前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全攻防技術主題范文,僅供參考,歡迎閱讀并收藏。
關鍵詞:工業網絡;應用;分析
隨著信息網絡技術的發展,網絡傳輸速率、穩定性、可靠性等有了很大的進步,技術的進步促進了以太網絡向工業網絡的延伸。工業網的應用是對傳統以太網絡技術的延伸,是工業網絡協議和以太網絡協議的結合。而現實的技術發展滿足了工業網絡應用的幾個關鍵需求,首先,以太網滿足了工業網實時性的要求,快速交換機和光纖通訊的普遍應用,建設1000M、10G的內部工業網成為普遍,滿足了工業控制對實時性的要求,其次滿足了工業網穩定性的要求,技術的不斷進步對于網絡設備的性能大為提升,專用的工業網絡交換機能夠在很寬的溫度范圍內正常工作,能夠適應嚴酷的工業生產環境,保證了工業網絡的穩定性,這是工業網絡得以應用推廣的關鍵因素,使得工業網能夠實現實時控制、實時監控、實時響應、遠程系統監視等。工業自動化網絡的應用廣度和深度都達到了前所未有的高度,也為企業帶來了可觀的經濟效益和社會效益。
1 工業以太網技術的特點
1.1 網絡傳輸的時效性
工業網絡不同于一般的應用網絡,少許的延遲、丟包等問題不會太影響用戶的感受,也不會造成什么大的損失,而工業控制網絡則不同,有些應用系統的控制需要很頻繁的定時刷新現場的設備控制參數,如果網絡延遲、丟包等會給工業網絡的控制系統造成巨大的隱患,可能引起很大的事故,傳統的以太網絡性能不能滿足工業控制網絡的需求,所以傳統的工業控制還是以總線現場控制為多。但是快速以太網絡的發展,為工業網的發展帶來了新的契機,也奠定的目前工業網絡快速發展的基礎,快速以太網的發展主要有以下幾個方面:(1)交換機性能的大幅提升和光纖通信的普遍應用,以太網的傳輸速度逐步發展到目前的100M、1000M、10G甚至更高,加之路由多功能應用,數據包分別轉發,避免數據的碰撞,使得網絡信號傳輸效率更高,完全滿足工業網對實時性的要求;(2)工業網中使用的交換機都有數據存儲、轉發的功能,通過劃分VLAN,使得工業網絡中傳輸的數據根據不同的網段傳輸,避免數據的相互干擾,也提高了系統中數據傳輸的穩定性,這一特點也為工業網的廣泛應用提供基礎。一個網絡可以接入不同的控制系統和應用系統,系統之間互不干擾,以目前我礦工業網的運行為例則接入了視頻系統,人員定位系統、電力監控系統等;(3)網絡中的設備端口大都支持全雙工通訊,數據在發送的時候能夠接收數據,使得網絡系統通訊的時效性大大提高,而且目前使用的交換機、光纖接口等部件為模塊化設計,出現問題能夠及時的進行恢復和處理,也提高了系統運行的時效性和可維護性。
1.2 系統具有很高的穩定性與可靠性
盡管工業現場的環境極為惡劣,但本身又要求系統具有極高的穩定性和可靠性,滿足實時性以及設備的不間斷運行。一般表現在兩個方面的設計特點,首先是專用工業級的網絡應用設備的高性能,比如工業交換機相對于一般使用的交換機,具有更高的適應環境能力,很高的溫度適應范圍,具備冗余電源保證供電系統的穩定,以適應極端的工作環境。其次是網絡結構的設計要有充分的冗余,一般通過是環網設計、鏈路聚合,一個節點或是一段網絡通信線纜出現問題后不影響整體的網絡的運行。尤其是在煤礦井下的惡劣環境中更要考慮線纜傳輸的安全穩定。再者是設備的可維護性強,現在的設備一般采用模塊化安裝,轉換接口模塊化,模塊要有充分的備用,有問題能夠及時得到處理,保證系統的穩定性和可靠性。
2 工業網絡的安全防護問題
工業網絡的應用廣度和深度都達到了前所未有的高度,提高了工廠企業的運作效率,提高了企業的經濟效益,但是依賴網絡的系統運行也存在一定的風險,如果不能夠很好的避免和防護,同樣也會給企業造成很大的損失,工業網絡面臨的安全風險問題主要有以下幾個方面。
(1)硬件網絡設備風險,首先是交換機,端口模塊等,工業網絡需要的是24小時不間斷的運行,而且部分環境及其惡劣,高溫高濕度,盡管設備有很好的性能,但還是不可避免的會遇到設備損壞問題,這個問題要在建網之初,充分考慮做好預案。
如做好設備冗余、熱備、電源冗余,故障檢測手段等,保證工業網絡所運行的設備能夠不間斷的運行。再者是數據傳輸線路的問題,網絡信號的傳輸現在大都是通過光纖傳輸,線路的維護在運行中同樣重要,尤其是在煤礦井下,這一點就顯得極為重要,井下鋪設的光纜通信線路一般是依附巷幫而鋪設,如果遇到巷道幫來壓沒有及時發現就有可能造成通訊中斷問題。
(2)操作系統和殺毒軟件的更新問題。工業網絡一般是內部網絡,為安全起見一般和外部網絡隔離,這樣就造成內部網絡的計算機操作系統和殺毒軟件無法升級,為系統安全留下隱患。
針對這樣的問題要有專門的維護人員定期進行系統和殺毒關鍵的升級,升級有兩種方式一是經過防火墻、網閘防毒墻等安全設備直接連接到外部網絡進行升級,二是通過專用的存儲工具下載升級包在內網計算機上升級,升級前做好系統的備份,出現不兼容等問題時能夠及時恢復。
(3)使用U盤、光盤、筆記本接入導致的病毒傳播問題。內網設備在運行中,會不可避免的使用到U盤、光盤等進行資料的轉移和處理,這就給整個內部工業網絡的運行造成了一個很大的隱患,因為一旦出現病毒感染,可能對整個內網的設備是致命的,會給企業造成無法挽回的損失,這個問題通過兩個方面做好這工作,一是可以通過系統的安全設置禁止系統的UBS接口和光盤的使用,相應的內網電腦都要設置足夠復雜的開機密碼和屏保密碼。二是加強人員的管理,機房建立訪問登記制度,處理故障使用專用的筆記本等,避免出現通過存儲介質引入病毒的情況。
(4)存在工業控制系統被有意或無意控制的風險問題。如果對工業控制系統的操作行為沒有監控和響應措施,工業控制系統中的異常行為或人為行為會給工業控制系統帶來很大的風險。
因此要完善工業控制系統的監控和管理措施,做到各部分操作有記錄可查,責任到人。
(5)工業控制系統控制終端、服務器、網絡設備故障沒有及時發現而響應延遲的問題,這個問題主要是完善監控系統建設,把系統設備運行的主要參數,集成到一個系統中來,實現對服務器和網絡設備的實時監控,有故障及時發現,其次是建立合理的人員巡查制度,及時發現和解決問題。
3 結束語
國內外發生了多起由于工控系統安全問題而造成的生產安全事故。給企業造成很大的經濟損失,同時也影響到國家的安全的問題,為此,工信部2011年10月下發了“關于加強工業控制系統信息安全管理的通知”,要求各級政府和國有大型企業切實加強工業控制系統安全管理。可見工業網絡的安全不同于一般網絡的安全,更關乎一個企業的安全和效益,甚至國家的利益,盡管工業網絡在應用實施和運行中不可避免會出現各種問題,但信息化的發展是一個趨勢,網絡的應用必然會越來越廣泛,不斷有新的系統接入到網絡,只要防控得當,就能充分發揮工業網絡的高效便捷,避免風險帶來的損失。
參考文獻
[1]中華人民共和國工業和信息化部.關于加強工業控制系統信息安全管理的通知[S].
