时间:2023-09-14 17:45:15
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络攻防与网络安全,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
前言
博弈论在网络安全问题中的应用,注重在事前进行分析和研究,从而保证信息网络安全。博弈模型的构建,从网络攻击和防御两个角度出发,探讨了网络防御过程中存在的脆弱点,通过对这些脆弱点进行改善,以期更好地提升网络安全。目前应用于网络安全最优攻防决策的方法,主要以状态攻防图为主,通过结合安全脆弱点对系统安全情况进行评估,并结合效用矩阵,得出最优攻防决策。最优攻防决策方法的利用,能够弥补当下防火墙以及杀毒软件被动防御存在的缺陷,更好地保证网络安全。
1博弈模型与状态攻防图分析
博弈模型是一种事前进行决策的分析理论,在具体应用过程中,需要考虑到理论与实际之间的差异性,从而保证博弈模型能够对安全问题进行较好的解决。博弈模型在应用过程中,要注重对状态攻防图进行把握。状态攻防图是一种状态转换系统图,其公式为:),,,(GDSSTSSADG,公式中S表示为状态节点集,反映出了网络的安全状态;T表示图中边集,反映了网络安全状态的变化关系;DS则表示了网络的初始状态;GS为攻击目标集合。状态攻防图在具体应用过程中,需要对其生成算法进行把握。首先,需要输入的信息包括以下几点:网络拓扑的可达矩阵;脆弱点集合;可利用规则;初始状态节点;其次,对状态攻防图SADG进行输出。状态攻防图的输出,主要包括了以下内容:网络拓扑可达矩阵RM;初始安全状态节点So;主机节点集合;vuls集合等。在对状态攻防图利用过程中,需要根据状态变迁情况,对状态攻防图进行相应的完善,以使其功能和作用得到有效发挥。
2网络攻防博弈模型构建
在进行网络攻防博弈模型构建过程中,要对网络安全防御图和攻防博弈模型的内容有一个较好的了解,从而利用网络安全防御图,对防御节点信息进行把握,保证系统能够有效的抵御攻击。同时,网络攻击博弈模型构建过程中,要对成本和收益进行较好把握,建立完善的攻防博弈模型,对攻击和防御因素进行较好把握。2.1网络安全防御图网络攻防博弈模型构建过程中,需要对网络安全防御图内容予以一定的认知和把握,从而为网络攻防博弈模型构建提供有利条件。从网络安全防御图的本质来看,其是一个6元组,对其可以利用公式进行表示:StsSS}...0..{SdSSa,其中S为整个网络安全防御图的节点集,t代表了网络节点状态下的网络安全情况,So反映了最初阶段的集合状态;Ss则代表了攻击目标集合;Sa表示对抗攻击集合;Sd则代表防御集合。在对SStS}...0..{SdSSsa应用过程中,要对每一个节点的网络安全状态进行把握,并对网络访问能力进行分析,从而了解到攻击者可能采取的攻击方式。2.2攻防博弈模型攻防博弈模型的利用,能够有效地构建最优防御策略,从而在成本和效果方面,都能够获得较好的收益。攻防博弈模型在利用过程中,其模型是一个3元组,利用公式在对攻防博弈模型表达时,攻防博弈模型=USN},,{,其中,N代表了攻防博弈模型的设计者;S反映出了策略集合;U则代表了攻防策略。在利用攻防博弈模型在对网络安全问题分析过程中,网络安全产生的损失,表示了攻击者所获得的利益。在对攻防博弈模型选择过程中,需要对相关算法进行较好的把握。具体步骤如下:第一步,确定初始化攻防博弈模型:aPSdSadP),(),,(),,(UdUa;第二步对攻击策略集合进行构建;第三步建立防御策略集合:sdnsdsdSd},...2,1{;第四步,对防御策略进行给出:UdijtDeaitiDcos)(cos.costDe;第五步,生成矩阵U;第六步对SaPPad),(),,(),,(UdUSda进行求解。通过利用攻防博弈模型USN},,{,能够对最优攻防决策方法进行把握,从而为网络安全提供重要帮助。
3基于博弈模型的网络安全最优攻防决策方法实例分析
在对博弈模型基础下的网络安全最优攻防决策方法分析过程中,通过利用实例,可以对这一问题进行更好的认知和了解。本文在实例分析过程中,网络拓扑图设计情况如图1所示:结合图1来看,网络拓扑中主要涉及到了互联网、攻击主机、防火墙、server1-4数据节点、路由器等装置。在进行实例分析过程中,脆弱点的设计,主要为权限提升类弱点。关于脆弱点的信息,我们可以从表1中看出:在对网络各节点中的脆弱点扫描完成后,需要对攻击路径进行较好的把握,从而对攻击成功的概率和危害性进行分析,以保证网络安全防御能够具有较强的针对性和可靠性。关于攻击路径问题,我们可以从表2中看出:针对于攻击方,为了保证系统安全,防御方需要针对于攻击方,提供相应的解决对策。对此,利用博弈模型进行最优攻防决策过程中,具体内容我们可以从下面分析中看出:首先,应对于Server1节点的最优攻击策略在于对“2005-0768”的脆弱点进行利用,从而对这一节点进行攻击,获取用户权限。用户在防御过程中,需要对Server1的节点进行升级,从而保证对攻击方进行有效的防范。其次,在对Server2节点进行攻击过程中,其脆弱点为“2005-1415”和“2004-2366”节点,从而对用户权限进行获得。用户在进行防御过程中,需要对Server1的GoodTeshetserverTeln节点进行升级,并对Server2中的“2005-1415”节点和“2004-2366”节点进行升级,这样一来,考虑到攻击成功的概率64.6%,需要对防火墙等防御系统进行更新,以避免系统遭受攻击。再次,在对Server3进行攻击过程中,首先对Server1的权限进行获取,之后利用Server2的脆弱点攻击Server3,获取Server3的用户权限。用户在进行防御过程中,需要针对于Server3的脆弱点对防御系统进行更新。最后,在对Server4攻击过程中,需要获取Server1、Server2、Server3的权限,从而攻击Server4的脆弱点2002-0694,攻击成功率在70.7%左右。在进行防御过程中,需要对Server4的脆弱点进行更新,并利用Sendmail补丁,以避免系统遭受攻击和入侵。
4结论
关键词:网络攻防;防火墙;设计;系统
中图分类号:TP393.08 文献标识码:A 文章编号:1671-2064(2017)05-0016-01
由于当前网络安全技术与网络发展之间差距较大,网络安全问题频繁发生,给各个企业单位的网络安全造成巨大威胁。网络攻防平台及防火墙设计是保障网络完全的重要部分,其对保障网络安全发挥重要作用。本文针对首先分析了网络攻防平台的设计,探讨了防火墙系统的设计与实现。
1 DoS/DDos攻击的原理与防范
1.1 DoS/DDos攻击原理
拒绝服务攻击是建立在TCP/IP协议的弱点与系统存在的漏洞的基础上,其主要是利用合理的服务请求,使网络带宽和服务器资源占用过多,实现正常的连接请求没有办法回应。DoS最为常见的有这几种:SYN Flood 攻击、Land攻击、Smurf攻击、UDP攻击等[1]。
DDoS的攻击主要分为三个部分,分别为攻击者、主控端、端,这三个部分在攻击中发挥着不同功效。其中攻击者使用攻击主控台,其不仅可以是网络上任意主机,也可以是一个活动便携机。攻击者对整个攻击过程发挥主导作用。主控端是攻击者非法入侵并控制的主机,其还能控制其它主机。主控端主机能对攻击者发来的指令作出回应,并将命令传送至主机。端也是攻击者侵入并控制的一批主机,其能够对主控端发来的命令作出回应,端主机主要发挥执行作用,是向受害者发送攻击的一个部分。
攻击者发起DDoS攻击首要步骤是在找寻存在漏洞的主机,之后对主机的系统对后面程序安装,在入侵主机上安装攻击程序,主控端、端分别是其中两个部分,并完成各自的职责。
DoS、DDos攻击的目的有:(1)网络带宽的流量攻击;(2)对服务器某特定服务的攻击。攻击方法为发送垃圾数据,使资源占用超出正常范围,从而导致网络中断的现象。
