肖 凌，陈 凯，付 才，邹德清

（华中科技大学网络空间安全学院，武汉 430074）

0 引言

2014年2 月，中央网络安全与信息化领导小组成立，习近平总书记担任组长；2017 年6 月，《中华人民共和国国家网络安全法》正式颁布实施，成为我国网络空间安全领域的根本大法；2018 年3 月，中央网络安全与信息化领导小组提升为中央网络安全与信息化委员会，习近平总书记担任主任，这一系列事件都标志着我国网络空间安全正受到党和国家最高层的高度重视，已上升到国家安全的战略高度，与领土、领海、领空一样，成为一个国家不可侵犯的神圣主权之一。但是，与之难以匹配的是在网络空间安全人才培养上仍然存在着不足，现有的学历教育培养方式，难以培养出高质量的核心技术攻关型和高端战略型人才，尤其在综合实践能力培养方面，难以适应国家和社会对网络空间安全人才的需求。

针对目前网络空间安全实践教学中存在的知识体系分散、专业知识滞后、课程内容分割独立、学生学习兴趣不足和学习效果难以评估等问题，我校网络空间安全学院构建了“网络空间安全综合实践分级通关课程体系”［1］。网络空间安全综合实践分级通关实验平台作为该课程体系的核心建设项目，紧密配合培养学生网络空间安全综合实践能力的目标，对教学模式、教学方式及方法进行具体的构建，详细设计分级实践教学内容，最终设计并实现一套可定制、可扩展、可反馈的实验平台系统。

1 网络空间安全综合实践分级通关课程体系

网络空间安全综合实践分级通关课程体系是以培养学生的网络空间安全实践能力为目标，以学生的能力素质训练、全局系统教育和法理道德培养为基本原则，以新的教学模式和方法、科学规划的课程体系和知识结构，构建的一套分级培养的教学体系。该课程体系在促进教学工作高效、有序进行，保证教学质量，提高教学水平的基础上，为国家和社会培养出更多符合需求的高层次网络空间安全人才。

分级通关课程体系在仔细研究学生学习规律和认知过程的基础上，遵循“专业教学早进入、专业实践早进入、科技创新早进入”的“三早原则”［2］，将实践课程内容进行分级。将同一种知识、技能分解为多个循序渐进的层次级别，将同一层次的知识技能进行组合，将不同层级知识技能的学习分布在不同学习时期，辅以科学规划的理论课程教学，达到既对学生多方位能力全面培养，又避免囫囵吞枣、学而无用的现象。

分级通关课程体系为了更好地关注学生的学习效果，提出类似“游戏通关”的考核机制，针对每一个知识技能点、每一层级培养目标和最终的综合培训设置“关卡”，以实战通关的方式考察学生的能力水平。同时，突破传统的学习考核机制，使用过程管理方式，跟踪学生学习轨迹，与“通关”相配合，无论学习、训练、竞赛、演练和对抗的过程和结果，都做为考核依据，从而促进学生自主学习，扎实达到预期目标。

2 实践教学模式

分级通关课程体系以培养学生的网络空间安全综合实践能力为目标，因此如何让学生在学习阶段就能够面对实际网络空间的安全环境，是分级通关实验平台必须实现的目标之一。学生学习的过程不能脱离人类的认知规律——从易到难、循序渐进——来进行，因此在分级通关实验平台中设计了4 种循序渐进的教学模式和方法：训练、竞赛、演练和对抗。

2.1 训练模式

图1 展示为训练模式的典型网络空间结构图。所谓训练模式，是将网络空间安全领域的技术和技能分解为知识点，为某一个或者几个相关联的知识点设计实验场景，学生在相对“单纯”的实验环境中针对某一个或者几个技能进行实践操作的学习和训练的过程。在训练教学模式中，每一位学生拥有一个独立的试验操作环境，学生之间不产生相互的干扰和联系。训练模式的教学目的是让学生基本掌握知识点相关的原理和实践操作技能，在面对相对简单、单一的问题时，能够找到解决问题的思路、方法并付诸实践，是对网络空间安全实践能力最基本的要求。

