導語：如何才能寫好一篇網絡安全與攻防技術，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞： 網絡信息安全； 計算機； APT； 安全防御； 惡意威脅

中圖分類號： TN711?34 文獻標識碼： A 文章編號： 1004?373X（2015）21?0100?05

Threat to network information security and study on new defense

technologies in power grid enterprises

LONG Zhenyue1， 2， QIAN Yang1， 2， ZOU Hong1， 2， CHEN Ruizhong1， 2

（1. Key Laboratory of Information Testing， China Southern Power Grid Co.， Ltd.， Guangzhou 510000， China；

2. Information Center， Guangdong Power Grid Co.， Ltd.， Guangzhou 510000， China）

Abstract： With the continuous development of management informationization of the power grid enterprises， automatic power grid operation and intelligent electrical equipment， the information security has become more important. For the serious situation of network information security， the new?type defense technologies are studied， which are consisted of advanced persistent threat （APT） protection technology and vulnerability scanning technology. Combining with the advantages and disadvantages of these technologies， the strategy of defense effectiveness analysis based on the minimum attack cost is proposed， which can compute the defense capability of the network.

Keywords： network information security； computer； APT； safety defense； malicious threat

0 引 言

隨著電網企業(yè)管理信息化、電網運行自動化、電力設備智能化的不斷發(fā)展，電網企業(yè)信息安全愈發(fā)重要。信息化已成為電力企業(yè)工作中的重要組成部分，各類工作對網絡的高度依賴，各類信息以結構化、非結構化的方式儲存并流轉于網絡當中，一旦信息網絡被攻破，則往往導致服務中斷、信息泄漏、甚至指令錯誤等事件，嚴重威脅生產和運行的安全。因此，保障網絡信息安全就是保護電網企業(yè)的運行安全，保障網絡安全是電網企業(yè)的重要職責[1]。

目前的網絡信息安全形勢依然嚴峻，近年來，業(yè)務從單系統(tǒng)到跨系統(tǒng)，網絡從零星分散到大型化、復雜化，單純的信息安全防護技術和手段已經不能滿足企業(yè)安全防護的需要，應針對性地研究具有縱深防御特點的安全防護體系，以信息安全保障為核心，以信息安全攻防技術為基礎，了解信息安全攻防新技術，從傳統(tǒng)的“知防不知攻”的被動防御向“知攻知防”的縱深積極防御轉變，建立全面的信息安全防護體系。

1 概 述

從廣義層面而言，網絡信息安全指的是保障網絡信息的機密性、完整性以及有效性，涉及這部分的相關網絡理論以及技術都是網絡信息安全的內容。從狹義層面而言，網絡信息安全指的是網絡信息的安全，主要包括網絡軟硬件及系統(tǒng)數據安全[2]。網絡信息安全需要保證當網絡受到惡意破壞或信息泄露時，網絡系統(tǒng)可以持續(xù)正常運行，為企業(yè)提供所需的服務。

通過對我國某電網企業(yè)及其下轄電力單位的調研，以及對近5年電力信息資產信息安全類測評結果的統(tǒng)計得知，電網企業(yè)現存的網絡安全情況主要分為以下3類：網絡安全風險與漏洞弱點事件、數據安全風險與漏洞弱點事件、管理類安全風險與漏洞弱點事件。整體上看，電網企業(yè)的信息安全問題仍不容樂觀，近年來隨著網絡的復雜化，攻擊的新型化和專業(yè)化，網絡安全防護的情況亟待加強?？傮w而言，首先要加強并提升網絡、應用等方面安全水平，保證信息源頭的安全情況；其次加強管理類安全，特別是人員管理、運維管理等方面；最后研究分析最新攻防技術的特點，結合電網實際現狀，構建適用于現有網絡環(huán)境與架構的信息安全縱深防御體系。

本文主要針對第三點展開論述，研究包括高級持續(xù)威脅（APT）防護技術、漏洞掃描技術等新型的攻擊及其防護技術，提取在復雜網絡系統(tǒng)中的防御共同點，并給出一類策略用于分析網絡信息安全防御的有效性。

2 信息安全的攻防新技術

電網企業(yè)所依賴的信息安全隔離與防御技術主要包括數據加密技術、安全隔離技術、入侵檢測技術、訪問控制技術等。一方面，通過調研與統(tǒng)計分析。目前電網的信息安全建設主要以防止外部攻擊，通過區(qū)域劃分、防火墻、反向、入侵檢測等手段對外部攻擊進行防御，對內部的防御手段往往滯后，電網內部應用仍然存在一定的安全風險與漏洞弱點。如果一道防線失效，惡意的攻擊者可能通過以內部網絡為跳板威脅電網企業(yè)的安全；另一方面，電網企業(yè)中目前使用的防御技術一般是孤立的，未形成關聯性防御，而目前新型的攻擊往往會結合多個漏洞，甚至是多個0day漏洞進行組合攻擊，使得攻擊的隱蔽性、偽裝性都較強。因此，要構建信息安全防御體系，僅憑某單一的防護措施或技術無法滿足企業(yè)的安全要求，只有構建完整的信息安全防護屏障，才能為企業(yè)提供足夠的信息安全保障能力。

經過分析，目前針對電網企業(yè)的新型攻防技術有如下幾類：

2.1 高級持續(xù)威脅攻擊與防護技術

高級持續(xù)威脅（APT）是針對某一項有價值目標而開展的持續(xù)性攻擊，攻擊過程會使用一切能被利用的手段，包括社會工程學攻擊、0day漏洞攻擊等，當各攻擊點形成持續(xù)攻擊鏈后，最終達到攻擊目的。典型的APT攻擊案例如伊朗核電項目被“震網（Stuxnet）”蠕蟲病毒攻擊，通過攻擊工業(yè)用的可編程邏輯控制器，導致伊朗近[15]的核能離心機損壞。

根據APT攻擊的特性，企業(yè)可以從防范釣魚攻擊、識別郵件中的惡意代碼、識別主機上的惡意代碼、監(jiān)測網絡數據滲出等多個環(huán)節(jié)進行檢測，主要涉及以下幾類新型技術。

2.1.1 基于沙箱的惡意代碼檢測技術

惡意代碼檢測中最具挑戰(zhàn)性的是檢測利用0day漏洞的惡意代碼，傳統(tǒng)的基于特征碼的惡意代碼檢測技術無法應對0day攻擊。目前最新的技術是通過沙箱技術，構造模擬的程序執(zhí)行環(huán)境，讓可疑文件在模擬環(huán)境中運行，通過軟件所表現的外在行為判定是否是惡意代碼。

2.1.2 基于異常的流量檢測技術

傳統(tǒng)的入侵檢測系統(tǒng)IDS都是基于特征（簽名）的深度包檢測（DPI）分析，部分會采用到簡單深度流檢測（DFI）技術。面對新型威脅，基于DFI技術的應用需要進一步深化?；诋惓５牧髁繖z測技術，是通過建立流量行為輪廓和學習模型來識別流量異常，進而識別0day攻擊、C&C通信以及信息滲出等惡意行為。

2.1.3 全包捕獲與分析技術

由于APT攻擊的隱蔽性與持續(xù)性，當攻擊行為被發(fā)現時往往已經持續(xù)了一段時間；因此需要考慮如何分析信息系統(tǒng)遭受的損失，利用全包捕獲及分析技術（FPI），借助海量存儲空間和大數據分析（BDA）方法，FPI能夠抓取網絡定場合下的全量數據報文并存儲，便于后續(xù)的歷史分析或者準實時分析。

2.2 漏洞掃描技術

漏洞掃描技術是一種新型的、靜態(tài)的安全檢測技術，攻防雙方都會利用它盡量多地獲取信息。一方面，攻擊者利用它可以找到網絡中潛在的漏洞；另一方面，防御者利用它能夠及時發(fā)現企業(yè)或單位網絡系統(tǒng)中隱藏的安全漏洞。以被掃描對象分類，漏洞掃描主要可分為基于網絡與基于主機的安全漏洞掃描技術。

2.2.1 基于網絡的安全漏洞掃描技術

基于網絡的安全漏洞掃描技術通過網絡掃描網絡設備、主機或系統(tǒng)中的安全漏洞與脆弱點。例如，通過掃描的方式獲知OpenSSL心臟出血漏洞是否存在?；诰W絡的安全漏洞掃描技術的優(yōu)點包括：易操作性，掃描在執(zhí)行過程中，無需目標網絡或系統(tǒng)主機Root管理員的參與；維護簡便，若目標網絡中的設備有調整或變化，只要網絡是連通的，就可以執(zhí)行掃描任務。但是基于網絡的掃描也存在一些局限性：掃描無法直接訪問目標網絡或系統(tǒng)主機上的文件系統(tǒng)；其次，掃描活動不能突破網絡防火墻[3]。

2.2.2 基于主機的安全漏洞掃描技術

基于主機的安全漏洞掃描技術是通過以系統(tǒng)管理員權限登錄目標主機，記錄網絡或系統(tǒng)配置、規(guī)則等重要項目參數，通過獲取的信息與標準的系統(tǒng)安全配置庫進行比對，最終獲知系統(tǒng)的安全漏洞與風險。

基于主機的安全漏洞掃描技術的優(yōu)點包括：可使用的規(guī)則多，掃描結果精準度高；網絡流量負載較小，不易被發(fā)現。該技術也存在一些局限性：首先，基于主機的安全漏洞掃描軟件或工具的價格昂貴；其次，基于主機的安全漏洞掃描軟件或工具首次部署的工作周期較長。

3 基于最小攻擊代價的網絡防御有效性分析策略

惡意攻擊總是以某一目標為導向，惡意攻擊者為了達到目標會選擇各種有效的手法對網絡進行攻擊。在復雜網絡環(huán)境下，如果可以盡可能大地提高惡意攻擊者的攻擊代價，則對應能達到提高有效防御的能力。基于這個假設，這里展示一種在復雜網絡環(huán)境下分析攻擊有效性的策略，并依此計算從非安全區(qū)到目標區(qū)是否存在足夠小的攻擊代價，讓惡意攻擊可以獲取目標。如果存在，則可以被惡意攻擊利用的路徑將被計算出來；如果不存在，則證明從非安全區(qū)到目標區(qū)的安全防御能力是可以接受的。

以二元組的形式描述網絡拓撲圖[4][C，]其中節(jié)點是網絡中的各類設備，邊表示設備間的關聯關系。假設非安全區(qū)域為[Z，]目標區(qū)域為[D。]在網絡中，攻擊者如果能達到目標，必然至少存在一條從非安全區(qū)節(jié)點到目標節(jié)點[d]的通路[p，]且這條通路上的攻擊代價小于值[w。]其中，攻擊代價指攻擊者能夠利用攻擊工具、系統(tǒng)缺陷、脆弱性等信息，實現其對目標的入侵行為所付出的代價。直觀地，由于攻擊行為往往會因遇到安全設備和安全策略的阻攔，而導致其成功實現其攻擊目的的時間、精力甚至資金成本提高，攻擊者為達到其攻擊目標所付出的所有的行為成本即攻擊代價。

