信息安全虚拟化实训云平台综合实验室解决方案 - 图文

更新时间:2024-01-16 05:04:01 阅读量: 教育文库 文档下载

说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。

信息安全虚拟化实训云平台 综合实验室解决方案

上海盾联信息技术有限公司

2014年3月

目录 一、

1、

需求分析 ......................................................................................................................................................... 2 管理服务人才的需求 ............................................................................................................................... 2 1.1 信息安全人才需求分析 ..................................................................................................................... 2 1.2 信息安全人才培养面临的问题 ........................................................................................................ 3 1.3 信息安全专业需求分析 ..................................................................................................................... 4 1.4 信息安全实验室的意义 ..................................................................................................................... 5 2、 3、 4、 二、 三、

1、 2、 3、 4、 四、

1、 2、 3、 五、

网络信息安全实施人才的需求。 .......................................................................................................... 5 系统防护和安全应急响应人才的需求。 .............................................................................................. 5 网络信息安全培训人才的需求。 .......................................................................................................... 5 国内国外发展现状 ........................................................................................................................................ 6 现有基础状况 ................................................................................................................................................ 7 思维方式问题............................................................................................................................................ 7 理论过多问题............................................................................................................................................ 7 实践过少问题............................................................................................................................................ 7 建设网络攻防实验室的难点................................................................................................................... 7 建设目标 ......................................................................................................................................................... 9 以理论学习为基础,结合最全面最专业的实训 ................................................................................. 9 教、学、练一体化信息安全实训平台 .................................................................................................. 9 自主创新,因地制宜 ............................................................................................................................... 9 建设内容 ...................................................................................................................................................... 11 1、基础网络搭建实验室建设内容: ............................................................................................................... 11 2、信息安全实验室建设内容 ............................................................................................................................ 20 六、

建设步骤 ...................................................................................................................................................... 31 1、基础网络实验室建设 .................................................................................................................................... 31 2、信息安全教学实训平台建设........................................................................................................................ 31 3、信息安全对抗平台建设 ................................................................................................................................ 31 4、信息安全技术知识库建设 ............................................................................................................................ 31 5、信息安全技术研究能力建设........................................................................................................................ 32 6、信息安全实验室扩展建设 ............................................................................................................................ 33 七、信息安全实验室实施方案 .................................................................................................................................... 36

1、部署示意图 ..................................................................................................................................................... 36

1.1实验室布局 ......................................................................................................................................... 36 1.2实验室设备安装和布线示意图 ...................................................................................................... 37 2、部署实施建议................................................................................................................................................. 40

2.1 信息安全实验室基本实施 .............................................................................................................. 40 2.2 评测工具区实施................................................................................................................................ 40 2.3 评测工作区实施................................................................................................................................ 40 2.4 评测接入区实施................................................................................................................................ 41 3、实施计划 ......................................................................................................................................................... 41

3.1 项目实施说明 .................................................................................................................................... 41

3.2 实施时间表 ........................................................................................................................................ 41

八、费用预算 ................................................................................................................................................................. 43 附录 参考标准 ............................................................................................................................................................... 44

一、 需求分析

信息化在带来巨大发展机遇的同时也带来了严峻的挑战,防止各种信息泄密、黑客攻击等行为的信息安全人才的短缺就是严峻的挑战之一。相对于已初步形成的专业信息安全领域以及信息化建设和信息安全产业发展速度而言,各个行业的信息安全人才培养机制和手段显得非常匮乏。目前各个行业信息安全专业人才的需求包括了多个层次和多个方面,我们认为大体可以分为以下几种类型:

1、 管理服务人才的需求

这种需求目前是广大企事业单位和政府部门的主要需求。信息安全管理服务人才是一种复合型和应用型的人才,不仅需要具备一定信息安全技术能力,能够正确使用、配置、维护常规的信息安全设备,还必须具有一定的管理和法律知识,并且拥有丰富的信息安全经验,能正确规划、实施和维护信息系统的安全保障体系。

1.1 信息安全人才需求分析

信息化在带来巨大发展机遇的同时也带来了严峻的挑战,防止各种信息泄密、黑客攻击等行为的信息安全人才的短缺就是严峻的挑战之一。相对于已初步形成的专业信息安全领域以及信息化建设和信息安全产业发展速度而言,各个行业的信息安全人才培养机制和手段显得非常匮乏。目前各个行业信息安全专业人才的需求包括了多个层次和多个方面,我们认为大体可以分为以下几种类型:

1.1.1 第一类是对管理服务人才的需求

这种需求目前是广大企事业单位和政府部门的主要需求。信息安全管理服务人才是一种复合型和应用型的人才,不仅需要具备一定信息安全技术能力,能够正确使用、配置、维护常规的信息安全设备,还必须具有一定的管理和法律知识,并且拥有丰富的信息安全经验,能正确规划、实施和维护信息系统的安全保障体系。

1.1.2 第二类是对网络信息安全实施人才的需求

这种需求通常来源于安全产品提供商、系统集成服务商。信息安全技术开发人才要求具备良好的信息安全基础知识,具有较强的动手实践能力,能够严格按照实施方案完成安全设备部署。

1.1.3 第三类是对系统防护和安全应急响应人才的需求

这方面的人才要求具有良好的学术功底,具备扎实的学科理论基础知识,能系统深入地掌

握密码学、安全协议、安全体系结构、信息对抗、网络安全等信息安全理论和方法以及熟练的产品设计开发能力。

1.1.4 第四类是网络信息安全培训人才的需求 这种需求主要来源于高等院校和各种培训机构。

1.2 信息安全人才培养面临的问题

随着信息化进程的深入和互联网的迅速发展,人们的工作、学习和生活方式正在发生巨大变化,效率大为提高,信息资源得到最大程度的共享。但是与此同时以各种各样黑客技术为基础的黑色产业链诞生了,网络安全的需求也随之而来,无论是厂家、开发商,还是用户,都对这种需求明确了,网络安全开始作为独立的部分迎来越来越多企业的重视。

中国黑色产业链的飞速发展带来的另一现象是,网络安全人才匮乏到一个相当严重的地步,人才的培育至少滞后于社会需求5到10年。

计算机拥有多种角色属性,承载着传输、处理、存储等复杂的业务应用。因此计算机所面临的安全问题是纷繁多样的,并且由于网络应用的大规模普及,导致存在于任何一个计算机的安全问题都可能威胁到整个信息网络的安全。然而长时间以来,各类计算机使用者,很少了解到计算机所面临的安全威胁,也很少有学校,企业能够提供对计算机安全培训的环境,使得大多数人无法真正了解到计算机的安全隐患,也无法对计算机存在的安全隐患进行防御。

在一个已经部署防毒软件、防火墙、IDS、VPN等传统信息安全产品的网络环境中,很少有人清晰的知道这些安全产品的作用,以及能够为计算机安全所带来的保障,严重匮乏的教学和培训环境,让很多学校以及企业感到无从着手,无力进行计算机安全的培训教育,而且网络安全的培训不是书本知识,必须是靠知识和经验的积累,有经验的高手在这个市场里可以更有作为,对于面临的一下问题也无法解决:

