計算機網絡是當前資訊共享的便捷工具,在計算機網絡使用安全方面需要引起重視,下面是本站小編整理的計算機網絡安全培訓總結,歡迎閱讀。
計算機網絡安全培訓總結範文
7月14—26日,按照資訊中心安排,我參加了德國漢斯•賽德爾基金會職業教育師資培訓項目酒泉職業技術學院培訓基地計算機網絡安全技術培訓班的學習。參加培訓的老師都是新疆和甘肅各職業院校的網絡管理員和專業課教師,爲我們培訓的老師是特聘專家南駿老師。酒泉職業技術學院培訓基地的硬件條件很好,老師也非常熱情,各個院校的老師相處的也很融洽,在這樣的學習環境中,充分調動了我的學習熱情,也讓我再次感受到做爲網絡管理員的不易,透過這次培訓我發現我該瞭解、學習的東西還很多,因此只有在平時多學習,在工作中多多運用所學的知識,才能把提高自己的業務水平。
一、用理論知識武裝自己的頭腦,充分認識網絡管理的重要性
在此次培訓中,老師花了一部分時間講述理論知識,如有關網絡安全的法律法規、網絡安全管理和網絡安全技術。先從理論知識着手,讓我們有個網絡安全知識的瞭解,雖然理論知識有點枯燥,但我清楚的知道這是基礎。
透過開始兩天的學習我認識到,要想保證網絡安全,首先要認識到網絡安全的重要性並要引起重視。而具體到我們學校,則要充分認識校內的網絡安全管理問題,正視問題,解決問題,使校內網絡管理的日常工作有條不紊的正常進行。
其次網絡安全問題要靠大家的努力,不能光靠某一個人,整個校園網本身就是一個整體,當然需要全體人員共同努力,首先每位員工都要有網絡安全意識,其次才能透過技術手段使網絡更穩定。總之培訓使我更進一步認識到了不足以及今後的工作方向,也會多學習多思考。
二、學習收穫很多,但讓需要繼續努力學習
1.學習瞭如何防範二層攻擊
網絡第二層的攻擊是網絡安全攻擊者最容易實施,也是最不容易被發現的安全威脅,它的目標是讓網絡失效或者透過獲取諸如密碼這樣的敏感資訊而危及網絡用戶的安全。因爲任何一個合法用戶都能獲取一個以太網端口的訪問權限,這些用戶都有可能成爲黑客,同時由於設計OSI模型的時候,允許不同通信層在相互不瞭解情況下也能進行工作,所以第二層的安全就變得至關重要。如果這一層受到黑客的攻擊,網絡安全將受到嚴重威脅,而且其他層之間的通信還會繼續進行,同時任何用戶都不會感覺到攻擊已經危及應用層的資訊安全。
二層攻擊主要有:
(1)MAC地址泛洪攻擊
(2)DHCP服務器欺騙攻擊
(3)ARP欺騙
(4)IP/MAC地址欺騙
他們的防範方法主要有:
(1)MAC地址泛洪攻擊防範:
限制單個端口所連接MAC地址的數目可以有效防止類似macof工具和SQL蠕蟲病毒發起的攻擊,macof可被網絡用戶用來產生隨機源MAC地址和隨機目的MAC地址的數據包,可以在不到 10秒的時間內填滿交換機的CAM表。Cisco Catalyst交換機的端口安全(Port Security)和動態端口安全功能可被用來阻止MAC氾濫攻擊。例如交換機連接單臺工作站的端口,可以限制所學MAC地址數爲1;連接IP電話和工作站的端口可限制所學MAC地址數爲3:IP電話、工作站和IP電話內的交換機。
(2)DHCP服務器欺騙攻擊防範:
爲了防止這種類型的攻擊,Catalyst DHCP偵聽(DHCP Snooping)功能可有效阻止此類攻擊,當開啟此功能,所有用戶端口除非特別設定,被認爲不可信任端口,不應該作出任何DHCP響應,因此欺詐DHCP響應包被交換機阻斷,合法的DHCP服務器端口或上連端口應被設定爲信任端口。
(3)ARP欺騙防範:
