導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇網(wǎng)絡(luò)安全與攻防技術(shù)，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞： 網(wǎng)絡(luò)信息安全； 計(jì)算機(jī)； APT； 安全防御； 惡意威脅

中圖分類(lèi)號(hào)： TN711?34 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2015）21?0100?05

Threat to network information security and study on new defense

technologies in power grid enterprises

LONG Zhenyue1， 2， QIAN Yang1， 2， ZOU Hong1， 2， CHEN Ruizhong1， 2

（1. Key Laboratory of Information Testing， China Southern Power Grid Co.， Ltd.， Guangzhou 510000， China；

2. Information Center， Guangdong Power Grid Co.， Ltd.， Guangzhou 510000， China）

Abstract： With the continuous development of management informationization of the power grid enterprises， automatic power grid operation and intelligent electrical equipment， the information security has become more important. For the serious situation of network information security， the new?type defense technologies are studied， which are consisted of advanced persistent threat （APT） protection technology and vulnerability scanning technology. Combining with the advantages and disadvantages of these technologies， the strategy of defense effectiveness analysis based on the minimum attack cost is proposed， which can compute the defense capability of the network.

Keywords： network information security； computer； APT； safety defense； malicious threat

0 引 言

隨著電網(wǎng)企業(yè)管理信息化、電網(wǎng)運(yùn)行自動(dòng)化、電力設(shè)備智能化的不斷發(fā)展，電網(wǎng)企業(yè)信息安全愈發(fā)重要。信息化已成為電力企業(yè)工作中的重要組成部分，各類(lèi)工作對(duì)網(wǎng)絡(luò)的高度依賴(lài)，各類(lèi)信息以結(jié)構(gòu)化、非結(jié)構(gòu)化的方式儲(chǔ)存并流轉(zhuǎn)于網(wǎng)絡(luò)當(dāng)中，一旦信息網(wǎng)絡(luò)被攻破，則往往導(dǎo)致服務(wù)中斷、信息泄漏、甚至指令錯(cuò)誤等事件，嚴(yán)重威脅生產(chǎn)和運(yùn)行的安全。因此，保障網(wǎng)絡(luò)信息安全就是保護(hù)電網(wǎng)企業(yè)的運(yùn)行安全，保障網(wǎng)絡(luò)安全是電網(wǎng)企業(yè)的重要職責(zé)[1]。

目前的網(wǎng)絡(luò)信息安全形勢(shì)依然嚴(yán)峻，近年來(lái)，業(yè)務(wù)從單系統(tǒng)到跨系統(tǒng)，網(wǎng)絡(luò)從零星分散到大型化、復(fù)雜化，單純的信息安全防護(hù)技術(shù)和手段已經(jīng)不能滿足企業(yè)安全防護(hù)的需要，應(yīng)針對(duì)性地研究具有縱深防御特點(diǎn)的安全防護(hù)體系，以信息安全保障為核心，以信息安全攻防技術(shù)為基礎(chǔ)，了解信息安全攻防新技術(shù)，從傳統(tǒng)的“知防不知攻”的被動(dòng)防御向“知攻知防”的縱深積極防御轉(zhuǎn)變，建立全面的信息安全防護(hù)體系。

1 概 述

從廣義層面而言，網(wǎng)絡(luò)信息安全指的是保障網(wǎng)絡(luò)信息的機(jī)密性、完整性以及有效性，涉及這部分的相關(guān)網(wǎng)絡(luò)理論以及技術(shù)都是網(wǎng)絡(luò)信息安全的內(nèi)容。從狹義層面而言，網(wǎng)絡(luò)信息安全指的是網(wǎng)絡(luò)信息的安全，主要包括網(wǎng)絡(luò)軟硬件及系統(tǒng)數(shù)據(jù)安全[2]。網(wǎng)絡(luò)信息安全需要保證當(dāng)網(wǎng)絡(luò)受到惡意破壞或信息泄露時(shí)，網(wǎng)絡(luò)系統(tǒng)可以持續(xù)正常運(yùn)行，為企業(yè)提供所需的服務(wù)。

通過(guò)對(duì)我國(guó)某電網(wǎng)企業(yè)及其下轄電力單位的調(diào)研，以及對(duì)近5年電力信息資產(chǎn)信息安全類(lèi)測(cè)評(píng)結(jié)果的統(tǒng)計(jì)得知，電網(wǎng)企業(yè)現(xiàn)存的網(wǎng)絡(luò)安全情況主要分為以下3類(lèi)：網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與漏洞弱點(diǎn)事件、數(shù)據(jù)安全風(fēng)險(xiǎn)與漏洞弱點(diǎn)事件、管理類(lèi)安全風(fēng)險(xiǎn)與漏洞弱點(diǎn)事件。整體上看，電網(wǎng)企業(yè)的信息安全問(wèn)題仍不容樂(lè)觀，近年來(lái)隨著網(wǎng)絡(luò)的復(fù)雜化，攻擊的新型化和專(zhuān)業(yè)化，網(wǎng)絡(luò)安全防護(hù)的情況亟待加強(qiáng)?？傮w而言，首先要加強(qiáng)并提升網(wǎng)絡(luò)、應(yīng)用等方面安全水平，保證信息源頭的安全情況；其次加強(qiáng)管理類(lèi)安全，特別是人員管理、運(yùn)維管理等方面；最后研究分析最新攻防技術(shù)的特點(diǎn)，結(jié)合電網(wǎng)實(shí)際現(xiàn)狀，構(gòu)建適用于現(xiàn)有網(wǎng)絡(luò)環(huán)境與架構(gòu)的信息安全縱深防御體系。

本文主要針對(duì)第三點(diǎn)展開(kāi)論述，研究包括高級(jí)持續(xù)威脅（APT）防護(hù)技術(shù)、漏洞掃描技術(shù)等新型的攻擊及其防護(hù)技術(shù)，提取在復(fù)雜網(wǎng)絡(luò)系統(tǒng)中的防御共同點(diǎn)，并給出一類(lèi)策略用于分析網(wǎng)絡(luò)信息安全防御的有效性。

2 信息安全的攻防新技術(shù)

電網(wǎng)企業(yè)所依賴(lài)的信息安全隔離與防御技術(shù)主要包括數(shù)據(jù)加密技術(shù)、安全隔離技術(shù)、入侵檢測(cè)技術(shù)、訪問(wèn)控制技術(shù)等。一方面，通過(guò)調(diào)研與統(tǒng)計(jì)分析。目前電網(wǎng)的信息安全建設(shè)主要以防止外部攻擊，通過(guò)區(qū)域劃分、防火墻、反向、入侵檢測(cè)等手段對(duì)外部攻擊進(jìn)行防御，對(duì)內(nèi)部的防御手段往往滯后，電網(wǎng)內(nèi)部應(yīng)用仍然存在一定的安全風(fēng)險(xiǎn)與漏洞弱點(diǎn)。如果一道防線失效，惡意的攻擊者可能通過(guò)以?xún)?nèi)部網(wǎng)絡(luò)為跳板威脅電網(wǎng)企業(yè)的安全；另一方面，電網(wǎng)企業(yè)中目前使用的防御技術(shù)一般是孤立的，未形成關(guān)聯(lián)性防御，而目前新型的攻擊往往會(huì)結(jié)合多個(gè)漏洞，甚至是多個(gè)0day漏洞進(jìn)行組合攻擊，使得攻擊的隱蔽性、偽裝性都較強(qiáng)。因此，要構(gòu)建信息安全防御體系，僅憑某單一的防護(hù)措施或技術(shù)無(wú)法滿足企業(yè)的安全要求，只有構(gòu)建完整的信息安全防護(hù)屏障，才能為企業(yè)提供足夠的信息安全保障能力。

經(jīng)過(guò)分析，目前針對(duì)電網(wǎng)企業(yè)的新型攻防技術(shù)有如下幾類(lèi)：

2.1 高級(jí)持續(xù)威脅攻擊與防護(hù)技術(shù)

高級(jí)持續(xù)威脅（APT）是針對(duì)某一項(xiàng)有價(jià)值目標(biāo)而開(kāi)展的持續(xù)性攻擊，攻擊過(guò)程會(huì)使用一切能被利用的手段，包括社會(huì)工程學(xué)攻擊、0day漏洞攻擊等，當(dāng)各攻擊點(diǎn)形成持續(xù)攻擊鏈后，最終達(dá)到攻擊目的。典型的APT攻擊案例如伊朗核電項(xiàng)目被“震網(wǎng)（Stuxnet）”蠕蟲(chóng)病毒攻擊，通過(guò)攻擊工業(yè)用的可編程邏輯控制器，導(dǎo)致伊朗近[15]的核能離心機(jī)損壞。

根據(jù)APT攻擊的特性，企業(yè)可以從防范釣魚(yú)攻擊、識(shí)別郵件中的惡意代碼、識(shí)別主機(jī)上的惡意代碼、監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù)滲出等多個(gè)環(huán)節(jié)進(jìn)行檢測(cè)，主要涉及以下幾類(lèi)新型技術(shù)。

2.1.1 基于沙箱的惡意代碼檢測(cè)技術(shù)

惡意代碼檢測(cè)中最具挑戰(zhàn)性的是檢測(cè)利用0day漏洞的惡意代碼，傳統(tǒng)的基于特征碼的惡意代碼檢測(cè)技術(shù)無(wú)法應(yīng)對(duì)0day攻擊。目前最新的技術(shù)是通過(guò)沙箱技術(shù)，構(gòu)造模擬的程序執(zhí)行環(huán)境，讓可疑文件在模擬環(huán)境中運(yùn)行，通過(guò)軟件所表現(xiàn)的外在行為判定是否是惡意代碼。

2.1.2 基于異常的流量檢測(cè)技術(shù)

傳統(tǒng)的入侵檢測(cè)系統(tǒng)IDS都是基于特征（簽名）的深度包檢測(cè)（DPI）分析，部分會(huì)采用到簡(jiǎn)單深度流檢測(cè)（DFI）技術(shù)。面對(duì)新型威脅，基于DFI技術(shù)的應(yīng)用需要進(jìn)一步深化?；诋惓５牧髁繖z測(cè)技術(shù)，是通過(guò)建立流量行為輪廓和學(xué)習(xí)模型來(lái)識(shí)別流量異常，進(jìn)而識(shí)別0day攻擊、C&C通信以及信息滲出等惡意行為。

2.1.3 全包捕獲與分析技術(shù)

由于APT攻擊的隱蔽性與持續(xù)性，當(dāng)攻擊行為被發(fā)現(xiàn)時(shí)往往已經(jīng)持續(xù)了一段時(shí)間；因此需要考慮如何分析信息系統(tǒng)遭受的損失，利用全包捕獲及分析技術(shù)（FPI），借助海量存儲(chǔ)空間和大數(shù)據(jù)分析（BDA）方法，F(xiàn)PI能夠抓取網(wǎng)絡(luò)定場(chǎng)合下的全量數(shù)據(jù)報(bào)文并存儲(chǔ)，便于后續(xù)的歷史分析或者準(zhǔn)實(shí)時(shí)分析。

2.2 漏洞掃描技術(shù)

漏洞掃描技術(shù)是一種新型的、靜態(tài)的安全檢測(cè)技術(shù)，攻防雙方都會(huì)利用它盡量多地獲取信息。一方面，攻擊者利用它可以找到網(wǎng)絡(luò)中潛在的漏洞；另一方面，防御者利用它能夠及時(shí)發(fā)現(xiàn)企業(yè)或單位網(wǎng)絡(luò)系統(tǒng)中隱藏的安全漏洞。以被掃描對(duì)象分類(lèi)，漏洞掃描主要可分為基于網(wǎng)絡(luò)與基于主機(jī)的安全漏洞掃描技術(shù)。

2.2.1 基于網(wǎng)絡(luò)的安全漏洞掃描技術(shù)

基于網(wǎng)絡(luò)的安全漏洞掃描技術(shù)通過(guò)網(wǎng)絡(luò)掃描網(wǎng)絡(luò)設(shè)備、主機(jī)或系統(tǒng)中的安全漏洞與脆弱點(diǎn)。例如，通過(guò)掃描的方式獲知OpenSSL心臟出血漏洞是否存在。基于網(wǎng)絡(luò)的安全漏洞掃描技術(shù)的優(yōu)點(diǎn)包括：易操作性，掃描在執(zhí)行過(guò)程中，無(wú)需目標(biāo)網(wǎng)絡(luò)或系統(tǒng)主機(jī)Root管理員的參與；維護(hù)簡(jiǎn)便，若目標(biāo)網(wǎng)絡(luò)中的設(shè)備有調(diào)整或變化，只要網(wǎng)絡(luò)是連通的，就可以執(zhí)行掃描任務(wù)。但是基于網(wǎng)絡(luò)的掃描也存在一些局限性：掃描無(wú)法直接訪問(wèn)目標(biāo)網(wǎng)絡(luò)或系統(tǒng)主機(jī)上的文件系統(tǒng)；其次，掃描活動(dòng)不能突破網(wǎng)絡(luò)防火墻[3]。

2.2.2 基于主機(jī)的安全漏洞掃描技術(shù)

基于主機(jī)的安全漏洞掃描技術(shù)是通過(guò)以系統(tǒng)管理員權(quán)限登錄目標(biāo)主機(jī)，記錄網(wǎng)絡(luò)或系統(tǒng)配置、規(guī)則等重要項(xiàng)目參數(shù)，通過(guò)獲取的信息與標(biāo)準(zhǔn)的系統(tǒng)安全配置庫(kù)進(jìn)行比對(duì)，最終獲知系統(tǒng)的安全漏洞與風(fēng)險(xiǎn)。

基于主機(jī)的安全漏洞掃描技術(shù)的優(yōu)點(diǎn)包括：可使用的規(guī)則多，掃描結(jié)果精準(zhǔn)度高；網(wǎng)絡(luò)流量負(fù)載較小，不易被發(fā)現(xiàn)。該技術(shù)也存在一些局限性：首先，基于主機(jī)的安全漏洞掃描軟件或工具的價(jià)格昂貴；其次，基于主機(jī)的安全漏洞掃描軟件或工具首次部署的工作周期較長(zhǎng)。

3 基于最小攻擊代價(jià)的網(wǎng)絡(luò)防御有效性分析策略

惡意攻擊總是以某一目標(biāo)為導(dǎo)向，惡意攻擊者為了達(dá)到目標(biāo)會(huì)選擇各種有效的手法對(duì)網(wǎng)絡(luò)進(jìn)行攻擊。在復(fù)雜網(wǎng)絡(luò)環(huán)境下，如果可以盡可能大地提高惡意攻擊者的攻擊代價(jià)，則對(duì)應(yīng)能達(dá)到提高有效防御的能力?；谶@個(gè)假設(shè)，這里展示一種在復(fù)雜網(wǎng)絡(luò)環(huán)境下分析攻擊有效性的策略，并依此計(jì)算從非安全區(qū)到目標(biāo)區(qū)是否存在足夠小的攻擊代價(jià)，讓惡意攻擊可以獲取目標(biāo)。如果存在，則可以被惡意攻擊利用的路徑將被計(jì)算出來(lái)；如果不存在，則證明從非安全區(qū)到目標(biāo)區(qū)的安全防御能力是可以接受的。

以二元組的形式描述網(wǎng)絡(luò)拓?fù)鋱D[4][C，]其中節(jié)點(diǎn)是網(wǎng)絡(luò)中的各類(lèi)設(shè)備，邊表示設(shè)備間的關(guān)聯(lián)關(guān)系。假設(shè)非安全區(qū)域?yàn)閇Z，]目標(biāo)區(qū)域?yàn)閇D。]在網(wǎng)絡(luò)中，攻擊者如果能達(dá)到目標(biāo)，必然至少存在一條從非安全區(qū)節(jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)[d]的通路[p，]且這條通路上的攻擊代價(jià)小于值[w。]其中，攻擊代價(jià)指攻擊者能夠利用攻擊工具、系統(tǒng)缺陷、脆弱性等信息，實(shí)現(xiàn)其對(duì)目標(biāo)的入侵行為所付出的代價(jià)。直觀地，由于攻擊行為往往會(huì)因遇到安全設(shè)備和安全策略的阻攔，而導(dǎo)致其成功實(shí)現(xiàn)其攻擊目的的時(shí)間、精力甚至資金成本提高，攻擊者為達(dá)到其攻擊目標(biāo)所付出的所有的行為成本即攻擊代價(jià)。

在圖[G]中，每一個(gè)節(jié)點(diǎn)[v]具有輸入權(quán)限[q]和獲利權(quán)限[q]（如表1所示）、本身的防護(hù)能力[pr]以及風(fēng)險(xiǎn)漏洞數(shù)L（L≥0）。攻擊者能力是指攻擊者通過(guò)輸入權(quán)限[q，]通過(guò)任意攻擊手段，在節(jié)點(diǎn)[v]上所能獲取的最高權(quán)限值（獲利權(quán)限）[q′。]直觀地，輸入權(quán)限代表攻擊者在對(duì)某節(jié)點(diǎn)進(jìn)行攻擊前所擁有的權(quán)限，如Web服務(wù)器一般均具有匿名訪問(wèn)權(quán)限；獲利權(quán)限代表攻擊者最終可以利用的系統(tǒng)權(quán)限。

最短攻擊路徑是從非安全區(qū)域[Z]中任意節(jié)點(diǎn)[z]到目標(biāo)節(jié)點(diǎn)[d]所有攻擊路徑中，防護(hù)成功率最低的[Pr]所對(duì)應(yīng)的路徑。最短攻擊路徑所對(duì)應(yīng)耗費(fèi)的攻擊代價(jià)為最小攻擊代價(jià)[4]，也是該網(wǎng)絡(luò)的防護(hù)能力有效性分值。

