时间:2022-02-02 07:28:41
关键词:计算机;网络安全;气象系统;操作系统
加强气象安全的建设对于我国当前的社会发展情况来说是十分有必要的,这一工作的进一步落实需要建立在计算机网络的基础之上。主要介绍了计算机气象网络的主要结构,并且对其功能加以进一步的完善,探讨了在应用过程中存在的一些不安全因素,这样才能有针对性的加以预防,希望在今后的发展建设中可以更好的带动我国气象事业的发展,为人们提供更加准确的气象信息。
1气象局计算机网络的结构和功能
首先,应用计算机气象网络结构在当前的气象行业发展过程中十分常见,这种结构主要可以根据安全等级的不同划分为三个不同的类型,一种是内部的局域网,一种是专网,还有一种是公共互联网,在内部局域网中,重点强调了安全系数的问题,对于相应的要求也比较高,只能是在内部的计算机中应用。在专网中,采用的是数字专线的方式,可以在授权的前提下实现网络信息资源的共享。最后是一种公共互联网,这是在日常生活中十分普遍的一种网络类型,可以实现用户的共同浏览。以某气象局为例,在当前的应用过程中,主要是建立了一个专门的监控管理系统,这一系统的建立可以实现自动化的发展,并且可以对外界起到自动防御的能力,在这之中主要包含以下几个方面。首先是硬件防火墙,这是实现通信的唯一通道,并且防火墙日志中会留下历史记录,对访问情况进行必要的统计。其次是网络入侵监测系统,这一系统主要采用定时检测的方式,对可疑的网络信息加以控制,同时还能起到杀毒的作用,将其与防毒软件相互配合在一起使用,效果会更为明显。此外,在气象局中还应用了计算机网络系统,在我国社会发展的过程中,很多气象应用系统不断出现,所以对计算机网络具有更多的依赖性。在这种情况下,就需要对其加以合理的应用。显而易见,计算机网络系统是具有十分明显的优势的。不但可以为气象预测提供更加准确的信息,同时还能接收卫星资料,这些工作单纯的应用人工的方式是根本不可能实现的。气象预报分析系统是在引进国外先进技术的基础上,以计算机系统为核心的一种网络系统。该系统具有强大的互交功能、较强的使用性和自动化水平,它的使用推动了气象预报朝着更加准确的方向发展,并利用“计算机自动接收信息—自动分析信息—自动处理信息”的模式提高了气象通信的处理效率。只有通过计算机网络技术才能真正的实现对气象数据的有效监测,从而为今后的发展做出积极的贡献。
2气象局计算机网络面临的不安全因素
2.1操作系统存在安全漏洞
在计算机操作的过程中,虽然为气象的相关工作带来了一定的便利,但是在实际应用的过程中却存在着不安全的隐患。首先是在进行操作的过程中,软件自身就存在一定的漏洞,所以在这种情况下就会造成病毒的入侵,相关工作人员如果专业性不强的话就会造成对整个网络安全造成十分严重的损害。所以,因为漏洞所引起的不安全现象是普遍存在的一个问题,例如没有对服务器端口进行正确的连接,或者是在网络设备设置的过程中不完整等,这些都是常见的一些不安全因素。
2.2气象网络管理工作者水平较低
由于各级气象局在网络管理制度上都存在一些问题,相关气象网络管理者自身的水平不高,所以在工作中就会出现很多的问题,从而造成安全隐患。因为气象局在工作性质上存在一定的特殊性,所以缺少专业的网络技术人员,甚至有些基层的气象站没有专职的网络管理人员,在这种情况下,很多工作人员在管理以及维修等方面都存在很多问题,这些问题也会对网络的安全运行造成极为不利的影响。所以需要引起相关部门的重视。
2.3管理制度不够完善
基层气象局部分管理员工作态度散漫,对气象网络安全不够重视。在某些时刻,为了自己便利,管理员就把密码告诉别人,并交由非工作人员操作,这样由外人随意操作就可能会丢失数据,在网络连接的情况下,还会暴露数据,为黑客入侵提供通道。
2.4网络病毒攻
击随着网络技术的发展,网络病毒屡见不鲜,曾有气象局遭遇“熊猫烧香”病毒的入侵。电脑中毒后,出现蓝屏、频繁启动和硬盘数据丢失或被破坏等现象,大多数病毒具有感染性、变种、传播速度快等特性,最终会导致网络瘫痪。计算机是病毒的直接受害者,因此,气象工作人员要养成良好的上网习惯,不要随意打开来历不明的文件,要定期升级杀毒软件,进行有效的防控。
3维护网络系统安全运行的措施
3.1建立必要的安全管理制度
有效的管理制度可以在一定程度上约束管理员的工作,提高气象相关工作人员的技术水平和职业道德。对重要的工作项目要提出明确的要求,实行员工工作责任制。在气象计算机网络安全系统这方面,要制订有关网络操作使用规程和人员出入机房重地的签到管理制度,严格做好开机杀毒工作,绿色上网,并养成及时备份的好习惯。
3.2计算机网络系统的冗余备份
计算机网络终端操控是人为的,尽管已经采取了各种防护手段,但是,难免会出现意外。在这种情况下,网络的冗余性就显得十分重要。冗余备份技术在网络维护、数据存储和通讯中被广泛应用,它在提高系统工作效率的同时,还对通讯线路、通讯设备、电力设备的冗余等进行管理,大大缩短了故障存在的时间,有效维护了系统的正常工作。
3.3计算机安全运行环境
除了从技术方面预防计算机网络安全外,环境因素也很重要。先要对机房进行安全防护,因为机房内的计算机中存储了大量的、重要的资料、数据,为了防止物理灾害的发生或是未授权人员进入,可以考虑使用物理访问控制来识别用户身份,验证其合格性。同时,在计算机中心设备设立安全防护层,防止非法暴力入侵,在机房周围安置抵御各种自然灾害或人为灾害的设施。
相信在今后的计算机技术水平不断提升的前提下,我国新型气象站的投入使用可以促进气象测报业务整体水平的进一步提升。不断完善新型气象站的相关工作是今后的重点任务,所以相关部门需要加强对其不足之处进行处理,只有更加的了解,才能在第一时间找出问题产生的原因,并且得到有效的解决,最终促进我国气象事业得到更好的发展。
作者:姜 虹 朱广帅 单位:牡丹江市气象局
参考文献
1专业能力
网络安全与管理专业方向的人才培养除了满足网络工程专业人才培养基本要求外,还需要注重培养两方面的专业能力:网络系统安全保障能力和网络管理维护能力[3]。网络系统安全保障能力是指熟悉信息安全基本理论和常见网络安全技术的工作原理,掌握主流网络安全产品的安装、配置和使用方法,能初步设计开发网络安全产品。网络管理维护能力是指熟悉常见网络设备与系统的工作原理,掌握网络管理的主流模型、系统功能、以及各类管理技术与方法,能初步管理和维护网络与信息系统。
2网络安全与管理方向专业课程体系
2.1知识结构
网络工程专业网络安全与管理专业方向人才要求具备的知识可分为三大类:公共基础知识、专业基础知识、专业知识。公共基础知识相对固定,具体知识包括政治理论知识、人文社科知识、自然科学知识。其中,政治理论知识包括马克思主义基本原理、中国近现代史纲要、思想和中国特色社会主义理论。人文社科知识包括大学英语、大学生心理健康、思想道德修养与法律基础、社会和职业素养、军事理论、体育。自然科学知识包括高等数学、线性代数、概率论与数理统计、大学物理、大学物理实验。专业基础知识根据网络工程专业人才的专业能力要求制定,具体包括电子技术基础、计算技术基础、计算机系统基础。其中,电子技术基础包括数字电路、模拟电路和电路基础,技术技术基础包括数据结构、离散数学、程序设计、算法分析与设计,计算机系统基础包括计算机组成原理、操作系统、数据库原理、软件工程。专业知识相对灵活,通常根据所在院校的专业特色和办学条件制定,具体包括专业核心知识、专业方向知识、专业实践环节[1]。下面重点讨论这部分内容。
2.2课程体系
依据上述知识结构,结合笔者所在学院的师资力量、办学条件和专业特色,制定了网络工程专业网络安全与管理方向的专业课程体系,如图1所示。由于公共基础课程基本固定不变,在此不再列出。图1所示的课程体系包括专业基础课程、专业核心课程、专业方向课程和专业实践环节。其中,专业核心课程包括计算机网络、网络编程技术、网络互联技术、网络工程设计。专业方向课程分为网络安全和网络管理两个分支。专业实践环节包括课程实验、课程设计、实习实训、毕业设计。我们认为专业核心课程的设置依据是,计算机网络是所有网络工程专业课程的核心基础,网络编程技术是网络工程专业各方向(包括网络安全与管理方向)的软件开发基础,网络互联技术是网络工程设计的基础,而网络工程设计是网络管理分支方向的基础。
2.3专业方向课程知识点
网络工程专业网络安全与管理方向可分为网络安全和网络管理两个分支。其中,网络安全分支课程包括信息安全基础[4]、网络安全技术[5]、网络攻防技术,每门课程的主要知识点如表1所示。网络管理分支课程包括网络管理[6]、网络性能测试与分析、网络故障诊断与排除,每门课程的主要知识点如表1所示。
