網(wǎng)絡(luò)安全攻防實驗室方案

網(wǎng)絡(luò)安全攻防實驗室建設(shè)方案XXXX信息科學(xué)與工程學(xué)院TIME\@"yyyy/M/d"2017/5/4

目錄第一章網(wǎng)絡(luò)安全人才需求 31.1網(wǎng)絡(luò)安全現(xiàn)狀 31.2國家正式頒布五級安全等級保護制度 31.3網(wǎng)絡(luò)安全技術(shù)人才需求猛增 4第二章網(wǎng)絡(luò)安全技術(shù)教學(xué)存在的問題 42.1網(wǎng)絡(luò)安全實驗室的建設(shè)誤區(qū) 42.2缺乏網(wǎng)絡(luò)安全的師資力量 42.3缺乏實用性強的安全教材 5第三章安全攻防實驗室特點 53.1安全攻防實驗室簡介 5第四章安全攻防實驗室方案 64.1安全攻防實驗室設(shè)備選型 64.1.1傳統(tǒng)安全設(shè)備 64.1.2安全沙盒——使實驗室具有攻防教學(xué)功能的獨特產(chǎn)品 74.2安全攻防實驗室拓撲圖 84.3安全攻防實驗室課程體系 94.3.1初級DCNSA網(wǎng)絡(luò)安全管理員課程 94.3.2中級DCNSE網(wǎng)絡(luò)安全工程師課程 114.4高級安全攻防實驗室實驗項目 13 13 15第七章網(wǎng)絡(luò)實驗室布局設(shè)計 257.1實驗室布局平面圖 257.2實驗室布局效果圖 267.3機柜擺放位置的選擇 26

第一章網(wǎng)絡(luò)安全人才需求1.1網(wǎng)絡(luò)安全現(xiàn)狀信息技術(shù)飛速發(fā)展，各行各業(yè)對信息系統(tǒng)的依賴程度越來越高，建立持續(xù)、穩(wěn)定、安全的網(wǎng)絡(luò)是保障用戶業(yè)務(wù)發(fā)展的前提。近年來，安全問題卻日益嚴重：病毒、木馬、黑客攻擊、網(wǎng)絡(luò)釣魚、DDOS等安全威脅層出不窮，而且技術(shù)越來越復(fù)雜，病毒、木馬及黑客技術(shù)等融合造成了網(wǎng)絡(luò)安全的巨大危機。用戶都已經(jīng)認識到了安全的重要性。紛紛采用防火墻、加密、身份認證、訪問控制，備份等保護手段來保護信息系統(tǒng)的安全。但是網(wǎng)絡(luò)安全的技術(shù)支持以及安全管理人才極度缺乏。1.2國家正式頒布五級安全等級保護制度2007年7月24日，公安部、國家保密局、國家密碼管理局、國務(wù)院信息工作辦公室正式上線頒布了信息安全等級保護規(guī)定，信息安全等級保護管理辦法及實施指南，頒布了《信息安全等級保護管理辦法》、《信息系統(tǒng)安全等級保護定級指南》、《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南》、《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》等辦法。辦法明確規(guī)定，信息系統(tǒng)的安全保護等級分為五級，不同等級的信息系統(tǒng)應(yīng)具備的基本安全保護能力如下：第一級安全保護能力：應(yīng)能夠防護系統(tǒng)免受來自個人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害，在系統(tǒng)遭到損害后，能夠恢復(fù)部分功能。第二級安全保護能力：應(yīng)能夠防護系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時間內(nèi)恢復(fù)部分功能。第三級安全保護能力：應(yīng)能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自外部有組織的團體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大部分功能。第四級安全保護能力：應(yīng)能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能。第五級安全保護能力：（略）。等保制度的頒布將網(wǎng)絡(luò)安全的重要性提高到法律法規(guī)的高度，并催生了一個新的職業(yè)：網(wǎng)絡(luò)安全評估工程師/專家，該職位屬于IT行業(yè)的頂級職位，目前的人才儲備遠遠不能滿足行業(yè)需求。