由于DoS、DDos是建立在网络协议的缺陷上,因此,对消除攻击危害的完全消除具有一定的困难。从本质上来讲,不论是带宽还是服务其资源有限的系统,在DoS、DDos的基础上都会遭到攻击威胁。暴力型DDoS攻击是一种具有较强攻击性的特点,先进的防火墙也无法发挥作用。
将SNMP应用网络设备中,对检查网络设备的异常发挥重要作用,通过预定的或用户的命令,可以采用入口过滤、出口过滤等操作应用网络信息中,为达到防范Dos攻击的目的奠定基础。
比如,当传送器检测到网络系统出现异常时,就会出现报警的报文,用户在这时就会按预先的设定作出相应的防范对策,对不必要的服务应关闭,将具有攻击性的报文丢弃等。
1.2 常规安全检测与防范
常规检测与防范主要针对于网络中所有服务器和客户机的,其是保证网络安全的重要部分。假如所有计算机都具有良好的防范安全性质,那么DDoS攻击发生的概率将逐渐降低。
对于实际生活中DoS、DDoS攻击的检测,可以通过Ping命令、an命令来实现[2]。一旦发现网络速度较之前存在异常,应用Ping命令来查看是否出现超时现象,是否是遭受流量攻击等。假如Ping命令测试某服务器时没有显著的异常,但是计算机却无法打开网页,而Ping同一交换机上的其他主机正常,那么O大可能是由于资源耗尽所致。在服务器上执行Netstat-an命令,假如存着着YYN-RECEIVED等情况,而出现ESTABLISHED的情况较少,就可以确定是由于资源耗尽造成。
对于提高网络服务器的抵抗力的方法有这几种:(1)对服务器硬件配置的提升,并将网络宽带提高;(2)将不必要的服务进行关闭;(3)对于同时打开的SYN不完整连接数量进行限制;(4)减少SYN超时时间;(5)进行Windows Updata自动更新,并使补丁程序进行及时安装;(6)安装最新的杀毒软件:(7)将较为复杂的密码作为管理员账号。
2 网络攻击子系统的设计
网络攻击子系统是对常见网络攻击操作展开的模拟,对用户提供良好的接口及丰富的攻击工具,其对用户更好的进行网络攻击实验提供有利条件保障[2]。网络攻击子系统由多个部分组成,其中包括DDOS攻击模块、漏洞扫描模块、ARP欺骗模块、网络嗅探模块等。这些系统对实现目标系统的一些典型网络攻击行为发挥重要作用。网络漏洞是其中的重要部分,它是建立在攻击源码的基础上,在实际应用中需要修改漏洞源码才能发挥攻击作用。在设计网络攻击子系统中应用二次开发接口,能够有效实现修漏洞利用攻击源码。
3 结语
由于网络具有的开放性、共享性等特点,导致网络安全的问题时常出现,“网络黑客”攻击事件频繁发生,给各个企业单位的网络安全造成巨大威胁。网络攻防平台及防火墙的设计与实现能够有效解决这一问题,其为保障计算机网络安全奠定良好基础。
参考文献
关键词:虚拟蜜网技术 网络攻防实验 平台构建
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2013)12-0103-01
科学技术的发展,使得普通的杀毒软件根本无法对抗高级别的病毒,病毒会很容易攻破主机的防火墙,成功侵入到主机中,所以,网络攻防实验的开展是探索网络安全的重要方式,也是健全网络技术的重要途径。应用虚拟蜜网技术可以实现攻防实验的平台构建,可以集成多种的攻防软件,虚拟蜜网技术的应用成本非常低,操作过程也比较简便,保障了网络攻防实验的顺利进行,同时满足单人、多人实验的要求。
1 创建平台的重要技术
1.1 蜜网技术
随着网络的快速发展,传统的网络攻防技术如:防火墙、访问控制等,虽然已经形成了统一的预防结构,但只能对已知的病毒进行防范,已经不能满足网络安全的需要。蜜网技术的应用可以全面的了解到病毒的特征和行为,可以充分的掌握病毒的资料,从而探索出更加有效的预防措施,并能在病毒攻击主机前,就找到解决的方法,很大程度上避免了主机系统的损坏。蜜网技术通过操作系统和应用软件来控制实现,并且在不容易被病毒察觉的情况下,进行数据信息的交换,给防御工作创造了足够的时间。
1.2 虚拟蜜网技术
虚拟蜜网是蜜网技术的主要实施方案,通过虚拟机来完成多个操作系统的实验工作,并在系统之间构建虚拟网络,实现单一主机操作的蜜网系统。虚拟蜜网技术拥有蜜网技术的所有技能,而且在具体的网络攻防实验中,虚拟蜜网的拓扑配置非常有利于预防病毒的入侵,也节约了大量的硬件资源,降低了实验的成本,由于本身就是虚拟的网络,所以,即使遭遇到病毒的入侵,也不会给主机造成损失,保护了系统的安全。
1.3 虚拟机
虚拟机在物理计算机上实现,通过软件来具体的模拟出硬件计算机系统,从而实现数据信息的传递,这些物理计算机之间互不干扰,独立完成网络构建的任务,形成统一的网络平台。虚拟机上面可以操作很多的常用软件,并备份数据,部分虚拟机可以实现视频、截图的功能,方便了用户的使用,使虚拟机可以更好的预防病毒的攻击。
2 网络攻防实验的具体实施
2.1 设计体系结构
在网络攻防实验进行时,首先,工程师应该设计出实验的体系结构,基于蜜网技术的支持,合理的设置虚拟机的数量和配置,使实验的结果真实可靠。应以一台公共的主机作为实验的基础,并保证该主机的系统配置可以满足实验的要求,然后在主机上面安装虚拟机的软件,可以创建4个虚拟的计算机,选择其中一台安装蜜网操作系统,另外三台中的一台需要安装具有教学意义的黑客工具,其余两台计算机设置为虚拟蜜罐,四台计算机要可以实现服务器的运转,保障网络攻防实验的顺利进行。
2.2 设置数据控制
数据控制是蜜网技术的重要功能,由于蜜网技术防御病毒攻击的过程,是通过流入的病毒数据进行抵制,所以,不控制数据的流入,但又要防止病毒通过蜜罐计算机去攻击别的系统,因此要对流入的蜜网数据进行控制。在网络攻防实验中,数据控制功能是保证实验顺利进行的核心功能,通过数据控制可以实现操作系统的安全操作,有效的防止了病毒的入侵。在实际的实验过程中,构建平台上的蜜网数据控制由防火墙技术和入侵检测构成,防火墙负责把所有流入的信息进行比对,根据匹配的结果来判断信息的可靠性,入侵检测负责检查传递的数据包中是否存在恶意代码,从而保证计算机系统的安全。
2.3 数据捕获功能
数据捕获通过对相关数据进行抓包分析,从而检测数据包的信息,具体的捕获对象有防火墙、入侵计算机系统日志、数据包及蜜罐主机系统的日志。系统日志的信息通过防火墙和系统自身日志的传递来获得,数据包通过网络嗅探器的检测捕获数据,并通过数据包内的功能将其保存。蜜罐主机上面会对攻击的病毒进行记录,通过虚拟主机的操作,把所有来往的数据进行包装,使病毒认为是正常的网络数据,从而会把数据发送到蜜网网关中。
2.4 数据监测和警报
通过数据捕获功能捕获得到的数据包,其内部的数据信息非常复杂,又由于数据包的来源软件各不相同,如果通过人工的方法进行分析,工作量非常大,并且会浪费大量的时间。数据监测就可以实现分析数据包信息的功能,首先,把捕获来的信息通过数据库进行标记,并在蜜网网关上面安装数据监测的软件,使其可以分析出大量的数据包信息。同时给数据监测软件构建一个数据分析的平台,通过浏览器从管理平台上进行细致全面的分析,从而保障数据包信息分析的准确性。警报功能可以在数据监测软件分析出可疑信息的第一时间发出警报,通过浏览器将警报传递给虚拟主机,从而发现病毒可能存在的路径。
3 结语
网络快速发展的同时,也带来了网络安全的问题,随着人们频繁的网上交易活动,对于网络安全也提出了更高的要求,从而保障网络运行的真实可靠。网络病毒已经完成了自身的革新,普通的防火墙软件不能很好的进行防范,所以,就要求网络工程师应该探索出更有效的方法进行预防。虚拟蜜网技术的应用使网络攻防实验具备了预防病毒的性能,并能很好的伪装,成功的捕获病毒,对病毒数据进行细致的分析,从而实现完善网络防御功能的目标。
参考文献
[1]王春海.虚拟机配置与应用安全手册[M].北京:人民邮电出版社,2012.
[2]陶文林.基于Hyper-V技术的虚拟蜜网系统的研究[J].苏州市职业大学学报,2010,21(12):139-142.
[3]章英,向宏,田庆宜.基于蜜网的网络攻防平台的设计与实现[J].微计算机信息,2012,52(14):411-412.
