基于“企業(yè)網(wǎng)安全評(píng)估與運(yùn)維”項(xiàng)目的安全評(píng)估策略分析與實(shí)踐

楊 靜

(北京信息職業(yè)技術(shù)學(xué)院 計(jì)算機(jī)工程系， 北京 100081)

基于“企業(yè)網(wǎng)安全評(píng)估與運(yùn)維”項(xiàng)目的安全評(píng)估策略分析與實(shí)踐

楊 靜

(北京信息職業(yè)技術(shù)學(xué)院 計(jì)算機(jī)工程系， 北京 100081)

各種病毒、網(wǎng)絡(luò)攻擊等安全事件頻繁發(fā)生，已經(jīng)成為企業(yè)安全的一個(gè)重要威脅。只有構(gòu)筑符合實(shí)際需要的企業(yè)網(wǎng)安全防護(hù)體系，才能為企業(yè)網(wǎng)安全提供保障。在完成企業(yè)網(wǎng)安全評(píng)估與運(yùn)維的生產(chǎn)性實(shí)訓(xùn)項(xiàng)目的過程中，為了提高學(xué)生的職業(yè)能力，讓學(xué)生零距離融入企業(yè)工作中，根據(jù)企業(yè)開展項(xiàng)目的實(shí)際過程設(shè)計(jì)完成項(xiàng)目的主要任務(wù)。鑒于評(píng)估環(huán)節(jié)的重要性，重點(diǎn)指導(dǎo)學(xué)生進(jìn)行評(píng)估策略分析,并在合法的情況下進(jìn)行評(píng)估環(huán)境的設(shè)計(jì)和評(píng)估軟件的應(yīng)用。

企業(yè)網(wǎng)安全； 評(píng)估策略； 評(píng)估環(huán)境設(shè)計(jì)； 評(píng)估軟件

目前，各種病毒、網(wǎng)絡(luò)攻擊等安全事件頻繁發(fā)生，已經(jīng)成為企業(yè)安全的一個(gè)重要威脅。技術(shù)的突破，已經(jīng)使各種病毒具有了黑客工具的性質(zhì)，一旦企業(yè)被病毒感染，會(huì)自動(dòng)打開相應(yīng)的端口或服務(wù)，使企業(yè)門戶大開，而病毒通過互聯(lián)網(wǎng)可以輕易地突破沒有經(jīng)過嚴(yán)密防護(hù)的企業(yè)內(nèi)部網(wǎng)絡(luò)，給企業(yè)帶來各種威脅：開放服務(wù)、發(fā)出大量垃圾郵件或帶病毒郵件等。黑客和帶黑客性質(zhì)的病毒，不僅會(huì)破壞公司的運(yùn)行環(huán)境，破壞機(jī)器上的數(shù)據(jù)，更有可能盜取機(jī)密的數(shù)據(jù)和信息，潛在的風(fēng)險(xiǎn)很難估計(jì)[1]。

1 “企業(yè)網(wǎng)安全評(píng)估與運(yùn)維”項(xiàng)目的選題背景

斯諾登事件備受矚目，把網(wǎng)絡(luò)信息安全問題推到了風(fēng)口浪尖，繼而一系列的竊聽門事件讓各國(guó)政府擔(dān)憂。據(jù)美國(guó)聯(lián)邦調(diào)查局(FBI)于公布的年度調(diào)查顯示，在涵蓋政府機(jī)關(guān)、企業(yè)、財(cái)務(wù)、醫(yī)療機(jī)構(gòu)、大學(xué)等503家美國(guó)公司中，91%曾被電腦黑客入侵，但因害怕揭露后遭各界質(zhì)疑該公司網(wǎng)絡(luò)安全，僅34%的企業(yè)向主管當(dāng)局上報(bào)，而平均各企業(yè)因被入侵而損失約200萬美元[2]。

