信息安全实验室建设方案.docx
《信息安全实验室建设方案.docx》由会员分享,可在线阅读,更多相关《信息安全实验室建设方案.docx(32页珍藏版)》请在冰点文库上搜索。
信息安全实验室建设方案
信息安全与网络存储实验室
建设方案
2010年6月
1建设背景
当前信息科学与技术的飞速发展及其在军事、经济、人民生产生活等各领域的广泛应用,使得信息已经成为一种重要的战略资源。
“信息的获取、处理和安全保障能力成为一个国家综合国力的重要组成部分”。
信息安全事关国家安全、经济发展和社会稳定。
然而,危害信息安全的事件不断出现,信息安全形势严峻,社会对信息安全专业人才的需求日益突出。
各级和各类高等院校是当前我国信息安全专业人才培养的中坚力量。
信息安全学科是综合数学、计算机、电子、通信、物理、生物、管理、法律和教育等学科发展演绎而形成的交叉学科,具有涉及知识面宽、知识点繁多庞杂、知识体系庞大的特点。
因此,信息安全学科在教学过程中,容易停留在抽象的理论层面或技术防护等实践操作层面,对创新型人才培养的力度有待加强;同时由于其特殊的学科特点,课程设置和教学内容容易出现零散、抽象和重复的现象,学生学习过程困难,不易形成完整的信息安全知识体系.
信息安全学科除了要求有很强的理论支撑之外,更重要的是其对实践能力的要求,“许多安全技术与手段需要在实践过程中去认识和掌握”.当前信息安全的研究领域主要涉及密码学、操作系统安全、数据库安全、软件安全、网络安全、信息隐藏等,而相关课程的设置无疑对高校的计算机实验室环境提出了更高的要求.基于信息安全学科的综合性、应用性及工程性等特点,从完善学科体系建设、丰富专业人才培养与教学手段的角度出发,建设专门的信息安全实验室是十分必要的。
2建设目的及意义
信息安全实验室可承担信息安全相关的教学实验及课程实践任务和安全领域的科研任务。
信息安全实验室的建设为学生提供了一个系统、全面、完善的信息安全实验与实践的真实环境,真正做到理论联系实际,有助于学生形成系统的信息安全知识体系,加深对信息安全知识及其应用的理解,提高学生的实际动手和操作能力;有助于提高学生在实际环境中发现问题、分析问题和解决问题的能力;为学生提供了一个开放、开源的信息安全学习和创新平台,学生可利用充分利用该平台的资源进行自主学习和自主设计,有助于培养信息安全专业领域的创新型人才。
同时,信息安全实验室的建设能够为日常的信息安全教学工作提供良好的实验和演示环境,为信息安全科研工作提供良好的支撑,有助于学校在安全领域教学和科研能力的较快提升。
建设信息安全实验室主要目的是:
(1)为信息安全相关课程理论教学提供配套的课程实验支持;
(2)为信息安全相关专业学生提供课程设计及自主创新的实践平台;
(3)为学生提供就业技能培训和认证,提高学生的就业竞争力;
(4)满足教师教学与科研工作的实际需要.
3实验环境建设
西普科技一直专注于实验教学系统,以专业、卓越、优质的服务博得了众多高校客户的信任.目前,全国已有超过500家单位在使用西普科技所提供的产品和服务.西普科技在与各大高校不断探讨的基础上,面向信息安全及相关专业提出了一套全面、系统、成熟的信息安全实验室解决方案.针对不同高校需求,先后在华中科技大学、北京航空航天大学、深圳大学、沈阳工程学院及南京信息职业技术学院等进行了个性化的应用推广。
3.1信息安全实验教学系统
3.1.1总体规划
3.1.1.1整体框架
为满足校方对信息安全实验室建设的软硬件设备采购、实验室运营管理、实验体系建设、师资培养、实验室开放服务以及学生毕业实习等多方面的需求,西普科技提供一套完整的信息安全实验室建设方案,整体框架如下:
信息安全实验教学系统框架示意图
3.1.1.2物理布局
针对学校实验室的空间环境以及教学需要,对于实验室的布局建设,我们建议可以考虑将学生的实验机(共60台)以每10台PC为一个实验组进行划分,共6个实验组供学生进行实验,具体布局如下所示:
实验室布局示意图
3.1.1.3网络拓扑
信息安全实验室的网络拓扑如下,其中针对校方已有的网络及安全设备,西普科技可视情况进行整合,而且相关设备与模块也可根据校方专业教学和实验室建设的具体情况进行选择。
信息安全实验室拓扑结构示意图
Ø信息安全实验平台
信息安全实验平台利用机柜统一部署实验室的各种硬件设备,包含实验控制设备、管理控制设备、数据服务设备、安全实验设备、交换设备以及显示控制设备等。
整合的机柜设备通过网络接入学校实验室核心交换机,不需要对实验室原有网络结构进行改变,实施方便.
