XXX职业技术学校攻防实验室建设方案

职业技术学校攻防实验室建设方案■文档编号DOCPROPERTY文档编号■密级限制分发■版本编号V1.0■日期©DATE\@"yyyy"2014绿盟科技 职业技术学校攻防实验室建设方案绿盟科技 密级：限制分发目录TOC\h\z\t"附录1（绿盟科技）,1,附录2（绿盟科技）,2,附录3（绿盟科技）,3,附录4（绿盟科技）,4,标题1（绿盟科技）,1,标题2（绿盟科技）,2,标题3（绿盟科技）,3"一.建设目标 3二.建设思路及阶段 42.1建设原则 42.2建设阶段 5三.攻防实验室设计 63.1拓扑与结构说明 63.1.1系统及网络安全实验室 73.2实验室配置清单（待定） 103.3实验室软件清单 103.3.1商业软件 103.3.2开源软件及其他 10四.安全人员培养 124.1划分方向及选择 124.1.1培养方向划分 124.2培养体系 134.2.1基础培养体系 144.2.2专项培养体系 154.3考核体系 194.3.1技能指标 194.3.2考核体系 21五.实验室运做及维护 225.1制度与规范 225.2设备管理建议 225.3文档及资料管理 235.3.1文档管理方案 235.3.2内部知识库 235.4关于外部交流 245.4.1信息及资料获取 245.4.2组织会议 24六.投资预算 25七.制度与规范参考 257.1实验室设备管理制度 257.1.1总则 257.1.2设备管理 257.1.3设备借用 267.2实验室文档资料管理制度 267.2.1总则 267.2.2定义和范围 267.2.3文档资料的管理 27建设目标随着市场的不断变化以及知识的更替，信息安全方面的人才需求也在逐年增加，如何培养出适合社会需求的安全人才，如何提升在校学生的就业竞争力就摆在职业技术学校信息工程学院的老师面前，在现实的要求下，职业技术学校计划在2009年，建设自有的攻防实验室。该实验室建设目标是为职业技术学校培养技术应用型人才，针对计算机网络系统安全技术进行学习掌握，提升学生的就业竞争力，并借此平台进行相关的安全技术的科研活动。此外，安全攻防实验室主要作为职业技术学校的教学平台与科研平台，提供信息安全方面的教学、实验与科研任务。总体而言，网络安全攻防实验室的建设目标如下：安全技术专家培养（教学）在逐步建立完善实验室软硬件环境基础同时，制定详细的教学课程，提高学生的信息安全攻防能力，培养专业的信息安全从业人员，提升学生的竞争力。并力争将该课程建设成具有深度、适合社会需求的精品课程。安全技术研究平台（科研）提供适当的网络及系统平台，模拟典型现实网络中的架构与应用情况，收集并组织研究网络安全攻防技术，组织研究计算机网络系统的弱点和修补加固技术。如网络攻击与防御、病毒和恶意代码的研究与查杀，系统安全研究、应用系统安全研究等具体内容。安全服务机构凭借攻防实验室这个技术平台以及通过这个平台培养的安全技术人才、职业技术学校可向社会提供专业的安全服务，如应用系统的测评、安全产品的测试等。专项安全技术研究为职业技术学校积累安全技术经验、并在积累足够经验后，开设专项安全科研课题，建立优势学科与专业。本方案是在初步调研的基础上，结合绿盟科技多年信息安全技术积累、安全攻防技术，为职业技术学校攻防实验室所提供的建议方案。建设思路及阶段从信息安全实验室的建设与发展历程来看，国外在信息安全实验室的建设上具有超过20年的经验，大都由IT厂商、科研机构采用独立建设或合作建设的模式发展而来。建立之初，大都为厂商提供产品测试与研究或为科研机构提供安全技术提供综合性研究平台。但随着信息技术的发展，信息安全实验室也逐渐出现分类，专业性更强、研究方向更专一的实验室成为发展的主流，按研究领域的划分来看，出现了如网络安全技术实验室、密码技术实验室、系统安全实验室、病毒实验室、网络攻防实验室等专业实验室。这些实验室的研究成果为信息技术的发展做出了巨大贡献、目前众多国外的安全厂商、科研机构、大学都非常重视自由安全实验室的建设与安全专家的培养。目前国内的信息安全实验室大都集中在高校、科研机构与IT厂商，其研究方向也各有侧重点如清华大学的网络安全实验室侧重数据包分析、够绿、算法研究及网络硬件方面的研究、山东大学信息安全实验室侧重密码学及密码技术的研究、湖南大学的信息安全实验室则侧重于病毒原理与病毒代码的研究等。从职业技术学校的需求来看，本次建设的攻防实验室应类似与国内其他高校建立的信息安全实验室，首先为学校提供一个培养学生的平台、其次以攻防技术作为发展方向进行建设。