信息安全攻防实验室组建方案.docx

1、信息安全攻防实验室组建方案信息安全攻防实验室组建方案 1. 概况网络技术的发展在创造了便捷性的同时，也把数以十亿计的用户带入了一个两难的境地，一方面，政府、企业以及个人依赖网络维持政治、经济、文化、军事等各项活动的正常运转，企业用户依赖网络进行技术创新和市场拓展，个人用户依赖网络进行信息交互；另一方面，网络环境中传输存储的数据多数是关于国家、企业及个人的机密敏感信息，因此成为敌对势力、不法分子的攻击目标。由此可见，在未来这种安全势态不但不会平息，而且会持续发展，逐渐渗透到物联网、智能移动网、云网络等新型的网络空间。 网络安全问题涉及许多学科领域，既包括自然科学，又包括社会科学，覆盖了计算机技术

2、、通信技术、存取控制技术、校验认证技术、容错技术、加密技术、防病毒技术、抗干扰技术、防泄露技术等，是一个非常复杂的综合问题，并且其技术、方法和措施都要随着系统应用环境的变化而不断变化。所以，网络安全是一项复杂且艰巨的任务，需要相关从业人员具备相对较高的素质，既要能高瞻远瞩，对各种威胁做到防患于未然，又要能对各种突发安全事件做出应急响应，把影响和危害减到最小。针对国外的敌对势力及技术封锁，如何建立基于网络安全、自主知识产权下的网络有效管理，也是我国面临的重要课题。培养高精尖信息安全人才对于维护我国的信息主权、全面参与全球经济竞争及经济安全和国家安全至关重要。 在我国，网络攻击与防护是网络安全的核

3、心内容，也是国内外军队、网监、XXXX信息安全相关机构的重点教学内容。网络攻击与防护具有工程性、实践性的特点，对课程设计和综合实训提出了更高的实验环境要求。1.1. 信息安全研究领域信息安全的领域非常广泛，本仿真漏洞系统重点研究领域包括网络安全、主机安全以及应用安全等三个方面：一、网络安全通常，信息系统安全与性能和功能是一对矛盾的关系。如果某个系统不向外界提供任何服务（断开），外界是不可能构成安全威胁的。但是，信息系统接入国际互连网络，提供网上商店、电子政务服务和电子商务等服务，等于将一个内部封闭的网络建成了一个开放的网络环境，各种安全包括系统级的安全问题也随之产生。构建网络安全系统，一方面由

4、于要进行认证、加密、监听，分析、记录等工作，由此影响网络效率，并且降低客户应用的灵活性；另一方面也增加了管理费用。但是，来自网络的安全威胁是实际存在的，特别是在网络上运行关键业务时，网络安全是首先要解决的问题。选择适当的技术和产品，制订灵活的网络安全策略，在保证网络安全的情况下，提供灵活的网络服务通道。采用适当的安全体系设计和管理计划，能够有效降低网络安全对网络性能的影响并降低管理费用。全方位的安全体系，与其它安全体系（如保安系统）类似，企业应用系统的安全体系应包含： 访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。 检查安全漏洞：通过对安全漏洞的周期检

5、查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。二、主机安全从实际运作的层面来看，信息技术安全问题围绕三个基本事实：其一，IT系统不可能绝对可靠地识别用户的身份。其二，授权用户可能会被利用；其三，如果黑客获得了对主机的访问权，那么该主机就可能被闯入。后者，即为主机加固安全，是极其重要的一道防线。一方面，主机等高价值目标往往吸引的是黑客中的高手；另一方面，如果保存在主机上的数据越重要，用户对它的安全投入就越大，正所谓是“魔高一尺，道高一丈”的较量。在过去的几年间，现实世界的一些犯罪组织一直在积极招揽黑客，从事针对某些目标的犯罪活动，比如最近黑客试图从住友银行的英国分行盗窃约2亿英镑。此类犯罪