其中,安全实验设备通过设备固有的虚拟防火墙技术,每台设备可支持20个学生进行独立的规则配置等实验.
同时,可根据实验的不同,灵活搭建实验环境,进行实验分组和角色分配。
如果学校原来已经购买有网络设备和信息安全设备,我们可以配合利用,搭建出复杂多样的符合实际应用的信息安全实验环境,可开展多种大型复杂信息安全综合实验。
通过搭建该实验环境,可实现信息安全原理验证、安全设备配置、应用等实验,以及二次开发等教研工作,从而满足学校对于信息安全领域的实验教学需求,是目前国内高校非常理想的培养信息安全实验人才的实验平台。
Ø学生实验PC机
对于学生实验PC机,安装支持信息安全实验教学系统客户端,实现实验的统一访问和管理.同时,基于不同操作系统实验的需求,客户端内集成实现了Windows2003Server和Linux两个虚拟操作系统,每个学生可以模拟出不同平台,可作为攻击发起方及被攻击方,通常是发起网络攻击的主体,也是作为学生的实验用机,从而允许学生实验各种单机、网络攻防技术。
学生实验机可以通过不同方式的网络连接,把学生PC进行逻辑分组,不会对物理布局存在任何冲突和影响。
如上拓扑结构图所示,根据学校实验室实际的网络和信息安全设备数量,把物理布局的每两个实验组通过网络连接到一套网络、信息安全实训设备上,满足学生进行真实设备的实训。
Ø其他硬件设备
具备VPN功能的防火墙、IDS、身份认证设备、无线设备以及交换机等网络及安全硬件设备,为实验室提供安全可靠的硬件环境,并为学生提供真实感的实操环境.其中针对校方已有的网络及安全设备,西普科技可视情况进行整合,而且相关设备与模块也可根据校方专业教学和实验室建设的具体情况进行选择.
这样,将信息安全实验室建成一个高水平的综合实验室,在其平台上运行多种实验应用系统,使其成为满足不同层次教学需要的面向全校学生开放的实验基地和人才培养基地,用于计算机等相关专业学生的课程实验、专业实习、毕业设计等。
通过实验室中的学习和实践,可以使得学生具有扎实的理论基础和很强的实践动手能力,这些都会成为他们在将来的就业竞争中具有非常明显的优势。
3.1.1.4系统建设前提条件
◆硬件要求
学生PC机至少要求如下配置:
CPU
P42.0Hz以上
内存
1G以上(虚拟机至少256M)
硬盘
10G以上剩余空间
网卡
10M/100M网卡1块
◆软件要求
学生PC机上需要安装如下软件:
操作系统
Windows2000系列、WindowsXP系列或Windows2003系列
应用软件
MicrosoftOfficeWord2003(每个学生端一套,以便实现PKI实验中的Word签名)
学校需提供下述软件授权序列号,以便安装于虚拟操作系统中:
●MicrosoftSQLServer2000:
每个学生端一个授权,以便实现数据库安全、SQL注入攻击实验
●MicrosoftWindows2003Server:
每个学生端一个授权,以便实现操作系统安全、VPN、攻防等实验
◆网络环境要求
学生PC机通过交换机已实现局域网连通。
3.1.2实验室组成
为构建一个综合的信息安全实验室,西普科技建议采用SimpleISES信息安全实验教学系统及相关的安全设备来进行实验环境的搭建。
实验环境采用软硬件结合的方式,并可自由扩充,支持更多学生的并发实验;所有实验均在实际网络环境下进行。
学校可根据实验内容搭建不同的实验环境,既支持部分模块的独立操作,也支持实验分组和角色分配。
3.1.2.1硬件系统
硬件系统主要包括管理控制设备、数据服务设备、安全实验设备、交换设备、显示控制设备、身份认证设备、无线设备、防火墙、IDS等硬件设备,为实验室提供安全可靠的硬件环境,并为学生提供真实感的实操环境.防火墙(VPN)及IDS等硬件产品同时提供配套的普通高等教育“十一五”国家级规划教材,而且这些教材均为省部级精品教材,完全满足学校进行防火墙(VPN)、IDS等实际产品的实验教学。
设备名称
描述
管理控制设备
负责处理实验操作终端与所有实验设备之间的通信管理,通过配套加密设备进行实验系统的认证管理;为各个实验的顺利进行提供后台服务支持。
数据服务设备
内置定制的数据管理系统为整个实验系统的数据存储和安全等提供保障。
安全实验设备
提供针对防火墙等实验模块的环境支持,每个实验设备可支持多达20个学生的并发实验.
