計算機網絡安全培訓總結

計算機網絡安全培訓總結

　　計算機網絡是當前信息共享的便捷工具，在計算機網絡使用安全方面需要引起重視，下面是YJBYS小編整理的計算機網絡安全培訓總結，歡迎閱讀。

　　計算機網絡安全培訓總結范文

　　7月14—26日，按照信息中心安排，我參加了德國漢斯•賽德爾基金會職業教育師資培訓項目酒泉職業技術學院培訓基地計算機網絡安全技術培訓班的學習。參加培訓的老師都是新疆和甘肅各職業院校的網絡管理員和專業課教師，為我們培訓的老師是特聘專家南駿老師。酒泉職業技術學院培訓基地的硬件條件很好，老師也非常熱情，各個院校的老師相處的也很融洽，在這樣的學習環境中，充分調動了我的學習熱情，也讓我再次感受到做為網絡管理員的不易，通過這次培訓我發現我該了解、學習的東西還很多，因此只有在平時多學習，在工作中多多運用所學的知識，才能把提高自己的業務水平。

　　一、用理論知識武裝自己的頭腦，充分認識網絡管理的重要性

　　在此次培訓中，老師花了一部分時間講述理論知識，如有關網絡安全的法律法規、網絡安全管理和網絡安全技術。先從理論知識著手，讓我們有個網絡安全知識的了解，雖然理論知識有點枯燥，但我清楚的知道這是基礎。

　　通過開始兩天的學習我認識到，要想保證網絡安全，首先要認識到網絡安全的重要性并要引起重視。而具體到我們學校，則要充分認識校內的網絡安全管理問題，正視問題，解決問題，使校內網絡管理的日常工作有條不紊的正常進行。

　　其次網絡安全問題要靠大家的努力，不能光靠某一個人，整個校園網本身就是一個整體，當然需要全體人員共同努力，首先每位員工都要有網絡安全意識，其次才能通過技術手段使網絡更穩定�？傊�培訓使我更進一步認識到了不足以及今后的工作方向，也會多學習多思考。

　　二、學習收獲很多，但讓需要繼續努力學習

　　1.學習了如何防范二層攻擊

　　網絡第二層的攻擊是網絡安全攻擊者最容易實施，也是最不容易被發現的安全威脅，它的目標是讓網絡失效或者通過獲取諸如密碼這樣的敏感信息而危及網絡用戶的安全。因為任何一個合法用戶都能獲取一個以太網端口的訪問權限，這些用戶都有可能成為黑客，同時由于設計OSI模型的時候，允許不同通信層在相互不了解情況下也能進行工作，所以第二層的安全就變得至關重要。如果這一層受到黑客的攻擊，網絡安全將受到嚴重威脅，而且其他層之間的通信還會繼續進行，同時任何用戶都不會感覺到攻擊已經危及應用層的信息安全。

　　二層攻擊主要有：

　　(1)MAC地址泛洪攻擊

　　(2)DHCP服務器欺騙攻擊

　　(3)ARP欺騙

　　(4)IP/MAC地址欺騙

　　他們的防范方法主要有：

　　(1)MAC地址泛洪攻擊防范：

　　限制單個端口所連接MAC地址的數目可以有效防止類似macof工具和SQL蠕蟲病毒發起的攻擊，macof可被網絡用戶用來產生隨機源MAC地址和隨機目的MAC地址的數據包，可以在不到 10秒的時間內填滿交換機的CAM表。Cisco Catalyst交換機的端口安全(Port Security)和動態端口安全功能可被用來阻止MAC泛濫攻擊。例如交換機連接單臺工作站的端口，可以限制所學MAC地址數為1;連接IP電話和工作站的端口可限制所學MAC地址數為3:IP電話、工作站和IP電話內的交換機。

　　(2)DHCP服務器欺騙攻擊防范：

　　為了防止這種類型的攻擊，Catalyst DHCP偵聽(DHCP Snooping)功能可有效阻止此類攻擊，當打開此功能，所有用戶端口除非特別設置，被認為不可信任端口，不應該作出任何DHCP響應，因此欺詐DHCP響應包被交換機阻斷，合法的DHCP服務器端口或上連端口應被設置為信任端口。

