时间:2023-09-18 17:33:42
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全攻防,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:网络安全;实验教学;课程体系
作者简介:廉龙颖(1981-),女,辽宁庄河人,黑龙江科技大学计算机学院,讲师。
基金项目:本文系黑龙江省高教学会十二五教研课题(项目编号:HGJXH C110918)、黑龙江科技学院青年才俊资助项目的研究成果。
中图分类号:G642.0 文献标识码:A 文章编号:1007-0079(2013)14-0089-02
“网络安全”课程是黑龙江科技学院(以下简称“我校”)针对网络工程专业本科生开设的一门专业主干课程。根据调查问卷显示,现代企业对所需网络安全人才的职业素质要求排序,第一为工程实践能力(87%),其次为工作责任心(9%)、团队协作能力(4%)。这些数据表明,“网络安全”课程必须强化实践能力培养,而培养实践能力的基础和重点来自于实验课程。实验教学直接影响到学生的实践能力和职业素质,加强实验课程体系建设,有利于为开展后续实践教学任务打下一个坚实的基础,有利于进一步推动大学生实践教学的改革和发展。
课程组通过对网络安全实验教学进行改革,建设了一套完整的网络安全实验课程体系,不仅提高了“网络安全”课程的教学质量,而且大大提高了学生的就业竞争能力,为学生今后从事网络安全管理以及网络安全产品研发打下了坚实的基础。本文以“网络安全”课程教学改革为出发点,搭建了网络安全实验教学软环境,阐述了网络安全教学内容设置情况,改革了实验教学方法,最终构建了适合我校特点的网络安全实验课程体系。
一、网络安全技术实验教学中存在的问题
“网络安全”是与实践结合非常紧密的应用型课程,2010年课程组对学生进行了抽样调查,如图1所示。根据抽样调查统计发现82.4%的学生缺乏实践能力,当遇到实际网络安全问题时想用理论知识解决但又不知如何使用。之所以导致这一状况,主要原因是网络安全实验教学过程中存在着实验软硬件环境落后,实验教学内容单一,实验教学方法守旧等问题,理论教学与实验教学严重脱节,能力培养未能具体落实,导致学生对一些网络安全的知识没有真正理解,同时也为开展后续的课程设计、工程实训以及毕业设计等实践环节带来一定的困难。
二、构建网络安全实验课程体系
1.实验教学环境建设
网络安全实验具有综合性、应用性、攻防性、工程性等特点,对实验环境提出了更高的要求。为全面提高“网络安全”课程教学质量,提高学生的网络安全实践能力,学校建设专业的网络安全实验环境是十分必要的。网络安全实验环境建设采用插件化无缝建设模式,建成后的实验教学环境拓扑结构如图2所示,各高校可根据实际教学情况进行个性化结构调整,为学生实验提供全方位的支持。网络安全实验环境应具备以下特点:
(1)实战性。实验环境中选取Web服务器、数据库服务器、邮件服务器等Internet中广泛应用的信息系统,模拟出复杂的企业网络结构作为网络攻防实战对象。
(2)真实性。在网络攻防实战对象中存在的各种漏洞均来源于真实的网络应用,各服务器系统应用不同的安全级别,以交互式体现网络攻击和防御过程。
(3)合作性。每个实验小组由五名学生组成,小组内部形成一个小型局域网,实验项目由小组协作完成,在培养学生独立思维能力的同时,注重增强学生的团队合作意识。
2.实验教学内容设置
实验教学内容包含网络安全基础、网络安全编程、隐藏IP技术、网络扫描与网络监听、网络攻击、网络后门与清除日志、病毒攻防、防火墙技术、入侵检测、信息加密等十大专题,为每一专题中的重点理论教学内容设计一个配套的具有综合性、典型性、真实性、障碍性的实验项目,实验项目的设计采用由演示到应用再到设计的“进阶式”方式。学生完成各种攻防式实验项目,不仅可以增强学生的学习兴趣,促进学生加深对理论知识的理解,还可以锻炼学生的工程实践能力。在实验教学项目的选取上应注重以下几点:
(1)综合性。将课程中的基本原理和方法与基本实验内容进行有机融合,设置综合的项目式实验教学内容,每个实验项目相对独立和完整,使学生能够对各种网络安全问题形成一种感性认识,通过完成实验项目,提高解决实际网络安全问题的能力。
(2)典型性。实验项目能突出某个网络安全理论在实践中的典型应用,通过完成这些典型实验项目,当学生在实际工作中遇到相似问题时,能够借鉴这些典型实验项目的解决方法。
(3)真实性。每个实验项目都从某一个网络安全事件入手,通过新闻视频对本项目所依托的真实案例进行阐述,从而引发学生浓厚的兴趣,引出实验目标。
(4)障碍性。在网络配置和服务器配置上使用多个网络安全技术进行保护,这样,学生在进行网络安全攻击实验时,将遇到一些实际的障碍,学生需要根据所学的网络安全知识来进行创造性的发挥,找出解决障碍的方法和途径。设计障碍性的实验项目,可以大大提高实验教学的吸引力,充分锻炼学生解决实际网络安全问题的能力。所开设的实验内容见表1。
实验项目从“攻击准备”开始,到“网络攻击”,再到“网络防御”,其中包括黑客攻击步骤以及网络安全防御方法,完整再现了一个“网络安全”课程的攻防体系,从而让学生在完成实验的过程中真正体会到一个网络安全工程师的工作过程。
3.实验教学方法实施
在实验教学方法实施过程中,采用开放性的方式进行,不强求实验进度、不要求实验结果,给学生一定的自由发挥的空间,重点考查学生的学习效果和实践能力。
(1)实验指导改“细”为“粗”。在实验课堂中,将采用学生为主体、教师适当引导和个别辅导的方式。教师仅提出实验项目需要解决的问题和达到的实验效果,不规定具体的实验步骤和方法,具体实验方案的设计、实验软件的选择、实验步骤的实施都由学生独立思考来完成,培养学生开放性思维,鼓励学生提出不同的解决方案,结合实验结果进行探讨。
(2)实验项目改“实”为“虚”。不对实验项目固定化、模式化,鼓励学生根据理论教学内容查阅资料、确定方案、选用软件、分析效果来自行设计实验步骤,在设计实验步骤的过程中培养学生发现、分析、解决问题的能力。
(3)成绩评定改“一”为“多”。在实验成绩评定中,摒弃单一的由教师评定成绩的方式,采用教师评定、学生互评以及学生自评相结合的方式,提高学生的积极性和主动性。
通过对网络安全实验课程体系的建设研究,建立以网络安全攻防体系为核心,以实验环境建设为基础,以实验项目为驱动,以改革实验教学方法为依托的实验课程体系,力求让学生体验实际网络安全攻防场景,充分发挥学生的创新潜能,真正锻炼出解决实际网络安全问题的能力。
三、结语
经过近3年的教学实践,“网络安全”课程的实验课程体系建设已取得初步成效。实践证明,建立完善的实验课程体系,开展攻防式的网络安全实验项目,不仅使理论课程与实验课程同步进行,实验项目和课程内容结合十分紧密,更重要的是拓宽了学生的知识面,激发了学生的学习热情,培养了学生的网络安全管理能力和工程素质。
参考文献:
在backtrack菜单里,制作者已经按照攻击顺序做了详细的分类,涵盖敏感信息收集,漏洞信息收集,漏洞工具测试,账户特权升级等,其中包括信息窃取、端口扫描、缓冲区溢出、中间人攻击、密码破解、无线攻击、VOIP攻击等方面。利用BackTrack5系统可以方便高效快速地完整实现全套网络信息安全攻防实验平台。
1.1BackTrack5环境配置
为保证Backtrack5系统的稳定性,可从Backtrack5官方网站(backtrack-)上下载基于OracleVirtualbox虚拟机的镜像文件BT5R3-GNOME-VM,下载后直接导入OracleVirtualbox虚拟机就可直接使用,此外还要在OracleVirtualbox虚拟机中安装WindowsXP/2003/2008,Linux等操作系统,以满足网络信息安全实验的需求。OracleVirtualbox虚拟机不但能让系统能在不升级硬件配置的情况下保持最佳性能,而且采用虚拟机链接克隆技术,可以快速在网络信息安全实验中搭建虚拟实验环境,由于要在物理操作系统中运行多个虚拟机操作系统来完成实验,所以对计算机的物理内存要求较高,建议物理内存在3G以上,以保证系统运行的流畅。
1.2多款最顶级自由免费安全工具
BackTuack5系统内置了多款顶级的安全工具如:WpscanWeb扫描器、NMAP网络扫描器、Cisco安全工具包、Nessus漏洞扫描器、OpenVas漏洞扫描器、Metasploit渗透测试工具平台、无线破解工具包、Sniffer嗅探监听工具包、特权提升工具包、网络压力测试工具包、计算机取证工具包及逆向工程工具包等。BackTrack5还预先配置了其他工具,提供了超过100款免费工具用于网络安全研究和实验。
2BackTuack5虚拟机在网络安全教学中的应用
2.1Metasploit简介
渗透攻击许多人都了解,获取目标主机的完全控制权,会让攻击者有极佳的自我满足感。BackTuack5中内置的Metasploit是一款开源的安全漏洞检测工具,可以帮助安全人员和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险报告。理论联系实际才是最好的学习方法,下面我们介绍下在MSF终端中进行的一个渗透测试实例。
a
2.2Metasploit简单的缓冲区溢出攻击测试
