信息安全虚拟化实训云平台综合实验室解决方案Word格式.docx
《信息安全虚拟化实训云平台综合实验室解决方案Word格式.docx》由会员分享,可在线阅读,更多相关《信息安全虚拟化实训云平台综合实验室解决方案Word格式.docx(50页珍藏版)》请在冰点文库上搜索。
2、教、学、练一体化信息安全实训平台10
3、自主创新,因地制宜10
五、建设内容12
1、基础网络搭建实验室建设内容:
12
2、信息安全实验室建设内容20
六、建设步骤31
1、基础网络实验室建设31
2、信息安全教学实训平台建设31
3、信息安全对抗平台建设31
4、信息安全技术知识库建设31
5、信息安全技术研究能力建设32
6、信息安全实验室扩展建设33
七、信息安全实验室实施方案36
1、部署示意图36
1.1实验室布局36
1.2实验室设备安装和布线示意图37
2、部署实施建议40
2.1信息安全实验室基本实施40
2.2评测工具区实施40
2.3评测工作区实施40
2.4评测接入区实施41
3、实施计划41
3.1项目实施说明41
3.2实施时间表41
八、费用预算43
附录参考标准44
一、需求分析
信息化在带来巨大发展机遇的同时也带来了严峻的挑战,防止各种信息泄密、黑客攻击等行为的信息安全人才的短缺就是严峻的挑战之一。
相对于已初步形成的专业信息安全领域以及信息化建设和信息安全产业发展速度而言,各个行业的信息安全人才培养机制和手段显得非常匮乏。
目前各个行业信息安全专业人才的需求包括了多个层次和多个方面,我们认为大体可以分为以下几种类型:
1、管理服务人才的需求
这种需求目前是广大企事业单位和政府部门的主要需求。
信息安全管理服务人才是一种复合型和应用型的人才,不仅需要具备一定信息安全技术能力,能够正确使用、配置、维护常规的信息安全设备,还必须具有一定的管理和法律知识,并且拥有丰富的信息安全经验,能正确规划、实施和维护信息系统的安全保障体系。
1.1信息安全人才需求分析
1.1.1第一类是对管理服务人才的需求
1.1.2第二类是对网络信息安全实施人才的需求
这种需求通常来源于安全产品提供商、系统集成服务商。
信息安全技术开发人才要求具备良好的信息安全基础知识,具有较强的动手实践能力,能够严格按照实施方案完成安全设备部署。
1.1.3第三类是对系统防护和安全应急响应人才的需求
这方面的人才要求具有良好的学术功底,具备扎实的学科理论基础知识,能系统深入地掌握密码学、安全协议、安全体系结构、信息对抗、网络安全等信息安全理论和方法以及熟练的产品设计开发能力。
1.1.4第四类是网络信息安全培训人才的需求
这种需求主要来源于高等院校和各种培训机构。
1.2信息安全人才培养面临的问题
随着信息化进程的深入和互联网的迅速发展,人们的工作、学习和生活方式正在发生巨大变化,效率大为提高,信息资源得到最大程度的共享。
但是与此同时以各种各样黑客技术为基础的黑色产业链诞生了,网络安全的需求也随之而来,无论是厂家、开发商,还是用户,都对这种需求明确了,网络安全开始作为独立的部分迎来越来越多企业的重视。
中国黑色产业链的飞速发展带来的另一现象是,网络安全人才匮乏到一个相当严重的地步,人才的培育至少滞后于社会需求5到10年。
计算机拥有多种角色属性,承载着传输、处理、存储等复杂的业务应用。
因此计算机所面临的安全问题是纷繁多样的,并且由于网络应用的大规模普及,导致存在于任何一个计算机的安全问题都可能威胁到整个信息网络的安全。
然而长时间以来,各类计算机使用者,很少了解到计算机所面临的安全威胁,也很少有学校,企业能够提供对计算机安全培训的环境,使得大多数人无法真正了解到计算机的安全隐患,也无法对计算机存在的安全隐患进行防御。
在一个已经部署防毒软件、防火墙、IDS、VPN等传统信息安全产品的网络环境中,很少有人清晰的知道这些安全产品的作用,以及能够为计算机安全所带来的保障,严重匮乏的教学和培训环境,让很多学校以及企业感到无从着手,无力进行计算机安全的培训教育,而且网络安全的培训不是书本知识,必须是靠知识和经验的积累,有经验的高手在这个市场里可以更有作为,对于面临的一下问题也无法解决:
问题一
如何更加有效的教育,培训学员在计算机安全方面的知识匮乏;
问题二
怎样的教学,培训方式才能让学员更加快捷,高效的学习计算机安全方面的知识;
问题三
什么样的教学,培训环境才能让学员更容易,积极的学习计算机安全方面的知识,增强计算机安全意识。
问题四
如何才能让学生在学校的安全课程培训期间就获得丰富的网络组建、信息安全的经验。
1.3信息安全专业需求分析
信息安全专业的就业方向主要包括公安局信息监查、网站、病毒杀毒公司以及涉及信息安全的地方,比如电信、网通的技术安全维护部门,政府各个重要部门的网络安全监测部门等。