建设原则从职业技术学校的攻防实验室的目的来看，我们认为其核心价值是作为职业技术学校的教学科研平台、为培养信息安全人才的目标而服务，并以此为基础、依据职业技术学校的发展目标分阶段逐步建设完善。信息安全攻防实验室的建设原则应遵循以下几条：培养学生为核心信息安全攻防实验室的建设，其核心是为了培养专业的信息安全人才，提升学生的专业素养与实际操作能力，并在逐步的发展中建立优势学科，提高学校的教育竞争力。多系统、多平台原则基于培养学生实际工作中需要的动手能力，攻防实验室将模拟典型的复杂信息网络系统，在实际网络环境中，除了大量的windows操作系统与终端外，还存在大量的Unix/Linux系统平台以及其他的应用系统平台，攻防实验室应当具备多系统环境。此外，在现实的信息安全环境中，用户追求的不单纯是系统层面的安全，更重要的是很多应用系统层面的安全，因此要在多系统、多平台的基础上，构造一定规模的应用系统平台才能满足教学与科研的需要。另外，当前典型的整体安全框架中涉及到多种安全设备的协同工作，所以攻防技术人员必须了解当前的主流的安全产品的使用与功能。多样性原则网络攻击与防御，涉及到传输层、网络层、系统层、应用层的众多知识与技术，且攻防本身是一种对理论知识与实践经验结合要求很高的技术。攻防实验室里不仅要有系统平台来模拟演练攻击者如何探测、监听、躲避和入侵，更要有各种网络安全设备，来对攻击行为告警、预防。跟踪、取证。所以无论是从打击网络犯罪、跟踪网络入侵者、对网络犯罪行为取证的角度考虑，还是从攻击和干扰非法者借助网络所进行的不利于目标网络安全的行为，都必须对各种网络设备、安全设备进行研究。可扩展性原则计算机与通信技术的发展速度非常的快，网络攻击与防御技术也在不断地发展变化中，新的攻击方式、防御技术与防御体系的不断衍化都要求攻防实验室的网络平台、系统平台和应用平台，都要具备一定得扩展能力。建设阶段安全攻防技术具有很强的专业性，攻防人才和信息安全技术人才的培养都是一个较为漫长的过程，因此我们认为职业技术学校的攻防实验室可以分为两个阶段建设。第一阶段：通用型平台首先建成适合职业技术学校需求的通用型网络安全试验平台，这其中包括：实验室基础设施（包括弱电系统、综合布线系统、电池组、空调、防火防雷等）基础网络平台（包括交换式以太网、路由网络、无线局域网）独立的蜜罐系统（包括蜜罐系统、蜜罐主机、HoneyWall、日志分析系统等）基础系统平台（各典型操作系统平台）、通用的应用系统平台（邮件系统、网站、FTP、数据库等）网络安全设备（包括常见的安全软件与设备，如防火墙，IPS，漏洞扫描系统，内网安全管理系统等）第二阶段：专项建设在建设完善通用平台后，根据职业技术学校的发展规划与学科建设目标，有针对性的进行专项建设。攻防实验室设计拓扑与结构说明从功能和使用要求上来区别，攻防实验室主要由以下几个部分组成：系统、网络安全实验区安全监控实验区以上各实验区承担不同的功用，此拓扑图为实验区域，其他实验设备如IPS、漏洞扫描等产品作为实验设备，可根据实验需要进行架设调配。在后期的课程设计中将针对性体现。实验区的IP分配情况、机房环境要求等，本设计中目前没有涉及。系统及网络安全实验室本区域为整个攻防实验室的核心区域，承担主要的“系统安全试验”和“网络安全试验”两大功能。系统安全实验主要用于针对操作系统、应用系统的攻防技术研究和安全实验。网络安全实验作为系统安全实验的重要补充，提供相关网络安全实验功能。系统及网络安全实验区主要提供的实验功能如下：病毒及恶意软件分析测试实验在本区域内，学生可以研究测试典型网络内经常遭遇的病毒、木马、蠕虫、恶意程序等，学习如何利用杀毒软件、内网安全管理软件或以手工方式来发现、采样、分析、处理病毒和恶意软件，甚至包括对于内部病毒源头的追踪。在此基础上，可通过学习和深入分析，进一步了解掌握恶意代码的特征分析，脱壳加壳技术、反编译等技术，甚至对病毒样本文件进行代码级的分析。系统层的攻防实验学生也可以学习针对主流操作系统、数据库的攻击与防御技术，学习如何利用安全软件、安全产品甚至手工方式去发现和利用系统漏洞、进行账号及口令猜测、系统后门利用，学习如何防御和修复漏洞、识别迷惑和诱骗、学习手工和利用安全产品对攻击事件进行准确定位、并进行修复和取证。针对应用的攻防实验在系统基础平台上，建立一套典型的应用系统，因为攻击者大多数情况下都是直接面对应用系统，这些应用系统应包含通用的办公、邮件、网站、内部DNS、FTP等，学生可以在应用系统上进行实战演练，学习对常见应用系统的漏洞发现和利用，以及典型应用系统的防护与加固，如针对网站如何使用安全工具和手工配置来进行安全防护。