前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業(yè)網(wǎng)絡安全實施方案主題范文,僅供參考,歡迎閱讀并收藏。
【關鍵詞】企業(yè) 網(wǎng)絡安全 措施
網(wǎng)絡安全涉及到的問題非常多,如防病毒、防入侵破壞、防信息盜竊、用戶身份驗證等,這些都不是由單一產(chǎn)品來完成,也不可能由單一產(chǎn)品來完成,因此網(wǎng)絡安全也必須從整體策略來考慮。網(wǎng)絡安全防護體系必須是一個動態(tài)的防護體系,需要不斷監(jiān)測與更新,只有這樣才能保障網(wǎng)絡安全。從安全角度看,企業(yè)接入Internet網(wǎng)絡前的檢測與評估是保障網(wǎng)絡安全的重要措施。但大多數(shù)企業(yè)沒有這樣做,就把企業(yè)接入了Internet?;诖饲闆r,企業(yè)應從以下幾個方面對網(wǎng)絡安全進行檢測與評估,從而制定有針對性的防范措施。
1 檢測排除硬件、軟件系統(tǒng)
1.1 網(wǎng)絡設備
重點檢測與評估連接不同網(wǎng)段的設備和連接廣域網(wǎng)(WAN)的設備,如Switch、網(wǎng)橋和路由器等。這些網(wǎng)絡設備都有一些基本的安全功能,如密碼設置、存取控制列表、VLAN等,首先應充分利用這些設備的功能。
1.2 數(shù)據(jù)庫及應用軟件
數(shù)據(jù)庫在信息系統(tǒng)中的應用越來越廣泛,其重要性也越來越強,銀行用戶賬號信息、網(wǎng)站的登記用戶信息、企業(yè)財務信息、企業(yè)庫存及銷售信息等都存在各種數(shù)據(jù)庫中。數(shù)據(jù)庫也具有許多安全特性,如用戶的權限設置、數(shù)據(jù)表的安全性、備份特性等,利用好這些特性也是同網(wǎng)絡安全系統(tǒng)很好配合的關鍵。
1.3 E-mail系統(tǒng)
E-mail系統(tǒng)比數(shù)據(jù)庫應用還要廣泛,而網(wǎng)絡中的絕大部分病毒是由E-mail帶來的,因此,其檢測與評估也變得十分重要。
1.4 Web站點
許多Web Server軟件(如IIS等)有許多安全漏洞,相應的產(chǎn)品供應商也在不斷解決這些問題。通過檢測與評估,進行合理的設置與安全補丁程序,可以把不安全危險盡量降低。
2 建立安全體系結構,有針對性的解決網(wǎng)絡安全問題
2.1 物理安全
物理安全是指在物理介質層次上對存儲和傳輸?shù)木W(wǎng)絡信息進行安全保護,是網(wǎng)絡信息安全的基本保障。建立物理安全體系結構應從3個方面考慮:一是自然災害(地震、火災、洪水)、物理損壞(硬盤損壞、設備使用到期、外力損壞)和設備故障(停電斷電、電磁干擾);二是電磁輻射、乘機而入、痕跡泄漏等;三是操作失誤(格式硬盤、線路拆除)、意外疏漏等。
2.2 操作系統(tǒng)安全
網(wǎng)絡操作系統(tǒng)是網(wǎng)絡信息系統(tǒng)的核心,其安全性占據(jù)十分重要的地位。根據(jù)美國的“可信計算機系統(tǒng)評估準則”,把計算機系統(tǒng)的安全性從高到低分為4個等級:A、B、C、D。DOS、Windows 3.x/95、MacOS 7.1等屬于D級,即最不安全的。Windows NT/2000/XP、Unix、Netware等則屬于C2級,一些專用的操作系統(tǒng)可能會達到B級。C2級操作系統(tǒng)已經(jīng)有了許多安全特性,但必須對其進行合理的設置和管理,才能使其發(fā)揮作用。如在Windows NT下設置共享權限時,缺省設置是所有用戶都是“Full Control”權限,必須對其進行更改。
2.3 使用ACL封堵常見病毒端口
大多數(shù)病毒都是通過TCP的135(Microsoft RPC),136-139(NetBIOS),445(Microsoft DS),1068,555,9996,2046,4444,1434,UDP的135,136,137,138,139,445,5554,9996,2046,4444,1434端口進行傳播的。利用Extended access-list禁用某些病毒的傳播端口,并將IP訪問列表應用到相應的VLAN和端口可以有效防止病毒的傳播。
Extended ACL 配置
access-list 102 deny tcp any anyeq 135
access-list 102 deny tcp any anyeq 136
access-list 102 deny tcp any anyeq 137
access-list 102 deny tcp any anyeq 138
access-list 102 deny tcp any anyeq 139
access-list 102 deny tcp any anyeq 445
access-list 102 deny tcp any anyeq 1068
access-list 102 deny udp any anyeq 135
access-list 102 deny udp any anyeq 136
access-list 102 deny udp any anyeq 137
access-list 102 deny udp any anyeq 138
access-list 102 deny udp any anyeq 139
access-list 102 deny udp any anyeq 445
access-list 102 deny tcp any anyeq 5554
access-list 102 deny udp any anyeq 5554
access-list 102 deny tcp any anyeq 9996
access-list 102 deny udp any anyeq 9996
access-list 102 deny tcp any anyeq 2046
access-list 102 deny udp any anyeq 2046
access-list 102 deny tcp any anyeq 4444
access-list 102 deny udp any anyeq 4444
access-list 102 deny tcp any anyeq 1434
access-list 102 deny udp any anyeq 1434
access-list 102 permit ip any any
access-list 102 permit tcp any any
access-list 102 permit udp any any
將ACL應用到各VLAN,配置命令如下(vlan1-10可以根據(jù)實際情況改變)
interface range vlan 1 - 10
ip access-group 102 in
ip access-group 102 out
exit
配置命令后在路由器上使用show access-list查看ACL的配置。
2.4 封堵p2p端口
企業(yè)將自己的內網(wǎng)與其外網(wǎng)相連,雖然這樣可以從網(wǎng)上得到很多對公司有利的商機,但是有些企業(yè)內部員工,還要使用P2P軟件非法占用公共的網(wǎng)絡資源,從而影響到了其他人員的辦公。由于雇員濫用對等(P2P)網(wǎng)絡技術共享音樂和視頻,這項技術已經(jīng)直接影響到企業(yè)的利益。由于目前國內企業(yè)一般只有有限的帶寬,而P2P的出現(xiàn)在給你帶來好處的同時,也給網(wǎng)絡帶寬帶來了巨大的壓力,尤其在用來進行大量數(shù)據(jù)下載的時候,很容易導致企業(yè)的其他業(yè)務無法正常進行。
我們可以在出口路由上利用Extended access-list 控制列表限制p2p端口。
Router (config)#access-list 110 deny tcp any any range 6881 6890
Router (config)#access-list 110 permit ip any any
Router (config)#interface fastethernet0/0
Router (config-if)#ip access-group 111 in
另外,如果需要保證網(wǎng)絡的絕對安全性,則可以利用ACL只開放常用的端口,其他所有端口全部禁用。由于這樣做很大限度地限制了通信端口,故沒有在實際試驗中使用,因為會導致整個網(wǎng)絡的通訊受到影響,該規(guī)則只適合用于對網(wǎng)絡通信要求非常嚴格的網(wǎng)絡環(huán)境下。
Router(config)#access-list 112 permit tcp any anyeq 25
Router(config)#access-list 112 permit tcp any anyeq 53
Router(config)#access-list 112 permit tcp any anyeq 80
Router(config)#access-list 112 permit tcp any anyeq 110
Router(config)#access-list 112 deny ip any any
參考文獻
[1]石志國.計算機網(wǎng)絡安全教程[M].北京:清華大學出版社,2009.
[2]姚奇富.網(wǎng)絡安全技術[M].北京:中國水利水電出版社[],2015.
[3]龍銀香.網(wǎng)絡管理與維護[M].大連:大連理工大學出版社,2012.
[4]鄧秀慧.路由與交換技術[M].北京:電子工業(yè)出版社,2012.
[5]李建林.局域網(wǎng)交換機和路由器的配置與管理[M].北京:電子工業(yè)出版社,2013.
