中南大学攻防实验室方案

中南大学与网神360信息安全攻防联合实验室建设方案中南大学与网神360信息安全攻防联合实验室建设方案网神信息技术（北京）股份有限公司V文档说明本文的内容是中南大学与网神360信息安全攻防联合实验室建设方案。文中的资料、说明等相关内容归网神信息技术（北京）股份有限公司（以下简称“网神”）所有。本文中的任何部分未经网神许可，不得转印、影印或复印。本文中的全部及任何部分内容均受密级和扩散范围限制。中南大学与网神360信息安全攻防联合实验室建设方案©版权所有网神信息技术（北京）股份有限公司北京海淀区上地开拓路7号先锋大厦二段1层2Section1F,XianfengBuilding,No.7KaituoRoad,HaidianDistrict,Beijing客服热线（CustomerHotline）：400-610-8220传真（Fax）编（PostCode）：100085

目录1 概述 61.1 项目背景 61.2 建设目标 71.3 建设原则 81.3.1 高可靠性 81.3.2 标准性及开放性 81.3.3 灵活性及可扩展性 91.3.4 先进性 91.3.5 可管理性 91.3.6 安全性 91.4 设计规范 92 需求分析 112.1 建设一套人才培养体系 112.2 建设一套网络对抗演练平台 112.3 建设一套业务仿真实验平台 112.4 业务需求 122.4.1 实训业务 122.4.2 仿真实验业务 132.4.3 课件制作业务 132.4.4 对抗演练业务 143 总体思路及技术路线 153.1 总体思路 153.2 技术路线 153.2.1 采用标准的开发框架 163.2.2 采用全程建模 163.2.3 采用模块化设计 173.2.4 采用组件开发与分层技术 173.2.5 采用MVC框架模型 184 建设方案 184.1 基础环境设计 184.1.1 实验操作区域 194.1.2 信息安全实验区域 194.1.3 实验工具区域 204.1.4 实验管理区域 214.1.5 互联网安全试验区域 214.1.6 应急中心 214.2 攻防平台架构设计 224.2.1 业务层 224.2.2 数据层 224.2.3 接口层 234.2.4 资源层 234.3 攻防平台角色设计 234.4 攻防平台业务设计 244.4.1 人才培养系统设计 244.4.2 业务仿真实验系统设计 294.4.3 课件制作系统设计 344.4.4 对抗演练业务场景设计 354.5 攻防平台主要功能设计 384.5.1 实训系统 384.5.2 业务仿真实验系统 474.5.3 课件制作系统 484.5.4 对抗演练系统 504.6 攻防平台性能设计 514.7 威胁情报平台设计 524.7.1 安全情报库模块 524.7.2 安全情报验证 544.8 无线安全实验平台设计 574.8.1 无线网络脆弱性分析 574.8.2 无线安全威胁分析 584.8.3 无线安全实验设计 585 安全管理体系 595.1 安全管理体系框架 595.1.1 安安全管理制度和规范 595.1.2 安全记录单 605.2 安全管理制度体系文件管理 605.2.1 制定和发布管理 605.2.2 评审和修订管理 615.3 信息安全管理规范 616 实验室实施方案 626.1 部署示意图 626.2 实施建议 636.2.1 实验室基础平台实施 636.2.2 攻防实验平台实施 636.2.3 威胁情报系统实施 646.3 分期建设 646.4 建设投资预算 65第65页概述项目背景随着黑客活动的日益猖獗，网络安全逐渐被各国政府和组织提上日程，由此引发的关于“网络战”的讨论也越来越多，“网络空间”已经成为继“陆、海、空、天”四大传统安全领域之后的又一个新兴领域。由于网络战的巨大威力和广阔前景，网络战获得了世界各国的青睐。无论是美国的《2020联合构想》、俄罗斯的《俄联邦信息安全学说》还是日本的《新防卫计划大纲》、印度的《1995—2015年国防建设规划》等都把网络战作为新视点，纷纷加大投入力度，促进了网络战技术和手段的迅猛发展。另外，英国、法国、德国、加拿大等国也都在加强网络战的研究与发展规划，他们均已基本形成了自己的网络战理论并提出了一定程度的发展规划，相继成立了网络战机构或部队，并公开征召计算机安全专业人士。到2014年，已有40多个国家颁布了网络空间国家安全战略，因此，接轨国际，建设坚固可靠的国家网络安全体系，是中国必须作出的战略选择。2014年2月27日，中央网络安全和信息化领导小组成立并举行第一次会议，领导小组组长习近平主持会议召开并发表重要讲话。他强调，网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，要从国际国内大势出发，总体布局，统筹各方，创新发展，努力把我国建设成为网络强国。习近平指出，没有网络安全就没有国家安全，没有信息化就没有现代化。建设网络强国，要有自己的技术，有过硬的技术；要有丰富全面的信息服务，繁荣发展的网络文化；要有良好的信息基础设施，形成实力雄厚的信息经济；要有高素质的网络安全和信息化人才队伍；要积极开展双边、多边的互联网国际交流合作。建设网络强国的战略部署要与“两个一百年”奋斗目标同步推进，向着网络基础设施基本普及、自主创新能力显著增强、信息经济全面发展、网络安全保障有力的目标不断前进。习近平强调，建设网络强国，要把人才资源汇聚起来，建设一支政治强、业务精、作风好的强大队伍。“千军易得，一将难求”，要培养造就世界水平的科学家、网络科技领军人才、卓越工程师、高水平创新团队。网络安全人才是网络安全建设的核心资源，人才的数量、质量、结构和作用的发挥，直接关系到网络安全建设水平的高低和保障能力的强弱。“没有对抗就没有成长，在对抗中学习信息安全技术！”这已经成为信息安全人员培养的一种新模式，正是基于此模式，网神360信息安全攻防实验室以培养信息安全国防生的安全攻防能力为前提，在对抗中培训实际操作能力，结合实际的安全设备的配置能力，让信息安全国防生快速掌握攻防技巧。建设目标纵观各国网络安全战略，网络安全人才培养已经成为不可或缺的一部分。在面对切实有效的网络攻防人才培养手段相对匮乏的情况下，我们亟需建设切合实际网络攻防需求，具备培养攻防系统人才能力的，能够提供网络攻防业务操作功能的攻防教学实训和实战演练业务平台，即“网络安全攻防实验室”。“网络安全攻防实验室”可以在模拟的环境中研究攻防技术，从而提供渗透测试及网络防护实训的真实环境，以便及时发现自身网络环境的缺点和不足并及时进行修正。通过在网络攻防人员之间经常开展互为红蓝双方的具有针对性的攻防实战演练，检验新技术、新战法的实战效果，提升攻防人员的网络攻防技能与经验。实现多层次、专业化的网络安全人才培养，要采取理论与实践相结合的培养模式，以往采用单一的理论教学模式已经无法达到我们对网络安全人员培养真实性、实用性、开放性及实践性的需求，还需要通过综合型的网络攻防实训来将零散的知识应用到实际的渗透测试当中，来达到真正的发散性、创新性及学以致用的实训目的。