高校应用安全攻防实验室组建方案

WEB应用和数据库安全人才紧缺

WEB应用系统和数据库作为国家信息化建设的核心系统，承载着国家、政府、行业大量重要数据资产，面临着信息泄露、信息篡改、远程木马等安全威胁。国家相关部门制定大量的法律法规督促要求各行各业信息系统进行相应安全建设和管理，应用安全行业抓住前所未有的机遇，快速发展，旨在提供专业的应用安全产品和服务。然而由于我国应用安全起步晚，应用安全人才匮乏，安全企业人才的引进面临着巨大阻碍，而与此矛盾的是，高校毕业生就业形势严峻、社会人才信息安全专业知识匮乏。如何同时解决安全行业人才引进、毕业生就业以及社会人才信息安全培训的难题，摆在企业和高校的面前。

信息安全检查及测评工作全面开展

互联网信息安全作为当前信息化建设的重要组成部分，受到国家国务院的极大重视，信息安全的保障工作要坚持积极防御、综合方法的方针重点保障基础网络和重要系统的安全，并完善信息安全监控体系，建立信息安全的有效机制和应急处理机制。自2005年起，等保测评和风险评估在全国迅速开展起来。高校应用安全攻防实验室作为具有较强信息安全技术实力的单位，在遵循国家等保测评和风险评估要求下，在一定范围内对企事业单位进行等保测评和风险评估工作。

高校应用安全攻防实验室组建需求

国家高校作为国家信息化安全建设人才培育的摇篮，在目前的严峻国际信息安全形势下，需紧密跟随国家所出台的信息安全建设法律法规，在提高自身WEB应用以及数据库安全研究水平和教育方法的同时，需为高校学员提供良好的实验、实践环境，从而进一步提高学员WEB应用及数据库安全知识储备和实际操作能力，以增强学员在国家信息化安全建设相关岗位的竞争力。

高校攻防实验室组建预期实现目标

遵循国家信息化安全建设的相关政策，尽快完善高校攻防实验室的组建，为广大师生提供一流的WEB应用和数据库安全研究和实践环境，解决以往由于硬件设施不足而导致的高校学员操作能力匮乏的局面，提高高校师资力量和学员专业能力，增强学员就业竞争力，为学校赢得良好的社会效益。

应用案例

安恒信息所提出的高校应用安全攻防实验室组建方案在浙江警官职业技术学院及浙江工商职业技术学院均得到成功应用。

高校攻防实验室组建部署网络示意图如下：

​​

​​

WEB应用安全攻防实验室的组建主要分为三大子系统，分别为模拟攻击子系统、安全防护子系统以及攻击目标子系统。

模拟攻击子系统：攻击环境为学员上机操作环境。所涉及的设备包括：明鉴WEB应用弱点扫描器、明鉴数据库弱点扫描器、实验用PC机以及交换机。

攻击目标子系统：目标环境是指学员在攻击环境中进行安全攻击的目标WEB应用系统。所涉及的设备包括：对外服务网站、网络防火墙、交换机、WEB应用服务器以及数据库服务器。

安全防护子系统：防护环境是指在目标环境中部署相应的应用层防护设备。所涉及的设备包括：明御WEB应用防火墙以及明御数据库审计及风险控制系统。

配置清单：假设30名学员需参加该安全攻防实验课程，建议平均分为6个实验小组，具体配置清单如下：

​​

​​

培训课程：高校攻防实验室组建期间，我方安排资深安全研究工程师，通过PPT演示、虚拟环境现场模拟演示、现场上机指导相结合的方式，为高校讲师进行高级安全培训，培训内容包括：

​​

​​

安恒优势

权威的安全资质：安恒信息具有多项国家权威机构颁发的安全服务资质，包括信息安全服务资质、省级网络安全应急服务支撑单位资质以及国家ISO9001-2008认证资质。

丰富的安全经验：安恒信息具备丰富的安全经验， 2008年北京奥运会期间，获得“奥运信息安全保障杰出贡献奖”；2009年建国60周年网站安全大检查中，作为唯一技术合作伙伴发挥重大作用，荣获浙江省网络与信息安全通报中心技术支持合作先进单位称号；2010年，作为上海世博会安全产品和服务提供商，全力保障上海世博会期间政府信息系统安全。

知名的安全团队：安恒信息在拥有一支强大技术实力和攻防经验的专家和研发团队。公司的主要创始人均为国际知名的信息安全专家，同时公司拥有安全注册工程师、高级网络认证工程师、高级项目经理、专业安全研究工程师多人，可提供专业、全面的信息安全培训。

可信的安全产品：安恒信息提供明御（WEB应用防火墙和数据审计及风险控制系统）、明鉴（WEB应用弱点扫描器及数据库弱点扫描器）两大系列的安全产品。均具有国际/国内安全技术专利，通过公安部信息安全产品检测中心、质量监督检验中心的检验；同时明鉴系列为公安部、浙江省信息安全协会指定信息安全测评工具。