方案概述

网络安全问题已经成为了当前互联网发展过程中的一项避不开的重大难题,近年来,大量的数据泄露安全事件已经给我们敲响了警钟,2014年12月全国人大常委会近日将审议“关于加强网络信息保护的决定草案的议案”,引发网上强烈关注。这些问题主要是源于企业自身缺乏专业的网络安全人才,技术层面未定期对企业信息系统进行自检、自查、自评估。管理层面未建立一套完善的网络安全防护、管理体系。网络中的安全其本质最终是人的意识安全、技术安全、管理安全。对信息安全人才缺乏引入和培养,是目前我国各行各业普遍存在的问题。

在信息安全领域,锐捷网络提供了企业总分机构互联解决方案、金融安全准入解决方案、政府应用安全域解决方案、医疗等保解决方案。在这些方案中,锐捷网络依照国家信息安全等级保护制度,实现了分等级实行安全保护、按等级管理以及分等级响应、处置,并且帮助客户实现了安全与成本之间的平衡。

信息安全实验室解决方案,以锐捷网络成熟的信息安全行业应用案例为依据,将国家信息安全等级保护制度的最佳实践,带入教学中。学生将从全局安全的角度理解安全技术并掌握各类安全保护技术/产品的应用与部署。

适用专业

方案理念

目前,信息安全实验室的建设存在3个问题。

  1. 重理论轻实践。理论课太多,不清楚行业如何实现。有单点实验,但不了解何为全局安全。
  2. 老师不敢深教。实验攻击流量,扩散到校园网怎么办?学生学会了,去恶意攻击怎么办?
  3. 重技术轻标准。课程学了很多,但如何评估网络是否安全?作为敏感技术,国家标准很重要,但没有在教学中引起重视。

基于这3点问题,行业经验告诉我们,信息安全是一项实践性要求非常高的技术方向,信息安全专业人员的专业分工在行业中也很明显。有少部分从事安全理论研究、算法研究的科研人员;有进行风险评估、等保检查的信息安全检测人员;有负责提供安全解决方案、实施安全手段的安全技术工程师;有负责信息系统运维并实时确保系统安全运行的信息安全保护人员。

从业务特点来看,科研人员专注于顶层设计和安全协议的开发,偏重理论研究。而信息安全监测人员、安全技术工程师、信息安全保护人员更关注与风险规避和攻击防范,偏重实践。市场人才需求量也一直是后者居多。因此,信息安全实践环境的建设的聚焦点,就是服务于培养信息安全保护者。

于是,锐捷大学分析了目前的攻击者行为,结合行业人才需求,总结出:一个合格的信息安全保护工作人员,要了解攻击者行为并有能力通过技术手段发现风险并提前防御攻击者行为。同时,锐捷大学将这些技术手段归纳为网络空间安全纵深防御知识体系。

?

最后,我们将这些技术手段的行业经验转化为可以在高校实验室中实施的方式,形成了信息安全实验室解决方案。

方案拓扑

实验室规划4个区域。

  • 实验分组机架区:所有网络安全实验设备被安装在机架中。机架管理控制服务器、虚拟实验平台连接至实验室中心交换机。
  • PC区:学生机和教师机处于该区域,PC可以通过远程登录访问网络设备的控制台接口,通过WEB方式访问云虚拟实验平台界面和网络攻防实验平台界面。
  • 核心区:CTS云教学服务器平台和网络攻防实验平台放置在核心区。
  • 出口区;所有访问外部网络资源的流量必须通过出口网关。通过出口网关的应用识别和审计功能,可以管理学生的上网时间和网络应用访问权限。


实验分组机架图

  • 机架管理控制服务器?

机架管理控制服务器提供一个高密度一步接口和16路Console线缆,可以连接至三层交换机、数据中心交换机等网络设备的控制台接口上。其IP接口与实验室中心交换机互联,与学生PC的IP可达。这样,学生只需要通过远程登录终端访问机架管理控制服务器,进而登录到机架内所有网络设备的控制台,而无需在学生PC和网络设备之间频繁插拔Console线缆。

  • 虚拟实验平台

虚拟实验平台提供运行多种操作系统和虚拟网络设备的功能。在云计算实验室机架中,可以通过虚拟实验平台运行多台防火墙来实现数据中心内外网安全策略实验,也可以运行虚拟PC来仿真云数据中心外网用户。设备本身固化9个千兆以太网接口,不同的虚拟设备可以通过不同的接口与机架内其他设备互联,形成不同的综合实验环境。

  • 三层交换机

三层交换机作为常规网络汇聚交换机,提供了所有交换网络中的常用功能,在云计算实验室机架中,可以实现多虚一的交换机虚拟化实验,也可以连接虚拟防火墙的外部接口,仿真云数据中心外部网络的功能。

  • 下一代防火墙

具备行业普遍的各层防火墙安全功能,学生可以练习防火墙的各种部署方式和安全策略实现方式。并且学生还可以学习到业界先进的虚拟防火墙技术,将一台防火墙虚拟成多台防火墙以满足混合式的安全需求。

  • 安全与VPN网关

具备行业普遍使用的多种VPN功能,学生可以练习到基于IPSEC、PPTP、L2TP、GRE的站点间VPN部署方式以及包括SSLVPN在内的多种Remote VPN部署方式,以及多种隧道和加密技术在VPN部署中的混合实现方式。

  • 攻防对抗实验平台

攻防对抗实训平台是一款软硬件结合的高性能信息安全实战平台。高性能计算节点直接连接在实验室局域网交换机上,共教师和学生访问。平台通过虚拟化的技术使学员通过强大的资源库学习后,通过预制相应的实验环境进行实验,使学员掌握各类技术的漏洞原理、攻击与防御方法。

平台支持组织各类攻防训练、竞赛等活动提供强大的支撑平台。攻防对抗内置了大量的题库、具有全面性、广泛性、深度性。支持练习、比赛等模式,支持对学生比赛模式的进度情况以可视化的方式进行实时展现。

  • 等保评估实验平台

等保评估实验平台是一套帮助学生理解国家信息安全标准,掌握信息安全等级保护评测手段的专业实验平台。提供网站安全检查实验工具、数据库安全检查实验工具、系统漏洞检查实验工具、弱口令检查实验工具、网络设备检查实验工具、U盘离线检查实验工具,支持检查任务管理、数据汇总功能,以及评估报告制作与导出。评估实验过程中包括技术性评估与非技术性评估,通过实验学生将具备等保检查专员的必备技术与沟通能力。

实验内容

前置课程

在进行信息安全实验课程前,建议将以下课程作为信息安全实验的前置课程。

  • 《计算机网络》
  • 《网络设备互联》
  • 《Linux网络服务》
  • 《信息安全原理》

实验教材

设备清单?

?