1、天融信攻防演练平台天融信攻防演练平台&安安全实验室建设方案全实验室建设方案北京天融信科技有限公司2013-04-19目录目录第第 1 1 章章综述综述.4.4第第 2 2 章章实验室需求分析实验室需求分析.5.52.1 人才需求.52.2 攻防需求.52.3 研究需求.5第第 3 3 章章实验室概述实验室概述.6.63.1 实验室网络结构.63.2 实验室典型配置.6第第 4 4 章章攻防演练系统系统介绍攻防演练系统系统介绍.8.84.1 攻防演练系统系统概述.84.2 攻防演练系统系统体系.9第第 5 5 章章信息安全演练平台介绍信息安全演练平台介绍.10.105.1 应急响应流程.105.2、2 演练事件.115.3.1 信息篡改事件.115.3.2 拒绝服务.135.3.3 DNS 劫持.145.3.4 恶意代码.15第第 6 6 章章信息安全研究实验室介绍信息安全研究实验室介绍.18.186.1 渗透平台.186.2 靶机平台.196.3 监控平台.20第第 7 7 章章方案优势和特点方案优势和特点.22.227.1 实验室优势.227.2 实验室特点.237.3 安全研究能力.237.4 培训服务及认证.24第第 8 8 章章电子政务网站检测案例电子政务网站检测案例.错误!未定义书签。第第 9 9 章章实验室建设建议实验室建设建议.26.269.1 实验室建设步骤.269.23、 实验室设备清单.27第第1 1章章 综述综述为满足电信、军工、航天、网监、教育等行业对信息安全人才培养、攻防演练、安全研究等需求，北京天融信科技有限公司基于虚拟化技术开发了安全实训系统，并以此系统为核心打造了信息安全实验室。以下是系统主要特点：通过虚拟化模板快速模拟真实系统环境通过虚拟化模板快速模拟真实系统环境通过融合虚拟网络和真实物理网络，简单拖拽即可快速搭建模拟业务系统环境，并在拓扑及配置出现问题时，方便快速恢复。多种虚拟化主机和网络模板网络拓扑所见即所得拖拽模式和真实的网络可互通整体测试环境可快速恢复通过监控平台可实时观察测试情况通过监控平台可实时观察测试情况可通过实训系统监控平台、在4、线或远程的方式对所模拟的网络测试环境进行监控。监控主机服务、进程及资源状态监控网络协议定义和捕获攻击行为针对攻击行为报警第第2 2章章 实验室需求分析实验室需求分析随着互联网、专用网络化信息系统和各种网络应用的普及，网络与信息安全已成为关系到国家政治、国防、社会的重要问题，它对培养具有网络信息安全知识、应用提出了更高要求。2 2.1 1 人人才才需需求求近年来，信息技术已在人类的生产生活中发挥至关重要的作用，随之而来的信息安全问题也已成为关系国家安全、经济发展和社会稳定的关键性问题。但由于国内专门从事信息安全工作技术人才严重短缺，阻碍了我国信息安全事业的发展。2 2.2 2 攻攻防防需需求求随5、着信息安全的日益发展，网络新型攻击和病毒形式日益恶化，因此以安全运维、快速响应为目标，以信息网络技术为主要手段，提高在网络空间开展信息监察、预防、提高突发事件的处理能力。2 2.3 3 研研究究需需求求以行业信息化、网络安全、保密为主要出发点、重点研究信息管理和安全应用，建设新技术开发与验证平台，研究信息安全取证、破译、解密等技术。并负责对电子数据证据进行取证和技术鉴定。