信息安全虛擬化實訓云平臺綜合實驗室解決方案

信息安全虛擬化實訓云平臺綜合實驗室解決方案上海盾聯(lián)信息技術(shù)有限公司2014年3月目錄一、 需求分析 31、 管理服務人才的需求 31.1信息安全人才需求分析 31.2信息安全人才培養(yǎng)面臨的問題 41.3信息安全專業(yè)需求分析 41.4信息安全實驗室的意義 52、 網(wǎng)絡信息安全實施人才的需求。 63、 系統(tǒng)防護和安全應急響應人才的需求。 64、 網(wǎng)絡信息安全培訓人才的需求。 6二、 國內(nèi)國外發(fā)展現(xiàn)狀 7三、 現(xiàn)有基礎(chǔ)狀況 81、 思維方式問題 82、 理論過多問題 83、 實踐過少問題 84、 建設網(wǎng)絡攻防實驗室的難點 8四、 建設目標 101、 以理論學習為基礎(chǔ)，結(jié)合最全面最專業(yè)的實訓 102、 教、學、練一體化信息安全實訓平臺 103、 自主創(chuàng)新，因地制宜 10五、 建設內(nèi)容 121、基礎(chǔ)網(wǎng)絡搭建實驗室建設內(nèi)容： 122、信息安全實驗室建設內(nèi)容 20六、 建設步驟 311、基礎(chǔ)網(wǎng)絡實驗室建設 312、信息安全教學實訓平臺建設 313、信息安全對抗平臺建設 314、信息安全技術(shù)知識庫建設 315、信息安全技術(shù)研究能力建設 326、信息安全實驗室擴展建設 33七、信息安全實驗室實施方案 361、部署示意圖 361.1實驗室布局 361.2實驗室設備安裝和布線示意圖 372、部署實施建議 402.1信息安全實驗室基本實施 402.2評測工具區(qū)實施 402.3評測工作區(qū)實施 402.4評測接入?yún)^(qū)實施 413、實施計劃 413.1項目實施說明 413.2實施時間表 41八、費用預算 43附錄參考標準 44需求分析信息化在帶來巨大發(fā)展機遇的同時也帶來了嚴峻的挑戰(zhàn),防止各種信息泄密、黑客攻擊等行為的信息安全人才的短缺就是嚴峻的挑戰(zhàn)之一。相對于已初步形成的專業(yè)信息安全領(lǐng)域以和信息化建設和信息安全產(chǎn)業(yè)發(fā)展速度而言,各個行業(yè)的信息安全人才培養(yǎng)機制和手段顯得非常匱乏。目前各個行業(yè)信息安全專業(yè)人才的需求包括了多個層次和多個方面,我們認為大體可以分為以下幾種類型：管理服務人才的需求這種需求目前是廣大企事業(yè)單位和政府部門的主要需求。信息安全管理服務人才是一種復合型和應用型的人才,不僅需要具備一定信息安全技術(shù)能力,能夠正確使用、配置、維護常規(guī)的信息安全設備,還必須具有一定的管理和法律知識，并且擁有豐富的信息安全經(jīng)驗,能正確規(guī)劃、實施和維護信息系統(tǒng)的安全保障體系。1.1信息安全人才需求分析信息化在帶來巨大發(fā)展機遇的同時也帶來了嚴峻的挑戰(zhàn),防止各種信息泄密、黑客攻擊等行為的信息安全人才的短缺就是嚴峻的挑戰(zhàn)之一。相對于已初步形成的專業(yè)信息安全領(lǐng)域以和信息化建設和信息安全產(chǎn)業(yè)發(fā)展速度而言,各個行業(yè)的信息安全人才培養(yǎng)機制和手段顯得非常匱乏。目前各個行業(yè)信息安全專業(yè)人才的需求包括了多個層次和多個方面,我們認為大體可以分為以下幾種類型：1.1.1第一類是對管理服務人才的需求這種需求目前是廣大企事業(yè)單位和政府部門的主要需求。信息安全管理服務人才是一種復合型和應用型的人才,不僅需要具備一定信息安全技術(shù)能力,能夠正確使用、配置、維護常規(guī)的信息安全設備,還必須具有一定的管理和法律知識，并且擁有豐富的信息安全經(jīng)驗,能正確規(guī)劃、實施和維護信息系統(tǒng)的安全保障體系。1.1.2第二類是對網(wǎng)絡信息安全實施人才的需求這種需求通常來源于安全產(chǎn)品提供商、系統(tǒng)集成服務商。信息安全技術(shù)開發(fā)人才要求具備良好的信息安全基礎(chǔ)知識,具有較強的動手實踐能力，能夠嚴格按照實施方案完成安全設備部署。1.1.3第三類是對系統(tǒng)防護和安全應急響應人才的需求這方面的人才要求具有良好的學術(shù)功底,具備扎實的學科理論基礎(chǔ)知識,能系統(tǒng)深入地掌握密碼學、安全協(xié)議、安全體系結(jié)構(gòu)、信息對抗、網(wǎng)絡安全等信息安全理論和方法以和熟練的產(chǎn)品設計開發(fā)能力。1.1.4第四類是網(wǎng)絡信息安全培訓人才的需求這種需求主要來源于高等院校和各種培訓機構(gòu)。1.2信息安全人才培養(yǎng)面臨的問題隨著信息化進程的深入和互聯(lián)網(wǎng)的迅速發(fā)展，人們的工作、學習和生活方式正在發(fā)生巨大變化，效率大為提高，信息資源得到最大程度的共享。但是與此同時以各種各樣黑客技術(shù)為基礎(chǔ)的黑色產(chǎn)業(yè)鏈誕生了，網(wǎng)絡安全的需求也隨之而來，無論是廠家、開發(fā)商，還是用戶，都對這種需求明確了，網(wǎng)絡安全開始作為獨立的部分迎來越來越多企業(yè)的重視。中國黑色產(chǎn)業(yè)鏈的飛速發(fā)展帶來的另一現(xiàn)象是，網(wǎng)絡安全人才匱乏到一個相當嚴重的地步，人才的培育至少滯后于社會需求5到10年。計算機擁有多種角色屬性，承載著傳輸、處理、存儲等復雜的業(yè)務應用。因此計算機所面臨的安全問題是紛繁多樣的，并且由于網(wǎng)絡應用的大規(guī)模普和，導致存在于任何一個計算機的安全問題都可能威脅到整個信息網(wǎng)絡的安全。然而長時間以來，各類計算機使用者，很少了解到計算機所面臨的安全威脅，也很少有學校，企業(yè)能夠提供對計算機安全培訓的環(huán)境，使得大多數(shù)人無法真正了解到計算機的安全隱患，也無法對計算機存在的安全隱患進行防御。在一個已經(jīng)部署防毒軟件、防火墻、IDS、VPN等傳統(tǒng)信息安全產(chǎn)品的網(wǎng)絡環(huán)境中，很少有人清晰的知道這些安全產(chǎn)品的作用，以和能夠為計算機安全所帶來的保障，嚴重匱乏的教學和培訓環(huán)境，讓很多學校以和企業(yè)感到無從著手，無力進行計算機安全的培訓教育，而且網(wǎng)絡安全的培訓不是書本知識，必須是靠知識和經(jīng)驗的積累，有經(jīng)驗的高手在這個市場里可以更有作為，對于面臨的一下問題也無法解決：問題一如何更加有效的教育，培訓學員在計算機安全方面的知識匱乏；問題二怎樣的教學，培訓方式才能讓學員更加快捷，高效的學習計算機安全方面的知識；問題三什么樣的教學，培訓環(huán)境才能讓學員更容易，積極的學習計算機安全方面的知識，增強計算機安全意識。問題四如何才能讓學生在學校的安全課程培訓期間就獲得豐富的網(wǎng)絡組建、信息安全的經(jīng)驗。