摘要：信息安全是一门综合性、实践性非常强的学科，针对信息安全的实践教学，通常需购买相应的硬件设备才能有效实施。然而购买硬件花费不菲，受资金等多种因素限制，导致了信息安全实践教学流于形式。为此，研究、设计并实现了基于职业能力培养的信息安全虚拟实践教学平台，该平台主要包括两个大模块：网络攻击模块与安全防护模块，各模块分别包括七个子模块。

　　关键词：信息安全；职业能力；实践教学平台；网络攻击；安全防护

　　中图分类号：TP393文献标志码：A文章编号：1006-8228（2014）02-18-02

　　0引言

　　随着经济全球化和计算机及互联网技术的高速发展，信息安全问题已经成为全社会关注的焦点，并且成为涉及国家政治、军事、经济和文教等诸多领域的重要课题。社会对信息安全专业人才的需求量达几十万人，并呈现与日俱增的态势。但是，目前信息安全方面的专业人才还很稀少，并且只有在高校才会进行专业性的信息安全课程教学。由于信息安全学科是一门综合性、实践性非常强的学科（信息安全学科是计算机、通讯工程、数学、密码学等领域的交叉应用学科）[1-4]，要解决信息安全专业人才供需矛盾，需要各高校加强信息安全专业建设，尤其是实践教学建设，增强学生的动手实践能力，以保证对信息安全专业人才培养的质和量。

　　教育部等七部委《关于进一步加强职业教育工作的若干意见》（教职成[2004]12号）中明确指出：“加快职业教育实训基地建设，切实提高学生职业技能”。要求学生具备在实际环境中应用自身的知识完成信息安全实验以提高自身的动手能力和实践水平。实践是理解信息安全基础知识，提升信息安全技能的关键环节。然而，信息安全基础实践教学相对于其他传统计算机实践教学而言有一定的特殊性：①实验条件要求相对苛刻，需要购买专门的软硬件设备；②实验内容侧重信息保护；③实验方式有一定的攻击性。如果实验控制不当，会带来非常严重的安全事故，因此必须拥有一个合理的实验环境，使恶意代码实验不影响正常的信息环境。此外，信息安全实践教学也面临着由于学生人数多、实验室教学任务重而带来的资源匮乏等问题。

　　目前，各高校基本上以购买软硬件设备来支持信息安全的实践教学，而软硬件设备的更新换代成本对于高校教学机构来说是相当难以承受的。因此，设计一种既能满足信息安全技术、技能教学需要，又能培养学生的职业能力，且不需要对现有网络、实验环境进行太大改变的虚拟实验教学平台就显得尤为重要，也具有重要的现实意义。

　　1虚拟实践教学平台构建原则

　　基于职业能力培养的信息安全虚拟实践教学平台的设计与实现是对高校信息安全专业针对信息安全基础实践教学进行的一项整体性的教学模式改革，因此，该平台应从以下几个方面进行设计[5-6]。

　　⑴基础性原则。本研究构建的是虚拟的信息安全实践教学平台，侧重信息安全技术基础知识的培养与锻炼，在模拟的实践环境中掌握网络攻防的技术。

　　⑵易操作性原则。在设计实践操作环节，考虑基础性的同时，注重职业能力的培养；考虑学生操作的难易程度，把实践的关键步骤、安装软件都植入虚拟平台中；考虑认识的认知性，可以适当地做一些攻击实验，通过攻击实验，让学生掌握攻击的理论知识，同时也更有助于学生掌握和学习安全防范技术。

　　⑶综合性原则。虚拟平台的实践教学设计应遵循由简单到复杂，由易到难的原则，最后通过综合性实验来提升学生的实践技能和综合素质。

　　2虚拟实践教学平台功能模块

　　根据虚拟实践教学平台的构建原则，本平台主要包括网络攻击模块与安全防护模块。其中网络攻击模块主要包括：Web攻击、口令破解、欺骗攻击、数据库攻击、缓冲区溢出攻击、拒绝服务攻击、木马与蠕虫攻击等子模块。安全防护模块主要包括：操作系统安全、密码学技术、信息隐藏技术、PKI技术、防火墙技术、VPN技术及入侵检测技术子模块。该教学平台功能如图1所示。