创建“三场联动”的课程教学模式
“三场联动”的培养模式是“中小型网络安全管理与维护”精品课程建设的成果,它是“校企合作、工学结合”的高职教育理念在课程中的创造性应用。“三场联动”是指将课程的实施场所分为学习场所、竞赛场所、职业场所,将课程的教学内容和职业能力要求分散到三个场所,从而较好地解决了传统网络安全课程无法有效培养学生职业能力的问题。
1.学习场所
课程的学习场所在实训室。通过与我国知名网络安全企业H3C合作,按照基于工作过程的理念共建了H3C网络综合实训室,实训室拥有先进和完备的网络安全设备,完全满足基于工作过程的课程教学需要。在学习场所,通过基于工作过程的项目式教学,可以让学生掌握网络安全管理的知识和技能。
2.职业场所
课程的职业场所设在学校网络中心、特长生工作室。利用先进的校园网,将部分教学内容放在学校网络中心实施,在网络中心工程师的指导下,学生承担部分校园网的网络安全管理工作。特长生培养是信息工程学院人才培养的重要组成部分。选拔优秀学生到计算机技术服务中心工作,为学校师生提供病毒清理、数据恢复等系统安全维护工作。在职业场所,通过真实的工作环境和工作任务,可以让学生掌握网络安全管理岗位所需的职业能力和职业素质。
3.竞赛场所
课程的竞赛场所在网络安全攻防大赛。将课程的学习内容以竞赛的形式进行,鼓励学生以团队形式共同面对挑战、克服困难,进而培养学生的方法能力和社会能力,提高学生的职业素养。在竞赛场所,通过精心设计的比赛环节,鼓励学生大胆探索实践,培养创新意识、团队意识。
创建“三维一体”的课程支撑平台
精心设计的教学模式还需有力的支撑平台。“中小型网络安全管理与维护”课程通过与企业合作,经过课程建设团队的多年努力,创建了与“三场联动”教学模式相对应的“三维一体”的课程支撑平台。“三维一体”的课程支撑平台包括网络设备平台、网络教学平台、网络攻防平台。该平台具有自主性、创新性、开放性等特点。
1.网络教学平台
“中小型网络安全管理与维护”网络教学平台是课程建设团队经过多年努力,利用最新的Web技术、多媒体技术开放的一个课程网站,在该平台上除了拥有课程的所有教学资料外,还有着丰富的网络安全学习资料、工具、视频,教师和学生可以利用这个平台进行交流、学习、探讨。
2.网络设备平台
“中小型网络安全管理与维护”课程网络设备平台包括H3C网络综合实训室的设备和网络中心设备,课程团队教师利用现代网络技术将所有网络安全设备整合成为一个先进的网络安全平台。这个平全向学生开放,学生可以在这个平台上验证自己的各种设计理念,也可以在这个平台上测试各种网络安全新技术、新方法、新工具。
3.网络攻防平台
与竞赛场所相对应,课程团队与知名安全公司合作,利用多台服务器搭建了一个网络攻防平台,这个平台上所有系统、应用程序、服务均由教师自行设计和部署,并及时更新。平台全天候向学生开放,学生可以在任何接入Internet的地点访问这个平台。通过这个平台,鼓励学生去挖掘软件漏洞,进而掌握网络安全加固的方法。
基于“三场联动”的网络安全管理职业能力培养
职业能力是从事一门或若干相近职业所必备的本领,从能力所设计的内容范围来看,可分为专业能力、方法能力和社会能力。
网络安全管理岗位有着如下的特点:第一,网络安全威胁层出不穷,变化多端,无法及时准确预计;第二,网络安全设备厂商多而杂,网络安全解决方案也是多而杂,很难找到一套标准的解决方案;第三,网络安全管理岗位工作任务综合性强。岗位的特点决定了在培养网络安全管理职业能力的时候应该将方法能力和社会能力放在突出位置。
传统的课程教学模式能比较有效地培养学生的专业能力,但对方法能力和社会能力的培养大都停留在“说教”层面上,教师难教,学生难学,没有效果。“中小型网络安全管理与维护”课程设计的“三场联动”教学模式有效地解决了这个问题,收到了良好效果。
1.学习场所
要求学生以小组的形式完成项目,侧重培养学生的团队合作能力、快速学习能力、项目控制与管理能力等。
2.职业场所
通过现代师徒制,学生作为网络中心工作人员,为全校师生提供优质的网络安全服务,侧重培养学生的服务意识、质量意识、时间意识。
3.竞赛场所
关键词:保密:保密培训:实验室建设:实验体系
1 研究意义
北京交通大学国家保密学院是国家保密局批准建设的十所国家保密学院之一,并且被列为全国示范性保密学院。保密学院依托于信息安全、信息管理和法学3个专业方向,具体分为全面建设保密技术、保密管理和保密法3个方向,为国家培养懂技术、懂法律、善管理的复合型保密专业人才。保密专业是一门实践性和对抗性很强的专业,因此必须加强对保密人才的教育和加强保密人才的实践能力培养。然而保密学教育才刚刚起步,目前各个高校对保密人才的教育都处于探索阶段,并且由于保密工作的专业性和特殊性,在保密人才的实践教学方面,大部分高校没有专门针对保密专业人才培养的实验平台环境,实验室的建设也缺乏参考的示范;另外,保密人才实践课程教育体系更是有待完善,目前实验课程只能开设与相关专业类似的实验,没有相应的实验指导体系。以上这些都不能满足保密人才教育的要求,随着保密专业人才培养工作的进一步展开,保密人才培养工作中对实验环境建设和实践课程体系构建的迫切需要更是突显。
本文将在对其他相关专业实践教育体系、保密相关单位实验环境、社会对保密专业人才能力要求等方面进行调研的基础上,结合保密学科专业特点和社会需求,对保密专业实践环境进行研究,提出特色鲜明、开放性好、创新性高的实践教学体系和完善的科研平台建设方案,初步提出保密专业实验指导体系的设计思路。
2 保密专业实验室拓扑结构
保密专业实验平台根据其功能可划分为教学服务区、靶区、教学实验区、教师区和学生终端区五大职责区域。拓扑结构如图1所示。
教学服务区主要负责网络安全课程实践教育。该区域基于真实的网络环境,利用安全设备搭建了一套模拟信息安全综合实验环境的平台。靶区是网络攻防实验的被攻击区域,包括各种主流的机型和操作系统、各种常见的服务器等,接受来自学生终端区、教师区内各终端上的各种网络攻击行为;教学实验区配有主要的安全设备以及安全设备的管理机;教师区主要包括教学演示用机,该区主要用投影仪对已经完全研究透彻的网络安全技术进行教学讲解;学生终端区配有若干常见操作系统(采用Windows、Linux(双系统配置)的PC机,它们通常是发起网络攻击的主体,为学生利用仿真环境及真实物理环境进行网络攻防技术学习提供了平台。
3 保密专业实验室建设方案
北京交通大学国家保密学院综合实验包括一个基地和3个平台,即实训基地、网络安全和保密技术实验平台、计算机取证和攻防实验平台、保密演示平台等。
3.1 实训基地
实训基地采用先进的云计算和云存储技术,并兼容各种终端。跟传统的实验室环境相比,安全性更高,可控性更强。实训基地不仅可用于在校学生的教学实验、学科竞赛和科研训练,还可用于在职人员的保密培训;基地环境在虚拟终端计算机模拟,目前能开展的实验环境包括集中管控环境、网络攻防环境、虚拟化环境等。
3.2 网络安全与保密技术实验平台
网络安全和保密技术实验平台结合网络安全和常用的保密技术,提供保密相关的系列实验教学,包括身份认证技术、访问控制技术、数字签名技术、漏洞扫描、防火墙、入侵检测、木马病毒等恶意代码、嗅探和欺骗、拒绝服务和缓冲区溢出攻击、保密检查、智能卡安全等内容。该平台拓扑结构如图2所示,它由教学子平台、实践子平台、实战子平台和综合实训子平台组成,分别实现教师课程教学、学生动手实践、分组攻防实战以及综合实训的功能。
3.3 取证与攻防实验平台
计算机取证与攻防实验平台主要模拟了计算机取证和网络攻防环境。主要涉及的技术有网络攻防技术、本地取证技术、手机取证技术、远程取证技术、数据恢复、数据销毁、密码破解、鉴定分析、证据储存等。
3.4 保密演示平台
保密演示室配有常见的保密演示设备,为学生们提供学习保密检查和管理的实验平台,培养和树立保密意识;演示室目前有窃听窃视设备、反窃听设备、窃密泄密演示系统、模拟系统和保密检查工具等,可以开展的实验包括模拟系统实验、保密检查实验、窃视窃听实验、反窃视实验、窃密泄密实验、保密监督检查实验和互联网泄密查处实验等。
4 保密专业实验体系建设
按照课程培养方案以及已经建成的综合实验环境,保密专业设置了10个大类实验项目,分别是计算机取证实验、应用密码学与安全协议实验、计算机攻防实验、入侵检测实验、无线通信安全实验、智能卡安全技术实验、保密技术检查实验、保密技术实验、保密管理综合实验和保密法学综合实验,如表1所示,共包括70个实验,覆盖保密技术、保密管理和保密法学3个专业方向的大部分课程。
确定实验项目之后(见表1),所有实验项目的建设流程如图3所示。
整个建设流程在项目负责人的统一协调下按计划执行。首先,由课程负责人提交实验申请表;然后由项目负责人汇总并召集教研室主任讨论并确定需要建设的各个实验指导书;接着完成实验指导书的编译工作;最后是试用阶段,所有的实验指导书在经过几轮的试用之后,还需要经过几个轮次的修订推出实验指导书的最终版。到目前为止,该项目已经进入试运行阶段。
