中南大学攻防实验室方案.doc

资源描述

中南大学与网神360信息安全攻防联合实验室建设方案中南大学与网神360 信息安全攻防联合实验室建设方案网神信息技术（北京）股份有限公司文档说明本文的内容是中南大学与网神360信息安全攻防联合实验室建设方案。文中的资料、说明等相关内容归网神信息技术（北京）股份有限公司（以下简称“网神”）所有。本文中的任何部分未经网神许可，不得转印、影印或复印。本文中的全部及任何部分内容均受密级和扩散范围限制。中南大学与网神360信息安全攻防联合实验室建设方案 © 版权所有网神信息技术（北京）股份有限公司北京海淀区上地开拓路7号先锋大厦二段1层 2Section 1F , Xianfeng Building , No. 7 Kaituo Road , Haidian District , Beijing 客服热线（Customer Hotline）：400-610-8220 传真（Fax）：010-62972896 邮编（Post Code）：100085 目录 1 概述 6 1.1 项目背景 6 1.2 建设目标 7 1.3 建设原则 8 1.3.1 高可靠性 8 1.3.2 标准性及开放性 8 1.3.3 灵活性及可扩展性 9 1.3.4 先进性 9 1.3.5 可管理性 9 1.3.6 安全性 9 1.4 设计规范 9 2 需求分析 11 2.1 建设一套人才培养体系 11 2.2 建设一套网络对抗演练平台 11 2.3 建设一套业务仿真实验平台 11 2.4 业务需求 12 2.4.1 实训业务 12 2.4.2 仿真实验业务 13 2.4.3 课件制作业务 13 2.4.4 对抗演练业务 14 3 总体思路及技术路线 15 3.1 总体思路 15 3.2 技术路线 15 3.2.1 采用标准的开发框架 16 3.2.2 采用全程建模 16 3.2.3 采用模块化设计 17 3.2.4 采用组件开发与分层技术 17 3.2.5 采用MVC框架模型 18 4 建设方案 18 4.1 基础环境设计 18 4.1.1 实验操作区域 19 4.1.2 信息安全实验区域 19 4.1.3 实验工具区域 20 4.1.4 实验管理区域 21 4.1.5 互联网安全试验区域 21 4.1.6 应急中心 21 4.2 攻防平台架构设计 22 4.2.1 业务层 22 4.2.2 数据层 22 4.2.3 接口层 23 4.2.4 资源层 23 4.3 攻防平台角色设计 23 4.4 攻防平台业务设计 24 4.4.1 人才培养系统设计 24 4.4.2 业务仿真实验系统设计 29 4.4.3 课件制作系统设计 34 4.4.4 对抗演练业务场景设计 35 4.5 攻防平台主要功能设计 38 4.5.1 实训系统 38 4.5.2 业务仿真实验系统 47 4.5.3 课件制作系统 48 4.5.4 对抗演练系统 50 4.6 攻防平台性能设计 51 4.7 威胁情报平台设计 52 4.7.1 安全情报库模块 52 4.7.2 安全情报验证 54 4.8 无线安全实验平台设计 57 4.8.1 无线网络脆弱性分析 57 4.8.2 无线安全威胁分析 58 4.8.3 无线安全实验设计 58 5 安全管理体系 59 5.1 安全管理体系框架 59 5.1.1 安安全管理制度和规范 59 5.1.2 安全记录单 60 5.2 安全管理制度体系文件管理 60 5.2.1 制定和发布管理 60 5.2.2 评审和修订管理 61 5.3 信息安全管理规范 61 6 实验室实施方案 62 6.1 部署示意图 62 6.2 实施建议 63 6.2.1 实验室基础平台实施 63 6.2.2 攻防实验平台实施 63 6.2.3 威胁情报系统实施 64 6.3 分期建设 64 6.4 建设投资预算 65 V 1 概述 1.1 项目背景随着黑客活动的日益猖獗，网络安全逐渐被各国政府和组织提上日程，由此引发的关于“网络战”的讨论也越来越多，“网络空间”已经成为继“陆、海、空、天”四大传统安全领域之后的又一个新兴领域。由于网络战的巨大威力和广阔前景，网络战获得了世界各国的青睐。