神州数码
安全攻防实验室解决方案
(V2.0版本)
神州数码网络有限公司
2013/4/13
目录
第一章网络安全人才火热职场 (4)
1.1网络安全现状 (4)
1.2国家正式颁布五级安全等级保护制度 (4)
1.3网络安全技术人才需求猛增 (5)
第二章网络安全技术教学存在的问题 (5)
2.1网络安全实验室的建设误区 (5)
2.2缺乏网络安全的师资力量 (5)
2.3缺乏实用性强的安全教材 (6)
第三章安全攻防实验室特点 (6)
3.1网络实验室分级金字塔 (6)
3.2安全攻防实验室简介 (7)
第四章安全攻防实验室方案 (8)
4.1安全攻防实验室设备选型 (8)
4.1.1 传统安全设备 (8)
4.1.2 安全沙盒——使实验室具有攻防教学功能的独特产品 (9)
4.2安全攻防实验室拓扑图 (10)
4.3安全攻防实验室课程体系 (11)
4.3.1 DCNSA网络安全管理员课程——面向中高职院校 (11)
4.3.2 DCNSE网络安全工程师课程——面向高职、本科院校 (13)
4.4安全攻防实验室实验项目 (15)
4.4.1基本实验 (15)
4.4.1扩展实验 (17)
第五章安全攻防实验室配套服务 (18)
5.1 师资培训和师资支持 (18)
5.1.1师资培训 (18)
5.1.2课件 (19)
5.1.3讲师交流平台 (19)
5.1.4教师进修计划 (19)
5.2考试评估和证书 (20)
5.2.1神州数码认证考试采用A TA考试平台 (20)
5.2.2神州数码协助合作院校申请成为A TA公司考站 (21)
5.2.3“一考双证”如何实施? (21)
第六章神州数码安全攻防实验室优势 (23)
6.1区别于普通的安全调试型安全实验室 (23)
6.2独有的安全攻防平台,不需要添加其他服务器设备 (23)
6.3便于教学的课件导入功能 (23)
6.4 系统还原功能 (23)
6.5提供设计型、综合型实验的真实环境 (23)
6.6安全攻防实验室提供研发型实验接口 (23)
第七章网络实验室布局设计 (24)
7.1 实验室布局平面图 (24)
7.2 实验室布局效果图 (25)
7.3 机柜摆放位置的选择 (25)
第一章网络安全人才火热职场
1.1网络安全现状
信息技术飞速发展,各行各业对信息系统的依赖程度越来越高,建立持续、稳定、安全的网络是保障用户业务发展的前提。
近年来,安全问题却日益严重:病毒、木马、黑客攻击、网络钓鱼、DDOS 等安全威胁层出不穷,而且技术越来越复杂,病毒、木马及黑客技术等融合造成了网络安全的巨大危机。
用户都已经认识到了安全的重要性。纷纷采用防火墙、加密、身份认证、访问控制,备份等保护手段来保护信息系统的安全。
但是网络安全的技术支持以及安全管理人才极度缺乏。
1.2国家正式颁布五级安全等级保护制度
2007年7月24日,公安部、国家保密局、国家密码管理局、国务院信息工作办公室正式上线颁布了信息安全等级保护规定,信息安全等级保护管理办法及实施指南,颁布了《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》、《信息安全技术信息系统安全等级保护实施指南》、《信息安全技术信息系统安全等级保护基本要求》等办法。
办法明确规定,信息系统的安全保护等级分为五级,不同等级的信息系统应具备的基本安全保护能力如下:
第一级安全保护能力:应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。
第二级安全保护能力:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。
第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
第四级安全保护能力:应能够在统一安全策略下防护系统免受来自国家级别的、敌对
组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。
第五级安全保护能力:(略)。
等保制度的颁布将网络安全的重要性提高到法律法规的高度,并催生了一个新的职业:网络安全评估工程师/专家,该职位属于IT行业的顶级职位,目前的人才储备远远不能满足行业需求。
1.3网络安全技术人才需求猛增
网络安全技术涉及到国民经济的各个领域,技术发展迅速,在中国对安全人才的需求数量大,人才的需求质量高,高技能型应用人才十分缺乏,据51Job、中华英才网等人力资源网站统计,近年,人才市场对网络安全工程师的需求量骤增,大中型企业都已经设置了专业的网络安全管理员,中小企业也大量需要懂得网络安全的网络管理员,银行、证券、保险、航空、税务、海关等行业尤其看重。
网络安全行业的就业需求将以年均14%的速度递增,2008年,网络安全行业的就业缺口人数将达到20万以上。
网络安全工程师需要更高更全面的技术学习,因此薪资水平较一般网络工程师高,可以达到1.5至3倍的水平,走俏职场成为必然。
第二章网络安全技术教学存在的问题
2.1网络安全实验室的建设误区
很多学校在建设网络安全实验室的时候都会走进一个误区,往往认为安全设备的安装调试就是安全实验室,没有把安全攻防、系统加固作为网络安全实验室的建设内容。
安全设备的安装调试以及安全网络的拓扑设计的确是安全实验室的重要内容,但应该不仅仅是这些内容。大部分的网络安全实验室之所以建成安全设备的调试级别,主要是因为组织实验室方案的往往是设备厂商,作为设备厂商关注的问题就是如何更多地销售设备,这就导致实验室的层次偏低,实验项目不全面。
2.2缺乏网络安全的师资力量
网络安全是网络行业中技术含量较高的方向,安全人才较为缺乏,学校师资也是一样,好的师资是网络安全实验室教学中的一个重要环节。通过师资培训,再加上好的环境来实践,
可以保障网络安全教学师资的提升。
2.3缺乏实用性强的安全教材
目前市面上面的网络安全教材很多,但绝大部分都是以理论为主,很容易导致学生学习的厌烦感,教材的编排并没有针对性的网络安全实验,这也是网络安全实验开展困难的主要问题。
第三章安全攻防实验室特点
在一个已经部署防毒软件、防火墙、IDS、VPN等安全产品的实验室中,很少有人清晰的知道这些安全产品的作用,以及能够为计算机安全所带来的保障。配置和组网的实验带给学生的仍然是书面的理论知识,学生没有一个整体的概念。实验室严重匮乏的是安全设备的组合以及攻防环境的建立,这让很多学校以及企业感到无从着手,无力进行有效的网络安全培训,面对以下问题无所适从:
问题1:怎样的教学方式才能让学员更加快捷、高效的学习网络安全方面的知识?
问题2:什么样的教学环境才能让学员更容易、积极的学习网络安全方面的知识,增强网络安全意识?
