时间:2023-09-20 16:58:29
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全的基本技术,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:计算机通信网络 网络安全 防范措施 安全技术
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2013)08-0177-01
近年来,计算机网络技术在我国得到了迅速发展。然而,计算机网络就如同一把双刃剑。在网络带来方便与高效的同时,也带来了诸多威胁,直接危害了人们的切身利益。随着各行各业对网络的依赖程度日益增高,紧随而来的计算机通信网络安全问题便日益突出。因此,计算机通信网络安全问题,更加值得我们加以讨论。
1 概述
所谓计算机通信网络安全,是指根据网络特性,通过采取相应的安全技术和措施,防止计算机通信网络中的硬件、操作系统、应用软件和数据等遭到自然或人为破坏,防止非特权用户窃取服务,从而确保网络的正常运行。
2 研究现状
国外对计算机通信网络安全的研究起步较早,研究力度大。上个世纪70年代,制定了“可信计算机系统安全评估准则”(TCSEC),之后又制定了关于网络系统数据库方面的安全解释,形成了安全信息系统体系结构准则。80年代初,将安全协议作为信息安全的重要内容。近年来,电子商务的安全性正处于研究和发展阶段,各种新型密码算法处于探索之中。
我国计算机通信网络经历了两个阶段:通信保密和数据保护,目前正在进入网络安全研究阶段。研究动向主要从安全体系结构、安全协议、现代密码理论、信息分析和监控及信息安全系统等方面,提出系统、完整、协同的解决计算机通信网络安全的方案。
3 网络安全
3.1 网络安全面临的威胁
计算机网络上的通信面临四种威胁:
(1)截获:攻击者从网络上窃听他人的通信内容。
(2)中断:攻击者有意中断他人在网络上的通信。
(3)篡改:攻击者故意篡改网络上传送的报文。
(4)伪造:攻击者伪造信息在网络上传送。
其中,截获信息的攻击称为“被动攻击”,更改信息和拒绝用户使用资源的攻击称为“主动攻击”。
3.2 网络攻击的特点
计算机通信网络受攻击有以下四个特点:
(1)造成的损失巨大。如系统无法正常运行、重要数据丢失、个人信息资料被盗窃等现象。
(2)威胁社会和国家安全。如国家军事部门、政府部门、财政部门国家重要隐私被盗窃,会对国家安定造成无法想象的威胁。
(3)攻击手段多样,手法隐蔽。攻击者通过隐蔽的手段监视被攻击者,从而获取机密信息。窃取、监听过程时间短暂,不易被察觉或者追踪。
(4)以软件攻击为主。攻击者依据网络存在的漏洞或者存在的安全缺陷,对软件进行攻击,导致系统数据丢失、改动,甚至被破坏。
3.3 网络安全隐患存在原因
计算机通信网络安全隐患的存在有四点原因:
(1)系统自身原因。包括网络的开放性、软件的漏洞以及脆弱的TCP/IP服务。
(2)网络传输信道上的安全隐患。如果传输信道上缺少相应的电磁屏蔽措施,信息在传输过程中向外产生的电磁辐射,将会被专门的设备接收,而留下安全隐患。
(3)人为因素。包括内部人员有意识或无意识的泄密、网络黑客入侵以及计算机病毒的传播。
(4)其他原因。如防范技术、管理制度不健全;不可抗拒自然灾害;意外事故等损害。
4 防范措施
针对影响计算机通信网络安全的因素,我们可以提出相应的防范措施。
(1)提高计算机系统的自身性能。研发设计计算机系统时,全面地考虑通信网络安全。设计网络系统时,要考虑到数据的保密性,完善通信协议,尽可能减少系统漏洞,发现漏洞及时更新系统。
(2)强化网络安全教育。加强对计算机内部管理人员的网络安全教育,定期开展网络安全研究,进行技术交流和学习,多积累实践经验。
(3)制定网络安全策略,严格贯彻实施。完善的网络安全策略,为保护网络安全提供基本的方式方法。
(4)提高保护网络安全的技术。
5 网络安全相关技术
为了实现对计算机通信网络安全的保护,最主要的还是技术上的保证。主要技术有:
(1)密码技术。密码技术的基本思想是伪装信息,对数据进行加密。密码技术是为了提高信息数据的安全性和保密性,防止机密数据被外部破译,而采用的主要技术手段之一。密码技术由明文、密文、算法和密钥构成。密码基本类型有三种:移位密码、代替密码和乘积密码。在实际加密过程中,往往将上述三种密码多次变换迭代使用。
(2)防火墙技术。防火墙是网络安全的第一道门槛,它在互联网与内联网之间建立了一个安全的网关,控制出、入网络的权限,迫使所有连接都经过检查。它具有通过鉴别、限制、更改跨越防火墙的数据流,来实现对网络的安全保护。防火墙技术包括数据包过滤技术、应用网关和技术三类。
(3)入侵检测技术。防火墙可以保护内部网络不受外部网络的攻击,但是,它无法完善的监控内部网络的非法活动,而入侵检测系统则是防火墙的合理补充,它提供了对内部、外部攻击和误操作的实时保护,能够在网络受到危害前拦截并响应入侵,提高了网络安全性。
(4)用户识别技术。常用的识别方法有口令、唯一标识符、标记识别等。该技术使网络具有判断是否允许用户存取数据的能力,从而避免了非法传送、复制、篡改数据等现象的发生。
(5)虚拟专用网(VPN)技术。通过一个公用网(通常为因特网),建立一个临时、安全的连接。它通过安全的数据通道,将远程用户、公司业务伙伴、公司分支机构等,同公司的内网连接起来,成为一个扩展的公司企业网。
关键词:网络安全;教学改革;主动学习;任务驱动
一、引言
随着计算机网络的高速发展,人们对计算机网络的依赖性日益增强,越来越多的信息和重要数据资源存储和传输于网络当中,通过网络获取和交换信息的方式已成为当前最主要的信息沟通方式之一。计算机网络的使用平台涵盖了社会的各行各业,如电子商务、电子政务、网络银行等。然而,网络安全威胁也日益增多,黑客入侵、拒绝服务攻击(DoS)、分布式拒绝服务攻击(DDoS)以及计算机病毒的广泛传播使得网络安全技术成为了信息技术领域的重要研究课题。高等院校为了适应时代的发展,必须加强大学生对计算机网络安全技术的学习,培养出符合社会要求的新型网络安全方面的人才。
二、《网络信息安全》课程的教学目标
在现代信息化的社会当中,网络安全问题已成为各国政府普遍关注的问题。目前,国内的大部分高校都已开设了网络信息安全方面的课程。《网络信息安全》课程的目的,一方面是为了使学生掌握网络安全的基本原理以及保障网络安全的主要技术和方法,培养网络信息安全方面的专业全才;另一方面在于加强学生的网络安全意识,培养学生在实际工作和生活中解决一些网络安全问题的实用人才,使学生能够更好地满足社会和企业的基本要求。
《网络信息安全》课程的教学目标是使学生在已有的计算机原理和计算机网络原理等理论基础上,对网络信息安全方面的理论知识以及计算机网络安全系统有一个比较系统的、全面的了解。通过本课程的学习,使学生了解和掌握计算机网络信息安全的基本概念、基本原理和工作方式,了解设计和维护安全的网络及其应用系统的基本手段和常用方法,包括密码技术、IDS技术、网络攻击技术、PKI技术、常见的网络病毒与网络黑客的防范技术、实现安全服务的方法和策略以及如何构建一个网络安全体系。
三、《网络信息安全》课程的特点
《网络信息安全》是一门国家重点发展的新兴学科,它涉及到计算机、数学、通信、电子、物理、法律、教育等学科的交叉领域,它既可以说是附属于计算机学科,又可以说是一门独立的学科。《网络信息安全》这门课程注重理论与实践相互关联,其涉及的新技术、新概念、新问题以及新方法日新月异,发展极为迅猛。《网络信息安全》作为一门课程本身具有以下特点:
第一,知识覆盖面广,知识更新快。《网络信息安全》课程包括许多方面的理论知识:密码学、网络体系结构、防火墙、IDS(入侵检测技术)等,它又涉及到网络安全原理、网络安全标准、黑客入侵以及计算机病毒的防治等,范围非常广。与此同时,网络攻击手段与网络防范技术此消彼长,要想保证系统处于安全状态,必须要保证网络安全技术实时更新,才能更好地防患于未然。
第二,学生主体的多样性和复杂性。高校一般拥有计算机网络安全专业的学生和其他非计算机专业的学生,学习的主体具有多样性和复杂性的特点。计算机网络专业的学生是未来计算机网络安全维护的主要技术力量,需要深入理解、掌握并且能够熟练应用网络信息安全方面的知识。而非计算机专业的学生是面向社会的计算机实用性人才,一般而言只需要掌握计算机网络安全的基本知识,切实提高自身的网络安全意识。
第三,实践性强。学生要想掌握《网络信息安全》这门课程的基本原理和技术应用,不仅需要拥有良好的预备知识,例如计算机网络的基本原理、操作系统、数据通信等,还需要开展一定程度的实验课程。《网络信息安全》的课程不能离开实践,否则只能是纸上谈兵,让学生兴趣索然。例如防火墙的配置的实验,学生只有实际地动手操作,才能深刻地领会其工作原理,掌握其工作方式。
四、《网络信息安全》教学改革的探索
在新一轮的教学改革背景下,为了达到《网络信息安全》课程设置的目的,就必须改变传统的教学方法。针对《网络信息安全》课程的特点,必须在教学模式、教学手段、实验手段以及考核方式上进行变革。
1.教学模式的改革。在《网络信息安全》的课程当中,教师应该采用创新的教学模式,切实提高教学质量。在以往的传统教学模式中,教师常常“满堂灌”,学生只是被动地接受而缺乏主动地进行思考。因此,在《网络信息安全》的课程教学改革中,教师要积极推行启发式教学,在课堂上加强和学生的互动,充分调动学生的学习积极性,通过“启发式”、“互动式”、“案例式”以及“课堂提问”等形式,引导学生积极参与到课堂的教学当中,使学生积极主动地思考,提高学习质量。
2.教学手段的改革。《网络信息安全》这门课程中涉及的概念较为抽象,十分琐碎而又环环相扣,内容比较晦涩难懂,因此,教师必须采用一些现代化的教学手段,提高学生学习这门课的兴趣。针对计算机专业的学生和非计算机专业的学生,教师应选取不同的角度去阐述知识,划分不同的学习内容。随着计算机网络和多媒体技术的不断发展,教师可以充分利用多媒体和网络课程相结合的教学手段增强学生的感性认识和学习兴趣,利用幻灯片、动画、影片等更直观地呈现出所授的知识内容。这种教学手段有利于学生在有限的时间内学到更多的知识,能够实现以学生为中心的情景式教学方式,加强老师的教与学生的学的交流。在《网络信息安全》的教学过程中,教师应该尽量避免枯燥的文字解读,应多采用任务驱动法、案例法等进行实时教学。例如在教授关于黑客进行网络攻击的模块时,教师可以使用仿真黑客模拟工具的方法修改学生的计算机密码,让学生意识到网络安全的重要性,同时也使得课堂更富有实际意义。
3.实验手段的改革。高校首先需要对实验环境进行改进,《网络信息安全》的许多实践课程都需要在实验过程中才能更好地被学生所理解。因此,学校必须建立一个专门的计算机网络安全实验室,构建一个小型的局域网络,并且搭建专门的网络安全实验平台。其次,需要建立完善的实验室制度。《网络信息安全》的实验课程大都是对一些黑客软件的应用,由于黑客软件具有一定的攻击性,难以监控每一个学生的操作,所以在安排实验课程时要有严格的管理制度,要达到专人专机,建立严格的登记制度。对于黑客仿真软件的使用,教师要严格管理其使用过程,避免部分学生因为好奇心驱使而攻击一般网络。另外,高校可以在《网络信息安全》的实验教学中利用虚拟机技术来解决实验中所产生的网络安全问题。最后,高校可以在实验室中建立专用的安全工具资源数据库,以便于学生进行网络安全的自主学习和自由操作。
4.考核方式的改革。教师在设置《网络信息安全》课程的考核方式时,首先必须要明确大学教育的主要目标不是为了考试的高分,而是为了增强学生的各项技能,提高学生解决实际问题的能力,通过考核使学生对自己的能力有一个正确的认识,能够及时更正自己的学习方法和思维模式。针对《网络信息安全》这门课程的课程性质,教师应该以实际动手能力测验为主,以书面考试形式为辅进行综合测评考核。考核形式可以让学生通过团结合作或者分组讨论去完成一些网络安全维护的项目,将考核变成一个实际的操作任务,提高学生在处理网络安全问题时的能力,增加课程的学习乐趣,以此达到更好的学习效果。
五、结束语
随着社会的发展,信息安全技术必然会成为维护社会稳定的必要技术之一。因此,深入研究《网络信息安全》课程的改革方法,培养高素质、高能力的网络安全技术专才势在必行。《网络信息安全》课程的教学改革,不仅要提高学生对计算机网络安全的使用能力,而且要增加学生的社会竞争技能。针对不同需求的学生群体,高校应积极探索有效的方法对该课程进行改革,以此来加强网络安全课程的教学效果,提高课程教学质量,形成完整的计算机网络安全教学体系。
参考文献:
[1] 陈晓峰.浅析大学计算机网络安全课程教学改革[J].教育界,2013,(28).
