天融信攻防演练平台&安全实验室建设方案北京天融信科技有限公司2013-04-19目录第1章综述 (4)第2章实验室需求分析 (5)2.1人才需求 (5)2.2攻防需求 (5)2.3研究需求 (5)第3章实验室概述 (6)3.1实验室网络结构 (6)3.2实验室典型配置 (6)第4章攻防演练系统系统介绍 (8)4.1攻防演练系统系统概述 (8)4.2攻防演练系统系统体系 (9)第5章信息安全演练平台介绍 (10)5.1应急响应流程 (10)5.2演练事件 (11)5.3.1信息篡改事件 (11)5.3.2拒绝服务 (13)5.3.3DNS劫持 (14)5.3.4恶意代码 (15)第6章信息安全研究实验室介绍 (18)6.1渗透平台 (18)6.2靶机平台 (19)6.3监控平台 (20)第7章方案优势和特点 (22)7.1实验室优势 (22)7.2实验室特点 (23)7.3安全研究能力 (23)7.4培训服务及认证 (24)第8章电子政务网站检测案例.................................................................................... 错误!未定义书签。

第9章实验室建设建议.. (26)9.1实验室建设步骤 (26)9.2实验室设备清单 (27)第1章综述为满足电信、军工、航天、网监、教育等行业对信息安全人才培养、攻防演练、安全研究等需求，北京天融信科技有限公司基于虚拟化技术开发了安全实训系统，并以此系统为核心打造了信息安全实验室。

以下是系统主要特点：➢通过虚拟化模板快速模拟真实系统环境通过融合虚拟网络和真实物理网络，简单拖拽即可快速搭建模拟业务系统环境，并在拓扑及配置出现问题时，方便快速恢复。

➢通过监控平台可实时观察测试情况可通过实训系统监控平台、在线或远程的方式对所模拟的网络测试环境进行监控。

✓多种虚拟化主机和网络模板✓网络拓扑所见即所得拖拽模式✓和真实的网络可互通✓整体测试环境可快速恢复✓监控主机服务、进程及资源状态✓监控网络协议✓定义和捕获攻击行为✓针对攻击行为报警第2章实验室需求分析随着互联网、专用网络化信息系统和各种网络应用的普及，网络与信息安全已成为关系到国家政治、国防、社会的重要问题，它对培养具有网络信息安全知识、应用提出了更高要求。

2.1人才需求近年来，信息技术已在人类的生产生活中发挥至关重要的作用，随之而来的信息安全问题也已成为关系国家安全、经济发展和社会稳定的关键性问题。

但由于国内专门从事信息安全工作技术人才严重短缺，阻碍了我国信息安全事业的发展。

2.2攻防需求随着信息安全的日益发展，网络新型攻击和病毒形式日益恶化，因此以安全运维、快速响应为目标，以信息网络技术为主要手段，提高在网络空间开展信息监察、预防、提高突发事件的处理能力。

2.3研究需求以行业信息化、网络安全、保密为主要出发点、重点研究信息管理和安全应用，建设新技术开发与验证平台，研究信息安全取证、破译、解密等技术。

并负责对电子数据证据进行取证和技术鉴定。

第3章实验室概述➢信息安全培训平台（TopsecSP）：是通过多台专用信息安全虚拟化设备，虚拟出信息安全所需的场景，例如WEB攻防平台、应用攻防平台、威胁分析平台、数据挖掘平台、基线扫描平台、漏洞分析平台、木马分析平台等等。

同时系统提供相实验指导书和实验环境场景。

➢信息安全研究平台（TopsecCP）：是通过智能信息安全靶机系统、信息安全智能渗透系统和信息安全监控系统实现红、蓝对战实战。

并对实战过程进行监控，实现测试过程和结果动态显示。

➢实验室设备接入区：是能够满足用户在演练和实战时通过接入特殊设备来完成用户自定义的实验需求，例如小型机，无线、射频等通过虚拟化技术无法完成的设备。

➢测试、培训、研究和管理区：相关人员通过B/S做培训、研究和管理所用。

➢远程接入区：能够满足用户通过远程接入到信息安全实验室内，进行7*24小时的测试和研究。

3.2实验室典型配置针对实验室对模拟网络环境多样性的要求，以下是信息安全研究实验室典型结构：信息安全实验室示意图信息安全实验室能够模拟：业务系统出口安全区域、DMZ安全区域、内网接入安全区域、以及安全研究专区，这些模拟环境已经涵盖了目前所有企事业单位的大部分安全单元。

在拥有丰富且全面的网络实验环境的基础上，相关人员还能接触到大部分市场上主流的网络安全设备。

实验设备要涵盖传统的网络防火墙、VPN网关、IPS、IDS、防病毒网关与流量控制网关等。

在原有基础网络实验室的基础上通过增加以下设备来完成信息安全实验室的搭建：第4章攻防演练系统系统介绍4.1攻防演练系统系统概述攻防演练系统系统产品是北京天融信科技有限公司（以下简称TOPSEC）对于安全人才培养、攻防演练、安全研究的等需求专门设计开发的产品。

攻防演练系统系统（简称TOPSEC-CP），根据我们多年来对信息安全趋势的把握，同时分析企事业单位对人才培养及安全岗位技能需求的基础上，参考大量优秀的、应用广泛的信息安全教材，TOPSEC 提供了一套全面、专业、成熟且可扩展的攻防演练系统系统。

