(安全生产)2020年某学院信息安全实验室建设方案西普科技

XXXXXXX学院信息安全实验室建设方案20105目 录建设背景及意义 1建设背景 1建设目的及意义 2实验室规划 3实验室总体设计 3实验环境平台 3教学支撑平台 4扩展服务平台 4实验室环境设计 5实验室平面布局 5实验室逻辑结构 5实验室技术实现方案 6课程实践平台：信息安全实验教学系统 6系统结构 9系统组成 9源代码及开发接口 15实验指导书 15功能模块 16设备实训平台：信息安全实训系统 26系统概述 26培训平台 28考试平台 343.3.4管理平台 39实验课程设计 39课程实践实验设计 40实训实验课程设计 43系统建设前提条件 44硬件要求 44软件要求 44培训及认证服务 44中国信息安全评测中心简介 44人员培训及注册认证服务 45工作流程 46相关费用 47技术服务 47售前技术服务 47技术培训 47售后技术服务 48建设背景及意义建设背景InternetPDRR5035001-2802001200550专业。息安全类人才的建设中，为社会提供更广泛的职业技术人才。建设目的及意义动手能力和实际环境中发现问题、解决问题的能力。全技术脉动、获取用人单位求才时要求具备的技术能力。的信息安全综合实验室，可以达到以下目的：对信息安全相关课程的理论教学提供配套实验支持；让学生了解、熟悉防火墙、IDS、VPN于主流安全设备的弥补技术；对学生进行就业技能培训和认证，提高学生的就业竞争力。PGPDDOS/防火墙/VPN/IDSIPS/UTM主动信息获取、网络取证和企业安全管理等实验；提供相关课程的实践需要，同时达到因材施教、分类培养的目的。面向正规本科生的实践需要，有一定量的实践环节供学生实施创新性的二次开发；实验环境配置方便、易操作。实验室规划实验室总体设计图2-1：实验室总体设计实验室的高效运转。实验环境平台5教学支撑平台对学校在网络信息安全学科的教学进行统一的管理，实现资源共享。扩展服务平台为学生、教师甚至社会提供服务是实验室建设中必须考虑的一个问题。在本实验室中，针对信息安全专业人才的培养及科研项目开发需求，我们提实验室环境设计实验室平面布局图2-2：实验室平面布局实验室逻辑结构2-3，于实验环境平台环境设计如下：50105windowslinux图2-3：实验环境逻辑结构实验室技术实现方案平台进行一些科技创新活动。课程实践平台：信息安全实验教学系统课程实践平台强调的是为信息安全相关课程的课堂教学提供相应的实验环手操作来进一步加深对相关知识的理解，从而提高教学质量。针对学校的信息安全相关课程教学的特点和相关教学知识点情况，课程实践平台主要采用西普科技的信息安全实验教学系统（SimpleISES：SimpleInformationSecurityExperimentSimpleISES实验操作。同时，SimpleISES安全实验室。SimpleISESAPICNITSEC注册信息安全人员培训及认证服务。图3-1：系统层次图作为一套完整的信息安全实验教学系统，SimpleISES具有以下特点和优势：完备的实验体系实验操作系统等多功能的实验操作平台，大大提高用户的操作体验。多样的实验方式高效的实验管理么实验的“3W”（Who、When、What）管理。快捷的实验考核创新的在线实验考核功能，可实现教师的命题、评卷（客观题自动评分）、提高教学质量。创新的实验设备20具有很好的可扩展性，同时方便进行系统升级和维护。开放式实验平台共建API企横向课题合作，促进高校产学研的良性循环发展。系统结构系统部署非常简便，只需在学校原有实验室主交换机上引出一根网线接入PC实验系统分为服务区及客户操作区两部分。服务区存放实验教学系统相关PCPC