[2] 黄剑华,马婷.信息安全课程教学模式的探索与创新[J].科技信息,2012,(13):226.
[3] 焦燕.高校计算机网络安全课程教学改革初探[J].管理学家,2014.
[4] 习军.高校计算机网络安全课程教学改革与探索[J].科学导报,2015.
[5] 尹少平.谈大学网络安全课程教学与实训[J].电脑知识与技术,2006,(20).
【关键词】基础教育 校园网络 安全现状 中期报告
一、课题研究情况
1.课题研究背景
随着教育信息化的不断发展,以及我国三通两平台的不断建设,绝大部分中小学都建立了自己的校园网,教育部2012年印发的《教育信息化十年发展规划(2011-2020年)》更是将我国教育信息化的发展进一步细致深化。而校园网络建设作为教育信息化的基础工程,直接影响着教育信息化进展及效果。随着互联网的随着互联网的迅速普及和校园网络建设的不断发展,以及我国在教育信息化中一系列重大工程的实施,各大中专院校及中小学相继建成或正在建设校园网络。教育部在《2016年教育信息化工作要点》中也指出“实现全国中小学互联网接入率达到95%,中10M以上宽带接入比例达到60%以上为学校”。可见在基础教育校园网络已经成为教育信息化建设的重要组成部分。
但是,不容忽视的是,基础教育阶段对于网络安全的重视程度也还较低,甚至根本无基本的网络安全意识。因此,本课题通过研究J市基础教育网络安全现状,希望发现基础教育网络安全常见的安全问题,并提出相应的策略。
2.课题研究目标。
本课题旨在研究区域范围内的基础教育校园网络安全基本情况,进而了解当前基础教育在信息化过程中面临的网络安全问题。通过调查研究,结合数据分析,分析当前基础教育校园网络的基本情况及存在的安全隐患,对本地基础教育校园网络的基本情况进行总结分析,掌握基础教育校园网络所面临的主要安全问题,并针对基础教育校园网络的实际情况,提出可行的网络安全防范措施,为基础教育校园网络安全提供参考,并期能为本地基础教育校园网络建设提供参考数据。
3.课题研究主要内容
(1)掌握当前J市基础教育校园网络的基本状况和网络应用现状;
(2)分析当前基础教育校园网络安全的基本情况及面临的安全风险;
(3)影响区域内基础教育校园网络安全状况的成因分析;
(4)针对基础教育校园网络安全的状态提出相关建议及意见;
(5)总结当前基础教育校园网络安全现状,提出在基础教育校园网络环境下可行的网络安全防范措施。
二、课题研究已取得成果
1.完成网络安全相关理论学习
通过集体学习和分散学习相结合的方法,通过中国知网、相关书籍学习,学习网络基础知识。通过理论学习,从理论层面上引导课题成员对课题产生背景、科学依据、教育思想、实践价值全面把握,加深课题成员对于网络知识的理解与应用,并了解基础教育网络安全的重要性。
2.编制调查问卷,进行调查研究
结合前期理论学习,参考大量文献资料,课题组完成了《基础教育校园网络安全现状与对策研究》调查问卷的编制。整个调查问卷分为三大部分,第一部分是对校园网络整体情况的了解,主要研究校园网络拓扑结构及硬件构成;第二部分主要针对校园网络安全状况进行调查,主要包括实体安全、软件安全、管理安全等方面;第三部分主要调查校园网络应用情况,对于校园网络在教育中的应用情况进行调查。其中,第二部分是问卷的核心,通过实体与环境安全、组织管理与安全制度、安全技术措施、网络与通信安全、软件与信息安全、无线网络安全几个维度展开调查,对基础教育校园网络安全现状进行详细的调查研究。
三、课题创造性成果说明
结合实际情况,本研究创新之处是预期能够发现当前基础教育信息化中校园网络建设中存在的一些主要问题,发现当前基础教育校园网络安全面临的主要困难,能够针对当前基础教育信息化中校园网络安全现状提出合理的建议,引起大家对于基础教育信息化中校园网络安全问题的关注。
1.基础教育校园网络常见安全隐患
(1)无专业网络管理人员
调查研究中发现部分学校无专门的校园网络管理人员。网络管理人员由非专业人员担任。
(2)无专用的网络机房
调查过程中发现,部分学校甚至没有专门的网络中心。校园网络核心设备摆放环境随意,无任何安全措施。同时设备之间的链接也比较混乱。
(3)网络安全意识淡薄
基础校园网络由于起步迟、发展慢等原因,目前在基础教育校园网络环境中,校园网络安全意识还较淡薄,整体上对于校园网络安全并无相关概念。
2.基础教育校园网络安全常见措施
(1)强化网络安全教育,完善网络管理制度
先进的技术和设备都需要合理的应用。因此首先要从意识上重视校园网络安全,只有具备了校园网络安全意识和完善的制度,才能合理应用相关的设备、技术。
(2)设置合理的访问策略
【关键词】大学生;网络安全意识;现状与对策
1大学生网络安全意识现状
随着网络技术的迅速发展和广泛使用,网络对政治、经济、文化等都产生了深远的影响。网络已成为当代大学生学习知识、交流思想以及休闲娱乐的重要平台。目前,大学生已成为使用网络技术的主力军。互联网是一个信息宝库,但同时它也是一个信息的垃圾场:黄色、暴力、迷信等不良信息以及虚假信息无时无刻地充斥在网络当中。这些不良信息给大学生造成心理甚至生理上的危害,如何有效的地提高大学生的网络安全意识问题也成为了当代高校中一个亟需解决的问题。
2问卷调查设计
2.1调查方法
本次调查主要采用问卷调查法,自行设计调查问卷,共30道题目,问题以封闭性单选题为主,兼有少量的多选题问题。整套问卷由两大部分组成:学生平时上网时遇到的网络安全方面的问题的基本情况(12个问题),网络安全的基本知识和技能(18个问题),后者又包括两个方面的内容,一是相关的网络安全知识;二是当遇到网络安全问题时采取的防范措施。
2.2调查对象
本调查对象主要面向的是大三和大四的计算机科学与技术专业(网络技术方向、信息安全方向)本科,软件工程专业本科、信息管理与信息系统专业本科和专升本的学生,通过在网络上进行问卷调查,共得到有效问卷280份。
2.3调查结果
(1)样本情况
在280份的有效问卷中,男女生比例为3:2,专业班级主要包括计算机科学与技术(网络技术方向、信息安全方向)本科,软件工程专业本科、信息管理与信息系统专业本科和专升本。其中,98.6%的学生有两年以上的上网经历。
(2)学生上网的基本情况
统计结果显示,85.5%的学生拥有自己的电脑且每天平均上网时间为3-4小时;78%的学生对网络的依赖性程度为高,而30%对网络的依赖性程度为中等,仅有2%的学生对网络的依赖性程度为低;当问及是否有网购的经历时,78.6%的学生选择有且经常,20%的学生选择的是有但偶尔,而只有1.4%的学生选择的是没有;75%的学生遇到过网络诈骗的经历;81%的学生有网络工具被盗的经历;当问及是否有QQ号码、Q币、游戏装备等虚拟财产被盗的经历时,25%的学生选择的是有,且被盗财产的估价在100-300元;45%的学生反映曾经有过因在网络上泄露个人资料而带来个人损失的经历;在公共场所使用网络工具后,25%的学生有习惯检查账号退出或注销的习惯;32%的学生的电脑感染计算机病毒的次数为三次以上。
(3)网络安全知识情况
本次调查表中列出的网络安全知识包括物理安全、网络系统安全、信息内容安全以及信息基础设施安全。对于防火墙、杀毒软件等的使用问题上,46%的学生懂得如何使用。而在问及是否经常更新下载系统补丁以及是否知道补丁的作用时,仅有38%的学生选择知道。在收到朋友发来的电子邮件并发现其中有意外附件时,64%的学生选择了先杀毒后打开,55%的学生反映当收到垃圾邮件时立即删除。
(4)网络安全经历与防范措施情况
对于是否相信并参与在网上举办的活动、公布新产品和打折信息以及招聘信息等类似的活动,26%的学生选择存有疑虑,但有时会参加。在问及通常情况下是否愿意透露或填写的信息包括哪些时,56%的学生选择了自己的基本信息(姓名,性别,年龄等),证件号码(学生证,身份证),电话号码,QQ,邮箱以及住址。对于电脑感染病毒后是如何处理的,45%的学生选择了立即使用专业杀毒软件杀毒,20.6%的学生选择了上网下载杀毒软件查杀,29%的学生选择了重装电脑。当问及到在遭遇网络欺诈时应该如何应对时,83%的学生选择了保存好相关证件等、及时向网络安全监察部门报案、以后多学习网络安全方面的知识,提高防范意识。而17%的学生选择了自认倒霉,不去维护自己的权利。
3调查结果分析
3.1网络安全意识有待加强
从问卷调查的结果可以看出,目前大学生经常利用网络来获取信息资料、与朋友交流、在线娱乐等。可见,Internet在大学生的生活学习中扮演着越来越重要的角色。大学生主要想到的是自己如何从网络上获得信息,较少考虑如何在网络环境下保护自己的隐私。例如:将自己的真实资料到网络上;社交网站频繁使用;账户口令采用弱口令甚至是空口令。出现这样的情况的主要原因是因为他们缺少最基本的网络安全意识,为了从根本上维护大学生的切身利益,提高当代大学生的信息安全意识势在必行!