问题一

如何更加有效的教育,培训学员在计算机安全方面的知识匮乏; 问题二

怎样的教学,培训方式才能让学员更加快捷,高效的学习计算机安全方面的知识; 问题三

什么样的教学,培训环境才能让学员更容易,积极的学习计算机安全方面的知识,增强计算机安全意识。

问题四

如何才能让学生在学校的安全课程培训期间就获得丰富的网络组建、信息安全的经验。

1.3 信息安全专业需求分析

信息安全专业的就业方向主要包括公安局信息监查、网站、病毒杀毒公司以及涉及信息安全的地方,比如电信、网通的技术安全维护部门,政府各个重要部门的网络安全监测部门等。

信息安全专业是我国高等院校自2010年起顺应当代信息技术发展需要开设的新兴本科专业。该专业培养掌握计算机技术和信息安全技术的复合型人才,经过培养,使学生在计算机系统安全方面具有较强的能力,能运用所学知识开发安全的信息系统,或运用、管理和维护安全的信息系统,为在今后的工作中对抗黑客攻击、保护信息网络空间的安全和打击计算机犯罪打下扎实的基础。

信息安全的概念在本世纪经历了一个漫长的历史阶段,90年代以来得到了深化。进入21世纪,随着信息技术的不断发展,信息安全问题也日显突出。如何确保信息系统的安全已成为全社会关注的问题。国际上对于信息安全的研究起步较早,投入力度大,已取得了许多成果,并得以推广应用。

信息安全专业,具有全面的信息安全专业知识,使得学生有较宽的知识面和进一步发展的基本能力;加强学科所要求的基本修养,使学生具有本学科科学研究所需的基本素质,为学生今后的发展、创新打下良好的基础;使学生具有较强的应用能力,具有应用已掌握的基本知识解决实际应用问题的能力,不断增强系统的应用、开发以及不断获取新知识的能力。努力使学生既有扎实的理论基础,又有较强的应用能力;既可以承担实际系统的开发,又可进行科学研究。

目前,我国高校开设的信息安全专业学习的专业基础和专业课主要有:高等数学、线性代数、计算方法、概率论与数理统计、计算机与算法初步、C++语言程序设计、数据结构与算法、计算机原理与汇编语言、数据库原理、操作系统、大学物理、集合与图论、代数与逻辑、密码学原理、编码理论、信息论基础、信息安全体系结构、软件工程、数字逻辑、计算机网络等。

除上述专业课外还开设了大量专业选修课,主要有:数据通信原理、信息安全概论、计算机网络安全管理、数字鉴别及认证系统、网络安全检测与防范技术、防火墙技术、入侵检测与防护、病毒机制与防护技术、网络安全协议与标准、操作系统安全、网络应用服务安全、安全应用及设计、安全体系、PKI、访问控制、安全协议、VPN等。学生除要完成信息安全体系不同层次上的各种实验和课程设计外,还将在毕业设计中接受严格训练,例如完成网络攻击、计算机病毒、身份认证、访问控制、信息隐藏、加密通信、安全操作系统、防火墙操作、入侵检测、网络扫描、协议分析等安全实验。

1.4 信息安全实验室的意义

1.4.1 实验室对学校的意义

信息安全实验室的建设对学校科研、教学的实现和完善具有重要意义; 促进产学研一体化、促进科研成果转化并最终成为生产力; 提高学校的竞争力和学生的实践能力; 有利于提升学校的品牌。 1.4.2 实验室对教师的意义

实验室提供更多的真实设备,便于老师备课和实验指导; 实验室方便教师对学员实验过程进行把控,提升教学质量;

实验室提供管理机,使老师便于对学生实验的管理,使教学效率提高; 实验室可以提供对各类竞赛的支持。 1.4.3 实验室对学生的意义

信息安全实验室提供了真实的网络环境,可以让学生亲自搭建网络、亲自动手调试、配置网络,进行安全实验,从而让学生直观、全方位了解各种网络设备和应用环境,真正加深对网络原理、协议、标准的认识;

通过信息安全实验室的学习,真正提高了学生的信息安全技能和实战能力;

同时,也使学生在毕业时扩大了择业的范围,可以从事网络技术工程师、网络管理员、信息安全工程师、安全管理员等网络技术类职业。

2、 网络信息安全实施人才的需求。

这种需求通常来源于安全产品提供商、系统集成服务商。信息安全技术开发人才要求具备良好的信息安全基础知识,具有较强的动手实践能力,能够严格按照实施方案完成安全设备部署。

3、 系统防护和安全应急响应人才的需求。

这方面的人才要求具有良好的学术功底,具备扎实的学科理论基础知识,能系统深入地掌握密码学、安全协议、安全体系结构、信息对抗、网络安全等信息安全理论和方法以及熟练的产品设计开发能力。

4、 网络信息安全培训人才的需求。

这种需求主要来源于高等院校和各种培训机构。

二、 国内国外发展现状

信息安全是我国高等院校自2010年起顺应当代信息技术发展需要开设的新兴本科专业。该方向培养掌握计算机技术和信息安全技术的复合型人才,经过培养,使学生在计算机系统安全方面具有较强的能力,能运用所学知识开发安全的信息系统,或运用、管理和维护安全的信息系统,为在今后的工作中对抗黑客攻击、保护信息网络空间的安全和打击计算机犯罪打下扎实的基础。信息安全方向的就业方向主要包括公安局信息监查、网站、病毒杀毒公司以及涉及信息安全的地方,比如电信、网通的技术安全维护部门,政府各个重要部门的网络安全监测部门等。

基于信息安全知识的综合性、应用性和工程性,从丰富信息安全类课程的教学手段及人才培养的角度出发,建设信息安全攻防实验室都是非常有必要的。一方面,能为日常信息安全教学工作提供良好的实验、演示环境;另外一个方面能够提供一个安全攻防的实践环境,让能让学生实际了解到业内主流安全设备的应用;同时,使用业内最开放设计的安全攻防平台可以应用于风险评估、系统安全测评、安卓自动化测试、云平台设计、综合实训平台开发、SDN开发、可信网络开发、信息安全产品开发等各类科研领域。

“没有对抗就没有成长,在对抗中学习信息安全技术!”这已经是信息安全教学的一种新模式,正是基于此模式,信息安全实验室以培养学生兴趣为前提,在对抗中培训学生的实际操作能力,结合实际的安全设备的配置能力,使学生能够快速就业。

三、 现有基础状况

信息安全事件层出不穷,从各类信用卡数据泄露、网络用户数据库泄露到棱镜门事件,信息安全事件的影响越来越大,信息安全问题已经不仅是个人和企业问题,同时已经上升到了国家安全问题。

同时,新型的攻击方式层次不穷,以APT攻击(高级持续性威胁,Advanced Persistent Threat)为例。APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。

传统的信息安全教学过程中,普遍存在以下几类问题:

1、 思维方式问题

信息安全不同于其他学科,由于攻击方式多种多样,信息安全要求与其他专业一样的从全局到局部的信息安全意识;但是由于需要针对不同攻击方式进行不同的处理方式,因此信息安全又强调独特的黑客思维,魔高一尺,道高一丈。而传统的信息安全教学过程,一般仅强调第一种意识,而不考虑第二种意识。

