信息安全虛擬化實(shí)訓(xùn)云平臺綜合實(shí)驗(yàn)室解決方案

信息安全虛擬化實(shí)訓(xùn)云平臺綜合實(shí)驗(yàn)室解決方案上海盾聯(lián)信息技術(shù)有限公司2014年3月目錄一、 需求分析 31、 管理服務(wù)人才的需求 31.1信息安全人才需求分析 31.2信息安全人才培養(yǎng)面臨的問題 41.3信息安全專業(yè)需求分析 41.4信息安全實(shí)驗(yàn)室的意義 52、 網(wǎng)絡(luò)信息安全實(shí)施人才的需求。 63、 系統(tǒng)防護(hù)和安全應(yīng)急響應(yīng)人才的需求。 64、 網(wǎng)絡(luò)信息安全培訓(xùn)人才的需求。 6二、 國內(nèi)國外發(fā)展現(xiàn)狀 7三、 現(xiàn)有基礎(chǔ)狀況 81、 思維方式問題 82、 理論過多問題 83、 實(shí)踐過少問題 84、 建設(shè)網(wǎng)絡(luò)攻防實(shí)驗(yàn)室的難點(diǎn) 8四、 建設(shè)目標(biāo) 101、 以理論學(xué)習(xí)為基礎(chǔ)，結(jié)合最全面最專業(yè)的實(shí)訓(xùn) 102、 教、學(xué)、練一體化信息安全實(shí)訓(xùn)平臺 103、 自主創(chuàng)新，因地制宜 10五、 建設(shè)內(nèi)容 121、基礎(chǔ)網(wǎng)絡(luò)搭建實(shí)驗(yàn)室建設(shè)內(nèi)容： 122、信息安全實(shí)驗(yàn)室建設(shè)內(nèi)容 20六、 建設(shè)步驟 311、基礎(chǔ)網(wǎng)絡(luò)實(shí)驗(yàn)室建設(shè) 312、信息安全教學(xué)實(shí)訓(xùn)平臺建設(shè) 313、信息安全對抗平臺建設(shè) 314、信息安全技術(shù)知識庫建設(shè) 315、信息安全技術(shù)研究能力建設(shè) 326、信息安全實(shí)驗(yàn)室擴(kuò)展建設(shè) 33七、信息安全實(shí)驗(yàn)室實(shí)施方案 361、部署示意圖 361.1實(shí)驗(yàn)室布局 361.2實(shí)驗(yàn)室設(shè)備安裝和布線示意圖 372、部署實(shí)施建議 402.1信息安全實(shí)驗(yàn)室基本實(shí)施 402.2評測工具區(qū)實(shí)施 402.3評測工作區(qū)實(shí)施 402.4評測接入?yún)^(qū)實(shí)施 413、實(shí)施計(jì)劃 413.1項(xiàng)目實(shí)施說明 413.2實(shí)施時間表 41八、費(fèi)用預(yù)算 43附錄參考標(biāo)準(zhǔn) 44需求分析信息化在帶來巨大發(fā)展機(jī)遇的同時也帶來了嚴(yán)峻的挑戰(zhàn),防止各種信息泄密、黑客攻擊等行為的信息安全人才的短缺就是嚴(yán)峻的挑戰(zhàn)之一。相對于已初步形成的專業(yè)信息安全領(lǐng)域以和信息化建設(shè)和信息安全產(chǎn)業(yè)發(fā)展速度而言,各個行業(yè)的信息安全人才培養(yǎng)機(jī)制和手段顯得非常匱乏。目前各個行業(yè)信息安全專業(yè)人才的需求包括了多個層次和多個方面,我們認(rèn)為大體可以分為以下幾種類型：管理服務(wù)人才的需求這種需求目前是廣大企事業(yè)單位和政府部門的主要需求。信息安全管理服務(wù)人才是一種復(fù)合型和應(yīng)用型的人才,不僅需要具備一定信息安全技術(shù)能力,能夠正確使用、配置、維護(hù)常規(guī)的信息安全設(shè)備,還必須具有一定的管理和法律知識，并且擁有豐富的信息安全經(jīng)驗(yàn),能正確規(guī)劃、實(shí)施和維護(hù)信息系統(tǒng)的安全保障體系。1.1信息安全人才需求分析信息化在帶來巨大發(fā)展機(jī)遇的同時也帶來了嚴(yán)峻的挑戰(zhàn),防止各種信息泄密、黑客攻擊等行為的信息安全人才的短缺就是嚴(yán)峻的挑戰(zhàn)之一。相對于已初步形成的專業(yè)信息安全領(lǐng)域以和信息化建設(shè)和信息安全產(chǎn)業(yè)發(fā)展速度而言,各個行業(yè)的信息安全人才培養(yǎng)機(jī)制和手段顯得非常匱乏。目前各個行業(yè)信息安全專業(yè)人才的需求包括了多個層次和多個方面,我們認(rèn)為大體可以分為以下幾種類型：1.1.1第一類是對管理服務(wù)人才的需求這種需求目前是廣大企事業(yè)單位和政府部門的主要需求。信息安全管理服務(wù)人才是一種復(fù)合型和應(yīng)用型的人才,不僅需要具備一定信息安全技術(shù)能力,能夠正確使用、配置、維護(hù)常規(guī)的信息安全設(shè)備,還必須具有一定的管理和法律知識，并且擁有豐富的信息安全經(jīng)驗(yàn),能正確規(guī)劃、實(shí)施和維護(hù)信息系統(tǒng)的安全保障體系。1.1.2第二類是對網(wǎng)絡(luò)信息安全實(shí)施人才的需求這種需求通常來源于安全產(chǎn)品提供商、系統(tǒng)集成服務(wù)商。信息安全技術(shù)開發(fā)人才要求具備良好的信息安全基礎(chǔ)知識,具有較強(qiáng)的動手實(shí)踐能力，能夠嚴(yán)格按照實(shí)施方案完成安全設(shè)備部署。1.1.3第三類是對系統(tǒng)防護(hù)和安全應(yīng)急響應(yīng)人才的需求這方面的人才要求具有良好的學(xué)術(shù)功底,具備扎實(shí)的學(xué)科理論基礎(chǔ)知識,能系統(tǒng)深入地掌握密碼學(xué)、安全協(xié)議、安全體系結(jié)構(gòu)、信息對抗、網(wǎng)絡(luò)安全等信息安全理論和方法以和熟練的產(chǎn)品設(shè)計(jì)開發(fā)能力。1.1.4第四類是網(wǎng)絡(luò)信息安全培訓(xùn)人才的需求這種需求主要來源于高等院校和各種培訓(xùn)機(jī)構(gòu)。1.2信息安全人才培養(yǎng)面臨的問題隨著信息化進(jìn)程的深入和互聯(lián)網(wǎng)的迅速發(fā)展，人們的工作、學(xué)習(xí)和生活方式正在發(fā)生巨大變化，效率大為提高，信息資源得到最大程度的共享。但是與此同時以各種各樣黑客技術(shù)為基礎(chǔ)的黑色產(chǎn)業(yè)鏈誕生了，網(wǎng)絡(luò)安全的需求也隨之而來，無論是廠家、開發(fā)商，還是用戶，都對這種需求明確了，網(wǎng)絡(luò)安全開始作為獨(dú)立的部分迎來越來越多企業(yè)的重視。中國黑色產(chǎn)業(yè)鏈的飛速發(fā)展帶來的另一現(xiàn)象是，網(wǎng)絡(luò)安全人才匱乏到一個相當(dāng)嚴(yán)重的地步，人才的培育至少滯后于社會需求5到10年。計(jì)算機(jī)擁有多種角色屬性，承載著傳輸、處理、存儲等復(fù)雜的業(yè)務(wù)應(yīng)用。因此計(jì)算機(jī)所面臨的安全問題是紛繁多樣的，并且由于網(wǎng)絡(luò)應(yīng)用的大規(guī)模普和，導(dǎo)致存在于任何一個計(jì)算機(jī)的安全問題都可能威脅到整個信息網(wǎng)絡(luò)的安全。然而長時間以來，各類計(jì)算機(jī)使用者，很少了解到計(jì)算機(jī)所面臨的安全威脅，也很少有學(xué)校，企業(yè)能夠提供對計(jì)算機(jī)安全培訓(xùn)的環(huán)境，使得大多數(shù)人無法真正了解到計(jì)算機(jī)的安全隱患，也無法對計(jì)算機(jī)存在的安全隱患進(jìn)行防御。在一個已經(jīng)部署防毒軟件、防火墻、IDS、VPN等傳統(tǒng)信息安全產(chǎn)品的網(wǎng)絡(luò)環(huán)境中，很少有人清晰的知道這些安全產(chǎn)品的作用，以和能夠?yàn)橛?jì)算機(jī)安全所帶來的保障，嚴(yán)重匱乏的教學(xué)和培訓(xùn)環(huán)境，讓很多學(xué)校以和企業(yè)感到無從著手，無力進(jìn)行計(jì)算機(jī)安全的培訓(xùn)教育，而且網(wǎng)絡(luò)安全的培訓(xùn)不是書本知識，必須是靠知識和經(jīng)驗(yàn)的積累，有經(jīng)驗(yàn)的高手在這個市場里可以更有作為，對于面臨的一下問題也無法解決：問題一如何更加有效的教育，培訓(xùn)學(xué)員在計(jì)算機(jī)安全方面的知識匱乏；問題二怎樣的教學(xué)，培訓(xùn)方式才能讓學(xué)員更加快捷，高效的學(xué)習(xí)計(jì)算機(jī)安全方面的知識；問題三什么樣的教學(xué)，培訓(xùn)環(huán)境才能讓學(xué)員更容易，積極的學(xué)習(xí)計(jì)算機(jī)安全方面的知識，增強(qiáng)計(jì)算機(jī)安全意識。問題四如何才能讓學(xué)生在學(xué)校的安全課程培訓(xùn)期間就獲得豐富的網(wǎng)絡(luò)組建、信息安全的經(jīng)驗(yàn)。1.3信息安全專業(yè)需求分析信息安全專業(yè)的就業(yè)方向主要包括公安局信息監(jiān)查、網(wǎng)站、病毒殺毒公司以和涉和信息安全的地方，比如電信、網(wǎng)通的技術(shù)安全維護(hù)部門，政府各個重要部門的網(wǎng)絡(luò)安全監(jiān)測部門等。信息安全專業(yè)是我國高等院校自2010年起順應(yīng)當(dāng)代信息技術(shù)發(fā)展需要開設(shè)的新興本科專業(yè)。