企業(yè)隨著企業(yè)網(wǎng)絡(luò)建設(shè)和信息化應(yīng)用程度的不斷提高,企業(yè)網(wǎng)的安全性已成為制約公司信息化建設(shè)與發(fā)展的重要因素。只有構(gòu)筑符合實(shí)際需要的企業(yè)網(wǎng)安全防護(hù)體系，才能為企業(yè)網(wǎng)安全提供保障[3]。在針對(duì)信息安全技術(shù)專業(yè)的畢業(yè)生進(jìn)行的生產(chǎn)性實(shí)訓(xùn)中，我們選擇了“企業(yè)網(wǎng)安全評(píng)估與運(yùn)維”課題，指導(dǎo)學(xué)生進(jìn)行實(shí)訓(xùn)，進(jìn)而提高學(xué)生對(duì)信息安全系統(tǒng)運(yùn)行問題的主動(dòng)預(yù)防能力[4]。

2 “企業(yè)網(wǎng)安全評(píng)估與運(yùn)維”項(xiàng)目的主要任務(wù)

為了提高學(xué)生的職業(yè)能力，讓學(xué)生零距離融入企業(yè)工作中，我們根據(jù)企業(yè)開展項(xiàng)目的實(shí)際過程，設(shè)計(jì)了完成企業(yè)網(wǎng)安全評(píng)估與運(yùn)維項(xiàng)目的主要任務(wù)，包括：安全評(píng)估和運(yùn)維方案計(jì)劃，安全評(píng)估和運(yùn)維方案需求分析報(bào)告，企業(yè)網(wǎng)物理網(wǎng)絡(luò)審計(jì)(評(píng)估)、滲透測(cè)試、加固方案實(shí)施報(bào)告，企業(yè)網(wǎng)操作系統(tǒng)審計(jì)(評(píng)估)、滲透測(cè)試、加固方案實(shí)施報(bào)告，企業(yè)網(wǎng)應(yīng)用服務(wù)審計(jì)(評(píng)估)、滲透測(cè)試、加固方案實(shí)施報(bào)告及用戶培訓(xùn)文檔[5]。

本項(xiàng)目中安全評(píng)估是非常關(guān)鍵的環(huán)節(jié)，是后續(xù)工作正確實(shí)施的保障。

3 企業(yè)網(wǎng)風(fēng)險(xiǎn)評(píng)估的原則

3.1 安全評(píng)估的重要性

風(fēng)險(xiǎn)評(píng)估是指在風(fēng)險(xiǎn)事件發(fā)生之后，對(duì)于風(fēng)險(xiǎn)事件給人們的生活、生命、財(cái)產(chǎn)等各個(gè)方面造成的影響和損失進(jìn)行量化評(píng)估，是對(duì)信息資產(chǎn)面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用帶來風(fēng)險(xiǎn)的可能性評(píng)估。作為風(fēng)險(xiǎn)管理的基礎(chǔ)，風(fēng)險(xiǎn)評(píng)估是組織確定信息安全需求的一個(gè)重要途徑。信息安全風(fēng)險(xiǎn)評(píng)估是指從風(fēng)險(xiǎn)管理角度，依據(jù)國(guó)家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)和準(zhǔn)則，運(yùn)用科學(xué)的方法和手段，對(duì)信息系統(tǒng)及處理、傳輸和存儲(chǔ)信息的保密性、完整性、可用性等安全屬性進(jìn)行全面科學(xué)的分析，對(duì)網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及存在的脆弱性進(jìn)行系統(tǒng)的評(píng)價(jià)，對(duì)安全事件一旦發(fā)生可能造成的危害程度進(jìn)行評(píng)估，并提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施[6]。

3.2 安全評(píng)估的依據(jù)

以美國(guó)為首的西方發(fā)達(dá)國(guó)家和前蘇聯(lián)及其盟國(guó)，早在20世紀(jì)50年代即著手開發(fā)用于政府和軍隊(duì)的信息安全產(chǎn)品，到20世紀(jì)末，美國(guó)信息安全產(chǎn)品產(chǎn)值已達(dá)500億美元。隨著產(chǎn)品研發(fā)，有關(guān)信息安全產(chǎn)品評(píng)估標(biāo)準(zhǔn)的制定也相應(yīng)地開展起來[7]。

我國(guó)關(guān)于信息安全產(chǎn)品的標(biāo)準(zhǔn)從上世紀(jì)90年代中期開始制定，2000年開始有計(jì)劃地研究、制定，至目前已經(jīng)基本覆蓋了信息安全產(chǎn)品的主要項(xiàng)目。

