XXX学校信息安全实验室建设方案.doc

XXX学校信息安全实验室设计方案北京网御星云信息技术有限公司 2014-03-30目 录一、 概述- 3 -二、设计目的- 4 -三、总体架构- 4 -3.1、所需软硬件- 5 -3.2、培训- 6 -3.3、实验教材- 6 -3.4、产品报价- 6 -四、实验和演练- 6 -4.1、网御安全综合网关技术实验- 6 -4.2、网御入侵检测技术实验- 7 -4.3、网御漏洞扫描系统实验- 7 -一、 概述随着网络的迅速发展及网络在社会生活中的普及率越来越高，整个社会对于网络安全的重视程度也开始大大增强。同时由于商业活动越来越多地要依靠网络，大多数企业和公司都建立了自己的企业网络并与互联网相连，而如何有效地利用网络同时又保证自己的重要信息不被他人利用网络窃取则成为了各个公司不得不考虑的重要问题。然而在过去的一段时间，教育领域以教育体制改革为核心，进行了院校合并、专升本、学员扩招、新校区建设等等变革，实现了教育行业规模的扩大，基本解决了社会对高学历人才的供需矛盾，建立了院校自我积累、自我发展的健康发展机制。随着我国信息化进程的不断推进，信息安全成为政府和企业广泛关注的焦点的问题。在当前大量病毒爆发和黑客入侵导致网络威胁越来越多的严峻形势下，许多企业和单位都急需专业信息安全人才，信息安全人才出现严重匮乏。信息安全，重在人才。然而，我国的网络信息安全专业教育刚刚兴起，培养的专业人才远远不能满足社会需求。国内一些知名高校普遍没有设置该专业。中科院研究生院虽然设有网络信息安全的研究生专业，但研究生总人数不超过60名，且大部分人毕业后都选择出国，或者从事科研工作。由此，网络信息安全人才供不应求也就不足为奇了，以至于出现“做安全的很多，懂安全的却很少”的状况。校园网络信息安全实验室正是在这种背景下应运而生。它随着信息科学技术教育的发展而建立起来的，在教学和科研中的重要作用日益显现，是学校教学实验环节中最重要的组成部分之一。校园网络信息安全实验室的建设水平、教学科研水平不仅反映出学校的办学水平，而且对学生的学习、教师的教学也将产生巨大的影响。为了加快教育信息化建设，提高学校的教学效率和学生的实际动手能力，XXX学校决定建设一个信息安全实验室。实验室主要针对学校计算机、电子等涉及到网络和网络安全专业课程的本科生和研究生，旨在提高学生在网络方面的知识、技能、管理和实际操作能力等，进而把他们培养成具有专业的网络安全技能，能够直接进行网络安全设计、安装、调试的技术型人才。二、设计目的模拟真实网络架构，为信息安全学生提供加深个人安全意识、了解黑客攻击思想与技巧，熟悉黑客攻防，熟悉并掌握安全防护设备的安装和配置，进行信息安全实验的场所。三、总体架构本实验室的总体架构分为三个组。以一组为例，信息安全实验室拓扑结构图如下所示： 3.1、所需软硬件终端主机：X台，每组配备X/3台。每组PC均配有超级终端 /ssh客户端/IE6.0以上浏览器等；路由器 3台 ，每组安装一台。核心交换机3台，每组安装一台（可划分VLAN）接入交换机 6台，每组安装1-3台。（注：根据每组实验人员和二层交换机的接口数确定）综合安全网关：网御星云一体化安全网关3台。包括防火墙、防病毒、VPN、入侵防御模块。每组安装一台。入侵检测：网御入侵检测产品3台。用于实时检测入侵事件，每组安装一台。漏扫设备：网御漏洞扫描系统1台。安装于一台主机上，用于对各组机器做漏洞扫描实验。黑客软件：网上下载或网御星云提供黑客模拟软件。3.2、培训为了更好的让XXX学校教师利用信息安全实验室开展教学活动，交付产品后，结合附件：信息安全实验，对教师进行网御产品集中培训。3.3、实验教材针对信息安全实验室设计的实验示例，网御星云提供相关相关产品的使用手册以及实验相关技术资料；3.4、产品报价四、实验和演练4.1、网御安全综合网关技术实验配置一台网御安全综合网关（包含防火墙、入侵防护、防病毒、VPV等模块），每组的学生实验用机都安装网御防火墙证书，学生可以通过GUI管理方式连接到防火墙上进行相关内容实际操作学习。该实验主要是让学生充分了解防火墙技术原理，熟悉和配置防火墙。