導(dǎo)語：如何才能寫好一篇構(gòu)建網(wǎng)絡(luò)安全體系，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞:網(wǎng)絡(luò)安全;防火墻;PKI技術(shù)

一、防火墻技術(shù)

包封過濾型：封包過濾型的控制方式會檢查所有進(jìn)出防火墻的封包標(biāo)頭內(nèi)容，如對來源及目地IP、使用協(xié)定、TCP或UDP的Port等信息進(jìn)行控制管理?，F(xiàn)在的路由器、SwitchRouter以及某些操作系統(tǒng)已經(jīng)具有用PacketFilter控制的能力。封包過濾型控制方式最大的好處是效率高，但卻有幾個嚴(yán)重缺點：管理復(fù)雜，無法對連線作完全的控制，規(guī)則設(shè)置的先后順序會嚴(yán)重影響結(jié)果，不易維護以及記錄功能少。

封包檢驗型：封包檢驗型的控制機制是通過一個檢驗?zāi)＝M對封包中的各個層次做檢驗。封包檢驗型可謂是封包過濾型的加強版，目的是增加封包過濾型的安全性，增加控制“連線”的能力。但由于封包檢驗的主要檢查對象仍是個別的封包，不同的封包檢驗方式可能會產(chǎn)生極大的差異。其檢查的層面越廣將會越安全，但其相對效能也越低。

封包檢驗型防火墻在檢查不完全的情況下，可能會造成問題。被公布的有關(guān)Firewall-1的FastModeTCPFragment的安全弱點就是其中一例。這個為了增加效能的設(shè)計反而成了安全弱點。

應(yīng)用層閘通道型：應(yīng)用層閘通道型的防火墻采用將連線動作攔截，由一個特殊的程序來處理兩端間的連線的方式，并分析其連線內(nèi)容是否符合應(yīng)用協(xié)定的標(biāo)準(zhǔn)。這種方式的控制機制可以從頭到尾有效地控制整個連線的動作，而不會被client端或server端欺騙，在管理上也不會像封包過濾型那么復(fù)雜。但必須針對每一種應(yīng)用寫一個專屬的程序，或用一個一般用途的程序來處理大部分連線。這種運作方式是最安全的方式，但也是效能最低的一種方式。

防火墻是為保護安全性而設(shè)計的，安全應(yīng)是其主要考慮。因此，與其一味地要求效能，不如去思考如何在不影響效能的情況下提供最大的安全保護。

二、加密技術(shù)

信息交換加密技術(shù)分為兩類：即對稱加密和非對稱加密。

1、對稱加密技術(shù)。在對稱加密技術(shù)中，對信息的加密和解密都使用相同的鑰，也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機密性和報文完整性就可以得以保證。對稱加密技術(shù)也存在一些不足，如果交換一方有N個交換對象，那么他就要維護N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。如三重DES是DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）的一種變形，這種方法使用兩個獨立的56為密鑰對信息進(jìn)行3次加密，從而使有效密鑰長度達(dá)到112位。

2、非對稱加密/公開密鑰加密。在非對稱加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰）。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應(yīng)于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。非對稱加密體系一般是建立在某些已知的數(shù)學(xué)難題之上，是計算機復(fù)雜性理論發(fā)展的必然結(jié)果。最具有代表性是RSA公鑰密碼體制。

三、PKI技術(shù)

PKI（PublieKeyInfrastucture）技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。由于通過網(wǎng)絡(luò)進(jìn)行的電子商務(wù)、電子政務(wù)、電子事務(wù)等活動缺少物理接觸，因此使得用電子方式驗證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)恰好是一種適合電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù)，他能夠有效地解決電子商務(wù)應(yīng)用中的機密性、真實性、完整性、不可否認(rèn)性和存取控制等安全問題。一個實用的PKI體系應(yīng)該是安全的易用的、靈活的和經(jīng)濟的。它必須充分考慮互操作性和可擴展性。

1、認(rèn)證機構(gòu)。CA（CertificationAuthorty）就是這樣一個確保信任度的權(quán)威實體，它的主要職責(zé)是頒發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明—證書，任何相信該CA的人，按照第三方信任原則，也都應(yīng)當(dāng)相信持有證明的該用戶。CA也要采取一系列相應(yīng)的措施來防止電子證書被偽造或篡改。構(gòu)建一個具有較強安全性的CA是至關(guān)重要的，這不僅與密碼學(xué)有關(guān)系，而且與整個PKI系統(tǒng)的構(gòu)架和模型有關(guān)。此外，靈活也是CA能否得到市場認(rèn)同的一個關(guān)鍵，它不需支持各種通用的國際標(biāo)準(zhǔn)，能夠很好地和其他廠家的CA產(chǎn)品兼容。

2、注冊機構(gòu)。RA（RegistrationAuthorty）是用戶和CA的接口，它所獲得的用戶標(biāo)識的準(zhǔn)確性是CA頒發(fā)證書的基礎(chǔ)。RA不僅要支持面對面的登記，也必須支持遠(yuǎn)程登記。要確保整個PKI系統(tǒng)的安全、靈活，就必須設(shè)計和實現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。

3、密鑰備份和恢復(fù)。為了保證數(shù)據(jù)的安全性，應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的，設(shè)計和實現(xiàn)健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復(fù)，也是關(guān)系到整個PKI系統(tǒng)強健性、安全性、可用性的重要因素。

4、證書管理與撤消系統(tǒng)。證書是用來證明證書持有者身份的電子介質(zhì)，它是用來綁定證書持有者身份和其相應(yīng)公鑰的。通常，這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是，有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況這就需要進(jìn)行證書撤消，證書撤消的理由是各種各樣的，可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統(tǒng)的實現(xiàn)是利用周期性的機制撤消證書或采用在線查詢機制，隨時查詢被撤消的證書。

篇2

關(guān)鍵詞：3G網(wǎng)絡(luò)；網(wǎng)絡(luò)

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1007-9599 (2011) 03-0000-01

Analysis of 3G Network Security System

Zhang Kewei

(Baoding Branch of China Tietong,Baoding071000,China)

Abstract:With the continuous progress of the times,the rapid development of 3G networks has become a sign of the times,and we are eager to solve the problems and concerns is the security of 3G networks.This article on the current status of 3G network security analysis,and the 3G network problems and loopholes to be discussed,thereby enhancing the safety factor of the network to ensure the safe use of the user.

Keywords:3G networks;Network

安全體系的不斷發(fā)展，網(wǎng)絡(luò)的不斷升級，3G網(wǎng)絡(luò)系統(tǒng)已趨于全球化。如今的信息傳輸不僅可以通過全開放的無線鏈路，也可以通過全球有線網(wǎng)絡(luò)進(jìn)行傳輸信息。在多種信息服務(wù)于我們的同時，相應(yīng)的網(wǎng)絡(luò)安全性就成為我們關(guān)注的焦點，網(wǎng)絡(luò)的安全性將會嚴(yán)重阻礙3G的未來發(fā)展空間。

一、3G第三代移動通信技術(shù)

3G第三代移動通信技術(shù)，指的是支持高速數(shù)據(jù)傳輸?shù)姆涓C移動通訊技術(shù)。它可以在傳送聲音的時候同步傳送郵件等數(shù)據(jù)信息。其特點是提供數(shù)據(jù)業(yè)務(wù)的速度。3G的安全技術(shù)是建立在GSM網(wǎng)絡(luò)安全基礎(chǔ)上的，這一技術(shù)不但在安全功能上給予了大幅度提升，而且還克服了GSM的一些安全隱患，給用戶提供了更穩(wěn)定的平臺，并受到用戶的極大歡迎，它將無線通信技術(shù)與因特網(wǎng)技術(shù)有機的融合在一起，并引入了因特網(wǎng)中的加密技術(shù)，給3G的業(yè)務(wù)拓展帶來了極大的發(fā)展空間。

二、3G的安全漏洞3G網(wǎng)絡(luò)的安全性雖然得到了大幅度的提升，但是隨著網(wǎng)絡(luò)技術(shù)的不斷革新，3G網(wǎng)絡(luò)的漏洞也相形見影

（一）通過非法手段獲取敏感數(shù)據(jù)以及保密信息 攻擊者通過偽裝成為合法的身份切入用戶網(wǎng)絡(luò)，在用戶不知情的情況下對用戶進(jìn)行偵聽，獲取有價值信息，并進(jìn)行非法活動，只是用戶經(jīng)濟以及其他方面的損失。

（二）干擾網(wǎng)絡(luò)服務(wù)攻擊者通過非法手段獲取用戶的使用特權(quán)，獲取一些非授權(quán)信息，并通過非法手段對于網(wǎng)絡(luò)系統(tǒng)以及服務(wù)器進(jìn)行干擾，濫用系統(tǒng)中的服務(wù)功能，已達(dá)到為其獲取利益的目的。

（三）服務(wù)的非法訪問這一攻擊主要包括兩個方面：一是攻擊者偽裝成網(wǎng)絡(luò)和用戶實體，非法竊入訪問系統(tǒng)服務(wù)器，盜用訪問權(quán)限，獲取非法服務(wù)。

三、3G安全技術(shù)分析

（一）2G網(wǎng)絡(luò)的接入都采用無線信道，因此極易受到攻擊，移動臺到無線網(wǎng)絡(luò)接入這一部分是移動通信系統(tǒng)的關(guān)鍵，在進(jìn)入到3G系統(tǒng)時，對于接入控制的安全性給予了加強，同時有兼顧到了與GSM的兼容性。3G與GSM的相似之處在于，用戶接入網(wǎng)的安全依靠于USIM（物理和邏輯上均獨立的智能卡）設(shè)備。

（二）3GPP在發(fā)展的初期與移動通信系統(tǒng)第二代一樣，都對核心網(wǎng)的安全技術(shù)未定義。核心網(wǎng)的安全性隨著網(wǎng)絡(luò)的進(jìn)步、發(fā)展在全球的普遍應(yīng)用，越來越成為人們關(guān)注的焦點。在今后網(wǎng)絡(luò)發(fā)展的道路上，它也將會列入到3GPP標(biāo)準(zhǔn)化規(guī)定中。當(dāng)前，3G核心網(wǎng)住處于一種向IP網(wǎng)過渡的一個時期，所以IP網(wǎng)所存在的一些問題核心網(wǎng)也必然會面對。因此，在3G網(wǎng)中因特網(wǎng)的安全技術(shù)也發(fā)揮了非常重要的作用。移動無線因特網(wǎng)為3GPP定義一個統(tǒng)一的結(jié)構(gòu)。

（三）在3G系統(tǒng)中，保障應(yīng)用層的安全性，除要提供傳統(tǒng)的話音通話業(yè)務(wù)外，3G發(fā)展的熱點將致力于電子商務(wù)、電子貿(mào)易、網(wǎng)絡(luò)服務(wù)等新型業(yè)務(wù)。業(yè)務(wù)圈的不斷擴大，使得3G的網(wǎng)絡(luò)安全性越來越成為人們關(guān)注的重點?？梢酝ㄟ^SIM應(yīng)用工具包來達(dá)到完成端到端的安全和數(shù)字化簽名認(rèn)證。它也為SIM/USIM和網(wǎng)絡(luò)SIM應(yīng)用工具提供商之間建立一條安全紐帶。

（四）代碼安全。與第二代移動通信系統(tǒng)相比較，第三代移動通信系統(tǒng)定義的標(biāo)準(zhǔn)化工具包可以用來實現(xiàn)各種服務(wù)（比如3GPP TS 23.057定義的MexE），而第二代移動通信系統(tǒng)就是固定標(biāo)準(zhǔn)化的服務(wù)模式。MExE的安全保護機制雖然是相對有限的，但是它可以提供下載手機終端的一系列的服務(wù)（比如下載新功能、新業(yè)務(wù)等）。

（五）個人無線網(wǎng)絡(luò)安全3G終端的硬件設(shè)備形式多樣，其中包括手機電話、PDA、電子錢包以及一些共享設(shè)備等，他們也可以通過設(shè)備自帶的藍(lán)牙技術(shù)組建局域網(wǎng)，允許各終端設(shè)備的自由加入和退出，因此，局域網(wǎng)內(nèi)的安全也成為了我們值得關(guān)注的焦點。

四、3G系統(tǒng)中安全特性的優(yōu)缺點

（一）相對于2G網(wǎng)絡(luò)系統(tǒng)而言，3G系統(tǒng)在以下幾個方面上有優(yōu)于2G系統(tǒng)：雙向鑒權(quán)認(rèn)證：是指MS與基站之間的互相認(rèn)證，既防止了一些為基站的攻擊傷害，同時也可以及時避免了一些不良現(xiàn)象。為接入鏈路信令數(shù)據(jù)的完整性上提供了保護。增加了密鑰的長度，對算法也進(jìn)行了改進(jìn)。3GPP接入鏈路數(shù)據(jù)加密延伸至無線接入控制器RNS。為了使將來在新業(yè)務(wù)上提供安全保護措施，3G的安全機制還具有可拓展性，可以對自己的安全模式、級別等隨時查看具有安全可視性的功能。

