时间:2023-09-15 17:32:30
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇计算机攻防技术,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:计算机 网络安全 建模仿真 分析
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2015)11-0000-00
随着我国社会经济发展速度不断加快,通信技术与计算机技术等早已广泛地应用于各个行业里,计算机的网络安全逐步受到人们的关注。计算机信息技术敏感性比较强,利用计算机网络信息技术进行研究,容易对计算机的网络安全造成影响。借助建模仿真方法能够有效避免对计算机的网络造成影响与破坏,能够为计算机的网络攻防提供有效途径。
1 计算机图形分析建模仿真方法
从网络的攻击建模类型来说,其中,攻击图与攻击树等属于较常使用的建模方法。应用这种建模可以攻击计算机的网络中存在的漏洞问题,并形成了具体的网络攻击模型,有效解决了计算机的网络里出现的漏洞。攻击树指的是运用树状图形来实现网络的攻击,是一种有效途径,进而实现攻击网络中漏洞的效果。应用计算机网络攻击的过程中,一般情况下以目标作为子节点再根据网络的特点来对网络的攻击方向实施转换,这种攻击树模型能有效解决网络的风险与网络威胁等因素。在研究攻击树的模型过程中,可利用密码机制以算机为节点,分析网络脆弱性指数,并且能够计算成功攻击的概率。
攻击图模型是一种攻击预案集合,其在攻击的过程当中主要利用网络的拓扑信息,相关技术人员在运用攻击图的模型时,大多都是利用手工的形式来展开操作,但这种操作方式的速度相对较慢,并且缺乏了定量分析等环节。技术人员对传统攻击图的模型进行高效的改进和创新,与此同时,可以建立能自动生成贝叶斯的攻击图模型。此攻击图模型能够对任意网络的节点进行评估和推理。此外,建立攻击图的模型时,技术人员可以通过模型相关概率以及大小的情况等来进行具体的检测,再对关键节点提出相关的建议。在这类模型实际应用的过程当中,如果只是单一借助网络攻击图来分析大规模的网络,极可能使计算机的网络存在很大脆弱性,且图形形式极为复杂,技术人员很难进行实际分析和理解,若想有效地克服这个缺陷,研究人员所研究的邻接矩阵形式能够有效弥补这一不足,其可视化的程度较高[1]。
2 分析防御图形网络防御的建模方法
目前,网络的防御方式种类有很多,常用的则包括攻击检测和攻击预防以及源追踪等方式。随着我国网络防御技术不断更新和运行,目前已经出现了各种类的防御树和智能图等的建模形式。防御树的建立主要是以攻击树为基础,从而增加了网络的安全性能并且以此为基础,形成网络攻击较为稳定的图形,随着防御树的不断运行,技术人员在这个基础上对网络安全的防御措施进行优化,并针对各类网络攻击行为的变化来选择具体的扩展防御树的方法。计算攻击目标主要是借助条件的概率来进行,并针对网络的攻击,技术人员对攻击类型与特性都应给予广泛关注,做好相应预测、分析等工作,其中,合理应用智能图形可以在较短时间以内进行检测;除此之外,攻击模型与正常模型间存在一定相似性,如果一旦与任何异常现象出现,攻击模型就会出现报警模式,而用户本身可以通过此种警报模式提醒来选择比较科学的措施[2]。
3 网络蠕虫病毒建的模仿真方法
3.1网络传染病的研究模型
蠕虫病毒是计算机网络中常见的一种,这种病毒传播的类型及其特点和其他传染病间具有一定相似性。因此,可按照网络传染病的研究模型来建立起网络病毒的传播模型,并且这种模型应用到计算机仿真模型当中。病毒传播的类型主要是以SI、IWMM以及SIS的类型呈现,此外,也有许多双因素的模型,此类模型可以使网络病毒的传播像流行病的传播一样扩散,把网络主机区分为了易感主机和已感染主机、移出主机等,并通过不同类型主机数量及时间、感染系数来建立数学解析模型,而仿真结果则可以通过Mat-lab数学的分析软件计算和画出模型曲线图。这种病毒模型的传播的扩展性很强,能对上千万的节点网络进行模仿。
3.2 数据包的模型
为了能将网络的拖布、协议以及流量等从可扩展网络模型当中反映出来,计算机网络环境细节对蠕虫病毒传播产生影响,以蠕虫病毒数据包传播行作为建模的基础,计算机网络的数据包蠕虫病毒仿真可以有效地反映出网络流量、拓扑等结构,从而对蠕虫的传播造成一定影响,并且能够将网络防御策略使用情况及时反映出来,但是,这种方式的关注级别比较低,然而建立仿真建模过程当中,需消耗很多计算机自身资源,通常情况下这种方式难以在一些大规模的网络蠕虫病毒建模的仿真中运用。
3.3 混合模型
混合模型的建立主要包含三种:蠕虫传播感染和扫描引发流量模型以及路由的信息流量变化的模型。从较高的层次来说,计算机网络的蠕虫病毒与传播是利用网络传染病的模型。较低层次充分考虑网络的拓扑结构和节点分布与协议以及病毒扫描等而引发开了网络流量变化,运用了数据包层次建模,其中不同层次的模型采用了不同仿真机制。传染病模型是基于时间运行,数据包模型则基于事件运行,这两者间通过单独的循环事件计时器来实现了统一协调[3]。
4结语
总而言之,计算机网络攻防建模依然存在着很多不足之处,且发展空间比较大。可以利用计算机的网络信息共享功能,研发更多信息获取的技术,进而保保证获取的计算机网络的安全数据能够实现精确性与完整性、格式统一的相互合作。借助复杂性的科学理论对网络统计特性与演化特性进行分析。随着计算机信息技术的不断发展和广泛应用,确保其网络的安全性十分必要,技术人员更应当对其给予重视,加强对计算机的网络攻防建模分析,促进计算机的网络更加安全。
参考文献
[1]李春亮,司光亚,王艳正.计算机网络攻防建模仿真研究综述[J].计算机仿真,2013,30(11):1-19.
关键词:OpenStack;云平台;网络攻防;靶场
中图分类号:TP393 文献标识码:A 文章编号:1671-2064(2017)01-0027-02
1 引言
随着计算机网络技术的快速发展及其在各领域的广泛应用,社会各界也越来越重视信息网络安全问题,不断投入资源进行网络攻防演练和信息安全研究。考虑到计算机网络应用服务的实时性和高可靠性要求,难以直接在业务网络尤其是生产系统上进行网络攻防演练和渗透测试研究。网络靶场技术能够对真实业务网络进行模拟,在其上进行攻防演练能够避免对真实业务网络的破坏,并且成本低、部署灵活、过程可重复,是网络攻防演练和测试研究的有效途径。
网络靶场概念最初在军事领域提出,是为了满足信息化武器系统的研究需求而构建的信息安全试验平台,是一个贴近实战的信息战模拟环境[1]。由于网络靶场可以进行各种攻击手段和防御技术的研究,针对性制定安全性策略以及安全方案,并可进行定量和定性的安全评估,因此其在军事领域之外的其他信息安全研究领域也得到了广泛的应用。
本文根据网络攻击及防护技术在真实网络环境中的应用特点,基于云计算技术构建了网络攻防靶场平台,能够为网络攻防演练、渗透测试以及防护技术研究提供综合模拟环境,可应用于政府、企业以及高校等行业的网络安全实验室。
2 OpenStack云计算技术
云计算是一种基于互联网的计算方式和服务模式,它具有灵活动态分配资源、统一管理、有效降低管理维护成本等优势,因此基于云计算平台的网络靶场也具有高性价比和便于管理维护等优点。OpenStack是由开源社区开发维护的一个开源云计算平台,采用组件化的服务形式管理计算、存储以及网络资源池,支持自定义方式搭建灵活的云计算环境,其主要组件包括:
(1)运算组件Nova,是OpenStack的核心组件,负责虚拟运算和资源的调度;
(2)对象存储组件Swift,其以分布式对象存储方式存放虚拟机镜像文件;
(3)区块存储组件Cinder,分块存储,为虚拟机提供块存储设备;
(4)网络组件Quantum,管理虚拟网络系统;
(5)身份认证组件Keystone,用于身份认证和授权;
(6)镜像文件管理组件Glance,对虚拟机镜像文件进行管理;
(7)仪表盘组件Horizon,提供UI操作界面。
OpenStack通过以上组件提供可扩展、灵活的云计算平台,并且鉴于其开源特性以及强大的社区开发模式,本文采用OpenStack作为云平台构建网络靶场。
3 基于OpenStack技术的网络攻防靶场平台构建
3.1 设计目标
在实际业务环境中,网络攻击和防御是“道高一尺魔高一丈”的关系,手段也呈现多样性特点,所以近似真实业务网络是靶场设计的基本要求,并且靶场的设计应满足以下目标:
(1)网络攻防的指标参数应可以根据需要进行配置,比如拓扑结构、漏洞等级、设备参数以及评价指标等。
(2)可以进行多种模式的演练,以满足不同的演练需求,包括红蓝对抗和单兵作战。
(3)能够对演练过程和成绩进行实时监控和统计,并以图形化界面全程展示演练情况,具备一定的态势感知能力。
(4)在演练过程中,靶场应能够在运行资源和管理资源方面支持不同攻防场景的快速部署,从而全方位地对靶场进行安全性评估,重点完善薄弱环节,也能够通过丰富的演练场景,掌握网络攻击与防护的理论知识和实践技能。
(5)演练数据应被详细记录,通过数据处理和分析,评估靶场的安全性以及演练人员的技能水平,并进一步形成和丰富网络攻防实验模型和实验数据库。
3.2 总体架构
根据前述设计目标,基于云平台的网络攻防靶场在OpenStack基础设施之上模拟出多种设备和系统,包括网络设备、安全设备、主机设备以及操作系统,并能够完全贴近网络安全的各应用领域,例如网络设备安全、操作系统安全、数据库安全、Web应用安全、主机程序安全、移动设备安全以及中间件安全。功能模块主要有靶场信息管理系统、红蓝对抗系统和单兵作战系统。靶场系统又包括各种靶场场景,可以预设和修改,主要靶场场景包括ServU漏洞利用靶场、Windows漏洞靶场、Linux漏洞靶场、webshell利用、SqlServer提权靶场、SQL注入靶场、cookie分析靶场、ftp弱口令利用靶场、telnet弱口令利用靶场、系统登录弱口令利用靶场、电商网站靶场、新闻系统靶场、个人博客靶场、Wiki靶场、OA系统靶场等。系统总体架构如图1所示。
