陳 軻

(電子科技大學(xué) 成都學(xué)院，成都 611731 )

企業(yè)網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)模式的探討

陳 軻

(電子科技大學(xué) 成都學(xué)院，成都 611731 )

網(wǎng)絡(luò)安全是一門實(shí)踐性很強(qiáng)的學(xué)科，需要學(xué)生在理論課的同時進(jìn)行實(shí)驗(yàn)課的操作，通過對交換機(jī)、路由器、防火墻等網(wǎng)絡(luò)設(shè)備的配置實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系網(wǎng)絡(luò)安全實(shí)驗(yàn)室作為高校實(shí)踐性人才培養(yǎng)基地，在購置了大量思科網(wǎng)絡(luò)設(shè)備的同時，也開設(shè)了《CCNA1-2》《CCNA3-4》和《CCNA安全》等實(shí)驗(yàn)課程，旨在加強(qiáng)對網(wǎng)絡(luò)安全人才的培養(yǎng)，以滿足社會對網(wǎng)絡(luò)安全人才的需求。文中通過企業(yè)可能遇到的各種網(wǎng)絡(luò)安全問題，以實(shí)踐實(shí)訓(xùn)的形式讓學(xué)生了解網(wǎng)絡(luò)安全管理在企業(yè)中的應(yīng)用。

網(wǎng)絡(luò)安全；交換機(jī)；路由器；防火墻；企業(yè)網(wǎng)絡(luò)安全管理

隨著互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。企業(yè)網(wǎng)絡(luò)安全涉及的面很廣泛，甚至?xí)婕笆欠駱?gòu)成犯罪行為。在其最簡單的形式中，主要保障的是確保企業(yè)核心機(jī)密不能被無關(guān)人員讀取，更不能修改傳送給其他接收者。其次，關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題[1]。

在網(wǎng)絡(luò)實(shí)驗(yàn)室中通過模擬解決各種企業(yè)安全管理所遇到的問題，讓學(xué)生在動手操作的同時了解什么是網(wǎng)絡(luò)安全，什么是企業(yè)網(wǎng)絡(luò)安全防范，如何通過各種軟硬件設(shè)備實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全管理，是一個很具有研討性的教學(xué)問題[2]。本文主要就是針對以上教學(xué)問題進(jìn)行探討，以期能夠在實(shí)驗(yàn)教學(xué)中摸索出一條有效的教學(xué)方案。

1 企業(yè)網(wǎng)絡(luò)安全的關(guān)注范圍

1.1 計(jì)算機(jī)網(wǎng)絡(luò)

從數(shù)學(xué)定義上來說,網(wǎng)絡(luò)就是由節(jié)點(diǎn)和連線構(gòu)成的圖。比較典型的一些網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

從物理定義上來說，網(wǎng)絡(luò)就是以物理的連接方式，把若干計(jì)算機(jī)設(shè)備連接起來，再配以適當(dāng)?shù)能浖陀布?，以達(dá)到在計(jì)算機(jī)之間交換信息的結(jié)構(gòu)。它包含有以下4個要素：(1)有物理連接；(2)節(jié)點(diǎn)是計(jì)算機(jī)設(shè)備；(3)有軟件和硬件的參與；(4)實(shí)現(xiàn)數(shù)據(jù)交互。

1.2 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是一種狀態(tài)，可以狹義地描述為沒有事故，沒有隱患的網(wǎng)絡(luò)狀態(tài)。既然計(jì)算機(jī)網(wǎng)絡(luò)有4個要素，那么對于計(jì)算機(jī)網(wǎng)絡(luò)安全，我們在實(shí)驗(yàn)教學(xué)的時候應(yīng)該給學(xué)生灌輸?shù)陌踩庾R主要包含以下4個方面[3]：(1)鏈路安全；(2)設(shè)備安全；(3)軟件安全；(4)數(shù)據(jù)及交換數(shù)據(jù)安全。

1.3 企業(yè)網(wǎng)絡(luò)安全管理的范圍

在網(wǎng)絡(luò)安全教學(xué)中，作為企業(yè)網(wǎng)絡(luò)管理者，最開始我們需要了解的是：

(1)公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，雖然企業(yè)不一定給你最完整的資訊，但是一定會告訴我們有哪些基本的網(wǎng)絡(luò)設(shè)備，我們至少應(yīng)該知道這些設(shè)備可以干什么，然后清楚地意識到在不久的將來我們都需要或多或少的對它進(jìn)行配置[3]。例如：交換機(jī)、路由器、防火墻、VPN、無線AP、VOIP及內(nèi)容過濾網(wǎng)關(guān)等[4]。

