天融信攻防演练平台及安全实验室建设方案-通用-20130421

1、天融信攻防演练平台&平安实验室建立方案北京天融信科技2021-04-19目录 TOC o 1-3 h z u HYPERLINK l _Toc354131648 第1章综述 PAGEREF _Toc354131648 h 4 HYPERLINK l _Toc354131649 第2章实验室需求分析 PAGEREF _Toc354131649 h 5 HYPERLINK l _Toc354131650 人才需求 PAGEREF _Toc354131650 h 5 HYPERLINK l _Toc354131651 攻防需求 PAGEREF _Toc354131651 h 5 HYPERLINK

2、l _Toc354131652 研究需求 PAGEREF _Toc354131652 h 5 HYPERLINK l _Toc354131653 第3章实验室概述 PAGEREF _Toc354131653 h 6 HYPERLINK l _Toc354131654 实验室网络构造 PAGEREF _Toc354131654 h 6 HYPERLINK l _Toc354131655 实验室典型配置 PAGEREF _Toc354131655 h 6 HYPERLINK l _Toc354131656 第4章攻防演练系统系统介绍 PAGEREF _Toc354131656 h 8 HYPERL

3、INK l _Toc354131657 攻防演练系统系统概述 PAGEREF _Toc354131657 h 8 HYPERLINK l _Toc354131658 攻防演练系统系统体系 PAGEREF _Toc354131658 h 9 HYPERLINK l _Toc354131659 第5章信息平安演练平台介绍 PAGEREF _Toc354131659 h 10 HYPERLINK l _Toc354131660 应急响应流程 PAGEREF _Toc354131660 h 10 HYPERLINK l _Toc354131661 演练事件 PAGEREF _Toc354131661

4、h 11 HYPERLINK l _Toc354131662 信息篡改事件 PAGEREF _Toc354131662 h 11 HYPERLINK l _Toc354131663 拒绝效劳 PAGEREF _Toc354131663 h 13 HYPERLINK l _Toc354131664 DNS劫持 PAGEREF _Toc354131664 h 14 HYPERLINK l _Toc354131665 恶意代码 PAGEREF _Toc354131665 h 16 HYPERLINK l _Toc354131666 第6章信息平安研究实验室介绍 PAGEREF _Toc3541316

5、66 h 19 HYPERLINK l _Toc354131667 渗透平台 PAGEREF _Toc354131667 h 19 HYPERLINK l _Toc354131668 靶机平台 PAGEREF _Toc354131668 h 20 HYPERLINK l _Toc354131669 监控平台 PAGEREF _Toc354131669 h 21 HYPERLINK l _Toc354131670 第7章方案优势和特点 PAGEREF _Toc354131670 h 23 HYPERLINK l _Toc354131671 实验室优势 PAGEREF _Toc354131671

6、h 23 HYPERLINK l _Toc354131672 实验室特点 PAGEREF _Toc354131672 h 24 HYPERLINK l _Toc354131673 平安研究能力 PAGEREF _Toc354131673 h 24 HYPERLINK l _Toc354131674 培训效劳及认证 PAGEREF _Toc354131674 h 25 HYPERLINK l _Toc354131675 第8章电子政务网站检测案例 PAGEREF _Toc354131675 h 27 HYPERLINK l _Toc354131676 第9章实验室建立建议 PAGEREF _To

7、c354131676 h 28 HYPERLINK l _Toc354131677 实验室建立步骤 PAGEREF _Toc354131677 h 28 HYPERLINK l _Toc354131678 实验室设备清单 PAGEREF _Toc354131678 h 29综述为满足电信、军工、航天、网监、教育等行业对信息平安人才培养、攻防演练、平安研究等需求，北京天融信科技基于虚拟化技术开发了平安实训系统，并以此系统为核心打造了信息平安实验室。以下是系统主要特点： 通过虚拟化模板快速模拟真实系统环境通过融合虚拟网络和真实物理网络，简单拖拽即可快速搭建模拟业务系统环境，并在拓扑及配置出现问题时

