天融信攻防演練平臺(tái)及安全實(shí)驗(yàn)室建設(shè)方案-通用

天融信攻防演練平臺(tái)&安

全實(shí)驗(yàn)室建設(shè)方案北京天融信科技有限公司2013-04-19目錄第1章綜述錯(cuò)誤!未定義書(shū)簽。第2章實(shí)驗(yàn)室需求分析錯(cuò)誤!未定義書(shū)簽。人才需求錯(cuò)誤!未定義書(shū)簽。攻防需求錯(cuò)誤!未定義書(shū)簽。研究需求錯(cuò)誤!未定義書(shū)簽。第3章實(shí)驗(yàn)室概述錯(cuò)誤!未定義書(shū)簽。實(shí)驗(yàn)室網(wǎng)絡(luò)結(jié)構(gòu)錯(cuò)誤!未定義書(shū)簽。實(shí)驗(yàn)室典型配置錯(cuò)誤!未定義書(shū)簽。第4章攻防演練系統(tǒng)系統(tǒng)介紹錯(cuò)誤!未定義書(shū)簽。攻防演練系統(tǒng)系統(tǒng)概述錯(cuò)誤!未定義書(shū)簽。攻防演練系統(tǒng)系統(tǒng)體系錯(cuò)誤!未定義書(shū)簽。第5章信息安全演練平臺(tái)介紹錯(cuò)誤!未定義書(shū)簽。應(yīng)急響應(yīng)流程錯(cuò)誤!未定義書(shū)簽。演練事件錯(cuò)誤!未定義書(shū)簽。信息篡改事件錯(cuò)誤!未定義書(shū)簽。拒絕服務(wù)錯(cuò)誤!未定義書(shū)簽。DNS劫持錯(cuò)誤!未定義書(shū)簽。惡意代碼錯(cuò)誤!未定義書(shū)簽。第6章信息安全研究實(shí)驗(yàn)室介紹錯(cuò)誤!未定義書(shū)簽。滲透平臺(tái)錯(cuò)誤!未定義書(shū)簽。靶機(jī)平臺(tái)錯(cuò)誤!未定義書(shū)簽。監(jiān)控平臺(tái)錯(cuò)誤!未定義書(shū)簽。第7章方案優(yōu)勢(shì)和特點(diǎn)錯(cuò)誤!未定義書(shū)簽。實(shí)驗(yàn)室優(yōu)勢(shì)錯(cuò)誤!未定義書(shū)簽。實(shí)驗(yàn)室特點(diǎn)錯(cuò)誤!未定義書(shū)簽。安全研究能力錯(cuò)誤!未定義書(shū)簽。培訓(xùn)服務(wù)及認(rèn)證錯(cuò)誤!未定義書(shū)簽。第8章電子政務(wù)網(wǎng)站檢測(cè)案例錯(cuò)誤!未定義書(shū)簽。第9章實(shí)驗(yàn)室建設(shè)建議錯(cuò)誤!未定義書(shū)簽。實(shí)驗(yàn)室建設(shè)步驟錯(cuò)誤!未定義書(shū)簽。實(shí)驗(yàn)室設(shè)備清單錯(cuò)誤!未定義書(shū)簽。第1章綜述口為滿足電信、軍工、航天、網(wǎng)監(jiān)、教育等行業(yè)對(duì)信息安全人才培養(yǎng)、攻防演練、安全研究等需求，北京天融信科技有限公司基于虛擬化技術(shù)開(kāi)發(fā)了安全實(shí)訓(xùn)系統(tǒng)，并以此系統(tǒng)為核心打造了信息安全實(shí)驗(yàn)室。以下是系統(tǒng)主要特點(diǎn)：通過(guò)虛擬化模板快速模擬真實(shí)系統(tǒng)環(huán)境通過(guò)融合虛擬網(wǎng)絡(luò)和真實(shí)物理網(wǎng)絡(luò)，簡(jiǎn)單拖拽即可快速搭建模擬業(yè)務(wù)系統(tǒng)環(huán)境，并在拓?fù)浼芭渲贸霈F(xiàn)問(wèn)題時(shí)，方便快速恢復(fù)。多種虛擬化主機(jī)和網(wǎng)絡(luò)模板通過(guò)監(jiān)控平臺(tái)可實(shí)時(shí)觀察測(cè)試情況網(wǎng)絡(luò)拓?fù)渌?jiàn)即所得拖拽模式可通過(guò)實(shí)訓(xùn)系統(tǒng)監(jiān)控平臺(tái)、在線或遠(yuǎn)程的方式對(duì)所模真實(shí)網(wǎng)絡(luò)網(wǎng)絡(luò)試環(huán)境進(jìn)行監(jiān)控。整體測(cè)試環(huán)境可快速恢復(fù)監(jiān)控主機(jī)服務(wù)、進(jìn)程及資源狀態(tài)監(jiān)控網(wǎng)絡(luò)協(xié)議定義和捕獲攻擊行為針對(duì)攻擊行為報(bào)警第2章實(shí)驗(yàn)室需求分析隨著互聯(lián)網(wǎng)、專(zhuān)用網(wǎng)絡(luò)化信息系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的普及，網(wǎng)絡(luò)與信息安全已成為關(guān)系到國(guó)家政治、國(guó)防、社會(huì)的重要問(wèn)題，它對(duì)培養(yǎng)具有網(wǎng)絡(luò)信息安全知識(shí)、應(yīng)用提出了更高要求。人才需求近年來(lái)，信息技術(shù)已在人類(lèi)的生產(chǎn)生活中發(fā)揮至關(guān)重要的作用，隨之而來(lái)的信息安全問(wèn)題也已成為關(guān)系國(guó)家安全、經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定的關(guān)鍵性問(wèn)題。