【IT专家网独家】在信息安全领域，持续进行的安全培训、研究和实践检查是必须保证的。但是在经济危机时期，培训是第一批被取消的项目之一，所有办法之一就是采取主动创建替代培训方式，如建立内部安全测试实验室。

　　在自己的实验室环境提供操作实践培训和测试(并不一定要模仿你的生产环境)，可以提供更加有利的条件，因为实验室环境更灵活更容易自定义培训环境。

　　内部安全测试实验室是企业的重要资产，能够帮助企业节省培训和相关费用的开支，并能作为在线培训或者小型会议的补充资源。内部研究和培训可以代替旅行培训，那些可能要花费一大笔开销。

　　对于信息专业人员而言，在内部实验室他们可以测试所有最新最热门的工具，这些工具可能来自Twitter看到的新闻或者某次不能参加的安全会议，而且现在有很多会议视频被放到网上，即使不能参与，也能查看会议内容，并立即适用于测试实验室。

　　另一个好处就是实践实验室培训可以自定义进度，而不是像很多课程折磨人的速度。或者预算允许的情况下，让工作人员参与培训课程，实验室仍然可以作为加强培训内容的资源。

　　在决定建立安全测试实验室前，你需要回答以下几个问题以确定实验室的设计和目的：

　　·建立实验室只是为了测试新的安全工具和控制环境的漏洞么?

　　·实验室会用于演练网络环境吗?在这个环境中多名工作人员作为攻击者或者维护者?

　　·会模拟事件响应情况吗?即一个组成员攻击一个系统?

　　回答这些问题可以帮助你确定你需要的计算机或者服务器数量、虚拟化设备、网络设备和空间的需要。如果目标只是为了测试新工具和漏洞，那么拥有预设虚拟机(VM)的简单环境就已经足够。理想的环境是，在企业使用的每个操作系统都可以在试验环境中建立不同级别的VM，根据工具或者开发软件的不同，不同的VM可以进行联机测试。

　　要求更高的试验环境自然需要更多的硬件，包括服务器和网络硬件等。这些服务器可以托管多个VM，网络可以包括交换机和防火墙。演习可以是虚构的，让一小组发动攻击，另一组进行保护。

　　调查员和事故应急员也需要保持他们技能的更新，因此分析上述情况的系统情况也是很有用的。由于很多事故往往是以HR调查或者内部攻击为中心的，员工可以创建基于不同情况的VM来代表一次内部攻击、员工不当操作或者类似问题。然后将该VM给其他人员进行分析，看他们是否能获取所有线索，并下一份相信报告。

　　花费时间和资源在实验室的企业可能会发现员工很愿意为新威胁做准备措施，实践操作可以让企业测试先进工具和技术以了解其运行方式以及是否适应于进攻性和防御性环境。另外，在非工作网络测试工具可以避免意想不到的问题和故障。