（二）與2G相比在密鑰的長度和算法的選定上還有鑒別機制和數(shù)據(jù)完整性檢驗等一系列的問題上3G要遠(yuǎn)遠(yuǎn)超越于2G。但依然存在著缺陷：公鑰密碼提職尚沒有建立，用戶簽名認(rèn)證難以實現(xiàn)。然而隨著移動存儲器容量的不斷增大，無線帶寬增容，以及CUP處理能力也在不斷提升，這也迫使要建立無線公鑰設(shè)施。3G中密碼學(xué)的最新研究成果也并未得到發(fā)揮。而在密鑰產(chǎn)生機制和認(rèn)證協(xié)議上也有一定的安全性問題。

五、結(jié)束語

3G系統(tǒng)的逐步發(fā)展，給信息革命帶來新的要求，隨之也有許多的弊端出現(xiàn)，因此，更好的建設(shè)3G網(wǎng)絡(luò)，需要我們認(rèn)清目前3G網(wǎng)絡(luò)的現(xiàn)狀，以及存在問題，尋找更好的方法與手段予以解決。隨著網(wǎng)絡(luò)飛速的發(fā)展，3G在未來還有很大的發(fā)展空間，所以研究3G網(wǎng)絡(luò)系統(tǒng)的安全任重而道遠(yuǎn)。

參考文獻(xiàn)：

篇3

關(guān)鍵詞：網(wǎng)絡(luò)安全體系；信息加密技術(shù)；防火墻技術(shù)

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-7800（2013）005-0137-02

0、引言

互聯(lián)網(wǎng)的迅猛發(fā)展和廣泛應(yīng)用推進(jìn)了數(shù)據(jù)信息在全球范圍的共享，人們通過客戶端即可搜索和獲取所需信息，并通過計算機技術(shù)上傳。公共通信網(wǎng)絡(luò)具備豐富的傳輸和存儲功能，在為人們提供有效信息的同時也增添了信息泄露的風(fēng)險，存在不法分子利用通信平臺來毀壞或竊聽相關(guān)信息，使得個人和隱秘信息遭遇泄露，造成財產(chǎn)或文化上的種種損失。政府、銀行等事業(yè)單位系統(tǒng)對數(shù)據(jù)安全的要求極高，一旦傳輸和存儲過程出現(xiàn)問題即會引發(fā)重大的信息泄露隱患，將客戶或部門信息置于危險的邊緣，所以構(gòu)建敏感系統(tǒng)和部門的網(wǎng)絡(luò)安全體系至關(guān)重要。數(shù)據(jù)信息安全問題并不是阻止人們使用互聯(lián)網(wǎng)的原因，為了正確看待網(wǎng)絡(luò)的利與弊，需要在資源利用和效率提高上深入分析，進(jìn)一步研發(fā)更科學(xué)、有效的安全系統(tǒng)。在網(wǎng)絡(luò)信息化過程中縮短服務(wù)端和用戶端之間的距離，使得全球用戶能夠隨時隨地獲取自己所需的資源和信息。網(wǎng)絡(luò)信息系統(tǒng)在早期建設(shè)過程中并未考慮用戶的身份和目的，所以埋下了一定的安全隱患，而現(xiàn)階段只有真正意識到問題的重要性并投入研究和設(shè)計才能解決用戶安全問題，不斷提高人們對互聯(lián)網(wǎng)技術(shù)的信心。

1、網(wǎng)絡(luò)安全特征與網(wǎng)絡(luò)安全體系結(jié)構(gòu)

計算機網(wǎng)絡(luò)安全特征眾多，為用戶安全設(shè)置了多層保障。最基本的真實性、保密性是技術(shù)運用的基礎(chǔ)，除授權(quán)用戶外其他人不能接觸到相關(guān)信息?？捎眯院涂煽啃允菍嵭斜Ｃ苄缘那疤幔煽匦院筒豢煞裾J(rèn)性是為網(wǎng)絡(luò)使用的后續(xù)工作提供借鑒和屬性，七項網(wǎng)絡(luò)主要安全特征決定了其安全體系結(jié)構(gòu)的好壞。

真實性要求使用網(wǎng)絡(luò)的用戶身份得到確認(rèn)，網(wǎng)絡(luò)并不會單純相信用戶口頭或單方面的身份承認(rèn)，因為要考慮到冒充和鑒別問題，所以真實性要重點致力于用戶實體身份的確定。完整性要求用戶在未授權(quán)的情況下不能修改、刪除、破壞網(wǎng)絡(luò)信息，進(jìn)一步保證信息的安全性和正確性，這提高了網(wǎng)絡(luò)系統(tǒng)的警惕度，當(dāng)出現(xiàn)人為攻擊、設(shè)備故障、誤碼等情況時能及時阻止和調(diào)整過來。對可靠性的定義更多是從規(guī)定范圍出發(fā)，指在一定條件或時間下實現(xiàn)某類功能達(dá)到的程度，網(wǎng)絡(luò)信息系統(tǒng)穩(wěn)定運行和投入建設(shè)都需要極強的可靠性才能實現(xiàn)。被授權(quán)實體或用戶在擁有訪問需求時會選擇所需功能或模塊，可用性決定了用戶能否實現(xiàn)自身需求的機會，在安全性上也有所保障，滿足用戶在時間、實體等方面的要求。為了有效判斷實用性，一般對比工作時間和系統(tǒng)正常使用時間的差值，以便做出準(zhǔn)確判斷。不可否認(rèn)性是指用戶與用戶之間如果參與了信息交互活動，那么要對參與者信任并配合，保證彼此的真實統(tǒng)一性，不能對完成的操作或承諾做出否認(rèn)，而為了防止一方用戶抵賴的事情發(fā)生，可以將所持證據(jù)和信息保存?zhèn)鬏斀o終端，幫助解決糾葛，而現(xiàn)階段常用數(shù)字簽名技術(shù)來予以保護?？煽匦灾攸c把握控制范圍，將不良內(nèi)容或信息阻止在外，保證和控制公共網(wǎng)絡(luò)的清潔度、科學(xué)性。

計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)側(cè)重功能的實現(xiàn)與服務(wù)的安排，使得安全機制和安全服務(wù)符合相關(guān)法律法規(guī)，同時能真正提供有效數(shù)據(jù)信息和維護用戶信息安全。系統(tǒng)安全元素是組成整個系統(tǒng)的根基之一，所以不但要保證各個元素的實現(xiàn)，還要聯(lián)系和維護好元素之間的關(guān)系。無論是國家公眾信息網(wǎng)還是企業(yè)內(nèi)外聯(lián)網(wǎng)，都需要一個完善的安全機制來提供服務(wù)，安全機制和安全服務(wù)之間已經(jīng)搭建起了穩(wěn)定的橋梁，兩者相輔相成、相得益彰。安全服務(wù)能夠有效地處理數(shù)據(jù)及數(shù)據(jù)傳輸問題，要利用信息網(wǎng)絡(luò)來保證安全性。安全功能匯總起來即為安全服務(wù)，底層協(xié)議會保證安全服務(wù)的如序進(jìn)行，對進(jìn)入系統(tǒng)的信息實施屏蔽活動，讓安全體系穩(wěn)定運行，而這個過程實現(xiàn)了五類安全服務(wù)，以數(shù)據(jù)保密、認(rèn)證、訪問控制等服務(wù)為主。安全管理并不是單純從安全或管理角度出發(fā)，而是兩者的綜合體，實現(xiàn)安全的管理和管理的安全并重，為用戶提供分配密鑰參數(shù)及認(rèn)證服務(wù)，針對有激活加密要求的客戶進(jìn)行相關(guān)介紹和配合，而為了保證管理的安全，要從系統(tǒng)和信息兩方面出發(fā)，真正意義上打造可靠的計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)。

2、網(wǎng)絡(luò)安全體系的三維結(jié)構(gòu)

設(shè)計出合理的網(wǎng)絡(luò)安全體系框架才能實現(xiàn)用戶和終端需求的安全需求。網(wǎng)絡(luò)安全主要是指軟件或系統(tǒng)數(shù)據(jù)的安全問題，網(wǎng)絡(luò)安全結(jié)構(gòu)的構(gòu)建并不是從體系或功能上就能實現(xiàn)的，而需要從安全服務(wù)、實體單元、協(xié)議層次3個方面共同完成。圖1所示的計算機網(wǎng)絡(luò)安全體系三維結(jié)構(gòu)模式很清晰地羅列出了三者及其分支項目的關(guān)系，以進(jìn)一步鞏固安全體系。

（1）國際標(biāo)準(zhǔn)組織早期推出的一款安全體系結(jié)構(gòu)模型就羅列了安全服務(wù)平面這一項，而安全服務(wù)一項在認(rèn)證、抗抵賴的基礎(chǔ)上增加了可用性。應(yīng)用環(huán)境會在用戶動態(tài)要求或市場變化中發(fā)生變化，而這種變化會直接導(dǎo)致安全服務(wù)需求的改變。但是考慮到安全服務(wù)之間的依賴性，所以完全獨立和依賴的情況都不可能出現(xiàn)，當(dāng)出現(xiàn)特殊情況時不同安全服務(wù)之間會根據(jù)具體要求進(jìn)行組合，保證最終提供的服務(wù)能滿足終端和用戶的雙層要求。

（2）網(wǎng)絡(luò)通訊協(xié)議為協(xié)議層次平面提供了分層基礎(chǔ)，分層的安全管理主要從物理層、網(wǎng)絡(luò)層、應(yīng)用層等方面出發(fā)，形成環(huán)環(huán)相扣的聯(lián)系和服務(wù)。雖然提供的安全服務(wù)不同，可因為各項之間的依賴性而彼此存在著。

（3）實體安全單元管理從應(yīng)用系統(tǒng)、計算機系統(tǒng)、計算機網(wǎng)絡(luò)三方面出發(fā)來設(shè)計和執(zhí)行?；締卧姆謱訛榘踩夹g(shù)和系統(tǒng)運行提供了有效條件，使其成為三維結(jié)構(gòu)中的基礎(chǔ)工程。

（4）安全管理包括安全服務(wù)和安全機制、協(xié)議層次三方面，但它并不處于正常通信的范圍內(nèi)，而是一類為正常通信業(yè)務(wù)提供安全索引和保障的服務(wù)。執(zhí)行安全機制或平面管理都需要依靠安全管理展開活動，保證整個網(wǎng)絡(luò)信息系統(tǒng)的有序運行。

計算機網(wǎng)絡(luò)安全體系三維結(jié)構(gòu)模型依靠三個平面來形成穩(wěn)固的結(jié)構(gòu)。為了提供最科學(xué)、有效的用戶身份驗證服務(wù)，客戶會選擇隨意的3個坐標(biāo)來表明自身身份，這項服務(wù)在初始進(jìn)入網(wǎng)絡(luò)系統(tǒng)時就會出現(xiàn)，用戶直接輸入用戶名和用戶口令，驗證正確后就能順利進(jìn)入下一個界面。網(wǎng)絡(luò)層會提供計算機系統(tǒng)有效的身份驗證服務(wù)，使得用戶端和服務(wù)端能形成良好的互動和契合，使得對IP地址的認(rèn)證變得更加簡單便捷。對防火墻系統(tǒng)的應(yīng)用通常會采取訪問控制模式，使得計算機網(wǎng)絡(luò)系統(tǒng)授權(quán)范圍安全可靠。

3、網(wǎng)絡(luò)安全體系構(gòu)建

3.1 加強訪問控制策略

訪問控制是為用戶和終端做出的強制，旨在進(jìn)一步防范不良信息的侵入，這種保護措施從源頭就掐斷了危險，防止非法訪問對網(wǎng)絡(luò)系統(tǒng)或用戶造成傷害。訪問控制的目的是為了構(gòu)建起一層網(wǎng)絡(luò)系統(tǒng)安全屏障，被授權(quán)用戶擁有自己的賬號和口令，以此作為鑒別授權(quán)和非授權(quán)用戶之間區(qū)別的標(biāo)志，網(wǎng)絡(luò)訪問權(quán)限將無訪問權(quán)的用戶排除在外，針對設(shè)備、目錄、文件都會設(shè)置不同的訪問空間，而并非全部開放給用戶。通過加強訪問控制策略來保護網(wǎng)絡(luò)資源，對互聯(lián)網(wǎng)的長期、穩(wěn)定發(fā)展都是有益的，不斷從內(nèi)部防御上尋找方法，形成有效的驗證和甄別功能。

