时间:2023-09-20 18:16:11
序论:在您撰写网络安全入门时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
关注基本的安全措施
小企业必须应对与大企业同样面临的互联网安全威胁,倦通常没有大企业那样充足的预算和人手。近年来,威胁出现了多样化,而且变得更加隐蔽:几年前你担心的是黑客或病毒会导致计算机崩溃,而如今你在蒙受重大经济损失之后才认识到自己的网络遭到了攻击。比方说,你的数据有可能丢失或者被劫持;你、你的同事或客户可能沦为身份盗窃的受害者(即所谓的“肉鸡”);你的计算机可能被用于分发垃圾邮件或恶意软件。
当然,一旦贵公司发展到一定规模,比如拥有一两百名或更多的员工,最好还是把安全工作交给专业人士,通常是独立承包商或经销商。但如果你为一个工作组或小企业处理安全工作,而且预算紧张,那么还是应该制定及实施自己的安全政策。这或许不用花一分钱,只要你付出了必要的努力,安全政策可能会很有效。谁也不喜欢每个月都更改密码、定期执行备份、查找软件更新程序,但做好这些事有助于尽量减少安全风险。
一些安全组织提供了让你开始上路的实用指南。比方说,互联网安全联盟让注册用户可以免费下载《小企业网络安全常识指南》;你还可以在系统管理、审计、网络和安全协会(SANS Institute)撰写的《网络安全与中小企业》中读到一些相关内容。
这些指南都有类似的核对一览表,附有指示说明。你很可能以前看到过,但重要内容还是值得重复。包括你不常听到、但有助于堵住安全漏洞的内容。
把你的网络与外界连接起来的路由器是一道主要的防线;路由器通常有自己的防火墙。目前的消费级路由器通常还有其他安全功能,所以你应该查看手册,看看路由器提供哪些功能。许多原本很精明的用户常常会忽视一个重要步骤,那就是更改默认的管理员登录设置,以便外人无法轻易改动所有其他设置。(路由器厂商往往会让自己的所有产品使用相同的默认设置。)
如果你使用Wi-Fi,现在就该咬咬牙,使用市面上最好的加密方法:WPA2。如果你使用的笔记本电脑不支持WPA2,就升级至支持该加密方法的笔记本电脑,或者只好完全禁用Wi-Fi。使用有线连接。智能手机也是同样:最近的最新手机(包括iPhone)都支持WPA2,你应当放弃在不支持WPA2的旧手机上使用Wi-Fi。
升级至企业级产品
那么,企业级产品可以为你提供消费级产品提供不了的哪些功能呢?不能一概而论,但功能通常可能包括:功能更强的防火墙(随带的高级软件可以进行实时检查,确保数据包的合法性)、额外的反病毒/反间谍软件,反垃圾邮件保护;还有对企业友好的功能,比如VPN支持(那样就能安全地远程访问网络,又不会将网络暴露在入侵者面前)、访客互联网访问(那样造访你办公室的客人不用访问你的内部网络,就能上网),以及支持多家宽带ISP(万一某家ISP出故障,其他的ISP就会顶上来;要是所有ISP都在正常工作,还可以实现负载均衡)等。
附带提一下VPN支持:这是企业级路由器的一项关键功能,因为许多人希望在家里或在路上时能够访问企业网络。(难道你不愿意让远程员工可以访问防火墙后面的企业数据、而是将文件副本保留在员工有可能丢失的笔记本电脑上吗?)别把企业级路由器上的VPN支持与许多消费级路由器上的VPN直通支持混为一谈,VPN直通支持旨在让家庭用户可以连接到企业VPN;而企业级路由器自己就能建立VPN。比方说,D-Link的DIR-130是一款八端口防火墙路由器。可以为最多25个用户建立VPN访问机制(但它不提供反病毒、反垃圾邮件或其他企业级功能)。
一体化方案
确实能满足所有企业安全要求的路由器被称为统一威胁管理(UTM)设备。这类设备通常除了收取基本硬件价格,还要收取附加授权费,那样才能更新反病毒/反间谍软件,反垃圾邮件软件;许多这类产品,都是根据支持的用户或连接数量来收费的(即使不用支付使用费,也应当查看一下该设备支持多少用户:超过这个数会导致网速大幅下降。)。
