实习报告6.docx
《实习报告6.docx》由会员分享,可在线阅读,更多相关《实习报告6.docx(11页珍藏版)》请在冰点文库上搜索。
实习报告6
目录
1项目概况1
1.1实习简介1
1.2安全测评技术思路1
2实习的目的和意义3
2.1毕业实习的目的和意义3
2.2安全测评的目的3
2.3安全测评的意义4
3实习内容5
3.1测评对象选取原则6
3.2测评方法6
3.3渗透测试7
3.3.1渗透测试的介绍7
3.3.2渗透测试的方法7
3.4实验室的搭建和维护8
4总结9
安全等级测评
1项目概况
1.1实习简介
我以信息工程学院计算机科学与技术13-1班的学生的身份于7月11号参加了学校组织的为期两个月的毕业实习。
我选择了乌鲁木齐市的“新疆熙菱信息技术股份有限公司”为实习的地点。
在实习单位,我被分配到了信息安全事业部门进行实习工作。
在实习中,经过实习的初期对信息安全知识的学习,参与了部门的一些项目,主要是信息安全测评的一些工作。
安全测评是以实现工程、系统工程、系统安全为目的,应用安全系统工程的原理和方法,对工程、系统中存在的危险、有害因素进行识别与分析,判断工程、系统发生事故和急性职业危害的可能性及其严重程度,提出安全对策建议,从而为工程、系统制定防范措施和管理决策提供科学依据。
在实习工作中,我学习到和领悟到了很多东西,实习期间,我努力将自己在学校学习的理论知识向实践方向转化,尽量做到理论与实践相结合。
在实习期间能遵守工作纪律,不迟到,不早退,认真完成领导交给的工作,主动做一些力所能及的琐事。
1.2安全测评技术思路
信息系统等级测评工作的技术思路是:
以信息安全等级保护国家强制管理要求为主线,以系统自身安全需求为补充,从而全面提升信息系统安全防护能力和支撑能力,具体等级测评技术路线如下图所示:
图1安全等级保护测评技术思路
2实习的目的和意义
2.1毕业实习的目的和意义
毕业实习是课堂教学的延续,是贯彻理论与实践相结合的教学原则,能使学生深入社会,了解实践工作,进一步理解、巩固和提高所学的基础知识和专业知识,掌握工作技能,技巧的重要环节。
通过实习,使学生进一步提高观察问题、分析问题、解决问题的能力,为毕业后尽快适应计算机应用工作打好基础。
为培养在政治素质上可靠、理论知识上有一定层次、专业技能操作过硬的中、高级技术人才。
学生在校经过系统的计算机专业理论知识学习和基本技能训练后,遵照学以致用的原则,进一步提高学生的专业技能。
同时培养学生树立良好的职业道德和正确的就业观,强化学生的劳动观念和纪律观念,同时,通过毕业设计,为毕业设计收集必要的资料,做好技术、知识、资料的准备工作。
2.2安全测评的目的
安全测评(也称为风险评价),是以实现工程、系统工程、系统安全为目的,应用安全系统工程的原理和方法,对工程、系统中存在的危险、有害因素进行识别与分析,判断工程、系统发生事故和急性职业危害的可能性及其严重程度,提出安全对策建议,从而为工程、系统制定防范措施和管理决策提供科学依据。
安全评价的目的是查找、分析和预测工程、系统存在的危险、有害因素及可能导致的危险、危害后果和程度,提出合理可行的安全对策措施,指导危险源监控和事故预防,以达到最低事故率、最少损失和最优的安全投资效益。
安全评价可以达到以下目的。
1)提高系统本质安全化程度
通过安全评价,对工程或系统的设计、建设、运行等过程中存在的事故和事故隐患进行系统分析,针对事故和事故隐患发生的可能原因事件和条件,提出消除危险的最佳技术措施方案,特别是从设计上采取相应措施,设置多重安全屏障,实现生产过程的本质安全化,做到即使发生误操作或设备故障时,系统存在的危险因素也不会导致重大事故发生。
2)实现全过程安全控制
在系统设计前进行安全评价,可避免选用不安全的工艺流程和危险在原材料及不合适的设备、设施,避免安全设施不符合要求或存在缺陷,并提出降低或消除危险的有效方法。
系统设计后进行安全评价,可查出设计中的缺陷和不足,及早采取改进和预防措施。
系统建成后进行安全评价,可了解系统的现实危险性,为进一步采取降低危险性的措施提供依据。
3)建立系统安全的最优方案,为决策提供依据
通过安全评价,可确定系统存在的危险及其分布部位、数目,预测系统发生事故的概率及其严重度,进而提出应采取的安全对策措施等。
决策者可以根据评价结果选择系统安全最优方案和进行管理决策。
4)为实现安全技术、安全管理的标准化和科学化创造条件