图1 训练模式的网络空间结构图

2.2 竞赛模式

在学习者初步掌握相关实践技能之后，可以进入竞赛模式的学习。每一位学生在初始实验环境的一个副本中解决相同的问题，学生的实验信息在后台进行交换，用以比较不同学生解决问题的方法、步骤、时间、速度等参数，从而评判学生在该教学环节的学习效果。竞赛模式的典型网络空间结构如图2 所示。相对于训练模式，竞赛模式的教学目标是让学生能够熟练掌握知识点相关的原理和实践操作技能，随机应变、灵活应用。竞赛模式对学生的要求更高，不仅要求学生能够解决实验中的问题，还必须在解决问题的速度、方法、技巧等各个方面不断地锻炼自己，在竞争中提高实践能力。

图2 竞赛模式的网络空间结构图

2.3 演练模式

通过训练和竞赛两种模式的教学，学生应该已经熟练掌握了基本的网络空间安全实践技能，但是无论是训练模式还是竞赛模式，学生面对的目标网络环境是一个没有“生命力”的网络环境，它不会随着攻击者的操作而“应变”，这不符合真实的网络空间安全对抗的实际情况。从本质上说，网络空间的安全对抗其实是人与人之间的对抗，当攻击者对目标进行攻击的时候，被攻击者肯定会有相应的防御动作来进行“反制”，演练模式的教学目标就是培养学生在一个针对自己的“攻击”随时会进行“反制”的网络环境中的综合实践能力。图3 所示为演练模式的典型网络空间结构，其具体实验过程是在同一个实验环境中，为两位不同的学生分配不同的攻防角色，攻击者在攻击对方系统的同时，还必须有效的保护自己系统的安全，此时他们所面对的目标网络更接近真实的网络环境，攻击方无法预测防御方会采取什么防御操作，防御方也无法预测攻击方将怎样进行攻击，因此实验过程就没有预先准备好的“脚本”，参与者必须在全面熟练掌握基本知识、技能的基础上，“见招拆招”，系统地应用所学知识技能解决问题。这样的教学模式培养了学生在面对实际工程问题时全面系统的综合实践能力。

图3 演练模式的网络空间结构图

2.4 对抗模式

演练模式在“一对一”的对抗环境中培养学生的实践能力，而对抗模式则模拟了更加真实的网络环境。如图4 所示，在统一的实验环境中，学生自由地组合成不同的团队，每个人在团队中承担不同的角色，在实现各个团队之间相互对抗的同时，保证自己团队系统的安全。在对抗模式中，一个团队成员可以攻击其他任何一个团队的任何一名成员，同时也面临着防御来自其他团队任何一名成员的攻击，这就要求团队成员要有明确的分工和沟通协调，才能更好地完成任务。因此，对抗模式在一个更加真实、也更加复杂的网络空间环境中培养学生的综合实践能力，同时也培养他们的团队协作能力。

图4 对抗模式的网络空间结构图

4 种教学模式，从实验环境而言，由易到难、从简单到复杂；从实践操作而言，由单一知识技能到综合系统应用；从对学习者的要求而言，从单打独斗到分工协作。教学模式分级与实践内容分级相互配合，构建了整个网络空间安全分级通关实践教学体系的二维分级结构。

3 分级通关实践内容设计

分级通关课程体系的核心在于“分级”，而“分级”又集中体现在实践教学内容的安排上。分级通关实验平台作为该课程体系的核心支撑要素，其实验教学内容的设计就是该实验平台的核心内容。

教育部2018 年3 月发布了《普通高等学校本科专业类教学质量国家标准》，该标准对信息安全专业本科教学质量做出了明确的规范，其建议教学内容包含信息科学基础、信息安全基础、密码学、网络安全、信息系统安全、信息内容安全等知识领域的基本内容，建议开设“信息安全导论”等21 门核心课程［12］。在仔细分析21 门核心课程基础上，结合学校网络空间安全学院的办学特色，最终形成分级通关实验平台的实践教学内容，如表1 所示（高校办学各有特点，课程并非完全按照《标准》建议进行设置，但核心专业课程所包含的内容相差不大，只是侧重点不同而已）。

