1.      概述

    随着国家对信息化建设的投入和重视，我国社会逐渐步入信息时代。伴随信息系统，尤其网络系统的大量普及应用，信息安全已经成为备受瞩目的问题，严重影响到社会信息化的进程。

    有关数据表明，中国目前共有50多万家大中型企、事业单位3500万台计算机联入网络，按照每家单位需要1-2名信息安全管理人员计算，中国目前需要的信息安全专业人才至少是80万，随着电子政务的推行和信息化建设的不断深入，信息安全专业人才的需求将逐年增加。但是，目前信息安全方面的人才还很稀少，并且大多分布在高校和研究院所，按照目前信息化发展的状况，社会对信息安全专业的人才需求量达几十万人。

    要解决供需矛盾，必须加快信息安全人才的培养。我国的信息安全教育才刚刚兴起，本科专业设置始于2001年，截止2005年底教育部共批准了50余所高校开设信息安全本科专业，有些高校则开设信息安全的相关课程，如《信息安全技术》、《计算机网络安全》、《计算机病毒》等。信息安全学科是由数学、计算机科学与技术和通信工程等学科交叉而成的一门综合性学科。主要研究领域涉及现代密码学、计算机系统安全、计算机与通信网络安全、信息系统安全、电子商务电子政务系统安全、信息隐藏与伪装等。可见，对于信息安全方面的需求是相当高的。这也就引发了一个问题：如何开发相应的教学系统来促进学校对信息安全相关领域课程的教学。

国内有些高校及相关企业针对信息安全课程教学开发了一些实验系统，或提出了一些解决方案，如：硬件厂商提出完全采用商用产品搭建实验平台，虽然可锻炼学生的实际动手能力，实验环境接近真实网络环境。但投资达，教学偏重于功能演示和配置操作，无法进行信息安全原理相关的教学和实验；很难对商用产品进行统一的管理和控制，教师维护工作量大，实验准备时间长；而有些公司开发教学系统来辅助师生进行信息安全相关课程的教与学，其具有投资小，可对实验进行全程的控制和管理，系统维护量小，实验准备时间短等优点。但实验环境的真实性不如采用商业产品方式，不能对学生进行真实商用产品的配置进行训练。该系统偏重于原理验证型实验，并配置部分工程应用实验。

综合不同信息安全实验系统的优缺点，并根据信息安全知识领域的广泛性、理论知识学习与实践动手能力培养双重要求。信息安全实验系统必须对信息安全体系的相关知识进行统一的实验教学，一方面，支持信息安全理论知识的学习和实验体会，另一方面又可加强学生动手能力的培养。同时，综合性的实验系统可有效解放教师繁琐的实验准备工作，集中精力进行教学实验内容的准备，从而提高整体教学质量。

2.      SimpleISES系统设计

2.1  系统介绍

    SimpleISES是根据真实网络及信息安全环境，由一系列软硬件设备构成的。该系统基于真实的网络环境及安全设备下搭建起一套真实的信息安全综合实验环境；在这个环境中，学生通过独立操作或者分组合作，进行信息安全各个领域知识的学习和配套实验操作，通过真实实验的操作加速、加深理论知识的学习，同时通过实验环境下理论知识的讲解加深对实际动手操作的理解，实现理论与实践教学的结合；对于教师而言，通过该系统的日志记录及在线考核功能，可实时掌握学生的学习情况，减轻额外的教学负担。

2.2  系统结构

    建成后，整个实验系统的逻辑结构如下图所示，可分为服务区及客户操作区两部分。其中服务区存放实验教学系统相关的硬件设备，包括管理中心平台、数据服务平台、安全实验设备、交换设备和显示控制设备等，为实验系统提供完善的硬件支撑环境；客户操作区为实验室用户操作区，主要为学生用PC机、教师管理PC机。

图1  信息安全实验教学系统逻辑结构图

    针对目前我国开设信息安全相关课程学习的主要授课内容，目前SimpleISES已经投入使用的模块包括密码学（含信息隐藏）、主机安全、防火墙、VPN、PKI、PMI、入侵检测、网络攻防、木马病毒和安全审计等10个模块，根据技术发展及学校教学的需求，西普科技将陆续开发其他实验模块，并利用系统的模块化设计，实现已有系统的无缝升级，保护学校的已有投资。

1)      硬件平台

    SimpleISES信息安全实验教学系的硬件平台主要包括管理中心平台、数据服务平台、安全实验设备、交换设备和显示控制设备等硬件设备，为实验系统提供安全可靠的硬件环境。

l  管理中心设备

利用高可靠性的硬件系统，通过配套的系统管理软件平台对整个实验系统的硬件设备进行统一的管理。

l  数据服务设备

利用高性能的数据存储硬件系统，为整个实验系统的用户数据、课件、实验数据等提供可靠的数据保障。

l  安全实验设备

针对信息安全实验模块的功能需求，提供针对防火墙、安全审计等实验模块的硬件环境支持，多台安全实验设备提供不同的实验环境。

2)      软件平台

    软件平台作为实验系统的核心组件，主要分为服务端和客户端两部分。其中，服务端为学生实验提供软件环境支持和管理。

l  实验管理平台

实现对系统使用者的统一管理和访问认证授权，并对所有实验模块进行统一的管理和配置，为各个实验的顺利进行提供后台服务支持。同时，负责对用户信息的统一存储和控制，主要包含用户注册信息、实验操作日志、考核成绩信息等。

l  实验考核平台

该平台基于B/S架构，一方面提供了教师的出题、考场管理、自动批卷等功能，同时实现学生实验过程的日志记录，通过主客观题的考试以及实验过程日志的分析来对学生的实验情况进行综合的考核。

l  实验系统客户端

该软件为用户登录实验系统的唯一入口，可对用户进行统一的授权访问，同时在该客户端实现了所有实验模块的电子课件、实验面板和在线考核功能，并实现了安全审计、PKI等模块的实验功能。

