.信息安全實(shí)驗(yàn)室整體規(guī)劃 9 3.2.滲透測試(模擬各類攻擊) 1..2 2 2 3 3 4 5 第2頁共41頁5.信息安全實(shí)驗(yàn)室培訓(xùn)設(shè)計 17 工具部署 22間計劃表 22 附件二：攻防演示平臺典型應(yīng)用場景 37 附件三：案例展示 錯誤!未定義書簽。第3頁共41頁訓(xùn)提出了更高的實(shí)驗(yàn)環(huán)境要求。1.1.信息安全研究領(lǐng)域機(jī)安全以及應(yīng)用安全等三個方面：全界提供任何服務(wù)(斷開)，外界是不可能構(gòu)成安全威脅的。但是，信息系統(tǒng)接入第4頁共41頁全方位的安全體系，與其它安全體系(如保安系統(tǒng))類似，企業(yè)應(yīng)用系統(tǒng)的服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。某些目標(biāo)的犯罪活動，比如最近黑客試圖從住友銀行的英國分行盜竊約2億英眾多黑客工具在網(wǎng)上能夠免費(fèi)獲得，加上USB存儲設(shè)備隨手可得，只要閑置的第5頁共41頁USB端口能夠?qū)嶋H訪問公共場所(比如接待處)，就有可能利用網(wǎng)絡(luò)上的任何PCt1.2.建設(shè)項(xiàng)目的必要性將特定領(lǐng)域的信息安全威脅和信息安全脆弱性進(jìn)行集中管理；將特定領(lǐng)域的信息安全威脅與脆弱性的可視化展示或再現(xiàn)；按需要搭建特定要求的攻防演練環(huán)境，對特定要求的信息安全攻防演練第6頁共41頁提供特定需要的信息安全攻防技術(shù)培訓(xùn)與實(shí)驗(yàn)；人員展示信息安全攻擊實(shí)驗(yàn)，提高對信息安全的認(rèn)識；提供特定安全威脅、脆弱性以及安全機(jī)制的研究與學(xué)習(xí)實(shí)驗(yàn)平臺。1.3.項(xiàng)目建設(shè)預(yù)期目標(biāo)提供一個安全攻防實(shí)驗(yàn)的實(shí)驗(yàn)仿真平臺，可以將實(shí)施設(shè)備自由組合成信息安全攻防實(shí)驗(yàn)仿真環(huán)境，讓攻防雙方展開競賽，并可以讓第三方進(jìn)行提供一個安全威脅與漏洞的仿真展現(xiàn)平臺，可以方便地將漏洞與威脅進(jìn)，在這個仿真平臺上，可以按照課程或?qū)?.4.項(xiàng)目設(shè)計遵循原則XX 支持原則(2)產(chǎn)品成熟性原則第7頁共41頁(3)可擴(kuò)展性原則(4)可控性原則(5)便捷性原則第8頁共41頁2.1.實(shí)驗(yàn)室方案設(shè)計：互聯(lián)互聯(lián)網(wǎng)藍(lán)盾實(shí)驗(yàn)環(huán)境包網(wǎng)絡(luò)防火墻應(yīng)用仿真平臺各類操作系統(tǒng)主機(jī)服務(wù)器外網(wǎng)映射服務(wù)器交換機(jī)各類郵箱服務(wù)器自動化滲透測試平臺工具主機(jī)實(shí)驗(yàn)平臺WEB應(yīng)用弱點(diǎn)掃描器半自動化滲透測試數(shù)據(jù)庫服務(wù)器WEB服務(wù)器交換機(jī)方案示意圖2.2.實(shí)驗(yàn)室方案介紹信息安全實(shí)驗(yàn)室演示系統(tǒng)：主要是作講師的課件講解、上級領(lǐng)導(dǎo)信息安全實(shí)驗(yàn)室演示系統(tǒng)：主要是作講師的課件講解、上級領(lǐng)導(dǎo)或者外部人員進(jìn)行參觀展示功能。第9頁共41頁滲透測試(滲透測試(模擬各類攻擊)：實(shí)驗(yàn)室仿真漏洞系統(tǒng)提供一個信息系統(tǒng)的滲透測試接口，滲透測試人員可以利用信息安全攻防實(shí)驗(yàn)室的仿2.3.方案所需設(shè)備體設(shè)備如下：類型類型設(shè)備名稱硬件交換機(jī)(24口)(由局方提供)硬件服務(wù)器(由局方提供)軟件實(shí)驗(yàn)環(huán)境仿真漏洞平臺(由藍(lán)盾公司提供)軟件半自動化滲透測試工具(由藍(lán)盾公司提供)軟件主機(jī)實(shí)驗(yàn)平臺(由藍(lán)盾公司提攻防實(shí)驗(yàn)室組建的基礎(chǔ)滲透測試專用評估工具智能化滲透攻擊平臺2臺2.4.