时间:2022-03-15 21:04:25
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全技术论文,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
常永亮
(飞行试验研究院测试所陕西西安710089)
【摘要】Internet是一种开放和标准的面向所有用户的技术,其资源通过网络共享,因此,资源共享和信息安全就成了一对矛盾。
【关键词】网络攻击、安全预防、风险分析、网络安全
1.引言
随着网络的迅速发展,网络的安全性显得非常重要,这是因为怀有恶意的攻击者窃取、修改网络上传输的信息,通过网络非法进入远程主机,获取储存在主机上的机密信息,或占用网络资源,阻止其他用户使用等。然而,网络作为开放的信息系统必然存在众多潜在的安全隐患,因此,网络安全技术作为一个独特的领域越来越受到全球网络建设者的关注。
一般来说,计算机系统本身的脆弱性和通信设施的脆弱性再加上网际协议的漏洞共同构成了网络的潜在威胁。随着无线互联网越来越普及的应用,互联网的安全性又很难在无线网上实施,因此,特别在构建内部网时,若忽略了无线设备的安全性则是一种重大失误。
2.网络攻击及其防护技术
计算机网络安全是指计算机、网络系统的硬件、软件以及系统中的数据受到保护,不因偶然或恶意的原因遭到破坏、泄露,能确保网络连续可靠的运行。网络安全其实就是网络上的信息存储和传输安全。
网络的安全主要来自黑客和病毒攻击,各类攻击给网络造成的损失已越来越大了,有的损失对一些企业已是致命的,侥幸心里已经被提高防御取代,下面就攻击和防御作简要介绍。
2.1常见的攻击有以下几类:
2.1.1入侵系统攻击
此类攻击如果成功,将使你的系统上的资源被对方一览无遗,对方可以直接控制你的机器。
2.1.2缓冲区溢出攻击
程序员在编程时会用到一些不进行有效位检查的函数,可能导致黑客利用自编写程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾,这样当发生缓冲区溢出时,从而破坏程序的堆栈,使程序转而执行其它的指令,如果这些指令是放在有root权限的内存中,那么一旦这些指令得到了运行,黑客就以root权限控制了系统,这样系统的控制权就会被夺取,此类攻击在LINUX系统常发生。在Windows系统下用户权限本身设定不严谨,因此应比在LINUX系统下更易实现。
2.1.3欺骗类攻击
网络协议本身的一些缺陷可以被利用,使黑客可以对网络进行攻击,主要方式有:IP欺骗;ARP欺骗;DNS欺骗;Web欺骗;电子邮件欺骗;源路由欺骗;地址欺骗等。
2.1.4拒绝服务攻击
通过网络,也可使正在使用的计算机出现无响应、死机的现象,这就是拒绝服务攻击,简称DoS(DenialofService)。
分布式拒绝服务攻击采用了一种比较特别的体系结构,从许多分布的主机同时攻击一个目标,从而导致目标瘫痪,简称DDoS(DistributedDenialofService)。
2.1.5对防火墙的攻击
防火墙也是由软件和硬件组成的,在设计和实现上都不可避免地存在着缺陷,对防火墙的攻击方法也是多种多样的,如探测攻击技术、认证的攻击技术等。
2.1.6利用病毒攻击
病毒是黑客实施网络攻击的有效手段之一,它具有传染性、隐蔽性、寄生性、繁殖性、潜伏性、针对性、衍生性、不可预见性和破坏性等特性,而且在网络中其危害更加可怕,目前可通过网络进行传播的病毒已有数万种,可通过注入技术进行破坏和攻击。
2.1.7木马程序攻击
特洛伊木马是一种直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。
2.1.8网络侦听
网络侦听为主机工作模式,主机能接受到本网段在同一条物理通道上传输的所有信息。只要使用网络监听工具,就可以轻易地截取所在网段的所有用户口令和帐号等有用的信息资料。
等等。现在的网络攻击手段可以说日新月异,随着计算机网络的发展,其开放性、共享性、互连程度扩大,网络的重要性和对社会的影响也越来越大。计算机和网络安全技术正变得越来越先进,操作系统对本身漏洞的更新补救越来越及时。现在企业更加注意企业内部网的安全,个人越来越注意自己计算机的安全。可以说:只要有计算机和网络的地方肯定是把网络安全放到第一位。
网络有其脆弱性,并会受到一些威胁。因而建立一个系统时进行风险分析就显得尤为重要了。风险分析的目的是通过合理的步骤,以防止所有对网络安全构成威胁的事件发生。因此,严密的网络安全风险分析是可靠和有效的安全防护措施制定的必要前提。网络风险分析在系统可行性分析阶段就应进行了。因为在这阶段实现安全控制要远比在网络系统运行后采取同样的控制要节约的多。即使认为当前的网络系统分析建立的十分完善,在建立安全防护时,风险分析还是会发现一些潜在的安全问题,从整体性、协同性方面构建一个信息安全的网络环境。可以说网络的安全问题是组织管理和决策。
2.2防御措施主要有以下几种
2.2.1防火墙
防火墙是建立在被保护网络与不可信网络之间的一道安全屏障,用于保护企业内部网络和资源。它在内部和外部两个网络之间建立一个安全控制点,对进、出内部网络的服务和访问进行控制和审计。
2.2.2虚拟专用网
虚拟专用网(VPN)的实现技术和方式有很多,但是所有的VPN产品都应该保证通过公用网络平台传输数据的专用性和安全性。如在非面向连接的公用IP网络上建立一个隧道,利用加密技术对经过隧道传输的数据进行加密,以保证数据的私有性和安全性。此外,还需要防止非法用户对网络资源或私有信息的访问。
2.2.3虚拟局域网
选择虚拟局域网(VLAN)技术可从链路层实施网络安全。VLAN是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。该技术能有效地控制网络流量、防止广播风暴,还可利用MAC层的数据包过滤技术,对安全性要求高的VLAN端口实施MAC帧过滤。而且,即使黑客攻破某一虚拟子网,也无法得到整个网络的信息,但VLAN技术的局限在新的VLAN机制较好的解决了,这一新的VLAN就是专用虚拟局域网(PVLAN)技术。
2.2.4漏洞检测
漏洞检测就是对重要计算机系统或网络系统进行检查,发现其中存在的薄弱环节和所具有的攻击性特征。通常采用两种策略,即被动式策略和主动式策略。被动式策略基于主机检测,对系统中不合适的设置、口令以及其他同安全规则相背的对象进行检查;主动式策略基于网络检测,通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而发现其中的漏洞。漏洞检测的结果实际上就是系统安全性的一个评估,它指出了哪些攻击是可能的,因此成为安全方案的一个重要组成部分。漏洞检测系统是防火墙的延伸,并能有效地结合其他网络安全产品的性能,保证计算机系统或网络系统的安全性和可靠性。
2.2.5入侵检测
入侵检测系统将网络上传输的数据实时捕获下来,检查是否有黑客入侵或可疑活动的发生,一旦发现有黑客入侵或可疑活动的发生,系统将做出实时报警响应。
2.2.6密码保护
加密措施是保护信息的最后防线,被公认为是保护信息传输唯一实用的方法。无论是对等还是不对等加密都是为了确保信息的真实和不被盗取应用,但随着计算机性能的飞速发展,破解部分公开算法的加密方法已变得越来越可能。因此,现在对加密算法的保密越来越重要,几个加密方法的协同应用会使信息保密性大大加强。
2.2.7安全策略
安全策略可以认为是一系列政策的集合,用来规范对组织资源的管理、保护以及分配,已达到最终安全的目的。安全策略的制定需要基于一些安全模型。
2.2.8网络管理员
网络管理员在防御网络攻击方面也是非常重要的,虽然在构建系统时一些防御措施已经通过各种测试,但上面无论哪一条防御措施都有其局限性,只有高素质的网络管理员和整个网络安全系统协同防御,才能起到最好的效果。
以上大概讲了几个网络安全的策略,网络安全基本要素是保密性、完整性和可用,但网络的安全威胁与网络的安全防护措施是交互出现的。不适当的网络安全防护,不仅可能不能减少网络的安全风险,浪费大量的资金,而且可能招致更大的安全威胁。一个好的安全网络应该是由主机系统、应用和服务、路由、网络、网络管理及管理制度等诸多因数决定的,但所有的防御措施对信息安全管理者提出了挑战,他们必须分析采用哪种产品能够适应长期的网络安全策略的要求,而且必须清楚何种策略能够保证网络具有足够的健壮性、互操作性并且能够容易地对其升级。
随着信息系统工程开发量越来越大,致使系统漏洞也成正比的增加,受到攻击的次数也在增多。相对滞后的补救次数和成本也在增加,黑客与反黑客的斗争已经成为一场没有结果的斗争。
3.结论
网络安全的管理与分析现已被提到前所未有的高度,现在IPv6已开始应用,它设计的时候充分研究了以前IPv4的各种问题,在安全性上得到了大大的提高,但并不是不存在安全问题了。在WindowsVista的开发过程中,安全被提到了一个前所未有的重视高度,但微软相关负责人还是表示,"即使再安全的操作系统,安全问题也会一直存在"。
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。因此只有完备的系统开发过程、严密的网络安全风险分析、严谨的系统测试、综合的防御技术实施、严格的保密政策、明晰的安全策略以及高素质的网络管理人才等各方面的综合应用才能完好、实时地保证信息的完整性和正确性,为网络提供强大的安全服务——这也是网络安全领域的迫切需要。
参考文献
[1]《网络综合布线系统与施工技术》黎连业著
随着网络技术的快速发展,其面临的安全性问题也越来越严峻,我平时应用比较多的传统防火墙在如今的网络中总会存在这样那样的漏洞,其主要表现在以下几个方面:第一,传统的防火墙无法像智能防火墙,根据网络和网络信息的状态自动调整规则。第二,传统的防火墙是很难制定规则,如包过滤防火墙,虽然效率较高,但难以制定规则。有一种应用防火墙它虽然可以制定规则,但其效率又很低。第三,传统的防火墙没有主动过滤和屏蔽功能,对没有记录信息的攻击和危险程序无法进行阻拦。第四,传统的防火墙对信息的过滤相对比较单一,而且无法利用这些信息。第五,传统的防火墙的拦截能力非常有限,只能对一些相对简单的情况进行拦截,不具备深度检测功能。
