網絡安全攻防實驗室方案計劃文獻

1、/*網絡安全攻防實驗室建設方案XXXX信息科學與工程學院2020/5/22目錄 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 第一章網絡安全人才需求3 HYPERLINK l bookmark6 o Current Document 網絡安全現狀 3 HYPERLINK l bookmark8 o Current Document 國家正式頒布五級安全等級保護制度 3 HYPERLINK l bookmark10 o Current Document 網絡安全技術人才需求猛增 4 HYPERLINK l bookmark12 o

2、Current Document 第二章網絡安全技術教學存在的問題 4 HYPERLINK l bookmark14 o Current Document 網絡安全實驗室的建設誤區(qū) 4 HYPERLINK l bookmark16 o Current Document 缺乏網絡安全的師資力量 4 HYPERLINK l bookmark18 o Current Document 缺乏實用性強的安全教材 5 HYPERLINK l bookmark20 o Current Document 第三章安全攻防實驗室特點 5 HYPERLINK l bookmark22 o Current Docum

3、ent 3.1安全攻防實驗室簡介 5 HYPERLINK l bookmark24 o Current Document 第四章安全攻防實驗室方案 6 HYPERLINK l bookmark26 o Current Document 安全攻防實驗室設備選型 6傳統(tǒng)安全設備 6安全沙盒一一使實驗室具有攻防教學功能的獨特產品 6 HYPERLINK l bookmark28 o Current Document 安全攻防實驗室拓撲圖 8 HYPERLINK l bookmark32 o Current Document 安全攻防實驗室課程體系 9初級DCNSA網絡安全管理員課程 9中級 DCNS

4、E網絡安全工程師課程 10 HYPERLINK l bookmark36 o Current Document 高級 安全攻防實驗室實驗項目 12基本實驗12擴展實驗14 HYPERLINK l bookmark42 o Current Document 第七章網絡實驗室布局設計 25 HYPERLINK l bookmark44 o Current Document 實驗室布局平面圖 25 HYPERLINK l bookmark48 o Current Document 實驗室布局效果圖 25 HYPERLINK l bookmark50 o Current Document 機柜擺放位置

5、的選擇 26第一章網絡安全人才需求網絡安全現狀信息技術飛速發(fā)展，各行各業(yè)對信息系統(tǒng)的依賴程度越來越高，建立持續(xù)、穩(wěn)定、安 全的網絡是保障用戶業(yè)務發(fā)展的前提。近年來，安全問題卻日益嚴重：病毒、木馬、黑客攻擊、網絡釣魚、DDOS等安全威脅層出不窮，而且技術越來越復雜，病毒、木馬及黑客技術等融合造成了網絡安全的巨大危機。用戶都已經認識到了安全的重要性。紛紛采用防火墻、加密、身份認證、訪問控制， 備份等保護手段來保護信息系統(tǒng)的安全。但是網絡安全的技術支持以及安全管理人才極度缺乏。國家正式頒布五級安全等級保護制度2007年7月24日，公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室正 式上線頒布

6、了信息安全等級保護規(guī)定，信息安全等級保護管理辦法及實施指南，頒布了信息安全等級保護管理辦法、信息系統(tǒng)安全等級保護定級指南、信息安全技術信息系統(tǒng)安 全等級保護實施指南、信息安全技術信息系統(tǒng)安全等級保護基本要求等辦法。辦法明確規(guī)定，信息系統(tǒng)的安全保護等級分為五級，不同等級的信息系統(tǒng)應具備的基本安全保護能力如下：第一級安全保護能力：應能夠防護系統(tǒng)免受來自個人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的關鍵資源損害，在系統(tǒng)遭到損害后，能夠恢復部分功能。第二級安全保護能力：應能夠防護系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災

7、難、以及其他相當危害程度的威脅所造成的重要資源損 害，能夠發(fā)現重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后， 能夠在一段時間內恢復部分功能。第三級安全保護能力： 應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自外部有組織的團體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災難、以及其他相當危害程度的威脅所造成的主要資源損害，能夠發(fā)現安全漏洞和安全事件，在系統(tǒng)遭到損害后， 能夠較快恢復絕大部分功能。第四級安全保護能力：應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴重的自然災難、以及其他相當危害程度的威脅所造成的資源損害，能夠發(fā)現安全漏洞和安全事