【關鍵詞】網絡工程;安全防護;主要技術
網絡傳播需要具有完整性和嚴密性,但是也避免不了大量的漏洞。網絡設計問題和操作問題都會給網絡安全帶來影響。我國計算機發展迅速,計算機涉及的領域也不斷的增多。面對安全隱患,應采取必要的措施,防火墻技術、括密碼技術以及各類殺毒技術都是網絡安全方式的重要手段,我們對其進行必要的分析。
一、計算機網絡安全問題
1、計算機自身設計問題
計算機信息具有共享性,在計算機發展過程中,人們通過計算機完成了一系列的活動。但是計算機的設計存在一定的漏洞,如當下流行的網絡支付功能過程中,一些非正規的網絡就會存在安全風險。人們在使用各種購物軟件購物的過程中,也需要留個人信息,很難避免丟失和通過連接破壞個人電腦,盜取個人錢財。計算機的自由性、開放性決定了其強大的功能,但是技術的更新始終落后于多樣化的需求,在這一過程中,病毒的變化速度極快,導致計算機數據庫的更新速度手段影響,安全威脅巨大。
2、網絡黑客攻擊
計算機通常運行在復雜的環境中,黑客攻擊是復雜網絡環境中的一種。黑客技術對網絡的影響巨大,黑客可以通過一些技術手段獲得用戶信息,了解客戶狀態,并且盜取用戶的錢財。黑客在進行網絡攻擊時,一般分為兩類,一類是具有強大破壞性的,一種是非破壞性的。前者主要是為了獲取用戶信息,后者主要是為了破壞電腦的正常運行。日常生活中,非破壞性的黑客攻擊大量存在,事實上,這類網絡攻擊帶來的很可能是計算機系統癱瘓,甚至是無法修復,因此防止網絡黑客攻擊十分必要。
3、垃圾軟件泛濫
我國計算機技術已經十分發達,可以為用戶提供娛樂、購物游戲等功能,十分方便。但是計算機在設計過程中,漏洞依然存在。為了避免計算機漏洞,應從使用者入手,加強使用者的安全防范意識,使其正確進行網絡操作。認識到網絡存在的問題,如計結構不完善,系統運行過程中硬件設施性能不足,程序設計漏洞明顯等。多樣化的計算機病毒就是這一時期的主要特征,計算機安全隱患依然存在。
二、網絡工程安全防護的主要技術
網絡安全已經成為現代社會主要問題。我國已經從法律手段進行干預,嚴厲打擊計算機網絡攻擊。并且從技術上進行優化,提高計算機安全防護技術。具體的優化過程包括以下幾個方面.
2.1提高網絡安全管理能力
阻止病毒入侵是保證計算機網絡安全運行的主要手段,而消除網絡影響因素則要通過強化計算機自身管理水平來實現,要求嚴格按照國家的規定進行操作。并且對于企業用戶而言,要建立完善的內部管理制度,將計算機管理的原則細化,規范員工的使用,確保計算機的安全。另外,對網絡運行安全而言,包括不同的等級,并且特點不同,人們對于網絡安全意識差是造成這一問題的重要原因,因此要注重個人安全防護能力和防護意識的提高。還要對計算機攻擊進行定位,采用行政、刑事手段強勢干預計算機攻擊,嚴懲不貸。
2.2加強網絡防范,關注并去除安全隱患
計算機發展迅速,技術更新快,應用領域廣泛。但是計算機病毒也在這一過程中能夠快速發展。當下,計算機植入病毒已經給人們的生活帶來了極大的麻煩。包括財產和名譽上的措施,此種現象屢禁不止。只能從自我防護能力上入手,進一步優化防火墻技術、計算機殺毒技術,保證其運行環境安全、穩定。及時修復計算機漏洞,不給不法分子入侵機會。設計人員和開發人員還應掌握具體的網絡安全防護知識,系統操作規則和數據庫運行特征等,加深對計算機數據庫的分析,及時發現計算機的潛在風險并進行修補。采用合理的補救措施來降低網絡風險,提高網絡的安全性能。目前,網絡安全隱患的修復方法主要用防火墻、360、瑞星和等。另外,秘鑰設置也是當下主要安全防護方式之一。
2.3杜絕垃圾郵件
計算機病毒通常是一些垃圾郵件作為連接,因此對計算機網絡的信息鑒別十分重要,要求使用者拒絕接收網絡郵件。但是現代社會,垃圾郵件的形式越來越多,使用者必須要積極應對,才能正確區分垃圾軟件與信息。同時要保護郵箱地址,不要輕易泄露郵箱密碼。總之,只有采取必要的手段,加強防護意識才能確保網絡運行的安全。總結:網絡的發展是現代技術的產物,網絡的強大功能為人們提供了豐富的資源和服務。加強計算機安全防范不僅是保護個人信息和財產的需求,也是我國綜合國力的一種象征。因此,要嚴厲打擊網絡攻擊。加強安全防護能力,并且要求網絡操作者具有防范意識,正確使用網絡,杜絕垃圾網頁和垃圾郵件,確保網絡運行安全。總之,網絡通信的安全從從管理上和技術上入手,全面的確保網絡通信的安全,發揮其在各個領域的強大功能。
參考文獻
[1]耿筠.計算機應用中的網絡安全防范對策探索[J].電腦迷,2014(1).
