學校信息安全實驗室建設方案

XXX學校信息安全實驗室設計方案北京網(wǎng)御星云信息技術有限公司2014-03-30概述 錯誤 !未定義書簽。 錯誤 !未定義書簽。 錯誤 !未定義書簽。、所需軟硬件 錯誤 !未定義書簽。、培訓 錯誤 !未定義書簽。、實驗教材 錯誤 !未定義書簽。、產(chǎn)品報價 錯誤 !未定義書簽。 錯誤 !未定義書簽。、網(wǎng)御安全綜合網(wǎng)關技術實驗 錯誤 !未定義書簽。、網(wǎng)御入侵檢測技術實驗 錯誤 !未定義書簽。、網(wǎng)御漏洞掃描系統(tǒng)實驗 錯誤 !未定義書簽。概述隨著網(wǎng)絡的迅速發(fā)展及網(wǎng)絡在社會生活中的普及率越來越高，整個社會對于網(wǎng)絡安全的重視程度也開始大大增強。同時由于商業(yè)活動越來越多地要依靠網(wǎng)絡，大多數(shù)企業(yè)和公司都建立了自己的企業(yè)網(wǎng)絡并與互聯(lián)網(wǎng)相連， 而如何有效地利用網(wǎng)絡同時又保證自己的重要信息不被他人利用網(wǎng)絡竊取則成為了各個公司不得不考慮的重要問題。然而在過去的一段時間，教育領域以教育體制改革為核心，進行了院校合并、專升本、學員擴招、新校區(qū)建設等等變革，實現(xiàn)了教育行業(yè)規(guī)模的擴大，基本解決了社會對高學歷人才的供需矛盾，建立了院校自我積累、自我發(fā)展的健康發(fā)展機制。隨著我國信息化進程的不斷推進，信息安全成為政府和企業(yè)廣泛關注的焦點的問題。在當前大量病毒爆發(fā)和黑客入侵導致網(wǎng)絡威脅越來越多的嚴峻形勢下，許多企業(yè)和單位都急需專業(yè)信息安全人才，信息安全人才出現(xiàn)嚴重匱乏。信息安全，重在人才。然而，我國的網(wǎng)絡信息安全專業(yè)教育剛剛興起，培養(yǎng)的專業(yè)人才遠遠不能滿足社會需求。國內一些知名高校普遍沒有設置該專業(yè)。中科院研究生院雖然設有網(wǎng)絡信息安全的研究生專業(yè)，但研究生總人數(shù)不超過 60名，且大部分人畢業(yè)后都選擇出國，或者從事科研工作。由此，網(wǎng)絡信息安全人才供不應求也就不足為奇了，以至于出現(xiàn)“做安全的很多，懂安全的卻很少”的狀況。校園網(wǎng)絡信息安全實驗室正是在這種背景下應運而生。 它隨著信息科學技術教育的發(fā)展而建立起來的，在教學和科研中的重要作用日益顯現(xiàn)，是學校教學實驗環(huán)節(jié)中最重要的組成部分之一。校園網(wǎng)絡信息安全實驗室的建設水平、教學科研水平不僅反映出學校的辦學水平， 而且對學生的學習、 教師的教學也將產(chǎn)生巨大的影響。為了加快教育信息化建設， 提高學校的教學效率和學生的實際動手能力， XXX學校決定建設一個信息安全實驗室。 實驗室主要針對學校計算機、 電子等涉及到網(wǎng)絡和網(wǎng)絡安全專業(yè)課程的本科生和研究生，旨在提高學生在網(wǎng)絡方面的知識、技能、管理和實際操作能力等， 進而把他們培養(yǎng)成具有專業(yè)的網(wǎng)絡安全技能， 能夠直接進行網(wǎng)絡安全設計、安裝、調試的技術型人才。二、設計目的模擬真實網(wǎng)絡架構， 為信息安全學生提供加深個人安全意識、 了解黑客攻擊思想與技巧， 熟悉黑客攻防， 熟悉并掌握安全防護設備的安裝和配置， 進行信息安全實驗的場所。三、總體架構本實驗室的總體架構分為三個組。 以一組為例， 信息安全實驗室拓撲結構圖如下所示：