關鍵詞 網(wǎng)絡安全;方案設計;方案實現(xiàn)
中圖分類號 G271 文獻標識碼 A 文章編號 1673-9671-(2012)111-0142-01
計算機網(wǎng)絡的安全運行,是關系到一個企業(yè)發(fā)展的重要問題,如何能使得企業(yè)網(wǎng)絡更為安全,如今已經(jīng)成為了一個熱議的話題。影響網(wǎng)絡安全的因素有很多種,保護網(wǎng)絡安全的手段、技術也很多。對于網(wǎng)絡安全的保護我們一般都是通過防火墻、加密系統(tǒng)、防病毒系統(tǒng)、身份認證等等方面來保護網(wǎng)絡的安全。為了保護網(wǎng)絡系統(tǒng)的安全,我們必須要結合網(wǎng)絡的具體需求,把多種安全措施進行總結,建立一個立體的、全面的、多層次網(wǎng)絡安全防御系統(tǒng)。
1 影響網(wǎng)絡安全的因素
網(wǎng)絡信息的安全問題日益嚴重,這不僅會使企業(yè)遭受到巨大的經(jīng)濟損失,也影響到國家的安全。
如何避免網(wǎng)絡安全問題的產(chǎn)生,我們必須要清楚因法網(wǎng)絡安全問題的因素有哪些。我們主要把網(wǎng)絡安全問題歸納為以下幾個方面:
1.1 人為失誤
人為失去指的是在在無意識的情況下造成的失誤,進而引發(fā)網(wǎng)絡安全問題。如“非法操作、口令的丟失、資源訪問時控制不合理、管理人員疏忽大意等,這些都會對企業(yè)網(wǎng)絡系統(tǒng)造成很大的破壞,引發(fā)網(wǎng)絡安全問題。
1.2 病毒感染
病毒一直以來,都是能夠對計算機安全夠成直接威脅的因素,而網(wǎng)絡更能夠為病毒提供迅速快捷的傳播途徑,病毒很容易通過服務器以軟件的方式下載、郵件等方式進入網(wǎng)絡,然后對計算機網(wǎng)絡進行攻擊、破壞,進而會造成很大的經(jīng)濟損失。
1.3 來自企業(yè)網(wǎng)絡外部的攻擊
企業(yè)網(wǎng)絡外部的攻擊主要是企業(yè)局域網(wǎng)外部的惡意攻擊,比如:偽裝合法用戶進入企業(yè)網(wǎng)絡,并占用修改資源;有選擇的來破壞企業(yè)網(wǎng)絡信息的完整性和有效性;修改企業(yè)網(wǎng)站數(shù)據(jù)、破譯企業(yè)機密、竊取企業(yè)情報、破壞企業(yè)網(wǎng)絡軟件;利用中間網(wǎng)線來讀取或者攔截企業(yè)絕密信息等。
1.4 來自網(wǎng)絡內部的攻擊
在企業(yè)局域網(wǎng)內部,一些非法人員冒用合法的口令,登陸企業(yè)計算機網(wǎng)絡,產(chǎn)看企業(yè)機密信息,修改企業(yè)信息內容,破壞企業(yè)網(wǎng)絡系統(tǒng)的正常運行。
1.5 企業(yè)網(wǎng)絡系統(tǒng)漏洞
企業(yè)的網(wǎng)絡系統(tǒng)不可能是毫無破綻的,而企業(yè)網(wǎng)絡中的漏洞,總是設計者預先留下的,為網(wǎng)絡黑客和工業(yè)間諜提供最薄弱的攻擊部位。
2 企業(yè)計算機網(wǎng)絡安全方案的設計與實現(xiàn)
影響計算機網(wǎng)絡完全因素很多,而相應的保護手段也很多。
2.1 動態(tài)口令身份認證的設計與實現(xiàn)
動態(tài)口令身份認證具有動態(tài)性、不可逆性、一次性、隨機性等特點,跟傳統(tǒng)靜態(tài)口令相比,增加了計算機網(wǎng)絡的安全性。傳統(tǒng)的靜態(tài)口令進行身份驗證的時候,很容易導致企業(yè)計算機網(wǎng)絡數(shù)據(jù)遭到竊取、攻擊、認證信息的截取等諸多問題。而動態(tài)口令的使用不僅保留了靜態(tài)口令的優(yōu)點,又采用了先進的身份認證以及解密流程,而每一個動態(tài)口令只能使用一次,并且對認證的結果進行記錄,防止同一個口令多次登錄。
2.2 企業(yè)日志管理與備份的設計與實現(xiàn)
企業(yè)要想保證計算機網(wǎng)絡的安全,對于計算機網(wǎng)絡進行日志管理和備份是不可缺少的內容,日志管理和備份數(shù)據(jù)系統(tǒng)是計算機運行的基礎。計算機在運行過程中難保不會出現(xiàn)故障,而計算機中的數(shù)據(jù)和資料的一個企業(yè)的血液,如果數(shù)據(jù)和資料丟失,會給企業(yè)今后的發(fā)展帶來巨大的不便,為了避免數(shù)據(jù)資料的丟失,我們就應當對計算機網(wǎng)絡做好數(shù)據(jù)備份以及數(shù)據(jù)歸檔的保護措施。這些都是維護企業(yè)網(wǎng)絡安全的最基本的措施與工作。
2.3 病毒防護設計與實現(xiàn)
計算機病毒每年都在呈上漲的趨勢,我國每年遭受計算機入侵的網(wǎng)絡,占到了相當高的比例。計算機病毒會使計算機運行緩慢,對計算機網(wǎng)絡進行有目的的破壞行為。目前Internet在飛速的發(fā)展,讓病毒在網(wǎng)上出現(xiàn)之后,會很快的通過網(wǎng)絡進行傳播。對于企業(yè)計算機網(wǎng)絡,應當時刻進行監(jiān)控以及判斷系統(tǒng)中是否有病毒的存在,要加大對于病毒的檢測。處理、免疫及對抗的能力。而企業(yè)使用防病毒系統(tǒng),可以有效的防止病毒入侵帶來的損失。為了使企業(yè)的網(wǎng)絡更加安全,要建立起一個完善的防病毒系統(tǒng),制定相應的措施和病毒入侵時的緊急應急措施,同時也要加大工作人員的安全意識。
病毒會隨著時間的推移變的隨時都有可能出現(xiàn),所以企業(yè)中計算機網(wǎng)絡安全人員,要隨時加強對于防毒系統(tǒng)的升級、更新、漏洞修復,找出多種不同的防毒方法,提高企業(yè)計算機網(wǎng)絡防病毒的能力。
2.4 防火墻技術設計與實現(xiàn)
Internet使用過程中,要通過內網(wǎng)。外網(wǎng)的連接來實現(xiàn)訪問,這些就給網(wǎng)絡黑客們提供了良好的空間與環(huán)境。目前,企業(yè)計算機網(wǎng)絡系統(tǒng),采用防火墻技術,能有效的保證企業(yè)的機密不會受到網(wǎng)絡黑客以及工業(yè)間諜的入侵,這種方法也是維護企業(yè)計算機網(wǎng)絡最有效、最經(jīng)濟的方法,因為防火墻系統(tǒng)是企業(yè)計算機網(wǎng)絡安全的最前面屏障,能有效的組織入侵情況的發(fā)生。所以企業(yè)計算機網(wǎng)絡第一個安全措施就是安裝以及應用防火墻。防火墻一般是安裝在內部網(wǎng)絡出口處,在內網(wǎng)與外網(wǎng)之間。
防火墻最大的特點是所有的信息傳遞都要經(jīng)過它,這樣就能有效的避免企業(yè)網(wǎng)絡遭到非法入侵,防火本身的具有很高的可靠性,它可以加強對企業(yè)網(wǎng)絡的監(jiān)督,防止外部入侵和黑客攻擊造成的信息泄露,
2.5 網(wǎng)絡安全設計的實現(xiàn)
在企業(yè)網(wǎng)絡運行中,與用戶和各個系統(tǒng)之間,存在著信息交換的過程,這些信息包括信息代碼、電子文稿、文檔等,所以總會有各種網(wǎng)絡安全的問題出現(xiàn)。為了保障網(wǎng)絡的安全性和客戶使用的合法性,就要去嚴格的限制登錄者的操作權限,增加口令的復雜程度。當工作人員離職要對于網(wǎng)絡口令認證做出相應的調整,以避免帶來的不便。
3 總結
現(xiàn)今網(wǎng)絡在現(xiàn)代生活中發(fā)展迅速,然而網(wǎng)絡安全的系統(tǒng)也日益突出。作為一個企業(yè)如何的保證自己網(wǎng)絡的安全性,使自身能夠更快更好的發(fā)展,面對著網(wǎng)絡入侵的行為要進行如何的防御,已經(jīng)是一個越來越迫切的問題。我們只有從實際出發(fā),去構建一個完整的安全的網(wǎng)絡防御系統(tǒng),才能保證企業(yè)網(wǎng)絡的安全。
參考文獻
[1]唐紅亮.防火墻設計淺析[J].中國科技信息,2009,06.
關鍵詞:企業(yè) 辦公自動化 網(wǎng)絡 安全 防范
中圖分類號:TN830文獻標識碼: A
正文:
1 辦公自動化的概念及其網(wǎng)絡特點
隨著信息時代的發(fā)展,為了達到提高辦公效率以及實現(xiàn)無紙化辦公等節(jié)能增效目標,當前企業(yè)基本都建立起了自己企業(yè)內部的辦公自動化網(wǎng)絡。企業(yè)的辦公自動化網(wǎng)絡通常都具有復雜的網(wǎng)絡拓撲結構和廣泛的地域覆蓋范圍,使用辦公網(wǎng)絡的人員分布于企業(yè)的各個層面,有機關部室人員也有基層作業(yè)人員,且年齡跨度大,既人員眾多,又素質參差不齊。辦公網(wǎng)絡一般都是生產(chǎn)網(wǎng)絡尤其是IT系統(tǒng)的物理載體,其承載的數(shù)據(jù)與企業(yè)生產(chǎn)的安全平穩(wěn)緊密相關,這就造成企業(yè)對網(wǎng)絡的依賴程度和對網(wǎng)絡安全的要求很高。辦公網(wǎng)絡往往還與互聯(lián)網(wǎng)有不同程度的連接,其安全會受到來自互聯(lián)網(wǎng)上更多的威脅。
2 影響網(wǎng)絡安全的因素
2.1 病毒感染與傳播。
計算機病毒是影響網(wǎng)絡安全最主要的因素之一。計算機病毒是一種人為設計的特殊的寄生性計算機程序。這種程序一旦運行就可以自我復制,使自身從一個程序擴散到另一個程序,從一個計算機系統(tǒng)進入到另一個計算機系統(tǒng)并在一定條件下對計算機進行破壞,使計算機系統(tǒng)不能正常工作。通常具有如下危害:破壞系統(tǒng),使系統(tǒng)崩潰,不能正常運轉;破壞數(shù)據(jù)造成數(shù)據(jù)丟失;使你的電腦變的很慢;盜取你的數(shù)據(jù)信息如照片、密碼、個人信息等;造成網(wǎng)絡賭賽。計算機病毒具有很強的隱蔽性、感染性和極高的傳播效率,新病毒及其變種產(chǎn)生的速度讓很多殺毒軟件防不勝防,是當前最主要的影響網(wǎng)絡安全的因素之一。
2.2 黑客入侵。
大型企業(yè)辦公網(wǎng)絡根據(jù)企業(yè)工作性質與互聯(lián)網(wǎng)都有著或多或少的連接,只要有連接就不能完全排除黑客入侵的可能性。由于操作系統(tǒng)、通信協(xié)議、各類應用軟件均不同程度的存在安全漏洞或安全缺陷,這都使黑客有了可乘之機,一旦遭遇入侵,整個內部網(wǎng)絡將遭遇巨大的風險,很有可能造成數(shù)據(jù)、信息的篡改、毀壞,甚至全部丟失,導致系統(tǒng)崩潰、業(yè)務癱瘓,后果不堪設想。
