網絡安全意識建議大全11篇
時間:2023-06-01 15:56:54緒論:寫作既是個人情感的抒發,也是對學術真理的探索,歡迎閱讀由發表云整理的11篇網絡安全意識建議范文,希望它們能為您的寫作提供參考和啟發。
篇(1)
2醫院網絡安全體系構建中存在的問題
雖然網絡體系的構建是醫院信息化管理的必要環節,但是其在安全風險防范方面卻依舊漏洞百出,使得醫院的網絡安全體系建設形同虛設,難以充分發揮其風險控制與防范的實際效果。具體來講,醫院網絡安全體系構建中存在的問題如下:第一,醫院內部系統對數據的收集與應用效果并不理想,目前多數醫院對于網絡系統的建設還處于起步階段,許多數據的收集并不完整,例如電子病歷的形成尚處于“模板+標簽”階段,缺乏專業化處理,影響了數據傳輸與共享效果,各部門之間的信息溝通不暢,“信息孤島”的狀況沒有被完全打破。第二,網絡安全規劃缺乏投入,對信息安全的預期投入嚴重不足,雖然信息安全問題是醫院網絡信息系統構建的關鍵,但是從整體上來看,相關部門對于信息安全體系的構建并不積極,例如在硬件投入中缺乏預算支持,使得硬件設備一旦出現損毀就會造成大量醫療衛生信息的丟失;對軟件技術的應用不到位,防火墻、加密系統的建立存在漏洞;各部門對于安全系統的認識存在偏見,在某一科室出現網絡安全問題的時候則相互推諉,缺乏有效的追責與監督。第三,網絡安全體系構建與實現的方案缺乏有效的落實,任何網絡安全問題在沒有爆發前往往都顯得不那么重要,醫院在網絡安全體系建設中也存在這種僥幸,對安全規劃的設計頭頭是道,但是到了具體的落實階段卻又推三阻四,影響了網絡安全體系建設工作的實效性。
3醫院網絡安全體系構建與實現的相關對策
醫院網絡安全體系的構建與實現需要從硬件設備、軟件系統、組織管理者三個方面入手。
3.1硬件設備安全的構建與實現
根據信息化管理的技術需要,醫院的硬件設備安全管理主要包括以下內容:第一,網絡布線。對于醫院的信息化建設而言,網絡布線不僅影響著系統的信息傳遞速度,更關系著信息溝通的安全,因此,相關技術人員應采取內外網物理斷開的方法,對醫院網絡系統進行科學布線;考慮到信息安全,對于各樓宇的主干線可以采用光纖和備份光纖相結合的方式;在連接客戶端的時候,應做好屏蔽處理,及時排除干擾源,保證信號強度,以及信息數據傳遞的有效性和完整性。第二,根據《電子信息系統機房設計規范》做好對機房的設計,如根據“電子信息系統機房的耐火等級不能低于2級”等規定做好防火安全管理;根據“主機房氣流組織、風口及送回風溫差”的相關數據做好防潮工作等,確保主機房能夠充分發揮信息存儲與傳輸的功能。第三,服務器、交換機的數據安全,在醫院網絡安全系統構建中,技術人員應對關鍵設備的基本性能以及冗余做好分析,并確保系統能時刻運行。為避免停電故障造成信息丟失,醫院的服務器應采用不間斷電源,并在出現安全故障的時候,自動接入另一個服務器完成信息備份,從而做好“雙保險”,提高網絡系統運行的持續性和安全性。
3.2軟件安全系統的構建與實現
在網絡安全系統構建中,系統軟件可以通過與硬件設備的交互作用,實現對系統的控制與調度,并連接網絡,實現信息的傳輸與存儲。因此,醫院在網絡安全系統構建與實現中,應該不斷完善軟件系統,從而確保信息數據的安全。醫院在軟件安全系統的構建與實現上可以從以下幾個方面入手:第一,設置安全口令。軟件系統的登錄應控制開放程度,利用安全口令對訪問者的身份進行確定,在使用軟件系統的過程中,口令的設置也應該提高安全系數,避免使用缺省值,保證長度不少于八位,且內容包含字母和數字及至少包含兩個特殊字符。此外,為進一步確保軟件系統的安全,相關部門的操作人員應對安全口令進行定期更換,提高被破譯的難度。第二,安裝殺毒軟件。在醫院的網絡系統建設中,內外網的完全物理隔離是不可能的,只要存在接入外網的機會,病毒就會見縫插針對網絡系統進行攻擊。針對此,醫院在網絡安全系統構建中應該要求客戶機及服務器安裝殺毒軟件,利用軟件對病毒進行甄別與抵御,及時檢測違規操作,并對高風險行為做出提示,控制病毒對網絡系統的威脅。第三,應用防火墻。目前一些軟件公司在技術研發中,對防火墻的設計更加嚴謹,醫院在網絡安全系統建設中,應利用方便、快捷的防火墻進行定期掃描,及時檢測出危險信息,控制惡意腳本在目標計算機上的執行過程,避免外網攻擊的入侵,以及信息的泄露。第四,加強對工作站的安全管理。各個工作站在使用系統的過程中,都應該利用賬號、用戶權限、網絡訪問以及文件訪問等實行嚴格管理程序規范進行安全控制,嚴格監控光驅、軟驅,USB接口等外來信息的接入,提高安全管理效果。
3.3組織機構的構建與實現
在醫院的網絡安全保障系統建設中,工作人員是落實安全措施、執行安全方案的主體。再高端的硬件設備、再完善的軟件系統都需要人的操作來發揮作用。因此,醫院在網絡安全保障體系的建設中,應該將人的因素納入其中,并確定、尊重其主體地位,利用安全管理制度,提高工作人員構建網絡安全保障體系的能力。具體來講:第一,建立一支強有力的安全管理小組,體現組織管理效果,并在管理小組內部做好明確分工,確保一旦出現安全問題能夠迅速做出反應。第二,完善安全制度建設,對于醫院網絡安全管理人員而言,制度建設是規范其安全行為,提高安全方案執行效果的關鍵,因此醫院應該從多方面做出安全規定,明確管理細則,推動安全管理人員工作的有序開展。第三,規范內部人員網絡操作,根據信息安全問題的調查顯示,操作者的不規范操作是造成病毒入侵,信息泄露的主要問題。因此,在組織管理中,醫院應對內部人員的違規操作進行嚴格控制。第四,做好應急預案的制定與演練,對出現的信息安全問題應做好各部門的聯動,提高應急能力,及時止損。
4結束語
總之,進入到互聯網時代,信息化已經成為醫院內部管理創新的基本思路,信息化的實現需要網路系統的支持,但是在網絡系統構建的過程中,無處不在的安全問題使得醫院的信息化建設舉步維艱。針對此,醫院應該從網絡安全系統的建設要點出發,增加對硬件設備的投入,做好軟件系統的技術應用,加強組織管理建設,進而完成醫院的網絡安全體系構建與實現。
參考文獻:
篇(2)
【關鍵詞】無線傳感器 網絡 安全通信協議
1 無線傳感器網絡及其特點
1.1 無線傳感器網絡結構
無線傳感器網絡簡稱WSN,其歸屬于網絡系統的范疇,具體是指應由部署在監測區域范圍內的若干個傳感器節點組成,以無線通信作為傳輸方式所形成的具有多跳性特點的自組織網絡。在WSN中,傳感器節點是基本構成單位,每一個傳感器節點均是一個獨立的小型嵌入式系統,圖1為傳感器節點的結構示意圖。
WSN中除了包含大量的傳感器節點之外,還包括數據匯聚、數據處理中心等節點和設施。匯聚節點是一個經過增強的傳感器節點,它具有提供能量和處理數據信息的能力;數據處理中心則主要負責對網絡進行配置與管理,并相關的數據采集指令,同時完成數據的接收。
1.2 WSN的特點
WSN與傳統網絡相比,不僅對通信能力、存儲能力、節點能量供應有著極高要求,而且還具備自身應用特點,具體表現在以下方面:
1.2.1 規模大
需要在占地面積廣闊的監測區域布置數量多的傳感器節點。
1.2.2 自行管理
傳感器節點通過飛機播撒等方式進行放置,放置位置帶有隨機性,需要WSN自行管理,并具備較強的網絡配置能力。
1.2.3 動態拓撲
在WSN工作狀態下根據監測環境的變化進行不斷變化。
1.2.4 專門設計
由于WSN需要在千差萬別的監測環境中采集不同的信息,所以必須根據具體應用,優化設計網絡結構和網絡協議。
1.2.5 以數據為中心
觀測者向WSN下達事件監測命令,感知節點根據命令收集、處理監測區域內的數據,將其反饋給觀測者。在WSN工作過程中,數據是網絡運行的核心,觀測者不關心網絡本身的運行狀態以及數據源于哪一節點,而只是對最終獲取的數據感興趣。
2 無線傳感器網絡安全協議的運用
2.1 WSN的安全需求分析
為保證信息安全,WSN的安全需求體現在以下方面:
2.1.1 機密性
要求WSN節點之間的消息傳輸安全,對消息進行加密,防止攻擊者非法獲取信息,只有授權者才能獲取真實的信息內容,解密出正確的明文。
2.1.2 完整性
要求數據在整個傳輸過程中不能被篡改,利用消息認證機制保證消息內容的完整性。
2.1.3 可認證性
信息接收者要對網絡傳輸中的數據進行認證,識別注入網絡的虛假信息包,在確認信息來源于合法的節點后才可準許接收。WSN主要包括點到點認證與組播廣播認證兩種方式,前者要求節點接收信息的同時對信息來源和對方身份進行確認,后者則是針對單個節點向多個節點發送同一消息的情況進行安全認證。
2.2 安全通信協議設計與實現