Internet學生實驗區(qū)、所需軟硬件終端主機：X臺，每組配備X/3臺。每組PC均配有超級終端/ssh客戶端/以上瀏覽器等；路由器3臺，每組安裝一臺。核心交換機3臺，每組安裝一臺（可劃分VLAN接入交換機6臺，每組安裝1-3臺。（注：根據(jù)每組實驗人員和二層交換機的接口數(shù)確定）綜合安全網(wǎng)關：網(wǎng)御星云一體化安全網(wǎng)關3臺。包括防火墻、防病毒、VPN入侵防御模塊。每組安裝一臺。入侵檢測：網(wǎng)御入侵檢測產(chǎn)品3臺。用于實時檢測入侵事件，每組安裝一臺。漏掃設備：網(wǎng)御漏洞掃描系統(tǒng)1臺。安裝于一臺主機上，用于對各組機器做漏洞掃描實驗。黑客軟件：網(wǎng)上下載或網(wǎng)御星云提供黑客模擬軟件。、培訓為了更好的讓XXX學校教師利用信息安全實驗室開展教學活動，交付產(chǎn)品后，結合附件：信息安全實驗，對教師進行網(wǎng)御產(chǎn)品集中培訓。、實驗教材針對信息安全實驗室設計的實驗示例，網(wǎng)御星云提供相關相關產(chǎn)品的使用手冊以及實驗相關技術資料；、產(chǎn)品報價四、實驗和演練、網(wǎng)御安全綜合網(wǎng)關技術實驗配置一臺網(wǎng)御安全綜合網(wǎng)關（包含防火墻、入侵防護、防病毒、vpv?模塊），每組的學生實驗用機都安裝網(wǎng)御防火墻證書，學生可以通過GUI管理方式連接到防火墻上進行相關內容實際操作學習。該實驗主要是讓學生充分了解防火墻技術原理，熟悉和配置防火墻。在這個網(wǎng)絡實驗環(huán)境中，學生可以掌握以下防火墻主要技術：防火墻的典型安裝與在網(wǎng)絡中的部署防火墻路由規(guī)則的設置防火墻工作方式的設置（路由、NAT透明、混合）地址轉換（NAT防火墻安全規(guī)則的設置DDoS$擊模擬與網(wǎng)御DDoS&御實驗各種訪問控制的規(guī)則設置流量控制等設置防火墻日志記錄分析入侵防護功能防病毒技術和原理IPSecVPN/PPTP\L2TP等VPN的原理和使用其他、網(wǎng)御入侵檢測技術實驗在網(wǎng)絡中配置一臺網(wǎng)御入侵檢測系統(tǒng)，學生可以通過GUI管理方式連接到藍盾入侵檢測系統(tǒng)上進行相關內容實際操作學習。該實驗主要是讓學生充分了解入侵檢測技術原理，熟悉和配置常見的入侵檢測系統(tǒng)。學生可以掌握以下入侵檢測主要技術：入侵檢測系統(tǒng)的典型安裝與在網(wǎng)絡中的部署入侵檢測系統(tǒng)的主要組成認識入侵檢測系統(tǒng)的入侵信息的查看與分析自定義增加入侵特征模式入侵過程與常見的入侵手段其他、網(wǎng)御漏洞掃描系統(tǒng)實驗GUI管理方式連接到網(wǎng)在網(wǎng)絡中配置一臺網(wǎng)御安全掃描系統(tǒng)，學生可以通過GUI管理方式連接到網(wǎng)該實驗主要是讓學生充分了解漏洞到描技術原理，熟悉和配置常見的漏洞掃描系統(tǒng)。