前言:中文期刊网精心挑选了如何构建网络安全体系范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
如何构建网络安全体系范文1
网络安全产业是知识密集型产业,网络安全学科与其他学科有很多交叉,是高技术专业,需要构建完善的知识体系。当前,我国网络安全人才储备不足,亟待加强人才队伍建设。2015年6月,国务院学位委员会、教育部决定在“工学”门类下增设“网络空间安全”一级学科,此举充分体现了国家对网络安全的重视,希望将分散在计算机科学、通信技术和软件工程学等学科的相关网络安全科目进行统筹,集中资源和力量来培养网络安全人才。
笔者近年供职于中国信息安全研究院,深入参与了国家网络安全顶层设计和标准编制等工作,目睹了国际和国内网络安全政策、产业和技术的重要变革,对产业政策、产业现状和需求,以及网络安全技术体系进行了深入研究。本文结合近年工作经验与高教研究,以打造网络安全体系性人才为目标,对网络安全专业的教学特点、教学内容、教学方法和考核方式等进行了一系列探索。
一、网络安全专业的教学特点
网络安全专业涉及范围广,涵盖了计算机、通信、电子、数学、生物、法律、教育和国际贸易等多学科内容,属知识密集型专业,具有很强的专业性、广泛性和实践性,随着物联网、云计算、大数据等新技术新应用的出现,网络安全专业的特点更加突出。
1.内容涉及范围广。网络安全专业涉及信息系统软硬件的本质安全,以及应对网络威胁、数据传输等方面的动态过程安全,在安全访问领域涉及密码学和生物学等,在网络安治理方面涉及法律学,在网络安全服务方面涉及教育学和管理学等,WTO第二十一条“国家安全例外”等内容涉及国际贸易学。
2.知识和技术迭代速度快。网络安全由传统意义上的信息安全演变而来。狭义的信息安全重点关注内容安全,即确保信息的完整性、可用性和保密性。随着新技术新应用的层出不穷,异构信息系统和复杂多变的网络威胁带来了新挑战。除具备网络安全基础知识和技能以外,了解和掌握更多新技术知识是网络安全专业对学生提出的新要求。
3.对实际操作能力要求高。网络安全对实践操作能力有很高要求,构建具有本质安全的自主可控软硬件系统需要丰富开发经验和集成适配能力。应对复杂多变的网络安全威胁,需要提前具备应急响应和灾难恢复能力;面对国际贸易中技术壁垒的挑战,需要深入研究国际贸易保护下的信息安全产业和政策竞争策略等。
二、教学内容设置
对于网络安全专业学生和非网络安全专业学生,在设置网络安全专业课程和教学内容时应予以区分,以使不同发展方向的学生在毕业以后将在校期间学习的知识充分发挥,适应未来职位对其知识储备的差异化需求。
(一)网络安全专业学生
网络安全涵盖本质安全和动态过程安全两大部分。对于网络安全专业的学生,在教学内容设置上,应鼓励学生通过理论和实践,构建网络安全体系观念,并依据个人爱好,深耕具体技术方向,使网络安全专业毕业生具备顶层大局观和技术优势。
1.本质安全方向。近年来,“棱镜门”等事件充分说明美国政府可利用其全球大型IT或互联网企业的技术、产品和服务,甚至对产品植入后门,来窃听、窃取各国数据和信息,这促使我国政府和产业界高度重视本质安全。本质安全涉及包括CPU、芯片、操作系统、数据库、整机、网络设备等软硬件技术产品的自主研发,目前我国党政军和“8+2”对以上技术产品渴求度很大,人才队伍建设亟待加强,因此在课程内容应增强核心硬件和基础软件知识的普及力度,使学生在本质安全基础理论、产品设计和集成适配等方面有所突破。
2.过程安全方向。学习了本质安全相关知识后,就可了解如何构建一个相对完整、安全的信息系统,但在信息系统运行过程中,还需要针对系统构建运维服务体系,从外围加强整个信息系统的安全性和健壮性。过程安全相关的教学内容包括容灾备份、追踪溯源、安全访问等技术,在过程安全教学内容中,可以以聚合式的思维来教授相关知识,以使学生具备完整的运维服务体系思维。 (二)非网络安全专业学生
1.专业与网络安全有交互的学生。本部分以涉及网络安全的国际贸易和法律专业为例,阐述如何面向专业与网络安全有交互的学生进行教学。
对于国际贸易专业学生,引导学生加强国际IT贸易问题研究,特别是WTO第二十一条“国家安全例外”,即从国家安全考量出发,深入研究世界主要国家限制其他国家企业在其本土投资的案例,以及外国企业如何规避WTO限制,在我国广泛开展IT投资,总结国际贸易争端经验,为未来围绕“技术性贸易壁垒”的国际贸易纠纷做好充分准备。
对于法律专业学生,鼓励学生加强《中华人民共和国网络安全法》法理研究,深入学习互联网治理和网络安全相关法律和法规,培养网络安全法人才,为党政军和相关产业提供网络安全法律力量支撑,提升国家和企业的国际竞争力。
2.其他专业学生。对于其他专业学生,设置网络安全知识普及课程,通过案例分析和实践体验等手段,培养学生安全使用互联网的习惯,提升网络安全意识,了解和掌握网络安全防范和处理基本方法,巩固意识形态,促使学生做到文明上网、安全使用、加强防护,构建和谐清朗网络空间。
三、创新教学方法
教学方法和理念因学校和教师的不同而千差万别。总的来看,现代教学方法秉承以学生为主体、互动教学和构建体系化知识三项原则[1],重视创新性和突破性,符合新时代和新形势对我国高等教育提出的要求。本节结合网络安全专业的特点,总结了三个面向该专业的创新教学方法。
(一)教法和学法结合
网络安全专业涉及范围广且实践性很强,因此在教学方法上需要创新,将教法和学法进行有机结合,构建学生的理论和技术体系,提高实践能力。
PPT教授法。教师精炼教材重点,利用互联网和多媒体手段,将要点和案例以图文并茂的PPT展示,并结合课堂上的口头表述将知识展现给学生。比如利用信息系统模拟工控系统运行环境,利用DDOS进行持续攻击,使学生从各生产节点和控制系统观察受攻击时的状态,调动学生的注意力,加深学生的印象,使学生随着教师思路来学习。
互动提问法。在课堂上利用互动提问法可启发学生的思维,调动学生积极性和学习热情,促进学生提高注意力和快速学习到重要知识点,避免无精打采或溜号走神等现象发生。同时,提问法给学生提供了讨论、发表个人观点的机会,也促进了学生表达能力的提升。比如讲到构建本质安全信息系统时,可以首先向学生提问,构建该系统需要具备什么样的要素,请学生总结自己认为的具有本质安全信息系统的构造,以此增加师生间的互动,培养探究意识和发现问题的敏感性。
分组发表法。将学生分组并布置特定研究方向,鼓励学生利用互联网资源来获取知识、查找案例,并编制集文字、图片和视频等素材为一体的PPT,在课堂上进行发表,通过教授的点评和同学的提问促使学生深入了解该方向内容,做到专;通过聆听其他组的同学做发表,可以了解其他人的研究成果,并可通过课堂提问和课下交流来深入了解其他网络安全技术知识,做到广。例如学习网络安全政策时,可组建学生小组,基于学生网络安全基础技术和知识,深入研究包括FedRAMP、美关键基础设施保护总统令或国防部云计算安全指南等网络安全政策,并在课堂上做发表,与师生共同分享和研讨美国的网络安全治理经验。
(二)传统授课和网络授课结合
目前,采用传统教学模式依然是我国教育的主要方式,作为“以教师为中心”的课堂教学模式,传统授课模式通过教师在课堂上当面将知识教授给学生,可以促进有意义的学习、加深学生的理解和记忆,也有利于未来对知识的提取。而网络授课的教学模式在传统课堂教学模式的基础上融合了互联网的优势,该模式相较传统教授模式具有更好的灵活性、互动性和广泛性。特别是对于教师资源相对匮乏的地域,可以依托互联网基础设施,通过网络授课的模式将发达地区的优质教育资源引入到地方课堂,使学生享受到公平的先进的网络安全教育资源。
(三)注重实训体系建设
依托网络安全企业或其他专业机构建设网络安全实训基地,与高校等人才培养单位联合,对网络安全专业学生进行实践技能训练。实训基地对于我国网络安全人才培养具有重要意义。首先,实训基地可解决我国网络安全人才培养和使用相“脱节”、学生实际动手能力严重不足等问题。其次,实训基地涵盖技术、战略、法规等多个领域,有利于培养跨学科、复合型人才。
实训基地培训既要涵盖网络安全技术,也要涵盖网络安全战略规划和法律标准等。针对网络安全专业的不同研究方向,有针对性地分类建设攻防、追踪溯源、容灾备份、安全测评、自主可控等实训场景;针对网络安全战略规划,针对性地研究世界主要国家网络安全战略规划,分析各国目前网络安全现状和未来发展重点;针对法律标准,深入研究WTO“国家安全例外”、 中美网络安全相关标准,为未来工作找到技术和法律依据。
四、改进考核方式
如何构建网络安全体系范文2
关键词:网络信息;信息安全;安全保障;防范措施
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)05-11233-02
1 前言
随着计算机网络技术和信息化建设的迅猛发展,人们在日常生活、办公、学习等方面都实现了网络化管理,不少单位和学校都建立了自己的计算机局域网,逐步实现了邮件收发、网上办公、网上信息浏览、资源共享、多媒体教学等功能。这些功能的实现,为提高工作效率、加快信息传播、实施一体化保障服务提供了平台。但不可否认,网络在给我们工作和学习创造效益的同时,也带来了挑战与冲击,当前必须解决好网络安全中面临的问题,才能更好地发挥计算机网络在信息化发展建设中的重要作用。因此,构建全方位的网络信息安全保障体系已成为当前刻不容缓的任务。
2 网络信息安全管理现状和存在的问题