无论是美国的《2020联合构想》、俄罗斯的《俄联邦信息安全学说》还是日本的《新防卫计划大纲》、印度的《1995—2015年国防建设规划》等都把网络战作为新视点，纷纷加大投入力度，促进了网络战技术和手段的迅猛发展。另外，英国、法国、德国、加拿大等国也都在加强网络战的研究与发展规划，他们均已基本形成了自己的网络战理论并提出了一定程度的发展规划，相继成立了网络战机构或部队，并公开征召计算机安全专业人士。到2014年，已有40多个国家颁布了网络空间国家安全战略，因此，接轨国际，建设坚固可靠的国家网络安全体系，是中国必须作出的战略选择。2014年2月27日，中央网络安全和信息化领导小组成立并举行第一次会议，领导小组组长习近平主持会议召开并发表重要讲话。他强调，网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，要从国际国内大势出发，总体布局，统筹各方，创新发展，努力把我国建设成为网络强国。习近平指出，没有网络安全就没有国家安全，没有信息化就没有现代化。建设网络强国，要有自己的技术，有过硬的技术；要有丰富全面的信息服务，繁荣发展的网络文化；要有良好的信息基础设施，形成实力雄厚的信息经济；要有高素质的网络安全和信息化人才队伍；要积极开展双边、多边的互联网国际交流合作。建设网络强国的战略部署要与“两个一百年”奋斗目标同步推进，向着网络基础设施基本普及、自主创新能力显著增强、信息经济全面发展、网络安全保障有力的目标不断前进。习近平强调，建设网络强国，要把人才资源汇聚起来，建设一支政治强、业务精、作风好的强大队伍。“千军易得，一将难求”，要培养造就世界水平的科学家、网络科技领军人才、卓越工程师、高水平创新团队。网络安全人才是网络安全建设的核心资源，人才的数量、质量、结构和作用的发挥，直接关系到网络安全建设水平的高低和保障能力的强弱。 “没有对抗就没有成长，在对抗中学习信息安全技术！”这已经成为信息安全人员培养的一种新模式，正是基于此模式，网神360信息安全攻防实验室以培养信息安全国防生的安全攻防能力为前提，在对抗中培训实际操作能力，结合实际的安全设备的配置能力，让信息安全国防生快速掌握攻防技巧。 1.2 建设目标纵观各国网络安全战略，网络安全人才培养已经成为不可或缺的一部分。在面对切实有效的网络攻防人才培养手段相对匮乏的情况下，我们亟需建设切合实际网络攻防需求，具备培养攻防系统人才能力的，能够提供网络攻防业务操作功能的攻防教学实训和实战演练业务平台，即“网络安全攻防实验室”。“网络安全攻防实验室”可以在模拟的环境中研究攻防技术，从而提供渗透测试及网络防护实训的真实环境，以便及时发现自身网络环境的缺点和不足并及时进行修正。通过在网络攻防人员之间经常开展互为红蓝双方的具有针对性的攻防实战演练，检验新技术、新战法的实战效果，提升攻防人员的网络攻防技能与经验。实现多层次、专业化的网络安全人才培养，要采取理论与实践相结合的培养模式，以往采用单一的理论教学模式已经无法达到我们对网络安全人员培养真实性、实用性、开放性及实践性的需求，还需要通过综合型的网络攻防实训来将零散的知识应用到实际的渗透测试当中，来达到真正的发散性、创新性及学以致用的实训目的。通过对真实的网络安全设备、靶机和各类服务器的虚拟化来构建的网络攻防实验实训环境，模拟单位真实的网络环境和应用，同时支持自定义的环境及应用拓展。信息安全攻防实验室可开展针对信息安全领域前沿技术的相关实验，可通过每个部分的实验深入理解信息安全的技术和过程，通过不同类型的实验理解和掌握安全机制并具备技术应用能力；能提供网络扫描与嗅探、密码破解技术、数据库攻击技术、网络欺骗技术、技能训练、渗透测试、安全评估、主机加固、网络加固等一系列由浅入深的实验体系。因此，需构建网络安全攻防实验室，以实现促进“核心信息安全人员能力”发展、提升“重要安全技术能力”和加强“关键安全工程过程能力”的目标。为信息安全国防生的教育与培养提供基地。 Ø 其中促进“核心信息安全人员能力”发展需要通过预设、定制、持续等手段，建立起一套完整的知识培训体系，通过一系列的模拟攻防实战演练，达成人才的知识获取、技能训练、工具熟悉等目标，并通过一套评价指标对人才素质进行全面的评估。提高培训技术人员全面的安全技能动手（操作/实操）能力，实现使之成为中南大学信息安全与大数据研究院合格的安全学员的目标。 