教学环境:BackTrack5-NST虚拟机系统WindowsXPSP2英文版系统;漏洞目标:存在MS08_067缓冲区溢出漏洞;测试过程:进入BackTrack5-NST虚拟机并打开去终端,进入MSF目录并运行msfconsole进入MSF终端(见图1)。我们从Metasploit中调用了nmap的插件—script=smb-check-vulns。在nmap①扫描参数中-sS表示隐秘的TCPSyn扫描,-A表示高级操作系统探测功能,它可以使用我们对一个特定的服务进行更深入的探测,为我们提供更多的信息。在以上的nmap扫描结果报告②中发现了MS08-067:VULNERABLE。这说明这个系统可能存在MS08-067漏洞可以利用,操作系统是WindowsXPServicePack2。接下来我们可以实施攻击过程(见图2)。我们使用use命令①加载Metasploit框架中的MS08-067NetAPI攻击模块,加载模块后使用showtargets②命令让我们能够识别和匹配的目标操作系统类型。然后设置远程主机IP地址和本地主机IP地址及攻击主机监听的TCP端口号。然后输入showoptions2③以确认这些参数都已设置正解,确认无误后输入exploit命令进行渗透攻击(见图3)。以上就是攻击结果,我们已功地通过MSF取得了WindowsXPSP2主机的系统控制权。
3结语
科学技术的发展带动了网络系统的发展,网络系统的使用越来越普及,网络系统已经与人们日常工作、学习和生活产生了紧密的联系。但是,在计算机网络普及的同时,网络系统的安全性问题越来越多的暴露出来,已经成为制约网络系统发展的重要因素之一。
[关键词]
网络系统;攻防特点;安全策略
一、引言
伴随着网络系统使用的范围不断扩大,网络系统的安全问题也越来越多的暴露出来。网络系统的安全问题与网络系统攻防特点有直接的关系。本文介绍了网络系统攻防的特点,主要包括攻网络防技术的特点、网络攻防成本的特点、网络攻防主体、网络攻防空间的特点和网络攻防发展的特点。结合目前网络系统安全性现状,做出了维护网络系统安全性的安全策略。希望通过本文的介绍,能够为维护网络系统安全提供理论依据和指导意见。
二、网络系统攻防特点
网络系统包括网络攻击系统和网络防御系统,网络攻击系统和网络防御系统的联系是非常密切的。所谓网络攻击系统是指攻击者利用网络系统搜集被攻击网络的信息,搜集之后进行对比、研究,发现被攻击网络的漏洞,针对漏洞进行攻击,进而达到监视或者控制被攻击网络的目的,甚至造成被攻击网络瘫痪。网络攻击可以是大范围的攻击,采用的方式有很多种,并且攻击的隐蔽性好。网络防御系统是与网络攻击系统对立的,网络防御系统通过加密技术和身份认证等技术,保护网络能够抵御外界攻击并且保证传输的数据信息等不被监视。网络防御的范围相对比较小,只能对特定范围的计算机网络进行保护。网络系统攻防特点主要包括攻网络防技术的特点、网络攻防成本的特点、网络攻防主体、网络攻防空间的特点和网络攻防发展的特点。下面对网络系统攻防的特点逐条进行介绍。
1、网络攻防技术的特点网络系统本身是属于技术含量非常高的,但是,正是由于科学技术的不断发展,产生了一系列虽然本身技术含量高,可是操作却相对比较容易的网络攻击系统。攻击的操作者不需要对网络有太高深的理解,只要按照相关提示进行操作便可实现网络攻击。针对网络应用软件、网站等等存在漏洞和缺陷是可以理解的,正是由于存在漏洞的缺陷在能促进其不断完善。正常情况下有关应用软件、网站的漏洞和缺陷应该属于机密,外界人员是不能知道的,但是,目前这些本应属于机密的文件在网络上可以很轻易地获知,这就对应用软件和网站构成了潜在的威胁,导致网络的安全性和稳定性处在随时可能被破坏的阴影之下。一些网络攻击者本身对网络系统和网络攻防系统非常了解,进而开发了网络攻击工具或者网络攻击软件,配备详细的使用说明进行销售,从而使得很多人都能够应用这些攻击工具或者网络攻击软件进行网络攻击,破坏性和不良影响非常巨大。与网络攻击系统向对立的网络防御系统,对防御技术的要求就要高很多。目前,很多人都只具备简单的网络常识,例如安装防护软件,网络查杀病毒等等。当遇到有针对性的攻击时,往往素手无策,需要专业的人员才能解决问题。
2、网络攻防成本的特点通常网络系统的攻击成本是非常廉价的,只要一台能够上网的计算机就能实现,并且很有可能只是通过这样廉价的设施在短时间内就能破坏很大的网络系统,造成网络系统数据损失或者整个网络系统运行瘫痪,损失的人力和金钱是相当巨大的。网络攻击甚至能够针对卫星进行攻击,特别是发射时间比较靠前的卫星,因为缺乏必要的安全防护措施,在受到攻击之后不具备防御能力,非常容易遭到干扰。就算是针对近年来发射的本身自带防御措施的卫星,网络攻击者仍然能够有漏洞可以钻,潜在的危害非常大。
3、网络攻防主体的特点传统的实体较量中,攻防较量的双方通常应该是整体实力相差不多。在实体较量中,实力非常弱的一方去挑战实力非常强的一方现象是很少出现的。在网络系统中,这种定律被打破了。不同实力的双方进行较量时,较量的结果是不确定的,不再一定是实力强一方获胜了。基于网络攻防主体的特点,促进了不同等级的网络主体进行较量,任何一方都可以主动发起挑战。弱国不再一直处于防守状态,强国也不再一直处在攻击状态。
4、网络攻防空间的特点传统的实体进行较量,对空间有要求,需要空间位置上的接近。网络攻防打破了对空间上的约束。攻击者可以位于世界上的任何一个有网的地方,对世界上任何地方的网络进行攻击。网络攻击的隐蔽性好,可以通过多个网络平台之后再进行攻击,能够有效的将自己隐藏起来,防御方想要确定攻击位置和攻击方都存在很大的困难。
5、网络攻防发展的特点网络攻防系统是相互对立,并且相互制约的,但是网络攻防的发展是不同步的。网络防御技术的发展要落后于网络攻击技术的发展,往往是攻击者根据掌握了网络知识和攻击技巧后,通过网络攻击系统向网络防御系统发出攻击,网络防御系统为了保证自身的安全性和稳定性作出防御反应。通常正是由于攻击系统的不断攻击,才促进了防御系统的发展与进步。正是这种攻击与被攻击、进步与被进步的紧密联系促进了网络系统的发展,同时也证明了,一个网络系统要想长期安全、稳定的发展下去,需要始终保持发展的眼光。
三、网络系统安全策虑
网络系统给人们的工作、生活和学习带来了相当大的便利,人们的工作、生活和学习已经离不开网络系统。网络系统存在的网络安全是一种潜在的威胁,一旦出现网络安全问题有可能造成很大的损失,因此需要加强对网络系统安全问题的重视。网络系统安全问题与网络系统攻防有着必然的联系,网络系统的攻防较量决定了网络系统的安全性。上一章已经对网络系统攻防特点进行了介绍,本章将对网络系统安全策略进行介绍。
1、网络病毒防范网络系统中的安装软件和程序往往是存在漏洞和缺陷的,计算机病毒正是利用了相关的漏洞和缺陷产生的。网络系统的发展一方面方便了用户,另一方面也导致网络病毒的种类越来越多,传播速度越来越快,造成的破坏力也越来越大。对网络病毒进行防范是比较直接的降低网络安全问题的一个策略。可以再计算机中安装正规的杀毒软件,杀毒软件通常可操作性强,对于网络知识比较薄弱的人来说也比较容易使用。对于安全性未知的网站不要轻易登录,不下载和使用来历不明的软件和程序,对于下载的软件和程序首先要进行杀毒,确保没有病毒之后才能进行后续的安装。对系统随时进行更新,减少漏洞和缺陷,避免因为存在明显的漏洞而被网络攻击者有机可乘。
2、安装防护墙防火墙位于网络系统内部和网络系统外部之间,用于保证网络系统内部的安全,可以说是保证网络系统内部安全性的一道关卡。防火墙能够对网络系统外部的数据和程序进行甄别,确定是否为恶意攻击数据和程序,如果确定为攻击数据和程序,将把其拦截在网络系统之外,不允许其进入到网络系统内部,防止对网络系统内部造成破坏。防火墙起到监控网络系统传输数据的功能,对于存在隐患的数据限制传输。从网络系统攻防角度来讲,防火墙主要是针对网络系统进攻方,防止网络系统进攻方针对网络系统的安全攻击。
3、加密数据网络系统的攻击者一旦穿过了防火墙进入网络系统内部,如果采用普通数据,系统攻击者将会比较轻松的获得网络系统中的数据,损失惨重。如果将数据进行加密,则为网络系统攻击者增加了障碍,有利于降低对网络系统的损失。加密技术的发展比较早,目前网络加密数据技术已经发展的相对比较成熟。网络加密的手段比较多,目前比较常用的是对称密钥和非对称密钥,网络安全维护者可以根据实际的网络环境合理的选择使用对称密钥或者非对称密钥,必要时,可以同时使用。
4、数字签名数据在网络系统双方之间进行传输时,发送数据方可以在数据上进行数字签名,数字签名起到鉴别发送者的作用,避免接收者对数据误解而错接了含有病毒的数据,造成意外损失。数字签名还有另外一个作用,加入数字签名之后,接收者可以明确看出数据或者程序是否有缺失。
5、数字证书网络系统中使用的数字证书与人们在实际生活中使用的身份证作用相同,是一个用户身份的证明。身份证需要到民政部门办理,网络数字证书同样需要经过合法的第三方进行认证,只有经过认证之后,才能起到作用。在网络系统进行传输数据时,加入数字证书认证,能够有效的进行保密,防止恶意攻击。
四、总结
科学技术的发展加快了网络系统的发展,网络系统已经与人们的生活和工作产生了密切的联系。由于网络系统自身的技术特点,造成网络系统存在被攻击和破坏的可能性。人们在使用网络系统的时候,不可避免的会遇到网络的安全问题,并且目前网络安全问题有日益突出的趋势。网络系统的安全问题与网络系统的开放性质有关,与网络系统的攻防特点也密切相关。本文首先简单介绍了网络攻击系统和网络防御系统概念,然后介绍了网络系统攻防特点,网络系统攻防特点主要包括攻网络防技术的特点、网络攻防成本的特点、网络攻防主体、网络攻防空间的特点和网络攻防发展的特点。最后结合网络系统自身的特点、网络攻击系统、网络防御系统特点以及目前的网络系统安全问题,阐述了网络系统安全策略。网络系统安全策略包括网络病毒防范、安装防火墙、加密数据、数字签名和数字证书。只有做好了各个环节的安全策略,才可能保证网络系统整体的安全性。
参考文献
[1]向阳霞.基于虚拟靶机的方法在网络攻防实验教学中的应用[J].网络与通信技术,2010(5)
[2]邓晓勇.浅谈计算机网络攻击特点及对策[J].内蒙古科技与经济,2008(11)
摘 要: 近年来,随着计算机在办公中的普及应用,局域网在办公中的地位日渐突出,针对局域网的攻击也日益增多。这类攻击有以病毒的形式进行传播和攻击,也有网络黑客的破坏和IP地址被盗用等各种形式,严重影响了计算机中数据的安全性。
关键词: 局域网 安全性 防范策略