攻擊代價(jià)閾值：一旦攻擊者付出的攻擊代價(jià)超過(guò)其預(yù)期，攻擊者很大程度上將會(huì)停止使得攻擊代價(jià)超限的某一攻擊行為，轉(zhuǎn)而專(zhuān)注于攻擊代價(jià)較小的其他攻擊路徑。攻擊代價(jià)閾值即攻擊者為達(dá)到目標(biāo)可接受的最大攻擊代價(jià)。如果防護(hù)能力有效性分值小于攻擊代價(jià)閾值，則說(shuō)明攻擊目標(biāo)可以達(dá)到。

攻擊代價(jià)閾值一般可以通過(guò)人工方式指定，本文采用德?tīng)栰撤?，也被稱(chēng)為專(zhuān)家咨詢(xún)法的方式來(lái)確定。經(jīng)過(guò)專(zhuān)家分析和評(píng)判，將攻擊代價(jià)閾值設(shè)定為[t，]當(dāng)攻擊路徑防護(hù)能力小于[t]即認(rèn)為攻擊者會(huì)完成攻擊行為并能成功實(shí)施攻擊行為。

4 網(wǎng)絡(luò)防御有效性分析應(yīng)用

假設(shè)在電網(wǎng)企業(yè)復(fù)雜網(wǎng)絡(luò)環(huán)境場(chǎng)景下存在一類(lèi)新型的APT攻擊，網(wǎng)絡(luò)中使用兩種策略A，B進(jìn)行攻擊防御。策略A采用了現(xiàn)有的隔離與防御技術(shù)，策略B是在現(xiàn)有基礎(chǔ)上增加應(yīng)用了APT防御技術(shù)。計(jì)算兩類(lèi)策略下的最小攻擊代價(jià)，并進(jìn)而對(duì)APT防護(hù)效果進(jìn)行分析。

4.1 策略選取

4.1.1 策略A

圖1為一個(gè)簡(jiǎn)化的復(fù)雜網(wǎng)絡(luò)環(huán)境實(shí)例拓?fù)?，其中DMZ區(qū)部署的Web服務(wù)器為內(nèi)、外網(wǎng)用戶提供Web服務(wù)，電網(wǎng)地市局局域網(wǎng)的內(nèi)部用戶不允許與外網(wǎng)直接連接，限網(wǎng)。各安全域之間具體訪問(wèn)控制策略如下：

（1） 只允許地市局局域網(wǎng)用戶訪問(wèn)DMZ區(qū)Host2（H2）上的IIS Web服務(wù)和Host3（H3）上的Tomcat服務(wù)；

（2） DMZ 區(qū)的H2 允許訪問(wèn)H3上的Tomcat服務(wù)和IDC區(qū)Host4（H4）上的Oracle DB服務(wù)；

（3） 禁止H2和H3訪問(wèn)Domino服務(wù)器Host5（H5）；

（4） H5允許訪問(wèn)DMZ的H2和H3及IDC區(qū)的H4。

4.2 效果分析

通過(guò)上述計(jì)算結(jié)果表明，在應(yīng)用策略A與B情況下，局域網(wǎng)用戶到DMZ區(qū)域目標(biāo)主機(jī)存在的攻擊路徑的防護(hù)有效性分值分別是（0.3，0.3，0.51）與（0.93， 0.93，0.979）。在策略A的情況下，通過(guò)DMZ區(qū)的H2為跳板，攻擊IDC的目標(biāo)主機(jī)H4，最短攻擊路徑的防護(hù)有效性分值只有0.51，說(shuō)明局域網(wǎng)內(nèi)的攻擊者能在花費(fèi)較小代價(jià)的情況下，輕易地獲取內(nèi)網(wǎng)DMZ或IDC服務(wù)器的系統(tǒng)權(quán)限，從而造成較大的危害。而增加APT防護(hù)設(shè)備之后，通過(guò)DMZ區(qū)的H2為跳板，攻擊IDC的目標(biāo)主機(jī)H4，防護(hù)有效性分值提升為0.979，其他攻擊路徑的防護(hù)有效性也有明顯提高。

策略A與策略B的對(duì)比結(jié)果表明，在DMZ區(qū)域有APT防護(hù)技術(shù)情況下，網(wǎng)絡(luò)環(huán)境下整體的隔離與防御能力得到了明顯提升，從而驗(yàn)證了隔離與防御新技術(shù)的防護(hù)效果。

5 結(jié) 語(yǔ)

在新形勢(shì)、新技術(shù)下，我國(guó)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全仍面臨著嚴(yán)峻的挑戰(zhàn)，應(yīng)當(dāng)高度重視網(wǎng)絡(luò)信息安全工作，不斷發(fā)展完善信息安全防御新技術(shù)，改善網(wǎng)絡(luò)信息安全的水平。單純使用某種防御技術(shù)，往往已無(wú)法應(yīng)對(duì)快速變化的安全防御需求，只有綜合運(yùn)用各種新型的攻防技術(shù)，分析其關(guān)聯(lián)結(jié)果，并通過(guò)網(wǎng)內(nèi)、網(wǎng)間各類(lèi)安全設(shè)備、安全措施的互相配合，才能最終建立健全網(wǎng)絡(luò)信息安全防范體系，最大限度減少惡意入侵的威脅，保障企業(yè)應(yīng)用的安全、穩(wěn)定運(yùn)行。

參考文獻(xiàn)

[1] 高子坤，楊海洲，王江濤.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略分析[J].科技研究，2014，11（2）：155?157.

[2] 彭曉明.應(yīng)對(duì)飛速發(fā)展的計(jì)算機(jī)網(wǎng)絡(luò)的安全技術(shù)探索[J].硅谷，2014，15（11）：86?87.

[3] 范海峰.基于漏洞掃描技術(shù)的網(wǎng)絡(luò)安全評(píng)估方法研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2012，8（6）：9?11.

[4] 吳迪，馮登國(guó)，連一峰，等.一種給定脆弱性環(huán)境下的安全措施效用評(píng)估模型[J].軟件學(xué)報(bào)，2012，23（7）：1880?1898.

篇2

關(guān)鍵詞：網(wǎng)絡(luò)工程；安全防護(hù)；防護(hù)技術(shù)

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）21- 4790-02

隨著我國(guó)社會(huì)經(jīng)濟(jì)的發(fā)展，信息化建設(shè)也發(fā)展較快，現(xiàn)代通信技術(shù)日新月異。通信網(wǎng)絡(luò)的推廣和普及使人們改變了信息交流的方式，逐漸成為人們?nèi)粘Ｉ钚畔@取和交流的主要途徑。近年來(lái)，我國(guó)互聯(lián)網(wǎng)行業(yè)的飛速發(fā)展帶來(lái)了兩個(gè)方面的影響，一方面方便了人們的工作和生活，另一方面由于計(jì)算機(jī)網(wǎng)絡(luò)的開(kāi)放性、互聯(lián)性以及分散性等特點(diǎn)，使得網(wǎng)絡(luò)工程中還不同程度地存在著一些安全隱患，威脅著網(wǎng)絡(luò)工程的通信網(wǎng)絡(luò)環(huán)境。網(wǎng)絡(luò)安全防護(hù)是一種網(wǎng)絡(luò)安全技術(shù)，加強(qiáng)網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)，有利于保障通信網(wǎng)絡(luò)安全暢通。因此，研究網(wǎng)絡(luò)工程中的安全防護(hù)技術(shù)具有十分重要的現(xiàn)實(shí)意義。鑒于此，筆者對(duì)網(wǎng)絡(luò)工程中的安全防護(hù)技術(shù)進(jìn)行了初步探討。

1 網(wǎng)絡(luò)工程安全存在的問(wèn)題分析

當(dāng)前，網(wǎng)絡(luò)工程安全現(xiàn)狀不容樂(lè)觀，還存在著諸多亟待解決的問(wèn)題，這些問(wèn)題主要表現(xiàn)在黑客的威脅攻擊、計(jì)算機(jī)病毒入侵、IP地址被盜用、垃圾郵件的泛濫和計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)五個(gè)方面，其具體內(nèi)容如下：

1.1 黑客的威脅攻擊

黑客的威脅攻擊是網(wǎng)絡(luò)工程安全中存在的問(wèn)題之一。黑客最早源自英文hacker，從黑客的定義上來(lái)看，黑客是指利用系統(tǒng)安全漏洞對(duì)網(wǎng)絡(luò)進(jìn)行攻擊破壞或竊取資料的人。一般來(lái)說(shuō)，黑客在對(duì)網(wǎng)絡(luò)工程進(jìn)行攻擊時(shí)，按黑客攻擊的方式分類(lèi)主要有兩種攻擊方式，即非破壞性攻擊和破壞性攻擊。非破壞性攻擊通常為了擾亂系統(tǒng)的運(yùn)行，將阻礙系統(tǒng)正常運(yùn)行作為目的， 并不盜竊系統(tǒng)資料，用拒絕服務(wù)和信息炸彈對(duì)系統(tǒng)進(jìn)行攻擊；破壞性攻擊以侵入電腦系統(tǒng)、盜竊系統(tǒng)保密信息為目的，黑客會(huì)破壞電腦系統(tǒng)。

1.2 計(jì)算機(jī)病毒入侵

計(jì)算機(jī)病毒入侵在一定程度上制約著網(wǎng)絡(luò)工程安全的發(fā)展。計(jì)算機(jī)病毒具有破壞性，復(fù)制性和傳染性等特點(diǎn)，計(jì)算機(jī)病毒不是天然存在的，是編制者將指令、程序代碼植入到計(jì)算機(jī)系統(tǒng)中。所謂的病毒是人為造成的，通過(guò)影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行，造成對(duì)其他用戶的危害。計(jì)算機(jī)病毒破壞力強(qiáng)、傳播迅速且不易被察覺(jué)，尤其是像木馬、震網(wǎng)、火焰這些通過(guò)網(wǎng)絡(luò)作為途徑傳播的病毒，一旦感染其他程序，將會(huì)對(duì)計(jì)算機(jī)資源進(jìn)行破壞。不難看出，提高系統(tǒng)的安全性是確保網(wǎng)絡(luò)工程安全的過(guò)程中迫切需要解決的問(wèn)題。

1.3 IP地址被盜用

IP地址被盜用也是網(wǎng)絡(luò)工程安全的瓶頸。對(duì)計(jì)算機(jī)網(wǎng)絡(luò)而言，被盜用IP地址的計(jì)算機(jī)不能正常使用網(wǎng)絡(luò)，致使用戶無(wú)法進(jìn)行正常的網(wǎng)絡(luò)連接。區(qū)域網(wǎng)絡(luò)中常有l(wèi)P被盜的情況，這種情況下用戶被告知lP地址已被占用，致使用戶無(wú)法進(jìn)行正常的網(wǎng)絡(luò)連接。這些lP地址權(quán)限通常較高，竊取lP者一般會(huì)以不知名的身份來(lái)擾亂用戶的正常網(wǎng)絡(luò)使用，這會(huì)給用戶帶來(lái)很大的影響，使用戶的自身權(quán)益受到侵犯，也嚴(yán)重威脅網(wǎng)絡(luò)的安全性。

1.4 垃圾郵件的泛濫

垃圾郵件的泛濫，使得網(wǎng)絡(luò)工程安全陷入困境。垃圾郵件是指那些并非用戶自愿卻無(wú)法阻止收取的郵件。長(zhǎng)期以來(lái)，垃圾郵件損害了郵件使用者的利益， 垃圾郵件的的日益嚴(yán)重讓網(wǎng)絡(luò)重負(fù)逐漸加大，對(duì)效率和安全性造成嚴(yán)重的威脅，一方面大量消耗網(wǎng)絡(luò)資源，減緩了系統(tǒng)運(yùn)行效率；另一方面，數(shù)量繁多的垃圾郵件還侵害整個(gè)網(wǎng)絡(luò)工程的安全。

1.5 計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)

計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)也影響著網(wǎng)絡(luò)工程安全。在計(jì)算機(jī)網(wǎng)絡(luò)工程中，管理機(jī)構(gòu)的體制不健全，各崗位分工不明確，對(duì)密碼及權(quán)限的管理不夠，這些因素使網(wǎng)絡(luò)安全日益受到外來(lái)的破壞且用戶自身安全防衛(wèi)意識(shí)薄弱，無(wú)法有效地規(guī)避信息系統(tǒng)帶來(lái)的風(fēng)險(xiǎn)， 導(dǎo)致計(jì)算機(jī)系統(tǒng)的風(fēng)險(xiǎn)逐步嚴(yán)重，計(jì)算機(jī)系統(tǒng)不能正常工作，最終威脅到計(jì)算機(jī)網(wǎng)絡(luò)的安全。因此，加強(qiáng)網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)勢(shì)在必行。

2 加強(qiáng)網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)的策略

2.1 設(shè)置防火墻過(guò)濾信息

最直接的黑客防治辦法是運(yùn)用防火墻技術(shù)，設(shè)置防火墻過(guò)濾信息是加強(qiáng)網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)的關(guān)鍵。網(wǎng)絡(luò)工程中最有效的防護(hù)手段就是在外部網(wǎng)絡(luò)和局域網(wǎng)之間架設(shè)防火墻，網(wǎng)絡(luò)防火墻作為一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件，可以將局域網(wǎng)與外部網(wǎng)的地址分割開(kāi)，計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過(guò)此防火墻，經(jīng)過(guò)防火墻的過(guò)濾，能夠過(guò)濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行，增加內(nèi)部網(wǎng)絡(luò)的安全性。另外，防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來(lái)自特殊站點(diǎn)的訪問(wèn)，從而防止來(lái)自不明入侵者的所有通信。

2.2 加強(qiáng)病毒的防護(hù)措施

加強(qiáng)病毒的防護(hù)措施也是加強(qiáng)網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)的重要組成部分。病毒防護(hù)是計(jì)算機(jī)系統(tǒng)日常維護(hù)與安全管理的重要內(nèi)容，當(dāng)前計(jì)算機(jī)病毒在形式上越來(lái)越難以辨別，計(jì)算機(jī)網(wǎng)絡(luò)病毒的防治，單純依靠技術(shù)手段是不可能十分有效地杜絕和防止其蔓延的，只有把技術(shù)手段和管理機(jī)制緊密結(jié)合起來(lái)，提高人們的防范意識(shí)，才有可能從根本上保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。常見(jiàn)的殺毒軟件有：360安全衛(wèi)士，卡巴斯基，金山毒霸等。網(wǎng)絡(luò)工程在加強(qiáng)病毒的防護(hù)措施方面，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)工程人員而言，相關(guān)人員都應(yīng)該掌握使用殺毒軟件、防病毒卡等措施，一般情況下，要定期對(duì)計(jì)算進(jìn)行病毒檢測(cè)與查殺，一旦發(fā)現(xiàn)病毒時(shí)應(yīng)詢(xún)問(wèn)后再處理，不僅如此，對(duì)計(jì)算機(jī)系統(tǒng)的重要文件還要進(jìn)行備份，防止由于病毒對(duì)系統(tǒng)造成的破壞導(dǎo)致數(shù)據(jù)的丟失。

2.3 入侵檢測(cè)技術(shù)的植入

入侵檢測(cè)系統(tǒng)作為一種主動(dòng)的安全防護(hù)技術(shù)，對(duì)于加強(qiáng)網(wǎng)絡(luò)工程中安全防護(hù)至關(guān)重要。對(duì)網(wǎng)絡(luò)工程而言，入侵檢測(cè)技術(shù)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)資源及信息中隱藏或包含的惡意攻擊行為有效的識(shí)別，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，可以利用網(wǎng)絡(luò)安全入侵檢測(cè)采取相應(yīng)的網(wǎng)絡(luò)安全防護(hù)措施。入侵檢測(cè)系統(tǒng)能夠從網(wǎng)絡(luò)安全的立體縱深、多層次防御的角度出發(fā)提供安全服務(wù)，從而有效的降低了來(lái)自網(wǎng)絡(luò)的威脅和破壞，必將進(jìn)一步受到人們的高度重視。

2.4 拒絕垃圾郵件的收取

凡是未經(jīng)用戶許可就強(qiáng)行發(fā)送到用戶的郵箱中的電子郵件，都被成為垃圾郵件。垃圾郵件一般具有批量發(fā)送的特征。垃圾郵件現(xiàn)在慢慢發(fā)展成為計(jì)算機(jī)網(wǎng)絡(luò)安全的又一公害。拒絕垃圾郵件的收取也是加強(qiáng)網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)的重要環(huán)節(jié)，拒絕垃圾郵件的收取，要從保護(hù)自己的郵件地址做起，不要隨意的使用郵箱地址作為登記信息，避免垃圾郵件的擾亂。還可以使用outlookExPress和Faxmail中的郵件管理，將垃圾文件過(guò)濾處理，拒絕垃圾文件的收取。

2.5 加強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)的防范

加強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)的防范對(duì)于加強(qiáng)網(wǎng)絡(luò)工程安全也不容忽視。在網(wǎng)絡(luò)工程風(fēng)險(xiǎn)防范的過(guò)程中，利用數(shù)據(jù)加密技術(shù)是行之有效的途徑。數(shù)據(jù)加密技術(shù)是加密技術(shù)是最常用的安全保密手段，也是有效防范網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)最直接，最為有效的方式。數(shù)據(jù)加密是一種限制對(duì)網(wǎng)絡(luò)上傳輸數(shù)據(jù)的訪問(wèn)權(quán)的技術(shù)，具體說(shuō)來(lái)，它是通過(guò)引導(dǎo)用戶對(duì)網(wǎng)絡(luò)傳輸中出現(xiàn)的、比較重要的數(shù)據(jù)進(jìn)行設(shè)置密碼的過(guò)程。從網(wǎng)絡(luò)工程中數(shù)據(jù)加密的方式上來(lái)看，數(shù)據(jù)加密技術(shù)主要包括線路加密、端與端加密等等，各種方法都有各自的有點(diǎn)，線路加密主要是針對(duì)需要保密的信息進(jìn)行的，在加密時(shí)使用加密密鑰來(lái)對(duì)信息進(jìn)行保護(hù)。端與端加密主要是針對(duì)網(wǎng)絡(luò)信息的發(fā)出方，當(dāng)網(wǎng)絡(luò)信息數(shù)據(jù)到達(dá)tcp/ip之后就利用數(shù)據(jù)包進(jìn)行回封操作，以此對(duì)重要數(shù)據(jù)進(jìn)行安全保護(hù)。

3 結(jié)束語(yǔ)

總之，網(wǎng)絡(luò)工程中的安全防護(hù)是一項(xiàng)綜合的系統(tǒng)工程，具有長(zhǎng)期性和復(fù)雜性。網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)，應(yīng)設(shè)置防火墻過(guò)濾信息、加強(qiáng)病毒的防護(hù)措施、入侵檢測(cè)技術(shù)的植入、拒絕垃圾郵件的收取、加強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)的防范，不斷探索加強(qiáng)網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)的策略，只有這樣，才能不斷提高網(wǎng)絡(luò)工程的安全管理水平，進(jìn)而確保計(jì)算機(jī)網(wǎng)絡(luò)的安全。

參考文獻(xiàn)：

[1] 李巍巍.計(jì)算機(jī)網(wǎng)絡(luò)安全的數(shù)據(jù)備份和容災(zāi)系統(tǒng)[J].黑龍江科技信息，2010（33）.