Ø 提升“重要安全技术能力”，为应对未来在未知领域出现的新的安全问题，平台需要提供一系列的科研试验环境，可随时进行科研试验，充分利用现有资源，模拟科研环境，辅助科研人员进行相关试验工作，达到提升“重要安全技术能力”的目标。 Ø 加强“关键安全工程过程能力”，通过对各种业务系统的复现，在此复现的环境内进行网络安全性评估、攻防对抗、产品检验测试等活动，对网络架构、设计过程、主机安全、数据安全等方面进行一系列的评估评测。实现加强“关键安全工程过程能力”的目标。 1.3 建设原则 1.3.1 高可靠性信息安全攻防实验室稳定可靠是应用系统正常运行的前提保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。使得网络在高负荷情况下仍然具有较高的吞吐能力和效率，延迟低。 1.3.2 标准性及开放性通讯协议和接口符合国际标准，支持国际上通用标准的网络协议（如TCP/IP）、国际标准的开放协议，有利于保证与其他网络之间的平滑连接互通。方便接入不同厂商的设备和网络产品。在网络中，即使有多个网络和多应用并存，采用统一的标准，也能使这些网络能融合到一起，实现业务整合及数据集中。 1.3.3 灵活性及可扩展性根据未来业务的增长和变化，网络可以平滑的扩充和升级，最大程度的减少对网络架构和现有设备的调整。易于增加新设备、新用户，易于和各种公用网络连接，随系统应用的逐步成熟不断延伸和扩充，充分保护现有投资利益。 1.3.4 先进性学校作为最前沿学科和技术研究场所，要求网络实验室要配备最先进的网络设备，能够开展最新技术的科研，教学和实践活动，对网络实验室的设备，网络方案的技术先进性要求非常高。 1.3.5 可管理性对网络实行集中监测，分权管理，并统一分配宽带资源。选用先进的网络管理平台，具有对设备、软件、接口等的管理，流量统计分析，及可提供故障自动报警。整个实验室平台可以进行远程控制。 1.3.6 安全性制订统一的安全策略，整体考虑实验平台的安全性。可以通过各业务子网隔离，统一规划，根据不同的业务划分子网。具有保证系统安全，防止系统被人为破坏的能力。 1.4 设计规范软件研制遵循标准化、规范化、模块化要求，要建设方案采用的技术按照以下总体要求： Ø 软件展示界面符合制定的《攻防实验室平台软件界面规范》。 Ø 软件采用J2EE技术架构，提供B/S使用模式，具有较好的操作性； Ø 软件接口设计执行高内聚、低耦合的设计要求，符合制定的《攻防实验室平台软件接口规范》； Ø 软件采用业界oracle、sqlserver等主流关系数据库和websphere、weblogic、tomcat等主流应用服务器； Ø 软件具有平台无关性，可运行于windows或linux平台之上； Ø 软件访问和使用支持常见主流浏览器的最新版本，包括IE、firefox、chrome和safari等； Ø 软件具安全保障机制，确保平台稳定运行、数据备份和数据安全； Ø 软件升级不影响业务正常运行。第 66页 2 需求分析为实现促进“核心信息安全人员能力”发展、提升“重要安全技术能力”和加强“关键安全工程过程能力”的目标， “信息安全攻防实验室”应满足下列需求： 2.1 建设一套人才培养体系从建立人才培养计划、培训内容规划、培训技能训练、典型场景演练、人才评估等一系列角度进行人才培养体系的建设。依据实际的网络对抗案例，能够制作高度接近实际网络情况的定制化网络实验场景模板，将一个复杂的网络安全事件中的每一个攻击和防御步骤拆解开来，对每一个关键知识点提供教学录像、练习实验环境及智能化的评估系统，并支持基于训练内容的业务实操，让培训学员真正理解网络防御的手段和策略，知其然也能知其所以然，通过不断的实训操作学习进而进行高效的业务实操。 2.2 建设一套网络对抗演练平台 “信息安全攻防实验室”平台的建设应力求反映真实网络的实际环境，在建设过程中将以多维度、多方面、多角度的方式进行建设。需充分考虑现实情况、高仿真的真实环境，并需要对实际的对抗进行全程无间断式跟踪与记录，同时应该具有大型网络承载能力、完善的角色设计以及从不同的视角展示过程与结果的能力，并需要充分完善各功能系统。 