网络攻防实验室
--------------------------------------------------------------

1、背景
随着信息产业的发展,对计算机网络安全技术人才的需求量也越来越大。银行、证券、保险、航空、税务、海关、电力、铁道等各行各业信息系统部门都需要合格的网络安全相关人才。计算机网络安全技术涉及到国民经济的各个领域,技术发展迅速,在中国对安全人才的需求数量大,人才的需求质量高,高技能型应用人才十分缺乏,据51Job、中华英才网等人力资源网站统计,近年,人才市场对网络安全工程师的需求量骤增,大中型企业需要懂网络安全的网管人员。网络安全行业的就业需求将以年均14%的速度递增,到2008年,网络安全行业的就业人数将达到20万以上。为此加强国内的网络安全建设,培养一批高素质的网络安全技术技能型人才为社会服务是一件紧急迫切的任务,网络安全实验室应运而生。

 

2、 传统的网络安全实验室
2.1 网络安全实验室的建设误区
很多学校在建设网络安全实验室的时候都会走进一个误区,往往认为安全设备的安装调试就是安全实验室,没有把安全攻防、系统加固作为网络安全实验室的建设内容。
安全设备的安装调试以及安全网络的拓扑设计的确是安全实验室的重要内容,但应该不仅仅是这些内容。大部分的网络安全实验室之所以建成安全设备的调试级别,主要是因为组织实验室方案的往往是设备厂商,作为设备厂商关注的问题就是如何更多地销售设备,这就导致实验室的层次偏低,实验项目不全面。
2.2缺乏适合网络实验教学的师资力量
网络安全是网络行业中技术含量较高的方向,安全人才较为缺乏,学校师资也是一样,好的师资是网络安全实验室教学中的一个重要环节。通过师资培训,再加上好的环境来实践,可以保障网络安全教学师资的提升。
2.3缺乏网络实验教学的专用教材
目前市面上面的网络安全教材很多,但绝大部分都是以理论为主,并没有针对性的网络安全实验,这也是网络安全实验开展困难的主要问题。

 

3、九州安域安全实验室方案——网络攻防实验室
九州安域与国内知名安全厂商安氏领信合作提供了一套针对安全攻防的完整解决方案。
安全攻防实验室使用主流的安全设备:如防火墙、入侵检测与防御系统、统一威胁管理系统、终端安全系统、安全准入认证系统组成实验网络。
另外重点的是将典型安全漏洞实验案例、主机系统加固实验案例以及漏洞扫描案例浓缩到称之为“安全沙盒”的安全攻防实验平台中。安全沙盒与所有安全设备组合部署成一个强大的网络测试环境,学生和研究人员可以更直观、更有效、更方便地体验设备中安全技术的部署,观察并攻击“安全沙盒”中定制服务器常见的操作系统漏洞和网络应用服务漏洞等,然后在安全沙盒上进行系统加固,并可以利用整网的设备联动发现威胁、主动防御。安全沙盒的部署拓扑如下:


图一:沙盘部署示意图

 

3.1安全攻防实验室设备选型
3.1.1 主流安全设备
传统的安全设备包括防火墙、入侵检测引擎(IPS)、入侵检测系统(IDS)、内网安全系统平台、统一威胁管理(UTM)产品,这些主流安全设备可以因应教学需求安置在实验网络中让学生进行设备的安装调试,满足学生了解产品配置、了解产品功能的作用。让学生真实接触软件硬件的安全产品对于日后从事相关信息安全工作有积极的作用。
3.1.2安全沙盒——实现“攻防”的新型产品
LinkTrust Security Sandbox安氏领信安全沙盒。为网络安全教育提供实验课程以及实验环境。教师通过登录管理平台SandBox Management Centrol(简称:SMC)进行实验课程的教学工作,学生也可以通过登录SMC进行教学课程的实验操作。此产品进行网络安全攻击和防御的模拟平台,锻炼学生动态网络安全维护的能力。其名取材于军事术语“沙盘”,这意味着安全沙盒可以通过模拟实战演练战术和技术,其先进的设计理念为国内首创。

