時間:2023-09-21 17:48:53
引言:易發(fā)表網憑借豐富的文秘實踐,為您精心挑選了九篇網絡安全專業(yè)服務范例。如需獲取更多原創(chuàng)內容,可隨時聯(lián)系我們的客服老師。
網絡安全產業(yè)是知識密集型產業(yè),網絡安全學科與其他學科有很多交叉,是高技術專業(yè),需要構建完善的知識體系。當前,我國網絡安全人才儲備不足,亟待加強人才隊伍建設。2015年6月,國務院學位委員會、教育部決定在“工學”門類下增設“網絡空間安全”一級學科,此舉充分體現(xiàn)了國家對網絡安全的重視,希望將分散在計算機科學、通信技術和軟件工程學等學科的相關網絡安全科目進行統(tǒng)籌,集中資源和力量來培養(yǎng)網絡安全人才。
筆者近年供職于中國信息安全研究院,深入參與了國家網絡安全頂層設計和標準編制等工作,目睹了國際和國內網絡安全政策、產業(yè)和技術的重要變革,對產業(yè)政策、產業(yè)現(xiàn)狀和需求,以及網絡安全技術體系進行了深入研究。本文結合近年工作經驗與高教研究,以打造網絡安全體系性人才為目標,對網絡安全專業(yè)的教學特點、教學內容、教學方法和考核方式等進行了一系列探索。
一、網絡安全專業(yè)的教學特點
網絡安全專業(yè)涉及范圍廣,涵蓋了計算機、通信、電子、數(shù)學、生物、法律、教育和國際貿易等多學科內容,屬知識密集型專業(yè),具有很強的專業(yè)性、廣泛性和實踐性,隨著物聯(lián)網、云計算、大數(shù)據(jù)等新技術新應用的出現(xiàn),網絡安全專業(yè)的特點更加突出。
1.內容涉及范圍廣。網絡安全專業(yè)涉及信息系統(tǒng)軟硬件的本質安全,以及應對網絡威脅、數(shù)據(jù)傳輸?shù)确矫娴膭討B(tài)過程安全,在安全訪問領域涉及密碼學和生物學等,在網絡安治理方面涉及法律學,在網絡安全服務方面涉及教育學和管理學等,WTO第二十一條“國家安全例外”等內容涉及國際貿易學。
2.知識和技術迭代速度快。網絡安全由傳統(tǒng)意義上的信息安全演變而來。狹義的信息安全重點關注內容安全,即確保信息的完整性、可用性和保密性。隨著新技術新應用的層出不窮,異構信息系統(tǒng)和復雜多變的網絡威脅帶來了新挑戰(zhàn)。除具備網絡安全基礎知識和技能以外,了解和掌握更多新技術知識是網絡安全專業(yè)對學生提出的新要求。
3.對實際操作能力要求高。網絡安全對實踐操作能力有很高要求,構建具有本質安全的自主可控軟硬件系統(tǒng)需要豐富開發(fā)經驗和集成適配能力。應對復雜多變的網絡安全威脅,需要提前具備應急響應和災難恢復能力;面對國際貿易中技術壁壘的挑戰(zhàn),需要深入研究國際貿易保護下的信息安全產業(yè)和政策競爭策略等。
二、教學內容設置
對于網絡安全專業(yè)學生和非網絡安全專業(yè)學生,在設置網絡安全專業(yè)課程和教學內容時應予以區(qū)分,以使不同發(fā)展方向的學生在畢業(yè)以后將在校期間學習的知識充分發(fā)揮,適應未來職位對其知識儲備的差異化需求。
(一)網絡安全專業(yè)學生
網絡安全涵蓋本質安全和動態(tài)過程安全兩大部分。對于網絡安全專業(yè)的學生,在教學內容設置上,應鼓勵學生通過理論和實踐,構建網絡安全體系觀念,并依據(jù)個人愛好,深耕具體技術方向,使網絡安全專業(yè)畢業(yè)生具備頂層大局觀和技術優(yōu)勢。
1.本質安全方向。近年來,“棱鏡門”等事件充分說明美國政府可利用其全球大型IT或互聯(lián)網企業(yè)的技術、產品和服務,甚至對產品植入后門,來竊聽、竊取各國數(shù)據(jù)和信息,這促使我國政府和產業(yè)界高度重視本質安全。本質安全涉及包括CPU、芯片、操作系統(tǒng)、數(shù)據(jù)庫、整機、網絡設備等軟硬件技術產品的自主研發(fā),目前我國黨政軍和“8+2”對以上技術產品渴求度很大,人才隊伍建設亟待加強,因此在課程內容應增強核心硬件和基礎軟件知識的普及力度,使學生在本質安全基礎理論、產品設計和集成適配等方面有所突破。
2.過程安全方向。學習了本質安全相關知識后,就可了解如何構建一個相對完整、安全的信息系統(tǒng),但在信息系統(tǒng)運行過程中,還需要針對系統(tǒng)構建運維服務體系,從外圍加強整個信息系統(tǒng)的安全性和健壯性。過程安全相關的教學內容包括容災備份、追蹤溯源、安全訪問等技術,在過程安全教學內容中,可以以聚合式的思維來教授相關知識,以使學生具備完整的運維服務體系思維。 (二)非網絡安全專業(yè)學生
1.專業(yè)與網絡安全有交互的學生。本部分以涉及網絡安全的國際貿易和法律專業(yè)為例,闡述如何面向專業(yè)與網絡安全有交互的學生進行教學。
對于國際貿易專業(yè)學生,引導學生加強國際IT貿易問題研究,特別是WTO第二十一條“國家安全例外”,即從國家安全考量出發(fā),深入研究世界主要國家限制其他國家企業(yè)在其本土投資的案例,以及外國企業(yè)如何規(guī)避WTO限制,在我國廣泛開展IT投資,總結國際貿易爭端經驗,為未來圍繞“技術性貿易壁壘”的國際貿易糾紛做好充分準備。
對于法律專業(yè)學生,鼓勵學生加強《中華人民共和國網絡安全法》法理研究,深入學習互聯(lián)網治理和網絡安全相關法律和法規(guī),培養(yǎng)網絡安全法人才,為黨政軍和相關產業(yè)提供網絡安全法律力量支撐,提升國家和企業(yè)的國際競爭力。
2.其他專業(yè)學生。對于其他專業(yè)學生,設置網絡安全知識普及課程,通過案例分析和實踐體驗等手段,培養(yǎng)學生安全使用互聯(lián)網的習慣,提升網絡安全意識,了解和掌握網絡安全防范和處理基本方法,鞏固意識形態(tài),促使學生做到文明上網、安全使用、加強防護,構建和諧清朗網絡空間。
三、創(chuàng)新教學方法
教學方法和理念因學校和教師的不同而千差萬別。總的來看,現(xiàn)代教學方法秉承以學生為主體、互動教學和構建體系化知識三項原則[1],重視創(chuàng)新性和突破性,符合新時代和新形勢對我國高等教育提出的要求。本節(jié)結合網絡安全專業(yè)的特點,總結了三個面向該專業(yè)的創(chuàng)新教學方法。
(一)教法和學法結合
網絡安全專業(yè)涉及范圍廣且實踐性很強,因此在教學方法上需要創(chuàng)新,將教法和學法進行有機結合,構建學生的理論和技術體系,提高實踐能力。
PPT教授法。教師精煉教材重點,利用互聯(lián)網和多媒體手段,將要點和案例以圖文并茂的PPT展示,并結合課堂上的口頭表述將知識展現(xiàn)給學生。比如利用信息系統(tǒng)模擬工控系統(tǒng)運行環(huán)境,利用DDOS進行持續(xù)攻擊,使學生從各生產節(jié)點和控制系統(tǒng)觀察受攻擊時的狀態(tài),調動學生的注意力,加深學生的印象,使學生隨著教師思路來學習。
互動提問法。在課堂上利用互動提問法可啟發(fā)學生的思維,調動學生積極性和學習熱情,促進學生提高注意力和快速學習到重要知識點,避免無精打采或溜號走神等現(xiàn)象發(fā)生。同時,提問法給學生提供了討論、發(fā)表個人觀點的機會,也促進了學生表達能力的提升。比如講到構建本質安全信息系統(tǒng)時,可以首先向學生提問,構建該系統(tǒng)需要具備什么樣的要素,請學生總結自己認為的具有本質安全信息系統(tǒng)的構造,以此增加師生間的互動,培養(yǎng)探究意識和發(fā)現(xiàn)問題的敏感性。
分組發(fā)表法。將學生分組并布置特定研究方向,鼓勵學生利用互聯(lián)網資源來獲取知識、查找案例,并編制集文字、圖片和視頻等素材為一體的PPT,在課堂上進行發(fā)表,通過教授的點評和同學的提問促使學生深入了解該方向內容,做到專;通過聆聽其他組的同學做發(fā)表,可以了解其他人的研究成果,并可通過課堂提問和課下交流來深入了解其他網絡安全技術知識,做到廣。例如學習網絡安全政策時,可組建學生小組,基于學生網絡安全基礎技術和知識,深入研究包括FedRAMP、美關鍵基礎設施保護總統(tǒng)令或國防部云計算安全指南等網絡安全政策,并在課堂上做發(fā)表,與師生共同分享和研討美國的網絡安全治理經驗。
(二)傳統(tǒng)授課和網絡授課結合