2、 理论过多问题

信息安全对理论要求较高,过多的理论强烈的压抑了学生的学习兴趣,而理论过多同样带来了课程体系设计比较难的问题,学生的评价体系问题等等。

3、 实践过少问题

传统的信息安全教学过于追求知识的系统性和完整性,较多地存在着重理论、轻实践的问题。而信息安全学科不仅强调理论基础,同时要求学生有很高的动手能力。信息安全项目是系统工程(木桶原理,信息安全项目的安全程度取决于其分子项目的最短板),实践训练过少不利于学生理解整体的安全架构,从而站在信息安全项目的项目质量。

4、 建设网络攻防实验室的难点

网络攻防在信息安全教学当中占据相当重要的地位,但作为教学者来看,开展相关的实验却遇到了很多难点,只要我想法克服相关的困难才能使们实验教学更上一个层次,目前主

要面临的问题如下:

1)、建设成本

网络攻防实验需要真实的环境,开展实验需要大量的网络设备(路由、交换机、防火墙等)及服务器设备,在国内目前形成一个大规模的真实的实验室,付出的成本是非常的昂贵,所以经费是目前网络攻防实验室第一个难点;

2)、网络攻击分析与评估

网络攻防实验,是一个不太容易被可视化的实验,往往在做实验当中难以评估学生的学习情况,比如攻击实时监控、攻防手段分析等,所以攻击分析及攻击相关的评估对一个教学者来说,是非常的重要,攻防的效果评估,分析也成为了一个实验难点;

3)、真实的被攻击环境灵活度

网络攻击往往需要一个真实而复杂的环境,实学生有效的练习攻防手段,现很多学生经常对校院网、对社会真实的网络环境进行攻防,从而带来了一定的法律风险,但对于实验室来讲,布置一个真实复杂的网络环境,前期准备工作需要大量的时间,所以实验环境的准备也是一个难点,能否图形化、智能化的通过一个人机界面准备实验环境,并且可以灵活性的改变目标环境,对于网络攻防实验至关重要。

2.2实验室建设思路

实验建设思路一方面要考虑建设成本,另一方面更要考虑实验环境准备和攻击评估;我们通过多年的调研,建议学校采用软硬件结合的方式,来建设性价比相对合理的实验平台;在硬件方面,采用云计算技术,可大规模生成网络设备及服务器设备,且可以在一个人机界面下,以拖拽的形式增加或减少网络设备和主机,并能对设备进行配置。

一方面提升了网络环境的复杂性,使实验环境更加的真实,另一方面采用后台有着强大分析功能的系统,可对攻防过程,攻击结果、攻防次数、攻防的手段进行实时的分析,并可以以图表形式展现出来,并对现有的服务器环境进行评估,评估网络环境安全性能;

从实验层面考虑,最好以循序渐进方法来进行实验,从练兵,到任务,到真实演练,至最后的网络对抗,从入门到深入,从攻到防,从防到科研的方式来进行实验.

四、 建设目标

1、 以理论学习为基础,结合最全面最专业的实训

以理论学习为基础,结合最全面最专业的实训,增加学生对信息安全诸多领域的深入理解,为解决学生就业提供坚实的技术基础。神州数码信息安全虚拟化实训云平台提供多个方面的实验、实训及工程实践,涵盖多层次的实验操作,以真实环境的真实案例为操作指南,贴近实际岗位能力要求。同时,配有强大的实验管理系统,能够为信息安全教学及科研提供一个完整的、一体化的实验教学环境。

1、通过思路优化和实训平台新建与整合,完成网络信息安全运维人才需求的计算机网络,信息安全基础,信息安全设备调试与原理等相关的全套教学流程实训平台支持;

2、同时完成系统集成沙盘、创新实训基地项目的设计与建设工作,满足学生网络系统集成通用的基础知识,企业实践知识与项目式教学的通用实训平台支持。

3、满足计算机网络技术专业,软件技术专业,信息安全专业,电子信息类专业在计算机网络技术,网络系统集成,信息安全方面课程的教学和企业项目实践实训需求

4、满足工业与信息化产业部NSACE和中国信息安全测评中心CISP计算机网络信息安全工程师,信息系统管理工程师,系统集成项目工程师,网络工程师,国家劳动与社会保障厅网络管理员,国际认证CISSP安全认证工程师等国家职业鉴定,企业行业等认证。

2、 教、学、练一体化信息安全实训平台

利用实验平台资源,搭建信息安全教学实训平台,将理论教学与实训教学融为一体,让学生在做中学,学中做,将教学与实训紧密结合,不断提高学习技能,获得能力。 基于教学流程设计,更加贴近教学需求 提高教学及实验管理效率; 贴合教学需求的重视管理的阶段。 教学和实验能够更方便灵活的调用; 更全面的教学、实验全流程管理; 提供远程多人学习、协同实验等需求成为新 一代实验室建设时更加看重的管理要素。

3、 自主创新,因地制宜

提供独立、高效的信息化教学和实验环

境采用教学和实验平台完全融合的架构; 自动加载课程所需环境,教学快捷方便;

实验数据在内部虚拟化系统传输,从而从最大程度上保证了信息化教学的安全,不会受外部网络环境造成影响。

五、 建设内容

1、基础网络搭建实验室建设内容:

北京信息技术有限公司通过多年在教育行业的观察和建设发现,国内高校、职教的基础网络实验室大体上经历了三个阶段:

第一代的网络实验室主要是以分散性实验室为主。这一阶段的网络实验的特点就是网络设备全都堆在试验台上,设备console口直接连接到PC上进行调试。这样的优点在于拓扑结构直观、实验效果明显。但是随着设备的不断使用,其弊端也日益凸显出来:设备管理难度大,每次课堂实验完成后,管理员/教师就要花费很大的精力去登陆到每一台设备上去清除配置,恢复出厂状态,维护的工作量很大;学生在做实验的时候无数次的插拔设备的console口,也造成了设备极大的耗损,大大降低了设备的使用寿命;并且在整个实验室的布局上面受到了很大的限制,设备只能近距离的布置在PC和学生身边。

随着第一代实验室的问题日益严重,渐渐就出现了能够对设备进行“一键清除”的实验室管理设备。伴随各个厂商的推广,国内院校的基础网络实验室就逐渐发展了第二阶段,我们称之为“分步控制型网络实验室”。

较第一代基础网络实验室的变化就是该类实验室出现了实验室管理设备,该设备普遍采用路由器+8口(16口)异步卡形式,加载一定的软件程序,可做到对单组设备进行一定的

控制。具备对设备的‘一键清’功能,在一定程度上实现了对设备的管理,减轻了实验室管理员/教师的维护工作量。从布局上来说,也改变了传统的受空间位置限制的布局模式,在一定程度上也减少了设备的损耗,特别是console口的损耗。但是这种实验室还是存在两个最大的弊端:一是这种管理设备是经过路由器来改造的,其性能受路由器的性能限制,管理功能较弱,设备造价成本较高,只能控制单组设备,不能实现整个实验室所有设备的统一管理。

随着国内高校网络实验室的不断发展,截止到目前第三代网络实验室已经渐进雏形。这个阶段的实验室主要是要求对整个实验室的资源进行统一的管理和维护,我们称之为“统一管理型网络实验室”。