你心里可能会想:既然贵企业的个人电脑已经装有对付反病毒软件和反间谍软件,为什么还需要UTM?安全专家表示,网络层多一道保护确实大有好处,特别是当你客户端PC上和UTM设备上的反恶意软件程序来自不同厂商时,更是如此。你应当确定UTM设备厂商与哪些第三方软件开发商成为了合作伙伴;大多数设备厂商都会依赖老牌的反病毒、反垃圾邮件及反间谍软件产品,来确保这些服务的可靠。
安全选择广泛
UTM这类设备最近几年正得到迅猛的发展,供应商数量也与日俱增,既有家庭和小型企业网络公司(如D-Link和Netgear)、也有网络巨头(如思科),还有以企业级安全设备或软件而家喻户晓的公司(如Check Point和SonicWal])。这些公司大多数都拥有供成长型企业不断发展所需的一系列产品。
这些产品价格差别很大,取决于功能和支持的用户数量。两个例子是:Check Point公司面向小企业的Safe@Office UTM设备有好几款,包括支持5个用户(299美元)、最多支持25个用户(599美元),或者支持用户数量不限(999美元)。软件更新费是每年79美元。不过如果你主要关注的是一款好的防火墙,又不需要支持多家ISP之类的功能,那么Check Point旗下ZoneAlarm子公司提供的Z100G安全路由器就ok了,它支持802.11 b/g Wi-Fi及最多10个用户,价格为150美元。
IT业是知识更新十分快的行业,对吃技术饭的IT人士来说,不断强化技能,及时掌握最新科技,才能不被淘汰出局。从目前的情况看,参加IT认证是提升专业能力最有效的途径之一。
国际注册信息安全专家(CISSP)认证
主办机构:国际信息系统安全认证联盟(ISC)。
适用人群:针对电信业、银行证券业、系统集成与服务供应商、电子商务和电子政务及企业的信息系统安全专业人员。
报考条件:具备4年工作经验或本科毕业3年者;如经验不够者,通过考试后需工作时间满4年,才能申请CISSP资质。
考试内容:共250道全英文单选题,内容覆盖信息安全公共知识体系的10个专业范畴,着重考核考生的实际专业能力和经验。
CIW网络安全专家认证
主办机构:国际Webmaster协会(IWA)、互联网专家协会(AIP)、国际互联网证书机构(ICII)。
适用人群:适合于已熟练掌握互联网管理技能并希望有效提高网络安全技能的专业人士,如网络服务器管理员、防火墙管理员、系统管理员、应用开发人员及IT安全管理人员。
报考条件:已参加CIW基础培训,或有MCSE、CCNA基础证书者。
考试内容:涉及网络安全与防火墙,Windows和Linux/Unix系统安全,安全审核、攻击与威胁分析等内容,考试时间为90分钟,共60题,以选择题为主。
安全工程师(CCSE)认证
主办机构:Check Point公司,是全球网络安全领域的主流厂商,产品的市场占有率高达68%。
适用人群:从事VPN-1/Firewall-1基本安装及配置的系统管理员、安全管理员及网络工程师。
报考条件:报考者需掌握Windows NT或UNIX的操作知识,熟悉TCP/IP协议原理,并具有一定的TCP/IP与Internet知识和实际经验。
考试内容:共安排两次考试,分别为CCSA认证考和CCSE认证考,均为英文试题,内容涉及配置Internet防火墙、网络拓扑结构、TCP/IP协议、DNS和DHCP等。
哪些证书门槛较高
CISSP
在信息安全认证考试中,CISSP的考试难度最大。CISSP采用全英文试题,需要考生具有扎实的英语基础和丰富的专业英语词汇。此外,考试时间较长,为6个小时,对考生的体力和耐力是一大考验。
CIW
CIW的考试难度和思科考试差不多,难度偏高,而且都偏重实践经验。对考生来说,要想通过考试,多做实验非常重要。
CCSE
总体来看,CCSE考试不太难,但需要考生熟悉Check Point的操作系统,并需要有一定的实践经验。
“十大热门认证”
信息化安全占据三席
2004北美地区十大最热门认证排行榜,仅关于信息化安全的认证就占据了其中三席:第一名:微软MCSE:Security,第三名:美国计算机协会Security+认证,第七名:CISSP(Certified Information System Security Professional,信息系统安全认证专业人员)。可见,在北美地区安全类认证受到追捧。