(2)企業(yè)還會告訴我們一些功能服務(wù)器，這些也是我們?nèi)蘸笮枰M(jìn)行管理的對象。例如：企業(yè)AD、DHCP、DNS、FTP、WEB、網(wǎng)絡(luò)ghost服務(wù)器、Share服務(wù)器、WSUS服務(wù)器和Exchange服務(wù)器等等。我們需要記下這些網(wǎng)絡(luò)設(shè)備和功能服務(wù)器的IP地址。

2 企業(yè)網(wǎng)絡(luò)安全管理的方式

2.1 企業(yè)網(wǎng)絡(luò)安全管理可能遇到的問題

作為企業(yè)網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)，我們需要盡可能的模擬更多的企業(yè)網(wǎng)絡(luò)問題給學(xué)生來思考和解決：(1)給你一個IP地址，你能準(zhǔn)確地找到這臺機(jī)器么？你需要什么輔助你？(2)有人說他能上內(nèi)網(wǎng)，但外網(wǎng)不行，你會想到什么？(3)有人說他QQ還可以聊天，但網(wǎng)頁打不開，你怎么想？

以上模擬的問題都是企業(yè)中最容易出現(xiàn)的，在讓學(xué)生思考以上問題的同時，以下問題才是需要讓學(xué)生們在模擬企業(yè)網(wǎng)絡(luò)管理者的時候需要規(guī)劃的：(1)研發(fā)部門的服務(wù)器突然增加了，可是給他們的IP地址不夠分了，怎么辦？(2)財(cái)務(wù)數(shù)據(jù)庫服務(wù)器數(shù)據(jù)很敏感，可是外地分公司的業(yè)務(wù)又必須訪問，你將制定怎樣的策略？(3)規(guī)劃的網(wǎng)絡(luò)是固定IP還是自動分配呢？

2.2 解決問題的注意事項(xiàng)

2.2.1 節(jié)點(diǎn)安全

更多的時候我們需要讓學(xué)生們了解到通過各種軟件保障設(shè)備的穩(wěn)定運(yùn)行是預(yù)防節(jié)點(diǎn)安全的主要手段。我們可以通過監(jiān)控系統(tǒng)日志實(shí)現(xiàn)對系統(tǒng)信息日志、權(quán)限管理日志和資源使用率日志的管理；通過監(jiān)控硬件狀態(tài)實(shí)現(xiàn)對溫度、電壓、穩(wěn)定性和硬件故障的管理；通過異常警報(bào)實(shí)現(xiàn)對沖突異常、侵入異常、失去功能異常、突發(fā)性性能異常等狀況的管理；通過容災(zāi)實(shí)現(xiàn)對硬件損壞、停電、失火、散熱失效等的管理。節(jié)點(diǎn)安全管理示例如表1所示：

表1 節(jié)點(diǎn)安全管理

2.2.2 軟件安全

最復(fù)雜最難管理的就是軟件安全，因?yàn)槲覀兯械姆?wù)器硬件都是為運(yùn)行在上面的軟件服務(wù)的，而軟件又都是由人根據(jù)需求編寫代碼開發(fā)出來的應(yīng)用程序。往往一款軟件需要很多人的協(xié)作開發(fā)，由于各種局限性，在開發(fā)過程中無法考慮各種情況，因此軟件都會有各種各樣的缺陷，需要不斷的修正。有的缺陷是無傷大雅的，而有的缺陷卻是致命的。你不是開發(fā)者，這些缺陷對你來說又是不可控的。你只能被動的防范這些缺陷，而往往修補(bǔ)這些缺陷都發(fā)生在缺陷產(chǎn)生危害之后。然而裝的軟件越多，這些缺陷也就越多。更要命的是，病毒、木馬它們也是軟件，操作系統(tǒng)自身無法識別。殺毒軟件可以處理病毒、木馬，但是安全軟件一不小心也會成為不安全的因素。例如：金山網(wǎng)盾事件、暴風(fēng)影音事件等。

盡管如此，我們依然可以防范，那就是把握以下原則：(1)最少安裝原則：提供什么服務(wù)就只裝什么服務(wù)或軟件，其他一律屏蔽；(2)最少開放原則：需要什么端口就開放什么端口，其他一律屏蔽；(3)最小特權(quán)原則：給予主體“必不可少”的權(quán)限，多余的都不開放。

2.2.3 數(shù)據(jù)安全

不論是節(jié)點(diǎn)安全還是軟件安全，我們最終的目的都是為了保障數(shù)據(jù)安全。這也是網(wǎng)絡(luò)安全的終極意義。這是我們在課堂上務(wù)必讓學(xué)習(xí)網(wǎng)絡(luò)安全的學(xué)生了解的內(nèi)容。