1.3網(wǎng)絡(luò)安全技術(shù)人才需求猛增網(wǎng)絡(luò)安全技術(shù)涉及到國民經(jīng)濟的各個領(lǐng)域，技術(shù)發(fā)展迅速，在中國對安全人才的需求數(shù)量大，人才的需求質(zhì)量高，高技能型應(yīng)用人才十分缺乏，據(jù)51Job、中華英才網(wǎng)等人力資源網(wǎng)站統(tǒng)計，近年，人才市場對網(wǎng)絡(luò)安全工程師的需求量驟增，大中型企業(yè)都已經(jīng)設(shè)置了專業(yè)的網(wǎng)絡(luò)安全管理員，中小企業(yè)也大量需要懂得網(wǎng)絡(luò)安全的網(wǎng)絡(luò)管理員，銀行、證券、保險、航空、稅務(wù)、海關(guān)等行業(yè)尤其看重。網(wǎng)絡(luò)安全行業(yè)的就業(yè)需求將以年均14%的速度遞增，2008年，網(wǎng)絡(luò)安全行業(yè)的就業(yè)缺口人數(shù)將達到20萬以上。網(wǎng)絡(luò)安全工程師需要更高更全面的技術(shù)學(xué)習(xí)，因此薪資水平較一般網(wǎng)絡(luò)工程師高，可以達到1.5至3倍的水平，走俏職場成為必然。第二章網(wǎng)絡(luò)安全技術(shù)教學(xué)存在的問題2.1網(wǎng)絡(luò)安全實驗室的建設(shè)誤區(qū)很多學(xué)校在建設(shè)網(wǎng)絡(luò)安全實驗室的時候都會走進一個誤區(qū)，往往認為安全設(shè)備的安裝調(diào)試就是安全實驗室，沒有把安全攻防、系統(tǒng)加固作為網(wǎng)絡(luò)安全實驗室的建設(shè)內(nèi)容。安全設(shè)備的安裝調(diào)試以及安全網(wǎng)絡(luò)的拓撲設(shè)計的確是安全實驗室的重要內(nèi)容，但應(yīng)該不僅僅是這些內(nèi)容。大部分的網(wǎng)絡(luò)安全實驗室之所以建成安全設(shè)備的調(diào)試級別，主要是因為組織實驗室方案的往往是設(shè)備廠商，作為設(shè)備廠商關(guān)注的問題就是如何更多地銷售設(shè)備，這就導(dǎo)致實驗室的層次偏低，實驗項目不全面。2.2缺乏網(wǎng)絡(luò)安全的師資力量網(wǎng)絡(luò)安全是網(wǎng)絡(luò)行業(yè)中技術(shù)含量較高的方向，安全人才較為缺乏，學(xué)校師資也是一樣，好的師資是網(wǎng)絡(luò)安全實驗室教學(xué)中的一個重要環(huán)節(jié)。通過師資培訓(xùn)，再加上好的環(huán)境來實踐，可以保障網(wǎng)絡(luò)安全教學(xué)師資的提升。2.3缺乏實用性強的安全教材目前市面上面的網(wǎng)絡(luò)安全教材很多，但絕大部分都是以理論為主，很容易導(dǎo)致學(xué)生學(xué)習(xí)的厭煩感，教材的編排并沒有針對性的網(wǎng)絡(luò)安全實驗，這也是網(wǎng)絡(luò)安全實驗開展困難的主要問題。第三章安全攻防實驗室特點在一個已經(jīng)部署防毒軟件、防火墻、IDS、VPN等安全產(chǎn)品的實驗室中，很少有人清晰的知道這些安全產(chǎn)品的作用，以及能夠為計算機安全所帶來的保障。配置和組網(wǎng)的實驗帶給學(xué)生的仍然是書面的理論知識，學(xué)生沒有一個整體的概念。實驗室嚴重匱乏的是安全設(shè)備的組合以及攻防環(huán)境的建立，這讓很多學(xué)校以及企業(yè)感到無從著手，無力進行有效的網(wǎng)絡(luò)安全培訓(xùn)，面對以下問題無所適從：問題1：怎樣的教學(xué)方式才能讓學(xué)員更加快捷、高效的學(xué)習(xí)網(wǎng)絡(luò)安全方面的知識？問題2：什么樣的教學(xué)環(huán)境才能讓學(xué)員更容易、積極的學(xué)習(xí)網(wǎng)絡(luò)安全方面的知識，增強網(wǎng)絡(luò)安全意識？攻防帶給教學(xué)最真實的環(huán)境、最有效的實驗方式，學(xué)會真正最實用性安全技術(shù)，在實驗室中學(xué)生可以真實體驗到未來工作中的網(wǎng)絡(luò)狀況，并加以排除、維護和改造。3.1安全攻防實驗室簡介目前，各行業(yè)用戶對信息系統(tǒng)的依賴程度也越來越高，建立持續(xù)、穩(wěn)定、安全的網(wǎng)絡(luò)是保障用戶業(yè)務(wù)發(fā)展的前提。大家都認識到安全的重要性，紛紛采用防火墻、加密、身份認證、訪問控制，備份等保護手段來保護信息系統(tǒng)的安全。與此同時，安全問題日益嚴重，病毒、木馬、黑客攻擊、網(wǎng)絡(luò)釣魚、DDOS等安全威脅層出不窮，而且技術(shù)越來越復(fù)雜，病毒、木馬及黑客技術(shù)等融合造成了網(wǎng)絡(luò)安全的巨大危機。因此，國內(nèi)人才市場對網(wǎng)絡(luò)安全工程師的需求量驟增，大中型企業(yè)需要精通網(wǎng)絡(luò)安全的網(wǎng)管人員。