【文章內(nèi)容簡(jiǎn)介】 防實(shí)驗(yàn)的全過(guò)程，從而直觀的了解到 TCP/IP、系統(tǒng)和應(yīng)用的脆弱性，了解常見(jiàn)的攻擊方式，以及各類(lèi)安全設(shè)備在其中起到的作用。攻防實(shí)驗(yàn)課教學(xué)的目標(biāo)的是使學(xué)生能夠具備以下能力： 1． 能夠分析計(jì)算機(jī)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用存在的常見(jiàn)脆弱性，以及面臨的主要安全威脅。學(xué)會(huì)針對(duì)各種網(wǎng)絡(luò)環(huán)境中存在的安全問(wèn)題進(jìn)行判斷和分析 2． 掌握網(wǎng)絡(luò)和系統(tǒng)的各種安全防護(hù)手段。 3． 學(xué)會(huì) 調(diào)試和配置 通用 主流 的 商業(yè)防火墻、 IDS、漏洞掃描 設(shè)備。 實(shí)驗(yàn)室建設(shè)原則 信息安全實(shí)驗(yàn)室 建設(shè)必須遵循以下的建設(shè)原則： 多系統(tǒng)、多平臺(tái)的原則 操作系統(tǒng)不安全是計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)不安全的根本原因，所以必須得研究各平臺(tái)上的各操作系統(tǒng)存在的不安全因素以及如何防范這些不安全因素。 試驗(yàn)設(shè)備多樣性原則 非法者的入侵除了針對(duì)操作系統(tǒng)及各應(yīng)用系統(tǒng)外，通常還通過(guò)對(duì)各種網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行攻擊來(lái)達(dá)到非法入侵的目的；同時(shí)，非法者的自身網(wǎng)絡(luò)也被許廣州大學(xué)電子信息工程系 信息安全實(shí)驗(yàn)室 建設(shè)方案 第 11 頁(yè) 共 31 頁(yè) 多的安全設(shè)備所保護(hù)著，所以無(wú)論是從了解網(wǎng)絡(luò)安全行為、研究網(wǎng)絡(luò)入侵防護(hù)手段，還是從如何加強(qiáng)信息系統(tǒng)防護(hù)的角度分析，都必須對(duì)各種網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行研究。 實(shí)驗(yàn) 室網(wǎng)絡(luò)系統(tǒng)自身的安全性原則 由于實(shí)驗(yàn)室網(wǎng)絡(luò)與校園網(wǎng)有著緊密的聯(lián)系，為了防止的不法人員的入侵，所以必須得保證安全實(shí)驗(yàn)室自身的安全性。 課件和知識(shí)庫(kù)完善原則 網(wǎng)絡(luò)安全實(shí)驗(yàn)室是提供網(wǎng)絡(luò)安全研究課程教學(xué)、實(shí)驗(yàn)的環(huán)境，必須準(zhǔn)備較完備的網(wǎng)絡(luò)安全方面知識(shí)庫(kù)和科學(xué)、合理、循序漸進(jìn)的教材、課件、實(shí)驗(yàn)課程，才能更好教授學(xué)生網(wǎng)絡(luò)安全方面知識(shí)，提供學(xué)生的網(wǎng)絡(luò)安全知識(shí)水平和能力。 網(wǎng)絡(luò)系統(tǒng)可擴(kuò)展性原則 實(shí)驗(yàn)室的網(wǎng)絡(luò)系統(tǒng)必須具有實(shí)用性，針對(duì)性，留有網(wǎng)絡(luò)擴(kuò)展的余地。計(jì)算機(jī)網(wǎng)絡(luò)及通信技術(shù)的發(fā)展速度極快，非法者入侵的手段是隨之發(fā)展的 ，所以實(shí)驗(yàn)室網(wǎng)絡(luò)系統(tǒng)必須具備極強(qiáng)的擴(kuò)展性。 