前言:中文期刊网精心挑选了网络安全技术教程范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全技术教程范文1
关键词:城市轨道交通;业务系统;安全生产网;外部服务网;单向传输;安全隔离
为了应对城市轨道交通业务系统中各个子系统之间复杂接入带来的潜在威胁,2018年,中国城市轨道交通协会了《智慧城轨信息技术架构及信息安全规范》。该规范提出:安全生产网和外部服务网间、内部管理网和外部服务网间应实施物理安全隔离,且不能进行实时信息交互。GB/T22239—2019《信息安全技术网络安全等级保护基本要求》(以下简称“等保2.0”)中,对信息系统安全隔离又有了更高的要求,有关工控扩展项的要求为:工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向隔离技术手段。目前的主流单向传输技术是使用GAP(安全隔离网闸)隔离不同安全等级的网络。GAP主要依靠单向的光纤以太网适配器和一个无反馈的单向传输信道,而无反馈单向传输信道并不能保证传输的可靠性。因此需要使用较冗余的数据和复杂的校验计算来为单向传输信道提供可靠性,并通过打乱数据包的发送序列来解决随机丢失和序列丢失的问题。这种操作方式占用了较多的CPU资源,且无法解决流量突发和连续丢包的问题。城市轨道交通业务系统具有其特殊性,通用单向隔离技术无法满足业务系统必须的协议传输要求,在传输速率和可靠性上达不到等保2.0的技术要求,同时还存在很大的安全隐患。为了解决城市轨道交通业务系统生产核心网和服务管理网之间的单向数据传输问题,本文基于文献[1]的研究,提出了基于单向以太网适配器和单工光纤跳线进行安全单向传输的技术。该技术设计了一个有限反馈的单向传输信道,数据传输由一根光纤实现,反向反馈由一条单工串行线提供。在特定的需求下,该技术比GAP的传输速度更快。单工串行线只传输少量的确认信息,不能反向传输任何数据。两种网络之间不能连入任何其他网络,以确保网络信息安全。
1新型安全单向传输技术
1.1相关技术
由于单向以太网适配器只能沿单一方向发送数据,无法接收反馈,因此只能使用无连接的不可靠协议。而单向以太网适配器仅需要实现发送方和接收方端到端的传输,并不需要额外做数据帧分析和处理。因此,本文定义了一个运行在网络层和传输层的私有网络协议,用于实现单向传输。为了能够捕获和发送以太网帧,本文引入了高性能的PF_RING库。1.1.1PF_RING库PF_RING库是运行在Linux内核层的高效数据报文传输模型,用户级别的应用程序可以通过其提供的API(应用程序界面)来进行更为高效的网络数据传输。在Linux传统的网络协议栈数据报文处理过程中,CPU大量的处理能力使用在把网卡接收到的数据报文拷贝到kernel系统中的数据结构队列中,再从kernel系统的数据结构队列发送到用户空间的应用程序数据接收区中,导致CPU处理能力被严重耗损。网络传输过程中,在网络设备上需要对数据报文sk_buff结构进行多次拷贝,并且涉及内核态和用户态的频繁系统调用,限制了传输报文的效率,尤其对小报文的传输性能影响更大。PF_RING库一方面能减少报文在网络设备上的拷贝次数,可极大地释放出CPU的处理能力;另一方面与TNAPI技术的融合后可将网卡接收的数据报文分发到各个CPU核的RX队列中,以充分利用多核的特性,显著提高了网络设备的数据报文处理能力。1.1.2信号量信号量是一个同步对象,为多个进程提供共享对象的访问。当进程完成一次对该信号量对象的等待(wait)时,计数值减1;当进程完成一次对该信号量对象的释放(release)时,计数值加1。当计数值为0时,则进程不能完成对该信号量对象的等待,直至该信号量对象变成signaled状态。信号量对象的计数值大于0,为signaled状态;计数值等于0,为nonsignaled状态。如果信号量是一个任意的整数,通常被称为计数信号量;如果信号量只有二进制的0或1,被称为二进制信号量。在SystemV系统中,信号量增加了复杂度,称之为计数信号量集,即至少有1个信号量构成的集合,其中集合中的每个信号量都是计数信号量。对于信号量集中的信号量数目,系统内核是存在限制的,由内核参数决定。当操作计数信号量集时,可以同时对多个信号量进行一组操作,SystemV系统能确保其为原子操作。一个计数信号量集的每个成员可以有3种操作:查询值是否为0,计数值增加,以及计数值减少(假设减少以后结果仍不为负)。
1.2私有协议
