虚拟化攻防演练平台及信息安全实验室建设可行性方案Word下载.docx

1、是能够满足用户在演练和实战时通过接入特殊设备来完成用户自定义.实验需求，例如小型机，无线、射频等通过虚拟化技术无法完成.设备 测试、培训、研究和管理区：相关人员通过B/S做培训、研究和管理所用 远程接入区：能够满足用户通过远程接入到信息安全实验室内，进行7*24小时.测试和研究3.2 实验室典型配置针对实验室对模拟网络环境多样性.要求，以下是信息安全研究实验室典型结构：信息安全实验室示意图信息安全实验室能够模拟：业务系统出口安全区域、DMZ安全区域、内网接入安全区域、以及安全研究专区，这些模拟环境已经涵盖了目前所有企事业单位.大部分安全单元在拥有丰富且全面.网络实验环境.基础上，相关人员还能接

2、触到大部分市场上主流.网络安全设备实验设备要涵盖传统.网络防火墙、VPN网关、IPS、IDS、防病毒网关与流量控制网关等在原有基础网络实验室.基础上通过增加以下设备来完成信息安全实验室.搭建：信息安全实验室设备（每组）设备类别设备名称数量单位备注流量整形网关TopFlow1台防火墙NGFW-4000USG网关许可TopRules4入侵检测引擎TopIDP2套实验室实训系统Topsec-CP实验室研究系统Topsec-SP网络安全管理设备实验室管理系统TopNM第4章 攻防演练系统系统介绍4.1 攻防演练系统系统概述攻防演练系统系统产品是北京天融信科技有限公司（以下简称TOPSEC）对于安全人才

3、培养、攻防演练、安全研究.等需求专门设计开发.产品攻防演练系统系统（简称TOPSEC-CP），根据我们多年来对信息安全趋势.把握，同时分析企事业单位对人才培养及安全岗位技能需求.基础上，参考大量优秀.、应用广泛.信息安全教材，TOPSEC提供了一套全面、专业、成熟且可扩展.攻防演练系统系统TOPSEC-CP系列产品以理论学习为基础，结合最全面最专业.实训，增加技术人员对信息安全诸多领域.深入理解，为技术人员提供坚实.技术基础TOPSEC攻防演练系统系统提供多个方面.实验、实训及工程实践，涵盖多层次.实验操作，以真实环境.真实案例为操作指南，贴近实际岗位能力要求同时，配有强大.实验管理系统，能够

4、为信息安全教学、攻防演练、安全研究提供一个完整.、一体化.实验教学环境此外，北京天融信科技有限公司可与企事业单位从实验室建设、课题研发、培训认证等方面进行全方位合作天融信“攻防演练系统系统”（简称TOPSEC-CP），依托于不同.课件和展示内容，可以应用于学校、军队、政府、企业等各行业，是国内乃至国际最好.虚拟化学习和研究系统TOPSEC-CP系统参考信息安全类专业教学指导委员会制定.信息安全类专业知识结构及能力要求，并联合开发了八大类信息安全课程体系，覆盖了多个方面.信息安全教学内容，包括实验原理、教学虚拟化环境、实验指导书，技术人员可以自主学习实验，进行实验验证与应用，并进行信息安全综合分

5、析及自主设计，实现多层次.实验操作4.2 攻防演练系统系统体系信息安全虚拟化实训系统体系包括：实验平台、实验内容和培训体系，提供实验工具管理、实验内容管理、虚拟化调用APT等多种扩展接口，方便各行业定制添加培训时候所需.实验如图所示：TOPSEC-CP配有强大.实训系统，能够为信息安全培训、教学及科研提供一个完整.、一体化.实验环境，从而打造出全方位.专业信息安全实验室第5章 信息安全演练平台介绍信息安全演练平台是北京天融信有限公司在全国首创，推出.业内第一款演练平台，其独创性取得了用户.一致好评北京天融信有限公司公司于2012年推出.新一代演练平台，目前，演练平台在全国拥有广泛.用户群体，已

6、经在各类企业、学校实施，产品功能稳定，性能卓越，受到了广大用户.热烈好评北京天融信科技有限公司所开发.信息安全演练平台，已纳入常见.攻击实验，可方便用户将攻防演练变成一种常态化.工作，同时，系统也可以快速自定义攻防演练.场景，已满足各种用户不同.需求5.1 应急响应流程紧急安全事件.处理过程，可以遵循以下流程执行：图5.1 安全事件应急响应流程5.2 演练事件 信息篡改：模拟针对中央系统某网站首页篡改事件.监控和处理 拒绝服务：模拟从外部发起.针对某网站.拒绝服务攻击事件.监控和处理 恶意代码攻击：模拟内网某服务器感染恶意代码后.监控和处理 DNS劫持：本次演练主要模拟某DNS服务器.权威解析

