計(jì)算機(jī)網(wǎng)絡(luò)安全培訓(xùn)總結(jié)
計(jì)算機(jī)網(wǎng)絡(luò)是當(dāng)前信息共享的便捷工具,在計(jì)算機(jī)網(wǎng)絡(luò)使用安全方面需要引起重視,下面是YJBYS小編整理的計(jì)算機(jī)網(wǎng)絡(luò)安全培訓(xùn)總結(jié),歡迎閱讀。
計(jì)算機(jī)網(wǎng)絡(luò)安全培訓(xùn)總結(jié)范文
7月14—26日,按照信息中心安排,我參加了德國(guó)漢斯•賽德?tīng)柣饡?huì)職業(yè)教育師資培訓(xùn)項(xiàng)目酒泉職業(yè)技術(shù)學(xué)院培訓(xùn)基地計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)培訓(xùn)班的學(xué)習(xí)。參加培訓(xùn)的老師都是新疆和甘肅各職業(yè)院校的網(wǎng)絡(luò)管理員和專業(yè)課教師,為我們培訓(xùn)的老師是特聘專家南駿老師。酒泉職業(yè)技術(shù)學(xué)院培訓(xùn)基地的硬件條件很好,老師也非常熱情,各個(gè)院校的老師相處的也很融洽,在這樣的學(xué)習(xí)環(huán)境中,充分調(diào)動(dòng)了我的學(xué)習(xí)熱情,也讓我再次感受到做為網(wǎng)絡(luò)管理員的不易,通過(guò)這次培訓(xùn)我發(fā)現(xiàn)我該了解、學(xué)習(xí)的東西還很多,因此只有在平時(shí)多學(xué)習(xí),在工作中多多運(yùn)用所學(xué)的知識(shí),才能把提高自己的業(yè)務(wù)水平。
一、用理論知識(shí)武裝自己的頭腦,充分認(rèn)識(shí)網(wǎng)絡(luò)管理的重要性
在此次培訓(xùn)中,老師花了一部分時(shí)間講述理論知識(shí),如有關(guān)網(wǎng)絡(luò)安全的法律法規(guī)、網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)安全技術(shù)。先從理論知識(shí)著手,讓我們有個(gè)網(wǎng)絡(luò)安全知識(shí)的了解,雖然理論知識(shí)有點(diǎn)枯燥,但我清楚的知道這是基礎(chǔ)。
通過(guò)開(kāi)始兩天的學(xué)習(xí)我認(rèn)識(shí)到,要想保證網(wǎng)絡(luò)安全,首先要認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性并要引起重視。而具體到我們學(xué)校,則要充分認(rèn)識(shí)校內(nèi)的網(wǎng)絡(luò)安全管理問(wèn)題,正視問(wèn)題,解決問(wèn)題,使校內(nèi)網(wǎng)絡(luò)管理的日常工作有條不紊的正常進(jìn)行。
其次網(wǎng)絡(luò)安全問(wèn)題要靠大家的努力,不能光靠某一個(gè)人,整個(gè)校園網(wǎng)本身就是一個(gè)整體,當(dāng)然需要全體人員共同努力,首先每位員工都要有網(wǎng)絡(luò)安全意識(shí),其次才能通過(guò)技術(shù)手段使網(wǎng)絡(luò)更穩(wěn)定。總之培訓(xùn)使我更進(jìn)一步認(rèn)識(shí)到了不足以及今后的工作方向,也會(huì)多學(xué)習(xí)多思考。
二、學(xué)習(xí)收獲很多,但讓需要繼續(xù)努力學(xué)習(xí)
1.學(xué)習(xí)了如何防范二層攻擊