对此,信息技术有限公司在总结前几代网络实验室的优缺点、不断征集国内各个高校一线教师的意见之后,提出了采用串口控制服务器+统一管理平台模式的解决方案。结合实验室各方面需求,推出网络信息安全实验室管理系统ISLMS。ISLMS在整个实验室采用物理旁路、逻辑干路的组网方式:在物理连接上,网络实验室管理平台采用旁路的方式;在逻辑访问控制上,网络实验室管理平台采用干路方式,即访问实验设备的数据流要由此设备进行转发。统一的使用浏览器进行登陆操作,同时实现了对实验设备、教学课程、实验过程、实验成果、实验人员等综合的管理;许多人性化管理功能的设计,更方便教学使用;减少了设备的损耗;可开发性和可拓展性较强。

ISLMS功能特性

网络实验室配套管理系统ISLMS,该系统是专为实验室用户研制开发的产品。ISLMS是一款基于WEB的远程网络实验室管理平台,用来更方便的管理设备、辅助教学。该管理平台提供网络实验室设备的集中、可视化统一拓扑图、图形化管理及丰富的基于各种具体环境的“一键恢复”功能,方便管理;提供远程模拟串口登陆设备功能,满足学习的需要;结合实验室拓扑连接器,可以做到所见即所得的网络拓扑,只需点击鼠标即可搭建真实的网络拓扑环境,而不需手动的去插拔网线;提供针对不同类型的用户分配不同的使用和管理权限;提供多人共享同一台设备,以小组方式学习的功能,同时教师还可以实时中断、接入学生的操作,用来指导;内置丰富、详尽的网络实验教学课程,教师可根据需要对课程进行调度,加载相应的实验课程和实验拓扑给学生,通过调度,学生只学习到教师所调度的课程;还提供系统的管理、维护、运行状态实时统计更新;支持学生电子报告功能;针对不同类型的设备灵活的关键命令过滤功能。

所有用户(管理员、教师、学生)的操作统一到一套系统上,即全部用户面对的只有一个ISLMS;所有用户只需要在浏览器中输入ISLMS服务器的IP地址,输入相应的用户名和密码,即可以获得不同的用户权限。管理员和老师可对网络实验室和实验组进行管理;学生在网络中的任何位置打开统一的网页,即可根据提示进入所要调试的设备中;如果条件允

许,将系统连接到校园网或者公共网络当中,在网络实验室设备开启的前提下,教师和学生可通过PC、Pad、手机等终端对设备进行访问和调试,最大限度的利用现有的实验室资源。

网络实验室整体框架结构

网络实验室逻辑访问图

灵活直观的图形化界面

系统采用B/S架构,所有用户通过浏览器和IP地址,登陆到系统中来。教师和管理员通过web界面管理实验室内的所能看到的一切物理和逻辑上的资源,包括人员、设备、课程、实验报告等资源。学生用户则通过登陆平台系统进行学习相应的课程、调试设备、提交报告等。

每个实验台的设备和连接的拓扑关系图形化显示。教师或管理员在后台根据实验室实际网络设备环境和教学需求任意搭建拓扑,所见即所得,学生账户登陆,只需鼠标点击拓扑中的网络设备图标即可登陆到相应实验组内的设备。无需再去插拔console线和网线。

分组教学,团队合作完成实验任务

通过独立的分组设计,组与组之间的成员不会相互干涉,相对对立,避免了组与组之间的成员误操作或者恶意操作带来的危害。这种独立是相对的,管理员可以在实验室中心交换机上来解除访问控制,让组与组的成员能够访问到对方的CCM,组成更大的实验组进行综合实验。

多用户同时访问

多用户同时访问一台设备,做到屏幕监控和协作学习,系统连接的每一台网络设备允许多个学生同时访问,第一个进入设备的学生自动获得“写”权限,其他学生进入只能获得

“读”权限。教师拥有最高的权限,随时可以查看每一台网络设备的配置情况,同时也可以收回“写”权限,即时指导教学。

“一键恢复”功能和场景配置

在教师管理机的网页上,可方便的对全网、某实验室、某实验台上所有实验设备,或者单台实验设备,或者选中的一组设备,进行“一键恢复”功能。可通过选择,恢复成出厂配置,也可恢复成“指定配置”,指定配置是需要管理员/教师预先将配置脚本在ISLMS中设置好的,如果没有配置则默认为出厂配置。

在进行排错课程的时候,教师可以使用该功能将预先定义的配置分发到每组设备中,由学生进行修正。

查询统计功能

查看当前设备的运行状态、设备使用情况、学生在线情况、学生考勤、操作日志、命令日志等功能。 易用性

组内设备自由组合,无需反复拔插配置口就能访问到组内所有设备。采用这种实验台的设计,学生在做实验时就可以不用插拔配置线,而是通过访问控制服务器对网络设备进行实验操作,不仅可以让学生集中精力做实验,大大提高了实验教学的效率和秩序,方便老师对实验过程进行管理、监督、检验;同时也大大降低了由于传统实验形式下插拔配置线带来过高的硬件端口损坏率。

灵活的扩展性

模块化的实验组设计给实验室带来扩展上的极大方便,由于场地问题物理实验组不能无限制增加,但是多个逻辑组可以组成综合实验组,公用1台CCM。另外,CCM具有16口、24口、32口不同规格的产品形态,可以满足不同规模的实验室需求。

在线学生的用户列表显示,哪些学生当前在哪个实验室、哪个实验台、哪个设备上做实验,一目了然。对在线学生的操作进行实时查看,实时指导,可对选定的学生,查看其对设备操作的过程,并可进行指导。 安全控制

所有人无法直接访问CCM,必须经过管理控制中心做映射和数据安全转换; 所有用户必须经过身份认证才可进行系统; 通过https加密访问。 自动作业提交

学生进行实验之后,可以通过提交实验报告,将实验结果上传到服务器中,老师可以提取学生的作业,进行批改。

全真模拟现实配置环境、多种配置的学习功能

可在学生的web页面中,单击设备后,选择真实的超级终端的配置功能,只需鼠标一点轻松实现真实的超级终端串口配置练习环境。

可在学生的web页面中,单击设备后,选择telnet方式模拟超级终端的配置功能。 可在学生的web页面中,单击设备后,选择设备本身的web配置功能。 危险命令过滤

为防止学生对设备进行不可逆转的操作,保护设备,可以提供危险命令过滤功能,使这些危险命令不能生效。并且危险命令可以由管理员任意配置,同时还支持对危险命令的特殊参数不阻塞的功能。

推荐网络实验室实训清单:

交换实验:

实验一、 实验二、 实验三、 实验四、 实验五、 实验六、 实验七、 实验八、 实验九、

认识交换机,交换机带外管理 熟悉交换机的各种配置模式 熟悉交换机的CLI界面调试技巧 交换机恢复出厂设置及其基本配置 使用telnet方式管理交换机 使用Web方式管理交换机 交换机文件备份