原來的網(wǎng)絡(luò)安全實驗室都是面向設(shè)備安裝調(diào)試以及設(shè)備組網(wǎng)的實驗室，沒有針對網(wǎng)絡(luò)管理員實際遇到的安全攻防做出相應(yīng)的訓(xùn)練。網(wǎng)絡(luò)攻防實驗室采用SZSM的SZSM安全沙盒系統(tǒng)進行試驗。安全攻防實驗室使用主流的安全設(shè)備：如防火墻、入侵檢測與防御系統(tǒng)、統(tǒng)一威脅管理系統(tǒng)、終端安全系統(tǒng)、安全準入認證系統(tǒng)組成實驗網(wǎng)絡(luò)，將典型安全漏洞實驗案例、主機系統(tǒng)加固實驗案例以及漏洞掃描案例濃縮到稱之為“安全沙盒”的安全攻防實驗平臺中。安全沙盒與所有安全設(shè)備組合部署成一個強大的網(wǎng)絡(luò)測試環(huán)境，學(xué)生和研究人員可以更直觀、更有效、更方便地體驗設(shè)備中安全技術(shù)的部署，觀察并攻擊“安全沙盒”中定制服務(wù)器常見的操作系統(tǒng)漏洞和網(wǎng)絡(luò)應(yīng)用服務(wù)漏洞等，然后在安全沙盒上進行系統(tǒng)加固，并可以利用整網(wǎng)的設(shè)備聯(lián)動發(fā)現(xiàn)威脅、主動防御。安全沙盒的部署拓撲如下：第四章安全攻防實驗室方案4.1安全攻防實驗室設(shè)備選型4.1.1傳統(tǒng)安全設(shè)備傳統(tǒng)的安全設(shè)備包括防火墻、UTM統(tǒng)一威脅管理、入侵檢測引擎、認證計費、日志系統(tǒng)等產(chǎn)品，這些傳統(tǒng)的安全設(shè)備可以組建完整的網(wǎng)絡(luò)進行設(shè)備的安裝調(diào)試，滿足學(xué)生了解產(chǎn)品配置、了解產(chǎn)品功能的作用。傳統(tǒng)的安全設(shè)備是安全攻防實驗室不可或缺的產(chǎn)品，它們的組合可以完成安裝調(diào)試級別的所有實驗。4.1.2安全沙盒——使實驗室具有攻防教學(xué)功能的獨特產(chǎn)品SZSM安全沙盒系統(tǒng)——DigitalChinaSecureSandBox（簡稱：DCSS）為計算機安全教育提供實驗課程以及實驗環(huán)境。教師通過登錄DCSS系統(tǒng)的管理平臺SandBoxManagementCentrol（簡稱：SMC）進行實驗課程的教學(xué)工作，學(xué)生也可以通過登錄SMC進行教學(xué)課程的實驗操作。DCSS是SZSM網(wǎng)絡(luò)公司專為網(wǎng)絡(luò)安全攻防實驗室研發(fā)的產(chǎn)品，是進行網(wǎng)絡(luò)安全攻擊和防御的模擬平臺，鍛煉學(xué)生動態(tài)網(wǎng)絡(luò)安全維護的能力。其名取材于軍事術(shù)語“沙盤”，這意味著安全沙盒可以通過模擬實戰(zhàn)演練戰(zhàn)術(shù)和技術(shù)，其先進的設(shè)計理念為國內(nèi)首創(chuàng)。安全沙盒系統(tǒng)為計算機及網(wǎng)絡(luò)安全教育提供多系統(tǒng)平臺的教學(xué)課件，在教學(xué)、培訓(xùn)過程中，根據(jù)需要可以啟動基于不同操作系統(tǒng)平臺的教學(xué)課件，滿足所有教學(xué)環(huán)境的需求。安全沙盒系統(tǒng)為計算機及網(wǎng)絡(luò)安全教育提供多模式的安全攻防實驗課件，能夠進行各種安全威脅的攻防操作，針對不同的攻擊防御模式，提供多種實驗課件選擇。安全沙盒系統(tǒng)的全部課件均是將安全理論與實際環(huán)境和動手操作相結(jié)合的實驗課程，所有的學(xué)習(xí)過程中，都需要通過實際動手進行實驗操作，完成課件要求的安全威脅攻擊以及針對該攻擊的安全防御措施。通過不同的實驗課程讓學(xué)員親身體驗計算機及網(wǎng)絡(luò)安全的攻防全過程，讓學(xué)生從枯燥的理論學(xué)習(xí)中解脫出來，可以極大的提升學(xué)生學(xué)習(xí)網(wǎng)絡(luò)安全知識的積極性，并幫助學(xué)生在未來的就業(yè)和職業(yè)發(fā)展奠定扎實、實用的技術(shù)基礎(chǔ)和經(jīng)驗。安全沙盒具有10個千兆電口，其中2個用于管理，8個用于學(xué)生實驗，可以滿足8人同時實驗，并具有如下特點滿足教學(xué)需求：1、獨立的實驗環(huán)境：教師通過SMC控制臺可以為學(xué)生開啟各種計算機安全教學(xué)課程的實驗環(huán)境，學(xué)生可以在實驗環(huán)境中進行各種計算機安全的攻防實驗。獨立隔離的實驗環(huán)境不會對其他網(wǎng)絡(luò)造成危害。2、可定制的安全實驗課件：教師可以在SMC控制臺上進行日常教學(xué)的課程定制，根據(jù)已有的實驗課件，教師可以自行編寫教學(xué)課程內(nèi)容。