8、，方便快速恢复。多种虚拟化主机和网络模板网络拓扑所见即所得拖拽模式和真实的网络可互通整体测试环境可快速恢复 通过监控平台可实时观察测试情况可通过实训系统监控平台、在线或远程的方式对所模拟的网络测试环境进展监控。监控主机效劳、进程及资源状态监控网络协议定义和捕获攻击行为 针对攻击行为报警 实验室需求分析随着互联网、专用网络化信息系统和各种网络应用的普及，网络与信息平安已成为关系到国家政治、国防、社会的重要问题，它对培养具有网络信息平安知识、应用提出了更高要求。人才需求近年来，信息技术已在人类的生产生活中发挥至关重要的作用，随之而来的信息平安问题也已成为关系国家平安、经济开展和社会稳定的关键性问题

9、。但由于国内专门从事信息平安工作技术人才严重短缺，阻碍了我国信息平安事业的开展。攻防需求随着信息平安的日益开展，网络新型攻击和病毒形式日益恶化，因此以平安运维、快速响应为目标，以信息网络技术为主要手段，提高在网络空间开展信息监察、预防、提高突发事件的处理能力。研究需求以行业信息化、网络平安、保密为主要出发点、重点研究信息管理和平安应用，建立新技术开发与验证平台，研究信息平安取证、破译、解密等技术。并负责对电子数据证据进展取证和技术鉴定。实验室概述实验室网络构造信息平安培训平台TopsecSP：是通过多台专用信息平安虚拟化设备，虚拟出信息平安所需的场景，例如WEB攻防平台、应用攻防平台、威胁分析

10、平台、数据挖掘平台、基线扫描平台、漏洞分析平台、木马分析平台等等。同时系统提供相实验指导书和实验环境场景。信息平安研究平台TopsecCP：是通过智能信息平安靶机系统、信息平安智能渗透系统和信息平安监控系统实现红、蓝对战实战。并对实战过程进展监控，实现测试过程和结果动态显示。实验室设备接入区：是能够满足用户在演练和实战时通过接入特殊设备来完成用户自定义的实验需求，例如小型机，无线、射频等通过虚拟化技术无法完成的设备。测试、培训、研究和管理区：相关人员通过B/S做培训、研究和管理所用。远程接入区：能够满足用户通过远程接入到信息平安实验室内，进展7*24小时的测试和研究。实验室典型配置针对实验室对

11、模拟网络环境多样性的要求，以下是信息平安研究实验室典型构造：信息平安实验室示意图信息平安实验室能够模拟：业务系统出口平安区域、DMZ平安区域、内网接入平安区域、以及平安研究专区，这些模拟环境已经涵盖了目前所有企事业单位的大局部平安单元。在拥有丰富且全面的网络实验环境的根底上，相关人员还能接触到大局部市场上主流的网络平安设备。实验设备要涵盖传统的网络防火墙、VPN网关、IPS、IDS、防病毒网关与流量控制网关等。在原有根底网络实验室的根底上通过增加以下设备来完成信息平安实验室的搭建：信息平安实验室设备每组设备类别设备名称数量单位备注流量整形网关TopFlow1台防火墙NGFW-40001台USG

12、网关许可TopRules4台入侵检测引擎TopIDP2套实验室实训系统Topsec-CP1台实验室研究系统Topsec-SP1台网络平安管理设备实验室管理系统实验室管理系统TopNM1台攻防演练系统系统介绍攻防演练系统系统概述攻防演练系统系统产品是北京天融信科技以下简称TOPSEC对于平安人才培养、攻防演练、平安研究的等需求专门设计开发的产品。攻防演练系统系统简称TOPSEC-CP，根据我们多年来对信息平安趋势的把握，同时分析企事业单位对人才培养及平安岗位技能需求的根底上，参考大量优秀的、应用广泛的信息平安教材，TOPSEC提供了一套全面、专业、成熟且可扩展的攻防演练系统系统。TOPSEC-C

13、P系列产品以理论学习为根底，结合最全面最专业的实训，增加技术人员对信息平安诸多领域的深入理解，为技术人员提供坚实的技术根底。TOPSEC攻防演练系统系统提供多个方面的实验、实训及工程实践，涵盖多层次的实验操作，以真实环境的真实案例为操作指南，贴近实际岗位能力要求。同时，配有强大的实验管理系统，能够为信息平安教学、攻防演练、平安研究提供一个完整的、一体化的实验教学环境。此外，北京天融信科技可与企事业单位从实验室建立、课题研发、培训认证等方面进展全方位合作。天融信“攻防演练系统系统简称TOPSEC-CP，依托于不同的课件和展示内容，可以应用于学校、军队、政府、企业等各行业，是国内乃至国际最好的虚拟