3.3 功能模块
3.3.1 靶场管理信息系统
靶场管理信息系统对整个靶场平台进行统一管理调度,采用B/S架构模式,无需安装客户端,升级维护灵活方便。其一方面通过API接口访问OpenStack云计算资源,另一方面负责对靶场场景进行镜像管理和参数配置,并提供实时监控、分析统计、可视化展示、系统管理等功能。靶场管理信息系统自身具备较高的安全防护能力,能够防止在攻防演练中受到攻击导致整个靶场平台的失效。
3.3.2 红蓝对抗系统
呈现红蓝对抗演练模式,即将演练者分为红方和蓝方两组进行网络攻防的对抗演练,以CTF(Capture the Flag)夺旗比赛模式进行,红方试图利用蓝方的安全防护漏洞获取蓝方的Flag,蓝方则尽力堵住自身安全漏洞,并反利用红方漏洞获取红方Flag,是一种对抗激烈的演练模式,对演练者的技能水平有较高考验。
3.3.3 单兵作战系统
主要训练考核演练者的攻击水平,系统为演练者提供了两台攻击机以及目标靶机,攻击机分别为预置有攻击工具的Windows操作系统和Kali Linux操作系统,目标靶机由系统管理员从靶场场景中选取设置,演练者通过攻击机对靶机进行渗透,获取过关文件,向系统提交过关文件后由系统自动进行判分,并给出实时成绩。
4 网络攻防渗透测试实例
本文对系统功能和各靶场场景逐一进行了测试,此处以Windows漏洞利用靶场场景为例阐述渗透测试过程。该靶场场景部署Windows xp SP1版本操作系统作为目标靶机,测试时使用靶场平台提供的Kali Linux作为攻击机,在攻击机运行漏洞扫描程序对目标靶机进行漏洞扫描,发现目标靶机存在MS08-067高危漏洞。于是攻击机启动Metasploit攻击框架,使用攻击模块,加载攻击载荷,对靶机进行渗透,从而获取到靶机的命令行权限,并添加用户、提权,最终获得靶机的最高控制权,取得Flag,渗透成功。
通过对网络攻防靶场系统全部功能模块和靶场场景的测试以及实践检验,证明该系统功能全面、运行稳定,达到了预期设计目标。
5 结语
本文根据网络攻击及防护技术在真实网络业务环境中的应用特点,基于OpenStack云计算技术构建了网络攻防靶场平台,能够为网络攻防演练、渗透测试以及防护技术研究提供综合模拟环境,避免对真网络的影响和危害,可应用于政府、企业以及高校等行业的网络安全实验室。
关键词:信号博弈;网络安全;威胁;评估
随着网络环境的不断变化,各种网络攻击手段也在更新换代,给网络环境造成了很大的安全威胁,因此做好网络安全威胁评估尤为重要。安全威胁的造成与网络信息系统本身的漏洞存在着联系,防御性为不足,攻击行为过强,也会决定安全威胁的产生。传统的安全威胁评估方法主要有这样几种:基于IDS的风险漏洞评估方法、基于攻击模式图的评估方法、基于病毒传播模型的评估方法。这些风险评估方法只是从防御系统本身进行静态分析,没有综合考虑攻击方的攻击策略和预算对抗结果,信息安全评估不够准确、合理。同时,各种网络安全威胁随着技术的更新也在不断提升,传统的安全威胁评估方法必将被淘汰,研究一种全新的、准确的安全评估方法至关重要。
1网络安全威胁的基本概述
网络安全威胁主要有两个方面:病毒入侵、黑客攻击。病毒入侵主要在网页、网站系统中进行传播,传播的速度非常快,影响的范围非常广泛。它通常隐藏在网页和网站代码中,当用户点击进入某个网页时,病毒就会进入网络系统,对网络信息系统构成破坏,进而影响计算机正常运行。一般利用360和金山毒霸等杀毒软件清除病毒,但是有的病毒过于厉害,杀毒软件无法彻底清除,所以必须重视网络病毒的危害。相比于病毒入侵来说,黑客攻击危害更大,可以从根本上破坏网络系统,导致信息系统瘫痪,计算机报废,增加了计算机的维修成本,一些重要数据也会因此丢失。黑客攻击方式主要分为两种:一种是非法入侵,一种是拒绝服务(DOS)。非法入侵主要是黑客直接通过网络系统漏洞侵入一些计算机内部网络,并对系统中的数据资源进行盗取、损坏等攻击行为,例如:有的黑客非法入侵进入银行网络系统内部,盗取存款人信息,窃取钱财。拒绝服务主要是破坏网络系统,导致计算机网络瘫痪,主要目的为了阻止网络系统进行正常运行和操作。这些网络安全威胁都对人们的生产生活造成了很大的危害。
2网络安全威胁态势分析技术
2.1.融合数据的技术
融合数据只要是把网络系统中的各个方面的数据资料进行分析,组合,找出其中的关联性并进行融合处理。对当前网络中的运行状况和带有威胁的数据位置进行确认,最终得到准确、合理的结果。在网络系统中,有多个安全信息点设备,可以搜集到不同类型的安全信息,然后为融合数据提供操作基础。融合数据主要分为三个级别,分别是数据级融合、决策级融合和特征级融合。在数据集融合中,处理的信息量非常大,要求处理数据的精确性,对计算机系统的硬件要求比较高。当进行到决策级融合时,处理的信息量就比较少了,大多采用模糊抽象层次分析,因此要求的数据进度弱一些,对设备的要求也低一点。在评估网络安全威胁的过程中,融合数据可以起到很好的安全威胁态势分析作用,在融合数据方面的技术有有贝叶斯推理技术和DS证据理论技术。
2.2分析威网络威胁态势值
评估网络风险主要考虑:网络数据资源、威胁的等级和网络漏洞。为了对威胁态势值进行一个准确的计算,首先必须量化各个基本组成因素,然后把网络的运行情况和安全事故发生的频率转换成相关数据。最后建立态势值分析表,进行直观地观察,测算网络威胁程度,对网络状况有一个清晰地认识。在分析威胁态势值中,主要运用到层次分析法和抽象模糊层次分析法。
2.3层次分析法
目前,层次分析法在很多计算分析领域中得到运用,这种方法可以使分析和计算过程更加简单化,在分析中导入判断矩阵,可以帮助决策者更加精确地进行分析,层次分析法中层次化明显,结构条理清晰、明确,能够把一些复杂的问题分成一层层的简单问题,然后单独计算解决,最后进行统计总结,使计算过程更加精确。但是也存在一些缺点,当处于同一个层次的数据太多时,很容易混淆不清,判断矩阵得出的结果很难一致化,容易对决策者的判断造成干扰。当决策者的思维模式和判断矩阵的实际数据存在差异时,最后的计算结果就会缺乏准确性,没有科学证明,缺少说服力度。由于层次分析法存在这些缺陷,所以结合使用抽象模糊层次分析法更加有效。
2.4抽象模糊层次分析法
抽象模糊层次分析法使判断过程更加简化,通过建立模糊矩阵的方式把数据进行定量转换,使层次分析法中的一些具体问题得到解决。其主要分为四个解决步骤:1.首先设定隶属函数。在实际操作中通对每个评估数据设定隶属函数,可以确定模糊界限。2.建立模糊矩阵。对网络系统中的各个风险进行评估。3.权重模糊矩阵。在网络安全威胁中,一些高风险因素造成的风险等级比较高,因此必须重视风险级别高的因素。4.计算模糊综合评价。对单项风险因素进行评价和确定权重后,会得到两个不同的模糊矩阵,然后通过模糊综合评价模型计算出模糊综合评估结果。
3信号博弈网络安全威胁评估方法
3.1构建网络攻防信号的博弈模型
在构建网络攻防信号的博弈模型过程中,首先把攻击者作为信号发送者,防御者作为信号接收者。防御者开始对攻击者的安全威胁类别形成一种先验理念,然后通过安全防火墙和IDS等防御技术获取对抗过程中的攻击信号,在攻击信号中不仅具有真实的攻击信息,而且也具有虚假的攻击信息,然后借助攻击信号对攻击类别进行概率修正,对攻击者的安全威胁类别形成一种后验理念。最后通过后验理念预测攻击者的威胁类别,从而实施合理的安全防御。
3.2完美贝叶斯均衡求解算法过程
由于不完全信息的动态博弈的均衡在发生变化,所以求解过程相比较于静态博弈更加困难。本文对攻防信号的博弈模型进行完美贝叶斯均衡求解,其具体过程和步骤如下的:1.在防御者信号的每个不同的信息子集上建立后验信念测算p(t|m)。2.求根据防御者信号推断存在的最优反应方法集。3.求根据攻击者推断存在的最优方法。4.求根据网络攻防信号博弈模型依存的完美贝叶斯均衡结果。
3.3网络安全威胁评估
在网络安全的博弈过程中,攻防双方都希望利用自己的技术方法使结果优势最大化,因此最后的博弈结果都将是完美贝叶斯均衡。攻击者不会自动改变攻击行为和攻击信号,防御者也不会改变自己的防御行为和防御信号。如果双方的攻防行为脱离了均衡值,就会导致行动的最后结果降低收益。完美贝叶斯均衡的最终结果存在这些类型:1.攻击者的类型不同,但是选择一样的攻击信号,造成了混同均衡。2.攻击者的类型不同,同时选择不一样的攻击信号,造成了分离均衡。3.防御者随机地选择防御信号,造成了准分离均衡。信号博弈是不完全信息博弈模型,综合考虑了攻防二者之间不熟悉对方的信息情况,因此更加适合于实际网络。静态博弈在实际攻防中要求二者之间同时做出选择,这一点不满足实际网络。信号博弈作为一种动态博弈模型,能够考虑到攻防二者之间的博弈顺序,满足实际网络要求。如果在信号博弈中忽略了攻击者的信号,将会导致信号博弈变成不完全信息静态博弈。不完全的信息静态博弈中的防御者一般先验后判断,不能更改预设,无法修改实际中的误差,不适合动态信号博弈,最终的评估结果也不准确。所以必须构建合适的网络攻防信号博弈模型,在博弈过程中,防御者可以针对攻击信号先验再判断攻击类型,然后对防御信号进行修改,保证了评估结果的准确性。
4总结语
传统的静态网络安全威胁评估方法从自身出发,评估的结果准确性不足,不能合理地运用到实际操作中。本文提出了一种动态评估方法:网络攻防信号博弈模型,这种评估方法可以防御者的角度出发,充分应对攻击者信息,为防御者创造均衡的信号博弈收益,修正后验的理念,能够有效地评估攻击者的威胁。另外,网络威胁态势值的分析也是至关重要的,必须选择合适的技术进行分析,为网络安全威胁的评估提供数据支持。
作者:甘露 林莉芸 单位:信阳职业技术学院数学与计算机科学学院
参考文献:
[1]王青峰,范艳红.网络安全威胁态势评估与分析技术研究[J].计算机光盘软件与应用,2012,02:128-129.
