淺談信息安全攻防實驗室建造設計
第一章 信息安全技術人才需求解析
1.1 國內信息安全技術人才的需求現(xiàn)狀解析
調查顯露，從2006到2012年，互聯(lián)網信息安全行業(yè)的就業(yè)需求將以年均14%的速度遞增。到2012年，互聯(lián)網安全行業(yè)的就業(yè)總人數(shù)將由目前的220萬上升到310萬，即以每年15萬的需求量遞增。無論是職業(yè)前景、受重視程度、提升空間還是薪酬基數(shù)、薪酬增長預期等，互聯(lián)網安全職業(yè)較IT其它職業(yè)全部更為優(yōu)越。調查成果再次說明了互聯(lián)網安全重要性的日益增強，"整個企業(yè)領域逐漸認識到互聯(lián)網安全的重要性"。
另外，從目前國內各企事業(yè)單位的IT技術人員需求來看，信息安全技術人才十分匱乏。隨著計算機數(shù)值數(shù)值的廣泛使用，病毒的種類也越來越多，危害越來越大。專業(yè)的信息安全技術人才還是國內IT人才架構中的一個空白。隨著信息安全受到社會各界越來越多的關注，以及入侵事件和電腦病毒危害的頻頻發(fā)生，從企業(yè)內部互聯(lián)網的管理維護到反病毒系統(tǒng)的裝配、調節(jié)測試、維護及使用，全部需要具備一定安全技能的技術人員來擔任。因此，信息安全技術人才必將成為國內I T技術人才需求的一個新熱點。
1.2 國內信息安全技術人才的教育現(xiàn)狀解析
我國的互聯(lián)網安全學科的人才培養(yǎng)已經拉開了序幕，但是與發(fā)達國家相比，我國高校的安全方向培養(yǎng)學生規(guī)模、學科建造設計、實驗室建造設計、實踐教學等方面還存在著很大的差距，課程課程理論多于實踐的現(xiàn)象在各高校已是相當普遍，遠遠不能適用信息化進程對應用型人才的迫切需求。
由于信息系統(tǒng)本身的脆弱性和不斷出現(xiàn)的復雜性，信息安全、互聯(lián)網安全的問題也日趨嚴重，而在建造設計信息安全專業(yè)的過程中，存在著以下的嚴重的不足：

專業(yè)基礎課程覆蓋廣、難度大
信息安全領域的知識覆蓋面廣、學習掌控把握難度大，涉及的核心課程有密碼學、PKI原理與技術、互聯(lián)網實操系統(tǒng)、互聯(lián)網攻擊與防范、計算機數(shù)值數(shù)值病毒原理與技術等。許多安全技術需要強大的課程課程理論支撐，這些課程課程理論往往建立在大量抽象、復雜的數(shù)學模型及計算機數(shù)值數(shù)值互聯(lián)網基礎上，這就要求學生對專業(yè)基礎課程有著全面、深入地掌控把握。

實踐教學環(huán)境搭建困難
作為一門交叉學科，信息安全不僅設定有很強的課程課程理論性，同時設定有非常強的實踐性，許多安全技術需要在實踐過程中去認識，往往需要專業(yè)的、能夠提供多種復雜環(huán)境的教學平臺。該平臺要求能夠快速搭建，減少實驗環(huán)境準備時間，要求能夠快速恢復，保證實驗環(huán)境、實驗場景可再現(xiàn)，并而且該平臺一定要易于管理。

實踐教學積累相對薄弱
信息安全是一門新興的學科，與傳統(tǒng)的系統(tǒng)工程、互聯(lián)網工程教學相比，高校在信息安全學科建造設計、教學積累、實驗要求上仍處于探索階段，各個高校之間的培養(yǎng)方法和側重點全部存在差異，尤其是在實踐教學環(huán)節(jié)上，教學經驗還有待豐富，科學合理的教學模式有待形成。

獲取行業(yè)案例有困難
缺少來自行業(yè)的項目案例，缺少獲取行業(yè)案例的渠道。在教學中"如何能夠獲取到有效的行業(yè)案例"、"如何對案例實行教學改造"一直以來全部是困擾教師的一個問題，教師需要一個能夠持續(xù)獲取行業(yè)案例的渠道。