1.3信息安全專業(yè)需求分析信息安全專業(yè)的就業(yè)方向主要包括公安局信息監(jiān)查、網(wǎng)站、病毒殺毒公司以和涉和信息安全的地方，比如電信、網(wǎng)通的技術(shù)安全維護部門，政府各個重要部門的網(wǎng)絡安全監(jiān)測部門等。信息安全專業(yè)是我國高等院校自2010年起順應當代信息技術(shù)發(fā)展需要開設的新興本科專業(yè)。該專業(yè)培養(yǎng)掌握計算機技術(shù)和信息安全技術(shù)的復合型人才，經(jīng)過培養(yǎng)，使學生在計算機系統(tǒng)安全方面具有較強的能力，能運用所學知識開發(fā)安全的信息系統(tǒng)，或運用、管理和維護安全的信息系統(tǒng)，為在今后的工作中對抗黑客攻擊、保護信息網(wǎng)絡空間的安全和打擊計算機犯罪打下扎實的基礎(chǔ)。信息安全的概念在本世紀經(jīng)歷了一個漫長的歷史階段，90年代以來得到了深化。進入21世紀，隨著信息技術(shù)的不斷發(fā)展，信息安全問題也日顯突出。如何確保信息系統(tǒng)的安全已成為全社會關(guān)注的問題。國際上對于信息安全的研究起步較早，投入力度大，已取得了許多成果，并得以推廣應用。信息安全專業(yè)，具有全面的信息安全專業(yè)知識，使得學生有較寬的知識面和進一步發(fā)展的基本能力；加強學科所要求的基本修養(yǎng)，使學生具有本學科科學研究所需的基本素質(zhì)，為學生今后的發(fā)展、創(chuàng)新打下良好的基礎(chǔ)；使學生具有較強的應用能力，具有應用已掌握的基本知識解決實際應用問題的能力，不斷增強系統(tǒng)的應用、開發(fā)以和不斷獲取新知識的能力。努力使學生既有扎實的理論基礎(chǔ)，又有較強的應用能力；既可以承擔實際系統(tǒng)的開發(fā)，又可進行科學研究。目前，我國高校開設的信息安全專業(yè)學習的專業(yè)基礎(chǔ)和專業(yè)課主要有：高等數(shù)學、線性代數(shù)、計算方法、概率論與數(shù)理統(tǒng)計、計算機與算法初步、C++語言程序設計、數(shù)據(jù)結(jié)構(gòu)與算法、計算機原理與匯編語言、數(shù)據(jù)庫原理、操作系統(tǒng)、大學物理、集合與圖論、代數(shù)與邏輯、密碼學原理、編碼理論、信息論基礎(chǔ)、信息安全體系結(jié)構(gòu)、軟件工程、數(shù)字邏輯、計算機網(wǎng)絡等。除上述專業(yè)課外還開設了大量專業(yè)選修課，主要有：數(shù)據(jù)通信原理、信息安全概論、計算機網(wǎng)絡安全管理、數(shù)字鑒別和認證系統(tǒng)、網(wǎng)絡安全檢測與防范技術(shù)、防火墻技術(shù)、入侵檢測與防護、病毒機制與防護技術(shù)、網(wǎng)絡安全協(xié)議與標準、操作系統(tǒng)安全、網(wǎng)絡應用服務安全、安全應用和設計、安全體系、PKI、訪問控制、安全協(xié)議、VPN等。學生除要完成信息安全體系不同層次上的各種實驗和課程設計外，還將在畢業(yè)設計中接受嚴格訓練，例如完成網(wǎng)絡攻擊、計算機病毒、身份認證、訪問控制、信息隱藏、加密通信、安全操作系統(tǒng)、防火墻操作、入侵檢測、網(wǎng)絡掃描、協(xié)議分析等安全實驗。1.4信息安全實驗室的意義1.4.1實驗室對學校的意義信息安全實驗室的建設對學?？蒲?、教學的實現(xiàn)和完善具有重要意義；促進產(chǎn)學研一體化、促進科研成果轉(zhuǎn)化并最終成為生產(chǎn)力；提高學校的競爭力和學生的實踐能力；有利于提升學校的品牌。1.4.2實驗室對教師的意義實驗室提供更多的真實設備，便于老師備課和實驗指導；實驗室方便教師對學員實驗過程進行把控，提升教學質(zhì)量；實驗室提供管理機，使老師便于對學生實驗的管理，使教學效率提高；實驗室可以提供對各類競賽的支持。1.4.3實驗室對學生的意義信息安全實驗室提供了真實的網(wǎng)絡環(huán)境，可以讓學生親自搭建網(wǎng)絡、親自動手調(diào)試、配置網(wǎng)絡，進行安全實驗，從而讓學生直觀、全方位了解各種網(wǎng)絡設備和應用環(huán)境，真正加深對網(wǎng)絡原理、協(xié)議、標準的認識；通過信息安全實驗室的學習，真正提高了學生的信息安全技能和實戰(zhàn)能力；同時，也使學生在畢業(yè)時擴大了擇業(yè)的范圍，可以從事網(wǎng)絡技術(shù)工程師、網(wǎng)絡管理員、信息安全工程師、安全管理員等網(wǎng)絡技術(shù)類職業(yè)。網(wǎng)絡信息安全實施人才的需求。這種需求通常來源于安全產(chǎn)品提供商、系統(tǒng)集成服務商。信息安全技術(shù)開發(fā)人才要求具備良好的信息安全基礎(chǔ)知識,具有較強的動手實踐能力，能夠嚴格按照實施方案完成安全設備部署。系統(tǒng)防護和安全應急響應人才的需求。這方面的人才要求具有良好的學術(shù)功底,具備扎實的學科理論基礎(chǔ)知識,能系統(tǒng)深入地掌握密碼學、安全協(xié)議、安全體系結(jié)構(gòu)、信息對抗、網(wǎng)絡安全等信息安全理論和方法以和熟練的產(chǎn)品設計開發(fā)能力。網(wǎng)絡信息安全培訓人才的需求。這種需求主要來源于高等院校和各種培訓機構(gòu)。國內(nèi)國外發(fā)展現(xiàn)狀信息安全是我國高等院校自2010年起順應當代信息技術(shù)發(fā)展需要開設的新興本科專業(yè)。該方向培養(yǎng)掌握計算機技術(shù)和信息安全技術(shù)的復合型人才，經(jīng)過培養(yǎng)，使學生在計算機系統(tǒng)安全方面具有較強的能力，能運用所學知識開發(fā)安全的信息系統(tǒng)，或運用、管理和維護安全的信息系統(tǒng)，為在今后的工作中對抗黑客攻擊、保護信息網(wǎng)絡空間的安全和打擊計算機犯罪打下扎實的基礎(chǔ)。信息安全方向的就業(yè)方向主要包括公安局信息監(jiān)查、網(wǎng)站、病毒殺毒公司以和涉和信息安全的地方，比如電信、網(wǎng)通的技術(shù)安全維護部門，政府各個重要部門的網(wǎng)絡安全監(jiān)測部門等?；谛畔踩R的綜合性、應用性和工程性，從豐富信息安全類課程的教學手段和人才培養(yǎng)的角度出發(fā)，建設信息安全攻防實驗室都是非常有必要的。一方面，能為日常信息安全教學工作提供良好的實驗、演示環(huán)境；另外一個方面能夠提供一個安全攻防的實踐環(huán)境，讓能讓學生實際了解到業(yè)內(nèi)主流安全設備的應用；同時，使用業(yè)內(nèi)最開放設計的安全攻防平臺可以應用于風險評估、系統(tǒng)安全測評、安卓自動化測試、云平臺設計、綜合實訓平臺開發(fā)、SDN開發(fā)、可信網(wǎng)絡開發(fā)、信息安全產(chǎn)品開發(fā)等各類科研領(lǐng)域。