信息安全攻防实验室设计方案.docx
《信息安全攻防实验室设计方案.docx》由会员分享,可在线阅读,更多相关《信息安全攻防实验室设计方案.docx(38页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、深信服信息安全攻防实验室建设方案深信服科技有限公司具备活动组织的可行性:支持持续性实训室运营,如培训基地建设、横向课题及安全竞赛组织等。综合提供就业竞争力:培训学生全面的安全技能动手能力,为社会企业输出可即时上岗的合格安全人员。2. 4信息安全攻防教学实训室解决方案信息安全技术人才实训平台system主要用于计算机信息安全教育,培训,提供体系化 实验课程以及实验环境,为现有的网络信息安全教学,培训提供基本的思路以及课程安排; 教师可以通过信息安全教育平台system,结合各种安全设备进行实验课程的教学;信息安全实训室框架信息安全实训室主要以基础设备、应用平台(课件资源池、应用环境仿真syste
2、m)、工 具平台、防御体系、综合实训室管控平台等六大模块组成,不仅可以提供各种安全演练实验 操作,同时为教师提供本地信息安全课题研究。基础实验教学主机安全实验恶意代码实验密码学实验综合实验教学 漏洞利用实3佥 网络攻防实验 安全设备实验科研课题研究科研组科研课题科研成果共享应用仿真平台应用仿真平台工具集合平台防御体系计算机终端 基础网络设备 服务器基础教学设施综合实训室管理平台3. 4. 1.1实训室基础设备信息安全实训室基础硬件平台包括各种组网设备如,交换机,路由器等网络基础设施。 计算机终端:学生实验使用操作用机;基础网络设备:交换机、路由器 服务器设备:管控平台部署的应用服务器;3. 4
3、.1. 2课件资源池实验课件资源包含网络攻防、主机安全、密码学、恶意代码、数据安全、漏洞利用、工具应 用、安全设备等八个大类,在每个分类中均提供数量可观的安全实验课件资源。丰富的计算机信息化应用资源:从Windows 95到Windows 8,从FreeBSD到Mac OS,平台 能支持目前市面上所存在的大部分基于X86结构的操作system (包括x86 andoidsystem), 扩充了课件资源的丰富程度。资源数量 Microsoft Windows Linux Unix Mac Andoid3. 4.1. 3应用环境仿真实训方舟使用虚拟技术以及简单的设备模拟复杂、繁多的计算机syste
4、m、应用环境、行业拓扑环境, 如同真实世界的“魔方”一样,让使用者可以通过一个有限的、可控的空间体验到复杂和千 万种变化组合的如同真实计算机环境的“信息安全游戏”。1 ,快速复原与卸载应用环境仿真system能够以极短的时间对指定应用环境进行复原与卸载,解决了教 师教学过程中不同课程之间衔接时间短,准备时间不足的问题。端口资源的加载最快只需要十几秒的时间,极大地提升教师部署实训室的效率,缩 短了课程教学前准备的周期。2 .灵活的任务方式方法应用环境仿真system以一至多个课件资源组成一个实验任务,可以真实地模拟出企 业内部日常运作所会使用到的服务器群,多个任务资源可以构建出一个企业的复杂 网
5、络结构,让学员更加真实体验到企业内部的实际环境,使实操效果更加优异。千 万种变化可以组合出不同行业,不同网络部署结构的拓扑,可以针对不同行业的信 息安全要求进行相应system化的培训学习。资源1资源2 /资源3JigW任务.课程个性化定义支持教师自定义课件资源,能够让教师自己动手制作实验任务课程资源,实现教师 个性化实验课程任务。同时,我们提供完善的课程知识产权保护技术,能够使教师 自己制作的资源无法被拷贝越出实训室环境使用。资源口网络攻防课件资源池密码学攻防资源口网络攻防网络王机资源口网络攻防资源口自定 义密码资源口3 .完善的信息安全技术人才课程体系信息安全基础课件资源的标准是按照广东省