网络交换设备
提供学生机接入实验系统服务区的能力,并为实验系统各个硬件平台提供通信支持.
显示控制设备
实现系统中所有服务器的本地化显示控制,方便教师实验设备管理
身份认证实验管理设备
为身份认证实验的核心设备,为客户服务器提供认证功能并存储着用户的信息数据。
身份认证实验设备
用于完成身份认证实验底层控制软件用汇编语言编写,包括详细的注释语句以便于阅读。
主要的功能模块有键盘扫描模块、密码生成模块、LCD显示模块、通讯模块等
安全令牌注入器
针对身份认证实验设备的程序烧写设备,可实现对身份认证实验设备初始化信息等的固件烧写。
摄像头
为人脸检测与识别系统应用与开发提供硬件环境支持.
无线AP
无线局域网核心设备,主要用于连接有线以太网并发射无线信号,为无线组网与安全提供硬件环境支持。
无线网卡
无线网络节点设备
USB—Key
主要用于安全编程类实验,为USB接口的高速HID无驱设备,提供丰富灵活的API接口、高强度的外壳加密工具以及专用Flash加密工具。
防火墙
为每一个实验组的硬件防火墙相关实验提供硬件支持,适应多种复杂网络环境,支持透明模式、纯路由模式、混合模式、NAT模式,支持基于地址、服务、协议、时间等的动态包过滤,管理端支持系统配置、安全对象、防火墙、用户管理、虚拟专网、高级功能、系统维护等功能。
VPN
为每一个实验组的硬件VPN相关实验提供硬件支持,适应多种复杂网络环境,支持基于IPSec、PPTP、L2TP等的虚拟专用网,管理端支持系统配置、安全对象、防火墙、用户管理、虚拟专网、高级功能、系统维护等功能。
IDS
为每一个实验组的硬件IDS相关实验提供硬件支持,适应多种复杂网络环境,支持透明接入,支持模式匹配、异常发现、状态检测、统计分析、再分析(综合分析)等多种检测方式,管理端支持启动或停止探测、修改配置检测参数、更新规则知识库、查看网络通信流量、分析网络故障、自定义规则、自定义网络访问策略等功能。
3.1.2.2软件系统
软件系统主要由实验操作平台、实验管理系统和身份认证管理系统等组成,为实验室的整体实验体系建设、实验环境管理、实验教学存档等提供功能支持,以提供学生的实验效率,并减轻教师的工作量。
3.1.2.2.1实验操作平台
SimpleISES实验操作平台为教师和学生提供了访问实验系统的接口,整个实验的操作环境,将实验过程中涉及到的实验内容、实验步骤、实验操作、实验考核等集成在平台中。
在客户端实现了所有实验模块的电子课件、实验操作面板、实验操作日志记录及在线考核功能,并提供实验工具箱,分类管理实验用软件工具.
Ø实验客户端:
西普科技采用集成化的实验客户端,部署在学生PC操作系统上。
教师、学生采用统一的客户端进行登录,客户端作为用户登录实验系统的唯一入口,需要用户密码登录系统,并根据权限提供不同功能支持.
