安全攻防实验室方案

Facebook用户数据泄漏
标题
新加坡卫生部医疗系统遭数据窃取
英特尔芯片漏洞
上海医保信息系统瘫痪近4小时！ “黑客”入侵快递公司盗近亿客户信息
美网络空间作战战略
标题
网络安全成为国家战略
没有网络安全，就没有国家安全
没有信息化，就没有现代化
标题
- 2013年11月12日，中央国家安全委员会正式成立 - 2014年02月27日，中央网络安全和信息化领导小组成立 - 提升到国家战略高度重视网络空间安全保障工作 - 要有高素质的网络安全和信息化人才队伍 - 2015年12月，上海交大等5所高校获批成为首批国家级网络空间安全人才培养基地 - 2016年2月，上海交大等29所高校获批成为首批网络空间安全一级科学博士学位授权点单位 - 2016年6月，中网办、发改委、教育部等六部门近日联合印发《关于加强网络安全学科建设和人才培 养的意见》，要求加快网络安全学科专业和院系建设，创新网络安全人才培养机制，强化网络安全师 资队伍建设，推动高等院校与行业企业合作育人、协同创新，完善网络安全人才培养配套措施。
社会机构
10-20家标题
多数都为 证书培训
每年培养人数 约1-2万人
网络空间安全人才培养面临挑战
教育界和产业界的供 需对接存在偏差
标题 缺少网络空间安全奇才和
专才的发现和培养体系
如何开展网安人才培养
网络安全的本质在对抗，对抗的本质在攻防两端能力的较量。要以技术对技术，以技术 管技术，做到魔高一尺、道高一丈。【节选自4·19讲话】
资源调度 云化网络构建 云化资源构建 计算资源整合
标题
攻防兼备
基础 资源层
管理 节点
网络 节点
计算 节点
计算 节点N
场景为基础的网络安全人才培养框架
标题
攻防平台平台架构
攻
防 业
竞赛
单兵演练
红蓝对抗
团队攻防
仿真
开发业务
漏洞复现
风险场景
复盘
APT
业务漏洞
风险系统
务
实 验 管
攻防技巧
常见命令
漏洞探测
业务安全
人才培养
国
职能部门
家
部队
企
企业
事
业
院校
个
民间
人
专业分类
战略研究 指挥控制
网络攻击 主动防御
安全 咨询
安全 开发
安全 运维
技术研究 安全工程
全民安全意识
人才评定
人才使用
考察 选拔 推荐 竞赛 征召
安全战略制定
标题 网络作战队伍
专家技术团队 工程技术人才
黑 客
白帽子
建设目标
“真实”场景的实战训练 配套的实践课程 灵活的实验模式 安全攻防技术模拟 科学的评价与考核机制 实时更新的安全攻防素材
攻防角 色互换
标题
人才 培养
攻防实 战演练
层次架构
实操教学层 理论学习 安全实训 安全实验 单兵训练 漏洞场景 漏洞验证
攻防 竞赛层
单兵 演练
红蓝 对抗
AWD夺旗
团队 攻防
实操管理层 作训学员 作训组 作训教师 培养方案 实操素材 漏洞场景
系统 场景层
攻防 教学
攻防 竞赛
业务仿真 安全场景验证
系统 业务层
云主机管理
课程管理
路由交换虚拟换管理
用户管理
API
训
云
攻
防
支持大规模并发访问的攻防平台技术
网络靶场设计与构建技术
考
关键技术
核
支持大规模网络环境仿真建模和虚拟应用技术
源自文库
远程网络系统实时交互协作技术
完善的人才培养体系
体系化的培养过程
标题
定制化的培养方案
丰富的培训教学资源
标题
多层次安全实操
以安全实训专题的学习为主，实现学习+实践相结合的模式，强化学员实际
标题
提升安全攻防实战、漏洞挖掘、应急响应实操能 力水平
以赛代训，以赛促训，提供支撑陕西公司整体网 络安全梯队人才的硬件基础
针对性的应急响应演练，有效提升应对处置重大 事件的能力水平
攻防平台典型案例-苏州移动
由四叶草安全构建的网络攻防平台（CLS-ADP）通过网络安全基础学习，网络安全培训，CTF （夺旗比赛/红蓝对抗赛），漏洞复现教程，攻防实战等全方位一体化的学习模式，采用“学”、 “练”、“补”、“战”的模式提高网络攻防技能。该平台为用户的相关人员建立一个完整的安全知 识体系和一个完善的安全必备技能表。
操作能力
标题
安全实验