“沒有對抗就沒有成長，在對抗中學習信息安全技術(shù)！”這已經(jīng)是信息安全教學的一種新模式，正是基于此模式，信息安全實驗室以培養(yǎng)學生興趣為前提，在對抗中培訓學生的實際操作能力，結(jié)合實際的安全設備的配置能力，使學生能夠快速就業(yè)?，F(xiàn)有基礎(chǔ)狀況信息安全事件層出不窮，從各類信用卡數(shù)據(jù)泄露、網(wǎng)絡用戶數(shù)據(jù)庫泄露到棱鏡門事件，信息安全事件的影響越來越大，信息安全問題已經(jīng)不僅是個人和企業(yè)問題，同時已經(jīng)上升到了國家安全問題。同時，新型的攻擊方式層次不窮，以APT攻擊（高級持續(xù)性威脅，AdvancedPersistentThreat）為例。APT是黑客以竊取核心資料為目的，針對客戶所發(fā)動的網(wǎng)絡攻擊和侵襲行為，是一種蓄謀已久的“惡意間諜威脅”。這種行為往往經(jīng)過長期的經(jīng)營與策劃，并具備高度的隱蔽性。APT的攻擊手法，在于隱匿自己，針對特定對象，長期、有計劃性和組織性地竊取數(shù)據(jù)，這種發(fā)生在數(shù)字空間的偷竊資料、搜集情報的行為，就是一種“網(wǎng)絡間諜”的行為。傳統(tǒng)的信息安全教學過程中，普遍存在以下幾類問題：思維方式問題信息安全不同于其他學科，由于攻擊方式多種多樣，信息安全要求與其他專業(yè)一樣的從全局到局部的信息安全意識；但是由于需要針對不同攻擊方式進行不同的處理方式，因此信息安全又強調(diào)獨特的黑客思維，魔高一尺，道高一丈。而傳統(tǒng)的信息安全教學過程，一般僅強調(diào)第一種意識，而不考慮第二種意識。理論過多問題信息安全對理論要求較高，過多的理論強烈的壓抑了學生的學習興趣，而理論過多同樣帶來了課程體系設計比較難的問題，學生的評價體系問題等等。實踐過少問題傳統(tǒng)的信息安全教學過于追求知識的系統(tǒng)性和完整性，較多地存在著重理論、輕實踐的問題。而信息安全學科不僅強調(diào)理論基礎(chǔ)，同時要求學生有很高的動手能力。信息安全項目是系統(tǒng)工程（木桶原理，信息安全項目的安全程度取決于其分子項目的最短板），實踐訓練過少不利于學生理解整體的安全架構(gòu)，從而站在信息安全項目的項目質(zhì)量。建設網(wǎng)絡攻防實驗室的難點網(wǎng)絡攻防在信息安全教學當中占據(jù)相當重要的地位，但作為教學者來看，開展相關(guān)的實驗卻遇到了很多難點，只要我想法克服相關(guān)的困難才能使們實驗教學更上一個層次，目前主要面臨的問題如下：1）、建設成本網(wǎng)絡攻防實驗需要真實的環(huán)境，開展實驗需要大量的網(wǎng)絡設備（路由、交換機、防火墻等）和服務器設備，在國內(nèi)目前形成一個大規(guī)模的真實的實驗室，付出的成本是非常的昂貴，所以經(jīng)費是目前網(wǎng)絡攻防實驗室第一個難點；2)、網(wǎng)絡攻擊分析與評估網(wǎng)絡攻防實驗，是一個不太容易被可視化的實驗，往往在做實驗當中難以評估學生的學習情況，比如攻擊實時監(jiān)控、攻防手段分析等，所以攻擊分析和攻擊相關(guān)的評估對一個教學者來說，是非常的重要，攻防的效果評估，分析也成為了一個實驗難點；3）、真實的被攻擊環(huán)境靈活度網(wǎng)絡攻擊往往需要一個真實而復雜的環(huán)境，實學生有效的練習攻防手段，現(xiàn)很多學生經(jīng)常對校院網(wǎng)、對社會真實的網(wǎng)絡環(huán)境進行攻防，從而帶來了一定的法律風險，但對于實驗室來講，布置一個真實復雜的網(wǎng)絡環(huán)境，前期準備工作需要大量的時間，所以實驗環(huán)境的準備也是一個難點，能否圖形化、智能化的通過一個人機界面準備實驗環(huán)境，并且可以靈活性的改變目標環(huán)境，對于網(wǎng)絡攻防實驗至關(guān)重要。2.2實驗室建設思路實驗建設思路一方面要考慮建設成本，另一方面更要考慮實驗環(huán)境準備和攻擊評估；我們通過多年的調(diào)研，建議學校采用軟硬件結(jié)合的方式，來建設性價比相對合理的實驗平臺；在硬件方面，采用云計算技術(shù)，可大規(guī)模生成網(wǎng)絡設備和服務器設備，且可以在一個人機界面下，以拖拽的形式增加或減少網(wǎng)絡設備和主機，并能對設備進行配置。一方面提升了網(wǎng)絡環(huán)境的復雜性，使實驗環(huán)境更加的真實，另一方面采用后臺有著強大分析功能的系統(tǒng)，可對攻防過程，攻擊結(jié)果、攻防次數(shù)、攻防的手段進行實時的分析，并可以以圖表形式展現(xiàn)出來，并對現(xiàn)有的服務器環(huán)境進行評估，評估網(wǎng)絡環(huán)境安全性能；從實驗層面考慮，最好以循序漸進方法來進行實驗，從練兵，到任務，到真實演練，至最后的網(wǎng)絡對抗，從入門到深入，從攻到防，從防到科研的方式來進行實驗.建設目標以理論學習為基礎(chǔ)，結(jié)合最全面最專業(yè)的實訓以理論學習為基礎(chǔ)，結(jié)合最全面最專業(yè)的實訓，增加學生對信息安全諸多領(lǐng)域的深入理解，為解決學生就業(yè)提供堅實的技術(shù)基礎(chǔ)。神州數(shù)碼信息安全虛擬化實訓云平臺提供多個方面的實驗、實訓和工程實踐，涵蓋多層次的實驗操作，以真實環(huán)境的真實案例為操作指南，貼近實際崗位能力要求。同時，配有強大的實驗管理系統(tǒng)，能夠為信息安全教學和科研提供一個完整的、一體化的實驗教學環(huán)境。1、通過思路優(yōu)化和實訓平臺新建與整合，完成網(wǎng)絡信息安全運維人才需求的計算機網(wǎng)絡，信息安全基礎(chǔ)，信息安全設備調(diào)試與原理等相關(guān)的全套教學流程實訓平臺支持；2、同時完成系統(tǒng)集成沙盤、創(chuàng)新實訓基地項目的設計與建設工作，滿足學生網(wǎng)絡系統(tǒng)集成通用的基礎(chǔ)知識，企業(yè)實踐知識與項目式教學的通用實訓平臺支持。3、滿足計算機網(wǎng)絡技術(shù)專業(yè)，軟件技術(shù)專業(yè)，信息安全專業(yè)，電子信息類專業(yè)在計算機網(wǎng)絡技術(shù)，網(wǎng)絡系統(tǒng)集成，信息安全方面課程的教學和企業(yè)項目實踐實訓需求4、滿足工業(yè)與信息化產(chǎn)業(yè)部NSACE和中國信息安全測評中心CISP計算機網(wǎng)絡信息安全工程師，信息系統(tǒng)管理工程師，系統(tǒng)集成項目工程師，網(wǎng)絡工程師，國家勞動與社會保障廳網(wǎng)絡管理員，國際認證CISSP安全認證工程師等國家職業(yè)鑒定，企業(yè)行業(yè)等認證。教、學、練一體化信息安全實訓平臺利用實驗平臺資源，搭建信息安全教學實訓平臺，將理論教學與實訓教學融為一體，讓學生在做中學，學中做，將教學與實訓緊密結(jié)合，不斷提高學習技能，獲得能力?