信息安全攻防实验室组建方案Word下载.docx
- 文档编号:20407640
- 上传时间:2023-01-22
- 格式:DOCX
- 页数:33
- 大小:1.62MB
信息安全攻防实验室组建方案Word下载.docx
《信息安全攻防实验室组建方案Word下载.docx》由会员分享,可在线阅读,更多相关《信息安全攻防实验室组建方案Word下载.docx(33页珍藏版)》请在冰豆网上搜索。
二、主机安全
从实际运作的层面来看,信息技术安全问题围绕三个基本事实:
其一,IT系统不可能绝对可靠地识别用户的身份。
其二,授权用户可能会被利用;
其三,如果黑客获得了对主机的访问权,那么该主机就可能被闯入。
后者,即为主机加固安全,是极其重要的一道防线。
一方面,主机等高价值目标往往吸引的是黑客中的高手;
另一方面,如果保存在主机上的数据越重要,用户对它的安全投入就越大,正所谓是“魔高一尺,道高一丈”的较量。
在过去的几年间,现实世界的一些犯罪组织一直在积极招揽黑客,从事针对某些目标的犯罪活动,比如最近黑客试图从住友银行的英国分行盗窃约2亿英镑。
此类犯罪活动结合了对IT系统获得物理访问权和黑客行为,这意味着单单在主机和因特网之间设置性能可靠的防火墙已不足以保护你的数据。
如今,黑客完全有可能透过防火墙将黑客工具装入网络发动内部进攻。
由于众多黑客工具在网上能够免费获得,加上USB存储设备随手可得,只要闲置的USB端口能够实际访问公共场所(比如接待处),就有可能利用网络上的任何PC发动攻击。
为此,你要开始考虑对主机进行加固,以防直接从网络内部发动的攻击。
三、应用安全
由于网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。
根据Gartner的最新调查,信息安全攻击有75%都是发生在Web应用而非网络层面上。
同时,数据也显示,三分之二的Web站点都相当脆弱,易受攻击。
然而现实确是,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证Web应用本身的安全,给黑客以可乘之机。
当今世界,Internet(因特网)已经成为一个非常重要的基础平台,很多企业都将应用架设在该平台上,为客户提供更为方便、快捷的服务支持。
这些应用在功能和性能上,都在不断的完善和提高,然而在非常重要的安全性上,却没有得到足够的重视。
1.2.建设项目的必要性
2012年11月30日本年度全球信息安全调查报告显示,中国企业信息安全事故发生率远远高于世界平均水平。
网络事故、数据事故及系统事故是三大中国企业常见的信息安全事故,发生率分别为51%、45%、和40%。
而相同事故在全球范围内的发生率则为25%、27%与23%。
也就是说,中国企业发生信息安全事故的概率是世界平均水平的2倍左右。
而这个数据与2011年相比仍呈现一定程度的上升趋势。
为了全面提高信息安全的水平,需要普遍提高人员的信息安全意识,需要对信息安全威胁和信息安全漏洞进行认识,需要提高信息安全防范的技能。
因此,建立一个信息安全实验室非常有必要,其作用在于:
⏹将特定领域的信息安全威胁和信息安全脆弱性进行集中管理;
⏹将特定领域的信息安全威胁与脆弱性的可视化展示或再现;
⏹按需要搭建特定要求的攻防演练环境,对特定要求的信息安全攻防演练进行支持;
⏹提供特定需要的信息安全攻防技术培训与实验;
⏹向观摩人员展示信息安全攻击实验,提高对信息安全的认识;
⏹提供特定安全威胁、脆弱性以及安全机制的研究与学习实验平台。
本解决方案,根据蓝盾公司的技术优势和最佳实践经验,提供对网络安全、主机安全、应用安全以及数据库安全的攻防实验支持。