　　2.1网络攻击模块

　　该模块要侧重常用的攻击方法的学习与掌握，其子模块功能如下。

　　⑴Web攻击模块。主要包括Web脚本攻击、网络钓鱼等攻击方法的实现。

　　⑵口令破解模块。主要包括Windows口令破解和Linux口令破解。

　　⑶欺骗攻击模块。主要采用常用的ARP欺骗和ICMP重定向来实现，让学生掌握常用的欺骗攻击方法的实现。

　　⑷数据库攻击模块。主要包括SQL注入攻击的实现。

　　⑸缓冲区溢出攻击模块。主要包括本地缓冲区溢出、远程溢出与后门植入的实现。

　　⑹拒绝服务攻击模块。主要包括洪范攻击、DDOS攻击、Smurf攻击的实现。

　　⑺木马与蠕虫攻击模块。主要包括特洛伊木马、网络蠕虫的攻击方式的实现。

　2.2安全防护模块

　　该模块要侧重安全保护方法的学习与掌握，其子模块的功能如下。

　　⑴操作系统安全模块。主要包括Windows操作系统、Linux操作系统的安全配置与维护，加强学生对系统安全知识的培养。

　　⑵密码学技术模块。主要包括对称加密、公开加密、混合加密的实现。

　　⑶信息隐藏模块。主要包括信息伪装、数字水印技术的实现。

　　⑷PKI模块。主要包括CA数字证书的申请、安装、更新、吊销、使用等功能。

　　⑸防火墙模块。主要使用微软的ISA防火墙进行访问控制的配置。

　　⑹VPN技术模块。利用Windows系统进行VPN的创建与测试。

　　⑺入侵检测模块。主要包括Windows系统平台、Linux系统平台下Snort入侵检测的安装、配置与检测。

　　3虚拟实践教学平台测试

　　基于职业能力培养的信息安全虚拟实践教学平台涵盖了信息安全攻防实践教学的绝大多数内容，主要分为两个大的模块，然后不同模块再根据学生认知能力由简单到综合来进行学习与实践。本平台采用C/S模式，开发环境为MicrosoftVisualStudio6.0，主要使用C语言完成整个虚拟实践教学平台的编程，实验操作系统为2003，数据库采用SQL2005。下面以图2的ARP攻击与防护为例来进行测试。

　　3.1ARP攻击过程

　　首先，需要在黑客主机平台上运行ARPattack程序攻击目标主机一，将其ARP缓存表中与目标主机二相映射的MAC地址更改为黑客主机的MAC地址。

　　3.2防范ARP欺骗

　　当发现主机通信异常或通过网关不能够正常上网时，很可能是网关的IP被伪造。可以使用下列手工操作方法防范ARP欺骗攻击：①清空ARP缓存表；②实现IP/MAC地址绑定，Windows下绑定IP/MAC，首先清除ARP缓存表，然后将IPMAC地址对添加到缓存表中，最后实现开机后自动执行。Linux下绑定IP/MAC，实验使用的Linux系统环境（FC5）中，arp命令提供了-f选项，功能是将/etc/ethers文件中的IP/MAC地址对以静态方式添加到ARP缓存表中。

　　建立静态IP/MAC捆绑的方法如下：

　　首先建立/etc/ethers文件（或其他任意可编辑文件），编辑ethers文件，写入正确的IP/MAC地址对应关系，格式为：172.16.0.15100：0c：29：1d：af：2a。

　　然后让系统在启动后自动加载项目，具体操作：在/etc/rc.d/rc.local最后添加新行arp-f，重启系统即可生效。此时查看arp缓存表，静态项目的FlagsMask内容为CM，其中M表示当前项目永久有效。

　　4结束语

　　信息安全实践教学平台主要用于日常的信息安全实践教学，系统运行速度较快，客户端无需安装任何软件，配置灵活、操作简便；本平台主要包括网络攻击模块和安全防护模块两大模块，并分别包括七个子模块，基本满足信息安全攻防实践教学需求，能替代价格昂贵的网络攻防真实设备的功能，极大地节省了教学成本。因此，本平台为信息安全技术人才的培养，以及学校信息安全专业教学条件的改善提供了良好的实验环境。