該專業(yè)培養(yǎng)掌握計(jì)算機(jī)技術(shù)和信息安全技術(shù)的復(fù)合型人才，經(jīng)過培養(yǎng)，使學(xué)生在計(jì)算機(jī)系統(tǒng)安全方面具有較強(qiáng)的能力，能運(yùn)用所學(xué)知識開發(fā)安全的信息系統(tǒng)，或運(yùn)用、管理和維護(hù)安全的信息系統(tǒng)，為在今后的工作中對抗黑客攻擊、保護(hù)信息網(wǎng)絡(luò)空間的安全和打擊計(jì)算機(jī)犯罪打下扎實(shí)的基礎(chǔ)。信息安全的概念在本世紀(jì)經(jīng)歷了一個漫長的歷史階段，90年代以來得到了深化。進(jìn)入21世紀(jì)，隨著信息技術(shù)的不斷發(fā)展，信息安全問題也日顯突出。如何確保信息系統(tǒng)的安全已成為全社會關(guān)注的問題。國際上對于信息安全的研究起步較早，投入力度大，已取得了許多成果，并得以推廣應(yīng)用。信息安全專業(yè)，具有全面的信息安全專業(yè)知識，使得學(xué)生有較寬的知識面和進(jìn)一步發(fā)展的基本能力；加強(qiáng)學(xué)科所要求的基本修養(yǎng)，使學(xué)生具有本學(xué)科科學(xué)研究所需的基本素質(zhì)，為學(xué)生今后的發(fā)展、創(chuàng)新打下良好的基礎(chǔ)；使學(xué)生具有較強(qiáng)的應(yīng)用能力，具有應(yīng)用已掌握的基本知識解決實(shí)際應(yīng)用問題的能力，不斷增強(qiáng)系統(tǒng)的應(yīng)用、開發(fā)以和不斷獲取新知識的能力。努力使學(xué)生既有扎實(shí)的理論基礎(chǔ)，又有較強(qiáng)的應(yīng)用能力；既可以承擔(dān)實(shí)際系統(tǒng)的開發(fā)，又可進(jìn)行科學(xué)研究。目前，我國高校開設(shè)的信息安全專業(yè)學(xué)習(xí)的專業(yè)基礎(chǔ)和專業(yè)課主要有：高等數(shù)學(xué)、線性代數(shù)、計(jì)算方法、概率論與數(shù)理統(tǒng)計(jì)、計(jì)算機(jī)與算法初步、C++語言程序設(shè)計(jì)、數(shù)據(jù)結(jié)構(gòu)與算法、計(jì)算機(jī)原理與匯編語言、數(shù)據(jù)庫原理、操作系統(tǒng)、大學(xué)物理、集合與圖論、代數(shù)與邏輯、密碼學(xué)原理、編碼理論、信息論基礎(chǔ)、信息安全體系結(jié)構(gòu)、軟件工程、數(shù)字邏輯、計(jì)算機(jī)網(wǎng)絡(luò)等。除上述專業(yè)課外還開設(shè)了大量專業(yè)選修課，主要有：數(shù)據(jù)通信原理、信息安全概論、計(jì)算機(jī)網(wǎng)絡(luò)安全管理、數(shù)字鑒別和認(rèn)證系統(tǒng)、網(wǎng)絡(luò)安全檢測與防范技術(shù)、防火墻技術(shù)、入侵檢測與防護(hù)、病毒機(jī)制與防護(hù)技術(shù)、網(wǎng)絡(luò)安全協(xié)議與標(biāo)準(zhǔn)、操作系統(tǒng)安全、網(wǎng)絡(luò)應(yīng)用服務(wù)安全、安全應(yīng)用和設(shè)計(jì)、安全體系、PKI、訪問控制、安全協(xié)議、VPN等。學(xué)生除要完成信息安全體系不同層次上的各種實(shí)驗(yàn)和課程設(shè)計(jì)外，還將在畢業(yè)設(shè)計(jì)中接受嚴(yán)格訓(xùn)練，例如完成網(wǎng)絡(luò)攻擊、計(jì)算機(jī)病毒、身份認(rèn)證、訪問控制、信息隱藏、加密通信、安全操作系統(tǒng)、防火墻操作、入侵檢測、網(wǎng)絡(luò)掃描、協(xié)議分析等安全實(shí)驗(yàn)。1.4信息安全實(shí)驗(yàn)室的意義1.4.1實(shí)驗(yàn)室對學(xué)校的意義信息安全實(shí)驗(yàn)室的建設(shè)對學(xué)?？蒲?、教學(xué)的實(shí)現(xiàn)和完善具有重要意義；促進(jìn)產(chǎn)學(xué)研一體化、促進(jìn)科研成果轉(zhuǎn)化并最終成為生產(chǎn)力；提高學(xué)校的競爭力和學(xué)生的實(shí)踐能力；有利于提升學(xué)校的品牌。1.4.2實(shí)驗(yàn)室對教師的意義實(shí)驗(yàn)室提供更多的真實(shí)設(shè)備，便于老師備課和實(shí)驗(yàn)指導(dǎo)；實(shí)驗(yàn)室方便教師對學(xué)員實(shí)驗(yàn)過程進(jìn)行把控，提升教學(xué)質(zhì)量；實(shí)驗(yàn)室提供管理機(jī)，使老師便于對學(xué)生實(shí)驗(yàn)的管理，使教學(xué)效率提高；實(shí)驗(yàn)室可以提供對各類競賽的支持。1.4.3實(shí)驗(yàn)室對學(xué)生的意義信息安全實(shí)驗(yàn)室提供了真實(shí)的網(wǎng)絡(luò)環(huán)境，可以讓學(xué)生親自搭建網(wǎng)絡(luò)、親自動手調(diào)試、配置網(wǎng)絡(luò)，進(jìn)行安全實(shí)驗(yàn)，從而讓學(xué)生直觀、全方位了解各種網(wǎng)絡(luò)設(shè)備和應(yīng)用環(huán)境，真正加深對網(wǎng)絡(luò)原理、協(xié)議、標(biāo)準(zhǔn)的認(rèn)識；通過信息安全實(shí)驗(yàn)室的學(xué)習(xí)，真正提高了學(xué)生的信息安全技能和實(shí)戰(zhàn)能力；同時，也使學(xué)生在畢業(yè)時擴(kuò)大了擇業(yè)的范圍，可以從事網(wǎng)絡(luò)技術(shù)工程師、網(wǎng)絡(luò)管理員、信息安全工程師、安全管理員等網(wǎng)絡(luò)技術(shù)類職業(yè)。網(wǎng)絡(luò)信息安全實(shí)施人才的需求。這種需求通常來源于安全產(chǎn)品提供商、系統(tǒng)集成服務(wù)商。信息安全技術(shù)開發(fā)人才要求具備良好的信息安全基礎(chǔ)知識,具有較強(qiáng)的動手實(shí)踐能力，能夠嚴(yán)格按照實(shí)施方案完成安全設(shè)備部署。系統(tǒng)防護(hù)和安全應(yīng)急響應(yīng)人才的需求。這方面的人才要求具有良好的學(xué)術(shù)功底,具備扎實(shí)的學(xué)科理論基礎(chǔ)知識,能系統(tǒng)深入地掌握密碼學(xué)、安全協(xié)議、安全體系結(jié)構(gòu)、信息對抗、網(wǎng)絡(luò)安全等信息安全理論和方法以和熟練的產(chǎn)品設(shè)計(jì)開發(fā)能力。網(wǎng)絡(luò)信息安全培訓(xùn)人才的需求。這種需求主要來源于高等院校和各種培訓(xùn)機(jī)構(gòu)。國內(nèi)國外發(fā)展現(xiàn)狀信息安全是我國高等院校自2010年起順應(yīng)當(dāng)代信息技術(shù)發(fā)展需要開設(shè)的新興本科專業(yè)。該方向培養(yǎng)掌握計(jì)算機(jī)技術(shù)和信息安全技術(shù)的復(fù)合型人才，經(jīng)過培養(yǎng)，使學(xué)生在計(jì)算機(jī)系統(tǒng)安全方面具有較強(qiáng)的能力，能運(yùn)用所學(xué)知識開發(fā)安全的信息系統(tǒng)，或運(yùn)用、管理和維護(hù)安全的信息系統(tǒng)，為在今后的工作中對抗黑客攻擊、保護(hù)信息網(wǎng)絡(luò)空間的安全和打擊計(jì)算機(jī)犯罪打下扎實(shí)的基礎(chǔ)。信息安全方向的就業(yè)方向主要包括公安局信息監(jiān)查、網(wǎng)站、病毒殺毒公司以和涉和信息安全的地方，比如電信、網(wǎng)通的技術(shù)安全維護(hù)部門，政府各個重要部門的網(wǎng)絡(luò)安全監(jiān)測部門等。基于信息安全知識的綜合性、應(yīng)用性和工程性，從豐富信息安全類課程的教學(xué)手段和人才培養(yǎng)的角度出發(fā)，建設(shè)信息安全攻防實(shí)驗(yàn)室都是非常有必要的。一方面，能為日常信息安全教學(xué)工作提供良好的實(shí)驗(yàn)、演示環(huán)境；另外一個方面能夠提供一個安全攻防的實(shí)踐環(huán)境，讓能讓學(xué)生實(shí)際了解到業(yè)內(nèi)主流安全設(shè)備的應(yīng)用；同時，使用業(yè)內(nèi)最開放設(shè)計(jì)的安全攻防平臺可以應(yīng)用于風(fēng)險評估、系統(tǒng)安全測評、安卓自動化測試、云平臺設(shè)計(jì)、綜合實(shí)訓(xùn)平臺開發(fā)、SDN開發(fā)、可信網(wǎng)絡(luò)開發(fā)、信息安全產(chǎn)品開發(fā)等各類科研領(lǐng)域?！皼]有對抗就沒有成長，在對抗中學(xué)習(xí)信息安全技術(shù)！”這已經(jīng)是信息安全教學(xué)的一種新模式，正是基于此模式，信息安全實(shí)驗(yàn)室以培養(yǎng)學(xué)生興趣為前提，在對抗中培訓(xùn)學(xué)生的實(shí)際操作能力，結(jié)合實(shí)際的安全設(shè)備的配置能力，使學(xué)生能夠快速就業(yè)?，F(xiàn)有基礎(chǔ)狀況信息安全事件層出不窮，從各類信用卡數(shù)據(jù)泄露、網(wǎng)絡(luò)用戶數(shù)據(jù)庫泄露到棱鏡門事件，信息安全事件的影響越來越大，信息安全問題已經(jīng)不僅是個人和企業(yè)問題，同時已經(jīng)上升到了國家安全問題。