；诮虒W流程設計，更加貼近教學需求提高教學和實驗管理效率；貼合教學需求的重視管理的階段。教學和實驗能夠更方便靈活的調(diào)用；更全面的教學、實驗全流程管理；提供遠程多人學習、協(xié)同實驗等需求成為新一代實驗室建設時更加看重的管理要素。自主創(chuàng)新，因地制宜提供獨立、高效的信息化教學和實驗環(huán)境采用教學和實驗平臺完全融合的架構(gòu)；自動加載課程所需環(huán)境，教學快捷方便；實驗數(shù)據(jù)在內(nèi)部虛擬化系統(tǒng)傳輸，從而從最大程度上保證了信息化教學的安全，不會受外部網(wǎng)絡環(huán)境造成影響。建設內(nèi)容1、基礎(chǔ)網(wǎng)絡搭建實驗室建設內(nèi)容：北京信息技術(shù)有限公司通過多年在教育行業(yè)的觀察和建設發(fā)現(xiàn)，國內(nèi)高校、職教的基礎(chǔ)網(wǎng)絡實驗室大體上經(jīng)歷了三個階段：第一代的網(wǎng)絡實驗室主要是以分散性實驗室為主。這一階段的網(wǎng)絡實驗的特點就是網(wǎng)絡設備全都堆在試驗臺上，設備console口直接連接到PC上進行調(diào)試。這樣的優(yōu)點在于拓撲結(jié)構(gòu)直觀、實驗效果明顯。但是隨著設備的不斷使用，其弊端也日益凸顯出來：設備管理難度大，每次課堂實驗完成后，管理員/教師就要花費很大的精力去登陸到每一臺設備上去清除配置，恢復出廠狀態(tài)，維護的工作量很大；學生在做實驗的時候無數(shù)次的插拔設備的console口，也造成了設備極大的耗損，大大降低了設備的使用壽命；并且在整個實驗室的布局上面受到了很大的限制，設備只能近距離的布置在PC和學生身邊。隨著第一代實驗室的問題日益嚴重，漸漸就出現(xiàn)了能夠?qū)υO備進行“一鍵清除”的實驗室管理設備。伴隨各個廠商的推廣，國內(nèi)院校的基礎(chǔ)網(wǎng)絡實驗室就逐漸發(fā)展了第二階段，我們稱之為“分步控制型網(wǎng)絡實驗室”。較第一代基礎(chǔ)網(wǎng)絡實驗室的變化就是該類實驗室出現(xiàn)了實驗室管理設備，該設備普遍采用路由器+8口（16口）異步卡形式，加載一定的軟件程序，可做到對單組設備進行一定的控制。具備對設備的‘一鍵清’功能，在一定程度上實現(xiàn)了對設備的管理，減輕了實驗室管理員/教師的維護工作量。從布局上來說，也改變了傳統(tǒng)的受空間位置限制的布局模式，在一定程度上也減少了設備的損耗，特別是console口的損耗。但是這種實驗室還是存在兩個最大的弊端：一是這種管理設備是經(jīng)過路由器來改造的，其性能受路由器的性能限制，管理功能較弱，設備造價成本較高，只能控制單組設備，不能實現(xiàn)整個實驗室所有設備的統(tǒng)一管理。隨著國內(nèi)高校網(wǎng)絡實驗室的不斷發(fā)展，截止到目前第三代網(wǎng)絡實驗室已經(jīng)漸進雛形。這個階段的實驗室主要是要求對整個實驗室的資源進行統(tǒng)一的管理和維護，我們稱之為“統(tǒng)一管理型網(wǎng)絡實驗室”。對此，信息技術(shù)有限公司在總結(jié)前幾代網(wǎng)絡實驗室的優(yōu)缺點、不斷征集國內(nèi)各個高校一線教師的意見之后，提出了采用串口控制服務器+統(tǒng)一管理平臺模式的解決方案。結(jié)合實驗室各方面需求，推出網(wǎng)絡信息安全實驗室管理系統(tǒng)ISLMS。ISLMS在整個實驗室采用物理旁路、邏輯干路的組網(wǎng)方式：在物理連接上，網(wǎng)絡實驗室管理平臺采用旁路的方式；在邏輯訪問控制上，網(wǎng)絡實驗室管理平臺采用干路方式，即訪問實驗設備的數(shù)據(jù)流要由此設備進行轉(zhuǎn)發(fā)。統(tǒng)一的使用瀏覽器進行登陸操作，同時實現(xiàn)了對實驗設備、教學課程、實驗過程、實驗成果、實驗人員等綜合的管理；許多人性化管理功能的設計，更方便教學使用；減少了設備的損耗；可開發(fā)性和可拓展性較強。ISLMS功能特性網(wǎng)絡實驗室配套管理系統(tǒng)ISLMS，該系統(tǒng)是專為實驗室用戶研制開發(fā)的產(chǎn)品。ISLMS是一款基于WEB的遠程網(wǎng)絡實驗室管理平臺，用來更方便的管理設備、輔助教學。該管理平臺提供網(wǎng)絡實驗室設備的集中、可視化統(tǒng)一拓撲圖、圖形化管理和豐富的基于各種具體環(huán)境的“一鍵恢復”功能，方便管理；提供遠程模擬串口登陸設備功能，滿足學習的需要；結(jié)合實驗室拓撲連接器，可以做到所見即所得的網(wǎng)絡拓撲，只需點擊鼠標即可搭建真實的網(wǎng)絡拓撲環(huán)境，而不需手動的去插拔網(wǎng)線；提供針對不同類型的用戶分配不同的使用和管理權(quán)限；提供多人共享同一臺設備，以小組方式學習的功能，同時教師還可以實時中斷、接入學生的操作，用來指導；內(nèi)置豐富、詳盡的網(wǎng)絡實驗教學課程，教師可根據(jù)需要對課程進行調(diào)度，加載相應的實驗課程和實驗拓撲給學生，通過調(diào)度，學生只學習到教師所調(diào)度的課程；還提供系統(tǒng)的管理、維護、運行狀態(tài)實時統(tǒng)計更新；支持學生電子報告功能；針對不同類型的設備靈活的關(guān)鍵命令過濾功能。所有用戶（管理員、教師、學生）的操作統(tǒng)一到一套系統(tǒng)上，即全部用戶面對的只有一個ISLMS；所有用戶只需要在瀏覽器中輸入ISLMS服務器的IP地址，輸入相應的用戶名和密碼，即可以獲得不同的用戶權(quán)限。管理員和老師可對網(wǎng)絡實驗室和實驗組進行管理；學生在網(wǎng)絡中的任何位置打開統(tǒng)一的網(wǎng)頁，即可根據(jù)提示進入所要調(diào)試的設備中；如果條件允許，將系統(tǒng)連接到校園網(wǎng)或者公共網(wǎng)絡當中，在網(wǎng)絡實驗室設備開啟的前提下，教師和學生可通過PC、Pad、手機等終端對設備進行訪問和調(diào)試，最大限度的利用現(xiàn)有的實驗室資源。網(wǎng)絡實驗室整體框架結(jié)構(gòu)網(wǎng)絡實驗室邏輯訪問圖靈活直觀的圖形化界面系統(tǒng)采用B/S架構(gòu)，所有用戶通過瀏覽器和IP地址，登陸到系統(tǒng)中來。教師和管理員通過web界面管理實驗室內(nèi)的所能看到的一切物理和邏輯上的資源，包括人員、設備、課程、實驗報告等資源。學生用戶則通過登陸平臺系統(tǒng)進行學習相應的課程、調(diào)試設備、提交報告等。每個實驗臺的設備和連接的拓撲關(guān)系圖形化顯示。教師或管理員在后臺根據(jù)實驗室實際網(wǎng)絡設備環(huán)境和教學需求任意搭建拓撲，所見即所得，學生賬戶登陸，只需鼠標點擊拓撲中的網(wǎng)絡設備圖標即可登陸到相應實驗組內(nèi)的設備。無需再去插拔console線和網(wǎng)線。