目前,采用傳統(tǒng)教學模式依然是我國教育的主要方式,作為“以教師為中心”的課堂教學模式,傳統(tǒng)授課模式通過教師在課堂上當面將知識教授給學生,可以促進有意義的學習、加深學生的理解和記憶,也有利于未來對知識的提取。而網絡授課的教學模式在傳統(tǒng)課堂教學模式的基礎上融合了互聯(lián)網的優(yōu)勢,該模式相較傳統(tǒng)教授模式具有更好的靈活性、互動性和廣泛性。特別是對于教師資源相對匱乏的地域,可以依托互聯(lián)網基礎設施,通過網絡授課的模式將發(fā)達地區(qū)的優(yōu)質教育資源引入到地方課堂,使學生享受到公平的先進的網絡安全教育資源。
(三)注重實訓體系建設
依托網絡安全企業(yè)或其他專業(yè)機構建設網絡安全實訓基地,與高校等人才培養(yǎng)單位聯(lián)合,對網絡安全專業(yè)學生進行實踐技能訓練。實訓基地對于我國網絡安全人才培養(yǎng)具有重要意義。首先,實訓基地可解決我國網絡安全人才培養(yǎng)和使用相“脫節(jié)”、學生實際動手能力嚴重不足等問題。其次,實訓基地涵蓋技術、戰(zhàn)略、法規(guī)等多個領域,有利于培養(yǎng)跨學科、復合型人才。
實訓基地培訓既要涵蓋網絡安全技術,也要涵蓋網絡安全戰(zhàn)略規(guī)劃和法律標準等。針對網絡安全專業(yè)的不同研究方向,有針對性地分類建設攻防、追蹤溯源、容災備份、安全測評、自主可控等實訓場景;針對網絡安全戰(zhàn)略規(guī)劃,針對性地研究世界主要國家網絡安全戰(zhàn)略規(guī)劃,分析各國目前網絡安全現(xiàn)狀和未來發(fā)展重點;針對法律標準,深入研究WTO“國家安全例外”、 中美網絡安全相關標準,為未來工作找到技術和法律依據(jù)。
四、改進考核方式
【關鍵詞】網絡安全;實訓室建設;實踐
0 前言
政府高度重視在信息安全人才培養(yǎng)等方面的公共服務能力建設,但是,目前在信息安全專業(yè)人才實踐教學環(huán)節(jié),缺乏能支持信息安全各專項技術的綜合實訓環(huán)境。圍繞國家加快發(fā)展現(xiàn)代服務業(yè)和提升國家信息安全保障能力的戰(zhàn)略要求,結合學校在網絡安全方向及實踐教學環(huán)境建設的需要,建設面向計算機網絡技術等相關專業(yè)的多層次、全方位、可擴展的信息安全綜合實踐教學環(huán)境,近年來,我校進行了網絡安全實訓室建設的實踐與探索。
1 網絡安全實訓室建設的目的和意義
隨著計算機網絡技術的發(fā)展,信息存儲容量成倍地增長,信息已經成為客戶的重要資產,信息存儲成為各項業(yè)務運作的基本依賴條件和環(huán)境,任何信息的破壞和丟失,都會造成難以挽回的巨大損失,任何存儲系統(tǒng)的故障,都會嚴重影響業(yè)務的正常開展和運營。可以說,網絡安全技術已滲透到各個領域,其技術人才積累往往是和技術發(fā)展相輔相成的,由于安全經驗需要時間積累的緣故,目前網絡安全管理人員遠遠滿足不了業(yè)務發(fā)展需求。據(jù)計算機世界資訊的相關研究報告稱,估計國內網絡安全人才缺口將達到30萬人以上。
在此背景下,尤其是國家對高等教育提出了“打造精品課程”、“建設國家示范實訓基地”以及“大力開展校企合作”的要求,建設網絡安全實訓室,可以改善專業(yè)實驗實訓教學環(huán)境,滿足計算機網絡技術專業(yè)實施開發(fā)課程一體化教學需要,突出培養(yǎng)學生對應崗位能力培養(yǎng),提升專業(yè)實驗及實訓教育水平,培養(yǎng)適應信息技術發(fā)展的高端技能型人才。
2 建設思路與建設目標
我校網絡安全實訓室的建設思路是:以“校企共建、企業(yè)化管理、職業(yè)化環(huán)境、服務于社會”為指導思想,適應高素質技能型專門人才培養(yǎng)的需要,依據(jù)計算機網絡技術專業(yè)崗位能力要求為驅動,設備性能與主流技術同步,建設具有真實職業(yè)環(huán)境,能承接加工制造業(yè)信息化服務項目,集教學、培訓、技能鑒定和技術服務等功能于一體的實訓室。
我校網絡安全實訓室建設目標是:在校園網環(huán)境下模擬完整的企業(yè)網環(huán)境,實現(xiàn)商業(yè)運營環(huán)境中各項業(yè)務需求的在校實訓,提供多層次、全方位及綜合化的信息安全實驗與實踐環(huán)境。一是滿足《網絡安全技術與實施》、《網絡與信息安全技術》、《網絡故障分析與排除》、《網絡操作系統(tǒng)配置與管理》等課程“教學做一體化”教學需要,使學生通過在此環(huán)境下認識整網的運行環(huán)境,并且進行各種設備調試,實現(xiàn)各種平臺環(huán)境下的業(yè)務需求,達到實踐能力的全面提高,職業(yè)能力和就業(yè)能力得到提升;二是提供科研開發(fā)和測試環(huán)境,服務企業(yè);三是支持信息安全社會化培訓以及信息咨詢、方案優(yōu)化、產品研發(fā)與仿真測試等服務,服務地方經濟。
3 網絡安全實訓室建設實施
網絡安全實訓室的建設實施按照作用范圍和設備的情況,分為兩個階段。第一階段是搭建基礎網絡結構。構建網絡安全基礎結構和服務器存儲基礎結構,以基礎通信網絡知識培訓為主要目的,在信息安全主流技術上是以網絡安全技術為主,實驗設備采用全球市場廣泛應用的主流通信設備,兼并實用性和先進性,同時滿足驗證性實驗、綜合性實驗、設計性實驗的不同要求。存儲功能部分主要由學生終端、存儲管理軟件客戶端、e-Bridge存儲管理軟件、存儲陣列、應用服務器五部分組成。e-Bridge存儲管理軟件將存儲陣列上的磁盤分割成為每4塊磁盤一組的磁盤組,每小組學生共用一組磁盤,在這組磁盤上學生可以對其進行配置和操作,學生小組之間互不影響。學生在實驗終端啟用存儲管理軟件客戶端,圖像化界面上進行操作。第二階段為多元化多業(yè)務實驗室階段,構建完善的認證培訓體系,服務社會,帶動教育、其它行業(yè)的信息化建設,成為學校所屬區(qū)域乃至全國信息化建設的龍頭,構建一條實驗室的價值鏈。
網絡安全實訓室實驗系統(tǒng)構架,分為三個層面,即基礎理論層面(教材)、子系統(tǒng)級層面(各功能模塊設備)和平臺層面(實驗軟件平臺);縱向又分為兩個層面,功能演示層面和教學實驗層面。功能演示和教學實驗橫穿三個橫向層面,即可以針對基礎理論知識層面、子系統(tǒng)級層面以及平臺層面設計不同復雜度的系統(tǒng)功能演示和教學實驗。每個子系統(tǒng)均依照自身的特點,有針對性地選擇一個或者多個層面進行教學或培訓實驗設計,教學實驗數(shù)量要求有三至六個或者更多。
網絡安全實訓室共投入資金151萬,共有設備123臺套,主要設備有:二層網絡交換機、三層路由交換機、安全路由設備、邊緣防火墻、VPN設備、智能入侵檢測系統(tǒng)、文檔安全管理軟件、信息安全綜合實驗系統(tǒng)模塊服務器、信息安全綜合實驗系統(tǒng)模塊、OceanStor S2600I存儲系統(tǒng)、IP-SAN交換機、安全實驗管理平臺、設備控制臺、實驗管理網絡設備交換機、實驗管理防火墻交流主機、拓撲管理器、實驗室終端、網絡分析系統(tǒng)等。
4 網絡安全實訓室建設成效
在建設過程中,與思科網絡公司、北京神州祥升科技有限公司等企業(yè)合作,搭建了真實的小型企業(yè)網環(huán)境,體現(xiàn)了“校中廠”的理念,同時選擇使用率高、起點高、能體現(xiàn)現(xiàn)代網絡安全環(huán)境的先進設備,使學生在學習過程中不知不覺中地積累到最先進的網絡安全經驗。
網絡安全實訓室,能夠開設數(shù)據(jù)網絡類、網絡安全類、應用類、存儲類、網絡故障分析與排除類等5種類型的實訓。能滿足48人同時分組實訓,提高學生動手實踐能力和就業(yè)能力 。近年來該專業(yè)的學生在全國職業(yè)院校技能大賽、山東省職業(yè)院校技能大賽綜合布線技術競賽項目中取得了優(yōu)異成績。承辦了2013年山東省物聯(lián)網應用技能大賽。
該實訓室在承擔課程實訓、綜合實訓以外,還承擔了科研、企業(yè)培訓、認證培訓及考試,突出了專業(yè)技術輸出能力,提升了專業(yè)團隊的行業(yè)美譽度。計算機網絡技術專業(yè)依托該實訓室立項了“山東省信息化戰(zhàn)略專項研究課題”等8項省級科研課題,獲得了1項山東省計算機應用優(yōu)秀成果獎一等獎,申報了12項國家專利。舉辦了一期山東省高等職業(yè)院校教師省級培訓,組織了兩期山東省高職院校物聯(lián)網應用技術培訓,來自全省高職院校的197名師生參加了學習。與企業(yè)合作申報了3個國培項目,開發(fā)了兩個專業(yè)培訓包。9所省內外職業(yè)院校來校學習專業(yè)建設經驗。
5 結束語
近幾年,我們通過建設網絡安全實訓室,并充分發(fā)揮其實訓教學、技術應用研發(fā)、技能培訓與社會服務等方面的能,計算機網絡專業(yè)辦學水平和辦學競爭力的得到了提升。