同時，新型的攻擊方式層次不窮，以APT攻擊（高級持續(xù)性威脅，AdvancedPersistentThreat）為例。APT是黑客以竊取核心資料為目的，針對客戶所發(fā)動的網(wǎng)絡(luò)攻擊和侵襲行為，是一種蓄謀已久的“惡意間諜威脅”。這種行為往往經(jīng)過長期的經(jīng)營與策劃，并具備高度的隱蔽性。APT的攻擊手法，在于隱匿自己，針對特定對象，長期、有計(jì)劃性和組織性地竊取數(shù)據(jù)，這種發(fā)生在數(shù)字空間的偷竊資料、搜集情報的行為，就是一種“網(wǎng)絡(luò)間諜”的行為。傳統(tǒng)的信息安全教學(xué)過程中，普遍存在以下幾類問題：思維方式問題信息安全不同于其他學(xué)科，由于攻擊方式多種多樣，信息安全要求與其他專業(yè)一樣的從全局到局部的信息安全意識；但是由于需要針對不同攻擊方式進(jìn)行不同的處理方式，因此信息安全又強(qiáng)調(diào)獨(dú)特的黑客思維，魔高一尺，道高一丈。而傳統(tǒng)的信息安全教學(xué)過程，一般僅強(qiáng)調(diào)第一種意識，而不考慮第二種意識。理論過多問題信息安全對理論要求較高，過多的理論強(qiáng)烈的壓抑了學(xué)生的學(xué)習(xí)興趣，而理論過多同樣帶來了課程體系設(shè)計(jì)比較難的問題，學(xué)生的評價體系問題等等。實(shí)踐過少問題傳統(tǒng)的信息安全教學(xué)過于追求知識的系統(tǒng)性和完整性，較多地存在著重理論、輕實(shí)踐的問題。而信息安全學(xué)科不僅強(qiáng)調(diào)理論基礎(chǔ)，同時要求學(xué)生有很高的動手能力。信息安全項(xiàng)目是系統(tǒng)工程（木桶原理，信息安全項(xiàng)目的安全程度取決于其分子項(xiàng)目的最短板），實(shí)踐訓(xùn)練過少不利于學(xué)生理解整體的安全架構(gòu)，從而站在信息安全項(xiàng)目的項(xiàng)目質(zhì)量。建設(shè)網(wǎng)絡(luò)攻防實(shí)驗(yàn)室的難點(diǎn)網(wǎng)絡(luò)攻防在信息安全教學(xué)當(dāng)中占據(jù)相當(dāng)重要的地位，但作為教學(xué)者來看，開展相關(guān)的實(shí)驗(yàn)卻遇到了很多難點(diǎn)，只要我想法克服相關(guān)的困難才能使們實(shí)驗(yàn)教學(xué)更上一個層次，目前主要面臨的問題如下：1）、建設(shè)成本網(wǎng)絡(luò)攻防實(shí)驗(yàn)需要真實(shí)的環(huán)境，開展實(shí)驗(yàn)需要大量的網(wǎng)絡(luò)設(shè)備（路由、交換機(jī)、防火墻等）和服務(wù)器設(shè)備，在國內(nèi)目前形成一個大規(guī)模的真實(shí)的實(shí)驗(yàn)室，付出的成本是非常的昂貴，所以經(jīng)費(fèi)是目前網(wǎng)絡(luò)攻防實(shí)驗(yàn)室第一個難點(diǎn)；2)、網(wǎng)絡(luò)攻擊分析與評估網(wǎng)絡(luò)攻防實(shí)驗(yàn)，是一個不太容易被可視化的實(shí)驗(yàn)，往往在做實(shí)驗(yàn)當(dāng)中難以評估學(xué)生的學(xué)習(xí)情況，比如攻擊實(shí)時監(jiān)控、攻防手段分析等，所以攻擊分析和攻擊相關(guān)的評估對一個教學(xué)者來說，是非常的重要，攻防的效果評估，分析也成為了一個實(shí)驗(yàn)難點(diǎn)；3）、真實(shí)的被攻擊環(huán)境靈活度網(wǎng)絡(luò)攻擊往往需要一個真實(shí)而復(fù)雜的環(huán)境，實(shí)學(xué)生有效的練習(xí)攻防手段，現(xiàn)很多學(xué)生經(jīng)常對校院網(wǎng)、對社會真實(shí)的網(wǎng)絡(luò)環(huán)境進(jìn)行攻防，從而帶來了一定的法律風(fēng)險，但對于實(shí)驗(yàn)室來講，布置一個真實(shí)復(fù)雜的網(wǎng)絡(luò)環(huán)境，前期準(zhǔn)備工作需要大量的時間，所以實(shí)驗(yàn)環(huán)境的準(zhǔn)備也是一個難點(diǎn)，能否圖形化、智能化的通過一個人機(jī)界面準(zhǔn)備實(shí)驗(yàn)環(huán)境，并且可以靈活性的改變目標(biāo)環(huán)境，對于網(wǎng)絡(luò)攻防實(shí)驗(yàn)至關(guān)重要。2.2實(shí)驗(yàn)室建設(shè)思路實(shí)驗(yàn)建設(shè)思路一方面要考慮建設(shè)成本，另一方面更要考慮實(shí)驗(yàn)環(huán)境準(zhǔn)備和攻擊評估；我們通過多年的調(diào)研，建議學(xué)校采用軟硬件結(jié)合的方式，來建設(shè)性價比相對合理的實(shí)驗(yàn)平臺；在硬件方面，采用云計(jì)算技術(shù)，可大規(guī)模生成網(wǎng)絡(luò)設(shè)備和服務(wù)器設(shè)備，且可以在一個人機(jī)界面下，以拖拽的形式增加或減少網(wǎng)絡(luò)設(shè)備和主機(jī)，并能對設(shè)備進(jìn)行配置。一方面提升了網(wǎng)絡(luò)環(huán)境的復(fù)雜性，使實(shí)驗(yàn)環(huán)境更加的真實(shí)，另一方面采用后臺有著強(qiáng)大分析功能的系統(tǒng)，可對攻防過程，攻擊結(jié)果、攻防次數(shù)、攻防的手段進(jìn)行實(shí)時的分析，并可以以圖表形式展現(xiàn)出來，并對現(xiàn)有的服務(wù)器環(huán)境進(jìn)行評估，評估網(wǎng)絡(luò)環(huán)境安全性能；從實(shí)驗(yàn)層面考慮，最好以循序漸進(jìn)方法來進(jìn)行實(shí)驗(yàn)，從練兵，到任務(wù)，到真實(shí)演練，至最后的網(wǎng)絡(luò)對抗，從入門到深入，從攻到防，從防到科研的方式來進(jìn)行實(shí)驗(yàn).建設(shè)目標(biāo)以理論學(xué)習(xí)為基礎(chǔ)，結(jié)合最全面最專業(yè)的實(shí)訓(xùn)以理論學(xué)習(xí)為基礎(chǔ)，結(jié)合最全面最專業(yè)的實(shí)訓(xùn)，增加學(xué)生對信息安全諸多領(lǐng)域的深入理解，為解決學(xué)生就業(yè)提供堅(jiān)實(shí)的技術(shù)基礎(chǔ)。神州數(shù)碼信息安全虛擬化實(shí)訓(xùn)云平臺提供多個方面的實(shí)驗(yàn)、實(shí)訓(xùn)和工程實(shí)踐，涵蓋多層次的實(shí)驗(yàn)操作，以真實(shí)環(huán)境的真實(shí)案例為操作指南，貼近實(shí)際崗位能力要求。同時，配有強(qiáng)大的實(shí)驗(yàn)管理系統(tǒng)，能夠?yàn)樾畔踩虒W(xué)和科研提供一個完整的、一體化的實(shí)驗(yàn)教學(xué)環(huán)境。1、通過思路優(yōu)化和實(shí)訓(xùn)平臺新建與整合，完成網(wǎng)絡(luò)信息安全運(yùn)維人才需求的計(jì)算機(jī)網(wǎng)絡(luò)，信息安全基礎(chǔ)，信息安全設(shè)備調(diào)試與原理等相關(guān)的全套教學(xué)流程實(shí)訓(xùn)平臺支持；2、同時完成系統(tǒng)集成沙盤、創(chuàng)新實(shí)訓(xùn)基地項(xiàng)目的設(shè)計(jì)與建設(shè)工作，滿足學(xué)生網(wǎng)絡(luò)系統(tǒng)集成通用的基礎(chǔ)知識，企業(yè)實(shí)踐知識與項(xiàng)目式教學(xué)的通用實(shí)訓(xùn)平臺支持。3、滿足計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)，軟件技術(shù)專業(yè)，信息安全專業(yè)，電子信息類專業(yè)在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，網(wǎng)絡(luò)系統(tǒng)集成，信息安全方面課程的教學(xué)和企業(yè)項(xiàng)目實(shí)踐實(shí)訓(xùn)需求4、滿足工業(yè)與信息化產(chǎn)業(yè)部NSACE和中國信息安全測評中心CISP計(jì)算機(jī)網(wǎng)絡(luò)信息安全工程師，信息系統(tǒng)管理工程師，系統(tǒng)集成項(xiàng)目工程師，網(wǎng)絡(luò)工程師，國家勞動與社會保障廳網(wǎng)絡(luò)管理員，國際認(rèn)證CISSP安全認(rèn)證工程師等國家職業(yè)鑒定，企業(yè)行業(yè)等認(rèn)證。教、學(xué)、練一體化信息安全實(shí)訓(xùn)平臺利用實(shí)驗(yàn)平臺資源，搭建信息安全教學(xué)實(shí)訓(xùn)平臺，將理論教學(xué)與實(shí)訓(xùn)教學(xué)融為一體，讓學(xué)生在做中學(xué)，學(xué)中做，將教學(xué)與實(shí)訓(xùn)緊密結(jié)合，不斷提高學(xué)習(xí)技能，獲得能力。基于教學(xué)流程設(shè)計(jì)，更加貼近教學(xué)需求提高教學(xué)和實(shí)驗(yàn)管理效率；貼合教學(xué)需求的重視管理的階段。教學(xué)和實(shí)驗(yàn)?zāi)軌蚋奖沆`活的調(diào)用；更全面的教學(xué)、實(shí)驗(yàn)全流程管理；提供遠(yuǎn)程多人學(xué)習(xí)、協(xié)同實(shí)驗(yàn)等需求成為新一代實(shí)驗(yàn)室建設(shè)時更加看重的管理要素。