　　(3)ARP欺騙防范：

　　這些攻擊都可以通過動態ARP檢查(DAI，Dynamic ARP Inspection)來防止，它可以幫助保證接入交換機只傳遞“合法的”的ARP請求和應答信息。DHCP Snooping監聽綁定表包括IP地址與MAC地址的綁定信息并將其與特定的交換機端口相關聯，動態ARP檢測(DAI-Dynamic ARP Inspection)可以用來檢查所有非信任端口的ARP請求和應答(主動式ARP和非主動式ARP)，確保應答來自真正的ARP所有者。Catalyst交換機通過檢查端口紀錄的DHCP綁定信息和ARP應答的IP地址決定是否真正的ARP所有者，不合法的ARP包將被刪除。

　　(4)IP/MAC地址欺騙

　　Catalyst IP源地址保護(IP Source Guard)功能打開后，可以根據DHCP偵聽記錄的IP綁定表動態產生PVACL，強制來自此端口流量的源地址符合DHCP綁定表的記錄，這樣攻擊者就無法通過假定一個合法用戶的IP地址來實施攻擊了，這個功能將只允許對擁有合法源地址的數據保進行轉發，合法源地址是與IP地址綁定表保持一致的，它也是來源于DHCP Snooping綁定表。因此，DHCP Snooping功能對于這個功能的動態實現也是必不可少的，對于那些沒有用到DHCP的網絡環境來說，該綁定表也可以靜態配置。

　　2.學習了虛擬化相關知識

　　(1)虛擬化的意義

　　虛擬化的基礎是虛擬機。虛擬機是一種嚴密隔離的軟件容器，它可以運行自己的操作系統和應用程序，就好像一臺物理計算機一樣。虛擬機的運行完全類似于一臺物理計算機，它包含自己的虛擬(即基于軟件實現的)CPU、RAM 硬盤和網絡接口卡 (NIC)。

　　操作系統無法分辨虛擬機與物理計算機之間的差異，應用程序和網絡中的其他計算機也無法分辨。即使是虛擬機本身也認為自己是一臺“真正的”計算機。不過，虛擬機完全由軟件組成，不含任何硬件組件。因此，虛擬機具備物理硬件所沒有的很多獨特優勢。

　　虛擬化所帶來的好處是多方面的，總結來說主要包括了以下幾點：

　　l 效率：將原本一臺服務器的資源分配給了數臺虛擬化的服務器，有效的利用了閑置資源， 確保企業應用程序發揮出最高的可用性和性能。

　　l 隔離：雖然虛擬機可以共享一臺計算機的物理資源，但它們彼此之間仍然是完全隔離的， 就像它們是不同的物理計算機一樣。因此，在可用性和安全性方面，虛擬環境中運行的應用程序之所以遠優于在傳統的非虛擬化系統中運行的應用程序，隔離就是一個重要的原因。

　　l 可靠：虛擬服務器是獨立于硬件進行工作的，通過改進災難恢復解決方案提高了業務連 續性，當一臺服務器出現故障時可在最短時間內恢復且不影響整個集群的運作，在整個數據中心實現高可用性。

　　l 成本：降低了部署成本，只需要更少的服務器就可以實現需要更多服務器才能做到的事 情，也間接降低了安全等其他方面的成本。

　　l 兼容：所有的虛擬服務器都與正常的x86系統相兼容，他改進了桌面管理的方式，可部 署多套不同的系統，將因兼容性造成問題的可能性降至最低。

　　l 便于管理：提高了服務器 /管理員比率，一個管理員可以輕松的管理比以前更多的服務 器而不會造成更大的負擔。

　　(2)虛擬化平臺

　　vSphere是VMware推出的基于云計算的新一代數據中心虛擬化套件，提供了虛擬化基礎架構、高可用性、集中管理、監控等一整套解決方案。

　　VMware最新發布的vSphere或許是IT計算深入發展的最好象征，vSphere指引云計算深入滲透到企業的IT架構中，使用 vSphere將之前企業IT的虛擬化平臺擴展至更高的應用層次：云計算，將服務器硬件資源：CPU時間、內存和存儲空間一一融合在同一個池中的資源，按照需求調配給不同的計算負載上。 據VMware稱vSphere是IT業第一個云操作系統，vSphere不僅繼承了上一代VMware虛擬平臺——Infrastructure 3(簡稱VI3)的性能，而且還加以擴展和完善，立于一個更加成熟的虛擬化平臺上，為內部云計算和外部云計算奠定基礎，有理有據地搭建云計算橋梁——創建 一朵安全的私有云。任何IT組織都可以通過vSphere享有云計算的所有好處，加大對基礎架構的控制力，同時在操作系統，應用程序和硬件設備方面具有更 廣闊的選擇空間，用最低的成本即可得到高級的應用軟件服務。