【參考文獻】
【關鍵詞】 電子商務 網絡安全 要素
互聯(lián)網具有一網通天下的特點,不僅改變了人們的生活方式,還為商務活動的發(fā)展開辟了新的方向,網絡經濟已與人們的生活密不可分。電子商務與網絡相互依存,網絡安全問題同時也困擾著電子商務的發(fā)展。為了推進電子商務快速發(fā)展,加強對網絡安全的研究和應用意義十分重大。
一、網絡安全對于電子商務的重要性
當前,電子商務已逐步覆蓋全球,而網絡安全問題也得到了業(yè)內廣泛關注。電子商務的交易方式有別于傳統(tǒng)的面對面交易,在電力商務中,交易雙方均通過網絡進行信息交流,以網絡為媒介無疑加大了交易的風險性,因此安全的網絡環(huán)境能夠給交易雙方均帶來良好的體驗。電子商務的網絡安全管理較為復雜,不僅需要高新的技術做支持,如電子簽名、電子識別等,還需要用戶的配合,通常來說,用戶的個人信息越全面,網絡交易平臺對用戶的保護便會越全方位。可見,在電子商務交易平臺中,網絡安全具有十分重要的作用。
二、電子商務中網絡安全的技術要素
1、防火墻技術。防火墻技術主要是通過數(shù)據(jù)包過濾以及服務的方式來實現(xiàn)病毒的防治和阻擋入侵互聯(lián)網內部信息[1]。防火墻好比一個可以設定濾網大小的過濾裝置,可以根據(jù)用戶的需求,對信息進行過濾、管理。在服務器中,防火墻的技術便演化為一種連接各個網關的技術,對網關之間的信息聯(lián)通進行過濾。雖然上述兩種過濾管理技術形式略有區(qū)別,但本質相同,在電子商務中,可以將兩者結合使用,使各自的優(yōu)勢得到充分發(fā)揮。實現(xiàn)在防火墻內部設計好一個過濾裝置,以便對信息進行過濾與確定是否可以通過。
2、數(shù)據(jù)加密技術。數(shù)據(jù)加密是對于指定接收方設定一個解密的密碼,由數(shù)學的方式,轉換成安全性高的加密技術,以確保信息的安全。這里面會涉及到一個認證中心,也就是第三方來進行服務的一個專門機構,必須嚴格按照認證操作規(guī)定進行服務[2]。認證系統(tǒng)的基本原理是利用可靠性高的第三方認證系統(tǒng)CA來確保安全與合法、可靠性的交易行為。主要包括CA和Webpunisher,RA與CA的兩者通過報文進行交易,不過也要通過RSA進行加密,必須有解密密鑰才可以對稱,并通過認證,如果明文與密文的不對稱,就不會認證通過,保證了信息的安全[3]。
3、數(shù)字認證技術。為了使電子商務交易平臺更為安全、可靠,數(shù)字認證技術便應運而生,其以第三方信任機制為主要載體,在進行網絡交易時,用戶需通過這一機制進行身份認證,以避免不法分子盜用他人信息。PKI對用戶信息的保護通過密鑰來實現(xiàn),密鑰保存了用戶的個人信息,在用戶下次登陸時,唯有信息對稱相符,才能享受到電子商務平臺提供的相應服務,在密鑰的管理下,數(shù)據(jù)的信息得到充分保護,電子商務交易的安全性能得到了大幅提升。
三、電子商務中網絡安全提升的策略
1、提高對網絡安全重要性的認識。隨著信息技術的快速發(fā)展,網絡在人們工作、生活中已無處不在,我們在享受網絡帶來的便利時,還應了加強對網絡安全重要性的了解,樹立網絡安全防范意識,為加強網絡安全奠定思想基礎。應加強對網絡安全知識的宣傳和普及,使公民對網絡安全有一個全面的了解;同時,還應使公民掌握一些維護網絡安全的技能,以便發(fā)生網絡安全問題時,能夠得到及時控制,避免問題擴大化。
2、加快網絡安全專業(yè)人才的培養(yǎng)。網絡安全的提升離不開素質過硬的專業(yè)人才,由于網絡技術具有一定的門檻,如果對專業(yè)了解不深,技術上不夠專攻,專業(yè)問題便難以得到有效解決,應著力提升電子商務網絡安全技術人員的專業(yè)素養(yǎng),為加強網絡安全奠定人力基礎。在培養(yǎng)專業(yè)人才時,應勤于和國內外的專業(yè)人員進行技術交流,加強對網絡安全領域前沿技術的了解和掌握,避免在技術更新上落后于人。
3、開展網絡安全立法和執(zhí)法。網絡安全的有效提升需要從法律層面進行約束,應著力于完善網絡安全立法和執(zhí)法的相關工作,加快立法工作的步伐,構建科學、合理的網絡安全法律體系。自從計算機產生以來,世界各國均設立了維護網絡安全的相關法律法規(guī)。在新時期,我國應集結安全部、公安部等職能部門的力量,加強對網絡安全的管理,力求構建一個安全、健康的網絡環(huán)境。
四、結論
綜上所述,在信息時代背景下,電子商務假以時日便會成為信息交流的重要平臺,成為全球競爭發(fā)展的熱門領域。我國電子商務起步較晚,但發(fā)展后勁十足,在一體化趨勢的引導下,電子商務應著力提升網絡的安全性,形成具有我國特色的電子商務,在全球經濟中力爭贏得一席之地。
參 考 文 獻
[1]梁文陶.計算機技術應用與電子商務發(fā)展研究[J].太原城市職業(yè)技術學院學報,2013(08):125-126.
一、網絡架構與網絡核心技術
(一)網絡架構的本質及其安全問題
從本質上看,網絡就是把計算機聯(lián)接起來的軟硬件體系,而把不同國家和地區(qū)的計算機及網絡相互聯(lián)接起來就形成了互聯(lián)網,其中因特網的影響力最大。除了因特網(Internet),美國還控制和運行著別的互聯(lián)網比如“國際學術網”(BITNET),美國還從2018年開始啟動“射月工程”,研發(fā)全新架構的互聯(lián)網,用于替代有本質安全缺陷的因特網。互聯(lián)網的基礎是由地址架構、尋址協(xié)議、通信方式、網絡設施等構成。地址架構就是構建網絡地址的數(shù)據(jù)格式和表達方式,決定著網絡空間的大小和特性,更是攸關網絡安全,因特網的大量安全問題本質上就是因特網的地址架構存在嚴重缺陷并難以克服。尋址協(xié)議就是找到網絡地址(網絡空間)的方法,具體體現(xiàn)為一系列的接口軟件,因特網目前廣泛使用第四版TCP/IP尋址協(xié)議族即IPv4,正在推廣第六版尋址協(xié)議族即IPv6,這些TCP/IP協(xié)議族的知識產權大多由其他國家壟斷。通信方式是前往網絡地址(網絡空間)的道路,目前廣泛采用第三代通信方式即IP分組、路由表廣播等,對路由表廣播的控制權是其他國家實現(xiàn)定向網絡干擾或斷網、定向竊取網絡信息的技術基礎,但并未引起我國安全部門的重視。網絡設施主要由通信光纜、交換設備、路由設備、根服務器、計算設施、存儲設施、操作系統(tǒng)、應用軟件等組成,是目前政府和公眾對網絡安全的關注焦點。
(二)網絡的核心技術組成
網絡系統(tǒng)主要由網絡通信基礎設施(如光纜、路由交換器、通信基站、二次電源等)、網絡運行系統(tǒng)(如路由系統(tǒng)、數(shù)據(jù)傳輸協(xié)議)、網絡服務系統(tǒng)(如域名系統(tǒng)、用戶認證系統(tǒng)等)和網絡應用系統(tǒng)(如電子商務、云計算、區(qū)塊鏈等)所組成。網絡安全體系的構建必須要覆蓋這四大組成部分,它們是網絡安全體系中的核心技術組成部分,是網絡安全體系的基礎。一是網絡通信基礎設施。該部分可分成骨干網和接入網兩部分。骨干網絡設施是互聯(lián)網的主動脈,以光纖和相關交換設備為主,在和平時期要確保其絕對安全可靠和高性能運行,以滿足各類應用的需求;在戰(zhàn)爭時期,要盡量確保安全可靠的基礎服務,滿足特殊應用的需求。要達到這一目的,要保障一定數(shù)量的冗余網絡設施,也可以研究新型網絡技術來綜合使用民間通信資源。接入網為用戶終端提供入網服務,目前以有線和無線接入方式混合。我們需要提供更多靈活安全的接入方法。但是,無線通信信號更易被截取和受到干擾,所以要加強對無線通信安全使用方面的指導和對頻譜資源使用的實時監(jiān)管。二是網絡運行系統(tǒng)。要逐步實現(xiàn)物理層、數(shù)據(jù)鏈路層、網絡層和傳輸層等關鍵技術(協(xié)議、算法等)的絕對掌控,以確保網絡的安全可靠和高效運行。主要涉及到物理信號的安全收發(fā)技術、網絡安全接入控制、數(shù)據(jù)的快速交換和安全路由以及在網上所傳數(shù)據(jù)的隱私性和完整性保護等方面。由于陸地移動用戶數(shù)量巨大,海上和空中均無法使用有線連接,無線網絡的應用越來越廣泛。但是相對于有線網絡,無線網絡更易受到攻擊,所以要加大研發(fā)和生產無線網絡安全方面的技術和產品。三是網絡服務系統(tǒng)。互聯(lián)網的廣泛使用離不開各類服務支撐系統(tǒng),比如域名服務系統(tǒng)以及用戶認證系統(tǒng)等。這些系統(tǒng)的安全性將直接影響應用的安全性,它們不僅僅與其所采用的技術安全性相關,更決定于運行和管理系統(tǒng)的組織者。