實(shí)驗(yàn)平臺(tái)高可管理性原則 按照常規(guī)的網(wǎng)絡(luò)規(guī)劃方法，需要投入大量資金購(gòu)買(mǎi)網(wǎng)絡(luò)設(shè)備、應(yīng)用軟件。如何提高有限設(shè)備的利用率是我們需要解決的問(wèn)題。所以實(shí)驗(yàn)測(cè)試環(huán)境怎樣建立為一個(gè)高可管理性網(wǎng)絡(luò)，怎樣實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)的自動(dòng)配置，形成所需測(cè)試環(huán)境是我們要解決的重要問(wèn)題。理想的狀況是在適當(dāng)增加電腦終端和少量其他設(shè)備的情況下，可以同時(shí)開(kāi)展 5 組以上的網(wǎng)絡(luò)安全實(shí)驗(yàn)。 實(shí)驗(yàn)室建設(shè)要求 總的來(lái)說(shuō)，網(wǎng)絡(luò)安全實(shí)驗(yàn)室是根據(jù)國(guó)際最新網(wǎng)絡(luò)安全技術(shù)發(fā)展方向，國(guó)內(nèi)院校對(duì)網(wǎng)絡(luò)安 全研究和教學(xué)的需求，以模 塊化、可配置實(shí)驗(yàn)平臺(tái)為基礎(chǔ)的一個(gè)集課件管理、工具管理、知識(shí)庫(kù)管理、實(shí)驗(yàn) 操作、過(guò)程分析為一體的解決方案。 方案具有以下特點(diǎn)： ? 可擴(kuò)展性極強(qiáng)的實(shí)驗(yàn)環(huán)境 ? 完善的課件、課程和實(shí)驗(yàn)條件 ? 多系統(tǒng)、多平臺(tái)、實(shí)驗(yàn)設(shè)備多樣 廣州大學(xué)電子信息工程系 信息安全實(shí)驗(yàn)室 建設(shè)方案 第 12 頁(yè) 共 31 頁(yè) ? 跟蹤國(guó)際最新網(wǎng)絡(luò)安全技術(shù)發(fā)展 4. 相關(guān)知識(shí)體系 預(yù)備知識(shí) ? OSI 協(xié)議基礎(chǔ) ? TCP/IP 協(xié)議簇 ? UNIX／ LINUX 系統(tǒng)管理和配置 ? WINDOS2020／ 2020 系統(tǒng)管理和配置 ? DOS 系統(tǒng)命令 ? 關(guān)系型數(shù)據(jù)庫(kù)原理和配置（ MSSQL／ ORACLE） ? SQL 語(yǔ)言 ? 腳本語(yǔ)言編程（ SHELL/PERL） ? 路由器、交換機(jī)原理和基本操作 (CISCO/HUAWEI) 實(shí)驗(yàn)課相關(guān)的知識(shí)體系 ? 安全體系框架、安全標(biāo)準(zhǔn)和法律法規(guī) : 安全管理體系框架和相關(guān)的標(biāo)準(zhǔn)，安全系統(tǒng)管理體系的建設(shè)、運(yùn)行及審核 ? 黑客攻擊技術(shù) : 黑客攻擊的一般過(guò)程及常見(jiàn)的方法，黑客常見(jiàn)的利用方式及應(yīng)對(duì)措施 ? Windows 安全管理和配置： Windows 系統(tǒng)安全問(wèn)題，常用服務(wù)安全配置方法和入侵防范措施，系統(tǒng)安全恢復(fù)措施 ? UNIX 安全管理和配置： UNIX 系統(tǒng)安全問(wèn)題，常用服務(wù)安全配置方法和入侵防范措施，系統(tǒng)安全恢復(fù)措施 ? 密碼學(xué)及應(yīng)用：密碼原理 及發(fā)展背景、相關(guān)加密技術(shù)及用途 ? 防火墻技術(shù)：防火墻基本概念和術(shù)語(yǔ)、機(jī)制和結(jié)構(gòu)以及配置原則 廣州大學(xué)電子信息工程系 信息安全實(shí)驗(yàn)室 建設(shè)方案 第 13 頁(yè) 共 31 頁(yè) ? 