網(wǎng)絡(luò)第二層的攻擊是網(wǎng)絡(luò)安全攻擊者最容易實(shí)施,也是最不容易被發(fā)現(xiàn)的安全威脅,它的目標(biāo)是讓網(wǎng)絡(luò)失效或者通過(guò)獲取諸如密碼這樣的敏感信息而危及網(wǎng)絡(luò)用戶的安全。因?yàn)槿魏我粋(gè)合法用戶都能獲取一個(gè)以太網(wǎng)端口的訪問(wèn)權(quán)限,這些用戶都有可能成為黑客,同時(shí)由于設(shè)計(jì)OSI模型的時(shí)候,允許不同通信層在相互不了解情況下也能進(jìn)行工作,所以第二層的安全就變得至關(guān)重要。如果這一層受到黑客的攻擊,網(wǎng)絡(luò)安全將受到嚴(yán)重威脅,而且其他層之間的通信還會(huì)繼續(xù)進(jìn)行,同時(shí)任何用戶都不會(huì)感覺(jué)到攻擊已經(jīng)危及應(yīng)用層的信息安全。
二層攻擊主要有:
(1)MAC地址泛洪攻擊
(2)DHCP服務(wù)器欺騙攻擊
(3)ARP欺騙
(4)IP/MAC地址欺騙
他們的防范方法主要有:
(1)MAC地址泛洪攻擊防范:
限制單個(gè)端口所連接MAC地址的數(shù)目可以有效防止類似macof工具和SQL蠕蟲病毒發(fā)起的攻擊,macof可被網(wǎng)絡(luò)用戶用來(lái)產(chǎn)生隨機(jī)源MAC地址和隨機(jī)目的MAC地址的數(shù)據(jù)包,可以在不到 10秒的時(shí)間內(nèi)填滿交換機(jī)的CAM表。Cisco Catalyst交換機(jī)的端口安全(Port Security)和動(dòng)態(tài)端口安全功能可被用來(lái)阻止MAC泛濫攻擊。例如交換機(jī)連接單臺(tái)工作站的端口,可以限制所學(xué)MAC地址數(shù)為1;連接IP電話和工作站的端口可限制所學(xué)MAC地址數(shù)為3:IP電話、工作站和IP電話內(nèi)的交換機(jī)。
(2)DHCP服務(wù)器欺騙攻擊防范:
為了防止這種類型的攻擊,Catalyst DHCP偵聽(tīng)(DHCP Snooping)功能可有效阻止此類攻擊,當(dāng)打開(kāi)此功能,所有用戶端口除非特別設(shè)置,被認(rèn)為不可信任端口,不應(yīng)該作出任何DHCP響應(yīng),因此欺詐DHCP響應(yīng)包被交換機(jī)阻斷,合法的DHCP服務(wù)器端口或上連端口應(yīng)被設(shè)置為信任端口。
(3)ARP欺騙防范:
這些攻擊都可以通過(guò)動(dòng)態(tài)ARP檢查(DAI,Dynamic ARP Inspection)來(lái)防止,它可以幫助保證接入交換機(jī)只傳遞“合法的”的ARP請(qǐng)求和應(yīng)答信息。DHCP Snooping監(jiān)聽(tīng)綁定表包括IP地址與MAC地址的綁定信息并將其與特定的交換機(jī)端口相關(guān)聯(lián),動(dòng)態(tài)ARP檢測(cè)(DAI-Dynamic ARP Inspection)可以用來(lái)檢查所有非信任端口的ARP請(qǐng)求和應(yīng)答(主動(dòng)式ARP和非主動(dòng)式ARP),確保應(yīng)答來(lái)自真正的ARP所有者。Catalyst交換機(jī)通過(guò)檢查端口紀(jì)錄的DHCP綁定信息和ARP應(yīng)答的IP地址決定是否真正的ARP所有者,不合法的ARP包將被刪除。
(4)IP/MAC地址欺騙
Catalyst IP源地址保護(hù)(IP Source Guard)功能打開(kāi)后,可以根據(jù)DHCP偵聽(tīng)記錄的IP綁定表動(dòng)態(tài)產(chǎn)生PVACL,強(qiáng)制來(lái)自此端口流量的源地址符合DHCP綁定表的記錄,這樣攻擊者就無(wú)法通過(guò)假定一個(gè)合法用戶的IP地址來(lái)實(shí)施攻擊了,這個(gè)功能將只允許對(duì)擁有合法源地址的數(shù)據(jù)保進(jìn)行轉(zhuǎn)發(fā),合法源地址是與IP地址綁定表保持一致的,它也是來(lái)源于DHCP Snooping綁定表。因此,DHCP Snooping功能對(duì)于這個(gè)功能的動(dòng)態(tài)實(shí)現(xiàn)也是必不可少的,對(duì)于那些沒(méi)有用到DHCP的網(wǎng)絡(luò)環(huán)境來(lái)說(shuō),該綁定表也可以靜態(tài)配置。
