安全攻防实验室方案

1、四叶草安全攻防实验室目录CONTENTS01、公司简介 Company profile02、需求分析Requirement analysis03、实验室介绍Laboratory introductions04、典型案例Typical cases05、联系我们Contact us标题0101公司简介企业介绍致力于帮助客户解决安全隐患西安四叶草信息技术有限公司简称“四叶草安全”创建于2012年，立足西安服务全国专注于为客户提供网络信息化安全服务致力于帮助用户先于黑客发现并及时解决安全问题国内外安全检测(监测)以及漏洞分析领域的领头羊企业公司50%以上人员具有10年以上的网络安全信息从业经验研究领域

2、（Web安全、二进制逆向分析、漏洞研究、移动终端安全、工控安全、IoT安全、AI安全）成立至今，完成3100+个安全服务项目创始人西安四叶草信息技术有限公司创始人兼CEO马坤顶级信息安全专家中国第一代“黑客”FST（火狐技术联盟）发起人之一HUC（中国红客联盟）核心成员陕西省互联网协会副秘书长陕西省网络信息安全协会副理事长CSA全球云安全联盟大中华区协调顾问 对物联网安全、云安全、大数据安全、AI安全等领域有极其深入的研究，并带领旗下CloverSec实验室成员率先发现了苹果公司的AirPlay协议认证漏洞；挖掘过多个微软、谷歌、Adobe、Java等知名企业的CVE级别漏洞，并获得过多次官方

3、致谢。技术团队架构产品研发团队分布式漏洞扫描框架BugScan漏洞插件社区感洞系列产品Hackhttp、DNSlog(已开源)等安全工具安全研究院团队协议级漏洞分析研究底层内核驱动漏洞挖掘IoT智能硬件漏洞挖掘工控安全研究Web&渗透实战型靶场实现与研究安全服务团队独立完成过2100多个安全服务项目，累计数十万个目标。产品应用于安全服务安全服务中遇到问题反馈到产品，积累的经验整合到产品中安全研究院发现的安全问题，扩充到产品中安服中遇到的问题又可以反馈给研究院，研究院攻关解决相辅相成产品研发、安全服务、CloverSec研究院三大块，相辅相成互相扶助公司荣誉连续两届荣获CNCERT支撑单位（省级

4、）连续两届荣获CNVD成员单位连续两届荣获SNCERT网络安全信息通报成员单位国家信息安全漏洞库（CNNVD）技术支撑单位第二届丝绸之路（敦煌）国际文化博览会技术支撑单位宁夏十九大网络安全优秀技术支持单位技术支撑单位2016贵阳大数据与网络安全攻防演练“安全价值奖”蚂蚁金服企业安全联合实验室成员连续四年阿里安全应急响应中心生态合作伙伴京东安全应急响应中心安全联盟成员百度安全应急响应中心战略合作伙伴联想安全应急响应中心（LSRC）年度优秀安全团队CNVD2016、2017年原创漏洞报送突出贡献单位WISE 2016 年度最具影响力信息安全服务商奖项第六届陕西省互联网大会战略合作伙伴资质&软著企业

5、资质知识产权高新技术企业证书AAA企业信用等级证书软件企业证书通信网络安全服务能力（风险评估一级）信息安全服务资质（安全工程类一级）信息安全服务资质（风险评估类一级）质量管理体系认证证书计算机安全专用产品销售许可证技术贸易资格证应急处理服务资质 BugScan分布式漏洞扫描软件全时漏洞感知平台主机弱点扫描平台感洞风险感知平台信息安全线上夺旗系统信息安全线下比赛系统V1.0网络攻防平台（CLS-ADP）安全采集数据分析软件一种远程漏洞的检测方法 标题0202需求分析网络安全形势Facebook用户数据泄漏上海医保信息系统瘫痪近4小时！新加坡卫生部医疗系统遭数据窃取“黑客”入侵快递公司盗近亿客户信