我國(guó)的信息安全管理標(biāo)準(zhǔn)，如GB/T 20984《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》、GB/Z 24364《信息安全風(fēng)險(xiǎn)管理規(guī)范》、GB/Z 20985《信息安全事件管理指南》、GB/T 20988《信息安全災(zāi)難恢復(fù)規(guī)范》，是對(duì)企業(yè)網(wǎng)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，按照風(fēng)險(xiǎn)評(píng)估的過程確定風(fēng)險(xiǎn)、編制風(fēng)險(xiǎn)評(píng)估報(bào)告和推薦安全控制措施，并對(duì)系統(tǒng)進(jìn)行加固處理的主要依據(jù)。

3.3 企業(yè)網(wǎng)風(fēng)險(xiǎn)評(píng)估的原則

企業(yè)網(wǎng)風(fēng)險(xiǎn)評(píng)估的原則應(yīng)該在國(guó)家或國(guó)際的相關(guān)標(biāo)準(zhǔn)下進(jìn)行，即遵循標(biāo)準(zhǔn)化指導(dǎo)原則。在評(píng)估過程中，領(lǐng)導(dǎo)者在組織風(fēng)險(xiǎn)評(píng)估之前應(yīng)該仔細(xì)地考慮評(píng)估小組的人員組成，除了日常的信息安全部門的人員外，還應(yīng)該有其他部門專家或負(fù)責(zé)人，并且要求他們積極地配合評(píng)估人員的工作，即遵循評(píng)估人員的多樣化原則。

目前，“三分技術(shù)，七分管理”的理念已經(jīng)在行業(yè)的信息安全管理部門得到了廣泛的認(rèn)同，所以，評(píng)估人員除了考慮技術(shù)上的風(fēng)險(xiǎn)，更應(yīng)該了解管理上的措施或策略等，判斷它們是否存在風(fēng)險(xiǎn)，即管理與技術(shù)評(píng)估相結(jié)合原則[8]。由于本身在風(fēng)險(xiǎn)評(píng)估能力上比較欠缺，不可能對(duì)所有方面都能考慮周到，必須選擇對(duì)自身來說非常重要的資源進(jìn)行評(píng)估，這樣才能集中精力完成重點(diǎn)評(píng)估。當(dāng)然，也應(yīng)該在條件允許的情況下盡可能多地評(píng)估它所處的安全狀態(tài)、安全流程和控制措施等，即強(qiáng)調(diào)重點(diǎn)評(píng)估兼顧全面評(píng)估原則。

4 企業(yè)網(wǎng)安全評(píng)估的策略

4.1 脆弱性識(shí)別

脆弱性是對(duì)一個(gè)或多個(gè)資產(chǎn)弱點(diǎn)的總稱。脆弱性識(shí)別也稱為弱點(diǎn)識(shí)別，弱點(diǎn)是資產(chǎn)本身存在的，如果沒有相應(yīng)的威脅發(fā)生，單純的弱點(diǎn)本身不會(huì)對(duì)資產(chǎn)造成損害，另外，如果系統(tǒng)足夠強(qiáng)健，再嚴(yán)重的威脅也不會(huì)導(dǎo)致安全事件，并造成損失。即威脅總是要利用資產(chǎn)的弱點(diǎn)才可能造成危害[9]。

脆弱性識(shí)別主要從技術(shù)和管理2個(gè)方面進(jìn)行。技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問題。管理脆弱性又可分為技術(shù)管理和組織管理2方面，前者與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān)。

4.2 企業(yè)網(wǎng)安全策略解析

企業(yè)網(wǎng)安全策略是指為規(guī)范企業(yè)網(wǎng)安全防護(hù)工作的具體實(shí)現(xiàn)而建立安全防護(hù)技術(shù)機(jī)制，保證企業(yè)網(wǎng)安全防護(hù)的整體性所制定的一系列安全防護(hù)技術(shù)目標(biāo)和要求，包括物理、網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)和應(yīng)用等安全策略[10]。

網(wǎng)絡(luò)安全策略包括能對(duì)用戶進(jìn)行訪問控制，具有網(wǎng)絡(luò)防病毒措施，具有網(wǎng)上事件監(jiān)控和審計(jì)記錄能力，能對(duì)包括網(wǎng)絡(luò)安全在內(nèi)的設(shè)備、設(shè)施和系統(tǒng)等資源進(jìn)行管理等內(nèi)容。