7、记录被篡改事件.发现和处理5.3.1 信息篡改事件5.3.1.1 场景描述信息篡改是指XX将信息系统中.信息更换为攻击者所提供.信息而导致.信息安全事件，网页篡改是最常见.信息篡改事件网页篡改一般分三种方式：部分网站服务器页面被篡改、全部网站服务器页面被篡改、网站动态内容被篡改等本次应急演练主要模拟中央系统中某网站首页遭到篡改时.事件处理页面篡改安全事件，是指通过外部或内部非正常途径，如利用Web应用服务漏洞或Web服务器系统漏洞，获得相应.权限替换中央系统WWW服务器页面（静态页面）.事件本次演练模拟.网站拓扑环境如下：攻击方演练环境介绍编号设备用途设备系统/软件版本IP地址攻击方作为演练.

8、攻击设备操作系统说明：Windows 2000 server或windows2003 server操作系统19216823安装相关.攻击工具可以用攻击方.笔记本实现防御方演练环境介绍三层交换机主要用于网络连接和访问控制19216801防火墙 Pix 525阻断攻击者防火墙应能针对IP、端口设置访问控制策略19216811192168213web服务器为被攻击设备操作系统：linux as 4应用软件：weblogic 9.219216812内置模拟网页Windows主机1安全监控用安装网络部提供.网站异常监控软件，具备显示器192168225Windows主机2安装网络部提供.域名系统监控软件

9、具备显示器192168245.3.1.2 准备阶段1、 对www网站静态页面进行备份2、 准备系统.基本快照5.3.1.3 攻击阶段1、 攻击者通过扫描发现，WWW网站.服务器使用weblogic.默认管理页面对外开放，同时存在默认.登陆口令（weblogic/weblogic）2、 攻击者通过弱口令登陆后，替换WWW网站.首页5.3.1.4 监测阶段使用监控组自主开发.“网站监控软件”，定时轮询方式检查页面.变化情况，发现页面被篡改；5.3.1.5 处理阶段1、 进行系统临时性恢复，迅速恢复系统被篡改.内容；2、 检查问题服务器WWW访问日志、系统操作日志，确定篡改时间、IP及可能.手法；3

10、、 分析系统日志（messages、sulog、lastlog等），确认主机上有无异常权限用户非法登陆，并记录其IP地址、登陆时间等信息；4、 检查weblogic应用日志，发现有无异常；5、 确定问题根源，修复问题测试后上线；5.3.2 拒绝服务5.3.2.1 场景描述拒绝服务攻击事件是指利用信息系统缺陷、或通过暴力攻击.手段，以大量消耗信息系统.CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目.信息安全事件拒绝服务发起时往往表现为cpu、内存、带宽等.高利用率，同时由于攻击手法和形式.多样性，造成对攻击形式攻击特征分析带来一定.难度本次应急演练主要模拟中研系统中WWW网

11、站遭受synflood拒绝服务攻击时.事件处理本方案以web应用为例，攻击者向Web端口发起synflood拒绝服务攻击，表现在分布式.大量针对80端口.数据包，以耗尽web服务.最大连接数或者消耗数据库资源为目.5.3.2.2 准备阶段了解、总结日常Web访问.流量特征5.3.2.3 攻击阶段针对80端口发送大量.synflood攻击包5.3.2.4 监测阶段使用监控组自主开发.“网站监控软件”，定时轮询方式检查网站.访问情况；通过轮询软件发现页面访问不可达5.3.2.5 处理阶段1、 对web访问连接，进行分析2、 在web服务器上，查看cpu、内存.负载及网络流量等3、 在防火墙或网络设

12、备上配置访问控制策略，限制或过滤发送源地址.访问5.3.3 DNS劫持5.3.3.1 场景描述主要模拟DNS服务器.权威解析篡改事件该DNS服务器由于对外开启了SSH（TCP/22）管理服务，同时系统上存在弱口令，攻击者通过扫描得到系统口令，并进一步登陆控制服务器，然后修改DNS区域记录文件，实施DNS劫持攻击监控人员通过DNS Watch软件监测到域名解析异常，然后通知维护人员，维护人员通过相关.事件处理，恢复正常.DNS业务DNS服务器被攻击.dns服务器solaris 9bind 9.219216828配置dns信息19216826WINDOWS XP.终端1事件处理用用于事件处理.操作