通过对真实的网络安全设备、靶机和各类服务器的虚拟化来构建的网络攻防实验实训环境，模拟单位真实的网络环境和应用，同时支持自定义的环境及应用拓展。信息安全攻防实验室可开展针对信息安全领域前沿技术的相关实验，可通过每个部分的实验深入理解信息安全的技术和过程，通过不同类型的实验理解和掌握安全机制并具备技术应用能力；能提供网络扫描与嗅探、密码破解技术、数据库攻击技术、网络欺骗技术、技能训练、渗透测试、安全评估、主机加固、网络加固等一系列由浅入深的实验体系。因此，需构建网络安全攻防实验室，以实现促进“核心信息安全人员能力”发展、提升“重要安全技术能力”和加强“关键安全工程过程能力”的目标。为信息安全国防生的教育与培养提供基地。其中促进“核心信息安全人员能力”发展需要通过预设、定制、持续等手段，建立起一套完整的知识培训体系，通过一系列的模拟攻防实战演练，达成人才的知识获取、技能训练、工具熟悉等目标，并通过一套评价指标对人才素质进行全面的评估。提高培训技术人员全面的安全技能动手（操作/实操）能力，实现使之成为中南大学信息安全与大数据研究院合格的安全学员的目标。提升“重要安全技术能力”，为应对未来在未知领域出现的新的安全问题，平台需要提供一系列的科研试验环境，可随时进行科研试验，充分利用现有资源，模拟科研环境，辅助科研人员进行相关试验工作，达到提升“重要安全技术能力”的目标。加强“关键安全工程过程能力”，通过对各种业务系统的复现，在此复现的环境内进行网络安全性评估、攻防对抗、产品检验测试等活动，对网络架构、设计过程、主机安全、数据安全等方面进行一系列的评估评测。实现加强“关键安全工程过程能力”的目标。建设原则高可靠性信息安全攻防实验室稳定可靠是应用系统正常运行的前提保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。使得网络在高负荷情况下仍然具有较高的吞吐能力和效率，延迟低。标准性及开放性通讯协议和接口符合国际标准，支持国际上通用标准的网络协议（如TCP/IP）、国际标准的开放协议，有利于保证与其他网络之间的平滑连接互通。方便接入不同厂商的设备和网络产品。在网络中，即使有多个网络和多应用并存，采用统一的标准，也能使这些网络能融合到一起，实现业务整合及数据集中。灵活性及可扩展性根据未来业务的增长和变化，网络可以平滑的扩充和升级，最大程度的减少对网络架构和现有设备的调整。易于增加新设备、新用户，易于和各种公用网络连接，随系统应用的逐步成熟不断延伸和扩充，充分保护现有投资利益。先进性学校作为最前沿学科和技术研究场所，要求网络实验室要配备最先进的网络设备，能够开展最新技术的科研，教学和实践活动，对网络实验室的设备，网络方案的技术先进性要求非常高。可管理性对网络实行集中监测，分权管理，并统一分配宽带资源。选用先进的网络管理平台，具有对设备、软件、接口等的管理，流量统计分析，及可提供故障自动报警。整个实验室平台可以进行远程控制。安全性制订统一的安全策略，整体考虑实验平台的安全性。可以通过各业务子网隔离，统一规划，根据不同的业务划分子网。具有保证系统安全，防止系统被人为破坏的能力。设计规范软件研制遵循标准化、规范化、模块化要求，要建设方案采用的技术按照以下总体要求：软件展示界面符合制定的《攻防实验室平台软件界面规范》。软件采用J2EE技术架构，提供B/S使用模式，具有较好的操作性；软件接口设计执行高内聚、低耦合的设计要求，符合制定的《攻防实验室平台软件接口规范》；软件采用业界oracle、sqlserver等主流关系数据库和websphere、weblogic、tomcat等主流应用服务器；软件具有平台无关性，可运行于windows或linux平台之上；软件访问和使用支持常见主流浏览器的最新版本，包括IE、firefox、chrome和safari等；软件具安全保障机制，确保平台稳定运行、数据备份和数据安全；软件升级不影响业务正常运行。需求分析为实现促进“核心信息安全人员能力”发展、提升“重要安全技术能力”和加强“关键安全工程过程能力”的目标，“信息安全攻防实验室”应满足下列需求：建设一套人才培养体系从建立人才培养计划、培训内容规划、培训技能训练、典型场景演练、人才评估等一系列角度进行人才培养体系的建设。依据实际的网络对抗案例，能够制作高度接近实际网络情况的定制化网络实验场景模板，将一个复杂的网络安全事件中的每一个攻击和防御步骤拆解开来，对每一个关键知识点提供教学录像、练习实验环境及智能化的评估系统，并支持基于训练内容的业务实操，让培训学员真正理解网络防御的手段和策略，知其然也能知其所以然，通过不断的实训操作学习进而进行高效的业务实操。建设一套网络对抗演练平台“信息安全攻防实验室”平台的建设应力求反映真实网络的实际环境，在建设过程中将以多维度、多方面、多角度的方式进行建设。需充分考虑现实情况、高仿真的真实环境，并需要对实际的对抗进行全程无间断式跟踪与记录，同时应该具有大型网络承载能力、完善的角色设计以及从不同的视角展示过程与结果的能力，并需要充分完善各功能系统。建设一套业务仿真实验平台“信息安全攻防实验室”平台具有高仿真性、高可配性、高兼容性，最大程度的仿真真实网络，并提供一系列可用于科研的方案和工具，无论是对于新产品、新技术、新方案，还是其他各种手段，均有良好的适用性，并可快速试验、快速记录、快速分析、快速回滚的特点，是科学研究的有力的工具和武器。业务需求实训业务培训教师也可对培训课程进行查看，根据不同的学习任务安排，可为培训用户下发学习课程，学习课程的开发时间需能根据不同的需要制定，学习任务制定完毕后，下发给对应的培训学员，供其学习。培训学员在进行课程学习过程中，培训教师可对其学习过程、实验状态进行查看。当培训学员完成课程的学习以及考核后，培训教师可对课程试验的结果、考核的结果进行查看。培训人员选择培训课程后，根据对于该课程涉及知识的了解程度不同，可进行不同的操作：如果培训人员对于该课程涉及的知识了解较少，需能观看观看实验指导视频；如果培训人员对于该课程涉及的知识了解较多或较为熟悉，可跳过观看课程资源，直接进行培训实操，实操完毕后，提交实验报告，结束学习任务。仿真实验业务沙盘管理员可执行沙盘的管理，如权限分配、设备配置管理、系统监控等，同时可对操作人员屏幕进行监控。操作人员可在仿真的业务系统中执行各种测试试验，如渗透测试、安全加固及验证测试、攻防对抗测试等。课件制作业务课件制作人员对组课件元素如视频库、工具库进行管理，进行添加、删除、修改等操作，并可以进行培训课件的创建，一个培训课件包含培训视频、攻防工具、作业指导书、课程实验环境等。对抗演练业务演练导演可针对演练任务进行不同的配置，如:可设置场景的评估指标、约束条件、结束条件等参数，选择不同的场景，完成场景的部署工作。