關鍵詞:網絡工程;安全防護技術;探討
我國社會中各個方面都在穩步向前發展的背景下,出現了數字化、信息化以及智能化等技術都占據世界發展前列的情況,從而促進我國的現代通信獲得了較大的進步。而互聯網作為通信中的最為主要的部分之一,它改變了我國傳統的學習、工作以及生活狀況。人們可以在自由、開放以及平等的環境下享受互聯網所帶來的各種資源。但是互聯網也是具有兩面性,正因為其開放、自由等特點,從而對各種信息的安全性帶來較大的威脅。例如較為典型就是垃圾郵件以及惡意性的插件等,所以這就需要加強對網絡安全的管理,依靠良好的防護技術提升網絡的安全性,從而使得網絡能夠更好地為人們帶來良好的服務。
1分析網絡工程中所存在的安全問題
人們在日常生活以及工作中,網絡的載體作用運用得十分廣泛,然而當前人們發現網絡工程出現許多的問題,從而導致信息安全受到威脅的情況,這些問題不僅使得人們心里產生厭倦,而且向網絡工程師提出了要求,就是找到良好的措施處理這這些問題。根據網絡工程中所發生的問題情況,可以將安全方面的情況作出大致的歸類。
1.1受到黑客攻擊的情況較為嚴重
在網絡工程中受到攻擊黑客的所帶來的安全威脅性較大,他們主要是通過計算機系統以及網絡工程而對計算機中的漏洞發起攻擊,并且通過一定的技術攻破密碼,從而獲取相關的信息資料。這些行為不僅對計算機正常運用帶來了危害性,而且也對人們的信息安全帶來較大的威脅。目前,黑客發展已出現分化性,較為常見的黑客主要有兩種,第一種攻擊是非破壞性的,對于這類黑客而言,他們的主要目的是擾亂網絡工程以及計算機的正常運行,進而阻礙計算機的正常運行。例如他們通過信息炸彈手段而對網絡工程以及計算機實施攻擊[1],這會使得網絡工程出現癱瘓的情況;第二種攻擊的具有破壞性的,此類黑客主要想獲取計算機中的保密信息,因此,他們采用不正當受到破壞網絡工程,在嚴重的情況下,這會使得網絡工程走向報廢之路。
1.2病毒入侵
在網絡工程運行過程中,計算機病毒作為對網絡工程入侵的方式,這會導致網絡工程的安全以及功能受到較大的制約以及影響。再加上計算機病毒具有復制快、傳染性強以及破壞劇烈的特點,一旦計算機受到病毒的入侵,則會對信息安全帶來較大隱患。尤其是網震以及fire等病毒,它們主要的目標就是對網絡工程實施專門性攻擊的,從而在對網絡工程中的硬件、軟件、系統以及功能造成全方位的影響。
1.3地址出現被盜用的情況
網絡工程中的IP地址具有唯一性,一旦IP地址被盜用,則會對網絡工程帶來較大的影響。IP地址屬于一種資源,并且在具體體現方面具有一定的權限性,因此,網絡工程中的IP地址出現被盜用的情況,則帶來的后果十分嚴重,第一個后果是:IP地址被迅速占用,這會使得正常用戶在使用中受到的影響,同時也會導致IP地址資源逐漸走向枯竭[2],此時,網絡工程中數據交換的能力則會下降;第二個后果是,影響到權限以及管理職能正常行使,從而導致了網絡工程出現混亂的情況,此外,在修復過程中也會出現時間延長的情況,如果在嚴重的情況下,則會侵害用戶權益。
1.4受到垃圾郵件的影響
在網絡工程發展過程中,垃圾郵件主要是一些未獲得對方允許而對非固定的網絡用戶以及網絡工程自由的發送郵件,具有批量性的發送特點。如果垃圾郵件沒有得到有效的管理,就會造成垃圾郵件的泛濫,使得網絡安全問題受到硬性。一方面是嚴重的占用空間資源[3],這就使得網絡工程的工作效率以及安全性下降,另一方面則會使得網絡工程難以獲得最優的資源空間。
1.5系統風險
網絡工程為了能夠更好地實現外延以及擴展的目標,這就需要網絡工程受到保護。而計算機中系統所存在的風險性,則會對計算機以及網絡工程之間的互通性受到影響。如果發生密碼、系統、權限以及結構問題等,此時計算機中系統的風險性就會在瞬間被放大,進而對計算機的功能以及安全性帶來嚴重威脅。此外,網絡工程中的互聯效應也會使得風險倍增[4],因此,對局域網中的安全性帶來威脅。
2網絡工程做好防護技術的策略分析
2.1設計科學的防火墻
防火墻功能在解決黑客攻擊以及防治計算機出現病毒的問題中可會發揮重要的作用。第一,防火墻通過設置的方式可以對信息實施過濾,尤其對于來自外部網絡中的信息,通過防火墻可以將其中一些有害性以及病毒等問題實施阻止,從而使得達到提升計算機中的信息安全性的目的,因此,這就避免了黑客以及病毒直接對網絡工程實施攻擊,從而提升網絡工程運用中的安全性;第二,防火墻能夠通過網絡工程整合的方式而自主地關閉木馬病毒[5],因為這種病毒對用端口帶來較大的危害性,所以為了避免計算機中的信息外泄,則通過關閉木馬的方式而保證信息安全性;第三,防火墻技術能夠在設置作用下,對一些特殊性網站實施防護性訪問,因此,這就能夠避免一些非法網站隨意訪問,同時也可以提升網絡工程安全性。目前,互聯網絡發展過程中,其所具有的優勢性以及實用性越來越明顯,在安全防護方面需要加強研究。如當前廣泛運用的金山毒霸以及360安全衛士,它們通過自動升級方式而對計算機中的軟件實施殺毒,防止了惡性病毒以及插件的進入,因此較好地提升了網絡工程的安全度。
2.2增強入侵檢測
網絡過程中入侵檢測的技術是對計算機系統中的實際情況進行一定的研究,從而防止網絡中出現入侵的問題,從而使得網絡工程能夠獲得良好的安全性。通過做好入侵檢測的工作,能夠在保護網絡工程的安全性方面實現主動性,從而提升了網絡工程信息的安全度,從而有效地幫助網絡工程實施安全保護工作。因此,在計算機中實施安全入侵檢測的工作,一方面是對計算機中的各種安全問題進行綜合檢測,從而有效地提升網絡安全性,另一方面則能夠有效防止網絡中所存在的資源出現惡意被篡改的情況[6],從而使得網絡工程中所帶來的各種安全信息可以被保護。目前,人們對入侵檢測工作的研究已經進入新的階段,并且能夠通過檢測的技術、檢測層次以及防御角度也越來越多,同時對信息安全性的保護也越來越高。
2.3處理垃圾郵件的技術
由于垃圾郵件具有大量、分批性的特點,因此,在具體處理過程中,需要根據網絡工程中各種郵件所出現的泛濫情況而進行處理。第一,計算機的軟件公司需要對垃圾郵件實施拒止軟件,同時對不同的垃圾郵件以及所具有的特征具有一定的鑒別性,從而提升用戶運用的效率;第二,處理垃圾郵件過程中,還可以實施舉報、拒止垃圾的方式。在網絡工程處理垃圾郵件的過程中,還需要加強對IP地址的保護工作,從而使得不同用戶查閱信息的行為能夠受到良好的保護作用,例如通過建立個人信息的模型而使得電子郵箱能夠提升對地址識別的能力,這就可以從源頭上主動地組織垃圾郵件的產生。
2.4提升網絡工程中安全防護的意識
在安全防護工作中,網絡工程的風險防范過程還需要從源頭上實施防護,這才能夠有效解決安全問題。因此,這就可以運用數字加密的方式對網絡過程信息以及數據的安全性實施加密保護,此外,設置密碼以及訪問權限的方式,也能夠有效對風險進行控制,從而降低了網絡工程中所發生的安全問題。
3結語
在現代社會發展過程中,人們對網絡的依賴性越來越大,同時由于網絡的便捷性特點而成為人們工作以及學習中的“助手”。但是網絡工程方面所存在的各種安全性問題需要人們不斷加強防護,進而提升網絡中信息的安全性。因此,這就需要網絡工程項目的技術人員發揮自己的專業優勢,一方面是做好防護工作,另一方面是根據網絡安全性問題而不斷提升防護技術,使得人們能夠在一個安全的網絡環境中學習、工作以及生活。無線互聯科技•網絡地帶
[參考文獻]
[1]張超.淺談現代化物流園區云計算應用及其安全性防護[J].數字化用戶,2013(35):122.
[2]刁英會,徐晨暉,崔溢,等.關于校園網絡工程系統研究[J].商情,2016(50):98.
[3]劉美華.計算機網絡工程安全存在問題及其對策[J].信息與電腦,2016(9):183-184.
[4]張浩,洪瓊,周凌云,等.面向情境感知的物流園區物流信息服務協同系統[J].物流科技,2015(2):27-29.
[5]張浩,洪瓊,趙鋼,等.基于云服務的物流園區服務資源共享與配置模式研究[J].計算機應用研究,2014(2):476-479,484.
關鍵詞:網絡安全;防范策略;防御技術
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)13-3040-02
Computer Network Security Strategy and Attack the Defense Technology Research
WU Bao-ding
(Inner Mongolia Frontier Corps,Xilingol League, Xilin Gol League 026300,China)
Abstract: At present, network and information security has become today one of the important issues of social concern, the importance of information security has been elevated to an unprecedented height. To strengthen information security management with the continuous development of computer network technology and network applications, mining advanced network security technologies and equipment, the establishment of multi-layered, three-dimensional, comprehensive network security strategy, improve network system protection, protection of the safe operation of our network. Based on this, the computer network security strategy and attack defense technologies are discussed.