3结束语
本文以笔者所在学院的网络工程专业建设为背景,分析了网络工程专业人才培养的基本要求。在此基础上,说明了网络安全与管理专业方向人才培养的专业能力要求,进而得出与之相适应的知识体系结构和课程体系内容。最后重点介绍了网络安全与管理专业方向主要课程的知识单元与相应的知识点。接下来的工作是将该课程体系落实到网络工程专业培养方案中,并在具体实施过程中发现问题,解决问题,分段调整,逐步完善。希望本文所作的研究与探讨能给兄弟院校的网络工程专业建设提供有价值的参考。
【关键词】发电企业;网络安全;管理;技术
近些年,随着电力体制改革的逐步深入和信息技术的飞速发展,发电企业对信息系统的依赖性逐渐提高,信息系统在企业生产经营和管理中扮演的角色越来越重要。发电企业通过信息化方式进行生产管理和办公得到了广泛认同,并因此大幅提高了生产效率和管理水平。
其中,网络安全工作的落实情况是企业信息化管理水平的集中体现。作为国家能源行业的一份子,发电企业的信息网络安全尤为重要,保障发电企业的网络安全也是保障国家和社会安全的重要一环。发电企业对于信息化的重视程度也体现在加强自身信息网络安全工作上,网络安全已经成为发电企业安全生产的一项重要内容,不论对于火力、水力、核电、风能、太阳能还是新能源发电企业,网络安全同等重要。
从电力行业信息化的发展现状来看,网络安全工作大致可以分为以下几个方面:网络安全管理、安全防护技术、应急保障和宣传教育等。网络安全管理包括:企业要有网络安全领导责任制、管理机构和信息化网络专责工作人员;网络安全责任制的具体落实以及责任追究机制;人员、信息化经费、信息资产、采购、培训、外包人员等日常安全管理;完整、完善的网络安全管理制度体系;安全监测、硬件冗余、安全审计、补丁管理。安全防护技术包括:防病毒、防篡改、防瘫痪、防攻击、防泄密等安全措施;服务器、防火墙、物理隔离设备等网络安全设备的安全策略和功能有效性;局域网、互联网、无线网络安全措施;和非计算机、移动介质及密码设备的安全防护措施。应急保障工作包括:信息安全事件应急预案、数据备份和恢复演练、应急技术支撑队伍、重大安全事件处置等。宣传教育工作包括:企业日常网络安全培训(包含:企业领导、信息化人员和业务人员)和网络安全管理员专业技术培训。
发电企业已经在网络安全方面取得了很大的成绩,软件正版化率、自主开发软件和国产信息系统的使用率都在逐年提高,国产网络安全防护设备也已经大范围应用在企业网络中。发电企业在取得一些成绩的同时,还需要充分认识到自身的不足之处,很多发电企业认为发电才是自己的主业,对企业信息化不够重视,人员和资金的投入都很少,导致企业网络安全得不到有效的保障,网络安全事件时有发生,这对于企业和国家都是一笔损失。
综上所述,发电企业要从以下几个方面入手,逐步改进并完善网络信息安全工作:企业应该有独立的信息化管理部门,设置专门负责网络安全管理员,明确岗位安全责任制,成立信息化领导小组、信息安全工作小组和招标小组等信息化工作组织机构;定期召开网络安全管理工作会议,商议决策企业信息化工作,强化网络安全;做好企业网络安全规划,按照年度、短期和长期规划来制定,信息安全工作的整体策略及总体规划(方案)需要完善,在今后工作中不断补充、调整与细化;将信息网络安全管理纳入到企业年度工作计划和绩效考核中;每年都要进行定期的信息安全培训和宣传,让员工充分了解和熟知网络安全对于企业的重要性;划分明确的分区界限,根据生产、管理等要素进行分区管理;完善企业网络信息安全管理制度,并落实执行;加强局域网、广域网和对外网站的管理;按照公安部和上级部门的有关要求,进行信息系统安全等级保护备案工作,进行安全风险测评;定期开展网络安全自查工作,并按照检查问题进行相关整改,需要定期开展网络安全自查及整改工作,有条件的企业可以请外面高水平的专家组来企业做安全测评指导,通过这些检查可以及时发现问题,进行有效的整改工作,保障企业信息网络安全,使得员工可以通过信息系统提高生产管理和办公效率;定期进行信息系统数据备份和恢复演练,进一步完善企业的网络与信息安全应急管理体系,保障应急资源的及时到位,进一步制定有针对性的、实用化的专项应急预案,同时预案的演练要实现常态化;设定账户锁定时间、账户锁定阀值、重置账户锁定计数器等安全策略;信息系统管理员需要定期检查补丁更新、防病毒软件和防恶意代码软件工作日志;口令执行策略需要包括:密码必须符合复杂性要求、密码长度最小值、密码短期使用期限、密码长期使用期限、强制密码历史和用可还原的加密来存储密码等安全策略;尽可能采用每个账户和每个人一一对应的关系,避免了账户的重复和共享账户的存在,对于多余的、过期的账户进行定期检查和及时删除;实现操作系统和数据库系统特权用户的权限分离,实现数据库账户独立管理;要有完整的机房进出记录和系统安全维护检查记录;完善备份系统建设;企业应建立长效机制以确保信息安全建设及运行维护经费及时到位,以实现经费投入的常态化;加大信息安全产品的投入力度并尽量采购国内厂家的安全产品,降低对国外产品的依赖程度;对在信息安全岗位及其他敏感岗位工作的人员一定要搞好审查工作,只有符合规定的人员才能上岗,一旦人员离岗必须签署保密承诺书且其权限要及时收回;按照国家有关要求,需要做到所有计算机类产品不安装Windows 8操作系统,并采取措施应对Windows XP停止安全服务;安全防护产品采取白名单、卸载与工作无关的应用程序、关闭不必要服务和端口等安全措施情况。
不论在哪个行业或领域,安全都是第一位的,而网络安全在涉及国家安全的发电企业更是尤为重要。发电企业要按照“谁主管谁负责,谁运营谁负责”的原则,明确任务,落实责任,加强网络安全工作,保障企业网络与信息系统的安全稳定运行。因为电力属于国家能源行业的重要一环,必须遵循“上网不、不上网”的原则。总之,发电企业面临的网络安全形势是复杂多变的,还有很长的路要走。
参考文献
[1]罗宁.P2P安全问题初探[A].第十七次全国计算机安全学术交流会暨电子政务安全研讨会论文集[C].2002.
[2]祝崇光,姚旺.检察系统信息网络安全的风险评估[A].全国计算机安全学术交流会论文集(第二十二卷)[C].2007.
[3] 朱修阳. 检察机关专网系统信息网络安全体系初探[A].全国计算机安全学术交流会论文集(第二十二卷)[C].2007.
[4]曾德贤,李睿.信息网络安全体系及防护[A].第十八次全国计算机安全学术交流会论文集[C].2003.
[5]刘威,刘鑫,杜振华.2010年我国恶意代码新特点的研究[A].第26次全国计算机安全学术交流会论文集[C].2011.
关键词:网络安全;实验室建设;信息安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)26-7570-02
Network Safety Laboratory Construction of Study
LIU Qing-jie1, GAO Huan-zhi2, WANG Xiao-ying1, BAI Ling1
(1.Institute of Disaster Prevention Science and Technology, Beijing 065201, China; 2.General Research Institute for Nonferrous Metals, Beijing 100088, China)
Abstract: The network safety is current Gao Xiao4 laboratory teaching importance one of the courses, is also Gao Xiao4 development qualified information safety talented person of importance category.This text combine Gao Xiao4's teaching circumstance, carried on investigate to the problem of the safety teaching of the construction information laboratory and put forward a contribute to Gao Xiao4 an information safety teaching laboratory construction of project.