信息安全专业是我国高等院校自2010年起顺应当代信息技术发展需要开设的新兴本科专业。
该专业培养掌握计算机技术和信息安全技术的复合型人才,经过培养,使学生在计算机系统安全方面具有较强的能力,能运用所学知识开发安全的信息系统,或运用、管理和维护安全的信息系统,为在今后的工作中对抗黑客攻击、保护信息网络空间的安全和打击计算机犯罪打下扎实的基础。
信息安全的概念在本世纪经历了一个漫长的历史阶段,90年代以来得到了深化。
进入21世纪,随着信息技术的不断发展,信息安全问题也日显突出。
如何确保信息系统的安全已成为全社会关注的问题。
国际上对于信息安全的研究起步较早,投入力度大,已取得了许多成果,并得以推广应用。
信息安全专业,具有全面的信息安全专业知识,使得学生有较宽的知识面和进一步发展的基本能力;
加强学科所要求的基本修养,使学生具有本学科科学研究所需的基本素质,为学生今后的发展、创新打下良好的基础;
使学生具有较强的应用能力,具有应用已掌握的基本知识解决实际应用问题的能力,不断增强系统的应用、开发以及不断获取新知识的能力。
努力使学生既有扎实的理论基础,又有较强的应用能力;
既可以承担实际系统的开发,又可进行科学研究。
目前,我国高校开设的信息安全专业学习的专业基础和专业课主要有:
高等数学、线性代数、计算方法、概率论与数理统计、计算机与算法初步、C++语言程序设计、数据结构与算法、计算机原理与汇编语言、数据库原理、操作系统、大学物理、集合与图论、代数与逻辑、密码学原理、编码理论、信息论基础、信息安全体系结构、软件工程、数字逻辑、计算机网络等。
除上述专业课外还开设了大量专业选修课,主要有:
数据通信原理、信息安全概论、计算机网络安全管理、数字鉴别及认证系统、网络安全检测与防范技术、防火墙技术、入侵检测与防护、病毒机制与防护技术、网络安全协议与标准、操作系统安全、网络应用服务安全、安全应用及设计、安全体系、PKI、访问控制、安全协议、VPN等。
学生除要完成信息安全体系不同层次上的各种实验和课程设计外,还将在毕业设计中接受严格训练,例如完成网络攻击、计算机病毒、身份认证、访问控制、信息隐藏、加密通信、安全操作系统、防火墙操作、入侵检测、网络扫描、协议分析等安全实验。
1.4信息安全实验室的意义
1.4.1实验室对学校的意义
信息安全实验室的建设对学校科研、教学的实现和完善具有重要意义;
促进产学研一体化、促进科研成果转化并最终成为生产力;
提高学校的竞争力和学生的实践能力;
有利于提升学校的品牌。
1.4.2实验室对教师的意义
实验室提供更多的真实设备,便于老师备课和实验指导;
实验室方便教师对学员实验过程进行把控,提升教学质量;
实验室提供管理机,使老师便于对学生实验的管理,使教学效率提高;
实验室可以提供对各类竞赛的支持。
1.4.3实验室对学生的意义
信息安全实验室提供了真实的网络环境,可以让学生亲自搭建网络、亲自动手调试、配置网络,进行安全实验,从而让学生直观、全方位了解各种网络设备和应用环境,真正加深对网络原理、协议、标准的认识;
通过信息安全实验室的学习,真正提高了学生的信息安全技能和实战能力;
同时,也使学生在毕业时扩大了择业的范围,可以从事网络技术工程师、网络管理员、信息安全工程师、安全管理员等网络技术类职业。
2、网络信息安全实施人才的需求。
3、系统防护和安全应急响应人才的需求。
4、网络信息安全培训人才的需求。
二、国内国外发展现状
信息安全是我国高等院校自2010年起顺应当代信息技术发展需要开设的新兴本科专业。
该方向培养掌握计算机技术和信息安全技术的复合型人才,经过培养,使学生在计算机系统安全方面具有较强的能力,能运用所学知识开发安全的信息系统,或运用、管理和维护安全的信息系统,为在今后的工作中对抗黑客攻击、保护信息网络空间的安全和打击计算机犯罪打下扎实的基础。
信息安全方向的就业方向主要包括公安局信息监查、网站、病毒杀毒公司以及涉及信息安全的地方,比如电信、网通的技术安全维护部门,政府各个重要部门的网络安全监测部门等。
基于信息安全知识的综合性、应用性和工程性,从丰富信息安全类课程的教学手段及人才培养的角度出发,建设信息安全攻防实验室都是非常有必要的。
一方面,能为日常信息安全教学工作提供良好的实验、演示环境;
另外一个方面能够提供一个安全攻防的实践环境,让能让学生实际了解到业内主流安全设备的应用;
同时,使用业内最开放设计的安全攻防平台可以应用于风险评估、系统安全测评、安卓自动化测试、云平台设计、综合实训平台开发、SDN开发、可信网络开发、信息安全产品开发等各类科研领域。
“没有对抗就没有成长,在对抗中学习信息安全技术!