這些攻擊都可以透過動態ARP檢查(DAI,Dynamic ARP Inspection)來防止,它可以幫助保證接入交換機只傳遞“合法的”的ARP請求和應答資訊。DHCP Snooping監聽綁定表包括IP位址與MAC地址的綁定資訊並將其與特定的交換機端口相關聯,動態ARP檢測(DAI-Dynamic ARP Inspection)可以用來檢查所有非信任端口的ARP請求和應答(主動式ARP和非主動式ARP),確保應答來自真正的ARP所有者。Catalyst交換機透過檢查端口紀錄的DHCP綁定資訊和ARP應答的IP位址決定是否真正的ARP所有者,不合法的ARP包將被刪除。
(4)IP/MAC地址欺騙
Catalyst IP源地址保護(IP Source Guard)功能開啟後,可以根據DHCP偵聽記錄的IP綁定表動態產生PVACL,強制來自此端口流量的源地址符合DHCP綁定表的記錄,這樣攻擊者就無法透過假定一個合法用戶的IP位址來實施攻擊了,這個功能將只允許對擁有合法源地址的數據保進行轉發,合法源地址是與IP位址綁定表保持一致的,它也是來源於DHCP Snooping綁定表。因此,DHCP Snooping功能對於這個功能的動態實現也是必不可少的,對於那些沒有用到DHCP的網絡環境來說,該綁定表也可以靜態配置。
2.學習了虛擬化相關知識
(1)虛擬化的意義
虛擬化的基礎是虛擬機。虛擬機是一種嚴密隔離的軟件容器,它可以執行自己的操作系統和應用程序,就好像一臺物理計算機一樣。虛擬機的執行完全類似於一臺物理計算機,它包含自己的虛擬(即基於軟件實現的)CPU、RAM 硬盤和網絡接口卡 (NIC)。
操作系統無法分辨虛擬機與物理計算機之間的差異,應用程序和網絡中的其他計算機也無法分辨。即使是虛擬機本身也認爲自己是一臺“真正的”計算機。不過,虛擬機完全由軟件組成,不含任何硬件組件。因此,虛擬機具備物理硬件所沒有的很多獨特優勢。
虛擬化所帶來的好處是多方面的,總結來說主要包括了以下幾點:
l 效率:將原本一臺服務器的資源分配給了數臺虛擬化的服務器,有效的利用了閒置資源, 確保企業應用程序發揮出最高的可用性和性能。
l 隔離:雖然虛擬機可以共享一臺計算機的物理資源,但它們彼此之間仍然是完全隔離的, 就像它們是不同的物理計算機一樣。因此,在可用性和安全性方面,虛擬環境中執行的應用程序之所以遠優於在傳統的非虛擬化系統中執行的應用程序,隔離就是一個重要的原因。
l 可靠:虛擬服務器是獨立於硬件進行工作的,透過改進災難恢復解決方案提高了業務連 續性,當一臺服務器出現故障時可在最短時間內恢復且不影響整個集羣的運作,在整個數據中心實現高可用性。
l 成本:降低了部署成本,只需要更少的服務器就可以實現需要更多服務器才能做到的事 情,也間接降低了安全等其他方面的成本。
l 相容:所有的虛擬服務器都與正常的x86系統相相容,他改進了桌面管理的方式,可部 署多套不同的系統,將因相容性造成問題的可能性降至最低。
l 便於管理:提高了服務器 /管理員比率,一個管理員可以輕鬆的管理比以前更多的服務 器而不會造成更大的負擔。
(2)虛擬化平臺
vSphere是VMware推出的基於雲計算的新一代數據中心虛擬化套件,提供了虛擬化基礎架構、高可用性、集中管理、監控等一整套解決方案。
VMware最新發布的vSphere或許是IT計算深入發展的最好象徵,vSphere指引雲計算深入滲透到企業的IT架構中,使用 vSphere將之前企業IT的虛擬化平臺擴展至更高的應用層次:雲計算,將服務器硬件資源:CPU時間、內存和存儲空間一一融合在同一個池中的資源,按照需求調配給不同的計算負載上。 據VMware稱vSphere是IT業第一個雲操作系統,vSphere不僅繼承了上一代VMware虛擬平臺——Infrastructure 3(簡稱VI3)的性能,而且還加以擴展和完善,立於一個更加成熟的虛擬化平臺上,爲內部雲計算和外部雲計算奠定基礎,有理有據地搭建雲計算橋樑——創建 一朵安全的私有云。任何IT組織都可以透過vSphere享有云計算的所有好處,加大對基礎架構的控制力,同時在操作系統,應用程序和硬件設備方面具有更 廣闊的選擇空間,用最低的成本即可得到進階的應用軟件服務。
