1、四葉草安全攻防實驗室目錄CONTENTS01、公司簡介 Company profile02、需求分析Requirement analysis03、實驗室介紹Laboratory introductions04、典型案例Typical cases05、聯系我們Contact us標題0101公司簡介企業介紹致力于幫助客戶解決安全隱患西安四葉草信息技術有限公司簡稱“四葉草安全”創建于2012年，立足西安服務全國專注于為客戶提供網絡信息化安全服務致力于幫助用戶先于黑客發現并及時解決安全問題國內外安全檢測(監測)以及漏洞分析領域的領頭羊企業公司50%以上人員具有10年以上的網絡安全信息從業經驗研究領域

2、（Web安全、二進制逆向分析、漏洞研究、移動終端安全、工控安全、IoT安全、AI安全）成立至今，完成3100+個安全服務項目創始人西安四葉草信息技術有限公司創始人兼CEO馬坤頂級信息安全專家中國第一代“黑客”FST（火狐技術聯盟）發起人之一HUC（中國紅客聯盟）核心成員陜西省互聯網協會副秘書長陜西省網絡信息安全協會副理事長CSA全球云安全聯盟大中華區協調顧問 對物聯網安全、云安全、大數據安全、AI安全等領域有極其深入的研究，并帶領旗下CloverSec實驗室成員率先發現了蘋果公司的AirPlay協議認證漏洞；挖掘過多個微軟、谷歌、Adobe、Java等知名企業的CVE級別漏洞，并獲得過多次官方

3、致謝。技術團隊架構產品研發團隊分布式漏洞掃描框架BugScan漏洞插件社區感洞系列產品Hackhttp、DNSlog(已開源)等安全工具安全研究院團隊協議級漏洞分析研究底層內核驅動漏洞挖掘IoT智能硬件漏洞挖掘工控安全研究Web&滲透實戰型靶場實現與研究安全服務團隊獨立完成過2100多個安全服務項目，累計數十萬個目標。產品應用于安全服務安全服務中遇到問題反饋到產品，積累的經驗整合到產品中安全研究院發現的安全問題，擴充到產品中安服中遇到的問題又可以反饋給研究院，研究院攻關解決相輔相成產品研發、安全服務、CloverSec研究院三大塊，相輔相成互相扶助公司榮譽連續兩屆榮獲CNCERT支撐單位（省級

4、）連續兩屆榮獲CNVD成員單位連續兩屆榮獲SNCERT網絡安全信息通報成員單位國家信息安全漏洞庫（CNNVD）技術支撐單位第二屆絲綢之路（敦煌）國際文化博覽會技術支撐單位寧夏十九大網絡安全優秀技術支持單位技術支撐單位2016貴陽大數據與網絡安全攻防演練“安全價值獎”螞蟻金服企業安全聯合實驗室成員連續四年阿里安全應急響應中心生態合作伙伴京東安全應急響應中心安全聯盟成員百度安全應急響應中心戰略合作伙伴聯想安全應急響應中心（LSRC）年度優秀安全團隊CNVD2016、2017年原創漏洞報送突出貢獻單位WISE 2016 年度最具影響力信息安全服務商獎項第六屆陜西省互聯網大會戰略合作伙伴資質&軟著企業

5、資質知識產權高新技術企業證書AAA企業信用等級證書軟件企業證書通信網絡安全服務能力（風險評估一級）信息安全服務資質（安全工程類一級）信息安全服務資質（風險評估類一級）質量管理體系認證證書計算機安全專用產品銷售許可證技術貿易資格證應急處理服務資質 BugScan分布式漏洞掃描軟件全時漏洞感知平臺主機弱點掃描平臺感洞風險感知平臺信息安全線上奪旗系統信息安全線下比賽系統V1.0網絡攻防平臺（CLS-ADP）安全采集數據分析軟件一種遠程漏洞的檢測方法 標題0202需求分析網絡安全形勢Facebook用戶數據泄漏上海醫保信息系統癱瘓近4小時！新加坡衛生部醫療系統遭數據竊取“黑客”入侵快遞公司盜近億客戶信

6、息英特爾芯片漏洞美網絡空間作戰戰略- 2013年11月12日，中央國家安全委員會正式成立- 2014年02月27日，中央網絡安全和信息化領導小組成立- 提升到國家戰略高度重視網絡空間安全保障工作- 要有高素質的網絡安全和信息化人才隊伍- 2015年12月，上海交大等5所高校獲批成為首批國家級網絡空間安全人才培養基地- 2016年2月，上海交大等29所高校獲批成為首批網絡空間安全一級科學博士學位授權點單位- 2016年6月，中網辦、發改委、教育部等六部門近日聯合印發關于加強網絡安全學科建設和人才培養的意見，要求加快網絡安全學科專業和院系建設，創新網絡安全人才培養機制，強化網絡安全師資隊伍建設，推

