時間:2023-08-06 10:46:45
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇網絡安全意識建議范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
關鍵詞:網絡安全;異常檢測;方案
網絡安全事件異常檢測問題方案,基于網絡安全事件流中頻繁情節發展的研究之上。定義網絡安全異常事件檢測模式,提出網絡頻繁密度概念,針對網絡安全異常事件模式的間隔限制,利用事件流中滑動窗口設計算法,對網絡安全事件流中異常檢測進行探討。但是,由于在網絡協議設計上對安全問題的忽視以及在管理和使用上的不健全,使網絡安全受到嚴重威脅。本文通過針對網絡安全事件流中異常檢測流的特點的探討分析,對此加以系統化的論述并找出合理經濟的解決方案。
1、建立信息安全體系統一管理網絡安全
在綜合考慮各種網絡安全技術的基礎上,網絡安全事件流中異常檢測在未來網絡安全建設中應該采用統一管理系統進行安全防護。直接采用網絡連接記錄中的基本屬性,將基于時間的統計特征屬性考慮在內,這樣可以提高系統的檢測精度。
1.1網絡安全帳號口令管理安全系統建設
終端安全管理系統擴容,擴大其管理的范圍同時考慮網絡系統擴容。完善網絡審計系統、安全管理系統、網絡設備、安全設備、主機和應用系統的部署,采用高新技術流程來實現。采用信息化技術管理需要帳號口令,有效地實現一人一帳號和帳號管理流程安全化。此階段需要部署一套帳號口令統一管理系統,對所有帳號口令進行統一管理,做到職能化、合理化、科學化。
信息安全建設成功結束后,全網安全基本達到規定的標準,各種安全產品充分發揮作用,安全管理也到位和正規化。此時進行安全管理建設,主要完善系統體系架構圖編輯,加強系統平臺建設和專業安全服務。體系框架中最要的部分是平臺管理、賬號管理、認證管理、授權管理、審計管理,本階段可以考慮成立安全管理部門,聘請專門的安全服務顧問,建立信息安全管理體系,建立PDCA機制,按照專業化的要求進行安全管理通過系統的認證。
邊界安全和網絡安全建設主要考慮安全域劃分和加強安全邊界防護措施,重點考慮Internet外網出口安全問題和各節點對內部流量的集中管控。因此,加強各個局端出口安全防護,并且在各個節點位置部署入侵檢測系統,加強對內部流量的檢測。主要采用的技術手段有網絡邊界隔離、網絡邊界入侵防護、網絡邊界防病毒、內容安全管理等。
1.2綜合考慮和解決各種邊界安全技術問題
隨著網絡病毒攻擊越來越朝著混合性發展的趨勢,在網絡安全建設中采用統一管理系統進行邊界防護,考慮到性價比和防護效果的最大化要求,統一網絡管理系統是最適合的選擇。在各分支節點交換和部署統一網絡管理系統,考慮到以后各節點將實現INITERNET出口的統一,要充分考慮分支節點的internet出口的深度安全防御。采用了UTM統一網絡管理系統,可以實現對內部流量訪問業務系統的流量進行集中的管控,包括進行訪問控制、內容過濾等。
網絡入侵檢測問題通過部署UTM產品可以實現靜態的深度過濾和防護,保證內部用戶和系統的安全。但是安全威脅是動態變化的,因此采用深度檢測和防御還不能最大化安全效果,為此建議采用入侵檢測系統對通過UTM的流量進行動態的檢測,實時發現其中的異常流量。在各個分支的核心交換機上將進出流量進行集中監控,通過入侵檢測系統管理平臺將入侵檢測系統產生的事件進行有效的呈現,從而提高安全維護人員的預警能力。
1.3防護IPS入侵進行internet出口位置的整合
防護IPS入侵進行internet出口位置的整合,可以考慮將新增的服務器放置到服務器區域。同時在核心服務器區域邊界位置采用入侵防護系統進行集中的訪問控制和綜合過濾,采用IPS系統可以預防服務器因為沒有及時添加補丁而導致的攻擊等事件的發生。
在整合后的internet邊界位置放置一臺IPS設備,實現對internet流量的深度檢測和過濾。安全域劃分和系統安全考慮到自身業務系統的特點,為了更好地對各種服務器進行集中防護和監控,將各種業務服務器進行集中管控,并且考慮到未來發展需要,可以將未來需要新增的服務器進行集中放置,這樣我們可以保證對服務器進行同樣等級的保護。在接入交換機上劃出一個服務器區域,前期可以將已有業務系統進行集中管理。
2、科學化進行網絡安全事件流中異常檢測方案的探討
網絡安全事件本身也具有不確定性,在正常和異常行為之間應當有一個平滑的過渡。在網絡安全事件檢測中引入模糊集理論,將其與關聯規則算法結合起來,采用模糊化的關聯算法來挖掘網絡行為的特征,從而提高系統的靈活性和檢測精度。異常檢測系統中,在建立正常模式時必須盡可能多得對網絡行為進行全面的描述,其中包含出現頻率高的模式,也包含低頻率的模式。
2.1基于網絡安全事件流中頻繁情節方法分析
針對網絡安全事件流中異常檢測問題,定義網絡安全異常事件模式為頻繁情節,主要基于無折疊出現的頻繁度研究,提出了網絡安全事件流中頻繁情節發現方法,該方法中針對事件流的特點,提出了頻繁度密度概念。針對網絡安全異常事件模式的時間間隔限制,利用事件流中滑動窗口設計算法。針對復合攻擊模式的特點,對算法進行實驗證明網絡時空的復雜性、漏報率符合網絡安全事件流中異常檢測的需求。
傳統的挖掘定量屬性關聯規則算法,將網絡屬性的取值范圍離散成不同的區間,然后將其轉化為“布爾型”關聯規則算法,這樣做會產生明顯的邊界問題,如果正常或異常略微偏離其規定的范圍,系統就會做出錯誤的判斷。在基于網絡安全事件流中頻繁情節方法分析中,建立網絡安全防火墻,在網絡系統的內部和外網之間構建保護屏障。針對事件流的特點,利用事件流中滑動窗口設計算法,采用復合攻擊模式方法,對算法進行科學化的測試。
2.2采用系統連接方式檢測網絡安全基本屬性
在入侵檢測系統中,直接采用網絡連接記錄中的基本屬性,其檢測效果不理想,如果將基于時間的統計特征屬性考慮在內,可以提高系統的檢測精度。網絡安全事件流中異常檢測引入數據化理論,將其與關聯規則算法結合起來,采用設計化的關聯算法來挖掘網絡行為的特征,從而提高系統的靈活性和檢測精度。異常檢測系統中,在建立正常的數據化模式盡可能多得對網絡行為進行全面的描述,其中包含出現頻率高的模式,也包含低頻率的模式。