5 结语
在保密专业实验室的建设和实验体系的设计中还存在以下问题:
(1)实验偏重于保密技术,在保密管理和保密法方面还略有欠缺。
(2)在保密技术方向的实验中保密特色不够鲜明。
(3)大部分的实验课程以及实验指导体系仍处于初步的设计阶段。
关键词:时空维度;网络安全态势;预测;方法
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)33-0059-02
针对网络安全态势,主要指对网络安全运行可能会造成一定影响的网络和设备的运行状况以及网络用户的各种行为,主要对网络正常运行过程中安全状况进行一定的分析。网络技术的普及应用以及迅速发展,使得网络在人们日常生活中占据着关键地位,但是应用过程中存在的安全隐患问题也逐渐带来人们极大的不便与困扰。目前,在网络的正常运行中常常出现一些较为复杂的网络攻击行为,网络的发展开始呈现复杂化与规模化的特点。因此,为了有效地保证网络安全运行,就应进一步采用科学的方式对网络的安全态势进行管理以及制定相应的措施,从而强化网络安全工作的开展。
1 造成中网络账号不安全的原因
网络的广泛应用使得网络环境中存在一定的隐患问题,黑客对网络账号的攻击越来越常见,较为普遍的网络黑客对网络账号进行攻击导致网络存在一定的不安全性,常见的网络账号被侵袭的原因包括黑客攻击服务器、制作网站、键盘记录技术、屏幕录像以及远程浏览器执行等。黑客为了确保对网络账号的窃取成功以及隐蔽,会运用多种技术同时进行。网络业务化的广泛以及普及应用,黑客技术的更新也在不断进行。
1) 攻击服务器以及制作网站
关于,就是指黑客提前建立起一个相似于官方网站的类似网页,诱惑上网用户通过账号密码等信息的输入,或者黑客在网络中种植相关的木马病毒等。然后将对造假网页申请较为类似的官方域名,运用用户的拼写失误,将其进行连接;一些黑客甚至花费一定的M用购买数据库,其中甚至包括一些邮箱的地址等。然后黑客通过对这些邮箱地址发送钓鱼邮件,邮件中甚至包含了一些虚假的信息,骗取网络用户对网页进行访问。
2) 利用键盘进行记录
黑客用户运用木马病毒对网络用户正在操作进行的网页窗口进行监视,一旦发现网络用户对正在登陆的网页进行访问时,就可以将键盘上输入的内容进行记录。这种方法即使看似简单常用,但是对在线网络账号密码输入的获取、网上银行支付密码的获取效果相当好。针对这种入侵的方式只有采用一些模拟键盘技术才能将登陆的系统进行防护。
3) 采用屏幕录像的形式
一些木马病毒能够对屏幕进行相应的录像,并且录像的视频内存相对较小。这类技术与键盘记录技术类似,相对键盘记录只是多出了对鼠标点击内容进行相应的记录,并采用截图的形式对当时的内容进行截屏。黑客按照这些截屏以及鼠标的点击坐标,可以根据内容回访获取网络用户进行交易时敲击的键盘位置以及按钮等。
2 优化采用时空维度强化网络安全态势的预测方法
网络的运用中经常会遇到一些安全隐患的问题,强化网络安全态势的预测具有一定的必要性,针对网络安全态势的预测方式,本文以时空维度为基础进一步对网络态势的安全预测进行详细的分析。
1) 网络安全态势的影响要素
网络安全态势的正常运行主要容易受到网络攻击方、网络防护方以及网络环境三个基本要素的影响,若想使网络安全态势进行详细的预测分析,就应对网络安全态势的影响要素进行及时的预测,其具体工作就是将网络环境中的运行状况与攻防数据进行相应的检测以及采集,并采用合理方式对采集处理的网络数据进行相应的处理,进而将影响网络安全态势的各种要素整理出来,并且按照一定的分类将其表述为六个元素。主要包括业务要素、资产要素拓扑结构要素、供给序列集要素、防护策略要素以及脆弱性要素等。
2)从时间维度对网络安全态势进行分析
在将网络安全态势要素进行提取的基础条件下,应按照提取的相关要素有效的为安全态势提供强有力的数据支持,根据时间的变化,在网络攻防环境中对网络安全态势要素进行详细的预测以及分析,并根据实际的网络攻防环境将其进行相关的验证并加以试用,进而以时间维度为基础对提升网络安全态势的效果奠定基础,并进一步明确了下次时间维度的预测以及分析目标,进而逐渐强化网络态势的精准性。在进行实际的预测过程中,在攻击序列的基础上逐渐使得频繁的脆弱性变化,因此网络安全管理人员对这种状况常常难以采取相应的措施进行处理。针对其他的网络安全态势则可以采用一定的措施进行控制,因此应有效地运用时间维度的分析法对安全态势进行相应的预测,这四类的网络安全态势可以为网络安全管理人员提供较为准备的信息,并且网络运行较为稳定,变化周期较长,使得在一定的时间内预测的安全要素一致,因此,网络安全管理人员应采用合理的措施将其进行集中处理分析,将网络安全态势的影响因素以及实际运行环境进行有效结合,记录可能带来相应的变化,对网络安全态势的发展趋势的影响要素进行集中管理。
3)从空间维度对网络安全态势进行分析
以时间维度预测与网络安全态势的分析基础上,运用空间数据发掘理论,进一步对网络安全要素的影响条件进行相应的分析,进而对一段时间内的安全态势进行一定的认识。而空间数据发掘理论,主要是针对拓扑结构进行合理的分析,用于实际地理位置与几何形状的特点进行分析的理论方法,这种方式最初被广泛应用于GIS系统方面,交通控制方面、处理医学图像方面以及环境保护方面等,但是由于网络数据具备一定的空间特点使其得以在网络安全中广泛应用。但是采用空间维度对网络安全态势进行分析及预测就应保证选取的时间范畴与实践维度预测与分析的时间段相一致,并且逐渐将安全态势的数据值算出来。在进行预测的实际过程中,应全面性的考虑到安全态势的预测容易受到时间维度的特点的影响,这主要是由于对节点安全态势值进行计算的过程中,不单单要受到节点自身的安全态势带来的影响,并且周边的安全态势也会对其产生一定的影响,并且时间维度预测的安全态势值准确度不高,使得空间维度进行预测的安全态势值受到一定的影响。因此,在进行实际的安全态势安全值预测的过程中,应主要以空间数据发掘理论为基本载体,以空间维度为基础对安全态势进行预测以及计算,进而对安全要素的基本关系进行分析,将其结果与实际的时间维度预测结果相结合,从而得出最终的安全态势值。
3 对网络安全态势预测与网络智能技术进行分析
1) 强化网络安全态势预测的必要性
网络安全态势即网络运行过程中所在的网络环境的安全状态,与网络用户的行为与网络设备的运行有着直接的联系,对网络安全构成一定的威胁。现阶段,网络在持续的发展进步中,网络应用的关键性在人们的生活中日渐凸显。因此,网络环境的安全隐患问题对广大的用户造成了一定的挑战,并且网络攻击行为的逐渐复发化加大了网络管理工作的难度。为了有效地强化网络环境的安全,应对网络的安全态势进行一定的预测,进一步了解网络安全态势的基础常识,采用科学的安全策略对网络安全做出一定的防护。
2)网络安全态势进行预测中的注意事项
由于在网络安全态势预测的进程中会受到安全态势基本要素的影响,使得相应的网络安全态势值的准确值不够精准,进而对网络安全态势的预测结果产生一定的影响,并且运用脆弱性预测算法进行分类预测时,会由于安全态势出现的随机性相对较强,因此,必须采取合理的措施提升预测的精准性。网络环境的发展趋势越来越复杂,使得网络安全态势的预测难度有所增加,因此,应该与实际的情况进行有效结合,强化对网络安全态势的预测,促进网络安全的正常发展。
3)分析网络优化智能技术
网络安全性的优化主要是对网络正常运行的内部环境采取一定的优化策略,进一步整理网络环境,从而确保安全的网络环境。⒅悄芑技术应用于网络环境当中,并对网络进程中的信息进行详细的整理并且收集分析,运用数字跟踪技术对正在运行的网络安全环境进行相应的判断。将网络的问题进行判断以及分析以后应对网络环境内部的配置进行相应的优化以及处理,进而更好的解决对网络安全态势的影响问题,进一步提升网络运行的效率。在网络的实际运行过程中采用智能化系统有助于在网络的运行过程中逐渐形成专家系统,进而实现对网络资源的优化配置,在进行网络运行的过程中还可以采用智能决策技术与知识优化管理技术对其进行优化。
4 结束语
综上所述,采用时空维度对网络态势进行相应的预测是保证网络安全运行的重要举措。在现阶段时代大背景下,网络管理人员应紧跟时展的步伐,进一步提升自身的专业技能,强化对网络安全态势预测的安全意识,并以空间与时间两个基本维度对网络安全态势进行科学的预测以及合理的分析,全面掌握网络安全态势的基本情况,针对网络安全态势的具体情况,采取合理的措施对网络安全进一步调整,使其与未来发展的网络安全相适应。
参考文献:
[1] 刘玉岭,冯登国,连一峰,等.基于时空维度分析的网络安全态势预测方法[J].计算机研究与发展,2014,51(8):1681-1694.