表1 分级通关实验平台的实践教学内容

依据分级通关课程体系教学目标和特点，参考循序渐进、课程交叉融合的原则，确定实验教学内容的分级标准：第1 级是入门级，重点激发学生对网络空间安全的强烈兴趣，提升对专业的热爱情怀，激励学生为国家网络空间安全事业做贡献的志向，掌握网络空间安全专业知识基础，其核心是培养学生对网络空间安全的的感知能力；第2 级是初级，要求学生熟悉系统原理，掌握基本的网络空间安全实践技能，其核心是培养学生的安全分析能力；第3 级是中级，要求学生全面掌握各种网络安全实践技术，其核心是培养学生的系统综合能力；第4 级是高级，要求学生精通某一种或者几种网络安全实践技术，能够实现系统安全技术的运用，解决复杂网络环境下网络安全实践技术问题，其核心是培养学生的创新能力和团队协作能力。

需要重点说明的是，各级实践内容之间并不是互斥的——同一个知识技能，依据培养目标的不同，可以分布在不同的级别中；这些内容又不是重复的——在不同的级别中，相同的知识技能从不同的视角、以不同的深度出现在师生面前；这些内容也不是孤立的——将某一个知识技能安排在哪一级教学内容中，主要取决于该级别重点培养学生的什么能力，需要解决什么样的实际问题，解决问题时是否需要该知识技能的支撑。总之，一切都是为培养学生的网络空间安全实践能力这个目标服务的。

3.1 第1 级实验内容

第1 级实践内容主要针对大学低年级的学生（例如大学一年级），他们尚未或者较少接触网络空间安全的专业知识，因此本级实践内容的设计主要有两个目标：①向学生展现网络空间安全专业实践知识技能的概貌，让他们对知识体系有系统的认知和初步的了解；②激发学生对与网络空间安全专业的强烈兴趣。因此，第1 级实践内容主要是网络空间安全的基础实验，主要通过观察演示实验、使用已有的工具软件、对系统进行安全配置和模仿攻击等方式完成。第1 级主要实践教学内容如表2 所示。

表2 网络空间安全综合实践分级通关第1 级教学内容

3.2 第2 级实验内容

第2 级实践内容主要针对大学中低年级学生（例如大学二年级），通过第1 级内容和其他理论课程的学习，学生已经掌握了包括密码学基础、信息系统安全、软件安全、计算机网络安全等网络空间安全领域的专业基础知识，因此第2 级实验内容主要通过操作实践来加深他们对所学理论知识的理解和应用，达到培养学生安全分析能力的培养目标。第2 级实践内容主要包括密码分析、软件安全、网络安全、操作系统安全、Web安全、软件逆向工程等课程的内容，全部使用实践操作的方式进行，并且加入课程交叉的试验内容，以提升学生运用计算机技术解决实际安全问题的能力。第2 级主要实践教学内容如表3 所示。

表3 网络空间安全综合实践分级通关第2 级教学内容

3.3 第3 级实验内容

第3 级内容主要针对大学中高年级学生（例如大学三年级），通过前期的理论及实践学习，他们已经具有一定的网络空间安全理论及实践基础，从第3 级开始，在进一步学习新知识和技能的同时，应逐步培养学生综合应用所学知识和技能解决实际网络空间安全问题的能力。因此，第3 级实践内容中逐步增加了依据真实案例构建的问题场景，形成以课程讲解为辅，以例题和实际案例为主，结合实验平台，逐步引导学生自主创新并具备网络空间安全分析能力的教学方式。第3级主要实践教学内容如表4 所示。

