XXX学校信息安全实验室建设方案

1、页|内?99 XXXXXX学校信息安全实验室设计方案北京网御星云信息技术有限公司2014-03-3099 二设计目的 -三、总体架构 _XLXL所需软硬件-辽、培训 -辭、实验教材 -XLXL产品报价-四、实验和演练 -ilsils网御安全综合网关技术实验-1212、网御入侵检测技术实验-U.U.网御漏洞扫描系统实验-页|内?99 、概述随着网络的迅速发展及网络在社会生活中的普及率越来越高，整个社会对于 网络安全的重视程度也开始大大增强。同时山于商业活动越来越多地要依第网 络，大多数企业和公司都建立了自己的企业网络并与互联网相连，而如何有效地 利用网络同时乂保证自己的a a要信息不被他人利用网

2、络窃取则成为了各个公司 不得不考虑的重要问题。然而在过去的一段时间，教育领域以教育体制改革为核心，进行了院校合并、 专升本、学员扩招、新校区建设等等变革，实现了教育行业规模的扩大，基本解 决了社会对高学历人才的供需矛盾，建立了院校自我积累、自我发展的健康发展 机制。随着我国信息化进程的不断推进，信息安全成为政府和企业广泛关注的焦点 的问题。在当前大量病毒爆发和黑客入侵导致网络威胁越来越多的严峻形势下， 许多企业和单位都急需专业信息安全人才，信息安全人才出现严A A匮乏。信息安全，重在人才。然而，我国的网络信息安全专业教育刚刚兴起，培养 的专业人才远远不能满足社会需求。国内一些知名高校普遍没有设

3、置该专业。中 科院研究生院虽然设有网络信息安全的研究生专业，但研究生总人数不超过6060 名，且大部分人毕业后都选择出国，或者从事科研工作。山此，网络信息安全人 才供不应求也就不足为奇了，以至于出现做安全的很多，安全的却很少的状 况。校园网络信息安全实验室正是在这种背景下应运而生。它随着信息科学技术 教育的发展而建立起来的，在教学和科研中的重要作用日益显现，是学校教学实 验环节中最重要的组成部分之一。校园网络信息安全实验室的建设水平、教学科 研水平不仅反映出学校的办学水平，而且对学生的学习、教师的教学也将产生巨 大的影响。为了加快教育信息化建设，提高学校的教学效率和学生的实际动手能力，m m

4、学校决定建设一个信息安全实验室。实验室主要针对学校讣算机、电子等涉及到 网络和网络安全专业课程的本科生和研究生，旨在提高学生在网络方面的知识、 技能、管理和实际操作能力等，进而把他们培养成具有专业的网络安全技能，能 够直接进行网络安全设计、安装、调试的技术型人才。八设计目的模拟真实网络架构，为信息安全学生提供加深个人安全意识、了解黑客攻击 思想与技巧，熟悉黑客攻防，熟悉并掌握安全防护设备的安装和配置，进行信息 安全实验的场所。页|内?99 三、总体架构本实验室的总体架构分为三个组。以一组为例，信息安全实验室拓扑结构图页|内?99 如下所示:InternetInternet学生实验区每组安装一台

5、。网御入侵检测产品3 3台。用于实时检测入侵事件，每组安装一台。 网御漏洞扫描系统1 1台。安装于一台主机上，用于对各组机器做IkIk所需软硬件终端主机：X X台，每组配备鸡台。每组PCPC均配有超级终端血客户端ra以上 浏览器等；路山器3 3台，每组安装一台。核心交换机$台，每组安装一台（可划分OHOH）接入交换机6 6台，每组安装1313台。（注：根据每组实验人员和二层交换机的 接口数确定）综合安全网关：网御星云一体化安全网关3 3台。包括防火墙、防病毒、旧、 入侵防御模块。入侵检测：页|内?99 网上下载或网御星云提供黑客模拟软件。漏扫设备：漏洞扫描实验。黑客软件：页|内?为了更好的让M

6、 M学校教师利用信息安全实验室开展教学活动，交付产品后, 结合附件：信息安全实验，对教师进行网御产品集中培训。辭、实验教材针对信息安全实验室设计的实验示例，网御星云提供相关相关产品的使用手 册以及实验相关技术资料；*4*4、产品报价1111、网御安全综合网关技术实验配置一台网御安全综合网关（包含防火墙、入侵防护、防病毒、晒等模块）, 每组的学生实验用机都安装网御防火墙证书，学生可以通过的管理方式连接到 防火墙上进行相关内容实际操作学习。该实验主要是让学生充分了解防火墙技术原理，熟悉和配置防火墙。在这 个网络实验环境中，学生可以掌握以下防火墙主要技术：防火墙的典型安装与在网络中的部署防火墙路由规