分組教學，團隊合作完成實驗任務通過獨立的分組設計，組與組之間的成員不會相互干涉，相對對立，避免了組與組之間的成員誤操作或者惡意操作帶來的危害。這種獨立是相對的，管理員可以在實驗室中心交換機上來解除訪問控制，讓組與組的成員能夠訪問到對方的CCM，組成更大的實驗組進行綜合實驗。多用戶同時訪問多用戶同時訪問一臺設備，做到屏幕監(jiān)控和協(xié)作學習，系統(tǒng)連接的每一臺網(wǎng)絡設備允許多個學生同時訪問，第一個進入設備的學生自動獲得“寫”權(quán)限，其他學生進入只能獲得“讀”權(quán)限。教師擁有最高的權(quán)限，隨時可以查看每一臺網(wǎng)絡設備的配置情況，同時也可以收回“寫”權(quán)限，即時指導教學?！耙绘I恢復”功能和場景配置在教師管理機的網(wǎng)頁上，可方便的對全網(wǎng)、某實驗室、某實驗臺上所有實驗設備，或者單臺實驗設備，或者選中的一組設備，進行“一鍵恢復”功能?？赏ㄟ^選擇，恢復成出廠配置，也可恢復成“指定配置”，指定配置是需要管理員/教師預先將配置腳本在ISLMS中設置好的，如果沒有配置則默認為出廠配置。在進行排錯課程的時候，教師可以使用該功能將預先定義的配置分發(fā)到每組設備中，由學生進行修正。查詢統(tǒng)計功能查看當前設備的運行狀態(tài)、設備使用情況、學生在線情況、學生考勤、操作日志、命令日志等功能。易用性組內(nèi)設備自由組合，無需反復拔插配置口就能訪問到組內(nèi)所有設備。采用這種實驗臺的設計，學生在做實驗時就可以不用插拔配置線，而是通過訪問控制服務器對網(wǎng)絡設備進行實驗操作，不僅可以讓學生集中精力做實驗，大大提高了實驗教學的效率和秩序，方便老師對實驗過程進行管理、監(jiān)督、檢驗；同時也大大降低了由于傳統(tǒng)實驗形式下插拔配置線帶來過高的硬件端口損壞率。靈活的擴展性模塊化的實驗組設計給實驗室?guī)頂U展上的極大方便，由于場地問題物理實驗組不能無限制增加，但是多個邏輯組可以組成綜合實驗組，公用1臺CCM。另外，CCM具有16口、24口、32口不同規(guī)格的產(chǎn)品形態(tài)，可以滿足不同規(guī)模的實驗室需求。在線學生的用戶列表顯示，哪些學生當前在哪個實驗室、哪個實驗臺、哪個設備上做實驗，一目了然。對在線學生的操作進行實時查看，實時指導，可對選定的學生，查看其對設備操作的過程，并可進行指導。安全控制所有人無法直接訪問CCM，必須經(jīng)過管理控制中心做映射和數(shù)據(jù)安全轉(zhuǎn)換；所有用戶必須經(jīng)過身份認證才可進行系統(tǒng)；通過https加密訪問。自動作業(yè)提交學生進行實驗之后，可以通過提交實驗報告，將實驗結(jié)果上傳到服務器中，老師可以提取學生的作業(yè)，進行批改。全真模擬現(xiàn)實配置環(huán)境、多種配置的學習功能可在學生的web頁面中，單擊設備后，選擇真實的超級終端的配置功能，只需鼠標一點輕松實現(xiàn)真實的超級終端串口配置練習環(huán)境?？稍趯W生的web頁面中，單擊設備后，選擇telnet方式模擬超級終端的配置功能?？稍趯W生的web頁面中，單擊設備后，選擇設備本身的web配置功能。危險命令過濾為防止學生對設備進行不可逆轉(zhuǎn)的操作，保護設備，可以提供危險命令過濾功能，使這些危險命令不能生效。并且危險命令可以由管理員任意配置，同時還支持對危險命令的特殊參數(shù)不阻塞的功能。推薦網(wǎng)絡實驗室實訓清單：交換實驗：認識交換機，交換機帶外管理熟悉交換機的各種配置模式熟悉交換機的CLI界面調(diào)試技巧交換機恢復出廠設置和其基本配置使用telnet方式管理交換機使用Web方式管理交換機交換機文件備份交換機系統(tǒng)升級和文件還原密碼丟失的解決方法BootRom下的升級配置交換機simplex堆疊實驗交換機duplex堆疊實驗交換機super堆疊實驗VLAN的劃分實驗跨交換機相同VLAN間通信 公用端口實驗私有VLAN實驗端口和MAC地址綁定實驗（靜態(tài)、動態(tài)兩種方式）配置MAC地址表實現(xiàn)Mac地址綁定與過濾交換機MAC與IP的綁定生成樹和快速生成樹實驗鏈路聚合實驗（靜、動態(tài)兩種方式）端口鏡像IEEE802.1X的端口認證實驗（需radius服務器）路由實驗：路由器接口簡介路由器的管理方式路由器的基本配置配置文件上傳下載路由器的系統(tǒng)升級路由器廣域網(wǎng)HDLC封裝配置路由器廣域網(wǎng)PPP基礎(chǔ)配置路由器靜態(tài)路由配置RIP-1路由協(xié)議配置RIP-2路由協(xié)議的基本配置靜態(tài)路由引入配置直連路由引入配置OSPF路由協(xié)議單區(qū)域基本配置路由器廣域網(wǎng)PPP封裝PAP配置路由器廣域網(wǎng)PPP封裝CHAP配置高端交換組可以實現(xiàn)的實驗：認識三層交換機多層交換機VLAN的劃分和VLAN間路由使用多層交換機實現(xiàn)二層交換機VLAN之間的路由核心交換機靜態(tài)路由三層交換機RIP動態(tài)路由三層交換機OSPF動態(tài)路由三層交換機標準編號ACL三層交換機標準命名ACL三層交換機擴展編號ACL三層交換機擴展命名ACL交換機單向訪問控制的實現(xiàn)使用ACL過濾特定病毒報文交換機實現(xiàn)DHCP服務器的配置交換機實現(xiàn)DHCP中繼的配置交換機HSRP實驗交換機VRRP實驗交換機組播PIM-DM實驗交換機組播DVMRP實驗交換機Q0S實驗高端路由組可以實現(xiàn)的實驗：路由器廣域網(wǎng)FR基礎(chǔ)封裝配置幀中繼交換機的配置路由器廣域網(wǎng)X.25封裝配置通過modem撥出訪問internet通過ISDN訪問internetOSPF路由協(xié)議NBMA的網(wǎng)絡配置CE1/UE1的配置RIP-2路由協(xié)議鄰居認證實驗RIP-2路由協(xié)議定時器配置RIP-2路由協(xié)議單播路由更新配置RIP-2路由協(xié)議NBMA的網(wǎng)絡配置RIP協(xié)議環(huán)路避免的幾種方法實驗OSPF路由協(xié)議多區(qū)域基本配置OSPF路由協(xié)議NBMA點到點的網(wǎng)絡配置OSPF路由協(xié)議NBMA點到多點的網(wǎng)絡配置OSPF路由協(xié)議虛鏈路配置OSPF路由協(xié)議Stub、totallyStub網(wǎng)絡配置OSPF路由協(xié)議鄰居認證配置OSPF路由協(xié)議路由匯總配置DEIGRP路由協(xié)議配置BGP的配置路由再分配/路由重分布標準ACL配置（數(shù)字的和命名的）擴展ACL配置（有五類）NAT地址轉(zhuǎn)換策略路由PBR的配置HSRP協(xié)議實驗DHCP配置VPN（L2TP、PPTP）配置GRE協(xié)議VPN（Ipsec）VPN（IKE）（靜態(tài)、動態(tài)）VOIP配置配置QOS2、信息安全實驗室建設內(nèi)容內(nèi)容全，覆蓋廣，采用最專業(yè)的信息安全教學體系，完美契合信息安全方向教學：從信息安全實驗的覆蓋范圍，的信息安全實驗室建設方案參考教育部高等學校信息安全類專業(yè)教學指導委員會制定的信息安全類專業(yè)知識結(jié)構(gòu)和能力要求，并聯(lián)合北京郵電大學開發(fā)了密碼學與應用、信息系統(tǒng)安全、應用安全、網(wǎng)絡安全、數(shù)字內(nèi)容安全、軟件安全、信息安全工程實踐和計算機取證與司法鑒定八大類信息安全課程體系，覆蓋了多個方面的信息安全教學內(nèi)容，包括實驗原理、教學虛擬化環(huán)境、實驗指導書，學生可以自主學習實驗，進行實驗驗證與應用，并進行信息安全綜合分析和自主設計，實現(xiàn)多層次的實驗操作。