NONE SimpleSCR网络攻防实战系统 网络信息与安全

开发背景
当前国内信息安全实验教学相关的系统中涉及到网络攻防的内容在实验上的设计多为独立的、验证性的，以学生学会知识点和特定环境下的工具使用及攻防实现为目的，无法满足我国高校网络安全教学中突出综合性、真实性、实用性、开放性及实践性的需求。目前市面上尚没有一款专门针对网络攻防的专业实战系统，在学生已掌握网络攻防相关知识和技能的基础上，进行真实、全面、系统的综合型网络渗透测试实战，以便学生对相关知识掌握的更扎实，真正能够达到学以致用的目的。因此，西普科技的网络攻防实战系统SimpleSCR应运而生。
引入一个专业的、全面的网络攻防实战系统，以适应计算机网络技术发展、覆盖各个层次教学和实验要求，在网络攻击与防护、渗透测试等层次提供全面、真实的实战环境，不做任何步骤、工具及方式的限定，学生可以通过一系列由浅入深的考核与实战，自由发挥，将掌握的网络攻击和防护的相关知识和操作技能灵活的应用到实战任务当中去，解决真实的问题，提升学习兴趣的同时全面提升学生的实际综合渗透测试能力。
通过搭建真实的、覆盖网络攻防相关领域知识的实战系统，可对学生进行网络攻防综合应用方面全面的、系统的培训，同时能够根据网络安全技术的最新发展，增加相关的实战内容和实战环境，使学生能够始终追踪前沿网络攻防技术，不断开阔思路和眼界，提升实践教学水平和质量。以网络攻防实战系统为依托，学校可进行相应的网络攻防实战培训，择优参加全国及地区性的信息安全相关的技能大赛，保证大赛中代表队优异的成绩；或有效组织校内、地区甚至全国性的信息安全相关技术大赛。通过上述方式可有效提升学校及专业的影响力。

系统概述

系统简介
网络攻防实战系统（SimpleSCR），是西普科技与成都信息工程学院联合研制的网络攻防技能训练及渗透测试的实战平台。系统参考《信息安全专业指导性专业规范》定义的知识体系及实践能力要求，并分析社会招聘中渗透测试工程师、网络安全管理员、信息安全工程师等岗位的专业技能需求，提供一体化的信息安全基础知识考核、常见攻防技术训练以及真实网络环境渗透实战等全方位的培训、测试环境。
SimpleSCR是一套专业的、真实的、综合的网络攻防实战系统，定位于在学生掌握网络攻防相关知识点和技能点后进行的开放式、综合性的实训、实战及考核。网络攻防实战系统针对网络攻防相关知识在实际网络环境中的应用及特点，依托于一线教师们多年的教学科研经验及历届四川省信息安全技术大赛的宝贵经验，基于真实的网络环境及安全设备条件，提供了全面、系统、渐进式的网络攻防原理、技能及渗透测试等内容，可有效加强学生对网络攻防知识的综合运用能力，加强学生对网络攻击行为的了解，显著提高学生的网络综合防护及综合渗透测试能力。
本实战平台已连续七年应用于成都信息工程学院的校内网络攻防大赛，以及三届四川省网络安全技术大赛，并广泛应用于职业技能培训及信息安全意识教育中。

系统结构
SimpleSCR系统部署采用真实网络安全设备，搭建典型的企业网络环境，划分不同区域结构，并可结合审计服务器、IPS等构建多样化的实战网络环境。
实验系统主要分为服务区及客户区两部分。服务区主要是在服务区机柜中存放实验教学系统相关的硬件设备，包括管理控制设备、靶机服务设备、网络安全设备等，为实战系统提供完善的硬件支撑环境；客户区为实战用户操作区，访问管理控制设备获取实战题目并进行在线实战操作与答案提交，实战操作具体过程及方法无限制，学生可充分自由发挥。
系统逻辑结构图主要如下图所示。其中三台靶机分别位于上方防火墙的非军事管理区和内网区，运行不同的服务，防火墙对每个不同的靶机使用不同的规则，开放不同的端口；实战管理控制设备和实战数据设备位于右侧防火墙的非军事管理区，为答题平台、放题平台及系统数据存储提供硬件支撑，为技能实践提供实操环境，同时防火墙确保系统的安全性。

