前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡安全技術教程主題范文,僅供參考,歡迎閱讀并收藏。
中圖分類號:G424 文獻標識碼:A 文章編號:1009-3044(2015)19-0105-01
隨著計算機網(wǎng)絡安全技術的廣泛應用,導致網(wǎng)絡不安全的因素越來越多,網(wǎng)絡面臨前所未有的安全威脅,社會對網(wǎng)絡安全技術應用型人才的需求量不斷增加,根據(jù)社會需求,培養(yǎng)網(wǎng)絡安全技術人才成為高職院校的重要任務。本課程應理論聯(lián)系實際應用技術,著重強調實用性和操作性。
1課程特點
網(wǎng)絡安全技術涉及硬件平臺、軟件系統(tǒng)、基礎協(xié)議等方方面面的問題,復雜多變。在高職教學中主要有如下一些突出特點。
1)知識面廣。網(wǎng)絡安全技術課程內容包含網(wǎng)絡安全的基本,理論、網(wǎng)絡安全技術、軟件配置及使用、服務器配置與應用和網(wǎng)絡安全維護等知識,如:網(wǎng)絡安全的基本概念,加密技術,數(shù)字簽名和認證技術,防火墻技術,入侵檢測技術,端口掃描和嗅探技術,黑客攻擊和防范技術等,該課程涉及知識點多而雜。
2)先修課程多。網(wǎng)絡安全技術課程是計算機網(wǎng)絡技術專業(yè)的核心課程,它需要的先修課程有:計算機網(wǎng)絡基礎、操作系統(tǒng)、網(wǎng)絡設備配置等。學生需要掌握以上課程知識,才能更好地學習本門課程。
3)網(wǎng)絡攻擊手段變化快。隨著網(wǎng)絡安全技術的廣泛應用,由于各種原因,網(wǎng)絡攻擊手段越來越復雜,與防范技術不斷較量。因此,網(wǎng)絡安全課程教學內容也需要不斷地更新。
4)突出實用性。學習本課程的最終目的是能解決網(wǎng)絡安全問題,因此學生必須能動手解決實際問題。本課程需要學生學會的內容有:windows操作系統(tǒng)的安全設置、使用sniffer等抓包軟件進行數(shù)據(jù)分析、使用X-Scan等軟件掃描系統(tǒng)漏洞、提升Guest用戶權限、WinRoute過濾規(guī)則、用PGP加密軟件發(fā)送郵件、使用sessionwall等入侵檢測軟件對網(wǎng)絡進行實時監(jiān)視、用ISA防火墻軟件設置網(wǎng)絡過濾規(guī)則、遠程桌面連接、灰鴿子的內網(wǎng)上線配置、Snake跳板、EasyRecovery的數(shù)據(jù)恢復等,通過以上實訓,學生能掌握網(wǎng)絡安全的基本防護。
2網(wǎng)絡安全技術課程教學改革與實踐
高職院校以培養(yǎng)技術型人才為主要目標,使學生具備必要的基礎理論知識,重視實務知識的學習,知識的講授是以能用為度,側重相關知識的實際綜合運用,強化職業(yè)技能的訓練。
1)教學內容改革
網(wǎng)絡安全課程教學內容多而雜、且更新速度快,在64學時內不可能將網(wǎng)絡安全的相關知識全部學完,這就需要教師精心挑選典型的內容,重點突出當前最緊急最重要的網(wǎng)絡攻防內容。本課程按照網(wǎng)絡安全防護過程劃分為如下三個部分。
事前預防:本部分主要是對網(wǎng)絡安全相關知識的介紹,包括網(wǎng)絡安全概述、操作系統(tǒng)安全常識、病毒知識介紹。通過這部分的學習,學生應了解網(wǎng)絡安全面臨了哪些威脅;理解網(wǎng)絡出現(xiàn)安全威脅的原因;掌握操作系統(tǒng)有哪些安全漏洞;掌握操作系統(tǒng)的安全策略如何實現(xiàn);掌握網(wǎng)絡病毒及其防治。
事中檢測與治理:第二部分主要內容是關于網(wǎng)絡運行過程中的相關安全技術,包括加密技術、防火墻技術、黑客攻擊與入侵檢測、虛擬專用網(wǎng)、網(wǎng)絡通信安全和Web的安全。這部分內容是網(wǎng)絡安全課程的重難點及疑點,學生學起來比較費勁,教師應在這部分內容做精心的準備。
事后恢復:最后一部分主要內容是關于在網(wǎng)絡安全事故發(fā)生后如何恢復的技術,包括數(shù)據(jù)備份技術和安全恢復技術。
2)教學方案的改革
網(wǎng)絡安全課程的實驗環(huán)境要求復雜,需要交換機、路由器、防火墻等網(wǎng)絡硬件設備;還需要掃描、抓包、網(wǎng)絡監(jiān)控、加密等軟件工具。目前各大高職院校都存在設備不足且落后的局面,因此需要教師充分利用已經(jīng)擁有的硬件設備和軟件工具,并針對各自的情況制定嚴密的教學方案。
微課教學法。微課是指以視頻為主要載體記錄教師圍繞某個知識點或技能點開展的簡短、完整的教學活動。由于《網(wǎng)絡安全技術》這門課程難點疑點較多,且動手操作點較多,學生在學習的過程中常常會感到非常吃力。教師錄制的微課則很好地解決了這一問題,課后學生可以隨時隨地反復觀看,還能動手反復操作,做到輕車熟路。
理論與實踐一體化教學。本課程的教學過程是:教師簡單介紹完理論知識后,馬上動手演示網(wǎng)絡安全攻防過程,學生跟著教師動手操作實驗,即邊學邊做。因此把上課地點安排在多媒體實訓機房。多媒體實訓機房包含的設備有:投影儀、麥克風、手寫白板;60臺安裝了若干網(wǎng)絡安全防護軟件的計算機;10組交換機、10組路由器、10組防火墻、10組入侵檢測系統(tǒng)等。
案例教學法。本課程內容復雜但也非常精彩和引人入勝,可以用非常有趣的例子作為項目引導學生。如:熊貓燒香病毒、特洛伊木馬的電影、QQ被盜、密碼破解、網(wǎng)絡抓包監(jiān)控等有趣案例來吸引學生主動解決實際生活中的問題。
3)考核方式的改革。
傳統(tǒng)的形成性考核包括了學生的期末筆試部分、出勤、平時表現(xiàn)等組成,這種無法體現(xiàn)職業(yè)崗位需求。本文提出采用以證代考的方式來考核學生,參與工業(yè)與信息化部全國網(wǎng)絡與信息技術培訓考試項目(NTC)。NTC考試側重于實用性,考試內容涵蓋實際工作內容,考試內容充分體現(xiàn)技術應用的特點,能真正反映應試者的真實工作技能。以NTC考試來提升教師教學水平,增強學生的職業(yè)競爭能力,使學生能與將來的工作崗位零距離對接。
關鍵詞:CDIO;工程教育;信息安全;分梯度
作者簡介:康曉鳳(1978-),女,江蘇徐州人,徐州工程學院信電工程學院,講師;鮑蓉(1968-),女,上海人,徐州工程學院信電工程學院教學院長,教授。(江蘇 徐州 221000)
基金項目:本文系江蘇省高等教育教改立項研究課題(項目編號:2011JSJG253)的研究成果。
中圖分類號:G642.0 文獻標識碼:A 文章編號:1007-0079(2013)32-0107-01
計算機科學與技術專業(yè)是技術發(fā)展更新最快的專業(yè)之一,而信息與網(wǎng)絡安全技術又是本專業(yè)技術更新最快的課程之一。為使本課程的教學內容能跟上社會對人才的知識和技能要求,在給學生奠定扎實的基礎理論的同時,還要強化動手能力,把學到的理論知識應用到實際項目中,同時在實踐應用中主動學習新知識去解決各種問題。
CDIO是近年來國際工程教育改革的最新成果。CDIO代表構思(Conceive)、設計(Design)、實現(xiàn)(Implement)和運作(Operate),它以產(chǎn)品研發(fā)到運行的生命周期為載體,讓學生以主動的、實踐的、課程之間有機聯(lián)系的方式學習工程的理論、技術與經(jīng)驗。其核心思想是強調“做中學”和“基于項目的學習”,這個思想和所倡導的學以致用和應用指導學是一致的。
