当前位置:
产品服务 / Products
基于云平台的信息安全及靶场综合实验平台建设方案
    发布时间: 2019-05-13 13:49    
一、 建设背景与意义
1.1 建设背景
在信息技术飞速发展的今天,随着网络在全世界各个国家政治、军事、经济、人民生产生活等各领域的广泛应用,计算机信息安全已经成为涉及国家战略和国计民生的重要问题,没有网络安全就没有国家安全,但我国的基础网络还有巨大的问题和挑战,据国家互联网应急中心的2016年中国互联网网络安全报告, 2016约9.7万个木马和僵尸网络控制服务器控制了我国境内1699万余台主机。其中,来自境外的约4.8万个控制服务器控制了我国境内1499万余台主机,来自美国的控制服务器数量居首位,其次是中国香港和日本,就所控制的我国境内主机数量来看,来自美国、中国台湾和荷兰的控制服务器规模分列前三位,分别控制了我国境内约475万、182万、153万台主机。在监测发现的因感染恶意程序而形成的僵尸网络中,规模在100台主机以上的僵尸网络数量4896个,规模在10万台以上的僵尸网络数量52个。事实证明我国网络安全形势严峻,如果不能保障信息安全,将直接影响我国在军事、经济等诸多领域的战略安全。
因此,信息安全的重要性已经提升至国家战略层面,“安全”成为未来信息基础设施的重要内涵。为此努力培养信息安全专业人才,成为国家安全战略的主力保障是当前国家安全战略层面非常紧迫的任务和要求。2015年6月,国务院学位委员会、教育部将“网络空间安全”增设为一级学科,足以体现国家对信息安全学科的人才培养工作及专业建设的重视。

1.2 建设意义
随着互联网的快速发展和信息化程度的不断提高,互联网深刻影响着政治、经济、文化等各个方面,信息安全的重要性日益凸显,互联网上各类信息的管理应用应引起高度重视。在系统安全方面,以提高防御、应急处理能力为主的传统安全管理已经不能适应新计算、新网络、新应用和新数据为特征的信息安全产业发展的需要。对此,需针对形势发展,通过采取多种措施发展和壮大中国信息安全产业。
信息安全学科是由数学、计算机科学与技术和通信工程等学科交叉而成的一门综合性学科,主要研究领域涉及现代密码学、计算机系统安全、计算机与通信网络安全、信息系统安全、电子商务、电子政务系统安全、信息隐藏与伪装等,这些课程的设置无疑对高校的计算机实验室环境提出了更高的要求。
目前,我国大部分高校开设的网络空间安全课程(或相关课程)的主要内容包括:网络应用服务安全、防火墙、入侵检测、虚拟专用网、网络攻击与防护等,其中网络攻击与防护是应用性、实践性、综合性最强的一部分核心内容。学生要全面的掌握这些内容,除了课堂学习,主要通过实验进行实际操作来加深理解和掌握工程性技能。因此,建设专门的信息安全实验室就显得尤为重要。

二、现状与需求分析
2.1 项目现状
随着信息化进程的深入和互联网的迅速发展,人们的工作、学习和生活方式也随之变化,效率提高、信息资源得到最大程度共享的同时也带来了一系列的信息安全问题,所以目前信息安全人才的需求也更为突出和紧迫。信息安全发展势在必行,切实加强学生的动手实践能力和创新意识,强调知识、能力、素质的协调发展,培养高质量和高素质的新型人才具有重要的意义,信息安全实验室建设不可或缺。
国内各地院校信息安全实验室的建设水平参差不齐,实验室功能还不能全面的满足信息安全实验开展的要求,主要表现在如下几个方面:
1、教学内容覆盖不全面,
2、环境生成与保存困难,
3、环境模拟和自主设计能力弱,
4、软性实验内容与实际结合度低;基于上述的实际情况及实验室需求,建设一个集成基础教学、综合能力实训、技能评估和后台资源统一管理分配等功能的信息安全实验室是至关重要的。

2.2 人才需求
信息化在各行各业的不断深化,使得当前经济社会对信息安全人才的需求日益突出。然而现阶段我国网络安全人才缺口巨大。据悉,2016年我国网络安全人才本科硕士博士加在一起不过8000人,而全国的网民则有7亿多人。2017年1月12日,中国科学评价研究中心、武汉大学中国教育质量评价中心和中国科教评价网(www.nseac.com)联合推出《中国大学及学科专业评价报告(2017-2018)》:截止到2016年,信息安全专业86个,网络安全与执法专业15个,信息对抗专业15个。根据权威数据显示,最近3年,我国高校学历教育培养的信息安全专业人才仅有3万余人,不足70万需求的5%。预计到2020年,需求量将达到140万人,而现在每年培养的人数,尚不足1.5万人。显然无法满足行业需求,根据我国网络规模和发展情况,我国信息安全人才缺口超百万。所以教育和人才的培养在信息安全领域尤为重要,建设信息安全实验室则是目前进行信息安全教育领域最为重要的环节。 