Key words: Network safety; laboratory construction; information safety
随着计算机网络技术的普及,电子政务和电子商务得到越来越广泛的应用。这样,网络安全的问题随之产生,病毒感染与“黑客”攻击成为计算机网络安全的重要课题。加强计算机网络建设成为电子商务增值业务的关键。为适应这一形势,2000 年教育部批准在高校中建立信息安全本科专业,培养社会急需的信息安全专门人才。而目前大多数高校的信息安全课程偏重于理论教学,而相应的实验教学环节滞后。所以建设一个满足信息安全专业教学要求的综合实验室是高校信息安全专业建设和培养合格的信息安全人才具有重要的意义。
1 网络安全实验室建设的背景
尽管近几年来,国家和各企事业单位对信息安全的问题越来越重视,并且投入大量的人力和财力来加强网络的安全,但我国的计算机网络安全的形势还是相当严峻。2001年1-6月份,我国互联网上多次爆发大范围蠕虫传播事件,影响最大的微软视窗LSASSL漏洞的“震荡波”系列蠕虫,感染用户数量达到数以百万计。此外木马程序带来的危害愈加严重,据抽样监测统计,我国有大量计算机中被放置木马程序,所开放的后门一旦被人恶意利用后果将十分严重。
根据国家计算机网络应急技术处理协调中心(CNCERT /CC )的权威统计结果,2005 年,CNCERT / CC 及其各省分中心共接受来自国内外的网络安全事件报告总计达到12 万件,与2004 年相比,数量增加一倍以上。同时,与2003 年相比,2004年和2005 年安全事件报告的数量的增长更加明显。
企业商业业内部网络的安全问题是企业信息化首先需要解决的一个关键的问题。每个企业商业都需要专门的信息安全人员来制订合适的安全策略,并用各种安全技术来实施安全策略,保证内部网络的安全和各种网络服务的可靠提供。信息化建设需要大量的信息安全人员来保驾护航,为企业商业信息化建设培养网络安全基本理论和技术技能的专门人才迫在眉睫。
高校作为我国培养专门技术人才的最重要机构,原有的网络技术和网络安全方面的实验教学已经跟不上新设立的信息安全专业的建设和发展的要求。新的形势要求高等院校建专业教学要求的综合实验室,要在网络安全实验室的硬件上进行改造,还要实验教学上做出更大的调整,设计出一批更适合学生教学要求的实验项目。
2 网络安全实验室建设的要求
网络安全涉及到国际和国家信息安全标准、密码学理论、各种信息安全基本理论和技术等等,涵盖的范围非常广泛。不同层次的学生和不同专业方向的学生,对其掌握信息安全理论与技术的要求不同。网络方向的本科生应该掌握较为完整的网络安全的理论和技术,具备基本的网络安全管理的实际技能。网络安全实验室也应该能够满足研究生在网络安全方向的实验教学的需求。
网络信息技术日新月异,相关领域的理论和技术发展很快。实验室提供的信息安全实验平台应该能够及时升级、更新,以适应技术的发展。在建设信息安全实验室时,要遵循良好的可扩充性原则。实验室的设备能够方便的通过软硬件升级的方式,保证实验室跟上信息安全技术发展的趋势。
网络安全技术是基于网络通讯协议构建的。目前基于IFv4 的仲网络正在向下一代的网络层协议工Pv6 转变和过渡。除了提供几乎无穷的工Pv6 地址之外,工Pv6 的安全性也得到了极大的改善。因此在设备的采购和实验室建设的过程中,应该充分考虑到对未来工Pv6 协议的兼容性。信息安全实验室除了提供本科生信息安全相关课程教育的实验环境以外,还应该结合学生将来就业的需求,在设备的采购过程中既考虑到技术上的先进性,又考虑到设备的实用性。
3 建立网络安全实验实验的探讨
根据网络安全实验室的设计原则,实验室分成十个小组,每个小组可以容纳4 ―6 人做实验。每个实验小组组成一个子网,各实验小组子网间通过一台三层交换机分割。实验室还有一个由各种基本的网络服务器组成的专门为各子网提供服务的服务器子网,该子网也通过三层交换机与其他实验小组子网相连。各实验小组可以获得服务器子网的服务,也可以模拟访问、攻击服务器子网。
实验小组子网主要由一台高性能PC 机和4 ―6 台学生用PC 机组成。高性能PC 机的Windows 操作系统上安装由北京艾克斯特工业自动化技术有限公司开发的的商用防火墙软件“清网”防火墙软件。该防火墙软件具有强大的数据包过滤、VPN ( Virtual Private Network )、NAT ( Network Address Trallsitioll )入侵检测、安全审计等功能。高性能PC 机的Linux 操作系统上安装各种基于Linux 的网络安全工具。源码公开的Limix 操作系统具有很强的网络互联功能,同时Limix 操作系统还提供许多使用性很强的网络安全工具,如lptables FreeS / WAN 虚拟专用网(vPN )软件、ClamAN 病毒扫描引擎等。基于这些网络安全工具的实验项目和安全工具源代码的分析对学生掌握网络安全的基本理论和基本技能具有较大的促进作用。
首先基本实验能够满足计算机本科生网络安全实验教学的要求。通过基本实验,学生能够掌握保障网络安全的一些基本技术的使用方法,其中最主要的是防火墙数据包过滤功能和NAT 功能的配置。具体掌握L inux 操作系统下防火墙和NAT 功能的配置,W indows 操作系统下“清网”防火墙数据包过滤和NAT 功能的配置。
防火墙基本实验:每个小组可以通过配置自己网络中安装的“清网”防火墙和Limix 防火墙来访问、攻击服务器网络中的网络应用服务器。通过配置防火墙过滤规则和攻击用PC 机上的各种攻击工具,理解防火墙在网络中的地位、作用和工作机理、熟悉防火墙的各种配置手段。网络地址转换(NAT )基本实验:每个小组可以通过配置自己网络中安装了“清网”模块和Linux NAT 模块的PC 机,理解NAT 的工作机理、熟悉NAT 的各种配置手段。
其次在掌握以上基本实验的基础上,对网络方向的本科生还要求其掌握高级的信息安全技术及其相应的实验。这些技术包括v 洲技术及其配置、数字证书发放的实验、通过数字证书进行身份认证的实验、入侵检测实验、安全审计实验、病毒防治实验、网络扫描实验等等。
数字证书发实验:通过服务器网络中的以证书服务器,为各个实验小组中的成员在线或离线发放数字证书。让学生掌握公钥密码体制中公钥和私钥生成、公钥的安全传送、私钥的存放、数字证书的申请和存放等技术,加深对基于FKI 的数字证书技术整体框架的理解。基于数字证书的身份认证实验:各小组的成员以发放的数字证书为凭证,访问服务器网络中的网络服务。服务器在提供网络服务之前,要先通过小组成员的数字证书进行身份认证,只有合法的用户才能获得相关的服务。入侵检测实验:利用各小组网络中作为防火墙的PC 机上安装的“清网”防火墙软件的入侵检测模块和Limix 操作系统下的Snort 的入侵检测工具进行入侵检测方面的实验。通过实验,加深对入侵检测技术的理解和实际入侵检测软件的使用。安全审计实验:利用各小组网络中作为防火墙的PC 机上安装的“清网”防火墙软件的安全审计模块进行安全审计方面的实验。通过实验,加深对安全审计技术的理解和具体安全审计软件的使用。虚拟专网(VPN )实验:两个小组利用图3 所示的实验环境,通过配置各小组网络中作为防火墙的PC 机上安装的“清网”防火墙软件的V洲模块或Linux 下的FreeS / WAN VPN 模块,进行两个网络间通过v 洲技术进行安全连接的实验。通过实验,加深对基于IPsec 协议的V洲技术的理解和具体软件的使用。
再次实验室也能给高年级学生及研究生进行网络安全方面的创新实验提供相应的环境,如进行Linux 网络源代码分析、Linux 防火墙设计与实现、敏感信息过滤系统设计、IPSeC 协议的设计与实现、病毒扫描引擎设计与实现、工Pv6 环境下的网络安全问题的研究等。因为实验室所有的PC 机上都安装Linux 操作系统,Linux 操作系统平台上有很多基于开放源码的与信息安全相关的软件。学生可以改进这些软件,根据研究结果增加相应的功能模块,这些改进的软件可以在本实验室平台的PC 机上安装,验证软件功能改进的效果等。从而为学生的创新实验提供很好的平台。
随着计算机网络的发展,网络应用中面临着截获、中断、篡改和伪造等威胁,漏洞攻击、黑客大战、拒绝服务、网络钓鱼、间谍软件等都让网络安全威胁变得无处不在。安全威胁的日益严重决定着用户的需求,高等学校培养网络安全方面的专业技术人才已迫在眉捷。网络安全是一门实践性很强的学科,建设一个满足信息安全专业教学要求的实验室是培养合格的信息安全人才的关键之一。本文论述了网络安全实验室建设的必要性,提出了建设过程中应遵循的基本原则,讨论了建设网络安全实验室的具体方案,并给出了网络安全实验项目的参考方案,这些对高校网络安全教学实验室的建设具有较大的参考价值。
参考文献:
[1] 魏立伟,姚跃华,弼成.信息类专业实验室建设的思路与实践[J].中国科技信息,2005(1).
