前言:中文期刊网精心挑选了网络安全职业技能范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全职业技能范文1
关键词:信息安全技术;实训项目;资源建设;资源共享
中图分类号:TP393.08 文献标识码:A 文章编号:1009-3044(2013)24-5481-02
随着互联网时代的到来,计算机网络已经越来越普及,人们可以通过互联网收发电子邮件,传输文件,网络购物等等。互联网给人们带来便利的同时随之而来的是信息安全问题。
如果政府机关网站、数据库服务器被入侵,可能导致重要数据泄露,关系到国家的安全。如果个人的数据泄露可能导致个人财产和个人隐私的安全。为了保证互联网数据、信息安全,需要有专门的人才维护信息安全。为了满足社会对该类人才的需求,不少院校相继开设了信息安全技术专业。
由于是新开设的专业,在课程教学过程中,普遍存在缺乏配套实验室和实验环境,缺乏硬件设备及专业机房。许多高职院校硬件实验条件相对落后,只能进行理论知识教学,很多实验、实训不能开展。因此导致目前很多院校比较注重信息安全纯理论和技术知识的传授,而对于如何培养学生实际动手操作能力、如何培养学生在实际工作岗位中职业技能、如何配置安全的操作系统、数据库系统、如何进行网络攻防实训,如何设计网络安全策略等涉及甚少,但这些正是信息安全技术人员需要掌握的,也是学生就业的职业技能。
根据高职信息安全技术专业人才培养方案,围绕专业核心能力和实际岗位需要,各高职院校迫切需要建立适应行业需要的信息安全技术实训资源库,通过完整的信息安全实训项目,培养学生信息安全综合技术能力,解决实际问题能力。该文根据实际教学经验总结,给出了适合当前高职信息安全技术专业学生核心能力训练的完整实训项目。
1 高职信息安全技术专业实训项目存在主要问题
目前很多高职院校在建设课程体系时,主要考虑各学科知识的系统性和完整性,而没有考虑社会、企业对人才的实际需求,这样使课程的设置与实际岗位脱节。学生毕业以后,很难快速适应工作岗位。信息安全技术专业也存在这样的问题,设置课程中实训环节少,实训条件不够,很多都是纸上谈兵,遇到实际的安全技术问题就难以解决。
由于信息安全技术专业实验设备少,实训项目资源不足,在专业建设人才培养方案制定时,往往重视理论课程安排,而较少考虑学生实际动手操作课程,这样的人才培养方案制定出来培养的学生理论知识较强,而实际动手操作能力较差。这与高职的教育教学理念相违背,培养的学生不能胜任实际工作岗位的需求。
因此需要研究适合高职信息安全技术专业人才培养需求,同时对硬件设备要求较低的实训项目。该类实训项目的设计实施,可以提高高职信息安全技术专业学生的实际动手能力,同时在普通机房可以实施,对于信息安全专业的实验设备要求较低,在高职信息安全技术专业起步阶段发展非常重要。
2 高职信息安全技术专业实训项目资源建设探讨
首先,我们调研本地区对信息安全职业岗位的需求,然后在此基础上进行信息安全技术专业岗位分析职业能力分析,然后根据岗位职业能力要求,开发设计了信息安全技术专业实训项目,通过完整的实训项目训练,使同学们的实际动手能力得到切实的锻炼。
经过对本地区信息安全人才需求社会调研,可确定信息安全技术专业的职业岗位群包括“网络安全管理员”、“网络安全工程师”、“信息安全工程师”、“网络管理工程师、“网站设计管理工程师””等岗位。为了使学生能够更好地就业,高职信息安全技术专业不仅面向信息安全方向,还可以面向网络安全、网络应用等基础方向,这样学生就可以根据自己的专长和实际水平选择合适的职业岗位。