第第3 3章章 实验室概述实验室概述3 3.1 1 实实验验室室网网络络结结构构实验室及业务网络中的小型机和特殊设备测试、培训、研究和管理区测试、培训、研究和管理区实验室设备接入区实验室设备接入区远程接入区远程接入区实训平台实6、训平台实训平台信息安全实训平台（信息安全实训平台（TopsecSPTopsecSP）WindowsLinux渗透平台监控平台靶机平台UnixMac渗透环境渗透环境靶机环境靶机环境信息安全检测研究平台（信息安全检测研究平台（TopsecCPTopsecCP）信息安全培训平台信息安全培训平台（TopsecSPTopsecSP）：是通过多台专用信息安全虚拟化设备，虚拟出信息安全所需的场景，例如 WEB 攻防平台、应用攻防平台、威胁分析平台、数据挖掘平台、基线扫描平台、漏洞分析平台、木马分析平台等等。同时系统提供相实验指导书和实验环境场景。信息安全研究平台信息安全研究平台（TopsecCPTopsec7、CP）：是通过智能信息安全靶机系统、信息安全智能渗透系统和信息安全监控系统实现红、蓝对战实战。并对实战过程进行监控，实现测试过程和结果动态显示。实验室设备接入区：实验室设备接入区：是能够满足用户在演练和实战时通过接入特殊设备来完成用户自定义的实验需求，例如小型机，无线、射频等通过虚拟化技术无法完成的设备。测试、培训、研究和管理区：测试、培训、研究和管理区：相关人员通过 B/S 做培训、研究和管理所用。远程接入区：远程接入区：能够满足用户通过远程接入到信息安全实验室内，进行7*24 小时的测试和研究。3 3.2 2 实实验验室室典典型型配配置置针对实验室对模拟网络环境多样性的要求，以下是信息安全8、研究实验室典型结构：信息安全实验室示意图信息安全实验室能够模拟：业务系统出口安全区域、DMZ 安全区域、内网接入安全区域、以及安全研究专区，这些模拟环境已经涵盖了目前所有企事业单位的大部分安全单元。在拥有丰富且全面的网络实验环境的基础上，相关人员还能接触到大部分市场上主流的网络安全设备。实验设备要涵盖传统的网络防火墙、VPN 网关、IPS、IDS、防病毒网关与流量控制网关等。在原有基础网络实验室的基础上通过增加以下设备来完成信息安全实验室的搭建：信息安全实验室设备（每组）设备类别流量整形网关防火墙USG 网关许可入侵检测引擎实验室实训系统实验室研究系统TopFlowNGFW-4000TopRu9、lesTopIDPTopsec-CPTopsec-SP网络安全管理设备实验室管理系统实验室管理系统TopNM1台设备名称数量114211单位台台台套台台备注第第4 4章章 攻防演练系统系统介绍攻防演练系统系统介绍4 4.1 1 攻攻防防演演练练系系统统系系统统概概述述攻防演练系统系统产品是北京天融信科技有限公司（以下简称 TOPSEC）对于安全人才培养、攻防演练、安全研究的等需求专门设计开发的产品。攻防演练系统系统（简称 TOPSEC-CP），根据我们多年来对信息安全趋势的把握，同时分析企事业单位对人才培养及安全岗位技能需求的基础上，参考大量优秀的、应用广泛的信息安全教材，TOPSEC提供了一10、套全面、专业、成熟且可扩展的攻防演练系统系统。TOPSEC-CP 系列产品以理论学习为基础，结合最全面最专业的实训，增加技术人员对信息安全诸多领域的深入理解，为技术人员提供坚实的技术基础。TOPSEC 攻防演练系统系统提供多个方面的实验、实训及工程实践，涵盖多层次的实验操作，以真实环境的真实案例为操作指南，贴近实际岗位能力要求。同时，配有强大的实验管理系统，能够为信息安全教学、攻防演练、安全研究提供一个完整的、一体化的实验教学环境。此外，北京天融信科技有限公司可与企事业单位从实验室建设、课题研发、培训认证等方面进行全方位合作。天融信“攻防演练系统系统”（简称 TOPSEC-CP），依托于不同的11、课件和展示内容，可以应用于学校、军队、政府、企业等各行业，是国内乃至国际最好的虚拟化学习和研究系统。