1、计算机病毒防入侵检测研究实验室共建方案一、合作介绍计算机病毒防入侵检测研究实验室为整合政府、学校、行业企业等各类资源，深化校企合作、多种形式推进实训基地建设，XXXXX有限公司与yyyyy共同建立计算机病毒防入侵检测研究实验室。实验室主要收集、研究计算机病毒入侵手段，并对计算机病毒进行解剖、分析，并向主管单位提交病毒疫情分析报告，经主管机关授权后发布计算机病毒疫情，建立、维护计算机病毒流行列表，为国内用户提供计算机病毒防御的综合解决方案。双方均同可在对外发布信息中使用共建基地的名称并开展管理、实习、培训、项目合作；共同打造计算机应用及网络安全高端、新型实用人才培养和社会服务平台；双方共建计算机2、病毒防入侵检测研究实验室，通过“基地+基地”一体化人才培养模式，以企业为产业基地，以学校为教学研究基地，通过校企协调、基础资源互通，实现需求对接、资源共享、二位一体培养人才。建设背景Xxxx国内领先的网络安全前端防御专家及安全产品服务商XXXXX有限公司成立于2012年，位于XXXXXXX，是一家以网络安全为基石，依托计算机病毒防御中心-防入侵实验室（公司前身），旨在为用户量身打造【互联网+】整体网络安全解决方案与家庭智能网络安全的专业服务商。公司主营信息防御系统、网络安全的维护、应用与建设等服务项目。迄今已获多项关键性安全技术著作权。yyyyy二、建设背景2.1互联网行业发展需要随着我国信息3、化进程的不断推进，信息安全成为政府和企业广泛关注的焦点问题。根据中国互联网信息中心CNNIC发布第37次中国互联网络发展状况统计报告。截至2015年12月，中国网民规模达6.88亿，互联网普及率为50.3%;手机网民规模达6.2亿，占比提升至90.1%，无线网络覆盖明显提升，网民Wi-Fi使用率达到91.8%。企业互联网使用比例上升，“互联网+”行动计划助力企业发展中国企业的日常运营越来越离不开互联网。报告显示，截至2015年12月，中国企业计算机使用比例、互联网使用比例与固定宽带接入比例，同比分别上升了4.8个、10.3个和8.9个百分点，达到95.2%、89.0%和86.3%。中国网站总数4、为423万个，较2014年增长了88万，年增长率达到26.3%。同时，中国网页数量首次突破2000亿。中国企业越来越广泛地使用互联网工具开展交流沟通、信息获取与发布、内部管理等方面的工作，为企业“互联网+”应用奠定了良好基础。互联网不再是单一的辅助工具，企业开始将“互联网+”行动计划纳入企业战略规划的重要组成部分，这突出表现在企业对互联网专业人才的重视、开展网上销售和采购业务，以及运用移动端进行企业营销推广等。2.2人才培养需要互联网应用技术的发展在创造了便捷性的同时，也把数以十亿计的用户带入了一个两难的境地，一方面，国家和政府依赖网络维持政治、经济、文化、军事等各项活动的正常运转；企业用户依5、赖网络进行技术创新和市场拓展；个人用户依赖网络进行信息交互；另一方面，网络中的信息存储、处理和传输的都是事关国家安全、企业及个人的机密信息或是敏感信息，因此成为敌对势力、不法分子的攻击目标。这种不安全的态势在未来绝对不会平息，而是会持续发展，逐渐渗透到物联网、智能移动互联、云计算等新兴的网络空间。所以，从国家层面，从企业安全层面，从个人需求层面，培训养一批网络安全人才，已经成为我国的一项重要工程。在我国，网络安全事件，基本上可分为两类，一类是被攻击；一类个人防范意识差，从而中有危害性的计算机病毒；为了解决这个问题，一方面要有专业的人才来防护我们的网络，一方面要加强人民的网络安全意识，更重要的是6、，有效的防止外来的攻击以保证我国网络环境的健康发展。对于人才培养来看，在我国高等院校及各类高职高专是网络安全专业人才的培养基地。网络攻击与防护是网络安全的核心内容，也是国内外各个高校信息安全相关专业的重点教学内容。网络攻击与防护具有工程性、实践性的特点，对课程设计和综合实训提出了更高的实验环境要求，所以能否培养出一批有价值的人才，实践环境起到了非常重要的作用。2.3教学的需要在网络安全中，网络攻防占据的主导作用，网络攻防可以将是将密码学、计算机病毒、防火墙、网络安全、操作系统、数据库、WEB 安全等一系的知识串连起来，对学生网络安全知识至关重要，所以网络攻防是网络安全核心内容，有道是只有掌握了7、攻击方法 ，才能清楚的知道如何防护。建设网络攻防实验室，不但能为学生提供良好的硬件资源，而且能大大提高科学研究及学科建设水平，提高办学层次，为培养信息安全高级人才提供有力保证。网络攻防课程在总体上的特点是技术性和实践性强。坚持理论联系实际，才能真正掌握这些知识。通过学习网络攻防，学生将可以了解网络安全的威胁，掌握入侵检测技术、安全防护技术以及应急响应机制等基本安全技术，可以为信息系统的设计和实现提供网络安全防御机制，从系统的整个生命周期考虑网络安全问题。