第一名:MCSE:Security
2003年6月微软该项认证时,大家都很看好这个由企业的专门的安全认证。它属于升级考试,只需要在MCSE课程中多选2门安全升级课程,就可以得到MCSE:security。通过此认证,可以掌握微软平台的系统与安全知识,得到MCSE的title,开始网络安全的职业生涯。基于每年众多的MCSE认证应考者,2004年,MCSE:Security的大热想必是肯定的。
不过也有人觉得这项认证的含金量不高,对于应考者的资质要求也太低,与其他安全认证相比,企业在选择安全人员的时候,很少会选择只有一年经验的候选人即便是拥有MCSE: Security的title。
不过对于网络安全知识的渴望,仍旧激发了大量网友的热情,相比CISSP,MCSE: Security可以给你更多的实际的基础知识。
第三名:美国计算机协会Security+认证
Security+是由全美计算机协会CompTIA颁发的证书,类似国内信息产业部的NCSE,也正是由于这个原因,所以在美国很多人都选择这项带有官方标准的安全认证,但是Security+的知识涵盖面很广,不是普通的入门考试,需要有一定的网络知识,CCNA或者MCSE的基础准备。
第七名:CISSP
安全认证持续走红,CISSP作为权威的安全认证,入选这个排行实至名归。由于是非厂商跨平台的第三方认证,所以使得CISSP在企业市场越加受到欢迎。当然比起其他安全认证CISSP的要求也是最高的,一定程度上影响了人气排名,否则这个认证的热门程度也至少前五。
特别提醒
信息安全职业行情看涨,导致专业认证需求水涨船高,越来越多的人想通过认证跻身热门人才行列。参加信息安全认证,需注意以下两点:
2、《网络技术入门经典》,作者:布莱克。
3、《网络技术基础》,作者:周舸。
4、《计算机网络第5版》,作者:谢希仁。
5、《计算机网络基础》,作者:满昌勇。
6、《计算机网络技术》,作者:张乃平。
7、《网络管理员教程》,作者:严体华。
8、《计算机网络自顶向下方法》,作者:库罗斯。
9、《黑客入门新手特训》,作者:力行。
此次收购将进一步增强思科的安全产品组合,依托思科的“安全无处不在”战略,为企业提供从云到网络再到终端的全面保护。为了加强产品安全,思科在安全产品领域内还收购了Lancope、OpenDNS、Sourcefire等企业。
不仅思科在收购安全企业,很多网络基础设备供应商也在做类似的收购。这一现象说明了一个道理,没有安全就没有未来。除了在技术方面,很多IT厂商还设立一些奖学金,并且还组织一些信息和网络安全方面的安全竞赛,旨在培养相关技术人才,思科也于近期设立1000万美元全球网络安全奖学金计划,并进一步增强其安全认证培训产品。
数据是关键资产
为什么网络和信息安全这么重要?这是因为网络安全对于建立信任、提高各种敏捷性、赢取价值是至关重要的,尤其是在移动计算、物联网领域。在这些领域里,数据是关键的资产,同时,物联网应用促使联网设备激增,设备的增多不仅意味着资金投入的增多,而且也意味着自动生成的数据的增长。
数据是一项关键资产,而且也是未来企业业绩保持增长的非常重要的一环。每天新增大量的联网设备,使得在物联网时代,机器和机器的对话、人机对话、人与人之间的联网沟通变得越来越频繁,伴随着这些频繁的信息交流,安全挑战也越来越大。
为什么这么说呢?首先,企业的安全产品可能会来自多家厂商,没有统一的解决方案。而且在云计算环境下,恶意攻击越来越频繁。
其次,世界上的黑客组织越来越严密,有预谋的攻击正在增长,这些攻击有的可能是出于商业目的,有的可能是出于其他目的。企业与黑客之间的较量不仅仅是技术方面的,还包括资金实力,以及有无严密的防范组织等各方面的较量。
现在的网络安全形势非常严峻,有以下几个特点:首先,安全威胁非常多,而且在高层级架构方面也存在很多风险;第二,很多黑客攻击是直接攻击核心业务系统,使得某个网站或者某家企业的核心业务受到影响;第三,企业面临严重的人才短缺,网络安全人才配备不足。
安全技能人才存在缺口
挑战就摆在面前,那么企业面临的最大问题是什么呢?