2.3  系统特点

    SimpleISES系统相比其他信息安全实验室建设方式具有如下的特点和优势：

1)        根据信息安全体系架构设计实验模块，实验涵盖信息安全领域的各项重点专项技术，提供了一个综合的信息安全实验教学平台；

2)        所有实验模块实现“可插拔”独立部署，支持不同学校的个性化定制需求；

3)        针对信息安全技术的不断进步发展，系统模块化的设计，可实现未来实验模块的无缝结合，具有很好的可扩展性，同时方便进行系统升级和维护；

4)        针对信息安全学科的特点，一方面实现针对理论知识的原理验证型实验，另一方面也提供系统安全配置等工程应用型实验，从而实现对学生进行理论知识教学与动手实践能力培养的结合；

5)        强大的用户数据管理功能，可实现对系统访问的统一认证及授权、学生实验数据的统一管理、实验及电子课件的集中配置，有效保障实验系统自身的安全性及系统的可管理性，提高实验室的管理能力；

6)        创新的在线实验考核功能，可实现教师的命题、评卷、题库管理及考场管理等功能。结合实验的日志记录可从实验考核分数及实验课堂表现两个方面对学生进行考核，从而掌握学生的学习情况，提高教学质量；

7)        集中式的硬件设备部署及管理，无需改变学校实验室的现有环境，实现信息安全实验系统的“即插即用”，同时扩充学生实验人数，也无需重复投入硬件设备；

3.      SimpleISES系统实现

    系统整体框架采用.Net作为开发环境，通过C/S结构来搭建实验平台。主要包含各实验功能模块、系统管理模块、考核模块等三部分。

3.1  基于操作面板的实验模块

    这类实验模块，主要通过客户端操作面板来完成实验流程，主要包括：密码学、防火墙、入侵检测、安全审计、PKI、PMI。

    密码学主要功能：

    针对主流密码算法（对称加密、对称分组加密、散列函数、非对称加密、数字签名）开发可视化的计算器，以便学生进行相关加密原理的理解。

    通过形象化的数字水印嵌入、提取和破坏实验，提供信息隐藏及相关算法的教学和实验。

    防火墙主要功能：

    利用C/S结构的可视化实验界面，基于IPTABLE的规则配置，可方便防火墙原理知识教学，同时支持普通包过滤、状态检测、应用代理等核心防火墙技术实验。

    安全审计主要功能：

    针对每个学生端开发一个嵌入系统后台运行的审计Agent，对学生机进行实时审计健康。全方位的审计实验覆盖文件、网络、应用程序等方面，利用嵌入操作系统内核的审计客户端实时采集事件信息，统一的事件信息管理平台方便事后信息的查询和分析。

    PKI主要功能：

    通过在每个客户端主机实现一个轻量级CA，支持多级CA体系及多信任域架构。实验覆盖了证书申请、管理及应用的PKI技术应用的全过程。

    PMI主要功能：

    实验覆盖了证书申请、管理及应用的PMI技术应用的全过程。实验过程中证书的实时可视化及PMI证书的具体应用，可有效帮助学生理解PMI的理论知识和工程应用。

    入侵检测主要功能：

    基于开源的Snort系统搭建入侵检测系统，可让学生深入理解入侵检测系统原理，并为深层的IDS开发提供平台支持。从IDS的安装配置到检测规则的制定、IDS误漏报缺点的分析等，丰富实用的实验内容可帮助学生掌握IDS的各个领域知识。

3.2  基于实训环境的实验模块

    本类实验模块，主要通过搭建的实训环境，通过实验指导书来完成实验，主要包括：木马病毒、网络攻防、主机安全、VPN。

    主机安全主要功能：

通过对操作系统、数据库、网络服务等安全的配置实验，为学生提供对网络环境中主流主机节点的安全实训实验。

    网络攻防主要功能：

通过大量最新网络攻防技术实验，可培养学生在掌握基础信息安全理论知识基础上，能对网络攻防技术进行学习和研究，从而加强自身的防护水平和攻击能力。

    木马病毒主要功能：

覆盖了脚本型病毒、DLL注入病毒、蠕虫病毒、木马等病毒实验，通过实验可全面了解目前主流的病毒原理、爆发症状及查杀方式。

    VPN主要功能：

提供目前应用最广的PPTP、IPSec及SSL VPN实验，可供学生进行主流VPN技术的原理学习和配置操作。

4.      结论

目前，SimpleISES系统正式投入使用的实验模块有以下10个模块，总计包含96个实验，学校授课教师可根据相关课程中实验课时的安排情况，选择进行相关的实验教学。利用SimpleISES实验系统建设信息安全实验室，可以支持全方位的信息安全教学和培训。可为社会培养高素质的信息安全人才，促进学校的教学改革和科研，从而服务于社会的整个信息化建设。

(责任编辑：adminadmin2008)