2.3 建设一套业务仿真实验平台 “信息安全攻防实验室”平台具有高仿真性、高可配性、高兼容性，最大程度的仿真真实网络，并提供一系列可用于科研的方案和工具，无论是对于新产品、新技术、新方案，还是其他各种手段，均有良好的适用性，并可快速试验、快速记录、快速分析、快速回滚的特点，是科学研究的有力的工具和武器。 2.4 业务需求 2.4.1 实训业务培训教师也可对培训课程进行查看，根据不同的学习任务安排，可为培训用户下发学习课程，学习课程的开发时间需能根据不同的需要制定，学习任务制定完毕后，下发给对应的培训学员，供其学习。培训学员在进行课程学习过程中，培训教师可对其学习过程、实验状态进行查看。当培训学员完成课程的学习以及考核后，培训教师可对课程试验的结果、考核的结果进行查看。培训人员选择培训课程后，根据对于该课程涉及知识的了解程度不同，可进行不同的操作：如果培训人员对于该课程涉及的知识了解较少，需能观看观看实验指导视频；如果培训人员对于该课程涉及的知识了解较多或较为熟悉，可跳过观看课程资源，直接进行培训实操，实操完毕后，提交实验报告，结束学习任务。 2.4.2 仿真实验业务沙盘管理员可执行沙盘的管理，如权限分配、设备配置管理、系统监控等，同时可对操作人员屏幕进行监控。操作人员可在仿真的业务系统中执行各种测试试验，如渗透测试、安全加固及验证测试、攻防对抗测试等。 2.4.3 课件制作业务课件制作人员对组课件元素如视频库、工具库进行管理，进行添加、删除、修改等操作，并可以进行培训课件的创建，一个培训课件包含培训视频、攻防工具、作业指导书、课程实验环境等。 2.4.4 对抗演练业务演练导演可针对演练任务进行不同的配置，如:可设置场景的评估指标、约束条件、结束条件等参数，选择不同的场景，完成场景的部署工作。在演练人员进行演练的过程中，演练导演可对演练人员屏幕进行监控，重现攻防双方的具体操作流程。当演练人员进行演练的过程中，演练导演可对其演练过程、攻击的结果和中间的状态信息、攻击以及防御系统的有效性进行查看。当演练人员完成演练任务并提交后，演练导演可通过可视化的方式对演练结果、演练人员的能力进行查看。 3 总体思路及技术路线 3.1 总体思路本次研究总体遵循“培训实验、对抗演练与科研测试兼顾、长短结合”的原则，首先通过借鉴国内外先进经验，从需求特征、服务时效以及服务保障等方面入手，综合比对培训、演练、竞赛具体特征。具体来说，演练与测试为短期性的应用需求，需要复杂场景和多部门协调，主要采取临时性、专用场景等，以保障演练与测试的顺利举行；而培训实验作为一种长期性、常态性服务，需从学院整体人才培养战略着手，完善课件资源、配套场景及考评机制，优化系统资源，保障人员培训实验及考试服务。为此，本次研究确立了“满足安全攻防实验教学和培训为主，兼顾满足小型系统攻防实战对抗演练和科研测试需求”的总体思路。在开展详尽的基础资料收集与实地调研基础上，深入分析当存在的主要交通问题及成因；并通过对国家网络安全战略、信息安全等级保护等相关规划和法规解读，对未来的安全攻防发展趋势进行研判，对培训实验、对抗演练和科研测试需求进行合理预测。在完成上述工作基础上，遵循“培训实验主要研究采取短平快、通用性、通用场景等措施；对抗演练和科研测试主要采取专用性、模拟真实环境的专用场景等措施”的总体思路。 3.2 技术路线在技术方案的选型上，我们将坚持使用： ü 标准和开放的技术体系，尽量采用软件工业化的标准，遵从技术规范； ü 采用开放的、标准的、主流的、成熟的系统平台、开发手段与信息技术规范； ü 采用数据管理、业务功能、用户界面相分离的多层架构，使整个应用系统体系架构在保持稳定的同时具有足够的可扩展性。 ü 充分考虑信息系统的投资与效益，对应用系统进行集中、统一的规划，制定相应的技术标准，并在此基础上进行系统的开发与管理，继承整合实用可靠的现有系统。 3.2.1 采用标准的开发框架系统选用Java、PHP、JavaScript等多种语言混合搭建，作为一个大型系统，混合语言编程已经被大家所认可，在语言内部，采用了包括Spring、Hibernate、JQuery等被多次证明过的成熟、稳定、高效，且有着活跃的社区和充分的技术支持的组件作为系统的技术组成，在保证了系统成熟稳定的同时，也保证了技术的先进、可持续以及系统化。 