網絡安全國家級虛擬仿真實驗教學中心建設探索

張滬寅， 陳 晶， 黃建忠， 彭紅梅

(武漢大學 計算機學院; 網絡安全學院，武漢 430072)

0 引 言

2013年教育部發布文件[1-3]著重強調要逐步建設一批具有示范、引領作用的虛擬仿真實驗教學中心，同時伴隨大規模開放在線課程(MOOC和MOOE)的快速發展，近幾年遠程開放式虛擬仿真實踐教學模式越來越得到關注和重視[4]。目前，國內多所高校已經建成了可支撐網絡安全實踐教學的虛擬仿真實驗教學中心，成果顯著。但新的問題也隨之而來，諸如虛擬仿真專業實踐教學體系不完備、實驗教學資源開放共享度低、有效利用率低等問題愈發明顯，最為突出的是，由于缺乏教學思路的匠心設計、研發技術不成熟等因素的限制，導致能夠真正鍛煉和提升學生網絡安全技術水平和職業勝任力的精良設計型、綜合型、創新研究型等復雜實驗嚴重不足，這對于充分鍛煉學生的動手能力、思維能力、創新能力、利用所學知識解決復雜工程問題的能力，教學效果并不理想，也有悖于OBE工程科技人才培養理念[5-6]。因此，研發如何集知識性、趣味性、挑戰性、創新性于一體的復雜實驗，打造網絡安全虛擬仿真“金課”，將成為網絡安全虛擬仿真實踐教學改革和實驗教學中心建設的重中之重。本文將重點探討網絡安全虛擬仿真實驗教學中心針對該課題的建設成效，以及在網絡安全復雜實驗研發和教學改革方面的探索嘗試和階段性創新成果。

1 網絡安全虛擬仿真實驗教學平臺設計

網絡安全虛擬仿真實驗教學平臺是一套支持大規模并發的在線虛擬仿真實驗平臺，并內置云計算、大數據、人工智能、信息安全等多學科的專業課程實驗教學資源，方便學院組建多學科交叉融合的課程體系，結合系統完善的學習路徑和行為、教學管理等大數據分析功能，可有效促進和提升教師“以學生個性和興趣為基礎”的“因材施教”教學質量。平臺提供的院校級教務管理決策支持服務，可有效助力學校教育信息化、工程教育教學改革和高素質泛IT技術人才培養。平臺特有的強大云融合技術，支持學校建設院級、校級、區域級教學資源共享服務中心，高效推進泛IT領域優秀工程科技人才培養，驅動武漢市、湖北省乃至全國泛IT產業和經濟發展。

1.1 平臺系統架構設計

平臺是基于OpenStack云架構技術實現，融合SDN、KVM等虛擬化技術，并根據教學場景做了大量二次開發，構建的高性能、高并發、彈性可擴展的大規模云融合虛擬仿真實驗教學平臺[7-10]，其業務架構如圖1所示。

圖1 虛擬仿真實驗教學平臺系統架構圖

該平臺的云服務層由兩部分構成：基礎硬件資源子層和虛擬資源子層?；A硬件資源子層主要包含控制節點服務器、計算節點服務器、存儲服務器、交換機等硬件設備及相關組網；虛擬資源子層主要為OpenStack+KVM提供實驗所需的虛擬資源調度、監控，虛擬機的生命周期管理等。虛擬網絡服務模塊主要實現虛擬機的網絡資源管理，以及虛擬網絡的二層/三層組網管控服務[11-14]。

1.2 平臺的教學價值優勢和特點

網絡安全虛擬仿真實驗對比實體實驗，最大的區別在于用虛擬的手段模擬了成本昂貴的實體實驗器材和實驗場地，節省了資金，同時帶來了教學的靈活性；避免破壞性。因此網絡安全虛擬仿真教學平臺教學價值的重要性不言而喻，并具備以下優勢和特點：

(1) 教學方式靈活。所有實驗資源及實驗環境均部屬于云端，用戶無需在本地部屬實驗環境，只要網絡環境暢通既可啟動云端虛擬機，一鍵式部署實驗環境進行實驗。

(2) 實驗環境獨立。使用虛擬機來構造各種實驗環境，使用Vlan、Vxlan虛擬網絡技術保證實驗環境的獨立。

(3) 危險、極端實驗環境仿真?？商摂M仿真各種不可逆的危險網絡安全實驗環境。

(4) 教學可實時跟蹤。提供實驗實時錄屏功能，可記錄學生所有操作步驟，老師可以隨時檢查并糾正學生的操作錯誤。

(5) 支持實驗快照。實驗操作過程中可以隨時保存實驗狀態，下次可以恢復快照，繼續實驗流程。

(6) 寫時拷貝技術。平臺使用稀疏文件技術和COW(寫時拷貝)技術，最大限度節省硬件磁盤成本。

(7) 高效學習行為分析?？筛鶕W生操作記錄進行學習行為分析，形成學習用戶畫像，便于老師掌握教學效果、查漏補缺和因材施教，便于學生了解自己學習的優勢和不足等具體情況。

