网络安全与攻防技术范文

时间:2023-12-22 18:02:03

导语:如何才能写好一篇网络安全与攻防技术,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全与攻防技术

篇1

关键词: 网络信息安全; 计算机; APT; 安全防御; 恶意威胁

中图分类号: TN711?34 文献标识码: A 文章编号: 1004?373X(2015)21?0100?05

Threat to network information security and study on new defense

technologies in power grid enterprises

LONG Zhenyue1, 2, QIAN Yang1, 2, ZOU Hong1, 2, CHEN Ruizhong1, 2

(1. Key Laboratory of Information Testing, China Southern Power Grid Co., Ltd., Guangzhou 510000, China;

2. Information Center, Guangdong Power Grid Co., Ltd., Guangzhou 510000, China)

Abstract: With the continuous development of management informationization of the power grid enterprises, automatic power grid operation and intelligent electrical equipment, the information security has become more important. For the serious situation of network information security, the new?type defense technologies are studied, which are consisted of advanced persistent threat (APT) protection technology and vulnerability scanning technology. Combining with the advantages and disadvantages of these technologies, the strategy of defense effectiveness analysis based on the minimum attack cost is proposed, which can compute the defense capability of the network.

Keywords: network information security; computer; APT; safety defense; malicious threat

0 引 言

随着电网企业管理信息化、电网运行自动化、电力设备智能化的不断发展,电网企业信息安全愈发重要。信息化已成为电力企业工作中的重要组成部分,各类工作对网络的高度依赖,各类信息以结构化、非结构化的方式储存并流转于网络当中,一旦信息网络被攻破,则往往导致服务中断、信息泄漏、甚至指令错误等事件,严重威胁生产和运行的安全。因此,保障网络信息安全就是保护电网企业的运行安全,保障网络安全是电网企业的重要职责[1]。

目前的网络信息安全形势依然严峻,近年来,业务从单系统到跨系统,网络从零星分散到大型化、复杂化,单纯的信息安全防护技术和手段已经不能满足企业安全防护的需要,应针对性地研究具有纵深防御特点的安全防护体系,以信息安全保障为核心,以信息安全攻防技术为基础,了解信息安全攻防新技术,从传统的“知防不知攻”的被动防御向“知攻知防”的纵深积极防御转变,建立全面的信息安全防护体系。

1 概 述

从广义层面而言,网络信息安全指的是保障网络信息的机密性、完整性以及有效性,涉及这部分的相关网络理论以及技术都是网络信息安全的内容。从狭义层面而言,网络信息安全指的是网络信息的安全,主要包括网络软硬件及系统数据安全[2]。网络信息安全需要保证当网络受到恶意破坏或信息泄露时,网络系统可以持续正常运行,为企业提供所需的服务。

通过对我国某电网企业及其下辖电力单位的调研,以及对近5年电力信息资产信息安全类测评结果的统计得知,电网企业现存的网络安全情况主要分为以下3类:网络安全风险与漏洞弱点事件、数据安全风险与漏洞弱点事件、管理类安全风险与漏洞弱点事件。整体上看,电网企业的信息安全问题仍不容乐观,近年来随着网络的复杂化,攻击的新型化和专业化,网络安全防护的情况亟待加强。总体而言,首先要加强并提升网络、应用等方面安全水平,保证信息源头的安全情况;其次加强管理类安全,特别是人员管理、运维管理等方面;最后研究分析最新攻防技术的特点,结合电网实际现状,构建适用于现有网络环境与架构的信息安全纵深防御体系。

本文主要针对第三点展开论述,研究包括高级持续威胁(APT)防护技术、漏洞扫描技术等新型的攻击及其防护技术,提取在复杂网络系统中的防御共同点,并给出一类策略用于分析网络信息安全防御的有效性。

2 信息安全的攻防新技术

电网企业所依赖的信息安全隔离与防御技术主要包括数据加密技术、安全隔离技术、入侵检测技术、访问控制技术等。一方面,通过调研与统计分析。目前电网的信息安全建设主要以防止外部攻击,通过区域划分、防火墙、反向、入侵检测等手段对外部攻击进行防御,对内部的防御手段往往滞后,电网内部应用仍然存在一定的安全风险与漏洞弱点。如果一道防线失效,恶意的攻击者可能通过以内部网络为跳板威胁电网企业的安全;另一方面,电网企业中目前使用的防御技术一般是孤立的,未形成关联性防御,而目前新型的攻击往往会结合多个漏洞,甚至是多个0day漏洞进行组合攻击,使得攻击的隐蔽性、伪装性都较强。因此,要构建信息安全防御体系,仅凭某单一的防护措施或技术无法满足企业的安全要求,只有构建完整的信息安全防护屏障,才能为企业提供足够的信息安全保障能力。

经过分析,目前针对电网企业的新型攻防技术有如下几类:

2.1 高级持续威胁攻击与防护技术

高级持续威胁(APT)是针对某一项有价值目标而开展的持续性攻击,攻击过程会使用一切能被利用的手段,包括社会工程学攻击、0day漏洞攻击等,当各攻击点形成持续攻击链后,最终达到攻击目的。典型的APT攻击案例如伊朗核电项目被“震网(Stuxnet)”蠕虫病毒攻击,通过攻击工业用的可编程逻辑控制器,导致伊朗近[15]的核能离心机损坏。

根据APT攻击的特性,企业可以从防范钓鱼攻击、识别邮件中的恶意代码、识别主机上的恶意代码、监测网络数据渗出等多个环节进行检测,主要涉及以下几类新型技术。

2.1.1 基于沙箱的恶意代码检测技术

恶意代码检测中最具挑战性的是检测利用0day漏洞的恶意代码,传统的基于特征码的恶意代码检测技术无法应对0day攻击。目前最新的技术是通过沙箱技术,构造模拟的程序执行环境,让可疑文件在模拟环境中运行,通过软件所表现的外在行为判定是否是恶意代码。

2.1.2 基于异常的流量检测技术

传统的入侵检测系统IDS都是基于特征(签名)的深度包检测(DPI)分析,部分会采用到简单深度流检测(DFI)技术。面对新型威胁,基于DFI技术的应用需要进一步深化。基于异常的流量检测技术,是通过建立流量行为轮廓和学习模型来识别流量异常,进而识别0day攻击、C&C通信以及信息渗出等恶意行为。

2.1.3 全包捕获与分析技术

由于APT攻击的隐蔽性与持续性,当攻击行为被发现时往往已经持续了一段时间;因此需要考虑如何分析信息系统遭受的损失,利用全包捕获及分析技术(FPI),借助海量存储空间和大数据分析(BDA)方法,FPI能够抓取网络定场合下的全量数据报文并存储,便于后续的历史分析或者准实时分析。

2.2 漏洞扫描技术

漏洞扫描技术是一种新型的、静态的安全检测技术,攻防双方都会利用它尽量多地获取信息。一方面,攻击者利用它可以找到网络中潜在的漏洞;另一方面,防御者利用它能够及时发现企业或单位网络系统中隐藏的安全漏洞。以被扫描对象分类,漏洞扫描主要可分为基于网络与基于主机的安全漏洞扫描技术。

2.2.1 基于网络的安全漏洞扫描技术

基于网络的安全漏洞扫描技术通过网络扫描网络设备、主机或系统中的安全漏洞与脆弱点。例如,通过扫描的方式获知OpenSSL心脏出血漏洞是否存在。基于网络的安全漏洞扫描技术的优点包括:易操作性,扫描在执行过程中,无需目标网络或系统主机Root管理员的参与;维护简便,若目标网络中的设备有调整或变化,只要网络是连通的,就可以执行扫描任务。但是基于网络的扫描也存在一些局限性:扫描无法直接访问目标网络或系统主机上的文件系统;其次,扫描活动不能突破网络防火墙[3]。

2.2.2 基于主机的安全漏洞扫描技术

基于主机的安全漏洞扫描技术是通过以系统管理员权限登录目标主机,记录网络或系统配置、规则等重要项目参数,通过获取的信息与标准的系统安全配置库进行比对,最终获知系统的安全漏洞与风险。

基于主机的安全漏洞扫描技术的优点包括:可使用的规则多,扫描结果精准度高;网络流量负载较小,不易被发现。该技术也存在一些局限性:首先,基于主机的安全漏洞扫描软件或工具的价格昂贵;其次,基于主机的安全漏洞扫描软件或工具首次部署的工作周期较长。

3 基于最小攻击代价的网络防御有效性分析策略

恶意攻击总是以某一目标为导向,恶意攻击者为了达到目标会选择各种有效的手法对网络进行攻击。在复杂网络环境下,如果可以尽可能大地提高恶意攻击者的攻击代价,则对应能达到提高有效防御的能力。基于这个假设,这里展示一种在复杂网络环境下分析攻击有效性的策略,并依此计算从非安全区到目标区是否存在足够小的攻击代价,让恶意攻击可以获取目标。如果存在,则可以被恶意攻击利用的路径将被计算出来;如果不存在,则证明从非安全区到目标区的安全防御能力是可以接受的。

以二元组的形式描述网络拓扑图[4][C,]其中节点是网络中的各类设备,边表示设备间的关联关系。假设非安全区域为[Z,]目标区域为[D。]在网络中,攻击者如果能达到目标,必然至少存在一条从非安全区节点到目标节点[d]的通路[p,]且这条通路上的攻击代价小于值[w。]其中,攻击代价指攻击者能够利用攻击工具、系统缺陷、脆弱性等信息,实现其对目标的入侵行为所付出的代价。直观地,由于攻击行为往往会因遇到安全设备和安全策略的阻拦,而导致其成功实现其攻击目的的时间、精力甚至资金成本提高,攻击者为达到其攻击目标所付出的所有的行为成本即攻击代价。