8、件，在系統(tǒng)遭到損害后，能夠迅速恢復所有功能。第五級安全保護能力：（略）。等保制度的頒布將網絡安全的重要性提高到法律法規(guī)的高度，并催生了一個新的職業(yè)：網絡安全評估工程師/專家，該職位屬于IT行業(yè)的頂級職位，目前的人才儲備遠遠不能滿足 行業(yè)需求。網絡安全技術人才需求猛增網絡安全技術涉及到國民經濟的各個領域，技術發(fā)展迅速，在中國對安全人才的需求 數量大，人才的需求質量高，高技能型應用人才十分缺乏，據51Job、中華英才網等人力資源網站統(tǒng)計，近年，人才市場對網絡安全工程師的需求量驟增，大中型企業(yè)都已經設置了專業(yè)的網絡安全管理員，中小企業(yè)也大量需要懂得網絡安全的網絡管理員，銀行、證券、保險、航空、稅務、

9、海關等行業(yè)尤其看重。網絡安全行業(yè)的就業(yè)需求將以年均14%勺速度遞增，2008年，網絡安全行業(yè)的就業(yè)缺口人數將達到20萬以上。網絡安全工程師需要更高更全面的技術學習，因此薪資水平較一般網絡工程師高，可 以達到1.5至3倍的水平，走俏職場成為必然。第二章網絡安全技術教學存在的問題網絡安全實驗室的建設誤區(qū)很多學校在建設網絡安全實驗室的時候都會走進一個誤區(qū)，往往認為安全設備的安裝 調試就是安全實驗室，沒有把安全攻防、系統(tǒng)加固作為網絡安全實驗室的建設內容。安全設備的安裝調試以及安全網絡的拓撲設計的確是安全實驗室的重要內容，但應該不僅僅是這些內容。大部分的網絡安全實驗室之所以建成安全設備的調試級別，主要是

10、因為組織實驗室方案的往往是設備廠商，作為設備廠商關注的問題就是如何更多地銷售設備，這就導致實驗室的層次偏低，實驗項目不全面。缺乏網絡安全的師資力量網絡安全是網絡行業(yè)中技術含量較高的方向，安全人才較為缺乏，學校師資也是一樣，好的師資是網絡安全實驗室教學中的一個重要環(huán)節(jié)。通過師資培訓，再加上好的環(huán)境來實踐，可以保障網絡安全教學師資的提升。缺乏實用性強的安全教材目前市面上面的網絡安全教材很多，但絕大部分都是以理論為主，很容易導致學生學 習的厭煩感，教材的編排并沒有針對性的網絡安全實驗，這也是網絡安全實驗開展困難的主要問題。第三章安全攻防實驗室特點在一個已經部署防毒軟件、防火墻、IDS、VPN等安全產

11、品的實驗室中，很少有人清晰的知道這些安全產品的作用，以及能夠為計算機安全所帶來的保障。配置和組網的實驗帶給學生的仍然是書面的理論知識，學生沒有一個整體的概念。實驗室嚴重匱乏的是安全設備的組合以及攻防環(huán)境的建立，這讓很多學校以及企業(yè)感到無從著手，無力進行有效的網絡安全培訓，面對以下問題無所適從：問題1:怎樣的教學方式才能讓學員更加快捷、高效的學習網絡安全方面的知識？問題2:什么樣的教學環(huán)境才能讓學員更 容易、積極的學習網絡安全方面的知識， 增強 網絡安全意識？攻防帶給教學最真實的環(huán)境、最有效的實驗方式，學會真正最實用性安全技術，在實 驗室中學生可以真實體驗到未來工作中的網絡狀況，并加以排除、維護

12、和改造。3.1安全攻防實驗室簡介目前，各行業(yè)用戶對信息系統(tǒng)的依賴程度也越來越高，建立持續(xù)、穩(wěn)定、安全的網絡 是保障用戶業(yè)務發(fā)展的前提。大家都認識到安全的重要性，紛紛采用防火墻、加密、身份認 證、訪問控制，備份等保護手段來保護信息系統(tǒng)的安全。與此同時，安全問題日益嚴重，病 毒、木馬、黑客攻擊、網絡釣魚、DDOS等安全威脅層出不窮，而且技術越來越復雜，病毒、木馬及黑客技術等融合造成了網絡安全的巨大危機。因此，國內人才市場對網絡安全工程師的需求量驟增，大中型企業(yè)需要精通網絡安全的網管人員。原來的網絡安全實驗室都是面向設備安裝調試以及設備組網的實驗室，沒有針對網絡 管理員實際遇到的安全攻防做出相應的訓