3.2.2 采用全程建模大型系统通常十分复杂，很难直接对它进行分析设计，人们经常借助模型来设计分析系统。模型是现实世界中的某些事物的一种抽象表示。抽象的含义是抽取事物的本质特性，忽略事物的其他次要因素。因此，模型既反映事物的原型，又不等于该原型。模型是理解、分析、开发或改造事物原型的一种常用手段。例如，建造大楼前常先做大楼的模型，以便在大楼动工前就能使人们对未来的大楼有一个十分清晰的感性认识，显然，大楼模型还可以用来改进大楼的设计方案。在信息系统中，模型是开发过程中的一个不可缺少的工具。信息系统包括数据处理、事务管理和决策支持。实质上，信息系统可以看成是由一系列有序的模型构成的，这些有序模型通常为：功能模型、信息模型、数据模型、控制模型和决策模型，所谓有序是指这些模型上分别在系统的不同开发阶段、不同开发层次上建立的。模型的表示形式可以是数学公式、缩小的物理装置、图表文字说明，也可以是专用的形式化语言。模型建立的思路有两种：自顶向下、逐步求精和自底向上、综合集成。模型的目标即模型研究的目的，知识是指现实系统的知识和模型构造知识，数据是指系统的原始信息，这三方面构成了建模过程的输入。模型构造是具体的建模技术的运用过程。可信性分析是指分析所建模型能否满足系统目标。建模的好处是你可以执行一个模型来验证它的正确性，和进行后续的研究。另一个好处是你最终将把模型转到开发语言，所以可以省去翻译转换工作。在这次项目建设中我们采用业界认可的统一建模语言(UML)进行软件从业务到设计的全程建模，通过建模保证整个项目的可视化。 3.2.3 采用模块化设计在项目中我们会将公用的部分抽象成为应用的基础平台，从软件层次上来看是可以视作一个中间件产品，它与一般意义上的中间件产品的最大区别在于中间件偏重于封装技术。软件构件是一种定义良好的独立、可复用的部分，包括功能模块、被封装的对象类、软件框架和软件系统模型等。这些封装起来的业务对象就是目标管理系统软件的骨干成分，或者看成是一些“标准件”，已经实现了用户需求的大部分。这样，用户需求中极具个性化的部分可以花较少的资源和代价即可完成。这种方式把标准化与个性化这两个相克之物隔离开来，先解决通用问题，再解决个性要求问题，符合人类解决问题、完成工作任务的规律，例如汽车制造厂，总是首先将很多部件做成标准的如底盘、发动机、传动系统等等，然后就可以在车型、外装修、个别的高级选装部件等分别加以解决，从而满足不同用户的不同需求。 3.2.4 采用组件开发与分层技术基于组件的开发是普通应用程序开发的变体，它具有如下特点： ü 应用程序由各自独立的组件组成，这些组件的开发和部署保持相对的独立性，而且很可能是由不同的团队开发和部署的； ü 通过仅对这种应用程序的某些组件进行升级，从而对其进行小幅度的升级； ü 组件可以在不同应用程序之间共享，因此可对它们复用，但同时也产生了项目之间的依赖关系； ü 尽管并非与基于组件完全密不可分，但基于组件的应用程序倾向于分布式结构； ü 建设多种信息技术渠道的解决方案，多渠道共享业务逻辑。 ü 分层是从逻辑上将子系统划分成许多集合，而层间关系的形成要遵循一定的规则。通过分层，可以限制子系统间的依赖关系，使系统以更松散的方式耦合，从而更易于建设、维护和进化。 3.2.5 采用MVC框架模型 MVC是Model-View-Controller的缩写。Model-View-Controller是软件设计的典型结构。在这种设计结构下，一个应用被分为三个部分：model，view和controller，每个部分负责不同的功能。 ü Model是指应用程序的数据，以及对这些数据的操作。 ü View是指用户界面。 ü Controller负责用户界面和程序数据之间的同步，也就是完成两个方向的动作： Ø 根据用户界面(view)的操作完成对程序数据(model)的更新； Ø 将程序数据（model）的改变及时反应到用户界面（view）上。在本项目中我们将建立自己的业务组件库，将主要业务处理置于业务组件库内完成，这样无论是维护还是扩展，都可以尽量减少业务与界面的交互干扰。同时由于不同版本的软件界面一般都不同，MVC可尽量增加可复用的代码量，使其相对独立。 