在充分考慮WSN安全需求的基礎上,本次設計采用了層次型拓撲結構的網絡模型,為使描述過程更加方便,假定整個網絡只有兩層結構,即WSN被分解為多個簇,每個簇有一個簇頭結點和多個簇成員節點組成。同時,假設WSN中全部傳感器節點均為相同,并且這些節點在最初加入網絡時所擁有的能量也是相同的,網絡中所有簇頭的選擇全都由基站來完成,并假定基站具有永久可信任性,所有對網絡的攻擊均來自于外部。
2.2.1 分配密鑰
當傳感器節點加入到安全體系當中之后,基站便會將通信周期的密鑰Kt發送給節點,隨著Kt的加入,節點的加密密鑰與認證密鑰會發生周期性的變化,同時,基站的廣播也可以密文的方式進行信息傳送,上述措施的應用,使WSN的安全性獲得了進一步增強。
2.2.2 加入安全體系
在網絡運行中,各基站會不時地發送各類信息,這就要求節點具備消息識別能力,能夠有效判斷消息是否來源于授權的基站,與基站建立起信任關系。為此,必須將節點納入到網絡安全體系建設中,對基站的廣播包進行認證。只有在安全體系涵蓋所有傳感器節點之后,才能實現對基站所發送信息數據的安全控制。
2.2.3 建立網絡拓撲結構
簇頭在層次型拓撲結構網絡的建立中具有非常重要的作用,而涉及簇頭的危害則具有一定的破壞性,鑒于此,在網絡拓撲結構的建立中,必須對簇頭進行身份認證。為實現這一目標,本次設計中對LEACH協議算法進行適當地改M,當基站接收到簇頭節點信息后,會按照簇頭的ID號與認證密鑰對其進行身份認證,由此能夠剔除掉非法簇頭節點的假冒信息,并將剩余的合法信息以廣播的方式發送出去。設計中還應用了SPINS安全協議框架中的μTESLA廣播認證協議,由此實現了傳感器節點對基站廣播包的認證。由于簇頭需要進行定期的選舉,也就是簇頭并非一成不變的,因此,拓撲結構也需要隨之定期進行更新。
2.3 網絡安全通信協議的運用
拓撲結構是安全通信體系的基本框架,在穩定通信的狀態下,網絡通信包括以下兩種方式:一種方式為簇內成員節點與簇頭節點之間的通信,通過計算通信周期內的加密密鑰和認證密鑰,對數據進行加密,對重放攻擊進行有效遏制,保證信息傳輸安全;另一種方式為簇頭節點與基站通信,由簇頭節點接收合并信息,將其傳輸給基站進行認證。
3 結論
綜上所述,本文在簡要闡述無線傳感器網絡結構和特點的基礎上,分析了無線傳感器網絡的安全需求,隨后采用層次型拓撲結構網絡模型及LEACH協議改進算法,對安全通信協議進行了設計,并介紹了該協議的具體運用。期望通過本文的研究能夠對無線傳感器網絡安全的提升有一定幫助。
參考文獻
[1]王東安,張方舟,秦剛,南凱,閻保平.無線傳感器網絡安全協議的研究[J].計算機工程,2005,31(21):10-13.
[2]李燕.無線傳感器網絡安全通信協議研究與設計(碩士學位論文)[J].大連理工大學,2006.
篇(3)
中圖分類號:TP391.9
《計算機網絡安全管理》是一門理論性和實踐性很強的基礎課程,本課程在本院是面向高職學生開設的必選課,課程理論與實踐緊密結合,實用性強,目的在于使學生掌握計算機網絡安全的基礎知識、TCP/IP協議基礎,能對網絡入侵進行初步分析,掌握網絡入侵工具的分類、網絡安全的策略、防范措施及網絡設備安全知識,了解常用的一些密碼技術,如何利用現代教學軟件來體現網絡教學的實踐環節,在有效的時間展示網絡安全管理豐富的技術技能,作為現代教學需要利用好工具。本文就計算機網絡安全管理中的仿真逐一進行總結分析,采用思科Cisco模擬器6.0版本,運行操作系統Windows XP或Windows 2000。
情景一密碼設置和恢復:Cisco提供了5個口令可以來保護Cisco路由器,分別是:使能口令、使能加密口令、控制臺口令(Console)、遠程登陸口令(VTY)和輔助口令(AUX)。這里我們介紹前面4個口令設置:
1 使能口令
進入全局配置模式 Router#configure terminal
設置使能口令 Router(config)#enable password cisco //口令設置成功!
2 使能加密口令
進入全局配置模式 Router#configure terminal
設置使能加密口令 Router(config)#enable secret cisco
使能加密口令設置成功!
3 控制臺口令(Console)
進入全局配置模式 Router#configure terminal
進入console口配置模式 Router(config)#line console 0
進行console口密碼設置 Router(config-line)#password consolekey
使其口令生效 Router(config-line)#login //控制臺口令設置成功
4 遠程登陸口令(VTY)
進入全局配置模式 Router#configure terminal
進入console口配置模式 Router(config)#line vty 0 15
進行console口密碼設置 Router(config-line)#password vtykey
使其口令生效 Router(config-line)#login //遠程登陸設置成功
設置好密碼,網絡中就多了一道屏障,但當密碼丟失遺忘,要進行密碼恢復。如圖1所示。
步驟1:設置密碼
特意設置一個不容易記住的密碼,如Router(config-if)#enable password 2q3qeqew
重新登陸后如果遺忘輸入其他密碼,登陸將出現Bad secrets的錯誤提示(見下圖)
步驟2:路由器密碼恢復(破解原有密碼)
關閉路由器電源并重新開機,當控制臺出現啟動過程按下ctrl+break,進入rommon模式
首先改變配置寄存器的值為0x2142,這會使得路由器開機時不讀取NVRAM 中的配置文件,然后敲reset重啟路由器,退出setup 模式,敲no重新進入。如圖2所示。
Router#write //先將配置寫入內存
屏幕提示:Building configuration...
[OK] //配置文件保存成功
Router#copy startup-config running-config//把配置文件從NVRAM 中拷貝到RAM 中,在此基礎上修改密碼。-屏幕提示:Destination filename [running-config]?
489 bytes copied in 0.416 secs (1175 bytes/sec)
最后在進入配置模式,將密碼更改為自己熟悉的密碼,如cisco
Router(config)#enable password cisco //密碼將更換為最新的密碼cisco
Router(config)#config-register 0x2102 //將寄存器數值改回0x2102
Router(config-if)#interface FastEthernet0/0
Router(config-if)#no shutdown
Router #reload //保存配置,重啟路由器,保存前,需要把各個接口一一打開。
情景二VLAN隔離局域網:在企業內部,共享資源的同時有些部門數據禁止其他部門訪問,這時候除了設置密碼保護,關閉不需要的共享,還可以進行VLAN劃分局域網,來進行網絡安全管理。劃分VLAN之前,兩臺路由器可以相互訪問。如圖3所示。
Switch# vlan 2 name VLAN2
VLAN 2 added:
Name: VLAN2
Switch(vlan)#vlan 3 name VLAN3
VLAN 3 added:
Name: VLAN3//以上創建vlan,2是vlan的編號,范圍為1~1001
Switch(config)#int f0/1
Switch(config-if)#switch
Switch(config-if)#switch mode access
Switch(config-if)#switch access vlan 2
Switch(config-if)#int f0/2
Switch(config-if)#switch mode access
Switch(config-if)#switch access vlan 3
此時在ping測試,出現不通的符號,這樣就實現了利用vlan隔離的作用。如圖4所示。
以上可以看出在網絡教學過程中利用仿真軟件直觀生動,學生有興趣學,老師也方便指導。后續將不斷探索和實踐,使其在教學過程中充分發揮作用。
參考文獻:
[1]李杰陽.淺析計算機網絡實訓課題的設計及使用[J].科技信息,2011,20.