需要更多的技能娴熟的网络安全人才。但遗憾的是,目前具有娴熟技能的安全人才是非常稀缺的。思科通过2015年ISACA和RSA大会上的信息系统审计与控制协会做了一个调研。调研表明,很多企业要花费很长时间才能找到合格的网络安全应聘者:虽然45%的企业表示,它们能够确定攻击的范围并避免损失,但还有超过一半以上的企业根本没有办法确认攻击来自哪里、如何来避免损失; 84%的企业表示,仅仅有一半的网络安全岗位的应聘人员能够满足企业的基本要求;53%的企业表示,它们至少要花半年时间才能够找到合格的网络安全领域应聘者。
网络安全是企业运营的重要基础,能够支持企业建立信任,更快发展,赢得更多价值,实现持续增长。然而,上述调查数据显示出,全球网络安全专业人才数量缺口比较大,如何解决这一问题是当务之急。
为了应对网络安全人才短缺,思科将投资1000万美元设立一项为期两年的全球网络安全奖学金计划,以培养更多具备关键网络安全技能的出色人才。思科将根据网络安全分析工程师这一行业工作岗位的要求,提供所需的免费培训、辅导和认证考试。思科将与主要的思科授权培训合作伙伴携手实施这一计划。相关培训将着眼于弥补关键技能短缺,帮助学员掌握岗位所需的技能,有效应对网络安全领域当前和未来面临的挑战。
思科一直致力于不断培养安全认证方面的人才。此次思科推出全新奖学金计划,更多的是聚焦整个行业,从更宏观的角度看待行业人才短缺问题,并且通过思科帮助整个行业解决人才短缺问题,使得缺失的技能经过合适的培训而弥补,产生更多人才。正是由于看到了行业的人才稀缺和需求,思科才需要助力整个行业人才的培养,这就是思科推出全球网络安全奖学金计划的原因。
学员覆盖面广但也有侧重
思科全球网络安全奖学金计划是在今年1月份由思科CEO罗卓克在达沃斯会议上正式对全球宣布的。奖学金计划在8月份正式实施,申请人可以正式向思科提出申请。当然,要获取这样的奖学金是有要求的:第一,年满18岁或以上的成年人;第二,必须流利掌握英语,因为整个网络环境下英语是主导语言;第三,必须具备一定的计算机知识,因为思科所有的网络安全培训需要受训者掌握一定的电脑基础知识。
为了扩大此次网络安全奖学金计划宣传力度,思科正在和各种各样的组织合作来推广奖学金计划,力求寻找适合学习网络安全的人才,并且扩大网络安全人才库。申请者需要具备一些基本计算机网络知识。首先,申请者可以到思科的奖学金网站上获取详细的信息,对思科基础性认证有一定了解,并且对于思科网关和路由有一定的基础知识;第二,对于操作系统,包括Windows操作系统、Linux操作系统等都应该有认证或是相关知识,这只是入门级别的一些要求;另外,如果被录取的话,申请者获得奖学金可以参加思科正式的认证培训;最后,学员在学到了这些知识之后要向公众推广和分享网络安全知识。
此奖学金范围覆盖全球,全球每一个国家、每一个地区都能参与,只要是合格的人才都可以报名参加,但思科还是有一些侧重点的,思科的目的是要扩大全球网络安全人才库,希望能够注入新鲜血液。思科认证培训部产品战略总监安东娜拉・科诺(Antonella Corno)表示:“思科鼓励三类群体积极参与其中。 一是职场新人,那些刚刚大学毕业、初入职场的人士是未来的中坚力量,也是未来的希望,所以职场新人是思科打造全球网络安全人才渠道过程中聚焦的其中一部分;二是女性,不管是IT行业或者是物联网行业的女性,我们都非常欢迎,这体现了我们多元化的人才培养方向;三是退役军人,退役军人是指全球各个国家的退役军人,并不仅仅是指美国的退役军人,军人一般都是训练有素的,只不过他们在部队所学到的技能在退役之后用处不大,我们希望他们通过再次培训能够把良好的素质和新学到的技能结合起来,进一步融入到新的职场环境中。”
当申请者申请参加思科网络安全奖学金计划的时候,申请人首先需要参加一个在线评估,根据评估的结果,思科会筛选哪批人是可以拿到奖学金的。只要申请者成功通过评估、获得奖学金资格,接下来会参加为期三个月的培训。首先参加第一门课程的培训,通过第一门考试然后再参加第二门课程的培训,通过第二门考试;两轮考试全部通过之后,就能获得CCNA网络安全运营认证。获得CCNA网络安全运营认证的证书就意味着的培训圆满成功。