[2] 李巧君.基于时空维度分析的网络安全态势预测方法[J].网络安全技术与应用,2015(1):102,104.
[3] 彭大,郭栋栋,邢梅,等.基于时空维度分析的网络安全态势预测方法[J].通讯世界,2015(22):36-36.
[4] 史瑞芳.简析基于时空维度分析的网络安全态势预测方法[J].网络安全技术与应用,2015(11):82-83.
(讯)实体战争打不起来,虚拟网络战争已经开始!我们在6月7日的深度报告《IT安全是和平时期国家的制高点》里明确指出,在可预见的未来5-10年以内,发生中国卷入的区域性战争的可能性微乎其微,和平共处是世界发展的主流。虽然实体战争不可能发生,但是虚拟的网络战争已经开始了。
去年12月底,美国就对朝鲜进行了全面的网络攻击,使得朝鲜全国网络瘫痪了2天。美国组建了网络战联合功能构成司令部,拥有约9万名安全研究军人,日本于2011年建立网络空间防卫队,投资了约70亿日元负责安全项目。在和平时代,网络的攻防成为国家间没有硝烟的战场。
正式以法律的角度来确保我国的军事安全、科技安全领域:在维护国家安全的任务方面,新法要求,国家加强自主创新能力建设,加快发展自主可控的战略高新技术和重要领域核心关键技术,加强知识产权的运用、保护和科技保密能力建设,保障重大技术和工程的安全。
国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。
IT安全是国家战略安全的制高点:当代社会已经进入数字社会,互联网开始连接一切,构成互联网时代的基础则是各种通讯设备和系统应用软件,信息安全是国家安全的重中之重,保障互联网安全,保障IT信息产业安全将是重头戏。
在互联网的时代,IT产业国产化的进程不可逆转。加大IT安全有两条路径,即防护和自身系统国产化。前者需要加大对防火墙、攻防产品的投入;后者则是加大系统的国产化率,做到自主可控。
网络安全法人大二次审稿结束,政策依然密集支持:现在法律已经落地,那么以前各个部门、领域的临时网络安全措施便有了法律依据,从投资逻辑上我们具体可以关注三条线:软件自主可控,硬件自主可控以及系统自主可控,软件自主可控表现在架构上,更多的使用云计算架构替代传统国外巨头的软件设施;硬件上来看,从芯片、服务器、网络安全设备等等,开始对国外设备进行替代;从系统自主可控,更多的以具有保密资质的国内企业来完成以往国外公司招标的系统。
投资建议
我们维持行业“增持”评级,投资组合为:中科曙光、紫光股份、北信源、启明星辰、绿盟科技。(来源:国金证券 文/郑宏达 编选:中国电子商务研究中心)
关键词:网络安全;实战;案例
在“网络安全技术”教学中,充分利用计算机网络功能,开展以自主学习为前提、以合作交流为形式、以探究建构为目的的实战式案例教学模式,无疑对实现学生认知的深化和建构,教学双方发生角色互换,唤醒学生的主体意识,发展学生的主体能力,塑造学生的主体人格,培养学生科学的探索精神和创造能力是大有裨益的。
一、案例教学的模型设计
1.案例教学的理论基础
现代科学理论认为,思维是人脑对信息进行采集、分析、综合、存储、加工处理,并做出判断推理的过程。这一过程可分为信息的提供、加工处理和输出三个步骤。在这个过程中,教师作为引导者提供源信息,并指导学生对这些信息加工处理:学生是主体,分析、综合、加工处理这些信息,不断丰富自己的知识和技能。案例教学是完成课程内容教学和知识延伸很重要的环节,因此,案例教学是通过对一个具体情景的描述,引导学生对这些特殊情景进行讨论的一种教学方法,对培养学生的创造性思维能力十分重要。
案例教学主要的优点在于:
(1)案例教学注重学生的创造能力和实际解决问题能力的发展,它所解决的是如何用更有效的方式(不只是传授、讲座)获得这些知识。
(2)学生通过案例教学得到的知识是内化了的知识,逐渐学会了如何处理众多的疑难问题。
(3)通过案例教学,学生不仅可以从中获得认知的知识,而且有助于提高其表达、讨论技能,增强其面对困难的自信心。
(4)案例教学大大缩短了教学情景与实际生活情境的差距。
(5)案例可以把抽象的原理、概念等具体化,学习者可以清楚地认识到这些原理、概念在实际生活中的用处、表现,激发其学习兴趣和动力,同时也会恰当地掌握它所具有的特定含义和意义。
以“网络安全技术”课程为例,在案例教学中讨论安全防范的知识,网络元素性能、特点、网络物理和逻辑结构、网络服务器在分层园区网中的安全地位,以及网络核心、汇聚、接入层的通信性能等问题。可以使学生在学习知识、分析问题、解决问题的过程中,将理论与实践相结合,深刻理解“学以致用”的意义,使课程的学习网络安全技术达到知识和能力两方面有机融合的目标。
2.案例教学方法基础模型的构建
案例教学方法重在于案例的设计、应用与分析,一个案例是一个实际情境的描述,包括有一个或多个疑难问题,同时也可能包含有解决这些问题的方法。在案例教学中,教师与学生承担着更多的教与学的责任,要求有更多的投入和参与。作为教师,他有责任去选择和组织所要讨论的材料,要从大量的资料中选择出适当的案例,如果没有现成的案例,还要自己动手撰写这些案例,并以一定的程序把它呈现出来;经过精心设计案例、引入案例操作与分析、布置合理的开放式任务,使学生所学的知识得到迁移和升华,通过合理的评析,使学生产生积极的学习动机。作为学生,必须做好课前准备,要对所提供的具体事实和原始材料进行分析、讨论、并从中得出有用的结论来。
根据“网络安全技术”教学内容和教学要求的特点,结合案例教学法理论,我们构造两个集网络安全理论和实践操作平台,即虚拟网络环境下的网络安全技术理论刘南开,华北科技学院教务处综合科科长,副教授。与实践和网络硬件搭建的网络实战平台。其基本流程如下图所示:
二、案例教学方法的实施
将教学内容与案例结合,进行分类、合理安排,不同的教学内容采用不同的教学方法。第一类是基本内容,它是课程的基础。由教师带领学生进行系统学习,当学生入门后,即让学生开始实验设计与操作,以加深对概念、技术的理解。学生在完成学习任务的过程中提出的问题,教师根据教学内容结合实例中类似的问题给学生适当指导,学生从课程的案例分析结合实例并通过模拟实验获得。案例的设计采用两种方式,其一,利用授课计算机,进行任务式案例教学。逐步过渡到自主学习的状态,为学生进行创造性思维奠定了良好基础。其二,利用游戏软件,攻关式案例教学,利用学习黑客攻击操作系统的软件:研究究竟如何入侵电脑网络系统内部。网络安全是攻与防的有机体,学习入侵,才能更好地学会防范,按照关口设置要求作为案例实现目标,在游戏中学习知识,寓教于乐。
在案例式教学中重点突出网络安全系统设计的结构化和系统化的思维方法。结构化是一种描述事物内部规律性的方法,是系统思维的重要方法之一。而系统思维被认为是现代科学技术发展的主要特征之一,要求把对象放在系统中加以研究,从系统的观点出发去研究整体与局部,探索系统各因素的特征及解决问题的最佳方案。在机房环境下,给同学们配备好相应的网络硬件,如w2K服务器、交换机、路由器、防火墙。首先小组成员集体讨论,理解问题的要求。采用模块化的方式每人承担一部分,团结协作到问题的解决。小组成员均要发表自己对问题的求解方法,集思广益求得对问题解决的一致方法,待问题解决后,还要进行小组自评与组间互评,以找出设计方案存在的不足,最后,采用小组对抗方式,进行实战安全攻防对垒,真正了解理论和实践中的差距和不足。各自小组进行轮流角色,每小组在角色变换时进行攻防经验交流,为在下一轮攻防前进行安全设置,弥补漏洞为实战对抗演练进行准备,经过多轮的实战演练,调动了同学学习的积极性,培养了学生的学习和创造性思维能力。
三、结束语
根据不同的课程要求,采用基于实战式案例教学方法,在实施学与教的过程中,深刻体会到,此种教学法旨在通过案例引导学生解决复杂的、实际的问题,使学习建构起宽厚而灵活的知识基础,发展有效的解决问题技能。通过实战训练,发展自主学习和终生学习的技能,实战双方成为有效的合作者,对培养学生的学习动机和创造性思维能力,可以起到事半功倍的效果。
实践教学的必要性
