導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全設(shè)計論文，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

一、消防信息化建設(shè)的主要內(nèi)容

1．1消防信息化的范疇

消防信息化是利用先進可靠、實用有效的現(xiàn)代計算機、網(wǎng)絡(luò)及通信技術(shù)對消防信息進行采集、儲存、處理、分析和挖掘，以實現(xiàn)消防信息資源和基礎(chǔ)設(shè)施高程度、高效率、高效益的共享與共用的過程。

消防信息化建設(shè)的范疇包括通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)、信息系統(tǒng)建設(shè)及應(yīng)用、安全保障體系建設(shè)、運行管理體系建設(shè)和標準規(guī)范體系建設(shè)等內(nèi)容。

1．2通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)

全國消防通信網(wǎng)絡(luò)從邏輯上分為三級：一級網(wǎng)是從部消防局到各省(區(qū)、市)消防總隊以及相關(guān)的消防科研機構(gòu)和消防院校；二級網(wǎng)是各省(區(qū)、市)消防總隊到市(地、州)消防支隊；三級網(wǎng)是各市(地、州)消防支隊到基層消防大隊及中隊。對北京、上海、天津、重慶等直轄市，二級網(wǎng)和三級網(wǎng)可合并考慮。每一級網(wǎng)絡(luò)所在機關(guān)均應(yīng)建設(shè)本級局域網(wǎng)。

1．3安全保障體系建設(shè)

安全保障體系是實現(xiàn)公安消防機構(gòu)信息共享、快速反應(yīng)和高效運行的重要保證。安全保障體系首先應(yīng)保證網(wǎng)絡(luò)的安全、可靠運行，在此基礎(chǔ)上保證應(yīng)用系統(tǒng)和業(yè)務(wù)的保密性、完整性和高度的可用性，同時為將來的應(yīng)用提供可擴展的空間。安全保障體系建設(shè)的基本要求是：

(1)保障網(wǎng)絡(luò)安全、可靠、持續(xù)運行，能夠防止來自外部的惡意攻擊和內(nèi)部的惡意破壞；

(2)保障信息的完整性、機密性和信息訪問的不可否認性，要求采取必要的信息加密、信息訪問控制、訪問權(quán)限認證等措施；

(3)提供容災(zāi)、容錯等風(fēng)險保障；

(4)在確保安全的條件下盡量為網(wǎng)絡(luò)應(yīng)用提供方便，實行全網(wǎng)統(tǒng)一的身份認證和基于角色的訪問控制；

(5)建立完備的安全管理制度。

二、消防信息化建設(shè)中面臨的網(wǎng)絡(luò)安全問題

2．1計算機網(wǎng)絡(luò)安全的定義

從狹義的保護角度來看，計算機網(wǎng)絡(luò)安全是指計算機及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害；從其本質(zhì)上來講就是系統(tǒng)上的信息安全。

從廣義來說，凡是涉及到計算機網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是計算機網(wǎng)絡(luò)安全的研究領(lǐng)域。

2．2網(wǎng)絡(luò)系統(tǒng)的脆弱性

2．2．1操作系統(tǒng)安全的脆弱性

操作系統(tǒng)不安全，是計算機不安全的根本原因。主要表現(xiàn)在：

(1)操作系統(tǒng)結(jié)構(gòu)體制本身的缺陷；

(2)操作系統(tǒng)支持在網(wǎng)絡(luò)上傳輸文件、加載與安裝程序，包括可執(zhí)行文件；

(3)操作系統(tǒng)不安全的原因還在于創(chuàng)建進程，甚至可以在網(wǎng)絡(luò)的結(jié)點上進行遠程的創(chuàng)建和激活；

(4)操作系統(tǒng)提供網(wǎng)絡(luò)文件系統(tǒng)(NFS)服務(wù)，NFS系統(tǒng)是一個基于RPC的網(wǎng)絡(luò)文件系統(tǒng)，如果NFS設(shè)置存在重大問題，則幾乎等于將系統(tǒng)管理權(quán)拱手交出；

(5)操作系統(tǒng)安排的無口令人口，是為系統(tǒng)開發(fā)人員提供的邊界入口，但這些入口也可能被黑客利用；

(6)操作系統(tǒng)還有隱蔽的信道，存在潛在的危險。

2．2．2網(wǎng)絡(luò)安全的脆弱性

由于Internet／Intmnet的出現(xiàn)，網(wǎng)絡(luò)安全問題更加嚴重?？梢哉f，使用TCP／IP協(xié)議的網(wǎng)絡(luò)所提供的FTP、E-Mail、RPC和NFS都包含許多不安全的因素，存在許多漏洞。

同時，網(wǎng)絡(luò)的普及使信息共享達到了一個新的層次，信息被暴露的機會大大增多。Intemet網(wǎng)絡(luò)就是一個不設(shè)防的開放大系統(tǒng)，誰都可以通過未受保護的外部環(huán)境和線路訪問系統(tǒng)內(nèi)部，隨時可能發(fā)生搭線竊聽、遠程監(jiān)控、攻擊破壞。

2．2．3數(shù)據(jù)庫管理系統(tǒng)安全的脆弱性

當(dāng)前，大量的信息存儲在各種各樣的數(shù)據(jù)庫中，而這些數(shù)據(jù)庫系統(tǒng)在安全方面的考慮卻很少。而且，數(shù)據(jù)庫管理系統(tǒng)安全必須與操作系統(tǒng)的安全相配套。

2．2．4防火墻的局限性

盡管利用防火墻可以保護安全網(wǎng)免受外部黑客的攻擊，但它只能提高網(wǎng)絡(luò)的安全性，不可能保證網(wǎng)絡(luò)絕對安全。

2．3基于消防通信網(wǎng)絡(luò)進行入侵的常用手段分析

由于消防工作的社會性，消防信息化建設(shè)很重要的一方面就是利用信息化手段強化為社會服務(wù)的功能，積極通過網(wǎng)絡(luò)媒體為社會提供各類消防信息，如消防法律法規(guī)、消防知識等，促進消防工作社會化；在網(wǎng)上受理消防業(yè)務(wù)，公布依法行政的有關(guān)信息，為社會提供服務(wù)，增強群眾對消防工作的滿意度。在利用網(wǎng)絡(luò)提高工作效率和簡化日常工作流程的同時，也面臨許多信息安全方面的問題，主要表現(xiàn)在：

2．3．1內(nèi)部資料被竊取

現(xiàn)在消防機關(guān)上傳下達的各種資料基本上都要先經(jīng)過電腦錄入并打印后再送發(fā)出去，電腦內(nèi)一般都留有電子版的備份，若此電腦直接接入局域網(wǎng)或Intemet，就有可能受到來自內(nèi)部或外部人員的威脅，其主要方式有：

(1)利用系統(tǒng)漏洞入侵，瀏覽、拷貝甚至刪除重要文件。前段時間在安全界流行一個名為DCOMRPC的漏洞，其涉及范圍非常之廣，從WindowsNT4．0、Windows2000、WindowsXP到WindowsServer2003。由于MicrosoftRPC的DCOM(分布式組件對象模塊)接口存在緩沖區(qū)溢出缺陷，如果攻擊者成功利用了該漏洞，將會獲得本地系統(tǒng)權(quán)限，并可以在系統(tǒng)上運行任何命令，如安裝程序，查看或更改、刪除數(shù)據(jù)或是建立系統(tǒng)管理員權(quán)限的帳戶等。目前關(guān)于該漏洞的攻擊代碼已經(jīng)涉及到的相應(yīng)操作系統(tǒng)和版本已有48種之多，其危害性可見一斑；

(2)電腦操作人員安全意識差，系統(tǒng)配置疏忽大意，隨意共享目錄；系統(tǒng)用戶使用空口令，或?qū)⑾到y(tǒng)帳號隨意轉(zhuǎn)借他人，都會導(dǎo)致重要內(nèi)容被非法訪問，甚至丟失系統(tǒng)控制權(quán)。

2．3．2Web服務(wù)被非法利用

據(jù)統(tǒng)計，目前全國各級公安消防部門在因特網(wǎng)上已建立近100個網(wǎng)站，提供消防法規(guī)、危險物品基礎(chǔ)數(shù)據(jù)、產(chǎn)品質(zhì)量信息、消防技術(shù)標準等重要信息，部分支隊還對轄區(qū)內(nèi)重點單位開辟網(wǎng)上受理業(yè)務(wù)服務(wù)，極大地提高了工作效率，但基于網(wǎng)頁的入侵及欺詐行為也在威脅著網(wǎng)站數(shù)據(jù)的安全性及可信性。其主要表現(xiàn)在：

(1)Web頁面欺詐

許多提供各種法律法規(guī)及相關(guān)專業(yè)數(shù)據(jù)查詢的站點都提供了會員服務(wù)，這些會員一般需要繳納一定的費用才能正式注冊成為會員，站點允許通過信用卡在線付費的形式注冊會員。攻擊者可以通過一種被稱為Man-In-the-Middle的方式得到會員注冊中的敏感信息。

攻擊者可通過攻擊站點的外部路由器，使進出方的所有流量都經(jīng)過他。在此過程中，攻擊者扮演了一個人的角色，在通信的受害方和接收方之間傳遞信息。人是位于正在同心的兩臺計算機之間的一個系統(tǒng)，而且在大多數(shù)情況下，它能在每個系統(tǒng)之間建立單獨的連接。在此過程中，攻擊者記錄下用戶和服務(wù)器之間通信的所有流量，從中挑選自己感興趣的或有價值的信息，對用戶造成威脅。

(2)CGI欺騙

CGI(CommonGatewayInterface)即通用網(wǎng)關(guān)接口，許多Web頁面允許用戶輸入信息，進行一定程度的交互。還有一些搜索引擎允許用戶查找特定信息的站點，這些一般都通過執(zhí)行CGI程序來完成。一些配置不當(dāng)或本身存在漏洞的CGI程序，能被攻擊者利用并執(zhí)行一些系統(tǒng)命令，如創(chuàng)建具有管理員權(quán)限的用戶，開啟共享、系統(tǒng)服務(wù)，上傳并運行木馬等。在奪取系統(tǒng)管理權(quán)限后，攻擊者還可在系統(tǒng)內(nèi)安裝嗅探器，記錄用戶敏感數(shù)據(jù)，或隨意更改頁面內(nèi)容，對站點信息的真實性及可信性造成威脅。

(3)錯誤和疏漏

Web管理員、Web設(shè)計者、頁面制作人員、Web操作員以及編程人員有時會無意中犯一些錯誤，導(dǎo)致一些安全問題，使得站點的穩(wěn)定性下降、查詢效率降低，嚴重的可導(dǎo)致系統(tǒng)崩潰、頁面被篡改、降低站點的可信度。

2．3．3網(wǎng)絡(luò)服務(wù)的潛在安全隱患

一切網(wǎng)絡(luò)功能的實現(xiàn)，都基于相應(yīng)的網(wǎng)絡(luò)服務(wù)才能實現(xiàn)，如IIS服務(wù)、FTP服務(wù)、E-Mail服務(wù)等。但這些有著強大功能的服務(wù)，在一些有針對性的攻擊面前，也顯得十分脆弱。以下列舉幾種常見的攻擊手段。

(1)分布式拒絕服務(wù)攻擊

攻擊者向系統(tǒng)或網(wǎng)絡(luò)發(fā)送大量信息，使系統(tǒng)或網(wǎng)絡(luò)不能響應(yīng)。對任何連接到Intemet上并提供基于TCP的網(wǎng)絡(luò)服務(wù)(如Web服務(wù)器、FrP服務(wù)器或郵件服務(wù)器)的系統(tǒng)都有可能成為被攻擊的目標。大多數(shù)情況下，遭受攻擊的服務(wù)很難接收進新的連接，系統(tǒng)可能會因此而耗盡內(nèi)存、死機或產(chǎn)生其他問題。

(2)口令攻擊

基于網(wǎng)絡(luò)的辦公過程中不免會有利用共享、FTP或網(wǎng)頁形式來傳送一些敏感文件，這些形式都可以通過設(shè)置密碼的方式來提高文件的安全性，但多數(shù)八會使用一些諸如123、work、happy等基本數(shù)字或單詞作為密碼，或是用自己的生日、姓名作為口令，由于人們主觀方面的原因，使得這些密碼形同虛設(shè)，攻擊者可通過詞典、組合或暴力破解等手段得到用戶密碼，從而達到訪問敏感信息的目的。

(3)路由攻擊

攻擊者可通過攻擊路由器，更改路由設(shè)置，使得路由器不能正常轉(zhuǎn)發(fā)用戶請求，從而使得用戶無法訪問外網(wǎng)?；蛳蚵酚善靼l(fā)送一些經(jīng)過精心修改的數(shù)據(jù)包使得路由器停止響應(yīng)，斷開網(wǎng)絡(luò)連接。

三、消防信息化建設(shè)中解決網(wǎng)絡(luò)安全問題的對策

3．1規(guī)范管理流程

網(wǎng)絡(luò)安全工作是信息化工作中的一個方面，信息化工作與規(guī)范化工作的根本目的一樣，就是要提高工作效率，只不過改變了規(guī)范化的手段。因此，在實行信息化的過程中，管理有著比技術(shù)更重要的作用，只有優(yōu)化管理過程、強化管理基礎(chǔ)、細化管理流程、簡化管理冗余環(huán)節(jié)、提高管理效率，才能在達到信息化目的的同時，完善網(wǎng)絡(luò)安全建設(shè)。

