安全攻防實(shí)驗(yàn)室方案

1、四葉草安全攻防實(shí)驗(yàn)室目錄CONTENTS01、公司簡介 Company profile02、需求分析Requirement analysis03、實(shí)驗(yàn)室介紹Laboratory introductions04、典型案例Typical cases05、聯(lián)系我們Contact us標(biāo)題0101公司簡介企業(yè)介紹致力于幫助客戶解決安全隱患西安四葉草信息技術(shù)有限公司簡稱“四葉草安全”創(chuàng)建于2012年，立足西安服務(wù)全國專注于為客戶提供網(wǎng)絡(luò)信息化安全服務(wù)致力于幫助用戶先于黑客發(fā)現(xiàn)并及時解決安全問題國內(nèi)外安全檢測(監(jiān)測)以及漏洞分析領(lǐng)域的領(lǐng)頭羊企業(yè)公司50%以上人員具有10年以上的網(wǎng)絡(luò)安全信息從業(yè)經(jīng)驗(yàn)研究領(lǐng)域

2、（Web安全、二進(jìn)制逆向分析、漏洞研究、移動終端安全、工控安全、IoT安全、AI安全）成立至今，完成3100+個安全服務(wù)項(xiàng)目創(chuàng)始人西安四葉草信息技術(shù)有限公司創(chuàng)始人兼CEO馬坤頂級信息安全專家中國第一代“黑客”FST（火狐技術(shù)聯(lián)盟）發(fā)起人之一HUC（中國紅客聯(lián)盟）核心成員陜西省互聯(lián)網(wǎng)協(xié)會副秘書長陜西省網(wǎng)絡(luò)信息安全協(xié)會副理事長CSA全球云安全聯(lián)盟大中華區(qū)協(xié)調(diào)顧問 對物聯(lián)網(wǎng)安全、云安全、大數(shù)據(jù)安全、AI安全等領(lǐng)域有極其深入的研究，并帶領(lǐng)旗下CloverSec實(shí)驗(yàn)室成員率先發(fā)現(xiàn)了蘋果公司的AirPlay協(xié)議認(rèn)證漏洞；挖掘過多個微軟、谷歌、Adobe、Java等知名企業(yè)的CVE級別漏洞，并獲得過多次官方

3、致謝。技術(shù)團(tuán)隊(duì)架構(gòu)產(chǎn)品研發(fā)團(tuán)隊(duì)分布式漏洞掃描框架BugScan漏洞插件社區(qū)感洞系列產(chǎn)品Hackhttp、DNSlog(已開源)等安全工具安全研究院團(tuán)隊(duì)協(xié)議級漏洞分析研究底層內(nèi)核驅(qū)動漏洞挖掘IoT智能硬件漏洞挖掘工控安全研究Web&滲透實(shí)戰(zhàn)型靶場實(shí)現(xiàn)與研究安全服務(wù)團(tuán)隊(duì)獨(dú)立完成過2100多個安全服務(wù)項(xiàng)目，累計(jì)數(shù)十萬個目標(biāo)。產(chǎn)品應(yīng)用于安全服務(wù)安全服務(wù)中遇到問題反饋到產(chǎn)品，積累的經(jīng)驗(yàn)整合到產(chǎn)品中安全研究院發(fā)現(xiàn)的安全問題，擴(kuò)充到產(chǎn)品中安服中遇到的問題又可以反饋給研究院，研究院攻關(guān)解決相輔相成產(chǎn)品研發(fā)、安全服務(wù)、CloverSec研究院三大塊，相輔相成互相扶助公司榮譽(yù)連續(xù)兩屆榮獲CNCERT支撐單位（省級

4、）連續(xù)兩屆榮獲CNVD成員單位連續(xù)兩屆榮獲SNCERT網(wǎng)絡(luò)安全信息通報(bào)成員單位國家信息安全漏洞庫（CNNVD）技術(shù)支撐單位第二屆絲綢之路（敦煌）國際文化博覽會技術(shù)支撐單位寧夏十九大網(wǎng)絡(luò)安全優(yōu)秀技術(shù)支持單位技術(shù)支撐單位2016貴陽大數(shù)據(jù)與網(wǎng)絡(luò)安全攻防演練“安全價值獎”螞蟻金服企業(yè)安全聯(lián)合實(shí)驗(yàn)室成員連續(xù)四年阿里安全應(yīng)急響應(yīng)中心生態(tài)合作伙伴京東安全應(yīng)急響應(yīng)中心安全聯(lián)盟成員百度安全應(yīng)急響應(yīng)中心戰(zhàn)略合作伙伴聯(lián)想安全應(yīng)急響應(yīng)中心（LSRC）年度優(yōu)秀安全團(tuán)隊(duì)CNVD2016、2017年原創(chuàng)漏洞報(bào)送突出貢獻(xiàn)單位WISE 2016 年度最具影響力信息安全服務(wù)商獎項(xiàng)第六屆陜西省互聯(lián)網(wǎng)大會戰(zhàn)略合作伙伴資質(zhì)&軟著企業(yè)