　　(3)虛擬化的架構

　　由于虛擬化技術能夠通過資源共享與合并資源來提高效率并降低成本，它已經被迅速地應用于數據中心與其他設備上。在網絡核心，由于受到法規、運營、組織以及安全等各方面的影響，使不同網絡與服務的虛擬化工作，變得更具有挑戰性。 降低資金成本和運營成本，并提高運營效率和靈活性。在服務器整合的基礎上更進一步，部署標準的虛擬化平臺來實現整個 IT 基礎架構的自動化。利用虛擬化的強大功能更有效地管理 IT 容量，提供更高的服務級別，并簡化 IT 流程。因此，我們為 IT 基礎架構的虛擬化創造了一個術語，將其稱作“虛擬基礎架構”。 以前的虛擬軟件必須是裝在一個操作系統上，然后再在虛擬軟件之上安裝虛擬機，再其中運行虛擬的系統及其應用。而在當前的架構下，虛擬機可以通過虛擬機管理器(Virtual Machine Monitor，簡稱VMM)來進行管理的。 VMM是在底層實現對其上的虛擬機的管理和支持。但現在許多的.硬件，比如Intel 的CPU已經對虛擬化技術做了硬件支持，大多數VMM就可以直接裝在裸機上，在其上再裝幾個虛擬機就可以就大大提升了虛擬化環境下的性能體驗。

　　我通過學習，還總結出了在校園網網絡安全管理中，為教職員工提供完成其本職工作所需要的信息訪問權限、避免未經授權的人改變個人的關鍵文檔、平衡訪問速度與安全控制三方面分別有以下三大原則。

　　原則一：最小權限原則

　　最小權限原則要求我們在校內網絡安全管理中，為教職員工僅僅提供完成其本職工作所需要的信息訪問權限，而不提供其他額外的權限。

　　原則二：完整性原則

　　完整性原則指我們在校內網絡安全管理中，要確保未經授權的個人不能改變或者刪除信息，尤其要避免未經授權的人改變校內的關鍵文檔，如校內的財務信息等等。

　　完整性原則在校內網絡安全應用中，主要體現在兩個方面。

　　一是未經授權的人，不能更改信息記錄。

　　二是指若有人修改時，必須要保存修改的歷史記錄，以便后續查詢。

　　總之，完整性原則要求我們在安全管理的工作中，要避免未經授權的人對信息的非法修改，及信息的內容修改要保留歷史記錄。

　　原則三：速度與控制之間平衡的原則

　　我們在對信息作了種種限制的時候，必然會對信息的訪問速度產生影響，勢必就會對工作效率產生一定的影響。這就需要我們對訪問速度與安全控制之間找到一個平衡點，或者說是兩者之間進行妥協。

　　為了達到這個平衡的目的，我們可以如此做。

　　一是把文件信息進行根據安全性進行分級。對一些不怎么重要的信息，我們可以把安全控制的級別降低，從而來提高用戶的工作效率。如對于一些信息化管理系統的報表，我們可以設置比較低的權限，如在同一部門內部員工可以察看各種文檔，服務器規劃、配置等信息，畢竟這只是查詢，不會對數據進行修改。

　　二是盡量在組的級別上進行管理，而不是在用戶的級別上進行權限控制。我們試想一下，若臺內的文件服務器上有500個員工帳戶，若一一為他們設置文件服務器訪問權限的話，那么我們的工作量會有多大。所以，此時我們應該利用組的級別上進行權限控制。把具有相同權限的人歸類為一組，如一個部門的普通員工就可以歸屬為一組，如此的話，就可以把用戶歸屬于這個組，我們只需要在組的級別上進行維護，從而到達快速管理與控制的目的。如我們在進行ERP等信息化管理系統的權限管理時，利用組權限控制以及一些例外控制規則，就可以實現對信息的全面安全管理，而且，其管理的效率也會比較高。

　　三是要慎用臨時權限。若我們為了應付一時之需，盲目的給員工走后門、開綠色通道，那么就會增加數據的安全風險。

　　總之，通過本次培訓，我有了一些體會和收獲。我會將這些收獲應用到日常工作中去，讓自己的業務水平更上一層樓。

【計算機網絡安全培訓總結】相關文章：

中職培訓計算機學習總結11-29

醫院網絡安全計算機維護論文08-02

小學教師計算機培訓總結12-29

計算機神經網絡安全評析論文07-12

年度職稱計算機培訓工作總結01-20

計算機網絡安全及防范策略08-24

高職院校計算機網絡安全管理08-05

計算機病毒防范與網絡安全研究論文07-12

計算機通信技術的網絡安全協議作用論文07-12

計算機網絡安全及日常防范方法08-18