3、支持多實驗課程同時進行：教師可以在SMC控制臺上進行多個計算機安全實驗課程的教學(xué)，通過啟動不動的安全實驗課件，為不同的學(xué)生分配相應(yīng)的實驗課程。4、支持單獨的實驗評分系統(tǒng)：教師可以在SMC控制臺上為上課的學(xué)生進行實驗評分，每個學(xué)生都可以有自己的實驗分數(shù)，且支持對學(xué)生實驗成績可以導(dǎo)出功能。5、具備實驗課程在線幫助：學(xué)生在進行每個實驗課程時，都可以通過在線實驗說明，實驗提示步驟，自行完成實驗課程。6、可擴展的實驗課件體系：安全沙盒系統(tǒng)可以通過不斷的更新實驗課件，不斷擴容實驗?zāi)芰Γ梢詿o限為計算機安全教學(xué)提供長期的實驗操作平臺。4.2安全攻防實驗室拓撲圖在安全攻防實驗室方案中，我們把實驗室分成了六個區(qū)域：1、網(wǎng)絡(luò)VPN安全域：使用防火墻進行VPN技術(shù)的組網(wǎng)和配置，讓學(xué)生了解VPN技術(shù)的特點、適用范圍以及安裝調(diào)試。2、網(wǎng)絡(luò)接入安全域：使用802.1x技術(shù)、web接入技術(shù)或者PPPoE接入技術(shù)管理接入安全，也可以利用DCSM內(nèi)網(wǎng)安全管理系統(tǒng)進行病毒檢查和資產(chǎn)評估。3、內(nèi)網(wǎng)核心安全域：部署日志系統(tǒng)和Radius服務(wù)器進行安全審計。4、網(wǎng)絡(luò)邊界域：具有流量整形網(wǎng)關(guān)設(shè)備、UTM和BAS設(shè)備，可以很完整的管理邊界安全。5、模擬外網(wǎng)安全域：主要進行遠程接入的安全設(shè)置以及模擬外網(wǎng)產(chǎn)生的惡意掃描和攻擊。6、系統(tǒng)攻防演練區(qū)：安全沙盒是主要設(shè)備，在安全沙盒上進行系統(tǒng)的攻擊和防御，IDS入侵檢測引擎負責(zé)網(wǎng)絡(luò)安全的嗅探和威脅發(fā)現(xiàn)。為了保證安全沙盒不對網(wǎng)絡(luò)的其他區(qū)域造成危害，還需要使用防火墻和其他區(qū)域隔離，使用DCSM內(nèi)網(wǎng)安全管理系統(tǒng)對這些工具和軟件進行資產(chǎn)管理，防止學(xué)生私自復(fù)制，對校園網(wǎng)絡(luò)造成危害。安全攻防實驗室不再是普通意義上的設(shè)備安裝調(diào)試級別的實驗室，它帶來全新的實驗室理念，即運維攻防級別的實驗室理念，它提供了全動態(tài)絕對真實的網(wǎng)絡(luò)實訓(xùn)環(huán)境。對學(xué)生而言網(wǎng)絡(luò)不再是一臺臺靜止的設(shè)備組成，而是具有各種關(guān)聯(lián)，提供各種服務(wù)，存在各種威脅的一個動態(tài)的整體。4.3安全攻防實驗室課程體系形成專門的兩級安全認證體系：4.3.1初級DCNSA網(wǎng)絡(luò)安全管理員課程掌握程度分為：掌握、理解、了解三個層次。項目類型一級知識點二級知識點課時數(shù)掌握程度項目1：局域網(wǎng)安全攻防技術(shù)局域網(wǎng)設(shè)備安全交換機設(shè)備安全2掌握安全的控制臺訪問2掌握配置特權(quán)密碼1掌握servicepassword-encryption命令1掌握配置多個特權(quán)級別2掌握警告標語(WarningBanners)2掌握交互式訪問2掌握安全vty訪問2掌握安全Shell(SSH)協(xié)議2掌握禁用不需要的服務(wù)2掌握局域網(wǎng)常見安全威脅及解決方案MACflooding/MACspoofing4理解spanning-tree攻擊4了解VLAN跳轉(zhuǎn)4了解DHCP攻擊（虛假DHCP防御和DHCP拒絕服務(wù)攻擊防御）4了解ARP掃描/ARP攻擊/ARP欺騙4理解項目2：互聯(lián)網(wǎng)接入安全攻防技術(shù)互聯(lián)網(wǎng)接入設(shè)備安全互聯(lián)網(wǎng)接入設(shè)備安全2理解互聯(lián)網(wǎng)接入常見威脅及解決方案過濾IP網(wǎng)絡(luò)流量2了解過濾Web和應(yīng)用流量2了解特洛伊木馬4了解掃描器4了解拒絕服務(wù)攻擊4了解項目3：網(wǎng)絡(luò)互聯(lián)數(shù)據(jù)安全攻防技術(shù)（VPN、VPDN）網(wǎng)絡(luò)互聯(lián)設(shè)備安全網(wǎng)絡(luò)互聯(lián)設(shè)備安全2理解網(wǎng)絡(luò)互聯(lián)常見威脅及解決方案數(shù)據(jù)監(jiān)聽