比較著名的服務系統(tǒng)是域名服務系統(tǒng),它主要負責將用戶容易記憶的域名轉換成網絡數(shù)據(jù)傳輸認可的IP地址。目前該系統(tǒng)的運行由其他國家掌管,一旦它停止對某個域名進行解析,其所對應的服務就無法被訪問。所以,該系統(tǒng)幾乎控制了整個互聯(lián)網的應用空間,對網絡安全的影響巨大。獨立的網絡安全體系必須要擺脫這樣的掣肘,但是要使一個新域名系統(tǒng)得到他人的普遍認可要比實現(xiàn)其技術難得多。所以一種可行的方案是研究多域名系統(tǒng)共存技術,以避免在一棵樹上吊死的局面。四是網絡應用系統(tǒng)。它是由通過網絡所連接起來的各種網絡終端設備和運行其上的各種應用軟件所組成,主要終端包括服務器、數(shù)據(jù)庫設備、個人終端以及各類傳感器和遠程控制設備等;應用軟件系統(tǒng)更加多種多樣,如購物、股票交易和網絡游戲及在線會議和聊天等軟件。雖然這些系統(tǒng)往往會自帶安全機制,但是對于來自網上的安全威脅還是無法獨自應對。例如,簡單且歷史悠久的分布式DOS攻擊曾經使得一些著名服務系統(tǒng)癱瘓,如Google和百度瀏覽系統(tǒng)以及最近的湖南衛(wèi)視等都遭受過類似攻擊。對于來自于網上的安全威脅,我們除了要加強研發(fā)、部署隔斷和防火墻等被動式防御措施外,更要研究主動式安全防御技術,以盡早發(fā)現(xiàn)和消滅安全隱患;同時要加強互聯(lián)網空間司法刑偵技術的研發(fā),以便于加強互聯(lián)網空間法治執(zhí)行的力度。
二、上海城市數(shù)字化轉型面臨的網絡安全挑戰(zhàn)
上海在數(shù)字經濟強勢崛起的過程中,必將面臨諸多網絡安全挑戰(zhàn),包括:一是出現(xiàn)更多形式的網絡攻擊及違法行為。數(shù)字時代的網絡攻擊及違法行為已經發(fā)展為以經濟利益為目的,有組織、有計劃,形式多樣、防不勝防。例如:永恒之藍勒索病毒;隱私竊取并定向詐騙的產業(yè)鏈;社交軟件“殺豬盤”;等等。二是網絡攻擊及違法的技術門檻極低。比如,隨意就能網購的改號軟件、自動呼叫軟件、基站跟蹤軟件、手機竊聽軟件、黑客軟件等,讓犯罪變得越來越便利。三是新的智能設備產生更多新的漏洞。如,居家攝像頭、手機攝像頭、手機APP、WIFI設備、大數(shù)據(jù)存儲等,更容易被犯罪分子直接調用,導致犯罪門檻下降。四是萬物互聯(lián)的物聯(lián)網帶來全新的安全隱患。比如通過網絡遠程控制自動駕駛汽車的剎車、轉向、油門等,遠程從事恐怖活動、不怕追捕。五是數(shù)據(jù)泄露風險加劇。企業(yè)數(shù)據(jù)、個人信息被各企業(yè)及政府機構過度采集,信息泄露渠道過多、難以追責,危害人身財產安全及社會經濟安全。六是網絡犯罪違法成本過低。由于網絡犯罪的隱蔽性、技術性、跨地域甚至跨國性,導致刑偵難度大、成本高,加上立法不夠完善,造成網絡違法成本相對過低。七是互聯(lián)網缺乏自主可控性。目前我國互聯(lián)網主要依賴其他國家因特網,隨時面臨其他國家的互聯(lián)網霸權和長臂管轄。比如,2018年美國廢除了《互聯(lián)網中立法案》,可以合法使用因特網達成其政治、軍事和經濟目的。2020年美國宣布“清網行動”:取消中國通信公司在美國的營業(yè)執(zhí)照;美國禁用中國APP;禁止中國手機預裝美國APP;禁止中國公司提供云服務;禁止中國公司競標海底光纜;等等。
三、上海數(shù)字化轉型中網絡安全體系建設的建議
關鍵詞 網絡安全實驗 課程教學 實驗設計
中圖分類號:G424 文獻標識碼:A
0 引言
隨著網絡信息產業(yè)的快速發(fā)展,網絡安全成為亟需解決的問題,我院為了培養(yǎng)應用型本科人才,在網絡通信專業(yè)培養(yǎng)計劃中設置了網絡安全實驗這門選修課,因為開設時間較短,教學過程還處于探索階段。網絡安全實驗教學這門課無論在掌握計算機學科理論,還是鍛煉學生在實際工作生活中解決應用問題的能力方面,都起到了十分重要的作用。因為是實驗課程,所以在教學過程中,比較重視實踐操作過程。網絡安全實驗課程的內容比較集中在P2DR模型中說涉及的網絡安全防御、檢測、響應三大領域,以滿足在現(xiàn)實工作中所遇到的不同網絡安全問題。因此,本文從實驗項目的選擇,實驗平臺的建立,以及實驗教學方法等上對網絡安全實驗教學進行探索。
1 實驗平臺搭建
首先是虛擬機技術在實驗中的使用,網絡安全實驗中的實驗具有一定的破壞性,所以我們采用了虛擬機來進行實驗,在網絡安全實驗中,需要模擬網絡攻擊,使學生掌握怎樣防御的同時,也了解攻擊技術。所以在實驗中我們首先安排了Vmware虛擬機的安裝與配置。在虛擬機中我們安裝windowsserver2003服務器版操作系統(tǒng),并且配置開啟相關服務。
因為硬件條件有限,所以我們的大量實驗還只能在虛擬機上進行,但為了使學生身臨其境的感受網絡安全技術,我們在綜合實訓中還是建立了基礎的網絡攻防實驗環(huán)境。
2 實驗項目設計
在我國,高校是培養(yǎng)網絡安全人才的核心力量。網絡攻擊與防護是網絡安全的核心內容,也是國內外各個高校信息安全相關專業(yè)的重點教學內容。所以在實驗項目設計上我們體現(xiàn)了實用性為主的觀念,要在實驗中更多的體現(xiàn)未來學生畢業(yè)后,會遇到的網絡安全問題。所以設置了以下實驗:
(1)安裝Vmware虛擬機,并配置完整的網絡環(huán)境。配置完善win2003server虛擬環(huán)境,為以后的實驗搭建平臺,習和掌握Vmware虛擬機的安裝與配置,以建立網絡攻防平臺。
(2)加密原理與技術,利用不同技術進行加密。了解和掌握各種加密方法,以實現(xiàn)信息加密。學習和掌握密碼技術,利用密碼技術對計算機系統(tǒng)的各種數(shù)據(jù)信息進行加密保護實驗,實現(xiàn)網絡安全中的數(shù)據(jù)信息保密。
(3)PPPoE的網絡通信原理及應用。學習和掌握基于PAP/CHAP的PPPOE的身份認證方法。學習和掌握利用身份認證技術對計算機和網絡系統(tǒng)的各種資源進行身份認證保護實驗,實現(xiàn)網絡安全中的信息鑒別。
(4)掌握Windows系統(tǒng)中基于PPTV VPN的功能、配置與使用操作。學習和掌握如何利用防火墻技術對網絡通信中的傳輸數(shù)據(jù)進行鑒別和控制實驗。
(5)學習掌握Windows系統(tǒng)中NAT防火墻的功能、配置與使用操作。學習和掌握網絡通信中的合法用戶數(shù)據(jù)信息的傳輸,以實現(xiàn)網絡安全中的保密性、鑒別性和完整。
(6)學習和掌握Superscan掃描工具對計算機進行端口掃描的方法,操作應用。學習和掌握各種網絡安全掃描技術和操作,并能有效運用網絡掃描工具進行網絡安全分析、有效避免網絡攻擊行為。
(7)學習和掌握如何利用Wireshark進行網絡安全監(jiān)測與分析。學習各種網絡監(jiān)聽技術的操作實驗,能利用網絡監(jiān)聽工具進行分析、診斷、測試網絡安全性的能力。
(8)學習和掌握Snort網絡入侵監(jiān)測系統(tǒng)的安裝、配置和操作。學習和掌握Snort入侵檢測系統(tǒng)的基本原理、操作與應用實驗。
3 綜合實訓
為了讓學生能適應真實的網絡環(huán)境,使之更貼近應用型人才的培養(yǎng)方案,最后我們設計了綜合實訓這個環(huán)節(jié),讓學生在網絡通信系統(tǒng)中綜合運用各種網絡安全技術,設計一個整體的網絡安全系統(tǒng)。分析公司網絡需求,綜合運用網絡安全技術構建公司網絡的安全系統(tǒng)。通過一個實際網絡通信系統(tǒng)中的綜合運用,實現(xiàn)整體系統(tǒng)的有效設計和部署。
學生分組進行實訓,分為防御組與攻擊組,為了充分利用實驗資源讓防御組的同學在局域網環(huán)境下搭建服務器靶機,并讓防御組的同學配置VPN、NAT防火墻的技術并搭建SNORT入侵檢測系統(tǒng)。攻擊組同學操作學生終端嘗試攻擊服務器靶機,使用ARP欺騙等技術。防御組的學生使用Wireshark網絡監(jiān)聽查看ARP欺騙源地址,并解決該威脅。
4 結論
隨著網絡技術的發(fā)展,網絡安全成為重中之重,為了培養(yǎng)本科應用型人才,實踐證明實驗必須貼近真實存在的案例才能提高學生的實際網絡攻防水平,使學生掌握網絡安全的新技術,而使用綜合實訓這種方式,更是提高了學生的參與積極性,使教學質量進一步提升。
參考文獻
[1] 常晉義.網絡安全實驗教程. 南京大學出版社,2010.12.
