网络安全实验室解决方案网络攻防实验室
目录
一、前言 (4)
二、背景 (4)
三、攻防实验室创新 (8)
3.1实验体系教学理念 (8)
3.2 实验内容设计思路 (8)
3.3应用型人才培养目标 (9)
四、网络攻防实验室介绍 (10)
4.1 实验室简介 (10)
4.2 实验室系统特点 (10)
4.3 实验室系统组成 (11)
4.4 系统拓扑结构 (12)
4.5 系统总体设计 (14)
4.6 攻防平台系统功能 (15)
4.6.1基础资源管理云平台 (15)
4.6.2演练内容管理平台 (28)
4.6.3教员管理 (34)
4.6.4学员管理 (38)
4.6.5竞赛管理 (47)
4.6.6虚拟安全设备管理 (50)
五、实验平台配套课程 (54)
5.1 课程体系 (54)
5.2 配套课程体系 (55)
5.2.1计算机语言类 (56)
5.2.2计算机网络类 (58)
5.2.3操作系统 (60)
5.2.4数据库 (61)
5.2.5Web安全与渗透 (62)
5.2.6网络安全类 (64)
5.2.7逆向工程 (66)
5.2.8代码安全和软件安全 (66)
5.2.9恶意代码 (68)
5.2.10移动安全 (69)
5.3 网络攻防靶场 (69)
5.4 实训项目 (71)
5.5 教学资源 (73)
5.6 配套教材 (74)
5.7 教师培训其他资源 (74)
六、攻防平台特色和优势 (74)
6.1 特色 (74)
6.2 优势 (75)
附件1:实验室设计图 (76)
附件2:实验室软硬件清单 (77)
附件3:实验室建设进度安排表 (78)
一、前言
本文主要介绍网络安全攻防实验室的建设方案,针对对象是:企业信息系统安全从业人员,网络运维管理人员等。
二、背景
21世纪人类跨入网络信息时代,网络空间成为继陆、海、空、天之外人类赖以生存的“第五空间”,网络空间安全议题上升到国家战略层面受到各国高度重视。对我国而言,网络空间安全形势尤为复杂严峻,面临来自国内外的诸多挑战。2014年2月27日,中央成立了网络安全和信息化领导小组,习近平总书记担任组长并提出“建设网络强国”的战略目标,我国网络空间安全研究面临前所未有的重大机遇和历史使命。
党的十八大以来,在以习近平同志为总书记的党中央的坚强领导下,国家网络安全人才建设取得重要进展,全社会网络安全意识明显加强。随着信息化的快速发展,网络安全问题更加突出,对网络安全人才建设不断提出新的要求。网络空间的竞争,归根结底是人才竞争。从总体上看,我国网络安全人才还存在数量缺口较大、能力素质不高、结构不尽合理等问题,与维护国家网络安全、建设网络强国的要求不相适应。网络安全学科建设刚刚起步,迫切需要加大投入力度。
一、加快网络安全学科专业和院系建设。在已设立网络空间安全一级学科的
基础上,加强学科专业建设。发挥学科引领和带动作用,加大经费投入,开展高水平科学研究,加强实验室等建设,完善本专科、研究生教育和在职培训网络安全人才培养体系。有条件的高等院校可通过整合、新建等方式建立网络安全学院。通过国家政策引导,发挥各方面积极性,利用好国内外资源,聘请优秀教师,吸收优秀学生,下大功夫、大本钱创建世界一流网络安全学院。
二、创新网络安全人才培养机制。鼓励高等院校适度增加相关专业推荐优秀应届本科毕业生免试攻读研究生名额。互联网是年轻人的事业,要不拘一格降人才。支持高等院校开设网络安全相关专业“少年班”、“特长班”。鼓励高等院校、科研机构根据需求和自身特色,拓展网络安全专业方向,合理确定相关专业人才培养规模,建设跨理学、工学、法学、管理学等门类的网络安全人才综合培养平台。鼓励高校开设网络安全基础公共课程,提倡非网络安全专业学生学习掌握网络安全知识和技能。支持网络安全人才培养基地建设,探索网络安全人才培养模式。发挥专家智库作用,加强对网络安全人才培养和学科专业建设、教学工作的指导。