目前网络网络安全人才极其缺乏的现状,我们认为主要有以下两点原因。1)学校开设的课程不能很好地满足社会实际需求。学校的课程重理论轻实践,学生动手的机会不是很多。很多学生在学完大学必修课程后,没有或者很少有机会接触实际的网络安全实践项目,自己的能力与公司用人标准差距较大,导致学生所学的知识和网络安全的实践内容脱节。2)很多学生热衷于选择校外的培训班进行网络安全知识的培训(主要有IT行业的CISP认证、NCSE认证等),增长自己在网络安全某一方面的操作技能和项目经验。IT行业认证对弥补基础网络安全人才不足和培养应用型人才固然较为实用,但是很多认证培训不规范,培训内容往往缺乏必要的计算机理论基础和系统性知识。IT行业认证只能小批量、短期的培训,不能形成规模,无法填补网络安全人才的巨大缺口。因此,培养网络安全员、网络安全工程师等网络安全人才还得建立以高等学历教育为主,以中等职业教育和各种认证培训为辅的网络安全人才培养体系[3-8]。基于上述原因,我们认为在网络安全相关课程的教学中,有必要并且必须借鉴IT行业认证一些优秀培训班的经验,结合网络安全或信息对抗专业的特点和学生的实际,注重课程教学中的实践环节教学,形成独有的实践教学特色,才能培养出符合社会需要的网络安全人才。
网络安全理论与技术课程实践教学目标、实施
1实践教学目标
网络安全理论与技术课程和其他计算机应用技术类课程一样,在设计实践教学的目标时,应该考虑到教学的目标层次。1)会应用。第一个层次就是把理论知识与实践教学紧密结合,借助实际工程项目中的某一具体功能和实例对教学环节中的教学实践进行全面而细致的设计,让学生在教学中通过实际的项目练习来巩固所学到的知识,并且依照课堂中讲的实例(或文档说明)把所要求的功能重新实现一遍,这样就能够让学生有一个直观的认识,使学生对以后的学习产生很大的兴趣。2)明其理。第二个层次就是要培养学生通过实践教学环节的学习后,自己学会学习的方法。学习的方法不仅只是简单的教会学生应用某一知识点,而且还要使学生深入地明其理,最后还能够触类旁通。3)懂扩展。第三个层次是在学生已掌握了一定的理论知识和基本技能的基础上,建立实际工程项目开发的氛围,激发学生学习的兴趣,进一步培养学生的动手能力、设计能力和沟通能力,最终使学生对以后的工作有一定的了解和信心,并且能够胜任一定的项目开发工作。
2实践教学的实施
实践教学的实施是一个关键环节。在教学过程中,老师应尽量做到少讲多练,树立实践第一的原则。在知识点的教学实践中,每一个知识点的开设都与实际工程接轨,并组成系列化实践教学的模式,这些知识点是以培养学生动手能力和增强学生工程意识为主体的。在实验环节中,老师协助学生建立实验小组,确定具体的实验题目和内容,这样有利于建立互帮互学、积极探索的学风,并激发学生对实践教学的主动性与积极性。此外,在实践教学的过程中,带领学生参观一些比较知名的企业和实训基地,让他们萌发以后从事IT行业的目标和动力。
网络安全理论与技术课程实践教学内容
网络安全理论与技术课程实践教学内容分为基本知识点和综合实验两个部分。
1基本知识点内容
网络安全理论与技术课程的实践教学知识点设计。网络安全理论与技术课程的实践教学知识点包括密码学及应用、主机安全、网络攻防、病毒攻防、安全协议、数据库安全等7大内容。设计知识点循序渐进,先做什么,再做什么,这样能让学生抓住重点,学习有条理。有了这些基础后,再进入综合实验的阶段,这样学生学习起来就会水到渠成。在每一个知识点讲述后都有相应的实验练习,通过实验练习来巩固知识点,达到“会应用、明其理”的教学目的。
关键词:演练平台;教学演示;目标虚拟化;实战环境
随着互联网、专用网络化信息系统和各种网络应用的普及,网络与信息安全已成为关系到国家政治、国防、社会的重要问题,它对培养具有网络信息安全知识和应用技能的专业技术人才提出了更高要求。网络攻防是网络信息安全方向的重要课程,主要以网络攻击步骤为线索向学生介绍黑客攻击各阶段常用的攻击方法和原理,以及对相应网络攻击的防护策略和手段。该课程实践性较强,而且具体的攻击方法往往针对现实的网络环境和网络服务。为了将实战性较强和具有实际网络环境特色的攻击技术在课堂教学和实验环境中展现,需要在实验室里有选择和有针对性地创建应用网络环境。在这个环境中,一方面攻击技术手段有了再现的场景,可以实现攻防方法的演示再现甚至对抗性的攻防演练;另一方面,将教学和实验操作中产生的攻击行为限制在一定的范围内,防止对互联网的实际网络和服务造成干扰和破坏。
网络攻防演练平台就是要解决网络攻防课程的课堂演示和实验操作环境方面的问题。该平台作为网络攻防实验室的主要环境,一方面选择了某些实验内容并搭建适当的环境,对网络攻防的课堂演示和课程相关的验证性实验提供特定场景;另一方面为网络信息安全知识的应用提供了综合实验环境,支持网络攻防对抗演练。该平台在网络攻防实验课程的实践中取得了较好效果。
1整体架构
网络攻防演练平台要同时具有教学演示、攻击实验和攻击演练的功能,既要设置有效的攻击环境,又要解决平台支撑服务器和实验教学网络自身的安全可靠性问题。为了解决这两者之间的矛盾,我们将提供演示和学习资料的服务器组和攻击实验子网用防火墙进行隔离,采用了如图1所示的网络拓扑结构。
在受防火墙保护的服务器组里配置了实验教学系统,防火墙另一侧的攻击子网里配置了标靶服务器,结合每次实验内容,设置具有一定脆弱性的网络服务,提供了攻击演示和验证性实验的环境。实验PC组的网络设置方式有效支持了对抗性攻击演练。下面详细介绍教学演示、验证性实验环境和对抗性实验环境这几部分的设计。
2教学演示部分
教学演示部分由Web服务器、流媒体服务器和备份服务器支撑,具有课件信息更新、学生管理、在线交流、实验设置和作业提交等功能。在内容上紧密结合课程教学,涵盖了网络攻防各个方面,是课堂授课内容的补充。该部分的设计体现了学生在自学加练习中知识积累和能力提高的学习规律。
演练平台的演示部分采用了流行的网上教学平台形式,使用浏览器服务器模式,浏览器作为客户端,用ASP实现Web应用界面,MSSQLSERVER 作为数据库存储管理信息和演示内容的三层结构。该结构便于用户界面的优化和演示内容的添加,适合网络攻防的内容量大且不断更新的特点[1]。对每次实验的教学演示,都把攻击过程的各个操作细节通过屏幕录像软件制作成视频,存放在流媒体服务器上,在教学演示系统中通过网络视频的方式播放。演示部分和练习内容紧密结合,每章内容在实验相关知识和视频演示之后,提供了验证性实验的操作步骤说明以及相关工具、素材的说明和下载服务,体现学习和练习互动的特点。
在线交流是以BBS的形式给教师与学生一个公开交流的场所。指导老师可以通过它方便地回答学生做实验时遇到的问题,也可以在BBS上提出各种问题来考查学生,了解学习进度。学生则可以通过它来相互交流经验,讨论老师所提的问题,发表自己的观点[2]。
在备份服务器上,一方面建立课程的FTP站点,提供学习资料的下载和共享,另一方面提供了Web服务器、标靶服务器、视频文件以及操作系统镜像的备份,保证整个平台的可靠运行。
3验证性实验环境
验证性实验环境为教学演示和实验课提供测试素材和环境支持。基于多年的网络攻防实验的课堂实践积累,按照网络攻击不同阶段的顺序,在该环境中设置了如下实验主题。
实验1 网络安全扫描;
实验2 口令攻击;
实验3 缓冲区溢出原理;
实验4 脚本攻击和防范;
实验5 木马攻击和查杀;
实验6 防火墙入侵检测系统的使用。
每个主题都由若干难易程度不同的实验项目组成,在验证性实验的内容选择和环境设计中体现了以下原则。
1) 以理解原理为主。
该部分实验的目的在于对课堂知识的印证和加深理解,偏重于原理展示,要求简洁直观,具有启发性。因此对于每个实验主题,结合平台演示部分的相关知识介绍,精心选择了最具代表性的素材和经典案例作为实验内容,在尽量简洁的环境配置下,提供通用强的一般工具,在操作的步骤中体现网络协议分析、操作系统原理和程序设计的基础知识应用,使学生能够加深了解相应网络攻防技术的原理。同时,在内容上便于学生操作和理解掌握,为提高动手能力、激发兴趣开展自主研究提供了必要的基础,并按照实验顺序在后续操作中提供了较为复杂的提高性实验工具。