神州数码提出超越普通网络安全实验室概念的方案——网络安全攻防实验室解决方案,成为国内第一家将网络攻防概念真正引入教学课堂的网络厂商。攻防带给教学最真实的环境、最有效的实验方式,学会真正最实用性安全技术,在实验室中学生可以真实体验到未来工作中的网络状况,并加以排除、维护和改造。
神州数码这一理念也符合了网络实验室分级金字塔的要求:
3.1网络实验室分级金字塔
神州数码在网络实验室行业以其全面的方案和完善的课程教材体系赢得了学校用户的认可,目前神州数码可以向学校提供五大不同类型的实验室方案:普通型路由交换实验室方案、安全攻防实验室方案、融合通信实验室方案、IPv6实验室方案、协议分析与研发型实验室方案。其他的网络技术譬如:无线、存储等没有列为专门的实训室类型,它们可以作为一个组件附加在各个实验室中。
实验室类型虽然很多,但根据锻炼能力的不同分为以下几个级别:
1、安装调试级别:即学会配置交换机、路由器、防火墙、IDS、VoIP、无线等网络设备已经存在的功能,将这些功能显现出来,并且学会如何用这些设备组网实现用户所需要的功能和服务,此时学生面对的网络是静态的设备。
2、运维攻防级别:这是更高级别的实验室,网络不再是一个个单独的设备,而是动态运作的一个整体。网络时刻在变化,病毒、攻击、瓶颈、非法操作随时都可能对网络造成致命的破坏。学生需要对这个动态的网络进行架构的优化、对流量进行限制和整形、对用户进行管理、对病毒进行防治、对攻击进行防御等。此时,学生就是网络中的警察、建筑师、清洁工,保证整网更顺畅、安全的运行。这个级别的实验更加灵活多变,难度也更大,要求学生对基础知识的掌握更扎实。安全攻防实验室就属于这一级别的实验室。
3、研发级别:研发网络设备的特定功能,培养既懂网络又懂研发的复合型人才。
2008年之前,各学校建设的网络实验室均属于安装调试级别的实验室,只能培养技能型人才,而第二级别和第三级别可以培养技术型人才。
3.2安全攻防实验室简介
目前,各行业用户对信息系统的依赖程度也越来越高,建立持续、稳定、安全的网络是保障用户业务发展的前提。大家都认识到安全的重要性,纷纷采用防火墙、加密、身份认证、访问控制,备份等保护手段来保护信息系统的安全。与此同时,安全问题日益严重,病毒、木马、黑客攻击、网络钓鱼、DDOS 等安全威胁层出不穷,而且技术越来越复杂,病毒、木马及黑客技术等融合造成了网络安全的巨大危机。因此,国内人才市场对网络安全工程师的需求量骤增,大中型企业需要精通网络安全的网管人员。
原来的网络安全实验室都是面向设备安装调试以及设备组网的实验室,没有针对网络管理员实际遇到的安全攻防做出相应的训练。
神州数码是国内首家正式提出安全攻防技术进入学校教学课堂的网络设备厂商,并提
供了完整的解决方案。安全攻防实验室使用主流的安全设备:如防火墙、入侵检测与防御系统、统一威胁管理系统、终端安全系统、安全准入认证系统组成实验网络,将典型安全漏洞实验案例、主机系统加固实验案例以及漏洞扫描案例浓缩到称之为“安全沙盒”的安全攻防实验平台中。安全沙盒与所有安全设备组合部署成一个强大的网络测试环境,学生和研究人员可以更直观、更有效、更方便地体验设备中安全技术的部署,观察并攻击“安全沙盒”中定制服务器常见的操作系统漏洞和网络应用服务漏洞等,然后在安全沙盒上进行系统加固,并可以利用整网的设备联动发现威胁、主动防御。安全沙盒的部署拓扑如下:
第四章安全攻防实验室方案
4.1安全攻防实验室设备选型
4.1.1 传统安全设备
传统的安全设备包括防火墙、UTM统一威胁管理、入侵检测引擎、认证计费、日志系统等产品,这些传统的安全设备可以组建完整的网络进行设备的安装调试,满足学生了解产品配置、了解产品功能的作用。传统的安全设备是安全攻防实验室不可或缺的产品,它们的
组合可以完成安装调试级别的所有实验。
4.1.2 安全沙盒——使实验室具有攻防教学功能的独特产品
神州数码安全沙盒系统——DigitalChina Secure SandBox(简称:DCSS)为计算机安全教育提供实验课程以及实验环境。教师通过登录DCSS系统的管理平台SandBox Management Centrol(简称:SMC)进行实验课程的教学工作,学生也可以通过登录SMC进行教学课程的实验操作。DCSS是神州数码网络公司专为网络安全攻防实验室研发的产品,是进行网络安全攻击和防御的模拟平台,锻炼学生动态网络安全维护的能力。其名取材于军事术语“沙盘”,这意味着安全沙盒可以通过模拟实战演练战术和技术,其先进的设计理念为国内首创。
安全沙盒系统为计算机及网络安全教育提供多系统平台的教学课件,在教学、培训过程中,根据需要可以启动基于不同操作系统平台的教学课件,满足所有教学环境的需求。
安全沙盒系统为计算机及网络安全教育提供多模式的安全攻防实验课件,能够进行各种安全威胁的攻防操作,针对不同的攻击防御模式,提供多种实验课件选择。
安全沙盒系统的全部课件均是将安全理论与实际环境和动手操作相结合的实验课程,所有的学习过程中,都需要通过实际动手进行实验操作,完成课件要求的安全威胁攻击以及针对该攻击的安全防御措施。通过不同的实验课程让学员亲身体验计算机及网络安全的攻防全过程,让学生从枯燥的理论学习中解脱出来,可以极大的提升学生学习网络安全知识的积极性,并帮助学生在未来的就业和职业发展奠定扎实、实用的技术基础和经验。
安全沙盒具有10个千兆电口,其中2个用于管理,8个用于学生实验,可以满足8人同时实验,并具有如下特点满足教学需求:
1、独立的实验环境:教师通过SMC控制台可以为学生开启各种计算机安全教学课程的实验环境,学生可以在实验环境中进行各种计算机安全的攻防实验。独立隔离的实验环境不会对其他网络造成危害。
2、可定制的安全实验课件:教师可以在SMC控制台上进行日常教学的课程定制,根据已有的实验课件,教师可以自行编写教学课程内容。
4、支持单独的实验评分系统:教师可以在SMC 控制台上为上课的学生进行实验评分,每个学生都可以有自己的实验分数,且支持对学生实验成绩可以导出功能。
5、具备实验课程在线帮助:学生在进行每个实验课程时,都可以通过在线实验说明,实验提示步骤,自行完成实验课程。
6、可扩展的实验课件体系:安全沙盒系统可以通过不断的更新实验课件,不断扩容实验能力,可以无限为计算机安全教学提供长期的实验操作平台。
4.2安全攻防实验室拓扑图
在安全攻防实验室方案中,我们把实验室分成了六个区域:
系统攻防演练区
网络接入安全域
内网核心安全域
网络VPN 安全域
网络边界域
模拟外网安全域
外部网
内部网用户
安全攻防实验组拓扑
DCBA BAS 设备
学生机SCANNER
802.1x 交换机UTM
UTM UTM
DCBI
N L n k M a n g e r e C o e g e
沙盒课件管理器防火墙
IDS 入侵检测引擎
防火墙
攻击机/scanner 远程接入
内部网
DCFS 流量整形NETLOG
DCSS 安全沙盒
DCSM DCSM DCSM DCSM 内网安全管理系统
学生机
1、网络VPN 安全域:使用防火墙进行VPN 技术的组网和配置,让学生了解VPN 技术的特点、适用范围以及安装调试。
2、网络接入安全域:使用802.1x 技术、web 接入技术或者PPPoE 接入技术管理接入安全,也可以利用DCSM 内网安全管理系统进行病毒检查和资产评估。
3、内网核心安全域:部署日志系统和Radius 服务器进行安全审计。
4、网络边界域:具有流量整形网关设备、UTM 和BAS 设备,可以很完整的管理边界安
全。
5、模拟外网安全域:主要进行远程接入的安全设置以及模拟外网产生的恶意扫描和攻击。
6、系统攻防演练区:安全沙盒是主要设备,在安全沙盒上进行系统的攻击和防御,IDS 入侵检测引擎负责网络安全的嗅探和威胁发现。为了保证安全沙盒不对网络的其他区域造成危害,还需要使用防火墙和其他区域隔离,使用DCSM内网安全管理系统对这些工具和软件进行资产管理,防止学生私自复制,对校园网络造成危害。
安全攻防实验室不再是普通意义上的设备安装调试级别的实验室,它带来全新的实验室理念,即运维攻防级别的实验室理念,它提供了全动态绝对真实的网络实训环境。对学生而言网络不再是一台台静止的设备组成,而是具有各种关联,提供各种服务,存在各种威胁的一个动态的整体。
4.3安全攻防实验室课程体系
神州数码非常重视网络安全技术的课程体系,把安全认证从基础认证体系中抽取出来扩展,形成专门的两级安全认证体系:
4.3.1 DCNSA网络安全管理员课程——面向中高职院校
掌握程度分为:掌握、理解、了解三个层次。
项目类型一级知识点二级知识点课时数掌握程度
项目1:局域网安全攻防
技术局域网设备安
全
交换机设备安全 2 掌握
安全的控制台访问 2 掌握
配置特权密码 1 掌握
service password-encryption命令 1 掌握
配置多个特权级别 2 掌握
警告标语(Warning Banners) 2 掌握
交互式访问 2 掌握
安全vty访问 2 掌握
安全Shell(SSH)协议 2 掌握
禁用不需要的服务 2 掌握
局域网常见安
全威胁及解决
方案
MAC flooding/MAC spoofing 4 理解
spanning-tree攻击 4 了解
VLAN跳转 4 了解
DHCP攻击(虚假DHCP防御和DHCP
拒绝服务攻击防御)
4 了解
ARP扫描/ARP攻击/ARP欺骗 4 理解
项目2:互联网接入安全攻防技术互联网接入设