Key words: network security; prevention strategies; defense technology
計算機網絡的發展是信息社會的顯著標志,在信息處理和傳遞中占重要位置。它將不同地理位置、具有獨立功能的多臺計算機、終端及附屬設備用節點與鏈路連接起來,并配備相應的網絡軟件,以實現遠程操作過程中資源共享而形成的計算機系統。它不僅可以滿足局部地區的辦公機構的數據、文件傳輸需要,而且可以在一個國家甚至全世界范圍進行信息交換、儲存和處理,同時可以提供話音、數據和圖像的綜合。同時,隨著網絡系統的逐漸普及,一旦這些災害性、危險性事件發生,對社會和國家都將造成巨大的損失,產生強烈的影響,如何有效防止災害性、危險性事件的發生,增強網絡系統運行的安全性,是我們一直需要面臨的課題。
1計算機網絡的安全防范策略
1.1防范網絡病毒
從病毒發展趨勢來看,現在的病毒已經由單一傳播、單種行為,變成依賴互聯網傳播,集電子郵件、文件傳染等多種傳播方式,融黑客、木馬等多種攻擊手段為一身的廣義的“新病毒”。目前國內防范網絡病毒的軟件主要有:金山毒霸、瑞星殺毒軟件、江民殺毒軟件、360殺毒、熊貓殺毒等;國外的主要有卡巴斯基(俄羅斯產)、諾頓(賽門鐵克公司產)、MacAfee(美國產)、nod32(公司源于斯洛伐克,現總部在美國)、趨勢科技(公司成立于美國加州)、BitDefender(羅馬尼亞產)、F-SECURE(芬蘭產)等等。
1.2提高個人信息安全意識
網絡安全管理是系統安全的重要組成部分,負責對安全架構的其它幾個部分進行協調和監管,以實現安全保密架構的整體安全防范職能。安全保密管理部分在很大程度上涉及到人員管理和資源調配等管理層面的內容,因而也是整個安全保密架構中技術手段和管理手段結合較緊密的一個部分。參照ISO/IEC 17799信息安全管理標準的思路以及有關內容,網絡安全管理體系的建設包括風險評估機制的確定、安全管理策略的制定、安全管理組織架構的建設、安全管理技術平臺的建設以及日常安全管理制度的建設等。
1)密碼控制
密碼控制策略其任務是保證網絡資源不被非法使用和非法訪問。各種網絡安全策略必須相互配合才能真正起到保護作用,它也是維護網絡系統安全、保護網絡資源的重要手段,規范訪問控制是保證網絡安全最重要的核心策略之一。
2)入網訪問控制
入網訪問控制是網絡訪問的第1層安全機制。控制哪些用戶能夠登錄到服務器并獲準使用網絡資源,控制用戶登錄入網的位置、限制用戶登錄入網的時間、限制用戶入網的主機數量。當交費網絡的用戶登錄時,如果系統發現“資費”用盡,還應能對用戶的操作進行限制。用戶的入網訪問控制通常分為三步執行:用戶名的識別與驗證;用戶口令的識別與驗證;用戶賬戶的默認權限檢查。
3)權限控制
權限控制是針對在網絡中出現的非法操作而實施的一種安全保護措施。用戶和用戶組被給予一定的權限。網絡控制著能夠通過設置,指定訪問用戶和用戶組可以訪問哪些服務器和計算機,可以在服務器或計算機上操控哪些程序,訪問哪些目錄、子目錄、文件和其他資源,設定用戶對可以訪問的文件、目錄、設備能夠執行何種操作。
2被攻擊防御技術
2.1防火墻技術
防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網絡的安全。如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。
2.2信息加密技術
數據加密技術是保證數據安全性和保密性的主要手段,它是通過對數據進行二次編碼,讓黑客等非法用戶無法獲得真實信息的一種的方式。數據加密技術分為數據的存儲、數據的傳送以及密鑰管理等。數據的存儲過程的加密處理,是為了防止數據在存儲過程中被非法修改,數據的傳送加密技術是為了保證數據傳送過程中的安全而設置的。憑借安全性高的特點,數據加密技術已被廣泛應用到管理部門的信息鑒定和數據采集中,有效的提高了信息的真實性,也對信息處理系統的安全起到極其重要的作用。
圖1
2.3虛擬專用網(VPN)
虛似局域網不是一個獨立的物理網絡,它只是利用公共網絡資源為用戶建立的邏輯上的虛似專用網,屬于公網的一部分。是在一定的通信協議基礎上,通過Internet在遠程客戶機與企業內網之間,建立一條秘密的、多協議的虛似專線,所以也稱之為虛擬專用網。VPN可以將信息加密后重新打包在公共網絡上傳輸,是一種集網絡加密、訪問控制、認證和網絡管理于一體,能夠實現廉價的、安全可靠的跨地域的數據通信。例如利用Internet,基于IP協議,可以建議IP-VPN。從一個VPN設備開始,通過路由器橫跨整個公共網絡到達其它YPN設備,穿過多個層次建立起一條點到點的虛似的專用通道,這樣VPN就保證了遠程客戶機與企業內聯網之間通過專用網來進行的機密通信。
2.4系統容災技術
數據容災通過IP容災技術來保證數據的安全。數據容災使用兩個存儲器,在兩者之間建立復制關系,一個放在本地,另一個放在異地。本地存儲器供本地備份系統使用,異地容災備份存儲器實時復制本地備份存儲器的關鍵數據。二者通過IP相連,構成完整的數據容災系統,也能提供數據庫容災功能。
3結束語
總之,網絡安全涉及的因素很多,需要網絡架設單位和管理人員思想上高度重視,建立健全完善的管理制度,有相應的經費保障機制,將資金、人員和技術防護等各方面都落到實處,才能做好這項工作。計算機網絡在技術、產品等各方面都對社會發展產生了巨大變化,這將是一場更深刻的信息技術革命。但機遇與風險并存,需要我們加強對計算機網絡安全的研究與防范。
參考文獻:
[1]中國互聯網絡信息中心.中國互聯網絡發展狀況統計報告[P].中國互聯網信息中心,2010.
關鍵詞:網絡安全;網絡技術
中圖分類號:TP319.3 文獻標識碼:A 文章編號:1007-9599 (2011) 22-0000-01
"Computer Network Security" Teaching Study
Jiang Cui,Cheng Shoumian
(Xianning Vocational Technical College,Xianning 437100,China)
Abstract:"Computer Network Security"is a computer network or similar technical expertise of one major basic for reqiured courses.The following courses form course architecture in the position,course training objective,selection,curriculum design and teaching methods of teaching content and other aspects of elaboration of this course,teaching methods,to promote this course teaching reform and development,improve the teaching standard of this course.