4理解數(shù)據(jù)篡改4理解數(shù)據(jù)重放4了解非法的數(shù)據(jù)來源4理解使用IPSEC實現(xiàn)數(shù)據(jù)的加密、認證、反重放8理解項目4：互聯(lián)網(wǎng)接入身份驗證AAA互聯(lián)網(wǎng)接入身份驗證設(shè)備安全互聯(lián)網(wǎng)接入身份驗證設(shè)備安全2理解互聯(lián)網(wǎng)接入常見威脅及解決方案配置IEEE802.1X實現(xiàn)互聯(lián)網(wǎng)接入身份認證4理解配置PPPOE實現(xiàn)接入客戶端身份認證4了解配置webportal實現(xiàn)接入客戶端身份認證4了解課時合計964.3.2中級DCNSE網(wǎng)絡(luò)安全工程師課程掌握程度分為：掌握、理解、了解三個層次。項目類型一級知識點二級知識點課時數(shù)掌握程度網(wǎng)絡(luò)安全綜述網(wǎng)絡(luò)安全的現(xiàn)狀網(wǎng)絡(luò)為什么不安全1了解安全威脅手段1了解安全防范措施1了解計算機網(wǎng)絡(luò)安全術(shù)語黑客1了解密碼技術(shù)概念1理解訪問控制技術(shù)概念2理解數(shù)字簽名1理解網(wǎng)絡(luò)安全策略數(shù)據(jù)物理安全2理解數(shù)據(jù)機密2理解數(shù)據(jù)完整性1理解數(shù)據(jù)可控1理解數(shù)據(jù)可用1理解身份鑒別1理解數(shù)據(jù)鑒別1理解數(shù)據(jù)防抵賴1理解審計與監(jiān)測1理解企業(yè)網(wǎng)絡(luò)安全技術(shù)防火墻技術(shù)防火墻概述2掌握防火墻實施4掌握防火墻局限2掌握入侵檢測技術(shù)入侵檢測技術(shù)概述2掌握入侵檢測系統(tǒng)分類2掌握入侵檢測系統(tǒng)實施4掌握企業(yè)網(wǎng)絡(luò)與UTM設(shè)備UTM系統(tǒng)概述2掌握UTM的基本內(nèi)涵2掌握UTM的實施4掌握多維綠網(wǎng)技術(shù)基礎(chǔ)網(wǎng)絡(luò)和防火墻的部署4掌握入侵檢測系統(tǒng)部署4掌握接入認證系統(tǒng)部署4掌握802.1x交換機系統(tǒng)部署4掌握加密技術(shù)傳統(tǒng)的加密方法傳統(tǒng)的加密方法2掌握現(xiàn)代主流加密方法秘密密鑰加密算法2掌握公開密鑰加密算法2掌握算法的混合使用2掌握密鑰的管理密鑰的管理2掌握數(shù)字簽名數(shù)字簽名的概念2掌握數(shù)字簽名的基本形式2掌握信息摘要技術(shù)2掌握數(shù)據(jù)完整性的概念1掌握數(shù)字簽名的實現(xiàn)1掌握基于RSA的數(shù)字簽名1掌握認證技術(shù)認證技術(shù)2掌握數(shù)字證書什么是數(shù)字證書1掌握為什么要用數(shù)字證書1掌握數(shù)字證書原理介紹2掌握證書與證書授權(quán)中心2掌握數(shù)字證書的應(yīng)用1掌握公鑰基礎(chǔ)設(shè)施PKIPKI構(gòu)成2掌握PKI服務(wù)2掌握PKI應(yīng)用模式2掌握黑客攻擊手段揭秘常見黑客技術(shù)及系統(tǒng)的缺陷一般攻擊步驟2理解端口掃描2理解網(wǎng)絡(luò)監(jiān)聽2理解緩沖區(qū)溢出1理解拒絕服務(wù)攻擊1理解IP欺騙（可選）2理解特洛伊木馬2理解黑客攻擊系統(tǒng)的工具和步驟黑客攻擊系統(tǒng)的工具和步驟2理解網(wǎng)絡(luò)病毒機制與防護計算機病毒的工作原理計算機病毒的工作原理1了解病毒分類引導(dǎo)型病毒1了解文件型病毒1了解混合型病毒1了解其他病毒1了解計算機網(wǎng)絡(luò)病毒的防范特征代碼法2理解校驗和法2理解行為監(jiān)測法1理解軟件模擬法1理解網(wǎng)絡(luò)病毒實例CIH病毒1了解蠕蟲病毒1了解2002年流行病毒1了解2003年流行病毒1了解操作系統(tǒng)安全問題及保護措施WindowsNT/2000的安全與保護措施WindowsNT/2000系統(tǒng)的缺陷2理解WindowsNT/2000系統(tǒng)攻擊與防范實例2理解Linux系統(tǒng)的缺陷與數(shù)據(jù)保護Linux系統(tǒng)的缺陷與數(shù)據(jù)保護2了解合計1284.4高級安全攻防實驗室實驗項目實驗類型實驗項目課時數(shù)掌握程度防火墻設(shè)備實驗防火墻外觀與接口介紹2掌握防火墻用戶管理1掌握管理員地址設(shè)置2掌握恢復(fù)出廠設(shè)置1掌握配置文件保存與恢復(fù)1掌握產(chǎn)品升級實驗1掌握防火墻透明模式初始配置1掌握防火墻透明模式配置網(wǎng)絡(luò)對象1掌握防