信息與網(wǎng)絡安全技術是一門理論與實踐高度結合的課程,學生最初學習的積極性會比較高,但是如果沒有合理的實踐教學環(huán)節(jié),學生學習的積極性會受到影響。只有在CDIO 理念的指導下,以學生為中心,合理安排教學內容和過程,提高理論聯(lián)系實際的能力,才能達到較好的教學效果。
一、基于CDIO理念的教學大綱設計
根據(jù)CDIO工程教育理念,在構思信息與網(wǎng)絡安全課程的教學大綱時,著重在教學目的、課程內容、教學方法、考核方式和課程設計等幾個方面對教學提出了更高的要求。課程內容方面要求與當今的技術發(fā)展同步,將熱點問題融入到實際教學中去。例如,2013年“3.15晚會”曝光的和網(wǎng)絡安全相關的問題,可以融入到相關章節(jié)的教學內容,分析其成因、原理和解決方法。課程設計要能與全國大學生信息安全競賽和全國大學生軟件設計大賽等各級各類相關學科競賽的水平同步,同時定期與相關的企業(yè)和院校交流,保證能夠以社會需求為導向提高學生的技術能力。在考核方式上進行了大膽的改革,省級以上大學生實踐創(chuàng)新和創(chuàng)業(yè)項目的主要參與者和省級以上信息安全競賽的主要獲獎者,本課程就可以免修。
在上述思想的指導下,經(jīng)過課程組的討論,本課程的教學內容主要包括信息安全發(fā)展現(xiàn)狀和前沿技術、網(wǎng)絡操作系統(tǒng)安全、網(wǎng)絡實體安全、網(wǎng)絡數(shù)據(jù)庫與數(shù)據(jù)安全、數(shù)據(jù)加密和鑒別、防火墻、網(wǎng)絡攻防技術與應用、Internet安全和VPN技術等,實驗項目包括密碼學(置換、替代、DES和RSA)、PKI、多級安全訪問控制、防火墻、入侵檢測、病毒、VPN和安全審計等內容。課程設計遵循以賽帶練的指導思想進行開展,主要分為兩大方向:安全作品和模擬攻防。安全作品由教師指定參考題目或學生自擬題目來實施,這些題目主要參考各級信息安全競賽而不斷更新,如文件透明加解密、基于Android平臺的安全通信錄、基于Android平臺的綠色瀏覽器、基于Android平臺的手機防護系統(tǒng)等。模擬攻防由教師提前創(chuàng)建一個模擬環(huán)境,在此環(huán)境中預留一些漏洞和層層關卡,學生在規(guī)定的時間內通過的關卡越多,則完成質量越高,環(huán)境和關卡的設置參考各級攻防賽的相關設置。
二、一個核心、一個導向、三個層次的教學模式改革
為了最大限度提高學生的學習積極性和學習效果,提出了一個核心、一個導向、三個層次的教學模式改革方案。一個核心是指以從業(yè)職位為核心,以信息安全人才未來可能從事職業(yè)的基本需求為基礎設定了三大類職位:安全軟件開發(fā)、安全顧問和紅客。引導學生在學習期間擬定職業(yè)方向,進而有針對性地提高某個方面的能力。一個導向是指以項目經(jīng)理訓練為導向,即與網(wǎng)絡安全充分結合的綜合性的團隊式項目訓練,從團隊人員的確定、項目計劃、項目實施和項目的推廣整個過程都有項目經(jīng)理來執(zhí)行,培養(yǎng)了學生的工程基礎知識、個人能力、團隊合作能力和工程系統(tǒng)能力。三個層次是指本課程的教學結構和內容上分為基礎模塊、項目模塊、企業(yè)模塊三個層次?;A模塊是本課程的理論知識學習,項目模塊是項目經(jīng)理訓練,企業(yè)模塊是實訓基地的企業(yè)項目實訓。
三、分梯度的學生培養(yǎng)機制
徐州工程學院(以下簡稱“我校”)沒有設置信息安全專業(yè),信息與網(wǎng)絡安全技術課程只是在計算機科學與技術專業(yè)的網(wǎng)絡工程方向開設,而信息安全人才是復合型的人才,僅僅在網(wǎng)絡工程方向的學生中去培養(yǎng)優(yōu)秀的信息安全人才是困難的。學生僅僅學習這一門課程遠遠達不到社會對信息安全人才的技能要求,所以我校一般從大一開始進行選拔和培養(yǎng)。首先從計算機科學與技術專業(yè)中選拔一些有興趣的同學,進入學院設立的學生網(wǎng)絡技術學會,然后再從中選拔比較優(yōu)秀的學生進入學院與企業(yè)共同設立的信息安全小組。進入信息安全小組的同學采取導師制的方式進行培養(yǎng),指導老師對信息安全小組的每個同學制訂一份個性化的培養(yǎng)方案,指導這些學生去參加各級各類學科競賽,申請各級大學生實踐創(chuàng)新和創(chuàng)業(yè)項目,在本科學習的第四年再把這些學生送到相關的實訓基地參加實訓項目,形成了四年分梯度的信息安全人才培養(yǎng)機制,如圖1所示。
四、基于情景模擬的實踐、實訓教學體系
在CDIO的12條標準中,標準5和標準6對目前實踐教學中存在問題的解決有很好的指導作用。依據(jù)CDIO的指導思想和企業(yè)項目需求,課程組老師進行多方考察和篩選后,與企業(yè)合作建立了信息安全實驗室。本實驗室不僅可以進行常規(guī)的課程實驗,同時也能模擬各種信息安全應用案例,實現(xiàn)各類安全項目的實施。信息與網(wǎng)絡安全技術的實踐教學體系將課堂教學、實驗項目、課程設計、學科競賽、教師科研、實訓基地、服務社會等環(huán)節(jié)有效地融入一體。
在實踐教學中采取情景模擬教學方法。每一個實驗都進行應用情景設計,按照“設定情景—提出問題—分析問題—解決問題—總結經(jīng)驗—經(jīng)驗推廣”的模式進行實驗教學,使學生對每一個實驗項目都有一個全面的認識,提高其解決問題的能力。
學生在本科學習的第四年進入實訓基地學習,和校外工程導師一起參與實際項目的開發(fā),這樣學生掌握的技能就能和企業(yè)需求實現(xiàn)“零距離”對接。實施以來取得了豐碩的成果并受到學生的普遍歡迎,學生在校外實訓期間參與企業(yè)各類工程集成項目多項,深受用人單位好評。
五、提高教師自身的CDIO理論和實踐能力
為了加深對CDIO的認識,并把這個理念帶到教師實際的教學和科研工作中去,要求課程組的教師認真學習CDIO的理念,同時積極參加國內組織的CDIO教學研討活動?,F(xiàn)在很多大學教師在自己專業(yè)知識和科研方面都是專家,但在實際工程和產(chǎn)業(yè)中的經(jīng)驗非常有限,CDIO理念要求教師不僅要具備深厚的理論功底而且還要具備熟練的實戰(zhàn)動手能力。在這種思想的指導下,課程組教師積極爭取學院委派到企業(yè)進行鍛煉的機會,增強自己的實際工程和產(chǎn)業(yè)經(jīng)驗?,F(xiàn)在本課程組教師都具有工程項目經(jīng)歷。
六、結語
在充分研究與吸收CDIO工程教育理念的基礎上,結合我校的人才培養(yǎng)目標和教學理念,對信息與網(wǎng)絡安全技術課程從教學大綱的編制、教學模式的改革、實驗和實訓體系的設計,以及學生培養(yǎng)機制等方面進行實踐,取得了豐碩的成果。自2010年起,學生申請軟件著作權4項,在國內的各類期刊9篇,在省級以上信息安全技術相關的學科競賽中獲獎11余人次、申請省級以上大學生實踐創(chuàng)新和創(chuàng)新創(chuàng)業(yè)項目10項。在此基礎上,將繼續(xù)運用CDIO工程教育理念,深化課程的教學改革。
參考文獻:
[1]王天寶,程衛(wèi)東.基于CDIO 的創(chuàng)新型工程人才培養(yǎng)模式研究與實踐——成都信息工程學院的工程教育改革實踐[J].高等工程教育研究,2010,(1):25-31.
[2]林英,李彤.信息安全專業(yè)“應用安全方向”CDIO實踐探索[J].計算機教育,2010,(6):94-97.
[3]徐劍,王學毅,譚振華,等.基于CDIO的網(wǎng)絡安全類課程教學模式[J].計算機教育,2012,(8):61-68.