TOPSEC-CP 系统参考信息安全类专业教学指导委员会制定的信息安全类专业知识结构及能力要求，并联合开发了八大类信息安全课程体系，覆盖了多个方面的信息安全教学内容，包括实验原理、教学虚拟化环境、实验指导书，技术人员可以自主学习实验，进行实验验证与应用，并进行信息安全综合分析及自主设计，实现多层次的实验操作。4 4.2 2 攻攻防防演演练练系系统统系系统统体体系系信息安全虚拟化实训系统体系包括：实验平台、实验内容和培训体系，提供实验工具管理、实验内容管理、虚拟化调用 APT 等多种扩展接口，方便12、各行业定制添加培训时候所需的实验。如图所示：TOPSEC-CP 配有强大的实训系统，能够为信息安全培训、教学及科研提供一个完整的、一体化的实验环境，从而打造出全方位的专业信息安全实验室。第第5 5章章 信息安全演练平台介绍信息安全演练平台介绍信息安全演练平台是北京天融信有限公司在全国首创，推出的业内第一款演练平台，其独创性取得了用户的一致好评。北京天融信有限公司公司于2012 年推出的新一代演练平台，目前，演练平台在全国拥有广泛的用户群体，已经在各类企业、学校实施，产品功能稳定，性能卓越，受到了广大用户的热烈好评。北京天融信科技有限公司所开发的信息安全演练平台，已纳入常见的攻击实验，可方便用户13、将攻防演练变成一种常态化的工作，同时，系统也可以快速自定义攻防演练的场景，已满足各种用户不同的需求。5 5.1 1 应应急急响响应应流流程程紧急安全事件的处理过程，可以遵循以下流程执行：发现攻击事件是否达到紧急事件的定义级别？未达到启动应急预案达到正常处理流程应急预案参照预案进行操作对事件进行紧急处理处理完成，是否达到预期效果未达到联系外部专家、服务提供商完善、优化预案对应急过程进行分析、总结上报处理结果达到图5.1安全事件应急响应流程5 5.2 2 演演练练事事件件信息篡改信息篡改：模拟针对中央系统某网站首页篡改事件的监控和处理。拒绝服务拒绝服务：模拟从外部发起的针对某网站的拒绝服务攻击事件14、的监控和处理。恶意代码攻击恶意代码攻击：模拟内网某服务器感染恶意代码后的监控和处理。DNSDNS 劫持：劫持：本次演练主要模拟某 DNS 服务器的权威解析记录被篡改事件的发现和处理。5.3.15.3.1 信息篡改事件信息篡改事件5.3.1.15.3.1.1 场景描述场景描述信息篡改是指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件，网页篡改是最常见的信息篡改事件。网页篡改一般分三种方式：部分网站服务器页面被篡改、全部网站服务器页面被篡改、网站动态内容被篡改等。本次应急演练主要模拟中央系统中某网站首页遭到篡改时的事件处理。页面篡改安全事件，是指通过外部或内部非正常途径，如15、利用Web应用服务漏洞或 Web服务器系统漏洞，获得相应的权限替换中央系统 WWW 服务器页面（静态页面）的事件。本次演练模拟的网站拓扑环境如下：攻击方演练环境介绍攻击方演练环境介绍编号编号设备名称设备名称设备用途设备用途作为演练1攻击方的攻击设备设备系统设备系统/软件版本软件版本操作系统说明：操作系统说明：Windows 2000 server或 windows2003server 操作系统。192 168 2 3IPIP 地址地址备注备注安装相关的攻击工具。可以用攻击方的笔记本实现。防御方演练环境介绍防御方演练环境介绍编号编号设备名称设备名称设备用途设备用途主要用于网设备系统设备系统/软件16、版本软件版本IPIP 地址地址备注备注1三层交换机络连接和访问控制。三层交换机192 168 0 12防火墙 Pix 525阻 断 攻 击者。为被攻击设防火墙应能针对 IP、端口设置访问控制策略。