篇(4)
現在,隨著網絡的不斷發達使得我們的生活產生了很大的改變,很大程度上提升了我們的生活質量。隨著無線網絡的普遍,不僅極大程度上的豐富了我們的生活,而且也極大程度上推動了醫療體系的發展。和有線網絡相比,無線網絡有著很多的優勢,具有安裝方便、信號強等優點,通過無線電波進行數據傳播,更加的快速有效。但是,隨之也產生各種各樣安全問題,在無線網絡的安全建設中,還是存在著一定的安全威脅。所以,現在所面臨的最大的挑戰就是安全問題。醫院當中的工作區域或者是休息區域部署無線網絡,更大程度上的方便了醫療工作者還有來就醫的患者,從而使醫療工作更加方便的進行。
1無線網絡安全建設措施
1.1概述現在在我國很多醫院都已經大規模的實施,無線醫療技術方面的應用十分活躍,無論是大城市還是一些偏遠城市都很大程度上的普及了這項技術。但是,和其他的醫療體系發達的國家相比還是存在著很多的不足之處。所以,我們如何加快的普及和推廣這一項技術成為我們現在所面臨的重要問題,而且,在發展無線網絡的過程當中,排在第一位的還是安全問題,甚至還是一個社會道德與法律法規的問題。因此,我們要尋求一個相對合適的手段和采用一種獨特的技術來進行管理,通過無線網絡,利用高科技的設備,在醫院可以實現現代化的發展,實現一種高端的醫療服務,從而能夠提高病人對于本醫院的滿意程度,提升工作效率,美化病區環境。網絡安全是現在很重要的一個部分,對于整個網絡體系來說,在具有標準的安全體系之外,還要有相對應的安全策略。安全建設措施主要體現在幾個方面,設備安全、連接安全、網絡本身的安全和管理層面的安全。無線網絡的組成由控制層、接入層和管理層三個方面。所以,我們要根據無線網絡的特點來制定特定的安全建設措施。1.2安全策略集中控制所謂安全策略集中控制就是指將所有的安全策略都集中在統一的控制器上面,來進行數據的傳遞,是一種固定的網絡構架。控制主要有幾個方面,登記用戶身份、管控上網的行為、安全加密、制定病毒的對策等。網絡主要的管理員在主控制器上制定與之相匹配的安全策略,進而提升安全系數。1.3病毒入侵防護在訪問網絡時,病毒是一個需要我們要阻攔的東西,在無線網絡訪問互聯網的時候,操作系統中可能就會出現病毒軟件。所以,在用戶認證之前,無線網絡的終端就應該制作出相應的防病毒定義碼對其進行檢查。若是檢查的結果并沒有通過,那么就應該考慮到禁止訪問互聯網。在訪問網絡之后,可能會產生一些病毒性的網絡殘留,某些用戶很有可能沾染病毒的一些數據,應該在防病毒設備上對其進行全面檢查。檢查的結果為通過時,就能夠允許通過,若是結果顯示的情況是不允許通過,那么則是要丟棄這些數據,用來保證系統沒有被病毒入侵。
2應用實踐
2.1無線網絡的設計與部署無線網絡在設計的過程中,主要是以太網來進行連接的,無線AP和一些主要的接入點構成了主要的無線網絡。通過POE交換機進行網絡交換,使用千兆以上的網鏈進行交換和傳輸。通過固定的分配器和一些必要的天線進行無線網絡覆蓋。相對來說比較大的室內則是通過放裝的形式進行信號覆蓋。2.2非法電磁信號檢測對于非法電磁信號的檢測主要是通過智能無線AP,那么現在主要有兩種方法來進行檢測:一種就是在一段時間內,通過AP自動進行掃描;第二種就是將AP設定成能夠持續監視的模式來進行不斷的刷新掃描,進行檢測。選擇非法的電磁信號進行屏蔽,并且按照所需要的頻率進行掃描檢測,并且在周圍環境中進行信號的檢測。通過這樣的方式,自動識別并且檢測非法的電磁信號,用來避免造成網絡的系統崩潰。另外,在相對重點的區域更是要注重安全檢測,避免潛在的危險。2.3雙重認證鑒別為了保障網絡的安全,需要對對接人的設備進行準入認證。通常包括幾個方法來進行認證,有Web和MAC認證兩個方面。兩個不同的方法也對應著不同的系統問題,系統操作的差異化也會導致結果的不同,所以,對于不同種類的移動終端Web存在著很多的局限性,可以采用MAC雙重鑒定方法來實現。在安裝了相應的證書之后,并且所對應的地址一致,之后能夠接入無線網絡。這種雙重認證鑒別的方式,能夠更加安全的進行身份識別,從而使醫院系統更加的安全。
3結束語
綜上所述,很多醫院的實踐都證明了網絡安全的重要性,無線網絡的實施確實為醫院工作者和來就醫的人員帶來了很多的方便,而且讓醫院的安全系統更加安全。通過無線網絡的技術,醫療信息系統也大部分都是由無線網絡所支持的。隨著移動醫療設備在醫院的普及,會有包括無線網絡在內的更多更新的技術和理論的出現,那么為了保證網絡的安全性,在新的網絡形式之下,我們要做到的就是保障無線網絡的安全問題,適應當下的安全形勢管理需要,讓無線網絡能夠更好的為人民服務。
參考文獻
[1]徐金建,孫震,王浩.基于“互聯網+”及無線應用安全問題探討[J].中國數字醫學,2015(07):98-100.
[2]楊眉,潘曉雷,彭仕機.醫院無線網絡安全建設措施及應用實踐[J].醫學信息學雜志,2015(02):41-44.
[3]自動化技術、計算機技術[J].中國無線電電子學文摘,2010(04):167-247.
[4]韓雪峰.淺析醫院無線網絡的實施[J].醫療衛生裝備,2010(01):61-63.
[5]朱俊.無線網絡安全問題及其防范措施[J].計算機與網絡,2013(21).
篇(5)
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)08-1768-04
A Practice Platform of Network Information Security Curriculum Based on Mobile Agent
QIAO Zheng-hong, GE Wu-dian, XU Jie
(Institue of Science, PLA Univ. of Sci. & Tech., Nanjing 211101, China)
Abstract:Network information security course is a very practical course, the practical teaching of the course is lack of special experimental system. Aiming at this problem,The paper proposes a realization method of quasi real network confrontation training platform based on mobile agent, discusses system structure and main work flow of the platform.