本文作者:左朝树 伍淼 单位:保密通信重点实验室 西南通信研究所
随着计算机/通信网络技术的迅速发展及其在军事领域的广泛应用,计算机网络与作战越来越联系紧密,已成为新的作战空间。计算机网络对抗作为一种新型的作战手段在现代化战争中将发挥越来越大的作用,因此计算机网络对抗体系结构作为计算机网络对抗的基础,显得尤为重要,并越来越受到重视,大量学者开展了相关的研究。李雄伟[1]等研究了网络对抗效能的评估指标体系,并设计了网络对抗体系结构,由信息支援、信息攻击和信息防护3部分组成。陈文斌[2]基于设计了协同网络安全对抗模型,由安全攻击、安全机制和安全服务三者构成。刘海燕[3]等基于高层体系结构(HLA)在HLA标准下构建了网络对抗仿真系统的层次模型,用对象模型模板(OMT)表格的方式对网络对抗仿真系统进行了描述。王付明[4]等认为网络对抗技术体系是一个灰色系统,并针对网络对抗技术能力的抽象性和难以度量性,采用灰色关联分析方法建立了网络对抗技术能力评估模型。卢云生[5]分析了计算机网络战的作用和对象,探讨了信息战背景下计算机网络攻击系统的组成和作用,提出了计算机网络攻击体系结构,由网络侦察技术、网络攻击技术、网络对抗数据库3部分组成。这些研究成果,从网络对抗评估指标、安全对抗模型、网络对抗仿真以及网络对抗技术体系等方面进行了研究,推动了网络对抗技术的发展,于网络对抗技术在网络中心战中发挥重要作用,但是作为一种作战手段,计算机网络对抗需要成体系、成系统地进行全面研究和建设,而不能仅仅依靠某一方面的技术。为此,设计了计算机网络对抗体系结构,包括系统体系结构和技术体系结构,并基于该体系结构设计了典型的计算机网络对抗试验环境。通过该体系结构的研究,可推动计算机网络对抗技术成体系的发展,有力地支撑信息时代的网络中心战。
1计算机网络对抗体系结构
1.1系统体系结构
计算机网络对抗是作战双方针对可利用的计算机网络环境,在计算机网络空间所展开的各类对抗活动的总称,是以该环境中的计算机终端、交换机、路由器以及它们构成的网络为作战对象,以先进的信息技术为基本手段获取制信息权,以赢得局部战争的胜利为最终目的。计算机网络对抗包括瓦解、破坏敌方计算机网络以及保护己方计算机网络所采用的技术、方法和手段等。为此设计计算机网络对抗系统体系结构如图1所示,计算机网络对抗系统由网络攻击、网络防御、对抗评估以及对抗指挥4部分构成。网络攻击在对抗指挥的统一控制和指挥下开展对敌方计算机网络的攻击,以获取敌方计算机网络的相关信息(包括拓扑结构、节点位置、应用协议、传输的信息等)或破坏敌方计算机网络为目的,承担对抗指挥的攻击职能。为了实现网络攻击职能,网络攻击系统应该由网络侦察、情报处理、攻击决策、网络进攻等子系统构成。网络侦察子系统通过一定的技术手段获取敌方计算机网络的相关信息,包括拓扑结构、存在的漏洞、运行模式等,为网络进攻奠定基础。情报处理子系统是对网络侦察子系统获取的信息进行综合加工,提取可用于攻击的漏洞或缺陷等信息。攻击决策是在情报处理基础上,根据敌方计算机网络存在的漏洞或缺陷等信息,选择相应的攻击技术和设备,组织对敌网络进行攻击。网络进攻子系统由各种计算机网络攻击设备组成,根据攻击决策子系统的指令,直接开展对敌计算机网络攻击。网络防御是在对抗指挥的统一控制和指挥下开展对我方计算机网络进行防护,以保障我方计算机网络的正常运行和信息的安全传输,承担对抗指挥的防御职能。为了实现网络防御职能,网络防御系统由脆弱分析、终端防护、网络防护以及协议安全等子系统构成。脆弱分析子系统根据我方计算机网络的拓扑结构、运行协议、运行模式、组织应用等情况,通过综合分析,挖掘我方计算机网络存在的脆弱性和安全需求,为终端防护、网络防护以及协议安全提供支撑。终端防护根据计算机网络中终端的特点,如操作系统类型、存在的漏洞、应用系统、硬件平台等,采取相应的防护手段,确保终端的安全,保障应用系统正常运行。网络防护子系统根据网络拓扑结构、网络协议等,采用多种手段对网络进行综合防护,包括入侵检测、防火墙等。协议安全是针对TCP/IP协议族在设计上存在的缺陷,从协议的角度进行安全增强,弥补TCP/IP等协议的缺陷。对抗评估是对抗指挥的统一管理和控制下,对网络攻击系统以及网络防御系统进行效能和安全性评估,使更有效的发挥其功能。对抗评估系统由效能评估、安全测试、对抗测试、模拟仿真等子系统构成。效能评估子系统是在攻击效能评估指标体系下对网络攻击系统的攻击效能进行评估,以便对网络攻击系统的作战能力进行评价。模拟仿真子系统是通过模拟仿真手段构造敌方或者我方计算机网络,便于评估和测试网络攻击系统以及网络防御系统的作战效能。安全测试子系统是根据相关的安全防护标准以及指标体系对网络防御系统的防御能力进行测试。为了进一步评估网络防御系统的作战效能,对抗测试子系统采用网络对抗的测试方式和环境,测试网络防御系统的防御能力。对抗指挥是整个计算机网络对抗系统体系的核心,承担整个对抗系统的指挥控制职能,保障整个对抗系统的有序正常运行和作战效能的发挥。对抗指挥系统由设备管理、指挥控制、态势处理和应急响应四部分构成。设备管理是对所有的攻击设备、防护设备和评估设备进行统一管理和控制,包括相应策略的下发。指挥控制是通过协调和调动所有相关设备对敌进行协同攻击,对我方网络进行协同防护,充分发挥所有设备的作战效能。态势处理通过收集敌方计算机网络的相关信息和我方计算机网络的相关信息,做到知己知彼,并进行直观的展示,辅助作战人员进行指控控制。应急响应通过感知计算机网络中所发生的紧急事件,并以此作为多种应急预案选择的依据,从而确定相应的处置过程,以保障计算机网络在多种紧急情况下能够正常运行。
1.2技术体系结构
根据计算机网络对抗系统体系结构,设计网络对抗技术体系结构如图2所示,计算机网络对抗技术体系结构由网络攻击、网络防御、网络评估、对抗指控四部分技术构成。网络攻击技术包括物理攻击技术、能量攻击技术、病毒攻击技术、拒绝服务攻击技术、密码分析技术、协议攻击技术等。物理攻击技术主要以硬杀伤为主要手段,攻击敌方计算机网络中的重要部件或接口装备,特别是破坏计算机的中央处理器、硬盘、存储芯片等,具有彻底性和不可逆性。能量攻击技术主要是采用诸如电磁脉冲炸弹等的高功率武器或设备,破坏敌方计算机网络中的通信装备或基础设施,导致敌方计算机网络瘫痪。病毒攻击技术利用对方计算机网络存在的漏洞,通过植入病毒木马等方式,攻击敌方计算机网络。拒绝服务攻击技术就是利用对方计算机网络存在的缺陷,通过发送大量攻击报文或控制对方网络的重要设施,导致对方计算机网络不能提供正常服务。密码分析技术是加密技术的逆过程,是通过对方的密文等信息,获取相应的明文或者加密算法、参数以及密钥等。协议攻击技术就是利用计算机网络通信协议本身的缺陷,攻击对方计算机网络的方法,如ARP协议攻击等。网络防御技术包括访问控制技术、入侵检测技术、安全审计技术、防火墙技术、终端监控技术、防病毒技术以及加密技术等。访问控制技术就是通过一定的技术手段实现主体对客体的有序合法访问,防止非法或越权访问,常见的访问控制技术包括强制访问控制MAC、自主访问控制DAC、基于角色访问控制RBAC以及基于身份访问控制IBAC等。入侵检测技术是通过模式匹配、关联分析等手段,发现网络中可能存在的攻击行为或事件,为联防联动提供支撑。安全审计技术通过收集和分析各种安全日志或者网络中传输的数据或者操作者的行为,以挖掘各种攻击事件或违规行为,实现事后追踪和责任认定。防火墙技术基于五元组(协议类型、源地址、源端口、目的地址、目的端口)对网络中传输的数据进行过滤和控制,防止非法数据在网络边界的流动。终端监控技术基于操作系统提供的各种函数或接口,实现对终端各种外部接口以及资源(如硬盘、光驱、CPU等)的监控。防病毒技术通过特征码匹配以及智能识别等手段检测计算机网络中存在的病毒,并对病毒进行处理,避免病毒的破坏。加密技术基于相应的加密算法将明文转化为密文,防止重要信息的泄露。网络评估技术包括基线扫描技术、对抗测试技术、攻击效能评估技术等。基线扫描技术是在获得授权的情况下对系统进行检测,并将目标设备或网络与相应的安全标准进行对比,以评估目标设备或网络的安全性。对抗测试技术通过专业测试人员模拟入侵者常用的入侵手法,对被评估设备或网络进行一系列的安全检测,从而发现评估对象存在的安全问题。攻击效能评估技术通过模拟仿真或实物的方式对攻击设备进行测试,获取攻击设备的作战效能,评估可能对敌计算机网络造成的破坏。对抗指挥技术包括设备管理技术、应急处置技术、指挥调度技术、态势处理技术等。设备管理技术通过统一的接口规范收集攻防设备的信息,并下发相应的攻防策略,实现对所有的设备的统一管控。应急处置技术通过制定应急响应预案以及相应的资源调度策略等,实现紧急事件处理的方法,保障计算机网络能够应对各种突发事件。指控调度技术通过提供相应的人机界面,提供攻防人员对攻防设备的控制,实现多种攻防设备的协同作战和有序调度。
2计算机网络对抗试验环境
基于计算机网络对抗体系结构,设计网络对抗试验环境如图3所示,主要由网络对抗系统、网络防御系统、对抗评估系统以及对抗指挥系统组成。基本的网络对抗系统由攻击决策设备、情报处理设备、网络侦察设备以及相应的攻击设备构成。基本的网络防御系统由终端监控系统、入侵检测设备、防火墙、安全审计设备等构成。基本的对抗评估系统由安全测试设备、攻击效能评估系统、对抗测试系统以及相应的模拟仿真设备构成。基本的对抗指挥系统由态势处理服务器、指挥控制系统、设备管理服务器以及应急响应服务器构成。(1)网络防御试验流程在进行网络防御试验时,需要综合应用对抗指挥系统、对抗评估系统甚至网络对抗系统的相关设备进行试验,其大体流程如下:①指挥控制系统根据安全防御需求,生成相应的网络防御方案,包括网络防御设备清单以及设备的部署图;②根据网络防御方案,部署相应的网络防御设备;③设备管理服务器为所有网络防御设备配置安全策略,并使所有网络防御设备开始工作;④网络对抗系统的攻击设备发出各种攻击,网络防御设备检测和抵御这些攻击,并将相应信息上报到态势处理服务器;⑤通过态势处理服务器可以直观得到网络防御的性能和强度,必要时可以将这些信息输入到对抗评估系统进行评估。(2)网络对抗试验流程在进行网络对抗试验时,需要综合应用对抗指挥系统、对抗评估系统以及网络防御系统的相关设备,大体试验流程如下:①指挥控制系统根据试验目的,生成相应的网络防御图,包括网络防御设备以及对应的安全策略;②根据网络防御图部署相应的网络防御设备,并有指挥控制系统发出攻击测试开始指令;③网络侦察设备开始扫描目标网络,并把获取的信息上报到情报处理设备;④情报处理设备对这些信息进行分析,获取目标网络存在的漏洞或缺陷,并上报给攻击决策设备;⑤攻击决策设备根据发现的漏洞和缺陷,以及网络对抗系统具备的攻击能力,组织相应的攻击设备开始攻击;⑥攻击设备开展攻击操作,并把攻击结果或获取的信息上报给攻击效能评估系统;⑦攻击效能评估系统对攻击效能进行评估,并把评估结果上报给态势处理服务器,进行直观展现。