在演练人员进行演练的过程中，演练导演可对演练人员屏幕进行监控，重现攻防双方的具体操作流程。当演练人员进行演练的过程中，演练导演可对其演练过程、攻击的结果和中间的状态信息、攻击以及防御系统的有效性进行查看。当演练人员完成演练任务并提交后，演练导演可通过可视化的方式对演练结果、演练人员的能力进行查看。总体思路及技术路线总体思路本次研究总体遵循“培训实验、对抗演练与科研测试兼顾、长短结合”的原则，首先通过借鉴国内外先进经验，从需求特征、服务时效以及服务保障等方面入手，综合比对培训、演练、竞赛具体特征。具体来说，演练与测试为短期性的应用需求，需要复杂场景和多部门协调，主要采取临时性、专用场景等，以保障演练与测试的顺利举行；而培训实验作为一种长期性、常态性服务，需从学院整体人才培养战略着手，完善课件资源、配套场景及考评机制，优化系统资源，保障人员培训实验及考试服务。为此，本次研究确立了“满足安全攻防实验教学和培训为主，兼顾满足小型系统攻防实战对抗演练和科研测试需求”的总体思路。在开展详尽的基础资料收集与实地调研基础上，深入分析当存在的主要交通问题及成因；并通过对国家网络安全战略、信息安全等级保护等相关规划和法规解读，对未来的安全攻防发展趋势进行研判，对培训实验、对抗演练和科研测试需求进行合理预测。在完成上述工作基础上，遵循“培训实验主要研究采取短平快、通用性、通用场景等措施；对抗演练和科研测试主要采取专用性、模拟真实环境的专用场景等措施”的总体思路。技术路线在技术方案的选型上，我们将坚持使用：标准和开放的技术体系，尽量采用软件工业化的标准，遵从技术规范；采用开放的、标准的、主流的、成熟的系统平台、开发手段与信息技术规范；采用数据管理、业务功能、用户界面相分离的多层架构，使整个应用系统体系架构在保持稳定的同时具有足够的可扩展性。充分考虑信息系统的投资与效益，对应用系统进行集中、统一的规划，制定相应的技术标准，并在此基础上进行系统的开发与管理，继承整合实用可靠的现有系统。采用标准的开发框架系统选用Java、PHP、JavaScript等多种语言混合搭建，作为一个大型系统，混合语言编程已经被大家所认可，在语言内部，采用了包括Spring、Hibernate、JQuery等被多次证明过的成熟、稳定、高效，且有着活跃的社区和充分的技术支持的组件作为系统的技术组成，在保证了系统成熟稳定的同时，也保证了技术的先进、可持续以及系统化。采用全程建模大型系统通常十分复杂，很难直接对它进行分析设计，人们经常借助模型来设计分析系统。模型是现实世界中的某些事物的一种抽象表示。抽象的含义是抽取事物的本质特性，忽略事物的其他次要因素。因此，模型既反映事物的原型，又不等于该原型。模型是理解、分析、开发或改造事物原型的一种常用手段。例如，建造大楼前常先做大楼的模型，以便在大楼动工前就能使人们对未来的大楼有一个十分清晰的感性认识，显然，大楼模型还可以用来改进大楼的设计方案。在信息系统中，模型是开发过程中的一个不可缺少的工具。信息系统包括数据处理、事务管理和决策支持。实质上，信息系统可以看成是由一系列有序的模型构成的，这些有序模型通常为：功能模型、信息模型、数据模型、控制模型和决策模型，所谓有序是指这些模型上分别在系统的不同开发阶段、不同开发层次上建立的。模型的表示形式可以是数学公式、缩小的物理装置、图表文字说明，也可以是专用的形式化语言。模型建立的思路有两种：自顶向下、逐步求精和自底向上、综合集成。模型的目标即模型研究的目的，知识是指现实系统的知识和模型构造知识，数据是指系统的原始信息，这三方面构成了建模过程的输入。模型构造是具体的建模技术的运用过程。可信性分析是指分析所建模型能否满足系统目标。建模的好处是你可以执行一个模型来验证它的正确性，和进行后续的研究。另一个好处是你最终将把模型转到开发语言，所以可以省去翻译转换工作。在这次项目建设中我们采用业界认可的统一建模语言(UML)进行软件从业务到设计的全程建模，通过建模保证整个项目的可视化。采用模块化设计在项目中我们会将公用的部分抽象成为应用的基础平台，从软件层次上来看是可以视作一个中间件产品，它与一般意义上的中间件产品的最大区别在于中间件偏重于封装技术。软件构件是一种定义良好的独立、可复用的部分，包括功能模块、被封装的对象类、软件框架和软件系统模型等。这些封装起来的业务对象就是目标管理系统软件的骨干成分，或者看成是一些“标准件”，已经实现了用户需求的大部分。这样，用户需求中极具个性化的部分可以花较少的资源和代价即可完成。这种方式把标准化与个性化这两个相克之物隔离开来，先解决通用问题，再解决个性要求问题，符合人类解决问题、完成工作任务的规律，例如汽车制造厂，总是首先将很多部件做成标准的如底盘、发动机、传动系统等等，然后就可以在车型、外装修、个别的高级选装部件等分别加以解决，从而满足不同用户的不同需求。采用组件开发与分层技术基于组件的开发是普通应用程序开发的变体，它具有如下特点：应用程序由各自独立的组件组成，这些组件的开发和部署保持相对的独立性，而且很可能是由不同的团队开发和部署的；通过仅对这种应用程序的某些组件进行升级，从而对其进行小幅度的升级；组件可以在不同应用程序之间共享，因此可对它们复用，但同时也产生了项目之间的依赖关系；尽管并非与基于组件完全密不可分，但基于组件的应用程序倾向于分布式结构；建设多种信息技术渠道的解决方案，多渠道共享业务逻辑。分层是从逻辑上将子系统划分成许多集合，而层间关系的形成要遵循一定的规则。通过分层，可以限制子系统间的依赖关系，使系统以更松散的方式耦合，从而更易于建设、维护和进化。采用MVC框架模型MVC是Model-View-Controller的缩写。Model-View-Controller是软件设计的典型结构。在这种设计结构下，一个应用被分为三个部分：model，view和controller，每个部分负责不同的功能。Model是指应用程序的数据，以及对这些数据的操作。View是指用户界面。Controller负责用户界面和程序数据之间的同步，也就是完成两个方向的动作：根据用户界面(view)的操作完成对程序数据(model)的更新；将程序数据（model）的改变及时反应到用户界面（view）上。在本项目中我们将建立自己的业务组件库，将主要业务处理置于业务组件库内完成，这样无论是维护还是扩展，都可以尽量减少业务与界面的交互干扰。同时由于不同版本的软件界面一般都不同，MVC可尽量增加可复用的代码量，使其相对独立。建设方案基础环境设计针对信息安全教学内容的要求和部署区域的不同，信息安全实验室分为基础网络平台、实验室管理区域、实验操作区域（校园网终端接入区）、信息安全实验区域、实验工具接入区域、互联网安全实验区域、应急中心七个部分。实验室管理区是信息安全实验室日常管理和设备维护管理的行政管理区域；实训操作区域是学生进行网络实训、安全实训的场所。实验操作区域实验操作区域主要用于实验操作计算机接入，方便实验操作人员进行实验操作。