但由于國(guó)內(nèi)專(zhuān)門(mén)從事信息安全工作技術(shù)人才嚴(yán)重短缺，阻礙了我國(guó)信息安全事業(yè)的發(fā)展。攻防需求隨著信息安全的日益發(fā)展，網(wǎng)絡(luò)新型攻擊和病毒形式日益惡化，因此以安全運(yùn)維、快速響應(yīng)為目標(biāo)，以信息網(wǎng)絡(luò)技術(shù)為主要手段，提高在網(wǎng)絡(luò)空間開(kāi)展信息監(jiān)察、預(yù)防、提高突發(fā)事件的處理能力。研究需求以行業(yè)信息化、網(wǎng)絡(luò)安全、保密為主要出發(fā)點(diǎn)、重點(diǎn)研究信息管理和安全應(yīng)用，建設(shè)新技術(shù)開(kāi)發(fā)與驗(yàn)證平臺(tái)，研究信息安全取證、破譯、解密等技術(shù)。并負(fù)責(zé)對(duì)電子數(shù)據(jù)證據(jù)進(jìn)行取證和技術(shù)鑒定。第3章實(shí)驗(yàn)室概述口3.1實(shí)驗(yàn)室網(wǎng)絡(luò)結(jié)構(gòu)實(shí)驗(yàn)室及業(yè)務(wù)網(wǎng)絡(luò)中的小型槌口特殊設(shè)備測(cè)試、培訓(xùn)、研究和管理區(qū)實(shí)驗(yàn)室設(shè)備接入?yún)^(qū)遠(yuǎn)程接入?yún)^(qū)實(shí)訓(xùn)平臺(tái)實(shí)訓(xùn)平臺(tái)實(shí)訓(xùn)平臺(tái)信息安全實(shí)訓(xùn)平臺(tái)(TopsecSP)WindowsLinux滲透平臺(tái)監(jiān)控平臺(tái)靶機(jī)平臺(tái)UnixMac滲透環(huán)境靶機(jī)環(huán)境信息安全檢測(cè)研究平臺(tái)(TopsecCP)信息安全培訓(xùn)平臺(tái)(TopsecSP)：是通過(guò)多臺(tái)專(zhuān)用信息安全虛擬化設(shè)備，虛擬出信息安全所需的場(chǎng)景，例如WEB攻防平臺(tái)、應(yīng)用攻防平臺(tái)、威脅分析平臺(tái)、數(shù)據(jù)挖掘平臺(tái)、基線掃描平臺(tái)、漏洞分析平臺(tái)、木馬分析平臺(tái)等等。同時(shí)系統(tǒng)提供相實(shí)驗(yàn)指導(dǎo)書(shū)和實(shí)驗(yàn)環(huán)境場(chǎng)景。信息安全研究平臺(tái)(TopsecCP)：是通過(guò)智能信息安全靶機(jī)系統(tǒng)、信息安全智能滲透系統(tǒng)和信息安全監(jiān)控系統(tǒng)實(shí)現(xiàn)紅、藍(lán)對(duì)戰(zhàn)實(shí)戰(zhàn)。并對(duì)實(shí)戰(zhàn)過(guò)程進(jìn)行監(jiān)控，實(shí)現(xiàn)測(cè)試過(guò)程和結(jié)果動(dòng)態(tài)顯示。實(shí)驗(yàn)室設(shè)備接入?yún)^(qū)：是能夠滿足用戶在演練和實(shí)戰(zhàn)時(shí)通過(guò)接入特殊設(shè)備來(lái)完成用戶自定義的實(shí)驗(yàn)需求，例如小型機(jī)，無(wú)線、射頻等通過(guò)虛擬化技術(shù)無(wú)法完成的設(shè)備。測(cè)試、培訓(xùn)、研究和管理區(qū)：相關(guān)人員通過(guò)B/S做培訓(xùn)、研究和管理所用。遠(yuǎn)程接入?yún)^(qū)：能夠滿足用戶通過(guò)遠(yuǎn)程接入到信息安全實(shí)驗(yàn)室內(nèi)，進(jìn)行7*24小時(shí)的測(cè)試和研究。3.2實(shí)驗(yàn)室典型配置針對(duì)實(shí)驗(yàn)室對(duì)模擬網(wǎng)絡(luò)環(huán)境多樣性的要求，以下是信息安全研究實(shí)驗(yàn)室典型結(jié)構(gòu):信息安全實(shí)驗(yàn)室示意圖信息安全實(shí)驗(yàn)室能夠模擬：業(yè)務(wù)系統(tǒng)出口安全區(qū)域、DMZ安全區(qū)域、內(nèi)網(wǎng)接入安全區(qū)域、以及安全研究專(zhuān)區(qū)，這些模擬環(huán)境已經(jīng)涵蓋了目前所有企事業(yè)單位的大部分安全單元。在擁有豐富且全面的網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境的基礎(chǔ)上，相關(guān)人員還能接觸到大部分市場(chǎng)上主流的網(wǎng)絡(luò)安全設(shè)備。實(shí)驗(yàn)設(shè)備要涵蓋傳統(tǒng)的網(wǎng)絡(luò)防火墻、VPN網(wǎng)關(guān)、IPS、IDS、防病毒網(wǎng)關(guān)與流量控制網(wǎng)關(guān)等。