通过对设备、设施或系统在生产过程中的安全性是否符合有关技术标准、规范相关规定的评价,对照技术标准、规范找出存在的问题和不足,实现安全技术和安全管理的标准化、科学化。
2.3安全测评的意义
安全评价的意义在可有效地预防事故的发生,减少财产损失和人员伤亡。
安全评价与日常安全管理和安全监督监察工作不同。
安全评价是从系统安全的角度出发,分析、论证和评估可能产生的损失和伤害及其影响、严重程度,提出应采取的对策措施等。
1)安全评价是安全管理的一个必要组成部分
“安全第一,预防为主”是我国的安全生产方针,安全评价是预测、预防事故的重要手段。
通过安全评价可确认生产经营单位是否具备必要的安全生产条件。
2)有助于政府安全监督管理部门对生产经营单位的安全生产实行宏观控制
安全预评价,能提高工程设计的质量和系统的安全可靠程度;安全验收评价,是根据国家有关技术标准、规范对设备、设施和系统进行的符合性评价,能提高安全达标水平;安全现状评价,可客观地对生产经营单位的安全水平作出评价,使生产经营单位不仅了解可能存在的危险性,而且明确了改进的方向,同时也为安全监督管理部门了解生产经营单位安全生产现状、实施宏观调控打下了基础;专项安全评价,可为生产经营单位和政府安全监督管理部门的管理决策提供科学依据。
3)有助于安全投资的合理选择
安全评价不仅能确认系统的危险性,而且能进一步预测危险性发展为事故的可能性及事故造成损失的严重程度,并以说明系统危险可能造成负效益的大小,合理地选择控制措施,确定安全措施投资的多少,从而使安全投入和可能减少的负效益达到合理的平衡。
4)有助于提高生产经营单位的安全管理水平
安全评价可以使生产经营单位安全管理变事后处理为事先预测、预防。
传统安全管理方法的特点是凭经验进行管理,多为事故发生后再进行处理。
通过安全评价,可以预先识别系统的危险性,分析生产经营单位的安全状况,全面地评价系统及各部分的危险程度和安全管理状况,促使生产经营单位达到规定的安全要求。
安全评价可使生产经营单位安全管理变纵向单一管理为全面系统管理。
安全评价使生产经营单位所有部门都能按照要求认真评价本系统的安全状况,将安全管理范围扩大到生产经营单位各个部门、各个环节,使生产经营单位的安全管理实现全员、全方位、全过程、全天候的系统化管理。
安全评价可以使生产经营单位安全管理变经验管理为目标管理。
安全评价可以使各部门、全体职工明确各自的安全目标,在明确的目标下,统一步调、分头进行,从而使安全管理工作做到科学化、统一化、标准化。
5)有助于生产经营单位提高经济效益
安全预评价,可减少项目建成后由于安全要求引起的调整和返工建设;安全验收评价,可将潜在的事故隐患在设施开工运行前消除;安全现状评价,可使生产经营单位了解可能存在的危险,并为安全管理提供依据。
生产经营单位的安全生产水平的提高无疑可带来经济效益的提高,使生产经营单位真正实现安全生产和经济效益的同步增进长。
3实习内容
7月11号到公司报道后,便被分配到信息安全事业部。
刚开始主要是熟悉工作环境,和学习工作流程。
信息安全事业部是新疆熙菱信息技术股份有限公司针对国家信息安全需要专门设立的以信息安全技术研究、信息安全产品开发、信息安全应用系统开发、安全网络集成、信息安全咨询服务为主要产业方向的高新技术企业。
其中我主要参与了信息安全等级测评的工作。
实习初期的学习是通过指导老师给的学习资料来进行学习的。
包括信息安全部门的产品介绍的书籍,项目投标书和国家等级保护培训等教程。
后来部门对我们进行了培训,包括等级保护的基础培训和渗透测试的培训。
培训中通过我们的学习和交流已经可以负责一些安全测评的工作了,指导老师便根据情况分配给我了关于安全测评实施方案部分文档的编写工作。
3.1测评对象选取原则
在确定测评对象是主要遵循一下原则:
☐恰当性原则,选择的设备、软件系统等能满足相应等级的测评强度要求;
☐重要性原则,抽查对被测系统来说重要的服务器、数据库和网络设备等;
☐安全性原则,抽查对外暴露的网络边界;
☐共享性原则,抽查共享设备和数据交换平台/设备;
☐代表性原则,抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统的类型。
3.2测评方法
现场测评过程中将主要采用访谈、检查、测试等方法进行等级保护测评。
❑访谈
现场测评时,通过与各相关部门人员进行交谈,主要是管理访谈,以收集测评证据。
❑检查
现场测评时,检查工作主要包括:
⏹配置检查:
通过对信息系统各平台的安全配置情况进行人工审计,以收集测评证据。
⏹文档审阅:
通过查阅文件及记录,以收集测评证据。
⏹实地查看:
通过实地观察基础设施及物理环境的现状,以收集测评证据。
❑测试
现场测评时,测试工作主要包括:
⏹漏洞扫描:
通过在网络环境中的不同节点中部署漏洞扫描工具,对信息系统进行全面的脆弱性扫描和测试,以收集测评证据。
⏹技术性测试及验证:
通过对信息系统进行针对性的技术性测试和验证,以收集测评证据。
另外,在现场测评时,对于有疑义的问题,可采取跟踪验证的方式,以收集客观、真实的测评证据。
3.3渗透测试
3.3.1渗透测试的介绍
渗透测试并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:
渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。
这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。
我们认为渗透测试还具有的两个显著特点是:
渗透测试是一个渐进的并且逐步深入的过程。
渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。
渗透测试能够通过识别安全问题来帮助一个单位理解当前的安全状况。
这使促使许多单位开发操作规划来减少攻击或误用的威胁。
撰写良好的渗透测试结果可以帮助管理人员建立可靠的商业案例,以便证明所增加的安全性预算或者将安全性问题传达到高级管理层。
安全性不是某时刻的解决方案,而是需要严格评估的一个过程。
安全性措施需要进行定期检查,才能发现新的威胁。
渗透测试和公正的安全性分析可以使许多单位重视他们最需要的内部安全资源。
此外,独立的安全审计也正迅速成为获得网络安全保险的一个要求。
现在符合规范和法律要求也是执行业务的一个必要条件,渗透测试工具可以帮助许多单位满足这些规范要求。
启动一个企业电子化项目的核心目标之一,是实现与战略伙伴、提供商、客户和其他电子化相关人员的紧密协作。
要实现这个目标,许多单位有时会允许合作伙伴、提供商、B2B交易中心、客户和其他相关人员使用可信连接方式来访问他们的网络。
一个良好执行的渗透测试和安全性审计可以帮助许多单位发现这个复杂结构中的最脆弱链路,并保证所有连接的实体都拥有标准的安全性基线。
当拥有安全性实践和基础架构,渗透测试会对商业措施之间的反馈实施重要的验证,同时提供了一个以最小风险而成功实现的安全性框架。
3.3.2渗透测试的方法
有些渗透测试人员通过使用两套扫描器进行安全评估。
这些工具至少能够使整个过程实现部分自动化,这样,技术娴熟的专业人员就可以专注于所发现的问题。
如果探查得更深入,则需要连接到任何可疑服务,某些情况下,还要利用漏洞。
商用漏洞扫描工具在实际应用中存在一个重要的问题:
如果它所做的测试未能获得肯定答案,许多产品往往会隐藏测试结果。
譬如,有一款知名扫描器就存在这样的缺点:
要是它无法进入Cisco路由器,或者无法用SNMP获得其软件版本号,它就不会做出这样的警告:
该路由器容易受到某些拒绝服务(DoS)攻击。
如果不知道扫描器隐藏了某些信息(譬如它无法对某种漏洞进行测试),你可能误以为网络是安全的,而实际上,网络的安全状况可能是危险的。
除了找到合适工具以及具备资质的组织进行渗透测试外,还应该准确确定测试范围。
攻击者会借助社会工程学、偷窃、贿赂或者破门而入等手法,获得有关信息。
真正的攻击者是不会仅仅满足于攻击某个企业网络的。
通过该网络再攻击其它公司往往是黑客的惯用伎俩。
攻击者甚至会通过这种方法进入企业的ISP。
为了从渗透测试上获得最大价值,应该向测试组织提供尽可能详细的信息。
这些组织同时会签署保密协议,这样,你就可以更放心地共享策略、程序及有关网络的其它关键信息。
还要确定的是,哪些系统需要测试。
虽然你不想漏掉可能会受到攻击的某个系统,但可能仍想分阶段把渗透测试外包出去,以便每个阶段专注于网络的不同部分。
你还应该制订测试准则,譬如说:
渗透测试人员可以探查漏洞并进行测试,但不得利用,因为这可能会危及到你想要保护的系统。
此外,你还要提供合适的测试途径。
如果你想测试在非军事区(DMZ)里面的系统,最好的测试地方就是在同一个网段内测试。
让渗透测试人员在防火墙外面进行测试听起来似乎更实际,但内部测试可以大大提高发现防火墙原本隐藏的服务器安全漏洞的可能性。
因为,一旦防火墙设置出现变动,就有可能暴露这些漏洞,或者有人可能通过漏洞,利用一台DMZ服务器攻击其它服务器。
还记得尼姆达病毒吗?
