基于“虚拟仿真”的信息安全实验教学体系改革

王瑞锦 周世杰 秦志光 吉家成

文章编号：1672-5913（2015）11-0031-05

中图分类号：G642

摘要：针对信息安全实验项目在真实环境中开展会出现破坏性大、搭建实验环境复杂、实验成本高以及跨校的高水平实验远程共享难等问题，分析现有手段的弊端，提出“3层次、5模块、7平台”的基于“虚拟仿真”的信息安全实验教学体系观点，同时阐述网络安全防护体系架构的设计，用以保障平台的安全运行。

关键词：虚拟仿真；信息安全实验教学体系；安全防护体系

1 背景

当前信息安全事件层出不穷，从各类信用卡数据泄露、用户数据库泄露到网络间谍威胁、棱镜门事件等，可以看出信息安全事件的影响越来越大。信息安全问题不仅是个人和企业的问题，也是维护国家安全和社会稳定的一个焦点。2014年2月，中央宣布习近平总书记担任中央网络安全和信息化领导小组组长，更加表明信息安全已经成为一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。因此，构建可靠的信息安全保障系统，培养高素质的信息安全专业精英人才已成为当务之急。

信息安全是通信、计算机、数学、软件工程、管理和法律等学科的交叉学科，主要研究信息与网络安全的科学与技术。据不完全统计，截至2014年，国内有100多所高校开设了信息安全专业，各高校都在不断探索和研究，初步建立了特点不一的实验教学体系。其中，武汉大学构建了“基础实验一综合设计实验一研究创新实验”的3层次实践教学模式，通过多种平台培养学生的实践和创新能力。北京邮电大学搭建了“以能力提升为中心、项目实训为基础、创新培育为重点”的整体化实验教学创新体系。哈尔滨工业大学秉承“项目实践能力强”的作风，将创新能力和实践能力贯穿到实验教学的各环节。虽然有如此多的高校开展研究探索，但大多数高校的人才培养仍然停留在单纯的理论授课或设备应用层面，并且高校都面临开展真实实验项目破坏性大、搭建实验环境复杂、实验成本高以及跨校的高水平实验远程共享难等问题。

电子科技大学作为我国首批设立信息安全专业的高校之一，在信息安全实验教学体系中，通过学习与借鉴国内外著名院校信息安全专业建设与实践的经验，在建设国家级“信息与网络安全虚拟仿真实验教学中心”（以下简称“中心”）的有力支持下，建成了基于“虚拟仿真”的信息安全实验教学体系，涵盖了信息、系统、网络、移动智能终端、云计算、空天等领域的安全实验项目，取得了很好的教学效果。

2 建设虚拟仿真实验教学平台的必要性

1）在真实实验环境中开展实验，破坏性大。

因网络信息安全与攻防技术本身所具有的破坏性，为教学而设置网络安全漏洞会产生巨大风险。在真实的网络环境中开展网络攻击、病毒注入等实验，将酿成灾难性后果。实验性计算机病毒流向公共网络在计算机发展史上不乏其例，世界上第一例病毒就是从实验室流出到公共网络。这使得该类实验教学必须依赖于虚拟仿真技术和手段。

2）搭建真实实验环境复杂、实验成本高。

信息安全与攻防技术真实实验环境规模庞大、结构复杂，系统难度大，建设和维护成本高；实验教学中涉及的形形色色的病毒也无法在需要时实时再现，这些使得学生几乎无法进行实际的网络攻防设计。

另外，受地域环境、仪器设备和安全性等因素的限制，学生不能深入生产一线进行实践锻炼，而目前的综合设计性实验仅具有少量的工程能力培养内容，不能满足需求。

3）采用“虚拟仿真”开展信息安全实验的优点。

虚拟仿真实验以网络虚拟化的方式为学生提供实战靶机和实战环境等要素共同构成的动态仿真环境，以完成攻防过程的模拟实验。此外，用虚拟现实技术形象生动地展现攻防的真实过程能帮助学生更加深入地了解网络攻防的工作原理和工作过程。这样既能节省实验室建设的经费成本，又能模拟网络信息安全开设实验时高端实验设备的运行情况、实验的配置环境和命令行操作的一致性。同时，由于采用虚拟手段能够实现所有实验的过程，学生通过远程登录，参与整个实验工程项目，能够灵活、方便地搭建实验环境，能够快速恢复实验环境，在达到相同教学效果的前提下，大大降低了开展真实实验的破坏性。

总之，基于虚拟化技术的信息安全实验教学体系，能将信息安全的相关实验和创新应用模块通过在线、远程方式加以实现，从而解决了真实实验项目破坏性大、搭建实验环境复杂、实验成本高以及跨校的高水平实验远程共享等问题。虚拟仿真能够很好地丰富实验教学手段，达到全面提高本科生的创新精神和综合实践能力的目的。