在原有基礎(chǔ)網(wǎng)絡(luò)實(shí)驗(yàn)室的基礎(chǔ)上通過(guò)增加以下設(shè)備來(lái)完成信息安全實(shí)驗(yàn)室的搭建：信息安全實(shí)驗(yàn)室設(shè)備（每組）設(shè)備類(lèi)別設(shè)備名稱(chēng)數(shù)量單位備注流量整形網(wǎng)關(guān)TopFlow1臺(tái)防火墻NGFW-40001臺(tái)USG網(wǎng)關(guān)許可TopRules4臺(tái)入侵檢測(cè)引擎TopIDP2套實(shí)驗(yàn)室實(shí)訓(xùn)系統(tǒng)Topsec-CP1臺(tái)實(shí)驗(yàn)室研究系統(tǒng)Topsec-SP1臺(tái)網(wǎng)絡(luò)安全管理設(shè)備實(shí)驗(yàn)室管理系統(tǒng)實(shí)驗(yàn)室管理系統(tǒng)TopNM1臺(tái)第4章攻防演練系統(tǒng)系統(tǒng)介紹攻防演練系統(tǒng)系統(tǒng)概述攻防演練系統(tǒng)系統(tǒng)產(chǎn)品是北京天融信科技有限公司（以下簡(jiǎn)稱(chēng)TOPSEC）對(duì)于安全人才培養(yǎng)、攻防演練、安全研究的等需求專(zhuān)門(mén)設(shè)計(jì)開(kāi)發(fā)的產(chǎn)品。攻防演練系統(tǒng)系統(tǒng)（簡(jiǎn)稱(chēng)TOPSEC-CP），根據(jù)我們多年來(lái)對(duì)信息安全趨勢(shì)的把握，同時(shí)分析企事業(yè)單位對(duì)人才培養(yǎng)及安全崗位技能需求的基礎(chǔ)上，參考大量?jī)?yōu)秀的、應(yīng)用廣泛的信息安全教材，TOPSEC提供了一套全面、專(zhuān)業(yè)、成熟且可擴(kuò)展的攻防演練系統(tǒng)系統(tǒng)。TOPSEC-CP系列產(chǎn)品以理論學(xué)習(xí)為基礎(chǔ)，結(jié)合最全面最專(zhuān)業(yè)的實(shí)訓(xùn)，增加技術(shù)人員對(duì)信息安全諸多領(lǐng)域的深入理解，為技術(shù)人員提供堅(jiān)實(shí)的技術(shù)基礎(chǔ)。TOPSEC攻防演練系統(tǒng)系統(tǒng)提供多個(gè)方面的實(shí)驗(yàn)、實(shí)訓(xùn)及工程實(shí)踐，涵蓋多層次的實(shí)驗(yàn)操作，以真實(shí)環(huán)境的真實(shí)案例為操作指南，貼近實(shí)際崗位能力要求。同時(shí)，配有強(qiáng)大的實(shí)驗(yàn)管理系統(tǒng)，能夠?yàn)樾畔踩虒W(xué)、攻防演練、安全研究提供一個(gè)完整的、一體化的實(shí)驗(yàn)教學(xué)環(huán)境。此外，北京天融信科技有限公司可與企事業(yè)單位從實(shí)驗(yàn)室建設(shè)、課題研發(fā)、培訓(xùn)認(rèn)證等方面進(jìn)行全方位合作。天融信”攻防演練系統(tǒng)系統(tǒng)”（簡(jiǎn)稱(chēng)TOPSEC-CP），依托于不同的課件和展示內(nèi)容，可以應(yīng)用于學(xué)校、軍隊(duì)、政府、企業(yè)等各行業(yè)，是國(guó)內(nèi)乃至國(guó)際最好的虛擬化學(xué)習(xí)和研究系統(tǒng)。TOPSEC-CP系統(tǒng)參考信息安全類(lèi)專(zhuān)業(yè)教學(xué)指導(dǎo)委員會(huì)制定的信息安全類(lèi)專(zhuān)業(yè)知識(shí)結(jié)構(gòu)及能力要求，并聯(lián)合開(kāi)發(fā)了八大類(lèi)信息安全課程體系，覆蓋了多個(gè)方面的信息安全教學(xué)內(nèi)容，包括實(shí)驗(yàn)原理、教學(xué)虛擬化環(huán)境、實(shí)驗(yàn)指導(dǎo)書(shū)，技術(shù)人員可以自主學(xué)習(xí)實(shí)驗(yàn)，進(jìn)行實(shí)驗(yàn)驗(yàn)證與應(yīng)用，并進(jìn)行信息安全綜合分析及自主設(shè)計(jì)，實(shí)現(xiàn)多層次的實(shí)驗(yàn)操作。攻防演練系統(tǒng)系統(tǒng)體系信息安全虛擬化實(shí)訓(xùn)系統(tǒng)體系包括：實(shí)驗(yàn)平臺(tái)、實(shí)驗(yàn)內(nèi)容和培訓(xùn)體系，提供實(shí)驗(yàn)工具管理、實(shí)驗(yàn)內(nèi)容管理、虛擬化調(diào)用APT等多種擴(kuò)展接口，方便各行業(yè)定制添加培訓(xùn)時(shí)候所需的實(shí)驗(yàn)。如圖所示：TOPSEC-CP配有強(qiáng)大的實(shí)訓(xùn)系統(tǒng)，能夠?yàn)樾畔踩嘤?xùn)、教學(xué)及科研提供一個(gè)完整的、一體化的實(shí)驗(yàn)環(huán)境，從而打造出全方位的專(zhuān)業(yè)信息安全實(shí)驗(yàn)室。第5章信息安全演練平臺(tái)介紹信息安全演練平臺(tái)是北京天融信有限公司在全國(guó)首創(chuàng)，推出的業(yè)內(nèi)第一款演練平臺(tái)，其獨(dú)創(chuàng)性取得了用戶的一致好評(píng)。北京天融信有限公司公司于2012年推出的新一代演練平臺(tái)，目前，演練平臺(tái)在全國(guó)擁有廣泛的用戶群體，已經(jīng)在各類(lèi)企業(yè)、學(xué)校實(shí)施，產(chǎn)品功能穩(wěn)定，性能卓越，受到了廣大用戶的熱烈好評(píng)。