3.2网络安全知识和操作能力有待加强
大学生对于网络安全知识有一定的了解,比如对于防火墙、计算机病毒等网络安全方面的基本术语,但当问题设计到实际操作能力时,调查结果并不太理想。很多学生不会配置防火墙、不知道需要定期升级病毒防治产品,不知道定期为系统打补丁,不懂得如何更好的配置自己的计算机。因此,学生对信息安全的理解仅仅停留在表面上,对专业技术方面的理解还有待加强。
4加强大学生网络安全意识的对策
4.1举行网络安全方面的专题知识讲座
网络安全专题知识讲座不仅可以培养大学生的网络安全意识,而且有利于引导大学生切实关注网络安全问题。讲座可以从不同的方面为大学生讲解关于网络安全的不同知识和应用,例如:网络安全的基本内容,密码学的相关知识,身份鉴别、数字签名机制,网络黑客,计算机病毒,防火墙的工作原理、入侵检测技术等。
4.2开设网络安全相关课程
为了增强学生的网络安全意识,高校应该开设一些关于网络安全的课程,使学生对网络安全方面的知识有一个比较系统的掌握。学校要积极引进信息安全方面的高材生,优秀硕士、博士生,使学生能够学到最新的网络安全知识,掌握较强的网络安全技能,切实提高学生网络安全方面的知识和技能。
4.3举行网络安全宣传月(周)活动
高校可以通过广播、校园网络、校报、宣传栏等多种形式媒介对大学生进行网络安全知识、计算机法律法规以及网络伦理道德教育,使学生树立对网络安全的重视,自觉地关注网络安全方面的知识。
4.4举行网络安全技知识竞赛
高校可以定期或不定期组织班级、社团等开展关于网络安全基础知识技能的竞赛,普及网络安全方面的知识,培养大学生的创新意识与团队合作精神,增强大学生的信息安全意识。
4.5开展有关法律法规的知识普及
结合网民有关计算机的法律法规,如《计算机信息系统安全保护条例》、《计算机病毒控制条例》、《计算机软件保护条例》和其他法律中关于惩罚计算机犯罪的条款,使学生对这些法律、法规和条例等有一个比较清楚的认识,增强其法律意识,使学生认识到网络并不是一个完全自由的空间,应该遵循网络法律,做一个合法的网民。
5结语
Internet正在改变着大学生的学习模式和思维模式,影响他们世界观、价值观的形成,加强网络安全教育能够保证大学生身心健康发展,并最大限度地保证学生免受网上不良信息的侵害,避免学生自身违法犯罪的发生。目前国内大学生的网络安全教育仍处于探索阶段,本文通过分析、研究来自在校学生的问卷调查数据,为大学生的网络安全教育提出了一些有益的建议。
参考文献:
[1]高楠,顾红欣,张久诗.浅析大学生网络安全意识现状调查及对策[J].吉林画报新视界,2013,(1):11~12.
[2]黄云峰.计算机黑客与网络安全对策[J].安高等专科学校学报,2001,(3):25.
[3]李保敏,徐卫军.计算机网络安全策略与技术的研究[J].安陕西师范大学学报,2003,(1):75~78.
[4]刘飞.对高校信息安全教育之思考[J].群文天地,2012,(3):167~168.
[5]卢伟.大学生网络安全意识现状与对策研究[J].山东行政学院山东省经济管理干部学院学报,2009,(3):139~140.
关键词:电子商务、网络安全、商务交易安全、安全协议
电子商务的发展前景十分诱人,而其安全问题也变得越来越突出,如何建立一个安全、易用的电子商务应用环境,对信息提供足够的安全保护,已经成为广大互联网络用户十分关心的问题。
电子商务就是利用IT技术来传输和处理商务信息,电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。本文将重点讨论这两个方面的实现方法。
一、计算机网络安全
计算机网络安全不仅包括网络的硬件、网络的软件,也包括共享的资源和网络服务等,所以定义网络安全应考虑涵盖计算机网络所涉及的全部内容。按ISO给出的计算机安全定义:“保护计算机网络系统中的硬件,软件和数据资源,不因偶然或恶意的原因遭到破坏、更改、泄露,使网络系统连续可靠性地正常运行,网络服务正常有序。”可见计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
构成计算机网络不安全的因素很多,其中包括人为的因素、自然的因素和偶发的因素。其中,人为因素是指,一些不法之徒利用计算机网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源,非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。自然因素是指计算机系统硬件和通讯设施极易遭受到自然环境的影响,如:各种自然灾害,如地震、泥石流、水灾、风暴、建筑物破坏等,对计算机网络构成威胁。偶发性因素如电源故障、设备的机能失常、软件开发过程中留下的某些漏洞等,也对计算机网络构成严重威胁。此外管理不好、规章制度不健全、安全管理水平较低、操作失误、渎职行为等都会对计算机信息安全造成威胁。在这些不安全因素中,人为因素是对计算机信息网络安全威胁最大的因素。
计算机网络的不安全性主要原因是互联网是网络的开放性、网络的国际性和网络的自由性。网络的开放性是指网络的技术对全世界都开放的,使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。网络的国际性导致了对网络的攻击不仅是来自于本地网络的用户,还可以是互联网上其他国家的黑客,所以,网络的安全面临着国际化的挑战。网络的自由性是指大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,和获取各类信息,任何单位或个人都可以在网上方便地传输和获取各种信息,互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。
计算机网络对安全性的要求提出了五个基本特征:保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。可控性:对信息的传播及内容具有控制能力。可审查性:出现的安全问题时提供依据与手段。
如何使计算机网络具有这五个方面的基本特征,可以采用以下一些网络安全防范技术:
利用虚拟网络技术,防止基于网络监听的入侵手段;利用防火墙技术保护网络免遭黑客袭击;利用病毒防护技术可以防毒、查毒和杀毒;利用入侵检测技术提供实时的入侵检测及采取相应的防护手段;安全扫描技术为发现网络安全漏洞提供了强大的支持;采用认证和数字签名技术:认证技术用以解决网络通讯过程中通讯双方的身份认可,数字签名技术用于通信过程中的不可抵赖要求的实现;采用VPN技术。我们将利用公共网络实现的私用网络称为虚拟私用网VPN;利用应用系统的安全技术以保证电子邮件和操作系统等应用平台的安全。使用这些技术保证了计算机网络的在通信方面的安全。
二、商务交易安全
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。要实现商务交易安全,须从网络所采用的安全协议来实现,其中SHTTP、SSL、IPSec、SET和S/MIME。
1、SHTTP
SHITP是应用层加密协议,它能感知到应用层数据的结构,把消息当成对象进行签名或加密传输?它不像SSL完全把消息当作流来处理?SSL主动把数据流分帧处理?也因此SHTTP可提供基于消息的抗抵赖性证明,而SSL不能?所以SHTTP比SSL更灵活,功能更强,但它实现较难,而使用更难,正因如此现在使用基于SSL的HTTPS要比SHTTP更普遍?
2、IPSec
它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证头协议 AuthenticationHeader(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Exchange(IKE)和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。它具有不可否认性、反重播性、数据完整性、数据可靠性(加密)和认证等几大特性。
3、SSL
SSL(Secure Sockets Layer 安全套接层),SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层:SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
SET和S/MIME这两种协议应用较少,其中SET仅适于信用卡支付,S/MIME是应用层专保护E-mail的加密协议。
计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。
参考文献
[1]《网络设计基础》21世纪网络工程丛书编写委员会编,北京希望电子出版社2003.4
[2]《Cisco互联网络设计》[美]Matthew H.Birkner编著,潇湘工作室译,人民邮电出版社2009.9
关键词:信息安全专业;网络与网络安全课程群;工程训练;自主学习
1研究背景
随着网络及信息技术的发展,网络和信息安全风险日益增长。在全球范围内,计算机病毒、网络攻击、垃圾邮件、系统漏洞、网络窃密、虚假有害信息和网络违法犯罪等问题日渐突出。据有关国家信息安全机构统计,我国每年被黑客攻击的网页达10万数量级,钓鱼网站数量占世界总量比例偏高,位于我国的僵尸网络的肉鸡数量位于世界的前列,分布式拒绝服务的受害者数量非常庞大。如何保证网络的安全性,已经成为全社会关注的问题。如应对不当,可能会给我国经济社会发展和国家安全带来不利影响。提升网络普及水平、信息资源开发利用水平和信息安全保障水平,是国家近年来的信息化发展战略之一。
社会对网络安全人才的需求量在不断扩大,急需大量具有扎实理论基础并受过良好工程实践训练的网络安全人才。培养网络与网络安全人才,对推动国家的网络与信息安全工作有重要意义[1-4]。如何使高校的本科生教育与社会需求接轨,为社会培养有用的网络安全技术人才,是我们在网络与网络安全课程体系建设中需要考虑的重要问题。
本文主要围绕北京工业大学信息安全专业建设情况,对网络与网络安全课程群的设置与建设情况进行详细介绍,探讨网络与网络安全课程群的教学方法和实践教学改革思路。
2网络与网络安全课程群设置
北京工业大学信息安全专业于2003年在计算机学院成立,到2005年,建成了具有初步规模的信息安全专业教学与实验环境。近几年来,在国家和北京市的支持下,专业建设取得突飞猛进的进步。2007年,本专业被教育部批准为第二类特色专业建设点,2008年被北京市教委批准为特色专业,2010年被评为北京市重点学科。网络安全是北京工业大学信息安全交叉学科的一个重要研究方向。
在沈昌祥院士的带领下,信息安全专业以“立足北京、服务北京”为基本办学定位,加强课程体系和教材建设,强化实践教学,紧密结合国家和北京市的经济社会发展需求,推进专业建设与人才培养。该专业逐步形成了满足培养国家和北京市经济和行业发展急需的信息安全专业创新型应用人才需求的教学体系。网络与网络安全课程群是我校信息安全专业建设的一个重要内容,该课程群主要培养信息安全系本科生在网络与网络安全方面的理论基础和实践能力[5-7],要求学生掌握网络和网络安全基本理论知识,学会规划网络和配置网络,并具备使用防火墙、VPN、病毒防治等工具维护网络安全的能力。在课程群的课程教学内容安排上,充分体现由易到难、由浅入深的教学规律,并注重理论与实践相结合的原则,图1展示了信息安全专业课程的拓扑图,其中网络与网络安全课程群设置用灰色阴影文本框表示。
现行的信息安全专业的本科教学计划包括计算机网络基础、计算机网络基础实验、路由与交换技术、网络设计、网络安全防护、信息安全体系结构、信息安全标准、安全协议、安全协议课设、计算机病毒防护、无线网络安全、防火墙技术、应用服务器安全等系列课程,建立了一定规模的实验环境。为了更好地安排上述课程群的教学内容,我们结合信息安全专业不同年级学生的特点,进一步制定每一年的教学目标,使整个课程群的教学内容成为一个有机整体。