交换机系统升级和文件还原 密码丢失的解决方法

实验十、 BootRom下的升级配置

实验十一、 交换机simplex堆叠实验 实验十二、 交换机duplex堆叠实验 实验十三、 交换机super堆叠实验 实验十四、 VLAN的划分实验

实验十五、 跨交换机相同VLAN间通信 实验十六、 公用端口实验 实验十七、 私有VLAN实验

实验十八、 端口和MAC地址绑定实验(静态、动态两种方式) 实验十九、 配置MAC地址表实现Mac地址绑定与过滤 实验二十、 交换机MAC与IP的绑定 实验二十一、 实验二十二、 实验二十三、 实验二十四、

生成树和快速生成树实验

链路聚合实验(静、动态两种方式) 端口镜像

IEEE802.1X的端口认证实验(需radius服务器)

路由实验:

实验一、 实验二、 实验三、 实验四、 实验五、 实验六、 实验七、 实验八、 实验九、 实验十、

路由器接口简介 路由器的管理方式 路由器的基本配置 配置文件上传下载 路由器的系统升级

路由器广域网HDLC封装配置 路由器广域网PPP基础配置 路由器静态路由配置 RIP-1路由协议配置 RIP-2路由协议的基本配置

实验十一、 静态路由引入配置 实验十二、 直连路由引入配置

实验十三、 OSPF路由协议单区域基本配置 实验十四、 路由器广域网PPP封装PAP配置 实验十五、 路由器广域网PPP封装CHAP配置

高端交换组

可以实现的实验: 实验一、 认识三层交换机

实验二、 多层交换机VLAN的划分和VLAN间路由 实验三、 使用多层交换机实现二层交换机VLAN之间的路由 实验四、 核心交换机静态路由 实验五、 三层交换机RIP动态路由 实验六、 三层交换机OSPF动态路由 实验七、 三层交换机标准编号ACL 实验八、 三层交换机标准命名ACL 实验九、 三层交换机扩展编号ACL 实验十、 三层交换机扩展命名ACL 实验十一、 交换机单向访问控制的实现 实验十二、 使用ACL过滤特定病毒报文 实验十三、 交换机实现DHCP服务器的配置 实验十四、 交换机实现DHCP中继的配置 实验十五、 交换机HSRP实验 实验十六、 交换机VRRP实验 实验十七、 交换机组播PIM-DM实验 实验十八、 交换机组播DVMRP 实验十九、 实验交换机Q0S实验 高端路由组 可以实现的实验: 实验一、 实验二、 实验三、 实验四、 实验五、 实验六、 实验七、 实验八、 实验九、 实验十、

路由器广域网FR基础封装配置 帧中继交换机的配置 路由器广域网X.25封装配置 通过modem拨出访问internet 通过ISDN访问internet

OSPF路由协议NBMA的网络配置 CE1/UE1的配置

RIP-2路由协议邻居认证实验 RIP-2路由协议定时器配置 RIP-2路由协议单播路由更新配置

实验十一、 RIP-2路由协议NBMA的网络配置

实验十二、 RIP协议环路避免的几种方法实验 实验十三、 OSPF路由协议多区域基本配置

实验十四、 OSPF路由协议NBMA点到点的网络配置 实验十五、 OSPF路由协议NBMA点到多点的网络配置 实验十六、 OSPF路由协议虚链路配置

实验十七、 OSPF路由协议Stub、totally Stub网络配置 实验十八、 OSPF路由协议邻居认证配置 实验十九、 OSPF路由协议路由汇总配置 实验二十、 DEIGRP路由协议配置 实验二十一、 实验二十二、 实验二十三、 实验二十四、 实验二十五、 实验二十六、 实验二十七、 实验二十八、 实验二十九、 实验三十一、 实验三十二、 实验三十三、 实验三十四、

BGP的配置

路由再分配/路由重分布

标准ACL配置(数字的和命名的) 扩展ACL配置(有五类) NAT地址转换 策略路由PBR的配置 HSRP协议实验 DHCP配置

VPN(L2TP、PPTP) VPN(Ipsec)

VPN(IKE)(静态、动态) VOIP配置 配置QOS

实验三十、 配置GRE协议

2、信息安全实验室建设内容

1、 内容全,覆盖广,采用最专业的信息安全教学体系,完美契合信息安全方向

教学:

从信息安全实验的覆盖范围,的信息安全实验室建设方案参考教育部高等学校信息安全类专业教学指导委员会制定的信息安全类专业知识结构及能力要求,并联合北京邮电大学开发了密码学与应用、信息系统安全、应用安全、网络安全、数字内容安全、软件安全、信息安全工程实践和计算机取证与司法鉴定八大类信息安全课程体系,覆盖了多个方面的信息安全教学内容,包括实验原理、教学虚拟化环境、实验指导书,学生可以自主学习实验,进行

实验验证与应用,并进行信息安全综合分析及自主设计,实现多层次的实验操作。同时,通过与北京邮电大学信息安全系的深入合作,后续将源源不断的更新最新的信息安全内容。因此,它不仅可以作为信息安全专业教学的首选方案,也可以作为计算机、网络专业以及各类培训机构的信息安全知识培训平台。

北京邮电大学信息安全专业课程体系

2、 实验内容为国内最全最深最专业,最强版本支持660余个不同的信息安全实

验(其中包括最新的BT5实验、各类复杂网络场景以及路由交换类实验):

不仅覆盖常规的系统攻防、网络攻防,同时在WEB安全日益重要的今天,引入了SQL注入、跨站攻击等不同的实验,也可以支持BT5等类型的实验。同时,最重要的是通过内置的虚拟化实验场景,用户不是单纯的做某个操作系统的小实验,而是可以根据用户自己的意愿构建某些复杂网络环境,来实现组网、安全、部署应用系统等项目式教学内容,为教学改革提供技术基础。这也是目前其他平台所不能实现的。

3、 它是国内最开放的平台,极大降低信息安全实验室的构建成本:

平台不仅可以用于实验室教学,尤其是基于LINUX等操作系统方面的实验,它提供的云实验可以节约在实验室管理上的人员和运营上的成本投入;它也可以用于举办信息安全大赛(我们已经用它办了连续2年的高职信息安全攻防大赛);同时由于平台支持虚拟机的上传功能,老师也可以将它作为防火墙、交换机、安卓等项目研发的平台;而且如果学校有比较复杂的软件系统的话,通过进行课件定制或者老师自己制作课件,也可以完成业务系统的培训工作。它是全球首创的虚拟化教学产品,产品内嵌了虚拟路由器、虚拟防火墙、虚拟服务器、虚拟客户端,这将极大的降低学校在PC机和硬件上

的设备投入。

4、 提供最完整的实验室管理方案:

提供的信息安全实验室方案同时还拥有业界领先的实验室管理系统,具有强大的和管理功能与考核功能,同时整个课程体系专注实践教学,运用真实案例作为教学蓝本,具有高效性、先进性与安全性。

5、 校企合作保证:

作为在信息安全实验室领域的领导者,一直认为产品只是教学的基础,要保障学校在计算机、网络、信息安全等专业方面的成功,同样需要完整的校企合作内容保障。因此,一直致力于与中职、高职和本科类院校的校企合作,为学校提供师资培养、课程置换、课程体系改革、教材合编、认证考试、实习就业等诸多方面的校企合作服务内容。 选择信息安全实验室,您可以做到: 1.

与国内最权威的信息安全体系同步,培养出类拔萃的专业带头人;

2. 3. 4. 5.

6.