(1)是安全意识不强。当前,网络建设与管理中,在人们的思想上普遍存在“重建设、轻防护,重应用、轻管理”的模糊认识,人们的网络信息安全保密观念不强,对网络信息安全可能造成的危害认识不足。在建成并投入使用的网络中,有相当一部分单位存在建网不设防问题,有的用户在缺少安全保密条件的计算机信息系统中存储、处理和传递信息,还有的缺乏网络安全法规意识,甚至将带有攻击性的软件装入计算机网络进行试验。
(2)是缺乏全方位的网络信息安全保障方案。虽然一些单位在网络安全保密方面从制度、管理、技术等方面做了不少工作,在一定程度上保证了网络安全,但现行的网络安全保障工作在管理上责任权不够明确,制度不够健全,措施不够完善,缺乏一个系统的、全方位的、动态的安全方案。
(3)是网络系统本身存在的不安全因素。由于计算机网络连接的多样性、终端分布的广泛性和网络的开放性等特征,致使网络随时可能遭受数以万计的计算机病毒、黑客攻击程序、硬件“后门”和软件“漏洞”等破坏,造成无法估量的潜在安全威胁。
3 网络信息系统面临的威胁
(1)操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如UNIX/LINUX系统的CGI程序、root、guest这些默认帐号的泄露等,indows2000/NT系统的IIS、输入法Bug等。对于个人计算机操作系统,个人用户在使用应用程序或者操作系统时下载或者打开了JAVA、ActiveX、病毒或后门程序的文件,都会对本地计算机的操作系统构成威胁,使得操作系统崩溃,计算机无法使用;
(2)防火墙的安全性。据统计,30%的入侵发生在有防火墙的情况下,这些入侵的主要原因并非是防火墙无用,而是由于一般的防火墙的管理及配置相当复杂,要想成功的维护防火墙,要求防火墙管理员对网络安全攻击的手段与系统配置的关系有相当深刻的了解,而且防火墙的安全策略无法进行集中管理,黑客可以利用IP欺骗的手段使自己获得新的IP从而进入不能进入的地区;
(3)应用服务的安全。许多应用服务系统(如数据库服务器、电子邮件服务器、Web服务器等)在访问控制及安全通讯方面考虑较少,并且,如果系统设置错误,很容易造成损失。服务器还存在许多漏洞,黑客会利用这些服务器的漏洞,入侵服务器,获得各种权限,从而对服务器或局域网进行控制;
(4)内部敏感信息到外部的分发。据统计70%以上的网络攻击行为来自外部,控制内部敏感信息的分发是网络安全策略的核心。外网的威胁主要表现在:非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等;
(5)网络协议本身缺乏安全性。由于绝大多数网络运行的主要是TCP/IP、NETBEUI、IPX等多种网络协议,而这些协议并非专为安全通讯而设计。所以,利用这些网络进行服务本身就可能存在多方面的安全威胁。
4 网络信息安全保障体系框架设计原则
围绕信息安全体系的三要素(即人、制度和技术),建立一个包括技术、管理、组织的安全体系,才是组织实现网络与信息安全系统的有效途径。
首先,必须强调安全策略的重要性。正确的安全策略能够指导我们建立恰当的安全体系,以避免防护过剩或防护不力。网络安全策略应以预防为主、防堵并重、分布实施的原则,区别轻重缓急,加强安全防范意识,严格安全保密的各项规章制度,技术上采取必要的防范措施。
其次,技术上要多方位多层次考虑。网络安全涉及IOS/OSI所有的七个协议层次(物理层、链路层、网络层、运输层、会话层、表示层和应用层),覆盖了信息网络中物理环境、通信平台、网络平台、主机平台和应用平台等几个系统单元,这是一个立体的、多方位、多层次的系统问题。涉及身份认证、访问控制、数据保密性、数据完整性、抗抵赖、审计、可用性和可靠性等多种基本的安全服务,因此,我们在规划、设计、维护、管理信息网络的安全系统时,必须从分析信息网络的安全风险出发,考虑不同系统单元、不同协议层次所存在的安全风险,所需要的安全服务,从“预警、保护、检测、反应、恢复、反击”这六个环节着手,采用相应的安全技术,使不同的安全技术、安全产品互相补充、互相完善,保证信息网络的安全。
第三,坚持起始阶段与长远预期结合考虑,分步实施的原则。在资源共享和访问控制共存的信息社会里,网络安全永远是动态而不是静态的。根据网络系统建成后实际运行情况随着信息网络的发展,网络规模扩大并且应用增加,网络的安全缺陷也会加大,一劳永逸的安全方案是不现实的,需要动态地维护。
5 构建网络信息安全保障体系的具体措施
(1)提高网络安全意识,加强信息安全观教育。我们应高度强化网络保密管理观念。一要确立网络安全管理是做好平时工作的重要保障的思想;二要确立网络安全管理人人有责的观念,确保信息安全是一项整体性工作,人人都有维护网络安全的义务和责任;
(2)制定并完善检查、监督和管理的有效机制。加强管理,立章建制,根据网络的运行情况和安全要求逐步建立并付诸实施。具体工作包括:根据工作的重要程度,确定系统的安全等级,确定安全保护管理的规定范围;制定相应的机房进入制度,对于安全等级要求较高的系统实行分区控制,限制工作人员出入与己无关的区域,指定场地与设施安全管理制度;防火墙管理与使用制度;制定密码安全管理方法;制定严格的操作规程,操作规程要根据职责分离或多人负责的原则,各负其责,不能超越增加管辖范围,如操作系统、数据库安全管理规定、信息采集、传输安全保密制度、上网数据审批规定、用户口令字及帐户管理规定等;制定应急措施,要制定系统在紧急情况下,如何尽快恢复的应急措施,使损失减至最小;
(3)在技术手段上利用各种安全保密设备,采取多种防范手段。
①网络分段:局域网采用以交换机为中心、路由器为边界的网络格局,又基于中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制,将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听。以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。VLAN(虚拟专用网)的划分,进一步克服了以太网的广播问题。在集中式网络环境下,将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,按机构部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。
②配置加密机:网络数据密码机用于数据通信的加密,有加密、鉴别的功能,有良好的网络应用透明性,可保护通信中的数据。
③合理配置防火墙:防火墙是不同网络或网络安全域之间信息的唯一出入口,可根据网络的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它还可监测、限制和更改通过的数据流,尽可能地对外部网络屏蔽内部网络的信息、结构和运行状况,以此来实现网络的安全保护。但由于防火墙是一种访问控制设备,而且提供的是安全域的周边防护,因此,防火墙均存在其局限性。一方面,它不能防范不经过它的攻击,例如来自于网络内部的攻击;另一方面,它不能抵御隐藏在合法链接内的攻击等。
④入侵检测系统:入侵检测也是一种动态的安全防护技术,通过在网络和主机系统中主动寻找入侵信号来发现入侵行为并告警。它帮助网络系统对付各种攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。入侵检测,被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前抵御入侵。
⑤安装使用网管软件:利用CISCO IOS软件和安装网管软件CISCOWORKS、OPENVIEW等,根据系统安全策略做出反映,如报警、登记、自动阻断通信连接等功能,随时对网络进行监视、操作、管理、设计、配置和维护等。
⑥安装各种防病毒软件:现在的病毒越来越多,也越来越隐蔽,而且破坏力极强,因此防病毒,杀病毒是与时间赛跑,越早预防并杀除,损失越小,以保护数据免受病毒攻击。
⑦网络安全漏洞扫描分析系统:网络安全漏洞扫描是网络安全防御中的一项重要技术,其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查,目标可以是工作站、服务器、交换机、数据库应用等各种对象,然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,以不断为提高网络安全整体水平产生重要依据。
⑧强化服务器端安全措施:为服务器建立完善的备份及恢复机制,用户授权机制和日志。为了防止存储设备的异常损坏,可采用可热插拔的SCSI硬盘所组成的磁盘容错阵列,以RAID5的方式进行系统的实时热备份;为防止人为的失误或破坏,建立了强大的数据库触发器以备份重要数据的删除操作,甚至更新任务;在需要跟踪追溯数据丢失或破坏事件的全部信息时,则将系统日志与备份数据有机地结合在一起真正实现服务器的安全性。
⑨做好应急处理工作,完善备份恢复机制:由于网络攻击不分平时和战时,并具有突发性和毁灭性的特点,因此必须建立应急反应机制,提高网络防护的快速反应能力。一旦被保护对象出现了问题,能够迅速采取措施进行救助。确保恢复,在做任何一个计算机网络资源平台的安全防范规划时,必须考虑到在系统可能被摧毁的前提下,如何确保恢复,要进行什么程度的备份,哪些信息是必须备份的。安全备份方面,要有零部件备份、软件备份、数据备份、拨号线路备份、重要设备和数据备份及故障恢复手段等。一旦发生故障,备件随时更换启用。对各种功能数据采用更新时备份到磁盘的方式,以文档形式保存,对作为纯粹数据的数据库信息和日志文件,采取定期自动磁带备份的方式。
参考文献:
[1]戴红.计算机网络安全[M].电子工业出版社,2005,9.
