安全攻防实验室方案

四叶草安全攻防实验室标题目录CONTENTS01、公司简介Companyprofile02、需求分析Requirementanalysis03、实验室介绍Laboratoryintroductions04、典型案例Typicalcases05、联系我们Contactus标题01公司简介标题企业介绍致力于帮助客户解决安全隐患西安四叶草信息技术有限公司简称“四叶草安全”创建于2012年，立足西安服务全国专注于为客户提供网络信息化安全服务致力于帮助用户先于黑客发现并及时解决安全问题国内外安全检测(监测)以及漏洞分析领域的领头羊企业公司50%以上人员具有10年以上的网络安全信息从业经验研究领域（Web安全、二进制逆向分析、漏洞研究、移动终端安全、工控安全、IoT安全、AI安全）成立至今，完成3100+个安全服务项目标题创始人西安四叶草信息技术有限公司创始人兼CEO马坤顶级信息安全专家中国第一代“黑客”FST（火狐技术联盟）发起人之一HUC（中国红客联盟）核心成员陕西省互联网协会副秘书长陕西省网络信息安全协会副理事长CSA全球云安全联盟大中华区协调顾问对物联网安全、云安全、大数据安全、AI安全等领域有极其深入的研究，并带领旗下CloverSec实验室成员率先发现了苹果公司的AirPlay协议认证漏洞；挖掘过多个微软、谷歌、Adobe、Java等知名企业的CVE级别漏洞，并获得过多次官方致谢。标题技术团队架构产品研发团队分布式漏洞扫描框架BugScan漏洞插件社区感洞系列产品Hackhttp、DNSlog(已开源)等安全工具安全研究院团队协议级漏洞分析研究底层内核驱动漏洞挖掘IoT智能硬件漏洞挖掘工控安全研究Web&渗透实战型靶场实现与研究安全服务团队独立完成过2100多个安全服务项目，累计数十万个目标。产品应用于安全服务安全服务中遇到问题反馈到产品，积累的经验整合到产品中安全研究院发现的安全问题，扩充到产品中安服中遇到的问题又可以反馈给研究院，研究院攻关解决相辅相成产品研发、安全服务、CloverSec研究院三大块，相辅相成互相扶助标题公司荣誉连续两届荣获CNCERT支撑单位（省级）连续两届荣获CNVD成员单位连续两届荣获SNCERT网络安全信息通报成员单位国家信息安全漏洞库（CNNVD）技术支撑单位第二届丝绸之路（敦煌）国际文化博览会技术支撑单位宁夏十九大网络安全优秀技术支持单位技术支撑单位2016贵阳大数据与网络安全攻防演练“安全价值奖”蚂蚁金服企业安全联合实验室成员连续四年阿里安全应急响应中心生态合作伙伴京东安全应急响应中心安全联盟成员百度安全应急响应中心战略合作伙伴联想安全应急响应中心（LSRC）年度优秀安全团队CNVD2016、2017年原创漏洞报送突出贡献单位WISE2016年度最具影响力信息安全服务商奖项第六届陕西省互联网大会战略合作伙伴……标题资质&软著企业资质知识产权高新技术企业证书AAA企业信用等级证书软件企业证书通信网络安全服务能力（风险评估一级）信息安全服务资质（安全工程类一级）信息安全服务资质（风险评估类一级）质量管理体系认证证书计算机安全专用产品销售许可证技术贸易资格证应急处理服务资质………BugScan分布式漏洞扫描软件全时漏洞感知平台主机弱点扫描平台感洞风险感知平台信息安全线上夺旗系统信息安全线下比赛系统V1.0网络攻防平台（CLS-ADP）安全采集数据分析软件一种远程漏洞的检测方法………标题02需求分析标题网络安全形势Facebook用户数据泄漏上海医保信息系统瘫痪近4小时！