广州现代信息工程职业技术学院信息工程系信息安全实训室建设方案.docx
- 文档编号:24437803
- 上传时间:2023-05-27
- 格式:DOCX
- 页数:21
- 大小:416.99KB
广州现代信息工程职业技术学院信息工程系信息安全实训室建设方案.docx
《广州现代信息工程职业技术学院信息工程系信息安全实训室建设方案.docx》由会员分享,可在线阅读,更多相关《广州现代信息工程职业技术学院信息工程系信息安全实训室建设方案.docx(21页珍藏版)》请在冰豆网上搜索。
广州现代信息工程职业技术学院信息工程系信息安全实训室建设方案
广州现代信息工程职业技术学院信息工程系信息安全实训室建设方案
目录
1.项目概述4
2.摘要和必要性7
2.1摘要7
2.2建设网络实训室的必要性7
2.2.1信息安全实验室对提高教学水平意义重大8
2.2.2信息安全实训室的建设对学生就业意义重大8
2.2.3信息安全实验室给科研带来的收益9
2.2.4信息安全实验室给职业教育学术名声带来的收益10
2.2.5小结10
3.实验室建设需求分析11
3.1目标对象11
3.2教学意图和目的11
3.3实验室建设原则11
3.4实验室建设要求12
4.相关知识体系13
4.1预备知识13
4.2实验课相关的知识体系13
5.信息安全实验室设计14
5.1总体设计14
5.2平台结构15
5.3教学实验区16
5.4公共服务区16
5.5服务环境模拟区16
5.6课程设计18
6.信息安全实验室管理19
6.1实验室组织结构19
6.2实验室的运营20
6.3实验室人员要求20
6.4使用流程21
1.项目概述
(1)项目名称:
广州现代信息工程职业技术学院信息工程系信息安全实训室建设项目。
(2)项目性质:
在原有网络实验室基础上建设,原有的网络实验室共有9组网络设备,由于每组学生试验小组中均有路由器和支持镜像功能的三层交换机,因此建设本安全实验室无需另外购置网络设备,本次建设的设备是每小组2台1U的设备,原有的机柜也还有合适的空间存放,因而无需增加采购机柜,更无需重新布线施工。
这样可以充分利用学校里的资源,将投入产出比发挥到最大。
(3)项目承担单位及负责人:
项目承担单位:
广州现代信息工程职业技术学院信息工程系
(4)项目建设方案编制依据
项目建设方案编制的理由与过程如下:
21世纪的IT技术人才市场,越来越关注技术人员的实际经验和动手操作能力。
而学生也有迫切接触社会、提高实际工作技能的需求。
信息安全实训室的建设对科研和教学两个功能的实现和完善都具有重要意义,而且对提高学校的竞争力和学生的实践能力有重大的促进作用,有利于提升学校的品牌。
广州大学建设的信息安全实训室可满足信息化教学的需要,同时促进学生信息安全专业知识和动手能力的提高,带来学生综合素质的提高和学校科研开发两个方面的社会效益。
广州大学信息安全实训室具体配置如下:
配置1个公共服务与示范教学区域,由1台千兆一体化安全网关、1套网关集中管理中心、1套入侵检测系统、1套入侵防御系统、1套脆弱性扫描与管理系统和1套漏洞知识库组成;配置了10组实验小组部分,每组实验小组由1台百兆一体化安全网关USG-300B、1套入侵检测系统和1套脆弱性扫描与管理系统组成。
(5)项目建设目标、规模、周期:
建设目标:
根据学校的整体发展规划,建立一个全面、先进、实用信息安全实训室,既满足信息化教学的需要,又促进学生信息安全专业知识和实际动手能力的提高。
建设规模:
300,000.00元
建设周期:
1.5个月
(6)项目建设内容一览表:
序号
建设内容
具体内容
1
信息安全系统
配置1个公共服务与示范教学区域,由1台千兆一体化安全网关、1套网关集中管理中心、1套入侵检测系统、1套入侵防御系统、1套脆弱性扫描与管理系统和1套漏洞知识库组成;配置了10组实验小组部分,每组实验小组由1台百兆一体化安全网关USG-300B、1套入侵检测系统和1套脆弱性扫描与管理系统组成。
(7)总投资及来源:
预算计划总投资:
300,000.00元
经济来源:
(8)经济及社会效益:
经济效益:
信息安全实训室的建设,能够满足学生信息安全知识在实训中的提升和老师实践技能提高的需求;对提高学校的竞争力和学生的实践能力有重大的促进作用,有利于提升学校的品牌。
社会效益:
加快信息化专业人才的培养,推动社会信息化的发展!