3 教学体系设计

电子科技大学信息安全专业以人才培养目标和创新能力教育为宗旨，以全面提高学生的创新精神和综合实践能力为目标，坚持“攻防兼备、以攻促防、应用牵引、资源共享”的建设理念，构建了以“3层次、5模块、7平台”为内容的信息与网络安全虚拟仿真实验教学体系，如图1所示。

中心通过“虚”“实”结合的方式完成教学大纲要求。2007年建成的“国家级计算机实验教学示范中心”，为中心提供实验教学所需的物理环境和实物平台。

3.1 3 层次

以“基础验证、工程实践和创新研究”为内容的“3层次”递进式模型（如图2所示），为实验教学的规划提供了方法论的指导。学生通过集虚拟仿真实验资源的展示、管理、共享、交流、服务于一体的虚拟化平台，远程共享实验室软硬件资源，完成3层次递进式“金字塔”模式的实验。

基础验证层包含了密码学基础实验、系统加固安全等实验；工程实践层包括网络互联安全、网络攻防实战等实验；创新研究层包括云计算安全实验、移动终端安全、空天信息安全、信息安全竞赛等实验。

3.2

5模块

以“信息加密、系统安全加固、网络互联安全、网络攻防和安全应用”为内容的“5模块”，解决了如何建设实验项目的问题。

信息加密模块支撑包括信息安全导论实验在内的3门课程的实验教学任务；系统安全加固模块支撑计算机病毒与防护等5门课程的实验教学任务；网络互联安全模块支撑网络设备配置、网络与信息安全综合设计实验在内的3门课程的实验教学任务；网络攻防支撑网络攻防技术等4门课程的实验教学任务；安全应用模块支撑移动智能终端安全等2门课程的实验教学任务。

3.3 7平台

最终构建的信息安全基础仿真实验平台、系统安全加固仿真实验平台、网络互联安全虚拟仿真实验平台、网络攻防实战虚拟仿真实验平台、移动智能终端安全虚拟仿真实验平台、云信息安全虚拟仿真实验平台、空天信息安全虚拟仿真实验平台7个具体的虚拟实验平台，解决了数据恢复开盘、网络渗透攻击、虚拟路由器模拟、网络入侵检测、网络攻防、移动智能终端安全等27个虚拟仿真实验项目如何开设的问题。

3.4 开设的实验项目

实验课程按照学科和专业分布分别由7个实验平台负责完成，目前可进行27项虚拟仿真实验项目，包括适合开设的课程22门课程，共206学时。见表1。

4 安全防护体系架构

我们把中心的网络系统分为远程实验区与核心内网两个区域。根据这两个区域内用户对虚拟仿真实验教学系统的实际需求，分别部署和完善了相应的网络与信息安全防护设施。网络安全防护体系情况如图3所示。

1）远程实验区安全防护。

远程实验区定义为本校校园网以外的互联网区域，该区域中的用户主要通过互联网访问本中心的信息门户获取和查询公开信息，或者访问位于核心内网中的仿真实验平台进行远程在线实验。因此本区域中的安全防护设施主要部署于网络对外接口位置，包括防火墙、IPS、VPN等设备，提供边界检查、建立安全区域、控制数据包的进出、防范和抵御网络入侵和攻击等防护功能。这些安全防护设施侧重于为互联网用户提供两类信息服务。

第一类服务是为互联网用户提供关于本中心实验教学与服务信息的获取与查询服务，主要采用在防火墙的DMZ区部署对外提供信息服务的Web门户服务器等。用户通过浏览器即可便捷地获取本中心对外发布的公开信息。

第二类服务是为用户提供接人核心内网的安全接入通道。互联网用户通过VPN方式接入后即可获得与校园网内主机相同的地位，在完成身份认证后即可实现安全接入仿真平台进行在线实验的功能。IPS入侵防护用于检测和防范各种恶意攻击。

2）核心内网区安全防护。

核心内网定义为本中心内部网络区域，通过防火墙与外网远程实验区进行安全隔离与访问控制。

核心内网中部署各仿真实验平台和相关安全管理设施，是提供在线仿真实验教学各项应用服务的核心设施。核心内网在基础网络上采用VLAN技术实现子网的划分、用户的隔离和访问控制；在实验平台的物理部署上采用本中心主平台与各分实验平台分离的模式实现安全保障；在应用层面上采用用户身份注册、认证和访问权限的授权等措施来确保应用访问的安全性。

5 结语

电子科技大学构建了基于“虚拟仿真”的信息安全实验教学体系，涵盖了信息、系统、网络、移动智能终端、云计算、空天等领域的安全实验项目，取得了很好的教学效果，对于推进我国信息安全专业人才教育和发展有着重要的实践与现实意义。