13、練。網絡攻防實驗室采用 SZSM勺SZS砥全沙盒系統(tǒng)進行試驗。安全攻防實驗室使用主流的安全設備：如防火墻、入侵檢測與防御系統(tǒng)、統(tǒng)一威脅管 理系統(tǒng)、終端安全系統(tǒng)、 安全準入認證系統(tǒng)組成實驗網絡，將典型安全漏洞實驗案例、主機系統(tǒng)加固實驗案例以及漏洞掃描案例濃縮到稱之為“安全沙盒”的安全攻防實驗平臺中。安全沙盒與所有安全設備組合部署成一個強大的網絡測試環(huán)境，學生和研究人員可以更直觀、更有效、更方便地體驗設備中安全技術的部署，觀察并攻擊“安全沙盒”中定制服務器常見的操作系統(tǒng)漏洞和網絡應用服務漏洞等，然后在安全沙盒上進行系統(tǒng)加固，并可以利用整網的設備聯(lián)動發(fā)現威脅、主動防御。安全沙盒的部署拓撲如下：Sa

14、nd Ho工部署小意圖tK 算灌第四章安全攻防實驗室方案安全攻防實驗室設備選型傳統(tǒng)安全設備傳統(tǒng)的安全設備包括防火墻、UTM統(tǒng)一威脅管理、入侵檢測引擎、認證計費、日志系統(tǒng)等產品，這些傳統(tǒng)的安全設備可以組建完整的網絡進行設備的安裝調試，滿足學生了解產品配置、了解產品功能的作用。傳統(tǒng)的安全設備是安全攻防實驗室不可或缺的產品，它們的組合可以完成安裝調試級別的所有實驗。安全沙盒一一使實驗室具有攻防教學功能的獨特產品SZSM全沙盒系統(tǒng) DigitalChina Secure SandBox （簡稱：DCSS為計算機安全教 育提供實驗課程以及實驗環(huán)境。教師通過登錄DCSS系統(tǒng)的管理平臺 SandBox Ma

15、nagementCentrol （簡稱：SMC進行實驗課程的教學工作，學生也可以通過登錄SMCa行教學課程的實驗操作。DCSS是SZSM網絡公司專為網絡安全攻防實驗室研發(fā)的產品，是進行網絡安全攻擊和防御的模擬平臺，鍛煉學生動態(tài)網絡安全維護的能力。其名取材于軍事術語“沙盤”，這意味著安全沙盒可以通過模擬實戰(zhàn)演練戰(zhàn)術和技術，其先進的設計理念為國內首創(chuàng)。安全沙盒系統(tǒng)為計算機及網絡安全教育提供多系統(tǒng)平臺的教學課件，在教學、培訓過程中，根據需要可以啟動基于不同操作系統(tǒng)平臺的教學課件，滿足所有教學環(huán)境的需求。安全沙盒系統(tǒng)為計算機及網絡安全教育提供多模式的安全攻防實驗課件，能夠進行各種安全威脅的攻防操作，針

16、對不同的攻擊防御模式，提供多種實驗課件選擇。安全沙盒系統(tǒng)的全部課件均是將安全理論與實際環(huán)境和動手操作相結合的實驗課程，所有的學習過程中，都需要通過實際動手進行實驗操作，完成課件要求的安全威脅攻擊以及針對該攻擊的安全防御措施。通過不同的實驗課程讓學員親身體驗計算機及網絡安全的攻防全過程，讓學生從枯燥的理論學習中解脫出來，可以極大的提升學生學習網絡安全知識的積極性，并幫助學生在未來的就業(yè)和職業(yè)發(fā)展奠定扎實、實用的技術基礎和經驗。安全沙盒具有10個千兆電口，其中 2個用于管理，8個用于學生實驗，可以滿足 8人 同時實驗，并具有如下特點滿足教學需求：1、獨立的實驗環(huán)境：教師通過 SMC控制臺可以為學生

17、開啟各種計算機安全教學課程 的實驗環(huán)境，學生可以在實驗環(huán)境中進行各種計算機安全的攻防實驗。獨立隔離的實驗環(huán)境不會對其他網絡造成危害。2、可定制的安全實驗課件：教師可以在 SMC控制臺上進行日常教學的課程定制，根 據已有的實驗課件，教師可以自行編寫教學課程內容。3、支持多實驗課程同時進行：教師可以在SMC控制臺上進行多個計算機安全實驗課程的教學，通過啟動不動的安全實驗課件，為不同的學生分配相應的實驗課程。4、支持單獨的實驗評分系統(tǒng)：教師可以在SMC控制臺上為上課的學生進行實驗評分， 每個學生都可以有自己的實驗分數，且支持對學生實驗成績可以導出功能。5、具備實驗課程在線幫助：學生在進行每個實驗課程