2.3 設備軟硬件故障。企業(yè)的辦公網(wǎng)絡系統(tǒng)均是由服務器、路由器、交換機以及光纜、雙絞線、同軸電纜等硬件設備以及操作系統(tǒng)、應用軟件等組成,任何一個環(huán)節(jié)出現(xiàn)故障都有可能造成網(wǎng)絡通信的阻斷以及系統(tǒng)的不能正常運轉,都會給企業(yè)的正常辦公造成影響。
2.4 人員操作不當或災難造成數(shù)據(jù)損壞或丟失。
由于員工的素質參差不齊,在企業(yè)辦公自動化系統(tǒng)使用中常會出現(xiàn)由于員工操作不當造成的數(shù)據(jù)損壞或丟失,甚至造成硬件設備的損壞。同時由于洪澇、地震等不可抗拒的自然災害也會造成系統(tǒng)軟硬件的破壞,無論是數(shù)據(jù)的丟失還是硬件設備的損壞都會對企業(yè)的運營造成嚴重的干擾和巨大的經(jīng)濟損失。
3 安全防范措施
3.1 與互聯(lián)網(wǎng)設置隔離。通過路由器和防火墻在企業(yè)內部辦公網(wǎng)絡和外部互聯(lián)網(wǎng)之間,設置物理隔離,以實現(xiàn)內外網(wǎng)的隔離是保護辦公自動化網(wǎng)絡安全的最主要、同時也是最有效、最經(jīng)濟的措施之一。
3.2 優(yōu)化網(wǎng)絡結構。主要是根據(jù)企業(yè)組織架構或地理位置等情況將企業(yè)辦公網(wǎng)絡劃分成許多相互獨立的子網(wǎng),并在子網(wǎng)間的路由器、防火墻等網(wǎng)絡設備上設置特定的訪問規(guī)則,按照管理要求約束各子網(wǎng)之間的訪問權限,這樣就可以降低不同部門或區(qū)域網(wǎng)絡間的互相影響,減少木馬、病毒等的擴散范圍和傳播速度,同時能避免非法用戶對敏感數(shù)據(jù)的訪問。通過對網(wǎng)絡結構進行優(yōu)化和調整可以有效的降低企業(yè)辦公網(wǎng)絡的安全風險,提高網(wǎng)絡的穩(wěn)定性。
3.3 VLAN(虛擬局域網(wǎng))技術。選擇VLAN技術可較好地從鏈路層實施網(wǎng)絡安全保障。VLAN指通過交換設備在網(wǎng)絡物理拓撲結構基礎上建立一個邏輯網(wǎng)絡,它依據(jù)用戶的邏輯設定將原來物理上互連的一個局域網(wǎng)劃分為多個虛擬子網(wǎng),劃分的依據(jù)可以是設備所連端口、用戶節(jié)點的MAC地址等。該技術能有效地控制網(wǎng)絡流量、防止廣播風暴,還可利用MAC層的數(shù)據(jù)包過濾技術,對安全性要求高的VLAN端口實施MAC幀過濾。而且,即使黑客攻破某一虛擬子網(wǎng),也無法得到整個網(wǎng)絡的信息。
3.4 機密數(shù)據(jù)安全。機密數(shù)據(jù)不能以明文方式在網(wǎng)絡中傳播,要用高強度加密算法進行加密,然后經(jīng)由指定的安全渠道傳輸,并且讓盡可能少的人接觸。密鑰的安全管理、及時更換和密鑰分發(fā)方式都是影響加密數(shù)據(jù)安全的重要因素。
3.5 安全監(jiān)控。安全監(jiān)控技術主要是對入侵行為的及時發(fā)現(xiàn)和反應,利用入侵者留下的痕跡來有效的發(fā)現(xiàn)來自外部或內部的非法入侵;同時能夠對入侵做出及時的響應,包括斷開非法連接、報警等措施。安全監(jiān)控技術以探測和控制為主,起主動防御的作用。
3.6 安全漏洞檢測。安全漏洞檢測技術是指利用已知的攻擊手段對系統(tǒng)進行弱點掃描,以求及時發(fā)現(xiàn)系統(tǒng)漏洞,同時給出漏洞報告,指導系統(tǒng)管理員采用系統(tǒng)軟件升級或關閉相應服務等手段避免遭受攻擊。
3.7 服務器安全。服務器通常既是企業(yè)辦公網(wǎng)絡的服務應用中心又是整個企業(yè)辦公網(wǎng)絡的數(shù)據(jù)中心,可以說服務器是整個企業(yè)辦公網(wǎng)絡系統(tǒng)的核心,服務器的穩(wěn)定性是至關重要的。為了加強服務器的安全管理,在對服務器的配置過程中,要把握最小服務原則,盡可能的關閉不必要的網(wǎng)絡服務,降低安全風險。并采取主機備份+負載均衡的模式部署,這樣既可提高服務器的響應能力,又增強了數(shù)據(jù)安全提高服務可用性。同時日常還要做好定期數(shù)據(jù)備份以及設備硬件檢測維護工作,以應對可能出現(xiàn)的各種數(shù)據(jù)損壞和提高服務器的穩(wěn)定性和安全性。
3.8 終端安全。終端主要是指各應用客戶端,往往是各種病毒木馬的柄息地和實施攻擊破壞的基地,這就需要對終端操作系統(tǒng)進行必要的安全配置。主要有以下幾種具體手段:
(1)關閉不必要的網(wǎng)絡服務,設置符合安全規(guī)范的密碼并定期更換以及禁用Guest用戶等,這樣可以減少病毒攻擊的途徑。(2)配置防火墻僅允許外部訪問本機必要的網(wǎng)絡服務,屏蔽已知流行病毒所使用的端口、IP地址等,減少被木馬攻擊和病毒感染的機會。(3)應該盡可能的關閉網(wǎng)絡共享服務,采取其他方式傳送文件。如果確實需要共享,那就盡可能減少共享內容,并進行嚴格的權限控制。(4)及時更新系統(tǒng)補丁以及安裝并及時升級殺毒軟件。
3.9 數(shù)據(jù)恢復。任何技術和手段都不能保證辦公網(wǎng)絡數(shù)據(jù)100%的安全,為了在數(shù)據(jù)遭到破壞后能盡快的讓系統(tǒng)恢復正常運轉以及最大程度的保證數(shù)據(jù)安全,這就涉及到了數(shù)據(jù)恢復技術,通常我們采用最多手段的就是建立數(shù)據(jù)備份方案。數(shù)據(jù)備份技術可以在數(shù)據(jù)遭到破壞時能快速的全盤恢復運行系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。數(shù)據(jù)備份方案不僅能在網(wǎng)絡系統(tǒng)硬件故障或人為失誤時起到保護作用,也在非法入侵或網(wǎng)絡攻擊等破壞數(shù)據(jù)完整性時起到保護作用,同時亦是系統(tǒng)癱瘓、崩潰等災難恢復的前提之一。
4 結束語
隨著網(wǎng)絡技術的不斷發(fā)展,企業(yè)辦公網(wǎng)絡安全的維護不僅要從技術、設備上采取防范措施,還應當更加重視企業(yè)網(wǎng)絡的安全管理和提高企業(yè)員工的網(wǎng)絡安全意識,這樣才能全面提高企業(yè)辦公網(wǎng)絡的安全性。
參考文獻:
[1]蔡立軍.計算機網(wǎng)絡安全技術.北京:中國水利水電出版社,2002.
[2]徐國愛.網(wǎng)絡安全.北京:北京郵電大學出版社,2004.
[3]王豐輝.漏洞相關技術研究.北京郵電大學出版社,2006.
[4] 陳建中.校園網(wǎng)安全及防范研究與探討[J]. 中國科技信息. 2007(19)
論文摘要:計算機網(wǎng)絡高速發(fā)展的同時,給信息安全帶來了新的挑戰(zhàn)。通過對國內企業(yè)信息安全面臨的風險分析,有針襯性地提出常用技術防護措施。
隨著信息技術迅猛發(fā)展,計算機及其網(wǎng)絡、移動通信和辦公自動化設備日益普及,國內大中型企業(yè)為了提高企業(yè)競爭力,都廣泛使用信息技術,特別是網(wǎng)絡技術。企業(yè)信息設施在提高企業(yè)效益的同時,給企業(yè)增加了風險隱患,網(wǎng)絡安全問題也一直層出不窮,給企業(yè)所造成的損失不可估量。
1企業(yè)面臨的網(wǎng)絡安全威脅
1.1來自企業(yè)內部的攻擊
大量事實表明,在所有的網(wǎng)絡攻擊事件當中,來自企業(yè)內部的攻擊占有相當大的比例,這包括了懷有惡意的,或者對網(wǎng)絡安全有著強烈興趣的員工的攻擊嘗試,以及計算機操作人員的操作失誤等。內部人員知道系統(tǒng)的布局、有價值的數(shù)據(jù)放在何處以及何種安全防范系統(tǒng)在工作。因內部人員攻擊來自區(qū)域內部,常常最難于檢測和防范。
1.2來自企業(yè)外部的惡意攻擊
隨著黑客技術在互連網(wǎng)上的擴散,對一個既定目標的攻擊變得越來越容易。一方面,對攻擊目標造成的破壞所帶來的成就感使越來越多的年輕人加人到黑客的行列,另一方面商業(yè)競爭也在導致更多的惡意攻擊事件的產(chǎn)生。
1.3網(wǎng)絡病毒和惡意代碼的襲擊
與前幾年病毒和惡意代碼傳播情況相比,如今的病毒和惡意代碼的傳播能力與感染能力得到了極大提升,其破壞能力也在快速增強,所造成的損失也在以幾何極數(shù)上升。如何防范各種類型的病毒和惡意程序,特別是網(wǎng)絡病毒與郵件病毒,是任何一個企業(yè)都不得不面對的一個挑戰(zhàn)。
2企業(yè)網(wǎng)絡安全常用的防護措施
目前,不同種類的安全威脅混合在一起給企業(yè)網(wǎng)絡的安全帶來了極大的挑戰(zhàn),從而要求我們的網(wǎng)絡安全解決方案集成不同的產(chǎn)品與技術,來有針對性地抵御各種威脅。我們的總體目標就是通過信息與網(wǎng)絡安全工程的實施,建立完整的企業(yè)信息與網(wǎng)絡系統(tǒng)的安全防護體系,在安全法律、法規(guī)、政策的支持與指導下,通過制定適度的安全策略,采用合適的安全技術,進行制度化的安全管理,保障企業(yè)信息與網(wǎng)絡系統(tǒng)穩(wěn)定可靠地運行,確保企業(yè)與網(wǎng)絡資源受控合法地使用。
2.1部署統(tǒng)一的網(wǎng)絡防病毒系統(tǒng)
在網(wǎng)絡出口處部署反病毒網(wǎng)關。對郵件服務器安裝特定的防病毒插件以防范郵件病毒,保護郵件服務器安全。在服務器及客戶端上部署統(tǒng)一的防病毒軟件客戶端,實現(xiàn)對系統(tǒng)、磁盤、光盤、郵件及internet的病毒防護。
2.2部署安全可靠的防火墻
企業(yè)為了在互聯(lián)網(wǎng)上信息,共享資源,就不得不將自己的內部網(wǎng)絡在一定程度上對外開放,這就在無形中增加了安全隱患,使有不良企圖的人有機可乘。為了使信息系統(tǒng)在保障安全的基礎上被正常訪問,需要一定的設備來對系統(tǒng)實施保護,保證只有合法的用戶才可以訪問系統(tǒng)‘就目前看,能夠實現(xiàn)這種需求的性能價格比最優(yōu)的設備就是防火墻。防火墻的目的是要在不同安全區(qū)域(如:內部,外部、dmz、數(shù)據(jù)中心)網(wǎng)絡之間建立一個安全控制點,通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流,實現(xiàn)對進、出內部網(wǎng)絡的服務和訪問的審計和控制。具體地說,設置防火墻的目的是隔離內部和外部網(wǎng),保護內部網(wǎng)絡不受攻擊。