如对于网络安全扫描实验,既使用了Superscan等功能简捷、操作简单的图形界面工具,又使用了专业性较强的nmap命令行扫描工具,在扫描的过程中,用网络嗅探器采集这些工具在工作的时候发送的数据包,对照扫描工具产生的结果信息,分析这些工具扫描和判别时的工作原理,如图2所示。
对于脚本攻击中的SQL注入实验,首先要求学生设计一个最简的、具有注入漏洞的页面。在实验指导中给出了下面的相应代码。
输入的查询语句为:
f = request("ID")
sqlsearch="select * from news where ID="&f
response.write(sqlsearch)
mrs=conn.execute(sqlsearch)
%>
var _userid = '';var _siteid =2230;var _istoken = 1;var _model = 'Model03'; WebPageSpeed =156; UrchinTrack();
学生只要运用动态网页程序设计和Web服务器搭建的相关知识,通过上述简单代码就可设计出一个具有漏洞的页面,进而通过SQL注入工具进行数据库各个表名字段的猜解攻击测试,从而掌握这种攻击方法的原理,可以举一反三。
其他实验内容在使用一些自动化工具的时候,同样结合通用的系统和网络分析软件,使学生对实验结果的分析建立在掌握基本原理的基础上。
在每个主题的验证性实验之后,设置了提高性实验内容,学生在掌握原理的基础上,可以进行相应主题下的较深层次的实验内容,以及根据实验要求里提出的研究内容进行设计性实验练习。每个主题在整体上具有良好的难度层次划分。
2) 攻防实验相结合。
你的汽车会被黑客攻击吗?”
听到这个问题,埃隆・马斯克有些恼怒。这显然不是一个在友好会客的晚餐饭桌上适宜提起的话题。
对于这个自从推出特斯拉的ModelS就时刻接收着鲜花和赞誉的年轻总裁来说,这样的质疑显得格外刺耳,但他还是礼貌性地做出了回答。“不会,我们所有的应用都是自己写的,我们不会安装任何第三方应用,所以不会有任何问题。”
抛出问题的奇虎360公司董事长周鸿并没有打算就这样放过这个话题。“那你的汽车有WiFi和蓝牙么?”
在程序员出身的周鸿看来,就算特斯拉汽车本身不会遭到黑客攻击,但只要马斯克用手机与汽车连接的话,黑客一样可以通过手机进入汽车。而只要特斯拉汽车有和云端进行通信的需求,那么只要下载了它的通信协议或者破解了云端的网络,汽车也会被控制。
问题的答案显而易见。3个月后,360成功地破解了特斯拉的通信协议,利用电脑实现了将特斯拉汽车远程开锁、鸣笛、闪灯、开启天窗等操作,并将漏洞报告提交特斯拉。
在周鸿看来,智能汽车不过就是一部有四个轮子的大手机。在出席“2014中国互联网安全大会”时,周鸿明确地指出:“智能手机的普及已经打破了边界的定义,安全的问题变得更加严重。”
消失的边界
远程遥控汽车启动,冬天预热坐垫,夏天提前打开空调;让汽车自动跑到指定地点;实时提供交通咨询、信息导航和道路救援;车辆定位寻找丢失汽车……将汽车联网后,汽车厂商们相继重磅推出汽车的智能功能,担心在智能汽车的浪潮中分不到一杯羹。
在汽车变得越来越智能的时候,空调、电视、冰箱等家电企业也争先恐后地投身智能化浪潮中。
这是一个走向万物互联的世界。“万物互联将会是未来的趋势。不仅手机、电脑、电视机等传统信息化设备将连入网络,家用电器和工厂设备、基础设施等也将逐步成为互联网的端点。”中国互联网安全大会联合主席、互联网协会理事长邬贺铨说。
互联网、电脑出现漏洞和病毒早已是过去的新闻。手机出现病毒、被钓鱼、下载了虚假的App、接入了伪基站,也不再是新鲜的事情。但是正如周鸿在“2014中国互联网安全大会”所说,当人们生活周围的电器设备都内置了一个智能的芯片和一个智能的操作系统的时候,可以说所有的东西实际上就都变成了一个“手机”。
但就像智能汽车这个四个轮子的“手机”,可以轻易利用市面上随手可以得到的汽车诊断设备,外加一款应用软件实现破解。这些攻击甚至有可能通过远程操控,让汽车在驾驶途中熄火,遥控打开其后备厢进行偷盗,随时可以让汽车车门、天窗打开,甚至控制刹车,造成安全事故。
当这些“手机”都可以通过3G、4G的网络,通过WiFi、蓝牙等各种各样的协议和互联网、云端7×24小时相连的时候,边界的概念会越来越弱,逐渐消失。随着“手机”的增多,消失边界的范围就会越来越大。“接入点越多,可以被攻破的这种可能的入口就会越多。”这给安全带来了全新的挑战。
美国前国土安全部部长汤姆・里奇也认可数字边界已经打破了对传统意义上的国家和行业疆界边际的界定。在他看来,万物互联的世界将是一个全新的战场。
汤姆・里奇说,我们的数字世界既充满了机遇,也充满了挑战和威胁。当地缘政治的边界都不再实时存在的时候,我们都会暴露在各种恶意的,甚至邪恶的攻击者面前。没有人能够心存侥幸。
也许有人认为自己的CPU、自己的操作系统、自己的数据库能够保证安全。但是,只要还在网络环境里,我们的数据都会走出去在世界上绕一圈再回来,无法阻挡。这是互联网的天性。
与传统的战场不同,在这个对恶意没有抵抗力的数字世界里,袭击者可以很轻易地掩藏住自己的身份。“在空中、地域或者海域将敌人拒之门外比在数字空间更容易,军事方面的哨兵可以实地放哨。但在数字的边界,针对某一具体的黑客,要抓住他们,通过一种有意义的方式抓住他们是非常困难的,有时候甚至是不可能的,这是显而易见的。”汤姆・里奇说。
在汤姆・里奇看来,在这个全新的战场中,每个人要成为网络战士,每个人有义务去扮演打击这些袭击者的角色。
数据的对抗
这不是危言耸听。在8月的美国西雅图之旅,奇虎360副总裁兼首席隐私官谭晓生见证了一组黑客,只用了45分钟就破解了22种硬件设备。被破解的硬件设备包括三星加密的摄像头、放在婴儿床边的摄像头、海信的电视、LG的冰箱、摩托罗拉LTE的终端、亚马逊的机顶盒、松下的蓝光播放器。
“如果我们想保护自己的数据,在经济领域竞争得到优势,威胁我们的是什么?不是网络,而是信息数据本身的对抗。”原网络安全应急技术国家工程实验室主任杜跃进表示。
以智能汽车为例,按照杜跃进的估计,目前至少有超过80个智能传感器,每天传输着涵盖了汽车和驾驶者的个人的各类信息、高达100M的数据。这是一个真正的大数据时代。
用户数据的泄露正逐渐成为常态。山石网科副总裁张凌龄对此有着切身体会。在去年一年,她就更换了两次信用卡。办卡的花旗银行和美洲银行信用卡公司主动发信通知她换卡,称旧卡已不能使用。“其实就是信息已经被盗了,只是他们不愿意跟你讲。”
事实上,这种数据的对抗现在已经上升到国家战略。“互联网在中国的发展已经有20年,从早期的CIH病毒到后来的‘冲击波’和‘熊猫烧香’,再到2013年的‘棱镜门’事件,网络安全领域已经不仅仅是简单的攻防战,而是已经关系到全社会的生存与发展。”奇虎360总裁齐向东在“2014中国互联网安全大会”上如此表示。
中国的准备显然还不充分。与美国在面临网络安全问题的时候能够有效协调安全厂商、技术机构和媒体形成常态化优势不同,中国在技术标准、监管机制和产业联合引导方面还有着不足。
美国在安全产业上的布局是非常完善的。从底层的基础信息巨头,到中层的网络安全产业聚集,到高层的专业安全厂商,构成了一个非常完整的网络安全的产业格局。在国家计算机网络应急技术处理协调中心副主任兼总工程师云晓春看来,这种格局对整体网络安全能力非常重要。
云晓春认为,在“棱镜门”事件中,美国之所以能够对全世界进行窃听,是依托其在互联网资源及信息技术方面的绝对优势,特别是政府、企业等各部门的高度协同。
但是,中国还达不到这样的格局。在俄国,安全厂商更希望做完整的产品线,覆盖产业的整个链条。大而全的结果,就是粗糙的同质竞争。国家的总体部署虽然促进了各个单位自身网络安全保障能力的提高,但协作不够。一旦遇到高强度攻击,形不成整体合力,无法有效地做出应对。
那么,在这个万物互联的时代,应该拿什么去拯救信息安全?