2、INTRANET条件下,智能型防火墙的工作原理
当内网互联主机与互联网主机连接时,需要使用相应的IP地址,反之当互联网主机与内网互联主机连接时,需要通过网关映射到内网主机。这将使互联网网络无法看到内部网的网络,而且内部网的网络将自己躲了起来。此外,DMZ中堡垒主机过滤管理程序可以顺利通过安全通道,并与内部网中的智能认证服务器进行互相通信,而且通信的信息都是秘密进行的。由于智能认证服务器能够进行秘密通信,因此它可以修改内外路由器表,也可以调整制定过滤规则。在智能防火墙中的智能认证服务程序和应用过滤管理程序可以互相协调,不仅可以在堡垒主机上运行,还可以在服务器上运行。
3、INTRANET条件下智能型防火墙的网络安全技术实现方式
3.1智能型防火墙堡垒主机及其实现方法
堡垒主机起着连接内部网和互联网的作用,它的作用非常重要,但是它容易受到攻击,因此我必须要对其做好安全性保护,首先我们对堡垒主机操作系统——Linux操作系统,做了非常缜密的安全化处理,其具体方法是:对于SMTP,FTP,HTTP等的基本网路服务进行保留,对他们的源代码进行重新改写,使它们中的过滤功能从中分离出来,建立一个新的模块,这个模块被称为:应用过滤管理器模块,让这个模块运行在堡垒主机上,统一调度管理所有的应用服务。应用过滤管理器的主要功能是对所有经过堡垒主机的信息进行拦截,然后从下至上对其经过协议的信息进行逐层分析,并对相对安全的数据进行存储,最后秘密地传达给智能认证服务器,让智能认证服务器对这些信息进行分析处理,分析完之后再秘密地传回给应用过滤管理器,然后应用过滤管理器根据分析结果对应用过滤功能进行重新配置,同时激发相应进行工作。
3.2智能型防火墙的智能认证服务器及实现方法
智能认证服务程序和网络数据库是智能认证服务器的核心,智能认证服务器是通过信息驱动来进行操作的,如果外部主机访问内部网络,则需要外部路由器的数据审核,通过审核的信息才能顺利达到DMZ网络,对于内部网的信息请求,不需要经过内部路由器审核,它可以直接进入DMZ网络,另外,还需要这些路由器是否制定过滤规则,如果制定了过滤规则,就不能进行信息传达,并且这些信息也将被丢弃掉,但是,如果过滤规则允许进行传输,那么这些信息还需要通过防火墙。如果数据包和路由器制定的规则不一致,那么这个数据包将会被用过滤管理器拦截下来,然后从底层协议到上层协议对其进行分析,如果分析结果是具有安全性的,那么这个数据包将会被传输给智能认证服务器。智能认证服务器上的数据接收器就会把这些信息存储到网络安全数据库中,网络安全数据库发生变化后,推理机就会自动进行工作,推理机就会使用安全专家知识库里的信息对刚刚进入网络安全数据库中的这些信息进行分析、比较和推断,看看是否能够找出相关对应的数据,从而得出过滤方案,使网络管理员能够直观的看到,方便网络管理员根据实际情况作出相应的处理。这时原文发生器就会转化其内部的代码或者通过修改路由器表和过滤规则来实现内外主机通信;或者由过滤管理器通过修改过滤规则,将其传输到DMZ上的堡垒主机,堡垒主机中的应用过滤管理器对其过滤功能进行重新配置,激发其他应用进行工作。因此,智能型防火墙更能全面严格地进行安全控制。
4、结束语
我们在引用他人的论点、数据等内容载录下来,在论文引用的地方标注出来,把它的来源作为参考文献列出来就可以了。关注学术参考网,查看更多优秀的论文参考文献,下面是小编整理的个关于校园网论文参考文献,欢迎大家阅读欣赏。
校园网论文参考文献:
[1]张胜利.局域网内网格计算平台构建[J].硕士学位论文,西北工业大学,2007.3.
[2]殷锋,李志蜀,杨宪泽等.基于XML的校园网格应用研究[J].计算机应用研究,2007.12.
[3]殷锋.网格关键技术及校园网格应用研究[M].西南交通大学出版社,2007.6.
[4]王海燕.基于.net的校园网格异构数据统一访问接口[J].计算机工程,2010.6.
[5]韩旭东,陈军,郭玉东,等.网格环境中基于Web服务的DAI中间件的设计与实现[J].计算机工程与设计,2007.5.
[6]郑荣,马世龙.网格环境下基于XML的异构数据集成系统[J].计算机工程,2008,34(22).
校园网论文参考文献:
[1]李春霞,齐菊红.校园网安全防御体系的相关技术及模型[J].自动化与仪器仪表,2014(1):122-124.
[2]智慧.计算机信息安全技术在校园网中的应用[J].信息安全与技术,2014(3):94-96.
[3]高杨.浅谈网络安全技术及其在校园网中的应用[J].科技与创新,2014(11):135.
[4]樊建永,薛滨瑞.网络安全审计系统在校园网络中的应用与研究[J].中国教育信息化,2011(7).
[5]李斌.学校网络安全审计系统的研究与探索[J].中国管理信息化,2016(4).
校园网论文参考文献:
[1]沈卓逸.校园网贷规范发展策略[J].金华职业技术学院学报,2016,(05):812.
[2]包艳龙.“校园网贷”发展情况调查与分析[J].征信,2016,(08):7375.
[3]谢留枝.如何解决大学生网贷出现的问题[J].经济研究导刊,2016,(19):7374.
[4]林丽群.网贷视域下当代大学生科学消费观培育探究[J].长江工程职业技术学院学报,2016,(03):4850.
[5]马俊.浅谈高校校园网的管理[J].长沙医学院学报,2008(7):93.
1.1需精确地评估防火墙的失效状况
任何软件都有一定的生命周期,防火墙也有一定的生命周期,我们要正确的评估防火墙的使用效能,一旦防火墙失效,对网络安全造成的后果无法想象。防火墙使用具有一定的级别,在被外界病毒等侵入时候具有一定的防御,我们在设置防火墙的功能时候要具有一定的科学性,当防火墙受到攻击时候,能自动启动防御功能,因此,我们在设置防火墙功能时候,要正确检测防火墙是否失效功能要开启,达到防火墙失效状态正常评估。
1.2正确选择、科学配置防火墙
防火墙功能的科学配置,是对网络安全防御的重要保障,防火墙技术是网络安全技术基于防火墙网络安全技术的探究文/罗鹏 周哲韫进入新世纪以后,计算机网络技术发展迅速,尤其Internet的发展应用,计算机网络安全越来越重要,尤其一些政府部门网络,科研等机构网络如被黑客或病毒侵入,后果是非常严重的,在许多网络安全技术应用中,防火墙技术室比较成熟的,本论文是从不同层面阐述防火墙网络安全技术的应用。摘要中关键技术之一,在配置防火墙时候,要正确选择,科学配置。防火墙技术是计算机网络技术人才需要专门的培训与学习,才能进行科学的配置,在配置防火时候具有一定的技巧,在不同环境,不同时期具有一定的应用,因此正确科学的配置防火墙没有通式,必须在根据环境状态下进行科学合理的配置,这样才能使防火墙技术成为网络安全技术中最后一道保障。
1.3有赖于动态维护
防火墙技术在网络中应用,不是把防火墙软件在计算机中安装以后,进行一些配置以后就完事,管理员要对防火墙实时进行监控,看防火墙是否出现一些异常状况,管理员还要与厂商经常保持密切联系,是否有更新,任何在完美事物都有两面性,要及时更新,弥补防火墙漏洞,防止计算机网络被更新,因此防火墙技术是一种动态实时更新技术。
1.4搞好规则集的检测审计工作
网络安全技术最大的危险是自己,网络管理员不能出现一点大意,在防火墙技术的应用过程中,要适时进行更新,弥补漏洞,还要定期进行一定的检测和审计工作,用来评估网络现在的安全性,以及在未来一段时间网络的安全性,做好正确的评审工作,是网络能长时间保持稳定的重要条件,实时检测,实时维护是网络安全的基本法则。
2防火墙网络安全技术的实现方案
2.1设置内部防火墙,编制可靠的安全方案
在网络安全防范的过程中,内部局域网一定要重视,当局域网中一台机器出现病毒状况,可能瞬间整个网络出现瘫痪状态,因此利用防火墙技术作为网络安全的检测,内部局域网防火墙要进行科学合理的设置,制定一个可行的安全方案,对整个局域网的网络进行一定的保障。内部防火墙进行一定的分段,每个主机要有标准,但有一个统一的标准,标准时同样的,这样对网络的检测等有一定的依据,增强了网络的安全性。
2.2合理设定外部防火墙,防范外网攻击
经外部防火墙的设定,把内网同外网相分开,可防范外网攻击行为。外部防火墙通过编制访问策略,仅已被授权的主机方能访问内网IP,使外网仅能访问内网中同业务相关的所需资源。外部防火墙会变换地址,使外网无法掌握内网结构,阻断了黑客攻击的目标。外部防火墙的精确设定范围要在内网和外网之间,防火墙对获取的数据包加以剖析,把其中合法请求传导到对应服务主机,拒绝非法访问。
3防火墙技术的未来发展趋势及前景
防火墙技术是网络安全技术发展的必然产物,为不安全的网络搭建一个安全的网络平台,网络安全是不可预测的,防火墙技术也在日新月异的进行发展,防火墙技术的未来发展是广泛的,能为网络安全作出一定的贡献,下面阐述一下防火墙技术的未来发展趋势,引领网络安全技术的发展。
3.1智能化
现在计算机的未来发展是网络化、智能化,网络安全问题的发展也比较快,对网络安全的软件要求也是越来越高,网络上的病毒具有不可预见性,对防御病毒的软件提出一个崭新的要求,必须具有一定的智能化,就是防火墙自身具有很强的防御功能,不是人为的进行控制,智能化是网络安全专家对防火墙技术的期盼,也是防火墙技术自身发展的需要,但防火墙技术实现智能化需要一定的时间,需要网络安全专家不停努力的结果。
3.2扩展性能更佳
计算机网络的快速发展,点到点客户的快速发展,现在3G网络已经向4G网络发展,对防火墙的扩展型提出更好的要求,软件技术的发展必须为未来的发展提出更好的要求,其扩展性具有一定发展,使防火墙技术能更好的为网络安全服务,提高网络安全服务的本领,减少病毒的入侵,提高网络安全。
原文
引言
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会各方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。
1.防火墙概述:
1.1什么是防火墙
防火墙是建立在两个网络边界上的实现安全策略和网络通信监控的系统或系统集,它强制执行对内部网络(如校园网)和外部网络(如Internet)的访问控制。
......