在圖[G]中，每一個節(jié)點[v]具有輸入權限[q]和獲利權限[q]（如表1所示）、本身的防護能力[pr]以及風險漏洞數L（L≥0）。攻擊者能力是指攻擊者通過輸入權限[q，]通過任意攻擊手段，在節(jié)點[v]上所能獲取的最高權限值（獲利權限）[q′。]直觀地，輸入權限代表攻擊者在對某節(jié)點進行攻擊前所擁有的權限，如Web服務器一般均具有匿名訪問權限；獲利權限代表攻擊者最終可以利用的系統(tǒng)權限。

最短攻擊路徑是從非安全區(qū)域[Z]中任意節(jié)點[z]到目標節(jié)點[d]所有攻擊路徑中，防護成功率最低的[Pr]所對應的路徑。最短攻擊路徑所對應耗費的攻擊代價為最小攻擊代價[4]，也是該網絡的防護能力有效性分值。

攻擊代價閾值：一旦攻擊者付出的攻擊代價超過其預期，攻擊者很大程度上將會停止使得攻擊代價超限的某一攻擊行為，轉而專注于攻擊代價較小的其他攻擊路徑。攻擊代價閾值即攻擊者為達到目標可接受的最大攻擊代價。如果防護能力有效性分值小于攻擊代價閾值，則說明攻擊目標可以達到。

攻擊代價閾值一般可以通過人工方式指定，本文采用德爾斐法，也被稱為專家咨詢法的方式來確定。經過專家分析和評判，將攻擊代價閾值設定為[t，]當攻擊路徑防護能力小于[t]即認為攻擊者會完成攻擊行為并能成功實施攻擊行為。

4 網絡防御有效性分析應用

假設在電網企業(yè)復雜網絡環(huán)境場景下存在一類新型的APT攻擊，網絡中使用兩種策略A，B進行攻擊防御。策略A采用了現有的隔離與防御技術，策略B是在現有基礎上增加應用了APT防御技術。計算兩類策略下的最小攻擊代價，并進而對APT防護效果進行分析。

4.1 策略選取

4.1.1 策略A

圖1為一個簡化的復雜網絡環(huán)境實例拓撲，其中DMZ區(qū)部署的Web服務器為內、外網用戶提供Web服務，電網地市局局域網的內部用戶不允許與外網直接連接，限網。各安全域之間具體訪問控制策略如下：

（1） 只允許地市局局域網用戶訪問DMZ區(qū)Host2（H2）上的IIS Web服務和Host3（H3）上的Tomcat服務；

（2） DMZ 區(qū)的H2 允許訪問H3上的Tomcat服務和IDC區(qū)Host4（H4）上的Oracle DB服務；

（3） 禁止H2和H3訪問Domino服務器Host5（H5）；

（4） H5允許訪問DMZ的H2和H3及IDC區(qū)的H4。

4.2 效果分析

通過上述計算結果表明，在應用策略A與B情況下，局域網用戶到DMZ區(qū)域目標主機存在的攻擊路徑的防護有效性分值分別是（0.3，0.3，0.51）與（0.93， 0.93，0.979）。在策略A的情況下，通過DMZ區(qū)的H2為跳板，攻擊IDC的目標主機H4，最短攻擊路徑的防護有效性分值只有0.51，說明局域網內的攻擊者能在花費較小代價的情況下，輕易地獲取內網DMZ或IDC服務器的系統(tǒng)權限，從而造成較大的危害。而增加APT防護設備之后，通過DMZ區(qū)的H2為跳板，攻擊IDC的目標主機H4，防護有效性分值提升為0.979，其他攻擊路徑的防護有效性也有明顯提高。

策略A與策略B的對比結果表明，在DMZ區(qū)域有APT防護技術情況下，網絡環(huán)境下整體的隔離與防御能力得到了明顯提升，從而驗證了隔離與防御新技術的防護效果。

5 結 語

在新形勢、新技術下，我國電網企業(yè)網絡信息安全仍面臨著嚴峻的挑戰(zhàn)，應當高度重視網絡信息安全工作，不斷發(fā)展完善信息安全防御新技術，改善網絡信息安全的水平。單純使用某種防御技術，往往已無法應對快速變化的安全防御需求，只有綜合運用各種新型的攻防技術，分析其關聯結果，并通過網內、網間各類安全設備、安全措施的互相配合，才能最終建立健全網絡信息安全防范體系，最大限度減少惡意入侵的威脅，保障企業(yè)應用的安全、穩(wěn)定運行。

參考文獻

[1] 高子坤，楊海洲，王江濤.計算機網絡信息安全及防護策略分析[J].科技研究，2014，11（2）：155?157.

[2] 彭曉明.應對飛速發(fā)展的計算機網絡的安全技術探索[J].硅谷，2014，15（11）：86?87.

[3] 范海峰.基于漏洞掃描技術的網絡安全評估方法研究[J].網絡安全技術與應用，2012，8（6）：9?11.

[4] 吳迪，馮登國，連一峰，等.一種給定脆弱性環(huán)境下的安全措施效用評估模型[J].軟件學報，2012，23（7）：1880?1898.

篇2

關鍵詞：網絡工程；安全防護；防護技術

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）21- 4790-02

隨著我國社會經濟的發(fā)展，信息化建設也發(fā)展較快，現代通信技術日新月異。通信網絡的推廣和普及使人們改變了信息交流的方式，逐漸成為人們日常生活信息獲取和交流的主要途徑。近年來，我國互聯網行業(yè)的飛速發(fā)展帶來了兩個方面的影響，一方面方便了人們的工作和生活，另一方面由于計算機網絡的開放性、互聯性以及分散性等特點，使得網絡工程中還不同程度地存在著一些安全隱患，威脅著網絡工程的通信網絡環(huán)境。網絡安全防護是一種網絡安全技術，加強網絡工程中安全防護技術，有利于保障通信網絡安全暢通。因此，研究網絡工程中的安全防護技術具有十分重要的現實意義。鑒于此，筆者對網絡工程中的安全防護技術進行了初步探討。

1 網絡工程安全存在的問題分析

當前，網絡工程安全現狀不容樂觀，還存在著諸多亟待解決的問題，這些問題主要表現在黑客的威脅攻擊、計算機病毒入侵、IP地址被盜用、垃圾郵件的泛濫和計算機系統(tǒng)風險五個方面，其具體內容如下：

1.1 黑客的威脅攻擊

黑客的威脅攻擊是網絡工程安全中存在的問題之一。黑客最早源自英文hacker，從黑客的定義上來看，黑客是指利用系統(tǒng)安全漏洞對網絡進行攻擊破壞或竊取資料的人。一般來說，黑客在對網絡工程進行攻擊時，按黑客攻擊的方式分類主要有兩種攻擊方式，即非破壞性攻擊和破壞性攻擊。非破壞性攻擊通常為了擾亂系統(tǒng)的運行，將阻礙系統(tǒng)正常運行作為目的， 并不盜竊系統(tǒng)資料，用拒絕服務和信息炸彈對系統(tǒng)進行攻擊；破壞性攻擊以侵入電腦系統(tǒng)、盜竊系統(tǒng)保密信息為目的，黑客會破壞電腦系統(tǒng)。

1.2 計算機病毒入侵

計算機病毒入侵在一定程度上制約著網絡工程安全的發(fā)展。計算機病毒具有破壞性，復制性和傳染性等特點，計算機病毒不是天然存在的，是編制者將指令、程序代碼植入到計算機系統(tǒng)中。所謂的病毒是人為造成的，通過影響計算機系統(tǒng)的正常運行，造成對其他用戶的危害。計算機病毒破壞力強、傳播迅速且不易被察覺，尤其是像木馬、震網、火焰這些通過網絡作為途徑傳播的病毒，一旦感染其他程序，將會對計算機資源進行破壞。不難看出，提高系統(tǒng)的安全性是確保網絡工程安全的過程中迫切需要解決的問題。

1.3 IP地址被盜用

IP地址被盜用也是網絡工程安全的瓶頸。對計算機網絡而言，被盜用IP地址的計算機不能正常使用網絡，致使用戶無法進行正常的網絡連接。區(qū)域網絡中常有l(wèi)P被盜的情況，這種情況下用戶被告知lP地址已被占用，致使用戶無法進行正常的網絡連接。這些lP地址權限通常較高，竊取lP者一般會以不知名的身份來擾亂用戶的正常網絡使用，這會給用戶帶來很大的影響，使用戶的自身權益受到侵犯，也嚴重威脅網絡的安全性。

1.4 垃圾郵件的泛濫

垃圾郵件的泛濫，使得網絡工程安全陷入困境。垃圾郵件是指那些并非用戶自愿卻無法阻止收取的郵件。長期以來，垃圾郵件損害了郵件使用者的利益， 垃圾郵件的的日益嚴重讓網絡重負逐漸加大，對效率和安全性造成嚴重的威脅，一方面大量消耗網絡資源，減緩了系統(tǒng)運行效率；另一方面，數量繁多的垃圾郵件還侵害整個網絡工程的安全。

1.5 計算機系統(tǒng)風險

計算機系統(tǒng)風險也影響著網絡工程安全。在計算機網絡工程中，管理機構的體制不健全，各崗位分工不明確，對密碼及權限的管理不夠，這些因素使網絡安全日益受到外來的破壞且用戶自身安全防衛(wèi)意識薄弱，無法有效地規(guī)避信息系統(tǒng)帶來的風險， 導致計算機系統(tǒng)的風險逐步嚴重，計算機系統(tǒng)不能正常工作，最終威脅到計算機網絡的安全。因此，加強網絡工程中安全防護技術勢在必行。

2 加強網絡工程中安全防護技術的策略

2.1 設置防火墻過濾信息

最直接的黑客防治辦法是運用防火墻技術，設置防火墻過濾信息是加強網絡工程中安全防護技術的關鍵。網絡工程中最有效的防護手段就是在外部網絡和局域網之間架設防火墻，網絡防火墻作為一個位于計算機和它所連接的網絡之間的軟件，可以將局域網與外部網的地址分割開，計算機流入流出的所有網絡通信均要經過此防火墻，經過防火墻的過濾，能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行，增加內部網絡的安全性。另外，防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

2.2 加強病毒的防護措施

加強病毒的防護措施也是加強網絡工程中安全防護技術的重要組成部分。病毒防護是計算機系統(tǒng)日常維護與安全管理的重要內容，當前計算機病毒在形式上越來越難以辨別，計算機網絡病毒的防治，單純依靠技術手段是不可能十分有效地杜絕和防止其蔓延的，只有把技術手段和管理機制緊密結合起來，提高人們的防范意識，才有可能從根本上保護網絡系統(tǒng)的安全運行。常見的殺毒軟件有：360安全衛(wèi)士，卡巴斯基，金山毒霸等。網絡工程在加強病毒的防護措施方面，對計算機網絡工程人員而言，相關人員都應該掌握使用殺毒軟件、防病毒卡等措施，一般情況下，要定期對計算進行病毒檢測與查殺，一旦發(fā)現病毒時應詢問后再處理，不僅如此，對計算機系統(tǒng)的重要文件還要進行備份，防止由于病毒對系統(tǒng)造成的破壞導致數據的丟失。