1.3.项目建设预期目标
本方案针对XXXX建设一个信息安全实验室仿真漏洞系统,其目标是:
⏹提供一个安全攻防实验的实验仿真平台,可以将实施设备自由组合成信息安全攻防实验仿真环境,让攻防双方展开竞赛,并可以让第三方进行观摩、评比和学习;
⏹提供一个安全威胁与漏洞的仿真展现平台,可以方便地将漏洞与威胁进行展现,让学习或参观的人员能够直观地了解信息安全的漏洞与威胁;
⏹提供安全攻防实验的仿真平台,在这个仿真平台上,可以按照课程或实验的安排,演练网络、主机、互联网应用、数据库等相关信息技术的安全威胁、脆弱性以及各种安全机制。
⏹提供信息安全技术人员培训课程,可以为XXXX进行信息安全专业技术人员进行人才储备。
1.4.项目设计遵循原则
根据XXXX工作的需要,方案设计中需要将其工作的特殊性,实际性,可扩展性,以及业务发展等作为方案建设的依据原则。
具体可按照以下原则进行设计:
(1)内部实用性支持原则
模拟实训室的建设,以及攻防分析与安全技术人员的培养,首先是为了XXXX内部的信息资产安全提供强有力的技术保障队伍,能够及时发现、追查互联网中的安全异常事件,提供互联网渗透测试技术支持和顾问建议。
(2)产品成熟性原则
本方案中所使用的软硬件设备充分吸收国际安全厂商的先进经验,已成功投放市场多年,获得国内外机构、国际权威安全专家的一致好评。
蓝盾WEB应用弱点扫描器属于本公司自主研发产品,有专门的研发团队和维护团队,保障产品的稳定性和工作性能。
(3)可扩展性原则
计算机与通信技术发展速度很快,网络攻击与防御技术也在不断发展,新的业务、新的攻击途径、新的防御技术都要求安全实验室的基础设施和专业能力具备一定的扩展性。
(4)可控性原则
采取的技术手段可达到安全可控的目的,工程实施的周期、人员和安全性等具有可控性。
(5)便捷性原则
方案中产品自身系统均提供统一的界面风格,可为每个操作员提供易于使用的操作界面,提高工作人员的上手能力。
2.信息安全实验室整体规划
2.1.实验室方案设计
根据XXXX人员工作和学习的实际需求,我们专门进行了针对性的信息安全实验室网络部署设计。
在本方案设计中,我们根据现有网络资源进行最大限度的合理利用,将技能训练功能和渗透功能与之进行有机结合,实现了工作,训练,演示和内外网互联功能的全结合。
下面是我们方案规划设计示意图:
方案示意图
2.2.实验室方案介绍
XXXX信息安全实验室作为XXXX工作人员的学习和工作的综合平台。
需要从功能演示环境,工作环境,训练环境等多方面来进行建设,以满足XXXX工作人员工作的实际需求。
方案设计的具体规划如下:
信息安全实验室演示系统:
主要是作讲师的课件讲解、上级领导或者外部人员进行参观展示功能。
信息安全对抗演习:
主要作为网络特侦工作人员实训平台,提供高仿真的网络攻击训练环境,使网络特侦人员通过此训练更好的掌握网络攻击技能。
渗透测试(模拟各类攻击):
实验室仿真漏洞系统提供一个信息系统的渗透测试接口,渗透测试人员可以利用信息安全攻防实验室的仿真漏洞系统,进行渗透测试。
2.3.方案所需设备
根据方案设计原则,整个方案所需的具体设备如下:
类型
设备名称
数量
实现功能
硬件
交换机(24口)(由局方提供)
2台
将各网络设备进行互连
服务器(由局方提供)
8~10台
构建网络环境工作站
软件
实验环境仿真漏洞平台(由蓝盾公司提供)
1套
攻防实验室组建的基础
蓝盾WEB应用弱点扫描器(由蓝盾公司提供)
3套
WEB应用安全专用评估工具
半自动化渗透测试工具(由蓝盾公司提供)
渗透测试专用评估工具
主机实验平台(由蓝盾公司提供)
智能化渗透攻击平台
2.4.方案预留说明
