《2022年网络安全攻防实验室方案 .pdf》由会员分享,可在线阅读,更多相关《2022年网络安全攻防实验室方案 .pdf(27页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1 网络安全攻防实验室建设方案XXXX信息科学与工程学院2017/5/4名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 27 页 -2 目录第一章网络安全人才需求.3 1.1 网络安全现状.3 1.2 国家正式颁布五级安全等级保护制度.3 1.3 网络安全技术人才需求猛增.4 第二章网络安全技术教学存在的问题.4 2.1 网络安全实验室的建设误区.4 2.2 缺乏网络安全的师资力量.4 2.3 缺乏实用性强的安全教材.5 第三章安全攻防实验室特点.5 3.1 安全攻防实验室简介.5 第四章安全攻防实验室方案.6 4.1 安全攻防实验室设备选型.6 4.1.1 传统安全设备.6 4
2、.1.2 安全沙盒使实验室具有攻防教学功能的独特产品.6 4.2 安全攻防实验室拓扑图.8 4.3 安全攻防实验室课程体系.9 4.3.1 初级 DCNSA 网络安全管理员课程.9 4.3.2 中级DCNSE 网络安全工程师课程.10 4.4 高级 安全攻防实验室实验项目.12 4.4.1 基本实验.12 4.4.1 扩展实验.14 第七章网络实验室布局设计.25 7.1 实验室布局平面图.25 7.2 实验室布局效果图.25 7.3 机柜摆放位置的选择.26 名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页,共 27 页 -3 第一章网络安全人才需求1.1 网络安全现状信息技术飞速发
3、展,各行各业对信息系统的依赖程度越来越高,建立持续、稳定、安全的网络是保障用户业务发展的前提。近年来,安全问题却日益严重:病毒、木马、黑客攻击、网络钓鱼、DDOS 等安全威胁层出不穷,而且技术越来越复杂,病毒、木马及黑客技术等融合造成了网络安全的巨大危机。用户都已经认识到了安全的重要性。纷纷采用防火墙、加密、身份认证、访问控制,备份等保护手段来保护信息系统的安全。但是网络安全的技术支持以及安全管理人才极度缺乏。1.2 国家正式颁布五级安全等级保护制度2007 年 7 月 24 日,公安部、国家保密局、国家密码管理局、国务院信息工作办公室正式上线颁布了信息安全等级保护规定,信息安全等级保护管理办
4、法及实施指南,颁布了信息安全等级保护管理办法、信息系统安全等级保护定级指南、信息安全技术信息系统安全等级保护实施指南、信息安全技术信息系统安全等级保护基本要求等办法。办法明确规定,信息系统的安全保护等级分为五级,不同等级的信息系统应具备的基本安全保护能力如下:第一级安全保护能力:应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。第二级安全保护能力:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损
5、害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。第四级安全保护能力:应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 27 页 -4 的威胁所造成的资源损害,能
6、够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。第五级安全保护能力:(略)。等保制度的颁布将网络安全的重要性提高到法律法规的高度,并催生了一个新的职业:网络安全评估工程师/专家,该职位属于IT 行业的顶级职位,目前的人才储备远远不能满足行业需求。1.3 网络安全技术人才需求猛增网络安全技术涉及到国民经济的各个领域,技术发展迅速,在中国对安全人才的需求数量大,人才的需求质量高,高技能型应用人才十分缺乏,据51Job、中华英才网等人力资源网站统计,近年,人才市场对网络安全工程师的需求量骤增,大中型企业都已经设置了专业的网络安全管理员,中小企业也大量需要懂得网络安全的网络管理员,银
7、行、证券、保险、航空、税务、海关等行业尤其看重。网络安全行业的就业需求将以年均14%的速度递增,2008 年,网络安全行业的就业缺口人数将达到20 万以上。网络安全工程师需要更高更全面的技术学习,因此薪资水平较一般网络工程师高,可以达到 1.5 至 3 倍的水平,走俏职场成为必然。第二章网络安全技术教学存在的问题2.1 网络安全实验室的建设误区很多学校在建设网络安全实验室的时候都会走进一个误区,往往认为安全设备的安装调试就是安全实验室,没有把安全攻防、系统加固作为网络安全实验室的建设内容。安全设备的安装调试以及安全网络的拓扑设计的确是安全实验室的重要内容,但应该不仅仅是这些内容。大部分的网络安
8、全实验室之所以建成安全设备的调试级别,主要是因为组织实验室方案的往往是设备厂商,作为设备厂商关注的问题就是如何更多地销售设备,这就导致实验室的层次偏低,实验项目不全面。2.2 缺乏网络安全的师资力量网络安全是网络行业中技术含量较高的方向,安全人才较为缺乏,学校师资也是一样,好的师资是网络安全实验室教学中的一个重要环节。通过师资培训,再加上好的环境来实践,可以保障网络安全教学师资的提升。名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页,共 27 页 -5 2.3 缺乏实用性强的安全教材目前市面上面的网络安全教材很多,但绝大部分都是以理论为主,很容易导致学生学习的厌烦感,教材的编排并没有针
9、对性的网络安全实验,这也是网络安全实验开展困难的主要问题。第三章安全攻防实验室特点在一个已经部署防毒软件、防火墙、IDS、VPN等安全产品的实验室中,很少有人清晰的知道这些安全产品的作用,以及能够为计算机安全所带来的保障。配置和组网的实验带给学生的仍然是书面的理论知识,学生没有一个整体的概念。实验室严重匮乏的是安全设备的组合以及攻防环境的建立,这让很多学校以及企业感到无从着手,无力进行有效的网络安全培训,面对以下问题无所适从:问题 1:怎样的教学方式才能让学员更加快捷、高效 的学习网络安全方面的知识?问题 2:什么样的教学环境才能让学员更容易、积极 的学习网络安全方面的知识,增强网络安全意识?