同時，通過與北京郵電大學信息安全系的深入合作，后續(xù)將源源不斷的更新最新的信息安全內(nèi)容。因此，它不僅可以作為信息安全專業(yè)教學的首選方案，也可以作為計算機、網(wǎng)絡專業(yè)以和各類培訓機構(gòu)的信息安全知識培訓平臺。北京郵電大學信息安全專業(yè)課程體系實驗內(nèi)容為國內(nèi)最全最深最專業(yè)，最強版本支持660余個不同的信息安全實驗（其中包括最新的BT5實驗、各類復雜網(wǎng)絡場景以和路由交換類實驗）：不僅覆蓋常規(guī)的系統(tǒng)攻防、網(wǎng)絡攻防，同時在WEB安全日益重要的今天，引入了SQL注入、跨站攻擊等不同的實驗，也可以支持BT5等類型的實驗。同時，最重要的是通過內(nèi)置的虛擬化實驗場景，用戶不是單純的做某個操作系統(tǒng)的小實驗，而是可以根據(jù)用戶自己的意愿構(gòu)建某些復雜網(wǎng)絡環(huán)境，來實現(xiàn)組網(wǎng)、安全、部署應用系統(tǒng)等項目式教學內(nèi)容，為教學改革提供技術(shù)基礎(chǔ)。這也是目前其他平臺所不能實現(xiàn)的。它是國內(nèi)最開放的平臺，極大降低信息安全實驗室的構(gòu)建成本：平臺不僅可以用于實驗室教學，尤其是基于LINUX等操作系統(tǒng)方面的實驗，它提供的云實驗可以節(jié)約在實驗室管理上的人員和運營上的成本投入；它也可以用于舉辦信息安全大賽（我們已經(jīng)用它辦了連續(xù)2年的高職信息安全攻防大賽）；同時由于平臺支持虛擬機的上傳功能，老師也可以將它作為防火墻、交換機、安卓等項目研發(fā)的平臺；而且如果學校有比較復雜的軟件系統(tǒng)的話，通過進行課件定制或者老師自己制作課件，也可以完成業(yè)務系統(tǒng)的培訓工作。它是全球首創(chuàng)的虛擬化教學產(chǎn)品，產(chǎn)品內(nèi)嵌了虛擬路由器、虛擬防火墻、虛擬服務器、虛擬客戶端，這將極大的降低學校在PC機和硬件上的設備投入。提供最完整的實驗室管理方案：提供的信息安全實驗室方案同時還擁有業(yè)界領(lǐng)先的實驗室管理系統(tǒng)，具有強大的和管理功能與考核功能，同時整個課程體系專注實踐教學，運用真實案例作為教學藍本，具有高效性、先進性與安全性。校企合作保證：作為在信息安全實驗室領(lǐng)域的領(lǐng)導者，一直認為產(chǎn)品只是教學的基礎(chǔ)，要保障學校在計算機、網(wǎng)絡、信息安全等專業(yè)方面的成功，同樣需要完整的校企合作內(nèi)容保障。因此，一直致力于與中職、高職和本科類院校的校企合作，為學校提供師資培養(yǎng)、課程置換、課程體系改革、教材合編、認證考試、實習就業(yè)等諸多方面的校企合作服務內(nèi)容。選擇信息安全實驗室，您可以做到：與國內(nèi)最權(quán)威的信息安全體系同步，培養(yǎng)出類拔萃的專業(yè)帶頭人；填補了計算機信息安全實驗教學方面的空白；極大改善信息安全實驗教學的條件；具備了跟蹤先進網(wǎng)絡通信和安全技術(shù)，開闊學生的思路和眼界，提高教學水平和教學質(zhì)量；在信息安全技術(shù)方向，為創(chuàng)新人才培養(yǎng)基地提供良好的教學與科研條件；極大降低設備投入，同時采用虛擬化平臺可以為各類科研平臺提供統(tǒng)一的資源中心，方便進行科研管理；構(gòu)建區(qū)域性中心，為周邊學校、培訓機構(gòu)、社會人員提供服務或者提供各類競賽（計算機類、網(wǎng)絡類和信安類大賽），提升學校影響力和專業(yè)美譽度；校企合作提供師資培養(yǎng)、課程體系改革和認證、實習等方面的保障；2.產(chǎn)品架構(gòu)2.1核心產(chǎn)品簡介信息安全實訓平臺（即DCST系列）是網(wǎng)絡公司（以下簡稱）面對于信息安全方向?qū)ｉT設計開發(fā)的產(chǎn)品。DCST-6000-N10和DCST-6000-N60提供不同的信息安全實驗，一般主要用于信息安全教學演練平臺，而安全攻防平臺產(chǎn)品則是針對不同類型的漏洞進行攻擊的實戰(zhàn)場。2.2系統(tǒng)結(jié)構(gòu)DCST產(chǎn)品體系包括：實驗平臺、實驗內(nèi)容和培訓體系，提供實驗工具管理、實驗內(nèi)容管理、虛擬化調(diào)用API等多種擴展接口，方便學校定制添加教學時候所需的實驗。如圖所示：DCST配有強大的實訓平臺管理系統(tǒng)ISLMS，能夠為信息安全培訓、教學和科研提供一個完整的、一體化的實驗教學環(huán)境，從而打造出全方位的專業(yè)信息安全實驗室。2.3核心技術(shù)DCST系列產(chǎn)品是匯聚多年云虛擬化技術(shù)研究成果，在計算機知識的教育、培訓方面，推出的一款新型教學系統(tǒng)，它是中國領(lǐng)先的云計算虛擬化實驗教育平臺。云計算虛擬化實訓平臺系統(tǒng)包含兩部分：云計算虛擬化技術(shù)和教育培訓管理。云計算虛擬化技術(shù)云計算虛擬化技術(shù)通過云計算虛擬化調(diào)度和管理為計算機教學虛擬各種實驗操作環(huán)境，讓學生進行各種計算機、網(wǎng)絡設備和安全設備等實際操作，了解計算機、網(wǎng)絡設備和安全設備的原理，掌握計算機系統(tǒng)、網(wǎng)絡和安全信息知識和實際操作技能，真實體驗計算機系統(tǒng)、網(wǎng)絡和安全信息知識和實際操作演練過程。DCST為了確保云計算虛擬實驗教學平臺能夠保證計算機教學的各種實驗操作環(huán)境，通過云計算虛擬化和在線教學平臺兩大模塊滿足了學校對于云計算虛擬化技術(shù)提出了三點具體要求：1、DCST擁有先進的計算機架構(gòu)，具備強大的處理能力采用的處理器必須在硬件層面上高度支持虛擬技術(shù)，從而確保可以提供強大的并行數(shù)據(jù)處理能力，能夠在根本上支撐虛擬系統(tǒng)的高效運轉(zhuǎn)。2、DCST支持64位計算系統(tǒng)，易于升級內(nèi)存不足將嚴重影響虛擬系統(tǒng)的性能，并會直接限制虛擬機的數(shù)量，為了能夠盡可能地擴展內(nèi)存的空間，64位帶寬能夠突破傳統(tǒng)的4GB內(nèi)存限制，可以做到輕松升級，可以讓實訓平臺部署更多的虛擬機，讓每臺虛擬機可以處理更多的事務。