天融信攻防演練平臺及安全實驗室建設方案-通用

天融信攻防演練平臺&安

全實驗室建設方案北京天融信科技有限公司2013-04-19目錄第1章綜述錯誤!未定義書簽。第2章實驗室需求分析錯誤!未定義書簽。人才需求錯誤!未定義書簽。攻防需求錯誤!未定義書簽。研究需求錯誤!未定義書簽。第3章實驗室概述錯誤!未定義書簽。實驗室網絡結構錯誤!未定義書簽。實驗室典型配置錯誤!未定義書簽。第4章攻防演練系統(tǒng)系統(tǒng)介紹錯誤!未定義書簽。攻防演練系統(tǒng)系統(tǒng)概述錯誤!未定義書簽。攻防演練系統(tǒng)系統(tǒng)體系錯誤!未定義書簽。第5章信息安全演練平臺介紹錯誤!未定義書簽。應急響應流程錯誤!未定義書簽。演練事件錯誤!未定義書簽。信息篡改事件錯誤!未定義書簽。拒絕服務錯誤!未定義書簽。DNS劫持錯誤!未定義書簽。惡意代碼錯誤!未定義書簽。第6章信息安全研究實驗室介紹錯誤!未定義書簽。滲透平臺錯誤!未定義書簽。靶機平臺錯誤!未定義書簽。監(jiān)控平臺錯誤!未定義書簽。第7章方案優(yōu)勢和特點錯誤!未定義書簽。實驗室優(yōu)勢錯誤!未定義書簽。實驗室特點錯誤!未定義書簽。安全研究能力錯誤!未定義書簽。培訓服務及認證錯誤!未定義書簽。第8章電子政務網站檢測案例錯誤!未定義書簽。第9章實驗室建設建議錯誤!未定義書簽。實驗室建設步驟錯誤!未定義書簽。實驗室設備清單錯誤!未定義書簽。第1章綜述口為滿足電信、軍工、航天、網監(jiān)、教育等行業(yè)對信息安全人才培養(yǎng)、攻防演練、安全研究等需求，北京天融信科技有限公司基于虛擬化技術開發(fā)了安全實訓系統(tǒng)，并以此系統(tǒng)為核心打造了信息安全實驗室。以下是系統(tǒng)主要特點：通過虛擬化模板快速模擬真實系統(tǒng)環(huán)境通過融合虛擬網絡和真實物理網絡，簡單拖拽即可快速搭建模擬業(yè)務系統(tǒng)環(huán)境，并在拓撲及配置出現(xiàn)問題時，方便快速恢復。多種虛擬化主機和網絡模板通過監(jiān)控平臺可實時觀察測試情況網絡拓撲所見即所得拖拽模式可通過實訓系統(tǒng)監(jiān)控平臺、在線或遠程的方式對所模真實網絡網絡試環(huán)境進行監(jiān)控。整體測試環(huán)境可快速恢復監(jiān)控主機服務、進程及資源狀態(tài)監(jiān)控網絡協(xié)議定義和捕獲攻擊行為針對攻擊行為報警第2章實驗室需求分析隨著互聯(lián)網、專用網絡化信息系統(tǒng)和各種網絡應用的普及，網絡與信息安全已成為關系到國家政治、國防、社會的重要問題，它對培養(yǎng)具有網絡信息安全知識、應用提出了更高要求。人才需求近年來，信息技術已在人類的生產生活中發(fā)揮至關重要的作用，隨之而來的信息安全問題也已成為關系國家安全、經濟發(fā)展和社會穩(wěn)定的關鍵性問題。但由于國內專門從事信息安全工作技術人才嚴重短缺，阻礙了我國信息安全事業(yè)的發(fā)展。攻防需求隨著信息安全的日益發(fā)展，網絡新型攻擊和病毒形式日益惡化，因此以安全運維、快速響應為目標，以信息網絡技術為主要手段，提高在網絡空間開展信息監(jiān)察、預防、提高突發(fā)事件的處理能力。研究需求以行業(yè)信息化、網絡安全、保密為主要出發(fā)點、重點研究信息管理和安全應用，建設新技術開發(fā)與驗證平臺，研究信息安全取證、破譯、解密等技術。并負責對電子數據證據進行取證和技術鑒定。