13、19216825WINDOWS XP.终端25.3.3.2 准备阶段1、 对BIND软件.配置文件等重要静态文件进行备份；2、 建立系统.快照5.3.3.3 攻击阶段DNS服务器由于对外开启了SSH（TCP/22）管理服务，同时系统上存在弱口令，攻击者通过扫描得到系统口令，并进一步登陆控制服务器，然后修改DNS区域记录文件，实施DNS劫持攻击5.3.3.4 监测阶段通过DNS域名解析监控软件（DNS Watch），发现域名解析异常5.3.3.5 处理阶段1、 登录DNS服务器，检查投诉域名解析是否正常；检查静态配置是否正常，如发现异常，快速恢复原有配置；2、 登录DNS服务器，检查文件修改日志

14、；检查文件修改人；3、 系统安全分析：确认系统异常；4、 确定问题根源，修复问题；5、 测试，确保问题得到处理5.3.4 恶意代码5.3.4.1 场景描述主要模拟某恶意攻击者，利用系统.弱口令，利用Windows系统远程管理服务（TCP/3389），获得对服务器.控制权限控制了这台服务器后，攻击者有预谋.上传了提前作好.自动化程序，开始一些列.破坏活动，包括造成性能迅速下降，在被感染主机中安装僵尸网络客户端，开放后门端口为了确保恶意程序.运行，攻击者停止了服务器上.防病毒软件监控人员及时发现服务器上.趋势防病毒软件服务停止，监测到攻击者.恶意行为，定位攻击源并迅速切断其对网络.访问，维护人员对

15、被影响.服务器进行安全检查，通过全面.分析和有效.措施，完全控制并根除恶意行为，对事件进行迅速控制并处理，保证了系统.有效运行该病毒主要.特征：1、 打开异常端口进行监听，开启异常进程；2、 扫描其他服务器是否存在漏洞，对网络造成异常流量；3、 将恶意程序添加到自动运行；4、 停止系统防病毒软件.运行；设备名称 Windows服务器病毒程序感染.服务器提供安装WindowsServer服务器病毒事件模拟用5.3.4.2 准备阶段1、 安装McAfee杀毒软件；2、 对系统进程进行快照，以便快捷.找出可疑进程；5.3.4.3 攻击阶段通过扫描发现系统对外开放了3389端口，管理员administ

16、rator并存在弱口令，通过系统Windows远程终端管理服务（TCP/3389），安装恶意软件，破坏系统5.3.4.4 监测阶段通过登陆发现，McAfee防病毒软件没有正常工作，判断机器可能感染了恶意程序5.3.4.5 处理阶段1、 设备隔离：拔掉网线；2、 在问题主机上，确定恶意代码特征：进程、端口等，通常以任务管理器和netstat na 查看进程和端口.绑定情况，分析出异常.端口或者进程；3、 清除恶意代码，一般先停止恶意进程，同时将其相关文件删除；4、 对操作系统进行安全加固（修改弱口令）；5、 对系统进行全面杀毒，开启杀毒软件实时安全防护功能；6、 恢复应用系统，系统上线；第6章

17、信息安全研究实验室介绍信息安全研究实验室由渗透平台、靶机平台、监控平台三部分组成6.1 渗透平台实验室智能渗透平台集成Windows、Windows Server、Linux、BT5等系统以及端口扫描，WEB脚本、跨站攻击，SQL注入，缓冲区溢出，拒绝服务攻击，欺骗攻击，口令破解等攻击手段和工具渗透系统分为四个级别：第一级别使用BT5、Windows系统、Linux系统为攻击平台，使用傀儡主机、代理服务器对靶机系统进行攻击第二级别使用BT5、Windows系统、Linux系统为攻击平台，使用破解工具、注入工具对靶机系统进行攻击第三级别使用BT5、Windows系统、Linux系统为攻击平台，使

18、用扫描工具、渗透工具对靶机系统进行攻击第四级别使用BT5、Windows系统、Linux系统为攻击平台，使用各种攻击工具对靶机系统进行攻击6.2 靶机平台模拟网络环境中.被攻击目标，包括Windows、Windows Server、Linux、Unix等类型.主机系统，同时里面含有丰富.中间件和数据库，中间件包括IIS、Apache、weblogic、websphere、Nginx等，数据库包括MSSQL、Mysql、Oracle、ACCESS、Sybase等，可以加载需要研究网络环境.真实网络拓扑，如电子政务系统等针对系统本身存在.漏洞、管理权限.设定来进行研究，真实.反应出网络环境中系统及

