發布時間:2022-10-19 01:04:24
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的信息安全技術論文樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
關鍵詞:稅收信息化;信息狀態安全;信息轉移安全;信息安全技術
從三個方面來考慮:首先是信息狀態安全,即稅務系統安全,要防止稅務系統中心的數據被攻擊者破壞。稅務系統要通過Internet對納稅人提供納稅便利,必須以一定的方式將它的數據中心開放,這對稅務系統本身帶來了很大的風險。其次是信息轉移安全,即服務安全,如納稅人識別號、口令、納稅金額等在傳輸中不被冒用、泄露和篡改。再次是安全管理制度,即使用安全,保證稅務人員正確、安全的使用。本文主要針對以上前兩個方面也就是信息安全技術進行研究。
一、信息狀態安全技術
信息狀態安全主要包括系統主機服務器安全、操作系統安全和數據庫安全三個方面。
(一)系統主機服務器安全(ServerSecurity)
服務器是存儲數據、處理請求的核心,因此服務器的安全性尤為重要。服務器的安全性主要涉及到服務器硬件設備自身的安全性防護,對非法接觸服務器配件具有一定的保護措施,比如加鎖或密碼開關設置等;同時,服務器需要支持大數據量及多線程存儲矩陣以滿足大數據量訪問的實時性和穩定性,不會因為大量的訪問導致服務器崩潰;服務器要能夠支持基于硬件的磁盤陣列功能,支持磁盤及磁帶的系統、數據備份功能,使得安裝在服務器上的操作系統和數據庫能夠在災難后得到備份恢復,保證服務器的不間斷運行;服務器設備配件的高質量及運行可靠性也是服務器安全的非常重要的一個方面,這直接關系到服務器不間斷運行的時間和網絡數據訪問的效率。
(二)操作系統安全(OperatingSystemSecurity)
設置操作系統就像為構筑安全防范體系打好“地基”。
1.自主訪問控制(DiscretionaryAccessControl,DAC)。自主訪問控制是基于對主體(Subject)或主體所屬的主體組的識別來限制對客體(Object)的訪問。為實現完備的自主訪問控制,由訪問控制矩陣提供的信息必須以某種形式保存在稅務操作系統中。訪問控制矩陣中的每行表示一個主體,每列表示一個受保護的客體,矩陣中的元素表示主體可對客體的訪問模式。以基于行的自主訪問控制方法為例。它是在每個主體上都附加一個該主體可訪問的客體的明細表,根據表中信息的不同可分為三種形式:(1)權力表(CapabilitiesList),它決定是否可對客體進行訪問以及可進行何種模式的訪問。(2)前綴表(PrefixList),它包括受保護客體名以及主體對客體的訪問權。(3)口令(Password),主體對客體進行訪問前,必須向稅務操作系統提供該客體的口令。對于口令的使用,建議實行相互制約式的雙人共管系統口令。
2.強制訪問控制(MandatoryAccessControl,MAC)。鑒于自主訪問控制不能有效的抵抗計算機病毒的攻擊,這就需要利用強制訪問控制來采取更強有力的訪問控制手段。在強制訪問控制中,稅務系統對主體和客體都分配一個特殊的一般不能更改的安全屬性,系統通過比較主體與客體的安全屬性來決定一個主體是否能夠訪問某個客體。稅務系統一般可采取兩種強制措施:(1)限制訪問控制的靈活性。用戶修改訪問控制信息的唯一途徑是請求一個特權系統的功能調用,該功能依據用戶終端輸入的信息而不是靠另一個程序提供的信息來修改訪問控制信息。在確信用戶自己不會泄露文件的前提下,用這種方法可以消除偷改訪問控制信息的計算機病毒的威脅。(2)限制編程。鑒于稅務系統僅需要進行事務處理,不需要任何編程的能力,可將用于應用開發的計算機系統分離出去,完全消除用戶的編程能力。
3.安全核技術(SecurityKernelTechnology)。安全核是構造高度安全的操作系統最常用的技術。該技術的理論基礎是:將與安全有關的軟件隔離在操作系統的一個可信核內,而操作系統的大部分軟件無須負責系統安全。稅務系統安全核技術要滿足三個原則:(1)完備性(Completeness),要求使主體必須通過引進監控器才能對客體進行訪問操作,并使硬件支持基于安全核的系統。(2)隔離性(Isolation),要求將安全核與外部系統很好的隔離起來,以防止進程對安全核的非法修改。(3)可驗證性(Verifiability),要求無論采用什么方法構造安全核,都必須保證對它的正確性可以進行某種驗證。
其他常見措施還有:信息加密、數字簽名、審計等,這些技術方法在數據庫安全等方面也可廣泛應用,我們將在下面介紹。
(三)數據庫安全(DatabaseSecurity)
數據庫是信息化及很多應用系統的核心,其安全在整個信息系統中是最為關鍵的一環,所有的安全措施都是為了最終的數據庫上的數據的安全性。另外,根據稅務網絡信息系統中各種不同應用系統對各種機密、非機密信息訪問權限的要求,數據庫需要提供安全性控制的層次結構和有效的安全性控制策略。
數據庫的安全性主要是依靠分層解決的,它的安全措施也是一級一級層層設置的,真正做到了層層設防。第一層應該是注冊和用戶許可,保護對服務器的基本存取;第二層是存取控制,對不同用戶設定不同的權限,使數據庫得到最大限度的保護;第三層是增加限制數據存取的視圖和存儲過程,在數據庫與用戶之間建立一道屏障。基于上述數據庫層次結構的安全體系,稅務網絡信息系統需要設置對機密和非機密數據的訪問控制:(1)驗證(Authentication),保證只有授權的合法用戶才能注冊和訪問;(2)授權(Authorization),對不同的用戶訪問數據庫授予不同的權限;(3)審計(Auditing),對涉及數據庫安全的操作做一個完整的記錄,以備有違反數據庫安全規則的事件發生后能夠有效追查,再結合以報警(Alert)功能,將達到更好的效果。還可以使用數據庫本身提供的視圖和存儲過程對數據庫中的其他對象進行權限設定,這樣用戶只能取得對視圖和存儲過程的授權,而無法訪問底層表。視圖可以限制底層表的可見列,從而限制用戶能查詢的數據列的種類。二、信息轉移安全技術
信息轉移安全即網絡安全。為了達到保證網絡系統安全性的目的,安全系統應具有身份認證(IdentificationandAuthentication);訪問控制(AccessControl);可記賬性(Accountability);對象重用(ObjectReuse);精確性(Accuracy);服務可用性(AvailabilityofServices)等功能。
1.防火墻技術(FirewallTechnology)
為保證信息安全,防止稅務系統數據受到破壞,常用防火墻來阻擋外界對稅務局數據中心的非法入侵。所謂防火墻,是一類防范措施的總稱,是指在受保護的企業內聯網與對公眾開放的網絡(如Internet)之間設立一道屏障,對所有要進入內聯網的信息進行分析或對訪問用戶進行認證,防止有害信息和來自外部的非法入侵進入受保護網,并且阻止內聯網本身某個節點上發生的非法操作以及有害數據向外部擴散,從而保護內部系統的安全。防火墻的實質是實施過濾技術的軟件防范措施。防火墻可以分為不同類型,最常見的有基于路由器的IP層防火墻和基于主機的應用層防火墻。兩種防火墻各有千秋,IP層防火墻對用戶透明性好,應用層防火墻具有更大的靈活性和安全性。實踐中只要有資金許可,常常將兩種防火墻結合使用,以互相補充,確保網絡的安全。另外,還有專門用于過濾病毒的病毒防火墻,隨時為用戶查殺病毒,保護系統。
2.信息加密技術(InformationEncryptionTechnology)
信息加密包括密碼設計、密碼分析、密鑰管理、驗證等內容。利用加密技術可以把某些重要信息或數據從明文形式轉換成密文形式,經過線路傳送,到達目的端用戶再把密文還原成明文。對數據進行加密是防止信息泄露的有效手段。適當的增加密鑰的長度和更先進的密鑰算法,可以使破譯的難度大大增加。具體有兩種加密方式:(1)私鑰加密體制(Secret-keyCryptography),即加密與解密時使用相同的密碼。私鑰加密體制包括分組密碼和序列密碼兩種。分組密碼把明文符號按固定大小進行分組,然后逐組加密。而序列密碼把明文符號立即轉換為密文符號,運算速度更快,安全性更高。(2)公鑰加密體制(Public-keyCryptography),其加密密鑰與解密密鑰分為兩個不同的密鑰,一個用于對信息的加密,另一個用于對已加密信息的解密。這兩個密鑰是一對互相依賴的密鑰。