备安全
互联网接入设备安全 2 理解
互联网接入常
见威胁及解决
方案
过滤IP网络流量 2 了解
过滤Web和应用流量 2 了解
特洛伊木马 4 了解
扫描器 4 了解
拒绝服务攻击 4 了解
项目3:网络互联数据安全攻防技术(VPN、
VPDN)网络互联设备
安全
网络互联设备安全 2 理解
网络互联常见
威胁及解决方
案
数据监听 4 理解
数据篡改 4 理解
数据重放 4 了解
非法的数据来源 4 理解
使用IPSEC实现数据的加密、认证、
反重放
8 理解
项目4:互联网接入身份验证AAA 互联网接入身
份验证设备安
全
互联网接入身份验证设备安全 2 理解
互联网接入常
见威胁及解决
方案
配置IEEE802.1X实现互联网接入身
份认证
4 理解
配置PPPOE实现接入客户端身份认证 4 了解
配置web portal实现接入客户端身
份认证
4 了解
课时合计96
4.3.2 DCNSE网络安全工程师课程——面向高职、本科院校
掌握程度分为:掌握、理解、了解三个层次。
项目类型一级知识点二级知识点课时数掌握程度
网络安全综述网络安全的现状
网络为什么不安全 1 了解
安全威胁手段 1 了解
安全防范措施 1 了解
计算机网络安全
术语
黑客 1 了解
密码技术概念 1 理解
访问控制技术概念 2 理解
数字签名 1 理解网络安全策略
数据物理安全 2 理解
数据机密 2 理解
数据完整性 1 理解
数据可控 1 理解
数据可用 1 理解
身份鉴别 1 理解
数据鉴别 1 理解
数据防抵赖 1 理解
审计与监测 1 理解
企业网络安全技术防火墙技术
防火墙概述 2 掌握
防火墙实施 4 掌握
防火墙局限 2 掌握入侵检测技术
入侵检测技术概述 2 掌握
入侵检测系统分类 2 掌握
入侵检测系统实施 4 掌握企业网络与UTM设
备
UTM系统概述 2 掌握
UTM的基本内涵 2 掌握
UTM的实施 4 掌握多维绿网技术
基础网络和防火墙的部署 4 掌握
入侵检测系统部署 4 掌握
接入认证系统部署 4 掌握
802.1x交换机系统部署 4 掌握
加密技术传统的加密方法传统的加密方法 2 掌握
现代主流加密方
法
秘密密钥加密算法 2 掌握
公开密钥加密算法 2 掌握
算法的混合使用 2 掌握密钥的管理密钥的管理 2 掌握数字签名
数字签名的概念 2 掌握
数字签名的基本形式 2 掌握
信息摘要技术 2 掌握
数据完整性的概念 1 掌握
数字签名的实现 1 掌握
基于RSA的数字签名 1 掌握认证技术认证技术 2 掌握
数字证书什么是数字证书 1 掌握为什么要用数字证书 1 掌握数字证书原理介绍 2 掌握证书与证书授权中心 2 掌握数字证书的应用 1 掌握
公钥基础设施PKI PKI构成 2 掌握PKI服务 2 掌握PKI应用模式 2 掌握
黑客攻击手段揭秘常见黑客技术及
系统的缺陷
一般攻击步骤 2 理解
端口扫描 2 理解
网络监听 2 理解
缓冲区溢出 1 理解
拒绝服务攻击 1 理解
IP欺骗(可选) 2 理解
特洛伊木马 2 理解黑客攻击系统的
工具和步骤
黑客攻击系统的工具和步骤 2 理解
网络病毒机制与防
护计算机病毒的工
作原理
计算机病毒的工作原理 1 了解病毒分类
引导型病毒 1 了解
文件型病毒 1 了解
混合型病毒 1 了解
其他病毒 1 了解
计算机网络病毒
的防范
特征代码法 2 理解
校验和法 2 理解
行为监测法 1 理解
软件模拟法 1 理解网络病毒实例
CIH病毒 1 了解
蠕虫病毒 1 了解
2002年流行病毒 1 了解
2003年流行病毒 1 了解
操作系统安全问题及保护措
施Windows NT/2000
的安全与保护措
施
Windows NT/2000系统的缺陷 2 理解
Windows NT/2000系统攻击与防范实
例
2 理解Linux 系统的缺
陷与数据保护
Linux 系统的缺陷与数据保护 2 了解
合计128
4.4安全攻防实验室实验项目
4.4.1基本实验
实验类型实验项目课时数掌握程度
防火墙设备实验防火墙外观与接口介绍 2 掌握防火墙用户管理 1 掌握管理员地址设置 2 掌握恢复出厂设置 1 掌握配置文件保存与恢复 1 掌握产品升级实验 1 掌握防火墙透明模式初始配置 1 掌握防火墙透明模式配置网络对象 1 掌握防火墙透明模式配置安全规则 1 掌握防火墙路由模式初始配置 1 掌握防火墙路由模式配置网络对象 1 掌握防火墙路由模式设置路由及地址转换策略 1 掌握防火墙路由模式配置安全规则 1 掌握混合模式初始配置 1 掌握混合模式配置网络对象 1 掌握混合模式设置路由及地址转换策略 1 掌握混合模式配置安全规则 1 掌握防火墙日志系统实验 2 掌握双机热备(选修) 2 掌握抗DoS实验(选修) 2 掌握
VPN虚拟专用网实
验VPN设备——设备隧道的建立 2 掌握VPN客户端——VPN设备隧道的建立 2 掌握IPSEC VPN实验 2 掌握SSL VPN实验 2 掌握
IDS入侵检测系统实验安装顺序介绍0.5 理解配置传感器0.5 理解安装数据库 1 理解安装LogServer 0.5 理解Event-Collector 的安装与配置 0.5 理解NIDS Console 的安装与配置 1 理解NIDS Report 的安装与配置 1 理解查询工具的使用 1 理解安全响应策略的配置及防火墙联动 1 理解
UTM统一威胁管理系统实验
UTM的基本配置 2 理解利用UTM进行网络病毒控制 2 理解利用UTM进行垃圾邮件控制(选修) 2 理解
利用UTM进行P 2P 控制 2 理解
安全接入和认证计费实验
DCBI-3000安装 1 理解DCBI-3000使用 1 理解DCBI-3000WEB自服务系统安装 1 理解DCBI-3000WEB自服务系统使用 1 理解802.1X功能的组网调试 1 理解DCBA-3000W基本调试命令 1 理解DCBA-3000W配置Radius 1 理解DCBA-3000W NAT调试说明 1 理解DCBA-3000W Filist调试说明 1 理解DCBA-3000W ACL调试说明 1 理解DCBA-3000W二次认证(桥模式)配置实验 1 理解DCBA-3000W二次认证(路由模式)配置实验 1 理解
攻击实验基础特洛伊木马 2 理解网络监听sniffer 2 理解扫描器+口令探测superscan x-scan SSS 流光 2 理解拒绝服务攻击(DDOS) 2 理解
安全攻防综合实验(使用DCSS)Windows缓冲区溢出漏洞利用(MS06-040) 4 理解数据库漏洞利用(MySQL) 4 理解SQL注入攻击(MySQL) 4 理解木马植入(Web挂马) 4 理解木马利用与防护(灰鸽子) 4 理解Linux主动防御(配置安全) 4 理解Linux漏洞利用(CVE-2005-2959、CVE-2006-2451) 4 理解口令破解(口令猜测与网络窃听) 4 理解数据库主动防御(MySQL)毒邮件 4 理解首页篡改(Apache) 4 理解
系统安全加固实验—审核系统安全性 1 掌握访问控制 1 掌握账号安全策略 1 掌握管理员权限 1 掌握网络服务(IIS和NETBIOS的安全设置) 1 掌握文件系统安全 1 掌握安全日志 1 掌握
多维绿网综合网络安全实验安全防护系统的部署 2 理解IDS入侵检测系统部署 2 理解模拟攻击并进行阻断(外部) 2 理解接入认证系统部署 2 理解802.1x交换机系统部署 2 理解模拟攻击并进行阻断(内部) 2 理解
4.4.1扩展实验
安全沙盒是一个可以不断扩展的实验平台,教师可根据课程需要自行研发扩展实验,教师按照一定的研发规则自行研发相应实验课件导入安全沙盒,神州数码提供必要的技术支持。
实验类型实验项目实验点
密码学实验
古典密码算法Kaiser密码、单表置换密码
对称密码算法对称密码体系、DES算法、AES算法
非对称密码算法非对称密码体系、RSA算法、ELGamal算法Hash算法MD5哈希函数、SHA-1哈希函数
手工实现安全通信
过程
数字签名、对称密钥加密、非对称密钥加密利用PGP实现安全通
信过程
PGP加密机制
PKI应用实验IIS服务器安全通信
PKI体系、证书生成与签发、IIS服务器证书安装与
认证
Apache服务器安全
通信
OpenSSL证书生成与签发、Apache服务器证书安装
与认证
安全审计实验IIS下个人网站搭建HTML语言及语法结构、IIS个人网站搭建
WEB日志审计Windows日志系统、IIS日志格式、日志审计、WEB
漏洞扫描
Linux主机安全审计
常用Linux日志文件、Linux文件完整性、LSAT审
计
单机攻防实验
Windows口令破解暴力破解、字典破解
Linux口令阴影口令、阴影文件、Linux口令加密算法
缓冲区溢出
CPU寄存器、堆栈、函数调用过程、缓冲区溢出方
式、Windows缓冲区溢出、Linux下溢出实现权限提
升
Windows下文件恢复
硬盘物理结构、Windows文件存储结构、Windows文
件系统
Linux下文件恢复Ext2文件系统、Ext3文件系统
网络攻防实验端口扫描
TCP协议、UDP协议、ICMP协议、全连接扫描、半
连接扫描、UDP端口扫描、主机扫描
漏洞扫描弱口令、CGI通用网关接口、NetBIOS
明文嗅探
明文嗅探、FTP会话过程、POP3会话过程、网络协
议解析
洪泛攻击