7、動高等院校與行業企業合作育人、協同創新，完善網絡安全人才培養配套措施。沒有網絡安全，就沒有國家安全沒有信息化，就沒有現代化網絡安全成為國家戰略網絡安全人才需求規模2017年網絡安全人才的缺口已經達到70萬以上，缺口高達95%，而這種勢頭仍將持續。預計到2020年，相關人才的需求 會增長到140萬，并且還會以每年1.5萬人的速度遞增。現階段人才培養情況3000多所120所安全專業每個院校每年培養 約100人 一年約培養1-2萬人10-20家多數都為 證書培訓每年培養人數約1-2萬人高等院校社會機構網絡空間安全人才培養面臨挑戰網絡安全的本質在對抗，對抗的本質在攻防兩端能力的較量。要以技術對技術，以

8、技術管技術，做到魔高一尺、道高一丈。【節選自419講話】從攻擊者視角分析問題，以防御者視角解決問題，用實戰演練檢驗效果。如何開展網安人才培養建設一個專業的網絡攻防實驗室迫在眉睫。專業性難以保障實驗室功能單一缺乏實踐網絡安全實驗的場景太少，不能建立起完整的實踐課程。理論學習與實踐脫節，不能滿足培養信息安全專業人才的需求。 傳統培養方式無法滿足現有需要國家企事業個人職能部門部隊戰略研究指揮控制企業院校民間網絡攻擊主動防御安全咨詢安全開發安全運維技術研究安全工程全民安全意識考察選拔推薦競賽征召安全戰略制定網絡作戰隊伍專家技術團隊工程技術人才黑客白帽子人才培養專業分類人才評定人才使用網絡安全人才培養的

9、探索指定人才培養建設目標“真實”場景的實戰訓練配套的實踐課程靈活的實驗模式安全攻防技術模擬科學的評價與考核機制實時更新的安全攻防素材標題0303實驗室介紹實驗室模塊組成形成基于“理論體系-工具產品-事件案例-攻防實踐”知識鏈牽引的授課思路，以及“從攻擊者視角分析問題，以防御者視角解決問題，用實戰演練檢驗效果”攻防角色互換 的技術研究思路。攻防兼備的實戰型網安人才培養實踐設計理念網絡安全實踐教育閉環攻防兼備層次架構場景為基礎的網絡安全人才培養框架攻防實訓云攻防教學安全實訓安全基礎安全工具密碼安全社會工程逆向分析漏洞挖掘安全運維基于虛擬化平臺實驗調度云主機管理課程管理路由交換虛擬換管理用戶管理AP

10、I單兵作訓Web逆向Pwn取證加密解密信息隱匿MISC攻防業務安全基礎學習Web安全代碼審計滲透測試內網滲透逆向分析漏洞挖掘安全運維漏洞場景SQL注入XSS漏洞CSRF弱配置文件上傳框架注入命令執行代碼注入未授權代碼執行弱口令XXE注入信息泄露文件下載關鍵技術支持大規模并發訪問的攻防平臺技術網絡靶場設計與構建技術遠程網絡系統實時交互協作技術支持大規模網絡環境仿真建模和虛擬應用技術實驗管理設備管理用戶管理攻防考核安全意識無線安全密碼安全密碼安全無線安全物聯網業務安全安全實驗GetShell漏洞利用攻防技巧弱配置文件上傳框架注入常見命令代碼注入未授權代碼執行漏洞探測XXE注入業務安全文件下載Web

11、安全代碼審計滲透測試內網滲透移動安全移動安全漏洞利用漏洞挖掘競賽單兵演練紅藍對抗團隊攻防仿真開發業務漏洞復現風險場景復盤APT業務漏洞風險系統攻防平臺平臺架構定制化的培養方案體系化的培養過程完善的人才培養體系豐富的培訓教學資源多層次安全實操 以安全實訓專題的學習為主，實現學習+實踐相結合的模式，強化學員實際操作能力安全實驗從實踐切入，依靠交互性、操作性更強的課程，理論學習+動手實踐共同激發創造力。漏洞場景漏洞場景實戰教學業務場景APT場景漏洞場景典型攻擊場景漏洞場景實戰教學定制化考核多維度攻防競賽多維度攻防競賽單兵作戰團隊攻防紅藍對抗管理后臺自定義拓撲靶場是承載和生成場景的基礎條件實訓云平臺獨