图3-2：信息安全实验教学系统逻辑结构图SimpleISESSimpleISES40操作，也可以进行实验分组和角色分配。硬件组成SimpleISES提供安全可靠的硬件环境。管理控制设备：作为实验系统的核心管理设备，构建实验的核心硬件环境，负责处理实验操作终端与所有实验设备之间的通信管理。通过配套加密设备进行实验系统的认证管理。内置实验管理平台实现对系统使用者的统一管理和访问认证授权，并对所有实验模块进行统一的管理和配置，为各个实验的顺利进行提供后台服务支持。实现用户管理、实验班级管理、实验课程管理、一键式实验准备、实验数据维护、实验环境设置等功能。教师可自定义各个实验模块实验目录，并添加新的实验。系统为整个实验系统的数据存储和安全等提供保障。作为实验系统的数据中心，负责对用户信息的统一存储和控制，主要包含用户注册信息、实验操作日志、实验结果、考核成绩信息等。Linux20NAT项目，或提供相应设备满足此功能。交换设备：台提供通信支持。显示控制设备：为实验系统的本地运维提供环境支持。软件组成SimpleISES系统中，包含了专业的实验考核平台，完成电子化的在线考试功能。实验操作平台SimpleISES作、实验考核、思考实验等集成在平台中。教师、学生采用统一的客户端进行登录，并根据权限提供WindowsLinux拟操作系统，实现对网络攻防、木马病毒、VPN、入侵检测等实验模块的操作，实现友好用户体验。图3-3：实验操作平台：实验台实验工具箱：针对实验系统设计到的网络攻防、病毒等实验模块以及在验自行添加相关工具，从而丰富工具箱并进行个性化的定制。图3-4：实验操作平台：工具箱实验管理系统B/S管理、学生管理、班级管理、实验及实验体系管理等功能。图3-5：实验管理系统主要功能系统管理：可完成实验设备的准备工作。图3-6：系统初始化界面教师也可以通过是开启标配实验体系以及添加新的实验内容进行个性化的实验内容定制。图3-7：实验体系管理针对实验过程中用到的各种实验工具、实验报告模板、开放源代码可实现自定义和扩展，以融合教师原有实验。图3-8：实验工具箱管理考核管理：B/S验过程日志的分析来对学生的实验情况进行综合的考核。题、课程、成绩等进行管理，实现在线化的实验考核、系统化的自动批阅、集中化成绩管理分析等功能，减轻教师工作量。3-9：考核管理实验管理：能。图3-10：实验学生管理源代码及开发接口为了配合学校进行实验二次开发以及部分学生高级自主编程实验的进行，API口，以便进行个性化的定制。实验指导书有实验思考题。图3-11：实验指导书功能模块密码学实验模块主要功能特点：根据实验教学不同层次需求，提供加密计算器—>加密分步流程演示—>加密算法程序跟踪调试等三个层面的实验功能，实现各种主流算法由浅入深的实验。（列函数、非对称加密、数字签名）的原理讲解及加密实验。从原理到应用全方位进行密码学的实验教学。图3-12：密码学实验面板信息隐藏实验模块主要功能特点：了解各种载体的信息隐藏方法。LSBDCT握传统的信息隐藏算法原理。信息隐藏在版权保护中的作用及信息隐藏的编程实现等。图3-13：信息隐藏实验界面主机安全实验模块主要功能特点：网络环境中主流主机节点的实训安全实验。覆盖主流操作系统（Windows2003Server、Linux）的安全配置实验。提供主流数据库（SQLServer、MySQL）的安全配置及管理实验。实现了对不同操作系统平台下的主流网络服务的安全配置实验。图3-14：主机安全实验界面防火墙实验模块主要功能特点：C/SIPTABLES心防火墙技术实验。时间及实验设备管理工作量。（如VPN、IDS等）的配置及应用。图3-15：防火墙实验面板安全审计实验模块主要功能特点：熟悉安全审计流程及工作方式。计策略。便事后信息的查询和分析。信息进行关联分析，培养学生面对海量安全信息的综合处理能力。图3-16：安全审计实验面板PKI主要功能特点：PKIWordPKIPKICA图3-17：PKI实验面板PMI主要功能特点：PMIPMIPMI图3-18：PMI实验面板入侵检测与防御实验模块主要功能特点：IDSIPSHoneypotIDSIDSIDSIPSIDSHIDSIDSIDSIDSIDS/IPS/力，扩展学生的理论知识水平。图3-19:入侵检测与防御实验面板漏洞扫描实验模块主要功能特点：基于自主研发的漏洞扫描系统，可锻炼学生的真实软件操控能力。技术实验，培养学生的综合应用能力。图3-20：漏洞扫描实验面板网络攻防实验模块主要功能特点：水平和攻击能力。针对攻击过程：踩点扫描攻击获得权限种植后门清除痕迹设计一施，使得学生掌握攻击发生的原理及应对之道。角色与防御角色。图3-21：网络攻防实验界面病毒实验模块主要功能特点：DLLPE式。的变化和捕获病毒实时运行的细节信息等多种手段揭示病毒感染和传播的技术内幕。具修改病毒来自定义病毒行为，更深掌握病毒原理。图3-22：病毒实验界面VPN主要功能特点：PPTPIPSecSSLVPNVPNPPPIPSec进行分析学习。手能力。图3-23：VPN实验界面安全编程实验模块主要功能特点：CC#JSUSB-Key实验。力。大型综合安全实验模块主要功能特点：水平。针对综合安全的自主设计实验，可有效提升学生的安全应用能力。无线安全实验模块主要功能特点：利用成熟商用无线网络设备，搭建真实无线网络环境。内容，可培养学生对无线网络的整体安全设计能力。设备实训平台：信息安全实训系统解。在此基础上，建设一个信息安全实训平台，一方面可通过软件模拟仿真的SimpleISTS系统概述核等一系列革新技术来建设一个以国内外各种知名信息安全产品实际操作为主图3-24：信息安全实验系统界面从物理上来讲，系统由服务器端、教师端和学生端组成。服务器端：存放各种权限数据、案例数据、各种数据库等；教师端：提供对系统的配置、学生管理、讲课内容管理和配置、鉴定安排等功能；学生端：完成学习、实验、鉴定等工作从功能结构上来讲，系统包含培训和考试两大部分。攻击演示、模拟考试等六大部分；考试平台：包括了考试场次管理、考生管理、成绩管理、题库管理、操作技能考试和理论考试几大部分。从硬件设备上来看，包含以下两种设备：实训控制设备：利用高可靠性硬件设备，实现对所有客户端的访问进行授权及认证。实训数据服务设备：对仿真课程及用户仿真数据进行统一的管理。化考核等一系列革新技术来建设一个以国内外各种知名信息安全产品实际操作本信息安全实训系统具有如下特点：信息安全实训系统。第一次召集国内多名安全专家精心设计训练案例集，真实模拟现实环境。以致用。采用智能化考核技术，实现鉴定的无纸化。毒和攻击的扩散。全模块化设计，非常方便地向未来扩展和升级。分满足教师的不同需求。培训平台6