4 建设方案 4.1 基础环境设计针对信息安全教学内容的要求和部署区域的不同，信息安全实验室分为基础网络平台、实验室管理区域、实验操作区域（校园网终端接入区）、信息安全实验区域、实验工具接入区域、互联网安全实验区域、应急中心七个部分。实验室管理区是信息安全实验室日常管理和设备维护管理的行政管理区域；实训操作区域是学生进行网络实训、安全实训的场所。 4.1.1 实验操作区域实验操作区域主要用于实验操作计算机接入，方便实验操作人员进行实验操作。攻防实验室与中南大学校园网对接部署，通过实验室管理平台对校园网中的教学终端及学生无线终端进行授权接入，使攻防实验室的部署更开放、接入更灵活性，实现按需提供服务。 4.1.2 信息安全实验区域信息安全实验区域可以开展Linux、Windows、WEB应用、暴力破解、源代码审计和其他系统攻防试验。攻防靶场采用安全沙箱运行模式，可以完成多个信息安全攻防试验，并可以根据实际实验需求进行定制实验开发。本区域所需设备如下：序号设备名称设备数量说明 1 Linux试验平台 1 由资源服务器动态分配资源 2 Windows试验平台 1 由资源服务器动态分配资源 3 WEB应用试验平台 1 由资源服务器动态分配资源 4 暴力破解试验平台 1 由资源服务器动态分配资源 5 其他系统试验平台 1 由资源服务器动态分配资源 6 未知威胁感知系统 1 探针 7 源代码安全审计系统 1 8 WEB应用防火墙 1 4.1.3 实验工具区域实验工具区域安装了信息安全攻防实验所需要的各种实验工具，包括日志审计系统、天机移动终端管理系统、天擎终端安全管理系统、天巡无线安全管理系统和网站安全检测系统。试验过程中，借助于上述试验功能能够帮助实训人员掌握日志审计、移动终端和终端管理、无线安全和网站安全检测的相关技术。本区域所需设备如下：序号设备名称设备数量说明 1 日志审计系统 1 2 移动终端安全管理系统 1 3 终端安全管理系统 1 4 无线安全管理系统 1 5 网站安全检测系统 1 4.1.4 实验管理区域实验管理区域主要是实现对实验内容的集中存储与下发，同时实现对实验设备的集中监控与管理，能够对实验过程进行记录，并能够对实验结果进行评分。通过对实验案例、实验过程、实验结果的全方位集中监控与管理，能够对实训人员的实验结果进行客观评价。本区域所需设备如下：序号设备名称设备数量说明 1 实验室管理服务器 1 2 视频服务器 1 3 存储服务器 1 4.1.5 互联网安全试验区域互联网安全试验能够借助于网神360的公有云平台，开展基于互联网的相关安全试验，主要包括威胁情报、星图大数据分析、未知威胁感知等相关试验。实验室建设初期建议可以使用360公有云相关数据，实验室建成投入使用后在积累了一定的数据后可以直接借助于本地数据完成相关试验。本区域所需设备如下：序号设备名称设备数量说明 1 威胁情报系统 1 2 大数据分析系统 1 3 蜜罐 1 4.1.6 应急中心通过部署应急演练系统，提供应急预警、应急预案等相关服务。 4.2 攻防平台架构设计攻防实验室平台软件部分分为四层，分别是资源层、数据层、业务层、接口层。如下图： 4.2.1 业务层提供了网络安全实训、信息系统仿真实验、课件制作和对抗演练四种业务。 4.2.2 数据层提供了工具库、场景配置库、课件库、情报库、日志库等资源库。为快速部署、快速演练、快速验证提供了数据信息保障。平台库：平台库存放系统运维管理的相关数据，包括运维检查记录、系统监控、系统用户信息、系统权限信息、平台自身日志、平台自身安全事件等数据，用于系统管理的展示、告警、联动、审计等功能。攻防行为库：存放参演人员、参赛人员、培训人员等平台使用人员的操作行为日志，为培训、考试、演练效果评估提供依据。课程库：培训课程库中存放用于人员培养的课程信息，培训课程信息主要包括培训知识（视频课件、作业指导书）、实验场景信息等数据。任务库：任务库中存放历史竞赛任务信息，场景、人员、过程记录、结果、效果等数据。工具库：渗透工具库、网络攻击库。渗透工具库包括信息搜集、自动化扫描工具、密码嗅探与密码破击工具、漏洞利用工具、权限提升工具、脚本渗透工具等。网络攻击库可以覆盖常见的渗透工具方法和技术，渗透目标涵盖主机、数据库、应用、网络等。场景库：该数据库存储典型的安全攻防场景，场景可以覆盖主机、数据库、应用、网络等。 