陈 轲

(电子科技大学 成都学院，成都 611731 )

企业网络安全实验教学模式的探讨

陈 轲

(电子科技大学 成都学院，成都 611731 )

网络安全是一门实践性很强的学科，需要学生在理论课的同时进行实验课的操作，通过对交换机、路由器、防火墙等网络设备的配置实现网络的安全管理。电子科技大学成都学院计算机系网络安全实验室作为高校实践性人才培养基地，在购置了大量思科网络设备的同时，也开设了《CCNA1-2》《CCNA3-4》和《CCNA安全》等实验课程，旨在加强对网络安全人才的培养，以满足社会对网络安全人才的需求。文中通过企业可能遇到的各种网络安全问题，以实践实训的形式让学生了解网络安全管理在企业中的应用。

网络安全；交换机；路由器；防火墙；企业网络安全管理

随着互联网的飞速发展，企业网络安全逐渐成为一个潜在的巨大问题。企业网络安全涉及的面很广泛，甚至会涉及是否构成犯罪行为。在其最简单的形式中，主要保障的是确保企业核心机密不能被无关人员读取，更不能修改传送给其他接收者。其次，关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题[1]。

在网络实验室中通过模拟解决各种企业安全管理所遇到的问题，让学生在动手操作的同时了解什么是网络安全，什么是企业网络安全防范，如何通过各种软硬件设备实现企业网络安全管理，是一个很具有研讨性的教学问题[2]。本文主要就是针对以上教学问题进行探讨，以期能够在实验教学中摸索出一条有效的教学方案。

1 企业网络安全的关注范围

1.1 计算机网络

从数学定义上来说,网络就是由节点和连线构成的图。比较典型的一些网络拓扑结构如图1所示。

图1 网络拓扑结构图

从物理定义上来说，网络就是以物理的连接方式，把若干计算机设备连接起来，再配以适当的软件和硬件，以达到在计算机之间交换信息的结构。它包含有以下4个要素：(1)有物理连接；(2)节点是计算机设备；(3)有软件和硬件的参与；(4)实现数据交互。

1.2 网络安全

网络安全是一种状态，可以狭义地描述为没有事故，没有隐患的网络状态。既然计算机网络有4个要素，那么对于计算机网络安全，我们在实验教学的时候应该给学生灌输的安全意识主要包含以下4个方面[3]：(1)链路安全；(2)设备安全；(3)软件安全；(4)数据及交换数据安全。

1.3 企业网络安全管理的范围

在网络安全教学中，作为企业网络管理者，最开始我们需要了解的是：

(1)公司网络拓扑结构，虽然企业不一定给你最完整的资讯，但是一定会告诉我们有哪些基本的网络设备，我们至少应该知道这些设备可以干什么，然后清楚地意识到在不久的将来我们都需要或多或少的对它进行配置[3]。例如：交换机、路由器、防火墙、VPN、无线AP、VOIP及内容过滤网关等[4]。

(2)企业还会告诉我们一些功能服务器，这些也是我们日后需要进行管理的对象。例如：企业AD、DHCP、DNS、FTP、WEB、网络ghost服务器、Share服务器、WSUS服务器和Exchange服务器等等。我们需要记下这些网络设备和功能服务器的IP地址。

2 企业网络安全管理的方式

2.1 企业网络安全管理可能遇到的问题

作为企业网络安全实验教学，我们需要尽可能的模拟更多的企业网络问题给学生来思考和解决：(1)给你一个IP地址，你能准确地找到这台机器么？你需要什么辅助你？(2)有人说他能上内网，但外网不行，你会想到什么？(3)有人说他QQ还可以聊天，但网页打不开，你怎么想？

以上模拟的问题都是企业中最容易出现的，在让学生思考以上问题的同时，以下问题才是需要让学生们在模拟企业网络管理者的时候需要规划的：(1)研发部门的服务器突然增加了，可是给他们的IP地址不够分了，怎么办？(2)财务数据库服务器数据很敏感，可是外地分公司的业务又必须访问，你将制定怎样的策略？(3)规划的网络是固定IP还是自动分配呢？

2.2 解决问题的注意事项

2.2.1 节点安全

更多的时候我们需要让学生们了解到通过各种软件保障设备的稳定运行是预防节点安全的主要手段。我们可以通过监控系统日志实现对系统信息日志、权限管理日志和资源使用率日志的管理；通过监控硬件状态实现对温度、电压、稳定性和硬件故障的管理；通过异常警报实现对冲突异常、侵入异常、失去功能异常、突发性性能异常等状况的管理；通过容灾实现对硬件损坏、停电、失火、散热失效等的管理。节点安全管理示例如表1所示：