根据县委网信办通知要求,我局高度重视,积极开展网络安全自查及相关培训,将隐患排查、抽查评估、预案完善、演练开展、问题整改和保障支撑落实到位。现将我局网络安全工作总结如下:
一、完善制度建设
(一)完善网络安全管理制度。在我局制定的《保密及计算机信息安全检查工作实施方案》、《网络安全应急预案》基础上,根据建党100周年形势要求,进一步强化对网络安全的预案处理,完善制度内容,落实制度执行。对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在设备维护方面,对出现问题的设备及时进行维护和更换,对外来维护人员,要求有相关人员陪同,并对其身份进行核实,规范设备的维护和管理。
(二)落实定期学习培训制度。一是不定期开展信息网络系统安全管理理论学习培训,围绕习近平总书记关于网络安全的重要指示批示精神和党中央关于网络安全的决策部署,安排学习《网络安全法》2次,党组专题研究“数据保密议题”网络安全工作1次,“网络基础设施安全议题”1次,“杜绝干部职工传播谣言议题”1次,“抵挡恶意程序、垃圾邮件传播议题”1次,由上至下,强化了职工网络安全意识与理论水平。二是宣传强化。加强日常宣传教育及监督检查,重点加大对涉密计算机的管理。对计算机外接设备、移动设备的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的移动介质到上网的计算机上加工、贮存、传递文件,形成了良好的安全保密环境。严格区分内网和外网,到目前为止,未发生一起计算机失密、泄密事故。其他非涉密计算机及网络使用,也严格按照有关计算机网络与信息安全管理规定,加强管理,确保我局网络信息安全。
二、开展排查演练
(一)网络设备自检与隐患排查。对我局现有网络安全状况进行自检与隐患排查。现有计算机终端xx台,其中使用国外品牌CPU的桌面终端xx台,使用Windows操作系统的桌面终端xx台,使用Windows7操作系统的桌面终端xx台。我局未使用云计算服务平台。通过设备升级等手段提升网络设备的安全性,经排查,目前交换机等网络硬件设备运转正常,各种计算机及辅助设备、软件运转正常。
(二)应急情况专题演练与总结。根据我县建党100周年网络安全保障工作要求,开展网络安全专题演练。各股室指定专人参加专题演练,通过理论培训的方式,明确应急事件的指挥机制、相应流程、临机处置权限等内容。
三、保障支撑到位
切实落实网络安全责任制,局党组书记、局长亲自抓网络安全建设工作。成立保密及信息安全工作领导小组,局党组书记、局长任组长,分管副局长任执行副组长,各股室主要负责同志为成员。抽调专业技术人员负责对我局网络安全的管理与检查。
关键词:计算机网技术;消防信息化建设;网络安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)27-6599-02
当前,随着计算机网络不断普及,其几乎被应用于各行各业当中,消防信息化工作同样也离不开计算机网络技术的支持。然而,由于计算机网络经常会遭受病毒、黑客等恶意攻击,致使网络安全受到影响,为了使消防信息化工作能够顺利开展,必须解决网络安全问题。本文就计算机网络技术在消防信息化工作中的应用及存在问题和对策展开探讨,仅供参考。
1 计算机网络技术概述
1.1 计算机网络的功能及分类
计算机网络是通过通信设备及线路将处在不同地理位置的、具有独立功能的计算机连接起来,并以完善的网络软件为基础,实现网络资源共享的一种技术,该技术是计算机与通信技术相结合的产物。计算机网络经历了由简到繁、由低向高的发展过程,其主要功能如下:1)资源共享。其中包括数据库共享及应用程序共享等;2)数据通信。主要指的是计算机与计算机之间、用户与用户之间的相互通信;3)协同工作。
计算机网络的种类很多,根据使用用范围可将其分为专用网和公用网;按覆盖形式可分为局域网、广域网、城域网及互联网;按拓扑结构可分为集中式、分布式和分散式。
1.2 计算机网络的特点
计算机网络具有以下特点:1)节省经费。通常类型不同的计算机在性能及价格往往相差较大,而网络设计者组建了一种为用户服务的服务器模型,它可以充分利用计算机的廉价性,共享服务器中的数据信息和软件等资源,使整个系统的成本大幅度降低;2)可扩充性。当工作负荷过大时,只需相应地增加处理器的数量,即可改善网络的性能。
2 消防信息化建设的基本内容
2.1 消防信息化的内涵
消防信息化主要是通过对计算机网络技术、通信技术、呼叫求助、卫星技术等现代化手段的综合利用,并以互联网作为主要载体,进行消防信息的采集、分析、优化处理及存储,从而实现消防基础设施和信息资源高效益、高程度、高效率的共用与共享。
2.2 消防信息化的作用
首先,消防信息化不仅可以有效提高消防部门在日常工作中的自动化水平,并且还能够使以往的手工劳动强度得以简化,从而将消防救援工作提升至一个新的高度,实现了及时、快速辩解,增强了防火、灭火效率;其次,消防信息化实现了消防工作的全透明化,使消防部队全体官兵的整体素质得以提高,改善了消防工作者的工作作风和服务心态,拉近了基层与群众之间关系,使消防部队在群众中树立了良好的形象;再次,消防信息化在实现资源和信息共享的同时,加快了信息传递的速度、扩大了信息获取的范围,使信息的准确性、利用度、一致性均有所提高,进一步规范了消防业务工作。
2.3 消防信息化建设的主要内容
1)通信网络基础设施。当前,我国的消防通信网络按照逻辑关系主要分为以下三级:①一级网。具体覆盖的范围是公安部消防局、各省、市、区消防总队及相关的消防科研机构和各大消防院校;②二级网。主要覆盖的范围是地、市、州的消防支队;③三级网。覆盖的范围是各基层消防大队和中队。
2)安全保障体系。该体系主要是实现消防机构高效运行、快速反应以及消防信息共享的有效保障。安全保障体系应以确保消防信息网络的安全、可靠运行为目的,并以此作为基础给应用系统提供可扩展的空间。安全保障体系在建设时应符合以下要求:①应以保证网络的安全、可靠、稳定运行为前提,并能有效防止外来的恶意攻击和网络内部的人为破坏;②应采取必要的措施确保消防信息的机密性和完整性,如加密措施、访问限制等;③能够提供一定的风险保障,如容错、容灾等;④在确保网络安全的基础上,尽可能地位网络应用提供方便;⑤建立并完善网络安全管理制度。
3 计算机网络及消防信息网络中存在的安全问题
3.1 计算机网络中存在的安全问题
1)计算机网络系统自身的问题。目前,许多常用的操作系统都不同程度的存在安全漏洞,而黑客通常都是利用这些系统漏洞侵入计算机网络,从而达到破坏系统的目的。计算机网络系统自身的问题可大致归纳为以下几个方面:其一,由于系统在设计时存在不合理、不规范的情况或是缺乏安全性方面的考虑,从而影响了系统的稳定性和可扩充性;其二,硬件配置不协调。由于在设计和选型时欠缺详细、周密的考虑,致使网络功能在实际发挥中受到不同程度的阻碍,从而影响了网络质量;其三,防火墙的局限性。虽然防火墙能够在一定程度阻止来自外部的恶意攻击,但是却无法保证网络的绝对安全,一旦防火墙被人为扩大了访问权限,此时就会给黑客以可乘之机。
2)计算机病毒。是当前威胁网络信息安全最主要的因素之一。病毒是由编制者在计算机中插入的恶意数据程序,其主要功能是破坏计算机的硬件和软件功能,使计算机无法正常工作。病毒具有以下特性:破坏性、寄生性、传染性、触发性及隐蔽性等,为了确保计算机网络的安全性,必须重视对病毒的防范。
3)黑客。主要是利用计算机中的一些安全漏洞,采取不正当的手段非法入侵他人的计算机系统,其危害性比计算机病毒有过之而无不及。通常黑客攻击手段的更新速度较之安全工具的更新速度要快很多,这样就造成安全工具无法及时对黑客的攻击进行预防,从而使计算机网络时常受到黑客的入侵。
3.2 消防信息网络中存在的安全问题
计算机网络中存在的安全问题,属于较为普遍的现象,下面重点分析一下消防信息网络中的安全问题。
1)缺乏行之有效地信息安全监控手段及网络安全设备。大部分消防计算机网络在兴建之初,由于欠缺网络安全方面的考虑或是资金有限,致使网络在建成后,缺少网络安全管理设备和必要地监控手段,主要体现在以下几个方面:①缺乏对网内主机的全面监控。如光驱、软驱、并口和串口等外部设备的监控,至于主机方面则缺乏对运行进程的控制、安装与卸载软件等行为的监控等,一旦其中任何一个方面出现失控,都会给消防网络的安全带来较为严重的威胁;②对移动存储设备缺乏有效管理。由于消防信息网与因特网之间采用的是物理隔离,而大部分消防官兵经常使用移动硬盘或U盘从网上下载、上传数据,这一过程不仅有可能造成移动设备中信息通过因特网外泄,而且还会使因特网中的木马及病毒很容易借助这类设备侵入至消防信息网络,并不断传播,严重时会导致整个网络瘫痪;③缺乏控制违规外联的手段。由于消防信息网络内部的主机较多,分布情况也不集中,从而使每台主机都有可能成为外联的接入点,同时整个网络也因该点打开了接口,各种计算机病毒、木马程序则会借此进入到消防信息网络当中,轻则会导致消防机密信息外泄,重则会使消防网络瘫痪,严重影响了消防部门的正常工作。
2)网络安全管理制度落实不到位。虽然大部分消防单位都制定了网络安全管理制度,但是却因为缺少专门的组织机构及人员的监督管理,致使该制度形同虚设,难以起到监督、防范网络安全的作用。另外,各别消防单位在网络运行中,由于缺乏较为有效的应对保护制度以及安全检查制度,在网络遇到时安全威胁时,就采取消极的方法解决,如禁止使用、关闭网络等。