主機(jī)安全策略主要針對(duì)服務(wù)器等重要設(shè)備，包括具有監(jiān)控和防范對(duì)主機(jī)系統(tǒng)訪問控制、防病毒、防惡意代碼、防惡意篡改和誤操作功能及手段，具有日志審計(jì)、系統(tǒng)軟件容錯(cuò)、存儲(chǔ)介質(zhì)的殘余信息刪除、主機(jī)狀態(tài)檢測(cè)和報(bào)警等功能。

應(yīng)用安全策略包括應(yīng)用系統(tǒng)軟件根據(jù)需要及時(shí)安裝補(bǔ)丁程序，應(yīng)用系統(tǒng)具有完備的日志和對(duì)用戶進(jìn)行身份認(rèn)證以及授權(quán)訪問控制功能等內(nèi)容。

5 實(shí)現(xiàn)企業(yè)網(wǎng)安全評(píng)估環(huán)境的設(shè)計(jì)

5.1 安全評(píng)估工具介紹

計(jì)算機(jī)系統(tǒng)的安全評(píng)估主要在于分析計(jì)算機(jī)系統(tǒng)存在的安全弱點(diǎn)和確定可能存在的威脅和風(fēng)險(xiǎn)，并針對(duì)這些弱點(diǎn)、威脅和風(fēng)險(xiǎn)提出解決方案，制定更有效的安全策略。

專業(yè)的評(píng)估工具可以有效地進(jìn)行安全漏洞檢測(cè)，可以對(duì)很大范圍內(nèi)的系統(tǒng)漏洞進(jìn)行安全、高效、可靠的安全檢測(cè)，對(duì)系統(tǒng)全部掃描后，可以對(duì)收集的信息進(jìn)行分析，發(fā)現(xiàn)系統(tǒng)設(shè)置中容易被攻擊的地方和可能的錯(cuò)誤，得出對(duì)發(fā)現(xiàn)問題的可能的解決方法。

常用的安全評(píng)估工具有很多，這里簡(jiǎn)單介紹幾款：

(1) Nmap是一個(gè)網(wǎng)絡(luò)連接端掃描軟件，用來掃描網(wǎng)上電腦開放的網(wǎng)絡(luò)連接端，是網(wǎng)絡(luò)管理員必用的軟件之一，以及用于評(píng)估網(wǎng)絡(luò)系統(tǒng)安全。正如大多數(shù)被用于網(wǎng)絡(luò)安全的工具，Nmap也是不少黑客及駭客(又稱腳本小子)愛用的工具。系統(tǒng)管理員可以利用Nmap來探測(cè)工作環(huán)境中未經(jīng)批準(zhǔn)使用的服務(wù)器，但是黑客會(huì)利用Nmap來搜集目標(biāo)電腦的網(wǎng)絡(luò)設(shè)定，從而計(jì)劃攻擊的方法。

(2) Nikto是一款開源的(GPL)網(wǎng)頁(yè)服務(wù)器掃描器，可以對(duì)網(wǎng)頁(yè)服務(wù)器進(jìn)行全面的多種掃描，包含超過3 300種有潛在危險(xiǎn)的文件/CGIs、超過625種服務(wù)器版本、超過230種特定服務(wù)器問題。這是一款非常棒的工具，但其軟件本身并不經(jīng)常更新，對(duì)最新和最危險(xiǎn)的可能檢測(cè)不到。

(3) X-Scan是國(guó)內(nèi)最著名的綜合掃描器之一，它完全免費(fèi)，是不需要安裝的綠色軟件，界面支持中文和英文2種語(yǔ)言，包括圖形界面和命令行方式。目前的最新版本X-Scan 3.3-cn凝聚了國(guó)內(nèi)眾多信息安全工作者的心血。

