時間:2023-09-20 16:58:29
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全的基本技術,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:計算機通信網絡 網絡安全 防范措施 安全技術
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2013)08-0177-01
近年來,計算機網絡技術在我國得到了迅速發展。然而,計算機網絡就如同一把雙刃劍。在網絡帶來方便與高效的同時,也帶來了諸多威脅,直接危害了人們的切身利益。隨著各行各業對網絡的依賴程度日益增高,緊隨而來的計算機通信網絡安全問題便日益突出。因此,計算機通信網絡安全問題,更加值得我們加以討論。
1 概述
所謂計算機通信網絡安全,是指根據網絡特性,通過采取相應的安全技術和措施,防止計算機通信網絡中的硬件、操作系統、應用軟件和數據等遭到自然或人為破壞,防止非特權用戶竊取服務,從而確保網絡的正常運行。
2 研究現狀
國外對計算機通信網絡安全的研究起步較早,研究力度大。上個世紀70年代,制定了“可信計算機系統安全評估準則”(TCSEC),之后又制定了關于網絡系統數據庫方面的安全解釋,形成了安全信息系統體系結構準則。80年代初,將安全協議作為信息安全的重要內容。近年來,電子商務的安全性正處于研究和發展階段,各種新型密碼算法處于探索之中。
我國計算機通信網絡經歷了兩個階段:通信保密和數據保護,目前正在進入網絡安全研究階段。研究動向主要從安全體系結構、安全協議、現代密碼理論、信息分析和監控及信息安全系統等方面,提出系統、完整、協同的解決計算機通信網絡安全的方案。
3 網絡安全
3.1 網絡安全面臨的威脅
計算機網絡上的通信面臨四種威脅:
(1)截獲:攻擊者從網絡上竊聽他人的通信內容。
(2)中斷:攻擊者有意中斷他人在網絡上的通信。
(3)篡改:攻擊者故意篡改網絡上傳送的報文。
(4)偽造:攻擊者偽造信息在網絡上傳送。
其中,截獲信息的攻擊稱為“被動攻擊”,更改信息和拒絕用戶使用資源的攻擊稱為“主動攻擊”。
3.2 網絡攻擊的特點
計算機通信網絡受攻擊有以下四個特點:
(1)造成的損失巨大。如系統無法正常運行、重要數據丟失、個人信息資料被盜竊等現象。
(2)威脅社會和國家安全。如國家軍事部門、政府部門、財政部門國家重要隱私被盜竊,會對國家安定造成無法想象的威脅。
(3)攻擊手段多樣,手法隱蔽。攻擊者通過隱蔽的手段監視被攻擊者,從而獲取機密信息。竊取、監聽過程時間短暫,不易被察覺或者追蹤。
(4)以軟件攻擊為主。攻擊者依據網絡存在的漏洞或者存在的安全缺陷,對軟件進行攻擊,導致系統數據丟失、改動,甚至被破壞。
3.3 網絡安全隱患存在原因
計算機通信網絡安全隱患的存在有四點原因:
(1)系統自身原因。包括網絡的開放性、軟件的漏洞以及脆弱的TCP/IP服務。
(2)網絡傳輸信道上的安全隱患。如果傳輸信道上缺少相應的電磁屏蔽措施,信息在傳輸過程中向外產生的電磁輻射,將會被專門的設備接收,而留下安全隱患。
(3)人為因素。包括內部人員有意識或無意識的泄密、網絡黑客入侵以及計算機病毒的傳播。
(4)其他原因。如防范技術、管理制度不健全;不可抗拒自然災害;意外事故等損害。
4 防范措施
針對影響計算機通信網絡安全的因素,我們可以提出相應的防范措施。
(1)提高計算機系統的自身性能。研發設計計算機系統時,全面地考慮通信網絡安全。設計網絡系統時,要考慮到數據的保密性,完善通信協議,盡可能減少系統漏洞,發現漏洞及時更新系統。
(2)強化網絡安全教育。加強對計算機內部管理人員的網絡安全教育,定期開展網絡安全研究,進行技術交流和學習,多積累實踐經驗。
(3)制定網絡安全策略,嚴格貫徹實施。完善的網絡安全策略,為保護網絡安全提供基本的方式方法。
(4)提高保護網絡安全的技術。
5 網絡安全相關技術
為了實現對計算機通信網絡安全的保護,最主要的還是技術上的保證。主要技術有:
(1)密碼技術。密碼技術的基本思想是偽裝信息,對數據進行加密。密碼技術是為了提高信息數據的安全性和保密性,防止機密數據被外部破譯,而采用的主要技術手段之一。密碼技術由明文、密文、算法和密鑰構成。密碼基本類型有三種:移位密碼、代替密碼和乘積密碼。在實際加密過程中,往往將上述三種密碼多次變換迭代使用。
(2)防火墻技術。防火墻是網絡安全的第一道門檻,它在互聯網與內聯網之間建立了一個安全的網關,控制出、入網絡的權限,迫使所有連接都經過檢查。它具有通過鑒別、限制、更改跨越防火墻的數據流,來實現對網絡的安全保護。防火墻技術包括數據包過濾技術、應用網關和技術三類。
(3)入侵檢測技術。防火墻可以保護內部網絡不受外部網絡的攻擊,但是,它無法完善的監控內部網絡的非法活動,而入侵檢測系統則是防火墻的合理補充,它提供了對內部、外部攻擊和誤操作的實時保護,能夠在網絡受到危害前攔截并響應入侵,提高了網絡安全性。
(4)用戶識別技術。常用的識別方法有口令、唯一標識符、標記識別等。該技術使網絡具有判斷是否允許用戶存取數據的能力,從而避免了非法傳送、復制、篡改數據等現象的發生。
(5)虛擬專用網(VPN)技術。通過一個公用網(通常為因特網),建立一個臨時、安全的連接。它通過安全的數據通道,將遠程用戶、公司業務伙伴、公司分支機構等,同公司的內網連接起來,成為一個擴展的公司企業網。
關鍵詞:網絡安全;教學改革;主動學習;任務驅動
一、引言
隨著計算機網絡的高速發展,人們對計算機網絡的依賴性日益增強,越來越多的信息和重要數據資源存儲和傳輸于網絡當中,通過網絡獲取和交換信息的方式已成為當前最主要的信息溝通方式之一。計算機網絡的使用平臺涵蓋了社會的各行各業,如電子商務、電子政務、網絡銀行等。然而,網絡安全威脅也日益增多,黑客入侵、拒絕服務攻擊(DoS)、分布式拒絕服務攻擊(DDoS)以及計算機病毒的廣泛傳播使得網絡安全技術成為了信息技術領域的重要研究課題。高等院校為了適應時代的發展,必須加強大學生對計算機網絡安全技術的學習,培養出符合社會要求的新型網絡安全方面的人才。
二、《網絡信息安全》課程的教學目標
在現代信息化的社會當中,網絡安全問題已成為各國政府普遍關注的問題。目前,國內的大部分高校都已開設了網絡信息安全方面的課程。《網絡信息安全》課程的目的,一方面是為了使學生掌握網絡安全的基本原理以及保障網絡安全的主要技術和方法,培養網絡信息安全方面的專業全才;另一方面在于加強學生的網絡安全意識,培養學生在實際工作和生活中解決一些網絡安全問題的實用人才,使學生能夠更好地滿足社會和企業的基本要求。
《網絡信息安全》課程的教學目標是使學生在已有的計算機原理和計算機網絡原理等理論基礎上,對網絡信息安全方面的理論知識以及計算機網絡安全系統有一個比較系統的、全面的了解。通過本課程的學習,使學生了解和掌握計算機網絡信息安全的基本概念、基本原理和工作方式,了解設計和維護安全的網絡及其應用系統的基本手段和常用方法,包括密碼技術、IDS技術、網絡攻擊技術、PKI技術、常見的網絡病毒與網絡黑客的防范技術、實現安全服務的方法和策略以及如何構建一個網絡安全體系。
三、《網絡信息安全》課程的特點
《網絡信息安全》是一門國家重點發展的新興學科,它涉及到計算機、數學、通信、電子、物理、法律、教育等學科的交叉領域,它既可以說是附屬于計算機學科,又可以說是一門獨立的學科。《網絡信息安全》這門課程注重理論與實踐相互關聯,其涉及的新技術、新概念、新問題以及新方法日新月異,發展極為迅猛。《網絡信息安全》作為一門課程本身具有以下特點:
第一,知識覆蓋面廣,知識更新快。《網絡信息安全》課程包括許多方面的理論知識:密碼學、網絡體系結構、防火墻、IDS(入侵檢測技術)等,它又涉及到網絡安全原理、網絡安全標準、黑客入侵以及計算機病毒的防治等,范圍非常廣。與此同時,網絡攻擊手段與網絡防范技術此消彼長,要想保證系統處于安全狀態,必須要保證網絡安全技術實時更新,才能更好地防患于未然。
第二,學生主體的多樣性和復雜性。高校一般擁有計算機網絡安全專業的學生和其他非計算機專業的學生,學習的主體具有多樣性和復雜性的特點。計算機網絡專業的學生是未來計算機網絡安全維護的主要技術力量,需要深入理解、掌握并且能夠熟練應用網絡信息安全方面的知識。而非計算機專業的學生是面向社會的計算機實用性人才,一般而言只需要掌握計算機網絡安全的基本知識,切實提高自身的網絡安全意識。
第三,實踐性強。學生要想掌握《網絡信息安全》這門課程的基本原理和技術應用,不僅需要擁有良好的預備知識,例如計算機網絡的基本原理、操作系統、數據通信等,還需要開展一定程度的實驗課程。《網絡信息安全》的課程不能離開實踐,否則只能是紙上談兵,讓學生興趣索然。例如防火墻的配置的實驗,學生只有實際地動手操作,才能深刻地領會其工作原理,掌握其工作方式。
四、《網絡信息安全》教學改革的探索
在新一輪的教學改革背景下,為了達到《網絡信息安全》課程設置的目的,就必須改變傳統的教學方法。針對《網絡信息安全》課程的特點,必須在教學模式、教學手段、實驗手段以及考核方式上進行變革。
1.教學模式的改革。在《網絡信息安全》的課程當中,教師應該采用創新的教學模式,切實提高教學質量。在以往的傳統教學模式中,教師常常“滿堂灌”,學生只是被動地接受而缺乏主動地進行思考。因此,在《網絡信息安全》的課程教學改革中,教師要積極推行啟發式教學,在課堂上加強和學生的互動,充分調動學生的學習積極性,通過“啟發式”、“互動式”、“案例式”以及“課堂提問”等形式,引導學生積極參與到課堂的教學當中,使學生積極主動地思考,提高學習質量。
2.教學手段的改革。《網絡信息安全》這門課程中涉及的概念較為抽象,十分瑣碎而又環環相扣,內容比較晦澀難懂,因此,教師必須采用一些現代化的教學手段,提高學生學習這門課的興趣。針對計算機專業的學生和非計算機專業的學生,教師應選取不同的角度去闡述知識,劃分不同的學習內容。隨著計算機網絡和多媒體技術的不斷發展,教師可以充分利用多媒體和網絡課程相結合的教學手段增強學生的感性認識和學習興趣,利用幻燈片、動畫、影片等更直觀地呈現出所授的知識內容。這種教學手段有利于學生在有限的時間內學到更多的知識,能夠實現以學生為中心的情景式教學方式,加強老師的教與學生的學的交流。在《網絡信息安全》的教學過程中,教師應該盡量避免枯燥的文字解讀,應多采用任務驅動法、案例法等進行實時教學。例如在教授關于黑客進行網絡攻擊的模塊時,教師可以使用仿真黑客模擬工具的方法修改學生的計算機密碼,讓學生意識到網絡安全的重要性,同時也使得課堂更富有實際意義。
3.實驗手段的改革。高校首先需要對實驗環境進行改進,《網絡信息安全》的許多實踐課程都需要在實驗過程中才能更好地被學生所理解。因此,學校必須建立一個專門的計算機網絡安全實驗室,構建一個小型的局域網絡,并且搭建專門的網絡安全實驗平臺。其次,需要建立完善的實驗室制度。《網絡信息安全》的實驗課程大都是對一些黑客軟件的應用,由于黑客軟件具有一定的攻擊性,難以監控每一個學生的操作,所以在安排實驗課程時要有嚴格的管理制度,要達到專人專機,建立嚴格的登記制度。對于黑客仿真軟件的使用,教師要嚴格管理其使用過程,避免部分學生因為好奇心驅使而攻擊一般網絡。另外,高校可以在《網絡信息安全》的實驗教學中利用虛擬機技術來解決實驗中所產生的網絡安全問題。最后,高校可以在實驗室中建立專用的安全工具資源數據庫,以便于學生進行網絡安全的自主學習和自由操作。
4.考核方式的改革。教師在設置《網絡信息安全》課程的考核方式時,首先必須要明確大學教育的主要目標不是為了考試的高分,而是為了增強學生的各項技能,提高學生解決實際問題的能力,通過考核使學生對自己的能力有一個正確的認識,能夠及時更正自己的學習方法和思維模式。針對《網絡信息安全》這門課程的課程性質,教師應該以實際動手能力測驗為主,以書面考試形式為輔進行綜合測評考核。考核形式可以讓學生通過團結合作或者分組討論去完成一些網絡安全維護的項目,將考核變成一個實際的操作任務,提高學生在處理網絡安全問題時的能力,增加課程的學習樂趣,以此達到更好的學習效果。
五、結束語
隨著社會的發展,信息安全技術必然會成為維護社會穩定的必要技術之一。因此,深入研究《網絡信息安全》課程的改革方法,培養高素質、高能力的網絡安全技術專才勢在必行。《網絡信息安全》課程的教學改革,不僅要提高學生對計算機網絡安全的使用能力,而且要增加學生的社會競爭技能。針對不同需求的學生群體,高校應積極探索有效的方法對該課程進行改革,以此來加強網絡安全課程的教學效果,提高課程教學質量,形成完整的計算機網絡安全教學體系。
參考文獻:
[1] 陳曉峰.淺析大學計算機網絡安全課程教學改革[J].教育界,2013,(28).