3结语
针对网络中心战的作战需求以及目前的技术发展现状,研究并设计了计算机网络对抗体系结构,主要包括系统体系结构和技术体系结构,由网络攻击、网络防御、对抗评估、对抗指挥4个部分构成,并设计了典型的计算机网络对抗试验环境。网络攻击系统主要对敌方计算机网络进行攻击,网络防御系统主要对我方计算机网络进行安全防护,对抗评估系统主要对网络攻击系统和网络防御系统的作战效能进行评估和测试,对抗指挥系统是整个计算机网络对抗系统的运行进行控制和管理。通过该体系结构的研究,可推动计算机网络对抗技术成体系的发展,有力地支撑信息时代的网络中心战。
关键词 网络安全实验 课程教学 实验设计
中图分类号:G424 文献标识码:A
0 引言
随着网络信息产业的快速发展,网络安全成为亟需解决的问题,我院为了培养应用型本科人才,在网络通信专业培养计划中设置了网络安全实验这门选修课,因为开设时间较短,教学过程还处于探索阶段。网络安全实验教学这门课无论在掌握计算机学科理论,还是锻炼学生在实际工作生活中解决应用问题的能力方面,都起到了十分重要的作用。因为是实验课程,所以在教学过程中,比较重视实践操作过程。网络安全实验课程的内容比较集中在P2DR模型中说涉及的网络安全防御、检测、响应三大领域,以满足在现实工作中所遇到的不同网络安全问题。因此,本文从实验项目的选择,实验平台的建立,以及实验教学方法等上对网络安全实验教学进行探索。
1 实验平台搭建
首先是虚拟机技术在实验中的使用,网络安全实验中的实验具有一定的破坏性,所以我们采用了虚拟机来进行实验,在网络安全实验中,需要模拟网络攻击,使学生掌握怎样防御的同时,也了解攻击技术。所以在实验中我们首先安排了Vmware虚拟机的安装与配置。在虚拟机中我们安装windowsserver2003服务器版操作系统,并且配置开启相关服务。
因为硬件条件有限,所以我们的大量实验还只能在虚拟机上进行,但为了使学生身临其境的感受网络安全技术,我们在综合实训中还是建立了基础的网络攻防实验环境。
2 实验项目设计
在我国,高校是培养网络安全人才的核心力量。网络攻击与防护是网络安全的核心内容,也是国内外各个高校信息安全相关专业的重点教学内容。所以在实验项目设计上我们体现了实用性为主的观念,要在实验中更多的体现未来学生毕业后,会遇到的网络安全问题。所以设置了以下实验:
(1)安装Vmware虚拟机,并配置完整的网络环境。配置完善win2003server虚拟环境,为以后的实验搭建平台,习和掌握Vmware虚拟机的安装与配置,以建立网络攻防平台。
(2)加密原理与技术,利用不同技术进行加密。了解和掌握各种加密方法,以实现信息加密。学习和掌握密码技术,利用密码技术对计算机系统的各种数据信息进行加密保护实验,实现网络安全中的数据信息保密。
(3)PPPoE的网络通信原理及应用。学习和掌握基于PAP/CHAP的PPPOE的身份认证方法。学习和掌握利用身份认证技术对计算机和网络系统的各种资源进行身份认证保护实验,实现网络安全中的信息鉴别。
(4)掌握Windows系统中基于PPTV VPN的功能、配置与使用操作。学习和掌握如何利用防火墙技术对网络通信中的传输数据进行鉴别和控制实验。
(5)学习掌握Windows系统中NAT防火墙的功能、配置与使用操作。学习和掌握网络通信中的合法用户数据信息的传输,以实现网络安全中的保密性、鉴别性和完整。
(6)学习和掌握Superscan扫描工具对计算机进行端口扫描的方法,操作应用。学习和掌握各种网络安全扫描技术和操作,并能有效运用网络扫描工具进行网络安全分析、有效避免网络攻击行为。
(7)学习和掌握如何利用Wireshark进行网络安全监测与分析。学习各种网络监听技术的操作实验,能利用网络监听工具进行分析、诊断、测试网络安全性的能力。
(8)学习和掌握Snort网络入侵监测系统的安装、配置和操作。学习和掌握Snort入侵检测系统的基本原理、操作与应用实验。
3 综合实训
为了让学生能适应真实的网络环境,使之更贴近应用型人才的培养方案,最后我们设计了综合实训这个环节,让学生在网络通信系统中综合运用各种网络安全技术,设计一个整体的网络安全系统。分析公司网络需求,综合运用网络安全技术构建公司网络的安全系统。通过一个实际网络通信系统中的综合运用,实现整体系统的有效设计和部署。
学生分组进行实训,分为防御组与攻击组,为了充分利用实验资源让防御组的同学在局域网环境下搭建服务器靶机,并让防御组的同学配置VPN、NAT防火墙的技术并搭建SNORT入侵检测系统。攻击组同学操作学生终端尝试攻击服务器靶机,使用ARP欺骗等技术。防御组的学生使用Wireshark网络监听查看ARP欺骗源地址,并解决该威胁。
4 结论
随着网络技术的发展,网络安全成为重中之重,为了培养本科应用型人才,实践证明实验必须贴近真实存在的案例才能提高学生的实际网络攻防水平,使学生掌握网络安全的新技术,而使用综合实训这种方式,更是提高了学生的参与积极性,使教学质量进一步提升。
参考文献
[1] 常晋义.网络安全实验教程. 南京大学出版社,2010.12.
关键词:计算机网络课程;虚拟仿真实验;应用
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2017)01-0106-01
仿真是指从原来的真实系统中得出一个抽象模型,该模型要求能够反应原来真实系统的静态结构和动态结构,同时还要能体现原来真实系统中的人机交互关系。虚拟技术营造了一种可交互更迭的环境,人们可以通过人机界面与之交互,在精神感觉上进入该环境。例如:在展开某个实验环境时,虚拟现实可以先表达外部环境,随着操作者走进,实验环境的透视表现也转远为近,再后,当你面对某一层面进入操作时,计算机就转而生成深一层的景物视图,使各部分的状态逐渐展现出来一切如亲临其境。计算机网络课程作为高校计算机网络工程专业一门重要的课程,通过该课程的学习,不仅要让学生熟悉网络的理论知识,也要让学生掌握实践操作能力。
1 虚拟仿真实验特点
虚拟仿真实验作为学科专业与信息技术深度结合的产品,是使用虚拟现实技术模拟实物的计算机辅助教学软件,其主要特点如下:(1)互动性:与传统实验模式相比,教与学双向互动的实验模式更加关注教学内容,有利于学生、老师表达自己的意见,提升学生的学习兴趣和学习主动性。(2)激励性:课堂实验中教师通过展示仿真实例、学生参与实践,能激发学生的学习欲望,帮助学生充分理解、掌握学习内容,激发学生的创新思S和创造动机。(3)安全性高:部分危险性高的实验项目,如果操作疏忽,极易对实验者产生严重危害。虚拟仿真实验涵盖各专业所用设备和知识,有毒有害、破坏性强的实验也可在虚拟实验室内进行,在保障实验者安全的同时,获得其想要的实验效果。
2 计算机网络应用虚拟仿真平台的效果
众所周知,计算机网络实践较强,因此,多数院校均建立专业的网络实验室,以此增加课程实验环节所占比例。但由于不同因素的影响,在计算机网络实践操作中依然存在实验条件不达标、配套实验设施陈旧等问题,上述因素导致学生无法深入理解知识点,实践操作能力得不到相应的锻炼,从而影响整个研究效果。想要提升计算机网络实践操作的质量和效果,应把理论与实践有机融合起来,让更多的学生在实践操作中理解、掌握所学知识。对此,可利用部分软件在一台PC机上通过仿真实验进行研究,达到理想的实践效果。下文以病毒、网络协议等阐述虚拟仿真实验中的应用效果。
2.1 病毒模拟实验
随着计算机的普及应用,计算机及网络病毒随之增多。针对这些病毒的传播特点,基于已有软硬件资源构建虚拟网络实验环境,能使学生在近似真实的条件下学习病毒攻防技术。实验系统可提供100多种病毒源代码程序,确保各种病毒工作原理和感染方法处于可视化状态。如:在进行蠕虫仿真实验时,老师组织2名学生建立一个小组,分别操控主机A、B。主机A在实验平台中执行蠕虫模拟程序,B执行漏洞程序,并开启协议分析器及时捕获APP数据包,认真查看与APP协议相关的数据。在虚拟仿真环境下验证蠕虫病毒感染过程,学生能够真切了解计算机病毒设计的理论知识和感染机制。同时,实验还配备验证杀毒工具效果等内容,便于学生深入了解计算机病毒分析、预防及对抗方法,针对性的补充各种编程语言和技术,提升学生对病毒攻防知识的运用能力。
2.2 网络协议实验
在虚拟仿真实验平台下进行网络协议实验,学生可借助仿真编辑器手动编辑、发送相应的协议数据包,随之由协议分析器捕获网络数据包,并把网络会话以十六进制、图形两种方法表达出来。在进行POP、SMTP协议实验时,仿真编辑器上均设置outlook express软件,学生通过TCP工具、POP3等命令编辑邮件并完成发送操作,学习SMIP协议、POP3等协议命令方法。同时,学生借助仿真编辑器对ASMIP数据包进行编辑,更好的理解、使用SMIP工作过程及其封装格式。网络协议实施虚拟仿真实验教学,有利于学生在实践操作中深入了解网络结构及协议。通过编辑不同协议数据包,充分调动学生学习主动性,拓宽学生的思维和设计思路,提升自身的设计能力。
3 结语
综上所述,计算机网络课程是一门实践与理论并重的课程,在计算机网络课程中使用虚拟仿真实验进行实践操作,能有效解决计算机网络实践操作中遇到的问题,提升学生的学习积极性和实践操作能力。本文以虚拟仿真实验为依据,深入分析在计算机网络课程实践操作中应用虚拟仿真实验的效果,以期为更好地开展计算机网络课程实践操作提供一定帮助。
参考文献
【关键词】计算思维 人才培养模式 课程体系 教学模式
【中图分类号】 G 【文献标识码】A
【文章编号】0450-9889(2014)01C-0152-03
随着信息技术在互联网的广泛应用,人们的生活和工作越来越网络化,但是互联网的开放性与安全漏洞所带来的安全风险也对网络的健康发展产生了巨大影响。信息安全已经成为任何国家、政府、部门、行业都必须重视的问题,是一个不容忽视的国家安全战略。信息安全人才已成为信息时代企业亟需的热门人才,如何提高高等职业院校信息安全专门人才的培养质量,不断适应地方经济和信息社会发展的需求,已成为信息安全专业建设和教学改革的重要课题。
一、高职信息安全专业教学现状
(一)人才培养模式脱离市场需求