3.2 信息加密技術(shù)

對網(wǎng)絡(luò)安全體系的構(gòu)建不僅要從策略上加強，還需要開發(fā)出具有強大功能的信息加密技術(shù)，真正意義上做到對有效網(wǎng)絡(luò)資源的保護。為了解決非法用戶截取、刪除、修改、打亂網(wǎng)絡(luò)數(shù)據(jù)的問題，應(yīng)該使用密碼、口令、文件的形式來設(shè)置屏障，而信息加密技術(shù)正是為了阻止傳輸過程中的不法行為，經(jīng)常使用節(jié)點、端點、鏈路3種加密方式來提升網(wǎng)絡(luò)系統(tǒng)可靠性。信息數(shù)據(jù)的安全性尤為重要，所以從資源上進(jìn)行保護是首要選擇。windows XP系統(tǒng)是微軟公司重點推出的一款產(chǎn)品，它在信息加密上的作用十分顯著，一旦出現(xiàn)非法截獲的情況，信息傳輸并未完全受到非法影響，此時解密規(guī)則會建立起相應(yīng)的保護屏障，非法截獲者在無解密規(guī)則的前提下無法對傳輸?shù)娜魏涡畔嵤┎涣嫉拇胧ㄟ^信息加密技術(shù)來保障計算機網(wǎng)絡(luò)安全無疑是一種科學(xué)、有效的方式。

3.3 病毒防范體系

為了解決系統(tǒng)漏洞問題，建立起相應(yīng)的病毒防范系統(tǒng)很有必要，預(yù)防信息泄露、系統(tǒng)崩潰的情況出現(xiàn)。現(xiàn)階段網(wǎng)絡(luò)技術(shù)快速發(fā)展，病毒侵入的概率也越來越大，為研究和開發(fā)專門針對病毒的檢測軟件提供了巨大的空間。網(wǎng)絡(luò)系統(tǒng)中的病毒防范體系涉及多方面的工作，最基本的功能包括病毒的預(yù)防、清理和查殺，還需要定時或不定時地檢測和修補漏洞，降低和組織病毒入侵系統(tǒng)的概率。針對病毒庫的管理也不是單純檢測或修補可以完成的，還應(yīng)該不斷更新?lián)Q代，以便提高對新型病毒的防御能力，同時能快速地處理好頑固病毒，以免出現(xiàn)二次傳播的情況，構(gòu)建病毒防范體系無疑對提高系統(tǒng)安全性有重要作用。

3.4 防火墻技術(shù)

防火墻是一類解決不同區(qū)域網(wǎng)絡(luò)保護問題的技術(shù)，通過屏蔽路由器、服務(wù)器來形成一道關(guān)卡，使得本地和外地網(wǎng)絡(luò)能抵抗非法訪問和控制。防火墻和包過濾防火墻最為常見，在企業(yè)網(wǎng)絡(luò)安全體系中應(yīng)用廣泛，而雙穴防火墻較少使用。包過濾防火墻的優(yōu)點在于能有效地對網(wǎng)絡(luò)信息流進(jìn)行調(diào)配，缺點是不具備內(nèi)容檢查功能。防火墻則具備了良好的內(nèi)容檢查功能，因此將兩種防火墻技術(shù)結(jié)合起來能很好地保護企業(yè)計算機網(wǎng)絡(luò)系統(tǒng)。

3.5 建立安全實時防御和恢復(fù)系統(tǒng)

計算機系統(tǒng)附帶的檢測系統(tǒng)漏洞、查殺病毒功能并不能完全將所有病毒阻擋在外，目前病毒更新的速度極快，無疑增加了系統(tǒng)被病毒侵入的風(fēng)險。網(wǎng)絡(luò)資源作為一個對多數(shù)用戶開放的空間，要完全做到保密是不切實際的，而為了提高網(wǎng)絡(luò)系統(tǒng)安全性，建立安全實時防御和恢復(fù)系統(tǒng)很有必要，使系統(tǒng)在意外遭受病毒侵害時能最快速、有效地恢復(fù)傳輸信息和數(shù)據(jù)，降低系統(tǒng)侵入損失程度。首先要建立安全反映機制，使得系統(tǒng)第一時間接收入侵部分信息，通過入侵檢測機制和安全檢測預(yù)警機制來構(gòu)建預(yù)防系統(tǒng)，繼而發(fā)揮安全恢復(fù)機制的作用，保證信息恢復(fù)的速度和質(zhì)量。

篇4

關(guān)鍵詞：銀行網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 防火墻 安全體系

新世紀(jì)以現(xiàn)代信息技術(shù)為代表的高新技術(shù)迅猛發(fā)展，將徹底改變?nèi)祟惖纳罘绞?，促使金融行業(yè)產(chǎn)生根本性的變革。特別是在我國加入世貿(mào)組織、金融業(yè)務(wù)全面開放后，國內(nèi)外同行業(yè)的競爭將更加激烈。面對科技的不斷發(fā)展和金融的日益全球化，建立一個安全、高效的計算機網(wǎng)絡(luò)是當(dāng)前亟待解決的重要課題。

1 銀行計算機網(wǎng)絡(luò)面臨的安全威脅

銀行計算機網(wǎng)絡(luò)系統(tǒng)的安全問題一般來說，計算機網(wǎng)絡(luò)安全包括物理安全和邏輯安全兩大部分[1]。物理安全指的是網(wǎng)絡(luò)系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護，免于被破壞、被丟失等。邏輯安全包括信息完整性、保密性和可用性。銀行網(wǎng)絡(luò)安全的威脅主要是來自于網(wǎng)絡(luò)傳送過程、網(wǎng)絡(luò)服務(wù)過程、企業(yè)內(nèi)部病毒傳輸及軟件應(yīng)用過程中的威脅[2]。

2 銀行網(wǎng)絡(luò)安全體系設(shè)計

為了構(gòu)筑銀行網(wǎng)絡(luò)安全體系，將銀行網(wǎng)絡(luò)安全體系的構(gòu)建分布到廣域網(wǎng)、局域網(wǎng)、外聯(lián)網(wǎng)等處，不同的功能區(qū)域設(shè)置不同的安全防范體系。

2.1 廣域網(wǎng)安全 廣域網(wǎng)部分網(wǎng)絡(luò)安全重點關(guān)注是網(wǎng)絡(luò)自身安全及數(shù)據(jù)傳送安全，廣域網(wǎng)的設(shè)計可靠性及安全性主要涉及的網(wǎng)絡(luò)協(xié)議層次及以下。解決網(wǎng)絡(luò)設(shè)備安全、組網(wǎng)安全及數(shù)據(jù)傳送安全是提高廣域網(wǎng)安全性的有效方式。①設(shè)備安全。主要通過路由器的ISPKeeper功能流量的檢測、分析及流量處理等方式來預(yù)防流量攻擊。②組網(wǎng)安全。通過OSPF+BGP的路由方案，BGP在自身功能的管理和控制上比較嚴(yán)格，使得數(shù)據(jù)重心和各一、二級網(wǎng)點局域網(wǎng)絡(luò)的路由到廣域網(wǎng)時嚴(yán)格受控。③數(shù)據(jù)傳送安全。通過IPSec技術(shù)進(jìn)行數(shù)據(jù)加密，加密操作通常通過主機或網(wǎng)絡(luò)兩端來進(jìn)行，中間網(wǎng)絡(luò)數(shù)據(jù)傳輸透明化。如有必要也可對個別線路進(jìn)行IPSec加密。

2.2 局域網(wǎng)安全 銀行各網(wǎng)點局域網(wǎng)實現(xiàn)的功能較多，設(shè)計復(fù)雜，包括多個網(wǎng)絡(luò)模塊，網(wǎng)絡(luò)安全的構(gòu)建大致涵蓋了核心交換區(qū)、服務(wù)器群、大前置機處理中心區(qū)等，針對各功能區(qū)特點使用與之對應(yīng)的安全措施。①銀行網(wǎng)絡(luò)核心交換區(qū)。局域網(wǎng)的核心是銀行中心機房。局域網(wǎng)的路由處理、數(shù)據(jù)高速轉(zhuǎn)發(fā)和流量交換全部通過中心機房來完成，該部分的安全處理并不復(fù)雜，設(shè)備安全是重點。操作過程中，可以在核心交換設(shè)備上利用端口鏡像功能，把符合條件的流量鏡像到流量分析設(shè)備上，進(jìn)行更高級別的網(wǎng)絡(luò)流量分析，如有安全隱患，可及時對網(wǎng)絡(luò)規(guī)劃進(jìn)行調(diào)整。②銀行網(wǎng)絡(luò)服務(wù)器群。中心機房關(guān)系整個局域網(wǎng)的安全運行，此區(qū)域集中了很多服務(wù)器，應(yīng)該嚴(yán)格控制用戶對該中心機房區(qū)域的訪問行為。如有需要，可將防火墻設(shè)在核心交換機與服務(wù)器換機之間。以服務(wù)器的功能特點為依據(jù)劃分為不同功能類別的VLAN，功能相同的服務(wù)器與同一VLAN連接，按要求對用戶的訪問行為嚴(yán)加控制。③處理中心區(qū)、開發(fā)環(huán)境區(qū)、測試環(huán)境區(qū)及監(jiān)控中心區(qū)。這幾部分雖然各自的功能不同，但是安全設(shè)計的重點都是對接入用戶/主機的管理。在此類區(qū)域中，先以該區(qū)域內(nèi)用戶/主機的功能和訪問權(quán)限為依據(jù)劃分VLAN，在終結(jié)VLAN的三層交換機上，利用ACL對各VLAN之間互訪以及VLAN訪問其它網(wǎng)絡(luò)資源的權(quán)限進(jìn)行控制。

2.3 外聯(lián)網(wǎng)絡(luò) 該區(qū)域的安全設(shè)計重點是防范來自外部的攻擊。主要采用在機構(gòu)/Internet接入路由器的后面設(shè)置防火墻的方式。部署防火墻時，基于安全因素的考慮，必須應(yīng)遵循幾個基本原則：一是最小授權(quán)，只有必要的流量，才能被授權(quán)通過防火墻；二是高度容錯，即使防火墻出現(xiàn)問題，也不能降低內(nèi)部系統(tǒng)的安全程度；三是深度防御，雖然系統(tǒng)已有防火墻的相關(guān)配置，內(nèi)部網(wǎng)絡(luò)仍有必要采用獨立于防火墻的安全措施。

3 服務(wù)器安全及計算機病毒防治

3.1 服務(wù)器系統(tǒng)安全 為了確保服務(wù)器系統(tǒng)的安全使用性能，筆者建議使用安全掃描軟件，定期掃描比較重要的主機系統(tǒng)及網(wǎng)絡(luò)，從而找出網(wǎng)絡(luò)弱點以及策略配置方面的缺陷。根據(jù)掃描結(jié)果，及時更新操作系統(tǒng)補丁，進(jìn)行病毒查殺，更新安全策略。

3.2 計算機病毒防治 蠕蟲病毒通過大量繁殖，以主機為點、通過網(wǎng)絡(luò)構(gòu)成面的計算機自我復(fù)制機制對現(xiàn)有網(wǎng)絡(luò)展開了大規(guī)模的網(wǎng)絡(luò)流量攻擊，所以在網(wǎng)絡(luò)技術(shù)上防止蠕蟲病毒，可以從設(shè)備選擇及組網(wǎng)技術(shù)兩個方面進(jìn)行考慮。為防止病毒攻擊引起的局域網(wǎng)絡(luò)癱瘓，很多情況下是與交換機的交換方式相關(guān)的，如很多中低端交換機甚至一些主流廠商早期的高端交換機都采用了流交換方式，當(dāng)網(wǎng)絡(luò)感染蠕蟲病毒后，病毒不斷變化IP發(fā)起網(wǎng)絡(luò)流量攻擊，導(dǎo)致網(wǎng)絡(luò)中的流不斷更新，流數(shù)目迅速增長，超出交換機能處理的流數(shù)目，交換機轉(zhuǎn)而將報文交給CPU處理，由于交換機的CPU處理能力低，最終造成設(shè)備癱瘓。因此建議采用支持逐包轉(zhuǎn)發(fā)模式的交換機，尤其是在高端。

4 結(jié)束語

構(gòu)建完全徹底的安全網(wǎng)絡(luò)只是一個神話，安全只是相對而言，安全保護是一個有始有終的過程，不斷的分析、計劃、實施和維護，以最具有成本——效益的方式降低風(fēng)險，時刻提高警惕，保持系統(tǒng)穩(wěn)固。

參考文獻(xiàn)：

[1]吳蓓，劉海光.銀行網(wǎng)絡(luò)安全管理體系構(gòu)建路徑探討.電腦知識與技術(shù)，2010-07-25.