在图[G]中,每一个节点[v]具有输入权限[q]和获利权限[q](如表1所示)、本身的防护能力[pr]以及风险漏洞数L(L≥0)。攻击者能力是指攻击者通过输入权限[q,]通过任意攻击手段,在节点[v]上所能获取的最高权限值(获利权限)[q′。]直观地,输入权限代表攻击者在对某节点进行攻击前所拥有的权限,如Web服务器一般均具有匿名访问权限;获利权限代表攻击者最终可以利用的系统权限。

最短攻击路径是从非安全区域[Z]中任意节点[z]到目标节点[d]所有攻击路径中,防护成功率最低的[Pr]所对应的路径。最短攻击路径所对应耗费的攻击代价为最小攻击代价[4],也是该网络的防护能力有效性分值。

攻击代价阈值:一旦攻击者付出的攻击代价超过其预期,攻击者很大程度上将会停止使得攻击代价超限的某一攻击行为,转而专注于攻击代价较小的其他攻击路径。攻击代价阈值即攻击者为达到目标可接受的最大攻击代价。如果防护能力有效性分值小于攻击代价阈值,则说明攻击目标可以达到。

攻击代价阈值一般可以通过人工方式指定,本文采用德尔斐法,也被称为专家咨询法的方式来确定。经过专家分析和评判,将攻击代价阈值设定为[t,]当攻击路径防护能力小于[t]即认为攻击者会完成攻击行为并能成功实施攻击行为。

4 网络防御有效性分析应用

假设在电网企业复杂网络环境场景下存在一类新型的APT攻击,网络中使用两种策略A,B进行攻击防御。策略A采用了现有的隔离与防御技术,策略B是在现有基础上增加应用了APT防御技术。计算两类策略下的最小攻击代价,并进而对APT防护效果进行分析。

4.1 策略选取

4.1.1 策略A

图1为一个简化的复杂网络环境实例拓扑,其中DMZ区部署的Web服务器为内、外网用户提供Web服务,电网地市局局域网的内部用户不允许与外网直接连接,限网。各安全域之间具体访问控制策略如下:

(1) 只允许地市局局域网用户访问DMZ区Host2(H2)上的IIS Web服务和Host3(H3)上的Tomcat服务;

(2) DMZ 区的H2 允许访问H3上的Tomcat服务和IDC区Host4(H4)上的Oracle DB服务;

(3) 禁止H2和H3访问Domino服务器Host5(H5);

(4) H5允许访问DMZ的H2和H3及IDC区的H4。

4.2 效果分析

通过上述计算结果表明,在应用策略A与B情况下,局域网用户到DMZ区域目标主机存在的攻击路径的防护有效性分值分别是(0.3,0.3,0.51)与(0.93, 0.93,0.979)。在策略A的情况下,通过DMZ区的H2为跳板,攻击IDC的目标主机H4,最短攻击路径的防护有效性分值只有0.51,说明局域网内的攻击者能在花费较小代价的情况下,轻易地获取内网DMZ或IDC服务器的系统权限,从而造成较大的危害。而增加APT防护设备之后,通过DMZ区的H2为跳板,攻击IDC的目标主机H4,防护有效性分值提升为0.979,其他攻击路径的防护有效性也有明显提高。

策略A与策略B的对比结果表明,在DMZ区域有APT防护技术情况下,网络环境下整体的隔离与防御能力得到了明显提升,从而验证了隔离与防御新技术的防护效果。

5 结 语

在新形势、新技术下,我国电网企业网络信息安全仍面临着严峻的挑战,应当高度重视网络信息安全工作,不断发展完善信息安全防御新技术,改善网络信息安全的水平。单纯使用某种防御技术,往往已无法应对快速变化的安全防御需求,只有综合运用各种新型的攻防技术,分析其关联结果,并通过网内、网间各类安全设备、安全措施的互相配合,才能最终建立健全网络信息安全防范体系,最大限度减少恶意入侵的威胁,保障企业应用的安全、稳定运行。

参考文献

[1] 高子坤,杨海洲,王江涛.计算机网络信息安全及防护策略分析[J].科技研究,2014,11(2):155?157.

[2] 彭晓明.应对飞速发展的计算机网络的安全技术探索[J].硅谷,2014,15(11):86?87.

[3] 范海峰.基于漏洞扫描技术的网络安全评估方法研究[J].网络安全技术与应用,2012,8(6):9?11.

[4] 吴迪,冯登国,连一峰,等.一种给定脆弱性环境下的安全措施效用评估模型[J].软件学报,2012,23(7):1880?1898.

篇2

关键词:网络工程;安全防护;防护技术

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)21- 4790-02

随着我国社会经济的发展,信息化建设也发展较快,现代通信技术日新月异。通信网络的推广和普及使人们改变了信息交流的方式,逐渐成为人们日常生活信息获取和交流的主要途径。近年来,我国互联网行业的飞速发展带来了两个方面的影响,一方面方便了人们的工作和生活,另一方面由于计算机网络的开放性、互联性以及分散性等特点,使得网络工程中还不同程度地存在着一些安全隐患,威胁着网络工程的通信网络环境。网络安全防护是一种网络安全技术,加强网络工程中安全防护技术,有利于保障通信网络安全畅通。因此,研究网络工程中的安全防护技术具有十分重要的现实意义。鉴于此,笔者对网络工程中的安全防护技术进行了初步探讨。

1 网络工程安全存在的问题分析

当前,网络工程安全现状不容乐观,还存在着诸多亟待解决的问题,这些问题主要表现在黑客的威胁攻击、计算机病毒入侵、IP地址被盗用、垃圾邮件的泛滥和计算机系统风险五个方面,其具体内容如下:

1.1 黑客的威胁攻击

黑客的威胁攻击是网络工程安全中存在的问题之一。黑客最早源自英文hacker,从黑客的定义上来看,黑客是指利用系统安全漏洞对网络进行攻击破坏或窃取资料的人。一般来说,黑客在对网络工程进行攻击时,按黑客攻击的方式分类主要有两种攻击方式,即非破坏性攻击和破坏性攻击。非破坏性攻击通常为了扰乱系统的运行,将阻碍系统正常运行作为目的, 并不盗窃系统资料,用拒绝服务和信息炸弹对系统进行攻击;破坏性攻击以侵入电脑系统、盗窃系统保密信息为目的,黑客会破坏电脑系统。

1.2 计算机病毒入侵

计算机病毒入侵在一定程度上制约着网络工程安全的发展。计算机病毒具有破坏性,复制性和传染性等特点,计算机病毒不是天然存在的,是编制者将指令、程序代码植入到计算机系统中。所谓的病毒是人为造成的,通过影响计算机系统的正常运行,造成对其他用户的危害。计算机病毒破坏力强、传播迅速且不易被察觉,尤其是像木马、震网、火焰这些通过网络作为途径传播的病毒,一旦感染其他程序,将会对计算机资源进行破坏。不难看出,提高系统的安全性是确保网络工程安全的过程中迫切需要解决的问题。

1.3 IP地址被盗用

IP地址被盗用也是网络工程安全的瓶颈。对计算机网络而言,被盗用IP地址的计算机不能正常使用网络,致使用户无法进行正常的网络连接。区域网络中常有lP被盗的情况,这种情况下用户被告知lP地址已被占用,致使用户无法进行正常的网络连接。这些lP地址权限通常较高,窃取lP者一般会以不知名的身份来扰乱用户的正常网络使用,这会给用户带来很大的影响,使用户的自身权益受到侵犯,也严重威胁网络的安全性。

1.4 垃圾邮件的泛滥

垃圾邮件的泛滥,使得网络工程安全陷入困境。垃圾邮件是指那些并非用户自愿却无法阻止收取的邮件。长期以来,垃圾邮件损害了邮件使用者的利益, 垃圾邮件的的日益严重让网络重负逐渐加大,对效率和安全性造成严重的威胁,一方面大量消耗网络资源,减缓了系统运行效率;另一方面,数量繁多的垃圾邮件还侵害整个网络工程的安全。

1.5 计算机系统风险

计算机系统风险也影响着网络工程安全。在计算机网络工程中,管理机构的体制不健全,各岗位分工不明确,对密码及权限的管理不够,这些因素使网络安全日益受到外来的破坏且用户自身安全防卫意识薄弱,无法有效地规避信息系统带来的风险, 导致计算机系统的风险逐步严重,计算机系统不能正常工作,最终威胁到计算机网络的安全。因此,加强网络工程中安全防护技术势在必行。

2 加强网络工程中安全防护技术的策略

2.1 设置防火墙过滤信息

最直接的黑客防治办法是运用防火墙技术,设置防火墙过滤信息是加强网络工程中安全防护技术的关键。网络工程中最有效的防护手段就是在外部网络和局域网之间架设防火墙,网络防火墙作为一个位于计算机和它所连接的网络之间的软件,可以将局域网与外部网的地址分割开,计算机流入流出的所有网络通信均要经过此防火墙,经过防火墙的过滤,能够过滤掉一些攻击,以免其在目标计算机上被执行,增加内部网络的安全性。另外,防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。

2.2 加强病毒的防护措施

加强病毒的防护措施也是加强网络工程中安全防护技术的重要组成部分。病毒防护是计算机系统日常维护与安全管理的重要内容,当前计算机病毒在形式上越来越难以辨别,计算机网络病毒的防治,单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,提高人们的防范意识,才有可能从根本上保护网络系统的安全运行。常见的杀毒软件有:360安全卫士,卡巴斯基,金山毒霸等。网络工程在加强病毒的防护措施方面,对计算机网络工程人员而言,相关人员都应该掌握使用杀毒软件、防病毒卡等措施,一般情况下,要定期对计算进行病毒检测与查杀,一旦发现病毒时应询问后再处理,不仅如此,对计算机系统的重要文件还要进行备份,防止由于病毒对系统造成的破坏导致数据的丢失。