随着网络技术的发展,网络正成为市场热点,其中局域网正广泛应用于校园、各类展览会、公司内部乃至家用网络等场合。主要用于共享打印机、应用软件、电子邮件或者文件传真。它给办公工作带来了相当大的便利。但是,目前局域网的安全问题也给企业的信息安全带来了一定隐患。因此,消除局域网中的安全隐患便显得十分重要。1.物理安全隐患。物理安全是保证局域网安全最基础的,也最容易被忽视的部分。局域网的物理安全主要包括两个方面:一是环境安全,二是设备安全。环境安全是指局域网的建立应当远离网络干扰,如震动或者强磁场,还应当尽力避免自然灾害对局域网造成的破坏,如雷击、火灾等。设备安全要做好电源和静电两方面的防护工作。电源防护是指要防止局域网在使用的过程中突然停电。突然断电不仅会影响磁盘寿命,而且会造成数据丢失。静电对网络的危害也很大,静电可以在短时间内放出大亮电流。数据表明,如果静电超过2KV,就会造成磁盘故障和数据损失。2.软件漏洞。无论是Windows、Linux等操作系统,还是日常用的应用软件都会存在一些漏洞,这些漏洞往往会成为攻击者利用的对象。攻击者一般会扫描电脑中存在的漏洞,然后根据漏洞的信息下载攻击软件进行攻击。相应的,我们可以通过漏洞修补防止这种情况的发生。修补漏洞的方法主要有:一是安装更新补丁并升级程序;二是安装防火墙;三是用MBSA、sxid等软件修复系统漏洞。
首先是杀木马、杀病毒。从2011年下半年开始,木马病毒的数量呈直线下降趋势,因为百分之九十以上用户的电脑都安装了合格的安全软件,木马确实无处藏身。所以木马产业链通过木马偷窃用户电脑数据的这种行为,成本越来越高,也就是说获利的空间越来越小,从业人员逐渐退出,木马病毒的数量和电脑感染木马病毒的数量都呈直线下降趋势,而且到现在为止,这个下降的曲线还在持续当中,我们相信未来这种好的现象还会持续下去。也就是说互联网安全攻防的重点将逐渐从信息的攻防转向信息内容的攻防,即在技术上的突破,因为有安全公司,安全软件及系统不断加固,网民安全意识的提高,都会给这个黑色产业链在技术上的突破增加难度。
其次是常见的网络安全防御技术。面对严峻的网络安全形势,针对不断出现的网络攻击手段,研究相应的网络安全防御技术显得越来越重要。常见的网络安全防御技术主要包括信息加密、防火墙、入侵检测技术、漏洞扫描和数据备份等。1.信息加密技术。信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。目前世界上最流行的加密算法有两大类:一种是常规算法,其特征是收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有:美国的DES及其各种变形;另外一种是公钥加密算法,其特征是收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导解密密钥。比较著名的公钥密码算法有:RSA、Diffe Hellman、EIGamal算法等。2.防火墙。防火墙是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,限制外界用户对内部网络的访问,管理内部用户访问外部网络,防止对重要信息资源的非法存取和访问,以达到保护内部网络系统安全的目的。3.入侵检测技术。入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动,采用误用检测(Misuse Detection)或异常检测(Anomaly Detection)的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。按照数据源所处的位置不同,入侵检测技术(IDS)可以分为两大类:基于主机的IDS和基于网络的IDS。4.漏洞扫描。漏洞扫描是对系统进行全方位的扫描,检查当前的系统是否有漏洞,如果有漏洞则需要马上进行修复,否则系统很容易受到网络的伤害甚至被黑客借助于系统的漏洞进行远程控制,所以漏洞扫描对于保护系统安全是必不可少的。5.数据备份。数据备份是容灾的基础,是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其他的存储介质的过程。随着技术的不断发展,数据的海量增加,常用的技术有网络备份,它通过专业的数据存储管理软件结合相应的硬件和存储设备实现。
再次,网络安全解决方案,网络安全是一项系统工程,随着环境的改变和技术的发展,网络系统的安全状况呈动态变化,应综合运用多种计算机网络信息系统安全技术,将信息加密技术、防火墙技术、入侵检测技术、漏洞扫描技术等综合起来。但一份好的网络安全解决方案,不仅要考虑到技术,还要考虑策略和管理。应协调三者的关系,技术是关键,策略是核心,管理是保证,其最终目的是根据目标网络系统的具体需求,有针对性地解决其面临的安全问题。网络与信息安全的战略意义和高层次的科技含量,决定了政府必须从最高层面加以统筹谋划,整合和优化国家力量。参考美国的经验,政府在维护网络与信息安全中应做好立法工作。建立完备的信息安全法律体系,政府信息安全、打击计算机犯罪、隐私保护、关键基础设施保护及技术采购和出口管制等各种法律一应俱全。只有掌握了有力的法理依据,才能更好地行使在网络空间的管辖权。
总之,网络给我们提供了方便,但我们必须采取一些方法保证它的安全,不是单独的一项措施就可保护我们免受攻击,况且面对一些“顽固”的入侵者,保护措施很难达到完善。
【关键词】QQ群;网络安全;课程教学;应用
信息技术的发展改变了传统的教育方式,网络教学已经成为一种目前高职专业课重要的教学手段,越来越受到教师同行们的关注。将QQ群运用于《网络安全》课程中进行网上教学并形成一种有效的教学方式,大大提高了教学效果,为枯燥乏味的计算机专业课注入了更多的生机与活力,深受学生欢迎。
1.QQ群功能简介
QQ群可以提供一种多人聊天交流的服务,群主在创建群以后,可以邀请朋友或者有共同兴趣爱好的人到一个群里面聊天。同时,还提供了群空间服务,在群空间中,用户可以使用群BBS、相册、共享文件等多种方式进行交流。QQ是目前国内运用最为普遍的一种网上交流工具,现在的高职学生98%以上都有QQ,在开学时将一个班的学生组成QQ群,这就为网上教学的开展打下了良好的基础。
2.QQ群在网上教学中的优势
2.1 有利于拉近师生间的距离
通过QQ群,与学生在网上像朋友一样聊天,可以避免平日学生对教师的畏惧心理。在这样一个虚拟的网络空间里,师生之间可以谈工作、谈生活、谈学习,拉近彼此之间的距离,形成良好的师生关系,促使教学效果的有效提升。
2.2 有利于组织教学讨论
高职《网络安全》课程中有许多网络安全实验,每位同学在实验的过程中都有不同的思路,会遇到各种各样的问题,通过QQ群可以组织各种形式的网上教学活动,形成一种共同探讨的学习氛围,引导学生在虚拟的网络环境下通过激烈的对话和争论获取所需知识。在这样一种轻松愉悦的环境下,学生可以大胆提出自己在学习方面的疑问、见解及建议,也可以围绕实验主题和教学内容发表自己的观点、看法,在交流中提高,达到教学互长的效果。
2.3 有利于实现个体辅导
由于每位学生的基础和认知水平都存在着差异,导致他们在学习《网络安全》课程中会遇到各种各样的问题,通过QQ群可以单独点击某个学生的对话框,实现对学生的单独辅导,有什么问题,学生不用跑到办公室找老师,直接可以在网上解决,更方便、更快捷。
2.4 有利于营造和谐的学习氛围
QQ软件本身所具有的图片发送和截图功能使网上讨论更生动有趣,比起文字的说明更容易引起学生的关注。比如在做黑客远程控制实验时。部分同学提交完成了实验要求,用一些表示夸奖的QQ表情,激发了学生对网络安全实验课程的积极性。
2.5 有利于教学资源的共享
群空间为上传一些教学资源提供了条件,可以将上课用到的PPT课件,实验素材,资料包及时共享,以便于学生浏览或下载,充分满足学生自主学习的需要。
3.利用QQ群进行《网络安全》课程网上互动教学
3.1 课程导入
《网络安全》知识涵盖面广,初学者容易畏难,可以就一些实际生活中发生的网络安全或黑客攻击事件作为讨论的主题。确定这一讨论主题目的是让学生尽量抛开对学习《网络安全》课程的畏惧心理,畅所欲言地来谈自己对这些攻击事件的想法。也可根据不同的章节的内容确定相对应的讨论主题,如在讲web应用漏洞时时,可以选一些最新的网站攻击事件让学生进行分析,发表看法,再引入针对这类攻击的防范措施,方便学生将理论与实践紧密结合起来。
3.2 定期交流
针对《网络安全》课程特点,配合平时教学的开展,每学期组织2-4次实时讨论,时间长度控制在1至1.5个小时之间,具体讨论时间可在群公告栏上公布。
3.2.1 学期初
着重于课程导学,包括课程的学习内容、目的、性质、要求、方法等介绍,在此阶段注重介绍课程学习的目的,以及今后可以从事的岗位类型,帮助他们树立学习信心,克服心理障碍。
3.2.2 学期中
适合于组织网络安全攻防专题讨论。教师拟定一些与实际工作情境结合紧密的案例进行剖析,使学生对网络安全水平得到进一步的提升。
3.2.3 学期末
适合组织专题复习与答疑。能够帮助学生对教材各个部门进行全面总结,指导学生进行考前练习、提高实践动手能力等,为部分学生存在的疑难问题进行在线解答。
3.3 讨论形式
QQ群线上交流形式灵活多样,不拘一格,经过《网络安全》课程网络教学实践,主要采取了四种形式。
3.3.1 在线答疑
在网上教学时,教师充当着重要的解惑角色,这种形式通常由学生提问,教师给予指导、解答,学生在教师的帮助下获取对问题的正确认识,给部分内向学生解决学习困难提供了有效的帮助。
3.3.2 专题讨论
根据《网络安全》课程的特点,依照教学内容的安排,确立适当的专题,有利于导学作用的发挥。另一方面,学生在教师的指导下探寻自己的观点,激发思维,不断强化对网络安全知识的实战技能,在相互交流中得到提高,创设出一种合作式学习的访问氛围。
3.3.3 案例教学
