上海第二工业大学机房关键技术专项方案.doc

1、第一章 信息安全试验室建设背景二十年来，信息领域中多媒体和Internet两大技术蓬勃发展，形成了集通信、计算机和信息处理于一体庞大巨系统，成为现代社会运转不可缺乏基础。这是信息时代关键标志，同时也深刻反应了当今社会对信息系统巨大依靠性。信息系统安全无误运转变得空前关键，并引发了各国政府和经济界人士高度重视。信息系统安全一旦受到破坏，不仅会造成社会混乱，也会带来巨大经济损失。世界关键发达国家每十二个月因计算机犯罪所蒙受经济损失令人吃惊，远远超出一般经济犯罪经济损失。所以确保计算机系统安全已成为世人关注社会问题，信息安全自然也成为现在研究热点。传统上，大家认为信息安全就是保障信息机密性。伴随信息

2、技术发展和应用，信息安全内涵在不停延伸，从最初信息保密发展到信息机密性、完整性、可用性、可控性和不可否认性。对信息系统提出了“保护、检测、反应、恢复”保障安全策略，即所谓PDRR标准。信息安全技术包含物理安全、网络安全、数据安全、信息基础设施安全、管理安全等等，是保障国家信息安全基础。中国现在只有少数高等院校设置“信息安全”课程，教学内容尚无法涵盖信息安全全部领域。其次，在一个较长时期内，金融、商业、公安、军事和政府部门对信息安全人才需求量是很大。建设信息安全试验室将要承载一系列关键信息安全方面教学和科研任务。从丰富信息技术教育专业角度出发，在建设信息安全试验室是很有必需，首先能为日常信息安全

3、教学工作提供很好试验、演示环境，其次能提供师生一个安全攻防实践环境，还能让学生实际了解到业内主流安全设备应用和了解。第二章 信息安全试验室建设目标建设信息安全试验室关键目标包含：1、 对信息安全试验室环境进行安全攻防技术演示；2、 让学生了解、熟悉防火墙、IDS、VPN多种相关产品理论和实际应用能力3、 研究和分析主流网络设备、操作系统、应用系统安全漏洞、弱点和基于主流安全设备填补技术；4、 提供一个学生观摩攻防演示平台5、 为安全技术保障体系建设提供技术依据；具体来说利用试验环境，配合试验课程达成以下试验要求：1、 网络访问控制技术试验2、 网络攻击和入侵检测试验3、 网络攻击和入侵防御试验

4、4、 IPSEC VPN虚拟专网试验5、 基于身份网络认证试验6、 网络行为审计试验7、 统一安全日志审计试验第三章 信息安全试验室建设意义目前社会需要高素质毕业生，尤其需要含有实际动手能力和处理问题能力应用型人才。网络安全做为现在最为热门网络技术，怎样将这些抽象网络技术，采取实物化网络试验教学，有效地加深学生对网络技术了解，提升动手能力和实际环境中发觉问题、处理问题能力。在建立信息安全试验室，有利于学校在此领域教学和科研水平较快提升，为学校信息安全人才培养体系注入新活力。为在校大学生搭建一个真正实践操作演练平台，让大学生们不走出校园就能够捕捉到目前最优异信息安全技术脉动、获取用人单位求才时要

5、求含有技术能力。第四章 信息安全试验室建设常见问题网络安全试验室建设误区很多学校在建设网络安全试验室时候全部会走进一个误区，往往会把攻防、信息加密来作为网络安全试验室建设内容。这其实是一个相对局部网络安全试验室，因为在这么环境下锻炼出来学生她只会很偏重于这一个方面安全技术动手能力，对于其它方面了解和能力会大大减弱。在实际网络环境中，一个安全事件处理和处理，需要你全方位了解网络中相关信息，而不是针对某个方面了解。所以在建设网络安全试验室时候，需要考虑到建设大局观，综合引入多个安全技术、安全设备，让试验者能够更多了解到网络中实际安全事件发生、处理各阶段动态。网络安全课程设计上误区很多学校网络安全课

6、程设计中，往往我们把网络安全定义到应正确课程上去了，也就是我们花了大量时候和精力来告诉我们试验者，你应该去怎样应对这些问题，但我们没有想过我们应该怎样去规避这些问题，经过网络合理设计来实现这个目标。网络安全应该是一个体系化课程，针对同一个问题我们能够有多个处理方案，同时针对同一个问题，我们有多个归避手段来处理，这也是网络安全试验室建设目标。所以不仅在试验室设计上不仅要对应教学课程，更关键是要对应业内主流安全技术、设备，教导学生去处理常见安全问题网络试验室在教学管理上存在问题集中教学和分散试验不平衡问题。假如只重视试验室老师集中教学，即使从老师角度方便教学过程控制，但学生动手能力没有得到锻炼。假