2.3部署入侵檢測系統(tǒng)
作為防火墻的補充,入侵檢測系統(tǒng)(工ds)用于發(fā)現(xiàn)和抵御黑客攻擊。人侵檢測系統(tǒng)是一種網(wǎng)絡/計算機安全技術,它試圖發(fā)現(xiàn)入侵者或識別出對計算機的非法訪問行為,并對其進行隔離。攻擊者可能來自外部網(wǎng)絡連接,如互聯(lián)網(wǎng)、撥號連接,或來自內部網(wǎng)絡。攻擊目標通常是服務器,也可能是路由器和防火墻。
入侵檢測系統(tǒng)能發(fā)現(xiàn)其他安全措施無法發(fā)現(xiàn)的攻擊行為,并能收集可以用來訴訟的犯罪證據(jù)。一般入侵檢側系統(tǒng)有兩類:基于網(wǎng)絡的實時入侵檢測系統(tǒng)和基于主機的實時人侵檢測系統(tǒng)。
2.4配置漏洞掃描工具
漏洞掃描是一項重要的安全技術,它采用模擬攻擊的形式對網(wǎng)絡系統(tǒng)組成元素(服務器、工作站、路由器、防火墻、應用系統(tǒng)和數(shù)據(jù)庫等)可能存在的安全漏洞進行逐項檢查,根據(jù)檢查結果提供詳細的漏洞描述和修補方案,形成系統(tǒng)安全性分析報告,從而為網(wǎng)絡管理員來完善網(wǎng)絡系統(tǒng)提供依據(jù)。通常,我們將完成漏洞掃描的軟件、硬件或軟硬一體的組合稱為漏洞掃描器。
2.5部署綜合審計系統(tǒng)
通俗地說,網(wǎng)絡安全審計就是在企業(yè)的網(wǎng)絡環(huán)境下,為了保障網(wǎng)絡和數(shù)據(jù)不受來自外網(wǎng)和內網(wǎng)用戶的入侵、破壞、竊取和失泄,而運用各種技術手段實時收集和監(jiān)視網(wǎng)絡環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、操作以及安全事件,以便集中報警、分析、處理的一種技術手段。
網(wǎng)絡審計分為行為審計和內容審計,行為審計是對上網(wǎng)的所有操作的行為(諸如:瀏覽網(wǎng)頁、登錄網(wǎng)站從事各種活動、收發(fā)郵件、下載各種信息、論壇和博客發(fā)表言論等)進行審計,內容審計是在行為審計的基礎上,不僅要知道用戶的操作行為,而且還要對行為的詳細內容進行審計。它可以使關心內容安全的管理人員清晰地知道通過網(wǎng)絡有無沒有采用加密處理就在網(wǎng)上傳送的重要數(shù)據(jù)或內部和涉密文件被發(fā)出(用戶行為)和被盜取(黑客行為);有無瀏覽不良網(wǎng)頁;有無在論壇和博客上發(fā)表不負責的言論;有無使用即時通信工具談論內部或涉密的話題。
2.6部署終端安全管理系統(tǒng)
由于企業(yè)內部終端數(shù)量多,人員層次不同,流動性大,安全意識薄弱而產(chǎn)生病毒泛濫、終端濫用資源、非授權訪問、惡意終端破壞、信息泄密等安全事件不勝枚舉。通過部署終端安全管理系統(tǒng)杜絕了非法終端和不安全終端的接人網(wǎng)絡;對有權訪問企業(yè)網(wǎng)絡的終端進行根據(jù)其賬戶身份定義的安全等級檢查和接入控制;對相關的內部人員的行為進行審計,通過嚴格的內部行為審計和檢查,來減少內部安全威脅,同時也是對內部員工的一種威懾,有效強化內部信息安全的管理,將企業(yè)的信息安全管理規(guī)定通過技術的手段得到落實。
2.7建立企業(yè)身份認證系統(tǒng)
傳統(tǒng)的口令認證方式雖然簡單,但是由于其易受到竊聽、重放等攻擊的安全缺陷,使其已無法滿足當前復雜網(wǎng)絡環(huán)境下的安全認證需求,因此涌現(xiàn)了諸如:數(shù)字證書、動態(tài)口令、智能卡、生物識別等多種認證方式。目前,基于pki (public key infrastructure)技術體系的身份
認證系統(tǒng)能夠為企業(yè)的敏感通信和交易提供一套信息安全保障,包括保密性、完整性、真實性和不可否認。確保企業(yè)信息資源的訪問得到正式的授權,驗證資源訪問者的合法身份,將風險進一步細化,盡可能地減輕風險可能造成的損失。
2.8安全服務與培訓
任何安全策略的制定與實施、安全設備的安裝配置與管理,其中最關鍵的因素還是人。因此根據(jù)相關的法律、法規(guī)、政策,制定出符合企業(yè)自身特點的安全戰(zhàn)略并加以實施,對企業(yè)的網(wǎng)絡安全人員進行相關的專業(yè)知識及安全意識的培訓,是整個網(wǎng)絡安全解決方案中重要的一個環(huán)節(jié)。
2.9完善安全管理制度
俗話說“信息安全,三分技術,七分管理”,企業(yè)除了做好應用安全,網(wǎng)絡安全,系統(tǒng)安全等保障措施外,還必須建立相應的管理機構,健全相應的管理措施,并利用必要的技術和工具、依據(jù)有效的管理流程對各種孤立、松散的安全資源的日常操作、運行維護、審計監(jiān)督、文檔管理進行統(tǒng)一管理,以期使它們發(fā)揮更大的功效,避免由于我們管理中存在的漏洞引起整個信息與網(wǎng)絡系統(tǒng)的不安全。
首要的安全問題是黑客可利用IPv6鏈路技術隱藏在IPv4流量中,產(chǎn)生了一條沒有防護的進出企業(yè)網(wǎng)絡的通道。關閉這些通道需要了解IPv6轉換機制的運作及其可視性。
要理解機構需要實施IPv6的原因是很容易的。簡單來說,就是第一個互聯(lián)網(wǎng)協(xié)議版本IPv4空間耗盡。每個與網(wǎng)絡相連的設備都有固定的IP地址,IPv4協(xié)議允許32位的IP地址,也就是232 個的可能地址,而IPv6則將IP地址數(shù)量增加到2128。雖然目前IPv4運行良好,但持續(xù)增長的網(wǎng)絡連接設備終會將其空間消耗殆盡。IPv6也在其他方面對IPv4進行了優(yōu)化,比如說,簡化地址分配。
但是啟用IPv6對網(wǎng)絡運營者還許多其他的影響。過去,企業(yè)一直重點保護IPv4網(wǎng)絡,現(xiàn)在他們必須投入相同的力度在IPv6的運行上。安全管理員需要學習IPv6新協(xié)議的基本內容,以應對變化帶來的挑戰(zhàn)。在這方面,網(wǎng)上公布的最佳實踐是美國國家標準和技術研究所 (National Institute of Standards and Technology)的綱要。
如果安全設備支持IPv6,現(xiàn)在就是啟用它的時候。一些操作系統(tǒng),諸如Windows Vista和Windows 7 中IPv6轉換機制是默認設置。這意味著IT部門并不知道正在運行IPv6,最終讓使用戶繞開防火墻和網(wǎng)絡入侵防御系統(tǒng)(IPS)。
這些鏈路通過啟用IPv6主機和路由器,在IPv4互聯(lián)網(wǎng)上與其他IPv6設備連接來運行。鏈路的問題在于,它們可以穿過防火墻——攻擊者或許能逃出企業(yè)安全控制并連接到企業(yè)網(wǎng)絡內部資源。因此,使用如6 to 4的鏈路協(xié)議支持轉換到IPv6需要慎重考慮,盡可能保持在最低限度。
事實情況是,IPv6可能在企業(yè)不知情的情況下,已經(jīng)在網(wǎng)絡中運行,且可能被僵尸網(wǎng)絡和黑客用作隱蔽通道。雖然企業(yè)可能不會主動在網(wǎng)絡中運行IPv6,但是,他們的安全基礎設置應具備檢測IPv6的流量的功能。畢竟,你不能阻止你無法看到的。
談及保護IPv6部署,最重要的是可視性。企業(yè)需要部署支持IPv6并使IPv6運作的安全產(chǎn)品。在某些情況下,這可能需要升級,例如,傳統(tǒng)的入侵防御系統(tǒng)(IPS)和防火墻,就可能已經(jīng)無法檢測到IPv6流量??上驳氖?,在過去的幾年中,許多主要的防火墻和網(wǎng)絡安全廠商已經(jīng)增加了對IPv6的支持。盡管如此,企業(yè)仍應向供應商反應,以確保產(chǎn)品提供了他們所需的所有功能,并且開始在他們的環(huán)境中應用。被認可的IPv6測試方案有NIST的USGv6 Profile和測試計劃。
隨著越來越多的企業(yè)部署IPv6,管理員需要特別注意轉換機制和設備配置,以避免向網(wǎng)絡開放未經(jīng)授權的途徑。保護網(wǎng)絡安全首要關鍵是監(jiān)控所有網(wǎng)絡的流量,如果管理員發(fā)現(xiàn)未經(jīng)授權的鏈路,那么他們要立即關閉這些鏈路避免被利用為攻擊流量。IPv6的必然性意味著企業(yè)需要現(xiàn)在便開始采取措施來支持其安全使用。
對于很多企業(yè)和全球服務提供商來說,過渡至IPv6并部署可以同時為IPv6和IPv4提供保護的網(wǎng)絡安全解決方案至關重要。企業(yè)應該清楚地認識到這次遷移所帶來的安全挑戰(zhàn)。客戶想要彌補協(xié)議轉換帶來的安全缺口,最直接的方法就是采用獲得IPv6標識認證的安全產(chǎn)品。
在向IPv6過渡的浪潮中,安全廠商也在一直在尋求不斷滿足客戶實施需求的解決方案。例如,Check Point R75.40軟件刀片和 GAiA 統(tǒng)一的操作系統(tǒng)(OS)就通過了UNH互操作性實驗室(UNH Interoperability Laboratory)的評測,并獲得了IPv6論壇授予的第二階段(金)標識(Phase Two (Gold) Logo)。這表示此兩款產(chǎn)品包含所有強制的IPv6核心協(xié)議,并且能夠與其他IPv6 和 IPv4實施方案互相操作,滿足IPv6標識認證委員會的所有技術要求。Check Point R75.40,GAiA和新型安全設備能夠輕松與新版本的網(wǎng)絡協(xié)議實現(xiàn)互相操作,讓客戶無縫且安全地過渡到IPv6時代。
零日漏洞Websense無壓力
日前,Websense安全實驗室曾通過其官方博客表示最新的Java零日漏洞(CVE-2012-4681)被發(fā)現(xiàn)用于少數(shù)幾起攻擊中。目前針對該漏洞的攻擊代碼已經(jīng)被添加到了當前最泛濫的黑洞攻擊包中。
而事實上,有很多人有過類似的操作,只是危險還未降臨,或已經(jīng)發(fā)生但還未被察覺而已。
公共場合尚且如此,如果將場景延伸到企業(yè)網(wǎng)絡中,情況又將如何?