所以，我院非常有必要建设一个现代化的计算机防病毒防入侵检测实验室。2.4学习的需要网络安全尤其是网络攻击和防护，只有在真实环境下亲身体验了实际8、的过程，才能掌握网络攻击的原理，分析网络攻击的途径和方式，才能更好的针对各种攻击提供网络防护措施，才能体会网络攻击的危害性，全面提升安全意识。通过搭建真实的、覆盖网络攻防相关领域知识的实战系统，可对学生进行网络攻防综合应用方面全面的、系统的培训，同时能够根据网络安全技术的最新发展，增加相关的实战内容和实战环境，使学生能够始终追踪前沿网络攻防技术，不断开阔思路和眼界，提升实践教学水平和质量。以xxxXX智防系统及配套攻防实战课程为依托，学校可进行相应的网络攻防实战培训，择优参加全国及地区性的信息安全相关的技能大赛，保证大赛中代表队优异的成绩；或有效组织校内、地区甚至全国性的信息安全相关技术大赛。9、通过上述方式可有效提升学校及专业的影响力。所以对于学生而言，建设一个专业的网络攻防实验室，更是迫在眉心。三、实验室建设规划3.1实验室总体设计计算机防病毒入侵检测实验室作为学校在信息安全领域方向的一个综合实验平台，需要从实验环境、支撑的教学内容、可能的扩展服务等多方面来进行建设，以实现实验室的高效运转。教学演示环境课程实践平台学生实验环境实验环境平台师资培训体系实验教程体系计算机病毒防御中心资源教学支撑平台科研项目/横向课题开发服务安全认证服务安全培训服务扩展服务3.2实验室教学实验环境对于实验教学而言，利用各种软硬件设备搭建实验环境平台仅仅是基础，在此基础上，为支持学校利用实验平台开设相关的10、实验课程，xxxXX畅想提供相关的计算机防病毒攻防技术指导书，并提供xxxXX智防实验平台以及各类安全测试软件（渗透类：Burp Suite、HackBar 、Web Vulnerability Scanner Metasploit、WiFi-Pumpkin、ZAProxy Phishing Frenzy、OWASP VBScan）进行操作培训，基于计算机病毒防御中心提供病毒源、数据源等技术支持，为学校尽快利用实验设备提供师资培训。同时，利用本实验室的管理平台还可建立一个信息安全实验教学资源中心，对学校在网络信息安全学科的教学进行统一的管理，实现资源共享。3.3扩展服务平台实验室作为学校一个公11、共实验场所，如何最大化地利用实验室内的各种资源，为学生、教师甚至社会提供服务是实验室建设中必须考虑的一个问题。在本实验室中，针对信息安全专业人才的培养及科研项目开发需求，我们提供针对学生及社会人员的知名安全企业及国家权威机构培训认证服务，以此满足学生在课程实践教学后的“培训-取证-就业”的需求，提高其就业竞争力。此外，利用实验室的实验环境，还可承接相关的科研项目或企业横向课题，教师可带领学生组建研发团队，进一步带动信息安全专业人才培养及团队建设。3.4实验室空间布局根据实验操作区域的不同，包含教学演示环境和学生实验环境。其中，教学演示环境为教师进行各种实验室的演示场所，利用投影仪等设备对各个实12、验及相关知识的讲解；学生实验环境则为学生进行安全实验的场所，进行分组实验操作，一个实验班级 30-45 个学生可分为 6-8 个实验组，每组可安排5个学生进行实验，这样可同时安排 30-45个学生进行网络攻防相关的实验课程，以小组的形式，可培养学生的团队合作能力；对于大三大四学生，可以小组合作方式，进行攻防对抗实验。实验室平面布置图实验室实际效果图3.5实验室设备环境基础环境建设包括实验终端个人电脑和实验所需的网络环境、教学环境、服务器环境。学生实验终端计算机可以采用普通终端 PC 机，PC实验环境系统采用centos vmware windows7 组成的双系统，同时组建实验室局域网，支撑学13、生进行计算机病毒防入侵实战实验。教学演示区部署一台教师机，用来安装所有安全设备的控制台，实现对安全设备的管理。并用来给学生进行网络信息安全实验、安全攻防的集中演示。实验支撑环境，采用服务器集群，搭建centos、window 2003等服务器操作系统，在实验室搭建私有云网络安全攻防实验平台。服务器存放实验教学系统相关的硬件设备，包括管理中心设备、数据服务设备、安全实验设备、交换设备和显示控制设备等四、xxxXX智防xxxXX智防是xxxXX畅想信息科技自主知识产权的新一代在线部署安全产品，其设计目标旨在准确检测网络异常流量、网络攻击手段，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，14、在监测到恶意流量的同时对攻击源进行溯源，并对攻击方式进行自学习，以便全面深入的阻碍威胁流量。