《国家中长期教育改革和发展规划纲要(2010-2020)》指出,要“创立高校与科研院所、行业、企业联合培养人才的新机制”。目前,大多数高职院校对企业信息安全岗位的知识、能力和素质要求缺乏深入了解,对学生的培养目标大多参考相关或相近的专业和课程,脱离了信息安全行业的实际需要;而企业也没有利用学校资源,将企业项目融入学生的实验实训过程或将新员工的培训与在校生的实习相结合,这样就使得学生的学习内容与企业所急需的技能脱节,从而造成当今社会的一大矛盾:大学生找不到工作,企业招不到人。为了缓解这些矛盾,迫切要求运用新的理念对高职院校信息安全人才培养模式进行改革。
(二)课程内容设置缺乏系统化、体系化
信息安全内容更新迅速,课程涉及的知识点既多且难,而且目前高职院校对信息安全课程设置的学时相对较少,这样就容易在教学过程中造成教学内容的选取和教学课时安排之间的矛盾。比如,有些高职院校的信息安全配套设备少,教师在课程内容设置方面就会偏重理论的系统性、完整性,侧重信息安全基本理论和加密解密算法等知识点的讲解,学生学习起来会感觉枯燥乏味,难以理解,加之信息安全实验配置相对复杂,会降低学生的学习热情,影响学生对信息安全基本认知能力的培养。而有些高职院校的课程设置偏重于实践性操作,教师在教学过程中采用大量的案例与项目,忽略基本知识点的讲解与分析,学生在实验过程中“只知其然,不知其所以然”,换了例子就无从下手,思维受到限制,不能充分发挥学习积极性,很多学生在课程学习结束后感觉“只见树木不见森林”,不能将所学的内容融会贯通,不利于学生系统地掌握信息安全课程的知识。
(三)重理论、轻实践,学生动手能力差,发展后劲不足
对于信息安全课程教学,大部分高职院校采用了“讲授+上机实践”的授课方法和边讲边练的课堂教学模式,但具体实施过程中由于实践性环节课时较少,且信息安全实验配置环境相对复杂,造成了实践教学缺乏系统性、完整性,学生在实践过程中只是在虚拟机如VMware Workstation上模仿练习教师上课时使用的案例或实现教材中的例题,没有进行团队合作的分组实验,也很少在真实环境下实现小规模的网络攻防演练,因此阻碍了学生扩展应用能力和创新精神的培养,造成学生缺乏主体意识、实践综合应用能力差、团队协作能力差,发展后劲不足,进而影响学生就业和他们的后续发展。
二、计算思维的理念
2006年3月,美国卡内基・梅隆大学计算机科学系的周以真教授在《美国计算机协会通讯》期刊(《Communications of the ACM》)中给出了计算思维的定义:计算思维是运用计算机科学的基础概念进行问题求解、系统设计以及人类行为理解等涵盖计算机科学之广度的一系列思维活动。此后,计算思维理念成为国内外计算机行业广泛关注的重要概念,也成为各大高校在计算机教学中重点关注和研究的内容。周以真教授在《中国计算机协会通信》期刊中的《计算思维》一文中强调:计算思维的理念是“通过约简、嵌入、转化和仿真等方法,把一个困难的问题阐释为如何求解它”;是“采用了抽象和分解来迎战庞杂的任务或设计巨大复杂的系统”;是“利用启发式推理来寻求解答,就是在不确定情况下进行规划、学习和调度”。将计算思维的理念运用到高职院校信息安全教学过程,就是要在教学实践中引导学生利用启发式推理方式求解问题;学习把握复杂问题的关键环节,并能把关键问题分解为若干小任务加以处理;培养学生从整体把握到细化分解并最终求解问题的思维方式。2010年发表的《九校联盟(C9)计算机基础教学发展战略联合声明》中提出了要在计算机基础课程教学中,把培养学生的计算思维能力作为核心任务,充分发挥学生的创新能力。
三、计算思维在信息安全课程改革中的应用
(一)强化计算思维能力的培养,实现“认知、实践、创新”人才培养方案
信息安全是一个“以信息安全理论为核心,以信息技术、信息工程和信息管理等理论体系为支撑,以国家和社会各领域信息安全防护为应用方向”的跨学科的交叉性学科。由于涉及知识面宽、知识点多、知识体系庞大,需要的基础知识也很多,这就要求信息安全的人才培养必须从信息安全学的学科体系建设入手,以培养多层次、多规格的,且具备多学科知识和复合型技术的人才为目标。
将计算思维理念运用于信息安全教学改革,在教学过程中以培养学生的计算思维能力为核心,引导学生利用启发式推理来寻求问题的解决,根据学生的学习特点,循序渐进地实现“认知、实践、创新”一体化人才培养方案,培养学生的理解能力、实践能力和创新能力。在认知训练阶段指导学生掌握信息安全的基本理论和经典案例;在实践训练阶段引导学生以项目为依托,循序渐进地学习掌握信息安全的分项实验;在创新训练阶段,指导学生分组演练,调动学生的主动性与参与性,让学生自己提出问题、分析问题和解决问题,在实践过程中理解和应用课程所涉及的知识点,培养学生的计算思维能力,进而提高学生的自主学习、实践应用和创新能力。
(二)加强实践教学环节,构建层次化、系统化的课程教学体系
信息安全课程的理论性很强,对于高职院校的学生来说,其中涉及的知识点具有较大的难度,这样就更需要构建层次化、系统化的课程教学体系,通过各阶段各层次知识点的讲解以及相应的实验和项目训练,让学生由浅入深、由易到难,逐步理解和掌握信息安全课程的知识体系结构。计算思维的理念注重在教学实践中引导学生利用启发式推理方式求解问题,把握复杂问题的关键环节,并培养学生从整体把握到细化分解并最终求解问题的思维方式。因此,将计算思维应用于信息安全的理论教学与实践环节是一个循序渐进、层次化、系统化的过程。
在构建基于计算思维的课程教学体系过程中,我们将信息安全课程的理论教学与实验和企业真实项目以及全国职业技能大赛的信息安全技术方向结合起来,将项目分解融入到各阶段的实验。第一学年认知训练阶段,主要激发学生的学习兴趣、奠定他们的专业基础能力,这阶段的重点在于指导学生利用虚拟机搭建信息安全实验平台自主学习、分项训练;第二学年实践训练阶段,主要让学生了解构建安全信息系统所要解决的关键问题,重在真实环境中的分组协作和攻防演练;第三学年创新训练阶段,充分发挥学生的主观能动性和创造性,在真实环境实现小规模的信息安全项目或企业项目,并选拔优秀学生参加全国职业院校技能大赛,着力培养学生的网络安全工程能力和创新能力。我校学生在2011和2012全国职业院校技能大赛中获得信息安全赛项和计算机网络应用赛项的区级三等奖。上述这些实验和项目之间相互关联,涉及信息安全课程的所有重要知识点,通过整体设计,形成一个循序渐进的系统化的、层次化的课程教学体系,见表1。
表1 基于计算思维的实践教学体系
层次 教学重点 教学内容设计
认
知
阶
段 基本知识点
演示验证实验 该阶段重在把握信息安全的概念以及讲解演示网络攻击技术:密码破解技术、网络嗅探技术、网络端口扫描技术、缓冲区溢出、拒绝服务攻击技术、VPN技术等,进而了解NIDS和IPS的作用与构建。
实
践
阶
段
基础实验
综合实验 基础实验:
①古典密码算法;②基于公钥的安全服务基础设施CA中心的搭建,实现SSL web服务;③使用Nmap和X-scan工具进行端口扫描;④利用L0phtCrack5.02工具破解账号口令;⑤windows操作系统安全;⑥linux操作系统安全;⑦IPSec VPN的配置;⑧缓冲区溢出攻击与防范。
综合实验:综合运用前述知识进行网络攻击
①对本机安装和配置DNS、Web、FTP、E-mail、DHCP等网络服务;②对目标机进行端口扫描,分析它所开放的服务;③使用远程溢出工具如MS05039攻击目标机;④利用X-scan工具进行嗅探,获取目标机的FTP登录用户名和密码;⑤用获取的FTP帐号登录目标机并取得其IP地址;⑥部署防火墙,在防火墙上实现NAT转换、包过滤、URL过滤、P2P流量控制等。
创
新
阶
段 企业项目演练
模拟大赛演练 借鉴企业项目与全国职业院校技能大赛的内容,在真实环境中实现攻防演练:
①网络组建;②服务器配置和应用;③网络安全配置与防护:部署防火墙,实现路由、NAT转换、包过滤等;部署入侵检测技术,对网络存在的风险进行预警,实现检测DDOS攻击、病毒攻击、缓冲区溢出攻击、端口攻击等;配置IPSec VPN;配置无线网络WEP加密、MAC认证接入控制;Windows Server 域控制器技术、权限管理;配置CA服务;EFS加密技术;操作系统病毒防护等。
(三)“教”“学”并重,营造团结协作的学习氛围
教育部《关于全面提高高等职业教育教学质量的若干意见》中明确指出:“教育学生树立终身学习理念,提高学习能力,学会交流沟通和团队协作,提高学生的实践能力、创造能力、就业能力和创业能力”。基于计算机的协作式学习模式是一种在讲授式与个别化教学模式基础上发展而来的教学模式,是建立于合作学习基础上的一种教学模式,是一种基于学习主题,学生通过开展竞赛、协同讨论、互动的方式达成知识建构的教学模式。在信息安全课程的实践教学过程中,学生可以采用分组协作式攻防演练,通过小组协作学习和真实环境分组模拟演练,培养学生的合作精神;同时,教师之间也可以采用协作式备课、协作式教学,营造“学”“教”并重的良好氛围,既强调老师的导学,又注重学生的自主学习和协作学习,提高学生的专业综合能力和团队协作精神。
(四)实现“请进来”和“走出去”,培养双师型教师
国家一直提倡高职院校加强“双师型”教师队伍建设,教师的教学素质和实践应用能力直接影响学生的专业技能和职业能力,实现“走出去”是希望教师能够走出校门,参与行业、企业的进修,了解行业的最新动态和需求,并在企业的项目中提升自己的实践应用能力和项目经验;实现“请进来”是希望学校能够邀请企业一线的优秀人才来学校当兼职老师,向学生传授最新的技术和技能,将企业项目灵活地引入学生的实验环节,给教学过程注入新的活力,同时也会激发学(下转第180页)(上接第153页)生的学习热情,提高学生的实践能力和项目能力。
基于计算思维的信息安全课程改革以学生的职业能力培养为导向,以信息安全方向经典案例为基础,通过任务分解和学生协作实验,将课程的知识点巧妙地融合于体系化的实践环节中,使学生在实验中加深对理论知识的理解,进而提高学生的思维能力、创新能力和职业能力。
【参考文献】
[1]周以真.计算思维[J].中国计算机学会通讯,2007(11)
[2]王飞跃.从计算思维到计算文化[J].中国计算机学会通讯,2007(11)
[3]朱亚宗.论计算思维―计算思维的科学定位,基本原理及创新路径[J].计算机科学,2009(4 )
[4]董荣胜,古天龙.计算思维与计算机方法论[J].计算机科学,2009(1)
[5]陈国良,董荣胜. 计算思维与大学计算机基础教育[J]. 中国大学教学,2011(1)
[6]Jeannette M. Wing. Computational Thinking[J]. Communications of the ACM. 2006,49(3)