独创的多平台虚拟机嵌入技术,集成了Windows(Server2003)和Linux(CentOS)两套虚拟操作系统。
为了更有效的利用学生PC计算机硬件资源,将根据实验模块的不同来决定是否启动虚拟机,如在进行密码学、PKI等实验操作时,无需启动虚拟机.而在进行网络攻防、木马病毒、VPN、入侵检测等可能对学生PC计算机操作系统存在一定风险的实验模块操作时,将通过启动虚拟机完成实验操作。
所有实验的操作都通过统一面板进行,具有友好的用户体验。
实验操作平台:
实验台
Ø实验工具箱:
针对实验系统设计到的网络攻防、病毒等实验模块以及在教学实验中需要用到的工具,专门设计了统一的实验工具箱,对攻防工具、攻防演示、病毒库、加密算法源码、实验报告模板进行了统一的管理.教师可利用管理后台,根据实验自行添加相关实验工具,不断添加新的内容,从而丰富工具箱并进行个性化的定制管理。
实验操作平台:
工具箱
3.1.2.2.2实验管理系统
采用B/S模式,服务端运行于管理控制设备及数据服务设备中,包括系统管理模块、考核管理模块、个人设置模块以及实验管理模块,实现系统管理、考核管理、学生管理、班级管理、实验及实验体系管理等功能。
实验管理系统主要功能
Ø系统管理:
系统设置一键式快速实验功能,同时,提供基于Web的设备管理及实验准备功能。
远程即可完成对硬件设备的关机、重启操作,实现“一键式”实验准备,简化教师管理工作。
系统管理界面
教师可自定义每个实验模块的实验是否开放,也可以通过在原有实验体系基础上添加新的实验内容进行个性化的实验内容定制.并可根据学校需求开发系统API及源代码,实现实验系统的二次开发。
实验体系管理
针对实验过程中用到的各种实验工具、实验报告模板、开放源代码可实现自定义和扩展,以融合教师原有实验。
实验工具箱管理
Ø考核管理:
西普科技通过客户端提供实验报告上载功能,同时提供学生实验过程的日志记录功能,教师通过管理后台实现题库管理、学生成绩管理及分析等增值功能。
可对试题、课程、成绩等进行个性化管理、更新,提供在线出题、阅卷等无纸化考试功能。
实现在线化的实验考核、系统化的自动批阅、集中化成绩管理分析,减轻教师工作量.
考核管理
Ø实验管理:
在实验管理模块可以实现学生、班级、教师、课程等管理功能.通过统一的学生登陆界面,进行实验课程管理(排课管理、实验课程设置)、学生管理(用户管理)、班级管理(教学班设置)。
西普科技提供硬件设备的一键式实验准备功能,减少教师实验准备时间。
提供完善的学生管理、教师管理、班级管理及实验课程管理功能,可对每个学生控制实验时间.
实验学生管理
Ø扩展性
西普科技在20个学生规模的情况下,学生数目增加,不需要大量增加组控设备等多种硬件设备,仅仅需要增加安全实验设备(每20个学生一台),投入较小且利用率大,可有效保护已有投资.
3.1.2.2.3身份认证管理系统
为身份认证实验主要是动态口令认证实验提供管理功能;与身份认证实验设备配合使用,提供动态口令认证、用户权限管理、用户信息管理等服务,并提供客户端系统管理及4A、SSO(单点登录)系统等功能。
服务端支持多种操作系统,如Linux、Unix、FreeBSD、Solaris等操作系统。
3.1.2.3扩展平台
实验源码
实验室所配置的信息安全实验教学系统相关软件均提供实验相关的核心源码或API供学生参考,学生可查看、下载、编译及修改,根据自己的需要扩展或独立编写所需功能。
扩展接口
实验系统提供实验工具箱自定义和实验体系自定义的扩展功能。
教师可在实验工具箱内自行添加实验所需工具、文档材料等供学生下载使用和学习;在实验体系中屏蔽或添加相关实验,如添加最新流行的计算机病毒实验,使实验内容紧跟信息安全最前沿.