入侵檢測(cè)技術(shù)：入侵檢測(cè)技術(shù)的基本概念和原理、入侵檢測(cè)的分析技術(shù)及部署、黑客入侵事件的分類(lèi) ? 漏洞掃描技術(shù)：漏洞掃描原理，操作系統(tǒng)漏洞和網(wǎng)絡(luò)協(xié)議漏洞產(chǎn)生原因 ? 數(shù)據(jù)庫(kù)安全管理和配置 : 數(shù)據(jù)庫(kù)安全原理， SqlServer 及 Oracle 數(shù)據(jù)庫(kù)等常見(jiàn)數(shù)據(jù)庫(kù)系統(tǒng)的安全配置 ? Web 應(yīng)用安全 : WEB 安全漏洞；典型的針對(duì) WEB 安全漏洞的攻擊 5. 信息 安全實(shí)驗(yàn)室設(shè)計(jì) 總體設(shè)計(jì) 圖 1 信息安全實(shí)驗(yàn)室總體設(shè)計(jì) 基礎(chǔ)硬件平臺(tái)： 開(kāi)放基礎(chǔ)硬件平臺(tái)包含三個(gè)基本組成部分：基礎(chǔ)網(wǎng)絡(luò)平臺(tái)組件、安全實(shí)驗(yàn)設(shè)備組件、存儲(chǔ)系統(tǒng)組件。根據(jù)實(shí)驗(yàn)室不同的教學(xué)、研究、開(kāi)發(fā)等業(yè)務(wù)提供一個(gè)全面的基礎(chǔ)通訊硬件平臺(tái)。 ： 面向?qū)嶒?yàn)室攻防教學(xué)和課題研究?jī)蓚€(gè)方向，該層面主要提供信息安全教材體系、安全知識(shí)資源庫(kù)、師資培訓(xùn)及定期交流服務(wù)。 ： 實(shí)驗(yàn)業(yè)務(wù)層面為最終的應(yīng)用層，即實(shí)驗(yàn)室可以開(kāi)展的相關(guān)業(yè)務(wù)，從實(shí)驗(yàn)室建廣州大學(xué)電子信息工程系 信息安全實(shí)驗(yàn)室 建設(shè)方案 第 14 頁(yè) 共 31 頁(yè) 設(shè)的階段分析和長(zhǎng)期發(fā)展趨勢(shì)來(lái)看，基礎(chǔ)教學(xué)培訓(xùn)、課題研究、行業(yè)應(yīng)用研究都是必不可少的環(huán)節(jié)和應(yīng)用內(nèi)容。 實(shí)驗(yàn)室的管 理不僅僅是簡(jiǎn)化實(shí)驗(yàn)員的操作過(guò)程，啟明星辰的解決方案依靠路由器反向 Tel 功能實(shí)現(xiàn)一組實(shí)驗(yàn)設(shè)備的集中控制外，更加注重實(shí)驗(yàn)室的業(yè)務(wù)層管理，包括實(shí)驗(yàn)室測(cè)試床管理、服務(wù)環(huán)境模擬、安全設(shè)備監(jiān)控中心等內(nèi)容。詳細(xì)內(nèi)容請(qǐng)參考后續(xù)實(shí)驗(yàn)室設(shè)計(jì)內(nèi)容。 平臺(tái)結(jié)構(gòu) 圖 2 信息安全實(shí)驗(yàn)室實(shí)驗(yàn)平臺(tái)結(jié)構(gòu) 信息安全實(shí)驗(yàn)室網(wǎng)絡(luò)結(jié)構(gòu)分教學(xué)實(shí)驗(yàn)區(qū)、公共服務(wù)區(qū)、服務(wù)器模擬區(qū)。根據(jù)實(shí)際資金投入的情況可以劃分其他的區(qū)域，例如：邊界環(huán)境模擬區(qū)、專(zhuān)線環(huán)境模擬區(qū)等，也可對(duì)已有的各個(gè)區(qū)域進(jìn)行無(wú)限擴(kuò)展，增加復(fù)雜度，提高可同時(shí)開(kāi)展不同實(shí)驗(yàn)的數(shù)量，同時(shí)進(jìn) 行實(shí)驗(yàn)終端的數(shù)量。 