天融信攻防演練平臺及安全實驗室建設(shè)方案-通用-

1、.天融信攻防演練平臺&安全實驗室建設(shè)方案2013-04-19目錄 TOC o 1-5 h z HYPERLINK l bookmark0 o Current Document 第1章綜述4 HYPERLINK l bookmark2 o Current Document 第2章實驗室需求分析6 HYPERLINK l bookmark4 o Current Document 人才需求6 HYPERLINK l bookmark6 o Current Document 攻防需求6 HYPERLINK l bookmark8 o Current Document 研究需求6 HYPERLINK l

2、 bookmark10 o Current Document 第3章實驗室概述7 HYPERLINK l bookmark12 o Current Document 實驗室網(wǎng)絡(luò)結(jié)構(gòu) 7 HYPERLINK l bookmark14 o Current Document 實驗室典型配置 7 HYPERLINK l bookmark18 o Current Document 第4章攻防演練系統(tǒng)系統(tǒng)介紹 9 HYPERLINK l bookmark20 o Current Document 攻防演練系統(tǒng)系統(tǒng)概述 9 HYPERLINK l bookmark16 o Current Document

3、攻防演練系統(tǒng)系統(tǒng)體系 10 HYPERLINK l bookmark22 o Current Document 第5章信息安全演練平臺介紹 11 HYPERLINK l bookmark24 o Current Document 應(yīng)急響應(yīng)流程 11 HYPERLINK l bookmark26 o Current Document 演練事件12信息篡改事件12 HYPERLINK l bookmark28 o Current Document 拒絕服務(wù)14 HYPERLINK l bookmark30 o Current Document DNS 劫持15 HYPERLINK l bookma

4、rk32 o Current Document 惡意代碼17 HYPERLINK l bookmark34 o Current Document 第6章信息安全研究實驗室介紹 19滲透平臺19 HYPERLINK l bookmark36 o Current Document 靶機(jī)平臺20 HYPERLINK l bookmark38 o Current Document 監(jiān)控平臺21 HYPERLINK l bookmark44 o Current Document 第7章方案優(yōu)勢和特點 23 HYPERLINK l bookmark46 o Current Document 實驗室優(yōu)勢23

5、 HYPERLINK l bookmark48 o Current Document 實驗室特點24 HYPERLINK l bookmark50 o Current Document 安全研究能力 24 HYPERLINK l bookmark52 o Current Document 培訓(xùn)服務(wù)及認(rèn)證 25第8章電子政務(wù)網(wǎng)站檢測案例錯誤！未定義書簽。 HYPERLINK l bookmark64 o Current Document 第9章實驗室建設(shè)建議 27 HYPERLINK l bookmark66 o Current Document 實驗室建設(shè)步驟 27 HYPERLINK l b

6、ookmark68 o Current Document 實驗室設(shè)備清單 28第1章綜述為滿足電信、軍工、航天、網(wǎng)監(jiān)、教育等行業(yè)對信息安全人才培養(yǎng)、攻防演練、安全研究等需求， 北京天融信科技有限公司基于虛擬化技術(shù)開發(fā)了安全實訓(xùn)系統(tǒng)，并以此系統(tǒng)為核心打造了信息安全實驗 室。以下是系統(tǒng)主要特點：? 通過虛擬化模板快速模擬真實系統(tǒng)環(huán)境通過融合虛擬網(wǎng)絡(luò)和真實物理網(wǎng)絡(luò)，簡單拖拽即可快速搭建模擬業(yè)務(wù)系統(tǒng)環(huán)境，并在拓?fù)浼芭渲贸?現(xiàn)問題時，方便快速恢復(fù)。多種虛擬化主機(jī)和網(wǎng)絡(luò)模板網(wǎng)絡(luò)拓?fù)渌娂此猛献Ｊ胶驼鎸嵉木W(wǎng)絡(luò)可互通整體測試環(huán)境可快速恢復(fù)通過監(jiān)控平臺可實時觀察測試情況可通過實訓(xùn)系統(tǒng)監(jiān)控平臺、在線或遠(yuǎn)程的方

7、式對所模擬的網(wǎng)絡(luò)測試環(huán)境進(jìn)行監(jiān)控。? 監(jiān)控主機(jī)服務(wù)、進(jìn)程及資源狀態(tài)? 監(jiān)控網(wǎng)絡(luò)協(xié)議? 定義和捕獲攻擊行為? 針對攻擊行為報警第2章實驗室需求分析隨著互聯(lián)網(wǎng)、專用網(wǎng)絡(luò)化信息系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的普及，網(wǎng)絡(luò)與信息安全已成為關(guān)系到國家政治、 國防、社會的重要問題，它對培養(yǎng)具有網(wǎng)絡(luò)信息安全知識、應(yīng)用提出了更高要求。人才需求近年來，信息技術(shù)已在人類的生產(chǎn)生活中發(fā)揮至關(guān)重要的作用，隨之而來的信息安全問題也已成為 關(guān)系國家安全、經(jīng)濟(jì)發(fā)展和社會穩(wěn)定的關(guān)鍵性問題。但由于國內(nèi)專門從事信息安全工作技術(shù)人才嚴(yán)重短 缺，阻礙了我國信息安全事業(yè)的發(fā)展。攻防需求隨著信息安全的日益發(fā)展，網(wǎng)絡(luò)新型攻擊和病毒形式日益惡化，因此以安