[2] 王薪凱，姚衡，王亨，常晶晶，喻星晨.計(jì)算機(jī)網(wǎng)絡(luò)信息安全與防范[J].硅谷，2011（4）.

[3] 金金.2011年信息安全十大熱點(diǎn)預(yù)測(cè)[J].信息安全與通信保密，2011（3）.

[4] 趙章界，李晨旸，劉海峰.信息安全策略開(kāi)發(fā)的關(guān)鍵問(wèn)題研究[J].信息網(wǎng)絡(luò)安全，2011（3）.

[5] 陸文紅，蒙勁.小議通信網(wǎng)絡(luò)安全問(wèn)題分析及維護(hù)措施[J].中小企業(yè)管理與科技（下旬刊），2010（10）.

[6] 余斌.論計(jì)算機(jī)互聯(lián)網(wǎng)與通信網(wǎng)絡(luò)建設(shè)的安全性[J].科技經(jīng)濟(jì)市場(chǎng)，2010（5）.

篇3

關(guān)鍵詞：非合作動(dòng)態(tài)博弈；網(wǎng)絡(luò)安全；主動(dòng)防御技術(shù)

中圖分類(lèi)號(hào)：TP393.08

現(xiàn)有的網(wǎng)絡(luò)防御和入侵檢測(cè)系統(tǒng)主要的是依靠安全配置的方式對(duì)處于聯(lián)網(wǎng)狀態(tài)下的網(wǎng)絡(luò)進(jìn)行安全防護(hù)，這些防御技術(shù)具有本身一些缺點(diǎn)，無(wú)法對(duì)瞬時(shí)的攻擊以及未知的攻擊進(jìn)行保護(hù)，因此在對(duì)網(wǎng)絡(luò)的安全進(jìn)行保護(hù)的時(shí)候要做到適當(dāng)?shù)姆雷o(hù)，即有一定的可行性和合理性，又要保證能夠做到比較好的防御。博弈理論下的防御技術(shù)具有很多的變形，并且具有獨(dú)特的優(yōu)點(diǎn)，而非合作動(dòng)態(tài)的博弈理論的應(yīng)用又進(jìn)一步的強(qiáng)化了這些特征。

1 博弈論

所謂博弈論，指的是一門(mén)研究其他的參加者關(guān)于utility（效用）的情況，理性參加者間互相產(chǎn)生作用的科學(xué)，其要素包括博弈的參加者中利益或者目標(biāo)間互相的沖突和均為理性的參加者特點(diǎn)等兩個(gè)方面。隨著理論的發(fā)展和時(shí)代的進(jìn)步，現(xiàn)代的博弈論也逐漸發(fā)展成為一項(xiàng)涵蓋心理學(xué)、運(yùn)籌學(xué)、哲學(xué)、數(shù)學(xué)、計(jì)算機(jī)科學(xué)、軍事戰(zhàn)略、政治、生物、經(jīng)濟(jì)等學(xué)科領(lǐng)域內(nèi)容的交叉性學(xué)科。通常而言，現(xiàn)代的博弈論所公認(rèn)的起源是由名為Morgenstern的經(jīng)濟(jì)學(xué)者與名為Von Neumann的數(shù)學(xué)家所共同撰寫(xiě)的《博弈的理論與經(jīng)濟(jì)的行為》。盡管此處當(dāng)時(shí)所提出理論性博弈論的框架僅僅能夠?qū)Σ糠钟邢薜睦舆M(jìn)行使用，例如只對(duì)非合作與零的博弈問(wèn)題等進(jìn)行了討論，但是該著作是將博弈的問(wèn)題通過(guò)數(shù)學(xué)的語(yǔ)言作出解決與描述的第一人。在此之后，在眾多學(xué)者不斷的研究與努力下，尤其是在非合作的博弈理論內(nèi)Nash創(chuàng)造性的將策略的均衡概念進(jìn)行了引入，博弈論逐步演變成分析中極為有用且重要的工具[1]。

2 多階段的非合作動(dòng)態(tài)博弈

網(wǎng)絡(luò)攻防圖的表示方式是G（V’，E’，U’），其為一個(gè)帶環(huán)的具有方向的圖，其中的V’叫狀態(tài)節(jié)點(diǎn)，表示的是所有有關(guān)的物理節(jié)點(diǎn)的所有狀態(tài)的集合。E’={Ea Ed}集合代表的是網(wǎng)絡(luò)的攻防圖中的有向邊方面的集合，集合內(nèi)的每一條邊代表的是來(lái)自攻擊方或者是防御方的攻防策略，U’集合表示的是網(wǎng)絡(luò)的攻擊和防御的策略相對(duì)應(yīng)的策略收益方面的集合。網(wǎng)絡(luò)的攻擊圖之上再加上相應(yīng)的防御策略就變成了網(wǎng)絡(luò)的攻防策略圖。

2.1 攻防博弈樹(shù)的形成

攻防博弈樹(shù)被應(yīng)用與完全信息的網(wǎng)絡(luò)攻防動(dòng)態(tài)博弈中，可以對(duì)其進(jìn)行有效的描述。攻防博弈樹(shù)可以對(duì)攻擊方和防御方的動(dòng)態(tài)策略選擇進(jìn)行描述和了解。為有效的發(fā)揮相應(yīng)的集合的概念需要將網(wǎng)絡(luò)的攻防圖轉(zhuǎn)變成攻防的博弈樹(shù)T。要對(duì)攻防圖中的兩種子圖進(jìn)行轉(zhuǎn)化，包括入度為n（n>1）的節(jié)點(diǎn)子圖，以及包含環(huán)圖的子圖。

處于非合作動(dòng)態(tài)博弈理論下的網(wǎng)絡(luò)安全通過(guò)攻防博弈樹(shù)來(lái)進(jìn)行描述和分析。由于攻防博弈樹(shù)可以對(duì)攻擊方或者是防御方的動(dòng)態(tài)策略選擇進(jìn)行秒描述，可以知道參與者會(huì)在什么時(shí)候采取什么活動(dòng)進(jìn)行行動(dòng)，并且企圖通過(guò)這個(gè)活動(dòng)產(chǎn)生什么效益和信息。其圖形如下圖1所示。

要對(duì)網(wǎng)絡(luò)的攻防圖和網(wǎng)絡(luò)的攻防博弈樹(shù)上的結(jié)構(gòu)差異進(jìn)行消除，需要將虛擬節(jié)點(diǎn)的技術(shù)引入才能夠?qū)崿F(xiàn)。網(wǎng)路的攻防圖通過(guò)引入虛擬節(jié)點(diǎn)技術(shù)可以將攻防的博弈樹(shù)的節(jié)點(diǎn)結(jié)構(gòu)進(jìn)行進(jìn)一步的規(guī)范。在此階段需要采取的算法包括完全信息的多階段博弈理論的逆向歸納算法，以及非完全信息的多階段動(dòng)態(tài)博弈的逆向歸納的方法[2]。

2.2 應(yīng)用實(shí)例

為驗(yàn)證該技術(shù)的有效性和可行性，下面以該實(shí)驗(yàn)場(chǎng)景進(jìn)行模擬實(shí)驗(yàn)，實(shí)驗(yàn)的場(chǎng)景如圖2所示：

通過(guò)漏洞和木馬的掃描工具統(tǒng)計(jì)出目標(biāo)系統(tǒng)的相關(guān)漏洞信息，將攻擊的圖生成為子系統(tǒng)的攻擊圖，再在圖中增加各個(gè)攻擊階段相對(duì)應(yīng)的防御措施，人后利用以上的攻防博弈圖的理論將其轉(zhuǎn)變成相應(yīng)的攻防博弈樹(shù)，博弈樹(shù)中的實(shí)線代表的是有方向的一邊集合攻擊方采用的攻擊策略，虛線代表的是有方向的邊代表的是防御方所采用的防御策略的集合，并且在有方向的實(shí)線的一段引出的節(jié)點(diǎn)表示的攻擊的節(jié)點(diǎn)，有方向的虛線一端引出的就是防御方的節(jié)點(diǎn)，而同時(shí)具有實(shí)線和虛線的節(jié)點(diǎn)代表的是混合的節(jié)點(diǎn)。所代表的意思為該點(diǎn)既可以在防御的一方采取防御的措施，有可以被攻擊的一方作為攻擊的節(jié)點(diǎn)。通過(guò)運(yùn)算的方式1得出逆向歸納的路徑的集合，并且找到最佳的攻防路徑，根據(jù)運(yùn)行的結(jié)果來(lái)計(jì)算出攻擊方最有可能采取的策略集以及對(duì)路由器進(jìn)行拒絕攻擊的服務(wù)。防御方要據(jù)此來(lái)進(jìn)行最佳的補(bǔ)丁的安裝。

攻擊博弈樹(shù)的形狀和結(jié)構(gòu)圖如下圖3：

假設(shè)理性的人被違背，那么攻擊者采取的措施就會(huì)突破防火墻，并且對(duì)實(shí)驗(yàn)的服務(wù)帳號(hào)進(jìn)行嘗試破解的工作，這時(shí)防御的一方就要采取最佳的防御措施以修復(fù)系統(tǒng)的補(bǔ)丁或者是對(duì)文件的數(shù)據(jù)進(jìn)行恢復(fù)。算法2提出的是動(dòng)態(tài)的博弈模型，該模式可能在進(jìn)行實(shí)際的攻擊策略時(shí)會(huì)與預(yù)期的攻擊策略出現(xiàn)一定的差錯(cuò)或者是不對(duì)應(yīng)的情況，導(dǎo)致在又一個(gè)新的節(jié)點(diǎn)上采取新的動(dòng)態(tài)博弈的措施，所以算法2可以在攻擊的意圖發(fā)生變化的時(shí)候仍舊計(jì)算出最佳的攻擊集合，并且除此之外，算法2提出的方法能夠?qū)φ麄€(gè)的狀態(tài)空間進(jìn)行全面的博弈局勢(shì)的掌握，由此便可以推測(cè)出最優(yōu)化的防御措施。這樣就可以在全局的大范圍內(nèi)對(duì)防御的措施進(jìn)行最優(yōu)化的選擇[3]。通過(guò)實(shí)驗(yàn)可以看出基于非合作動(dòng)態(tài)的博弈環(huán)境下的網(wǎng)絡(luò)安全防御技術(shù)具有比較好的高效性，并且具有一些很明顯的優(yōu)勢(shì)，能夠?qū)W(wǎng)絡(luò)的安全起到很強(qiáng)的積極作用。

3 結(jié)語(yǔ)

基于目前的靜態(tài)、被動(dòng)的網(wǎng)絡(luò)安全防御的技術(shù)缺點(diǎn)，研究主要的分析了新興的基于非合作動(dòng)態(tài)博弈理論的主動(dòng)網(wǎng)絡(luò)防御技術(shù)，該技術(shù)的特點(diǎn)是引入了虛擬接點(diǎn)的技術(shù)，以此實(shí)現(xiàn)了網(wǎng)絡(luò)攻防圖和攻防博弈樹(shù)的轉(zhuǎn)化。該技術(shù)還提出了求解最佳的攻防策略的博弈理論算法，經(jīng)過(guò)理論和時(shí)間的檢驗(yàn)，該技術(shù)在對(duì)網(wǎng)絡(luò)進(jìn)行防御方面具體很強(qiáng)的可操作性。值得在以后的工作和實(shí)踐中進(jìn)行推廣和使用。

參考文獻(xiàn)：

[1]林旺群，王慧，劉家紅，鄧鐳，李?lèi)?ài)平，吳泉源，賈焰.基于非動(dòng)態(tài)博弈的網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)研究[J].計(jì)算機(jī)研究與發(fā)展，2011，02（45）：12-13.

[2]姜偉，方濱興，田志宏.基于攻防博弈模型的網(wǎng)絡(luò)安全測(cè)評(píng)和最優(yōu)主動(dòng)防御[J].計(jì)算機(jī)學(xué)報(bào)，2009，32（04）：817-827.

篇4

（中國(guó)人民公安大學(xué)（團(tuán)河校區(qū)）網(wǎng)絡(luò)安全保衛(wèi)學(xué)院，北京100076）

摘要：網(wǎng)絡(luò)攻防課題已經(jīng)為越來(lái)越多的高校所重視，國(guó)內(nèi)越來(lái)越多的CTF網(wǎng)絡(luò)攻防競(jìng)賽也是愈演愈烈。文章提出將CTF的比賽模式應(yīng)用于網(wǎng)絡(luò)安全的教學(xué)過(guò)程，以提高學(xué)生在學(xué)習(xí)過(guò)程中的積極性，同時(shí)闡述競(jìng)賽平臺(tái)總體結(jié)構(gòu)、后臺(tái)數(shù)據(jù)庫(kù)關(guān)系以及主要題目類(lèi)型的歸納設(shè)計(jì)。

關(guān)鍵詞 ：CTF；網(wǎng)絡(luò)安全；競(jìng)賽平臺(tái)設(shè)計(jì)

文章編號(hào)：1672-5913(2015)17-0047-04 中圖分類(lèi)號(hào)：G642

基金項(xiàng)目：中國(guó)人民公安大學(xué)基本科研業(yè)務(wù)費(fèi)項(xiàng)目( 2015JKF01435)。

第一作者簡(jiǎn)介：高見(jiàn)，男，講師，研究方向?yàn)榫W(wǎng)絡(luò)安全，gaojianbeijing2006@163．com。

1 C語(yǔ)言實(shí)驗(yàn)情況現(xiàn)狀

CTF（capture the flag）即奪旗競(jìng)賽。在網(wǎng)絡(luò)安全領(lǐng)域，經(jīng)常以CTF的形式舉行比賽以展示自己的網(wǎng)絡(luò)安全技能。1996年的DEFCON全球黑客大會(huì)首次使用奪旗競(jìng)賽的形式，代替之前黑客們互相真實(shí)攻擊進(jìn)行技術(shù)較量的方式。CTF發(fā)展至今，已經(jīng)成為全球范圍網(wǎng)絡(luò)安全圈流行的競(jìng)賽形式。2013年，全球舉辦了超過(guò)50場(chǎng)國(guó)際性CTF賽事；而DEFCON作為CTF賽制的發(fā)源地，DEFCON CTF也成為目前全球最高技術(shù)水平和影響力的CTF競(jìng)賽，類(lèi)似于CTF賽場(chǎng)中的“世界杯”。奪旗競(jìng)賽可以增加比賽的趣味性和競(jìng)爭(zhēng)性，因此將其借鑒到各高校的C語(yǔ)言實(shí)驗(yàn)教學(xué)過(guò)程中，可以提高學(xué)生對(duì)課程的學(xué)習(xí)興趣，使學(xué)生在游戲中學(xué)習(xí)，在競(jìng)賽中提高。

2 競(jìng)賽模式種類(lèi)

2.1 解題模式

在解題模式( jeopardy) CTF賽制中，參賽隊(duì)伍可以通過(guò)互聯(lián)網(wǎng)或者現(xiàn)場(chǎng)網(wǎng)絡(luò)參與。這種模式的CTF競(jìng)賽與ACM編程競(jìng)賽、信息學(xué)奧賽類(lèi)似，以解決網(wǎng)絡(luò)安全技術(shù)挑戰(zhàn)題目的分值和時(shí)間排名，通常用于在線選拔賽。題目主要包含逆向、漏洞挖掘與利用、Web滲透、密碼、取證、隱寫(xiě)、安全編程等類(lèi)別。