6、息英特尔芯片漏洞美网络空间作战战略- 2013年11月12日，中央国家安全委员会正式成立- 2014年02月27日，中央网络安全和信息化领导小组成立- 提升到国家战略高度重视网络空间安全保障工作- 要有高素质的网络安全和信息化人才队伍- 2015年12月，上海交大等5所高校获批成为首批国家级网络空间安全人才培养基地- 2016年2月，上海交大等29所高校获批成为首批网络空间安全一级科学博士学位授权点单位- 2016年6月，中网办、发改委、教育部等六部门近日联合印发关于加强网络安全学科建设和人才培养的意见，要求加快网络安全学科专业和院系建设，创新网络安全人才培养机制，强化网络安全师资队伍建设，推

7、动高等院校与行业企业合作育人、协同创新，完善网络安全人才培养配套措施。没有网络安全，就没有国家安全没有信息化，就没有现代化网络安全成为国家战略网络安全人才需求规模2017年网络安全人才的缺口已经达到70万以上，缺口高达95%，而这种势头仍将持续。预计到2020年，相关人才的需求 会增长到140万，并且还会以每年1.5万人的速度递增。现阶段人才培养情况3000多所120所安全专业每个院校每年培养 约100人 一年约培养1-2万人10-20家多数都为 证书培训每年培养人数约1-2万人高等院校社会机构网络空间安全人才培养面临挑战网络安全的本质在对抗，对抗的本质在攻防两端能力的较量。要以技术对技术，以

8、技术管技术，做到魔高一尺、道高一丈。【节选自419讲话】从攻击者视角分析问题，以防御者视角解决问题，用实战演练检验效果。如何开展网安人才培养建设一个专业的网络攻防实验室迫在眉睫。专业性难以保障实验室功能单一缺乏实践网络安全实验的场景太少，不能建立起完整的实践课程。理论学习与实践脱节，不能满足培养信息安全专业人才的需求。 传统培养方式无法满足现有需要国家企事业个人职能部门部队战略研究指挥控制企业院校民间网络攻击主动防御安全咨询安全开发安全运维技术研究安全工程全民安全意识考察选拔推荐竞赛征召安全战略制定网络作战队伍专家技术团队工程技术人才黑客白帽子人才培养专业分类人才评定人才使用网络安全人才培养的

9、探索指定人才培养建设目标“真实”场景的实战训练配套的实践课程灵活的实验模式安全攻防技术模拟科学的评价与考核机制实时更新的安全攻防素材标题0303实验室介绍实验室模块组成形成基于“理论体系-工具产品-事件案例-攻防实践”知识链牵引的授课思路，以及“从攻击者视角分析问题，以防御者视角解决问题，用实战演练检验效果”攻防角色互换 的技术研究思路。攻防兼备的实战型网安人才培养实践设计理念网络安全实践教育闭环攻防兼备层次架构场景为基础的网络安全人才培养框架攻防实训云攻防教学安全实训安全基础安全工具密码安全社会工程逆向分析漏洞挖掘安全运维基于虚拟化平台实验调度云主机管理课程管理路由交换虚拟换管理用户管理AP

10、I单兵作训Web逆向Pwn取证加密解密信息隐匿MISC攻防业务安全基础学习Web安全代码审计渗透测试内网渗透逆向分析漏洞挖掘安全运维漏洞场景SQL注入XSS漏洞CSRF弱配置文件上传框架注入命令执行代码注入未授权代码执行弱口令XXE注入信息泄露文件下载关键技术支持大规模并发访问的攻防平台技术网络靶场设计与构建技术远程网络系统实时交互协作技术支持大规模网络环境仿真建模和虚拟应用技术实验管理设备管理用户管理攻防考核安全意识无线安全密码安全密码安全无线安全物联网业务安全安全实验GetShell漏洞利用攻防技巧弱配置文件上传框架注入常见命令代码注入未授权代码执行漏洞探测XXE注入业务安全文件下载Web

11、安全代码审计渗透测试内网渗透移动安全移动安全漏洞利用漏洞挖掘竞赛单兵演练红蓝对抗团队攻防仿真开发业务漏洞复现风险场景复盘APT业务漏洞风险系统攻防平台平台架构定制化的培养方案体系化的培养过程完善的人才培养体系丰富的培训教学资源多层次安全实操 以安全实训专题的学习为主，实现学习+实践相结合的模式，强化学员实际操作能力安全实验从实践切入，依靠交互性、操作性更强的课程，理论学习+动手实践共同激发创造力。漏洞场景漏洞场景实战教学业务场景APT场景漏洞场景典型攻击场景漏洞场景实战教学定制化考核多维度攻防竞赛多维度攻防竞赛单兵作战团队攻防红蓝对抗管理后台自定义拓扑靶场是承载和生成场景的基础条件实训云平台独