8、全運維、快速響應(yīng)為目標(biāo), 以信息網(wǎng)絡(luò)技術(shù)為主要手段，提高在網(wǎng)絡(luò)空間開展信息監(jiān)察、預(yù)防、提高突發(fā)事件的處理能力。研究需求以行業(yè)信息化、網(wǎng)絡(luò)安全、保密為主要出發(fā)點、重點研究信息管理和安全應(yīng)用，建設(shè)新技術(shù)開發(fā)與 驗證平臺，研究信息安全取證、破譯、解密等技術(shù)。并負(fù)責(zé)對電子數(shù)據(jù)證據(jù)進(jìn)行取證和技術(shù)鑒定。第3章實驗室概述實驗室網(wǎng)絡(luò)結(jié)構(gòu)信息安全檢測研究平臺（TopsecCP ）? 信息安全培訓(xùn)平臺（TopsecSP）:是通過多臺專用信息安全虛擬化設(shè)備，虛擬出信息安全所需的場景，例如WEB攻防平臺、應(yīng)用攻防平臺、威脅分析平臺、數(shù)據(jù)挖掘平臺、基線掃描平臺、漏洞分析平臺、 木馬分析平臺等等。同時系統(tǒng)提供相實驗指導(dǎo)書

9、和實驗環(huán)境場景。? 信息安全研究平臺 （TopsecCP）:是通過智能信息安全靶機(jī)系統(tǒng)、信息安全智能滲透系統(tǒng)和信息安全監(jiān)控系統(tǒng)實現(xiàn)紅、藍(lán)對戰(zhàn)實戰(zhàn)。并對實戰(zhàn)過程進(jìn)行監(jiān)控，實現(xiàn)測試過程和結(jié)果動態(tài)顯示。?實驗室設(shè)備接入?yún)^(qū)：是能夠滿足用戶在演練和實戰(zhàn)時通過接入特殊設(shè)備來完成用戶自定義的實驗需求，例如小型機(jī)，無線、射頻等通過虛擬化技術(shù)無法完成的設(shè)備。?測試、培訓(xùn)、研究和管理區(qū)：相關(guān)人員通過B/S做培訓(xùn)、研究和管理所用。? 遠(yuǎn)程接入?yún)^(qū)：能夠滿足用戶通過遠(yuǎn)程接入到信息安全實驗室內(nèi)，進(jìn)行7*24小時的測試和研究。實驗室典型配置針對實驗室對模擬網(wǎng)絡(luò)環(huán)境多樣性的要求，以下是信息安全研究實驗室典型結(jié)構(gòu):信息安全實驗

10、室示意圖信息安全實驗室能夠模擬：業(yè)務(wù)系統(tǒng)出口安全區(qū)域、DMZ安全區(qū)域、內(nèi)網(wǎng)接入安全區(qū)域、以及安全研究專區(qū)，這些模擬環(huán)境已經(jīng)涵蓋了目前所有企事業(yè)單位的大部分安全單元。在擁有豐富且全面的網(wǎng)絡(luò)實驗環(huán)境的基礎(chǔ)上，相關(guān)人員還能接觸到大部分市場上主流的網(wǎng)絡(luò)安全設(shè)備。實驗設(shè)備要涵蓋傳統(tǒng)的網(wǎng)絡(luò)防火墻、VPN網(wǎng)關(guān)、IPS、IDS、防病毒網(wǎng)關(guān)與流量控制網(wǎng)關(guān)等。在原有基礎(chǔ)網(wǎng)絡(luò)實驗室的基礎(chǔ)上通過增加以下設(shè)備來完成信息安全實驗室的搭建:信息安全實驗室設(shè)備（每組）設(shè)備類別設(shè)備名稱數(shù)量單位備注流量整形網(wǎng)關(guān)TopFlow1臺防火墻NGFW-40001臺USG網(wǎng)關(guān)許可TopRules4臺入侵檢測引擎TopIDP2套實驗室實訓(xùn)系

11、統(tǒng)Topsec-CP1臺實驗室研究系統(tǒng)Topsec-SP1臺網(wǎng)絡(luò)安全管理設(shè)備實驗室管理系統(tǒng)實驗室管理系統(tǒng)TopNM1臺第4章攻防演練系統(tǒng)系統(tǒng)介紹4.1攻防演練系統(tǒng)系統(tǒng)概述攻防演練系統(tǒng)系統(tǒng)產(chǎn)品是北京天融信科技有限公司（以下簡稱TOPSEC）對于安全人才培養(yǎng)、攻防演練、安全研究的等需求專門設(shè)計開發(fā)的產(chǎn)品。攻防演練系統(tǒng)系統(tǒng)（簡稱 TOPSEC-CP）,根據(jù)我們多年來對信息安全趨勢的把握，同時分析企事業(yè) 單位對人才培養(yǎng)及安全崗位技能需求的基礎(chǔ)上，參考大量優(yōu)秀的、應(yīng)用廣泛的信息安全教材，TOPSEC提供了一套全面、專業(yè)、成熟且可擴(kuò)展的攻防演練系統(tǒng)系統(tǒng)。TOPSEC-CP系列產(chǎn)品以理論學(xué)習(xí)為基礎(chǔ)，結(jié) 合最