这些工作将为职业技术学校开展应用系统级的安全测评服务，做好技术、知识与人员的储备。针对流量的攻击方式学生可在系统及网络安全实验区学习DDoS攻击的原理与攻击/防御手段。作为网络上危害较大、影响范围较广的攻击方式、应予以分析、研究，作为对金融、运营商、政府网站等重要行业、单位影响较大的攻击方式，应通过攻防实验室的学习，学会预防、缓解DDoS攻击的影响。实验区内设备说明：整个实验室区域应当具备一定的快速恢复能力，在安全实验中有较多会产生破坏性的攻击实验，因此可以采用硬盘还原卡、Ghost系统镜像等办法来保证实验室区域的快速恢复能力。常用的Windows服务器系统如Windows2000Server、Windows2003Server，以及Windows客户端系统如Windows2000Professional、WindowsXP、WindowsVista系统。常用的MSSQl、Oracle、Sybase、MYSQL等数据库系统。AIX系统在金融、电力、政府等行业具有较多的应用，且大多数运行中间件、数据库系统、可以考虑采用IBM的AIX工作站，以缓解资金压力。SUN系统作为运营商等大型客户常用的应用系统，且在早期版本存在较多的安全问题，所以可以考虑用来练习针对Unix的攻击技术，因此我们建议配备1-2台SUN工作站。在此实验区域中还应配备一些PC服务器，用来运行典型网络中常见的Linux，BSD系统等。在系统平台建设的基础上，模拟搭建网络典型应用系统、如办公系统、邮件系统、文件服务系统、FTP服务系统，为学生提供真实环境下的应用渗透和攻防实战演练。这个区域主要用于网络安全实验使用，主要侧重网络层面的安全防护与攻击、渗透。考虑到未来无限局域网的广泛应用，在网络系统实验区应答搭建无线局域网接入环境。在网络安全实验区部署VPN接入环境、模拟典型VPN接入，进行攻防测试。如果要建设完善的路由实验环境研究BGP、MPLS等网络协议，可能需要投入较多资金购买路由器，考虑到资金问题，我们建议采用高性能服务器或工作站，运行如Dynamips等路由模拟软件。系统安全试验设备描述：设备描述数量主要安装软件与系统说明PC服务器4Windows2K/2003/VistaExchange2000/2003SQLserver2000/2005ISAserverFreeBSD/NetBSD/OpenBSDLinuxSolarisx868、9、10防病毒系统试验与模拟应用设备，可以模拟常用的各种SUN工作站1Solaris8、9、10SendmailBindFTPPOSTFIXApacheOracle试验与模拟应用设备AIX服务器1AIX5.3试验与模拟应用设备HP工作站1HPUX11试验与模拟应用设备PC工作站4Windows2000/XP/2003/VistaVMwareWorkstation6.0LinuxBSDSolarisX86MySQL日志收集分析系统试验与管理设备笔记本2安全测试终端防火墙1绿盟冰之眼安全网关边界防火墙扫描器Scanner1极光扫描器漏洞扫描器入侵保护系统NIPS1绿盟冰之眼入侵保护系统攻击防护安全审计系统1绿盟冰之眼安全审计系统审核、取证内网安全管理1绿盟矩阵内网安全管理系统内网安全管理抗DDoS攻击1绿盟黑洞抗拒绝服务系统抗拒绝服务攻击入侵检测系统NIDS1绿盟冰之眼入侵检测系统入侵检测系统，监听取证，逃避测试网络安全试验设备描述：设备描述数量主要安装软件与系统说明PC服务器2Linux/windows/BSD网络防毒APACHEBIND拨号认证系统PC工作站4Windows系统Iris网管工作站、测试用系统、虚拟路由环境笔记本2无线接入及其它安全测试防火墙1绿盟冰之眼安全网关VPN网关功能核心交换机1核心交换接入交换机2接入交换无线AP1无线接入实验室配置清单（待定）编号产品描述用途数量12345678910111112实验室软件清单商业软件以下是我们建议实验室中需要用到的商业版系统及软件：编号产品描述用途数量1Windows2000ServerEditionWindows2000平台1套2WindowsServer2003StandardEditionWindowsVista平台1套3WindowsVistaEnterpriseEditionWindows2003平台1套开源软件及其他Internet上有大量的