3．2構(gòu)建管理支持層

信息化是一項系統(tǒng)性工程，其實施自始至終需要單位最高層領(lǐng)導(dǎo)的重視和支持，包括對工作流程再造的支持、對協(xié)調(diào)各部門統(tǒng)一開展工作的支持、對軟件普及和培訓(xùn)的支持。在實際工作中，應(yīng)當(dāng)建一個“信息化建設(shè)領(lǐng)導(dǎo)小組”，由各部門部長擔(dān)任成員，下設(shè)具體辦事部門，具體負責(zé)網(wǎng)絡(luò)建設(shè)和信息安全工作，這是一種較理想的做法。但要真正發(fā)揮其作用，促使信息工作的順利開展，不僅需要領(lǐng)導(dǎo)的重視，更重要的是需要負責(zé)人有能力充分協(xié)調(diào)與溝通各業(yè)務(wù)部門開展工作，更要與其他部門負責(zé)人有良好的協(xié)調(diào)配合關(guān)系。

3．3制定網(wǎng)絡(luò)安全管理制度

加強計算機網(wǎng)絡(luò)安全管理的法規(guī)建設(shè)，建立、健全各項管理制度是確保計算機網(wǎng)絡(luò)安全必不可少的措施。如制定人員管理制度，加強人員審查；組織管理上，避免單獨作業(yè)，操作與設(shè)計分離等。

3．4采取有效的安全技術(shù)措施

就當(dāng)前消防信息化建設(shè)的程度來看，網(wǎng)絡(luò)的應(yīng)用主要體現(xiàn)在局域網(wǎng)服務(wù)、Web服務(wù)和數(shù)據(jù)庫服務(wù)上。應(yīng)當(dāng)避免與Internet連接直接接入，而是配置一臺安全的服務(wù)器，整個局域網(wǎng)通過這個上網(wǎng)，這樣上網(wǎng)的終端在Internet上是沒有真實IP的，能避免大多數(shù)的常規(guī)攻擊。對基于Web服務(wù)的網(wǎng)上辦公、電子政務(wù)，應(yīng)當(dāng)安裝經(jīng)公安部安全認證的網(wǎng)絡(luò)防火墻，由專人負責(zé)，盡量少開無用的服務(wù)，對系統(tǒng)用戶的數(shù)量和權(quán)限做嚴格限制，并可采用授權(quán)證書訪問或IP限制訪問，增強站點的安全性。在數(shù)據(jù)庫方面，現(xiàn)消防部門主要應(yīng)用Microsoft的Access，此數(shù)據(jù)庫的網(wǎng)絡(luò)功能主要基于ASP、PHP等動態(tài)網(wǎng)頁平臺來實現(xiàn)，通過SQL查詢語句與頁面進行交互，在保證系統(tǒng)不被侵入、數(shù)據(jù)庫不能被直接下載的前提下，數(shù)據(jù)安全主要由頁面查詢語句的嚴密性來保證。除Access之外，應(yīng)用較多的是Microsoft的SQLServer和Oracle，這兩套數(shù)據(jù)庫系統(tǒng)的網(wǎng)絡(luò)功能很強大，其安全性首先需要一個專業(yè)的數(shù)據(jù)庫操作員，對數(shù)據(jù)庫進行正確的配置、限制數(shù)據(jù)庫用戶的數(shù)量、根據(jù)用戶的職責(zé)范圍設(shè)定權(quán)限、對敏感數(shù)據(jù)進行加密、定時備份數(shù)據(jù)庫，保證數(shù)據(jù)的連續(xù)性和完整性。

篇2

關(guān)鍵詞：高校；無線；網(wǎng)絡(luò)；設(shè)計；安全

中圖分類號：TP393.08 文獻標識碼：A文章編號：1007-9599 (2011) 13-0000-01

Wireless Network Design and Security Issues of China's Colleges and Universities

Chen Yiguo

(Zhejiang International Studies University,College of Information,Hangzhou310012,China)

Abstract:With information technology replacing the industrial,electronic and information technology has been extremely significant development,the traditional network cabling technology also entered into a continually wireless network to replace the development of the situation in which this paper to present our university wireless network design practice based on the application made to the university wireless LAN network design advantages of information and why, noting that China's colleges and universities wireless network security problems.

Keywords:Colleges and Universities;Wireless;Network;Design;

Security

一、我國高校無線網(wǎng)絡(luò)設(shè)計中的組成要素

（一）無線網(wǎng)卡。在高校網(wǎng)絡(luò)的設(shè)計當(dāng)中，網(wǎng)絡(luò)的布線控制是技術(shù)中最為復(fù)雜的一點，也正是為了解決這一問題，無線網(wǎng)卡應(yīng)運而生，它是一種通過將操作系統(tǒng)與無線產(chǎn)品的接口來創(chuàng)建一個網(wǎng)絡(luò)連接，主要用于短距離無線網(wǎng)絡(luò)設(shè)備之間的通訊，我們將它以網(wǎng)絡(luò)接口的不同類型來劃分，主要可分為三類，如表1所示：

無線網(wǎng)卡 應(yīng)用范圍

PCMCIA卡 直接應(yīng)用于終端設(shè)備

PCI+PCMCIA卡 主要應(yīng)用于臺式機器

USB適配器 以上兩種類型皆可使用

表1：無線網(wǎng)卡分類及其應(yīng)用范圍

（二）無線AP。在無線網(wǎng)絡(luò)的設(shè)計中，這是一項主要應(yīng)用于無線交換機當(dāng)中的核心技術(shù)，它借助于路由器的功能，能夠?qū)崿F(xiàn)我國高校無線網(wǎng)絡(luò)中的internet共享，在使用中如果周圍的環(huán)境中仍存在著其他的無線網(wǎng)絡(luò)，應(yīng)注意避免使用同樣的頻率段，防止沖突的發(fā)生。在進行連接時，應(yīng)首先確保SSID號的設(shè)置保持與無線AP的一致性，保證能夠順利實現(xiàn)網(wǎng)絡(luò)的接入，無線AP的效用半徑通常取決于設(shè)備天線的置放方向與及增益情況。

（三）無線路由器。無線路由器，作為目前高校無線網(wǎng)絡(luò)中的一個重要設(shè)備，主要是擔(dān)當(dāng)著兩個或兩個以上的局域網(wǎng)之間的數(shù)據(jù)傳輸?shù)慕橘|(zhì)角色，能夠完成網(wǎng)絡(luò)傳輸中的網(wǎng)絡(luò)層中繼或第三層中繼任務(wù)。

二、安全防范措施的設(shè)計

為了解決不斷增長的無線上網(wǎng)需求與及電腦數(shù)量極其有線的矛盾，更好的將校園網(wǎng)絡(luò)服務(wù)于全校師生，在經(jīng)過了多方面全方位的分析之后，我們采用WLAN作為網(wǎng)絡(luò)接入點對當(dāng)前的網(wǎng)絡(luò)進行重新改造，以SWL-900AP+為無線局域網(wǎng)橋連接器為主要接入設(shè)備，其中我們已經(jīng)內(nèi)置了TCP/IP的功能，這是一項可實現(xiàn)自動為使用用戶自動分配IP地址的，可實現(xiàn)在網(wǎng)絡(luò)覆蓋范圍內(nèi)依據(jù)穩(wěn)定的數(shù)據(jù)傳輸為用戶提供更高的安全級別的網(wǎng)絡(luò)。通常，由于實現(xiàn)無線通信的手段各式各樣，無線上網(wǎng)技術(shù)也主要是以GPRS技術(shù)與3G網(wǎng)絡(luò)為典型代表，直至目前為止，較廣泛普及的是802.11b的無線網(wǎng)絡(luò)標準，網(wǎng)絡(luò)吞吐速率為54Mbps，同時，隨著科技的發(fā)展也有了較快的提升。

在進行高校無線網(wǎng)絡(luò)的設(shè)計時，不僅要考慮到WEP數(shù)據(jù)協(xié)議的加密問題以外，還應(yīng)做好的工作有：（1）MAC地址的綁定，對非法用戶的訪問進行限制；（2）控制端口的訪問，進行AP隔離；（3）創(chuàng)建一個臨時用戶群組，限制費制定用戶的訪問，圖示1為高校網(wǎng)絡(luò)設(shè)計方案。

圖示1：高校網(wǎng)絡(luò)設(shè)計方案

四、我國高校無線網(wǎng)絡(luò)的設(shè)計完善措施

（一）要明確構(gòu)建目標。在進行高校無線網(wǎng)絡(luò)的設(shè)計時。明確構(gòu)建的目標也就是要明確為什么要構(gòu)建無線校園網(wǎng)絡(luò)：

1.首先是由于傳統(tǒng)有線網(wǎng)絡(luò)布線工程量大，施工難度大、耗費時間較長等種種原因，使得無線網(wǎng)絡(luò)的運用已不僅僅只是為了引進新技術(shù)的問題，而是從節(jié)約控制成本與及工程量的有效措施。2.其次是由于高校無線網(wǎng)絡(luò)可實現(xiàn)教學(xué)的極大便捷性，促使教學(xué)資源的共享與整合利用，改變傳統(tǒng)教學(xué)中的理念方法，分享更多的教學(xué)資源。3.另外，傳統(tǒng)網(wǎng)絡(luò)節(jié)點明顯不足，無法滿足高校眾多師生的用網(wǎng)需求，炙手可熱的網(wǎng)絡(luò)接口成為目前的較大局限，有些學(xué)生自己購買了路由設(shè)備進行網(wǎng)絡(luò)連接，錯綜復(fù)雜的網(wǎng)線布置加強了公寓管理的難度，進行無線網(wǎng)絡(luò)的構(gòu)建也是為了能夠更好的解決這一問題。

（二）要結(jié)合有線網(wǎng)絡(luò)進行方案的設(shè)計二十世紀開始。我國各高校均已陸續(xù)進行了有線局域網(wǎng)的架設(shè)工作，校園內(nèi)的網(wǎng)絡(luò)擴建進一步完善了我國高校的網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)。已形成了相當(dāng)?shù)母窬?。而運用無線網(wǎng)絡(luò)能夠提供的服務(wù)類型多樣，如WEB網(wǎng)絡(luò)服務(wù)，F(xiàn)TP文件傳輸協(xié)議服務(wù)，Email郵件服務(wù)與及撥號服務(wù)服務(wù)等等。

五、小結(jié)

綜上所述，我國高校引用無線網(wǎng)絡(luò)來解決校園網(wǎng)絡(luò)中存在的一系列弊端，是現(xiàn)代化校園的一個明顯的特征，在高校的無線網(wǎng)絡(luò)建設(shè)中，仍然存在著必然存在的安全問題，嚴重阻礙了我國高校網(wǎng)絡(luò)的無線化進程。合理的進行方案設(shè)計，不僅能夠大大的加快我國科學(xué)教育與及信息化教育的進程速度，有效的控制非法用戶的入侵，同時，也為我國高校的建設(shè)水平提高創(chuàng)建了前提條件，有著十分積極的意義。

參考文獻：

[1]應(yīng)海盛.無線局域網(wǎng)的安全隱患與對策思考[J].浙江海洋學(xué)院學(xué)報(自然科學(xué)版),2008,1

篇3

關(guān)鍵詞：電子政務(wù)，信息安全，網(wǎng)絡(luò)安全，安全模型，信息安全體系結(jié)構(gòu)

 

一、電子政務(wù)安全體系概述 網(wǎng)絡(luò)安全遵循“木桶原理”，即一個木桶的容積決定于它最短的一塊木板，一個系統(tǒng)的安全強度等于它最薄弱環(huán)節(jié)的安全強度。因此，電子政務(wù)必須建立在一個完整的多層次的安全體系之上，任何環(huán)節(jié)的薄弱都將導(dǎo)致整個安全體系的崩潰。 同時，由于電子政務(wù)的特殊性，也要求電子政務(wù)安全環(huán)境中重要的加密/密鑰交換算法等安全核心技術(shù)必須采用具有自主知識產(chǎn)權(quán)或原碼開放的產(chǎn)品。

一個完整的電子政務(wù)安全體系可由四部分構(gòu)成，即：基礎(chǔ)安全設(shè)施、安全技術(shù)平臺、容災(zāi)與恢復(fù)系統(tǒng)和安全管理，如圖：

基礎(chǔ)安全設(shè)施是一個為整個安全體系提供安全服務(wù)的基礎(chǔ)性平臺，為應(yīng)用系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)提供包括數(shù)據(jù)完整性、真實性、可用性、不可抵賴性、機密性在內(nèi)的安全服務(wù)。有了這一基礎(chǔ)設(shè)施，整個電子政務(wù)的安全策略便有了實現(xiàn)的保證。這一平臺的實現(xiàn)主要包括CA/PKI。

網(wǎng)絡(luò)系統(tǒng)安全是一個組合現(xiàn)有安全產(chǎn)品和技術(shù)實現(xiàn)網(wǎng)絡(luò)安全策略的平臺。網(wǎng)絡(luò)系統(tǒng)安全的優(yōu)劣取決與安全策略的合理性，電子政務(wù)的網(wǎng)絡(luò)安全策略是：劃分網(wǎng)絡(luò)安全域建立多層次的動態(tài)防御體系。

電子政務(wù)系統(tǒng)用戶類型復(fù)雜，劃分網(wǎng)絡(luò)安全域?qū)⒕哂邢嗨茩?quán)限的用戶劃分成獨立的管理域，管理域之間通過物理隔離與認證/加密技術(shù)實現(xiàn)有限可控的互連互通，有利于降低整個系統(tǒng)訪問權(quán)限控制的復(fù)雜性，降低系統(tǒng)性風(fēng)險。