在傳輸過程中,只有稅務系統和認證中心(AuthenticationCenter,AC)才有稅務系統的公開密鑰,只有納稅人和認證中心才有納稅人的公開密鑰,在這種情況下,即使其他人得到了經過加密后雙方的私有密鑰,也因為無法進行解密而保證了私有密鑰的重要性,從而保證了傳輸文件的安全性。
3.信息認證技術(InformationAuthenticationTechnology)
數字簽名技術(DigitalSignatureTechnology)。數字簽名可以證實信息發送者的身份以及信息的真實性,它具備不可偽造性、真實性、不可更改性和不可重復性四大特征。數字簽名是通過密碼算法對數據進行加密、解密交換實現的,其主要方式是:信息發送方首先通過運行散列函數,生成一個欲發送報文的信息摘要,然后用所持有的私鑰對這個信息的摘要進行加密以形成發送方的數字簽名,這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。接收方在接收到信息后,首先運行和發送方相同的散列函數生成接收報文的信息摘要,然后再用發送方的公開密鑰對報文所附的數字簽名進行解密,產生原始報文的信息摘要,通過比較兩個信息摘要是否相同就可以確認發送方和報文的正確性。
完整性認證(IntegrityAuthentication)。完整性認證能夠使既定的接收者檢驗接收到的信息是否真實。常用的方法是:信息發送者在信息中加入一個認證碼,經加密后發送給接收者檢驗,接收者利用約定的算法對解密后的信息進行運算,將得到的認證碼與收到的認證碼進行比較,若兩者相等,則接收,否則拒絕接收。
4.防病毒技術(Anti-virusTechnology)
病毒防范是計算機安全中最常見也是最容易被忽視的一環。我們建議采用由單機防毒和網絡防毒同時使用的這種防病毒措施,來最大限度地加強網絡端到端的防病毒架構,再加上防病毒制度與措施,就構成了一套完整的防病毒體系。
參考文獻:
[1]楊懷則.稅收信息化建設存在的問題及建議[J].草原稅務,2002,(12):31-32.
[2]AndrewS.Tanenbaum,“ModernOperatingSystems”,PrenticeHall,1992.
[3]滕至陽.現代操作系統教程[M].北京:高等教育出版社,2000.
[4]陸楠.現代網絡技術[M].西安:西安電子科技大學出版社,2003.
【關鍵詞】電力自動化;通信技術;信息安全
電力行業在國民經濟中占主導地位,近幾年,憑借科技不斷發展,電力行業正日益向自動化方向邁進。通信技術在電力自動化中起到了舉足輕重的作用,但其涉及到的信息安全問題卻關系到供電穩定性與安全性。因此,強化對信息安全方面的探究,找出現階段存在的問題,采取有效防護措施予以處理和加強,是具有重要作用與現實意義的。
1信息安全防護范圍與重點
某城區通信網的主要任務為對市區內22座變電所提供縱向通信,所有通信網均采用光纖通信電路,根據方向的不同,可分成東部與西部兩部分。其中,東部采用ATM網絡,設備選擇為Passport6400;西部采用IP+SDH交換機網絡,設備選擇為Accelar1100與150ASDH。該市區通信網負責縣級調度與少數樞紐變電所通信,主要采用自帶兩類適配端口的設備。在通信網中,信息安全防護范圍為整個信息通信網,主要防御對象為黑客或病毒等經過調度數據網絡與實時監控系統等主動發起的攻擊與破壞,確保傳輸層上的調度數據網絡與實時監控系統可靠、穩定、安全運行。
2安全防護原則分析
電力調度數據網絡與實時監控系統在實際運行過程中各個變電所和調度通信中心之間存在若干條縱向通信,根據相關規定,在系統總體技術層面上主要提出以兩個隔離為核心的安全防護基本原則。其中,涉及通信隔離的基本原則可總結為以下幾點:(1)為確保調度數據網運行安全,網絡需要在通道上借助專用網絡的設備組網,并采取同步數字序列或準同步數字序列,完成公用信息網絡及物理層面上的有效安全隔離;(2)根據電力系統信息安全防護技術路線明確的有關安全防護區涉及的幾項基本原則,為所有安全防護區當中的局域網均提供一個經過ATM配置的虛擬通信電路或者是經過同步數字序列配置的通信電路,采取這樣的方式為各個安全等級提供有效的隔離保護[1]。
3通信網絡的安全分析
根據上述目標要求與基本原則,通信網必須向不同的應用層提供具有良好安全性的傳輸電路,即VirtualPrivateNet-work,虛擬專用網絡,其原理如圖1所示。該市區已經完成了各項初步設計工作,具備充足的條件嚴格按照目標要求與基本原則開展后續工作。在現有通信網的ATM系統中,根據實時要求或非實時要求,已完成對四個安全區的有效劃分,每一個安全區都可以配置虛電路,因虛電路的端口主要適配于ATM系統的適配層,借助ATM系統的信元完成信息傳輸,各個虛電路的內部連接屬于典型的端與端物理式連接,不同虛電路之間不涉及橫向上的通信,并且與外界也不存在通信聯系。因此,對于通信網絡的ATM系統而言,其在虛擬專用網絡方面的虛電路之間主要為物理隔離,不同區的虛擬專用網絡傳輸具備良好的安全性。對1100IP交換機系統而言,它需要承擔不少于四個區的實時業務通信,因為這些業務通信區在所有站上都采用交換機完成傳輸與匯接,不同區之間僅僅是根據IP地址方面的差異而進行劃分,形成各自的VLAN(VirtualLocalAreaNetwork,虛擬局域網),區之間并未完成原則上要求的物理隔離,作為虛擬專用網絡主要傳輸鏈路,無法滿足其在專用局域網方面的基本要求[2]。根據上述分析結果可以看出,該城區通信網絡將ATM視作虛擬專用網絡的信息傳輸鏈路基本滿足安全性要求,但交換機實際傳輸與匯接卻存在不同程度的安全隱患,違背了安全防護方面提出的各項基本要求,為了從本質上確保通信網絡安全,必須對此予以有效改造,可采取如下改造方案:充分利用西部系統現有電路,增設2M/10M適配設備,借助同步數字體系為所有安全區構建透傳電路,在中心站集中交換機,每個安全區都配置一個交換機,以此達到“一區一網”的根本目標,即一個安全區配置一個虛擬專用網絡。
4安全防護技術手段
該城區設置的電力信息通信網本質上屬于專門為電力系統提供服務的通信網絡,其自身作用較為單一,僅為信息中心和調度通信中心與各個變電所間的通信,根據安全防護提出的各項基本原則,充分考慮現階段網絡基本狀況,可實施采取以下技術手段:(1)切斷與外界之間的直接通信,確保系統和外界不存在直接通信關系;(2)采用同步數字體系向所有安全防護區提供專用電路,同時采用速率適配裝置等實現和業務端之間的連接;而不同業務端之間則可以使用點與點的方式進行通信,以此滿足安全防護區以內通信業務方面的縱向通信要求。由同步數字體系設置的專用電路通常不會產生橫向通信[3];(3)由ATM系統向所有安全防護區提供虛電路,以此構成一個完整的虛擬專用網絡,并確保不同虛擬專用網絡間沒有產生橫向通信的可能;(4)城區整體電力信息通信網與市縣級通信網在完全相同的安全防護網中構成相同的虛擬專用網絡。
5總結
(1)根據電力系統信息安全防護明確的防護范圍與各項圖1虛擬專用網絡基本原理低碳技術基本原則,對某城區所用通信網潛在的各類安全問題進行深入分析,并結合現階段實際發展要求,提出一系列技術手段,為制定合理、有效的處理方案提供依據。(2)該城區電力信息通信網本質上屬于一個具有封閉性特點的單一用途通信網絡,可實現與外部間的完全隔離以及系統內部電路之間的相互隔離,其具備的安全防護能力可以很好的滿足系統安全運行要求。然而,考慮到系統安全防護水平的提高必然會引起相關要求的改變,因此以上結論僅限當前水平。
作者:周建新 單位:國網湖南省電力公司沅江供電分公司
參考文獻
[1]程雪.電力自動化通信技術中的信息安全及應用[J].網絡安全技術與應用,2014(12):46+48.