[2] 黃劍華,馬婷.信息安全課程教學模式的探索與創新[J].科技信息,2012,(13):226.
[3] 焦燕.高校計算機網絡安全課程教學改革初探[J].管理學家,2014.
[4] 習軍.高校計算機網絡安全課程教學改革與探索[J].科學導報,2015.
[5] 尹少平.談大學網絡安全課程教學與實訓[J].電腦知識與技術,2006,(20).
【關鍵詞】基礎教育 校園網絡 安全現狀 中期報告
一、課題研究情況
1.課題研究背景
隨著教育信息化的不斷發展,以及我國三通兩平臺的不斷建設,絕大部分中小學都建立了自己的校園網,教育部2012年印發的《教育信息化十年發展規劃(2011-2020年)》更是將我國教育信息化的發展進一步細致深化。而校園網絡建設作為教育信息化的基礎工程,直接影響著教育信息化進展及效果。隨著互聯網的隨著互聯網的迅速普及和校園網絡建設的不斷發展,以及我國在教育信息化中一系列重大工程的實施,各大中專院校及中小學相繼建成或正在建設校園網絡。教育部在《2016年教育信息化工作要點》中也指出“實現全國中小學互聯網接入率達到95%,中10M以上寬帶接入比例達到60%以上為學校”。可見在基礎教育校園網絡已經成為教育信息化建設的重要組成部分。
但是,不容忽視的是,基礎教育階段對于網絡安全的重視程度也還較低,甚至根本無基本的網絡安全意識。因此,本課題通過研究J市基礎教育網絡安全現狀,希望發現基礎教育網絡安全常見的安全問題,并提出相應的策略。
2.課題研究目標。
本課題旨在研究區域范圍內的基礎教育校園網絡安全基本情況,進而了解當前基礎教育在信息化過程中面臨的網絡安全問題。通過調查研究,結合數據分析,分析當前基礎教育校園網絡的基本情況及存在的安全隱患,對本地基礎教育校園網絡的基本情況進行總結分析,掌握基礎教育校園網絡所面臨的主要安全問題,并針對基礎教育校園網絡的實際情況,提出可行的網絡安全防范措施,為基礎教育校園網絡安全提供參考,并期能為本地基礎教育校園網絡建設提供參考數據。
3.課題研究主要內容
(1)掌握當前J市基礎教育校園網絡的基本狀況和網絡應用現狀;
(2)分析當前基礎教育校園網絡安全的基本情況及面臨的安全風險;
(3)影響區域內基礎教育校園網絡安全狀況的成因分析;
(4)針對基礎教育校園網絡安全的狀態提出相關建議及意見;
(5)總結當前基礎教育校園網絡安全現狀,提出在基礎教育校園網絡環境下可行的網絡安全防范措施。
二、課題研究已取得成果
1.完成網絡安全相關理論學習
通過集體學習和分散學習相結合的方法,通過中國知網、相關書籍學習,學習網絡基礎知識。通過理論學習,從理論層面上引導課題成員對課題產生背景、科學依據、教育思想、實踐價值全面把握,加深課題成員對于網絡知識的理解與應用,并了解基礎教育網絡安全的重要性。
2.編制調查問卷,進行調查研究
結合前期理論學習,參考大量文獻資料,課題組完成了《基礎教育校園網絡安全現狀與對策研究》調查問卷的編制。整個調查問卷分為三大部分,第一部分是對校園網絡整體情況的了解,主要研究校園網絡拓撲結構及硬件構成;第二部分主要針對校園網絡安全狀況進行調查,主要包括實體安全、軟件安全、管理安全等方面;第三部分主要調查校園網絡應用情況,對于校園網絡在教育中的應用情況進行調查。其中,第二部分是問卷的核心,通過實體與環境安全、組織管理與安全制度、安全技術措施、網絡與通信安全、軟件與信息安全、無線網絡安全幾個維度展開調查,對基礎教育校園網絡安全現狀進行詳細的調查研究。
三、課題創造性成果說明
結合實際情況,本研究創新之處是預期能夠發現當前基礎教育信息化中校園網絡建設中存在的一些主要問題,發現當前基礎教育校園網絡安全面臨的主要困難,能夠針對當前基礎教育信息化中校園網絡安全現狀提出合理的建議,引起大家對于基礎教育信息化中校園網絡安全問題的關注。
1.基礎教育校園網絡常見安全隱患
(1)無專業網絡管理人員
調查研究中發現部分學校無專門的校園網絡管理人員。網絡管理人員由非專業人員擔任。
(2)無專用的網絡機房
調查過程中發現,部分學校甚至沒有專門的網絡中心。校園網絡核心設備擺放環境隨意,無任何安全措施。同時設備之間的鏈接也比較混亂。
(3)網絡安全意識淡薄
基礎校園網絡由于起步遲、發展慢等原因,目前在基礎教育校園網絡環境中,校園網絡安全意識還較淡薄,整體上對于校園網絡安全并無相關概念。
2.基礎教育校園網絡安全常見措施
(1)強化網絡安全教育,完善網絡管理制度
先進的技術和設備都需要合理的應用。因此首先要從意識上重視校園網絡安全,只有具備了校園網絡安全意識和完善的制度,才能合理應用相關的設備、技術。
(2)設置合理的訪問策略
【關鍵詞】大學生;網絡安全意識;現狀與對策
1大學生網絡安全意識現狀
隨著網絡技術的迅速發展和廣泛使用,網絡對政治、經濟、文化等都產生了深遠的影響。網絡已成為當代大學生學習知識、交流思想以及休閑娛樂的重要平臺。目前,大學生已成為使用網絡技術的主力軍。互聯網是一個信息寶庫,但同時它也是一個信息的垃圾場:黃色、暴力、迷信等不良信息以及虛假信息無時無刻地充斥在網絡當中。這些不良信息給大學生造成心理甚至生理上的危害,如何有效的地提高大學生的網絡安全意識問題也成為了當代高校中一個亟需解決的問題。
2問卷調查設計
2.1調查方法
本次調查主要采用問卷調查法,自行設計調查問卷,共30道題目,問題以封閉性單選題為主,兼有少量的多選題問題。整套問卷由兩大部分組成:學生平時上網時遇到的網絡安全方面的問題的基本情況(12個問題),網絡安全的基本知識和技能(18個問題),后者又包括兩個方面的內容,一是相關的網絡安全知識;二是當遇到網絡安全問題時采取的防范措施。
2.2調查對象
本調查對象主要面向的是大三和大四的計算機科學與技術專業(網絡技術方向、信息安全方向)本科,軟件工程專業本科、信息管理與信息系統專業本科和專升本的學生,通過在網絡上進行問卷調查,共得到有效問卷280份。
2.3調查結果
(1)樣本情況
在280份的有效問卷中,男女生比例為3:2,專業班級主要包括計算機科學與技術(網絡技術方向、信息安全方向)本科,軟件工程專業本科、信息管理與信息系統專業本科和專升本。其中,98.6%的學生有兩年以上的上網經歷。
(2)學生上網的基本情況
統計結果顯示,85.5%的學生擁有自己的電腦且每天平均上網時間為3-4小時;78%的學生對網絡的依賴性程度為高,而30%對網絡的依賴性程度為中等,僅有2%的學生對網絡的依賴性程度為低;當問及是否有網購的經歷時,78.6%的學生選擇有且經常,20%的學生選擇的是有但偶爾,而只有1.4%的學生選擇的是沒有;75%的學生遇到過網絡詐騙的經歷;81%的學生有網絡工具被盜的經歷;當問及是否有QQ號碼、Q幣、游戲裝備等虛擬財產被盜的經歷時,25%的學生選擇的是有,且被盜財產的估價在100-300元;45%的學生反映曾經有過因在網絡上泄露個人資料而帶來個人損失的經歷;在公共場所使用網絡工具后,25%的學生有習慣檢查賬號退出或注銷的習慣;32%的學生的電腦感染計算機病毒的次數為三次以上。
(3)網絡安全知識情況
本次調查表中列出的網絡安全知識包括物理安全、網絡系統安全、信息內容安全以及信息基礎設施安全。對于防火墻、殺毒軟件等的使用問題上,46%的學生懂得如何使用。而在問及是否經常更新下載系統補丁以及是否知道補丁的作用時,僅有38%的學生選擇知道。在收到朋友發來的電子郵件并發現其中有意外附件時,64%的學生選擇了先殺毒后打開,55%的學生反映當收到垃圾郵件時立即刪除。
(4)網絡安全經歷與防范措施情況
對于是否相信并參與在網上舉辦的活動、公布新產品和打折信息以及招聘信息等類似的活動,26%的學生選擇存有疑慮,但有時會參加。在問及通常情況下是否愿意透露或填寫的信息包括哪些時,56%的學生選擇了自己的基本信息(姓名,性別,年齡等),證件號碼(學生證,身份證),電話號碼,QQ,郵箱以及住址。對于電腦感染病毒后是如何處理的,45%的學生選擇了立即使用專業殺毒軟件殺毒,20.6%的學生選擇了上網下載殺毒軟件查殺,29%的學生選擇了重裝電腦。當問及到在遭遇網絡欺詐時應該如何應對時,83%的學生選擇了保存好相關證件等、及時向網絡安全監察部門報案、以后多學習網絡安全方面的知識,提高防范意識。而17%的學生選擇了自認倒霉,不去維護自己的權利。
3調查結果分析
3.1網絡安全意識有待加強
從問卷調查的結果可以看出,目前大學生經常利用網絡來獲取信息資料、與朋友交流、在線娛樂等。可見,Internet在大學生的生活學習中扮演著越來越重要的角色。大學生主要想到的是自己如何從網絡上獲得信息,較少考慮如何在網絡環境下保護自己的隱私。例如:將自己的真實資料到網絡上;社交網站頻繁使用;賬戶口令采用弱口令甚至是空口令。出現這樣的情況的主要原因是因為他們缺少最基本的網絡安全意識,為了從根本上維護大學生的切身利益,提高當代大學生的信息安全意識勢在必行!