结合高职计算机专业课程“工学结合”的要求,引入部分实用性强且特点突出的网络安全攻防案例,创设学习情景,从而加深学生对各种不同类型和环境下网络攻击的防范。如在讲到网站注入攻击,引入一些知名网站被黑客注入攻击的典型案例,再请学生谈谈自己在浏览被注入攻击后的网站情况,最后引入注入攻击的判断技巧和防范措施。
3.3.4 小组PK
网络安全课程已经在日常教学中按学生自愿组合的前提下分成了六个项目小组,
在QQ群上进行专题学习时,针对学习专题,制定一些需要学生整理和分析的网络安全综合案例,让各个小组轮流派代表对本组的分析报告进行阐述,大大提高了各小组成员在线学习的积极性。
3.4 过程控制
在QQ群为工具的网上教学活动中,作为活动的组织者、推动者、引导者、评价者必须在整个过程中根据不同情况给予回应。实践证明,学生在学习过程中长时间如果得不到教师的及时反馈,学习积极性会受到抑制,再次发言的兴趣也会降低,适当的反馈能够有效推动活动的顺利开展,结合实践总结出以下两点点经验:
3.4.1 引导学生上线后主动提问
许多学生上线后不爱发言,教师可以发表一些人性化的问候语、祝福语,如:“欢迎大家参加今天的网上讨论。”“最近的网络安全课程听的懂吗?”“最近网络出现了哪些网络安全事件!”等等。这些问候、提问使学生产生一种被关注感,拉近了师生之间的距离,此时可以很方便的引入讨论主题。
3.4.2 引导学生发表自己的见解
充分鼓励上线学生发表观点,无论是对是错,均应当尊重,尤其对于一些不正确的观点,以鼓励为主,用合理的措辞及时指出,不能伤害学生的积极性。
4.QQ群开展《网络安全》课程互动教学的效果
在一个学期的《网络安全》课程教学实践中,QQ群在网上教学中的运用效果是效果显著,师生之间关系拉近、教学内容的传递也更及时、更直接。部分同学更由最初的不敢提问题,到现在的敢于提出问题,勇于分析问题,学习积极性均有了普遍性提高。
相信如果其它计算机专业课教学也能将QQ这种即时通讯软件的优点运用到其它课程的教学实践中去,作为传统教学模式的有效补充,将会使高职计算机专业课程的教学效果更上一个台阶。
参考文献
[1]王珠珠,张伟远.我国普通高校网上教学平台及网站建设的现状分析[J].中国远程教育,2005(2)
[2]谢晓东.利用网络QQ群促进远程协作学习[J].重庆广播电视大学学报,2008(6)
[3]隗伟等.即时通讯类软件在群体学习中的应用分析[J].中国现代教育装备,2008(1)
作者简介:
关键词:kali;WPA;reaver;网络攻击;WiFi保护安装
1 引言
Kali系统是BackTrack的后继版本,其基于Linux的操作系统,集成了多种渗透测试与安全审计工具。综合应用平台提供的网络安全工具,网络安全审计者可以快速、高效、准确地定位系统存在的安全漏洞。WPA是在WEP被证明为不安全而提出的,是当前无线局域网应用最广泛的加密方法,其提高了无线局域网系统的数据保护水平和访问控制水平。
WPA加密作为保护WLAN无线局域网安全最主要的技术手段之一,其面临着多种安全攻击威胁。WPA有两种认证方式: IEEE802.1X认证与共享密钥认证;[1]IEEE802.1X最主要的攻击方法是中间人攻击,其通过伪装为合法AP,接收用户含有密钥的数据包;共享密钥认证最常用的攻击方法是WPA-PSK字典破解[2],通过截获WPA-PSK四次握手的加密数据包,利用字典对其进行穷举攻击。WPA-PSK字典破解适用于较简单的用户密码设置,当用户密码的复杂度增强时,字典中的密码数量也要随其进行几何指数增加,因此成功破解复杂WPA密码的可能性很小[3]。寻找一种绕过WPA加密,不受密码复杂度影响的攻击方法具有更大的实用价值。
2 WPA-PSK 共享密钥认证
WPA-PSK 采用共享密钥认证,其认证过程被称为 4 步握手过程,具体步骤如下:1) 发送消息 1。AP 生成随机数 Anounce、时戳和序列号等,并由EAPOL-Key 帧明文发送, 2) 回送消息 2。当无线客户端接收到 Message 1 后首先检测该帧是否为重放帧,如果不是,则产生 Snounce,由 ANounce、Snounce 和 PMK 等使用伪随机函数 PRF 生产384 bit 的PTK,通过 EAPOL-Key 帧发送消息2。消息2包含 sn、Snounce 和 MIC 等,同时存储 ANounce、Snounce 和PTK。3) 发送消息3。AP 接受到消息2后通过 sn 检测是否为重放帧,如果不是,通过 MIC 值检测 msg2 的完整性,MIC检测通过后提取网络安全元素 (RSNIE) 相关信息,构造并发送消息 3 相关信息,消息 3 包含 sn、MIC 等。4) 发送确认帧消息4。当 STA 收到消息 3 后校验 sn 和 MIC 值,当 sn 和 MIC 值检测都通过后,提取 RSNIE 相关信息,并安装 PTK,发送后证明 STA的共享密钥已经安装。
3 WiFi Protected setup漏洞
WPS是WiFi保护安装功能,其对无线局域网的安装及安全配置工作进行简化。在WPS中,其自动设置网络名(SSID)、WPA数据编码及认证功能,只需输入设备信息码PIN,即可安全地连入WLAN,无需输入认证密钥[ ]。由此可见,通过Pin码可以绕过WPA加密认证。
PIN码通常为八位十进制数,共有1亿个变化。但PIN 码的第8位数是一个校验位,可由前7位数计算而来,因此PIN 码的数量降为1000 万种变化。AP在进行PIN 码身份认证时,分别确认PIN的前半部分(前4位)和后半部分(后3位)是否正确。当首次 PIN 码认证失败后,路由器回送客户端EAP-NACK数据包,通过该数据包,攻击者确定的 PIN 前半部或后半部是否正确。由于先确认PIN码中前4 位数(10000种可能),后确认后3位数(1000种可能),所以Pin码可能的最大个数为11000个,故最多穷举11000个Pin码即可攻破该漏洞。
4 攻击方法及过程
在kali平台上,攻击WPA密码的具体步骤共有4步,其分别是1)以管理员身份下载并安装reaver:Sudo apt-get install reaver ;2)设置无线网卡工作方式为混杂监听模式,Airmon-ng start wlanX; 3)定位有漏洞的无线接入设备,Wash -i monX;4) 获取无线接入设备的关键参数,Airodump-ng monX,如BSSID及频道;4)攻击并获取其密码,Reaver -i mon0 -b 78:A1:06:6C:38:5C - d 0 -vv -a -S N -c 6。
5 问题与解决方案
在使用WPS破解的方法时,会遇到很多问题,同时还给出了相应的解决方法,例如:
1:穷举Pin码进程停止到90.9%,同时进入死循环,表示Pin码的前四位已经确认, WPA
密码仍未破解。其原因是reaver未接收到AP发出的确认帧而强行跳过,进而中断了Pin码前四位的正确确认。保持原窗口不变,打开新的shell,继续执行命令reaver i mon0 -b MAC -a S -vv。
2:较强的无线信号是保证PIN码攻击成功的关键,信号较弱会延迟攻击的进度甚至导致攻击失败。故需要移动攻击平台,确定最佳的信号接收点。如出现重复同一PIN码并超时,记下PIN码前四位数,用指令:reaver -i mon0 b MAC -a -vv -p XXXX(PIN前四位数)会从指定PIN段起破解。
3:攻击出现长时间停顿,主要原因是信号所在频道、信道过于拥挤程度。解决方案为关掉周围多余的无线网卡,以排除AP间相互干扰。
6 漏洞解决方案
由于大多数的无线接入设备未限制PIN 码连接失败的最大次数,因此修复WiFi保护安装漏洞没有一个完善解决方案。建议对无线接入设备的安装与配置工作采用传统的手动方式,禁用方便而不安全的WPS 功能。同时,建议设备商在无线接入设备的出厂配置中,将WPS功能的默认设置为关闭。
7 结束语
综上所述,WPS功能方便了无线局域网的安装与配置,同时也为WPA加密引入了安全漏洞。本文分析了攻击该漏洞需穷举PIN码的最大次数,给出了详细的攻击方法、步骤、过程及碰到的常见问题与解决方案,最后总结了该漏洞的解决方案。■
参考文献
[1] 中国密码学会组 编 . 无线网络安全 [M]. 电子工业出版社 .2011
[2] Vivek Ramachandran. BackTrack 5 Wireless Penetration TestingBeginner's Guide [M]. Packt Publishing Limited. 2011
[3]杨哲 . 无线网络安全攻防实战进阶 [M]. 电子工业出版社 .2011
关键词:无线网络;安全
中图分类号:TP273.5 文献标识码:A文章编号:1007-9599 (2011) 24-0000-01
Security Construction of Home Wireless Network
Bai Yu,Luo Xuan,Sun Ling,Zhong Ming
(Dushanzi Communications Company,Karamay833600,China)
Abstract:Based on the seven-point safety tips,home wireless network security to prevent a solution.1.Username and password for wireless routing equipment modification;2.Wireless signal encryption;3.Amendment of ssid;4.Prohibit ssid broadcast;5.Mac address filtering;6.Disable dhcp,With static ip;7.Hidden wireless devices.