論文摘要:網絡安全的根本目的是防止通過計算機網絡傳輸的信息被非法使用。信息和數據安全的范圍要比計算機安全和網絡安全更為廣泛,它包括了信息系統中從信息的產生直到信息的應用這一全部過程。密碼技術是保護計算機信息安全的主要手段之一,使用密碼技術可以保證信息的機密性,還可以保證信息的完整性和確定性,防止信息被篡改、偽造和假冒。
論文關鍵詞:網絡;信息安全;密碼技術
計算機網絡信息安全的兩個基本需求是保密性和完整性。密碼技術是網絡安全通信的基礎,通過對通信內容進行加密變換,使未授權者不能理解其真實含義,以防止竊聽等被動性攻擊,保證信息的保密性;應用密碼體制的認證機制,可以防止篡改、意外破壞等對傳輸信息的主動性攻擊,以維護數據的完整性。保密和認證是信息系統安全的兩個重要方面,但是認證不能自動提供保密性,而保密也不能提供認證機制。密碼設計的基本思想是偽裝信息,使未授權者不能理解它的真正含義,未隱藏的信息稱為明文(Plaintext),偽裝后的信息稱為密文(Ciphetrext)。構成一個密碼體制的兩個基本要素是密碼算法和密鑰(Key)。在設計密碼系統時,總是假定密碼算法是公開的,真正需要保密的是密鑰。
基于密碼技術的訪問控制是防止數據傳輸泄密的主要防護手段。訪問控制的類型可分為兩類:初始保護和持續保護。初始保護只在入口處檢查存取控制權限,一旦被獲準,則此后的一切操作都不在安全機制控制之下。防火墻提供的就是初如保護。連續保護指在網絡中的入口及數據傳輸過程中都受到存取權限的檢查,這是為了防止監聽、重發和篡改鏈路上的數據來竊取對主機的存取控制。由于網絡是一個開放式系統,使得加密變得不僅對于E—mail,而且對于網絡通信都很重要。
l電子郵件安全與PGP
PGP是由美國的PhilpZimmermann設計的一種電子郵件安全軟件,目前已在網絡上廣泛傳播,擁有眾多的用戶。PGP是一個免費軟件,并且其設計思想和程序源代碼都公開,經過不斷的改進,其安全性逐漸為人們所依賴。
PGP在電子郵件發送之前對郵件文本進行加密,由于一般是離線工作,所以也可以對文件等其他信息進行加密。PGP中采用了公鑰和對稱密碼技術和單向Hash函數,它實現的安全機制有:數字簽名、密鑰管理、加密和完整性,它主要為電子郵件提供以下安全服務:保密性;信息來源證明;信息完整性;信息來源的無法否認。
PGP采用密文反饋(CFB)模式的IDEA對信息進行加密,每次加密都產生一個臨時128比特的隨機加密密鑰,用這個隨機密鑰和IDEA算法加密信息,然后PGP還要利用RSA算法和收信人的公開密鑰對該隨機加密密鑰進行加密保護。收信人在收到加密過的電子郵件后,首先用自己的RSA私有密鑰解密出IDEA隨機加密密鑰,再用這個IDEA密鑰對電子郵件的內容進行解密。密鑰長度為128位的IDEA算法在加密速度和保密強度方面都比56位密鑰的DES算法要好,而且PGP采用的CFB模式的IDEA,更增強了它的抗密碼分析能力。另外由于每次加密郵件內容的密鑰是臨時隨機產生的即使破譯了一個郵件,也不會對其他郵件造成威脅。PGP的基本操作模式是用IDEA作為信息加密算法,它可以提高加密、解密速度和增強保密性,同時對較短的隨機密鑰用較慢的RSA算法進行保護,以方便密鑰管理。
PGP數字簽名采用了MD5單向Hash函數和RSA公鑰密碼算法。要創建一個數字簽名,首先要用MD5算法生成信息的認證碼(MAC),再用發信人的RSA私有密鑰對此MAC進行加密,最后將加密過的MAC附在信息后面。MAC值的產生和檢查就是PGP的完整性保護機制。
PGP采用分散的認證管理,每個用戶的ID、RSA公開密鑰和此公開密鑰生成的時戳構成了這個用戶的身份證書。如果一個用戶獲得了一份被他所信任的朋友或機構簽名過的證書,他就可以信任這個證書并使用其中的公開密鑰與此證書的主人進行加密通信。如果愿意,他也可以對這份證書簽名使信任他的朋友也能信任和使用這份證書。PGP就是采用這種分散模式的公證機構傳遞對證書的信任,以實現信息來源的不可否認服務。
PGP的密鑰管理也是分散的,每個人產生自己的RSA公開密鑰和私有密鑰對。目前PGP的RSA密鑰和長度有3種普通級(384位)、商用級(512位)、軍用級(1024位)。長度越長,保密性越強,但加懈密速度也就越慢。
2WWW安全中的密碼技術
采用超文本鏈接和超文本傳輸協議(HTrP)技術的www是因特網上發展最為迅速的網絡信息服務技術,各種實際的因特網應用,如電子商務等大多數是以WWW技術為平臺,但是www上的安全問題也是非常嚴重的。目前,解決www安全的技術主要有兩種:安全套接字層SSL和安全HTYP協議。
2.1SSL
SSL是Netscape公司提出的建立在TCP/IP協議之上的提供客戶機和服務器雙方網絡應用通信的開放協議,它由SSL記錄協議和SSL握手協議組成,建立在應用層和傳輸層之間且獨立于應用層協議。和確定性。
SSL握手協議在SSL記錄協議發送數據之前建立安全機制,包括認證、數據加密和數據完整性。SSL握手協議開始的起點是客戶機知道服務器的公鑰,它通過服務器的公鑰加密向服務器傳送一個主密鑰,公鑰加密算法可以是RSA、Difife—Hellman或Fortezza—KEA。客戶機和服務器分別根據這個主密鑰計算出它們之間進行數據加密通信的一次性會話密鑰這樣會話密鑰就永遠不需要在通信信道上傳輸。客戶機和服務器使用這對會話密鑰在一個連接中按DES、RC2/RC4或IDEA算法進行數據加密,此連接用CONNECTION—ID和與此相關的會話密鑰作廢。所以每個連接都有不同的CONNECTION—ID和會話密鑰。由于主密鑰不直接參與加密數據,只在客戶機與服務器建立第一次連接時傳送(同時產生一個SESSION—ID),它的生存期與SESSION—ID有關。推薦的SESSION—ID在通信雙方的Cache(高速緩沖區)中保存的時間不大于100秒,這樣主密鑰被泄漏的機會很小。
SSL握手協議規定每次連接必須進行服務器認證,方法是客戶機向服務器發送一個挑戰數據,而服務器用本次連接雙方所共享的會話密鑰加密這個挑戰數據后送回客戶機。服務器也可以請求客戶機的認證,方法與服務器認證一樣。SSL記錄協議定義了SSL握手協議和應用層協議數據傳送的格式,并用MD2/MD5算法產生被封裝數據的MAC,以保證數據的完整性。
總之,SSL協議針對網絡連接的安全性,利用數據加密、完整換認證、公證機構等機制,實現了對等實體認證、連接的保密性、數據完整性、數據源點認證等安全服務。