思科CCNA网络安全运营认证是向所有人开放的,非学员也是能够参加的。但是,获得奖学金的学员有三个月专门学习的安排,就是针对CCNA网络安全运营认证的学习,他们的课时费、报名费、考试费用全都由奖学金覆盖了,不用额外再支付任何费用。
在这1000万美元奖学金计划中,有多少是分配给中国的?就此,笔者询问了安东娜拉・科诺,她表示:“这个奖学金是一个完全开放的奖学金,我们并没有针对某个国家或者某个地域划分所谓分配比例。虽然我们刚才提到了有三类人是我们想要多支持的,像职场新人、IT女性、退役军人等,但是我们也没有具体划分到底应该将多少金额划给这三类人。所以,我们还是开放的,只要符合条件的人都能来申请,也都有可能获得奖学金。”
认证培训内容与时俱进
思科的认证都是针对行业的具体工作职位推出的认证,所以是非常实用和有针对性的。CCNA网络安全运营认证是针对在网络安全运营中心工作的工程师们推出的认证培训。网络安全运营中心是聚集高端人才非常重要的环境,需要大量具备娴熟技能的优秀人才,个人在职业生涯从低往高发展过程中首先要接受入门级的认证培训,然后一步一步向上升级,达到个人职业生涯发展的顶点,这个认证主要是培训网络安全分析工程师所需要的各种技能。
具体是哪些技能的培训呢?该培训包括监控整个网络安全系统,检测各项网络安全攻击,同时还包括收集和分析各种证据、关联信息等,最后做到更好地协调,在攻击后快速进行部署防范。
思科已推出全新CCNA网络安全运营认证(CCNA Cyber Ops Certification),并更新其CCIE安全认证(CCIE Security Certification) 。
校企合作是高等职业院校提高办学水平和人才培养质量的有效途径。高等职业教育通过学校与企业的紧密合作,共同培养,才能实现培养高等技术应用型专门人才的办学目标。校企合作使学生在校学习与企业实践有机结合,让学校和企业的设备、技术实现优势互补、资源共享,切实提高育人的针对性和实效性,提高技能型人才的培养质量。黑龙江农业经济职业学院自2008年以来,与IT行业著名职教培训机构北大青鸟集团合作,开办BENET网络工程师特色专业。北大青鸟以其先进的职教理念、前沿、实用的课程资源、优秀的师资力量、庞大的就业网络与学校密切合作,人才培养质量显著提升。
2明确网络技术专业人才培养目标
准确定位专业人才培养目标是构建科学合理课程体系的前提。北大青鸟集团调研了1174家IT企业,并对企业168位负责招聘的技术经理进行了有针对性的访谈,结合学院的专业调研,最终确定网络技术专业目标岗位和技能(附表)。
2.1阶梯式技能体系结构,平稳提升技能水平
根据内容深度,技能层次划分为三个阶段,学习过程循序渐进。第一阶段面向基础、入门,以知识性、趣味性为主,引导学生进入丰富多彩的网络技术行业,提升学习意愿,树立学习目标,能够管理和维护小型办公网络,制作和更新简单的网站页面;第二阶段面向技术提升,使学生对网络的认识由感性过度到理性,熟练掌握企业网络应用中的核心技能点,管理和维护大中型网络信息系统,具备分析和解决实际问题的能力;第三阶段面向安全及高级应用,以规模化部署及攻防实践为主,让学生深入了解相关技能在大型企业环境中的安全应用,保障企业网络、系统及数据的安全,能够分析企业网络结构、操作系统、应用服务的安全隐患,制定安全防护策略。
2.2打造高专精技术人才
第一阶段的内容仅仅是入门,第二阶段所学内容具备技术含量,但距离企业中高端岗位的要求仍然有较大的差距,特别是欠缺目前企业普遍非常重视的网络安全技术。因此,第三阶段分为Windows网络安全和Linux网络安全两个技术方向,以满足企业中高端安全需求。学生在开始学习的时候并不清楚自己在哪个技术方向上具备更大的潜力,经过前两个阶段的全面学习,可确定个人优势,再在第三阶段分技术方向深造。
3构建分方向的网络技术专业课程体系
人才培养目标明确以后,需要构建与其相对应的课程体系。为了达到人才培养目标要求,既要培养学生职业技能,又要培养学生职业素养,培养自我提高、创新、沟通协作能力。因此,将课程体系划分为公共平台课、专业平台课、专业核心课、专业拓展课四大类。
3.1平台课培养基本素质,奠定学习基础