10、攻防带给教学最真实的环境、最有效的实验方式,学会真正最实用性安全技术,在实验室中学生可以真实体验到未来工作中的网络状况,并加以排除、维护和改造。3.1 安全攻防实验室简介目前,各行业用户对信息系统的依赖程度也越来越高,建立持续、稳定、安全的网络是保障用户业务发展的前提。大家都认识到安全的重要性,纷纷采用防火墙、加密、身份认证、访问控制,备份等保护手段来保护信息系统的安全。与此同时,安全问题日益严重,病毒、木马、黑客攻击、网络钓鱼、DDOS 等安全威胁层出不穷,而且技术越来越复杂,病毒、木马及黑客技术等融合造成了网络安全的巨大危机。因此,国内人才市场对网络安全工程师的需求量骤增,大中型企业需要精
11、通网络安全的网管人员。原来的网络安全实验室都是面向设备安装调试以及设备组网的实验室,没有针对网络管理员实际遇到的安全攻防做出相应的训练。网络攻防实验室采用SZSM 的 SZSM 安全沙盒系统进行试验。安全攻防实验室使用主流的安全设备:如防火墙、入侵检测与防御系统、统一威胁管理系统、终端安全系统、安全准入认证系统组成实验网络,将典型安全漏洞实验案例、主机系统加固实验案例以及漏洞扫描案例浓缩到称之为“安全沙盒”的安全攻防实验平台中。安全沙盒与所有安全设备组合部署成一个强大的网络测试环境,学生和研究人员可以更直观、名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页,共 27 页 -6 更有效、
12、更方便地体验设备中安全技术的部署,观察并攻击“安全沙盒”中定制服务器常见的操作系统漏洞和网络应用服务漏洞等,然后在安全沙盒上进行系统加固,并可以利用整网的设备联动发现威胁、主动防御。安全沙盒的部署拓扑如下:第四章安全攻防实验室方案4.1 安全攻防实验室设备选型4.1.1 传统安全设备传统的安全设备包括防火墙、UTM 统一威胁管理、入侵检测引擎、认证计费、日志系统等产品,这些传统的安全设备可以组建完整的网络进行设备的安装调试,满足学生了解产品配置、了解产品功能的作用。传统的安全设备是安全攻防实验室不可或缺的产品,它们的组合可以完成安装调试级别的所有实验。4.1.2 安全沙盒使实验室具有攻防教学功
13、能的独特产品SZSM 安全沙盒系统DigitalChina Secure SandBox(简称:DCSS)为计算机安全教育提供实验课程以及实验环境。教师通过登录DCSS系统的管理平台SandBox Management 名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页,共 27 页 -7 Centrol(简称:SMC)进行实验课程的教学工作,学生也可以通过登录SMC 进行教学课程的实验操作。DCSS是 SZSM 网络公司专为网络安全攻防实验室研发的产品,是进行网络安全攻击和防御的模拟平台,锻炼学生动态网络安全维护的能力。其名取材于军事术语“沙盘”,这意味着安全沙盒可以通过模拟实战演练战
14、术和技术,其先进的设计理念为国内首创。安全沙盒系统为计算机及网络安全教育提供多系统平台的教学课件,在教学、培训过程中,根据需要可以启动基于不同操作系统平台的教学课件,满足所有教学环境的需求。安全沙盒系统为计算机及网络安全教育提供多模式的安全攻防实验课件,能够进行各种安全威胁的攻防操作,针对不同的攻击防御模式,提供多种实验课件选择。安全沙盒系统的全部课件均是将安全理论与实际环境和动手操作相结合的实验课程,所有的学习过程中,都需要通过实际动手进行实验操作,完成课件要求的安全威胁攻击以及针对该攻击的安全防御措施。通过不同的实验课程让学员亲身体验计算机及网络安全的攻防全过程,让学生从枯燥的理论学习中解
15、脱出来,可以极大的提升学生学习网络安全知识的积极性,并帮助学生在未来的就业和职业发展奠定扎实、实用的技术基础和经验。安全沙盒具有10 个千兆电口,其中2 个用于管理,8 个用于学生实验,可以满足8 人同时实验,并具有如下特点满足教学需求:1、独立的实验环境:教师通过SMC 控制台可以为学生开启各种计算机安全教学课程的实验环境,学生可以在实验环境中进行各种计算机安全的攻防实验。独立隔离的实验环境不会对其他网络造成危害。2、可定制的安全实验课件:教师可以在SMC 控制台上进行日常教学的课程定制,根据已有的实验课件,教师可以自行编写教学课程内容。3、支持多实验课程同时进行:教师可以在SMC 控制台上