12、有特色-最接近真實互聯網環境的網絡攻防場景網絡區域設定模擬業務劃分網絡環境網絡場景選取源于真實互 聯網環境網絡拓撲抽象定位關鍵網 絡節點攻防題目設計立足攻防實戰 經驗擁護最接近實戰的攻防環境完善的網絡安全培訓體系豐富的CTF出題經驗與題目環境可構建符合業務需求的仿真環境+環境來自BugScan社區的漏洞插件環境來自安全服務團隊的滲透經驗成功舉辦歷屆攻防比賽平臺基本包括出現過的CTF的題目環境平臺集成網絡安全各方面的培訓平臺集成最新漏洞的實際分析與漏洞教學復雜網絡拓撲環境復雜網絡業務仿真10年滲透測試經驗7000+的漏洞素材100+課時的網絡安全培訓教程100+的漏洞分析實際案例剖析10+攻防大

13、賽的決賽環境20+各類業務系統仿真實驗室優勢核心價值符合發展趨勢要求提升安全研究能力提升用戶應急響應能力提升成本效益標題0404典型案例攻防平臺典型案例-陜西電信 攻防平臺通過網絡安全基礎學習、網絡安全培訓、漏洞復現教程和攻防實戰等全方位一體化的學習模式，采用“學”、“練”、“補”、“戰”的模式提高網絡攻防技能，結合對標靶場的構建，從而增強防御能力與預警能力，威脅識別與應急能力。提升安全攻防實戰、漏洞挖掘、應急響應實操能力水平以賽代訓，以賽促訓，提供支撐陜西公司整體網絡安全梯隊人才的硬件基礎針對性的應急響應演練，有效提升應對處置重大事件的能力水平攻防平臺典型案例-蘇州移動 由四葉草安全構建的網

14、絡攻防平臺（CLS-ADP）通過網絡安全基礎學習，網絡安全培訓，CTF（奪旗比賽/紅藍對抗賽），漏洞復現教程，攻防實戰等全方位一體化的學習模式，采用“學”、“練”、“補”、“戰”的模式提高網絡攻防技能。該平臺為用戶的相關人員建立一個完整的安全知識體系和一個完善的安全必備技能表。攻防平臺典型案例-福建移動 四葉草安全攻防平臺主要為用戶提供安全基礎學習、網絡安全培訓、漏洞學習教程、CTF實戰練習和沙盒演練環境。為用戶量身打造一套培訓攻防演練一體化的學習平臺。培訓課程、漏洞教程、CTF題庫、攻防靶場環境可根據用戶需求具體定制。第一屆SSCTF寧夏網絡技能挑戰賽“華山杯”網絡安全技能大賽陜西省網絡空間

15、技能大賽第二屆SSCTF北京4.29網絡攻防大賽新疆克拉瑪依“絲綢之路”杯網絡安全精英賽中國移動蘇州網絡安全運維技能大賽第三屆SSCTF寧夏新潮杯網絡攻防競賽基于平臺的競賽服務案例分享支持完成CTF比賽規模說明2014年11月第一屆SSCTF線上500多人次，線下30人分線上線下2014年11月寧夏網絡技能挑戰賽線下30人線下比賽2015年11月“華山杯”網絡技能挑戰賽線上800多人次，線下30人分線上線下2015年12月陜西省網絡空間技能挑戰賽線下30人線下比賽2016年2月第二屆SSCTF線上8000多人，線下30人分線上線下2016年4月29日首都網絡安全日攻防比賽線上賽選300人，線下30人分線上線下2016年7月新疆克拉瑪依“絲綢之路”杯網絡技能邀請賽線下30人線下邀請賽2016年8月中國移動蘇州總部網絡攻防比賽線下60人線下比賽2017年廈門航空攻防演練比賽線下30人線下比賽2017年寧夏公安廳新潮杯攻防競賽線上300多人次，線下45人線上線下攻防競賽規模 在2018年4月25日至4月26日，西北五省通信行業網絡安全攻防技術聯賽在西安舉行，四葉草安全作為本次比賽獨家技術支撐。2018西北五省通信行業網絡安全攻防技術聯賽 在2018 年 4 月 23 日，由陜西省委網信辦、陜西省公安廳指導，陜西省信息網絡安全協會主辦，西安四葉草信息技術有限公司（簡稱：四葉草安全）作為