3.2網絡安全知識和操作能力有待加強
大學生對于網絡安全知識有一定的了解,比如對于防火墻、計算機病毒等網絡安全方面的基本術語,但當問題設計到實際操作能力時,調查結果并不太理想。很多學生不會配置防火墻、不知道需要定期升級病毒防治產品,不知道定期為系統打補丁,不懂得如何更好的配置自己的計算機。因此,學生對信息安全的理解僅僅停留在表面上,對專業技術方面的理解還有待加強。
4加強大學生網絡安全意識的對策
4.1舉行網絡安全方面的專題知識講座
網絡安全專題知識講座不僅可以培養大學生的網絡安全意識,而且有利于引導大學生切實關注網絡安全問題。講座可以從不同的方面為大學生講解關于網絡安全的不同知識和應用,例如:網絡安全的基本內容,密碼學的相關知識,身份鑒別、數字簽名機制,網絡黑客,計算機病毒,防火墻的工作原理、入侵檢測技術等。
4.2開設網絡安全相關課程
為了增強學生的網絡安全意識,高校應該開設一些關于網絡安全的課程,使學生對網絡安全方面的知識有一個比較系統的掌握。學校要積極引進信息安全方面的高材生,優秀碩士、博士生,使學生能夠學到最新的網絡安全知識,掌握較強的網絡安全技能,切實提高學生網絡安全方面的知識和技能。
4.3舉行網絡安全宣傳月(周)活動
高校可以通過廣播、校園網絡、校報、宣傳欄等多種形式媒介對大學生進行網絡安全知識、計算機法律法規以及網絡倫理道德教育,使學生樹立對網絡安全的重視,自覺地關注網絡安全方面的知識。
4.4舉行網絡安全技知識競賽
高校可以定期或不定期組織班級、社團等開展關于網絡安全基礎知識技能的競賽,普及網絡安全方面的知識,培養大學生的創新意識與團隊合作精神,增強大學生的信息安全意識。
4.5開展有關法律法規的知識普及
結合網民有關計算機的法律法規,如《計算機信息系統安全保護條例》、《計算機病毒控制條例》、《計算機軟件保護條例》和其他法律中關于懲罰計算機犯罪的條款,使學生對這些法律、法規和條例等有一個比較清楚的認識,增強其法律意識,使學生認識到網絡并不是一個完全自由的空間,應該遵循網絡法律,做一個合法的網民。
5結語
Internet正在改變著大學生的學習模式和思維模式,影響他們世界觀、價值觀的形成,加強網絡安全教育能夠保證大學生身心健康發展,并最大限度地保證學生免受網上不良信息的侵害,避免學生自身違法犯罪的發生。目前國內大學生的網絡安全教育仍處于探索階段,本文通過分析、研究來自在校學生的問卷調查數據,為大學生的網絡安全教育提出了一些有益的建議。
參考文獻:
[1]高楠,顧紅欣,張久詩.淺析大學生網絡安全意識現狀調查及對策[J].吉林畫報新視界,2013,(1):11~12.
[2]黃云峰.計算機黑客與網絡安全對策[J].安高等專科學校學報,2001,(3):25.
[3]李保敏,徐衛軍.計算機網絡安全策略與技術的研究[J].安陜西師范大學學報,2003,(1):75~78.
[4]劉飛.對高校信息安全教育之思考[J].群文天地,2012,(3):167~168.
[5]盧偉.大學生網絡安全意識現狀與對策研究[J].山東行政學院山東省經濟管理干部學院學報,2009,(3):139~140.
關鍵詞:電子商務、網絡安全、商務交易安全、安全協議
電子商務的發展前景十分誘人,而其安全問題也變得越來越突出,如何建立一個安全、易用的電子商務應用環境,對信息提供足夠的安全保護,已經成為廣大互聯網絡用戶十分關心的問題。
電子商務就是利用IT技術來傳輸和處理商務信息,電子商務安全從整體上可分為兩大部分:計算機網絡安全和商務交易安全。本文將重點討論這兩個方面的實現方法。
一、計算機網絡安全
計算機網絡安全不僅包括網絡的硬件、網絡的軟件,也包括共享的資源和網絡服務等,所以定義網絡安全應考慮涵蓋計算機網絡所涉及的全部內容。按ISO給出的計算機安全定義:“保護計算機網絡系統中的硬件,軟件和數據資源,不因偶然或惡意的原因遭到破壞、更改、泄露,使網絡系統連續可靠性地正常運行,網絡服務正常有序。”可見計算機網絡安全的內容包括:計算機網絡設備安全、計算機網絡系統安全、數據庫安全等。其特征是針對計算機網絡本身可能存在的安全問題,實施網絡安全增強方案,以保證計算機網絡自身的安全性為目標。
構成計算機網絡不安全的因素很多,其中包括人為的因素、自然的因素和偶發的因素。其中,人為因素是指,一些不法之徒利用計算機網絡存在的漏洞,或者潛入計算機房,盜用計算機系統資源,非法獲取重要數據、篡改系統數據、破壞硬件設備、編制計算機病毒。自然因素是指計算機系統硬件和通訊設施極易遭受到自然環境的影響,如:各種自然災害,如地震、泥石流、水災、風暴、建筑物破壞等,對計算機網絡構成威脅。偶發性因素如電源故障、設備的機能失常、軟件開發過程中留下的某些漏洞等,也對計算機網絡構成嚴重威脅。此外管理不好、規章制度不健全、安全管理水平較低、操作失誤、瀆職行為等都會對計算機信息安全造成威脅。在這些不安全因素中,人為因素是對計算機信息網絡安全威脅最大的因素。
計算機網絡的不安全性主要原因是互聯網是網絡的開放性、網絡的國際性和網絡的自由性。網絡的開放性是指網絡的技術對全世界都開放的,使得網絡所面臨的攻擊來自多方面。或是來自物理傳輸線路的攻擊,或是來自對網絡通信協議的攻擊,以及對計算機軟件、硬件的漏洞實施攻擊。網絡的國際性導致了對網絡的攻擊不僅是來自于本地網絡的用戶,還可以是互聯網上其他國家的黑客,所以,網絡的安全面臨著國際化的挑戰。網絡的自由性是指大多數的網絡對用戶的使用沒有技術上的約束,用戶可以自由的上網,和獲取各類信息,任何單位或個人都可以在網上方便地傳輸和獲取各種信息,互聯網這種具有開放性、共享性、國際性的特點就對計算機網絡安全提出了挑戰。
計算機網絡對安全性的要求提出了五個基本特征:保密性:信息不泄露給非授權用戶、實體或過程,或供其利用的特性。完整性:數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。可用性:可被授權實體訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網絡環境下拒絕服務、破壞網絡和有關系統的正常運行等都屬于對可用性的攻擊。可控性:對信息的傳播及內容具有控制能力。可審查性:出現的安全問題時提供依據與手段。
如何使計算機網絡具有這五個方面的基本特征,可以采用以下一些網絡安全防范技術:
利用虛擬網絡技術,防止基于網絡監聽的入侵手段;利用防火墻技術保護網絡免遭黑客襲擊;利用病毒防護技術可以防毒、查毒和殺毒;利用入侵檢測技術提供實時的入侵檢測及采取相應的防護手段;安全掃描技術為發現網絡安全漏洞提供了強大的支持;采用認證和數字簽名技術:認證技術用以解決網絡通訊過程中通訊雙方的身份認可,數字簽名技術用于通信過程中的不可抵賴要求的實現;采用VPN技術。我們將利用公共網絡實現的私用網絡稱為虛擬私用網VPN;利用應用系統的安全技術以保證電子郵件和操作系統等應用平臺的安全。使用這些技術保證了計算機網絡的在通信方面的安全。
二、商務交易安全
商務交易安全則緊緊圍繞傳統商務在互聯網絡上應用時產生的各種安全問題,在計算機網絡安全的基礎上,如何保障電子商務過程的順利進行。即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。要實現商務交易安全,須從網絡所采用的安全協議來實現,其中SHTTP、SSL、IPSec、SET和S/MIME。
1、SHTTP
SHITP是應用層加密協議,它能感知到應用層數據的結構,把消息當成對象進行簽名或加密傳輸?它不像SSL完全把消息當作流來處理?SSL主動把數據流分幀處理?也因此SHTTP可提供基于消息的抗抵賴性證明,而SSL不能?所以SHTTP比SSL更靈活,功能更強,但它實現較難,而使用更難,正因如此現在使用基于SSL的HTTPS要比SHTTP更普遍?
2、IPSec
它給出了應用于IP層上網絡數據安全的一整套體系結構,包括網絡認證頭協議 AuthenticationHeader(AH)、封裝安全載荷協議Encapsulating Security Payload(ESP)、密鑰管理協議Internet Key Exchange(IKE)和用于網絡認證及加密的一些算法等。IPSec 規定了如何在對等層之間選擇安全協議、確定安全算法和密鑰交換,向上提供了訪問控制、數據源認證、數據加密等網絡安全服務。它具有不可否認性、反重播性、數據完整性、數據可靠性(加密)和認證等幾大特性。
3、SSL
SSL(Secure Sockets Layer 安全套接層),SSL協議位于TCP/IP協議與各種應用層協議之間,為數據通訊提供安全支持。SSL協議可分為兩層:SSL記錄協議(SSL Record Protocol):它建立在可靠的傳輸協議(如TCP)之上,為高層協議提供數據封裝、壓縮、加密等基本功能的支持。SSL握手協議(SSL Handshake Protocol):它建立在SSL記錄協議之上,用于在實際的數據傳輸開始前,通訊雙方進行身份認證、協商加密算法、交換加密密鑰等。
SET和S/MIME這兩種協議應用較少,其中SET僅適于信用卡支付,S/MIME是應用層專保護E-mail的加密協議。
計算機網絡安全與商務交易安全實際上是密不可分的,兩者相輔相成,缺一不可。沒有計算機網絡安全作為基礎,商務交易安全就猶如空中樓閣,無從談起。沒有商務交易安全保障,即使計算機網絡本身再安全,仍然無法達到電子商務所特有的安全要求。
參考文獻
[1]《網絡設計基礎》21世紀網絡工程叢書編寫委員會編,北京希望電子出版社2003.4
[2]《Cisco互聯網絡設計》[美]Matthew H.Birkner編著,瀟湘工作室譯,人民郵電出版社2009.9
關鍵詞:信息安全專業;網絡與網絡安全課程群;工程訓練;自主學習
1研究背景
隨著網絡及信息技術的發展,網絡和信息安全風險日益增長。在全球范圍內,計算機病毒、網絡攻擊、垃圾郵件、系統漏洞、網絡竊密、虛假有害信息和網絡違法犯罪等問題日漸突出。據有關國家信息安全機構統計,我國每年被黑客攻擊的網頁達10萬數量級,釣魚網站數量占世界總量比例偏高,位于我國的僵尸網絡的肉雞數量位于世界的前列,分布式拒絕服務的受害者數量非常龐大。如何保證網絡的安全性,已經成為全社會關注的問題。如應對不當,可能會給我國經濟社會發展和國家安全帶來不利影響。提升網絡普及水平、信息資源開發利用水平和信息安全保障水平,是國家近年來的信息化發展戰略之一。
社會對網絡安全人才的需求量在不斷擴大,急需大量具有扎實理論基礎并受過良好工程實踐訓練的網絡安全人才。培養網絡與網絡安全人才,對推動國家的網絡與信息安全工作有重要意義[1-4]。如何使高校的本科生教育與社會需求接軌,為社會培養有用的網絡安全技術人才,是我們在網絡與網絡安全課程體系建設中需要考慮的重要問題。
本文主要圍繞北京工業大學信息安全專業建設情況,對網絡與網絡安全課程群的設置與建設情況進行詳細介紹,探討網絡與網絡安全課程群的教學方法和實踐教學改革思路。
2網絡與網絡安全課程群設置