跳跃的思维
受阿西诺夫在科幻小说中提出的机器人三原则影响,周鸿发散思维,为企业量身打造了万物互联时代需要遵守的三原则――不管存储在哪个服务器上,数据的拥有权必须属于用户;企业必须把你收集到的用户数据进行安全存储和安全传输;如果使用用户信息时,必须告知用户,经过授权。
周鸿相信,即使到了万物互联,即使用户数据都在云端,当这三个原则都被遵守的时候,数据和隐私的安全会受到更好地保护。
当然,在数字的世界中,当所有的边界都消失的时候,传统的防御已然不合时宜。这个时候,需要跳出固有的思维,用进攻的方式来防守。
在过去传统的信息安全防护中,首先是依靠在建立一个防火墙,被动地做出防护。在中国科学院大学吕本富教授看来,这种防火墙是一个软隔离,并不安全,很容易被人家穿墙打洞。即使做了物理隔离,效果也不是很好。比如著名的“震网”病毒就打破了物理隔离,突破工业专用局域网的物理限制,在伊朗广泛传播开来。
网络安全的本质就是攻防对抗。在攻击和防御相互博弈的过程中,攻击者会不断寻找防护方的弱点,防护方也会不断探索应对新攻击的手段。了解对手的能力、特点、动机,用对手的思维来思考,实行攻防对抗,在新型的安全防御中就显得至关重要。
在思科内部就有这样的意识。每隔几个礼拜,就有一个发到思科内部员工邮箱里的有针对性的钓鱼邮件,进行安全测试。这种响应式的做法带来了很好的效果,思科的安全部门发现了多个被忽略的问题,及时做出了调整。
这个道理尤其适用于国家的安全战略中。吕本富认为,一个国家的网络空间的是建立在“能力之矛、规则之盾”的基础上的。一个国家拥有能力之矛,就可以用最小的博弈能力,让对方不敢轻易做出侵犯的举动。规则之盾,则是掌握在万物互联的新空间下的规则,依据规则定下防御策略。
1医院信息化管理过程中暴露的各种网络安全隐患
以C/S为架构基础的医院信息系统网络,已经实现了对医院各个部门的广泛覆盖,大量联网的计算机在相同的时间段内同时运行,已经与患者在医院就诊的众多环节相联系,导致各类业务空前依赖网络。各大医院,依靠互联网实现了联接,并实现了和医保之间的联网,促进了医院网络越来越开放,这样就使得发生网络攻击、感染病毒的几率显著提高,要是网络信息系统出现故障,势必会使得医院上下的管理与医疗工作遭受影响,使患者、医院均蒙受无法估计的损失。医院信息化管理过程中,暴露的安全隐患大部分集中在系统安全、数据安全、网络安全三大方面。就系统安全来说,具体涉及操作系统安全与物理安全、还有应用程序安全;数据安全涉及数据防护的安全、数据本身的安全;在网络攻防手段与技术等显著发展的影响下,网络安全越来越复杂、多样,新旧安全威胁同时存在。通常而言,网络安全问题涉及四大方面,即技术、物理、应用服务、产品。受人为操作出现错误或失误、自然灾害、各类计算机攻击行为影响,造成的计算机网络无法正常运行,都属于物理方面;研发设计的信息产品有一定的缺陷存在,或者引进使用、日常维护信息技术,受某些非自主、非可控性影响,产生的安全隐患,都属于技术方面的;软件操作系统、硬件设备、应用程序中,被植入恶意代码或隐藏后门等带形成的安全威胁都属于产品方面的;网络终端与网络实现连接以后,面对的各种安全问题,像非法入侵、病毒感染,黑客攻击、违规操作、间谍软件等,导致主机遭遇劫持、系统网络中断、数据被破坏或直接、医疗信息被窃取泄露、病人账户隐私遭到盗窃等,均属于应用服务方面。
2新形势背景下应对医院网络安全问题基本策略
医院网络安全会直接影响到医疗业务能否正常开展,构建一个能够稳定、安全运行的要想实现信息网络环境安全、稳定地运行,一定要把握安全策略、管理制度、技术手段三大方面之间的有效结合。
2.1安全策略
为了保障服务器能够高效、可靠、稳定地正常运行,实施双机热备、双机容错的处理方案非常有必要,关于非常重要的设备,对主机系统供电尽可能使用UPS,一方面有利于供电电压保持稳定,同时对于突发事件防控具有显著的作用;针对主干网络链路,网络架构设计,构建冗余模式非常必要,在主干网络某条线路出现故障的时候,通过冗余线路,依然可以正常传输网络的信息数据;同时要对业务内网和网络外网实施物理隔离,防止互联网同医疗业务网之间出现混搭,有效控制医疗业务数据利用互联网这个途径对外泄漏,防止外部网成为非法用户利用的工具,进入到医院信息系统或服务器,展开非法操作;为了防止医院的业务信息发生丢失或遭到破坏,非常有必要构建数据与系统备份容灾系统,这样即便存储设备或机房发生故障,也能保证信息系统运行较快恢复正常运行;在权限方面实行分级管理,防止发生越权访问的情况、防止数据被修改,针对数据库建立专项的审计日志,实时审计关键数据,能够实现跟踪预警。
2.2技术手段
网络安全问题日益多样化,而且越来越复杂,所以依靠技术手段对网络安全防范,也要注意防御措施的多层次性与多样性,对以往被动防护的局面转换,提高预防的主动性。因为医院在网络架构上实行外网与内网相隔离,内网上对在安全要求上,内网的要求相对而言更高,安装的杀毒软件最好为网络版,并成立管理控制中心,能够修复漏洞、对整个网络进行体检、修复危险项、查杀病毒等;将防火墙网关设立在外网和内网之间,对非法用户、不安全的服务予以过滤,能够及时探测、报警网络攻击行为等,对恶意入侵有效防控;还可以通过对专业的入侵检测系统部署,对防火墙存在的缺陷有效弥补,将众多关键点在网络中设置,利用检测安全日志、行为、审计数据或别的网络信息,对网络安全问题及时掌握,并做好应对;也可以对安全扫描技术,扫描网络中存在的不安全因素。
3结语
保障网络环境的安全性与稳定性是医院信息化管理的要求,因此必须重视从安全策略、管理制度,技术手段等角度,对医院信息系统安全全面加强。但是医院的网络安全实际上只是相对来说的,绝对的安全是不存在的,所以要立足于自身的实际特点,在实践过程中持续完善优化,这样才会保障网络安全防护体系行之有效,提升医院信息化管理效率。
作者:李冠宏 单位:徐州医学院附属第三医院