从实践切入，依靠交互性、操作性更强的课程，理论学习+动手实践共同激发创造力。 标题
漏洞场景实战教学
标题
漏洞场景
漏洞场景实战教学
业务场景 APT场景 漏洞场景 典型攻击场景
标题
定制化考核
标题
多维度攻防竞赛
标题
多维度攻防竞赛
单兵作战 团队攻防 红蓝对抗
标题
标题 03 实验室介绍
实验室模块组成
标题
设计理念—网络安全实践教育闭环
攻防兼备的实战型网安人才培养实践
形成基于“理论体系-工具产品-事件案 例-攻防实践”知识链牵引的授课思路 ，以及“从攻击者视角分析问题，以 防御者视角解决问题，用实战演练检 验效果”攻防角色互换 的技术研究思 路。
知识链
可构建符合业务需求的仿真环境
复杂网络拓扑环境 复杂网络业务仿真 10+攻防大赛的决赛环境 20+各类业务系统仿真
核心价值
标题
符合发展趋势要求
提升安全研究能力 提升用户应急响应能力 提升成本效益
标题 04 典型案例
攻防平台典型案例-陕西电信
攻防平台通过网络安全基础学习、网络安全培训、漏洞复现教 程和攻防实战等全方位一体化的学习模式，采用“学”、 “练”、“补”、“战”的模式提高网络攻防技能，结合对标靶 场的构建，从而增强防御能力与预警能力，威胁识别与应急能 力。
文件下载 安全
CSRF
命令执行
弱口令
信息泄露
文件下载 漏洞
理
GetShell
漏洞利用
弱配置
未授权
代码执行 实验 SQL注入
XSS漏洞
弱配置
未授权
代码执行 场景
攻
文件上传
框架注入
代码注入
XXE注入
文件上传
框架注入
代码注入
XXE注入
防 教
Web安全
代码审计
渗透测试
内网渗透
移动安全 安 全
Web
逆向
Pwn
标题
攻防平台典型案例-福建移动
四叶草安全攻防平台主要为用户提供安全基础学习、网络安全培训、漏洞学习教程、CTF实 战练习和沙盒演练环境。为用户量身打造一套培训攻防演练一体化的学习平台。培训课程、漏 洞教程、CTF题库、攻防靶场环境可根据用户需求具体定制。
标题
基于平台的竞赛服务案例分享
第一届SSCTF 宁夏网络技能挑战赛 “华山杯”网络安全技能大赛 陕西省网络空间技能大赛 第二届SSCTF 北京4.29网络攻防大赛 新疆克拉玛依“丝绸之路”杯网络安全精英赛 中国移动苏州网络安全运维技能大赛 第三届SSCTF 宁夏新潮杯网络攻防竞赛
安全研究院团队
产品研发团队 标题安全服务团队
协议级漏洞分析研究 底层内核驱动漏洞挖掘 IoT智能硬件漏洞挖掘 工控安全研究 Web&渗透实战型靶场实现与研究
分布式漏洞扫描框架 BugScan漏洞插件社区 感洞系列产品 Hackhttp、DNSlog(已开源)
等安全工具
丰富的CTF出题经验与题目环境 成功举办历届攻防比赛 平台基本包括出现过的CTF的题目环境
10年渗透测试经验 7000+的漏洞素材
完善的网络安全培训体系
平台集成网络安全各方面的培训 平台集成最新漏洞的实际分析与漏洞教学
100+课时的网络安全培训教程 100+的漏洞分析实际案例剖析
标题 +
标题
资质&软著
企业资质
高新技术企业证书 AAA企业信用等级证书 软件企业证书 通信网络安全服务能力（风险评估一级） 信息安全服务资质（安全工程类一级） 信息安全服务资质（风险评估类一级） 质量管理体系认证证书 计算机安全专用产品销售许可证 技术贸易资格证 应急处理服务资质 ………
四叶草安全攻防实验室
目录
CONTENTS
01、公司简介
Company profile
02、需求分析
Requirement analysis
03、实验室介绍
Laboratory introductions
04、典型案例
Typical cases
05、联系我们
Contact us
标题
标题 01 公司简介
独立完成过2100多 个安全服务项目，累 计数十万个目标。
产品应用于安全服务 安全服务中遇到问题反馈到产品，积累的经验整合到产品中 安全研究院发现的安全问题，扩充到产品中 安服中遇到的问题又可以反馈给研究院，研究院攻关解决
公司荣誉
