关于网络安全实验室的构建

2014-09-15

天津职业院校联合学报 2014年7期

(天津铁道职业技术学院，天津 300240)

网络信息技术的飞速发展，人们在享受数字化时代所带来的便捷的同时，越来越担心自身系统或信息的稳定和安全，如何保护网络中信息的安全成为网络安全学科最热点的课题，目前我国的网络安全及技术方面正出于起步阶段，网络安全科研和教育严重滞后，关键是网络安全人才的匮乏，要培养符合社会需求的网络安全技术人才，就需要提供一个基于网络安全实践教学的网络安全实验室。

1．建设网络安全实验室的特点和原则

1.1 建设网络安全实验室的特点

网络安全领域已经成为一个综合、交叉的学科领域，涉及到网络通信、信息系统、数据等各个层面，它需要综合利用计算机技术、网络通信、电子电路技术等诸多学科的长期知识积累和最新研究成果，网络安全也是一个复杂的系统工程，它涉及到信息基础建设、网络与系统的构造、信息系统与业务应用系统的开发、信息安全的法律法规、安全管理体系等。因此网络安全是网络通信应用领域安全防护问题的一门新兴的应用学科。

在实际的网络安全部署中，网络安全不是一个产品，也不是一个结果，而是一个过程，它是汇集了硬件、软件、网络、人与人之间相互关系和接口系统，因此，在建设网络安全实验室的过程中需要考虑安全的连续过程，以及网络安全中相互匹配链条中每一个因素。网络安全实验室的课程类型将根据网络安全的过程进行设置：网络安全分析阶段、网络安全保护阶段、网络安全检测阶段、网络安全管理阶段、网络安全恢复阶段。主要课程领域将涉及：网络物理安全、计算机软件安全、操作系统安全、安全协议理论和技术、数据库系统安全、入侵检测技术、漏洞扫描技术、防火墙技术、授权和认证、加密与数字签名、数据分析、行为监控等方面，整个安全过程相互间协同工作形成一整套实验课程。

网络安全实验室以构建安全的网络为主线，以信息安全、应用安全、用户安全和系统安全为支撑，从评估网络安全、制定网络安全策略、设计网络安全体系结构、部署安全应用技术，架构全面的安全层次体系结构。让学员在实验室实际的网络环境里将理论与实践相结合，提高学习效率。

网络安全实验室主要用来开展网络安全实验的，网络安全实验室的总体设计应当满足各方面网络实验的需求，因此完备性是网络实验室建设的基本目标。据此我们把计算机网络实验室的建设目标分为以下五个层次：

第一个层次是物理网络安全层。在网络物理安全实验室中可以做的网络物理安全实验是：物理链路安全、体系架构安全实验、防火墙物理部署实验、安全网关部署、硬件入侵检测部署、VPN部署等实验。网络物理安全实验的内容根据实际的研究需要来定，网络线路的复杂性需要尽可能模拟宽带数据城域网及大型园区网的组网方式和业务，能够根据网络架构的链路、体系结构来进行实验，完成桌面、接入、汇聚、核心、出口、应用等整个网络部署安全实验。

第二个层次是网络系统安全层。在网络系统安全层包括了网络操作系统安全、软件安全、数据库安全、协议分析、行为及模式匹配、安全评估、风险评估等实验内容，通过一系列操作系统、软件、协议分析器、数据库应用系统等应用环境进行组网，模拟真实的网络系统数据模型，开展一系列的验证、测试等技能型的系统级安全实验。

第三个层次是网络应用安全层。网络应用安全实验包含：防火墙技术实验、攻防实验、病毒防护实验、入侵检测技术实验、漏洞扫描、流量监控、VPN技术实验、安全审计实验、应用服务区域防护实验等。通过一系列的网络安全应用技术实验完成网络应用安全领域最核心的课程。

第四个层次是网络管理安全层。网络中的用户经常变化，并且难以进行管理，因此用户安全变得尤其重要，同时网络的管理包含了故障管理、设备管理、性能管理等等重要内容，因此对网络的管理本身的安全性要求就会更高，常用的网络管理安全实验包含：身份认证技术、对用户/组的管理、访问控制授权、网络状态、性能监控等管理实验，同时也具备了管理过程授权及加密等实验。

第五个层次是网络数据安全层。数据安全是一个非常重要的学科，数据是整个安全层次保护的核心，因此在整个网络安全层次中出于最高层，数据安全的实验内容包含了：密码技术、身份鉴别、数字签名、PKI技术、IPSAN设计、远程灾难备份等。

1.2 建设网络安全实验室的原则

第一，高可靠性。网络实验系统的稳定可靠是应用系统正常运行的前提保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。使得网络在高负荷情况下仍然具有较高的吞吐能力和效率，延迟低。

第二，标准性及开放性。通讯协议和接口符合国际标准。支持国际上通用标准的网络协议(如TCP/IP)、国际标准的开放协议，有利于保证与其他网络之间的平滑连接互通。方便接入不同厂商的设备和网络产品。在网络中，即使有多个网络和多应用并存，采用统一的标准，也能使这些网络能融合到一起，实现业务整合及数据集中。