2.學(xué)習(xí)了虛擬化相關(guān)知識(shí)
(1)虛擬化的意義
虛擬化的基礎(chǔ)是虛擬機(jī)。虛擬機(jī)是一種嚴(yán)密隔離的軟件容器,它可以運(yùn)行自己的操作系統(tǒng)和應(yīng)用程序,就好像一臺(tái)物理計(jì)算機(jī)一樣。虛擬機(jī)的運(yùn)行完全類似于一臺(tái)物理計(jì)算機(jī),它包含自己的虛擬(即基于軟件實(shí)現(xiàn)的)CPU、RAM 硬盤和網(wǎng)絡(luò)接口卡 (NIC)。
操作系統(tǒng)無(wú)法分辨虛擬機(jī)與物理計(jì)算機(jī)之間的差異,應(yīng)用程序和網(wǎng)絡(luò)中的其他計(jì)算機(jī)也無(wú)法分辨。即使是虛擬機(jī)本身也認(rèn)為自己是一臺(tái)“真正的”計(jì)算機(jī)。不過(guò),虛擬機(jī)完全由軟件組成,不含任何硬件組件。因此,虛擬機(jī)具備物理硬件所沒(méi)有的很多獨(dú)特優(yōu)勢(shì)。
虛擬化所帶來(lái)的好處是多方面的,總結(jié)來(lái)說(shuō)主要包括了以下幾點(diǎn):
l 效率:將原本一臺(tái)服務(wù)器的資源分配給了數(shù)臺(tái)虛擬化的服務(wù)器,有效的利用了閑置資源, 確保企業(yè)應(yīng)用程序發(fā)揮出最高的可用性和性能。
l 隔離:雖然虛擬機(jī)可以共享一臺(tái)計(jì)算機(jī)的物理資源,但它們彼此之間仍然是完全隔離的, 就像它們是不同的物理計(jì)算機(jī)一樣。因此,在可用性和安全性方面,虛擬環(huán)境中運(yùn)行的應(yīng)用程序之所以遠(yuǎn)優(yōu)于在傳統(tǒng)的非虛擬化系統(tǒng)中運(yùn)行的應(yīng)用程序,隔離就是一個(gè)重要的原因。
l 可靠:虛擬服務(wù)器是獨(dú)立于硬件進(jìn)行工作的,通過(guò)改進(jìn)災(zāi)難恢復(fù)解決方案提高了業(yè)務(wù)連 續(xù)性,當(dāng)一臺(tái)服務(wù)器出現(xiàn)故障時(shí)可在最短時(shí)間內(nèi)恢復(fù)且不影響整個(gè)集群的運(yùn)作,在整個(gè)數(shù)據(jù)中心實(shí)現(xiàn)高可用性。
l 成本:降低了部署成本,只需要更少的服務(wù)器就可以實(shí)現(xiàn)需要更多服務(wù)器才能做到的事 情,也間接降低了安全等其他方面的成本。
l 兼容:所有的虛擬服務(wù)器都與正常的x86系統(tǒng)相兼容,他改進(jìn)了桌面管理的方式,可部 署多套不同的系統(tǒng),將因兼容性造成問(wèn)題的可能性降至最低。
l 便于管理:提高了服務(wù)器 /管理員比率,一個(gè)管理員可以輕松的管理比以前更多的服務(wù) 器而不會(huì)造成更大的負(fù)擔(dān)。
(2)虛擬化平臺(tái)
vSphere是VMware推出的基于云計(jì)算的新一代數(shù)據(jù)中心虛擬化套件,提供了虛擬化基礎(chǔ)架構(gòu)、高可用性、集中管理、監(jiān)控等一整套解決方案。