隨著網絡技術的發(fā)展,各種網絡威脅也隨影而至。特別是無線網絡技術的發(fā)展,使得互聯(lián)網的體系結構更加復雜,任何網絡節(jié)點的薄弱環(huán)節(jié)都有可能會是網絡攻擊者的突破口。近幾年,引起廣泛關注的高級持續(xù)性威脅(AdvancedPersistentThreat)更是綜合了各種可以利用的突破口對目標進行長期踩點,并在適當?shù)臅r候對目標發(fā)動攻擊。因此,網絡安全管理人員需要具備操作系統(tǒng)、數(shù)據(jù)庫、密碼學的理論與技術、掌握網絡路由與交換技術、網絡管理技術,網絡編程技術,以及常見的網絡服務器的管理與配置,尤其是對Web服務器的深入理解。但無論是信息安全專業(yè)還是信息對抗專業(yè)的培養(yǎng)方案都在網絡路由域交換技術、網絡管理技術等相關課程的設置方面比較薄弱,無法滿足網絡安全管理人員對相關知識體系的要求。因此,網絡工程專業(yè)依托其深厚的網絡知識體系,更適合建立網絡安全管理所需要的理論技術,更適合培養(yǎng)網絡安全管理人才。
2網絡工程專業(yè)的網絡安全課程體系建設
根據(jù)當前社會對于網絡和網絡安全人才的需求,本校制定了相應的人才培養(yǎng)計劃,歷經10年的改革與發(fā)展,形成了當前網絡工程專業(yè)下的三個特色方向:網絡技術方向、網絡安全方向、網絡編程技術方向。無論是網絡技術還是網絡安全技術都離不開網絡編程技術的支撐,缺少相應的編程能力網絡技術與網絡安全技術也注定會是瘸腿的技術,無法滿足網絡管理與網絡安全管理的需求。因此這三個方向相互融合形成的高級網絡與網絡安全技術方向,形成了目前網絡工程專業(yè)較為穩(wěn)定的培養(yǎng)目標。“PKI體系及應用”與“網絡安全協(xié)議”是以應用密碼學為基礎的延伸課程。培養(yǎng)學生利用現(xiàn)代密碼學的技術研發(fā)密碼產品的能力。“PKI體系及應用”以證書認證中心為軸心,詳細介紹公開密鑰基礎設施的基本概念、基本原理、基本方法,以及公開密鑰基礎設施在現(xiàn)代密碼產品中的應用研發(fā)技術。“網絡安全協(xié)議”從密碼應用系統(tǒng)業(yè)務邏輯層面的安全分析入手,介紹常見的網絡安全協(xié)議、網絡安全標準和典型的網絡安全應用系統(tǒng),在此基礎上,介紹安全協(xié)議設計及其安全性分析的基本理論與技術,使學生掌握基本的網絡安全協(xié)議設計方法,能夠根據(jù)具體的應用背景設計對應的網絡安全協(xié)議,研發(fā)安全應用系統(tǒng)。網絡攻防類課程是在以“應用密碼學”等信息安全類課程開設的基礎上,根據(jù)網絡工程專業(yè)的建設和國內網絡安全形勢的需要而開設的網絡維護類課程。其中,“網絡攻防技術入門”是在大一新生中開設的新生研討課,共16學時,分8次上課,以學生討論的方式組織教學,通過安排技術資料研讀和課堂討論,啟發(fā)學生對網絡攻防技術的學習興趣,掌握基本的網絡威脅防護方法。“網絡信息對抗”綜合講授與網絡安全相關的法律法規(guī)、網絡滲透技術和網絡防護技術。課程共64學時,理論授課32學時,實驗32學時,每個理論學時跟著一個實驗學時,以邊學邊練的方式組織教學。實驗教學通過專用綜合攻防平臺進行驗證性訓練。“計算機取證技術”主要講述計算機取證的基本方法、基本過程、數(shù)據(jù)恢復技術、證據(jù)提取技術、證據(jù)分析技術,以及常見的計算機取證工具的使用方法。“信息安全技術實訓”是在四年級上學期開設的實訓課程,共計192學時,8個學分。該課程分為兩個部分,第一部分以實際的項目案例為驅動,訓練學生對現(xiàn)代密碼理論技術應用能力與程序設計能力,目標是設計并實現(xiàn)一個小型的網絡安全軟件系統(tǒng)。第二部分以實際的網絡安全案例為驅動,訓練學生對于目標系統(tǒng)的滲透能力與網絡加固能力、以及對于整個滲透過程的取證分析能力。該實訓課程與學生的實習相互結合,部分學生進入網絡安全公司進行實習,提交綜合實習報告來獲得同校內綜合實訓相當?shù)膶W分。通過三年的實踐,效果良好。
3網絡安全方向的人才培養(yǎng)分析
網絡安全方向已經形成了較為完善的課程體系,學生學習興趣高漲,在校內形成了良好的網絡安全研究氛圍。自發(fā)形成了保有數(shù)為20人左右的本科生興趣研究小組,另外,通過每年一屆的全校網絡安全知識比賽,促進了全校網絡安全知識的普及與人才培養(yǎng),通過組織參加全省大學生網絡信息安全知識比賽,選拔優(yōu)秀本科生進入相關課題研究,而且都取得了較好的效果。
4結語
關鍵詞 : 油田企業(yè);網絡安全;防火墻技術;
0 、引 言
為了促進社會主義經濟持續(xù)健康發(fā)展,必須健全油田企業(yè)信息化網絡安全體系,以實現(xiàn)社會效益與經濟效益的結合。隨著科技的進步,油田企業(yè)的計算機網絡面臨著各方面的發(fā)展威脅,因此需要提高油田企業(yè)的安全防護,積極應用相應的防護方案。
1 、油田企業(yè)計算機網絡安全問題解決的必要性
在油田企業(yè)信息化體系構建的過程中,網絡安全防護發(fā)揮著重要的作用。通過對計算機網絡安全防護技術的優(yōu)化,可以將油田企業(yè)的網絡風險問題控制在合理范圍內,從而實現(xiàn)計算機網絡系統(tǒng)安全、穩(wěn)定運作,并提高計算機網絡系統(tǒng)的安全運作效率,實現(xiàn)計算機網絡價值及作用的發(fā)揮。在油田企業(yè)發(fā)展過程中,有些計算機信息存儲在計算機系統(tǒng)內部,涉及諸多機密數(shù)據(jù)信息,若這些數(shù)據(jù)被泄漏,則必然影響油田經濟的穩(wěn)定運作。通過油田經濟安全防護工作,可以及時發(fā)現(xiàn)相關的安全隱患問題,采取相關的解決方法,解決信息化網絡問題,有效提高計算機信息的安全性[1]。
2 、油田企業(yè)網絡安全問題出現(xiàn)的原因
2.1、 網絡技術水平有待提升
受到油田企業(yè)經濟發(fā)展環(huán)境的影響,我國油田企業(yè)的網絡安全建設技術比較落后,特別是網絡病毒庫的建設技術、網絡防火墻防護技術等,油田網絡防護模塊存在較多的安全問題,不利于油田企業(yè)網絡安全的維護。
2.2、 網絡管理方案落后
在油田網絡安全性實踐中,網絡系統(tǒng)的管理質量及水平直接影響到油田網絡的安全性,我國油田網絡的安全性問題不可避免,若不能及時更新網絡管理方案,則會導致嚴重的油田企業(yè)網絡安全問題,不僅會造成巨大的經濟損失,還不利于社會經濟的有序運轉。
2.3、 缺乏對軟件和技術服務的足夠重視
在網絡安全維護管理中,領導者的管理意識直接影響著油田網絡的安全性管理水平。如果領導及相關人員缺乏對軟件及相關技術服務的足夠重視,則不利于相關網絡安全軟件技術的更新及升級,其就很容易受到各類病毒及黑客的攻擊。
3、 油田企業(yè)信息化網絡安全方案
3.1、 加強病毒管理與軟件升級
為了提高油田企業(yè)的信息化網絡安全水平,必須強化病毒管理相關工作,實現(xiàn)系統(tǒng)軟件的不斷升級與維護,減少可能出現(xiàn)的油田企業(yè)網絡隱患問題。首先,要做好各類殺毒軟件的應用工作,在計算機及相關局域網移動設備上進行相關殺毒軟件的安裝,實現(xiàn)殺毒軟件作用及功能的發(fā)揮,提高計算機系統(tǒng)對病毒的防范能力[2]。其次,在油田網絡安全性維護過程中,要做好計算機中各類存儲信息的加密及備份工作,加強對計算機網絡信息加密技術的應用,避免出現(xiàn)各類信息盜取及篡改問題,實現(xiàn)數(shù)據(jù)加密技術的優(yōu)化,要求有相應的權限才能獲得相應的信息,避免油田網絡數(shù)據(jù)信息丟失。在這個過程中,需要安排專業(yè)人員積極展開殺毒,實現(xiàn)定期殺毒,以提高計算機網絡的安全性[3]。
