计算机网络安全培训总结

时间:2020-12-14 19:18:23 培训总结 我要投稿

计算机网络安全培训总结

  计算机网络是当前信息共享的便捷工具,在计算机网络使用安全方面需要引起重视,下面是YJBYS小编整理的计算机网络安全培训总结,欢迎阅读。

计算机网络安全培训总结

  计算机网络安全培训总结范文

  7月14—26日,按照信息中心安排,我参加了德国汉斯•赛德尔基金会职业教育师资培训项目酒泉职业技术学院培训基地计算机网络安全技术培训班的学习。参加培训的老师都是新疆和甘肃各职业院校的网络管理员和专业课教师,为我们培训的老师是特聘专家南骏老师。酒泉职业技术学院培训基地的硬件条件很好,老师也非常热情,各个院校的老师相处的也很融洽,在这样的学习环境中,充分调动了我的学习热情,也让我再次感受到做为网络管理员的不易,通过这次培训我发现我该了解、学习的东西还很多,因此只有在平时多学习,在工作中多多运用所学的知识,才能把提高自己的业务水平。

  一、用理论知识武装自己的头脑,充分认识网络管理的重要性

  在此次培训中,老师花了一部分时间讲述理论知识,如有关网络安全的法律法规、网络安全管理和网络安全技术。先从理论知识着手,让我们有个网络安全知识的了解,虽然理论知识有点枯燥,但我清楚的知道这是基础。

  通过开始两天的学习我认识到,要想保证网络安全,首先要认识到网络安全的重要性并要引起重视。而具体到我们学校,则要充分认识校内的网络安全管理问题,正视问题,解决问题,使校内网络管理的日常工作有条不紊的正常进行。

  其次网络安全问题要靠大家的努力,不能光靠某一个人,整个校园网本身就是一个整体,当然需要全体人员共同努力,首先每位员工都要有网络安全意识,其次才能通过技术手段使网络更稳定。总之培训使我更进一步认识到了不足以及今后的工作方向,也会多学习多思考。

  二、学习收获很多,但让需要继续努力学习

  1.学习了如何防范二层攻击

  网络第二层的攻击是网络安全攻击者最容易实施,也是最不容易被发现的安全威胁,它的目标是让网络失效或者通过获取诸如密码这样的敏感信息而危及网络用户的安全。因为任何一个合法用户都能获取一个以太网端口的访问权限,这些用户都有可能成为黑客,同时由于设计OSI模型的时候,允许不同通信层在相互不了解情况下也能进行工作,所以第二层的安全就变得至关重要。如果这一层受到黑客的攻击,网络安全将受到严重威胁,而且其他层之间的通信还会继续进行,同时任何用户都不会感觉到攻击已经危及应用层的信息安全。

  二层攻击主要有:

  (1)MAC地址泛洪攻击

  (2)DHCP服务器欺骗攻击

  (3)ARP欺骗

  (4)IP/MAC地址欺骗

  他们的防范方法主要有:

  (1)MAC地址泛洪攻击防范:

  限制单个端口所连接MAC地址的数目可以有效防止类似macof工具和SQL蠕虫病毒发起的攻击,macof可被网络用户用来产生随机源MAC地址和随机目的MAC地址的数据包,可以在不到 10秒的时间内填满交换机的CAM表。Cisco Catalyst交换机的端口安全(Port Security)和动态端口安全功能可被用来阻止MAC泛滥攻击。例如交换机连接单台工作站的端口,可以限制所学MAC地址数为1;连接IP电话和工作站的端口可限制所学MAC地址数为3:IP电话、工作站和IP电话内的交换机。

  (2)DHCP服务器欺骗攻击防范:

  为了防止这种类型的攻击,Catalyst DHCP侦听(DHCP Snooping)功能可有效阻止此类攻击,当打开此功能,所有用户端口除非特别设置,被认为不可信任端口,不应该作出任何DHCP响应,因此欺诈DHCP响应包被交换机阻断,合法的DHCP服务器端口或上连端口应被设置为信任端口。

  (3)ARP欺骗防范:

  这些攻击都可以通过动态ARP检查(DAI,Dynamic ARP Inspection)来防止,它可以帮助保证接入交换机只传递“合法的”的ARP请求和应答信息。DHCP Snooping监听绑定表包括IP地址与MAC地址的绑定信息并将其与特定的交换机端口相关联,动态ARP检测(DAI-Dynamic ARP Inspection)可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP),确保应答来自真正的ARP所有者。Catalyst交换机通过检查端口纪录的DHCP绑定信息和ARP应答的IP地址决定是否真正的ARP所有者,不合法的ARP包将被删除。

  (4)IP/MAC地址欺骗

  Catalyst IP源地址保护(IP Source Guard)功能打开后,可以根据DHCP侦听记录的IP绑定表动态产生PVACL,强制来自此端口流量的源地址符合DHCP绑定表的记录,这样攻击者就无法通过假定一个合法用户的IP地址来实施攻击了,这个功能将只允许对拥有合法源地址的数据保进行转发,合法源地址是与IP地址绑定表保持一致的,它也是来源于DHCP Snooping绑定表。因此,DHCP Snooping功能对于这个功能的动态实现也是必不可少的,对于那些没有用到DHCP的网络环境来说,该绑定表也可以静态配置。

  2.学习了虚拟化相关知识

  (1)虚拟化的意义

  虚拟化的基础是虚拟机。虚拟机是一种严密隔离的软件容器,它可以运行自己的操作系统和应用程序,就好像一台物理计算机一样。虚拟机的运行完全类似于一台物理计算机,它包含自己的虚拟(即基于软件实现的)CPU、RAM 硬盘和网络接口卡 (NIC)。

  操作系统无法分辨虚拟机与物理计算机之间的差异,应用程序和网络中的其他计算机也无法分辨。即使是虚拟机本身也认为自己是一台“真正的”计算机。不过,虚拟机完全由软件组成,不含任何硬件组件。因此,虚拟机具备物理硬件所没有的很多独特优势。

  虚拟化所带来的好处是多方面的,总结来说主要包括了以下几点:

  l 效率:将原本一台服务器的资源分配给了数台虚拟化的服务器,有效的利用了闲置资源, 确保企业应用程序发挥出最高的可用性和性能。

  l 隔离:虽然虚拟机可以共享一台计算机的物理资源,但它们彼此之间仍然是完全隔离的, 就像它们是不同的物理计算机一样。因此,在可用性和安全性方面,虚拟环境中运行的应用程序之所以远优于在传统的非虚拟化系统中运行的应用程序,隔离就是一个重要的原因。

  l 可靠:虚拟服务器是独立于硬件进行工作的,通过改进灾难恢复解决方案提高了业务连 续性,当一台服务器出现故障时可在最短时间内恢复且不影响整个集群的运作,在整个数据中心实现高可用性。

  l 成本:降低了部署成本,只需要更少的服务器就可以实现需要更多服务器才能做到的事 情,也间接降低了安全等其他方面的成本。

  l 兼容:所有的虚拟服务器都与正常的x86系统相兼容,他改进了桌面管理的方式,可部 署多套不同的系统,将因兼容性造成问题的可能性降至最低。

  l 便于管理:提高了服务器 /管理员比率,一个管理员可以轻松的管理比以前更多的服务 器而不会造成更大的负担。

  (2)虚拟化平台

  vSphere是VMware推出的基于云计算的新一代数据中心虚拟化套件,提供了虚拟化基础架构、高可用性、集中管理、监控等一整套解决方案。

  VMware最新发布的vSphere或许是IT计算深入发展的最好象征,vSphere指引云计算深入渗透到企业的IT架构中,使用 vSphere将之前企业IT的虚拟化平台扩展至更高的应用层次:云计算,将服务器硬件资源:CPU时间、内存和存储空间一一融合在同一个池中的资源,按照需求调配给不同的计算负载上。 据VMware称vSphere是IT业第一个云操作系统,vSphere不仅继承了上一代VMware虚拟平台——Infrastructure 3(简称VI3)的性能,而且还加以扩展和完善,立于一个更加成熟的虚拟化平台上,为内部云计算和外部云计算奠定基础,有理有据地搭建云计算桥梁——创建 一朵安全的私有云。任何IT组织都可以通过vSphere享有云计算的所有好处,加大对基础架构的控制力,同时在操作系统,应用程序和硬件设备方面具有更 广阔的选择空间,用最低的成本即可得到高级的应用软件服务。