1 網(wǎng)絡與信息安全實驗課程的教學目標
我院計算機類專業(yè)開設《網(wǎng)絡與信息安全實驗》課程,其目標不是為了培養(yǎng)網(wǎng)絡與信息安全方面的全才,也不是培養(yǎng)戰(zhàn)略人才,而是培養(yǎng)在實際生活和工作中確實能解決某些具體安全問題的實用性人才。即希望培養(yǎng)滿足社會和企業(yè)需求,具有一定的網(wǎng)絡安全意識,掌握網(wǎng)絡系統(tǒng)安全性維護和防范,構建安全的系統(tǒng)環(huán)境等技能的人才,因此,本門課程的教學目標是使學生掌握網(wǎng)絡與信息安全的基礎知識,了解網(wǎng)絡安全防御方面的最新技術,掌握網(wǎng)絡與信息安全的相關配置過程,認識網(wǎng)絡與信息安全的重要性,識別哪些系統(tǒng)資源需要被保護、網(wǎng)路環(huán)境經(jīng)常受到那些安全威脅,以及如何建立有效的安全保護措施,針對常見的網(wǎng)絡入侵攻擊,能進行及時的網(wǎng)絡加固,清除常見的計算機病毒,保護網(wǎng)絡系統(tǒng)的安全穩(wěn)定運行。
2 教學內容的選擇與設計
《網(wǎng)絡與信息安全實驗》課程是一門應用性很強的課程,同時又是一門新興的學科,研究內容沒有嚴格規(guī)范,所以,各學校的教學內容和方法都各不相同。作為一門具有普及性意義的實踐性很強的課程,必須在有限的學時內盡可能掌握網(wǎng)絡安全最重要、最基本和最實用的概念原理和方法,不可能漫無邊際、面面俱到。
現(xiàn)有的網(wǎng)絡與信息安全技術實驗教程等方面教材和專著很多,但是系統(tǒng)按照模塊編寫的網(wǎng)絡與信息安全方面的實驗教材很少,尤其是以案例為基礎的教材更少,而且,已有的教材大都從理論上系統(tǒng)地講解密碼學、協(xié)議安全、防火墻和入侵檢測技術等,專業(yè)性強,需具備較強數(shù)學和編碼基礎,不適合我校培養(yǎng)應用型人才的培養(yǎng)目標,而且,教材的可讀性及操作性較差。經(jīng)過認真研究、對比分析,目前已有的教材或多或少的存在如下問題:(1)教材內容同質化嚴重,課本知識陳舊。我們發(fā)現(xiàn),從重點大學到高職高專的網(wǎng)絡安全技術任務教材,內容大致相同,深度大致相同,目標大致相同。這樣的教材內容顯然不能體現(xiàn)我們國家倡導的分層次教學,實現(xiàn)人才教育的層次培養(yǎng)的教育目標。(2)教材內容組織形式單一,不利于初學者學習?,F(xiàn)有的教材,重點都放在對知識點的描述和解釋上,真正實用的例子較少。有些教材中也引入了案例或項目,但一般都是在教材的最后一章,而且,很多案例的解決方法在現(xiàn)有的系統(tǒng)中已經(jīng)不可能在出現(xiàn)。(3)教材理論內容過多,實踐內容不足,課本知識與社會實踐有脫節(jié),應用性不強。目前的教材內容嚴重偏離課程教學目標:培養(yǎng)應用性網(wǎng)絡與信息安全技術人才。(4)網(wǎng)絡與信息安全實驗內容不夠全面和深入。為了能夠滿足教學和學生對網(wǎng)絡與信息安全技術學習和參考的需求,根據(jù)近幾年從事網(wǎng)絡與信息安全技術相關課程教學的經(jīng)驗體會,以任務引導教學法為主線,與現(xiàn)有教材[1]相配套,通過對網(wǎng)絡系統(tǒng)的安全配置的各個模塊進行演示和講解,使學生實際運用理論知識解決實際問題的能力得以提高,進而培養(yǎng)了學生的實踐動手能力。
因此,我們以自己主編的教材內容為基礎,從而確定網(wǎng)絡與信息安全實驗教程包含的至少應包括:(1)操作系統(tǒng)加固,主要是網(wǎng)絡中主機的操作系統(tǒng)平臺的安全性。需要掌握安全等級標準及劃分準則,系統(tǒng)漏洞及后門等內容,尤其是操作系統(tǒng)的安全策略的添加、用戶賬戶的安全配置,這是網(wǎng)絡與信息安全的根基所在。(2)網(wǎng)絡通信安全,包括在網(wǎng)絡體系結構中,針對各層的安全協(xié)議進行解析這些安全協(xié)議是工作在網(wǎng)絡中的通用標準,為上層協(xié)議和應用提供透明服務,主要通過實戰(zhàn)攻擊說明網(wǎng)絡協(xié)議存在的問題,通過安全策略的添加來保證安全通信。(3)防火墻技術與VPN(虛擬專用網(wǎng))技術,防火墻技術一種將相對安全的內部網(wǎng)和不安全的公網(wǎng)分開的隔離技術,對兩個網(wǎng)絡通信時執(zhí)行的一種訪問控制技術,我們可以添加規(guī)則,進行安全通信。而VPN技術則是一種保證跨越Intemet進行安全的、點對點通信的有效技術,能夠實現(xiàn)保密通信和身份的認證。(4)密碼技術原理及應用,確保數(shù)據(jù)和資源免遭破壞時網(wǎng)絡安全的重要前提,密碼技術是保護信息安全的重要手段之一,也是防止偽造、篡改信息的認證技術的基礎。(5)病毒識別及檢測修復技術。這是計算機網(wǎng)絡用戶最關心的問題。(6)網(wǎng)絡攻擊與防范技術,通過網(wǎng)絡實戰(zhàn)攻擊讓學生了解攻擊者的方法和技術,總結出必要的防范措施,加固現(xiàn)有的網(wǎng)絡環(huán)境。
在選擇授課內容的同時,需要注意不能流于表面而局限于一些泛泛的、不夠系統(tǒng)的安全知識,同時也不能過多的研究深奧的理論細節(jié)。要根據(jù)所設定的教學目標,圍繞著在實際生活中會遇到的問題,精心設計授課內容,布置學習任務,讓學生將所學知識同現(xiàn)實情景相聯(lián)系,能夠根據(jù)具體情況解決實際問題,真正的將知識固化到自身,最終達到開設本課程的目的。
3 提高教學質量的探索
為了達到課程設置的目的、提高教學質量,如果使用一成不變的傳統(tǒng)教學方法和手段很難達到良好的效果,因此在教學方式方法上必須進行更多的改革。
3.1 教學手段改革。學習了網(wǎng)絡與信息安全的相關知識后,大家都知道,網(wǎng)絡與信息安全實驗課程內容中的原理概念非常抽象,十分枯燥而且晦澀難懂,目前信息安全技術方面的教材大多偏重于理論,不能激發(fā)學生的學習熱情。為此,我們以理論夠用、重在實踐為宗旨,以技術實用為原則,以任務驅動為導向組織編寫了《網(wǎng)絡與信息安全實驗》教程,引導學生學習,提高學生的學習興趣。同時,我們充分利用多媒體技術豐富多彩的特點,將圖片、動畫、錄像等元素都集成到教學活動中,將每個實驗內容的操作過程進行錄像,以直觀、生動的形式提高學生學習的興趣。這樣既避免了單純的理論說教,提高了學生的學習興趣,同時也便于學生理解抽象難懂的網(wǎng)絡安全知識,從抽象的概念上升到形象上的認識。
3.2 實驗環(huán)境改進?!毒W(wǎng)絡與信息安全實驗》課程的許多知識需要學生在實踐中進行理解,而目前絕大部分的學校在本門課程中只有簡單的工具演示及基本的操作性實踐,這些是遠遠不夠的,我們有設置專門的網(wǎng)絡安全實驗室,包括常用的路由器、交換機、服務器等硬件設備,構建一個小型局域網(wǎng)絡,搭建計算機網(wǎng)絡與信息安全的實驗平臺。設計一系列完整的實驗項目,既包含基本的教學內容,同時又給予學生一定的挑戰(zhàn)性還需要建立一個安全工具資源庫,幫助學生完成各種網(wǎng)絡管理和信息安全的學習任務,最后還應該制定實驗規(guī)范要求,嚴格管理制度,防止由于工作的疏忽導致學生將黑客軟件帶出實驗室,造成不必要的麻煩。
3.3 組織學生參加網(wǎng)絡攻防大賽。在老師的指導下,我們有一支穩(wěn)定的網(wǎng)絡安全小組,對網(wǎng)絡安全感興趣的同學可以通過各種考核進入我們的小組,讓后我們按照等級進行指導性學習,興趣小組的一部分同學在老師組織課堂教學的過程中輔助老師進行教學,同時,他們還參加國家級的各類網(wǎng)絡安全、網(wǎng)絡攻防大賽。
3.4 加強課堂討論。對《網(wǎng)絡與安全實驗》的內容,大部分學生還是有強烈的好奇心的。上課前,給學生提出一個課題,讓學生課后查閱資料,在課堂上可以開展課堂討論,使學生在良好、互動的教學環(huán)境中取得良好的教學效果教師的角色從單純的講授者轉變?yōu)閮A聽者、引導者,學生從被動的接受者轉變?yōu)橹鲃拥膮⑴c者,提高了學生的積極性和主動性,最終提高了學習質量通過這種交流,教師可以隨時了解學生對知識的掌握程度、學習興趣的高低等,這種方法還能加強師生間的溝通和交流。
3.5 考核形式改革。學習的目的不是為了通過考試,而是希望通過課程的教授過程,培養(yǎng)和提高學生分析和解決實際問題的能力,影響學生面對問題時的思維方式、道德素質和協(xié)作精神。因此在課程的考核形式上,可以綜合考慮卷面成績,課題討論表現(xiàn),實際過程中通過查找資料和討論解決問題的能力等方面讓學生有足夠的機會來修正和改進他們的成績,以便從錯誤中學習,讓學習課程本身的樂趣來促進學生學習的興趣達到更好的教學目的。
結束語
《網(wǎng)絡與信息安全實驗》課程是一門實踐性強的課程,同時也是一門技術發(fā)展變化很快的課程,這些給我們的教學工作帶來難度,如何設計好講授的內容、課堂上教學的內容的深淺如何把握,如何把抽象的理論變成學生易懂的知識,要需要在以后的教學實踐中進行不斷的總結和提高。
作者簡介:王小英(1979-),女,陜西涇陽人,防災科技學院災害信息工程系,副教授,碩士,研究方向為網(wǎng)絡安全與密碼學。
【關鍵詞】網(wǎng)絡安全,鐵通計費管理網(wǎng),網(wǎng)絡安全技術,安全問題,對策
【中圖分類號】F626【文獻標識碼】A【文章編號】1672-5158(2013)02-0132-02