第3章實驗室概述口3.1實驗室網絡結構實驗室及業(yè)務網絡中的小型槌口特殊設備測試、培訓、研究和管理區(qū)實驗室設備接入區(qū)遠程接入區(qū)實訓平臺實訓平臺實訓平臺信息安全實訓平臺(TopsecSP)WindowsLinux滲透平臺監(jiān)控平臺靶機平臺UnixMac滲透環(huán)境靶機環(huán)境信息安全檢測研究平臺(TopsecCP)信息安全培訓平臺(TopsecSP)：是通過多臺專用信息安全虛擬化設備，虛擬出信息安全所需的場景，例如WEB攻防平臺、應用攻防平臺、威脅分析平臺、數據挖掘平臺、基線掃描平臺、漏洞分析平臺、木馬分析平臺等等。同時系統(tǒng)提供相實驗指導書和實驗環(huán)境場景。信息安全研究平臺(TopsecCP)：是通過智能信息安全靶機系統(tǒng)、信息安全智能滲透系統(tǒng)和信息安全監(jiān)控系統(tǒng)實現(xiàn)紅、藍對戰(zhàn)實戰(zhàn)。并對實戰(zhàn)過程進行監(jiān)控，實現(xiàn)測試過程和結果動態(tài)顯示。實驗室設備接入區(qū)：是能夠滿足用戶在演練和實戰(zhàn)時通過接入特殊設備來完成用戶自定義的實驗需求，例如小型機，無線、射頻等通過虛擬化技術無法完成的設備。測試、培訓、研究和管理區(qū)：相關人員通過B/S做培訓、研究和管理所用。遠程接入區(qū)：能夠滿足用戶通過遠程接入到信息安全實驗室內，進行7*24小時的測試和研究。3.2實驗室典型配置針對實驗室對模擬網絡環(huán)境多樣性的要求，以下是信息安全研究實驗室典型結構:信息安全實驗室示意圖信息安全實驗室能夠模擬：業(yè)務系統(tǒng)出口安全區(qū)域、DMZ安全區(qū)域、內網接入安全區(qū)域、以及安全研究專區(qū)，這些模擬環(huán)境已經涵蓋了目前所有企事業(yè)單位的大部分安全單元。在擁有豐富且全面的網絡實驗環(huán)境的基礎上，相關人員還能接觸到大部分市場上主流的網絡安全設備。實驗設備要涵蓋傳統(tǒng)的網絡防火墻、VPN網關、IPS、IDS、防病毒網關與流量控制網關等。在原有基礎網絡實驗室的基礎上通過增加以下設備來完成信息安全實驗室的搭建：信息安全實驗室設備（每組）設備類別設備名稱數量單位備注流量整形網關TopFlow1臺防火墻NGFW-40001臺USG網關許可TopRules4臺入侵檢測引擎TopIDP2套實驗室實訓系統(tǒng)Topsec-CP1臺實驗室研究系統(tǒng)Topsec-SP1臺網絡安全管理設備實驗室管理系統(tǒng)實驗室管理系統(tǒng)TopNM1臺第4章攻防演練系統(tǒng)系統(tǒng)介紹攻防演練系統(tǒng)系統(tǒng)概述攻防演練系統(tǒng)系統(tǒng)產品是北京天融信科技有限公司（以下簡稱TOPSEC）對于安全人才培養(yǎng)、攻防演練、安全研究的等需求專門設計開發(fā)的產品。攻防演練系統(tǒng)系統(tǒng)（簡稱TOPSEC-CP），根據我們多年來對信息安全趨勢的把握，同時分析企事業(yè)單位對人才培養(yǎng)及安全崗位技能需求的基礎上，參考大量優(yōu)秀的、應用廣泛的信息安全教材，TOPSEC提供了一套全面、專業(yè)、成熟且可擴展的攻防演練系統(tǒng)系統(tǒng)。TOPSEC-CP系列產品以理論學習為基礎，結合最全面最專業(yè)的實訓，增加技術人員對信息安全諸多領域的深入理解，為技術人員提供堅實的技術基礎。TOPSEC攻防演練系統(tǒng)系統(tǒng)提供多個方面的實驗、實訓及工程實踐，涵蓋多層次的實驗操作，以真實環(huán)境的真實案例為操作指南，貼近實際崗位能力要求。同時，配有強大的實驗管理系統(tǒng)，能夠為信息安全教學、攻防演練、安全研究提供一個完整的、一體化的實驗教學環(huán)境。此外，北京天融信科技有限公司可與企事業(yè)單位從實驗室建設、課題研發(fā)、培訓認證等方面進行全方位合作。