5、資質(zhì)知識產(chǎn)權(quán)高新技術(shù)企業(yè)證書AAA企業(yè)信用等級證書軟件企業(yè)證書通信網(wǎng)絡(luò)安全服務(wù)能力（風(fēng)險評估一級）信息安全服務(wù)資質(zhì)（安全工程類一級）信息安全服務(wù)資質(zhì)（風(fēng)險評估類一級）質(zhì)量管理體系認(rèn)證證書計(jì)算機(jī)安全專用產(chǎn)品銷售許可證技術(shù)貿(mào)易資格證應(yīng)急處理服務(wù)資質(zhì) BugScan分布式漏洞掃描軟件全時漏洞感知平臺主機(jī)弱點(diǎn)掃描平臺感洞風(fēng)險感知平臺信息安全線上奪旗系統(tǒng)信息安全線下比賽系統(tǒng)V1.0網(wǎng)絡(luò)攻防平臺（CLS-ADP）安全采集數(shù)據(jù)分析軟件一種遠(yuǎn)程漏洞的檢測方法 標(biāo)題0202需求分析網(wǎng)絡(luò)安全形勢Facebook用戶數(shù)據(jù)泄漏上海醫(yī)保信息系統(tǒng)癱瘓近4小時！新加坡衛(wèi)生部醫(yī)療系統(tǒng)遭數(shù)據(jù)竊取“黑客”入侵快遞公司盜近億客戶信

6、息英特爾芯片漏洞美網(wǎng)絡(luò)空間作戰(zhàn)戰(zhàn)略- 2013年11月12日，中央國家安全委員會正式成立- 2014年02月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立- 提升到國家戰(zhàn)略高度重視網(wǎng)絡(luò)空間安全保障工作- 要有高素質(zhì)的網(wǎng)絡(luò)安全和信息化人才隊(duì)伍- 2015年12月，上海交大等5所高校獲批成為首批國家級網(wǎng)絡(luò)空間安全人才培養(yǎng)基地- 2016年2月，上海交大等29所高校獲批成為首批網(wǎng)絡(luò)空間安全一級科學(xué)博士學(xué)位授權(quán)點(diǎn)單位- 2016年6月，中網(wǎng)辦、發(fā)改委、教育部等六部門近日聯(lián)合印發(fā)關(guān)于加強(qiáng)網(wǎng)絡(luò)安全學(xué)科建設(shè)和人才培養(yǎng)的意見，要求加快網(wǎng)絡(luò)安全學(xué)科專業(yè)和院系建設(shè)，創(chuàng)新網(wǎng)絡(luò)安全人才培養(yǎng)機(jī)制，強(qiáng)化網(wǎng)絡(luò)安全師資隊(duì)伍建設(shè)，推

7、動高等院校與行業(yè)企業(yè)合作育人、協(xié)同創(chuàng)新，完善網(wǎng)絡(luò)安全人才培養(yǎng)配套措施。沒有網(wǎng)絡(luò)安全，就沒有國家安全沒有信息化，就沒有現(xiàn)代化網(wǎng)絡(luò)安全成為國家戰(zhàn)略網(wǎng)絡(luò)安全人才需求規(guī)模2017年網(wǎng)絡(luò)安全人才的缺口已經(jīng)達(dá)到70萬以上，缺口高達(dá)95%，而這種勢頭仍將持續(xù)。預(yù)計(jì)到2020年，相關(guān)人才的需求 會增長到140萬，并且還會以每年1.5萬人的速度遞增?，F(xiàn)階段人才培養(yǎng)情況3000多所120所安全專業(yè)每個院校每年培養(yǎng) 約100人 一年約培養(yǎng)1-2萬人10-20家多數(shù)都為 證書培訓(xùn)每年培養(yǎng)人數(shù)約1-2萬人高等院校社會機(jī)構(gòu)網(wǎng)絡(luò)空間安全人才培養(yǎng)面臨挑戰(zhàn)網(wǎng)絡(luò)安全的本質(zhì)在對抗，對抗的本質(zhì)在攻防兩端能力的較量。要以技術(shù)對技術(shù)，以

