某學(xué)校信息安全實(shí)驗(yàn)室建設(shè)方案詳細(xì)

.../XXX學(xué)校信息安全實(shí)驗(yàn)室設(shè)計(jì)方案北京網(wǎng)御星云信息技術(shù)有限公司2014-03-30目錄一、概述-3-二、設(shè)計(jì)目的-4-三、總體架構(gòu)-4-3.1、所需軟硬件-5-3.2、培訓(xùn)-6-3.3、實(shí)驗(yàn)教材-6-3.4、產(chǎn)品報(bào)價(jià)-6-四、實(shí)驗(yàn)和演練-6-4.1、網(wǎng)御安全綜合網(wǎng)關(guān)技術(shù)實(shí)驗(yàn)-6-4.2、網(wǎng)御入侵檢測(cè)技術(shù)實(shí)驗(yàn)-7-4.3、網(wǎng)御漏洞掃描系統(tǒng)實(shí)驗(yàn)-7-一、概述隨著網(wǎng)絡(luò)的迅速發(fā)展及網(wǎng)絡(luò)在社會(huì)生活中的普及率越來越高,整個(gè)社會(huì)對(duì)于網(wǎng)絡(luò)安全的重視程度也開始大大增強(qiáng)。同時(shí)由于商業(yè)活動(dòng)越來越多地要依靠網(wǎng)絡(luò),大多數(shù)企業(yè)和公司都建立了自己的企業(yè)網(wǎng)絡(luò)并與互聯(lián)網(wǎng)相連,而如何有效地利用網(wǎng)絡(luò)同時(shí)又保證自己的重要信息不被他人利用網(wǎng)絡(luò)竊取則成為了各個(gè)公司不得不考慮的重要問題。然而在過去的一段時(shí)間,教育領(lǐng)域以教育體制改革為核心,進(jìn)行了院校合并、專升本、學(xué)員擴(kuò)招、新校區(qū)建設(shè)等等變革,實(shí)現(xiàn)了教育行業(yè)規(guī)模的擴(kuò)大,基本解決了社會(huì)對(duì)高學(xué)歷人才的供需矛盾,建立了院校自我積累、自我發(fā)展的健康發(fā)展機(jī)制。隨著我國(guó)信息化進(jìn)程的不斷推進(jìn),信息安全成為政府和企業(yè)廣泛關(guān)注的焦點(diǎn)的問題。在當(dāng)前大量病毒爆發(fā)和黑客入侵導(dǎo)致網(wǎng)絡(luò)威脅越來越多的嚴(yán)峻形勢(shì)下,許多企業(yè)和單位都急需專業(yè)信息安全人才,信息安全人才出現(xiàn)嚴(yán)重匱乏。信息安全,重在人才。然而,我國(guó)的網(wǎng)絡(luò)信息安全專業(yè)教育剛剛興起,培養(yǎng)的專業(yè)人才遠(yuǎn)遠(yuǎn)不能滿足社會(huì)需求。國(guó)內(nèi)一些知名高校普遍沒有設(shè)置該專業(yè)。中科院研究生院雖然設(shè)有網(wǎng)絡(luò)信息安全的研究生專業(yè),但研究生總?cè)藬?shù)不超過60名,且大部分人畢業(yè)后都選擇出國(guó),或者從事科研工作。由此,網(wǎng)絡(luò)信息安全人才供不應(yīng)求也就不足為奇了,以至于出現(xiàn)"做安全的很多,懂安全的卻很少"的狀況。校園網(wǎng)絡(luò)信息安全實(shí)驗(yàn)室正是在這種背景下應(yīng)運(yùn)而生。它隨著信息科學(xué)技術(shù)教育的發(fā)展而建立起來的,在教學(xué)和科研中的重要作用日益顯現(xiàn),是學(xué)校教學(xué)實(shí)驗(yàn)環(huán)節(jié)中最重要的組成部分之一。校園網(wǎng)絡(luò)信息安全實(shí)驗(yàn)室的建設(shè)水平、教學(xué)科研水平不僅反映出學(xué)校的辦學(xué)水平,而且對(duì)學(xué)生的學(xué)習(xí)、教師的教學(xué)也將產(chǎn)生巨大的影響。