在網絡安全數據集的分析中,發現大多數屬性值的分布較稀疏,這意味著對于一個特定的定量屬性,其取值可能只包含它的定義域的一個小子集,屬性值分布也趨向于不均勻。這些統計特征屬性大多是定量屬性,傳統的挖掘定量屬性關聯規則的算法是將屬性的取值范圍離散成不同的區間,然后將其轉化為布爾型關聯規則算法,這樣做會產生明顯的邊界問題,如果正常或異常略微偏離其規定的范圍,系統就會做出錯誤的判斷。網絡安全事件本身也具有模糊性,在正常和異常行為之間應當有一個平滑的過渡。
另外,不同的攻擊類型產生的日志記錄分布情況也不同,某些攻擊會產生大量的連續記錄,占總記錄數的比例很大,而某些攻擊只產生一些孤立的記錄,占總記錄數的比例很小。針對網絡數據流中屬性值分布,不均勻性和網絡事件發生的概率不同的情況,采用關聯算法將其與數據邏輯結合起來用于檢測系統。實驗結果證明,設計算法的引入不僅可以提高異常檢測的能力,還顯著減少了規則庫中規則的數量,提高了網絡安全事件異常檢測效率。
2.3建立整體的網絡安全感知系統,提高異常檢測的效率
作為網絡安全態勢感知系統的一部分,建立整體的網絡安全感知系統主要基于netflow的異常檢測。為了提高異常檢測的效率,解決傳統流量分析方法效率低下、單點的問題以及檢測對分布式異常檢測能力弱的問題。對網絡的netflow數據流采用,基于高位端口信息的分布式異常檢測算法實現大規模網絡異常檢測。
通過網絡數據設計公式推導出高位端口計算結果,最后采集局域網中的數據,通過對比試驗進行驗證。大規模網絡數據流的特點是數據持續到達、速度快、規模宏大。因此,如何在大規模網絡環境下進行檢測網絡異常并為提供預警信息,是目前需要解決的重要問題。結合入侵檢測技術和數據流挖掘技術,提出了一個大規模網絡數據流頻繁模式挖掘和檢測算法,根據“加權歐幾里得”距離進行模式匹配。
實驗結果表明,該算法可以檢測出網絡流量異常。為增強網絡抵御智能攻擊的能力,提出了一種可控可管的網絡智能體模型。該網絡智能體能夠主動識別潛在異常,及時隔離被攻擊節點阻止危害擴散,并報告攻擊特征實現信息共享。綜合網絡選擇原理和危險理論,提出了一種新的網絡智能體訓練方法,使其在網絡中能更有效的識別節點上的攻擊行為。通過分析智能體與對抗模型,表明網絡智能體模型能夠更好的保障網絡安全。
結語:
伴隨著計算機和通信技術的迅速發展,伴隨著網絡用戶需求的不斷增加,計算機網絡的應用越來越廣泛,其規模也越來越龐大。同時,網絡安全事件層出不窮,使得計算機網絡面臨著嚴峻的信息安全形勢的挑戰,傳統的單一的防御設備或者檢測設備已經無法滿足安全需求。網絡安全安全檢測技術能夠綜合各方面的安全因素,從整體上動態反映網絡安全狀況,并對安全狀況的發展趨勢進行預測和預警,為增強網絡安全性提供可靠的參照依據。因此,針對網絡的安全態勢感知研究已經成為目前網絡安全領域的熱點。
參考文獻:
[1]沈敬彥.網絡安全事件流中異常檢測方法[J].重慶師專學報,2000,(4).
關鍵詞:安全事件管理器;網絡安全
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)08-10ppp-0c
1 相關背景
隨著網絡應用的發展,網絡信息安全越來越成為人們關注的焦點,同時網絡安全技術也成為網絡技術研究的熱點領域之一。到目前為止,得到廣泛應用的網絡安全技術主要有防火墻(Firewall),IDS,IPS系統,蜜罐系統等,這些安全技術在網絡安全防護方面發揮著重要的作用。但是隨著網絡新應用的不斷發展,這些技術也受到越來越多的挑戰,出現了不少的問題,主要體現在以下三個方面:
(1)眾多異構環境下的安全設備每天產生大量的安全事件信息,海量的安全事件信息難以分析和處理。
(2)網絡安全應用的發展,一個組織內可能設置的各種安全設備之間無法信息共享,使得安全管理人員不能及時掌網絡的安全態勢。
(3)組織內的各種安全設備都針對某一部分的網絡安全威脅而設置,整個組織內各安全設備無法形成一個有效的,整合的安全防護功能。
針對以上問題,安全事件管理器技術作為一種新的網絡安全防護技術被提出來了,與其它的網絡安全防護技術相比,它更強調對整個組織網絡內的整體安全防護,側重于各安全設備之間的信息共享與信息關聯,從而提供更為強大的,更易于被安全人員使用的網絡安全保護功能。
2 安全事件管理器的概念與架構
2.1 安全事件管理器概念
安全事件管理器的概念主要側重于以下二個方面:
(1)整合性:現階段組織內部安裝的多種安全設備隨時產生大量的安全事件信息,安全事件管理器技術注重將這些安全事件信息通過各種方式整合在一起,形成統一的格式,有利于安全管理人員及時分析和掌握網絡安全動態。同時統一的、格式化的安全事件信息也為專用的,智能化的安全事件信息分析工具提供了很有價值的信息源。
(2)閉環性:現有的安全防護技術大都是針對安全威脅的某一方面的威脅而采取防護。因此它們只關注某一類安全事件信息,然后作出判斷和動作。隨著網絡入侵和攻擊方式的多樣化,這些技術會出現一些問題,主要有誤報,漏報等。這些問題的主要根源來自于以上技術只側重對某一類安全事件信息分析,不能與其它安全設備產生的信息進行關聯,從而造成誤判。安全事件管理器從這個角度出發,通過對組織內各安全設備產生的信息進行整合和關聯,實現對安全防護的閉環自反饋系統,達到對網絡安全態勢更準確的分析判斷結果。
從以上二個方面可以看出,安全事件管理器并沒有提供針對某類網絡安全威脅直接的防御和保護,它是通過整合,關聯來自不同設備的安全事件信息,實現對網絡安全狀況準確的分析和判斷,從而實現對網絡更有效的安全保護。
2.2 安全事件管理器的架構
安全事件管理器的架構主要如下圖所示。
圖1 安全事件事件管理系統結構與設置圖
從圖中可以看出安全事件管理主要由三個部分組成的:安全事件信息的數據庫:主要負責安全事件信息的收集、格式化和統一存儲;而安全事件分析服務器主要負責對安全事件信息進行智能化的分析,這部分是安全事件管理系統的核心部分,由它實現對海量安全事件信息的統計和關聯分析,形成多層次、多角度的閉環監控系統;安全事件管理器的終端部分主要負責圖形界面,用于用戶對安全事件管理器的設置和安全事件警報、查詢平臺。
3 安全事件管理器核心技術
3.1 數據抽取與格式化技術