北京天融信科技有限公司所開(kāi)發(fā)的信息安全演練平臺(tái)，已納入常見(jiàn)的攻擊實(shí)驗(yàn)，可方便用戶將攻防演練變成一種常態(tài)化的工作，同時(shí)，系統(tǒng)也可以快速自定義攻防演練的場(chǎng)景，已滿足各種用戶不同的需求。應(yīng)急響應(yīng)流程緊急安全事件的處理過(guò)程，可以遵循以下流程執(zhí)行：圖5.1安全事件應(yīng)急響應(yīng)流程演練事件信息篡改：模擬針對(duì)中央系統(tǒng)某網(wǎng)站首頁(yè)篡改事件的監(jiān)控和處理。拒絕服務(wù)：模擬從外部發(fā)起的針對(duì)某網(wǎng)站的拒絕服務(wù)攻擊事件的監(jiān)控和處理。惡意代碼攻擊：模擬內(nèi)網(wǎng)某服務(wù)器感染惡意代碼后的監(jiān)控和處理。DNS劫持：本次演練主要模擬某DNS服務(wù)器的權(quán)威解析記錄被篡改事件的發(fā)現(xiàn)和處理。信息篡改事件場(chǎng)景描述信息篡改是指未經(jīng)授權(quán)將信息系統(tǒng)中的信息更換為攻擊者所提供的信息而導(dǎo)致的信息安全事件，網(wǎng)頁(yè)篡改是最常見(jiàn)的信息篡改事件。網(wǎng)頁(yè)篡改一般分三種方式：部分網(wǎng)站服務(wù)器頁(yè)面被篡改、全部網(wǎng)站服務(wù)器頁(yè)面被篡改、網(wǎng)站動(dòng)態(tài)內(nèi)容被篡改等。本次應(yīng)急演練主要模擬中央系統(tǒng)中某網(wǎng)站首頁(yè)遭到篡改時(shí)的事件處理。頁(yè)面篡改安全事件，是指通過(guò)外部或內(nèi)部非正常途徑，如利用Web應(yīng)用服務(wù)漏洞或Web服務(wù)器系統(tǒng)漏洞，獲得相應(yīng)的權(quán)限替換中央系統(tǒng)WWW服務(wù)器頁(yè)面（靜態(tài)頁(yè)面）的事件。本次演練模擬的網(wǎng)站拓?fù)洵h(huán)境如下：攻擊方演練環(huán)境介紹編號(hào)設(shè)備名稱(chēng)設(shè)備用途設(shè)備系統(tǒng)/軟件版本IP地址備注1攻擊方小且、生也操作系統(tǒng)說(shuō)明：作為演練Windows2000server的攻擊設(shè)192.168.2或windows2003夕1.3安裝相關(guān)的攻擊工具可以用攻擊方的筆記本實(shí)現(xiàn)。由server操作系統(tǒng)。防御方演練環(huán)境介紹編號(hào)設(shè)備名稱(chēng)設(shè)備用途設(shè)備系統(tǒng)/軟件版本IP地址備注主要用于網(wǎng)1三層交換機(jī)絡(luò)連接和訪問(wèn)控制。三層交換機(jī)2防火墻Pix525阻斷攻擊者。防火墻應(yīng)能針對(duì)IP、端口設(shè)置訪問(wèn)控制策略。3web服務(wù)器為被攻擊設(shè)備。操作系統(tǒng)：linuxas4應(yīng)用軟件：weblogic內(nèi)置模擬網(wǎng)頁(yè)4Windows主機(jī)1安全監(jiān)控用安裝網(wǎng)絡(luò)部提供的網(wǎng)站異常監(jiān)控軟件具備顯示器5Windows主機(jī)2安全監(jiān)控用安裝網(wǎng)絡(luò)部提供的域名系統(tǒng)監(jiān)控軟件，具備顯示器準(zhǔn)備階段1、對(duì)www網(wǎng)站靜態(tài)頁(yè)面進(jìn)行備份。準(zhǔn)備系統(tǒng)的基本快照。攻擊階段1、攻擊者通過(guò)掃描發(fā)現(xiàn)，WWW網(wǎng)站的服務(wù)器使用weblogic的默認(rèn)管理頁(yè)面對(duì)外開(kāi)放，同時(shí)存在默認(rèn)的登陸口令(weblogic/weblogic)。2、攻擊者通過(guò)弱口令登陸后，替換WWW網(wǎng)站的首頁(yè)。監(jiān)測(cè)階段使用監(jiān)控組自主開(kāi)發(fā)的“網(wǎng)站監(jiān)控軟件”，定時(shí)輪詢方式檢查頁(yè)面的變化情況，發(fā)現(xiàn)頁(yè)面被篡改；處理階段進(jìn)行系統(tǒng)臨時(shí)性恢復(fù)，迅速恢復(fù)系統(tǒng)被篡改的內(nèi)容；2、檢查問(wèn)題服務(wù)器WWW訪問(wèn)日志、系統(tǒng)操作日志，確定篡改時(shí)間、IP及可能的手法；3、分析系統(tǒng)日志向6$$@86$、sulog、lastlog等)，確認(rèn)主機(jī)上有無(wú)異常權(quán)限用戶非法登陸，并記錄其IP地址、登陸時(shí)間等信息；4、檢查weblogic應(yīng)用日志，發(fā)現(xiàn)有無(wú)異常；確定問(wèn)題根源，修復(fù)問(wèn)題。測(cè)試后上線；拒絕服務(wù)場(chǎng)景描述拒絕服務(wù)攻擊事件是指利用信息系統(tǒng)缺陷、或通過(guò)暴力攻擊的手段，以大量消耗信息系統(tǒng)的CPU、內(nèi)存、磁盤(pán)空間或網(wǎng)絡(luò)帶寬等資源，從而影響信息系統(tǒng)正常運(yùn)行為目的的信息安全事件。