現(xiàn)有互聯(lián)網安全設備無法有效運用
在一個已經部署防毒系統(tǒng)、防火燒墻、IDS、VPN等傳統(tǒng)信息安全設備的互聯(lián)網環(huán)境中，很少有人清晰的知道這些安全設備的作用，以及能夠為計算機數(shù)值數(shù)值安全所帶來的保障，嚴重匱乏的教學和培訓環(huán)境，讓很多教師感到無從著手，無力實行計算機數(shù)值數(shù)值安全的培訓教育，而而且互聯(lián)網安全的培訓不是書本知識，必須是靠知識和經驗的積累，有經驗的高手在這個市場里可以更有作為，對于面臨的一下問題也無法解決：
問題一：如何更加有效的教育，培訓學生在計算機數(shù)值數(shù)值安全方面的知識匱乏；
問題二：怎樣的教學，培訓方法才能讓學生更加快捷，高效的學習掌控把握計算機數(shù)值數(shù)值安全方面的知識；
問題三：什么樣的教學，培訓環(huán)境才能讓學生更容易，積極的學習掌控把握計算機數(shù)值數(shù)值安全方面的知識，增強計算機數(shù)值數(shù)值安全意識。
問題四：如何才能讓學生在學校的安全課程培訓期間就獲取豐富的互聯(lián)網安全攻防的經驗
該如何解決上述的在信息安全課程教學中所遇到的一個個的問題呢？
我們提出了以下幾點：
1． 讓學生參與進攻防的實踐過程
2． 讓學生體驗到攻防的實踐過程
3． 讓學生理解到攻防的實踐過程
1.3 信息安全實驗室建造設計的應用需求
1.3.1提供真實的信息安全實驗教學環(huán)境
社會或企事業(yè)單位用人的標準是更需要的是設定有動手能力的互聯(lián)網安全技術人才這和學校的人才培養(yǎng)模式、培養(yǎng)目標等方面與存在著差距?，F(xiàn)在很多學校更多的是注重課程課程理論的教學，現(xiàn)在，很多政府機關、電信及金融行業(yè)更需要的是設定有動手能力的互聯(lián)網安全技術人才。對于學校來說，學生動手能力的培養(yǎng)，在很大程度上取決于學校的安全實驗環(huán)境和學生的實踐經驗。那對于我們信息安全專業(yè)或互聯(lián)網安全方向的教學，如何來做到這一點？這就要求提供真實的實驗環(huán)境。
1.3.2適用不一樣層次實驗的需要
對于很多高等院校來說，建信息安全實驗室需要它能適用做不一樣類別的實驗。這就要求在這個實驗室內同時完成不一樣層次人才的培養(yǎng)需要。涵蓋協(xié)議安全、實操系統(tǒng)、密碼機制、PKI/PMI數(shù)字證書、安全審計、互聯(lián)網攻擊與防御、互聯(lián)網病毒、互聯(lián)網后門與隱身、互聯(lián)網掃描與監(jiān)聽、防火燒墻與入侵檢驗測試、認證和授權、日志與審計、互聯(lián)網安全方案設計、互聯(lián)網管理等等。
1.3.3提供實驗室配套的實驗教學系統(tǒng)
就是互聯(lián)網與信息安全實驗室是建成了，如何能迅速的將這個實驗室應用到教學中去，這就要求合作伙伴或廠家在提供解決方案的時候，能一并考慮相關的教學支持系統(tǒng)，即廠家不僅僅是把設備賣給學校，還要解決相關的教學資料及實訓指導書，師資等問題。必不可少的詳實豐富的實驗內容、系統(tǒng)的實踐型實驗教學資料及實訓指導書、完善的師資培訓三個方面與實驗室的硬件配套教學系統(tǒng)。
1.3.4提供完備和成熟的整體解決方案
這就要求目前要在全國各類高等院校得到廣泛的應用，在業(yè)界是領導的地位。是投入了大量人力物力專注與教育行業(yè)，經得起實踐考驗的，成熟的方案。所提供的實驗內容、系統(tǒng)的實踐型實驗教學資料及實訓指導書、完善的師資培訓全部經過應用檢驗的，并真正能提升學校教學效果和學生就業(yè)能力的。
各學校投入互聯(lián)網與信息安全實驗室建造設計的經費有限，因此信息安全實驗室建造設計方案設定有良好的功能價格比，經濟實用，適用界限廣，技術符合信息安全教學的特別點。經過精心解析信息安全教學實驗的課時量，要合理安排互聯(lián)網教學實驗和互聯(lián)網培訓實驗環(huán)節(jié)，完全能夠避免對教學體系的影響。同時可與各學院在校內合作開辦的互聯(lián)網安全技術教育中心。適用教學、科研需求，可以在此基礎上，可實行信息安全技術職業(yè)認證培訓。