[2]冯登国.计算机通信网络安全[M].清华大学出版社,2003,1.
[3]孙锋.网络安全与防黑技术[M].机械工业出版社,2004,4.
如何构建网络安全体系范文3
关键词:信息安全专业;网络与网络安全课程群;工程训练;自主学习
1研究背景
随着网络及信息技术的发展,网络和信息安全风险日益增长。在全球范围内,计算机病毒、网络攻击、垃圾邮件、系统漏洞、网络窃密、虚假有害信息和网络违法犯罪等问题日渐突出。据有关国家信息安全机构统计,我国每年被黑客攻击的网页达10万数量级,钓鱼网站数量占世界总量比例偏高,位于我国的僵尸网络的肉鸡数量位于世界的前列,分布式拒绝服务的受害者数量非常庞大。如何保证网络的安全性,已经成为全社会关注的问题。如应对不当,可能会给我国经济社会发展和国家安全带来不利影响。提升网络普及水平、信息资源开发利用水平和信息安全保障水平,是国家近年来的信息化发展战略之一。
社会对网络安全人才的需求量在不断扩大,急需大量具有扎实理论基础并受过良好工程实践训练的网络安全人才。培养网络与网络安全人才,对推动国家的网络与信息安全工作有重要意义[1-4]。如何使高校的本科生教育与社会需求接轨,为社会培养有用的网络安全技术人才,是我们在网络与网络安全课程体系建设中需要考虑的重要问题。
本文主要围绕北京工业大学信息安全专业建设情况,对网络与网络安全课程群的设置与建设情况进行详细介绍,探讨网络与网络安全课程群的教学方法和实践教学改革思路。
2网络与网络安全课程群设置
北京工业大学信息安全专业于2003年在计算机学院成立,到2005年,建成了具有初步规模的信息安全专业教学与实验环境。近几年来,在国家和北京市的支持下,专业建设取得突飞猛进的进步。2007年,本专业被教育部批准为第二类特色专业建设点,2008年被北京市教委批准为特色专业,2010年被评为北京市重点学科。网络安全是北京工业大学信息安全交叉学科的一个重要研究方向。
在沈昌祥院士的带领下,信息安全专业以“立足北京、服务北京”为基本办学定位,加强课程体系和教材建设,强化实践教学,紧密结合国家和北京市的经济社会发展需求,推进专业建设与人才培养。该专业逐步形成了满足培养国家和北京市经济和行业发展急需的信息安全专业创新型应用人才需求的教学体系。网络与网络安全课程群是我校信息安全专业建设的一个重要内容,该课程群主要培养信息安全系本科生在网络与网络安全方面的理论基础和实践能力[5-7],要求学生掌握网络和网络安全基本理论知识,学会规划网络和配置网络,并具备使用防火墙、VPN、病毒防治等工具维护网络安全的能力。在课程群的课程教学内容安排上,充分体现由易到难、由浅入深的教学规律,并注重理论与实践相结合的原则,图1展示了信息安全专业课程的拓扑图,其中网络与网络安全课程群设置用灰色阴影文本框表示。
现行的信息安全专业的本科教学计划包括计算机网络基础、计算机网络基础实验、路由与交换技术、网络设计、网络安全防护、信息安全体系结构、信息安全标准、安全协议、安全协议课设、计算机病毒防护、无线网络安全、防火墙技术、应用服务器安全等系列课程,建立了一定规模的实验环境。为了更好地安排上述课程群的教学内容,我们结合信息安全专业不同年级学生的特点,进一步制定每一年的教学目标,使整个课程群的教学内容成为一个有机整体。
针对一年级学生,主要是培养学生的学习兴趣和奠定专业基础。计算机网络基础是为信息安全专业新生开设的第一门专业课程,在信息安全整个课程体系以及网络与网络安全系列课程群中起着举足轻重的作用。这门学科的内容博大精深,涉及到众多的概念、原理、协议和技术,它们以错综复杂的方式彼此交织在一起。为应对计算机网络在内容上的广阔度和复杂度,使学生能够在学习整个体系结构中某部分的具体概念与协议的同时,也能够掌握每一层协议在整个网络系统中所处的地位和作用,我们采用自底向上和自顶向下相结合的方法。该方法能够使学生在对计算机网络的概念、原理和体系结构有深入了解的基础上,又能对协议和技术及其内在联系有一个全局的掌握,形成比较系统的知识体系。在该课的基础上,第二学期开设的计算机网络基础实验课程加深学生对计算机网络各层协议功能和基本工作过程的理解与掌握,以验证性和演示性实验为主,培养学生的学习兴趣,使学生在一年级就能轻松接触到网络相关知识。
针对二年级学生,我们开设了路由与交换技术、网络设计、网络安全与防护,培养学生在组网和网络配置方面的能力,同时使其了解网络面临的安全威胁,并具有简单的安全防护知识。通过路由与交换技术课程的学习,学生将了解路由与交换的基本知识,掌握各种路由与交换技术的特点及其基本原理,培养学生的局域网组网与管理能力,使学生能够根据具体环境和应用目的设计合理的拓扑结构,组建网络,并具备解决网络中常见问题的基本技能。网络安全与防护使学生了解企事业网络中存在的威胁,掌握安全评测的基本理论与方法,掌握网络安全策略的设计与实现、安全事故处理的基本方法。通过该课程学习,学生将学会网络安全防护的方法,为学生从事企业安全网络设计与网络管理等工作打下一定的基础。
针对三年级学生,为了加深他们对网络安全知识的理解,我们开设了信息安全体系结构、安全协议、信息安全标准课程。信息安全体系结构课程围绕如何构建一个安全的信息系统,并对构建安全体系结构的关键三要素(技术、管理和人员)之间的关系进行了详细阐述。使学生掌握信息安全体系结构中的基本概念、基本理论、基本方法,在整体上认识构建一个安全的信息系统需要解决的主要问题,通过结合具体的应用案例分析,提高学生的综合设计、分析和解决问题的能力。安全协议课程使学生能够对网络安全协议有一个系统全面的了解,掌握各层安全协议的概念、原理和知识体系,在实践中学会应用网络协议知识分析解决各种网络安全问题。课程包括了许多网络安全的案例分析,让学生将课堂理论与应用实践紧密结合起来,学会解决实际应用中的工程技术问题,了解设计和维护安全的网络及其应用系统的基本手段和常用方法。通过信息安全标准的学习,学生对国际和国内信息安全领域制定的相关标准方面有一个基本的了解,并重点学习几个信息安全领域中的核心标准。