”这已经是信息安全教学的一种新模式,正是基于此模式,信息安全实验室以培养学生兴趣为前提,在对抗中培训学生的实际操作能力,结合实际的安全设备的配置能力,使学生能够快速就业。
三、现有基础状况
信息安全事件层出不穷,从各类信用卡数据泄露、网络用户数据库泄露到棱镜门事件,信息安全事件的影响越来越大,信息安全问题已经不仅是个人和企业问题,同时已经上升到了国家安全问题。
同时,新型的攻击方式层次不穷,以APT攻击(高级持续性威胁,AdvancedPersistentThreat)为例。
APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意间谍威胁”。
这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。
APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
传统的信息安全教学过程中,普遍存在以下几类问题:
1、思维方式问题
信息安全不同于其他学科,由于攻击方式多种多样,信息安全要求与其他专业一样的从全局到局部的信息安全意识;
但是由于需要针对不同攻击方式进行不同的处理方式,因此信息安全又强调独特的黑客思维,魔高一尺,道高一丈。
而传统的信息安全教学过程,一般仅强调第一种意识,而不考虑第二种意识。
2、理论过多问题
信息安全对理论要求较高,过多的理论强烈的压抑了学生的学习兴趣,而理论过多同样带来了课程体系设计比较难的问题,学生的评价体系问题等等。
3、实践过少问题
传统的信息安全教学过于追求知识的系统性和完整性,较多地存在着重理论、轻实践的问题。
而信息安全学科不仅强调理论基础,同时要求学生有很高的动手能力。
信息安全项目是系统工程(木桶原理,信息安全项目的安全程度取决于其分子项目的最短板),实践训练过少不利于学生理解整体的安全架构,从而站在信息安全项目的项目质量。
4、建设网络攻防实验室的难点
网络攻防在信息安全教学当中占据相当重要的地位,但作为教学者来看,开展相关的实验却遇到了很多难点,只要我想法克服相关的困难才能使们实验教学更上一个层次,目前主要面临的问题如下:
1)、建设成本
网络攻防实验需要真实的环境,开展实验需要大量的网络设备(路由、交换机、防火墙等)及服务器设备,在国内目前形成一个大规模的真实的实验室,付出的成本是非常的昂贵,所以经费是目前网络攻防实验室第一个难点;
2)、网络攻击分析与评估
网络攻防实验,是一个不太容易被可视化的实验,往往在做实验当中难以评估学生的学习情况,比如攻击实时监控、攻防手段分析等,所以攻击分析及攻击相关的评估对一个教学者来说,是非常的重要,攻防的效果评估,分析也成为了一个实验难点;
3)、真实的被攻击环境灵活度
网络攻击往往需要一个真实而复杂的环境,实学生有效的练习攻防手段,现很多学生经常对校院网、对社会真实的网络环境进行攻防,从而带来了一定的法律风险,但对于实验室来讲,布置一个真实复杂的网络环境,前期准备工作需要大量的时间,所以实验环境的准备也是一个难点,能否图形化、智能化的通过一个人机界面准备实验环境,并且可以灵活性的改变目标环境,对于网络攻防实验至关重要。
2.2实验室建设思路
实验建设思路一方面要考虑建设成本,另一方面更要考虑实验环境准备和攻击评估;
我们通过多年的调研,建议学校采用软硬件结合的方式,来建设性价比相对合理的实验平台;
在硬件方面,采用云计算技术,可大规模生成网络设备及服务器设备,且可以在一个人机界面下,以拖拽的形式增加或减少网络设备和主机,并能对设备进行配置。
一方面提升了网络环境的复杂性,使实验环境更加的真实,另一方面采用后台有着强大分析功能的系统,可对攻防过程,攻击结果、攻防次数、攻防的手段进行实时的分析,并可以以图表形式展现出来,并对现有的服务器环境进行评估,评估网络环境安全性能;
从实验层面考虑,最好以循序渐进方法来进行实验,从练兵,到任务,到真实演练,至最后的网络对抗,从入门到深入,从攻到防,从防到科研的方式来进行实验.