三、加强网络安全教材建设。网络安全教材要体现党和国家意志,体现网络强国战略思想,体现中国特色治网主张,适应我国网络空间发展需要。根据信息技术特别是网络安全技术的发展,在现有教材基础上,抓紧建立完善网络安全教材体系。国家加强引导,鼓励出版社、企业和社会资本支持网络安全教材编写。适应网络教学、远程教学发展,加大对网络教材的支持力度。设立网络安全优秀教材奖,采取政府主导、市场机制、学校推荐、专家评审等方法,评选网络安全优秀教材,予以重点支持和推荐。
四、强化网络安全师资队伍建设。积极创造条件,吸引和鼓励专业知识好、
富有网络安全工作和教学经验的人员从事网络安全教学工作,聘请经验丰富的网络安全技术和管理专家、民间特殊人才担任兼职教师。鼓励高等院校有计划地组织网络安全专业教师赴网信企业、科研机构和国家机关合作科研或挂职。打破体制界限,让网络安全人才在政府、企业、智库间实现有序顺畅流动。鼓励和支持符合条件的高等院校承担国家网络安全科研项目,吸引政治素质好、业务能力强的网络安全教师参与国家重大科研项目和工程。采取多种形式对高等院校网络安全专业教师开展在职培训。鼓励与国外大学、企业、科研机构在网络安全人才培养方面开展合作,不断提高在全球配置网络安全人才资源能力。支持高等院校大力引进国外网络安全领域高端人才,重点支持网络安全学科青年骨干教师出国培训进修。
五、推动高等院校与行业企业合作育人、协同创新。鼓励企业深度参与高等院校网络安全人才培养工作,从培养目标、课程设置、教材编制、实验室建设、实践教学、课题研究及联合培养基地等各个环节加强同高等院校的合作。推动高等院校与科研院所、行业企业协同育人,定向培养网络安全人才,建设协同创新中心。支持高校网络安全相关专业实施“卓越工程师教育培养计划”。鼓励学生在校阶段积极参与创新创业,形成网络安全人才培养、技术创新、产业发展的良性生态链。
六、加强网络安全从业人员在职培训。建立党政机关、事业单位和国有企业网络安全工作人员培训制度,提升网络安全从业人员安全意识和专业技能。各种网络安全检查要将在职人员网络安全培训情况纳入检查内容。制定网络安全岗位分类规范及能力标准。鼓励并规范社会力量、网络安全企业开展网络安全人才培养和在职人员网络安全培训。
七、加强全民网络安全意识与技能培养。办好国家网络安全宣传周活动,充分利用网络、广播、电影电视、报刊杂志等多种平台,面向大众宣传网络安全常识,传播网络安全知识,培育网络安全文化。支持创作更多的高质量网络安全科普读物,开展多种形式的网络安全技能和知识竞赛。网络教育从孩子抓起,加强青少年网络素养教育,开展“网络安全知识进校园”行动,将网络安全纳入学校教育教学内容,促进学生依法上网、文明上网、安全上网。
八、完善网络安全人才培养配套措施。采取特殊政策,创新网络安全人才评价机制,以实际能力为衡量标准,不唯学历,不唯论文,不唯资历,突出专业性、创新性、实用性,聚天下英才而用之。在重大改革项目中加大对网络安全学科专业建设和人才培养的支持。建立灵活的网络安全人才激励机制,利用社会资金奖励网络安全优秀人才、优秀教师、优秀标准等,资助网络安全专业学生的学习生活,让作出贡献的人才有成就感、获得感。研究制定有针对性的政策措施,鼓励支持网络安全科研人员参加国际学术交流活动,培养具有国际竞争力、影响力的人才。