數據抽取與格式化技術是安全事件管理器的基礎,只要將來源不同的安全事件信息從不同平臺的設備中抽取出來,并加以格式化成為統一的數據格式,才可以實現對安全設備產生的安全事件信息進行整合、分析。而數據的抽取與格式化主要由兩方面組成,即數據源獲取數據,數據格式化統一描述。
從數據源獲取數據主要的途徑是通過對網絡中各安全設備的日志以及設備數據庫提供的接口來直接獲取數據,而獲取的數據都是各安全設備自定義的,所以要對數據要采用統一的描述方式進行整理和格式化,目前安全事件管理器中采用的安全事件信息表達格式一般采用的是基于XML語言來描述的,因為XML語言是一種與平臺無關的標記描述語言,采用文本方式,因而通過它可以實現對安全事件信息的統一格式的描述后,跨平臺實現對安全事件信息的共享與交互。
3.2 關聯分析技術與統計分析技術
關聯分析技術與統計分析技術是安全事件管理器的功能核心,安全事件管理器強調是多層次與多角度的對來源不同安全設備的監控信息進行分析,因此安全事件管理器的分析功能也由多種技術組成,其中主要的是關聯分析技術與統計分析技術。
關聯分析技術主要是根據攻擊者入侵網絡可能會同時在不同的安全設備上留下記錄信息,安全事件管理器通過分析不同的設備在短時間內記錄的信息,在時間上的順序和關聯可有可能準備地分析出結果。而統計分析技術則是在一段時間內對網絡中記錄的安全事件信息按屬性進行分類統計,當某類事件在一段時間內發生頻率異常,則認為網絡可能面臨著安全風險危險,這是一種基于統計知識的分析技術。與關聯分析技術不同的是,這種技術可以發現不為人知的安全攻擊方式,而關聯分析技術則是必須要事先確定關聯規則,也就是了解入侵攻擊的方式才可以實現準確的發現和分析效果。
4 安全事件管理器未來的發展趨勢
目前安全事件管理器的開發已經在軟件產業,特別是信息安全產業中成為了熱點,并形成一定的市場。國內外主要的一些在信息安全產業有影響的大公司如: IBM和思科公司都有相應的產品推出,在國內比較有影響是XFOCUS的OPENSTF系統。
從總體上看,隨著網絡入侵手段的復雜化以及網絡安全設備的多樣化,造成目前網絡防護中的木桶現象,即網絡安全很難形成全方面的、有效的整體防護,其中任何一個設備的失誤都可能會造成整個防護系統被突破。
從技術發展來看,信息的共享是網絡安全防護發展的必然趨勢,網絡安全事件管理器是采用安全事件信息共享的方式,將整個網絡的安全事件信息集中起來,進行分析,達到融合現有的各種安全防護技術,以及未來防護技術兼容的優勢,從而達到更準備和有效的分析與判斷效果。因此有理由相信,隨著安全事件管理器技術的進一步發展,尤其是安全事件信息分析技術的發展,安全事件管理器系統必然在未來的信息安全領域中占有重要的地位。
參考文獻:
關鍵詞:仿真;網絡安全;密碼;VLAN
中圖分類號:TP391.9
《計算機網絡安全管理》是一門理論性和實踐性很強的基礎課程,本課程在本院是面向高職學生開設的必選課,課程理論與實踐緊密結合,實用性強,目的在于使學生掌握計算機網絡安全的基礎知識、TCP/IP協議基礎,能對網絡入侵進行初步分析,掌握網絡入侵工具的分類、網絡安全的策略、防范措施及網絡設備安全知識,了解常用的一些密碼技術,如何利用現代教學軟件來體現網絡教學的實踐環節,在有效的時間展示網絡安全管理豐富的技術技能,作為現代教學需要利用好工具。本文就計算機網絡安全管理中的仿真逐一進行總結分析,采用思科Cisco模擬器6.0版本,運行操作系統Windows XP或Windows 2000。
情景一密碼設置和恢復:Cisco提供了5個口令可以來保護Cisco路由器,分別是:使能口令、使能加密口令、控制臺口令(Console)、遠程登陸口令(VTY)和輔助口令(AUX)。這里我們介紹前面4個口令設置:
1 使能口令
進入全局配置模式 Router#configure terminal
設置使能口令 Router(config)#enable password cisco //口令設置成功!
2 使能加密口令
進入全局配置模式 Router#configure terminal
設置使能加密口令 Router(config)#enable secret cisco
使能加密口令設置成功!
3 控制臺口令(Console)
進入全局配置模式 Router#configure terminal
進入console口配置模式 Router(config)#line console 0
進行console口密碼設置 Router(config-line)#password consolekey
使其口令生效 Router(config-line)#login //控制臺口令設置成功
4 遠程登陸口令(VTY)
進入全局配置模式 Router#configure terminal
進入console口配置模式 Router(config)#line vty 0 15
進行console口密碼設置 Router(config-line)#password vtykey
使其口令生效 Router(config-line)#login //遠程登陸設置成功
設置好密碼,網絡中就多了一道屏障,但當密碼丟失遺忘,要進行密碼恢復。如圖1所示。
步驟1:設置密碼
特意設置一個不容易記住的密碼,如Router(config-if)#enable password 2q3qeqew
重新登陸后如果遺忘輸入其他密碼,登陸將出現Bad secrets的錯誤提示(見下圖)
步驟2:路由器密碼恢復(破解原有密碼)
關閉路由器電源并重新開機,當控制臺出現啟動過程按下ctrl+break,進入rommon模式
首先改變配置寄存器的值為0x2142,這會使得路由器開機時不讀取NVRAM 中的配置文件,然后敲reset重啟路由器,退出setup 模式,敲no重新進入。如圖2所示。
Router#write //先將配置寫入內存
屏幕提示:Building configuration...
[OK] //配置文件保存成功
Router#copy startup-config running-config//把配置文件從NVRAM 中拷貝到RAM 中,在此基礎上修改密碼。-屏幕提示:Destination filename [running-config]?