6、测评中心指定的信息安全师三级、二级、 一级进行编排的,我们同时会提供详尽的实验任务流程指导书,让学生在能够实践 操作的同时、不偏离标准。工具集合平台工具集合平台是以渗透测试工具为核心内置于信息安全仿真平台课件里的综合性管控 systemo通过非任务执行模式来进行工具的应用,当获取到敏感数据和信息时,可以利用 system内部其他工具来智能智慧的进行更深层次渗透测试,使得整个渗透测试工作都能依 靠system来进行,适用于初学者使用。工具平台系统将绝大部份的淮造工日整理并航台在一 起,如信电收集、玄码破黑、亦扫描答等.当完成一个仕尧,系统今自动出现相关联的下一步仕打 工自,从而方便用户进行下一步
7、港透.工具的管理任务与任务关联管理员可以通讨系统无限期保存相关实用工口: 由个工目都有洋物的使用说明,开发占也可以 上传自己的工目与说明.对任务与工具的控制通过系境可以控制目仕努和工日的运行.如仕务的二停、终止、启动等.工具平台system是采用B/S架构设计,由微软的.NET FRAMEWORK开发,开发环境为.NET3.5+IIS+MYSQL数据库,system集合了 web客户端、数据库、服务端后台应用程序几大模块, 并最终通过web客户端及后台程序来实现system所有功能,如图所示。用户管理模块日志管理模块1任务管理模块课件管理模块数据录入模块工具管理模块WEB数据库接口后台数据库接
8、口1系统引擎任务控制课件控制工具调用3. 4.1. 5防御体系在拥有丰富且全面的网络实验环境的基础上,学生还要接触到全部市场上主流的网络安 全设备,这样学生才能真正提升自己的实际动手能力。实验设备要涵盖传统的网络防火墙、 IPS、IDS、VPN、防病毒网关、流量控制与审计system、web应用防火墙system等常规安全 防护设备。部署方式方法实时监控网络适应性包过滤与状态检测NAT地址转换抗攻击特性防火墙:(下一代防火墙)防火墙自诞生以来,在网络安全防御system中就建立了不可替代的地位。作为边界网络安 全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL
9、访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被确定允许的包 通过,保护了网络的安全。防火墙就像机场的安检部门,对进出机场/防火墙的一切包裹/ 数据包进行检查,保证合法包裹/数据包能够进入机场/网络访问合法资源同时防止非法人员 通过非法手段进入机场/网络或干扰机场/网络的正常运行。传统的防火墙正如机场安检人员, 通过有限的防御方式方法对风险进行防护,成本高,效率低,安全防范手段有限。而下一代 防火墙则形如机场的整体安检system,除了包括原有的安检人员/传统防火墙功能外,还引 入了先进的探测扫描仪/深度相关内容安全检测构成一套完整的整体安全防护体系。自2009 年 10
10、 月 Gartner 提出“Defining the Next-Generation Firewall”一文,重新定义下一代防火墙, 下一代防火墙的概念在业内便得到了普遍的认可。深信服也在经过10年网络安全技术6年 的应用安全技术沉淀之后,于2011年正式发布深信服“下一代防火墙” 一一NGAF功能列表:相关项目具体功能支持路由,透明,旁路,虚拟网线,混合部署模式;实时提供CPU、内存、磁盘占用率、会话数、在线用户数、网络接口的 鞫设备资源信息;提供安全事件信息,包括最近安全事件、服务器安 全事件、终端安全事件等,事件信息提供发生事件、源IP、目标方向 IP、攻击类型以及攻击的URL等;提供实
11、时智能智慧模块间联动封锁 的源IP以便实现动态智能智慧安全管控;支持ARP代理、静态ARP绑定,配置DNS及DNS代理、支持DIICP中继、 DHCP 服务器、DHCP 客户端;支持 SNMP vl, v2, v3,支持 SNMP Trap; 支持静态路由、RIP vl/2、0SPF、策略路由;支持链路探测,端口聚 合,接口联动;提供静态的包过滤和动态包过滤功能;支持的应用层报文过滤,包括: 应用层协议:FTP、HTTP、SMTP、RTSP、H, 323(Q. 931, H. 245, RTP/RTCP)、 SQLNET. MMS、PPTP 等;传输层协议:TCP、UDP;支持多个内部地址映射
