网络与信息安全实验室解决方案下载大中小给本解决方案提建议概述信息安全发展势在必行随着信息技术的发展和信息化建设的高速推进,为信息安全产业的发展带来了前所未有的机遇。根据IDC数据分析显示,目前安全市场的增长远远高于整个IT市场的增长。政府、电信、金融等部门和行业对信息安全的投入加大成为推动市场的主要动力,随着电子商务、电子政务等信息化应用的不断深入,对于数据的安全保障、不可否认性等安全机制的要求日益提升,使得信息安全人才在维护信息安全方面的作用将越来越突出。信息安全人才需求旺盛信息安全人才,即受过计算机网络技术、信息安全教育,懂得计算机技术和信息安全方面的知识并且能够解决实际问题的专门人才,在维护信息安全、保障网络运行中起着基础和决定性的作用。截止2008年底,设置信息安全本科专业的高校已经有七十余所,这些高校为社会输出了一大批较高水平的信息安全人才,但是其数量远远无法满足社会的需要。据不完全统计,仅上海一地信息安全人才缺口就达到十万,而现有高校每一届信息安全人才培养数量不足万人,人才供需矛盾显著。现状分析我国信息安全专业建设刚刚起步2000年以后,高校信息安全专业建设有了飞速的发展,有多所学校建立了信息安全专业,形成了从本科生到博士研究生的培养梯队。但是由于开设时间短,各个高校之间的培养方式和侧重点都存在差异,出现了多样化的办学思路。不同的办学思路一方面体现了各高校的办学特色和学科优势,在学科发展初期是一种有益的探索和尝试;从另外一方面也体现出我国高等教育体系中缺乏对信息安全人才培养的统一规划和指导,尚未形成科学合理的教学模式。专业基础课程难度大、内容多信息安全领域的知识覆盖面广、学习难度大,其中信息安全专业的核心课程包含密码学、数字水印技术、访问控制、信息对抗、网络安全技术等,这些课程往往建立在大量抽象、复杂的数学模型及计算机网络基础上,并且在课程学习之前,就需要对线性代数、离散数学、计算机网络等基础课程有较深的掌握和理解。开设配套的实践课程需要专业的教学平台,实施较为困难。实践教学环境搭建困难安全隐患与安全威胁的排查能力是需要在大量的实践中不断积累经验,不断实际操作方能提升的,所以在完成理论知识的学习后,实践课程的补充尤为重要。但是在实际操作过程中,搭建存在安全隐患或者安全威胁的实践环境往往需要较长时间,同时搭建过程中,由于各种因素的影响,无法保证每次环境的一致性,很难确保信息安全实践环境的反复重现。方案介绍锐捷网络服务教育十周年,一直致力于为网络实践教学提供最专业、最全面、最优质的服务。而锐捷推出的网络与信息安全实验室是专门面向开设信息安全专业以及开设信息安全课程的相关专业提出的业界领先的第一套专门进行信息安全实践教学的实验室解决方案,我们致力于:•针对信息安全专业核心课程提供真实、可操作的实践教学环境,如密码学及应用、信息系统安全、数据安全等;•结合行业应用需求,提供信息安全综合实验搭建方案,协助老师开展规模化的综合性信息安全实验课程;•通过提供专业的师资教学能力提升计划、配套实验教材等服务支撑体系,保障学校投入最小资源开设最为丰富的信息安全实践课程。锐捷网络通过不断与各高校探讨,推出了满足高校实践教学需要的网络与信息安全实验室解决方案,实验室建设拓扑如下:专业核心课程的实践操作环境信息安全专业课程体系中,密码学、主机安全、PKI/PMI数字证书机制、木马病毒原理、安全审计、数据安全、防火墙技术、入侵检测技术、VPN隧道技术等课程是最为主要知识环节。掌握这部分知识,也是信息安全人才培养的重点教学目标。密码学:将主流密码加解密过程用直观的方式展示出来,并通过较好的实验环境搭建,使得学生可以通过实践动手直接把在书本上学习的知识全部呈现出来,同时还能通过与源代码的一一对应关系,将程序代码与实现效果一一对应出来,达到“用中学”的效果;主机安全:可全面的进行主机的漏洞扫面分析,并直观显示目标主机所存在的安全隐患,并同时提供操作系统策略部署、数据库安全保障等实验操作。。