Key words:network information security; practice teaching; training platform
隨著計算機網絡技術的高速發展,網絡信息系統深入到人們工作和生活的每個角落。網絡信息系統一方面給人們帶來了極大便利,另一方面它的安全問題也日益顯現,這一切迫切要求人們重視相關安全技術與手段的研究。但目前網絡信息安全人才極度匱乏,遠遠不能滿足社會的實際需要,必須加快網絡信息安全人才的培養。為此,許多高校和科研院所紛紛開設了網絡信息安全相關課程。該類課程的特點是發展迅速、實踐性強,在課程教學中,既要重視基本理論、基本原理的講授,同時也要強化學生對相關網絡安全技術的應用,培養學生實踐動手能力。
在網絡信息安全相關課程實踐教學環節中,目前主要的做法是:根據課堂講授的網絡信息安全理論,然后要求學生在實驗室熟悉少許網絡安全工具,并能夠根據網絡安全的某一方面內容開發設計一種工具。采取這樣的實踐教學方法,學生通過有針對性的訓練,可以較好地掌握實驗內容,但由于只停留在某一個或幾個具體的點上,學生對系統總體情況的掌握比較缺乏,不能夠全面掌握實踐內容,實踐教學效果一般。
針對該類課程在實踐教學中存在的問題,需要設計一種專門的實驗平臺,該平臺能夠讓學生熟悉各種的安全技術和手段,有效地進行網絡攻防訓練。
1系統設計思想
在設計系統平臺時,首先要考慮建設的系統是基于什么環境的?通常有三種設計思路:完全真實對抗環境、模擬對抗環境和準真實對抗環境(介于前兩者之間)。其中,在完全真實對抗環境下,網絡攻防訓練完全由學生自主控制,考慮到實際網絡情況比較復雜,系統的結構可能相對復雜,同時涉及到較多的認為因素,使得訓練過程不太容易協調和控制;在模擬對抗環境下,系統需要全面分析和梳理已有的攻防戰術和手段,并構造各種不同的虛擬場景,通常這種設計有比較大的工作量,后期也難以升級和維護。基于上述的分析,本文在充分考慮了系統結構的復雜性、設計工作量、后期升級和維護等各方面的情況,提出了一個基于準真實對抗環境的網絡攻防訓練實驗平臺。
1.1系統設計目標
網絡安全對抗訓練是一種網絡信息安全類課程實踐教學平臺,也是學生進行網絡對抗訓練的專門系統。該系統讓學生在一個網絡攻防對抗的整體環境中,通過相關的技術應用帶動理論和原理的學習和理解,訓練方式主要是人機對抗。
在該課程實踐教學中,每個學生可以對自己的訓練情況進行分析和總結,了解自己對網絡對抗各個環節的掌握情況,找出薄弱環節,從而突出訓練的重點,提高訓練的針對性,從而提高實踐教學效果。
1.2系統設計原則
在進行系統規劃和設計時,要充分利用已有的信息和技術,并考慮系統以后的擴展,有幾個方面需重點考慮:
系統的集成性。在系統設計時,要充分考慮已有信息的集成、共享和交換,這一點至關重要。這些信息不僅本系統功能模塊可 以有效使用,而且以后更新的功能模塊也可以用。
技術的先進性。要堅持從實際出發,以最大限度滿足用戶需求為基本原則,合理選擇先進的主流技術、設計思想和設計方法,力求做到先進性和實用性的統一。
產品的成熟性。在系統設計時,應盡量采用成熟的可重用模塊,同時系統的功能要容易擴充、容易使用、運行穩定,并且也便于后期的維護。
設計的規范性。目前主流的技術都有其特定的標準和規范,在系統設計的過程中,要充分地加以考慮。
系統的可擴展性。網絡攻防技術與手段是在不斷變化和發展的,在系統設計時要綜合考慮對當前的實際和將來的變化,使系統具備可擴展性,能夠支持盡可能多的網絡攻防手段。
2系統架構
在系統設計時,該實驗平臺架構在實驗室內部相對成熟的局域網之上,采用準真實網絡對抗環境,盡可能反映網絡的實際情況,同時又具有一定的可控性,以便降低系統設計的復雜性。系統的工作模式采用B/S結構,整個系統主要由三個部分組成:用戶接口層、核心功能層和數據層,主要的功能模塊有用戶接口及運行環境、系統控制中心、自適應任務均衡處理、智能分析處理以及網絡攻防和底層數據庫,系統的功能邏輯劃分如圖1所示。
圖1系統功能邏輯圖
為了更好地滿足設計原則及系統的特點,該實驗平臺采用基于移動Agent的設計方案。在這種方案中,所有計算機分為兩種角色:客戶端和服務器。其中,客戶端的配置比較簡單,只安裝瀏覽器和Agent運行環境,平臺其他的功能模塊都安裝在服務器中,這樣,系統所有的核心功能都集中在服務器上,學生日常訓練只接觸客戶端,便于系統管理和升級維護。在具體設計時,主要采用JSP語言,服務器端可以通過ServLet訪問數據庫,以及移動Agent庫。系統各邏輯功能模塊之間的相互關系如圖2所示。
圖2系統架構基本結構圖
3系統主要功能模塊
該實驗平臺涉及到網絡信息安全技術的諸多方面,系統功能較多,其中移動、任務均衡處理是兩個非常重要的模塊,其他各項主要工作均與之相關。
3.1移動Agent
在本系統中,移動Agent具有非常重要的作用,無論是系統管理維護、網絡攻擊、防護檢測,都是通過移動來完成的,移動是系統核心的功能模塊。每個完成特定的任務,具體來說,移動主要有以下幾類:
系統管理與維護Agent:在平臺使用的過程中,系統維護是一項經常性的工作。管理員可以利用實驗網絡環境,派遣系統維護Agent完成設備管理與維護工作,例如,可以安排Agent移動到主機,檢測主機運行狀況,然后將結果反饋給管理員,管理員也可以把一些簡單的修復工作交給Agent去完成。
攻擊Agent:在進行攻擊訓練時,用戶將訓練科目提交給服務器,服務器依據用戶需求,在相關的主機上部署用于攻擊訓練的攻擊Agent,利用它做一些準備工作,以及在結束后將訓練結果上傳。例如:在網絡攻擊中,端口探測是常用的一種技術手段,用戶在進行該類攻擊訓練時,首先由客戶端(用戶)發出訓練請求,服務器收到請求后,通過均衡處理分配合適的主機及其IP地址,同時,派 遣端口探測Agent到探測目標上,再由該Agent收集主機的端口信息,并將探測結果返回服務器,訓練結束后,客戶端提交探測結果。用戶上報的信息到達服務器后,服務器會將其與Agent搜集的探測結果進行比對,最終得到用戶的訓練結果。
防護檢測Agent:在學生進行防護訓練前,系統可以依據防護科目,在相關的主機上部署用于防護訓練的防護Agent,該Agent會根據防護的目的,逐條檢測主機的設置,進而判斷設置的安全性。例如,操作系統安全是信息安全的一個重要的方面,用戶在練習這方面防護時,根據訓練目標和需求,先對系統進行相關配置,然后向服務器發送請求,告訴服務器配置完成,服務器接受用戶請求后,派出防護檢測Agent到客戶端,根據安全配置的指標,全面系統地進行檢測,然后向服務器報告檢測結果。
3.2自適應任務均衡處理
該模塊主要有策略管理器和任務均衡處理器兩部分,策略管理器用于記錄本系統安裝網絡的基本情況,任務均衡處理器用于協調攻擊與防護訓練的順利進行。
3.2.1策略管理器
隨著網絡技術的進一步發展,網絡攻防手段的更新,所要設計的對抗科目將逐漸豐富,而實驗主機的硬件條件(數量、類型等)相對有限。針對這種矛盾,在系統設計時要考慮如何盡可能支持多種對抗科目,如何充分提高有限訓練主機的使用效率。在策略管理器中,記錄了系統支持的所有攻擊科目、各類科目之間的互斥關系、被攻擊主機各種類型的數目等方面的情況。
3.2.2任務均衡處理器
系統在接收到用戶的訓練請求后,會為學生指定目標主機,如何選擇合適的目標主機呢?首先由任務均衡處理器根據策略管理器中記錄的數據,在保證網絡帶寬、系統內存、CPU使用率等的前提下,盡量先安排可兼容已起用的訓練主機,直至所有的訓練主機均被起用。任務均衡處理的基本原則是充分利用每一臺訓練主機的資源,具體的做法是:
1)根據學生的訓練科目,查詢策略管理器,得到無法和請求科目在同一訓練主機同時運行的科目名稱;
2)查詢策略管理器,獲取訓練主機中已經開展的科目,通過進一步分析可以知道沒有與請求科目互斥科目的訓練主機地址;3)利用(1)、(2)的結果,查詢策略管理器,得到可以運行請求科目的主機地址;
4)根據(3)的結果,對每一臺主機進行綜合分析,從可選訓練主機集合中選擇合適的訓練主機。
自適應任務均衡處理器模塊主要的工作流程如圖3所示:
圖3任務均衡負載流程圖
4系統工作流程
本系統主要有兩大功能:攻擊訓練和防護訓練,在使用系統時,首先進行用戶身份鑒別和訪問控制,而后用戶可以根據自身的實際情況選擇訓練內容,以下分別介紹攻擊訓練和防護訓練工作流程。
4.1攻擊科目訓練
攻擊科目主要訓練學生對各種攻擊技術與手段的應用,進一步理解相關的網絡信息安全的基本理論、原理。具體的工作流程:1)用戶選擇訓練科目名稱,然后向服務器發出請求;
2)服務器收到用戶的請求后,進行均衡處理,并調用相關的Agent完成訓練進行前的一些準備工作;
3)準備工作完成后,在訓練任務可以進行的情況下,服務器任務主機的相關信息,例如:IP地址等。當然,訓練科目不同,服務器給出的信息也不同。除此之外,服務器還會給出一些提示,并通知用戶訓練開始;
4)用戶收到服務器返回信息后,依據訓練科目,選擇合適的工具進行攻擊試驗;
5)攻擊結束后,用戶按照系統設定的格式,將訓練結果上傳給服務器,并等待訓練結果的返回。
6)服務器比對用戶上報的訓練結果和攻擊Agent收集的信息,然后返回用戶最終的訓練結果。
4.2防護科目訓練
防護科目的訓練促進學生掌握各種網絡信息安全設置方法,熟練運用各種防護技術和手段,進一步理解相關的網絡信息安全的基本理論、原理。具體的工作流程:
1)用戶選擇訓練科目名稱,然后向服務器發出請求;
2)服務器收到用戶的請求后,運行均衡處理,返回相應結果;
3)用戶根據訓練任務與目標,進行相關系統防護的配置;
4)用戶對系統進行必要的配置后,通知服務器來檢測配置效果;
5)服務器發送相應的檢測Agent,檢測Agent返回訓練效果到服務器;
6)服務器發送訓練效果給用戶。根據反饋的結果,用戶可以評價系統配置效果,并作進一步的改進。
5總結
21世紀是信息時代,信息已成為社會發展的重要戰略資源,社會的信息化、網絡化已成為當今世界發展的潮流和核心,網絡信息安全在信息社會中將扮演極為重要的角色。高校是信息安全人才培養的主渠道,強化網絡信息安全相關課程的實踐環節,提高學生網絡信息對抗能力,顯得尤為重要。為此針對本課程給出了一種網絡安全對抗訓練平臺的主要設計思路,并介紹了該系統主要的功能模塊。
參考文獻:
[1]周龍驤,劉添添.移動Agent綜述[J].計算機科學, 2003(11):19-23.