3)Web服务被非法利用。现在大部分消防单位基本上都在因特网上建立了网站,并以此来提供各种重要的信息资源,如消防法规、消防技术标准、产品质量信息和危险品数据等等,有的消防部门还针对辖区内一些重点单位在网上开辟了受理业务服务的项目,这样虽然使工作效率大幅度提高,但却存在一定的安全隐患,具体体现在以下几个方面:①Web页面欺诈。攻击者一般都是通过攻击站点的外部,使进出该页面的所有流量都要经过他,在这一过程,攻击者以人的身份在通信双方之间传递信息,并将所有信息记录下来,然后从中挑选有价值的信息,对用户造成威胁;②CGI欺骗。大部分Web页面基本上都允许用户输入信息,借此进行交互,而这一过程一般是通过CGI来完成的。如果CGI存在漏洞或是配置不当,则会被攻击者有机可乘,利用并执行一些系统命令,如创建具有管理权限的用户,并通过管理权限开启系统服务、信息共享、修改主页内容或是上传木马程序等,从而给站点的安全性、真实性造成威胁。
4 消防信息化工作中解决网络安全问题的主要对策
4.1 技术方面的对策
1)防火墙技术。是一种隔离控制技术,好比内部网与外部网之间的“门户”,是保护计算机网络安全最有效的技术措施之一。其主要是通过在网络之间设置屏障,阻止对信息资源的非法入侵,从而确保内部与外部之间安全畅通的信息交互。防火墙采用网络地址转化、信息过滤、邮件过滤以及网关等技术,使外部网无法获悉内部网的具体情况,并对用户使用网络有详细的记录和严格控制。
2)杀毒软件。主要作用是杀毒和防止病毒入侵。但有一点需特别注意,杀毒软件必须定期进行升级,使之达到最新的版本,因为计算机病毒始终都在不断更新,只有杀毒软件也随之不断更新,才能更有效地做到防毒、杀毒。
3)加密技术。对数据信息进行加密是一种较为主动的安全防卫措施,加密实际上就是对信息重新编码,使信息的具体内容得以隐藏,资源信息经过加密处理后,其安全性和保密性能够得到有效保障。
4)入侵检测主要是用于检测计算机网络中违反安全策略行为的一种技术,是为了确保计算机系统安全而设计的,该技术能够及时发现并报告系统中的异常现象并进行限制,从而达到保护系统安全的目的。
5)访问控制技术。是对系统内部合法用户的非授权访问进行实时控制,可分为以下两种类型:①任意访问控制。指用户可以任意在系统中规定访问对象,优点是成本小且方便用户,缺点是安全系数较低。②强制访问控制。可以通过无法回避的访问限制来防止对系统的非法入侵,其缺点是费用较高、灵活性小。对于安全性要求较高的系统,可以采用两种类型结合的方法来维护网络系统的安全。
4.2 管理方面的对策
1)规范管理流程。网络的安全工作是消防信息化工作中较为重要的一个方面,信息化与规范化的根本目的都是为了提高工作效率,如果说技术是确保网络安全的前提,那么管理则是网络安全最有利的保障。因此,在消防信息化工作中,必须加强管理工作,只有不断优化管理过程、简化管理环节、细化管理流程、强化管理基础、提高管理效率,才能在达到信息化目的的同时,完善网络安全建设。
2)构建管理支持层。信息化本身属于异响系统性较强的工程,在具体实施的过程中,需要单位领导的高度重视并从不同方面给予大力支持,如软件普及和人员培训的支持、工作流程再造的支持、协调有关部门统一开展工作的支持等等。在实际工作,可以通过建立消防信息化领导小组,并由各部门领导担任主要成员,下设具体办事部门负责网络的建设及安全工作,在这一过程中,不仅需要领导的重视,同时具体负责人还应具备协调和沟通各部门开展工作的能力,从而确保工作能够顺利开展。
3)制定网络安全管理制度。应重点加强网络安全管理的法规建设,建立并完善各项管理制度,以此来确保计算机网络安全,如制定人员管理制度,加强人员审查,避免单独作业。
5 结论
综上所述,计算机网络技术在消防信息化工作的应用,虽然使消防部门的工作效率得以提高,但网络安全问题造成的威胁也是不容忽视的,因此,在今后的消防信息化工作中,必须对计算机网络的安全加以高度重视。只有不断加强技术和管理方面的工作,才能确保消防信息化工作的顺利开展。
参考文献:
[1] 唐镇,谢书华.浅论消防信息网络数据存储的几种解决方案[A].消防科技与工程学术会议论文集[C].2007(7).
[2] 李登峰.浅谈消防装备管理软件的开发与应用[A].2010中国西部十二省消防学术交流会论文集[C].2010(5).
[3] 许军仓.探讨怎样借助网络化技术推动消防工作[J].现代化科技传播,2010(2).
[4] 姚新,王立志,黄泽明.论计算机网络安全技术及其发展[A].2008年中国计算机信息防护年会暨信息防护体系建设研讨会论文集[C].2008(6).
[5] 傅永财,虑放,宁江.关于公安消防部队信息化建设整体规划的思考[J].武警学院学报,2007,23((10).
[6] 林琳,张斌,李海燕,等.军队计算机网络安全评估方法[A].中国电子学会电子系统工程分会第十五届信息化理论学术研讨会论文集[C].2008(9).
关键词:计算机;网络防御;关键技术
随着我国网民数量的增加与计算机网络的日渐复杂,传统的计算机网络防御策略已经开始不能跟上计算机技术发展的脚步,为了保证我国计算机技术的安全运用,寻找一种有效的计算机网络防御技术就显得很有必要,所以本文就计算机网络防御策略关键技术的相关研究,有着很强的现实意义。
1我国计算机网络安全现状
在我国网民的日常计算机使用中,来自于网路的安全威胁是计算机使用的最大威胁之一,这也导致了凡是网民都掌握着一定保护计算机网络安全的手段,这也在客观上反映了计算机网络安全的严重性。事实上,虽然我国网民在计算机的使用中会采用多种手段进行计算机网络安全的保护,但网络安全问题的高发仍旧需要引起我们注意,特别是在计算机网络病毒与系统漏洞方面,这两点是威胁我国计算机网络安全的主要因素之一。计算机网络病毒一般通过邮件、软件安装包、通信工具等进行传输,一旦含有计算机网络病毒的相关载体出现在计算机中,相关计算机就很容易出现系统崩溃、瘫痪、资料泄露等情况,这些情况的出现将对人们的计算机日常使用带来极大困扰,很有可能影响相关工作的正常进行,最终影响我国的经济发展,因此计算机网络安全需要引起我们注意[1]。
2计算机网络的常见攻击方式
除了上文中提到的计算机病毒外,计算机在日常使用中也很容易遭受到来自于网络的恶意攻击,这种恶意攻击很容易造成网络信息资源的滥用与个人隐私的泄漏,虽然这种网络攻击有可能是在无意操作中造成的,但切实威胁计算机使用安全的攻击却占着大多数,在恶意的计算机网络攻击中,一般分为网络信息攻击与网络设备攻击。1)网络信息攻击。所谓计算机网络信息攻击,指的是一种由于相关计算机设备使用人员在登录一些网站时,没有做好完备的防范措施造成的相关账号信息泄漏等问题,这类问题的产生很容易对相关重要信息的安全带来隐患,造成个人或企业的信息或财产损失[2]。2)网络设备攻击。所谓网络设备攻击,是一种不法分子通过对相关企业或个人计算机的恶意攻击,以此实现窃取相关资料、破坏正常工作的一种通过计算机的网络犯罪行为,在这种网络设备的攻击中,如果相关企业或个人不具备完备的计算机网络防御策略,就很容易造成自身财产与相关资料的重要损失。
3计算机网络防御策略关键技术
上文中我们了解了我国计算机网络安全现状与常见的计算机网络攻击方式,在下文中笔者将结合自身工作经验,对我国计算机网络防御策略的关键技术进行相关论述,希望能够以此推动我国计算机网络安全的相关发展。
3.1防御策略模型
所谓计算机防御策略模型,是一种通过三维模型展现计算机系统计算方式与相关思想的一种计算机网络防御策略关键技术。在计算机防御策略关键技术的具体运用中,其能够较为优秀的促进计算机防御策略的统一与工程建设的相关创造,这对于计算机安全防御系统的安全性提高来说有着极为不俗的作用,将极大地提高计算机网络防御系统的防御力与操作能力。此外,在防御策略模型关键技术的应用中,其还能实现计算机的安全模式运行,这就使得在特定环境下,相关使用者能够使用这种功能进行安全的计算机相关操作,进一步提升了计算机网络的安全性[3]。
3.2模型安全体系
所为模型安全体系,是一种计算机网络防御策略中能够发挥较为重要作用的关键技术。在模型安全体系技术的具体运用中,其需要参考相关计算机网络运行的实际情况以及计算机使用网络的相关特点,方可以进行具体的应用,并起到保证计算机运行完整性、提高计算机网络使用灵活性、降低相关经济成本的作用,这些作用的有效发挥将较为有效的促进我国计算机网络安全的相关发展。在计算机模型安全体系中,其一般由计算机特性、物理层次、网络层、传输层次、应用层以及相关物理环境所组成的。
3.3反病毒技术
在计算机网络防御策略的关键技术中,反病毒技术是一种较为有效的计算机网络安全技术。在反病毒技术的具体应用中,其能够通过计算机设置的相关管理规则,保证计算机安全管理系统在正常使用中对相关病毒的隔离与相关影响计算机软件安全程序的消除,这对于计算机网络安全能够起到较好的保护作用。此外,运用反病毒技术,还能够在计算机中对重要文件进行格外保护,以此降低自身相关重要文件遭受破坏等违法行为的发生,切实提高计算机网络系统运用的安全性[4]。
3.4提高计算机网络防御效果
在计算机网络防御策略中,提升计算机网络防御效果是一种能够有针对性的处理计算机网路安全相关隐患,从而保证计算机网络安全的关键技术形式。在计算机防御效果的提升中,其能够通过计算机扫描技术、计算机防火墙技术以及上文中提到的反病毒技术的有机结合,实现计算机使用中的网络安全性的大幅提升,保障了相关计算机使用个人与企业的信息与财产安全,这种有机结合是我国计算机网络防御关键技术中较为使用的一种相关技术形式。
4结论
随着我国计算机网络技术在各行业中应用日渐广泛,计算机网络防御策略关键技术逐渐引起了人们的重视,本文就计算机网络防御策略的关键技术进行了相关论事,希望能够以此推动我国计算机网络安全的相关发展。
作者:陈爱贵 单位:湖南应用技术学院信息工程学院
参考文献:
[1]张伟杰.计算机网络技术的发展及安全防御策略分析[J].河南科技,2014,21:4.