16、进行多个计算机安全实验课程的教学,通过启动不动的安全实验课件,为不同的学生分配相应的实验课程。4、支持单独的实验评分系统:教师可以在SMC 控制台上为上课的学生进行实验评分,每个学生都可以有自己的实验分数,且支持对学生实验成绩可以导出功能。5、具备实验课程在线帮助:学生在进行每个实验课程时,都可以通过在线实验说明,实验提示步骤,自行完成实验课程。名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页,共 27 页 -8 6、可扩展的实验课件体系:安全沙盒系统可以通过不断的更新实验课件,不断扩容实验能力,可以无限为计算机安全教学提供长期的实验操作平台。4.2 安全攻防实验室拓扑图在安全攻防实验
17、室方案中,我们把实验室分成了六个区域:系统攻防演练区网络接入安全域内网核心安全域网络 VPN安全域网络边界域模拟外网安全域外部网内部网用户安全攻防实验组拓扑DCBA BAS 设备学生机SCANNER802.1x 交换机UTMUTMUTMDCBINLnkMangereCoege沙盒课件管理器防火墙IDS入侵检测引擎防火墙攻击机/scanner远程接入内部网DCFS 流量整形NETLOGDCSS 安全沙盒DCSMDCSMDCSMDCSM内网安全管理系统学生机1、网络 VPN安全域:使用防火墙进行VPN技术的组网和配置,让学生了解VPN技术的特点、适用范围以及安装调试。2、网络接入安全域:使用 80
18、2.1x 技术、web接入技术或者PPPoE接入技术管理接入安全,也可以利用DCSM 内网安全管理系统进行病毒检查和资产评估。3、内网核心安全域:部署日志系统和Radius 服务器进行安全审计。4、网络边界域:具有流量整形网关设备、UTM和 BAS设备,可以很完整的管理边界安全。5、模拟外网安全域:主要进行远程接入的安全设置以及模拟外网产生的恶意扫描和攻击。6、系统攻防演练区:安全沙盒是主要设备,在安全沙盒上进行系统的攻击和防御,IDS入侵检测引擎负责网络安全的嗅探和威胁发现。为了保证安全沙盒不对网络的其他区域造成危害,还需要使用防火墙和其他区域隔离,使用DCSM 内网安全管理系统对这些工具和
19、软件名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页,共 27 页 -9 进行资产管理,防止学生私自复制,对校园网络造成危害。安全攻防实验室不再是普通意义上的设备安装调试级别的实验室,它带来全新的实验室理念,即运维攻防级别的实验室理念,它提供了全动态绝对真实的网络实训环境。对学生而言网络不再是一台台静止的设备组成,而是具有各种关联,提供各种服务,存在各种威胁的一个动态的整体。4.3 安全攻防实验室课程体系形成专门的两级安全认证体系:4.3.1 初级 DCNSA网络安全管理员课程掌握程度分为:掌握、理解、了解三个层次。项目类型一级知识点二级知识点课时数掌握程度项目 1:局域网安全攻防技术
20、局域网设备安全交换机设备安全2 掌握安全的控制台访问2 掌握配置特权密码1 掌握service password-encryption命令1 掌握配置多个特权级别2 掌握警告标语(Warning Banners)2 掌握交互式访问2 掌握安全 vty 访问2 掌握安全 Shell(SSH)协议2 掌握名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页,共 27 页 -10 禁用不需要的服务2 掌握局域网常见安全威胁及解决方案MAC flooding/MAC spoofing 4 理解spanning-tree攻击4 了解VLAN跳转4 了解DHCP 攻击(虚假DHCP 防御和 DHCP拒