拒絕服務(wù)發(fā)起時(shí)往往表現(xiàn)為cpu、內(nèi)存、帶寬等的高利用率，同時(shí)由于攻擊手法和形式的多樣性，造成對(duì)攻擊形式攻擊特征分析帶來(lái)一定的難度。本次應(yīng)急演練主要模擬中研系統(tǒng)中WWW網(wǎng)站遭受synflood拒絕服務(wù)攻擊時(shí)的事件處理。本方案以web應(yīng)用為例，攻擊者向Web端口發(fā)起synflood拒絕服務(wù)攻擊，表現(xiàn)在分布式的大量針對(duì)80端口的數(shù)據(jù)包，以耗盡web服務(wù)的最大連接數(shù)或者消耗數(shù)據(jù)庫(kù)資源為目的。準(zhǔn)備階段了解、總結(jié)日常Web訪問(wèn)的流量特征攻擊階段針對(duì)80端口發(fā)送大量的synflood攻擊包。監(jiān)測(cè)階段使用監(jiān)控組自主開(kāi)發(fā)的“網(wǎng)站監(jiān)控軟件”，定時(shí)輪詢方式檢查網(wǎng)站的訪問(wèn)情況；通過(guò)輪詢軟件發(fā)現(xiàn)頁(yè)面訪問(wèn)不可達(dá)。處理階段1、對(duì)web訪問(wèn)連接，進(jìn)行分析。2、在web服務(wù)器上，查看cpu、內(nèi)存的負(fù)載及網(wǎng)絡(luò)流量等。在防火墻或網(wǎng)絡(luò)設(shè)備上配置訪問(wèn)控制策略，限制或過(guò)濾發(fā)送源地址的訪問(wèn)。DNS劫持場(chǎng)景描述主要模擬DNS服務(wù)器的權(quán)威解析篡改事件。該DNS服務(wù)器由于對(duì)外開(kāi)啟YSSH(TCP/22)管理服務(wù)，同時(shí)系統(tǒng)上存在弱口令，攻擊者通過(guò)掃描得到系統(tǒng)口令，并進(jìn)一步登陸控制服務(wù)器，然后修改DNS區(qū)域記錄文件，實(shí)施DNS劫持攻擊。監(jiān)控人員通過(guò)DNSWatch軟件監(jiān)測(cè)到域名解析異常，然后通知維護(hù)人員，維護(hù)人員通過(guò)相關(guān)的事件處理，恢復(fù)正常的DNS業(yè)務(wù)。攻擊方演練環(huán)境介紹編號(hào)設(shè)備名稱(chēng)設(shè)備用途設(shè)備系統(tǒng)/軟件版本IP地址備注1攻擊方作為演練的攻擊設(shè)備操作系統(tǒng)說(shuō)明：Windows2000server或windows2003server操作系統(tǒng)。安裝相關(guān)的攻擊工具。可以用攻擊方的筆記本實(shí)現(xiàn)。防御方演練環(huán)境介紹編號(hào)設(shè)備名稱(chēng)設(shè)備用途設(shè)備系統(tǒng)/軟件版本IP地址備注1DNS服務(wù)器被攻擊的dns服務(wù)器操作系統(tǒng)：solaris9應(yīng)用軟件：bind配置dns信息2Windows主機(jī)1安全監(jiān)控用安裝網(wǎng)絡(luò)部提供的網(wǎng)站異常監(jiān)控軟件具備顯示器3Windows主機(jī)2安全監(jiān)控用安裝網(wǎng)絡(luò)部提供的域名系統(tǒng)監(jiān)控軟件，具備顯示器4WINDOWSXP的終端1事件處理用用于事件處理的操作5WINDOWSXP的終端2事件處理用用于事件處理的操作準(zhǔn)備階段1、對(duì)BIND軟件的配置文件等重要靜態(tài)文件進(jìn)行備份；建立系統(tǒng)的快照。攻擊階段DNS服務(wù)器由于對(duì)外開(kāi)啟YSSH(TCP/22)管理服務(wù)，同時(shí)系統(tǒng)上存在弱口令，攻擊者通過(guò)掃描得到系統(tǒng)口令，并進(jìn)一步登陸控制服務(wù)器，然后修改DNS區(qū)域記錄文件，實(shí)施DNS劫持攻擊。監(jiān)測(cè)階段通過(guò)DNS域名解析監(jiān)控軟件(DNSWatch)，發(fā)現(xiàn)域名解析異常處理階段1、登錄DNS服務(wù)器，檢查投訴域名解析是否正常；檢查靜態(tài)配置是否正常，如發(fā)現(xiàn)異常，快速恢復(fù)原有配置；2、登錄DNS服務(wù)器，檢查文件修改日志；檢查文件修改人；系統(tǒng)安全分析：確認(rèn)系統(tǒng)異常；確定問(wèn)題根源，修復(fù)問(wèn)題；測(cè)試，確保問(wèn)題得到處理。5.3.4惡意代碼場(chǎng)景描述主要模擬某惡意攻擊者，利用系統(tǒng)的弱口令，利用Windows系統(tǒng)遠(yuǎn)程管理服務(wù)（TCP/3389）,獲得對(duì)服務(wù)器的控制權(quán)限。控制了這臺(tái)服務(wù)器后，攻擊者有預(yù)謀的上傳了提前作好的自動(dòng)化程序，開(kāi)始一些列的破壞活動(dòng)，包括造成性能迅速下降，在被感染主機(jī)中安裝僵尸網(wǎng)絡(luò)客戶端，開(kāi)放后門(mén)端口。