[2]劉軍,周海剛,于振偉.理工大學教學研究文集[C].北京:軍事誼文版社,2008.
篇(6)
我省區域縱深近1800公里,轄區面積大,監管范圍廣,為提升食品質量監管的科技含量,省局建成了具有“統一集中受理,分工協作辦理,應急指揮調度,信息匯總分析,消費警示公示”等五種功能相結合的行政執法監管網絡體系,形成了以省級指揮中心、市(州)、縣(區)工商局、專業分局和工商所四級聯網。在此基礎上,開發完成了12315消費者申訴舉報軟件系統、工商綜合業務軟件系統、食品質量監管網絡軟件系統等,實現了消保維權和食品質量監管的網上咨詢、網上受理、網上調度指揮、網上跟蹤督辦、網上應急處置。從此,從消費者申訴舉報、執法檢查、食品質量監測、案件查處等途徑獲得的信息以及消費者協會、各行業協會提供的食品質量的信息,均集中于省局中心數據庫,進行綜合分析,統一調度,形成食品質量監管網絡使食品質量監管實現了跨越式發展。
二、運用現代科技手段。加強食品質量檢測
為強化食品質量檢測,2006年省局投資800余萬元給全省工商系統配備了1臺食品安全監測指揮車、17臺食品安全檢測車和500個食品安全快速檢測箱,建起了18個流動食品檢測室和500個監測站(點),并開發了全省食品質量監管網絡系統軟件。為確保全省系統食品安全檢測工作有序開展,2006年9月,省局組織對18臺食品檢測車的36名車載儀器工作人員進行了統一培訓,對500個食品安全檢測箱1000余名工作人員以市、州局為單位組織了分片巡回培訓,提高了食品檢測人員的操作技能,為流通領域食品安全監管提供了人才和技術保證。
篇(7)
傳統防火墻只能提供一般意義上的數據包轉發和攔截功能,以及一些簡單的包檢測機制。UTM和傳統防火墻相比,確實增加了很多過濾功能,包括應用層的識別和過濾等,但是UTM的致命缺陷是由于采用串行掃描方式,處理效率低下,尤其在激活多種掃描過濾功能后,整體性能將使企業網絡受到很大影響。要應對Web 2.0應用給網絡帶來的影響,需要通過下一代防火墻實現,集成了網絡安全、內容安全以及基于七層應用管理的網絡接入控制保護,防御來自應用層的攻擊,基于應用層的進出策略控制,在局域網內提供基于應用層的路由優先級控制和路由流量控制。現有的防火墻產品和UMT設備由于缺乏基于應用層的控制手段,已被證明無法應對各種已有的或者日益增長的網絡威脅。即便是增加了單點解決方案,雖然能提供對email業務、Web應用、遠程接入、即時通訊軟件等病毒防護,但是運營成本也會大幅度提高。而這些問題都可以通過NGFW解決,同時NGFW采用了高效的并行處理機制,可以有效解決UTM的本質缺陷。
性能差異是UTM設備和下一代防火墻設備最根本的區別,這是由于完全不同的功能實現機制導致的。簡單來說,梭子魚下一代防火墻特有的ACPF防火墻引擎技術,通過一次性的解包,并行處理所有識別、掃描、過濾與控制,大大提升數據處理效率。
硬件操作平臺:作為邊界安全設備,梭子魚自身的健壯性極強,可防御各種攻擊。梭子魚NG防火墻建構在Linux操作系統之上,迄今已有超過10年的經驗。經過固化處理,基礎性網關及路由功能已融合到Linux內核中。這樣,系統既能防御那些針對自身的攻擊,也能通過NG的安全引擎檢測所有進出流量。
篇(8)
[DOI]10.13939/ki.zgsc.2016.02.111
構建安全網絡、營造網絡安全環境都需要網絡安全協議。人們對應用于計算機中的安全協議做了大量的分析研究,就是為了提高網絡信息傳輸的安全性,使之能從根本上保證網絡安全,以免造成因網絡安全等級不夠而導致網絡信息數據丟失或者文件信息丟失以及信息泄露等問題。網絡安全協議課程包括對密碼學和計算機網絡的學習,網絡安全協議比較復雜,無論是對于教師還是學生而言,難度都比較大,所以學生只有在加強自身的理解與應用能力之后,才能有利于新知識的繼續學習。針對網絡安全協議中的協議原理和細節,對于教師而言,如何讓學生理解非常重要;對于學生而言,如何掌握并應用非常重要。所以,教師對于網絡安全協議課程的實踐教學設計不能馬虎。
1實踐教學設計總述
常用的網絡安全協議包括Kerberos認證協議,安全電子交易協議SET、SSL、SHTTP、S/MIME、SSH、IPSec等。[1]這些安全協議屬于不同的網絡協議層次,能提供不同的安全功能。特別是在IPV6當中采用IPSec來加強網絡的安全性。并且在開放系統互連標準中,網絡協議被分為7層,其中物理層、數據鏈路層、網絡層、傳輸層和應用層都是常用的。所以,由于每種網絡安全協議內容豐富以及它們都有各自的優點和缺點,致使在實際應用中網絡安全協議更具復雜性。教師需要通過實踐教學設計來實現讓學生全面理解和掌握協議中的原理和細節,并能夠有效應用。首先要做到讓學生由表及里的、由淺入深的認識和學習網絡安全協議,其次要做到讓學生能應用到網絡安全協議,最后達到創新的目標。所以實踐教學內容要劃分為階段性的,才能讓學生逐步透徹地掌握網絡安全協議中的方方面面。
2SSL協議的實踐教學實施
2.1認知階段
教師在本階段的教學內容就是讓學生認識SSL協議。需要掌握以下內容:
SSL采用公開密鑰技術,其目標是保證兩個應用間通信的保密性和可靠性,可在服務器和客戶機兩端同時實現支持。目前,利用公開密鑰技術的SSL協議,已成為因特網上保密通信的工業標準。SSL協議中的SSL握手協議可以完成通信雙方的身份鑒定以及協商會話過程中的信息加密密鑰,從而建立安全連接。SSL握手協議如下圖所示。
SSL握手協議
而在SSL協議中,獲取SSL/TLS協議通信流量,直觀地觀看SSL/TLS協議的結構就需要使用Wireshark抓包分析工具軟件。通過流量抓取分析來讓學生掌握SSL/TLS的具體內容。
2.2體驗階段
經過初步的學習,要讓學生體驗SSL的應用范圍,對SSL的應用過程有一個直觀的感受和體驗。學生用于數字證書生成、發放和管理需要完成CA的安裝與配置,其次分別為IISWeb服務器和客戶端申請、安裝證書,再在服務器上配置SSL,通過以上步驟完成IIS服務器中的SSL/TLS配置來建立客戶端和服務器的連接。[2]此階段的具體應用會讓學生深入的了解SSL/TLS中的有關內容。
2.3應用階段
應用階段的教學內容是前兩階段教學內容的升華,它會使學生具備利用SSL/TLS協議進行通信的編程能力。而要達到這點,就需要通過利用OpenSSL,實現一個簡單的SSL服務器和客戶端。這個階段的工作量不小,學生需要在教師的指導下分組進行。進行過程中主要環節包括,首先,學生利用自己熟悉的系統和開發平臺來完成OpenSSL的編譯安裝。其次,學生參考已有的源代碼來完成VC++編譯環境的設置。[3]再次,學生利用OpenSSL的證書生成命令性工具生成服務器和客戶端數字證書。最后,通過完成簡單的TCP握手連接和通信,并加入SSL握手功能來實現SSL/TLS編程。
2.4總結提高階段
課堂上的理論教學和階段性的實踐教學對于學生熟悉掌握SSL協議具有很好的作用,但是還存在某些方面的不完整性。例如,通過研究和實際應用SSL/TLS協議的過程中,如何進一步改善SSL/TLS協議所存在的問題。這些都是需要學生去解決的。在解決過程中,學生就能具備進行高效學習的能力。教師可以采取向學生提問的方式來進行這一階段的教學內容。問題可以是多方面的,例如通過前幾階段的認識和實踐,SSL/TLS協議還存在哪些不足?并通過一個實際的SSL/TLS協議的應用案例,發現SSL/TLS協議還有哪些局限性,并解決這些局限所帶來的問題。在此階段內,學生和教師要進行不斷的交流和討論,并找出相關事實依據來論證自己的觀點。例如,針對Heartbleed漏洞,學生需要了解漏洞產生的原因和危害,并提出解決措施。通過分析發現是OpenSSL開源軟件包的問題導致了此漏洞出現,與SSL/TLS協議并無太大關系。經過對此問題的分析研究,我們可以發現,協議本身的安全并不代表能在實現協議過程中避免所有的不安全因素。