(4) Nessus 是目前全世界最多人使用的系統(tǒng)漏洞掃描與分析軟件，總共有超過75 000個(gè)機(jī)構(gòu)使用它作為掃描該機(jī)構(gòu)電腦系統(tǒng)的軟件。Nessus提供完整的電腦漏洞掃描服務(wù), 并隨時(shí)更新其漏洞數(shù)據(jù)庫(kù)；Nessus 針對(duì)每一個(gè)漏洞有一個(gè)對(duì)應(yīng)的插件，這種利用漏洞插件的掃描技術(shù)，極大地方便了漏洞數(shù)據(jù)的維護(hù)和更新；Nessus 具有掃描任意端口任意服務(wù)的能力；Nessus以用戶指定的格式(ASCII 文本、html 等)產(chǎn)生詳細(xì)的輸出報(bào)告，包括目標(biāo)的脆弱點(diǎn)、怎樣修補(bǔ)漏洞以防止黑客入侵及危險(xiǎn)級(jí)別。

5.2 實(shí)現(xiàn)企業(yè)網(wǎng)安全評(píng)估環(huán)境的設(shè)計(jì)

在本項(xiàng)目實(shí)施過程中，對(duì)于確定要評(píng)估哪一個(gè)企業(yè)網(wǎng)是個(gè)難點(diǎn)，不經(jīng)授權(quán)去評(píng)估和滲透某個(gè)企業(yè)的網(wǎng)絡(luò)是違法的，要承擔(dān)法律責(zé)任。因此我們實(shí)現(xiàn)企業(yè)網(wǎng)安全評(píng)估環(huán)境的具體設(shè)計(jì)思路是設(shè)計(jì)3個(gè)網(wǎng)絡(luò)環(huán)境，第一個(gè)是攻擊環(huán)境，第二個(gè)是被攻擊環(huán)境，也是靶機(jī)環(huán)境，第三個(gè)是安裝評(píng)估軟件的環(huán)境。具體系統(tǒng)安裝如下：

(1) 在物理機(jī)安裝掃描工具Nessus。

(2) 啟動(dòng)虛擬機(jī)Windows server 2003作為靶機(jī)環(huán)境。

(3) 啟動(dòng)虛擬機(jī)BackBox，作為攻擊機(jī)環(huán)境。BackBox是基于Ubuntu的發(fā)行，它被開發(fā)用于網(wǎng)絡(luò)滲透測(cè)試及安全評(píng)估。它有自己的軟件倉(cāng)庫(kù)，該倉(cāng)庫(kù)總是同步到最新版本的、最常用且以合乎道德而聞名的黑客工具[1]。

(4) 在物理機(jī)環(huán)境添加一條基礎(chǔ)掃描策略。

(5) 在物理機(jī)環(huán)境再添加一次新的掃描，并設(shè)置相應(yīng)參數(shù)，開始對(duì)Windows 2003虛擬機(jī)進(jìn)行掃描。可以將掃描報(bào)告導(dǎo)出為Nessusdb格式，然后導(dǎo)入到Metasploit中。

(6) 為了方便，直接用攻擊機(jī)進(jìn)行滲透，先開啟攻擊機(jī)的msf 和postgresql服務(wù)，msf是BackBox中的攻擊框架，postgresql服務(wù)是數(shù)據(jù)庫(kù)服務(wù)，msf框架數(shù)據(jù)放在此數(shù)據(jù)庫(kù)中，查找ms08-067的攻擊模塊，也可以查找其他漏洞模塊，我們以查找ms08-067攻擊模塊為例演示。

(7) 使用這個(gè)模塊，為了反彈回一個(gè)會(huì)話，需要設(shè)置一個(gè)反彈的payload(攻擊載荷)，需要設(shè)置的參數(shù)是RHOST(是目標(biāo)IP，RPORT是目標(biāo)端口)和LHOST(是本地IP，LPORT是本地端口)， 必須未占用。

(8) 開始滲透，獲得一個(gè)meterpreter(反彈會(huì)話)，成功地對(duì)目標(biāo)完成滲透。獲取到靶機(jī)的hash值，通過解密網(wǎng)站獲得明文密碼123123，然后登錄服務(wù)器。

