信息安全导论实验教学的研究与实践

　　1课程概述

　　“信息安全导论”是面向计算机科学与技术专业和网络工程专业学员的一门专业技术课程。随着部队信息化建设的迅猛发展，部队对信息系统的依赖日益加重，信息安全问题日益突出，因此在利用信息化提升部队战斗力的同时，必须研究信息安全的自身特点，寻找信息安全问题的解决之道。

　　本课程要求学员了解信息安全的重要性和复杂性、理解信息安全的基本概念和基本原理、掌握信息安全的基本技能和基本方法。而实验教学的主要目的是让学员通过实验能够掌握基本的信息安全防护技能，了解系统存在的安全隐患，树立牢固的安全意识，培养良好的安全习惯，另一方面提高实践操作和应用能力。

　　课程的课内学时为32课时，课外学时即实验学时为12学时。课程内容基本覆盖了信息安全领域所涉及的主要分支和领域，共包括信息安全绪论、密码学基础、计算机系统安全、计算机网络安全、计算机应用安全和信息系统安全工程六章内容。而课外实验由于学时有限，只能在课程内容中进行适当的选择。

　　2实验教学内容选择

　　由于时间有限，应该优先选择最基本、最常用的安全技术方面的实验，并按照所需技术水平的高低进行阶梯式的安排。

　　根据这一原则在整个课程中计算机系统安全章节、计算机网络安全章节中涉及的内容成为实验内容安排的重点。

　　2.1计算机系统安全的实验内容选择

　　在计算机系统安全章节中的计算机操作系统的安全内容成为实验内容的首选。计算机操作系统是应用软件同系统硬件的接口，其目标是高效地、最大限度地、合理地使用计算机资源。没有系统的安全就没有信息的安全。操作系统作为系统软件中最基础的部分，其安全问题的解决最为关键。目前操作系统主要分为Windows系列的操作系统和类Unix的操作系统。虽然这些操作系统符合C2级安全级别，即自主安全保护和受控存储控制，但操作系统仍存在不少安全漏洞，而大多数恶意代码正是针对操作系统存在的安全漏洞进行攻击，因此导致出现很多安全问题。

　　为了让学员了解操作系统存在的安全漏洞以及攻击者入侵操作系统的手段，加强自身的安全意识，我们设计了一个Windows 2000漏洞入侵实验。实际上，对于大部分的安全问题，我们可以通过对操作系统的安全管理配置操作来进行防范。在实验内容中，我们选择Windows 2000和Linux操作系统进行操作系统的安全管理配置操作的学习。

　　2.2计算机网络安全的实验内容选择

　　在计算机网络安全章节中防火墙技术、嗅探技术和VPN技术被选择为实验的内容。

　　许多来自网络的远程攻击可以通过防火墙技术来进行防范。防火墙是在两个网络之间执行访问控制策略的一组硬件和软件系统，其目的是保护本地网络的通信安全。使用防火墙进行网络的安全防护是最常用的安全技术。据统计，全球接入因特网的计算机中有1/3以上处在防火墙保护之下。因此，理解防火墙的工作原理，并能根据定义的安全策略配置相应的安全规则是学习安全技术的一个重点。

　　嗅探技术主要通过将网卡设置为混杂模式来接收和分析所有经过网卡的数据包。而利用嗅探器窃取别人的用户密码和秘密信息是恶意攻击者常用的手段。通过学习嗅探器的使用，可以使学员们了解数据包的基本结构，从而加深对后阶段实验的理解，同时增强数据包在网络上传输时需要安全保护的意识。

　　在学习嗅探器使用的实验中，学员已经认识到数据包在网络上传输的不安全性。而VPN技术是实现网络安全传输的一种安全技术。VPN称为虚拟专用网，它是在因特网上实现的一个专用网络。由于利用VPN技术构建的虚拟网络中数据包是加密传输的，从而能够保证信息在网络传输的机密性。通过学习VPN服务的配置和连接的建立技术，可以加深学员对VPN技术的理解。

　　最后，学员通过学习本门课程不断地提高自身信息安全技术水平，并按照如图1的阶梯式实验内容的安排进行学习，能够了解入侵操作系统的典型攻击手段、掌握主流操作系统的安全管理配置操作、掌握防火墙的基本配置和使用、学会嗅探工具的使用和掌握VPN服务的配置和连接。

　　3实验内容设计

　　根据图1的安排，整个实验课程的内容包括六个实验。每个实验所占课时为2个课时，为了让学员们能够在短时间达到实验要求，实验内容主要以验证性的实验为主，部分提高型的设计实验为辅。验证性的实验内容的实验步骤比较详细，力争学员在实验课时间内完成所需实验，而提高型的实验内容用于部分感兴趣的同学在课后进一步提高技术水平。

　　3.1Windows 2000漏洞入侵的实验内容

　　操作系统存在许多安全漏洞如缓冲区溢出，很多攻击都是针对这些漏洞进行的。此次实验的操作系统选择的是Windows 2000。实验的主要目的是让学员们了解典型入侵过程，提高安全意识。针对漏洞入侵的典型过程如图2。在入侵典型过程中安装后门和清除入侵痕迹不属于必备环节，而是较高级的攻击者采取的方法。