(8) 支持區域教學資源共享服務中心功能。實現了校內、校際間教學資源服務共享，打造以武漢大學網絡安全學院為中心，服務于全校、武漢市乃至整個湖北區域的優秀教學資源共享平臺。

2 “四類型六環節”實踐教學體系建設與探索

遵循學?！昂竦螺d物”的辦學思想和“創新能力、創新意識、創新人格”的教育理念，緊密結合當前社會環境對人才需求，學院設計并實現了覆蓋網絡安全人才培養全過程的“四類型六環節”網絡安全專業實踐教學體系，如圖2所示。網絡安全專業4年的本科工程技術人才培養，需要充分思考學生的入學基礎和個性化學習心理，制定符合學生接受水平的由易到難階梯漸進式專業課程教學計劃。因此學院根據具體課程和集中實踐教學項目的難易程度和學科知識技能范圍覆蓋度，將專業整體實踐教學環節細分為：認知實驗、驗證實驗、設計實驗、綜合實訓、畢業設計和科研競賽六個環節，完成四種類型實驗，分別是：專業基礎實驗、專業核心能力實驗、專業綜合實驗、科研創新實驗。

圖2 網絡安全虛擬仿真實踐教學體系

3 網絡安全虛擬仿真復雜實驗研究與創新

依托網絡安全虛擬仿真實驗教學平臺和多年積累的實踐教學經驗，學院開發了多種虛擬仿真復雜實驗課程，基于網絡安全虛擬仿真實驗教學平臺的專業課程實踐教學效果得到明顯提升。

3.1 網絡安全虛擬仿真復雜實驗場景設計技術框架

網絡安全虛擬仿真包括以下維度：設備仿真、場景仿真、結構流程仿真。每種網絡安全試驗仿真環境由虛擬機、設備仿真，通過拓撲組件連接，形成一套完整的仿真試驗環境[15]。

網絡安全虛擬仿真復雜實驗的主要場景軟硬件資源編排和部署方式如圖3所示，每種實驗場景都部署了仿真典型企業網絡場景的設備(虛擬主機)、網絡拓撲、軟件系統環境和完成實驗任務所需的多種實驗工具[16]。

圖3 網絡安全虛擬仿真實驗場景軟硬件資源編排和部署原理圖

3.2 網絡安全虛擬仿真復雜實驗教學設計原則

為切實保障優質的教學質量和效果，網絡安全領域虛擬仿真實驗任務設計遵循以下原則：

(1) 遵循教育心理學規律，從學習任務的利用性價值激發學習興趣，設計實驗任務。

(2) 要求學生在充分理解并掌握網絡安全相關知識和技能的基礎上，階段性完成每個實驗的幾個任務。完成這些任務，既需要學生積極思考，又能激發學生解決網絡安全問題的探索欲望和學習興趣。

(3) 每門課程所有實驗的知識技能點全面覆蓋課程知識技能點，并有適度拓展和挑戰。

(4) 實驗任務設置考核點、考核題目以及任務成績分值，系統自動統計分數。

(5) 實驗任務設置操作時長限制，有效督促學生高效完成實驗任務。

(6) 對于抽象課程，設計可視化操作界面雙模式(可視化操作驗證和在線編程)實驗任務，充分鍛煉學生對抽象原理的理解能力和運用所學知識解決復雜工程問題的能力。

(7) 學生實驗過程中可隨時進行截圖、錄屏、記錄筆記、與老師互動交流等操作。

(8) 實驗的步驟、報告的提交、成績的評定等可由老師針對每個實驗靈活控制。

(9) 平臺提供關鍵詞百科功能，對關鍵詞提供有效知識鏈接，有效促進學生的知識拓展。

3.3 虛擬仿真復雜實驗案例分析

學院已經研發了計算機網絡安全、密碼學、網絡攻防、網絡硬件虛擬仿真等十幾門課程的虛擬仿真復雜實驗，基本覆蓋了網絡安全專業課程體系。由于每門課程的實驗內容以及教學方法均有所不同，每個實驗在教學設計和技術呈現上各具特色，在此僅對網絡安全和密碼學復雜實驗設計的創新特色進行案例介紹和分析。

(1) 網絡安全漏洞挖掘和利用實驗設計。漏洞挖掘實驗旨在通過常用網絡掃描工具在企業復雜網絡場景中的應用，讓學生深刻理解漏洞的概念、特性、必然性以及危害性，并先于攻擊者掌握漏洞挖掘和利用技術。本實驗設計了四個實驗任務，要求學生依次完成：① 使用nmap、MSF和Metasploit進行漏洞挖掘和利用；② 使用nikto、crunch和burpsuit進行網站滲透和控制；③ 獲取webshell權限并拿到目標機開放的遠程桌面端口號；④ 向目標機添加新用戶并控制目標機，獲取目標機文件和數據。