[7]陈庆章,洪宁.以合作学习系统为例看CSCW的合作机制[J].计算机工程与应用,2000(6)
[8]黄荣怀.CSCL的理论与方法[J].电化教育研究,1999(6)
[9]周勤.协作学习与网络教学探讨[J].中国电化教育,2000(5)
【基金项目】新世纪广西高等教育教改工程项目(2011JGZ065),广西高等学校特色专业及课程一体化建设项目(GXTSZY196)
关键词:计算机犯罪侦查;信息安全;培养方.案;课程体系;
中图分类号:G642 文献标识码:A
1 引言
随着信息化的发展,虚拟空间的计算机犯罪呈快速发展的趋势,严重影响了信息化社会的健康发展,影响了现实社会的社会安定、社会安全和国家安全。为了应对新型的计算机犯罪问题,公安部组建并成立了公共信息网络安全监察局,并拥有覆盖全国的相关机构,以处理不断增多、形式多样的计算机犯罪问题。在和公安部下属的院校、研究所,以及普通科研机构中科院下属的软件研究所和高能物理研究所,北京大学、武汉大学等高等院校也展开了对计算机犯罪问题的研究工作。
信息安全学科是由数学、计算机科学与技术、信息与通信工程等学科交叉形成的一门综合性学科。信息安全专业是一个综合性的专业,它以计算机、通信、数学、法学等专业为基础,主要研究领域涉及现代密码学、计算机系统安全、计算机与通信网络安全、信息系统安全、电子商务/电子政务系统安全、信息隐藏与伪装等。
计算机犯罪侦查专业目前主要在公安院校设立,2004年首先在中国人民公安大学、沈阳刑警学院的计算机科学与技术专业发展而来。本文结合作者在中国人民公安大学信息安全工程系的教学工作,就如何在计算机犯罪侦查专业教学中设置信息安全相关课程进行了探讨,包括课程设置、实践环节设计、实验室建设等内容。
2 课程设置
2.1 课程设置原则
课程设置要符合专业知识体系特点,由于计算机犯罪侦查专业是交叉学科,要求的基础面比较宽,不可能开设所有相关的专业基础课,因此对这些基础课程必须进行一些取舍。专业课程设置可分为专业基础课、专业主干课、专业提高课和专业实验实践课。为了培养多方面多层次的人才,在课程设置上还应注重多层面内容的结合,特别加强了专业实验实践教学来提高学生运用知识的能力。其中在专业提高课中,注重学生的分流,对有深造愿望的一部分学生加强专业理论的学习,对就业的大部分同学加强专业知识的实践运用。专业实验实践课程主要加强在公安实践中的专业知识的运用。
课程方案基于2004年版中国人民公安大学计算机犯罪侦查专业培养方案(以下简称原有方案)的课程体系进行设计,参照了国内外院校信息安全专业课程设置的相关材料,既体现计算机科学与技术学科基础,突出信息安全学科专业方向内容,同时又保持我校公安侦查特色与优势。
2.1 课程设置方案
根据原有课程设置方案,计算机犯罪侦查专业课程设置大致分为通识教育内容、专业教育内容和公安学教育内容三个部分,每个部分又包含若干个知识体系。通识教育内容包括:人文社会科学、自然科学、思想教育、外语、计算机信息技术、体育和实践动手能力训练等7个知识体系。专业教育课程大致包括:专业基础课程、专业主干课程、专业提高课程、专业实验实践课程等4个知识体系。公安学教育内容包括刑法学、公安学、侦查学、刑事科学技术、治安学和警体技能等6个知识体系。
参考全国高校本科信息安全专业本科教学规范和相关高校计算机学院信息安全专业的人才培养方案,结合公安业务部门一线需求实践,保留我校计算机犯罪侦查专业的特色和优势,我们可以对原有方案的课程设置做如下调整:
(1)大学通识教育课程和公安学课程类保持不变。
(2)对专业基础课程进行调整,使其涵盖数学、计算机、电子、通信学科的基础内容。在原有方案中,增加“电路与电子技术”、“通信原理”两门课程。同时把“离散数学”改为“信息安全数学基础”,增加数论和群环域等代数内容,侦查学课程只保留侦查学概论(公安学课程类中已讲)、侦查程序内容。
(3)对专业主干课程进行调整。专业特色课程包括原有方案的“现代密码学”、“网络安全”、“信息网络安全监察技术”、“计算机犯罪侦查技术”,以及新增的“信息安全体系结构”和“计算机犯罪取证技术”。
(4)在专业提高课程中,对专业提高课进行了增减,包括原有“数字信号处理”、“嵌入式系统”、“多媒体技术”、“JAVA与面向对象程序设计”、“Linux原理与应用”以及新增的“信息隐藏与数字水印”、“电磁防护与物理安全”、“信息内容安全”、“信息安全新技术讲座”、“电子取证技术”和“网络程序设计”等。调整后的提高课程,增加了信息安全与计算机侦查技术的知识广度,同时加强了学生程序开发能力。专业提高课程是按知识结构进行了简单的分类,而在学生选修课程时可以打破选修方向限制,可根据兴趣同时选修每个方向的每门课程。
(5)专业实验实践课程,在下一节介绍。
表1给出了计算机犯罪侦查专业方向的课程设置方案。
3 计算机犯罪侦查专业实验实践教学的设计
计算机犯罪侦查是一个实践性很强的学科,尤其适应公安网监等部门的业务要求,要求学生有更强的解决实际问题的能力,计算机犯罪侦查专业必须加强实践环节的教学。因此我校特别加强了专业实验实践课,包括独立实验课程、专业课题设计、项目实践、毕业课题、科技创新、公安认知型实践、公安专业业务实习等多种形式。
(1)专业实验课程。包括原有方案中的“密码技术应用实验”、“微机系统与接口实验”、“计算机取证技术训练”和“计算机组成实验”,以及新增的“计算机网络实验”、“信息安全综合实验”、“网络安全实验”等。
(2)专业课程设计。在专业课教学中,由任课教师安排组织学生组成若干项目组,根据教学内容设计题目进行编程开发和系统实现。可进行“嵌入式系统设计”、“计算机网络系统设计”和“信息安全工程系统设计”等一般性课程设计,也可以进行“程序设计综合训练”、“信息安全系统软件”等大型应用软件课程设计。
(3)项目实践。引导有特长的学生参与到系部老师在研的项目中,进行实际项目开发与工程实践。
(4)科技创新。系部资助经费,鼓励学生参加程序设计大赛、电子设计大赛、嵌入式系统大赛、科技创新或发明大赛、创新或创业设计大赛、撰写学术论文等。
(5)毕业课题设计。由指导教师确定题目或结合公安实习单位相关项目,进行技术专题研究或工程设计。
(6)公安认知型实践。主要在大一和大二的暑假,要求学生参与基层派出所工作,初步了解基层公安工作,树立警察意识,培养警察职业的感性认识和适应能力。
(7)公安专业业务实习。大三和毕业实习中,深入了解公安业务,参与到网监部门工作,掌握警察执勤办案程序,并结合所学计算机犯罪侦查专业,参与到实习单位项目开发中,培养独立工作能力。
表2给出了一个计算机犯罪侦查专业的实践教学的安排。
公安大学计算机犯罪侦查实验室结合了公安专业特色,目前建了计算机基础实验室、计算机软件工程实验室、计算机硬件实验室、网络攻防实验室、计算机犯罪侦查实验室和信息安全实验室。我校信息安全工程系和安全防范系合作申请部级“电子证据实验室”,主要以我国公安、司法部门针对计算机犯罪应用的法律和技术方面相关需求为导向,开展面向电子证据取证的技术、标准、检验方法、取证模型等领域的研究。
公安大学计算机基础实验室主要完成全校计算机公共课的实验教学。计算机软件工程实验室主要面向计算机犯罪侦查系专业课学习,可进行软件工程、面向对象语言等教学实验。计算机硬件实验室为“数字逻辑实验”、“微机系统与接口实验”和“计算机组成实验”等实验教学服务。网络攻防实验室主要进行网络攻击与防御技术、计算机病毒原理与防治、入侵检测等实验教学。计算机犯罪侦查实验室主要进行计算机犯罪侦查技术、计算机犯罪取证技术和侦控、监控技术的教学实验。信息安全实验室主要为现代密码学等相关内容的教学实验服务。在申请的“电子证据实验室”将为学生可以提供计算机犯罪侦查和电子取证的综合软硬件的实验实践场所。
关键词:信息中心;安全;原因;优化
中图分类号:TP393.18 文献标识码:A 文章编号:1674-7712 (2013) 20-0000-01
学校信息中心肩负着保障整个校园计算机与校园网络可靠运行的重任。在计算机与网络维护的工作中,我们经常发现威胁网络安全的风险因素,只有认清并掌握这些网络安全问题,并及时采取防范优化策略才能保障整个校园网络的正常运转。
一、学校信息中心发现的主要网络安全问题
(一)软件漏洞带来的安全威胁
现阶段网络信息化已经普及到各大高校,一个校园各项教学与管理任务的正常运转要依靠各类软件系统的支撑。例如,辽宁某大学的教师教务与学生成绩的管理,图书馆的借阅图书管理,财务部门的学生学费缴纳管理,学校后勤部门的管理等等,都开始应用了系统的管理系统软件。而类似这些软件在开发与设计当中难免会遗留一些问题,在加上每个学校形势每天都在变化,软件的升级与维护工作又不能够及时的跟进,这就让很多病毒与木马有大量的机会来入侵和攻击这些校园管理系统软件。软件携带进校园网络的病毒还具有一定的扩散性,如不加以控制将迅速蔓延至整个校园网络。
(二)硬件设置与设备上的安全威胁
以计算机、服务器以及路由器和交换机、还有各类移动设备和网线等硬件设备等都是校园网络系统得以运转和实施的重要载体。这些硬件设备在设置上往往忽略了安全密码的设置,或者设置的密码安全等级低、还有的学校从应用这些设备以来都没有对密码进行过更换,一直使用设备出厂设置的最初的初始密码。这就造成了黑客在硬件设置上找到了漏洞,将病毒通过漏洞携带进校园网络。有些校园的计算机还设置了可以远程协助等功能,黑客会通过远程对该计算机进行控制[1]。再有,很多学校也忽视了对诸如双绞线、光缆、服务器以及UPS电源等硬件设备的维护。例如,没有对这些硬件设备进行防水、防火方面的保护,没有采取恰当的抗震措施;也有的学校忽略了设备的防磁干扰防护等等。以上,都属于硬件设置与设备维护上构成的校园网络安全风险威胁。
(三)校园内部对网络资源的滥用
校园网络对于带宽的需求已经超过了我国不断更新的带宽增长速度。即使千兆级的带宽网络被应用到校园网络上,还是不能够满足广大师生对于网络带宽的需求。主要是因为下载教学软件与视频的用户不断增多,甚至有些学生过分利用校园网络资源,例如大量下载电影、电视剧等,每天大量下载任务的加剧造成了网络资源不断被占用,甚至会影响到正常教学管理系统任务的执行效率。而在下载过程中各类病毒也很容易入侵进校园网络,这些校园内部网络资源的滥用都构成了对校园网络安全的威胁。
二、校园网络安全问题频发的原因