2.3 入侵檢測技術的植入

入侵檢測系統(tǒng)作為一種主動的安全防護技術，對于加強網絡工程中安全防護至關重要。對網絡工程而言，入侵檢測技術對計算機網絡資源及信息中隱藏或包含的惡意攻擊行為有效的識別，在網絡系統(tǒng)受到危害之前攔截和響應入侵。提供了對內部攻擊、外部攻擊和誤操作的實時保護，可以利用網絡安全入侵檢測采取相應的網絡安全防護措施。入侵檢測系統(tǒng)能夠從網絡安全的立體縱深、多層次防御的角度出發(fā)提供安全服務，從而有效的降低了來自網絡的威脅和破壞，必將進一步受到人們的高度重視。

2.4 拒絕垃圾郵件的收取

凡是未經用戶許可就強行發(fā)送到用戶的郵箱中的電子郵件，都被成為垃圾郵件。垃圾郵件一般具有批量發(fā)送的特征。垃圾郵件現在慢慢發(fā)展成為計算機網絡安全的又一公害。拒絕垃圾郵件的收取也是加強網絡工程中安全防護技術的重要環(huán)節(jié)，拒絕垃圾郵件的收取，要從保護自己的郵件地址做起，不要隨意的使用郵箱地址作為登記信息，避免垃圾郵件的擾亂。還可以使用outlookExPress和Faxmail中的郵件管理，將垃圾文件過濾處理，拒絕垃圾文件的收取。

2.5 加強網絡風險的防范

加強網絡風險的防范對于加強網絡工程安全也不容忽視。在網絡工程風險防范的過程中，利用數據加密技術是行之有效的途徑。數據加密技術是加密技術是最常用的安全保密手段，也是有效防范網絡與信息安全風險最直接，最為有效的方式。數據加密是一種限制對網絡上傳輸數據的訪問權的技術，具體說來，它是通過引導用戶對網絡傳輸中出現的、比較重要的數據進行設置密碼的過程。從網絡工程中數據加密的方式上來看，數據加密技術主要包括線路加密、端與端加密等等，各種方法都有各自的有點，線路加密主要是針對需要保密的信息進行的，在加密時使用加密密鑰來對信息進行保護。端與端加密主要是針對網絡信息的發(fā)出方，當網絡信息數據到達tcp/ip之后就利用數據包進行回封操作，以此對重要數據進行安全保護。

3 結束語

總之，網絡工程中的安全防護是一項綜合的系統(tǒng)工程，具有長期性和復雜性。網絡工程中安全防護技術，應設置防火墻過濾信息、加強病毒的防護措施、入侵檢測技術的植入、拒絕垃圾郵件的收取、加強網絡風險的防范，不斷探索加強網絡工程中安全防護技術的策略，只有這樣，才能不斷提高網絡工程的安全管理水平，進而確保計算機網絡的安全。

參考文獻：

[1] 李巍巍.計算機網絡安全的數據備份和容災系統(tǒng)[J].黑龍江科技信息，2010（33）.

[2] 王薪凱，姚衡，王亨，常晶晶，喻星晨.計算機網絡信息安全與防范[J].硅谷，2011（4）.

[3] 金金.2011年信息安全十大熱點預測[J].信息安全與通信保密，2011（3）.

[4] 趙章界，李晨旸，劉海峰.信息安全策略開發(fā)的關鍵問題研究[J].信息網絡安全，2011（3）.

[5] 陸文紅，蒙勁.小議通信網絡安全問題分析及維護措施[J].中小企業(yè)管理與科技（下旬刊），2010（10）.

[6] 余斌.論計算機互聯網與通信網絡建設的安全性[J].科技經濟市場，2010（5）.

篇3

關鍵詞：非合作動態(tài)博弈；網絡安全；主動防御技術

中圖分類號：TP393.08

現有的網絡防御和入侵檢測系統(tǒng)主要的是依靠安全配置的方式對處于聯網狀態(tài)下的網絡進行安全防護，這些防御技術具有本身一些缺點，無法對瞬時的攻擊以及未知的攻擊進行保護，因此在對網絡的安全進行保護的時候要做到適當的防護，即有一定的可行性和合理性，又要保證能夠做到比較好的防御。博弈理論下的防御技術具有很多的變形，并且具有獨特的優(yōu)點，而非合作動態(tài)的博弈理論的應用又進一步的強化了這些特征。

1 博弈論

所謂博弈論，指的是一門研究其他的參加者關于utility（效用）的情況，理性參加者間互相產生作用的科學，其要素包括博弈的參加者中利益或者目標間互相的沖突和均為理性的參加者特點等兩個方面。隨著理論的發(fā)展和時代的進步，現代的博弈論也逐漸發(fā)展成為一項涵蓋心理學、運籌學、哲學、數學、計算機科學、軍事戰(zhàn)略、政治、生物、經濟等學科領域內容的交叉性學科。通常而言，現代的博弈論所公認的起源是由名為Morgenstern的經濟學者與名為Von Neumann的數學家所共同撰寫的《博弈的理論與經濟的行為》。盡管此處當時所提出理論性博弈論的框架僅僅能夠對部分有限的例子進行使用，例如只對非合作與零的博弈問題等進行了討論，但是該著作是將博弈的問題通過數學的語言作出解決與描述的第一人。在此之后，在眾多學者不斷的研究與努力下，尤其是在非合作的博弈理論內Nash創(chuàng)造性的將策略的均衡概念進行了引入，博弈論逐步演變成分析中極為有用且重要的工具[1]。

2 多階段的非合作動態(tài)博弈

網絡攻防圖的表示方式是G（V’，E’，U’），其為一個帶環(huán)的具有方向的圖，其中的V’叫狀態(tài)節(jié)點，表示的是所有有關的物理節(jié)點的所有狀態(tài)的集合。E’={Ea Ed}集合代表的是網絡的攻防圖中的有向邊方面的集合，集合內的每一條邊代表的是來自攻擊方或者是防御方的攻防策略，U’集合表示的是網絡的攻擊和防御的策略相對應的策略收益方面的集合。網絡的攻擊圖之上再加上相應的防御策略就變成了網絡的攻防策略圖。

2.1 攻防博弈樹的形成

攻防博弈樹被應用與完全信息的網絡攻防動態(tài)博弈中，可以對其進行有效的描述。攻防博弈樹可以對攻擊方和防御方的動態(tài)策略選擇進行描述和了解。為有效的發(fā)揮相應的集合的概念需要將網絡的攻防圖轉變成攻防的博弈樹T。要對攻防圖中的兩種子圖進行轉化，包括入度為n（n>1）的節(jié)點子圖，以及包含環(huán)圖的子圖。

處于非合作動態(tài)博弈理論下的網絡安全通過攻防博弈樹來進行描述和分析。由于攻防博弈樹可以對攻擊方或者是防御方的動態(tài)策略選擇進行秒描述，可以知道參與者會在什么時候采取什么活動進行行動，并且企圖通過這個活動產生什么效益和信息。其圖形如下圖1所示。

要對網絡的攻防圖和網絡的攻防博弈樹上的結構差異進行消除，需要將虛擬節(jié)點的技術引入才能夠實現。網路的攻防圖通過引入虛擬節(jié)點技術可以將攻防的博弈樹的節(jié)點結構進行進一步的規(guī)范。在此階段需要采取的算法包括完全信息的多階段博弈理論的逆向歸納算法，以及非完全信息的多階段動態(tài)博弈的逆向歸納的方法[2]。

2.2 應用實例

為驗證該技術的有效性和可行性，下面以該實驗場景進行模擬實驗，實驗的場景如圖2所示：

通過漏洞和木馬的掃描工具統(tǒng)計出目標系統(tǒng)的相關漏洞信息，將攻擊的圖生成為子系統(tǒng)的攻擊圖，再在圖中增加各個攻擊階段相對應的防御措施，人后利用以上的攻防博弈圖的理論將其轉變成相應的攻防博弈樹，博弈樹中的實線代表的是有方向的一邊集合攻擊方采用的攻擊策略，虛線代表的是有方向的邊代表的是防御方所采用的防御策略的集合，并且在有方向的實線的一段引出的節(jié)點表示的攻擊的節(jié)點，有方向的虛線一端引出的就是防御方的節(jié)點，而同時具有實線和虛線的節(jié)點代表的是混合的節(jié)點。所代表的意思為該點既可以在防御的一方采取防御的措施，有可以被攻擊的一方作為攻擊的節(jié)點。通過運算的方式1得出逆向歸納的路徑的集合，并且找到最佳的攻防路徑，根據運行的結果來計算出攻擊方最有可能采取的策略集以及對路由器進行拒絕攻擊的服務。防御方要據此來進行最佳的補丁的安裝。

攻擊博弈樹的形狀和結構圖如下圖3：

假設理性的人被違背，那么攻擊者采取的措施就會突破防火墻，并且對實驗的服務帳號進行嘗試破解的工作，這時防御的一方就要采取最佳的防御措施以修復系統(tǒng)的補丁或者是對文件的數據進行恢復。算法2提出的是動態(tài)的博弈模型，該模式可能在進行實際的攻擊策略時會與預期的攻擊策略出現一定的差錯或者是不對應的情況，導致在又一個新的節(jié)點上采取新的動態(tài)博弈的措施，所以算法2可以在攻擊的意圖發(fā)生變化的時候仍舊計算出最佳的攻擊集合，并且除此之外，算法2提出的方法能夠對整個的狀態(tài)空間進行全面的博弈局勢的掌握，由此便可以推測出最優(yōu)化的防御措施。這樣就可以在全局的大范圍內對防御的措施進行最優(yōu)化的選擇[3]。通過實驗可以看出基于非合作動態(tài)的博弈環(huán)境下的網絡安全防御技術具有比較好的高效性，并且具有一些很明顯的優(yōu)勢，能夠對網絡的安全起到很強的積極作用。

3 結語

基于目前的靜態(tài)、被動的網絡安全防御的技術缺點，研究主要的分析了新興的基于非合作動態(tài)博弈理論的主動網絡防御技術，該技術的特點是引入了虛擬接點的技術，以此實現了網絡攻防圖和攻防博弈樹的轉化。該技術還提出了求解最佳的攻防策略的博弈理論算法，經過理論和時間的檢驗，該技術在對網絡進行防御方面具體很強的可操作性。值得在以后的工作和實踐中進行推廣和使用。

參考文獻：

[1]林旺群，王慧，劉家紅，鄧鐳，李愛平，吳泉源，賈焰.基于非動態(tài)博弈的網絡安全主動防御技術研究[J].計算機研究與發(fā)展，2011，02（45）：12-13.

[2]姜偉，方濱興，田志宏.基于攻防博弈模型的網絡安全測評和最優(yōu)主動防御[J].計算機學報，2009，32（04）：817-827.