系统特点
作为一套完整的、专业的网络攻防实战系统，SimpleSCR具有以下特点和优势：
综合化的技能培训
系统注重理论与实践的完美结合，针对实际渗透测试的技能要求提供信息安全基础知识训练库，进一步利用分解式攻防技术训练库锻炼学生的单项攻防技能，最后利用真实的网络环境，培养学生的综合技能运用能力。
真实性的渗透环境
通过防火墙规则配置及不同网络区域靶机的设置搭建一个典型的企业网环境，并可利用学校其他网络安全设备进行环境的扩充，真实性的网络环境可贴近实战满足学生渗透能力的培养。
可扩展的系统设计
为适应网络安全技术及渗透测试手段的不断发展，系统可不断添加新的实战内容，并针对不同的应用需求搭建灵活多变的渗透测试环境。
开放式的平台共建
系统提供题库管理、实战内容管理等多种扩展接口，方便学校定制添加已有实验，同时支持校企合作进行实战平台的二次开发。
多用途的应用领域
软硬件一体的产品设计，不仅可满足学校针对网络安全相关专业课程的课程设计、综合实训、实验教学及考核，还能直接应用于各种网络安全技能大赛，从而提升产品使用价值。

系统组成

SimpleSCR由硬件系统和软件系统等部分组成，实施部署简便，网络环境真实多样，对不同网络区域都提供了相应的靶机供实战应用，对技能实践提供必要的环境支持，同时提供考核系统及管理系统供使用，并对管理控制设备上的实战题目提供必要的保护。
硬件组成
SimpleSCR网络攻防实战系统的硬件平台主要包括实战管理控制设备、实战铜牌靶机、实战银牌靶机、实战金牌靶机、实战访问控制设备及网络接入器，组建一个典型的企业网络环境。同时，可结合入侵防御系统、安全审计系统等网络安全设备构建更为复杂的网络环境，实现攻防实战环境的多样化扩展。
实战管理控制设备
利用高可靠性硬件设备为实战系统提供软硬件环境支撑平台，为网络攻防实战的顺利进行提供后台服务支持。提供在线服务及实战数据的统一存储管理，提供在线答题、后台管理等系统功能。
实战数据设备
利用高性能的数据存储硬件系统，内置定制的数据管理系统为整个实战系统的数据存储和安全等提供保障。作为实战系统的数据中心，负责对用户信息和题库信息的统一存储和控制，主要包含题目信息、答题统计信息、用户基本信息、试卷管理信息等。
实战铜牌靶机
模拟防火墙的DMZ系统，内置电子商务系统等攻防过关文件和设备权限。提供可定制的虚拟攻击目标，提供相应的攻防所需要的权限和漏洞用来进行扫描和渗透，模拟真实网络环境，以交互方式体现网络攻击和防御实战过程。
实战银牌靶机
模拟防火墙的DMZ区系统，内置WEB系统过关文件和设备权限。提供可定制的虚拟攻击目标，提供相应的攻防所需要的漏洞用来进行扫描和渗透，模拟真实网络环境，以交互方式体现网络攻击和防御实战过程。
实战金牌靶机
模拟防火墙的内网区系统，内置Linux系统过关文件和设备权限。提供可定制的虚拟攻击目标，提供相应的攻防所需要的权限和漏洞用来进行扫描和渗透，模拟真实网络环境，以交互方式体现网络攻击和防御实战过程。
实战访问控制设备
实现对网络攻防实战环境的网络拓扑划分，并通过制定访问控制策略实现对管理控制设备及金、银、铜靶机的区域划分与保护。