操作系统：操作系统：linuxlinuxas 4as 4应用软件：应用软件：weblogic 9.2weblogic 9.2安装网络部提供的网192 168 1 1192 168 2 1192 168 1 2内 置模 拟网页3web 服务器备。4Windows 主机 1安全监控用站异常监控软件，具备显示器安装网络部提供的域192 168 2 25Windows 主机 2安全监控用名系统监控软件,具备显17、示器192 168 2 45.3.1.25.3.1.2 准备阶段准备阶段1、对 www 网站静态页面进行备份。2、准备系统的基本快照。5.3.1.35.3.1.3 攻击阶段攻击阶段1、攻击者通过扫描发现，WWW 网站的服务器使用 weblogic 的默认管理页面对外开放，同时存在默认的登陆口令（weblogic/weblogic）。2、攻击者通过弱口令登陆后，替换WWW 网站的首页。5.3.1.45.3.1.4 监测阶段监测阶段使用监控组自主开发的“网站监控软件”，定时轮询方式检查页面的变化情况，发现页面被篡改；5.3.1.55.3.1.5 处理阶段处理阶段1、进行系统临时性恢复，迅速恢复系统18、被篡改的内容；2、检查问题服务器 WWW 访问日志、系统操作日志，确定篡改时间、IP 及可能的手法；3、分析系统日志(messages、sulog、lastlog 等)，确认主机上有无异常权限用户非法登陆，并记录其 IP 地址、登陆时间等信息；4、检查 weblogic 应用日志，发现有无异常；5、确定问题根源，修复问题。测试后上线；5.3.25.3.2 拒绝服务拒绝服务5.3.2.15.3.2.1场景描述场景描述拒绝服务攻击事件是指利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的 CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的信息安全事件。拒绝服务发起时19、往往表现为 cpu、内存、带宽等的高利用率，同时由于攻击手法和形式的多样性，造成对攻击形式攻击特征分析带来一定的难度。本次应急演练主要模拟中研系统中WWW 网站遭受 synflood 拒绝服务攻击时的事件处理。本方案以 web应用为例，攻击者向 Web端口发起 synflood 拒绝服务攻击，表现在分布式的大量针对80 端口的数据包，以耗尽 web 服务的最大连接数或者消耗数据库资源为目的。5.3.2.25.3.2.2准备阶段准备阶段了解、总结日常 Web访问的流量特征5.3.2.35.3.2.3攻击阶段攻击阶段针对 80 端口发送大量的 synflood 攻击包。5.3.2.45.3.2.420、监测阶段监测阶段使用监控组自主开发的“网站监控软件”，定时轮询方式检查网站的访问情况；通过轮询软件发现页面访问不可达。5.3.2.55.3.2.5处理阶段处理阶段1、对 web 访问连接，进行分析。2、在 web 服务器上，查看 cpu、内存的负载及网络流量等。3、在防火墙或网络设备上配置访问控制策略，限制或过滤发送源地址的访问。5.3.35.3.3 DNSDNS 劫持劫持5.3.3.15.3.3.1场景描述场景描述主要模拟 DNS 服务器的权威解析篡改事件。该 DNS 服务器由于对外开启了 SSH（TCP/22）管理服务，同时系统上存在弱口令，攻击者通过扫描得到系统口令，并进一步登陆控制服务21、器，然后修改DNS 区域记录文件，实施DNS 劫持攻击。监控人员通过DNS Watch软件监测到域名解析异常，然后通知维护人员，维护人员通过相关的事件处理，恢复正常的DNS 业务。