TCP SYN洪水、ICMP洪水、Windows系统监视器的
使用
第五章安全攻防实验室配套服务
5.1 师资培训和师资支持
师资是学校提高教学质量的保证,有了专业的老师,也能把网络课程开办成精品课程,师资是基础。神州数码网络公司为合作院校提供专门的师资培养系统帮助学校培养网络专业的教师,这些师资同时也是神州数码网络公司的宝贵资源,他们在教学中的意见和建议是神州数码网络培训不断前进的动力。
5.1.1师资培训
神州数码网络大学具有完善的师资培养计划,对于每一个签约网络学院,神州数码网络大学为其培养2名讲授网络大学课程的讲师。
讲师培训分为网络知识、实验操作、授课技巧等多方面培养。尤其是讲师呈现技巧的培训,目前IT 厂商培训中只有神州数码提供这样的内容,神州数码认证讲师是合格的、可以为人师表授课人员,而不是简单的网络产品调试人员。在师资培训结束后,讲师都会经过严格的机考、调试考核、面试考核,在最终获得讲师资格证书后,该讲师方可代表神州数码开始对学生讲课,充分保证教师的质量。另外,对于签约网络学院的讲师,神州数码网络大学提供持续的讲师升级培训。
神州数码专为师资设计了两级的讲师认证体系,讲师证书的含金量也远远高于其他认证证书。DCNI——神州数码认证网络讲师,获得此证,被授权可以讲授DCNA、DCNE等基础课程。DCSI——神州数码认证网资深讲师,获得此证,被授权可以讲授DCNP、DCNS系列等高端课程。
5.1.2课件
为了方便讲师授课,扩展讲师在网络行业的知识面,减小教师备课的工作量,能够有更多的行业资料辅助教学,神州数码网络公司专为讲师编写了《讲师指导手册》,每套体系化教程的教材都配备《讲师指导手册》;除了《讲师指导手册》以外,每套课程还附带电子课件、多媒体教程、考试复习题、模拟考试系统等,以上所有以上资料,在学校与神州数码网络公司签署了网络技术学院协议之时,通过邮递的方式交给学校。
5.1.3讲师交流平台
神州数码网络公司专门为讲师建立了讲师数据库,对于涌现出的新技术和新产品,神州数码网络公司将以第一时间把资料投递到数据库中的讲师手中。为了为讲师授课提供强有力的后援,神州数码网络公司还在网站上特意开设了“教师交流平台”,各地讲师和神州数码网络大学一起在这个平台上交流技术和教学经验,共同提高。
5.1.4教师进修计划
神州数码网络公司与合作院校老师共同成长。每年寒暑假期间,神州数码会吸纳合作院校的部分老师参加企业实践,把老师作为神州数码的工程师安排到项目现场进行安装调试或者培训助理协助师资培训,通过这种方式增强老师的实践经验。
神州数码网络公司也会组织名师竞赛,选出神州数码最优秀的认证讲师作为神州数码名誉专家成为神州数码教材研发委员会成员,所有出版的神州数码教材上也会有名誉专家的名字。
5.2考试评估和证书
为了方便学生参加认证考试,神州数码的认证考试采用第三方的考试平台,成绩公开、公正、公平。神州数码网络公司可以方便地为合作院校申请考试平台,我们的认证考试也得到了众多国家部委的专业考试的认可,目前通过神州数码认证考试可以获得信息产业部以及劳动部相应的证书。
神州数码网络公司希望能够从众多学员中选取到最优秀的学生加盟神州数码,并采取了以下措施进行人才储备:建立神州数码学员人才库;向优秀学生提供实习;录取实习优秀的学员成为神州数码正式员工。
5.2.1神州数码认证考试采用ATA考试平台
ATA:全美测评软件系统(北京)有限公司,是一家专业从事考试服务的公司,为客户提供最佳的整体考试解决方案并协助客户推广实施其考试认证项目。
ATA 1999年在美国纽约成立,同年在中国北京设立独资公司。先后在上海、江苏、山东、福建、吉林、重庆、广东、陕西、湖南、江西、浙江、安徽等省市设立了13家分支机构。
目前,ATA在中国拥有1000余家特许加盟考站及认证考试中心,每年承接来自政府机构、教育机构、企事业单位的考试470多种,年考试量在200万人次以上。
作为国内最知名的第三方考试平台,ATA还向微软、Sun、Adobe、华为等国内外知名IT企业提供考试技术支持。
2003年2月,神州数码网络公司和ATA强强联手,共同推广神州数码认证考试项目。从此,神州数码认证的考试环节步入正轨,全部考试采用ATA第三方考试平台,保证认证考试的公平性、严肃性。迅速成为国内最知名的认证品牌之一,连续三年获得了“IT培训十大影响力认证品牌”。
ATA公司网址:https://www.doczj.com/doc/d77036959.html,。
神州数码易安-文件保密系统技术白皮书 本文阐述神州数码易安-文件保密系统的技术要领及功能,如果您是神州数码易安-文件保密系统技术服务人员或企业内部的神州数码系统管理人员,您可以从本文中得到技术上的参考和帮助。神州数码Digital China拥有所有版权。
一、神州数码易安-文件保密系统实现原理 I、原理图 II、神州数码易安-文件保密系统原理 (1)实现原理 通过“神州数码易安-文件保密系统”加载到Windows的内核,我们可以监控Windows 的所有与文件读写、打印机输出及数据通讯等相关的执行过程,从而对非法访问进行控
制,并对敏感的数据进行实时的加密。 (2)安全性 神州数码易安-文件保密系统是加载在Windows内核中的软件监控系统,当安装了神州数码易安-文件保密系统后,用户无法看到神州数码易安-文件保密系统在运行,但用户的任何动作,如保存文件、读文件等都在神州数码易安-文件保密系统的监控之下。 用户试图关闭神州数码易安-文件保密系统是不可能的,就象Windows运行时您不可能关闭Windows内核一样,除非您关闭计算机。 (3)稳定性 神州数码易安-文件保密系统的实现采用了32位(并可以支持64位系统)软件代码,并在Windows内核执行前实现监控并触发少量必要的加密动作,因此,该系统在运行时,并不损耗系统资源,且能“安静而忠诚”的工作着。只有当指定的应用软件如Pro/E 访问数据文件如ASM后缀的文件时才触发加密动作。安装完神州数码易安-文件保密系统后,对系统的影响就象多加装了一个USB接口的硬件设备及其驱动程序。 III、实时强制加密 神州数码易安-文件保密系统采用的加密方式为实时加密。即操作人员在文件写入或修改完成时,易安-文件保密系统会实时对文件进行加密,确保文件的安全性。 神州数码易安-文件保密系统可对不同客户端进行不同的加密策略配置。即对于客户的特殊要求,例如,对不同的客户端的加密应用程序有不同的要求(有的客户端控制Office 应用程序所产生的文件,而有的客户端则控制AutoCAD应用程序所产生的文件),我们可以根据客户的不同需求,通过不同的加密策略的配置来达到客户要求的控制效果 即使不同企业都采用神州数码易安-文件保密系统,不同的企业也不能打开其它企业的图文档。因为易安-文件保密系统是通过软件加硬件的方式进行加密,不同的硬件网络有不同的加密格式。图文档一旦离开了本公司的办公网络就会失效。
天融信攻防演练平台&安全实验室建设方案 北京天融信科技有限公司 2013-04-19
目录 第1章综述 (4) 第2章实验室需求分析 (5) 2.1人才需求 (5) 2.2攻防需求 (5) 2.3研究需求 (5) 第3章实验室概述 (6) 3.1实验室网络结构 (6) 3.2实验室典型配置 (6) 第4章攻防演练系统系统介绍 (8) 4.1攻防演练系统系统概述 (8) 4.2攻防演练系统系统体系 (9) 第5章信息安全演练平台介绍 (10) 5.1应急响应流程 (10) 5.2演练事件 (11) 5.3.1信息篡改事件 (11) 5.3.2拒绝服务 (13) 5.3.3DNS劫持 (14) 5.3.4恶意代码 (15) 第6章信息安全研究实验室介绍 (18) 6.1渗透平台 (18) 6.2靶机平台 (19) 6.3监控平台 (20) 第7章方案优势和特点 (22) 7.1实验室优势 (22) 7.2实验室特点 (23) 7.3安全研究能力 (23) 7.4培训服务及认证 (24)
第8章电子政务网站检测案例.................................................................................... 错误!未定义书签。第9章实验室建设建议.. (26) 9.1实验室建设步骤 (26) 9.2实验室设备清单 (27)
第1章综述 为满足电信、军工、航天、网监、教育等行业对信息安全人才培养、攻防演练、安全研究等需求,北京天融信科技有限公司基于虚拟化技术开发了安全实训系统,并以此系统为核心打造了信息安全实验室。以下是系统主要特点: ?通过虚拟化模板快速模拟真实系统环境 通过融合虚拟网络和真实物理网络,简单拖拽即可快速搭建模拟业务系统环境,并在拓扑及配置出现问题时,方便快速恢复。 ?通过监控平台可实时观察测试情况 可通过实训系统监控平台、在线或远程的方式对所模拟的网络测试环境进行监控。 ?多种虚拟化主机和网络模板 ?网络拓扑所见即所得拖拽模式 ?和真实的网络可互通 ?整体测试环境可快速恢复 ?监控主机服务、进程及资源状态 ?监控网络协议 ?定义和捕获攻击行为 ?针对攻击行为报警
网络安全攻防实验室 建设方案 XXXX信息科学与工程学院 2020/2/28