鐵通計費管理網(wǎng)系統(tǒng)(DCN)是鐵通公司支撐網(wǎng)系統(tǒng)中的重要組成部分,該系統(tǒng)為鐵通公司的運營提供了計費、營業(yè)、結算、攤分、賬務和決策支持的平臺。作為為鐵通公司提供收入保障重要數(shù)據(jù)的計費管理網(wǎng),由于數(shù)據(jù)的敏感性,從設計規(guī)劃的初期就高度重視網(wǎng)絡的安全,并且逐步實施了多種網(wǎng)絡安全技術。這些網(wǎng)絡安全技術的使用,保證了鐵通計費管理網(wǎng)的信息安全,使鐵通計費管理網(wǎng)經(jīng)受了多次安全攻擊的考驗,為鐵通公司的經(jīng)營活動提供了有力的支撐。
1.網(wǎng)絡安全技術在鐵通計費管理網(wǎng)中的具體應用
網(wǎng)絡安全的常見技術措施主要有:訪問控制技術、網(wǎng)絡入侵檢測系統(tǒng)與安全漏洞掃描、病毒防范技術、加密技術、數(shù)據(jù)備份與恢復技術、建立完善的安全管理制度和加強主機安全七個方面。
鐵通公司出于投資回報的考慮,目前只采用最必要的且與數(shù)據(jù)損失成本相適應的網(wǎng)絡安全技術。同時,在管理方面,不斷建立健全各項安全管理規(guī)章制度,調動網(wǎng)絡安全管理中最活躍因素中的人的積極因素,保證各項技術手段行之有效的落實和發(fā)揮作用。這些措施都保證了鐵通計費管理網(wǎng)的網(wǎng)絡安全。
1.1 訪問控制技術
訪問控制是網(wǎng)絡安全防范和保護的主要方法,它的主要任務是保證網(wǎng)絡資源不被非法使用和訪問,而只允許有訪問權限的用戶獲得網(wǎng)絡資源。同時控制用戶可以訪問的網(wǎng)絡資源范圍以及可以對網(wǎng)絡資源進行的操作。訪問控制技術是保證網(wǎng)絡安全最重要的核心策略之一。
1.1.1 物理隔離技術
鐵通公司從企業(yè)內部和外部實現(xiàn)計費管理網(wǎng)與其他網(wǎng)絡物理隔離。鐵通計費管理網(wǎng)是企業(yè)的內部專用網(wǎng),基本與外網(wǎng)隔離。在公司內部,生產(chǎn)網(wǎng)與辦公網(wǎng)是物理隔離的,嚴格禁止公司員工使用生產(chǎn)設備通過撥號或其他方式訪問互聯(lián)網(wǎng)。
1.1.2 路由訪問控制
鐵通計費管理網(wǎng)是以集團總部計費中心為單一根結點的樹型廣域計算機網(wǎng),為適應集團總部-省公司-地市公司的垂直管理體系,數(shù)據(jù)信息也是由根結點到葉結點垂直流動。出于管理上的需要,鐵通公司在集團總部計費中心路由器上通過ACL(訪問控制列表)等技術防止省與省之間的訪問。省與省之間禁止水平訪問,以保護各省計費賬務中心的網(wǎng)絡安全。
1.1.3防火墻技術
鐵通計費管理網(wǎng)在與外網(wǎng)物理連接的邊界結點設置防火墻以防止外部用戶對計費管理網(wǎng)以及計費管理網(wǎng)內網(wǎng)用戶對外網(wǎng)的非法訪問。鐵通公司使用的是百兆速率的基于通用操作系統(tǒng)的防火墻硬件設備。銀行代收系統(tǒng)與鐵通計費管理網(wǎng)之間設有防火墻,以保證銀行和鐵通公司的專網(wǎng)之間的訪問是按約定端口進行的,是安全的。防火墻具有包過濾,封堵禁止的訪問行為,記錄通過防火墻的信息和活動等功能。
1.1.4身份認證與口令管理
操作人員對鐵通計費管理網(wǎng)系統(tǒng)的訪問通過口令進行身份認證??诹畎踩芾戆凑瞻踩芾斫M口令保管員、口令使用者(超級用戶管理員、普通使用者)兩個層次、三種角色構成口令安全管理體系框架。口令長度須在9~15位之間,并且由字母、數(shù)字及各種特殊字符共同組成。每月定期修改口令。
1.2 網(wǎng)絡入侵檢測系統(tǒng)與安全漏洞掃描
入侵檢測能彌補訪問控制技術在某些方面的不足,為網(wǎng)絡安全提供實時的入侵監(jiān)測。網(wǎng)絡安全漏洞掃描實際上是通過模擬網(wǎng)絡攻擊的方式,提前獲得可能被攻擊的薄弱環(huán)節(jié),為系統(tǒng)安全提供可信的分析報告,從而為提高網(wǎng)絡安全性提供重要的依據(jù)。
鐵通公司主要用人工檢測輔以簡易的安全漏洞掃描工具的方式,尋找安全漏洞、發(fā)現(xiàn)安全隱患,不斷完善安全防護體系。例如,安全管理組口令保管員定期抽查用戶口令的更新情況;系統(tǒng)管理員定期查看日志;網(wǎng)絡管理員每天監(jiān)控網(wǎng)絡流量,如有異常,則采取屏蔽地址的方式,以防止病毒或黑客的攻擊。
1.3 病毒防范技術
為了減少病毒在企業(yè)網(wǎng)絡內部的傳播,必須采取有效的措施防范病毒的入侵。一般病毒的防范主要采取病毒的預防、病毒的檢測、以及殺毒技術,它們提供了完整的多級病毒防護系統(tǒng),可以有效的保護網(wǎng)絡不受病毒的侵害。
技術上,公司在所有接入鐵通計費管理網(wǎng)的PC機上安裝統(tǒng)一配置的網(wǎng)絡版防毒軟件來防毒,并且自動地定期更新病毒特征庫和全面殺毒以及下載操作系統(tǒng)安全補?。还芾砩?,公司規(guī)定使用外來文件時必須執(zhí)行查毒、殺毒程序,切斷病毒利用可移動媒介傳播的途徑,防止感染病毒。當發(fā)現(xiàn)計算機感染病毒時,立即拔掉網(wǎng)線,斷開與計費管理網(wǎng)的連接,在查殺病毒確保無毒之后才能重新接入計費管理網(wǎng)。
1.4數(shù)據(jù)備份與恢復技術
數(shù)據(jù)備份是在系統(tǒng)出現(xiàn)災難性事件時重要的恢復手段。數(shù)據(jù)備份顧名思義,就是將數(shù)據(jù)以某種方式加以保留,以便在系統(tǒng)遭受破壞或其他特定情況下,重新加以利用的一個過程。數(shù)據(jù)備份的根本目的,是重新利用,這也就是說,備份工作的核心是恢復,一個無法恢復的備份,對任何系統(tǒng)來說都是毫無意義的。
2.鐵通計費管理網(wǎng)現(xiàn)存的安全問題
雖然鐵通計費管理網(wǎng)在六個方面采取了措施來保證網(wǎng)絡安全,但是從技術和管理兩方面都還存在著薄弱環(huán)節(jié)。隨著技術的發(fā)展以及網(wǎng)絡安全攻擊方式的層出不窮,鐵通計費管理網(wǎng)整體安全防御體系將略顯不足,為信息安全留下漏洞和隱患。具體有以下幾點:
1.缺乏實時的入侵檢測手段和技術,不能及時發(fā)現(xiàn)各種可能的攻擊企圖。
2. 缺乏加密技術,使信息在脆弱的公共信道中傳輸,容易遭受惡意地竊取、篡改或破壞,存在著安全隱患。
3.計費系統(tǒng)與客服系統(tǒng)有直接的物理連接,而客服系統(tǒng)與互聯(lián)網(wǎng)相連。雖然客服系統(tǒng)與互聯(lián)網(wǎng)之間設有防火墻,但防火墻無法防止病毒入侵,如此為黑客攻擊提供了一定的可能性,存在著安全隱患。
4.員工可能會繞過防火墻的限制,利用辦公電話私自撥號上網(wǎng),如此很可能遭受黑客攻擊,泄漏內部信息。
5.容災能力不足。鐵通沒有全國容災中心和數(shù)據(jù)備份中心,一旦全國中心或省中心所在城市發(fā)生地震等大的災害,該節(jié)點的數(shù)據(jù)會全部丟失,業(yè)務也將癱瘓。
3.解決鐵通計費管理網(wǎng)安全問題的對策
針對上述計費管理網(wǎng)存在的安全問題,提出以下幾點改進建議:引進實時入侵檢測技術和漏洞掃描軟件,變被動應對為主動防護。使用加密技術,讓加密后的隱藏信息在網(wǎng)絡中傳輸,從而保證信息傳輸?shù)陌踩?。在鐵通計費管理網(wǎng)的邊界、內部各級之間加強訪問控制管理。如在客服系統(tǒng)與計費系統(tǒng)之間設立防火墻,降低非法訪問的安全風險,更好地保護核心數(shù)據(jù)。加強網(wǎng)絡安全管理,杜絕內部人員隨意訪問互聯(lián)網(wǎng)等行為,減少安全漏洞和隱患。建立全國容災中心和數(shù)據(jù)備份中心,采用光通道傳輸技術,實現(xiàn)數(shù)據(jù)的實時或準實時同步。
結束語
網(wǎng)絡安全技術的應用是一個與時俱進的過程。鐵通公司出于投資回報率的考慮,目前只采用最必要的且與數(shù)據(jù)損失成本相適應的網(wǎng)絡安全技術,再配以各項安全管理規(guī)章制度,充分調動網(wǎng)絡安全管理中人的積極因素,來保證各項技術手段行之有效的落實和發(fā)揮作用。畢竟安全只是一個相對的概念,只有相對的安全,沒有絕對的安全。對于鐵通公司而言,在可承受的風險損失范圍內或在網(wǎng)絡安全的部分環(huán)節(jié)上追求較安全的技術是較為可行的策略。
關鍵詞:計算機;網(wǎng)絡;安全;威脅;防范技術
1 網(wǎng)絡安全的定義
網(wǎng)絡技術是從90年代中期發(fā)展起來的新技術,它把互聯(lián)網(wǎng)上分散的資源有機整合,實現(xiàn)了資源的全面共享。近年來,伴隨著互聯(lián)網(wǎng)技術的迅猛發(fā)展,網(wǎng)絡已成為人們生活中不可或缺的一部分。然而人們在享受網(wǎng)絡帶來的種種便利時,也受到了日益嚴重的來自網(wǎng)絡的安全威脅。
網(wǎng)絡安全從本質上講就是網(wǎng)絡上的信息安全,網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡服務不中斷。從用戶的角度來說,希望涉及到個人隱私和商業(yè)利益的信息在網(wǎng)絡上傳輸時,受到機密性、完整性和真實性的保護。
2 計算機網(wǎng)絡安全面臨的問題
2.1 計算機病毒
計算機病毒是專門用來破壞計算機正常工作,具有高級技巧的程序。它并不獨立存在,而是寄生在其他程序之中,具有隱蔽性、潛伏性、傳染性和極大的破壞性。計算機病毒通過互聯(lián)網(wǎng)傳播,給網(wǎng)絡用戶帶來極大的危害,它可以使計算機和計算機網(wǎng)絡系統(tǒng)癱瘓、數(shù)據(jù)和文件丟失。在網(wǎng)絡上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。隨著網(wǎng)絡技術的不斷發(fā)展、網(wǎng)絡空間的廣泛運用,病毒的種類也在急劇增加。