489 bytes copied in 0.416 secs (1175 bytes/sec)
最后在進入配置模式,將密碼更改為自己熟悉的密碼,如cisco
Router(config)#enable password cisco //密碼將更換為最新的密碼cisco
Router(config)#config-register 0x2102 //將寄存器數值改回0x2102
Router(config-if)#interface FastEthernet0/0
Router(config-if)#no shutdown
Router #reload //保存配置,重啟路由器,保存前,需要把各個接口一一打開。
情景二VLAN隔離局域網:在企業內部,共享資源的同時有些部門數據禁止其他部門訪問,這時候除了設置密碼保護,關閉不需要的共享,還可以進行VLAN劃分局域網,來進行網絡安全管理。劃分VLAN之前,兩臺路由器可以相互訪問。如圖3所示。
Switch# vlan 2 name VLAN2
VLAN 2 added:
Name: VLAN2
Switch(vlan)#vlan 3 name VLAN3
VLAN 3 added:
Name: VLAN3//以上創建vlan,2是vlan的編號,范圍為1~1001
Switch(config)#int f0/1
Switch(config-if)#switch
Switch(config-if)#switch mode access
Switch(config-if)#switch access vlan 2
Switch(config-if)#int f0/2
Switch(config-if)#switch mode access
Switch(config-if)#switch access vlan 3
此時在ping測試,出現不通的符號,這樣就實現了利用vlan隔離的作用。如圖4所示。
以上可以看出在網絡教學過程中利用仿真軟件直觀生動,學生有興趣學,老師也方便指導。后續將不斷探索和實踐,使其在教學過程中充分發揮作用。
參考文獻:
[1]李杰陽.淺析計算機網絡實訓課題的設計及使用[J].科技信息,2011,20.
[2]潘江波,鄧建高.仿真軟件在計算機網絡教學中的應用[J].實驗技術與管理,2011,07.
關鍵詞:安全協議;協議分析;協議設計;性能分析
0 引言
安全協議理論與技術是信息安全的基礎和核心內容之一也是信息安全領域最復雜的研究和應用難題。安全協議融合了計算機網絡和密碼學兩大應用。教學實踐表明,計算機網絡原理課程教學碰到的最大問題在于網絡結構和協議的抽象性無法使學生徹底理解和掌握網絡協議的工作流程;密碼學課程的教學則容易陷入密碼算法的理論學習而使學生無法體會密碼技術的實際應用。因此,有效開展安全協議設計和分析的教學實踐不僅可作為信息安全的入門基礎,還可成為計算機網絡和密碼學課程內容相結合的深化教學。
1 安全協議的教學現狀
近幾年,信息安全作為一個計算機相關專業在國內興起,對信息安全的產、學、研一體化發展起到較大推動作用,使我國的信息安全技術突飛猛進,取得了長足的發展。但是,由于信息安全是一個新興的方向,專業基礎課程的教學方面尚無太多的積累,還處于不斷的摸索和改革之中。概括地講,目前關于安全協議的教學存在如下幾個問題:
(1)安全協議的教學定位不明確
當前,有關信息安全的教材層出不窮,普遍被認同的教學內容主要包括:密碼學、密鑰管理、訪問控制、防火墻、入侵檢測、信息安全模型與管理,以及信息安全相關法律等。安全協議滲透在密碼學、密鑰管理、訪問控制等教學內容中,提出作為獨立課程者甚少。縱使學生理解密碼學基礎知識,也難以系統掌握安全協議的原理與技術。
(2)缺乏通俗易懂的安全協議教材
目前為止,面向信息安全專業的安全協議教材僅出現過兩本。一為中科院信息安全國家重點實驗室撰寫的《安全協議理論與技術》,全面介紹安全協議的形式化分析理論和方法;另一本為國內信息安全專家卿斯漢編著的《安全協議》,主要內容包含了作者多年來從事安全協議的研究成果。兩本教材的共同點是內容相對集中在較高的學術研究水平上,主要圍繞形式化理論分析技術,忽視了作為大學教材的通讀性特點。因此,針對安全協議的設計和分析,尚無適合基礎教學的教程。
(3)安全協議教學的實用性不強
眾多高校開展安全協議相關內容教學,通常以詳細介紹流行的安全協議實例為主,如講解SSL、SET、PKI協議等原理和流程,尚未給出實現安全協議的工程方法及安全協議設計的要點等實踐方法。這使學生停留在安全協議理論模型的認識上,無法掌握實現安全協議的相關技術。
因此,基于安全協議課程的重要性和教學現狀,有必要尋求一種綜合教學實踐方法,倡導學生自主設計安全協議、靈活運用理論和工程相結合的方法分析安全協議,幫助學生快速掌握安全協議的基本原理與應用技術。
2 安全協議的綜合教學實踐方法
鑒于安全協議的設計和分析兩個關鍵教學內容和目標的融合,綜合教學和實踐框架。型庫。根據各個安全協議的標準設計,提煉和總結安全協議設計的一般方法,并作為設計規則歸入安全協議設計方法集以傳授給學生;同時,在標準協議的基礎上,由教師簡化協議模型,設計完成特定安全功能的安全協議需求,供安全協議設計時參考,并在此基礎上構建安全協議自主設計命題庫。
從自主設計題庫中選取安全協議設計需求,在通用的安全協議設計方法指導下,學生開始自主設計安全協議。當然,有必要時需在安全協議設計之前開展相關的密碼學預備知識講解。
學生在完成安全協議的設計雛形后,開始學習運用各種形式化分析方法,如模態邏輯、代數系統等,對自己設計的安全協議進行安全性邏輯分析,找到安全不足之處,并反饋回協議設計階段重新修改協議模型,直到在形式化分析工具的支持下,安全協議滿足預定的安全需求時得到最終的協議設計框架。
針對自主設計的安全協議,進一步利用現有的密碼開發工具包,包括開源的密碼庫如openssl、cryptlib等(或自主開發密碼包),開發和實現已設計的安全協議,并在相應的網絡環境中運行和測試安全協議。
安全性分析對安全協議至關重要,而協議執行的性能和穩定性分析在工程實踐上是必要的。因此,學生需配套學習網絡協議分析的方法,主要通過協議分析工具如著名的sniffer等,在安全協議的測試平臺上對協議運行狀態進行數據抓包分析,并運用基于網絡原理的各種分析和統計方法,給出自主設計的安全協議執行性能分析報告。若安全協議在執行性能和穩定性方面無法滿足現實的應用,則重新回到協議設計階段修正安全協議設計。
通過安全協議設計和分析的綜合實踐過程,最終得到符合設計要求的安全協議集。鑒于教學積累考慮,可將自主設計的安全協議模型添加到安全協議自主設計命題庫,以備后續教學實踐。
3 綜合教學方法的特點
(1)發揮學生的學習自覺性