2.2 攻防模式

在攻防模式（attack-defense）CTF賽制中，參賽隊(duì)伍在網(wǎng)絡(luò)空間互相進(jìn)行攻擊和防守，通過(guò)挖掘網(wǎng)絡(luò)服務(wù)漏洞并攻擊對(duì)手服務(wù)得分，通過(guò)修補(bǔ)自身服務(wù)漏洞進(jìn)行防御以避免丟分。攻防模式CTF賽制可以實(shí)時(shí)通過(guò)得分反映出比賽情況，最終也以得分直接分出勝負(fù)，是一種競(jìng)爭(zhēng)激烈、具有很強(qiáng)觀賞性和高度透明性的網(wǎng)絡(luò)安全賽制。在這種賽制中，不僅僅是比參賽隊(duì)員的智力和技術(shù)，還比體力（因?yàn)楸荣愐话銜?huì)持續(xù)48小時(shí)及以上），同時(shí)也比團(tuán)隊(duì)之間的分工配合與合作。

2.3 混合模式

混合模式( mix)是結(jié)合了解題模式與攻防模式的CTF賽制。參賽隊(duì)伍通過(guò)解題可以獲取一些初始分?jǐn)?shù)，然后通過(guò)攻防對(duì)抗進(jìn)行得分增減的零和游戲，最終以得分高低分出勝負(fù)。采用混合模式CTF賽制的典型代表如iCTF國(guó)際CTF競(jìng)賽。

3 競(jìng)賽平臺(tái)設(shè)計(jì)

競(jìng)賽平臺(tái)結(jié)構(gòu)分為網(wǎng)絡(luò)攻防競(jìng)賽網(wǎng)站和網(wǎng)絡(luò)攻防競(jìng)賽平臺(tái)靶機(jī)服務(wù)器。網(wǎng)絡(luò)攻防競(jìng)賽網(wǎng)站搭建于真實(shí)服務(wù)器上，用于參賽隊(duì)員答題以及瀏覽比賽事項(xiàng)。競(jìng)賽題目存放于網(wǎng)絡(luò)攻防競(jìng)賽平臺(tái)服務(wù)器的虛擬機(jī)環(huán)境中。比賽過(guò)程中會(huì)出現(xiàn)隊(duì)員互相攻擊的情況，為了避免網(wǎng)站資源受到攻擊而產(chǎn)生崩潰，在虛擬環(huán)境中可以利用快照備份當(dāng)前的漏洞環(huán)境。

網(wǎng)絡(luò)攻防靶機(jī)服務(wù)器提供3臺(tái)靶機(jī)，均存放于服務(wù)器虛擬機(jī)中。銅牌靶機(jī)、銀牌靶機(jī)、金牌靶機(jī)均在同一網(wǎng)段上。競(jìng)賽平臺(tái)體系結(jié)構(gòu)如圖1所示。

該設(shè)計(jì)平臺(tái)采用PHP+MySQL的方式進(jìn)行搭建，后臺(tái)數(shù)據(jù)庫(kù)表的關(guān)系如圖2所示。

其中，Student表中存放選手的基本信息，包括學(xué)號(hào)、姓名、年級(jí)、區(qū)隊(duì)、登錄密碼和Salt；Chapter表中，存放題目類(lèi)型的ID號(hào)和類(lèi)型的名稱(chēng)；Examination表中存放每道題的唯一ID號(hào)、題目對(duì)應(yīng)的類(lèi)型號(hào)（通過(guò)外鍵連接）、題干內(nèi)容、題目所涉及的文件和題目對(duì)應(yīng)的分?jǐn)?shù)；Result表中存放選手答題的結(jié)果，其中包括每道題的ID（通過(guò)外鍵連接）、選手的ID（通過(guò)外鍵連接）、提交的答案和代碼；Score表中存放選手答題的成績(jī)，其中包括每道題的ID（通過(guò)外鍵連接）、選手的ID（通過(guò)外鍵連接）和題目對(duì)應(yīng)的分?jǐn)?shù)；Answer表中存放題目的標(biāo)準(zhǔn)答案，包括每道題的ID（通過(guò)外鍵連接）、選手的ID（通過(guò)外鍵連接）和題目對(duì)應(yīng)的答案。選手的ID號(hào)可以為空，如果對(duì)于同一道題目每個(gè)學(xué)生的答案是唯一的，那么記錄中就只有題目ID和題目的答案；如果對(duì)于同一道題目每個(gè)選手的答案可能是不唯一的（如寫(xiě)出每個(gè)學(xué)生學(xué)號(hào)后4位對(duì)應(yīng)的16進(jìn)制數(shù)），那么記錄中要有題目ID和學(xué)生ID及答案。

4 實(shí)驗(yàn)內(nèi)容設(shè)計(jì)

4.1 Web安全題目設(shè)計(jì)

根據(jù)Web應(yīng)用程序安全項(xiàng)目(OWASP，open web application security project)近幾年公布的OWASP top 10 Web安全威脅，我們總結(jié)目前主流的Web安全漏洞有以下幾方面。

(1)注入漏洞。目前主流的注入漏洞為SQL注入漏洞以及OS命令注入漏洞。這一類(lèi)漏洞發(fā)生在開(kāi)放者未對(duì)用戶輸入的字符進(jìn)行充分的安全檢查，導(dǎo)致用戶輸入的數(shù)據(jù)會(huì)被當(dāng)作命令或者查詢(xún)執(zhí)行，致使注入漏洞產(chǎn)生。

(2)跨站腳本攻擊(XSS)。截至2015年，XSS漏洞是繼SQL注入以后第2個(gè)嚴(yán)重的Web安全威脅。它利用開(kāi)發(fā)者或?yàn)g覽器對(duì)用戶輸入字符未加過(guò)濾的疏忽，通過(guò)JavaScript代碼實(shí)現(xiàn)惡意攻擊。

(3)跨站請(qǐng)求偽造(CSRF)?？缯菊?qǐng)求偽造是用戶在權(quán)限認(rèn)證后，攻擊者將偽造好的釣魚(yú)頁(yè)面發(fā)送給用戶，用戶點(diǎn)擊后觸發(fā)CSRF進(jìn)行一系列操作。

(4)中間人攻擊(MITM)。目前，中間人攻擊( MITM)的安全威脅主要來(lái)自局域網(wǎng)環(huán)境，因?yàn)榫W(wǎng)絡(luò)上普遍采用Http協(xié)議傳輸數(shù)據(jù)，但這種協(xié)議傳輸?shù)臄?shù)據(jù)是未經(jīng)加密的。當(dāng)用戶與攻擊者同處于一個(gè)局域網(wǎng)環(huán)境下，攻擊者通過(guò)劫持網(wǎng)關(guān)，可以嗅探到用戶通過(guò)Http協(xié)議發(fā)送的賬號(hào)以及圖片或視頻的數(shù)據(jù)流。

4.2 加密解密題目設(shè)計(jì)

加密解密題目通常采用較為冷門(mén)的加密算法對(duì)文件或文本字符串進(jìn)行加密，要求答題者對(duì)各類(lèi)算法有一定的了解。應(yīng)用程序的加密解密往往涉及匯編、逆向等知識(shí)?？紤]到答題者中存在未學(xué)習(xí)過(guò)此類(lèi)課程的學(xué)生，因此加密解密的題目可出兩道題，分別為應(yīng)用程序加密解密、字符串加密解密。

4.3 Wi-Fi破解及數(shù)據(jù)分析題目設(shè)計(jì)

本題由Wi-Fi破解及數(shù)據(jù)分析兩部分組成。首先，搭建一個(gè)局域網(wǎng)環(huán)境，包含A服務(wù)器以及B服務(wù)器。A服務(wù)器開(kāi)啟無(wú)線連接，該無(wú)線連接密碼由WPA密鑰加密，密碼強(qiáng)度為純數(shù)字。答題者只有通過(guò)相關(guān)的Wi-Fi破解工具窮舉出Wi-Fi密碼才能夠得到連接密碼。在整個(gè)過(guò)程中，A服務(wù)器總是向B服務(wù)器發(fā)送UDP數(shù)據(jù)包，其中包含題目的FLAG。答題者需要在連入Wi-Fi后，通過(guò)嗅探工具截取發(fā)送數(shù)據(jù)并通過(guò)分析得到FLAG，完成本題。

4.4 取證分析題目設(shè)計(jì)

取證分析作為比賽題目的重點(diǎn)，在設(shè)計(jì)過(guò)程中也是難度最大的，因?yàn)榫W(wǎng)絡(luò)安全專(zhuān)業(yè)課培養(yǎng)方案中有取證分析的課程，主要介紹目前公安取證的基本方法和技術(shù)，而在網(wǎng)絡(luò)攻防競(jìng)賽平臺(tái)的設(shè)計(jì)中，無(wú)法將課程中使用的取證大師等工具移植到平臺(tái)。為了使取證題目更具實(shí)戰(zhàn)意義，教師可將題目設(shè)計(jì)為分析系統(tǒng)日志，將日志設(shè)計(jì)為一臺(tái)已經(jīng)被入侵服務(wù)器的系統(tǒng)日志。被入侵服務(wù)器的系統(tǒng)為Windows XP SQL系統(tǒng)，系統(tǒng)被黑客人侵后留下系統(tǒng)日志，答題者需要在審計(jì)日志后得到黑客入侵的IP地址，通過(guò)找到對(duì)應(yīng)的端口得到黑客的服務(wù)器；黑客服務(wù)器中搭建一個(gè)Web服務(wù)器并創(chuàng)建一個(gè)網(wǎng)站，網(wǎng)站功能為驗(yàn)證答題者在系統(tǒng)審計(jì)過(guò)程中得到的信息。只有完成所有問(wèn)題，才能夠得到題目的FLAG。

5 虛擬靶機(jī)設(shè)計(jì)

虛擬靶機(jī)作為網(wǎng)絡(luò)攻防競(jìng)賽平臺(tái)中最重要的題目，由于更加貼近實(shí)戰(zhàn)角度，因此設(shè)計(jì)時(shí)應(yīng)更多考慮到實(shí)戰(zhàn)環(huán)境因素。靶機(jī)平臺(tái)搭建在服務(wù)器的虛擬機(jī)中，它們有不同的系統(tǒng)環(huán)境。虛擬機(jī)采用的是Vmware workstation 9.0軟件，它的好處在于可以方便地編輯網(wǎng)絡(luò)環(huán)境，快速組建可用有效的虛擬局域網(wǎng)。靶機(jī)平臺(tái)在網(wǎng)絡(luò)攻防競(jìng)賽平臺(tái)中不僅只扮演靶機(jī)的角色，而且也對(duì)其他題目進(jìn)行支持。因此，在設(shè)計(jì)靶機(jī)系統(tǒng)的同時(shí)要考慮到虛擬系統(tǒng)的負(fù)載能力，避免因系統(tǒng)線程過(guò)多導(dǎo)致系統(tǒng)死機(jī)，影響比賽的進(jìn)行，可以采用虛擬機(jī)的快照功能保存當(dāng)前系統(tǒng)環(huán)境；在比賽過(guò)程中出現(xiàn)問(wèn)題時(shí)，可以利用快照隨時(shí)還原系統(tǒng)，保障比賽進(jìn)度。

靶機(jī)系統(tǒng)的主要考查點(diǎn)包括3個(gè)：系統(tǒng)漏洞的發(fā)現(xiàn)與利用、系統(tǒng)網(wǎng)絡(luò)服務(wù)漏洞的發(fā)現(xiàn)與利用、網(wǎng)站漏洞的發(fā)現(xiàn)與利用。這3個(gè)主要考查點(diǎn)的背后同樣包含著大量的考查節(jié)點(diǎn)，它們組合在一起形成3臺(tái)靶機(jī)系統(tǒng)。銅牌、銀牌、金牌分別由簡(jiǎn)單到困難的程度定義，在系統(tǒng)中利用漏洞的難度也不斷提高。為了保證大部分學(xué)生能夠攻破銅牌靶機(jī)，教師在設(shè)計(jì)之初，可將銅牌靶機(jī)定義為只含有系統(tǒng)漏洞和輸入法漏洞的靶機(jī)。這兩種漏洞的利用方法都很簡(jiǎn)單，可以提高參賽隊(duì)員的信心，令學(xué)生對(duì)剩下的銀牌靶機(jī)和金牌靶機(jī)有攻破的欲望。教師可將靶機(jī)平臺(tái)所占分?jǐn)?shù)設(shè)定為不超過(guò)總分?jǐn)?shù)的40%，將銅牌靶機(jī)定為200分、銀牌靶機(jī)定為300分、金牌靶機(jī)定為500分。

5.1 銅牌靶機(jī)

銅牌靶機(jī)設(shè)定為易得分題，靶機(jī)系統(tǒng)為Windows XP系統(tǒng)。靶機(jī)的漏洞為系統(tǒng)層漏洞MS08-064。為了增強(qiáng)題目的靈活性，教師可在增加系統(tǒng)漏洞的同時(shí)增加網(wǎng)絡(luò)服務(wù)漏洞。IIS 6.0漏洞多種多樣，可以給答題者提供更多的答題思路。

5.2 銀牌靶機(jī)

銀牌靶機(jī)難度較銅牌靶機(jī)更大，考查答題者對(duì)網(wǎng)站整體入侵思路的掌握。在設(shè)計(jì)網(wǎng)站之初，銀牌靶機(jī)為PHP代碼編寫(xiě)的賭博網(wǎng)站。網(wǎng)站中可設(shè)計(jì)多處漏洞，如XSS漏洞、SQL漏洞、任意文件讀取漏洞。答題者需要在滲透進(jìn)入服務(wù)器并遠(yuǎn)程連接服務(wù)器后在某個(gè)文件夾內(nèi)得到加密的RAR壓縮包，通過(guò)暴力破解得到題目的FLAG。

5.3 金牌靶機(jī)

金牌靶機(jī)的難度較大，為附加題目。金牌靶機(jī)系統(tǒng)為L(zhǎng)inux系統(tǒng)，默認(rèn)安裝有Apache以及PHP環(huán)境，網(wǎng)站為PHP代碼編寫(xiě)的詐騙網(wǎng)站。詐騙網(wǎng)站結(jié)構(gòu)簡(jiǎn)單，僅有部分功能可以供答題者利用，其他頁(yè)面均為靜態(tài)頁(yè)面。答題者需要在頁(yè)面中尋找線索，才能夠得到網(wǎng)站的后臺(tái)地址。通過(guò)工具窮舉爆破，可以登錄網(wǎng)站后臺(tái)。網(wǎng)站后臺(tái)僅有上傳功能并且利用白名單進(jìn)行過(guò)濾，答題者需要在繞過(guò)白名單后才能夠利用后門(mén)繼續(xù)滲透服務(wù)器。FLAG文本文件具有系統(tǒng)權(quán)限，因此答題者只有在對(duì)Linux系統(tǒng)提權(quán)的情況下，才能夠得到FLAG完成此題。目的分值比如設(shè)為10分，當(dāng)前5位學(xué)生得到正確答案后，該題目的分?jǐn)?shù)自動(dòng)降為9分，當(dāng)有10位學(xué)生得到正確答案時(shí)，分值再自動(dòng)減少，一直減少到6分（及格分）為止。這樣可以激勵(lì)學(xué)生在短時(shí)間內(nèi)迅速思考，并將最先做完的學(xué)生的分?jǐn)?shù)和最后做完的學(xué)生的分?jǐn)?shù)進(jìn)行區(qū)分。

6 結(jié)語(yǔ)

隨著國(guó)家大力發(fā)展網(wǎng)絡(luò)安全教育，相信一定會(huì)有越來(lái)越多的人投入學(xué)習(xí)網(wǎng)絡(luò)安全的隊(duì)伍中。在目前的發(fā)展趨勢(shì)下，單一的課本技能已經(jīng)不能解決日益復(fù)雜的網(wǎng)絡(luò)安全問(wèn)題，需要一個(gè)可以貼近實(shí)戰(zhàn)的平臺(tái)對(duì)學(xué)生所學(xué)的知識(shí)進(jìn)行整理和實(shí)踐。網(wǎng)絡(luò)攻防競(jìng)賽平臺(tái)的設(shè)計(jì)便是以此為初衷，它的設(shè)計(jì)在于提高學(xué)生對(duì)于網(wǎng)絡(luò)安全的學(xué)習(xí)熱情，通過(guò)比賽也能更好地選拔網(wǎng)絡(luò)安全人才，對(duì)網(wǎng)絡(luò)安全人才的培養(yǎng)非常有意義。網(wǎng)絡(luò)攻防競(jìng)賽平臺(tái)的設(shè)計(jì)參考了目前國(guó)內(nèi)主流的CTF網(wǎng)絡(luò)安全競(jìng)賽的規(guī)則設(shè)計(jì)，其中加入了一些公安業(yè)務(wù)需要的技能考核元素，對(duì)學(xué)生了解更多的網(wǎng)絡(luò)安全知識(shí)起到很好的鋪墊作用。

參考文獻(xiàn)：

[1]賓浩斯．心理大師手則：記憶的奧秘[M]．北京：北京理工大學(xué)出版社，2013: 56-57.

[2]黃龍軍．游標(biāo)在Online Judge中的應(yīng)用[J]．紹興文理學(xué)院學(xué)報(bào)，2012，32(8): 26-29.