2.2 黑客攻擊手段多樣
黑客的攻擊手段在不斷地更新,幾乎每天都有不同的系統(tǒng)安全問題出現(xiàn)。然而安全工具的更新速度太慢,絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題,這就使得它們對新出現(xiàn)的安全問題總是反應太慢。當安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時,其他的安全問題又出現(xiàn)了。因此,黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。目前黑客的攻擊方法已超過了計算機病毒的種類,而且許多攻擊都是致命的,攻擊源相對集中,攻擊手段更加靈活。
2.3 操作系統(tǒng)漏洞及網(wǎng)絡設計的問題
目前流行的許多操作系統(tǒng)均存在網(wǎng)絡安全漏洞,黑客利用這些操作系統(tǒng)本身所存在的安全漏洞侵入系統(tǒng)。由于設計的網(wǎng)絡系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮,使其安全性受到影響。網(wǎng)絡安全管理缺少認證,容易被其他人員濫用,人為因素造成網(wǎng)絡安全隱患。另外,局域網(wǎng)內網(wǎng)絡用戶使用盜版軟件,隨處下載軟件與游戲程序,以及網(wǎng)管的疏忽也容易造成網(wǎng)絡系統(tǒng)漏洞。
以上只是網(wǎng)絡安全所面臨的威脅中的一小部分,由此可見,解決網(wǎng)絡安全威脅,保證網(wǎng)絡安全已迫在眉睫,這需要尋求一個綜合性解決方案,以應對日益嚴重的網(wǎng)絡安全危機。
3 計算機網(wǎng)絡安全的防范技術
3.1 防火墻技術
防火墻的作用是對網(wǎng)絡訪問實施訪問控制策略。防火墻技術是為了保證網(wǎng)絡路由安全性而在內部網(wǎng)和外部網(wǎng)之間的界面上構造一個保護層。所有的內外連接都強制性地經(jīng)過這一保護層接受檢查過濾,只有被授權的通信才允許通過,同時將不允許的通信拒之門外,最大限度地阻止網(wǎng)絡中的黑客來訪,防止他們隨意更改、移動甚至刪除網(wǎng)絡上的重要信息。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的惟一出入口,能夠根據(jù)安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務、實現(xiàn)網(wǎng)絡和信息安全的基礎設施。
3.2 網(wǎng)絡病毒的防范
病毒活動日益猖獗,對系統(tǒng)的危害日益嚴重。用戶一般采用殺毒軟件來防御病毒入侵,但現(xiàn)在年增千萬個未知新病毒,病毒庫更新速度落后,殺毒軟件已不能輕松應對,因此對病毒的防御顯得尤為重要。在網(wǎng)絡環(huán)境下,病毒傳播擴散快,僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡病毒,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。這需要一個基于服務器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連,還需要網(wǎng)關的防病毒軟件,加強上網(wǎng)計算機的安全性。
3.3 加強網(wǎng)絡安全管理
加強網(wǎng)絡的安全管理、制定有效的規(guī)章制度,對于確保網(wǎng)絡的安全性與可靠運行,將起到十分有效的作用。加強網(wǎng)絡的安全管理包括:確定安全管理等級和安全管理范圍;制定相關網(wǎng)絡操作使用規(guī)程和人員出入機房管理制度;制定網(wǎng)絡系統(tǒng)的維護制度和應急措施等??疾煲粋€內部網(wǎng)是否安全,不僅要看其技術手段,更重要的是看對該網(wǎng)絡采取的綜合措施。
3.4 提高安全防范意識
只要我們提高安全意識和責任觀念,很多網(wǎng)絡安全問題也是可以防范的。我們要注意養(yǎng)成良好的上網(wǎng)習慣,不隨意打開來歷不明的電子郵件及文件,不隨便運行陌生人發(fā)送的程序;盡量避免下載和安裝不知名的軟件、游戲程序;不輕易執(zhí)行附件中的EXE和COM等可執(zhí)行程序;密碼設置盡可能使用字母數(shù)字混排;及時下載安裝系統(tǒng)補丁程序等。
4 結束語
網(wǎng)絡安全是一項系統(tǒng)的工程,涉及技術、管理、使用等許多方面,網(wǎng)絡安全技術與工具是網(wǎng)絡安全的基礎,高水平的網(wǎng)絡安全技術隊伍是網(wǎng)絡安全的保證,嚴格的管理則是網(wǎng)絡安全的關鍵??傊?,一勞永逸的網(wǎng)絡安全體系是不存在的,計算機網(wǎng)絡安全工作也不是一朝一夕就能夠完成的,它是一項長期的任務。如何保證網(wǎng)絡安全,是一個值得長期研究與付出努力的問題,網(wǎng)絡安全需要我們每一個人的參與。
5 參考文獻
[1] 石志國,計算機網(wǎng)絡安全教程,北京:清華大學出版社,2008.
[2] 周小華,計算機網(wǎng)絡安全技術與解決方案,杭州:浙江大學出版社,2008.
【關鍵詞】計算機 網(wǎng)絡安全 發(fā)展 現(xiàn)狀 問題 機制 展望
1 計算機網(wǎng)絡安全防護發(fā)展歷史和現(xiàn)狀分析
計算機技術在迅速的發(fā)展,在計算機上處理的業(yè)務也變得越來越復雜,原來基于單機的一系統(tǒng)的操作及業(yè)務處理,由現(xiàn)在的基于企業(yè)復雜的內部網(wǎng)以及外部網(wǎng),甚至全球互聯(lián)網(wǎng)所代替了對業(yè)務的處理。信息的處理能力得到大力的提高,與此同時,系統(tǒng)的連結能力也得到快速的提升。但是,在對連結信息能力、流通能力提高的時候,基于網(wǎng)絡連接的安全問題也越來越明顯。
第一,在特定的環(huán)境中安全機制不是萬無一失的。如防火墻,它是一種非常有效的安全工具,對于內部網(wǎng)絡的結構可以進行隱蔽,對外部網(wǎng)絡到內部網(wǎng)絡的訪問能進行限制。但是,對于內部網(wǎng)絡之間的互相記問,防火墻是沒有辦法進行控制的。所以,對內部之間網(wǎng)絡的入侵行為以及內外勾結的入侵行為,防火墻不易發(fā)覺,也不容易防范。
第二,有一個不易考慮到的地方就是系統(tǒng)的后門,對于這一類的安全問題防火墻不容易考慮到,很多情況下,這種入侵的行為在經(jīng)過防火墻的時候也不易被發(fā)現(xiàn),因為對于防火墻而言,很多入侵行為的訪問過程與正常的訪問沒有什么不同,唯一的區(qū)別就是入侵訪問在請求的鏈接中多了一個后綴。
第三,BUG不易防范。有些安全工具自峰也存在安全的漏洞。基本每天都會有新的BUG出現(xiàn),程序設計人員對已知的BUG進行修改的時候,很有可能有新的BUG產(chǎn)生。系統(tǒng)中的BUG常常被黑客所利用,并且這樣的攻擊一般情況下不會有日志產(chǎn)生,基本上沒有什么證據(jù)可以查找。
第四,黑客的攻擊方法也在不斷的創(chuàng)新。安全工具沒有太快的更新速度,并且,很多情況下需要人的參與才會發(fā)現(xiàn)未知的安全問題,這就導致它們對新發(fā)現(xiàn)的安全問題反應不夠敏捷。當安全工具正在處理某些安全問題的時候,新的安全問題又會出現(xiàn)。所以,黑客的手段更加先進,導致安全工具有時不知道采用的是什么方法。
2 新時期網(wǎng)絡安全防護機制分析
對網(wǎng)絡信息的安全所采用的方法就是網(wǎng)絡安全機制,所有的安全機制都是針對某些潛在的安全威脅而設計出來的,根據(jù)實際情況可以進行單獨使用,也可以進行組合使用。要想對安全機制進行合理的使用,使得安全風險得到有效降低,是需要我們共同探討的問題,網(wǎng)絡信息安全機制包括兩個方面的內容,也就是技術機制與管理機制。首先,網(wǎng)絡的安全技術機制,主要有以下幾點內容:
一是加密與隱藏,加密可以改變信息,攻擊者對信息的內容無法了解進而實現(xiàn)保護的效果,隱藏就是把所用的信息加以隱藏,無法讓攻擊者發(fā)現(xiàn)。
二是認證與授權。網(wǎng)絡設備之間對于對方的身份進行認證,使操作的權力得到保證,并對數(shù)據(jù)進行相應的控制。與此同時,網(wǎng)絡對于用戶的身份必須加以認證,保證其合法用戶能夠正確的操作。
三是審計與定位。對一些較為重要的事件進行相應的記錄,找到系統(tǒng)中的錯誤或者受攻擊時的定位錯誤,作為內部犯罪與事故后調查取證的依據(jù)。
四是完整性的保證,通過密碼技術的完整性對非法修改進行保護,在信息源的完整性被驗證又沒有辦法進行模仿的時候,可以提供相應的服務。
其五是權限及存取方面的控制,網(wǎng)絡系統(tǒng)可以對各種不同的用戶進行定義,針對這一點可以根據(jù)相應的正確的認證,對部分的操作權力進行給予,對越級操作進行一定的限制。
六是任務的填充,在任務間歇期可以對沒有用的但具有一定的模擬性能的隨機的數(shù)據(jù)進行發(fā)送,這樣可以增加攻擊者通過對通信流量的分析而獲得信息的難度。其次,網(wǎng)絡安全管理的機制,網(wǎng)絡信息安全不但是一個技術性的問題,也是一個管理性的問題,要想把網(wǎng)絡信息安全的問題解決掉,就一定要制定出正確的目標策略,并且設備相應的技術方案,方案要有一定的可行性,另外,還要把資金技術確定下來,要有一定的合理性,然后,再加上相應的管理辦法,并且以相關的法律制度為依據(jù)。
3 計算機網(wǎng)絡安全防護展望分析