填补了计算机信息安全实验教学方面的空白; 极大改善信息安全实验教学的条件;

具备了跟踪先进网络通信和安全技术,开阔学生的思路和眼界,提高教学水平和教学质量;

在信息安全技术方向,为创新人才培养基地提供良好的教学与科研条件;

极大降低设备投入,同时采用虚拟化平台可以为各类科研平台提供统一的资源中心,方便进行科研管理;

构建区域性中心,为周边学校、培训机构、社会人员提供服务或者提供各类竞赛(计算机类、网络类和信安类大赛),提升学校影响力和专业美誉度;校企合作提供师资培养、课程体系改革和认证、实习等方面的保障;

7.

8. ………………

2. 产品架构

2.1 核心产品简介

信息安全实训平台(即DCST系列)是网络公司(以下简称)面对于信息安全方向专门设计开发的产品。 DCST-6000-N10和DCST-6000-N60提供不同的信息安全实验,一般主要用于信息安全教学演练平台,而安全攻防平台产品则是针对不同类型的漏洞进行攻击的实战场。

2.2 系统结构

DCST产品体系包括:实验平台、实验内容和培训体系,提供实验工具管理、实验内容管理、虚拟化调用API等多种扩展接口,方便学校定制添加教学时候所需的实验。如图所示:

DCST配有强大的实训平台管理系统ISLMS,能够为信息安全培训、教学及科研提供一个完整的、一体化的实验教学环境,从而打造出全方位的专业信息安全实验室。

2.3 核心技术

DCST系列产品是汇聚多年云虚拟化技术研究成果,在计算机知识的教育、培训方面,推出的一款新型教学系统,它是中国领先的云计算虚拟化实验教育平台。

云计算虚拟化实训平台系统包含两部分:云计算虚拟化技术和教育培训管理。

云计算虚拟化技术

云计算虚拟化技术通过云计算虚拟化调度和管理为计算机教学虚拟各种实验操作环境,让学生进行各种计算机、网络设备和安全设备等实际操作,了解计算机、网络设备和安全设备的原理,掌握计算机系统、网络和安全信息知识和实际操作技能,真实体验计算机系统、网络和安全信息知识和实际操作演练过程。

DCST为了确保云计算虚拟实验教学平台能够保证计算机教学的各种实验操作环境,通过云计算虚拟化和在线教学平台两大模块满足了学校对于云计算虚拟化技术提出了三点具体要求:

1、DCST拥有先进的计算机架构,具备强大的处理能力

采用的处理器必须在硬件层面上高度支持虚拟技术,从而确保可以提供强大的并行数据处理能力,能够在根本上支撑虚拟系统的高效运转。 2、DCST支持64位计算系统,易于升级

内存不足将严重影响虚拟系统的性能,并会直接限制虚拟机的数量,为了能够尽可能地扩展内存的空间, 64位带宽能够突破传统的4GB内存限制,可以做到轻松升级,可以让实训平台部署更多的虚拟机,让每台虚拟机可以处理更多的事务。 3、DCST高效的虚拟化调度算法

能够快速调度和虚拟化出计算机教学的各种实验操作环境虚拟平台调度方便快捷,达到资源共享。

功能特点

安全沙盒DCST-6000-N10/N60提供了学生、老师、管理员三种角色,并提供了以下的功能:

1、提供多系统平台的教学

DCST-6000-N10/N60为计算机及网络安全教育提供多系统平台的教学课件,在教学、培训过程中,根据需要可以启动基于不同操作系统平台的教学课件,满足所有教学环境的需求。

2、部署简易,操作方便

信息安全实训平台部署非常简易,通过一根网线接入到实验室网络中,客户端无须安装任何客户端软件,即可完成设备的部署和环境的搭建。学生通过web页面访问设备并进行实验,教师和管理员通过web页面进行实验和设备的管理。

3、 多种模式的攻防课件

DCST-6000-N10/N60为计算机及网络安全教育提供多模式的安全攻防实验课件,能够进行各种安全威胁的攻防操作,针对不同的攻击防御模式,提供多种实验课件选择。 4、 全程自主操作的攻防演练

安全沙盒系统的全部课件均是将安全理论与实际环境和动手操作相结合的实验课程,所有的学习过程中,都需要通过实际动手进行实验操作,完成课件要求的安全威胁攻击以及针对该攻击的安全防御措施。

通过不同的实验课程让学员亲身体验计算机及网络安全的攻防全过程,让学生从枯燥的理论学习中解脱出来,可以极大的提升学生学习网络安全知识的积极性,并帮助学生在未来的就业和职业发展奠定扎实、实用的技术基础和经验。 5、 真实的攻防环境

目标主机、操作系统、漏洞均是真实存在的,入侵、防护过程完全真实。并非像一些实验系统只能模拟输出既定的结果,贴近实际。 6、 模块化可独立部署或融合部署

可单独接入终端机器进行安全实验,更可配合DCFW防火墙、IDS入侵检测系统、DCSM内网安全管理系统、交换机、路由器、DCFS、NETLOG等基础安全及信息安全实验室模块组合成为真实攻防的全局环境中。 7、 课件资源丰富,接口全面开放

N10/N60产品课件资源丰富,系统接口全面开放,可自定义实验课件、实验设备和实验拓扑,后续内容会实时增加。 8、实验加载快,支持远程协助

通过web浏览器直接登录实训平台并启动实验,参照实验课件可以进行自主学习。在学生进行实验的过程当中,教师可以随时进行远程协助,对学生进行指导。实验结束后,自动释放系统资源。 9、系统界面

学生实验环境

课程介绍

拓扑设计

路由交换实训

路由交换实训

教师远程协助界面

云管理页面

六、 建设步骤

高校信息安全实验室建设分为一下六个建设步骤: ? ? ? ? ? ?

基础网络实验室建设 信息安全教学实训平台建设 信息安全对抗平台建设 信息安全技术知识库建设 信息安全技术研究能力建设 信息安全实验室扩展建设

1、基础网络实验室建设

皮之不存,毛将焉附。没有基础网络架构的支撑,就谈不上网络信息安全。信息安全攻防实验室建立的前提是学校已经建设有基础网络实验室,安全实验室必须以基础网络实验室作为网络通信设备的网络平台。

2、信息安全教学实训平台建设

信息安全知识的传递,首先要通过教学。我国高校毕业生的动手能力低是一个普遍现象,部分本科毕业学生的动手能力在一定程度上甚至不如高职院校的学生。高校一直采用“精英教育”模式,在理论教学上成绩突出,但忽视了动手能力的培养。而大部分用人单位需要的是毕业即能融入日常工作的学生,因此我们需要用真实的设备、真实的案例、真实的实验环境来锻炼学生的实际动手能力,以改变一直以来的精英教学模式。

3、信息安全对抗平台建设

在具备一定量的理论知识和实际动手能力的情况下,开展实战分组对抗演练,更加贴近真实的信息安全网络攻防操作过程,进一步加强学生的信息安全技能。

4、信息安全技术知识库建设

早期的信息安全关注的是技术,但自20世纪90年代以来,业内对信息安全管理的关注逐渐超出了对技术的关注,特别是在一些信息安全管理标准的指导下,加速了信息安全管理的发展。然而,目前国内高校对信息安全管理的智能化研究还比较欠缺,建立信息安全管理知识库,可以提高信息