校园网络安全问题频发的原因是多方造成的。首先是校园管理与日常办公软件系统的应用越来越多,教师与学生们对邮件、网页、游戏、博客、QQ等软件的使用率愈来愈高,这些系统应用的频繁都增加了网络系统安全的风险指数。例如,常常见到的网速慢、网页不能正常打开与关闭、计算机蓝屏、系统用户被篡改、甚至有些教学应用数据被修改等现象常有发生,极大的影响了学校教学秩序的顺畅进行。其次,学校信息中心的管理者技术水平参差不齐,有的没有接受过系统的网络维护与病毒防范知识培训,网络安全意识薄弱,认为一些杀毒软件与木马防范程序的安装可有可无等,这些都造成了对网络安全维护工作的忽视,让病毒有可乘之机,威胁校园网络正常运转。此外,一些黑客的技术手段也愈加高明,风险因素随时可能爆发,病毒和木马的不断更新也对校园网络安全造成了不小的威胁。
三、防范优化学校网络安全的重要策略
(一)加强防火墙与漏洞扫描,维护软件系统安全
校园信息中心的网络管理人员要注意在每台计算机上安装IP地址检测、病毒检测软件。防火墙的安装也必不可少。特别要注重对软件漏洞的扫描,可以利用360安全杀毒软件或者金山毒霸软件的漏洞扫描功能,及时查找网络系统的漏洞并进行补丁修补。此外,要定期对计算机的内存、垃圾软件等进行清理,让计算机能够高效的运行[2]。软件登录时注意口令与密码的核对,注意用户身份的认证。对于软件系统的维护上,要注重软件定期运行状况的监测,及时对软件进行升级处理[3]。如果校园应用软件被黑客攻击与控制,要有相应的应急补救措施。
(二)做好硬件配套设施的维护,保障硬件系统安全
学校信息中心在采购网络设备诸如计算机、服务器、USB移动设备、路由器和交换器时,一定要注意检查设备的质量,保障其功能与性能良好。在校园网络应用中,也要对相应的硬件进行安全设置,密码登记要高,尽量避免密码等级低带来的不安全风险。在计算机上尽量不要允许远程控制,杜绝黑客控制。在设备的防火、防潮、防磁与防震方面也要多加注意,避免因火灾、潮湿、磁干扰和震动带来的硬件系统风险。
(三)规范校园网络使用规定,避免网络资源的滥用
学校应该加强网络安全使用方面的规定,加强信息中心网络维护人员的管理与培训[4]。对于学生占用网络资源进行的电影、视频、电视剧等的下载量要进行控制,对于教学软件与P2P软件的带宽的合理分配等都要进行合理的规定,对于教学软件与QQ或者游戏的带宽占用要以教学软件优先,保障正常教学任务的优先进行。杜绝学生在网络应用中对不良网站的浏览、强化绿色网络环境的建设[5]。
四、结语
校园信息网络对于各项教学与管理工作的顺利进行提供着较为高效的平台,我们在对其利用的过程中要避免资源浪费,意识到网络安全问题的存在并积极采取防范与优化的策略,让其更好地为广大师生服务。
参考文献:
[1]李俊民.网络安全与黑客攻防宝典[M].电子工业出版社,2011:87.
[2]俞朝晖,王,赵怡程.系统防护、网络安全与黑客攻防实用宝典[M].中国铁道出版社,2013:35-41.
[3]刘莹.计算机信息网络安全技术和防范措施探析[J].中国科技博览,2013(16):72.
[4](美)康维,著.田果,刘丹宁,译.网络安全体系结构[M].人民邮电出版社,2013:22-25.
【关键词】计算机;网络防御;策略;描述语言
计算机网络安全所指的是凡是涉及网络信息完整性、保密性、真实性、可靠性、可用性及抗抵赖性等相关技术及理论均是网络安全要研究的领域,从本质上讲网络安全即是网络信息安全,尽管网络安全已经被信息社会各领域重视了,可因为计算机网络本身就存在着一些潜在威胁因素,这就让计算机网络容易受到病毒、黑客、恶意软件及其它不轨意图行为等的攻击,为了确保计算机网络的安全及可靠,计算机内就需要一种较为强大的网络防御策略来保护自身的网络安全。
一、计算机网络安全漏洞及攻击分析
由于计算机网络自身因素所造成的安全漏洞,主要有三个方面的因素,一是网络结构不安全性,Internet是种网络与网络间的技术,主要有主机和自治系统所连接成的庞大网络,在两台主机进行端与端通信的时候,相互传输的数据流一定会通过许多主机进行发送,这样的话就给那些攻击者带来了便利,当他有一台数据流传输中的主机,对用户的数据包进行挟持就易如反掌了。二是TCP/IP体系间的脆弱性,在上个世纪的70年代,当美国的国防部制定有关DARPA计划时,并沒有想到会在全球范围内使用,因此,TCP/IP协议所考虑的网络安全性并不是很多,而且TCP/IP协议是开放的,当有人对这个协议很熟悉的时候,就有可能运用其安全缺陷实施网络攻击。三是计算机用户的安全意识较为缺乏,尽管在网络中设置了较多的安全壁垒保护屏障,可人们的安全意识普遍不强,这些保护措施很多时候形同虚设,像用户口令的选择不够谨慎,以及打开了来历不明E-mail,这些都会给网络带来安全隐患,有些人为了避开有关防火墙的服务器额外认证,就会直接进行PPP连接,这样也就避开了防火墙保护,还有些人是直接进行浏览器页面的关闭,这些操作均给病毒及黑客入侵带来了便利。现在的攻击行为主要是运用计算机网络自身存在缺陷或者安全配置不恰当造成了安全漏洞来实施计算机网络攻击的,其攻击程度与攻击者采用的攻击手段及攻击思路不同而有着不同,但这些都给计算机的网络安全带来了较大的隐患。
二、有关计算机网络的防御策略描述语言
DPSL概述
计算机网络的防御策略所指的是为了实现特定安全目标,其网络及信息系统依据一定条件来选择防御措施规则,进行计算机防御就需要大量措施应对各种网络攻击,用人工配置的方法是比较复杂、低效及易错的,运用网络防御策略能够实现措施的正确、高效及自动化的部署并且能够让系统具有灵活性及可伸缩性的特点,这种策略具有较多的优点,已经被广泛应用在网络防御中了,并且是网络防御核心,其检测、保护及响应均是依据策略进行实施的,这种思想也被称为PPDR模型思想,可由于这种模型的策略粒度有些太大,沒有办法实现基于策略防御,依据这个先天不足,策略树把防御策略表示成了目标/措施的形式,可并沒有实施机制,并且兼容性不是很好,层次也不是很清楚的问题。而计算机网络防御策略描述语言简称为CNDPSL,它所面向的是计算机网络防御策略模型(CNDPM),能够统一地对检测、保护及响应策略进行描述,并能够把抽象策略细化成具体的规则,还能够以形式化方法来验证策略一致性、完备性及有效性。对于计算机网络防御策略描述语言(CNDPSL)来说,它是一种声明式的语言,对网络防御控制行为进行了抽象,而且对网络防御的需求具有比较好的适应性、灵活性及可扩展性,通过实验表明,这种描述语言能够将抽象的策略自动地转为具体技术规则,且实现表达防御效能。在CNDPSL设计中,需要满足下列要求,一是语法简洁直观,能够抽象网络防御控制行为,并且能够细化成有效及可实施防御的规则。二是能够表示访问控制领域策略,也能够对保密等其他保护策略进行描述,并控制响应及检测规则配置。
2.计算机网络防御策略模型描述
这里的防御策略模型代表是依据RBAC模型及组织机构访问控制的模型Or-BAC,前者仅是把主体抽象成了角色,并沒有对权限给予抽象,后者则对客体、主体及动作等都给予了抽象,但它们仅是一些框架及概念,并沒有进行实际的应用防御,而CNDPM是在Or-BAC的基础上进行了扩展,引入了措施概念,把策略及具体规则统一成了元组形式,把Or-BAC中有关规则及策略的8个谓词进行了去除,且给出了推导规则,概念间的关系进行了简化,把剩下的七个多元谓词进行演变成了一个四元谓词及九个二元谓词,从而对应成了十种关系。同时引入了特性的定义机制,把视图、角色及活动自动地分配给了客体、主体及动作。并将策略结构转化为了6元组,Policey:,其表示为在组织(org)中其角色(r)能够对视图(v)的活动(a)上下文(c)环境中采取相应措施(m)。其具体规则结构化成了5元组,Rule:,这里所表示的是在组织(org)里主体(s)能够对客体(o)的动作(a)运用措施(m)。
3.防御策略性质
计算机网络防御策略性质主要包括有效性、完备性及一致性。有效性所指的是当任何策略预期风险均在可接受范围之内时,这个策略集就能够被称之为有效的了。策略的有效性是依据上限值及评估函数进行决定的,当给定一个风险后,就应该选取合适策略,把威胁限制在能够接受的范围内。完备性所指的是任何组织及任何一个事件至少应该对应一条策略,那么称这个策略集为完备的,它所表示的在任意攻击事件中,都可以在策略集里找到响应及检测策略,有些已知攻击响应策略可能并沒有定义,依据这种情况,可在每个组织中,定义出一条缺省的策略来实现策略集完备性,这样对于未知的攻击就会存在着漏检情况,仅有当未知的攻击转变成了已知攻击的时候,才能进行相关检测及响应策略扩展。当两条策略组织及上下文相同的时候,并且视图、角色及活动都存在交集的时候,采用了相冲突措施,像许可和禁止,这时策略集出现了不一致现象,而检测一致性所指的是在某个策略集中,任意两条不同策略,其组织不同、上下文不同、视图不重叠、角色不重叠或者活动沒有重叠,那么这个策略集就是一致的。
三、CNDPSL设计及实施机制
CNDPSL是依据CNDPM模型而实现的一种策略描述语言,把计算机网络防御策略所涉及的内容按照语言描述了出来,并给出了EBNF的范式,且通过仿真来验证该语言是否有效,为攻防模拟的演练给予了支持。CNDPSL所需要描述的内容主要有组织机构、角色、策略、活动、视图、定义、上下文、措施声明、分配和继承关系等,其中,组织结构为CNDPM模型核心的概念,并运用搜索网络配置来设定目录服务器同名域的建立,这些内容有效地反映了有关CNDPM的思想。在计算机攻防的模拟演练之中,人机交互命令或者CNDPSL格式策略文件,通过策略引擎及防御策略的信息库进行交互处理,并转化成相应CNDDL的防御命令,再通过RT1传送至GTNetS仿真联邦成员中,且有CNDDL解释器把命令转成防御动作,完成了对防御策略部署。其执行系统总体设计主要包括策略引擎及防御策略的信息库。防御策略的信息库主要是通过1dap来存储策略需要的实体关系及实体信息。其引擎具体工作原理为:先对模块进行解析,主要是通过Yacc和Lex对CNDPSL的语法、词法及语义进行分析,并从信息库里读出策略描述需要的客体、主体及动作,且存入防御策略的信息库里,接着依照模型推导规则将模块的防御策略映射成相应规则,并由分发模块对防御策略信息库查找,且把规则分发到相应防御节点上,最终转化成了CNDDL的防御命令。其中,访问允许策略定要递归地在每个父组织防御节点上部署,这是由于数据包必定经过所有防火墙。
四、结束语
CNDPSL作为一种计算机防御策略描述语言,能够在很多环境中,对计算机网络的防御措施给予选择,随着新防御措施的出现,仅需要将措施集里加入相应描述就可以被策略发现及选择了,而防御策略图形化界面的提供,必将进一步加强计算机网络防御的功能及可操作性。
参考文献:
[1]杨鹏,杨帆.一种计算机网络防御策略描述语言[J].硅谷,2011(13).