三、建设目标
信息安全综合实验平台建设采用私有云平台建设,基于私有云环境架构建设信息安全综合实验平台,结合当今信息安全形势、主流安全设备、技术在信息安全和网络攻防等方向为学校提供全面的实验环境及教学环境。通过一系列的验证型、测试型和创新型实验以及多种形式的攻防演练及实战,强化学生对计算机网络与信息安全技术知识的理解,提高网络安全技术与实战操作能力。整个实验室的运行依托于云计算平台,将云计算平台的计算资源与各种教学资源整合在一起,向用户提供各种服务。具体说明如下:
底层IaaS层为整合各种IT资源,包括云资源计算设备、网络拓扑生成设备、实时态势监控设备资源。统一的云平台将这些设备资源进行虚拟化管理,向上提供基础服务,包括分布式数据存储、计算服务、负载管理和备份等。这一层使用虚拟化技术,将分布式计算资源进行整合,为实验室的运行提供统一管理和使用。
中间的PaaS层为云平台业务调度中心,包括统一身份认证管理、各种实验教学业务功能、实验课程资源管理、统一业务访问控制和数据监控、采集和分析功能等。这一层将各种实验环境需要的开发支持与管理工具、实验教学管理工具等有机地整合在一起,对上一层资源工具打包整合进行按需分配。
SaaS层包含了向最终用户提供的各种服务以及各种资源调用。方式为通过实验平台,将实验课程、教学资源和所需要的实验环境进行整合为用户进行服务。调用资源的终端可以为PC、笔记本电脑、各种云终端和平板电脑。云平台的优点是可以通过网络进行访问,可在教室、办公室、图书馆、寝室访问使用,可有效的提高系统使用率。
平台硬件主要是由管理控制设备、云资源计算设备、网络拓扑生成设备、实时态势监控设备、云平台接入设备、机架装置机柜等组成。平台软件包括实训、CTF竞赛、单兵作战、红蓝对抗、擂台对抗、在线考试、WEB后门代码检测等系统构成,实验资源包括了编程语言课程资源包、网络工程课程资源包、网络攻防课程资源包、信息安全课程资源包、CTF资源包、夺旗及对抗靶场资源包、无线攻防实战课程资源包等,为节约成本基础设备装充分利用现有PC环境等。

四、项目总体设计
4.1 实验室环境建设布局
具备良好实验室环境的实验教学,是培育和造就高素质应用型人才的一个重要条件高水平的实验室是培养和造就高素质应用型人才的重要基地和摇篮。所以为了给学生和老师营造一个适合教学和学习的良好的环境,因此我司提供了实验室基础环境建设的规划建议和配套方案。
实验室的建设将按照国家实验教学示范中心的建设要求,在实验教学理念、实验管理模式、实验教学体系和师资队伍的培养上进行规划和建设。实验室基础环境建设主要是支撑实验室教学运行的基本环境配套建设,包括学生实验用桌椅、教学用投影音响器材、实验室空调系统、综合布线系统、安防监控系统及实验室装修系统等;通过这些基础支撑环境的建设,才能保证实验室正常为教学和科研服务。
考虑到实验室的用途、特点,本着方便管理、使用、安全的原则,同时基于实验室的空间环境及实验教学的发展趋势,我司采用的是一个实验班级60个学生分为10个岛式实验组的设计思路。每组安排6个学生同时进行实验,这样可同时安排60个学生同时进行信息安全相关的实验课程学习,方便学生进行课程探讨和沟通。信息安全实验室整体环境平面设计如图所示:

实验室平面布局图

针对信息安全综合实验室的平面设计图,按照学生岛型分组设计的方案,配合实验室多媒体设备等基础设施,为学生和老师搭建一个适合教学的信息安全实验环境,效果如图所示。


实验室效果图

4.2 实验室建设架构
信息安全综合实验室是由北京红亚华宇科技有限公司研发的一个主要针对高校及企业对信息安全课程、网络攻防课程、编程语言课程、网络攻防竞赛、网络对抗竞赛综合实验平台。基于信息安全综合实验平台采用云平台搭建的方式的特点,实验平台的建设采用软件平台搭载硬件服务器的方式进行。
实验平台前端集成了实训、CTF竞赛、单兵作战、红蓝对抗、攻防态势感知、擂台对抗、在线考试等系统;后台设置了具体的管理功能:用户组织管理、实验平台管理、CTF竞赛管理、单兵作战管理、红蓝对抗管理、靶场拓扑管理、云资源管理、教学中心管理、技能评估管理、在线考试管理等功能。其中平台包括实验课件达1000多个,靶场30套,CTF竞技项目达300个。
平台硬件主要是由管理控制设备、拓扑生成设备、云资源计算设备、攻防实时态势感知等设备组成。平台软件由7个系统构成,包括实训、CTF竞赛、单兵作战、红蓝对抗、攻防态势感知、擂台对抗、在线考试系统构成,实验资源包括了编程语言课程资源包、网络工程课程资源包、网络攻防课程资源包、信息安全课程资源包、CTF资源包、无线攻防实战课程资源包、夺旗及对抗靶场资源包等。平台的具体架构如下:


实验平台结构图

信息安全综合实验平台将部署在校内互联网平台,可保证学生、教师在校内通过互联网络进行访问使用。学生实验终端和教师管理终端采用终端PC机的方式,组合成实验室局域网,支撑学生进行信息安全实验与攻防演练。其中,路由器和交换机等网络设备将用户和存储连接起来,是用户之间以及用户与资源之间的通信设备。教师管理终端通过实验室教学管理系统对学生终端进行统一管理;学生端可以通过信息安全综合实验平台进行安全实验及攻防演练,实验室网络拓扑图如下:



实验室网络拓扑图