2.2SHTTP
SHTTP是有EIT公司提出的增強GTTP安全的一種新協議,SHTTP定義了一個新方法secure和幾個新報文頭如Con—tent—Privacy—Domain、Content—Transfer—Encoding、Prearranged-Key—Info、Content—Type、Mac—info等。HTTP報文貝0以PKCS一7或PEM報文格式成為SHTI’P的報文體,從而獲得了這兩種安全增強型報文標準在數據加密、數字簽名、完整性等方面的保護。SHTrP還定義了新的I-I,TI’P報文頭、可重試的服務器狀態錯誤報告、新的HTML元素和Anchor屬性,使客戶機和服務器能夠通過對等的協商,在報文格式、認證方式、密鑰管理、簽名算法、加密算法和模式等方面達成一致,從而保證一次安全事務通信。
SHTIP所保護的是一次HTrP請求/應答協議的報文,而H,ITI’P連接是一種無狀態的連接,所以SHTI’P采用PKCS一7或PEM作為增強報文安全的主要手段。在數據加密方面,
SHTTP支持的對稱加密算法有DES、DESX、CDMF、IDEA和RC2。數字簽名算法有RSA和NIST的數字簽名標準(DSS),數據完整性保護采用RSA的MD2/MD5和NIST的安全Hash標準(SHS)。支持的認證類型為X.509,從而為H1TP的安全提供了對等實體認證\選擇字段的保密性、數據完整性、數據來源認證和防止否認等服務。
虛擬專用網絡技術是利用不同的方式來提升專用網絡安全性能的技術,這個技術的特點對于企業財務管理、企業信息通路和高校電子圖書館的管理有著十分重要的作用。而且虛擬專用網絡技術還具有高效簡化能力,優化了傳統模式中的資金使用量,還減少了專用線路的鋪設,使高難度的專業線路鋪設問題得以解決。虛擬專用網絡技術的建立減少了學校、企業和信息載體等各方面的費用支出,加之其設備十分簡單優化、設備要求低的優點,還具有良好的擴容性能,成為企業構建核心競爭力的強力技術軟實力。虛擬專用網絡技術所具有的各項優勢在當前信息化時代中有著極高的應用價值,其發展空間非常廣闊。
2虛擬專用網絡的主要技術
2.1隧道技術
隧道技術是虛擬網絡中最為重要的核心技術之一。主要是把網絡數據以數據包的形式進行傳播,完全穩固的網絡數據通道是不可能存在的。所以在網絡技術方面隧道技術就是將局域網數據包重新包裝的過程。在這一過程中需要將數據加載到數據包之中,保證重新封裝后的數據可以順利通過互聯網進行傳遞,所以將互聯網中的數據包進行編輯的過程就被稱為隧道技術。
2.2加密技術
加密技術是虛擬網絡中最為重要的核心技術之一。加密技術就是對隧道技術的一種保護,如若沒有加密技術,不良用戶則會截獲在虛擬專用網絡之中的數據包,盜取其中的數據內容,對數據傳輸者造成損失。因此加密技術成為虛擬專用網中與隧道技術同樣重要的一項技術,對于數據的保護不容有失。
2.3身份認證技術
身份認證技術是在虛擬專用網絡中較為常見的技術。是使用密碼認證和使用者名稱為驗證的一種技術,是相對簡單的認證。
2.4密鑰管理技術
密鑰管理技術是通過SKIP和ISAKMP所組成的,有效的保障了公用數據在互聯網中傳播的安全。SKIP通過對Diffie演算法則的利用,使密鑰在互聯網之中進行傳播;但是在ISAKMP之中,密鑰是具有公開性的。
3虛擬專用網絡技術在計算機網絡信息安全中的應用
3.1遠程分支部門和企業部門間的應用
企業虛擬局域網是部門間相互應用的統稱。通過互聯網將各地分支行企業的局域網連接,實現網絡中企業信息的安全共享,有利于企業的發展,拓展企業影響力。企業網絡信息得以優化提升。
3.2遠程員工和企業網間的應用
遠程員工與企業網之間的互動被稱為遠程訪問式虛擬專用網絡技術。主要用于采購人員和企業銷售在系統中傳入信息,共享給企業其他遠程員。具有低廉的構建成本與高效的安全性。
3.3企業和供應商以及企業合作伙伴、客戶間的應用
企業和供應商以及企業合作伙伴、客戶間需要共享很多信息,但是企業又不能將所有信息共享,所以虛擬專用網絡技術的應用就顯得十分重要。將供應商以及企業合作伙伴、客戶需要的數據放在共享文件之中,利用防火墻隔開保密信息,使得供應商以及企業合作伙伴、客戶可以訪問到有效信息,同時保護了企業內部信息。
4虛擬專用網絡技術在計算機網絡信息中的應用
現在傳統的計算機安全管理模式已經無法滿足當前的企業發展,嚴重脫離企業實際需求,因此需要將企業信息化管理精簡細化,突破傳統信息化管理的空間限制,將企業各部門的信息管理系統有機地連接起來,達到實現企業管理信息同步化的目標。經由虛擬專用網絡技術的應用管理,解決傳統空間的約束力,拓寬了信息通路問題。因此利用虛擬專用網絡技術可以有效、安全地進行企業的信息化管理。
5虛擬專用網絡技術發展趨勢
在寬帶技術與企業信息化不斷進步與發展的當今社會,虛擬專用網絡技術也隨之取得極大的發展空間,虛擬專用網絡技術隨著時間的前進不斷的成熟,其安全性、可靠性、穩定性也不斷的提升。隨著電信行業的日漸低迷,計算機網絡信息安全產品逐漸轉移到虛擬專用網絡技術之上,虛擬專用網絡技術成為新興產業的亮點,并且虛擬專用網絡技術在市場所占份額也逐步上升。虛擬專用網絡產品不斷匯集,現階段以有效結合防火墻的軟件虛擬專用網絡產品與復合型虛擬專用網絡設備為熱點。故此,在計算機網絡信息安全之中廣泛運用到虛擬專用網絡技術,并且在相當長的時間之內,虛擬專用網絡技術將會成為計算機網絡信息技術中的新熱點。
6結束語
新形勢下我國計算機網絡技術不斷地發展,給我們的社會生活帶來了極大地便利。但是,任何事物都有兩面性,計算機網絡技術也不例外,在運用計算機網絡技術的過程中也存在著很大的風險。如何在運用計算機網絡技術的過程中更好的趨利避害,使得計算機網絡可以給我們社會生活帶來更多的驚喜和幫助,我們針對計算機網絡安全問題進行相關探討,提出一些有建設性的意見和措施,使得人們在運用計算機網絡技術時可以更加放心。主要是對計算機網絡安全的重要性進行研究,分析了漏洞掃描技術,并針對提高計算機網絡技術安全這一問題提出相關的措施。
關鍵詞:
新形勢;計算機網絡安全;漏洞掃描技術