6、活动结合了对IT系统获得物理访问权和黑客行为，这意味着单单在主机和因特网之间设置性能可靠的防火墙已不足以保护你的数据。如今，黑客完全有可能透过防火墙将黑客工具装入网络发动内部进攻。由于众多黑客工具在网上能够免费获得，加上USB存储设备随手可得，只要闲置的USB端口能够实际访问公共场所（比如接待处），就有可能利用网络上的任何PC发动攻击。为此，你要开始考虑对主机进行加固，以防直接从网络内部发动的攻击。三、应用安全由于网络技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据Gartner的最新调查，信息安全攻击有75%都是发生在Web应用而非网络层面上。同时

7、，数据也显示，三分之二的Web站点都相当脆弱，易受攻击。然而现实确是，绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证Web应用本身的安全，给黑客以可乘之机。当今世界，Internet(因特网)已经成为一个非常重要的基础平台，很多企业都将应用架设在该平台上，为客户提供更为方便、快捷的服务支持。这些应用在功能和性能上，都在不断的完善和提高，然而在非常重要的安全性上，却没有得到足够的重视。1.2. 建设项目的必要性2012年11月30日本年度全球信息安全调查报告显示，中国企业信息安全事故发生率远远高于世界平均水平。网络事故、数据事故及系统事故是三大中国企业常见的信息安全事故

8、，发生率分别为51%、45%、和40%。而相同事故在全球范围内的发生率则为25%、27%与23%。也就是说，中国企业发生信息安全事故的概率是世界平均水平的2倍左右。而这个数据与2011年相比仍呈现一定程度的上升趋势。为了全面提高信息安全的水平，需要普遍提高人员的信息安全意识，需要对信息安全威胁和信息安全漏洞进行认识，需要提高信息安全防范的技能。因此，建立一个信息安全实验室非常有必要，其作用在于： 将特定领域的信息安全威胁和信息安全脆弱性进行集中管理； 将特定领域的信息安全威胁与脆弱性的可视化展示或再现； 按需要搭建特定要求的攻防演练环境，对特定要求的信息安全攻防演练进行支持； 提供特定需要的信

9、息安全攻防技术培训与实验； 向观摩人员展示信息安全攻击实验，提高对信息安全的认识； 提供特定安全威胁、脆弱性以及安全机制的研究与学习实验平台。本解决方案，根据蓝盾公司的技术优势和最佳实践经验，提供对网络安全、主机安全、应用安全以及数据库安全的攻防实验支持。1.3. 项目建设预期目标本方案针对XXXX建设一个信息安全实验室仿真漏洞系统，其目标是： 提供一个安全攻防实验的实验仿真平台，可以将实施设备自由组合成信息安全攻防实验仿真环境，让攻防双方展开竞赛，并可以让第三方进行观摩、评比和学习； 提供一个安全威胁与漏洞的仿真展现平台，可以方便地将漏洞与威胁进行展现，让学习或参观的人员能够直观地了解信息安

10、全的漏洞与威胁； 提供安全攻防实验的仿真平台，在这个仿真平台上，可以按照课程或实验的安排，演练网络、主机、互联网应用、数据库等相关信息技术的安全威胁、脆弱性以及各种安全机制。 提供信息安全技术人员培训课程，可以为XXXX进行信息安全专业技术人员进行人才储备。1.4. 项目设计遵循原则根据XXXX工作的需要，方案设计中需要将其工作的特殊性，实际性，可扩展性，以及业务发展等作为方案建设的依据原则。具体可按照以下原则进行设计： （1） 内部实用性支持原则模拟实训室的建设，以及攻防分析与安全技术人员的培养，首先是为了XXXX内部的信息资产安全提供强有力的技术保障队伍，能够及时发现、追查互联网中的安全异

11、常事件，提供互联网渗透测试技术支持和顾问建议。（2） 产品成熟性原则本方案中所使用的软硬件设备充分吸收国际安全厂商的先进经验，已成功投放市场多年，获得国内外机构、国际权威安全专家的一致好评。蓝盾WEB应用弱点扫描器属于本公司自主研发产品，有专门的研发团队和维护团队，保障产品的稳定性和工作性能。（3） 可扩展性原则计算机与通信技术发展速度很快，网络攻击与防御技术也在不断发展，新的业务、新的攻击途径、新的防御技术都要求安全实验室的基础设施和专业能力具备一定的扩展性。（4） 可控性原则采取的技术手段可达到安全可控的目的，工程实施的周期、人员和安全性等具有可控性。（5） 便捷性原则方案中产品自身系统均