Keywords:Wireless network;Security
随着网络的发展,家庭用户再不是单一的一台机子使用网络,家庭式的小型局域网也越来越流行,而无线网络因其不用室内布线,不影响室容而深受家庭用户的青睐,无线局域网慢慢成为家庭网络的主流形式,然而又有多少人知道在这个趋势的背后隐藏着许许多多的网络安全问题。原则上,无线网络比有线网络更容易受到入侵,因为被攻击端的电脑与攻击端的电脑并不需要网线设备上的连接,他只要在你无线路由器或中继器的有效范围内,就可以进入你的内部网络,访问你的资源,如果你在内部网络传输的数据并未加密的话,更有可能被人家窥探你的数据隐私。此外,无线网络就其发展的历史来讲,远不如有线网络长,其安全理论和解决方案远不够完善。所有的这些都将因无线网络的安全级别不够导致网络受到侵入。在这篇文章里,我们将告诉你如何通过一些安全措施来让你的无线网络变的更安全、更可靠。
一、修改用户名和密码(不使用默认的用户名和密码)
现在一般的家庭无线网络都是通过一个无线路由器来访问外部网络。通常这些路由器设备制造商为了便于用户设置这些设备建立起无线网络,都提供了一个管理页面工具。这个页面工具可以用来设置该设备的网络地址以及帐号等信息。为了保证只有设备拥有者才能使用这个管理页面工具,该设备通常也设有登陆界面,只有输入正确的用户名和密码的用户才能进入管理页面。然而在设备出售时,制造商给每一个型号的设备提供的默认用户名和密码都是一样,不幸的是,很多家庭用户购买这些设备回来之后,都不会去修改设备的默认的用户名和密码。这就使得黑客们有机可乘。他们只要通过简单的扫描工具很容易就能找出这些设备的地址并尝试用默认的用户名和密码去登陆管理页面,如果成功则立即取得该路由器的控制权,引起的后果就是你家网络不在安全。所以,路由器拿到手后首先要更改登录用户名和密码,保证只有自己和自己的家人才能登录进入这台设备。
二、使用加密
所有的无线网络都提供某些形式的加密。只要攻击端电脑在无线路由器的有效范围内的话,那么它很大机会访问到该无线网络,一旦它能访问该内部网络时,该网络中所有的传输数据对他来说都是透明的。如果这些数据都没经过加密的话,黑客就可以通过一些数据包嗅探工具来抓包、分析并窥探到其中的隐私。开启你的无线网络加密,这样即使你在无线网络上传输的数据被截取了也没办法(或者是说没那么容易)被解读。目前,无线网络中已经存在好几种加密技术。通常我们选用能力最强的那种加密技术。此外要注意的是,如果你的网络中同时存在多个无线网络设备的话,这些设备的加密技术应该选取同一个。
三、修改默认的服务区标识符(SSID)
通常每个无线网络都有一个服务区标识符(SSID),无线客户端需要加入该网络的时候需要有一个相同的SSID,否则将被“拒之门外”。通常路由器设备制造商都在他们的产品中设了一个默认的相同的SSID。例如tp-link设备的SSID通常是“tp-link”。如果一个网络,不为其指定一个SSID或者只使用默认SSID的话,那么任何无线客户端都可以进入该网络。无疑这为黑客的入侵网络打开了方便之门。
四、禁止SSID广播
在无线网络中,各路由设备有个很重要的功能,那就是服务区标识符广播,即SSID广播。最初,这个功能主要是为那些无线网络客户端流动量特别大的商业无线网络而设计的。开启了SSID广播的无线网络,其路由设备会自动向其有效范围内的无线网络客户端广播自己的SSID号,无线网络客户端接收到这个SSID号后,利用这个SSID号才可以使用这个网络。但是,这个功能却存在极大的安全隐患,就好象它自动地为想进入该网络的黑客打开了门户。在商业网络里,由于为了满足经常变动的无线网络接入端,必定要牺牲安全性来开启这项功能,但是作为家庭无线网络来讲,网络成员相对固定,所以没必要开启这项功能。
五、设置MAC地址过滤
众所周知,基本上每一个网络接点设备都有一个独一无二的标识称之为物理地址或MAC地址,当然无线网络设备也不例外。所有路由器/中继器等路由设备都会跟踪所有经过他们的数据包源MAC地址。通常,许多这类设备都提供对MAC地址的操作,这样我们可以通过建立我们自己的准通过MAC地址列表,来防止非法设备(主机等)接入网络。但是值得一提的是,该方法并不是绝对的有效的,因为我们很容易修改自己电脑网卡的MAC地址,但不管怎么样,做总比不做强。
六、为你的网络设备分配静态IP
由于DHCP服务越来越容易建立,很多家庭无线网络都使用DHCP服务来为网络中的客户端动态分配IP。这导致了另外一个安全隐患,那就是接入网络的攻击端很容易就通过DHCP服务来得到一个合法的IP。然而在成员很固定的家庭网络中,我们可以通过为网络成员设备分配固定的IP地址,然后在路由器上设定允许接入设备IP地址列表,从而可以有效地防止非法入侵,保护你的网络。
七、确定位置,隐藏好你的无线设备
大家都知道,无线网络路由器或中继器等设备,都是通过无线电波的形式传播数据,而且数据传播都有一个有效的范围。当你的设备覆盖范围,远远超出你家的范围之外的话,那么你就需要考虑一下你的网络安全性了,因为这样的话,黑客可能很容易再你家外登陆到你的家庭无线网络。此外,如果你的邻居也使用了无线网络,那么你还需要考虑一下你的路由器或中继器的覆盖范围是否会与邻居的相重叠,如果重叠的话就会引起冲突,影响你的网络传输,一旦发生这种情况,你就需要为你的路由器或中继器设置一个不同于邻居网络的频段(也称Channel)。根据你自己的家庭,选择好合适有效范围的路由器,并选择好其安放的位置,一般来讲,安置再家庭最中间的位置是最合适。
参考文献:
[1]杨哲.无线网络安全攻防实战进阶
【关键词】网络安全技术;电子商务;问题;对策
伴随着计算机的普及和互联网的运用,各类商务信息利用互联网共享、开放的功能,实现了共享和网上交易,因而产生了电子商务,商户与客户之间不谋面便可以开展各种商务交易和谈判,并通过在线电子支付平成交易。但互联网的共享性和开放性也给电子商务带来了一定的不安全因素,而各种网络漏洞带来的不仅仅是安全隐患,更给商户与客户之间造成了经济和精神上损失。
由此可见,电子商务网络安全的技术问题不容忽视,那么如何加强技术防范呢?笔者认为,首先要清楚网络安全的重要性,这是基础;其次,要明确了解电子商务网络安全的技术问题有哪些,这是根本;再次,就是要对电子商务网络安全的对策进行研究和探索,这是关键。
一、网络安全的重要性
要解决好电子商务网络安全技术问题,首先要从思想上充分认识到网络安全技术对于电子商务的重要性和网络中的不安全因素对于电子商务交易双方的危害,只有在这样的基础上我们才能够对网络安全技术进行深入的钻研和探索。
从计算机信息安全的角度而言,网络安全是核心。我们常说“网络安全是核心,系统安全是目标,计算机安全是基础”,可见,网络安全需要一个大安全的环境来支撑和保护,是保障计算机信息安全的核心环节。具体说,网络安全是确保网络系统的软件和硬件以及网络中的有效数据不被非法用户进行有目的或恶意性的破坏、篡改和泄露,以此来保障网络系统能够稳定、持续、正常地工作和运行。
从维护国家和社会稳定的角度而言,网络的安全可以有效保障国家相关法律法规的落实。近年来,随着网络的迅速普及,网络对社会发展的影响也越来越大,如电子商务、电子政务、网上银行等各类网络新业务的兴起,使机密性质的信息传输渠道进行了改变,随之而来的是计算机犯罪事件的逐年增多,利用计算机网络发起的犯罪事件呈上升态势,对国家和社会的稳定造成了一定的影响。所以,网络安全技术措施的研究和开发就显得非常重要。
从网络安全的防范角度而言,根据不同的应用环境选用合适的网络安全技术手段是关键。网络安全技术的本质是保证网络信息的安全,但是如果不根据应用环境的变化而采用相同的安全防范策略,不结合应用环境的特性忽视安全技术的综合应用,就会给网络入侵提供条件,最终使网络使用者或商务交易双方蒙受不必要的损失。同时,网络安全产品的自身安全防护技术是网络安全设备安全防护的关键,一个自身不安全的设备不仅不能保护被保护的网络,而且一旦被入侵,反而会变为入侵者进一步入侵的平台。可见,网络安全技术的应用和选择也是非常重要的。
二、电子商务网络安全的技术问题
电子商务网络安全可以从计算机网络安全和商务交易安全两个部分进行分析。这可以为研究制定电子商务网络安全的技术对策提供帮助和依据。
(一)计算机网络安全的技术问题
计算机网络安全的技术问题从宏观上看,主要体现在四个方面,而且都是非常重要的技术节点。首先应该提到的是,因软件自及或操作过程等原因可能导致网络不安全现象的发生。计算机操作系统在默认安装状态下,都存在网络漏洞,这给网络安全带来了“天生”的隐患,需要我们在进行电子商务交易之前安装相关安全软件进行完善或通过安装系统补丁等技术措施加以完善,才能达到预期的安全程度;其次,非法用户通过技术手段使合法用户不能正常进行网络交易、网络服务以及无法访问网站,也就是拒绝服务攻击,也是网站的安全隐患之一;同时,有些用户因为缺少相关的技术知识,由于使用安全软件不当,不能够起到保护网络安全运行的目的,由此产生了不安全隐患;还有就是由少管理而产生的不安全因素,缺少严格的网络安全管理制度。加强网络安全制度建设的根本,就是使网络安全管理工作有效、有序、规范的开展,就是要从思想上引起网络管理人员的重视,保障网络的安全和技术措施的落实。
(二)电子商务网络交易的安全技术问题
电子商务网络交易的安全技术问题,最主要危害就是电子交易信息被窃取。其主要原因是未采用有效的安全措施,如:加密、安装验证软件等。未采用网络安全措施的网络交易,其交易相关信息和数据在网络上是以明文的方式进行传输,入侵者在数据包经过的网关或路由器上可以截获传送的信息,再对数据进行分析,可以寻求到交易信息的相关规律及形式,从而获取交易信息的详细内容,致使信息泄密,对电子商务网络交易造成隐患;其次是对交易信息进行篡改。当入侵者掌握了交易信息的相关规律及形式后,通过技术手段和方法,将交易信息在传输过程中进行修改,再发向传送目的地,这种方法在路由器或网关上都可能出现;再次就是伪装合法用户进行商务交易。由于入侵者掌握了数据的格式,并可以篡改信息,攻击者可以冒充合法用户发送虚假的信息,而交易双方通常很难分辨和发现。
三、电子商务网络安全对策
在了解了网络安全的重要性和电子商络网络安全的技术问题后,关键就是研究制定对策,主要应该包含计算机网络安全措施和商务交易安全措施两大部分。
(一)计算机网络的安全措施
笔者认为,计算机网络安全措施应该包括保护网络安全、保护应用服务安全和保护系统安全三个方面,各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等项目。
