浅析职业教育院校信息安全实验室建设研究

　　信息安全实验室是院校进行信息安全相关课程实践学习的重要场所，同时也为信息安全技术领域科研工作提供良好的环境平台支撑。文章结合职业教育院校特点，从实验室建设意义出发，重点阐述实验室建设原则、建设规划以及实验项目设计等内容。

　　随着信息技术的不断发展与应用，信息安全的内涵在不断延伸，从最初的信息保密发展到信息的机密性、完整性、可用性、可控性和不可否认性，对信息系统提出了“保护、检测、反应、恢复”的保障安全策略。信息安全技术涉及面广，包括如物理安全、网络安全、数据安全、信息基础设施安全等多个方面。

　　一、实验室建设原则

　　信息安全实验室需要符合信息安全最新技术发展的总体趋势，建设时应该考虑以下原则：

　　(一)以满足岗位任职需要为原则，重点突出实用性

　　职业教育院校的学生来自于不同岗位不同层次，他们的学习目标更加注重岗位实践能力的提升。因此，信息安全实验室的软硬件环境建设、实验内容安排，实验结果评定都应该更加以岗位任职技能提高为导向，重点突出满足实际任职的实用需要。

　　(二)以紧跟信息技术发展趋势为原则，重点突出先进性

　　信息技术发展日新月异，信息安全领域的硬件设备、软件技术都在不断更新和提高。因此，在进行实验室建设的时候，应选择实现原理与技术相对先进的实验设备和建设方案， 以保证实践内容的先进性。

　　(三)以遵循设计架构科学灵活为原则，重点突出可扩展性

　　在进行实验室建设规划设计的时候，应充分考虑当前需求与技术发展之间的关系，遵循系统架构灵活可扩充的基本原则，使实验室提供的实验平台能够及时升级与更新，以适应不断发展的新技术与新方法。

　　(四)以保证实验系统行为可控为原则，重点突出安全性

　　信息安全实验室的部分实验具有一定的攻击性和破坏性，所以在进行实验室总体规划时，应通过采取合理的设计方案、采用有效的技术措施、制定完善的规章制度，以保证实验过程中的行为不会对实验室内部以及外部网络造成破坏和干扰，充分确保信息安全实验室数据与环境的安全性。

　　二、实验室建设规划

　　(一)实验室总体规划

　　针对职业教育院校学习特点，结合实用性、先进性等相关建设原则，信息安全实验室主要从网络信息安全、通信信息安全、涉密实体安全等方面来进行建设。

　　1.网络信息安全实验平台

　　网络信息安全作为信息安全的重要环节，是当前实现信息安全保密的关键。通过搭建网络信息安全实验平台，可以完成包括远程控制、病毒防护、漏洞检测、木马攻击、防火墙应用等实验，使学生进一步了解和掌握网络信息安全隐患和相关的防护技术。

　　2.通信信息安全实验平台

　　通信信息安全主要包括固定电话系统和移动通信系统的安全防护。通过通信信息安全实验平台，能够完成固定电话模拟窃听，移动通信信息截获，手机通话模拟监听等实验，进一步提高学生信息安全意识。

　　3.涉密实体安全实验平台

　　涉密实体安全防护主要包括固定设施、涉密文档、涉密设备的安全防护。搭建涉密实体安全实验平台，能够完成模拟涉密文档防复印、涉密存储介质数据安全等实验。

　　(二)实验室环境设计

　　1.实验室平面布局

　　考虑实验室建设的可扩展性和安全性，将实验室从整体布局上划分为两个区域：实验区和演示区。实验区主要供学生进行网络信息安全保密的相关实验活动;演示区主要进行通信信息安全实验和涉密实体安全实验的相关演示活动。

　　2.实验室逻辑结构

　　实验室结构主要可分为3个部分：网络信息安全实验区、通信信息安全实验演示区和涉密实体安全实验演示区。

　　(1)在网络信息安全实验区部署学生实验用机。以5人以内为单位分为多个实验小组。为了更好的进行不同操作系统环境下的安全实验，每台学生用机配置windows、linux双系统。部署一台教师用机和一部投影仪，主要用来给学生进行网络信息安全实验、安全攻防的集中演示。

　　(2)通信信息安全实验演示区主要设置通信信息安全实验台，包括手机、固定电话监控设备、移动通信信息截获装置等。

　　(3)涉密实体安全实验演示区主要设置涉密实体安全实验台，主要包括实验存储介质、防复印设备等。

　　三、主要实验项目设计

　　根据信息安全实验室建设的三大平台，设计出不同方向不同层次的实验项目，有助于充分发挥实验室的最大效能。

　　(一)网络信息安全实验

　　实验一：交换机端口安全。从网络管理的安全性考虑，对交换机上端口的访问权限做些限制，通过限制允许访问交换机某个端口的MAC地址以及IP地址来实现严格控制对该端口的输入。通过该实验使学生理解交换机端口的安全性，并掌握其配置方法。

　　实验二：网络扫描。使用网络端口扫描器，了解目标主机开放的端口和服务程序，从而获取系统的有用信息，发现网络系统的安全漏洞。通过网络端口扫描实验，增强学生在网络安全方面的防护意识。

　　实验三：口令设置与破解。使学生了解口令破解的工作原理，验证弱口令存在容易被破解的隐患。

　　实验四：木马的功能和危害。采用教师演示和学生亲自操作的形式，体验木马的远程控制功能，认识木马的窃密危害。如文件的下载、上传、远程屏幕控制，远程音视频监控等。

　　实验五：木马的植入。了解和体验木马的植入手段。

　　实验六：网络传输信息的泄露。通过嗅探获取网络传输数据中的重要信息，了解网络数据传输中被窃听的风险。

　　实验七：网络传输信息的篡改。通过篡改网络传输的信息，验证网络通信过程中存在的数据被篡改的风险。

　　实验八：ARP欺骗实验。了解ARP欺骗类型和手段，掌握防范ARP地址欺骗的方法和措施。

　　(二)通信信息安全实验

　　实验一： 模拟手机通话防监听。通过教学专用的手机通信监控设备，模拟监听手机的通话内容，验证手机等信息终端存在的失泄密隐患

　　实验二：模拟固定电话防窃听。通过教学专用的固定电话通信监控设备，模拟监听固定电话通内容，验证固定电话存在的失泄密隐患。

　　(三)涉密实体安全实验

　　实验一：存储介质的安全风险。磁盘文件删除和高级格式化后，对磁盘进行数据恢复，验证存储介质的安全风险。

　　实验二：涉密文档的安全风险。通过防复印技术处理涉密文档实验，使学生具备对涉密文档的防护技能。

　　作者简介：

　　熊瑜，女，1981年8月出生，硕士研究生，讲师。从事专业：网络信息安全技术。