当今,IT技术引领时代发展,网络安全问题愈演愈烈。有人说,未来的战争就是网络战;也有人说,未来10年内,网络安全将成为最抢手的职业,如何培养优秀的网络安全领域专业人才已经成为各高校和社会极为关注的问题。
人才是网络安全第一资源。网络攻防实验室作为网络空间安全学科建设和人才培养的重要组成部分,对于网络安全学院学科专业建设的支撑,网络安全人才培养的实践训练摇篮,必将为实施网络强国战略、维护国家网络安全提供强有力的支持。
三、攻防实验室创新
3.1实验体系教学理念
公司致力于以院校计算机类、信息类院系为基础,投入师资、课程体系、教学设备等教学硬件及软件,与院校共同搭建创新型教学人才实训中心。将结合院校自身优势以及区域创新特色,在优势专业共建、产业化科研合作、产业融合课程开发等方面形成产学研协同创新,推动优势院系的跨学科、跨行业合作,打造强势的跨学科信息化课程。同时,院校在教学和科研过程中,能够以实验室为纽带,调用校企双方的技术优势和科研能力,形成产学研联动。在这个过程中,企业也会把自己多年积累的领域经验优势和产品技术优势逐渐导入到院校科研中,以高端信息化孵化院校领域科研项目。
3.2 实验内容设计思路
实验内容设计采用全新的人才培养模式,致力于培养网络信息安全专业领域的“高层次、实用型、国际化”的复合型尖端人才。以互联网大产业背景为基础,采用校企联合的模式,应用全新教材,依托雄厚师资,产学研相结合,力求打造
适应新形势,具有最新思维和技能的网络信息安全专业人才。
●应用导向原则
实验室中的教学内容设置紧跟企业应用,培养出企业所需要的基础扎实、应用能力较强的网络信息安全专业高级人才。
●全面覆盖、侧重专业技术
在了解和学习网络攻防整体知识领域下,侧重网络攻防对抗技术、安全系统分析与设计、多维度安全防护、安全策略制订、运维管理、综合集成、工程设计和技术开发能力的训练。
●突出实训、强化行业应用
实验各个安全模块和安全理念贯穿整个教学过程,明确学习目的性、增强实际开发能力。
●以攻为防的设计理念
进攻是最好的防守,实验体系融入渗透思维,全程植入安全概念,从攻击角度探讨网络安全,掌握网络攻防技能,提升网络安全防护水平。
3.3应用型人才培养目标
公司与高校联合培养,整合企业与高校最优资源,注重培养学生的自主学习能力和理论实践能力。通过提供完善的课程体系和实践项目,使学生具备扎实的数理基础和电子通信技术、计算机技术,掌握网络攻防对抗的基本理论、基本知识、基本技能及综合应用方法,具有较强的信息系统安全分析与设计、安全防护、安全策略制订、操作管理、综合集成、工程设计和技术开发能力,了解网络空间安全发展动态,受到严格的科学思维训练和全面的素质教育的网络攻防高级专门人才。
四、网络攻防实验室介绍
4.1 实验室简介
“网络攻防实验室”是由公司为培养创新网络攻防对抗人才,跟踪网络空间攻防行为研究热点,孵化网络攻防高新项目,培养具有国际化视野的网络安全人才和实战专家。实验室从网络攻防整体能力要求出发,涵盖不同网络、不同系统、不同应用的攻防演练内容,满足计算机、信息安全和信息对抗技术等相关专业的理论教学、实践验证、技能竞赛、学科建设等多种需求。
4.2 实验室系统特点
●虚拟化计算云平台
极大节省硬件投入,提高教学资源使用率。平台支持可扩展。
●纯B/S结构
改变传统C/S实验模式,通过浏览器随时随地访问演练系统,大大提高演练系
统的使用率。
●实践教学整体解决方案
涵盖信息安全和网络攻防对抗所有核心课程,一站式解决教学面临的问题(培养方案、教学大纲、PPT、课程设置、实验、竞赛等)。
●网络重构