开源软件和安全工具，需要及时收集、学习和掌握，从技术角度进行分类，如下：主要分类次要分类具体样例扫描类网络远程扫描类Nmap、Nessus、特定漏洞扫描工具、Web漏洞扫描软件Nikto主机本地扫描类MBSA、IceSword、autoruns等加密解密加壳工具ASPack、UPX、FileInfo脱壳工具ASProtec等密码学工具DSATool、RSATool等恶意程序病毒Viking、熊猫烧香等木马后门灰鸽子、冰河等蠕虫SQLSlammer、间谍软件/恶意插件Botnet程序口令破解John攻击工具各种漏洞利用工具完整性检查集合工具BackOrifice2.0编程/编译工具GCC/IDA5.0安全人员培养建设攻防实验室的目的是为职业技术学校培养优秀的信息安全人才、建设优势学科而服务。因此安全技术人员的培养和管理是安全实验室建设的成败所在，如果不能培养出一批技术过硬，业务能力强的安全技术专家队伍，那么攻防实验室所有的设施和软硬件只能成为摆设。成为安全技术人员乃至安全专家和安全顾问，要求技术人员对系统、网络及通信协议等各方面有着深入了解。深入了解不仅要求技术人员需要了解、熟练使用各操作系统、应用系统、各种软件、硬件、通信协议等，而且还要从安全的层面深入研究各种软硬件等存在着的安全脆弱性，并需要将这种安全脆弱性上升到理论层次。同时，安全攻防是一门实践性与经验性要求非常高的技术，只有理论而没有实践无法成为安全技术专家，安全技术人员的培养必须有大量的安全攻防实验作为保障。划分方向及选择培养方向划分安全攻防技术范围广、内容纷繁复杂，因此必须要明确职业技术学校到底需要将学生培养成什么样的安全技术人员和安全专家。安全攻防实验室的建设初衷决定了职业技术学校应当培养实用型、技能型的安全专业人才。我们认为应当对人员的培养学习方向进行一定的划分，明确其学习研究方向和技术特长，做到有的放矢，避免眉毛胡子一把抓。成为一名合格的安全技术人员需要长时间的系统学习和经验积累，但我们认为，从技术方向上划分明确，确定了相关人员学习的侧重点和研究方向，能够集中精力和资源进行培养锻炼，可以在较短的时间内达到一定的技术高度、产生初步的效果。这也为安全攻防实验室的后期建设积累经验。下表是我们为本次攻防实验室技术人员所设定的技术研究学习方向：技术方向主要学习和研究内容病毒及恶意代码研究病毒、蠕虫的查杀、行为分析、防范；后门及木马、恶意程序的查杀垃圾邮件Rootkit技术网络及系统安全研究系统漏洞和弱点扫描技术、扫描工具利用及分析；网络嗅探、欺骗与反嗅探、反欺骗；攻击者行为取证技术和追踪；网络对抗与防御性反攻击；网络与系统状态监控与安全审计；网络入侵检测及攻击防护；无线网络安全Botnet追踪与分析应用系统安全研究Web扫描技术SQL注入及XSS/CSRF（含ASP、PHP、JSP等基础）IIS、Apache、Tomcat安全配置；入侵追踪与取证；数据库安全与配置（SQLServer、Oracle、MYSQL、Sybase）；注：从网络安全的变化形势，以及攻防技术的发展情况来看，目前很多技术没有严格的划分界限，存在彼此交叉的情况，因此上表只是划分大的技术方向作为参考。针对以上的划分方式，对安全技术人员分别制订出适合其技术方向的培养计划和考核体系。培养体系为了充分利用好安全攻防实验室的硬件条件，在较短的时间内培养安全攻防技术团队和安全顾问型人才，需要制订一系列的培养计划。我们认为职业技术学校内部安全技术人员的培养，应当以以下三种方式结合的模式来进行：自学：自学能力是安全技术人员必须具备的基本素质之一，因为很多经验的传递和知识的灌输必须要依靠学员通过自学或二次学习，进行吸收转化；外部培训：借助专业的安全公司、厂商、咨询机构的力量，进行专项的安全技术培训和技术指导。这类培训一定要在培训前做到明确培训需求、培训内容、培训所达成的目标等，否则容易出现期望值过高、培训需求不明确、内容不符合等情况导致培训效果大打折扣；内部培训：通过内部的资源挖掘，逐步建立内部的培养体系和知识库，进行知识和经验的共享。此外，建议职业技术学校考虑建立内部的导师制度，明确导师的角色、任务和考核标准，通过以老带新，以传、帮、带的操作模式，为技术团队及时补充新鲜血液。根据我们在上一节针对人员研究方向的划分，我们建议将培养计划分为两个体系。基础培养体系：面向全体技术人员，这其中的主要内容为一般安全从业技术人员必须了解或熟悉的知识体系和操作技能，如网络协议、路由协议、操作系统、常用的安全工具等等。