14、化学习和研究系统。TOPSEC-CP系统参考信息平安类专业教学指导委员会制定的信息平安类专业知识构造及能力要求，并联合开发了八大类信息平安课程体系，覆盖了多个方面的信息平安教学内容，包括实验原理、教学虚拟化环境、实验指导书，技术人员可以自主学习实验，进展实验验证与应用，并进展信息平安综合分析及自主设计，实现多层次的实验操作。攻防演练系统系统体系信息平安虚拟化实训系统体系包括：实验平台、实验内容和培训体系，提供实验工具管理、实验内容管理、虚拟化调用APT等多种扩展接口，方便各行业定制添加培训时候所需的实验。如下图：TOPSEC-CP配有强大的实训系统，能够为信息平安培训、教学及科研提供一个完整的

15、、一体化的实验环境，从而打造出全方位的专业信息平安实验室。信息平安演练平台介绍信息平安演练平台是北京天融信在全国首创，推出的业内第一款演练平台，其独创性取得了用户的一致好评。北京天融信公司于2021年推出的新一代演练平台，目前，演练平台在全国拥有广泛的用户群体，已经在各类企业、学校实施，产品功能稳定，性能卓越，受到了广阔用户的热烈好评。北京天融信科技所开发的信息平安演练平台，已纳入常见的攻击实验，可方便用户将攻防演练变成一种常态化的工作，同时，系统也可以快速自定义攻防演练的场景，已满足各种用户不同的需求。应急响应流程紧急平安事件的处理过程，可以遵循以下流程执行：平安事件应急响应流程演练事件信息

16、篡改：模拟针对中央系统 HYPERLINK 某网站首页篡改事件的监控和处理。拒绝效劳：模拟从外部发起的针对某网站的拒绝效劳攻击事件的监控和处理。恶意代码攻击：模拟内网某效劳器感染恶意代码后的监控和处理。DNS劫持：本次演练主要模拟某DNS效劳器的权威解析记录被篡改事件的发现和处理。信息篡改事件场景描述信息篡改是指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息平安事件，网页篡改是最常见的信息篡改事件。网页篡改一般分三种方式：局部网站效劳器页面被篡改、全部网站效劳器页面被篡改、网站动态内容被篡改等。本次应急演练主要模拟中央系统中某网站首页遭到篡改时的事件处理。页面篡改平安事件，是指

17、通过外部或内部非正常途径，如利用Web应用效劳漏洞或Web效劳器系统漏洞，获得相应的权限替换中央系统WWW效劳器页面静态页面的事件。本次演练模拟的网站拓扑环境如下：攻击方演练环境介绍编号设备名称设备用途设备系统/软件版本IP地址备注1攻击方作为演练的攻击设备操作系统说明：Windows 2000 server或windows2003 server操作系统。19216823安装相关的攻击工具。可以用攻击方的笔记本实现。防御方演练环境介绍编号设备名称设备用途设备系统/软件版本IP地址备注1三层交换机主要用于网络连接和访问控制。三层交换机192168012防火墙 Pix 525阻断攻击者。防火墙应能

18、针对IP、端口设置访问控制策略。19216811192168213web效劳器为被攻击设备。操作系统：linux as 4应用软件：weblogic 9.219216812内置模拟网页4Windows主机1平安监控用安装网络部提供的网站异常监控软件，具备显示器192168225Windows主机2平安监控用安装网络部提供的域名系统监控软件,具备显示器19216824准备阶段对www网站静态页面进展备份。准备系统的根本快照。攻击阶段攻击者通过扫描发现，WWW网站的效劳器使用weblogic的默认管理页面对外开放，同时存在默认的登陆口令weblogic/weblogic。攻击者通过弱口令登陆后，替