3.2、 利用防火墻防護
為了提高油田網絡的安全性,必須不斷完善防火墻技術。在防火墻技術應用的過程中,需要實現(xiàn)軟件防火墻與硬件防火墻的結合,就各類網絡信息數(shù)據(jù)展開分析及過濾,及時攔截危險的數(shù)據(jù)信息,實現(xiàn)對油田網絡所有業(yè)務的篩選及封閉式管理,并對操作者的行為展開控制及監(jiān)督,及時發(fā)現(xiàn)操作異常狀況,記錄油田網絡數(shù)據(jù)的缺失問題[4]。在某油田企業(yè)信息化網絡安全實踐過程中,其進行了復合型防火墻的應用,這種防火墻應用了先進的處理器,處理頻率非常高,具備大數(shù)據(jù)吞吐量和高速率的過濾寬帶,在油田計算機網絡安全管理過程中滿足了多用戶的使用需求。這種復合型防火墻具備隱藏局域網內部網絡地址的功能,能夠有效提高油田企業(yè)的網絡安全性。在網絡安全設置過程中,通過應用這類防火墻,可以更好地避免由于客戶端運行腳本語言導致的網絡安全性問題,也能夠通過對一些視頻網站及游戲網站的分析,找到網絡安全問題,并及時處理[5]。在油田企業(yè)發(fā)展過程中,通過對其網絡安全的維護,有利于充分發(fā)揮油田企業(yè)對社會經濟的發(fā)展作用。石油是我國重要的能源資源,只有做好油田企業(yè)的信息化網絡安全工作,才能為石油能源的有效性、持續(xù)性生產奠定良好的環(huán)境基礎,從而解決油田企業(yè)的各類網絡問題,實現(xiàn)我國油田經濟的合理有序運作。
在防火墻安全防范技術應用的過程中,涉及4種技術,分別是數(shù)據(jù)包過濾技術、網關型技術、服務技術、復合型安全技術。應用這些技術,能夠提高計算機網絡安全水平。在數(shù)據(jù)包過濾技術安全防護的過程中,需要根據(jù)系統(tǒng)設置狀況展開過濾,其是一種有效的訪問控制表技術,能對軟件中的每一個數(shù)據(jù)包源地址及目的地址等展開分析,若發(fā)現(xiàn)相關異常問題,則不予通過[6]。目前的網關型技術種類諸多,如WG585邊緣計算網關架構和MQTT協(xié)議可以實現(xiàn)云服務的接入,能夠通過大數(shù)據(jù)云平臺來構建工業(yè)物聯(lián)網平臺,它能夠實現(xiàn)數(shù)據(jù)實時響應、數(shù)據(jù)模型分析判斷、設備遠程維護下載等功能。型防火墻技術由服務器進行分析,在接受客戶的相關瀏覽要求后,再根據(jù)請求狀況,與預先設置的情況進行對比分析,當信息回到防火墻終端后,再由防火墻終端轉送到用戶客戶端。復合型防火墻技術的應用,實現(xiàn)了數(shù)據(jù)包過濾技術與服務技術的結合,相較于普通的網絡防護技術,其具備更高的靈活性及安全性。
在油田網絡安全技術應用的過程中,需要應用科學的防火墻安全策略,防火墻的產品種類很多,不同的防火墻有不同的應用功能,相關人員需要根據(jù)油田企業(yè)的實際運作狀況,選擇適合企業(yè)發(fā)展的防火墻技術。在防火墻配置的過程中,需要保障自己所設置的防火墻信息的明確性,提高防火墻的安全性,使其符合油田經濟的發(fā)展要求。為了提高油田企業(yè)計算機網絡的安全性,需要保障其網絡地址具備良好的轉換功能,這需要做好計算機防火墻的維護工作,使其具備網絡虛擬的專用功能、良好的病毒掃描功能等,滿足特殊控制的相關需求。通過復合型防火墻技術的應用,可以從數(shù)據(jù)流方面與服務方面做好相應的網絡安全管理工作,充分發(fā)揮防火墻的功能。
3.3、 強化設備管理體系
為了提高油田網絡的病毒防范能力及防火墻應用能力,必須做好防火墻的設計優(yōu)化以及防火墻的日常使用與維護工作,保障相關管理人員進行有效的操作。要想做好網絡設備的管理工作,油田企業(yè)需要根據(jù)自身發(fā)展狀況及生產運營狀況,選擇適合的硬件設備及軟件設備,為設備的正常運行提供良好的環(huán)境。在網絡防護設備應用的過程中,需要將各類網絡安全設備放置在獨立的空間內,減少外界因素對油田企業(yè)網絡安全的威脅。同時,油田企業(yè)要安排專業(yè)人員做好網絡安全設備的管理及維護保養(yǎng)工作,實現(xiàn)管理環(huán)節(jié)與維護保養(yǎng)環(huán)節(jié)相結合,做好全方位的設備檢查工作,解決設備運行過程中的問題,提高計算機網絡設備的安全性、穩(wěn)定性。定期開展設備維護及管理工作,延長設備的使用壽命。
3.4、 營造良好的計算機網絡運行環(huán)境
在油田企業(yè)可持續(xù)性發(fā)展的過程中,必須營造良好的計算機網絡運行環(huán)境。根據(jù)油田企業(yè)的實際運作狀況,制訂有效的計算機網絡安全防護方案,強化計算機安全管理工作,進行傳統(tǒng)網絡管理機制的創(chuàng)新,實現(xiàn)網絡管理內容的細化及完善發(fā)展。要正確認識計算機網絡操作技術的相關規(guī)范及要求,嚴格規(guī)范計算機管理人員的日常工作行為。在網絡安全維護過程中,一旦出現(xiàn)相關人員違規(guī)操作,就要及時進行嚴肅處理。在計算機網絡安全防護過程中,要提高安全管理的綜合效益,需要每個工作人員重視,并不斷端正自身工作態(tài)度,將安全防護工作落到實處,避免主觀因素導致計算機網絡安全問題。
3.5、 聘用專業(yè)的計算機網絡安全管理團隊
在網絡安全維護過程中,油田企業(yè)需要聘用專業(yè)的網絡安全管理人員,積極開展計算機網絡的安全管理工作實踐,做好企業(yè)安全管理的教育培訓工作,強化對相關人員的引導及指導。在油田企業(yè)網絡安全管理過程中,要做好油田工作區(qū)域網絡的升級工作,避免員工的不良工作行為對油田企業(yè)網絡安全產生危害。
為了提高計算機網絡安全的穩(wěn)定性,必須優(yōu)化計算機網絡安全方案,提高相關人員對計算機網絡安全的重視程度。工作人員在具體的操作過程中,需要遵循相應的標準及流程展開計算機網絡安全管理工作,定期對相關人員展開技能培訓,使相關計算機網絡安全人員正確認識計算機網絡的操作流程及步驟,包括各項作業(yè)標準及注意事項,通過各種方式提高計算機網絡的安全性、穩(wěn)定性。針對不同的計算機網絡安全技術,工作人員要有清晰的認識,要明確不同應用技術的優(yōu)勢、特點及在使用過程中的問題,根據(jù)實際運作情況,將先進、安全的技術應用到計算機網絡實踐中。為此,油田企業(yè)要設置統(tǒng)一的網絡安全技術標準。
4、 結 語
為了促進油田企業(yè)合理有序運行,必須盡可能提高油田企業(yè)的網絡安全,實現(xiàn)油田信息的安全、有效管理,不斷提高油田企業(yè)的安全管理質量。在防火墻技術、計算機網絡安全掃描技術等應用的過程中,需要充分提高防火墻技術的應用效率,提高油田企業(yè)的信息化水平,保障計算機病毒預防系統(tǒng)、網絡防火墻系統(tǒng)等的安全防護功能得到發(fā)揮,防范各類外來病毒及惡意軟件,實現(xiàn)油田數(shù)據(jù)網絡合理有序運行。
參考文獻
[1]于佳妍大數(shù)據(jù)時代石油企業(yè)網絡安全防護策略[J]電子技術與軟件工程, 2019(23):190-191.
[2]竇進成試論天然氣長輸管道防腐的重要性及防護策略[J]全面腐蝕控制, 2017(3);:53-54.
[3]丁永朝,組關于原油儲罐腐蝕問題的探究及防護策略[J]中國石油和化工標準與質量, 2012(9);.274.
[4]楊中國沿海某大型煉廠外部腐蝕防護策略探討[J]全面腐蝕控制, 2016(12):54-56.