图3-25：培训平台界面本系统采用我国自行开发的第一套以国内外典型信息安全设备作为原型的学习和适应每个学员的个性需求。目前本系统提供了针对以下设备的模拟仿真：防火墙、IDS、漏洞扫描、审计、VPN、无线网络；并可在未来无缝地扩充其他设备的模拟仿真。图3-26：模拟仿真拓扑图及防火墙管理系统仿真平台实验案例子系统全专家总结的实验案例来提高学员分析和处理实际问题的经验和能力。实验案例包括了实际工作中可能会出现的各种典型案例情况以及对应的解系统目前提供了针对操作系统、应用系统、网络攻击防范、安全策略管理以及应急处理等内容的几十个实验案例。图3-27：实验案例子系统病毒演示子系统病毒库涉及的病毒包括：木马病毒、蠕虫病毒、后门病毒、引导区病毒、宏病毒、脚本病毒、DOS病毒、PE病毒等多达近百种的典型病毒。图3-28：木马病毒演示攻击工具子系统系统涉及扫描工具、正规远程控制、木马与后门、口令破解、嗅探监听、脚本漏洞攻击、拒绝服务攻击、Exploit等多达几十种的攻击工具演示。

图3-29：扫描工具演示DDoS、溢出等国内外最先方法及攻击后果，让学员在制定防御方法时针对性更强，效率更高。系统涉及信息采集、漏洞利用、破解技术、清理痕迹、钓鱼攻击、综合入侵、工具使用等几十种攻击演示效果。

图3-30：信息采集演示好地参加并通过鉴定。

图3-31：模拟考试子系统考试平台是信息安全实训系统的主要组成部分，考试平台的优劣和鉴定管理的方便性将影响信息安全实训系统的整体运行效果。图3-32：考试系统界面行管理和设置。510学员可直接通过本系统进行理论考试；操作技能的考试需要学员通过操作实物来完成，本系统提供试题内容和考试结果录入。场次管理包括场次创建（包括场次查询，创建以及导出考评表等功能考位配置。考生管理