针对一年级学生,主要是培养学生的学习兴趣和奠定专业基础。计算机网络基础是为信息安全专业新生开设的第一门专业课程,在信息安全整个课程体系以及网络与网络安全系列课程群中起着举足轻重的作用。这门学科的内容博大精深,涉及到众多的概念、原理、协议和技术,它们以错综复杂的方式彼此交织在一起。为应对计算机网络在内容上的广阔度和复杂度,使学生能够在学习整个体系结构中某部分的具体概念与协议的同时,也能够掌握每一层协议在整个网络系统中所处的地位和作用,我们采用自底向上和自顶向下相结合的方法。该方法能够使学生在对计算机网络的概念、原理和体系结构有深入了解的基础上,又能对协议和技术及其内在联系有一个全局的掌握,形成比较系统的知识体系。在该课的基础上,第二学期开设的计算机网络基础实验课程加深学生对计算机网络各层协议功能和基本工作过程的理解与掌握,以验证性和演示性实验为主,培养学生的学习兴趣,使学生在一年级就能轻松接触到网络相关知识。
针对二年级学生,我们开设了路由与交换技术、网络设计、网络安全与防护,培养学生在组网和网络配置方面的能力,同时使其了解网络面临的安全威胁,并具有简单的安全防护知识。通过路由与交换技术课程的学习,学生将了解路由与交换的基本知识,掌握各种路由与交换技术的特点及其基本原理,培养学生的局域网组网与管理能力,使学生能够根据具体环境和应用目的设计合理的拓扑结构,组建网络,并具备解决网络中常见问题的基本技能。网络安全与防护使学生了解企事业网络中存在的威胁,掌握安全评测的基本理论与方法,掌握网络安全策略的设计与实现、安全事故处理的基本方法。通过该课程学习,学生将学会网络安全防护的方法,为学生从事企业安全网络设计与网络管理等工作打下一定的基础。
针对三年级学生,为了加深他们对网络安全知识的理解,我们开设了信息安全体系结构、安全协议、信息安全标准课程。信息安全体系结构课程围绕如何构建一个安全的信息系统,并对构建安全体系结构的关键三要素(技术、管理和人员)之间的关系进行了详细阐述。使学生掌握信息安全体系结构中的基本概念、基本理论、基本方法,在整体上认识构建一个安全的信息系统需要解决的主要问题,通过结合具体的应用案例分析,提高学生的综合设计、分析和解决问题的能力。安全协议课程使学生能够对网络安全协议有一个系统全面的了解,掌握各层安全协议的概念、原理和知识体系,在实践中学会应用网络协议知识分析解决各种网络安全问题。课程包括了许多网络安全的案例分析,让学生将课堂理论与应用实践紧密结合起来,学会解决实际应用中的工程技术问题,了解设计和维护安全的网络及其应用系统的基本手段和常用方法。通过信息安全标准的学习,学生对国际和国内信息安全领域制定的相关标准方面有一个基本的了解,并重点学习几个信息安全领域中的核心标准。
针对四年级学生,注重对其网络与网络安全工程实践能力和创新能力的培养,通过一些能反映网络与网络安全最新发展情况的计算机病毒防护、无线网络安全、防火墙技术、应用服务器安全等专业选修课程,开阔学生的视野,为学生实习和就业打下基础。计算机病毒防护课程既注重对病毒基本概念、作用机制和防治技术的阐述,又力求反映病毒防治技术的新发展,既兼顾课程的深度,又有一定的广度。通过学习该课程,学生将掌握防治计算机病毒的基本理论和基本技术,为进一步深入学习网络安全课程奠定了良好的基础。无线网络安全课程则使学生对无线通信系统及其安全有比较全面的了解,初步掌握无线通信的分类和各种类别的基本原理,以及无线网络环境中的安全措施,为今后适应层出不穷的无线网络应用打下基础。防火墙技术课程使学生理解防火墙的基本知识,掌握防火墙的体系结构、关键技术以及构建、配置防火墙的基本方法,并对防火墙技术的未来发展方向有一定的了解。应用服务器安全课程主要讲解计算机应用系统面临的安全风险、应用安全涉及的相关技术和手段(包括数据存储技术及其安全)、应用系统安全解决方案以及方案的典型实现。通过该课程的学习和实践,学生能够基本掌握设计计算机应用系统的安全方案应考虑的若干方面,能够从系统的角度看待安全问题,并能综合利用几年来所学的安全知识解决系统的安全问题。
3网络与网络安全课程群教学方法改革
在网络与网络安全课程群的教学中,我们强调理论与实践相结合的教学方法,在抓好理论教学的同时,强化实践教学,形成了工程训练、自主学习、创新培养并举的特色教育理念。鉴于在实践教学和创新能力培养方面的有力措施和突出成绩,我们在2010年获得了北京工业大学优秀教育成果一等奖。
3.1强化实践教学,提高学生的工程实践能力
2007年,信息安全专业对实践教学计划进行了全面修订,包括增加实践教学环节的学分比例、提高综合性与设计性实验比例、设置自选设计环节、强化综合设计和毕业设计环节、加强对实践教学体系各个环节的规范化管理。
针对某些比较重要的理论课程,如计算机网络基础,我们设置了专门的实验课程――计算机网络基础实验。针对技术性比较强的课程,我们设置了课内实验,做到理论与实践相结合。例如对路由与交换技术、网络安全与防护、安全协议、防火墙技术、计算机病毒与防护、应用服务器安全等选修课程,我们设置了课内实验(包括设计性实验和综合性实验),使学生掌握高级网络技术和具备维护网络安全的技能。
课程设计是锻炼学生系统设计能力的好机会,我们设置了安全协议课设课程。学生以小组形式进行课设,每个小组选出组长,负责一些协调工作,提高团结协作能力,使同学间互相帮助、取长补短、共同进步。
信息安全专业实习、信息安全综合设计和毕业设计是信息安全专业比较重要的实践环节,是促进学生综合运用所学知识解决实际问题的关键。我校信息安全专业与太极、瑞星等单位建立了校内外实习基地,为学生提供了实习条件。信息安全综合设计和毕业设计使学生能够有机会参加一些工程项目的研发。综合设计题目与内容选取有一定的工程实际背景,体现应用性、先进性、综合性。毕业设计的题目主要来自企业或学校的科研项目。一些学生在公司完成实习和毕业设计,为顺利就业创造了条件。一些学生在学校的科研环境中进行实习和毕业设计,为考研和进一步深造奠定了基础。
3.2提倡自主学习,提高学生的学习积极性
自学课程的开设对教师提出了新的要求,要求教师改变传统教学模式,探索有利于创新型人才培养的教学模式。我们开设自学课程的教学理念是:以学生自主学习为主,教师引导和启发学生为辅。这不仅要求教师有丰富的教学经验和较好的教学效果,还要有较强的责任心。该课程培养学生独立学习网络与网络安全新知识,发现问题、分析问题、解决问题的自主学习能力,使学生能够适应社会和网络技术发展的要求。在网络设计自学课程中,我们采用国外经典教材《Cisco Network Design》,引导学生自己学习教材和阅读相关文献资料,通过小组分工协作完成一个真实的园区局域网络规划方案设计,达到学以致用的目的。通过采用自评、互评、演讲等多种形式来激发学生的参与力度,使学生能充分发挥学习的主动性和自觉性,把学生的兴趣、爱好、学习、创新融为一体。
3.3通过创新活动,激发学生创新能力
结合网络安全课程群的建设,我们为学生开设网络与网络安全的创新活动和创新实践课程,利用第二课堂活动开展专业调查、社会实践和竞赛活动。具体采取了如下措施。
1) 以校企联合的形式为学生举办多次安全知识的讲座。邀请院士、总工程师、总裁等作相关报告,使学生更好地了解信息安全产业的发展状况,对他们后续的工程实践、实习就业有非常重要的作用。
2) 各种科技活动和兴趣小组培养学生研究性学习和创新性实验能力。例如,我们成立了网络兴趣小组,促进学生参加网络技能训练;鼓励学生申请“北京工业大学星火基金”,培养学生的创新能力。
3) 通过组织各种竞赛,引领学生在创新中成长。我们多次指导本科生参加思科网院杯全国大学生网络技术大赛、全国大学生信息安全竞赛。获得一等奖2次,二等奖3次、三等奖2次。
4) 安排高年级本科生进入专业实验室,鼓励学生参与到教师的教学科研项目,逐步引导学生独立从事科学研究工作。在指导老师的帮助下,一些学生已经独立发表学术论文或与老师合作发表学术论文。
4结语
培养网络与网络安全的人才,对推动国家的网络与信息安全工作有重要意义。我校强化实践教学,提高学生的工程实践能力;提倡自主学习,提高学生的学习积极性;通过创新活动激发学生创新能力,形成工程训练、自主学习、创新培养并举的特色教育理念,取得较好的教学效果。
参考文献:
[1] 张焕国,黄传河,刘玉珍,等.信息安全本科专业的人才培养与课程体系[J].高等理科教育,2004(2):16-20.
[2] 王清贤,朱俊虎,陈岩. 信息安全专业主干课程设置初探[J]. 计算机教育,2007(19):12-14.
[3] 王伟平,杨路明. 信息安全人才需求与专业知识体系、课程体系的研究[J]. 北京电子科技学院学报,2006(1):47-49.
[4] 马建峰,李凤华. 信息安全学科建设与人才培养现状、问题与对策[J]. 计算机教育,2005(1):11-14.
[5] 李毅超,曹跃,郭文生,等. 信息安全专业计算机网络课程群建设初探[J]. 实验科学与技术,2008(3):90-93.
[6] 俞研,兰少华. 计算机网络安全课程教学的探索与研究[J]. 计算机教育,2008(18):127-128.
[7] 谌黔燕,郝玉洁,王建新,等.网络安全课程中的实践教学研究与探索[J]. 计算机教育,2007(1):38-40.
Network and Network Security Curriculum Group Construction for Information Security Major
DUAN Lijuan, LAI Yingxu, YANG Zhen, HOU Yarong, LI Jian
(College of Computer Science, Beijing University of Technology, Beijing 100124, China)
关键词 园区网;安全体系;规划;运维
中图分类号 TN9 文献标识码 A 文章编号 2095-6363(2015)09-0050-02
校园网络变得更加开放的同时,网络安全正经受更加严格的挑战,网络管理者必须切实了解保护本地网络安全的手段。本文尝试对如何创建安全的校园网络环境并保持其稳定运行提出一些规划原则与管理方法。
1 常见网络安全威胁类型
1)病毒、木马、蠕虫等自动攻击工具。具备自我复制和传播能力的程序可破坏计算机系统,破坏某信息保密性和完整性,使得攻击者从中获得利益。早期一般通过系统漏洞或文件漏洞传播,随着操作系统安全代码的日趋完善,目前主要靠欺骗性下载(如网站挂马或植入恶意代码)并被简单触发。
2)拒绝服务攻击。拒绝服务是攻击者常用攻击手段之一。攻击者通较强计算能力的服务器或大规模肉鸡作为攻击跳板,对目标发起洪水一般的非法请求,使得服务方难以接受正常访问请求或造成缓冲区溢出,服务被迫关闭甚至崩溃。
3)基于服务代码和服务漏洞的攻击。作为官方的网络窗口,运行于服务之上的网站代码并不总是安全的。事实上,国内多数网站都没能做到足够安全的代码防护。运行于非标准的web服务器的web网站,对熟练的站点攻击者而言,仅需几分钟即可获得基本webshell,并据此进行权限提升。从互联网上下载的免费文章系统(如知名的动网模板),由于受到关注,攻击者更容易通过内部技术组织联络获取攻击手段。
笔者所在学校站点早期使用ACCESS数据库,攻击者便经常尝试直接下载数据库;升级为SQL SERVER数据库后,我们发现了大量的SQL注入攻击代码,如晚间的一次攻击尝试代码:
……
dEcLaRe%20@S%20VaRcHaR(4000)%20SeT%20@s=cAsT(0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435552534F5220464F522053454C45435.......626C655F437572736F72%20aS%20VaRcHaR(4000)):eXeC(@s):--%20aNd%20'%25'=' 80 - 211.117.95.48 ……