12、到同一个公网地址、多个内部地址映射到多个 公网地址、内部地址到公网地址一一映射、源地址和目标方向地址同 时转换、外部网络主机访问内部服务器、支持DNS映射功能;可配置 支持地址转换的有效时间;支持多种NATALG,包括DNS、FTP、H.323、 SIP等支持防御 Land、Smurf Fraggle WinNuke、Ping of Death、Tear Drop、 IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Floods ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防 范、支持IP SYN速度限制、超大ICM
13、P报文攻击防范、地址/端口扫描 的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能, 此外还支持静态和动态黑名单功能、MAC和IP绑定功能;IPSEC VPN应用访问控制策略APT检测IPS入侵防护服务器防护敏感信息防泄漏风险评估支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且支持扩展国 密办SCB2等其他加密算法支持MD5及SHA-1验证算法;支持各种NAT 网络环境下的VPN组网;支持第三方标准IPSec VPN进行对接;*总部 与分支有多条线路,可在线路间一一进行IPSecVPN隧道建立,并设置 主隧道及备份隧道,对主隧道可进行带宽叠加、按包或
14、会话进行流量 平均分配,主隧道断开备份隧道自动化启用,保证IPSecVPN连接不中 断;可为每一分支单独设置不同的多线路策略;单臂部署下同样支持 多线路策略;支持对1000种以上应用、2500种以上应用动作,可以识别P2P、IM、 0A办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒 股软件、视频应用、代理软件、网银等协议;支持自定义规则;提供 基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进 行应用访问控制列表的制定;内置超过20万的病毒,木马,间谍软件等恶意软件特征库,并且在不 断的持续更新特征相关内容;支持通过安全云实现虚拟沙盒动态检测 技术。可检测未知威胁在沙
15、盒中对注册表、文件system等的修改,通 过云端联动的方式方法快速更新到各节点设备中,可实现快速统一的 防护未知攻击;微软“MAPP”计划会员,漏洞特征库:3500+并获得CVE 兼容性认证 证书”,能够自动化或者手动升级;防护类型包括蠕虫/木马/后门 /DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻 击/协议异常/ IPS逃逸攻击等;防护对象分为保护服务器和保护客户 端两大类,便于策略部署;漏洞详尽信息显示:漏洞ID、漏洞名称、 漏洞描述、攻击对象、危险等级、参考信息、地址等相关内容;支持 自动化拦截、记录日志、上传灰度威胁到“云端”支持web攻击特征数量2500+
16、;支持Web网站隐藏,包括HTTP响应报 文头出错页面的过滤,web响应报文头可自定义;支持FTP服务应用信 息隐藏包括:服务器信息、软件版本信息等;支持0WASP定义10大web 安全威胁,保护服务器免受基于%b应用的攻击,如SQL注入防护、 XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力 破解;支持web站点扫描、web站点结构扫描、漏洞扫描等扫描防护; 可严格控制上传文件类型,检查文件头的特征码防止有安全隐患的文 件上传至服务器,并支持结合病毒防护、插件过滤等功能检查文件安 全性;支持指定URL的黑名单、加入排除URL目录,ftp弱口令防护、 telnet弱口令防护等