四、建设目标
1、以理论学习为基础,结合最全面最专业的实训
以理论学习为基础,结合最全面最专业的实训,增加学生对信息安全诸多领域的深入理解,为解决学生就业提供坚实的技术基础。
神州数码信息安全虚拟化实训云平台提供多个方面的实验、实训及工程实践,涵盖多层次的实验操作,以真实环境的真实案例为操作指南,贴近实际岗位能力要求。
同时,配有强大的实验管理系统,能够为信息安全教学及科研提供一个完整的、一体化的实验教学环境。
1、通过思路优化和实训平台新建与整合,完成网络信息安全运维人才需求的计算机网络,信息安全基础,信息安全设备调试与原理等相关的全套教学流程实训平台支持;
2、同时完成系统集成沙盘、创新实训基地项目的设计与建设工作,满足学生网络系统集成通用的基础知识,企业实践知识与项目式教学的通用实训平台支持。
3、满足计算机网络技术专业,软件技术专业,信息安全专业,电子信息类专业在计算机网络技术,网络系统集成,信息安全方面课程的教学和企业项目实践实训需求
4、满足工业与信息化产业部NSACE和中国信息安全测评中心CISP计算机网络信息安全工程师,信息系统管理工程师,系统集成项目工程师,网络工程师,国家劳动与社会保障厅网络管理员,国际认证CISSP安全认证工程师等国家职业鉴定,企业行业等认证。
2、教、学、练一体化信息安全实训平台
利用实验平台资源,搭建信息安全教学实训平台,将理论教学与实训教学融为一体,让学生在做中学,学中做,将教学与实训紧密结合,不断提高学习技能,获得能力。
基于教学流程设计,更加贴近教学需求
提高教学及实验管理效率;
贴合教学需求的重视管理的阶段。
教学和实验能够更方便灵活的调用;
更全面的教学、实验全流程管理;
提供远程多人学习、协同实验等需求成为新
一代实验室建设时更加看重的管理要素。
3、自主创新,因地制宜
提供独立、高效的信息化教学和实验环境采用教学和实验平台完全融合的架构;
自动加载课程所需环境,教学快捷方便;
实验数据在内部虚拟化系统传输,从而从最大程度上保证了信息化教学的安全,不会受外部网络环境造成影响。
五、建设内容
北京信息技术有限公司通过多年在教育行业的观察和建设发现,国内高校、职教的基础网络实验室大体上经历了三个阶段:
第一代的网络实验室主要是以分散性实验室为主。
这一阶段的网络实验的特点就是网络设备全都堆在试验台上,设备console口直接连接到PC上进行调试。
这样的优点在于拓扑结构直观、实验效果明显。
但是随着设备的不断使用,其弊端也日益凸显出来:
设备管理难度大,每次课堂实验完成后,管理员/教师就要花费很大的精力去登陆到每一台设备上去清除配置,恢复出厂状态,维护的工作量很大;
学生在做实验的时候无数次的插拔设备的console口,也造成了设备极大的耗损,大大降低了设备的使用寿命;
并且在整个实验室的布局上面受到了很大的限制,设备只能近距离的布置在PC和学生身边。
随着第一代实验室的问题日益严重,渐渐就出现了能够对设备进行“一键清除”的实验室管理设备。
伴随各个厂商的推广,国内院校的基础网络实验室就逐渐发展了第二阶段,我们称之为“分步控制型网络实验室”。
较第一代基础网络实验室的变化就是该类实验室出现了实验室管理设备,该设备普遍采用路由器+8口(16口)异步卡形式,加载一定的软件程序,可做到对单组设备进行一定的控制。
具备对设备的‘一键清’功能,在一定程度上实现了对设备的管理,减轻了实验室管理员/教师的维护工作量。
从布局上来说,也改变了传统的受空间位置限制的布局模式,在一定程度上也减少了设备的损耗,特别是console口的损耗。
但是这种实验室还是存在两个最大的弊端:
一是这种管理设备是经过路由器来改造的,其性能受路由器的性能限制,管理功能较弱,设备造价成本较高,只能控制单组设备,不能实现整个实验室所有设备的统一管理。
随着国内高校网络实验室的不断发展,截止到目前第三代网络实验室已经渐进雏形。
这个阶段的实验室主要是要求对整个实验室的资源进行统一的管理和维护,我们称之为“统一管理型网络实验室”。