2.摘要和必要性
2.1摘要
网络信息技术的飞速发展,通过网络进行信息资源的交流已经成为人类最频繁和最重要的交流方式,网络使用人数的增长速度超出人们的想象,人们在享受数字化时代所带来的便捷的同时,却越来越担心自身系统或信息的稳定和安全,如何保护网络中信息的安全成为网络安全学科最热点的课题,目前我国的网络安全及技术方面正处于起步阶段,网络及信息安全产业发展滞后,网络安全科研和教育严重滞后,关键是网络安全人才的匮乏,而市场对网络安全的巨大需求使得社会对网络信息安全人才的需求在今后几年内将超过100万人,而国内只有少部分理工类高校建立了“网络安全”、“信息安全”等专业,网络安全人才的需求容量是无庸置疑的,就目前来看,网络信息安全已经形成一个产业,网络信息安全技术人才必将成为未来最热门的抢手人才。
网络安全领域已经成为一个综合、交叉的学科领域,网络安全涉及到网络通信、信息系统、数据等各个层面,它需要综合利用计算机技术、网络通信、电子电路技术、数学、物理等诸多学科的长期知识积累和最新研究成果,网络安全也是一个复杂的系统工程,它涉及到信息基础建设、网络与系统的构造、信息系统与业务应用系统的开发、信息安全的法律法规、安全管理体系等。
因此网络安全是网络通信应用领域安全防护问题的一门新兴的应用学科。
该学科交叉性多、边缘性强、应用面宽,是一个庞大的学科群体系。
建设一流的信息安全实训室是产学研相结合的一种重要形式。
不仅有利于科研、教学,而且有利于提高学生的动手能力,进而增强他们在就业中的竞争实力并拓宽就业渠道,从而树立学校在学术界和社会的良好品牌形象。
2.2建设网络实训室的必要性
对广州现代信息工程职业技术学院作为高等教育大学而言,核心的功能就是两个:
一个是科研,另一个是教学。
信息安全实训室的建设对这两个功能的实现和完善都具有重要意义,而且对提高学校的竞争力和学生的实践能力有重大的促进作用,有利于提升学校的品牌。
2.2.1信息安全实验室对提高教学水平意义重大
信息安全实训室的建设对提高教学水平的意义体现在两个方面:
一,增加了信息安全实验教学这门课;二,提高教师的教学水平。
首先,信息安全实训室的建设填补了安全课程实验教学的空白。
一般的工科院校都开办了网络工程的课,是教网络组网和路由方面的知识。
随着信息化技术的飞速发展,国内外的信息安全日益严峻,以及国家对信息安全越来越重视,很多学校也很想开设信息安全技术方面的课,但是有两个障碍使得现在还很少有学校可以开这门课。
一个是没有专业主流的安全设备,另一个是没有相应的信息安全实验教材。
所以建设信息安全实训室是解决这一问题的必由之路。
同时一流的优秀信息安全设备厂商提出的信息安全实训室方案还能提供信息安全实验的教材。
这样又解决了学校开信息安全课的另一大障碍,使得学校开设信息安全实验课成为现实。
其次,信息安全实训室的建设可以提高教师的教学水平。
信息安全实训室的建设极大地改善了信息安全实验教学的条件,可以让教师接触到许多前沿的安全知识和技术,开阔思路和眼界,这些都极大地提高了教师自身的信息安全技术方面的素养,正是有这样的前提,教师才能提高信息安全理论和应用方面的教学水平。
同时通过建设信息安全实训室,教师可以和一流的信息安全设备厂商保持密切的技术上的联系,从而及时跟进国际上最新最流行的信息安全技术,提高授课水平。
信息安全技术是理论和实践结合十分紧密的一门学问,只有在实验中,学生才能真正掌握课堂上学到的知识。
所以增加信息安全实验的授课可以极大地提高教学效果。
2.2.2信息安全实训室的建设对学生就业意义重大
高等教育是培养具有实际能力职业人才的地方。
根据现代的人才观念,真正的职业人才不仅仅具有知识,更要具有动手能力。
能力的培养需要课堂教育和实验实践相结合,这种趋势在IT领域的教育和就业中尤其明显。
IT技术人才市场,越来越关注技术人员的实际经验和动手操作能力。