从日志中很容易看出,攻击者尝试渗透数据库获取关键数值,并对注入代码做了简单伪装。
4)社会工程学攻击渗透。近年来攻击者对攻击目标的检测方法变得多样化,攻击者通过多种渠道了解目标,利用社会工程学手段分析以获得敏感信息,攻击更具效率,大数据技术的快速发展则进一步加剧了此类风险的威胁水平。如网络管理者总是愿意使用有类似特征的密码体系同时管理公用设备和个人信息,一旦个人信息被猜解,所在网络的安全风险便极大增加。
当代网络面临的安全风险越来越多,攻击不可避免,网络攻击的原理趋向复杂,而攻击者更容易获取更具威胁的自动化攻击工具,这意味着攻击变得愈发容易。
2 学校园区网安全体系的规划和建设
1)园区网安全体系的基本涵义。网络安全体系由硬件安全、底层系统安全和服务/软件安全三个方面构成,任何方面存在漏洞,都会导致整个网络面临安全崩溃。我国当前正在推动关键设备国产化进程,即从硬件层面考虑,保护网络敏感信息不被国外生产厂非法商取。完整的网络安全体系应在硬件层面作出合理选择,在底层系统层面进行合理配置,减少系统漏洞暴露,在提供服务时建立多层次风险防控和数据过滤措施,保证网络安全运行。
2)园区网安全体系规划原则。网络安全与提供服务的性能存在矛盾,管理者应以保障网络服务正常提供为前提,评判网络安全风险,适度规划并保留升级弹性,以经济合理的方式规划安全防御系统。网络安全体系需要覆盖到整个网络,对高风险区域应设置网络边界,并指定数据流动规则(ACL)。
3)网段规划。根据功能区分,通常将整个网络划分几个功能独立的子网,至少包括网络设备与网络管理区域、停火区(DMZ)、学生机房、办公区域以及普通联网用户区域等,各子网间保持物理或逻辑上的网段隔离,不同区域用户一般禁止跨越子网互访。这是保护网络安全的最基本手段。
4)安全防护设备选择。传统网络安全体系基于P2DR模型,即策略、防护、检测和响应,设备组成一般包括终端安全(配置杀毒软件);ACL(设备、端口规则和数据流向规则);防火墙以及IDS/IPS(应用于DMZ);它可以实现对多数病毒和传统攻击的有效抵御,以包过滤为基本检测手段,具备部分协议检测能力;对网站注入、渗透等较新的攻击方式防御能力有限。
选择何种设备组建网络安防体系,取决于本地网络规模、提供的服务类型和网络管理者的技能水平。园区网可以考虑在传统安全体系基础上,根据本地网络运行特性有针对性增加管控设备,为保障带宽有效利用,针对内部用户可配置行为管理系统,对用户网络行为进行管控,对占据带宽资源和并发数资源的应用予以限制;针对WEB服务,可以配置WEB防护系统,对数据库注入、代码攻击、跨站脚本等作出有效防护;针对网络内部恶意行为,可以配置网络日志分析记录系统,在恶意行为发生时提供报警,在行为发生后提供记录。
3 学校园区网安全体系运维原则
1)安全网络要求全部终端用户参与。根据“木桶原理”,网络中任一端点的安全风险会扩大到整个网络。园区网络安全体系需要覆盖到整个网络的所有端点。考虑到难以对所有用户实行严格要求,管理者应考虑网络不同区域的安全等级,制定对应安全策略,在不同区域间设立网络边界,保证任意区域故障不会蔓延至其他区域。
2)制度优先。防患于未然,网络安全事件总是发生在未曾受到关注的制度角落。管理者应综合考虑网络整体状态,制定安全事件责任制度,制定应急预案,制定各类安全事件和风险事件的相应制度,制定网络使用制度等;完善的制度是保障网络稳定运行的必要条件。
3)数据备份。数据备份是网络运维的必需手段。精确计算当前数据容量,预估数据增量,考虑数据备份措施,必要时配备数据备份设备。外部攻击者在获取网络权限后,经常造成有意或无意的数据损害,超过50%的情况下数据损失不可逆转。设置数据备份机制,是保障网络服务的最后手段。
4)完善事件记录。园区网历经长期运行后,管理者将能够发现和总结本地网络常见威胁列表,建立网络运维事件日志,能极大节省管理者故障定位和解决问题的时间与精力。这些记录包括下述文件,网络日常监测记录、病毒流行记录、设备故障处置和维修记录、攻击处置记录等。
4 结论
尽管网络总是不安全的,管理者还是可以通过各种手段,以科学、合理的方式建设网络安全体系,不断学习提高技术水平,尽力保护本地网络和服务不受非法攻击侵害。作为多年工作经验的总结,笔者希望通过本文抛砖引玉,提供网络安全运维的方法和原则,谨与同行共同交流。
参考文献
随着信息技术的发展,社会各行各业已经开始通过计算机网络来进行内部业务管理,信息化极大地提高了管理效率以及社会生产率。网络是医院向信息化、数字化发展的基础要素,是整个医院内部信息运行的平台,构建安全的医院信息系统至关重要。因此,本文首先对医院信息系统的网络安全进行概述,强调了其重要性与必要性,其次,重点讨论了医院信息系统的安全防范策略。
【关键词】医院信息系统 网络安全 防范策略
医院信息系统内部的信息比较繁杂,不仅包括病人的资料,而且还有相关药品的数据、医生资料等,信息系统的安全运行,是医院日常工作顺利开展的必要条件。由于互联网的开放性,经常存在一些威胁系统安全的要素,导致内部信息的损坏、丢失,影响医院的正常工作,带来一系列损失。由此可见,要高度重视医院信息系统的安全问题,多角度提高系统的安全性能。
1 医院信息系统的网络安全概述
1.1 网络安全
网络安全主要指的是通过技术手段,确保计算机在运行过程中得到保护,硬件、软件都避免受到网络上危险要素的破坏,阻止恶意程序对系统进行攻击,进而泄露信息、篡改信息等,确保信息系统在互联网的环境下正常运行。网络维护的核心在于信息与数据的完整性与可控性,并且能够通过用户的操作,实现基本的应用目的。在网络的安全维护中,主要包括两个方面。一是设备安全,包括计算机系统的稳定、硬件实体的安全以及软件的正常运行。二是信息安全,主要指的是数据的备份、数据库的安全性等。
1.2 医院网络安全的重要性
医院的信息系统网络安全问题关系到日常管理的方方面面,医院信息系统在在运行期间,如果出现意外中断,或者受到恶意程序的攻击,那么很容易导致信息的大量丢失,由于医院信息系统中录入了病人的基本信息,因此会造成严重的后果,甚至医疗事故。由于医院性质的特殊性,在计算机信息系统的网络安全防护方面,除了一般的日常维护,还需要通过特殊的策略来确保信息系统的安全。
2 医院信息系统网络安全的防范策略
2.1 选择优质设备
医院信息网络安全维护是一项系统的技术工作,运行良好的优质设备是维护系统安全的保障。因此,医院的信息中心需要选择性能良好、运行稳定、便于升级的设备。个别医院没有认识到信息系统安全的重要性,忽视网络建设,将资金投入到医疗设备以及医院基础设施上,在网络设备上不重视质量,由于医院的工作具有连续性,性能较差的网络设备经常会出现多种问题,特别是核心交换机和服务器,一旦运行故障,医院内部网络瘫痪,必将严重影响医院的正常工作。因此,维护医院信息网络安全首先要选择优质的网络设备。
2.2 优化系统程序
医院在系统的选择上,除了可以通过技术人员设计专门的程序,还可以选择安全性能较高的操作系统与软件,并且及时进行升级与更新,定期优化系统程序,这样才能确保安全。同时,如果系统设置密码,密码需要进行不定期更换,这样避免网络中一些恶意程序的攻击,防止病毒、黑客入侵窃取重要信息,也最大程度降低被跟踪痕迹的可能性。在系统程序的日常管理中,也要定时更新数据库,做好信息的备份工作。
2.3 加强技术人员管理
网络安全的操作主体主要是信息技术人员,因此,提高技术工作人员的职业水平,构建科学的网络安全管理制度也是必不可少的。医院要确保信息系统的持续稳定,并且在网络环境中运行良好,这对技术人员要提出了更高的要求。医院可以通过培训提高技术人员业务水平、开展网络安全教育提高思想认识等。在日常工作中,严格禁止通过移动终端来进行信息的输入与输出,避免病毒带入。同时设置专门的信息共享平台,严禁技术人员将系统文件进行共享。除此之外,网络管理员要定期进行数据的整理,并且完善网络运行后台,对于计算机网络终端进行检查,及时处理安全漏洞。
2.4 构建病毒防御体系
医院信息系统的网络安全防范,除了确保系统中各计算机通信设备及相关设施的物理安全,使其免于人为或自然的破坏,还要构建病毒防御体系。由于互联网具有开放性与交互性的特征,在网络中运行的程序有必要建立不同层次的防护系统。例如在每台计算机终端上都安置网络版的杀毒软件,在服务器上设置保障服务器安全的杀毒软件,在网关处设置维护网关的防病毒软件,这样将信息系统的各个部分都纳入了安全保护中。但是,由于计算机病毒传播途径多、传播速度快,在构建病毒防御体系时,也要重点预防不同来源的病毒,通过系统的设置,维护信息系统的安全。
2.5 完善身份验证程序
身份验证程序的漏洞是系统内部信息泄露的重要原因,因此,需要进行身份认证以及授权,对进入系统的用户进行审查,确保其具备信息查看的资格。在信息系统程序中,要将身份验证方式、权限审查内容进行详细规定,并且通过动态密码、安全口令等,阻止非法用户的入侵。除此之外,还可以应用防火墙,对于网络数据的访问、修改等操作进行记录,一旦出现比较可疑的操作行为,系统可以自动报警或者中断操作,避免非法用户对数据进行篡改。总而言之,身份验证程序与防火墙的有效配合,可以为医院信息系统网络建立一道安全屏障。
3 结束语
信息化的发展对于计算机技术提出了更高的要求,特别是医院的信息系统网络安全防范问题,直接关系到医院业务的有序开展。网络安全防范是一项系统的动态工程,需要从各个角度出发,综合考虑,选择性能良好的网络设备,并且定期进行系统的优化,提高信息技术人员的业务水平,在确保硬件实体的安全稳定前提下,构建多层次的病毒防御体系,完善信息系统的身份验证程序,并不断调整防范策略,及时组建网络安全紧急响应体系,全面提高医院信息系统网络的安全性。
参考文献
[1]涂华.医院信息系统的网络安全与防范[J].中山大学学报论丛,2011,04(12).
[2]祝敬萍.医院信息系统安全风险规避管理策略研究[D].华中科技大学,2012.
[3]莫非.医院信息系统中的网络安全与管理[J].计算机光盘软件与应用,2012,07(23).
[4]贾鑫.基于医院信息系统的网络安全分析与设计[J].中国管理信息化,2013,05(15).
[5]赵浩宇,李刚.浅谈医院信息系统的网络安全建设[J].中国卫生信息管理杂志,2013,10(20).
【 关键词 】 “互联网+”时代;网络安全;管理策略;安全体系
On Network Security Policy Analysis and Management Strategy in the “Internet +” Era
Cai Wei
(China Nonferrous Mining Group Co., Ltd Beijing 100029)
【 Abstract 】 This article expounds the basic connotation of network security and requirements in the "Internet +" era. analyzes the present situation of network security and the current main security threat, puts forward the construction of network security situational awareness, intrusion detection and emergency control system of the management of protective measures based on the monitoring and early warning, active defense, real-time response to the three basic strategies.