為了確保惡意程序的運(yùn)行，攻擊者停止了服務(wù)器上的防病毒軟件。監(jiān)控人員及時(shí)發(fā)現(xiàn)服務(wù)器上的趨勢(shì)防病毒軟件服務(wù)停止，監(jiān)測(cè)到攻擊者的惡意行為，定位攻擊源并迅速切斷其對(duì)網(wǎng)絡(luò)的訪問(wèn)，維護(hù)人員對(duì)被影響的服務(wù)器進(jìn)行安全檢查，通過(guò)全面的分析和有效的措施，完全控制并根除惡意行為，對(duì)事件進(jìn)行迅速控制并處理，保證了系統(tǒng)的有效運(yùn)行。該病毒主要的特征：打開(kāi)異常端口進(jìn)行監(jiān)聽(tīng)，開(kāi)啟異常進(jìn)程；掃描其他服務(wù)器是否存在漏洞，對(duì)網(wǎng)絡(luò)造成異常流量；將惡意程序添加到自動(dòng)運(yùn)行；停止系統(tǒng)防病毒軟件的運(yùn)行；攻擊方演練環(huán)境介紹編號(hào)設(shè)備名稱(chēng)設(shè)備用途設(shè)備系統(tǒng)/軟件版本IP地址備注1攻擊方作為演練的攻擊設(shè)備操作系統(tǒng)說(shuō)明：Windows2000server或windows2003server操作系統(tǒng)。安裝相關(guān)的攻擊工具。可以用攻擊方的筆記本實(shí)現(xiàn)。防御方演練環(huán)境介紹編號(hào)設(shè)備名稱(chēng)設(shè)備用途設(shè)備系統(tǒng)/軟件版本IP地址備注1Windows服務(wù)器病毒程序感染的服務(wù)器提供安裝WindowsServer服務(wù)器。病毒事件模擬用2Windows主機(jī)1安全監(jiān)控用安裝網(wǎng)絡(luò)部提供的網(wǎng)站異常監(jiān)控軟件，具備顯示器3Windows主機(jī)2安全監(jiān)控用安裝網(wǎng)絡(luò)部提供的域名系統(tǒng)監(jiān)控軟件具備顯示器4WINDOWSXP的終端1事件處理用用于事件處理的操作5WINDOWSXP的終端2事件處理用用于事件處理的操作準(zhǔn)備階段1、安裝McAfee殺毒軟件；對(duì)系統(tǒng)進(jìn)程進(jìn)行快照，以便快捷的找出可疑進(jìn)程；攻擊階段通過(guò)掃描發(fā)現(xiàn)系統(tǒng)對(duì)外開(kāi)放了3389端口，管理員administrator并存在弱口令，通過(guò)系統(tǒng)Windows遠(yuǎn)程終端管理服務(wù)（TCP/3389）,安裝惡意軟件，破壞系統(tǒng)。監(jiān)測(cè)階段通過(guò)登陸發(fā)現(xiàn)，McAfee防病毒軟件沒(méi)有正常工作，判斷機(jī)器可能感染了惡意程序。處理階段設(shè)備隔離：拔掉網(wǎng)線；2、在問(wèn)題主機(jī)上，確定惡意代碼特征：進(jìn)程、端口等，通常以任務(wù)管理器和netstat-na查看進(jìn)程和端口的綁定情況，分析出異常的端口或者進(jìn)程；清除惡意代碼，一般先停止惡意進(jìn)程，同時(shí)將其相關(guān)文件刪除；對(duì)操作系統(tǒng)進(jìn)行安全加固（修改弱口令）；對(duì)系統(tǒng)進(jìn)行全面殺毒，開(kāi)啟殺毒軟件實(shí)時(shí)安全防護(hù)功能；恢復(fù)應(yīng)用系統(tǒng)，系統(tǒng)上線；DD第6章信息安全研究實(shí)驗(yàn)室介紹信息安全研究實(shí)驗(yàn)室由滲透平臺(tái)、靶機(jī)平臺(tái)、監(jiān)控平臺(tái)三部分組成。滲透平臺(tái)實(shí)驗(yàn)室智能滲透平臺(tái)集成Windows、WindowsServer、Linux、BT5等系統(tǒng)以及端口掃描，WEB腳本、跨站攻擊，SQL注入，緩沖區(qū)溢出，拒絕服務(wù)攻擊，欺騙攻擊，口令破解等攻擊手段和工具。滲透系統(tǒng)分為四個(gè)級(jí)別：第一級(jí)別使用BT5、Windows系統(tǒng)、Linux系統(tǒng)為攻擊平臺(tái)，使用傀儡主機(jī)、代理服務(wù)器對(duì)靶機(jī)系統(tǒng)進(jìn)行攻擊。第二級(jí)別使用BT5、Windows系統(tǒng)、Linux系統(tǒng)為攻擊平臺(tái)，使用破解工具、注入工具對(duì)靶機(jī)系統(tǒng)進(jìn)行攻擊。第三級(jí)別使用BT5、Windows系統(tǒng)、Linux系統(tǒng)為攻擊平臺(tái)，使用掃描工具、滲透工具對(duì)靶機(jī)系統(tǒng)進(jìn)行攻擊。第四級(jí)別使用BT5、Windows系統(tǒng)、Linux系統(tǒng)為攻擊平臺(tái)，使用各種攻擊工具對(duì)靶機(jī)系統(tǒng)進(jìn)行攻擊。靶機(jī)平臺(tái)模擬網(wǎng)絡(luò)環(huán)境中的被攻擊目標(biāo)，包括Windows、WindowsServer、Linux、Unix等類(lèi)型的主機(jī)系統(tǒng)，同時(shí)里面含有豐富的中間件和數(shù)據(jù)庫(kù)，中間件包括IIS、Apache、weblogic、websphere、Nginx等，數(shù)據(jù)庫(kù)包括MSSQL、Mysql、Oracle、ACCESS、Sybase等，可以加載需要研究網(wǎng)絡(luò)環(huán)境的真實(shí)網(wǎng)絡(luò)拓?fù)?