学生也有迫切接触社会、提高工作技能的需求。
但目前,高等教育普遍存在着“理论能力较强、实践能力偏弱”的现象,究其原因并不是学校没有意识到实践的重要性,而是学校缺乏一整套完善的、标准的实验环境。
建成信息安全实训室后,这种状况将大为改观。
有了实验室后,学校就可以开信息安全实验课。
开了实验课,许多很难理解的理论,就可以通过做实验的方式让学生有个切身体会。
这样就可以大提高信息安全教学的质量。
同时,学生在做实验的过程中,不仅仅加深了对理论知识的理解,也有了亲身接触前沿主流安全设备的机会。
通过在信息安全实训室中的学习和实践,便得本校的学生具有扎实的理论基础和很强的实践动手能力,这些都是他们在将来的就业竞争中非常明显的竞争优势。
同时,也使学生在毕业时扩大了择业的范围,可以从事信息安全技术售后工程师、网络管理员等动手型技术类职业,就职于各网络系统集成公司;或成为各种类型单位或公司的安全专责;或从事信息安全风险评估、安全服务、安全咨询等高级专业人才,就职于专业的信息安全公司或国内外著名的咨询公司。
这些对于学校来说首先解决了学生的就业能力,对学生来说动手能力得到增强的都是具有现实意义的。
2.2.3信息安全实验室给科研带来的收益
信息安全实验室建成以后,学校还可以利用这个平台来开发各种应用性的研究。
目前,信息安全是热点,不仅我国今年要确确实实地落实安全等级保护,国外经济发达国家如美国也耗费巨大金钱进行“网络风暴II”演习,就是为了提高国民信息安全意识,提升信息安全建设水平。
仅广州为例,3月份广交会40多万外商资料网上售卖事件、各大楼盘住户资料网上售卖、4月份玫琳凯事件等等安全事件的发生,可以预见,信息安全是国民经济建设的一个重要保障。
比如说漏洞的发掘、最新病毒的解析等等应用,都是可以在信息安全实验室这个平台上实现的。
这些研究都是要借助于信息安全实验室这样的硬件平台的。
另外,安全是一个相当动态的学科,学校和主流的安全厂商合作,可以学习最新的信息安全技术,与安全动态及时接轨。
并且通过与主流安全厂商的合作,学校还可以和厂商联合搞专利技术向产业化转移的深度合作,可以和厂商共同研究安全设备的一些前沿课题,或者让通过安全设备解决最新的安全事件,可以承接社会、国家单位一些专业水平要求很高的安全评估、安全服务等项目,甚至可以承接社会、国家单位一些具有科研意义的项目。
2.2.4信息安全实验室给职业教育学术名声带来的收益
目前,各职业教育的院校均意识到信息安全教育的重要性,纷纷在建或考虑建设信息安全实验室。
但是由于信息安全是新兴的交叉学科,并且更新速度非常快,只有主流安全厂商才能跟得上安全技术的发展,但是他们因专注于安全技术的研发,对于技术没能及时转化为教材,各职教院校的信息安全多是以一门课程进行开设,未形成一套完整的专业体系,更遑论教材及其它。
因而学校选择与主流安全厂商合作,将安全厂商成熟先进的安全领域知识带到教学中来,将安全厂商多年积累的实训教材转换编写为适合职业教育的安全专业课程体系,并署以学校名义进行出版。
这样,将大大提升学校在职业教育界的学术名声。
2.2.5小结
综上所述,我们可以看出,建设信息安全实训室有以下意义。
1.填补了信息安全实验教学方面的空白;
2.极大改善信息安全实验教学的条件
3.具备了跟踪先进信息安全技术,开阔学生的思路和眼界,提高教学水平和教学质量;
4.在信息安全技术方向,为学院创新人才培养基地提供良好的教学与科研条件。
5.打造优势学科建设基地,通过先进信息安全理念的引进、新技术的采用,先进的实验室建设,提高学校的信息安全、计算机、通信等信息学科的学术地位,有助于高校建设优势学科,以先进的教学科研、实验环境,争取国家重点科研项目
因此,对于广州现代信息工程职业技术学院来说,信息安全实训室不仅要建,而且要马上建。
3.实验室建设需求分析