12、全面最專業(yè)的實訓(xùn)，增加技術(shù)人員對信息安 全諸多領(lǐng)域的深入理解，為技術(shù)人員提供堅實的 技術(shù)基礎(chǔ)。TOPSEC攻防演練系統(tǒng)系統(tǒng)提供多個 方面的實驗、實訓(xùn)及工程實踐，涵蓋多層次的實 驗操作，以真實環(huán)境的真實案例為操作指南，貼 近實際崗位能力要求。同時，配有強(qiáng)大的實驗管 理系統(tǒng)，能夠為信息安全教學(xué)、攻防演練、安全 研究提供一個完整的、一體化的實驗教學(xué)環(huán)境。此外，北京天融信科技有限公司可與企事業(yè)單位從實驗室建設(shè)、課題研發(fā)、培訓(xùn)認(rèn)證等方面進(jìn)行全方位合作。天融信“攻防演練系統(tǒng)系統(tǒng)”（簡稱TOPSEC-CP）,依托于不同的課件和展示內(nèi)容，可以應(yīng)用于學(xué)校、軍隊、政府、企業(yè)等各行業(yè)，是國內(nèi)乃至國際最好的虛擬化學(xué)習(xí)

13、和研究系統(tǒng)。TOPSEC-CP系統(tǒng)參考信息安全類專業(yè)教學(xué)指導(dǎo)委員會制定的信息安全類專業(yè)知識結(jié)構(gòu)及能力要求, 并聯(lián)合開發(fā)了八大類信息安全課程體系，覆蓋了多個方面的信息安全教學(xué)內(nèi)容，包括實驗原理、教學(xué)虛 擬化環(huán)境、實驗指導(dǎo)書，技術(shù)人員可以自主學(xué)習(xí)實驗，進(jìn)行實驗驗證與應(yīng)用，并進(jìn)行信息安全綜合分析 及自主設(shè)計，實現(xiàn)多層次的實驗操作。PKI (LI：PME*研學(xué)與曲用m133虎廊宜十.D號幅回總磯篇由卅fS；!t 2,自天希聞安鈉注描(*)Me(uj：XqYr ,5方,Hl至歸*金牛啕配工耳弟;：jIQ附悻使圉J1君亨泰印縣中m式出播=，1臨L；,塾緊牝自外加(4)濯代明量空號當(dāng)宓市計行)S3我用明IS

14、第：牌3,犯口卻守干曜出門1：UNIX/ UKUXiiH ,機(jī)而：wi nd *3 Ei中的葉由周廣 E4.2攻防演練系統(tǒng)系統(tǒng)體系信息安全虛擬化實訓(xùn)系統(tǒng)體系包括：實驗平臺、實驗內(nèi)容和培訓(xùn)體系，提供實驗工具管理、實驗內(nèi)容管理、虛寸化調(diào)用 APT等多種擴(kuò)展接口，方便各行業(yè)定制添加培訓(xùn)時候所需的實驗。如圖所示:心一電也金把調(diào)星riil也嗖Ue-JI|：1#|CKMC二幺培訓(xùn)妄士r氏. f玷川二混事5H股計劃，qir.住 n kI/占安衛(wèi)次 JiiW信也安全，嘏31.地噎枯m客如江也時金巾此千育安三bQ”上二星實M 千白守握哲理 “實廢AJ)募瞿皆世得通用白看If共睦*廨U化通*朋韋話 .,毛線至T孟

15、育4理機(jī)-劣我器“防生埼，mt、mH一體化的實TOPSEC-CP配有強(qiáng)大的實訓(xùn)系統(tǒng)，能夠為信息安全培訓(xùn)、教學(xué)及科研提供一個完整的、驗環(huán)境，從而打造出全方位的專業(yè)信息安全實驗室。第5章 信息安全演練平臺介紹信息安全演練平臺是北京天融信有限公司在全國首創(chuàng)，推出的業(yè)內(nèi)第一款演練平臺，其獨創(chuàng)性取得 了用戶的一致好評。北京天融信有限公司公司于2012年推出的新一代演練平臺，目前，演練平臺在全國擁有廣泛的用戶群體，已經(jīng)在各類企業(yè)、學(xué)校實施，產(chǎn)品功能穩(wěn)定，性能卓越，受到了廣大用戶的熱烈 好評。北京天融信科技有限公司所開發(fā)的信息安全演練平臺，已納入常見的攻擊實驗，可方便用戶將攻防 演練變成一種常態(tài)化的工作，同

16、時，系統(tǒng)也可以快速自定義攻防演練的場景，已滿足各種用戶不同的需 求。5.1應(yīng)急響應(yīng)流程緊急安全事件的處理過程，可以遵循以下流程執(zhí)行:發(fā)現(xiàn)攻擊事件圖5.1安全事件應(yīng)急響應(yīng)流程5.2演練事件? 信息篡改：模擬針對中央系統(tǒng)某網(wǎng)站首頁篡改事件的監(jiān)控和處理。? 拒絕服務(wù)：模擬從外部發(fā)起的針對某網(wǎng)站的拒絕服務(wù)攻擊事件的監(jiān)控和處理。? 惡意代碼攻擊：模擬內(nèi)網(wǎng)某服務(wù)器感染惡意代碼后的監(jiān)控和處理。? DNS劫持：本次演練主要模擬某 DNS服務(wù)器的權(quán)威解析記錄被篡改事件的發(fā)現(xiàn)和處理。5.3.1信息篡改事件場景描述信息篡改是指未經(jīng)授權(quán)將信息系統(tǒng)中的信息更換為攻擊者所提供的信息而導(dǎo)致的信息安全事件，網(wǎng) 頁篡改是最常見