安全管理的智能化研究水平,为信息安全管理决策提供有效的指导。同时为高校积累宝贵的信息安全教学研究资料。

信息安全知识库是高校形成结构化、易操作、易利用、易储存、可传承的信息安全知识集群,这些知识包括的各个专业、学科中的的一切信息安全知识内容,如:培训资料、学习资料、多媒体资料、信息安全工具资料等等很多方面。因此,在信息安全实验室建设中,对信息安全知识库系统的建设尤为重要。作用主要表现在:

第一,信息安全知识库使信息和知识结构化,提供标准的建立条件。 第二,信息安全知识库为企业内部知识和信息的传播,提供有力的平台。 第三,信息安全知识库有利于实现高校对知识的更好利用。 第四,信息安全知识库对高校信息安全知识资料提供有效管理。

在信息安全实验室的信息安全管理知识库系统的本体类层次可分为如下: 1安全方针类 2 组织信息安全类 3 资产管理类 4 人力资源安全类 5 物理和环境安全类 6 通信和操作管理类 7 访问控制类

8 信息系统的获取、开发和保持类 9 信息安全事故管理类 10 业务连续性管理类 11 符合性类

5、信息安全技术研究能力建设

科学技术研究是高等学校中心任务之一。科研活动的开展及其水平必然与高校的科研能力紧密相关。科研能力的强弱是学校水平高低的重要指标,它与高等学校出人才出成果上质量上水平有直接的关系。高等学校科研能力,简单地说,是指高等学校凭借一定的条件多出科研成果、快出科研成果、出高水平科研成果的本领。也就是说高校科研能力是高等学校为进行科技活动所拥有的科研能量。

一般说,高校开展科研活动具有特别的优势。这种优势表现为:有大量的人才资源。高校拥有众多的包括各门学科、各个领域的科学技术人才,他们有宽厚的基础理论、专业知识和很强的研究能力,能够根据科学技术发展的趋势来积极从事科研工作。同时,高校的人才是多层次的,容易组成合理的科研梯队。青年科研人员思想活跃、思维灵敏并富有创造性,与知识基础雄厚、科研能力强的中老年教师合作和交替,使得高校科研经常保持朝气蓬勃的创造

精神和活力。

尤其是对于网络信息安全专业来说,信息安全技术方面的研究更是考验一个高校在计算机专业领域的建设和创新能力。

通过我们前期基础网络实验室、信息安全相关实验室和信息安全技术知识库的建设,结合实验室统一管理平台和DCST系列平台等硬件资源,高校对信息安全技术的科研建设将是水到渠成的。

6、信息安全实验室扩展建设

在信息安全实验室建设中,在满足初期建设业务的需求后,还需要信息安全实验室能够开展信息安全性测试的深入研究,逐步掌握针对网络、防火墙、Web应用系统、数据库、中间件、操作系统等多个应用层面的安全性评测技术。

1、 网络架构的安全性评测

发现网络结构存在的安全性、网络负载问题,网络设备存在的安全性,抗攻击的问题。检查网络管理员是否有清晰的网络拓扑图,网络管理员是否熟悉网络设备的部署情况,分析网络拓扑图与实际的网络结构的是否存在差异情况,检查网络拓扑变更的控制程序,网络拓扑图的维护管理情况等。

检查网络根据业务和安全需求的分段情况,是否采用了防火墙和网关来加强不同网段间的访问控制,了解网络的地址管理和IP地址规划的原则和方法,了解网络中出口的情况,每个出口的保护方式等。通过对上述内容的检查了解,对网络拓扑结构合理性进行分析。

2、 网络安全设备的安全性评测

网络设备是保障一个系统边界安全的有利工具,但是过分的依赖于网络设备理论上提供的

功能,将会导致无法正确判断系统的威胁情况,和信任过度的问题。我们有必要为网络设备自身的安全性和是否有效保护了被保护系统,做一个评测以达到真正起到保护的目的。另外,网络设备由于被保护系统的复杂性和管理员的自身面对的系统较为复杂,配置未必合理,容易为入侵者提供入侵通道。有必要为网络设备存在的这些问题提供一种安全解决方案,而针对网络设备的安全评测将是一种有效的手段。

网络设备安全包含:

? ? ? ?

3、 Web 应用安全的弱点评测

交换机; 路由器; 防火墙; 其它网络设备。

通过对WEB应用的弱点进行评测,发现应用软件中存在的安全隐患(包括安全功能设计、安全弱点、以及安全部署中的弱点等)。

4、 数据库的安全性评测

完整,全面发现业务系统中数据库的漏洞和安全隐患,主要评测的内容如下:

? 数据库用户名和密码管理

? 用户权限设置 ? 密码策略设置 ? 冗余账号的管理 ? 数据库访问控制

? 访问IP地址的控制 ? 通讯安全配置 ? 登录认证方式 ? 数据的安全

? 敏感信息的存储方式 ? 数据库备份

? 数据库存储介质安全 ? 传输加密 ? 安全漏洞检查 ? 补丁管理

? 数据库的安全审计

? 登录日志审计 ? 操作日志审计

5、 通用应用(中间件)服务的弱点评测

通用应用中间件的安全关乎整个业务系统的安全,通过评测发现通用中间件的安全问题.主要是指针对IIS、apache、ftp、weblogic等相关通用的应用软件进行安全评测。评测主要包含补丁管理、最大安全性原则、用户管理、权限管理、日志安全管理等进行分析。

6、 操作系统主机的安全性评测

操作系统主机的安全评测的对象包含计算机硬件系统、操作系统;操作系统的安全性评测不包含非附属于操作系统的软件产品(如微软的SQL SERVER)的安全评测。

操作系统的安全性评测范围:

? ?

应用服务器;

客户机(用户终端机)。

七、信息安全实验室实施方案

信息安全实验室的实施需要有完善的实施方案,根据设计提供的网络部署图,按照每个区域进行网络,设备的部署调试,安装;

1、部署示意图 互联网学习、培训和管理区实验室及业务网络中小型机及特殊设备实验室设备接入VPN设备远程接入区渗透平台监控平台信息安全攻防实战沙盘靶机平台信息安全扫描器Sandbox-1入侵检测系统Sandbox-4其他专用安全设备Sandbox-2Sandbox-3WEB攻防平台信息安全测试区威胁分析平台Sandbox-5Sandbox-6数据挖掘平台信息安全沙盘基线扫描平台漏洞分析平台信息安全虚拟化云平台 部署示意拓扑图

1.1实验室布局

实验室的布局设计要以能够有效利用实验室场地,方便开展教学和实训为原则,这里我们推荐用目前最主流的布局方式-岛式布局。

实验室物理布局

平面图:

效果图:

岛式布局是目前最流行的实验室布局方式,每个物理实训组成为一个小岛,每个组推荐4-6个学员使用,每组配置一个2m标准机柜。

1.2实验室设备安装和布线示意图

实验室中有一个核心机柜,放置中心交换机组(可能是一台交换机,也可能是几台交换机级联或者堆叠而成,提供足够的网络接口)、防火墙以及必要的服务器等。

每个实训组都配备一个小机柜,用于放置每组的实训设备。机柜一般摆放在离相应实训组较近的位置贴墙而放,或者可以定制小机架,放置在实训台的桌面上。

CCM-16的每个串口通过连接线与各个网络设备的console口相连。CCM再通过网口和中心交换机相连。如下图:

串口线+console线交换机1交换机2路由器1路由器2路由器3CCM-16网线,连接到中心交换机上 灰色线缆:串口线+console线 红色线缆:网线

每台学员机都有两个网络接口,其中一个和CCM一样,连接到中心交换机上,另外一个需要在设备调试后,连接到网络拓扑中用于验证结果。连接到中心交换机上的网线不可以拔掉,可以使用红色的网线。而另一个网口用于验证,随时可以拔除,或者会插在不同的实训设备上,所以可以使用绿色的网线。如下图:

实验室主干布线的区域采用透明的强化玻璃作地板,教室后面的设备柜中采用配线架,理线架等面板,可以让学员清楚看到正规的布线方法,利于学员就业后的工作。

在实际布线中,希望可以按照下图的布线方式布线,最好也采用多种不同颜色的线缆进行铺设,以免学员拔除不应拔除的线缆,导致无法正确进入设备进行调试。

1号线:蓝色,每个实训台中的CCM与中心交换机组连线,不可拔除。 2号线:红色,教师机、学员机、服务器与中心交换机组连线,不可拔除。 3号线:绿色,学员机验证调试连线,可拔除。

2、部署实施建议

信息安全实验室是针对上线前信息系统的评测为建设的,因此在信息实验室的实施过程中,必须考虑今后信息实验室的业务开展,以及新业务的扩展需求,将信息安全实验室区域化,组件化,使得信息安全实验室具备优异的扩展性。

2.1 信息安全实验室基本实施

信息安全实验室基本实施内容主要包括实验室场地实施,基本网络布线实施,以及实验室设备摆放等等。需要注意基本实施中的场地选择与网络布线,针对实验室网络安全防护的各种防护设备的策略设置。

? ? ? ?

实验室场地建设

实验室网络设备部署,主要是交换机,网线架设; 实验室安全设备部署,主要是防火墙等设备的实施; 存储系统的部署实施;

2.2 评测工具区实施

评测工具区的实施主要是云计算虚拟化信息安全实训系统的部署以及入侵测评设备,扫描器设备的部署以及配置;

1. 云计算虚拟化信息安全实训系统控制服务器部署实施; 2. 云计算虚拟化信息安全实训系统实验台部署实施; 3. 入侵检测IDS设备的部署实施; 4. 网络扫描器部署实施;

2.3 评测工作区实施

评测工作区是评测工程师进行对上线前的信息系统进行评测的操作工作区,需要在此区部署各种评测操作终端;

评测终端机部署实施,包含操作系统的安装,以及各种安全防护软件的部署。

2.4 评测接入区实施

评测接入区是需要被评测信息系统的接入位置,在此区域中,需要部署实施各种特定应用服务器,如小型机等等;此区域可以部署各种需要被评测的信息系统,也可以将被评测的设备接入此区域;

1. 典型应用服务器部署; 2. 典型使用的品牌小型机部署;

3. 被评测设备接入网络的部署,允许被测评设备的接入位置;

3、实施计划

本项目实施假定从XX月XX日开始部署实施(XX月XX日之前需保证人员、硬件设备全布到位),项目实施周期共计10个工作日(其中包含对部分硬件设备的实施部署,如未采购此类硬件设备,可以适当调整实施周期)。

3.1 项目实施说明

整个实施共分为以下几个阶段:

第一阶段:“信息安全实验室”基本网络实施; 第二阶段:“信息安全实验室”评测工具区实施; 第三阶段:“信息安全实验室”评测工作区实施; 第四阶段:“信息安全实验室”评测接入区实施; 第五阶段:“信息安全实验室”验收。

3.2 实施时间表

信息安全实验室项目实施时间计划表,仅提供项目实施过程中时间计划安排,在实际项目实施过程中,可以由项目实施经理根据实际情况,具体安排项目实施;

实施阶段 时间 工作内容 1、信息安全实验室基本网络实施,包含对交换机,防火墙,网第一阶段 3天 络布线等; 第二阶段 2天 1、云计算虚拟化信息安全实训系统实施; 第三阶段 1天 1、评测终端机部署实施; 1、 小型机部署实施; 第四阶段 2天 2、 服务器部署实施; 第五阶段 2天 信息安全实验室功能测试,各种实施问题的处理,以及验收。 注意:此实施时间表,不包含信息安全实验室场地建设时间;

信息安全实验室整体规划分为一期与二期两个阶段,此实施方案仅为信息安全实验室一期工程实施计划;

八、费用预算

以满足8组实验台、每组6个学生共计50个用户使用的信息安全实训室为例,本着高效、节约、资源最大化利用的原则,网络信息安全综合实验室(包含网络实验室和信息安全实验室功能)费用预算表如下: 序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 设备名称 信息安全攻防平台 信息安全实验室管理系统 云计算虚拟化信息安全实训平台 接入交换机 串口控制器 拓扑连接器 二层交换机 三层交换机 路由器 入侵检测系统 防火墙 智能无线局域网控制器 智能无线接入点 无线网卡 PDU 2米服务器机柜 1.6米网络机柜 配线架 理线架 网线 电源线 网络实验室布线辅材 工位隔断-1 桌椅 合计: 单位 套 套 套 台 台 台 台 台 套 台 台 台 块 台 台 台 个 个 批 批 批 套 张 数量 1 1 8 6 8 8 16 16 16 8 8 1 8 50 9 1 8 8 16 1 1 1 8 50 单价 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 小计 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 ¥0 注:蓝色部分为实验室必选设备

附录 参考标准

本解决方案参考如下标准和规范:

(1) 原邮电部、信息产业部相关技术规范; (2) 国家信息办27号文件;

(3) 软件安全评估方案部分: JSYJ/F/JL/B/KJ-037-2003软件安全评估方案(编写提示); 本解决方案技术部分还参考以下标准:

? GB/T 11457—1995 软件工程术语

? GB/T 9386—1988 计算机软件安全评估文件编制规范 ? ISO17799/BS7799 信息安全管理标准 ? ISO 13335 IT安全管理方针系列 ? COBIT 信息和相关技术控制目标 ? COSO内部控制——整体框架

? BS15000(ITIL)——信息系统服务管理 ? G51——安全风险评估及审计指南

? GB/T 18336——信息技术 安全技术 信息技术安全性评估准则 ? GB 17859-1999——计算机信息安全保护等级划分准则

本解决方案技术部分参考行业性标准:

? 电监安全【2006】34号--电力二次系统安全防护规定

本解决方案技术部分参考产品评测标准

? GBT 20281-2006 信息安全技术 防火墙技术要求和测试评价方法 ? GBT 20275-2006 信息安全技术 入侵检测系统技术要求和测试评价方法

本解决方案技术部分参考其他标准:

? RFC 2544 - Benchmarking Methodology for Network Interconnect Devices ? RFC 3511 - Benchmarking Methodology for Firewall Performance

本文来源:https://www.bwwdw.com/article/dcdo.html

Top