[2]邢娜.计算机病毒的安全防御策略[J].电子测试,2015,02:134-135+114.
关键词:网络安全;虚拟机;模拟器;虚拟网络环境
中图分类号:TP393
文献标识码:A 文章编号:1672-7800(2014)003-0128-02
0 引言
网络安全课程是目前高等院校计算机专业和其它信息技术类专业的一门专业必修课,该课程的教学目标是让学生深入理解和掌握网络安全技术理论和方法,能够利用理论知识解决实际应用中出现的网络安全问题。为了达到这一教学目标,课程内容的设置和讲授非常重要。如果课程内容偏重理论,就会削弱对学生专业技能的培养,造成学生对该课程听不懂、不会用的现象,进而使学生对网络安全课程的学习失去兴趣。同样,如果课程内容偏重实践,就会导致学生对所学的理论理解不深,无法在实际应用中很好地分析问题并解决问题。
理论与实践相结合是高校教学的一贯宗旨。但是,很多院校的网络安全课程却由于网络实验设备紧缺、网络安全实验平台难以搭建而使课程的教学停留在理论阶段,理论与实践难以结合。为解决网络安全教学中理论与实践脱节的问题,提出了利用虚拟机和模拟器搭建一个虚拟的网络安全实验环境,其中包括网络安全实验所需要的各种网络设备,如路由器、交换机、防火墙、IPS、服务器等,通过使用该虚拟网络安全平台,模拟实际网络安全环境中的各种操作,达到跟真实设备几乎一样的实践效果。
1 利用GNS3与VMware搭建虚拟网络环境
GNS3是一款优秀的图形化Cisco网络模拟器,在网络安全课程中,用它可以完成网络环境的模拟,而且这样的操作和在真实的安全设备上实施完全一样。GNS3是一款开源的网络虚拟软件,它可以适用于多种操作系统,在现有的学校机房中,很容易进行软件的安装,并可以和其它网络类的课程共用,这样不但节省了教学资源,还可以让学生体验与真实硬件平台相同的学习环境。
VMware是一个虚拟机软件,它能够在一台真实的物理主机上运行多个虚拟主机,这些虚拟主机可以像真实主机一样安装Windows、Linux或FreeBSD 等多种类型的操作系统。利用VMware可以让一台机器实现一个局域网的功能,这大大节省了硬件设备和物理空间,且管理方便,安全性高。同时,虚拟主机上可以运行网络安全实验需要的各种软件工具,包括对操作系统具有破坏性的网络安全工具,特别适合做网络安全实验。
虽然网络模拟器GNS3和虚拟机软件VMware是两款不同厂商的软件,但两者可以结合使用。要实现GNS3和VMware的结合应用,仅需要将GNS3模拟的网云桥接到某个网络适配器,同时将VMware模拟的计算机也桥接到这个网络适配器即可,这台运行在VMware软件上的虚拟计算机就这样融入了GNS的网络架构体系,成为所搭建的网络拓扑结构中对应的一台计算机或服务器。图1显示了利用GNS3和VMware搭建的一个虚拟网络安全实验平台。
在图1中使用两台路由器模拟内网和外网,ASA防火墙作为隔离内部与外部网络的安全设备,将运行在VMware软件上的Web服务器和GNS3中的模拟网云桥接到同一个网络适配器,并将该网云连接到ASA的DMZ区域,这样便实现了利用一台主机完成网络安全实验环境的搭建,为教师讲授理论和学生在单机环境下学习和实践提供了必要的条件,进而为学生进行课外实践操作提供了保证。
2 虚拟网络环境在网络安全技术中的应用
网络安全课程是一门综合性很强的课程,其内容涉及计算机网络、密码学、操作系统等众多理论与实践知识,教师应根据不同的授课内容搭建相应的虚拟网络安全实验环境。下面以PAT(Port Address Translation,端口地址转换)为例,验证虚拟网络环境的工作情况。根据课程内容搭建的网络安全实验环境如图2所示。
图2中路由器Router1用于模拟内部网络的NAT路由器,路由器Router2用于模拟Internet路由器,同Router2相连的网络云与虚拟机桥接到同一个网络适配器,该虚拟机安装了Windows Server 2003操作系统并开启了FTP服务。为使192.168.1.0/24网段内的内网用户访问Internet上的FTP服务器,需要在NAT路由器上配置PAT,使私有网段内的用户复用一个公网IP地址访问Internet。
在教学过程中,教师可以在讲解完PAT的工作原理后利用该实验环境演示PAT的配置,这不仅会加深学生
对PAT理论知识的理解,还可让他们掌握该技术在实际网络工程中的配置实现。在虚拟网络环境中双击NAT路由器就可以进入路由器的配置界面,完成PAT的配置操作,具体配置命令如下:
Router1(config)#interface serial 0/0
Router1(config-if)#ip nat inside
Router1(config-if)#exit
Router1(config)#interface fastEthernet 1/0
Router1(config-if)#ip nat outside
Router1(config-if)#exit
Router1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router1(config)#ip nat inside source list 1 interface serial 0/0 overload
这种虚拟网络环境中的配置方式和命令与实际环境中的配置方式和命令一致。通过该虚拟网络环境,学生既掌握了利用Windows server 2003搭建FTP服务器的方法,又掌握了PAT的技术原理以及该技术在思科路由器上的配置实现方法,为教师讲授和学生学习网络安全相关技术创造了良好的条件。
3 结语
网络安全教学过程中,注重理论与实践相结合,是提高教学质量和培养应用型人才的主要途径。通过模拟器GNS3和虚拟机VMware的有机结合,教师可以根据网络安全课程内容搭建不同的实验环境,为学生提供理论结合实际、实用性和针对性强的学习环境,有利于学生学以致用,培养分析问题、解决问题的能力,大大提高了理论和实践教学的质量和效果。
当然,为了保证学习效果,学生还需要接触真实的网络设备,在实践中掌握相关知识。虚拟网络环境可以作为真实网络安全设备的有效补充,使学生在设备不足的情况下或课堂之外完成网络安全的实践操作。
参考文献:
[1] 李佟鸿,张天长.《网络安全》课程建设与教学改革研究[J].计算机教育,2012(8):25-28 .
[2] 李海鹏.《网络安全》课程理论与实践教学中的几点探讨[J].电脑知识与技术,2012 (28):6739-6741.
