、高職、本科 | ||
4 | 操作系統(tǒng)帳戶安全策略配置要點 | 中職、高職、本科 | ||
5 | 主機防火墻原理 | 主機防火墻安全設置 | 中職、高職、本科 | |
6 | 主機防火墻配置技術 | 中職、高職、本科 | ||
7 | 個人防火墻使用方法 | 中職、高職、本科 | ||
8 | 防病毒軟件特點介紹 | 防病毒軟件安裝配置 | 中職、高職、本科 | |
9 | 防病毒軟件基本原理 | 中職、高職、本科 | ||
10 | 防病毒軟件配置技術 | 中職、高職、本科 | ||
11 | Windows/Linux操作系統(tǒng)的系統(tǒng)服務和進程工作原理 | 系統(tǒng)服務和進程管理 | 中職、高職、本科 | |
12 | Windows/Linux操作系統(tǒng)常見系統(tǒng)服務和進程管理知識 | 中職、高職、本科 | ||
13 | Windows/Linux操作系統(tǒng)的系統(tǒng)服務和進程優(yōu)化方法 | 中職、高職、本科 | ||
14 | 操作系統(tǒng)系統(tǒng)服務和進程常見的攻擊方法 | 中職、高職、本科 | ||
15 | 主機注冊表配置基礎 | 常用注冊表及文件權限安全配置 | 中職、高職、本科 | |
16 | 主機文件及目錄權限配置技術 | 中職、高職、本科 | ||
17 | 瀏覽器安全配置技術 | 中職、高職、本科 | ||
18 | 系統(tǒng)升級及補丁配置知識 | 系統(tǒng)升級及補丁安裝配置 | 中職、高職、本科 | |
19 | 版本升級及補丁安裝注意事項 | 中職、高職、本科 | ||
20 | 加解密技術原理 | 加解密基礎 | 中職、高職、本科 | |
21 | 加解密算法知識 | 中職、高職、本科 | ||
22 | 混合加解密體系的使用方法 | 中職、高職、本科 | ||
23 | 身份認證技術原理 | 身份認證基礎 | 中職、高職、本科 | |
24 | 公共密鑰與數(shù)字證書認證體系PKI/CA基礎知識 | 中職、高職、本科 | ||
25 | 防火墻技術原理 | 硬件防火墻安裝配置 | 符合信息安全技術人才常用安全設備安裝和配置工作內(nèi)容 | 中職、高職、本科 |
26 | 硬件防火墻的分類與特點 | 中職、高職、本科 | ||
27 | 防火墻配置技術 | 中職、高職、本科 | ||
28 | VPN的概念和工作原理 | VPN系統(tǒng)安裝配置 | 中職、高職、本科 | |
29 | VPN系統(tǒng)的分類與特點 | 中職、高職、本科 | ||
30 | VPN配置技術 | 中職、高職、本科 | ||
31 | 入侵防范系統(tǒng)(IDS/IPS)原理 | 入侵防范系統(tǒng)(IDS/IPS)安裝配置 | 中職、高職、本科 | |
32 | 入侵防范系統(tǒng)(IDS/IPS)的分類與特點 | 中職、高職、本科 | ||
33 | 入侵防范系統(tǒng)(IDS/IPS)部署知識 | 中職、高職、本科 | ||
34 | 入侵防范系統(tǒng)(IDS/IPS)配置技術 | 中職、高職、本科 | ||
35 | WEB應用防火墻原理 | WEB應用防火墻安裝配置 | 中職、高職、本科 | |
36 | WEB應用防火墻分類與特點 | 中職、高職、本科 | ||
37 | WEB應用防火墻部署知識 | 中職、高職、本科 | ||
38 | WEB應用防火墻配置技術 | 中職、高職、本科 | ||
39 | 審計系統(tǒng)原理 | 審計系統(tǒng)安裝配置 | 中職、高職、本科 | |
40 | 審計系統(tǒng)的分類和特點 | 中職、高職、本科 | ||
41 | 審計系統(tǒng)配置技術 | 中職、高職、本科 | ||
