电子信息工程系信息安全实训室建设方案

电子信息工程系信息安全实训室建设方案内容摘要：

防实验的全过程，从而直观的了解到 TCP/IP、系统和应用的脆弱性，了解常见的攻击方式，以及各类安全设备在其中起到的作用。 攻防实验课教学的目标的是使学生能够具备以下能力： 1． 能够分析计算机网络、系统和应用存在的常见脆弱性，以及面临的主要安全威胁。 学会针对各种网络环境中存在的安全问题进行判断和分析 2． 掌握网络和系统的各种安全防护手段。 3． 学会 调试和配置 通用 主流 的 商业防火墙、 IDS、漏洞扫描 设备。 实验室建设原则 信息安全实验室 建设必须遵循以下的建设原则： 多系统、多平台的原则 操作系统不安全是计算机网络与信息系统不安全的根本原因，所以必须得研究各平台上的各操作系统存在的不安全因素以及如何防范这些不安全因素。 试验设备多样性原则 非法者的入侵除了针对操作系统及各应用系统外，通常还通过对各种网络设备、安全设备进行攻击来达到非法入侵的目的；同时，非法者的自身网络也被许广州大学电子信息工程系 信息安全实验室 建设方案 第 11 页 共 31 页 多的安全设备所保护着，所以无论是从了解网络安全行为、研究网络入侵防护手段，还是从如何加强信息系统防护的角度分析，都必须对各种网络设备、安全设备进行研究。 实验 室网络系统自身的安全性原则 由于实验室网络与校园网有着紧密的联系，为了防止的不法人员的入侵，所以必须得保证安全实验室自身的安全性。 课件和知识库完善原则 网络安全实验室是提供网络安全研究课程教学、实验的环境，必须准备较完备的网络安全方面知识库和科学、合理、循序渐进的教材、课件、实验课程，才能更好教授学生网络安全方面知识，提供学生的网络安全知识水平和能力。 网络系统可扩展性原则 实验室的网络系统必须具有实用性，针对性，留有网络扩展的余地。 计算机网络及通信技术的发展速度极快，非法者入侵的手段是随之发展的 ，所以实验室网络系统必须具备极强的扩展性。 实验平台高可管理性原则 按照常规的网络规划方法，需要投入大量资金购买网络设备、应用软件。 如何提高有限设备的利用率是我们需要解决的问题。 所以实验测试环境怎样建立为一个高可管理性网络，怎样实现对网络设备、安全设备、操作系统、应用系统的自动配置，形成所需测试环境是我们要解决的重要问题。 理想的状况是在适当增加电脑终端和少量其他设备的情况下，可以同时开展 5 组以上的网络安全实验。 实验室建设要求 总的来说，网络安全实验室是根据国际最新网络安全技术发展方向，国内院校对网络安 全研究和教学的需求，以模 块化、可配置实验平台为基础的一个集课件管理、工具管理、知识库管理、实验 操作、过程分析为一体的解决方案。 方案具有以下特点：  可扩展性极强的实验环境  完善的课件、课程和实验条件  多系统、多平台、实验设备多样 广州大学电子信息工程系 信息安全实验室 建设方案 第 12 页 共 31 页  跟踪国际最新网络安全技术发展 4. 相关知识体系 预备知识  OSI 协议基础  TCP/IP 协议簇  UNIX／ LINUX 系统管理和配置  WINDOS2020／ 2020 系统管理和配置  DOS 系统命令  关系型数据库原理和配置（ MSSQL／ ORACLE）  SQL 语言  脚本语言编程（ SHELL/PERL）  路由器、交换机原理和基本操作 (CISCO/HUAWEI) 实验课相关的知识体系  安全体系框架、安全标准和法律法规 : 安全管理体系框架和相关的标准，安全系统管理体系的建设、运行及审核  黑客攻击技术 : 黑客攻击的一般过程及常见的方法，黑客常见的利用方式及应对措施  Windows 安全管理和配置： Windows 系统安全问题，常用服务安全配置方法和入侵防范措施，系统安全恢复措施  UNIX 安全管理和配置： UNIX 系统安全问题，常用服务安全配置方法和入侵防范措施，系统安全恢复措施  密码学及应用：密码原理 及发展背景、相关加密技术及用途  防火墙技术：防火墙基本概念和术语、机制和结构以及配置原则 广州大学电子信息工程系 信息安全实验室 建设方案 第 13 页 共 31 页  入侵检测技术：入侵检测技术的基本概念和原理、入侵检测的分析技术及部署、黑客入侵事件的分类  漏洞扫描技术：漏洞扫描原理，操作系统漏洞和网络协议漏洞产生原因  数据库安全管理和配置 : 数据库安全原理， SqlServer 及 Oracle 数据库等常见数据库系统的安全配置  Web 应用安全 : WEB 安全漏洞；典型的针对 WEB 安全漏洞的攻击 5. 信息 安全实验室设计 总体设计 图 1 信息安全实验室总体设计 基础硬件平台： 开放基础硬件平台包含三个基本组成部分：基础网络平台组件、安全实验设备组件、存储系统组件。 根据实验室不同的教学、研究、开发等业务提供一个全面的基础通讯硬件平台。 ： 面向实验室攻防教学和课题研究两个方向，该层面主要提供信息安全教材体系、安全知识资源库、师资培训及定期交流服务。 ： 实验业务层面为最终的应用层，即实验室可以开展的相关业务，从实验室建广州大学电子信息工程系 信息安全实验室 建设方案 第 14 页 共 31 页 设的阶段分析和长期发展趋势来看，基础教学培训、课题研究、行业应用研究都是必不可少的环节和应用内容。 实验室的管 理不仅仅是简化实验员的操作过程，启明星辰的解决方案依靠路由器反向 Tel 功能实现一组实验设备的集中控制外，更加注重实验室的业务层管理，包括实验室测试床管理、服务环境模拟、安全设备监控中心等内容。 详细内容请参考后续实验室设计内容。 平台结构 图 2 信息安全实验室实验平台结构 信息安全实验室网络结构分教学实验区、公共服务区、服务器模拟区。 根据实际资金投入的情况可以划分其他的区域，例如：边界环境模拟区、专线环境模拟区等，也可对已有的各个区域进行无限扩展，增加复杂度，提高可同时开展不同实验的数量，同时进 行实验终端的数量。 教学实验区 分学生实验组和教师实验组，原则上每组配套防火墙、 IDS、漏洞扫描等广州大学电子信息工程系 信息安全实验室 建设方案 第 15 页 共 31 页 安全设备。 安全设备的管理控制中心直接装在学生用的 PC 上，同时受公共服务区的安全设备监测服务区监控。 公共服务区  安全设备监测中心 实验环境的监测是为了捕获和分析网络安全实验过程的各种数据，主要由网络入侵检测系统、网络审计系统、防火墙、网络设备、操作系统、应用系统和数据库所提供的安全信息组成。  测试床管理系统 测试床管理系统是用于对实验环境网络逻辑拓扑结构进行调整和配置的软件系统，通过在配置管理系统中预置的各种预定义策略，对测试床的网络结构和配置进行调整，使之改变逻辑结构，能够模拟不同的网络系统，使各种信息系统安全模拟实验可以在系统上运行。 实验环境配置管理系统的功能主要是提供一个集中的远程配置管理系统，通过调用这个配置管理系统，可以实现对目标设备的配置。  安全知识库 对于网络安全实验室所需要的安全漏洞信息和安全防护和攻击工具，建议采购成熟的漏洞资源库系统。 漏洞信息资源库，以下简称漏洞库系统，是一套能够有效地管 理漏洞和攻击方法的漏洞信息管理系统。 系统全面符合 CNCVE（即中国漏洞库规范）标准。 利用该系统不仅可以通过各种攻击工具了解黑客入侵的方法手段，而且能够在攻击分析中的利用技术漏洞与社会工程、行为模式与隐蔽方式等关系，全面对付黑客入侵。 积极的防御工具也能在一定条件下对入侵进行防护和追踪。 服务环境模拟区 服务环境模拟区的网络环境比较简单，但是操作系统、应用系统和数据类型比较多，而且使用了支撑 san boot 技术的存储系统实现服务器的高可用性，并可模拟多种应用环境。 广州大学电子信息工程系 信息安全实验室 建设方案 第 16 页 共 31 页 San boot 实现 SAN boot 技术为系 统的可用性及可靠性的提高提供了另一种途径，这种提高是建立在外部磁盘的性能及可靠性均明显高于普通 SCSI 磁盘的基础上的。 同时，由于 SNA boot 技术是将系统安装至外部磁盘中，为系统的迁移及快速恢复也提供了有力的保证。 图 4 san boot 实现原理 说明：  要通过 san boot 技术实现服务环境模拟区的高可用性，首先需要配置各个操作系统支撑 san boot，也就是 boot from san  所有模拟主机或服务器都需要安装 HBA 卡  在光纤磁盘阵列中预先安装好各种想要使用的系统，如上图：同样是 solaris系统可能需要安装 solaris＋ weblogic、 solaris＋ apache、 solaris＋ wehsphere 等等。 广州大学电子信息工程系 信息安全实验室 建设方案 第 17 页 共 31 页  这样主机系统只要作为一个基本系统平台，各种应用通过 san boot 切换，从光纤磁盘阵列中调去。 课程设计 课程的内容应该包括“相关知识体系”中“实验课相关的知识体系”的内容，其中的实验课程至少包括以下三个方面： 实验课程名称 课程意图 课程主要成分 网络系统脆弱性 掌握网络安全存在的根本原因 1. 常用的协议介绍，脆弱性分析 2. 与平台相关的协议及脆弱性分析 3． 05 年 cve 的漏洞描述、分析和验证 安全技术应用 认识网络安全包括的领域、技术；掌握常见网络安全产品的使用和操作 1. 了解网络安全的发展历程 2. 掌握安全技术的分类，作用，主要技术指标 3．掌握防火墙、网络入侵检测和防护系统、网络扫描器等的使用和操作 黑客攻击技术 各种黑客攻击行为的特征了解当前流行的网络安全防护和攻击技术 1. 掌握黑客攻击的一般过程。 2. 了解 Sql 注入攻击和防护研究、 ddos 攻击和防护研究、扫描攻击和防护研究、后门木马攻击和防护研究、溢出攻击和防护研究、 google 类攻击和防护研究等。 课件可包括教材、讲义（ PPT）、实验手册等。 广州大学电子信息工程系 信息安全实验室 建设方案 第 18 页 共 31 页 6. 信息安全实验室管理 实验室组织结构 实验室的一般组织结构如下图 图 6 信息安全专业实验室组织示意图  实验室主任：负责实验全面工作，重点负责实验。