本文首先讲述了我国在计算机网络领域发展的现实状况,然后阐述了网络计算机在许多领域得到了广泛的应用,所以研究网络计算机非常重要,它会带来一定的社会价值,经济价值以及社会效益。其次论文讲述了与网络计算机可靠性有关的理论,探讨了影响网络计算机的很多因素,分析了影响网络计算机的关键问题,在这些问题的基础上,研究出了优化计算机网络关于可靠性的具体措施。
【关键词】网络可靠性 网络架构 计算机
1 前言
历经半个世纪的成长,计算机网络被当作一门工程科学系统,发展成为了健全完整的网络体系,国内外研究这些的学者把网络计算机可靠性测度总结为四大类,即计算机网络生存性,连通性和,破坏性和在多个状态下运作的有效性。只有计算机中的部件和基础结点向各用户的终端供给有效的链路,才能保证计算机网络的工作正常。
2 网络可靠性概述
2.1 网络可靠性定义
计算机网络的可靠性是这样定义的“计算机网络在标准规定下,所用的时间内,网络要同时满足保持连通与通信两个条件,才叫做计算机网络的可靠性,它体现了计算机网络正常运行是有拓扑结构支持的能力,也是计算机运行与设计,网络规划重要参数的其中之一。
2.2 网络可靠性模型
在研究工程系统的过程中,把复杂巨的系统和复杂系统两者模型化,生成网络模型。再把网络模型化为图解决可靠性的问题。计算机网络的可靠性难题也能模型化为图的问题, 可以使用多状态的模型,来刻画计算机的网络模型里的概率图,给予概率图各边和结点一些概率值得出的图片,这个图的可靠性所包含的问题分为两个方面,分析问题和设计问题,分析问题需要计算这个图的可靠性,设计问题需要一定的条件,只有给定全部元素后,才能设计出最大可靠性的图片。图片的可靠度不容易求解时,可以先把失效度求出来,(失效度+可靠度=1)再求它的可靠度,图片的链路与结点失效模型是三个不同的模型,即链路失效哦的模型和结点失效的模型,链路与结点混合型失效模型。这三个失效模型中,混合失效的模型是用到最多的。
3 网络可靠性因素影响
3.1 网络设备对网络可靠性的影响
3.1.1 用户设备对计算机网络可靠性的影响
直接面向用户的设备就是用户终端,最重要的就是它的可靠性,他是计算机是否可靠地关键,在计算机网络日常一系列维护,就是为了保证用户端的可靠,用户末端的交互能力与它的可靠性是成正比的。
3.1.2 传输交换设备对计算机网络可靠性的影响
在计算机网络运行建设的实践过程中,研究的人员会经常发现:计算机网络中布线系统引起的故障问题是不容易找到的,因此所要付出的努力往往也是最大的。
3.2 网络管理对网络可靠性的影响
计算机网络有三大部分组成,生产厂商,网络设备和产品。大规模,结构也复杂,想要保证信息完整的传输,故障发生频率低,信息丢失率低,差错及误码较少,还是得提高计算机的可靠性,必须运用先进管理技术,随时能够采集到网络信息和参数,查看网络的状态,及时的发现故障和故障排除。
3.3 网络拓扑结构对网络可靠性的影响
计算机网络之间互相连接最主要的方式是网络拓扑结构互联,通常用图来直观显示,所以研究网络互联性能最得力的数学知识就是图论。开始的时候人们衡量计算机网络的容错性和有效性是通过连通度与直径进行的,但是伴随人们越来越深入的分析和研究计算机的网络拓扑结构,设计计算机网络的专家提出了很多图论和网络的新的概念和想法,譬如宽直径、直径容错、边连通度限制、连通度限制、容错直径限制等。
4 计算机网络可靠性优化
4.1 计算机网络可靠性的设计原则
为了尽可能的提高计算机网络的可靠性性价比,计算机网络在进行设计过程中,要满足以下几个原则:
4.1.1 可行性
在对网络安全体系进行设计的时候,一定要考虑实际因素,而不能只是从理论的角度来考虑。
4.1.2 安全性
安全性是网络安全体系设计的第一目标,因为网络安全体系设计的主要作用就是来保护网络系统和信息的安全。
4.1.3 高效性
安全性是网络安全体系设计的首要目标,但是安全也不能影响系统的运行,因为保障其系统正常的运行是网络安全体系构建的目的。
4.1.4 可承担性
针对网络安全体系,从设计到实施,再到安全系统的安全培训与后期维护,都需要付出一定的费用和代价,而这些都是由企业进行支持的。
4.2 计算机网络可靠性设计
4.2.1 计算机网络的容错性设计
两个网络中心,主干并行。是容错性设计方案的主要原则,并行计算机网络和冗余网络中心,同时把服务器与用户终端连接在两个电脑网络中心。路由器和数据链路在一定的范围内互相连接,计算机网络中大部分都采用多路由和数据连接的方式,保证了在任何一条数据链路即使出现问题也不会影响整体的网络运行。
4.2.2 计算机网络的双网络冗余设计
双网络冗余设计就是在一个计算机网络上再加一条备用的网络,两个网络结构的形式,以计算机的冗余的条件弥补计算机容错的不足。在这双网络中,每个网络节点经双网络连接,当一个结点想往其他节点发消息时,双网络中任意一个网络都可以发送过去,一般情况下,双网络可以当作备份,也可以一起发送数据,当两个同时工作的网络,突然因一些原因一个网络被断开了,另一条能够立刻代替出错的网络,这就保证了数据在传输的时候造成丢失,这些硬件设施都是为了保证计算机网络的可靠性。
4.2.3 计算机网络层次、体系结构设计
伴随着计算机网络技术不断完善和吞吐量日益增长,网络服务的分布式和交换转移到用户级,产生了一个最有现代化代表的网速超快的设计模型,这样的方法被叫做,多层设计的网络模块,网络结点越多,网络容量就越大,多层网络结构的优点就是有很大的确定性,给计算机的运行扩展中的查找故障和故障排除的维护工作提供了方便。
参考文献
[1]田波.计算机网络可靠性的优化[J].魅力中国,2009(13).
[2]曾德明.计算机网络可靠性的优化方法分析[J].太原城市职业技术学院学报,2011(07).
[3]安琪.叙述计算机网络技术设计与分析[J].经营管理者,2011(10).
[4]刘鸿艳.网络可靠性优化技术浅析[J].沈阳干部学刊,2010(05).
关键词:软件工程;网络安全;教学改革
中图分类号:G642文献标识码:A文章编号:1009-3044(2010)08-1934-02
The Design and Implement of the Basis of Computer Applications
YU Ying, DENG Song, WANG Ying-long
(Department of Software, Jiangxi Agricultural University, Nanchang 330045, China)
Abstract: In order toenhance the student's applicational ability, This paper talk about the reform of network security course from such aspects as teaching materials, teaching management, teaching method, practice step and improving the ability of student.
Key words: software engineering; network security; educational reform
近年来,我院围绕软件工程专业面向软件产业培养高素质应用型软件工程人才这个定位,不断探索新的培养理念、培养模式,调整课程体系和教学目标、改革教学方法和教学手段。本文结合我院人才培养的改革与实践,探讨“网络安全”课程教学改革。
“网络安全”是我院软件工程专业网络工程方向的一门方向专业课,在专业课程中占据很重的分量。“网络安全”是一门综合性很强的课程,涉及的知识包括计算机科学、网络技术、通信技术、密码技术、信息安全技术、数论、信息论等多门学科。根据培养应用型人才这个目标,我们将授课目标定位在培养掌握网络安全的基础概念合理论,了解计算机网络潜在安全问题,掌握常用的计算机网络安全技术,增强学生的安全意识以及对安全问题的分析和处理能力,能在实际生活和工作中解决某些具体安全问题的应用型人才。因此,软件工程专业“网络安全”课程不能与计算机专业开设的网络安全课程一样,着重基础理论教学。如何进行软件工程专业下的“网络安全”课程教学改革,加强学生实践动手能力的培养突出应用能力的培养,使之符合软件工程专业强调学生动手实践能力的特点是本文要探讨的内容。
1 合理组织教学内容,适应教学要求
“网络安全”课程覆盖知识面广泛,学生不可能在有限的时间内掌握所有的安全技术,根据确定的课程目标,针对培养应用型人才的需要,确定本课程教学内容包括计算机网络安全基础理论(网络安全体系结构、网络安全评估标准、网络安全协议基础)、网络安全攻击技术(网络扫描、网络监听、攻击类型)、网络安全防御技术(数据加密认证技术、防火墙、入侵检测、操作系统安全配置方案)、网络安全综合解决方案四个部分。在课程选择上从传统的偏重网络安全理论的介绍,转变为比较实用的新型技术的学习,突出应用能力的培养。
由于目前没有专门针对软件工程专业的网络安全教材,通用的网络安全教材一般着重就介绍网络安全理论与常用网络攻防技术。知识点孤立、分散,没有形成一个完整的体系。很少有教材综合多个知识点结合案例进行讲解分析,而且教材中关于网络安全综合解决方案的内容很简单,篇幅也很少,不适合培养应用型人才的需要。为了解决这个问题,我们整合多本教材作为授课教材。在授课内容的组织上,重新调整次序,将前三部分内容穿插在综合解决方案里,保证授课内容包含教学大纲要求掌握的所有知识点。
在教学大纲编写上,我们改变以往“网络安全”课程单独制定大纲的方式,将本课程和其它网络相关课程一起按课程模块统一制定大纲,使得教学内容的总体布局更加科学合理。例如,网络安全协议――TCP/IP协议簇安排在“TCP/IP协议原理及应用”课程中重点讲解,防火墙及IDS的配置安排在“网络设备”课程中讲解,避免出现知识盲点和教学内容重复现象。
2 改进教学方法,激发学生学习兴趣