Keywords:Network Security;Network technology
前言:通過計算機網絡,人們可以非常方便地存儲、交換以及搜索信息,在工作、生活以及娛樂中享受極大的便利。然而,人們在享受計算機網絡所帶來的巨大便利的同時,也受到計算機網絡本身所暴露出的各種安全問題的困擾。這些安全問題給人類社會所依賴的“網絡社會”蒙上了陰影。計算機網絡安全問題已成為一個世界性的現實問題。可以說沒有網絡安全,就沒有完全意義上的國家安全,也沒有真正的政治安全、軍事安全和經濟安全。因此,加速計算機網絡安全的研究和發展,增強計算機網絡的安全保障能力,提高全民的網絡安全意識,加速培養網絡安全專門人才已成為我國網絡化合信息化發展的當務之急。《計算機網絡安全》課程在課程體系中占有重要的地位,《計算機網絡安全》課程的教學不容忽視,《計算機網絡安全》課程的教學研究探討有重要的意義。
一、《計算機網絡安全》在網絡專業課程體系中的地位
先行課程:《計算機網絡基礎》、《網站建設》、《網絡數據庫》和《網絡設備與互聯》;并行課程:《網絡管理》;后繼課程:《網絡攻擊與防御》、《數據備份與災難恢復技術》和《網絡安全與電子商務》。
《計算機網絡安全》這門課程在網絡專業體系結構中位于網絡安全領域課程的首位。是網絡安全方向學習必不可少的課程。它依據《計算機網絡基礎》課程,系統的講解了網絡技術相關的基本原理和網絡應用技術,使學生掌握了網絡的理論基礎知識和網絡應用技術;《網絡數據庫》全面地介紹了數據庫基礎、SQL Server的安全性管理、SQL Server2005數據庫系統管理、開發和應用的相關原理、方法和技術;《網站建設》系統地介紹了網站規劃建設與管理維護的知識和技術,訓練了學生網站建設和規劃及維護的能力;《網絡設備與互聯》詳細介紹了構建園區網所涉及的交換、路由、安全等方面的知識,以及將園區網接入到互聯網的相關技術。這些課程為網絡安全課程的學習奠定了良好的基礎,為網絡安全問題的解決提供了必要條件。
《計算機網絡安全》是培養網絡管理員,成就網絡工程師課程體系中一個重要的組成部分。它屬于“組網、用網、管網”中的“管網”部分。主要針對計算機網絡的管理和網絡應用專業崗位而設置。
二、《計算機網絡安全》課程的培養目標
作為《計算機網絡安全》課程設置的主要內容有:網絡故障安全應急處理,黑客攻擊造成的網絡安全異常及診斷分析,病毒造成的主機網絡異常診斷和分析,無線網絡系統加固技術,網絡安全架構設計和網絡安全設備的部署,加密、解密技術及其應用,主機操作系統和應用服務器系統安全加固,故障后的數據恢復技術。對我們高職學生學習該課程,對應的職業崗位,主要是針對初級并界于中級的網絡管理員以及為網絡工程師職業打下堅實基礎。要想成為中高級網絡管理員必須經過后續課程的不斷努力學習。
(一)職業所需的專業能力。(1)熟悉常見計算機病毒的現象特征,掌握其清除和防范技術,能清除常見計算機病毒,(2)熟悉操作系統的安全設置,能有效的保護所管理的計算機安全可靠運行,(3)掌握防火墻的原理及功能特性,掌握防火墻的配置技術,能保證園區網的網絡設備可靠工作,(4)了解黑客的入侵過程,掌握防范黑客攻擊的一般措施,能防范一般的黑客攻擊,(5)掌握數據備份和恢復技術,能應對數據的急救處理。
(二)職業所需的通用能力。(1)網絡安全的法律和法規意識。掌握我國制訂的相關網絡安全法規和法律知識,了解我國網絡安全的發展趨勢。(2)團隊協作精神。網絡安全是一個龐大而復雜的領域,需要團隊的分工合作。(3)養成自學習慣。網絡安全領域知識變化日新月異,需要不但學習,要培養“活到老,學到老”的自學習慣。(4)與人溝通意識。
三、《計算機網絡安全》課程教學手段
“以職業活動為導向,以工作過程為導向”,本課程內容組織與安排遵循學生職業能力培養的基本規律,圍繞職業能力目標的實現來展開。教學手段:虛擬、真實環境相結合。以學校的實訓室為研究對象,按照項目實訓步驟進行教學。教師在虛擬(計算機網絡安全攻防實訓系統,如泰谷網絡攻防實驗系統)和真實(計算機網絡安全實訓室)的網絡安全環境中進行操作演示;學生在虛擬(計算機網絡安全攻防實訓系統)和真實(計算機網絡安全實訓室)的網絡安全環境中進行操作練習;在實訓室中,學生按分組用真實的網絡軟硬件進行網絡攻防訓練。并輔以課外學習,學習網站有:黑客基地(),黑客防線(.cn),中國黑客聯盟(),中國黑客入侵組(),安全焦點()。然后輸送學生到附近的校外實訓基地真實的環境中學習鍛煉,直接掌握職業崗位的需求知識和技能。
參考文獻:
[1]辜川毅,主編.計算機網絡安全技術[M].機械工業出版社,2009
[2]甘剛,曹荻華,王敏,王祖儷,張永波編著.網絡攻擊與防御[M].清華大學出版社,2008
關鍵詞:創新型 信息安全技術人才 實驗室 建設方案
一、信息安全攻防實驗室總體設計
信息安全實驗室使用對象主要為信息安全專業學生,要求該實驗室可開展針對信息安全領域前沿技術的相關實驗,使學生可通過每個部分的實驗深入理解信息安全的技術和過程,通過不同類型的實驗使學生理解安全機制并具備技術應用能力,并向學生提供可進行深入技術研究的平臺保障,同時配備方便易用的實驗室管理平臺。具體如下:
1.具有開放基礎硬件平臺。主要包含四個基本組成部分:基礎網絡平臺組件、集合通信組件、存儲系統組件、智能管理中心組件。根據實驗室不同的研究、開發、教學等業務提供一個全面的基礎通訊硬件平臺。[1]
2.實驗室應提供與行業應用相符的實驗環境。信息安全實驗室提供與學生目標實踐場景相符的實驗環境,使學生在真實的網絡環境中完成技術實踐,具備行業安全人才必備的思考方式和技術能力。
3.具備較強的擴展能力。隨著信息安全技術發展新趨勢,實驗室勢必要更新實驗教學的內容.適時而方便靈活的增添新的實驗教學設備,無需調整現有實驗設備和網絡架構.對新增添的設備,實驗管理平臺系統亦能夠對其管理和控制.