3.2网络存储实验教学系统
3.2.1整体规划
为学校提供全方位的实验室解决方案,协助学校培养应用型人才是HP公司孜孜不倦的追求;考虑到市场需求,立足解决目前高校存储实验室建设现状中的不足,HP结合自身优势资源,为高校推出了HP存储实验室解决方案.
核心理念:
进行技能培养,让学生提前作好职业规划,储备职业技能.
设计思想:
⏹根据业界职业规划和岗位技能要求,按“低/中/高”分层设计培训体系;
⏹课程设计兼顾职业认证体系,在校学习后可直接取得业界职业技能认证证书;
⏹打造高性价的完善培训知识体系同时,建立更广泛合作,为高校学科建设提升品牌竞争力。
3.2.2网络拓扑
网络存储实验室拓扑结构示意图
业务服务器群上预装各种平台软件、业务软件已模拟实际的数据中心生产系统.存储阵列、磁带库、备份/容灾软件等模拟数据分级存储与备份/容灾中心
当然,这只是一个典型的组网拓扑图,根据不同的实验目的,我们可搭建各种不同的业务网络和数据中心环境。
同时,网络存储实验室中的设备也可以配合信息安全实验教学平台中的“容灾备份"实验模块,进行具体的网络数据存储设备实训。
3.2.3整体优势
高性价比:
存储设备端口丰富,同时提供FC和IP接口、提供丰富的增值软件、包括多路径软件、基于控制器的快照和克隆功能(标配包含64个快照和克隆功能许可)、基于硬件的阵列间的远程数据快照(复制)、最大主机连接数64个,绿色节能和管理的简便性也大大降低了总体成本;
全面性:
以实际就业后的职业技能规划需求为课程设计思路,分为不同档次,通过实验结合理论,建立全面、完善的知识体系;
实用性:
采用主流存储产品在企业市场占有率全球领先,使用主流技术,具有代表性;在实验课程中丰富的应用案例分析大大提高了实战性;同时,课程设计也兼顾了主流存储认证考试的试前知识准备。
前瞻性:
借助主流的存储技术领域强大的研发平台,解决方案知识体系中涵盖了对未来存储技术发展方向的分析/指引。
4实验课程体系建设
信息安全实验室根据教育部信息安全类专业教学指导委员会发布的“信息安全专业指导性规范”进行实验体系的建设,并提供完整统一的实验过程。
主要包括密码学及应用、信息系统安全、网络安全、信息内容安全和信息安全工程实践等五大部分,共20个实验模块,涵盖了信息安全的主要研究领域和相关知识点,对信息安全的各个独立课程和综合实践提供了有力支撑。
4.1信息安全实验教学平台
4.1.1实验内容
实验室支持密码学、PKI、PMI、操作系统安全、数据库安全、身份认证、软件安全、安全审计、容灾备份、防火墙、VPN、IDS与IPS、漏洞扫描、网络攻防、无线安全、安全编程、综合实验和安全设备实训实验等实验模块,涵盖了当前信息安全学科的主要研究领域,知识点系统全面。
4.1.1.1密码学及应用
针对学校信息安全等相关专业课程设置情况,本部分实验可支持《应用密码学》、《PKI原理与技术》、《访问控制技术》、《数字签名及认证系统》等课程的实验教学及《应用密码算法程序设计》、《密码学课程设计》等课程设计环节.