攻防实验室与中南大学校园网对接部署，通过实验室管理平台对校园网中的教学终端及学生无线终端进行授权接入，使攻防实验室的部署更开放、接入更灵活性，实现按需提供服务。信息安全实验区域信息安全实验区域可以开展Linux、Windows、WEB应用、暴力破解、源代码审计和其他系统攻防试验。攻防靶场采用安全沙箱运行模式，可以完成多个信息安全攻防试验，并可以根据实际实验需求进行定制实验开发。本区域所需设备如下：序号设备名称设备数量说明1Linux试验平台1由资源服务器动态分配资源2Windows试验平台1由资源服务器动态分配资源3WEB应用试验平台1由资源服务器动态分配资源4暴力破解试验平台1由资源服务器动态分配资源5其他系统试验平台1由资源服务器动态分配资源6未知威胁感知系统1探针7源代码安全审计系统18WEB应用防火墙1实验工具区域实验工具区域安装了信息安全攻防实验所需要的各种实验工具，包括日志审计系统、天机移动终端管理系统、天擎终端安全管理系统、天巡无线安全管理系统和网站安全检测系统。试验过程中，借助于上述试验功能能够帮助实训人员掌握日志审计、移动终端和终端管理、无线安全和网站安全检测的相关技术。本区域所需设备如下：序号设备名称设备数量说明1日志审计系统12移动终端安全管理系统13终端安全管理系统14无线安全管理系统15网站安全检测系统1实验管理区域实验管理区域主要是实现对实验内容的集中存储与下发，同时实现对实验设备的集中监控与管理，能够对实验过程进行记录，并能够对实验结果进行评分。通过对实验案例、实验过程、实验结果的全方位集中监控与管理，能够对实训人员的实验结果进行客观评价。本区域所需设备如下：序号设备名称设备数量说明1实验室管理服务器12视频服务器13存储服务器1互联网安全试验区域互联网安全试验能够借助于网神360的公有云平台，开展基于互联网的相关安全试验，主要包括威胁情报、星图大数据分析、未知威胁感知等相关试验。实验室建设初期建议可以使用360公有云相关数据，实验室建成投入使用后在积累了一定的数据后可以直接借助于本地数据完成相关试验。本区域所需设备如下：序号设备名称设备数量说明1威胁情报系统12大数据分析系统13蜜罐1应急中心通过部署应急演练系统，提供应急预警、应急预案等相关服务。攻防平台架构设计攻防实验室平台软件部分分为四层，分别是资源层、数据层、业务层、接口层。如下图：业务层提供了网络安全实训、信息系统仿真实验、课件制作和对抗演练四种业务。数据层提供了工具库、场景配置库、课件库、情报库、日志库等资源库。为快速部署、快速演练、快速验证提供了数据信息保障。平台库：平台库存放系统运维管理的相关数据，包括运维检查记录、系统监控、系统用户信息、系统权限信息、平台自身日志、平台自身安全事件等数据，用于系统管理的展示、告警、联动、审计等功能。攻防行为库：存放参演人员、参赛人员、培训人员等平台使用人员的操作行为日志，为培训、考试、演练效果评估提供依据。课程库：培训课程库中存放用于人员培养的课程信息，培训课程信息主要包括培训知识（视频课件、作业指导书）、实验场景信息等数据。任务库：任务库中存放历史竞赛任务信息，场景、人员、过程记录、结果、效果等数据。工具库：渗透工具库、网络攻击库。渗透工具库包括信息搜集、自动化扫描工具、密码嗅探与密码破击工具、漏洞利用工具、权限提升工具、脚本渗透工具等。网络攻击库可以覆盖常见的渗透工具方法和技术，渗透目标涵盖主机、数据库、应用、网络等。场景库：该数据库存储典型的安全攻防场景，场景可以覆盖主机、数据库、应用、网络等。接口层通过对资源层和数据层提供的各种数据、对象进行封装，隐藏数据和资源的属性，仅对“业务层”公开接口，控制对数据、资源的访问权限。接口层包括平台库接口、攻防行为库接口、课程库接口、培训试题库接口、任务库接口、工具库接口、场景库接口、虚拟网络配置接口、主机虚拟化接口、虚拟主机控制台接口、网络设备虚拟化接口。资源层 提供了基于虚拟化技术的虚拟主机，可以与真实的物理设备共存。做到虚实结合，仿真不留死角。同时提供了虚拟业务仿真模块和物理设备管理模块。通过虚拟机和实体机的虚实结合方式、对基础层的管理，精确模拟实际业务场景。资源管理层为业务层提供系统管理功能接口，可以与系统管理模块进行交互。攻防平台角色设计队伍角色描述红、蓝队攻防队伍一般在剧本中担任攻、防的队伍；黄队裁判对抗中裁判团队；绿队普通运维团队仿真网络中负责网络的一般性系统管理人员；攻防平台业务设计人才培养系统设计系统总结了当今网络安全领域的各类知识、技巧和经验，将网络安全人员应该具有的职业技能归结为十三个大类，在每个大类中又划分为若干个小类，完成了网络安全技能体系的构建。为了解决大量的入门培训人员对信息安全的一些专有名词不是很熟悉的问题，使培训人员可以尽快的找到自己需要的课程内容，网络安全培训及演练平台按照学校的需要将人员的岗位进行了划分，并采纳了大量的安全专家的意见，将岗位与十三个大类的技能进行匹配，使培训人员可以快速的按照自己的职业属性快速的找到自己最感兴趣的课程。这套体系也可以同时帮助教员根据当期培训的学员的目标来迅速的指定教学计划。网络安全培训及演练平台解决了传统的网络安全对抗训练中实验环境设置过于简单、与实际工作环境差距巨大和安全对抗知识不成体系等问题。平台依据公司专家团队多年的渗透测试、评估经验，结合实际的网络对抗案例制作出了真实的网络实验场景模板。网络攻防场景将一个复杂的网络安全事件中的攻击和防御行为进行拆解，提供带有专家原声解读的视频教学、实际操作环境及智能化评估指标等。依靠本平台可以快速的培养网络安全防御、攻击、对抗等多个方向的人才。四大体系保障培训效果实训业务流程设计人才培养方向防御能力培养方向重点能力培养目标：事前的系统安全加固事中的黑客攻击发现和应急响应事后的黑客攻击日志黑客攻击日志审计和取证课件体系：对抗能力培养方向重点能力培养目标：事前的目标信息收集方法和技巧事中的针对性黑客攻击方法及工具使用事后的黑客攻击日志的清除方法和长期控制技术课件体系：网络对抗培养方向这部分内容采用经过资深安全专家总结和抽象的典型安全网络场景进行实际操作练习，场景模拟了企事业单位、院校等的典型网络结构和配置，主要讲解和演练在基础对抗级课件的基础上，针对各种典型网络安全设备和通讯设备的安全防御技术和操作。主要包括：防火墙、IDS、路由器、WAF、日志审计系统、终端安全管理系统、移动终端安全管理系统、源代码安全审计系统、网站安全检测系统等网络安全设备的配置和联动、安全日志分析、网络流量监测与分析、数据包深度分析等。通过学习和演练，参训人员可以快速诊断网络错误，准确发现潜在隐患，及时判断危害等级，为网络安全防御做好分析和支持。有效评估网络性能，查找网络瓶颈，保障网络通讯质量和网络运营健康。产品利用多台虚拟主机、虚拟网络设备及外挂独立安全设备构建出多个独立的典型网络的结构如下图。