從整體來看,未來主流就是對等網(wǎng)絡,它與網(wǎng)格共存。網(wǎng)絡的不斷進化對于信息的安全保障體系有著一定的促進作用。接入國際互聯(lián)網(wǎng)以后,就會形成一個具有一定規(guī)模的巨大系統(tǒng),并且具有一定的復雜性,在這樣的環(huán)境下,孤立的技術發(fā)揮的作用是非常有限的,需要從整體的角度以及體系的角度去分析,對系統(tǒng)論、控制論與信息論進行綜合的運用,并且,把各種技術手段融合在一起,在創(chuàng)新方面不斷的加強,自主設計,共同來解決網(wǎng)絡的安全問題。要想使網(wǎng)絡安全得到有效的保證,當然還南大要更加嚴格的方法,未來網(wǎng)絡安全領域可能會發(fā)生三件事姑娘兒,一是轉移向更高級別的認證,二是存儲在用戶計算機上的一些復雜的數(shù)據(jù)會向上移動,有類似于銀行的機構對其安全起到保證作用,三是在各個國家與地區(qū)建立類似駕照的制度,在進行計算機銷售的時候對計算機的運算能力進行限制,或者對用戶提出要求,對計算機受到攻擊的時候發(fā)揮的抵抗能力。
4 結束語
通過以上的論述可以總結,現(xiàn)代的社會是信息不斷發(fā)展的時代,計算機網(wǎng)絡的安全問題也受到人們高度的重視。整體來講,網(wǎng)絡安全不但是一個特別重要的技術問題,與此同時,也是一個非常關鍵的安全管理問題。對于綜合方面的安全因素一定要有充分的考慮,把合理的目標制定出來,把相關的技術方案以衣配套的法規(guī)都制定出來,并且要具有一定的合理性、科學性。在世界上所有的網(wǎng)絡系統(tǒng)都不是絕對的安全,計算機網(wǎng)絡技術在不斷的發(fā)展,網(wǎng)絡安全技術也隨之得到快速的發(fā)展,以適應網(wǎng)絡應用的需要與發(fā)展,為計算機網(wǎng)絡的應用提供更加安全的保障。
參考文獻
[1]劉冰.計算機網(wǎng)絡技術與應用[M].北京:機械工業(yè)出版社,2008.
[2]影印.密碼學與網(wǎng)絡安全[M].清華大學出版社,2005.
[3]卡哈特.密碼學與網(wǎng)絡安全[M].清華大學出版社,2005.
[4]羅森林,高平.信息系統(tǒng)安全與對抗技術實驗教程[M].北京:北京理工大學出版社,2005.
[5]潘瑜.計算機網(wǎng)絡安全技術[M].北京:科學出版社,2006.
[6]華師傅資訊編著.黑客攻防疑難解析與技巧800例[M].北京:中國鐵道出版社,2008.
[7]謝冬青,冷鍵,雄偉.計算機網(wǎng)絡安全技術[M].北京:機械工業(yè)出版社,2006.
關鍵詞:網(wǎng)絡;防火墻技術;防病毒技術;網(wǎng)絡設備配置
中圖分類號:TP393.08 文獻標識碼:A
1 概述
當今世界中網(wǎng)絡已經(jīng)成為人們必不可少的工具,它在人們日常生活和工作中極大的帶來各方面的便利條件,但是在網(wǎng)絡安全問題刻不容緩,涉及于從國家安全到個人財產(chǎn)、個人信息等。下面淺談以個人的理解和經(jīng)歷來總結出的網(wǎng)絡安全性的重要性和一般涉及到的網(wǎng)絡安全技術和防范措施。
2 計算機網(wǎng)絡安全技術與防范
2.1 計算機網(wǎng)絡安全技術
2.1.1 虛擬局域網(wǎng)(VLAN)
虛擬局域網(wǎng)(VLAN)能夠賦予網(wǎng)絡管理系統(tǒng)限制VLAN以外的網(wǎng)絡節(jié)點與網(wǎng)內的通信,可防止基于網(wǎng)絡的監(jiān)聽入侵。例如可把企業(yè)內聯(lián)網(wǎng)的數(shù)據(jù)服務器、電子郵件服務器等單獨劃分為一個VLAN1,把企業(yè)的外聯(lián)網(wǎng)劃分為另一個VLAN2,通過控制VLAN1和VLAN2 間的單向信息流向,即VLAN1可訪問VLAN2 的信息,VLAN2不能訪問VIAN1 的信息,這樣就保證了企業(yè)內部重要數(shù)據(jù)不被非法訪問和利用,而且某個VLAN出現(xiàn)的問題不會穿過VLAN傳播到整個網(wǎng)絡,因而大大提高了網(wǎng)絡系統(tǒng)的安全性。
2.1.2 虛擬專用網(wǎng)(VPN)
虛擬專用網(wǎng)(VPN)專用于Intranet(企業(yè)內部網(wǎng))與Internet(因特網(wǎng))的安全互連,VPN不是一個獨立的物理網(wǎng)絡,VPN是利用公共網(wǎng)絡資源為用戶建立的邏輯上的虛擬的專用網(wǎng),是在一定的通信協(xié)議基礎上,通過因特網(wǎng)在遠程客戶機與企業(yè)內部網(wǎng)之間,建立一條加密的多協(xié)議的“隧道”,VPN可以將信息加密后重新組包在公共網(wǎng)絡上傳輸,是一種集網(wǎng)絡加密、訪問控制、認證和網(wǎng)絡管理于一體,能夠實現(xiàn)廉價的、安全可靠的跨地域的數(shù)據(jù)通信。
2.1.3 防火墻
防火墻是特定的計算機硬件和軟件的組合,它在兩個計算機網(wǎng)絡之間實施相應的訪問控制策略,使得內部網(wǎng)絡與Internet或其他外部網(wǎng)絡互相隔離、限制網(wǎng)絡互訪,禁止外部網(wǎng)絡的客戶直接進入內部網(wǎng)絡進行訪問,內部網(wǎng)絡用戶也必須經(jīng)過授權才能訪問外部網(wǎng)絡。在內部網(wǎng)絡與外部Internet的接口處,必須安裝防火墻。
2.1.4 安全審計技術
安全審計技術是對用戶使用網(wǎng)絡系統(tǒng)時所進行的所有活動過程進行記錄,可跟蹤記錄中的有關信息,對用戶進行安全控制。通過誘捕與反擊兩個手段,故意安排漏洞,誘使入侵者入侵,以獲得入侵證據(jù)和入侵特征,跟蹤入侵者來源,查清其真正身份,對其行為采取有效措施,切斷入侵者與網(wǎng)絡系統(tǒng)的連接。
2.1.5 防病毒技術
在Internet接入處如防火墻、路由器、服務器上可安裝基于Internet網(wǎng)關的防病毒軟件。在內部網(wǎng)絡的各個服務器上也要安裝防病毒軟件,防止內部網(wǎng)絡用戶通過服務器擴散病毒。內部網(wǎng)絡的每臺計算機終端都要安裝可以定期更新的防病毒軟件,并且要定期掃描病毒,每個用戶都應該知道檢測出病毒時該如何處理。
2.1.6 安全掃描技術
安全掃描技術分為基于服務器和基于網(wǎng)絡兩種,它能實時掃描和及時發(fā)現(xiàn)計算機網(wǎng)絡內的服務器、路由器、交換機、防火墻等系統(tǒng)設備的安全漏洞。
2.1.7 WAP 協(xié)議技術
為提高計算機無線互聯(lián)網(wǎng)的安全性和保密性,可使用WAP協(xié)議來防止電磁波泄露、防止數(shù)據(jù)被竊聽、被假冒和被篡改等。
2.1.8 數(shù)據(jù)加密技術
數(shù)據(jù)加密技術是利用數(shù)學原理,采用軟件方法或硬件方法重新組織數(shù)據(jù)信息,使得除了合法的接收者,任何人很難恢復原來的數(shù)據(jù)信息或讀懂變化后的數(shù)據(jù)信息。數(shù)據(jù)加密技術主要有私鑰加密和公鑰加密兩種。
2.1.9 信息認證技術
信息認證技術包括數(shù)字簽名、身份識別和信息完整性校驗等。在電子商務活動中,信息認證是通過第三方權威機構對用戶合法性進行檢驗和確認,從而保證交易雙方或多方的利益不受損害。
2.2 網(wǎng)絡環(huán)境要求與網(wǎng)絡設備的安全配置
2.2.1 交換機的安全配置要求
1)從設備廠商獲取到升級包后,在測試環(huán)境中對升級包進行測試后再進行補丁更新。
2)普通用戶的口令應與超級用戶的口令存在較大的區(qū)別。
3)超級管理員的密碼應采用不可逆加密算法進行加密處理,登陸設備后靜態(tài)口不是明文存放。
4)應對遠程登陸設備的IP地址進行限制,在設備上設定可登陸的IP地址。
5)啟用OSPF協(xié)議加密認證的方式。
6)更改SNMP通信協(xié)議中讀操作的默認口令。
7)應制定可與網(wǎng)絡設備進行SNMP讀交互的IP地址。
8)啟用網(wǎng)絡設備的日志記錄功能,記錄用戶登錄設備行為和登錄后的操作行為。
9)開啟網(wǎng)絡設備的NTP服務,達到時間的同步。
10)應開啟網(wǎng)絡設備的SSH服務,通過SSH協(xié)議進行隊網(wǎng)絡設備進行遠程維護,提高通信的安全性。
11)應關閉網(wǎng)絡設備的Telnet服務,不要通過Telnet協(xié)議遠程管理網(wǎng)絡設備。
2.2.2 路由器的安全配置要求
1)普通用戶的口令應與超級用戶的口令存在較大的區(qū)別。
2)超級管理員的密碼應采用不可逆加密算法進行加密處理,登錄設備后靜態(tài)口不是明文存放。
3)啟用OSPF協(xié)議加密認證的方式。
4)更改SNMP通信協(xié)議中讀操作的默認口令。
5)應制定可與網(wǎng)絡設備進行SNMP讀交互的IP地址。
6)啟用網(wǎng)絡設備的日志記錄功能,記錄用戶登錄設備行為和登錄后的操作行為。
7)開啟網(wǎng)絡設備的NTP服務,達到時間的同步。
8)應開啟網(wǎng)絡設備的SSH服務,通過SSH協(xié)議進行隊網(wǎng)絡設備進行遠程維護,提高通信的安全性。
9)應關閉網(wǎng)絡設備的Telnet服務,不要通過Telnet協(xié)議遠程管理網(wǎng)絡設備。
2.2.3 防火墻的安全配置要求
1)防火墻的遠程管理協(xié)議應采用SSH協(xié)議或Https協(xié)議,保證通信的安全性。
2)管理員的角色中至少應包括系統(tǒng)管理員、審計管理員等用戶角色。
3)安排專人每天對防火墻的日志進行分析,對記錄的高危時間應重點分析,并追溯源頭。
結束語
從國家到民間各行各業(yè)中網(wǎng)絡已成為了信息時代的基礎。它的安全運行也成為了人們注重的事物之一。在這信息技術發(fā)達的年代我們應該學會計算機網(wǎng)絡的安全技術與防范措施,而對于某單位或某行業(yè)的網(wǎng)絡管理員顯的更為重要。