  (3)虚拟化的架构

  由于虚拟化技术能够通过资源共享与合并资源来提高效率并降低成本,它已经被迅速地应用于数据中心与其他设备上。在网络核心,由于受到法规、运营、组织以及安全等各方面的影响,使不同网络与服务的虚拟化工作,变得更具有挑战性。 降低资金成本和运营成本,并提高运营效率和灵活性。在服务器整合的基础上更进一步,部署标准的虚拟化平台来实现整个 IT 基础架构的自动化。利用虚拟化的强大功能更有效地管理 IT 容量,提供更高的服务级别,并简化 IT 流程。因此,我们为 IT 基础架构的虚拟化创造了一个术语,将其称作“虚拟基础架构”。 以前的虚拟软件必须是装在一个操作系统上,然后再在虚拟软件之上安装虚拟机,再其中运行虚拟的系统及其应用。而在当前的架构下,虚拟机可以通过虚拟机管理器(Virtual Machine Monitor,简称VMM)来进行管理的。 VMM是在底层实现对其上的虚拟机的管理和支持。但现在许多的.硬件,比如Intel 的CPU已经对虚拟化技术做了硬件支持,大多数VMM就可以直接装在裸机上,在其上再装几个虚拟机就可以就大大提升了虚拟化环境下的性能体验。

  我通过学习,还总结出了在校园网网络安全管理中,为教职员工提供完成其本职工作所需要的信息访问权限、避免未经授权的人改变个人的关键文档、平衡访问速度与安全控制三方面分别有以下三大原则。

  原则一:最小权限原则

  最小权限原则要求我们在校内网络安全管理中,为教职员工仅仅提供完成其本职工作所需要的信息访问权限,而不提供其他额外的权限。

  原则二:完整性原则

  完整性原则指我们在校内网络安全管理中,要确保未经授权的个人不能改变或者删除信息,尤其要避免未经授权的人改变校内的关键文档,如校内的财务信息等等。

  完整性原则在校内网络安全应用中,主要体现在两个方面。

  一是未经授权的人,不能更改信息记录。

  二是指若有人修改时,必须要保存修改的历史记录,以便后续查询。

  总之,完整性原则要求我们在安全管理的工作中,要避免未经授权的人对信息的非法修改,及信息的内容修改要保留历史记录。

  原则三:速度与控制之间平衡的原则

  我们在对信息作了种种限制的时候,必然会对信息的访问速度产生影响,势必就会对工作效率产生一定的影响。这就需要我们对访问速度与安全控制之间找到一个平衡点,或者说是两者之间进行妥协。

  为了达到这个平衡的目的,我们可以如此做。

  一是把文件信息进行根据安全性进行分级。对一些不怎么重要的信息,我们可以把安全控制的级别降低,从而来提高用户的工作效率。如对于一些信息化管理系统的报表,我们可以设置比较低的权限,如在同一部门内部员工可以察看各种文档,服务器规划、配置等信息,毕竟这只是查询,不会对数据进行修改。

  二是尽量在组的级别上进行管理,而不是在用户的级别上进行权限控制。我们试想一下,若台内的文件服务器上有500个员工帐户,若一一为他们设置文件服务器访问权限的话,那么我们的工作量会有多大。所以,此时我们应该利用组的级别上进行权限控制。把具有相同权限的人归类为一组,如一个部门的普通员工就可以归属为一组,如此的话,就可以把用户归属于这个组,我们只需要在组的级别上进行维护,从而到达快速管理与控制的目的。如我们在进行ERP等信息化管理系统的权限管理时,利用组权限控制以及一些例外控制规则,就可以实现对信息的全面安全管理,而且,其管理的效率也会比较高。

  三是要慎用临时权限。若我们为了应付一时之需,盲目的给员工走后门、开绿色通道,那么就会增加数据的安全风险。

  总之,通过本次培训,我有了一些体会和收获。我会将这些收获应用到日常工作中去,让自己的业务水平更上一层楼。

【计算机网络安全培训总结】相关文章:

中职培训计算机学习总结11-29

医院网络安全计算机维护论文08-02

小学教师计算机培训总结12-29

计算机神经网络安全评析论文07-12

年度职称计算机培训工作总结01-20

计算机网络安全及防范策略08-24

高职院校计算机网络安全管理08-05

计算机病毒防范与网络安全研究论文07-12

计算机通信技术的网络安全协议作用论文07-12

计算机网络安全及日常防范方法08-18