我國科學技術不斷進步,計算機技術發展尤為迅速,并且在我國社會生活中起著極為重要的作用,給我們的現實生活帶來了很多的變化,使得我們與社會的聯系越來越密切。然而,在運用電子計算機網絡技術的過程中,由于計算機網絡的開放性,給計算機用戶帶來很大的安全問題,用戶的個人信息可能會泄漏,甚至會給人們的財產安全造成一定的威脅,所以,一定要對計算機網絡安全問題有所重視,而且要采取相關措施來提高網絡運用的安全性。我國相關部門一定要對計算機網絡安全采取一定的行動,讓網民可以安心上網。本文就是分析了在我國互聯網技術不斷發展的前提下,如何保障人民計算機網絡運用的安全,提出了相關的建議和意見,希望可以減少網絡帶來的風險,更好的促進人們幸福生活。并對漏洞掃描技術進行了一定的分析,充分發揮其對網絡病毒的抵制作用而且還能夠修復相關的漏洞,從而保障網絡安全。
1 新形勢下計算機網絡安全發展現狀
這幾年,我國計算機網絡技術不斷發展,計算機的信息處理能力是越來越強,更好地促進人們生活、學習、工作。我國人們在日常生活中也喜歡通過計算機網絡來完成相關的工作,搜集相關信息。計算機網絡有較強的開放性和便利性,人們可以在網上進行購物、聯系溝通、工作,足不出戶可通曉天下事,人們與世界的聯系越來越密切。計算機網絡技術在給人們帶來便利的同時,也給人們帶來了一定的風險和威脅。比如人們在網上購物或信息搜集時,會填寫一些個人信息,這些個人信息一旦沒有得到很好的保密,泄漏出去就會對人們的隱私安全和財產安全造成一定影響。甚至,有時會有新聞爆出相關人員因為個人信息泄漏,導致存款被盜。
因此,當前我國計算機網絡安全問題頻出,這需要我國相關部門引起重視,采取一定措施維護計算機網絡系統安全,使得人們可以安心、放心上網。除此之外,還有計算機網絡病毒給人們上網帶來極大地安全困擾,計算機網絡病毒的入侵會使得電腦程序混亂,造成系統內部癱瘓,有時還會造成人們本身已經準備好的相關數據的丟失,給人們工作、生活帶來麻煩。而且,現在還有一些惡意軟件會給計算機網絡帶來一定的危害,破壞電腦系統內部正常運行,使得計算機內部混亂,無法正常工作,造成計算機系統死機等。總之,我國當前計算機網絡安全問題非常多,這些問題已經嚴重影響了人們的正常生活,還給人們帶來了非常多的負面影響。
2 計算機網絡存在的主要安全問題
第一,計算機內部的每一種安全機制都有一定的適用范圍,而且這種機制在運用的過程中還需要滿足一定的條件,所以計算機內部機制的不完善給用戶帶來了很大的安全隱患。在計算機內部程序當中,防火墻是其中一種比較有效的安全工具,可以給電腦用戶提供一些安全保障。防火墻在計算機網絡系統運作的過程中,它能夠隱蔽計算機內部網絡結構,使電腦網絡結構不會輕易被識別。防火墻在內部網絡與外部網絡的聯系過程中制造了一些障礙,使得外部網絡不能夠輕易地訪問內部網絡。但是,防火墻這一工具的功能還是有限的,它不能夠阻止內部網絡之間的聯系,這樣電腦系統內部網絡之間就可以隨便往來。防火墻對于內部網絡與內部網絡之間的入侵行為是很難發覺的,這樣也會給電腦系統造成破壞。還有就是系統的后門不是電腦內部傳統的工具所能夠考慮到的地方,這也是防火墻所不能夠顧及的一個方面。系統后門容易被入侵,防火墻也很難發覺,并采取相關的措施。
第二,電腦內部安全工具的使用存在一定的缺陷,在電腦用戶的使用過程中,電腦內部的安全工具能不能實現功能最大化,能不能使得安全工具使用效果的最優化,很大程度上受到了人為因素的制約。在這個使用的過程中受到了系統管理者和普通用戶的影響,在使用安全工具的過程中要是沒有使用正當設置,會產生不安全因素。
第三,網絡壞客泛濫,壞客攻擊電腦手段不斷更新,每天都會有不同的電腦問題出現。我國網絡的不斷發展,電腦安全工具也文秘站-中國最強免費!在不停地創新,但是,電腦安全工具更新速度遠遠跟不上壞客攻擊手段的更新速度。通常壞客對用戶的電腦進行了攻擊,然而,電腦的安全工具卻不能夠發現,更不用說采取相關的地質措施。總之,目前我國電腦的安全工具反應太慢,根本不能夠及時處理入侵的病毒。
論文摘要:結合單位的實際,分析了現有計算機專業課程特點和不足,討論了高師計算機專業學生開設信息安全法律法規課程的必要性、可行性,分析了信息安全技術課程、與信息安全有關法律法規課程的特點.給出了高師信息安全法律課程的教學目標定位、設置方法.
論文關鍵詞:高師計算機專業;信息安全;法律法規課程
人類進入21世紀,現代信息技術迅猛發展,特別是網絡技術的快速發展,互聯網正以其強大的生命力和巨大的信息提供能力和檢索能力風靡全球.
網絡已成為人們尤其是大學生獲取知識、信息的最快途徑.網絡以其數字化、多媒體化以及虛擬性、學習性等特點不僅影響和改變著大學生的學習方式生活方式以及交往方式,而且正影響著他們的人生觀、世界觀、價值取向,甚至利用自己所學的知識進行網絡犯罪,所有這些使得高師學生思想政治工作特別是從事網絡教學、實踐的計算機專業的教育工作者來說,面臨著前所未有的機遇和挑戰,這不僅因為,自己一方面要傳授學生先進的網絡技術,另一方面也要教育學生不要利用這些技術從事違法活動而從技術的角度來看,違法與不違法只是一兩條指令之間的事情,更重要的是高師計算機專業學生將來可能成為老師去影響他的學生,由此可見,在高師計算機專業學生中開設與信息安全有關的法律法規課程有著十分重要的意義.如何抓住機遇,研究和探索網絡環境下的高師計算機專業學生信息安全法律法規教學的新特點、新方法、新途徑、新對策已成為高師計算機專業教育者關心和思考的問題.本文主要結合我校的實際,就如何在高師計算機專業中開設信息安全法律課程作一些探討.
1現有的計算機專業課程特點
根據我校人才培養目標、服務面向定位,按照夯實基礎、拓寬專業口徑、注重素質教育和創新精神、實踐能力培養的人才培養思路,溝通不同學科、不同專業之間的課程聯系.全校整個課程體系分為“通識教育課程、專業課程(含專業基礎課程、專業方向課程)、教師教育課程(非師范除外)、實踐教學課程”四個大類,下面僅就計算機專業課程的特點介紹.
1.1專業基礎課程專業基礎課是按學科門類組織的基礎知識課程模塊,均為必修課.目的是在大學學習的初期階段,按學科進行培養,夯實基礎,拓寬專業口徑.考慮到學科知識體系、學生轉專業等需要,原則上各學科大類所涵蓋的各專業的學科專業基礎課程應該相同.主要內容包括:計算機科學概論、網頁設計與制作、C++程序設計、數據結構、操作系統等.
1.2專業方向課程各專業應圍繞人才培養目標與規格設置主要課程,按照教育部《普通高等學校本科專業目錄》的有關要求,結合學校實際設置必修課程和選修課程.同時可以開設2—3個方向作為限選.學生可以根據自身興趣和自我發展的需要,在任一方向課程組中選擇規定學分的課程修讀.主要內容包括:計算機網絡、匯編語言程序設計、計算機組成原理、數據庫系統、軟件工程導論、軟件工程實訓、計算機系統結構等.