通过全面的防御规则集，有效防御web应用的各类安全威胁。这类产品弥补了传统防火墙、入侵监测等产品的不足，提供动态的、深入的、主动的安全防御，为企业、各类机构网络应用提供了一个全面的入侵防护解决方案。xxxXX智防提供多种扩展接口，方便学校定制添加已有实验。同时提供开发API及源代码，支持校企合作进行实验系统的二次开发，利用本实验平台搭建信息安全实验环境，组建校企联合研发团队，开展校企横向课题合作，促进高校产学研的良性循环发展。4.1xxxXX智防产品架构4.2xxxXX智防安全策略支持多种防御规则集，有15、效控制和缓解HTTP及HTTPS等应用下各类安全威胁，使用最小的资源，防护海量攻击。为企业应用实时提供在线安全防御。安全策略如下：。通过虚拟环境培育技术进行病毒培育，实时大数据采集分析，结合云计算对未知的网络攻击手段或木马病毒进行自学习或抵制防御，探索攻击的途径和方式，及时跟踪、发现互联网上新出现的 Web 应用攻击类型，并将有针对性 的防护规则和算法研究成果快速应用于 智防系统中，深度挖掘客户的安全隐患，帮助客户对抗最新攻击，拒绝风险事件。4.3协同防御共同防御：黑白名单规则，通过全球最大的安全引擎库，自动分析应用外链的安全解决提示，更强大的黑白名单技术保障。Web漏洞扫描:对web应用进行16、系统漏洞扫描，利用一系列的脚本模拟对web应用进行攻击的行为，然后对结果进行分析，针对已知的网络漏洞进行检验。提前发现漏洞并进行修复，提高平台入侵防御能力。4.4防篡改在Web服务器上部署基于主机的Web防护系统，有效检测和阻断各种web网页、图片、程序等资源的篡改攻击；添加虚拟伪装服务器进行系统防护，监控攻击手段，检测入侵目的；对网站内容进行备份，一旦检测到系统完整性受损，可以自动化进行系统恢复。4.5安全监控宽带监控：从多个角度全面的透视外网访问DMZ区服务器或者内网服务器的流量情况，保障重要的服务器带宽，限制普通服务器带宽。监控服务器区中每个服务器的运行情况，及时发现异常工作的服务器，快17、速定位攻击服务器的攻击源，并且能够及时阻断其对服务器的网络攻击。优化访问服务器质量，提升服务器稳定性。对比服务器和内网占用带宽的比例情况，智能分配两者的带宽。攻击监控：通过实时监控网络或主机活动，监视分析用户和系统的行为，审计系统配置和漏洞，评估敏感系统和数据的完整性，识别攻击行为，对异常行为进行统计和跟踪，识别违反安全法规的行为，使用诱骗服务器记录黑客行为等功能，使管理员有效地监视、控制和评估网络或主机系统。篡改监控：缓存数据库，并通过实时监控网络应用数据库，针对后端数据库及代码层操作行为进行监控，发现各种潜在的非法操作和攻击行为，并进行记录，并进行篡改修复。日志报表针对网络、宽带、攻击、访18、问、篡改等行为进行实时监控，同时生成访问日志、攻击日志及篡改日志。便于第一时间发现安全问题，并对事件处理提供有效支持。l 对各种用户的Web访问行为进行审计，并通过行为基线，自动化发现各种潜在异常行为；l 对重要的数据库操作行为进行审计，发现各种非法行为；l 对各种攻击行为进行审计，基本IP定位信息对攻击事件进行追溯和定位。五、课程体系序号课程类别1病毒类型2主流服务器环境安全讲解3互联网服务端安全4代理服务器WAF构架（通过开源模块进行安全加固）5实战：构架单点通信系统6修改NT注册表增强系统安全性7文件加解密实验8HTML恶意代码实验9病毒防范-文件的扩展名10木马攻击实验11Ping扫描19、实验12XSS跨站攻击实验13DDOS攻击实验14SQL注入攻击实验15代码审计六、设备投入序号产品名称产品型号及配置数量1服务器机型：2U 机架式设备；CPU： E5-2603V3； 内存：64G；硬盘：128G SLC 高速缓存硬盘读取速度于 500M/秒，1000G 存储硬盘；网口：2 个 10/100/1000(Gigabit Ethernet)；系统为满足实验，提供了不同应用的主机系统，服务包括：FTP、HTTP、 E-mail、 DHCP、DNS32交换机华为 S3700-28TP-SI-AC 背板带宽：1000Gbps ，24 口，存储交换 10/100/1000Base-T 端口,SFP23PC主机机型：CPU：i5-4460 ，内存：8G ，硬盘：1TB ，显卡2G独显，支持多系统。514投影机投影尺寸：30-350英寸，3000流明以上。15机柜24U16攻击包渗透类：Burp Suite、HackBar 、Web Vulnerability Scanner Metasploit、WiFi-Pumpkin、ZAProxy Phishing Frenzy、OWASP VBScan517xxxXX智防系统1