网络安全实验室建设的探讨

摘要:网络安全是当前高校实验室教学重要课程之一,也是高校培养合格的信息安全人才的重要科目。该文结合高校的教学情况,对建设信息安全教学实验室的问题进行了探索,提出了一个有助于高校信息安全教学实验室建设的方案。

关键词:网络安全;实验室建设;信息安全

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)26-7570-02

Network Safety Laboratory Construction of Study

LIU Qing-jie1, GAO Huan-zhi2, WANG Xiao-ying1, BAI Ling1

(1.Institute of Disaster Prevention Science and Technology, Beijing 065201, China; 2.General Research Institute for Nonferrous Metals, Beijing 100088, China)

Abstract: The network safety is current Gao Xiao4 laboratory teaching importance one of the courses, is also Gao Xiao4 development qualified information safety talented person of importance category.This text combine Gao Xiao4's teaching circumstance, carried on investigate to the problem of the safety teaching of the construction information laboratory and put forward a contribute to Gao Xiao4 an information safety teaching laboratory construction of project.

Key words: Network safety; laboratory construction; information safety

随着计算机网络技术的普及,电子政务和电子商务得到越来越广泛的应用。这样,网络安全的问题随之产生,病毒感染与“黑客”攻击成为计算机网络安全的重要课题。加强计算机网络建设成为电子商务增值业务的关键。为适应这一形势,2000 年教育部批准在高校中建立信息安全本科专业,培养社会急需的信息安全专门人才。而目前大多数高校的信息安全课程偏重于理论教学,而相应的实验教学环节滞后。所以建设一个满足信息安全专业教学要求的综合实验室是高校信息安全专业建设和培养合格的信息安全人才具有重要的意义。

1 网络安全实验室建设的背景

尽管近几年来,国家和各企事业单位对信息安全的问题越来越重视,并且投入大量的人力和财力来加强网络的安全,但我国的计算机网络安全的形势还是相当严峻。2001年1-6月份,我国互联网上多次爆发大范围蠕虫传播事件,影响最大的微软视窗LSASSL漏洞的“震荡波”系列蠕虫,感染用户数量达到数以百万计。此外木马程序带来的危害愈加严重,据抽样监测统计,我国有大量计算机中被放置木马程序,所开放的后门一旦被人恶意利用后果将十分严重。

根据国家计算机网络应急技术处理协调中心(CNCERT /CC )的权威统计结果,2005 年,CNCERT / CC 及其各省分中心共接受来自国内外的网络安全事件报告总计达到12 万件,与2004 年相比,数量增加一倍以上。同时,与2003 年相比,2004年和2005 年安全事件报告的数量的增长更加明显。

企业商业业内部网络的安全问题是企业信息化首先需要解决的一个关键的问题。每个企业商业都需要专门的信息安全人员来制订合适的安全策略,并用各种安全技术来实施安全策略,保证内部网络的安全和各种网络服务的可靠提供。信息化建设需要大量的信息安全人员来保驾护航,为企业商业信息化建设培养网络安全基本理论和技术技能的专门人才迫在眉睫。

高校作为我国培养专门技术人才的最重要机构,原有的网络技术和网络安全方面的实验教学已经跟不上新设立的信息安全专业的建设和发展的要求。新的形势要求高等院校建专业教学要求的综合实验室,要在网络安全实验室的硬件上进行改造,还要实验教学上做出更大的调整,设计出一批更适合学生教学要求的实验项目。

2 网络安全实验室建设的要求

网络安全涉及到国际和国家信息安全标准、密码学理论、各种信息安全基本理论和技术等等,涵盖的范围非常广泛。不同层次的学生和不同专业方向的学生,对其掌握信息安全理论与技术的要求不同。网络方向的本科生应该掌握较为完整的网络安全的理论和技术,具备基本的网络安全管理的实际技能。网络安全实验室也应该能够满足研究生在网络安全方向的实验教学的需求。

网络信息技术日新月异,相关领域的理论和技术发展很快。实验室提供的信息安全实验平台应该能够及时升级、更新,以适应技术的发展。在建设信息安全实验室时,要遵循良好的可扩充性原则。实验室的设备能够方便的通过软硬件升级的方式,保证实验室跟上信息安全技术发展的趋势。

网络安全技术是基于网络通讯协议构建的。目前基于IFv4 的仲网络正在向下一代的网络层协议工Pv6 转变和过渡。除了提供几乎无穷的工Pv6 地址之外,工Pv6 的安全性也得到了极大的改善。因此在设备的采购和实验室建设的过程中,应该充分考虑到对未来工Pv6 协议的兼容性。信息安全实验室除了提供本科生信息安全相关课程教育的实验环境以外,还应该结合学生将来就业的需求,在设备的采购过程中既考虑到技术上的先进性,又考虑到设备的实用性。

3 建立网络安全实验实验的探讨

根据网络安全实验室的设计原则,实验室分成十个小组,每个小组可以容纳4 ―6 人做实验。每个实验小组组成一个子网,各实验小组子网间通过一台三层交换机分割。实验室还有一个由各种基本的网络服务器组成的专门为各子网提供服务的服务器子网,该子网也通过三层交换机与其他实验小组子网相连。各实验小组可以获得服务器子网的服务,也可以模拟访问、攻击服务器子网。

