本实验项目适应我国智能制造业和网络安全领域发展的需求,以培养具有专业胜任能力和社会适应能力的创新应用型网络安全人才为目标,坚持“学生中心、问题导向、学科融合、创新实践”的实验教学理念,按照“虚实结合、以虚补实”的原则,面向国家关键信息基础设施的工业互联网安全场景,依托北京市市级实验教学中心——计算机实验教学中心和北京市可信计算重点实验室,以及计算机学院网络安全教学团队,结合自动化学科、电子工程学科、信息安全学科等多学科交叉融合的研究成果,整合团队的工业互联网科研经验和成果,实现了基于工业互联网安全实际问题和实际案例的互动式学习,使学生一直紧跟前沿先进的网络安全技术,熟悉工业互联网中的攻击和防御方法,同时大大培养了学生创新应用能力、综合解决复杂工程问题的能力。
课程的第一版“漏洞与攻防”实验教学系统已经在本校信息安全专业进行了试用,并在北京邮电大学网络安全学院、宁波和利时信息安全研究院有限公司等高校及企事业单位开展推广,得到了良好的评价和反馈(详见附件证明材料)。2020年课程团队针对收集到的反馈意见,优化UI界面,丰富实验内容,完善交互体验,特别是针对工业互联网场景开发出“工业互联网漏洞攻防虚拟仿真实验”实验教学系统,使课程更适应高校、科研院所、企业等单位的不同需求,预计在2021年新学期课程中开展下一轮试用和推广。
(1)实验的必要性及实用性
1)必要性
第一,实验对象特殊。由于工业互联网的场景大多数都是燃气、智能制造、石油、电力这种国家关键信息基础设施或者企业工厂,学生难以以真实的场地作为实验对象进行反复实践。
第二,实验资源缺乏。工业互联网架构复杂、设备价格昂贵,学校实验室难以配备系统化、完整化的工业互联网生产线设备;同时,受研究水平和技术条件的限制,国家级优质实验资源无法向高校进行共享。
第三,实验操作危险。在工业生产的实际生产环境中开展试验和研究,可能会影响工业生产线系统和网络的正常运行,扰乱其稳定性、实时性和可靠性,引发不可控的严重后果,从而造成巨大财产损失及人员伤亡。
2)实用性
本项目面向国家关键信息基础设施的工业互联网安全场景,采用3D建模、动画、人机交互等技术提高仿真度,通过虚拟仿真技术模拟真实工业环境的网络、主机、流量和威胁,建设安全仿真和集成系统。这些基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。一旦被攻击就可能导致经济紊乱、重点制造业生产中断等问题,具有很大的破坏性和杀伤力。项目针对工业制造业的关键信息基础设施进行攻击和防御实验,将深奥而难以可视化的攻击和防御过程以图形和应用场景直观呈现,极具可观性和吸引力。解决了实装实验难以组织实施,也无法承受大批量的学生同时实验的难题。有效地拓展了实验内容的深度和广度,提升了工业互联网部分的学习效果,凸显了虚拟仿真实验的优势。
既能培养学生解决复杂工程问题能力又不会对真实场景造成安全隐患。达到为解决国家急需的网络安全人才培养过程中的问题,实现国家培养卓越人才和创新人才的战略目标。
(2)教学设计的合理性
1)注重实验内容的深入浅出,启发学生积极思维
平台建设的目的是为了更快、更好、更有效地把知识传授给学生,激发学生的学习兴趣,所以平台中的实验内容应深入浅出、通俗易懂,引导学生喜欢自己的专业,进而对科学研究产生兴趣。
2)强调内容的逻辑性和层次性,引导学生进行个性发展
为了强化学生对课程内容的理解,同时也培养学生认识问题、分析问题、解决问题的能力,实验内容注重分层次教学,初级实验重在突出基本技能训练;中级实验为综合应用型则重在将验证性、演示性实验提升为综合的素质培养式的实验教学,强调实验项目的综合化和应用性;高级实验侧重解决复杂工程问题的能力,培养学生创新能力。实验内容同时重视层次之间的逻辑性,例如在初级实验中,学生通过实验了解了安全访问控制协议的基本工作原理;再在中级实验中,对安全访问控制协议进行应用和分析;然后在高级实验中,对安全访问控制协议进行安全测试,不断引导学生思考,使问题一步步深化,还可以让学生自行改进现有安全协议,并在我们研发的网络安全配置系统上实现并验证,提高学习兴趣。实验内容的逻辑性和层次性设计使不同阶段的学生的实践能力得以稳步提升,引导学生找到各自的学习目标,进一步个性发展。
(3)实验系统的先进性