针对四年级学生,注重对其网络与网络安全工程实践能力和创新能力的培养,通过一些能反映网络与网络安全最新发展情况的计算机病毒防护、无线网络安全、防火墙技术、应用服务器安全等专业选修课程,开阔学生的视野,为学生实习和就业打下基础。计算机病毒防护课程既注重对病毒基本概念、作用机制和防治技术的阐述,又力求反映病毒防治技术的新发展,既兼顾课程的深度,又有一定的广度。通过学习该课程,学生将掌握防治计算机病毒的基本理论和基本技术,为进一步深入学习网络安全课程奠定了良好的基础。无线网络安全课程则使学生对无线通信系统及其安全有比较全面的了解,初步掌握无线通信的分类和各种类别的基本原理,以及无线网络环境中的安全措施,为今后适应层出不穷的无线网络应用打下基础。防火墙技术课程使学生理解防火墙的基本知识,掌握防火墙的体系结构、关键技术以及构建、配置防火墙的基本方法,并对防火墙技术的未来发展方向有一定的了解。应用服务器安全课程主要讲解计算机应用系统面临的安全风险、应用安全涉及的相关技术和手段(包括数据存储技术及其安全)、应用系统安全解决方案以及方案的典型实现。通过该课程的学习和实践,学生能够基本掌握设计计算机应用系统的安全方案应考虑的若干方面,能够从系统的角度看待安全问题,并能综合利用几年来所学的安全知识解决系统的安全问题。
3网络与网络安全课程群教学方法改革
在网络与网络安全课程群的教学中,我们强调理论与实践相结合的教学方法,在抓好理论教学的同时,强化实践教学,形成了工程训练、自主学习、创新培养并举的特色教育理念。鉴于在实践教学和创新能力培养方面的有力措施和突出成绩,我们在2010年获得了北京工业大学优秀教育成果一等奖。
3.1强化实践教学,提高学生的工程实践能力
2007年,信息安全专业对实践教学计划进行了全面修订,包括增加实践教学环节的学分比例、提高综合性与设计性实验比例、设置自选设计环节、强化综合设计和毕业设计环节、加强对实践教学体系各个环节的规范化管理。
针对某些比较重要的理论课程,如计算机网络基础,我们设置了专门的实验课程――计算机网络基础实验。针对技术性比较强的课程,我们设置了课内实验,做到理论与实践相结合。例如对路由与交换技术、网络安全与防护、安全协议、防火墙技术、计算机病毒与防护、应用服务器安全等选修课程,我们设置了课内实验(包括设计性实验和综合性实验),使学生掌握高级网络技术和具备维护网络安全的技能。
课程设计是锻炼学生系统设计能力的好机会,我们设置了安全协议课设课程。学生以小组形式进行课设,每个小组选出组长,负责一些协调工作,提高团结协作能力,使同学间互相帮助、取长补短、共同进步。
信息安全专业实习、信息安全综合设计和毕业设计是信息安全专业比较重要的实践环节,是促进学生综合运用所学知识解决实际问题的关键。我校信息安全专业与太极、瑞星等单位建立了校内外实习基地,为学生提供了实习条件。信息安全综合设计和毕业设计使学生能够有机会参加一些工程项目的研发。综合设计题目与内容选取有一定的工程实际背景,体现应用性、先进性、综合性。毕业设计的题目主要来自企业或学校的科研项目。一些学生在公司完成实习和毕业设计,为顺利就业创造了条件。一些学生在学校的科研环境中进行实习和毕业设计,为考研和进一步深造奠定了基础。
3.2提倡自主学习,提高学生的学习积极性
自学课程的开设对教师提出了新的要求,要求教师改变传统教学模式,探索有利于创新型人才培养的教学模式。我们开设自学课程的教学理念是:以学生自主学习为主,教师引导和启发学生为辅。这不仅要求教师有丰富的教学经验和较好的教学效果,还要有较强的责任心。该课程培养学生独立学习网络与网络安全新知识,发现问题、分析问题、解决问题的自主学习能力,使学生能够适应社会和网络技术发展的要求。在网络设计自学课程中,我们采用国外经典教材《Cisco Network Design》,引导学生自己学习教材和阅读相关文献资料,通过小组分工协作完成一个真实的园区局域网络规划方案设计,达到学以致用的目的。通过采用自评、互评、演讲等多种形式来激发学生的参与力度,使学生能充分发挥学习的主动性和自觉性,把学生的兴趣、爱好、学习、创新融为一体。
3.3通过创新活动,激发学生创新能力
结合网络安全课程群的建设,我们为学生开设网络与网络安全的创新活动和创新实践课程,利用第二课堂活动开展专业调查、社会实践和竞赛活动。具体采取了如下措施。
1) 以校企联合的形式为学生举办多次安全知识的讲座。邀请院士、总工程师、总裁等作相关报告,使学生更好地了解信息安全产业的发展状况,对他们后续的工程实践、实习就业有非常重要的作用。
2) 各种科技活动和兴趣小组培养学生研究性学习和创新性实验能力。例如,我们成立了网络兴趣小组,促进学生参加网络技能训练;鼓励学生申请“北京工业大学星火基金”,培养学生的创新能力。
3) 通过组织各种竞赛,引领学生在创新中成长。我们多次指导本科生参加思科网院杯全国大学生网络技术大赛、全国大学生信息安全竞赛。获得一等奖2次,二等奖3次、三等奖2次。
4) 安排高年级本科生进入专业实验室,鼓励学生参与到教师的教学科研项目,逐步引导学生独立从事科学研究工作。在指导老师的帮助下,一些学生已经独立发表学术论文或与老师合作发表学术论文。
4结语
培养网络与网络安全的人才,对推动国家的网络与信息安全工作有重要意义。我校强化实践教学,提高学生的工程实践能力;提倡自主学习,提高学生的学习积极性;通过创新活动激发学生创新能力,形成工程训练、自主学习、创新培养并举的特色教育理念,取得较好的教学效果。
参考文献:
[1] 张焕国,黄传河,刘玉珍,等.信息安全本科专业的人才培养与课程体系[J].高等理科教育,2004(2):16-20.
[2] 王清贤,朱俊虎,陈岩. 信息安全专业主干课程设置初探[J]. 计算机教育,2007(19):12-14.
[3] 王伟平,杨路明. 信息安全人才需求与专业知识体系、课程体系的研究[J]. 北京电子科技学院学报,2006(1):47-49.
[4] 马建峰,李凤华. 信息安全学科建设与人才培养现状、问题与对策[J]. 计算机教育,2005(1):11-14.
[5] 李毅超,曹跃,郭文生,等. 信息安全专业计算机网络课程群建设初探[J]. 实验科学与技术,2008(3):90-93.
[6] 俞研,兰少华. 计算机网络安全课程教学的探索与研究[J]. 计算机教育,2008(18):127-128.
[7] 谌黔燕,郝玉洁,王建新,等.网络安全课程中的实践教学研究与探索[J]. 计算机教育,2007(1):38-40.