目录 第一章网络安全人才需求 (3) 1.1网络安全现状 (3) 1.2国家正式颁布五级安全等级保护制度 (3) 1.3网络安全技术人才需求猛增 (4) 第二章网络安全技术教学存在的问题 (4) 2.1网络安全实验室的建设误区 (4) 2.2缺乏网络安全的师资力量 (4) 2.3缺乏实用性强的安全教材 (5) 第三章安全攻防实验室特点 (5) 3.1安全攻防实验室简介 (5) 第四章安全攻防实验室方案 (6) 4.1安全攻防实验室设备选型 (6) 4.1.1 传统安全设备 (6) 4.1.2 安全沙盒——使实验室具有攻防教学功能的独特产品 (6) 4.2安全攻防实验室拓扑图 (8) 4.3安全攻防实验室课程体系 (9) 4.3.1 初级DCNSA网络安全管理员课程 (9) 4.3.2 中级DCNSE网络安全工程师课程 (10) 4.4高级安全攻防实验室实验项目 (12) 4.4.1基本实验 (12) 4.4.1扩展实验 (14) 第七章网络实验室布局设计 (25) 7.1 实验室布局平面图 (25) 7.2 实验室布局效果图 (25) 7.3 机柜摆放位置的选择 (26)
第一章网络安全人才需求 1.1网络安全现状 信息技术飞速发展,各行各业对信息系统的依赖程度越来越高,建立持续、稳定、安全的网络是保障用户业务发展的前提。 近年来,安全问题却日益严重:病毒、木马、黑客攻击、网络钓鱼、DDOS 等安全威胁层出不穷,而且技术越来越复杂,病毒、木马及黑客技术等融合造成了网络安全的巨大危机。 用户都已经认识到了安全的重要性。纷纷采用防火墙、加密、身份认证、访问控制,备份等保护手段来保护信息系统的安全。 但是网络安全的技术支持以及安全管理人才极度缺乏。 1.2国家正式颁布五级安全等级保护制度 2007年7月24日,公安部、国家保密局、国家密码管理局、国务院信息工作办公室正式上线颁布了信息安全等级保护规定,信息安全等级保护管理办法及实施指南,颁布了《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》、《信息安全技术信息系统安全等级保护实施指南》、《信息安全技术信息系统安全等级保护基本要求》等办法。 办法明确规定,信息系统的安全保护等级分为五级,不同等级的信息系统应具备的基本安全保护能力如下: 第一级安全保护能力:应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。 第二级安全保护能力:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。 第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。 第四级安全保护能力:应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度
2015年全国职业院校技能大赛高职组“神州数码”杯“信息安全管理与评估”赛项任务书 一、赛项时间 9:00-13:00,共计6小时,含赛题发放、收卷及午餐时间。 二、赛项信息 三、赛项内容 假定各位选手是某公司的信息安全工程师,负责维护公司信息系统安全。你们需要完成三个阶段的任务,其中前两个阶段需要提交任务操作文档留存备案,所有文档需要存放在裁判组专门提供的U盘中。第三阶段是否提交文档,请根据现场具体题目要求。 选手首先需要在U盘的根目录下建立一个名为“xx工位”的文件夹,并在“xx工位”文件夹下,建立“第一阶段”、“第二阶段”两个文件夹,赛题两个阶段的文档分别归类放置在对应的文件夹中。 例如:08工位,则需要在U盘根目录下建立“08工位”文件夹,并在“08工位”文件夹下建立“第一阶段”、“第二阶段”两个文件夹。 特别说明:只允许在根目录下的“08工位”文件夹中体现一次工位信息,不允许在其
他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。 (一)赛项环境设置 赛项环境设置包含了三个竞赛阶段的基础信息:网络拓扑图、IP地址规划表、设备初始化信息。 1.网络拓扑图
2.IP地址规划表
3.设备初始化信息
(二)第一阶段任务书(300分) 提示:该阶段答案文档命名格式为:“第X阶段”-“任务X”-“任务名称”。 例:“第一阶段、任务二、网络安全设备配置与防护”的答案提交文档,文件名称为:第一阶段-任务二-网络安全设备配置与防护.doc或第一阶段-任务二-网络平台搭建.docx。 任务一:网络平台搭建(60分) 提示:需要提交所有设备配置文件,其中DCRS设备要求提供show run配置文件保存到WORD文档,DCFW、DCFS、WAF、DCBI设备需要提交配置过程截图存入WORD文档,并在截图中加配置说明。提交的答案保存到一个WORD文档中,标明题号,按顺序答题。 平台搭建要求如下: 任务二:网络安全设备配置与防护(240分) 提示:需要提交所有设备配置文件,其中DCRS设备要求提供show run配置文件保存到WORD文档,DCFW、DCFS、WAF、DCBI设备需要提交配置过程截图存入WORD文档,并在截图中加以说明。请顺序答题,并标注题号。每个设备提交的答案保存到一个WORD文档中。1.在公司总部的DCFW上配置,开启网络管理功能(SNMP),网管服务器连接在服务器区, IP地址是服务器区内第二个可用地址(服务器区IP地址段参考“赛场IP参数表”),community名字为public,网管软件对DCFW没有写权限。(6分) 2.在公司总部的DCFW上配置,连接互联网的接口属于WAN安全域、连接内网的接口属于 LAN安全域,开启DCFW的DDoS防护。(6分)
网络安全实验室方案 书
网络安全实验室方案书 一、认证课程与学校网络安全实验室建立的关系: 学校建立网络安全实验室的同时,即可引进TCSE课程,实验室与网络安全相关课程紧密结合,构建完善的网络安全教学体系。 趋势科技网络安全实验室参照学校网络专业的建设要求,结合学校认同的趋势科技TCSP-TCSE认证课程体系的专业教学要求,严格把关,层层审核,使用我们公司的最新硬件设备及软件产品来搭建而成。认证课程方案授权范围内包含我们的专业实验设备(具体产品可根据实际需要调节)。 若学校有一定的网络安全实验室建设需要,完整的趋势科技实验室设备随时恭候您的选购,并在专业领域权威性的技术带领下,提供学校一套完善而优秀的实验课程认证体系,附赠免费的全套技术支持。倘若学校有其他实验室教学要求没有采纳我们整体TCSP-TCSER 认证课程体系,也可以单独采购部分硬件设备。 二、搭建网络实验室的重要性 1、实际的动手操作能力 随着就业竞争力的不断加大,各高校不断加强学生的专业知识训练。对于计算机专业的学生,他们更需要“强理论知识+动手实践”的训练方式,单一的理论知识已不足已他们在职场上占据竞争优势。现在有的培训机构由于没有整体的教学实验环境或实验设备不足,学生毕业后匆匆来到相关企业实习,发现“信息系统”早已演变为企业的命脉,这时他们正想投身回报社会,不巧被高级网管叫“停”,由于信息的安全性和敏感性,网络系统通常有层层密码保护,不仅企业内部的一般网管无法进入运行中的重要系统,外来实习人员更无法接触到运行中的关键设备和整个网络系统的核心技术。正常运行中的网络系统不可能让实习生当成训练场,结局自然就只能远远看着机房……为了扭转这种局势,高校必须配备同比企业的项目和工程的实验环境,使学生有充分动手的机会,占据就业竞争优势。
信息与工控系统安全实验室 规划方案 目录 1.术语、定义和缩略语 (1) 2.信息与工控系统安全实验室概述 (1) 2.1信息与工控系统安全实验室建设背景 (1) 2.1.1 信息系统现状及主要威胁 (1) 2.1.2 工控系统现状及主要威胁 (2) 2.1.3信息与工控系统安全实验室建设目的及意义 (4) 3.信息与工控系统安全实验室主要研究方向和实验内容 (5) 3.1信息安全实验室主要研究方向和实验内容 (5) 3.1.1 操作系统安全研究方向和实验内容 (5)
3.1.2 数据库安全机制研究方向和实验内容 (6) 3.1.3 身份认证研究方向和实验内容 (7) 3.1.4 计算机病毒攻防研究方向和实验内容 (7) 3.2网络安全主要研究方向和实验内容 (7) 3.2.1 入侵检测与攻防研究方向和实验内容 (8) 3.2.2 防火墙研究方向和实验内容 (8) 3.2.3 漏洞扫描研究方向和实验内容 (9) 3.2.4 WEB攻防研究方向和实验内容 (9) 3.2.5 无线攻防研究方向和实验内容 (9) 3.3工控安全研究方向和实验内容 (10) 3.3.1 工控系统漏洞挖掘研究方向和实验内容 (10) 3.3.2 工控系统攻防研究方向和实验内容 (11) 3.3.3 安全DCS、PLC、SCADA系统研究方向和实验内容 (11) 3.3.4 企业工控安全咨询评估 (12) 3.3.5企业工控安全培训 (12) 3.3.6 对外交流和联合研究 (12) 4.信息与工控系统安全实验室组织与运行 (13) 5.信息与工控系统安全实验室建设计划.................................................................... 错误!未定义书签。
HUNAN UNIVERSITY 课程实习报告 题目:网络攻防 学生姓名李佳 学生学号201308060228 专业班级保密1301班 指导老师钱鹏飞老师 完成日期2016/1/3 完成实验总数:13 具体实验:1.综合扫描 2.使用 Microsoft 基线安全分析器