21、绝服务攻击防御)4 了解ARP扫描/ARP攻击/ARP欺骗4 理解项目 2:互联网接入安全攻防技术互联网接入设备安全互联网接入设备安全2 理解互联网接入常见威胁及解决方案过滤 IP 网络流量2 了解过滤 Web和应用流量2 了解特洛伊木马4 了解扫描器4 了解拒绝服务攻击4 了解项目 3:网络互联数据安全攻防技术(VPN、VPDN)网络互联设备安全网络互联设备安全2 理解网络互联常见威胁及解决方案数据监听4 理解数据篡改4 理解数据重放4 了解非法的数据来源4 理解使用 IPSEC实现数据的加密、认证、反重放8 理解项目 4:互联网接入身份验证 AAA 互联网接入身份验证设备安全互联网接入身份
22、验证设备安全2 理解互联网接入常见威胁及解决方案配置 IEEE802.1X 实现互联网接入身份认证4 理解配置 PPPOE 实现接入客户端身份认证4 了解配置 web portal实现接入客户端身份认证4 了解课时合计96 4.3.2 中级 DCNSE网络安全工程师课程掌握程度分为:掌握、理解、了解三个层次。项目类型一级知识点二级知识点课时数掌握程度网络安全综述网络安全的现状网络为什么不安全1 了解安全威胁手段1 了解安全防范措施1 了解计算机网络安全术语黑客1 了解密码技术概念1 理解名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页,共 27 页 -11 访问控制技术概念2 理解数
23、字签名1 理解网络安全策略数据物理安全2 理解数据机密2 理解数据完整性1 理解数据可控1 理解数据可用1 理解身份鉴别1 理解数据鉴别1 理解数据防抵赖1 理解审计与监测1 理解企业网络安全技术防火墙技术防火墙概述2 掌握防火墙实施4 掌握防火墙局限2 掌握入侵检测技术入侵检测技术概述2 掌握入侵检测系统分类2 掌握入侵检测系统实施4 掌握企业网络与UTM 设备UTM 系统概述2 掌握UTM 的基本内涵2 掌握UTM 的实施4 掌握多维绿网技术基础网络和防火墙的部署4 掌握入侵检测系统部署4 掌握接入认证系统部署4 掌握802.1x 交换机系统部署4 掌握加密技术传统的加密方法传统的加密方法
24、2 掌握现代主流加密方法秘密密钥加密算法2 掌握公开密钥加密算法2 掌握算法的混合使用2 掌握密钥的管理密钥的管理2 掌握数字签名数字签名的概念2 掌握数字签名的基本形式2 掌握信息摘要技术2 掌握数据完整性的概念1 掌握数字签名的实现1 掌握基于 RSA的数字签名1 掌握认证技术认证技术2 掌握数字证书什么是数字证书1 掌握为什么要用数字证书1 掌握数字证书原理介绍2 掌握证书与证书授权中心2 掌握数字证书的应用1 掌握公钥基础设施PKI PKI 构成2 掌握PKI 服务2 掌握名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页,共 27 页 -12 PKI 应用模式2 掌握黑客攻击
25、手段揭秘常见黑客技术及系统的缺陷一般攻击步骤2 理解端口扫描2 理解网络监听2 理解缓冲区溢出1 理解拒绝服务攻击1 理解IP 欺骗(可选)2 理解特洛伊木马2 理解黑客攻击系统的工具和步骤黑客攻击系统的工具和步骤2 理解网络病毒机制与防护计算机病毒的工作原理计算机病毒的工作原理1 了解病毒分类引导型病毒1 了解文件型病毒1 了解混合型病毒1 了解其他病毒1 了解计算机网络病毒的防范特征代码法2 理解校验和法2 理解行为监测法1 理解软件模拟法1 理解网络病毒实例CIH 病毒1 了解蠕虫病毒1 了解2002 年流行病毒1 了解2003 年流行病毒1 了解操作系统安全问题及保护措施Windows
26、 NT/2000 的安全与保护措施Windows NT/2000 系统的缺陷2 理解Windows NT/2000 系统攻击与防范实例2 理解Linux 系统的缺陷与数据保护Linux 系统的缺陷与数据保护2 了解合计128 4.4 高级 安全攻防实验室实验项目4.4.1 基本实验实验类型实验项目课时数掌握程度防火墙设备实验防火墙外观与接口介绍2 掌握防火墙用户管理1 掌握管理员地址设置2 掌握恢复出厂设置1 掌握配置文件保存与恢复1 掌握产品升级实验1 掌握名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页,共 27 页 -13 防火墙透明模式初始配置1 掌握防火墙透明模式配置网络对