3實踐教學效果評價
各個階段的實踐教學過程需要教師進行精心的設計和把握,并通過具體的實施實踐才能驗證實踐教學設計的是否合理,是否有效。由于網絡安全協議課程本身就非常復雜,再加上具體實施過程中內容、方法和難度有所不同,就需要根據學生的反饋情況來進行及時的調整。教師要從各項反饋指標進行自我反思,并與學生進行溝通。同時,在此過程中,也要認真檢查對學生的作業布置,關注學生是否掌握了有關網絡安全協議的技能,注重學生的完成情況和學生對于實踐教學過程中不足之處的意見。
4結論
網絡安全協議內容復雜,具體應用過程及各項技術操作也較為煩瑣,因此,單單只是針對SSL/TLS協議的實踐教學做了簡要的設計并不能移植到所有的網絡安全協議課程的教學中去。若要講關于網絡安全協議中鏈路層和網絡層,那么第三階段的實踐教學內容就不具意義了。而要講應用層的安全協議,第三階段的實踐教學內容相比于第一階段和第二階段就重要得多。對于信息安全專業的學生來說,只有掌握好計算機網絡和密碼學的課程內容,才能繼續網絡安全協議課程的學習。因為網絡安全協議課程的理論性和實踐性都非常強。在實踐教學的實施過程中,不但要讓學生充分品嘗動手的樂趣,還要讓學生掌握網絡安全協議的具體知識。同時還要注重培養在網絡安全協議方面的應用型人才。
參考文獻:
篇(9)
隨著我國信息化進程的不斷深入,信息安全問題成為政府和企業廣泛關注的焦點問題,而信息安全人才成為制約我國信息安全發展的瓶頸。[1]信息安全人才培養離不開信息安全的專業建設和課程建設,也離不開一些課程的教學改革研究。“網絡安全基礎”就是信息安全專業的一門專業必修課,它在整個專業體系中扮演著越來越重要的角色。因此,如何進行信息安全專業的“網絡安全基礎”課程教學改革成為當前亟待解決的問題。
網絡安全是一門涉及計算機技術、網絡技術、通信技術、信息安全技術、信息論與編碼、統計學等多門學科的交叉學科,“網絡安全基礎”是講解與網絡安全有關的最基礎的原理、技術及方法,它有著知識更新快、量大、多學科交叉、難以掌握的特點。對于信息安全專業的學生而言,“網絡安全基礎”的教學學時相對偏少,而且部分內容晦澀難懂,理解起來比較吃力,學生普遍反映比較難學。所以如何在有限的教學學時內,不但將“網絡安全基礎”這門課的基本理論、基本知識講深講透,而且讓學生掌握基本的實際網絡技能是每個任課教師的一項艱巨任務。[2]因此有必要轉變不適應時代要求的過時教育觀念與人才培養模式,克服以往在計算機網絡課程教學中存在的諸如教學內容偏舊、教學手段單一、知識講解囫圇吞棗、實驗方法落后的缺陷與不足,從轉變教育思想、更新教學內容、強化素質教育入手,深入進行教學改革,將人才培養從注重知識傳授轉變到強調知識傳授與創新能力全面發展并重的模式上來,[3]為培養信息化社會所急需的信息安全人才打下良好的基礎。
一、 教育觀念與教育順序上的逆向
在網絡技術越來越普及的今天,學生每天都在感受網絡技術的變革以及給生活帶來的影響,我們在這門課程的教學中,應該切實改變教學觀念,從以往單純按照課本知識的填鴨式教學轉變到以學生為教學中心上來,在對基本知識、基本理論傳授的基礎上,更加注重對學生日常接觸到的網絡技術進行講述,這樣才能充分調動學生的積極性,發掘學生對知識獲取的好奇心。反過來,這種教學方法對教師本身提出了更高的要求。在以學生為中心開展的教學活動中,學生由之前的被動受教育者轉變成主動的知識獲取者。而在教學順序上,目前的教材一般是以網絡七層或者五層體系結構為主干來展開的,而以往的教學也是從體系結構的底層逐層地往上講解。這樣的講解有它自身的優點,但是有一個很大的缺點就是學生一開始就接觸比較抽象的網絡底層知識,容易使學生感覺所學知識無用,這樣不利于培養學生的積極性和認同感。而我們在教學活動中,采用的是一種自上向下的教學順序,先從學生平時都經常接觸的網絡應用講起,然后層層往下講解,直至最后將基礎理論講透。這種逆向的教學方式,學生反映良好。
二、多種教學方法與手段的協調采用
良好的教學方法與手段是提高教學質量的重要環節。因此我們對傳統的填鴨式教學方法與手段進行了改進,在充分利用傳統方法、手段教學的同時,積極采用多種形式的教學方法,如討論式教學、推演性教學、理論聯系實際教學、逆向教學等。而在教學手段上,我們一方面繼承傳統手段的優勢,另一方面注意吸收其他如多媒體教學、網絡答疑等教學手段。
第一,引進先進的教學手段。利用多媒體技術,采用觀看多媒體課件等教學手段,使抽象的計算機網絡理論更加形象化。例如我們將電路交換、分組交換、報文交換制作成動畫課件,大大提高了課堂的趣味性,不但加快了教學速度,也能對重點問題、基本理論進行透徹的講解。
第二,采用課堂講解與師生討論的方法。改變沿襲已久的滿堂灌、填鴨式授課方式,這樣能激活學生的思維,提高學生學習的積極性。對于計算機網絡的基本概念,如分層體系結構與TCP/IP協議等,主要以教師講授為主;而對于IP地址的概念,以學生們熟悉的網絡聊天為例,提出問題:如何知道同伴的大致位置?通過引導,學生們可以知道:聊天時由于對方發給你的數據中包含有和你交流時的計算機IP地址,而IP地址是通過中國互聯網信息中心根據一定規則分配的,因此根據IP地址就可以知道同伴的大致位置。
第三,在教學中應經常使用歸納、小結。這樣做有利于溫故而知新、理出頭緒。比如介紹交換方式類型時可以歸納:電路交換、分組交換(包括數據報和虛電路)、報文交換三種交換的不同點、優缺點。可以從信道占用方式、排隊方式、帶寬利用、信道利用、連接方式、協議復雜度、時延大小、傳輸速率的高低、傳輸順序、靈活性等方面進行比較。通過適時的小結與歸納,不但能對基礎知識加以鞏固,還有助于提高記憶效率,便于迅速地提高知識水平。
第四,鼓勵學生上網自主查閱文獻資料和使用網絡工具。針對部分學生自我學習自覺性不高的特點,提出一些與實際結合比較緊密的問題,讓學生通過上網查閱資料的方式去解決,提高學生的學習興趣和解決實際問題的能力。比如可以讓學生查閱常用網絡產品的價格、性能、相關技術及應用領域;如果通過普通方式不能看到網友計算機的IP地址,如何才能看見。針對所提的問題,可以給學生一些提示,通過解決這些實際問題,不僅可以加強學生對網絡知識的理解,培養學生主動學習的良好習慣,還可以提高學生運用所學知識解決實際問題的能力。
三、評價依據的多樣性
對于信息安全專業的學生,應注重實踐操作能力與應用能力,傳統的考試方式只是讓學生苦于死記大量枯燥的網絡原理與理論,造成學生“學習為了考試,考試完了全忘”的情況。僅憑卷面考試來確定學生的成績是不全面的,因此需要完善學生成績評價措施,使學生理論考試成績、實踐考試成績和自愿性作品在總評中各占一定的比例。[4]理論考試只考查最基礎的網絡原理,實踐考試主要考查學生應用網絡知識的能力。這既讓學生重視了基礎理論的學習,使他們掌握了一些必備的網絡原理和理論,又使他們進行了理論聯系實際的操作,掌握了比較重要的操作技能。
在成績評定過程中,也考慮學生的自主創新意識。也就是鼓勵學生在期末自愿提交自己的小作品來進行最終成績的加分。我們鼓勵有創造性的學生通過獨立思考,自主查找文獻資料與利用網絡工具,積極動手設計自己的作品來提高自己最終的課程成績。這在提高學生的課程綜合素質,培養獨立思考能力和創造能力方面具有一定的激勵作用。
四、結束語
信息安全人才培養是國家建設信息安全保障體系和社會信息化健康發展的重要保證。隨著學科的交融以及新技術的不斷涌現,傳統的教學模式和教學內容日益受到沖擊。在這種情況下,如何搞好信息安全專業的“網絡安全基礎”課程的教學,提高教學質量,為社會培養出既具有豐富的理論知識,又具有較高的分析、設計、開發、管理與應用技能的信息安全人才,是一個迫切的研究課題。
參考文獻:
[1]呂欣.關于信息安全人才培養的建議[J].計算機安全,2006,(2):44-46.