表4 网络空间安全综合实践分级通关第3 级教学内容

综合仿真实验为学生设定了一个复杂实验场景，场景中目标系统管理员向核心服务器上传了一个自己开发的软件并运行之，需要学生攻击实验场景中的目标服务器并获取相关敏感信息。该实验的设计意图包括的内容有：①学生需要通过挖掘目标系统中的非核心设备漏洞，获得其中1 台设备的管理权限；②通过该“肉鸡”在交换式目标网络中监听、截获有价值的信息，得到管理员上传的应用软件；③通过逆向技术，对截获到的软件进行分析，挖掘其中的漏洞；④利用漏洞攻击目标系统的核心服务器，获取管理权限，得到敏感信息；⑤针对软件漏洞，开发相应补丁程序，对核心服务器进行加固；⑥验证补丁程序的有效性。

学生要完成该实验，必须能够熟练运用口令分析、软件漏洞挖掘、网络协议缺陷利用、网络报文嗅探、网络报文转发、二进制代码逆向、系统漏洞分析及利用、补丁开发等涉及到密码学、应用安全、系统安全、逆向工程、网络安全等方面的知识和技能。该实验内容主要培养学生综合利用所学知识技能在复杂网络空间环境中解决具体问题的系统能力，实现分级通关课程体系第3 级锻炼和培养学生系统综合能力的目标。

3.4 第4 级实验内容

第4 级实践内容主要针对大学高年级的学生（例如大学四年级），通过前期的理论和实践学习，他们已经掌握了网络空间安全领域的相关基础理论知识，也具备了一定的安全分析能力和系统综合能力。因此第4 级实践内容以综合实践和实战对抗为主，要求学生精通1 种或者几种网络空间安全的实践技术，并在此基础上以取长补短的方式自由组合成“战斗”小组，通过相互协作的方式解决实际安全问题，全面培养和提升学生在实际环境中综合运用知识能力、发现并解决问题的能力、团队沟通协作的能力和创新能力。

因此，第4 级实践教学环境设计成一个开放式的仿真试验环境，首先将学生划分成2～4 个小组，每组给定1 个B/S或者C/S的应用系统，要求学生按照计算机信息系统安全等级保护第4 级“结构化保护级”的要求，对应用系统及相关环境进行安全加固，然后对任意小组（包括自己）加固后的系统进行攻击、渗透测试，提出整改与提高的意见。复杂而相对大型的系统规模使学生必须采用分工协作的方式才能完成实验任务，而开放式的试验内容设计，极大地激发了学生的创新欲望，突出了第4 级实践教学重点培养学生创新能力和团队协作能力的宗旨。

4 分级通关实验平台构建

分级通关课程体系作为适应网络空间安全人才培养的一种体系性创新改革，是目前国内不多见的在本科教学中系统性推行综合实践能力培养的课程体系，分级通关课程体系的顺利实施，需要一套紧密贴合该课程体系特点的实验平台的支撑，因此分级通关实验平台的建设就成为了该课程体系建设的重中之重。

4.1 目标和原则

时代的进步，技术更新换代越来越频繁，周期也越来越短，这一特质在信息科学技术的发展过程中表现得尤为突出。为了适应快速更迭的技术，网络空间安全实践教学的内容也必须随着技术的进步而不断更新，才能不断地培养出满足国家和社会需求的人才。这就要求分级通关实验平台的设计、构建首先必须考虑平台系统的高可维护性和高可扩展性，必须能够以最低的成本、最大限度地满足教师在教学体系、课程内容、实验元素、实验案例、实验场景设计中的各种需求，满足教师在学生管理、考核节点以及考核方式方面定制需求，能够为教师提供丰富、易用的实践教学设计接口，能够方便地将教师对实践教学内容的设计思想转化为实实在在的实验教学过程。