1.2.1协议设计由于单向以太网适配器不能反向传输,因此一般使用不可靠的UDP(用户数据报协议)。为了适应城市轨道交通特殊的业务需求,提高传输的可靠性和效率,本文提出了一种私有协议,用于单向数据传输。该协议是在以太网的基础上实现的。为了提高以太网帧的传输性能,本文引入了PF_RING库对数据包进行处理。以太网帧MTU(最大传输单位)一般为1500B,本文设定MTU为1452B。实际应用场景下,用户进程一次发送的数据长度将大于MTU,因此数据将被分割成多个以太网帧来进行发送,并在接收端重新组装。因此,上层的私有协议需要具有分割和组合数据的能力。在本文中,设计了基于以太网的两层协议:第三层协议和第四层协议。第三层协议运行在以太网之上,用于实现数据包的分割和重组;第四层协议运行在第三层协议之上,用于实现数据包的验证。协议内容如图1所示。第三层协议中,version字段表示版本,通信双方使用的版本必须一致;flag字段表示标识,用于控制和识别分片;identification字段表示标识符,被用来唯一地标识一个报文的所有分片,因为分片不一定按序到达,所以在重组时需要知道分片所属的报文;offset字段表示分片偏移,描述每个分片相对于原始报文开头的偏移量;length字段表示长度,定义了包含首部和数据的总长度;data字段表示数据内容。第四层协议中,length字段表示长度,定义了包含首部和数据的总长度;checksum字段表示校验和,用于发现首部信息和数据中的传输错误。1.2.2协议转换城市轨道交通业务系统各子系统需要将数据经由生产核心网端点设备传输至服务管理网,因此需要对各子系统的数据传输协议进行解析,并转换为本文设计的私有协议。由于各子系统内使用的协议不尽相同,本文选择使用最多的ModbusTCP(TCP:传输控制协议)工控协议进行说明。ModbusTCP是一种应用层消息传递协议,其底层基于TCP/IP(IP:网际互连协议)协议架构,因此端点设备需要将TCP协议转换为第四层协议,将IP协议转换为第三层协议。1)将IP协议转换为本文定义的第三层协议。IP协议中版本字段占4bit,对其高位补全4个0后,构成8bit数据填入第三层协议version字段。IP协议中标志字段占3bit,对其高位补全5个0后,填入第三层协议flag字段。IP协议中片内偏移字段占13bit,对其高位补全3个0后,填入第三层协议offset字段。第三层协议length字段为:IP总长度字段值减去4个字段值,再乘以IP首部长度字段值,然后再加8个字段值。将IP协议中标识字段直接填入第三层协议identification字段。2)将TCP协议转换为本文定义的第四层协议。第四层协议length字段为:第三层协议length字段值减去8个字段值。第四层协议checksum字段计算过程为:首先将首部和数据以16bit为长度,分为一个个等长的字节,若总长度为奇数个字节,则在末尾补上一个位全为0的字节。然后将check-sum字段全置0;接下来采用反码加法(对每16bit进行二进制反码求和)累加所有16bit长的字节,得到的结果即为校验和;接收端收到帧后,将帧所有原码相加,且溢出的高位循环叠加到低位,如计算结果的16位中每一位都为1,则正确,否则说明发生错误。
1.3传输模块工作机制
传输模块基于单向以太网适配器和单工串口来建立可靠的信道。在私有协议中,第四层协议的length字段长度为2B,所以数据内容的最大长度为65535B。但由于运行在应用层的传输模块会占用几个字节,因此数据的最大长度会减少。由于光纤以太网的速度远大于单工串口,因此串口将成为传输瓶颈。为了提高信道的利用率,服务管理网不需要每次接收到单个数据包后都通过反向传输链路发送确认信息,而是持续接收一组数据包后再发送。基于存储能力和通信量的考虑,一组数据包的数量为16个数据包。传输模块首部有3个字段,分别是sn字段、ident字段和num字段,每个字段的长度为1B。sn字段表示组的标识符,用于区分不同的组;ident字段表示一个组内各个数据包的标识符,用于区分组内的不同数据包;num字段表示该组中数据包的数量。在生产核心网端点设备连续发送一组数据包后,会再发送一个查询数据包,要求服务管理网端点设备发送该组数据包的接收情况。当接收方收到一个数据包时,它将记录ident字段的值。当接收方收到查询数据包时,将回复对该组数据包的确认帧。发送方会检查确认帧中是否有接收缺失,如果有则重新发送对应的数据包。重复上述步骤,直到这组数据包被确认收到后再发送下一组。传输模块会提供发送和接收接口,传输单位是一组数据包。在发送端,端点设备调用接口来发送数据。数据不会被立即发送,而是先存储在一个环形队列中。同样,在接收端,收到的数据也会被暂存在一个环形队列中,直至该组数据包全部到达后才能被端点设备读取。发送方/接收方端点设备和传输模块需要互斥地访问环形队列。本文使用计数信号量集来实现互斥。该信号集有两个信号量,第一个用于对环形队列的访问,第二个代表环形队列中的空闲位置。端点设备和传输模块争取对环形队列的操作权限,需要同时对这两个信号量操作。比如,发送端在发送一组数据包前,需要对第一个信号量进行wait操作。如果操作后该信号量值大于等于0,则说明发送端获取了环形队列的控制权,可以进行发送;如果操作后该信号量值小于0,则说明端点设备正在使用环形队列,发送端需要等待其释放该资源。同时,发送端对第二个信号量也要进行wait操作,操作值为该组数据包的数量。如果操作后该信号量值小于0,则说明环形队列中没有足够的位置供数据进行发送。有时发送端的传输速度很慢,无法填满整个环形队列。因此传输模块会设置一个发送计时器,如果超时,模块会对第二个信号量执行release操作,并获得环形队列中的所有数据包。同理,在接收端也有类似的操作,本文将不再赘述。
2新型安全单向传输技术试验