17、的信息篡改事件。網(wǎng)頁篡改一般分三種方式：部分網(wǎng)站服務(wù)器頁面被篡改、全部網(wǎng)站服 務(wù)器頁面被篡改、網(wǎng)站動態(tài)內(nèi)容被篡改等。本次應(yīng)急演練主要模擬中央系統(tǒng)中某網(wǎng)站首頁遭到篡改時的事件處理。頁面篡改安全事件，是指通 過外部或內(nèi)部非正常途徑，如利用 Web應(yīng)用服務(wù)漏洞或 Web服務(wù)器系統(tǒng)漏洞，獲得相應(yīng)的權(quán)限替換中央系統(tǒng)WWW服務(wù)器頁面（靜態(tài)頁面）的事件。本次演練模擬的網(wǎng)站拓?fù)洵h(huán)境如下:阿絡(luò)捷量力點最蛀攻擊方演練環(huán)境介紹編號設(shè)備名稱設(shè)備用途設(shè)備系統(tǒng)/軟件版本IP地址備注1攻擊方作為演練 的攻擊設(shè) 備操作系統(tǒng)說明：Windows 2000 server 或 windows2003 server操作系統(tǒng)。192.

18、 168. 2. 3安裝相關(guān)的攻擊 工具。可以用攻擊 方的筆記本實現(xiàn)。防御方演練環(huán)境介紹.防御方演練環(huán)境介紹.編號設(shè)備名稱設(shè)備用途設(shè)備系統(tǒng)/軟件版本IP地址備注1三層交換機(jī)主要用于網(wǎng) 絡(luò)連接和訪 問控制。三層交換機(jī)192.168.0. 12防火墻Pix 525阻斷攻擊 者。防火墻應(yīng)能針對IP、端 口設(shè)置訪問控制策略。192.168.1 . 1192.168.2. 13web服務(wù)器為被攻擊設(shè) 備。操作系統(tǒng)：linux as 4應(yīng)用軟件：weblogic 9.2內(nèi)置 模擬 網(wǎng)頁4Windows 主機(jī) 1安全監(jiān)控用安裝網(wǎng)絡(luò)部提供的網(wǎng) 站異常監(jiān)控軟件，具備 顯示器5Windows 主機(jī) 2安全監(jiān)控用安

19、裝網(wǎng)絡(luò)部提供的域 名系統(tǒng)監(jiān)控軟件，具備 顯示器準(zhǔn)備階段1、對WWW網(wǎng)站靜態(tài)頁面進(jìn)行備份。2、準(zhǔn)備系統(tǒng)的基本快照。攻擊階段1、攻擊者通過掃描發(fā)現(xiàn)，WWW網(wǎng)站的服務(wù)器使用 weblogic的默認(rèn)管理頁面對外開放，同時存在默認(rèn)的登陸口令( weblogic/weblogic )。2、攻擊者通過弱口令登陸后，替換 WWW網(wǎng)站的首頁。監(jiān)測階段使用監(jiān)控組自主開發(fā)的“網(wǎng)站監(jiān)控軟件”，定時輪詢方式檢查頁面的變化情況，發(fā)現(xiàn)頁面被篡改；處理階段1、進(jìn)行系統(tǒng)臨時性恢復(fù)，迅速恢復(fù)系統(tǒng)被篡改的內(nèi)容；2、檢查問題服務(wù)器 WWW訪問日志、系統(tǒng)操作日志，確定篡改時間、IP及可能的手法； 3、分析系統(tǒng)日志(messages s

20、ulog、lastlog等)，確認(rèn)主機(jī)上有無異常權(quán)限用戶非法登陸，并記錄.其IP地址、登陸時間等信息;4、檢查weblogic應(yīng)用日志，發(fā)現(xiàn)有無異常;5、確定問題根源，修復(fù)問題。測試后上線；5.3.2拒絕服務(wù)場景描述拒絕服務(wù)攻擊事件是指利用信息系統(tǒng)缺陷、或通過暴力攻擊的手段，以大量消耗信息系統(tǒng)的CPU、內(nèi)存、磁盤空間或網(wǎng)絡(luò)帶寬等資源，從而影響信息系統(tǒng)正常運行為目的的信息安全事件。拒絕服務(wù)發(fā)起 時往往表現(xiàn)為cpu、內(nèi)存、帶寬等的高利用率，同時由于攻擊手法和形式的多樣性，造成對攻擊形式攻擊 特征分析帶來一定的難度。本次應(yīng)急演練主要模擬中研系統(tǒng)中WW網(wǎng)站遭受synflood拒絕服務(wù)攻擊時的事件處理。

21、本方案以web應(yīng)用為例，攻擊者向 Web端口發(fā)起synflood拒絕服務(wù)攻擊，表現(xiàn)在分布式的大量針對80端口的數(shù)據(jù)包，以耗盡web服務(wù)的最大連接數(shù)或者消耗數(shù)據(jù)庫資源為目的。準(zhǔn)備階段了解、總結(jié)日常Web訪問的流量特征攻擊階段針對80端口發(fā)送大量的synflood攻擊包。監(jiān)測階段使用監(jiān)控組自主開發(fā)的“網(wǎng)站監(jiān)控軟件”，定時輪詢方式檢查網(wǎng)站的訪問情況；通過輪詢軟件發(fā)現(xiàn)頁面訪問不可達(dá)。處理階段1、對web訪問連接，進(jìn)行分析。2、在web服務(wù)器上，查看cpu、內(nèi)存的負(fù)載及網(wǎng)絡(luò)流量等。3、在防火墻或網(wǎng)絡(luò)設(shè)備上配置訪問控制策略，限制或過濾發(fā)送源地址的訪問。5.3.3 DNS 劫持 場景描述主要模擬DNS服務(wù)器