对于对抗方向的培养重点：如何通过信息收集确定网络架构中的弱点如何在获取单台服务器的权限后，对这台服务上的信息进行分析和挖掘如何通过控制网络中的一台服务器来对网络中的其他服务器进行攻击和渗透如何对域控制服务器发起攻击如何在重点服务器中设置陷阱并获取网络管理员的账户名和密码可定制的目标培养方向这部分内容是系统中的最高等级课件，由资深安全专家根据客户的实际需求，定制对抗模拟环境的课件演练场景。对这种类型课件的构建可以充分利用前期课件中已经构建和生成好的各种类型的服务器以及服务器中的多个应用和服务，在此基础上进行重新的配置和构建可以大大的节约人力和时间。此类课件基本都需要通过明确需求结合安全服务来定制完成。由安全专家模拟黑客行为或防御者行为进行对抗，训练客户对业务目标展开操作的实战对抗能力。业务仿真实验系统设计2005年6月，美国总统信息技术顾问委员会在给总统的建议报告《ComputationalScience:EnsuringAmerica’sCompetitiveness》中指出，由算法与建模仿真软件、计算机与信息科学以及计算基础设施等三大元素构成的计算科学，已经逐步成为继理论研究和实验研究之后认识、改造客观世界的第三种重要手段。随着建模仿真技术在工程与非工程领域应用的不断深入，出现了两类新的需求：1)被仿真系统的规模和结构日益扩大和复杂，迫切需要具有分布、异构、协同、互操作、重用等性能的新型的分布建模仿真系统；2)人们希望能够通过网络随时随地无障碍地获取所需的建模仿真服务。目前，“云计算”正成为信息领域研究的热点，它在用户通过网络及云计算平台随时随地按需获得计算服务能力方面取得了较大进展。本项目的最终目标是在当前中南大学信息安全与大数据研究院信息网络的基础上，引入“云计算”理念，进一步融合虚拟化、普适计算和高性能计算等技术，构建一种新的基于云计算理念的网络化建模与仿真平台——“用于网络安全演练的学院云业务仿真平台”，以实现对现有的复杂学院信息网络的模拟和仿真能力。业务仿真实验平台是一种新型的网络化仿真平台，是当前云技术的进一步实用化方案。它以应用领域的需求为背景，基于云计算理念，综合应用各类技术，包括复杂系统模型技术、高性能计算技术、先进分布仿真技术/VR技术、现代网络技术、虚拟化技术、普适化技术、人工智能技术、产品全生命周期管理（PLM）技术、管理技术、系统工程技术，及其应用领域有关的专业技术等，实现系统中各类资源（包括计算资源、存储资源、网络资源、数据资源、信息资源、知识资源、软件资源等）安全地按需共享与重用，实现网上资源多用户按需协同互操作，实现系统动态分配、动态调度运行，进而支持以网络安全防护为目标的各种针对已有或设想的业务网络进行安全论证、研究、分析、设计、试验、运行、评估、维护和攻防对抗等（全生命周期）活动。采用私有云虚拟化技术仿真模拟出真实的学校或企业业务系统，通过交换机外接物理防火墙配置相应的安全策略用以模拟出真实的网络环境。通过操作区对防火墙等安全策略和业务系统进行相应的操作练习，以达到学习测试的目的。本系统的总体逻辑示意图：实际业务网络通常是由多台主机以典型的局域网络的方式组建的，因此为了完成模拟仿真环境的自动化构建需采用模拟仿真环境模板化技术。模拟仿真环境与当前真实的业务网络中的操作系统的选择、参数的配置、相关数据库以及应用软件的安装和配置等等都密切相关。用于攻防演练的模拟仿真环境都是专用的业务环境，安全演练脚本、安全演练用例的选择以及安全演练环境接口都与要进行演练的仿真环境密切相关。当针对不同的业务网络进行演练时，需要针对特定的演练对象构建专用的演练环境、配置系统参数等等。而且一些可重用的演练脚本在更改相关环境参数后无法在新的演练环境中得到有效的利用，因此本项目需要把模拟仿真环境（包括业务仿真虚拟机和业务网络）封装成一个实验场景模板，在需要的时候快速实例化该模板，生成即配即用的环境，对于网络安全攻防培训和演练将能够大大节省用于重复配置演练环境的时间。由于在虚拟化环境下构建实验模板较为困难，本项目需设计和研发一套提供可视化的实验模板构建系统，通过简单方便的拖拽方式能够快速的完成场景模板的构建。本平台的实验场景须通过虚拟化技术实现，整个场景的构建包含对场景中各个主机的虚拟化构建和对虚拟网络的构建两个部分。服务器虚拟化是在物理服务器上借助虚拟化软件（如VMWareESX、CitrixXEN等）实现多个虚拟机（VirtualMachine，VM）的虚拟化运行环境。安装在服务器上实现虚拟化环境的软件层被称为VMM（VirtualMachineMonitor）。VMM为每个虚拟机提供虚拟化的CPU、内存、存储、IO设备（如网卡）以及以太网交换机等硬件环境，如下图所示。由于服务器虚拟化技术模拟了硬件的运行环境，因此可以运行未经修改的操作系统和应用程序，从而利用虚拟机来模拟各类真实的业务系统。同时，虚拟化技术的另一个特点是，实验者对实验环境中的虚拟机做的所有操作都不会对宿主机（物理主机）产生任何影响，因此实验者可以在实验环境中进行任意的网络攻击、防御、病毒等操作和调试，并真实的观察到攻击和防御的效果而不用担心这些操作对宿主机及物理网络的影响。为了满足不同的实验要求，各个实验所需的操作系统环境、应用环境以及网络环境都并不相同，本平台应提供方便的环境部署方法。在虚拟机环境中预置多个虚拟机母镜像，每个镜像提供不同的操作系统及应用环境。通过生成多个快照的方式提供统一的环境部署。在虚拟机网络结构设计中，基于虚拟化技术，需要把实验数据链路及管理链路进行隔离。只有虚拟机网络与管理链路隔离，才能保证在目标虚拟机上无法感知到管理链路的存在，从而保证管理链路的安全。对目标虚拟机的管理不通过虚拟机操作系统上进行，而须通过WebServices等远程接口连接目标宿主机系统，在宿主机上对目标虚拟机进行管理，包括启动、停止、升级、修改及获取性能数据。场景的构建须支持典型的企业网络的虚拟化，能够包含多个网络区域，包含路由器等虚拟网络设备，同时还能外挂独立安全设备（防火墙、IDS、WAF、终端安全管理系统等）。如下图所示，一个典型的企业网络结构应包括多个子网段，除了提供服务器上应用系统的仿真外，对网络交换设备和安全设备也要进行仿真。整个场景分为四个子网段。操作区：用来部署攻击者用来发起攻击的虚拟机，可模拟来自互联网区域的连接和操作。安全防护区：用来部署交换机、防火墙、IDS、终端安全管理系统、日志审计系统等网络安全设备，设定相应的访问规则及安全策略，以模拟真实的网络场景。安全防护区分别连接操作区、DMZ区和内网区，在内部设定了相应访问策略，根据场景配置的需要和实验要求模拟对应的环境。DMZ区：部署要仿真的场景中的对外网提供服务的服务器区域，通过设置防火墙的规则来设定操作区和内网区是否可以访问DMZ区，以及各个区域之间的数据连通性。内网区：在内网区域中部署的是用来仿真企业的内网中各类服务器，通常内网区域会具有整个企业最重要的数据和资源，是进行攻防对抗和应急演练的核心区域。综合利用服务器虚拟化和网络虚拟化的技术，需要达到如下要求：易于使用：通过虚拟化技术的使用，可在单一实体主机上部署多个业务系统，操作者仅需简单操作即可方便的构建实验环境。