12、提供统一的界面风格，可为每个操作员提供易于使用的操作界面，提高工作人员的上手能力。2. 信息安全实验室整体规划2.1. 实验室方案设计根据XXXX人员工作和学习的实际需求，我们专门进行了针对性的信息安全实验室网络部署设计。在本方案设计中，我们根据现有网络资源进行最大限度的合理利用，将技能训练功能和渗透功能与之进行有机结合，实现了工作，训练，演示和内外网互联功能的全结合。下面是我们方案规划设计示意图：方案示意图2.2. 实验室方案介绍XXXX信息安全实验室作为XXXX工作人员的学习和工作的综合平台。需要从功能演示环境，工作环境，训练环境等多方面来进行建设，以满足XXXX工作人员工作的实际需求。方

13、案设计的具体规划如下： 信息安全实验室演示系统：主要是作讲师的课件讲解、上级领导或者外部人员进行参观展示功能。 信息安全对抗演习：主要作为网络特侦工作人员实训平台，提供高仿真的网络攻击训练环境，使网络特侦人员通过此训练更好的掌握网络攻击技能。 渗透测试（模拟各类攻击）：实验室仿真漏洞系统提供一个信息系统的渗透测试接口，渗透测试人员可以利用信息安全攻防实验室的仿真漏洞系统，进行渗透测试。2.3. 方案所需设备根据方案设计原则，整个方案所需的具体设备如下：类型设备名称数量实现功能硬件交换机（24口）（由局方提供）2台将各网络设备进行互连硬件服务器（由局方提供）810台构建网络环境工作站软件实验环境

14、仿真漏洞平台（由蓝盾公司提供）1套攻防实验室组建的基础软件蓝盾WEB应用弱点扫描器（由蓝盾公司提供）3套WEB应用安全专用评估工具软件半自动化渗透测试工具（由蓝盾公司提供）3套渗透测试专用评估工具软件主机实验平台（由蓝盾公司提供）1套智能化渗透攻击平台2.4. 方案预留说明考虑到XXXX工作以后发展的实际需求，在整个方案设计工程中我们就预留了扩展区域，供日后业务扩展需要。3. 信息安全实验室功能XXXX模拟实训方案可以实现以下四个功能：演示功能、渗透测试功能以及信息安全对抗演习和信息系统安全验证功能。通过本方案，一方面可以满足XXXX人员的实际的工作需求；另外一个方面可以满足XXXX工作人员的

15、技术训练需求；再者，可以作为参观、学习演示功能。具体方案如下：3.1. 信息安全实验室演示系统它的主要作用是可以作为参观演示功能、工作汇报功能和训练讲解功能。本功能是基于整体方案设计的一个功能。在整个规划图中，它通过主机实验平台连接攻击应用仿真平台实现。3.1.1. 系统结构本部分是在内部网络环境内进行，通过主机实验平台连接到我们的蓝盾公司实验环境仿真漏洞平台进行功能演示。主要包含了硬件系统和软件系统，我们通过将这两者进行的合理配合，实现演示功能。3.1.2. 系统组成演示功能部分系统主要由：硬件系统，软件系统。 软件系统主要包含：蓝盾实验环境仿真漏洞平台，蓝盾WEB应用弱点扫描器，半自动化渗

16、透测试工具以及主机实验平台等。 蓝盾实验环境仿真漏洞平台：通过搭建各种真实的WEB应用系统环境以及预设的系统漏洞及应用安全漏洞库，以满足攻防实验的需要。 蓝盾WEB应用弱点扫描器：通过深入分析研究B/S典型应用架构中常见安全漏洞以及流行的攻击技术基础上，研制开发的一款WEB应用安全专用评估工具。 半自动化渗透测试工具：通过总结归纳大量SQL注入特征后的，研制开发的一款针对WEB应用的渗透测试专用评估工具。 主机实验平台：通过输入基础的目标信息，平台将自动识别目标的操作系统类型、开放的服务、应用系统的特征。 硬件系统主要包括设备：交换设备，蓝盾实验环境仿真漏洞平台设备，主机实验平台设备等 交换设