2.3 入侵检测技术的植入

入侵检测系统作为一种主动的安全防护技术,对于加强网络工程中安全防护至关重要。对网络工程而言,入侵检测技术对计算机网络资源及信息中隐藏或包含的恶意攻击行为有效的识别,在网络系统受到危害之前拦截和响应入侵。提供了对内部攻击、外部攻击和误操作的实时保护,可以利用网络安全入侵检测采取相应的网络安全防护措施。入侵检测系统能够从网络安全的立体纵深、多层次防御的角度出发提供安全服务,从而有效的降低了来自网络的威胁和破坏,必将进一步受到人们的高度重视。

2.4 拒绝垃圾邮件的收取

凡是未经用户许可就强行发送到用户的邮箱中的电子邮件,都被成为垃圾邮件。垃圾邮件一般具有批量发送的特征。垃圾邮件现在慢慢发展成为计算机网络安全的又一公害。拒绝垃圾邮件的收取也是加强网络工程中安全防护技术的重要环节,拒绝垃圾邮件的收取,要从保护自己的邮件地址做起,不要随意的使用邮箱地址作为登记信息,避免垃圾邮件的扰乱。还可以使用outlookExPress和Faxmail中的邮件管理,将垃圾文件过滤处理,拒绝垃圾文件的收取。

2.5 加强网络风险的防范

加强网络风险的防范对于加强网络工程安全也不容忽视。在网络工程风险防范的过程中,利用数据加密技术是行之有效的途径。数据加密技术是加密技术是最常用的安全保密手段,也是有效防范网络与信息安全风险最直接,最为有效的方式。数据加密是一种限制对网络上传输数据的访问权的技术,具体说来,它是通过引导用户对网络传输中出现的、比较重要的数据进行设置密码的过程。从网络工程中数据加密的方式上来看,数据加密技术主要包括线路加密、端与端加密等等,各种方法都有各自的有点,线路加密主要是针对需要保密的信息进行的,在加密时使用加密密钥来对信息进行保护。端与端加密主要是针对网络信息的发出方,当网络信息数据到达tcp/ip之后就利用数据包进行回封操作,以此对重要数据进行安全保护。

3 结束语

总之,网络工程中的安全防护是一项综合的系统工程,具有长期性和复杂性。网络工程中安全防护技术,应设置防火墙过滤信息、加强病毒的防护措施、入侵检测技术的植入、拒绝垃圾邮件的收取、加强网络风险的防范,不断探索加强网络工程中安全防护技术的策略,只有这样,才能不断提高网络工程的安全管理水平,进而确保计算机网络的安全。

参考文献:

[1] 李巍巍.计算机网络安全的数据备份和容灾系统[J].黑龙江科技信息,2010(33).

[2] 王薪凯,姚衡,王亨,常晶晶,喻星晨.计算机网络信息安全与防范[J].硅谷,2011(4).

[3] 金金.2011年信息安全十大热点预测[J].信息安全与通信保密,2011(3).

[4] 赵章界,李晨旸,刘海峰.信息安全策略开发的关键问题研究[J].信息网络安全,2011(3).

[5] 陆文红,蒙劲.小议通信网络安全问题分析及维护措施[J].中小企业管理与科技(下旬刊),2010(10).

[6] 余斌.论计算机互联网与通信网络建设的安全性[J].科技经济市场,2010(5).

篇3

关键词:非合作动态博弈;网络安全;主动防御技术

中图分类号:TP393.08

现有的网络防御和入侵检测系统主要的是依靠安全配置的方式对处于联网状态下的网络进行安全防护,这些防御技术具有本身一些缺点,无法对瞬时的攻击以及未知的攻击进行保护,因此在对网络的安全进行保护的时候要做到适当的防护,即有一定的可行性和合理性,又要保证能够做到比较好的防御。博弈理论下的防御技术具有很多的变形,并且具有独特的优点,而非合作动态的博弈理论的应用又进一步的强化了这些特征。

1 博弈论

所谓博弈论,指的是一门研究其他的参加者关于utility(效用)的情况,理性参加者间互相产生作用的科学,其要素包括博弈的参加者中利益或者目标间互相的冲突和均为理性的参加者特点等两个方面。随着理论的发展和时代的进步,现代的博弈论也逐渐发展成为一项涵盖心理学、运筹学、哲学、数学、计算机科学、军事战略、政治、生物、经济等学科领域内容的交叉性学科。通常而言,现代的博弈论所公认的起源是由名为Morgenstern的经济学者与名为Von Neumann的数学家所共同撰写的《博弈的理论与经济的行为》。尽管此处当时所提出理论性博弈论的框架仅仅能够对部分有限的例子进行使用,例如只对非合作与零的博弈问题等进行了讨论,但是该著作是将博弈的问题通过数学的语言作出解决与描述的第一人。在此之后,在众多学者不断的研究与努力下,尤其是在非合作的博弈理论内Nash创造性的将策略的均衡概念进行了引入,博弈论逐步演变成分析中极为有用且重要的工具[1]。

2 多阶段的非合作动态博弈

网络攻防图的表示方式是G(V’,E’,U’),其为一个带环的具有方向的图,其中的V’叫状态节点,表示的是所有有关的物理节点的所有状态的集合。E’={Ea Ed}集合代表的是网络的攻防图中的有向边方面的集合,集合内的每一条边代表的是来自攻击方或者是防御方的攻防策略,U’集合表示的是网络的攻击和防御的策略相对应的策略收益方面的集合。网络的攻击图之上再加上相应的防御策略就变成了网络的攻防策略图。

2.1 攻防博弈树的形成

攻防博弈树被应用与完全信息的网络攻防动态博弈中,可以对其进行有效的描述。攻防博弈树可以对攻击方和防御方的动态策略选择进行描述和了解。为有效的发挥相应的集合的概念需要将网络的攻防图转变成攻防的博弈树T。要对攻防图中的两种子图进行转化,包括入度为n(n>1)的节点子图,以及包含环图的子图。

处于非合作动态博弈理论下的网络安全通过攻防博弈树来进行描述和分析。由于攻防博弈树可以对攻击方或者是防御方的动态策略选择进行秒描述,可以知道参与者会在什么时候采取什么活动进行行动,并且企图通过这个活动产生什么效益和信息。其图形如下图1所示。

要对网络的攻防图和网络的攻防博弈树上的结构差异进行消除,需要将虚拟节点的技术引入才能够实现。网路的攻防图通过引入虚拟节点技术可以将攻防的博弈树的节点结构进行进一步的规范。在此阶段需要采取的算法包括完全信息的多阶段博弈理论的逆向归纳算法,以及非完全信息的多阶段动态博弈的逆向归纳的方法[2]。

2.2 应用实例

为验证该技术的有效性和可行性,下面以该实验场景进行模拟实验,实验的场景如图2所示:

通过漏洞和木马的扫描工具统计出目标系统的相关漏洞信息,将攻击的图生成为子系统的攻击图,再在图中增加各个攻击阶段相对应的防御措施,人后利用以上的攻防博弈图的理论将其转变成相应的攻防博弈树,博弈树中的实线代表的是有方向的一边集合攻击方采用的攻击策略,虚线代表的是有方向的边代表的是防御方所采用的防御策略的集合,并且在有方向的实线的一段引出的节点表示的攻击的节点,有方向的虚线一端引出的就是防御方的节点,而同时具有实线和虚线的节点代表的是混合的节点。所代表的意思为该点既可以在防御的一方采取防御的措施,有可以被攻击的一方作为攻击的节点。通过运算的方式1得出逆向归纳的路径的集合,并且找到最佳的攻防路径,根据运行的结果来计算出攻击方最有可能采取的策略集以及对路由器进行拒绝攻击的服务。防御方要据此来进行最佳的补丁的安装。

攻击博弈树的形状和结构图如下图3:

假设理性的人被违背,那么攻击者采取的措施就会突破防火墙,并且对实验的服务帐号进行尝试破解的工作,这时防御的一方就要采取最佳的防御措施以修复系统的补丁或者是对文件的数据进行恢复。算法2提出的是动态的博弈模型,该模式可能在进行实际的攻击策略时会与预期的攻击策略出现一定的差错或者是不对应的情况,导致在又一个新的节点上采取新的动态博弈的措施,所以算法2可以在攻击的意图发生变化的时候仍旧计算出最佳的攻击集合,并且除此之外,算法2提出的方法能够对整个的状态空间进行全面的博弈局势的掌握,由此便可以推测出最优化的防御措施。这样就可以在全局的大范围内对防御的措施进行最优化的选择[3]。通过实验可以看出基于非合作动态的博弈环境下的网络安全防御技术具有比较好的高效性,并且具有一些很明显的优势,能够对网络的安全起到很强的积极作用。

3 结语

基于目前的静态、被动的网络安全防御的技术缺点,研究主要的分析了新兴的基于非合作动态博弈理论的主动网络防御技术,该技术的特点是引入了虚拟接点的技术,以此实现了网络攻防图和攻防博弈树的转化。该技术还提出了求解最佳的攻防策略的博弈理论算法,经过理论和时间的检验,该技术在对网络进行防御方面具体很强的可操作性。值得在以后的工作和实践中进行推广和使用。

参考文献:

[1]林旺群,王慧,刘家红,邓镭,李爱平,吴泉源,贾焰.基于非动态博弈的网络安全主动防御技术研究[J].计算机研究与发展,2011,02(45):12-13.

[2]姜伟,方滨兴,田志宏.基于攻防博弈模型的网络安全测评和最优主动防御[J].计算机学报,2009,32(04):817-827.