3.1目标对象
广州现代信息工程职业技术学院信息安全实验室主要为信息工程系从事信息安全教学、科研活动提供一整套实验环境。
实验室用于计算机网络、计算机软件和电子商务等三年制专业的二年级学生进行信息(网络)安全课程的学习,也可做信息安全的相关课题研究之用。
3.2教学意图和目的
学生通过在信息安全实验室的学习,能够观察,并且参与攻防实验的全过程,从而直观的了解到TCP/IP、系统和应用的脆弱性,了解常见的攻击方式,以及各类安全设备在其中起到的作用。
攻防实验课教学的目标的是使学生能够具备以下能力:
1.能够分析计算机网络、系统和应用存在的常见脆弱性,以及面临的主要安全威胁。
学会针对各种网络环境中存在的安全问题进行判断和分析
2.掌握网络和系统的各种安全防护手段。
3.学会调试和配置通用主流的商业防火墙、IDS、漏洞扫描设备。
3.3实验室建设原则
信息安全实验室建设必须遵循以下的建设原则:
1、多系统、多平台的原则
操作系统不安全是计算机网络与信息系统不安全的根本原因,所以必须得研究各平台上的各操作系统存在的不安全因素以及如何防范这些不安全因素。
2、试验设备多样性原则
非法者的入侵除了针对操作系统及各应用系统外,通常还通过对各种网络设备、安全设备进行攻击来达到非法入侵的目的;同时,非法者的自身网络也被许多的安全设备所保护着,所以无论是从了解网络安全行为、研究网络入侵防护手段,还是从如何加强信息系统防护的角度分析,都必须对各种网络设备、安全设备进行研究。
3、实验室网络系统自身的安全性原则
由于实验室网络与校园网有着紧密的联系,为了防止的不法人员的入侵,所以必须得保证安全实验室自身的安全性。
4、课件和知识库完善原则
网络安全实验室是提供网络安全研究课程教学、实验的环境,必须准备较完备的网络安全方面知识库和科学、合理、循序渐进的教材、课件、实验课程,才能更好教授学生网络安全方面知识,提供学生的网络安全知识水平和能力。
5、网络系统可扩展性原则
实验室的网络系统必须具有实用性,针对性,留有网络扩展的余地。
计算机网络及通信技术的发展速度极快,非法者入侵的手段是随之发展的,所以实验室网络系统必须具备极强的扩展性。
6、实验平台高可管理性原则
按照常规的网络规划方法,需要投入大量资金购买网络设备、应用软件。
如何提高有限设备的利用率是我们需要解决的问题。
所以实验测试环境怎样建立为一个高可管理性网络,怎样实现对网络设备、安全设备、操作系统、应用系统的自动配置,形成所需测试环境是我们要解决的重要问题。
理想的状况是在适当增加电脑终端和少量其他设备的情况下,可以同时开展5组以上的网络安全实验。
3.4实验室建设要求
总的来说,网络安全实验室是根据国际最新网络安全技术发展方向,国内院校对网络安全研究和教学的需求,以模块化、可配置实验平台为基础的一个集课件管理、工具管理、知识库管理、实验操作、过程分析为一体的解决方案。
方案具有以下特点:
●可扩展性极强的实验环境
●完善的课件、课程和实验条件
●多系统、多平台、实验设备多样
●跟踪国际最新网络安全技术发展
4.相关知识体系
4.1预备知识
●OSI协议基础
●TCP/IP协议簇
●UNIX/LINUX系统管理和配置
●WINDOS2000/2003系统管理和配置
●DOS系统命令
●关系型数据库原理和配置(MSSQL/ORACLE)
●SQL语言
●脚本语言编程(SHELL/PERL)
●路由器、交换机原理和基本操作(CISCO/HUAWEI)
4.2实验课相关的知识体系
●安全体系框架、安全标准和法律法规:
安全管理体系框架和相关的标准,安全系统管理体系的建设、运行及审核
●黑客攻击技术:
黑客攻击的一般过程及常见的方法,黑客常见的利用方式及应对措施
●Windows安全管理和配置:
Windows系统安全问题,常用服务安全配置方法和入侵防范措施,系统安全恢复措施