7、如只重视学生独立试验，这种情况下没有老师统一演示、教学过程，学生试验带有很多盲目性、不可控性，从而降低试验效果。试验教学秩序混乱，老师管理负担大。老师也需要经过插拔配置口检验学生试验，不便于老师监控试验过程和对多组学生试验进行管理；试验组相互干扰。把全部设备连在一起做试验，这么某一组试验结果将会对其它组试验产生影响，造成试验结果不可信。所以需要采取多个试验组独立设计方法。缺乏适合网络试验教学师资力量网络安全试验教学师资是现在网络安全试验室教学中一个关键步骤，但现在网络安全师资因为前期缺乏对应环境进行试验，所以需要有一个好环境来保障网络安全教学师资提升。而且试验室需要提供大屏幕、投影等教学手段，

8、提供集中演示、教学支持。缺乏网络试验教学专用教材现在市面上面网络安全教材很多，但绝大部分全部是以理论为主，并没有针对性网络安全试验，这也是网络安全试验开展困难关键问题。所以在试验室建设过程中，不仅需要采取相关软件、硬件设备，从而搭建一个信息安全试验室网络环境，更关键是依据课程要求、试验室条件设计一套可操作信息安全试验课程第五章 试验室拓扑第六章 试验设备介绍漏洞扫描系统天融信网络卫士脆弱性扫描和管理系统简称TopScanner，是北京天融信企业基于多年网络安全产品研发经验推出包含应用检测、漏洞扫描、弱点识别、风险分析、综合评定脆弱性扫描和管理评定产品。TopScanner不仅可分析和指出相关网

9、络安全漏洞及被测系统微弱步骤，给出具体检测汇报，并针对检测到网络安全隐患给出对应修补方法和安全提议。TopScanner为提升内部网络安全防护性能和抗破坏能力，检测评定已运行网络安全性能，为网络系统管理员提供实时安全提议提供一个有效实用脆弱性评定工具。TopScanner采取标准机架式独立硬件设计，系统采取B/S设计架构，采取旁路方法接入网络，支持以独立或以分布方法灵活布署在用户网络内。分布式布署支持两级和两级以上分布式、分层布署，能够同时管理多个扫描引擎，并对扫描引擎扫描结果信息能够集中查询、分析；支持上下级单位消息公布、接收，补丁公布，补丁下载等，TopScanner有利于网络管理员交流，

10、共享补丁库，共享信息，保障整体安全。TopScanner采取优异扫描引擎，集合了智能服务识别、多重服务检测、脚本依靠、脚本智能调度、信息动态抛出、安全扫描、优化扫描、拒绝服务脚此次序扫描、断点恢复等优异技术，确保了扫描高正确性、高速度。TopScanner扫描引擎采取基于主机、目标漏洞、网络、应用检测技术，最大程度增强漏洞识别精度。TopScanner采取基于应用检测技术，被动非破坏性措施检验应用软件包设置，发觉安全漏洞。TopScanner采取基于主机检测技术，被动非破坏性措施检测系统内核，文件属性，操作系统补丁等问题。这种技术还包含口令解密，把部分简单口令剔除。所以，这种技术能够很正确定位

11、系统问题，发觉系统漏洞。TopScanner采取基于目标漏洞检测技术，被动非破坏性措施检验系统属性和文件属性，如数据库，注册号等。经过消息文摘算法，对文件加密数进行检验。技术实现经过在一个运行闭环上，不停地处理文件，系统目标，系统目标属性，然后产生检验数，把这些检验数同原来检验数相比较，发觉改变即通知管理员。TopScanner采取基于网络检测技术，主动非破坏性措施来检验系统被攻击瓦解可能性。利用一系列脚本模拟对系统进行攻击行为，然后对结果进行分析，针对已知网络漏洞进行检验。网络检测技术常被用于发觉一系列平台漏洞，穿透试验和安全审计，使TopScanner成为辅助网络系统管理员进行穿透试验，安

12、全审计，提供实时安全提议有效脆弱性评定工具。负载均衡系统针对多重链路架构链路负载均衡。当企业只有一条链路接入Internet时，单点故障往往会引发整个网络瘫痪，并造成关键应用无法交付。为了确保网络传输不间断，采取多条广域网链路并和不一样网络服务提供商（ISP）连接方法得到普遍应用，这种连接方法称为多重链路网络架构。多重链路架构提供了更可靠、效能愈加好网络传输。在此架构下，一旦某一链路发生错误，网络仍能继续运作；另外，因为网络总带宽来自于各条链路带宽总和，所以效能愈加好。图1 天融信负载均衡系统TopApp-LB链路备份功效基于策略路由优化（Policy Based Routing），依据目标地

13、网络地址及应用类型选择最有利网络路径。该功效最经典应用是依据目标地网络地址选择使用该网络地址所在运行商线路。这么就避开了跨越运行商网络，从而降低了丢包几率。比如：中国企业为处理电信、网通互连而常常采取双线接入。智能DNS均衡，用户访问服务器时，依据用户所在运行商智能选择最有利网络路径。图2 天融信负载均衡系统TopApp-LB智能DNS均衡算法天融信负载均衡系统经过对多个ISP（或同一ISP多条链路）连接可用性和性能进行实时监测，提升网络连接容错能力，将流量导向最优链接和ISP以提升服务质量和访问速度，经过多条低成本链路聚合降低带宽成本，全方面提升应用交付能力。图3 天融信负载均衡系统TopA