PKI/PMI数字证书:将PKI/PMI证书申请、发布等一系列流程通过实际动手操作进行完成,可让学生通过实际动手来进一步了解数字证书的发布使用流程及作用。木马病毒原理:对典型木马及主流病毒的攻击方式进行演技操作,分析该类型木马或者病毒所针对的网络系统漏洞,并提供防御方式的实验。安全审计:提供应用程序、文件管理、网络事件等安全日志的审计实验,通过日志的管理不断提高学生对安全日志的理解,以及审计的流程与规范。数据安全:提供真实网络数据存储环境,搭建数据的异地容灾备份、文件系统NAS共享平台。网络安全技术:针对业界真实的主流网络安全设备,如防火墙、IDS、VPN、USG等,进行实际应用操作演练,对包过滤、状态过滤等热点防火墙技术提供实际动手操作的环境。涉及的实验(部分)包含:课程知识点实验名称密码学对称密码基本加密实验:DES、3DES、AES-128、AES-192、AES-256、SMS对称密码分组加密实验:DES、3DES、AES-128、AES-192、AES-256、SMS古典加密实验:移位密码、仿射密码、维吉尼亚密码流密码加密实验:RC4散列函数实验:MD5、SHA-1、SHA-256非对称加密实验:RSA、Elgamal数字签名实验:RSA-PKCS、DSA、ECC数字水印实验:LSB、DCT算法嵌入/提取/破坏水印实验大数运算实验文件加解密实验密码学应用实验:基于SSH协议的安全通信实验(密码认证、公钥认证);基于GnuPG的加密及签名实验(文件加密及签名、文本加密、邮件加密及签名)PKI证书申请实验请求管理实验证书管理实验交叉认证实验证书应用实验(Word签名、Foxmail签名、IIS应用)WindowsCA实现IIS双向认证PMI证书申请实验申请管理实验属性管理实验证书管理实验证书应用实验(基于角色的授权与访问控制、基于安全级别的授权与强制访问控制)日志审计文件事件审计实验网络事件审计实验应用程序审计实验日志事件审计实验日志关联审计实验审计跟踪实验主机监管实验木马病毒脚本病毒实验9个小实验DLL注入型病毒实验木马攻击实验查杀病毒实验2个小实验主机安全网络后门种植实验踩点扫描实验痕迹清除实验Windows/Linux安全:文件系统、用户管理、策略、网络及服务SQLServer/MySQL安全:安全配置、数据库备份与恢复Windows/Linux下WEB、FTP、远程桌面服务安全配置信息安全综合应用的实训平台信息安全体系层次复杂多样,任何安全问题都涉及到多个层次的知识点,所以无论是作为安全事件的攻击方还是防御方,都需要具备扎实的信息安全知识功底,并且能够灵活运用各种技术,为网络攻防获取足够的信息与资源。信息安全课程的最终学习目的就是对存在的安全隐患和安全威胁做好防范工作,而在其爆发时,需要能够及时的通过调整安全策略达到最大程度减少损失的目的。所以,必须通过大量的实践操作来进行安全综合应用的演练来熟悉各种攻击方式以及对应的防御办法。锐捷信息安全实验室将这部分综合实验分成两个层次:•搭建安全的网络环境•通过安全的网络环境消除安全隐患及威胁搭建安全的网络环境:了解主流安全设备应用及特点,根据网络应用的不同以及安全要求级别的不同,搭建安全网络结构,部署安全防御策略,进行相应的安全防御构建;涉及的实验(部分)包括:掌握技能实验名称掌握交换机安全技术STP安全设置MAC地址过滤端口保护端口阻塞广播风暴控制系统保护端口安全无线安全技术实现无线用户的二层隔离使用MAC认证实现接入控制配置无线网络中的WEP加密配置MAC地址过滤(自治型AP)配置SSID隐藏(自治型AP)配置WEP加密(自治型AP)使用Web认证实现接入控制使用802.1x增强接入安全性配置无线网络中的WPA加密掌握防火墙基本配置与应用案例防火墙的初始配置安全策略的设置安全NAT的配置客户端认证的配置地址绑定连接速率限制配置URL过滤链路负载(策略路由)数据安全技术磁盘基本操作实验IPSANRAID0实验RAID1实