3、DCST高效的虛擬化調(diào)度算法能夠快速調(diào)度和虛擬化出計算機教學的各種實驗操作環(huán)境虛擬平臺調(diào)度方便快捷，達到資源共享。功能特點安全沙盒DCST-6000-N10/N60提供了學生、老師、管理員三種角色，并提供了以下的功能:1、提供多系統(tǒng)平臺的教學DCST-6000-N10/N60為計算機和網(wǎng)絡安全教育提供多系統(tǒng)平臺的教學課件，在教學、培訓過程中，根據(jù)需要可以啟動基于不同操作系統(tǒng)平臺的教學課件，滿足所有教學環(huán)境的需求。2、部署簡易，操作方便信息安全實訓平臺部署非常簡易，通過一根網(wǎng)線接入到實驗室網(wǎng)絡中，客戶端無須安裝任何客戶端軟件，即可完成設備的部署和環(huán)境的搭建。學生通過web頁面訪問設備并進行實驗，教師和管理員通過web頁面進行實驗和設備的管理。3、 多種模式的攻防課件DCST-6000-N10/N60為計算機和網(wǎng)絡安全教育提供多模式的安全攻防實驗課件，能夠進行各種安全威脅的攻防操作，針對不同的攻擊防御模式，提供多種實驗課件選擇。4、 全程自主操作的攻防演練安全沙盒系統(tǒng)的全部課件均是將安全理論與實際環(huán)境和動手操作相結(jié)合的實驗課程，所有的學習過程中，都需要通過實際動手進行實驗操作，完成課件要求的安全威脅攻擊以和針對該攻擊的安全防御措施。通過不同的實驗課程讓學員親身體驗計算機和網(wǎng)絡安全的攻防全過程，讓學生從枯燥的理論學習中解脫出來，可以極大的提升學生學習網(wǎng)絡安全知識的積極性，并幫助學生在未來的就業(yè)和職業(yè)發(fā)展奠定扎實、實用的技術(shù)基礎(chǔ)和經(jīng)驗。5、 真實的攻防環(huán)境目標主機、操作系統(tǒng)、漏洞均是真實存在的，入侵、防護過程完全真實。并非像一些實驗系統(tǒng)只能模擬輸出既定的結(jié)果，貼近實際。6、 模塊化可獨立部署或融合部署可單獨接入終端機器進行安全實驗，更可配合DCFW防火墻、IDS入侵檢測系統(tǒng)、DCSM內(nèi)網(wǎng)安全管理系統(tǒng)、交換機、路由器、DCFS、NETLOG等基礎(chǔ)安全和信息安全實驗室模塊組合成為真實攻防的全局環(huán)境中。7、課件資源豐富，接口全面開放N10/N60產(chǎn)品課件資源豐富，系統(tǒng)接口全面開放，可自定義實驗課件、實驗設備和實驗拓撲，后續(xù)內(nèi)容會實時增加。8、實驗加載快，支持遠程協(xié)助通過web瀏覽器直接登錄實訓平臺并啟動實驗，參照實驗課件可以進行自主學習。在學生進行實驗的過程當中，教師可以隨時進行遠程協(xié)助，對學生進行指導。實驗結(jié)束后，自動釋放系統(tǒng)資源。9、系統(tǒng)界面學生實驗環(huán)境課程介紹拓撲設計路由交換實訓路由交換實訓教師遠程協(xié)助界面云管理頁面建設步驟高校信息安全實驗室建設分為一下六個建設步驟：基礎(chǔ)網(wǎng)絡實驗室建設信息安全教學實訓平臺建設信息安全對抗平臺建設信息安全技術(shù)知識庫建設信息安全技術(shù)研究能力建設信息安全實驗室擴展建設1、基礎(chǔ)網(wǎng)絡實驗室建設皮之不存，毛將焉附。沒有基礎(chǔ)網(wǎng)絡架構(gòu)的支撐，就談不上網(wǎng)絡信息安全。信息安全攻防實驗室建立的前提是學校已經(jīng)建設有基礎(chǔ)網(wǎng)絡實驗室，安全實驗室必須以基礎(chǔ)網(wǎng)絡實驗室作為網(wǎng)絡通信設備的網(wǎng)絡平臺。2、信息安全教學實訓平臺建設信息安全知識的傳遞，首先要通過教學。我國高校畢業(yè)生的動手能力低是一個普遍現(xiàn)象，部分本科畢業(yè)學生的動手能力在一定程度上甚至不如高職院校的學生。高校一直采用“精英教育”模式，在理論教學上成績突出，但忽視了動手能力的培養(yǎng)。而大部分用人單位需要的是畢業(yè)即能融入日常工作的學生，因此我們需要用真實的設備、真實的案例、真實的實驗環(huán)境來鍛煉學生的實際動手能力，以改變一直以來的精英教學模式。3、信息安全對抗平臺建設在具備一定量的理論知識和實際動手能力的情況下，開展實戰(zhàn)分組對抗演練，更加貼近真實的信息安全網(wǎng)絡攻防操作過程，進一步加強學生的信息安全技能。4、信息安全技術(shù)知識庫建設早期的信息安全關(guān)注的是技術(shù),但自20世紀90年代以來,業(yè)內(nèi)對信息安全管理的關(guān)注逐漸超出了對技術(shù)的關(guān)注,特別是在一些信息安全管理標準的指導下,加速了信息安全管理的發(fā)展。然而,目前國內(nèi)高校對信息安全管理的智能化研究還比較欠缺,建立信息安全管理知識庫,可以提高信息安全管理的智能化研究水平,為信息安全管理決策提供有效的指導。同時為高校積累寶貴的信息安全教學研究資料。信息安全知識庫是高校形成結(jié)構(gòu)化、易操作、易利用、易儲存、可傳承的信息安全知識集群，這些知識包括的各個專業(yè)、學科中的的一切信息安全知識內(nèi)容，如：培訓資料、學習資料、多媒體資料、信息安全工具資料等等很多方面。因此，在信息安全實驗室建設中，對信息安全知識庫系統(tǒng)的建設尤為重要。作用主要表現(xiàn)在：第一，信息安全知識庫使信息和知識結(jié)構(gòu)化，提供標準的建立條件。第二，信息安全知識庫為企業(yè)內(nèi)部知識和信息的傳播，提供有力的平臺。第三，信息安全知識庫有利于實現(xiàn)高校對知識的更好利用。第四，信息安全知識庫對高校信息安全知識資料提供有效管理。在信息安全實驗室的信息安全管理知識庫系統(tǒng)的本體類層次可分為如下：1安全方針類2組織信息安全類3資產(chǎn)管理類4人力資源安全類5物理和環(huán)境安全類6通信和操作管理類7訪問控制類8信息系統(tǒng)的獲取、開發(fā)和保持類9信息安全事故管理類10業(yè)務連續(xù)性管理類11符合性類5、信息安全技術(shù)研究能力建設科學技術(shù)研究是高等學校中心任務之一?？蒲谢顒拥拈_展和其水平必然與高校的科研能力緊密相關(guān)?？蒲心芰Φ膹娙跏菍W校水平高低的重要指標，它與高等學校出人才出成果上質(zhì)量上水平有直接的關(guān)系。高等學?？蒲心芰?，簡單地說，是指高等學校憑借一定的條件多出科研成果、快出科研成果、出高水平科研成果的本領(lǐng)。也就是說高?？蒲心芰κ歉叩葘W校為進行科技活動所擁有的科研能量。一般說，高校開展科研活動具有特別的優(yōu)勢。這種優(yōu)勢表現(xiàn)為：有大量的人才資源。高校擁有眾多的包括各門學科、各個領(lǐng)域的科學技術(shù)人才，他們有寬厚的基礎(chǔ)理論、專業(yè)知識和很強的研究能力，能夠根據(jù)科學技術(shù)發(fā)展的趨勢來積極從事科研工作。