基于多層次的防御體系在各個層次上部署相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品以增加攻擊都侵入時所需花費的時間、成本和資源，從而有效地降低被攻擊的危險，達到安全防護的目標。如訪問控制可部署在網(wǎng)絡(luò)層的接入路由器/VLAN交換機和應(yīng)用層的身份認證系統(tǒng)兩層之上。

網(wǎng)絡(luò)信息安全具有動態(tài)性的特點：網(wǎng)絡(luò)和應(yīng)用程序的未知漏洞具有動態(tài)產(chǎn)生的特點；電子政務(wù)的應(yīng)用也會動態(tài)變化、網(wǎng)絡(luò)升級優(yōu)化將導(dǎo)致系統(tǒng)配置動態(tài)更新。這些都要求我們的防御系統(tǒng)必須具有動態(tài)適應(yīng)能力，包括建立入侵監(jiān)測（IDS）系統(tǒng)，漏洞掃描系統(tǒng)和安全配置審計系統(tǒng)，并將它們與防火墻等設(shè)備結(jié)合成連動系統(tǒng)，以適應(yīng)網(wǎng)絡(luò)環(huán)境的變化。

災(zāi)難恢復(fù)系統(tǒng)在發(fā)生重大自然及人為災(zāi)難時能迅速恢復(fù)數(shù)據(jù)資料，保證系統(tǒng)的正常運行并保護了政務(wù)歷史資料。電子政務(wù)的容災(zāi)與恢復(fù)系統(tǒng)應(yīng)該采用磁帶靜態(tài)備份與磁盤同步備份相結(jié)合的方式。磁帶靜態(tài)方式用于離線保存歷史記錄，保證了歷史信息的完整，而磁盤同步方式則用于災(zāi)難數(shù)據(jù)恢復(fù)，保護了當(dāng)前系統(tǒng)的所有數(shù)據(jù)。

安全管理也是電子政務(wù)安全體系的重要組成部分。網(wǎng)絡(luò)安全的核心實際上是管理，安全技術(shù)實際上只是實現(xiàn)管理的一種手段，再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用。需要制定的制度包括：日常系統(tǒng)操作及維護制度、審計制度、文檔管理制度、應(yīng)急響應(yīng)制度等。

二、電子政務(wù)安全體系的設(shè)計電子政務(wù)系統(tǒng)是一個復(fù)雜的多層次應(yīng)用系統(tǒng)，根據(jù)不同的應(yīng)用環(huán)境和安全要求一般可分為三個不同的網(wǎng)段：內(nèi)網(wǎng)、專網(wǎng)、外網(wǎng)。免費論文。

內(nèi)網(wǎng)包括內(nèi)網(wǎng)的數(shù)據(jù)層、內(nèi)網(wǎng)的業(yè)務(wù)層；內(nèi)網(wǎng)數(shù)據(jù)層是政府信息的集中存儲與處理的域，該域必須具有極其嚴格的安全控制策略，信息必須通過中間處理才能獲得。內(nèi)網(wǎng)的業(yè)務(wù)層是政府內(nèi)部的電子辦公環(huán)境，該區(qū)域內(nèi)的信息只能在內(nèi)部流動。

專網(wǎng)連接政府不同的部門和不同部門的上下級部門。它把部分需要各部門交換的信息進行交換。該區(qū)域負責(zé)將信息從一個內(nèi)網(wǎng)傳送到另一個內(nèi)網(wǎng)區(qū)域，它不與外網(wǎng)域有任何信息交換。免費論文。

外網(wǎng)是政府部門的公共信息的場所，它實現(xiàn)政府與公眾的互操作。該 域應(yīng)與內(nèi)網(wǎng)和專網(wǎng)隔離。

不同的網(wǎng)絡(luò)連接示意圖如下：

根據(jù)不同網(wǎng)絡(luò)的不同安全需求，設(shè)計了如下一個電子政務(wù)的安全模型：

三、電子政務(wù)安全體系的部署

電子政務(wù)安全體系的部署應(yīng)遵循確定安全需求、安全狀態(tài)評估、安全策略制定（含管理制度）、安全方案設(shè)計、安全方案實施、安全制度培訓(xùn)的順序進行。免費論文。前期的確定安全需求和安全狀態(tài)評估是整個安全體系部署中最重要的兩個步驟，它們是后續(xù)制定安全策略和方案設(shè)計的依據(jù)，決定了整個安全體系的可靠性。

全面的安全需求調(diào)查包括兩個方面：系統(tǒng)安全的功能需求和安全置信度需求。系統(tǒng)安全的功能需求包括安全審計需求、安全連接需求、身份認證、信息機密需求、數(shù)據(jù)保護需求以及安全管理需求。安全置信度需求包括安全保護輪廓評估（PP）、安全目標（ST）評估、系統(tǒng)配置維護管理、用戶手冊規(guī)范、產(chǎn)品生命周期支持以及測試等內(nèi)容。

安全狀態(tài)評估通常采用五種方式來了解安全漏洞：1) 對現(xiàn)有安全策略和制度進行分析；2) 參照一些通用的安全基線來考察系統(tǒng)安全狀態(tài)；3) 利用安全掃描工具來發(fā)現(xiàn)一些技術(shù)性的常見漏洞；4) 允許一些有經(jīng)驗的人在監(jiān)管之下對特定的機密信息和區(qū)域做模擬入侵系統(tǒng)，以確定特定區(qū)域和信息的安全等級；5) 對該系統(tǒng)的安全管理人員和使用者進行訪談，以確定安全管理制度的執(zhí)行情況和漏洞。

同時應(yīng)注意的是，安全體系的部署并非一勞永逸的事情，隨著系統(tǒng)安全狀態(tài)的動態(tài)變化，應(yīng)定期對系統(tǒng)進行安全評估和審計，搜尋潛在的安全漏洞并修正錯誤安全配置。

總之，電子政務(wù)的安全系統(tǒng)是個容復(fù)雜組織和先進IT技術(shù)于一體的復(fù)合體，必須從管理和技術(shù)兩方面來加強安全性，以動態(tài)的眼光來管理安全，在嚴謹?shù)陌踩枨蠓治龊桶踩u估的基礎(chǔ)上運用合理的安全技術(shù)來實現(xiàn)電子政務(wù)的整體安全。

·參考文獻：

1． 電子政務(wù)總體設(shè)計與技術(shù)實現(xiàn) 《北京:電子工業(yè)出版社》 國家信息安全工程技術(shù)研究中心 2003

2．《國家信息化領(lǐng)導(dǎo)小組關(guān)于推進國家電子政務(wù)網(wǎng)絡(luò)建設(shè)的意見》國信辦 2006

3．電子政務(wù)安全解決方案要解決的主要問題 《信息安全與通信保密》 譚興烈 2004

4．電子政務(wù)安全體系 《信息安全與通信保密》 鄔賀銓 2003

篇4

關(guān)鍵詞:入侵誘騙技術(shù);Honeypot;網(wǎng)絡(luò)安全

中圖分類號:TN915.08 文獻標識碼:A文章編號:1007-9599 (2010) 04-0000-02

Application of Intrusion&Deceit Technique in Network Security

Chen Yongxiang Li Junya

(Jiyuan Vocational&Technical College,Jiyuan454650,Chian)

Abstract:At present,Intrusion Deception technology is the development of network security in recent years, an important branch, the paper generated from the intrusion deception techniques to start a brief description of its development, while popular Honeypot conducted in-depth research, mainly related to the classification of Honeypot, Honeypot advantages and disadvantages, Honeypot design principles and methods, the final will be a simple Honeypot application to specific network.

Key words:Intrusion and deceit technology;Honeypot;Network Security

近年來計算機網(wǎng)絡(luò)發(fā)展異常迅猛,各行各業(yè)對網(wǎng)絡(luò)的依賴已越發(fā)嚴重。這一方面提高了信息的高速流動,但另一方面卻帶來了極大的隱患。由于網(wǎng)絡(luò)的開放性、計算機系統(tǒng)設(shè)計的非安全性導(dǎo)致網(wǎng)絡(luò)受到大量的攻擊。如何提高網(wǎng)絡(luò)的自我防護能力是目前研究的一個熱點。論文通過引入入侵誘騙技術(shù),設(shè)計了一個高效的網(wǎng)絡(luò)防護系統(tǒng)。

一、入侵誘騙技術(shù)簡介

通過多年的研究表明,網(wǎng)絡(luò)安全存在的最大問題就是目前采用的被動防護方式,該方式只能被動的應(yīng)對攻擊,缺乏主動防護的功能。為應(yīng)對這一問題,就提出了入侵誘騙技術(shù)。該技術(shù)是對被動防護的擴展,通過積極的進行入侵檢測,并實時的將可疑目標引向自身,導(dǎo)致攻擊失效,從而有效的保護目標。

上個世紀80年代末期由stoll首先提出該思想,到上世紀90年代初期由Bill Cheswish進一步豐富了該思想。他通過在空閑的端口上設(shè)置一些用于吸引入侵者的偽造服務(wù)來獲取入侵者的信息,從而研究入侵者的規(guī)律。到1996年Fred Cohen 提出將防火墻技術(shù)應(yīng)用于入侵誘騙技術(shù)中,實現(xiàn)消除入侵資源。為進一步吸引入侵目標,在研究中提出了引誘其攻擊自身的特殊目標“Honeypot”。研究者通過對Honeypot中目標的觀察,可清晰的了解入侵的方法以及自身系統(tǒng)的漏洞,從而提升系統(tǒng)的安全防護水平。

二、Honeypot的研究

在這個入侵誘騙技術(shù)中,Honeypot的設(shè)計是關(guān)鍵。按交互級別,可對Honeypot進行分類:低交互度Honeypot、中交互度Honeypot和高交互度Honeypot。低交互度Honeypot由于簡單的設(shè)計和基本的功能,低交互度的honeypot通常是最容易安裝、部署和維護的。在該系統(tǒng)中,由于沒有真正的操作系統(tǒng)可供攻擊者遠程登錄,操作系統(tǒng)所帶來的復(fù)雜性被削弱了,所以它所帶來的風(fēng)險是最小的。但也讓我們無法觀察一個攻擊者與系統(tǒng)交互信息的整個過程。它主要用于檢測。通過中交互度Honeypot可以獲得更多有用的信息,同時能做出響應(yīng),是仍然沒有為攻擊者提供一個可使用的操作系統(tǒng)。部署和維護中交互度的Honeypot是一個更為復(fù)雜的過程。高交互度Honeypot的主要特點是提供了一個真實的操作系統(tǒng)。該系統(tǒng)能夠收集更多的信息、吸引更多的入侵行為。

當(dāng)然Honeypot也存在著一些缺點:需要較多的時間和精力投入。Honeypot技術(shù)只能對針對其攻擊行為進行監(jiān)視和分析,其視野較為有限,不像入俊檢側(cè)系統(tǒng)能夠通過旁路偵聽等技術(shù)對整個網(wǎng)絡(luò)進行監(jiān)控。Honeypot技術(shù)不能直接防護有漏洞的信息系統(tǒng)。部署Honeypot會帶來一定的安全風(fēng)險。

構(gòu)建一個有用的Honeypot是一個十分復(fù)雜的過程,主要涉及到Honeypot的偽裝、采集信息、風(fēng)險控制、數(shù)據(jù)分析。其中,Honeypot的偽裝就是將一個Honeypot通過一定的措施構(gòu)造成一個十分逼真的環(huán)境,以吸引入侵者。但Honeypot偽裝的難度是既不能暴露太多的信息又不能讓入侵者產(chǎn)生懷疑。最初采用的是偽造服務(wù),目前主要采用通過修改的真實系統(tǒng)來充當(dāng)。Honeypot的主要功能之一就是獲取入侵者的信息,通常是采用網(wǎng)絡(luò)sniffer或IDS來記錄網(wǎng)絡(luò)包從而達到記錄信息的目的。雖然Honeypot可以獲取入侵者的信息,并能有效的防護目標,但Honeypot也給系統(tǒng)帶來了隱患,如何控制這些潛在的風(fēng)險十分關(guān)鍵。Honeypot的最后一個過程就是對采用數(shù)據(jù)的分析。通過分析就能獲得需要的相關(guān)入侵者規(guī)律的信息。

對于設(shè)計Honeypot,主要有三個步驟:首先,必須確定自己Honeypot的目標。因為Honeypot并不能完全代替?zhèn)鹘y(tǒng)的網(wǎng)絡(luò)安全機制,它只是網(wǎng)絡(luò)安全的補充,所以必須根據(jù)自己的目標定位Honeypot。通常Honeypot可定位于阻止入侵、檢測入侵等多個方面。其次,必須確定自己Honeypot的設(shè)計原則。在這里不僅要確定Honeypot的級別還有確定平臺的選擇。目前,對用于研究目的的Honeypot一般采用高交互Honeypot,其目的就是能夠更加廣泛的收集入侵者的信息,獲取需要的資料。在平臺的選擇上,目前我們選擇的范圍很有限,一般采用Linux系統(tǒng)。其原因主要是Linux的開源、廣泛應(yīng)用和卓越的性能。最后,就是對選定環(huán)境的安裝和配置。

三、Honeypot在網(wǎng)絡(luò)中的應(yīng)用

為更清晰的研究Honeypot,將Honeypot應(yīng)用于具體的網(wǎng)絡(luò)中。在我們的研究中,選擇了一個小規(guī)模的網(wǎng)絡(luò)來實現(xiàn)。當(dāng)設(shè)計完整個網(wǎng)絡(luò)結(jié)構(gòu)后,我們在網(wǎng)絡(luò)出口部分配置了設(shè)計的Honeypot。在硬件方面增加了安裝了snort的入侵檢測系統(tǒng)、安裝了Sebek的數(shù)據(jù)捕獲端。并且都構(gòu)建在Vmware上實現(xiàn)虛擬Honeypot。在實現(xiàn)中,主要安裝并配置了Honeyd、snort和sebek.其Honeypot的結(jié)構(gòu)圖,見圖1。

圖1 Honeypot結(jié)構(gòu)圖

四、小結(jié)

論文從入侵誘騙技術(shù)入手系統(tǒng)的分析了該技術(shù)的發(fā)展歷程,然后對入侵誘騙技術(shù)中的Honeypot進行了深入的研究,主要涉及到Honeypot的分類、設(shè)計原則、設(shè)計方法,最后,將一個簡易的Honeypot應(yīng)用于具體的網(wǎng)絡(luò)環(huán)境中,并通過嚴格的測試,表明該系統(tǒng)是有效的。

參考文獻

[1]蔡芝蔚.基于Honeypot的入侵誘騙系統(tǒng)研究[M].網(wǎng)絡(luò)通訊與安全,1244～1245

[2]楊奕.基于入侵誘騙技術(shù)的網(wǎng)絡(luò)安全研究與實現(xiàn).[J].計算機應(yīng)用學(xué)報,2004.3:230～232.