攻击方演练环境介绍攻击方演练环境介绍编号编号设备名称设备名称设备用途设备用途作 为 演 练1攻击方的 攻 击 设备设备系统设备系统/软件版本软件版本操作系统说明：操作系统说明：Windows 2000 server 或windows2003 server 操作系统。192 168 2 3IPIP 地址地址备注备注安装相关的攻击工具。可以用攻击方的笔记本实现。防御方演练环境介绍防御方演练环境介绍编号编号1设备名称设备名22、称DNS 服务器Windows 主机 1设备用途设备用途被攻击的dns 服务器安全监控用设备系统设备系统/软件版本软件版本操作系统：操作系统：solaris 9solaris 9应用软件：应用软件：bind 9.2bind 9.2安装网络部提供的网站异常监控软件，具备显示器安装网络部提供的域安全监控用名系统监控软件,具备显示器192 168 2 4192 168 2 6IPIP 地址地址192 168 2 8备注备注配置 dns 信息23Windows主机 245WINDOWSXP 的终端 1WINDOWSXP 的终端 2事件处理用用于事件处理的操作192 168 2 5192 168 2 623、事件处理用用于事件处理的操作5.3.3.25.3.3.2准备阶段准备阶段1、对 BIND 软件的配置文件等重要静态文件进行备份；2、建立系统的快照。5.3.3.35.3.3.3攻击阶段攻击阶段DNS 服务器由于对外开启了SSH（TCP/22）管理服务，同时系统上存在弱口令，攻击者通过扫描得到系统口令，并进一步登陆控制服务器，然后修改 DNS 区域记录文件，实施 DNS 劫持攻击。5.3.3.45.3.3.4监测阶段监测阶段通过 DNS 域名解析监控软件（DNS Watch），发现域名解析异常5.3.3.55.3.3.5处理阶段处理阶段1、登录 DNS 服务器，检查投诉域名解析是否正常；检查静态24、配置是否正常，如发现异常，快速恢复原有配置；2、登录 DNS 服务器，检查文件修改日志；检查文件修改人；3、系统安全分析：确认系统异常；4、确定问题根源，修复问题；5、测试，确保问题得到处理。5.3.45.3.4 恶意代码恶意代码5.3.4.15.3.4.1场景描述场景描述主要模拟某恶意攻击者，利用系统的弱口令，利用 Windows系统远程管理服务（TCP/3389），获得对服务器的控制权限。控制了这台服务器后，攻击者有预谋的上传了提前作好的自动化程序，开始一些列的破坏活动，包括造成性能迅速下降，在被感染主机中安装僵尸网络客户端，开放后门端口。为了确保恶意程序的运行，攻击者停止了服务器上的防病25、毒软件。监控人员及时发现服务器上的趋势防病毒软件服务停止，监测到攻击者的恶意行为，定位攻击源并迅速切断其对网络的访问，维护人员对被影响的服务器进行安全检查，通过全面的分析和有效的措施，完全控制并根除恶意行为，对事件进行迅速控制并处理，保证了系统的有效运行。该病毒主要的特征：1、打开异常端口进行监听，开启异常进程；2、扫描其他服务器是否存在漏洞，对网络造成异常流量；3、将恶意程序添加到自动运行；4、停止系统防病毒软件的运行；攻击方演练环境介绍攻击方演练环境介绍编号编号设备名称设备名称设备用途设备用途作为演练1攻击方的攻击设备设备系统设备系统/软件版本软件版本操作系统说明：操作系统说明：Windo26、ws 2000 server 或windows2003 server 操作系统。192 168 2 3IPIP 地址地址备注备注安装相关的攻击工具。可以用攻击方的笔记本实现。