17、备：提供用户区接入技能训练的和演示功能的能力，并为整各个硬件平台提供通信支持。 蓝盾实验环境仿真漏洞平台设备：提供蓝盾实验环境仿真漏洞平台存放的功能，为整个技能训练功能提供实验环境。 主机实验平台设备：通过尝试各种可能的漏洞利用手段对目标系统进行攻击测试，最终获取权限的智能化渗透攻击平台。3.2. 渗透测试（模拟各类攻击）为了对信息系统的安全进行风险评估，往往需要对信息系统进行渗透测试，本信息安全攻防实验室仿真漏洞系统提供一个信息系统的渗透测试接口，渗透测试人员可以利用信息安全攻防实验室的仿真漏洞系统，进行渗透测试。3.2.1. 系统结构通过信息安全攻防实验室仿真漏洞系统对其进行渗透测试，同时

18、由于信息安全实验室具备各种信息安全威胁及信息安全漏洞的数据库及验证实验仿真环境，其扫描及渗透测试工具比较齐全，有利于渗透测试工作的实施。3.2.2. 系统组成渗透测试功能部分主要由：硬件系统，软件系统组成。 软件系统主要包含：蓝盾WEB应用弱点扫描器，半自动化渗透测试工具以及主机实验平台等。 蓝盾WEB应用弱点扫描器：通过深入分析研究B/S典型应用架构中常见安全漏洞以及流行的攻击技术基础上，研制开发的一款WEB应用安全专用评估工具。 半自动化渗透测试工具：通过总结归纳大量SQL注入特征后的，研制开发的一款针对WEB应用的渗透测试专用评估工具。 主机实验平台：通过输入基础的目标信息，平台将自动识

19、别目标的操作系统类型、开放的服务、应用系统的特征。 硬件系统主要包括设备：交换设备，主机实验平台设备等 交换设备：提供用户区接入技能训练的和演示功能的能力，并为整个硬件平台提供通信支持。 主机实验平台设备：通过尝试各种可能的漏洞利用手段对目标系统进行攻击测试，最终获取权限的智能化渗透攻击平台。3.3. 信息安全对抗演习信息安全攻防实验室仿真漏洞系统具有信息安全攻防对抗演习功能，攻防双方在应用仿真平台上展开攻防演习。攻方利用一切可以利用的工具对目标系统进行攻击，防御方利用检测和防御系统以及对应用仿真平台上的信息系统进行安全加固以达到防御攻击方的进攻。信息安全攻防对抗演习可以达到评估安全防御和安全

20、攻击能力的有效方法，并能够对信息系统的安全性进行有效的验证。3.3.1. 系统结构本部分是在内部网络环境内进行，由主机实验平台连接到的攻击应用仿真平台进行技术训练。提供高仿真的网络攻击训练环境，使网络特侦人员通过此训练更好的掌握网络攻击技能。3.3.2. 系统组成 软件系统主要包含：蓝盾实验环境仿真漏洞平台，蓝盾WEB应用弱点扫描器，半自动化渗透测试工具以及主机实验平台等。 蓝盾实验环境仿真漏洞平台：通过搭建各种真实的WEB应用系统环境以及预设的系统漏洞及应用安全漏洞库，以满足攻防实验的需要。 蓝盾WEB应用弱点扫描器：通过深入分析研究B/S典型应用架构中常见安全漏洞以及流行的攻击技术基础上，

21、研制开发的一款WEB应用安全专用评估工具。 半自动化渗透测试工具：采用漏洞产生的原理和渗透测试的方法，对WEB应用进行渗透性测试，可帮助工作人员了解应用系统存在的脆弱性，并提供相应的漏洞利用结果。 主机实验平台：通过输入基础的目标信息，平台将自动识别目标的操作系统类型、开放的服务、应用系统的特征。 硬件主要包括设备：交换设备，蓝盾实验环境仿真漏洞平台设备，主机实验平台设备等 交换设备：提供用户区接入技能训练的和演示功能的能力，并为整各个硬件平台提供通信支持。 蓝盾实验环境仿真漏洞平台设备：提供蓝盾实验环境仿真漏洞平台存放的功能，为整个技能训练功能提供实验环境。 主机实验平台设备：通过尝试各种可