网络空间安全实践教学具有一定的特殊性。一方面某些实验本身就对实验目标的攻击或者破坏；另一方面实验的操作者又是没有任何实践经验的学生。在这种情况下，若在开放的网络环境中进行实验，往往会对网络环境造成较大的破坏性，大大增加网络故障和网络安全事件发生的概率［3］。但是如果仅仅为网络空间安全实践教学搭建一个封闭的环境，又需要投入大量资源［4］。因此，使用虚拟化、分布式计算技术构建网络空间安全实验平台［5-10］，既能够与外界网络实现有效隔离，又能够以较低的成本获得较高的可维护性和可扩展性，已经成为构建网络空间安全试验平台的主流技术。

突破传统的学习考核方式，借鉴过程管理思想，跟踪学生学习过程，结合“通关”对学习效果进行自动化考核，达到促进学生自我学习的目的，是分级通关课程体系的一大特点。要实现这一特点，分级通关实验平台就必须对学生的学习进行全过程跟踪，记录包括学习内容、学习时间、学习时长，学习效果、参加竞赛、演练、对抗等成绩的所有信息。同时，为了能够方便学生进行自主学习，对于诸如课程内容管理、实验预约、成绩评定等各个教学管理环节也必须进行全面地设计和构建。

基于以上目标和原则，分级通关综合试验平台采用如图5 所示结构。在硬件服务器组成的物理资源集群之上，构建统一的、虚拟化的物理资源管理模块，为上层提供虚拟机群的物理支撑；教学设计人员通过扩展接口，调用、设置虚拟机，并将其组合成为不同的试验场景；教学管理人员在组合、调整试验场景基础上配置产生训练、竞赛、演练、对抗等不同的教学模式；学生通过Internet以Web 的方式登录综合实验平台，完成相关课程的学习和测评。

图5 分级通关综合实践平台结构示意图

4.2 综合实践平台硬件系统

分级通关实践平台基于虚拟化、分布式计算技术构建，其硬件系统主要承担平台的物理资源管理、分配、回收等功能，同时必须兼顾硬件系统的可扩展性，以应对将来需求的变化。分析综合实践平台系统的需求，对其运行产生重要影响的物理资源包括计算资源与存储资源。对这两类资源进行大致准确地估算，才能确定硬件系统的配置和规模。

计算资源，业内通常使用CPU 核心数来进行评估。由于分级通关实践平台采用虚拟化技术构建，因此其需要的计算资源以虚拟机为单位进行估算。首先依据单个虚拟机在实验中承担的角色、任务估算其需要的CPU核心数量C，再估计单个试验场景需要的并发虚拟机数量VPC，最后考虑综合实践平台需要同时容纳的学生数量S，通过公式：计算资源（CPU核心数）=C·VPC·S，计算出整个综合实践平台需要的计算资源。

分级通关综合实践平台中，由于单个虚拟机需要承担的角色和任务相对简单，因此单虚拟机需要的CPU核心数C按照0.5 个CPU内核进行估计；为了在实验场景设计时赋予教师更大的自由发挥空间，每个试验场景按照6 台虚拟机进行设计估算，最后按照目前学院的学生数量并考虑一定的扩展空间，按照同时为300 位同学提供实践教学的规模，依据公式计算出综合实践平台在计算资源上的规模为900 个CPU 核心。当然，还必须考虑为平台运行、资源管理等功能预留部分冗余计算资源，因此最终在硬件选型时的CPU核心总数应大于900。

存储资源分为两类，一类是为系统运行提供内存资源；另一类则是外存资源。对于内存资源需求量的确定，仍然以虚拟机为单位进行估算，根据虚拟机的角色和任务估算虚拟机运行所需要的存储资源，最后为整个平台系统运行留下冗余。分级通关实验平台需要并发支持1 800 个虚拟机的运行，因单台虚拟机承担的角色和任务相对简单，为每台虚拟机运行分配4 GB内存空间是足够的，考虑平台运行的内存使用，最终在硬件选型时的总内存容量应大于7.2 TB。