[2]董會敏.銀行網(wǎng)絡(luò)信息安全的實現(xiàn).華東師范大學(xué)，2011-05-01.

[3]張明賢.當(dāng)前銀行網(wǎng)絡(luò)安全的主要威脅及防范策略探析.科技與企業(yè)，2011-12-22.

篇5

[關(guān)鍵詞]網(wǎng)絡(luò)安全 管理流程 安全體系框架 安全防護策略

中圖分類號：TP 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-914X（2017）01-0394-01

企業(yè)在網(wǎng)絡(luò)安全方面的整體需求涵蓋基礎(chǔ)網(wǎng)絡(luò)、系統(tǒng)運行和信息內(nèi)容安全、運行維護的多個方面，包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、網(wǎng)站安全、應(yīng)急管理、數(shù)據(jù)安全及備份恢復(fù)等內(nèi)容，這些方方面面的安全需求，也就要求企業(yè)要有一流的安全隊伍、合理的安全體系框架以及切實可行的安全防護策略。

一、強化安全隊伍建設(shè)和管理要求

企業(yè)要做好、做優(yōu)網(wǎng)絡(luò)安全工作，首先要面臨的就是組織機構(gòu)和人才隊伍建設(shè)問題，因此，專門的網(wǎng)絡(luò)安全組織機構(gòu)對每個企業(yè)來講都是必不可少的。在此基礎(chǔ)上，企業(yè)要結(jié)合每季度或者每月的網(wǎng)絡(luò)安全演練、安全檢查等工作成果和反饋意見，持續(xù)加強網(wǎng)絡(luò)安全管理隊伍建設(shè)，細(xì)化安全管理員和系統(tǒng)管理員的安全責(zé)任，進(jìn)一步明確具體的分工安排及責(zé)任人，形成清晰的權(quán)責(zé)體系。同時，在企業(yè)網(wǎng)絡(luò)自查工作部署上，也要形成正式的檢查結(jié)果反饋意見，并在網(wǎng)絡(luò)安全工作會議上明確檢查的形式、流程及相關(guān)的文件和工作記錄安排，做到分工明確、責(zé)任到人，做到規(guī)范化、流程化、痕跡化管理，形成規(guī)范的檢查過程和完整的工作記錄，從而完成管理流程和要求的塑造，為企業(yè)后續(xù)的網(wǎng)絡(luò)安全工作提供強勁、持久的源動力和執(zhí)行力。

二、搭建科學(xué)合理的安全體系框架

一般來講，我國有不少企業(yè)的網(wǎng)絡(luò)安全架構(gòu)是以策略為核心，以管理體系、技術(shù)體系和運維體系共同支撐的一個框架，其較為明顯的特點是：上下貫通、前后協(xié)同、分級分域、動態(tài)管理、積極預(yù)防。

上下貫通，就是要求企業(yè)整個網(wǎng)絡(luò)安全工作的引領(lǐng)與落實貫通一致，即企業(yè)整體的網(wǎng)絡(luò)安全方針和策略要在實際的工作中得到貫徹實施；前后協(xié)同，就是要求企業(yè)得網(wǎng)絡(luò)安全組織機構(gòu)和人員，要積極總結(jié)實際的工作經(jīng)驗和成果，結(jié)合企業(yè)當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢，最新的國際、國內(nèi)安全形勢變化，每年對企業(yè)的網(wǎng)絡(luò)安全方針和策略進(jìn)行不斷的修正，達(dá)到前后協(xié)同的效果。分級分域，就是要求企業(yè)要結(jié)合自身的網(wǎng)絡(luò)拓?fù)浼軜?gòu)、各個業(yè)務(wù)系統(tǒng)及辦公系統(tǒng)的安全需求、企業(yè)存儲及使用的相關(guān)數(shù)據(jù)重要程度、各個系統(tǒng)及服務(wù)的使用人員等情況，明確劃分每個員工的系統(tǒng)權(quán)限、網(wǎng)絡(luò)權(quán)限，對使用人員進(jìn)行分級管理，并對相關(guān)網(wǎng)絡(luò)及安全設(shè)備、服務(wù)器等進(jìn)行分區(qū)域管理，針對不同區(qū)域的設(shè)備設(shè)定不同的安全級別。

動態(tài)管理，就是要求企業(yè)的整體安全策略和方針、每個階段的安全計劃和工作內(nèi)容，都要緊密跟蹤自身的信息化發(fā)展變化情況，并要在國內(nèi)突發(fā)或重大安全事件的引導(dǎo)下，適時調(diào)整、完善和創(chuàng)新安全管理模式和要求，持續(xù)提升、改進(jìn)和強化技術(shù)防護手段，保證網(wǎng)絡(luò)安全水平與企業(yè)的信息化發(fā)展水平相適應(yīng)，與國內(nèi)的信息安全形勢相契合；積極預(yù)防就是要求企業(yè)在業(yè)務(wù)系統(tǒng)的開發(fā)全過程，包括可研分析、經(jīng)濟效益分析、安全分析、系統(tǒng)規(guī)劃設(shè)計、開工實施、上線運行、維護保障等多個環(huán)節(jié)上要抱有主動的態(tài)度，采取積極的防護措施，不要等到問題發(fā)生了再去想對策、想辦法，要盡可能的提前評估潛在的安全隱患，并著手落實各種預(yù)防性措施，并運用多種監(jiān)控工具和手段，定期感知企業(yè)的網(wǎng)絡(luò)安全狀態(tài)，提升網(wǎng)絡(luò)安全事故的預(yù)警能力和應(yīng)急處置能力。

三、落實切實可行的安全防護策略

在安全策略方面，企業(yè)的安全防護策略制定思路可以概括為：依據(jù)國家網(wǎng)絡(luò)安全戰(zhàn)略的方針政策、法律法規(guī)、制度，按照相關(guān)行業(yè)標(biāo)準(zhǔn)規(guī)范要求，結(jié)合自身的安全環(huán)境和信息化發(fā)展戰(zhàn)略，契合最新的安全形勢和安全事件，從總體方針和分項策略兩個方面進(jìn)行制定并完善網(wǎng)絡(luò)安全策略體系，并在后續(xù)的工作中，以總方針為指導(dǎo)，逐步建立覆蓋網(wǎng)絡(luò)安全各個環(huán)節(jié)的網(wǎng)絡(luò)安全分項策略，作為各項網(wǎng)絡(luò)安全工作的開展、建立目標(biāo)和原則。

在網(wǎng)絡(luò)安全管理體系方面，企業(yè)要將上述安全策略、方針?biāo)婕暗南嚓P(guān)細(xì)化目標(biāo)、步驟、環(huán)節(jié)形成具體可行的企業(yè)管理制度，以制度的形勢固化下來，并強化對相關(guān)企業(yè)領(lǐng)導(dǎo)、安全機構(gòu)管理人員、業(yè)務(wù)辦公人員的安全形勢和常識培訓(xùn)，提高企業(yè)從上至下的安全防護能力和安全水平；在運維管理體系建設(shè)方面，企業(yè)要對每個運維操作進(jìn)行實時化監(jiān)控，在不借助第三方監(jiān)控工具如堡壘機的條件下，要由專人進(jìn)行監(jiān)管，以防止運維操作帶來的安全隱患，同時，企業(yè)也要階段性的對各個網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)、安全設(shè)備等進(jìn)行安全評估，分析存在的安全漏洞或隱患，制定合理的解決措施，從而形成日常安全運維、定期安全評估、季度安全分析等流程化管理要求和思路。

在技術(shù)防護體系建設(shè)方面，企業(yè)可以參照PPDRR模型，通過“策略、防護、檢測、響應(yīng)、恢復(fù)”這五個環(huán)節(jié)，不斷進(jìn)行技術(shù)策略及體系的修正，從而搭建一套縱向關(guān)聯(lián)、橫向支撐的架構(gòu)體系，完成對主機安全、終端安全、應(yīng)用安全、網(wǎng)絡(luò)安全、物理安全等各個層面的覆蓋，實現(xiàn)技術(shù)體系的完整性和完備性。企業(yè)常用的技術(shù)防護體系建設(shè)可以從以下幾個方面考慮：

（1）區(qū)域邊界防護策略：企業(yè)可以考慮在各個區(qū)域的邊界、互聯(lián)網(wǎng)或者局域網(wǎng)出口部署下一代防火墻、入侵檢測與防御設(shè)備（如果條件合適，可以考慮選擇入侵防御設(shè)備）、上網(wǎng)行為管理、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全新技術(shù)和新設(shè)備，從而對互聯(lián)網(wǎng)出口或者重要區(qū)域邊界進(jìn)行全面的防護，提高內(nèi)網(wǎng)出入接口的安全保障水平。此外，針對有企業(yè)生產(chǎn)網(wǎng)的情況，要對生產(chǎn)網(wǎng)與內(nèi)網(wǎng)進(jìn)行物理隔離，并對接入生產(chǎn)網(wǎng)的各種終端設(shè)備進(jìn)行防病毒查收、報備，防止影響生產(chǎn)安全的各種事件發(fā)生，保障企業(yè)的財產(chǎn)安全。

篇6

1.1網(wǎng)絡(luò)信息安全隱患

由于互聯(lián)網(wǎng)具有開放性特征，受不規(guī)范的資源共享行為、網(wǎng)絡(luò)自身漏洞等因素影響，其客觀存在一定的安全風(fēng)險，常見問題包括網(wǎng)絡(luò)信息遭受非正常授權(quán)使用、資源共享無法精準(zhǔn)控制共享范圍、無法有效管理U盤、移動硬盤等存儲設(shè)備以及網(wǎng)絡(luò)安全技術(shù)防護措施缺失等問題。

1.2網(wǎng)絡(luò)信息使用人員安全意識不足

雖然近幾年計算機技術(shù)得到了較為廣泛的應(yīng)用，但部分操作人員仍不具備相應(yīng)的網(wǎng)絡(luò)信息安全使用意識，從而導(dǎo)致各種類型的網(wǎng)絡(luò)安全問題，具體包括：忽略安全口令作用，對于必要的安全防護漠不關(guān)心；計算機未安裝軟件防火墻和相關(guān)殺毒軟件；系統(tǒng)補丁更新不及時等。

1.3網(wǎng)絡(luò)安全管理缺失

就目前企業(yè)網(wǎng)絡(luò)信息管理而言，普遍缺乏對于信息安全的規(guī)范化管理，多數(shù)企業(yè)不具備相應(yīng)系統(tǒng)、完整、有效的安全管理制度及管理流程。并且，企業(yè)缺乏有效的實時網(wǎng)絡(luò)信息安全監(jiān)控手段，對于網(wǎng)絡(luò)信息安全隱患，不能滿足及時發(fā)現(xiàn)和消除的管理要求。

1.4網(wǎng)絡(luò)惡意攻擊行為

現(xiàn)代社會逐漸趨向于向信息化方向發(fā)展，就企業(yè)網(wǎng)絡(luò)信息而言，普遍蘊含著巨大的商業(yè)價值和經(jīng)濟價值。在經(jīng)濟利益的誘導(dǎo)下，網(wǎng)絡(luò)上存在部分非法分子，使用惡意攻擊性軟件，竊取、損壞或篡改目標(biāo)計算機信息，以獲取不正當(dāng)?shù)睦?，這種惡意攻擊行為嚴(yán)重威脅著網(wǎng)絡(luò)信息的安全。并且隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊逐漸從單一性向多樣性發(fā)展，相應(yīng)增加了網(wǎng)絡(luò)信息安全保護的難度。

2、企業(yè)計算機網(wǎng)絡(luò)信息安全體系的構(gòu)建

2.1劃分不同安全級別的安全域

劃分不同安全級別的安全域，建立安全邊界防護，設(shè)置不同的安全訪問控制策略，防止惡意攻擊和非法訪問。整個網(wǎng)絡(luò)的縱向通過防火墻來實現(xiàn)服務(wù)器安全域與終端設(shè)備安全域的劃分；在服務(wù)器與終端設(shè)備的安全域邊界部署防火墻、入侵檢測和防病毒墻等安全產(chǎn)品；通過防火墻，訪問用戶終端、被訪問的服務(wù)器及應(yīng)用端口的控制、入侵檢測設(shè)備對訪問行為的檢測及網(wǎng)絡(luò)安全設(shè)備（如，防火墻、網(wǎng)絡(luò)設(shè)備）的聯(lián)動、防毒墻對傳輸中病毒過濾來加強服務(wù)器的保護，減少通過終端設(shè)備域給服務(wù)器域帶來的攻擊、病毒傳遞擴散等安全影響；整個網(wǎng)絡(luò)的橫向通過網(wǎng)絡(luò)設(shè)備的VLAN來實現(xiàn)服務(wù)器間和終端設(shè)備間不同安全級別的劃分，并通過網(wǎng)絡(luò)設(shè)備的ACL控制技術(shù)來實現(xiàn)不同級別的服務(wù)器安全域和不同級別終端設(shè)備安全域間的控制，降低不同安全域間的相互影響，保證各自安全域的安全。