Network and Network Security Curriculum Group Construction for Information Security Major
DUAN Lijuan, LAI Yingxu, YANG Zhen, HOU Yarong, LI Jian
(College of Computer Science, Beijing University of Technology, Beijing 100124, China)
如何构建网络安全体系范文4
关键词:计算机网络安全;实验教学;教学改革;教学模式
中图分类号:G642 文献标识码:A 文章编号:1007-0079(2014)33-0108-02
计算机网络安全是一门涉及计算机科学、网络、通信技术、密码学等多个学科的综合性课程,课程理论性强,涉及知识面广,对学生的理论与实践两方面的要求均较高。课程涉及的内容主要有防火墙、入侵监测、信息加密、恶意代码防治以及网络安全协议等[1]。由于课程具有强烈的工程背景,学生在学习和掌握该课程时,常常感觉空洞、抽象,无法与实际相结合。传统的计算机网络安全实验课程仍主要停留在教师演示、学生验证阶段,学生很难深入理解技术原理,且实验环境要求高,教学效果不理想。因此,如何更充分地将理论与实验进行有机融合,构建更合适的环境和平台,使学生理解掌握理论知识,独立思考,锻炼分析解决具体问题的能力,为该课程实验教学研究中的主要问题。本文结合笔者所在课程组多年来的教学实践,详细阐述了课程组所做的具体研究与探索。
一、现状与存在的问题
计算机网络安全实验教学的目标旨在培养学生的实际应用能力,学生在掌握各种网络攻击技术原理的基础上,能够针对不同环境下的网络应用规划、设计安全方案,并实施有效的网络安全管理。而单纯利用实验室组建局域网进行实验教学无法满足这一培养目标的要求。概括而言,当前实验教学过程中存在以下主要问题[2,3]。
1.实验学时相对偏少。目前大部分高校还是以理论教学为主,实践教学为辅。以笔者所在学校为例,计算机网络安全课程48学时中理论教学占40学时,实验教学仅8学时,教师在设计实验项目时只能覆盖相对有限的几个网络安全原理,而学生实际遇到的网络安全问题很可能是多个问题的集合,这也导致了实验内容零散、实验项目单一的问题。
2.实验内容的特殊性。计算机网络安全实验很可能会对实验室中计算机系统的硬件或软件带来不可逆转的破坏。安装还原保护卡使得需要特定配置的实验无法正常进行,但如果取消还原保护卡,又可能会导致计算机系统出现运行缓慢、死机、文件被删除、更改或大量复制等异常现象,甚至导致系统崩溃,从而影响其他课程的实验教学工作。
3.实验效果的不确定性。一是实验的集中进行,容易导致计算机系统的配置被频繁更改,感染多种恶意代码,导致实验失败。二是实验需要多台计算机协同操作,例如分布式拒绝服务攻击过程实验,一个班级的学生通常在40人左右,分组以2-4人为宜,则分组数至少为10组,需要大量的物理设备,加重设备的维护成本,实验效果不明确。
4.实验过程的模式化。实验过程大多仍采用传统的教师演示学生按照实验指导书的步骤进行操作的方式,学生即使完成试验,遇到具体问题也不知如何解决。如数据加密软件实验,学生能按照软件的使用步骤,很好地掌握DES、3-DES、IDEA、RSA、MD5以及SHA等密码学算法的基本原理,但在具体开发Web应用程序时却仍然不知该如何应用这些算法来加强安全性。可见,实验没有达到培养学生发现、分析和解决问题能力的效果。
二、改革与创新的具体举措
针对上述问题,笔者认为应从优化实验教学内容、构建高效实验平台、创新实验教学模式、改进考核评价机制等四个方面对计算机网络安全实验教学进行改革与创新,以期能有效提高学生的学习兴趣,培养学生的自主学习能力和创新实践能力。
1.优化实验教学内容
精心选取与优化设置实验教学内容,是提高实验教学质量的重要途径。实验项目的设计应由浅入深、由易到难、由局部到整体,体现由演示到应用再到设计的进阶式过程。具体到网络安全课程,前期的实验项目应设置网络基础知识和加密技术,让学生建立起网络安全的基本概念;然后按照从攻击到防御的思路,先分析扫描、监听以及各种攻击技术,再过渡到对各类安全技术的介绍,包括系统安全、网络安全和应用安全技术等;最后将各个专项安全技术进行融合,实现网络安全的整体解决方案,促使学生建立起对网络安全体系架构的认识。
设置计算机网络安全实验教学的内容应遵循以下几点原则:
(1)基础性。理论基础类实验主要通过对系统进行基本的安全配置以加强安全防范,从而使学生充分理解和掌握计算机网络安全涉及的理论知识。
(2)综合性。将课程中基本原理和方法与实验内容进行有机融合,设置成综合的项目式实验教学内容,各个实验项目又相对独立、完整,使学生形成对各种网络安全问题的感性认识,提高解决实际问题的能力。
(3)典型性。实验项目应突出某个计算机网络安全理论在具体实践中的典型应用过程。当学生在实际工作中遇到类似问题时,可借鉴这些典型实验项目所体现出的通用解决方法。
(4)真实性。每个实验项目应从某个具体的网络安全事件入手,通过文档、视频等相关资料的展示对本项目所依托的真实案例进行详细描述,以激发学生的实验兴趣,并引出实验目标。还应适当增加有关网络安全的前沿内容,以帮助学生了解业界的发展动态。
(5)障碍性。应通过对计算机系统、网络和服务器配置使用多个网络安全技术加以保护,给学生的实验过程设置一些人为的障碍,以促使学生思考找出解决障碍的方法和途径,大大提高实验教学内容的吸引力,充分锻炼学生解决实际网络安全问题的能力。
(6)差异性。可为每个实验项目设置不同的实验要求,为实验内容划分难易等级梯度,规定必做内容和选做内容,因材施教,使得不同基础、不同能力的学生都能够通过自身的努力完成相应的任务,让学生在实验中获得成就感,以激发其学习兴趣。
2.构建高效实验平台
计算机网络安全实验具有综合性、应用性、攻防性及工程性等特点,对实验环境有更高的要求。一些攻击类的实验还可能会对网络环境、计算机系统产生破坏或负面的影响。实验室一般会安装还原保护卡等设备,当进行安全设置或安装安全补丁、软件等原因需要重启计算机后,系统数据便会恢复,实验则无法继续。因此,如何有效地平衡实验室管理维护和实验需求这一对矛盾,是构建网络安全实验教学环境和平台需要重点考虑的因素。
一般而言,高效的网络安全实验环境和平台应具备以下三个特点:
(1)实战性。应在实验环境和平台中设置Web服务器、数据库服务器、邮件服务器、域名服务器等Internet中广泛应用的信息系统,以模拟出可实战的网络环境作为计算机网络安全攻击与防御实验的平台。
(2)真实性。在网络攻击与防御实验环境和平台中存在的各种安全漏洞应来源于真实的网络应用案例,上述的各个服务器系统应设置不同的安全级别,以体现交互式的网络攻击和防御过程。
(3)合作性。每个实验小组由2-4名学生组成,小组内部形成小型局域网,实验项目由小组成员协作完成,以培养学生独立思考能力,强化学生的团队合作意识和沟通交流能力。
虚拟机技术[4]是目前构建网络安全实验环境和平台应用最为广泛的技术,其通过软件在物理机器上模拟出独立的物理环境安装或运行操作系统,可有效降低实验成本,减少易耗品的消耗,且不受时间、空间的影响,可充分发挥现有设备的作用,也更适合要求相对苛刻、任务特殊而复杂的实验。一方面,采用虚拟手段可有效隔离外部网络环境,减少实验安全事故的发生,降低对实验设备造成的损害;另一方面,网络安全实验大多比较复杂,需要较多计算机设备,现有教学条件通常很难满足大量学生同时进行实验,采用虚拟机技术,可使实验环境扩展性更好、利用率更高。目前较常见的虚拟机软件有VMware、Virtual PC、Java虚拟机、UML、Xen和Bochs 等,其中VMware Workstation在实验教学中应用最为广泛。
3.创新实验教学模式
实验是在教师的指导下以学生为中心获取技术经验的学习过程,应重点考查学生的学习效果和实践能力,教师应由实验步骤的演示者转变为实验过程的引导者,学生则应由被动的接受者转变为实验过程的主导者。在教学过程中,应采取开放的态度,教师仅提出实验项目需要解决的问题和预期效果,不规定具体步骤和方法,不强求进度,不刻意追求实验结果,由学生独立思考设计方案、选择软件、实施步骤,以培养创新性思维,并鼓励学生提出不同解决方案,并结合实验结果进行探讨。