為了加快教育信息化建設(shè),提高學(xué)校的教學(xué)效率和學(xué)生的實(shí)際動(dòng)手能力,XXX學(xué)校決定建設(shè)一個(gè)信息安全實(shí)驗(yàn)室。實(shí)驗(yàn)室主要針對(duì)學(xué)校計(jì)算機(jī)、電子等涉及到網(wǎng)絡(luò)和網(wǎng)絡(luò)安全專業(yè)課程的本科生和研究生,旨在提高學(xué)生在網(wǎng)絡(luò)方面的知識(shí)、技能、管理和實(shí)際操作能力等,進(jìn)而把他們培養(yǎng)成具有專業(yè)的網(wǎng)絡(luò)安全技能,能夠直接進(jìn)行網(wǎng)絡(luò)安全設(shè)計(jì)、安裝、調(diào)試的技術(shù)型人才。二、設(shè)計(jì)目的模擬真實(shí)網(wǎng)絡(luò)架構(gòu),為信息安全學(xué)生提供加深個(gè)人安全意識(shí)、了解黑客攻擊思想與技巧,熟悉黑客攻防,熟悉并掌握安全防護(hù)設(shè)備的安裝和配置,進(jìn)行信息安全實(shí)驗(yàn)的場(chǎng)所。三、總體架構(gòu)本實(shí)驗(yàn)室的總體架構(gòu)分為三個(gè)組。以一組為例,信息安全實(shí)驗(yàn)室拓?fù)浣Y(jié)構(gòu)圖如下所示：3.1、所需軟硬件終端主機(jī)：X臺(tái),每組配備X/3臺(tái)。每組PC均配有超級(jí)終端/ssh客戶端/IE6.0以上瀏覽器等；路由器3臺(tái),每組安裝一臺(tái)。核心交換機(jī)3臺(tái),每組安裝一臺(tái)〔可劃分VLAN接入交換機(jī)6臺(tái),每組安裝1-3臺(tái)?！沧ⅲ焊鶕?jù)每組實(shí)驗(yàn)人員和二層交換機(jī)的接口數(shù)確定綜合安全網(wǎng)關(guān)：網(wǎng)御星云一體化安全網(wǎng)關(guān)3臺(tái)。包括防火墻、防病毒、VPN、入侵防御模塊。每組安裝一臺(tái)。入侵檢測(cè)：網(wǎng)御入侵檢測(cè)產(chǎn)品3臺(tái)。用于實(shí)時(shí)檢測(cè)入侵事件,每組安裝一臺(tái)。漏掃設(shè)備：網(wǎng)御漏洞掃描系統(tǒng)1臺(tái)。安裝于一臺(tái)主機(jī)上,用于對(duì)各組機(jī)器做漏洞掃描實(shí)驗(yàn)。黑客軟件：網(wǎng)上下載或網(wǎng)御星云提供黑客模擬軟件。3.2、培訓(xùn)為了更好的讓XXX學(xué)校教師利用信息安全實(shí)驗(yàn)室開展教學(xué)活動(dòng),交付產(chǎn)品后,結(jié)合附件：信息安全實(shí)驗(yàn),對(duì)教師進(jìn)行網(wǎng)御產(chǎn)品集中培訓(xùn)。3.3、實(shí)驗(yàn)教材針對(duì)信息安全實(shí)驗(yàn)室設(shè)計(jì)的實(shí)驗(yàn)示例,網(wǎng)御星云提供相關(guān)相關(guān)產(chǎn)品的使用手冊(cè)以及實(shí)驗(yàn)相關(guān)技術(shù)資料；3.4、產(chǎn)品報(bào)價(jià)四、實(shí)驗(yàn)和演練4.1、網(wǎng)御安全綜合網(wǎng)關(guān)技術(shù)實(shí)驗(yàn)配置一臺(tái)網(wǎng)御安全綜合網(wǎng)關(guān)〔包含防火墻、入侵防護(hù)、防病毒、VPV等模塊,每組的學(xué)生實(shí)驗(yàn)用機(jī)都安裝網(wǎng)御防火墻證書,學(xué)生可以通過GUI管理方式連接到防火墻上進(jìn)行相關(guān)內(nèi)容實(shí)際操作學(xué)習(xí)。