18、時，都可以通過在線實驗說明， 實驗提示步驟，自行完成實驗課程。6、可擴展的實驗課件體系：安全沙盒系統(tǒng)可以通過不斷的更新實驗課件，不斷擴容實 驗能力，可以無限為計算機安全教學提供長期的實驗操作平臺。安全攻防實驗室拓撲圖在安全攻防實驗室方案中，我們把實驗室分成了六個區(qū)域:內部網用戶IDS入侵檢測引擎管理器防.內部網NETLOG防火墻網絡VPN安全域802.1x交換機SCANNER網絡接入安全域 學生機學生機系統(tǒng)攻防演練區(qū)DCSM網安 全管理系統(tǒng)網絡邊界域： i模擬外網安全域：Jx安全攻防實驗組拓撲1、網絡VPN安全域：使用防火墻進行 VPN術的組網和配置，讓學生了解VPN技術的特點、適用范圍以及安

19、裝調試。2、網絡接入安全域：使用802.1x技術、web接入技術或者PPPoEg入技術管理接入安 全，也可以利用 DCSMJ網安全管理系統(tǒng)進行病毒檢查和資產評估。3、內網核心安全域：部署日志系統(tǒng)和 Radius服務器進行安全審計。4、網絡邊界域：具有流量整形網關設備、UTM BAS設備，可以很完整的管理邊界安全。5、模擬外網安全域：主要進行遠程接入的安全設置以及模擬外網產生的惡意掃描和攻擊。6、系統(tǒng)攻防演練區(qū)：安全沙盒是主要設備，在安全沙盒上進行系統(tǒng)的攻擊和防御，IDS入侵檢測引擎負責網絡安全的嗅探和威脅發(fā)現。為了保證安全沙盒不對網絡的其他區(qū)域造成危害，還需要使用防火墻和其他區(qū)域隔離，使用DC

20、SMJ網安全管理系統(tǒng)對這些工具和軟件進行資產管理，防止學生私自復制，對校園網絡造成危害。安全攻防實驗室不再是普通意義上的設備安裝調試級別的實驗室，它帶來全新的實驗室理念，即運維攻防級別的實驗室理念， 它提供了全動態(tài)絕對真實的網絡實訓環(huán)境。 對學生 而言網絡不再是一臺臺靜止的設備組成， 而是具有各種關聯(lián)， 提供各種服務，存在各種威脅 的一個動態(tài)的整體。安全攻防實驗室課程體系形成專門的兩級安全認證體系:基礎認證體系安企認證體系初級DCNSA網絡安全管理員課程掌握程度分為：掌握、理解、了解三個層次。項目類型一級知識點二級知識點課時數Wi程度項目1:局域 網安全攻防 技木局域網設備安 全交換機設備安全

21、2Wi安全的控制臺訪問2Wi配置特權密碼1Wiservice password-encryption命令1Wi配置多個特權級別2Wi警告標語(Warning Banners)2Wi交互式訪問2Wi安全vty訪問2Wi安全Shell(SSH)協(xié)議2Wi禁用不需要的服務2Wi局域網常見安 全威脅及解決 力果MAC flooding/MAC spoofing4理解spanning-tree 攻擊4了解vlanB 轉4了解DHC畋擊（虛假DHC的御和DHCP 拒絕服務攻擊防御）4了解ARPfi描/ARP攻擊/ARP欺騙4理解項目2:互聯(lián) 網接入安全 攻防技術互聯(lián)網接入設備安全互聯(lián)網接入設備安全2理解互

22、聯(lián)網接入常 見威脅及解決 力果過濾IP網絡流量2了解過濾We跳口應用流量2了解特洛伊木馬4了解掃描器4了解拒絕服務攻擊4了解項目3:網絡 互聯(lián)數據安 全攻防技術（VPNVPDN網絡互聯(lián)設備 會網絡互聯(lián)設備安全2理解網絡互聯(lián)常見 威脅及解決方 案數據監(jiān)聽4理解數據篡改4理解數據重放4了解非法的數據來源4理解使用IPSEC實現數據的加密、認證、 反重放8理解項目4:互聯(lián) 網接入身份驗證AAA互聯(lián)網接入身 份驗證設備安 全互聯(lián)網接入身份驗證設備安全2理解互聯(lián)網接入常 見威脅及解決 力果配置IEEE802.1X實現互聯(lián)網接入身份認證4理解配置PPPO或現接入客戶端身份認證4了解配置web portal