软件组成
SimpleSCR的软件系统由实战基础考核平台、实战技能训练平台、实战渗透测试平台、实战资源平台和实战管理系统等组成，构建网络攻防技能训练及渗透测试的统一管理平台，为实战系统和实战考核及训练的进行提供必要的软件支撑。
实战基础考核平台
实战基础考核平台提供了大量、高质量的攻防基础知识题，其考察点涵盖了广泛的知识面，理论题涉及了信息安全原理的大部分领域；要求学生在懂得利用工具进行各类攻击和防御的同时明白原理的重要性，以打下坚实的原理基础。同时配套答题系统可以对在线考核人员的答题情况进行实时评分，配套题库管理模块可对题库进行相应的增、删、改等管理操作。
实战技能训练平台
网络攻防实战技能训练题涉及了当前常见的一些攻防技术，包括密码破解、逆向工程、SQL注入、Cookie注入、欺骗技术、缓冲区溢出等，注重学生的实战能力，训练学生能利用相关的工具或者手动进行攻击。配套答题系统可以对在线考核人员的答题情况进行实时评分，配套题库管理模块可对题库进行相应的增、删、改等管理操作。
实战渗透测试平台
实战渗透测试平台利用系统配套硬件设备及软件系统搭建了一个实际的网络环境，让学生在真实的网络环境中掌握攻防技术，比如注入、社会工程学等。
渗透测试按照难易程度设置不同的渗透目标，学生可基于前一步渗透的结果得到下一步的渗透目标相关信息；提供渗透结果在线提交接口，以统计验证学生渗透测试成绩；教师可根据渗透测试目的，自行设计渗透题目，并进行部署；渗透测试攻击后，系统可快速进行还原。
实战资源平台
为网络攻防实战提供基础资源支持，以便进行攻防实战操作。主要包括常用嗅探及扫描工具、常用系统密码破解工具、常用软件密码破解工具、常用反汇编工具、常用木马及后门种植工具、常用渗透工具、参考安全评估报告模板等。同时，教师可在管理端进行资源统一管理。
实战管理系统
实战管理系统基于B/S框架设计，为网络攻防实战提供服务支持，包含系统访问控制、公告管理、题目管理、团队管理、统计比赛、留言反馈等功能模块。
实训学生团队可利用本系统进行积分排名、团队资料、在线答题、在线反馈、团队注册等操作，实现在线式网络攻防实战。

管理员可进行公告管理、题目管理、团队管理、统计比赛、留言反馈等操作。

参考资料

系统配套提供用户手册及各个部分的参考答案供教师参考，以便教师给与学生必要的指导，树立学生的信心，提升实战过关兴趣。

功能模块

目前，SimpleSCR系统的实战模块主要包含基础考核、技能训练和渗透测试等三大模块，总计包含80个左右的实战题目，全面覆盖网络攻防相关知识和实践技术，为网络攻防相关课程提供充分的课程设计与综合实训支撑。
基础考核模块
主要功能特点：
包括嗅探、扫描、密码算法、防火墙、逆向工程、缓冲区溢出、拒绝服务攻击、恶意代码、SQL注入、网络欺骗、日志清除、操作系统漏洞、操作系统安全策略配置、网络设备攻击与安全配置、常用DOS命令等相关知识点。
配套答题系统可以对在线考核人员的答题情况进行实时评分，实战人员在答题完成后一次性提交答案或者逐题提交答案，一旦提交答案，在线考核人员就不得进行修改，同时在线考核人员可以查看自己的得分。
基础考核模块题目涉及的知识点全面系统，可有效巩固和加深学生对网络攻防基础理论知识的理解；同时题目可扩展定制，满足不同阶段的实战需要。
技能训练模块
主要功能特点：
包含基本编码、基本编程、MySQL数据库安全、SQL注入利用、信息隐藏、XSS与编码、MS SQL数据库安全、密码破解、缓冲区溢出之shellcode提取、缓冲区溢出之ActiveX漏洞的fuzzing和利用、逆向工程等内容。
为所有技能训练提供所需的真实环境，配套答题系统可以对在线考核人员的答题情况进行实时评分。
技能训练模块题目涉及知识点众多，且综合性较强，学生通过该类题目的实战可对所学到的网络攻防知识和技能的实际应用有深入直观的理解，有效培养学生利用所学知识分析问题、解决问题的能力；同时题目可扩展定制。
渗透测试模块
主要功能特点：
提供位于不同网络区域的实战靶机，由简入难；渗透测试按照难易程度设置不同的渗透目标，学生可基于前一步渗透的结果得到下一步的渗透目标相关信息。
提供渗透结果在线提交接口，可有效统计验证学生渗透测试成绩；提供渗透测试目标快速还原功能，方便部署与使用。
渗透目标代表性强，涉及到的网络攻防内容广泛，且案例及环境真实，综合性与开放性极强；同时教师可根据渗透测试目的，自行设计渗透题目，并进行部署。

实战内容

网络安全相关课程具有实践性、工程性的特点，脱离了实际网络环境及案例的支撑，真实的攻击与防护手段也只能变成一个个独立的工具及方法的简单学习，无法真正做到联系实际、激发学生兴趣、锻炼学生的综合实践能力，学生学习完成后大多数还处于与实际环境中的应用脱节的状态。SimpleSCR系统是专业、全面的网络攻防实战系统，在学生已掌握网络安全相关实验课程的基础上，提供真实的网络渗透测试环境和题目供实战，可有效加强学生对网络攻击行为的了解，全面锻炼学生的网络防护和综合渗透能力，有效增强学生的安全意识。
目前，SimpleSCR系统包含近80个实战题目。