[3]周光宇,王果平.基于入侵誘騙技術(shù)的網(wǎng)絡(luò)安全系統(tǒng)的研究[J].微計算機信息,2007.9

[4]夏磊,蔣建中,高志昊.入侵誘騙、入侵檢測、入侵響應(yīng)三位一體的網(wǎng)絡(luò)安全新機制

[5]Bill Cheswick. An Evening with Berferd In Which a Cracker is Lured,Endured,and Studied.Proceedings of the Winter 1992 Usenix conference,1992

[6]Fred Cohen.A Mathematical Structureof Simple Defensive Network Deceptions[J],Computers and Security,2000.19

篇5

關(guān)鍵詞： 江蘇電大張家港學(xué)院 網(wǎng)絡(luò)改造 案例分析

江蘇電大張家港學(xué)院是省電大直屬二級學(xué)院，地處蘇州市張家港市，教學(xué)規(guī)模涵蓋五年全日制、三年全日制、業(yè)余成人開放及遠程教育、社區(qū)教育。2008年9月在市政府大力支持下，并購一所學(xué)校作為我校的北校區(qū)，逐步形成一校兩區(qū)，全日制、業(yè)余、社區(qū)三個教育主體均衡發(fā)展的基本模式。

江蘇電大張家港學(xué)院本部設(shè)立在北校區(qū)，主要負責(zé)全日制非畢業(yè)班的教學(xué)工作，地處合興鎮(zhèn)鎮(zhèn)中，南校區(qū)主要負責(zé)全日制畢業(yè)班、成人業(yè)余和社區(qū)教育的教學(xué)，地處張家港市市委所在地楊舍鎮(zhèn)，地理條件優(yōu)越，適合成人教育。

學(xué)院及其網(wǎng)絡(luò)的現(xiàn)狀如下表所述。

一、現(xiàn)有網(wǎng)絡(luò)運行的限制因素

需要面對承載更多業(yè)務(wù)的迫切需求，如視頻會議、IP電話、學(xué)院網(wǎng)一卡通、VoIP等對網(wǎng)絡(luò)有較高要求或指定要求的應(yīng)用的部署，不同的業(yè)務(wù)需要網(wǎng)絡(luò)部署不同的應(yīng)用功能，PtoP等應(yīng)用程序往往需要更改網(wǎng)絡(luò)流量模型、更改會話鏈接模型的情況，凡此種種的需求均給網(wǎng)絡(luò)帶來不穩(wěn)定的因素。

網(wǎng)絡(luò)的安全性和穩(wěn)定性還需要不斷地提高標準，因為攻擊事件主要是病毒感染、黑客入侵、蠕蟲和木馬、垃圾郵件侵擾、拒絕服務(wù)攻擊等，其引起的安全事故時有發(fā)生。攻擊的來源有外部也有內(nèi)部，并且隨著時間的推移，由內(nèi)部因素引發(fā)的安全事故數(shù)量正不斷增多，尤其是由青年學(xué)生集中的高校特別突出，而布置的殺毒軟件、IDS等防護手段難以全面兼顧，局部的安全事故往往會影響到網(wǎng)絡(luò)的整體安全。

二、改造方案模型設(shè)計

本方案考慮用思科SAFE藍圖使用的體系結(jié)構(gòu)來定義學(xué)院網(wǎng)的模型，該模型使網(wǎng)絡(luò)內(nèi)的功能界線更加清晰，這個模型中存在三個功能區(qū)：學(xué)院園區(qū)、學(xué)院邊界和服務(wù)供應(yīng)商邊界，每個功能區(qū)包括多個網(wǎng)絡(luò)模塊，網(wǎng)絡(luò)模塊又包括多個層面。

模型設(shè)計時參照的幾個要點，可以提高模型設(shè)計的層次：

（1）訪問層使用兩層交換機，分布層和核心層使用三層交換機。

（2）VLAN不應(yīng)該跨園區(qū)網(wǎng)，因為這會降低網(wǎng)絡(luò)收斂的速度。

（3）對于較大的學(xué)院網(wǎng)絡(luò)，需要有單獨的分布層，這樣便于擴大網(wǎng)絡(luò)規(guī)模。

（4）核心層需要冗余鏈路，當(dāng)然也建議在核心層到分布層、分布層到接入層之間設(shè)計冗余鏈路。

綜合需求分析，我們將使用適當(dāng)層次結(jié)構(gòu)的學(xué)院復(fù)合網(wǎng)絡(luò)模型。模型含有學(xué)院園區(qū)、學(xué)院邊界和服務(wù)供應(yīng)商邊界三個功能區(qū)。每個功能區(qū)還可以進一步劃分為多個模塊，如下圖所示。每個模塊包括核心、分布和接入功能。

遠程用戶和南北校區(qū)將在互聯(lián)網(wǎng)上使用VPN進行通信，因此在該模型中沒有提供WAN或中繼/ATM模塊。以下將提供北校區(qū)、南校區(qū)和遠程用戶提供相應(yīng)的冗余設(shè)計模型，然后會對用戶設(shè)備及服務(wù)器進行描述。

三、學(xué)院網(wǎng)的拓撲結(jié)構(gòu)

現(xiàn)教中心子網(wǎng)、圖書館子網(wǎng)、宿舍區(qū)子網(wǎng)和核心交換機之間采用三層路由方式。其他匯聚層交換機與核心交換機之間采用VLAN Trunk方式。

該設(shè)備選型方式完全可以滿足2000臺計算機的高速接入，并可實現(xiàn)對每臺交換機和每個端口的管理和監(jiān)控，實現(xiàn)VLAN劃分、身份認證、組播、服務(wù)質(zhì)量等各種網(wǎng)絡(luò)應(yīng)用，實現(xiàn)數(shù)據(jù)的無堵塞傳輸。

今后如果想要提高網(wǎng)絡(luò)的穩(wěn)定性，可以采用模型設(shè)計中的樣式實現(xiàn)與所有匯聚層交換機的雙鏈路連接，并借助HSRP技術(shù)實現(xiàn)路由冗余。

四、IP地址和VLAN的規(guī)劃

IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計中的重要一環(huán)，計算機網(wǎng)絡(luò)必須對IP地址進行統(tǒng)一規(guī)劃并得到實施。IP地址的規(guī)劃，直接影響路由協(xié)議算法的效率、網(wǎng)絡(luò)的性能、網(wǎng)絡(luò)的擴展、網(wǎng)絡(luò)的管理，也直接影響網(wǎng)絡(luò)應(yīng)用的進一步發(fā)展。

IP地址空間分配，要與網(wǎng)絡(luò)拓撲層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由類聚，減少路由中路由表的長度，減少對路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時遵循以下原則：

（1）唯一性：一個網(wǎng)絡(luò)中不能有兩個主機采用相同的IP地址。

（2）簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴展的復(fù)雜性，簡化路由表項。

（3）連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進行路徑疊合，大大縮短路由表，提高路由算法的效率。

（4）可擴展性：地址分配在每一層上都要留有余地，在網(wǎng)絡(luò)規(guī)模擴展時能保證地址的連續(xù)性。

（5）靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分的利用地址空間。

（6）當(dāng)網(wǎng)絡(luò)以私有地址分配接入時，網(wǎng)絡(luò)應(yīng)采用地址轉(zhuǎn)換功能（NAT），過濾掉私網(wǎng)地址。

下表表述了VLAN和IP地址分配。

五、結(jié)語

張家港學(xué)院網(wǎng)絡(luò)系統(tǒng)改造方案中運用設(shè)計流程規(guī)范，擇取需求分析和方案設(shè)計兩個部分來進行闡述，詳細描寫了分析和設(shè)計階段的工作，運用思科的SFAE概念來規(guī)范網(wǎng)絡(luò)，使得設(shè)計成型的網(wǎng)絡(luò)具備更好的規(guī)范性和擴展性，同時在網(wǎng)絡(luò)中思科配套設(shè)備的廣泛使用，使得整個系統(tǒng)在SAFE概念下高度集成，充分發(fā)揮思科設(shè)備的整體協(xié)調(diào)性。

SAFE藍圖的安全理念主要體現(xiàn)在三點：其一，真正能夠確保網(wǎng)絡(luò)安全的不是一個個單點的產(chǎn)品，而是一個完整的安全體系。這個體系的實施建立在對網(wǎng)絡(luò)的深入的模塊化分析基礎(chǔ)之上，通過弄清網(wǎng)絡(luò)中各個模塊的薄弱環(huán)節(jié)，然后再有針對性地采用深度防御的戰(zhàn)略。其二，模塊化的分析方法可以使網(wǎng)絡(luò)結(jié)構(gòu)和安全部署一目了然，可以避免在網(wǎng)絡(luò)安全方面的重復(fù)建設(shè)和遺漏空白。同時這種模塊化的分析方法還可以保證網(wǎng)絡(luò)的可擴展性。其三，安全性是過程而不是產(chǎn)品。由于網(wǎng)絡(luò)處于一個不斷變化的過程中，因此網(wǎng)絡(luò)安全也是一個動態(tài)的、循環(huán)提升的過程，這就決定網(wǎng)絡(luò)安全策略的制定和實施必將是一個持續(xù)的、動態(tài)的過程，而不是單純地“將防火墻放在這兒，將入侵檢測系統(tǒng)放在那兒”。

參考文獻：

［1］仲煒.高校數(shù)字化校園網(wǎng)絡(luò)系統(tǒng)設(shè)計與規(guī)劃.中國海洋大學(xué)碩士論文，2006.

［2］張海濤.移動自組織網(wǎng)絡(luò)（MANET）路由協(xié)議研究與改進.北京郵電大學(xué)碩士論文，2006.

［3］胡敏.探詢校園網(wǎng)新藥.中國計算機用戶，2009.

［4］疏志年.校園網(wǎng)網(wǎng)絡(luò)安全體系研究.南京理工大學(xué)碩士論文，2010.

篇6

>> 《高級計算機網(wǎng)絡(luò)安全》課程教學(xué)探索 《計算機網(wǎng)絡(luò)安全》課程教學(xué)改革與探索 計算機網(wǎng)絡(luò)安全課程實驗教學(xué)探索 《計算機網(wǎng)絡(luò)安全》課程教學(xué)探索 技工學(xué)?！队嬎銠C網(wǎng)絡(luò)安全》教學(xué)探索 高職計算機網(wǎng)絡(luò)安全課程教學(xué)改革探討 中職《計算機網(wǎng)絡(luò)安全》課程教學(xué)策略探討 淺析大學(xué)計算機網(wǎng)絡(luò)安全課程教學(xué)改革 計算機網(wǎng)絡(luò)安全課程實驗教學(xué)研究與實踐 高職院校計算機網(wǎng)絡(luò)安全課程教學(xué)研究 中職《計算機網(wǎng)絡(luò)安全》課程教學(xué)探析 計算機網(wǎng)絡(luò)實驗課程教學(xué)探索 淺析計算機網(wǎng)絡(luò)安全管理 淺析計算機網(wǎng)絡(luò)安全 淺談計算機網(wǎng)絡(luò)安全技術(shù) 淺談計算機網(wǎng)絡(luò)安全 關(guān)于計算機網(wǎng)絡(luò)安全淺析 計算機網(wǎng)絡(luò)安全探討 計算機網(wǎng)絡(luò)安全與防范 計算機網(wǎng)絡(luò)安全風(fēng)險 常見問題解答 當(dāng)前所在位置：為掃描結(jié)果索引文件。

這個實驗告訴學(xué)生，某些別有用心的黑客可以利用軟件的安全漏洞，非正常的使用軟件，讓軟件執(zhí)行一些自己精心設(shè)計的惡意代碼，或解析畸形文件，當(dāng)軟件中存在安全漏洞的時候，程序的正常執(zhí)行流程被改變，從而達到獲取系統(tǒng)的控制權(quán)或竊取機密數(shù)據(jù)的目的。