VMware最新發(fā)布的vSphere或許是IT計(jì)算深入發(fā)展的最好象征,vSphere指引云計(jì)算深入滲透到企業(yè)的IT架構(gòu)中,使用 vSphere將之前企業(yè)IT的虛擬化平臺(tái)擴(kuò)展至更高的應(yīng)用層次:云計(jì)算,將服務(wù)器硬件資源:CPU時(shí)間、內(nèi)存和存儲(chǔ)空間一一融合在同一個(gè)池中的資源,按照需求調(diào)配給不同的計(jì)算負(fù)載上。 據(jù)VMware稱vSphere是IT業(yè)第一個(gè)云操作系統(tǒng),vSphere不僅繼承了上一代VMware虛擬平臺(tái)——Infrastructure 3(簡(jiǎn)稱VI3)的性能,而且還加以擴(kuò)展和完善,立于一個(gè)更加成熟的虛擬化平臺(tái)上,為內(nèi)部云計(jì)算和外部云計(jì)算奠定基礎(chǔ),有理有據(jù)地搭建云計(jì)算橋梁——創(chuàng)建 一朵安全的私有云。任何IT組織都可以通過(guò)vSphere享有云計(jì)算的所有好處,加大對(duì)基礎(chǔ)架構(gòu)的控制力,同時(shí)在操作系統(tǒng),應(yīng)用程序和硬件設(shè)備方面具有更 廣闊的選擇空間,用最低的成本即可得到高級(jí)的應(yīng)用軟件服務(wù)。
(3)虛擬化的架構(gòu)
由于虛擬化技術(shù)能夠通過(guò)資源共享與合并資源來(lái)提高效率并降低成本,它已經(jīng)被迅速地應(yīng)用于數(shù)據(jù)中心與其他設(shè)備上。在網(wǎng)絡(luò)核心,由于受到法規(guī)、運(yùn)營(yíng)、組織以及安全等各方面的影響,使不同網(wǎng)絡(luò)與服務(wù)的虛擬化工作,變得更具有挑戰(zhàn)性。 降低資金成本和運(yùn)營(yíng)成本,并提高運(yùn)營(yíng)效率和靈活性。在服務(wù)器整合的基礎(chǔ)上更進(jìn)一步,部署標(biāo)準(zhǔn)的虛擬化平臺(tái)來(lái)實(shí)現(xiàn)整個(gè) IT 基礎(chǔ)架構(gòu)的自動(dòng)化。利用虛擬化的強(qiáng)大功能更有效地管理 IT 容量,提供更高的服務(wù)級(jí)別,并簡(jiǎn)化 IT 流程。因此,我們?yōu)?IT 基礎(chǔ)架構(gòu)的虛擬化創(chuàng)造了一個(gè)術(shù)語(yǔ),將其稱作“虛擬基礎(chǔ)架構(gòu)”。 以前的虛擬軟件必須是裝在一個(gè)操作系統(tǒng)上,然后再在虛擬軟件之上安裝虛擬機(jī),再其中運(yùn)行虛擬的系統(tǒng)及其應(yīng)用。而在當(dāng)前的架構(gòu)下,虛擬機(jī)可以通過(guò)虛擬機(jī)管理器(Virtual Machine Monitor,簡(jiǎn)稱VMM)來(lái)進(jìn)行管理的。 VMM是在底層實(shí)現(xiàn)對(duì)其上的虛擬機(jī)的管理和支持。但現(xiàn)在許多的.硬件,比如Intel 的CPU已經(jīng)對(duì)虛擬化技術(shù)做了硬件支持,大多數(shù)VMM就可以直接裝在裸機(jī)上,在其上再裝幾個(gè)虛擬機(jī)就可以就大大提升了虛擬化環(huán)境下的性能體驗(yàn)。
我通過(guò)學(xué)習(xí),還總結(jié)出了在校園網(wǎng)網(wǎng)絡(luò)安全管理中,為教職員工提供完成其本職工作所需要的信息訪問(wèn)權(quán)限、避免未經(jīng)授權(quán)的人改變個(gè)人的關(guān)鍵文檔、平衡訪問(wèn)速度與安全控制三方面分別有以下三大原則。
原則一:最小權(quán)限原則
最小權(quán)限原則要求我們?cè)谛?nèi)網(wǎng)絡(luò)安全管理中,為教職員工僅僅提供完成其本職工作所需要的信息訪問(wèn)權(quán)限,而不提供其他額外的權(quán)限。
原則二:完整性原則
完整性原則指我們?cè)谛?nèi)網(wǎng)絡(luò)安全管理中,要確保未經(jīng)授權(quán)的個(gè)人不能改變或者刪除信息,尤其要避免未經(jīng)授權(quán)的人改變校內(nèi)的關(guān)鍵文檔,如校內(nèi)的財(cái)務(wù)信息等等。