验RAID5实验NAS文件共享USG管理和统一安全网关技术初始化配置实验权限管理配置实验本地用户认证实验时间对象管理实验会话对象管理实验安全策略配置实验掌握VPN基本配置与隧道技术使用Router构建GREVPN使用Router构建IPsecVPN使用Router构建GREoverIPsecVPNAccessVPN通信实验IDS管理与安全检测技术使用SPAN对数据流进行镜像IDS策略管理实验IDS配置管理实验IDS报表管理实验IDS帐户管理实验IDS数据库管理实验通过安全网络解决安全问题:面对外部网络的入侵以及内部网络的攻击,及时调整信息安全策略的部署,并及时修改网络拓扑,隔离非法主机等措施,来进行整网的安全保障,同时能够进行感染区隔离和处理。涉及实验(部分)包括掌握技能实验名称接入安全综合应用配置ARP检查(ARP欺骗)配置DHCPSnooping配置DAI(ARP欺骗)非法AP和Client的发现与定位防火墙综合应用防火墙防DoS攻击的设置服务保护P2P限制数据容灾数据恢复实验(snapshot)使用NFS协议实现跨平台共享USG综合应用邮件病毒防御实验文件病毒防御实验流量监控实验配置入侵攻击防御实验DDOS攻击防御实验SSLVPN应用实验双机热备实验服务对象管理实验WEB管理实验IM软件管理实验与IDS联动实验VPN隧道综合应用AccessVPN通信实验-采用USBKey的数字证书方式AccessVPN用户授权通信实验AccessVPN的通过内部DNS和内部WINS访问内部资源的实验AccessVPN的用户接入控制实验IntranetVPN通信实验-预共享秘钥方式IntranetVPN通信实验-数字证书认证方式IntranetVPN解决子网冲突问题的通信实验IntranetVPN桥模式下通信实验IDS综合应用木马攻击检测实验端口扫描检测攻击实验蠕虫病毒攻击检测实验DOS攻击检测实验DDOS攻击检测实验缓冲区溢出攻击检测实验WEB服务器攻击检测实验数据库攻击检测实验分布式管理实验事件自定义实验告警事件风暴抑制管理实验事件响应方式管理实验密码策略审计实验系统漏洞攻击检测实验IDS与防火墙联动网络攻防实验配置Linux系统进行主动防御使用Windows系统基线安全分析器配置Windows系统安全评估--账号管理、认证授权Linux系统漏洞利用(CVE-2005-2959、CVE-2006-2451)web应用常见的SQL注入、跨站攻击类事件处理灰鸽子木马利用与防护拒绝服务攻击事件的处理--DDOS网络及信息欺骗类事件的处理--ARP数据库权限溢出攻击实验弱口令破解实验信息安全实践教学的支撑体系为协助院校开展信息安全实践教学,锐捷网络针对中职、高职及本科各类型院校推出一系列完整教学支撑体系:持续创新的实验室管理:1.实验设备的统一管理:a)可实现教师对实验设备实时管理和资源的统一调配;b)可实现网络设备配置及模拟攻击环境的“一键还原”;c)可实现实验设备配置的保存和加载;2.实验拓扑的统一管理:a)可实现网络拓扑的自动连接与断开;b)可实现网络拓扑的图形化管理;c)可实现网络拓扑环境的保存和加载;3.远程登录的统一管理:a)可实现教师的远程登录进行教学管理;b)可实现学生的远程登录进行实验操作;4.课程资源的统一管理:a)可支持在线的课程安排和管理,并针对学生进行相应实验资源自动划分;b)可支持教学课件的加载更新,并提供课件升级包;c)可支持考试测验题库的建立及自动生成试卷;d)可支持学生在线答题及提供自动、手动阅卷方式;5.实验行为的统一管理:a)可实时监控学生的实验配置过程及远程查看学生的配置文档;b)可统一调配实验设备使用权限,对学生实验操作进行远程指导;多层次的师资培养方案:锐捷网络为中职、高职及本科各类型院校提供多层次的师资提升计划,并为在校老师量身打造了师资培养路径图,为加快学校安全师资力量提升出谋划策。同时,为不断提高学校老师提高技术水平,方便老师可以实时的进行