自主創(chuàng)新，因地制宜提供獨(dú)立、高效的信息化教學(xué)和實(shí)驗(yàn)環(huán)境采用教學(xué)和實(shí)驗(yàn)平臺完全融合的架構(gòu)；自動加載課程所需環(huán)境，教學(xué)快捷方便；實(shí)驗(yàn)數(shù)據(jù)在內(nèi)部虛擬化系統(tǒng)傳輸，從而從最大程度上保證了信息化教學(xué)的安全，不會受外部網(wǎng)絡(luò)環(huán)境造成影響。建設(shè)內(nèi)容1、基礎(chǔ)網(wǎng)絡(luò)搭建實(shí)驗(yàn)室建設(shè)內(nèi)容：北京信息技術(shù)有限公司通過多年在教育行業(yè)的觀察和建設(shè)發(fā)現(xiàn)，國內(nèi)高校、職教的基礎(chǔ)網(wǎng)絡(luò)實(shí)驗(yàn)室大體上經(jīng)歷了三個階段：第一代的網(wǎng)絡(luò)實(shí)驗(yàn)室主要是以分散性實(shí)驗(yàn)室為主。這一階段的網(wǎng)絡(luò)實(shí)驗(yàn)的特點(diǎn)就是網(wǎng)絡(luò)設(shè)備全都堆在試驗(yàn)臺上，設(shè)備console口直接連接到PC上進(jìn)行調(diào)試。這樣的優(yōu)點(diǎn)在于拓?fù)浣Y(jié)構(gòu)直觀、實(shí)驗(yàn)效果明顯。但是隨著設(shè)備的不斷使用，其弊端也日益凸顯出來：設(shè)備管理難度大，每次課堂實(shí)驗(yàn)完成后，管理員/教師就要花費(fèi)很大的精力去登陸到每一臺設(shè)備上去清除配置，恢復(fù)出廠狀態(tài)，維護(hù)的工作量很大；學(xué)生在做實(shí)驗(yàn)的時候無數(shù)次的插拔設(shè)備的console口，也造成了設(shè)備極大的耗損，大大降低了設(shè)備的使用壽命；并且在整個實(shí)驗(yàn)室的布局上面受到了很大的限制，設(shè)備只能近距離的布置在PC和學(xué)生身邊。隨著第一代實(shí)驗(yàn)室的問題日益嚴(yán)重，漸漸就出現(xiàn)了能夠?qū)υO(shè)備進(jìn)行“一鍵清除”的實(shí)驗(yàn)室管理設(shè)備。伴隨各個廠商的推廣，國內(nèi)院校的基礎(chǔ)網(wǎng)絡(luò)實(shí)驗(yàn)室就逐漸發(fā)展了第二階段，我們稱之為“分步控制型網(wǎng)絡(luò)實(shí)驗(yàn)室”。較第一代基礎(chǔ)網(wǎng)絡(luò)實(shí)驗(yàn)室的變化就是該類實(shí)驗(yàn)室出現(xiàn)了實(shí)驗(yàn)室管理設(shè)備，該設(shè)備普遍采用路由器+8口（16口）異步卡形式，加載一定的軟件程序，可做到對單組設(shè)備進(jìn)行一定的控制。具備對設(shè)備的‘一鍵清’功能，在一定程度上實(shí)現(xiàn)了對設(shè)備的管理，減輕了實(shí)驗(yàn)室管理員/教師的維護(hù)工作量。從布局上來說，也改變了傳統(tǒng)的受空間位置限制的布局模式，在一定程度上也減少了設(shè)備的損耗，特別是console口的損耗。但是這種實(shí)驗(yàn)室還是存在兩個最大的弊端：一是這種管理設(shè)備是經(jīng)過路由器來改造的，其性能受路由器的性能限制，管理功能較弱，設(shè)備造價成本較高，只能控制單組設(shè)備，不能實(shí)現(xiàn)整個實(shí)驗(yàn)室所有設(shè)備的統(tǒng)一管理。隨著國內(nèi)高校網(wǎng)絡(luò)實(shí)驗(yàn)室的不斷發(fā)展，截止到目前第三代網(wǎng)絡(luò)實(shí)驗(yàn)室已經(jīng)漸進(jìn)雛形。這個階段的實(shí)驗(yàn)室主要是要求對整個實(shí)驗(yàn)室的資源進(jìn)行統(tǒng)一的管理和維護(hù)，我們稱之為“統(tǒng)一管理型網(wǎng)絡(luò)實(shí)驗(yàn)室”。對此，信息技術(shù)有限公司在總結(jié)前幾代網(wǎng)絡(luò)實(shí)驗(yàn)室的優(yōu)缺點(diǎn)、不斷征集國內(nèi)各個高校一線教師的意見之后，提出了采用串口控制服務(wù)器+統(tǒng)一管理平臺模式的解決方案。結(jié)合實(shí)驗(yàn)室各方面需求，推出網(wǎng)絡(luò)信息安全實(shí)驗(yàn)室管理系統(tǒng)ISLMS。ISLMS在整個實(shí)驗(yàn)室采用物理旁路、邏輯干路的組網(wǎng)方式：在物理連接上，網(wǎng)絡(luò)實(shí)驗(yàn)室管理平臺采用旁路的方式；在邏輯訪問控制上，網(wǎng)絡(luò)實(shí)驗(yàn)室管理平臺采用干路方式，即訪問實(shí)驗(yàn)設(shè)備的數(shù)據(jù)流要由此設(shè)備進(jìn)行轉(zhuǎn)發(fā)。統(tǒng)一的使用瀏覽器進(jìn)行登陸操作，同時實(shí)現(xiàn)了對實(shí)驗(yàn)設(shè)備、教學(xué)課程、實(shí)驗(yàn)過程、實(shí)驗(yàn)成果、實(shí)驗(yàn)人員等綜合的管理；許多人性化管理功能的設(shè)計(jì)，更方便教學(xué)使用；減少了設(shè)備的損耗；可開發(fā)性和可拓展性較強(qiáng)。ISLMS功能特性網(wǎng)絡(luò)實(shí)驗(yàn)室配套管理系統(tǒng)ISLMS，該系統(tǒng)是專為實(shí)驗(yàn)室用戶研制開發(fā)的產(chǎn)品。ISLMS是一款基于WEB的遠(yuǎn)程網(wǎng)絡(luò)實(shí)驗(yàn)室管理平臺，用來更方便的管理設(shè)備、輔助教學(xué)。該管理平臺提供網(wǎng)絡(luò)實(shí)驗(yàn)室設(shè)備的集中、可視化統(tǒng)一拓?fù)鋱D、圖形化管理和豐富的基于各種具體環(huán)境的“一鍵恢復(fù)”功能，方便管理；提供遠(yuǎn)程模擬串口登陸設(shè)備功能，滿足學(xué)習(xí)的需要；結(jié)合實(shí)驗(yàn)室拓?fù)溥B接器，可以做到所見即所得的網(wǎng)絡(luò)拓?fù)?，只需點(diǎn)擊鼠標(biāo)即可搭建真實(shí)的網(wǎng)絡(luò)拓?fù)洵h(huán)境，而不需手動的去插拔網(wǎng)線；提供針對不同類型的用戶分配不同的使用和管理權(quán)限；提供多人共享同一臺設(shè)備，以小組方式學(xué)習(xí)的功能，同時教師還可以實(shí)時中斷、接入學(xué)生的操作，用來指導(dǎo)；內(nèi)置豐富、詳盡的網(wǎng)絡(luò)實(shí)驗(yàn)教學(xué)課程，教師可根據(jù)需要對課程進(jìn)行調(diào)度，加載相應(yīng)的實(shí)驗(yàn)課程和實(shí)驗(yàn)拓?fù)浣o學(xué)生，通過調(diào)度，學(xué)生只學(xué)習(xí)到教師所調(diào)度的課程；還提供系統(tǒng)的管理、維護(hù)、運(yùn)行狀態(tài)實(shí)時統(tǒng)計(jì)更新；支持學(xué)生電子報告功能；針對不同類型的設(shè)備靈活的關(guān)鍵命令過濾功能。所有用戶（管理員、教師、學(xué)生）的操作統(tǒng)一到一套系統(tǒng)上，即全部用戶面對的只有一個ISLMS；所有用戶只需要在瀏覽器中輸入ISLMS服務(wù)器的IP地址，輸入相應(yīng)的用戶名和密碼，即可以獲得不同的用戶權(quán)限。管理員和老師可對網(wǎng)絡(luò)實(shí)驗(yàn)室和實(shí)驗(yàn)組進(jìn)行管理；學(xué)生在網(wǎng)絡(luò)中的任何位置打開統(tǒng)一的網(wǎng)頁，即可根據(jù)提示進(jìn)入所要調(diào)試的設(shè)備中；如果條件允許，將系統(tǒng)連接到校園網(wǎng)或者公共網(wǎng)絡(luò)當(dāng)中，在網(wǎng)絡(luò)實(shí)驗(yàn)室設(shè)備開啟的前提下，教師和學(xué)生可通過PC、Pad、手機(jī)等終端對設(shè)備進(jìn)行訪問和調(diào)試，最大限度的利用現(xiàn)有的實(shí)驗(yàn)室資源。網(wǎng)絡(luò)實(shí)驗(yàn)室整體框架結(jié)構(gòu)網(wǎng)絡(luò)實(shí)驗(yàn)室邏輯訪問圖靈活直觀的圖形化界面系統(tǒng)采用B/S架構(gòu)，所有用戶通過瀏覽器和IP地址，登陸到系統(tǒng)中來。教師和管理員通過web界面管理實(shí)驗(yàn)室內(nèi)的所能看到的一切物理和邏輯上的資源，包括人員、設(shè)備、課程、實(shí)驗(yàn)報告等資源。學(xué)生用戶則通過登陸平臺系統(tǒng)進(jìn)行學(xué)習(xí)相應(yīng)的課程、調(diào)試設(shè)備、提交報告等。每個實(shí)驗(yàn)臺的設(shè)備和連接的拓?fù)潢P(guān)系圖形化顯示。教師或管理員在后臺根據(jù)實(shí)驗(yàn)室實(shí)際網(wǎng)絡(luò)設(shè)備環(huán)境和教學(xué)需求任意搭建拓?fù)?，所見即所得，學(xué)生賬戶登陸，只需鼠標(biāo)點(diǎn)擊拓?fù)渲械木W(wǎng)絡(luò)設(shè)備圖標(biāo)即可登陸到相應(yīng)實(shí)驗(yàn)組內(nèi)的設(shè)備。無需再去插拔console線和網(wǎng)線。