第二章 信息安全實驗室建造設計方案
2.1 信息安全實驗室建造設計原則
2.1.1 信息安全技術人才實驗環(huán)境的真實性
我國高校應屆畢業(yè)生的動手能力低是一個普遍現(xiàn)象，這也是眾多企業(yè)不愿意接收應屆畢業(yè)生的原因，部分學生的動手能力在一定程度上甚至不如高等院校的學生。高校一直應用"精英教育"模式，在課程課程理論教學上成績突出，但忽視了動手能力的培養(yǎng)。而大部分用人單位需要的是畢業(yè)即能融入日常作業(yè)的學生，因此我們需要用真實的設備、真實的案例、真實的實驗環(huán)境來鍛煉學生的實際動手能力，以改變一直以來的精英教學模式。
2.1.2 信息安全技術人才技能知識點覆蓋的全面性
信息安全實驗室的建造設計要適用來高等院校的多個專業(yè)，不一樣的年級學生學習掌控把握。因此這就要求信息安全實驗室方案設定有極強的適用性，適用來不一樣的現(xiàn)象。實驗內容應含有概括端口隔離技術、動態(tài)包檢驗測試技術、主機安全技術、信息安全技術、病毒、木馬、互聯(lián)網掃描與偵聽、流量工程、入侵檢驗測試、入侵防御、內網審計、認證計費以及真實項目再現(xiàn)的大型綜合實驗。
2.1.3 信息安全實驗室的可管理性
信息安全實驗室會同時為一個或多個班級同時服務，那么就需要一套完整的管理系統(tǒng)來幫助老師擔任管理作業(yè)。管理實驗人員、實驗設備，完成實驗過程管理與實驗成果考核。同時管理系統(tǒng)可為學校提供遠程實驗與實驗預約功能，全部實驗人員全部能夠經過管理系統(tǒng)登錄實驗室設備實行調節(jié)測試，在實驗完畢后，管理系統(tǒng)能夠將實驗痕跡徹底清除，為實驗室的下次使用做好準備。
2.1.4 信息安全實驗室方案的完整性
信息安全實驗室的建立并非是指實驗設備全部上架，然后將實驗室環(huán)境搭建起來就完工了。因為互聯(lián)網安全實驗室后期的使用才是最為關鍵的，我們建造設計實驗室為的是培養(yǎng)互聯(lián)網安全專業(yè)人才，所以如何運用這個實驗室培育出高重量的人才才是實驗室建造設計的目標。這就需要廠商在為學校提供互聯(lián)網設備的同時，還要為學校提供完善的實驗教學資料及實訓指導書以及專業(yè)的師資培訓，同時還要為學生提供高含金量的認證證書以提升畢業(yè)生的就業(yè)競爭力。
2.1.5 實驗環(huán)境自身安全性
制訂統(tǒng)一的安全策略，整體考慮實驗平臺的安全性?？梢越涍^各業(yè)務子網隔離，統(tǒng)一規(guī)劃，按照不一樣的業(yè)務劃分子網。設定有保證系統(tǒng)安全，防止系統(tǒng)被人為破壞的能力。
2.2 建造設計規(guī)模
1) 提供可支持信息安全專業(yè)全部科目類別的課程體系。
2) 提供可實行校內遠程指導的實驗室遠程互聯(lián)網建造設計。
2.3 建造設計目標
 符合國家信息安全技術人才培訓要求：
提供國家信息安全技術人才培訓的課程體系，該體系按照國家信息安全技術人才培訓標準實行制定，含有信息安全技術人才教學資料及實訓指導書里的全部實踐課程。
 信息安全實驗環(huán)境可控性：
提供信息安全攻防技能基礎學習掌控把握所需的實驗環(huán)境、工量具，而且實驗環(huán)境以不影響物理互聯(lián)網為建造設計原則，工量具以不允許學生拷貝離開實驗室為建造設計原則。
 攻防實戰(zhàn)環(huán)境的真實性：
提供符合現(xiàn)代企業(yè)內部互聯(lián)網環(huán)境的攻防實驗供學生實行攻防演練，作為提升學生綜合就業(yè)競爭力的實踐基礎。
 實驗環(huán)境的可恢復性：
提供可對實驗環(huán)境實行反復使用的基礎環(huán)境，提供維護量較低的實行方法。
 具備評測與科研課題研究的實行性：
能夠對學校科研課題成功實行相應的環(huán)境壓力測量試驗，以及能夠實行科研課題的開展及科研課題的實行。
 具備活動組織的可行性：
支持持續(xù)性實驗室運營，如培訓基地建造設計、橫向課題及安全競賽組織等。
 綜合提供就業(yè)競爭力：
培訓學生全面的安全技能動手能力，為社會企業(yè)輸出可即時上崗的合格安全人員。
2.4信息安全攻防教學實驗室解決方案
信息安全技術人才實驗平臺系統(tǒng)主要用來計算機數(shù)值數(shù)值信息安全教育，培訓，提供體系化實驗課程以及實驗環(huán)境，為現(xiàn)有的互聯(lián)網信息安全教學，培訓提供基礎的思路以及課程安排；教師可以經過信息安全教育平臺系統(tǒng)，集合各種安全設備實行實驗課程的教學；
2.4.1 信息安全實驗室框體結構
信息安全實驗室主要以基礎設備、應用平臺（課件資源池、應用環(huán)境擬真系統(tǒng)）、工量具平臺、防御體系、綜合實驗室管理平臺等六大模型塊構成，不僅可以提供各種安全演練實驗實操，同時為教師提供本地信息安全課題研究。