易于实验环境固化：方便的利用虚拟化软件的快照功能将实验环境进行固化，并作为实验母版，供以后的实验环境部署使用。易于扩充：当需要将物理的安全设备和连接设备连入场景时，应提供相应的接口或部署方案完成扩充。易于管理：通过独立封装的管理软件，应能够对系统的状态和实验的状态、任务下发、场景构建、评估指标管理等进行可视化的管理。课件制作系统设计课件制作流程启动课件制作系统，根据国内外各大漏洞平台发布的漏洞给相应课件制定编号，输入课件制作者，制作日期等信息。创建虚拟机环境从工具库取出并安装相应工具验证漏洞，成功继续；不成功返回第2步和第3不检查原因。创建得分点验证得分点，并录像，成功继续，不成功则返回第5步检查原因。添加其他信息（漏洞环境的用户名密码等。）保存课件发布到课件库对抗演练业务场景设计竞赛“竞赛”场景描述了在相同的场景中，规定了相同的任务的情况下，红、蓝双方在各自的场景分别展开的攻防操作，场景独立、红蓝互无干扰，以优先完成终极目标为原则的对抗模式。夺旗“夺旗”场景描述了在一个已经设计好的场景和剧情任务中进行业务模式。红、蓝双方使用同一个场景，在对目标进行攻击渗透的同时，双方之间也可相互渗透、相互干扰。该模式下，可判断红、蓝的胜负，考核队伍的攻、防能力等方面。是主要展开的对抗之一。攻防此模式下，在一个场景内，红蓝双方展开规划好的攻防对抗，一方渗透、一方防守。对攻对攻模式下，红蓝双方共同在一个场景中活动，需红、蓝双方各自寻找、发现对方，在发现后，即开始进行攻击渗透。其他场景设计系统平台功能具有较强的定制性，可根据用户的实际需要，进行场景设计、剧情设计、角色设计、任务设计、指标设计等。此部分功能通过功能平台中相关的模块进行生成，并且可根据用户的需求，在业务平台中调用，在门户平台中进行使用和展示。攻防平台主要功能设计实训系统系统管理任务管理任务管理模块实现实验任务的创建、下发、查看、暂停、恢复、终止和删除等功能。实验任务创建：教员可新建实验任务，选取对应课程场景、学员或学员组，设置开始时间和结束时间，选择实验类型（实验/考试）和操作机类型，提交完成实验任务创建。平台开始实验资源的下发。下发成功后，教员可完成针对实验任务的其他操作。实验任务下发：教员可选取对应的实验任务，并将其下发给对应的学员或学员组。下发的实验任务需要设置开始时间和结束时间。平台在实验开始前一个小时自动完成相关实验资源的申请和下发。下发成功后，教员可完成针对实验任务的其他操作。实验信息查看：查看信息包括学员名、学员组、实验名、实验运行状态、实验类型、实验详细信息等。实验详细信息包括实验名称、类型、状态、实验人数、实验下发时间、实验剧本时间等。实验任务暂停和恢复：教员可针对单个或多个实验任务来进行暂停和恢复，暂停指令下发后被暂停的任务的学员会受到提示，并在1分钟后挂起所有实验资源。教员可针对已暂停的实验任务进行恢复操作。实验任务终止：教员可选取实验任务进行终止。实验任务可由实验学员自行终止或由管理员终止。实验任务删除：教员可选取实验任务进行删除。课件管理课件管理模块可以查询课件详细信息，并可以选择将课件分配给用户或用户组。场景管理场景管理模块支持新建、编辑、删除场景信息。资源管理资源管理模块可查看系统各虚拟机的运行状态及占用资源信息，同时支持设备新建、编辑、删除等操作。用户管理系统管理员可管理人员、部门、组的信息，并设定用户角色。用户信息包括：登陆账号、用户名、性别、类型、手机号、邮箱地址、部门、用户组（可能是多个）、创建时间、最后登陆时间、用户当前状态（在线、离线）。对用户的操作包括：列出详细信息、强制下线、编辑、删除、支持批量删除、导入导出。过滤、排除功能：支持登陆状态、用户类型、关键字（用户名、账号、组）过滤。支持账号名、用户名、登陆时间排序。业务操作功能本功能能够在统一出口上进行伪装和反追溯。通过操作限制可以防止业务人员因疏忽、误操作而暴露敏感信息。通过封闭操作环境、审计记录、全程录像等手段，能够防止泄密事件的发生。可提供先进的业务工具和最新的漏洞支持。本功能主要包含两个大部分：系统的任务发布人员可以通过本管理模块向指定的业务人员发布任务，并注明任务的内容、目标、情况和完成任务的计划和时间等信息。任务管理人员还可以通过相应的界面和接口查看任务的执行情况和状态，实时的控制任务的进度和走向。而任务执行人员可以通过本管理模块接收任务，并查看与任务目标相关的数据分析结果、数据统计情况等各种信息。在任务完成之后，可以利用本模块的相关接口提交任务完成的报告及各类数据结果等。任务执行人员会利用本模块的任务执行接口进入到一个分离的虚拟环境计算机系统中对任务目标完成渗透和取证的工作。由于此类任务的特殊性，系统会在此虚拟环境计算机中对操作人员的所有操作行为进行日志记录和录像。任务执行人员可通过虚拟环境计算机中的相应接口申请符合权限的相应工具完成任务。任务管理人员也可通过系统提供的界面对任务执行者的操作行为进行监控和查看。选课显示平台内的所有课件，用户可根据需要选择相应的课件。平铺是将课件以图文并茂的方式展示，包括课件图片、课件制作人、课件制作时间等信息。列表展示是将课件以表格方式展示。学习操作详细显示课件的相关信息并提供进行视频查看和实验操作的访问接口。实验的详细信息（也可称为实验指导说明）包括课件视频、实验环境等信息。学员可申请实验资源。在资源加载过程中，实验任务列表和实验内容都会显示任务加载过程。在等待加载的时间里，学员可通过观看视频，获得相关知识。在资源申请完毕后通过操作接口开始实验操作。逐步分解的教学录像考试攻防训练及业务平台可虚拟构建网络安全考场和竞技场，通过智能训练效果评估功能进行打分和评判。为教员、裁判和观众提供友好、直观、准确的参考人员操作同步播放、参赛人员赛程节点路径播放。可用于同业对标、激发学习积极性。效果评估学习数据采集系统内部提供实验采集程序。这个程序可智能的获取学员的操作，如，对目录、文件名的添加、修改、删除，对注册表选项的操作，运行可执行应用程序等。通过获取这些操作，实时的与实验场景内置的得分点进行匹配。通过匹配结果对学员实时评分，并将评分点记录到数据库中。数据采集程序可以提供提示实验操作的功能。如果学员使用提示功能完成实验，实验不会得到满分。学习效果评估在学习课件的实验操作过程中，通过采集程序实时采集实验数据。可帮助学员判断实验完成情况。在实验完成后，系统可展示学员的实验总体结果，列出完成的评分点和未完成的评分点。业务仿真实验系统沙盘定制根据用户生产环境，采用虚实结合方式定制仿真实验环境。沙盘系统提供灵活的网络结构定义方式，包括网络区域数、VLAN配置、IP配置、各区域的访问控制策略；支持灵活多样的主机及应用系统模拟，支持各种网络设备包括交换机、路由器、防火墙设备等模拟与仿真，支持各种真实网络与安全设备包括防火墙、IDS、IPS、VPN、安全网关接入，支持多个网络区域级连，模拟真实网络结构，进行安全态势监控等科研测试或者网络攻防实战演练。