目录
引言:
1.防火墙概述
1.1什么是防火墙
1.2防火墙的四大功能
2.防火墙的分类
2.1从防火墙的软、硬件形式划分
2.2按照防火墙防御方式划分
2.3按防火墙结构划分
3.防火墙的选择
3.1总拥有成本
3.2防火墙本身是安全的
3.3管理与培训
3.4可扩充性
3.5防火墙的安全性
4.防火墙的发展前景
4.1在包过滤中引入鉴别授权机制
4.2复变包过滤技术
4.3虚拟专用防火墙(VPF)
4.4多级防火墙
结尾语
参考资料
参考文献:
(1)张炯明.安全电子商务使用技术.北京.清华大学出版社.2002.4
(2)吴应良.电子商务概论.广州.华南理工大学出版社.2003.8
(3)游梦良,李冬华.企业电子商务模式.广州.广东人民大学出版社.2001.10
(4)祁明.电子商务安全与保密[M].北京.高等教育出版社.2001.10
(5)王缜,叶林.电子商务中的安全技术.河北工业科技报.第4期.2002
论文摘要:随着当代信息技术的发展,互联网的共享性、开放性以及互联程度也在不断扩大。internet的广泛普及,商业数字货币、网络银行等一部分网络新业务的迅速兴起,使得计算机网络的安全问题越来越显得重要,通过归纳总结,提出网络信息中的一些安全防护策略。
1.引言
网络环境的复杂性、多变性以及信息系统的脆弱性,决定了网络安全威胁的客观存在。当前,随着计算机技术的飞速发展,利用因特网高科技手段进行经济商业犯罪的现象已经屡见不鲜了,因此,如何采用更加安全的数据保护及加密技术,成为当前计算机工作者的研究热点与重点。网络安全技术,尤其是网络信息的安全,关系到网民、企业甚至是国家的信息安全。因此,发展更加安全的网络安全技术,是关系到社会经济稳定繁荣发展的关键,成为当前计算机安全工作的重点。
2.网络信息安全的风险来源
影响计算机网络安全的因索很多,既有自然因素,也有人为因素,其中人为因素危害较大,归结起来丰要以下几个方面:
(1)病毒感染
从“蠕虫”病毒开始到cih、爱虫病毒,病毒一直是计算机系统安全最直接的威胁。病毒依靠网络迅速传播,它很容易地通过服务器以软件下载、邮件接收等方式进入网络,窃取网络信息,造成很人的损失。
(2)来自网络外部的攻击
这是指来自局域网外部的恶意攻击,例如:有选择地破坏网络信息的有效性和完整性;伪装为合法用户进入网络并占用大量资源;修改网络数据、窃取、破译机密信息、破坏软件执行;在中间站点拦截和读取绝密信息等。
(3)来自网络内部的攻击
在局域网内部,一些非法用户冒用合法用户的口令以合法身份登陆网站后。窃取机密信息,破坏信息内容,造成应用系统无法运行。
(4)系统的漏洞及“后门”
操作系统及网络软件不可能是百分之百的无缺陷、无漏洞的。编程人员有时会在软件中留有漏洞。一旦这个疏漏被不法分子所知,就会借这个薄弱环节对整个网络系统进行攻击,大部分的黑客入侵网络事件就是由系统的“漏洞” 和“后门”所造成的。
3.网络信息安全的防护策略
现在网络信息安全的防护措施必不可少。从技术上来说,计算机网络安全主要由防病毒、入侵检测等多个安全组件组成,就此对我们常用的几项防护技术分别进行分析。
3.1防火墙技术
防火墙(ifrewal1)是指设置在不同网络或网络安全域之间的系列部件的组合,它越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入internet网络为甚。不同网络或网络安拿域之间信息都会经过它的过滤,防火墙就会根据自身的安全政策控制(允许、拒绝、监测)出入网络的信息流,而且它本身也具有较强的抗攻击能力,不会被病毒控制。防火墙可以阻j网络中的黑客来访问你的机器,防止他们篡改、拷贝、毁坏你的重要信息。它为网络信息的安全提供了很好的服务,为我们更安全地使用网络提供了很好的保障。
“防火墙”技术是指假设被保护网络具有明确定义的边界和服务而采取的一种安全保障技术,它通过监测、限制和更改通过“防火墙”的数据流,一方面尽可能地对外部网络屏蔽被保护网络的信息、结构,实现对内部网络的保护,以防“人放火”;另一方面对内屏蔽外部某些危险站点,防止“引火烧身”。因而,比较适合于相对独立、与外部网络互联单一、明确并且网络服务种类相对集中的统一互联网络系统。防火墙可对网络存取和访问进行监控审计,如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用,有的防火墙还支持具有internet服务特性的企业内部网络技术体系vpn。vpn,可以将分部在世界各地的lan或专用电子网有机地联成一个整体。这样一方面省去了专用通信线路,也达到了信息共享的目的。
3.2数据加密技术
数据加密技术是网络中最荩木的安伞技术,主要是通过对网络传输的信息进行数据加密来保障其安全性。加密是对网络上传输数据的访问权加强限制的一种技术。原始数据(也称为明文,plaintext)被加密设备(硬件或软件)和密钥加密而产生的经过编码的数据称为密文(ciphertext)。解密是加密的反向处理,是将密文还原为原始明文,但解秘者必须利用相同类型的加密设备和密钥,才能对密文进行解密。
3.3入侵检测技术
入侵检测系统(intrusiondetectionsystem,ids)是从多种计算机系统及网络系统中收集信息,再通过这些信息分析,对计算机和网络资源的恶意使用行为进行识别的网络信息安全系统。入侵检测系统具有多方面的功能:威慑、检测、响应、损失情况评估、攻击预测和起诉支持等。入侵检测技术是为保证计算机信息系统安全而设计与配置的一种能够及时发现并报告系统中朱授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
3.4病毒防护
可采用如下的方法或措施:
(1)合理设置杀毒软什,如果安装的杀毒软什具备扫描电邮件的功能,尽量将这些功能伞部打开;
(2)定期检查敏感文件;
(3)采取必要的病毒检测和监控措施;
(4)对新购的硬盘、软盘、软件等资源,使用前应先用病毒测试软件检查已知病毒,硬盘可以使用低级格式化(dos中的format格式化可以去抻软盘中的病毒,但不能清除硬盘引导的病毒);
(5)慎重对待邮件附件,如果收到邮件中有可执行文件(如.exe、.com等)或者带有“宏”的文杀一遍,确认没有病毒后再打开;
(6)及时升级邮件程序和操作系统,以修补所有已知的安全漏洞。
3.5身份认证技术
身份认证(authentication)是系统核查用户身份证明的过程,其实质是查明用户是否具仃它所请求资源的存储使用权。身份识别(identificaiion)是指用户向系统出示自己的身份证明的过程。这两项上作通常被称为身份认证。
身份认证至少应包括验证协议和授权协议。网络中的各种应用和计算机系统都需要通过身份认证来确认合法性,然后确定它的个人数据和特定权限。对于身份认证系统来说,合法用户的身份是否易于被别人冒充足它最重要的技术指标。用户身份被冒充不仪可能损害用户自身的利益,也可能损害其他用户的利益或整个系统。因此,身份认证是授权控制的基础。只有有效的身份认证,才能保证访问控制、安全审计、入侵防范等安全机制的有效实施。