3.DNS 溢出实验 4. 堆溢出实验 5.配置Windows系统安全评估 6.Windows 系统帐户安全评估 7.弱口令破解 8.邮件明文窃听 9.网络APR攻击 10.Windows_Server_IP安全配置 11.Tomcat管理用户弱口令攻击 12.木马灰鸽子防护 13.ping扫描 1.综合扫描 X-scan 采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能,提供了图形界面和命令行两种操作方式,扫描内容包括:远程操作系统类型及版本,标准端口状态及端口BANNER信息,SNMP信息,CGI漏洞,IIS漏洞,RPC漏洞,SSL漏洞,SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用户,NT服务器NETBIOS信息、
注册表信息等。 2.使用 Microsoft 基线安全分析器 MBSA:安全基线是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求。信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡, 而安全基线正是这个平衡的合理的分界线。不满足系统最基本的安全需求, 也就无法承受由此带来的安全风险, 而非基本安全需求的满足同样会带来超额安全成本的付出, 所以构造信息系统安全基线己经成为系统安全工程的首要步骤, 同时也是进行安全评估、解决信息系统安全性问题的先决条件。微软基线安全分析器可对系统扫描后将生成一份检测报告,该报告将列举系统中存在的所有漏洞和弱点。 3.DNS 溢出实验 DNS溢出DNS 的设计被发现可攻击的漏洞,攻击者可透过伪装 DNS 主要服务器的方式,引导使用者进入恶意网页,以钓鱼方式取得信息,或者植入恶意程序。 MS06‐041:DNS 解析中的漏洞可能允许远程代码执行。 Microsoft Windows 是微软发布的非常流行的操作系统。 Microsoft Windows DNS 服务器的 RPC 接口在处理畸形请求时存在栈溢出漏洞,远程攻击者可能利用此漏洞获取服务器的管理权限。
X X X职业技术学院 网络安全与服务器存储实训平台方案 xxxx通信技术有限公司 2011年5月
目录 一、概述 (2) 二、方案介绍 (3) 1.实验系统构架 (5) 2.实验平台及组网 (5) 3.实验管理软件 (8) 4.实验控制平台 (8) 5.实验平台模块 (9) 6.实验室建设特点 (70) 三、网络安全存储实验室建设 (71) 1.平台的建设 (71) 2.师资队伍建设 (74) 3.专业课程建设 (74) 四、校企合作介绍 (77) 1.培训认证体系介绍 .................................................... 错误!未定义书签。 2.华赛网络安全存储学院合作模式及合作策略 (79) 五、校企联合办学 (96)
一、概述 信息安全保障能力和专业服务能力不足成为国民经济和社会信息化发展的严重制约因素。我国政府高度重视在信息安全人才培养等方面公共服务能力建设。但是,目前在信息安全专业人才实践教学环节,缺乏能支持信息安全各专项技术的综合实验环境;另外,政府和社会上数量庞大的在职人员对信息安全继续教育的需求与支持大规模在职人员安全技能实训服务能力不足的矛盾也日益突出;同时,在面向企业的信息安全服务和支持企业间科研协作的服务手段和服务能力建设上也急需加强。因此,如何构筑能够支持信息安全高级专业人才培养、大规模社会继续教育实训、企业间安全服务与科研协作支持的国家信息安全公共服务支撑环境,成为重要的战略任务。 结合学校在信息安全学科及实践教学环境建设的需要,围绕国家加快发展现代服务业和提升国家信息安全保障能力的战略要求,建设面向计算机专业、信息工程专业、通信、密码等相关专业的全体师生的多层次、全方位、可扩展的信息安全综合实践教学环境。同时实验室建设具有服务于国家信息安全公共服务的综合能力: ?面向信息安全高级专业人才培养的工程实践服务能力 ?面向政府和社会的大规模继续教育实训服务能力 ?面向企业的信息安全增值服务能力 ?以及大规模科研协作支持服务能力 建设总目标:是通过与华为赛门铁克(xxxx)共建“信息安全与数据存储实验室”,达到共同建立“信息安全实践教学基地”的目的,该实验室体现信息安全保障体系架构,涵盖信息安全所有专项技术和方向,提供多层次、全方位及综合化的信息安全实验与实践环境,支持信息安全专业人才培养、社会化培训以及信息咨询、方案优化、产品研发与仿真测试等服务。 网络安全技术是在计算机网络技术发展到一定程度,其应用渗透到各个领域、各个日常应用后,出现一系列安全问题和风险后,逐步发展起来的。其技术人才积累往往是和技术发展相辅相成的,由于安全经验需要时间积累的缘故,目前网络安全工程师远远满足不了业务发展需求。据计算机世界资讯发布的相关研
网络安全实验室方案书 一、认证课程与学校网络安全实验室建立的关系: 学校建立网络安全实验室的同时,即可引进TCSE课程,实验室与网络安全相关课程紧密结合,构建完善的网络安全教学体系。 趋势科技网络安全实验室参照学校网络专业的建设要求,结合学校认同的趋势科技TCSP-TCSE认证课程体系的专业教学要求,严格把关,层层审核,使用我们公司的最新硬件设备及软件产品来搭建而成。认证课程方案授权范围内包含我们的专业实验设备(具体产品可根据实际需要调节)。 若学校有一定的网络安全实验室建设需要,完整的趋势科技实验室设备随时恭候您的选购,并在专业领域权威性的技术带领下,提供学校一套完善而优秀的实验课程认证体系,附赠免费的全套技术支持。倘若学校有其他实验室教学要求没有采纳我们整体TCSP-TCSER认证课程体系,也可以单独采购部分硬件设备。 二、搭建网络实验室的重要性 1、实际的动手操作能力 随着就业竞争力的不断加大,各高校不断加强学生的专业知识训练。对于计算机专业的学生,他们更需要“强理论知识+动手实践”的训练方式,单一的理论知识已不足已他们在职场上占据竞争优势。现在有的培训机构由于没有整体的教学实验环境或实验设备不足,学生毕业后匆匆来到相关企业实习,发现“信息系统”早已演变为企业的命脉,这时他们正想投身回报社会,不巧被高级网管叫“停”,由于信息的安全性和敏感性,网络系统通常有层层密码保护,不仅企业内部的一般网管无法进入运行中的重要系统,外来实习人员更无法接触到运行中的关键设备和整个网络系统的核心技术。正常运行中的网络系统不可能让实习生当成训练场,结局自然就只能远远看着机房……为了扭转这种局势,高校必须配备同比企业的项目和工程的实验环境,使学生有充分动手的机会,占据就业竞争优势。 2、课程与网络安全实验室的紧密结合 趋势科技设计的网络环境中体现了防病毒体系的完整性,分别从网关、网络层、服务器和客户端多层次部署了病毒安全防御产品,从病毒防御架构上给予学生一个完整的防御体系概念,在课程当中也将结合这些产品进行病毒实验。 趋势科技从企业实际角度出发,根据学校的情况为学校推荐了一些软硬件产品建立网络安全实验室,实验室中可以进行基本的网络安全环境搭建、设置与部署,课程与网络安全实验室紧密结合。 3、提升学校的教学水平与专业影响 引入趋势TCSE网络安全实验室,可以举办面向本校学生和外校学生为培训对象的短期培训班,既增
DCN信息安全及攻防实训室 建设方案 神州数码网络(北京)有限公司 2014年12月
目录 第一章信息安全及攻防”实训室概述............................................ 错误!未定义书签。 .信息安全人才需求分析................................................... 错误!未定义书签。 .信息安全人才培养面临的问题............................................. 错误!未定义书签。 .方案设计理念........................................................... 错误!未定义书签。 .我们的优势............................................................. 错误!未定义书签。第二章“信息安全及攻防”实训室需求分析...................................... 错误!未定义书签。 .信息安全专业需求分析................................................... 错误!未定义书签。 .本科/高职/中职院校信息安全人才培养策略................................. 错误!未定义书签。 根据就业前景,加大人才培养力度...................................... 错误!未定义书签。 以就业需求为向导,贴近企业课程置换.................................. 错误!未定义书签。 德才兼修,开拓新型教学方式.......................................... 错误!未定义书签。 选择以工作过程为向导的教材......................................... 错误!未定义书签。 