天融信”攻防演練系統(tǒng)系統(tǒng)”（簡稱TOPSEC-CP），依托于不同的課件和展示內容，可以應用于學校、軍隊、政府、企業(yè)等各行業(yè)，是國內乃至國際最好的虛擬化學習和研究系統(tǒng)。TOPSEC-CP系統(tǒng)參考信息安全類專業(yè)教學指導委員會制定的信息安全類專業(yè)知識結構及能力要求，并聯(lián)合開發(fā)了八大類信息安全課程體系，覆蓋了多個方面的信息安全教學內容，包括實驗原理、教學虛擬化環(huán)境、實驗指導書，技術人員可以自主學習實驗，進行實驗驗證與應用，并進行信息安全綜合分析及自主設計，實現(xiàn)多層次的實驗操作。攻防演練系統(tǒng)系統(tǒng)體系信息安全虛擬化實訓系統(tǒng)體系包括：實驗平臺、實驗內容和培訓體系，提供實驗工具管理、實驗內容管理、虛擬化調用APT等多種擴展接口，方便各行業(yè)定制添加培訓時候所需的實驗。如圖所示：TOPSEC-CP配有強大的實訓系統(tǒng)，能夠為信息安全培訓、教學及科研提供一個完整的、一體化的實驗環(huán)境，從而打造出全方位的專業(yè)信息安全實驗室。第5章信息安全演練平臺介紹信息安全演練平臺是北京天融信有限公司在全國首創(chuàng)，推出的業(yè)內第一款演練平臺，其獨創(chuàng)性取得了用戶的一致好評。北京天融信有限公司公司于2012年推出的新一代演練平臺，目前，演練平臺在全國擁有廣泛的用戶群體，已經在各類企業(yè)、學校實施，產品功能穩(wěn)定，性能卓越，受到了廣大用戶的熱烈好評。北京天融信科技有限公司所開發(fā)的信息安全演練平臺，已納入常見的攻擊實驗，可方便用戶將攻防演練變成一種常態(tài)化的工作，同時，系統(tǒng)也可以快速自定義攻防演練的場景，已滿足各種用戶不同的需求。應急響應流程緊急安全事件的處理過程，可以遵循以下流程執(zhí)行：圖5.1安全事件應急響應流程演練事件信息篡改：模擬針對中央系統(tǒng)某網站首頁篡改事件的監(jiān)控和處理。拒絕服務：模擬從外部發(fā)起的針對某網站的拒絕服務攻擊事件的監(jiān)控和處理。惡意代碼攻擊：模擬內網某服務器感染惡意代碼后的監(jiān)控和處理。DNS劫持：本次演練主要模擬某DNS服務器的權威解析記錄被篡改事件的發(fā)現(xiàn)和處理。信息篡改事件場景描述信息篡改是指未經授權將信息系統(tǒng)中的信息更換為攻擊者所提供的信息而導致的信息安全事件，網頁篡改是最常見的信息篡改事件。網頁篡改一般分三種方式：部分網站服務器頁面被篡改、全部網站服務器頁面被篡改、網站動態(tài)內容被篡改等。本次應急演練主要模擬中央系統(tǒng)中某網站首頁遭到篡改時的事件處理。頁面篡改安全事件，是指通過外部或內部非正常途徑，如利用Web應用服務漏洞或Web服務器系統(tǒng)漏洞，獲得相應的權限替換中央系統(tǒng)WWW服務器頁面（靜態(tài)頁面）的事件。本次演練模擬的網站拓撲環(huán)境如下：攻擊方演練環(huán)境介紹編號設備名稱設備用途設備系統(tǒng)/軟件版本IP地址備注1攻擊方小且、生也操作系統(tǒng)說明：作為演練Windows2000server的攻擊設192.168.2或windows2003夕1.3安裝相關的攻擊工具可以用攻擊方的筆記本實現(xiàn)。由server操作系統(tǒng)。防御方演練環(huán)境介紹編號設備名稱設備用途設備系統(tǒng)/軟件版本IP地址備注主要用于網1三層交換機絡連接和訪問控制。三層交換機2防火墻Pix525阻斷攻擊者。防火墻應能針對IP、端口設置訪問控制策略。3web服務器為被攻擊設備。