公共平台课提高学生职业素质和个人修养,培养学生的辩证思维能力和外语应用能力、创新能力,增强职业稳定性。公共平台课主要有“思想道德修养与法律基础”、“大学英语”、“时事与政策”、“体育”、“就业与创业教育”、“职业生涯规划”、“计算机应用基础”、“心理健康教育”等课程,并开设可供学生选修的艺术鉴赏类课程。专业平台课培养学生最基本的专业技能,奠定宽厚的专业基础,为学好专业核心课做准备。专业平台课主要有“网络基础”、“Windows操作系统”、“计算机组装维护”、“数据库应用与性能优化”、“网页设计与制作”、“组建与维护企业网络”等课程。
3.2核心课培养专业核心能力,精练目标岗位技能
专业核心课是人才培养的关键课程,培养学生专业核心能力,分为必修的专业核心课和分方向选修的专业核心课程。必修的专业核心课主要有“构建大型企业网络”、“网络安全高级应用”、“Linux操作系统”、“网络设备安全部署”等课程。学生可根据学习兴趣和特长,在Windows网络安全和Linux网络安全两个技术方向中选修其中一个方向的专业核心课,Windows网络安全技术方向有“Windows安全检测及防护”、“Windows安全高级应用”两门课程,Linux网络安全技术方向有“Linux安全检测及防护”、“Linux安全高级应用”两门课程。分技术方向有利于学生深入掌握核心技能,实现培养高专精技术人才的目标。
3.3拓展课拓宽职业方向,培养职业迁移能力
专业拓展课培养学生与专业相关的其他能力,为学生拓宽就业方向,主要有“Photoshop图像处理”、“Flas设计”、“云计算技术”、“物联网技术”等专业选修课程。专业拓展课开拓学生的知识视野,拓展了学生专业技能,也掌握一些前沿实用技术,培养学生职业迁移能力。
4结束语
(华南农业大学珠江学院,广州 510900)
(Zhujiang College,South China Agricultural University,Guangzhou 510900,China)
摘要:网络安全是计算机网络相关专业的一门重要课程,然而很多院校缺乏该课程所需的实验设备。为了提高教学效果,引入GNS3模拟器软件来辅助实验教学显得非常重要。本文以时间ACL实验为例,通过GNS3搭建实验平台,介绍了模拟器软件在网络安全实验课程中的应用。
Abstract: Network security is an important course of computer network related field, however, many colleges and universities are lack of experimental equipment of the course. In order to improve the teaching effect, the introduction of GNS3 simulator software to assist in the experimental teaching is very important. This paper takes time ACL experiment for example, uses GNS3 to build the experimental platform and introduces the application of simulator software in the network security experiment course.
关键词 :网络安全;GNS3;ACL;实验教学
Key words: network security;GNS3;ACL;experiment course
中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2015)25-0176-02
基金项目:广东省教育厅2014青年创新人才项目(2014KQNCX254)资助。
作者简介:刘诗瑾(1981-),女,湖北武汉人,教师,讲师,研究方向为网络安全。
0 引言
随着我国高等教育改革,应用技能型人才成为大部分高校的人才培养目标。网络安全是网络工程相关专业的一门理论与实践并重的核心课程。对于大部分二本院校的学生,充足的高质量的实践教学可以帮助他们理解“枯燥抽象”的理论知识,提升学习兴趣,提高综合实践能力。