防御方演练环境介绍防御方演练环境介绍编号编号12345设备名称设备名称Windows 服务器Windows 主机 1Windows 主机 2WINDOWSXP 的终端 1WINDOWSXP 的终端 2事件处理用用于事件处理的操作事件处理用安全监控用设备用途设备用途病毒程序 感染的服务器安全监控用设备系统设备系统/软件版本软件版本提供安装 Windows Server服务器。安装网络部提供的网站异常监控软件，具备显示器安装网27、络部提供的域名系统监控软件,具备显示器用于事件处理的操作IPIP 地址地址192 168 2 8192 168 2 4192 168 2 4192 168 2 5192 168 2 6备注备注病毒事件模拟用5.3.4.25.3.4.2准备阶段准备阶段1、安装 McAfee 杀毒软件；2、对系统进程进行快照，以便快捷的找出可疑进程；5.3.4.35.3.4.3攻击阶段攻击阶段通过扫描发现系统对外开放了3389 端口，管理员 administrator 并存在弱口令，通过系统 Windows远程终端管理服务（TCP/3389），安装恶意软件，破坏系统。5.3.4.45.3.4.4监测阶段监测阶段通28、过登陆发现，McAfee 防病毒软件没有正常工作，判断机器可能感染了恶意程序。5.3.4.55.3.4.5处理阶段处理阶段1、设备隔离：拔掉网线；2、在问题主机上，确定恶意代码特征：进程、端口等，通常以任务管理器和netstat na 查看进程和端口的绑定情况，分析出异常的端口或者进程；3、清除恶意代码，一般先停止恶意进程，同时将其相关文件删除；4、对操作系统进行安全加固（修改弱口令）；5、对系统进行全面杀毒，开启杀毒软件实时安全防护功能；6、恢复应用系统，系统上线；第第6 6章章 信息安全研究实验室介绍信息安全研究实验室介绍信息安全研究实验室由渗透平台、靶机平台、监控平台三部分组成。6 6.29、1 1 渗渗透透平平台台实验室智能渗透平台集成Windows、Windows Server、Linux、BT5 等系统以及端口扫描，WEB 脚本、跨站攻击，SQL 注入，缓冲区溢出，拒绝服务攻击，欺骗攻击，口令破解等攻击手段和工具。渗透系统分为四个级别：第一级别第一级别使用 BT5、Windows系统、Linux 系统为攻击平台，使用傀儡主机、代理服务器对靶机系统进行攻击。第二级别第二级别使用 BT5、Windows系统、Linux 系统为攻击平台，使用破解工具、注入工具对靶机系统进行攻击。第三级别第三级别使用 BT5、Windows系统、Linux 系统为攻击平台，使用扫描工具、渗透工具对靶30、机系统进行攻击。第四级别第四级别使用 BT5、Windows系统、Linux 系统为攻击平台，使用各种攻击工具对靶机系统进行攻击。6 6.2 2 靶靶机机平平台台模拟网络环境中的被攻击目标，包括Windows、Windows Server、Linux、Unix 等类型的主机系统，同时里面含有丰富的中间件和数据库，中间件包括 IIS、Apache、weblogic、websphere、Nginx 等，数据库包括 MSSQL、Mysql、Oracle、ACCESS、Sybase 等，可以加载需要研究网络环境的真实网络拓扑，如电子政务系统等。针对系统本身存在的漏洞、管理权限的设定来进行研究，真实的反31、应出网络环境中系统及应用被攻破的动态过程，利于进一步提高现网的网络安全。智能靶机系统包括：金牌靶机，银牌靶机，铜牌靶机，诱骗靶机四个级别，同时可模拟真实的网络环境。金牌靶机金牌靶机模拟网络中的主机操作系统，包括Windows 主机系统、Windows Server 系统、Linux 系统、Unix 系统，提供可定制的虚拟攻击目标，提供相应的攻防所需要的权限和漏洞用来进行扫描和渗透，模拟真实网络环境，以交互方式体现网络攻击和防御实战过程。