19、换WWW网站的首页。监测阶段使用监控组自主开发的“网站监控软件，定时轮询方式检查页面的变化情况，发现页面被篡改；处理阶段进展系统临时性恢复，迅速恢复系统被篡改的内容；检查问题效劳器WWW访问日志、系统操作日志，确定篡改时间、IP及可能的手法；分析系统日志(messages、sulog、lastlog等)，确认主机上有无异常权限用户非法登陆，并记录其IP地址、登陆时间等信息；检查weblogic应用日志，发现有无异常；确定问题根源，修复问题。测试后上线；拒绝效劳场景描述拒绝效劳攻击事件是指利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响

20、信息系统正常运行为目的的信息平安事件。拒绝效劳发起时往往表现为cpu、内存、带宽等的高利用率，同时由于攻击手法和形式的多样性，造成对攻击形式攻击特征分析带来一定的难度。本次应急演练主要模拟中研系统中WWW网站遭受synflood拒绝效劳攻击时的事件处理。本方案以web应用为例，攻击者向Web端口发起synflood拒绝效劳攻击，表现在分布式的大量针对80端口的数据包，以耗尽web效劳的最大连接数或者消耗数据库资源为目的。准备阶段了解、总结日常Web访问的流量特征攻击阶段针对80端口发送大量的synflood攻击包。监测阶段使用监控组自主开发的“网站监控软件，定时轮询方式检查网站的访问情况；通过

21、轮询软件发现页面访问不可达。处理阶段对web访问连接，进展分析。在web效劳器上，查看cpu、内存的负载及网络流量等。在防火墙或网络设备上配置访问控制策略，限制或过滤发送源地址的访问。DNS劫持场景描述主要模拟DNS效劳器的权威解析篡改事件。该DNS效劳器由于对外开启了SSHTCP/22管理效劳，同时系统上存在弱口令，攻击者通过扫描得到系统口令，并进一步登陆控制效劳器，然后修改DNS区域记录文件，实施DNS劫持攻击。监控人员通过DNS Watch软件监测到域名解析异常，然后通知维护人员，维护人员通过相关的事件处理，恢复正常的DNS业务。攻击方演练环境介绍编号设备名称设备用途设备系统/软件版本I

22、P地址备注1攻击方作为演练的攻击设备操作系统说明：Windows 2000 server或windows2003 server操作系统。19216823安装相关的攻击工具。可以用攻击方的笔记本实现。防御方演练环境介绍编号设备名称设备用途设备系统/软件版本IP地址备注1DNS效劳器被攻击的dns效劳器操作系统：solaris 9应用软件：bind 19216828配置dns信息2Windows主机1平安监控用安装网络部提供的网站异常监控软件，具备显示器192168263Windows主机2平安监控用安装网络部提供的域名系统监控软件,具备显示器192168244WINDOWS XP的终端1事件处理

23、用用于事件处理的操作192168255WINDOWS XP的终端2事件处理用用于事件处理的操作19216826准备阶段对BIND软件的配置文件等重要静态文件进展备份；建立系统的快照。攻击阶段DNS效劳器由于对外开启了SSHTCP/22管理效劳，同时系统上存在弱口令，攻击者通过扫描得到系统口令，并进一步登陆控制效劳器，然后修改DNS区域记录文件，实施DNS劫持攻击。监测阶段通过DNS域名解析监控软件DNS Watch，发现域名解析异常处理阶段登录DNS效劳器，检查投诉域名解析是否正常；检查静态配置是否正常，如发现异常，快速恢复原有配置；登录DNS效劳器，检查文件修改日志；检查文件修改人；系统平安

24、分析：确认系统异常；确定问题根源，修复问题；测试，确保问题得到处理。恶意代码场景描述主要模拟某恶意攻击者，利用系统的弱口令，利用Windows系统远程管理效劳TCP/3389，获得对效劳器的控制权限。控制了这台效劳器后，攻击者有预谋的上传了提前作好的自动化程序，开场一些列的破坏活动，包括造成性能迅速下降，在被感染主机中安装僵尸网络客户端，开放后门端口。为了确保恶意程序的运行，攻击者停顿了效劳器上的防病毒软件。监控人员及时发现效劳器上的趋势防病毒软件效劳停顿，监测到攻击者的恶意行为，定位攻击源并迅速切断其对网络的访问，维护人员对被影响的效劳器进展平安检查，通过全面的分析和有效的措施，完全控制并铲