采用以案例教学为主,理论教学为辅的方法。围绕解决企业安全问题这条主线,把课程内容分为发现安全问题、分析安全问题、解决安全问题3大部分,通过一个实际的案例(某大学校园网)贯穿始终,围绕着课程主线,逐步将知识点渗透。目前常见的攻击技术(口令攻击、木马、IP欺骗、拒绝服务攻击、会话劫持等)和防御技术(防火墙、入侵监测等)都可以在校园网中找到案例,因此将校园网安全问题作为案例讲解有一定的代表性。在案例中设计了各种常见的网络攻击的情景,通过实际情景引申出原理的讲解,原理依然采用多媒体设备进行课堂讲授,对于常见攻击要进行当堂演示,回放攻击过程,然后再讲解具体的防御措施和手段,并演示防御过程。采用这种授课方式使学生切实感受到各种安全问题的存在,加深对各种攻击技术和防御方法的理解,灵活掌握各种防御技术的应用。通过一个完整案例的分析讲解,使各个知识点不再孤立,而是形成一个整体,与现实中各种网络安全综合解决过程相符。每个部分中各知识点均配有其它案例作补充,例如常见网络攻击技术均设计有相关案例讲解分析,而且根据网络安全最新技术,每年调整案例内容。
在教学过程中转变传统的“填鸭式”教学为启发式教学,让学生以企业安全顾问的角色对企业的运行过程及网络架构进行诊断,找出问题并提出解决方案和整改措施,最后要学生根据所学知识完成二次案例设计。实际的案例讨论和应用将理论与实际完全结合起来,既有逻辑性,也有趣味性。学生全方位参与教学过程,充分调动了学生的学习积极性,引导学生发现问题,解决问题,培养学生动手的能力,激发学生的学习主动性。
3 加强实践教学,提高动手能力
网络安全是实践性非常强的课程,光说不练不行。本课程实验教学最初分为基础验证型和综合设计型两个层次。实验内容涵盖了网络攻击技术、访问控制技术、防火墙技术、入侵检测技术等。为了加强学生专业创新能力和应用能力的培养,在原有两个层次之上增加一个研究创新型实验,调整为3个层次,并加大后面层次的比重。
基础验证实验内容与理论课内容相衔接,且相对固定。包括网络扫描、网络监听、DES算法实现、程序实现简单IDS、口令攻击、木马攻击、拒绝服务攻击等。通过基础实验帮助学生掌握密码学算法实现,网络安全设备配置,并让学生体验网络攻击防御的全过程。本类型实验安排在每个理论知识点讲解后进行。
综合设计实验锻炼学生综合运用网络安全知识解决问题的能力,在真实网络环境中,将学生分成两组,一组学生发现网络存在的安全漏洞并进行攻击,另一组对发现的攻击行为进行分析,确定攻击类型并采取相应的措施,一遍攻防实验结束后再轮换。该类型实验主要通过课程实训、实习基地实战训练等方式实现,要求学生综合运用所学网络安全知识,提高解决具体问题的能力,培养整体安全意识。该类型实验安排在理论课完成后,集中一周或两周进行;
研究创新实验要求学生利用学过的知识和积累的经验,针对创新课题提出有创意的设计并加以实现。该层次实验主要通过创新课题研究、毕业设计与毕业论文、竞赛项目、兴趣小组等方式实现。内容来源于教师的科研项目、学生的自主科研选题、社会实践活动和企事业应用需求,实验内容每年都在更新。
4 注重能力培养,提高学生综合素质
近年来,我院从应用型人才标准出发认真研究了国内外各高校软件工程专业人才培养模式,办学经验,认识到软件工程教育不仅要使我们的学生掌握专业相关知识、系统分析和设计能力、科学分析方法、工程思维能力。还必须具备良好的学习能力、语言表达能力、沟通能力和团队协作能力等。因此,在我们进行教学改革时,要把对学生能力的培养和课程的学习融合起来。在“网络安全”课程的教学活动中,为了培养学生的能力,我们做了以下几方面工作。
以项目为载体,将学生的基础知识学习和综合能力训练、扎实的课程学习和广泛的探索兴趣结合起来,引导学生养成终身学习的习惯,培养工程思维方式以及系统分析设计能力。在实验过程中,注重学生主观能动意识的培养。
将合作性实验模式引入实验教学,通过合作,培养了学生的团队意识、和同学、老师的交流沟通能力,提高学生的综合素质,培养创新意识和能力。
开设《大学语文》、《思想道德修养》等课程增强学生良好的职业道德和责任感的培养,提高人文素质。
5 结束语
随着网络安全形势的日益严峻,《网络安全》课程成为热点课程,且随着攻防对抗不断升级,新技术不断产生,课程内容也不断变化,这些给我们的教学工作带来难度。如何设计深浅适宜,符合应用型人才培养目标的授课内容、如何把抽象的理论变成学生易懂的知识,要需要在以后的教学实践中进行不断的总结和提高。
参考文献:
[1] 骆斌,赵志宏,邵栋.软件工程专业工程化实践教学体系的构建与实施[J].计算机教育,2005(4):25-28.
论文摘要:伴随着Internet的日益普及,网络技术的高速发展,网络信息资源的安全备受各应用行业的关注。人口计生网网络中的主机可能会受到来自各方面非法入侵者的攻击,网络中的敏感数据有可能泄露或被修改。保证网络系统的保密性、完整性、可用性、可控性、可审查性方面就具有其重要意义。通过网络拓扑结构和网组技术等方面对人口计生网网络进行搭建,通过物理、数据等方面的设计对网络安全进行完善是解决上述问题的有效措施。
以Internet广域网为代表的信息化应用的浪潮席卷全球,各类信息网络技术的应用日益普及和深入,伴随着网络技术的高速发展,各种各样的安全问题也相继出现,人口计生网被“黑”或被病毒破坏的事件屡有发生,造成了极坏的社会影响和巨大的经济损失。维护人口计生网网络安全需要从网络的搭建及网络安全设计方面着手。
一、基本网络的搭建
由于人口计生网网络特性(数据流量大,稳定性强,经济性和扩充性)和各个部门的要求(统计部门和办公部门间的访问控制),我们采用下列方案:
(一)网络拓扑结构选择:网络采用星型拓扑结构。它是目前使用最多,最为普遍的局域网拓扑结构。节点具有高度的独立性,并且适合在中央位置放置网络诊断设备。
(二)组网技术选择:目前,常用的主干网的组网技术有快速以太网(100Mbps)、FDDI、千兆以太网(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高;FDDI也是一种成熟的组网技术,但技术复杂、造价高,难以升级;ATM技术成熟,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术,造价低于ATM网,它的有效带宽比622Mbps的ATM还高。考虑的计生网络系统的应用特性,因此,个人推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络。
二、网络安全设计
(一)物理安全设计。为保证人口计生网信息网络系统的物理安全,除在网络物理连接规划和布置场地、地理环境等要求之外,还要防止系统信息在空间的扩散。计算机网络系统通过电磁辐射可能使的信息、敏感数据被截获而失密的案例已经有很多了,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至更远的数据复原显示技术给计算机网络系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理设计上采取进一步的防护措施,来避免或干扰扩散出去的空间信号。
(二)网络共享资源和数据信息安全设计。针对这个问题,我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。 转贴于
VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。从目前来看,根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中。
(三)计算机病毒、黑客以及电子邮件应用风险防控设计。我们采用防病毒技术,防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。
第一,防病毒技术。病毒伴随着计算机信息系统一起发展了十几年,目前其形态和入侵方式已经发生了巨大的变化,几乎每天都有新的病毒出现在INTERNET上,并且借助INTERNET上的信息往来,尤其是网络、EMAIL进行传播,传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。
第二,防火墙技术。企业级防火墙一般是软硬件一体的网络安全专用设备,专门用于TCP/IP体系的网络层提供鉴别,访问控制,安全审计,网络地址转换(NAT),IDS,VPN,应用代理等功能,保护内部局域网安全接入INTERNET或者公共网络,解决内部计算机信息网络出入口的安全问题。
内部各个安全子网是连接到整个内部使用的工作站或个人计算机,包括整个VLAN及内部服务器,该网段与外界是分开的,禁止外部非法入侵和攻击,并控制合法的对外访问,实现内部各个子网的安全性。共享安全子网连接对外提供的WEB,电子邮箱(EMAIL),FTP等服务的计算机和服务器,通过映射达到端口级安全。外部用户只能访问安全规则允许的对外开放的服务器,隐藏服务器的其它服务,减少系统漏洞。
参考文献:
[1]Andrew S.Tanenbaum.计算机网络(第4版)[M].北京:清华大学出版社,2008,8
信息安全专业培养要求
1.具有扎实的数理基础,熟练掌握一门外语并具有一定的译、听、说和初步的写作能 力;具有国际视野和一定的跨文化的交流、竞争与合作能力;
2.掌握模拟和数字电子线路的基本原理、分析方法、实验技能与方法;
3.掌握通信、计算机网络和信息系统的基本理论和专业知识,掌握密码、信息安全以 及信息安全管理的基本理论与方法;
4.具备在信息、信息过程和信息系统等方面进行信息安全与保 密关键技术的分析、 设计、研究、开发的初步能力以及安全设备与软件的应用、信息系统安全集成与管理的 能力;
5.了解国家有关信息安全方面的政策和法规以及有关国际法律、法规;了解信息安全 技术领域的理论前沿、应用前景和发展动态;
6.掌握计算机的基本原理与技术,具有初步的软、硬件的开发能力;
7.掌握文献检索、资料查询的基本方法,具有一定的科学研究和实际工作能力。
信息安全专业就业方向
本专业学生毕业后可在政府机关、国家安全部门、银行、金融、证券、通信领域从事各类信息安全系统、计算机安全系统的研究、设计、开发和管理工作,也可在IT领域从事计算机应用工作。
从事行业:
毕业后主要在新能源、互联网、计算机软件等行业工作,大致如下:
1 新能源;
2 互联网/电子商务;
3 计算机软件;
4 房地产;
5 贸易/进出口。
从事岗位:
毕业后主要从事项目经理、网络工程师、网络管理员等工作,大致如下:
1 项目经理;
2 网络工程师;
3 网络管理员;
4 销售经理;
5 行政助理。
信息安全专业主要课程
专业基础和专业课主要有:高等数学、线性代数、计算方法、概率论与数理统计、计算机与算法初步、C++语言程序设计、数据结构与算法、计算机原理与汇编语言、数据库原理、操作系统、大学物理、集合与图论、代数与逻辑、密码学原理、编码理论、信息论基础、信息安全体系结构、软件工程、数字逻辑、计算机网络等。