17、功能;内置常见敏感信息的特征,如身份证信息、MD5、手机号码、银行卡号、 邮箱等,并可自定义具有特殊特征的敏感信息;支持正常访问http连 接中非法敏感信息的外泄防护;支持数据库文件敏感信息检测,防止 数据库文件被“拖库”、“暴库”;支持服务器、客户端的漏洞风险评估功能,支持对目标IP进行端口、 服务扫描;支持 ftp、mysql oracle mssql ssh RDP 网上邻居 NetBIOS、VNC等多种应用的弱口令评估与扫描;支持SQL注入,SQL 盲注,跨站脚本攻击(XSS),跨站请求伪造(CSRF),操作system命 令,本地文件包含,远程文件包含,暴力破解,弱密码登录,XPAT
18、H实时漏洞分析 业务风险报表网页篡改防护病毒防护Web过滤流量管控用户管控注入,LDAP注入,服务器端包含(SSI)等丰富的Web应用服务漏洞检 测;风险评估可以实现与FW、IPS、服务器防护模块的智能智慧策略联 动,自动化生成策略;支持对经过设备的流量被动进行分析,分析相关内容包括底层软件漏 洞分析,Web应用风险分析,Web不安全配置检测以及服务器弱密码检 测,并实时生成分析报告。具备单独的针对服务器安全风险和潜在威 胁的特征识别库;提供基于用户/业务的综合风险报表,统计维度为用户和业务而非IP 地址;根据网络风险状况提供优、良、中、差评级;攻击统计提供所 有检测攻击数和有效攻击数两个维度
19、;报表相关内容呈现主动扫描的 漏洞分布情况,匹配攻击日志输出已被攻击的漏洞数和发现的所有漏 洞数的统计报表;业务安全报表提供攻击分析、漏洞评估、业务system 漏洞详情等信息;用户安全报表提供遭攻击最多的用户详情、异常连 接用户详情等信息、;安全风险类型汇总基于业务system遭受攻击类型、 业务system存在最多漏洞类型、用户遭受最多威胁类型进行统计; 网关型网页防篡改,无需在服务器中安装任何插件;支持文件比对、 特征码比对、网站元素、数字指纹比对多种比对方式方法,保证网站 安全;全面保护网站的静态网页和动态网页,支持网页的自动化发布、 篡改检测、应用保护、警告和自动化恢复,保证传输、鉴
20、别、地址访 问、表单提交、审计等各个环节的安全,完全实时杜绝篡改后的网页 被访问的可能性及任何使用Web方式方法对后台数据库的篡改;支持 各级页面模糊框架匹配、精确匹配的方式方法适用不同的网页类型; 支持提供管控员业务操作界面与网管管控界面分离功能,方便业务人 员更新网站相关内容;支持通过替换、重定向等技术手段,防护篡改 页面;网站维护管控员必须通过短信认证才可进行网站更新业务操作 (选配);支持短信报警、邮件报警、控制台报警等多种篡改报警方式 方法;支持基于流引擎查毒技术,可以针对HTTP、FTP、SMTP、POP3等协议 进行查杀;能实时查杀大量文件型、网络型和混合型等各类病毒;并 采用新
21、一代虚拟脱壳和行为判断技术,准确查杀各种变种病毒、未知 病毒;内置10万条以上的病毒库,并且可以自动化或者手动升级;检 测到病毒后支持记录日志、阻断连接;对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTP GET、 HTTP POST、HTTPS等应用行为;并进行阻断和记录日志;支持针对上 传、下载等操作进行文件过滤;支持自定义文件类型进行过滤;支持 基于时间表的策略制定;支持的处理动作包括:阻断和记录日志 支持将多条外网线路虚拟映射到设备上,实现对多线路的分别流控; 支持基于应用类型、网站类型、文件类型的带宽划分与分配;支持时 间和IP的带宽划分与分配;支持基于用户名/密码、单点
22、登陆以及基于IP地址、MAC地址、计算机 名的识别等多种认证方式方法;支持AD域结合、Proxy POP3、web 表单等多种单点登陆方式方法,简化用户操作;*可强制指定用户、指 定IP段的用户必须使用单点登录;支持添加到指定本地组、临时账号 和不允许新用户认证等新用户认证策略;支持强制AD域认证,指定用目录第一章信息安全技术人才需求分析41.1 国内信息安全技术人才的需求现状分析41.2 国内信息安全技术人才的教育现状分析41.3 信息安全实训室建设的应用需求61.3.1 提供真实的信息安全实验教学环境613.2满足不同层次实验的需要.61.33提供实训室配套的实验教学system6提供完备
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 攻防 实验室 设计方案
限制150内