第三，灵活性及可扩展性。根据未来业务的增长和变化，网络可以平滑的扩充和升级，最大程度的减少对网络架构和现有设备的调整。易于增加新设备、新用户，易于和各种公用网络连接，随系统应用的逐步成熟不断延伸和扩充，充分保护现有投资利益。

第四，先进性。高职院校作为最前沿学科和技术研究场所，要求网络实验室要配备最先进的网络设备，能够开展最新技术的科研、教学实践活动，对网络实验室的设备，网络方案的技术先进性要求非常高。

第五，可管理性。对网络实行集中监测，分权管理，并统一分配宽带资源。选用先进的网络管理平台，具有对设备、软件、接口等的管理，流量统计分析，及可提供故障自动报警。整个实验室平台可以进行远程控制。

第六，安全性。制订统一的安全策略，整体考虑实验平台的安全性。可以通过各业务子网隔离，统一规划，根据不同的业务划分子网。具有保证系统安全，防止系统被人为破坏的能力。支持AAA功能、ACL、IPSEC、NAT、路由验证、CHAP、PAP、CA、MD5、DES、3DES、日志等安全功能。

2．网络安全实验室解决方案的特点

2.1 实验内容完全满足高职院校的教学需要

高职院校教育培养目标的复杂性决定了其培养手段的多样性。在教学形式上，不仅有一定的理论教学，使学生掌握基本理论与基本知识，而且有大量的实验、实习、设计、实训等实践教学，培养学生的综合职业能力。

2.2 实验的综合性

让学生根据这些背景，运用所学的知识，去设计这个大型企业的整网安全解决方案。并且还要学生就用实验室里的设备，按照自己设计的拓扑来把这个企业的拓扑搭建起来；之后要求学生把搭建的企业网调通，部署好安全策略来优化这个网络，比如要配ACL、QOS等；同时设置一些病毒和攻击实时对网络关键业务造成侵扰，锻炼学生的处理问题的能力。通过综合性实验，学生的实战技能得到极大的锻炼，这对他们将来的就业及在工作岗位上的成长都是极有帮助。

3．网络安全实验室建设方案

3.1 网络安全实验室拓朴图

网络安全技术是一门实践性很强的学科，学生除了需要学习大量的网络技术知识、系统安全、数据安全知识之外同时也需要做大量的实验。随着需要进行网络安全实验的学生数量越来越多，安全实验的需求量也越来越大，如何有效管理网安全络实验室，如何方便的进行灵活的网络安全实验组合，如何组织配套的相关实验资料，成为了建设网络安全实验室的重要问题。

针对网络实验室的现状，安全实验基本单元的实验室设计理念(如图1所示)。

图-1

网络安全实验室解决方案把实验室分为6个区域，连接区、教师区、学生区、教学服务区、实验教学区和出口区。

整个实验环境都是模拟当前最新的网络安全技术应用环境设计，满足目前网络安全实验室需要，而且可以后期进行平滑升级，通过添加部分网络设备和模块来组建更为复杂的网络安全实验室环境，为学生提供更多的实验内容，实现更复杂的网络实验。

3.2 每组实验台资源配置

网络安全实验室方案中实验用的网络设备都由标准实验台这一网络实验基本单元组成。

安全实验台实验环境说明：配置两台三层交换机，作为每个小组的三层网关设备，同时可以开展DHCP Snooping、端口保护、PVLAN等试验；配置三台模块化路由器，作为每个小组的出口路由及访问控制实验环境，两台之间做路由器的GRE、IPsec、GREoIPsec VPN用，也可以用来在综合案例中模拟Internet。配置一台防火墙，作为每个小组的防火墙出口安全设备；配置一台IDS，可以完成入侵检测实验环境；配置两台VPN网关，可以完成VPN实验；配置一台病毒墙设备可以完成病毒防护实验；配置一台网络存储设备可以完成灾难备份等数据安全实验；配置一台密码/病毒服务器可以完成密码学和病毒实验；配置一台PKI和安全审计服务器可以完成证书、密钥和审计日志等实验。每组学生可以利用学生区的学生机来对教学服务区的服务器进行用于攻击、防御、病毒等行为目标测试。

采用12台设备组成一个标准实验台。就可以在一个标准实验台内完成几乎所有的网络安全实验内容，满足教学需要，实验设备的数量可以根据学生数和开设的安全课程内容进行适当调整。

3.3 实验室的布局

每个实验台可供4人同时实验，每个实验小组都能在一个实验台上单独完成全部实验内容。一般由8个实验台可以构成一个实验室，供30人左右实验。

3.4 安全实验室服务器设计

采用三种操作系统的服务器，来完成网络安全的应用需求，以及实验需求，密码服务器、病毒服务器、攻防服务器、PKI/安全审计服务器等，建议采用专用服务器。需要安装NT/LINUX/UNIX/VISTA等操作系统、数据库MYSQL、各种服务器组件、路由、FTP、WEB、视频服务器、FTP服务、SSH、电子邮件、新闻服务器、DHCP服务、DNS服务、计费系统、SNIFFER等软件。

3.5 网络安全实验室课程设计