对此,信息技术有限公司在总结前几代网络实验室的优缺点、不断征集国内各个高校一线教师的意见之后,提出了采用串口控制服务器+统一管理平台模式的解决方案。
结合实验室各方面需求,推出网络信息安全实验室管理系统ISLMS。
ISLMS在整个实验室采用物理旁路、逻辑干路的组网方式:
在物理连接上,网络实验室管理平台采用旁路的方式;
在逻辑访问控制上,网络实验室管理平台采用干路方式,即访问实验设备的数据流要由此设备进行转发。
统一的使用浏览器进行登陆操作,同时实现了对实验设备、教学课程、实验过程、实验成果、实验人员等综合的管理;
许多人性化管理功能的设计,更方便教学使用;
减少了设备的损耗;
可开发性和可拓展性较强。
ISLMS功能特性
网络实验室配套管理系统ISLMS,该系统是专为实验室用户研制开发的产品。
ISLMS是一款基于WEB的远程网络实验室管理平台,用来更方便的管理设备、辅助教学。
该管理平台提供网络实验室设备的集中、可视化统一拓扑图、图形化管理及丰富的基于各种具体环境的“一键恢复”功能,方便管理;
提供远程模拟串口登陆设备功能,满足学习的需要;
结合实验室拓扑连接器,可以做到所见即所得的网络拓扑,只需点击鼠标即可搭建真实的网络拓扑环境,而不需手动的去插拔网线;
提供针对不同类型的用户分配不同的使用和管理权限;
提供多人共享同一台设备,以小组方式学习的功能,同时教师还可以实时中断、接入学生的操作,用来指导;
内置丰富、详尽的网络实验教学课程,教师可根据需要对课程进行调度,加载相应的实验课程和实验拓扑给学生,通过调度,学生只学习到教师所调度的课程;
还提供系统的管理、维护、运行状态实时统计更新;
支持学生电子报告功能;
针对不同类型的设备灵活的关键命令过滤功能。
所有用户(管理员、教师、学生)的操作统一到一套系统上,即全部用户面对的只有一个ISLMS;
所有用户只需要在浏览器中输入ISLMS服务器的IP地址,输入相应的用户名和密码,即可以获得不同的用户权限。
管理员和老师可对网络实验室和实验组进行管理;
学生在网络中的任何位置打开统一的网页,即可根据提示进入所要调试的设备中;
如果条件允许,将系统连接到校园网或者公共网络当中,在网络实验室设备开启的前提下,教师和学生可通过PC、Pad、手机等终端对设备进行访问和调试,最大限度的利用现有的实验室资源。
网络实验室整体框架结构
网络实验室逻辑访问图
灵活直观的图形化界面
系统采用B/S架构,所有用户通过浏览器和IP地址,登陆到系统中来。
教师和管理员通过web界面管理实验室内的所能看到的一切物理和逻辑上的资源,包括人员、设备、课程、实验报告等资源。
学生用户则通过登陆平台系统进行学习相应的课程、调试设备、提交报告等。
每个实验台的设备和连接的拓扑关系图形化显示。
教师或管理员在后台根据实验室实际网络设备环境和教学需求任意搭建拓扑,所见即所得,学生账户登陆,只需鼠标点击拓扑中的网络设备图标即可登陆到相应实验组内的设备。
无需再去插拔console线和网线。
分组教学,团队合作完成实验任务
通过独立的分组设计,组与组之间的成员不会相互干涉,相对对立,避免了组与组之间的成员误操作或者恶意操作带来的危害。
这种独立是相对的,管理员可以在实验室中心交换机上来解除访问控制,让组与组的成员能够访问到对方的CCM,组成更大的实验组进行综合实验。
多用户同时访问
多用户同时访问一台设备,做到屏幕监控和协作学习,系统连接的每一台网络设备允许多个学生同时访问,第一个进入设备的学生自动获得“写”权限,其他学生进入只能获得“读”权限。
教师拥有最高的权限,随时可以查看每一台网络设备的配置情况,同时也可以收回“写”权限,即时指导教学。
“一键恢复”功能和场景配置
在教师管理机的网页上,可方便的对全网、某实验室、某实验台上所有实验设备,或者单台实验设备,或者选中的一组设备,进行“一键恢复”功能。
可通过选择,恢复成出厂配置,也可恢复成“指定配置”,指定配置是需要管理员/教师预先将配置脚本在ISLMS中设置好的,如果没有配置则默认为出厂配置。
升级会员 