北京工業大學信息安全專業于2003年在計算機學院成立,到2005年,建成了具有初步規模的信息安全專業教學與實驗環境。近幾年來,在國家和北京市的支持下,專業建設取得突飛猛進的進步。2007年,本專業被教育部批準為第二類特色專業建設點,2008年被北京市教委批準為特色專業,2010年被評為北京市重點學科。網絡安全是北京工業大學信息安全交叉學科的一個重要研究方向。
在沈昌祥院士的帶領下,信息安全專業以“立足北京、服務北京”為基本辦學定位,加強課程體系和教材建設,強化實踐教學,緊密結合國家和北京市的經濟社會發展需求,推進專業建設與人才培養。該專業逐步形成了滿足培養國家和北京市經濟和行業發展急需的信息安全專業創新型應用人才需求的教學體系。網絡與網絡安全課程群是我校信息安全專業建設的一個重要內容,該課程群主要培養信息安全系本科生在網絡與網絡安全方面的理論基礎和實踐能力[5-7],要求學生掌握網絡和網絡安全基本理論知識,學會規劃網絡和配置網絡,并具備使用防火墻、VPN、病毒防治等工具維護網絡安全的能力。在課程群的課程教學內容安排上,充分體現由易到難、由淺入深的教學規律,并注重理論與實踐相結合的原則,圖1展示了信息安全專業課程的拓撲圖,其中網絡與網絡安全課程群設置用灰色陰影文本框表示。
現行的信息安全專業的本科教學計劃包括計算機網絡基礎、計算機網絡基礎實驗、路由與交換技術、網絡設計、網絡安全防護、信息安全體系結構、信息安全標準、安全協議、安全協議課設、計算機病毒防護、無線網絡安全、防火墻技術、應用服務器安全等系列課程,建立了一定規模的實驗環境。為了更好地安排上述課程群的教學內容,我們結合信息安全專業不同年級學生的特點,進一步制定每一年的教學目標,使整個課程群的教學內容成為一個有機整體。
針對一年級學生,主要是培養學生的學習興趣和奠定專業基礎。計算機網絡基礎是為信息安全專業新生開設的第一門專業課程,在信息安全整個課程體系以及網絡與網絡安全系列課程群中起著舉足輕重的作用。這門學科的內容博大精深,涉及到眾多的概念、原理、協議和技術,它們以錯綜復雜的方式彼此交織在一起。為應對計算機網絡在內容上的廣闊度和復雜度,使學生能夠在學習整個體系結構中某部分的具體概念與協議的同時,也能夠掌握每一層協議在整個網絡系統中所處的地位和作用,我們采用自底向上和自頂向下相結合的方法。該方法能夠使學生在對計算機網絡的概念、原理和體系結構有深入了解的基礎上,又能對協議和技術及其內在聯系有一個全局的掌握,形成比較系統的知識體系。在該課的基礎上,第二學期開設的計算機網絡基礎實驗課程加深學生對計算機網絡各層協議功能和基本工作過程的理解與掌握,以驗證性和演示性實驗為主,培養學生的學習興趣,使學生在一年級就能輕松接觸到網絡相關知識。
針對二年級學生,我們開設了路由與交換技術、網絡設計、網絡安全與防護,培養學生在組網和網絡配置方面的能力,同時使其了解網絡面臨的安全威脅,并具有簡單的安全防護知識。通過路由與交換技術課程的學習,學生將了解路由與交換的基本知識,掌握各種路由與交換技術的特點及其基本原理,培養學生的局域網組網與管理能力,使學生能夠根據具體環境和應用目的設計合理的拓撲結構,組建網絡,并具備解決網絡中常見問題的基本技能。網絡安全與防護使學生了解企事業網絡中存在的威脅,掌握安全評測的基本理論與方法,掌握網絡安全策略的設計與實現、安全事故處理的基本方法。通過該課程學習,學生將學會網絡安全防護的方法,為學生從事企業安全網絡設計與網絡管理等工作打下一定的基礎。
針對三年級學生,為了加深他們對網絡安全知識的理解,我們開設了信息安全體系結構、安全協議、信息安全標準課程。信息安全體系結構課程圍繞如何構建一個安全的信息系統,并對構建安全體系結構的關鍵三要素(技術、管理和人員)之間的關系進行了詳細闡述。使學生掌握信息安全體系結構中的基本概念、基本理論、基本方法,在整體上認識構建一個安全的信息系統需要解決的主要問題,通過結合具體的應用案例分析,提高學生的綜合設計、分析和解決問題的能力。安全協議課程使學生能夠對網絡安全協議有一個系統全面的了解,掌握各層安全協議的概念、原理和知識體系,在實踐中學會應用網絡協議知識分析解決各種網絡安全問題。課程包括了許多網絡安全的案例分析,讓學生將課堂理論與應用實踐緊密結合起來,學會解決實際應用中的工程技術問題,了解設計和維護安全的網絡及其應用系統的基本手段和常用方法。通過信息安全標準的學習,學生對國際和國內信息安全領域制定的相關標準方面有一個基本的了解,并重點學習幾個信息安全領域中的核心標準。
針對四年級學生,注重對其網絡與網絡安全工程實踐能力和創新能力的培養,通過一些能反映網絡與網絡安全最新發展情況的計算機病毒防護、無線網絡安全、防火墻技術、應用服務器安全等專業選修課程,開闊學生的視野,為學生實習和就業打下基礎。計算機病毒防護課程既注重對病毒基本概念、作用機制和防治技術的闡述,又力求反映病毒防治技術的新發展,既兼顧課程的深度,又有一定的廣度。通過學習該課程,學生將掌握防治計算機病毒的基本理論和基本技術,為進一步深入學習網絡安全課程奠定了良好的基礎。無線網絡安全課程則使學生對無線通信系統及其安全有比較全面的了解,初步掌握無線通信的分類和各種類別的基本原理,以及無線網絡環境中的安全措施,為今后適應層出不窮的無線網絡應用打下基礎。防火墻技術課程使學生理解防火墻的基本知識,掌握防火墻的體系結構、關鍵技術以及構建、配置防火墻的基本方法,并對防火墻技術的未來發展方向有一定的了解。應用服務器安全課程主要講解計算機應用系統面臨的安全風險、應用安全涉及的相關技術和手段(包括數據存儲技術及其安全)、應用系統安全解決方案以及方案的典型實現。通過該課程的學習和實踐,學生能夠基本掌握設計計算機應用系統的安全方案應考慮的若干方面,能夠從系統的角度看待安全問題,并能綜合利用幾年來所學的安全知識解決系統的安全問題。
3網絡與網絡安全課程群教學方法改革
在網絡與網絡安全課程群的教學中,我們強調理論與實踐相結合的教學方法,在抓好理論教學的同時,強化實踐教學,形成了工程訓練、自主學習、創新培養并舉的特色教育理念。鑒于在實踐教學和創新能力培養方面的有力措施和突出成績,我們在2010年獲得了北京工業大學優秀教育成果一等獎。
3.1強化實踐教學,提高學生的工程實踐能力
2007年,信息安全專業對實踐教學計劃進行了全面修訂,包括增加實踐教學環節的學分比例、提高綜合性與設計性實驗比例、設置自選設計環節、強化綜合設計和畢業設計環節、加強對實踐教學體系各個環節的規范化管理。
針對某些比較重要的理論課程,如計算機網絡基礎,我們設置了專門的實驗課程――計算機網絡基礎實驗。針對技術性比較強的課程,我們設置了課內實驗,做到理論與實踐相結合。例如對路由與交換技術、網絡安全與防護、安全協議、防火墻技術、計算機病毒與防護、應用服務器安全等選修課程,我們設置了課內實驗(包括設計性實驗和綜合性實驗),使學生掌握高級網絡技術和具備維護網絡安全的技能。
課程設計是鍛煉學生系統設計能力的好機會,我們設置了安全協議課設課程。學生以小組形式進行課設,每個小組選出組長,負責一些協調工作,提高團結協作能力,使同學間互相幫助、取長補短、共同進步。
信息安全專業實習、信息安全綜合設計和畢業設計是信息安全專業比較重要的實踐環節,是促進學生綜合運用所學知識解決實際問題的關鍵。我校信息安全專業與太極、瑞星等單位建立了校內外實習基地,為學生提供了實習條件。信息安全綜合設計和畢業設計使學生能夠有機會參加一些工程項目的研發。綜合設計題目與內容選取有一定的工程實際背景,體現應用性、先進性、綜合性。畢業設計的題目主要來自企業或學校的科研項目。一些學生在公司完成實習和畢業設計,為順利就業創造了條件。一些學生在學校的科研環境中進行實習和畢業設計,為考研和進一步深造奠定了基礎。
3.2提倡自主學習,提高學生的學習積極性
自學課程的開設對教師提出了新的要求,要求教師改變傳統教學模式,探索有利于創新型人才培養的教學模式。我們開設自學課程的教學理念是:以學生自主學習為主,教師引導和啟發學生為輔。這不僅要求教師有豐富的教學經驗和較好的教學效果,還要有較強的責任心。該課程培養學生獨立學習網絡與網絡安全新知識,發現問題、分析問題、解決問題的自主學習能力,使學生能夠適應社會和網絡技術發展的要求。在網絡設計自學課程中,我們采用國外經典教材《Cisco Network Design》,引導學生自己學習教材和閱讀相關文獻資料,通過小組分工協作完成一個真實的園區局域網絡規劃方案設計,達到學以致用的目的。通過采用自評、互評、演講等多種形式來激發學生的參與力度,使學生能充分發揮學習的主動性和自覺性,把學生的興趣、愛好、學習、創新融為一體。
3.3通過創新活動,激發學生創新能力
結合網絡安全課程群的建設,我們為學生開設網絡與網絡安全的創新活動和創新實踐課程,利用第二課堂活動開展專業調查、社會實踐和競賽活動。具體采取了如下措施。
1) 以校企聯合的形式為學生舉辦多次安全知識的講座。邀請院士、總工程師、總裁等作相關報告,使學生更好地了解信息安全產業的發展狀況,對他們后續的工程實踐、實習就業有非常重要的作用。
2) 各種科技活動和興趣小組培養學生研究性學習和創新性實驗能力。例如,我們成立了網絡興趣小組,促進學生參加網絡技能訓練;鼓勵學生申請“北京工業大學星火基金”,培養學生的創新能力。
3) 通過組織各種競賽,引領學生在創新中成長。我們多次指導本科生參加思科網院杯全國大學生網絡技術大賽、全國大學生信息安全競賽。獲得一等獎2次,二等獎3次、三等獎2次。
4) 安排高年級本科生進入專業實驗室,鼓勵學生參與到教師的教學科研項目,逐步引導學生獨立從事科學研究工作。在指導老師的幫助下,一些學生已經獨立發表學術論文或與老師合作發表學術論文。
4結語
培養網絡與網絡安全的人才,對推動國家的網絡與信息安全工作有重要意義。我校強化實踐教學,提高學生的工程實踐能力;提倡自主學習,提高學生的學習積極性;通過創新活動激發學生創新能力,形成工程訓練、自主學習、創新培養并舉的特色教育理念,取得較好的教學效果。
參考文獻:
[1] 張煥國,黃傳河,劉玉珍,等.信息安全本科專業的人才培養與課程體系[J].高等理科教育,2004(2):16-20.
[2] 王清賢,朱俊虎,陳巖. 信息安全專業主干課程設置初探[J]. 計算機教育,2007(19):12-14.
[3] 王偉平,楊路明. 信息安全人才需求與專業知識體系、課程體系的研究[J]. 北京電子科技學院學報,2006(1):47-49.
[4] 馬建峰,李鳳華. 信息安全學科建設與人才培養現狀、問題與對策[J]. 計算機教育,2005(1):11-14.
[5] 李毅超,曹躍,郭文生,等. 信息安全專業計算機網絡課程群建設初探[J]. 實驗科學與技術,2008(3):90-93.
[6] 俞研,蘭少華. 計算機網絡安全課程教學的探索與研究[J]. 計算機教育,2008(18):127-128.
[7] 諶黔燕,郝玉潔,王建新,等.網絡安全課程中的實踐教學研究與探索[J]. 計算機教育,2007(1):38-40.