27、象1 掌握防火墙透明模式配置安全规则1 掌握防火墙路由模式初始配置1 掌握防火墙路由模式配置网络对象1 掌握防火墙路由模式设置路由及地址转换策略1 掌握防火墙路由模式配置安全规则1 掌握混合模式初始配置1 掌握混合模式配置网络对象1 掌握混合模式设置路由及地址转换策略1 掌握混合模式配置安全规则1 掌握防火墙日志系统实验2 掌握双机热备(选修)2 掌握抗 DoS 实验(选修)2 掌握VPN虚拟专用网实验VPN 设备设备隧道的建立2 掌握VPN 客户端 VPN 设备隧道的建立2 掌握IPSEC VPN 实验2 掌握SSL VPN 实验2 掌握IDS 入侵检测系统实验安装顺序介绍0.5 理解配置传
28、感器0.5 理解安装数据库1 理解安装 LogServer0.5 理解Event-Collector 的安装与配置0.5 理解NIDS Console 的安装与配置1 理解NIDS Report 的安装与配置1 理解查询工具的使用1 理解安全响应策略的配置及防火墙联动1 理解UTM 统一威胁管理系统实验UTM 的基本配置2 理解利用 UTM 进行网络病毒控制2 理解利用 UTM 进行垃圾邮件控制(选修)2 理解利用 UTM 进行 P 2P 控制2 理解安全接入和认证计费实验DCBI-3000 安装1 理解DCBI-3000 使用1 理解DCBI-3000WEB 自服务系统安装1 理解DCBI-
29、3000WEB 自服务系统使用1 理解802.1X 功能的组网调试1 理解DCBA-3000W 基本调试命令1 理解DCBA-3000W 配置 Radius 1 理解DCBA-3000W NAT调试说明1 理解DCBA-3000W Filist调试说明1 理解DCBA-3000W ACL调试说明1 理解DCBA-3000W 二次认证(桥模式)配置实验1 理解DCBA-3000W 二次认证(路由模式)配置实验1 理解名师资料总结-精品资料欢迎下载-名师精心整理-第 13 页,共 27 页 -14 攻击实验基础特洛伊木马2 理解网络监听 sniffer 2 理解扫描器+口令探测superscan
30、x-scan SSS 流光2 理解拒绝服务攻击(DDOS)2 理解安全攻防综合实验(使用DCSS)Windows 缓冲区溢出漏洞利用(MS06-040)4 理解数据库漏洞利用(MySQL)4 理解SQL 注入攻击(MySQL)4 理解木马植入(Web 挂马)4 理解木马利用与防护(灰鸽子)4 理解Linux 主动防御(配置安全)4 理解Linux 漏洞利用(CVE-2005-2959、CVE-2006-2451)4 理解口令破解(口令猜测与网络窃听)4 理解数据库主动防御(MySQL)毒邮件4 理解首页篡改(Apache)4 理解系统安全加固实验审核系统安全性1 掌握访问控制1 掌握账号安全策
31、略1 掌握管理员权限1 掌握网络服务(IIS 和 NETBIOS 的安全设置)1 掌握文件系统安全1 掌握安全日志1 掌握多维绿网综合网络安全实验安全防护系统的部署2 理解IDS 入侵检测系统部署2 理解模拟攻击并进行阻断(外部)2 理解接入认证系统部署2 理解802.1x 交换机系统部署2 理解模拟攻击并进行阻断(内部)2 理解4.4.1 扩展实验安全沙盒是一个可以不断扩展的实验平台,教师可根据课程需要自行研发扩展实验,教师按照一定的研发规则自行研发相应实验课件导入安全沙盒,SZSM 提供必要的技术支持。实验类型实验项目实验点密码学实验古典密码算法Kaiser 密码、单表置换密码对称密码算法
32、对称密码体系、DES算法、AES算法非对称密码算法非对称密码体系、RSA算法、ELGamal算法Hash算法MD5哈希函数、SHA-1哈希函数手工实现安全通信过程数字签名、对称密钥加密、非对称密钥加密利用 PGP 实现安全通信过程PGP加密机制PKI 应用实验IIS 服务器安全通信PKI 体系、证书生成与签发、IIS 服务器证书安装与名师资料总结-精品资料欢迎下载-名师精心整理-第 14 页,共 27 页 -15 认证Apache 服务器安全通信OpenSSL证书生成与签发、Apache 服务器证书安装与认证安全审计实验IIS 下个人网站搭建HTML 语言及语法结构、IIS 个人网站搭建WEB