(3)虛擬化的架構
由於虛擬化技術能夠透過資源共享與合併資源來提高效率並降低成本,它已經被迅速地應用於數據中心與其他設備上。在網絡核心,由於受到法規、運營、組織以及安全等各方面的影響,使不同網絡與服務的虛擬化工作,變得更具有挑戰性。 降低資金成本和運營成本,並提高運營效率和靈活性。在服務器整合的基礎上更進一步,部署標準的虛擬化平臺來實現整個 IT 基礎架構的自動化。利用虛擬化的強大功能更有效地管理 IT 容量,提供更高的服務級別,並簡化 IT 流程。因此,我們爲 IT 基礎架構的虛擬化創造了一個術語,將其稱作“虛擬基礎架構”。 以前的虛擬軟件必須是裝在一個操作系統上,然後再在虛擬軟件之上安裝虛擬機,再其中執行虛擬的系統及其應用。而在當前的架構下,虛擬機可以透過虛擬機管理器(Virtual Machine Monitor,簡稱VMM)來進行管理的。 VMM是在底層實現對其上的虛擬機的管理和支援。但現在許多的.硬件,比如Intel 的CPU已經對虛擬化技術做了硬件支援,大多數VMM就可以直接裝在裸機上,在其上再裝幾個虛擬機就可以就大大提升了虛擬化環境下的性能體驗。
我透過學習,還總結出了在校園網網絡安全管理中,爲教職員工提供完成其本職工作所需要的資訊訪問權限、避免未經授權的人改變個人的關鍵文檔、平衡訪問速度與安全控制三方面分別有以下三大原則。
原則一:最小權限原則
最小權限原則要求我們在校內網絡安全管理中,爲教職員工僅僅提供完成其本職工作所需要的資訊訪問權限,而不提供其他額外的權限。
原則二:完整性原則
完整性原則指我們在校內網絡安全管理中,要確保未經授權的個人不能改變或者刪除資訊,尤其要避免未經授權的人改變校內的關鍵文檔,如校內的財務資訊等等。
完整性原則在校內網絡安全應用中,主要體現在兩個方面。
一是未經授權的人,不能更改資訊記錄。
二是指若有人修改時,必須要儲存修改的歷史記錄,以便後續查詢。
總之,完整性原則要求我們在安全管理的工作中,要避免未經授權的人對資訊的非法修改,及資訊的內容修改要保留歷史記錄。
原則三:速度與控制之間平衡的原則
我們在對資訊作了種種限制的時候,必然會對資訊的訪問速度產生影響,勢必就會對工作效率產生一定的影響。這就需要我們對訪問速度與安全控制之間找到一個平衡點,或者說是兩者之間進行妥協。
爲了達到這個平衡的目的,我們可以如此做。
一是把檔案資訊進行根據安全性進行分級。對一些不怎麼重要的資訊,我們可以把安全控制的級別降低,從而來提高用戶的工作效率。如對於一些資訊化管理系統的報表,我們可以設定比較低的權限,如在同一部門內部員工可以察看各種文檔,服務器規劃、配置等資訊,畢竟這只是查詢,不會對數據進行修改。
二是儘量在組的級別上進行管理,而不是在用戶的級別上進行權限控制。我們試想一下,若臺內的檔案服務器上有500個員工帳戶,若一一爲他們設定檔案服務器訪問權限的話,那麼我們的工作量會有多大。所以,此時我們應該利用組的級別上進行權限控制。把具有相同權限的人歸類爲一組,如一個部門的普通員工就可以歸屬爲一組,如此的話,就可以把用戶歸屬於這個組,我們只需要在組的級別上進行維護,從而到達快速管理與控制的目的。如我們在進行ERP等資訊化管理系統的權限管理時,利用組權限控制以及一些例外控制規則,就可以實現對資訊的全面安全管理,而且,其管理的效率也會比較高。
三是要慎用臨時權限。若我們爲了應付一時之需,盲目的給員工走後門、開綠色通道,那麼就會增加數據的安全風險。
總之,透過本次培訓,我有了一些體會和收穫。我會將這些收穫應用到日常工作中去,讓自己的業務水平更上一層樓。