为了测试上述安全单向传输技术设计方案的实际性能,本文对上述方法进行了试验验证。试验软硬件配置如下:操作系统为CentOS6.8,内核版本为4.4.43,CPU型号为Inteli5-2400,以太网设配器为ixgbe。串行端口的波特率为115200bit/s,一组数据包的最大数量为16个。试验设计为:发送方端点设备一次性发送50000个数据包,记录下开始时间和结束时间,然后计算出传输速度;接收方会输出收到的数据包的长度和数量,以验证是否收到了50000个数据包。传输速度的制约因素主要为串行速度和数据包大小,波特率对传输没有明显的影响,因此在试验中主要计算不同数据包大小的速度。本次试验中,按照1kB、2kB、4kB、8kB、16kB、32kB和64kB不同规格的数据包分别进行了10次测试,结果如表1所示。从表1中可以看出,当数据包不大于8kB时,数据包大小和传输速度成线性增长。但随着数据包逐渐增加大,分片和重组的时间也会增加,从而导致传输速度的增长速率降低。为了更直观地观察传输速度的变化,本文将数据绘制成折线图,如图2所示。当数据包大于8kB时,因为分片和重组所花费的时间越来越多,对传输速率的影响也逐渐增大。但总的来说,传输速率是随着数据包大小的增长而增长的。为了验证协议转换是否会造成过大的延时,对TCP协议转换至第四层协议消耗的时间进行了验证,结果如图3所示。平均转换时间约为1.7ms,主要用于计算校验和。这个时间是可接受的。
3结语
网络安全技术教程范文2
关键词:课堂教学;任务驱动;教学模式
中图分类号:G642.0 文献标志码:A 文章编号:1674-9324(2015)35-0210-02
“网络安全与防护技术”课程是信息安全及计算机专业的专业课之一。涉及计算机科学与技术、网络安全、信息安全、应用数学等多个学科。“网络安全与防护技术”课程主要介绍网络安全技术和主流安全产品,如防火墙、入侵检测、VPN技术等,是学生应用信息安全理论和深化信息安全知识的有效途径,提升学生在网络与信息安全方面的动手能力,同时了解目前存在安全技术的不足之处,为进一步从事信息安全领域的研究工作奠定必要的理论和工程应用基础。
一、研究背景
互动式教学被誉为哈佛大学的法宝,从1980年引入我国。这种方式是大学教师为研究和探讨某一专题而采用的学习交流方式,教师和学生平等互动,每一个参与者都可以从中受到启迪并开阔视野,真正达到学有所获的教学目的。然而这种激发学生活力和创新思维的教学方法一直没有在实践中得到广泛的推广和应用。在我国的部分研究型高校中,仅有部分教师对信息安全专业课程的研讨式教学进行了尝试。文献[1]探索、实践和总结了信息安全保密教育中变被动教育为自我教育、变被动要求为自觉行动的理念以及集技术教育与政治教育于一体的新模式。文献[2]将学生安全编码能力的培养与程序设计课程群、操作系统、软件工程等课程相结合。建议在教学中加强安全编码能力训练的几种主要途径。文献[3]从信息安全类课程教学与实践两大环节中的共性问题入手,在分析信息安全技术课程实际教学活动的基础上,提出教学内容点面结合、教学实践知行合一的内容安排与学生认知评价体系。文献[4]对军校本科学员的信息安全保密素质现状进行分析,探讨了课程的内容与特点,并从专题授课、动态更新、案例式教学、现场演示这四个方面,对课程设计与教学方法进行了探索。文献[5]针对信息安全课程具有的计算复杂性大、算法理解难度大、实验内容灵活的特点,基于三年的课程教学经验,提出了一种多维研讨式教学模式,集课堂教学、实践教学和课程交叉三个维度的研讨方式,收到了良好的教学效果。
信息安全的概念在20世纪经历了一个漫长的历史阶段,90年代以来得到了深化。进入21世纪,随着信息技术的不断发展,信息安全问题也日显突出。信息安全专业需要培养学生具有全面的信息安全专业知识,使得学生有较宽的知识面和进一步发展的基本能力;加强学科所要求的基本修养,使学生具有本学科科学研究所需的基本素质,为学生今后的发展、创新打下良好的基础;使学生具有较强的应用能力。
我校于2011年为信息安全专业高年级学生开设了“网络安全与防护技术”选修课程,“网络安全与防护技术”课程的推出,是对我校信息安全课程体系建设的一个重要的补充和完善。
二、“网络安全与防护技术”课程分析
与信息安全专业其他课程相比,网络安全防护致力于解决如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段等问题,主要包括物理安全分析技术、网络结构安全分析技术、系统安全分析技术、管理安全分析技术及其他的安全服务和安全机制策略。因此此门课程是一门理论与实践紧密结合、实用性很强的课程。与其他课程相比,该课程有以下两个特点。
1.网络安全与防护技术的研究还面临着许多未知领域,缺乏系统性的理论基础以及公平统一的性能测试与评价体系。
2.网络安全与防护技术是一门新的综合性前沿应用学科,涉及计算机科学与技术、网络安全、信息安全、应用数学等多个学科知识。
“网络安全与防护技术”课程在整个信息安全专业课程体系中是必不可少的重要环节,它是“数字信号与信息隐藏”、“数据通信原理”、“信息系统安全”、“信息安全管理”等多门课程内容的综合运用,在此基础上,可以开设“网络攻防实验”等后续课程。