篇4

（中國人民公安大學（團河校區(qū)）網絡安全保衛(wèi)學院，北京100076）

摘要：網絡攻防課題已經為越來越多的高校所重視，國內越來越多的CTF網絡攻防競賽也是愈演愈烈。文章提出將CTF的比賽模式應用于網絡安全的教學過程，以提高學生在學習過程中的積極性，同時闡述競賽平臺總體結構、后臺數據庫關系以及主要題目類型的歸納設計。

關鍵詞 ：CTF；網絡安全；競賽平臺設計

文章編號：1672-5913(2015)17-0047-04 中圖分類號：G642

基金項目：中國人民公安大學基本科研業(yè)務費項目( 2015JKF01435)。

第一作者簡介：高見，男，講師，研究方向為網絡安全，gaojianbeijing2006@163．com。

1 C語言實驗情況現狀

CTF（capture the flag）即奪旗競賽。在網絡安全領域，經常以CTF的形式舉行比賽以展示自己的網絡安全技能。1996年的DEFCON全球黑客大會首次使用奪旗競賽的形式，代替之前黑客們互相真實攻擊進行技術較量的方式。CTF發(fā)展至今，已經成為全球范圍網絡安全圈流行的競賽形式。2013年，全球舉辦了超過50場國際性CTF賽事；而DEFCON作為CTF賽制的發(fā)源地，DEFCON CTF也成為目前全球最高技術水平和影響力的CTF競賽，類似于CTF賽場中的“世界杯”。奪旗競賽可以增加比賽的趣味性和競爭性，因此將其借鑒到各高校的C語言實驗教學過程中，可以提高學生對課程的學習興趣，使學生在游戲中學習，在競賽中提高。

2 競賽模式種類

2.1 解題模式

在解題模式( jeopardy) CTF賽制中，參賽隊伍可以通過互聯網或者現場網絡參與。這種模式的CTF競賽與ACM編程競賽、信息學奧賽類似，以解決網絡安全技術挑戰(zhàn)題目的分值和時間排名，通常用于在線選拔賽。題目主要包含逆向、漏洞挖掘與利用、Web滲透、密碼、取證、隱寫、安全編程等類別。

2.2 攻防模式

在攻防模式（attack-defense）CTF賽制中，參賽隊伍在網絡空間互相進行攻擊和防守，通過挖掘網絡服務漏洞并攻擊對手服務得分，通過修補自身服務漏洞進行防御以避免丟分。攻防模式CTF賽制可以實時通過得分反映出比賽情況，最終也以得分直接分出勝負，是一種競爭激烈、具有很強觀賞性和高度透明性的網絡安全賽制。在這種賽制中，不僅僅是比參賽隊員的智力和技術，還比體力（因為比賽一般會持續(xù)48小時及以上），同時也比團隊之間的分工配合與合作。

2.3 混合模式

混合模式( mix)是結合了解題模式與攻防模式的CTF賽制。參賽隊伍通過解題可以獲取一些初始分數，然后通過攻防對抗進行得分增減的零和游戲，最終以得分高低分出勝負。采用混合模式CTF賽制的典型代表如iCTF國際CTF競賽。

3 競賽平臺設計

競賽平臺結構分為網絡攻防競賽網站和網絡攻防競賽平臺靶機服務器。網絡攻防競賽網站搭建于真實服務器上，用于參賽隊員答題以及瀏覽比賽事項。競賽題目存放于網絡攻防競賽平臺服務器的虛擬機環(huán)境中。比賽過程中會出現隊員互相攻擊的情況，為了避免網站資源受到攻擊而產生崩潰，在虛擬環(huán)境中可以利用快照備份當前的漏洞環(huán)境。

網絡攻防靶機服務器提供3臺靶機，均存放于服務器虛擬機中。銅牌靶機、銀牌靶機、金牌靶機均在同一網段上。競賽平臺體系結構如圖1所示。

該設計平臺采用PHP+MySQL的方式進行搭建，后臺數據庫表的關系如圖2所示。

其中，Student表中存放選手的基本信息，包括學號、姓名、年級、區(qū)隊、登錄密碼和Salt；Chapter表中，存放題目類型的ID號和類型的名稱；Examination表中存放每道題的唯一ID號、題目對應的類型號（通過外鍵連接）、題干內容、題目所涉及的文件和題目對應的分數；Result表中存放選手答題的結果，其中包括每道題的ID（通過外鍵連接）、選手的ID（通過外鍵連接）、提交的答案和代碼；Score表中存放選手答題的成績，其中包括每道題的ID（通過外鍵連接）、選手的ID（通過外鍵連接）和題目對應的分數；Answer表中存放題目的標準答案，包括每道題的ID（通過外鍵連接）、選手的ID（通過外鍵連接）和題目對應的答案。選手的ID號可以為空，如果對于同一道題目每個學生的答案是唯一的，那么記錄中就只有題目ID和題目的答案；如果對于同一道題目每個選手的答案可能是不唯一的（如寫出每個學生學號后4位對應的16進制數），那么記錄中要有題目ID和學生ID及答案。

4 實驗內容設計

4.1 Web安全題目設計

根據Web應用程序安全項目(OWASP，open web application security project)近幾年公布的OWASP top 10 Web安全威脅，我們總結目前主流的Web安全漏洞有以下幾方面。

(1)注入漏洞。目前主流的注入漏洞為SQL注入漏洞以及OS命令注入漏洞。這一類漏洞發(fā)生在開放者未對用戶輸入的字符進行充分的安全檢查，導致用戶輸入的數據會被當作命令或者查詢執(zhí)行，致使注入漏洞產生。

(2)跨站腳本攻擊(XSS)。截至2015年，XSS漏洞是繼SQL注入以后第2個嚴重的Web安全威脅。它利用開發(fā)者或瀏覽器對用戶輸入字符未加過濾的疏忽，通過JavaScript代碼實現惡意攻擊。

(3)跨站請求偽造(CSRF)。跨站請求偽造是用戶在權限認證后，攻擊者將偽造好的釣魚頁面發(fā)送給用戶，用戶點擊后觸發(fā)CSRF進行一系列操作。

(4)中間人攻擊(MITM)。目前，中間人攻擊( MITM)的安全威脅主要來自局域網環(huán)境，因為網絡上普遍采用Http協議傳輸數據，但這種協議傳輸的數據是未經加密的。當用戶與攻擊者同處于一個局域網環(huán)境下，攻擊者通過劫持網關，可以嗅探到用戶通過Http協議發(fā)送的賬號以及圖片或視頻的數據流。

4.2 加密解密題目設計

加密解密題目通常采用較為冷門的加密算法對文件或文本字符串進行加密，要求答題者對各類算法有一定的了解。應用程序的加密解密往往涉及匯編、逆向等知識?？紤]到答題者中存在未學習過此類課程的學生，因此加密解密的題目可出兩道題，分別為應用程序加密解密、字符串加密解密。

4.3 Wi-Fi破解及數據分析題目設計

本題由Wi-Fi破解及數據分析兩部分組成。首先，搭建一個局域網環(huán)境，包含A服務器以及B服務器。A服務器開啟無線連接，該無線連接密碼由WPA密鑰加密，密碼強度為純數字。答題者只有通過相關的Wi-Fi破解工具窮舉出Wi-Fi密碼才能夠得到連接密碼。在整個過程中，A服務器總是向B服務器發(fā)送UDP數據包，其中包含題目的FLAG。答題者需要在連入Wi-Fi后，通過嗅探工具截取發(fā)送數據并通過分析得到FLAG，完成本題。

4.4 取證分析題目設計

取證分析作為比賽題目的重點，在設計過程中也是難度最大的，因為網絡安全專業(yè)課培養(yǎng)方案中有取證分析的課程，主要介紹目前公安取證的基本方法和技術，而在網絡攻防競賽平臺的設計中，無法將課程中使用的取證大師等工具移植到平臺。為了使取證題目更具實戰(zhàn)意義，教師可將題目設計為分析系統(tǒng)日志，將日志設計為一臺已經被入侵服務器的系統(tǒng)日志。被入侵服務器的系統(tǒng)為Windows XP SQL系統(tǒng)，系統(tǒng)被黑客人侵后留下系統(tǒng)日志，答題者需要在審計日志后得到黑客入侵的IP地址，通過找到對應的端口得到黑客的服務器；黑客服務器中搭建一個Web服務器并創(chuàng)建一個網站，網站功能為驗證答題者在系統(tǒng)審計過程中得到的信息。只有完成所有問題，才能夠得到題目的FLAG。

5 虛擬靶機設計

虛擬靶機作為網絡攻防競賽平臺中最重要的題目，由于更加貼近實戰(zhàn)角度，因此設計時應更多考慮到實戰(zhàn)環(huán)境因素。靶機平臺搭建在服務器的虛擬機中，它們有不同的系統(tǒng)環(huán)境。虛擬機采用的是Vmware workstation 9.0軟件，它的好處在于可以方便地編輯網絡環(huán)境，快速組建可用有效的虛擬局域網。靶機平臺在網絡攻防競賽平臺中不僅只扮演靶機的角色，而且也對其他題目進行支持。因此，在設計靶機系統(tǒng)的同時要考慮到虛擬系統(tǒng)的負載能力，避免因系統(tǒng)線程過多導致系統(tǒng)死機，影響比賽的進行，可以采用虛擬機的快照功能保存當前系統(tǒng)環(huán)境；在比賽過程中出現問題時，可以利用快照隨時還原系統(tǒng)，保障比賽進度。

靶機系統(tǒng)的主要考查點包括3個：系統(tǒng)漏洞的發(fā)現與利用、系統(tǒng)網絡服務漏洞的發(fā)現與利用、網站漏洞的發(fā)現與利用。這3個主要考查點的背后同樣包含著大量的考查節(jié)點，它們組合在一起形成3臺靶機系統(tǒng)。銅牌、銀牌、金牌分別由簡單到困難的程度定義，在系統(tǒng)中利用漏洞的難度也不斷提高。為了保證大部分學生能夠攻破銅牌靶機，教師在設計之初，可將銅牌靶機定義為只含有系統(tǒng)漏洞和輸入法漏洞的靶機。這兩種漏洞的利用方法都很簡單，可以提高參賽隊員的信心，令學生對剩下的銀牌靶機和金牌靶機有攻破的欲望。教師可將靶機平臺所占分數設定為不超過總分數的40%，將銅牌靶機定為200分、銀牌靶機定為300分、金牌靶機定為500分。

5.1 銅牌靶機

銅牌靶機設定為易得分題，靶機系統(tǒng)為Windows XP系統(tǒng)。靶機的漏洞為系統(tǒng)層漏洞MS08-064。為了增強題目的靈活性，教師可在增加系統(tǒng)漏洞的同時增加網絡服務漏洞。IIS 6.0漏洞多種多樣，可以給答題者提供更多的答題思路。

5.2 銀牌靶機

銀牌靶機難度較銅牌靶機更大，考查答題者對網站整體入侵思路的掌握。在設計網站之初，銀牌靶機為PHP代碼編寫的賭博網站。網站中可設計多處漏洞，如XSS漏洞、SQL漏洞、任意文件讀取漏洞。答題者需要在滲透進入服務器并遠程連接服務器后在某個文件夾內得到加密的RAR壓縮包，通過暴力破解得到題目的FLAG。

5.3 金牌靶機

金牌靶機的難度較大，為附加題目。金牌靶機系統(tǒng)為Linux系統(tǒng)，默認安裝有Apache以及PHP環(huán)境，網站為PHP代碼編寫的詐騙網站。詐騙網站結構簡單，僅有部分功能可以供答題者利用，其他頁面均為靜態(tài)頁面。答題者需要在頁面中尋找線索，才能夠得到網站的后臺地址。通過工具窮舉爆破，可以登錄網站后臺。網站后臺僅有上傳功能并且利用白名單進行過濾，答題者需要在繞過白名單后才能夠利用后門繼續(xù)滲透服務器。FLAG文本文件具有系統(tǒng)權限，因此答題者只有在對Linux系統(tǒng)提權的情況下，才能夠得到FLAG完成此題。目的分值比如設為10分，當前5位學生得到正確答案后，該題目的分數自動降為9分，當有10位學生得到正確答案時，分值再自動減少，一直減少到6分（及格分）為止。這樣可以激勵學生在短時間內迅速思考，并將最先做完的學生的分數和最后做完的學生的分數進行區(qū)分。

6 結語

隨著國家大力發(fā)展網絡安全教育，相信一定會有越來越多的人投入學習網絡安全的隊伍中。在目前的發(fā)展趨勢下，單一的課本技能已經不能解決日益復雜的網絡安全問題，需要一個可以貼近實戰(zhàn)的平臺對學生所學的知識進行整理和實踐。網絡攻防競賽平臺的設計便是以此為初衷，它的設計在于提高學生對于網絡安全的學習熱情，通過比賽也能更好地選拔網絡安全人才，對網絡安全人才的培養(yǎng)非常有意義。網絡攻防競賽平臺的設計參考了目前國內主流的CTF網絡安全競賽的規(guī)則設計，其中加入了一些公安業(yè)務需要的技能考核元素，對學生了解更多的網絡安全知識起到很好的鋪墊作用。

參考文獻：

[1]賓浩斯．心理大師手則：記憶的奧秘[M]．北京：北京理工大學出版社，2013: 56-57.