火墻透明模式配置安全規(guī)則1掌握防火墻路由模式初始配置1掌握防火墻路由模式配置網(wǎng)絡(luò)對象1掌握防火墻路由模式設(shè)置路由及地址轉(zhuǎn)換策略1掌握防火墻路由模式配置安全規(guī)則1掌握混合模式初始配置1掌握混合模式配置網(wǎng)絡(luò)對象1掌握混合模式設(shè)置路由及地址轉(zhuǎn)換策略1掌握混合模式配置安全規(guī)則1掌握防火墻日志系統(tǒng)實驗2掌握雙機熱備(選修)2掌握抗DoS實驗（選修）2掌握VPN虛擬專用網(wǎng)實驗VPN設(shè)備——設(shè)備隧道的建立2掌握VPN客戶端——VPN設(shè)備隧道的建立2掌握IPSECVPN實驗2掌握SSLVPN實驗2掌握IDS入侵檢測系統(tǒng)實驗安裝順序介紹0.5理解配置傳感器0.5理解安裝數(shù)據(jù)庫1理解安裝LogServer0.5理解Event-Collector的安裝與配置0.5理解NIDSConsole的安裝與配置1理解NIDSReport的安裝與配置1理解查詢工具的使用1理解安全響應(yīng)策略的配置及防火墻聯(lián)動1理解UTM統(tǒng)一威脅管理系統(tǒng)實驗UTM的基本配置2理解利用UTM進行網(wǎng)絡(luò)病毒控制2理解利用UTM進行垃圾郵件控制（選修）2理解利用UTM進行P2P控制2理解安全接入和認證計費實驗DCBI-3000安裝1理解DCBI-3000使用1理解DCBI-3000WEB自服務(wù)系統(tǒng)安裝1理解DCBI-3000WEB自服務(wù)系統(tǒng)使用1理解802.1X功能的組網(wǎng)調(diào)試1理解DCBA-3000W基本調(diào)試命令1理解DCBA-3000W配置Radius1理解DCBA-3000WNAT調(diào)試說明1理解DCBA-3000WFilist調(diào)試說明1理解DCBA-3000WACL調(diào)試說明1理解DCBA-3000W二次認證（橋模式）配置實驗1理解DCBA-3000W二次認證（路由模式）配置實驗1理解攻擊實驗基礎(chǔ)特洛伊木馬2理解網(wǎng)絡(luò)監(jiān)聽sniffer2理解掃描器+口令探測superscanx-scanSSS流光2理解拒絕服務(wù)攻擊(DDOS)2理解安全攻防綜合實驗（使用DCSS）Windows緩沖區(qū)溢出漏洞利用（MS06-040）4理解數(shù)據(jù)庫漏洞利用（MySQL）4理解SQL注入攻擊（MySQL）4理解木馬植入（Web掛馬）4理解木馬利用與防護（灰鴿子）4理解Linux主動防御（配置安全）4理解Linux漏洞利用（CVE-2005-2959、CVE-2006-2451）4理解口令破解（口令猜測與網(wǎng)絡(luò)竊聽）4理解數(shù)據(jù)庫主動防御（MySQL）毒郵件4理解首頁篡改（Apache）4理解系統(tǒng)安全加固實驗—審核系統(tǒng)安全性1掌握訪問控制1掌握賬號安全策略1掌握管理員權(quán)限1掌握網(wǎng)絡(luò)服務(wù)（IIS和NETBIOS的安全設(shè)置）1掌握文件系統(tǒng)安全1掌握安全日志1掌握多維綠網(wǎng)綜合網(wǎng)絡(luò)安全實驗安全防護系統(tǒng)的部署2理解IDS入侵檢測系統(tǒng)部署2理解模擬攻擊并進行阻斷（外部）2理解接入認證系統(tǒng)部署2理解802.1x交換機系統(tǒng)部署2理解模擬攻擊并進行阻斷（內(nèi)部）2理解安全沙盒是一個可以不斷擴展的實驗平臺，教師可根據(jù)課程需要自行研發(fā)擴展實驗，教師按照一定的研發(fā)規(guī)則自行研發(fā)相應(yīng)實驗課件導(dǎo)入安全沙盒，SZSM提供必要的技術(shù)支持。實驗類型實驗項目實驗點密碼學(xué)實驗古典密碼算法Kaiser密碼、單表置換密碼對稱密碼算法對稱密碼體系、DES算法、AES算法非對稱密碼算法非對稱密碼體系、RSA算法、ELGamal算法Hash算法MD5哈希函數(shù)、SHA-1哈希函數(shù)手工實現(xiàn)安全通信過程數(shù)字簽名、對稱密鑰加密、非對稱密鑰加密利用PGP實現(xiàn)安全通信過程PGP加密機制PKI應(yīng)用實驗IIS服務(wù)器安全通信PKI體系、證書生成與簽發(fā)、IIS服務(wù)器證書安裝與認證Apache服務(wù)器安全通信OpenSSL證書生成與簽發(fā)、Apache服務(wù)器證書安裝與認證安全審計實驗IIS下個人網(wǎng)站搭建HTML語言及語法結(jié)構(gòu)、IIS個人網(wǎng)站搭建WEB日志審計Windows日志系統(tǒng)、IIS日志格式、日志審計、WEB漏洞掃描Linux主機安全