●UNIX安全管理和配置:
UNIX系统安全问题,常用服务安全配置方法和入侵防范措施,系统安全恢复措施
●密码学及应用:
密码原理及发展背景、相关加密技术及用途
●防火墙技术:
防火墙基本概念和术语、机制和结构以及配置原则
●入侵检测技术:
入侵检测技术的基本概念和原理、入侵检测的分析技术及部署、黑客入侵事件的分类
●漏洞扫描技术:
漏洞扫描原理,操作系统漏洞和网络协议漏洞产生原因
●数据库安全管理和配置:
数据库安全原理,SqlServer及Oracle数据库等常见数据库系统的安全配置
●Web应用安全:
WEB安全漏洞;典型的针对WEB安全漏洞的攻击
5.信息安全实验室设计
5.1总体设计
图1信息安全实验室总体设计
1、基础硬件平台:
开放基础硬件平台包含三个基本组成部分:
基础网络平台组件、安全实验设备组件、存储系统组件。
根据实验室不同的教学、研究、开发等业务提供一个全面的基础通讯硬件平台。
2.实验室业务支撑层:
面向实验室攻防教学和课题研究两个方向,该层面主要提供信息安全教材体系、安全知识资源库、师资培训及定期交流服务。
3.实验业务层面:
实验业务层面为最终的应用层,即实验室可以开展的相关业务,从实验室建设的阶段分析和长期发展趋势来看,基础教学培训、课题研究、行业应用研究都是必不可少的环节和应用内容。
4.实验室综合管理
实验室的管理不仅仅是简化实验员的操作过程,启明星辰的解决方案依靠路由器反向Telnet功能实现一组实验设备的集中控制外,更加注重实验室的业务层管理,包括实验室测试床管理、服务环境模拟、安全设备监控中心等内容。
详细内容请参考后续实验室设计内容。
5.2平台结构
图2信息安全实验室实验平台结构
信息安全实验室网络结构分教学实验区、公共服务区、服务器模拟区。
根据实际资金投入的情况可以划分其他的区域,例如:
边界环境模拟区、专线环境模拟区等,也可对已有的各个区域进行无限扩展,增加复杂度,提高可同时开展不同实验的数量,同时进行实验终端的数量。
5.3教学实验区
分学生实验组和教师实验组,原则上每组配套防火墙、IDS、漏洞扫描等安全设备。
安全设备的管理控制中心直接装在学生用的PC上,同时受公共服务区的安全设备监测服务区监控。
5.4公共服务区
●安全设备监测中心
实验环境的监测是为了捕获和分析网络安全实验过程的各种数据,主要由网络入侵检测系统、网络审计系统、防火墙、网络设备、操作系统、应用系统和数据库所提供的安全信息组成。
●测试床管理系统
测试床管理系统是用于对实验环境网络逻辑拓扑结构进行调整和配置的软件系统,通过在配置管理系统中预置的各种预定义策略,对测试床的网络结构和配置进行调整,使之改变逻辑结构,能够模拟不同的网络系统,使各种信息系统安全模拟实验可以在系统上运行。
实验环境配置管理系统的功能主要是提供一个集中的远程配置管理系统,通过调用这个配置管理系统,可以实现对目标设备的配置。
●安全知识库
对于网络安全实验室所需要的安全漏洞信息和安全防护和攻击工具,建议采购成熟的漏洞资源库系统。
漏洞信息资源库,以下简称漏洞库系统,是一套能够有效地管理漏洞和攻击方法的漏洞信息管理系统。
系统全面符合CNCVE(即中国漏洞库规范)标准。
利用该系统不仅可以通过各种攻击工具了解黑客入侵的方法手段,而且能够在攻击分析中的利用技术漏洞与社会工程、行为模式与隐蔽方式等关系,全面对付黑客入侵。
积极的防御工具也能在一定条件下对入侵进行防护和追踪。
5.5服务环境模拟区
服务环境模拟区的网络环境比较简单,但是操作系统、应用系统和数据类型比较多,而且使用了支撑sanboot技术的存储系统实现服务器的高可用性,并可模拟多种应用环境。
Sanboot实现
SANboot技术为系统的可用性及可靠性的提高提供了另一种途径,这种提高是建立在外部磁盘的性能及可靠性均明显高于普通SCSI磁盘的基础上的。