該實(shí)驗(yàn)主要是讓學(xué)生充分了解防火墻技術(shù)原理,熟悉和配置防火墻。在這個(gè)網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境中,學(xué)生可以掌握以下防火墻主要技術(shù)：防火墻的典型安裝與在網(wǎng)絡(luò)中的部署防火墻路由規(guī)則的設(shè)置防火墻工作方式的設(shè)置〔路由、NAT、透明、混合地址轉(zhuǎn)換〔NAT防火墻安全規(guī)則的設(shè)置DDoS攻擊模擬與網(wǎng)御DDoS防御實(shí)驗(yàn)各種訪問控制的規(guī)則設(shè)置流量控制等設(shè)置防火墻日志記錄分析入侵防護(hù)功能防病毒技術(shù)和原理IPSecVPN/PPTP\L2TP等VPN的原理和使用其他4.2、網(wǎng)御入侵檢測(cè)技術(shù)實(shí)驗(yàn)在網(wǎng)絡(luò)中配置一臺(tái)網(wǎng)御入侵檢測(cè)系統(tǒng),學(xué)生可以通過GUI管理方式連接到藍(lán)盾入侵檢測(cè)系統(tǒng)上進(jìn)行相關(guān)內(nèi)容實(shí)際操作學(xué)習(xí)。

該實(shí)驗(yàn)主要是讓學(xué)生充分了解入侵檢測(cè)技術(shù)原理,熟悉和配置常見的入侵檢測(cè)系統(tǒng)。

學(xué)生可以掌握以下入侵檢測(cè)主要技術(shù)：入侵檢測(cè)系統(tǒng)的典型安裝與在網(wǎng)絡(luò)中的部署入侵檢測(cè)系統(tǒng)的主要組成認(rèn)識(shí)入侵檢測(cè)系統(tǒng)的入侵信息的查看與分析自定義增加入侵特征模式入侵過程與常見的入侵手段其他4.3、網(wǎng)御漏洞掃描系統(tǒng)實(shí)驗(yàn)在網(wǎng)絡(luò)中配置一臺(tái)網(wǎng)御安全掃描系統(tǒng),學(xué)生可以通過GUI管理方式連接到網(wǎng)御安全掃描系統(tǒng)上進(jìn)行相關(guān)內(nèi)容實(shí)際操作學(xué)習(xí)。

該實(shí)驗(yàn)主要是讓學(xué)生充分了解漏洞到描技術(shù)原理,熟悉和配置常見的漏洞掃描系統(tǒng)。

學(xué)生可以掌握以下漏洞掃描主要技術(shù)：安全掃描系統(tǒng)的典型安裝與在網(wǎng)絡(luò)中的部署漏洞產(chǎn)生的原因以及解決方法安全掃描結(jié)果的查看與分析安全掃描系統(tǒng)的基本功能如何對(duì)網(wǎng)絡(luò)進(jìn)行安全評(píng)估服務(wù)如何利用網(wǎng)御安全掃描系統(tǒng)進(jìn)行模擬攻擊測(cè)試其他產(chǎn)品清單產(chǎn)品類型產(chǎn)品型號(hào)產(chǎn)品參數(shù)產(chǎn)品價(jià)格產(chǎn)品數(shù)量綜合安全網(wǎng)關(guān)PowerV6000-U1310基于專用多核處理器硬件架構(gòu),Web界面可顯示處理器核心數(shù)；至少配置4個(gè)千兆電口和一個(gè)擴(kuò)展插槽,最大吞吐量≥2.5Gbps,防病毒吞吐≥1Gbps,入侵防御吞吐≥2Gbps；并發(fā)連接數(shù)≥2,000,000,每秒新建連接數(shù)≥20,000；支持入侵防御功能模塊、病毒防護(hù)功能模塊、支持系統(tǒng)主要防護(hù)功能的統(tǒng)一化模版設(shè)置,模版分為高、中、低三個(gè)級(jí)別,分別對(duì)應(yīng)不同防護(hù)強(qiáng)度,可通過Web界面單擊選擇切換及通過外置按鍵一鍵切換；支持IPv4和IPv6雙棧協(xié)議下的上網(wǎng)行為管理,至少支持50種分類庫,1000萬級(jí)網(wǎng)址智能特征庫；支持透明、路由、混合三種工作模式18000入侵檢測(cè)系統(tǒng)N1200不少于4個(gè)10/100/1000M自適應(yīng)接口；最大檢測(cè)能力：不小于1000Mbps；最大并發(fā)TCP會(huì)話數(shù)：不小于120萬；可按源地址、目的地址、協(xié)議、事件類型、風(fēng)險(xiǎn)級(jí)別、時(shí)間范圍、地址范圍等條件靈活定義安全策略,實(shí)現(xiàn)安全策略的動(dòng)態(tài)調(diào)整；一臺(tái)探測(cè)器實(shí)體可基于監(jiān)聽網(wǎng)口虛擬成多個(gè)獨(dú)立的虛擬探測(cè)引擎；每個(gè)虛擬探測(cè)引擎可應(yīng)用不同的檢測(cè)和響應(yīng)策略；每個(gè)虛擬探測(cè)引擎支持多監(jiān)聽口并行數(shù)據(jù)采集,實(shí)現(xiàn)了在數(shù)據(jù)匯聚分析基礎(chǔ)上再進(jìn)行攻擊檢測(cè),解決了大流量環(huán)境引起的交換機(jī)鏡像丟包問題,以及單臂路由、TAP分流環(huán)境的會(huì)話還原問題；實(shí)時(shí)顯示網(wǎng)絡(luò)會(huì)話,并可隨時(shí)查看會(huì)話內(nèi)容或手動(dòng)切斷會(huì)話；支持對(duì)會(huì)話生成確認(rèn)時(shí)間和會(huì)話維持時(shí)間參數(shù)進(jìn)行調(diào)整,以優(yōu)化系統(tǒng)資源利用率,避免設(shè)備本身被拒絕服務(wù)攻擊；支持對(duì)引擎存活狀態(tài)、引擎運(yùn)行時(shí)間、CPU和內(nèi)存使用率、當(dāng)前監(jiān)測(cè)會(huì)話數(shù)、報(bào)文流量、檢測(cè)丟包數(shù)等的實(shí)時(shí)監(jiān)控和顯示。有超過100種報(bào)表模板,并可自定義報(bào)表；支持按時(shí)間、按周期自動(dòng)生成報(bào)表,并自動(dòng)上傳到指定的FTP服務(wù)器；34000漏洞掃描系統(tǒng)TS-SC10101U標(biāo)準(zhǔn)可上架設(shè)備,標(biāo)配6個(gè)電口、2個(gè)USB接口、1T以上SATA硬盤；單任務(wù)可掃描100個(gè)IP地址,單任務(wù)可并發(fā)掃描40IP。支持將多個(gè)已有策略合并成一個(gè)新策略,支持按CVE編號(hào)、CNNVD編號(hào)、CNCVE編號(hào)、Bugtraq編號(hào)、漏洞編號(hào)、漏洞名稱、影響平臺(tái)、簡(jiǎn)短描述、詳細(xì)描述、修補(bǔ)建議等信息進(jìn)行模糊檢索,方便用戶檢索掃描策略；支持各掃描策略按照多種模式顯示,包括：標(biāo)準(zhǔn)模式、危險(xiǎn)級(jí)別模式、操作系統(tǒng)模式、CVE模式；掃描對(duì)象應(yīng)支持服務(wù)器、客戶機(jī)、網(wǎng)絡(luò)打印機(jī)等；操作系統(tǒng)應(yīng)支持MicrosoftWindows9X/NT/2000/XP/2003/Vista/2008/7、SunSolaris、HPUnix、IBMAIX、IRIX、Linux、BSD等；網(wǎng)絡(luò)設(shè)備應(yīng)支持Cisco、3Com、Checkpoint