2.2以企業(yè)計算機網(wǎng)絡(luò)中關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)及重要數(shù)據(jù)保護為核心

加強用戶訪問服務(wù)器的合法性，統(tǒng)一合法用戶和規(guī)范授權(quán)訪問，確保重要信息不被非授權(quán)訪問，保證關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)及重要數(shù)據(jù)的信息安全。應(yīng)用系統(tǒng)及數(shù)據(jù)的運行安全，可將應(yīng)用服務(wù)與數(shù)據(jù)庫分開部署，數(shù)據(jù)采取統(tǒng)一集中存儲，統(tǒng)一備份的方式；重要數(shù)據(jù)采取在線（通過應(yīng)用系統(tǒng)自身的備份機制，定期進(jìn)行數(shù)據(jù)備份）、近線（通過備份軟件工具定期對應(yīng)用系統(tǒng)的數(shù)據(jù)庫進(jìn)行備份）、離線（將備份出來的數(shù)據(jù)定期寫入磁帶庫中磁帶后進(jìn)行磁帶取出存檔備份）的三級備份要求。關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)需要建立應(yīng)用系統(tǒng)的自身備份系統(tǒng)，定期開展備份數(shù)據(jù)恢復(fù)測試工作。同時，通過安全NAS等安全產(chǎn)品的部署應(yīng)用，對關(guān)鍵及重要數(shù)據(jù)進(jìn)行加密保存。

2.3建立信息安全管理制度，健全信息管理人員配置

2.3.1計算機設(shè)備管理制度。（1）計算機出現(xiàn)重大故障時，應(yīng)及時向信息管理技術(shù)部門報告，不允許私自處理或找非本單位技術(shù)人員進(jìn)行維修及操作；（2）業(yè)務(wù)部門的計算機開啟審核功能，由信息終端維護人員定期導(dǎo)出系統(tǒng)審核日志。

2.3.2信息系統(tǒng)管理制度。（1）信息系統(tǒng)管理及使用權(quán)限方案應(yīng)根據(jù)崗位職責(zé)明確到人；（2）信息系統(tǒng)管理員負(fù)責(zé)各項應(yīng)用系統(tǒng)的環(huán)境生成、維護，負(fù)責(zé)一般操作代碼的生成和維護，負(fù)責(zé)故障恢復(fù)等管理及維護；（3）涉及數(shù)據(jù)整理、故障恢復(fù)等操作，須有系統(tǒng)管理上級及相關(guān)業(yè)務(wù)部門授權(quán)；（4）系統(tǒng)管理員及一般操作人員調(diào)離崗位，應(yīng)及時注銷其代碼并生成新的操作員代碼；（5）一般操作員不得使用他人帳戶進(jìn)行業(yè)務(wù)操作。

2.3.3密碼與權(quán)限管理制度。（1）密碼設(shè)置應(yīng)具有安全性、保密性，不能使用簡單的代碼和標(biāo)記。密碼是保護系統(tǒng)和數(shù)據(jù)安全的控制代碼，也是保護用戶自身權(quán)益的控制代碼。密碼分設(shè)為用戶密碼和操作密碼，用戶密碼是登陸系統(tǒng)時所設(shè)的密碼，操作密碼是進(jìn)入各應(yīng)用系統(tǒng)的操作員密碼。系統(tǒng)應(yīng)有檢驗密碼安全強度的設(shè)置；（2）密碼應(yīng)設(shè)定定期修改設(shè)置，間隔時間不得超過一個月，如發(fā)現(xiàn)或懷疑密碼遺失或泄漏應(yīng)立即聯(lián)系管理人員進(jìn)行修改，并記錄用戶名、修改時間、修改人等內(nèi)容；（3）服務(wù)器、路由器等重要設(shè)備的超級用戶密碼由運行機構(gòu)負(fù)責(zé)人指定專人（不參與系統(tǒng)開發(fā)和維護的人員）設(shè)置和管理。

2.4嚴(yán)格控制傳播途徑

如果是在不使用網(wǎng)絡(luò)傳輸?shù)那闆r下，一定要將傳播的途徑切斷，進(jìn)而有效地避兔不明U盤或者是程序傳輸，能夠使網(wǎng)絡(luò)可疑的信息被嚴(yán)格控制在用戶系統(tǒng)之外。另外，這種方法也能夠避兔硬盤受到感染，確保計算機殺毒處理工作的有效性。

總之，從目前企業(yè)網(wǎng)絡(luò)信息安全中存在的問題入手，構(gòu)建信息安全體系，具有十分重要的現(xiàn)實意義，需要引起我們的重視。

參考文獻(xiàn)：

[1]張文婷.淺談計算機網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)[J].東方企業(yè)文化，2012，20：207.

[2]劉智能.淺談構(gòu)建計算機網(wǎng)絡(luò)安全的管理體系[J].電腦知識與技術(shù)，2013，29：6517-6518.

[3]尉韜.計算機網(wǎng)絡(luò)信息安全和防護體系構(gòu)建[J].數(shù)碼世界，2015，09：35-36.

篇7

【關(guān)鍵詞】動態(tài)自治 網(wǎng)絡(luò)安全管理

計算機技術(shù)的不斷更新帶動了網(wǎng)絡(luò)的發(fā)展壯大，如今社會各行各業(yè)都和網(wǎng)絡(luò)接軌，帶來了信息通訊的極大便利，也帶來了相當(dāng)嚴(yán)重的安全隱患。利用計算機和網(wǎng)絡(luò)實施犯罪的行為不斷增多，給個人乃至集體都造成了重大的損失。在當(dāng)前的網(wǎng)絡(luò)安全管理體系下，只能在某種程度上解決一些常見的網(wǎng)絡(luò)防御問題，對一些有針對性的問題甚至攻擊，還難以應(yīng)對。本文所闡述的構(gòu)建動態(tài)自治的網(wǎng)絡(luò)安全管理體系，是一種可以滿足了全網(wǎng)安全要求并且具有動態(tài)的可變化的特點的全新體系，可針對實際情況進(jìn)行有效的應(yīng)對，將網(wǎng)絡(luò)信息進(jìn)行集中管理，保證能夠及時響應(yīng)并處理安全管理事件。

1 動態(tài)自治網(wǎng)絡(luò)安全管理體系的定義

動態(tài)自治網(wǎng)絡(luò)安全管理體系的實質(zhì)就是構(gòu)建一種動態(tài)的，能夠靈活自主應(yīng)對安全問題的網(wǎng)絡(luò)。它之所以具有動態(tài)性是因為當(dāng)該體系接入網(wǎng)絡(luò)系統(tǒng)后，能夠自動變?yōu)檎麄€網(wǎng)絡(luò)的一部分。它的安全管理系統(tǒng)是將處于同一個網(wǎng)絡(luò)管理系統(tǒng)管理下的所有安全設(shè)備和節(jié)點集合起來統(tǒng)一管理。制定一致的策略以保證所有設(shè)備都能夠遵循并實施。動態(tài)自治網(wǎng)絡(luò)只是一個相對的概念，它的動態(tài)性是相對于整個網(wǎng)絡(luò)來說的，而它的自治性體現(xiàn)在整個系統(tǒng)的設(shè)備和節(jié)點與網(wǎng)絡(luò)安全管理系統(tǒng)相互聯(lián)系并一起構(gòu)成了一個可控的網(wǎng)絡(luò)。

2 構(gòu)建動態(tài)自治的網(wǎng)絡(luò)安全管理的必要性

科學(xué)技術(shù)的高速發(fā)展帶動了計算機的普及應(yīng)用和網(wǎng)絡(luò)的更新?lián)Q代，人們的觀念也在隨之不斷變化。因此只是依靠一種單純的靜態(tài)網(wǎng)絡(luò)安全管理系統(tǒng)，已經(jīng)無法滿足要求越來越苛刻的用戶們了。從主觀方面來說，人們需要一個更加完善的能夠進(jìn)行自治的動態(tài)網(wǎng)絡(luò)安全管理體系，來幫助彌補操作系統(tǒng)的不足以及保護用戶的隱私信息。從客觀角度來說，目前的網(wǎng)絡(luò)技術(shù)和計算機技術(shù)所打下的基礎(chǔ)已經(jīng)達(dá)到一定的程度，適合建立起一種動態(tài)自治的網(wǎng)絡(luò)安全管理構(gòu)架。因此，動態(tài)自治的網(wǎng)絡(luò)安全管理體系應(yīng)運而生。這種體系與過去的傳統(tǒng)網(wǎng)絡(luò)安全管理系統(tǒng)相比，具有處理問題更加靈活、收集信息更加全面、相對于主操作系統(tǒng)更加獨立的諸多特點。它還具有廣泛應(yīng)用性，能夠很好地適用于多種不同類型的網(wǎng)絡(luò)；它的實用價值極高，對于不同用戶的各種要求都能達(dá)到最大限度的滿足；同時它的安全性更有保障，因為它并不是依靠某個單一的軟件或獨立系統(tǒng)去進(jìn)行整個網(wǎng)絡(luò)的安全保障與日常維護。并且當(dāng)網(wǎng)絡(luò)安全出現(xiàn)問題時，它會立刻聯(lián)合主操作電腦，共同實施防御策略。動態(tài)自治的網(wǎng)絡(luò)安全管理體系要比平常的普通網(wǎng)絡(luò)具有更多的優(yōu)越性，比如它的動態(tài)性主動防御的能力；出現(xiàn)安全問題時，能夠快速的調(diào)動整個網(wǎng)絡(luò)的資源，表現(xiàn)出了非凡的聯(lián)動性和積極的防御性。動態(tài)自治的網(wǎng)絡(luò)安全管理體系還能對內(nèi)部所得到的信息進(jìn)行有針對性的分級分層次的保護，真正地實現(xiàn)了獨立自主的網(wǎng)絡(luò)安全體系，不再盲目依賴于任何一種單一的殺毒軟件或系統(tǒng)防御。這也是它為何更能滿足人們對于實現(xiàn)安全快速和綠色健康網(wǎng)絡(luò)的要求的原因。

3 影響網(wǎng)絡(luò)安全管理的因素

（1）一些未經(jīng)過授權(quán)的非法訪問，有些甚至?xí)俺浜戏ㄓ脩魜磉M(jìn)行不正當(dāng)?shù)脑L問。未經(jīng)授權(quán)就是超越了自身權(quán)限，不正當(dāng)?shù)刈x取網(wǎng)絡(luò)公共信息甚至是私人信息；冒充合法用戶則是利用欺騙的手段來獲取正當(dāng)用戶的使用權(quán)限，進(jìn)而非法侵害用戶自身及他人的權(quán)益，進(jìn)而占用甚至搶奪更多的網(wǎng)絡(luò)資源，這是一種嚴(yán)重的違法行為。

（2）有目的有計劃地對一些數(shù)據(jù)進(jìn)行刪改甚至破壞，有時會未經(jīng)系統(tǒng)統(tǒng)一就進(jìn)行流量分析。刪改和破壞數(shù)據(jù)是以蓄意破壞為目的，將所涉及到的信息進(jìn)行隨意修改和刪除，會給用戶造成極大的損失；流量分析則是在未經(jīng)系統(tǒng)授權(quán)或者同意的情況下，自行分析觀察網(wǎng)絡(luò)的信息流，從中篩取有用的信息，進(jìn)而非法獲取利益。

（3）網(wǎng)絡(luò)接入遭到拒絕和病毒木馬的惡意侵入。當(dāng)用戶擁有正常訪問權(quán)，卻在訪問時未能獲取應(yīng)有的信息資源，一般被稱為網(wǎng)絡(luò)接入遭到拒絕，是用戶自己被網(wǎng)絡(luò)拒絕服務(wù)；而病毒木馬的惡意侵入是由于黑客的蓄意破壞，人為植入病毒或者木馬程序，導(dǎo)致用戶的私人信息泄密甚至丟失，整個計算機系統(tǒng)也會因中毒而無法正常工作。

4 動態(tài)自治的網(wǎng)絡(luò)安全管理架構(gòu)

（1）要從全網(wǎng)全局的宏觀角度出發(fā)考慮，對整個網(wǎng)絡(luò)的安全狀況進(jìn)行詳細(xì)正確的分析評估，進(jìn)而對現(xiàn)有的網(wǎng)絡(luò)資源進(jìn)行有效地整合，這樣才能有針對性地實施網(wǎng)絡(luò)安全防御措施。同時通過制定相對應(yīng)的響應(yīng)策略以使網(wǎng)絡(luò)安全管理系統(tǒng)能夠自動地完成對網(wǎng)絡(luò)內(nèi)一切設(shè)備資源的響應(yīng)與安全問題的處理。