第三章 信息安全技術人才實驗教學內容

3.1 實驗內容清單

組建信息安全實驗室的作業(yè)，可以按照實驗室的性質和當前需要分為安全基礎防護實驗、安全設備配備與使用實驗、信息安全基線配備實驗、初級滲透測量試驗實驗和綜合安全實驗等幾個方面。

編號	實驗內容	掌控把握技能	掌控把握程度	面向對象
1	實操系統(tǒng)帳戶原理	帳戶密碼安全設定	符合信息安全技術人才信息安全基礎防護作業(yè)內容	中職、高職、本科
2	實操系統(tǒng)帳戶配備技術			中職、高職、本科
3	針對實操系統(tǒng)帳戶常見的攻擊方法			中職、高職、本科
4	實操系統(tǒng)帳戶安全策略配備要點			中職、高職、本科
5	主機防火燒墻原理	主機防火燒墻安全設定		中職、高職、本科
6	主機防火燒墻配備技術			中職、高職、本科
7	個人防火燒墻使用方法			中職、高職、本科
8	防病毒系統(tǒng)特別點簡介	防病毒系統(tǒng)裝配配備		中職、高職、本科
9	防病毒系統(tǒng)基礎原理			中職、高職、本科
10	防病毒系統(tǒng)配備技術			中職、高職、本科
11	Windows/Linux實操系統(tǒng)的系統(tǒng)服務和進程作業(yè)原理	系統(tǒng)服務和進程管理		中職、高職、本科
12	Windows/Linux實操系統(tǒng)常見系統(tǒng)服務和進程管理知識			中職、高職、本科
13	Windows/Linux實操系統(tǒng)的系統(tǒng)服務和進程優(yōu)化方法			中職、高職、本科
14	實操系統(tǒng)系統(tǒng)服務和進程常見的攻擊方法			中職、高職、本科
15	主機注冊表配備基礎	常用注冊表及文件權限安全配備		中職、高職、本科
16	主機文件及目錄權限配備技術			中職、高職、本科
17	瀏覽器安全配備技術			中職、高職、本科
18	系統(tǒng)升級及補丁配備知識	系統(tǒng)升級及補丁裝配配備		中職、高職、本科
19	版本升級及補丁裝配注意事項			中職、高職、本科
20	加解密技術原理	加解密基礎		中職、高職、本科
21	加解密算法知識			中職、高職、本科
22	混合加解密體系的使用方法			中職、高職、本科
23	身份認證技術原理	身份認證基礎		中職、高職、本科
24	共同共用密鑰與數(shù)字證書認證體系PKI/CA基礎知識			中職、高職、本科
25	防火燒墻技術原理	硬件防火燒墻裝配配備	符合信息安全技術人才常用安全設備裝配和配備作業(yè)內容	中職、高職、本科
26	硬件防火燒墻的分類與特別點			中職、高職、本科
27	防火燒墻配備技術			中職、高職、本科
28	VPN的概念和作業(yè)原理	VPN系統(tǒng)裝配配備		中職、高職、本科
29	VPN系統(tǒng)的分類與特別點			中職、高職、本科
30	VPN配備技術			中職、高職、本科
31	入侵防范系統(tǒng)（IDS/IPS）原理	入侵防范系統(tǒng)（IDS/IPS）裝配配備		中職、高職、本科
32	入侵防范系統(tǒng)（IDS/IPS）的分類與特別點			中職、高職、本科
33	入侵防范系統(tǒng)（IDS/IPS）部署知識			中職、高職、本科
34	入侵防范系統(tǒng)（IDS/IPS）配備技術			中職、高職、本科
35	WEB應用防火燒墻原理	WEB應用防火燒墻裝配配備		中職、高職、本科
36	WEB應用防火燒墻分類與特別點			中職、高職、本科
37	WEB應用防火燒墻部署知識			中職、高職、本科
38	WEB應用防火燒墻配備技術			中職、高職、本科
39	審計系統(tǒng)原理	審計系統(tǒng)裝配配備		中職、高職、本科