以自主設計命題的形式引導學生學習安全協議的設計和分析技術,可充分調動學生的自主思維和相關知識的學習積極性。如安全協議的設計過程利于學生學習一般的協議設計方法;協議的分析過程幫助學生理解和掌握形式化分析技術;協議的測試和性能分析則培養學生利用密碼技術開發安全協議的工程設計能力。
(2)支持學生的學習協作性
安全協議綜合實踐的過程既可指定學生單獨完成,也可讓學生分組合作,共同完成協議的設計和分析任務。如四個學生可分別擔任協議設計、安全分析、實現和測試、性能分析四項工作,以此鍛煉學生的自主研究和項目協作能力。
(3)知識點的綜合和交叉
自主安全協議設計和分析過程包括標準模型簡化、協議設計、形式化分析技術、密碼庫開發和調用技術,及網絡協議分析等技術,可充分體現安全協議技術涵蓋知識面的綜合性,使學生全面認識信息安全的實施過程。
關鍵詞:WiFi網絡,網絡安全,SSID網絡名
人們在構建家庭網絡的過程中,總是忙于讓網絡盡快的運行起來。這是可以理解的。但如果忽視了網絡安全問題,后果是十分危險的。對于Wi-Fi網絡設備進行安全配置通常是耗時費力的,網絡用戶因此不能妥善處理。正是基于這種情況,我們依據網絡安全技術和組網經驗,提出如下十點建議,以提高家庭無線網絡安全。
1. 及時和定期地修改管理員口令和用戶名
幾乎所有的無線接入點和路由器都準許管理員使用特別的管理帳號來管理WiFi網絡。這個帳號可以讓管理員使用用戶名和口令訪問設備的配置文件。缺省的用戶名和口令是由制造商所設置的,用戶名通常就是簡單的admin或administrator,而口令通常是空白的,或者也只是一些簡單詞匯而已。
為了增強WiFi網絡的安全性,在構建網絡時,你應該立刻修改無線接入點或路由器的管理口令。黑客十分清楚流行的無線網絡設備的缺省口令,并經常把它們到網上。大部分設備不允許修改管理員的用戶名,但如果你的設備可以的話,那么強烈建議你也應該及時修改管理員用戶名。
為了保證家庭網絡以后的安全,建議你要定期修改管理員口令,至少每隔一到三個月修改一次,并且要作到所使用的口令復雜難猜。
2. 啟用WPA/WEP加密
所有WiFi設備都支持某種加密技術。加密技術對通過無線網絡傳送的信息進行加密編碼,這樣會使黑客難以破解。目前有幾種針對WiFi網絡的加密技術,自然地,你應該為你的WiFi網絡設備選擇最強的加密技術。然而,一旦選定了某種加密技術,你的WiFi網絡上的所有設備都必須使用相同的加密設置。因此,在進行加密設置時,你還需要考慮其獨特性。
3. 修改缺省的SSID網絡名
接入點或路由器都采用被稱做SSID的網絡名。論文參考。制造商所推出的產品通常帶有同樣的SSID集。例如,Linksys產品的網絡名通常是“Linksys”。盡管,了解SSID網絡名本身并不能使黑客闖入你的網絡,但這是闖入你的網絡第一步。更重要的是,當黑客發現你仍然采用缺省的SSID網絡名時,他們會認為你的網絡設置很簡單,這樣他們會更愿意攻擊你的網絡。因此,當你為自己的無線網絡進行配置時,必須立刻修改缺省的SSID網絡名。
4. 啟用MAC地址過濾
每一個WiFi網絡設備都有自己唯一的標識,稱做物理地址或MAC地址。接入點和路由器跟蹤記錄所有連接到網絡上的設備的MAC地址。許多網絡設備都為主人提供選項,供主人鍵入它們的MAC地址。網絡也只允許這樣的設備接入。這樣做是提高網絡安全的步驟之一,并不是萬全之策,黑客和他們的軟件可以輕易的編造MAC地址,所以我們建議采用MAC地址過濾技術來加強這一防范措施。
5. 關閉SSID網絡名廣播
在WiFi網絡中,無線接入點和路由器每隔一定時間廣播自己的網絡名字(SSID)。論文參考。這是針對商業和移動熱點而設計的功能,因為它們通常在服務區內外游動。而在家庭中,經常是不需要游動的,所以關閉網絡名字廣播這項功能是明智之舉,大多數WiFi接入點也允許這樣做,這會減少黑客利用此特點闖入家庭網絡的可能性。
6. 關閉自動連接到開放的WiFi網絡的功能
大多數計算機都存在這樣一個設置,該設置可以自動地把你的計算機連接到一個開放的WiFi網絡上(:如:免費的無線熱點或鄰居的路由器),而不通知你本人。選擇關閉這項功能, 可以防止你的計算機無意中將自己的重要信息泄露給他人,避免你的計算機安全處于危險中。
7. 為網絡設備指定靜態IP地址
大多數構建家庭網絡的人都傾向于采用動態IP地址。動態主機配置協議(DHCP)的確容易設置。但網絡黑客也很容易利用這種方便,他們會很容易從你的網絡DHCP文件中獲取有效的IP地址。所以我們建議關閉接入點和路由器上的DHCP文件,同時設置固定的地址范圍,然后為每個連接設備配置相應的IP地址。采用保密的地址范圍可以防止互連網對計算機的直接接入。
8.在每個計算機和路由器上啟動防火墻
現代的網絡路由器都包含內置的防火墻功能,同時也存在關閉防火強的選項。必須保證你的路由器防火墻處于啟用狀態。如果想進一步增加保護性,建議在每個連接到路由器的計算機上安裝并運行各自的防火墻軟件。
9.為路由器和接入點選擇安全的地方擺放
WiFi無線網絡的信號通常可以傳播到戶外,如果在戶外仍具有一定的強度,就完全可能出現信號泄露的問題。信號傳播的越遠,就越容易被外人偵測和利用。WiFi網絡的信號強度通常可以達到附近的街區和住宅,所以在構建無線家庭網絡時,為接入點和路由器找到一個合適的擺放位子可以有效地減弱戶外的信號強度。為了使信號泄露最小化,我們建議盡量將這些設備放置在房屋的中心位子,不要靠近窗戶和門等房屋周邊。
10.在網絡不用期間,關閉網絡
無疑關閉網絡可以保證黑客無法闖入。如果頻繁的關閉網絡不現實的話,至少在外出旅行或長時間離線時要這樣做。盡管這樣做會對計算機硬盤造成一定的損害,但對于寬帶MODEM和路由器而言那是次要的。如果你擁有一個只在有線連接上使用的無線路由器,那么你也可以只關閉寬帶路由器上的WiFi網絡,而不必把整個網絡斷電。論文參考。
綜上,我們針對WiFi無線網絡的安全問題提供了十點建議,這些建議對于已經擁有或準備構建家庭無線網絡的人們無疑是有幫助和裨益的,對于保障家庭網絡的安全會起到十分重要的作用。
[參考文獻]
1.寬帶無線接入技術及應用:WiMAX與WiFi 唐雄燕電子工業出版社 (2006-05出版)
2.網絡安全講堂之全面防護Windows與無線網絡入侵 程秉輝、程秉輝清華大學出版社 (2009-07出版)
一、發揮現有網絡優勢,實現全省食品質量監管的集中統一
我省區域縱深近1800公里,轄區面積大,監管范圍廣,為提升食品質量監管的科技含量,省局建成了具有“統一集中受理,分工協作辦理,應急指揮調度,信息匯總分析,消費警示公示”等五種功能相結合的行政執法監管網絡體系,形成了以省級指揮中心、市(州)、縣(區)工商局、專業分局和工商所四級聯網。在此基礎上,開發完成了12315消費者申訴舉報軟件系統、工商綜合業務軟件系統、食品質量監管網絡軟件系統等,實現了消保維權和食品質量監管的網上咨詢、網上受理、網上調度指揮、網上跟蹤督辦、網上應急處置。從此,從消費者申訴舉報、執法檢查、食品質量監測、案件查處等途徑獲得的信息以及消費者協會、各行業協會提供的食品質量的信息,均集中于省局中心數據庫,進行綜合分析,統一調度,形成食品質量監管網絡使食品質量監管實現了跨越式發展。