（2）要以高度的自治方式來保證網(wǎng)絡(luò)的自主性和開放性，真正實現(xiàn)網(wǎng)絡(luò)安全管理系統(tǒng)的自我完善。只有當(dāng)網(wǎng)絡(luò)系統(tǒng)具有很高的安全性時，才能有效保證任何接入網(wǎng)絡(luò)的信息和資源都會受到切實的保護。

（3）對實施接入控制的策略進(jìn)行詳細(xì)有效的分類管理，既要保證所構(gòu)建的網(wǎng)絡(luò)安全管理體系具有自治性和動態(tài)性，又要實現(xiàn)全網(wǎng)絡(luò)的擴展管理，能夠保證最大限度地連接網(wǎng)絡(luò)內(nèi)的一切設(shè)備資源，同時通過管理接入控制的方式來確保網(wǎng)絡(luò)安全的方法也為增加網(wǎng)絡(luò)安全管理體系的動態(tài)性提供了必要的幫助。

5 動態(tài)自治的網(wǎng)絡(luò)安全管理體系的基本模型

建立動態(tài)自治的網(wǎng)絡(luò)安全管理模型是為了保證所有接入網(wǎng)絡(luò)的設(shè)備和資源的安全性，用戶在接入網(wǎng)絡(luò)的過程中，其信息和資源能夠得到一定的安全保證。通過使用類似的系統(tǒng)模型，規(guī)避接入網(wǎng)絡(luò)的過程中可能帶來的風(fēng)險，進(jìn)一步確保整體網(wǎng)絡(luò)的安全可靠性。常見的網(wǎng)絡(luò)安全管理模型是一個動態(tài)的自治的網(wǎng)絡(luò)，它是多種不同的網(wǎng)絡(luò)產(chǎn)品的集合體，通過內(nèi)部協(xié)議以相互協(xié)調(diào)，共同構(gòu)成虛擬的網(wǎng)絡(luò)環(huán)境。盡管內(nèi)部成分復(fù)雜，但也要對其自身的安全策略和安全分析進(jìn)行統(tǒng)一管理。同時，從全局宏觀角度出發(fā)，為了使網(wǎng)絡(luò)內(nèi)的相關(guān)設(shè)備能夠?qū)崿F(xiàn)統(tǒng)一管理，統(tǒng)一配置，就要通過自治來使得網(wǎng)絡(luò)按照既定的策略進(jìn)行工作。自治還包括網(wǎng)絡(luò)應(yīng)急預(yù)案和緊急響應(yīng)處理。經(jīng)過以上的一系列的管理流程，對整個網(wǎng)絡(luò)內(nèi)的資源設(shè)備進(jìn)行統(tǒng)一配置，最終使網(wǎng)絡(luò)系統(tǒng)的安全性大大提高。然后在保證安全性的基礎(chǔ)上，對網(wǎng)絡(luò)內(nèi)的安全設(shè)備和相關(guān)系統(tǒng)進(jìn)行集中管理。這是為了在配置相關(guān)安全節(jié)點的參數(shù)時，能夠使資源的利用率達(dá)到最大，同時也有利于網(wǎng)絡(luò)自身的更新配置，以達(dá)到動態(tài)的管理模式。另外，網(wǎng)絡(luò)中的應(yīng)急響應(yīng)流程應(yīng)該具有一致性，它主要是指網(wǎng)絡(luò)中的安全事故處理流程要與響應(yīng)程序的流程一致，以保證處理問題的及時性和有效性。

動態(tài)自治的網(wǎng)絡(luò)安全管理體系模型還要滿足以下三個方面的要求：

（1）網(wǎng)絡(luò)體系要具備高度的擴展性，建立網(wǎng)絡(luò)架構(gòu)以保證能對各種安全資源進(jìn)行統(tǒng)一的管理。要及時了解市場上最新的安全技術(shù)和設(shè)備，在建立時為其保留相應(yīng)的接口。這樣有利于網(wǎng)絡(luò)自身的更新配置，進(jìn)一步保證網(wǎng)絡(luò)的實時性。

（2）網(wǎng)絡(luò)體系應(yīng)具有高度的可控性，建立網(wǎng)絡(luò)架構(gòu)不僅要對接入網(wǎng)絡(luò)內(nèi)的所有設(shè)備進(jìn)行統(tǒng)一配置，同時還要具有信息收集和資源優(yōu)化的能力。對于網(wǎng)絡(luò)中安全設(shè)備在運行過程中產(chǎn)生的一系列的配置信息及安全信息等數(shù)據(jù)，要及時保存并進(jìn)行分析。這樣也有利于用戶全面地掌握網(wǎng)絡(luò)體系的安全狀況。

（3）網(wǎng)絡(luò)體系應(yīng)擁有良好的操作性，保證網(wǎng)絡(luò)在其應(yīng)用的范圍內(nèi)，實現(xiàn)相關(guān)設(shè)備的安全維護和配置的綜合管理。系統(tǒng)的動態(tài)自治安全管理模型可以分成狀態(tài)監(jiān)控、系統(tǒng)管理、策略管理等三個部分。其中策略管理以及系統(tǒng)管理主要是作為系統(tǒng)的支持部分，狀態(tài)監(jiān)控作為了應(yīng)用系統(tǒng)的部分 。

6 總結(jié)

隨著科學(xué)技術(shù)的發(fā)展和計算機的普及，互聯(lián)網(wǎng)技術(shù)已經(jīng)融入了千家萬戶。隨之產(chǎn)生的網(wǎng)絡(luò)安全和信息保護等問題越來越受到人們的重視。動態(tài)自治的網(wǎng)絡(luò)安全管理體系作為一種新的網(wǎng)絡(luò)安全管理技術(shù)，其動態(tài)自治的網(wǎng)絡(luò)安全管理方式能夠從全局角度出發(fā)，對整個網(wǎng)絡(luò)進(jìn)行分析和評估，有效地管理網(wǎng)絡(luò)，將安全風(fēng)險降低至最小，確保用戶的信息和數(shù)據(jù)能夠得到更好的保護。動態(tài)自治的網(wǎng)絡(luò)安全管理系統(tǒng)重點用于信息數(shù)據(jù)的處理，通過對動態(tài)控制機制的接入，安全策略重新的部署和響應(yīng)，使系統(tǒng)有效地避免了更多的風(fēng)險。

參考文獻(xiàn)

[1]吳多萬.動態(tài)自治的網(wǎng)絡(luò)安全管理架構(gòu)論析[J].計算機光盤軟件與應(yīng)用.2012，（6）.

[2]胡琳.基于動態(tài)自治的網(wǎng)絡(luò)安全管理架構(gòu)論析[J].煤炭技術(shù).2013，（10）.

[3]周毅超.動態(tài)自治的網(wǎng)絡(luò)安全管理構(gòu)架論析[J].科學(xué)與財富.2011，（9）.

[4]劉蘭.一種動態(tài)自治的網(wǎng)絡(luò)安全管理架構(gòu)[J].廣東技術(shù)師范學(xué)院學(xué)報.2010，（3）.

篇8

[關(guān)鍵詞]數(shù)據(jù)庫 中間層 應(yīng)用層 三層架構(gòu)

中圖分類號：X936 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-914X（2016）17-0299-01

筆者從事計算機十多年的教學(xué)，又參與了軟件Java與的開發(fā)及應(yīng)用。在這里，我想針對網(wǎng)絡(luò)安全監(jiān)察維護模式，由淺入深地談?wù)剳?yīng)該如何建立良好的信息系統(tǒng)體系結(jié)構(gòu)模式。

一、認(rèn)識信息系統(tǒng)體系結(jié)構(gòu)的重大意義

首先，我們必須清楚地認(rèn)識到良好的信息系統(tǒng)體系結(jié)構(gòu)對于網(wǎng)絡(luò)安全監(jiān)察維護模式的意義重大。如果我們有一個良好的信息系統(tǒng)體系結(jié)構(gòu)，我們完全可以抵御或者減少病毒入侵，如網(wǎng)頁掛馬等。

閱讀計算機之類的報刊、雜志，我們總有一些不解，什么是中間層，什么是接口，什么是修改參數(shù)，什么是模擬仿真，那么我以Java程序或程序為例進(jìn)行闡述。

Java程序和程序，我認(rèn)為是目前最好的系統(tǒng)程序，因為它們有一種很好的思想值得我們?nèi)W(xué)習(xí)，去采納。作為一名學(xué)者，不能只是一味地去學(xué)習(xí)、接納別人的東西，而是要理解事物的本質(zhì)，所謂必定要透過事物的表象去看清里面的內(nèi)涵，與實質(zhì)，不能一味地去抄襲或者盜竊他人的原代碼之類的東西。這樣做，既無科學(xué)道德，也無太多的實際價值，同時也不能在專業(yè)術(shù)語、英文字母上徘徊不前，大道理小道理地講，又有什么用。

二、程序三層架構(gòu)思想

Java程序和程序，基本的三層架構(gòu)思想，這給我們的信息體系結(jié)構(gòu)帶來不少的沖擊。數(shù)據(jù)結(jié)構(gòu)體系的基本三層模式（圖1）：

當(dāng)然你可以在信息體系結(jié)構(gòu)的基本三層的基礎(chǔ)上發(fā)展五六層、七八層都可以，但是我們要知道是上一層調(diào)用下一層的命令。應(yīng)用層，就是我們常說的界面、窗口；數(shù)據(jù)庫層，就是我們大量信息儲存的地方；中間層，就是在應(yīng)用層需要數(shù)據(jù)庫時，依靠中間層進(jìn)行層層轉(zhuǎn)運，即應(yīng)用層程序先調(diào)用中間層命令，由中間層程序再調(diào)用數(shù)據(jù)庫層里的文件信息。這里要注意的問題是，應(yīng)用層是永遠(yuǎn)不可能直接調(diào)用數(shù)據(jù)庫層的信息。同樣，箭頭永遠(yuǎn)不可能反過來，也就是說數(shù)據(jù)庫層不可能去調(diào)用中間層或應(yīng)用層的程序，他們是獨立、有序的。這樣就做到了信息體系結(jié)構(gòu)的良性循環(huán)。所謂“君是君，臣是臣，哪里是主語，哪里是謂語”。

說到這里，有朋友會問，這與我們的“網(wǎng)絡(luò)安全監(jiān)察維護”有什么聯(lián)系。試想，這樣一個有序的信息體系結(jié)構(gòu)，如果在每一層都進(jìn)行打包、封裝、加密，甚至工具式的異類化，直接調(diào)用，那么病毒怎么進(jìn)得來，計算機的安全監(jiān)察與維護技術(shù)工作不是變得更加容易！

接著，便存在層與層之間的通信連接問題，這就是我們常閱讀報刊雜志上所看見的專業(yè)術(shù)語“接口”。有讀者會問“接口”是個什么層。這里我們首先要清楚地認(rèn)識到，各層之間的聯(lián)系，其實就在于各層文件名的命名及其附加參數(shù)，還有上一層可以插入下一層的文件名及其附加參數(shù)。文件名在本層中，既是一個程序文件的標(biāo)志，同時對上一層來說，是調(diào)用下一層的命令，也就是說上一層只要輸入下一層的文件名及其實參，就可以調(diào)用下一層的文件。文件名及其附加參數(shù)在本層中是一個功能塊或者稱為過程調(diào)用和形參，在調(diào)用層則為命令和實參，只有符合條件的參數(shù)才可以配合命令去調(diào)用下一層的功能塊。如此反復(fù)，我們便可以在界面上看到了不斷更新的數(shù)據(jù)、動態(tài)的網(wǎng)頁。不符合條件的實參是不可以配合命令去調(diào)用下一層的功能塊。舉個淺顯的例子說下，如果下一層的程序塊的內(nèi)容是10除以多少，條件是有限制的，如不能為0或其他字母，如果輸入0或者其他字母，那么程序會馬上終止，進(jìn)入退出狀態(tài)，不再運行。我們再看下仿真軟件，理論上只要修改參數(shù)，就知道故障就在哪里，然后通過模擬故障去排除故障，如仿真戰(zhàn)機、空中大戰(zhàn)、仿真系統(tǒng)維修軟件等，它們的故障就是實參輸入不合條件，出現(xiàn)故障，導(dǎo)致局部程序無法運行，上一層功能塊只有調(diào)用其他的功能塊才能解決故障問題，使模擬仿真安然進(jìn)行。仿真軟件的設(shè)計，使現(xiàn)實事物并不需要出現(xiàn)，也不要去實驗，如空中大戰(zhàn)，達(dá)到理想的訓(xùn)練效果，又節(jié)省了人、材、機，同時又避免了環(huán)境污染和資源浪費。但是仿真系統(tǒng)與現(xiàn)實社會還是有一定距離，還是有必要去和現(xiàn)實數(shù)據(jù)進(jìn)行吻合。我們可以應(yīng)用這種理論進(jìn)行網(wǎng)絡(luò)安全監(jiān)察維護的仿真檢測。