实验除了支持不同操作系统和常见网络设备以外,还支持防火墙、入侵检测系统、入侵防御系统、Web应用防火墙功能,实现全功能的网络环境仿真和虚拟。
●快速定制
系统支持定制生成各种学习、实训、实践任务。
4.3 实验室系统组成
网络攻防演练系统主要是用于网络攻防人才培养、网络安全技能培训和网络安全技术研究等需求而专门设计开发的产品,系统主要包括以下五个部分:●基础资源管理云平台
●演练内容管理平台
●教员管理平台
●学员管理平台
●竞赛管理平台
整个系统涵盖四大基础课程(语言、系统、网络和数据库)、四大网络攻防对抗方向(Web渗透、逆向破解、恶意代码、漏洞挖掘),上千个攻防演练项目。系统可配合相关课程开展实践和实验教学、相关学科竞赛、项目创新验证等活动,极大地简化了开展信息安全和网络对抗等不同方向实践教学的准备时间,满足实践创新教学需求。
用户层
图:整体功能示意图及功能说明
●渗透攻防靶场:提供各种网络环境下的网络安全和网络对抗实验系统,训
练和检验学员网络攻防对抗技能。
●教学培训:演练系统提供多种网络安全和网络对抗相关的实验子系统和配
套的讲义,可满足开展各类培训和课程教学活动需要。
●技能竞赛:演练系统内置用户注册、赛题定制和展示排名功能,可作为各
行各业开展网络安全相关技能大赛的平台。
●管理平台:提供个人用户和团队用户的注册管理、虚拟云平台资源管控。
●实验展示:提供学员学习进度和比赛进度展示。
●扩充接口:演练系统可灵活定制网络拓扑,可对接其他网络实验平台。
4.4 系统拓扑结构
系统采用OpenStack云基础服务平台实现云基础架构服务(Infrastructure as a Service,IaaS)。目的在于为虚拟计算或存储服务的云提供可扩展的、灵活的云计算。
系统所需的各种软硬件资源和虚拟机都部署在整个OpenStack云基础之上,
用户通过B/S架构以及VPN访问和管理各类攻防资源,并通过Open vSwitch实现整个平台的监控和展示。
OpenStack
图基于OpenStack的攻防演练系统
OpenStack既是一个社区,也是一个项目和一个开源软件,它提供了一个部署云的操作平台或工具集,其包含的核心组件和提供的服务及其相互功能关系如下图所示。
用户接口
持久存储
身份认证
磁盘文件
虚拟机影像
网络连接
用户统一管理
管理界面
图 OpenStack核心服务组件
其中:
?Horizon: Web浏览器用户接口实现实例的创建和管理。提供的图形界面实现启动实例、管理网络连接、设置访问控制等。模块化设计使得同其他管理功能,如审计、监控等实现无缝对接。
?Keystone: 集中式用户认证和服务授权框架。提供某个特定云运行的服务
目录,支持多种形式的认证,包括用户名和口令凭证、基于令牌的系统等。
?OpenStack Networking: 网络连接服务。
?Cinder: 运行于Nova中的实例的永久块存储。支持快照以备份数据用于
恢复或者创建新的块存储卷。
?Nova: 节点中运行的虚拟机的网络调度,它是云组织的控制器,包括按需运行实例、管理网络以及控制用户和其他项目对云的访问。
?Glance: 虚拟机影像的注册。允许用户拷贝、存储、查询和检索服务器影像。通常影像都保存在Swift(对象)服务中。
?Swift: 文件存储和获取。采用分布式结构,提供文件冗余保护以及良好的可伸缩性。
上述功能模块的有机整合以及OpenStack的强大基础设施所提供的各种服务,为整个网络攻防演练平台实现开放性、容错性、灵活性和可扩展性提供可能。
4.5 系统总体设计
用户设