方案預(yù)留說明考慮到XXXX工作以后發(fā)展的實(shí)際需求，在整個方案設(shè)計工程中我們就預(yù)第10頁共41頁信息安全對抗演習(xí)和信息系統(tǒng)安全驗(yàn)證功能。通過本方案，一方面可以滿足：3.1.信息安全實(shí)驗(yàn)室演示系統(tǒng)3.1.1.系統(tǒng)結(jié)構(gòu)3.1.2.系統(tǒng)組成。軟件系統(tǒng)主要包含：藍(lán)盾實(shí)驗(yàn)環(huán)境仿真漏洞平臺，藍(lán)盾WEB應(yīng)用弱點(diǎn)。境以及預(yù)設(shè)的系統(tǒng)漏洞及應(yīng)用安全漏洞庫，以滿足攻防實(shí)驗(yàn)的需要。操作系統(tǒng)類型、開放的服務(wù)、應(yīng)用系統(tǒng)的特征。令硬件系統(tǒng)主要包括設(shè)備：交換設(shè)備，藍(lán)盾實(shí)驗(yàn)環(huán)境仿真漏洞平臺設(shè)備，第11頁共41頁3.2.滲透測試(模擬各類攻擊)試，本信息安全攻防實(shí)驗(yàn)室仿真漏洞系統(tǒng)提供一個信息系統(tǒng)的滲透測試接3.2.1.系統(tǒng)結(jié)構(gòu)息安全實(shí)驗(yàn)室具備各種信息安全威脅及信息安全漏洞的數(shù)據(jù)庫及驗(yàn)證實(shí)驗(yàn)仿真環(huán)境，其掃描及滲透測試工具比較齊全，有利于滲透測試工作的實(shí)施。3.2.2.系統(tǒng)組成滲透測試功能部分主要由：硬件系統(tǒng)，軟件系統(tǒng)組成。件系統(tǒng)主要包含：藍(lán)盾WEB應(yīng)用弱點(diǎn)掃描器，半自動化滲透測試工操作系統(tǒng)類型、開放的服務(wù)、應(yīng)用系統(tǒng)的特征。令硬件系統(tǒng)主要包括設(shè)備：交換設(shè)備，主機(jī)實(shí)驗(yàn)平臺設(shè)備等第12頁共41頁3.3.信息安全對抗演習(xí)。信息安全攻防對抗演習(xí)可以達(dá)到評估安全防御和安全攻擊能力的有效方法，。3.3.1.系統(tǒng)結(jié)構(gòu)。3.3.2.系統(tǒng)組成。境以及預(yù)設(shè)的系統(tǒng)漏洞及應(yīng)用安全漏洞庫，以滿足攻防實(shí)驗(yàn)的需要。第13頁共41頁令硬件主要包括設(shè)備：交換設(shè)備，藍(lán)盾實(shí)驗(yàn)環(huán)境仿真漏洞平臺設(shè)備，主機(jī)3.4.內(nèi)外網(wǎng)互聯(lián)功能3.4.1.功能實(shí)現(xiàn)射服務(wù)器可以直接訪問到目標(biāo)網(wǎng)站，根據(jù)滲透測試的結(jié)果進(jìn)行相應(yīng)的操作。第14頁共41頁3.4.2.系統(tǒng)組成。令軟件系統(tǒng)主要包含：需要放到目標(biāo)服務(wù)器上運(yùn)行的特殊工具。這些工具3.5.信息系統(tǒng)安全驗(yàn)證，確保系統(tǒng)正式上線運(yùn)行時滿足相關(guān)安全要求。具體實(shí)現(xiàn)：業(yè)務(wù)部門的相關(guān)法律法規(guī)、行業(yè)規(guī)范以及部門安全策略和安全基線等要確保新上線系統(tǒng)或升級改造之后的系統(tǒng)在上線后的安全運(yùn)行有保證，包DDOS壞對新上線系統(tǒng)或升級改造之后的系統(tǒng)在上線前將發(fā)現(xiàn)的重大安全漏洞進(jìn)第15頁共41頁數(shù)量數(shù)量功能概述1通過搭建各種技術(shù)構(gòu)架的操作系統(tǒng)及軟件環(huán)境，并在操作系統(tǒng)及軟件環(huán)境上搭建各種類型的應(yīng)用系統(tǒng)，包括ASP+IIS+SQLSERVERASP.NET+IIS+SQLSERVER統(tǒng)；構(gòu)造各種真實(shí)的WEB應(yīng)用系統(tǒng)環(huán)境以及預(yù)設(shè)的系統(tǒng)漏洞及應(yīng)用安全漏洞庫，以滿足攻防實(shí)驗(yàn)的需要。