40	審計系統(tǒng)的分類和特別點			中職、高職、本科
41	審計系統(tǒng)配備技術			中職、高職、本科
42	互聯(lián)網防病毒系統(tǒng)原理	互聯(lián)網防病毒系統(tǒng)裝配配備		中職、高職、本科
43	互聯(lián)網防病毒系統(tǒng)的種類和特別點			中職、高職、本科
44	互聯(lián)網防病毒系統(tǒng)配備技術			中職、高職、本科
45	互聯(lián)網設備安全配備技術	互聯(lián)網設備安全配備	符合信息安全技術人才信息安全基線配備作業(yè)內容	中職、高職、本科
46	互聯(lián)網設備基線基礎要求			中職、高職、本科
47	主機系統(tǒng)安全配備技術	主機系統(tǒng)安全配備		中職、高職、本科
48	主機系統(tǒng)基線基礎要求			中職、高職、本科
49	應用系統(tǒng)安全配備技術	應用系統(tǒng)安全配備		中職、高職、本科
50	應用系統(tǒng)基線基礎要求			中職、高職、本科
51	信息收集方法與技術	信息收集與工量具掃描	符合信息安全技術人才初級滲透測量試驗技術作業(yè)內容	中職、高職、本科
52	掃描工量具使用方法			中職、高職、本科
53	漏洞類型與危害知識			中職、高職、本科
54	漏洞形成原理	常見漏洞手工檢驗測試		中職、高職、本科
55	漏洞的運用方法和原理			中職、高職、本科
56	漏洞測量試驗方法和原理			中職、高職、本科
57	漏洞修復方法			中職、高職、本科
58	滲透測量試驗報告編制要點	編制滲透測量試驗報告		中職、高職、本科
59	滲透測量試驗報告編制模板			中職、高職、本科
60	機房場地安全基礎要求	機房安全巡查	符合信息安全技術人才日常安全巡查作業(yè)內容	中職、高職、本科
61	機房環(huán)境基礎要求			中職、高職、本科
62	機房安防基礎要求			中職、高職、本科
63	互聯(lián)網設備安全合規(guī)性	互聯(lián)網安全巡查		中職、高職、本科
64	互聯(lián)網安全巡查界限要求			中職、高職、本科
65	互聯(lián)網設備巡查規(guī)程			中職、高職、本科
66	互聯(lián)網設備檢驗測試方法			中職、高職、本科
67	主機設備安全合規(guī)性	主機系統(tǒng)安全巡查		中職、高職、本科
68	主機硬件安全維護			中職、高職、本科
69	應用系統(tǒng)（如：郵件系統(tǒng)、WEB系統(tǒng)、文件服務系統(tǒng)和域控系統(tǒng)等）安全維護	應用及數(shù)值安全巡查		中職、高職、本科
70	數(shù)值庫系統(tǒng)安全維護			中職、高職、本科

3.2 實驗進度設計

由于實驗內容涉及面廣，考慮到學生的學習掌控把握知識需要遵循"循序漸進"規(guī)則，故在設計該實驗室時，我們對實驗實行了兩個層面的分類，并對實驗進度有如下設計：

應用系統(tǒng)防護基礎類：

第一階段：應用系統(tǒng)安全基礎課程課程理論

基礎課程課程理論：含有概括相關的基礎課程課程理論、原型以及實驗原理等；


第二階段：應用系統(tǒng)安全基礎實驗實操

在經過第一階段基礎課程課程理論認識后，進入第二階段應用系統(tǒng)安全各個知識模型塊的實驗演示與實驗實操，配套的圖紙文檔實驗指導書含有概括：

第三階段：應用系統(tǒng)安全攻防演練
在經過第二階段的基礎實驗之后，實行擬真企業(yè)環(huán)境的實驗實操環(huán)境實行組別學生的攻防演練，使學生加固已學基礎知識并使教師得以評測學生學習掌控把握掌控把握程度。