当然这部分内容可以主要以自学的形式开展，为相关人员制订通用的学习体系和学习计划，通过定期对学习结果进行考核追踪，以了解学习效果和存在的不足。这方面的培养体系也可以作为职业技术学校内部通用型的安全技术人员初级培养体系。专项培养体系：这部分内容是在技术人员具备足够的基本知识和操作技能的基础上，面向安全攻防的具体方向所设立的专项培养体系，如按照我们建议的划分方向，分别建立病毒及恶意软件研究方向、网络及系统攻防研究方向、应用系统攻防研究方向等。基础培养体系安全技术人员应当熟悉或掌握的基础知识体系，我们认为应当包含如下内容，以供参考：知识体系主要内容备注计算机网络TCP/IP协议TCP/IP详解卷1、2IPv6路由协议与交换技术802.11x无线网络原理VPNAAA体系防火墙原理操作系统Windows系列ActiveDirectory活动目录Windows基础安全配置（网络、服务、文件系统、本地安全策略）组策略/用户管理/安全检查Windows网络通用服务器配置（DNS/DHCP/Web/SMTP/POP3）公共密钥体系/数字签名原理UNIX/Linux系列常用命令/文件系统/启动过程/软件包管理/用户管理安全配置/安全检测常用网络服务配置数据库数据库基础理论与概念T-SQL语句/查询、索引、视图、存储过程等常用数据库操作、维护常用安全工具WindowsResourceKitWindows资源光盘Sniffer、Wireshark、TCPDump、WinDump、SnoopFPort/Lsof/ProcessMonitor/AutorunsSolawindstoolsetOpenSSH、SecurCRT、Putty目前大多数针对安全技术培训，没有标准的课程，绿盟科技根据多年的安全培训经验，针对职业技术学校的安全人员基础培养体系，建议定制以下的培训课程体系。包括以下：课程安排时间级别说明基础安全培训1-2天初级安全技术综述，面向技术人员的普及培训UNIX系统安全培训1-3天中级初级的UNIX安全技术培训Windows系统安全培训1-3天中级初级的Windows安全技术培训网络安全培训1-3天中级综合的网络安全技术培训黑客攻击与防范技术介绍1-3天中级攻击与防御技术的综合介绍安全管理培训1-3天中级信息安全管理体系方面的培训特定安全产品培训1-3天中级针对特定安全产品的培训绿盟科技可以协助职业技术学校，逐步建立初级的安全培训体系。通过定制设计以上课程的详细内容，包括演示和实验，形成自己的培训课程体系，以方便在今后给后备人员、内部管理员进行安全培训。专项培养体系专业方向的培养，需要对纷繁复杂的知识体系进行细分，将网络攻防技术中常用到的技术进行分类，或者按照黑客攻击的步骤，将这些技术分类细化。以便于安全技术人员理清学习思路和阶段目标，逐步掌握相关技术。知识体系主要内容嗅探类协议分析/协议还原，掌握Sniffer类软件的高级使用协议欺骗，了解协议原理及协议缺陷和漏洞会话劫持，会话劫持原理、实现以及反劫持扫描类TCP/IP指纹技术，了解掌握网络层指纹探测技术OS指纹技术，了解操作系统识别技术，系统指纹特点HTTP指纹探测技术，了解WebServer指纹识别技术漏洞扫描技术Nessus/SuperScan等工具使用密码破解帐号口令猜测技术/密码技术与应用Cain/SAMInside/L0phtCrackPasswareKitEnterprise等工具使用溢出类栈溢出/堆溢出/格式化字符串溢出工具实现及使用(Metasploit等)木马及后门木马工作原理ASP/PHP网页木马灰鸽子/RootKit等木马脚本安全ASP/PHP/JSP/VBScript编程及文本处理C语言/Perl/Shellawk等应用层攻击SQLInjection、XSS等病毒和蠕虫病毒及恶意软件的分析/原理/追查与应对各种流行和典型病毒和蠕虫/邮件病毒查杀拒绝服务TCP/IP协议漏洞及DDOS原理DOS攻击及僵尸网络蜜罐技术蜜罐系统原理、搭建和分析IRCBotnet的追踪由于专项的安全培训涉及到一定的深度和广度，大多是定制化的内容，并且培训的受众群体都是具备比较扎实的知识体系和较强的技能，所以这类培训的重点主要以引导启发、综合介绍、经验传递为主，而不是单纯地讲解技术、教授技术。以下是绿盟科技提供参考的部分安全培训内容：安全技术中级培训培训天数3-6天课程深度中级~中高级课程描述讲解信息安全技术的各项内容，讲解相关系统的安全配置和管理，使学员具备局域网安全规划和实施的能力。