1.3現有計算機專業課程設置的一些不足計算機技術一日千里,對于它的課程設置應該具有前瞻性,考慮到時代的變化,計算機應用專業旨在培養一批適合現代軟件工程、網絡工程發展要求的軟件工程、網絡工程技術人員,現有我校的計算機專業課程是針對這一目標進行設置的,但這一設置主要從技術的角度來考慮問題,沒有充分考慮到:隨著時代的發展,人們更廣泛的使用網絡、更關注信息安全這一事實,作為計算機專業的學生更應該承擔起自覺維護起信息安全的責任,作為高師計算機專業的課程設置里應該考慮到教育學生不得利用自己所學的技術從事不利于網絡安全的事情.
2高師計算機專業學生開設信息安全法律法規的必要性和可行性
2.1必要性信息安全學科群體系由核心學科群、支撐學科群和應用學科群三部分構成,是一個“以信息安全理論為核心,以信息技術、信息工程和信息安全等理論體系為支撐,以國家和社會各領域信息安全防護為應用方向”的跨學科的交叉性學科群體系.該學科交叉性、邊緣性強,應用領域面寬,是一個龐大的學科群體系,涉及的知識點也非常龐雜.
僅就法學而言,信息安全涉及的法學領域就包括:刑法(計算機犯罪,包括非法侵入計算機信息系統罪、故意制作傳播病毒等)、民商法(電子合同、電子支付等)、知識產權法(著作權的侵害、信息網絡傳播權等)等許多法學分支.因此,信息安全教育不是一項單一技術方面的教育,加強相關法律課程設置,是信息安全學科建設過程中健全人才培養體系的重要途徑與任務.
高師計算機專業,雖然沒有開設與信息安全專業一樣多與信息安全的有關技術類課程.但這些專業的學生都有從事網絡工程、軟件工程所需要的基本編程能力、黑客軟件的使用能力,只要具備這些能力且信息安全意識不強的人,都可能有意識或無意識的干出違反法律的事情,例如“YAI”這個比CIH還兇猛的病毒的編寫者為重慶某大學計算機系一名大學生.由此可見,在高師計算機專業的學生中開設相關的法律法規選修課程是必要的.
2.2可行性技術與法律原本并不關聯,但是在信息安全領域,技術與法律卻深深的關聯在一起,在全世界各國都不難發現諸如像數字簽名、PKI應用與法律體系緊密關聯.從本質上講,信息安全對法律的需求,實際上來源于人們在面臨信息技術革命過程中產生的種種新可能的時候,對這些可能性做出選擇揚棄、利益權衡和價值判斷的需要.這也就要求我們跳出技術思維的影響,重視信息安全中的法律范疇.
根據前面對信息安全法律法規內容的特點分析可知:信息安全技術與計算機應用技術有著千絲萬縷的聯系.從事計算機技術的人員很容易轉到從事信息安全技術研究上,加之信息安全技術是當今最熱門技術之一,因此,在高師計算機專業中開設一些基本的信息安全技術選修課程、開設一些與法律體系緊密關聯的信息安全法律法規選修課程學生容易接受,具有可操作性.
3信息安全技術課程特點
信息安全技術課程所涉及的內容眾多,有數學、計算機、通信、電子、管理等學科,既有理論知識,又有實踐知識,理論與實踐聯系十分緊密,新方法、新技術以及新問題不斷涌現,這給信息安全課程設置帶來了很大的難度,為使我校計算機專業學生了解、掌握這一新技術,我們在專業課程模塊中開設《密碼學基礎》、《網絡安全技術》、《入侵檢測技術》等作為專業選修課.我校本課程具有以下特點:
(1)每學期都對知識內容進行更新.
(2)對涉及到的基本知識面,分別采用開設專業課、專業選修課、講座等多種方式,讓學生了解信息安全知識體系,如有操作系統、密碼學基礎、防火墻技術、VPN應用、信息安全標準、網絡安全管理、信息安全法律課程等.
(3)對先修課程提出了較高的要求.學習信息安全技術課程之前,都可設了相應的先行課程讓學生了解、掌握,如開設了計算機網絡基本原理、操作系統、計算機組成原理、程序設計和數論基礎等課程.
(4)注重實踐教學.比如密碼學晦澀難懂的概念,不安排實驗實訓,不讓學生親手去操作,就永遠不能真正理解和運用.防火墻技術只有通過親手配置和測試.才能領會其工作機理.對此我們在相關的課程都對學生作了實踐、實訓的要求.
4涉及到信息安全法律法規內容的特點
信息安全的特點決定了其法律、法規內容多數情況下都涉及到網絡技術、涉及到與網絡有關的法律、法規.
4.1目的多樣性作為信息安全的破壞者,其目的多種多樣,如利用網絡進行經濟詐騙;利用網絡獲取國家政治、經濟、軍事情報;利用網絡顯示自己的才能等.這說明僅就破壞者方面而言的信息安全問題也是復雜多樣的.
4.2涉及領域的廣泛性隨著網絡技術的迅速發展,信息化的浪潮席卷全球,信息化和經濟全球化互相交織,信息在經濟和社會活動中的作用甚至超過資本,成為經濟增長的最活躍、最有潛力的推動力.信息的安全越來越受到人們的關注,大到軍事政治等機密安全,小到防范商業企業機密泄露、青少年對不良信息的瀏覽、個人信息的泄露等信息安全問題涉及到所有國民經濟、政治、軍事等的各個部門、各個領域.
4.3技術的復雜性信息安全不僅涉及到技術問題,也涉及到管理問題,信息安全技術又涉及到網絡、編碼等多門學科,保護信息安全的技術不僅需要法律作支撐,而且研究法律保護同時,又需要考慮其技術性的特征,符合技術上的要求.
4.4信息安全法律優先地位綜上所述,信息安全的法律保護不是靠一部法律所能實現的,而是要靠涉及到信息安全技術各分支的信息安全法律法規體系來實現.因此,信息安全法律在我國法律體系中具有特殊地位,兼具有安全法、網絡法的雙重地位,必須與網絡技術和網絡立法同步建設,因此,具有優先發展的地位.
5高師信息安全技術課程中的法律法規內容教學目標
對于計算機專業或信息安全專業的本科生和研究生,應深入理解和掌握信息安全技術理論和方法,了解所涉到的常見的法律法規,深入理解和掌握網絡安全技術防御技術和安全通信協議.
而對普通高等師范院校計算機專業學生來說,由于課程時間限制,不能對信息安全知識作較全面的掌握,也不可能過多地研究密碼學理論,更不可能從法律專業的角度研究信息安全所涉到的法律法規,為此,開設信息安全法律法規課程內容的教學目標定位為:了解信息安全技術的基本原理基礎上,初步掌握涉及網絡安全維護和網絡安全構建等技術的法律、法規和標準.如:《中華人民共和國信息系統安全保護條例》,《中華人民共和國數字簽名法》,《計算機病毒防治管理辦法》等.
6高師信息安全技術法律法規課程設置探討
根據我校計算機專業課程體系結構,信息安全有關的法律法規課程,其中多數涉及信息安全技術層面,主要以選修課、講座課為主,作為信息安全課程的補充.主要可開設以下選修課課程或講座課程.
(1)信息安全法律法規基礎講座:本講座力圖改變大家對信息安全的態度,使操作人員知曉信息安全的重要性、企業安全規章制度的含義及其職責范圍內需要注意的安全問題,讓學生首先從信息安全的非技術層面了解與信息安全有關的法律、法規,主要內容包括:國內信息安全法律法規概貌、我國現有信息安全相關法律法規簡介等.
(2)黑客攻擊手段與防護策略:通過本課程的學習,可以借此提高自己的安全意識,了解常見的安全漏洞,識別黑客攻擊手法,熟悉提高系統抗攻擊能力的安全配置方法,最重要的還在于掌握一種學習信息安全知識的正確途徑和方法.