连续两届荣获CNCERT支撑单位（省级） 连续两届荣获CNVD成员单位 连续两届荣获SNCERT网络安全信息通报成员单位 国家信息安全漏洞库（CNNVD）技术支撑单位 第二届丝绸之路（敦煌）国际文化博览会技术支撑单位 宁夏十九大网络安全优秀技术支持单位技术支撑单位 2016贵阳大数据与网络安全攻防演练“安全价值奖” 蚂蚁金服企业安全联合实验室成员 连续四年阿里安全应急响应中心生态合作伙伴 京东安全应急响应中心安全联盟成员 百度安全应急响应中心战略合作伙伴 联想安全应急响应中心（LSRC）年度优秀安全团队 CNVD2016、2017年原创漏洞报送突出贡献单位 WISE 2016 年度最具影响力信息安全服务商奖项 第六届陕西省互联网大会战略合作伙伴 ……
知识产权
标题 BugScan分布式漏洞扫描软件
全时漏洞感知平台 主机弱点扫描平台 感洞风险感知平台 信息安全线上夺旗系统 信息安全线下比赛系统V1.0 网络攻防平台（CLS-ADP） 安全采集数据分析软件 一种远程漏洞的检测方法 ………
标题 02 需求分析
网络安全形势
企业介绍
致力于 帮助客户解决安全隐患
西安四叶草信息技术有限公司
简称“四叶草安全”创建于2012年，立足西安服务全国 专注于为客户提供网络信息化安全服务
致力于帮助用户先于黑客发现并及时解决安全标问题题
国内外安全检测(监测)以及漏洞分析领域的领头羊企业 公司50%以上人员具有10年以上的网络安全信息从业经验 研究领域（Web安全、二进制逆向分析、漏洞研究、移动终端
对物联网安全、云安全、大数据安全、AI安全等领域有极其深入的研究，并带领旗下CloverSec实验室成员率先发 现了苹果公司的AirPlay协议认证漏洞；挖掘过多个微软、谷歌、Adobe、Java等知名企业的CVE级别漏洞，并获得过 多次官方致谢。
技术团队架构
相辅相成
产品研发、安全服务、CloverSec研 究院三大块，相辅相成互相扶助
取标证 题
学
安全基础
安全工具
密码安全
社会工程
物联网 实
加密解密
信息隐匿
MISC
逆向分析
漏洞挖掘
安全运维
无线安全
业务安全 训
移动安全
漏洞利用
漏洞挖掘
设
备
单
管
兵
理
作
训
安全基础学习
用
Web安全
代码审计
渗透测试
内网渗透
安全运维
漏洞挖掘
逆向分析
安全意识
无线安全
密码安全 密码安全
户
攻
管
防
基于虚拟化平台
理
实
实验调度
标题
管理后台
标题
自定义拓扑
靶场是承载和生成场景的基础条件
标题
实训云平台
标题
独有特色-最接近真实互联网环境的网络攻防场景
网络场景选取
网络拓扑抽象
网络区域设定
攻防题目设计
标题
源于真实互 联网环境
定位关键网 络节点
模拟业务 划分网络环境
立足攻防实战 经验
实验室优势
拥护最接近实战的攻防环境
环境来自BugScan社区的漏洞插件 环境来自安全服务团队的渗透经验
安全、工控安全、IoT安全、AI安全） 成立至今，完成3100+个安全服务项目
创始人
马坤
西安四叶草信息技术有限公司创始人兼CEO
顶级信息安全专家 中国第一代“黑客”
FST（火狐技术联盟）发起人之一 标题
HUC（中国红客联盟）核心成员 陕西省互联网协会副秘书长 陕西省网络信息安全协会副理事长 CSA全球云安全联盟大中华区协调顾问
从攻击者视角分析问题，以防御者视角解决问题，用实战演练检验效果。
标题
攻防
传统培养方式无法满足现有需要
专业性难以保障 实验室功能单一
缺乏实践
标题
理论学习与实践脱节，不能满 足培养信息安全专业人才的需 求。
网络安全实验的场景太少，不能 建立起完整的实践课程。
建设一个专业的网络攻防实验室迫在眉睫。
网络安全人才培养的探索—指定人才培养
网络安全人才需求规模
2017年网络安全人才的缺口已经达到70万以上，缺口高达95%，而这种势头仍将持续。预 计到2020年，相关人才的需求 会增长到140万，并且还会以每年1.5万人的速度递增。
标题
现阶段人才培养情况
高等院校
3000多所
120所 安全专业
每个院校每年培养 约100人 一年约培
养1-2万人