4.2.3 接口层通过对资源层和数据层提供的各种数据、对象进行封装，隐藏数据和资源的属性，仅对“业务层”公开接口，控制对数据、资源的访问权限。接口层包括平台库接口、攻防行为库接口、课程库接口、培训试题库接口、任务库接口、工具库接口、场景库接口、虚拟网络配置接口、主机虚拟化接口、虚拟主机控制台接口、网络设备虚拟化接口。 4.2.4 资源层提供了基于虚拟化技术的虚拟主机，可以与真实的物理设备共存。做到虚实结合，仿真不留死角。同时提供了虚拟业务仿真模块和物理设备管理模块。通过虚拟机和实体机的虚实结合方式、对基础层的管理，精确模拟实际业务场景。资源管理层为业务层提供系统管理功能接口，可以与系统管理模块进行交互。 4.3 攻防平台角色设计队伍角色描述红、蓝队攻防队伍一般在剧本中担任攻、防的队伍；黄队裁判对抗中裁判团队；绿队普通运维团队仿真网络中负责网络的一般性系统管理人员； 4.4 攻防平台业务设计 4.4.1 人才培养系统设计系统总结了当今网络安全领域的各类知识、技巧和经验，将网络安全人员应该具有的职业技能归结为十三个大类，在每个大类中又划分为若干个小类，完成了网络安全技能体系的构建。为了解决大量的入门培训人员对信息安全的一些专有名词不是很熟悉的问题，使培训人员可以尽快的找到自己需要的课程内容，网络安全培训及演练平台按照学校的需要将人员的岗位进行了划分，并采纳了大量的安全专家的意见，将岗位与十三个大类的技能进行匹配，使培训人员可以快速的按照自己的职业属性快速的找到自己最感兴趣的课程。这套体系也可以同时帮助教员根据当期培训的学员的目标来迅速的指定教学计划。网络安全培训及演练平台解决了传统的网络安全对抗训练中实验环境设置过于简单、与实际工作环境差距巨大和安全对抗知识不成体系等问题。平台依据公司专家团队多年的渗透测试、评估经验，结合实际的网络对抗案例制作出了真实的网络实验场景模板。网络攻防场景将一个复杂的网络安全事件中的攻击和防御行为进行拆解，提供带有专家原声解读的视频教学、实际操作环境及智能化评估指标等。依靠本平台可以快速的培养网络安全防御、攻击、对抗等多个方向的人才。四大体系保障培训效果 4.4.1.1 实训业务流程设计 4.4.1.2 人才培养方向 4.4.1.2.1 防御能力培养方向重点能力培养目标： Ø 事前的系统安全加固 Ø 事中的黑客攻击发现和应急响应 Ø 事后的黑客攻击日志黑客攻击日志审计和取证课件体系： 4.4.1.2.2 对抗能力培养方向重点能力培养目标： Ø 事前的目标信息收集方法和技巧 Ø 事中的针对性黑客攻击方法及工具使用 Ø 事后的黑客攻击日志的清除方法和长期控制技术课件体系： 4.4.1.2.3 网络对抗培养方向这部分内容采用经过资深安全专家总结和抽象的典型安全网络场景进行实际操作练习，场景模拟了企事业单位、院校等的典型网络结构和配置，主要讲解和演练在基础对抗级课件的基础上，针对各种典型网络安全设备和通讯设备的安全防御技术和操作。主要包括：防火墙、IDS、路由器、WAF、日志审计系统、终端安全管理系统、移动终端安全管理系统、源代码安全审计系统、网站安全检测系统等网络安全设备的配置和联动、安全日志分析、网络流量监测与分析、数据包深度分析等。通过学习和演练，参训人员可以快速诊断网络错误，准确发现潜在隐患，及时判断危害等级，为网络安全防御做好分析和支持。有效评估网络性能，查找网络瓶颈，保障网络通讯质量和网络运营健康。产品利用多台虚拟主机、虚拟网络设备及外挂独立安全设备构建出多个独立的典型网络的结构如下图。对于对抗方向的培养重点： Ø 如何通过信息收集确定网络架构中的弱点 Ø 如何在获取单台服务器的权限后，对这台服务上的信息进行分析和挖掘 Ø 如何通过控制网络中的一台服务器来对网络中的其他服务器进行攻击和渗透 Ø 如何对域控制服务器发起攻击 Ø 如何在重点服务器中设置陷阱并获取网络管理员的账户名和密码 4.4.1.2.4 可定制的目标培养方向这部分内容是系统中的最高等级课件，由资深安全专家根据客户的实际需求，定制对抗模拟环境的课件演练场景。对这种类型课件的构建可以充分利用前期课件中已经构建和生成好的各种类型的服务器以及服务器中的多个应用和服务，在此基础上进行重新的配置和构建可以大大的节约人力和时间。此类课件基本都需要通过明确需求结合安全服务来定制完成。