數(shù)據(jù)安全其實(shí)是數(shù)據(jù)保管安全，涉及以下4個方面：(1)數(shù)據(jù)在存儲介質(zhì)上的物理安全。即防范存儲介質(zhì)損壞造成的數(shù)據(jù)丟失隱患。(2)數(shù)據(jù)在存儲介質(zhì)上的邏輯安全。即防范因各種操作造成的數(shù)據(jù)邏輯破壞、刪除或丟失的隱患。(3)數(shù)據(jù)在空間上的安全。即防范因各種災(zāi)難造成當(dāng)?shù)氐恼麄€數(shù)據(jù)完全損毀的隱患。(4)數(shù)據(jù)在管理上的安全。即防范敏感或機(jī)密數(shù)據(jù)通過公司內(nèi)部員工人為泄露的隱患。

數(shù)據(jù)傳輸安全是互聯(lián)網(wǎng)安全的重點(diǎn)，主要防范重點(diǎn)如下：(1)數(shù)據(jù)在傳輸過程中被阻礙(例如，DDOS攻擊)；(2)數(shù)據(jù)在傳輸過程中被竊取(因?yàn)闊o線上網(wǎng)設(shè)置不當(dāng)造成公司資源外泄)；(3)數(shù)據(jù)在傳輸過程中被修改(網(wǎng)頁注入式攻擊)。

3 結(jié)束語

網(wǎng)絡(luò)安全是一門與時俱進(jìn)的課程，將企業(yè)網(wǎng)絡(luò)安全管理引入實(shí)驗(yàn)課程中，能讓學(xué)生在大學(xué)期間初步了解到企業(yè)對于網(wǎng)絡(luò)安全的具體需求，通過思考和解決企業(yè)網(wǎng)絡(luò)安全問題，更能讓學(xué)生在自己動手解決問題的時候把理論知識與實(shí)踐經(jīng)驗(yàn)融會貫通。借助于網(wǎng)絡(luò)實(shí)驗(yàn)室的各種軟硬件設(shè)備，以后會有更多偏重于實(shí)踐經(jīng)驗(yàn)的課程進(jìn)入實(shí)驗(yàn)室教學(xué)，使得現(xiàn)代大學(xué)生都具備良好的動手能力，實(shí)操能力[5]。

[1] 劉慶杰,高煥芝,王曉英.網(wǎng)絡(luò)安全實(shí)驗(yàn)室建設(shè)的探討[J].電腦知識與技術(shù),2009(5)：67-69.

[2] 洪學(xué)銀.網(wǎng)絡(luò)安全實(shí)驗(yàn)室建設(shè)的研究[J].齊齊哈爾職業(yè)學(xué)院學(xué)報(bào),2007(1)：45-46.

[3] 梁志標(biāo)，梁平枝.高職院校網(wǎng)絡(luò)安全實(shí)訓(xùn)室建設(shè)探索[J].中國科技信息,2011(6)：169-170.

[4] 魏立偉,姚耀華,弼成.信息類專業(yè)實(shí)驗(yàn)室建設(shè)的思路與實(shí)踐[J].中國科技信息,2005(1)：103-105.

[5] 徐生煒.高校計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)室教學(xué)模式的探討[J].實(shí)驗(yàn)科學(xué)與技術(shù), 2012(6)：214-216.

Discussion on the Teaching Mode in Enterprise Network Security Experiment

CHEN Ke

(Chengdu College of University of Electronic Science and Technology of China, Chengdu 611731, China)

Network security is a subject with strong practicality，students need to master the both theory and experiment operation. At the same time, they configure the switches, routers, firewalls and other network equipments to manage the network security. The Network Laboratory of Chengdu College of University of Electronic Science and Technology of China which as a training base for college practical talent, in the purchase of a large number of Cisco networking equipment. At the same time, we openedCCNA1-2,CCNA3-4,CCNAsecurityexperimental courses, looking forward to strengthen the training of the network security personnel to meet the social demand for network security personnel. A variety of network security issues that may be encountered in the enterprise in the form of a practice training so students understand the application of network security management in the enterprise.

network security; switches; routers; firewalls; enterprise network security management

2013-05-03；修改日期: 2014-05-15

陳 軻(1982- )，男，碩士，助教，主要從事計(jì)算機(jī)網(wǎng)絡(luò)工程和相關(guān)實(shí)驗(yàn)課程教學(xué)、實(shí)訓(xùn)工作。

G423.06；TP

Adoi:10.3969/j.issn.1672-4550.2014.06.045