根据信息安全工程师、网络安全管理员等职业岗位的需求,信息安全专业需要培养具有局域网组建基本能力;具有网络攻防技术基本能力;具有计算机病毒防范基本能力;具有路由和交换基本能力;具有信息安全产品配置与应用基本能力;具有系统运行安全与维护基本能力;具有数据备份与恢复的基本能力具有安全扫描与风险评估的基本能力。根据这些职业能力要求,需要构建培养学生网络攻防能力、主机加固、部署IDS、防护墙安全策略部署等综合能力的实训项目,重点培养学生实际动手操作能力。
3 信息安全技术专业实训项目资源开发
在信息安全技术专业的学生技能培养中,明确专业培养目标、学生需要掌握的技能目标是一个非常重要的环节。在根据岗位实际需求分析的基础上,我们开发了一套完整的信息安全技术实训项目。实训项目资源开发的设计思路是先让学生掌握实际网络攻防过程,了解黑客攻击网络以及主机的全过程,然后再进行系统主机加固以及网络IDS部署、防护墙安全策略部署,这样设计的目的是让学生了解信息安全的实际作用和意义,从而知道网络安全策略及部署的重要性,以及后期网络安全维护的重要性。下表1-1给出完整设计开发的信息安全技术专业实训项目。
表1 信息安全技术实训项目
[项目一 服务器入侵及防御\&模块一 服务器入侵\&模块二服务器防御\&任务1 服务器主机信息收集\&任务1 防御服务器主机信息收集\&任务2 服务器端口扫描\&任务2 防御服务器端口扫描\&任务3 服务器弱口令猜解\&任务3 防御服务器口令拆解\&任务4 系统服务入侵\&任务4 防御系统服务入侵\&任务5 服务器IIS权限探测\&任务5 防御服务器IIS权限漏洞\&任务6 服务器web网站SQL注入攻击\&任务6 防御web网站SQL注入攻击\&项目2 安全网络策略部署及主机加固\&模块1 漏洞定位\&模块2 主机加固\&模块3 部署搭建IDS\&模块4 设置防火墙策略\&]
该实训项目可通过虚拟实验平成与实现,虚拟实验平台利用web技术、虚拟主机技术构建的开放式网络化的虚拟实验教学系统,能够保证以上实训项目实施。虚拟实验平台只需要利用服务器安装运用后,同学们通过访问该服务器完成相关实训项目,对信息安全相关硬件设备要求较低,只需要普通的服务器和计算机就可以实现,一般的高职院校都可以开展。实训项目的实施既可解决信息安全技术专业实训环境的短缺,又可提高教学质量,增强学生动手能力。
4 结束语
本文通过调研分析信息安全技术职业岗位,分析岗位能力,开发设计一套完整的信息安全实训项目,训练学生动手能力及安全知识的自我学习能力。该实训项目可通过虚拟实验平台进行实施,因此对信息安全硬件设备要求较低,可以在高职院校开设信息安全技术专业中推广,个方面提高学生的信从而能够真正从理论和实践两息安全知识,培养高素质的专业人才,以适应社会对信息安全技术人才的需求。
参考文献:
[1] 彭维平.信息安全专业实训课程教学模式改革与实践[J].北京电子科技学院学报,2011,19(2):87-93.
[2] 周德富,李亚琴.高职院校实训课程设计实践研究[J].继续研究,2011(3):107-109.
[3] 徐川,唐建,唐红.网络攻防对抗虚拟实验系统的设计与实现[J].计算机工程与设计,2011(3):1268-1271.
[4] 张艳伶,黄声烈,高艳华.网络信息安全教学实验系统平台的构建[J].实验技术与管理,2008,23(10):66-68.
[5] 王陈章.网络信息安全教学实验系统[D]. 吉林:吉林大学,2006.