实验小组子网主要由一台高性能PC 机和4 ―6 台学生用PC 机组成。高性能PC 机的Windows 操作系统上安装由北京艾克斯特工业自动化技术有限公司开发的的商用防火墙软件“清网”防火墙软件。该防火墙软件具有强大的数据包过滤、VPN ( Virtual Private Network )、NAT ( Network Address Trallsitioll )入侵检测、安全审计等功能。高性能PC 机的Linux 操作系统上安装各种基于Linux 的网络安全工具。源码公开的Limix 操作系统具有很强的网络互联功能,同时Limix 操作系统还提供许多使用性很强的网络安全工具,如lptables FreeS / WAN 虚拟专用网(vPN )软件、ClamAN 病毒扫描引擎等。基于这些网络安全工具的实验项目和安全工具源代码的分析对学生掌握网络安全的基本理论和基本技能具有较大的促进作用。

首先基本实验能够满足计算机本科生网络安全实验教学的要求。通过基本实验,学生能够掌握保障网络安全的一些基本技术的使用方法,其中最主要的是防火墙数据包过滤功能和NAT 功能的配置。具体掌握L inux 操作系统下防火墙和NAT 功能的配置,W indows 操作系统下“清网”防火墙数据包过滤和NAT 功能的配置。

防火墙基本实验:每个小组可以通过配置自己网络中安装的“清网”防火墙和Limix 防火墙来访问、攻击服务器网络中的网络应用服务器。通过配置防火墙过滤规则和攻击用PC 机上的各种攻击工具,理解防火墙在网络中的地位、作用和工作机理、熟悉防火墙的各种配置手段。网络地址转换(NAT )基本实验:每个小组可以通过配置自己网络中安装了“清网”模块和Linux NAT 模块的PC 机,理解NAT 的工作机理、熟悉NAT 的各种配置手段。

其次在掌握以上基本实验的基础上,对网络方向的本科生还要求其掌握高级的信息安全技术及其相应的实验。这些技术包括v 洲技术及其配置、数字证书发放的实验、通过数字证书进行身份认证的实验、入侵检测实验、安全审计实验、病毒防治实验、网络扫描实验等等。

数字证书发实验:通过服务器网络中的以证书服务器,为各个实验小组中的成员在线或离线发放数字证书。让学生掌握公钥密码体制中公钥和私钥生成、公钥的安全传送、私钥的存放、数字证书的申请和存放等技术,加深对基于FKI 的数字证书技术整体框架的理解。基于数字证书的身份认证实验:各小组的成员以发放的数字证书为凭证,访问服务器网络中的网络服务。服务器在提供网络服务之前,要先通过小组成员的数字证书进行身份认证,只有合法的用户才能获得相关的服务。入侵检测实验:利用各小组网络中作为防火墙的PC 机上安装的“清网”防火墙软件的入侵检测模块和Limix 操作系统下的Snort 的入侵检测工具进行入侵检测方面的实验。通过实验,加深对入侵检测技术的理解和实际入侵检测软件的使用。安全审计实验:利用各小组网络中作为防火墙的PC 机上安装的“清网”防火墙软件的安全审计模块进行安全审计方面的实验。通过实验,加深对安全审计技术的理解和具体安全审计软件的使用。虚拟专网(VPN )实验:两个小组利用图3 所示的实验环境,通过配置各小组网络中作为防火墙的PC 机上安装的“清网”防火墙软件的V洲模块或Linux 下的FreeS / WAN VPN 模块,进行两个网络间通过v 洲技术进行安全连接的实验。通过实验,加深对基于IPsec 协议的V洲技术的理解和具体软件的使用。

再次实验室也能给高年级学生及研究生进行网络安全方面的创新实验提供相应的环境,如进行Linux 网络源代码分析、Linux 防火墙设计与实现、敏感信息过滤系统设计、IPSeC 协议的设计与实现、病毒扫描引擎设计与实现、工Pv6 环境下的网络安全问题的研究等。因为实验室所有的PC 机上都安装Linux 操作系统,Linux 操作系统平台上有很多基于开放源码的与信息安全相关的软件。学生可以改进这些软件,根据研究结果增加相应的功能模块,这些改进的软件可以在本实验室平台的PC 机上安装,验证软件功能改进的效果等。从而为学生的创新实验提供很好的平台。

随着计算机网络的发展,网络应用中面临着截获、中断、篡改和伪造等威胁,漏洞攻击、黑客大战、拒绝服务、网络钓鱼、间谍软件等都让网络安全威胁变得无处不在。安全威胁的日益严重决定着用户的需求,高等学校培养网络安全方面的专业技术人才已迫在眉捷。网络安全是一门实践性很强的学科,建设一个满足信息安全专业教学要求的实验室是培养合格的信息安全人才的关键之一。本文论述了网络安全实验室建设的必要性,提出了建设过程中应遵循的基本原则,讨论了建设网络安全实验室的具体方案,并给出了网络安全实验项目的参考方案,这些对高校网络安全教学实验室的建设具有较大的参考价值。

参考文献:

[1] 魏立伟,姚跃华,弼成.信息类专业实验室建设的思路与实践[J].中国科技信息,2005(1).

[2] 黄海军.基于三层交换网络实验室规划与组建[J].江苏技术师范学院学报,2002(12).

[3] 潘自强,焦中明.高校网络实验室建设研究[J].计算机与现代化,2003(11).