篇4

(中国人民公安大学(团河校区)网络安全保卫学院,北京100076)

摘要:网络攻防课题已经为越来越多的高校所重视,国内越来越多的CTF网络攻防竞赛也是愈演愈烈。文章提出将CTF的比赛模式应用于网络安全的教学过程,以提高学生在学习过程中的积极性,同时阐述竞赛平台总体结构、后台数据库关系以及主要题目类型的归纳设计。

关键词 :CTF;网络安全;竞赛平台设计

文章编号:1672-5913(2015)17-0047-04 中图分类号:G642

基金项目:中国人民公安大学基本科研业务费项目( 2015JKF01435)。

第一作者简介:高见,男,讲师,研究方向为网络安全,gaojianbeijing2006@163.com。

1 C语言实验情况现状

CTF(capture the flag)即夺旗竞赛。在网络安全领域,经常以CTF的形式举行比赛以展示自己的网络安全技能。1996年的DEFCON全球黑客大会首次使用夺旗竞赛的形式,代替之前黑客们互相真实攻击进行技术较量的方式。CTF发展至今,已经成为全球范围网络安全圈流行的竞赛形式。2013年,全球举办了超过50场国际性CTF赛事;而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯”。夺旗竞赛可以增加比赛的趣味性和竞争性,因此将其借鉴到各高校的C语言实验教学过程中,可以提高学生对课程的学习兴趣,使学生在游戏中学习,在竞赛中提高。

2 竞赛模式种类

2.1 解题模式

在解题模式( jeopardy) CTF赛制中,参赛队伍可以通过互联网或者现场网络参与。这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛类似,以解决网络安全技术挑战题目的分值和时间排名,通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。

2.2 攻防模式

在攻防模式(attack-defense)CTF赛制中,参赛队伍在网络空间互相进行攻击和防守,通过挖掘网络服务漏洞并攻击对手服务得分,通过修补自身服务漏洞进行防御以避免丢分。攻防模式CTF赛制可以实时通过得分反映出比赛情况,最终也以得分直接分出胜负,是一种竞争激烈、具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中,不仅仅是比参赛队员的智力和技术,还比体力(因为比赛一般会持续48小时及以上),同时也比团队之间的分工配合与合作。

2.3 混合模式

混合模式( mix)是结合了解题模式与攻防模式的CTF赛制。参赛队伍通过解题可以获取一些初始分数,然后通过攻防对抗进行得分增减的零和游戏,最终以得分高低分出胜负。采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。

3 竞赛平台设计

竞赛平台结构分为网络攻防竞赛网站和网络攻防竞赛平台靶机服务器。网络攻防竞赛网站搭建于真实服务器上,用于参赛队员答题以及浏览比赛事项。竞赛题目存放于网络攻防竞赛平台服务器的虚拟机环境中。比赛过程中会出现队员互相攻击的情况,为了避免网站资源受到攻击而产生崩溃,在虚拟环境中可以利用快照备份当前的漏洞环境。

网络攻防靶机服务器提供3台靶机,均存放于服务器虚拟机中。铜牌靶机、银牌靶机、金牌靶机均在同一网段上。竞赛平台体系结构如图1所示。

该设计平台采用PHP+MySQL的方式进行搭建,后台数据库表的关系如图2所示。

其中,Student表中存放选手的基本信息,包括学号、姓名、年级、区队、登录密码和Salt;Chapter表中,存放题目类型的ID号和类型的名称;Examination表中存放每道题的唯一ID号、题目对应的类型号(通过外键连接)、题干内容、题目所涉及的文件和题目对应的分数;Result表中存放选手答题的结果,其中包括每道题的ID(通过外键连接)、选手的ID(通过外键连接)、提交的答案和代码;Score表中存放选手答题的成绩,其中包括每道题的ID(通过外键连接)、选手的ID(通过外键连接)和题目对应的分数;Answer表中存放题目的标准答案,包括每道题的ID(通过外键连接)、选手的ID(通过外键连接)和题目对应的答案。选手的ID号可以为空,如果对于同一道题目每个学生的答案是唯一的,那么记录中就只有题目ID和题目的答案;如果对于同一道题目每个选手的答案可能是不唯一的(如写出每个学生学号后4位对应的16进制数),那么记录中要有题目ID和学生ID及答案。

4 实验内容设计

4.1 Web安全题目设计

根据Web应用程序安全项目(OWASP,open web application security project)近几年公布的OWASP top 10 Web安全威胁,我们总结目前主流的Web安全漏洞有以下几方面。

(1)注入漏洞。目前主流的注入漏洞为SQL注入漏洞以及OS命令注入漏洞。这一类漏洞发生在开放者未对用户输入的字符进行充分的安全检查,导致用户输入的数据会被当作命令或者查询执行,致使注入漏洞产生。

(2)跨站脚本攻击(XSS)。截至2015年,XSS漏洞是继SQL注入以后第2个严重的Web安全威胁。它利用开发者或浏览器对用户输入字符未加过滤的疏忽,通过JavaScript代码实现恶意攻击。

(3)跨站请求伪造(CSRF)。跨站请求伪造是用户在权限认证后,攻击者将伪造好的钓鱼页面发送给用户,用户点击后触发CSRF进行一系列操作。

(4)中间人攻击(MITM)。目前,中间人攻击( MITM)的安全威胁主要来自局域网环境,因为网络上普遍采用Http协议传输数据,但这种协议传输的数据是未经加密的。当用户与攻击者同处于一个局域网环境下,攻击者通过劫持网关,可以嗅探到用户通过Http协议发送的账号以及图片或视频的数据流。

4.2 加密解密题目设计

加密解密题目通常采用较为冷门的加密算法对文件或文本字符串进行加密,要求答题者对各类算法有一定的了解。应用程序的加密解密往往涉及汇编、逆向等知识。考虑到答题者中存在未学习过此类课程的学生,因此加密解密的题目可出两道题,分别为应用程序加密解密、字符串加密解密。

4.3 Wi-Fi破解及数据分析题目设计

本题由Wi-Fi破解及数据分析两部分组成。首先,搭建一个局域网环境,包含A服务器以及B服务器。A服务器开启无线连接,该无线连接密码由WPA密钥加密,密码强度为纯数字。答题者只有通过相关的Wi-Fi破解工具穷举出Wi-Fi密码才能够得到连接密码。在整个过程中,A服务器总是向B服务器发送UDP数据包,其中包含题目的FLAG。答题者需要在连入Wi-Fi后,通过嗅探工具截取发送数据并通过分析得到FLAG,完成本题。

4.4 取证分析题目设计

取证分析作为比赛题目的重点,在设计过程中也是难度最大的,因为网络安全专业课培养方案中有取证分析的课程,主要介绍目前公安取证的基本方法和技术,而在网络攻防竞赛平台的设计中,无法将课程中使用的取证大师等工具移植到平台。为了使取证题目更具实战意义,教师可将题目设计为分析系统日志,将日志设计为一台已经被入侵服务器的系统日志。被入侵服务器的系统为Windows XP SQL系统,系统被黑客人侵后留下系统日志,答题者需要在审计日志后得到黑客入侵的IP地址,通过找到对应的端口得到黑客的服务器;黑客服务器中搭建一个Web服务器并创建一个网站,网站功能为验证答题者在系统审计过程中得到的信息。只有完成所有问题,才能够得到题目的FLAG。

5 虚拟靶机设计

虚拟靶机作为网络攻防竞赛平台中最重要的题目,由于更加贴近实战角度,因此设计时应更多考虑到实战环境因素。靶机平台搭建在服务器的虚拟机中,它们有不同的系统环境。虚拟机采用的是Vmware workstation 9.0软件,它的好处在于可以方便地编辑网络环境,快速组建可用有效的虚拟局域网。靶机平台在网络攻防竞赛平台中不仅只扮演靶机的角色,而且也对其他题目进行支持。因此,在设计靶机系统的同时要考虑到虚拟系统的负载能力,避免因系统线程过多导致系统死机,影响比赛的进行,可以采用虚拟机的快照功能保存当前系统环境;在比赛过程中出现问题时,可以利用快照随时还原系统,保障比赛进度。

靶机系统的主要考查点包括3个:系统漏洞的发现与利用、系统网络服务漏洞的发现与利用、网站漏洞的发现与利用。这3个主要考查点的背后同样包含着大量的考查节点,它们组合在一起形成3台靶机系统。铜牌、银牌、金牌分别由简单到困难的程度定义,在系统中利用漏洞的难度也不断提高。为了保证大部分学生能够攻破铜牌靶机,教师在设计之初,可将铜牌靶机定义为只含有系统漏洞和输入法漏洞的靶机。这两种漏洞的利用方法都很简单,可以提高参赛队员的信心,令学生对剩下的银牌靶机和金牌靶机有攻破的欲望。教师可将靶机平台所占分数设定为不超过总分数的40%,将铜牌靶机定为200分、银牌靶机定为300分、金牌靶机定为500分。

5.1 铜牌靶机

铜牌靶机设定为易得分题,靶机系统为Windows XP系统。靶机的漏洞为系统层漏洞MS08-064。为了增强题目的灵活性,教师可在增加系统漏洞的同时增加网络服务漏洞。IIS 6.0漏洞多种多样,可以给答题者提供更多的答题思路。

5.2 银牌靶机

银牌靶机难度较铜牌靶机更大,考查答题者对网站整体入侵思路的掌握。在设计网站之初,银牌靶机为PHP代码编写的赌博网站。网站中可设计多处漏洞,如XSS漏洞、SQL漏洞、任意文件读取漏洞。答题者需要在渗透进入服务器并远程连接服务器后在某个文件夹内得到加密的RAR压缩包,通过暴力破解得到题目的FLAG。