跟踪学生学习全过程，结合“通关”对学习效果进行考核是分级通关课程体系的一大特点，分析分级通关实验平台对于外存储资源的需求有如下的几个特点：

（1）外存储容量需求大。要对学生学习的全过程进行跟踪记录，并且这些记录会成为确定学生学习效果的依据，因此需要记录的数据必然是非常多的。

（2）数据存储时间长。分级通关实验平台支撑着网络空间安全4 级实践教学内容，学生从低年级到高年级所有的网络空间安全实践课程都需要在平台上完成，因此对于学生实践课程的记录至少需要保存4 年。

（3）外存储I/O效率必须与系统运行匹配。外存储系统的I/O效率，往往是整个系统的瓶颈，因此在外存储系统的I/O效率也是在选择相关配置时必须考虑的重要因素之一。

（4）外存储系统结构必须具有高度可扩展性。考虑到实践平台未来，外存储系统在结构上必须具备良好的可扩展性，能够方便地进行存储容量上的扩展，为将来的发展留下充足的扩展空间。

（5）必须具备容错备份机制。针对学生学习过程的记录，不仅是评价学习效果的依据，也是将来网络空间安全教学研究和改革的原始依据，是极其珍贵的研究资料，对于这些资料必须使用一定的保护措施，防止意外损毁和丢失。

综合实践平台硬件系统的本质是一个服务器集群，构建服务器集群可以采用两种不同的结构。一种是对等的分布式结构，将系统需要的主要物理资源平均分配到所有的服务器节点中，这种结构中所有的节点基本是对等的。另一种依据服务器节点功能的不同，将节点分为计算节点和存储节点。计算节点的主要功能是为服务器集群的上层业务提供计算资源的支持和管理，因此其拥有相对丰富的计算资源；存储节点的主要功能则是为服务器集群的上层业务提供存储资源进行支持和管理，因此存储节点应当拥有相对丰富且高效的存储资源，必要时使用专用的存储设备。两种结构各有优势和不足，相对而言，对等的分布式结构具有更高的数据容错性和数据I/O 效率，同时在扩展时也会更加方便。因此，分级通关综合实践平台使用对等的分布式结构构建硬件服务器集群。

基于以上分析，综合考虑市场上提供的通用服务器配置、品牌、种类、价格、资源冗余以及扩展性等因素，综合实验平台使用40 台服务器构建硬件支撑系统，单台服务器的主要配置参数如表5 所示。

表5 分级通关实验平台服务器主要配置参数表

有几点需要重点说明：

（1）服务器的存储配置中，将外存储空间根据其功能的不同划分为3 个不同部分：配置序号7 总共1.2 TB存储空间用于实践平台系统软件的存储和运行；配置序号8 总共24 TB 存储空间用于存储用户数据；配置序号9 总共1.6 TB 存储空间，采用高速SSD固态硬盘卡，用作系统缓存空间，以提高整个系统的运行效率。

（2）配置独立的RAID 卡主要考虑两个因素，一是可以提高整个存储系统的I/O 效率，而是可以使用RAID的容错机制进行相关数据的容错和备份。

（3）由40 台服务器构成的分布式服务器群，服务器群内部各服务器之间、服务器与客户端之间必将会产生大量的数据交换需求，为了避免数据交换通道成为整个系统的性能瓶颈，为每台服务器配置了10 GB网络接口，为进行高速数据交换提供物理基础。

4.3 综合实践平台软件系统

在硬件服务器集群提供物理资源的基础上，分级通关综合实验平台的所有功能都由相应的软件系统提供，因此软件系统是分级通关实验平台构建中最复杂，也是最关键的内容。

分级通关实验平台软件系统需要完成的主要任务包括如下几点：

（1）资源管理。该功能主要实现对分级通关实验平台所有物理资源的分配、调度、回收等资源管理功能，并向上层提供统一的、虚拟化的资源调用接口。OpenStack是一个开源的云计算管理平台项目，覆盖了网络、虚拟化、操作系统、服务器等各个方面，提供实施简单、可大规模扩展、丰富、标准统一的云计算管理功能［11］，分级通关实验平台的资源管理正是基于这一项目进行设计和实现的。