12、有特色-最接近真实互联网环境的网络攻防场景网络区域设定模拟业务划分网络环境网络场景选取源于真实互 联网环境网络拓扑抽象定位关键网 络节点攻防题目设计立足攻防实战 经验拥护最接近实战的攻防环境完善的网络安全培训体系丰富的CTF出题经验与题目环境可构建符合业务需求的仿真环境+环境来自BugScan社区的漏洞插件环境来自安全服务团队的渗透经验成功举办历届攻防比赛平台基本包括出现过的CTF的题目环境平台集成网络安全各方面的培训平台集成最新漏洞的实际分析与漏洞教学复杂网络拓扑环境复杂网络业务仿真10年渗透测试经验7000+的漏洞素材100+课时的网络安全培训教程100+的漏洞分析实际案例剖析10+攻防大

13、赛的决赛环境20+各类业务系统仿真实验室优势核心价值符合发展趋势要求提升安全研究能力提升用户应急响应能力提升成本效益标题0404典型案例攻防平台典型案例-陕西电信 攻防平台通过网络安全基础学习、网络安全培训、漏洞复现教程和攻防实战等全方位一体化的学习模式，采用“学”、“练”、“补”、“战”的模式提高网络攻防技能，结合对标靶场的构建，从而增强防御能力与预警能力，威胁识别与应急能力。提升安全攻防实战、漏洞挖掘、应急响应实操能力水平以赛代训，以赛促训，提供支撑陕西公司整体网络安全梯队人才的硬件基础针对性的应急响应演练，有效提升应对处置重大事件的能力水平攻防平台典型案例-苏州移动 由四叶草安全构建的网

14、络攻防平台（CLS-ADP）通过网络安全基础学习，网络安全培训，CTF（夺旗比赛/红蓝对抗赛），漏洞复现教程，攻防实战等全方位一体化的学习模式，采用“学”、“练”、“补”、“战”的模式提高网络攻防技能。该平台为用户的相关人员建立一个完整的安全知识体系和一个完善的安全必备技能表。攻防平台典型案例-福建移动 四叶草安全攻防平台主要为用户提供安全基础学习、网络安全培训、漏洞学习教程、CTF实战练习和沙盒演练环境。为用户量身打造一套培训攻防演练一体化的学习平台。培训课程、漏洞教程、CTF题库、攻防靶场环境可根据用户需求具体定制。第一届SSCTF宁夏网络技能挑战赛“华山杯”网络安全技能大赛陕西省网络空间

15、技能大赛第二届SSCTF北京4.29网络攻防大赛新疆克拉玛依“丝绸之路”杯网络安全精英赛中国移动苏州网络安全运维技能大赛第三届SSCTF宁夏新潮杯网络攻防竞赛基于平台的竞赛服务案例分享支持完成CTF比赛规模说明2014年11月第一届SSCTF线上500多人次，线下30人分线上线下2014年11月宁夏网络技能挑战赛线下30人线下比赛2015年11月“华山杯”网络技能挑战赛线上800多人次，线下30人分线上线下2015年12月陕西省网络空间技能挑战赛线下30人线下比赛2016年2月第二届SSCTF线上8000多人，线下30人分线上线下2016年4月29日首都网络安全日攻防比赛线上赛选300人，线下30人分线上线下2016年7月新疆克拉玛依“丝绸之路”杯网络技能邀请赛线下30人线下邀请赛2016年8月中国移动苏州总部网络攻防比赛线下60人线下比赛2017年厦门航空攻防演练比赛线下30人线下比赛2017年宁夏公安厅新潮杯攻防竞赛线上300多人次，线下45人线上线下攻防竞赛规模 在2018年4月25日至4月26日，西北五省通信行业网络安全攻防技术联赛在西安举行，四叶草安全作为本次比赛独家技术支撑。2018西北五省通信行业网络安全攻防技术联赛 在2018 年 4 月 23 日，由陕西省委网信办、陕西省公安厅指导，陕西省信息网络安全协会主办，西安四叶草信息技术有限公司（简称：四叶草安全）作为