在这个网络实验环境中，学生可以掌握以下防火墙主要技术：l 防火墙的典型安装与在网络中的部署l 防火墙路由规则的设置l 防火墙工作方式的设置（路由、NAT、透明、混合）l 地址转换（NAT）l 防火墙安全规则的设置l DDoS攻击模拟与网御DDoS防御实验l 各种访问控制的规则设置l 流量控制等设置l 防火墙日志记录分析l 入侵防护功能l 防病毒技术和原理l IPSec VPN/PPTPL2TP等VPN的原理和使用l 其他4.2、网御入侵检测技术实验在网络中配置一台网御入侵检测系统，学生可以通过GUI管理方式连接到蓝盾入侵检测系统上进行相关内容实际操作学习。该实验主要是让学生充分了解入侵检测技术原理，熟悉和配置常见的入侵检测系统。学生可以掌握以下入侵检测主要技术：l 入侵检测系统的典型安装与在网络中的部署l 入侵检测系统的主要组成认识l 入侵检测系统的入侵信息的查看与分析l 自定义增加入侵特征模式l 入侵过程与常见的入侵手段l 其他4.3、网御漏洞扫描系统实验在网络中配置一台网御安全扫描系统，学生可以通过GUI管理方式连接到网御安全扫描系统上进行相关内容实际操作学习。该实验主要是让学生充分了解漏洞到描技术原理，熟悉和配置常见的漏洞扫描系统。学生可以掌握以下漏洞扫描主要技术：l 安全扫描系统的典型安装与在网络中的部署l 漏洞产生的原因以及解决方法l 安全扫描结果的查看与分析l 安全扫描系统的基本功能l 如何对网络进行安全评估服务l 如何利用网御安全扫描系统进行模拟攻击测试l 其他产品清单产品类型产品型号产品参数产品价格产品数量综合安全网关Power V6000-U1310 基于专用多核处理器硬件架构，Web界面可显示处理器核心数；至少配置4个千兆电口和一个扩展插槽，最大吞吐量2.5Gbps，防病毒吞吐1Gbps，入侵防御吞吐2Gbps；并发连接数2,000,000，每秒新建连接数20,000；支持入侵防御功能模块、病毒防护功能模块、支持系统主要防护功能的统一化模版设置，模版分为高、中、低三个级别，分别对应不同防护强度，可通过Web界面单击选择切换及通过外置按键一键切换；支持IPv4和IPv6双栈协议下的上网行为管理，至少支持50种分类库，1000万级网址智能特征库；支持透明、路由、混合三种工作模式18000入侵检测系统N1200不少于4个10/100/1000M自适应接口；最大检测能力：不小于1000Mbps；最大并发TCP会话数：不小于120万；可按源地址、目的地址、协议、事件类型、风险级别、时间范围、地址范围等条件灵活定义安全策略，实现安全策略的动态调整；一台探测器实体可基于监听网口虚拟成多个独立的虚拟探测引擎；每个虚拟探测引擎可应用不同的检测和响应策略；每个虚拟探测引擎支持多监听口并行数据采集，实现了在数据汇聚分析基础上再进行攻击检测，解决了大流量环境引起的交换机镜像丢包问题，以及单臂路由、TAP分流环境的会话还原问题；实时显示网络会话，并可随时查看会话内容或手动切断会话；支持对会话生成确认时间和会话维持时间参数进行调整，以优化系统资源利用率，避免设备本身被拒绝服务攻击；支持对引擎存活状态、引擎运行时间、CPU和内存使用率、当前监测会话数、报文流量、检测丢包数等的实时监控和显示。有超过100种报表模板，并可自定义报表；支持按时间、按周期自动生成报表，并自动上传到指定的FTP服务器；34000漏洞扫描系统TS-SC10101U标准可上架设备，标配6个电口、2个USB接口、1T以上SATA硬盘；单任务可扫描100个IP地址，单任务可并发扫描40IP。支持将多个已有策略合并成一个新策略，支持按CVE编号、CNNVD编号、CNCVE编号、Bugtraq编号、漏洞编号、漏洞名称、影响平台、简短描述、详细描述、修补建议等信息进行模糊检索，方便用户检索扫描策略；支持各扫描策略按照多种模式显示，包括：标准模式、危险级别模式、操作系统模式、CVE模式；扫描对象应支持服务器、客户机、网络打印机等；操作系统应支持Microsoft Windows 9X/NT/2000/XP/2003/Vista/2008/7、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等；网络设备应支持Cisco、3Com、Checkpoint、华为、Alcatel等主流厂商网络设备；应用系统应支持数据库（