[3]丁琦，汪德宏，基于工作過(guò)程的高職課程教學(xué)模式探討[J].職教論壇，2010(2): 45-46．

篇5

關(guān)鍵詞 網(wǎng)絡(luò)安全實(shí)驗(yàn) 課程教學(xué) 實(shí)驗(yàn)設(shè)計(jì)

中圖分類(lèi)號(hào)：G424 文獻(xiàn)標(biāo)識(shí)碼：A

0 引言

隨著網(wǎng)絡(luò)信息產(chǎn)業(yè)的快速發(fā)展，網(wǎng)絡(luò)安全成為亟需解決的問(wèn)題，我院為了培養(yǎng)應(yīng)用型本科人才，在網(wǎng)絡(luò)通信專(zhuān)業(yè)培養(yǎng)計(jì)劃中設(shè)置了網(wǎng)絡(luò)安全實(shí)驗(yàn)這門(mén)選修課，因?yàn)殚_(kāi)設(shè)時(shí)間較短，教學(xué)過(guò)程還處于探索階段。網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)這門(mén)課無(wú)論在掌握計(jì)算機(jī)學(xué)科理論，還是鍛煉學(xué)生在實(shí)際工作生活中解決應(yīng)用問(wèn)題的能力方面，都起到了十分重要的作用。因?yàn)槭菍?shí)驗(yàn)課程，所以在教學(xué)過(guò)程中，比較重視實(shí)踐操作過(guò)程。網(wǎng)絡(luò)安全實(shí)驗(yàn)課程的內(nèi)容比較集中在P2DR模型中說(shuō)涉及的網(wǎng)絡(luò)安全防御、檢測(cè)、響應(yīng)三大領(lǐng)域，以滿足在現(xiàn)實(shí)工作中所遇到的不同網(wǎng)絡(luò)安全問(wèn)題。因此，本文從實(shí)驗(yàn)項(xiàng)目的選擇，實(shí)驗(yàn)平臺(tái)的建立，以及實(shí)驗(yàn)教學(xué)方法等上對(duì)網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)進(jìn)行探索。

1 實(shí)驗(yàn)平臺(tái)搭建

首先是虛擬機(jī)技術(shù)在實(shí)驗(yàn)中的使用，網(wǎng)絡(luò)安全實(shí)驗(yàn)中的實(shí)驗(yàn)具有一定的破壞性，所以我們采用了虛擬機(jī)來(lái)進(jìn)行實(shí)驗(yàn)，在網(wǎng)絡(luò)安全實(shí)驗(yàn)中，需要模擬網(wǎng)絡(luò)攻擊，使學(xué)生掌握怎樣防御的同時(shí)，也了解攻擊技術(shù)。所以在實(shí)驗(yàn)中我們首先安排了Vmware虛擬機(jī)的安裝與配置。在虛擬機(jī)中我們安裝windowsserver2003服務(wù)器版操作系統(tǒng)，并且配置開(kāi)啟相關(guān)服務(wù)。

因?yàn)橛布l件有限，所以我們的大量實(shí)驗(yàn)還只能在虛擬機(jī)上進(jìn)行，但為了使學(xué)生身臨其境的感受網(wǎng)絡(luò)安全技術(shù)，我們?cè)诰C合實(shí)訓(xùn)中還是建立了基礎(chǔ)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境。

2 實(shí)驗(yàn)項(xiàng)目設(shè)計(jì)

在我國(guó)，高校是培養(yǎng)網(wǎng)絡(luò)安全人才的核心力量。網(wǎng)絡(luò)攻擊與防護(hù)是網(wǎng)絡(luò)安全的核心內(nèi)容，也是國(guó)內(nèi)外各個(gè)高校信息安全相關(guān)專(zhuān)業(yè)的重點(diǎn)教學(xué)內(nèi)容。所以在實(shí)驗(yàn)項(xiàng)目設(shè)計(jì)上我們體現(xiàn)了實(shí)用性為主的觀念，要在實(shí)驗(yàn)中更多的體現(xiàn)未來(lái)學(xué)生畢業(yè)后，會(huì)遇到的網(wǎng)絡(luò)安全問(wèn)題。所以設(shè)置了以下實(shí)驗(yàn)：

（1）安裝Vmware虛擬機(jī)，并配置完整的網(wǎng)絡(luò)環(huán)境。配置完善win2003server虛擬環(huán)境，為以后的實(shí)驗(yàn)搭建平臺(tái)，習(xí)和掌握Vmware虛擬機(jī)的安裝與配置，以建立網(wǎng)絡(luò)攻防平臺(tái)。

（2）加密原理與技術(shù)，利用不同技術(shù)進(jìn)行加密。了解和掌握各種加密方法，以實(shí)現(xiàn)信息加密。學(xué)習(xí)和掌握密碼技術(shù)，利用密碼技術(shù)對(duì)計(jì)算機(jī)系統(tǒng)的各種數(shù)據(jù)信息進(jìn)行加密保護(hù)實(shí)驗(yàn)，實(shí)現(xiàn)網(wǎng)絡(luò)安全中的數(shù)據(jù)信息保密。

（3）PPPoE的網(wǎng)絡(luò)通信原理及應(yīng)用。學(xué)習(xí)和掌握基于PAP/CHAP的PPPOE的身份認(rèn)證方法。學(xué)習(xí)和掌握利用身份認(rèn)證技術(shù)對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的各種資源進(jìn)行身份認(rèn)證保護(hù)實(shí)驗(yàn)，實(shí)現(xiàn)網(wǎng)絡(luò)安全中的信息鑒別。

（4）掌握Windows系統(tǒng)中基于PPTV VPN的功能、配置與使用操作。學(xué)習(xí)和掌握如何利用防火墻技術(shù)對(duì)網(wǎng)絡(luò)通信中的傳輸數(shù)據(jù)進(jìn)行鑒別和控制實(shí)驗(yàn)。

（5）學(xué)習(xí)掌握Windows系統(tǒng)中NAT防火墻的功能、配置與使用操作。學(xué)習(xí)和掌握網(wǎng)絡(luò)通信中的合法用戶數(shù)據(jù)信息的傳輸，以實(shí)現(xiàn)網(wǎng)絡(luò)安全中的保密性、鑒別性和完整。

（6）學(xué)習(xí)和掌握Superscan掃描工具對(duì)計(jì)算機(jī)進(jìn)行端口掃描的方法，操作應(yīng)用。學(xué)習(xí)和掌握各種網(wǎng)絡(luò)安全掃描技術(shù)和操作，并能有效運(yùn)用網(wǎng)絡(luò)掃描工具進(jìn)行網(wǎng)絡(luò)安全分析、有效避免網(wǎng)絡(luò)攻擊行為。

（7）學(xué)習(xí)和掌握如何利用Wireshark進(jìn)行網(wǎng)絡(luò)安全監(jiān)測(cè)與分析。學(xué)習(xí)各種網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)的操作實(shí)驗(yàn)，能利用網(wǎng)絡(luò)監(jiān)聽(tīng)工具進(jìn)行分析、診斷、測(cè)試網(wǎng)絡(luò)安全性的能力。

（8）學(xué)習(xí)和掌握Snort網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)的安裝、配置和操作。學(xué)習(xí)和掌握Snort入侵檢測(cè)系統(tǒng)的基本原理、操作與應(yīng)用實(shí)驗(yàn)。

3 綜合實(shí)訓(xùn)

為了讓學(xué)生能適應(yīng)真實(shí)的網(wǎng)絡(luò)環(huán)境，使之更貼近應(yīng)用型人才的培養(yǎng)方案，最后我們?cè)O(shè)計(jì)了綜合實(shí)訓(xùn)這個(gè)環(huán)節(jié)，讓學(xué)生在網(wǎng)絡(luò)通信系統(tǒng)中綜合運(yùn)用各種網(wǎng)絡(luò)安全技術(shù)，設(shè)計(jì)一個(gè)整體的網(wǎng)絡(luò)安全系統(tǒng)。分析公司網(wǎng)絡(luò)需求，綜合運(yùn)用網(wǎng)絡(luò)安全技術(shù)構(gòu)建公司網(wǎng)絡(luò)的安全系統(tǒng)。通過(guò)一個(gè)實(shí)際網(wǎng)絡(luò)通信系統(tǒng)中的綜合運(yùn)用，實(shí)現(xiàn)整體系統(tǒng)的有效設(shè)計(jì)和部署。

學(xué)生分組進(jìn)行實(shí)訓(xùn)，分為防御組與攻擊組，為了充分利用實(shí)驗(yàn)資源讓防御組的同學(xué)在局域網(wǎng)環(huán)境下搭建服務(wù)器靶機(jī)，并讓防御組的同學(xué)配置VPN、NAT防火墻的技術(shù)并搭建SNORT入侵檢測(cè)系統(tǒng)。攻擊組同學(xué)操作學(xué)生終端嘗試攻擊服務(wù)器靶機(jī)，使用ARP欺騙等技術(shù)。防御組的學(xué)生使用Wireshark網(wǎng)絡(luò)監(jiān)聽(tīng)查看ARP欺騙源地址，并解決該威脅。

4 結(jié)論

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全成為重中之重，為了培養(yǎng)本科應(yīng)用型人才，實(shí)踐證明實(shí)驗(yàn)必須貼近真實(shí)存在的案例才能提高學(xué)生的實(shí)際網(wǎng)絡(luò)攻防水平，使學(xué)生掌握網(wǎng)絡(luò)安全的新技術(shù)，而使用綜合實(shí)訓(xùn)這種方式，更是提高了學(xué)生的參與積極性，使教學(xué)質(zhì)量進(jìn)一步提升。

參考文獻(xiàn)

[1] 常晉義.網(wǎng)絡(luò)安全實(shí)驗(yàn)教程. 南京大學(xué)出版社，2010.12.

篇6

在網(wǎng)絡(luò)安全博弈中，設(shè)定參與人是網(wǎng)絡(luò)系統(tǒng)和黑客，網(wǎng)絡(luò)系統(tǒng)的純戰(zhàn)略是防守和不防守，黑客的純戰(zhàn)略是攻擊和不攻擊。網(wǎng)絡(luò)系統(tǒng)防守時(shí)能防御到黑客的攻擊概率為e（0<<e<<1），在防守到攻擊后一定能對(duì)攻擊者做出相應(yīng)的懲罰。為了研究網(wǎng)絡(luò)系統(tǒng)和黑客之間的博弈，本出如下假設(shè)：局中人集合：{網(wǎng)絡(luò)系統(tǒng)，黑客}局中人策略空間：網(wǎng)絡(luò)系統(tǒng)的策略空間為{放守，不防守}；黑客的策略空間為{攻擊，不攻擊}局中人收益：黑客如攻擊成功，收益為a，黑客攻擊如碰到防守，網(wǎng)絡(luò)系統(tǒng)對(duì)黑客進(jìn)行懲罰的收益為e•b，網(wǎng)絡(luò)系統(tǒng)的防御成本為c，網(wǎng)絡(luò)系統(tǒng)的懲罰成本為d。則當(dāng)黑客攻擊且網(wǎng)絡(luò)系統(tǒng)防守時(shí)，黑客的收益為-e•b，網(wǎng)絡(luò)系統(tǒng)的收益為e•b-c-d-（1-e）a；當(dāng)黑客攻擊且網(wǎng)絡(luò)系統(tǒng)不防守時(shí)，黑客的收益為a，網(wǎng)絡(luò)系統(tǒng)的收益的-a；當(dāng)黑客不攻擊且網(wǎng)絡(luò)系統(tǒng)防守時(shí)，網(wǎng)絡(luò)系統(tǒng)成本為-c，黑客的收益為0；當(dāng)黑客不攻擊且網(wǎng)絡(luò)系統(tǒng)不防守時(shí)，網(wǎng)絡(luò)系統(tǒng)收益為0，黑客收益為0。根據(jù)以上假設(shè)，參與人同時(shí)選擇或非同時(shí)選擇，但后行動(dòng)者不知前行動(dòng)者采用了什么具體行動(dòng)，因此此問(wèn)題為靜態(tài)博弈，參與人對(duì)另一參與人的特征、策略空間及收益函數(shù)都有了準(zhǔn)確信息，因此為完全信息博弈，綜合而來(lái)此問(wèn)題涉及黑客攻擊與網(wǎng)絡(luò)系統(tǒng)防御的完全信息靜態(tài)博弈，其相應(yīng)的收益矩陣見(jiàn)表。假設(shè)網(wǎng)絡(luò)系統(tǒng)以概率p進(jìn)行防守，則不防守的概率就是1-p；q為黑客的攻擊概率，則不攻擊的概率為1-q。下面就來(lái)討論混合戰(zhàn)略的納什均衡問(wèn)題。

2攻防博弈模型的求解

在給定的網(wǎng)絡(luò)系統(tǒng)以概率p進(jìn)行防守時(shí)，黑客攻擊q=1的期望收益F（p，1）和黑客不攻擊q=0的期望收益F（p，0）分別為。由（4）式可知，當(dāng)網(wǎng)絡(luò)系統(tǒng)防守概率大于a/a+eb時(shí)，不攻擊是黑客的最優(yōu)策略；當(dāng)網(wǎng)絡(luò)系統(tǒng)的防守概率小于a/a+eb時(shí)，攻擊是黑客的最優(yōu)策略；當(dāng)網(wǎng)絡(luò)的防守概率等于a/a+eb時(shí)，黑客攻擊和不攻擊都具有相同的效果。同理，在給定黑客以概率q進(jìn)行攻擊時(shí)，網(wǎng)絡(luò)系統(tǒng)防守p=1的期望收益F（1，q）和網(wǎng)絡(luò)系統(tǒng)不防守的p=0的期望收益F（0，q）分別為。由（8）式可知，當(dāng)黑客的攻擊概率小于c/eb+ea-d時(shí)，網(wǎng)絡(luò)系統(tǒng)的最優(yōu)選擇是不防守；當(dāng)黑客的攻擊概率大于c/eb+ea-d時(shí)，網(wǎng)絡(luò)系統(tǒng)的最優(yōu)選擇是防守；當(dāng)黑客的攻擊概率是c/eb+ea-d時(shí)，防守和不防守具有相同的概率。

3攻防成本的博弈分析

下面對(duì)混合納什均衡進(jìn)行深入的分析：

3.1網(wǎng)絡(luò)系統(tǒng)的防守概率（9）式說(shuō)明網(wǎng)絡(luò)系統(tǒng)的防守概率p*是a的單調(diào)增函數(shù)，即p*隨a的增大而增大，p*隨a的減少而減少。這可以解釋為黑客的攻擊收益越大，則相對(duì)應(yīng)的網(wǎng)絡(luò)系統(tǒng)損失越大，網(wǎng)絡(luò)系統(tǒng)的防守概率越高；黑客的攻擊收益越小，則相對(duì)應(yīng)的網(wǎng)絡(luò)系統(tǒng)損失越小，網(wǎng)絡(luò)系統(tǒng)的防守概率越低。（10）式說(shuō)明網(wǎng)絡(luò)系統(tǒng)的防守概率p*是eb的單調(diào)減函數(shù)，即p*隨eb的增大而減少。這可以理解為黑客得到防御系統(tǒng)的懲罰收益越大，則相應(yīng)的對(duì)黑客的威懾越大，網(wǎng)絡(luò)系統(tǒng)的防守概率越小。把eb分開(kāi)來(lái)看，當(dāng)eb為定值時(shí)，e值越小則b值越大，這說(shuō)明防守成功的概率越低，則相應(yīng)的應(yīng)加大懲罰值。

3.2黑客的攻擊概率是由網(wǎng)絡(luò)系統(tǒng)的防守成本c、網(wǎng)絡(luò)系統(tǒng)對(duì)黑客的懲罰值eb、網(wǎng)絡(luò)系統(tǒng)成功防御到黑客攻擊所減少的損失值ea、網(wǎng)絡(luò)系統(tǒng)的懲罰成本d所決定的。由黑客的攻擊概率q*可知，q與c成正比、與eb+ea-d成反比。q與c成正比，即在其他條件不變的情況下，防守的成本c越小，黑客攻擊概率越??；這可以解釋為：防守成本c越小，網(wǎng)絡(luò)系統(tǒng)防守的就越多，那么被黑客攻擊的概率就會(huì)越少。q與eb+ea-d成反比，即當(dāng)c一定時(shí)，防守系統(tǒng)對(duì)黑客的懲罰收益越大，網(wǎng)絡(luò)系統(tǒng)成功防御到黑客攻擊所減少的損失值越大，網(wǎng)絡(luò)系統(tǒng)的懲罰成本越小，則黑客的攻擊概率越小。分開(kāi)來(lái)看，q與eb、ea均成反比，與d成正比；即防守系統(tǒng)對(duì)黑客的懲罰收益越大，則給黑客的威懾越大，黑客的攻擊概率越低；防守系統(tǒng)成功防御到黑客攻擊所減少的損失值越大，也就是防御系統(tǒng)內(nèi)部的防御信息越重要，防御系統(tǒng)就越會(huì)加大防御，黑客的攻擊概率就越低；防守系統(tǒng)的懲罰成本越大，則防守方實(shí)際所得的收益越小，黑客的攻擊概率越大。q與ea、eb均成反比，則當(dāng)a、b是定值時(shí)，q與e成反比；又由于q與c成正比，則當(dāng)其他條件不變時(shí)，e與c成反比。從而可知網(wǎng)絡(luò)系統(tǒng)防御的成功率越高，網(wǎng)絡(luò)系統(tǒng)的防御成本就越低，即增加網(wǎng)絡(luò)系統(tǒng)的防御成功率可以降低網(wǎng)絡(luò)系統(tǒng)的防御成本。由q與c成正比、q與eb成反比可知，若使黑客的攻擊概率越小，則最好使網(wǎng)絡(luò)系統(tǒng)的防御成本越低，對(duì)網(wǎng)絡(luò)系統(tǒng)黑客的懲罰值越大。但目前由于網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性，防御成本很難降下來(lái)，因此就可以加大懲罰力度。這也說(shuō)明了在網(wǎng)絡(luò)安全方面懲罰機(jī)制和防御機(jī)制同樣重要。