笔者所在课程组根据几年来的实际教学经历,认为采取分组实验和对抗实验的方式,更易于激发学生的实验兴趣,培养学生解决实际问题的能力。分组实验可摆脱学生在实验过程中的孤立性和被动性,学生通过交流讨论开拓视野,提高动手动脑的兴趣,锻炼了组织、沟通和协作能力。对抗实验可激发学生的兴趣,如可通过监听QQ程序并公布学生的QQ帐号及其部分聊天内容,从而使学生产生对网络监听技术做深入了解的兴趣。又如冰河木马实验,学生通过控制与反控制的过程,加深对木马工作原理的理解。
实验教学模式改革与创新,就是要逐步从教师先讲实验原理和步骤,然后学生按照实验指导书完成实验的传统模式,转变到采用诸如任务驱动教学法、案例教学法、启发式教学法等更有效的教学手段,调动学生的主观能动性,提高学生自主学习的能力。具体而言,任务驱动教学法,就是在教师指导下以学生为中心的学习,教师起组织、指导、帮助和促进的作用,利用情境、协助、会话等学习环境要素充分发挥学生的主动性、积极性和创造性,最终达到学生实现对当前所学知识意义建构的目的。案例教学法则以案例为基本教学材料,将学生引入具体的问题情境中积极思考、主动探索,以提高教与学的质量与效果。启发式教学,可在充分发挥教师主导作用的前提下,激发学生的学习兴趣,培养学习主动性。
另外,还可采用多元化的实验教学模式[5],将计算机网络安全实验内容进一步细化为示教型、任务驱动型、小组协作型、师生互动研究型、开放型以及工程实践型等多种类型,针对各个类型分别采用不同的教学过程,以达到更好的教学效果。
CDIO(Conceive,Design,Implement,Operate)是当今国际高等工程教育的一种新模式[6],由美国麻省理工学院和瑞典皇家工学院等四所大学共同倡导。该模式更加注重扎实的工程基础理论和专业知识的培养,以构思、设计、实施及运作全过程为载体来培养学生的工程实践能力。CDIO倡导做中学(Learning by Doing)和基于项目教育和学习(Project Based Education and Learning)的新型教学模式,让学生以主动的、实践的、课程之间有机联系的方式学习工程,培养学生的工程能力、职业道德、学术知识、运用知识解决问题的能力、终生学习能力、团队协作能力、交流能力和大系统掌控能力,从而培养既有过硬专业技能,又有良好职业道德的国际化工程师。显见,CDIO工程教育模式与计算机网络安全实验教学的目标非常契合,采用CDIO工程教育模式来设计计算机网络安全实验教学过程是可行的。
4.改进考核评价机制
改进实验考核评价机制是实验教学改革与创新的重要组成部分。科学的实验考核评价机制,不仅考核学生的学习情况,更重考核学生的学习过程,让教师通过对学生的考核进行自身的教学反思,以及时调整教学内容和教学方法。传统的实验考核方式是学生做完实验后教师根据实验报告评定成绩,有一定的局限性,教师一般很难客观、准确、全面地评价学生对课程的掌握情况及实践操作水平,会严重挫伤学生的自尊心与积极性。
具体到计算机网络安全课程的实验考核环节,可采取“平时成绩+操作成绩+考试成绩”的综合评价机制进行考核,注重学生平时的表现,同时兼顾学生对基础知识的掌握情况和实践动手能力。考核时将学生划分成不同层次,考核内容、难度不同,对应的权值也不同,学生可根据自身情况选择不同的难度级别,从而最大程度发挥学生的积极性、主动性和创造性。
三、结语
通过以上措施,可使实验教学与理论教学联系更加紧密,拓宽学生的知识面,培养学生的工程素质,提高学生的实践动手能力和创新能力。近年来,笔者所在的课程组已指导多名学生申请计算机网络安全相关的各级大学生创新项目多项,参加江苏省和全国信息与网络安全技术竞赛多次,并获得较好名次。
计算机网络安全技术的发展日新月异,许多新的实验教学理念和实验教学模式也相继出现。因此在今后的教学过程中,课程组需要进一步总结、研究、探索、创新和实践更适合计算机网络安全实验教学的新理论、新模式和新方法。另外,打铁还需自身硬,教师亦需要不断提高自身的工程素质和实践能力。
参考文献:
[1]石志国,薛为民,尹浩.计算机网络安全教程[M].第2版.北京:清华大学出版社,北方交通大学出版社,2011.
[2]贺惠萍,荣彦,张兰.虚拟机软件在网络安全教学中的应用[J].实验技术与管理,2011,28(12):112-115.
[3]廉龙颖,王希斌,陈荣丽,等.网络安全技术实验课程P+T+E教学模式研究[J].教学研究,2012,35(6):100-102.
[4]李馥娟.虚拟机技术在复杂网络实验中的应用[J].实验技术与管理,2009,16(12):79-83.
[5]聂方彦,汪永琳,荣秋生,等.计算机专业实验教学多元化教学模式探索与实践[J].大众科技,2013,15(3):122-123.
如何构建网络安全体系范文5
关键词:计算机网络;网络攻击;攻击手段;防范措施
中图分类号:TP393.08
随着计算机技术及网络技术的迅猛发展,对人们的生产生活、对国家经济社会文化发展都产生了巨大的影响,计算机网络愈来愈成为人们生活中不可缺少的一部分。然而,伴随而来的,互联网信息安全问题也愈加突出。如何加强网络安全防范、切实提升网络防御能力已经成为当前亟待解决的重要问题。针对当前层出不穷的计算机网络攻击,必须积极采取强有力的防范措施,否则网络不仅无法发挥其有利作用,反而会危及个人、企事业单位甚至国家的安全。
1 当前计算机网络攻击的特征
计算机网络攻击指的是基于计算机网络存在的漏洞及安全缺陷对计算机系统及其内部资源进行攻击或者进行非授权操作的行为,其具有造成损失巨大、攻击手段多元、攻击手法隐蔽等特点,有些计算机网络攻击还会对国家安全造成一定的威胁。具体而言,第一,计算机网络攻击的对象是联网状态的计算机,一旦攻击成功,极其容易导致成千上万台计算机瘫痪,从而给个人、企事业单位甚至国家造成巨大的损失;第二,随着信息技术高速发展,计算机网络攻击手段呈现出多样化及精致化的特征,网络黑客不仅可以通过截取他人账号或口令从而进入计算机系统,而且可以通过监视网上数据获取他人信息,甚至可以避开他人设定的防火墙进入计算机系统,而这些网络攻击行为往往可以在极短时间内通过计算机完成,因此也具有很强的隐蔽性。第三,计算机网络攻击绝大部分都是以软件攻击为主,通过对计算机软件进行攻击来进行,和生活中对计算机进行物理性攻击完全不同。第四,当前,国际形势瞬息万变,一些计算机网络攻击者尤其是外国网络攻击者出于各种目的将他国政府部门或军事机构计算机系统作为网络攻击目标,从而给他国国家、社会造成巨大安全威胁。
2 计算机网络攻击的主要途径
当前,计算机网络攻击的主要途径主要有破译口令、IP欺骗以及DNS欺骗三种。具体而言,第一,计算机网络攻击的一个重要途径是破译口令。口令是计算机系统抵抗入侵者的一项重要手段。网络攻击者在获取计算机上合法用户的账号后,对合法用户口令进行破解,然后使用破解所得的口令登陆计算机,进而实施其他非授权行为。第二,计算机网络攻击的另一个重要途径是IP欺骗,IP欺骗,顾名思义,指的是计算机网络攻击者通过将自身计算机IP地址伪造成他人IP,让自身计算机假冒另一台计算机,从而达到蒙骗过关的目的。IP欺骗具有一定的局限性,其利用了TCP/IP网络协议的脆弱性特点,只能对某些运行TCP/IP的计算机系统进行入侵。通过与被入侵计算机的连接,对其所信任的计算机发起攻击,从而使该计算机主机瘫痪。第三,计算机网络攻击的第三个途径是DNS欺骗。DNS,中文名为域名系统,是用于TCP/IP应用程序的一种数据库,可以提供计算机主机名字与IP地址间的转换信息。一般而言,计算机网络用户间的通信一般通过UDP协议以及DNS服务器完成,服务器在五十三端口进行“监听”,向用户反馈其所需要的信息。由于DNS服务器并不对转换或者信息更新予以身份认证,这就给了计算机网络攻击者利用的空间。当网络攻击者对DNS进行危害时,一旦明确地将计算机主机名即IP地址映射表更改时,就出现了DNS欺骗,而这些改变也随之写入了转换表。当客户机请求查询相关信息时,只能获得伪造的IP地址,而这个伪造的地址是完全处于网络攻击者控制的地址。
3 计算机网络攻击常见手段
3.1 网络攻击者利用网络系统漏洞进行攻击
当前,许多网络系统并不完善,存在着诸多漏洞,这些漏洞既有可能是系统本身就有,也可能是计算机用户、网络管理员的疏忽所造成的,网络攻击者利用这些漏洞进行密码探测、系统入侵等攻击行为,最终造成计算机内资料的泄露或者导致计算机不能正常运行。
3.2 网络攻击者通过电子邮件进行攻击