系统监控系统监控能够实时监视沙盘系统中各设备的名称、版本、类型、描述等基本信息和CPU资源、内存资源、磁盘资源、网络接口等运行信息。沙盘管理沙盘管理提供沙盘中各设备控制（包括启动、挂起、关机等）、操作权限分配（给用户分配区域操作权限）、设备配置变更（导入/导出/手功配置等）等沙盘调度功能。课件制作系统课件制作系统主要包含课件制作，以及对课件库和工具库的管理功能。课件管理模块是整个系统的核心部分，以针对仿真实验系统中监控到终端的风险操作行为制作课件。课件包括该风险相应的检查手段、检查流程、加固方法(如需要在防火墙做什么配置、在IDS上进行什么检查等等)，录制相应的培训视频、创建实验验证环境，生成一个针对性的培训课件供相关人员学习、演练，并对系统弱点进行加固。课件库用于存储有课件制作系统制作的课件，工具库用于存储跟课件相关的各种安全工具供相关人员学习使用。课件管理可对已有课件进行修改删除等操作，并更新维护视频库、工具库及课件库。视频库视频库主要负责对课件学习提供影音支撑。由于视频流是网络中占用较大流量的的应用。本系统采用了业内最高效的流媒体服务解决方案，可避免视频流占用过多带宽。并且可将录制的视频存放至视频库中。工具库本系统包含了渗透工具库和网络攻击库模块。除系统事先提供的各种渗透工具和网络攻击工具外，系统预留接口，可进行第三方的工具导入。工具库主要包括以下内容：信息收集工具、口令拆解工具、漏洞利用工具、权限提升工具、渗透脚本、网络攻击工具、数据库攻击工具、应用攻击工具。分类保存工具：按分类保存工具，记录分类名、工具名、工具唯一标识ID。并提供操作机可访问工具库的接口。并通过课件和访问人员等级设定访问工具权限。课件库课件库主要集中储存各类典型的攻防教程，包含常见及非常见的攻防教程，涵盖主机、数据库、应用、网络等各个层面的攻防知识点教程。使用者接收到演练任务后，可查看到匹配当前任务的过程文档及功能演示，在查看到任务中的知识点后，可选择启动攻防模拟场景进行实际操作，来验证训练到的攻防知识。管理员可自定义课件，并对课件进行文档及操作演示的录制并下发任务。可实现学员分组式的互动教学，并支持课件的统一管理，具备可升级和扩展能力，针对各类知识点作为实践中的得分点用于考试、考核、统计等功能展示。保存课程相关属性：课程信息包括课程唯一标识ID、课程名、图片名、描述、训练指导书文字部分、课程时长、课程等级、课程制作人、视频ID、场景ID、工具ID等信息。专题信息包括专题名、图片名、专题等级、描述、制作人、视频ID（如果有）、课程ID等信息。案例信息包括案例名、案例图片、案例等级、案例描述、制作人、场景ID等信息。提供查询接口：提供课程、专题、案例访问接口。可将制作的课件存放至课件库中。场景设计场景设计模块实现各类业务场景包括实验场景的添加、删除、修改、导入、导出等功能，场景包括网络区域、包含模板、网络连接参数等要素。课程设计课程设计模块实现培训课程的添加、删除、修改、导入、导出等功能，课程包括培训视频、实验指导书、实验场景等配置要素。竞赛设计课程设计模块实现竞赛场景的添加、删除、修改功能，竞赛场景包括竞赛网络环境、得分点等配置要素等。对抗演练系统演练管理演练任务的创建、下发、查看、统计、暂停、恢复、终止和删除等操作，竞赛评分规则设置。竞赛任务创建：管理员可新建竞赛任务，选取对应竞赛模式与场景、学员或学员组，设置开始时间和结束时间，提交完成竞赛任务创建。平台开始竞赛资源的下发。下发成功后，教员可完成针对竞赛任务的其他操作。演练信息查看：查看信息包括学员名、学员组、演练名、演练运行状态、演练类型、演练详细信息等。演练详细信息包括演练名称、类型、状态、演练人数、演练下发时间、演练剧本时间等。演练任务状态统计：教员可查看到所有在线演练情况（按人员显示），可依据演练人员的实时操作对比正在进行的演练。演练任务实时查看：教员可选择感兴趣的演练，对该演练操作者的屏幕进行实时的查看。演练任务暂停和恢复：教员可针对单个或多个演练任务来进行暂停和恢复，暂停指令下发后被暂停的任务的学员会受到提示，并在1分钟后挂起所有演练资源。教员可针对已暂停的演练任务进行恢复操作。演练任务终止：教员可选取演练任务进行终止。演练任务可由演练学员自行终止或由管理员终止。演练任务删除：教员可选取演练任务进行删除。效果评估演练数据采集系统内部提供采集程序。这个程序可智能的获取参赛者操作，如，对目录、文件名的添加、修改、删除，对注册表选项的操作，运行可执行应用程序等。通过获取这些操作，实时的与演练场景内置的得分点进行匹配。通过匹配结果进行实时评分，并将评分点记录到数据库中。演练效果评估在演练操作过程中，通过采集程序实时采集演练数据。可帮助管理员监控演练完成情况。在演练完成后，系统可展示演练总体结果和参赛队排名等数据。演练展示演练展示模块包括演练任务查看和查看统计报表演练任务实时查看：可以查看演练任务运行状态列表，可选择感兴趣的参赛者，对该操作者的屏幕进行实时的查看，也可选择查看演练队成绩对比。查看统计报表：可以查看演练结果、得分等演练任务和结果统计。攻防平台性能设计性能要求表示用户对系统响应速度、处理能力、数据处理精度等指标，攻防对抗及应急演练平台的性能设计目标如下：支持40人同时在线培训，每人的实验环境准备时间不超过180秒；支持5组以上演练任务同时进行，支持40人同时参与演练任务；关键业在线培训用户达到40并发时或者演练人员达40时，硬件系统CP利用率小于80%、磁盘利用率小于75%、I/0利用率不于80%。以上性能指标需要对应的硬件资源作为支撑，硬件资源推荐配置表如下所示：设备名称最低配置需求数量备注管理服务器2颗6核心CPU、64G内存、SATA硬盘、RAID5、可用空间不少于2TB，不少于3个千兆网口1备注培训实验或者攻防演练时动态分配，此数量根据40人同时在线估算视频服务器2颗6核心CPU、64G内存、SAS硬盘、RAID5、可用空间不少于2TB，不少于3个千兆网口2资源服务器2颗6核心CPU、64G内存、可用空间不少于300GB，不少于3个千兆网口4存储服务器1颗6核心CPU、64G内存、SAS硬盘、可用空间不少于6TB、不少于3千兆网口1网络交换机不少于24个千兆端口，支持VLAN数40961威胁情报平台设计网神360信息安全攻防实验室融合最新的信息安全技术，既能进行信息安全攻防试验，同时通过建立威胁情报平台，还能开展基于互联网安全技术的威胁情报、大数据分析等前沿安全试验。安全情报库模块安全情报库模块负责从目标数据源应用处获取数据。由于数据源的多样性，每个目标数据源都有各自不同的数据特点和格式，同时也具有不同的抵御数据爬取的方法和手段。因此，为了能够稳定、准确的从互联网应用中获取到系统需要的数据，就必须设计各自独立的数据收取和爬取引擎。由于当前互联网应用都会使用相关的反数据爬取手段来限制和组织自动数据爬取，因此为了能够有效的获取到这些数据源的数据，在安全情报模块中还需要设置对应的辅助功能模块本模块将完成针对国内各大网络安全情报网站(如CVE，CERT)上的安全情报的爬取和存储，模块内部署多个独立的数据获取节点，由统一的数据获取调度管理程序完成对数据获取节点的策略下发和状态监控。