4網(wǎng)絡(luò)安全治理建議

由以上網(wǎng)絡(luò)安全攻防博弈分析可知，網(wǎng)絡(luò)安全是由網(wǎng)絡(luò)的防守成本、網(wǎng)絡(luò)系統(tǒng)對(duì)黑客的懲罰值、黑客的攻擊收益值、網(wǎng)絡(luò)系統(tǒng)的懲罰成本所決定的。對(duì)這些方面，特提出如下建議：

4.1加大取證技術(shù)建設(shè)。網(wǎng)絡(luò)安全的取證技術(shù)既是防御系統(tǒng)的根基，也是懲罰體系的根基。比如取證技術(shù)的典型蜜罐技術(shù)，它通過(guò)設(shè)置陷阱取證記錄攻擊源和攻擊方法，在防御方面根據(jù)記錄到的攻擊源和攻擊方法，得出相應(yīng)的應(yīng)對(duì)策略，然后給防火墻和入侵檢測(cè)系統(tǒng)加入相應(yīng)的策略，以應(yīng)對(duì)后面的攻擊；在懲罰方面以記錄的攻擊源和攻擊方法作為證據(jù)，運(yùn)用法律等相關(guān)手段對(duì)攻擊者做出相應(yīng)的懲罰。取證工作做不好，面對(duì)新型的攻擊，防御和懲罰就都不可能執(zhí)行下去。

4.2加大防御技術(shù)建設(shè)，使防御系統(tǒng)廉價(jià)，做好防御系統(tǒng)普及工作。防御系統(tǒng)價(jià)格越低，防御普及率才會(huì)越高，安全性才會(huì)越好。加大對(duì)網(wǎng)絡(luò)內(nèi)各個(gè)部位核心技術(shù)的掌握（一些重要部門(mén)的內(nèi)部網(wǎng)絡(luò)最好全部運(yùn)用自己的技術(shù)），防御的成功率才會(huì)較高，防御系統(tǒng)的成本才會(huì)大大減少。比如國(guó)內(nèi)電腦基本都用微軟的操作系統(tǒng)，核心交換機(jī)大部分用思科的設(shè)備，打印機(jī)基本都用HP等國(guó)外設(shè)備。只要這些設(shè)備廠商開(kāi)啟后門(mén)，網(wǎng)絡(luò)將無(wú)安全可言。內(nèi)部技術(shù)不掌握，防御總是處于被動(dòng)之中，投資再高，實(shí)際效果也不會(huì)大。目前網(wǎng)絡(luò)系統(tǒng)內(nèi)很多設(shè)備的核心技術(shù)都不在自己的掌握下，因此軍工等一些重要情報(bào)部門(mén)內(nèi)部網(wǎng)絡(luò)最好不要接入到Internet網(wǎng)。防御系統(tǒng)方面可以建立各層防御體系，電腦開(kāi)發(fā)免費(fèi)的取證審計(jì)系統(tǒng)，使每個(gè)用戶都有監(jiān)督自己電腦的方式。其他網(wǎng)絡(luò)的各個(gè)部件也要建立自己的取證審計(jì)系統(tǒng)，方便網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)其他部件的監(jiān)控管理工作。

4.3加大網(wǎng)絡(luò)懲罰機(jī)制建設(shè)和懲罰力度，降低懲罰成本。網(wǎng)絡(luò)安全方面的懲罰方式很多，比如法律懲罰、網(wǎng)絡(luò)反攻等。針對(duì)目前國(guó)內(nèi)嚴(yán)峻的網(wǎng)絡(luò)安全問(wèn)題，應(yīng)該完善網(wǎng)絡(luò)安全法規(guī)，做到有法可依，執(zhí)法必嚴(yán)，違法必究，使執(zhí)行的成本大大減少，這樣就能對(duì)黑客給予足夠的威懾，有效降低攻擊概率。比如圖書(shū)館網(wǎng)絡(luò)系統(tǒng)面對(duì)黑客的攻擊時(shí)，只要對(duì)黑客的懲罰相比黑客獲得的利益越大，理性的黑客就越不敢攻擊。懲罰可以根據(jù)國(guó)家的立法進(jìn)行，比如發(fā)現(xiàn)某些公司運(yùn)用自己的產(chǎn)品進(jìn)行犯罪牟利時(shí)，就可以根據(jù)相應(yīng)的法律措施給予懲罰。國(guó)家間的網(wǎng)絡(luò)犯罪，可以在全世界成立一個(gè)集體的組織比如聯(lián)合國(guó)，建立相應(yīng)的法規(guī)，對(duì)國(guó)與國(guó)之間的網(wǎng)絡(luò)攻擊給予嚴(yán)厲的懲罰。二戰(zhàn)后以美國(guó)為首的西方國(guó)家，就建立了聯(lián)合國(guó)國(guó)際機(jī)構(gòu)，對(duì)一些國(guó)際間的違規(guī)事務(wù)進(jìn)行處理，比如成立原子彈不擴(kuò)散條約，以避免對(duì)世界毀滅性的傷害。美國(guó)作為聯(lián)合國(guó)的五大常任理事國(guó)之一，如果想維護(hù)世界的網(wǎng)絡(luò)安全，也需要對(duì)最近出現(xiàn)的斯諾登“棱鏡門(mén)”事件等，給出相應(yīng)的說(shuō)明或解決方法，這樣才能更好地帶頭制定和實(shí)施相應(yīng)的懲罰制度，以維護(hù)世界的網(wǎng)絡(luò)安全。對(duì)于國(guó)家間的網(wǎng)絡(luò)攻擊，當(dāng)聯(lián)合國(guó)的法律懲罰難以實(shí)施時(shí)，也可以發(fā)展網(wǎng)絡(luò)反攻懲罰技術(shù)，在國(guó)家內(nèi)部建立起強(qiáng)大的網(wǎng)絡(luò)部隊(duì)，給予別國(guó)巨大的威懾，以減少網(wǎng)絡(luò)戰(zhàn)爭(zhēng)。只要攻擊方法發(fā)展起來(lái)、攻擊成本降低，實(shí)施反擊更加容易，給另一個(gè)國(guó)家的懲罰相對(duì)于其獲得的收益越大，就會(huì)給想攻擊的國(guó)家?guī)?lái)足夠大的威懾，這樣理性的國(guó)家就越不敢攻擊。

篇7

關(guān)鍵詞：計(jì)算機(jī)工程，網(wǎng)絡(luò)安全課程，實(shí)踐教學(xué)

網(wǎng)絡(luò)安全的本質(zhì)是人與人的對(duì)抗，網(wǎng)絡(luò)安全人才培養(yǎng)是對(duì)抗的決勝因素。高職網(wǎng)絡(luò)安全課程本身綜合性、實(shí)踐性較強(qiáng)，傳統(tǒng)教學(xué)常以講授理論為主，知識(shí)結(jié)構(gòu)體系缺乏關(guān)聯(lián)性、實(shí)戰(zhàn)性，無(wú)法與當(dāng)前網(wǎng)絡(luò)安全系列1+X證書(shū)制度相融合。對(duì)網(wǎng)絡(luò)安全課程進(jìn)行項(xiàng)目化重構(gòu)，以1+X證書(shū)培訓(xùn)中的網(wǎng)絡(luò)安全實(shí)訓(xùn)項(xiàng)目貫穿課內(nèi)外教學(xué)活動(dòng)全程，是實(shí)現(xiàn)課證融通的重要環(huán)節(jié)，提高學(xué)生專(zhuān)業(yè)技能更為有效。

1網(wǎng)絡(luò)安全課程項(xiàng)目化的教學(xué)問(wèn)題

解決高職學(xué)生學(xué)習(xí)能力不足的問(wèn)題。五年制高職計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)學(xué)生水平參差不齊，由于主要招收初中應(yīng)屆畢業(yè)生，一些學(xué)生基礎(chǔ)知識(shí)薄弱、學(xué)習(xí)主觀能動(dòng)性差、學(xué)習(xí)缺乏方法和動(dòng)力，在參與專(zhuān)業(yè)課學(xué)習(xí)活動(dòng)時(shí)總是停留在等、靠、要的階段。通過(guò)對(duì)該專(zhuān)業(yè)學(xué)生的調(diào)查分析，學(xué)生的計(jì)算機(jī)使用水平存在一定的差異化，分析原因與各初中學(xué)校實(shí)施信息素質(zhì)教育的差異情況有直接關(guān)系。大部分學(xué)生能夠明白計(jì)算機(jī)能力對(duì)未來(lái)可持續(xù)發(fā)展的必要性，仍有少部分學(xué)生尚未認(rèn)識(shí)到該能力的實(shí)用性。作為一門(mén)新興科學(xué)，網(wǎng)絡(luò)安全被納入計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)的專(zhuān)業(yè)課程，為學(xué)生的必修課。網(wǎng)絡(luò)安全課程是一門(mén)理實(shí)一體化的課程，學(xué)生在理解理論知識(shí)后需實(shí)際動(dòng)手操作網(wǎng)絡(luò)安全實(shí)驗(yàn)，以此提高專(zhuān)業(yè)技能水平。在往年的實(shí)踐教學(xué)中發(fā)現(xiàn)，學(xué)生的學(xué)習(xí)能力、主觀能動(dòng)性會(huì)隨教學(xué)內(nèi)容難度的深層次遞進(jìn)，慢慢降低，無(wú)法深入了解課程的理論知識(shí)要點(diǎn)。在實(shí)踐性學(xué)習(xí)活動(dòng)中，更無(wú)法融合相關(guān)網(wǎng)絡(luò)安全技能要點(diǎn)處理實(shí)際發(fā)生的問(wèn)題。解決師資團(tuán)隊(duì)實(shí)戰(zhàn)能力不足的問(wèn)題。網(wǎng)絡(luò)安全本是實(shí)戰(zhàn)性較強(qiáng)的專(zhuān)業(yè)領(lǐng)域，就高職師資團(tuán)隊(duì)分析，大多數(shù)教師為剛畢業(yè)的本科生及研究生，且為師范畢業(yè)，沒(méi)有體驗(yàn)過(guò)網(wǎng)絡(luò)安全相關(guān)企業(yè)的工作環(huán)境及內(nèi)容，缺乏網(wǎng)絡(luò)安全一線實(shí)踐經(jīng)驗(yàn)。因此，在教學(xué)活動(dòng)中，內(nèi)容更趨向于網(wǎng)絡(luò)安全基礎(chǔ)理論知識(shí)，缺乏實(shí)踐性項(xiàng)目或?qū)嶒?yàn)。項(xiàng)目式教學(xué)提升了學(xué)生的各種能力，更要求教師成為項(xiàng)目的組織者，對(duì)教師的綜合素質(zhì)提出了更高的要求，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)教師而言，是一種新的挑戰(zhàn)。解決理實(shí)教學(xué)內(nèi)容更新滯后的問(wèn)題。目職網(wǎng)絡(luò)安全課程的教學(xué)內(nèi)容較依賴(lài)于相關(guān)教材，而這些教材的質(zhì)量及年限導(dǎo)致教學(xué)內(nèi)容更新滯后。且高職網(wǎng)絡(luò)安全教材往往照搬本科院校教材，將理論學(xué)術(shù)研究問(wèn)題融入，實(shí)踐內(nèi)容匱乏，僅僅為單一的驗(yàn)證性案例，不利于培養(yǎng)學(xué)生理論聯(lián)系實(shí)際的能力，與目前網(wǎng)絡(luò)安全人與人攻防現(xiàn)狀脫節(jié)嚴(yán)重。即使一些教材也采用了項(xiàng)目化教學(xué)的模式，但教學(xué)內(nèi)容停留在工具的使用，致使學(xué)生成為網(wǎng)絡(luò)安全“腳本小子”，并非網(wǎng)絡(luò)攻防人才。網(wǎng)絡(luò)安全涉及的專(zhuān)業(yè)技術(shù)、安全工具繁多，隨著安全問(wèn)題呈現(xiàn)出的復(fù)雜化形勢(shì)，學(xué)生很容易被這些表象所混淆，進(jìn)入“只見(jiàn)樹(shù)木不見(jiàn)森林”的誤區(qū)，無(wú)法在網(wǎng)絡(luò)攻防技術(shù)方面快速成長(zhǎng)。

2網(wǎng)絡(luò)安全課程項(xiàng)目化的教學(xué)實(shí)踐

結(jié)合1+X證書(shū)制度要求，提高學(xué)生學(xué)習(xí)能力。為了提高學(xué)生的學(xué)習(xí)能力和興趣，依據(jù)五年制高職計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)人才培養(yǎng)方案的要求，基于網(wǎng)絡(luò)安全課程目標(biāo)，轉(zhuǎn)變傳統(tǒng)純理論、教為主的教學(xué)模式，按照“以能力為本位、以職業(yè)實(shí)踐為主線、以項(xiàng)目式學(xué)習(xí)為主體”對(duì)該課程進(jìn)行項(xiàng)目化重構(gòu)設(shè)計(jì)。通過(guò)項(xiàng)目將教學(xué)變?yōu)橐环N教與學(xué)的互動(dòng)，激發(fā)學(xué)生學(xué)習(xí)興趣，調(diào)用學(xué)生的主動(dòng)性，開(kāi)展多樣化的項(xiàng)目式學(xué)習(xí)活動(dòng)，讓學(xué)生融入實(shí)踐性項(xiàng)目的完成過(guò)程中，轉(zhuǎn)變其不正確的學(xué)習(xí)觀，打消“等、靠、要”的學(xué)習(xí)依賴(lài)性。除日常教學(xué)外，指導(dǎo)學(xué)生參加技能競(jìng)賽、應(yīng)用開(kāi)發(fā)、行業(yè)認(rèn)證，正確幫助學(xué)生樹(shù)立學(xué)習(xí)目標(biāo)，引導(dǎo)學(xué)生增強(qiáng)終身學(xué)習(xí)的信念及未來(lái)的職業(yè)信心。既強(qiáng)調(diào)1+X證書(shū)制度對(duì)應(yīng)網(wǎng)絡(luò)安全評(píng)估等工作崗位的技能需求，也強(qiáng)調(diào)學(xué)生個(gè)人未來(lái)的可持續(xù)發(fā)展的要求。所以，課程重構(gòu)設(shè)計(jì)中，一切都以學(xué)生樂(lè)于學(xué)習(xí)、易于學(xué)習(xí)、善于學(xué)習(xí)為準(zhǔn)，滿足學(xué)生分階段“體驗(yàn)--改進(jìn)--創(chuàng)新”的項(xiàng)目式學(xué)習(xí)需求。校企產(chǎn)教融合，共助“雙師型”教師隊(duì)伍建設(shè)。為提升師資團(tuán)隊(duì)的實(shí)戰(zhàn)能力，鼓勵(lì)教師參加1+X證書(shū)師資培訓(xùn)，通過(guò)培訓(xùn)幫助高職教師理解1+X證書(shū)制度、網(wǎng)絡(luò)安全相關(guān)證書(shū)培訓(xùn)教學(xué)和考核的要求，提升網(wǎng)絡(luò)安全攻防水平，了解最新的網(wǎng)絡(luò)安全技術(shù)及動(dòng)向?；诂F(xiàn)有與華為、科大訊飛、中科磐云等校企合作基礎(chǔ)，開(kāi)展企業(yè)實(shí)踐及行業(yè)交流活動(dòng)，提高教師項(xiàng)目化實(shí)踐教學(xué)能力、項(xiàng)目創(chuàng)新及科研能力，促進(jìn)教師發(fā)展專(zhuān)業(yè)化發(fā)展，打造“雙師型”師資隊(duì)伍。項(xiàng)目化課程重構(gòu)，優(yōu)化內(nèi)容實(shí)現(xiàn)課證融通。教師可以在1+X證書(shū)培訓(xùn)企業(yè)專(zhuān)家的指導(dǎo)下，對(duì)網(wǎng)絡(luò)安全課程的結(jié)構(gòu)、知識(shí)點(diǎn)進(jìn)行分析，深化構(gòu)建網(wǎng)絡(luò)安全技術(shù)知識(shí)體系，從專(zhuān)業(yè)角度出發(fā)，建立“網(wǎng)絡(luò)安全技術(shù)知識(shí)樹(shù)”。從教學(xué)內(nèi)容上把原零散的知識(shí)點(diǎn)轉(zhuǎn)換為一個(gè)個(gè)項(xiàng)目，各加強(qiáng)知識(shí)模塊間的聯(lián)系。依據(jù)課程特點(diǎn)和現(xiàn)狀，進(jìn)行項(xiàng)目化課程重構(gòu)。根據(jù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估相關(guān)崗位的能力需求，明確課程目標(biāo)定位，將1+X證書(shū)內(nèi)容融入課堂教學(xué)中，實(shí)現(xiàn)理論和技能知識(shí)的可持續(xù)更新，培養(yǎng)高質(zhì)量的網(wǎng)絡(luò)安全應(yīng)用型人才。實(shí)踐中要注意，基于項(xiàng)目化的課程重構(gòu)，是將實(shí)際項(xiàng)目融入理實(shí)一體化的課堂教學(xué)中，而不是利用課后探索、研發(fā)項(xiàng)目學(xué)習(xí)內(nèi)容。重構(gòu)的目的在于將原書(shū)本專(zhuān)業(yè)知識(shí)分解、整合優(yōu)化為基于項(xiàng)目的學(xué)習(xí)內(nèi)容，這些項(xiàng)目往往為實(shí)際企業(yè)生產(chǎn)環(huán)境中出現(xiàn)的問(wèn)題或是任務(wù)驅(qū)動(dòng)型。將學(xué)生生活中的經(jīng)驗(yàn)與專(zhuān)業(yè)知識(shí)相結(jié)合，更適于網(wǎng)絡(luò)安全技術(shù)知識(shí)的實(shí)際應(yīng)用。項(xiàng)目化教學(xué)要求教師要先深入研究實(shí)訓(xùn)項(xiàng)目，課前需準(zhǔn)備好項(xiàng)目中的各理論、技能知識(shí)點(diǎn)，可結(jié)合小組合作學(xué)習(xí)等方式開(kāi)展。理論知識(shí)注重講練結(jié)合，利用1+X網(wǎng)絡(luò)安全學(xué)習(xí)平臺(tái)將理論知識(shí)講解、案例演示有機(jī)結(jié)合，提高授課的效率。為提高學(xué)生的學(xué)習(xí)能力，可對(duì)課程理論知識(shí)進(jìn)行詳細(xì)劃分，一些簡(jiǎn)易的內(nèi)容，可融入項(xiàng)目中交給學(xué)生，項(xiàng)目匯報(bào)展示時(shí)分小組上臺(tái)講解知識(shí)點(diǎn)，由教師進(jìn)行總結(jié)擴(kuò)展。實(shí)踐教學(xué)注重實(shí)際應(yīng)用，利用1+X場(chǎng)景仿真實(shí)訓(xùn)平臺(tái)，引導(dǎo)學(xué)生在模擬的網(wǎng)絡(luò)空間安全問(wèn)題場(chǎng)景內(nèi)對(duì)解決方案進(jìn)行模擬驗(yàn)證，依據(jù)驗(yàn)證結(jié)果再對(duì)方案進(jìn)行修改、完善，進(jìn)一步培養(yǎng)學(xué)生的創(chuàng)新開(kāi)發(fā)能力，完成1+X考核要求，實(shí)現(xiàn)課證融通。