操作系統(tǒng)：linuxas4應用軟件：weblogic內置模擬網頁4Windows主機1安全監(jiān)控用安裝網絡部提供的網站異常監(jiān)控軟件具備顯示器5Windows主機2安全監(jiān)控用安裝網絡部提供的域名系統(tǒng)監(jiān)控軟件，具備顯示器準備階段1、對www網站靜態(tài)頁面進行備份。準備系統(tǒng)的基本快照。攻擊階段1、攻擊者通過掃描發(fā)現(xiàn)，WWW網站的服務器使用weblogic的默認管理頁面對外開放，同時存在默認的登陸口令(weblogic/weblogic)。2、攻擊者通過弱口令登陸后，替換WWW網站的首頁。監(jiān)測階段使用監(jiān)控組自主開發(fā)的“網站監(jiān)控軟件”，定時輪詢方式檢查頁面的變化情況，發(fā)現(xiàn)頁面被篡改；處理階段進行系統(tǒng)臨時性恢復，迅速恢復系統(tǒng)被篡改的內容；2、檢查問題服務器WWW訪問日志、系統(tǒng)操作日志，確定篡改時間、IP及可能的手法；3、分析系統(tǒng)日志向6$$@86$、sulog、lastlog等)，確認主機上有無異常權限用戶非法登陸，并記錄其IP地址、登陸時間等信息；4、檢查weblogic應用日志，發(fā)現(xiàn)有無異常；確定問題根源，修復問題。測試后上線；拒絕服務場景描述拒絕服務攻擊事件是指利用信息系統(tǒng)缺陷、或通過暴力攻擊的手段，以大量消耗信息系統(tǒng)的CPU、內存、磁盤空間或網絡帶寬等資源，從而影響信息系統(tǒng)正常運行為目的的信息安全事件。拒絕服務發(fā)起時往往表現(xiàn)為cpu、內存、帶寬等的高利用率，同時由于攻擊手法和形式的多樣性，造成對攻擊形式攻擊特征分析帶來一定的難度。本次應急演練主要模擬中研系統(tǒng)中WWW網站遭受synflood拒絕服務攻擊時的事件處理。本方案以web應用為例，攻擊者向Web端口發(fā)起synflood拒絕服務攻擊，表現(xiàn)在分布式的大量針對80端口的數據包，以耗盡web服務的最大連接數或者消耗數據庫資源為目的。準備階段了解、總結日常Web訪問的流量特征攻擊階段針對80端口發(fā)送大量的synflood攻擊包。監(jiān)測階段使用監(jiān)控組自主開發(fā)的“網站監(jiān)控軟件”，定時輪詢方式檢查網站的訪問情況；通過輪詢軟件發(fā)現(xiàn)頁面訪問不可達。處理階段1、對web訪問連接，進行分析。2、在web服務器上，查看cpu、內存的負載及網絡流量等。在防火墻或網絡設備上配置訪問控制策略，限制或過濾發(fā)送源地址的訪問。DNS劫持場景描述主要模擬DNS服務器的權威解析篡改事件。該DNS服務器由于對外開啟YSSH(TCP/22)管理服務，同時系統(tǒng)上存在弱口令，攻擊者通過掃描得到系統(tǒng)口令，并進一步登陸控制服務器，然后修改DNS區(qū)域記錄文件，實施DNS劫持攻擊。監(jiān)控人員通過DNSWatch軟件監(jiān)測到域名解析異常，然后通知維護人員，維護人員通過相關的事件處理，恢復正常的DNS業(yè)務。攻擊方演練環(huán)境介紹編號設備名稱設備用途設備系統(tǒng)/軟件版本IP地址備注1攻擊方作為演練的攻擊設備操作系統(tǒng)說明：Windows2000server或windows2003server操作系統(tǒng)。安裝相關的攻擊工具?？梢杂霉舴降墓P記本實現(xiàn)。防御方演練環(huán)境介紹編號設備名稱設備用途設備系統(tǒng)/軟件版本IP地址備注1DNS服務器被攻擊的dns服務器操作系統(tǒng)：solaris9應用軟件：bind配置dns信息2Windows主機1安全監(jiān)控用安裝網絡部提供的網站異常監(jiān)控軟件具備顯示器3Windows主機2安全監(jiān)控用安裝網絡部提供的域名系統(tǒng)監(jiān)控軟件，具備顯示器4WINDOWSXP的終端1事件處理用用于事件處理的操作5WINDOWSXP的終端2事件處理用用于事件處理的操作準備階段1、對BIND軟件的配置文件等重要靜態(tài)文件進行備份；建立系統(tǒng)的快照。