表1 节点安全管理

2.2.2 软件安全

最复杂最难管理的就是软件安全，因为我们所有的服务器硬件都是为运行在上面的软件服务的，而软件又都是由人根据需求编写代码开发出来的应用程序。往往一款软件需要很多人的协作开发，由于各种局限性，在开发过程中无法考虑各种情况，因此软件都会有各种各样的缺陷，需要不断的修正。有的缺陷是无伤大雅的，而有的缺陷却是致命的。你不是开发者，这些缺陷对你来说又是不可控的。你只能被动的防范这些缺陷，而往往修补这些缺陷都发生在缺陷产生危害之后。然而装的软件越多，这些缺陷也就越多。更要命的是，病毒、木马它们也是软件，操作系统自身无法识别。杀毒软件可以处理病毒、木马，但是安全软件一不小心也会成为不安全的因素。例如：金山网盾事件、暴风影音事件等。

尽管如此，我们依然可以防范，那就是把握以下原则：(1)最少安装原则：提供什么服务就只装什么服务或软件，其他一律屏蔽；(2)最少开放原则：需要什么端口就开放什么端口，其他一律屏蔽；(3)最小特权原则：给予主体“必不可少”的权限，多余的都不开放。

2.2.3 数据安全

不论是节点安全还是软件安全，我们最终的目的都是为了保障数据安全。这也是网络安全的终极意义。这是我们在课堂上务必让学习网络安全的学生了解的内容。

数据安全其实是数据保管安全，涉及以下4个方面：(1)数据在存储介质上的物理安全。即防范存储介质损坏造成的数据丢失隐患。(2)数据在存储介质上的逻辑安全。即防范因各种操作造成的数据逻辑破坏、删除或丢失的隐患。(3)数据在空间上的安全。即防范因各种灾难造成当地的整个数据完全损毁的隐患。(4)数据在管理上的安全。即防范敏感或机密数据通过公司内部员工人为泄露的隐患。

数据传输安全是互联网安全的重点，主要防范重点如下：(1)数据在传输过程中被阻碍(例如，DDOS攻击)；(2)数据在传输过程中被窃取(因为无线上网设置不当造成公司资源外泄)；(3)数据在传输过程中被修改(网页注入式攻击)。

3 结束语

网络安全是一门与时俱进的课程，将企业网络安全管理引入实验课程中，能让学生在大学期间初步了解到企业对于网络安全的具体需求，通过思考和解决企业网络安全问题，更能让学生在自己动手解决问题的时候把理论知识与实践经验融会贯通。借助于网络实验室的各种软硬件设备，以后会有更多偏重于实践经验的课程进入实验室教学，使得现代大学生都具备良好的动手能力，实操能力[5]。

[1] 刘庆杰,高焕芝,王晓英.网络安全实验室建设的探讨[J].电脑知识与技术,2009(5)：67-69.

[2] 洪学银.网络安全实验室建设的研究[J].齐齐哈尔职业学院学报,2007(1)：45-46.

[3] 梁志标，梁平枝.高职院校网络安全实训室建设探索[J].中国科技信息,2011(6)：169-170.

[4] 魏立伟,姚耀华,弼成.信息类专业实验室建设的思路与实践[J].中国科技信息,2005(1)：103-105.

[5] 徐生炜.高校计算机网络实验室教学模式的探讨[J].实验科学与技术, 2012(6)：214-216.

Discussion on the Teaching Mode in Enterprise Network Security Experiment

CHEN Ke

(Chengdu College of University of Electronic Science and Technology of China, Chengdu 611731, China)

Network security is a subject with strong practicality，students need to master the both theory and experiment operation. At the same time, they configure the switches, routers, firewalls and other network equipments to manage the network security. The Network Laboratory of Chengdu College of University of Electronic Science and Technology of China which as a training base for college practical talent, in the purchase of a large number of Cisco networking equipment. At the same time, we openedCCNA1-2,CCNA3-4,CCNAsecurityexperimental courses, looking forward to strengthen the training of the network security personnel to meet the social demand for network security personnel. A variety of network security issues that may be encountered in the enterprise in the form of a practice training so students understand the application of network security management in the enterprise.

network security; switches; routers; firewalls; enterprise network security management

2013-05-03；修改日期: 2014-05-15

陈 轲(1982- )，男，硕士，助教，主要从事计算机网络工程和相关实验课程教学、实训工作。

G423.06；TP

Adoi:10.3969/j.issn.1672-4550.2014.06.045