新加坡卫生部医疗系统遭数据窃取“黑客”入侵快递公司盗近亿客户信息英特尔芯片漏洞标题美网络空间作战战略标题-2013年11月12日，中央国家安全委员会正式成立-2014年02月27日，中央网络安全和信息化领导小组成立-提升到国家战略高度重视网络空间安全保障工作-要有高素质的网络安全和信息化人才队伍-2015年12月，上海交大等5所高校获批成为首批国家级网络空间安全人才培养基地-2016年2月，上海交大等29所高校获批成为首批网络空间安全一级科学博士学位授权点单位-2016年6月，中网办、发改委、教育部等六部门近日联合印发《关于加强网络安全学科建设和人才培养的意见》，要求加快网络安全学科专业和院系建设，创新网络安全人才培养机制，强化网络安全师资队伍建设，推动高等院校与行业企业合作育人、协同创新，完善网络安全人才培养配套措施。没有网络安全，就没有国家安全没有信息化，就没有现代化网络安全成为国家战略标题网络安全人才需求规模2017年网络安全人才的缺口已经达到70万以上，缺口高达95%，而这种势头仍将持续。预计到2020年，相关人才的需求会增长到140万，并且还会以每年1.5万人的速度递增。标题现阶段人才培养情况3000多所120所安全专业每个院校每年培养约100人一年约培养1-2万人10-20家多数都为证书培训每年培养人数约1-2万人高等院校社会机构标题网络空间安全人才培养面临挑战教育界和产业界的供需对接存在偏差缺少网络空间安全奇才和专才的发现和培养体系标题网络安全的本质在对抗，对抗的本质在攻防两端能力的较量。要以技术对技术，以技术管技术，做到魔高一尺、道高一丈。【节选自4·19讲话】从攻击者视角分析问题，以防御者视角解决问题，用实战演练检验效果。如何开展网安人才培养攻防标题建设一个专业的网络攻防实验室迫在眉睫。专业性难以保障实验室功能单一缺乏实践网络安全实验的场景太少，不能建立起完整的实践课程。理论学习与实践脱节，不能满足培养信息安全专业人才的需求。传统培养方式无法满足现有需要标题国家企事业个人职能部门部队战略研究指挥控制企业院校民间网络攻击主动防御安全咨询安全开发安全运维技术研究安全工程全民安全意识考察选拔推荐竞赛征召安全战略制定网络作战队伍专家技术团队工程技术人才黑客白帽子人才培养专业分类人才评定人才使用网络安全人才培养的探索—指定人才培养标题建设目标“真实”场景的实战训练配套的实践课程灵活的实验模式安全攻防技术模拟科学的评价与考核机制实时更新的安全攻防素材标题03实验室介绍标题实验室模块组成标题形成基于“理论体系-工具产品-事件案例-攻防实践”知识链牵引的授课思路，以及“从攻击者视角分析问题，以防御者视角解决问题，用实战演练检验效果”攻防角色互换的技术研究思路。攻防兼备的实战型网安人才培养实践设计理念—网络安全实践教育闭环人才培养攻防角色互换攻防实战演练知识链标题管理节点网络节点计算节点计算节点N基础资源层资源调度云化网络构建云化资源构建计算资源整合系统业务层实操教学层理论学习安全实训安全实验单兵训练漏洞验证单兵演练红蓝对抗团队攻防漏洞场景攻防竞赛层AWD夺旗攻防教学业务仿真安全场景验证系统场景层实操管理层作训学员作训组作训教师培养方案漏洞场景实操素材攻防竞赛攻防兼备层次架构标题场景为基础的网络安全人才培养框架标题攻防实训云攻防教学安全实训安全基础安全工具密码安全社会工程逆向分析漏洞挖掘安全运维基于虚拟化平台实验调度云主机管理课程管理路由交换虚拟换管理用户管理API单兵作训Web逆向Pwn取证加密解密信息隐匿MISC攻防业务安全基础学习Web安全代码审计渗透测试内网渗透逆向分析漏洞挖掘安全运维漏洞场景SQL注入XSS漏洞CSRF弱配置文件上传框架注入命令执行代码注入未授权代码执行弱口令XXE注入信息泄露文件下载关键技术支持大规模并发访问的攻防平台技术网络靶场设计与构建技术远程网络系统实时交互协作技术支持大规模网络环境仿真建模和虚拟应用技术实验管理设备管理用户管理攻防考核安全意识无线安全密码安全密码安全无线安全物联网业务安全安全实验GetShell漏洞利用攻防技巧弱配置文件上传框架注入常见命令代码注入未授权代码执行漏洞探测XXE注入业务安全文件下载Web安全代码审计渗透测试内网渗透移动安全移动安全漏洞利用漏洞挖掘竞赛单兵演练红蓝对抗团队攻防仿真开发业务漏洞复现风险场景复盘APT业务漏洞风险系统攻防平台平台架构标题定制化的培养方案体系化的培养过程完善的人才培养体系标题丰富的培训教学资源标题多层次安全实操以安全实训专题的学习为主，实现学习+实践相结合的模式，强化学员实际操作能力标题安全实验从实践切入，依靠交互性、操作性更强的课程，理论学习+动手实践共同激发创造力。