攻擊階段DNS服務器由于對外開啟YSSH(TCP/22)管理服務，同時系統(tǒng)上存在弱口令，攻擊者通過掃描得到系統(tǒng)口令，并進一步登陸控制服務器，然后修改DNS區(qū)域記錄文件，實施DNS劫持攻擊。監(jiān)測階段通過DNS域名解析監(jiān)控軟件(DNSWatch)，發(fā)現(xiàn)域名解析異常處理階段1、登錄DNS服務器，檢查投訴域名解析是否正常；檢查靜態(tài)配置是否正常，如發(fā)現(xiàn)異常，快速恢復原有配置；2、登錄DNS服務器，檢查文件修改日志；檢查文件修改人；系統(tǒng)安全分析：確認系統(tǒng)異常；確定問題根源，修復問題；測試，確保問題得到處理。5.3.4惡意代碼場景描述主要模擬某惡意攻擊者，利用系統(tǒng)的弱口令，利用Windows系統(tǒng)遠程管理服務（TCP/3389）,獲得對服務器的控制權限。控制了這臺服務器后，攻擊者有預謀的上傳了提前作好的自動化程序，開始一些列的破壞活動，包括造成性能迅速下降，在被感染主機中安裝僵尸網絡客戶端，開放后門端口。為了確保惡意程序的運行，攻擊者停止了服務器上的防病毒軟件。監(jiān)控人員及時發(fā)現(xiàn)服務器上的趨勢防病毒軟件服務停止，監(jiān)測到攻擊者的惡意行為，定位攻擊源并迅速切斷其對網絡的訪問，維護人員對被影響的服務器進行安全檢查，通過全面的分析和有效的措施，完全控制并根除惡意行為，對事件進行迅速控制并處理，保證了系統(tǒng)的有效運行。該病毒主要的特征：打開異常端口進行監(jiān)聽，開啟異常進程；掃描其他服務器是否存在漏洞，對網絡造成異常流量；將惡意程序添加到自動運行；停止系統(tǒng)防病毒軟件的運行；攻擊方演練環(huán)境介紹編號設備名稱設備用途設備系統(tǒng)/軟件版本IP地址備注1攻擊方作為演練的攻擊設備操作系統(tǒng)說明：Windows2000server或windows2003server操作系統(tǒng)。安裝相關的攻擊工具?？梢杂霉舴降墓P記本實現(xiàn)。防御方演練環(huán)境介紹編號設備名稱設備用途設備系統(tǒng)/軟件版本IP地址備注1Windows服務器病毒程序感染的服務器提供安裝WindowsServer服務器。病毒事件模擬用2Windows主機1安全監(jiān)控用安裝網絡部提供的網站異常監(jiān)控軟件，具備顯示器3Windows主機2安全監(jiān)控用安裝網絡部提供的域名系統(tǒng)監(jiān)控軟件具備顯示器4WINDOWSXP的終端1事件處理用用于事件處理的操作5WINDOWSXP的終端2事件處理用用于事件處理的操作準備階段1、安裝McAfee殺毒軟件；對系統(tǒng)進程進行快照，以便快捷的找出可疑進程；攻擊階段通過掃描發(fā)現(xiàn)系統(tǒng)對外開放了3389端口，管理員administrator并存在弱口令，通過系統(tǒng)Windows遠程終端管理服務（TCP/3389）,安裝惡意軟件，破壞系統(tǒng)。監(jiān)測階段通過登陸發(fā)現(xiàn)，McAfee防病毒軟件沒有正常工作，判斷機器可能感染了惡意程序。處理階段設備隔離：拔掉網線；2、在問題主機上，確定惡意代碼特征：進程、端口等，通常以任務管理器和netstat-na查看進程和端口的綁定情況，分析出異常的端口或者進程；清除惡意代碼，一般先停止惡意進程，同時將其相關文件刪除；對操作系統(tǒng)進行安全加固（修改弱口令）；對系統(tǒng)進行全面殺毒，開啟殺毒軟件實時安全防護功能；恢復應用系統(tǒng)，系統(tǒng)上線；DD第6章信息安全研究實驗室介紹信息安全研究實驗室由滲透平臺、靶機平臺、監(jiān)控平臺三部分組成。