网络安全职业技能范文2
近年来,随着信息安全等级保护工作机制的不断完善,主管部门监督检查力度的不断加大,信息系统开展等级测评的数量稳步增长,测评覆盖率显著提升。通过统计分析本单位近些年测评的数百个信息系统的数据,可以得出以下结论:一是较早开展等级测评的行业,经过测评和整改建设,测评符合率逐年提高;二是随着等级测评工作的持续推进,近期才开展首次测评的行业特别是基层单位的信息安全工作基础较薄弱,测评得分明显偏低。通过对物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等10个层面的测评结果进行统计,其中网络安全、主机安全、应用安全、系统运维管理等方面的不符合率相对较高,信息系统的建设、使用、运维阶段存在一些较普遍的问题。
信息系统安全保护措施落实情况分析
整体而言,随着等级测评工作的持续推进,党政机关、企事业单位对信息系统安全等级保护的认识和重视程度得到普遍提升,在管理和技术两方面主要采取了以下安全措施:
信息安全管理措施落实情况
在信息安全管理方面呈现出两级分化的特点。一些重点行业的业务信息化程度高、自身信息技术队伍力量足、信息安全投入经费有保障,其安全管理措施一般也能得到有效落实,在机构、人员、制度、建设管理、运维管理等方面均能较好地符合相关标准的要求。这一类的典型包括银行、证券、电力等行业主管部门对信息安全监管严格的几大行业。相反,部分对信息系统管控相对松散的单位如大专院校、在信息安全投入方面得不到充分保障的单位如基层政府部门,其信息安全专业人员的配备达不到标准规范的要求,安全责任部门地位偏低权限不足,很难制定并有效贯彻落实结合本单位实际的信息安全管理制度。
信息安全技术措施落实情况
多数单位通过部署边界安全设备,强化入侵防范措施来提高网络的安全性;通过加固操作系统和数据库的安全策略,启用安全审计,安装杀毒软件等措施,来提高主机安全防护水平;通过开发应用系统的安全模块,从身份鉴别、访问控制、日志记录等方面,强化业务应用的安全性;通过部署数据备份设备、加密措施,加强对数据安全的保护。
信息系统常见安全问题分析
随着等级测评工作的覆盖面进一步扩大,近年来初次测评的单位和基层部门仍发现一些典型问题。
信息安全意识有待提高
很多单位对当前日趋严峻的网络安全形势认识不足,将信息安全工作视为被动应付上级检查、被动应对安全事件的任务来消极对待。一些单位认为取得“基本符合”的测评结论就高枕无忧,完成测评备案就完成了等级保护。由此造成对信息安全合规的落实不够、资金和人员投入不足、重建设轻运维、有制度无执行、有预案不演练等问题,根源还是安全意识薄弱。
信息安全管理有待加强
信息安全管理不到位主要表现在安全管理制度、系统建设管理、系统运维管理等方面。
信息安全管理制度不完善。基层单位信息安全管理制度不全、人员配备不足、授权审批流于形式、执行记录缺失等问题较为常见。部分单位的信息安全管理制度照搬模版,未结合本单位实际进行修订,导致缺乏可操作性。
系统建设管理不到位。系统建设过程中落实信息安全“同步建设”原则不到位。在软件开发阶段较普遍未遵循安全编码规范,导致安全功能缺失、应用层漏洞频现。在系统验收阶段,很多单位仅注重业务功能验收,缺乏专门的安全性测试;电子政务类项目较普遍未按规定在项目验收环节完成“一证两报告”(即等级测评报告、风险评估报告和系统备案证明)。
系统运维管理不到位。在系统运维管理方面,部分单位运维和开发岗位不分,职责不清,存在一人身兼数职现象。很多单位在信息资产管理、介质管理、变更管理等方面缺乏操作规程和相关记录,数据备份策略不明,应急预案不完善并缺乏演练。
关键技术措施有待落实
分析近年来的测评结果,安全技术措施不足问题主要体现在以下几个方面:
在物理安全方面,随着电子政务集约化建设的推进,大量信息系统已经集中到高规格的专业机房,但仍有部分单位自有机房条件简陋,位置选择不规范,出入管理较随意,防盗防破坏、防雷防火防潮能力较差,环境监控措施不足。