7、则的设置防火墙工作方式的设置（路山、皿、透明、混合）地址转换（UTUT）防火墙安全规则的设置WIoSWIoS攻击模拟与网御呱S S防御实验各种访问控制的规则设置流量控制等设置防火墙日志记录分析 入侵防护功能 防病毒技术和原理IPSecffVPPTPEITIPSecffVPPTPEIT等旧的原理和使用其他22、网御入侵检测技术实验在网络中配置一台网御入侵检测系统，学生可以通过的管理方式连接到蓝 盾入侵检测系统上进行相关内容实际操作学习。该实验主要是让学生充分了解入侵检测技术原理，熟悉和配置常见的入侵 检测系统。学生可以掌握以下入侵检测主要技术：入侵检测系统的典型安装与在网络中的部署入侵检测系统的

8、主要组成认识入侵检测系统的入侵信息的査看与分析自定义增加入侵特征模式页|内?99 入侵过程与常见的入侵手段 其他U.U.网御漏洞扫描系统实验在网络中配置一台网御安全扫描系统，学生可以通过的管理方式连接到网 御安全扫描系统上进行相关内容实际操作学习。该实验主要是让学生充分了解漏洞到描技术原理，熟悉和配置常见的漏洞 扫描系统。学生可以掌握以下漏洞扫描主要技术：安全扫描系统的典型安装与在网络中的部署漏洞产生的原因以及解决方法安全扫描结果的査看与分析 安全扫描系统的基本功能 如何对网络进行安全评估服务 如何利用网御安全扫描系统进行模拟攻击测试 其他产品淸单产品类型产品型号产品参数产品 价格产 品数 量

9、综合 安全网关PiiverPiiver iwiBieiwiBie基于专用多核处理器业件架构财界 而对昭示处理器核心数至少配S!S!个千兆 电口和一个扩展插槽.最大叶加八页眉内?99 防病祥吞駅.入侵防御吞叶；并 发连接数每秒新建连接数 支持入侵防御功能模块.摘毒防护功能模 块、支持系统主要防护功能的统一化模版设 置.模版分为商、中、低二个级别分别对 应不同防护强度.可通过臥界面nn击选择 切换及通过外a a按键一键切换：支持1N1N和 0606双栈协议下的上网行为管理至少支持 a a种分类库.黑万级网址智能特征库：支持 透明、路由、混合三种工作模式入侵 检测系统不少于1 1个omomMM自适应

10、接口；报大 检测能力：不小于iiwntsiiwnts：最大并发itpitp会话 数：不小于W W万：可按源地址、目的地址、 协议、專件类型、风险级别.时间范ra.地 址范隔等条件灵活定义安全策略实现安全 策略的动态调整:一台探测器实体可基于监 听网口虚拟成多个独立的虚拟探测引華;毎 个虚拟探测引李可应用不同的检测利响应 策略每个虚拟探测引擎支持乡监听口并行 数据采集，实现r r在数据汇聚分析基础上再 进行攻击检测解决了大流址环境引起的交 换机镜像丢包问題.以及収臂路由、w w分 流环境的会话还原问题实时SASA示网络会 话，并可随时査看会话内容或于动切断会 话:支持对会话生成确认时间和会话维持

11、时 间参数进行调整.以优化系统资源利用率， 避免设备水身被拒绝胆务攻击;支持对引擎 存活状态、引擎运行时间、tntn和内彳，使用 率“1 1前监测会话数、报文MsMs检测丢包 数等的实时监控和显示-有超过M0M0种报表 模板并可自定义报表：支持按时间、按周 期自动生成报表.并自动上传到指定的FI?FI? 服务器：漏洞 扫描系统1 1标准可上架设备标配5 5个电口. 2 2个 接口、1T1T以上更盘：敢任务可扫描M M 个P P地址.唯任务可并发扫描孵。支持将 乡个已有策略合并成一个新策略，支持按 (1E(1E编号、UmUm编号、MEME编号、11!111!1側編号、 漏洞编号.漏洞名称、影响平台、简短描述、 详細描述.修补建议等信思进行模糊检索. 方便用户检索扫描策略：支持?扫描策略按 照多种模式M M示包抓标准模式、危险级 别模式、操作系统模式.m m棋式：扫描对彖 应支持槪务器、客户机.网络打印机等：操页眉内?99 页眉内?99 作系统应支持 UknuftUknuft llabmllabm snnNXMNnmiw;snnNXMNnmiw;、susetvu.susetvu.皿血、ntuiG.ntuiG.DUXDUX、LIBRE EB等；网络设备应支持CwiCwi、3(3(、 (Wt(Wt华为、lintellintel等主流厂商网络设备： 应川系统应支持数据库(WWw