無線局域網(wǎng)(WLAN)基礎架構的脆弱性,是目前企業(yè)網(wǎng)絡中最重要和直接的威脅之一。在企業(yè)環(huán)境中,使用智能手機和平板電腦的Wi-Fi需求與日俱增,這無意中侵犯了網(wǎng)絡安全的邊界,也使那些沒有部署無線的企業(yè)和組織面臨著不可估量的風險。
無線安全四大誤區(qū)
誤區(qū)1 沒有部署Wi-Fi,企業(yè)就是安全的
很多人仍然認為,如果企業(yè)沒有部署Wi-Fi網(wǎng)絡,那么就不存在Wi-Fi安全問題。然而,現(xiàn)實世界不可能是一個人人彼此信任的世界,也沒有人會天真地認為絕不會有人違背“無Wi-Fi”部署策略。
無論有意或無意,安裝一個隱秘接入點(AP),就足以將企業(yè)的網(wǎng)絡暴露給無孔不入的攻擊者?,F(xiàn)在絕大多數(shù)的筆記本或上網(wǎng)本內置的Wi-Fi網(wǎng)卡同樣可以構成潛在的威脅源。甚至于內嵌在筆記本或上網(wǎng)本中的無線技術,如藍牙等,也可能會產(chǎn)生嚴重的安全漏洞。以為“無Wi-Fi”部署便可保障企業(yè)網(wǎng)絡的安全無異于掩耳盜鈴。
誤區(qū)2 部署了傳統(tǒng)的防火墻、IPS等網(wǎng)關設備,企業(yè)就是安全的
過去我們所理解的企業(yè)邊界好比是一幢大樓,由企業(yè)內網(wǎng)聯(lián)通各個房間。大樓的出口處有一道防盜門,也就是傳統(tǒng)的防火墻或者是UTM網(wǎng)關設備。由這道門實時審視進出企業(yè)的全部流量,這是我們通常定義的企業(yè)邊界。
但是,隨著無線技術的快速發(fā)展和大量部署,大樓的原有邊界變得越發(fā)模糊,安全邊界的概念已經(jīng)發(fā)生巨大的變化。無線信號能夠傳播到企業(yè)的物理邊界之外,讓那些認為大樓內部安全無憂的傳統(tǒng)理念失去了說服力。如Wi-Fi共享軟件、流氓AP、釣魚AP、用戶連接外部AP、Ad Hoc以及無線DoS攻擊等,都無時不在侵犯和挑戰(zhàn)傳統(tǒng)的安全邊界。
誤區(qū)3 強大的認證與加密能夠提供全面的防護?
如果企業(yè)已經(jīng)部署了帶WPA2安全功能的Wi-Fi網(wǎng)絡,那肯定是一個不錯的開頭。WPA2可為企業(yè)的WLAN AP和客戶端提供更強大的密碼安全保護。但在較大規(guī)模的網(wǎng)絡部署中,確保全部設備沒有因疏忽而出現(xiàn)誤配置,不給攻擊者留下可乘之機,才是最重要的。
隨著Wi-Fi被用來承載越來越多的關鍵任務應用,黑客和犯罪分子們也把重心轉移到了攻破Wi-Fi的安全措施上。研究人員最新發(fā)現(xiàn),WPA-TKIP對于數(shù)據(jù)包注入攻擊是缺乏免疫力的。同樣,也已經(jīng)有報道提到,思科的WLAN控制器漏洞可以被用來“劫持”思科的LAP??傊赪PA2的WLAN部署不可能防范所有類型的無線安全威脅。
誤區(qū)4 使用地址綁定策略,只有經(jīng)過許可的MAC地址才能連接
任何一種可用無線解決方案都可提供MAC(介質訪問控制)地址過濾。消費級與企業(yè)級無線實施方案都擁有該選項,以便應用一定等級的MAC地址過濾。這聽起來是一種有效的安全方法,但實際上卻并非如此。
對于黑客而言,在幾乎任意一種操作系統(tǒng)中欺騙MAC地址都出人意料的簡單。黑客可將欺騙的MAC地址用于多類攻擊,包括WEP (有線等效保密)?回放、解除認證、解除關聯(lián)以及偽裝攻擊(設備可搭載通過客戶認證的訪客網(wǎng)絡進行攻擊)等。
守護安全新邊界
對于企業(yè)部署Wi-Fi帶來的無線應用安全隱患,一些本土安全企業(yè)提出了針對性的解決方案。
終端守護 智能設備分類和安全的BYOD策略執(zhí)行
東軟無線安全解決方案中的NetEye WIPS模塊,能夠自動分析嘗試接入公司網(wǎng)絡的智能手機和平板電腦的類型(安卓、黑莓、iPhone、iPad、Windows Mobile等),并根據(jù)策略劃分準入及拒絕接入的類別。同時,通過提供的API,可以輕松地與幾乎所有移動設備管理系統(tǒng)(MDM)進行整合。
頻段守護 無線威脅防御
大多數(shù)的無線入侵檢測/防御系統(tǒng),常常會不正確地擾亂自己或者鄰近的Wi-Fi網(wǎng)絡。東軟無線安全解決方案能夠正確區(qū)分威脅是否來自鄰近的無線Wi-Fi設備,有效防范濫用Wi-Fi或違反企業(yè)安全策略的威脅。同時,能夠智能判斷各種類型的無線網(wǎng)絡威脅,并在2.4 GHz和?5 GHz頻段的多種渠道上,同時阻止多種安全威脅。
策略守護 針對無線網(wǎng)絡準入的控制手段
無線網(wǎng)絡準入控制的目的就在于基于策略控制對無線網(wǎng)絡的接入,它包括預準入端點安全策略檢查(以確定誰可以接入網(wǎng)絡)。另外,無線網(wǎng)絡準入控制解決方案還包括某些主機檢查(如在主機上運行的操作系統(tǒng)和服務等),可防范欺騙AP作為路由器或NAT的功能。
傳輸守護 多重的安全無線傳輸保障
雖然在企業(yè)的無線安全方案部署中可以通過802.11i、WPA2或者WPA加強傳輸?shù)陌踩?,但還是會有無法使用這些加密和身份驗證類型的情況發(fā)生。在這種情況下,VPN可以作為保護無線客戶端連接的備用解決方案。通過使用VPN,以及利用多個SSID和VLAN進行網(wǎng)絡分段,為擁有多種不同客戶端的網(wǎng)絡提供強大的解決方案。IP安全(IPSec)和SSL VPN可以提供與802.11i和WPA類似的安全等級。
相關鏈接
四大Wi-Fi安全威脅
1.數(shù)據(jù)截取:目前所有支持Wi-Fi認證的產(chǎn)品均支持AES-CCMP數(shù)據(jù)加密協(xié)議。但一些早期的產(chǎn)品僅支持TKIP,而TKIP由于存在安全漏洞,很容易被網(wǎng)絡黑客進行信號盜取。
2.非法接入點:心存僥幸的網(wǎng)絡用戶會利用未經(jīng)授權的接入點進行網(wǎng)絡接入,這點非常危險。一般企業(yè)都會對接入點設置進行掃描,避免非法接入點出現(xiàn)。而個人用戶應采取追蹤、攔截等措施去阻止非法接入點使用。
關鍵詞:課程體系;實踐教學;改革
中圖分類號:TP393-4 文獻標識碼:A 文章編號:1674-7712 (2012) 12-0189-01
計算機網(wǎng)絡是計算機技術和通信技術相結合成長起來的一個新的科學技術領域。當前,我國對計算機網(wǎng)絡技術、網(wǎng)絡建設、網(wǎng)絡應用與開發(fā)和網(wǎng)絡管理的人才的需求越來越大。因此,結合網(wǎng)絡專業(yè)特點和教學大綱的要求,確定了教學內容以網(wǎng)絡模型為主線,以網(wǎng)絡協(xié)議和網(wǎng)絡安全為重點,同時在教學方法和手段方面不斷進行改革,采用仿真技術構建虛擬網(wǎng)絡實驗室,加強實踐教學和案例教學,從而不斷提高教學水平和教學效果。
一、選擇教學內容
由于該專業(yè)內容多、范圍廣,從基本理論到網(wǎng)絡設備應用,從路由器配置到網(wǎng)絡協(xié)議,從網(wǎng)絡編程到網(wǎng)絡安全防范,若不深入研究教材,不精心選擇教學內容,很難達到較好的教學效果。該專業(yè)大綱指出:通過本專業(yè)的教學,使學生對計算機網(wǎng)絡有一個清晰的認識,掌握網(wǎng)絡的基本工作原理,熟悉網(wǎng)絡應用與開發(fā)和網(wǎng)絡管理的操作流程,了解常見網(wǎng)絡攻擊及處理辦法。
根據(jù)對教學大綱的要求,本專業(yè)的主線,是指Internet的最基本的模型和工作原理。通過以任意網(wǎng)狀結構連接的多個路由器進行通信,各路由器通過逐級轉發(fā)IP 數(shù)據(jù)包實現(xiàn)在兩個結點之間的數(shù)據(jù)通信,這就是Internet 的最基本的工作原理??梢詾榫W(wǎng)絡體系結構、協(xié)議層次結構、網(wǎng)絡各層協(xié)議、網(wǎng)絡互聯(lián)等分散的知識點在主線上找到附著點,使學生能建立比較完善的計算機網(wǎng)絡知識構架。
二、改革教學方法
傳統(tǒng)的計算機網(wǎng)絡技術授課仍以教師為中心,強調知識的積累和對基本概念的理解,而忽視了對學生職業(yè)技能的培養(yǎng)。因此,在教學方法上,嘗試打破傳統(tǒng)的“滿堂灌”的授課模式,采用啟發(fā)式教學、課堂討論、案例教學及項目教學等多種教學方法實現(xiàn)師生互動,增強了教學效果。
(一)啟發(fā)式教學
教學過程不是一個知識轉移的過程,教師傳授知識不等于學生掌握了知識,學生要通過自己的思維活動才能真正掌握知識。更重要的是教師精心組織教學過程,激發(fā)和啟迪學生的思維,采用啟發(fā)式教學方法代替?zhèn)鹘y(tǒng)的“滿堂灌”方式,可以調動學生的思維能力,開發(fā)學生的智力。例如:在講授完交換機和路由器的工作原理后,可以引導學生分析兩個局域網(wǎng)之間的連接是否可以用交換機,兩臺主機之間的連接是否可以用路由器,以使學生充分了解交換機和路由器在網(wǎng)路連接中所起的不同作用。
(二)開展課堂討論