3結(jié)語(yǔ)

高職網(wǎng)絡(luò)安全課程教學(xué)過(guò)程中存在學(xué)生學(xué)習(xí)能力不足、教師缺乏實(shí)戰(zhàn)能力、內(nèi)容更新之后等問(wèn)題，本章結(jié)合高職網(wǎng)絡(luò)安全教學(xué)的實(shí)際情況，結(jié)合1+X證書(shū)制度，重新構(gòu)建項(xiàng)目化的教學(xué)體系，利用校企合作雙師培養(yǎng)、1+X信息化資源平臺(tái)利用等策略，實(shí)踐育人，提高學(xué)生對(duì)課程學(xué)習(xí)的興趣、主觀能動(dòng)下、解決實(shí)際安全問(wèn)題的能力。

參考文獻(xiàn)

[1]李冬.高職計(jì)算機(jī)網(wǎng)絡(luò)專(zhuān)業(yè)課程群建設(shè)[J].職業(yè)技術(shù)教育,2005,26(01):45-47.

[2]俞研,蘭少華.計(jì)算機(jī)網(wǎng)絡(luò)安全課程教學(xué)的探索與研究[J].計(jì)算機(jī)教育,2008(18):127-128.

篇8

去年12月底，美國(guó)就對(duì)朝鮮進(jìn)行了全面的網(wǎng)絡(luò)攻擊，使得朝鮮全國(guó)網(wǎng)絡(luò)癱瘓了2天。美國(guó)組建了網(wǎng)絡(luò)戰(zhàn)聯(lián)合功能構(gòu)成司令部，擁有約9萬(wàn)名安全研究軍人，日本于2011年建立網(wǎng)絡(luò)空間防衛(wèi)隊(duì)，投資了約70億日元負(fù)責(zé)安全項(xiàng)目。在和平時(shí)代，網(wǎng)絡(luò)的攻防成為國(guó)家間沒(méi)有硝煙的戰(zhàn)場(chǎng)。

正式以法律的角度來(lái)確保我國(guó)的軍事安全、科技安全領(lǐng)域：在維護(hù)國(guó)家安全的任務(wù)方面，新法要求，國(guó)家加強(qiáng)自主創(chuàng)新能力建設(shè)，加快發(fā)展自主可控的戰(zhàn)略高新技術(shù)和重要領(lǐng)域核心關(guān)鍵技術(shù)，加強(qiáng)知識(shí)產(chǎn)權(quán)的運(yùn)用、保護(hù)和科技保密能力建設(shè)，保障重大技術(shù)和工程的安全。

國(guó)家建設(shè)網(wǎng)絡(luò)與信息安全保障體系，提升網(wǎng)絡(luò)與信息安全保護(hù)能力，加強(qiáng)網(wǎng)絡(luò)和信息技術(shù)的創(chuàng)新研究和開(kāi)發(fā)應(yīng)用，實(shí)現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控。

IT安全是國(guó)家戰(zhàn)略安全的制高點(diǎn)：當(dāng)代社會(huì)已經(jīng)進(jìn)入數(shù)字社會(huì)，互聯(lián)網(wǎng)開(kāi)始連接一切，構(gòu)成互聯(lián)網(wǎng)時(shí)代的基礎(chǔ)則是各種通訊設(shè)備和系統(tǒng)應(yīng)用軟件，信息安全是國(guó)家安全的重中之重，保障互聯(lián)網(wǎng)安全，保障IT信息產(chǎn)業(yè)安全將是重頭戲。

在互聯(lián)網(wǎng)的時(shí)代，IT產(chǎn)業(yè)國(guó)產(chǎn)化的進(jìn)程不可逆轉(zhuǎn)。加大IT安全有兩條路徑，即防護(hù)和自身系統(tǒng)國(guó)產(chǎn)化。前者需要加大對(duì)防火墻、攻防產(chǎn)品的投入；后者則是加大系統(tǒng)的國(guó)產(chǎn)化率，做到自主可控。

網(wǎng)絡(luò)安全法人大二次審稿結(jié)束，政策依然密集支持：現(xiàn)在法律已經(jīng)落地，那么以前各個(gè)部門(mén)、領(lǐng)域的臨時(shí)網(wǎng)絡(luò)安全措施便有了法律依據(jù)，從投資邏輯上我們具體可以關(guān)注三條線：軟件自主可控，硬件自主可控以及系統(tǒng)自主可控，軟件自主可控表現(xiàn)在架構(gòu)上，更多的使用云計(jì)算架構(gòu)替代傳統(tǒng)國(guó)外巨頭的軟件設(shè)施；硬件上來(lái)看，從芯片、服務(wù)器、網(wǎng)絡(luò)安全設(shè)備等等，開(kāi)始對(duì)國(guó)外設(shè)備進(jìn)行替代；從系統(tǒng)自主可控，更多的以具有保密資質(zhì)的國(guó)內(nèi)企業(yè)來(lái)完成以往國(guó)外公司招標(biāo)的系統(tǒng)。

篇9

關(guān)鍵詞:軟件工程;網(wǎng)絡(luò)安全;教學(xué)改革

中圖分類(lèi)號(hào):G642文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2010)08-1934-02

The Design and Implement of the Basis of Computer Applications

YU Ying, DENG Song, WANG Ying-long

(Department of Software, Jiangxi Agricultural University, Nanchang 330045, China)

Abstract: In order toenhance the student's applicational ability, This paper talk about the reform of network security course from such aspects as teaching materials, teaching management, teaching method, practice step and improving the ability of student.

Key words: software engineering; network security; educational reform

近年來(lái),我院圍繞軟件工程專(zhuān)業(yè)面向軟件產(chǎn)業(yè)培養(yǎng)高素質(zhì)應(yīng)用型軟件工程人才這個(gè)定位,不斷探索新的培養(yǎng)理念、培養(yǎng)模式,調(diào)整課程體系和教學(xué)目標(biāo)、改革教學(xué)方法和教學(xué)手段。本文結(jié)合我院人才培養(yǎng)的改革與實(shí)踐,探討“網(wǎng)絡(luò)安全”課程教學(xué)改革。

“網(wǎng)絡(luò)安全”是我院軟件工程專(zhuān)業(yè)網(wǎng)絡(luò)工程方向的一門(mén)方向?qū)I(yè)課,在專(zhuān)業(yè)課程中占據(jù)很重的分量。“網(wǎng)絡(luò)安全”是一門(mén)綜合性很強(qiáng)的課程,涉及的知識(shí)包括計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、數(shù)論、信息論等多門(mén)學(xué)科。根據(jù)培養(yǎng)應(yīng)用型人才這個(gè)目標(biāo),我們將授課目標(biāo)定位在培養(yǎng)掌握網(wǎng)絡(luò)安全的基礎(chǔ)概念合理論,了解計(jì)算機(jī)網(wǎng)絡(luò)潛在安全問(wèn)題,掌握常用的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù),增強(qiáng)學(xué)生的安全意識(shí)以及對(duì)安全問(wèn)題的分析和處理能力,能在實(shí)際生活和工作中解決某些具體安全問(wèn)題的應(yīng)用型人才。因此,軟件工程專(zhuān)業(yè)“網(wǎng)絡(luò)安全”課程不能與計(jì)算機(jī)專(zhuān)業(yè)開(kāi)設(shè)的網(wǎng)絡(luò)安全課程一樣,著重基礎(chǔ)理論教學(xué)。如何進(jìn)行軟件工程專(zhuān)業(yè)下的“網(wǎng)絡(luò)安全”課程教學(xué)改革,加強(qiáng)學(xué)生實(shí)踐動(dòng)手能力的培養(yǎng)突出應(yīng)用能力的培養(yǎng),使之符合軟件工程專(zhuān)業(yè)強(qiáng)調(diào)學(xué)生動(dòng)手實(shí)踐能力的特點(diǎn)是本文要探討的內(nèi)容。

1 合理組織教學(xué)內(nèi)容,適應(yīng)教學(xué)要求

“網(wǎng)絡(luò)安全”課程覆蓋知識(shí)面廣泛,學(xué)生不可能在有限的時(shí)間內(nèi)掌握所有的安全技術(shù),根據(jù)確定的課程目標(biāo),針對(duì)培養(yǎng)應(yīng)用型人才的需要,確定本課程教學(xué)內(nèi)容包括計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)理論(網(wǎng)絡(luò)安全體系結(jié)構(gòu)、網(wǎng)絡(luò)安全評(píng)估標(biāo)準(zhǔn)、網(wǎng)絡(luò)安全協(xié)議基礎(chǔ))、網(wǎng)絡(luò)安全攻擊技術(shù)(網(wǎng)絡(luò)掃描、網(wǎng)絡(luò)監(jiān)聽(tīng)、攻擊類(lèi)型)、網(wǎng)絡(luò)安全防御技術(shù)(數(shù)據(jù)加密認(rèn)證技術(shù)、防火墻、入侵檢測(cè)、操作系統(tǒng)安全配置方案)、網(wǎng)絡(luò)安全綜合解決方案四個(gè)部分。在課程選擇上從傳統(tǒng)的偏重網(wǎng)絡(luò)安全理論的介紹,轉(zhuǎn)變?yōu)楸容^實(shí)用的新型技術(shù)的學(xué)習(xí),突出應(yīng)用能力的培養(yǎng)。

由于目前沒(méi)有專(zhuān)門(mén)針對(duì)軟件工程專(zhuān)業(yè)的網(wǎng)絡(luò)安全教材,通用的網(wǎng)絡(luò)安全教材一般著重就介紹網(wǎng)絡(luò)安全理論與常用網(wǎng)絡(luò)攻防技術(shù)。知識(shí)點(diǎn)孤立、分散,沒(méi)有形成一個(gè)完整的體系。很少有教材綜合多個(gè)知識(shí)點(diǎn)結(jié)合案例進(jìn)行講解分析,而且教材中關(guān)于網(wǎng)絡(luò)安全綜合解決方案的內(nèi)容很簡(jiǎn)單,篇幅也很少,不適合培養(yǎng)應(yīng)用型人才的需要。為了解決這個(gè)問(wèn)題,我們整合多本教材作為授課教材。在授課內(nèi)容的組織上,重新調(diào)整次序,將前三部分內(nèi)容穿插在綜合解決方案里,保證授課內(nèi)容包含教學(xué)大綱要求掌握的所有知識(shí)點(diǎn)。

在教學(xué)大綱編寫(xiě)上,我們改變以往“網(wǎng)絡(luò)安全”課程單獨(dú)制定大綱的方式,將本課程和其它網(wǎng)絡(luò)相關(guān)課程一起按課程模塊統(tǒng)一制定大綱,使得教學(xué)內(nèi)容的總體布局更加科學(xué)合理。例如,網(wǎng)絡(luò)安全協(xié)議――TCP/IP協(xié)議簇安排在“TCP/IP協(xié)議原理及應(yīng)用”課程中重點(diǎn)講解,防火墻及IDS的配置安排在“網(wǎng)絡(luò)設(shè)備”課程中講解,避免出現(xiàn)知識(shí)盲點(diǎn)和教學(xué)內(nèi)容重復(fù)現(xiàn)象。

2 改進(jìn)教學(xué)方法,激發(fā)學(xué)生學(xué)習(xí)興趣

采用以案例教學(xué)為主,理論教學(xué)為輔的方法。圍繞解決企業(yè)安全問(wèn)題這條主線,把課程內(nèi)容分為發(fā)現(xiàn)安全問(wèn)題、分析安全問(wèn)題、解決安全問(wèn)題3大部分,通過(guò)一個(gè)實(shí)際的案例(某大學(xué)校園網(wǎng))貫穿始終,圍繞著課程主線,逐步將知識(shí)點(diǎn)滲透。目前常見(jiàn)的攻擊技術(shù)(口令攻擊、木馬、IP欺騙、拒絕服務(wù)攻擊、會(huì)話劫持等)和防御技術(shù)(防火墻、入侵監(jiān)測(cè)等)都可以在校園網(wǎng)中找到案例,因此將校園網(wǎng)安全問(wèn)題作為案例講解有一定的代表性。在案例中設(shè)計(jì)了各種常見(jiàn)的網(wǎng)絡(luò)攻擊的情景,通過(guò)實(shí)際情景引申出原理的講解,原理依然采用多媒體設(shè)備進(jìn)行課堂講授,對(duì)于常見(jiàn)攻擊要進(jìn)行當(dāng)堂演示,回放攻擊過(guò)程,然后再講解具體的防御措施和手段,并演示防御過(guò)程。采用這種授課方式使學(xué)生切實(shí)感受到各種安全問(wèn)題的存在,加深對(duì)各種攻擊技術(shù)和防御方法的理解,靈活掌握各種防御技術(shù)的應(yīng)用。通過(guò)一個(gè)完整案例的分析講解,使各個(gè)知識(shí)點(diǎn)不再孤立,而是形成一個(gè)整體,與現(xiàn)實(shí)中各種網(wǎng)絡(luò)安全綜合解決過(guò)程相符。每個(gè)部分中各知識(shí)點(diǎn)均配有其它案例作補(bǔ)充,例如常見(jiàn)網(wǎng)絡(luò)攻擊技術(shù)均設(shè)計(jì)有相關(guān)案例講解分析,而且根據(jù)網(wǎng)絡(luò)安全最新技術(shù),每年調(diào)整案例內(nèi)容。

在教學(xué)過(guò)程中轉(zhuǎn)變傳統(tǒng)的“填鴨式”教學(xué)為啟發(fā)式教學(xué),讓學(xué)生以企業(yè)安全顧問(wèn)的角色對(duì)企業(yè)的運(yùn)行過(guò)程及網(wǎng)絡(luò)架構(gòu)進(jìn)行診斷,找出問(wèn)題并提出解決方案和整改措施,最后要學(xué)生根據(jù)所學(xué)知識(shí)完成二次案例設(shè)計(jì)。實(shí)際的案例討論和應(yīng)用將理論與實(shí)際完全結(jié)合起來(lái),既有邏輯性,也有趣味性。學(xué)生全方位參與教學(xué)過(guò)程,充分調(diào)動(dòng)了學(xué)生的學(xué)習(xí)積極性,引導(dǎo)學(xué)生發(fā)現(xiàn)問(wèn)題,解決問(wèn)題,培養(yǎng)學(xué)生動(dòng)手的能力,激發(fā)學(xué)生的學(xué)習(xí)主動(dòng)性。

3 加強(qiáng)實(shí)踐教學(xué),提高動(dòng)手能力

網(wǎng)絡(luò)安全是實(shí)踐性非常強(qiáng)的課程,光說(shuō)不練不行。本課程實(shí)驗(yàn)教學(xué)最初分為基礎(chǔ)驗(yàn)證型和綜合設(shè)計(jì)型兩個(gè)層次。實(shí)驗(yàn)內(nèi)容涵蓋了網(wǎng)絡(luò)攻擊技術(shù)、訪問(wèn)控制技術(shù)、防火墻技術(shù)、入侵檢測(cè)技術(shù)等。為了加強(qiáng)學(xué)生專(zhuān)業(yè)創(chuàng)新能力和應(yīng)用能力的培養(yǎng),在原有兩個(gè)層次之上增加一個(gè)研究創(chuàng)新型實(shí)驗(yàn),調(diào)整為3個(gè)層次,并加大后面層次的比重。