5.3 金牌靶机

金牌靶机的难度较大,为附加题目。金牌靶机系统为Linux系统,默认安装有Apache以及PHP环境,网站为PHP代码编写的诈骗网站。诈骗网站结构简单,仅有部分功能可以供答题者利用,其他页面均为静态页面。答题者需要在页面中寻找线索,才能够得到网站的后台地址。通过工具穷举爆破,可以登录网站后台。网站后台仅有上传功能并且利用白名单进行过滤,答题者需要在绕过白名单后才能够利用后门继续渗透服务器。FLAG文本文件具有系统权限,因此答题者只有在对Linux系统提权的情况下,才能够得到FLAG完成此题。目的分值比如设为10分,当前5位学生得到正确答案后,该题目的分数自动降为9分,当有10位学生得到正确答案时,分值再自动减少,一直减少到6分(及格分)为止。这样可以激励学生在短时间内迅速思考,并将最先做完的学生的分数和最后做完的学生的分数进行区分。

6 结语

随着国家大力发展网络安全教育,相信一定会有越来越多的人投入学习网络安全的队伍中。在目前的发展趋势下,单一的课本技能已经不能解决日益复杂的网络安全问题,需要一个可以贴近实战的平台对学生所学的知识进行整理和实践。网络攻防竞赛平台的设计便是以此为初衷,它的设计在于提高学生对于网络安全的学习热情,通过比赛也能更好地选拔网络安全人才,对网络安全人才的培养非常有意义。网络攻防竞赛平台的设计参考了目前国内主流的CTF网络安全竞赛的规则设计,其中加入了一些公安业务需要的技能考核元素,对学生了解更多的网络安全知识起到很好的铺垫作用。

参考文献:

[1]宾浩斯.心理大师手则:记忆的奥秘[M].北京:北京理工大学出版社,2013: 56-57.

[2]黄龙军.游标在Online Judge中的应用[J].绍兴文理学院学报,2012,32(8): 26-29.

[3]丁琦,汪德宏,基于工作过程的高职课程教学模式探讨[J].职教论坛,2010(2): 45-46.

篇5

关键词 网络安全实验 课程教学 实验设计

中图分类号:G424 文献标识码:A

0 引言

随着网络信息产业的快速发展,网络安全成为亟需解决的问题,我院为了培养应用型本科人才,在网络通信专业培养计划中设置了网络安全实验这门选修课,因为开设时间较短,教学过程还处于探索阶段。网络安全实验教学这门课无论在掌握计算机学科理论,还是锻炼学生在实际工作生活中解决应用问题的能力方面,都起到了十分重要的作用。因为是实验课程,所以在教学过程中,比较重视实践操作过程。网络安全实验课程的内容比较集中在P2DR模型中说涉及的网络安全防御、检测、响应三大领域,以满足在现实工作中所遇到的不同网络安全问题。因此,本文从实验项目的选择,实验平台的建立,以及实验教学方法等上对网络安全实验教学进行探索。

1 实验平台搭建

首先是虚拟机技术在实验中的使用,网络安全实验中的实验具有一定的破坏性,所以我们采用了虚拟机来进行实验,在网络安全实验中,需要模拟网络攻击,使学生掌握怎样防御的同时,也了解攻击技术。所以在实验中我们首先安排了Vmware虚拟机的安装与配置。在虚拟机中我们安装windowsserver2003服务器版操作系统,并且配置开启相关服务。

因为硬件条件有限,所以我们的大量实验还只能在虚拟机上进行,但为了使学生身临其境的感受网络安全技术,我们在综合实训中还是建立了基础的网络攻防实验环境。

2 实验项目设计

在我国,高校是培养网络安全人才的核心力量。网络攻击与防护是网络安全的核心内容,也是国内外各个高校信息安全相关专业的重点教学内容。所以在实验项目设计上我们体现了实用性为主的观念,要在实验中更多的体现未来学生毕业后,会遇到的网络安全问题。所以设置了以下实验:

(1)安装Vmware虚拟机,并配置完整的网络环境。配置完善win2003server虚拟环境,为以后的实验搭建平台,习和掌握Vmware虚拟机的安装与配置,以建立网络攻防平台。

(2)加密原理与技术,利用不同技术进行加密。了解和掌握各种加密方法,以实现信息加密。学习和掌握密码技术,利用密码技术对计算机系统的各种数据信息进行加密保护实验,实现网络安全中的数据信息保密。

(3)PPPoE的网络通信原理及应用。学习和掌握基于PAP/CHAP的PPPOE的身份认证方法。学习和掌握利用身份认证技术对计算机和网络系统的各种资源进行身份认证保护实验,实现网络安全中的信息鉴别。

(4)掌握Windows系统中基于PPTV VPN的功能、配置与使用操作。学习和掌握如何利用防火墙技术对网络通信中的传输数据进行鉴别和控制实验。

(5)学习掌握Windows系统中NAT防火墙的功能、配置与使用操作。学习和掌握网络通信中的合法用户数据信息的传输,以实现网络安全中的保密性、鉴别性和完整。

(6)学习和掌握Superscan扫描工具对计算机进行端口扫描的方法,操作应用。学习和掌握各种网络安全扫描技术和操作,并能有效运用网络扫描工具进行网络安全分析、有效避免网络攻击行为。

(7)学习和掌握如何利用Wireshark进行网络安全监测与分析。学习各种网络监听技术的操作实验,能利用网络监听工具进行分析、诊断、测试网络安全性的能力。

(8)学习和掌握Snort网络入侵监测系统的安装、配置和操作。学习和掌握Snort入侵检测系统的基本原理、操作与应用实验。

3 综合实训

为了让学生能适应真实的网络环境,使之更贴近应用型人才的培养方案,最后我们设计了综合实训这个环节,让学生在网络通信系统中综合运用各种网络安全技术,设计一个整体的网络安全系统。分析公司网络需求,综合运用网络安全技术构建公司网络的安全系统。通过一个实际网络通信系统中的综合运用,实现整体系统的有效设计和部署。

学生分组进行实训,分为防御组与攻击组,为了充分利用实验资源让防御组的同学在局域网环境下搭建服务器靶机,并让防御组的同学配置VPN、NAT防火墙的技术并搭建SNORT入侵检测系统。攻击组同学操作学生终端尝试攻击服务器靶机,使用ARP欺骗等技术。防御组的学生使用Wireshark网络监听查看ARP欺骗源地址,并解决该威胁。

4 结论

随着网络技术的发展,网络安全成为重中之重,为了培养本科应用型人才,实践证明实验必须贴近真实存在的案例才能提高学生的实际网络攻防水平,使学生掌握网络安全的新技术,而使用综合实训这种方式,更是提高了学生的参与积极性,使教学质量进一步提升。

参考文献

[1] 常晋义.网络安全实验教程. 南京大学出版社,2010.12.

篇6

在网络安全博弈中,设定参与人是网络系统和黑客,网络系统的纯战略是防守和不防守,黑客的纯战略是攻击和不攻击。网络系统防守时能防御到黑客的攻击概率为e(0<<e<<1),在防守到攻击后一定能对攻击者做出相应的惩罚。为了研究网络系统和黑客之间的博弈,本出如下假设:局中人集合:{网络系统,黑客}局中人策略空间:网络系统的策略空间为{放守,不防守};黑客的策略空间为{攻击,不攻击}局中人收益:黑客如攻击成功,收益为a,黑客攻击如碰到防守,网络系统对黑客进行惩罚的收益为e•b,网络系统的防御成本为c,网络系统的惩罚成本为d。则当黑客攻击且网络系统防守时,黑客的收益为-e•b,网络系统的收益为e•b-c-d-(1-e)a;当黑客攻击且网络系统不防守时,黑客的收益为a,网络系统的收益的-a;当黑客不攻击且网络系统防守时,网络系统成本为-c,黑客的收益为0;当黑客不攻击且网络系统不防守时,网络系统收益为0,黑客收益为0。根据以上假设,参与人同时选择或非同时选择,但后行动者不知前行动者采用了什么具体行动,因此此问题为静态博弈,参与人对另一参与人的特征、策略空间及收益函数都有了准确信息,因此为完全信息博弈,综合而来此问题涉及黑客攻击与网络系统防御的完全信息静态博弈,其相应的收益矩阵见表。假设网络系统以概率p进行防守,则不防守的概率就是1-p;q为黑客的攻击概率,则不攻击的概率为1-q。下面就来讨论混合战略的纳什均衡问题。

2攻防博弈模型的求解

在给定的网络系统以概率p进行防守时,黑客攻击q=1的期望收益F(p,1)和黑客不攻击q=0的期望收益F(p,0)分别为。由(4)式可知,当网络系统防守概率大于a/a+eb时,不攻击是黑客的最优策略;当网络系统的防守概率小于a/a+eb时,攻击是黑客的最优策略;当网络的防守概率等于a/a+eb时,黑客攻击和不攻击都具有相同的效果。同理,在给定黑客以概率q进行攻击时,网络系统防守p=1的期望收益F(1,q)和网络系统不防守的p=0的期望收益F(0,q)分别为。由(8)式可知,当黑客的攻击概率小于c/eb+ea-d时,网络系统的最优选择是不防守;当黑客的攻击概率大于c/eb+ea-d时,网络系统的最优选择是防守;当黑客的攻击概率是c/eb+ea-d时,防守和不防守具有相同的概率。

3攻防成本的博弈分析

下面对混合纳什均衡进行深入的分析:

3.1网络系统的防守概率(9)式说明网络系统的防守概率p*是a的单调增函数,即p*随a的增大而增大,p*随a的减少而减少。这可以解释为黑客的攻击收益越大,则相对应的网络系统损失越大,网络系统的防守概率越高;黑客的攻击收益越小,则相对应的网络系统损失越小,网络系统的防守概率越低。(10)式说明网络系统的防守概率p*是eb的单调减函数,即p*随eb的增大而减少。这可以理解为黑客得到防御系统的惩罚收益越大,则相应的对黑客的威慑越大,网络系统的防守概率越小。把eb分开来看,当eb为定值时,e值越小则b值越大,这说明防守成功的概率越低,则相应的应加大惩罚值。

3.2黑客的攻击概率是由网络系统的防守成本c、网络系统对黑客的惩罚值eb、网络系统成功防御到黑客攻击所减少的损失值ea、网络系统的惩罚成本d所决定的。由黑客的攻击概率q*可知,q与c成正比、与eb+ea-d成反比。q与c成正比,即在其他条件不变的情况下,防守的成本c越小,黑客攻击概率越小;这可以解释为:防守成本c越小,网络系统防守的就越多,那么被黑客攻击的概率就会越少。q与eb+ea-d成反比,即当c一定时,防守系统对黑客的惩罚收益越大,网络系统成功防御到黑客攻击所减少的损失值越大,网络系统的惩罚成本越小,则黑客的攻击概率越小。分开来看,q与eb、ea均成反比,与d成正比;即防守系统对黑客的惩罚收益越大,则给黑客的威慑越大,黑客的攻击概率越低;防守系统成功防御到黑客攻击所减少的损失值越大,也就是防御系统内部的防御信息越重要,防御系统就越会加大防御,黑客的攻击概率就越低;防守系统的惩罚成本越大,则防守方实际所得的收益越小,黑客的攻击概率越大。q与ea、eb均成反比,则当a、b是定值时,q与e成反比;又由于q与c成正比,则当其他条件不变时,e与c成反比。从而可知网络系统防御的成功率越高,网络系统的防御成本就越低,即增加网络系统的防御成功率可以降低网络系统的防御成本。由q与c成正比、q与eb成反比可知,若使黑客的攻击概率越小,则最好使网络系统的防御成本越低,对网络系统黑客的惩罚值越大。但目前由于网络系统的复杂性,防御成本很难降下来,因此就可以加大惩罚力度。这也说明了在网络安全方面惩罚机制和防御机制同样重要。

4网络安全治理建议

由以上网络安全攻防博弈分析可知,网络安全是由网络的防守成本、网络系统对黑客的惩罚值、黑客的攻击收益值、网络系统的惩罚成本所决定的。对这些方面,特提出如下建议:

4.1加大取证技术建设。网络安全的取证技术既是防御系统的根基,也是惩罚体系的根基。比如取证技术的典型蜜罐技术,它通过设置陷阱取证记录攻击源和攻击方法,在防御方面根据记录到的攻击源和攻击方法,得出相应的应对策略,然后给防火墙和入侵检测系统加入相应的策略,以应对后面的攻击;在惩罚方面以记录的攻击源和攻击方法作为证据,运用法律等相关手段对攻击者做出相应的惩罚。取证工作做不好,面对新型的攻击,防御和惩罚就都不可能执行下去。

4.2加大防御技术建设,使防御系统廉价,做好防御系统普及工作。防御系统价格越低,防御普及率才会越高,安全性才会越好。加大对网络内各个部位核心技术的掌握(一些重要部门的内部网络最好全部运用自己的技术),防御的成功率才会较高,防御系统的成本才会大大减少。比如国内电脑基本都用微软的操作系统,核心交换机大部分用思科的设备,打印机基本都用HP等国外设备。只要这些设备厂商开启后门,网络将无安全可言。内部技术不掌握,防御总是处于被动之中,投资再高,实际效果也不会大。目前网络系统内很多设备的核心技术都不在自己的掌握下,因此军工等一些重要情报部门内部网络最好不要接入到Internet网。防御系统方面可以建立各层防御体系,电脑开发免费的取证审计系统,使每个用户都有监督自己电脑的方式。其他网络的各个部件也要建立自己的取证审计系统,方便网络管理员对网络其他部件的监控管理工作。

4.3加大网络惩罚机制建设和惩罚力度,降低惩罚成本。网络安全方面的惩罚方式很多,比如法律惩罚、网络反攻等。针对目前国内严峻的网络安全问题,应该完善网络安全法规,做到有法可依,执法必严,违法必究,使执行的成本大大减少,这样就能对黑客给予足够的威慑,有效降低攻击概率。比如图书馆网络系统面对黑客的攻击时,只要对黑客的惩罚相比黑客获得的利益越大,理性的黑客就越不敢攻击。惩罚可以根据国家的立法进行,比如发现某些公司运用自己的产品进行犯罪牟利时,就可以根据相应的法律措施给予惩罚。国家间的网络犯罪,可以在全世界成立一个集体的组织比如联合国,建立相应的法规,对国与国之间的网络攻击给予严厉的惩罚。二战后以美国为首的西方国家,就建立了联合国国际机构,对一些国际间的违规事务进行处理,比如成立原子弹不扩散条约,以避免对世界毁灭性的伤害。美国作为联合国的五大常任理事国之一,如果想维护世界的网络安全,也需要对最近出现的斯诺登“棱镜门”事件等,给出相应的说明或解决方法,这样才能更好地带头制定和实施相应的惩罚制度,以维护世界的网络安全。对于国家间的网络攻击,当联合国的法律惩罚难以实施时,也可以发展网络反攻惩罚技术,在国家内部建立起强大的网络部队,给予别国巨大的威慑,以减少网络战争。只要攻击方法发展起来、攻击成本降低,实施反击更加容易,给另一个国家的惩罚相对于其获得的收益越大,就会给想攻击的国家带来足够大的威慑,这样理性的国家就越不敢攻击。

篇7

关键词:计算机工程,网络安全课程,实践教学

网络安全的本质是人与人的对抗,网络安全人才培养是对抗的决胜因素。高职网络安全课程本身综合性、实践性较强,传统教学常以讲授理论为主,知识结构体系缺乏关联性、实战性,无法与当前网络安全系列1+X证书制度相融合。对网络安全课程进行项目化重构,以1+X证书培训中的网络安全实训项目贯穿课内外教学活动全程,是实现课证融通的重要环节,提高学生专业技能更为有效。

1网络安全课程项目化的教学问题

解决高职学生学习能力不足的问题。五年制高职计算机网络技术专业学生水平参差不齐,由于主要招收初中应届毕业生,一些学生基础知识薄弱、学习主观能动性差、学习缺乏方法和动力,在参与专业课学习活动时总是停留在等、靠、要的阶段。通过对该专业学生的调查分析,学生的计算机使用水平存在一定的差异化,分析原因与各初中学校实施信息素质教育的差异情况有直接关系。大部分学生能够明白计算机能力对未来可持续发展的必要性,仍有少部分学生尚未认识到该能力的实用性。作为一门新兴科学,网络安全被纳入计算机网络技术专业的专业课程,为学生的必修课。网络安全课程是一门理实一体化的课程,学生在理解理论知识后需实际动手操作网络安全实验,以此提高专业技能水平。在往年的实践教学中发现,学生的学习能力、主观能动性会随教学内容难度的深层次递进,慢慢降低,无法深入了解课程的理论知识要点。在实践性学习活动中,更无法融合相关网络安全技能要点处理实际发生的问题。解决师资团队实战能力不足的问题。网络安全本是实战性较强的专业领域,就高职师资团队分析,大多数教师为刚毕业的本科生及研究生,且为师范毕业,没有体验过网络安全相关企业的工作环境及内容,缺乏网络安全一线实践经验。因此,在教学活动中,内容更趋向于网络安全基础理论知识,缺乏实践性项目或实验。项目式教学提升了学生的各种能力,更要求教师成为项目的组织者,对教师的综合素质提出了更高的要求,对计算机网络技术专业教师而言,是一种新的挑战。解决理实教学内容更新滞后的问题。目职网络安全课程的教学内容较依赖于相关教材,而这些教材的质量及年限导致教学内容更新滞后。且高职网络安全教材往往照搬本科院校教材,将理论学术研究问题融入,实践内容匮乏,仅仅为单一的验证性案例,不利于培养学生理论联系实际的能力,与目前网络安全人与人攻防现状脱节严重。即使一些教材也采用了项目化教学的模式,但教学内容停留在工具的使用,致使学生成为网络安全“脚本小子”,并非网络攻防人才。网络安全涉及的专业技术、安全工具繁多,随着安全问题呈现出的复杂化形势,学生很容易被这些表象所混淆,进入“只见树木不见森林”的误区,无法在网络攻防技术方面快速成长。