[2]黃龍軍．游標在Online Judge中的應用[J]．紹興文理學院學報，2012，32(8): 26-29.

[3]丁琦，汪德宏，基于工作過程的高職課程教學模式探討[J].職教論壇，2010(2): 45-46．

篇5

關鍵詞 網絡安全實驗 課程教學 實驗設計

中圖分類號：G424 文獻標識碼：A

0 引言

隨著網絡信息產業(yè)的快速發(fā)展，網絡安全成為亟需解決的問題，我院為了培養(yǎng)應用型本科人才，在網絡通信專業(yè)培養(yǎng)計劃中設置了網絡安全實驗這門選修課，因為開設時間較短，教學過程還處于探索階段。網絡安全實驗教學這門課無論在掌握計算機學科理論，還是鍛煉學生在實際工作生活中解決應用問題的能力方面，都起到了十分重要的作用。因為是實驗課程，所以在教學過程中，比較重視實踐操作過程。網絡安全實驗課程的內容比較集中在P2DR模型中說涉及的網絡安全防御、檢測、響應三大領域，以滿足在現實工作中所遇到的不同網絡安全問題。因此，本文從實驗項目的選擇，實驗平臺的建立，以及實驗教學方法等上對網絡安全實驗教學進行探索。

1 實驗平臺搭建

首先是虛擬機技術在實驗中的使用，網絡安全實驗中的實驗具有一定的破壞性，所以我們采用了虛擬機來進行實驗，在網絡安全實驗中，需要模擬網絡攻擊，使學生掌握怎樣防御的同時，也了解攻擊技術。所以在實驗中我們首先安排了Vmware虛擬機的安裝與配置。在虛擬機中我們安裝windowsserver2003服務器版操作系統(tǒng)，并且配置開啟相關服務。

因為硬件條件有限，所以我們的大量實驗還只能在虛擬機上進行，但為了使學生身臨其境的感受網絡安全技術，我們在綜合實訓中還是建立了基礎的網絡攻防實驗環(huán)境。

2 實驗項目設計

在我國，高校是培養(yǎng)網絡安全人才的核心力量。網絡攻擊與防護是網絡安全的核心內容，也是國內外各個高校信息安全相關專業(yè)的重點教學內容。所以在實驗項目設計上我們體現了實用性為主的觀念，要在實驗中更多的體現未來學生畢業(yè)后，會遇到的網絡安全問題。所以設置了以下實驗：

（1）安裝Vmware虛擬機，并配置完整的網絡環(huán)境。配置完善win2003server虛擬環(huán)境，為以后的實驗搭建平臺，習和掌握Vmware虛擬機的安裝與配置，以建立網絡攻防平臺。

（2）加密原理與技術，利用不同技術進行加密。了解和掌握各種加密方法，以實現信息加密。學習和掌握密碼技術，利用密碼技術對計算機系統(tǒng)的各種數據信息進行加密保護實驗，實現網絡安全中的數據信息保密。

（3）PPPoE的網絡通信原理及應用。學習和掌握基于PAP/CHAP的PPPOE的身份認證方法。學習和掌握利用身份認證技術對計算機和網絡系統(tǒng)的各種資源進行身份認證保護實驗，實現網絡安全中的信息鑒別。

（4）掌握Windows系統(tǒng)中基于PPTV VPN的功能、配置與使用操作。學習和掌握如何利用防火墻技術對網絡通信中的傳輸數據進行鑒別和控制實驗。

（5）學習掌握Windows系統(tǒng)中NAT防火墻的功能、配置與使用操作。學習和掌握網絡通信中的合法用戶數據信息的傳輸，以實現網絡安全中的保密性、鑒別性和完整。

（6）學習和掌握Superscan掃描工具對計算機進行端口掃描的方法，操作應用。學習和掌握各種網絡安全掃描技術和操作，并能有效運用網絡掃描工具進行網絡安全分析、有效避免網絡攻擊行為。

（7）學習和掌握如何利用Wireshark進行網絡安全監(jiān)測與分析。學習各種網絡監(jiān)聽技術的操作實驗，能利用網絡監(jiān)聽工具進行分析、診斷、測試網絡安全性的能力。

（8）學習和掌握Snort網絡入侵監(jiān)測系統(tǒng)的安裝、配置和操作。學習和掌握Snort入侵檢測系統(tǒng)的基本原理、操作與應用實驗。

3 綜合實訓

為了讓學生能適應真實的網絡環(huán)境，使之更貼近應用型人才的培養(yǎng)方案，最后我們設計了綜合實訓這個環(huán)節(jié)，讓學生在網絡通信系統(tǒng)中綜合運用各種網絡安全技術，設計一個整體的網絡安全系統(tǒng)。分析公司網絡需求，綜合運用網絡安全技術構建公司網絡的安全系統(tǒng)。通過一個實際網絡通信系統(tǒng)中的綜合運用，實現整體系統(tǒng)的有效設計和部署。

學生分組進行實訓，分為防御組與攻擊組，為了充分利用實驗資源讓防御組的同學在局域網環(huán)境下搭建服務器靶機，并讓防御組的同學配置VPN、NAT防火墻的技術并搭建SNORT入侵檢測系統(tǒng)。攻擊組同學操作學生終端嘗試攻擊服務器靶機，使用ARP欺騙等技術。防御組的學生使用Wireshark網絡監(jiān)聽查看ARP欺騙源地址，并解決該威脅。

4 結論

隨著網絡技術的發(fā)展，網絡安全成為重中之重，為了培養(yǎng)本科應用型人才，實踐證明實驗必須貼近真實存在的案例才能提高學生的實際網絡攻防水平，使學生掌握網絡安全的新技術，而使用綜合實訓這種方式，更是提高了學生的參與積極性，使教學質量進一步提升。

參考文獻

[1] 常晉義.網絡安全實驗教程. 南京大學出版社，2010.12.

篇6

在網絡安全博弈中，設定參與人是網絡系統(tǒng)和黑客，網絡系統(tǒng)的純戰(zhàn)略是防守和不防守，黑客的純戰(zhàn)略是攻擊和不攻擊。網絡系統(tǒng)防守時能防御到黑客的攻擊概率為e（0<<e<<1），在防守到攻擊后一定能對攻擊者做出相應的懲罰。為了研究網絡系統(tǒng)和黑客之間的博弈，本出如下假設：局中人集合：{網絡系統(tǒng)，黑客}局中人策略空間：網絡系統(tǒng)的策略空間為{放守，不防守}；黑客的策略空間為{攻擊，不攻擊}局中人收益：黑客如攻擊成功，收益為a，黑客攻擊如碰到防守，網絡系統(tǒng)對黑客進行懲罰的收益為e•b，網絡系統(tǒng)的防御成本為c，網絡系統(tǒng)的懲罰成本為d。則當黑客攻擊且網絡系統(tǒng)防守時，黑客的收益為-e•b，網絡系統(tǒng)的收益為e•b-c-d-（1-e）a；當黑客攻擊且網絡系統(tǒng)不防守時，黑客的收益為a，網絡系統(tǒng)的收益的-a；當黑客不攻擊且網絡系統(tǒng)防守時，網絡系統(tǒng)成本為-c，黑客的收益為0；當黑客不攻擊且網絡系統(tǒng)不防守時，網絡系統(tǒng)收益為0，黑客收益為0。根據以上假設，參與人同時選擇或非同時選擇，但后行動者不知前行動者采用了什么具體行動，因此此問題為靜態(tài)博弈，參與人對另一參與人的特征、策略空間及收益函數都有了準確信息，因此為完全信息博弈，綜合而來此問題涉及黑客攻擊與網絡系統(tǒng)防御的完全信息靜態(tài)博弈，其相應的收益矩陣見表。假設網絡系統(tǒng)以概率p進行防守，則不防守的概率就是1-p；q為黑客的攻擊概率，則不攻擊的概率為1-q。下面就來討論混合戰(zhàn)略的納什均衡問題。

2攻防博弈模型的求解

在給定的網絡系統(tǒng)以概率p進行防守時，黑客攻擊q=1的期望收益F（p，1）和黑客不攻擊q=0的期望收益F（p，0）分別為。由（4）式可知，當網絡系統(tǒng)防守概率大于a/a+eb時，不攻擊是黑客的最優(yōu)策略；當網絡系統(tǒng)的防守概率小于a/a+eb時，攻擊是黑客的最優(yōu)策略；當網絡的防守概率等于a/a+eb時，黑客攻擊和不攻擊都具有相同的效果。同理，在給定黑客以概率q進行攻擊時，網絡系統(tǒng)防守p=1的期望收益F（1，q）和網絡系統(tǒng)不防守的p=0的期望收益F（0，q）分別為。由（8）式可知，當黑客的攻擊概率小于c/eb+ea-d時，網絡系統(tǒng)的最優(yōu)選擇是不防守；當黑客的攻擊概率大于c/eb+ea-d時，網絡系統(tǒng)的最優(yōu)選擇是防守；當黑客的攻擊概率是c/eb+ea-d時，防守和不防守具有相同的概率。

3攻防成本的博弈分析

下面對混合納什均衡進行深入的分析：

3.1網絡系統(tǒng)的防守概率（9）式說明網絡系統(tǒng)的防守概率p*是a的單調增函數，即p*隨a的增大而增大，p*隨a的減少而減少。這可以解釋為黑客的攻擊收益越大，則相對應的網絡系統(tǒng)損失越大，網絡系統(tǒng)的防守概率越高；黑客的攻擊收益越小，則相對應的網絡系統(tǒng)損失越小，網絡系統(tǒng)的防守概率越低。（10）式說明網絡系統(tǒng)的防守概率p*是eb的單調減函數，即p*隨eb的增大而減少。這可以理解為黑客得到防御系統(tǒng)的懲罰收益越大，則相應的對黑客的威懾越大，網絡系統(tǒng)的防守概率越小。把eb分開來看，當eb為定值時，e值越小則b值越大，這說明防守成功的概率越低，則相應的應加大懲罰值。