图3-33：场次管理包括考生录入，考生修改，考试信息查看。

图3-34：考生录入查看包括成绩录入，成绩查询两部分。题库管理

图3-35：成绩查询包括操作技能导入、理论技能导入、恢复已备份考题三块。

图3-36：理论技能考题导入界面5修改、删除和备份。

图3-37：操作系统和数据库安全10考试操作过程图3-38：理论技能考试界面信息安全智能考核流程简要说明如下：管理平台用户管理主要是对账户的查询、添加、修改、删除等管理。实训室运行管理包括实训室使用记录管理、设备信息管理和设备使用记录管理。系统管理包含系统操作日志查询实验课程设计SimpleISES足高校的实际教学需求。课程实践实验设计15180行相关的实验教学。实验模块实验内容支持实验教学的专业及课程网络工程专业信息安全专业密码学3DESAES-128AES-192AES-256、SMS原理与应用、CC++计密码学基础、算法设计与分析、.Net技术分析与程序设计、C语言课程设计、数据结构课程设计、密码学课程设计、应用密码算法程序设计3DESAES-128AES-192AES-256、SMS古典加密实验：移位密码、仿射密码、维吉尼亚密码流密码加密实验：RC4散列函数实验：MD5、SHA-1、SHA-256非对称加密实验：RSA、Elgamal数字签名实验：RSA-PKCS、DSA、ECC大数运算实验文件加解密实验SSH于GnuPG的加密及签名实验信息隐藏基于文本的信息隐藏实验CC++网络程序设计课程设计、计算机网络信息隐藏、数字版权管理、数据结构课程设计、密码学课程设计、数据结构、算法设计与分析、.Net技术分析与程序设计、算法设计与分析基于网页的信息隐藏实验基于图像的信息隐藏实验：BMP、JPG、PNG、GIF格式图像实验基于音频的信息隐藏实验：WAV、MIDI、MP3格式音频实验基于数字指纹的数字图像权益管理实验数字水印攻击实验：基于LSB、DCT算法嵌入/提取/破坏水印实验主机安全操作系统安全Windows安全：文件系统、用户管理、策略、网络及服务数据库原理及应用、计算操作系统原理、操作系统安全、数据库系统原理、数据库系统安全、计算机网络、计算机网络安全、数据备份与恢复Linux安全：文件系统、用户管理、网络及服务、日志管理数据库SQLServer安全：安全配置、数据库备份与恢复安全MySQL安全：安全配置、数据库备份及恢复机网络与通信、数据备份与恢复安全Windows下WEB、FTP、远程桌面服务安全配置Linux下WEB、FTP、SSH服务安全配置防火墙普通包过滤实验防火墙与入侵检测、计算机网络、网络技术与组网工程、计算机组成原理、计算机网络与通信、网络服务器配置与安全管理防火墙技术、计算机网络安全、访问控制技术、网络安全课程设计、计算机网络、网络服务器配置与安全管理状态检测实验应用代理实验NAT转换实验事件审计实验LinuxIPtables防火墙配置实验Windows防火墙配置实验实用防火墙实训:防火墙端口映射……VPN（虚拟专用网络）Windows下PPTPVPN的搭建计算机网络、网络技术与组网工程、计算机组成原理、计算机网络与通信络安全课程设计、Windows下IPSecVPN的搭建Windows环境下利用OpenVPN搭建SSLVPNLinux环境下利用Openswan搭建IPSecVPNPPP安全协议分析IPSec安全协议分析PKI（公共密钥基础设施）证书申请实验计算机网络、网络技术与组网工程、计算机组成原理、计算机网络与通信PKI网络安全课程设计请求管理实验证书管理实验交叉认证实验（WordFoxmailIIS）WindowsCA实现IIS双向认证PMI（授权管理基础设施）证书申请实验计算机网络、计算机组成原理、计算机网络与通信统申请管理实验属性管理实验证书管理实验证书应用实验（基于角色的授权与访问控制、基于安全级别的授权与强制访问控制）入侵检测与防御IDS实验：嗅探实验、数据包记录器实验、异常行为验、误报及漏报分析实验防火墙与入侵检测、计算机网络、网络技术与组网工程、计算机组成原理、计算机网络与通信入侵检测