22、的權(quán)威解析篡改事件。該DNS服務(wù)器由于對外開啟了 SSH (TCP/22)管理服務(wù)，同時系統(tǒng)上存在弱口令，攻擊者通過掃描得到系統(tǒng)口令，并進(jìn)一步登陸控制服務(wù)器，然后修改DNS區(qū)域記錄文件，實施DNS劫持攻擊。監(jiān)控人員通過 DNS Watch軟件監(jiān)測到域名解析異常，然后通知維護(hù)人員，維 護(hù)人員通過相關(guān)的事件處理，恢復(fù)正常的DNS業(yè)務(wù)。忐程昨擰af Hills攻擊方演練環(huán)境介紹編號設(shè)備名稱設(shè)備用途設(shè)備系統(tǒng)/軟件版本IP地址備注1攻擊方作為演練 的攻擊設(shè) 備操作系統(tǒng)說明：Windows 2000 server 或 windows2003 server 操 作系統(tǒng)。安裝相關(guān)的攻 擊工具?？梢?用攻擊方的

23、筆 記本實現(xiàn)。.防御方演練環(huán)境介紹.編號設(shè)備名稱設(shè)備用途設(shè)備系統(tǒng)/軟件版本IP地址備注1DNS服務(wù)器被攻擊的dns服務(wù)器操作系統(tǒng)：Solaris 9 應(yīng)用軟件：bind 9.2192. 168.2.8配置dns信息2Windows 主 機(jī)1安全監(jiān)控用安裝網(wǎng)絡(luò)部提供的網(wǎng) 站異常監(jiān)控軟件，具備 顯示器3Windows主機(jī)2安全監(jiān)控用安裝網(wǎng)絡(luò)部提供的域 名系統(tǒng)監(jiān)控軟件，具備 顯示器192. 168.2.44WINDOWSXP的終端1事件處理用用于事件處理的操作192. 168.2.55WINDOWSXP的終端2事件處理用用于事件處理的操作192. 168.2.6準(zhǔn)備階段1、對BIND軟件的配置文件等

24、重要靜態(tài)文件進(jìn)行備份;2、建立系統(tǒng)的快照。攻擊階段DNS服務(wù)器由于對外開啟了 SSH (TCP/22)管理服務(wù)，同時系統(tǒng)上存在弱口令，攻擊者通過掃 描得到系統(tǒng)口令，并進(jìn)一步登陸控制服務(wù)器，然后修改DNS區(qū)域記錄文件，實施 DNS劫持攻擊。監(jiān)測階段通過DNS域名解析監(jiān)控軟件(DNS Watch ),發(fā)現(xiàn)域名解析異常處理階段1、登錄DNS服務(wù)器，檢查投訴域名解析是否正常；檢查靜態(tài)配置是否正常，如發(fā)現(xiàn)異常，快速 恢復(fù)原有配置；2、登錄DNS服務(wù)器，檢查文件修改日志；檢查文件修改人；3、系統(tǒng)安全分析：確認(rèn)系統(tǒng)異常；4、確定問題根源，修復(fù)問題；5、測試，確保問題得到處理。5.3.4惡意代碼 場景描述主要

25、模擬某惡意攻擊者，利用系統(tǒng)的弱口令，利用Windows系統(tǒng)遠(yuǎn)程管理服務(wù) （TCP/3389）,獲得對服 務(wù)器的控制權(quán)限?？刂屏诉@臺服務(wù)器后，攻擊者有預(yù)謀的上傳了提前作好的自動化程序，開始一些列的破壞活動，包括 造成性能迅速下降，在被感染主機(jī)中安裝僵尸網(wǎng)絡(luò)客戶端，開放后門端口。為了確保惡意程序的運行，攻 擊者停止了服務(wù)器上的防病毒軟件。監(jiān)控人員及時發(fā)現(xiàn)服務(wù)器上的趨勢防病毒軟件服務(wù)停止，監(jiān)測到攻擊者的惡意行為，定位攻擊源并迅 速切斷其對網(wǎng)絡(luò)的訪問，維護(hù)人員對被影響的服務(wù)器進(jìn)行安全檢查，通過全面的分析和有效的措施，完全 控制并根除惡意行為，對事件進(jìn)行迅速控制并處理，保證了系統(tǒng)的有效運行。該病毒主要的

26、特征：1、打開異常端口進(jìn)行監(jiān)聽，開啟異常進(jìn)程；2、掃描其他服務(wù)器是否存在漏洞，對網(wǎng)絡(luò)造成異常流量;3、將惡意程序添加到自動運行；4、停止系統(tǒng)防病毒軟件的運行；監(jiān)揩I(xiàn)長善言攻擊方演練環(huán)境介紹編號設(shè)備名稱設(shè)備用途設(shè)備系統(tǒng)/軟件版本IP地址備注1攻擊方作為演練 的攻擊設(shè) 備操作系統(tǒng)說明：Windows 2000 server 或 windows2003 server 操作 系統(tǒng)。安裝相關(guān)的攻 擊工具?？梢?用攻擊方的筆 記本實現(xiàn)。編號設(shè)備名稱設(shè)備用途設(shè)備系統(tǒng)/軟件版本IP地址備注1Windows 服務(wù)器病毒程序感 染的服務(wù)器提供安裝 Windows Server服務(wù)器。192. 168.2.8病毒事