二、運用現代科技手段。加強食品質量檢測
為強化食品質量檢測,2006年省局投資800余萬元給全省工商系統配備了1臺食品安全監測指揮車、17臺食品安全檢測車和500個食品安全快速檢測箱,建起了18個流動食品檢測室和500個監測站(點),并開發了全省食品質量監管網絡系統軟件。為確保全省系統食品安全檢測工作有序開展,2006年9月,省局組織對18臺食品檢測車的36名車載儀器工作人員進行了統一培訓,對500個食品安全檢測箱1000余名工作人員以市、州局為單位組織了分片巡回培訓,提高了食品檢測人員的操作技能,為流通領域食品安全監管提供了人才和技術保證。
三、完善規章制度。促進食品質量監管的規范化
計算機網絡系統的開發,網絡安全問題首當其沖,建立完整的計算機網絡安全管理系統,是保障網絡系統正常運行的重要前提。文章將基于網絡完全的視角,分析當前計算機網絡常見的安全威脅問題,進而研討如何開發相對應的計算機安全軟件,以提高計算機網絡系統運行的安全性。
【關鍵詞】計算機 網絡安全 軟件開發
1 計算機網絡系統安全方面存在的弊端
借助網絡技術,計算機與各種終端設備連接在一起,形成各種類型的網絡系統,期間開放性的計算機網絡系統,通過傳輸介質和物理網絡設備組合而成,勢必存在不同的安全威脅問題。
1.1 操作系統安全
操作系統是一種支撐性軟件,為其他應用軟件的應用提供一個運行的環境,并具有多方面的管理功能,一旦操作軟件在開發設計的時候存在漏洞的時候就會給網絡安全留下隱患。操作系統是由多個管理模塊組成的,每個模塊都有自己的程序,因此也會存在缺陷問題;操作系統都會有后門程序以備程序來修改程序設計的不足,但正是后門程序可以繞過安全控制而獲取對程序或系統的訪問權的設計,從而給黑客的入侵攻擊提供了入口;操作系統的遠程調用功能,遠程調用可以提交程序給遠程服務器執行,如果中間通訊環節被黑客監控,就會出現網絡安全問題。
1.2 數據庫安全
數據庫相關軟件開發時遺漏的弊端,影響數據庫的自我防護水平,比如最高權限被隨意使用、平臺漏洞、審計記錄不全、協議漏洞、驗證不足、備份數據暴露等等。另外,數據庫訪問者經常出現的使用安全問題也會導致網絡安全隱患,比如數據輸入錯誤、有意蓄謀破壞數據庫、繞過管理策略非法訪問數據庫、未經授權任意修改刪除數據庫信息。
1.3 防火墻安全
作為保護計算機網絡安全的重要系統軟件,防火墻能夠阻擋來自外界的網絡攻擊,過濾掉一些網絡病毒,但是部署了防火墻并不表示網絡的絕對安全,防火墻只對來自外部網絡的數據進行過濾,對局域網內部的破壞,防火墻是不起任何防范作用的。防火墻對外部數據的過濾是按照一定規則進行的,如果有網絡攻擊模式不在防火墻的過濾規則之內,防火墻也是不起作用的,特別是在當今網絡安全漏洞百出的今天,更需要常常更新防火墻的安全策略。
2 計算機網絡系統安全軟件開發建議
基于計算機網絡系統的安全問題,為保護計算機網絡用戶和應用系統的安全,我們需要分別研討入侵防護軟件、數據庫備份與容災軟件、病毒防護軟件、虛擬局域網保護軟件等。
2.1 入侵防護軟件
入侵防護軟件設置于防火墻后面,主要功能是檢查計算機網絡運行時的系統狀況,同時將運行狀況等記錄下來,檢測當前的網絡運行狀況,尤其是網絡的流量,可結合設定好的過濾規則來對網絡上的流量或內容進行監控,出現異常情況時會發出預警信號,它還可以協助防火墻和路由器的工作。該軟件的最大有點是當有病毒發生攻擊之前就可以實時捕捉網絡數據、檢測可以數據,并及時發出預警信號,收集黑客入侵行為的信息,記錄整個入侵事件的過程,而且還可以追蹤到發生入侵行為的具置,從而增強系統的防護入侵能力。
2.2 數據備份和容災軟件
數據備份和容災軟件,可以安全備份需保護數據的安全性,在國外已經被廣泛應用,但是在國內卻沒有被得到重視。數據備份和容災軟件要求將RAID技術安裝到操作系統,將主硬盤文件備份到從硬盤;移動介質和光盤備份,計算機內的數據會隨著使用的時間發生意外損壞或破壞,采用移動介質和光盤可以將數據拷貝出來進行存儲;磁盤陣列貯存法,可大大提高系統的安全性能和穩定性能。隨著儲存、備份和容災軟件的相互結合,將來會構成一體化的數據容災備份儲存系統,并進行數據加密。
2.3 病毒防護軟件
隨著計算機網絡被廣泛的應用,網絡病毒類型越來越多,由于計算機網絡的連通性,一旦感染病毒則會呈現快速的傳播速度,波及面也廣,而且計算機病毒的傳播途徑也日趨多樣化,因此,需要開發完善的病毒防護軟件,防范計算機網絡病毒。首先是分析病毒傳播規律和危害性,開發相對應的殺毒軟件,并在規定時間內掃描系統指定位置及更新病毒庫;其次是安裝防毒墻軟件,傳統的防火墻利用IP控制的方式,來禁止病毒和黑客的入侵,難以對實時監測網絡系統情況,而防毒墻則可以在網絡入口(即網關處)對病毒進行過濾,防止病毒擴散。最后是更各系統補丁,以提高系統的操作水平和應用能力,同時預防病毒利用系統漏洞入侵計算機。
2.4 虛擬局域網軟件
采用虛擬局域網軟件,可以將不同需求的用戶隔離開來,并劃分到不同的VLAN,采用這種做法可以提高計算機網絡的安全性。具體做法是從邏輯上將計算機網絡分為一個個的子網,并將這些子網相互隔離,一旦發生入侵事故也不會導致網內上“廣播風暴”的發生。結合子網的控制訪問需求,將訪問控制列表設置在各個子網中間,以形成對具體方向訪問的允許條件、限制條件等,從而達到保護各個子網的目的。同時,把MAC地址和靜態IP地址上網的計算機或相關設備進行綁定,這樣就可以有效防止靜態IP地址或是MAC地址被盜用的問題出現。
2.5 服務器安全軟件
服務器系統安全軟件分為兩種,一種是系統軟件,另外一種為應用軟件。計算機網絡在配置服務器系統軟件時要充分考慮到它的承受能力和安全功能性,承受能力是指安全設計、減少攻擊面、編程;安全功能涵蓋各種安全協議程序,并基于自身的使用需求,及時更新操作系統;服務器應用軟件的應用,要求考慮軟件在穩定性、可靠、安全等方面的性能,以避免帶入病毒,并定期及時更新。
3 結束語
計算機網絡安全是一個長期且復雜的問題,即使現在的網絡技術已經日漸成熟、網絡安全防范體系也日趨完善,但是網絡安全問題是相對存在的。因此在實際計算機應用管理中,我們只能根據網絡寬帶的特點和具體的應用需求去找到平衡網絡安全和網絡性能,以此為指導思想來配置網絡安全軟件。也就是說,我們需要不斷強化安全防護軟件的研發力度,以進一步促進計算機網絡系統防御水平的提升,才能適應不斷變化的網絡環境。
參考文獻
[1]于軍旗.計算機系統安全與計算機網絡安全[J].數字技術與應用,2013,(2):165-166.