银牌靶机银牌靶机银牌靶模拟网络中的应用服务器，包括数据库靶机系统、web 服务器靶机系统等应用服务器系统，提供可定制的虚拟攻击目标，提供相应的攻防所需要的漏洞用32、来进行扫描和渗透，模拟真实网络环境，以交互方式体现网络攻击和防御实战过程。铜牌靶机铜牌靶机铜牌靶模拟网络中的应用服务器，包括邮件靶机系统、文件服务器靶机系统等应用服务器系统，提供可定制的虚拟攻击目标，提供相应的攻防所需要的漏洞用来进行扫描和渗透，模拟真实网络环境，以交互方式体现网络攻击和防御实战过程。诱骗靶机诱骗靶机诱骗靶机系统模拟网络中的蜜罐服务器，包括各种主机系统和应用服务器系统，提供可定制的虚拟攻击目标，提供相应的攻防所需要的漏洞用来进行扫描和渗透，模拟真实网络环境，以交互方式体现网络攻击和防御实战过程6 6.3 3 监监控控平平台台实验室监控平台可以记录和禁止网络活动，扫描当前网络的活33、动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。监控系统所能做到的不仅仅是记录事件，它还可以确定事件发生的位置。通过追踪来源，可以更多的了解攻击者。不仅可以记录下攻击过程，同时也有助于确定应用方案。通过与渗透平台、靶机平台的联动可以实时的监控整个攻击过程，并根据设置的评分标准对整个攻击过程的渗透主机进行评分和排名，同时监控平台可以根据靶机系统的加固过程进行评分和排名。第第7 7章章 方案优势和特点方案优势和特点7 7.1 1 实实验验室室优优势势提供多种模式课件提供多种模式课件实验室为计算机及网络安全研究提供多模式的安全课件，能够模拟军工、公安、政府、医34、疗、能源等多种网络环境，能够进行各种安全威胁的实际操作，针对不同的攻击防御模式，提供多种实验课件选择。开放式的平台共建开放式的平台共建系统提供题库管理、内容管理等多种扩展接口，方便单位定制添加已有实验，同时支持合作方式对平台的二次开发。全程自主操作的攻防模拟全程自主操作的攻防模拟信息安全实验室的全部课件均是将安全理论与实际环境和动手操作相结合的实验课程，所有的实验过程中，都需要通过实际动手进行实验操作，完成课件要求的安全威胁攻击以及针对该攻击的安全防御措施。通过不同的实验课程让相关人员亲身体验计算机及网络安全的攻防全过程，可以极大的提升相关人员的安全意识，进一步提高对网络安全的防范意识。真实的35、研究环境真实的研究环境目标网络、操作系统、漏洞均模拟现网的真实环境，入侵、防护过程完全真实。并非像一些实验系统只能模拟输出既定的结果，贴近实际。模块化模块化可独立部署或融合部署：可单独接入终端机器进行安全实验，更可配合天融信实验室优化版的各类产品，例如防火墙、UTM 统一威胁管理系统、IDS 入侵检测系统、内网安全管理系统、交换机、路由器、接入认证系统等基础安全及网络实验室模块组合成为真实攻防的全局环境中。7 7.2 2 实实验验室室特特点点完整性完整性实验室平台体系涉及社会工程学、密码学、病毒学、主机安全、操作系统安全（包括 Windows 系列、Linux、Unix、BT5 等）、网络基础36、网络攻防、容灾备份、无线安全等方面。实践性实践性理论与实践操作紧密、完美的融合。实验操作中应用的方法与技能可直接应用到实际环境中，实验环境与实际环境的差异性大大的缩小。与此同时，本系统可以实现同主流设备的无缝结合，增强实验室应用性建设，提高单位的设备利用率。先进性先进性实验室采用“进阶式”设计，实验内容难度由浅入深，实验类型又验证到设计，实验对象层次由低到高；实验教程采用“多元化”理念，既可以提高单位培养相关人员的安全意识，又可以满足单位研究安全人员的实验需求。