由安全专家模拟黑客行为或防御者行为进行对抗，训练客户对业务目标展开操作的实战对抗能力。 4.4.2 业务仿真实验系统设计 2005年6月，美国总统信息技术顾问委员会在给总统的建议报告《Computational Science: Ensuring America’s Competitiveness》中指出，由算法与建模仿真软件、计算机与信息科学以及计算基础设施等三大元素构成的计算科学，已经逐步成为继理论研究和实验研究之后认识、改造客观世界的第三种重要手段。随着建模仿真技术在工程与非工程领域应用的不断深入，出现了两类新的需求： 1)被仿真系统的规模和结构日益扩大和复杂，迫切需要具有分布、异构、协同、互操作、重用等性能的新型的分布建模仿真系统； 2)人们希望能够通过网络随时随地无障碍地获取所需的建模仿真服务。目前，“云计算”正成为信息领域研究的热点，它在用户通过网络及云计算平台随时随地按需获得计算服务能力方面取得了较大进展。本项目的最终目标是在当前中南大学信息安全与大数据研究院信息网络的基础上，引入“云计算”理念，进一步融合虚拟化、普适计算和高性能计算等技术，构建一种新的基于云计算理念的网络化建模与仿真平台——“用于网络安全演练的学院云业务仿真平台”，以实现对现有的复杂学院信息网络的模拟和仿真能力。业务仿真实验平台是一种新型的网络化仿真平台，是当前云技术的进一步实用化方案。它以应用领域的需求为背景，基于云计算理念，综合应用各类技术，包括复杂系统模型技术、高性能计算技术、先进分布仿真技术/VR 技术、现代网络技术、虚拟化技术、普适化技术、人工智能技术、产品全生命周期管理（PLM）技术、管理技术、系统工程技术，及其应用领域有关的专业技术等，实现系统中各类资源（包括计算资源、存储资源、网络资源、数据资源、信息资源、知识资源、软件资源等）安全地按需共享与重用，实现网上资源多用户按需协同互操作，实现系统动态分配、动态调度运行，进而支持以网络安全防护为目标的各种针对已有或设想的业务网络进行安全论证、研究、分析、设计、试验、运行、评估、维护和攻防对抗等（全生命周期）活动。采用私有云虚拟化技术仿真模拟出真实的学校或企业业务系统，通过交换机外接物理防火墙配置相应的安全策略用以模拟出真实的网络环境。通过操作区对防火墙等安全策略和业务系统进行相应的操作练习，以达到学习测试的目的。本系统的总体逻辑示意图：实际业务网络通常是由多台主机以典型的局域网络的方式组建的，因此为了完成模拟仿真环境的自动化构建需采用模拟仿真环境模板化技术。模拟仿真环境与当前真实的业务网络中的操作系统的选择、参数的配置、相关数据库以及应用软件的安装和配置等等都密切相关。用于攻防演练的模拟仿真环境都是专用的业务环境，安全演练脚本、安全演练用例的选择以及安全演练环境接口都与要进行演练的仿真环境密切相关。当针对不同的业务网络进行演练时，需要针对特定的演练对象构建专用的演练环境、配置系统参数等等。而且一些可重用的演练脚本在更改相关环境参数后无法在新的演练环境中得到有效的利用，因此本项目需要把模拟仿真环境（包括业务仿真虚拟机和业务网络）封装成一个实验场景模板，在需要的时候快速实例化该模板，生成即配即用的环境，对于网络安全攻防培训和演练将能够大大节省用于重复配置演练环境的时间。由于在虚拟化环境下构建实验模板较为困难，本项目需设计和研发一套提供可视化的实验模板构建系统，通过简单方便的拖拽方式能够快速的完成场景模板的构建。本平台的实验场景须通过虚拟化技术实现，整个场景的构建包含对场景中各个主机的虚拟化构建和对虚拟网络的构建两个部分。服务器虚拟化是在物理服务器上借助虚拟化软件（如VMWare ESX、Citrix XEN等）实现多个虚拟机（Virtual Machine，VM）的虚拟化运行环境。安装在服务器上实现虚拟化环境的软件层被称为VMM（Virtual Machine Monitor）。VMM为每个虚拟机提供虚拟化的CPU、内存、存储、IO设备（如网卡）以及以太网交换机等硬件环境，如下图所示。由于服务器虚拟化技术模拟了硬件的运行环境，因此可以运行未经修改的操作系统和应用程序，从而利用虚拟机来模拟各类真实的业务系统。同时，虚拟化技术的另一个特点是，实验者对实验环境中的虚拟机做的所有操作都不会对宿主机（物

展开阅读全文