審計常用Linux日志文件、Linux文件完整性、LSAT審計單機攻防實驗Windows口令破解暴力破解、字典破解Linux口令陰影口令、陰影文件、Linux口令加密算法緩沖區(qū)溢出CPU寄存器、堆棧、函數(shù)調(diào)用過程、緩沖區(qū)溢出方式、Windows緩沖區(qū)溢出、Linux下溢出實現(xiàn)權(quán)限提升Windows下文件恢復(fù)硬盤物理結(jié)構(gòu)、Windows文件存儲結(jié)構(gòu)、Windows文件系統(tǒng)Linux下文件恢復(fù)Ext2文件系統(tǒng)、Ext3文件系統(tǒng)網(wǎng)絡(luò)攻防實驗端口掃描TCP協(xié)議、UDP協(xié)議、ICMP協(xié)議、全連接掃描、半連接掃描、UDP端口掃描、主機掃描漏洞掃描弱口令、CGI通用網(wǎng)關(guān)接口、NetBIOS明文嗅探明文嗅探、FTP會話過程、POP3會話過程、網(wǎng)絡(luò)協(xié)議解析洪泛攻擊TCPSYN洪水、ICMP洪水、Windows系統(tǒng)監(jiān)視器的使用

建設(shè)內(nèi)容（包括建設(shè)思路；在條件與環(huán)境、運行管理、開放共享、安全環(huán)保、特色等方面的規(guī)劃建設(shè)內(nèi)容；必要性與可行性分析；實施條件等）各個實驗室目前用的板凳和座椅存在著較多損壞的情況，加上學(xué)生數(shù)量的增加，在分組進行實驗的情況下座椅存在嚴重不足，需要維修原有座椅和購置一定數(shù)量的座椅。計算機組成與結(jié)構(gòu)實驗室需增加座椅60把，微機系統(tǒng)實驗室需增加30把，各實驗室總共需要維修的椅子40把。四、經(jīng)費預(yù)算（包括預(yù)算總額、支出內(nèi)容、測算依據(jù)、年度安排等）表2.預(yù)算匯總表序號支出項目金額（萬元）1設(shè)備購置其中：已有條件完善（補充、更新、升級）195.1新增新建240.92環(huán)境建設(shè)（實驗家具、通風(fēng)工程等）343維修維護總計：470.0表3.儀器設(shè)備購置計劃表（分年度排序，同年度按重要性排序）序號名稱技術(shù)指標推薦型號規(guī)格推薦廠家單價(萬元)數(shù)量總金額(萬元)年度1ARM實驗箱ARM9處理器，主頻200MHz以上，64MBSDRAM，8MBNORFlash，EEPROM:2K，2個RS232串口，1個485通信接口，1個SD卡接口，1個10M/100M以太網(wǎng)卡接口,USB接口:2個USBHost,1個USBDevice,1個VGA接口GX-ARM9-2410RP北京革新科技有限公司0.65159.7520142臺式計算機CPUI5,4G以上內(nèi)存，帶NVIDIAGTX640以上獨立顯卡Inspiron660-R398-JN戴爾（DELL）0.6301820153高清攝像頭300萬像素C270羅技0.018300.5420154臺式計算機CPUI5,4G以上內(nèi)存海爾0.35802820155臺式計算機CPUG2030,4G以上內(nèi)存海爾0.3601820156無盤服務(wù)器7密碼實驗軟件系統(tǒng)平臺密碼算法分析設(shè)計實驗；密碼算法演示實驗密碼實驗軟件系統(tǒng)平臺西普120208終端密碼機以USB接口為主機通訊接口SJY86奕馳40.20.89PKI實驗軟件系統(tǒng)平臺包含1.用戶證書申請實驗2.用戶申請管理實驗3.證書管理實驗4.交叉認證實驗5.信任管理實驗6.證書應(yīng)用實驗7.SSL應(yīng)用實驗等基本實驗項目PKI實驗軟件系統(tǒng)平臺西普1101010漏洞掃描器漏洞掃描與安全性檢測NERCIS脆弱性掃描系統(tǒng)NERCIS251011防火墻HYPERLINK網(wǎng)絡(luò)吞吐量：最高300Mbps；HYPERLINK并發(fā)連接數(shù)130000HYPERLINK安全過濾帶寬：170Mbps；CISCOASA5510-K8思科41.5612IDS安全過濾帶寬：325Mbps；網(wǎng)絡(luò)吞吐量：650Mbps；并發(fā)連接數(shù)：400000；網(wǎng)絡(luò)端口：4*10/100/1000,1*10/100,1*SSC/SSMHYPERLINK控制端口：console,2個RJ-45CISCOASA5540-K8思科47.53013流量發(fā)生器2個測試槽位，以及最多16個10/100Mbps以太網(wǎng)端口、8個千兆以太網(wǎng)端口、4個光纖通道端口、4個OC-3c/OC-12cPOS端口、2個OC-48cPOS端口、1個10G萬兆端口或以上各種端口smartbits600B思博倫1151514安全審計系統(tǒng)業(yè)務(wù)運維行為審計；上網(wǎng)行為審計；網(wǎng)絡(luò)應(yīng)用行為審計NSFOCUSSAS1000A綠盟1101015殺毒軟件HYPERLINK節(jié)省網(wǎng)絡(luò)管理事務(wù)；HYPERLINK掌控全網(wǎng)漏洞修復(fù)