【 Keywords 】 “internet +” era; network security; management strategy; security system
1 引言
当今社会已经进入到了“互联网+”时代,网络安全与我们的生活息息相关,密不可分。网络信息安全对于国家、社会、企业、生活的各个领域以及个人都有十分重要的作用和意义。目前,在网络应用的深入和技术频繁升级的同时,非法访问、恶意攻击等安全威胁也在不断推陈出新。防火墙、VNP、IDS、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在互联网络中得到了广泛应用。随着大规模网络的部署和应用领域的迅速拓展,网络安全的重要性越来越受到人们的关注,但同时网络安全的脆弱性也引起了人们的重视,网络安全问题随时随地都有可能发生。近年来,国外一些组织曾多次对中国企业、政府等网站进行过大规模的网络攻击,网络安全已渗入到社会生活的各个方面,提高网络安全防护能力,研究网络安全管理策略是一项十分紧迫而有意义的课题。
2 “互联网+”时代网络安全
互联网本身在软硬件方面存在着“先天”的漏洞,“互联网+”时代的到来让这只大网的规模急剧扩大,尽管在网络安全防护方面采取了很多有效性措施,然而网络信息所具有的高无形价值、低复制成本、低传播成本和强时效性的特点造成了各种各样的安全隐患,安全成为了互联网络的重要属性。
2.1 内涵
“互联网+”是指依托互联网基础平台,利用移动互联网、 云计算、大数据技术等新一代信息技术与各行业的跨界融合,发挥互联网在生产要素配置中的优化和集成作用,实现产业转型、业务拓展和产品创新的新模式。互联网对其他行业的深入影响和渗透,正改变着人们的生成、生活方式,互联网+传统集市造就了淘宝,互联网+传统百货公司造就了京东,互联网+传统银行造就了支付宝,互联网+传统交通造就了快的、滴滴。随着“互联网+”时代的到来,迫切需要“网络安全+”的保护,否则,互联网发展的越快遭遇重大损失的风险越大,失去了安全,“互联网+”就会成为沙中之塔。在国家战略的推动下,互联网产业规模的成长空间还很巨大,网络安全,刻不容缓。
2.2 主要内容
“互联网+”不仅仅是互联网移动了、泛在了、与传统行业对接了,更加入了无所不在的计算、数据、知识,给网络安全带来了巨大的挑战和风险。网络安全泛指网络系统的硬件、软件及其系统上的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄漏,系统连续可靠正常地运行,网络服务不被中断。从内容上看,“互联网+时代”的网络安全大致包括四个方面:(1)网络实体安全主要是以网络机房的物理条件、物理环境及设施、计算机硬件、附属设备及网络传输线路的安装及配置等为主;(2)软件安全主要是保护网络系统不被非法侵入,系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等;(3)数据安全主要是保护数据不被非法存取,确保其完整性、一致性、机密性等;(4)管理安全主要是网络运行过程中对突发事件的安全处理等,包括采取安全分析技术、建立安全管理制度、开展安全审计、进行风险分析等。
2.3 基本要求
网络安全包括五个基本要求:机密性、完整性、可用性、可控性与可审查性。(1)机密性是指保证网络信息不被非授权用户得到,即使得到也无法知晓信息内容,通过访问控制、加密变换等方式阻止非授权用户获知信息内容;(2)完整性是指网络在利用、传输、贮存等过程中不被篡改、丢失、缺损等,以及网络安全处理方法的正确性;(3)可用性是指网络中的各类资源在授权人需要的时候,可以立即获得;(4)可控性是指能够对网络系统实施安全监控,做到能够控制授权范围内的信息流向、传播及行为方式,控制网络资源的使用方式;(5)可审查性是指对出现的安全问题能够提供调查的依据和手段,使系统内发生的与安全有关的行为均有说明性记录可查。
3 “互联网+”时代网络安全分析
3.1 特征分析
近年来,无论是在军事还是在民用信息领域中都出现了一个趋势:以网络为中心,各行各业与互联网紧密相关,即进入了“互联网+”时代。各类组织、机构的行为对网络的依赖程度越来越大,以网络为中心的趋势导致了两个显著的特征:一是互联网络的重要性;二是互联网络的脆弱性。
网络的重要性体现在现代人类社会中的诸多要素对互联网络的依赖。就像人们离不开水、电、电话一样,人们也越来越离不开网络,而且越是发达的地区,对网络的依赖程度就越大。尤其是随着重要基础设施的高度信息化,直接影响国家利益及安全的许多关键基础设施已实现网络化,与此同时,这些社会的“命脉”和“核心”控制系统也面临着更大的威胁,一旦上述基础设施的网络系统遭受攻击而失灵,可能造成一个地区,甚至是一个国家社会功能的部分或者是完全瘫痪。
网络的脆弱性体现在这些重要的网络中,每时每刻都会面临恶意攻击、病毒传播、错误操作、随机失效等安全威胁,而且这些威胁所导致的损失,也随着人们对网络依赖程度的日益增高而变得越来越难以控制。互联网最初基本上是一个不设防的网络空间,其采用的TCP/IP、SNMP等协议的安全性很脆弱。它强调开放性和共享性,本身并不为用户提供高度的安全保护。互联网络系统的脆弱性,使其容易受到致命的攻击。事实上,目前我国与互联网相连的大部分网络管理中心都遭受过境内外黑客的攻击或入侵,其中银行、金融和证券机构是黑客攻击的重点。
3.2 现状分析
《2013年中国网民信息安全状况研究报告》指出:整体上,我国网络安全环境不容客观,手机短信安全、应用软件安全、计算机终端安全和各类服务器安全状况不尽人意。
从数量规模上看,中国已是网络大国,但从防护和管理能力上看,还不是网络强国,网络安全形势十分严峻复杂。2015年2月,中国互联网信息中心《第35次中国互联网络发展状况统计报告》显示,随着“互联网+”时代的到来,2014年中国网民规模6.49亿,手机网民数量5.57亿,网站总数3350000,国际出口带宽达4118G,中国大陆31个省、直辖市、自治区中网民数量超过千万规模的达25个。
从应用范围上,“互联网+”时代的到来使得庞大的网络群体带领中国进入了“低头阅读”时代,“微博客账号12 亿,微信日均发送160 亿条,QQ 日均发送60 亿条,新浪微博、腾讯微博日均发帖2.3 亿条,手机客户端日均启动20 亿次”的数据体现了中国网民的特征。
从网络安全发展趋势上看,网络规模急剧扩大,增加了网络安全漏洞的可能性;多个行业领域加入互联网,增加了网络安全控制的难度和风险;移动智能互联设备作为互联网的末端延伸,增加了网络攻击的新目标;互联网经济规模的跃升,增加了网络管理的复杂性。
3.3 威胁分析
互联网络安全威胁主要来自于几个方面:一是计算机网络系统遭受病毒感染和破坏。计算机网络病毒呈现出异常活跃的态势,我国约73%的计算机用户曾感染病毒,且病毒的破坏性较大;二是电脑黑客活动猖獗。网络系统具有致命的脆弱性、易受攻击性和开放性,我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入;三是网络基础设施自身的缺陷。各类硬件设施本身存在漏洞和安全隐患,各类网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。国内与网络有关的各类违法行为以每年30%的速度递增,来自于外部的黑客攻击、病毒入侵和基于多IP的恶意攻击持续不断。
从网络安全威胁对象上看,主要是应用软件、新型智能终端、移动互联设备、路由器和各类网站。2015年瑞星公司的《瑞星2014年中国信息安全报告》显示,新增病毒的总体数量依然呈上涨趋势,挂马网站及钓鱼网站屡禁不止。新增手机病毒上涨迅速,路由器安全、NFC支付安全、智能可穿戴设备等是当前网络安全最为薄弱的环节。
从网络安全状态上看,仅2014年,总体网民中有46.3%的网民遭遇过网络安全问题,在安全事件中,电脑或手机中病毒或木马、账号或密码被盗情况最为严重,分别达到26.7%和25.9%,在网上遭遇到消费欺诈比例为12.6%。2015年2月境内感染网络病毒的终端数为2210000,境内被篡改网站数量近10000个,3月电信网内遭受DDOS攻击流量近18000TB。2015年5月底短短几天,就有支付宝、网易、Uber等互联网龙头接连出现故障,这是海外黑客针对中国APT攻击的冰山一角。
从网络安全防护技术上看,一方面,安全问题层出不穷,技术日趋复杂。另一方面,安全问题的迅速发展和网络规模的迅速扩大,给安全解决方案带来极大的挑战,方案本身的研发周期和用户部署周期的影响,导致安全解决方案在处理实际问题时普遍存在强滞后性、弱通用性和弱有效性的特点。更为重要的是现有安全解决方案通常只能针对特定的安全问题,用户需要不断增加部署新的安全解决方案以应对网络安全的发展。
4 “互联网+”时代网络安全管理体系
安全是“互联网+”时展的核心问题,网络安全管理至关重要,在“互联网+”模式提出之后,如何守卫网络安全将成其发展的关键。“互联网+”时代更需要建立一个完整的网络安全防护体系,提高各网络设备、系统之间的协同性和关联性,使网络安全防护体系由静态到动态,由被动到主动,提高网络安全处置的自适应性和实时反应能力,增强入侵检测的阻断能力,从而达到全面系统安全管控的效果。
4.1 基于监测预警建立网络安全态势感知体系
在现有基础上,通过互联网安全态势评价指标,分级分层部料数据采集和感知分析系统,构建互联网安全态势感知体系。评价指标包括网络运行基础型指标,网络脆弱性指标、网络威胁指标三类。其中运行基础指标包括基础网络性能、基础网络流量和网络设备负载等;网络脆弱性指标包括关键网络设备性能指数、重要系统的状态参数、终端服务器运行状态等;网络威胁指标包括攻击事件、攻击类型、病毒传播速度、染毒终端数量等。为了有效地获取各类统计分析数据,需要在重要的节点和核心区域部署数据采集和感知分析系统,对网络中的应用终端、大型核心服务器等关键数据进行采集,如网络运行状态数据、病毒感染数据、骨干网络流量数据、服务器病毒攻击数据等,通过对采集数据的分析,形成分类、分级的网络安全态势,通过对数据的实时关联分析动态获取网络安全态势,构建一体联动的态势感知体系。
4.2 基于主动防御建立网络安全入侵检测体系
在现有入侵防御能力基础上,重点建设主动防御、网络蜜罐、流量清洗等系统,构建网络安全入侵检测体系。一是建设主动防御系统。利用启发式检测和入侵行为分析技术构建主动防御系统,部署于各类各级网络管理终端和核心服务器上,通过对未知网络威胁、病毒木马进行检测和查杀,主动检测系统漏洞和安全配置,形成上下联动、多级一体的安全防护能力。二是建设网络蜜罐系统。利用虚拟化和仿真等技术拓展和丰富网络蜜罐系统,实现攻击诱捕和蜜罐数据管理,在重要节点、网站和业务专网以上节点部署攻击诱捕系统,有针对性地设置虚假目标,诱骗实施方对其攻击,并记录详细的攻击行为、方法和访问目标等数据,通过对诱捕攻击数据分析,形成联动防御体系。三是建设流量清洗系统,包括流量监测和过滤分系统。在核心交换区域和网络管理中心部署流量检测分系统,及时发现网络中的攻击流量和恶意流量。在核心骨干节点部署流量过滤分系统,在网络攻击发生时,按照设置的过滤规则,自动过滤恶意攻击流量,确保正常的数据流量,从数据链路层阻止恶意攻击对网络的破坏。
4.3 基于实时响应建立网络安全应急管控体系
在现有应急响应机制基础上,通过进一步加强广域网络、系统设备和各类用户终端的控制,构建应急管控体系。一是加强多级、多类核心网络的控制。依托网络管理系统、流量监测系统以及流量清洗系统对骨干网络进行实时监控,实时掌控不同方向、不同区域、不同领域的网络流量分布情况、网络带宽占用情况,便于有效应对各类突况。二是加强网络安全事件的控制。特别是对影响网络运行的病毒传播扩散、恶意攻击导致网络瘫痪以及对各类网络的非法攻击等行为,要能在第一时间进行预警和处置。三是建立健全应急管控机制。对于不同类型的网络安全威胁,明确相关的职能部门及必要的防范措施,避免出现网络安全问题时“无人问津”的情况,确保网络安全处理的时效性。
5 结束语
时代赋予了互联网新的职能,互联网在给我们的生活带来便利的同时也威胁着人们的安全,必须着重研究和建立新的网络安全管理体制并制定相应的应对策略。网络安全策略不能停留在被动的封堵漏洞状态,也远远不是防毒软件和防火墙等安全产品的简单堆砌就能够解决的,网络安全需要形成一套主动防范、积极应对的可信、可控网络体系,从根本上提高网络与信息安全的监管、恢复和抗击、防护、响应等能力,对于个人、企业、社会甚至国家利益和安全都具有十分重要的现实意义。
参考文献
[1] 吴贺君.我国互联网安全现状及发展趋势[J].长春师范学院学报,2011(12).
[2] 陈君.互联网信息安全的“中国设计”[J].今日中国(中文版),2014(06).
[3] 周潜之.加强网络安全管理刻不容缓[N].光明日报,2014(01).
[4] 罗佳妮.完善互联网信息安全保障机制的思考[J].新闻传播,2013(09).