滲透平臺實驗室智能滲透平臺集成Windows、WindowsServer、Linux、BT5等系統(tǒng)以及端口掃描，WEB腳本、跨站攻擊，SQL注入，緩沖區(qū)溢出，拒絕服務攻擊，欺騙攻擊，口令破解等攻擊手段和工具。滲透系統(tǒng)分為四個級別：第一級別使用BT5、Windows系統(tǒng)、Linux系統(tǒng)為攻擊平臺，使用傀儡主機、代理服務器對靶機系統(tǒng)進行攻擊。第二級別使用BT5、Windows系統(tǒng)、Linux系統(tǒng)為攻擊平臺，使用破解工具、注入工具對靶機系統(tǒng)進行攻擊。第三級別使用BT5、Windows系統(tǒng)、Linux系統(tǒng)為攻擊平臺，使用掃描工具、滲透工具對靶機系統(tǒng)進行攻擊。第四級別使用BT5、Windows系統(tǒng)、Linux系統(tǒng)為攻擊平臺，使用各種攻擊工具對靶機系統(tǒng)進行攻擊。靶機平臺模擬網絡環(huán)境中的被攻擊目標，包括Windows、WindowsServer、Linux、Unix等類型的主機系統(tǒng)，同時里面含有豐富的中間件和數據庫，中間件包括IIS、Apache、weblogic、websphere、Nginx等，數據庫包括MSSQL、Mysql、Oracle、ACCESS、Sybase等，可以加載需要研究網絡環(huán)境的真實網絡拓撲，如電子政務系統(tǒng)等。針對系統(tǒng)本身存在的漏洞、管理權限的設定來進行研究，真實的反應出網絡環(huán)境中系統(tǒng)及應用被攻破的動態(tài)過程，利于進一步提高現(xiàn)網的網絡安全。智能靶機系統(tǒng)包括：金牌靶機，銀牌靶機，銅牌靶機，誘騙靶機四個級別，同時可模擬真實的網絡環(huán)境。金牌靶機模擬網絡中的主機操作系統(tǒng)，包括Windows主機系統(tǒng)、WindowsServer系統(tǒng)、Linux系統(tǒng)、Unix系統(tǒng)，提供可定制的虛擬攻擊目標，提供相應的攻防所需要的權限和漏洞用來進行掃描和滲透，模擬真實網絡環(huán)境，以交互方式體現(xiàn)網絡攻擊和防御實戰(zhàn)過程。銀牌靶機銀牌靶模擬網絡中的應用服務器，包括數據庫靶機系統(tǒng)、web服務器靶機系統(tǒng)等應用服務器系統(tǒng)，提供可定制的虛擬攻擊目標，提供相應的攻防所需要的漏洞用來進行掃描和滲透，模擬真實網絡環(huán)境，以交互方式體現(xiàn)網絡攻擊和防御實戰(zhàn)過程。銅牌靶機銅牌靶模擬網絡中的應用服務器，包括郵件靶機系統(tǒng)、文件服務器靶機系統(tǒng)等應用服務器系統(tǒng)，提供可定制的虛擬攻擊目標，提供相應的攻防所需要的漏洞用來進行掃描和滲透，模擬真實網絡環(huán)境，以交互方式體現(xiàn)網絡攻擊和防御實戰(zhàn)過程。誘騙靶機誘騙靶機系統(tǒng)模擬網絡中的蜜罐服務器，包括各種主機系統(tǒng)和應用服務器系統(tǒng)，提供可定制的虛擬攻擊目標，提供相應的攻防所需要的漏洞用來進行掃描和滲透，模擬真實網絡環(huán)境，以交互方式體現(xiàn)網絡攻擊和防御實戰(zhàn)過程監(jiān)控平臺實驗室監(jiān)控平臺可以記錄和禁止網絡活動，掃描當前網絡的活動，監(jiān)視和記錄網絡的流量，根據定義好的規(guī)則來過濾從主機網卡到網線上的流量，提供實時報警。監(jiān)控系統(tǒng)所能做到的不僅僅是記錄事件，它還可以確定事件發(fā)生的位置。