，如電子政?wù)系統(tǒng)等。針對(duì)系統(tǒng)本身存在的漏洞、管理權(quán)限的設(shè)定來(lái)進(jìn)行研究，真實(shí)的反應(yīng)出網(wǎng)絡(luò)環(huán)境中系統(tǒng)及應(yīng)用被攻破的動(dòng)態(tài)過(guò)程，利于進(jìn)一步提高現(xiàn)網(wǎng)的網(wǎng)絡(luò)安全。智能靶機(jī)系統(tǒng)包括：金牌靶機(jī)，銀牌靶機(jī)，銅牌靶機(jī)，誘騙靶機(jī)四個(gè)級(jí)別，同時(shí)可模擬真實(shí)的網(wǎng)絡(luò)環(huán)境。金牌靶機(jī)模擬網(wǎng)絡(luò)中的主機(jī)操作系統(tǒng)，包括Windows主機(jī)系統(tǒng)、WindowsServer系統(tǒng)、Linux系統(tǒng)、Unix系統(tǒng)，提供可定制的虛擬攻擊目標(biāo)，提供相應(yīng)的攻防所需要的權(quán)限和漏洞用來(lái)進(jìn)行掃描和滲透，模擬真實(shí)網(wǎng)絡(luò)環(huán)境，以交互方式體現(xiàn)網(wǎng)絡(luò)攻擊和防御實(shí)戰(zhàn)過(guò)程。銀牌靶機(jī)銀牌靶模擬網(wǎng)絡(luò)中的應(yīng)用服務(wù)器，包括數(shù)據(jù)庫(kù)靶機(jī)系統(tǒng)、web服務(wù)器靶機(jī)系統(tǒng)等應(yīng)用服務(wù)器系統(tǒng)，提供可定制的虛擬攻擊目標(biāo)，提供相應(yīng)的攻防所需要的漏洞用來(lái)進(jìn)行掃描和滲透，模擬真實(shí)網(wǎng)絡(luò)環(huán)境，以交互方式體現(xiàn)網(wǎng)絡(luò)攻擊和防御實(shí)戰(zhàn)過(guò)程。銅牌靶機(jī)銅牌靶模擬網(wǎng)絡(luò)中的應(yīng)用服務(wù)器，包括郵件靶機(jī)系統(tǒng)、文件服務(wù)器靶機(jī)系統(tǒng)等應(yīng)用服務(wù)器系統(tǒng)，提供可定制的虛擬攻擊目標(biāo)，提供相應(yīng)的攻防所需要的漏洞用來(lái)進(jìn)行掃描和滲透，模擬真實(shí)網(wǎng)絡(luò)環(huán)境，以交互方式體現(xiàn)網(wǎng)絡(luò)攻擊和防御實(shí)戰(zhàn)過(guò)程。誘騙靶機(jī)誘騙靶機(jī)系統(tǒng)模擬網(wǎng)絡(luò)中的蜜罐服務(wù)器，包括各種主機(jī)系統(tǒng)和應(yīng)用服務(wù)器系統(tǒng)，提供可定制的虛擬攻擊目標(biāo)，提供相應(yīng)的攻防所需要的漏洞用來(lái)進(jìn)行掃描和滲透，模擬真實(shí)網(wǎng)絡(luò)環(huán)境，以交互方式體現(xiàn)網(wǎng)絡(luò)攻擊和防御實(shí)戰(zhàn)過(guò)程監(jiān)控平臺(tái)實(shí)驗(yàn)室監(jiān)控平臺(tái)可以記錄和禁止網(wǎng)絡(luò)活動(dòng)，掃描當(dāng)前網(wǎng)絡(luò)的活動(dòng)，監(jiān)視和記錄網(wǎng)絡(luò)的流量，根據(jù)定義好的規(guī)則來(lái)過(guò)濾從主機(jī)網(wǎng)卡到網(wǎng)線上的流量，提供實(shí)時(shí)報(bào)警。監(jiān)控系統(tǒng)所能做到的不僅僅是記錄事件，它還可以確定事件發(fā)生的位置。通過(guò)追蹤來(lái)源，可以更多的了解攻擊者。不僅可以記錄下攻擊過(guò)程，同時(shí)也有助于確定應(yīng)用方案。通過(guò)與滲透平臺(tái)、靶機(jī)平臺(tái)的聯(lián)動(dòng)可以實(shí)時(shí)的監(jiān)控整個(gè)攻擊過(guò)程，并根據(jù)設(shè)置的評(píng)分標(biāo)準(zhǔn)對(duì)整個(gè)攻擊過(guò)程的滲透主機(jī)進(jìn)行評(píng)分和排名，同時(shí)監(jiān)控平臺(tái)可以根據(jù)靶機(jī)系統(tǒng)的加固過(guò)程進(jìn)行評(píng)分和排名。第7章方案優(yōu)勢(shì)和特點(diǎn)實(shí)驗(yàn)室優(yōu)勢(shì)提供多種模式課件實(shí)驗(yàn)室為計(jì)算機(jī)及網(wǎng)絡(luò)安全研究提供多模式的安全課件，能夠模擬軍工、公安、政府、醫(yī)療、能源等多種網(wǎng)絡(luò)環(huán)境，能夠進(jìn)行各種安全威脅的實(shí)際操作，針對(duì)不同的攻擊防御模式，提供多種實(shí)驗(yàn)課件選擇。開(kāi)放式的平臺(tái)共建系統(tǒng)提供題庫(kù)管理、內(nèi)容管理等多種擴(kuò)展接口，方便單位定制添加已有實(shí)驗(yàn)，同時(shí)支持合作方式對(duì)平臺(tái)的二次開(kāi)發(fā)。