扩展性扩展性该系统允许单位根据研究需要，自主扩充实验内容，设计实验步骤，制作实验拓扑，并可灵活地设置和发布。力求打造实验研究、管理、37、提高、演练四位一体的全方位实验室系统。7 7.3 3 安安全全研研究究能能力力天融信公司已建成前沿安全研究中心、阿尔法实验室、企业博士后流动站、美国安全分析实验室、安全云服务中心五位一体的企业级安全感知系统，时刻感知网络的风云变化，帮助互联网用户及时了解网络威胁状况，提升安全意识，及时防范网络攻击。7 7.4 4 培培训训服服务务及及认认证证天融信可根据企事业单位的不同需求，对为用户提供完整的实验手册，并能根据用户的不同需求，提供培训、认证等服务。实验手册样例实验手册样例培训体系和证书样例培训体系和证书样例第第8 8章章 实验室建设建议实验室建设建议8 8.1 1 实实验验室室建建设设步步骤骤38、天融信信息安全实验室采取循序渐进的原则，即能满足公安各行业现有的需求，又利于各行业后续的信息安全发展需求。搭建安全演练平台搭建安全演练平台在现有网络平台的基础上，添加 2-4 台攻防对战系统，通过演练平台让信息安全人员对常见的攻击类型、信息泄露的方式、网络安全技术的了解，促进信息安全人员对网络信息技术产生兴趣。实战系统能够实现各种演练环境的虚拟化，实现对单人基础演练培训、分组任务演练培训，综合演练培训，对简单的攻防环境进行模拟。搭建攻防演练平台搭建攻防演练平台利用现有的网络环境，结合网络实战系统，添加需要的网络安全设备，可弥补传统模式实战演习准备周期长、投资大、演练方式僵化导致演练效果受限等缺39、点，充分发挥虚拟演练平台的数字化、虚拟化，演练成本低、参与人员不受限制等优势，真正让应急演练工作常态化。搭建安全研究实验室搭建安全研究实验室针对信息安全的不同研究方向，采用实战系统、网络安全设备和专有系统相结合的方式组建信息安全研究实验，从而从“攻、防、测、控、管、评”等多方面对信息安全进行研究。8 8.2 2 实实验验室室设设备备清清单单业务需求业务需求攻防演练系设备名称设备名称攻防演练系统设备数量设备数量2-4 台特点特点能够实现各种演练环境的预期效果预期效果1、既可以进行演练培训，又可统虚拟化，实现对单人基础演练培训、分组任务演练培训，综合演练培训，对以进行简单演练；2、可真实模拟实战，40、提高用户实战体验；趣味性和挑战性，大大提高受训者的兴趣；简单的攻防环境进行模拟3、多人联机互动，增加演练的攻防演练系统防火墙VPN 网管综合演练系统入侵检测系统日志审计系统网页防篡改系统网络行为审计攻防演练系统防火墙VPN 网管安全研究实验室入侵检测系统日志审计系统网页防篡改系统网络行为审计专业系统4-8 台2-4 台1-2 台1-2 台1-2 台1-2 台1-2 台8 台以上4 台以上2-4 台2-5 台2-6 台2-7 台2-8 台1 或多套可弥补传统模式实战演习准备周期长、投资大、演练方式僵化导致演练效果受限等缺点，充分发挥虚拟演练系统的数字化、虚拟化，演练成本低、参与人员不受限制等优势，真1、通过开展应急演练，做好应急准备工作；2、通过开展应急演练，提高应急事件处置能力；3、通过开展应急演练，完善应急处理机制；4、通过开展应急演练，提高应正让应急演练工作常态化急预案的实用性和可操作性；1、掌握网络违法犯罪的发展动瞄准国际信息安全学科发展前沿，密切结合国家信息安全战略需求，对前沿性和前瞻性信息安全科学问题进行创新性研究，以满足国家和行业部门的需求态；2、研究违法犯罪的特点和规律，提出防范和打击网络违法犯罪的对策；3、研究计算机违法犯罪案件的取证、破译、解密等侦破技术；4、对计算机违法犯罪案件中的电子数据证据进行取证和技术鉴定；