安装必要的安全软件,杀毒软件和防火墙这些都是必备的,而且还要安装并使用必要的防黑软件。我们一定要把这些安全防护措施及时应在电脑中,在上网时一定要打开它们。最后要及时给系统打补丁,建议人家下载自己的操作系统对应的补丁程序,这是我们网络安全的恭础。
可以从不同角度对网络安全作出不同的解释。一般意义上,网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”;控制安全则指身份认证、不可否认性、授权和访问控制。
当今社会,通信网络的普及和演进让人们改变了信息沟通的方式,通信网络作为信息传递的一种主要载体,在推进信息化的过程中与多种社会经济生活有着十分紧密的关联。这种关联一方面带来了巨大的社会价值和经济价值,另一方面也意味着巨大的潜在危险--一旦通信网络出现安全事故,就有可能使成千上万人之间的沟通出现障碍,带来社会价值和经济价值的无法预料的损失。
2
经国务院批准,在信息产业部的指导下,由IEEE主办,中国电子学会、清华大学、中国通信学会和北京邮电大学四家单位共同承办的“2008世界通信大会(ICC2008)中国论坛--网络和信息安全分论坛(暨第三届中国电信行业信息安全论坛)”于2008年5月在北京隆重召开。大会主要研讨国际通信技术和行业领域的热点问题,促进全球学术界和工业界的交流与合作,其中,关于通信网络的安全技术正是其中的一个讨论焦点。
3通信网络安全现状
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全问题。
计算机系统及网络固有的开放性、易损性等特点使其受攻击不可避免。
计算机病毒的层出不穷及其大范围的恶意传播,对当今日愈发展的社会网络通信安全产生威胁。
现在企业单位各部门信息传输的的物理媒介,大部分是依靠普通通信线路来完成的,虽然也有一定的防护措施和技术,但还是容易被窃取。
通信系统大量使用的是商用软件,由于商用软件的源代码,源程序完全或部分公开化,使得这些软件存在安全问题。
4通信网络安全分析
针对计算机系统及网络固有的开放性等特点,加强网络管理人员的安全观念和技术水平,将固有条件下存在的安全隐患降到最低。安全意识不强,操作技术不熟练,违反安全保密规定和操作规程,如果明密界限不清,密件明发,长期重复使用一种密钥,将导致密码被破译,如果下发口令及密码后没有及时收回,致使在口令和密码到期后仍能通过其进入网络系统,将造成系统管理的混乱和漏洞。为防止以上所列情况的发生,在网络管理和使用中,要大力加强管理人员的安全保密意识。
软硬件设施存在安全隐患。为了方便管理,部分软硬件系统在设计时留有远程终端的登录控制通道,同时在软件设计时不可避免的也存在着许多不完善的或是未发现的漏洞(bug),加上商用软件源程序完全或部分公开化,使得在使用通信网络的过程中,如果没有必要的安全等级鉴别和防护措施,攻击者可以利用上述软硬件的漏洞直接侵入网络系统,破坏或窃取通信信息。
传输信道上的安全隐患。如果传输信道没有相应的电磁屏蔽措施,那么在信息传输过程中将会向外产生电磁辐射,从而使得某些不法分子可以利用专门设备接收窃取机密信息。
另外,在通信网建设和管理上,目前还普遍存在着计划性差。审批不严格,标准不统一,建设质量低,维护管理差,网络效率不高,人为因素干扰等问题。因此,网络安全性应引起我们的高度重视。
5通信网络安全维护措施及技术
当前通信网络功能越来越强大,在日常生活中占据了越来越重要的地位,我们必须采用有效的措施,把网络风险降到最低限度。于是,保护通信网络中的硬件、软件及其数据不受偶然或恶意原因而遭到破坏、更改、泄露,保障系统连续可靠地运行,网络服务不中断,就成为通信网络安全的主要内容。
为了实现对非法入侵的监测、防伪、审查和追踪,从通信线路的建立到进行信息传输我们可以运用到以下防卫措施:“身份鉴别”可以通过用户口令和密码等鉴别方式达到网络系统权限分级,权限受限用户在连接过程中就会被终止或是部分访问地址被屏蔽,从而达到网络分级机制的效果;“网络授权”通过向终端发放访问许可证书防止非授权用户访问网络和网络资源;“数据保护”利用数据加密后的数据包发送与访问的指向性,即便被截获也会由于在不同协议层中加入了不同的加密机制,将密码变得几乎不可破解;“收发确认”用发送确认信息的方式表示对发送数据和收方接收数据的承认,以避免不承认发送过的数据和不承认接受过数据等而引起的争执;“保证数据的完整性”,一般是通过数据检查核对的方式达成的,数据检查核对方式通常有两种,一种是边发送接收边核对检查,一种是接收完后进行核对检查;“业务流分析保护”阻止垃圾信息大量出现造成的拥塞,同时也使得恶意的网络终端无法从网络业务流的分析中获得有关用户的信息。
为了实现实现上述的种种安全措施,必须有技术做保证,采用多种安全技术,构筑防御系统,主要有:
防火墙技术。在网络的对外接口采用防火墙技术,在网络层进行访问控制。通过鉴别,限制,更改跨越防火墙的数据流,来实现对网络的安全保护,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。
入侵检测技术。防火墙保护内部网络不受外部网络的攻击,但它对内部网络的一些非法活动的监控不够完善,IDS(入侵检测系统)是防火墙的合理补充,它积极主动地提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,提高了信息安全性。
网络加密技术。加密技术的作用就是防止公用或私有化信息在网络上被拦截和窃取,是网络安全的核心。采用网络加密技术,对公网中传输的IP包进行加密和封装实现数据传输的保密性、完整性,它可解决网络在公网上数据传输的安全性问题也可解决远程用户访问内网的安全问题。
身份认证技术。提供基于身份的认证,在各种认证机制中可选择使用。通过身份认证技术可以保障信息的机密性、完整性、不可否认性及可控性等功能特性。
虚拟专用网(VPN)技术。通过一个公用网(一般是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的内网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。
漏洞扫描技术。面对网络的复杂性和不断变化的情况,仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不够的,我们必须通过网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
结束语
目前解决网络安全问题的大部分技术是存在的,但是随着社会的发展,人们对网络功能的要求愈加苛刻,这就决定了通信网络安全维护是一个长远持久的课题。我们必须适应社会,不断提高技术水平,以保证网络安全维护的顺利进行。
参考文献
[1]张咏梅.计算机通信网络安全概述.中国科技信息,2006.
[2]杨华.网络安全技术的研究与应用.计算机与网络,2008
[3]冯苗苗.网络安全技术的探讨.科技信息,2008.
[4]姜滨,于湛.通信网络安全与防护.甘肃科技,2006.
[5]艾抗,李建华,唐华.网络安全技术及应用.济南职业学院学报,2005.
[6]罗绵辉,郭鑫.通信网络安全的分层及关键技术.信息技术,2007.
[7]姜春祥.通信网络安全技术是关键.网络安全技术与应用,2005.