中間層是一個封裝的程序，如果需要執(zhí)行多個命令，就封裝多個中間層。各層只要有必要，可以從這個項目中分離開，進(jìn)入另外一個項目，只要提供一個接口。

程序的工具性異類化。為什么稱為程序的工具性異類化？程序包或功能塊經(jīng)過一系列的代碼轉(zhuǎn)換命令，完全變成了一個工具，直接拿來用即可，你無須知道它的源代碼，更確切地說，你根本不知道，也許永遠(yuǎn)不知道它的源代碼 ，你只是利用這個工具去做你想去做的事情，現(xiàn)代計算機中稱工具的專業(yè)名稱為“對象”。所以工具性程序與普通程序完全不同，有些需要轉(zhuǎn)換代碼后才能調(diào)用，有些只是通過實參配合命令進(jìn)行調(diào)用，不符合要求的實參根本無法進(jìn)行調(diào)用。那么有人會問，能不能破譯“對象”的源代碼？所謂“解鈴還須系鈴人”，破譯源代碼除了“系鈴人”之外，別無他人。那么有人會說木馬病毒可以破譯，我個人認(rèn)為，木馬病毒只是侵入，無法破譯并獲得源代碼?，F(xiàn)代軟件加密技術(shù)非常強，里三圈外三圈，攔了個水泄不通，木馬技術(shù)最多也只是個別侵入與替換與復(fù)制，除非知道程序的破譯方法，一般不可以破譯并獲得源代碼的。

在項目做好后，經(jīng)過系統(tǒng)軟件生成器平臺轉(zhuǎn)化成獨立代碼，直接運行在計算機操作系統(tǒng)中。

這里有兩個問題仍需解決，第一個問題是系統(tǒng)軟件生成器平臺是如何將程序打包并工具化的，第二個問題是不同版本的系統(tǒng)軟件之間是如何兼容的。

當(dāng)我們還常?？銫語言、C++語言源代碼開放，功能如何之強大時，其實，我們在程序應(yīng)用上還是未能解決根本問題。信息系統(tǒng)結(jié)構(gòu)的未來發(fā)展趨向，就是進(jìn)行程序的快速打包封裝，快速便捷地進(jìn)行功能調(diào)用，快速地組裝并且達(dá)到新的適用功能，而并不是程序的源代碼如何地強大。軟件業(yè)的發(fā)展必須將程序進(jìn)行工具性的“異類化”，成為程序的新品種，直接拿過來用即可，我們并不需要其內(nèi)部的源代碼是什么。除此之外，我們要清楚地認(rèn)識到，有些操作系統(tǒng)具有兼容其他語言的能力，以致我們的系統(tǒng)軟件能輕而易舉地應(yīng)用到某些操作系統(tǒng)上。

我們常說要自動化，不僅指硬件的自動化，更是要指軟件的自動化。軟件要自動化，必須要有獨立、有序、反應(yīng)敏捷的信息體系結(jié)構(gòu)，加上調(diào)用封裝好的工具性軟件，優(yōu)良的獨立接口軟件，達(dá)到與各種系統(tǒng)軟件平臺的兼容，同時也使計算安全監(jiān)察維護技術(shù)工作變得相當(dāng)簡單。哪一部分出了問題，我們就維護哪一部分，并不需要從頭至尾個個檢查。這樣，有利于減少工作量，提高工作效率。

三、結(jié)語

寫到這里，我希望廣大軟件開發(fā)的工作者門，開發(fā)出更好的、有利于國人的軟件產(chǎn)品，從根本上解決我們計算機網(wǎng)絡(luò)安全監(jiān)察與維護的技術(shù)工作問題。

參考文獻(xiàn)

[1] 尚宇峰.網(wǎng)絡(luò)可靠性研究[J].2006.12-16

篇9

關(guān)鍵字：企業(yè)網(wǎng)絡(luò)   醫(yī)院網(wǎng)絡(luò)   網(wǎng)絡(luò)安全   網(wǎng)絡(luò)體系  技術(shù)手段

前言：

隨著信息技術(shù)的高速發(fā)展，互聯(lián)網(wǎng)越來越被人們所重視，從農(nóng)業(yè)到工業(yè)再到高科技產(chǎn)業(yè)各行各業(yè)都在使用互聯(lián)網(wǎng)參與行業(yè)生存與競爭。企業(yè)對網(wǎng)絡(luò)的依存度越來越高，網(wǎng)絡(luò)在企業(yè)中所處的位置也越來越重要，系統(tǒng)中存儲著維系企業(yè)生存與競爭的重要資產(chǎn)-------企業(yè)信息資源。但是,諸多因素威脅著計算機系統(tǒng)的正常運轉(zhuǎn)。如,自然災(zāi)害、人員的誤操作等,不僅會造成系統(tǒng)信息丟失甚至完全癱瘓,而且會給企業(yè)造成無法估量的損失。因此,企業(yè)必須有一套完整的安全管理措施,以確保整個計算機網(wǎng)絡(luò)系統(tǒng)正常、高效、安全地運行。本文就影響醫(yī)院計算機網(wǎng)絡(luò)安全的因素、存在的安全隱患及其應(yīng)對策略三個方面進(jìn)行了做了論述。

 

一、醫(yī)院網(wǎng)絡(luò)安全存在的風(fēng)險及其原因

1.自然因素：

1.1病毒攻擊

   因為醫(yī)院網(wǎng)絡(luò)同樣也是連接在互聯(lián)網(wǎng)上的一個網(wǎng)絡(luò)，所以它不可避免的要遭到這樣或者那樣的病毒的攻擊。這些病毒有些是普通沒有太大破壞的，而有些卻是能造成系統(tǒng)崩潰的高危險病毒。病毒一方面會感染大量的機器，造成機器“罷工“并成為感染添另一方面會大量占用網(wǎng)絡(luò)帶寬，阻塞正常流量，形成拒絕服務(wù)攻擊。我們清醒地知道，完全避免所有終端上的病毒是不可能的，但要盡量減少病毒爆發(fā)造成的損失和恢復(fù)時延是完全可能的。但是由于一些工作人員的疏忽，使得醫(yī)院網(wǎng)絡(luò)被病毒攻擊的頻率越來越高，所以病毒的攻擊應(yīng)該引起我們的關(guān)注。

1.2軟件漏洞

任何的系統(tǒng)軟件和應(yīng)用軟件都不能是百分之百的無缺陷和無漏洞的，而這些缺陷和漏洞恰恰是非法用戶、黑客進(jìn)行竊取機密信息和破壞信息的首選途徑。針對固有的安全漏洞進(jìn)行攻擊，主要在以下幾個方面：

1.2.1、協(xié)議漏洞。例如，IMAP和POP3協(xié)議一定要在Unix根目錄下運行，攻擊者利用這一漏洞攻擊IMAP破壞系統(tǒng)的根目錄，從而獲得超級用戶的特權(quán)。

1.2.2、緩沖區(qū)溢出。很多系統(tǒng)在不檢查程序與緩沖區(qū)之間變化的情況下，就接受任何長度的數(shù)據(jù)輸入，把溢出部分放在堆棧內(nèi)，系統(tǒng)仍照常執(zhí)行命令。攻擊者就利用這一漏洞發(fā)送超出緩沖區(qū)所能處理的長度的指令，來造成系統(tǒng)不穩(wěn)定狀態(tài)。

1.2.3、口令攻擊。例如，U nix系統(tǒng)軟件通常把加密的口令保存在一個文件中，而該文件可通過拷貝或口令破譯方法受到入侵。因此，任何不及時更新的系統(tǒng)，都是容易被攻擊的。

 

2、人為因素：

2.1操作失誤

操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識不強.用戶口令選擇不慎.用戶將自己的帳號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。這種情況在企業(yè)計算機網(wǎng)絡(luò)使用初期較常見，隨著網(wǎng)絡(luò)管理制度的建立和對使用人員的培訓(xùn)，此種情況逐漸減少.對網(wǎng)絡(luò)安全己不構(gòu)成主要威脅。   

2.2惡意攻擊

這是醫(yī)院計算機網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下.進(jìn)行截獲、竊取、破譯以獲得重要機密信急。這兩種攻擊均可對計算機網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機密數(shù)據(jù)的泄漏。網(wǎng)絡(luò)黑客和計算機病毒對企業(yè)網(wǎng)絡(luò)(內(nèi)聯(lián)網(wǎng))和公網(wǎng)安全構(gòu)成巨大威脅，每年企業(yè)和網(wǎng)絡(luò)運營商都要花費大量的人力和物力用于這方而的網(wǎng)絡(luò)安全防范，因此防范人為的惡意攻擊將是醫(yī)院網(wǎng)絡(luò)安全工作的重點。

二、構(gòu)建安全的網(wǎng)絡(luò)體系結(jié)構(gòu)

1.設(shè)計網(wǎng)絡(luò)安全體系的原則

     1.1、體系的安全性：設(shè)計網(wǎng)絡(luò)安全體系的最終目的是為保護信息與網(wǎng)絡(luò)系統(tǒng)的安全所以安全性成為首要目標(biāo)。要保證體系的安全性，必須保證體系的完備性和可擴展性。

     1.2、系統(tǒng)的高效性：構(gòu)建網(wǎng)絡(luò)安全體系的目的是能保證系統(tǒng)的正常運行，如果安全影響了系統(tǒng)的運行，那么就需要進(jìn)行權(quán)衡了，必須在安全和性能之間選擇合適的平衡點。網(wǎng)絡(luò)系統(tǒng)的安全體系包含一些軟件和硬件，它們也會占用網(wǎng)絡(luò)系統(tǒng)的一些資源。因此，在設(shè)計網(wǎng)絡(luò)安全體系時必須考慮系統(tǒng)資源的開銷，要求安全防護系統(tǒng)本身不能妨礙網(wǎng)絡(luò)系統(tǒng)的正常運轉(zhuǎn)。

   1.3、體系的可行性：設(shè)計網(wǎng)絡(luò)安全體系不能純粹地從理論角度考慮，再完美的方案，如果不考慮實際因素，也只能是一些廢紙。設(shè)計網(wǎng)絡(luò)安全體系的目的是指導(dǎo)實施，如果實施的難度太大以至于無法實施，那么網(wǎng)絡(luò)安全體系本身也就沒有了實際價值。

1.4、體系的可承擔(dān)性：網(wǎng)絡(luò)安全體系從設(shè)計到實施以及安全系統(tǒng)的后期維護、安全培訓(xùn)等各個方面的工作都要由企業(yè)來支持，要為此付出一定的代價和開銷如果我們付出的代價比從安全體系中獲得的利益還要多，那么我們就不該采用這個方案。所以，在設(shè)計網(wǎng)絡(luò)安全體系時，必須考慮企業(yè)的業(yè)務(wù)特點和實際承受能力，沒有必要按電信級、銀行級標(biāo)準(zhǔn)來設(shè)計這四個原則，可以簡單的歸納為：安全第一、保障性能、投入合理、考慮發(fā)展。

2、網(wǎng)絡(luò)安全體系的建立

    網(wǎng)絡(luò)安全體系的定義：網(wǎng)絡(luò)安全管理體系是一個在網(wǎng)絡(luò)系統(tǒng)內(nèi)結(jié)合安全

技術(shù)與安全管理，以實現(xiàn)系統(tǒng)多層次安全保證的應(yīng)用體系。

網(wǎng)絡(luò)系統(tǒng)完整的安全體系

系統(tǒng)物理安全性主要是指從物理上保證系統(tǒng)中各種硬件設(shè)備的安全可靠，確保應(yīng)用系統(tǒng)正常運行。主要包括以下幾個方面：

    (1)防止非法用戶破壞系統(tǒng)設(shè)備，干擾系統(tǒng)的正常運行。

    (2)防止內(nèi)部用戶通過物理手段接近或竊取系統(tǒng)設(shè)備，非法取得其中的數(shù)據(jù)。

 (3 )為系統(tǒng)關(guān)鍵設(shè)備的運行提供安全、適宜的物理空間，確保系統(tǒng)能夠長期、穩(wěn)定和高效的運行。例如:中心機房配置溫控、除塵設(shè)備等。

    網(wǎng)絡(luò)安全性主要包括以下幾個方面：

    (1)限制非法用戶通過網(wǎng)絡(luò)遠(yuǎn)程訪問和破壞系統(tǒng)數(shù)據(jù)，竊取傳輸線路中的數(shù)據(jù)。

    (2)確保對網(wǎng)絡(luò)設(shè)備的安全配置。對網(wǎng)絡(luò)來說，首先要確保網(wǎng)絡(luò)設(shè)備的安全配置，保證非授權(quán)用戶不能訪問任意一臺計算機、路由器和防火墻。

    (3)網(wǎng)絡(luò)通訊線路安全可靠，抗干擾。屏蔽性能好，防止電磁泄露，減

篇10

關(guān)鍵詞:高職;網(wǎng)絡(luò)安全技術(shù);課程改革

中圖分類號:TP3文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2010)18-5009-02

'Network Security Technology' in Higher Vocational Curriculum Reform Shallow

YANG Xing, YANG Li-sha, CHEN Ming, LIU Tao

(1.Department of information engineering, Hunan Industry Polytechnic, Changsha 410208, China)

Abstract: The computer network technology training in network engineering technology, network management, website construction technology, capable of network planning and design, network construction, network management and maintenance, website construction and so on the work of higher technology applied talents. The technology is developing rapidly, but the curriculum content renewal speed, so urgently needed reforms relatively slow. This is the computer network professional core courses of the network security technology "the curriculum reform is explored.