2网络安全课程项目化的教学实践

结合1+X证书制度要求,提高学生学习能力。为了提高学生的学习能力和兴趣,依据五年制高职计算机网络技术专业人才培养方案的要求,基于网络安全课程目标,转变传统纯理论、教为主的教学模式,按照“以能力为本位、以职业实践为主线、以项目式学习为主体”对该课程进行项目化重构设计。通过项目将教学变为一种教与学的互动,激发学生学习兴趣,调用学生的主动性,开展多样化的项目式学习活动,让学生融入实践性项目的完成过程中,转变其不正确的学习观,打消“等、靠、要”的学习依赖性。除日常教学外,指导学生参加技能竞赛、应用开发、行业认证,正确帮助学生树立学习目标,引导学生增强终身学习的信念及未来的职业信心。既强调1+X证书制度对应网络安全评估等工作岗位的技能需求,也强调学生个人未来的可持续发展的要求。所以,课程重构设计中,一切都以学生乐于学习、易于学习、善于学习为准,满足学生分阶段“体验--改进--创新”的项目式学习需求。校企产教融合,共助“双师型”教师队伍建设。为提升师资团队的实战能力,鼓励教师参加1+X证书师资培训,通过培训帮助高职教师理解1+X证书制度、网络安全相关证书培训教学和考核的要求,提升网络安全攻防水平,了解最新的网络安全技术及动向。基于现有与华为、科大讯飞、中科磐云等校企合作基础,开展企业实践及行业交流活动,提高教师项目化实践教学能力、项目创新及科研能力,促进教师发展专业化发展,打造“双师型”师资队伍。项目化课程重构,优化内容实现课证融通。教师可以在1+X证书培训企业专家的指导下,对网络安全课程的结构、知识点进行分析,深化构建网络安全技术知识体系,从专业角度出发,建立“网络安全技术知识树”。从教学内容上把原零散的知识点转换为一个个项目,各加强知识模块间的联系。依据课程特点和现状,进行项目化课程重构。根据网络安全风险评估相关岗位的能力需求,明确课程目标定位,将1+X证书内容融入课堂教学中,实现理论和技能知识的可持续更新,培养高质量的网络安全应用型人才。实践中要注意,基于项目化的课程重构,是将实际项目融入理实一体化的课堂教学中,而不是利用课后探索、研发项目学习内容。重构的目的在于将原书本专业知识分解、整合优化为基于项目的学习内容,这些项目往往为实际企业生产环境中出现的问题或是任务驱动型。将学生生活中的经验与专业知识相结合,更适于网络安全技术知识的实际应用。项目化教学要求教师要先深入研究实训项目,课前需准备好项目中的各理论、技能知识点,可结合小组合作学习等方式开展。理论知识注重讲练结合,利用1+X网络安全学习平台将理论知识讲解、案例演示有机结合,提高授课的效率。为提高学生的学习能力,可对课程理论知识进行详细划分,一些简易的内容,可融入项目中交给学生,项目汇报展示时分小组上台讲解知识点,由教师进行总结扩展。实践教学注重实际应用,利用1+X场景仿真实训平台,引导学生在模拟的网络空间安全问题场景内对解决方案进行模拟验证,依据验证结果再对方案进行修改、完善,进一步培养学生的创新开发能力,完成1+X考核要求,实现课证融通。

3结语

高职网络安全课程教学过程中存在学生学习能力不足、教师缺乏实战能力、内容更新之后等问题,本章结合高职网络安全教学的实际情况,结合1+X证书制度,重新构建项目化的教学体系,利用校企合作双师培养、1+X信息化资源平台利用等策略,实践育人,提高学生对课程学习的兴趣、主观能动下、解决实际安全问题的能力。

参考文献

[1]李冬.高职计算机网络专业课程群建设[J].职业技术教育,2005,26(01):45-47.

[2]俞研,兰少华.计算机网络安全课程教学的探索与研究[J].计算机教育,2008(18):127-128.

篇8

去年12月底,美国就对朝鲜进行了全面的网络攻击,使得朝鲜全国网络瘫痪了2天。美国组建了网络战联合功能构成司令部,拥有约9万名安全研究军人,日本于2011年建立网络空间防卫队,投资了约70亿日元负责安全项目。在和平时代,网络的攻防成为国家间没有硝烟的战场。

正式以法律的角度来确保我国的军事安全、科技安全领域:在维护国家安全的任务方面,新法要求,国家加强自主创新能力建设,加快发展自主可控的战略高新技术和重要领域核心关键技术,加强知识产权的运用、保护和科技保密能力建设,保障重大技术和工程的安全。

国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。

IT安全是国家战略安全的制高点:当代社会已经进入数字社会,互联网开始连接一切,构成互联网时代的基础则是各种通讯设备和系统应用软件,信息安全是国家安全的重中之重,保障互联网安全,保障IT信息产业安全将是重头戏。

在互联网的时代,IT产业国产化的进程不可逆转。加大IT安全有两条路径,即防护和自身系统国产化。前者需要加大对防火墙、攻防产品的投入;后者则是加大系统的国产化率,做到自主可控。

网络安全法人大二次审稿结束,政策依然密集支持:现在法律已经落地,那么以前各个部门、领域的临时网络安全措施便有了法律依据,从投资逻辑上我们具体可以关注三条线:软件自主可控,硬件自主可控以及系统自主可控,软件自主可控表现在架构上,更多的使用云计算架构替代传统国外巨头的软件设施;硬件上来看,从芯片、服务器、网络安全设备等等,开始对国外设备进行替代;从系统自主可控,更多的以具有保密资质的国内企业来完成以往国外公司招标的系统。

篇9

关键词:软件工程;网络安全;教学改革

中图分类号:G642文献标识码:A文章编号:1009-3044(2010)08-1934-02

The Design and Implement of the Basis of Computer Applications

YU Ying, DENG Song, WANG Ying-long

(Department of Software, Jiangxi Agricultural University, Nanchang 330045, China)

Abstract: In order toenhance the student's applicational ability, This paper talk about the reform of network security course from such aspects as teaching materials, teaching management, teaching method, practice step and improving the ability of student.

Key words: software engineering; network security; educational reform

近年来,我院围绕软件工程专业面向软件产业培养高素质应用型软件工程人才这个定位,不断探索新的培养理念、培养模式,调整课程体系和教学目标、改革教学方法和教学手段。本文结合我院人才培养的改革与实践,探讨“网络安全”课程教学改革。

“网络安全”是我院软件工程专业网络工程方向的一门方向专业课,在专业课程中占据很重的分量。“网络安全”是一门综合性很强的课程,涉及的知识包括计算机科学、网络技术、通信技术、密码技术、信息安全技术、数论、信息论等多门学科。根据培养应用型人才这个目标,我们将授课目标定位在培养掌握网络安全的基础概念合理论,了解计算机网络潜在安全问题,掌握常用的计算机网络安全技术,增强学生的安全意识以及对安全问题的分析和处理能力,能在实际生活和工作中解决某些具体安全问题的应用型人才。因此,软件工程专业“网络安全”课程不能与计算机专业开设的网络安全课程一样,着重基础理论教学。如何进行软件工程专业下的“网络安全”课程教学改革,加强学生实践动手能力的培养突出应用能力的培养,使之符合软件工程专业强调学生动手实践能力的特点是本文要探讨的内容。

1 合理组织教学内容,适应教学要求

“网络安全”课程覆盖知识面广泛,学生不可能在有限的时间内掌握所有的安全技术,根据确定的课程目标,针对培养应用型人才的需要,确定本课程教学内容包括计算机网络安全基础理论(网络安全体系结构、网络安全评估标准、网络安全协议基础)、网络安全攻击技术(网络扫描、网络监听、攻击类型)、网络安全防御技术(数据加密认证技术、防火墙、入侵检测、操作系统安全配置方案)、网络安全综合解决方案四个部分。在课程选择上从传统的偏重网络安全理论的介绍,转变为比较实用的新型技术的学习,突出应用能力的培养。

由于目前没有专门针对软件工程专业的网络安全教材,通用的网络安全教材一般着重就介绍网络安全理论与常用网络攻防技术。知识点孤立、分散,没有形成一个完整的体系。很少有教材综合多个知识点结合案例进行讲解分析,而且教材中关于网络安全综合解决方案的内容很简单,篇幅也很少,不适合培养应用型人才的需要。为了解决这个问题,我们整合多本教材作为授课教材。在授课内容的组织上,重新调整次序,将前三部分内容穿插在综合解决方案里,保证授课内容包含教学大纲要求掌握的所有知识点。

在教学大纲编写上,我们改变以往“网络安全”课程单独制定大纲的方式,将本课程和其它网络相关课程一起按课程模块统一制定大纲,使得教学内容的总体布局更加科学合理。例如,网络安全协议――TCP/IP协议簇安排在“TCP/IP协议原理及应用”课程中重点讲解,防火墙及IDS的配置安排在“网络设备”课程中讲解,避免出现知识盲点和教学内容重复现象。

2 改进教学方法,激发学生学习兴趣

采用以案例教学为主,理论教学为辅的方法。围绕解决企业安全问题这条主线,把课程内容分为发现安全问题、分析安全问题、解决安全问题3大部分,通过一个实际的案例(某大学校园网)贯穿始终,围绕着课程主线,逐步将知识点渗透。目前常见的攻击技术(口令攻击、木马、IP欺骗、拒绝服务攻击、会话劫持等)和防御技术(防火墙、入侵监测等)都可以在校园网中找到案例,因此将校园网安全问题作为案例讲解有一定的代表性。在案例中设计了各种常见的网络攻击的情景,通过实际情景引申出原理的讲解,原理依然采用多媒体设备进行课堂讲授,对于常见攻击要进行当堂演示,回放攻击过程,然后再讲解具体的防御措施和手段,并演示防御过程。采用这种授课方式使学生切实感受到各种安全问题的存在,加深对各种攻击技术和防御方法的理解,灵活掌握各种防御技术的应用。通过一个完整案例的分析讲解,使各个知识点不再孤立,而是形成一个整体,与现实中各种网络安全综合解决过程相符。每个部分中各知识点均配有其它案例作补充,例如常见网络攻击技术均设计有相关案例讲解分析,而且根据网络安全最新技术,每年调整案例内容。

在教学过程中转变传统的“填鸭式”教学为启发式教学,让学生以企业安全顾问的角色对企业的运行过程及网络架构进行诊断,找出问题并提出解决方案和整改措施,最后要学生根据所学知识完成二次案例设计。实际的案例讨论和应用将理论与实际完全结合起来,既有逻辑性,也有趣味性。学生全方位参与教学过程,充分调动了学生的学习积极性,引导学生发现问题,解决问题,培养学生动手的能力,激发学生的学习主动性。