19、应用被攻破.动态过程，利于进一步提高现网.网络安全智能靶机系统包括：金牌靶机，银牌靶机，铜牌靶机，诱骗靶机四个级别，同时可模拟真实.网络环境 金牌靶机模拟网络中.主机操作系统，包括Windows主机系统、Windows Server系统、Linux系统、Unix系统，提供可定制.虚拟攻击目标，提供相应.攻防所需要.权限和漏洞用来进行扫描和渗透，模拟真实网络环境，以交互方式体现网络攻击和防御实战过程 银牌靶机银牌靶模拟网络中.应用服务器，包括数据库靶机系统、web服务器靶机系统等应用服务器系统，提供可定制.虚拟攻击目标，提供相应.攻防所需要.漏洞用来进行扫描和渗透，模拟真实网络环境，以交互方式体

20、现网络攻击和防御实战过程 铜牌靶机铜牌靶模拟网络中.应用服务器，包括邮件靶机系统、文件服务器靶机系统等应用服务器系统，提供可定制.虚拟攻击目标，提供相应.攻防所需要.漏洞用来进行扫描和渗透，模拟真实网络环境，以交互方式体现网络攻击和防御实战过程 诱骗靶机诱骗靶机系统模拟网络中.蜜罐服务器，包括各种主机系统和应用服务器系统，提供可定制.虚拟攻击目标，提供相应.攻防所需要.漏洞用来进行扫描和渗透，模拟真实网络环境，以交互方式体现网络攻击和防御实战过程6.3 监控平台实验室监控平台可以记录和禁止网络活动，扫描当前网络.活动，监视和记录网络.流量，根据定义好.规则来过滤从主机网卡到网线上.流量，提供实

21、时报警监控系统所能做到.不仅仅是记录事件，它还可以确定事件发生.位置通过追踪来源，可以更多.了解攻击者不仅可以记录下攻击过程，同时也有助于确定应用方案通过与渗透平台、靶机平台.联动可以实时.监控整个攻击过程，并根据设置.评分标准对整个攻击过程.渗透主机进行评分和排名，同时监控平台可以根据靶机系统.加固过程进行评分和排名第7章 方案优势和特点7.1 实验室优势提供多种模式课件实验室为计算机及网络安全研究提供多模式.安全课件，能够模拟军工、公安、政府、医疗、能源等多种网络环境，能够进行各种安全威胁.实际操作，针对不同.攻击防御模式，提供多种实验课件选择开放式.平台共建系统提供题库管理、内容管理等多

22、种扩展接口，方便单位定制添加已有实验，同时支持合作方式对平台.二次开发全程自主操作.攻防模拟信息安全实验室.全部课件均是将安全理论与实际环境和动手操作相结合.实验课程，所有.实验过程中，都需要通过实际动手进行实验操作，完成课件要求.安全威胁攻击以及针对该攻击.安全防御措施通过不同.实验课程让相关人员亲身体验计算机及网络安全.攻防全过程，可以极大.提升相关人员.安全意识，进一步提高对网络安全.防范意识真实.研究环境目标网络、操作系统、漏洞均模拟现网.真实环境，入侵、防护过程完全真实并非像一些实验系统只能模拟输出既定.结果，贴近实际模块化可独立部署或融合部署：可单独接入终端机器进行安全实验，更可配

23、合天融信实验室优化版.各类产品，例如防火墙、UTM统一威胁管理系统、IDS入侵检测系统、内网安全管理系统、交换机、路由器、接入认证系统等基础安全及网络实验室模块组合成为真实攻防.全局环境中7.2 实验室特点完整性实验室平台体系涉及社会工程学、密码学、病毒学、主机安全、操作系统安全（包括Windows系列、Linux、Unix、BT5等）、网络基础、网络攻防、容灾备份、无线安全等方面实践性理论与实践操作紧密、完美.融合实验操作中应用.方法与技能可直接应用到实际环境中，实验环境与实际环境.差异性大大.缩小与此同时，本系统可以实现同主流设备.无缝结合，增强实验室应用性建设，提高单位.设备利用率先进性实验室采用“进阶式”设计，实验内容难度由浅入深，实验类型又验证到设计，实验对象层次由低到高；实验教程采用“多元化”理念，既可以提高单位培养相关人员.安全意识，又可以满足单位研究安全人员.实验需求扩展性该系统允许单位根据研究需要，自主扩充实验内容，设计实验步骤，制作实验拓扑，并可灵活地设置和发布力求打造实验研究、管理、提高、演练四位一体.全方位实验室系统7.3 安全研究能力天融信公司已建成前沿安全研究中心、阿尔法实验室、企业博