(9) 通過rdesktop命令，登錄遠(yuǎn)程主機(jī)。

6 結(jié)論

本設(shè)計(jì)環(huán)境是項(xiàng)目組設(shè)計(jì)的一個(gè)理想的實(shí)現(xiàn)企業(yè)網(wǎng)安全評(píng)估環(huán)境，通過本環(huán)境的實(shí)施，學(xué)生可以更好地掌握虛擬機(jī)的應(yīng)用、windows和Linux操作系統(tǒng)的安裝和配置，以及學(xué)習(xí)經(jīng)典評(píng)估軟件Nessus的安裝和使用，有效地實(shí)現(xiàn)漏洞掃描并對(duì)評(píng)估漏洞進(jìn)行分析，進(jìn)一步學(xué)習(xí)對(duì)掃描漏洞的滲透設(shè)置過程，學(xué)習(xí)攻擊框架msf的配置和應(yīng)用。在實(shí)際應(yīng)用中，可以通過安裝防火墻和打補(bǔ)丁實(shí)現(xiàn)以上評(píng)估漏洞的防范。

本項(xiàng)目不僅提高了信息安全技術(shù)專業(yè)學(xué)生分析問題、解決問題的能力，更重要的是培養(yǎng)了學(xué)生的綜合創(chuàng)新能力、創(chuàng)新思維和創(chuàng)新意識(shí)，提高了學(xué)生在信息安全領(lǐng)域的主動(dòng)預(yù)防能力。

References)

[1] 何涇沙.信息安全導(dǎo)論[M].北京：機(jī)械工業(yè)出版社，2012.

[2] 暢享網(wǎng).全面評(píng)估企業(yè)網(wǎng)絡(luò)安全的五大方面[EB/OL].(2008-01-08). http://www.vsharing.com/k/2008-1/606900.html.

[3] 耿杰.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)案例教程[M].北京：清華大學(xué)出版社，2013.

[4] 李艷霞，張倩,齊蕓蕓，等.信息系統(tǒng)“主動(dòng)式”運(yùn)維保障工作的研究與實(shí)踐[J].實(shí)驗(yàn)技術(shù)與管理，2015,32(2)：224-227.

[5] 秦娟娟.“雙元制”企業(yè)參與培訓(xùn)模式對(duì)我國(guó)的啟示[J].成人教育，2009(11):23-25.

[6] 田庚林，田華，張少芳.計(jì)算機(jī)網(wǎng)絡(luò)安全與管理[M].北京：清華大學(xué)出版社，2013.

[7] 游聲紅.網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的研究與分析[EB/OL].(2014-06-11). http://www.doc88.com/p-8995509799136.html.

[8] 蔡峰，薛安家，黃植.安全工程專業(yè)本科生實(shí)驗(yàn)教學(xué)改革與實(shí)踐[J].實(shí)驗(yàn)技術(shù)與管理，2015,32(10)：171-174.

[9] 徐澤中. 信息系統(tǒng)連續(xù)性運(yùn)行風(fēng)險(xiǎn)及應(yīng)對(duì)策略分析[EB/OL].(2014-04). http://www.fcc.com.cn/magazine/financial-computer-of-china/201404/4792.shtml.

[10] 楊慶明，杜保東.桌面終端安全防護(hù)技術(shù)企業(yè)網(wǎng)管理中的應(yīng)用研究[J].計(jì)算機(jī)安全， 2010 (10)：77-79.

Safety assessment strategy analysis and practice based on “Enterprise network security evaluation operation and maintenance”project

Yang Jing

(Department of Computer Engineering, Beijing Information Technology College, Beijing 100018, China)

Network security incidents are happening now and then caused by various kinds of viruses, network attacks, which has become a big threat to an enterprise network security. Only by setting up an enterprise network security protection system based on the actual enterprise requirements can the network security be guaranteed for the enterprise.During the practical training courses based on the enterprise network security evaluation, operation and maintenance, the main designing task was completed according to the enterprise actual process in order to improve our students’ occupational ability and let them meet the enterprise need as soon as possible. Considering the importance of the assessment, much more effort should be put to provide our students with guidance on the enterprise network safety assessment strategy analysis, and under the legal circumstances did the assessment condition designing and the related assessment software application, should be carried out.

enterprise network security; assessment strategy; assessment envornmental design; assessment software

2015- 09- 06

楊靜(1972—)，女，內(nèi)蒙古呼和浩特，理學(xué)碩士，副教授，主要從事計(jì)算機(jī)網(wǎng)絡(luò)和信息安全技術(shù)的教學(xué)工作.

E-mail：yangjing_bitc@163.com

G642.0

A

1002-4956(2015)12- 0197- 03