它就是首次攻击得逞后、利用一台Web服务器发动其它攻击的。
3.4实验室的搭建和维护
实习的后期我们被分配到了搭建实验室的任务。
实验室也是公司的生产线和微型的机房,它包括一些安全产品的生产,如内网审计管理系统、运维审计管理系统、上网行为管理系统、桌面安全管理系统等,机房设施中包括各类的路由器和服务器。
实验室的搭建过程中,我们主要负责实验室中硬件设备的搭建,包括生产线的设备搭建,其中有生产线的桌椅的拼装、计算机和各种生产零件的搭配等,机房设备的搭建,其中包括机柜的摆放、服务器和路由器设备的搭建、整个机房网络的搭建等。
实验室搭建完成后,已经到了实习的最后阶段。
我们还负责的机房的部分软件设备的构建和测试,对机房中的部分不合理的硬件和软件设施进行改进和维护。
4总结
为期两个月的实习生活弹指一挥间已经画上了句号,在这期间让我体味到了不同于学校的生活方式。
在公司里工作和学习,接触这种各样的人和事,这些都是在学校无法感受到的。
在学校里,也许会有老师分配今天做些什么,明天做些什么,但在这里,不会有人告诉你这些,你必须要做什么,要自己去做,而且尽量的要做到做好。
在学校,只有学习的氛围,毕竟学校是学习的场所,每一个学生都在为取得更高的成绩而努力。
无论是学习还是工作,都存在着竞争,在竞争中就要不断学习别人先进的地方,也要不断学习别人怎样做人,以提高自己的能力。
记得老师曾经说过大学是一个小社会,但我总觉得校园里总少不了那份纯真,那份真诚,尽管是大学高校,学生还终归保持着学生的身份。
接触那些刚刚毕业的学长学姐,他们总是对我说要好好珍惜在学校的时间。
在这次实习中,我感受很深的一点是,在学校,理论的学习很多,而且是多方面的,几乎是面面俱到;而在实际工作中,可能会遇到书本上没学到的,又可能是书本上的知识一点都用不上的情况。
这不由让我想起了实习开始以前那种翘首以盼的心情,可到了公司却发现并不是我想的那样。
来公司之前便信心百倍,觉得到公司肯定可以胜任很多工作,但是却发现所掌握的仅仅是理论的知识,实践是很重要的。
到公司实习,公司多数是把我们当作学生看待。
公司这个期间一般不会给我们什么重要的工作去做,可又不想让我们闲着。
因此,我们应该主动找一些事情来做,从小事做起,刚开始也只有打杂,这样公司同事才能更快的接受你,领导才会喜欢你,接下来才会让你做一些重要的工作。
在实习中接触到了很多人与人之间的交流方式,这些在学校是不可能学到的。
比如跟着指导老师去作项目的销售和售后服务,让我明白了交流是很重要的,不仅仅需要掌握专业知识,还需要在交流过程中把这些复杂的理论知识通过简单的语言表达出来,让所有人都可以听懂。
在工作上还要有自信。
自信不是麻木的自夸,而是对自己的能力做出肯定。
社会经验缺乏,学历不足等种种原因会使自己缺乏自信。
其实有谁一生下来句什么都会的,只要有自信,就能克服心理障碍,那一切就变得容易解决了。
知识的积累也是非常重要的。
知识犹如人的血液。
人缺少了血液,身体就会衰弱,人缺少了知识,头脑就要枯竭。
这次接触的酿造业,对我来说很陌生,要想把工作做好,就必须了解这方面的知识,对其各方面都有深入的了解,才能更好地应用于工作中。
这次亲身体验让我有了深刻感触,这不仅是一次实习,还是一次人生经历,是一生宝贵的财富。
在今后我要参加更多的社会实习,磨练自己的同时让自己认识的更多,使自己未踏入社会就已体会社会更多方面。
升级会员 