23、實現接入客戶端身 份認證4了解課時合計96中級DCNSE網絡安全工程師課程掌握程度分為：掌握、理解、了解三個層次。項目類型一級知識點二級知識點課時數掌握程 度網絡安全 綜述網絡安全的現狀網絡為什么不安全1了解安全威脅手段1了解安全防范措施1了解計算機網絡安全 術語黑客1了解密碼技術概念1理解訪問控制技術概念2理解數字簽名1理解網絡安全策略數據物理安全2理解數據機密2理解數據完整性1理解數據可控1理解數據可用1理解身份鑒別1理解數據鑒別1理解數據防抵賴1理解審計與監(jiān)測1理解企業(yè)網絡 安全技術防火墻技術防火墻概述2Wi防火墻實施4Wi防火墻局限2Wi入侵檢測技術入侵檢測技術概述2Wi入侵檢測系統(tǒng)分

24、類2Wi入侵檢測系統(tǒng)實施4Wi企業(yè)網絡與UTMI殳 備UTMK統(tǒng)概述2WiUTM勺基本內涵2WiUTM勺實施4Wi多維綠網技術基礎網絡和防火墻的部署4Wi入侵檢測系統(tǒng)部署4Wi接入認證系統(tǒng)部署4Wi802.1x交換機系統(tǒng)部署4Wi加密技術傳統(tǒng)的加密方法傳統(tǒng)的加密方法2Wi現代主流加密方 法秘密密鑰加密算法2Wi公開密鑰加密算法2Wi算法的混合使用2Wi密鑰的管理密鑰的管理2Wi數字簽名數字簽名的概念2Wi數字簽名的基本形式2Wi信息摘要技術2Wi數據完整性的概念1Wi數字簽名的實現1Wi基于RSA勺數字簽名1Wi認證技術認證技術2Wi數字證書什么是數字證書1Wi為什么要用數字證書1Wi數字證書

25、原理介紹2Wi證書與證書授權中心2Wi數字證書的應用1掌握公鑰基礎設施PKIPKI構成2WiPKI服務2WiPKI應用模式2Wi黑客攻擊手段揭秘常見黑客技術及 系統(tǒng)的缺陷f攻擊步驟2理解端口掃描2理解網絡監(jiān)聽2理解緩沖區(qū)溢出1理解拒絕服務攻擊1理解IP欺騙（可選）2理解特洛伊木馬2理解黑客攻擊系統(tǒng)的 工具和步驟黑客攻擊系統(tǒng)的工具和步驟2理解網絡病毒 機制與防 護計算機病毒的工 作原理計算機病毒的工作原理1了解病禺刀-類引導型病毒1了解P文件型病毒1了解混合型病毒1了解其他病何1了解計算機網絡病毒 的防范r特征代碼法2理解校驗和法2理解行為監(jiān)測法1理解;軟件模擬法1理解網絡病毒實例CIH點1了解

26、蠕蟲病毒1了解F2002年流行病毒1了解2003年流行病毒1了解操作系統(tǒng) 安全問題 及保護措 施Windows NT/2000 的安全與保護措 施Windows NT/2000系統(tǒng)的缺陷2理解Windows NT/2000系統(tǒng)攻擊與防范實 例2理解Linux系統(tǒng)的缺陷與數據保護Linux系統(tǒng)的缺陷與數據保護2了解合計128高級 安全攻防實驗室實驗項目4.4.1基本實驗實驗類型實驗項目課時數掌握程度防火墻設 備實驗防火墻外觀與接口介紹2Wi防火墻用戶管理1Wi;管理員地址設置2Wi恢復出廠設置1Wi配置文件保存與恢復1Wi產品升級實驗1Wi防火墻透明模式初始配置1Wi防火墻透明模式配置網絡對象1