Network and Network Security Curriculum Group Construction for Information Security Major
DUAN Lijuan, LAI Yingxu, YANG Zhen, HOU Yarong, LI Jian
(College of Computer Science, Beijing University of Technology, Beijing 100124, China)
關鍵詞 園區網;安全體系;規劃;運維
中圖分類號 TN9 文獻標識碼 A 文章編號 2095-6363(2015)09-0050-02
校園網絡變得更加開放的同時,網絡安全正經受更加嚴格的挑戰,網絡管理者必須切實了解保護本地網絡安全的手段。本文嘗試對如何創建安全的校園網絡環境并保持其穩定運行提出一些規劃原則與管理方法。
1 常見網絡安全威脅類型
1)病毒、木馬、蠕蟲等自動攻擊工具。具備自我復制和傳播能力的程序可破壞計算機系統,破壞某信息保密性和完整性,使得攻擊者從中獲得利益。早期一般通過系統漏洞或文件漏洞傳播,隨著操作系統安全代碼的日趨完善,目前主要靠欺騙性下載(如網站掛馬或植入惡意代碼)并被簡單觸發。
2)拒絕服務攻擊。拒絕服務是攻擊者常用攻擊手段之一。攻擊者通較強計算能力的服務器或大規模肉雞作為攻擊跳板,對目標發起洪水一般的非法請求,使得服務方難以接受正常訪問請求或造成緩沖區溢出,服務被迫關閉甚至崩潰。
3)基于服務代碼和服務漏洞的攻擊。作為官方的網絡窗口,運行于服務之上的網站代碼并不總是安全的。事實上,國內多數網站都沒能做到足夠安全的代碼防護。運行于非標準的web服務器的web網站,對熟練的站點攻擊者而言,僅需幾分鐘即可獲得基本webshell,并據此進行權限提升。從互聯網上下載的免費文章系統(如知名的動網模板),由于受到關注,攻擊者更容易通過內部技術組織聯絡獲取攻擊手段。
筆者所在學校站點早期使用ACCESS數據庫,攻擊者便經常嘗試直接下載數據庫;升級為SQL SERVER數據庫后,我們發現了大量的SQL注入攻擊代碼,如晚間的一次攻擊嘗試代碼:
……
dEcLaRe%20@S%20VaRcHaR(4000)%20SeT%20@s=cAsT(0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435552534F5220464F522053454C45435.......626C655F437572736F72%20aS%20VaRcHaR(4000)):eXeC(@s):--%20aNd%20'%25'=' 80 - 211.117.95.48 ……
從日志中很容易看出,攻擊者嘗試滲透數據庫獲取關鍵數值,并對注入代碼做了簡單偽裝。
4)社會工程學攻擊滲透。近年來攻擊者對攻擊目標的檢測方法變得多樣化,攻擊者通過多種渠道了解目標,利用社會工程學手段分析以獲得敏感信息,攻擊更具效率,大數據技術的快速發展則進一步加劇了此類風險的威脅水平。如網絡管理者總是愿意使用有類似特征的密碼體系同時管理公用設備和個人信息,一旦個人信息被猜解,所在網絡的安全風險便極大增加。
當代網絡面臨的安全風險越來越多,攻擊不可避免,網絡攻擊的原理趨向復雜,而攻擊者更容易獲取更具威脅的自動化攻擊工具,這意味著攻擊變得愈發容易。
2 學校園區網安全體系的規劃和建設
1)園區網安全體系的基本涵義。網絡安全體系由硬件安全、底層系統安全和服務/軟件安全三個方面構成,任何方面存在漏洞,都會導致整個網絡面臨安全崩潰。我國當前正在推動關鍵設備國產化進程,即從硬件層面考慮,保護網絡敏感信息不被國外生產廠非法商取。完整的網絡安全體系應在硬件層面作出合理選擇,在底層系統層面進行合理配置,減少系統漏洞暴露,在提供服務時建立多層次風險防控和數據過濾措施,保證網絡安全運行。
2)園區網安全體系規劃原則。網絡安全與提供服務的性能存在矛盾,管理者應以保障網絡服務正常提供為前提,評判網絡安全風險,適度規劃并保留升級彈性,以經濟合理的方式規劃安全防御系統。網絡安全體系需要覆蓋到整個網絡,對高風險區域應設置網絡邊界,并指定數據流動規則(ACL)。
3)網段規劃。根據功能區分,通常將整個網絡劃分幾個功能獨立的子網,至少包括網絡設備與網絡管理區域、停火區(DMZ)、學生機房、辦公區域以及普通聯網用戶區域等,各子網間保持物理或邏輯上的網段隔離,不同區域用戶一般禁止跨越子網互訪。這是保護網絡安全的最基本手段。
4)安全防護設備選擇。傳統網絡安全體系基于P2DR模型,即策略、防護、檢測和響應,設備組成一般包括終端安全(配置殺毒軟件);ACL(設備、端口規則和數據流向規則);防火墻以及IDS/IPS(應用于DMZ);它可以實現對多數病毒和傳統攻擊的有效抵御,以包過濾為基本檢測手段,具備部分協議檢測能力;對網站注入、滲透等較新的攻擊方式防御能力有限。
選擇何種設備組建網絡安防體系,取決于本地網絡規模、提供的服務類型和網絡管理者的技能水平。園區網可以考慮在傳統安全體系基礎上,根據本地網絡運行特性有針對性增加管控設備,為保障帶寬有效利用,針對內部用戶可配置行為管理系統,對用戶網絡行為進行管控,對占據帶寬資源和并發數資源的應用予以限制;針對WEB服務,可以配置WEB防護系統,對數據庫注入、代碼攻擊、跨站腳本等作出有效防護;針對網絡內部惡意行為,可以配置網絡日志分析記錄系統,在惡意行為發生時提供報警,在行為發生后提供記錄。
3 學校園區網安全體系運維原則
1)安全網絡要求全部終端用戶參與。根據“木桶原理”,網絡中任一端點的安全風險會擴大到整個網絡。園區網絡安全體系需要覆蓋到整個網絡的所有端點。考慮到難以對所有用戶實行嚴格要求,管理者應考慮網絡不同區域的安全等級,制定對應安全策略,在不同區域間設立網絡邊界,保證任意區域故障不會蔓延至其他區域。
2)制度優先。防患于未然,網絡安全事件總是發生在未曾受到關注的制度角落。管理者應綜合考慮網絡整體狀態,制定安全事件責任制度,制定應急預案,制定各類安全事件和風險事件的相應制度,制定網絡使用制度等;完善的制度是保障網絡穩定運行的必要條件。
3)數據備份。數據備份是網絡運維的必需手段。精確計算當前數據容量,預估數據增量,考慮數據備份措施,必要時配備數據備份設備。外部攻擊者在獲取網絡權限后,經常造成有意或無意的數據損害,超過50%的情況下數據損失不可逆轉。設置數據備份機制,是保障網絡服務的最后手段。
4)完善事件記錄。園區網歷經長期運行后,管理者將能夠發現和總結本地網絡常見威脅列表,建立網絡運維事件日志,能極大節省管理者故障定位和解決問題的時間與精力。這些記錄包括下述文件,網絡日常監測記錄、病毒流行記錄、設備故障處置和維修記錄、攻擊處置記錄等。
4 結論
盡管網絡總是不安全的,管理者還是可以通過各種手段,以科學、合理的方式建設網絡安全體系,不斷學習提高技術水平,盡力保護本地網絡和服務不受非法攻擊侵害。作為多年工作經驗的總結,筆者希望通過本文拋磚引玉,提供網絡安全運維的方法和原則,謹與同行共同交流。
參考文獻
隨著信息技術的發展,社會各行各業已經開始通過計算機網絡來進行內部業務管理,信息化極大地提高了管理效率以及社會生產率。網絡是醫院向信息化、數字化發展的基礎要素,是整個醫院內部信息運行的平臺,構建安全的醫院信息系統至關重要。因此,本文首先對醫院信息系統的網絡安全進行概述,強調了其重要性與必要性,其次,重點討論了醫院信息系統的安全防范策略。
【關鍵詞】醫院信息系統 網絡安全 防范策略
醫院信息系統內部的信息比較繁雜,不僅包括病人的資料,而且還有相關藥品的數據、醫生資料等,信息系統的安全運行,是醫院日常工作順利開展的必要條件。由于互聯網的開放性,經常存在一些威脅系統安全的要素,導致內部信息的損壞、丟失,影響醫院的正常工作,帶來一系列損失。由此可見,要高度重視醫院信息系統的安全問題,多角度提高系統的安全性能。
1 醫院信息系統的網絡安全概述
1.1 網絡安全
網絡安全主要指的是通過技術手段,確保計算機在運行過程中得到保護,硬件、軟件都避免受到網絡上危險要素的破壞,阻止惡意程序對系統進行攻擊,進而泄露信息、篡改信息等,確保信息系統在互聯網的環境下正常運行。網絡維護的核心在于信息與數據的完整性與可控性,并且能夠通過用戶的操作,實現基本的應用目的。在網絡的安全維護中,主要包括兩個方面。一是設備安全,包括計算機系統的穩定、硬件實體的安全以及軟件的正常運行。二是信息安全,主要指的是數據的備份、數據庫的安全性等。
1.2 醫院網絡安全的重要性
醫院的信息系統網絡安全問題關系到日常管理的方方面面,醫院信息系統在在運行期間,如果出現意外中斷,或者受到惡意程序的攻擊,那么很容易導致信息的大量丟失,由于醫院信息系統中錄入了病人的基本信息,因此會造成嚴重的后果,甚至醫療事故。由于醫院性質的特殊性,在計算機信息系統的網絡安全防護方面,除了一般的日常維護,還需要通過特殊的策略來確保信息系統的安全。
2 醫院信息系統網絡安全的防范策略
2.1 選擇優質設備
醫院信息網絡安全維護是一項系統的技術工作,運行良好的優質設備是維護系統安全的保障。因此,醫院的信息中心需要選擇性能良好、運行穩定、便于升級的設備。個別醫院沒有認識到信息系統安全的重要性,忽視網絡建設,將資金投入到醫療設備以及醫院基礎設施上,在網絡設備上不重視質量,由于醫院的工作具有連續性,性能較差的網絡設備經常會出現多種問題,特別是核心交換機和服務器,一旦運行故障,醫院內部網絡癱瘓,必將嚴重影響醫院的正常工作。因此,維護醫院信息網絡安全首先要選擇優質的網絡設備。
2.2 優化系統程序
醫院在系統的選擇上,除了可以通過技術人員設計專門的程序,還可以選擇安全性能較高的操作系統與軟件,并且及時進行升級與更新,定期優化系統程序,這樣才能確保安全。同時,如果系統設置密碼,密碼需要進行不定期更換,這樣避免網絡中一些惡意程序的攻擊,防止病毒、黑客入侵竊取重要信息,也最大程度降低被跟蹤痕跡的可能性。在系統程序的日常管理中,也要定時更新數據庫,做好信息的備份工作。
2.3 加強技術人員管理
網絡安全的操作主體主要是信息技術人員,因此,提高技術工作人員的職業水平,構建科學的網絡安全管理制度也是必不可少的。醫院要確保信息系統的持續穩定,并且在網絡環境中運行良好,這對技術人員要提出了更高的要求。醫院可以通過培訓提高技術人員業務水平、開展網絡安全教育提高思想認識等。在日常工作中,嚴格禁止通過移動終端來進行信息的輸入與輸出,避免病毒帶入。同時設置專門的信息共享平臺,嚴禁技術人員將系統文件進行共享。除此之外,網絡管理員要定期進行數據的整理,并且完善網絡運行后臺,對于計算機網絡終端進行檢查,及時處理安全漏洞。
2.4 構建病毒防御體系
醫院信息系統的網絡安全防范,除了確保系統中各計算機通信設備及相關設施的物理安全,使其免于人為或自然的破壞,還要構建病毒防御體系。由于互聯網具有開放性與交互性的特征,在網絡中運行的程序有必要建立不同層次的防護系統。例如在每臺計算機終端上都安置網絡版的殺毒軟件,在服務器上設置保障服務器安全的殺毒軟件,在網關處設置維護網關的防病毒軟件,這樣將信息系統的各個部分都納入了安全保護中。但是,由于計算機病毒傳播途徑多、傳播速度快,在構建病毒防御體系時,也要重點預防不同來源的病毒,通過系統的設置,維護信息系統的安全。
2.5 完善身份驗證程序
身份驗證程序的漏洞是系統內部信息泄露的重要原因,因此,需要進行身份認證以及授權,對進入系統的用戶進行審查,確保其具備信息查看的資格。在信息系統程序中,要將身份驗證方式、權限審查內容進行詳細規定,并且通過動態密碼、安全口令等,阻止非法用戶的入侵。除此之外,還可以應用防火墻,對于網絡數據的訪問、修改等操作進行記錄,一旦出現比較可疑的操作行為,系統可以自動報警或者中斷操作,避免非法用戶對數據進行篡改。總而言之,身份驗證程序與防火墻的有效配合,可以為醫院信息系統網絡建立一道安全屏障。
3 結束語
信息化的發展對于計算機技術提出了更高的要求,特別是醫院的信息系統網絡安全防范問題,直接關系到醫院業務的有序開展。網絡安全防范是一項系統的動態工程,需要從各個角度出發,綜合考慮,選擇性能良好的網絡設備,并且定期進行系統的優化,提高信息技術人員的業務水平,在確保硬件實體的安全穩定前提下,構建多層次的病毒防御體系,完善信息系統的身份驗證程序,并不斷調整防范策略,及時組建網絡安全緊急響應體系,全面提高醫院信息系統網絡的安全性。
參考文獻
[1]涂華.醫院信息系統的網絡安全與防范[J].中山大學學報論叢,2011,04(12).
[2]祝敬萍.醫院信息系統安全風險規避管理策略研究[D].華中科技大學,2012.
[3]莫非.醫院信息系統中的網絡安全與管理[J].計算機光盤軟件與應用,2012,07(23).
[4]賈鑫.基于醫院信息系統的網絡安全分析與設計[J].中國管理信息化,2013,05(15).
[5]趙浩宇,李剛.淺談醫院信息系統的網絡安全建設[J].中國衛生信息管理雜志,2013,10(20).
【 關鍵詞 】 “互聯網+”時代;網絡安全;管理策略;安全體系
On Network Security Policy Analysis and Management Strategy in the “Internet +” Era
Cai Wei
(China Nonferrous Mining Group Co., Ltd Beijing 100029)
【 Abstract 】 This article expounds the basic connotation of network security and requirements in the "Internet +" era. analyzes the present situation of network security and the current main security threat, puts forward the construction of network security situational awareness, intrusion detection and emergency control system of the management of protective measures based on the monitoring and early warning, active defense, real-time response to the three basic strategies.