A 场景多样化/多层次 

l   计算机安全演练场景
安全攻防演练模拟系统的安全演练场景涵盖整个计算机信息安全领域,演练场景供划分十几个大类,数十个小类, 包含了主机安全、数据安全、数据库安、应用安全,木马病毒、网络攻防等等;在每个分类中均提供数量可观的安全演练场景。

l   可定制开发的计算机安全演练场景
安全攻防演练模拟系统使用的安全演练场景是可以根据需要进行定制开发,每个用户可以根据自身的需要进行安全演练场景的定制开发,同时安全攻防演练模拟系统本身会自带几十个安全演练场景供用户选择。

l   计算机安全演练场景定制
管理员(老师)可以在安全攻防演练模拟系统上进行日常教学的演练场景的定制,根据已有的演练场景,管理员(老师)可以自行编写演练场景的任务说明内容。

B 实验课程自动化/定制化

l   演练场景即时加载/卸载
管理员(老师)通过安全攻防演练模拟系统可以为学生即时开启各种计算机安全演练场景的环境,学生可以在环境中进行各种计算机安全的攻防操作,独立隔离的演练环境不会对其他业务网络造成危害;在学生使用完成演练场景内容后,管理员(老师)可以及时卸载演练环境。

l   演练场景定制加载/卸载
管理员(老师)通过安全攻防演练模拟系统可以为不同的学生定制加载各种安全演练场景的环境,可以同时为多个学生定制加载不同的演练场景,在学生各自完演练操作内容后,管理员(老师)可以单独卸载每个学生的演练环境;

l   支持多演练场景同时进行:
管理员(老师)可以在安全攻防演练模拟系统上进行多个计算机安全演练场景的培训,通过启动不动的场景,为不同的学生分配相应的演练环境。

C 安全演练场景考核与评定

l   演练场景考核

    管理员(老师)可以通过安全攻防演练模拟系统,为每个演练场景附一份考核试卷,学生在完成演练内容时,可以进行相关的知识考核,并将考核试卷提交,最后由管理员(老师)统一给出演练的综合评分;

l   场景考核试题/题库

    管理员(老师)可以通过安全攻防演练模拟系统进行场景考核试题的编辑,根据需要进行试题内容的独立编写,也可以将系统自带的试题题库导入,在现有题库试题上进行试题修改;

D  沙盘参数概况
沙盘1000系列

 




沙盘3000系列

 


 


 

3.2安全攻防实验室拓扑图
   在安全攻防实验室方案中:
   九州安域安全攻防实验室创新之处在于“动静结合”,不再局限于安全设备的安装和调试应用上的传统IT实验室,其可以结合实际网络操作,让学生充当黑客角色体验真正的信息安全实战,从攻击中学会如何去防御攻击,学到真正的安全概念。对学生而言网络不再是一台台静止的设备组成,而是具有各种关联,提供各种服务,存在各种威胁的一个动态的整体。

 

 1) 学生实验机房:  根据客户需求设定实验机房的PC数量,选用额还是合适二层交换设备。
 2) 网络VPN安全域: 使用防火墙进行VPN技术的组网和配置,让学生了解VPN技术
 3) 内网核心网络:  部署认证Radius服务器和审计系统进行安全审计,可作为一个安全知识点向学生介绍,演示。
 4) 安全攻防平台:  主要设备为实验管理服务器及安全沙盒,通过管理控制服务器向沙盘下发实验环境及向学生PC下发实验科技及实验工具,然后在安全沙盒上进行系统的攻击和防御。
 5) 网络安全设备扩展:对于要实现高级的安全课程可以加入安全设备让学生进行攻防,使攻防难度加大;从另一个侧面,从攻击中可以观察、了解网络安全设备的工作过程,模式熟悉安全产品的特色,也可作为安全产品的一个简单的测试。另外安置安全设备也可作为保护实验平台内网安全。
  6)外网不可信域:  验中让学生通过另一个网络出口,接入实验网络中学习远程接入或尝试从外网实行模拟攻防。

3.3安全攻防实验室配套教材
  九州安域与安全沙盘厂家合力研发安全课件,可结合客户实际要求订制,也可以购买我们现有教材,若客户需要我们可以与出版社合作订制客户需要的纸质版教材。