　　此次实验的主要内容是设计两个可验证步骤的漏洞入侵过程，让学员可以在实验课时内按照实验步骤完成实验。这两个入侵过程分别为：1433溢出漏洞攻击和弱口令入侵。第一个实验包括了典型入侵过程的主要环节。第二个实验进一步提高学习内容，包括了安装后门的环节。

　　3.2操作系统的安全配置实验内容

　　针对攻击者的攻击，实际上可以通过对操作系统进行安全管理配置的操作来进行防范。操作系统的安全配置实验包括Windows的安全管理配置和Linux的安全管理配置两次实验。

　　这两次实验的具体操作虽然不同，但实验的内容是相同的。每次的实验内容包括三部分：系统用户管理、系统服务管理和系统安全配置。

　　多用户的操作系统通过将用户进行分组的管理，每组赋予不同的权限，来限制用户对系统资源的使用，从而防止非授权用户进行非法操作。通过系统用户管理的学习，学员不仅可以掌握如何增加和删除用户，而且还可以学会如何修改用户权限。

　　由于针对操作系统的漏洞进行攻击是攻击者的主要手段，因此操作系统应遵循最小特权原则，尽可能关闭不需要的服务。通过系统服务管理，学员可以知道如何根据需求关闭特定的服务和端口。

　　为了防御攻击，操作系统还可以进行专门的安全配置。审核策略就是其中的一项重要的功能。审核策略可以对特定事件如登陆失败的事件进行日志记录。系统管理员通过对日志记录进行分析可以对攻击者的攻击行为进行事后追踪。同时，管理员还可以发现攻击者的不良企图，从而加强对系统的防护。

　　3.3嗅探工具Sniffer的使用的实验内容

　　利用嗅探器窃取别人的用户密码和秘密信息是恶意攻击者常用的手段。此实验的目的是通过学习典型嗅探器sniffer的使用了解数据包的结构，加深学员对后阶段实验的理解，并增强学员对数据包在网络传输要进行保护的安全意识。

　　整次实验包括如何利用嗅探器sniffer对报文进行捕获、解码和编写报文的内容。其中报文捕获和解码是基本学习内容，而编写报文为提高内容。

　　报文捕获的实验内容如下：

　　利用sniffer工具捕获指定目标机发出的所有数据包。

　　利用sniffer分析捕获的报文。让学员两人一组：一人在目标机上登录某网站并输入用户名和密码;一人捕获其发出的数据包并分析出用户名和密码。

　　报文解码的实验内容包括熟悉各种协议报文结构并对捕获的IP报文主要是报文头部的各种信息进行分析。

　　编写报文的实验内容是利用sniffer提供的报文编辑功能，自行编写一个IP报文并发送到合作伙伴的目标机上，并由合作伙伴捕获进行分析。

　　3.4防火墙iptables的启用与配置的实验内容

　　使用防火墙是防范攻击者攻击的一种最常用的安全技术。此实验的目的是通过启动配置linux系统下的防火墙iptables，理解防火墙的工作原理，并能根据定义的安全策略配置相应的安全规则。

　　此次实验需要两台机器，可验证的实验步骤如下：

　　(1) 一台机器启动防火墙iptables，充当服务器。

　　(2) 服务器清空防火墙的过滤规则表。

　　(3) 另一台机器充当客户机，使用扫描器nmap对服务器进行扫描，发现其开放的服务，并使用其提供的服务。

　　(4) 服务器配置报文过滤表使得客户机不能访问服务器提供的任何服务。

　　(5) 客户机再次访问服务器，已不能使用其提供的服务。

　　3.5VPN服务器配置与连接的实验内容

　　VPN技术是在因特网上构建的虚拟专用网络。它通过一套复杂的协议来保证数据包在网络上进行安全的传输。此实验的目的就是通过对学习VPN服务器的配置和连接建立来加深学员对VPN概念的理解。

　　实验内容选择学习VPN中最常用的一种访问连接方式——远程访问连接方式。通过虚拟专用网的远程访问方式，VPN客户端可以通过IP网络(例如因特网)与充当VPN服务器的远程访问服务器建立虚拟点对点连接。这种方式最适用于公司内部经常有流动人员远程办公的情况。

　　可验证的实验步骤包括：

　　(1) 配置和启动Windows 2000 Server下的VPN服务器。

　　(2) 授予用户通过VPN连接服务器的权限。

　　(3) 授权用户与VPN服务器建立VPN连接。

　　4教学效果

　　信息安全导论实验课程的每次实验都需要提交实验报告来考察实验教学的效果。从提交的实验报告来看，所有学员都在既定时间内完成了实验规定的基本内容，而部分学员在课外时间完成了提高部分的内容。信息安全导论课程的总评分中笔试占70%，实验成绩占30%。整个课程的成绩在良好以上的学员占30%，中以上的学员占80%，达到预期目标。

　　课程学习结束后，我们对学员进行了调查，学员普遍反映通过实验课的学习加深了对信息安全技术的理解，同时提高了自身的安全意识。

　　作者：郑倩冰　姚丹霖　赵文涛 来源：计算机教育 2008年12期