目前开展网络安全实践教学存在着一些困难和问题。第一,大部分的实验设备(如路由器,防火墙,服务器等)价格昂贵,维护成本高,很多院校只能负担少量的设备,不足以满足日常教学需要。第二,学生作为初学者,对于硬软件环境不熟悉,容易出现错误,无法再恢复实验环境,从而影响实验效果。第三,知识更新快,而实验室设备往往不能做到及时更新。综上的这些问题往往会导致实验课时不够,该做的实验没做,或只能进行简单的实验。
1 GNS3模拟器介绍
使用模拟器软件搭建仿真实验环境,可以降低投资成本,减少物理损耗,便于教师监控学生的实验进行情况,也让学生能在课下反复练习,提高实践能力。
GNS3是可以运行在多平台上的图形界面网络虚拟软件。可以通过它完成CCNA,CCNP,CCIE等Cisco认证考试的实验模拟操作。该软件包含了路由器、交换机、防火墙、主机等模块,用户可以根据需求运用不同设备搭建网络实验环境。虽然思科的另一个模拟软件PACKET TRACER更加简单易学,但它有很多命令并不支持,只能作为网络基础的入门学习。GNS3是在计算机中虚拟出网络设备并安装相应的操作系统,虽然占用较多资源,但支持大部分命令,能真实模拟网络设备的行为。下面的这个网络安全实验就是在GNS3环境下运行,但无法用PACKETTRACER软件(PT软件缺乏关键命令)。
2 实验举例—时间ACL仿真实验
GNS3可以仿真很多PT软件不能完成的网络安全实验,如访问控制表ACL配置,PIX/ASA防火墙实验,VPN实验等等。在本例中,使用GNS3搭建实验拓扑,进行时间ACL配置并验证。
2.1 时间ACL实验拓扑结构设计
首先按照实验所要求的网络拓扑图(如图1所示),在GNS3的工作区域中增加设备。本实验需要1台路由器,2台交换机和3台PC机。其中路由器为主要设备,可选2600或更高级的路由器,路由器需要有三个端口分别为E0,E1和S0。
2.2 时间ACL实验配置
在GNS3中搭建好实验环境,配置好相关设备IP地址后,可以在路由器上进行具体的时间访问表配置。
①创建时间段,命名为myhttp。
Router(config)#time-range myhttp
Router(config)#absolute start 1:00 1 December 2014 end 24:00 31
December 2014 periodic Saturday 7:00 to Sunday 22:00
②创建扩展访问表,将时间段附加在访问规则中,在该时间段内除了主机10.10.10.50,禁止任何机器ping主机10.20.20.100。
Router(config)#ip access-listextended101
Router(config-ext-nacl)#permiticmphost 10.10.10.50 host 10.20.20.100 time-range myhttp
Router(config-ext-nacl)#deny icmp any host 10.20.20.100
time-range myhttp
Router(config-ext-nacl)#permitipanyany
③将规则应用到指定端口。
Router(config)# interface ethernet1
Router(config-if)#ip access-group 101 out
时间访问列表还有很多模式和组合可以在这个实验中进行,在本例的基础上还能进行很多其他协议的实验。使用GNS3模拟软件可以方便学生在课下对本实验进行补充和扩展,加深对访问控制表的理解和掌握。
2.3 实验结果验证
首先使用show clock命令查看路由器的当前时间,再使用clock set命令将路由器时间改为试验中的myhttp时间段。然后在另2台PC上分别用ping命令测试到主机10.20.20.100的连通性。按照之前设置的ACL规则,主机10.10.10.50可以连通10.20.20.100,但另一台机器不能。
3 结语
本文通过一个实验演示了GNS3模拟软件在网络安全实验教学中的应用。实验表明GNS3可以快速搭建实验环境,既能降低硬件设备的投资成本,又能满足不断更新的教学要求。学生在课外也可以利用GNS3巩固和扩展已学知识,不断创新和实践,成为符合市场需要的应用技能型人才。
参考文献:
[1]顾春峰,李伟斌,兰秀凤.基于VMware、GNS3实现虚拟网络实验室[J].实验室研究与探索,2012,31(1):73-75.