學生正式開始實驗之前，平臺會向學生展示實驗概況以及實驗網絡拓撲結構，便于學生全面了解實驗背景、實驗任務和實驗原理，有助于學生順利完成實驗任務和考核題目。實驗指導書中的拓展知識和經驗分享將有效拓展學生知識視野，培養學生終生學習的良好素養。

學生操作虛擬仿真平臺完成實驗的操作界面如圖4所示。開始實驗時，平臺將為學生創建實驗虛擬機鏡像環境，并開始實驗計時。操作窗口左側為學生操作的Linux系統命令環境，窗口右側為實驗指導浮動面板，學生通過該面板執行提交實驗任務結果、查看任務操作步驟、記錄筆記、與老師在線問答互動等操作。學生需要依次完成每一個任務，任務完成即獲得該任務考核得分，所有任務都完成，單擊“完成實驗”按鈕，即可獲得整個實驗的操作得分。

圖4 漏洞挖掘和利用虛擬仿真實驗操作畫面截圖

(2) 密碼學復雜實驗創新設計分析。傳統的密碼學實驗教學大多采用驗證式實驗，學生缺少深入的辯證思考，也未能嘗試獨立應用算法解決實際問題。

虛擬仿真密碼學復雜實驗使用虛擬化+Web IDE編程可視化模式，模擬密碼學算法的加/解密實際工作流程，讓學生在可視化圖形界面進行數據驗證或在線算法編程實現，直觀感受每個算法每一步的執行過程和結果。

虛擬仿真實驗平臺的Web IDE集成編程環境如圖5中的代碼區所示，平臺支撐語法高亮、自動縮進、代碼版本管理等基本功能，提供交互式變異執行的展示終端，可支持C/C++、Java、Python等多種編程語言，為學生帶來良好的代碼編輯和終端交互體驗。學生通過密碼算法編程實戰，可獨立完成部分或全部算法的源代碼實現。

圖5 密碼學MD5算法實驗操作畫面

為了讓學生更加直觀感受密碼學抽象算法的加解密流程，設計了可視化算法流程數據跟蹤和驗證面板，讓學生體驗“看得見”的密碼學算法加解密流程。

圖6以MD5算法為例，闡釋密碼學可視化算法流程數據跟蹤和驗證的實驗任務操作過程。如圖6左側面板所示，當輸入明文并單擊“開始”按鈕，系統自動計算生成初始的128 bit計算變量，大致算法原理為：系統自動計算生成的128 bit計算變量分為等長4塊，分別存儲在4個寄存器中。每個分塊總共4個回合，每回合計算16步，合計64輪次計算，算法中需要加入sin(x)非線性的函數參數值，MD5算法具體原理請參考相關文獻，在此不再贅述。

學生單擊“第一輪函數變換”按鈕，實驗將切換到右側的“輪函數變換”面板，即開始第一回合第一輪次的函數變換。為考察學生對MD5算法流程的掌握程度，實驗分別選定第1-4回合中某3個輪次的“模232加”和“循環左移s位”操作結果輸出對應文本框作為算法流程數據驗證點，要求學生實驗程序輸出正確結果前，先行輸入自己的“模232加”和“循環左移s位”計算結果，系統會自動比對學生輸入數據的正確性，并將比對結果顯示到屏幕，同時自動計算學生實驗任務得分。這種方式大大提高了學生學習算法的趣味性和挑戰性，深受學生好評。

圖6 密碼學MD5算法實驗操作畫面

4 特色和創新點

虛擬仿真實驗教學中心建設的特色和創新點主要有以下5個方面：

(1) “四類型六環節”實踐教學體系既相互對應，也相對獨立，循序漸進、由淺入深，形成了協調一致的專業實踐教學有機整體，有效保障能力水平不一的學生均能獲得“量身定制”的實踐學習方案。

(2) 基于SDN技術和云融合的網絡安全虛擬仿真實驗場景設計架構，以及強調“學做合一”的實驗任務設計原則、完備的知識技能覆蓋度，全方位保證學生在仿真實驗中扎實掌握網絡安全關鍵知識和技術。

(3) 流程結構可視化的復雜實驗以前瞻性教學視野和創新實驗研發技術為基礎，突破了當前大多網絡安全實驗僅為驗證型實驗的教學局限，讓學生深度參與實驗操作，提升學生學習效果和職業勝任力。

(4) 大規模虛擬仿真和并發訪問能力：可支持500名學生同時并發在線上課學習。

(5) 區域資源共享服務中心：實現校內、校際間資源服務共享，打造以學院為中心，服務于全校乃至整個區域的優秀教學資源共享平臺。

5 結 語

學?，F已初步建成具有云融合能力的國家級網絡安全虛擬仿真實驗教學中心和“四類型六環節”實踐教學體系，將教育心理學和虛擬仿真技術結合，創新研發虛擬仿真圖形可視化綜合與創新型復雜實驗，奠定了建設虛擬仿真實踐教學“金課”的堅實基礎，打造“虛實”結合的實驗平臺，為國內外高校的網絡安全實踐教學積累了辦學經驗，推進我國網絡安全專業發展和工程科技人才培養有著重要的實踐意義。