22、能的漏洞利用手段对目标系统进行攻击测试，最终获取权限的智能化渗透攻击平台。3.4. 内外网互联功能在整个方案设计中，内外网互联功能非常重要，它一方面可以保护我们的内网安全，使内网环境不受到来自外网的威胁；同时也提供渗透测试功能，满足XXXX人员的实际工作需求。3.4.1. 功能实现内外网互联功能通过网络防火墙对外网映射服务器进行设置，使外网映射服务器可以直接访问到目标网站，根据渗透测试的结果进行相应的操作。在防火墙进行设置开放FTP端口或者WEB端口，以供目标服务器主动下载。3.4.2. 系统组成内外网互联功能主要由硬件系统、软件系统组成。 软件系统主要包含：需要放到目标服务器上运行的特殊工具

23、。这些工具包括：痕迹清理工具，局域网攻击工具等等。 内外网互联功能主要由一台外网映射服务器组成。 外网映射服务器：存储对外网进行攻击的网络工具。3.5. 信息系统安全验证信息系统系统安全验证可以实现信息系统实施的全生命周期安全测评，包括信息系统验收测试的测评工作、信息系统上线前的测评工作以及生产环境中的安全测评工作。在系统投运之前、升级改造之后对其运行环境进行全面的安全测评，并协助进行安全加固，确保系统正式上线运行时满足相关安全要求。具体实现： 确保新上线系统或升级改造之后的系统在上线前就符合国家、行业监管、业务部门的相关法律法规、行业规范以及部门安全策略和安全基线等要求。 确保新上线系统或升

24、级改造之后的系统在上线后的安全运行有保证，包括有足够的安全能力防范黑客入侵、DDOS攻击、业务中断、灾难破坏等安全风险。 对新上线系统或升级改造之后的系统在上线前将发现的重大安全漏洞进行安全加固，确保新上线系统或升级改造之后的系统在上线时不存在明显的重大安全漏洞和安全隐患。本信息安全攻防实验室提供一个信息系统部署前网络验证的平台，可以利用信息安全实验室的设备和信息安全工具对部署前的信息系统进行安全验证。4. 攻防实验室配置清单编号类型设备名称数量功能概述1软件蓝盾实验环境仿真漏洞平台1通过搭建各种技术构架的操作系统及软件环境，并在操作系统及软件环境上搭建各种类型的应用系统，包括ASP+IIS+

25、SQLSERVERASP.NET+IIS+SQLSERVERJSP+轻量级JAVA框架+TOMCAT+ ORACLE及邮箱系统；构造各种真实的WEB应用系统环境以及预设的系统漏洞及应用安全漏洞库，以满足攻防实验的需要。2软件蓝盾WEB应用弱点扫描器3采用攻击技术的原理和渗透性测试的方法，对WEB应用进行深度漏洞探测，可帮助应用开发者和管理者了解应用系统存在的脆弱性，为改善并提高应用系统安全性提供依据，建立安全可靠的WEB应用服务3软件半自动化渗透测试工具3半自动化渗透测试工具作为一款专业级的WEB应用安全测试工具，不仅具有精确/高效的取证功能、极为灵活的配置、强大的渗透等功能，在针对一些常规同

26、类软件无法取证的漏洞点，可以轻易的获取数据。4软件主机实验平台1对目标服务器进行自动化渗透测试。通过输入基础的目标信息，平台将自动识别目标的操作系统类型、开放的服务、应用系统的特征。通过搜集各种信息，自动化确定目标的安全问题，并通过各种安全漏洞对目标发起渗透性攻击，最终获取系统的权限或各种敏感数据。具体设备说明请看附件一。5. 信息安全实验室培训设计5.1. 培训目标信息安全实验室的总体目标是：通过专业安全公司和硬件设备及系统软件原厂商提供的一系列专业化培训，使XXXX特侦工作人员能够正确、熟练、有效地利用本攻防实验室进行网络安全攻防技术的学习、培训。在本项目的培训中，我们将改变目前国内普遍存