參考文獻
關鍵詞:電子商務;網(wǎng)絡安全;IT安全
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2012) 10-0000-02
一、電子商務中的網(wǎng)絡安全概述
(一)電子商務概述
電子商務泛指在互聯(lián)網(wǎng)絡覆蓋的全球各個國家和地區(qū)的商務活動中,通過網(wǎng)絡和商務平臺來進行商務信息交流和商品的交易等商務行為,而這一過程中買賣的雙方并未謀面。伴隨著計算機技術和互聯(lián)網(wǎng)絡的飛速發(fā)展,電子商務一經(jīng)推出就得到了廣泛的推廣,時至今日電子商務仍然被人們看作是IT領域在未來最有潛力的聚焦點。
(二)網(wǎng)絡安全技術在電子商務中的應用
1.數(shù)字加密技術。數(shù)字加密技術來源已久,并且它在電子商務的安全保障技術中占有很大的比重。數(shù)字加密技術中存在很多IT人所熟知的加密算法,如今這些算法被加以改進和完善并且巧妙的運用到電子商務信息安全的保障技術當中。加密算法和加密信息在交易的必要階段會在交易雙方之間交換以達到信息確認或者是身份驗證的目的。互聯(lián)網(wǎng)絡發(fā)展至今衍生出了很多熱門的應用和技術,像是數(shù)據(jù)傳輸、電子郵件收發(fā)和數(shù)據(jù)存儲等,而這些應用統(tǒng)統(tǒng)存在其自身的安全性問題。能夠解決這些問題的唯一路徑就是采用數(shù)字加密技術。
2.數(shù)字認證技術。數(shù)字認證技術可以被解讀為一個被廣受信賴的商業(yè)性質的中介組織通過數(shù)字證書的頒發(fā)來提供的一種認證服務,這種認證服務常常被應用在電子商務中的客戶、銀行和企業(yè)三個角色之間,而這里所說的商業(yè)性質的中介組織就是我們熟知的認證中心。簡單來說,認證中心為客戶、企業(yè)和銀行頒發(fā)數(shù)字證書使得三方獲得信任關系。通過以上的描述我們可以發(fā)現(xiàn),認證中心在認證技術中的重要性,認證中心擁有數(shù)字證書的權利,它的信譽度和公正性不容懷疑。認證中心往往是采用分級的管理方式,高級認證中心負責數(shù)字證書的并且通過逐級傳遞的方式授予用戶,同時高級的認證中心管理著低級認證中心的數(shù)字證書。這一最高級別的認證中心便是金融認證中心。
3.防火墻與病毒防治技術。防火墻在電子商務中的主要應用方向是屏蔽黑客惡意攻擊和入侵電子商務平臺和網(wǎng)絡。企業(yè)中的電子商務系統(tǒng)一旦連接上互聯(lián)網(wǎng)絡就一定要在企業(yè)的內部網(wǎng)絡和互聯(lián)網(wǎng)絡之間設置防火墻。防火墻不僅能隔絕內外網(wǎng)絡環(huán)境還可以阻擋外邊入侵和內部信息泄露。在防火墻的應用方面我們尤其需要重視的是防火墻不是為了病毒的防范和設置的,其自身也沒有相關的功能。所以病毒的防護技術和防火墻技術要同時設立,在設置防火墻的同時在企業(yè)電子商務平臺服務器中安裝防毒軟件。另外,防火墻的更新是防火墻安全級別的保障,防火墻和病毒防治軟件的實時更新是防火墻技術應用中的重中之重。
二、電子商務中常見的網(wǎng)絡安全問題
(一)商務信息安全問題
商務信息作為企業(yè)中的機密數(shù)據(jù),一旦被不法份子截獲或篡改必然會對企業(yè)帶來極大的困擾。即便如此,當前仍然有很多企業(yè)對其不夠重視。有些企業(yè)對商業(yè)數(shù)據(jù)的加密力度不夠甚至是根本沒有對商業(yè)數(shù)據(jù)加密,不法分子可以通過對互聯(lián)網(wǎng)絡、電話線或者電磁波設置數(shù)據(jù)攔截裝置來截獲商業(yè)數(shù)據(jù)??梢韵胂笤谄髽I(yè)的交易過程中,企業(yè)內部數(shù)據(jù)或者是傳輸給交易方的數(shù)據(jù)一旦遭到篡改和毀壞,不但會對當前的交易造成混亂更是會在一定程度上影響企業(yè)的形象和信譽。
(二)電子商務平臺漏洞
由于互聯(lián)網(wǎng)絡的開放性、廣泛性,造成了電子商務平臺或者網(wǎng)絡自身可能存在很多的安全問題,很多企業(yè)對電子商務平臺自身缺乏應有的警惕性,對自身的電子交易平臺不夠重視,缺乏基本的電子平臺運維管理意識,只有在企業(yè)信息泄露或者是企業(yè)內部服務器被惡意入侵之后才會意識到電子商務平臺的安全配置不夠。另外還有一些企業(yè)雖然對電子商務平臺擁有足夠的重視,卻在安全技術產(chǎn)品的選擇問題中盲目追崇,反而忽視了自身應有的企業(yè)管理制度??傊髽I(yè)的電子商務平臺架構缺陷、應用安全技術軟件的漏洞和企業(yè)自身管理統(tǒng)統(tǒng)可以歸結為電子商務平臺的缺陷,而這些缺陷不但會給企業(yè)帶來巨大的經(jīng)濟損失更會給企業(yè)遭受更多的信息安全問題埋下伏筆。
(三)交易身份認證問題
部分不法分子能夠通過特定的技術盜取合法用戶的身份信息和相關權限,并且利用這一合法身份的掩護與其他企業(yè)進行欺詐交易。或者是利用虛假信息詐騙用戶的機密信息來盜取資金。在這些例子中不法分子都是通過獲得合法身份的手段進行犯罪活動。由此可見交易身份的認證在電子商務中的重要性。
三、電子商務中網(wǎng)絡安全問題的相關對策
(一)完善自身電子商務規(guī)劃
站在企業(yè)的角度來說,選擇電子商務可以省去很多的交易過程中難以避免的成本問題并且更加高效。而對于電子商務中最大的弊端安全問題,企業(yè)應該尤其重視。為了將電子商務的優(yōu)勢最大化,企業(yè)對于安全問題的重視不能只停留在理論方面。務必要落實企業(yè)電子商務安全規(guī)范的制定、安全管理人員的配置和完善電子商務平臺。
(二)加強安全技術管理
安全技術作為企業(yè)電子商務系統(tǒng)中的安全性保障核心,一定要做到完善配置定期更新維護。細化來講,包括:電子商務平臺建設、系統(tǒng)運維、應用升級等詳細項目。企業(yè)服務器管理需要加強,不能忽視常規(guī)的安全信息備份和記錄。提早設置完善的微機處理預案,做到有備無患。預案要包括服務器還原點的設置,系統(tǒng)恢復信息備份和數(shù)據(jù)信息備份等。應用公認強力的防火墻和病毒防護程序,并且保證專門人員進行定期的維護和升級,這樣才能使其發(fā)揮應有的作用。
(三)企業(yè)加強自身管理
僅僅在電子商務框架中完善安全技術不足以保障電子商務絕對的安全性,除了制定詳細的電子商務規(guī)劃和完善安全技術之余,企業(yè)自身的安全管理才是企業(yè)信息安全的重中之重。首先,企業(yè)的管理層應該將電子商務安全問題視為首要問題并且加強安全技術部署。其次,企業(yè)員工的信息安全素質應該得到加強,通過培訓建立員工的信息安全意識和職業(yè)操守。縱然電子商務的安全技術布置能夠在一定程度上化解電子商務中的安全問題,但是完善的電子商務安全技術規(guī)劃也要得到管理人員和操作人員的共同管理和維護才能保證其穩(wěn)定運行。
(四)加強病毒防范意識
加強對病毒防范技術的研究不僅可以有效的降低電子商務系統(tǒng)中病毒感染幾率,并且能夠為企業(yè)正常的電子交易提供良好的網(wǎng)絡環(huán)境。常規(guī)的病毒防范技術包括防備、監(jiān)視、掃描和消滅等幾個步驟。對于現(xiàn)有的病毒防范軟件來說病毒庫的更新始終不能做到實時化和完善化,這會給病毒的入侵帶來可乘之機。由此看來加強病毒防范技術的研究和增強病毒防范意識,是準確判斷查殺病毒、防止病毒入侵電子商務系統(tǒng),以及為電子商務帶來更健康的網(wǎng)絡環(huán)境的必要條件。
四、總結
綜上所述,電子商務系統(tǒng)中的網(wǎng)絡安全問題是一個綜合性的課題,其中涉及到了企業(yè)管理理念、管理制度、技術力量等多方面的問題。不同的信息安全技術針對不同的網(wǎng)絡安全問題發(fā)揮著各自的作用,因此,多方引入、善加利用才是安全技術引用的關鍵。只有制定完善的企業(yè)安全管理制度、建立合理的電子商務平臺、加強安全技術管理和強化網(wǎng)絡安全架構才能全面的保障電子商務信息的安全性,為電子商務的安全進行保駕護航。
參考文獻:
[1]黃蘭英.電子商務的安全技術研究[J].福建電腦,2004
[2]李大軍.電子商務[M].清華大學出版社,2002
[3]王學東,易明,楊斌.電予商務概論[M].武漢理工大學出版社,2005
[4]馬尚才等.電子商務安全技術[M].國防工業(yè)出版社,2003
[5]李重九.電子商務教程[M].浦東電子出版社,2002
關鍵詞 網(wǎng)絡安全 數(shù)據(jù)傳輸
中圖分類號:TP393. 08 文獻標識碼:A
21世紀全世界的計算機都將通過Internet聯(lián)到一起,信息安全的內涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范,而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會,網(wǎng)絡社會的時候,我國將建立起一套完整的網(wǎng)絡安全體系,特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡安全體系。
一個國家的信息安全體系實際上包括國家的法規(guī)和政策,以及技術與市場的發(fā)展平臺。我國在構建信息防衛(wèi)系統(tǒng)時,應著力發(fā)展自己獨特的安全產(chǎn)品,我國要想真正解決網(wǎng)絡安全問題,最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè),帶動我國網(wǎng)絡安全技術的整體提高。