3.2黑客的攻擊概率是由網絡系統(tǒng)的防守成本c、網絡系統(tǒng)對黑客的懲罰值eb、網絡系統(tǒng)成功防御到黑客攻擊所減少的損失值ea、網絡系統(tǒng)的懲罰成本d所決定的。由黑客的攻擊概率q*可知，q與c成正比、與eb+ea-d成反比。q與c成正比，即在其他條件不變的情況下，防守的成本c越小，黑客攻擊概率越?。贿@可以解釋為：防守成本c越小，網絡系統(tǒng)防守的就越多，那么被黑客攻擊的概率就會越少。q與eb+ea-d成反比，即當c一定時，防守系統(tǒng)對黑客的懲罰收益越大，網絡系統(tǒng)成功防御到黑客攻擊所減少的損失值越大，網絡系統(tǒng)的懲罰成本越小，則黑客的攻擊概率越小。分開來看，q與eb、ea均成反比，與d成正比；即防守系統(tǒng)對黑客的懲罰收益越大，則給黑客的威懾越大，黑客的攻擊概率越低；防守系統(tǒng)成功防御到黑客攻擊所減少的損失值越大，也就是防御系統(tǒng)內部的防御信息越重要，防御系統(tǒng)就越會加大防御，黑客的攻擊概率就越低；防守系統(tǒng)的懲罰成本越大，則防守方實際所得的收益越小，黑客的攻擊概率越大。q與ea、eb均成反比，則當a、b是定值時，q與e成反比；又由于q與c成正比，則當其他條件不變時，e與c成反比。從而可知網絡系統(tǒng)防御的成功率越高，網絡系統(tǒng)的防御成本就越低，即增加網絡系統(tǒng)的防御成功率可以降低網絡系統(tǒng)的防御成本。由q與c成正比、q與eb成反比可知，若使黑客的攻擊概率越小，則最好使網絡系統(tǒng)的防御成本越低，對網絡系統(tǒng)黑客的懲罰值越大。但目前由于網絡系統(tǒng)的復雜性，防御成本很難降下來，因此就可以加大懲罰力度。這也說明了在網絡安全方面懲罰機制和防御機制同樣重要。

4網絡安全治理建議

由以上網絡安全攻防博弈分析可知，網絡安全是由網絡的防守成本、網絡系統(tǒng)對黑客的懲罰值、黑客的攻擊收益值、網絡系統(tǒng)的懲罰成本所決定的。對這些方面，特提出如下建議：

4.1加大取證技術建設。網絡安全的取證技術既是防御系統(tǒng)的根基，也是懲罰體系的根基。比如取證技術的典型蜜罐技術，它通過設置陷阱取證記錄攻擊源和攻擊方法，在防御方面根據記錄到的攻擊源和攻擊方法，得出相應的應對策略，然后給防火墻和入侵檢測系統(tǒng)加入相應的策略，以應對后面的攻擊；在懲罰方面以記錄的攻擊源和攻擊方法作為證據，運用法律等相關手段對攻擊者做出相應的懲罰。取證工作做不好，面對新型的攻擊，防御和懲罰就都不可能執(zhí)行下去。

4.2加大防御技術建設，使防御系統(tǒng)廉價，做好防御系統(tǒng)普及工作。防御系統(tǒng)價格越低，防御普及率才會越高，安全性才會越好。加大對網絡內各個部位核心技術的掌握（一些重要部門的內部網絡最好全部運用自己的技術），防御的成功率才會較高，防御系統(tǒng)的成本才會大大減少。比如國內電腦基本都用微軟的操作系統(tǒng)，核心交換機大部分用思科的設備，打印機基本都用HP等國外設備。只要這些設備廠商開啟后門，網絡將無安全可言。內部技術不掌握，防御總是處于被動之中，投資再高，實際效果也不會大。目前網絡系統(tǒng)內很多設備的核心技術都不在自己的掌握下，因此軍工等一些重要情報部門內部網絡最好不要接入到Internet網。防御系統(tǒng)方面可以建立各層防御體系，電腦開發(fā)免費的取證審計系統(tǒng)，使每個用戶都有監(jiān)督自己電腦的方式。其他網絡的各個部件也要建立自己的取證審計系統(tǒng)，方便網絡管理員對網絡其他部件的監(jiān)控管理工作。

4.3加大網絡懲罰機制建設和懲罰力度，降低懲罰成本。網絡安全方面的懲罰方式很多，比如法律懲罰、網絡反攻等。針對目前國內嚴峻的網絡安全問題，應該完善網絡安全法規(guī)，做到有法可依，執(zhí)法必嚴，違法必究，使執(zhí)行的成本大大減少，這樣就能對黑客給予足夠的威懾，有效降低攻擊概率。比如圖書館網絡系統(tǒng)面對黑客的攻擊時，只要對黑客的懲罰相比黑客獲得的利益越大，理性的黑客就越不敢攻擊。懲罰可以根據國家的立法進行，比如發(fā)現某些公司運用自己的產品進行犯罪牟利時，就可以根據相應的法律措施給予懲罰。國家間的網絡犯罪，可以在全世界成立一個集體的組織比如聯合國，建立相應的法規(guī)，對國與國之間的網絡攻擊給予嚴厲的懲罰。二戰(zhàn)后以美國為首的西方國家，就建立了聯合國國際機構，對一些國際間的違規(guī)事務進行處理，比如成立原子彈不擴散條約，以避免對世界毀滅性的傷害。美國作為聯合國的五大常任理事國之一，如果想維護世界的網絡安全，也需要對最近出現的斯諾登“棱鏡門”事件等，給出相應的說明或解決方法，這樣才能更好地帶頭制定和實施相應的懲罰制度，以維護世界的網絡安全。對于國家間的網絡攻擊，當聯合國的法律懲罰難以實施時，也可以發(fā)展網絡反攻懲罰技術，在國家內部建立起強大的網絡部隊，給予別國巨大的威懾，以減少網絡戰(zhàn)爭。只要攻擊方法發(fā)展起來、攻擊成本降低，實施反擊更加容易，給另一個國家的懲罰相對于其獲得的收益越大，就會給想攻擊的國家?guī)碜銐虼蟮耐兀@樣理性的國家就越不敢攻擊。

篇7

關鍵詞：計算機工程，網絡安全課程，實踐教學

網絡安全的本質是人與人的對抗，網絡安全人才培養(yǎng)是對抗的決勝因素。高職網絡安全課程本身綜合性、實踐性較強，傳統(tǒng)教學常以講授理論為主，知識結構體系缺乏關聯性、實戰(zhàn)性，無法與當前網絡安全系列1+X證書制度相融合。對網絡安全課程進行項目化重構，以1+X證書培訓中的網絡安全實訓項目貫穿課內外教學活動全程，是實現課證融通的重要環(huán)節(jié)，提高學生專業(yè)技能更為有效。

1網絡安全課程項目化的教學問題

解決高職學生學習能力不足的問題。五年制高職計算機網絡技術專業(yè)學生水平參差不齊，由于主要招收初中應屆畢業(yè)生，一些學生基礎知識薄弱、學習主觀能動性差、學習缺乏方法和動力，在參與專業(yè)課學習活動時總是停留在等、靠、要的階段。通過對該專業(yè)學生的調查分析，學生的計算機使用水平存在一定的差異化，分析原因與各初中學校實施信息素質教育的差異情況有直接關系。大部分學生能夠明白計算機能力對未來可持續(xù)發(fā)展的必要性，仍有少部分學生尚未認識到該能力的實用性。作為一門新興科學，網絡安全被納入計算機網絡技術專業(yè)的專業(yè)課程，為學生的必修課。網絡安全課程是一門理實一體化的課程，學生在理解理論知識后需實際動手操作網絡安全實驗，以此提高專業(yè)技能水平。在往年的實踐教學中發(fā)現，學生的學習能力、主觀能動性會隨教學內容難度的深層次遞進，慢慢降低，無法深入了解課程的理論知識要點。在實踐性學習活動中，更無法融合相關網絡安全技能要點處理實際發(fā)生的問題。解決師資團隊實戰(zhàn)能力不足的問題。網絡安全本是實戰(zhàn)性較強的專業(yè)領域，就高職師資團隊分析，大多數教師為剛畢業(yè)的本科生及研究生，且為師范畢業(yè)，沒有體驗過網絡安全相關企業(yè)的工作環(huán)境及內容，缺乏網絡安全一線實踐經驗。因此，在教學活動中，內容更趨向于網絡安全基礎理論知識，缺乏實踐性項目或實驗。項目式教學提升了學生的各種能力，更要求教師成為項目的組織者，對教師的綜合素質提出了更高的要求，對計算機網絡技術專業(yè)教師而言，是一種新的挑戰(zhàn)。解決理實教學內容更新滯后的問題。目職網絡安全課程的教學內容較依賴于相關教材，而這些教材的質量及年限導致教學內容更新滯后。且高職網絡安全教材往往照搬本科院校教材，將理論學術研究問題融入，實踐內容匱乏，僅僅為單一的驗證性案例，不利于培養(yǎng)學生理論聯系實際的能力，與目前網絡安全人與人攻防現狀脫節(jié)嚴重。即使一些教材也采用了項目化教學的模式，但教學內容停留在工具的使用，致使學生成為網絡安全“腳本小子”，并非網絡攻防人才。網絡安全涉及的專業(yè)技術、安全工具繁多，隨著安全問題呈現出的復雜化形勢，學生很容易被這些表象所混淆，進入“只見樹木不見森林”的誤區(qū)，無法在網絡攻防技術方面快速成長。