论文摘要:随着计算机网络技术在社会生活中的各个领域的广泛应用,计算机网络技术提供巨大的信息含量和交互功能,提高了各个领域的工作效率,但是计算机网络安全问题也日益严重,该文通过对计算机网络安全的分析,探讨安全防范策略。
计算机技术的不断发展,推动了社会的信息化进程,但是日益加剧的计算机网络安全问题,导致计算机犯罪频发以及给个人,单位甚至国家带来极大损害。因此有必要加强计算机网络安全的防范,为使用者提供一个安全的网络空间。
1 计算机网络安全
计算机网络安全就是计算机网络信息的安全。计算机网络安全的内容包括管理与技术两个方面。计算机安全管理包括计算机硬件软件的维护和网络系统的安全性维护,确保硬软件的数据和信息不被破坏,保障计算机网络系统中的数据信息不被随意更改和泄露。而计算机网络安全技术主要是指对外部非法用户的攻击进行防范,确保计算机网络使其不被偶然和恶意攻击破坏,保证计算机网络安全有序的运行。计算机网络安全管理和网络安全技术相结合,构建计算机网络安全体系,保证计算机网络系统能够连续正常的运行。
2 计算机网络安全风险分析
1)计算机网络安全问题主要集中在两个方面,一是信息数据安全问题,包括信息数据被非法修改、窃取、删除和非法使用。二是计算机网络设备安全问题,包括设备不能正常运行、设备损坏、网络瘫痪。
2)计算机网络安全风险的特点主要表现在三方面。一是突发性和扩散性。计算机网络攻击经常是没有征兆的,而且其造成的影响会迅速扩散到互联网上的各个用户,给整个计算机系统造成破坏。二是潜伏性和隐蔽性。计算机网络攻击造成破坏前,都会潜伏在程序里,如果计算机用户没有及时发现,攻击就会在满足条件时发起。另外由于计算机用户疏于防范,也会为具有隐蔽性的计算机攻击提供可乘之机。三是危害性和破坏性。计算机网络遭受到攻击都会给计算机网络系统造成严重的破坏后果,造成计算机网络瘫痪,给计算机用户带来损失,严重的会对社会和国家安全构成威胁。
3)造成计算机网络安全风险的因素
(1)计算机网络系统本身的安全隐患
网络系统的安全隐患重要包括网络结构设备和网络系统自身缺陷。普遍应用的网络结构是集线型,星型等多种结构为一体的混合型结构。每个结构的节点处采用不同的网络设施,包括路由器、交换机、集线器等。每种设备受自身技术的制约都会在不同程度上给计算机网络系统带来安全隐患。另外网络系统本身具有缺陷,网络技术的优点是开放性和资源共享性。全球性复杂交错的互联网络,其优点也成了容易遭受个攻击的弱点,而且计算机网络协议自身也存在不安全因素,例如出现欺骗攻击,拒绝服务,数据截取和数据篡改等问题。
(2)计算机病毒安全风险
目前计算机病毒已经成为威胁计算机网络安全的关键因素。计算机病毒是人为编制的,进入计算机程序中的能够毁坏数据,破坏计算机功能的一组计算机指令或代码。根据其破坏程度把计算机病毒划分为优良性病毒与恶性病毒,计算机病毒显著的特点是具有传染性、寄生性、隐蔽性、触发性、破坏性等。而且病毒能够自我复制。在计算机网络系统中普遍的传播方式是通过光盘,U盘等存储设备进行的,但是随着计算机网络的规模的扩大,网络传播成为病毒传播的主要手段,计算机使用者上网浏览网页,收发Email,下载资料等都可能感染计算机病毒,而且病毒能够在局域网内传播。计算机病毒对计算机程序和系统造成严重的破坏,使网络无法正常运行。例如2007年1月的熊猫烧香病毒,就是通过下载档案传染的,在局域网迅速传播,极短的时间内就能传播给数千台计算机,致使“熊猫烧香”病毒的感染范围非常广,包含了金融、税务、能源等企业和政府机构,给国家造成的经济损失,可见病毒的危害性巨大。
4)计算机网络安全风险中的人为因素
(1)计算机网络安全中的人为因素主要包括计算机使用者的操纵失误和人为的恶意攻击。计算机使用者的计算机技术水平良莠不齐,有些人员缺少安全防范意识,在应用过程里出现操作失误和错误,也会给计算机安全带来风险。另外,人为的恶意攻击是计算机网络安全的最大威胁。而人为恶意攻击又分为主动攻击和被动攻击两种。主动攻击是指采用各种方式有选择的破坏信息完整性和有效性。而被动攻击是使攻击者在不影响网络正常工作的情况下,进行对信息的篡改,截取,窃取机密信息的活动。人为攻击会给造成重要数据的泄漏,给计算机网络带来极大的破坏。
(2)人为攻击里最为常见的是黑客攻击。黑客最早源自英文hacker,是指利用系统安全漏洞对网络进行攻击破坏或窃取资料的人。由于网络信息系统构建的脆弱性和不完备性,黑客通常会利用计算机网络系统自身存在的安全隐患和漏洞,进行密码探测并完成系统入侵的攻击。黑客攻击的手段主要包括:口令的攻击、网络监听、盗取、缓冲区溢出攻击、过载攻击、隐藏指令、程序嵌入木马攻击、取得网站控制权、网页篡改伪装欺骗攻击、电子邮件破坏攻击和种植病毒等。给计算机用户带来极大危害。
5)计算机系统安全漏洞
计算机系统安全是指计算机操作系统的安全。而目前应用的DOS、WINDOWS(2000、XP、VISTA.WIN7)、UNIX、LINUX等操作系统,都存在一定的安全隐患。而系统漏洞产生的原因是应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生错误。而系统漏洞本身不会对网络系统造成危害,但是由于系统漏洞存在,会被不法分子和黑客利用,例如在计算机中植入木马,其具有隐藏性的和自发性,是恶意行为的程序,虽不会直接对电脑产生危害,但是可以被黑客控制。黑客还能利用系统安全漏洞,使计算机感染病毒,破坏计算机及其系统造成数据信息丢失等。严重危害计算机网络系统的安全。
6)计算机网络完全技术有待提升
计算机网络提供大量的数据信息传输,而且又具有开放性,共享性和广泛性。所以数据信息的安全也面临着巨大的挑战。目前网络数据信息的传输处理过程中安全性与保密性技术还不是十分完善,这也为网络系统中进行的数据信息的传输和处理带来极大的隐患。
3 计算机网络安全防范对策
针对计算机网络安全存在的风险分析,要加强计算机网络的安全防范,除了采用的网络安全技术和防范措施,还要加强网络管理的措施,制定法律、法规增强计算机安全保护的执行力度,确保计算机网络安全工作的确实有效。关于计算机网络安全方法对策主要从以下几个方面探讨。
1)增强计算机网络安全管理
(1)提高安全意识,建立专业的管理队伍
对于计算机个人用户而言,要不断加强网络安全意识的培养,对应用程序进行合法的操作,依据职责权利选择不同的口令,杜绝其他的用户越权访问网络资源。要重视对计算机病毒的防范,及时更新杀毒软件和安装补丁。而对于计算机网络管理人员要求更高些,增强安全意识的同时加强职业道德和工作责任心的培养,还要不断提升管理人员的专业技能,增强对网络的监察和评估。
(2)落实网络安全管理的各项工作
网络安全维护除了应用先进的软件防御需要把网络管理的各项工作落到实处,加大网络评估和监控力度,对网络运行全过程进行监控,针对网络安全存在的风险提出修改意见,完善网络安全运行管理机制,营造优良的网络环境,做好设备维护工作,制定应急预案,确保计算机网络安全工作的科学性和时效性。
2)计算机网络安全技术防范措施
(1)防火墙技术
防火墙指的是一个由软件和硬件设备组合而成,在内部网和外部网之间,专用网与公共网之间的界面上构造的保护屏障。能够限制外部用户内部访问,以及管理内部用户访问外界网络。有效的控制信息输入输出是否符合安全规则,对包含不安全的信息数据进行过滤,防止内网数据和资源的外泄,强化计算机网络的安全策略,是保障计算机网络安全的基础技术。
(2)计算机病毒防范技术
由于计算机病毒的破坏性和危害性很大,所以防毒工作是计算机网络安全管理的重要部分,除了设置防火墙,还要在计算机上安装正版的杀毒防毒软件,并且及时的升级杀毒软件,更新病毒库,定期对磁盘进行安全扫描,同时计算机使用者还要主要上网安全,不打开不正常的网页链接和下载可疑文件。
(3)信息加密技术
当信息数据技术通过网络传输时,由于计算机网络的复杂性和自身缺陷,容易造成信息数据泄露,所以要应用信息加密技术,保障信息数据传输的安全。计算机网络数据加密主要有三个层次,链路加密、节点加密和端到端加密。而且在整个过程中都是以密文形式进行传输的,有效地保障了数据传输的安全。
(4)漏洞扫描和修复技术
由于计算机系统自身存在漏洞,为了不给黑客和不法分子带来可乘之机,就要定期的对计算机网络系统进行漏洞扫描,下载安全补丁,及时修复系统漏洞。
(5)系统备份和还原技术
数据的备份工作也是计算机网络安全的内容之一,常用的Ghost工具,可以进行数据的备份和还原,但系统出现故障时,利用ghost,减少信息数据的损失。保障计算机系统的恢复使用。
4 总结
21世纪是网络技术飞速发展的时代,随着全球数字化和信息化的进程不断加快,网络的资源共享和开放性所带来的安全隐患需要引起重视,为了增强信息的安全保障能力,有效的维护国家安全、社会稳定和公共利益,需要制定科学的计算机网络防范体系,降低计算机网络安全风险,提高计算机网络安全技术,为营造安全的网络环境和构建和谐社会提供技术支持和理论基础。
参考文献
[1] 金晓倩.基于计算机防火墙安全屏障的网络防范技术[J].素质教育论坛,2009(11).
[2] 赵红言,许柯,赵绪民.计算机网络安全及防范技术[J].陕西师范大学学报,2007(9).
[3] 王小芹.计算机网络安全的防范技术及策略[J].内蒙古科技与经济,2005(15).
[4] 何莉,许林英,姚鹏海.计算机网络概论[M].北京:高等教育出版社,2006(1).