[2]陳豪.淺談網絡時代計算機的安全問題及應對策略[J].科技致富向導,2013,(8):73.
[3]楊玉香,魯娟,胡志麗.淺析網絡環境下如何維護計算機網絡安全[J].數字技術與應用,2013,(2):173.
作者簡介
連愛娥(1984-),女,計算機應用技術碩士,主要從事軟件開發工作。
【關鍵詞】醫院;計算機網絡;安全
計算機網絡已成為醫院日常醫療業務管理工作的重要組成部分。為了更好地發揮計算機網絡在醫療工作中的作用,筆者就醫院計算機網絡常見安全問題及防范措施探討如下。
1 醫院計算機網絡常見安全問題
1.1 信息管理問題是指因人員素質參差不齊而引發計算機及網絡安全問題。如業務科室的醫護人員對計算機網絡知識了解不是很多,缺乏相關培訓。信息管理制度的不完善,使得有不良動機的人員對系統和數據進行故意修改,甚至破壞。
1.2 硬件問題是指由于計算機及網絡設備因各種突發災害、運行環境或硬件本身的缺陷、故障導致系統不能正常工作而帶來的問題。如計算機及網絡設計沒有可靠接地、缺乏防雷防塵設備而造成的故障;短路、斷線、接觸不良、設備老化等由計算機本身及相關設備、部件或元件帶來的問題。
1.3 軟件問題由于應用軟件在開發、使用過程中考慮不周,導致應用軟件本身設計不完善,或未經全面測試就投入使用,導致功能達不到預期目的等問題,系統在運行過程中往往會出現賬務混亂、數據信息受損,更有甚者會導致整個系統崩潰。
2 防范措施
2.1 信息管理方面對計算機及網絡維護人員要加強業務學習,提高其處理計算機及網絡故障、防范計算機及網絡風險的能力;對業務操作人員要重點抓好計算機知識的普及培訓工作,建立各種形式的崗位培訓和定期輪訓制度,提高職工法制觀念、敬業精神、計算機業務操作水平和安全防范綜合能力。在工作實踐中,既要重視專業人員的素質,又要重視計算機管理人員的素質。各類人員職責分明,建立專業人員與計算機管理維護人員良好的協作關系。各操作人員必須定期更換密碼,防止非業務人員進入系統進行非法操作。
2.2 硬件方面計算機房建設要按照國家統一頒布的標準進行建設、施工、裝修、安裝。重點防止計算機房靠近各種無線電發射臺或電視轉播發射點,必要時加裝電磁屏蔽設施,避免計算機信息傳遞出錯。計算機房、配電室、空調間等計算機系統的重要基礎設施要視為要害部門嚴格管理,配備防盜、防火、防水、防雷、防磁、防鼠害等設備,如果有條件可以安裝電視監控系統。做好設備維護工作;對突發性的安全事故處理要有應急計劃。對服務器和網絡設備,要指定專人負責,發生故障保證及時修復。對計算機要安裝并及時更新殺毒軟件,內部網絡與國際互聯網絡要進行物理隔斷;如確需互聯時,則需要采用防火墻技術,以防止病毒侵害。
2.3 軟件方面醫院各種應用軟件研發要設計縝密、周全;編程過程中要對重要數據采用可靠的加密技術,以確保計算機網絡和數據傳遞的完整性和保密性;軟件正式使用前要進行全面的測試。做好數據備份,確保數據安全,對運行主要業務系統的服務器及網絡設備要做到雙機備份;數據傳輸、保存過程中對涉及機密的數據信息首先要加密,然后再傳輸、存儲。醫院局域網是一個信息分散處理、高度共享的網絡[1]。每一個用戶都有自己的用戶權限,比如醫生只能進入自己科室的醫生工作站,檢驗科只能進入自己的檢驗系統等,這些都是由訪問權限設定而控制的。這樣既能使每個人方便靈活地操作自己的程序,又不能隨意訪問未經授權訪問的數據,保證了安全性。要加強操作人員權限和密碼管理,對訪問數據庫的所有用戶要科學的分配權限,實現權限等級管理,嚴禁越權操作,密碼強制定期修改;防止非法使用系統資源,指定專人進行系統操作;防止一般用戶非法闖入操作系統。
總之,做好計算機網絡安全的的防范工作,對于推進醫院信息化工作穩步健康發展具有重要作用。
論文摘要:隨著計算機網絡的普及以及網絡安全事件的不斷出現,“網絡安全基礎”課程被列為信息安全專業學生的必修課。本文討論了信息安全專業“網絡安全基礎”課程的一些教學改革措施,從教育觀念與教學順序上的逆向法應用、多種教學手段與方法的協調、最終質量評價依據的多樣性方面進行了教學改革探索,從而有利于把人才培養模式從注重知識傳授轉向知識傳授與素質培養并重。
隨著我國信息化進程的不斷深入,信息安全問題成為政府和企業廣泛關注的焦點問題,而信息安全人才成為制約我國信息安全發展的瓶頸。[1]信息安全人才培養離不開信息安全的專業建設和課程建設,也離不開一些課程的教學改革研究。“網絡安全基礎”就是信息安全專業的一門專業必修課,它在整個專業體系中扮演著越來越重要的角色。因此,如何進行信息安全專業的“網絡安全基礎”課程教學改革成為當前亟待解決的問題。
網絡安全是一門涉及計算機技術、網絡技術、通信技術、信息安全技術、信息論與編碼、統計學等多門學科的交叉學科,“網絡安全基礎”是講解與網絡安全有關的最基礎的原理、技術及方法,它有著知識更新快、量大、多學科交叉、難以掌握的特點。對于信息安全專業的學生而言,“網絡安全基礎”的教學學時相對偏少,而且部分內容晦澀難懂,理解起來比較吃力,學生普遍反映比較難學。所以如何在有限的教學學時內,不但將“網絡安全基礎”這門課的基本理論、基本知識講深講透,而且讓學生掌握基本的實際網絡技能是每個任課教師的一項艱巨任務。[2]因此有必要轉變不適應時代要求的過時教育觀念與人才培養模式,克服以往在計算機網絡課程教學中存在的諸如教學內容偏舊、教學手段單一、知識講解囫圇吞棗、實驗方法落后的缺陷與不足,從轉變教育思想、更新教學內容、強化素質教育入手,深入進行教學改革,將人才培養從注重知識傳授轉變到強調知識傳授與創新能力全面發展并重的模式上來,[3]為培養信息化社會所急需的信息安全人才打下良好的基礎。