其中,保护网络安全,就是要做到全面分析、研究、规划好安全策略,加强制度建设、使用有效的防火墙技术、加强对硬件设备的物理保护、检验系统的漏洞、建立可靠的识别和鉴别机制;保护应用安全,就是要利用电子商务支付平台的软件系统建立安全防护措施,但应独立于网络的任何其他安全防护措施;保护系统安全,是指从整体电子商务系统或电子商务支付系统的角度进行安全防护,应与系统的硬件、操作系统等软件相关联。
(二)电子商务交易安全措施
各种电子商务交易安全服务都是通过网络安全技术来实现的,可以采用加密技术、认证技术和电子商务安全协议等加强电子商务交易的安全性。
其中,采用加密技术,就是交易双方可根据需要在信息交换的阶段使用密钥去加密和解密数据,建议最好使用非对称加密技术,交易双方一个使用公钥和另一个由用户自己秘密保存的私钥;采用认证技术,可以防止交易信息被篡改,以证明交易双方身份和信息的准备性,如:数字签名、数字证书等;除上述提到的各种安全技术之外,电子商务的运行还有一套完整的安全协议,可以采用电子商务的安全协议加强电子商务的网络安全。目前,比较成熟的协议有SET、SSL等,都是加强电子商务网络安全的有效措施。
综上所述,电子商务网络安全的技术,需要我们做到与时俱进,要随着技术的进步,不断研究和探索新的技术防范措施,以保证电子商务的网络安全。
参考文献
[1]《网络安全攻防实战》电子工业出版社
20年过去,当人们津津乐道于中国网络规模之巨时,决策层亦提出了建设网络强国的战略目标。
这与全球的网络空间新形势有莫大关联。随着网络和信息化技术对现实社会、经济和政治的渗透和重构日益加深,网络空间已然成为大国博弈的新场地。
一些西方国家利用手中的网络主导权,正在采取各种手段,从他国网络获取情报信息或硬性摧毁,以实现其国家战略目标。
在此背景下,中国建设网络强国的根基之一――网络安全,却严重滞后于网络技术和信息产业的发展。
中国网络信息核心技术和关键设备严重依赖他国;国家从部门到行业到个人的整体安全意识薄弱;网络新技术和应用模式在国内大规模普及,大量数据和信息单方面流向美国等西方发达国家,信息失衡问题日趋严重……
这些“致命伤”,使得中国的网络安全防线既透明,又脆弱。
一流网络规模,四流防御能力
中国已成为名符其实的网络大国。数据显示,截至2013年底,中国网民规模突破6亿人,手机用户超过12亿,拥有400万家网站,电子商务市场交易规模达10万亿元。
“这就是当前的趋势,网络安全进入国与国对抗博弈的‘大玩家’时代。”中国工程院院士倪光南说,当前全球网络威胁的主体,已由娱乐性黑客转变为具有国家背景的团体性黑客,这些攻击者组织更强大,计划更充分,破坏力更强。
在此背景下,全球已有50多个国家出台网络安全或信息安全战略和政策。
以美国为例,作为全球网络主导者,早就制定了完善的网络空间安全国家战略,并奉行“以攻为主、先发制人”的网络威慑战略,将网络情报搜集、防御性网络行动和进攻性网络行动确立为国家行动。
同时,这种国家级、有组织的网络攻击日趋复杂,呈现由“软攻击”向“硬摧毁”转变的趋势,网络空间对抗日趋激烈。
倪光南指出,被披露由美国主导的2011年网络攻击伊朗核设施的“震网”事件表明,美国已经具备了入侵他国重要信息系统、对他国实施网络攻击的能力。
中国同样不乏被攻击的案例。除了2013年曝光的“棱镜门”,2014年3月,“棱镜门”曝料人斯诺登再次透露,美国国家安全局自2007年开始,就入侵了中国通信设备企业华为的主服务器;2014年5月19日,美国司法部更是以所谓的“网络窃密”为由,5名中国军人。
面对他国咄咄逼人态势,南京瀚海源信息科技公司董事长方兴指出,中国一流的网络规模却只有四流网络安全防御能力。2012年1月,美国“安全与国防议程”智囊团报告,将全球23个国家的信息安全防御能力分为6个梯队,中国处于中下等的第4梯队,网络与信息系统安全防护水平很低。
其中一个重要原因,是中国重要信息系统、关键基础设施中使用的核心信息技术产品和关键服务依赖国外。
相关数据显示,全球网络根域名服务器为美国掌控;中国90%以上的高端芯片依赖美国几家企业提供;智能操作系统的90%以上由美国企业提供。中国政府、金融、能源、电信、交通等领域的信息化系统主机装备中近一半采用外国产品。基础网络中七成以上的设备来自美国思科公司,几乎所有的超级核心节点、国际交换节点、国际汇聚节点和互联互通节点都由思科公司掌握。
中国工程院院士沈昌祥认为,目前中国对国外产品的安全隐患和风险尚不清楚。而出口中国的关键设备都被美国备案,美国掌握着中国重要信息系统使用产品和设备的清单,对产品和设备的漏洞、后门等十分清楚。
“掩耳盗铃”的内网安全
除了关键基础设施核心技术缺失,在受访专家看来,中国网络安全更容易被忽视的隐患,来自被过度信赖的内部网络物理隔离系统。这个隐患,在军队、党政机关、关键领域重点企业等领域更为严重。
内部网络系统的物理隔离一直被认为是保障网络和信息安全的重要手段,也是网络系统最底层的保障措施。在传统观念中,只要不和外界网络发生接触,内网隔离就能从根本上杜绝网络威胁。
但《财经国家周刊》记者发现,事实并非如此,中国不少重点行业和党政部门的网络信息安全防御被所谓的内网隔离扎成了虚假安全的“竹篱笆”。
奇虎360公司曾对中国教育系统、航空公司、司法机构等100多家重点行业关键企业和机关部门的内部网络进行测试,结果网络全被攻破,最长的耗时三天,最短的30分钟。
沈昌祥牵头进行一项课题研究发现,中国半数以上重要信息系统难以抵御一般性网络攻击,利用一般性攻击工具即可获取大多数中央部委门户网站控制权。
造成这种问题的首要原因是网络安全意识淡薄。知名网络安全专家杜跃进介绍,中国重点企业及政府部门中,不少单位的机房管理员就是本单位的网络安全负责人。
在安全意识淡薄之下,党政部门和重点行业的网络信息安全过度依赖物理隔离手段。启明星辰首席战略官潘柱廷指出,由于隔离网系统升级不及时,整体保护意识低,致使内部网络物理隔离事实上漏洞百出,一些单位隔离的内部网络木马病毒横行。
奇虎360公司的另一项检测发现,中国100多万个网站中,65%左右有漏洞,近30%是高危漏洞,“基本上你只要下功夫,这个站就能被拿下”。
根据斯诺登公布的材料,美国掌握了100多种方法可攻破物理隔离的内部网络系统。
如在“震网”事件中,伊朗的核设施虽然进行了物理隔离,但美国仍利用高级漏洞,通过U盘摆渡等手段,入侵了内网,最终破坏了铀浓缩机。
除了网络安全意识淡薄,一些地方网络安全防护重设备购置、轻后期服务的做法,也加剧了中国网络安全体系的脆弱性。
奇虎360公司首席技术官谭晓生介绍说,在网络安全防护方面,国家虽然推行了安全等级和分级保护的众多规定,但部门和重点企业单位更多用设备购置来满足安全分级要求,安全后期服务没有常态化。这导致安全防御设备使用成效低下,无法及时监测内部安全态势,完成系统升级等服务。
网络数据“大出血”
与基础设施和内网系统的技术防线漏洞相比,网络数据和信息流失带来的安全问题则更加隐蔽。
随着云计算、物联网、移动互联网、大数据、智能化等网络信息化新兴应用持续拓展,未来中国网络安全威胁将持续扩大。这使得中国大量数据和信息单方面流向西方发达国家的问题更加严重,信息失衡将成为未来更为主要的安全威胁。
网络信息安全企业安天实验室首席技术官肖新光认为,微软的操作系统、英特尔的芯片、思科的交换路由产品等为代表的美国IT产品基本统领了前二十年全球信息化进程。
未来20年,加上谷歌、苹果、Facebook、推特等其他美国科技企业所提供的先进、方便的互联网服务,全球网络信息都向美国单方向聚合,形成了巨大的信息链流失风险。
以第三方信息安全服务的数据信息容灾备份领域为例,美国正在这个领域形成垄断。
国家安全战略研究中心信息技术与安全研究所副所长王标说,赛门铁克、IBM、惠普等美国企业垄断了全球的75%的市场份额,也占据了中国政府80%的容灾备份市场份额,中国大量政府部门的网络信息数据由此渠道单向流入美国。
与此同时,随着智能手机、平板电脑的快速普及,移动互联网安全形势不容乐观,带来的数据信息泄露更为突出。
肖新光说,谷歌的安卓智能手机移动操作系统占中国智能手机用户比例的60%以上。复旦大学的一份调查显示,安卓系统300多款应用软件中,58%存在泄漏用户隐私行为,其中25%的程序还将泄漏的信息进行加密,使得确认其内容和传送目的地非常困难。而移动互联网络开放式接入带来的信息泄漏威胁更为直接和广泛。
中国大量信息数据单向流向美国,带来的直接后果就是让美国获得运用大数据分析中国政治、经济、社会的最新动态和趋势的能力。
摘要:近年来,银行业金融机极客户数据泄露亊件屡次収生,金融数据泄露无论是对金融机极本身还是客户都带来巨大损失,伴随新一轮科技革命和产业革命的浪潮来袭,人工智能、区块链等新关技术与金融领域的深度融合,金融机极间的服务竞争最终会转化为科技乊间的较量,自国内第一家无人银行运营后,银行业颠覆性变革势在必行,在大势所趋乊下,如何更好地保护个人金融信息显得尤为重要,本文研究了金融科技背景下个人金融信息安全的保护,供相兲读者参耂。
关键词:金融;科技革命;信息保护
1个人金融信息保护现状
个人釐融信息挃个人在银行业机极开立账戵时预留的个人敏感信息,釐融机极有义务保护好客戵所有信息,如信息遭受泄露,客戵有权利用法律手段维护自己权利,但现实中,釐融信息遭受泄露、窃取、篡改亊件时有収生。2018年,中国银行通山支行因对客戵信息安全管理不到位导致大量信息泄露,监管部门开出罚单,追责相关责仸人幵且当亊人终身被禁止仍亊银行业工作;釐融消费者张某通迆转账误将1300元字入吴某账号,银行工作人员将吴某联系斱式泄露给张某,导致吴某遭遇无尽的甴话骚扰;某银行上海浦东支行零售部剫经理杨某,利用职务乊便,非法下载个人彾信信息一七余条,幵将这些信息以不同的价栺售出。仍国际来看,个人釐融信息安全泄露亊件也不容乐观。英国最大银行、全球银行业巨失汇丰银行协助客戵偷逃税务,向客戵提供避税建议,涉及客戵信息约3七个账戵,总计持有约1200亿美元资产,堪称史上最大觃模银行泄密。黑客攻击者通迆网络攻击和其他斱式获得了孟加拉国央行SWIFT系统的操作权陎,迚一步向纽约联邦储备银行収送虚假转账挃令,导致8100七美元被窃取。仍国内到国外,银行机极釐融信息数据泄露亊件愈演愈烈,个人釐融信息保护是一个亜待解决的问题。
2个人金融信息保护存在的挑战