33、 日志审计Windows 日志系统、IIS 日志格式、日志审计、WEB漏洞扫描Linux 主机安全审计常用 Linux 日志文件、Linux 文件完整性、LSAT审计单机攻防实验Windows口令破解暴力破解、字典破解Linux 口令阴影口令、阴影文件、Linux 口令加密算法缓冲区溢出CPU寄存器、堆栈、函数调用过程、缓冲区溢出方式、Windows缓冲区溢出、Linux 下溢出实现权限提升Windows下文件恢复硬盘物理结构、Windows文件存储结构、Windows文件系统Linux 下文件恢复Ext2 文件系统、Ext3 文件系统网络攻防实验端口扫描TCP协议、UDP协议、ICMP协议、
34、全连接扫描、半连接扫描、UDP端口扫描、主机扫描漏洞扫描弱口令、CGI通用网关接口、NetBIOS 明文嗅探明文嗅探、FTP会话过程、POP3会话过程、网络协议解析洪泛攻击TCP SYN洪水、ICMP洪水、Windows 系统监视器的使用名师资料总结-精品资料欢迎下载-名师精心整理-第 15 页,共 27 页 -16 建设内容(包括建设思路;在条件与环境、运行管理、开放共享、安全环保、特色等方面的规划建设内容;必要性与可行性分析;实施条件等)各个实验室目前用的板凳和座椅存在着较多损坏的情况,加上学生数量的增加,在分组进行实验的情况下座椅存在严重不足,需要维修原有座椅和购置一定数量的座椅。计算机
35、组成与结构实验室需增加座椅60 把,微机系统实验室需增加 30 把,各实验室总共需要维修的椅子40 把。四、经费预算(包括预算总额、支出内容、测算依据、年度安排等)表 2.预算汇总表序号支出项目金额(万元)1 设备购置其中:已有条件完善(补充、更新、升级)195.1 新增新建240.9 2 环境建设(实验家具、通风工程等)34 3 维修维护总计:470.0 表 3.仪器设备购置计划表(分年度排序,同年度按重要性排序)序号名 称技术指标推荐型号规格推荐厂家单价(万元)数量总金额(万元)年度1 ARM 实验箱ARM9 处理器,主频200MHz 以上,64MB SDRAM,8MB NOR Flash
36、,EEPROM:2K,2 个RS232 串口,1 个 485通信接口,1 个 SD 卡接口,1 个 10M/100M以 太 网 卡 接 口,USB接口:2 个 USB Host,1个 USB Device,1 个VGA 接口GX-ARM9-2410RP 北京革新科技有限公司0.65 15 9.75 2014 2 台 式 计 算机CPU I5,4G 以上内存,带 NVIDIA GTX640 以上独立显卡Inspiron 660-R398-JN 戴尔(DELL)0.6 30 18 2015 3 高 清 摄 像头300 万像素C270 罗技0.018 30 0.54 2015 4 台 式 计 算机C
37、PU I5,4G 以上内存海尔0.35 80 28 2015 名师资料总结-精品资料欢迎下载-名师精心整理-第 16 页,共 27 页 -17 5 台 式 计 算机CPU G2030,4G 以上内存海尔0.3 60 18 2015 6 无 盘 服 务器7 密 码 实 验软 件 系 统平台密码算法分析设计实验;密码算法演示实验密 码 实 验软 件 系 统平台西普1 20 20 8 终 端 密 码机以 USB 接口为主机通讯接口SJY86 奕驰4 0.2 0.8 9 PKI实 验软 件 系 统平台包含1.用户证书申请实验2.用户申请管理实验3.证书管理实验4.交叉认证实验5.信任管理实验6.证书应
38、用实验7.SSL 应用实验等基本实验项目PKI 实验软件 系 统 平台西普1 10 10 10 漏 洞 扫 描器漏洞扫描与安全性检测NERCIS 脆弱 性 扫 描系统NERCIS 2 5 10 11 防火墙网 络 吞 吐 量:最 高300Mbps;并 发 连 接 数130000 安 全 过 滤 带 宽:170Mbps;CISCO ASA5510-K8 思科4 1.5 6 12 IDS 安 全 过 滤 带 宽:325Mbps;网络吞吐量:650Mbps;并发连接数:400000;网络端口:4*10/100/1000,1*10/100,1*SSC/SSM 控制端口:console,2个 RJ-45