经过3年的教学实施,我们发现存在学生对该领域比较陌生并且课堂教学死板,课程持续吸引力不足等问题。因此“网络安全与防护技术”课程的教学存在很多问题有待研究、解决并加以实践验证,本文针对这门课程提出了任务驱动的教学方式、项目引导、团队研究、随堂实验环节等多方面的改革措施,使得该课程能在信息安全专业为学生的创新意识和全面素质培养起到良好的作用。
三、“网络安全与防护技术”课程教学现状及存在的问题
目前“网络安全与防护技术”课程存在的主要问题有以下五个方面。
1.课堂教学死板。当前的信息安全类课程教学大多在多媒体教室进行,采用板书和多媒体手段,但通过几年的教学发现,这种教学方法在“网络安全与防护技术”课程的教学效果并不好,主要是因为课程所涉及的知识比较杂,例如:网络协议、网络编程、计算机病毒、防火墙、入侵检测、虚拟专用网(VPN)等。这些内容仅仅借助多媒体课件无法深入讲解。
2.课程持续吸引力不足。有些同学在好奇心的驱使下,通过自学或者网上查资料已经掌握了一些网络安全方面的基础知识,但是单纯的课堂讲授所形成的“填鸭式”教学,使得学生无法根据自己对知识的掌握情况进行选择性学习,最终觉得课程“索然无味”,渐渐失去了对课程的兴趣。
3.教学内容理论深度不够。“网络安全与防护技术”课程在教学内容的选取上从理论到应用内容还算全面,但侧重点过于偏向应用,理论基础薄弱,深度不够,更像是一门普及常识的公共任选课。这主要是因为课程涉及计算机科学与技术、网络安全、信息安全、应用数学等多个学科的知识,无法在课堂上系统地全部交代清楚。
4.实验教学学时分配不够。课程的实验教学是“网络安全与防护技术”课程的重要环节,单纯依靠理论授课方式,片面重视理论的重要性,往往造成课堂气氛沉闷,缺乏教学的互动效果,使学生只是被动记忆课本内容应付考核,无法借助实验环节验证课堂的教学内容,无法激发学生参与课堂讨论的积极性,导致课程的教学过程缺乏互动。
5.课程考核方法单一。目前信息安全类课程大多采用闭卷考试的方法来衡量学生对知识点的掌握情况,这种单一的考核方式促使学生更加倾向于死记硬背书上的知识点,而忽略对动手能力的培养,导致课堂讲授变成了“纸上谈兵”。同时,导致所培养出来的学生缺少独立思考和解决问题的能力,在日后的工作中无法真正解决企业或单位所面临的实际安全问题。
四、“网络安全与防护技术”课程任务驱动教学模式
1.任务驱动的教学方式。任务驱动教学以任务为主线,其教学内容由多个精心设计的子任务(项目)来组成。课堂教学中,教师布置某一任务,学生自己组成项目组,并动手解决问题。在完成任务的过程中,教师由权威的知识传授者变成了教学的引导者、组织者和评价者,学生由被动的学习变成了学习的主体。
2.项目引导。教师通过对教学目的、教学内容和教学方法的介绍,使学生了解课程的目标,教师根据研讨的专题为学生分组,每组负责一个具体的安全类项目。开课初期的一个重要内容就是教会学生查资料和找文献的方法,让学生具备动手查资料的能力,为后续的项目做准备。另外,通过项目引导使学生自己主动查资料,掌握自己不熟悉的内容,弥补了学生背景知识不足的问题。
3.团队研究。学生形成的小团队自己带着项目,去检索文献、阅读资料,并定期将工作计划和所完成的工作由学生组长向老师汇报,一方面便于教师对项目的进展和方向把关,另一方面可以培养学生的团队合作精神。“网络安全与防护技术”课程涉及多种网络安全技术和主流的安全产品,小组成员的交流和发言可以最大程度避免和纠正对网络安全技术理解的偏差。学生在小组内逐个上台试讲,同组同学就对网络安全技术加以讨论。在确保全组成员都熟练掌握的情况下由每个小组推选一位同学在班上集中答辩本组项目内容。
4.师生评议。师生一起评议由各小组推选的学生的答辩,所有学生都可以提问,主讲人所在小组进行回答。教师制订评分标准,对答辩小组的所有成员的表现进行评分,此评议结果作为课程成绩的重要组成部分。最后由教师进行讲评,并做阶段综述。
5.随堂实验环节。在课堂教学之间穿插实验教学内容,通过学生自己动手实践、课后实践,或课堂演示实践等多种方式进行,使得学生在学习了重要的知识点后,都能迅速地通过实践的方式加深理解和强化记忆,激发学生持续的好奇心并培养了学生的动手能力。
五、结语
“网络安全与防护技术”是信息安全专业一门非常重要的课程,本身的理论性与实践性都很强,在培养信息安全专业学生的创新能力与解决问题的能力方面尤为重要。本文就“网络安全与防护技术”这门课程,提出了任务驱动的教学方式,提出了项目引导、团队研究、随堂实验环节等多方面的改革措施,这些措施还需要在今后的教学过程中不断检验和完善,使得该课程能在为信息安全专业学生的创新意识和全面素质培养起到良好的作用。
参考文献:
[1]姜新文,王志英,何鸿君.“信息安全保密”课程教学的探索实践[J].高等教育研究学报,2009,32(3):66-68.
[2]陈渡,于泠,吉根林.信息安全专业学生安全编码能力培养的探索[J].信息网络安全,2009,(7):68-70.
[3]张志勇,黄涛,张丽丽.信息安全技术课程的知行合一教学模式[J].计算机教育,2011,(12):66-69.
