案例分享丨网络安全虚拟仿真实验平台设计思路
如今,网络空间已经成为与陆、海、空、天并列的第五大主权空间,与我们的工作、生活、学习深度融合。当前网络空间攻击趋向体系化、多样化,而且手段越来越隐蔽,病毒扩散速度更快,防御难度增大。
图源中国海洋大学官博
这一情况下,网络安全领域人才培养应注重知识面广、单点深入、学科交叉、需求实践、知识更新迅速等方面,仅依赖传统的人才培养方式明显力度不够。再加上网络空间安全传统教学中往往偏重理论体系学习,实践教学严重不足。因此,需要普及网络安全意识和实践技能的教育,使学员全面掌握网络安全的基本规律和主要技能,有效规避风险。
网络安全实验与传统教学结合
随着教育教学改革不断深化,在一流高校、一流学科和新工科建设的背景下,探索虚拟仿真实验平台的建设,实现实验教学的信息化、共享化和个性化具有重要意义。体系化、系统化网络安全攻防虚拟仿真平台的搭建,有助于构建“演示、教学、作业、练习、模拟对抗”一体化培养模式,实现网络安全攻防实操技能与理论体系相结合的混合式教学。为此,可从虚拟仿真实验模块设计、传统教学模式向混合模式平滑过渡、进阶式学习激励体系建设三个方面寻求突破。
虚拟仿真实验模块设计
网络安全虚拟仿真实验过程涵盖上课所学知识点。学生通过计算机终端浏览器进入网络安全虚拟仿真实验教学平台,以视频、音频、资料等方式学习理论知识和操作技能。为保证培养的学生知法懂法,平台引入国家网络安全法律法规相关内容的视频教学、考核题目,简要介绍网络安全行业发展现状、最新技术、各种类型网络安全设备。
构建网络安全实验虚拟仿真模块,包括服务器系统安全、网络安全、办公安全、应用中间件安全、数据库安全、云安全、密码学、渗透测试、安全加固等不同分类,具体技术分类如图1所示。可见,虚拟技术的出现为实验教学问题提供了新的视角和新的解决方案。同时,学校可以通过开放自由的虚拟攻防环境鼓励学生创造、实践,助力其灵活融汇各类知识。
图1 网络安全虚拟仿真实验技术分类
传统教学模式向混合模式平滑过渡
当前混合式教学理论已经比较成熟,学校可对一些用户量比较大的线上课堂平台进行研究分析,选择适合网络安全虚拟仿真实验课程的混合教学理念;从不同目标、资源积累、学习激励、考查体系四个维度进行脉络式松散型的教学课程体系迭代开发,使学生对课程知识的学习从线下课堂传统学习模式平滑过渡到课堂与在线平台并行的混合模式。
日常教学中,可以通过多个学习进程树状导向安排,满足一般学生掌握网络安全基本规律和主要技能的需求,同时引导部分感兴趣的学生向网络安全某个方向深度进阶。另外,紧跟互联网攻防发展趋势优化虚拟平台实验功能,并无缝融入到教学、实验和课后学习扩展中。总之,教师可以通过虚拟平台的实验功能演示课程内容,使课程内容变得生动易懂;学生可以通过虚拟平台进行实验和课后学习拓展,在真正的操作中掌握相关技术知识,在虚拟环境中实现网络攻防体验。
进阶式学习激励体系建设
在总结实验教学经验的基础上,学校可以结合教育积极心理学和计算机信息技术,设计一个进阶式学习激励体系。
具体而言,把多个具体实验打上标签属性,包括难度、前置知识点、所在分支树、时长;按照学习目标以及难易程度分为多个系列,在必过入门实验基础上,集成多个不同分支相关实验组成专题系列;利用多媒体交互技术,通过在线方式与老师同学紧密同步;根据用户个人纵向学习进步指标和班级综合水平,动态计算用户分值,采用虚拟头衔进阶、匿名报表展示,激发学生学习兴趣。
学生在完成教学必须的实验后获得初级级别,依次解锁不同级别难度、知识树、专题的实验序列。这样,不仅能引导学生逐步深入学习,还有助于激励其自学。