摘要:本文介紹了筆者基于Open Source技術所設計的一些網絡安全實驗,并詳細介紹了每個實驗的平臺構建和實驗項目。
關鍵詞:Open Source;網絡安全;實驗
中圖分類號:G642 文獻標識碼:B
1引言
2007年11月在武漢大學召開的“第一屆中國信息安全學科建設與人才培養(yǎng)研討會”上,教育部信息安全專業(yè)指導委員會初步提交了“信息安全類專業(yè)指導性專業(yè)規(guī)范”,在該規(guī)范中,不僅制定了信息安全專業(yè)畢業(yè)生規(guī)格和信息安全專業(yè)知識體系,而且創(chuàng)造性地提出了信息安全專業(yè)實踐能力體系,強調了信息安全專業(yè)畢業(yè)生應具備的實踐能力。信息安全決不是書本上空洞的理論和抽象的安全策略,要使學生真正掌握好信息安全技術,需要大量的實踐環(huán)節(jié)加以理解、掌握和應用。
文獻[1]中提出了利用Open Source技術實現(xiàn)網絡安全課程中的實驗教學,設計了8個實驗專題FTP協(xié)議分析、HTTP協(xié)議分析、IPsec VPN實驗、PKI及SSL實驗、SMTP和POP3協(xié)議分析實驗、TCP協(xié)議分析實驗、端口掃描實驗、網絡安全掃描實驗,用來加強教學過程中的技術專題實驗,增強教學效果。
但筆者認為文獻[1]中設計的實驗專題遠不能滿足“網絡安全”課程的教學需要,而且很多是利用嗅探工具進行協(xié)議分析的實驗。筆者在文獻[1]的基礎上又設計了幾個“網絡安全技術”實驗專題,介紹了實驗內容,并詳細描述了每個實驗的平臺構建、設計了實驗項目。
2實驗內容
本文所設計的網絡安全實驗由三個實驗專題組成,實驗的內容以及需要的開放源代碼軟件、所需要的硬件由表1所示。
3實驗設計
下面按照信息安全專業(yè)的培養(yǎng)計劃,結合“網絡安全技術”課程對以上實驗項目的原理、實驗平臺搭建、設計的實驗項目進行討論。
3.1網絡層及傳輸層firewall實驗
開放源代碼組織在創(chuàng)建防火墻軟件方面已經做得很優(yōu)秀,而且這些軟件對任何規(guī)模的網絡都很理想[2]。本文中將以IPtables軟件為例來說明防火墻實驗的設計。IPtables能在網絡層和傳輸層進行包過濾,并能進行網絡地址翻譯(NAT)和端口重定向。
為了使firewall實現(xiàn)包過濾、NAT以及端口重定向等功能,搭建如圖1所示的網絡實驗環(huán)境。在該環(huán)境中只需要1臺用于運行IPtables防火墻的Linux主機,三臺Windows主機分別連接到防火墻主機的三塊網卡(NIC)上,用來表示Internet區(qū)域、DMZ和私有網絡。為了滿足實驗的要求,在這三臺Windows主機上必須安裝的一些軟件如各種服務器軟件并加以配置使其正確運行。
在以上的實驗環(huán)境中,設計滿足如下網絡安全要求的防火墻實驗:
a) 允許網絡接口eth1、eth2相連接的LAN1和LAN2之間相互通信。
b) 從LAN1、LAN2發(fā)往internet的數(shù)據(jù)包被偽裝成IP地址210.45.157.254。
d) 來自internet的主機不能訪問1023以下的LAN1和LAN2中的內部端口。
c) LAN1和LAN2的任何主機可以使用internet中的任何服務(Web,E-mail,F(xiàn)tp等)。
e) 拒絕從防火墻的internet接口(eth0)進行的欺騙攻擊(即黑客把防火墻作為默認網關,偽裝成內部網IP,進入內部網絡),并進行日志記錄。
f) 拒絕全部從eth0進入的ICMP通信。
g) 允許internet中的主機訪問LAN1中的DNS服務、WEB服務、FTP服務,其它服務如telnet等禁止。
通過該實驗可以讓學生掌握通過防火墻實現(xiàn)包過濾、網絡地址翻譯(NAT)和端口轉發(fā)等網絡安全技術的原理。另外也可使學生掌握IPtables的防火墻規(guī)則編寫方法、IPtables中的表和鏈的概念,防火墻在網絡系統(tǒng)中的部署、安裝、配置和測試方法等,為以后真正使用防火墻來保護網絡奠定堅實的基礎。
3.2應用層firewall實驗
服務器防火墻的原理是所有內部主機的請求都發(fā)送到服務器,由服務器發(fā)送Internet請求,當響應的包達到時,服務器將其發(fā)送到發(fā)出初始請求的內部主機上。
使用應用層防火墻即服務器是另一種創(chuàng)建網絡邊界的方法,并能用更具體的方式過濾通信,通過增加規(guī)則過濾網頁內容,可以過濾掉地址中包含某些單詞的Web頁請求。另外還有降低帶寬成本,提高網絡性能,實現(xiàn)負載平衡的優(yōu)點[2]。
本實驗項目利用Squid Web緩存服務器來實現(xiàn)。圖2是實現(xiàn)該實驗項目的平臺。
在以上的實驗環(huán)境中,設計滿足如下要求的實驗:
a)Windows Client通過Squid服務器訪問www服務器或ftp服務器。
b) 設置規(guī)則(如關鍵詞)進行URL的內容過濾。
c) 在squid.conf中定義ACL(訪問控制列表)用于源IP地址、IP地址范圍,目標IP地址、IP地址范圍進行訪問時的允許或拒絕。
d) 實現(xiàn)認證,即對使用服務器的客戶端進行Username/Password身份認證。
通過該實驗還可以讓學生真正了解包過濾防火墻與服務器的區(qū)別,包過濾防火墻工作在網絡層和傳輸層,而服務器工作在應用層。教師可指導學生通過嗅探工具(如sniffer)或查看www服務器的訪問日志來驗證它們之間的區(qū)別。
3.3入侵檢測實驗
Snort是用C語言編寫的開源的、跨平臺、輕量級的網絡入侵檢測軟件。從入侵檢測分類上來看,Snort是一個基于網絡和誤用(misuse detection)的入侵檢測系統(tǒng)。Snort采用基于規(guī)則的網絡信息搜索機制,對數(shù)據(jù)包進行內容模式匹配,從中發(fā)現(xiàn)入侵和探測行為。它與基于異常檢測(anomaly detection)的IDS比較缺點是不能檢測到新的攻擊行為。通過Snort入侵檢測系統(tǒng)的安裝,配置和管理,可加強學生對入侵檢測系統(tǒng)原理的理解。實驗平臺架構如圖3所示。
在圖3中的Linux+snort是作為入侵檢測系統(tǒng)部署的,目的是在廣播式的網絡中捕獲數(shù)據(jù)包并進行入侵檢測,也可將圖3中的HUB換成switch,但該交換機要具有端口流量鏡像功能。Windows client作為攻擊者主機,www/ftp/mail server作為被攻擊主機。
設計如下入侵檢測實驗:
a) 以守護進程運行snort IDS。
b) 深入了解snort IDS規(guī)則庫,并測試一種新的攻擊snort IDS能否檢測到,然后將新的攻擊特征增加到規(guī)則庫中再進行測試。
c) 安裝配置用于保存入侵警報信息的數(shù)據(jù)庫管理系統(tǒng),可選擇MySQL或postgreSQL。
d) 配置snort.conf文件,使Snort真正成為一個網絡入侵檢測系統(tǒng)來運行。
e) 安裝配置入侵檢測控制臺ACID,用于對snort IDS的行為進行管理與監(jiān)控。
4總結及展望
本文在文獻[1]的基礎上設計了有關網絡安全技術的實驗,由于這些實驗都是基于Open Source軟件的,通過源代碼學生可以更加清楚地了解這些安全技術的原理、核心和實現(xiàn)細節(jié),同時也可以在開源代碼的基礎上進行二次開發(fā)和修改。
未來的工作有兩點:一是設計更多的基于Open Source的信息安全實驗,例如Linux系統(tǒng)安全強化實驗、一次性密碼(OTP)實驗OPIE、網絡認證Kerberos等。二是如何將所有這些信息安全實驗集成在一起,建成一個所謂的“基于Open source的信息安全綜合實驗系統(tǒng)”。
參 考 文 獻
關鍵詞:高校機房;網絡安全;技術防范
近年來,高校逐漸將信息化教學作為主要的教學模式,豐富教學資源的同時,網絡建設也日益完善。作為信息化教學的主要陣地,高校機房承擔著重要的教學任務和角色。不同專業(yè)、不同年級、不同課程使得機房內的應用系統(tǒng)和教學軟件不斷增多,網絡服務范圍和功能越來越大,無疑會增加網絡安全隱患。因此,高校要重視網絡安全管理,保障機房重地網絡通暢和信息數(shù)據(jù)安全,才能確保教學順利。
1高校機房網絡安全管理中存在的問題
1.1機房管理與使用人員安全意識不足