2網絡安全課程項目化的教學實踐

結合1+X證書制度要求，提高學生學習能力。為了提高學生的學習能力和興趣，依據五年制高職計算機網絡技術專業(yè)人才培養(yǎng)方案的要求，基于網絡安全課程目標，轉變傳統(tǒng)純理論、教為主的教學模式，按照“以能力為本位、以職業(yè)實踐為主線、以項目式學習為主體”對該課程進行項目化重構設計。通過項目將教學變?yōu)橐环N教與學的互動，激發(fā)學生學習興趣，調用學生的主動性，開展多樣化的項目式學習活動，讓學生融入實踐性項目的完成過程中，轉變其不正確的學習觀，打消“等、靠、要”的學習依賴性。除日常教學外，指導學生參加技能競賽、應用開發(fā)、行業(yè)認證，正確幫助學生樹立學習目標，引導學生增強終身學習的信念及未來的職業(yè)信心。既強調1+X證書制度對應網絡安全評估等工作崗位的技能需求，也強調學生個人未來的可持續(xù)發(fā)展的要求。所以，課程重構設計中，一切都以學生樂于學習、易于學習、善于學習為準，滿足學生分階段“體驗--改進--創(chuàng)新”的項目式學習需求。校企產教融合，共助“雙師型”教師隊伍建設。為提升師資團隊的實戰(zhàn)能力，鼓勵教師參加1+X證書師資培訓，通過培訓幫助高職教師理解1+X證書制度、網絡安全相關證書培訓教學和考核的要求，提升網絡安全攻防水平，了解最新的網絡安全技術及動向。基于現有與華為、科大訊飛、中科磐云等校企合作基礎，開展企業(yè)實踐及行業(yè)交流活動，提高教師項目化實踐教學能力、項目創(chuàng)新及科研能力，促進教師發(fā)展專業(yè)化發(fā)展，打造“雙師型”師資隊伍。項目化課程重構，優(yōu)化內容實現課證融通。教師可以在1+X證書培訓企業(yè)專家的指導下，對網絡安全課程的結構、知識點進行分析，深化構建網絡安全技術知識體系，從專業(yè)角度出發(fā)，建立“網絡安全技術知識樹”。從教學內容上把原零散的知識點轉換為一個個項目，各加強知識模塊間的聯系。依據課程特點和現狀，進行項目化課程重構。根據網絡安全風險評估相關崗位的能力需求，明確課程目標定位，將1+X證書內容融入課堂教學中，實現理論和技能知識的可持續(xù)更新，培養(yǎng)高質量的網絡安全應用型人才。實踐中要注意，基于項目化的課程重構，是將實際項目融入理實一體化的課堂教學中，而不是利用課后探索、研發(fā)項目學習內容。重構的目的在于將原書本專業(yè)知識分解、整合優(yōu)化為基于項目的學習內容，這些項目往往為實際企業(yè)生產環(huán)境中出現的問題或是任務驅動型。將學生生活中的經驗與專業(yè)知識相結合，更適于網絡安全技術知識的實際應用。項目化教學要求教師要先深入研究實訓項目，課前需準備好項目中的各理論、技能知識點，可結合小組合作學習等方式開展。理論知識注重講練結合，利用1+X網絡安全學習平臺將理論知識講解、案例演示有機結合，提高授課的效率。為提高學生的學習能力，可對課程理論知識進行詳細劃分，一些簡易的內容，可融入項目中交給學生，項目匯報展示時分小組上臺講解知識點，由教師進行總結擴展。實踐教學注重實際應用，利用1+X場景仿真實訓平臺，引導學生在模擬的網絡空間安全問題場景內對解決方案進行模擬驗證，依據驗證結果再對方案進行修改、完善，進一步培養(yǎng)學生的創(chuàng)新開發(fā)能力，完成1+X考核要求，實現課證融通。

3結語

高職網絡安全課程教學過程中存在學生學習能力不足、教師缺乏實戰(zhàn)能力、內容更新之后等問題，本章結合高職網絡安全教學的實際情況，結合1+X證書制度，重新構建項目化的教學體系，利用校企合作雙師培養(yǎng)、1+X信息化資源平臺利用等策略，實踐育人，提高學生對課程學習的興趣、主觀能動下、解決實際安全問題的能力。

參考文獻

[1]李冬.高職計算機網絡專業(yè)課程群建設[J].職業(yè)技術教育,2005,26(01):45-47.

[2]俞研,蘭少華.計算機網絡安全課程教學的探索與研究[J].計算機教育,2008(18):127-128.

篇8

去年12月底，美國就對朝鮮進行了全面的網絡攻擊，使得朝鮮全國網絡癱瘓了2天。美國組建了網絡戰(zhàn)聯合功能構成司令部，擁有約9萬名安全研究軍人，日本于2011年建立網絡空間防衛(wèi)隊，投資了約70億日元負責安全項目。在和平時代，網絡的攻防成為國家間沒有硝煙的戰(zhàn)場。

正式以法律的角度來確保我國的軍事安全、科技安全領域：在維護國家安全的任務方面，新法要求，國家加強自主創(chuàng)新能力建設，加快發(fā)展自主可控的戰(zhàn)略高新技術和重要領域核心關鍵技術，加強知識產權的運用、保護和科技保密能力建設，保障重大技術和工程的安全。

國家建設網絡與信息安全保障體系，提升網絡與信息安全保護能力，加強網絡和信息技術的創(chuàng)新研究和開發(fā)應用，實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統(tǒng)及數據的安全可控。

IT安全是國家戰(zhàn)略安全的制高點：當代社會已經進入數字社會，互聯網開始連接一切，構成互聯網時代的基礎則是各種通訊設備和系統(tǒng)應用軟件，信息安全是國家安全的重中之重，保障互聯網安全，保障IT信息產業(yè)安全將是重頭戲。

在互聯網的時代，IT產業(yè)國產化的進程不可逆轉。加大IT安全有兩條路徑，即防護和自身系統(tǒng)國產化。前者需要加大對防火墻、攻防產品的投入；后者則是加大系統(tǒng)的國產化率，做到自主可控。

網絡安全法人大二次審稿結束，政策依然密集支持：現在法律已經落地，那么以前各個部門、領域的臨時網絡安全措施便有了法律依據，從投資邏輯上我們具體可以關注三條線：軟件自主可控，硬件自主可控以及系統(tǒng)自主可控，軟件自主可控表現在架構上，更多的使用云計算架構替代傳統(tǒng)國外巨頭的軟件設施；硬件上來看，從芯片、服務器、網絡安全設備等等，開始對國外設備進行替代；從系統(tǒng)自主可控，更多的以具有保密資質的國內企業(yè)來完成以往國外公司招標的系統(tǒng)。

篇9

關鍵詞:軟件工程;網絡安全;教學改革

中圖分類號:G642文獻標識碼:A文章編號:1009-3044(2010)08-1934-02

The Design and Implement of the Basis of Computer Applications

YU Ying, DENG Song, WANG Ying-long

(Department of Software, Jiangxi Agricultural University, Nanchang 330045, China)

Abstract: In order toenhance the student's applicational ability, This paper talk about the reform of network security course from such aspects as teaching materials, teaching management, teaching method, practice step and improving the ability of student.

Key words: software engineering; network security; educational reform

近年來,我院圍繞軟件工程專業(yè)面向軟件產業(yè)培養(yǎng)高素質應用型軟件工程人才這個定位,不斷探索新的培養(yǎng)理念、培養(yǎng)模式,調整課程體系和教學目標、改革教學方法和教學手段。本文結合我院人才培養(yǎng)的改革與實踐,探討“網絡安全”課程教學改革。

“網絡安全”是我院軟件工程專業(yè)網絡工程方向的一門方向專業(yè)課,在專業(yè)課程中占據很重的分量。“網絡安全”是一門綜合性很強的課程,涉及的知識包括計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、數論、信息論等多門學科。根據培養(yǎng)應用型人才這個目標,我們將授課目標定位在培養(yǎng)掌握網絡安全的基礎概念合理論,了解計算機網絡潛在安全問題,掌握常用的計算機網絡安全技術,增強學生的安全意識以及對安全問題的分析和處理能力,能在實際生活和工作中解決某些具體安全問題的應用型人才。因此,軟件工程專業(yè)“網絡安全”課程不能與計算機專業(yè)開設的網絡安全課程一樣,著重基礎理論教學。如何進行軟件工程專業(yè)下的“網絡安全”課程教學改革,加強學生實踐動手能力的培養(yǎng)突出應用能力的培養(yǎng),使之符合軟件工程專業(yè)強調學生動手實踐能力的特點是本文要探討的內容。

1 合理組織教學內容,適應教學要求

“網絡安全”課程覆蓋知識面廣泛,學生不可能在有限的時間內掌握所有的安全技術,根據確定的課程目標,針對培養(yǎng)應用型人才的需要,確定本課程教學內容包括計算機網絡安全基礎理論(網絡安全體系結構、網絡安全評估標準、網絡安全協議基礎)、網絡安全攻擊技術(網絡掃描、網絡監(jiān)聽、攻擊類型)、網絡安全防御技術(數據加密認證技術、防火墻、入侵檢測、操作系統(tǒng)安全配置方案)、網絡安全綜合解決方案四個部分。在課程選擇上從傳統(tǒng)的偏重網絡安全理論的介紹,轉變?yōu)楸容^實用的新型技術的學習,突出應用能力的培養(yǎng)。

由于目前沒有專門針對軟件工程專業(yè)的網絡安全教材,通用的網絡安全教材一般著重就介紹網絡安全理論與常用網絡攻防技術。知識點孤立、分散,沒有形成一個完整的體系。很少有教材綜合多個知識點結合案例進行講解分析,而且教材中關于網絡安全綜合解決方案的內容很簡單,篇幅也很少,不適合培養(yǎng)應用型人才的需要。為了解決這個問題,我們整合多本教材作為授課教材。在授課內容的組織上,重新調整次序,將前三部分內容穿插在綜合解決方案里,保證授課內容包含教學大綱要求掌握的所有知識點。

在教學大綱編寫上,我們改變以往“網絡安全”課程單獨制定大綱的方式,將本課程和其它網絡相關課程一起按課程模塊統(tǒng)一制定大綱,使得教學內容的總體布局更加科學合理。例如,網絡安全協議――TCP/IP協議簇安排在“TCP/IP協議原理及應用”課程中重點講解,防火墻及IDS的配置安排在“網絡設備”課程中講解,避免出現知識盲點和教學內容重復現象。

2 改進教學方法,激發(fā)學生學習興趣

采用以案例教學為主,理論教學為輔的方法。圍繞解決企業(yè)安全問題這條主線,把課程內容分為發(fā)現安全問題、分析安全問題、解決安全問題3大部分,通過一個實際的案例(某大學校園網)貫穿始終,圍繞著課程主線,逐步將知識點滲透。目前常見的攻擊技術(口令攻擊、木馬、IP欺騙、拒絕服務攻擊、會話劫持等)和防御技術(防火墻、入侵監(jiān)測等)都可以在校園網中找到案例,因此將校園網安全問題作為案例講解有一定的代表性。在案例中設計了各種常見的網絡攻擊的情景,通過實際情景引申出原理的講解,原理依然采用多媒體設備進行課堂講授,對于常見攻擊要進行當堂演示,回放攻擊過程,然后再講解具體的防御措施和手段,并演示防御過程。采用這種授課方式使學生切實感受到各種安全問題的存在,加深對各種攻擊技術和防御方法的理解,靈活掌握各種防御技術的應用。通過一個完整案例的分析講解,使各個知識點不再孤立,而是形成一個整體,與現實中各種網絡安全綜合解決過程相符。每個部分中各知識點均配有其它案例作補充,例如常見網絡攻擊技術均設計有相關案例講解分析,而且根據網絡安全最新技術,每年調整案例內容。

在教學過程中轉變傳統(tǒng)的“填鴨式”教學為啟發(fā)式教學,讓學生以企業(yè)安全顧問的角色對企業(yè)的運行過程及網絡架構進行診斷,找出問題并提出解決方案和整改措施,最后要學生根據所學知識完成二次案例設計。實際的案例討論和應用將理論與實際完全結合起來,既有邏輯性,也有趣味性。學生全方位參與教學過程,充分調動了學生的學習積極性,引導學生發(fā)現問題,解決問題,培養(yǎng)學生動手的能力,激發(fā)學生的學習主動性。