分組教學(xué)，團(tuán)隊(duì)合作完成實(shí)驗(yàn)任務(wù)通過獨(dú)立的分組設(shè)計(jì)，組與組之間的成員不會相互干涉，相對對立，避免了組與組之間的成員誤操作或者惡意操作帶來的危害。這種獨(dú)立是相對的，管理員可以在實(shí)驗(yàn)室中心交換機(jī)上來解除訪問控制，讓組與組的成員能夠訪問到對方的CCM，組成更大的實(shí)驗(yàn)組進(jìn)行綜合實(shí)驗(yàn)。多用戶同時訪問多用戶同時訪問一臺設(shè)備，做到屏幕監(jiān)控和協(xié)作學(xué)習(xí)，系統(tǒng)連接的每一臺網(wǎng)絡(luò)設(shè)備允許多個學(xué)生同時訪問，第一個進(jìn)入設(shè)備的學(xué)生自動獲得“寫”權(quán)限，其他學(xué)生進(jìn)入只能獲得“讀”權(quán)限。教師擁有最高的權(quán)限，隨時可以查看每一臺網(wǎng)絡(luò)設(shè)備的配置情況，同時也可以收回“寫”權(quán)限，即時指導(dǎo)教學(xué)?！耙绘I恢復(fù)”功能和場景配置在教師管理機(jī)的網(wǎng)頁上，可方便的對全網(wǎng)、某實(shí)驗(yàn)室、某實(shí)驗(yàn)臺上所有實(shí)驗(yàn)設(shè)備，或者單臺實(shí)驗(yàn)設(shè)備，或者選中的一組設(shè)備，進(jìn)行“一鍵恢復(fù)”功能?？赏ㄟ^選擇，恢復(fù)成出廠配置，也可恢復(fù)成“指定配置”，指定配置是需要管理員/教師預(yù)先將配置腳本在ISLMS中設(shè)置好的，如果沒有配置則默認(rèn)為出廠配置。在進(jìn)行排錯課程的時候，教師可以使用該功能將預(yù)先定義的配置分發(fā)到每組設(shè)備中，由學(xué)生進(jìn)行修正。查詢統(tǒng)計(jì)功能查看當(dāng)前設(shè)備的運(yùn)行狀態(tài)、設(shè)備使用情況、學(xué)生在線情況、學(xué)生考勤、操作日志、命令日志等功能。易用性組內(nèi)設(shè)備自由組合，無需反復(fù)拔插配置口就能訪問到組內(nèi)所有設(shè)備。采用這種實(shí)驗(yàn)臺的設(shè)計(jì)，學(xué)生在做實(shí)驗(yàn)時就可以不用插拔配置線，而是通過訪問控制服務(wù)器對網(wǎng)絡(luò)設(shè)備進(jìn)行實(shí)驗(yàn)操作，不僅可以讓學(xué)生集中精力做實(shí)驗(yàn)，大大提高了實(shí)驗(yàn)教學(xué)的效率和秩序，方便老師對實(shí)驗(yàn)過程進(jìn)行管理、監(jiān)督、檢驗(yàn)；同時也大大降低了由于傳統(tǒng)實(shí)驗(yàn)形式下插拔配置線帶來過高的硬件端口損壞率。靈活的擴(kuò)展性模塊化的實(shí)驗(yàn)組設(shè)計(jì)給實(shí)驗(yàn)室?guī)頂U(kuò)展上的極大方便，由于場地問題物理實(shí)驗(yàn)組不能無限制增加，但是多個邏輯組可以組成綜合實(shí)驗(yàn)組，公用1臺CCM。另外，CCM具有16口、24口、32口不同規(guī)格的產(chǎn)品形態(tài)，可以滿足不同規(guī)模的實(shí)驗(yàn)室需求。在線學(xué)生的用戶列表顯示，哪些學(xué)生當(dāng)前在哪個實(shí)驗(yàn)室、哪個實(shí)驗(yàn)臺、哪個設(shè)備上做實(shí)驗(yàn)，一目了然。對在線學(xué)生的操作進(jìn)行實(shí)時查看，實(shí)時指導(dǎo)，可對選定的學(xué)生，查看其對設(shè)備操作的過程，并可進(jìn)行指導(dǎo)。安全控制所有人無法直接訪問CCM，必須經(jīng)過管理控制中心做映射和數(shù)據(jù)安全轉(zhuǎn)換；所有用戶必須經(jīng)過身份認(rèn)證才可進(jìn)行系統(tǒng)；通過https加密訪問。自動作業(yè)提交學(xué)生進(jìn)行實(shí)驗(yàn)之后，可以通過提交實(shí)驗(yàn)報告，將實(shí)驗(yàn)結(jié)果上傳到服務(wù)器中，老師可以提取學(xué)生的作業(yè)，進(jìn)行批改。全真模擬現(xiàn)實(shí)配置環(huán)境、多種配置的學(xué)習(xí)功能可在學(xué)生的web頁面中，單擊設(shè)備后，選擇真實(shí)的超級終端的配置功能，只需鼠標(biāo)一點(diǎn)輕松實(shí)現(xiàn)真實(shí)的超級終端串口配置練習(xí)環(huán)境?？稍趯W(xué)生的web頁面中，單擊設(shè)備后，選擇telnet方式模擬超級終端的配置功能?？稍趯W(xué)生的web頁面中，單擊設(shè)備后，選擇設(shè)備本身的web配置功能。危險命令過濾為防止學(xué)生對設(shè)備進(jìn)行不可逆轉(zhuǎn)的操作，保護(hù)設(shè)備，可以提供危險命令過濾功能，使這些危險命令不能生效。并且危險命令可以由管理員任意配置，同時還支持對危險命令的特殊參數(shù)不阻塞的功能。推薦網(wǎng)絡(luò)實(shí)驗(yàn)室實(shí)訓(xùn)清單：交換實(shí)驗(yàn)：認(rèn)識交換機(jī)，交換機(jī)帶外管理熟悉交換機(jī)的各種配置模式熟悉交換機(jī)的CLI界面調(diào)試技巧交換機(jī)恢復(fù)出廠設(shè)置和其基本配置使用telnet方式管理交換機(jī)使用Web方式管理交換機(jī)交換機(jī)文件備份交換機(jī)系統(tǒng)升級和文件還原密碼丟失的解決方法BootRom下的升級配置交換機(jī)simplex堆疊實(shí)驗(yàn)交換機(jī)duplex堆疊實(shí)驗(yàn)交換機(jī)super堆疊實(shí)驗(yàn)VLAN的劃分實(shí)驗(yàn)跨交換機(jī)相同VLAN間通信 公用端口實(shí)驗(yàn)私有VLAN實(shí)驗(yàn)端口和MAC地址綁定實(shí)驗(yàn)（靜態(tài)、動態(tài)兩種方式）配置MAC地址表實(shí)現(xiàn)Mac地址綁定與過濾交換機(jī)MAC與IP的綁定生成樹和快速生成樹實(shí)驗(yàn)鏈路聚合實(shí)驗(yàn)（靜、動態(tài)兩種方式）端口鏡像IEEE802.1X的端口認(rèn)證實(shí)驗(yàn)（需radius服務(wù)器）路由實(shí)驗(yàn)：路由器接口簡介路由器的管理方式路由器的基本配置配置文件上傳下載路由器的系統(tǒng)升級路由器廣域網(wǎng)HDLC封裝配置路由器廣域網(wǎng)PPP基礎(chǔ)配置路由器靜態(tài)路由配置RIP-1路由協(xié)議配置RIP-2路由協(xié)議的基本配置靜態(tài)路由引入配置直連路由引入配置OSPF路由協(xié)議單區(qū)域基本配置路由器廣域網(wǎng)PPP封裝PAP配置路由器廣域網(wǎng)PPP封裝CHAP配置高端交換組可以實(shí)現(xiàn)的實(shí)驗(yàn)：認(rèn)識三層交換機(jī)多層交換機(jī)VLAN的劃分和VLAN間路由使用多層交換機(jī)實(shí)現(xiàn)二層交換機(jī)VLAN之間的路由核心交換機(jī)靜態(tài)路由三層交換機(jī)RIP動態(tài)路由三層交換機(jī)OSPF動態(tài)路由三層交換機(jī)標(biāo)準(zhǔn)編號ACL三層交換機(jī)標(biāo)準(zhǔn)命名ACL三層交換機(jī)擴(kuò)展編號ACL三層交換機(jī)擴(kuò)展命名ACL交換機(jī)單向訪問控制的實(shí)現(xiàn)使用ACL過濾特定病毒報文交換機(jī)實(shí)現(xiàn)DHCP服務(wù)器的配置交換機(jī)實(shí)現(xiàn)DHCP中繼的配置交換機(jī)HSRP實(shí)驗(yàn)交換機(jī)VRRP實(shí)驗(yàn)交換機(jī)組播PIM-DM實(shí)驗(yàn)交換機(jī)組播DVMRP實(shí)驗(yàn)交換機(jī)Q0S實(shí)驗(yàn)高端路由組可以實(shí)現(xiàn)的實(shí)驗(yàn)：路由器廣域網(wǎng)FR基礎(chǔ)封裝配置幀中繼交換機(jī)的配置路由器廣域網(wǎng)X.25封裝配置通過modem撥出訪問internet通過ISDN訪問internetOSPF路由協(xié)議NBMA的網(wǎng)絡(luò)配置CE1/UE1的配置RIP-2路由協(xié)議鄰居認(rèn)證實(shí)驗(yàn)RIP-2路由協(xié)議定時器配置RIP-2路由協(xié)議單播路由更新配置RIP-2路由協(xié)議NBMA的網(wǎng)絡(luò)配置RIP協(xié)議環(huán)路避免的幾種方法實(shí)驗(yàn)OSPF路由協(xié)議多區(qū)域基本配置OSPF路由協(xié)議NBMA點(diǎn)到點(diǎn)的網(wǎng)絡(luò)配置OSPF路由協(xié)議NBMA點(diǎn)到多點(diǎn)的網(wǎng)絡(luò)配置OSPF路由協(xié)議虛鏈路配置OSPF路由協(xié)議Stub、totallyStub網(wǎng)絡(luò)配置OSPF路由協(xié)議鄰居認(rèn)證配置OSPF路由協(xié)議路由匯總配置DEIGRP路由協(xié)議配置BGP的配置路由再分配/路由重分布標(biāo)準(zhǔn)ACL配置（數(shù)字的和命名的）擴(kuò)展ACL配置（有五類）NAT地址轉(zhuǎn)換策略路由PBR的配置HSRP協(xié)議實(shí)驗(yàn)DHCP配置VPN（L2TP、PPTP）配置GRE協(xié)議VPN（Ipsec）VPN（IKE）（靜態(tài)、動態(tài)）VOIP配置配置QOS2、信息安全實(shí)驗(yàn)室建設(shè)內(nèi)容內(nèi)容全，覆蓋廣，采用最專業(yè)的信息安全教學(xué)體系，完美契合信息安全方向教學(xué)：從信息安全實(shí)驗(yàn)的覆蓋范圍，的信息安全實(shí)驗(yàn)室建設(shè)方案參考教育部高等學(xué)校信息安全類專業(yè)教學(xué)指導(dǎo)委員會制定的信息安全類專業(yè)知識結(jié)構(gòu)和能力要求，并聯(lián)合北京郵電大學(xué)開發(fā)了密碼學(xué)與應(yīng)用、信息系統(tǒng)安全、應(yīng)用安全、網(wǎng)絡(luò)安全、數(shù)字內(nèi)容安全、軟件安全、信息安全工程實(shí)踐和計(jì)算機(jī)取證與司法鑒定八大類信息安全課程體系，覆蓋了多個方面的信息安全教學(xué)內(nèi)容，包括實(shí)驗(yàn)原理、教學(xué)虛擬化環(huán)境、實(shí)驗(yàn)指導(dǎo)書，學(xué)生可以自主學(xué)習(xí)實(shí)驗(yàn)，進(jìn)行實(shí)驗(yàn)驗(yàn)證與應(yīng)用，并進(jìn)行信息安全綜合分析和自主設(shè)計(jì)，實(shí)現(xiàn)多層次的實(shí)驗(yàn)操作。