14、pp-LB链路负载均衡功效负载均衡另外首先是针对服务器而言，即服务器负载均衡。伴随企业应用服务器访问量快速增加，服务器CPU、内存、 I/O处理能力全部受到严重挑战，经过提升单台服务器性能无法从根本上处理应用访问量快速增加问题。天融信负载均衡系统用了智能服务器负载均衡技术，支持多个负载均衡算法，动态监测服务器性能和健康状态，并将网络请求分发给不一样服务器，这么能够大大提升服务并发处理能力，降低用户等候时间，提升服务质量；同时采取多台服务器，也避免了因为单台服务器故障造成服务中止，大大提升了服务可靠性。图4 天融信负载均衡系统TopApp-LB服务器负载均衡功效流量控制系统TopFlow应用流量

15、管理系统是一套对网络行为应用流量进行分析、监管和管控专业系统。TopFlow能够对用户网络行为流量进行精细化管理，为管理者提供图形化应用监视、应用分析、流量管理、应用统计、应用控制、流量审计、应用报表等功效，是最新一代应用丰富且管控正确应用流量分析监管系统。网络卫士应用流量管理系统从百兆到万兆，全系列产品全部含有很高系统稳定性，适适用于强调图形化应用行为监控分析、用户行为精细化控制、应用识别正确度大于99%、系统运行要求稳定网络环境。第七章 试验课程设计流量控制试验7.1.1 设计思想在带宽接入方面（如对高校、企业、政府等环境），怎样保障关键应用，如oA、邮件、视频会议等，实现对P2P、IM、

16、网游等流量控制或精细化管理；经过试验能正确识别多种应用及流量，而且对流量可进行精细化管理，为用户提供了应用监视、流量分析、流量管理、流量统计、流量管理控制等功效。7.1.2 试验内容l 协议识别正确:可对端口跳变、协议包修改、无故增加扰流数据和加密协议全部有很正确识别。l http控制:包含以下功效：1、控制经过HTTP方法访问文件类型，如控制用户经过HTTP下载.exe文件，预防误下载到一些木马病毒可实施程序，或控制用户上班时间经过HTTP方法下载.rmvb或.mp3等和工作内容无关文件；2、控制内网用户访问一些网站，可控制访问方法是GET（浏览）或是POST（发帖），经过控制POST访问方

17、法，主动杜绝内网用户在一些网站公布一些不良信息；3、URL访问重定向，如上班时间将用户对快乐网、土豆网访问自动重定向到企业网站；4、Web信息提醒，对触发到HTTP管控策略用户返回一个友好提醒：如用户访问快乐网时即返回“上班时间，请勿游戏”，也能够经过此功效公布通知，如“下午5点，全体开会”。l 应用流量深度放大功效：可实时显示单个IP流量速率和单个目前各个应用速率明细，如放大镜通常层层显示。l 用户身份追查功效：可提供单个IP对应用户身份信息，如QQ号码、MSN帐号、POP3帐号等，便于身份追查。l 基于TCP、UDP连接数控制:过此功效可限制内网每个IP对此服务器可建立连接数量。也能够用于

18、大型集团对其公网上FTP等服务器进行连接数保护，预防来自于内网恶意连接行为。l 优先级调度:经过基于协议优先级调度，实现更为真实“智能带宽”。负载均衡系统试验7.1.3 设计思想信息化发展至今，组织机构IT主管或许时常为多种难题所困扰-多个内部应用软件系统，每次升级更新全部要大动干戈；新业务应用布署总是费时费力，而且还常常不能按计划全方面布署；用户端用户系统应用情况和用户体验无法立即获取；出差在外工作人员，无法正常访问企业内部系统；大量web应用使得服务器不堪重负；各分支机构职员，无法高速、安全、有效访问内部应用系统；跨运行商访问所带来高延时、高丢包极大降低了用户体验；网络融合快速发展，流量模

19、式日益复杂化，网络带宽滥用严重，如P2P类应用占用大量带宽、用户体验降低；有限、昂贵带宽容纳越来越多用户和应用；等等。怎样将组织机构多种应用安全、快速地经过网络交付给终端用户，既是目前IT所面临极大挑战，又是业务能否得以顺利推广关键原因。经过试验了解怎样处理以上问题。7.1.4 试验内容l 链路负载均衡l 带宽保障漏洞扫描试验7.1.5 设计思想大多数操作系统和数据库管理系统存在一定安全漏洞，需要不停安装和升级安全补丁。同时我们也注意到，很多安全侵害并不是因为系统产品本身存在安全弱点，而是因为系统没有正确地安装使用或安全规则没有建立并实施。甚至在一个正确系统配置中，一些设置也可能被意外或有意改动。基于以上原因，利用漏洞扫描系统，能帮助管理员立即发觉系统中安全漏洞和安全隐患，并提供安全决议分析、安全补救提议和方法，降低系统安全风险。7.1.6 试验内容l 对多种服务器进行漏洞扫描。l 制作报表，对漏洞进行分析。