3 加強實踐教學,提高動手能力

網絡安全是實踐性非常強的課程,光說不練不行。本課程實驗教學最初分為基礎驗證型和綜合設計型兩個層次。實驗內容涵蓋了網絡攻擊技術、訪問控制技術、防火墻技術、入侵檢測技術等。為了加強學生專業(yè)創(chuàng)新能力和應用能力的培養(yǎng),在原有兩個層次之上增加一個研究創(chuàng)新型實驗,調整為3個層次,并加大后面層次的比重。

基礎驗證實驗內容與理論課內容相銜接,且相對固定。包括網絡掃描、網絡監(jiān)聽、DES算法實現、程序實現簡單IDS、口令攻擊、木馬攻擊、拒絕服務攻擊等。通過基礎實驗幫助學生掌握密碼學算法實現,網絡安全設備配置,并讓學生體驗網絡攻擊防御的全過程。本類型實驗安排在每個理論知識點講解后進行。

綜合設計實驗鍛煉學生綜合運用網絡安全知識解決問題的能力,在真實網絡環(huán)境中,將學生分成兩組,一組學生發(fā)現網絡存在的安全漏洞并進行攻擊,另一組對發(fā)現的攻擊行為進行分析,確定攻擊類型并采取相應的措施,一遍攻防實驗結束后再輪換。該類型實驗主要通過課程實訓、實習基地實戰(zhàn)訓練等方式實現,要求學生綜合運用所學網絡安全知識,提高解決具體問題的能力,培養(yǎng)整體安全意識。該類型實驗安排在理論課完成后,集中一周或兩周進行;

研究創(chuàng)新實驗要求學生利用學過的知識和積累的經驗,針對創(chuàng)新課題提出有創(chuàng)意的設計并加以實現。該層次實驗主要通過創(chuàng)新課題研究、畢業(yè)設計與畢業(yè)論文、競賽項目、興趣小組等方式實現。內容來源于教師的科研項目、學生的自主科研選題、社會實踐活動和企事業(yè)應用需求,實驗內容每年都在更新。

4 注重能力培養(yǎng),提高學生綜合素質

近年來,我院從應用型人才標準出發(fā)認真研究了國內外各高校軟件工程專業(yè)人才培養(yǎng)模式,辦學經驗,認識到軟件工程教育不僅要使我們的學生掌握專業(yè)相關知識、系統(tǒng)分析和設計能力、科學分析方法、工程思維能力。還必須具備良好的學習能力、語言表達能力、溝通能力和團隊協作能力等。因此,在我們進行教學改革時,要把對學生能力的培養(yǎng)和課程的學習融合起來。在“網絡安全”課程的教學活動中,為了培養(yǎng)學生的能力,我們做了以下幾方面工作。

以項目為載體,將學生的基礎知識學習和綜合能力訓練、扎實的課程學習和廣泛的探索興趣結合起來,引導學生養(yǎng)成終身學習的習慣,培養(yǎng)工程思維方式以及系統(tǒng)分析設計能力。在實驗過程中,注重學生主觀能動意識的培養(yǎng)。

將合作性實驗模式引入實驗教學,通過合作,培養(yǎng)了學生的團隊意識、和同學、老師的交流溝通能力,提高學生的綜合素質,培養(yǎng)創(chuàng)新意識和能力。

開設《大學語文》、《思想道德修養(yǎng)》等課程增強學生良好的職業(yè)道德和責任感的培養(yǎng),提高人文素質。

5 結束語

隨著網絡安全形勢的日益嚴峻,《網絡安全》課程成為熱點課程,且隨著攻防對抗不斷升級,新技術不斷產生,課程內容也不斷變化,這些給我們的教學工作帶來難度。如何設計深淺適宜,符合應用型人才培養(yǎng)目標的授課內容、如何把抽象的理論變成學生易懂的知識,要需要在以后的教學實踐中進行不斷的總結和提高。

參考文獻:

[1] 駱斌,趙志宏,邵棟.軟件工程專業(yè)工程化實踐教學體系的構建與實施[J].計算機教育,2005(4):25-28.

篇10

關鍵詞：信息中心；安全；原因；優(yōu)化

中圖分類號：TP393.18 文獻標識碼：A 文章編號：1674-7712 （2013） 20-0000-01

學校信息中心肩負著保障整個校園計算機與校園網絡可靠運行的重任。在計算機與網絡維護的工作中，我們經常發(fā)現威脅網絡安全的風險因素，只有認清并掌握這些網絡安全問題，并及時采取防范優(yōu)化策略才能保障整個校園網絡的正常運轉。

一、學校信息中心發(fā)現的主要網絡安全問題

（一）軟件漏洞帶來的安全威脅

現階段網絡信息化已經普及到各大高校，一個校園各項教學與管理任務的正常運轉要依靠各類軟件系統(tǒng)的支撐。例如，遼寧某大學的教師教務與學生成績的管理，圖書館的借閱圖書管理，財務部門的學生學費繳納管理，學校后勤部門的管理等等，都開始應用了系統(tǒng)的管理系統(tǒng)軟件。而類似這些軟件在開發(fā)與設計當中難免會遺留一些問題，在加上每個學校形勢每天都在變化，軟件的升級與維護工作又不能夠及時的跟進，這就讓很多病毒與木馬有大量的機會來入侵和攻擊這些校園管理系統(tǒng)軟件。軟件攜帶進校園網絡的病毒還具有一定的擴散性，如不加以控制將迅速蔓延至整個校園網絡。

（二）硬件設置與設備上的安全威脅

以計算機、服務器以及路由器和交換機、還有各類移動設備和網線等硬件設備等都是校園網絡系統(tǒng)得以運轉和實施的重要載體。這些硬件設備在設置上往往忽略了安全密碼的設置，或者設置的密碼安全等級低、還有的學校從應用這些設備以來都沒有對密碼進行過更換，一直使用設備出廠設置的最初的初始密碼。這就造成了黑客在硬件設置上找到了漏洞，將病毒通過漏洞攜帶進校園網絡。有些校園的計算機還設置了可以遠程協助等功能，黑客會通過遠程對該計算機進行控制[1]。再有，很多學校也忽視了對諸如雙絞線、光纜、服務器以及UPS電源等硬件設備的維護。例如，沒有對這些硬件設備進行防水、防火方面的保護，沒有采取恰當的抗震措施；也有的學校忽略了設備的防磁干擾防護等等。以上，都屬于硬件設置與設備維護上構成的校園網絡安全風險威脅。

（三）校園內部對網絡資源的濫用

校園網絡對于帶寬的需求已經超過了我國不斷更新的帶寬增長速度。即使千兆級的帶寬網絡被應用到校園網絡上，還是不能夠滿足廣大師生對于網絡帶寬的需求。主要是因為下載教學軟件與視頻的用戶不斷增多，甚至有些學生過分利用校園網絡資源，例如大量下載電影、電視劇等，每天大量下載任務的加劇造成了網絡資源不斷被占用，甚至會影響到正常教學管理系統(tǒng)任務的執(zhí)行效率。而在下載過程中各類病毒也很容易入侵進校園網絡，這些校園內部網絡資源的濫用都構成了對校園網絡安全的威脅。

二、校園網絡安全問題頻發(fā)的原因

校園網絡安全問題頻發(fā)的原因是多方造成的。首先是校園管理與日常辦公軟件系統(tǒng)的應用越來越多，教師與學生們對郵件、網頁、游戲、博客、QQ等軟件的使用率愈來愈高，這些系統(tǒng)應用的頻繁都增加了網絡系統(tǒng)安全的風險指數。例如，常常見到的網速慢、網頁不能正常打開與關閉、計算機藍屏、系統(tǒng)用戶被篡改、甚至有些教學應用數據被修改等現象常有發(fā)生，極大的影響了學校教學秩序的順暢進行。其次，學校信息中心的管理者技術水平參差不齊，有的沒有接受過系統(tǒng)的網絡維護與病毒防范知識培訓，網絡安全意識薄弱，認為一些殺毒軟件與木馬防范程序的安裝可有可無等，這些都造成了對網絡安全維護工作的忽視，讓病毒有可乘之機，威脅校園網絡正常運轉。此外，一些黑客的技術手段也愈加高明，風險因素隨時可能爆發(fā)，病毒和木馬的不斷更新也對校園網絡安全造成了不小的威脅。

三、防范優(yōu)化學校網絡安全的重要策略

（一）加強防火墻與漏洞掃描，維護軟件系統(tǒng)安全

校園信息中心的網絡管理人員要注意在每臺計算機上安裝IP地址檢測、病毒檢測軟件。防火墻的安裝也必不可少。特別要注重對軟件漏洞的掃描，可以利用360安全殺毒軟件或者金山毒霸軟件的漏洞掃描功能，及時查找網絡系統(tǒng)的漏洞并進行補丁修補。此外，要定期對計算機的內存、垃圾軟件等進行清理，讓計算機能夠高效的運行[2]。軟件登錄時注意口令與密碼的核對，注意用戶身份的認證。對于軟件系統(tǒng)的維護上，要注重軟件定期運行狀況的監(jiān)測，及時對軟件進行升級處理[3]。如果校園應用軟件被黑客攻擊與控制，要有相應的應急補救措施。

（二）做好硬件配套設施的維護，保障硬件系統(tǒng)安全

學校信息中心在采購網絡設備諸如計算機、服務器、USB移動設備、路由器和交換器時，一定要注意檢查設備的質量，保障其功能與性能良好。在校園網絡應用中，也要對相應的硬件進行安全設置，密碼登記要高，盡量避免密碼等級低帶來的不安全風險。在計算機上盡量不要允許遠程控制，杜絕黑客控制。在設備的防火、防潮、防磁與防震方面也要多加注意，避免因火災、潮濕、磁干擾和震動帶來的硬件系統(tǒng)風險。

（三）規(guī)范校園網絡使用規(guī)定，避免網絡資源的濫用

學校應該加強網絡安全使用方面的規(guī)定，加強信息中心網絡維護人員的管理與培訓[4]。對于學生占用網絡資源進行的電影、視頻、電視劇等的下載量要進行控制，對于教學軟件與P2P軟件的帶寬的合理分配等都要進行合理的規(guī)定，對于教學軟件與QQ或者游戲的帶寬占用要以教學軟件優(yōu)先，保障正常教學任務的優(yōu)先進行。杜絕學生在網絡應用中對不良網站的瀏覽、強化綠色網絡環(huán)境的建設[5]。

四、結語

校園信息網絡對于各項教學與管理工作的順利進行提供著較為高效的平臺，我們在對其利用的過程中要避免資源浪費，意識到網絡安全問題的存在并積極采取防范與優(yōu)化的策略，讓其更好地為廣大師生服務。

參考文獻：

[1]李俊民.網絡安全與黑客攻防寶典[M].電子工業(yè)出版社，2011：87.

[2]俞朝暉，王，趙怡程.系統(tǒng)防護、網絡安全與黑客攻防實用寶典[M].中國鐵道出版社，2013：35-41.

[3]劉瑩.計算機信息網絡安全技術和防范措施探析[J].中國科技博覽，2013（16）：72.

[4]（美）康維，著.田果，劉丹寧，譯.網絡安全體系結構[M].人民郵電出版社，2013：22-25.