篇(10)
山西省體育局財務核算管理中心(簡稱“我中心”)承擔著山西省體育局所屬26個事業單位,35個會計賬務核算賬套、固定資產管理賬套以及國庫支付管理、財政供養管理、預算管理、年終決算等工作任務。部分單位跨地域分布在不同城市,客觀現狀使我中心的會計核算網絡系統面臨著多任務、遠程、安全的需求。我中心通過不同網絡的優化組合,實現了多任務管理,從而提高了網絡資源的使用效率。
一、建立網絡體系的思路
一是以現有的會計核算局域網為主體,將會計賬務、報表、固定資產賬表等軟件系統建在局域網服務器中,每個終端在局域網上完成核算、報表等工作的同時,也可以很方便地轉入國庫支付管理專用網或Internet互聯網中,完成所承擔的工作任務和對信息資源的利用。
二是將國庫支付專網與會計核算局域網部分終端機相連,使其可在專網與局域網之間轉換,完成兩種不同網絡中的工作任務。國庫支付專網主要承擔直接支付、授權支付、額度計劃、財政預算下發、財政各項網上通知等。
三是將Internet互聯網與會計核算局域網部分終端機相連,使其可在Internet互聯網和局域網之間轉換,通過中間媒介(優盤、移動盤等)實現在互聯網上遠程數據傳送以及廣泛的信息需求。
四是根據每個網絡終端機所承擔的工作任務,規劃、選擇進入不同網絡的角色。例如:終端1至5承擔局域網的會計核算與國庫支付專網的工作任務,終端6至10承擔局域網的會計核算工作任務與Internet互聯網資源的使用,也可以將終端7至15規劃為國庫支付專網與Internet互聯網的組合使用。這種劃分方式可以靈活組合,可根據終端操作人員承擔的工作任務而定。
二、建立網絡體系的前提條件
一是目前財政國庫支付管理網絡系統已運行多年,隨著部門管理的需求,會計集中核算局域網系統也得到廣泛使用。Internet互聯網已成為媒體信息獲取的重要載體。一些部門或單位都已具備這三種現成的網絡體系,通過優化組合可以實現多任務工作管理模式。
二是可在所有的網絡終端機中增加所需的第二塊硬盤,即實現物理隔離的雙盤雙操作系統工作方式,達到一臺終端機當兩臺使用的效果,最大限度地利用硬件設備資源。
三是在所有的網絡終端機中加裝所需的網絡隔離轉換卡,用以達到不同網絡之間的轉換目的,即內網與外網的區分。將會計集中核算局域網系統設置為內網,國庫支付網絡系統和Internet互聯網設置為外網。此方法可將一臺網絡終端機變為兩臺使用,充分利用不同的網絡資源。同時,提高了工作效率,更重要的是確保了會計集中核算內網的安全。
三、實現三種網絡組合的具體方法
一是將會計核算局域網絡終端機中加裝硬盤,同時理順兩個物理盤的從屬關系,即在主板CMOS里IDE Primdry Master與IDESecondary Master的關系都顯示正常,對下一步連接網絡隔離轉換卡提供正確的關聯保證。
二是首先根據網絡隔離轉換卡的說明書,將卡安裝到主板PCI的擴展槽上,將卡的主供電源線與機箱電源相連接,并將卡的IDEPrimdry的接口用IDE數據線與主板的IDE Primdry的接口連接。然后,將卡上的內、外網電源線插頭分別與內、外網的兩個硬盤連接。通常將CMOS里IDE Primdry Master所識別的硬盤設為外網,另一個即為內網。同時,將硬盤跳線也進行匹配設置。最后,將隔離轉換卡上標注的外網IDE接口通過數據線連接到外網硬盤的接口上,標注的內網IDE接口通過數據線連接到內網硬盤的接口上。到此,主板、電源、隔離轉換卡三者之間的關系已連接到位。重新啟動終端機,檢查各連接的硬件設備是否可以正常運行。如若正常,安裝隔離轉換卡驅動程序和內外網轉換軟件,各終端機可依次調試安裝。
三是將會計集中核算局域網每個終端機原有的網線水晶頭插入主機箱后的隔離轉換卡內網接口中,啟動系統,根據提示選擇進入內網,運行局域網上各軟件系統以驗證工作狀況。由于每個終端機原有的局域網IP地址不變,內網連接狀況應當正常。也可通過用ping命令等網絡診斷測試工具檢測終端機與服務器之間的連接狀況是否正常。例如:在DOS下運行ping 192.168.0.1,根據此命令列示的信息判定結果。
四是將國庫支付網絡專線經路由器分配給所需的每個終端機,經合理布線后,把網線水晶頭插入主機箱后的隔離轉換卡外網接口中,啟動系統選擇進入外網,點擊控制面板,選擇“網絡和Internet連接”圖標中的“網絡連接”,在“本地連接”中點擊右鍵。在屬性選項中點擊“Internet協議(TCP/IP)”,選擇“使用下面IP地址(s)”。例如:第一個網絡終端機的IP地址:(192.168.79.1),子網掩碼:(255.255.255.0),默認網關:(101.120.1.1),首選DNS服務器(P):(101.120.1.1);第n個網絡終端機的IP地址:(192.168.79.n)。子網掩碼:(255.255.255.N),默認網關:(101.120.1.n),如此類推。終端機IP地址設置完成后,將“本地連接屬性”的復選框“連接后在通知區域顯示圖標(w)”選中,以便在任務欄中顯示網絡連接狀態。 在外網操作系統Internet Explorer瀏覽器地址欄中輸入“http://jcgc.sx.mof”。進入省級城域網“山西省政府財政管理信息系統”。即原“金財工程”國庫支付管理系統。將此網址保存在收藏夾中。并通過IE瀏覽器工具菜單中的Internet選項,點擊“使用當前頁”按鈕,完成進入“山西省政府財政管理信息系統”的使用設置。
五是將Internet互聯網絡線經路由器分配給所需的每個終端機,經合理布線后。把網線水晶頭插入主機箱后的隔離轉換卡外網接口中。啟動系統,選擇進入外網。點擊控制面板選擇“網絡和Internet連接”圖標中的“網絡連接”。在“本地連接”中點擊右鍵,在屬性選項中點擊“Internet協議(TCP/IP)”選擇自動獲得lP地址(0)。設置完成后,將“本地連接屬性”的復選框“連接后在通知區域顯示圖標(w)”選中,以便在任務欄中顯示網絡連接狀態。
在外網操作系統Internet Explorer瀏覽器地址欄中輸入如:http://省略的網址,進入新浪網主頁面。將此網址保存在收藏夾中,并通過IE瀏覽器工具菜單中的Internet選項,點擊“使用當前頁”按鈕,完成進入“新浪網主頁面”的使用設置。
在上述方法中,主要是通過使用網絡隔離轉換卡完成不同網絡間的轉換,同時保證會計核算內網的安全。更重要的是,要牢固樹立網絡體系的安全觀念和意識,防息于未然,嚴格執行電算化規章制度,做到措施到位,常備不懈。在局域網服務器和每個終端機的內、外網系統全部安裝一鍵還原軟件和殺毒軟件,殺毒軟件隨時升級,定期更新。用于內、外網數據信息交換的優盤要自帶殺毒系統,并人手一個。所有與外部交換數據信息的移動盤、優盤、磁盤。須經專人檢驗方可進入使用。最大限度地防堵安全隱患。
四、多任務網絡體系的運行效果情況
篇(11)
為了準確掌握我校學生網絡信息安全意識現狀,為分析原因、加強防范、堵塞漏洞提供依據,我們在部分學生中專題開展了網絡信息安全意識問卷調查。從調查反饋的情況來看,我校學生網絡信息安全意識相對有一定的基礎,但總體仍不夠強,值得我們深入分析研究并采取有效對策,及時全面提高學生的防范意識和防范能力,在充分享受互聯網和信息社會帶來好處的同時,嚴防網絡信息違法犯罪現象和受騙受害現象的發生。具體報告如下:
一、調查概況
本次調查對象為東校區學生,采取隨機確定的方式,共發放問卷300份,收回291份,回收率達97%。調查的主要方式是實際接觸被調查者,交談了解基本情況,要求被調查者獨立填寫不記名調查問卷。調查得到了同學們的積極支持,大家普遍比較認真地回答了每一個問題,并且比較真實地表述了自己的情況、表達了自己的想法。
二、數據分析
本次問卷調查共15道題目,以多選題為主,占三分之二;另有單選題5道。內容主要涉及大學生網絡信息安全知識的掌握、對本人及他人信息安全的認知態度等多個方面,具體分析如下:
1)網絡信息安全知識了解情況。291名被調查大學生中,有93人表示經常有意識地了解網絡信息安全知識,占31.96%;有84人表示非常少;有65人表示偶爾了解;有49人表示從來沒有了解。說明大學生普遍還沒有及時掌握必要的網絡信息安全知識。
2)個人信息安全的認知情況。291名被調查大學生中,有98人次認為個人信息安全是指在使用計算機時個人信息不泄露或不會被他人獲取;有74人次認為是信息網絡的硬件、軟件及其系統中的個人數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常的運行,信息服務不中斷;有63人次認為是日常生活中個人信息不被他人知道和竊取;有80人次認為是一切與個人有關的信息的保護。可見相當一部分大學生對個人信息安全的概念仍不清楚,不知道個人信息安全與計算機技術、網絡技術發展密切相關。
3)利用網絡搜索他人信息情況。291名被調查大學生中,有110人表示經常會利用網絡搜索他人信息,因為想解他人;有145人表示僅在有需要的時候偶爾會利用網絡搜索他人信息;有36人表示從不這樣,因為很無聊。三者比例分別占37.80%、49.83%和12.37%,說明大學生網搜他人信息行為總體正常。
4)網絡安全問題認知情況。291名被調查大學生中,有53人次認為破壞分子作偽裝繞過安全檢查屬于網絡安全問題,有128人認為網絡服務器因斷電停機屬于網絡安全問題,有83人認為因病毒導致系統癱瘓屬于網絡安全問題,有61人次認為偽造IP地址騙取其口令獲取對計算機的訪問權限屬于網絡安全問題。說明有近一半的大學生對網絡安全問題內涵不太清楚。
5)遭遇過哪些網絡安全問題。291名被調查大學生中,有121人次反映遭遇過垃圾郵件侵擾,有89人次表示受到過病毒攻擊,有119人次表示信息曾經被盜,有76人次表示遇到過其它形式的網絡安全問題。說明侵犯網絡信息安全的現象已經較多地影響到大學生。
6)個人信息泄露原因。291名被調查大學生中,有83人認為個人信息泄露最主要的原因是網絡普及管理不規范,有112人認為是法律不健全,存在個人信息買賣市場,有72人認為是學生個人信息安全意識薄弱,有69人認為是電腦病毒、木馬橫行。總體上表明大學生對個人信息泄露原因是有思考的。
7)對校內個人信息安全建設的滿意度。291名被調查大學生中,有182人對校內的個人信息安全建設表示滿意,有109人表示不滿意。說明校園個人信息安全建設盡管得到大部分大學生的認可,但仍有值得加強的地方。
8)對學校信息安全保障的期待。291名被調查大學生中,關于學校應當采取哪些措施保障個人信息安全,有114人次提出應該建設個人信息安全平臺并綁定個人,137人次提出應該加強后續處理監督,121人次提出應該加強對于學生信息安全教育。應該說學生們的期待是建立在關心信息安全基礎上的合理要求。
9)網絡安全信息技術了解情況。291名被調查大學生中,了解網絡信息安全技術的情況不太樂觀,有97人次表示知道密匙管理技術,有103人次表示知道數字簽名和認證技術,有141人次表示知道網絡入侵檢測和防火墻技術,有107人次表示了解電子商務安全技術。
10)獲取網絡信息安全知識的途徑。291名被調查大學生中,有131人表示從網絡獲得相關知識,107人表示從書籍上獲得,146人表示從課堂上獲得,123人次表示從新聞媒體上獲得。應該說大學生獲取信息安全知識的途徑是多方面的,基本上不存在獲取不到的困難,主要是看不看的問題。
11)提高大學生網絡安全意識的辦法。291名被調查大學生中,有121人次建議開設講座,97人次建議開主題班會,27人次提出發宣傳單,101人次提出通過網絡視頻。應該說,大家對提高網絡安全意識是有期待的,也希望有更多的渠道來加強個人信息安全保障。
綜合以上數據進行分析,調研組認為,我校大學生信息安全意識有待提高,盡管越來越多地利用網絡、自媒體進行交流、娛樂和學習,但主要精力花在如何從網上得到信息, 較少考慮如何在網絡環境下保護自己的信息。交談得知,不少學生會將自己的真實材料到網上, 碰到過QQ 密碼會被盜, 登錄口令過于簡單等現象。大學生信息安全防范知識和操作能力有待加強,盡管因為新聞宣傳、課堂教育等因素對防火墻、病毒等基本知識比較了解,但比較完全的網絡信息安全管理和防范知識知之不多,一些學生不會安裝操作系統、配置防火墻,不知道需要定期升級病毒防治產品, 不懂得如何更好的配置自己的計算機,也沒有掌握保護自身信息安全的基本防范技能。
三、對策建議
大學生的學習、生活和準備就業已經越來越離不開網絡,網絡的發展對當代大學生的思維方式、行為模式、心理發展、價值觀念和政治趨向等都產生了深遠的影響。在越來越多地參與網上購物,使用網上銀行等網上商務活動的過程中,涉世不深的大學生也日漸成為網絡信息盜取和網絡詐騙、網絡盜竊等違法犯罪行為的獵物,一些不良商家也通過盜取信息來達到不正當競爭的目的。作為學校要重視和提高大學生的網絡綜合素質,加強學生的網絡素質、網絡技能、實踐運用網絡綜合能力和網絡安全意識的培養,督促提高安全上網意識,學會使用殺毒軟件及防火墻,學會為別人也為自己提供一個安全和諧的網絡空間。具體有四個方面的建議:
1)加強大學生網絡法制教育。網絡安全教育一個不可忽視的方面是思想教育,這其中最重要的是法制教育。目前網絡犯罪是十分常見的包括網絡欺詐、網絡謠言的散播等。網絡的匿名性特點給了許多人一種“漠視法律的理由”,認為沒有具體監管就不算犯罪,其實不然。這體現的是網絡法制教育的缺失,所以教育學生們什么在網絡上是可以做的、是合法的,什么是不可以做的、是違法的是十分重要的,對維護網絡安全運行也是有重要作用的。
2)充分利用課堂教育普及網絡安全知識和技能。建議在計算機普及課程中除講授常用軟件知識外,增加計算機網絡安全知識,讓學生了解系統管理用戶、文件和其他硬件資源的安全機制。對網絡安全的基本理論知識和系統安全策略,如加密解密算法、防火墻的工作原理與作用、系統漏洞及修補方法、硬盤保護卡的工作原理與使用方法也要多加講授。同時,要加強對大學生的網絡安全法制教育,提高學生的網上自我約束能力、自控能力,不利用網絡散播其它同學和老師的私密信息,不參與網絡信息違法活動。
3)積極拓展課外空間,開展形式多樣的網絡信息安全防范活動。可以定期開設網絡安全知識專題講座,就課堂教學中不能深入講解的問題或薄弱環節,如網絡行為規范、個人計算機安全策略、計算機病毒的新動向、病毒查殺軟件的使用,引導有興趣、有需要的大學生深入學習并積極參與防范。 建議每年舉辦網絡安全知識大賽、網絡安全知識調查、網絡安全主題漫畫比賽等,豐富大學生的業余生活,實現以生教生,在校園中普及網絡安全知識,構建網絡安全防范的群防群治機制。