TOPSEC-CP系列产品以理论学习为基础，结合最全面最专业的实训，增加技术人员对信息安全诸多领域的深入理解，为技术人员提供坚实的技术基础。

TOPSEC攻防演练系统系统提供多个方面的实验、实训及工程实践，涵盖多层次的实验操作，以真实环境的真实案例为操作指南，贴近实际岗位能力要求。

同时，配有强大的实验管理系统，能够为信息安全教学、攻防演练、安全研究提供一个完整的、一体化的实验教学环境。

此外，北京天融信科技有限公司可与企事业单位从实验室建设、课题研发、培训认证等方面进行全方位合作。

天融信“攻防演练系统系统”（简称TOPSEC-CP），依托于不同的课件和展示内容，可以应用于学校、军队、政府、企业等各行业，是国内乃至国际最好的虚拟化学习和研究系统。

TOPSEC-CP系统参考信息安全类专业教学指导委员会制定的信息安全类专业知识结构及能力要求，并联合开发了八大类信息安全课程体系，覆盖了多个方面的信息安全教学内容，包括实验原理、教学虚拟化环境、实验指导书，技术人员可以自主学习实验，进行实验验证与应用，并进行信息安全综合分析及自主设计，实现多层次的实验操作。

4.2攻防演练系统系统体系信息安全虚拟化实训系统体系包括：实验平台、实验内容和培训体系，提供实验工具管理、实验内容管理、虚拟化调用APT等多种扩展接口，方便各行业定制添加培训时候所需的实验。

如图所示：TOPSEC-CP配有强大的实训系统，能够为信息安全培训、教学及科研提供一个完整的、一体化的实验环境，从而打造出全方位的专业信息安全实验室。

第5章信息安全演练平台介绍信息安全演练平台是北京天融信有限公司在全国首创，推出的业内第一款演练平台，其独创性取得了用户的一致好评。

北京天融信有限公司公司于2012年推出的新一代演练平台，目前，演练平台在全国拥有广泛的用户群体，已经在各类企业、学校实施，产品功能稳定，性能卓越，受到了广大用户的热烈好评。

北京天融信科技有限公司所开发的信息安全演练平台，已纳入常见的攻击实验，可方便用户将攻防演练变成一种常态化的工作，同时，系统也可以快速自定义攻防演练的场景，已满足各种用户不同的需求。

5.1应急响应流程紧急安全事件的处理过程，可以遵循以下流程执行：图5.1安全事件应急响应流程5.2演练事件➢信息篡改：模拟针对中央系统某网站首页篡改事件的监控和处理。

➢拒绝服务：模拟从外部发起的针对某网站的拒绝服务攻击事件的监控和处理。

➢恶意代码攻击：模拟内网某服务器感染恶意代码后的监控和处理。

➢DNS劫持：本次演练主要模拟某DNS服务器的权威解析记录被篡改事件的发现和处理。

5.3.1信息篡改事件5.3.1.1 场景描述信息篡改是指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件，网页篡改是最常见的信息篡改事件。

网页篡改一般分三种方式：部分网站服务器页面被篡改、全部网站服务器页面被篡改、网站动态内容被篡改等。

本次应急演练主要模拟中央系统中某网站首页遭到篡改时的事件处理。

页面篡改安全事件，是指通过外部或内部非正常途径，如利用Web应用服务漏洞或Web服务器系统漏洞，获得相应的权限替换中央系统WWW服务器页面（静态页面）的事件。

本次演练模拟的网站拓扑环境如下：攻击方演练环境介绍防御方演练环境介绍5.3.1.2 准备阶段1、对www网站静态页面进行备份。

2、准备系统的基本快照。

5.3.1.3 攻击阶段1、攻击者通过扫描发现，WWW网站的服务器使用weblogic的默认管理页面对外开放，同时存在默认的登陆口令（weblogic/weblogic）。

2、攻击者通过弱口令登陆后，替换WWW网站的首页。

5.3.1.4 监测阶段使用监控组自主开发的“网站监控软件”，定时轮询方式检查页面的变化情况，发现页面被篡改；5.3.1.5 处理阶段1、进行系统临时性恢复，迅速恢复系统被篡改的内容；2、检查问题服务器WWW访问日志、系统操作日志，确定篡改时间、IP及可能的手法；3、分析系统日志(messages、sulog、lastlog等)，确认主机上有无异常权限用户非法登陆，并记录其IP地址、登陆时间等信息；4、检查weblogic应用日志，发现有无异常；5、确定问题根源，修复问题。

测试后上线；5.3.2拒绝服务5.3.2.1 场景描述拒绝服务攻击事件是指利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的信息安全事件。

拒绝服务发起时往往表现为cpu、内存、带宽等的高利用率，同时由于攻击手法和形式的多样性，造成对攻击形式攻击特征分析带来一定的难度。

本次应急演练主要模拟中研系统中WWW网站遭受synflood拒绝服务攻击时的事件处理。

本方案以web 应用为例，攻击者向Web端口发起synflood拒绝服务攻击，表现在分布式的大量针对80端口的数据包，以耗尽web服务的最大连接数或者消耗数据库资源为目的。

5.3.2.2 准备阶段了解、总结日常Web访问的流量特征5.3.2.3 攻击阶段针对80端口发送大量的synflood攻击包。

5.3.2.4 监测阶段使用监控组自主开发的“网站监控软件”，定时轮询方式检查网站的访问情况；通过轮询软件发现页面访问不可达。

5.3.2.5 处理阶段1、对web访问连接，进行分析。

2、在web服务器上，查看cpu、内存的负载及网络流量等。

3、在防火墙或网络设备上配置访问控制策略，限制或过滤发送源地址的访问。

5.3.3DNS劫持5.3.3.1 场景描述主要模拟DNS服务器的权威解析篡改事件。