双师型教师培养 .................................................... 错误!未定义书签。 .信息安全实训室的意义................................................... 错误!未定义书签。 实训室对学校的意义 ................................................ 错误!未定义书签。 实训室对教师的意义 ................................................ 错误!未定义书签。 实训室对学生的意义 ................................................ 错误!未定义书签。 信息安全实训室对DCN的意义......................................... 错误!未定义书签。 .信息安全实训室建设要点分析............................................. 错误!未定义书签。 实验平台对业务的支撑,与时俱进..................................... 错误!未定义书签。 完整的信息安全专业教学内容......................................... 错误!未定义书签。 开放的实验设施平台 ................................................ 错误!未定义书签。 有效的实验平台管理 ................................................ 错误!未定义书签。 丰富的培训教材 .................................................... 错误!未定义书签。 师资培训 .......................................................... 错误!未定义书签。 权威认证培训 ...................................................... 错误!未定义书签。 技术服务保障 ...................................................... 错误!未定义书签。第三章“信息安全及攻防”实训室解决方案...................................... 错误!未定义书签。 .信息安全实训室拓扑图................................................... 错误!未定义书签。 .信息安全实训室设备清单................................................. 错误!未定义书签。 .信息安全课程设计....................................................... 错误!未定义书签。 面向中高职院校—DCNSA ............................................. 错误!未定义书签。 面向高职、本科院校 --DCNSE......................................... 错误!未定义书签。 信息安全实训室基础实验项目......................................... 错误!未定义书签。 DCST系列产品实验项目.............................................. 错误!未定义书签。 .实训室布局............................................................. 错误!未定义书签。 实训室物理布局 .................................................... 错误!未定义书签。 实训室设备安装和布线示意图......................................... 错误!未定义书签。 .实训室教学管理......................................................... 错误!未定义书签。 统一平台管理 ...................................................... 错误!未定义书签。
XXX学校信息安全实验室 设计方案 北京网御星云信息技术有限公司 2014-03-30
目录 一、概述................................................................................................ - 3 - 二、设计目的........................................................................................... - 4 - 三、总体架构........................................................................................... - 4 - 3.1、所需软硬件................................................................................ - 5 - 3.2、培训 ......................................................................................... - 6 - 3.3、实验教材................................................................................... - 6 - 3.4、产品报价................................................................................... - 6 - 四、实验和演练........................................................................................ - 6 - 4.1、网御安全综合网关技术实验.......................................................... - 6 - 4.2、网御入侵检测技术实验 ................................................................ - 7 - 4.3、网御漏洞扫描系统实验 ................................................................ - 7 -
面向攻防实战的信息安全实验室建设方案 引言Introduction 为满足军工、航天、网警、电信、教育等行业对信息安全人才培养、攻防演练、安全研究等需求,天融信科技基于虚拟化技术开发了攻防演练系统,并以此系统为核心打造了面向攻防实战的信息安全实验室。 需求分析Needs Analysis 安全研究:以行业信息化、网络安全、为主要出发点、重点研究信息管理和安全应用,建设新技术开发与验证平台,研究信息安全取证、破译、解密等技术。并负责对电子数据证据进行取证和技术鉴定。 安全研究实验室示意图 应急演练:随着信息安全的日益发展,网络新型攻击和病毒形式日益恶化,因此以安全运维、快速响应为目标,以信息网络技术为主要手段,提高在网络空间开展信息监察、预防、提高突发事件的处理能力。
攻防演练实验室示意图 人才培养:近年来,信息技术已在人类的生产生活中发挥至关重要的作用,随之而来的信息安全问题也已成为关系国家安全、经济发展和社会稳定的关键性问题。但由于国专门从事信息安全工作技术人才严重短缺,阻碍了我国信息安全 事业的发展 信息安全实验室示意图 解决方案Solution 天融信基于攻防演练系统和在信息安全技术方面的研究,全力打造出基于安全研究、应急演练、人才培养所需要的信息安全实验室,实验室分为5 个区域:信息安全研究区域、信息安全演练区域、信息安全设备接入区域、竞赛与管理区域和远程接入区域。
实验室网络拓扑结构 信息安全攻防演练系统(Topsec-SP):是通过多台专用信息安全虚拟化设备,虚拟出信息安全所需的场景,例如WEB 攻防平台、应用攻防平台、威胁分析平台、数据挖掘平台、基线扫描平台、漏洞分析平台、木马分析平台等等。同时系统提供相实验指导书和实验环境场景。 信息安全研究平台(Topsec-CP):是通过智能信息安全靶机系统、信息安全智能渗透系统和信息安全监控系统实现红、蓝对战实战。并对实战过程进行监控,实现测试过程和结果动态显示。 实验室设备接入区:是能够满足用户在演练和实战时通过接入特殊设备来完成用户自定义的实验需求,例如UTM、IDS、漏扫、AIX、HP-Unix 等通过虚拟化技术无法完成的设备。 测试、培训、研究和管理区:相关人员通过B/S 做培训、研究和管理所用。 远程接入区:能够满足用户通过远程接入到信息安全实验室,进行7*24 小时的测试和研究。