同時，高校的人才是多層次的，容易組成合理的科研梯隊。青年科研人員思想活躍、思維靈敏并富有創(chuàng)造性，與知識基礎(chǔ)雄厚、科研能力強的中老年教師合作和交替，使得高校科研經(jīng)常保持朝氣蓬勃的創(chuàng)造精神和活力。尤其是對于網(wǎng)絡信息安全專業(yè)來說，信息安全技術(shù)方面的研究更是考驗一個高校在計算機專業(yè)領(lǐng)域的建設和創(chuàng)新能力。通過我們前期基礎(chǔ)網(wǎng)絡實驗室、信息安全相關(guān)實驗室和信息安全技術(shù)知識庫的建設，結(jié)合實驗室統(tǒng)一管理平臺和DCST系列平臺等硬件資源，高校對信息安全技術(shù)的科研建設將是水到渠成的。6、信息安全實驗室擴展建設在信息安全實驗室建設中，在滿足初期建設業(yè)務的需求后，還需要信息安全實驗室能夠開展信息安全性測試的深入研究，逐步掌握針對網(wǎng)絡、防火墻、Web應用系統(tǒng)、數(shù)據(jù)庫、中間件、操作系統(tǒng)等多個應用層面的安全性評測技術(shù)。網(wǎng)絡架構(gòu)的安全性評測發(fā)現(xiàn)網(wǎng)絡結(jié)構(gòu)存在的安全性、網(wǎng)絡負載問題，網(wǎng)絡設備存在的安全性，抗攻擊的問題。檢查網(wǎng)絡管理員是否有清晰的網(wǎng)絡拓撲圖，網(wǎng)絡管理員是否熟悉網(wǎng)絡設備的部署情況，分析網(wǎng)絡拓撲圖與實際的網(wǎng)絡結(jié)構(gòu)的是否存在差異情況，檢查網(wǎng)絡拓撲變更的控制程序，網(wǎng)絡拓撲圖的維護管理情況等。檢查網(wǎng)絡根據(jù)業(yè)務和安全需求的分段情況，是否采用了防火墻和網(wǎng)關(guān)來加強不同網(wǎng)段間的訪問控制，了解網(wǎng)絡的地址管理和IP地址規(guī)劃的原則和方法，了解網(wǎng)絡中出口的情況，每個出口的保護方式等。通過對上述內(nèi)容的檢查了解，對網(wǎng)絡拓撲結(jié)構(gòu)合理性進行分析。網(wǎng)絡安全設備的安全性評測 網(wǎng)絡設備是保障一個系統(tǒng)邊界安全的有利工具，但是過分的依賴于網(wǎng)絡設備理論上提供的功能，將會導致無法正確判斷系統(tǒng)的威脅情況，和信任過度的問題。我們有必要為網(wǎng)絡設備自身的安全性和是否有效保護了被保護系統(tǒng)，做一個評測以達到真正起到保護的目的。另外，網(wǎng)絡設備由于被保護系統(tǒng)的復雜性和管理員的自身面對的系統(tǒng)較為復雜，配置未必合理，容易為入侵者提供入侵通道。有必要為網(wǎng)絡設備存在的這些問題提供一種安全解決方案，而針對網(wǎng)絡設備的安全評測將是一種有效的手段。網(wǎng)絡設備安全包含：交換機；路由器；防火墻；其它網(wǎng)絡設備。Web應用安全的弱點評測通過對WEB應用的弱點進行評測，發(fā)現(xiàn)應用軟件中存在的安全隱患（包括安全功能設計、安全弱點、以和安全部署中的弱點等）。數(shù)據(jù)庫的安全性評測完整，全面發(fā)現(xiàn)業(yè)務系統(tǒng)中數(shù)據(jù)庫的漏洞和安全隱患，主要評測的內(nèi)容如下：數(shù)據(jù)庫用戶名和密碼管理用戶權(quán)限設置密碼策略設置冗余賬號的管理數(shù)據(jù)庫訪問控制訪問IP地址的控制通訊安全配置登錄認證方式數(shù)據(jù)的安全敏感信息的存儲方式數(shù)據(jù)庫備份數(shù)據(jù)庫存儲介質(zhì)安全傳輸加密安全漏洞檢查補丁管理數(shù)據(jù)庫的安全審計登錄日志審計操作日志審計通用應用（中間件）服務的弱點評測通用應用中間件的安全關(guān)乎整個業(yè)務系統(tǒng)的安全,通過評測發(fā)現(xiàn)通用中間件的安全問題.主要是指針對IIS、apache、等相關(guān)通用的應用軟件進行安全評測。評測主要包含補丁管理、最大安全性原則、用戶管理、權(quán)限管理、日志安全管理等進行分析。操作系統(tǒng)主機的安全性評測操作系統(tǒng)主機的安全評測的對象包含計算機硬件系統(tǒng)、操作系統(tǒng)；操作系統(tǒng)的安全性評測不包含非附屬于操作系統(tǒng)的軟件產(chǎn)品（如微軟的SQLSERVER）的安全評測。操作系統(tǒng)的安全性評測范圍：應用服務器；客戶機（用戶終端機）。七、信息安全實驗室實施方案信息安全實驗室的實施需要有完善的實施方案，根據(jù)設計提供的網(wǎng)絡部署圖，按照每個區(qū)域進行網(wǎng)絡，設備的部署調(diào)試，安裝；1、部署示意圖部署示意拓撲圖1.1實驗室布局實驗室的布局設計要以能夠有效利用實驗室場地，方便開展教學和實訓為原則，這里我們推薦用目前最主流的布局方式-島式布局。實驗室物理布局平面圖：效果圖：島式布局是目前最流行的實驗室布局方式，每個物理實訓組成為一個小島，每個組推薦4－6個學員使用，每組配置一個2m標準機柜。1.2實驗室設備安裝和布線示意圖實驗室中有一個核心機柜，放置中心交換機組（可能是一臺交換機，也可能是幾臺交換機級聯(lián)或者堆疊而成，提供足夠的網(wǎng)絡接口）、防火墻以和必要的服務器等。每個實訓組都配備一個小機柜，用于放置每組的實訓設備。機柜一般擺放在離相應實訓組較近的位置貼墻而放，或者可以定制小機架，放置在實訓臺的桌面上。CCM-16的每個串口通過連接線與各個網(wǎng)絡設備的console口相連。CCM再通過網(wǎng)口和中心交換機相連。如下圖：灰色線纜：串口線+console線紅色線纜：網(wǎng)線每臺學員機都有兩個網(wǎng)絡接口，其中一個和CCM一樣，連接到中心交換機上，另外一個需要在設備調(diào)試后，連接到網(wǎng)絡拓撲中用于驗證結(jié)果。連接到中心交換機上的網(wǎng)線不可以拔掉，可以使用紅色的網(wǎng)線。而另一個網(wǎng)口用于驗證，隨時可以拔除，或者會插在不同的實訓設備上，所以可以使用綠色的網(wǎng)線。如下圖：實驗室主干布線的區(qū)域采用透明的強化玻璃作地板，教室后面的設備柜中采用配線架，理線架等面板，可以讓學員清楚看到正規(guī)的布線方法，利于學員就業(yè)后的工作。在實際布線中，希望可以按照下圖的布線方式布線，最好也采用多種不同顏色的線纜進行鋪設，以免學員拔除不應拔除的線纜，導致無法正確進入設備進行調(diào)試。1號線：藍色，每個實訓臺中的CCM與中心交換機組連線，不可拔除。2號線：紅色，教師機、學員機、服務器與中心交換機組連線，不可拔除。3號線：綠色，學員機驗證調(diào)試連線，可拔除。2、部署實施建議信息安全實驗室是針對上線前信息系統(tǒng)的評測為建設的，因此在信息實驗室的實施過程中，必須考慮今后信息實驗室的業(yè)務開展，以和新業(yè)務的擴展需求，將信息安全實驗室