27、Wi防火墻透明模式配置安全規(guī)則1Wi防火墻路由模式初始配置1Wir防火墻路由模式配置網絡對象1Wi防火墻路由模式設置路由及地址轉換策略1Wi防火墻路由模式配置安全規(guī)則1Wi:昆合模式初始配置1Wi混合模式配置網絡對象1Wi混合模式設置路由及地址轉換策略1Wi混合模式配置安全規(guī)則1Wi防火墻日志系統(tǒng)實驗2Wi雙機熱備（選修）2Wi抗DoS實驗（選修）2WiVPNffi 擬 專用網實 驗VPN設備一一設備隧道的建立2WiVPN客戶端 VPN設備隧道的建立2WiIPSEC VPN 實驗2WiSSL VPN實驗2WiIDS入侵檢測系統(tǒng) 實驗安裝順序介紹0.5理解r配置傳感器0.5理解安裝數據庫1理解安

28、裝 LogServer0.5理解Event-Collector的安裝與配置0.5理解NIDS Console的安裝與配置1理解NIDS Report的安裝與配置1理解查詢工具的使用1理解安全響應策略的配置及防火墻聯(lián)動1理解UTM!一 威脅管理 系統(tǒng)實驗UTM的基本配置2理解丁1用UTM進行網絡病毒控制2理解用UTM進行垃圾郵件控制（選修）2理解利用UTM進彳f P 2P控制2理解安全接入 和認證計 費實驗DCBI-3000 安裝1理解DCBI-3000 使用1理解DCBI-3000WEB自服務系統(tǒng)安裝1理解DCBI-3000WEB自服務系統(tǒng)使用1理解802.1X功能的組網調試1理解DCBA-3

29、000W基本調試命令1理解DCBA-3000W 配置 Radius1理解DCBA-3000W NAT 調試說明1理解DCBA-3000W Filist 調試說明1理解DCBA-3000W ACL 調試說明1理解DCBA-3000W 二次認證（橋模式）配置實驗1理解DCBA-3000W 二次認證（路由模式）配置實驗1理解攻擊實驗 基礎特洛伊木馬2理解網絡監(jiān)聽sniffer2理解掃+ 口 令探測 superscan x-scan SSS?O:2理解拒絕服務攻擊（DDOS）2理解安全攻防 綜合實驗 （使用DCSSWindows緩沖區(qū)溢出漏洞利用（MS06-040）4理解數據庫漏洞利用（MySQL ）

30、4理解SQL注入攻擊（MySQL ）4理解木馬植入（Web掛馬）4理解木馬利用與防護（灰鴿子）4理解Linux主動防御（配置安全）4理解Linux 漏洞利用(CVE-2005-2959、CVE-2006-2451 )4理解口令破解（口令猜測與網絡竊聽）4理解數據庫主動防御（MySQL ）毒郵件4理解首頁篡改（Apache）4理解系統(tǒng)安全 加固實驗一審核系統(tǒng)安全性1鬢i訪問控制1Wi賬號安全策略1W1管理員權限1網絡服務（IIS和NETBIOS的安全設置）1Wi文件系統(tǒng)安全1W1安全日志1多維綠網 綜合網絡 安全實驗安全防護系統(tǒng)的部署2理解IDS入侵檢測系統(tǒng)部署2理解模擬攻擊并進行阻斷（外部）2

31、理解接入認證系統(tǒng)部署2理解802.1x交換機系統(tǒng)部署2理解模擬攻擊并進行阻斷（內部）2理解4.4.1擴展實驗安全沙盒是一個可以不斷擴展的實驗平臺，教師可根據課程需要自行研發(fā)擴展實驗，教師按照一定的研發(fā)規(guī)則自行研發(fā)相應實驗課件導入安全沙盒，SZSM供必要的技術支持。實驗類型實驗項目實驗點密他學實驗古典密碼算法Kaiser密碼、單表置換密碼對稱密碼算法對稱密碼體系、DES算法、AES算法:非對稱密碼算法非對稱密碼體系、RSA算法、ELGamal算法Hash算法MD5合希函數、SHA-1哈希函數手工實現安全通信 過程數字簽名、對稱密鑰加密、非對稱密鑰加密利用PG映現安全通 信過程PGPffl密機制P

32、KI應用實驗IIS服務器安全通信PKI體系、證書生成與簽發(fā)、IIS服務器證書安裝與認證Apache服務器安全通信OpenSSL證書生成與簽發(fā)、Apache服務器證書安裝 與認證安全審計實驗IIS下個人網站搭建HTMLfe言及語法結構、IIS個人網站搭建WE田志審計Windows日志系統(tǒng)、IIS日志格式、日志審計、 WEB 漏洞掃描Linux主機女全審計常用Linux日志文件、Linux文件完整性、LSAT審 計單機攻防實驗Windows 口令破解暴力破解、字典破解Linux 口令陰影口令、陰影文件、Linux 口令加密算法緩沖區(qū)溢出CPU寄存器、堆棧、函數調用過程、緩沖區(qū)溢出方 式、Windo