27、在的“讲完就算，讲完就走”的呆板培训模式，转变为“减少讲授、增加操作”的培训新模式，切实提高受训人员的应用本系统的实际能力。采用理论讲授、操作示范、考察学习相结合的等培训形式，切实提高培训效果。我们根据本项目的实际需求，设计了具有针对性和实用性的培训课程。在课题的选择和教材的编制上都采用高质量、易学习的标准进行课程设计。同时我们专门为本方案挑选了技术水平高、项目经验丰富且直接参与本项目设计实施的资深安全研究工程师担任培训教师，以便能够从各方面保证培训的质量和效果。5.2. 培训教师蓝盾公司具有一批优秀的安全研究工程师，具有丰富的安全攻防经验以及深厚的安全背景，为XXXX相关技术人员提供全面、深

28、度的安全培训。为推动信息安全专业化教学，提高信息安全实验室和网络攻防实验室应用效率，蓝盾推出信息安全讲师培训，该培训以网络和信息安全相关理论为基础，熟悉实验室操作，学会专业性授课技巧，有助于老师对信息安全体系的深入认知，将实验课程快速融合进教学计划中。5.3. 培训方式本项目的培训方式主要包括集中培训、现场培训等。1、集中培训集中培训将针对实验室管理人员特点，以两种形式展开：（1）理论知识培训理论知识培训包括业务使用、网络系统、硬件设备、系统软件、应用软件等各个方面的培训。时间主要安排在整个系统集中调试之前进行。（2）上机操作培训上机操作培训是培训工作的重中之重，上机操作的效果直接决定整个培训

29、的效果。为此将上机操作安排到现场进行，这样可以保证上机培训质量。时间主要安排在整个系统集中调试之后进行，既可以利用当地的现场环境，又可以保证每位受训人员都有设备和软件，为下一步整个系统的上线运行打下扎实基础。2、现场培训我们将安排资深安全研究工程师针对XXXX技术人员进行现场教学和即时指导，增加学习机会，使技术人员增强网络安全背景知识的同时，能更直观地了解软硬件安全设备的操作、管理、维护知识，提高攻防实验室的使用、管理、维护水平。5.4. 培训课程编号课程名称课程内容课时安排（40分钟/课时）1WEB应用安全概述信息安全从传统网络层、系统层到应用层的转变1.0课时WEB应用安全事件介绍1.0课

30、时2WEB应用安全威胁简介当前WEB应用系统所面临的主要威胁，包括页面篡改、信息泄露、网页挂马等；0.5课时介绍近年来国家权威机构安全研究报告以及我公司WEB应用安全监测报告0.5课时3WEB应用安全漏洞OWASP WEB应用安全开源项目简介0.5课时OWASP Top 10 简介0.5课时SQL注入详解2.0课时跨站脚本详解1.0课时CSRF跨站伪造请求详解1.0课时下载漏洞详述1.0课时OWASP Top 10 其他漏洞介绍1.0课时4HTTP嗅探抓包 嗅探抓包在渗透测试中的利用1.0课时5中间件安全及防护实例讲解IIS、apache、TOMCAT、web logic中间件安全及防护1.0

31、课时6WEB应用安全防护通过安全编程、安全配置、安全管理、安全产品、风险评估以及应急响应六大方面保障WEB应用系统的安全2.0课时7个人信息安全从账号使用习惯，PC使用习惯，信息发布习惯等方面确保信息安全人员的管理信息安全1.0课时8工具操作培训蓝盾WEB应用弱点扫描器、半自动化渗透测试工具和主机实验平台的操作培训3.0课时5.5. 实验课程分类内容课时（小时）信息收集目标信息收集1存活探测服务及应用探测协议栈指纹鉴别WEB渗透测试SQL注入漏洞2跨站脚本漏洞脚本上传漏洞弱口令暴力探测csrf攻击文件包含漏洞密码破解系统漏洞探测攻击1应用漏洞探测攻击密码暴力破解攻击欺骗攻击测试培训DNS欺骗1SSL欺骗隐藏防护关联攻击测试培训旁注漏洞攻击1远