5.監(jiān)聽工具——Win Sniffer和pswmonitor

Win Sniffer專門用來截取局域網(wǎng)內(nèi)的密碼，比如登錄FTP，登錄E-mail等的密碼。監(jiān)聽器pswmonitor用于監(jiān)聽基于Web的郵箱密碼、POP3收信密碼和FTP登錄密碼等，只需在一臺電腦上運行，就可以監(jiān)聽局域網(wǎng)內(nèi)任意一臺電腦登錄的用戶名和密碼，并將密碼顯示、保存，或發(fā)送到用戶指定的郵箱。

這個實驗告訴學(xué)生，網(wǎng)絡(luò)通訊過程是并不安全的，在開放式的Internet環(huán)境中，我們的數(shù)據(jù)通信隨時有可能被別人監(jiān)聽，這就要求我們在數(shù)據(jù)通信的過程中采用良好的加密機制來保證我們的數(shù)據(jù)安全。

當(dāng)然，網(wǎng)絡(luò)安全教學(xué)實踐過程中不僅僅涉及以上提及的幾個實驗，我們還可以完成，諸如利用“winlogon.exe”得到管理原密碼的實驗；使用程序“GetAdmin.exe”為普通用戶建立管理員賬號的實驗；Unicode漏洞的檢測實驗；利用打印漏洞攻擊實驗；SMB致命攻擊實驗；利用RPC漏洞建立超級用戶實驗；利用IIS溢出入侵系統(tǒng)實驗；利用WebDav遠程溢出實驗等等，通過這些實驗，可以使學(xué)生深刻的了解到網(wǎng)絡(luò)安全的威脅所在，通過對這些攻擊手段的了解，從而更好的去應(yīng)對這些潛在的網(wǎng)絡(luò)安全威脅。

總而言之，網(wǎng)絡(luò)安全的課程的教學(xué)首要保證通過“法律”和“道德”兩條準繩來約束、教育我們的學(xué)生，不去使用學(xué)的知識去干違反國家法令法規(guī)的事；然后是組織好實踐環(huán)節(jié)的教學(xué)，通過大量的安全實例讓學(xué)生深刻理解網(wǎng)絡(luò)安全問題。相信這樣，一定可以為社會培養(yǎng)出所需要的高技能人才。

參考文獻

[l] 石勇、盧浩、黃繼軍.計算機網(wǎng)絡(luò)安全教程.清華大學(xué)出版社，2012-01-01出版.

[2] 姚永雷.計算機網(wǎng)絡(luò)安全（第二版）（軟件工程專業(yè)核心課程系列教材）.清華大學(xué)出版社，2011-12-01出版.

篇7

論文摘要 計算機和通訊網(wǎng)絡(luò)的普及和發(fā)展從根本上改變了人類的生活方式與工作效率。網(wǎng)絡(luò)已經(jīng)成為農(nóng)業(yè)、工業(yè)、第三產(chǎn)業(yè)和國防工業(yè)的重要信息交換媒介，并且滲透到社會生活的各個角落。政府、企業(yè)、團體、個人的生活都發(fā)生了巨大改變。網(wǎng)絡(luò)的快速發(fā)展都得益于互聯(lián)網(wǎng)自身的獨特優(yōu)勢：開放性和匿名性。然而也正是這些特征，同時還決定了網(wǎng)絡(luò)存在著不可避免的信息安全隱患。本文主要通過介紹目前在計算機網(wǎng)絡(luò)中存在的主要安全威脅并提出構(gòu)建網(wǎng)絡(luò)安全的防護體系，從而對網(wǎng)絡(luò)安全的防護策略進行探討。

0 引言

網(wǎng)絡(luò)給我們提供極大的方便的同時也帶來了諸多的網(wǎng)絡(luò)安全威脅問題，這些問題一直在困擾著我們，諸如網(wǎng)絡(luò)數(shù)據(jù)竊密、病毒攻擊、黑客侵襲、木馬掛馬、陷門等。為 了有效防止網(wǎng)絡(luò)安全問題的侵害，計算機廣泛地推廣使用了各種復(fù)雜的軟件技術(shù)，如入侵檢測、防火墻技術(shù)、通道控制機制、服務(wù)器，然后盡管如此，計算機信息安全和網(wǎng)絡(luò)安全問題還是頻發(fā)。網(wǎng)絡(luò)HACKER活動日益猖獗，他們攻擊網(wǎng)絡(luò)服務(wù)器，竊取網(wǎng)絡(luò)機密，進行非法入侵，對社會安全造成了嚴重的危害。本文就如何確保網(wǎng)絡(luò)信息安全特別是網(wǎng)絡(luò)數(shù)據(jù)安全進行了安全威脅分析并且提出了實現(xiàn)網(wǎng)絡(luò)安全的具體策略。

1 目前網(wǎng)絡(luò)中存在的主要安全威脅種類

1.1 計算機病毒

計算機病毒是編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼，它具有寄生性、傳染性、破壞性、潛伏性和可觸發(fā)性等特點。計算機病毒主要是通過復(fù)制、傳送數(shù)據(jù)包以及運行程序等操作進行傳播，在日常的生活中，閃存盤、移動硬盤、硬盤、光盤和網(wǎng)絡(luò)等都是傳播計算機病毒的主要途經(jīng)。計算機病毒的產(chǎn)生是計算機技術(shù)和以計算機為核心的社會信息化進程發(fā)展到一定階段的必然產(chǎn)物。

1.2 特洛伊木馬

利用計算機程序漏洞侵入后竊取文件的程序程序被稱為木馬。它是一種具有隱藏性的、自發(fā)性的可被用來進行惡意行為的程序，多不會直接對電腦產(chǎn)生危害，而是以控制為主。

1.3 拒絕服務(wù)攻擊

拒絕服務(wù)攻擊即攻擊者想辦法讓目標機器停止提供服務(wù)，是黑客常用的攻擊手段之。其實對網(wǎng)絡(luò)帶寬進行的消耗性攻擊只是拒絕服務(wù)攻擊的一小部分，只要能夠?qū)δ繕嗽斐陕闊?，使某些服?wù)被暫停甚至主機死機，都屬于拒絕服務(wù)攻擊。

1.4 邏輯炸彈

邏輯炸彈引發(fā)時的癥狀與某些病毒的作用結(jié)果相似，并會對社會引發(fā)連帶性的災(zāi)難。與病毒相比，它強調(diào)破壞作用本身，而實施破壞的程序不具有傳染性。邏輯炸彈是一種程序，或任何部分的程序，這是冬眠，直到一個具體作品的程序邏輯被激活。

1.5 內(nèi)部、外部泄密

由于黑客的目的一般都是竊取機密數(shù)據(jù)或破壞系統(tǒng)運行，外部黑客也可能入侵Web或其他文件服務(wù)器刪除或篡改數(shù)據(jù)，致使系統(tǒng)癱瘓甚至完全崩潰。

1.6 黑客攻擊

這是計算機網(wǎng)絡(luò)所面臨的最大威脅。些類攻擊又可以分為兩種，一種是網(wǎng)絡(luò)攻擊。即以各種方式有選擇地破壞對方信息的有效性和完整性；另一類是網(wǎng)絡(luò)偵察，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進行截取、竊取、破譯以獲得對方重要的機密信息。這兩種攻擊均可對計算機網(wǎng)絡(luò)造成極大的危害

1.7 軟件漏洞

操作系統(tǒng)和各類軟件都是認為編寫和調(diào)試的，其自身的設(shè)計和結(jié)構(gòu)始終會出現(xiàn)問題，不可能無缺陷或者無漏洞，而這些漏洞會被計算機病毒和惡意程序所利用，這就使計算機處于非常危險的境地，一旦連接入互聯(lián)網(wǎng)，危險就悄然而至。

2 網(wǎng)絡(luò)信息與網(wǎng)絡(luò)安全的防護對策

盡管計算機網(wǎng)絡(luò)信息安全受到威脅，但是采取恰當(dāng)?shù)姆雷o措施也能有效的保護網(wǎng)絡(luò)信息的安全。本文總結(jié)了以下幾種方法并加以說明以確保在策略上保護網(wǎng)絡(luò)信息的安全。

2.1 技術(shù)層面上的安全防護對策

1）升級操作系統(tǒng)補丁

操作系統(tǒng)因為自身的復(fù)雜性和對網(wǎng)絡(luò)需求的適應(yīng)性，需要及時進行升級和更新，除服務(wù)器、工作站等需要操作系統(tǒng)升級外，也包括各種網(wǎng)絡(luò)設(shè)備，均需要及時升級并打上最新的系統(tǒng)補丁，嚴防網(wǎng)絡(luò)惡意工具和黑客利用漏洞進行入侵。

2）安裝網(wǎng)絡(luò)版防病殺毒軟件

防病毒服務(wù)器作為防病毒軟件的控制中心，及時通過INTERNET更新病毒庫，并強制局域網(wǎng)中已開機的終端及時更新病毒庫軟件。

3）安裝入侵檢測系統(tǒng)

4）安裝網(wǎng)絡(luò)防火墻和硬件防火墻

安裝防火墻，允許局域網(wǎng)用戶訪問INTERNET資源，但是嚴格限制INTERNET用戶對局域網(wǎng)資源的訪問。

5）數(shù)據(jù)保密與安裝動態(tài)口令認證系統(tǒng)

信息安全的核似是數(shù)據(jù)保密，一般就是我們所說的密碼技術(shù)，隨著計算機網(wǎng)絡(luò)不斷滲透到各個領(lǐng)域，密碼學(xué)的應(yīng)用也隨之?dāng)U大。數(shù)字簽名、身份鑒別等都是由密碼學(xué)派生出來新技術(shù)和應(yīng)用。

6）操作系統(tǒng)安全內(nèi)核技術(shù)

操作系統(tǒng)安全內(nèi)核技術(shù)除了在傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)上著手，人們開始在操作系統(tǒng)的層次上考慮網(wǎng)絡(luò)安全性，嘗試把系統(tǒng)內(nèi)核中可能引起安全性問題的部分從內(nèi)核中剔除出去，從而使系統(tǒng)更安全。

7）身份驗證技術(shù)身份驗證技術(shù)

身份驗證技術(shù)身份驗證技術(shù)是用戶向系統(tǒng)出示自己身份證明的過程嗎，能夠有效防止非法訪問。

2.2 管理體制上的安全防護策略

1）管理制度的修訂及進行安全技術(shù)培訓(xùn)；

2）加強網(wǎng)絡(luò)監(jiān)管人員的信息安全意識，特別是要消除那些影響計算機網(wǎng)絡(luò)通信安全的主觀因素。計算機系統(tǒng)網(wǎng)絡(luò)管理人員缺乏安全觀念和必備技術(shù)，必須進行加強；

3）信息備份及恢復(fù)系統(tǒng)，為了防止核心服務(wù)器崩潰導(dǎo)致網(wǎng)絡(luò)應(yīng)用癱瘓，應(yīng)根據(jù)網(wǎng)絡(luò)情況確定完全和增量備份的時間點，定期給網(wǎng)絡(luò)信息進行備份。便于一旦出現(xiàn)網(wǎng)絡(luò)故障時能及時恢復(fù)系統(tǒng)及數(shù)據(jù)；

4）開發(fā)計算機信息與網(wǎng)絡(luò)安全的監(jiān)督管理系統(tǒng)；

5）有關(guān)部門監(jiān)管的力度落實相關(guān)責(zé)任制，對計算機網(wǎng)絡(luò)和信息安全應(yīng)用與管理工作實行“誰主管、誰負責(zé)、預(yù)防為主、綜合治理、人員防范與技術(shù)防范相結(jié)合”的原則，逐級建立安全保護責(zé)任制，加強制度建設(shè)，逐步實現(xiàn)管理的科學(xué)化、規(guī)范化。

參考文獻

[1]簡明.計算機網(wǎng)絡(luò)信息安全及其防護策略的研究[J].科技資訊，2006(28).

[2]池瑞楠.Windows緩沖區(qū)溢出的深入研究[J].電腦編程技巧與維護，2006(9).

篇8

關(guān)鍵詞:軟件工程;網(wǎng)絡(luò)安全;教學(xué)改革

中圖分類號:G642文獻標識碼:A文章編號:1009-3044(2010)08-1934-02

The Design and Implement of the Basis of Computer Applications

YU Ying, DENG Song, WANG Ying-long

(Department of Software, Jiangxi Agricultural University, Nanchang 330045, China)

Abstract: In order toenhance the student's applicational ability, This paper talk about the reform of network security course from such aspects as teaching materials, teaching management, teaching method, practice step and improving the ability of student.

