本虚仿中心所提供的教学服务不仅针对高校教师和学生，同时也可向社会用户开放，本虚仿中心的虚拟仿真实验平台所面对的用户数量大且身份多样。因此， 智能应用系统虚拟仿真实验教学中心的安全体系设计与建设是保障本虚仿中心正常运行的关键。本虚仿中心依托电子科技大学校园网的基础设施，在网络安全方面采用了多重防护措施。主要包括电子科技大学校园网安全防护措施和中心网络安全防护措施两方面。

       1.电子科技大学校园网安全防护措施

本虚仿中心的整个平台基于我校的校园网基础设施，从物理、网络、系统、应用及管理五个层次完成了安全防护体系的设计与建设。我校在智能应用系统方面，开展的相关工作包括：

（1）在校园网关键位置，部署硬件防火墙，进行边界检查，建立安全区域，控制数据包的进出，对服务器的开放端口进行限制，限制用户访问端口的 IP 地址等；

（2）在校园网关键位置，部署入侵防御系统 IPS，用于防范各种恶意攻击，及时识别攻击程序或有害代码及其克隆和变种，采取预防措施，阻止入侵；

（3）在校园网关键位置，部署 VPN 设备，用于用户远程接入校园网，采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性；

（4）在基础网络方面，采用VLAN技术完成子网的灵活划分，实现用户的隔离和路由层面的访问控制；

（5）在主机安全方面，针对校内Windows主机，建立统一防病毒系统，用于保护基于Windows  系列操作系统的计算机不受Internet 威胁和安全风险的入侵，扫描计算机上的病毒、已知威胁和安全风险，监控端口上的已知攻击特征，监控计算机上程序的可疑行为，自动为用户提供病毒库更新以及防火墙策略升级等服务；

（6）针对应用系统安全登录明文传输的问题，建立电子科技大学数字化校园统一身份认证，用户登录应用系统进行身份验证时的数据传输使用 HTTPS 证书加密，防止用户登录系统时输入的账号和密码有被恶意截取等问题；

（7）来自互联网VPN接入的用户和校园网内的用户必须完成实名登录和身份认证后方可使用平台的各项功能。其中用户身份注册、认证与授权由统一的安全验证中心完成，其主要功能分为两部分：1）提供认证策略、授权策略、实时访问控制策略、审计策略等管理配置服务；2）负责提供互联互通密码配置、公钥证书和传统的对称密钥的管理，为信息系统认证和对信息的机密性与完整性保护提供密码服务。

       2. 中心网络安全防护措施

中心的网络安全体系架构中，我们把中心的网络系统分为远程实验区与核心内网两个区域。根据这两个区域内用户对虚拟仿真实验教学系统的实际需求，分别部署和完善了相应的网络与信息安全防护设施。

网络安全防护体系情况如图4-9所示。

（1）远程实验区防安全护措施

远程实验区定义为本校校园网以外的互联网区域，该区域中的用户主要通过互联网访问本虚仿中心的信息门户获取和查询公开信息，或者访问位于核心内网中的仿真实验平台进行远程在线实验。因此本区域中的安全防护设施主要部署于网络对外接口位置，包括防火墙、IPS、VPN等设备，提供边界检查，建立安全区域，控制数据包的进出，防范和抵御网络入侵和攻击等防护功能。这些安全防护设施侧重于为互联网用户提供两类信息服务。

第一类服务是为互联网用户提供关于本虚仿中心实验教学与服务信息的获取与查询服务。主要采用在防火墙的DMZ区部署对外提供信息服务的WEB门户服务器等，用户通过浏览器即可便捷的获取本虚仿中心对外发布的公开信息。

第二类服务是为用户提供接入核心内网的安全接入通道。互联网用户通过VPN方式接入后即可获得与校园网内主机相同的地位，在完成身份认证后即可实现安全接入仿真平台进行在线实验的功能；IPS 入侵防护用于检测和防范各种恶意攻击。

图  “智能应用系统虚拟仿真教学中心”网络安全防护体系架构

（2）核心内网区安全防护措施

核心内网定义为本虚仿中心内部网络区域，通过防火墙与外网远程实验区进行安全隔离与访问控制。

核心内网中部署各仿真实验平台和相关安全管理设施，是提供在线仿真实验教学各项应用服务的核心设施。核心内网在基础网络上采用VLAN技术实现子网的划分、用户的隔离和访问控制。在实验平台的物理部署上采用本虚仿中心主平台与各分实验平台分离的模式实现安全保障。在应用层面上采用用户身份注册、认证和访问权限的授权等措施来确保应用访问的安全性。