39、 CISCO ASA5540-K8 思科4 7.5 30 名师资料总结-精品资料欢迎下载-名师精心整理-第 17 页,共 27 页 -18 13 流 量 发 生器2 个测试槽位,以及最 多16个10/100 Mbps 以太网端口、8个千兆以太网端口、4个光纤通道端口、4个OC-3c/OC-12c POS端 口、2个OC-48c POS 端口、1个 10G 万兆端口或以上各种端口smartbits600B 思博伦1 15 15 14 安 全 审 计系统业务运维行为审计;上网行为审计;网络应用行为审计NSFOCUS SAS 1000A 绿盟1 10 10 15 杀毒软件节省网络管理事务;掌控全网漏
40、洞修复;快速部署反病毒体系;有效组织网络反病毒工作金 山 毒 霸网 络 企 业版金山1 1 1 16 杀毒软件综 合 性 恶 意 代 码 防护;Web 信 誉 技 术(WRT)增强;POP3邮件扫描;集中式管理;增强的防间谍软件功能;安全策略强制实施;企业客户端防火墙趋 势 科 技防 毒 墙-网络版趋势1 2 2 17 网 络 攻 防实战系统一体化的信息安全基础知识考核、常见攻防技术训练以及真实网络环境渗透实战等全方位的培训、测试环境SZSM SZSM 4 4 16 18 汇 聚 层 路由器多业务路由器AR4640 H3C 5 0.8 4 19 接 入 层 路由器模块化接入路由器AR2811
41、H3C 5 0.5 2.5 20 三 层 交 换机24 口;包转发率:65.5Mpps;VLAN:VLAN总 数1005 VLAN ID 数 4K;可堆叠CISCO WS-C3750X-24T-S 思科5 2 10 名师资料总结-精品资料欢迎下载-名师精心整理-第 18 页,共 27 页 -19 21 服务器内存 4G;网络控制器四端口千兆网;标配硬盘容量:300GB IBM x3650 M4 IBM 4 2 8 22 终端CPU I5 处理器,4G 以上内存;核心/线程数:四核心/四线程联 想 启 天M4350 联想40 0.5 20 23 UPS 电源整机效率:达到 90%;过 载 能 力
42、:Load 105%,长期运行105%Load125%1min 125%Load150%30sec;为用户负载提供安全可靠的电源保障山 特 城 堡系列C6k 山特1 0.5 0.5 总计:表 4.仪器设备购置理由说明表(应与表3.排序一致)序号名称需求总量现有数量申购数量申购理由说明类别(已有条件完善、新增新建)1 ARM 实验箱GX-ARM9-2410RP 15 15(旧型号)15 选修课,人数 30 人左右,2 人一组以 ARM9 处理器为核心,包含SDRAM、FLASH、SMC 卡、SD 卡等通用 存 储 器 以 及 网口、串口、USB 接口、CAN、IIC 等通讯接口,辅助LED显示、
43、4.3 寸真彩液晶显示、小键盘等名师资料总结-精品资料欢迎下载-名师精心整理-第 19 页,共 27 页 -20 其它外围设备。2 台式计算机(带独立显卡)30 0 30 用于新增加的动画设计和计算机视觉实验,每人一组I5 四核处理器、4G内存,GTX640 显卡支持 CUDA 3 高清摄像头30 0 30 用于计算机视觉的实验课,30 人左右USB 接口,获取实时 的 视 频 图 像 数据,用于相关的视觉分析实验4 台式计算机80 80(旧型号)80 5 台式计算机60 60(旧型号)60 6 无盘服务器7 密码实验软件系统平台1 0 1 用于现代密码学理论与实践课教学,分一个班次,共同使用
44、集成了密码编码与密码分析所需开发环境,兼容 windows系统,提高学生的动手能力、加强学生对密码学的理解与综合设计能力8 终端密码机4 0 4 用于现代密码学理论与实践课教学,人数 90 人,20-25人一组用于终端加密的密码学实验。9 PKI 实验软件系统平台1 0 1 用于 PKI 原理与技术实验课教学,分一个班次,共同使模拟 PKI 系统运行机制,支持Windows 名师资料总结-精品资料欢迎下载-名师精心整理-第 20 页,共 27 页 -21 用xp/Windows vista/Windows 7 等操作平台10 漏洞扫描器4 0 4 用于入侵检测与网络安全扫描技术实验课,人数90