论文摘要:随着信息技术的不断发展,网络信息的安全问题也受到了威胁。本文主要从网络信息安全的定义、影响因素、防御措施几个方面进行阐述,希望可以一定程度的提升我国网络信息的安全程度。
如今的信息发展速度是飞快的,我们的通信与网络之间的联系也越来越紧密。此种情况下一定程度的促进了网络的迅速发展,不可否认的是网络通信在日益腾飞的今天,它的安全问题也逐渐受到消费者的重视,对于维护网络通信的安全压力也越来越大。网络通信的天然属性就是开放,与此同时开放性的存在也导致了许多安全方面的漏洞,随着内外安全环境的日益恶化,诸如信息窃取或者网络攻击的活动也逐渐变得猖獗。同时网络的恶意行为趋势也渐渐变得明显,在一定程度上充分的引起了我们的注重。许多有组织的集团或者骇客攻击的存在都严重影响着我国网络的通信安全。
一、网络的通信安全
在对网络的通信安全进行定义时需要从多方面来考虑。其定义从国际化的角度看来可以是信息的可用性、可靠性、完整性以及保密性。一般情况下网络通信安全指的是依据网络的特性由相关的安全技术以及预防计算机的网络硬件系统遭迫害所采取的措施服务。
(一)影响网络通信安全的因素
首先就是软硬件的设施。许多的软硬件系统一开始是为了方便管理才事先设置了远程终端登录的控制通道,这样会极大程度的加大了病毒或者黑客攻击的漏洞。除此之外很多软件在一开始设计时虽然会将种种安全的因素考虑进去,但不可避免的时间一长就会出现缺陷。在出现问题后就需要立即补丁来进行漏洞弥补。与此同时一些商用的软件源程序会逐渐变得公开或者半公开化的形态,这就使得一些别有用心的人轻易找到其中漏洞进行攻击。在一定程度上使得网络的通信安全受到威胁。
其次就是人为的破坏。某些计算机的内部管理员工由于缺乏一定的安全意识以及安全技术,利用自身的合法身份进到网络中,从事一些破坏、恶意窃取的行为。最后就是TCP/IP的服务比较脆弱,由于因特网的基本协议就是TCP/IP 协议,这个协议的设计虽然比较有实效但是安全因素比较匮乏。这样就会增大代码的量,最终也会导致TCP/1P 的实际运行效率降低。因此TCP/IP其自身的设计就存在着许多隐患。许多以TCP/IP为基础的应用服务比如电子邮件、FTP等服务都会在不同的程度受到安全威胁。
(二)常用的几种通信安全技术
比较常用的有数据加密技术,所谓的加密就是将明文转化为密文的过程。还有数字签名的技术,这时一种对某些信息进行研究论证的较有效手段。除此之外访问控制也是一种有效地安全技术,这一种形式的机制就是利用实体的能力,类别确定权限。
二、通信网络的安全防护措施
正是由于通信网络的功能逐渐变得强大,我们的日常生活也越来越离不开它,因此我们必须采取一系列有效措施来将网络的风险降到最低。
(一)防火墙技术
通常情况下的网络对外接口所使用的防火墙技术可以使得数据、信息等在进行网络层访问时产生一定的控制。经过鉴别限制或者更改越过防火墙的各种数据流,可以实现网络安全的保护,这样可以极大限度的对网络中出现的黑客进行阻止,在一定层面上可以防止这些黑客的恶意更改、随意移动网络重要信息的行为。防火墙的存在可以防止某些Internet中不安全因素的蔓延,是一种较有效地安全机制,因此防火墙可以说是网络安全不可缺少的一部分。
(二)身份的认证技术
经过身份认证的技术可以一定范围内的保证信息的完整机密性。
(三)入侵的检测技术
一般的防火墙知识保护内部的网络不被外部攻击,对于内部的网络存在的非法活动监控程度还不够,入侵系统就是为了弥补这一点而存在的。它可以对内部、外部攻击积极地进行实时保护,网络受到危害前就可以将信息拦截,可以提高信息的安全性。
(四)漏洞的扫描技术
在面对网络不断复杂且不断变化的局面时,知识依靠相关网络的管理员进行安全漏洞以及风险评估很显然是不行的,只有依靠网络的安全扫描工具才可以在优化的系统配置下将安全漏洞以及安全隐患消除掉。在某些安全程度较低的状况下可以使用黑客工具进行网络的模拟攻击,这样可以一定层面的将网络漏洞暴露出来。
(五)虚拟的专用网技术
由一个因特网建立一个安全且是临时的链接,这是一条经过混乱公用网络的稳定安全通道。
三、总结
伴随着网络通信的全球发展,我们的生活工作与网络之间的关系也变得越来越亲密,在使用网络通信提供的高效方面服务的同时,我们也遭受着网络信息带来的一些危害。因此只有铜鼓相关部门制定完善的法律体系,拥有安全的技术才可以保证网络的安全,进一步促进网络通信的发展。
参考文献
[1]陈震.我国信息与通信网建设安全问题初探[J].科学之友,2010年24期
[2]姜滨,于湛.通信网络安全与防护[J].甘肃科技,2006年85期
关键词:计算机网络,防护技术,研究
随着高新技术的不断发展,计算机网络已经成为我们生活中所不可缺少的概念,然而随之而来的问题----网络安全也毫无保留地呈现在我们的面前,不论是在军事中还是在日常的生活中,网络的安全问题都是我们所不得不考虑的,只有有了对网络攻防技术的深入了解,采用有效的网络防护技术,才能保证网络的安全、畅通,保护网络信息在存储和传输的过程中的保密性、完整性、可用性、真实性和可控性,才能使我们面对网络而不致盲从,真正发挥出网络的作用。
一、计算机网络防护技术构成
(一)被动防护技术
其主要采用一系列技术措施(如信息加密、身份认证、访问控制、防火墙等)对系统自身进行加固和防护,不让非法用户进入网络内部,从而达到保护网络信息安全的目的。这些措施一般是在网络建设和使用的过程中进行规划设置,并逐步完善。因其只能保护网络的入口,无法动态实时地检测发生在网络内部的破坏和攻击的行为,所以存在很大的局限性。
( 1 )信息保密技术
密码技术是网络安全最有效的技术之一, 信息加密过程是由形形的加密算法来具体实施,它以很小的代价提供很大的安全保护。它通过信息的变换或编码,将敏感信息变成难以读懂的乱码型信息,以此来保护敏感信息的安全。在多数情况下,信息加密是保证信息机密性的惟一方法。信息加密的主要目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。
网络加密常用的方法有:链路加密、端点加密和节点加密3种。密码体制主要有分组密码体制和序列密码体制。论文参考网。
( 2 ) 信息认证技术
认证技术是网络安全的一个重要方面,属于网络安全的第一道防线。其认证机制是接收者接收信息的同时还要验证信息是否来自合法的发送者,以及该信息是否被篡改过,计算机系统是基于收到的识别信息识别用户。认证涉及多个步骤:收集认证信息、安全地传输认证信息、确定使用计算机的人(就是发送认证信息的人)。其主要目的是用来防止非授权用户或进程侵入计算机系统,保护系统和数据的安全
其主要技术手段有:用户名/密码方式;智能卡认证方式;动态口令;USB Key认证;生物识别技术。
( 3 ) 访问控制技术
访问控制是保证网络安全最重要的核心策略之一,是一种基于主机的防护技术。访问控制技术通过控制与检查进出关键服务器中的访问,保护服务器中的关键数据,其利用用户身份认证功能,资源访问权限控制功能和审计功能来识别与确认访问系统的用户,决定用户对系统资源的访问权限,并记录系统资源被访问的时间和访问者信息。其主要目的是保证网络资源不被非法使用和访问。
其主要方式有:自主访问控制、强行访问控制和信息流控制。
( 4 ) 防火墙技术
防火墙是一种网络之间的访问控制机制,它的主要目的是保护内部网络免受来自外部网络非授权访问,保护内部网络的安全。
其主要机制是在受保护的内部网和不被信任的外部网络之间设立一个安全屏障,通过监测、限制、更改、抑制通过防火墙的数据流,尽可能地对外部网络屏蔽内部网络的信息和结构,防止外部网络的未授权访问,实现内部网与外部网的可控性隔离,保护内部网络的安全。
防火墙的分类主要有:数据包过滤型防火墙、应用层网关型防火墙和状态检测型防火墙。
(二)主动防护技术
主动防护技术主要采取技术的手段如入侵取证、网络陷阱、入侵检测、自动恢复等,能及时地发现网络攻击行为并及时地采取应对措施,如跟踪和反攻击、设置网络陷阱、切断网络连接或恢复系统正常工作。实现实时动态地监视网络状态,并采取保护措施,以提供对内、外部攻击和误操作的实时保护。
( 1 )入侵取证技术
入侵取证技术是指利用计算机软硬件技术,按照符合法律规范的方式,对计算机网络入侵、破坏、欺诈、攻击等犯罪行为进行识别、保存、分析和提交数字证据的过程。
入侵取证的主要目的是对网络或系统中发生的攻击过程及攻击行为进行记录和分析,并确保记录信息的真实性与完整性(以满足电子证据的要求),据此找出入侵者或入侵的机器,并解释入侵的过程,从而确定责任人,并在必要时,采取法律手段维护自己的利益。
入侵取证技术主要包括:网络入侵取证技术(网络入侵证据的识别、获取、保存、安全传输及分析和提交技术等)、现场取证技术(内存快照、现场保存、数据快速拷贝与分析技术等)、磁盘恢复取证技术、数据还原取证技术(对网上传输的信息内容,尤其是那些加密数据的获取与还原技术)、电子邮件调查取证技术及源代码取证技术等。
( 2 ) 网络陷阱技术
网络陷阱技术是一种欺骗技术,网络安全防御者根据网络系统中存在的安全弱点,采取适当技术,伪造虚假或设置不重要的信息资源,使入侵者相信网络系统中上述信息资源具有较高价值,并具有可攻击、窃取的安全防范漏洞,然后将入侵者引向这些资源。同时,还可获得攻击者手法和动机等相关信息。这些信息日后可用来强化现有的安全措施,例如防火墙规则和IDS配置等。
其主要目的是造成敌方的信息误导、紊乱和恐慌,从而使指挥决策能力丧失和军事效能降低。论文参考网。灵活的使用网络陷阱技术可以拖延攻击者,同时能给防御者提供足够的信息来了解敌人,将攻击造成的损失降至最低。
网络陷阱技术主要包括:伪装技术(系统伪装、服务伪装等)、诱骗技术、引入技术、信息控制技术(防止攻击者通过陷阱实现跳转攻击)、数据捕获技术(用于获取并记录相关攻击信息)及数据统计和分析技术等。