适用对象专业安全管理人员课程内容密码技术与应用：本讲从讲述密码技术发展历程入手，集中介绍对称加密技术、非对称加密技术以及散列算法，阐明现代密码技术的工作原理、应用范围、功能等，并针对几种流行的加密算法加以适当分析，同时对几种常用加密工具的应用（如PGP、Md5sum、Tripwire）进行实践。Internet安全协议：本讲针对TCP/IP协议簇的不安全特性加以分析，在此基础上逐步展开叙述SSL、SSH、IPsec、Kerberos等安全协议，着眼于密钥管理这个关键的问题，详细讲述包括密钥的生存、分发、安装、保管、使用以及作废全过程。Windows系统及应用安全：本讲从Windows的安全结构入手，对安全子系统中的重要组件如SAM、LSA、GINA等进行详细分析，分别阐明帐户安全、文件系统安全、注册表安全，对于Windows的常见应用（如IIS、Netbios、TerminalServer等）的安全性加以分析。Unix系统及应用安全：本讲通过对Unix系统的帐号安全、文件系统安全、常见应用安全的讨论，引入对PAM、Xinetd、TCPwrapers等安全配置的实践，强调Unix系统本身安全配置的同时，还将重点描述Unix主要应用服务（Mail、HTTP等）的安全问题。网络安全设备：本讲从访问控制、风险评估、行为监控等网络应用需求出发，详细讨论防火墙、IDS、扫描器、抗DDOS产品等主流安全设备的工作原理，并加以实际演练，对其在信息安全系统中所扮演的角色进行深入讨论，同时对设备选型、设备部署等进行相应的介绍。流行的安全攻击方法与防御措施：本讲首先介绍一般的黑客攻击途径，着重描述当前流行的攻击技术和防御手段，从踩点扫描着手，重点分析网络嗅探、病毒与木马攻击、拒绝服务攻击、SQLInjection原理、XSS跨站脚本攻击等，并阐明相应的防御措施。培训效果掌握信息安全知识体系；掌握常用系统的应用安全配置；理解密码技术并能在Mail、Web等领域加以应用；掌握主流安全设备的部署方法，能够完成局域网的安全设计规划；理解常见的攻击技术和相应的防御方法。预备知识熟练掌握Windows服务器系统理解TCP/IP协议栈及其基本原理了解Unix/Linux操作系统理解网络设备如路由器、交换机的工作原理了解典型的DBMS及相应的SQL语言安全技术高级培训培训天数4~8天课程深度高级课程描述透析底层安全技术，使学员能够掌握最深入、最前瞻的安全攻击防御技术。适用对象专业安全研究者课程内容攻击谱线分析：本讲由讲师通过一次完整、完美的黑客攻击过程的实践展示，首先对黑客攻击的一般步骤进行分析，阐明黑客攻防的基本思路，并按照步骤顺序对其中涉及到的工具、平台、弱点、手法进行叙述，对黑客的惯常思维方式进行归纳总结。攻击目标信息采集与识别：本讲在分析目标端网络数据采集方法的基础上，简明扼要地说明一些典型的工具应用，通过掌握目标端信息辨别的方法和原理，能够有效地进行Footprinting资料搜集、挖掘和准确的人工判断。Unix渗透技术：本讲通过简要、快速叙述GDB等工具为导入，基于典型的Unix平台分别叙述缓冲区溢出执行、Shellcode编写等内容，并将结合类Unix平台的特点，就堆溢出、内核溢出、漏洞发掘技术等进行描述，一些不常见的利用技术如文件流溢出、BSDMemcpy等也将展示，总体上阐明通过Unix底层进行渗透、获得shell的技术原貌。Windows渗透技术：本讲结合Win32系统的内存管理特点，分析Win32平台的缓冲区溢出利用技术，对Win32系统下的Shellcode技术进行阐述，同时就Win32平台的堆溢出、格式串利用、漏洞的分析调试等进行展示，全面地体现Win32系统下的底层渗透技术。Web攻击与防护：本章通过对Web安全威胁的叙述，有层次地对Web攻击进行归纳总结，同时针对其中多种攻击手段进行详细分析，全面阐明SQLInjection、XSS攻击等样式繁杂的Web攻击手法，并从整体上提出Web的防护技术。路由交换安全：本讲主要通过对网络设备安全（路由器、交换机）的弱点分析，描述路由器弱点评估方法，实践避开路由器与防火墙的过滤规则的方法，分析破解Cisco密码，执行路由器跳板攻击。同时还将介绍针对广域网环境下的攻击手法和破坏行为。Unix/Linux和Windows安全加固：本讲通过对系统安全加固的流程进行介绍，说明安全加固工作的主要工作任务。