网络安全技术教程范文3
1 网络与信息安全实验课程的教学目标
我院计算机类专业开设《网络与信息安全实验》课程,其目标不是为了培养网络与信息安全方面的全才,也不是培养战略人才,而是培养在实际生活和工作中确实能解决某些具体安全问题的实用性人才。即希望培养满足社会和企业需求,具有一定的网络安全意识,掌握网络系统安全性维护和防范,构建安全的系统环境等技能的人才,因此,本门课程的教学目标是使学生掌握网络与信息安全的基础知识,了解网络安全防御方面的最新技术,掌握网络与信息安全的相关配置过程,认识网络与信息安全的重要性,识别哪些系统资源需要被保护、网路环境经常受到那些安全威胁,以及如何建立有效的安全保护措施,针对常见的网络入侵攻击,能进行及时的网络加固,清除常见的计算机病毒,保护网络系统的安全稳定运行。
2 教学内容的选择与设计
《网络与信息安全实验》课程是一门应用性很强的课程,同时又是一门新兴的学科,研究内容没有严格规范,所以,各学校的教学内容和方法都各不相同。作为一门具有普及性意义的实践性很强的课程,必须在有限的学时内尽可能掌握网络安全最重要、最基本和最实用的概念原理和方法,不可能漫无边际、面面俱到。
现有的网络与信息安全技术实验教程等方面教材和专著很多,但是系统按照模块编写的网络与信息安全方面的实验教材很少,尤其是以案例为基础的教材更少,而且,已有的教材大都从理论上系统地讲解密码学、协议安全、防火墙和入侵检测技术等,专业性强,需具备较强数学和编码基础,不适合我校培养应用型人才的培养目标,而且,教材的可读性及操作性较差。经过认真研究、对比分析,目前已有的教材或多或少的存在如下问题:(1)教材内容同质化严重,课本知识陈旧。我们发现,从重点大学到高职高专的网络安全技术任务教材,内容大致相同,深度大致相同,目标大致相同。这样的教材内容显然不能体现我们国家倡导的分层次教学,实现人才教育的层次培养的教育目标。(2)教材内容组织形式单一,不利于初学者学习。现有的教材,重点都放在对知识点的描述和解释上,真正实用的例子较少。有些教材中也引入了案例或项目,但一般都是在教材的最后一章,而且,很多案例的解决方法在现有的系统中已经不可能在出现。(3)教材理论内容过多,实践内容不足,课本知识与社会实践有脱节,应用性不强。目前的教材内容严重偏离课程教学目标:培养应用性网络与信息安全技术人才。(4)网络与信息安全实验内容不够全面和深入。为了能够满足教学和学生对网络与信息安全技术学习和参考的需求,根据近几年从事网络与信息安全技术相关课程教学的经验体会,以任务引导教学法为主线,与现有教材[1]相配套,通过对网络系统的安全配置的各个模块进行演示和讲解,使学生实际运用理论知识解决实际问题的能力得以提高,进而培养了学生的实践动手能力。
因此,我们以自己主编的教材内容为基础,从而确定网络与信息安全实验教程包含的至少应包括:(1)操作系统加固,主要是网络中主机的操作系统平台的安全性。需要掌握安全等级标准及划分准则,系统漏洞及后门等内容,尤其是操作系统的安全策略的添加、用户账户的安全配置,这是网络与信息安全的根基所在。(2)网络通信安全,包括在网络体系结构中,针对各层的安全协议进行解析这些安全协议是工作在网络中的通用标准,为上层协议和应用提供透明服务,主要通过实战攻击说明网络协议存在的问题,通过安全策略的添加来保证安全通信。(3)防火墙技术与VPN(虚拟专用网)技术,防火墙技术一种将相对安全的内部网和不安全的公网分开的隔离技术,对两个网络通信时执行的一种访问控制技术,我们可以添加规则,进行安全通信。而VPN技术则是一种保证跨越Intemet进行安全的、点对点通信的有效技术,能够实现保密通信和身份的认证。(4)密码技术原理及应用,确保数据和资源免遭破坏时网络安全的重要前提,密码技术是保护信息安全的重要手段之一,也是防止伪造、篡改信息的认证技术的基础。(5)病毒识别及检测修复技术。这是计算机网络用户最关心的问题。(6)网络攻击与防范技术,通过网络实战攻击让学生了解攻击者的方法和技术,总结出必要的防范措施,加固现有的网络环境。
在选择授课内容的同时,需要注意不能流于表面而局限于一些泛泛的、不够系统的安全知识,同时也不能过多的研究深奥的理论细节。要根据所设定的教学目标,围绕着在实际生活中会遇到的问题,精心设计授课内容,布置学习任务,让学生将所学知识同现实情景相联系,能够根据具体情况解决实际问题,真正的将知识固化到自身,最终达到开设本课程的目的。
3 提高教学质量的探索
为了达到课程设置的目的、提高教学质量,如果使用一成不变的传统教学方法和手段很难达到良好的效果,因此在教学方式方法上必须进行更多的改革。
3.1 教学手段改革。学习了网络与信息安全的相关知识后,大家都知道,网络与信息安全实验课程内容中的原理概念非常抽象,十分枯燥而且晦涩难懂,目前信息安全技术方面的教材大多偏重于理论,不能激发学生的学习热情。为此,我们以理论够用、重在实践为宗旨,以技术实用为原则,以任务驱动为导向组织编写了《网络与信息安全实验》教程,引导学生学习,提高学生的学习兴趣。同时,我们充分利用多媒体技术丰富多彩的特点,将图片、动画、录像等元素都集成到教学活动中,将每个实验内容的操作过程进行录像,以直观、生动的形式提高学生学习的兴趣。这样既避免了单纯的理论说教,提高了学生的学习兴趣,同时也便于学生理解抽象难懂的网络安全知识,从抽象的概念上升到形象上的认识。
3.2 实验环境改进。《网络与信息安全实验》课程的许多知识需要学生在实践中进行理解,而目前绝大部分的学校在本门课程中只有简单的工具演示及基本的操作性实践,这些是远远不够的,我们有设置专门的网络安全实验室,包括常用的路由器、交换机、服务器等硬件设备,构建一个小型局域网络,搭建计算机网络与信息安全的实验平台。设计一系列完整的实验项目,既包含基本的教学内容,同时又给予学生一定的挑战性还需要建立一个安全工具资源库,帮助学生完成各种网络管理和信息安全的学习任务,最后还应该制定实验规范要求,严格管理制度,防止由于工作的疏忽导致学生将黑客软件带出实验室,造成不必要的麻烦。