考虑到XXXX工作以后发展的实际需求,在整个方案设计工程中我们就预留了扩展区域,供日后业务扩展需要。
3.信息安全实验室功能
XXXX模拟实训方案可以实现以下四个功能:
演示功能、渗透测试功能以及信息安全对抗演习和信息系统安全验证功能。
通过本方案,一方面可以满足XXXX人员的实际的工作需求;
另外一个方面可以满足XXXX工作人员的技术训练需求;
再者,可以作为参观、学习演示功能。
具体方案如下:
3.1.信息安全实验室演示系统
它的主要作用是可以作为参观演示功能、工作汇报功能和训练讲解功能。
本功能是基于整体方案设计的一个功能。
在整个规划图中,它通过主机实验平台连接攻击应用仿真平台实现。
3.1.1.系统结构
本部分是在内部网络环境内进行,通过主机实验平台连接到我们的蓝盾公司实验环境仿真漏洞平台进行功能演示。
主要包含了硬件系统和软件系统,我们通过将这两者进行的合理配合,实现演示功能。
3.1.2.系统组成
演示功能部分系统主要由:
硬件系统,软件系统。
◆软件系统主要包含:
蓝盾实验环境仿真漏洞平台,蓝盾WEB应用弱点扫描器,半自动化渗透测试工具以及主机实验平台等。
Ø
蓝盾实验环境仿真漏洞平台:
通过搭建各种真实的WEB应用系统环境以及预设的系统漏洞及应用安全漏洞库,以满足攻防实验的需要。
蓝盾WEB应用弱点扫描器:
通过深入分析研究B/S典型应用架构中常见安全漏洞以及流行的攻击技术基础上,研制开发的一款WEB应用安全专用评估工具。
半自动化渗透测试工具:
通过总结归纳大量SQL注入特征后的,研制开发的一款针对WEB应用的渗透测试专用评估工具。
主机实验平台:
通过输入基础的目标信息,平台将自动识别目标的操作系统类型、开放的服务、应用系统的特征。
◆硬件系统主要包括设备:
交换设备,蓝盾实验环境仿真漏洞平台设备,主机实验平台设备等
交换设备:
提供用户区接入技能训练的和演示功能的能力,并为整各个硬件平台提供通信支持。
蓝盾实验环境仿真漏洞平台设备:
提供蓝盾实验环境仿真漏洞平台存放的功能,为整个技能训练功能提供实验环境。
主机实验平台设备:
通过尝试各种可能的漏洞利用手段对目标系统进行攻击测试,最终获取权限的智能化渗透攻击平台。
3.2.渗透测试(模拟各类攻击)
为了对信息系统的安全进行风险评估,往往需要对信息系统进行渗透测试,本信息安全攻防实验室仿真漏洞系统提供一个信息系统的渗透测试接口,渗透测试人员可以利用信息安全攻防实验室的仿真漏洞系统,进行渗透测试。
3.2.1.系统结构
通过信息安全攻防实验室仿真漏洞系统对其进行渗透测试,同时由于信息安全实验室具备各种信息安全威胁及信息安全漏洞的数据库及验证实验仿真环境,其扫描及渗透测试工具比较齐全,有利于渗透测试工作的实施。
3.2.2.系统组成
渗透测试功能部分主要由:
硬件系统,软件系统组成。
蓝盾WEB应用弱点扫描器,半自动化渗透测试工具以及主机实验平台等。
交换设备,主机实验平台设备等
提供用户区接入技能训练的和演示功能的能力,并为整个硬件平台提供通信支持。
3.3.信息安全对抗演习
信息安全攻防实验室仿真漏洞系统具有信息安全攻防对抗演习功能,攻防双方在应用仿真平台上展开攻防演习。
攻方利用一切可以利用的工具对目标系统进行攻击,防御方利用检测和防御系统以及对应用仿真平台上的信息系统进行安全加固以达到防御攻击方的进攻。
信息安全攻防对抗演习可以达到评估安全防御和安全攻击能力的有效方法,并能够对信息系统的安全性进行有效的验证。
3.3.1.系统结构
本部分是在内部网络环境内进行,由主机实验平台连接到的攻击应用仿真平台进行技术训练。
提供高仿真的网络攻击训练环境,使网络特侦人员通过此训练更好的掌握网络攻击技能。