27、件模擬用2Windows 主 機(jī)1安全監(jiān)控用安裝網(wǎng)絡(luò)部提供的網(wǎng)站異 常監(jiān)控軟件，具備顯示器3Windows 主 機(jī)2安全監(jiān)控用安裝網(wǎng)絡(luò)部提供的域名系 統(tǒng)監(jiān)控軟件，具備顯示器192. 168.2.44WINDOWSXP的終端1事件處理用用于事件處理的操作192. 168.2.55WINDOWSXP的終端2事件處理用用于事件處理的操作192. 168.2.6準(zhǔn)備階段1、安裝McAfee殺毒軟件；2、對系統(tǒng)進(jìn)程進(jìn)行快照，以便快捷的找出可疑進(jìn)程;攻擊階段通過掃描發(fā)現(xiàn)系統(tǒng)對外開放了3389端口，管理員administrator并存在弱口令，通過系統(tǒng) Windows遠(yuǎn)程終端管理服務(wù)（TCP/3389）,安

28、裝惡意軟件，破壞系統(tǒng)。監(jiān)測階段通過登陸發(fā)現(xiàn)，McAfee防病毒軟件沒有正常工作，判斷機(jī)器可能感染了惡意程序。處理階段1、設(shè)備隔離：拔掉網(wǎng)線；2、在問題主機(jī)上，確定惡意代碼特征：進(jìn)程、端口等，通常以任務(wù)管理器和netstat -na查看進(jìn)程和端口的綁定情況，分析出異常的端口或者進(jìn)程；3、清除惡意代碼，一般先停止惡意進(jìn)程，同時將其相關(guān)文件刪除；4、對操作系統(tǒng)進(jìn)行安全加固（修改弱口令） ；5、對系統(tǒng)進(jìn)行全面殺毒，開啟殺毒軟件實時安全防護(hù)功能；6、恢復(fù)應(yīng)用系統(tǒng)，系統(tǒng)上線；.第6章 信息安全研究實驗室介紹信息安全研究實驗室由滲透平臺、靶機(jī)平臺、監(jiān)控平臺三部分組成。I! i 垂成T 口K三袋的合善一端實驗

29、室智能滲透平臺集成Windows、Windows Server、Linux、BT5等系統(tǒng)以及端口掃描，WEB腳本、跨站攻擊，SQL注入，緩沖區(qū)溢出，拒絕服務(wù)攻擊，欺騙攻擊，口令破解等攻擊手段和工具。滲透系統(tǒng)分為四個級別：第一級別使用BT5、Windows系統(tǒng)、Linux系統(tǒng)為攻擊平臺，使用傀儡主機(jī)、代理服務(wù)器對靶機(jī)系統(tǒng)進(jìn)行攻擊。第二級別使用BT5、Windows系統(tǒng)、Linux系統(tǒng)為攻擊平臺，使用破解工具、注入工具對靶機(jī)系統(tǒng)進(jìn)行攻擊。第三級別使用BT5、Windows系統(tǒng)、Linux系統(tǒng)為攻擊平臺，使用掃描工具、滲透工具對靶機(jī)系統(tǒng)進(jìn)行攻擊。第四級別 使用BT5、Windows系統(tǒng)、Linux系

30、統(tǒng)為攻擊平臺，使用各種攻擊工具對靶機(jī)系統(tǒng)進(jìn)行攻擊。靶機(jī)平臺模擬網(wǎng)絡(luò)環(huán)境中的被攻擊目標(biāo)，包括 Windows、Windows Server、Linux、Unix等類型的主機(jī)系統(tǒng)，同時里面含有豐富的中間件和數(shù)據(jù)庫，中間件包括IIS、Apache、weblogic、websphere Nginx等，數(shù)據(jù)庫包括MSSQL、Mysql、Oracle、ACCESS、Sybase等，可以加載需要研究網(wǎng)絡(luò)環(huán)境的真實網(wǎng)絡(luò)拓?fù)?，如電子政?wù)系統(tǒng)等。針對系統(tǒng)本身存在的漏洞、管理權(quán)限的設(shè)定來進(jìn)行研究，真實的反應(yīng)出網(wǎng)絡(luò)環(huán)境中系統(tǒng)及應(yīng)用被攻 破的動態(tài)過程，利于進(jìn)一步提高現(xiàn)網(wǎng)的網(wǎng)絡(luò)安全。 WMMB，白B NMtMMkMCMW

31、H04.u3A-HU*1JniQK554MM + LX巾KfiMHoFXRHMIBMMG*II.V 口O是am算itaiFi-taQMO-1INJ*“電士事M4JMMJ.;aonX11一MIovikLli,LEf4*0正Wje xn置智能靶機(jī)系統(tǒng)包括：金牌靶機(jī)，銀牌靶機(jī)，銅牌靶機(jī)，誘騙靶機(jī)四個級別，同時可模擬真實的網(wǎng)絡(luò) 環(huán)境。? 金牌靶機(jī)模擬網(wǎng)絡(luò)中的主機(jī)操作系統(tǒng)，包括Windows主機(jī)系統(tǒng)、 Windows Server系統(tǒng)、Linux系統(tǒng)、Unix系統(tǒng)，提供可定制的虛擬攻擊目標(biāo)，提供相應(yīng)的攻防所需要的權(quán)限和漏洞用來進(jìn)行掃描和滲透，模擬真實 網(wǎng)絡(luò)環(huán)境，以交互方式體現(xiàn)網(wǎng)絡(luò)攻擊和防御實戰(zhàn)過程。?