3.3 组织学生参加网络攻防大赛。在老师的指导下,我们有一支稳定的网络安全小组,对网络安全感兴趣的同学可以通过各种考核进入我们的小组,让后我们按照等级进行指导性学习,兴趣小组的一部分同学在老师组织课堂教学的过程中辅助老师进行教学,同时,他们还参加国家级的各类网络安全、网络攻防大赛。
3.4 加强课堂讨论。对《网络与安全实验》的内容,大部分学生还是有强烈的好奇心的。上课前,给学生提出一个课题,让学生课后查阅资料,在课堂上可以开展课堂讨论,使学生在良好、互动的教学环境中取得良好的教学效果教师的角色从单纯的讲授者转变为倾听者、引导者,学生从被动的接受者转变为主动的参与者,提高了学生的积极性和主动性,最终提高了学习质量通过这种交流,教师可以随时了解学生对知识的掌握程度、学习兴趣的高低等,这种方法还能加强师生间的沟通和交流。
3.5 考核形式改革。学习的目的不是为了通过考试,而是希望通过课程的教授过程,培养和提高学生分析和解决实际问题的能力,影响学生面对问题时的思维方式、道德素质和协作精神。因此在课程的考核形式上,可以综合考虑卷面成绩,课题讨论表现,实际过程中通过查找资料和讨论解决问题的能力等方面让学生有足够的机会来修正和改进他们的成绩,以便从错误中学习,让学习课程本身的乐趣来促进学生学习的兴趣达到更好的教学目的。
结束语
《网络与信息安全实验》课程是一门实践性强的课程,同时也是一门技术发展变化很快的课程,这些给我们的教学工作带来难度,如何设计好讲授的内容、课堂上教学的内容的深浅如何把握,如何把抽象的理论变成学生易懂的知识,要需要在以后的教学实践中进行不断的总结和提高。
作者简介:王小英(1979-),女,陕西泾阳人,防灾科技学院灾害信息工程系,副教授,硕士,研究方向为网络安全与密码学。
网络安全技术教程范文4
关键词:路由;防火墙;安全
1. 引言
随着电子科技的迅速发展和网络技术的普及应用,计算机网络安全方面的问题逐步突出,网络的安全普遍受到人们尊重。只有网络足够的安全才可以保证网络生活能够有序进行,网络系统不遭破坏,信息不被窃取,网络服务不被非法中断等。另外,目前的网络正在遭受很多威胁和攻击,网络中存在很多不安全的因素。诸如,黑客入侵、信息泄露等,针对于这些不安全因素所采取的相应防范技术是目前的研究热点。
2. 网络安全防火墙技术概述
网络安全技术目前共分为三类:信息传送安全技术、防火墙技术、本地安全技术。信息传送安全技术包括诸如信息加密、数字签名、信息发送方法等,是从信息安全传送的角度划入该类的。本地安全技术包括审计跟踪、访问控制、弱点保护、预防病毒等。防火墙是保障内部网络安全的最有效手段。防火墙在防止非法入侵、确保内部网络安全上,是目前最有效的一种方法。防火墙是一种综合技术,它涉及网络技术、密码技术、软件技术等。目前防火墙技术尚不完善,其标准也不健全,实用效果亦不甚理想,本文的研究重点为网络安全的防火墙技术。
3. 过滤路由安全防火墙的构建
本文所讨论的过滤路由器安全防火墙构建技术主要有下几个方面:
(1)过滤路由器(Screening router)也称正过滤器(IP filter)、网络层防火墙(NetWork Level Firewall)。顾名思义,该防火墙通常是由一台起IP过滤作用的路由器构成。如图 1所示。其过滤规则的设置是基于可以提供给IP转发用的数据包包头信息。路由器审查其接收的每个数据包,以确定其是否与某一条包过滤规则匹配,从而做出允许或拒绝的动作。包头信息中包括IP源地址和目标地址、内装协议(TCP、UDP、ICMP、IP Tunnel)、TCP/UDP目标端口、ICMP的消息类型、TCP包头中的ACK位等信息。
图1 包过滤型防火墙
(2)过滤路由器能够根据指定的规则和要求来筛选流经的数据包。举例:假定Telnet服务器在TCP的23号端口上监听远地连接,S入ITP服务器在TCP的25号端口上监听连接。要求:屏蔽所有进入的Telnet连接; 那么过滤路由器的动作就是:拒绝所有TCP端口号为23的数据包。要求:将进来的Telnet连接限制到内部的数台机器上。那么过滤路由器的动作就是:拒绝所有TCP端口号为23并且目标丁地址不等于主机IP地址的数据包。
4. 实例分析
本文通过对普通内部局域网络基于安全防火墙构建为实例来进行具体说明和分析。该公司网络拓扑如下图2所示,其中公司内部系统为win2003系统服务器。
图2 网络拓扑图
(1)修改win2003系统服务器内核,增加支持路由记录功能。win2003系统服务器并没有支持IP数据包路由记录功能,因此首先必须修改win2003系统服务器的TCp/Ip内核源程序,再重新编译内核。实现这一功能的程序是IP程序中的选项控制模块build_options,所以应该修改/usr/src/win2003系统服务器/net/inet/ipc.net使其支持路由记录。
(2)在win2003系统服务器中安装双网卡,设置路由。在win2003系统服务器主机上配置路由功能要求在该主机内至少有两个以上的网络接口。因此,首先在win2003系统服务器中安装好两个网卡。在具体操作时可能存在一个问题,就是在win2003系统服务器中只有一块以太网卡会被缺省自动检测,这就需要对win2003系统服务器进行一些修改。
通过对网络路由安全防火墙构建的实例情况,我们可以分析得到以下几个方面的结论。
(l)采用记录并分析所有经过防火墙的IP数据包从源节点到目的节点的路由信息,从一定的程度上解决了目前防火墙系统对于欺骗攻击的脆弱性。