（2）虚拟机管理。分级通关实验平台中所有的试验场景都由虚拟机构建，从网络空间安全实践教学的角度看，大致可以将虚拟机分为网络设备虚拟机、服务器虚拟机、端虚拟机、网络安全设备虚拟机以及特殊用途虚拟机等，虚拟机管理需对虚拟机的创建、配置、组合、互联、回收提供统一的管理和接口，以完成基于教学内容的实验场景设计、创建、保存和销毁工作。

（3）教学模式管理。如果说学习者应该掌握的知识和技能都蕴藏在实验场景中，那么教学模式管理要实现的功能就是通过组合、调整、设置实验场景来引起学习者的兴趣，以循序渐进的方式让学习者掌握蕴藏在实验场景中的知识和技能。

（4）扩展接口。科学技术的发展要求必须时刻保持对教学内容的更新，新技术必须有与之相应的试验场景来培养学习者的相关知识和技能，这些新技术在构建分级通关实验平台时是无法预计的。因此，分级通关实验平台除了具备丰富的教学内容之外，还应该具有简单、易用的扩展接口，方便教学设计人员随时根据需求设计、构建新的试验场景内容和试验教学模式。

结合分级通关课程体系的要求和上述分析，分级通关试验平台软件系统的核心功能如表6 所示。

表6 分级通关实验平台软件系统核心功能

核心功能3“模拟仿真”是整个系统的关键。从前文讨论可以看出，使用虚拟机构建的实验场景是分级通关实验平台所有教学模式和教学内容的基础，因此虚拟机必须能够仿真出实验环境中的所有设备以及它们之间的连接关系，这样才能够让学习者在虚拟实验场景中体验到真实网络环境中的训练、竞赛、演练和对抗的效果。此外，“模拟仿真”功能中“支持‘所见即所得’的复杂网络设备、网络拓扑设计方式”为将来系统在实验教学内容上的扩展提供了极大的方便。

物理资源限制着分级通关实验平台的并发服务能力，但是可以借助“分时错峰”的思想让有限的物理资源为更多的用户提供服务，因此设计了核心功能2“实验预约”功能。“实验预约”功能与核心功能4“过程跟踪与管理”配合，使学习者可以在平台并发量较小、物理资源可用量较大的环境下，快速恢复尚未完成的实验现场，完成实践学习的过程。

训练、竞赛、演练和对抗4 种教学模式，是构成“分级”的另外一个维度。在设计、实现分级通关实验平台软件系统的“教学模式”功能时，需要特别注意以下几个问题：

（1）非合作关系的攻击者对同一个目标进行操作，不应产生相互影响。简单的理解，如果多个攻击者不是合作关系，那么某一个攻击者对该目标进行操作产生的效果，不能被其他攻击者共享。为了实现这一功能，需要被攻击目标系统针对不同的攻击者产生不同的虚拟系统副本。

（2）从防御者的角度，任何一个攻击者对目标系统的攻击，都会在他保护的系统中留下痕迹。因此，无论哪一位攻击者针对目标系统副本进行的攻击操作，都必须及时同步到防御者的虚拟系统中。

（3）防御者对其保护系统的防护操作显然对任何一位攻击者都是有效的，因此，防御者针对其保护系统所做的任何防护操作，都必须及时同步到防御者虚拟系统的所有副本中。

5 结语

网络空间安全综合实践分级通关实验平台是综合实践分级通关课程体系的支撑平台，是顺利实施分级通关实践课程体系的基础。本文分析了实验平台的硬件基础设施，设计了训练、竞赛、演练和对抗4 种教学模式，细化了4 级实践教学内容，为逐步培养和提升学生的网络空间安全感知能力、安全分析能力、系统综合能力、团队协作和创新能力提供了良好的平台保障。与此同时，为了适应网络空间安全技术的飞速发展，实验平台在满足现有人才培养要求的基础上，预留了简单、易用的扩展接口，可以非常方便地实现物理资源、实践教学内容和教学模式可持续改进、扩容及升级更新。