3采用攻擊技術(shù)的原理和滲透性測試的方法，對WEB應(yīng)用進(jìn)行深度漏洞探測，可幫助應(yīng)用開發(fā)者和管理者了解應(yīng)用系統(tǒng)存在的脆弱性，為改善并提高應(yīng)用系統(tǒng)安全性提供依據(jù)，建立安全可靠的WEB應(yīng)用服務(wù)3半自動化滲透測試工具作為一款專業(yè)級的WEB應(yīng)用安的配置、強(qiáng)大的滲透等功能，在針對一些常規(guī)同類軟件無法取證的漏洞點(diǎn)，可以輕易的獲取數(shù)據(jù)。1對目標(biāo)服務(wù)器進(jìn)行自動化滲透測試。通過輸入基礎(chǔ)的目標(biāo)信息，平臺將自動識別目標(biāo)的操作系統(tǒng)類型、開放的服務(wù)、應(yīng)用系統(tǒng)的特征。通過搜集各種信息，自動化確定目標(biāo)的安全問題，并通過各種安全漏洞對目標(biāo)發(fā)起滲設(shè)備名稱藍(lán)盾實(shí)驗(yàn)環(huán)境仿真漏洞平臺藍(lán)盾WEB應(yīng)用弱點(diǎn)掃描器滲透測試工具主機(jī)實(shí)驗(yàn)平臺編號1234類型第16頁共41頁5.1.培訓(xùn)目標(biāo)廠商提供的一系列專業(yè)化培訓(xùn)，使XXXX特偵工作人員能夠正確、熟練、有效在本項(xiàng)目的培訓(xùn)中，我們將改變目前國內(nèi)普遍存在的“講完就算，講完就走”實(shí)提高受訓(xùn)人5.2.培訓(xùn)教師厚的安全背景，為XXXX相關(guān)技術(shù)人員提供全面、深度的安全培訓(xùn)。為推動信第17頁共41頁5.3.培訓(xùn)方式本項(xiàng)目的培訓(xùn)方式主要包括集中培訓(xùn)、現(xiàn)場培訓(xùn)等。理人員特點(diǎn)，以兩種形式展開：(1)理論知識培訓(xùn)(2)上機(jī)操作培訓(xùn)我們將安排資深安全研究工程師針對XXXX技術(shù)人員進(jìn)行現(xiàn)場教學(xué)和即時第18頁共41頁5.4.培訓(xùn)課程編號12345678課程名稱WEB應(yīng)用安全概述WEB應(yīng)用安全威脅WEB應(yīng)用安全漏洞HTTP嗅探抓包及防護(hù)WEB應(yīng)用安全防護(hù)全訓(xùn)課程內(nèi)容信息安全從傳統(tǒng)網(wǎng)絡(luò)層、系統(tǒng)層到應(yīng)用層的轉(zhuǎn)變WEB應(yīng)用安全事件介紹簡介當(dāng)前WEB應(yīng)用系統(tǒng)所面臨的主要威脅，包括露、網(wǎng)頁掛馬等；介紹近年來國家權(quán)威機(jī)構(gòu)安全研究報告以及我公OWASPWEB應(yīng)用安全開源項(xiàng)目簡介OWASPTop10簡介SQL注入詳解跨站腳本詳解CSRF跨站偽造請求詳解下載漏洞詳述OWASPTop10其他漏洞介紹嗅探抓包在滲透測試中的利用件安全及防護(hù)通過安全編程、安全配置、安全管理、安全產(chǎn)品、風(fēng)險評估以及應(yīng)急響應(yīng)六大方面保障WEB應(yīng)用系統(tǒng)的安全從賬號使用習(xí)慣，PC使用習(xí)慣，信息發(fā)布習(xí)慣等方面確保信息安全人員的管理信息安全藍(lán)盾WEB應(yīng)用弱點(diǎn)掃描器、半自動化滲透測試工具和主機(jī)實(shí)驗(yàn)平臺的操作培訓(xùn)課時安排(400.5課時0.5課時0.5課時0.5課時2.0課時2.0課時3.0課時第19頁共41頁5.5.實(shí)驗(yàn)課程集WEB測試騙攻擊測試培訓(xùn)探測攻擊解攻擊包含攻擊構(gòu)課時(小時)121112第20頁共41頁5.6.培訓(xùn)教材名稱1攻防技術(shù)培訓(xùn)2攻防實(shí)驗(yàn)課程培訓(xùn)主流系統(tǒng)及應(yīng)用攻防技術(shù)詳述5.7.意見反饋。第21頁共41頁6.1.