完全参照实际的工作过程，通过大量的现场模拟环境的加固实践，针对不同操作系统（Windows、Linux、HPUX、IBMAIX、BSD、CiscoIOS等）和相应应用系统（Web、Mail、DB等）描述其检查流程、入侵调查、加固方案和相应的checklist，同时还将就Honeypot/Honeynet技术进行分析和实践。培训效果理解通常的安全攻击范式；掌握Windows和Unix/Linux系统的底层渗透技术；理解包括Shellcode编写等在内的多种攻击技巧，掌握相应的防御方法和细节；理解影响Web安全的多种攻击方式；掌握Unix/Linux和Windows系统的安全加固方法预备知识熟练掌握Windows和典型的Unix系统配置掌握C、C++语言，有一定的开发经验掌握各种路由交换协议，熟悉相关设备的配置维护熟练掌握典型Web服务器系统的配置掌握T-SQL等典型SQL语言考核体系安全攻防技术是一门具有一定个性化和艺术化的综合技能体系，因为其知识结构复杂、内容多样，对操作技能和实践经验的要求也非常高，而且攻防效果通常因目标系统状态而有一定差别，所以这方面人员的培养和塑造通常无法用可量化的指标来衡量。但考虑到为学校培养实用型技术人才，其投入需要得到一定的回报，因此还是要有一定的考核体系和考核指标来观察学生的成长情况。我们认为，除了有一定的考核手段之外，通过理论学习与在实践中的锻炼，安全技术人员的技能和知识的积累才会更有效果，其成长也会更快。技能指标根据我们此前对人员研究方向的划分，列出具体的技能考核参考。由于这些技能参考项比较多，以下是我们建议的，不同方向人员应对这些技能应掌握的分布表。精通：表示对该项技术从理论知识体系、具体实践，以及最新发展动向，都有深入全面的了解和掌握。能够迅速满足职业技术学校内部日常安全工作中的需要。熟悉：表示对该项技术有一定的理论认识，有过接触和初步的实践掌握，没有全面的体系化地掌握。能够对职业技术学校内部的日常安全工作有所帮助。了解：表示对该项技术有一定的理论上的接触。以下是对技能指标的一些分类建议（空白部分表示可以不关注）：技能指标掌握程度病毒及恶意代码方向网络及系统安全方向应用攻防方向各种扫描和攻击工具的使用熟悉熟悉熟悉病毒/蠕虫/后门/木马的追查/使用/分析精通熟悉熟悉防火墙的配置和防御方式熟悉了解入侵检测系统的配置和防御方式熟悉精通熟悉TCP/IP协议分析软件使用及实际环境的运用熟悉精通精通拒绝服务攻击的发起、发现及防范了解熟悉熟悉渗透及迂回攻击的演练精通精通路由器的安全配置及安全隐患的利用了解熟悉对各种操作系统的本地提升权限、隐含身份、清除脚印方法精通熟悉对各种操作系统的安全配置及安全审计方法熟悉精通熟悉数据库的基本使用、常见入侵及安全配置熟悉熟悉Web的安全配置、安全隐患及入侵熟悉精通邮件系统的基本配置及安全隐患熟悉熟悉精通日志文件分析了解熟悉熟悉入侵行为的追踪与取证熟悉精通精通灾难恢复技术熟悉熟悉熟悉密罐系统的配置、使用与分析Botnet分析熟悉精通熟悉考核体系毕竟培养一名合格的安全技术人员，是需要足够的时间和耐心的。以下针对不同的阶段，我们建议的考核方式和考核内容，不建议对人员的培养在短期内设置硬性指标。在初级阶段，建议以理论知识体系的考核为主，以实地操作能力作为参考。在专项培养阶段，建议模拟攻防演练、实地操作、实际问题处理等作为考核主要方式。在长期持续考核，建议以成果积累为主，以安全事件处理等为表现参考。考核体系考核内容考核办法及比重基础知识和技能（1~1.5年）理论知识掌握情况考试题（50%）考试论文（20%）实地操作（30%）基本的系统、网络设备、安全设备操作技能基本安全工具使用、安全配置、安全检查操作专项知识和技能（2~3）攻防技术理论、技术分析、总结综合能力实验操作与模拟攻防演练（40%）实际效果及相关报告（30%）讲座培训（20%）典型网络安全分析与防护建议（10%）安全事件分析、处理思路、安全事件应急思路及处理过程攻防专项技术的掌握及应用网络/系统/应用安全的防护体系成果考核（3年以上）培养、学习、实践中的成果体现知识类成果（如原创、经验性文章、总结等）（50%）开发编写的软件、脚本、工具（30%）安全事件处理（时效、结果）（20%）关于对人员长期（3年以上）学习成果的考核，主要包含以下方面：知识类：纯粹的知识类，如原创文章、经验性论文等，虽然无法直接形成生产力，但可以作为传承和知识库的积累，成为职业技术学校重要的智慧资源。成果类：开发/修改的软件、可执行脚本、工具等，人员学习创造的成果，可以作为人员培养考核的重要参考指标。安全事件处理能力：模拟工作中的事件处理时效、结果等作为重要的考核依据。