[5] 胡凌.网络安全、隐私与互联网的未来[J].中外法学,2012(02).
[6] 中国互联网信息中心.2013年中国网民信息安全状况研究报告[R].2013(09).
[7] 娜,刘鹏飞.2015中国互联网展望[J].新媒在线,2015(03).
[8] 熊励,王国正.移动互联网安全,一道绕不过去的坎[J].社会观察,2014(05).
[9] 喻国明.移动互联网时代的网络安全:趋势与对策[J].国明视点,2015(02).
[10] 蔡志伟.融合网络行为监测与控制技术研究[D].理工大学硕士论文,2011(06).
[11] 周鹏.大数据时代网络安全的防护[J].网络安全技术与应用,2015(04).
【关键词】大数据 虚拟化 网络安全架构 机制
1 大数据时代网络安全风险
1.1 大数据及其特点
大数据(Big Data)最早由美国提出,并逐渐运用于世界各地的学术既商业活动之中,具体指相对于计算机的处理能力而言该类数据的“海量”与“大”,即在任意有限的时间内不能使用任意的IT或软硬件技术工具进行操作和运用的数据集合。科学家John Rauser曾用一句更为简单的话解释了大数据,即他认为大数据的数据处理量之大已经超过了任意一台计算机的处理能力。
大数据具有结构复杂、数据量大、类型众多、集成共享与交叉复用的特点,对应于大数据的处理,计算机科学界产生了与之对应的云计算技术方法基于云计算技术的应用渐趋成熟,大数据在行业内被提出具备4V特征,即稻萑萘看笾掷喽啵Volume)、数据类型多(Variety)、商业价值高(Value)、处理速度快(Velocity),大数据及其特征可以更好的用图1表示。
1.2 大数据时代网络安全现状
网络安全是国家安全的一个重要组成部分,根据我国互联网应急响应中心CNCERT/CC 其2016年度《中国互联网网络安全报告》中提供的数据,截止到15年年底中国网站总量已达到426.7万余个,同比年度净增长2万余个,此外在其的《CNCERT互联网完全威胁报告》中,仅2017年2月,境内感染网络病毒的终端数为近118万个,被篡改网站数量为4493个,其中政府网站有109个。可见大数据时代,我国目前网络安全形势依旧严峻,主要问题表现在:
(1)公民个人安全意识不强,个人信息泄露严重,从国内感染木马网络病毒的网站数来看,用户对于网络安全的意识低下的现状;
(2)国内网络安全保护与威胁漏洞防范措施滞后,国内计算机网络安全防护的基本措施基本都处于形式的静态防护状态,真正对新木马、新病毒的发现和攻克技术未及时跟上病毒与木马产生的速度,防范能力低下,感染与反复感染情况严重。
(3)网络攻击等行业逐步壮大与兴起,大数据时代,数据的商业价值被进一步挖掘,强大的利益诱惑下,国内不少网络攻击企业逐渐形成甚至形成不正规产业链,该行业的发展趋势有待及时的制止与修正。
2 虚拟化网络安全技术概述
2.1 病毒防护技术
远程或者本地主机上存在的安全漏洞可以通过漏洞扫描来自动检测。漏洞扫描可以“防患于未然”,在问题还未发生,或者在侵犯还未形成时,就将其隐藏的安全问题解决。漏洞扫描又可以分为网络内部和网络外部的扫描。将扫描软件置于网络内部,检测解决内部网络存在的漏洞和安全隐患,称之为网络内部扫描。相应的,外网络外部扫描,是指把漏洞扫描程序置于外部网络,来保护网络免于来自外部网络的侵犯和攻击,除去安全隐患。
2.2 入侵检测技术
通过加强对网络间访问的控制来保护网络内部操作环境和资源,一般来说,就是我们所说的防火墙。它的原理是,避免外部网络用户非法进入内部环境。性质上,属于一种特殊的网络互联设备。互联网技术日新月异,防火墙技术快速发展。防火墙技术经历了包过滤型、型、监测型,其安全性也是递增的。最开始的包过滤型防火墙,它是通过分析数据来源是否是可靠地安全站点,从而达到维护系统安全的要求。
2.3 漏洞扫描技术
远程或者本地主机上存在的安全漏洞可以通过漏洞扫描来自动检测。漏洞扫描可以“防患于未然”,在问题还未发生,或者在侵犯还未形成时,就将其隐藏的安全问题解决。漏洞扫描又可以分为网络内部和网络外部的扫描。将扫描软件置于网络内部,检测解决内部网络存在的漏洞和安全隐患,我们称之为网络内部扫描。相应的,外网络外部扫描,是指把漏洞扫描程序置于外部网络,来保护网络免于来自外部网络的侵犯和攻击,除去安全隐患。
2.4 防火墙技术
通过加强对网络间访问的控制来保护网络内部操作环境和资源,一般来说,就是我们所说的防火墙。它的原理是,避免外部网络用户非法进入内部环境。性质上,属于一种特殊的网络互联设备。互联网技术日新月异,防火墙技术快速发展。防火墙技术经历了包过滤型、型、监测型,其安全性也是递增的。最开始的包过滤型防火墙,它是通过分析数据来源是否是可靠地安全站点,从而达到维护系统安全的要求。防火墙超出了最初对防火墙的定义是从监测型防火墙的出现开始的。其表现是,不仅能阻止外来侵扰,更重要的是,它也能对来自网络内部的破坏起到防护的作用
3 大数据环境虚拟化网络安全SDN架构
网络安全应用虚拟化(Virtualized Security Appliance)是较为有效的解决网络安全的常见方式,本节根据大数据时代网络安全特征及可用技术,结合传统软件定义网络SDN安全架构方式,提出如下所示的基于安全应用虚拟化的网络安全SDN架构,即SDN-VSN。
该架构首先在安全业务管理实践的基础上运用SDN API进行业务需求与计算机指令的灵活转换,在SDN控制层能够实现网络虚拟化安全防护,包括有安全协议的描述、安全网络检测、安全路由保证、网络拓扑管理及安全资源管理的基础业务描述与控制;其次,在安全策略方面,该架构采用二级分解方式,指定的物理资源进行了映射配置和安全防控,并采用事件驱动的启动模式,达到一种及时响应、及时防护的安全防控效果;最后,在安全实施方面,上述架构包含了字符段匹配、安全协议识别等通过标准Open Flow表示、识别与实施的安全运作机制。
4 大数据环境下虚拟化网络安全机制
4.1 边界安全机制
网络边界安全机制指从网络与外界之间互通引起的安全题进行防护的一种防护机制,包括黑客入侵、网络攻击及木马病毒攻击的防护,大数据环境下网络边界安全直接影响网络用户的整体安全,因此如何从数据挖掘的角度设计并分析已有病毒或木马库的特征,及时更新病毒库进行有效的边界保护,最大限度实现边界隔离。
4.2 终端安全机制
网络终端指网络的最终使用者即网络用户,网络终端安全机制即是强调网络安全防护过程中从网络用户端入手,运用防火墙、防病毒、防木马等技术对可能的网络安全漏洞进行措施性规避,新一代的大数据环境下的网络终端数量剧增,在对于网络终端防护的安全机制需要考虑终端之间的统一有效控制,即当某一终端出现安全漏洞威胁时,其他与之相近的终端能够迅速接受信号,并在统一受控的基础上进行迅速的防护技术部署,防止漏洞和威胁进一步无限制的蔓延,终端防护的技术在大数据环境下需要过更多运用云技术,通过云端有效控制数以亿增的网络终端量及相应的可能遭受的安全风险。
4.3 联动安全机制
联动安全机制是在保证边界安全和终端安全的基础上运用云端技术及大数据预测技术及时的将终端与边界联动起来的一种安全机制,即保证终端与边界的安全统一。实际的操作中,网络的边界与终端无论哪一边遭受到安全攻击,通过数据分析及时更新数据并下发到另一端,以确保实现联动的防护机制。双防御的及时防护就像一个新型高效网络护盾,如当某一终端遭受攻击或漏洞被篡改,可以迅速的通知边界设备进行及时的物理或网络隔离,并迅速进行数据分析更新数据库病毒库,防止同网络种其他设备遭受到相同黑客病毒的攻击。联动机制有效的提高了终端和边界双方面联动的防护效果,有效应对未知攻击并可以进行及时的防护措施,并运用大数据预测与分析技术可以预测可能受到的安全攻击,进行对应的防护措施,从而将损害降到最低,实现网络安全最大化的终极目标。
参考文献
[1]CNCERT互联网安全威胁报告.国家互联网应急中心[EB/OL].http://.cn/publish/main/upload/File/2017monthly02.pdf.
[2]孟治强.基于大数据的下一代网络安全架构初探[J].商,2015(34):207-207.
[3]杨艳,张莹.大数据背景下的网络信息安全研究[J].自动化与仪器仪表,2016(10):149-150.
[4]刘新,常英贤,田健伟.大数据时代网络信息安全防护策略研究[J].探索科学,2016(10).
[5]马文静.下一代无线网络安全及切换机制研究[D].北京邮电大学,2010.
[6]吴越,孙皓,张树彬.下一代网络中的无线网络安全关键技术研究[J].信息网络安全,2007(05):12-14.