因為網(wǎng)絡技術專業(yè)的內容繁多,理論性和實踐性都很強,單純采用課堂講授的方式很難使教學效果達到預期的目的。在學生學習的過程中,教師只是一名指導者,并不是絕對的權威,要消除學生對教師的依賴心理,提倡師生相互促進、教學相長。在教學中注意為學生提供發(fā)表自己見解的機會,有計劃地組織課堂討論。針對網(wǎng)絡各層的重點內容,可以布置典型的思考題和習題,讓學生提前思考解答,然后在課堂上教師、學生共同討論。師生研討可使學生變客體為主體,這樣可以培養(yǎng)學生獨立思考的能力。
(三)進行案例教學
案例教學是一種通過模擬或者重現(xiàn)現(xiàn)實生活中的一些場景,讓學生把自己納入案例場景,通過討論或者研討來進行學習的一種教學方法。通過對案例的分析和研究,培養(yǎng)學生分析問題和解決問題的能力,并且在分析問題和解決問題中構建專業(yè)知識。案例教學把生硬的理論知識和實際應用結合起來,把抽象的內容具體化、形象化。例如:在為學生講解網(wǎng)絡安全的過程中,可以穿插講一下“熊貓燒香病毒”是如何蔓延,亞馬遜公司為什么會發(fā)生“僵尸網(wǎng)絡”事件。通過具體案例使學生更加了解網(wǎng)絡安全的嚴峻性,從而提高學生進一步學習網(wǎng)絡安全防范知識的積極性。
(四)進行項目式教學
項目式教學法是通過進行一個完整的“項目”工作來進行的實踐教學活動的培訓方法。這種方法起源于美國,盛行于德國。學生在收集信息、設計方案、實施方案、完成任務中學習和掌握知識,形成技能。在教學實踐中,我在上課初期給學生布置一個大作業(yè),比如讓學生利用所學知識構建安全可靠的中小型企業(yè)網(wǎng)絡,并寫出方案,然后進行分組討論,到進一步的組網(wǎng)實施等,加深對所學知識的掌握、理解。
三、改革教學手段
傳統(tǒng)的教學手段已不適應網(wǎng)絡專業(yè)教學,多媒體教學將各種網(wǎng)絡設備的實物照片、大量的網(wǎng)絡路由連接圖帶進課堂教學,這在一定程度上提高了學生的學習興趣,也使學生對各種網(wǎng)絡結構留下深刻印象。但做到這些還是遠遠不夠的,計算機網(wǎng)絡技術專業(yè)的理論性和實踐性都很強的專業(yè),要使學生對網(wǎng)絡有清晰的認識,達到教學大綱的要求就必須加強學生的動手操作能力,這可以通過建立虛擬實驗室和參觀校園網(wǎng)絡建設來達到目的。
(一)虛擬實驗室
目前高校建設的網(wǎng)絡實驗室通常是以交換機和路由器設備為主的工程實驗,主要以驗證和設計為主,不能使學生更好地了解網(wǎng)絡底層的工作過程及工作原理,造成理論和實踐的脫節(jié)。同時,網(wǎng)絡實驗室建設成本高,設備更新慢,無法滿足實習需要。
在現(xiàn)有的機房內安裝網(wǎng)絡仿真軟件NS(Network Simulator)可以在一定程度上解決此問題。NS 是一個用于網(wǎng)絡研究的離散實踐仿真器,主要用于仿真各種網(wǎng)絡協(xié)議和網(wǎng)絡體系結構。支持TCP 協(xié)議,包含各種單播和多播路由模型,可仿真的網(wǎng)絡類型有廣域網(wǎng)、局域網(wǎng)、移動通信網(wǎng)、衛(wèi)星通信網(wǎng)等網(wǎng)絡類型,可進行點到點傳播路由、組播路由、網(wǎng)絡動態(tài)路由、層次路由等模擬。
(二)參觀校園網(wǎng)絡
論文摘要:ims網(wǎng)絡在全網(wǎng)融合的背景下,作為核心網(wǎng)絡將日趨成熟,隨著ip技術在電信網(wǎng)、計算機網(wǎng)和廣電網(wǎng)的普遍應用,通信技術進人嶄新的發(fā)展階段。
當前,通信技術進人了嶄新的發(fā)展階段,由運營商的重組帶來全業(yè)務運營,固定網(wǎng)與移動網(wǎng)正逐步走向融合;隨著1p技術在電信網(wǎng)、計算機網(wǎng)和廣電網(wǎng)的普遍應用,三網(wǎng)融合也已經(jīng)開始實踐;而通信技術與信息技術的加速融合,ict業(yè)務融合也將逐步深人并得到廣泛應用。ims作為核心網(wǎng)絡將日趨成熟,必將在融合的大潮中發(fā)揮不可替代的作用。
1.ims應用在全業(yè)務運首中的特點
運營商專門組織了ip多媒體子系統(tǒng)ims網(wǎng)絡基本功能的測試,由于ims具有與接入無關性,可以實現(xiàn)不論用戶使用什么設備、在何地接人ims網(wǎng)絡,都可以使用歸屬地的業(yè)務;統(tǒng)一的業(yè)務觸發(fā)機制,無論固定接人還是移動接人都可以使用ims中定義的業(yè)務觸發(fā)機制實現(xiàn)統(tǒng)一觸發(fā);統(tǒng)一的路由機制,所有和用戶相關的業(yè)務也必須經(jīng)過用戶的歸屬地;統(tǒng)一用戶數(shù)據(jù)庫,對ims中所定義的數(shù)據(jù)庫來講完全是透明數(shù)據(jù)的概念,屏蔽了固定和移動用戶在業(yè)務屬性上的差異;充分考慮了運營商實際運營的需求,在網(wǎng)絡框架、qos、安全、計費以及和其他網(wǎng)絡的互通方面都制定了相關規(guī)范。基于全ip的ims網(wǎng)絡,既能夠充分利用移動、固網(wǎng)等多種接人方式,義能不斷提供新業(yè)務,引起了運營商的重視。首先是在移動網(wǎng)絡的應用,這類應用是移動運營商為了豐富移動網(wǎng)絡的業(yè)務而開展的,主要是在移動網(wǎng)絡的基礎上用ims來提供poc,即時消息、視頻共享等多媒體增值業(yè)務。應用重點集中在給企業(yè)客戶提供ipcentrex和公眾客戶的voip第二線業(yè)務。其次是固定運營商出于網(wǎng)絡演進和業(yè)務的需要,通過ims為企業(yè)用戶提供融合的企業(yè)的應用(ipcentrex業(yè)務),以及向固定寬帶用戶(例如adsl用戶)提供voip應用。第三種典型的應用主要體現(xiàn)在wlan和3g的融合,以實現(xiàn)語音業(yè)務的連續(xù)性。目前,這種方案的商用較少,但是許多運營商都在進行測試。
2 ims網(wǎng)絡在網(wǎng),層面的功能
在網(wǎng)管領域,為方便運維管理,以往設備生產(chǎn)廠家將按照網(wǎng)絡類型或網(wǎng)元類型提供操作維護網(wǎng)管。不論是在移動還是固網(wǎng)的網(wǎng)絡中,一般情況下,一種網(wǎng)絡需要配多套omc網(wǎng)管。既浪費了資源,又增加人力成本。因為原來分屬于不同領域的網(wǎng)元,由不同omc或ems網(wǎng)元管理系統(tǒng)進行網(wǎng)元管理層的管理。而在ims網(wǎng)絡中,將變?yōu)榻y(tǒng)一的omc或ems,可以由統(tǒng)一的維護人員進行維護。這樣既從根本上改變各領域網(wǎng)元相互之間的隔離、互無關聯(lián)的情況。又減少了設備投人,促進人力資源的解放,從而提高設備運行效率。其次,ims網(wǎng)絡是有機整體,具有各項統(tǒng)計和維護報表,業(yè)務支撐boss體統(tǒng),以及更加強大的網(wǎng)管功能。
3 ims網(wǎng)絡在etom與itil勝合中的作用
信息技術基礎設施庫itil,最初是為提高英國政府部門it服務質量而開發(fā)的,是一個探討如何交付高質量it服務最佳實踐的方法框架。以服務管理為核心,服務戰(zhàn)略為指導,itil建立起了詳盡的、面向it服務的流程框架,通過服務設計、服務轉換、服務運營,使整個過程條理化。而ims網(wǎng)絡的發(fā)展與建設,將推動電信領域的etom與it領域的itil的加速融合。由于ims類系統(tǒng)的引人,除了與傳統(tǒng)電信系統(tǒng)對接的各類網(wǎng)關外,控制面網(wǎng)元以及業(yè)務類網(wǎng)元可以采用通用服務器來實現(xiàn)。這就打破了傳統(tǒng)電信系統(tǒng)采用各個廠家封閉硬件平臺的現(xiàn)狀。硬件設備基于一個開放的平臺,可以加速etom與itil的融合進程。而運營商必須從以往的面向設備,轉變?yōu)槊嫦蚍諒暮笈_轉到前臺。而t1’il正是一面向服務為核心理念進行系統(tǒng)構建的。電信運營商與1’i’服務商在同時針對服務,這也會加速兩種理念的融合。
在etom與itii湘互融合過程中、會取長補短,循序漸近的,etom針對整個電信企業(yè)建立起了業(yè)務流程框架,提出了基本的需求,i’i’i山業(yè)提供了詳盡的面向服務的流程框架。根據(jù)itii提供的方法以及it理的相關流程框,在實際的融合過程中,還要針對實際情況,制定更為嚴密的實施方案,包括系統(tǒng)的更強大功能的軟件開發(fā)改造。
4逐步完普的ims網(wǎng)絡安全
ims網(wǎng)絡的全ip架構,會使網(wǎng)元分工精細化,網(wǎng)元種類增多。完成一次用戶發(fā)起需求業(yè)務,可能會穿越多個網(wǎng)元,建立多次會話發(fā)起協(xié)議的鏈接。由于ims業(yè)務種類很多,各項業(yè)務之間交錯聯(lián)系,使得業(yè)務的管理與對接存在著相當大的工作量。而一旦出現(xiàn)業(yè)務故障,很難一下子準確地定位和排除。所以,要開發(fā)各類的應用軟件,來解決這個問題,而這類應用軟件的逐步開發(fā),將促進ims網(wǎng)絡的完善。