【 Keywords 】 “internet +” era; network security; management strategy; security system
1 引言
當今社會已經進入到了“互聯網+”時代,網絡安全與我們的生活息息相關,密不可分。網絡信息安全對于國家、社會、企業、生活的各個領域以及個人都有十分重要的作用和意義。目前,在網絡應用的深入和技術頻繁升級的同時,非法訪問、惡意攻擊等安全威脅也在不斷推陳出新。防火墻、VNP、IDS、防病毒、身份認證、數據加密、安全審計等安全防護和管理系統在互聯網絡中得到了廣泛應用。隨著大規模網絡的部署和應用領域的迅速拓展,網絡安全的重要性越來越受到人們的關注,但同時網絡安全的脆弱性也引起了人們的重視,網絡安全問題隨時隨地都有可能發生。近年來,國外一些組織曾多次對中國企業、政府等網站進行過大規模的網絡攻擊,網絡安全已滲入到社會生活的各個方面,提高網絡安全防護能力,研究網絡安全管理策略是一項十分緊迫而有意義的課題。
2 “互聯網+”時代網絡安全
互聯網本身在軟硬件方面存在著“先天”的漏洞,“互聯網+”時代的到來讓這只大網的規模急劇擴大,盡管在網絡安全防護方面采取了很多有效性措施,然而網絡信息所具有的高無形價值、低復制成本、低傳播成本和強時效性的特點造成了各種各樣的安全隱患,安全成為了互聯網絡的重要屬性。
2.1 內涵
“互聯網+”是指依托互聯網基礎平臺,利用移動互聯網、 云計算、大數據技術等新一代信息技術與各行業的跨界融合,發揮互聯網在生產要素配置中的優化和集成作用,實現產業轉型、業務拓展和產品創新的新模式。互聯網對其他行業的深入影響和滲透,正改變著人們的生成、生活方式,互聯網+傳統集市造就了淘寶,互聯網+傳統百貨公司造就了京東,互聯網+傳統銀行造就了支付寶,互聯網+傳統交通造就了快的、滴滴。隨著“互聯網+”時代的到來,迫切需要“網絡安全+”的保護,否則,互聯網發展的越快遭遇重大損失的風險越大,失去了安全,“互聯網+”就會成為沙中之塔。在國家戰略的推動下,互聯網產業規模的成長空間還很巨大,網絡安全,刻不容緩。
2.2 主要內容
“互聯網+”不僅僅是互聯網移動了、泛在了、與傳統行業對接了,更加入了無所不在的計算、數據、知識,給網絡安全帶來了巨大的挑戰和風險。網絡安全泛指網絡系統的硬件、軟件及其系統上的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄漏,系統連續可靠正常地運行,網絡服務不被中斷。從內容上看,“互聯網+時代”的網絡安全大致包括四個方面:(1)網絡實體安全主要是以網絡機房的物理條件、物理環境及設施、計算機硬件、附屬設備及網絡傳輸線路的安裝及配置等為主;(2)軟件安全主要是保護網絡系統不被非法侵入,系統軟件與應用軟件不被非法復制、篡改、不受病毒的侵害等;(3)數據安全主要是保護數據不被非法存取,確保其完整性、一致性、機密性等;(4)管理安全主要是網絡運行過程中對突發事件的安全處理等,包括采取安全分析技術、建立安全管理制度、開展安全審計、進行風險分析等。
2.3 基本要求
網絡安全包括五個基本要求:機密性、完整性、可用性、可控性與可審查性。(1)機密性是指保證網絡信息不被非授權用戶得到,即使得到也無法知曉信息內容,通過訪問控制、加密變換等方式阻止非授權用戶獲知信息內容;(2)完整性是指網絡在利用、傳輸、貯存等過程中不被篡改、丟失、缺損等,以及網絡安全處理方法的正確性;(3)可用性是指網絡中的各類資源在授權人需要的時候,可以立即獲得;(4)可控性是指能夠對網絡系統實施安全監控,做到能夠控制授權范圍內的信息流向、傳播及行為方式,控制網絡資源的使用方式;(5)可審查性是指對出現的安全問題能夠提供調查的依據和手段,使系統內發生的與安全有關的行為均有說明性記錄可查。
3 “互聯網+”時代網絡安全分析
3.1 特征分析
近年來,無論是在軍事還是在民用信息領域中都出現了一個趨勢:以網絡為中心,各行各業與互聯網緊密相關,即進入了“互聯網+”時代。各類組織、機構的行為對網絡的依賴程度越來越大,以網絡為中心的趨勢導致了兩個顯著的特征:一是互聯網絡的重要性;二是互聯網絡的脆弱性。
網絡的重要性體現在現代人類社會中的諸多要素對互聯網絡的依賴。就像人們離不開水、電、電話一樣,人們也越來越離不開網絡,而且越是發達的地區,對網絡的依賴程度就越大。尤其是隨著重要基礎設施的高度信息化,直接影響國家利益及安全的許多關鍵基礎設施已實現網絡化,與此同時,這些社會的“命脈”和“核心”控制系統也面臨著更大的威脅,一旦上述基礎設施的網絡系統遭受攻擊而失靈,可能造成一個地區,甚至是一個國家社會功能的部分或者是完全癱瘓。
網絡的脆弱性體現在這些重要的網絡中,每時每刻都會面臨惡意攻擊、病毒傳播、錯誤操作、隨機失效等安全威脅,而且這些威脅所導致的損失,也隨著人們對網絡依賴程度的日益增高而變得越來越難以控制。互聯網最初基本上是一個不設防的網絡空間,其采用的TCP/IP、SNMP等協議的安全性很脆弱。它強調開放性和共享性,本身并不為用戶提供高度的安全保護。互聯網絡系統的脆弱性,使其容易受到致命的攻擊。事實上,目前我國與互聯網相連的大部分網絡管理中心都遭受過境內外黑客的攻擊或入侵,其中銀行、金融和證券機構是黑客攻擊的重點。
3.2 現狀分析
《2013年中國網民信息安全狀況研究報告》指出:整體上,我國網絡安全環境不容客觀,手機短信安全、應用軟件安全、計算機終端安全和各類服務器安全狀況不盡人意。
從數量規模上看,中國已是網絡大國,但從防護和管理能力上看,還不是網絡強國,網絡安全形勢十分嚴峻復雜。2015年2月,中國互聯網信息中心《第35次中國互聯網絡發展狀況統計報告》顯示,隨著“互聯網+”時代的到來,2014年中國網民規模6.49億,手機網民數量5.57億,網站總數3350000,國際出口帶寬達4118G,中國大陸31個省、直轄市、自治區中網民數量超過千萬規模的達25個。
從應用范圍上,“互聯網+”時代的到來使得龐大的網絡群體帶領中國進入了“低頭閱讀”時代,“微博客賬號12 億,微信日均發送160 億條,QQ 日均發送60 億條,新浪微博、騰訊微博日均發帖2.3 億條,手機客戶端日均啟動20 億次”的數據體現了中國網民的特征。
從網絡安全發展趨勢上看,網絡規模急劇擴大,增加了網絡安全漏洞的可能性;多個行業領域加入互聯網,增加了網絡安全控制的難度和風險;移動智能互聯設備作為互聯網的末端延伸,增加了網絡攻擊的新目標;互聯網經濟規模的躍升,增加了網絡管理的復雜性。
3.3 威脅分析
互聯網絡安全威脅主要來自于幾個方面:一是計算機網絡系統遭受病毒感染和破壞。計算機網絡病毒呈現出異常活躍的態勢,我國約73%的計算機用戶曾感染病毒,且病毒的破壞性較大;二是電腦黑客活動猖獗。網絡系統具有致命的脆弱性、易受攻擊性和開放性,我國95%與互聯網相聯的網絡管理中心都遭受過境內外黑客的攻擊或侵入;三是網絡基礎設施自身的缺陷。各類硬件設施本身存在漏洞和安全隱患,各類網絡安全系統在預測、反應、防范和恢復能力方面存在許多薄弱環節。國內與網絡有關的各類違法行為以每年30%的速度遞增,來自于外部的黑客攻擊、病毒入侵和基于多IP的惡意攻擊持續不斷。
從網絡安全威脅對象上看,主要是應用軟件、新型智能終端、移動互聯設備、路由器和各類網站。2015年瑞星公司的《瑞星2014年中國信息安全報告》顯示,新增病毒的總體數量依然呈上漲趨勢,掛馬網站及釣魚網站屢禁不止。新增手機病毒上漲迅速,路由器安全、NFC支付安全、智能可穿戴設備等是當前網絡安全最為薄弱的環節。
從網絡安全狀態上看,僅2014年,總體網民中有46.3%的網民遭遇過網絡安全問題,在安全事件中,電腦或手機中病毒或木馬、賬號或密碼被盜情況最為嚴重,分別達到26.7%和25.9%,在網上遭遇到消費欺詐比例為12.6%。2015年2月境內感染網絡病毒的終端數為2210000,境內被篡改網站數量近10000個,3月電信網內遭受DDOS攻擊流量近18000TB。2015年5月底短短幾天,就有支付寶、網易、Uber等互聯網龍頭接連出現故障,這是海外黑客針對中國APT攻擊的冰山一角。
從網絡安全防護技術上看,一方面,安全問題層出不窮,技術日趨復雜。另一方面,安全問題的迅速發展和網絡規模的迅速擴大,給安全解決方案帶來極大的挑戰,方案本身的研發周期和用戶部署周期的影響,導致安全解決方案在處理實際問題時普遍存在強滯后性、弱通用性和弱有效性的特點。更為重要的是現有安全解決方案通常只能針對特定的安全問題,用戶需要不斷增加部署新的安全解決方案以應對網絡安全的發展。
4 “互聯網+”時代網絡安全管理體系
安全是“互聯網+”時展的核心問題,網絡安全管理至關重要,在“互聯網+”模式提出之后,如何守衛網絡安全將成其發展的關鍵。“互聯網+”時代更需要建立一個完整的網絡安全防護體系,提高各網絡設備、系統之間的協同性和關聯性,使網絡安全防護體系由靜態到動態,由被動到主動,提高網絡安全處置的自適應性和實時反應能力,增強入侵檢測的阻斷能力,從而達到全面系統安全管控的效果。
4.1 基于監測預警建立網絡安全態勢感知體系
在現有基礎上,通過互聯網安全態勢評價指標,分級分層部料數據采集和感知分析系統,構建互聯網安全態勢感知體系。評價指標包括網絡運行基礎型指標,網絡脆弱性指標、網絡威脅指標三類。其中運行基礎指標包括基礎網絡性能、基礎網絡流量和網絡設備負載等;網絡脆弱性指標包括關鍵網絡設備性能指數、重要系統的狀態參數、終端服務器運行狀態等;網絡威脅指標包括攻擊事件、攻擊類型、病毒傳播速度、染毒終端數量等。為了有效地獲取各類統計分析數據,需要在重要的節點和核心區域部署數據采集和感知分析系統,對網絡中的應用終端、大型核心服務器等關鍵數據進行采集,如網絡運行狀態數據、病毒感染數據、骨干網絡流量數據、服務器病毒攻擊數據等,通過對采集數據的分析,形成分類、分級的網絡安全態勢,通過對數據的實時關聯分析動態獲取網絡安全態勢,構建一體聯動的態勢感知體系。
4.2 基于主動防御建立網絡安全入侵檢測體系
在現有入侵防御能力基礎上,重點建設主動防御、網絡蜜罐、流量清洗等系統,構建網絡安全入侵檢測體系。一是建設主動防御系統。利用啟發式檢測和入侵行為分析技術構建主動防御系統,部署于各類各級網絡管理終端和核心服務器上,通過對未知網絡威脅、病毒木馬進行檢測和查殺,主動檢測系統漏洞和安全配置,形成上下聯動、多級一體的安全防護能力。二是建設網絡蜜罐系統。利用虛擬化和仿真等技術拓展和豐富網絡蜜罐系統,實現攻擊誘捕和蜜罐數據管理,在重要節點、網站和業務專網以上節點部署攻擊誘捕系統,有針對性地設置虛假目標,誘騙實施方對其攻擊,并記錄詳細的攻擊行為、方法和訪問目標等數據,通過對誘捕攻擊數據分析,形成聯動防御體系。三是建設流量清洗系統,包括流量監測和過濾分系統。在核心交換區域和網絡管理中心部署流量檢測分系統,及時發現網絡中的攻擊流量和惡意流量。在核心骨干節點部署流量過濾分系統,在網絡攻擊發生時,按照設置的過濾規則,自動過濾惡意攻擊流量,確保正常的數據流量,從數據鏈路層阻止惡意攻擊對網絡的破壞。
4.3 基于實時響應建立網絡安全應急管控體系
在現有應急響應機制基礎上,通過進一步加強廣域網絡、系統設備和各類用戶終端的控制,構建應急管控體系。一是加強多級、多類核心網絡的控制。依托網絡管理系統、流量監測系統以及流量清洗系統對骨干網絡進行實時監控,實時掌控不同方向、不同區域、不同領域的網絡流量分布情況、網絡帶寬占用情況,便于有效應對各類突況。二是加強網絡安全事件的控制。特別是對影響網絡運行的病毒傳播擴散、惡意攻擊導致網絡癱瘓以及對各類網絡的非法攻擊等行為,要能在第一時間進行預警和處置。三是建立健全應急管控機制。對于不同類型的網絡安全威脅,明確相關的職能部門及必要的防范措施,避免出現網絡安全問題時“無人問津”的情況,確保網絡安全處理的時效性。
5 結束語
時代賦予了互聯網新的職能,互聯網在給我們的生活帶來便利的同時也威脅著人們的安全,必須著重研究和建立新的網絡安全管理體制并制定相應的應對策略。網絡安全策略不能停留在被動的封堵漏洞狀態,也遠遠不是防毒軟件和防火墻等安全產品的簡單堆砌就能夠解決的,網絡安全需要形成一套主動防范、積極應對的可信、可控網絡體系,從根本上提高網絡與信息安全的監管、恢復和抗擊、防護、響應等能力,對于個人、企業、社會甚至國家利益和安全都具有十分重要的現實意義。
參考文獻
[1] 吳賀君.我國互聯網安全現狀及發展趨勢[J].長春師范學院學報,2011(12).