标题漏洞场景漏洞场景实战教学标题业务场景APT场景漏洞场景典型攻击场景漏洞场景实战教学标题定制化考核标题多维度攻防竞赛标题多维度攻防竞赛单兵作战团队攻防红蓝对抗标题管理后台标题自定义拓扑靶场是承载和生成场景的基础条件标题实训云平台标题独有特色-最接近真实互联网环境的网络攻防场景网络区域设定模拟业务划分网络环境网络场景选取源于真实互联网环境网络拓扑抽象定位关键网络节点攻防题目设计立足攻防实战经验标题拥护最接近实战的攻防环境完善的网络安全培训体系丰富的CTF出题经验与题目环境可构建符合业务需求的仿真环境+环境来自BugScan社区的漏洞插件环境来自安全服务团队的渗透经验成功举办历届攻防比赛平台基本包括出现过的CTF的题目环境平台集成网络安全各方面的培训平台集成最新漏洞的实际分析与漏洞教学复杂网络拓扑环境复杂网络业务仿真10年渗透测试经验7000+的漏洞素材100+课时的网络安全培训教程100+的漏洞分析实际案例剖析10+攻防大赛的决赛环境20+各类业务系统仿真实验室优势标题核心价值符合发展趋势要求提升安全研究能力提升用户应急响应能力提升成本效益标题04典型案例标题攻防平台典型案例-陕西电信攻防平台通过网络安全基础学习、网络安全培训、漏洞复现教程和攻防实战等全方位一体化的学习模式，采用“学”、“练”、“补”、“战”的模式提高网络攻防技能，结合对标靶场的构建，从而增强防御能力与预警能力，威胁识别与应急能力。提升安全攻防实战、漏洞挖掘、应急响应实操能力水平以赛代训，以赛促训，提供支撑陕西公司整体网络安全梯队人才的硬件基础针对性的应急响应演练，有效提升应对处置重大事件的能力水平标题攻防平台典型案例-苏州移动由四叶草安全构建的网络攻防平台（CLS-ADP）通过网络安全基础学习，网络安全培训，CTF（夺旗比赛/红蓝对抗赛），漏洞复现教程，攻防实战等全方位一体化的学习模式，采用“学”、“练”、“补”、“战”的模式提高网络攻防技能。该平台为用户的相关人员建立一个完整的安全知识体系和一个完善的安全必备技能表。标题攻防平台典型案例-福建移动四叶草安全攻防平台主要为用户提供安全基础学习、网络安全培训、漏洞学习教程、CTF实战练习和沙盒演练环境。为用户量身打造一套培训攻防演练一体化的学习平台。培训课程、漏洞教程、CTF题库、攻防靶场环境可根据用户需求具体定制。标题第一届SSCTF宁夏网络技能挑战赛“华山杯”网络安全技能大赛陕西省网络空间技能大赛第二届SSCTF北京4.29网络攻防大赛新疆克拉玛依“丝绸之路”杯网络安全精英赛中国移动苏州网络安全运维技能大赛第三届SSCTF宁夏新潮杯网络攻防竞赛基于平台的竞赛服务案例分享标题支持完成CTF比赛规模说明2014年11月第一届SSCTF线上500多人次，线下30人分线上线下2014年11月宁夏网络技能挑战赛线下30人线下比赛2015年11月“华山杯”网络技能挑战赛线上800多人次，线下30人分线上线下2015年12月陕西省网络空间技能挑战赛线下30人线下比赛2016年2月第二届SSCTF线上8000多人，线下30人分线上线下2016年4月29日首都网络安全日攻防比赛线上赛选300人，线下30人分线上线下2016年7月新疆克拉玛依“丝绸之路”杯网络技能邀请赛线下30人线下邀请赛2016年8月中国移动苏州总部网络攻防比赛线下60人线下比赛2017年厦门航空攻防演练比赛线下30人线下比赛2017年宁夏公安厅新潮杯攻防竞赛线上300多人次，线下45人线上线下攻防竞赛规模标