教學(xué)實(shí)驗(yàn)區(qū) 分學(xué)生實(shí)驗(yàn)組和教師實(shí)驗(yàn)組，原則上每組配套防火墻、 IDS、漏洞掃描等廣州大學(xué)電子信息工程系 信息安全實(shí)驗(yàn)室 建設(shè)方案 第 15 頁(yè) 共 31 頁(yè) 安全設(shè)備。安全設(shè)備的管理控制中心直接裝在學(xué)生用的 PC 上，同時(shí)受公共服務(wù)區(qū)的安全設(shè)備監(jiān)測(cè)服務(wù)區(qū)監(jiān)控。 公共服務(wù)區(qū) ? 安全設(shè)備監(jiān)測(cè)中心 實(shí)驗(yàn)環(huán)境的監(jiān)測(cè)是為了捕獲和分析網(wǎng)絡(luò)安全實(shí)驗(yàn)過(guò)程的各種數(shù)據(jù)，主要由網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)審計(jì)系統(tǒng)、防火墻、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)所提供的安全信息組成。 ? 測(cè)試床管理系統(tǒng) 測(cè)試床管理系統(tǒng)是用于對(duì)實(shí)驗(yàn)環(huán)境網(wǎng)絡(luò)邏輯拓?fù)浣Y(jié)構(gòu)進(jìn)行調(diào)整和配置的軟件系統(tǒng)，通過(guò)在配置管理系統(tǒng)中預(yù)置的各種預(yù)定義策略，對(duì)測(cè)試床的網(wǎng)絡(luò)結(jié)構(gòu)和配置進(jìn)行調(diào)整，使之改變邏輯結(jié)構(gòu)，能夠模擬不同的網(wǎng)絡(luò)系統(tǒng)，使各種信息系統(tǒng)安全模擬實(shí)驗(yàn)可以在系統(tǒng)上運(yùn)行。 實(shí)驗(yàn)環(huán)境配置管理系統(tǒng)的功能主要是提供一個(gè)集中的遠(yuǎn)程配置管理系統(tǒng)，通過(guò)調(diào)用這個(gè)配置管理系統(tǒng)，可以實(shí)現(xiàn)對(duì)目標(biāo)設(shè)備的配置。 ? 安全知識(shí)庫(kù) 對(duì)于網(wǎng)絡(luò)安全實(shí)驗(yàn)室所需要的安全漏洞信息和安全防護(hù)和攻擊工具，建議采購(gòu)成熟的漏洞資源庫(kù)系統(tǒng)。 漏洞信息資源庫(kù)，以下簡(jiǎn)稱(chēng)漏洞庫(kù)系統(tǒng)，是一套能夠有效地管 理漏洞和攻擊方法的漏洞信息管理系統(tǒng)。系統(tǒng)全面符合 CNCVE（即中國(guó)漏洞庫(kù)規(guī)范）標(biāo)準(zhǔn)。利用該系統(tǒng)不僅可以通過(guò)各種攻擊工具了解黑客入侵的方法手段，而且能夠在攻擊分析中的利用技術(shù)漏洞與社會(huì)工程、行為模式與隱蔽方式等關(guān)系，全面對(duì)付黑客入侵。積極的防御工具也能在一定條件下對(duì)入侵進(jìn)行防護(hù)和追蹤。 服務(wù)環(huán)境模擬區(qū) 服務(wù)環(huán)境模擬區(qū)的網(wǎng)絡(luò)環(huán)境比較簡(jiǎn)單，但是操作系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)類(lèi)型比較多，而且使用了支撐 san boot 技術(shù)的存儲(chǔ)系統(tǒng)實(shí)現(xiàn)服務(wù)器的高可用性，并可模擬多種應(yīng)用環(huán)境。 廣州大學(xué)電子信息工程系 信息安全實(shí)驗(yàn)室 建設(shè)方案 第 16 頁(yè) 共 31 頁(yè) San boot 實(shí)現(xiàn) SAN boot 技術(shù)為系 統(tǒng)的可用性及可靠性的提高提供了另一種途徑，這種提高是建立在外部磁盤(pán)的性能及可靠性均明顯高于普通 SCSI 磁盤(pán)的基礎(chǔ)上的。