3.3.2.系统组成
采用漏洞产生的原理和渗透测试的方法,对WEB应用进行渗透性测试,可帮助工作人员了解应用系统存在的脆弱性,并提供相应的漏洞利用结果。
◆硬件主要包括设备:
3.4.内外网互联功能
在整个方案设计中,内外网互联功能非常重要,它一方面可以保护我们的内网安全,使内网环境不受到来自外网的威胁;
同时也提供渗透测试功能,满足XXXX人员的实际工作需求。
3.4.1.功能实现
内外网互联功能通过网络防火墙对外网映射服务器进行设置,使外网映射服务器可以直接访问到目标网站,根据渗透测试的结果进行相应的操作。
在防火墙进行设置开放FTP端口或者WEB端口,以供目标服务器主动下载。
3.4.2.系统组成
内外网互联功能主要由硬件系统、软件系统组成。
需要放到目标服务器上运行的特殊工具。
这些工具包括:
痕迹清理工具,局域网攻击工具等等。
◆内外网互联功能主要由一台外网映射服务器组成。
外网映射服务器:
存储对外网进行攻击的网络工具。
3.5.信息系统安全验证
信息系统系统安全验证可以实现信息系统实施的全生命周期安全测评,包括信息系统验收测试的测评工作、信息系统上线前的测评工作以及生产环境中的安全测评工作。
在系统投运之前、升级改造之后对其运行环境进行全面的安全测评,并协助进行安全加固,确保系统正式上线运行时满足相关安全要求。
具体实现:
⏹确保新上线系统或升级改造之后的系统在上线前就符合国家、行业监管、业务部门的相关法律法规、行业规范以及部门安全策略和安全基线等要求。
⏹确保新上线系统或升级改造之后的系统在上线后的安全运行有保证,包括有足够的安全能力防范黑客入侵、DDOS攻击、业务中断、灾难破坏等安全风险。
⏹对新上线系统或升级改造之后的系统在上线前将发现的重大安全漏洞进行安全加固,确保新上线系统或升级改造之后的系统在上线时不存在明显的重大安全漏洞和安全隐患。
本信息安全攻防实验室提供一个信息系统部署前网络验证的平台,可以利用信息安全实验室的设备和信息安全工具对部署前的信息系统进行安全验证。
4.攻防实验室配置清单
编号
功能概述
1
蓝盾实验环境仿真漏洞平台
通过搭建各种技术构架的操作系统及软件环境,并在操作系统及软件环境上搭建各种类型的应用系统,包括ASP+IIS+SQLSERVER
ASP.NET+IIS+SQLSERVER
JSP+轻量级JAVA框架+TOMCAT+ORACLE及邮箱系统;
构造各种真实的WEB应用系统环境以及预设的系统漏洞及应用安全漏洞库,以满足攻防实验的需要。
2
蓝盾WEB应用弱点扫描器
3
采用攻击技术的原理和渗透性测试的方法,对WEB应用进行深度漏洞探测,可帮助应用开发者和管理者了解应用系统存在的脆弱性,为改善并提高应用系统安全性提供依据,建立安全可靠的WEB应用服务
半自动化渗透测试工具
半自动化渗透测试工具作为一款专业级的WEB应用安全测试工具,不仅具有精确/高效的取证功能、极为灵活的配置、强大的渗透等功能,在针对一些常规同类软件无法取证的漏洞点,可以轻易的获取数据。
4
主机实验平台
对目标服务器进行自动化渗透测试。
通过搜集各种信息,自动化确定目标的安全问题,并通过各种安全漏洞对目标发起渗透性攻击,最终获取系统的权限或各种敏感数据。
具体设备说明请看附件一。
5.信息安全实验室培训设计
5.1.培训目标
信息安全实验室的总体目标是:
通过专业安全公司和硬件设备及系统软件原厂商提供的一系列专业化培训,使XXXX特侦工作人员能够正确、熟练、有效地利用本攻防实验室进行网络安全攻防技术的学习、培训。
在本项目的培训中,我们将改变目前国内普遍存在的“讲完就算,讲完就走”的呆板培训模式,转变为“减少讲授、增加操作”的培训新模式,切实提高受训人员的应用本系统的实际能力。