而基于全ip的網(wǎng)絡,需要在網(wǎng)管安全方面給予關注。在ims網(wǎng)絡中的網(wǎng)管,安全從組網(wǎng)到操作系統(tǒng)以及數(shù)據(jù)庫、omc自身、防病毒等幾個方面考慮。
在ims域組網(wǎng)中設置單獨網(wǎng)管域,為網(wǎng)管設置單獨的虛擬局域網(wǎng)(vlan),采用帶外組網(wǎng)的方式,在物理上將網(wǎng)管域與設備域隔離,網(wǎng)絡間設置硬件防火墻。采用unix操作系統(tǒng),并定期更新最新的安全補丁,定制最小化的系統(tǒng)運行配置,避免和減少系統(tǒng)安全問題的產(chǎn)生;同樣對omc所采用的數(shù)據(jù)庫也進行安全補丁、嚴格用戶權限控制措施,記錄非法日志,降低各種安全事件的產(chǎn)生。
多omc系統(tǒng)自身則采用加密協(xié)議進行數(shù)據(jù)傳輸,定期自動對數(shù)據(jù)庫盡行保存。對敏感數(shù)據(jù)入用戶名、密碼進行加密存放。采用強密碼認證,工作時間設定,超時的退出服務,分級的用戶管理權限管理,定期的密碼修改等。
5 ims在未來企業(yè)網(wǎng)絡中的發(fā)展
企業(yè)網(wǎng)絡融合是三網(wǎng)合一的基礎上,引人ims網(wǎng)絡系統(tǒng)的,使運營商不但可以從應用層面對業(yè)務進行控制,提供qos的保證并完成計費,而且避免用戶資源的流失。借助ims可以為企業(yè)實現(xiàn)電話、傳真、數(shù)據(jù)傳輸、音視頻會議、即時通信等眾多應用服務的融合。ims還支持引人和開發(fā)新業(yè)務的開放接口,滿足企業(yè)的多種應用需求。
【關鍵詞】職業(yè)技能;信息安全;“1+X”證書;實訓課程;改革探索
高職院校是我國高等教育事業(yè)一個重要的組成部分,肩負著為國家、社會、企業(yè)培養(yǎng)高素質、高技能型的實用型人才的重任。近年來,隨著信息技術的飛速發(fā)展,信息安全問題日益突出,人們越來越意識到網(wǎng)絡安全的重要性-“沒有網(wǎng)絡安全,就沒有國家安全”。當前,政府部門、企事業(yè)單位對信息安全人才求賢若渴,信息安全人才缺口很大。截止到2021年,我國高職院超過2000所,高職院校作為一支人才培養(yǎng)的生力軍,在培養(yǎng)實用型信息安全人才方面大有用武之地。目前,我國信息安全人才年培養(yǎng)規(guī)模在3萬人左右,而信息安全人才總需求則超過70萬人,缺口高達95%。在這一背景下,我國高校紛紛開設信息安全專業(yè),加在信息安全專業(yè)人才培養(yǎng)力度。據(jù)統(tǒng)計,2016-2019年,我國共有45所高校新增信息安全專業(yè),其中2016年新增的有11所,2017年新增15所,2018年新增11所,2019年新增8所。雖然當前信息安全專業(yè)成了熱門專業(yè),各高校也如火如荼開設相關專業(yè),擴大招生規(guī)模,但如何保障人才培養(yǎng)質量,加強學生信息安全實戰(zhàn)能力,無縫對接相關企業(yè)的崗位技能要求,才是提升信息安全專業(yè)人才培養(yǎng)內涵水平的關鍵。為有效銜接學校教育與職業(yè)崗位要求,教育部于2019年推出了“1+X”證書制度:要求在高職院校學生除了獲取1個學歷證書外,鼓勵學生自主選擇若干個職業(yè)技能證書,以增強學生在擇業(yè)、就業(yè)方面的競爭力。對于信息安全專業(yè)人才培養(yǎng)而言,無論是“1+X”證書,還是學校綜合實訓課程,都是提升其工作實踐能力,提升學生理論聯(lián)系實際、解決具體問題的能力。
一、當前高職信息安全專業(yè)實訓課程設計與教學現(xiàn)狀分析
雖然目前我國眾多院校都積極開辦信息安全專業(yè),但實職業(yè)技能等級認證視域下高職信息安全專業(yè)實訓課程體系構建研究文|余姜德冷令梁本來【摘要】針對高職院校信息安全專業(yè)實訓課程設置及實施過程中普遍存在的問題,如:未有效對接職業(yè)崗位要求;課程內容陳舊、碎片化現(xiàn)象嚴重;實驗設計驗證性有余,而創(chuàng)新性不足;實訓室建設受客觀條件限制,難以滿足教學要求等一系列問題,分析信息安全人才培養(yǎng)能力目標,結合教育部“1+X”證書具體要求,提出了“找準專業(yè)特色定位,精心選擇職業(yè)技能等級證書;合理規(guī)劃實訓內容,突出實踐項目創(chuàng)新,虛實平臺有效結合”的課程體系構建策略,并積極實踐探索,為培養(yǎng)實用型和創(chuàng)新型的信息安全技術人才打下堅實基礎。
(一)學校定位不明確,課程特色不鮮明
當前,我國所高??梢苑殖啥箢悾阂活愂瞧胀ū究圃盒?,包括綜合型、研教型和教學型等不同類型高等學府,這其中既有“雙一流”、985、211等知名高校,也有普通地方本科高校,比如我們通常所說的“一本”、“二本”等;另一類是高等職業(yè)教育院校,包括高等職業(yè)??坪透叩嚷殬I(yè)本科兩個層次,其中高等職業(yè)本科,往往又被稱為應用型本科學校。隨著國家人口結構的經(jīng)濟發(fā)展內涵式調整,社會對于高等職業(yè)院校有了全新的認識,高職院校越來越受到人們的重視,高等職業(yè)教育迎來了重大的發(fā)展機遇期。無論是本科院校,還是高職院校,一所學校的人才培養(yǎng)目標是與其在社會和教育系統(tǒng)內所處的層次和地位緊密相關的,不同類型和層次的學校,對于人才的培養(yǎng)目標應該是不同的。本科院校,其人才的培養(yǎng)目標主要以研究型、創(chuàng)新型和技術型人才為主,通過基礎理論研究、先進系統(tǒng)開發(fā)和技術革新促進社會的整體科技進步,強調人才的基礎理論扎實牢固、知識體系的全面完整;而高職院校,其人才的培養(yǎng)目標主要以實戰(zhàn)型、應用型和工程型人才為主,不要求基礎理論寬泛深厚,但一定要在某一領域的應用上比較精通;人才大部分從事于工程項目實踐中,要求實踐動手能力突出,膽大心細,而且具有“工匠精神”,通過技術應用實踐,把科技創(chuàng)新從紙面理論變成實際產(chǎn)品或者實際場景。具體到信息安全人才的培養(yǎng),本科院校主要培養(yǎng)信息安全研究開發(fā)人才,而高職院主要培養(yǎng)信息安全實踐應用人才。但目前的現(xiàn)實情況是,高職院校大都有意無意模糊自身的“高職”定位,甚至千方百計尋求擺脫職業(yè)教育身份,而往“本科院?!狈较蜣D變,從而制定不切實際的人才培養(yǎng)目標,其根本原因就在于自身層次定位和人才培養(yǎng)目標的定位都出現(xiàn)偏差。其次,無論是本科院校還是高職院校,其培養(yǎng)的人才,最終都需要走向就業(yè)市場。人才需要通過在工作崗位上的職業(yè)能力表現(xiàn)來得到企業(yè)和社會的認可。而人才的就業(yè),往往會采取“就近原則”,即學生會一般會優(yōu)先選擇當?shù)氐钠髽I(yè)去就業(yè),避免“背井離鄉(xiāng)”式的四處奔波。因此學校開辦的專業(yè)應該立足于服務當?shù)仄髽I(yè)、當?shù)亟?jīng)濟和當?shù)禺a(chǎn)業(yè),所培養(yǎng)的人才要達到當?shù)赜萌似髽I(yè)和單位的職業(yè)技能要求,要盡可能被當?shù)仄髽I(yè)所吸收。從這種意義上來說,不同經(jīng)濟發(fā)展區(qū)域的信息安全專業(yè)人才培養(yǎng)方案的設計應和課程體系應具有不同的地方特色:比如珠三角、長三角的高職院校信息安全專業(yè)和中西部經(jīng)濟欠發(fā)達地區(qū)高職院校的信息安全專業(yè)在專業(yè)特色上應該有明顯的差異。很遺憾,現(xiàn)實情況是,在專業(yè)設置和課程設計上,各個高校普通喜歡“追熱點”,“大跟風”:什么專業(yè)熱門,就上什么專業(yè);什么課程熱門,就開什么課程。甚至在人才培養(yǎng)目標定位上,普通本科院校照抄照搬綜合性、科研性大學;高職大專院校跟風模仿應用型本科院校或職業(yè)技術大學,這顯然是不科學和不正確的。
(二)實訓內容呈碎片化、同質化特征
信息安全是一門綜合性的學科,所涉及的知識體系龐雜,涵蓋范圍非常廣泛,有計算機科學與技術、通信工程、數(shù)學、密碼學、電子工程等諸多學科的內容[3]。但當前信息安全人才培養(yǎng)過程中,所構建的實訓課程體系,往往貪多求全,各知識點之間缺乏內在邏輯聯(lián)系和層次遞進關系,實訓知識體系結構呈現(xiàn)“碎片化”的形態(tài)。知識“碎片化”的低效性在于,學生學習得到的大部分東西都是零碎的、分散的、雜亂的,很多時候只是停留在知道、了解的層面,并沒有與原來的知識體系產(chǎn)生深層的聯(lián)系。沒有深層次的理解,自然沒有辦法靈活地運用,更沒有辦法轉化為個人能力和技能。另一方面,由于各學校之間盲目借鑒或實訓室承建廠商有意無意地“互相抄襲”,實訓課程內容“同質化”現(xiàn)象嚴重。實訓內容“同質化”一個最顯著的特征就是實質內容重復,缺乏獨創(chuàng)性和開拓性內容。信息安全專業(yè)實訓課程內容同質化,導致很多高校信息安全專業(yè)的差異化人才培養(yǎng)成為空談,實際上,信息安全專業(yè)人才更應該是“不拘一格降人才”。