8、技術(shù)管技術(shù)，做到魔高一尺、道高一丈?！竟?jié)選自419講話】從攻擊者視角分析問題，以防御者視角解決問題，用實(shí)戰(zhàn)演練檢驗(yàn)效果。如何開展網(wǎng)安人才培養(yǎng)建設(shè)一個專業(yè)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)室迫在眉睫。專業(yè)性難以保障實(shí)驗(yàn)室功能單一缺乏實(shí)踐網(wǎng)絡(luò)安全實(shí)驗(yàn)的場景太少，不能建立起完整的實(shí)踐課程。理論學(xué)習(xí)與實(shí)踐脫節(jié)，不能滿足培養(yǎng)信息安全專業(yè)人才的需求。 傳統(tǒng)培養(yǎng)方式無法滿足現(xiàn)有需要國家企事業(yè)個人職能部門部隊(duì)?wèi)?zhàn)略研究指揮控制企業(yè)院校民間網(wǎng)絡(luò)攻擊主動防御安全咨詢安全開發(fā)安全運(yùn)維技術(shù)研究安全工程全民安全意識考察選拔推薦競賽征召安全戰(zhàn)略制定網(wǎng)絡(luò)作戰(zhàn)隊(duì)伍專家技術(shù)團(tuán)隊(duì)工程技術(shù)人才黑客白帽子人才培養(yǎng)專業(yè)分類人才評定人才使用網(wǎng)絡(luò)安全人才培養(yǎng)的

9、探索指定人才培養(yǎng)建設(shè)目標(biāo)“真實(shí)”場景的實(shí)戰(zhàn)訓(xùn)練配套的實(shí)踐課程靈活的實(shí)驗(yàn)?zāi)Ｊ桨踩シ兰夹g(shù)模擬科學(xué)的評價與考核機(jī)制實(shí)時更新的安全攻防素材標(biāo)題0303實(shí)驗(yàn)室介紹實(shí)驗(yàn)室模塊組成形成基于“理論體系-工具產(chǎn)品-事件案例-攻防實(shí)踐”知識鏈牽引的授課思路，以及“從攻擊者視角分析問題，以防御者視角解決問題，用實(shí)戰(zhàn)演練檢驗(yàn)效果”攻防角色互換 的技術(shù)研究思路。攻防兼?zhèn)涞膶?shí)戰(zhàn)型網(wǎng)安人才培養(yǎng)實(shí)踐設(shè)計(jì)理念網(wǎng)絡(luò)安全實(shí)踐教育閉環(huán)攻防兼?zhèn)鋵哟渭軜?gòu)場景為基礎(chǔ)的網(wǎng)絡(luò)安全人才培養(yǎng)框架攻防實(shí)訓(xùn)云攻防教學(xué)安全實(shí)訓(xùn)安全基礎(chǔ)安全工具密碼安全社會工程逆向分析漏洞挖掘安全運(yùn)維基于虛擬化平臺實(shí)驗(yàn)調(diào)度云主機(jī)管理課程管理路由交換虛擬換管理用戶管理AP

10、I單兵作訓(xùn)Web逆向Pwn取證加密解密信息隱匿MISC攻防業(yè)務(wù)安全基礎(chǔ)學(xué)習(xí)Web安全代碼審計(jì)滲透測試內(nèi)網(wǎng)滲透逆向分析漏洞挖掘安全運(yùn)維漏洞場景SQL注入XSS漏洞CSRF弱配置文件上傳框架注入命令執(zhí)行代碼注入未授權(quán)代碼執(zhí)行弱口令XXE注入信息泄露文件下載關(guān)鍵技術(shù)支持大規(guī)模并發(fā)訪問的攻防平臺技術(shù)網(wǎng)絡(luò)靶場設(shè)計(jì)與構(gòu)建技術(shù)遠(yuǎn)程網(wǎng)絡(luò)系統(tǒng)實(shí)時交互協(xié)作技術(shù)支持大規(guī)模網(wǎng)絡(luò)環(huán)境仿真建模和虛擬應(yīng)用技術(shù)實(shí)驗(yàn)管理設(shè)備管理用戶管理攻防考核安全意識無線安全密碼安全密碼安全無線安全物聯(lián)網(wǎng)業(yè)務(wù)安全安全實(shí)驗(yàn)GetShell漏洞利用攻防技巧弱配置文件上傳框架注入常見命令代碼注入未授權(quán)代碼執(zhí)行漏洞探測XXE注入業(yè)務(wù)安全文件下載Web