在全国网络安全和信息化领导小组第一次会议上强调:“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题”,“没有网络安全就没有国家安全,没有信息化就没有现代化”。我国网络用户已经超过6亿,手机用户超过14亿,而我国的网络安全形式不容乐观,网络安全事件呈上升趋势,既懂网络管理又懂网络安全的综合人才紧缺,这给网络工程专业的网络安全课程的设置与人才培养提供了发展的契机。
1网络工程专业网络安全人才培养的优势
随着网络技术的发展,各种网络威胁也随影而至。特别是无线网络技术的发展,使得互联网的体系结构更加复杂,任何网络节点的薄弱环节都有可能会是网络攻击者的突破口。近几年,引起广泛关注的高级持续性威胁(AdvancedPersistentThreat)更是综合了各种可以利用的突破口对目标进行长期踩点,并在适当的时候对目标发动攻击。因此,网络安全管理人员需要具备操作系统、数据库、密码学的理论与技术、掌握网络路由与交换技术、网络管理技术,网络编程技术,以及常见的网络服务器的管理与配置,尤其是对Web服务器的深入理解。但无论是信息安全专业还是信息对抗专业的培养方案都在网络路由域交换技术、网络管理技术等相关课程的设置方面比较薄弱,无法满足网络安全管理人员对相关知识体系的要求。因此,网络工程专业依托其深厚的网络知识体系,更适合建立网络安全管理所需要的理论技术,更适合培养网络安全管理人才。
2网络工程专业的网络安全课程体系建设
根据当前社会对于网络和网络安全人才的需求,本校制定了相应的人才培养计划,历经10年的改革与发展,形成了当前网络工程专业下的三个特色方向:网络技术方向、网络安全方向、网络编程技术方向。无论是网络技术还是网络安全技术都离不开网络编程技术的支撑,缺少相应的编程能力网络技术与网络安全技术也注定会是瘸腿的技术,无法满足网络管理与网络安全管理的需求。因此这三个方向相互融合形成的高级网络与网络安全技术方向,形成了目前网络工程专业较为稳定的培养目标。次开课,经过十年的建设,目前已经成为本专业的骨干课程之一,建有密码学专业实验平台,形成了系统的教学与实践体系。课程设计64学时,其中48学时为理论授课,16学时为实验学时。通过该课程的学习使学生掌握常见密码算法的基本原理及其应用,能够利用相应的密码算法研发安全信息系统或者安全通信系统。“PKI体系及应用”与“网络安全协议”是以应用密码学为基础的延伸课程。培养学生利用现代密码学的技术研发密码产品的能力。“PKI体系及应用”以证书认证中心为轴心,详细介绍公开密钥基础设施的基本概念、基本原理、基本方法,以及公开密钥基础设施在现代密码产品中的应用研发技术。“网络安全协议”从密码应用系统业务逻辑层面的安全分析入手,介绍常见的网络安全协议、网络安全标准和典型的网络安全应用系统,在此基础上,介绍安全协议设计及其安全性分析的基本理论与技术,使学生掌握基本的网络安全协议设计方法,能够根据具体的应用背景设计对应的网络安全协议,研发安全应用系统。网络攻防类课程是在以“应用密码学”等信息安全类课程开设的基础上,根据网络工程专业的建设和国内网络安全形势的需要而开设的网络维护类课程。其中,“网络攻防技术入门”是在大一新生中开设的新生研讨课,共16学时,分8次上课,以学生讨论的方式组织教学,通过安排技术资料研读和课堂讨论,启发学生对网络攻防技术的学习兴趣,掌握基本的网络威胁防护方法。“网络信息对抗”综合讲授与网络安全相关的法律法规、网络渗透技术和网络防护技术。课程共64学时,理论授课32学时,实验32学时,每个理论学时跟着一个实验学时,以边学边练的方式组织教学。实验教学通过专用综合攻防平台进行验证性训练。“计算机取证技术”主要讲述计算机取证的基本方法、基本过程、数据恢复技术、证据提取技术、证据分析技术,以及常见的计算机取证工具的使用方法。“信息安全技术实训”是在四年级上学期开设的实训课程,共计192学时,8个学分。该课程分为两个部分,第一部分以实际的项目案例为驱动,训练学生对现代密码理论技术应用能力与程序设计能力,目标是设计并实现一个小型的网络安全软件系统。第二部分以实际的网络安全案例为驱动,训练学生对于目标系统的渗透能力与网络加固能力、以及对于整个渗透过程的取证分析能力。该实训课程与学生的实习相互结合,部分学生进入网络安全公司进行实习,提交综合实习报告来获得同校内综合实训相当的学分。通过三年的实践,效果良好。
3网络安全方向的人才培养分析
网络安全方向已经形成了较为完善的课程体系,学生学习兴趣高涨,在校内形成了良好的网络安全研究氛围。自发形成了保有数为20人左右的本科生兴趣研究小组,另外,通过每年一届的全校网络安全知识比赛,促进了全校网络安全知识的普及与人才培养,通过组织参加全省大学生网络信息安全知识比赛,选拔优秀本科生进入相关课题研究,而且都取得了较好的效果。为此,本文对近3年的毕业生就业情况进行了抽班级统计。每年的毕业生中都有近90%的学生从事与网络管理和网络安全相关的工作,继续考研深造的人数超过10%,其它无业或者情况不明者仅占4%。由此可见本专业基本达到了培养计划所规定的人才培养目标。
4结语