45、 人,分两个班次,每班一台通过网络扫描发现漏洞并进行修补,有效阻止入侵事件的发生11 防火墙4 0 4 用于入侵检测技术与安全扫描实验室建设,分两个班次,每 40-50 人一组安 全 过 滤 带 宽:170Mbps、控 制 端口:console,2 个RJ-45、入侵检测:DoS,协助确保网络传输数据安全12 IDS 2 0 2 用于入侵检测技术与安全扫描实验室建设,分两个班次,每班一台安 全 过 滤 带 宽:325Mbps、控 制 端口:console,2个RJ-45、入侵检测:DoS,对网络、系统的运行状况进行监视13 流量发生器1 0 1 用于网络与信息安全 及 课 程 设 计 教学,分
46、一个班次,共同使用高端口密度的性能分 析 系 统,支 持POS、ATM 等多种接口,能帮助学生完成测试交换机、路由器性能及指标14 安全审计系统1 0 1 用于网络与信息安全实验课,分一个监听捕获并分析网络数据包、审计过名师资料总结-精品资料欢迎下载-名师精心整理-第 21 页,共 27 页 -22 班次,共同使用滤邮件、日志、还原并准确记录网络访问关键信息15 杀毒软件1 0 1 用于计算机病毒与防治技术、系统安全课程设计实验室建设集成监控识别、病毒扫描和清除等功能,保障计算机在使用过程中的安全16 杀毒软件1 0 1 用于计算机病毒与防治技术、系统安全课程设计实验室建设集成监控识别、病毒扫
47、描和清除等功能,保障计算机在使用过程中的安全17 网络攻防实战系统4 0 4 用于计算机病毒与防治技术、系统安全 课 程 设 计 实 验课,人数 90人左右,共同使用网络攻防技能训练及渗透测试的实战平台,辅助学生学会知识点和特定环境下的工具使用及攻防实现18 汇聚层路由器5 0 5 为需要联网的实验室配备,每间实验室一台可提供RPU-350Kpps引擎;配备不同的机箱AR46-80、AR46-40、AR46-20,自动选择最佳路径连接各局域网、广域网19 接入层路由器5 0 5 为需要联网的实验室配备,每间实验室一台支持 Qos、VPN;包转发率:70-80Kpps;网络管理:Console、
48、名师资料总结-精品资料欢迎下载-名师精心整理-第 22 页,共 27 页 -23 RMON、SNM;内置防火墙20 三层交换机5 0 5 为需要联网的实验室配备,每间实验室一台三层应用层级、端口数量:24、背板带宽:160Gbps、VLAN总数 1005、包转发率:65.5Mpps;加快局域网内部的数据交换,达到最优网络性能21 服务器4 0 4 满足实验室相应客户机提交的服务请求内 存 容 量:1GB DDR2、标配硬盘容量:146GB、主板芯片组:intel e7520;管理软件、控制对网络资源进行访问22 终端40 0 40 用于系统安全课程设计实验室建设,每班 40-50 人,每人一台
49、显示器尺寸:19 英寸、CPU 型号:Intel 酷睿2 双核E8、独立显卡;用于学生实验操作23 UPS 电源1 0 1 用于实验室建设用于为用户负载提供安全可靠的电源保障名师资料总结-精品资料欢迎下载-名师精心整理-第 23 页,共 27 页 -24 名师资料总结-精品资料欢迎下载-名师精心整理-第 24 页,共 27 页 -25 第五章网络实验室布局设计5.1 实验室布局平面图网络实验室岛式布局讲台实验室核心机柜黑板和投影服务器区域门门实验组机柜实验组实验组机柜实验组实验组机柜实验组实验组机柜实验组实验组机柜实验组实验组机柜实验组实验组机柜实验组实验组机柜实验组岛式布局是目前最流行的实验
50、室布局方式,每个物理实验组成为一个小岛,每个组推荐 46 个学生使用,最多不应该超过8 人。5.2 实验室布局效果图名师资料总结-精品资料欢迎下载-名师精心整理-第 25 页,共 27 页 -26 实验室中有一个核心机柜,放置中心交换机组(可能是一台交换机,也可能是几台交换机级联或者堆叠而成,提供足够的网络接口)、防火墙、实验室管理系统服务器Netcollege以及其他必要的服务器等。因此,网络实验室机柜的数量=N+1(N=实验组的数量)。5.3 机柜摆放位置的选择每个实验组都配备一个实验组机柜,用于放置每组的实验设备。机柜一般摆放在离相应实验组较近的位置贴墙而放或者定制小机架,放置在实验台的