同時，通過與北京郵電大學(xué)信息安全系的深入合作，后續(xù)將源源不斷的更新最新的信息安全內(nèi)容。因此，它不僅可以作為信息安全專業(yè)教學(xué)的首選方案，也可以作為計(jì)算機(jī)、網(wǎng)絡(luò)專業(yè)以和各類培訓(xùn)機(jī)構(gòu)的信息安全知識培訓(xùn)平臺。北京郵電大學(xué)信息安全專業(yè)課程體系實(shí)驗(yàn)內(nèi)容為國內(nèi)最全最深最專業(yè)，最強(qiáng)版本支持660余個不同的信息安全實(shí)驗(yàn)（其中包括最新的BT5實(shí)驗(yàn)、各類復(fù)雜網(wǎng)絡(luò)場景以和路由交換類實(shí)驗(yàn)）：不僅覆蓋常規(guī)的系統(tǒng)攻防、網(wǎng)絡(luò)攻防，同時在WEB安全日益重要的今天，引入了SQL注入、跨站攻擊等不同的實(shí)驗(yàn)，也可以支持BT5等類型的實(shí)驗(yàn)。同時，最重要的是通過內(nèi)置的虛擬化實(shí)驗(yàn)場景，用戶不是單純的做某個操作系統(tǒng)的小實(shí)驗(yàn)，而是可以根據(jù)用戶自己的意愿構(gòu)建某些復(fù)雜網(wǎng)絡(luò)環(huán)境，來實(shí)現(xiàn)組網(wǎng)、安全、部署應(yīng)用系統(tǒng)等項(xiàng)目式教學(xué)內(nèi)容，為教學(xué)改革提供技術(shù)基礎(chǔ)。這也是目前其他平臺所不能實(shí)現(xiàn)的。它是國內(nèi)最開放的平臺，極大降低信息安全實(shí)驗(yàn)室的構(gòu)建成本：平臺不僅可以用于實(shí)驗(yàn)室教學(xué)，尤其是基于LINUX等操作系統(tǒng)方面的實(shí)驗(yàn)，它提供的云實(shí)驗(yàn)可以節(jié)約在實(shí)驗(yàn)室管理上的人員和運(yùn)營上的成本投入；它也可以用于舉辦信息安全大賽（我們已經(jīng)用它辦了連續(xù)2年的高職信息安全攻防大賽）；同時由于平臺支持虛擬機(jī)的上傳功能，老師也可以將它作為防火墻、交換機(jī)、安卓等項(xiàng)目研發(fā)的平臺；而且如果學(xué)校有比較復(fù)雜的軟件系統(tǒng)的話，通過進(jìn)行課件定制或者老師自己制作課件，也可以完成業(yè)務(wù)系統(tǒng)的培訓(xùn)工作。它是全球首創(chuàng)的虛擬化教學(xué)產(chǎn)品，產(chǎn)品內(nèi)嵌了虛擬路由器、虛擬防火墻、虛擬服務(wù)器、虛擬客戶端，這將極大的降低學(xué)校在PC機(jī)和硬件上的設(shè)備投入。提供最完整的實(shí)驗(yàn)室管理方案：提供的信息安全實(shí)驗(yàn)室方案同時還擁有業(yè)界領(lǐng)先的實(shí)驗(yàn)室管理系統(tǒng)，具有強(qiáng)大的和管理功能與考核功能，同時整個課程體系專注實(shí)踐教學(xué)，運(yùn)用真實(shí)案例作為教學(xué)藍(lán)本，具有高效性、先進(jìn)性與安全性。校企合作保證：作為在信息安全實(shí)驗(yàn)室領(lǐng)域的領(lǐng)導(dǎo)者，一直認(rèn)為產(chǎn)品只是教學(xué)的基礎(chǔ)，要保障學(xué)校在計(jì)算機(jī)、網(wǎng)絡(luò)、信息安全等專業(yè)方面的成功，同樣需要完整的校企合作內(nèi)容保障。因此，一直致力于與中職、高職和本科類院校的校企合作，為學(xué)校提供師資培養(yǎng)、課程置換、課程體系改革、教材合編、認(rèn)證考試、實(shí)習(xí)就業(yè)等諸多方面的校企合作服務(wù)內(nèi)容。選擇信息安全實(shí)驗(yàn)室，您可以做到：與國內(nèi)最權(quán)威的信息安全體系同步，培養(yǎng)出類拔萃的專業(yè)帶頭人；填補(bǔ)了計(jì)算機(jī)信息安全實(shí)驗(yàn)教學(xué)方面的空白；極大改善信息安全實(shí)驗(yàn)教學(xué)的條件；具備了跟蹤先進(jìn)網(wǎng)絡(luò)通信和安全技術(shù)，開闊學(xué)生的思路和眼界，提高教學(xué)水平和教學(xué)質(zhì)量；在信息安全技術(shù)方向，為創(chuàng)新人才培養(yǎng)基地提供良好的教學(xué)與科研條件；極大降低設(shè)備投入，同時采用虛擬化平臺可以為各類科研平臺提供統(tǒng)一的資源中心，方便進(jìn)行科研管理；構(gòu)建區(qū)域性中心，為周邊學(xué)校、培訓(xùn)機(jī)構(gòu)、社會人員提供服務(wù)或者提供各類競賽（計(jì)算機(jī)類、網(wǎng)絡(luò)類和信安類大賽），提升學(xué)校影響力和專業(yè)美譽(yù)度；校企合作提供師資培養(yǎng)、課程體系改革和認(rèn)證、實(shí)習(xí)等方面的保障；2.產(chǎn)品架構(gòu)2.1核心產(chǎn)品簡介信息安全實(shí)訓(xùn)平臺（即DCST系列）是網(wǎng)絡(luò)公司（以下簡稱）面對于信息安全方向?qū)ｉT設(shè)計(jì)開發(fā)的產(chǎn)品。DCST-6000-N10和DCST-6000-N60提供不同的信息安全實(shí)驗(yàn)，一般主要用于信息安全教學(xué)演練平臺，而安全攻防平臺產(chǎn)品則是針對不同類型的漏洞進(jìn)行攻擊的實(shí)戰(zhàn)場。2.2系統(tǒng)結(jié)構(gòu)DCST產(chǎn)品體系包括：實(shí)驗(yàn)平臺、實(shí)驗(yàn)內(nèi)容和培訓(xùn)體系，提供實(shí)驗(yàn)工具管理、實(shí)驗(yàn)內(nèi)容管理、虛擬化調(diào)用API等多種擴(kuò)展接口，方便學(xué)校定制添加教學(xué)時候所需的實(shí)驗(yàn)。如圖所示：DCST配有強(qiáng)大的實(shí)訓(xùn)平臺管理系統(tǒng)ISLMS，能夠?yàn)樾畔踩嘤?xùn)、教學(xué)和科研提供一個完整的、一體化的實(shí)驗(yàn)教學(xué)環(huán)境，從而打造出全方位的專業(yè)信息安全實(shí)驗(yàn)室。2.3核心技術(shù)DCST系列產(chǎn)品是匯聚多年云虛擬化技術(shù)研究成果，在計(jì)算機(jī)知識的教育、培訓(xùn)方面，推出的一款新型教學(xué)系統(tǒng)，它是中國領(lǐng)先的云計(jì)算虛擬化實(shí)驗(yàn)教育平臺。云計(jì)算虛擬化實(shí)訓(xùn)平臺系統(tǒng)包含兩部分：云計(jì)算虛擬化技術(shù)和教育培訓(xùn)管理。云計(jì)算虛擬化技術(shù)云計(jì)算虛擬化技術(shù)通過云計(jì)算虛擬化調(diào)度和管理為計(jì)算機(jī)教學(xué)虛擬各種實(shí)驗(yàn)操作環(huán)境，讓學(xué)生進(jìn)行各種計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等實(shí)際操作，了解計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備的原理，掌握計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)和安全信息知識和實(shí)際操作技能，真實(shí)體驗(yàn)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)和安全信息知識和實(shí)際操作演練過程。DCST為了確保云計(jì)算虛擬實(shí)驗(yàn)教學(xué)平臺能夠保證計(jì)算機(jī)教學(xué)的各種實(shí)驗(yàn)操作環(huán)境，通過云計(jì)算虛擬化和在線教學(xué)平臺兩大模塊滿足了學(xué)校對于云計(jì)算虛擬化技術(shù)提出了三點(diǎn)具體要求：1、DCST擁有先進(jìn)的計(jì)算機(jī)架構(gòu)，具備強(qiáng)大的處理能力采用的處理器必須在硬件層面上高度支持虛擬技術(shù)，從而確保可以提供強(qiáng)大的并行數(shù)據(jù)處理能力，能夠在根本上支撐虛擬系統(tǒng)的高效運(yùn)轉(zhuǎn)。