網(wǎng)絡安全產(chǎn)品有以下幾大特點:第一,網(wǎng)絡安全來源于安全策略與技術的多樣化,如果采用一種統(tǒng)一的技術和策略也就不安全了;第二,網(wǎng)絡的安全機制與技術要不斷地變化;第三,隨著網(wǎng)絡在社會個方面的延伸,進入網(wǎng)絡的手段也越來越多,因此,網(wǎng)絡安全技術是一個十分復雜的系統(tǒng)工程。為此建立有中國特色的網(wǎng)絡安全體系,需要國家政策和法規(guī)的支持及集團聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產(chǎn)業(yè)將來也是一個隨著新技術發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。
信息安全是國家發(fā)展所面臨的一個重要問題。對于這個問題,我們還沒有從系統(tǒng)的規(guī)劃上去考慮它,從技術上,產(chǎn)業(yè)上,政策上來發(fā)展它。go-vern-ment不僅應該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分,而且應該看到,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分,甚至應該看到它對我國未來電子化,信息化的發(fā)展將起到非常重要的作用。
一、防火墻
網(wǎng)絡防火墻技術是一種用來加強網(wǎng)絡之間訪問控制,防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內部網(wǎng)絡,訪問內部網(wǎng)絡資源,保護內部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查,以決定網(wǎng)絡之間的通信是否被允許,并監(jiān)視網(wǎng)絡運行狀態(tài)。
目前的防火墻產(chǎn)品主要有堡壘主機,包過濾路由器,應用層網(wǎng)關(服務器)以及電路層網(wǎng)關,屏蔽主機防火墻,雙宿主機等類型。
雖然防火墻是目前保護網(wǎng)絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅動型的攻擊。
自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統(tǒng),提出了防火墻概念后,防火墻技術得到了飛速的發(fā)展。國內外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列。
防火墻處于5層網(wǎng)絡安全體系中的最底層,屬于網(wǎng)絡層安全技術范疇。在這一層上,企業(yè)對安全系統(tǒng)提出的問題是:所有的IP是否都能訪問到企業(yè)的內部網(wǎng)絡系統(tǒng) 如果答案是“是”,則說明企業(yè)內部網(wǎng)還沒有在網(wǎng)絡層采取相應的防范措施。
作為內部網(wǎng)絡與外部公共網(wǎng)絡之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡安全的最底層,負責網(wǎng)絡間的安全認證與傳輸,但隨著網(wǎng)絡安全技術的整體發(fā)展和網(wǎng)絡應用的不斷變化,現(xiàn)代防火墻技術已經(jīng)逐步走向網(wǎng)絡層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務,同時還能為各種網(wǎng)絡應用提供相應的安全服務。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認證,防止病毒與黑客侵入等方向發(fā)展。
根據(jù)防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型,網(wǎng)絡地址轉換―NAT,型和監(jiān)測型。
(一)包過濾型。
包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術依據(jù)是網(wǎng)絡中的分包傳輸技術。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)模瑪?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址,目標地址,TCP/UDP源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點 ,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。
包過濾技術的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。
但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網(wǎng)絡層的安全技術,只能根據(jù)數(shù)據(jù)包的來源,目標和端口等網(wǎng)絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。
(二)網(wǎng)絡地址轉化―NAT。
網(wǎng)絡地址轉換是一種用于把IP地址轉換成臨時的,外部的,注冊的IP地址標準。它允許具有私有IP地址的內部網(wǎng)絡訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡中每一臺機器取得注冊的IP地址。
在內部網(wǎng)絡通過安全網(wǎng)卡訪問外部網(wǎng)絡時,將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡連接,這樣對外就隱藏了真實的內部網(wǎng)絡地址。在外部網(wǎng)絡通過非安全網(wǎng)卡訪問內部網(wǎng)絡時,它并不知道內部網(wǎng)絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規(guī)則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網(wǎng)絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規(guī)操作即可。
(三)型。
型防火墻也可以被稱為服務器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應用層發(fā)展。服務器位于客戶機與服務器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給服務器,服務器再根據(jù)這一請求向服務器索取數(shù)據(jù),然后再由服務器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內部服務器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內部網(wǎng)絡系統(tǒng)。
型防火墻的優(yōu)點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,而且服務器必須針對客戶機可能產(chǎn)生的所有應用類型逐一進行設置,大大增加了系統(tǒng)管理的復雜性。
(四)監(jiān)測型。
監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術實際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠對各層的數(shù)據(jù)進行主動的,實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網(wǎng)絡的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用。據(jù)權威機構統(tǒng)計,在針對網(wǎng)絡系統(tǒng)的攻擊中,有相當比例的攻擊來自網(wǎng)絡內部。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品
雖然監(jiān)測型防火墻安全性上已超越了包過濾型和服務器型防火墻,但由于監(jiān)測型防火墻技術的實現(xiàn)成本較高,也不易管理,所以目前在實用中的防火墻產(chǎn)品仍然以第二代型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻?;趯ο到y(tǒng)成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術。這樣既能夠保證網(wǎng)絡系統(tǒng)的安全性需求,同時也能有效地控制安全系統(tǒng)的總擁有成本。
二、結語
實際上,作為當前防火墻產(chǎn)品的主流趨勢,大多數(shù)服務器(也稱應用網(wǎng)關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應用的,應用網(wǎng)關能提供對協(xié)議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過應用,應用網(wǎng)關能夠有效地避免內部網(wǎng)絡的信息外泄。正是由于應用網(wǎng)關的這些特點,使得應用過程中的矛盾主要集中在對多種網(wǎng)絡應用協(xié)議的有效支持和對網(wǎng)絡整體性能的影響上。
(作者單位:西北工業(yè)大學)
參考文獻:
[1]鄭連清:網(wǎng)絡安全概論.清華大學出版社,北京交通大學出版社,2004,9.