完整性原則在校內(nèi)網(wǎng)絡(luò)安全應(yīng)用中,主要體現(xiàn)在兩個(gè)方面。
一是未經(jīng)授權(quán)的人,不能更改信息記錄。
二是指若有人修改時(shí),必須要保存修改的歷史記錄,以便后續(xù)查詢。
總之,完整性原則要求我們?cè)诎踩芾淼墓ぷ髦,要避免未?jīng)授權(quán)的人對(duì)信息的非法修改,及信息的內(nèi)容修改要保留歷史記錄。
原則三:速度與控制之間平衡的原則
我們?cè)趯?duì)信息作了種種限制的時(shí)候,必然會(huì)對(duì)信息的訪問(wèn)速度產(chǎn)生影響,勢(shì)必就會(huì)對(duì)工作效率產(chǎn)生一定的影響。這就需要我們對(duì)訪問(wèn)速度與安全控制之間找到一個(gè)平衡點(diǎn),或者說(shuō)是兩者之間進(jìn)行妥協(xié)。
為了達(dá)到這個(gè)平衡的目的,我們可以如此做。
一是把文件信息進(jìn)行根據(jù)安全性進(jìn)行分級(jí)。對(duì)一些不怎么重要的信息,我們可以把安全控制的級(jí)別降低,從而來(lái)提高用戶的工作效率。如對(duì)于一些信息化管理系統(tǒng)的報(bào)表,我們可以設(shè)置比較低的權(quán)限,如在同一部門內(nèi)部員工可以察看各種文檔,服務(wù)器規(guī)劃、配置等信息,畢竟這只是查詢,不會(huì)對(duì)數(shù)據(jù)進(jìn)行修改。
二是盡量在組的級(jí)別上進(jìn)行管理,而不是在用戶的級(jí)別上進(jìn)行權(quán)限控制。我們?cè)囅胍幌拢襞_(tái)內(nèi)的文件服務(wù)器上有500個(gè)員工帳戶,若一一為他們?cè)O(shè)置文件服務(wù)器訪問(wèn)權(quán)限的話,那么我們的工作量會(huì)有多大。所以,此時(shí)我們應(yīng)該利用組的級(jí)別上進(jìn)行權(quán)限控制。把具有相同權(quán)限的人歸類為一組,如一個(gè)部門的普通員工就可以歸屬為一組,如此的話,就可以把用戶歸屬于這個(gè)組,我們只需要在組的級(jí)別上進(jìn)行維護(hù),從而到達(dá)快速管理與控制的目的。如我們?cè)谶M(jìn)行ERP等信息化管理系統(tǒng)的權(quán)限管理時(shí),利用組權(quán)限控制以及一些例外控制規(guī)則,就可以實(shí)現(xiàn)對(duì)信息的全面安全管理,而且,其管理的效率也會(huì)比較高。
三是要慎用臨時(shí)權(quán)限。若我們?yōu)榱藨?yīng)付一時(shí)之需,盲目的給員工走后門、開(kāi)綠色通道,那么就會(huì)增加數(shù)據(jù)的安全風(fēng)險(xiǎn)。
總之,通過(guò)本次培訓(xùn),我有了一些體會(huì)和收獲。我會(huì)將這些收獲應(yīng)用到日常工作中去,讓自己的業(yè)務(wù)水平更上一層樓。
【計(jì)算機(jī)網(wǎng)絡(luò)安全培訓(xùn)總結(jié)】相關(guān)文章:
中職培訓(xùn)計(jì)算機(jī)學(xué)習(xí)總結(jié)11-29
醫(yī)院網(wǎng)絡(luò)安全計(jì)算機(jī)維護(hù)論文08-02
小學(xué)教師計(jì)算機(jī)培訓(xùn)總結(jié)12-29
計(jì)算機(jī)神經(jīng)網(wǎng)絡(luò)安全評(píng)析論文07-12
年度職稱計(jì)算機(jī)培訓(xùn)工作總結(jié)01-20
計(jì)算機(jī)網(wǎng)絡(luò)安全及防范策略08-24
高職院校計(jì)算機(jī)網(wǎng)絡(luò)安全管理08-05
計(jì)算機(jī)病毒防范與網(wǎng)絡(luò)安全研究論文07-12