Key words: higher vocational; network security; curriculum reform

隨著網(wǎng)絡(luò)的普及,網(wǎng)絡(luò)用戶數(shù)量的急劇上升,網(wǎng)絡(luò)安全問題也日益嚴(yán)重。計算機網(wǎng)絡(luò)專業(yè)學(xué)生在具備組網(wǎng)、建網(wǎng)、管網(wǎng)等能力的同時,也必須具備一定的構(gòu)建網(wǎng)絡(luò)安全體系能力。高職教育由于其特有的目的性――偏重實踐動手能力,無法照搬本科的教育體系,因此,作為本專業(yè)核心課程《網(wǎng)絡(luò)安全技術(shù)》,進(jìn)行課程改革必須符合高職教育的特點。

1 課程改革的背景和意義

1.1 教改前課程存在的不足

本課程為計算機網(wǎng)絡(luò)技術(shù)專業(yè)核心課程,旨在培養(yǎng)學(xué)生構(gòu)建安全的網(wǎng)絡(luò)防范體系的能力。目前,該課程存在以下幾點不足:

1)課程內(nèi)容陳舊

網(wǎng)絡(luò)安全技術(shù)日新月異,而課程內(nèi)容的更新速度相對緩慢。一方面是網(wǎng)絡(luò)安全技術(shù)不斷加速的變革性;另一方面是課程體系及教學(xué)內(nèi)容的相對穩(wěn)定性,從而導(dǎo)致網(wǎng)絡(luò)安全方面的許多新技術(shù)、新知識不能很快出現(xiàn)在教科書上,教學(xué)內(nèi)容的陳舊使培養(yǎng)出來的學(xué)生落后于時代的發(fā)展,體現(xiàn)不出高等教育先進(jìn)性,與社會對人才的需求不相適應(yīng)。

2)教學(xué)方式單調(diào)

計算機網(wǎng)絡(luò)技術(shù)是當(dāng)今發(fā)展變化最快的技術(shù)之一,目前,《網(wǎng)絡(luò)安全技術(shù)》課程的理論授課雖全部在多媒體機房進(jìn)行,但現(xiàn)在的教學(xué)還是處在“演示”的初級階段,大多時候,仍然是被動的聽、看;另外,該課程主要是講授網(wǎng)絡(luò)安全體系的構(gòu)建以及具體的攻擊、防范方法,操作性強,然而由于教學(xué)信息量較大,在教學(xué)的過程中學(xué)生能進(jìn)行基本功能的操作,但學(xué)生普遍反映課堂上會操作,下課后就將很多操作方法忘了,教學(xué)效果并不是很理想。

3)學(xué)生計算機知識水平參差不齊

由于自身因素、客觀因素等多方面的影響,學(xué)生的計算機基礎(chǔ)知識水平參差不齊,給教師的課堂教學(xué)增加了一定的難度。理論課就形成了好的不想聽、差的聽不懂的局面,嚴(yán)重影響教學(xué)效果和教學(xué)質(zhì)量。上機輔導(dǎo)時,基礎(chǔ)差的學(xué)生開機都有問題,需要教師進(jìn)行輔導(dǎo),由于人數(shù)過多,教師照顧不到所有的學(xué)生,這樣,基礎(chǔ)好的學(xué)生把上機課變成了他們專門的上網(wǎng)時間、游戲時間。

1.2 課程改革的意義

上述問題在高職院校中帶有普遍性,對實現(xiàn)高職教育目標(biāo)有重大影響,因此,進(jìn)行高職《網(wǎng)絡(luò)安全技術(shù)》課程改革是十分必要和緊迫的,也是一項艱巨而有意義的創(chuàng)新課題。若能成功地完成該項課題,不但可以解決長期困擾高職《網(wǎng)絡(luò)安全技術(shù)》教學(xué)的若干難題,也可為高職院校課程的改革提供可借鑒的經(jīng)驗。

2 課程改革的目標(biāo)

高職教育應(yīng) “以就業(yè)為導(dǎo)向,培養(yǎng)高等計算機應(yīng)用型專業(yè)人才為根本任務(wù)”,畢業(yè)生應(yīng)具有“基礎(chǔ)理論知識適度、技術(shù)應(yīng)用能力強、知識面較寬”等特點,結(jié)合高職教育和高職學(xué)生的特點,《網(wǎng)絡(luò)安全技術(shù)》課程的培養(yǎng)目標(biāo),應(yīng)是動手能力強的網(wǎng)絡(luò)維護者和網(wǎng)絡(luò)安全實現(xiàn)者。

3 課程改革的措施

3.1 根據(jù)TCP/IP參考模型來制訂教學(xué)內(nèi)容。

網(wǎng)絡(luò)隱患的出現(xiàn)歸根結(jié)底就是因為網(wǎng)絡(luò)結(jié)構(gòu)本身的安全問題,將網(wǎng)絡(luò)隱患進(jìn)行細(xì)化,會發(fā)現(xiàn)這些隱患都可以劃歸為TCP/IP參考模型各層的安全問題,比如線路安全屬于網(wǎng)絡(luò)接口層的安全問題,IP地址欺騙屬于網(wǎng)絡(luò)層的安全問題,認(rèn)證和加密屬于應(yīng)用層的安全問題等等,因此,可以針對各層的安全隱患來制訂教學(xué)內(nèi)容。

3.2 以項目為單位組織教學(xué),注重學(xué)生能力培養(yǎng)

根據(jù)本課程的教學(xué)目標(biāo),緊密結(jié)合網(wǎng)絡(luò)管理員職業(yè)資格證書技能考核要求,確定課程的教學(xué)內(nèi)容,在此基礎(chǔ)上形成項目,并對項目進(jìn)行分解,使基本知識點和技能要素直接切入到項目和工作任務(wù)的各個環(huán)節(jié)中,課程內(nèi)容呈技能遞進(jìn)方式。以項目為單位組織教學(xué),讓學(xué)生在技能訓(xùn)練過程中加深對專業(yè)知識、技能的理解和應(yīng)用,培養(yǎng)學(xué)生的綜合職業(yè)能力,滿足學(xué)生職業(yè)生涯發(fā)展的需要。

3.3 改革考核方式,建立了形成性評價體系

改革傳統(tǒng)考核方式,注重過程評價,著重考查學(xué)生在項目任務(wù)中表現(xiàn)出來的職業(yè)能力和職業(yè)素養(yǎng)。將學(xué)生的職業(yè)素養(yǎng)、工作責(zé)任心、團隊協(xié)作、學(xué)習(xí)態(tài)度、職業(yè)能力和工作績效等納入評價范圍,建立科學(xué)可行的評價體系,對學(xué)生職業(yè)素養(yǎng)的養(yǎng)成和職業(yè)能力訓(xùn)練方面進(jìn)行全面評價,充分發(fā)揮評價的導(dǎo)向功能。

3.4 注重學(xué)生自主學(xué)習(xí)能力培養(yǎng)

教學(xué)過程中,注重“六階段”教學(xué)法,讓學(xué)生在教師的指導(dǎo)下,有目的、有計劃、大膽地、主動地去學(xué)習(xí),在學(xué)習(xí)過程中,老師根據(jù)學(xué)習(xí)內(nèi)容和學(xué)生實際,適時地給學(xué)生指導(dǎo)點撥,啟發(fā)誘導(dǎo),充分調(diào)動學(xué)生學(xué)習(xí)的積極、主動性與創(chuàng)造性,讓學(xué)生在學(xué)習(xí)中積極思考,主動探究,發(fā)現(xiàn)問題,分析問題和解決問題,使學(xué)生在學(xué)習(xí)過程中構(gòu)建新知,提高能力。課后作業(yè),教師布置一些具有探索性課題,讓學(xué)生自主查閱資料,收集所需的知識與信息,提出自己解決問題方案。例如,安全風(fēng)險分析教學(xué)課后作業(yè)要求學(xué)生調(diào)查學(xué)校及周圍街區(qū)網(wǎng)絡(luò)安全情況,若發(fā)現(xiàn)存在不安全現(xiàn)象,提出整改方案。

3.5 改革教學(xué)方法

1)注重“六階段”教學(xué)法

教學(xué)過程中,采用依據(jù)基于工作過程的課程開發(fā)理論所揭示的“資訊、決策、計劃、實施、檢查、評價”六階段法組織教學(xué)。

資訊階段――多個學(xué)生為一個小組,教師以任務(wù)單形式下達(dá)教學(xué)單元的任務(wù),并提出具體要求。每個小組成員在教師指導(dǎo)下查閱相關(guān)資料,收集工作任務(wù)所需的知識與信息并提出自己的見解,并學(xué)會與小組成員、教師的溝通與交流。

決策階段――以小組討論的方式對每個學(xué)員的方案進(jìn)行論證,在教師的指導(dǎo)和幫助下確定一個實施性的方案。在這一過程中學(xué)員相互啟發(fā),相互學(xué)習(xí),個人的知識欠缺將通過共同討論、集思廣益來彌補,同時也鍛煉學(xué)員解決問題和創(chuàng)造性思維能力。

計劃階段――針對實施方案,教師指導(dǎo)學(xué)員制定設(shè)計體系的工作計劃。包括:安全策略的制定、安全措施的執(zhí)行等。

實施階段――小組成員針對工作計劃實施操作。教師重點指導(dǎo)學(xué)生完成實施準(zhǔn)備工作,并對學(xué)生的實施操作進(jìn)行全方位的監(jiān)控,確保實施過程的用電安全并關(guān)注學(xué)生團隊合作、成本節(jié)約等意識。

檢查階段――學(xué)生對照上述階段進(jìn)行自查,找到存在的問題并提出改進(jìn)措施等。

評價階段――采用形成性評價方式進(jìn)行考核。

2)技能考證獎勵法

將網(wǎng)絡(luò)管理員考核標(biāo)準(zhǔn)融入課程教學(xué)內(nèi)容與評價體系,使專業(yè)課程的教學(xué)過程和技能培訓(xùn)過程相互融合,課程考核與技能鑒定相結(jié)合,實行學(xué)生參與技能鑒定可取代對應(yīng)課程考核的制度。課余時間開放實訓(xùn)室,拓展第二課堂活動,促進(jìn)學(xué)生主動學(xué)習(xí)專業(yè)有關(guān)知識,加深學(xué)生對知識的理解和掌握,提高學(xué)生的學(xué)習(xí)興趣,培養(yǎng)學(xué)生實踐技能和創(chuàng)新能力。

3.6 引入企業(yè)文化

校內(nèi)實訓(xùn),模擬企業(yè)真實的工作氛圍,每個學(xué)生就像企業(yè)中的員工,組成工作小組,設(shè)立組長,教師充當(dāng)部門經(jīng)理,負(fù)責(zé)分配工作任務(wù),并要求學(xué)生按企業(yè)工作流程要求,在整個實訓(xùn)過程中嚴(yán)格把關(guān),實行層層審核負(fù)責(zé)制,培養(yǎng)學(xué)生的工作責(zé)任心、獨立工作能力和良好的職業(yè)素質(zhì),工作結(jié)束后要清場并填寫工作報告(實訓(xùn)報告),使學(xué)生在學(xué)校就體會崗位的工作情境。

通過本課程的學(xué)習(xí),使學(xué)生掌握基于TCP/IP體系協(xié)議的安全體系構(gòu)建等方面的知識,具備安全策略制定的能力,養(yǎng)成良好的團隊合作等習(xí)慣。

參考文獻(xiàn):

[1] 時代教育技術(shù)學(xué)專業(yè)課程體系研究(一)[M].現(xiàn)代教育技術(shù),2004.

[2] 盧紅學(xué),高職課程體系改革的目標(biāo)與思路[M].職教論壇,2005.