虚拟仿真实验平台架构设计
网络安全虚拟仿真实验平台涵盖安全设备、服务器、电脑客户端、手机平板端、交换路由等各类虚拟仿真组件,构建符合网络对抗需求的虚拟环境;采用虚拟化、高速缓存、负载均衡等技术,将硬件计算资源融合成统一的虚拟资源池;底层系统由中央控制单元调度硬件资源动态分配给各个虚拟设备。
出于安全考虑,底层部署逻辑路由列表,实验网络封闭在平台内部;内部利用SDN技术把虚拟的实验环境和攻击靶场隔离在不同区域,而且针对每个用户分配多个子区域,构建大规模网络仿真(如图2所示)。平台具体的技术路径如下:
图2 网络安全虚拟仿真实验平台技术架构
在提高浏览器端仿真平台的表达效果方面,采用HTML5技术进行网页设计与表达。平台规划使用HTML5包含的Canvas画布功能实现矢量绘图、合成栅格图等功能,直接在浏览器上进行界面渲染,具备较强兼容性能。
使用Nginx作为平台的对外服务组件,配置ip_hash方式进行负载均衡,保障较高用户并发量。对重复场景和重复数据包的访问进行加速,对虚拟设备组件制作过程中请求的安装包、工具、图片等各类可缓存资源进行缓存,加速场景生成时间。
利用KVM虚拟化和容器两种技术实现业务仿真。KVM作为使用较广的开源系统虚拟化模块,目前在Linux各个主要的发行版本中都有集成。Hypervisor相关软件将服务器或网络设备虚拟化,成为多个进程运行在物理集群上。
Docker容器技术实现操作系统层面的虚拟化,复用宿主机的操作系统,实现多个操作系统平台上的复用。通过KVM虚拟化和容器技术,能生成互相隔离的不同虚拟机,并能在轻量级的Docker容器下实现对应用的封装、分发、部署、运行的生命期管理,达到“一次封装,多处运行”的目的,实现多种安全组件的高效虚拟仿真需求。
利用OpenStack云计算管理软件来构建管理多机攻防环境,充分利用丰富组件功能。近几年,云计算的快速发展为网络靶场环境的部署提供了一些新方案。
云平台能够在网络连接中依照需求量对资源池中的硬件资源进行快速合理的管理分配。其中,OpenStack就是一种较好的选择,部署在私有云中,通过互相关联的组件控制着整个平台不同架构的处理器、内存、硬盘和网络的硬件资源。
平台管理员可以通过图形界面、命令行对整体项目进行便捷管理,优化和改造内部Neutron模块,实现实验平台的网络模拟能力。Neutron作为OpenStack的核心组件,主要负责提供网络服务。充分利用包含的二层交换、三层路由、防火墙等高级功能,实现平台网络资源配置的灵活可控。使用Keystone组件提供统一认证的身份服务。
平台规划部署支持NS、OPNET、GloMosim仿真环境,具备一定的测试科研能力。在特定网络协议或者流量的性能评估研究阶段,平台提供快速有效的网络设备模拟测评条件,可以对多种有线、无线网络进行仿真模拟,生成多层网络拓扑结构,仿真各种流量情况。
网络安全虚拟仿真实验平台可以进行多种实验、科研、测试活动;内部开放虚拟攻防环境内,鼓励学生运用所学知识和实验资源进行创新实践;面向学生和学校信息系统管理员,提供基于网络安全常见设备虚拟仿真技术的在线实验课程,让学员在实践中体验网络安全的重要性,提高实战能力,在未来的网络安全科研和就业环境下更具竞争力。
基金项目:中国海洋大学实验室研究基金项目(202251007),中国海洋大学成人高等教育研究项目(2021CJ03)
作者:赵正利、姜鹏、全泓达(中国海洋大学)
责编:陈永杰
投稿或合作,请联系:eduinfo@cernet.com
往期推荐
关注我们 了解更多↓
更多精彩视频推荐
欢迎分享、点赞、在看
积极留言还会有惊喜好礼哦~