(2)对于路由记录,只有当源节点和目的节点双方都支持的情况下,记录路由选项中的各护地址才能得到处理,该选项才真正有效。而现在Intemet上只有很少的节点支持路由记录,因此目前实用有一定的困难。但是,这种方法只要各TCP胆协议软件开发商对其TCP/Ip软件作一个简单修改 (如上所述)使其支持路由记录就可以了。所以不失为种解决欺骗攻击很有效的方法。
参考文献:
[1]楚狂等.网络安全与防火墙.北京.人民邮电出版社,2008
网络安全技术教程范文5
关键词:计算机信息 网络安全问题 网络威胁 对策
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2012)01-0181-01
计算机网络安全是指,保护计算机网络的硬件、软件及其系统中的数据,不因任何原因而遭到破坏、更改、泄露,保证系统连续可靠地运行,信息服务不中断。计算机网络信息安全主要包括以下五方面的内容:即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。
1、计算机网络安全的重要性
(1)与国家和社会组织的安全息息相关。信息化时代,国家和政府的大量关于国家安全的政治、经济、军事、国防的情况信息的存贮和处理均依赖于计算机。一些部门、机构、组织的机密信息或是个人的敏感信息、隐私信息也同样存放在计算机中,因此如果计算机网络安全的不到保证,这些重要信息的安全性就岌岌可危,极容易被敌对势力、不法分子获取和利用。(2)影响高密度软件环境的系统安全。随着现代计算机网络功能的日益完善和速度的不断提高,系统组成越来越复杂,系统规模越来越大,特别是Internet的迅速发展,存取控制、逻辑连接数量不断增加,软件规模空前膨胀,任何隐含的一丁点的安全隐患都会对社会以及个人造成巨大的损失。(3)关系特殊环境作业的安全系数。人们对计算机网络的需求在不断扩大,这类需求在许多方面都是不可逆转,不可替代的,而计算机网络使用的场所正在向工业、农业、野外、太空、海洋、宇宙空间,核辐射环境等转移扩张,这些作业环境极其恶劣,任何的安全失误或者隐患都将为整个工程和作业带来极大的安全隐患。
2、影响计算机网络信息网络安全的因素
(1)资源共享的本质为破坏者提供机会。网络互联时代因特网最主要的一个特征就是“资源共享”。无论在世界的任何一个角落,只要有因特网,就能找到自己所需要的信息。在这个层面上,资源共享的确为我们提供了非常大的便利,但同时,它也作为一柄双刃剑,为一些利用共享的资源企图攻击系统安全的不法人员提供了机会。(2)网络操作系统本身的缺陷漏洞。操作系统漏洞是指计算机操作系统本身在设计之初即所存在的问题或技术缺陷。网络协议实现的复杂性,大量的程式和复杂的设计决定了操作系统必然存在一些漏洞和缺陷。(3)信息网络本身的开放性。因特网允许任何一个用户都能很方便的访问互联网上的任何信息资源。互联网本身的开放性就会使其很容易的获取到一个企业、单位以及个人的信息。这样的开放新虽然方便了大多数的互联网使用者,但同时也会为一些不法人员提供了机会和便利。(4)网络黑客的恶意攻击。黑客是指利用系统安全漏洞对网络进行攻击破坏或窃取资料的人,泛指那些专门利用电脑网络搞破坏或恶作剧的家伙。黑客的恶意攻击是目前最难防范的网络安全威胁。其根本目的是使受害主机或网络无法及时接收并处理外界请求,或无法及时回应外界请求。(5)管理操作人员安全意识淡薄。主要是计算机系统网络管理人员缺乏应有的安全观念和必备的防护技术,如安全意识、防范意识、防范技能等。
3、信息网络安全对策
(1)日常使用过程中加强计算机物理安全。保护计算机系统、网络服务器、打印机等硬件实体和通信线路免受自然或者人为的破坏;防止用户越权操作,验证用户的身份;确保计算机系统的电磁兼容工作环境良好;防止各种非法进入计算机控制室和各种偷窃、破坏活动的发生。同时还要加强网络的安全管理,确保网络运行环境的安全、可靠。一般来说,常用的日常网络安全管理方法有以下几种:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
(2)常用的网络安全技术。由于目前网络存在诸多不安全因素,网络使用者必须采取一定的网络安全技术来修补网络安全漏洞并提供安全的通信环境。网络安全的基本技术主要包括有网络加密技术、防火墙技术、操作系统安全内核技术、身份验证技术、网络防病毒技术等。
(3)网络加密技术。网络加密技术是目前保证网络安全的最有效的技术手段之一。一个加密的网络,不但可以防止非授权用户的进入和窃取信息,而且也可以有效的对付恶意软件的侵入。网络信息加密的目的是保护网内的数据、文件、口令和控制信息,同时保护网上传输的数据信息。在多数情况下,信息加密是保证信息机密性的唯一方法。
据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。但是常用的网络加密方法主要有链路加密,端点加密和节点加密三种:链路加密是保护网络节点之间的链路信息安全的加密方法;端点加密的是对源端用户到目的端用户的数据提供加密保护的方法;而节点加密则是对源节点到目的节点之间的传输链路提供加密保护。信息加密过程是由形形的加密算法来具体实施的,它以很小的代价提供很牢靠的安全保护。
(4)防火墙技术。防火墙技术可以保护内部网络免受非法用户的入侵,是设置在被保护网络和外界之间的一道屏障,在因特网中,通过防火墙可以隔离风险区域与安全区域的连接,同时又不防碍人们对风险区域的访问。防火墙可以监控进出网络的通信数据,从而完成仅让安全、核准的信息进入,同时又抵制会构成威胁的数据进入。
4、结语
总的来说,在目前网络互联时代,保证计算机网络信息安全必须综合考虑各种安全因素,制定合理的防护目标、技术方案和相关配套法规等。随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
参考文献
[1]田园.网络安全教程.北京:人民邮电出版社,2009.
[2]冯登国.《计算机通信网络安全》.清华大学出版社,2001.