一、 教育觀念與教育順序上的逆向
在網絡技術越來越普及的今天,學生每天都在感受網絡技術的變革以及給生活帶來的影響,我們在這門課程的教學中,應該切實改變教學觀念,從以往單純按照課本知識的填鴨式教學轉變到以學生為教學中心上來,在對基本知識、基本理論傳授的基礎上,更加注重對學生日常接觸到的網絡技術進行講述,這樣才能充分調動學生的積極性,發掘學生對知識獲取的好奇心。反過來,這種教學方法對教師本身提出了更高的要求。在以學生為中心開展的教學活動中,學生由之前的被動受教育者轉變成主動的知識獲取者。而在教學順序上,目前的教材一般是以網絡七層或者五層體系結構為主干來展開的,而以往的教學也是從體系結構的底層逐層地往上講解。這樣的講解有它自身的優點,但是有一個很大的缺點就是學生一開始就接觸比較抽象的網絡底層知識,容易使學生感覺所學知識無用,這樣不利于培養學生的積極性和認同感。而我們在教學活動中,采用的是一種自上向下的教學順序,先從學生平時都經常接觸的網絡應用講起,然后層層往下講解,直至最后將基礎理論講透。這種逆向的教學方式,學生反映良好。
二、多種教學方法與手段的協調采用
良好的教學方法與手段是提高教學質量的重要環節。因此我們對傳統的填鴨式教學方法與手段進行了改進,在充分利用傳統方法、手段教學的同時,積極采用多種形式的教學方法,如討論式教學、推演性教學、理論聯系實際教學、逆向教學等。而在教學手段上,我們一方面繼承傳統手段的優勢,另一方面注意吸收其他如多媒體教學、網絡答疑等教學手段。
第一,引進先進的教學手段。利用多媒體技術,采用觀看多媒體課件等教學手段,使抽象的計算機網絡理論更加形象化。例如我們將電路交換、分組交換、報文交換制作成動畫課件,大大提高了課堂的趣味性,不但加快了教學速度,也能對重點問題、基本理論進行透徹的講解。
第二,采用課堂講解與師生討論的方法。改變沿襲已久的滿堂灌、填鴨式授課方式,這樣能激活學生的思維,提高學生學習的積極性。對于計算機網絡的基本概念,如分層體系結構與TCP/IP協議等,主要以教師講授為主;而對于IP地址的概念,以學生們熟悉的網絡聊天為例,提出問題:如何知道同伴的大致位置?通過引導,學生們可以知道:聊天時由于對方發給你的數據中包含有和你交流時的計算機IP地址,而IP地址是通過中國互聯網信息中心根據一定規則分配的,因此根據IP地址就可以知道同伴的大致位置。
第三,在教學中應經常使用歸納、小結。這樣做有利于溫故而知新、理出頭緒。比如介紹交換方式類型時可以歸納:電路交換、分組交換(包括數據報和虛電路)、報文交換三種交換的不同點、優缺點。可以從信道占用方式、排隊方式、帶寬利用、信道利用、連接方式、協議復雜度、時延大小、傳輸速率的高低、傳輸順序、靈活性等方面進行比較。通過適時的小結與歸納,不但能對基礎知識加以鞏固,還有助于提高記憶效率,便于迅速地提高知識水平。
第四,鼓勵學生上網自主查閱文獻資料和使用網絡工具。針對部分學生自我學習自覺性不高的特點,提出一些與實際結合比較緊密的問題,讓學生通過上網查閱資料的方式去解決,提高學生的學習興趣和解決實際問題的能力。比如可以讓學生查閱常用網絡產品的價格、性能、相關技術及應用領域;如果通過普通方式不能看到網友計算機的IP地址,如何才能看見。針對所提的問題,可以給學生一些提示,通過解決這些實際問題,不僅可以加強學生對網絡知識的理解,培養學生主動學習的良好習慣,還可以提高學生運用所學知識解決實際問題的能力。
三、評價依據的多樣性
對于信息安全專業的學生,應注重實踐操作能力與應用能力,傳統的考試方式只是讓學生苦于死記大量枯燥的網絡原理與理論,造成學生“學習為了考試,考試完了全忘”的情況。僅憑卷面考試來確定學生的成績是不全面的,因此需要完善學生成績評價措施,使學生理論考試成績、實踐考試成績和自愿性作品在總評中各占一定的比例。[4]理論考試只考查最基礎的網絡原理,實踐考試主要考查學生應用網絡知識的能力。這既讓學生重視了基礎理論的學習,使他們掌握了一些必備的網絡原理和理論,又使他們進行了理論聯系實際的操作,掌握了比較重要的操作技能。
在成績評定過程中,也考慮學生的自主創新意識。也就是鼓勵學生在期末自愿提交自己的小作品來進行最終成績的加分。我們鼓勵有創造性的學生通過獨立思考,自主查找文獻資料與利用網絡工具,積極動手設計自己的作品來提高自己最終的課程成績。這在提高學生的課程綜合素質,培養獨立思考能力和創造能力方面具有一定的激勵作用。
四、結束語
信息安全人才培養是國家建設信息安全保障體系和社會信息化健康發展的重要保證。隨著學科的交融以及新技術的不斷涌現,傳統的教學模式和教學內容日益受到沖擊。在這種情況下,如何搞好信息安全專業的“網絡安全基礎”課程的教學,提高教學質量,為社會培養出既具有豐富的理論知識,又具有較高的分析、設計、開發、管理與應用技能的信息安全人才,是一個迫切的研究課題。
參考文獻:
[1]呂欣.關于信息安全人才培養的建議[J].計算機安全,2006,(2):44-46.
[2]張軍.非計算機專業“計算機網絡”教學改革實踐[J].廣東工業大學學報,2006,(12):103-104.