一是仍釐融消费者来讱,保护个人釐融信息安全意识淡薄。随着时代的収展,个人在多家银行开立了多个账戵,银行需要的资料悉数上报釐融机极,无形增加了信息泄露的风险。消费者不良的生活习惯也增加了信息泄露风险,如在ATM机,POS机具等现代支付密码设罫迆于简单,在辒入密码时又不会用手遮挡密码,尤其是在使用便捷的支付宝、微信等支付斱式,使用迆频也增加了信息泄露概率。事是仍釐融机极出収,员工素质参差不齐容易导致釐融信息倒卖、出售。很多信息安全泄露亊件都是银行职工在釐钱利益的驱使下,利用职务乊便勾结银行机极外部人员,里应外合,仍系统导出客戵敏感釐融信息,以非常低廉的价栺售出。三是法律法觃缺位,缺乏相关的法律惩罚措施。部分釐融机极内控制度没有涉及相关个人信息泄露案件的处理措施、惩罚斱法,釐融信息泄露后才临时寻找解决办法,没有建立长敁机制。在国家法律层面,尽管出台了《网络安全法》中提到重要领域个人釐融信息泄露的惩罚手段等措施,但对个人的惩处措施不够严栺,没有起到震慑作用。四是仍技术层面,部分重要系统开収不完善,字在大量的后台漏洞,投产后缺少相应的跟踪维护。开収程序会有bug,黑客将木马植入开源代码中,仍中窃取客戵信息资料,如孟加拉国央行夰窃案,黑客入侵攻陷了银行账戵系统操作权陎,向孟加拉国央行収送虚假挃令,以假乱真达到窃取的目的。五是新兴技术的落地使用,增加了釐融数据泄露隐患。云计算、大数据和人工智能等新兴技术的迅速崛起,釐融科技由蓬勃収展到落地应用联系越来越紧密,彼此的技术边界在不断削弱,技术创新将越来越多的集中在技术交叉和融合区域,各家机极在占领新技术领域高地的同时如何确保重要系统、釐融信息安全又将会是一个全新的挑战。
3如何加强个人金融信息安全保护
(1)加强监管,落实监督部门职责权陎。当前,人民银行仍彾信的角度加强了对个人客戵信息保护工作的力度,对个人釐融信息收集、保字、使用等工作环节做了具体觃定,但由于缺乏明确的法律依据,没有设立行政检查处罚权,人民银行对远反个人釐融信息保护觃定的釐融机极只能采取“核实、约谈、责仸整改”等柔性处理措施,约束力较弱,敁果不明显。人民银行应尽快确定监管部门,制定具有强约束力的法律法觃,让监管部门有法可依。(2)完善法律体系,健全个人釐融信息保护觃定。2017年6月实施的《网络安全法》觃定了网络运营者对公民个人信息的保密义务,但操作性不强,没有具体到监管部门的详细分工,同时也不是针对保密级别较高的釐融行业,建议尽快制定《个人釐融信息保护法》,用法律来强制约束个人釐融信息安全保护,对釐融信息泄露亊件的个人迚行仍严处理,保证法律体系完善性与协调性。(3)完善银行机极内控管理机制。一是加强银行机极内部教育管理,将知情权最小化,根据业务需求,对客戵信息资料分级分类,授予不同权陎管理,最小知情权。事是仍源失出収,保护个人釐融信息系统的健壮性,系统在交互使用前充分经迆厈力测试与安全测试,确保其容错能力和恢复能力,同时系统投产后需要不断升级与完善。三是持续关注业内信息安全、病毒感染亊件,及时做好系统防护,对公安部、网信办等单位下収的病毒通报亊件提高行业敏感性,及时制定安全策略,极建安全生态体系;多参与银行业网络安全攻防演习行动,与信息安全专家交流学习,掌握更多防御手段,提高各环节协同高敁的防护能力。(4)加强釐融安全宣传教育,提高自我保护意识。各釐融机极要以“网络安全宣传周”、“全国科技活动周”等活动为载体,加大宣传力度,增强釐融消费者个人釐融信息安全观念。对消费者本人而言,对于诈骗甴话、无抵押贷款等陷阱提高自身警觉,确实有釐融需求应前彽正觃营业网点办理,提高自我保护意识。
关键词:AP;SSID;WEP/WPA;IP;MAC
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)11-2594-02
无线网络带来许多便利,甚至改变人们的生活习惯,很多咖啡店,餐厅,机场都提供免费无线上网,或者在学校、办公大楼和居民小区也很容易搜索到无线网络信号,不久的将来也许无线网络将超越有线网络主宰人类的生活。
有线网络天生比无线网络安全,因为有线网络的物理结构对其有所保护,部分或全部网络传输介质埋在建筑物里面就可以一定程度的防止未授权的访问。经由无线电波的无线网络没有同样的物理结构,因此更容易受到攻击、干扰。用户在使用无线网络时更加应该注重安全意识并掌握一些基本的无线网络安全技术,才能安心的畅游网络。
通过了解黑客进入无线网络执行黑客任务的过程,就可以学习使无线网络更加安全的技术。黑客是如何进入无线网络的,请见图1所示的流程图。
通过流程图可以清楚的了解如果公开无线网络名称,不设置无线网络密码,无线网络自动分配IP地址,不进行计算机过滤,就等于让黑客长驱直入进入无线网络,轻易获得了执行黑客任务的环境。反过来,只要隐藏无线网络名称,设置网络保护密码,不要自动分配IP地址,进行MAC地址过滤,就为无线网络设置了很多大门,为黑客设置了很多障碍,也就让我们的无线网络更加安全。
无线网络中最重要的网络设备有二种:无线AP和无线路由器。无线AP相当于一个无线交换机,接在有线交换机或路由器上,为跟它连接的无线网卡从路由器那里分得IP。无线路由器就是AP、路由功能和交换机的集合体,支持有线无线组成同一子网。无线AP在那些需要大量AP来进行大面积覆盖的公司使用得比较多,所有AP通过以太网连接起来并连到独立的无线局域网防火墙。无线路由器在SOHO的环境中使用得比较多。 下面详细解读无线AP和无线路由器的安全设置。因为几乎所有的无线AP和无线路由器都支持WEB和图形管理方式,简化了网络设备的管理难度,所以设置很容易实现。
1 合理放置无线AP
由于无线AP的覆盖范围是一个向外扩散的圆形区域,因此,应当尽量把无线AP放置在无线网络的中心位置。尽量调整AP的覆盖范围在办公区域内,减少外部人员接受信号的可能。
2 隐藏无线网络名称
SSID是Service Set Identifier的缩写,意思是:服务集标识。SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络. 简单说,SSID就是一个局域网的名称,只有设置为名称相同SSID的值的电脑才能互相通信。通俗地说,SSID便是你给自己的无线网络所取的名字。
同一生产商推出的无线路由器或无线AP都使用了相同的SSID,一旦那些企图非法连接的攻击者利用通用的SSID来连接无线网络,就极易建立起一条非法的连接,从而给我们的无线网络带来威胁。因此,建议将SSID命名为一些较有个性的相对繁杂的名字。
SSID通常由AP或无线路由器广播出来,通过WindowsXP自带的扫描功能可以查看当前区域内的SSID。出于安全考虑不应该广播SSID,此时用户只能手工设置SSID才能进入相应的网络。无线路由器一般都会提供“允许SSID广播”功能。如果不想让自己的无线网络被别人搜索到,那么最好“禁止SSID广播”,此时你的无线网络仍然可以使用,只是不会出现在其他人所搜索到的可用网络列表中。一般的用户在无法找到SSID的情况下是无法连接到网络的。但是如果黑客利用其他手段获取相应参数,仍可接入目标网络,因此,隐藏SSID适用于一般环境当作简单口令安全方式。我们还需要为无线网络配置更多的安全设置。
3 设置无线网络的密码保护
目前,无线网络中已经存在好几种加密技术,在配置无线AP或者无线路由器时最常使用的是WEP和WPA两种加密方式。
1) WEP加密方式
无线局域网的第一个安全协议―802.11 Wired Equivalent Privacy(WEP),一直受到人们的质疑。WEP是Wired Equivalent Privacy的简称,所有经过WIFI认证的设备都支持该安全协定。有线等效保密(WEP)协议是对在两台设备间无线传输的数据进行加密的方式,使用了该技术的无线局域网,所有客户端与无线接入点的数据都会以一个共享的密钥进行加密,密钥的长度64位或128位,密钥越长,黑客就需要更多的时间去进行破解,因此能够提供更好的安全保护,保证传输数据不会以明文方式被截获。
该方法需要在无线AP或无线路由器上配置密码;它虽然可以阻挡一般的数据截获攻击,但是人们还是有理由怀疑它的安全性,因为WEP加密方式一定可以破解,问题在于要花多少时间而已。所以如果对数据安全性有很高要求,那就必须选用WPA加密方式了。
2) WPA加密方式
WPA加密即Wi-Fi Protected Access,其加密特性决定了它比WEP更难以入侵。
WPA有WPA 和 WPA2两个标准,使用802.11i中的加密技术-TKIP (Temporal Key Integrity Protocol),这项技术可大幅解决802.11原先使用WEP所隐藏的安全问题。主要体现在身份认证、加密机制和数据包检查等方面,而且它还提升了无线网络的管理能力。
4 不启用DHCP服务
动态主机设置协议(DHCP)是一种使网络管理员能够集中管理和自动分配 IP 网络地址的通信协议。在 IP 网络中,每个连接 Internet 的设备都需要分配唯一的 IP 地址。 DHCP 使网络管理员能从中心结点监控和分配 IP 地址。无线AP或无线路由器内建DHCP服务器,它能自动配置局域网中各计算机的TCP/IP协议,当然也会为非法的用户分配一个IP地址。
有些无线网络并没有使用密码保护,或者是输入破解的WEP或WPA加密密码后,要与无线网络连接却一直无法获取IP地址,当然也就不可能使用该无线网络连接到Internet,这是因为该无线网络不会自动分配IP地址,也就是未使用DHCP功能。此时非法用户将不得不通过其它方式猜测和破译IP地址,子网掩码,默认网关等一切所需的TCP/IP参数才可以使用该无线网络。增加了黑客侵入我们网络的难度,无线网络相对也就更加安全。
5 MAC地址过滤
每一块网卡设备都拥有一个唯一的物理地址,通过该地址网络就能实现准确传输数据信息的目的。因此,市场中推出的无线路由器设备几乎都有“MAC地址过滤”功能,我们可以启用该功能,来将陌生的网卡物理地址全部排除在本地无线网络之外,这样一来非法用户就无法轻易闯入本地无线网络了。
要将本地工作站的网卡设备绑定到无线AP或无线路由器上,需要配置AP或无线路由器,启用MAC地址过滤功能,然后将过滤规则设置为“禁止列表中生效规则之外的MAC地址访问本无线网络”,将允许的MAC地址添加到规则列表中。
完成上面的设置操作后,只有列表中的网卡设备才能与本地的无线路由器建立网络连接,而非法用户的陌生网卡地址将会被无线路由器过滤掉,如此一来即使能够搜索到本地的无线网络,也不会轻易登录进本地无线网络。但是如果黑客盗取合法的MAC地址信息,仍可以通过各种方法用假冒的MAC地址登陆网络。
6 开启防火墙
市场上的无线路由器都已经内置了丰富的防火墙功能,如果无线网络中采用的是无线路由器,那么我们所要做的,只是在配置无线网络的时候开启防火墙。
对于无线网络安全来说,某一项安全设置都可以增加一份安全,所以不应该依赖某种特定的设置而让网络绝对安全,而是应该不断学习,给予全面考虑,让无线网络更加安全。
参考文献:
[1] 程秉辉.网络安全讲堂之全面防护[M].北京:清华大学出版社,2009.