11、安全代碼審計(jì)滲透測試內(nèi)網(wǎng)滲透移動安全移動安全漏洞利用漏洞挖掘競賽單兵演練紅藍(lán)對抗團(tuán)隊(duì)攻防仿真開發(fā)業(yè)務(wù)漏洞復(fù)現(xiàn)風(fēng)險場景復(fù)盤APT業(yè)務(wù)漏洞風(fēng)險系統(tǒng)攻防平臺平臺架構(gòu)定制化的培養(yǎng)方案體系化的培養(yǎng)過程完善的人才培養(yǎng)體系豐富的培訓(xùn)教學(xué)資源多層次安全實(shí)操 以安全實(shí)訓(xùn)專題的學(xué)習(xí)為主，實(shí)現(xiàn)學(xué)習(xí)+實(shí)踐相結(jié)合的模式，強(qiáng)化學(xué)員實(shí)際操作能力安全實(shí)驗(yàn)從實(shí)踐切入，依靠交互性、操作性更強(qiáng)的課程，理論學(xué)習(xí)+動手實(shí)踐共同激發(fā)創(chuàng)造力。漏洞場景漏洞場景實(shí)戰(zhàn)教學(xué)業(yè)務(wù)場景APT場景漏洞場景典型攻擊場景漏洞場景實(shí)戰(zhàn)教學(xué)定制化考核多維度攻防競賽多維度攻防競賽單兵作戰(zhàn)團(tuán)隊(duì)攻防紅藍(lán)對抗管理后臺自定義拓?fù)浒袌鍪浅休d和生成場景的基礎(chǔ)條件實(shí)訓(xùn)云平臺獨(dú)

12、有特色-最接近真實(shí)互聯(lián)網(wǎng)環(huán)境的網(wǎng)絡(luò)攻防場景網(wǎng)絡(luò)區(qū)域設(shè)定模擬業(yè)務(wù)劃分網(wǎng)絡(luò)環(huán)境網(wǎng)絡(luò)場景選取源于真實(shí)互 聯(lián)網(wǎng)環(huán)境網(wǎng)絡(luò)拓?fù)涑橄蠖ㄎ魂P(guān)鍵網(wǎng) 絡(luò)節(jié)點(diǎn)攻防題目設(shè)計(jì)立足攻防實(shí)戰(zhàn) 經(jīng)驗(yàn)擁護(hù)最接近實(shí)戰(zhàn)的攻防環(huán)境完善的網(wǎng)絡(luò)安全培訓(xùn)體系豐富的CTF出題經(jīng)驗(yàn)與題目環(huán)境可構(gòu)建符合業(yè)務(wù)需求的仿真環(huán)境+環(huán)境來自BugScan社區(qū)的漏洞插件環(huán)境來自安全服務(wù)團(tuán)隊(duì)的滲透經(jīng)驗(yàn)成功舉辦歷屆攻防比賽平臺基本包括出現(xiàn)過的CTF的題目環(huán)境平臺集成網(wǎng)絡(luò)安全各方面的培訓(xùn)平臺集成最新漏洞的實(shí)際分析與漏洞教學(xué)復(fù)雜網(wǎng)絡(luò)拓?fù)洵h(huán)境復(fù)雜網(wǎng)絡(luò)業(yè)務(wù)仿真10年滲透測試經(jīng)驗(yàn)7000+的漏洞素材100+課時的網(wǎng)絡(luò)安全培訓(xùn)教程100+的漏洞分析實(shí)際案例剖析10+攻防大