2、DCST支持64位計(jì)算系統(tǒng)，易于升級內(nèi)存不足將嚴(yán)重影響虛擬系統(tǒng)的性能，并會直接限制虛擬機(jī)的數(shù)量，為了能夠盡可能地擴(kuò)展內(nèi)存的空間，64位帶寬能夠突破傳統(tǒng)的4GB內(nèi)存限制，可以做到輕松升級，可以讓實(shí)訓(xùn)平臺部署更多的虛擬機(jī)，讓每臺虛擬機(jī)可以處理更多的事務(wù)。3、DCST高效的虛擬化調(diào)度算法能夠快速調(diào)度和虛擬化出計(jì)算機(jī)教學(xué)的各種實(shí)驗(yàn)操作環(huán)境虛擬平臺調(diào)度方便快捷，達(dá)到資源共享。功能特點(diǎn)安全沙盒DCST-6000-N10/N60提供了學(xué)生、老師、管理員三種角色，并提供了以下的功能:1、提供多系統(tǒng)平臺的教學(xué)DCST-6000-N10/N60為計(jì)算機(jī)和網(wǎng)絡(luò)安全教育提供多系統(tǒng)平臺的教學(xué)課件，在教學(xué)、培訓(xùn)過程中，根據(jù)需要可以啟動基于不同操作系統(tǒng)平臺的教學(xué)課件，滿足所有教學(xué)環(huán)境的需求。2、部署簡易，操作方便信息安全實(shí)訓(xùn)平臺部署非常簡易，通過一根網(wǎng)線接入到實(shí)驗(yàn)室網(wǎng)絡(luò)中，客戶端無須安裝任何客戶端軟件，即可完成設(shè)備的部署和環(huán)境的搭建。學(xué)生通過web頁面訪問設(shè)備并進(jìn)行實(shí)驗(yàn)，教師和管理員通過web頁面進(jìn)行實(shí)驗(yàn)和設(shè)備的管理。3、 多種模式的攻防課件DCST-6000-N10/N60為計(jì)算機(jī)和網(wǎng)絡(luò)安全教育提供多模式的安全攻防實(shí)驗(yàn)課件，能夠進(jìn)行各種安全威脅的攻防操作，針對不同的攻擊防御模式，提供多種實(shí)驗(yàn)課件選擇。4、 全程自主操作的攻防演練安全沙盒系統(tǒng)的全部課件均是將安全理論與實(shí)際環(huán)境和動手操作相結(jié)合的實(shí)驗(yàn)課程，所有的學(xué)習(xí)過程中，都需要通過實(shí)際動手進(jìn)行實(shí)驗(yàn)操作，完成課件要求的安全威脅攻擊以和針對該攻擊的安全防御措施。通過不同的實(shí)驗(yàn)課程讓學(xué)員親身體驗(yàn)計(jì)算機(jī)和網(wǎng)絡(luò)安全的攻防全過程，讓學(xué)生從枯燥的理論學(xué)習(xí)中解脫出來，可以極大的提升學(xué)生學(xué)習(xí)網(wǎng)絡(luò)安全知識的積極性，并幫助學(xué)生在未來的就業(yè)和職業(yè)發(fā)展奠定扎實(shí)、實(shí)用的技術(shù)基礎(chǔ)和經(jīng)驗(yàn)。5、 真實(shí)的攻防環(huán)境目標(biāo)主機(jī)、操作系統(tǒng)、漏洞均是真實(shí)存在的，入侵、防護(hù)過程完全真實(shí)。并非像一些實(shí)驗(yàn)系統(tǒng)只能模擬輸出既定的結(jié)果，貼近實(shí)際。6、 模塊化可獨(dú)立部署或融合部署可單獨(dú)接入終端機(jī)器進(jìn)行安全實(shí)驗(yàn)，更可配合DCFW防火墻、IDS入侵檢測系統(tǒng)、DCSM內(nèi)網(wǎng)安全管理系統(tǒng)、交換機(jī)、路由器、DCFS、NETLOG等基礎(chǔ)安全和信息安全實(shí)驗(yàn)室模塊組合成為真實(shí)攻防的全局環(huán)境中。7、課件資源豐富，接口全面開放N10/N60產(chǎn)品課件資源豐富，系統(tǒng)接口全面開放，可自定義實(shí)驗(yàn)課件、實(shí)驗(yàn)設(shè)備和實(shí)驗(yàn)拓?fù)?，后續(xù)內(nèi)容會實(shí)時增加。8、實(shí)驗(yàn)加載快，支持遠(yuǎn)程協(xié)助通過web瀏覽器直接登錄實(shí)訓(xùn)平臺并啟動實(shí)驗(yàn)，參照實(shí)驗(yàn)課件可以進(jìn)行自主學(xué)習(xí)。在學(xué)生進(jìn)行實(shí)驗(yàn)的過程當(dāng)中，教師可以隨時進(jìn)行遠(yuǎn)程協(xié)助，對學(xué)生進(jìn)行指導(dǎo)。實(shí)驗(yàn)結(jié)束后，自動釋放系統(tǒng)資源。9、系統(tǒng)界面學(xué)生實(shí)驗(yàn)環(huán)境課程介紹拓?fù)湓O(shè)計(jì)路由交換實(shí)訓(xùn)路由交換實(shí)訓(xùn)教師遠(yuǎn)程協(xié)助界面云管理頁面建設(shè)步驟高校信息安全實(shí)驗(yàn)室建設(shè)分為一下六個建設(shè)步驟：基礎(chǔ)網(wǎng)絡(luò)實(shí)驗(yàn)室建設(shè)信息安全教學(xué)實(shí)訓(xùn)平臺建設(shè)信息安全對抗平臺建設(shè)信息安全技術(shù)知識庫建設(shè)信息安全技術(shù)研究能力建設(shè)信息安全實(shí)驗(yàn)室擴(kuò)展建設(shè)1、基礎(chǔ)網(wǎng)絡(luò)實(shí)驗(yàn)室建設(shè)皮之不存，毛將焉附。沒有基礎(chǔ)網(wǎng)絡(luò)架構(gòu)的支撐，就談不上網(wǎng)絡(luò)信息安全。信息安全攻防實(shí)驗(yàn)室建立的前提是學(xué)校已經(jīng)建設(shè)有基礎(chǔ)網(wǎng)絡(luò)實(shí)驗(yàn)室，安全實(shí)驗(yàn)室必須以基礎(chǔ)網(wǎng)絡(luò)實(shí)驗(yàn)室作為網(wǎng)絡(luò)通信設(shè)備的網(wǎng)絡(luò)平臺。2、信息安全教學(xué)實(shí)訓(xùn)平臺建設(shè)信息安全知識的傳遞，首先要通過教學(xué)。我國高校畢業(yè)生的動手能力低是一個普遍現(xiàn)象，部分本科畢業(yè)學(xué)生的動手能力在一定程度上甚至不如高職院校的學(xué)生。高校一直采用“精英教育”模式，在理論教學(xué)上成績突出，但忽視了動手能力的培養(yǎng)。而大部分用人單位需要的是畢業(yè)即能融入日常工作的學(xué)生，因此我們需要用真實(shí)的設(shè)備、真實(shí)的案例、真實(shí)的實(shí)驗(yàn)環(huán)境來鍛煉學(xué)生的實(shí)際動手能力，以改變一直以來的精英教學(xué)模式。3、信息安全對抗平臺建設(shè)在具備一定量的理論知識和實(shí)際動手能力的情況下，開展實(shí)戰(zhàn)分組對抗演練，更加貼近真實(shí)的信息安全網(wǎng)絡(luò)攻防操作過程，進(jìn)一步加強(qiáng)學(xué)生的信息安全技能。4、信息安全技術(shù)知識庫建設(shè)早期的信息安全關(guān)注的是技術(shù),但自20世紀(jì)90年代以來,業(yè)內(nèi)對信息安全管理的關(guān)注逐漸超出了對技術(shù)的關(guān)注,特別是在一些信息安全管理標(biāo)準(zhǔn)的指導(dǎo)下,加速了信息安全管理的發(fā)展。然而,目前國內(nèi)高校對信息安全管理的智能化研究還比較欠缺,建立信息安全管理知識庫,可以提高信息安全管理的智能化研究水平,為信息安全管理決策提供有效的指導(dǎo)。同時為高校積累寶貴的信息安全教學(xué)研究資料。信息安全知識庫是高校形成結(jié)構(gòu)化、易操作、易利用、易儲存、可傳承的信息安全知識集群，這些知識包括的各個專業(yè)、學(xué)科中的的一切信息安全知識內(nèi)容，如：培訓(xùn)資料、學(xué)習(xí)資料、多媒體資料、信息安全工具資料等等很多方面。因此，在信息安全實(shí)驗(yàn)室建設(shè)中，對信息安全知識庫系統(tǒng)的建設(shè)尤為重要。作用主要表現(xiàn)在：第一，信息安全知識庫使信息和知識結(jié)構(gòu)化，提供標(biāo)準(zhǔn)的建立條件。第二，信息安全知識庫為企業(yè)內(nèi)部知識和信息的傳播，提供有力的平臺。第三，信息安全知識庫有利于實(shí)現(xiàn)高校對知識的更好利用。第四，信息安全知識庫對高校信息安全知識資料提供有效管理。在信息安全實(shí)驗(yàn)室的信息安全管理知識庫系統(tǒng)的本體類層次可分為如下：1安全方針類2組織信息安全類3資產(chǎn)管理類4人力資源安全類5物理和環(huán)境安全類6通信和操作管理類7訪問控制類8信息系統(tǒng)的獲取、開發(fā)和保持類9信息安全事故管理類10業(yè)務(wù)連續(xù)性管理類11符合性類5、信息安全技術(shù)研究能力建設(shè)科學(xué)技術(shù)研究是高等學(xué)校中心任務(wù)之一?？蒲谢顒拥拈_展和其水平必然與高校的科研能力緊密相關(guān)?？蒲心芰Φ膹?qiáng)弱是學(xué)校水平高低的重要指標(biāo)，它與高等學(xué)校出人才出成果上質(zhì)量上水平有直接的關(guān)系。高等學(xué)校科研能力，簡單地說，是指高等學(xué)校憑借一定的條件多出科研成果、快出科研成果、出高水平科研成果的本領(lǐng)。也就是說高?？蒲心芰κ歉叩葘W(xué)校為進(jìn)行科技活動所擁有的科研能量。一般說，高校開展科研活動具有特別的優(yōu)勢。這種優(yōu)勢表現(xiàn)為：有大量的人才資源。