工具部署工具的部署主要是藍(lán)盾實(shí)驗(yàn)環(huán)境仿真漏洞平臺，藍(lán)盾WEB應(yīng)用弱點(diǎn)掃描令藍(lán)盾實(shí)驗(yàn)環(huán)境仿真漏洞平臺部署6.2.時間計劃表模擬實(shí)訓(xùn)室項(xiàng)目實(shí)施時間計劃表，僅提供項(xiàng)目實(shí)施過程中時間計劃安排，在實(shí)際項(xiàng)目實(shí)施過程中，可以應(yīng)根據(jù)實(shí)際情況，具體安排項(xiàng)目實(shí)施。段段段實(shí)施時間(單位：天)663工具部署及調(diào)試第22頁共41頁(一)藍(lán)盾實(shí)驗(yàn)環(huán)境仿真漏洞平臺WEB應(yīng)用系統(tǒng)環(huán)境以及預(yù)設(shè)的系統(tǒng)漏洞及應(yīng)用安全漏洞庫，以滿足攻防實(shí)驗(yàn)的搭建各種技術(shù)構(gòu)架的軟件環(huán)境，并在軟件環(huán)境上搭建各種類型的應(yīng)ASP+IIS+SQLSERVERASP.NET+IIS+SQLSERVER郵箱系統(tǒng)應(yīng)用系統(tǒng)具有一定復(fù)雜性和代表性，能夠覆蓋web2.0相關(guān)技術(shù)，并設(shè)計相和數(shù)據(jù)庫(SQLSERVER/MYSQL/ORACLE)的安全checklist和加固方案。4、整理主機(jī)操作系統(tǒng)(WINDOWS、Linux、UNIX)的加固方案。(二)WEB應(yīng)用弱點(diǎn)掃描APT供詳細(xì)專業(yè)的漏洞掃描報表。web服務(wù)器綜合漏洞檢測服務(wù)覆蓋了CVE、第23頁共41頁第24頁共41頁?支持簡單模式(單個域名)批量模式(多個域名)，快速掃描，深度第25頁共41頁業(yè)的漏洞分析能力?Web2.0爬蟲——國內(nèi)獨(dú)家采用高效的webkit爬蟲引擎技術(shù)，不放過任何?集成第三方應(yīng)用檢測插件——首款單獨(dú)針對國內(nèi)外常見應(yīng)用開發(fā)框架、CMS、郵件系統(tǒng)、論壇、博客、編輯器的專業(yè)檢測模型。第26頁共41頁藍(lán)盾WEB應(yīng)用弱點(diǎn)掃描器部署簡易，擴(kuò)展強(qiáng)大，掃描服務(wù)器采用無線的第27頁共41頁第28頁共41頁第29頁共41頁第30頁共41頁第31頁共41頁(三)半自動化滲透測試半自動化滲透測試工具是藍(lán)盾公司在深入分析研究B/S典型應(yīng)用架構(gòu)中常見安全漏洞以及流行的攻擊技術(shù)基礎(chǔ)上，通過總結(jié)歸納大量SQL注入特征后的，研制開發(fā)的一款針對WEB應(yīng)用的滲透測試專用評估工具。它采用漏洞產(chǎn)生的原理和滲透測試的方法，對WEB應(yīng)用進(jìn)行滲透性測試，可幫助應(yīng)用開發(fā)者和管理B有精確/高效的取證功能、極為靈活的配置、強(qiáng)大的滲透等功能，在針對一些常規(guī)同類軟件無法取證的漏洞點(diǎn)，可以輕易的獲取數(shù)據(jù)。半自動化滲透測試工旨在降低WEB應(yīng)用的風(fēng)險，使國家利益、社會利益、第32頁共41頁?產(chǎn)品功能描述支持常見的數(shù)據(jù)庫，包括mssql,oracle,mysql,db2,access等數(shù)url，cookie第33頁共41頁支持?jǐn)U展功能，各種滲透功能，包括執(zhí)行系統(tǒng)命令、讀取文件、寫面、增加數(shù)據(jù)庫賬戶等第34頁共41頁半自動取證：通過所發(fā)現(xiàn)的應(yīng)用漏洞，被結(jié)合手工配置，模擬黑客、獲取目錄威脅支持取證數(shù)據(jù)的導(dǎo)出支持取證數(shù)據(jù)表結(jié)構(gòu)的導(dǎo)入導(dǎo)出支持對取證數(shù)據(jù)的單行復(fù)制?滲透測試流程品安全優(yōu)勢第35頁共41頁?快速獲取數(shù)據(jù)?注入防護(hù)繞過護(hù)據(jù)?配置及數(shù)據(jù)保存命令、讀取文件、寫入文件、修改注冊表、開放/關(guān)