Key words: software engineering; network security; educational reform

近年來,我院圍繞軟件工程專業(yè)面向軟件產(chǎn)業(yè)培養(yǎng)高素質(zhì)應(yīng)用型軟件工程人才這個定位,不斷探索新的培養(yǎng)理念、培養(yǎng)模式,調(diào)整課程體系和教學(xué)目標、改革教學(xué)方法和教學(xué)手段。本文結(jié)合我院人才培養(yǎng)的改革與實踐,探討“網(wǎng)絡(luò)安全”課程教學(xué)改革。

“網(wǎng)絡(luò)安全”是我院軟件工程專業(yè)網(wǎng)絡(luò)工程方向的一門方向?qū)I(yè)課,在專業(yè)課程中占據(jù)很重的分量?！熬W(wǎng)絡(luò)安全”是一門綜合性很強的課程,涉及的知識包括計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、數(shù)論、信息論等多門學(xué)科。根據(jù)培養(yǎng)應(yīng)用型人才這個目標,我們將授課目標定位在培養(yǎng)掌握網(wǎng)絡(luò)安全的基礎(chǔ)概念合理論,了解計算機網(wǎng)絡(luò)潛在安全問題,掌握常用的計算機網(wǎng)絡(luò)安全技術(shù),增強學(xué)生的安全意識以及對安全問題的分析和處理能力,能在實際生活和工作中解決某些具體安全問題的應(yīng)用型人才。因此,軟件工程專業(yè)“網(wǎng)絡(luò)安全”課程不能與計算機專業(yè)開設(shè)的網(wǎng)絡(luò)安全課程一樣,著重基礎(chǔ)理論教學(xué)。如何進行軟件工程專業(yè)下的“網(wǎng)絡(luò)安全”課程教學(xué)改革,加強學(xué)生實踐動手能力的培養(yǎng)突出應(yīng)用能力的培養(yǎng),使之符合軟件工程專業(yè)強調(diào)學(xué)生動手實踐能力的特點是本文要探討的內(nèi)容。

1 合理組織教學(xué)內(nèi)容,適應(yīng)教學(xué)要求

“網(wǎng)絡(luò)安全”課程覆蓋知識面廣泛,學(xué)生不可能在有限的時間內(nèi)掌握所有的安全技術(shù),根據(jù)確定的課程目標,針對培養(yǎng)應(yīng)用型人才的需要,確定本課程教學(xué)內(nèi)容包括計算機網(wǎng)絡(luò)安全基礎(chǔ)理論(網(wǎng)絡(luò)安全體系結(jié)構(gòu)、網(wǎng)絡(luò)安全評估標準、網(wǎng)絡(luò)安全協(xié)議基礎(chǔ))、網(wǎng)絡(luò)安全攻擊技術(shù)(網(wǎng)絡(luò)掃描、網(wǎng)絡(luò)監(jiān)聽、攻擊類型)、網(wǎng)絡(luò)安全防御技術(shù)(數(shù)據(jù)加密認證技術(shù)、防火墻、入侵檢測、操作系統(tǒng)安全配置方案)、網(wǎng)絡(luò)安全綜合解決方案四個部分。在課程選擇上從傳統(tǒng)的偏重網(wǎng)絡(luò)安全理論的介紹,轉(zhuǎn)變?yōu)楸容^實用的新型技術(shù)的學(xué)習(xí),突出應(yīng)用能力的培養(yǎng)。

由于目前沒有專門針對軟件工程專業(yè)的網(wǎng)絡(luò)安全教材,通用的網(wǎng)絡(luò)安全教材一般著重就介紹網(wǎng)絡(luò)安全理論與常用網(wǎng)絡(luò)攻防技術(shù)。知識點孤立、分散,沒有形成一個完整的體系。很少有教材綜合多個知識點結(jié)合案例進行講解分析,而且教材中關(guān)于網(wǎng)絡(luò)安全綜合解決方案的內(nèi)容很簡單,篇幅也很少,不適合培養(yǎng)應(yīng)用型人才的需要。為了解決這個問題,我們整合多本教材作為授課教材。在授課內(nèi)容的組織上,重新調(diào)整次序,將前三部分內(nèi)容穿插在綜合解決方案里,保證授課內(nèi)容包含教學(xué)大綱要求掌握的所有知識點。

在教學(xué)大綱編寫上,我們改變以往“網(wǎng)絡(luò)安全”課程單獨制定大綱的方式,將本課程和其它網(wǎng)絡(luò)相關(guān)課程一起按課程模塊統(tǒng)一制定大綱,使得教學(xué)內(nèi)容的總體布局更加科學(xué)合理。例如,網(wǎng)絡(luò)安全協(xié)議――TCP/IP協(xié)議簇安排在“TCP/IP協(xié)議原理及應(yīng)用”課程中重點講解,防火墻及IDS的配置安排在“網(wǎng)絡(luò)設(shè)備”課程中講解,避免出現(xiàn)知識盲點和教學(xué)內(nèi)容重復(fù)現(xiàn)象。

2 改進教學(xué)方法,激發(fā)學(xué)生學(xué)習(xí)興趣

采用以案例教學(xué)為主,理論教學(xué)為輔的方法。圍繞解決企業(yè)安全問題這條主線,把課程內(nèi)容分為發(fā)現(xiàn)安全問題、分析安全問題、解決安全問題3大部分,通過一個實際的案例(某大學(xué)校園網(wǎng))貫穿始終,圍繞著課程主線,逐步將知識點滲透。目前常見的攻擊技術(shù)(口令攻擊、木馬、IP欺騙、拒絕服務(wù)攻擊、會話劫持等)和防御技術(shù)(防火墻、入侵監(jiān)測等)都可以在校園網(wǎng)中找到案例,因此將校園網(wǎng)安全問題作為案例講解有一定的代表性。在案例中設(shè)計了各種常見的網(wǎng)絡(luò)攻擊的情景,通過實際情景引申出原理的講解,原理依然采用多媒體設(shè)備進行課堂講授,對于常見攻擊要進行當(dāng)堂演示,回放攻擊過程,然后再講解具體的防御措施和手段,并演示防御過程。采用這種授課方式使學(xué)生切實感受到各種安全問題的存在,加深對各種攻擊技術(shù)和防御方法的理解,靈活掌握各種防御技術(shù)的應(yīng)用。通過一個完整案例的分析講解,使各個知識點不再孤立,而是形成一個整體,與現(xiàn)實中各種網(wǎng)絡(luò)安全綜合解決過程相符。每個部分中各知識點均配有其它案例作補充,例如常見網(wǎng)絡(luò)攻擊技術(shù)均設(shè)計有相關(guān)案例講解分析,而且根據(jù)網(wǎng)絡(luò)安全最新技術(shù),每年調(diào)整案例內(nèi)容。

在教學(xué)過程中轉(zhuǎn)變傳統(tǒng)的“填鴨式”教學(xué)為啟發(fā)式教學(xué),讓學(xué)生以企業(yè)安全顧問的角色對企業(yè)的運行過程及網(wǎng)絡(luò)架構(gòu)進行診斷,找出問題并提出解決方案和整改措施,最后要學(xué)生根據(jù)所學(xué)知識完成二次案例設(shè)計。實際的案例討論和應(yīng)用將理論與實際完全結(jié)合起來,既有邏輯性,也有趣味性。學(xué)生全方位參與教學(xué)過程,充分調(diào)動了學(xué)生的學(xué)習(xí)積極性,引導(dǎo)學(xué)生發(fā)現(xiàn)問題,解決問題,培養(yǎng)學(xué)生動手的能力,激發(fā)學(xué)生的學(xué)習(xí)主動性。

3 加強實踐教學(xué),提高動手能力

網(wǎng)絡(luò)安全是實踐性非常強的課程,光說不練不行。本課程實驗教學(xué)最初分為基礎(chǔ)驗證型和綜合設(shè)計型兩個層次。實驗內(nèi)容涵蓋了網(wǎng)絡(luò)攻擊技術(shù)、訪問控制技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)等。為了加強學(xué)生專業(yè)創(chuàng)新能力和應(yīng)用能力的培養(yǎng),在原有兩個層次之上增加一個研究創(chuàng)新型實驗,調(diào)整為3個層次,并加大后面層次的比重。

基礎(chǔ)驗證實驗內(nèi)容與理論課內(nèi)容相銜接,且相對固定。包括網(wǎng)絡(luò)掃描、網(wǎng)絡(luò)監(jiān)聽、DES算法實現(xiàn)、程序?qū)崿F(xiàn)簡單IDS、口令攻擊、木馬攻擊、拒絕服務(wù)攻擊等。通過基礎(chǔ)實驗幫助學(xué)生掌握密碼學(xué)算法實現(xiàn),網(wǎng)絡(luò)安全設(shè)備配置,并讓學(xué)生體驗網(wǎng)絡(luò)攻擊防御的全過程。本類型實驗安排在每個理論知識點講解后進行。

綜合設(shè)計實驗鍛煉學(xué)生綜合運用網(wǎng)絡(luò)安全知識解決問題的能力,在真實網(wǎng)絡(luò)環(huán)境中,將學(xué)生分成兩組,一組學(xué)生發(fā)現(xiàn)網(wǎng)絡(luò)存在的安全漏洞并進行攻擊,另一組對發(fā)現(xiàn)的攻擊行為進行分析,確定攻擊類型并采取相應(yīng)的措施,一遍攻防實驗結(jié)束后再輪換。該類型實驗主要通過課程實訓(xùn)、實習(xí)基地實戰(zhàn)訓(xùn)練等方式實現(xiàn),要求學(xué)生綜合運用所學(xué)網(wǎng)絡(luò)安全知識,提高解決具體問題的能力,培養(yǎng)整體安全意識。該類型實驗安排在理論課完成后,集中一周或兩周進行;

研究創(chuàng)新實驗要求學(xué)生利用學(xué)過的知識和積累的經(jīng)驗,針對創(chuàng)新課題提出有創(chuàng)意的設(shè)計并加以實現(xiàn)。該層次實驗主要通過創(chuàng)新課題研究、畢業(yè)設(shè)計與畢業(yè)論文、競賽項目、興趣小組等方式實現(xiàn)。內(nèi)容來源于教師的科研項目、學(xué)生的自主科研選題、社會實踐活動和企事業(yè)應(yīng)用需求,實驗內(nèi)容每年都在更新。

4 注重能力培養(yǎng),提高學(xué)生綜合素質(zhì)

近年來,我院從應(yīng)用型人才標準出發(fā)認真研究了國內(nèi)外各高校軟件工程專業(yè)人才培養(yǎng)模式,辦學(xué)經(jīng)驗,認識到軟件工程教育不僅要使我們的學(xué)生掌握專業(yè)相關(guān)知識、系統(tǒng)分析和設(shè)計能力、科學(xué)分析方法、工程思維能力。還必須具備良好的學(xué)習(xí)能力、語言表達能力、溝通能力和團隊協(xié)作能力等。因此,在我們進行教學(xué)改革時,要把對學(xué)生能力的培養(yǎng)和課程的學(xué)習(xí)融合起來。在“網(wǎng)絡(luò)安全”課程的教學(xué)活動中,為了培養(yǎng)學(xué)生的能力,我們做了以下幾方面工作。

以項目為載體,將學(xué)生的基礎(chǔ)知識學(xué)習(xí)和綜合能力訓(xùn)練、扎實的課程學(xué)習(xí)和廣泛的探索興趣結(jié)合起來,引導(dǎo)學(xué)生養(yǎng)成終身學(xué)習(xí)的習(xí)慣,培養(yǎng)工程思維方式以及系統(tǒng)分析設(shè)計能力。在實驗過程中,注重學(xué)生主觀能動意識的培養(yǎng)。

將合作性實驗?zāi)Ｊ揭雽嶒灲虒W(xué),通過合作,培養(yǎng)了學(xué)生的團隊意識、和同學(xué)、老師的交流溝通能力,提高學(xué)生的綜合素質(zhì),培養(yǎng)創(chuàng)新意識和能力。

開設(shè)《大學(xué)語文》、《思想道德修養(yǎng)》等課程增強學(xué)生良好的職業(yè)道德和責(zé)任感的培養(yǎng),提高人文素質(zhì)。

5 結(jié)束語

隨著網(wǎng)絡(luò)安全形勢的日益嚴峻,《網(wǎng)絡(luò)安全》課程成為熱點課程,且隨著攻防對抗不斷升級,新技術(shù)不斷產(chǎn)生,課程內(nèi)容也不斷變化,這些給我們的教學(xué)工作帶來難度。如何設(shè)計深淺適宜,符合應(yīng)用型人才培養(yǎng)目標的授課內(nèi)容、如何把抽象的理論變成學(xué)生易懂的知識,要需要在以后的教學(xué)實踐中進行不斷的總結(jié)和提高。

參考文獻:

[1] 駱斌,趙志宏,邵棟.軟件工程專業(yè)工程化實踐教學(xué)體系的構(gòu)建與實施[J].計算機教育,2005(4):25-28.