1)将团队科研成果融入到虚拟实验平台中
2)将本学科学术研究的最新成果融入该教学平台中
3)将国际认证最新培训内容编入网络安全边界教学平台
团队注重将国际认证最新培训内容编入网络安全边界教学平台,提升实验教学的应用性。2009年8月,思科公司推出全新的CiscoCCNASecurity课程,学习该课程可以为担任网络安全专家、网络安全管理员和网络安全支持工程师等职位打下坚实的基础。本平台的实验内容设置吸纳了培训课程中有益的教学内容,内容上循序渐进,突出重点,环环相扣,适当减去部分弱化的东西,强化了关键的部分。这种方式保证了该系统内容既突出重点,又与当今行业需求与时俱进。
4)将理论与实践相、实验与教学要求紧密结合起来
团队注重理论与实践相结合,实验与教学要求紧密结合,能够引导学生独立分析问题、解决问题的能力,使学生的动手能力得到锻炼,培养了学生的创新思维。易于操作,学生通过浏览器即可完成实验的预约、配置和保存。同时提供平台使用手册,方便学生遇到问题时进行查阅。平台中的远程网络配置实验系统是对真实的设备高度仿真,能获得真实的实验感受,并且可以充分利用实验室资源。平台支持恢复上次实验结束时的设备配置环境、保存完整的实验配置环境以备将来使用、权限管理、动态分配设备使用计划等工作。同时支持多人合作、实验中间状态保存恢复等功能。满足实验教学环节及学生动手能力的训练的要求。全天候开放式的创新实践环境能够极大地调动学生学习的主动性,激发学生学习研究的热情,活跃学校的实验教学氛围。适用于向各个高校推广,推进素质教育,培养创新精神和实践能力。
5)注重“课程思政”,探索实验内容与思政元素“撒盐式”有机融合
本项目仿真了工业制造业的关键信息基础设施。这些基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。一旦被攻击就可能导致经济紊乱、重点制造业生产中断等问题,具有很大的破坏性和杀伤力。通过虚拟仿真技术模拟真实工业环境的网络、主机、流量和威胁,建设安全仿真和集成系统,让学生在虚拟的复杂场景进行工程实践能力的训练,既能培养学生解决复杂工程问题能力又不会对真实场景造成安全隐患。达到为解决国家急需的网络安全人才培养过程中的问题,实现国家培养卓越人才和创新人才的战略目标。
与此同时,项目紧扣“立德树人”根本任务,紧紧围绕把握“为党育人、为国育才”的初心和使命,实验中虚拟仿真的设备均为国产设备,充分阐释突破“卡脖子”技术的可行性,传递“四个自信”。防御软件的开发以“自主可控”的国家战略意识为主线引领,立足软件艺匠思想内涵,结合我国当前安全核心技术短板,引导学生树立正确的工程伦理观和价值观,提升安全防御软件开发的道德素养,锻炼和增强学生动手和实战开发能力,明确其在国产安全防御软件行业发展中应承担的历史使命和责任,树立研发独立自主核心软件的信念。
综上所述,本实验项目坚持“学生中心、问题导向、学科融合、创新实践”的实验教学理念,按照“虚实结合、以虚补实”的原则,依托北京市市级实验教学中心——计算机实验教学中心和北京市可信计算重点实验室,以及计算机学院网络安全教学团队,结合自动化学科、电子工程学科、信息安全学科等多学科交叉融合的研究成果,整合工业互联网的科研经验和成果,在网络安全课程群中开设此虚拟仿真实验,旨在让学生通过本项目达到如下实验教学目标:
(1)掌握工业互联网中的典型安全设备特征和用途。
(2)理解工业互联网中的典型协议及存在的漏洞等。
(3)掌握工业互联网中的典型攻击事件和攻击方法。
(4)掌握工业互联网中的攻击防御方法。
(5)能够在教师指导下在平台上传防御方案,实现对攻击的有效拦截。
为达成以上实验教学目标的达成,本实验设置5个模块实验内容:
模块一:认识工业互联网设备及安全设备。了解工业互联网设备及安全设备特点,与传统网络设备的区别。
模块二:工控系统典型协议。学生可以直观看到工控系统典型协议在真实系统中是如何工作的及存在的安全问题。
模块三:针对Modbus协议攻击。利用工控系统典型协议的缺陷攻击工业互联网设备。
模块四:针对工控系统上位机操作系统攻防。利用工业互联网中设备的自身缺陷进行攻击。
模块五:工业互联网攻击检测和防御。分析攻击的特征,决定采用的防御措施。最终完成工业互联网整体防御方案,并在线填写、生成实验报告。