25、除恶意行为，对事件进展迅速控制并处理，保证了系统的有效运行。该病毒主要的特征：翻开异常端口进展监听，开启异常进程；扫描其他效劳器是否存在漏洞，对网络造成异常流量；将恶意程序添加到自动运行；停顿系统防病毒软件的运行；攻击方演练环境介绍编号设备名称 设备用途设备系统/软件版本IP地址备注1攻击方作为演练的攻击设备操作系统说明：Windows 2000 server或windows2003 server操作系统。19216823安装相关的攻击工具。可以用攻击方的笔记本实现。防御方演练环境介绍编号设备名称 设备用途设备系统/软件版本IP地址备注1Windows效劳器病毒程序感染的效劳器提供安装Wind

26、owsServer效劳器。19216828病毒事件模拟用2Windows主机1平安监控用安装网络部提供的网站异常监控软件，具备显示器192168243Windows主机2平安监控用安装网络部提供的域名系统监控软件,具备显示器192168244WINDOWS XP的终端1事件处理用用于事件处理的操作192168255WINDOWS XP的终端2事件处理用用于事件处理的操作19216826准备阶段安装McAfee杀毒软件；对系统进程进展快照，以便快捷的找出可疑进程；攻击阶段通过扫描发现系统对外开放了3389端口，管理员administrator并存在弱口令，通过系统Windows远程终端管理效劳T

27、CP/3389，安装恶意软件，破坏系统。监测阶段通过登陆发现，McAfee防病毒软件没有正常工作，判断机器可能感染了恶意程序。处理阶段设备隔离：拔掉网线；在问题主机上，确定恶意代码特征：进程、端口等，通常以任务管理器和netstat na 查看进程和端口的绑定情况，分析出异常的端口或者进程；去除恶意代码，一般先停顿恶意进程，同时将其相关文件删除；对操作系统进展平安加固修改弱口令；对系统进展全面杀毒，开启杀毒软件实时平安防护功能；恢复应用系统，系统上线；信息平安研究实验室介绍信息平安研究实验室由渗透平台、靶机平台、监控平台三局部组成。渗透平台实验室智能渗透平台集成Windows、Windows

28、Server、Linux、BT5等系统以及端口扫描，WEB脚本、跨站攻击，SQL注入，缓冲区溢出，拒绝效劳攻击，欺骗攻击，口令破解等攻击手段和工具。渗透系统分为四个级别：第一级别使用BT5、Windows系统、Linux系统为攻击平台，使用傀儡主机、代理效劳器对靶机系统进展攻击。第二级别使用BT5、Windows系统、Linux系统为攻击平台，使用破解工具、注入工具对靶机系统进展攻击。第三级别使用BT5、Windows系统、Linux系统为攻击平台，使用扫描工具、渗透工具对靶机系统进展攻击。第四级别使用BT5、Windows系统、Linux系统为攻击平台，使用各种攻击工具对靶机系统进展攻击。靶

29、机平台模拟网络环境中的被攻击目标，包括Windows、Windows Server、Linux、Unix等类型的主机系统，同时里面含有丰富的中间件和数据库，中间件包括IIS、Apache、weblogic、websphere、Nginx等，数据库包括MSSQL、Mysql、Oracle、ACCESS、Sybase等，可以加载需要研究网络环境的真实网络拓扑，如电子政务系统等。针对系统本身存在的漏洞、管理权限的设定来进展研究，真实的反响出网络环境中系统及应用被攻破的动态过程，利于进一步提高现网的网络平安。智能靶机系统包括：金牌靶机，银牌靶机，铜牌靶机，诱骗靶机四个级别，同时可模拟真实的网络环境。金

30、牌靶机模拟网络中的主机操作系统，包括Windows主机系统、Windows Server系统、Linux系统、Unix系统，提供可定制的虚拟攻击目标，提供相应的攻防所需要的权限和漏洞用来进展扫描和渗透，模拟真实网络环境，以交互方式表达网络攻击和防御实战过程。银牌靶机银牌靶模拟网络中的应用效劳器，包括数据库靶机系统、web效劳器靶机系统等应用效劳器系统，提供可定制的虚拟攻击目标，提供相应的攻防所需要的漏洞用来进展扫描和渗透，模拟真实网络环境，以交互方式表达网络攻击和防御实战过程。铜牌靶机铜牌靶模拟网络中的应用效劳器，包括邮件靶机系统、文件效劳器靶机系统等应用效劳器系统，提供可定制的虚拟攻击目标，