32、銀牌靶機(jī)銀牌靶模擬網(wǎng)絡(luò)中的應(yīng)用服務(wù)器，包括數(shù)據(jù)庫靶機(jī)系統(tǒng)、web服務(wù)器靶機(jī)系統(tǒng)等應(yīng)用服務(wù)器系統(tǒng)，提供可定制的虛擬攻擊目標(biāo)，提供相應(yīng)的攻防所需要的漏洞用來進(jìn)行掃描和滲透，模擬真實網(wǎng)絡(luò)環(huán)境， 以交互方式體現(xiàn)網(wǎng)絡(luò)攻擊和防御實戰(zhàn)過程。? 銅牌靶機(jī)銅牌靶模擬網(wǎng)絡(luò)中的應(yīng)用服務(wù)器，包括郵件靶機(jī)系統(tǒng)、文件服務(wù)器靶機(jī)系統(tǒng)等應(yīng)用服務(wù)器系統(tǒng)，提 供可定制的虛擬攻擊目標(biāo)，提供相應(yīng)的攻防所需要的漏洞用來進(jìn)行掃描和滲透，模擬真實網(wǎng)絡(luò)環(huán)境，以 交互方式體現(xiàn)網(wǎng)絡(luò)攻擊和防御實戰(zhàn)過程。? 誘騙靶機(jī)誘騙靶機(jī)系統(tǒng)模擬網(wǎng)絡(luò)中的蜜罐服務(wù)器，包括各種主機(jī)系統(tǒng)和應(yīng)用服務(wù)器系統(tǒng)，提供可定制的虛擬 攻擊目標(biāo)，提供相應(yīng)的攻防所需要的漏洞用來進(jìn)行掃

33、描和滲透，模擬真實網(wǎng)絡(luò)環(huán)境，以交互方式體現(xiàn)網(wǎng) 絡(luò)攻擊和防御實戰(zhàn)過程監(jiān)控平臺實驗室監(jiān)控平臺可以記錄和禁止網(wǎng)絡(luò)活動，掃描當(dāng)前網(wǎng)絡(luò)的活動，監(jiān)視和記錄網(wǎng)絡(luò)的流量，根據(jù)定 義好的規(guī)則來過濾從主機(jī)網(wǎng)卡到網(wǎng)線上的流量，提供實時報警。監(jiān)控系統(tǒng)所能做到的不僅僅是記錄事件， 它還可以確定事件發(fā)生的位置。通過追蹤來源，可以更多的了解攻擊者。不僅可以記錄下攻擊過程，同 時也有助于確定應(yīng)用方案。 “H通過與滲透平臺、靶機(jī)平臺的聯(lián)動可以實時的監(jiān)控整個攻擊過程，并根據(jù)設(shè)置的評分標(biāo)準(zhǔn)對整個攻擊過程的滲透主機(jī)進(jìn)行評分和排名，同時監(jiān)控平臺可以根據(jù)靶機(jī)系統(tǒng)的加固過程進(jìn)行評分和排名。e事不Whn 蜀事。揖glfi*回卜M4】III-

34、* J1徜v f-父 T W fr irl nl 戶：E- H 】Hh-U2Ts片41閨b產(chǎn)蛾I JE.1S ir Rg】理LO lwErr了二0 國二/清!t(x!-rep.| 他 19k |F H皿 |.1L IEgi.S-a-jhYi?-1u -J4- iL|；-M-fa，l：E* - T- - IRAM-J 1LM卜卜丁Kl If a iMin4iX-加，卬F?T*；HI： i7 ：*-*T ildifll l D!H 2HE-2S BlBTlfflItI4.1K 1科m博工所E區(qū)2E(，時陷.h 1 讓:!? Ill淵 i U!MF!TS,l，tT祝闋黑MM前稔鐘M；：1*倒 事屆;

35、#-5力網(wǎng)II!H3412-H：11: 11：4I.fiLlHW.H陷 L*K 13Trr-*r 哂 dhiri *甲 i加拓用 jraii,-l-rI電總”閹m m加3制的行irm；m；* 片i g “； ；慎 川!tt 3-Q2-K卜in,K 時 nlis, M. 9T.巾7l:tfalTIfElt M ibirlj#11. d* gW一霏 曲不曲r11 rIW1m ll is.n：Mh*TrrciM： *i*iii；a .C WE-!t1 i i-IK. Ift IV 】依H L 時月西方Ri朝如旭郡后 TH第7章方案優(yōu)勢和特點實驗室優(yōu)勢提供多種模式課件實驗室為計算機(jī)及網(wǎng)絡(luò)安全研究提供多