原理与技术、计算机网络、计算机网络安全、网络安全课程设计IDSNIDSIDS与单台防火墙联动实验IPS实验：IPS部署实验、IPS自定义规则实验蜜罐实验：WEB服务蜜罐部署实验、系统蜜罐部署实验、利用蜜罐捕捉攻击行为病毒脚本病毒实验C网络程序设计课程设计、计算机病毒及其防治、计算机网络、计算机网络安全、网络安全课程设计、DLL注入型病毒实验木马攻击实验查杀病毒实验网络程序设计PE病毒实验COM病毒实验邮件型病毒实验WORD宏病毒实验HTML恶意代码实验Linux恶意脚本实验ClamAntiVirus开源反病毒工具漏洞扫描主机存活性判断计算机网络、网络技术与组网工程、计算机组成原理计服务/端口判断操作系统判断操作系统漏洞判断应用服务系统漏洞扫描协议层漏扫扫描特色漏洞与方法扫描网络攻防踩点扫描实验:扫描实验；数据嗅探实验；网络攻防技术、计算机网络、编译原理、计算机组成原理、网络服务器配置与安全管理配置与安全管理攻击实验：缓冲区溢出实验；IPC$管道的利用与远程控制；SQL网络后门种植实验：系统后门、软件后门痕迹清除实验：日志清除实验、代理跳板安全审计文件事件审计实验计算机网络、网络技术与组网工程、计算机组成原理、网络服务器配置与安全管理络服务器配置与安全管理网络事件审计实验应用程序审计实验日志事件审计实验日志关联审计实验审计跟踪实验主机监管实验安全编程基于USB-key的软件授权编程实验程序设计基础、CC++计、数据库原理及应用网络应用开发综合实践利用BouncyCastleAPI加密编程实验利用CryptAPI加密编程实验基于socket的C/S应用程序编程实验驻留程序编程实验网页挂马编程实验snort二次开发实验批处理脚本编程实验大型综合安全实验企业典型网络安全架构部署实验计算机网络、网络程序设计课程设计、网络程序设软件工程课程设计、计算机组成原理、数据库原理及应用、计算机网络与通信、网络路由与互联技术IDS与多台防火墙联动实验Gen3蜜网部署实验WEB安全攻防实验网络安全整体规划与实现无线安全实验无线组网实验计算机网络、网络技术与计算机网络、计算机网络安WEP密码破解实验组网工程、计算机组成原理、网络路由与互联技术全、网络安全课程设计、网络服务器配置与安全管理、网络路由与互联技术提高WEP安全设置WPA配置实验无线内网攻击实验无线基本安全规划基于指纹识别的程序设计实训实验课程设计局域网组建与维护实训：局域网的组建和维护，包括局域网的概念和基本组成、局域网的配置、Internet吧局域网的组建、网络安全技术、局域网服务器的假设和局域网故障的处理等。引导学生从理论到实践操作，逐步加深对网络产品及软件各项功能的理解，提高操作水平。网络安全攻防技术实训：从计算机网络安全知识入手、结合实际攻防案例，由浅入深、循序渐进地介绍网络攻击与防御的方法。学习计算机系统、网络与服务器方面的基础知识，与网络安全知识相关的编程、病毒、WindowsSockets网络设备配置与管理实训：了解网络互联技术的原理和操作实践，内容包括网络需求分析，管理交换局域网，VLANDHCPRIP、OSPFWANPPP,FR无线传感网络安全实训：通过使用商业的无线传感网络设备搭建的真实无线传感网络环境，从而SNIFFERRADIOSTREAM点对点无线通讯、使用RADIOGRAM进行客户端/服务端无线通讯、使用RADIOGRAMRADIOGRAM合实验、门开关监控实验、基于基站通讯的用户查询节点通信实验。系统建设前提条件硬件要求学生PC机至少要求如下配置：CPUP42.0Hz以上内存1G以上（虚拟机至少256M）硬盘10G以上剩余空间网卡10M/100M网卡1块软件要求学生PC机上需要安装如下软件：操作系统Windows2000系列、WindowsXP系列或Windows2003系列应用软件MicrosoftOfficeWord2003（每个学生端一套，以便实现PKI实验中的Word签名）学校需提供下述软件授权序列号，以便安装于虚拟操作系统中：MicrosoftSQLServer全、SQLMicrosoftWindows2003