同時(shí)，由于 SNA boot 技術(shù)是將系統(tǒng)安裝至外部磁盤(pán)中，為系統(tǒng)的遷移及快速恢復(fù)也提供了有力的保證。 圖 4 san boot 實(shí)現(xiàn)原理 說(shuō)明： ? 要通過(guò) san boot 技術(shù)實(shí)現(xiàn)服務(wù)環(huán)境模擬區(qū)的高可用性，首先需要配置各個(gè)操作系統(tǒng)支撐 san boot，也就是 boot from san ? 所有模擬主機(jī)或服務(wù)器都需要安裝 HBA 卡 ? 在光纖磁盤(pán)陣列中預(yù)先安裝好各種想要使用的系統(tǒng)，如上圖：同樣是 solaris系統(tǒng)可能需要安裝 solaris＋ weblogic、 solaris＋ apache、 solaris＋ wehsphere 等等。 廣州大學(xué)電子信息工程系 信息安全實(shí)驗(yàn)室 建設(shè)方案 第 17 頁(yè) 共 31 頁(yè) ? 這樣主機(jī)系統(tǒng)只要作為一個(gè)基本系統(tǒng)平臺(tái)，各種應(yīng)用通過(guò) san boot 切換，從光纖磁盤(pán)陣列中調(diào)去。 課程設(shè)計(jì) 課程的內(nèi)容應(yīng)該包括“相關(guān)知識(shí)體系”中“實(shí)驗(yàn)課相關(guān)的知識(shí)體系”的內(nèi)容，其中的實(shí)驗(yàn)課程至少包括以下三個(gè)方面： 實(shí)驗(yàn)課程名稱(chēng) 課程意圖 課程主要成分 網(wǎng)絡(luò)系統(tǒng)脆弱性 掌握網(wǎng)絡(luò)安全存在的根本原因 1. 常用的協(xié)議介紹，脆弱性分析 2. 與平臺(tái)相關(guān)的協(xié)議及脆弱性分析 3． 05 年 cve 的漏洞描述、分析和驗(yàn)證 安全技術(shù)應(yīng)用 認(rèn)識(shí)網(wǎng)絡(luò)安全包括的領(lǐng)域、技術(shù)；掌握常見(jiàn)網(wǎng)絡(luò)安全產(chǎn)品的使用和操作 1. 了解網(wǎng)絡(luò)安全的發(fā)展歷程 2. 掌握安全技術(shù)的分類(lèi)，作用，主要技術(shù)指標(biāo) 3．掌握防火墻、網(wǎng)絡(luò)入侵檢測(cè)和防護(hù)系統(tǒng)、網(wǎng)絡(luò)掃描器等的使用和操作 黑客攻擊技術(shù) 各種黑客攻擊行為的特征了解當(dāng)前流行的網(wǎng)絡(luò)安全防護(hù)和攻擊技術(shù) 1. 掌握黑客攻擊的一般過(guò)程。 2. 了解 Sql 注入攻擊和防護(hù)研究、 ddos 攻擊和防護(hù)研究、掃描攻擊和防護(hù)研究、后門(mén)木馬攻擊和防護(hù)研究、溢出攻擊和防護(hù)研究、 google 類(lèi)攻擊和防護(hù)研究等。 課件可包括教材、講義（ PPT）、實(shí)驗(yàn)手冊(cè)等。 廣州大學(xué)電子信息工程系 信息安全實(shí)驗(yàn)室 建設(shè)方案 第 18 頁(yè) 共 31 頁(yè) 6. 信息安全實(shí)驗(yàn)室管理 實(shí)驗(yàn)室組織結(jié)構(gòu) 實(shí)驗(yàn)室的一般組織結(jié)構(gòu)如下圖 圖 6 信息安全專(zhuān)業(yè)實(shí)驗(yàn)室組織示意圖 ? 實(shí)驗(yàn)室主任：負(fù)責(zé)實(shí)驗(yàn)全面工作，重點(diǎn)負(fù)責(zé)實(shí)驗(yàn)