31、提供相应的攻防所需要的漏洞用来进展扫描和渗透，模拟真实网络环境，以交互方式表达网络攻击和防御实战过程。诱骗靶机诱骗靶机系统模拟网络中的蜜罐效劳器，包括各种主机系统和应用效劳器系统，提供可定制的虚拟攻击目标，提供相应的攻防所需要的漏洞用来进展扫描和渗透，模拟真实网络环境，以交互方式表达网络攻击和防御实战过程监控平台实验室监控平台可以记录和制止网络活动，扫描当前网络的活动，监视和记录网络的流量，根据定义好的规那么来过滤从主机网卡到网线上的流量，提供实时报警。监控系统所能做到的不仅仅是记录事件，它还可以确定事件发生的位置。通过追踪来源，可以更多的了解攻击者。不仅可以记录下攻击过程，同时也有助于确定应

32、用方案。通过与渗透平台、靶机平台的联动可以实时的监控整个攻击过程，并根据设置的评分标准对整个攻击过程的渗透主机进展评分和排名，同时监控平台可以根据靶机系统的加固过程进展评分和排名。方案优势和特点实验室优势提供多种模式课件实验室为计算机及网络平安研究提供多模式的平安课件，能够模拟军工、公安、政府、医疗、能源等多种网络环境，能够进展各种平安威胁的实际操作，针对不同的攻击防御模式，提供多种实验课件选择。开放式的平台共建系统提供题库管理、内容管理等多种扩展接口，方便单位定制添加已有实验，同时支持合作方式对平台的二次开发。全程自主操作的攻防模拟信息平安实验室的全部课件均是将平安理论与实际环境和动手操作相

33、结合的实验课程，所有的实验过程中，都需要通过实际动手进展实验操作，完成课件要求的平安威胁攻击以及针对该攻击的平安防御措施。通过不同的实验课程让相关人员亲身体验计算机及网络平安的攻防全过程，可以极大的提升相关人员的平安意识，进一步提高对网络平安的防范意识。真实的研究环境目标网络、操作系统、漏洞均模拟现网的真实环境，入侵、防护过程完全真实。并非像一些实验系统只能模拟输出既定的结果，贴近实际。模块化可独立部署或融合部署：可单独接入终端机器进展平安实验，更可配合天融信实验室优化版的各类产品，例如防火墙、UTM统一威胁管理系统、IDS入侵检测系统、内网平安管理系统、交换机、路由器、接入认证系统等根底平安

34、及网络实验室模块组合成为真实攻防的全局环境中。实验室特点完整性实验室平台体系涉及社会工程学、密码学、病毒学、主机平安、操作系统平安包括Windows系列、Linux、Unix、BT5等、网络根底、网络攻防、容灾备份、无线平安等方面。实践性理论与实践操作严密、完美的融合。实验操作中应用的方法与技能可直接应用到实际环境中，实验环境与实际环境的差异性大大的缩小。与此同时，本系统可以实现同主流设备的无缝结合，增强实验室应用性建立，提高单位的设备利用率。先进性实验室采用“进阶式设计，实验内容难度由浅入深，实验类型又验证到设计，实验对象层次由低到高；实验教程采用“多元化理念，既可以提高单位培养相关人员的平安意识，又可以满足单位研究平安人员的实验需求。扩展性该系统允许单位根据研究需要，自主扩大实验内容，设计实验步骤，制作实验拓扑，并可灵活地设置和发布。力求打造实验研究、管理、提高、演练四位一体的全方位实验室系统。平安研究能力天融信公司已建成前沿平安研究中心、阿尔法实验室、企业博士后流动站、美国平安分析实验室、平安云效劳中心五位一体的企业级平安感知系统，时刻感知网络的风云变化，帮助互联网用户及时了解网络威胁状况，提升平安意识，及时防范网络攻击。培训效劳及认证天融信可根据企事业单位的不同需求，对为用