；HYPERLINK快速部署反病毒體系；HYPERLINK有效組織網(wǎng)絡(luò)反病毒工作金山毒霸網(wǎng)絡(luò)企業(yè)版金山11116殺毒軟件綜合性惡意代碼防護；Web信譽技術(shù)（WRT）增強；POP3郵件掃描；集中式管理；增強的防間諜軟件功能；安全策略強制實施；企業(yè)客戶端防火墻趨勢科技防毒墻-網(wǎng)絡(luò)版趨勢12217網(wǎng)絡(luò)攻防實戰(zhàn)系統(tǒng)一體化的信息安全基礎(chǔ)知識考核、常見攻防技術(shù)訓(xùn)練以及真實網(wǎng)絡(luò)環(huán)境滲透實戰(zhàn)等全方位的培訓(xùn)、測試環(huán)境SZSMSZSM441618匯聚層路由器多業(yè)務(wù)路由器AR4640H3C50.8419接入層路由器模塊化接入路由器AR2811H3C50.52.520三層交換機24口；包轉(zhuǎn)發(fā)率：65.5Mpps；VLAN：VLAN總數(shù)1005VLANID數(shù)4K；可堆疊HYPERLINKCISCOWS-C3750X-24T-S思科521021服務(wù)器內(nèi)存4G；網(wǎng)絡(luò)控制器四端口千兆網(wǎng)；標配硬盤容量：300GBIBMx3650M4IBM42822終端CPUI5處理器,4G以上內(nèi)存；核心/線程數(shù)：HYPERLINK四核心/四線程聯(lián)想啟天M4350聯(lián)想400.52023UPS電源整機效率：達到90%；過載能力：Load＜105%，長期運行

105%＜Load≤125%＞1min

125%＜Load≤150%＞30sec；為用戶負載提供安全可靠的電源保障山特城堡系列C6k山特10.50.5總計：表4.儀器設(shè)備購置理由說明表（應(yīng)與表3.排序一致）序號名稱需求總量現(xiàn)有數(shù)量申購數(shù)量申購理由說明類別（已有條件完善、新增新建）1ARM實驗箱

GX-ARM9-2410RP1515（舊型號）15選修課，人數(shù)30人左右，2人一組以ARM9處理器為核心，包含SDRAM、FLASH、SMC卡、SD卡等通用存儲器以及網(wǎng)口、串口、USB接口、CAN、IIC等通訊接口，輔助LED顯示、4.3寸真彩液晶顯示、小鍵盤等其它外圍設(shè)備。2臺式計算機（帶獨立顯卡）30030用于新增加的動畫設(shè)計和計算機視覺實驗，每人一組I5四核處理器、4G內(nèi)存，GTX640顯卡支持CUDA3高清攝像頭30030用于計算機視覺的實驗課，30人左右USB接口，獲取實時的視頻圖像數(shù)據(jù)，用于相關(guān)的視覺分析實驗4臺式計算機8080（舊型號）805臺式計算機6060（舊型號）606無盤服務(wù)器7密碼實驗軟件系統(tǒng)平臺101用于現(xiàn)代密碼學(xué)理論與實踐課教學(xué)，分一個班次，共同使用集成了密碼編碼與密碼分析所需開發(fā)環(huán)境，兼容windows系統(tǒng)，提高學(xué)生的動手能力、加強學(xué)生對密碼學(xué)的理解與綜合設(shè)計能力8終端密碼機404用于現(xiàn)代密碼學(xué)理論與實踐課教學(xué)，人數(shù)90人，20-25人一組用于終端加密的密碼學(xué)實驗。9PKI實驗軟件系統(tǒng)平臺101用于PKI原理與技術(shù)實驗課教學(xué)，分一個班次，共同使用模擬PKI系統(tǒng)運行機制，支持Windowsxp/Windowsvista/Windows7等操作平臺10漏洞掃描器404用于入侵檢測與網(wǎng)絡(luò)安全掃描技術(shù)實驗課，人數(shù)90人，分兩個班次，每班一臺通過網(wǎng)絡(luò)掃描發(fā)現(xiàn)漏洞并進行修補，，有效阻止入侵事件的發(fā)生11防火墻404用于入侵檢測技術(shù)與安全掃描實驗室建設(shè)，分兩個班次，每40-50人一組安全過濾帶寬：170Mbps、控制端口：console，2個RJ-45、入侵檢測：DoS，協(xié)助確保網(wǎng)絡(luò)傳輸數(shù)據(jù)安全12IDS202用于入侵檢測技術(shù)與安全掃描實驗室建設(shè)，分兩個班次，每班一臺安全過濾帶寬：325Mbps、控制端口：console,2