采用理论讲授、操作示范、考察学习相结合的等培训形式,切实提高培训效果。
我们根据本项目的实际需求,设计了具有针对性和实用性的培训课程。
在课题的选择和教材的编制上都采用高质量、易学习的标准进行课程设计。
同时我们专门为本方案挑选了技术水平高、项目经验丰富且直接参与本项目设计实施的资深安全研究工程师担任培训教师,以便能够从各方面保证培训的质量和效果。
5.2.培训教师
蓝盾公司具有一批优秀的安全研究工程师,具有丰富的安全攻防经验以及深厚的安全背景,为XXXX相关技术人员提供全面、深度的安全培训。
为推动信息安全专业化教学,提高信息安全实验室和网络攻防实验室应用效率,蓝盾推出信息安全讲师培训,该培训以网络和信息安全相关理论为基础,熟悉实验室操作,学会专业性授课技巧,有助于老师对信息安全体系的深入认知,将实验课程快速融合进教学计划中。
5.3.培训方式
本项目的培训方式主要包括集中培训、现场培训等。
1、集中培训
集中培训将针对实验室管理人员特点,以两种形式展开:
(1)理论知识培训
理论知识培训包括业务使用、网络系统、硬件设备、系统软件、应用软件等各个方面的培训。
时间主要安排在整个系统集中调试之前进行。
(2)上机操作培训
上机操作培训是培训工作的重中之重,上机操作的效果直接决定整个培训的效果。
为此将上机操作安排到现场进行,这样可以保证上机培训质量。
时间主要安排在整个系统集中调试之后进行,既可以利用当地的现场环境,又可以保证每位受训人员都有设备和软件,为下一步整个系统的上线运行打下扎实基础。
2、现场培训
我们将安排资深安全研究工程师针对XXXX技术人员进行现场教学和即时指导,增加学习机会,使技术人员增强网络安全背景知识的同时,能更直观地了解软硬件安全设备的操作、管理、维护知识,提高攻防实验室的使用、管理、维护水平。
5.4.培训课程
课程名称
课程内容
课时安排(40分钟/课时)
WEB应用安全概述
信息安全从传统网络层、系统层到应用层的转变
1.0课时
WEB应用安全事件介绍
WEB应用安全威胁
简介当前WEB应用系统所面临的主要威胁,包括页面篡改、信息泄露、网页挂马等;
0.5课时
介绍近年来国家权威机构安全研究报告以及我公司WEB应用安全监测报告
WEB应用安全漏洞
OWASPWEB应用安全开源项目简介
OWASPTop10简介
SQL注入详解
2.0课时
跨站脚本详解
CSRF跨站伪造请求详解
下载漏洞详述
OWASPTop10其他漏洞介绍
HTTP嗅探抓包
嗅探抓包在渗透测试中的利用
5
中间件安全及防护
实例讲解IIS、apache、TOMCAT、weblogic中间件安全及防护
6
WEB应用安全防护
通过安全编程、安全配置、安全管理、安全产品、风险评估以及应急响应六大方面保障WEB应用系统的安全
7
个人信息安全
从账号使用习惯,PC使用习惯,信息发布习惯等方面确保信息安全人员的管理信息安全
8
工具操作培训
蓝盾WEB应用弱点扫描器、半自动化渗透测试工具和主机实验平台的操作培训
3.0课时
5.5.实验课程
分类
内容
课时(小时)
信息收集
目标信息收集
存活探测
服务及应用探测
协议栈指纹鉴别
WEB渗透测试
SQL注入漏洞
跨站脚本漏洞
脚本上传漏洞
弱口令暴力探测
csrf攻击
文件包含漏洞
密码破解
系统漏洞探测攻击
应用漏洞探测攻击
密码暴力破解攻击
欺骗攻击测试培训
DNS欺骗
SSL欺骗
隐藏防护
关联攻击测试培训
旁注漏洞攻击
远
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 攻防 实验室 组建 方案