[2] 陳君.互聯網信息安全的“中國設計”[J].今日中國(中文版),2014(06).
[3] 周潛之.加強網絡安全管理刻不容緩[N].光明日報,2014(01).
[4] 羅佳妮.完善互聯網信息安全保障機制的思考[J].新聞傳播,2013(09).
[5] 胡凌.網絡安全、隱私與互聯網的未來[J].中外法學,2012(02).
[6] 中國互聯網信息中心.2013年中國網民信息安全狀況研究報告[R].2013(09).
[7] 娜,劉鵬飛.2015中國互聯網展望[J].新媒在線,2015(03).
[8] 熊勵,王國正.移動互聯網安全,一道繞不過去的坎[J].社會觀察,2014(05).
[9] 喻國明.移動互聯網時代的網絡安全:趨勢與對策[J].國明視點,2015(02).
[10] 蔡志偉.融合網絡行為監測與控制技術研究[D].理工大學碩士論文,2011(06).
[11] 周鵬.大數據時代網絡安全的防護[J].網絡安全技術與應用,2015(04).
【關鍵詞】大數據 虛擬化 網絡安全架構 機制
1 大數據時代網絡安全風險
1.1 大數據及其特點
大數據(Big Data)最早由美國提出,并逐漸運用于世界各地的學術既商業活動之中,具體指相對于計算機的處理能力而言該類數據的“海量”與“大”,即在任意有限的時間內不能使用任意的IT或軟硬件技術工具進行操作和運用的數據集合。科學家John Rauser曾用一句更為簡單的話解釋了大數據,即他認為大數據的數據處理量之大已經超過了任意一臺計算機的處理能力。
大數據具有結構復雜、數據量大、類型眾多、集成共享與交叉復用的特點,對應于大數據的處理,計算機科學界產生了與之對應的云計算技術方法基于云計算技術的應用漸趨成熟,大數據在行業內被提出具備4V特征,即稻萑萘看籩擲嘍啵Volume)、數據類型多(Variety)、商業價值高(Value)、處理速度快(Velocity),大數據及其特征可以更好的用圖1表示。
1.2 大數據時代網絡安全現狀
網絡安全是國家安全的一個重要組成部分,根據我國互聯網應急響應中心CNCERT/CC 其2016年度《中國互聯網網絡安全報告》中提供的數據,截止到15年年底中國網站總量已達到426.7萬余個,同比年度凈增長2萬余個,此外在其的《CNCERT互聯網完全威脅報告》中,僅2017年2月,境內感染網絡病毒的終端數為近118萬個,被篡改網站數量為4493個,其中政府網站有109個。可見大數據時代,我國目前網絡安全形勢依舊嚴峻,主要問題表現在:
(1)公民個人安全意識不強,個人信息泄露嚴重,從國內感染木馬網絡病毒的網站數來看,用戶對于網絡安全的意識低下的現狀;
(2)國內網絡安全保護與威脅漏洞防范措施滯后,國內計算機網絡安全防護的基本措施基本都處于形式的靜態防護狀態,真正對新木馬、新病毒的發現和攻克技術未及時跟上病毒與木馬產生的速度,防范能力低下,感染與反復感染情況嚴重。
(3)網絡攻擊等行業逐步壯大與興起,大數據時代,數據的商業價值被進一步挖掘,強大的利益誘惑下,國內不少網絡攻擊企業逐漸形成甚至形成不正規產業鏈,該行業的發展趨勢有待及時的制止與修正。
2 虛擬化網絡安全技術概述
2.1 病毒防護技術
遠程或者本地主機上存在的安全漏洞可以通過漏洞掃描來自動檢測。漏洞掃描可以“防患于未然”,在問題還未發生,或者在侵犯還未形成時,就將其隱藏的安全問題解決。漏洞掃描又可以分為網絡內部和網絡外部的掃描。將掃描軟件置于網絡內部,檢測解決內部網絡存在的漏洞和安全隱患,稱之為網絡內部掃描。相應的,外網絡外部掃描,是指把漏洞掃描程序置于外部網絡,來保護網絡免于來自外部網絡的侵犯和攻擊,除去安全隱患。
2.2 入侵檢測技術
通過加強對網絡間訪問的控制來保護網絡內部操作環境和資源,一般來說,就是我們所說的防火墻。它的原理是,避免外部網絡用戶非法進入內部環境。性質上,屬于一種特殊的網絡互聯設備。互聯網技術日新月異,防火墻技術快速發展。防火墻技術經歷了包過濾型、型、監測型,其安全性也是遞增的。最開始的包過濾型防火墻,它是通過分析數據來源是否是可靠地安全站點,從而達到維護系統安全的要求。
2.3 漏洞掃描技術
遠程或者本地主機上存在的安全漏洞可以通過漏洞掃描來自動檢測。漏洞掃描可以“防患于未然”,在問題還未發生,或者在侵犯還未形成時,就將其隱藏的安全問題解決。漏洞掃描又可以分為網絡內部和網絡外部的掃描。將掃描軟件置于網絡內部,檢測解決內部網絡存在的漏洞和安全隱患,我們稱之為網絡內部掃描。相應的,外網絡外部掃描,是指把漏洞掃描程序置于外部網絡,來保護網絡免于來自外部網絡的侵犯和攻擊,除去安全隱患。
2.4 防火墻技術
通過加強對網絡間訪問的控制來保護網絡內部操作環境和資源,一般來說,就是我們所說的防火墻。它的原理是,避免外部網絡用戶非法進入內部環境。性質上,屬于一種特殊的網絡互聯設備。互聯網技術日新月異,防火墻技術快速發展。防火墻技術經歷了包過濾型、型、監測型,其安全性也是遞增的。最開始的包過濾型防火墻,它是通過分析數據來源是否是可靠地安全站點,從而達到維護系統安全的要求。防火墻超出了最初對防火墻的定義是從監測型防火墻的出現開始的。其表現是,不僅能阻止外來侵擾,更重要的是,它也能對來自網絡內部的破壞起到防護的作用
3 大數據環境虛擬化網絡安全SDN架構
網絡安全應用虛擬化(Virtualized Security Appliance)是較為有效的解決網絡安全的常見方式,本節根據大數據時代網絡安全特征及可用技術,結合傳統軟件定義網絡SDN安全架構方式,提出如下所示的基于安全應用虛擬化的網絡安全SDN架構,即SDN-VSN。
該架構首先在安全業務管理實踐的基礎上運用SDN API進行業務需求與計算機指令的靈活轉換,在SDN控制層能夠實現網絡虛擬化安全防護,包括有安全協議的描述、安全網絡檢測、安全路由保證、網絡拓撲管理及安全資源管理的基礎業務描述與控制;其次,在安全策略方面,該架構采用二級分解方式,指定的物理資源進行了映射配置和安全防控,并采用事件驅動的啟動模式,達到一種及時響應、及時防護的安全防控效果;最后,在安全實施方面,上述架構包含了字符段匹配、安全協議識別等通過標準Open Flow表示、識別與實施的安全運作機制。
4 大數據環境下虛擬化網絡安全機制
4.1 邊界安全機制
網絡邊界安全機制指從網絡與外界之間互通引起的安全題進行防護的一種防護機制,包括黑客入侵、網絡攻擊及木馬病毒攻擊的防護,大數據環境下網絡邊界安全直接影響網絡用戶的整體安全,因此如何從數據挖掘的角度設計并分析已有病毒或木馬庫的特征,及時更新病毒庫進行有效的邊界保護,最大限度實現邊界隔離。
4.2 終端安全機制
網絡終端指網絡的最終使用者即網絡用戶,網絡終端安全機制即是強調網絡安全防護過程中從網絡用戶端入手,運用防火墻、防病毒、防木馬等技術對可能的網絡安全漏洞進行措施性規避,新一代的大數據環境下的網絡終端數量劇增,在對于網絡終端防護的安全機制需要考慮終端之間的統一有效控制,即當某一終端出現安全漏洞威脅時,其他與之相近的終端能夠迅速接受信號,并在統一受控的基礎上進行迅速的防護技術部署,防止漏洞和威脅進一步無限制的蔓延,終端防護的技術在大數據環境下需要過更多運用云技術,通過云端有效控制數以億增的網絡終端量及相應的可能遭受的安全風險。
4.3 聯動安全機制
聯動安全機制是在保證邊界安全和終端安全的基礎上運用云端技術及大數據預測技術及時的將終端與邊界聯動起來的一種安全機制,即保證終端與邊界的安全統一。實際的操作中,網絡的邊界與終端無論哪一邊遭受到安全攻擊,通過數據分析及時更新數據并下發到另一端,以確保實現聯動的防護機制。雙防御的及時防護就像一個新型高效網絡護盾,如當某一終端遭受攻擊或漏洞被篡改,可以迅速的通知邊界設備進行及時的物理或網絡隔離,并迅速進行數據分析更新數據庫病毒庫,防止同網絡種其他設備遭受到相同黑客病毒的攻擊。聯動機制有效的提高了終端和邊界雙方面聯動的防護效果,有效應對未知攻擊并可以進行及時的防護措施,并運用大數據預測與分析技術可以預測可能受到的安全攻擊,進行對應的防護措施,從而將損害降到最低,實現網絡安全最大化的終極目標。
參考文獻
[1]CNCERT互聯網安全威脅報告.國家互聯網應急中心[EB/OL].http://.cn/publish/main/upload/File/2017monthly02.pdf.
[2]孟治強.基于大數據的下一代網絡安全架構初探[J].商,2015(34):207-207.
[3]楊艷,張瑩.大數據背景下的網絡信息安全研究[J].自動化與儀器儀表,2016(10):149-150.
[4]劉新,常英賢,田健偉.大數據時代網絡信息安全防護策略研究[J].探索科學,2016(10).
[5]馬文靜.下一代無線網絡安全及切換機制研究[D].北京郵電大學,2010.
[6]吳越,孫皓,張樹彬.下一代網絡中的無線網絡安全關鍵技術研究[J].信息網絡安全,2007(05):12-14.