(三)實訓內容陳舊,實訓過程淪為結果驗證,缺乏深度思考
信息安全實驗的設計,既需要一定的理論知識,也需要動手實際操作,因此具有一定的復雜性,難度相對較高。我們調研了很多學校的網(wǎng)絡攻防實訓室,對于復雜的實驗,其實訓平臺上的內容安排一般都是列出詳細地操作步驟,末尾配上最終的實驗結果。只需按照實驗指示步驟一步一步進行操作,實訓結束,看最后結果與實驗指導書的結果是否一致即可。這樣的結果是實訓過程淪為為實驗指導書的結果驗證,缺乏深度思考的引導。我們以“MAC地址泛洪攻擊”為例,它是一個經(jīng)典網(wǎng)絡安全實訓示例,大多數(shù)的實訓設計是這樣的:1.闡明攻擊原理;2.給出實驗環(huán)境搭建說明,而且在實際教學過程中實驗環(huán)境已經(jīng)在教學平臺上搭建好;3.詳細列出攻擊步驟,每一步都完整給出實驗截圖;4.寫出實驗總結。這樣一整個實驗學生做下來,除了驗讓自己每一步操作與實驗指導書上有什么不同外,很少有其他收獲。我們其實更應該進行深度思考和拓展:1.“MAC地址泛洪攻擊”一般在什么情形下發(fā)生?2.用軟件方法和硬件方法,如何防洪這類攻擊?3.抓包和解碼后具體分析作用在哪里,如何應用到實戰(zhàn)中?可以通過啟發(fā)式的訓練,加強學生具體運用知識和實踐創(chuàng)新能力的提升。
(四)實訓課時與資源受限,難以滿足實際需求
大多數(shù)學校實訓室建設經(jīng)費緊張,實訓經(jīng)費申請批復繁難。而信息安全知識迭代更新較快,平均二年左右就出現(xiàn)新的技術熱點,而信息安全實訓室申報、建成和使用周期一般都在五年以上,想要不斷投入建設資金更新?lián)Q代非常困難。而且從信息安全實訓室建設軟硬件來看,無論是網(wǎng)絡安全硬件設備,諸如防火墻、IDS、各類型服務器,還是攻防綜合演練系統(tǒng),價格都比較昂貴,更新或升級代價很大,因此,信息安全實訓資源庫的完善成為制約人才培養(yǎng)的一個瓶頸。(五)實訓內容與職業(yè)崗位脫鉤,缺乏實用性許多高職院校在設計信息安全技術應用實訓課程內容時,往往沒有充分調研職業(yè)崗位要求,盲目以課程或者教材中設計的知識點來設計實訓大綱。這樣做的結果是實訓內容與職業(yè)崗位脫鉤,缺乏實用性,陷入“紙上談兵”的窘境。企業(yè)崗位技能需求是客觀真實的,是市場提出的要求,是應該放在第一位,而且信息安全技術發(fā)展非常迅速,日新月異,實際工作中的信息安全技能點要求也是最新的,它往往比已經(jīng)固化定型的實訓內容要真實,實戰(zhàn)性更強。面對存在的諸多問題,需要理清思路,結合當前國家在職業(yè)教育方面大力推行的“1+X”證書制度,找到解決問題的方案。
二、職業(yè)資格認證視域下實訓課程體系構建與革新
2019年1月國務院印發(fā)了《國家職業(yè)教育改革實施方案》。把學歷證書與職業(yè)資格技能等級證書結合起來,探索實施“1+X”證書制度。2019年《政府工作報告》進一步指出,“要加快學歷證書與職業(yè)技能等級證書的互通銜接”[4]。簡單來說,“1+X”中的“1”為學歷證書,“X”為若干職業(yè)技能證書。學歷證書全面反映學校教育的人才培養(yǎng)質量,在國家人力資源開發(fā)中起著不可或缺的基礎性作用。職業(yè)技能等級證書是畢業(yè)生、社會成員職業(yè)技能水平的憑證,反映職業(yè)活動和個人職業(yè)生涯發(fā)展所需要的綜合能力?!?+X”職業(yè)資格認證改革的主要目的就是鼓勵職業(yè)院校學生在獲得學歷證書的同時,積極取得多類職業(yè)技能等級證書,拓展就業(yè)創(chuàng)業(yè)本領,緩解結構性就業(yè)矛盾。
(一)找準專業(yè)特色定位,明確職業(yè)崗位
構建科學的信息安全專業(yè)實踐課程體系,首先需要找準專業(yè)特色定位。高職院校信息安全技術應用專業(yè),其專業(yè)特色定位關鍵因素在于學校層次、當?shù)亟?jīng)濟和產(chǎn)業(yè)需求、職業(yè)崗位技能要求、課程要求和信息安全技術特色等。高職院校培養(yǎng)信息安全技術應用專業(yè)適用人才的正確思路是:在依據(jù)學校類型確定人才培養(yǎng)目標基礎上,考慮當?shù)匦畔踩a(chǎn)業(yè)鏈的發(fā)展情況,對接區(qū)域經(jīng)濟和產(chǎn)業(yè)發(fā)展,凸顯行業(yè)特色、專業(yè)特色、課程特色、技術特色培養(yǎng)當?shù)亟?jīng)濟發(fā)展需要的專業(yè)人才[4]。我們以中山職業(yè)技術學院信息安全技術應用專業(yè)為例,當?shù)氐男畔踩髽I(yè)不多,知名企業(yè)主要有深信服(中山)、廣東網(wǎng)安科技、廣東凌臣等幾家企業(yè),但中山周邊的城市,像廣州、深圳的信息安全企業(yè)就很多,因此我校信息安全技術應用專業(yè)特色定位是:依托大灣區(qū)信息安全產(chǎn)業(yè),培養(yǎng)立足于中山,面向廣州、深圳一線城市的高技能型信息安全服務人才,主要崗位包括:信息安全/安全運維工程師、滲透測試工程師、等級保護測評工程師、安全服務工程師、系統(tǒng)工程師、技術支持工程師等[5]。
(二)精心選擇職業(yè)技能等級證書,合理規(guī)劃實踐教學內容
當前職業(yè)技術等級證書有很多種,如何去確定最適合自己學校和專業(yè)的證書呢?主要考慮因素有以下三點[6]:1.證書含金量較高,具有權威性,社會認可度高;2.證書考核難度適宜,適合學生學情基礎;3.證書與專業(yè)結合緊密,相輔相成。以中山職業(yè)技術學院信息安全技術應用專業(yè)為例,我們選擇了上海海盾網(wǎng)絡安全中心的“企業(yè)網(wǎng)絡安全防護職業(yè)技能等級證書(中級)”。該證書是教育部第三批認可的職業(yè)資格證書,社會認可度比較高,可以作為企業(yè)網(wǎng)絡安全從業(yè)人員的崗位認證,同時與人才培養(yǎng)方案中的基礎專業(yè)課程有良好的承接關系。所以我們選擇了該證書。確定好職業(yè)技能證書之后,我們需要將證書中的崗位技能需求與實踐課程對應起來,并對原有的人才培養(yǎng)方案課程體系進行重新構建。
(三)優(yōu)化設計實踐項目案例,突出實踐教學項目創(chuàng)新
確定好信息安全技術應用專業(yè)綜合實訓整體框架后,就需要設計優(yōu)化實踐項目。在建設實訓室時,建設單位一般會提供整套的實踐案例,但這些案例大都是“驗證型”的項目,不需要思考就能到最終的結果,這樣的實驗案例對于鍛煉學生的創(chuàng)新思維沒有多大的幫助。針對這一現(xiàn)狀,一線任課教師往往要積極參與到實訓室建設過程中,與建設單位討論、優(yōu)化實訓項目案例,增加工程實際項目,在實驗過程中,加入“應用情境延伸”、“項目拓展”、“創(chuàng)新思考”等思考型環(huán)節(jié)。而且,實訓系統(tǒng)往往都有二次開發(fā)接口,學校要充分利用好這個接口,將教師的科研、工程項目轉化成實踐案例,真正把二次開發(fā)落到實處。我們設計的主要綜合實踐項目案例如下表1所示
(四)虛擬實訓平臺有效結合,破解實訓資源限制瓶頸
由于招生規(guī)模的不斷擴大,建起來沒有多久的實訓室往往會出現(xiàn)不夠用的情形。為了破解實訓資源有限的瓶頸,我們需要積極利用虛擬網(wǎng)絡安全實訓平臺。我們專業(yè)目前使用深信服信息安全實訓室,能滿足一個班50人的實訓要求,但我們有兩個班需要同時在線實驗,為此,我們借助了虛擬網(wǎng)絡安全實訓平臺:使用“合天網(wǎng)安實訓室”虛擬平臺作為物理實訓室的必要補充,購買了100個賬號,5年的資源使用權限,這樣我們實際上可以完成三個班的實訓教學要求。
三、結束語
我校信息安全技術應用專業(yè)選擇上海海盾“企業(yè)網(wǎng)絡安全防護職業(yè)技能等級(中級)”證書作為職業(yè)資格證書,結合人才培養(yǎng)目標,對接職業(yè)崗位技能要求,重構了本專業(yè)實踐課程體系,并依此申請建設了“深信服信息安全實訓室”,同時使用了“合天網(wǎng)絡安全實訓室”虛擬平臺作為補充,經(jīng)過兩年的使用實踐,不僅滿足了學生實訓要求,培養(yǎng)了更多實踐能力強的人才;也給教師的科研實踐提供了有利條件,得到師生的廣泛認可,取得很好的效果。
參考文獻
[1]翁健,魏林鋒,張悅.網(wǎng)絡空間安全人才培養(yǎng)探討[J].網(wǎng)絡與信息安全學報,2019(03):45-46.
[2]劉何秀,邵長臣,穆建平,陳騰.開發(fā)數(shù)據(jù)采集職業(yè)技能等級標準的必要性研究[J].信息技術與信息化.2020,(06):37-40.
[3]劉楊,王佰玲.面向網(wǎng)絡空間安全新工科的密碼學教學研究[J].高教學刊,2018(12):13-15.
[4]陳麗婷,李壽冰.1+X證書制度實施的意義與現(xiàn)實問題分析[J].職業(yè)技術教育2020,(27).13-18.
[5]余姜德.高職信息安全專業(yè)實訓課程與實訓平臺構建探索[J].廣東職業(yè)技術教育與研究,2018(4):162-163.