[关键词]内网 外网 隔离
一、内网与外网
将系统进行分级管理,按工作性质的不同分成内网和外网,实行内网与外网严格的分离制度,内外网的管理也采用不同的方法。
在外网中,由于基本业务对网络的实时性要求不是很高,同时往往接入互联网,本身已存在相当大的安全隐患,可以在一定程度上允许系统存在宕机现象。采用部署网络安全产品,IP地址管理,访问权限控制,数据存储管理等方法,在采用技术手段进行安全管理的同时采取一定的行政管理手段,制定相关的管理制度,在一定程度上保证系统的基本正常,达到安全投入与安全效果的平衡。
在内网中,运行着公司ERP系统,整个公司的业务都依赖于这个系统的安全平稳运行,这个系统的安全性也就被提升到最高的级别,系统的安全稳定运行成了信息中心最主要的责任,在有了责任的同时,也就有了相应的权利,所有的不合理的要求,都以保证系统安全为理由回绝。
在系统中所有的可以进行文件交换的计算机都得到控制,无授权的计算机,不安装光驱、软驱、USB等设备的计算机不能访问互联网,授权的计算机在进行文件交换过程中也要严格按操作流程进行,同时也防止了信息流失的可能,保证了信息的安全,行政管理手段在内网的管理中起到了主要的作用。
1. 双网隔离。为保证网络安全,内部网络与外部网络完全隔离是最安全的策略。双网隔离技术就是采取内部网与Internet网完全物理隔离的方式来实现内部网络相对安全的一种技术。
双网隔离的实现分为以下两个方面:
(1) 结构化综合布线。布线是实现网络连接的第一步,要实现双网的完全隔离就必须敷设两套网线,每套网线分别与内网核心交换机、公众信息网交换机连接,并通过相应的网络安全设备实现网络内部的安全。也就是说,在网络客户端部分有两个网络接口,以实现终端计算机分别对两个完全隔离网络访问。
(2) 终端计算机。仅有完全隔离的网络是不足以实现双网隔离的,还要有完全隔离的计算机。当然采用两台计算机分别与两套布线系纺相连可以实现双网隔离,但是任何技术的推广都离不开实现该技术的成本问题,显然两台计算机的成本要高于一台。
通过共享一台双网隔离计算机的方式,可以很好地解决这个问题。双网隔离计算机就是一台电脑中装配两块硬盘(或一块硬盘的不同物理分区),电脑运行时只有一块硬盘(或一个物理分区)加电运行而另一块硬盘(或一个物理分区)并不工作,通过切换开关和电脑的重新启动来实现不同硬盘(或物理分区)上数据的物理隔离,这样既保护了投资又实现了双网的完全隔离。
2. 安全设备。保证网络安全的主要设备包括:路由器、防火墙和服务器。通过客观存在的组合,可以建立一道安全屏障,并对网络内部提供必要的保护。由于它们本身及相互组合所提供的安全级别不同,所需要的成本不同,便有了不同的安全防范方案。
3. 高级别安全防范。路由器的访问控制列表(ACL)对访问数据流进行初步检测,只允许合法数据流进人,对内部网提供了基本的安全保障。如:对私有IP地址的过滤,对蒙骗IP地址的过滤,对网络探测数据流的过滤等。
防火墙对经过路由器过滤后的有效数据流进行进一步检查,提供更加细化的安全措施和更强大的处理能力。防火墙的访问控制列表(ACL)可以提供对进入的数据流进行有效控制,禁止非法数据流进人内网;防止自己内部网的用户非法访问和攻击外网的计算机;针对某一IP地址或MAC地址进行访问控制等功能。防火墙实现了切实的安全控制,为网络提供了更强大的保护。
二、一般级别的安全防范
在网络对安全要求不高的情况下通常采用一般级别的安全防范,所花费的费用也比较低。采用路由器或服务器就可满足要求,当然资金允许的条件下采用防火墙可以提供更佳的安全性能。
1. 费用第一型。采用服务器是最经济的安全措施,尽管它只提供基本的安全防范措施,但它以物美价廉吸引了大量的用户。高性能服务器或PC机作为服务器使用时,只需添加一块网卡和相应的成本。当然一定要在对安全要求较低的情况下使用,否则会得不偿失。
2. 普通型。采取路由器可以提供较好的安全防范措施,路由器除了具有路由功能外,还可提供大部分的安全防范措施。在与Internet连接时,如果网络服务供应商(ISP)提供的是DDN接入,则只能用路由器作为接人设备;在预留有备份线路接人Internet时,也只能采用路由器; Internet上用户利用VPN技术需要拔入网络时,只能用路由器。总之路由器的功能是很全面的,是其它设备所无法代替的。有特殊要求时选用路由器是合适的方案。
3. 安全第一型。防火墙是专业的安全防范设备,可以应对各种网络人侵行为,对网络提供高级别的安全方案。对于“安全第一”的用户需要,是合适的选择。当然也可以与路由器配合使用。
4. 其它方面的安全考虑。结构化综合布线和网络安全设备提供了网络的物理结构安全,但同时还要保证网络中服务器等应用设备的安全运行,这样才能提供真正安全的网络。
核心数据库的安全、高效运行可通过双机势备或网络负截平衡不保证,尽管费用较高相对于安全而言这样的费用是值得的,该技术的合理性便它得到了广泛地应用和推广。
计算机病毒防范、灾难恢复、环境安全(机房防火、防静电、通风等)、媒体安全(磁带等)、不间断电源供应等等方面,尽管相对来说没有双网隔离和网络安全设备那么重要,但同样不应当忽略。
[关键词]课程思政;信息安全;教学方法
现阶段专业课程融入思想政治教育存在的问题
1.思政教育与专业教育之间存在“两张皮”的现象在国家教育改革的引领下,专业课教师积极促进课程思政入课堂,但由于有的教师刻意地加入相关内容,为了思政而思政,造成了思政教育与专业教育“两张皮”的现象,内容的过度生硬,一定程度上影响了学生对思政内容的接受。因此,高校应研究如何将思政教育与专业教育之间由“两层皮”向“一盘棋”转化,以真正达到育人效果。2.思政教育与专业教育的融合比较随机当前,各科教师在融入思政元素的过程中存在较强的随机性,多是依靠专业课程教师自我发掘与发挥,这就有可能导致思政内容重复,甚至会引起学生的反感。对此,高校应从整体专业规划出发,针对每门课的特点确定课程思政的育人目标,以及思政元素的融入方式,使其形成课程体系的一部分。
专业课程与课程思政协同改革
1.紧扣毕业要求,明确教学目标与育人目标在传统的人才培养方案中,重点在于知识目标和能力目标的定位,为了提升学生的综合素养,高校应结合毕业要求,以课程教学大纲为抓手,明确并落实课程育人目标。以信息安全这门课为例,可通过理论教学与实验环节,使学生具备密码学、计算机系统安全、网络攻击技术与防御基础、病毒分析与防范、防火墙技术与VPN、安全扫描与入侵检测等计算机网络信息安全方面的基本理论知识、技能及综合应用,同时,培养学生独立思考、勇于创新的能力。在确定育人目标时,应让学生通过熟悉信息安全领域的国家方针、政策、法律、法规,追求科学真理,牢固树立热爱祖国、“信息安全技术的发展与应用不能损害国家和合法个人的利益”的理念,明确合法行为与非法行为的界限,理解诚实、公正、诚信的职业操守和职业规范,并在实际生活、学习与工作中自觉遵守。另外,还要面向国际科学应用前沿、国家重大需求及经济主战场,将前沿科技渗透到课程实践中,教育学生努力学习,破解“卡脖子”难题。2.坚持问题导向,改革教学方法信息安全主要采用理论教学、课堂讨论和上机实验相结合的教学方式,注重启发式教学,以问题为导向,引导学生独立设计信息安全框架,逐步培养他们分析问题、解决问题、勇于创新的能力。在课堂教学中,教师要加强与学生的互动交流,指引学生开展团队协作和课堂讨论,并及时分析、评价学生的讨论结果。另外,要从课程内容、实验环节、互动交流、分组讨论中进行专业课程的思政教学体系设计,促使学生产生学习内动力。
具体案例研究
将课程的教学目标及育人目标,深入渗透到教学大纲的具体内容中,使专业课程内容与思政元素有效融合。以信息安全课程为例,本课程的教学目标是掌握计算机网络信息安全方面的基本知识,了解设计和维护网络信息安全的基本手段和常用方法,能够利用理论知识解决生活中的实际问题。思政育人目标是培养出能够肩负历史使命,勇担强国重任,坚持面向世界科技前沿、面向国家重大需求、面向经济主战场,不断向科学技术广度和深度进军的高端信息安全人才。
思政育人案例
1教学内容:第一章,信息安全概述教学目的与要求:了解信息安全面临的主要威胁、信息安全的基本概念、信息安全的发展方向,掌握信息安全的主要技术及解决方案。思政元素切入点:针对美国政府在拿不出任何真凭实据的情况下,泛化国家安全概念,滥用国家力量,以列入实体清单、技术封锁、投资设障等手段,加大对中国企业的打压力度,让中国在芯片领域面临较为被动的局面。针对这一案例,要明确信息安全的真实含义,牢固树立“信息安全技术的发展与应用不能损害国家和合法个人的利益”的理念,强调中国人的命运一定要掌握在自己手里,绝对不容许被任何势力“卡脖子”。育人目标:面向国家重大需求,培养新一代科技人才,使其能潜心关键领域的基础研究与关键技术的开发;引导青年学生发挥“两弹一星”的艰苦创业精神,为国家培养彻底解决“卡脖子”问题的技术人才;学生要树立正确的家国意识与主人翁意识,将个人的聪明才智和未来发展与国家需求相结合。实施过程:(1)教师授课。讲授信息安全面临的主要威胁、信息安全的基本概念、信息安全的解决方案、信息安全的主要技术、信息安全的发展方向等,从中穿插思政元素。(2)师生研讨。学生针对信息安全的案例分组展开研讨,每组委派一名学生进行总结发言;教师和学生进行点评,在整个研讨过程中形成良好的思政氛围。(3)课后拓展。教师可适当给学生提供与国家战略相关的新闻报道和重大成果视频,增强思政权威性,引发学生思考。思政育人案例2教学内容:第二章,密码技术基础与公钥基础设施教学目的与要求:掌握密码学基本概念、了解传统密码技术,掌握公钥密码技术、公钥基础设施。思政元素切入点:对传统密码技术及公钥密码技术进行阐述,引入量子技术的快速发展对已有密码学方案的冲击。在量子计算模型下,经典数论密码体系受到了极大的冲击,如何在量子时代保障数据安全成为一个亟待解决的问题。Regev提出基于格的密码体系可以抵抗这种量子算法的攻击。格密码作为备受关注的抗量子密码体制,吸引了研究人员的目光。格自身有完整的理论体系,相较于其他密码体制有独特的优势:困难问题存在从一般情况到最坏情况的规约,具有较高的算法效率和并行性等。通过知识拓展,引导学生从基于格困难问题的密码体制设计进行思考、探索,培养学生的工匠精神、钻研精神。育人目标:让学生通过了解传统密码技术及公钥密码技术,知晓量子技术的发展对已有技术的冲击,引导其发挥工匠精神及钻研精神,勇于探索行业难题。实施过程:(1)教师授课。讲授密码学数学基础、密码学基本概念、对称密码技术、公钥基础设施等知识,从中穿插思政元素。(2)师生研讨。针对“我们是否可以在标准模型下构造一个抗量子攻击的基于位置的服务方案?这样的方案是否可以做到避免密钥滥用?”这两个问题进行探讨,引导学生思考,培养学生的工匠精神,提升其思考问题、分析问题的能力。(3)课后拓展。课后对量子算法技术进行更深一步的研究,了解两字算法技术的发展对现有技术的推动,并引入相关思政素材,增强思政权威性,引发学生思考及探索。思政育人案例3教学内容:第四章,网络攻击技术与防御基础教学目的与要求:了解黑客的概念及黑客的攻击模式,掌握网络攻击的技术与原理、网络攻击工具、攻击防范。思政元素切入点:2014年3月22日,国内漏洞研究平台曝光称,携程系统开启了用户支付服务接口的调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,包括信用卡用户的身份证、卡号、CVV码等信息均可能被黑客任意窃取,导致大量用户银行卡信息泄露,该漏洞引发了关于“电商网站存储用户信息,并存在泄露风险”等问题的热议。针对携程漏洞事件,教师引导学生熟知《中华人民共和国网络安全法》(以下简称《网络安全法》)要求网络运营者对网络安全运营负有责任,对产品的漏洞及时补救,怠于履行法律义务,导致个人信息泄露的,将面临最高五十万元的罚款,如果是关键信息基础设施的运营者将面临最高一百万元的罚款。2014年12月25日,第三方漏洞研究平台发现大量12306用户数据在互联网流传,内容包含用户账户、明文密码、身份证号码、手机号码等,这次事件是黑客通过收集其他网站泄露的用户名和密码,通过撞库的方式利用12306网站安全机制的缺失来获取13万多条用户数据。针对12306用户数据泄露事件,引导学生熟知关键信息基础设施的网络运营者不仅有一般网络运营者应该履行的网络安全等级保护义务,还有更高层次的网络安全保护义务,如对重要系统和数据库进行容灾备份,制定网络安全应急预案并定期进行演练等。关键信息基础设施运营者若没有每年进行一次安全检测评估,拒不改正或导致网络安全严重后果的,将面临最高一百万元的罚款,对直接负责的主管人员处一万至十万元以下的罚款。育人目标:通过“教、学、做”一体化的教学模式,一方面向学生介绍网络攻击的相关知识;另一方面结合具体案例自然融入《网络安全法》的知识,引导学生正确运用网络安全和防御技术,严格规范自己的网络行为,维护好个人、企业、组织、国家的信息安全,积极构建网络安全。实施过程:(1)教师授课。讲授关于黑客、网络攻击技术与原理、网络攻击工具、网络攻击防范等知识,从中穿插思政元素。(2)师生研讨。学生针对《网络安全法》的案例分组展开研讨,研讨之后,每组委派一名学生进行总结发言;教师和学生点评,拓展学生的知识面,在整个研讨过程中让学生构建网络安全意识。(3)课后拓展。课后可适当给学生提供《网络安全法》的相关报道视频,增强学生的安全意识,使其规范自己的网络行为。
总结