網絡安全不僅涉及教師、管理人員、辦公人員,還包括學生。高校中,學生占比大,安全意識還不高,使用機房時,訪問網站五花八門,高度信任網絡安全的措施和努力,忽略病毒設計人員和黑客的技高一籌,給機房信息安全帶來極大的隱患。而且,網絡安全法普及不到位,安全管理策略升級更新不及時,以及管理人員能力與專業(yè)水平參差不齊等,更為機房的安全帶來威脅。
1.2機房設備使用環(huán)境的影響
高效機房電子設備密集,使用頻繁,對周圍環(huán)境中的濕度、溫度等方面的要求較高,如果不注意把控機房環(huán)境,使機房設備長期處于過于干燥且灰塵較大的環(huán)境,就容易產生靜電吸附灰塵,機房設備易造成靜電擊穿或灰塵導致的接觸不良,使數(shù)據(jù)中斷,教學中斷,甚至引起火災隱患,輕者數(shù)據(jù)丟失,重則數(shù)據(jù)損壞、設備損毀。
1.3網絡黑客的非法入侵
高校機房設備種類多、規(guī)模大,涉及的操作系統(tǒng)和軟件問題多樣化,一些專業(yè)化的操作系統(tǒng)和軟件在開發(fā)和運行過程中,一旦存有漏洞,必會給不法分子以可乘之機。當黑客攻擊機房系統(tǒng),將會產生數(shù)據(jù)丟失、被刪除、清空、系統(tǒng)癱瘓、緩沖區(qū)溢出等事故,使高校機房教學進度受到影響,考試、比賽、活動等受阻。
1.4網絡病毒擴散與危害
外網攻擊形式較多,常見的是網頁病毒、信息病毒、郵件病毒等。這些含有病毒的數(shù)據(jù)被用戶點擊后就會啟動病毒程序,要么自動復制導致系統(tǒng)癱瘓,要么用戶信息被非法竊取,甚至被刪除、破壞等。高校機房受網絡病毒侵入的概率更大,一旦受侵入,可能會影響教學進度,甚至造成網絡癱瘓。因此,要對高校機房進行多重網絡安全防護。
2高校機房網絡安全管理改進對策
2.1建設網絡安全管理組織機構
首先,在組織機構和責任落實上要形成責任體系。校領導直接對機房安全負責,并將責任落實到各級人員中去。遵循的原則是直接責任人負責制,即直接與機房各項管理直接接觸的管理人員、使用人員、維護人員對機房安全負責。全體師生都要在規(guī)范操作的基礎上嚴格遵守網絡安全防護制度。其次,成立網絡安全小組,成員由各部門主要領導兼職,對高校的網絡環(huán)境、機房網絡等進行安全監(jiān)管。再次,各教學組、實驗教師和機房管理人員進行安全責任書的簽訂,明確所有人的網絡安全責任和網絡安全義務。最后,健全網絡安全事故問責機制,保證事故回溯清晰通暢,學校領導、安全小組以及教學一線人員都要進行事故總結,形成事故防范措施。
2.2加強網絡安全管理隊伍建設
第一,建立高校網絡安全維護團隊。團隊內成員技術能力具有互補性,職責范圍清晰,交叉性低,崗位固定,具有崗位吸引性,能夠留住人才,對全校的網絡安全進行監(jiān)管。第二,各學院安排專人進行網絡安全信息溝通,能夠將安全事件及時上傳,并對學校的安全措施向下落實與傳達。第三,將網絡安全防范技術掌握較好的學生選定為機房運維護管理助手,能夠對機房和校園網的安全運行進行監(jiān)督與管理,定期對系統(tǒng)和軟件進行補丁升級,確保網絡安全。第四,加強高校橫向網絡安全信息溝通與安全措施交流,查缺補漏,提高網絡安全防護能力和水平。
2.3深化網絡安全知識宣傳與培訓
首先,對全校的師生和管理人員進行網絡安全知識的培訓與宣傳,提高師生和管理人員的網絡安全意識和能力,能夠進行主動防范。其次,增強領導的網絡安全意識,在指揮高校宏觀發(fā)展中重視網絡安全,給予網絡安全建設分配更多的人才與物資。再次,從教學角度進行網絡安全知識普及與應用,能夠在提升網絡安全能力的同時,引導學生時刻進行網絡安全防護。最后,鼓勵學生積極探索和開發(fā)網絡安全防護技術,在防范中增強法律意識。
2.4推進高校機房設備優(yōu)化升級
首先,更新機房軟硬件配套。按照機房實際需求進行性能提升,該報廢的一定要報廢處理,為網絡安全提供硬件保障。更新時要統(tǒng)一型號、統(tǒng)一規(guī)格,實現(xiàn)硬件統(tǒng)一規(guī)范,便于管理和維護。此外,在硬件配套時要盡可能走向標準化,形成標準的物理管理體系,在降低管理工作量的同時,提高管理質量和管理效率。其次,增強安全維護技術水平,確保廠商提供技術支撐和故障維護,保證機房安全維護的專業(yè)性。專用器材、耗材、設備、零件等要分類單獨存放在倉庫中。倉庫的設立位置要與機房較近,便于機房維護。最后,加強機房環(huán)境保護,針對機房設備的運行環(huán)境需求,保證機房干燥,定期進行設備除塵,保證接觸可靠,消除靜電影響,配備消防器材和清晰的使用方法,出現(xiàn)消防問題及時處理。
2.5完善網絡安全的維護機制
第一,應用正版系統(tǒng)和軟件,并配備正版殺毒軟件,定期定時對系統(tǒng)進行木馬、病毒查殺,定期進行系統(tǒng)修復,定期進行磁盤碎片整理和垃圾清理。第二,經常性數(shù)據(jù)備份,特別是安裝、更新、補丁修復等操作前,一定要進行全盤數(shù)據(jù)備份。第三,提前設置好系統(tǒng)還原,定期進行系統(tǒng)備份。當故障發(fā)生時,能夠及時應用系統(tǒng)還原將數(shù)據(jù)還原。第四,禁止私接U盤、個人手機等外部設備,可在機房內準備一定數(shù)量的U盤、移動硬盤等公用設備,使用之后及時進行殺毒、維護或更新。第五,禁止進入未經認證的網絡鏈接及下載使用來源不明的軟件,培養(yǎng)正確的網絡安全觀念。
3高校機房網絡安全技術防范對策
3.1VLAN技術在高校機房中的應用
應用VLAN技術,能夠在方便操作的同時,將網絡功能應用到機房管理中。第一,利用VLAN技術將高校所有網絡進行分區(qū)、速流,充分利用網絡資源,實現(xiàn)按需分配網絡流量,從而提高網絡的通暢性,保證設備運行流暢、穩(wěn)定。第二,在VLAN框架下,設備自動IP,防范IP盜用產生的網絡安全事故,并對機房內的網絡進行監(jiān)督,及時發(fā)現(xiàn)異常,及時封殺。第三,不同VLAN進行數(shù)據(jù)交換時,要盡量不使用第三層進行VLAN流量傳遞。第四,做好VLAN規(guī)劃,保證機房多系統(tǒng)間切換自如,不會產生網絡協(xié)議沖突,保證高校機房教學、活動、考試、比賽等系統(tǒng)能夠流暢運行,不會產生網絡不兼容問題。
3.2硬盤保護系統(tǒng)在高校機房中的應用
硬盤保護系統(tǒng)既可以實現(xiàn)硬件運行維護,又能實現(xiàn)系統(tǒng)保護和硬盤保護,是高校機房硬盤保護的主要手段。該保護系統(tǒng)能夠利用IP自動分配、智能同傳以及保護參數(shù)同傳的功能對硬盤數(shù)據(jù)進行有效保護,既可以避免數(shù)據(jù)遭受病毒破壞,又可以為高校等級考試、比賽等創(chuàng)造良好的網絡系統(tǒng)環(huán)境,使教學與課外活動系統(tǒng)自由切換,實現(xiàn)獨立運行,互不干擾,從而保護各自的數(shù)據(jù)安全。
3.3防火墻技術在高校機房中的應用
高校機房數(shù)據(jù)多,承擔著教學、考試、比賽等任務和功能,必須保證機房安全。第一,重點運用防火墻技術對機房進行安全策略的制定和完善,系統(tǒng)更新、修補后,再進行安全掃描直到安全可靠。第二,機房要按需升級,將軟件、硬件進行更新完善。第三,在管理層面要利用防火墻策略制定管理措施。第四,按照高校專業(yè)特點進行機房設備的分類管理,利用多元化的安全手段進行網絡監(jiān)測,及時發(fā)現(xiàn)問題,及時解決。第五,安裝的防毒客戶端要保證正常運行,及時升級,及時完善,切不可關閉。第六,應用移動硬盤時,要先進行安全檢測,規(guī)范操作,確保安全接入機房設備中。
3.4高校機房服務器的技術防護
服務器在機房中擔任著中心處理器的重要角色,是機房硬件的核心。第一,對于服務器的系統(tǒng)安全,無論是賬號還是密碼都必須安全可靠,并配有一定的使用權限進行保障。第二,服務器系統(tǒng)在及時打好安全補丁,防止系統(tǒng)漏洞產生的安全事故發(fā)生。同時,將閑置端口封閉或關閉,保證系統(tǒng)清潔。第三,服務器外部環(huán)境要寬松,在防火墻允許條件下能夠實現(xiàn)內外網信息流通,并即時完成信息過濾,實現(xiàn)服務器系統(tǒng)在安全環(huán)境中運行。第四,服務器被攻擊后,機房管理者要迅速啟動應急預案,及時阻斷服務器網絡,并進行報警和處理。第五,加強殺毒軟件的安全性評估,深入分析安全漏洞,及時做好補漏措施。第六,數(shù)據(jù)加密工作要落到實處,運用多種加密和安全防護手段,保證數(shù)據(jù)安全。