基礎(chǔ)驗(yàn)證實(shí)驗(yàn)內(nèi)容與理論課內(nèi)容相銜接,且相對(duì)固定。包括網(wǎng)絡(luò)掃描、網(wǎng)絡(luò)監(jiān)聽(tīng)、DES算法實(shí)現(xiàn)、程序?qū)崿F(xiàn)簡(jiǎn)單IDS、口令攻擊、木馬攻擊、拒絕服務(wù)攻擊等。通過(guò)基礎(chǔ)實(shí)驗(yàn)幫助學(xué)生掌握密碼學(xué)算法實(shí)現(xiàn),網(wǎng)絡(luò)安全設(shè)備配置,并讓學(xué)生體驗(yàn)網(wǎng)絡(luò)攻擊防御的全過(guò)程。本類(lèi)型實(shí)驗(yàn)安排在每個(gè)理論知識(shí)點(diǎn)講解后進(jìn)行。

綜合設(shè)計(jì)實(shí)驗(yàn)鍛煉學(xué)生綜合運(yùn)用網(wǎng)絡(luò)安全知識(shí)解決問(wèn)題的能力,在真實(shí)網(wǎng)絡(luò)環(huán)境中,將學(xué)生分成兩組,一組學(xué)生發(fā)現(xiàn)網(wǎng)絡(luò)存在的安全漏洞并進(jìn)行攻擊,另一組對(duì)發(fā)現(xiàn)的攻擊行為進(jìn)行分析,確定攻擊類(lèi)型并采取相應(yīng)的措施,一遍攻防實(shí)驗(yàn)結(jié)束后再輪換。該類(lèi)型實(shí)驗(yàn)主要通過(guò)課程實(shí)訓(xùn)、實(shí)習(xí)基地實(shí)戰(zhàn)訓(xùn)練等方式實(shí)現(xiàn),要求學(xué)生綜合運(yùn)用所學(xué)網(wǎng)絡(luò)安全知識(shí),提高解決具體問(wèn)題的能力,培養(yǎng)整體安全意識(shí)。該類(lèi)型實(shí)驗(yàn)安排在理論課完成后,集中一周或兩周進(jìn)行;

研究創(chuàng)新實(shí)驗(yàn)要求學(xué)生利用學(xué)過(guò)的知識(shí)和積累的經(jīng)驗(yàn),針對(duì)創(chuàng)新課題提出有創(chuàng)意的設(shè)計(jì)并加以實(shí)現(xiàn)。該層次實(shí)驗(yàn)主要通過(guò)創(chuàng)新課題研究、畢業(yè)設(shè)計(jì)與畢業(yè)論文、競(jìng)賽項(xiàng)目、興趣小組等方式實(shí)現(xiàn)。內(nèi)容來(lái)源于教師的科研項(xiàng)目、學(xué)生的自主科研選題、社會(huì)實(shí)踐活動(dòng)和企事業(yè)應(yīng)用需求,實(shí)驗(yàn)內(nèi)容每年都在更新。

4 注重能力培養(yǎng),提高學(xué)生綜合素質(zhì)

近年來(lái),我院從應(yīng)用型人才標(biāo)準(zhǔn)出發(fā)認(rèn)真研究了國(guó)內(nèi)外各高校軟件工程專(zhuān)業(yè)人才培養(yǎng)模式,辦學(xué)經(jīng)驗(yàn),認(rèn)識(shí)到軟件工程教育不僅要使我們的學(xué)生掌握專(zhuān)業(yè)相關(guān)知識(shí)、系統(tǒng)分析和設(shè)計(jì)能力、科學(xué)分析方法、工程思維能力。還必須具備良好的學(xué)習(xí)能力、語(yǔ)言表達(dá)能力、溝通能力和團(tuán)隊(duì)協(xié)作能力等。因此,在我們進(jìn)行教學(xué)改革時(shí),要把對(duì)學(xué)生能力的培養(yǎng)和課程的學(xué)習(xí)融合起來(lái)。在“網(wǎng)絡(luò)安全”課程的教學(xué)活動(dòng)中,為了培養(yǎng)學(xué)生的能力,我們做了以下幾方面工作。

以項(xiàng)目為載體,將學(xué)生的基礎(chǔ)知識(shí)學(xué)習(xí)和綜合能力訓(xùn)練、扎實(shí)的課程學(xué)習(xí)和廣泛的探索興趣結(jié)合起來(lái),引導(dǎo)學(xué)生養(yǎng)成終身學(xué)習(xí)的習(xí)慣,培養(yǎng)工程思維方式以及系統(tǒng)分析設(shè)計(jì)能力。在實(shí)驗(yàn)過(guò)程中,注重學(xué)生主觀能動(dòng)意識(shí)的培養(yǎng)。

將合作性實(shí)驗(yàn)?zāi)Ｊ揭雽?shí)驗(yàn)教學(xué),通過(guò)合作,培養(yǎng)了學(xué)生的團(tuán)隊(duì)意識(shí)、和同學(xué)、老師的交流溝通能力,提高學(xué)生的綜合素質(zhì),培養(yǎng)創(chuàng)新意識(shí)和能力。

開(kāi)設(shè)《大學(xué)語(yǔ)文》、《思想道德修養(yǎng)》等課程增強(qiáng)學(xué)生良好的職業(yè)道德和責(zé)任感的培養(yǎng),提高人文素質(zhì)。

5 結(jié)束語(yǔ)

隨著網(wǎng)絡(luò)安全形勢(shì)的日益嚴(yán)峻,《網(wǎng)絡(luò)安全》課程成為熱點(diǎn)課程,且隨著攻防對(duì)抗不斷升級(jí),新技術(shù)不斷產(chǎn)生,課程內(nèi)容也不斷變化,這些給我們的教學(xué)工作帶來(lái)難度。如何設(shè)計(jì)深淺適宜,符合應(yīng)用型人才培養(yǎng)目標(biāo)的授課內(nèi)容、如何把抽象的理論變成學(xué)生易懂的知識(shí),要需要在以后的教學(xué)實(shí)踐中進(jìn)行不斷的總結(jié)和提高。

參考文獻(xiàn):

[1] 駱斌,趙志宏,邵棟.軟件工程專(zhuān)業(yè)工程化實(shí)踐教學(xué)體系的構(gòu)建與實(shí)施[J].計(jì)算機(jī)教育,2005(4):25-28.

篇10

關(guān)鍵詞：信息中心；安全；原因；優(yōu)化

中圖分類(lèi)號(hào)：TP393.18 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-7712 （2013） 20-0000-01

學(xué)校信息中心肩負(fù)著保障整個(gè)校園計(jì)算機(jī)與校園網(wǎng)絡(luò)可靠運(yùn)行的重任。在計(jì)算機(jī)與網(wǎng)絡(luò)維護(hù)的工作中，我們經(jīng)常發(fā)現(xiàn)威脅網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)因素，只有認(rèn)清并掌握這些網(wǎng)絡(luò)安全問(wèn)題，并及時(shí)采取防范優(yōu)化策略才能保障整個(gè)校園網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。

一、學(xué)校信息中心發(fā)現(xiàn)的主要網(wǎng)絡(luò)安全問(wèn)題

（一）軟件漏洞帶來(lái)的安全威脅

現(xiàn)階段網(wǎng)絡(luò)信息化已經(jīng)普及到各大高校，一個(gè)校園各項(xiàng)教學(xué)與管理任務(wù)的正常運(yùn)轉(zhuǎn)要依靠各類(lèi)軟件系統(tǒng)的支撐。例如，遼寧某大學(xué)的教師教務(wù)與學(xué)生成績(jī)的管理，圖書(shū)館的借閱圖書(shū)管理，財(cái)務(wù)部門(mén)的學(xué)生學(xué)費(fèi)繳納管理，學(xué)校后勤部門(mén)的管理等等，都開(kāi)始應(yīng)用了系統(tǒng)的管理系統(tǒng)軟件。而類(lèi)似這些軟件在開(kāi)發(fā)與設(shè)計(jì)當(dāng)中難免會(huì)遺留一些問(wèn)題，在加上每個(gè)學(xué)校形勢(shì)每天都在變化，軟件的升級(jí)與維護(hù)工作又不能夠及時(shí)的跟進(jìn)，這就讓很多病毒與木馬有大量的機(jī)會(huì)來(lái)入侵和攻擊這些校園管理系統(tǒng)軟件。軟件攜帶進(jìn)校園網(wǎng)絡(luò)的病毒還具有一定的擴(kuò)散性，如不加以控制將迅速蔓延至整個(gè)校園網(wǎng)絡(luò)。

（二）硬件設(shè)置與設(shè)備上的安全威脅

以計(jì)算機(jī)、服務(wù)器以及路由器和交換機(jī)、還有各類(lèi)移動(dòng)設(shè)備和網(wǎng)線等硬件設(shè)備等都是校園網(wǎng)絡(luò)系統(tǒng)得以運(yùn)轉(zhuǎn)和實(shí)施的重要載體。這些硬件設(shè)備在設(shè)置上往往忽略了安全密碼的設(shè)置，或者設(shè)置的密碼安全等級(jí)低、還有的學(xué)校從應(yīng)用這些設(shè)備以來(lái)都沒(méi)有對(duì)密碼進(jìn)行過(guò)更換，一直使用設(shè)備出廠設(shè)置的最初的初始密碼。這就造成了黑客在硬件設(shè)置上找到了漏洞，將病毒通過(guò)漏洞攜帶進(jìn)校園網(wǎng)絡(luò)。有些校園的計(jì)算機(jī)還設(shè)置了可以遠(yuǎn)程協(xié)助等功能，黑客會(huì)通過(guò)遠(yuǎn)程對(duì)該計(jì)算機(jī)進(jìn)行控制[1]。再有，很多學(xué)校也忽視了對(duì)諸如雙絞線、光纜、服務(wù)器以及UPS電源等硬件設(shè)備的維護(hù)。例如，沒(méi)有對(duì)這些硬件設(shè)備進(jìn)行防水、防火方面的保護(hù)，沒(méi)有采取恰當(dāng)?shù)目拐鸫胧?；也有的學(xué)校忽略了設(shè)備的防磁干擾防護(hù)等等。以上，都屬于硬件設(shè)置與設(shè)備維護(hù)上構(gòu)成的校園網(wǎng)絡(luò)安全風(fēng)險(xiǎn)威脅。

（三）校園內(nèi)部對(duì)網(wǎng)絡(luò)資源的濫用

校園網(wǎng)絡(luò)對(duì)于帶寬的需求已經(jīng)超過(guò)了我國(guó)不斷更新的帶寬增長(zhǎng)速度。即使千兆級(jí)的帶寬網(wǎng)絡(luò)被應(yīng)用到校園網(wǎng)絡(luò)上，還是不能夠滿足廣大師生對(duì)于網(wǎng)絡(luò)帶寬的需求。主要是因?yàn)橄螺d教學(xué)軟件與視頻的用戶不斷增多，甚至有些學(xué)生過(guò)分利用校園網(wǎng)絡(luò)資源，例如大量下載電影、電視劇等，每天大量下載任務(wù)的加劇造成了網(wǎng)絡(luò)資源不斷被占用，甚至?xí)绊懙秸＝虒W(xué)管理系統(tǒng)任務(wù)的執(zhí)行效率。而在下載過(guò)程中各類(lèi)病毒也很容易入侵進(jìn)校園網(wǎng)絡(luò)，這些校園內(nèi)部網(wǎng)絡(luò)資源的濫用都構(gòu)成了對(duì)校園網(wǎng)絡(luò)安全的威脅。

二、校園網(wǎng)絡(luò)安全問(wèn)題頻發(fā)的原因

校園網(wǎng)絡(luò)安全問(wèn)題頻發(fā)的原因是多方造成的。首先是校園管理與日常辦公軟件系統(tǒng)的應(yīng)用越來(lái)越多，教師與學(xué)生們對(duì)郵件、網(wǎng)頁(yè)、游戲、博客、QQ等軟件的使用率愈來(lái)愈高，這些系統(tǒng)應(yīng)用的頻繁都增加了網(wǎng)絡(luò)系統(tǒng)安全的風(fēng)險(xiǎn)指數(shù)。例如，常常見(jiàn)到的網(wǎng)速慢、網(wǎng)頁(yè)不能正常打開(kāi)與關(guān)閉、計(jì)算機(jī)藍(lán)屏、系統(tǒng)用戶被篡改、甚至有些教學(xué)應(yīng)用數(shù)據(jù)被修改等現(xiàn)象常有發(fā)生，極大的影響了學(xué)校教學(xué)秩序的順暢進(jìn)行。其次，學(xué)校信息中心的管理者技術(shù)水平參差不齊，有的沒(méi)有接受過(guò)系統(tǒng)的網(wǎng)絡(luò)維護(hù)與病毒防范知識(shí)培訓(xùn)，網(wǎng)絡(luò)安全意識(shí)薄弱，認(rèn)為一些殺毒軟件與木馬防范程序的安裝可有可無(wú)等，這些都造成了對(duì)網(wǎng)絡(luò)安全維護(hù)工作的忽視，讓病毒有可乘之機(jī)，威脅校園網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)。此外，一些黑客的技術(shù)手段也愈加高明，風(fēng)險(xiǎn)因素隨時(shí)可能爆發(fā)，病毒和木馬的不斷更新也對(duì)校園網(wǎng)絡(luò)安全造成了不小的威脅。

三、防范優(yōu)化學(xué)校網(wǎng)絡(luò)安全的重要策略

（一）加強(qiáng)防火墻與漏洞掃描，維護(hù)軟件系統(tǒng)安全

校園信息中心的網(wǎng)絡(luò)管理人員要注意在每臺(tái)計(jì)算機(jī)上安裝IP地址檢測(cè)、病毒檢測(cè)軟件。防火墻的安裝也必不可少。特別要注重對(duì)軟件漏洞的掃描，可以利用360安全殺毒軟件或者金山毒霸軟件的漏洞掃描功能，及時(shí)查找網(wǎng)絡(luò)系統(tǒng)的漏洞并進(jìn)行補(bǔ)丁修補(bǔ)。此外，要定期對(duì)計(jì)算機(jī)的內(nèi)存、垃圾軟件等進(jìn)行清理，讓計(jì)算機(jī)能夠高效的運(yùn)行[2]。軟件登錄時(shí)注意口令與密碼的核對(duì)，注意用戶身份的認(rèn)證。對(duì)于軟件系統(tǒng)的維護(hù)上，要注重軟件定期運(yùn)行狀況的監(jiān)測(cè)，及時(shí)對(duì)軟件進(jìn)行升級(jí)處理[3]。如果校園應(yīng)用軟件被黑客攻擊與控制，要有相應(yīng)的應(yīng)急補(bǔ)救措施。

（二）做好硬件配套設(shè)施的維護(hù)，保障硬件系統(tǒng)安全

學(xué)校信息中心在采購(gòu)網(wǎng)絡(luò)設(shè)備諸如計(jì)算機(jī)、服務(wù)器、USB移動(dòng)設(shè)備、路由器和交換器時(shí)，一定要注意檢查設(shè)備的質(zhì)量，保障其功能與性能良好。在校園網(wǎng)絡(luò)應(yīng)用中，也要對(duì)相應(yīng)的硬件進(jìn)行安全設(shè)置，密碼登記要高，盡量避免密碼等級(jí)低帶來(lái)的不安全風(fēng)險(xiǎn)。在計(jì)算機(jī)上盡量不要允許遠(yuǎn)程控制，杜絕黑客控制。在設(shè)備的防火、防潮、防磁與防震方面也要多加注意，避免因火災(zāi)、潮濕、磁干擾和震動(dòng)帶來(lái)的硬件系統(tǒng)風(fēng)險(xiǎn)。

（三）規(guī)范校園網(wǎng)絡(luò)使用規(guī)定，避免網(wǎng)絡(luò)資源的濫用

學(xué)校應(yīng)該加強(qiáng)網(wǎng)絡(luò)安全使用方面的規(guī)定，加強(qiáng)信息中心網(wǎng)絡(luò)維護(hù)人員的管理與培訓(xùn)[4]。對(duì)于學(xué)生占用網(wǎng)絡(luò)資源進(jìn)行的電影、視頻、電視劇等的下載量要進(jìn)行控制，對(duì)于教學(xué)軟件與P2P軟件的帶寬的合理分配等都要進(jìn)行合理的規(guī)定，對(duì)于教學(xué)軟件與QQ或者游戲的帶寬占用要以教學(xué)軟件優(yōu)先，保障正常教學(xué)任務(wù)的優(yōu)先進(jìn)行。杜絕學(xué)生在網(wǎng)絡(luò)應(yīng)用中對(duì)不良網(wǎng)站的瀏覽、強(qiáng)化綠色網(wǎng)絡(luò)環(huán)境的建設(shè)[5]。

四、結(jié)語(yǔ)

校園信息網(wǎng)絡(luò)對(duì)于各項(xiàng)教學(xué)與管理工作的順利進(jìn)行提供著較為高效的平臺(tái)，我們?cè)趯?duì)其利用的過(guò)程中要避免資源浪費(fèi)，意識(shí)到網(wǎng)絡(luò)安全問(wèn)題的存在并積極采取防范與優(yōu)化的策略，讓其更好地為廣大師生服務(wù)。

參考文獻(xiàn)：

[1]李俊民.網(wǎng)絡(luò)安全與黑客攻防寶典[M].電子工業(yè)出版社，2011：87.

[2]俞朝暉，王，趙怡程.系統(tǒng)防護(hù)、網(wǎng)絡(luò)安全與黑客攻防實(shí)用寶典[M].中國(guó)鐵道出版社，2013：35-41.

[3]劉瑩.計(jì)算機(jī)信息網(wǎng)絡(luò)安全技術(shù)和防范措施探析[J].中國(guó)科技博覽，2013（16）：72.

[4]（美）康維，著.田果，劉丹寧，譯.網(wǎng)絡(luò)安全體系結(jié)構(gòu)[M].人民郵電出版社，2013：22-25.