4.實驗室提供科學研究。針對教師科研需求,為承接課題研究的教師提供良好的實驗環境,完成網絡與信息安全方面的應用研究和技術開發,有助于快速提升教師在信息安全技術領域的教學和科研水平.同時為信息安全學科建設和人才培養方案的制定提供良好的支撐。
二、網絡與信息安全專業實驗室構建方案
1.實驗室拓撲結構
(1)、實驗室布局。實驗室采用目前較為流行的島式布局,每個實驗臺可供6人同時實驗,每個實驗小組都能在一個實驗臺上單獨完成全部實驗內容。由8個實驗臺可以構成一個實驗室,供48人左右實驗。
(2).網絡拓撲結構。
1號線:紅色,教師機、學員機、服務器與中心交換機組連線,不可拔除。
2號線:藍色,每個實訓臺中的CCM與中心交換機組連線,不可拔除。
3號線:綠色,學員機驗證調試連線,可拔除。
2.信息安全實驗室作為教學的有力支撐
實驗室的建設是要為實踐教學服務提供支持的,因此,校企在合作建設中要必須全面支撐信息安全領域的教學內容。在高校領域,可全面開展信息安全基礎學習,同時提供了多種實驗環境,用于開展真實的網絡對抗及攻防,提供了按目標設計的實驗課程,使學生可以根據安全目標或者安全項目的實際需求根據所學的內容進行綜合性設計實驗。
(1)、安全基礎知識學習及實踐環節的主要教學內容
(2)、實驗平臺可以實現不同的攻防及對抗演練:
攻擊類: 網絡ARP攻擊、 Tomcat攻擊、應用服務入侵、XSS攻擊和協議攻擊等16個標準實驗。
防御/加固類: WinServer安全加固、Linux用戶管理、安全基線分析、信息安全風險評估、木馬處理與DOS攻擊處理等10個標準實驗。
攻防類:端口掃描攻擊檢測實驗、木馬攻防實驗、DDOS攻擊檢測實驗、 Buffer Overflow攻擊檢測實驗等5個標準實驗。[2]
(3)、根據實驗目標自主設計實驗
為了滿足實驗室的建設目標,以實際運行的、動態的、真實網絡為原型,從中提取出一個與原網絡各項性能要求近似的物理和邏輯模型,進而構建可滿足實驗運行的多種環境,達到用于進行攻防實驗、作為系統安全漏洞、評估網絡設備與安全及多種安全操作的實驗平臺。
3.實驗室管理
(1)、統一平臺管理
所有用戶(管理員、單一學員用戶、通用學員賬戶)的操作統一到一套系統上,即全部用戶面對的只有一個管理控制中心;所有用戶只需要在IE中輸入管理控制中心服務器的IP地址,輸入相應的用戶名和密碼,即可以獲得不同的用戶權限。
(2)、分組教學,團隊合作完成實訓任務
通過獨立的分組設計,組與組之間的成員不會相互干涉,相對獨立,避免了組與組之間的成員誤操作或者惡意操作帶來的危害。
(3)網絡設備配置與拓撲信息保存功能:網絡環境中包括各個網元設備的配置信息與網絡整體環境的端口連接關系,對于大部分大型實驗都無法在較短時間內完成,所以多次反復的進行實驗操作是十分關鍵的。統一管理平臺能夠將這些信息存檔保存,而且能夠實現在短時間內還原到真實設備上,讓實驗環境快速還原。
三、信息安全攻防實驗室建設特點
1.豐富的安全實驗功能及網絡攻防功能
實驗室建設除可以完成密碼學等基礎實驗,還可以完成密碼學應用,應用服務器安全、網絡攻防;聯合防火墻、IDS、攻防實驗平臺等安全設備實現在復雜網絡環境中的網絡對抗實驗。[3]
2.易于擴展
實驗室綜合管理平臺既可以對一間教師的設備進行管理,也可把多間教室合并成一個大的邏輯實驗室。增減實訓組或實驗室都十分靈活。
3.提供來自實際案例的綜合性實驗
學生將來在工作崗位要真正接觸到實際問題,針對這一需求,提供來自實際案例的綜合性實驗。在綜合性實驗中告訴學生某一個大型企業的情況,共有多少人,哪些部門,地理分布如何,管理水平如何,有哪些應用系統等等。讓學生根據這些背景,運用所學的知識,去設計這個大型企業的整網安全解決方案。
4.配有內容豐富的實驗指導手冊
網絡與信息安全實驗室配套了內容豐富的專業實驗手冊,以供教學參考。實驗手冊中對每個實驗的教學目的、實驗的真實環境描述、實驗的設備、實驗設備間相連的網絡拓撲、實驗操作步驟、實驗結果及驗證等內容,描述詳盡、圖文并茂,可以直接當作教材用。
參考文獻
[1] 陳 琪, 蔣函夏. 新時期高校網絡安全實驗室的建設研究[J].信息通道 , 2014,(2)
[關鍵詞]網絡安全技術與防范實踐教學探索
一、課程概況
1.課程定位與目標。網絡安全技術與防范課程定位突出基礎理論知識的學習和應用、強化實踐能力的鍛煉和培養。課程的培養目標是為行業企業培養熟練掌握網絡安全與防范基本知識、基本理論,具有較強實踐動手能力的高技能型人才。學生在學習該課程后,通過實訓平臺的考試,并獲得由國家反計算機入侵和防病毒研究中心頒發INSPC認證網絡安全工程師證書。
課程目標是要求學生通過學習了解網絡安全存在的主要問題和黑客行為,系統地掌握網絡安全與防范的基礎知識、基本理論和基本技術,熟練掌握網絡安全攻防技術的應用和具體安全防范的方法,具有在公安、司法及其他行業、企業從事中小型網絡安全管理和系統安全維護的能力。
2.課程設計指導思想網絡安全技術與防范課程本著“必需夠用”的原則和“懂技術、會操作、能應用”的培養目標,建設“基于工作過程”的實踐教學內容和實戰訓練項目,以培養學生網絡安全與防范基本理論、基本技能為主線,將涉及網絡安全與防范的知識組合成四大模塊十二個章節進行教學。在教學內容選取上刪減了應用性不強的理論內容,加大了實踐教學學時,使理論教學與實踐教學的比例達到1:1,充分體現了課程的職業性、實踐性和開放性。
三、實踐教學內容的選取與組織
依據教學目標,我們根據行業企業發展需要和職業崗位工作任務的能力和素質要求選取實踐教學內容,依托理論教學組織和安排實踐教學內容,在系統安全技術、網絡應用安全技術、安全防范技術等內容方面制定實踐項目。同時,在教學過程中遵循學生職業能力培養的基本規律,以真實工作任務及工作過程需要為依據,借助實訓教學平臺,有針對性地開設實用性、操作性強的實訓項目,創新教學模式。積極拓展學生面對新技術、自我創新的能力。通過開放實驗實訓室,組織學生參與專業實訓室建設和課題研究等方式,提供給學生更多的動手操作的機會。積極引導學生進行探究性學習,提高學生的實踐能力和學習能力。
四、實踐教學模式的設計與創新
網絡安全技術與防范課程將公安教育訓練中的“教、學、練、戰”一體化的教學模式應用到專業課程教學中。以“學為用”、“練為戰”為指導,充分吸納高職示范院校教學改革成果和行業企業典型實戰經驗,科學設計教學內容,強化實踐教學環節,面向基層,面向實踐,精講多練,突出了學生實戰技能的培養。
1.校內實驗室環境建設改造。為了保證教學質量和教學效果,切實培養學生的綜合素質和實踐能力,提高課堂教學質量,結合本專業校內實驗室的容量的實際情況,學校投資百萬元建設和改造網絡與安全實驗室,引進防火墻、IDS等網絡安全實用硬件設備和模擬仿真實訓系統,能夠完成網絡安全基礎實訓、網絡安全技術實訓、網絡攻防模擬仿真實訓、網絡管理基礎實訓、實際組網技術實訓、計算機網絡連接設備使用實訓、小型網絡搭建實訓、網絡技術綜合應用實訓等多種實踐內容,良好的硬件環境為學生更好地完成網絡安全與攻防實驗實訓創建了條件。
2.虛擬實踐環境的構建。構建虛擬仿真實驗環境,組織任務驅動式的實踐教學項目。在實踐教學過程中,黑客工具的使用、網絡操作系統的安全配置、網絡服務器的安全配置、數據加密系統的應用等實踐內容都可以在虛擬機的環境下完成。在實驗室局域網內采用虛擬方法來完成仿真、模擬實驗。虛擬實踐環境的建立,可以一人單獨實驗也可以多人合作實驗,不但便于學生獨立完成實驗,還可以更好地鍛煉學生的協同合作能力,教學效果顯著。