实验室运做及维护由于攻防实验室在信息安全方面的特殊性，为保证其正常运行必须要求实验室建立一套良好的运行维护制度，涉及实验室的人员、设备、文档、日常运行开放等等。制度与规范我们建议建设攻防实验室的同时，就开始着手准备建立相应的制度与规范，主要内容建议如下：《网络攻防实验室人员岗位职责》《网络攻防实验室安全管理制度》《网络攻防实验室开放管理制度》《网络攻防实验设备管理使用制度》《网络攻防实验室文档资料管理》《网络攻防实验室安全实验流程制度》通过这些制度，为攻防实验室明确岗位划分、人员责任，以及规范安全技术人员在日常的安全培训、学习、实验过程中的操作规范。同时，需要定期对规范和制度的落实情况进行检查，以免走过场。具体的制度和规范，我们认为应当在遵循职业技术学校内部相关制度的前提下，根据攻防实验室的特殊性，制订具体的细节。设备管理建议攻防实验室内的设备，应当实现专用，并由专人负责保管，特别是U盘、存储设备、主机设备等，这些设备通常会用来存储大量的黑客工具、病毒及蠕虫样本、木马和后门程序，一旦管理不善很容易威胁校园网络自身的安全，造成不必要的损失，因此这些设施的使用和管理必须引起重视。除了《设备使用管理制度》外，对于实验室设备管理的建议如下：实验室设备专用，原则上不外借给其它部门使用。如果出现外借情况，针对主机、U盘、移动硬盘等具备存储功能的设备，应当申请外借流程，由实验室安全管理人员确认设备中没有病毒和恶意程序、没有实验室中用到的安全软件和工具、没有与安全实验室中相关的文档和资料。实验室设备的管理责任到人，应当有专人负责设备的使用、维护、保养等。实验室内的U盘、移动硬盘等存储设备专用，由专人统一保管，不可随意借调、带出公司。实验室中的系统应具备快速恢复能力，建议采用虚拟系统或Ghost镜像。建议以下具有破坏性的安全实验，可以在虚拟系统上或具备快速恢复的系统上完成：病毒、蠕虫及恶意程序的实验；网络攻击（远程漏洞溢出攻击等）；文档及资料管理文档管理方案文档密级与发布：攻防实验室的文档、书籍及资料中，特别是网络攻击/防御技术经验总结、分析文章、安全事件处理报告等，应当根据职业技术学校相关的管理制度，设置相应的文档密级，和相应的发布、分发流程。存储及编目：实验室所用的软件、工具、代码、病毒样本等，应当分类存储，并建立对应的分类存储编目，作为内部知识库的重要组成部分。建议对病毒、恶意程序、蠕虫等样本文件进行加密打包压缩。同样地，对文档的编目也可以遵循类似规范。内部知识库建立内部的知识库，需要长时间的积累和沉淀，我们建议由各方向的攻防技术人员，根据一定的标准进行知识库收集，可以根据以下分类进行收集：知识库分类说明技术方案/总结文档安全建设的产品技术方案，总结性的建设文档软件/工具/脚本安全软件/攻防工具/脚本等报告/文摘产品试用报告、技术测试报告等技术论文/管理论文技术、管理的的安全论文常用软件/工具的使用FAQ各种安全工具/软件的使用FAQ各项安全技术TIPS日常安全以及各项安全技术的提示信息关于外部交流外部交流这方面，我们建议职业技术学校可以关注以下组织、机构、网站相关的信息。特别是国内的相关安全技术与安全管理峰会，可考虑选派学生人员参加这些会议。信息及资料获取机构网站：其它网站：组织会议xfoucs焦点峰会：国内最著名的安全技术峰会，每年6-9月间开幕，汇集国内著名黑客的安全技术研究者，侧重最新的攻防技术研究。官方网站:CCClub（ChinaCISSPClub）：国内最著名的安全管理论坛，每年定期在北京、上海等地召开，侧重安全管理、审计等方面。官方网站:黑帽子大会：国际顶尖黑客高峰论坛，除了汇集全球顶尖黑客外，这里还是众多国际厂商和安全厂商所关注的会议之一。官方网站:NANOG峰会：北美网络工程师组织，其中部分侧重运营商网络层面的安全。官方网站:FlowConference：侧重运营商级的网络流量分析，部分牵涉到利用网络流量的DDOS/蠕虫/网络攻击行为分析。官方网站:/投资预算初步投资预算，见投资预算清单.xls制度与规范参考由于基本制度、不同攻防实验室运作存在很大差别，以下是参考绿盟科技内部工程安全实验室的相关制度规定，仅供职业技术学校参考。实验室设备管理制度总则攻防实验室内的设备属于职业技术学校的IT资产，其日常管理维护、维修、折旧、报废等，应以职业技术学校内部相关制度为基本原则。设备管理实验室设备应做到制度落实、责任明确，所有设备应当按照职业技术学校相关制度进行统一编码和标识；应明确设备的正常使用规程，加强设备的正确使用宣传和培训，设备使用人员应能正确使用相关设备