神州数码 DC-FW v3.1高性能防火墙 技术白皮书 北京神州数码有限公司 2007年8月
目录 一、序言 (2) 二、神码安全DC-FW v3.1高性能防火墙概述 (3) 三、神码安全DC-FW v3.1高性能防火墙技术特色 (3) 3.1 专用安全操作系统 (3) 3.2 纯硬件架构 (3) 3.3 状态检测技术、核检测技术以及入侵模式匹配监测 (3) 3.4 深度的内容检测、强大的P2P拦截功能 (3) 3.5 严格的访问控制策略 (4) 3.6 危险网站阻隔 (4) 3.7 敏感数据拦截 (5) 3.8 强大的QOS、丰富的日志报表功能 (5) 3.9 访问跟踪、审计 (5) 3.10 防止DOS攻击 (5) 3.11 强大的VPN功能 (6) 3.12 支持VOIP (6) 3.13 桥式防火墙 (7) 3.14 强大的审计功能 (7) 四、DC-FW v3.1 技术参数指标 (7)
一、序言 随着网络的发展和Internet的广泛应用,当今的网络安全威胁已经由原来的针对TCP/IP 协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击和入侵。回顾2004年,以冲击波、震荡波、安哥Bot、MyDoom等蠕虫与木马病毒为主的网络化病毒,加上利用网络协议及应用漏洞进行攻击与入侵行为,给全球企业造成了巨大的损失。据统计,仅2004年,病毒等恶意程序就给全球造成了1690亿美元的经济损失。 此时,传统的防火墙已经显得无能为力。例如针对Windows系统和Oracle/SQL Server 等数据库的攻击,这些攻击和入侵手段封装在TCP/IP协议的有效载荷部分。传统的防火墙由于只查TCP/IP协议包头部分而不检查数据包的内容,所以无法检测出此类攻击。基于网络传播的病毒及间谍软件给互联网用户造成了巨大的损失,层出不穷的即时消息和P2P应用(例如MSN、QQ、BT等)给企业带来许多安全威胁并降低员工的工作效率。传统的防火墙设备在面对这些复合型的安全威胁时,已经不能满足客户的安全需求。 防火墙设备包括防火墙,VPN,IPS等多种功能。已经成为网络安全产品的一个发展方向。 面对着这些日益严重的复合型安全威胁时,企业往往为了完整的保护内部IT资源,需要投资购买大量的设备,包括VPN,防火墙,IDS,网络监控设备等多种设备。神码安全高性能防火墙集所有这些安全功能于一身,一台设备就能提供完整的安全解决方案,省去了购买众多冗余设备的成本与维护成本。 神码安全高性能防火墙内置神码安全的领先VPN技术,拥有神码安全高性能防火墙VPN的所有强大功能。除此之外,神码安全高性能防火墙防火墙拥有高效的IPS(入侵防御系统)功能,能有效识别和抵御多种攻击,更大范围的保护了企业连接到Internet的安全。 为保证企业合理使用Internet资源,防止企业信息资产泄漏,神码安全高性能防火墙提供了完善的访问控制功能。通过合理设置访问权限,杜绝了对不良网站和危险资源的访问,防止了P2P软件对企业网络带来的安全风险。通过带宽管理和访问跟踪技术,能有效防止对Internet资源的滥用。神码安全高性能防火墙安全审计功能更为防止保密信息泄漏提供了最有效的保证。
网络攻防实验室 需求分析 信息安全领域中,网络安全问题尤为突出。目前,危害信息安全的主要威胁来自基于网络的攻击。随着网络安全问题的层出不穷,网络安全人才短缺的问题亟待解决。在我国,高校是培养网络安全人才的培养的核心力量,网络安全课程是信息安全相关专业的核心课程和主干课程。网络攻击与防护是网络安全的核心内容,也是国内外各个高校信息安全相关专业的重点教学内容。网络攻击与防护是应用性、实践性、工程性、综合性最强的一部分核心内容,对实验环境提出了更高的要求。为全面提高学生的信息安全意识和网络攻防实践能力,学校建立专业的网络攻防实验室是十分必要的。 西普科技建议学校建设一个专业的、开放的网络攻防实验室,来需满足专业课程综合实践教学、学生安全防护能力和安全意识提升、跟踪最新网络安全技术和提升学校及专业影响力等具体需要。实验室可承担网络安全相关的课程实验、技能实训实习、综合实训、教师项目开发以及校内外竞赛等任务。综上,网络攻防实验室需提供以下支持: 1. 攻防基础知识技能学习所需的实验环境、工具及指导 2. 真实的攻防实战环境供学生进行综合训练 3. 渗透测试及网络防护实训的真实环境与指导 4. 提供网络攻防领域科研所需的环境与工具 5. 提供开放接口及系统扩展接口 6. 支持持续性实验室运营,如培训基地建设、横向课题及安全竞赛组织等 总体规划 为满足校方对网络攻防实验室建设的软硬件设备采购、实验室运营管理、实验课程体系建设、师资培养、学生实习实训及竞赛组织等多方面的需求,西普科技提供一套完整的网络攻防实验室建设方案,整体框架如下图所示。实验室包括进阶式的三大实验平台,支持从基础到实训再到实战的实验模式,提供从系统攻击到全面防护的环境支持及实验指导;同时满足学校实验室增值的需求。西普科技从总体上对实验室进行了中长期的建设规划,根据学校实验室建设的各期经费预算,不断完善,从而实现实验室的可持续性发展。
一、网络攻防实验室建设背景 1.1市场人才需求分析 网络技术的发展在创造了便捷性的同时,也把数以十亿计的用户带入了一个两难的境地,一方面,国家和政府依赖网络维持政治、经济、文化、军事等各项活动的正常运转,企业用户依赖网络进行技术创新和市场拓展,个人用户依赖网络进行信息交互;另一方面,网络中存储、处理和传输的都是事关国家安全、企业及个人的机密信息或是敏感信息,因此成为敌对势力、不法分子的攻击目标。这种不安全的态势在可见的未来绝对不会平息,而是会持续发展,逐渐渗透到物联网、智能移动网、云网络等新兴的网络空间。 网络安全问题涉及许多学科领域,既包括自然科学,又包括社会科学,覆盖了计算机技术、通信技术、存取控制技术、校验认证技术、容错技术、加密技术、防病毒技术、抗干扰技术、防泄露技术等,是一个非常复杂的综合问题,并且其技术、方法和措施都要随着系统应用环境的变化而不断变化。所以,网络安全是一项复杂且艰巨的任务,需要相关从业人员具备相对较高的素质,既要能高瞻远瞩,对各种威胁做到防患于未然,又要能对各种突发安全事件做出应急响应,把影响和危害减到最小。针对国外的敌对势力及技术封锁,如何建立基于网络安全、自主知识产权下的网络有效管理,也是我国面临的重要课题。培养高精尖信息安全人才对于维护我国的信息主权、全面参与全球经济竞争及经济安全和国家安全至关重要。 在我国,高等院校及各类高职高专是网络安全专业人才的培养基地。网络攻击与防护是网络安全的核心内容,也是国内外各个高校信息安全相关专业的重点教学内容。网络攻击与防护具有工程性、实践性的特点,对课程设计和综合实训提出了更高的实验环境要求。 1.2 建设网络安全实验室必要性 学校如果只开设了网络安全方面的专业课程的学习,而没有网络安全实验室作为实习场所,那么学习理论化的知识,犹如纸上谈兵,严重影响人才培养的质量。建设网络安全实验室,不但能为学生提供良好的硬件资源,而且能大大提高科学研究及学科建设水平,提高办学层次,为培养信息安全高级人才提供有力保证,所以我院非常有必要建设一个现代化,真实化的网络安全实验室。
攻防实验室建设 Document number:NOCG-YUNOO-BUYTT-UU986-1986UT
网络攻防实验室 需求分析 信息安全领域中,网络安全问题尤为突出。目前,危害信息安全的主要威胁来自基于网络的攻击。随着网络安全问题的层出不穷,网络安全人才短缺的问题亟待解决。在我国,高校是培养网络安全人才的培养的核心力量,网络安全课程是信息安全相关专业的核心课程和主干课程。网络攻击与防护是网络安全的核心内容,也是国内外各个高校信息安全相关专业的重点教学内容。网络攻击与防护是应用性、实践性、工程性、综合性最强的一部分核心内容,对实验环境提出了更高的要求。为全面提高学生的信息安全意识和网络攻防实践能力,学校建立专业的网络攻防实验室是十分必要的。 西普科技建议学校建设一个专业的、开放的网络攻防实验室,来需满足专业课程综合实践教学、学生安全防护能力和安全意识提升、跟踪最新网络安全技术和提升学校及专业影响力等具体需要。实验室可承担网络安全相关的课程实验、技能实训实习、综合实训、教师项目开发以及校内外竞赛等任务。综上,网络攻防实验室需提供以下支持: 1.攻防基础知识技能学习所需的实验环境、工具及指导 2.真实的攻防实战环境供学生进行综合训练 3.渗透测试及网络防护实训的真实环境与指导 4.提供网络攻防领域科研所需的环境与工具 5.提供开放接口及系统扩展接口 6.支持持续性实验室运营,如培训基地建设、横向课题及安全竞赛组织等 总体规划 为满足校方对网络攻防实验室建设的软硬件设备采购、实验室运营管理、实验课程体系建设、师资培养、学生实习实训及竞赛组织等多方面的需求,西普科技提供一套完整的网络攻防实验室建设方案,整体框架如下图所示。实验室包括进阶式的三大实验平台,支持从基础到实训再到实战的实验模式,提供从系统攻击到全面防护的环境支持及实验指导;同时满足学校实验室增值的需求。西普科技从总体上对实验室进行了中长期的建设规划,根据学校实验室建设的各期经费预算,不断完善,从而实现实验室的可持续性发展。 网络攻防实验室整体框架 方案设计 1.实验平台划分