(3)計算機犯罪取證技術:計算機取證是計算機安全領域中的一個全新的分支,涉及計算機犯罪事件證據的獲取、保存、分析、證物呈堂等相關法律、程序、技術問題.本課程詳細介紹了計算機取證相關的犯罪的追蹤、密碼技術、數據隱藏、惡意代碼、主流操作系統取證技術,并詳細介紹了計算機取證所需的各種有效的工具,還概要介紹了美國與中國不同的司法程序.
1 概述
目前,在我國很多高校開設了網絡信息安課程,該課程是信息安全專業的一門基礎課,也是網絡工程專業的一門必修課。網絡信息安全課程理論性強,實踐性強,并且教學內容隨著信息技術的發展也在不斷地變化,這給教學工作帶來很大挑戰。由于專業性質不同,為了使網絡信息安全課程的教學符合網絡工程專業的特點,并且跟上信息技術瞬息萬變的步伐,達到培養人才的目標,我們在多年教學實踐的基礎上,不斷地進行總結和探索。
2 網絡工程專業特點
網絡工程是將計算機技術和通信技術緊密結合而形成的新興的技術領域,尤其在當今互聯網技術以及互聯網經濟迅速發展的環境下,網絡工程技術已經成為計算機乃至信息技術界關注的重要領域之一,也是在現代信息社會中迅速發展并且應用廣泛的一門綜合性學科。網絡工程專業自從上世紀90年代起,陸續在我國很多本科高校中都有開設。
網絡工程專業的培養目標是:掌握常用操作系統的使用、網絡設備的配置,深入了解網絡的安全問題,具有綜合性的網絡管理能力,可以勝任中小企業的網絡管理工作,并具備發展成為網絡工程設計專家的能力[1]。以商丘學院(以下簡稱“我校”)為例,該專業是我校重點建設的專業之一,計算機網絡課程現已成為校級精品課程,所屬計算機網絡實驗室被評為河南省級重點實驗室。在校學生一二年級主要學好程序設計、網絡原理、操作系統等專業基礎課,三四年級主要學習網絡設備管理、綜合布線、網絡組建、網絡信息安全等專業核心課程。在學生學習的時間安排上留有余地,引導學生擴大知識面,關注學科前沿,鼓勵學生利用好實驗室來培養自己的實踐能力和創新能力。因此,網絡信息安全成為我校高年級學生的一門必修課。結合網絡工程專業特色,網絡信息安全課程多年來在我校網絡工程專業一直開設并收到很好的效果。
3 網絡信息安全課程開設現狀
網絡信息安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。信息安全是國家重點發展的新興交叉學科,具有廣闊的發展前景。由于我國在信息安全技術方面的起點還較低,國內只有少數高等院校開設“信息安全”專業,信息安全技術人才奇缺。網絡信息安全課程在信息安全專業是必不可少的核心課程。
目前,我校網絡工程專業網絡信息安全課程的開設還是以理論教學為主,實踐教學為輔的教學模式。在學時分配上我們采用“34學時理論+18學時上機”的模式。在考核方式上采用“20%平時表現+80%理論考試”來計算總成績。結合信息安全技術發展迅速的特點,在教材的選用上我們不斷更新教材,以求跟上時代和技術的潮流。我校先后選用吳煜煜[2]、周明全[3]、石志國[4]、袁津生[5]等人主編的教材,這樣教師也在不斷地學習最新知識和專業技能。由于該課程是一門交叉性綜合性學科,學好這門課程要求學生必須具備良好的程序設計能力,過硬的數學、操作系統和網絡知識。該課程的先修課程為:高級程序設計(C、C++、Java)、計算機網絡(TCP/IP)、操作系統(Unix和Windows)、數據庫系統。該課程教學內容主要包括:網絡安全的基本概念、加密與解密、公鑰體系、TCP/IP協議安全、應用層安全、攻擊與防御、網絡站點的安全、操作系統系統與數據庫的安全。
網絡信息安全這門課程是一門理論和實踐相結合,應用性很強的交叉性綜合性課程。理論知識涉及面廣且抽象,實踐問題規模難度大。這樣的特點不僅要求教師具備過硬的專業技能和授課水平,而且要求學生具備扎實的理論功底和和較強的實踐能力。該課程在我校是網絡工程專業開設的一門必修課程,它既不能像信息安全專業開設的專業課那么詳盡和深入,也不能像普及網絡安全知識一樣成為公共選修課那樣淺嘗輒止。這就要求教師必須在有限的學時內將網絡信息安全課程最基本的原理、最常用的技能傳授給學生,使學生能夠解決最常見的網絡安全問題,成為能夠學以致用,能夠解決實際問題的人才。因此,必須結合網絡工程專業特色和我校學生水平進行教學,才能使教和學的效果都達到最優化,達到培養人才的目標。
目前,現有的教學模式仍然停留在重理論、輕實踐的層次上。學生在課堂上與老師的互動性不強,特別是學生的學習積極性不高,對信息安全課程學習的興趣不持久,實踐能力不強,而且現有的考核方式已不適應課程的發展。通過近幾年的教學實踐,結合目前網絡工程專業開設的網絡信息安全課程在教學中存在的問題,從培養應用型、創新型信息技術人才的角度來出發,我們嘗試對網絡信息安全課程進行改革和探索。
4 教學改革與探索
4.1 翻轉式教學模式
互聯網的普及和計算機技術在教育領域的應用,使“翻轉課堂式”教學模式[6]變得可行和現實。學生可以通過互聯網去使用優質的教育資源,不再單純地依賴授課老師去教授知識。在課堂上,學生和老師的角色則發生了變化。老師更多的責任是去理解學生的問題和引導學生去運用知識。我們在課堂教學的組織中參考林地公園高中的經驗:一、創建教學視頻。我們根據上課的內容和教學目標,使用錄屏軟件將課件和講課聲音錄制下來,然后將課件或視頻通過網絡分發給學生。讓學生在上課前進行先行學習并收集好學生反饋的問題。二、組織課堂教學。教學內容在課外傳遞給學生后,課堂內更需要高質量的學習活動,讓學生有機會在具體環境中應用所學內容。這樣學生先自我學習或通過討論來掌握知識點,結合學生反饋的問題,在課堂上再由教師主導開展關鍵問題的研討,安排相應的課程實踐。該方法在國防科學技術大學徐明的論文[7]中提到,可以作為改革教學模式的一種方法來學習使用。
4.2 理論與實踐相結合的教學模式
理論授課均在多媒體教室進行,理論授課要與上機實踐相結合,網絡安全實驗均在我校計算機網絡實驗室完成,學生上機操作并提交實驗報告。計算機網絡實驗室是我校網絡工程專業的專業實驗室,實驗室采用圓桌模式分為8組,每組8位同學,能同時滿足64位學生做實驗。我們結合近幾年的教學經驗,參考袁津生[5]等教材,安排了如下實驗:①VMware虛擬機與網絡分析器的使用;②RSA加密算法的分析與實現;③加解密算法的分析與實現(DES、AES等);④Hash算法MD5;⑤剖析特洛伊木馬;⑥使用PGP實現電子郵件安全;⑦X-SCANNER掃描工具;⑧用SSL協議實現安全的FTP數據傳輸。除了正常安排的16個上機學時之外,增加實驗室開放時間,為對網絡安全有興趣的學生提供更多的實踐機會。通過在計算機網絡實驗室的學習和實踐,使學生加深對網絡信息安全原理和技術的認識,提高網絡技能和實踐能力,增加他們在將來的就業競爭中的優勢。另外,工學結合,引進第二課堂,創建實訓基地,爭取在網絡安全相關的企業和公司建立實訓基地,加強合作,讓學生有實踐的機會,提高實踐能力和就業能力,這是我們以后也要逐步探索的教學方式之一。