篇9

[論文摘要]在網(wǎng)絡(luò)技術(shù)高速發(fā)展的時代，網(wǎng)絡(luò)安全成每個網(wǎng)絡(luò)使用者為關(guān)注的焦點，討論傳輸層安全性問題，分析了地址機制﹑通用的安全協(xié)議將逐步消失，取而代之的是融合安全技術(shù)應(yīng)用的問題研究。

互聯(lián)網(wǎng)已經(jīng)成了現(xiàn)代人生活中不可缺少的一部分，隨著互聯(lián)網(wǎng)規(guī)模的迅速擴大，網(wǎng)絡(luò)豐富的信息資源給用戶帶來了極大方便的同時，操作系統(tǒng)漏洞、計算機病毒、黑客人侵及木馬控制、垃圾郵件等也給廣大互聯(lián)網(wǎng)用戶帶來了越來越多的麻煩，網(wǎng)絡(luò)安全問題因此成為令人矚目的重要問題。

一、傳輸層安全

最常見的攻擊是TCP會話劫持，該劫持是劫持一個現(xiàn)存的會話，利用合法用戶進行連接并通過驗證，之后順其自然接管會話。TCP通過3次握手建立連接以后主要采用滑動窗口機制來驗證對方發(fā)送的數(shù)據(jù)，如果對方發(fā)送的數(shù)據(jù)不在自己的接收窗口內(nèi)，則丟棄此數(shù)據(jù)，這種發(fā)送序號不在對方接收窗口的狀態(tài)稱為非同步狀態(tài)。當(dāng)通信雙方進入非同步狀態(tài)后，攻擊者可以偽造發(fā)送序號在有效接收窗口內(nèi)的報文也可以截獲報文。篡改內(nèi)容后，再修改發(fā)送序號，而接收方會認為數(shù)據(jù)是有效數(shù)據(jù)。

TCP會話劫持的攻擊方式可以對基于TCP的任何應(yīng)用發(fā)起攻擊，如HTTPFTP及Telnet等。攻擊者通過正在進行TCP通信的2臺主機之間傳送的報文得知該報文的源IP、源TCP端口號、目的IP、目的TCP端口號。從而可以得知其中一臺主機對將要收到的下一個TCP報文段中seq和ackseq值的要求。這樣，在該合法主機收到另一臺合法主機發(fā)送的TCP報文前，攻擊者根據(jù)所截獲的信息向該主機發(fā)出一個帶有凈荷的TCP報文，如果該主機先收到攻擊報文就可以把合法的TCP會話建立在攻擊主機與被攻擊主機之間。TCP會話劫持避開了被攻擊主機對訪問者的身份驗證和安全認證。使攻擊者直接進入對被攻擊主機的訪問狀態(tài)，因此對系統(tǒng)安全構(gòu)成的威脅比較嚴重。

二、地址機制

IPv6采用128位的地址空間，其可能容納的地址總數(shù)高達2128，相當(dāng)于地球表面每平方米擁有6．65×1023個。一方面可解決當(dāng)前地址空間枯竭的問題，使網(wǎng)絡(luò)的發(fā)展不再受限于地址數(shù)目的不足；另一方面可容納多級的地址層級結(jié)構(gòu)，使得對尋址和路由層次的設(shè)計更具有靈活性，更好地反映現(xiàn)代Internet的拓撲結(jié)構(gòu)。IPv6的接口ID固定為64位，因此用于子網(wǎng)ID的地址空間達到了64位，便于實施多級路由結(jié)構(gòu)和地址集聚。IPv6的前綴類型多樣，64位的前綴表示一個子網(wǎng)ID，小于64位的前綴要么表示一個路由，要么表示一個地址聚類。IPv6的地址類型包括單播、多播和任播地址，取消了廣播地址。IPv6的地址機制帶來的安全措施包括：

1)防范網(wǎng)絡(luò)掃描與病毒、蠕蟲傳播。傳統(tǒng)的掃描和傳播方式在IPv6環(huán)境下將難以適用，因為其地址空間太大。

2)防范IP地址欺騙。IPv6的地址構(gòu)造為可會聚、層次化的地址結(jié)構(gòu)，每一ISP可對其客戶范圍內(nèi)的IPv6地址進行集聚，接入路由器在用戶進入時可對IP包進行源地址檢查，驗證其合法性，非法用戶將無法訪問網(wǎng)絡(luò)所提供的服務(wù)。另外，將一個網(wǎng)絡(luò)作為中介去攻擊其他網(wǎng)絡(luò)的跳板攻擊將難以實施，因為中介網(wǎng)絡(luò)的邊界路由器不會轉(zhuǎn)發(fā)源地址不屬其范圍之內(nèi)的IPv6數(shù)據(jù)包。

3)防范外網(wǎng)入侵。IPv6地址有一個作用范圍，在這個范圍之內(nèi)，它們是唯一的。在基于IPv6的網(wǎng)絡(luò)環(huán)境下，主機的一個網(wǎng)絡(luò)接El可配置多種IPv6地址，如鏈路本地地址、站點本地地址、單播全球地址等，這些不同地址有不同的作用域。IPv6路由器對IPv6地址的作用范圍是敏感的，絕不會通過沒有正確范圍的接El轉(zhuǎn)發(fā)數(shù)據(jù)包。因此，可根據(jù)主機的安全需求，為其配置相應(yīng)的IPv6地址。例如，為保障本地子網(wǎng)或本地網(wǎng)絡(luò)內(nèi)的主機的安全，可為其配置相應(yīng)的鏈路本地或站點本地地址，使其通信范圍受限于所在鏈路或站點，從而阻斷外網(wǎng)入侵。

三、通用的安全協(xié)議將逐步消失，取而代之的是融合安全技術(shù)

當(dāng)網(wǎng)絡(luò)安全還沒有成為網(wǎng)絡(luò)應(yīng)用的重要問題時，制定的通信協(xié)議基本上不考慮協(xié)議和網(wǎng)絡(luò)的安全性。而當(dāng)這些協(xié)議大規(guī)模使用出現(xiàn)諸多安全漏洞和安全威脅后，不得不采取補救措施，即發(fā)展安全協(xié)議保護通信的安全，因此IPSec、IKE、TLS等通用的安全協(xié)議應(yīng)運而生，并獲得廣泛的應(yīng)用，在充分重視安全重要性后，新的協(xié)議在設(shè)計過程中就充分考慮安全方面的需要，協(xié)議的安全性成了新的協(xié)議是否被認可的重要指標．因此新的通信協(xié)議普遍融入了安全技術(shù)，如SIP本身就附帶諸多安全機制，IPv6本身附帶了必要的安全字段，這種發(fā)展趨勢將會持續(xù)，由此可以預(yù)見，傳統(tǒng)的通用安全協(xié)議應(yīng)用范圍將逐漸縮小，最終消失，取而代之的是所有通信協(xié)議都具備相應(yīng)的安全機制。

四、總結(jié)

總之，隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)信息安全所面臨的危險已經(jīng)滲透到社會各個方面，應(yīng)深刻剖析各種不安全的因素，并采取相應(yīng)的策略，確保網(wǎng)絡(luò)安全。解決信息網(wǎng)絡(luò)安全僅依靠技術(shù)是不夠的，還要結(jié)合管理、法制、政策及教育等手段，將信息網(wǎng)絡(luò)風(fēng)險降低至最小程度。相信隨著網(wǎng)絡(luò)安全技術(shù)的不斷改進和提高，以及各項法律法規(guī)的不斷完善，將能構(gòu)造出更加安全可靠的網(wǎng)絡(luò)防護體系。

網(wǎng)絡(luò)安全法律制度所要解決的問題，乃是人類進入信息社會之后才產(chǎn)生的特殊安全問題。正如為了適應(yīng)時代所賦予的“正義觀念”必須調(diào)整為“科學(xué)發(fā)展觀”一樣，法律規(guī)范隨著信息社會的發(fā)展也應(yīng)適應(yīng)新的安全問題而作出結(jié)構(gòu)性調(diào)整，以符合時代賦予的“科學(xué)發(fā)展觀”。

網(wǎng)絡(luò)安全監(jiān)管應(yīng)當(dāng)以“快速反應(yīng)和有效治理”為原則。從信息化發(fā)展的趨勢考察，政府部門職權(quán)的適當(dāng)調(diào)整是網(wǎng)絡(luò)安全監(jiān)管權(quán)力配置的必然選擇。因此，構(gòu)建政府部門之間、政府與社會之間的“信息共享”機制便成為網(wǎng)絡(luò)安全監(jiān)管法制建設(shè)的重點，應(yīng)當(dāng)注意到，只有政府和企業(yè)、個人密切配合，才能彌補政府網(wǎng)絡(luò)安全監(jiān)管能力的不足，使其更好地履行職責(zé)，從而實現(xiàn)保障網(wǎng)絡(luò)安全的戰(zhàn)略目標。

參考文獻：

[1]鄭曉妹.信息系統(tǒng)安全模型分析[J]安徽技術(shù)師范學(xué)院學(xué)報,2006,(01).

[2]李雪青.論互聯(lián)網(wǎng)絡(luò)青年道德主體性的失落及其建設(shè)[J]北方工業(yè)大學(xué)學(xué)報,2000,(04).

[3]劉建永,杜婕.指揮控制系統(tǒng)的信息安全要素[J]兵工自動化,2004,(04).

[4]高攀,陳景春./GS選項分析[J]成都信息工程學(xué)院學(xué)報,2005,(03).

[5]劉穎.網(wǎng)絡(luò)安全戰(zhàn)略分析[J]重慶交通學(xué)院學(xué)報(社會科學(xué)版),2003,(S1).

[6]劉穎.析計算機病毒及其防范技術(shù)[J]重慶職業(yè)技術(shù)學(xué)院學(xué)報,2003,(04).

[7]王世明.入侵檢測技術(shù)原理剖析及其應(yīng)用實例[J]燕山大學(xué)學(xué)報,2004,(04).

[8]劉曉宏.淺談航空電子系統(tǒng)病毒防范技術(shù)[J]電光與控制,2001,(03).

篇10

關(guān)鍵詞：計算機網(wǎng)技術(shù)；消防信息化建設(shè)；網(wǎng)絡(luò)安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2011)27-6599-02

當(dāng)前，隨著計算機網(wǎng)絡(luò)不斷普及，其幾乎被應(yīng)用于各行各業(yè)當(dāng)中，消防信息化工作同樣也離不開計算機網(wǎng)絡(luò)技術(shù)的支持。然而，由于計算機網(wǎng)絡(luò)經(jīng)常會遭受病毒、黑客等惡意攻擊，致使網(wǎng)絡(luò)安全受到影響，為了使消防信息化工作能夠順利開展，必須解決網(wǎng)絡(luò)安全問題。本文就計算機網(wǎng)絡(luò)技術(shù)在消防信息化工作中的應(yīng)用及存在問題和對策展開探討，僅供參考。

1 計算機網(wǎng)絡(luò)技術(shù)概述

1.1 計算機網(wǎng)絡(luò)的功能及分類

計算機網(wǎng)絡(luò)是通過通信設(shè)備及線路將處在不同地理位置的、具有獨立功能的計算機連接起來，并以完善的網(wǎng)絡(luò)軟件為基礎(chǔ)，實現(xiàn)網(wǎng)絡(luò)資源共享的一種技術(shù)，該技術(shù)是計算機與通信技術(shù)相結(jié)合的產(chǎn)物。計算機網(wǎng)絡(luò)經(jīng)歷了由簡到繁、由低向高的發(fā)展過程，其主要功能如下：1）資源共享。其中包括數(shù)據(jù)庫共享及應(yīng)用程序共享等；2）數(shù)據(jù)通信。主要指的是計算機與計算機之間、用戶與用戶之間的相互通信；3）協(xié)同工作。

計算機網(wǎng)絡(luò)的種類很多，根據(jù)使用用范圍可將其分為專用網(wǎng)和公用網(wǎng)；按覆蓋形式可分為局域網(wǎng)、廣域網(wǎng)、城域網(wǎng)及互聯(lián)網(wǎng)；按拓撲結(jié)構(gòu)可分為集中式、分布式和分散式。

1.2 計算機網(wǎng)絡(luò)的特點

計算機網(wǎng)絡(luò)具有以下特點：1）節(jié)省經(jīng)費。通常類型不同的計算機在性能及價格往往相差較大，而網(wǎng)絡(luò)設(shè)計者組建了一種為用戶服務(wù)的服務(wù)器模型，它可以充分利用計算機的廉價性，共享服務(wù)器中的數(shù)據(jù)信息和軟件等資源，使整個系統(tǒng)的成本大幅度降低；2）可擴充性。當(dāng)工作負荷過大時，只需相應(yīng)地增加處理器的數(shù)量，即可改善網(wǎng)絡(luò)的性能。

2 消防信息化建設(shè)的基本內(nèi)容

2.1 消防信息化的內(nèi)涵

消防信息化主要是通過對計算機網(wǎng)絡(luò)技術(shù)、通信技術(shù)、呼叫求助、衛(wèi)星技術(shù)等現(xiàn)代化手段的綜合利用，并以互聯(lián)網(wǎng)作為主要載體，進行消防信息的采集、分析、優(yōu)化處理及存儲，從而實現(xiàn)消防基礎(chǔ)設(shè)施和信息資源高效益、高程度、高效率的共用與共享。

2.2 消防信息化的作用

首先，消防信息化不僅可以有效提高消防部門在日常工作中的自動化水平，并且還能夠使以往的手工勞動強度得以簡化，從而將消防救援工作提升至一個新的高度，實現(xiàn)了及時、快速辯解，增強了防火、滅火效率；其次，消防信息化實現(xiàn)了消防工作的全透明化，使消防部隊全體官兵的整體素質(zhì)得以提高，改善了消防工作者的工作作風(fēng)和服務(wù)心態(tài)，拉近了基層與群眾之間關(guān)系，使消防部隊在群眾中樹立了良好的形象；再次，消防信息化在實現(xiàn)資源和信息共享的同時，加快了信息傳遞的速度、擴大了信息獲取的范圍，使信息的準確性、利用度、一致性均有所提高，進一步規(guī)范了消防業(yè)務(wù)工作。

2.3 消防信息化建設(shè)的主要內(nèi)容

1）通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施。當(dāng)前，我國的消防通信網(wǎng)絡(luò)按照邏輯關(guān)系主要分為以下三級：①一級網(wǎng)。具體覆蓋的范圍是公安部消防局、各省、市、區(qū)消防總隊及相關(guān)的消防科研機構(gòu)和各大消防院校；②二級網(wǎng)。主要覆蓋的范圍是地、市、州的消防支隊；③三級網(wǎng)。覆蓋的范圍是各基層消防大隊和中隊。