13、賽的決賽環(huán)境20+各類業(yè)務(wù)系統(tǒng)仿真實(shí)驗(yàn)室優(yōu)勢核心價值符合發(fā)展趨勢要求提升安全研究能力提升用戶應(yīng)急響應(yīng)能力提升成本效益標(biāo)題0404典型案例攻防平臺典型案例-陜西電信 攻防平臺通過網(wǎng)絡(luò)安全基礎(chǔ)學(xué)習(xí)、網(wǎng)絡(luò)安全培訓(xùn)、漏洞復(fù)現(xiàn)教程和攻防實(shí)戰(zhàn)等全方位一體化的學(xué)習(xí)模式，采用“學(xué)”、“練”、“補(bǔ)”、“戰(zhàn)”的模式提高網(wǎng)絡(luò)攻防技能，結(jié)合對標(biāo)靶場的構(gòu)建，從而增強(qiáng)防御能力與預(yù)警能力，威脅識別與應(yīng)急能力。提升安全攻防實(shí)戰(zhàn)、漏洞挖掘、應(yīng)急響應(yīng)實(shí)操能力水平以賽代訓(xùn)，以賽促訓(xùn)，提供支撐陜西公司整體網(wǎng)絡(luò)安全梯隊(duì)人才的硬件基礎(chǔ)針對性的應(yīng)急響應(yīng)演練，有效提升應(yīng)對處置重大事件的能力水平攻防平臺典型案例-蘇州移動 由四葉草安全構(gòu)建的網(wǎng)

14、絡(luò)攻防平臺（CLS-ADP）通過網(wǎng)絡(luò)安全基礎(chǔ)學(xué)習(xí)，網(wǎng)絡(luò)安全培訓(xùn)，CTF（奪旗比賽/紅藍(lán)對抗賽），漏洞復(fù)現(xiàn)教程，攻防實(shí)戰(zhàn)等全方位一體化的學(xué)習(xí)模式，采用“學(xué)”、“練”、“補(bǔ)”、“戰(zhàn)”的模式提高網(wǎng)絡(luò)攻防技能。該平臺為用戶的相關(guān)人員建立一個完整的安全知識體系和一個完善的安全必備技能表。攻防平臺典型案例-福建移動 四葉草安全攻防平臺主要為用戶提供安全基礎(chǔ)學(xué)習(xí)、網(wǎng)絡(luò)安全培訓(xùn)、漏洞學(xué)習(xí)教程、CTF實(shí)戰(zhàn)練習(xí)和沙盒演練環(huán)境。為用戶量身打造一套培訓(xùn)攻防演練一體化的學(xué)習(xí)平臺。培訓(xùn)課程、漏洞教程、CTF題庫、攻防靶場環(huán)境可根據(jù)用戶需求具體定制。第一屆SSCTF寧夏網(wǎng)絡(luò)技能挑戰(zhàn)賽“華山杯”網(wǎng)絡(luò)安全技能大賽陜西省網(wǎng)絡(luò)空間

15、技能大賽第二屆SSCTF北京4.29網(wǎng)絡(luò)攻防大賽新疆克拉瑪依“絲綢之路”杯網(wǎng)絡(luò)安全精英賽中國移動蘇州網(wǎng)絡(luò)安全運(yùn)維技能大賽第三屆SSCTF寧夏新潮杯網(wǎng)絡(luò)攻防競賽基于平臺的競賽服務(wù)案例分享支持完成CTF比賽規(guī)模說明2014年11月第一屆SSCTF線上500多人次，線下30人分線上線下2014年11月寧夏網(wǎng)絡(luò)技能挑戰(zhàn)賽線下30人線下比賽2015年11月“華山杯”網(wǎng)絡(luò)技能挑戰(zhàn)賽線上800多人次，線下30人分線上線下2015年12月陜西省網(wǎng)絡(luò)空間技能挑戰(zhàn)賽線下30人線下比賽2016年2月第二屆SSCTF線上8000多人，線下30人分線上線下2016年4月29日首都網(wǎng)絡(luò)安全日攻防比賽線上賽選300人，線下30人分線上線下2016年7月新疆克拉瑪依“絲綢之路”杯網(wǎng)絡(luò)技能邀請賽線下30人線下邀請賽2016年8月中國移動蘇州總部網(wǎng)絡(luò)攻防比賽線下60人線下比賽2017年廈門航空攻防演練比賽線下30人線下比賽2017年寧夏公安廳新潮杯攻防競賽線上300多人次，線下45人線上線下攻防競賽規(guī)模 在2018年4月25日至4月26日，西北五省通信行業(yè)網(wǎng)絡(luò)安全攻防技術(shù)聯(lián)賽在西安舉行，四葉草安全作為本次比賽獨(dú)家技術(shù)支撐。2018西北五省通信行業(yè)網(wǎng)絡(luò)安全攻防技術(shù)聯(lián)賽 在2018 年 4 月 23 日，由陜西省委網(wǎng)信辦、陜西省公安廳指導(dǎo)，陜西省信息網(wǎng)絡(luò)安全協(xié)會主辦，西安四葉草信息技術(shù)有限公司（簡稱：四葉草安全）作為