高校擁有眾多的包括各門學(xué)科、各個領(lǐng)域的科學(xué)技術(shù)人才，他們有寬厚的基礎(chǔ)理論、專業(yè)知識和很強(qiáng)的研究能力，能夠根據(jù)科學(xué)技術(shù)發(fā)展的趨勢來積極從事科研工作。同時，高校的人才是多層次的，容易組成合理的科研梯隊(duì)。青年科研人員思想活躍、思維靈敏并富有創(chuàng)造性，與知識基礎(chǔ)雄厚、科研能力強(qiáng)的中老年教師合作和交替，使得高?？蒲薪?jīng)常保持朝氣蓬勃的創(chuàng)造精神和活力。尤其是對于網(wǎng)絡(luò)信息安全專業(yè)來說，信息安全技術(shù)方面的研究更是考驗(yàn)一個高校在計(jì)算機(jī)專業(yè)領(lǐng)域的建設(shè)和創(chuàng)新能力。通過我們前期基礎(chǔ)網(wǎng)絡(luò)實(shí)驗(yàn)室、信息安全相關(guān)實(shí)驗(yàn)室和信息安全技術(shù)知識庫的建設(shè)，結(jié)合實(shí)驗(yàn)室統(tǒng)一管理平臺和DCST系列平臺等硬件資源，高校對信息安全技術(shù)的科研建設(shè)將是水到渠成的。6、信息安全實(shí)驗(yàn)室擴(kuò)展建設(shè)在信息安全實(shí)驗(yàn)室建設(shè)中，在滿足初期建設(shè)業(yè)務(wù)的需求后，還需要信息安全實(shí)驗(yàn)室能夠開展信息安全性測試的深入研究，逐步掌握針對網(wǎng)絡(luò)、防火墻、Web應(yīng)用系統(tǒng)、數(shù)據(jù)庫、中間件、操作系統(tǒng)等多個應(yīng)用層面的安全性評測技術(shù)。網(wǎng)絡(luò)架構(gòu)的安全性評測發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)存在的安全性、網(wǎng)絡(luò)負(fù)載問題，網(wǎng)絡(luò)設(shè)備存在的安全性，抗攻擊的問題。檢查網(wǎng)絡(luò)管理員是否有清晰的網(wǎng)絡(luò)拓?fù)鋱D，網(wǎng)絡(luò)管理員是否熟悉網(wǎng)絡(luò)設(shè)備的部署情況，分析網(wǎng)絡(luò)拓?fù)鋱D與實(shí)際的網(wǎng)絡(luò)結(jié)構(gòu)的是否存在差異情況，檢查網(wǎng)絡(luò)拓?fù)渥兏目刂瞥绦?，網(wǎng)絡(luò)拓?fù)鋱D的維護(hù)管理情況等。檢查網(wǎng)絡(luò)根據(jù)業(yè)務(wù)和安全需求的分段情況，是否采用了防火墻和網(wǎng)關(guān)來加強(qiáng)不同網(wǎng)段間的訪問控制，了解網(wǎng)絡(luò)的地址管理和IP地址規(guī)劃的原則和方法，了解網(wǎng)絡(luò)中出口的情況，每個出口的保護(hù)方式等。通過對上述內(nèi)容的檢查了解，對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)合理性進(jìn)行分析。網(wǎng)絡(luò)安全設(shè)備的安全性評測 網(wǎng)絡(luò)設(shè)備是保障一個系統(tǒng)邊界安全的有利工具，但是過分的依賴于網(wǎng)絡(luò)設(shè)備理論上提供的功能，將會導(dǎo)致無法正確判斷系統(tǒng)的威脅情況，和信任過度的問題。我們有必要為網(wǎng)絡(luò)設(shè)備自身的安全性和是否有效保護(hù)了被保護(hù)系統(tǒng)，做一個評測以達(dá)到真正起到保護(hù)的目的。另外，網(wǎng)絡(luò)設(shè)備由于被保護(hù)系統(tǒng)的復(fù)雜性和管理員的自身面對的系統(tǒng)較為復(fù)雜，配置未必合理，容易為入侵者提供入侵通道。有必要為網(wǎng)絡(luò)設(shè)備存在的這些問題提供一種安全解決方案，而針對網(wǎng)絡(luò)設(shè)備的安全評測將是一種有效的手段。網(wǎng)絡(luò)設(shè)備安全包含：交換機(jī)；路由器；防火墻；其它網(wǎng)絡(luò)設(shè)備。Web應(yīng)用安全的弱點(diǎn)評測通過對WEB應(yīng)用的弱點(diǎn)進(jìn)行評測，發(fā)現(xiàn)應(yīng)用軟件中存在的安全隱患（包括安全功能設(shè)計(jì)、安全弱點(diǎn)、以和安全部署中的弱點(diǎn)等）。數(shù)據(jù)庫的安全性評測完整，全面發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)中數(shù)據(jù)庫的漏洞和安全隱患，主要評測的內(nèi)容如下：數(shù)據(jù)庫用戶名和密碼管理用戶權(quán)限設(shè)置密碼策略設(shè)置冗余賬號的管理數(shù)據(jù)庫訪問控制訪問IP地址的控制通訊安全配置登錄認(rèn)證方式數(shù)據(jù)的安全敏感信息的存儲方式數(shù)據(jù)庫備份數(shù)據(jù)庫存儲介質(zhì)安全傳輸加密安全漏洞檢查補(bǔ)丁管理數(shù)據(jù)庫的安全審計(jì)登錄日志審計(jì)操作日志審計(jì)通用應(yīng)用（中間件）服務(wù)的弱點(diǎn)評測通用應(yīng)用中間件的安全關(guān)乎整個業(yè)務(wù)系統(tǒng)的安全,通過評測發(fā)現(xiàn)通用中間件的安全問題.主要是指針對IIS、apache、等相關(guān)通用的應(yīng)用軟件進(jìn)行安全評測。評測主要包含補(bǔ)丁管理、最大安全性原則、用戶管理、權(quán)限管理、日志安全管理等進(jìn)行分析。操作系統(tǒng)主機(jī)的安全性評測操作系統(tǒng)主機(jī)的安全評測的對象包含計(jì)算機(jī)硬件系統(tǒng)、操作系統(tǒng)；操作系統(tǒng)的安全性評測不包含非附屬于操作系統(tǒng)的軟件產(chǎn)品（如微軟的SQLSERVER）的安全評測。操作系統(tǒng)的安全性評測范圍：應(yīng)用服務(wù)器；客戶機(jī)（用戶終端機(jī)）。七、信息安全實(shí)驗(yàn)室實(shí)施方案信息安全實(shí)驗(yàn)室的實(shí)施需要有完善的實(shí)施方案，根據(jù)設(shè)計(jì)提供的網(wǎng)絡(luò)部署圖，按照每個區(qū)域進(jìn)行網(wǎng)絡(luò)，設(shè)備的部署調(diào)試，安裝；1、部署示意圖部署示意拓?fù)鋱D1.1實(shí)驗(yàn)室布局實(shí)驗(yàn)室的布局設(shè)計(jì)要以能夠有效利用實(shí)驗(yàn)室場地，方便開展教學(xué)和實(shí)訓(xùn)為原則，這里我們推薦用目前最主流的布局方式-島式布局。實(shí)驗(yàn)室物理布局平面圖：效果圖：島式布局是目前最流行的實(shí)驗(yàn)室布局方式，每個物理實(shí)訓(xùn)組成為一個小島，每個組推薦4－6個學(xué)員使用，每組配置一個2m標(biāo)準(zhǔn)機(jī)柜。1.2實(shí)驗(yàn)室設(shè)備安裝和布線示意圖實(shí)驗(yàn)室中有一個核心機(jī)柜，放置中心交換機(jī)組（可能是一臺交換機(jī)，也可能是幾臺交換機(jī)級聯(lián)或者堆疊而成，提供足夠的網(wǎng)絡(luò)接口）、防火墻以和必要的服務(wù)器等。每個實(shí)訓(xùn)組都配備一個小機(jī)柜，用于放置每組的實(shí)訓(xùn)設(shè)備。機(jī)柜一般擺放在離相應(yīng)實(shí)訓(xùn)組較近的位置貼墻而放，或者可以定制小機(jī)架，放置在實(shí)訓(xùn)臺的桌面上。CCM-16的每個串口通過連接線與各個網(wǎng)絡(luò)設(shè)備的console口相連。CCM再通過網(wǎng)口和中心交換機(jī)相連。如下圖：灰色線纜：串口線+console線紅色線纜：網(wǎng)線每臺學(xué)員機(jī)都有兩個網(wǎng)絡(luò)接口，其中一個和CCM一樣，連接到中心交換機(jī)上，另外一個需要在設(shè)備調(diào)試后，連接到網(wǎng)絡(luò)拓?fù)渲杏糜隍?yàn)證結(jié)果。連接到中心交換機(jī)上的網(wǎng)線不可以拔掉，可以使用紅色的網(wǎng)線。而另一個網(wǎng)口用于驗(yàn)證，隨時可以拔除，或者會插在不同的實(shí)訓(xùn)設(shè)備上，所以可以使用綠色的網(wǎng)線。如下圖：實(shí)驗(yàn)室主干布線的區(qū)域采用透明的強(qiáng)化玻璃作地板，教室后面的設(shè)備柜中采用配線架，理線架等面板，可以讓學(xué)員清楚看到正規(guī)的布線方法，利于學(xué)員就業(yè)后的工作。在實(shí)際布線中，希望可以按照下圖的布線方式布線，最好也采用多種不同顏色的線纜進(jìn)行鋪設(shè)，以免學(xué)員拔除不應(yīng)拔除的線纜，導(dǎo)致無法正確進(jìn)入設(shè)備進(jìn)行調(diào)試。1號線：藍(lán)色，每個實(shí)訓(xùn)臺中的CCM與中心交換機(jī)組連線，不可拔除。2號線：紅色，教師機(jī)、學(xué)員機(jī)、服務(wù)器與中心交換機(jī)組連線，不可拔除。3號線：綠色，學(xué)員機(jī)驗(yàn)證調(diào)試連線，可拔除。2、部署實(shí)施建議信息安全實(shí)驗(yàn)室是針對上線前信息系統(tǒng)的評測為建設(shè)的，因此在信息實(shí)驗(yàn)室的實(shí)施過程中，必須考慮今后信息實(shí)驗(yàn)室的業(yè)務(wù)開展，以和新業(yè)務(wù)的擴(kuò)展需求，將信息安全實(shí)驗(yàn)室