[2]吴凤刚.计算机网络的防御技术研究[J].中国新技术新产品,2010(11).
仲春时节,岭南某山地,某部组织的一场对抗演练骤然打响。担任“红方”首攻任务的某新型履带式步战车分队向目标地域急速开进。
厚厚的装甲挡板、独特的箱形车体,加上与山地环境浑然一体的迷彩外形,这些曾在国庆60周年首都阅兵场上亮相的新型步战车,犹如一座座移动的“铁甲堡垒”,成为演兵场上的新锐。
“报告指挥部,我车到达l号地域!”402车车长张东财按照车载定位系统提供的方位信息向指挥所报告。10秒后,车载指控系统的电子地图上便收到指挥所根据“蓝方”火力配系标绘出的一条安全开进路线。
通信静默,战车顿时如幽灵般消失在“蓝方”侦测定位系统的视野中。
“装甲再厚,也只是步战车最基本、最原始的防护手段。要想成为驰骋现代战场的‘铁甲堡垒’,还必须具备信息化的防护手段。”现场指挥员、某装甲团副团长黄小龙告诉记者,通过去年阅兵前的高强度训练,官兵进一步挖掘出战车运用信息技术实施规避、隐身、抗干扰的防护功能。
火网密织,马达轰鸣。战车分队冒着炮火向“敌”占据的山头悄然进发。
“402注意,你车右前侧500米处有一火力点……”车载电台传来指挥所的通报。操作手迅速将相关数据输入火控计算机,调炮、瞄准、装弹……“轰!”炮弹如出鞘利剑,直刺“敌”火力点。火光冲天,目标灰飞烟灭。
而此时,与主炮呈“捆绑式”结构的小口径机关炮也发出怒吼,“蓝方”火力点前方的有生力量随之被清除。
“在一定条件下,进攻是最有效的防御。”黄小龙告诉记者,该型步战车与老式装甲运兵车的最大区别在于,它不仅集多种特殊防护手段于一体,还拥有强大的火力和精确打击体系,具备攻防自如的优越性能。
方位、风向……相关信息源源不断地流向车载指控系统。在指挥所的引导下,“红方”战车分队时而巧妙躲避“敌”火力,时而发起集群突击……
指挥员心语:攻防结合制胜有道。攻与防,自古以来就是军事斗争中一对主要矛盾。然而,随着科技的发展,攻防融为一体的趋势在现代战争中日益凸显,单纯的“矛”利或“盾”坚已难以立足于现代战场。攻中有防、防中有攻、攻防结合,才是制胜之道。有了攻防兼备的新型装备,还必须练强攻防结合的作战本领。在这方面,我们感到任重而道远。
关键词:计算机 网络防御策略 模型 信息安全
前言
当今是计算机网络信息引领发展的时代,高度信息化和便捷的网络化给人们带来很多方便。然而,网络信息安全也日益引起了人们的注意,这也就促进了计算机网络防御策略的发展不断的与时俱进。计算机网络防御策略是计算机进行攻防演绎的关键组成,并作为计算机信息对抗的不可或缺的组成。可见,计算机网络防御策略模型在运用中的重要作用,这也是进行研究的意义所在。
1计算机网络防御策略简述
为了达到某个系统或者特定网络的安全保护目的,则需要进行制定计算机网络防御策略。制定计算机网络防御策略,需要根据计算机信息系统及计算机的网络环境进行防御措施的规划。对于网络攻击,计算机网络防御需要及时进行补救。计算机系统随着所处的网络环境的复杂性加大,计算机网络防御策略也就愈加繁杂起来。因为人工进行防御措施的设置比较麻烦,而且效率也会很低,所以需要借助计算机做出有效的防御策略设置。
当前,进行网络防御的关键与核心,是计算机的防御策略。计算机网络防御策略是进行信息的保护以及网络安全的维护。而且如今处于信息高速发展的时期,网络安全事件频频发生。这是由于还没构成具体的措施的实行体制,所以,迫切需要对计算机网络防御策略进行探讨。通过进行计算机网络防御策略的模型的分析,是有效保障网络系统的安全性和可靠性的重要举措。
2计算机网络安全现状及面临的威胁
当前计算机的安全性还是需要改进的,其主要面临的威胁有计算机病毒、计算机系统漏洞、未授权访问、恶意攻击、以及管理因素带来的问题。计算机网络技术是一把双刃剑,能给人们生活带来便利的同时频发的网络事件对人们的工作和生活也造成了一定的负面影响。计算机的病毒是对其他服务器和用户进行感染,通过电子邮件、文件共享、通信工具等方式实现的。计算机病毒不但影响网络的正常运行,甚至可导致网络瘫痪,其手段是对感染用户大量发送垃圾信息等干扰正常使用。
未授权访问是局域网各个信息用户在一般情况下是可以进入的,但是不运用保密措施,则会导致一些机密信息泄密。未授权访问出现问题,则会对信息产生不可估量的损失。做未授权访问局域网的安全措施,可以从五个方面入手,即对重要数据进行加密;对用户的行为进行跟踪和审计;对口令的复杂度进行升级,使身份验证强化;对访问权限控制进行强化;网络的软硬件设备要调配好。
3计算机网络防御策略模型
计算机网络安全的防御策略模型的基础,是建立在三维模型之上的。由该三维模型可以知道,计算机工程网络安全防御策略模型是来自系统的思想、技术、方法以及网络技术领域知识的支持。网络安全知识防御策略模型的方法论是从其技术与思想方法的整合中来的。网络安全防御策略的工程应用,则主要由防御策略模型、和网络安全知识、技术这三者的融合而来。计算机网络安全防御策略模型是用于对安全的机制及安全的对象进行分析,安全对象涉及的内容有计算机的系统安全、信息安全、网络设备安全、数据库安全、计算机病毒防治等一系列的安全问题。
3.1计算机网络安全体系设计
计算机网络安全体系的设计,是有效进行保护网络安全的重要开端。因此,进行计算机网络安全体系设计时,需要遵循的原则是整体性、灵活性、一致性,并进行成本平衡和方便使用的分析。整体性是指在进行网络安全问题的思考时,需要结合系统的观点和方法做规划设计。最有效的保护措施,是结合更多的技术和各种方法进行信息的保护。灵活性则是要求制定安全措施的时候,也要把以后的网络变化升级考虑进来,而且还要考虑到管理人员与计算机网络安全管理的相协调,并方便做出改进。
一致性是指要同步考虑网络的生命周期及安全问题,特别是要详细分析前期的网络建设,这样有利于减少后期不必要的花费。而规划设计中成本的平衡原则是分析保护信息所具有的价值,其这个价值用多少成本合适,维护费用不能超过所保护信息的价值。方便使用的规划设计原则要求安全措施的运行不能太繁杂,这样使得工作者难以完成计划的措施,这样会影响到系统的安全性。
3.2计算机网络安全防御策略
计算机网络安全防御策略,包括管理策略以及技术策略。安全管理措施需要人与计算机协调进行,保证计算机的安全级别,可以通过进行安全组织和管理制度的建设来实现。这也就是进行安全管理所涉及到法律措施、先进技术、高效管理这三个方面的内容。法律措施是指在已有的法律基础上进行网络安全管理的规范和准则,这是给犯罪分子的警示。网络先进技术是指根据安全环境做相应的分析,对存在的风险,则可以利用先进技术对用户信息安全做出保护。高效管理是指强化局域网内部的管理工作,对审计和跟踪体系进行完善。
计算机网络防御技术主要包括的内容是物理层及数据链路层;网络层和计算机系统;认证、授权用户,扫描并控制网络这三个方面的内容。计算机网络防御设计应遵循的原则是系统性、动态性、简便性,而制定安全策略技术的措施是运用于计算机的网络、操作系统、数据库、访问授权等方面。具体而言就是对重要数据进行加密处理,提升服务器的安全级别,检测并清除病毒的传播。交换机、操作系统、路由器处于网络层中,衍生许多复杂的问题。针对可能出现的人员泄密和来自外界攻击等问题,采取的应对措施是进行跟踪和监测,一旦网络有异常数据,则进行快速的操作系统补丁等应对措施。
参考文献:
[1]熊群毓.计算机网络防御策略模型探讨[J]信息通信,2012(4).75-76.
[2]董鹏.计算机网络防御策略模型[J]电脑编程技巧与维护,2012(10).114-115.