网络时代,电子邮件愈来愈成为我们生活中的重要通讯方式,应用范围愈加广泛。网络攻击者有时会使用电子邮件炸弹的方式向同一个目的邮箱发送大量垃圾邮件,这些垃圾邮件往往内容无用且重复,其目的是使用户网络带宽耗尽、邮箱空间撑爆,尤其是当垃圾邮件发送量特别巨大时,可能导致邮件系统工作迟缓、甚至出现瘫痪,从而阻碍用户正常收发电子邮件。
3.3 网络攻击者通过网络监听进行攻击
作为主机的一种工作模式,网络监听通常被用于监视计算机网络状态、信息传输以及数据流情况。网络攻击者在目标主机网络信息传输时,通过工具将目标主机网络接口设置为监听模式,从而截获正在传输的信息(一般截获用户口令),最终取得目标主机用户权限,从而实施攻击行为。
3.4 网络攻击者通过放置木马程序进行攻击
木马程序对计算机系统危害较大,它往往被伪装成工具程序或者游戏软件等诱使用户执行,当这些木马程序被执行后,就会将本地计算机与远程计算机进行连接,当计算机联网运行时,网络攻击者往往就会通过这些木马程序盗取用户资料及信息,篡改用户文件资料,从而最终控制本地计算机。
3.5 网络攻击者通过拒绝服务进行攻击
拒绝服务攻击是网络攻击者较常使用的一种攻击手段。攻击者通过某种方法使目标主机暂停或者停止提供服务甚至出现主机死机的情况,从而达到对其攻击的目的,其中最为常见的是对网络带宽攻击以及连通性攻击。
4 计算机网络安全防范措施
针对当前计算机网络攻击手段的多样性及复杂性,为确保计算机网络安全、增强计算机网络抵御能力,有必要积极建立一套合理可行的网络安全防范机制,全方位地对主机的访问进行监视,及时发现并采取有效措施抵御攻击行为。
4.1 网络安全结构中防火墙技术的运用
作为保障系统安全的有效屏障,防火墙是实现计算机网络安全的最基础但也是最为有效的防范措施之一,由计算机软件及硬件共同组成。通过构建计算机防火墙,用户群体可以在内、外部相互访问中确立一定权限。用户联网后,确保计算机网络安全的重要一个环节是抵御恶意操作行为,而目前抵御非法入侵者恶意操作最主要的措施就是防火墙技术。通过防火墙技术的使用,在相当程度上提高了网络安全性,在一定程度上阻断并过滤了恶意攻击行为,从而降低计算机安全风险。
4.2 加密技术的应用
通过应用计算机网络加密技术,对网络传输中主机IP地址进行封装加密,可以大幅提高数据传输的保密性与真实性,其在确保公网数据传输安全方面也有重要作用。和防火墙技术相比,加密技术更加灵活,尽管其在一定程度上限制了用户权限,但是对维护用户静态信息安全起到了积极保护作用。
4.3 入侵检测技术的使用
入侵检测系统,英文简称IDS,其通过多渠道对计算机网络数据信息进行搜集,并对数据信息进行分析,从而判定网络攻击特征并实施驱逐。使用入侵检测技术,不仅可以对主机与网络之间的行为实时监控,同时可以对外来攻击及入侵进行预警,并实施阻挡及防护,提升计算机网络防御能力。与防火墙技术相比,入侵检测技术更加系统化,同时对于网络攻击可以进行数据特征分析并对入侵行为实施驱逐。此外,入侵检测技术还能对计算机受损程度进行检测,在受攻击后收集相关数据信息,将攻击者数据及相关特征、信息添加到相应数据库中,使计算机系统安全防范能力得到提高,避免了同种或者同类型的攻击行为再次使计算机系统受损。
4.4 建立多层次安全级别的病毒防护系统,全面防护病毒入侵
一般而言,防范病毒入侵的方式主要有两种,即单机防病毒软件以及网络防病毒软件。单机防病毒软件主要用于对本地计算机或者与本地计算机相连接的远程资源进行病毒分析扫面,从而清除病毒;而网络防病毒软件则侧重于对网络病毒的防护与清除,尤其是某种病毒通过网络向其他资源进行传播时,网络防病毒软件会及时发现并予以清除。为了确保计算机网络安全,有必要建立多层次安全级别的病毒防护系统,全面防护病毒入侵。
4.5 加强计算机网络安全管理
业界有一句话比较经典:三分技术,七分管理。当前,为了切实提高计算机网络安全防范水平、增强计算机网络防御能力,除了上述网络安全技术的运用,还有必要积极加强计算机网络安全管理、制定健全的网络安全法律规章制度,对现有法律法规中有关计算机安全的内容进行适当补充与修改,加强对计算机网络犯罪的打击力度,这对切实保障计算机网络安全、可靠运行具有十分重要的作用。
5 结束语
随着信息技术的发展,计算机网络攻击手段不断演变,各类计算机网络违法犯罪案件数量不断攀升。网络攻击越来越成为构建计算机网络安全体系的重要障碍,为了提升网络安全防范水平,因此必须全方位、多角度地完善计算机网络安全的防范体系。
参考文献:
[1]赵秉文,陈宁,梁红.基于层次分析法构建网络安全系统的方法[J].浙江理工大学学报,2009(04).
[2]胡华平,刘波,钟求喜.网络安全脆弱性分析与处置系统的研究与实现[J].国防科技大学学报,2009(01).
[3]邢娜,马文惠,冯红婵.浅析计算机网络安全隐患及防范技术[J].科学大众(科学教育),2009(11).
[4]宋秀丽,邓红耀.计算机证据在网络传输中的安全保护策略[J].计算机工程与设计,2010(16).
[5]Poolsappasit,Nayot,Dewri,Rinku,Ray,Indrajit.Dynamic Security Risk Management Using Bayesian Attack Graphs[J].IEEE Transactions on Dependable and Secure Computing,2012(01).
如何构建网络安全体系范文6
关键词关键词:高校网站;网站集群;网站运维;三方联动机制;CMS
DOIDOI:10.11907/rjdk.161430
中图分类号:TP319
文献标识码:A 文章编号:1672-7800(2016)008-0150-03
0 引言
随着高校网站建设规模及数量的不断发展,网站信息内容和服务功能正逐步丰富与完善,已成为向校内外用户提供教学、科研、管理、招生就业等方面公共信息与服务的平台,是展示高校形象、与外界联系的重要窗口,是高校信息化建设的重要组成部分。
高校网站群通常由学校的门户网站及多个子网站组成,如何对网站进行科学建设与运维管理具有重要意义。
1 高校网站建设与运维管理存在的问题
1.1 缺乏统一规划,重复投资建设
许多高校存在各部门单独进行网站规划、设计和管理,各网站分布在相对独立的服务器上,网站之间信息缺乏有效共享,难以实现更高层次的信息处理和数据挖掘利用等问题[1]。由于网站建设初期未进行合理细致的规划,当网站后期需要扩充功能或改版升级时,往往需要重新建设网站,造成人力和财力等资源的严重浪费。
1.2 网站开发人员水平参差不齐、流动性大
高校网站开发人员有专业教师、教辅人员、在校学生及专业技术服务公司。各网站开发团队规模不同、开发水平不一、网站设计风格各异,实现网站安全的技术手段也不尽相同,提供的管理维护方式及力度也有差距。例如,有的网站由在校学生进行建设和管理,学生离校参加工作后,可能不再参与网站的管理S护工作,导致网站后期维护困难。
1.3 网站内容建设重视不足
高校网站建设重开发轻内容现象较为普遍,许多部门对网站的信息内容建设不甚重视,网站信息不能引起用户的兴趣。有的网站内容更新不及时,没有发挥好网站传递信息的作用。
1.4 信息安全意识薄弱,存在安全风险
不少网站管理人员信息安全意识不强,无法有效控制网站安全风险。当发生网页被篡改等攻击事件时,无法及时恢复网站,导致用户无法正常访问。有些被篡改后的网页上显示不良信息,造成负面影响。
2 建立“三方联动”机制,推进高校网站建设工作
为确保高校网站建设运维工作高效有序开展,本文探索推行由校内网络信息管理部门、网站建设部门、网站开发部门共同构成的“三方联动”机制[2],如图1所示。
在三方联动机制中,网络信息管理部门负责领导和组织网站建设,以及网络信息安全的相关工作,包括制定网站建设与管理的相关制度,对网站建设申请进行审批,并对的网站信息内容进行监督管理。网站建设部门按照制定的相关制度,负责拟定本部门网站建设需求与网站内容更新等工作。网站开发部门在网络信息管理部门的要求和指导下,负责对网站建设和运维管理提供技术服务支持,利用信息技术和网络资源优势做好网站建设的各项工作,确保完成网站建设目标。