[關鍵詞]內網 外網 隔離
一、內網與外網
將系統進行分級管理,按工作性質的不同分成內網和外網,實行內網與外網嚴格的分離制度,內外網的管理也采用不同的方法。
在外網中,由于基本業務對網絡的實時性要求不是很高,同時往往接入互聯網,本身已存在相當大的安全隱患,可以在一定程度上允許系統存在宕機現象。采用部署網絡安全產品,IP地址管理,訪問權限控制,數據存儲管理等方法,在采用技術手段進行安全管理的同時采取一定的行政管理手段,制定相關的管理制度,在一定程度上保證系統的基本正常,達到安全投入與安全效果的平衡。
在內網中,運行著公司ERP系統,整個公司的業務都依賴于這個系統的安全平穩運行,這個系統的安全性也就被提升到最高的級別,系統的安全穩定運行成了信息中心最主要的責任,在有了責任的同時,也就有了相應的權利,所有的不合理的要求,都以保證系統安全為理由回絕。
在系統中所有的可以進行文件交換的計算機都得到控制,無授權的計算機,不安裝光驅、軟驅、USB等設備的計算機不能訪問互聯網,授權的計算機在進行文件交換過程中也要嚴格按操作流程進行,同時也防止了信息流失的可能,保證了信息的安全,行政管理手段在內網的管理中起到了主要的作用。
1. 雙網隔離。為保證網絡安全,內部網絡與外部網絡完全隔離是最安全的策略。雙網隔離技術就是采取內部網與Internet網完全物理隔離的方式來實現內部網絡相對安全的一種技術。
雙網隔離的實現分為以下兩個方面:
(1) 結構化綜合布線。布線是實現網絡連接的第一步,要實現雙網的完全隔離就必須敷設兩套網線,每套網線分別與內網核心交換機、公眾信息網交換機連接,并通過相應的網絡安全設備實現網絡內部的安全。也就是說,在網絡客戶端部分有兩個網絡接口,以實現終端計算機分別對兩個完全隔離網絡訪問。
(2) 終端計算機。僅有完全隔離的網絡是不足以實現雙網隔離的,還要有完全隔離的計算機。當然采用兩臺計算機分別與兩套布線系紡相連可以實現雙網隔離,但是任何技術的推廣都離不開實現該技術的成本問題,顯然兩臺計算機的成本要高于一臺。
通過共享一臺雙網隔離計算機的方式,可以很好地解決這個問題。雙網隔離計算機就是一臺電腦中裝配兩塊硬盤(或一塊硬盤的不同物理分區),電腦運行時只有一塊硬盤(或一個物理分區)加電運行而另一塊硬盤(或一個物理分區)并不工作,通過切換開關和電腦的重新啟動來實現不同硬盤(或物理分區)上數據的物理隔離,這樣既保護了投資又實現了雙網的完全隔離。
2. 安全設備。保證網絡安全的主要設備包括:路由器、防火墻和服務器。通過客觀存在的組合,可以建立一道安全屏障,并對網絡內部提供必要的保護。由于它們本身及相互組合所提供的安全級別不同,所需要的成本不同,便有了不同的安全防范方案。
3. 高級別安全防范。路由器的訪問控制列表(ACL)對訪問數據流進行初步檢測,只允許合法數據流進人,對內部網提供了基本的安全保障。如:對私有IP地址的過濾,對蒙騙IP地址的過濾,對網絡探測數據流的過濾等。
防火墻對經過路由器過濾后的有效數據流進行進一步檢查,提供更加細化的安全措施和更強大的處理能力。防火墻的訪問控制列表(ACL)可以提供對進入的數據流進行有效控制,禁止非法數據流進人內網;防止自己內部網的用戶非法訪問和攻擊外網的計算機;針對某一IP地址或MAC地址進行訪問控制等功能。防火墻實現了切實的安全控制,為網絡提供了更強大的保護。
二、一般級別的安全防范
在網絡對安全要求不高的情況下通常采用一般級別的安全防范,所花費的費用也比較低。采用路由器或服務器就可滿足要求,當然資金允許的條件下采用防火墻可以提供更佳的安全性能。
1. 費用第一型。采用服務器是最經濟的安全措施,盡管它只提供基本的安全防范措施,但它以物美價廉吸引了大量的用戶。高性能服務器或PC機作為服務器使用時,只需添加一塊網卡和相應的成本。當然一定要在對安全要求較低的情況下使用,否則會得不償失。
2. 普通型。采取路由器可以提供較好的安全防范措施,路由器除了具有路由功能外,還可提供大部分的安全防范措施。在與Internet連接時,如果網絡服務供應商(ISP)提供的是DDN接入,則只能用路由器作為接人設備;在預留有備份線路接人Internet時,也只能采用路由器; Internet上用戶利用VPN技術需要拔入網絡時,只能用路由器。總之路由器的功能是很全面的,是其它設備所無法代替的。有特殊要求時選用路由器是合適的方案。
3. 安全第一型。防火墻是專業的安全防范設備,可以應對各種網絡人侵行為,對網絡提供高級別的安全方案。對于“安全第一”的用戶需要,是合適的選擇。當然也可以與路由器配合使用。
4. 其它方面的安全考慮。結構化綜合布線和網絡安全設備提供了網絡的物理結構安全,但同時還要保證網絡中服務器等應用設備的安全運行,這樣才能提供真正安全的網絡。
核心數據庫的安全、高效運行可通過雙機勢備或網絡負截平衡不保證,盡管費用較高相對于安全而言這樣的費用是值得的,該技術的合理性便它得到了廣泛地應用和推廣。
計算機病毒防范、災難恢復、環境安全(機房防火、防靜電、通風等)、媒體安全(磁帶等)、不間斷電源供應等等方面,盡管相對來說沒有雙網隔離和網絡安全設備那么重要,但同樣不應當忽略。
[關鍵詞]課程思政;信息安全;教學方法
現階段專業課程融入思想政治教育存在的問題
1.思政教育與專業教育之間存在“兩張皮”的現象在國家教育改革的引領下,專業課教師積極促進課程思政入課堂,但由于有的教師刻意地加入相關內容,為了思政而思政,造成了思政教育與專業教育“兩張皮”的現象,內容的過度生硬,一定程度上影響了學生對思政內容的接受。因此,高校應研究如何將思政教育與專業教育之間由“兩層皮”向“一盤棋”轉化,以真正達到育人效果。2.思政教育與專業教育的融合比較隨機當前,各科教師在融入思政元素的過程中存在較強的隨機性,多是依靠專業課程教師自我發掘與發揮,這就有可能導致思政內容重復,甚至會引起學生的反感。對此,高校應從整體專業規劃出發,針對每門課的特點確定課程思政的育人目標,以及思政元素的融入方式,使其形成課程體系的一部分。
專業課程與課程思政協同改革
1.緊扣畢業要求,明確教學目標與育人目標在傳統的人才培養方案中,重點在于知識目標和能力目標的定位,為了提升學生的綜合素養,高校應結合畢業要求,以課程教學大綱為抓手,明確并落實課程育人目標。以信息安全這門課為例,可通過理論教學與實驗環節,使學生具備密碼學、計算機系統安全、網絡攻擊技術與防御基礎、病毒分析與防范、防火墻技術與VPN、安全掃描與入侵檢測等計算機網絡信息安全方面的基本理論知識、技能及綜合應用,同時,培養學生獨立思考、勇于創新的能力。在確定育人目標時,應讓學生通過熟悉信息安全領域的國家方針、政策、法律、法規,追求科學真理,牢固樹立熱愛祖國、“信息安全技術的發展與應用不能損害國家和合法個人的利益”的理念,明確合法行為與非法行為的界限,理解誠實、公正、誠信的職業操守和職業規范,并在實際生活、學習與工作中自覺遵守。另外,還要面向國際科學應用前沿、國家重大需求及經濟主戰場,將前沿科技滲透到課程實踐中,教育學生努力學習,破解“卡脖子”難題。2.堅持問題導向,改革教學方法信息安全主要采用理論教學、課堂討論和上機實驗相結合的教學方式,注重啟發式教學,以問題為導向,引導學生獨立設計信息安全框架,逐步培養他們分析問題、解決問題、勇于創新的能力。在課堂教學中,教師要加強與學生的互動交流,指引學生開展團隊協作和課堂討論,并及時分析、評價學生的討論結果。另外,要從課程內容、實驗環節、互動交流、分組討論中進行專業課程的思政教學體系設計,促使學生產生學習內動力。
具體案例研究
將課程的教學目標及育人目標,深入滲透到教學大綱的具體內容中,使專業課程內容與思政元素有效融合。以信息安全課程為例,本課程的教學目標是掌握計算機網絡信息安全方面的基本知識,了解設計和維護網絡信息安全的基本手段和常用方法,能夠利用理論知識解決生活中的實際問題。思政育人目標是培養出能夠肩負歷史使命,勇擔強國重任,堅持面向世界科技前沿、面向國家重大需求、面向經濟主戰場,不斷向科學技術廣度和深度進軍的高端信息安全人才。
思政育人案例
1教學內容:第一章,信息安全概述教學目的與要求:了解信息安全面臨的主要威脅、信息安全的基本概念、信息安全的發展方向,掌握信息安全的主要技術及解決方案。思政元素切入點:針對美國政府在拿不出任何真憑實據的情況下,泛化國家安全概念,濫用國家力量,以列入實體清單、技術封鎖、投資設障等手段,加大對中國企業的打壓力度,讓中國在芯片領域面臨較為被動的局面。針對這一案例,要明確信息安全的真實含義,牢固樹立“信息安全技術的發展與應用不能損害國家和合法個人的利益”的理念,強調中國人的命運一定要掌握在自己手里,絕對不容許被任何勢力“卡脖子”。育人目標:面向國家重大需求,培養新一代科技人才,使其能潛心關鍵領域的基礎研究與關鍵技術的開發;引導青年學生發揮“兩彈一星”的艱苦創業精神,為國家培養徹底解決“卡脖子”問題的技術人才;學生要樹立正確的家國意識與主人翁意識,將個人的聰明才智和未來發展與國家需求相結合。實施過程:(1)教師授課。講授信息安全面臨的主要威脅、信息安全的基本概念、信息安全的解決方案、信息安全的主要技術、信息安全的發展方向等,從中穿插思政元素。(2)師生研討。學生針對信息安全的案例分組展開研討,每組委派一名學生進行總結發言;教師和學生進行點評,在整個研討過程中形成良好的思政氛圍。(3)課后拓展。教師可適當給學生提供與國家戰略相關的新聞報道和重大成果視頻,增強思政權威性,引發學生思考。思政育人案例2教學內容:第二章,密碼技術基礎與公鑰基礎設施教學目的與要求:掌握密碼學基本概念、了解傳統密碼技術,掌握公鑰密碼技術、公鑰基礎設施。思政元素切入點:對傳統密碼技術及公鑰密碼技術進行闡述,引入量子技術的快速發展對已有密碼學方案的沖擊。在量子計算模型下,經典數論密碼體系受到了極大的沖擊,如何在量子時代保障數據安全成為一個亟待解決的問題。Regev提出基于格的密碼體系可以抵抗這種量子算法的攻擊。格密碼作為備受關注的抗量子密碼體制,吸引了研究人員的目光。格自身有完整的理論體系,相較于其他密碼體制有獨特的優勢:困難問題存在從一般情況到最壞情況的規約,具有較高的算法效率和并行性等。通過知識拓展,引導學生從基于格困難問題的密碼體制設計進行思考、探索,培養學生的工匠精神、鉆研精神。育人目標:讓學生通過了解傳統密碼技術及公鑰密碼技術,知曉量子技術的發展對已有技術的沖擊,引導其發揮工匠精神及鉆研精神,勇于探索行業難題。實施過程:(1)教師授課。講授密碼學數學基礎、密碼學基本概念、對稱密碼技術、公鑰基礎設施等知識,從中穿插思政元素。(2)師生研討。針對“我們是否可以在標準模型下構造一個抗量子攻擊的基于位置的服務方案?這樣的方案是否可以做到避免密鑰濫用?”這兩個問題進行探討,引導學生思考,培養學生的工匠精神,提升其思考問題、分析問題的能力。(3)課后拓展。課后對量子算法技術進行更深一步的研究,了解兩字算法技術的發展對現有技術的推動,并引入相關思政素材,增強思政權威性,引發學生思考及探索。思政育人案例3教學內容:第四章,網絡攻擊技術與防御基礎教學目的與要求:了解黑客的概念及黑客的攻擊模式,掌握網絡攻擊的技術與原理、網絡攻擊工具、攻擊防范。思政元素切入點:2014年3月22日,國內漏洞研究平臺曝光稱,攜程系統開啟了用戶支付服務接口的調試功能,使所有向銀行驗證持卡所有者接口傳輸的數據包均直接保存在本地服務器,包括信用卡用戶的身份證、卡號、CVV碼等信息均可能被黑客任意竊取,導致大量用戶銀行卡信息泄露,該漏洞引發了關于“電商網站存儲用戶信息,并存在泄露風險”等問題的熱議。針對攜程漏洞事件,教師引導學生熟知《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)要求網絡運營者對網絡安全運營負有責任,對產品的漏洞及時補救,怠于履行法律義務,導致個人信息泄露的,將面臨最高五十萬元的罰款,如果是關鍵信息基礎設施的運營者將面臨最高一百萬元的罰款。2014年12月25日,第三方漏洞研究平臺發現大量12306用戶數據在互聯網流傳,內容包含用戶賬戶、明文密碼、身份證號碼、手機號碼等,這次事件是黑客通過收集其他網站泄露的用戶名和密碼,通過撞庫的方式利用12306網站安全機制的缺失來獲取13萬多條用戶數據。針對12306用戶數據泄露事件,引導學生熟知關鍵信息基礎設施的網絡運營者不僅有一般網絡運營者應該履行的網絡安全等級保護義務,還有更高層次的網絡安全保護義務,如對重要系統和數據庫進行容災備份,制定網絡安全應急預案并定期進行演練等。關鍵信息基礎設施運營者若沒有每年進行一次安全檢測評估,拒不改正或導致網絡安全嚴重后果的,將面臨最高一百萬元的罰款,對直接負責的主管人員處一萬至十萬元以下的罰款。育人目標:通過“教、學、做”一體化的教學模式,一方面向學生介紹網絡攻擊的相關知識;另一方面結合具體案例自然融入《網絡安全法》的知識,引導學生正確運用網絡安全和防御技術,嚴格規范自己的網絡行為,維護好個人、企業、組織、國家的信息安全,積極構建網絡安全。實施過程:(1)教師授課。講授關于黑客、網絡攻擊技術與原理、網絡攻擊工具、網絡攻擊防范等知識,從中穿插思政元素。(2)師生研討。學生針對《網絡安全法》的案例分組展開研討,研討之后,每組委派一名學生進行總結發言;教師和學生點評,拓展學生的知識面,在整個研討過程中讓學生構建網絡安全意識。(3)課后拓展。課后可適當給學生提供《網絡安全法》的相關報道視頻,增強學生的安全意識,使其規范自己的網絡行為。
總結