4.3 教學方法的一些改進
興趣是最好的老師。多講一些實例,可以采用任務驅動的方式培養學生的興趣。比如上課前提出一個問題再開始講課。例如:假如你是一個公司新任的網絡管理員,需要對某臺路由器進行相應的配置,但是你不知道該路由器的enable密碼,該怎么辦?這樣就能驅動學生主動思考完成任務的方法,主動學習。一定要結合學生實際,避免“填鴨式”教學方法,做好師生互動。另外授課要盡可能地生動、幽默。
課堂知識、搜索引擎、論壇和專業站點、期刊論文(CNKI),這些都是學好網絡信息安全的重要資源。在教學過程中,一定要利用好搜索引擎、論壇、期刊論文等,關注前沿的信息安全領域發展動向。
增加先驅課程知識的講解。網絡信息安全涉及到的數學知識我們參考裴定一教材[8]。例如,數據加密與認證技術的內容涉及到模運算、矩陣置換等數學知識,在講解相應的數據加密知識時一定要將涉及到的先驅課程知識講解清楚。
以就業為導向,鼓勵學生積極參加網絡信息安全工程師認證考試。鼓勵對網絡安全有興趣的同學進行更加深入、更加專業的學習。
4.4 加大投入、完善網絡信息安全專業實驗設施
完善的網絡信息安全實驗平臺[9]應該以網絡為基礎,將網絡原理、網絡程序設計、信息安全技術和網絡實踐類等課程集成在同一平臺上,采用群組動態交互式實驗方法,利用共享網絡墻形成公共實驗載體,實現網絡實驗從單設備組網到不斷疊加和擴展,使學生從規模化的網絡中理解路由協議和網絡效率。在這樣的實驗平臺下,利用共用服務器,各個群組組成網絡攻防、信息戰等實際場景,根據現場不斷變化的信息實時設計技術方案,靈活應對網絡的動態變化,做出快速的反應與調整,以培養學生高度的應變設計能力。
4.5 改革課時分配和考核權重
網絡信息安全是一門理論與實踐并重的課程,在今后的教學中,要逐漸增加實踐課程的教學。為了增加學生對實踐能力的重視,要合理分配理論考試和實踐考試的權重,在現有考核模式的基礎上逐步增加實踐成績的權重。在考核的形式上,綜合卷面成績和平時表現成績,平時表現的成績注重關注實驗小組討論的表現,個人實踐的表現等。
5 結論
網絡信息安全的形式隨著信息技術的發展在日新月異的變化,網絡信息安全課程也是一門發展變化很快的課程。根據該課程的特點,我們在以后的教學過程中要不斷的學習最新科學知識,關注網絡信息安全領域前沿動態,結合課程內容,合理設計授課內容、授課模式以及考核方式。今后,大規模開放在線課程(MOOC)的教學方式隨著新一輪的教育改革浪潮也會逐步地應用到網絡信息安全系列課程的教學上。總之,網絡信息安全課程的教學要在教學實踐中不斷總結、改革和探索。
論文摘要:自從有了計算機網絡,資源和信息的共享更方便了,但信息安全變得困難了,文章就網絡的安全進行了探討。
隨著計算機信息技術的發展,使網絡成為全球信息傳遞和交互的主要途徑,改變著人們的生產和生活方式。網絡信息已經成為社會發展的重要組成部分,對政治、經濟、軍事、文化、教育等諸多領域產生了巨大的影響。事實上,網絡安全已經成為關系國家主權和國家安全、經濟繁榮和社會穩定、文化傳承和教育進步的重大問題,因此,我們在利用網絡信息資源的同時,必須加強網絡信息安全技術的研究和開發。
1網絡安全的概念
運用網絡的目的是為了利用網絡的物理或邏輯的環境,實現各類信息的共享,計算機網絡需要保護傳輸中的敏感信息,需要區分信息的合法用戶和非法用戶。在使用網絡的同時,有的人可能無意地非法訪問并修改了某些敏感信息,致使網絡服務中斷,有的人出于各種目的有意地竊取機密信息,破壞網絡的正常運作。所有這些都是對網絡的威脅。因此,網絡安全從其本質上來講就是網絡的信息安全,主要研究計算機網絡的安全技術和安全機制,以確保網絡免受各種威脅和攻擊,做到正常而有序地工作。
2網絡安全的分析
確保網絡安全應從以下四個方面著手:
①運行系統的安全。硬件系統的可靠安全運行,計算機操作系統和應用軟件的安全,數據庫系統的安全,側重于保證系統正常地運行,其本質是保護系統的合法操作和正常運行。②網絡上系統信息的安全。即確保用戶口令鑒別、用戶存取權限控制,數據存取權限、數據加密、計算機病毒防治等方面的安全。③網絡上信息傳播的安全。信息傳播后的安全,包括信息過濾等。其側重于防止和控制非法、有害的信息傳播產生的后果,避免網絡上傳輸的信息失控。④網絡上信息內容的安全。即保護信息的保密性、真實性和完整性。保護用戶的利益和隱私。
3網絡安全的攻略
網絡的任何一部分都存在安全隱患,針對每一個安全隱患需要采取具體的措施加以防范。目前常用的安全技術有包過濾技術、加密技術、防火墻技術、入侵檢測技術等。下面分別介紹:
①包過濾技術。它可以阻止某些主機隨意訪問另外一些主機。包過濾功能通常在路由器中實現,具有包過濾功能的路由器叫包過濾路由器。網絡管理員可以配置包過濾路由器,來控制哪些包可以通過,哪些包不可以通過。
②加密技術。凡是用特種符號按照通信雙方約定的方法把數據的原形隱藏起來,不為第三者所識別的通信方式稱為密碼通信。在計算機通信中,采用密碼技術將信息隱蔽起來,再將隱蔽后的信息傳播出去,是信息在傳輸過程中即使被竊取或截獲,竊取者也不能了解信息的內容,從而保證信息傳輸的安全。
③防火墻技術。防火墻將網絡分為內部和外部網絡,內部網絡是安全的和可信賴的,而外部網絡則是不太安全。它是一種計算機硬件和軟件的結合,對內部網絡和外部網絡之間的數據流量進行分析、檢測、管理和控制,從而保護內部網絡免受外部非法用戶的侵入。
④入侵檢測技術。通過對計算機網絡和主機系統中的關鍵信息進行實時采集和分析,從而判斷出非法用戶入侵和合法用戶濫用資源的行為,并作出適當反應的網絡安全技術。
根據入侵檢測系統的技術與原理的不同,可以分為異常入侵檢測、誤用入侵檢測和特征檢測三種。
異常入侵檢測技術。收集一段時間內合法用戶行為的相關數據,然后使用統計方法來考察用戶行為,來斷定這些行為是否符合合法用戶的行為特征。如果能檢測所有的異常活動,就能檢測所有的入侵性活動。
誤用入侵檢測技術。假設具有能夠被精確地按某種方式編碼的攻擊,并可以通過捕獲攻擊及重新整理,確認入侵活動是基于同一弱點進行攻擊的入侵方法的變種。它是通過按照預先定義好的入侵模式以及觀察到入侵發生情況進行模式匹配來檢測。
特征檢測。此方法關注的是系統本身的行為,定義系統行為輪廓,并將系統行為與輪廓進行比較,對未指明為正常行為的事件定義為入侵。
網絡安全已經成為網絡發展的瓶頸,也是一個越來越引起世界關注的重要問題。只有重視了網絡安全,才能將可能出現的損失降到最低。
參考文獻
[1] 郭秋萍.計算機網絡技術[M].北京:清華大學出版社,2008.
[2] 張震.計算機網絡技術實用教程[M].北京:北京交通大學出版社,2009.