实验模块
实验内容
密码学
古典密码实验:
移位、乘法、仿射、Playfair、维吉尼亚
密码学数学基础实验:
大数计算、素性测试、模幂、原根、求逆
流密码加密实验:
RC4、LSFR
对称密码基本加密实验:
DES、3DES、IDEA、AES、SMS4
对称密码工作模式实验:
分组模式(ECB、CBC、OFB、CFB、CTR、CTS)+填充模式(PKCS7、ISO9797M2、ANSIX9。
23、ISO10126、全0填充、无填充)
散列函数实验:
MD5、SHA-1/224/256、HMAC
非对称加密实验:
RSA、ElGamal、ECC
数字签名实验:
RSA-PKCS签名、DSA签名、ElGamal签名、ECC签名
文件加解密实验:
文本、图片、音频、视频
数据库加密应用实验:
单元级加密、数据库级加密
基于SSH协议的安全通信实验:
密码方式、密钥方式
基于GunPG的加密及签名实验
PGP在文件系统、邮件系统中的应用
PKI
证书申请实验
请求管理实验
证书管理实验
交叉认证实验
证书应用实验:
Word签名实验、Foxmail证书签名及加密实验、Web服务器证书应用实验、WindowsCA实现IIS双向认证
PMI
证书申请实验
申请管理实验
证书管理实验
属性管理实验
证书应用实验:
基于角色的授权与访问控制、基于安全级别的授权与强制访问控制
4.1.1.2信息系统安全
本部分实验可支持《操作系统安全》、《数据库安全》、《身份认证技术》、《计算机病毒及防治》、《主机安全》、《数据备份与数据恢复》等课程的实验教学及《身份认证程序设计》、《信息系统安全课程设计》等课程设计环节。
实验模块
实验内容
操作系统安全
Windows系统安全:
文件系统与备份恢复、用户管理、安全策略与审计、网络与服务管理、Web服务安全配置、FTP服务安全配置、远程桌面安全配置、垃圾邮件分析及过滤
Linux系统安全:
文件系统、用户管理、日志管理、网络与服务管理、Web服务安全配置、FTP服务安全配置、SSH服务安全配置
数据库安全
SQLServer安全:
SQLServer安全配置、数据库备份与恢复、安全审计
MySQL安全:
MySQL安全配置、数据库备份与恢复、安全审计
身份认证
动态口令:
动态口令认证系统实验、动态口令认证编程实验
生物特征识别:
人脸识别实验、人脸检测编程实验
计算机病毒
脚本病毒实验
DLL注入型病毒实验
木马攻击实验
引导型病毒实验
PE型病毒实验
COM病毒实验
邮件型病毒实验
Word宏病毒实验
HTML恶意代码实验
即时通信型病毒实验
键盘钩子病毒实验
移动存储型病毒实验
Linux恶意脚本实验
病毒查找及清除实验
流氓软件实验
恶意软件查找及清除实验
ClamAntiVirus开源反病毒工具
安全审计
文件事件审计实验
网络事件审计实验
应用程序审计实验
主机监管实验
日志事件审计实验
日志关联审计实验
审计跟踪实验
容灾备份
FAT32数据恢复实验
NTFS数据恢复实验
Windows下RAID实验
ext2数据恢复实验
Linux下RAID实验
SQLServer收缩与自动备份实验
IPSAN网络存储实验
NAS网络存储实验
NFS数据实验
Snapshot快照实验
4.1.1.3网络安全
本部分实验可支持《网络安全》、《防火墙原理与技术》、《入侵检测原理与技术》、《安全协议及其应用》、《网络攻防》等课程的实验教学及《网络安全课程设计》、《网络攻防课程设计》等课程设计环节。
实验模块
实验内容
防火墙
普通包过滤实验
状态检测实验
应用代理实验
NAT转换实验
事件审计实验
IPtables防火墙配置
Windows防火墙配置
实用防火墙实训:
基本配置、网络配置、基本服务配置及应用、扩展功能、自主设计
入侵检测与入侵防御
嗅探实验
数据包记录器实验
入侵行为检测实验
入侵检测规则编写实验
误报及漏报分析实验
异常行为检测实验
IPS部署实验
IPS自定义规则实验
IDS与单台防火墙联动
NIDS部署实验
企业级NIDS部署实验
蜜罐实验:
WEB服务蜜罐部署实验、系统蜜罐部署实验、利用蜜罐捕捉攻击实验
VPN
Windows下PPTPVPN实验
Windows下IPSecVPN实验
Windows下SSLVPN实验
Linux下IPSecVPN实验
PPTP协议分析实验
IPSec协议分析实验
漏洞扫描
主机存活性判断
服务/端口判断
操作系统判断
操作系统漏洞扫描
应用服务系统漏洞扫描
协议层漏洞扫描
特殊漏洞与方法扫描
网络攻防
扫描实验:
Ping扫描实验、端口扫描实验、综合扫描实验
数据嗅探实验:
ARP欺骗、FTP连接与密码明文抓取、邮件
升级会员 