學生可以掌握以下漏洞掃描主要技術：安全掃描系統(tǒng)的典型安裝與在網(wǎng)絡中的部署漏洞產(chǎn)生的原因以及解決方法安全掃描結果的查看與分析安全掃描系統(tǒng)的基本功能如何對網(wǎng)絡進行安全評估服務如何利用網(wǎng)御安全掃描系統(tǒng)進行模擬攻擊測試其他產(chǎn)品清單產(chǎn)品類型產(chǎn)品型號產(chǎn)品參數(shù)產(chǎn)品價格產(chǎn)品數(shù)量綜合安全網(wǎng)關PowerV6000-U1310基于專用多核處理器硬件架構,Web#面可顯示處理器核心數(shù)；至少配置4個千兆電口和一個擴展插槽，最大吞吐量），防病毒吞吐》IGbps,入侵防御吞吐）2Gbps；并發(fā)連接數(shù)學2,000,000,每秒新建連接數(shù)學20,000;支持入侵防御功能模塊、病毒防護功能模塊、支持系統(tǒng)主要防護功能的統(tǒng)一化18000

模版設置，模版分為高、中、低三個級別，分別對應不同防護強度，可通過Web#面單擊選擇切換及通過外置按鍵一鍵切換；支持IPv4和IPv6雙棧協(xié)議下的上網(wǎng)行為管理，至少支持50種分類庫，1000萬級網(wǎng)址智能特征庫；支持透明、路由、混合三種工作模式入侵檢測系統(tǒng)N1200不少于4個10/100/1000M自適應接口；最大檢測能力：不小于1000Mbps；最大并發(fā)TCP會話數(shù)：不小于120萬；可按源地址、目的地址、協(xié)議、事件類型、 風險級別、時間范圍、地址范圍等條件靈活定義安全策略，實現(xiàn)安全策略的動態(tài)調整；一臺探測器實體可基于監(jiān)聽網(wǎng)口虛擬成多個獨立的虛擬探測引擎；每個虛擬探測引擎可應用不同的檢測和響應策略；每個虛擬探測引擎支持多監(jiān)聽口并行數(shù)據(jù)采集，實現(xiàn)了在數(shù)據(jù)匯聚分析基礎上再進行攻擊檢測，解決了大流量環(huán)境引起的交換機鏡像丟包問題，以及單臂路由、TAP分流環(huán)境的會話還原問題； 實時顯示網(wǎng)絡會話，并可隨時查看會話內容或手動切斷會話；支持對會話生成確認時間和會話維持時間參數(shù)進行調整，以優(yōu)化系統(tǒng)資源利用率，避免設備本身被拒絕服務攻擊； 支持對引擎存活狀態(tài)、引擎運行時間、 CPlffl內存使用率、當前監(jiān)測會話數(shù)、報文流量、34000

檢測丟包數(shù)等的實時監(jiān)控和顯示。有超過100種報表模板，并可自定義報表； 支持按時間、按周期自動生成報表，并自動上傳到指定的FTP服務器；漏洞掃描系統(tǒng)TS-SC10101U標準可上架設備，標配6個電口、2個USB接口、1T以上SATA硬盤；單任務可掃描100個IP地址，單任務可并發(fā)掃描401Po支持將多個已有策略合并成一個新策略，支持按CV弱號、CNNV編號、CNCV編號、Bugtraq編號、漏洞編號、漏洞名稱、影響平臺、簡短描述、詳細描述、修補建議等信息進行模糊檢索，方便用戶檢索掃描策略；支持各掃描策略按照多種模式顯示，包括：標準模式、危險級別模式、操作系統(tǒng)模式、CVE莫式；掃描對象應支持服務器、客戶機、網(wǎng)絡打印機等；操作系統(tǒng)應支持MicrosoftWindows9X/NT/2000/XP/2003/Vista/2008/7 、SunSolaris、HPUnix、IBMAIX、IRIX、Linux、BSD等；網(wǎng)絡設備應支持 Cisco、3comCheckpoint、華為、Alcatel等主流廠商網(wǎng)絡設備；應用系統(tǒng)應支持數(shù)據(jù)庫（S