42 | 網(wǎng)絡防病毒系統(tǒng)原理 | 網(wǎng)絡防病毒系統(tǒng)安裝配置 | 中職、高職、本科 | |
43 | 網(wǎng)絡防病毒系統(tǒng)的種類和特點 | 中職、高職、本科 | ||
44 | 網(wǎng)絡防病毒系統(tǒng)配置技術 | 中職、高職、本科 | ||
45 | 網(wǎng)絡設備安全配置技術 | 網(wǎng)絡設備安全配置 | 符合信息安全技術人才信息安全基線配置工作內(nèi)容 | 中職、高職、本科 |
46 | 網(wǎng)絡設備基線基本要求 | 中職、高職、本科 | ||
47 | 主機系統(tǒng)安全配置技術 | 主機系統(tǒng)安全配置 | 中職、高職、本科 | |
48 | 主機系統(tǒng)基線基本要求 | 中職、高職、本科 | ||
49 | 應用系統(tǒng)安全配置技術 | 應用系統(tǒng)安全配置 | 中職、高職、本科 | |
50 | 應用系統(tǒng)基線基本要求 | 中職、高職、本科 | ||
51 | 信息收集方法與技術 | 信息收集與工具掃描 | 符合信息安全技術人才初級滲透測試技術工作內(nèi)容 | 中職、高職、本科 |
52 | 掃描工具使用方法 | 中職、高職、本科 | ||
53 | 漏洞類型與危害知識 | 中職、高職、本科 | ||
54 | 漏洞形成原理 | 常見漏洞手工檢測 | 中職、高職、本科 | |
55 | 漏洞的利用方法和原理 | 中職、高職、本科 | ||
56 | 漏洞測試方法和原理 | 中職、高職、本科 | ||
57 | 漏洞修復方法 | 中職、高職、本科 | ||
58 | 滲透測試報告編制要點 | 編制滲透測試報告 | 中職、高職、本科 | |
59 | 滲透測試報告編制模板 | 中職、高職、本科 | ||
60 | 機房場地安全基本要求 | 機房安全巡查 | 符合信息安全技術人才日常安全巡查工作內(nèi)容 | 中職、高職、本科 |
61 | 機房環(huán)境基本要求 | 中職、高職、本科 | ||
62 | 機房安防基本要求 | 中職、高職、本科 | ||
63 | 網(wǎng)絡設備安全合規(guī)性 | 網(wǎng)絡安全巡查 | 中職、高職、本科 | |
64 | 網(wǎng)絡安全巡查范圍要求 | 中職、高職、本科 | ||
65 | 網(wǎng)絡設備巡查規(guī)程 | 中職、高職、本科 | ||
66 | 網(wǎng)絡設備檢測方法 | 中職、高職、本科 | ||
67 | 主機設備安全合規(guī)性 | 主機系統(tǒng)安全巡查 | 中職、高職、本科 | |
68 | 主機硬件安全維護 | 中職、高職、本科 | ||
69 | 應用系統(tǒng)(如:郵件系統(tǒng)、WEB系統(tǒng)、文件服務系統(tǒng)和域控系統(tǒng)等)安全維護 | 應用及數(shù)據(jù)安全巡查 | 中職、高職、本科 | |
70 | 數(shù)據(jù)庫系統(tǒng)安全維護 | 中職、高職、本科 |
3.2 實驗進度設計
由于實驗內(nèi)容涉及面廣,考慮到學生的學習知識需要遵循“循序漸進”規(guī)則,故在設計該實驗室時,我們對實驗進行了兩個層面的分類,并對實驗進度有如下設計:應用系統(tǒng)防護基礎類:
第一階段:應用系統(tǒng)安全基礎理論
基礎理論:包括相關的基礎理論、原型以及實驗原理等;
第二階段:應用系統(tǒng)安全基礎實驗操作
在經(jīng)過第一階段基礎理論認識后,進入第二階段應用系統(tǒng)安全各個知識模塊的實驗演示與實驗操作,配套的資料包括:
第三階段:應用系統(tǒng)安全攻防演練
在經(jīng)過第二階段的基礎實驗之后,進行仿真企業(yè)環(huán)境的實驗操作環(huán)境進行組別學生的攻防演練,使學生加固已學基礎知識并使教師得以評測學生學習掌握程度。