3.校內實訓基地的建設。我校與公安部第三研究所合作建立了“國家反計算機入侵和防病毒研究中心信息網絡安全遼寧實訓基地”。基地建設后為我校提供了該套信息安全教學方案,并對基地的后續運營工作提供長期的技術支持和保障服務。課程組依托“實訓基地”的資源,發揮合作雙方的優勢,按照教、學、練、戰一體化的模式,為遼寧省公安隊伍和相關行業企業提供專業的信息網絡安全教學和培訓,加深學生對本課程所學知識的理解,逐步提高學生的實踐操作技能。
4.校外實習基地的建設。遼寧省內14個城市公安局網絡警察支隊畢業生實習基地建設成熟。每年公安類專業學生統一分配到戶籍所在地的網警支隊進行為期半年的實習工作,提高學生應對網絡安全事件的應急能力和解決實際問題的能力。
5.研討式實踐教學。教學中充分利用“理論課+研討課+實踐課”的教學模式,對重點難點部分的實踐教學內容精心設計研討課題,學生根據自己在實踐課堂中的實驗實訓體會和解決方案進行討論、分析、論述,師生互動,學生互動,充分探討和爭論,加深對所學知識的理解,最后,由指導教師結合理論和實踐知識對每組方案的優缺點進行講評和分析,從而培養學生的開發創新能力和獨創意識。
6.實踐課程的考核方式。實踐課程的考核主要通過以實踐性應用教學內容為主,注意學生實際動手能力的培養和考核,強化技能訓練,注重學生綜合能力的提高;加強學生進一步的學習和研究實踐環節。對在學習和應用上有創新的學生應特別給予鼓勵。積極鼓勵學生參加各類職業資格和行業認證考試,將專業與就業、課程與職業資格有效地融合。
一、新形勢下網絡信息安全威脅分析
政府部門信息系統和構架的特點,決定了其在網絡信息安全性方面存在問題和隱患。目前,網絡攻擊、信息竊取、運維管理等方面的風險尤為突出。網絡攻擊。目前的網絡攻擊,不僅包括利用網絡和系統存在的漏洞和安全缺陷對計算機信息系統實施入侵,破壞和干擾系統正常運行的行為,還包括對其存儲的數據進行密取、增加、刪除和修改的行為,具有跨國性、欺騙性、隱匿性的特征。比較常見的網絡攻擊方式有:DDOS(拒絕服務式)攻擊、計算機病毒程序攻擊、數據驅動攻擊以及網絡欺騙攻擊等。以計算機病毒程序攻擊為例,攻擊者通過網頁掛載、郵件附件、軟件捆綁、文件偽裝、動態鏈接庫和遠程線程插入等方式向目標系統植入計算機病毒程序、木馬程序,以記錄用戶操作痕跡(鍵盤敲擊記錄、網頁瀏覽記錄)或者直接操作計算機系統,并獲取、修改系統重要信息數據或干擾計算機系統正常運行。這類攻擊,都可以在一定程度上造成信息系統的故障和癱瘓或對網絡傳輸數據和系統內存儲處理數據的安全性造成威脅。特別是一些部署在互聯網上,且防護措施比較薄弱的,一級架構的政府部門信息系統以及提供互聯網服務并進行跨網部署的政府部門信息系統。
信息竊取。對于政府部門的信息系統,主要面臨的信息安全來自于一些國家或境內外敵對勢力。為了達到顛覆政權、擾亂政治穩定、經濟穩定和社會穩定的不法目的,一些國家或敵對勢力正通過各種密取手段和信息監控手段對國家秘密、軍事秘密等涉及國家安全穩定的重要信息進行密取和截獲。通過境外的互聯網內容服務商密取信息、通過境外的互聯網接入服務商截獲信息、利用網絡設備及信息系統設備竊取信息等手段屢見不鮮。通過境外的互聯網內容服務商密取信息,是通過一些在國外注冊并上市的互聯網內容服務商獲取互聯網信息業務和增值業務。這些互聯網內容服務商不僅可以向本國乃至全球用戶提供互聯網內容和應用服務,而且其掌握了大量用戶的數據,包括了用戶上網的IP地址、上網設備標示、登陸時間、登陸口令以及相關應用的交互等內容,甚至涉及公民隱私及政府國家秘密、企業業務秘密的私密數據。
用戶在訪問境外網站的過程中,交互數據可能經過這些向用戶提供互聯網接入服務的境外服務商的數據傳輸設備。而通過境外的互聯網接入服務商截獲信息利用的就是該特點,當用戶在使用部署于互聯網的信息系統終端設備進行互聯網訪問時,信息就會被中途截獲密取。2011年,國外媒體曾報道某知名手機生產商的手機在定位功能關閉后仍在收集用戶位置信息的情況,類似的還有打印機緩存打印數據等竊取私密信息的方法。這些設備都有預留或被植入的“后門”,以達到利用網絡設備及信息系統設備竊取信息的目的。通過這樣的方式可以隨時隨地收集使用者的各種信息,甚至控制網絡和信息系統。運維管理的風險。政府部門的信息系統,按照其應用領域和信息安全要求,都有嚴格的密級劃分,對于系統建設和運維管理的單位也有嚴格明確的資質規定和保密要求。然而,與政府部門相比,系統建設和運維廠商的人員管理相對不夠嚴格和規范,人員的流動性較大,這就可能存在一些風險,例如竊取系統數據或在系統中預留后門和漏洞等。
二、基于信息安全等級保護的防護模式
隨著政府部門網絡規模不斷擴大、各類政府應用不斷擴展、云計算物聯網移動互聯網等技術不斷涌現,網絡的脆弱性和面臨的安全威脅日益顯現。同時,隨著網絡安全攻防技術動態發展,網絡信息安全不再是傳統意義上的信息截獲、病毒破壞、設施破壞,而是呈現出自動化、智能化和專業化的特點。因此,為了更好地保障政府信息系統穩定、高效運行,在系統整體架構及安全保障模式上應不斷進行創新,針對不同的安全防護需求,采取不同的安全機制或措施,提高安全防護能力。結合信息安全等級保護措施,根據政府部門安全防護需求,建設安全防護模型,全方位保障新形勢下政府部門信息系統的安全。
如圖1所示,安全防護模型在安全防護層面上主要由監測預警、區域隔離、安全防護手段、管理控制四部分構成。監測預警。實時把握網絡安全態勢,對發生的攻擊、侵入等破壞系統安全的行為及時發現,并提供警示。區域隔離。落實接入控制措施,嚴格限制非內部網絡段設備與內部網絡及系統的鏈接;要做到內外網物理隔離和網絡區域邏輯隔離,對于必須跨網部署的信息系統,應當引入數據單向傳輸技術,確保內網段系統的數據無法被遠程竊取外泄。安全防護。要按照等級保護標準要求,從物理、網絡、應用、數據和系統層面根據防護需求逐步提升安全防護級別。特別對于部屬于互聯網上用于提供公共服務的信息系統,應做好異常訪問的數據監測,并配置相應性能的專業級防火墻,以抵御DDOS攻擊;對于內部網絡部分的信息系統,應落實訪問控制策略,做好訪問登陸和系統使用的日志記錄,以備安全審計。管理控制。做好機房及重要系統設備的運維管理,甚至更應建立運維監控系統,實時監控系統運行狀況及網絡傳輸狀況。同時,落實網絡安全防護和系統容災備份措施,并完善應急響應預案,確保網絡、系統及主機的安全。
關鍵詞:軟件工程;網絡安全;教學改革
中圖分類號:G642文獻標識碼:A文章編號:1009-3044(2010)08-1934-02
The Design and Implement of the Basis of Computer Applications
YU Ying, DENG Song, WANG Ying-long
(Department of Software, Jiangxi Agricultural University, Nanchang 330045, China)
Abstract: In order toenhance the student's applicational ability, This paper talk about the reform of network security course from such aspects as teaching materials, teaching management, teaching method, practice step and improving the ability of student.