同时,由于SNAboot技术是将系统安装至外部磁盘中,为系统的迁移及快速恢复也提供了有力的保证。
图4sanboot实现原理
说明:
Ø要通过sanboot技术实现服务环境模拟区的高可用性,首先需要配置各个操作系统支撑sanboot,也就是bootfromsan
Ø所有模拟主机或服务器都需要安装HBA卡
Ø在光纤磁盘阵列中预先安装好各种想要使用的系统,如上图:
同样是solaris系统可能需要安装solaris+weblogic、solaris+apache、solaris+wehsphere等等。
Ø这样主机系统只要作为一个基本系统平台,各种应用通过sanboot切换,从光纤磁盘阵列中调去。
5.6课程设计
课程的内容应该包括“相关知识体系”中“实验课相关的知识体系”的内容,其中的实验课程至少包括以下三个方面:
实验课程名称
课程意图
课程主要成分
网络系统脆弱性
掌握网络安全存在的根本原因
1.常用的协议介绍,脆弱性分析
2.与平台相关的协议及脆弱性分析
3.05年cncve的漏洞描述、分析和验证
安全技术应用
认识网络安全包括的领域、技术;掌握常见网络安全产品的使用和操作
1.了解网络安全的发展历程
2.掌握安全技术的分类,作用,主要技术指标
3.掌握防火墙、网络入侵检测和防护系统、网络扫描器等的使用和操作
黑客攻击技术
各种黑客攻击行为的特征了解当前流行的网络安全防护和攻击技术
1.掌握黑客攻击的一般过程。
2.了解Sql注入攻击和防护研究、ddos攻击和防护研究、扫描攻击和防护研究、后门木马攻击和防护研究、溢出攻击和防护研究、google类攻击和防护研究等。
课件可包括教材、讲义(PPT)、实验手册等。
6.信息安全实验室管理
6.1实验室组织结构
实验室的一般组织结构如下图
信息工程系
实验室主任
实验室副主任
基础实验负责教师
网络攻防负责教师
实验室实验员
安全研发负责教师
新技术负责教师
图6信息安全专业实验室组织示意图
●实验室主任:
负责实验全面工作,重点负责实验室对外和对信息工程学院负责;
●实验室副主任:
负责组织实验室具体工作,安排实验课、协调内部人员工作等,对实验室主任负责;
●基础实验负责教师:
负责信息安全基础相关实验课的上课任务,对实验室副主任和信息工程学院负责;
●网络攻防负责教师:
负责信网络攻防相关实验课的上课任务,对实验室副主任和信息工程学院负责;
●新技术负责教师:
负责新技术相关实验课的上课任务,对实验室副主任和信息工程学院负责;
●安全研发负责教师:
负责信息安全研发相关实验课的上课任务,对实验室副主任和信息工程学院负责;
●实验室实验员:
负责日常实验室考勤、卫生等服务性事务。
6.2实验室的运营
1.网络安全实验室的日常管理:
网络安全实验室服务模拟区的服务器包括多种操作系统,支撑sanboot技术,可以灵活实现同种基本操作系统不同应用系统之间的切换。
因此,维护人员的日常维护工作主要有两个部分:
一、对windows、linux、aix、solaris、freebsd、hp-unix工作站的基本操作系统进行维护;
二、根据需求在光纤磁盘阵列中的操作系统镜像中安装维护不同的应用系统。
其中,对基本操作系统一般是不允许做随意改动的。
2.系统安全性
由于网络安全实验室与校园网络有接口,所以在没有对系统进行必要加固之前是存在一定的安全隐患。
建议使用防火墙进行安全隔离。
3.与其他系统的设备复用
网络安全实验室在对各种信息系统工作环境做模拟攻击的时候,需要使用到实验环境的各个组件。
通过策略服务器的统一配置,这些组件
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 广州 现代 信息 工程 职业技术学院 工程系 安全 实训室 建设 方案