( 3 ) 入侵检测技术
入侵检测的基本原理是从各种各样的系统和网络资源中采集信息(系统运行状态、网络流经的信息等),对这些信息进行分析和判断,及时发现入侵和异常的信号,为做出响应赢得宝贵时间,必要时还可直接对攻击行为做出响应,将攻击行为带来的破坏和影响降至最低。它是一种主动的入侵发现机制,能够弥补防火墙和其他安全产品的不足,为网络安全提供实时的监控及对入侵采取相应的防护手段,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。入侵检测系统已经被认为是维护网络安全的第二道闸门。
其主要目的是动态地检测网络系统中发生的攻击行为或异常行为,及时发现攻击或异常行为并进行阻断、记录、报警等响应,弥补被动防御的不足之处。
入侵检测技术主要包括:数据收集技术、攻击检测技术、响应技术。
( 4 ) 自动恢复技术
任何一个网络安全防护系统都无法确保万无一失,所以,在网络系统被入侵或破坏后,如何尽快恢复就显得非常关键了。这其中的一个关键技术就是自动恢复技术,他针对服务器上的关键文件和信息进行实时地一致性检查,一旦发现文件或信息的内容、属主、时间等被非法修改就及时报警,并在极短的时间内进行恢复。论文参考网。其性能的关键是资源占有量、正确性和实时性。
其主要目的是在计算机系统和数据受到攻击的时候,能够在极短的时间内恢复系统和数据,保障系统的正常运行和数据的安全。
自动恢复技术主要包括:备份技术、冗余技术、恢复技术、远程控制技术、文件扫描与一致性检查技术等。
二、计算机网络防护过程模型
针对日益严重的网络安全问题和愈来愈突出的安全需求,人们在研究防黑技术的同时,认识到网络安全防护不是一个静态过程,而是一个包含多个环节的动态过程,并相应地提出了反映网络安全防护支柱过程的P2DR模型,其过程模型如图1所示。
图1 P2DR模型体系结构图
其过程如下所述:
1.进行系统安全需求和安全风险分析,确定系统的安全目标,设计相应的安全策略。
2.应根据确定的安全策略,采用相应的网络安全技术如身份认证技术、访问控制、网络技术,选择符合安全标准和通过安全认证的安全技术和产品,构建系统的安全防线,把好系统的入口。
3.应建立一套网络案例实时检测系统,主动、及时地检测网络系统的安全漏洞、用户行为和网络状态;当网络出现漏洞、发现用户行为或网络状态异常时及时报警。
4.当出现报警时应及时分析原因,采取应急响应和处理,如断开网络连接,修复漏洞或被破坏的系统。
随着网络技术的不断发展,我们的生活中越来越离不开网络,然而网络安全问题也日趋严重,做好网络防护已经是我们所不得不做的事情,只有采取合理有效的网络防护手段才能保证我们网络的安全、保证信息的安全,使我们真正能够用好网络,使网络为我们的生活添光添彩。
[论文摘要]随着计算机技术的发展,在计算机上处理业务已由单机处理功能发展到面向内部局域网、全球互联网的世界范围内的信息共享和业务处理功能。在信息处理能力提高的同时,基于网络连接的安全问题也日益突出,探讨了网络安全的现状及问题由来以及几种主要网络安全技术。
随着计算机网络的发展,其开放性,共享性,互连程度扩大,网络的重要性和对社会的影响也越来越大。而网络安全问题显得越来越重要了。国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”,上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。
一、网络的开放性带来的安全问题
众所周知,Internet是开放的,而开放的信息系统必然存在众多潜在的安全隐患,黑客和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中,安全技术作为一个独特的领域越来越受到全球网络建设者的关注。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用。然而,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点:
(一)每一种安全机制都有一定的应用范围和应用环境
防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。
(二)安全工具的使用受到人为因素的影响
一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。例如,NT在进行合理的设置后可以达到C2级的安全性,但很少有人能够对NT本身的安全策略进行合理的设置。虽然在这方面,可以通过静态扫描工具来检测系统是否进行了合理的设置,但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较,针对具体的应用环境和专门的应用需求就很难判断设置的正确性。
(三)系统的后门是传统安全工具难于考虑到的地方
防火墙很难考虑到这类安全问题,多数情况下这类入侵行为可以堂而皇之经过防火墙而很难被察觉。比如说,众所周知的ASP源码问题,这个问题在IIS服务器4.0以前一直存在,它是IIS服务的设计者留下的一个后门,任何人都可以使用浏览器从网络上方便地调出ASP程序的源码,从而可以收集系统信息,进而对系统进行攻击。对于这类入侵行为,防火墙是无法发觉的,因为对于防火墙来说,该入侵行为的访问过程和正常的WEB访问是相似的,唯一区别是入侵访问在请求链接中多加了一个后缀。
(四)只要有程序,就可能存在BUG
甚至连安全工具本身也可能存在安全的漏洞。几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用,而且这种攻击通常不会产生日志,几乎无据可查。比如说现在很多程序都存在内存溢出的BUG,现有的安全工具对于利用这些BUG的攻击几乎无法防范。
(五)黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现
然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击。
二、网络安全的主要技术
安全是网络赖以生存的保障,只有安全得到保障,网络才能实现自身的价值。网络安全技术随着人们网络实践的发展而发展,其涉及的技术面非常广,主要的技术如认证、加密、防火墙及入侵检测是网络安全的重要防线。
(一)认证
对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。
(二)数据加密
加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它。主要存在两种主要的加密类型:私匙加密和公匙加密。
1.私匙加密。私匙加密又称对称密匙加密,因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性,它不提供认证,因为使用该密匙的任何人都可以创建、加密和平共处送一条有效的消息。这种加密方法的优点是速度很快,很容易在硬件和软件中实现。
2.公匙加密。公匙加密比私匙加密出现得晚,私匙加密使用同一个密匙加密和解密,而公匙加密使用两个密匙,一个用于加密信息,另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的,因而比私匙加密系统的速度慢得多,不过若将两者结合起来,就可以得到一个更复杂的系统。
(三)防火墙技术
防火墙是网络访问控制设备,用于拒绝除了明确允许通过之外的所有通信数据,它不同于只会确定网络信息传输方向的简单路由器,而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击,其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和服务器技术,它们的安全级别依次升高,但具体实践中既要考虑体系的性价比,又要考虑安全兼顾网络连接能力。此外,现今良好的防火墙还采用了VPN、检视和入侵检测技术。
防火墙的安全控制主要是基于IP地址的,难以为用户在防火墙内外提供一致的安全策略;而且防火墙只实现了粗粒度的访问控制,也不能与企业内部使用的其他安全机制(如访问控制)集成使用;另外,防火墙难于管理和配置,由多个系统(路由器、过滤器、服务器、网关、保垒主机)组成的防火墙,管理上难免有所疏忽。
(四)入侵检测系统
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
(五)虚拟专用网(VPN)技术
VPN是目前解决信息安全问题的一个最新、最成功的技术课题之一,所谓虚拟专用网(VPN)技术就是在公共网络上建立专用网络,使数据通过安全的“加密管道”在公共网络中传播。用以在公共通信网络上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术。目前VPN主要采用了如下四项技术来保障安全:隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密匙管理技术(KeyManagement)和使用者与设备身份认证技术(Authentication)。其中几种流行的隧道技术分别为PPTP、L2TP和Ipsec。VPN隧道机制应能技术不同层次的安全服务,这些安全服务包括不同强度的源鉴别、数据加密和数据完整性等。VPN也有几种分类方法,如按接入方式分成专线VPN和拨号VPN;按隧道协议可分为第二层和第三层的;按发起方式可分成客户发起的和服务器发起的。
(六)其他网络安全技术