备
拓
扑
靶
场
工
具
攻防演练系统底层采用OpenStack开源云计算平台,可以为各种云提供高冗余、可扩展、开放灵活的基础架构。在此平台上可以实现各种虚拟化资源的存储、查询和检索等功能,并能提供统一的用户身份认证以及一致的Web展示界面。
中间管理层主要完成各种功能模块,包括用户的管理、身份的认证管理、权限的分配、任务的管控、平台中各种设备和资源(情报、工具、课件等)的分配。
用户层主要是负责给攻防演练系统平台的普通用户和管理员用户提供统一的前台和后台访问页面,以完成各自的实验任务和管理任务。
监控展示模块则全程负责攻防演练系统中的各种行为监控,包括系统设备的运行情况、用户的行为举止、资源的访问信息、靶场的安全态势等。
4.6 攻防平台系统功能
网络攻防演练系统主要是用于网络攻防人才培养、网络安全技能培训和网络安全技能大赛,系统主要包括以下四个部分:
●基础资源管理云平台
●演练内容管理平台
●用户管理平台
●展示控制平台
4.6.1基础资源管理云平台
基础资源管理云平台由十几个组件组成,这些组件可以控制云计算几个最重要的部分。在基础资源管理云平台中,有针对云计算的计算、网络和存储的管理项目,还有关于身份和访问管理以及编排运行在云上的应用程序的项目。这些组件组合在一起为网络攻防演练所需的虚拟化、网络、计算等各种资源提供支持。项目管理
项目是云平台中重要的资源的集合,通常包含用户、实例、虚拟化、网络配置和计算资源等多种核心信息。在平台中要创建项目,可以进入已有的admin 项目,选择认证>>项目>>创建项目:
图一个项目包含各种核心资源
如下图,创建项目需要键入项目名称和描述:
图项目创建
点击项目成员,每一个项目必须选择admin用户,也可以添加其他用户:
图项目成员信息
配额保持默认即可:
图为项目设置各种配额信息
项目添加成功如下:
图成功创建项目openstack-test
创建镜像
虚拟机镜像(以下简称镜像)是云计算平台不可或缺的一部分。利用各种定制化的镜像,我们可以快速创建出满足不同目的的虚拟机。例如,利用一个安装并配置了Apache、Mysql 和PHP的Linux操作系统镜像或者常用的Windows系统,就可以在云平台上秒级创建出多台LAMP服务器,可以直接用于后续题目或者演练任务的部署或者开发。
选择计算>>镜像,可以查看整个系统现有的镜像,镜像列表如下图
图现有镜像的列表
选择计算>>实例>>启动云主机,启动的源选择从镜像启动,点击镜像的下拉列表可以选取已有的镜像来启动实例,启动方式如下图
图openstack镜像利用方式
创建实例
项目创建成功之后,我们就可以进行实例的创建。可以通过选择不同的镜像对应不同的系统需求来创建实例。
点击计算>>实例>>启动云主机,其中云主机类型是根据不同的内核个数,硬盘大小等设置的不同规格,我们可以依据自己的需要进行选择,在镜像名称处可以选择不同的系统类型。
图openstack创建新的实例
值对可以不选,但是必须勾选默认的安全组,安全组主要是一些协议的规范,可以自己定制,后面会有安全组规则的设置方法。
图openstack实例安全组设置
对于每个实例的网络设置可以通过在下拉菜单中选择即可实现。如果想给实例配置不同的网段,可以在创建新的网络之后,在这里添加和选择。
图openstack实例的网络配置
最终实例创建成功如下:
图openstack成功创建实例
实例创建成功后,在创建快照处的下拉菜单中选择绑定浮动IP,可以使虚拟机关联到外网段,点击橙色辐条可以自动分配一个IP,之后我们可以在外网段访问到该实例。
图实例绑定浮动IP