各数据获取节点设置缓存数据库来临时存取爬取到的数据，数据获取节点在对数据进行了初步的过滤和清洗后将数据转发给统一的存储节点完成数据的存储。设计思路图如下图所示：模块功能如下：安全情报管理实现对安全情报统一管理，采集对象的添加、删除、修改、查询支持批量情报信息导入。采集方式管理采集引擎支持多深度爬虫技术、GraphAPI技术、FQL2.0技术的组合，方式可以单一使用也可以组合使用。采集引擎管理采用归档爬虫对上述安全情报源的目标页面进行遍历，将安全情报的本地内容存储到的存储介质上；通过对GraphAPI的利用，做到对于目标对象实时的基本属性的更新；使用FQL查询语言，可以通过FQL获取到格式化后的数据并快速整型入库；实现通过以上三种引擎的配合调度并分布式部署，完成对数据的采集。采集策略管理首先默认的三个目标有三个默认策略：普通安全情报采用基本集属性，通过Web爬虫建立初始属性，属性需要精细处理，最大化的还原目标的所有可获取属性；重点安全情报在普通安全情报上进行扩展，除了采集基本属性还需要采集关系结构，并进行网状描绘，在属性的更新上做到天级别的更新周期；紧急安全情报是最大化的详尽对象在互联网上的所有特征。数据管理基于目标对象实现对获取安全情报数据的新增、删除、修改的功能。可对安全情报进行多维度快速查询，包括对影响资产、影响范围、影响严重性等信息的查询；状态管理实现对采集引擎和接收引擎之间链路的状态管理。具有情报审核、跟踪、反馈等功能。扩展功能可与平台其它模块联动，情报项可以与任务、工具、场景、课件、展示等模块进行关联，便于进行相关的操作。手工导入功能安全情报库模块对系统管理员开放导入接口。管理员可以将获得的安全情报进行手工导入。安全情报验证情报系统验证场景按操作顺序主要包括四部分：情报搜集和环境部署漏洞攻击验证加固任务加固验证下面分别描述这四部分的业务流程情报搜集和环境部署业务流程图如下：操作说明：首先情报子系统在互联网上搜集到最新的漏洞情报。通知业务层的告警模块，并将情报存储到情报库中。告警模块通知系统管理员。系统管理员从情报库中查询需要仿真的场景信息，管理员再访问攻防场景库模块，手动创建情报验证仿真场景。仿真场景包括目标机和操作机。在网络拓扑图中，DMZ区的服务器、模拟IDC区域的服务器、无线接入模拟区域的终端和局域网内的终端都可能是生成场景的目标机。攻防演练区为操作机。漏洞攻击验证业务流程图如下：操作说明：运维人员通过攻防演练区域的操作机按照流程对仿真场景的目标机进行攻击。攻击行为会被记录到攻防展示模块中。运维人员在攻防展示模块上查询攻击结果。如果漏洞确实存在则进行下一步加固任务。加固任务业务流程图如下：操作说明：首先运维人员需要通过业务攻防场景库模块重新生成仿真场景，仿真场景恢复漏洞攻击之前状态。对恢复后的仿真场景进行人工加固。加固验证业务流程图如下：操作说明：运维人员通过攻防演练区域的操作机按照流程对仿真场景的目标机进行攻击。攻击解决会被记录到攻防展示模块中。运维人员在攻防展示模块上查询攻击结果。如果攻击失败，证明该目标机已经可以抵御此类攻击。可以按照这种加固步骤完成对真实业务主机的加固工作。无线安全实验平台设计网神360信息安全攻防实验室与中南大学校园网无线网络对接，为学员提供无线安全实验环境。无线网络脆弱性分析 人的脆弱性：人的安全意识不足导致的各种被攻击可能，员工私建wifi热点，设置wifi弱口令等。无线网络自身脆弱性：包括无线AP的不安全设置如无线AP采用不安全的加密方式、没有用企业级带认证服务器的AP等，导致易被黑客利用攻击。无线安全威胁分析信息系统所面临的威胁大体可分为两种：一是黑客通过无线攻击入侵企业内网，获取内网机密信息；二是针对企业无线网络发起干扰，影响企业无线网络的正常运行。这些安全威胁的主要表现形式可以概括为以下几点（不局限于）：钓鱼热点：用户连接此钓鱼热点会造成WiFi帐号等敏感信息泄露，严重可导致内网被入侵；泛洪拒绝服务攻击：疑似黑客发起泛洪拒绝服务攻击，使得当前区域内的无线热点均无法正常工作；无线WiFi破解；WiFi恶意扫描；无线攻击框架利用；无线安全实验设计通过实验室部署的无线入侵检测与管理系统对无线网络中的入侵行为进行实时检测、防御。使学员充分掌握如何建设统一的符合国家规定的无线安全检测机制，如何实现对无线网络系统进行自动的入侵检测和分析。全面检测实验：全面检测，不应当是简单的全面攻击类型检测，还应当包括如下方面：收集信息点的全面——无线入侵检测与管理系统支持多级分布式管理，可在多个地点部署入侵检测的控制台和检测引擎，进行统一的管理：控制台可以下接子控制台或引擎，组成树形管理部署架构，并且可将所有信息点数据进行集中收集和处理，实现全面的信息收集。协议分析的全面——无线入侵检测与管理系统支持目前所有无线协议802.11a/b/g/n/ac的检测。检测机制的全面——提供基于特征的检测机制，以及基于现有无线网络状况的检测。有效阻断实验：包括有效阻断热点、有效阻断客户端。安全管理体系安全管理体系框架基于攻防实验室在安全方面的特殊性，为保证其正常运行必须要求实验室建立一套良好的运行维护制度，涉及实验室的安全管理制度以及流程的一套信息安全策略体系。安安全管理制度和规范安全攻防实验室各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，是必须具有可操作性，而且必须得到有效推行和实施的。安全攻防实验室将设计如下安全管理制度和规范：岗位说明书人员安全管理规定安全培训教育管理规定机房管理制度安全攻防实验环境安全管理规定资产安全管理制度设备安全管理规定运行维护安全管理规范网络安全管理规定系统安全管理规定变更管理制度安全事件管理制度应急预案管理制度安全流程和操作规程安全攻防实验室的安全流程和操作规程，详细规定主要攻防实验和事件处理的流程和步骤，和相关注意事项。作为具体工作时的具体依照，此部分必须具有可操作性，而且必须得到有效推行和实施的。安全记录单安全记录单，落实安全流程和操作规程的具体表单，根据不同实验功能区域的要求可以通过不同方式的安全记录单落实并在日常工作中具体执行。主要包括日常操作的记录、工作记录、流转记录以及审批记录等。安全管理制度体系文件管理制定和发布管理由于安全攻防实验室的设备和人员流动性较大，安全管理制度制定和及时更新是必须的。安全管理制定文档制定后，必须有效发布和执行。发布和执行过程中除了要得到实验室管理层的大力支持和推动外，还必须要有合适的、可行的发布和推动手段，同时在发布和执行前对每个人员都要做与其相关部分的充分培训，保证每个人员都知道和了解与其相关部分的内容。安全管理制度在制定和发布过程中，应当实施以下安全管理：安全管理制度应具有统一的格式，并进行版本控制；需要实验室相关人员对制定的安全管理制度进