随着高校网站建设目标的不断提高,网站服务形式和功能也会发生转变,网站建设部门会根据业务发展需要,提出网站建设新的要求,这反过来会影响或提高校园网站整体建设要求。网络信息管理部门应根据实际情况进行相应调整,网站开发部门在技术上、可利用资源上提供必要的支持。在三方联动机制下,通过明确三方各自的职责,实现三方职能互补、沟通互动,促进三方协同工作高效开展,使网站建设工作更有成效。
高校网站建设流程分为申请、开发和3个阶段,如图2所示。
首先,由网站建设部门提出申请,提交相关申请表格。申请内容包括网站名称、申请部门、网站制作需求等信息;其次,申请表需经网络信息管理部门审批,批准后由网络信息管理部门备案,再由网站开发部门根据需求提供网站建设方案,经与网站建设部门确认后开展网站资料搜集、分类整理和审查工作;网站开发完成后还需进行相关测试,通过测试并经过审核后才可上线。
3 网站开发团队建设
网站开发工作需要专业的知识、技术与经验,通过组建专业化、高素质的高校网站开发团队,以高效率完成网站建设任务。
3.1 组建专业高效的开发团队
结合三方联动机制的思路,由网络信息管理部门与网站开发部门根据学校网站总体建设任务,确定开发团队的规模,选拔任务所需知识结构和专业技能的人员加入团队。同时,还要充分考虑团队成员各方面的差异和需求,制订有针对性的激励措施,充分调动团队成员的积极性、主动性和创造性。增强团队凝聚力,营造良好的协作氛围,使团队成员能够在权责范围内充分发挥应有的作用。
3.2 以任务为导向进行网站建设
以任务为导向的网站开发团队[3]主要工作职责是完成网站建设。开发团队必须清楚认识网站建设的目标,通过制定合理的网站开发流程和相关的工作规范,齐心协力进行网站开发工作,确保建设任务按时保质完成。开发团队还要增强学习意识,通过不断总结网站建设工作经验,改进工作方法和技术手段,逐步提升团队的技术实力和职业素养。
3.3 引导网站用户参与建设
高校网站的设计和开发应优先满足用户的需求和期望,可以邀请并引导师生及用户参与到网站的设计和决策过程中来,将用户的需求和意见融入到设计方案中,确保网站建设效果,创新网站设计,改善用户体验。
4 基于CMS的高校网站集群建设方案
通过采用统一框架下基于内容管理系统(content management system,CMS)的网站集群建设解决方案,实现统一建设、信息共享、提高效率、丰富内容、安全可靠的高校网站建设设计思路,以解决高校各网站相互独立建设和管理而产生的诸多问题,提高网站建设与管理水平。
CMS在B/S架构下的网站集群结构及主要功能如图3所示。
基础设施层:由支持该系统运行的硬件、系统软件和计算机网络组成。
信息资源层:包括系统用户和组织结构信息,网站内容信息,图片、视频等多媒体文件资源及数据库管理系统,为系统中各站点提供信息资源和系统数据,同时通过对用户管理和权限控制,保证信息资源安全。
系统管理层:主要包括对系统用户和角色的管理、权限管理、统计分析、日志管理、数据备份与恢复等功能。
系统应用层:系统进行网站集群建设应用的核心。系统为网站建设和管理人员提供可视化操作界面,能够方便地进行操作。主要包括创建网站、设置网站栏目、创建网页模板、信息等操作。
系统表现层:将各类信息资源以丰富的多媒体形式展现给用户浏览。
用户访问层:用户访问层目标用户包括教师、学生、科研人员、社会公众等人群,这些用户通过Internet可以直接访问校园各网站,浏览和查询网站相关信息。
4.1 统一规划建设,资源整合共享
基于CMS的网站集群建设解决方案是在统一框架下实现对多个网站软硬件资源的共享。在统一的系统平台,采用统一的技术标准和规范,对各网站进行统一规划建设和管理,实现对多个网站的集群管理和数据的集中存储,使各网站的信息资源共享,从而消除信息孤岛现象。校内网站可以使用CMS来建设和维护,不需要单独购买服务器,大大减少了软硬件资金的投入,避免重复投资和资源浪费。同时,便于统一维护和更新软硬件资源,使运维管理成本大幅度降低。
4.2 提高网站建设效率,降低技术要求
在CMS中采用模板与内容分离技术。模板定义了网站前端页面的展示样式,使用这种技术可以在不影响网站内容和业务逻辑的情况下,方便地切换更新网站页面的风格。系统提供多套网站模板,各部门可选择使用,从而简化网站开发流程,缩短建设时间。模板可由网站开发团队统一设计和制作并存储在系统中。系统应支持搭建移动门户功能,实现对网站一次内容采编就能在PC、手机、平板电脑等终端设备上同步。相对于独立进行网站开发而言,CMS的应用降低了网站建设难度,提高了网站建设效率,降低了建站人员的技术要求。
4.3 提高内容建设水平,提升用户满意度
在CMS的系统管理中,网络信息管理部门能够对各网站内容的更新情况进行监管,对网站信息滞后的部门,采取相应的管理措施,督促其及时更新网站内容。网站管理人员可使用系统功能来掌握网站访问量、访客信息等情况,对访客用户行为进行分析,挖掘统计数据,利用统计分析结果辅助决策。此外,网站建设部门通过网站收集用户的反馈意见,根据用户关注或感兴趣的内容完善网站的栏目和服务,有利于增强网站信息内容的针对性和时效性,提高网站信息内容建设水平,充分发挥网站宣传与服务功能,达到提升网站用户满意度的目的。
4.4 建立严格审核机制,构建安全体系
CMS所创建的网站都有相对独立的管理维护权限,各网站管理人员可以方便地创建网站栏目,编辑和栏目内容。为确保网站的信息内容符合相关政策要求,必须建立严格的网站内容审核机制。在CMS中,主要通过“采编审发”流程对网站信息内容进行管理[4]。根据实际情况,在系统中定制相应的审批流程,并授予系统相关用户对网站信息内容的查阅、编辑、审核、等操作权限。明确工作人员责职,提高网站信息内容的准确性和安全性。配合安全管理制度,通过系统提供的数据加密、身份认证、日志管理、数据库管理等功能,构建可靠的系统安全体系,确保系统稳定运行和网站信息内容安全。另外,系统应支持与外部业务应用系统的集成整合,提供必要的数据处理服务,使数据能够安全地进行交换与共享。
5 分级管理思路
在网站开发之初,就应制定相应的运维方案,从技术和管理上提出具体要求。本文所讨论的运维管理主要是针对网站上线运行后的工作。在高校网络信息安全管理制度、网站安全事件应急处理预案等相关管理制度、规定的指导下,网站运维可采用分级管理方式进行,具体如下:
①由网络信息管理部门负责完善制度建设,建立网络信息内容审核机制,做好信息内容的监督管理。使用规章制度来指导网络安全管理工作,提升网站安全事件应急响应能力;②网站建设部门负责网站信息内容的更新维护工作,提出完善网站功能需求的建议;③网站开发部门按照相关要求和规定,增强网站安全管理技术手段,做好网站各项安全保障措施。
CMS的安全稳定运行直接关系到网站的正常运行。CMS的系统管理员负责日常运行维护和安全管理工作,具体工作包括:
(1)通过CMS统一分配管理权限,将网站管理相应的权限赋给特定的用户或角色,使其能进行网站相应的操作,如系统管理员在系统中将相关网站管理功能授予二级学院的网站管理员,网站管理员对该网站进行栏目管理和热莞新等操作,从而实现在对网站管理员进行有效管理的前提下,完成各网站的分级运维工作。系统权限管理如图4所示。
(2)制定合理的系统数据备份与恢复策略,以便对系统数据和网站信息资源等重要数据进行备份和快速恢复,确保系统数据库的安全可靠运行。
(3)利用CMS的日志管理功能,及时查找运行网站发生故障的原因,使故障尽可能在最短时间内解决。
(4)通过分析与评估CMS运行所使用资源的情况,及时进行扩容改造以满足系统运行需求,保证系统的稳定性及安全性。
(5)定期对系统服务器进行漏洞检测,查杀病毒等升级维护工作。
(6)采用Web防火墙或第三方网页防篡改系统等网络安全保护措施[5],对网站进行实时高效监测与防护,多方位加强网站群的安全保障,以确保网站安全正常运行。
(7)网络信息管理部门与网站开发部门以宣传和培训
的形式,加强各部门网站管理员的信息安全意识。
6 结语
在高校网站不断完善与发展过程中,要始终坚持高校网站建设与管理并重,重视制度与技术相结合。以网站为载体,开发和利用好高校的教育信息资源,促进高校教育信息化建设发展,为进一步提高和完善高校信息化建设目标打下坚实的基础。
参考文献:
[1]屈建萍,刘晓群,吕国.高校网站集群建设管理研究[J].河北建筑工程学院学报,2008,26(4):89-91.
[2]齐艳苓.政府、企业、学校三方联动的产学研合作机制研究[J].教育探索,2009(5):46-48.
[3]赵桂亮.软件项目开发团队的组建问题研究[D].北京:北京工业大学,2006.