全程自主操作的攻防模擬信息安全實(shí)驗(yàn)室的全部課件均是將安全理論與實(shí)際環(huán)境和動(dòng)手操作相結(jié)合的實(shí)驗(yàn)課程，所有的實(shí)驗(yàn)過(guò)程中，都需要通過(guò)實(shí)際動(dòng)手進(jìn)行實(shí)驗(yàn)操作，完成課件要求的安全威脅攻擊以及針對(duì)該攻擊的安全防御措施。通過(guò)不同的實(shí)驗(yàn)課程讓相關(guān)人員親身體驗(yàn)計(jì)算機(jī)及網(wǎng)絡(luò)安全的攻防全過(guò)程，可以極大的提升相關(guān)人員的安全意識(shí)，進(jìn)一步提高對(duì)網(wǎng)絡(luò)安全的防范意識(shí)。真實(shí)的研究環(huán)境目標(biāo)網(wǎng)絡(luò)、操作系統(tǒng)、漏洞均模擬現(xiàn)網(wǎng)的真實(shí)環(huán)境，入侵、防護(hù)過(guò)程完全真實(shí)。并非像一些實(shí)驗(yàn)系統(tǒng)只能模擬輸出既定的結(jié)果，貼近實(shí)際。模塊化可獨(dú)立部署或融合部署：可單獨(dú)接入終端機(jī)器進(jìn)行安全實(shí)驗(yàn)，更可配合天融信實(shí)驗(yàn)室優(yōu)化版的各類(lèi)產(chǎn)品，例如防火墻、UTM統(tǒng)一威脅管理系統(tǒng)、IDS入侵檢測(cè)系統(tǒng)、內(nèi)網(wǎng)安全管理系統(tǒng)、交換機(jī)、路由器、接入認(rèn)證系統(tǒng)等基礎(chǔ)安全及網(wǎng)絡(luò)實(shí)驗(yàn)室模塊組合成為真實(shí)攻防的全局環(huán)境中。實(shí)驗(yàn)室特點(diǎn)完整性實(shí)驗(yàn)室平臺(tái)體系涉及社會(huì)工程學(xué)、密碼學(xué)、病毒學(xué)、主機(jī)安全、操作系統(tǒng)安全（包括Windows系列、Linux、Unix、BT5等）、網(wǎng)絡(luò)基礎(chǔ)、網(wǎng)絡(luò)攻防、容災(zāi)備份、無(wú)線安全等方面。實(shí)踐性理論與實(shí)踐操作緊密、完美的融合。實(shí)驗(yàn)操作中應(yīng)用的方法與技能可直接應(yīng)用到實(shí)際環(huán)境中，實(shí)驗(yàn)環(huán)境與實(shí)際環(huán)境的差異性大大的縮小。與此同時(shí)，本系統(tǒng)可以實(shí)現(xiàn)同主流設(shè)備的無(wú)縫結(jié)合，增強(qiáng)實(shí)驗(yàn)室應(yīng)用性建設(shè)，提高單位的設(shè)備利用率。先進(jìn)性實(shí)驗(yàn)室采用“進(jìn)階式”設(shè)計(jì)，實(shí)驗(yàn)內(nèi)容難度由淺入深，實(shí)驗(yàn)類(lèi)型又驗(yàn)證到設(shè)計(jì)，實(shí)驗(yàn)對(duì)象層次由低到高；實(shí)驗(yàn)教程采用“多元化”理念，既可以提高單位培養(yǎng)相關(guān)人員的安全意識(shí)，又可以滿足單位研究安全人員的實(shí)驗(yàn)需求。擴(kuò)展性該系統(tǒng)允許單位根據(jù)研究需要，自主擴(kuò)充實(shí)驗(yàn)內(nèi)容，設(shè)計(jì)實(shí)驗(yàn)步驟，制作實(shí)驗(yàn)拓?fù)洌⒖伸`活地設(shè)置和發(fā)布。力求打造實(shí)驗(yàn)研究、管理、提高、演練四位一體的全方位實(shí)驗(yàn)室系統(tǒng)。安全研究能力天融信公司已建成前沿安全研究中心、阿爾法實(shí)驗(yàn)室、企業(yè)博士后流動(dòng)站、美國(guó)安全分析實(shí)驗(yàn)室、安全云服務(wù)中心五位一體的企業(yè)級(jí)安全感知系統(tǒng)，時(shí)刻感知網(wǎng)絡(luò)的風(fēng)云變化，幫助互聯(lián)網(wǎng)用戶及時(shí)了解網(wǎng)絡(luò)威脅狀況，提升安全意識(shí)，及時(shí)防范網(wǎng)絡(luò)攻擊。培訓(xùn)服務(wù)及認(rèn)證天融信可根據(jù)企事業(yè)單位的不同需求，對(duì)為用戶提供完整的實(shí)驗(yàn)手冊(cè)，并能根據(jù)用戶的不同需求，提供培訓(xùn)、認(rèn)證等服務(wù)。實(shí)驗(yàn)手冊(cè)樣例培訓(xùn)體系和證書(shū)樣例DD第8章實(shí)驗(yàn)室建設(shè)建議口實(shí)驗(yàn)室建設(shè)步驟天融信信息安全實(shí)驗(yàn)室采取循序漸進(jìn)的原則，即能滿足公安各行業(yè)現(xiàn)有的需求，又利于各行業(yè)后續(xù)的信息安全發(fā)展需求。搭建安全演練平臺(tái)在現(xiàn)有網(wǎng)絡(luò)平臺(tái)的基礎(chǔ)上，添加2-4臺(tái)攻防對(duì)戰(zhàn)系統(tǒng)，通過(guò)演練平