在网络安全方面,常见网络和安全设备的配置不到位,如未合理划分区域、未精细配置访问控制策略、未对重要设备做地址绑定等;较普遍缺少专业审计系统。部分单位设备老旧,安全产品本身存在一定缺陷导致无法满足等级保护要求。个别单位用于生产控制的重要信息系统在网络层面未采取必要安全措施的同时,还违规接通互联网,存在极大的安全隐患。
在主机安全方面,部分单位存在弱口令、不启用登录失败处理和安全审计功能、不及时更新补丁、不关闭非必要服务等问题。此外,由于主流操作系统和数据库很少支持强制访问控制机制,相关要求普遍未落实。
在应用安全方面,很多应用软件安全功能不足,缺少身份鉴别、审计日志、信息加密等能力。由于很少进行安全扫描、渗透测试,相当一部分系统存在高危风险,如SQL注入、跨站脚本、文件上传等漏洞,以及弱口令、网页木马等问题。
在数据安全方面,较常见的是数据保密性和完整性措施薄弱。此外,部分信息系统的备份和恢复措施欠完善,缺乏有效的灾难恢复手段。
针对新技术的等级保护测评标准有待出台
随着浙江政务服务网的大力推进,省内各级政务云平台的建设使用已全面开展,有相当数量的电子政务系统已迁移上云。同时涉及城市公共设施、水电气等工控系统密集的行业对等级保护工作越来越重视,对云计算、工控系统、移动APP等的测评需求不断加大。但现有的《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》未涉及云计算、工业控制、移动互联等领域,在测评实践中已遇到诸多不适应情况。针对这些新技术新应用的等级保护测评标准需求已非常迫切。
重要信息系统安全保护对策建议
针对上述存在的问题,本文提出以下对策建议,以供参考。
提高信息安全意识
提高全员信息安全意识是全面提升信息安全保障水平的根本解决之道。要树立全体人员的安全观念,加强信息安全培训。除了通过强化工作考核和安全检查来督促信息安全工作的深入开展,还应通过多种方式开展信息安全政策解读和信息安全标准宣贯,强化对全员的安全意识教育和考查。建议结合一些合适的安全职业技能培训,落实信息安全相关岗位“持证上岗”的要求。
加强信息安全管理
“三分技术,七分管理”,各单位应转变观念,将“信息安全”与“系统稳定、功能正常”同等重视起来,将安全管理要求与自身业务紧密结合,制订完善的体系化的安全管理制度。
在系统建设管理过程中,应要求开发人员遵循安全编码规范进行开发;在系统验收环节,应认真做好安全性验收测试。在电子政务领域应落实国家对电子政务项目管理的制度要求,验收阶段完成等级测评,未通过测评的应不予验收。
在系统运维管理方面,应加强制定信息系统日常管理操作的详细规范,明确定义工作流程和操作步骤,使日常运行管理制度化、规范化。对信息资产按重要性进行分类梳理,建立完善应急灾备措施,定期开展演练,确保备份的有效性。
落实关键技术措施
针对测评发现的问题,各单位应根据系统所定级别,结合自身条件,综合考虑问题的影响范围、严重程度、整改难度等因素,制定整改计划,有步骤地落实相关技术措施。对于策略配置类的问题及时纠正;对于整改难度大、需要添置硬件或修改代码的问题,应在充分测试和试运行的基础上实施整改。对于强制访问控制、敏感标记、双因子鉴别等难点问题,建议国家加强相关产业政策的引导,促进安全厂商研发技术、推出产品,解决市场供应问题。各级主管部门应通过测评、整改、监督检查、再测评的闭环管理,督促关键技术措施的落实。
加快新技术的等级保护测评标准编制工作
目前公安部信息安全等级保护评估中心在牵头起草针对云计算安全的等级保护标准,尚处于征求意见阶段。其余新技术领域的等级保护标准制定工作进度更晚,随着智慧城市、云计算、大数据、移动互联、工业控制等新技术的快速应用,安全标准相对滞后的问题更加突出,应进一步加快相关新标准的制定。