36、模式的安全課件，能夠模擬軍工、公安、政府、醫(yī)療、能 源等多種網(wǎng)絡(luò)環(huán)境，能夠進(jìn)行各種安全威脅的實際操作，針對不同的攻擊防御模式，提供多種實驗課 件選擇。開放式的平臺共建系統(tǒng)提供題庫管理、內(nèi)容管理等多種擴(kuò)展接口，方便單位定制添加已有實驗，同時支持合作方式 對平臺的二次開發(fā)。全程自主操作的攻防模擬信息安全實驗室的全部課件均是將安全理論與實際環(huán)境和動手操作相結(jié)合的實驗課程，所有的實驗過程中，都需要通過實際動手進(jìn)行實驗操作，完成課件要求的安全威脅攻擊以及針對該攻擊的安全 防御措施。通過不同的實驗課程讓相關(guān)人員親身體驗計算機(jī)及網(wǎng)絡(luò)安全的攻防全過程，可以極大的提 升相關(guān)人員的安全意識，進(jìn)一步提高對網(wǎng)絡(luò)安全的

37、防范意識。真實的研究環(huán)境目標(biāo)網(wǎng)絡(luò)、操作系統(tǒng)、漏洞均模擬現(xiàn)網(wǎng)的真實環(huán)境，入侵、防護(hù)過程完全真實。并非像一些實驗系統(tǒng)只能模擬輸出既定的結(jié)果，貼近實際。模塊化可獨立部署或融合部署：可單獨接入終端機(jī)器進(jìn)行安全實驗，更可配合天融信實驗室優(yōu)化版的各類產(chǎn)品，例如防火墻、UTM統(tǒng)一威脅管理系統(tǒng)、IDS入侵檢測系統(tǒng)、內(nèi)網(wǎng)安全管理系統(tǒng)、交換機(jī)、路由器、接入認(rèn)證系統(tǒng)等基礎(chǔ)安全及網(wǎng)絡(luò)實驗室模塊組合成為真實攻防的全局環(huán)境中。Strp by sBp主檢拇舁力Mfk蜜金片端的人士也，i匕因理步出譚利自庠文可用*戶左電白 關(guān)里域 染GJ哈景實驗室特點Windows 系歹U、完整性實驗室平臺體系涉及社會工程學(xué)、密碼學(xué)、病毒學(xué)、

38、主機(jī)安全、操作系統(tǒng)安全（包括Linux、Unix、BT5等）、網(wǎng)絡(luò)基礎(chǔ)、網(wǎng)絡(luò)攻防、容災(zāi)備份、無線安全等方面。實踐性理論與實踐操作緊密、完美的融合。實驗操作中應(yīng)用的方法與技能可直接應(yīng)用到實際環(huán)境中，實驗 環(huán)境與實際環(huán)境的差異性大大的縮小。與此同時，本系統(tǒng)可以實現(xiàn)同主流設(shè)備的無縫結(jié)合，增強(qiáng)實驗室 應(yīng)用性建設(shè)，提高單位的設(shè)備利用率。先進(jìn)性實驗室采用“進(jìn)階式”設(shè)計，實驗內(nèi)容難度由淺入深，實驗類型又驗證到設(shè)計，實驗對象層次由低 到高；實驗教程采用“多元化”理念，既可以提高單位培養(yǎng)相關(guān)人員的安全意識，又可以滿足單位研究 安全人員的實驗需求。擴(kuò)展性該系統(tǒng)允許單位根據(jù)研究需要，自主擴(kuò)充實驗內(nèi)容，設(shè)計實驗步驟，

39、制作實驗拓?fù)?，并可靈活地設(shè) 置和發(fā)布。力求打造實驗研究、管理、提高、演練四位一體的全方位實驗室系統(tǒng)。安全研究能力天融信公司已建成前沿安全研究中心、阿爾法實驗室、企業(yè)博士后流動站、美國安全分析實驗室、安全云服務(wù)中心五位一體的企業(yè)級安全感知系統(tǒng)，時刻感知網(wǎng)絡(luò)的風(fēng)云變化，幫助互聯(lián)網(wǎng)用戶及時了解 網(wǎng)絡(luò)威脅狀況，提升安全意識，及時防范網(wǎng)絡(luò)攻擊。安全研究安全服務(wù)通行戢前前但窗至卷型動而逅跖.景所安全 牖同分析,陽通技仲精任庫規(guī)則端可陰克. 1遍洞把明明刑、*上安至層建見n安凳 技術(shù)不死分折.手叫震朦代鑄分新研?r r 格室明班拄術(shù)柳克、騷汁氈向甥n.后意 代碼為W所.=馬書套法”一主要敢擔(dān)國寶各奧委會離門的技術(shù)主林并軋 行力，天融信已愛成前沿安因肝克中、；. 氽法實驗空，企業(yè)薜土后流動站、美a安全 分受領(lǐng)宣.安全云般我中心五位一體的企 場愛金腳系褊鞠M互聯(lián)網(wǎng)用戶及盯了 第叵格典卜優(yōu)比，捉斗支金更譙，及時快也、知靖吃.-r培訓(xùn)服務(wù)及認(rèn)證天融信可根據(jù)企事業(yè)單位的不同需求，對為用戶提供完整的實驗手冊，并能根據(jù)用戶的不同需求, 提供培訓(xùn)、認(rèn)證等服務(wù)。? 實驗手冊樣例T1SLAB工費，培訓(xùn)體系和證書樣例* * :京弋5叫”比t里*1內(nèi)原.沁地均，此.)天除信認(rèn)證安至工程師Topsec Certified Security Engineer天醴信認(rèn)證安全設(shè)計師Topsec Certified Secur