33、ws緩沖區(qū)溢出、Linux下溢出實現權限提 升Windows卜義件恢復硬盤物理結構、Windows文件存儲結構、Windows文 件系統(tǒng)Linux卜文件恢復Ext2文件系統(tǒng)、Ext3文件系統(tǒng)網絡攻防實驗端口掃描TCP協(xié)議、UDP協(xié)議、ICMP協(xié)議、全連接掃描、半 連接掃描、UDPS口掃描、主機掃描P漏洞掃描弱口令、CGI通用網關接口、 NetBIOS明文嗅探明文嗅探、FTP會話過程、POP3會話過程、網絡協(xié) 議解析洪泛攻擊TCP SYN洪水、ICMP洪水、Windows系統(tǒng)監(jiān)視器的使用建設內容（包括建設思路；在條件與環(huán)境、運行管理、開放共享、安全環(huán)保、特色等方面 的規(guī)劃建設內容；必要性與可行性

34、分析；實施條件等）各個實驗室目前用的板凳和座椅存在著較多損壞的情況，加上學生數量的增 加，在分組進行實驗的情況下座椅存在嚴重不足， 需要維修原有座椅和購置一定 數量的座椅。計算機組成與結構實驗室需增加座椅 60把，微機系統(tǒng)實驗室需增 加30把，各實驗室總共需要維修的椅子 40把。四、經費預算（包括預算總額、支出內容、測算依據、年度安排等） 表2.預算匯總表在舁 廳P支出項目金額（萬元）1設備購置其中：已有條件完善（補充、更新、升級）195.1新增新建240.92環(huán)境建設（實驗家具、通風工程等）343維修維護總計：470.0表3.儀器設備購置計劃表（分年度排序，同年度按重要性排序）序 號名稱技木

35、指標推薦型號 規(guī)格推薦廠 家單價（萬元）數量總金額（萬元）年 度1ARM實驗箱ARM9處理器，主頻 200MHz 以上，64MB SDRAM ,8MBNORFlash ,EEPROM:2K , 2 個RS232 串口，1 個 485 通信接口，1個SD卡 接口，1 個 10M/100M 以太網卡接口，USB 接口 ：2 個 USB Host, 1 個 USB Device, 1 個VGA 接口GX-ARM9-2410RP北京革新 科技有限 公司0.65159.7520142臺式計算 機CPU I5,4G以上內存， 帶 NVIDIA GTX640以上獨立顯卡Inspiron 660-R398-J

36、N戴 爾(DELL)0.6301820153高清攝像 頭300萬像素C270羅技0.018300.5420154臺式計算 機CPU I5,4G以上內存海爾0.35802820155臺式計算 機CPU G2030,4G 以上 內存海爾0.3601820156無盤服務 器7密碼實驗 軟件系統(tǒng) 平臺密碼算法分析設計實 驗；密碼算法演示實 驗密碼實驗 軟件系統(tǒng) 平臺西晉120208終端密碼 機以USB接口為主機 通訊接口SJY86奕馳40.20.89PKI實驗 軟件系統(tǒng)平臺包含1.用戶證書申請實驗.用戶申請管理實 驗.證書管理實驗.交叉認證實驗信任管理實驗證書應用實驗SSL應用實驗等基本實驗項目PKI

37、實驗軟件系統(tǒng)平 臺西晉1101010漏洞掃描 器漏洞掃描與安全性檢 測NERCIS 脆 弱性掃描 系統(tǒng)NERCIS251011防火墻網絡吞吐量: 最Wj300Mbps;并發(fā)連接數130000 安全過濾帶寬：170Mbps；CISCOASA5510-K8思科41.5612IDS安全過濾帶寬：325Mbps ;網絡吞吐 量：650Mbps ;并發(fā)連接數：400000 ;網絡 端 口：4*10/100/1000,1*10/100,1*SSC/SSM控制端口 ：console,2個 RJ-45CISCOASA5540-K8思科47.53013流量發(fā)生 器2個測試槽位，以及 最多16個10/100Mbp