1.智能卡技术,智能卡技术和加密技术相近,其实智能卡就是密匙的一种媒体,由授权用户持有并由该用户赋与它一个口令或密码字,该密码字与内部网络服务器上注册的密码一致。智能卡技术一般与身份验证联合使用。
2.安全脆弱性扫描技术,它为能针对网络分析系统当前的设置和防御手段,指出系统存在或潜在的安全漏洞,以改进系统对网络入侵的防御能力的一种安全技术。
3.网络数据存储、备份及容灾规划,它是当系统或设备不幸遇到灾难后就可以迅速地恢复数据,使整个系统在最短的时间内重新投入正常运行的一种安全技术方案。
4.IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
5.Web,Email,BBS的安全监测系统。在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。
关键词:网络安全;教学方法;实验室建设
中图分类号:G642 文献标识码:A 文章编号:1009-3044(2012)28-6739-03
1 概述
信息安全是一门新兴的学科,2004年成为一门正式的本科专业,目前也成为科研机构和大专院校的一个重要研究领域。网络与信息安全也是一门交叉学科,它涉及到数学、信息、通信和计算机等多门学科,综合性较强。作为一门课程,主要面向计算机科学与技术专业、网络工程专业、信息安全专业等高年级的本科生来开设,在学生掌握了一定的网络基础知识和具有一定的编程能力的基础之上,通过本课程的学习,深入了解在网络和信息安全领域的一些关键技术,例如加密技术,防火墙,VPN等。因此更加要求学生具有较强的实践动手能力。结合作者所在学校的实际情况,本文主要针对在独立学院中,考虑到学校的培养方案和学生的特点,如何让本课程能最大程度上达到原本的教学目的,分析教学和实践内容以及教学方法存在的问题,展开探讨,并尝试进行一些改革。
2 课程现状与存在的问题
2.1 人才需求和相关课程建设
从国内各个公司企业的实际需求来看,信息安全技术人员及其匮乏。专业的反病毒工程师在IT职业架构中还是空白。随着信息安全受到社会各界越来越多的关注,以及网络中日益增多的安全问题的发生,对具备一定安全技能的技术人员的需求越来越突出[1-2]。
为了适应实际需要,我校在2008年成功申报开设了网络工程专业,网络安全作为本专业中一个重要的方向。作为独立学院,立足于所在的广东省的经济发展方向,我们所培养的学生的主要目的是:在掌握了一定的专业基础知识后,要有很强的动手和实践能力,能很好的适应相关企业的实际需求。作为网络工程专业的学生,在完成了前两年的基础课和专业基础课以后,在第5和第6学期,我们开设了一系列网络应用和网络安全方面的课程。第5学期主要包括:计算机网络,网络操作系统,TCP/IP协议,网络安全。第6学期主要包括:局域网互联技术,网络管理,网络规划和设计,网络协议编程,网络攻防技术,无线网技术等一系列专业选修课程。这样本专业的学生,在掌握了计算机的基础知识以后通过这一年的学习,对网络应用及网络安全的知识结构又有了系统的了解。
2.2 教学目的及内容
本课程的主要教学内容有:1)了解网络与信息安全的相关知识、方法,了解计算机系统与网络安全的原理。了解网络与信息安全的相关策略。了解操作系统安全、因特网安全和数据库系统安全。2)掌握几种主要加密方法的算法和原理。掌握加密技术和数字签名、身份鉴别、认证之间的关系。3)重点掌握PKI、身份认证、访问控制、系统审计。重点掌握几种成熟的网络与信息安全软件的使用方法[3]。
理论课时为32学时,实验课时为16学时。理论课以课堂讲解为主,辅助多媒体课件,对主要问题进行课堂讨论,学生课后完成相关主题的课程报告。成绩考核:平时成绩占10%,实验成绩占20%,期末考试成绩占70%。
2.3 教学中存在的问题
1) 需要开展有针对性的教材建设
目前可选用的教材大部分选择了摘抄和罗列标准条款。而这些内容对那些刚刚接触网络安全的学生而言是相当晦涩的。我们认为,对于本课程中这些比较难于理解的内容,教科书应该把重点放在其导读和解析方面。
2) 学习内容过分偏向理论,与实践脱节
由于本课程是一门交叉学科,特别是密码学这部分,涉及到了数论的知识,从学生的角度来看,通常认为这部分内容很难理解,不易学习和掌握。在本课程教学中,过多偏重理论知识的学习和考察,讲授的一些安全技术,与实际联系较少,理论知识的学习过程显得枯燥无趣,目前还主要以单纯的教师讲授为主,学生只是单纯的在接收学习信息,缺少学生的参与和互动,从很大程度上削减了学生的学习积极性,逐渐脱离了应用人才的培养目标。
3) 实验环境相对复杂,实验室建设困难
网络技术发展迅速,设备更新换代快,即使建成高效完整的实验室,也会在较短时间内陈旧过时。目前,高校网络实验室的设备大多只用来进行局域网实验,而对于网络安全方面的常用技术,如网站的入侵检测、SQL注入、VPN 等,则难以开展实验教学。只依靠扩大经费投入、增加设备购置进行网络实验室建设,不能解决上述问题,也无法适应网络安全技术飞速发展的需要。利用模拟实验软件,与现有实验设备相结合,搭建虚实结合的网络实验平台,解决实验项目落后,提高实验教学效果的有效解决方法[4]。
3 教学与实践环节的改进
3.1 多样化的教学方式
本课程以课堂教学作为主要的组织形式并辅以实验教学,并应用多种教学方法。理论部分主要以课堂教学和讲授法为主,以多媒体教学手段为辅,为后面的应用和实践部分打下好的基础。为了在应用和实用技术部分有效地培养学生的各种技能和提高学生的动手能力,采用了多种教学方法,大大加强学生参与的机会。其中基础介绍性的部分采用讲授法以提高效率,具体技术和工具的应用部分应用实验教学并辅以学生自学、讨论法。
1) 强调理论与实践结合
本课程要求学生较系统地掌握网络安全领域中所必需的基础理论知识和基本技能,具有较强的实践动手能力,掌握网络安全相关协议,安全防御与攻击技术,安全检测的方法,构建安全网络技术[5]。
通过本课程的学习,在学生掌握和具备了扎实的计算机网络安全知识基础上,鼓励网络工程专业的同学积极参与国际上认可的思科网络安全认证考试,使学生较早了解实际工作要求和社会需求,检验自己专业知识学习的水平。由于课时数的限制,无法对本门课程中所涉及的各学科知识过多介绍,这会对学生深入理解及融合相关知识带来影响。在课程教学中采用理论与应用相结合的方法,激发学生学习兴趣,通过阅读相关文献,针对身边的应用学习技术,并上升到理论,进一步理解和掌握各种网络安全技术的原理与应用。结合实验课,在实验中培养动手能力,学会查阅文献、分析问题、解决问题的方法。掌握举一反三、学以致用的学习方法。
2) 采用启发式教学方法,鼓励学生主动思考
在课程内容安排上先提出网络中存在的威胁、分析产生威胁的原因,然后介绍安全体系结构,使学生能够对信息安全框架有一个整体的认识,在其他各种安全技术的讲解中,重点内容采用实例分析和动画演示,使学生能够深刻理解学习内容,激发学生的学习兴趣,取得了良好的教学效果。采用启发式教学方法。针对现实中网络上的安全问题,例如网上银行的信息保密,鼓励学生自己去了解问题,分析问题,查找资料去了解目前采用的解决方案,然后以小论文的形式自己总结。
3) 培养学生动手能力,鼓励创新
网络安全是计算机学科的一个新方向,很多技术在现有的教科书中都没有涉及,特别是一些国内外的新产品和研究成果。把这些内容安排到学生的课外作业中,不仅能拓宽学生的知识面,还能增强学生的研究兴趣。
3.2 实验室建设
建设网络安全实验室是为了构建一个完整的配套实验环境,以便开展实验课及实训课,实验环境的建设包括硬件和软件两个方面。
在硬件建设上,学校采购主流网络厂商的网络设备,包括路由器、交换机、防火墙等。因为不同的网络设备商的产品会有所区别,虽然同类型的设备结构基本一致,但不同厂商的产品操作方式是有区别的。为了让学生更好的熟悉不同类型和不同厂商的的产品,我们把网络设备分组,每组中至少包含一台路由器、一台三层交换机。不同组的设备型号和厂商会不同,每次实验不同组的同学可以进行对比和交换实验台进行实验。
在软件实施上,采用中软吉大的“网络与信息安全教学实验平台系统”。对于密码学,系统安全,网站漏洞检测,病毒防御,VPN等主要内容,此实验平台都提供了模拟的实验环境,能够满足对于本课程的实验操作需求,而且有较详细的实验原理解释,提供了大部分的实验工具,为实验准备节省了大量时间,可以让老师和学生把主要精力集中在对应的实验原理理解与操作过程中。此外,因为网络安全实验对实验环境要求较高, 实验操作也具有一定破坏性。我们还利用安装虚拟机的方式消除实验环境所带来的影响。利用虚拟机进行所需网络环境的组建,学生的实践动手能力得到了很大的提高,利用网络上开源的工具软件,也能快速熟悉常见的网络安全技术的实现与使用。这在实验教学上取得了不错的效果。
3.3 实验项目设置
为了更好的让学生将理论与实践融合,深入理解理论课所学知识,我们重新设计了实验内容(表1)。并且采用了分组实验,“任务驱动”的方式进行,极大提高了学生动手实践的主动性。
4 总结
网络安全是网络工程专业本科生较为重要的一门课程,它涉及到知识面广泛,又不断出现新技术,使得教学与实践中不断有问题出现。为使学生能够掌握关键的网络安全技术,具备规划安全网络方案的能力,本文在理论教学方法,实验室建设,实验内容的设置上进行了一些有益的尝试。在独立学院的教学过程中,我们注重培养学生动手实践能力,采用多元化的教学方式,通过理论联系实际,使学生尽快掌握所学知识,取得了良好的教学效果。
参考文献:
[1] 陈志奎,刘旸,丁宁.基于项目管理方式的信息安全实验教学方法探讨[J].计算机教育,2009(15):140-143.
[2] 王昭顺.“信息安全”本科专业人才培养的研究[J].计算机教育,2006(10):73-75.
[3] 王凤英,程震.网络与信息安全[M].北京:中国铁道出版社, 2006.