2）安全保障體系。該體系主要是實現(xiàn)消防機構(gòu)高效運行、快速反應(yīng)以及消防信息共享的有效保障。安全保障體系應(yīng)以確保消防信息網(wǎng)絡(luò)的安全、可靠運行為目的，并以此作為基礎(chǔ)給應(yīng)用系統(tǒng)提供可擴展的空間。安全保障體系在建設(shè)時應(yīng)符合以下要求：①應(yīng)以保證網(wǎng)絡(luò)的安全、可靠、穩(wěn)定運行為前提，并能有效防止外來的惡意攻擊和網(wǎng)絡(luò)內(nèi)部的人為破壞；②應(yīng)采取必要的措施確保消防信息的機密性和完整性，如加密措施、訪問限制等；③能夠提供一定的風(fēng)險保障，如容錯、容災(zāi)等；④在確保網(wǎng)絡(luò)安全的基礎(chǔ)上，盡可能地位網(wǎng)絡(luò)應(yīng)用提供方便；⑤建立并完善網(wǎng)絡(luò)安全管理制度。

3 計算機網(wǎng)絡(luò)及消防信息網(wǎng)絡(luò)中存在的安全問題

3.1 計算機網(wǎng)絡(luò)中存在的安全問題

1）計算機網(wǎng)絡(luò)系統(tǒng)自身的問題。目前，許多常用的操作系統(tǒng)都不同程度的存在安全漏洞，而黑客通常都是利用這些系統(tǒng)漏洞侵入計算機網(wǎng)絡(luò)，從而達到破壞系統(tǒng)的目的。計算機網(wǎng)絡(luò)系統(tǒng)自身的問題可大致歸納為以下幾個方面：其一，由于系統(tǒng)在設(shè)計時存在不合理、不規(guī)范的情況或是缺乏安全性方面的考慮，從而影響了系統(tǒng)的穩(wěn)定性和可擴充性；其二，硬件配置不協(xié)調(diào)。由于在設(shè)計和選型時欠缺詳細、周密的考慮，致使網(wǎng)絡(luò)功能在實際發(fā)揮中受到不同程度的阻礙，從而影響了網(wǎng)絡(luò)質(zhì)量；其三，防火墻的局限性。雖然防火墻能夠在一定程度阻止來自外部的惡意攻擊，但是卻無法保證網(wǎng)絡(luò)的絕對安全，一旦防火墻被人為擴大了訪問權(quán)限，此時就會給黑客以可乘之機。

2）計算機病毒。是當(dāng)前威脅網(wǎng)絡(luò)信息安全最主要的因素之一。病毒是由編制者在計算機中插入的惡意數(shù)據(jù)程序，其主要功能是破壞計算機的硬件和軟件功能，使計算機無法正常工作。病毒具有以下特性：破壞性、寄生性、傳染性、觸發(fā)性及隱蔽性等，為了確保計算機網(wǎng)絡(luò)的安全性，必須重視對病毒的防范。

3）黑客。主要是利用計算機中的一些安全漏洞，采取不正當(dāng)?shù)氖侄畏欠ㄈ肭炙说挠嬎銠C系統(tǒng)，其危害性比計算機病毒有過之而無不及。通常黑客攻擊手段的更新速度較之安全工具的更新速度要快很多，這樣就造成安全工具無法及時對黑客的攻擊進行預(yù)防，從而使計算機網(wǎng)絡(luò)時常受到黑客的入侵。

3.2 消防信息網(wǎng)絡(luò)中存在的安全問題

計算機網(wǎng)絡(luò)中存在的安全問題，屬于較為普遍的現(xiàn)象，下面重點分析一下消防信息網(wǎng)絡(luò)中的安全問題。

1）缺乏行之有效地信息安全監(jiān)控手段及網(wǎng)絡(luò)安全設(shè)備。大部分消防計算機網(wǎng)絡(luò)在興建之初，由于欠缺網(wǎng)絡(luò)安全方面的考慮或是資金有限，致使網(wǎng)絡(luò)在建成后，缺少網(wǎng)絡(luò)安全管理設(shè)備和必要地監(jiān)控手段，主要體現(xiàn)在以下幾個方面：①缺乏對網(wǎng)內(nèi)主機的全面監(jiān)控。如光驅(qū)、軟驅(qū)、并口和串口等外部設(shè)備的監(jiān)控，至于主機方面則缺乏對運行進程的控制、安裝與卸載軟件等行為的監(jiān)控等，一旦其中任何一個方面出現(xiàn)失控，都會給消防網(wǎng)絡(luò)的安全帶來較為嚴重的威脅；②對移動存儲設(shè)備缺乏有效管理。由于消防信息網(wǎng)與因特網(wǎng)之間采用的是物理隔離，而大部分消防官兵經(jīng)常使用移動硬盤或U盤從網(wǎng)上下載、上傳數(shù)據(jù)，這一過程不僅有可能造成移動設(shè)備中信息通過因特網(wǎng)外泄，而且還會使因特網(wǎng)中的木馬及病毒很容易借助這類設(shè)備侵入至消防信息網(wǎng)絡(luò)，并不斷傳播，嚴重時會導(dǎo)致整個網(wǎng)絡(luò)癱瘓；③缺乏控制違規(guī)外聯(lián)的手段。由于消防信息網(wǎng)絡(luò)內(nèi)部的主機較多，分布情況也不集中，從而使每臺主機都有可能成為外聯(lián)的接入點，同時整個網(wǎng)絡(luò)也因該點打開了接口，各種計算機病毒、木馬程序則會借此進入到消防信息網(wǎng)絡(luò)當(dāng)中，輕則會導(dǎo)致消防機密信息外泄，重則會使消防網(wǎng)絡(luò)癱瘓，嚴重影響了消防部門的正常工作。

2）網(wǎng)絡(luò)安全管理制度落實不到位。雖然大部分消防單位都制定了網(wǎng)絡(luò)安全管理制度，但是卻因為缺少專門的組織機構(gòu)及人員的監(jiān)督管理，致使該制度形同虛設(shè)，難以起到監(jiān)督、防范網(wǎng)絡(luò)安全的作用。另外，各別消防單位在網(wǎng)絡(luò)運行中，由于缺乏較為有效的應(yīng)對保護制度以及安全檢查制度，在網(wǎng)絡(luò)遇到時安全威脅時，就采取消極的方法解決，如禁止使用、關(guān)閉網(wǎng)絡(luò)等。

3）Web服務(wù)被非法利用?，F(xiàn)在大部分消防單位基本上都在因特網(wǎng)上建立了網(wǎng)站，并以此來提供各種重要的信息資源，如消防法規(guī)、消防技術(shù)標準、產(chǎn)品質(zhì)量信息和危險品數(shù)據(jù)等等，有的消防部門還針對轄區(qū)內(nèi)一些重點單位在網(wǎng)上開辟了受理業(yè)務(wù)服務(wù)的項目，這樣雖然使工作效率大幅度提高，但卻存在一定的安全隱患，具體體現(xiàn)在以下幾個方面：①Web頁面欺詐。攻擊者一般都是通過攻擊站點的外部，使進出該頁面的所有流量都要經(jīng)過他，在這一過程，攻擊者以人的身份在通信雙方之間傳遞信息，并將所有信息記錄下來，然后從中挑選有價值的信息，對用戶造成威脅；②CGI欺騙。大部分Web頁面基本上都允許用戶輸入信息，借此進行交互，而這一過程一般是通過CGI來完成的。如果CGI存在漏洞或是配置不當(dāng)，則會被攻擊者有機可乘，利用并執(zhí)行一些系統(tǒng)命令，如創(chuàng)建具有管理權(quán)限的用戶，并通過管理權(quán)限開啟系統(tǒng)服務(wù)、信息共享、修改主頁內(nèi)容或是上傳木馬程序等，從而給站點的安全性、真實性造成威脅。

4 消防信息化工作中解決網(wǎng)絡(luò)安全問題的主要對策

4.1 技術(shù)方面的對策

1）防火墻技術(shù)。是一種隔離控制技術(shù)，好比內(nèi)部網(wǎng)與外部網(wǎng)之間的“門戶”，是保護計算機網(wǎng)絡(luò)安全最有效的技術(shù)措施之一。其主要是通過在網(wǎng)絡(luò)之間設(shè)置屏障，阻止對信息資源的非法入侵，從而確保內(nèi)部與外部之間安全暢通的信息交互。防火墻采用網(wǎng)絡(luò)地址轉(zhuǎn)化、信息過濾、郵件過濾以及網(wǎng)關(guān)等技術(shù)，使外部網(wǎng)無法獲悉內(nèi)部網(wǎng)的具體情況，并對用戶使用網(wǎng)絡(luò)有詳細的記錄和嚴格控制。

2）殺毒軟件。主要作用是殺毒和防止病毒入侵。但有一點需特別注意，殺毒軟件必須定期進行升級，使之達到最新的版本，因為計算機病毒始終都在不斷更新，只有殺毒軟件也隨之不斷更新，才能更有效地做到防毒、殺毒。

3）加密技術(shù)。對數(shù)據(jù)信息進行加密是一種較為主動的安全防衛(wèi)措施，加密實際上就是對信息重新編碼，使信息的具體內(nèi)容得以隱藏，資源信息經(jīng)過加密處理后，其安全性和保密性能夠得到有效保障。

4）入侵檢測主要是用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的一種技術(shù)，是為了確保計算機系統(tǒng)安全而設(shè)計的，該技術(shù)能夠及時發(fā)現(xiàn)并報告系統(tǒng)中的異?，F(xiàn)象并進行限制，從而達到保護系統(tǒng)安全的目的。

5）訪問控制技術(shù)。是對系統(tǒng)內(nèi)部合法用戶的非授權(quán)訪問進行實時控制，可分為以下兩種類型：①任意訪問控制。指用戶可以任意在系統(tǒng)中規(guī)定訪問對象，優(yōu)點是成本小且方便用戶，缺點是安全系數(shù)較低。②強制訪問控制?？梢酝ㄟ^無法回避的訪問限制來防止對系統(tǒng)的非法入侵，其缺點是費用較高、靈活性小。對于安全性要求較高的系統(tǒng)，可以采用兩種類型結(jié)合的方法來維護網(wǎng)絡(luò)系統(tǒng)的安全。

4.2 管理方面的對策

1）規(guī)范管理流程。網(wǎng)絡(luò)的安全工作是消防信息化工作中較為重要的一個方面，信息化與規(guī)范化的根本目的都是為了提高工作效率，如果說技術(shù)是確保網(wǎng)絡(luò)安全的前提，那么管理則是網(wǎng)絡(luò)安全最有利的保障。因此，在消防信息化工作中，必須加強管理工作，只有不斷優(yōu)化管理過程、簡化管理環(huán)節(jié)、細化管理流程、強化管理基礎(chǔ)、提高管理效率，才能在達到信息化目的的同時，完善網(wǎng)絡(luò)安全建設(shè)。

2）構(gòu)建管理支持層。信息化本身屬于異響系統(tǒng)性較強的工程，在具體實施的過程中，需要單位領(lǐng)導(dǎo)的高度重視并從不同方面給予大力支持，如軟件普及和人員培訓(xùn)的支持、工作流程再造的支持、協(xié)調(diào)有關(guān)部門統(tǒng)一開展工作的支持等等。在實際工作，可以通過建立消防信息化領(lǐng)導(dǎo)小組，并由各部門領(lǐng)導(dǎo)擔(dān)任主要成員，下設(shè)具體辦事部門負責(zé)網(wǎng)絡(luò)的建設(shè)及安全工作，在這一過程中，不僅需要領(lǐng)導(dǎo)的重視，同時具體負責(zé)人還應(yīng)具備協(xié)調(diào)和溝通各部門開展工作的能力，從而確保工作能夠順利開展。

3）制定網(wǎng)絡(luò)安全管理制度。應(yīng)重點加強網(wǎng)絡(luò)安全管理的法規(guī)建設(shè)，建立并完善各項管理制度，以此來確保計算機網(wǎng)絡(luò)安全，如制定人員管理制度，加強人員審查，避免單獨作業(yè)。

5 結(jié)論

綜上所述，計算機網(wǎng)絡(luò)技術(shù)在消防信息化工作的應(yīng)用，雖然使消防部門的工作效率得以提高，但網(wǎng)絡(luò)安全問題造成的威脅也是不容忽視的，因此，在今后的消防信息化工作中，必須對計算機網(wǎng)絡(luò)的安全加以高度重視。只有不斷加強技術(shù)和管理方面的工作，才能確保消防信息化工作的順利開展。

參考文獻：

[1] 唐鎮(zhèn),謝書華.淺論消防信息網(wǎng)絡(luò)數(shù)據(jù)存儲的幾種解決方案[A].消防科技與工程學(xué)術(shù)會議論文集[C].2007(7).

[2] 李登峰.淺談消防裝備管理軟件的開發(fā)與應(yīng)用[A].2010中國西部十二省消防學(xué)術(shù)交流會論文集[C].2010(5).

[3] 許軍倉.探討怎樣借助網(wǎng)絡(luò)化技術(shù)推動消防工作[J].現(xiàn)代化科技傳播,2010(2).

[4] 姚新,王立志,黃澤明.論計算機網(wǎng)絡(luò)安全技術(shù)及其發(fā)展[A].2008年中國計算機信息防護年會暨信息防護體系建設(shè)研討會論文集[C].2008(6).

[5] 傅永財,慮放,寧江.關(guān)于公安消防部隊信息化建設(shè)整體規(guī)劃的思考[J].武警學(xué)院學(xué)報,2007,23((10).

[6] 林琳,張斌,李海燕,等.軍隊計算機網(wǎng)絡(luò)安全評估方法[A].中國電子學(xué)會電子系統(tǒng)工程分會第十五屆信息化理論學(xué)術(shù)研討會論文集[C].2008(9).