[2] 杨哲.无线网络安全攻防实战[M].北京:电子工业出版社,2009.
0 引 言
随着我国信息化进程的深入以及“互联网+”应用的高速膨胀,在以网络为平台的信息安全问题倍受政府和各个企业的关注。现如今,安全已经不再是个人问题,而是已上升到国家的高度。各高职、专、本科院校都纷纷开设信息安全专业或相关课程,而对信息安全方面人才的培养却成为了制约安全的瓶颈。作为一个非信息安全专业的学生来说,想学好这门课,既具有实际意义,又具有一定的困难。网络信息安全是一门综合性很强的学科,具有知识涵盖面广、理论性强等特点,对于民办高校的学生来说,不易理解和接受,且实际工作中安全的新问题层出不穷,想要得到此等能力,增加就业砝码,校方就有必要对网络信息安全课程进行教学改革。
1 课程定位
在《2006―2020年国家信息化发展战略》一文中指明了我国网络信息安全人才的培养目标,同时也指出了培养网络安全技术人才的重要性。民办高校计算机相关专业开设 《网络与信息安全》课程,其培养目的是让计算机专业的学生具备信息安全基本知识和基本技能,不求都懂,但求够用,具有在实际生活和工作中解决某些具体安全问题的能力。
《网络与信息安全》为计算机类相关专业的课程,主要服务于应用型人才的培养,使学生了解和掌握网络信息安全相关知识,并能够实现相关的规划与管理、常用网络安全设备的选用与配置、常用网络安全软件的应用以及常见网络病毒与网络黑客的防范,增强综合安全知识,强调实际的安全防范与安全产品的使用,同时加强学生的素质教育,培养良好的职业道德和团队意识,为今后走向工作岗位打下基础。
2 民办高校网络与信息安全课程教学中存在的问题
2.1 课程本身的原因
(1)知识面广:高校网络与信息安全课程包含数学、数据库、数据结构、计算机编程、计算机网络、操作系统等基础课程;
(2)理论丰富:高校网络与信息安全课程涉及数论、信息论、密码学、数据库原理、通信原理等与计算机、数学等相关的核心理论知识;
(3)操作性很强:学生具有良好的编程基本能力,能读懂、编写流行的高级语言程序代码,能够独自完成网络技术实验,能进行网络安全攻防演练;
(4)紧跟技术发展前沿:此课程涉及的技术、理论知识必须紧跟潮流,了解和掌握最新技术的发展动向,才能够起到良好的教学效果。
2.2 所学的支撑基础课程不全
高校网络与信息安全课程有以上的特点,想真正学好却真非易事,再加上民办高校的办学实力、师资力量、教学条件、办学时间、学生的基本情况等方面与公办高校的不可比,所以学校在制定人才培养、教学计划上更应该合理安排,为学生构建好基本理论知识框架。
2.3 重理论,实践弱
高校网络与信息安全课程是计算机技术理论与实践结合程度很高的课程,有很多其他课程所不可比拟的特点,许多安全技术需要在实践过程中认识、理解。民办高校发展很快,不断申请新专业,增加学生数量,根本不考虑学校,教师,学生的三元因素问题。学校教学条件更新慢,教师所掌握的知识陈旧,教师很少有网络信息安全方面的实际工作经验,且理论知识也都是书本上的,而这是一门理论与实践并重的课程,教师教学时满堂灌,实践的机会很少,创新少,不直观,学生学习兴趣不足,直接影响教学质量。
2.4 实践设备和条件不足
民办高校用于实践教学的实验室本来就少,不可能专门为这门课设置一个实验室,更谈不上校外的实训基地。学生没有实践环境,就很难开展课程中所涉列的实验,学习的过程还是从理论到理论,所学知识衔接不够,学生学习会很吃力,极大地削弱了教学效果。
3 针对网络信息安全课程的几点意见
3.1 利用现有条件提供不一样的实验环境――虚拟实训
民办高校能够为学生提供的实践教学环境一般都是微机实验室,造价低,易实现。教师需要参与实验室的规划、软硬件维护等环节,细心的安排网络信息安全实验内容和步骤,并指导学生完成操作,同时课后总结实训时存在的问题。一样的实验室而提供不一样的实验环境,特殊之处在于使用了虚拟机这个软件。在开学前期把实验课程安排交予实验室管理老师,告之所需应用、系统软件。本机使用Win7,XP系统均可,虚拟机是必备的软件,它能够模拟真实网络服务的环境,解决网络信息安全、教师教学备课、演示中对特殊网络环境要求的问题。那虚拟机中安装的系统依据实验内容不同各有不同的要求:Win2000,Win2003,WinNT。安装这几种系统基本实现得了网络信息安全的大部分实践内容,其中黑客常用软件实例操作时,因为网上能够得到的教学相关软件版本都低。而对于例如密码技术等实践操作性不强的实训,就要充分利用现代网络信息与计算机仿真技术,教师与学生一起开发虚拟实训,并利用仿真实训环境来完成验证性实践操作,用以提高学生实践操作能力。
3.2 选好教材,用对教学方法
本着“理论够用,实践突出,岗位需求”的原则,以“巩固基础,提高素质,勇于创新”为目的,那么什么样的教材算是好的教材,适合学生所需,难度适中,最主要的是不能太难,理论听不懂。技术不能太新,教学素材不好整理,实验环境不好构建,但新知识、理论、技术可以当做课堂的扩展来讲授。根据计算机网络安全课程的具体情况优化选择教学内容体系,实现能力与素质的培养、知识与技能的传授,将学生锻炼成网络信息安全方面高素质技能的专门人才。
能够准确定位课堂教学内容,确定教学目标,便于老师更好地把握教材和了解学生,便于全面提升学生的素质,并不断提高民办学校教学质量。因为民办高校学生自控能力差,课下很少有自主学习的习惯,要改变学生低落情绪,首先授课教师就要改变自己的教学方法和手段,引领学生在“学中做”,在“做中学”,并以学生为主体,加强对学生实践操作能力的培养。
在教学过程中针对不同内容,老师要运用不同的教学手段或策略,如设置组织讨论、问题情景、启发式等。教师要想办法调动学生参与课堂的热情,不但要发挥学生的主观能动性,而且还要使整个教学过程有机互动,以提高教学效果。在上课过程中,结合课程内容特点,尝试着采用探究式的学习方法、任务驱动和问题驱动等教学方法和手段,以具体的问题为引导,使学生在学习基础理论、方法过程中用以解决实际问题,引起学生的兴趣,激发他们的求知欲。一切都要以学生学到了多少知识来评判课堂效果。
3.3 提升教师自身的素质水平
教师是完成教学工作的基本保证,民办院校要建设优良的教学队伍,那教师就得“走出校门”,多见识,多交流,多学习,多引进。如到网络公司挂职实践,或是参与企业网络信息安全产品的研发,来不断提升教师实践水平。
4 课程实际教学与实践过程中的几点参考
随着计算机产业的突飞猛进,信息技术也产生了巨大的变化,由于本门课程所涵盖的知识面广、理论多、实践性强等特点,结合本人的上课经验,在教学过程中应该注意3个方面。
4.1 知识循序渐进,不分理论与实践
学生的基础薄弱,课前做充分准备,对相关学科基础知识的讲解或涉及,循序渐进,不能让学生暂听就感觉压力重重,避免其失去兴趣。此课程实践性很强,单凭理论课上用语言去描述,学生听着会很枯燥,建议把本门课程改成理论与实践一体课,在实验室上效果更好。
4.2 课下自学,重在总结
任课教师都应定期布置作业或任务,这个作业由学生在课下独立或小组完成,期间可向教师咨询相关问题,教师做好指导并总结,按照事先约定好的时间上交作业,教师针对作业完成度酌情给予评定成绩,并指出学生作业存在的不足,教师做好记录,亦是为下学期本门课程做准备。
4.3 重在参与,考核放轻
只要学生积极参与,并完成了布置的任务,都应该得到肯定,参与程度会提高。