3 加强实践教学,提高动手能力

网络安全是实践性非常强的课程,光说不练不行。本课程实验教学最初分为基础验证型和综合设计型两个层次。实验内容涵盖了网络攻击技术、访问控制技术、防火墙技术、入侵检测技术等。为了加强学生专业创新能力和应用能力的培养,在原有两个层次之上增加一个研究创新型实验,调整为3个层次,并加大后面层次的比重。

基础验证实验内容与理论课内容相衔接,且相对固定。包括网络扫描、网络监听、DES算法实现、程序实现简单IDS、口令攻击、木马攻击、拒绝服务攻击等。通过基础实验帮助学生掌握密码学算法实现,网络安全设备配置,并让学生体验网络攻击防御的全过程。本类型实验安排在每个理论知识点讲解后进行。

综合设计实验锻炼学生综合运用网络安全知识解决问题的能力,在真实网络环境中,将学生分成两组,一组学生发现网络存在的安全漏洞并进行攻击,另一组对发现的攻击行为进行分析,确定攻击类型并采取相应的措施,一遍攻防实验结束后再轮换。该类型实验主要通过课程实训、实习基地实战训练等方式实现,要求学生综合运用所学网络安全知识,提高解决具体问题的能力,培养整体安全意识。该类型实验安排在理论课完成后,集中一周或两周进行;

研究创新实验要求学生利用学过的知识和积累的经验,针对创新课题提出有创意的设计并加以实现。该层次实验主要通过创新课题研究、毕业设计与毕业论文、竞赛项目、兴趣小组等方式实现。内容来源于教师的科研项目、学生的自主科研选题、社会实践活动和企事业应用需求,实验内容每年都在更新。

4 注重能力培养,提高学生综合素质

近年来,我院从应用型人才标准出发认真研究了国内外各高校软件工程专业人才培养模式,办学经验,认识到软件工程教育不仅要使我们的学生掌握专业相关知识、系统分析和设计能力、科学分析方法、工程思维能力。还必须具备良好的学习能力、语言表达能力、沟通能力和团队协作能力等。因此,在我们进行教学改革时,要把对学生能力的培养和课程的学习融合起来。在“网络安全”课程的教学活动中,为了培养学生的能力,我们做了以下几方面工作。

以项目为载体,将学生的基础知识学习和综合能力训练、扎实的课程学习和广泛的探索兴趣结合起来,引导学生养成终身学习的习惯,培养工程思维方式以及系统分析设计能力。在实验过程中,注重学生主观能动意识的培养。

将合作性实验模式引入实验教学,通过合作,培养了学生的团队意识、和同学、老师的交流沟通能力,提高学生的综合素质,培养创新意识和能力。

开设《大学语文》、《思想道德修养》等课程增强学生良好的职业道德和责任感的培养,提高人文素质。

5 结束语

随着网络安全形势的日益严峻,《网络安全》课程成为热点课程,且随着攻防对抗不断升级,新技术不断产生,课程内容也不断变化,这些给我们的教学工作带来难度。如何设计深浅适宜,符合应用型人才培养目标的授课内容、如何把抽象的理论变成学生易懂的知识,要需要在以后的教学实践中进行不断的总结和提高。

参考文献:

[1] 骆斌,赵志宏,邵栋.软件工程专业工程化实践教学体系的构建与实施[J].计算机教育,2005(4):25-28.

篇10

关键词:信息中心;安全;原因;优化

中图分类号:TP393.18 文献标识码:A 文章编号:1674-7712 (2013) 20-0000-01

学校信息中心肩负着保障整个校园计算机与校园网络可靠运行的重任。在计算机与网络维护的工作中,我们经常发现威胁网络安全的风险因素,只有认清并掌握这些网络安全问题,并及时采取防范优化策略才能保障整个校园网络的正常运转。

一、学校信息中心发现的主要网络安全问题

(一)软件漏洞带来的安全威胁

现阶段网络信息化已经普及到各大高校,一个校园各项教学与管理任务的正常运转要依靠各类软件系统的支撑。例如,辽宁某大学的教师教务与学生成绩的管理,图书馆的借阅图书管理,财务部门的学生学费缴纳管理,学校后勤部门的管理等等,都开始应用了系统的管理系统软件。而类似这些软件在开发与设计当中难免会遗留一些问题,在加上每个学校形势每天都在变化,软件的升级与维护工作又不能够及时的跟进,这就让很多病毒与木马有大量的机会来入侵和攻击这些校园管理系统软件。软件携带进校园网络的病毒还具有一定的扩散性,如不加以控制将迅速蔓延至整个校园网络。

(二)硬件设置与设备上的安全威胁

以计算机、服务器以及路由器和交换机、还有各类移动设备和网线等硬件设备等都是校园网络系统得以运转和实施的重要载体。这些硬件设备在设置上往往忽略了安全密码的设置,或者设置的密码安全等级低、还有的学校从应用这些设备以来都没有对密码进行过更换,一直使用设备出厂设置的最初的初始密码。这就造成了黑客在硬件设置上找到了漏洞,将病毒通过漏洞携带进校园网络。有些校园的计算机还设置了可以远程协助等功能,黑客会通过远程对该计算机进行控制[1]。再有,很多学校也忽视了对诸如双绞线、光缆、服务器以及UPS电源等硬件设备的维护。例如,没有对这些硬件设备进行防水、防火方面的保护,没有采取恰当的抗震措施;也有的学校忽略了设备的防磁干扰防护等等。以上,都属于硬件设置与设备维护上构成的校园网络安全风险威胁。

(三)校园内部对网络资源的滥用

校园网络对于带宽的需求已经超过了我国不断更新的带宽增长速度。即使千兆级的带宽网络被应用到校园网络上,还是不能够满足广大师生对于网络带宽的需求。主要是因为下载教学软件与视频的用户不断增多,甚至有些学生过分利用校园网络资源,例如大量下载电影、电视剧等,每天大量下载任务的加剧造成了网络资源不断被占用,甚至会影响到正常教学管理系统任务的执行效率。而在下载过程中各类病毒也很容易入侵进校园网络,这些校园内部网络资源的滥用都构成了对校园网络安全的威胁。

二、校园网络安全问题频发的原因

校园网络安全问题频发的原因是多方造成的。首先是校园管理与日常办公软件系统的应用越来越多,教师与学生们对邮件、网页、游戏、博客、QQ等软件的使用率愈来愈高,这些系统应用的频繁都增加了网络系统安全的风险指数。例如,常常见到的网速慢、网页不能正常打开与关闭、计算机蓝屏、系统用户被篡改、甚至有些教学应用数据被修改等现象常有发生,极大的影响了学校教学秩序的顺畅进行。其次,学校信息中心的管理者技术水平参差不齐,有的没有接受过系统的网络维护与病毒防范知识培训,网络安全意识薄弱,认为一些杀毒软件与木马防范程序的安装可有可无等,这些都造成了对网络安全维护工作的忽视,让病毒有可乘之机,威胁校园网络正常运转。此外,一些黑客的技术手段也愈加高明,风险因素随时可能爆发,病毒和木马的不断更新也对校园网络安全造成了不小的威胁。

三、防范优化学校网络安全的重要策略

(一)加强防火墙与漏洞扫描,维护软件系统安全

校园信息中心的网络管理人员要注意在每台计算机上安装IP地址检测、病毒检测软件。防火墙的安装也必不可少。特别要注重对软件漏洞的扫描,可以利用360安全杀毒软件或者金山毒霸软件的漏洞扫描功能,及时查找网络系统的漏洞并进行补丁修补。此外,要定期对计算机的内存、垃圾软件等进行清理,让计算机能够高效的运行[2]。软件登录时注意口令与密码的核对,注意用户身份的认证。对于软件系统的维护上,要注重软件定期运行状况的监测,及时对软件进行升级处理[3]。如果校园应用软件被黑客攻击与控制,要有相应的应急补救措施。

(二)做好硬件配套设施的维护,保障硬件系统安全

学校信息中心在采购网络设备诸如计算机、服务器、USB移动设备、路由器和交换器时,一定要注意检查设备的质量,保障其功能与性能良好。在校园网络应用中,也要对相应的硬件进行安全设置,密码登记要高,尽量避免密码等级低带来的不安全风险。在计算机上尽量不要允许远程控制,杜绝黑客控制。在设备的防火、防潮、防磁与防震方面也要多加注意,避免因火灾、潮湿、磁干扰和震动带来的硬件系统风险。

(三)规范校园网络使用规定,避免网络资源的滥用

学校应该加强网络安全使用方面的规定,加强信息中心网络维护人员的管理与培训[4]。对于学生占用网络资源进行的电影、视频、电视剧等的下载量要进行控制,对于教学软件与P2P软件的带宽的合理分配等都要进行合理的规定,对于教学软件与QQ或者游戏的带宽占用要以教学软件优先,保障正常教学任务的优先进行。杜绝学生在网络应用中对不良网站的浏览、强化绿色网络环境的建设[5]。

四、结语

校园信息网络对于各项教学与管理工作的顺利进行提供着较为高效的平台,我们在对其利用的过程中要避免资源浪费,意识到网络安全问题的存在并积极采取防范与优化的策略,让其更好地为广大师生服务。

参考文献:

[1]李俊民.网络安全与黑客攻防宝典[M].电子工业出版社,2011:87.

[2]俞朝晖,王,赵怡程.系统防护、网络安全与黑客攻防实用宝典[M].中国铁道出版社,2013:35-41.

[3]刘莹.计算机信息网络安全技术和防范措施探析[J].中国科技博览,2013(16):72.

[4](美)康维,著.田果,刘丹宁,译.网络安全体系结构[M].人民邮电出版社,2013:22-25.