[3]陈斌.《计算机网络安全与防御》.信息技术与网络服务,2006(4):35-37.
网络安全技术教程范文6
关键词:校园网;网络安全;路由器技术
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 18-0000-01
Router Security Technology Applications in the Campus Network
Wu Wenqing,Hong Xueyin,Guo Weiwei,Wang Zhihui
(Institute of Qiqihar,Qiqihar 161005,China)
Abstract:The article propose the existence of the campus network security risks from the campus network security problems.It solves security problems through the router campus network security technology.It describes the router NAT,ACL and other technology in order to solve effectively the campus network security applications.
Keywords:Campus network;Network security;Router technology
校园网络化作为网络时代的教育方式和环境已经成为教育发展的方向,随着各高校网络规模的急剧膨胀,网络用户的快速增长,校园网安全问题已经成为当前各高校网络建设中不可忽视的首要问题。高校校园网络作为教育信息化的基础设施,其安全运行状况直接关系到高校教育信息化的发展进程。
一、目前高校校园网络存在的安全隐患,主要体现在以下几方面
(一)校园网用户滥用网络资源,尤其是学生利用校园网资源进行大量的上传和下载,占用了大量的网络带宽,以致影响其他用户甚至整个校园网络正常使用。
(二)来自于学校内部的非法访问,学校不能有效的规范和约束学生的上网行为,学生会经常使用网络上肆意传播的黑客程序对校园网进行非法监听或扫描,这种行为对校园网的正常运行造成了很大的影响。
(三)活跃的用户群体,高校的学生通常是最活跃的网络用户,对网络新技术充满好奇,敢于尝试。很多学生的计算机技术水平非常高,而且具有强烈的好奇心和实践欲望,他们时常会尝试使用网上学到的、甚至自己研究的各种攻击技术,干扰校园网的安全运行。
二、路由器安全技术应用
为了使校园网用户安全、可靠地访问资源和能满足用户对不同区域进行访问的要求,以及能合理规划,采用路由器安全技术进行有效访问控制的技术。这是各高校校园网安全应用必须研究的技术之一。
(一)IP地址管理。学生在使用计算机上网时,如果将计算机的IP地址改成与路由器广域网端口的IP地址相同,则将导致学校所有的计算机都不能访问Internet,网管人员很难找到行之有效的方法阻止学生的访问。从而控制用户滥用网络资源和非法访问现象。路由器支持IP地址与网卡MAC地址绑定功能,学校每一台上网的计算机都必须到网管中心登记,网管人员在路由器上通过ARP绑定来实现网卡和IP地址一一对应。如果学生改变某台计算机的IP地址,该机将不能上网;如果PC上的网卡坏了需要更换,必须重新登记并在路由器中重新进行ARP地址绑定。
(二)使用NAT技术,实现网络安全。网络安全的因素主要来自校园网外部和内部的各类非法入侵,好的安全防范措施是建立防火墙和入侵检验系统(IDS)。路由器在高校的校园网中已经普及,可以利用现有路由器的NAT功能,建立网络安全控制措施。首先,路由器上建立访问控制列表,通过路由功能,放行或阻塞报文。即根据源地址、目标地址及端口号来选择允许或禁止通信。其次,将校园网服务器群配置成内部IP地址(172•16•100•1、172•16•100•2),通过NAT转换成合法的IP地址(219•146•xxx•1、219•146•xxx•2),即通过NAT转换将内部服务群和外部Internet(包括校园网用户)隔开,外部不知道内部的网络结构,相当于建立内外防火墙之间的中立区,以保证校园网的服务系统不受攻击。
(三)利用访问控制列表提高网络安全。路由器的端口能够区合法包和限制包的能力,称作包过虑。路由器提供了一些过滤通信的方法。最简单的方法是使用标准访问列表,可以过滤来自特定地址或网络的所有通信流,而扩展访问列表则用于高级过滤,扩展访问列表可以根据源地址、目的地址、端口号,甚至可以选择静态或动态分组过滤。访问列表缺省进行静态分组过滤,静态分组过滤是非智能过滤,对于高级的攻击来说,它们只能提供有名无实的保护,它们只能查看很少的信息来决定是否传输数据包。路由器还支持反射访问列表,反射访问列表的一个好处是它适用于IP传输,而不只适用于TCP,路由器生成所有舌动对话的动态状态表,它提供了远远大于静态过滤的通信流控制。它可以允许在内部发起的IP会话的数据流通过,而拒绝外部发起的IP会话数据流通过。
(四)防火墙功能。路由器提供较为丰富的防火墙功能,提供基于端口、服务、IP地址和协议的过滤,并支持时间段管理。网管人员可通过IP地址列表非常容易地禁止某些计算机用户访问Internet或禁止所有用户访问某些非法站点;通过端口的设置,可实现仅允许某些计算机可以从事特定工作,某些特定计算机才能下载文件等;还可通过时间段管理实现某些计算机用户只能在特定时间段访问Internet。
(五)VPN在校园内网间的应用。对于有两个校区的校园网,用专线连接,虽然可以保证数据传输的安全,但显然是不经济的;利用公用网连接,则网上的数据又能被以多种手段侦听、伪造,被认为是不可信任的。因此VPN便是一个既经济又安全的解决方案。
校园网络的安全问题不仅是设备技术的问题,更是管理的问题,对于校园网络的管理人员来讲一定要提高网络安全意识,加强网络安全技术的掌握,注重对学生教工的网络安全知识培训,而且更需要制定一套完整的规章制度来规范上网人员的行为。
参考文献:
[1]张宇杰,陈建斌.校园网中的交换与路由技术研究[J].华北工学院学报,2009,6
[2]高亚娴.使用访问控制列表限制学生滥用校园网络[J].中国信息界,2010,7