Key words: software engineering; network security; educational reform
近年來,我院圍繞軟件工程專業面向軟件產業培養高素質應用型軟件工程人才這個定位,不斷探索新的培養理念、培養模式,調整課程體系和教學目標、改革教學方法和教學手段。本文結合我院人才培養的改革與實踐,探討“網絡安全”課程教學改革。
“網絡安全”是我院軟件工程專業網絡工程方向的一門方向專業課,在專業課程中占據很重的分量。“網絡安全”是一門綜合性很強的課程,涉及的知識包括計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、數論、信息論等多門學科。根據培養應用型人才這個目標,我們將授課目標定位在培養掌握網絡安全的基礎概念合理論,了解計算機網絡潛在安全問題,掌握常用的計算機網絡安全技術,增強學生的安全意識以及對安全問題的分析和處理能力,能在實際生活和工作中解決某些具體安全問題的應用型人才。因此,軟件工程專業“網絡安全”課程不能與計算機專業開設的網絡安全課程一樣,著重基礎理論教學。如何進行軟件工程專業下的“網絡安全”課程教學改革,加強學生實踐動手能力的培養突出應用能力的培養,使之符合軟件工程專業強調學生動手實踐能力的特點是本文要探討的內容。
1 合理組織教學內容,適應教學要求
“網絡安全”課程覆蓋知識面廣泛,學生不可能在有限的時間內掌握所有的安全技術,根據確定的課程目標,針對培養應用型人才的需要,確定本課程教學內容包括計算機網絡安全基礎理論(網絡安全體系結構、網絡安全評估標準、網絡安全協議基礎)、網絡安全攻擊技術(網絡掃描、網絡監聽、攻擊類型)、網絡安全防御技術(數據加密認證技術、防火墻、入侵檢測、操作系統安全配置方案)、網絡安全綜合解決方案四個部分。在課程選擇上從傳統的偏重網絡安全理論的介紹,轉變為比較實用的新型技術的學習,突出應用能力的培養。
由于目前沒有專門針對軟件工程專業的網絡安全教材,通用的網絡安全教材一般著重就介紹網絡安全理論與常用網絡攻防技術。知識點孤立、分散,沒有形成一個完整的體系。很少有教材綜合多個知識點結合案例進行講解分析,而且教材中關于網絡安全綜合解決方案的內容很簡單,篇幅也很少,不適合培養應用型人才的需要。為了解決這個問題,我們整合多本教材作為授課教材。在授課內容的組織上,重新調整次序,將前三部分內容穿插在綜合解決方案里,保證授課內容包含教學大綱要求掌握的所有知識點。
在教學大綱編寫上,我們改變以往“網絡安全”課程單獨制定大綱的方式,將本課程和其它網絡相關課程一起按課程模塊統一制定大綱,使得教學內容的總體布局更加科學合理。例如,網絡安全協議――TCP/IP協議簇安排在“TCP/IP協議原理及應用”課程中重點講解,防火墻及IDS的配置安排在“網絡設備”課程中講解,避免出現知識盲點和教學內容重復現象。
2 改進教學方法,激發學生學習興趣
采用以案例教學為主,理論教學為輔的方法。圍繞解決企業安全問題這條主線,把課程內容分為發現安全問題、分析安全問題、解決安全問題3大部分,通過一個實際的案例(某大學校園網)貫穿始終,圍繞著課程主線,逐步將知識點滲透。目前常見的攻擊技術(口令攻擊、木馬、IP欺騙、拒絕服務攻擊、會話劫持等)和防御技術(防火墻、入侵監測等)都可以在校園網中找到案例,因此將校園網安全問題作為案例講解有一定的代表性。在案例中設計了各種常見的網絡攻擊的情景,通過實際情景引申出原理的講解,原理依然采用多媒體設備進行課堂講授,對于常見攻擊要進行當堂演示,回放攻擊過程,然后再講解具體的防御措施和手段,并演示防御過程。采用這種授課方式使學生切實感受到各種安全問題的存在,加深對各種攻擊技術和防御方法的理解,靈活掌握各種防御技術的應用。通過一個完整案例的分析講解,使各個知識點不再孤立,而是形成一個整體,與現實中各種網絡安全綜合解決過程相符。每個部分中各知識點均配有其它案例作補充,例如常見網絡攻擊技術均設計有相關案例講解分析,而且根據網絡安全最新技術,每年調整案例內容。
在教學過程中轉變傳統的“填鴨式”教學為啟發式教學,讓學生以企業安全顧問的角色對企業的運行過程及網絡架構進行診斷,找出問題并提出解決方案和整改措施,最后要學生根據所學知識完成二次案例設計。實際的案例討論和應用將理論與實際完全結合起來,既有邏輯性,也有趣味性。學生全方位參與教學過程,充分調動了學生的學習積極性,引導學生發現問題,解決問題,培養學生動手的能力,激發學生的學習主動性。
3 加強實踐教學,提高動手能力
網絡安全是實踐性非常強的課程,光說不練不行。本課程實驗教學最初分為基礎驗證型和綜合設計型兩個層次。實驗內容涵蓋了網絡攻擊技術、訪問控制技術、防火墻技術、入侵檢測技術等。為了加強學生專業創新能力和應用能力的培養,在原有兩個層次之上增加一個研究創新型實驗,調整為3個層次,并加大后面層次的比重。
基礎驗證實驗內容與理論課內容相銜接,且相對固定。包括網絡掃描、網絡監聽、DES算法實現、程序實現簡單IDS、口令攻擊、木馬攻擊、拒絕服務攻擊等。通過基礎實驗幫助學生掌握密碼學算法實現,網絡安全設備配置,并讓學生體驗網絡攻擊防御的全過程。本類型實驗安排在每個理論知識點講解后進行。
綜合設計實驗鍛煉學生綜合運用網絡安全知識解決問題的能力,在真實網絡環境中,將學生分成兩組,一組學生發現網絡存在的安全漏洞并進行攻擊,另一組對發現的攻擊行為進行分析,確定攻擊類型并采取相應的措施,一遍攻防實驗結束后再輪換。該類型實驗主要通過課程實訓、實習基地實戰訓練等方式實現,要求學生綜合運用所學網絡安全知識,提高解決具體問題的能力,培養整體安全意識。該類型實驗安排在理論課完成后,集中一周或兩周進行;
研究創新實驗要求學生利用學過的知識和積累的經驗,針對創新課題提出有創意的設計并加以實現。該層次實驗主要通過創新課題研究、畢業設計與畢業論文、競賽項目、興趣小組等方式實現。內容來源于教師的科研項目、學生的自主科研選題、社會實踐活動和企事業應用需求,實驗內容每年都在更新。
4 注重能力培養,提高學生綜合素質
近年來,我院從應用型人才標準出發認真研究了國內外各高校軟件工程專業人才培養模式,辦學經驗,認識到軟件工程教育不僅要使我們的學生掌握專業相關知識、系統分析和設計能力、科學分析方法、工程思維能力。還必須具備良好的學習能力、語言表達能力、溝通能力和團隊協作能力等。因此,在我們進行教學改革時,要把對學生能力的培養和課程的學習融合起來。在“網絡安全”課程的教學活動中,為了培養學生的能力,我們做了以下幾方面工作。
以項目為載體,將學生的基礎知識學習和綜合能力訓練、扎實的課程學習和廣泛的探索興趣結合起來,引導學生養成終身學習的習慣,培養工程思維方式以及系統分析設計能力。在實驗過程中,注重學生主觀能動意識的培養。
將合作性實驗模式引入實驗教學,通過合作,培養了學生的團隊意識、和同學、老師的交流溝通能力,提高學生的綜合素質,培養創新意識和能力。
開設《大學語文》、《思想道德修養》等課程增強學生良好的職業道德和責任感的培養,提高人文素質。
5 結束語
隨著網絡安全形勢的日益嚴峻,《網絡安全》課程成為熱點課程,且隨著攻防對抗不斷升級,新技術不斷產生,課程內容也不斷變化,這些給我們的教學工作帶來難度。如何設計深淺適宜,符合應用型人才培養目標的授課內容、如何把抽象的理論變成學生易懂的知識,要需要在以后的教學實踐中進行不斷的總結和提高。
參考文獻:
[1] 駱斌,趙志宏,邵棟.軟件工程專業工程化實踐教學體系的構建與實施[J].計算機教育,2005(4):25-28.