38、s以太網端口、 8 個千兆以太網端口、 4 個光纖通道端口、 4個OC-3c/OC-12cPOS端口、 2個 OC-48c POS端口、1 個10G萬兆端口或以 上各種端口smartbits600B思博倫1151514安全審計 系統(tǒng)業(yè)務運維行為審計； 上網行為審計；網絡 應用行為審計NSFOCUSSAS 1000A綠盟1101015殺毒軟件節(jié)省網絡管理事務； 掌控全網漏洞修復 ;快速部署反病毒體 叁有效組織網絡反 病毒工作金山毒霸 網絡企業(yè) 版金山11116殺毒軟件綜合性惡意代碼防 護；Web信譽技術(WRT)增強；POP3 郵件掃描；集中式管 理；增強的防間諜軟 件功能；安全策略強 制實施；

39、企業(yè)客戶端 防火墻趨勢科技 防毒墻-網 絡版趨勢12217網絡攻防 實戰(zhàn)系統(tǒng)一體化的信息安全基 礎知識考核、常見攻 防技術訓練以及真實 網絡環(huán)境滲透實戰(zhàn)等 全方位的培訓、測試 環(huán)境SZSMSZSM441618匯聚層路 由器多業(yè)務路由器AR4640H3C50.8419接入層路 由器模塊化接入路由器AR2811H3C50.52.520三層交換機24 口；包轉發(fā)率：65.5Mpps ; VLAN : VLAN 總數 1005VLAN ID 數 4K;可 堆疊CISCOWS-C3750X-24T-S思科521021服務器內存4G;網絡控制器 四端口千兆網；標配 硬盤容量：300GBIBM x3650M

40、4IBM42822終端CPU I5處理器,4G以 上內存；核心 /線程 數：四核心/四線程聯(lián)想啟天M4350聯(lián)想400.52023UPS電源整機效率：達到90% ; 過載能力：Load 1min125% v Loadw 150% 30sec ;為用戶負載 提供安全可靠的電源 保障山特城堡系列C6k山特10.50.5總計：表4.儀器設備購置理由說明表（應與表 3.排序一致）序 號名稱需求 總量現有 數量申購 數量申購理由說明類別（已有條件 完善、新增新建）1ARM實驗箱GX-ARM9-2410RP1515（舊 型 號）15選修課，人數30人左右，2人一組以ARM9處理器為 核心，包含SDRAM、

41、FLASH、 SMC卡、SD卡等通 用存儲器以及網 口、串口、 USB 接 口、CAN、IIC 等通 訊接口，輔助 LED 顯示、4.3寸真彩液 日日顯不、小鍵盤等其它外圍設備。2臺式計算機（帶獨立顯卡）30030用于新增加的動回設計和計算機視覺實驗，每人一組I5四核處理器、4G1內存，GTX640顯卡支持CUDA3高清攝像頭30030用于計算機視覺的實驗課，30人左右USB接口，狀取實時的視頻圖像數據，用于相關的視覺分析實驗4臺式計算機8080（舊 型 號）805臺式計算機6060（舊 型 號）606無盤服務器7密碼實驗軟件系統(tǒng)平臺101用于現代密碼學理論與實踐課教學，分一個班次，共同使用集

42、成了密碼編碼與 密碼分析所需開發(fā)環(huán)境，兼容windows系統(tǒng)，提高學生的 動手能力、加強學生對密碼學的理解與綜合設計能力8終端密碼機404用于現代密碼學理論與實踐課教學，人數90人，20-25人一組用于終端加密的密碼學實驗。9PKI實驗軟件系統(tǒng)平臺101用于PKI原理與技術實驗課教學，分 一個班次，共同使模PKI系統(tǒng)運行機制，支持Windows用xp/Windowsvista/Windows 7 等操作平臺10漏洞掃描器404用于入侵檢測與網絡安全掃描技術實 驗課，人數90人， 分兩個班次，每班通過網絡掃描發(fā)現漏洞并進行修補，有效阻止入侵事件的發(fā)生11防火墻404用于入侵檢測技術與安全掃描實驗室 建設，分兩個班次，每40-50人一組安全過濾帶寬：170Mbps、控制端 : console, 2 個RJ-45、入侵檢測：DoS,協(xié)助確保網絡傳輸數據安全12IDS202用于入侵檢測技術與安全掃描實驗室 建設，分兩個班次，每班一臺安全過濾帶寬：325Mbps、控制端 ： console,2 個RJ-45、入侵檢測： DoS,對網絡、系統(tǒng) 的運行狀