通過追蹤來源，可以更多的了解攻擊者。不僅可以記錄下攻擊過程，同時也有助于確定應用方案。通過與滲透平臺、靶機平臺的聯(lián)動可以實時的監(jiān)控整個攻擊過程，并根據設置的評分標準對整個攻擊過程的滲透主機進行評分和排名，同時監(jiān)控平臺可以根據靶機系統(tǒng)的加固過程進行評分和排名。第7章方案優(yōu)勢和特點實驗室優(yōu)勢提供多種模式課件實驗室為計算機及網絡安全研究提供多模式的安全課件，能夠模擬軍工、公安、政府、醫(yī)療、能源等多種網絡環(huán)境，能夠進行各種安全威脅的實際操作，針對不同的攻擊防御模式，提供多種實驗課件選擇。開放式的平臺共建系統(tǒng)提供題庫管理、內容管理等多種擴展接口，方便單位定制添加已有實驗，同時支持合作方式對平臺的二次開發(fā)。全程自主操作的攻防模擬信息安全實驗室的全部課件均是將安全理論與實際環(huán)境和動手操作相結合的實驗課程，所有的實驗過程中，都需要通過實際動手進行實驗操作，完成課件要求的安全威脅攻擊以及針對該攻擊的安全防御措施。通過不同的實驗課程讓相關人員親身體驗計算機及網絡安全的攻防全過程，可以極大的提升相關人員的安全意識，進一步提高對網絡安全的防范意識。真實的研究環(huán)境目標網絡、操作系統(tǒng)、漏洞均模擬現(xiàn)網的真實環(huán)境，入侵、防護過程完全真實。并非像一些實驗系統(tǒng)只能模擬輸出既定的結果，貼近實際。模塊化可獨立部署或融合部署：可單獨接入終端機器進行安全實驗，更可配合天融信實驗室優(yōu)化版的各類產品，例如防火墻、UTM統(tǒng)一威脅管理系統(tǒng)、IDS入侵檢測系統(tǒng)、內網安全管理系統(tǒng)、交換機、路由器、接入認證系統(tǒng)等基礎安全及網絡實驗室模塊組合成為真實攻防的全局環(huán)境中。實驗室特點完整性實驗室平臺體系涉及社會工程學、密碼學、病毒學、主機安全、操作系統(tǒng)安全（包括Windows系列、Linux、Unix、BT5等）、網絡基礎、網絡攻防、容災備份、無線安全等方面。實踐性理論與實踐操作緊密、完美的融合。實驗操作中應用的方法與技能可直接應用到實際環(huán)境中，實驗環(huán)境與實際環(huán)境的差異性大大的縮小。與此同時，本系統(tǒng)可以實現(xiàn)同主流設備的無縫結合，增強實驗室應用性建設，提高單位的設備利用率。先進性實驗室采用“進階式”設計，實驗內容難度由淺入深，實驗類型又驗證到設計，實驗對象層次由低到高；實驗教程采用“多元化”理念，既可以提高單位培養(yǎng)相關人員的安全意識，又可以滿足單位研究安全人員的實驗需求。擴展性該系統(tǒng)允許單位根據研究需要，自主擴充實驗內容，設計實驗步驟，制作實驗拓撲，并可靈活地設置和發(fā)布。力求打造實驗研究、管理、提高、演練四位一體的全方位實驗室系統(tǒng)。安全研究能力天融信公司已建成前沿安全研究中心、阿爾法實驗室、企業(yè)博士后流動站、美國安全分析實驗室、安全云服務中心五位一體的企業(yè)級安全感知系統(tǒng)，時刻感知網絡的風云變化，幫助互聯(lián)網用戶及時了解網絡威脅狀況，提升安全意識，及時防范網絡攻擊。培訓服務及認證天融信可根據企事業(yè)單位的不同需求，對為用戶提供完整的實驗手冊，并能根據用戶的不同需求，提供培訓、認證等服務。實驗手冊樣例培訓體系和證書樣例DD第8章實驗室建設建議口實驗室建設步驟天融信信息安全實驗室采取循序漸進的原則，即能滿足公安各行業(yè)現(xiàn)有的需求，又利于各行業(yè)后續(xù)的信息安全發(fā)展需求。搭建安全演練平臺在現(xiàn)有網絡平臺的基礎上，添加2-4臺攻防對戰(zhàn)系統(tǒng)，通過演練平