導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全與攻防技術(shù)，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞： 網(wǎng)絡(luò)信息安全； 計(jì)算機(jī)； APT； 安全防御； 惡意威脅

中圖分類號： TN711?34 文獻(xiàn)標(biāo)識碼： A 文章編號： 1004?373X（2015）21?0100?05

Threat to network information security and study on new defense

technologies in power grid enterprises

LONG Zhenyue1， 2， QIAN Yang1， 2， ZOU Hong1， 2， CHEN Ruizhong1， 2

（1. Key Laboratory of Information Testing， China Southern Power Grid Co.， Ltd.， Guangzhou 510000， China；

2. Information Center， Guangdong Power Grid Co.， Ltd.， Guangzhou 510000， China）

Abstract： With the continuous development of management informationization of the power grid enterprises， automatic power grid operation and intelligent electrical equipment， the information security has become more important. For the serious situation of network information security， the new?type defense technologies are studied， which are consisted of advanced persistent threat （APT） protection technology and vulnerability scanning technology. Combining with the advantages and disadvantages of these technologies， the strategy of defense effectiveness analysis based on the minimum attack cost is proposed， which can compute the defense capability of the network.

Keywords： network information security； computer； APT； safety defense； malicious threat

0 引 言

隨著電網(wǎng)企業(yè)管理信息化、電網(wǎng)運(yùn)行自動化、電力設(shè)備智能化的不斷發(fā)展，電網(wǎng)企業(yè)信息安全愈發(fā)重要。信息化已成為電力企業(yè)工作中的重要組成部分，各類工作對網(wǎng)絡(luò)的高度依賴，各類信息以結(jié)構(gòu)化、非結(jié)構(gòu)化的方式儲存并流轉(zhuǎn)于網(wǎng)絡(luò)當(dāng)中，一旦信息網(wǎng)絡(luò)被攻破，則往往導(dǎo)致服務(wù)中斷、信息泄漏、甚至指令錯誤等事件，嚴(yán)重威脅生產(chǎn)和運(yùn)行的安全。因此，保障網(wǎng)絡(luò)信息安全就是保護(hù)電網(wǎng)企業(yè)的運(yùn)行安全，保障網(wǎng)絡(luò)安全是電網(wǎng)企業(yè)的重要職責(zé)[1]。

目前的網(wǎng)絡(luò)信息安全形勢依然嚴(yán)峻，近年來，業(yè)務(wù)從單系統(tǒng)到跨系統(tǒng)，網(wǎng)絡(luò)從零星分散到大型化、復(fù)雜化，單純的信息安全防護(hù)技術(shù)和手段已經(jīng)不能滿足企業(yè)安全防護(hù)的需要，應(yīng)針對性地研究具有縱深防御特點(diǎn)的安全防護(hù)體系，以信息安全保障為核心，以信息安全攻防技術(shù)為基礎(chǔ)，了解信息安全攻防新技術(shù)，從傳統(tǒng)的“知防不知攻”的被動防御向“知攻知防”的縱深積極防御轉(zhuǎn)變，建立全面的信息安全防護(hù)體系。

1 概 述

從廣義層面而言，網(wǎng)絡(luò)信息安全指的是保障網(wǎng)絡(luò)信息的機(jī)密性、完整性以及有效性，涉及這部分的相關(guān)網(wǎng)絡(luò)理論以及技術(shù)都是網(wǎng)絡(luò)信息安全的內(nèi)容。從狹義層面而言，網(wǎng)絡(luò)信息安全指的是網(wǎng)絡(luò)信息的安全，主要包括網(wǎng)絡(luò)軟硬件及系統(tǒng)數(shù)據(jù)安全[2]。網(wǎng)絡(luò)信息安全需要保證當(dāng)網(wǎng)絡(luò)受到惡意破壞或信息泄露時(shí)，網(wǎng)絡(luò)系統(tǒng)可以持續(xù)正常運(yùn)行，為企業(yè)提供所需的服務(wù)。

通過對我國某電網(wǎng)企業(yè)及其下轄電力單位的調(diào)研，以及對近5年電力信息資產(chǎn)信息安全類測評結(jié)果的統(tǒng)計(jì)得知，電網(wǎng)企業(yè)現(xiàn)存的網(wǎng)絡(luò)安全情況主要分為以下3類：網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與漏洞弱點(diǎn)事件、數(shù)據(jù)安全風(fēng)險(xiǎn)與漏洞弱點(diǎn)事件、管理類安全風(fēng)險(xiǎn)與漏洞弱點(diǎn)事件。整體上看，電網(wǎng)企業(yè)的信息安全問題仍不容樂觀，近年來隨著網(wǎng)絡(luò)的復(fù)雜化，攻擊的新型化和專業(yè)化，網(wǎng)絡(luò)安全防護(hù)的情況亟待加強(qiáng)?？傮w而言，首先要加強(qiáng)并提升網(wǎng)絡(luò)、應(yīng)用等方面安全水平，保證信息源頭的安全情況；其次加強(qiáng)管理類安全，特別是人員管理、運(yùn)維管理等方面；最后研究分析最新攻防技術(shù)的特點(diǎn)，結(jié)合電網(wǎng)實(shí)際現(xiàn)狀，構(gòu)建適用于現(xiàn)有網(wǎng)絡(luò)環(huán)境與架構(gòu)的信息安全縱深防御體系。

本文主要針對第三點(diǎn)展開論述，研究包括高級持續(xù)威脅（APT）防護(hù)技術(shù)、漏洞掃描技術(shù)等新型的攻擊及其防護(hù)技術(shù)，提取在復(fù)雜網(wǎng)絡(luò)系統(tǒng)中的防御共同點(diǎn)，并給出一類策略用于分析網(wǎng)絡(luò)信息安全防御的有效性。

2 信息安全的攻防新技術(shù)

電網(wǎng)企業(yè)所依賴的信息安全隔離與防御技術(shù)主要包括數(shù)據(jù)加密技術(shù)、安全隔離技術(shù)、入侵檢測技術(shù)、訪問控制技術(shù)等。一方面，通過調(diào)研與統(tǒng)計(jì)分析。目前電網(wǎng)的信息安全建設(shè)主要以防止外部攻擊，通過區(qū)域劃分、防火墻、反向、入侵檢測等手段對外部攻擊進(jìn)行防御，對內(nèi)部的防御手段往往滯后，電網(wǎng)內(nèi)部應(yīng)用仍然存在一定的安全風(fēng)險(xiǎn)與漏洞弱點(diǎn)。如果一道防線失效，惡意的攻擊者可能通過以內(nèi)部網(wǎng)絡(luò)為跳板威脅電網(wǎng)企業(yè)的安全；另一方面，電網(wǎng)企業(yè)中目前使用的防御技術(shù)一般是孤立的，未形成關(guān)聯(lián)性防御，而目前新型的攻擊往往會結(jié)合多個漏洞，甚至是多個0day漏洞進(jìn)行組合攻擊，使得攻擊的隱蔽性、偽裝性都較強(qiáng)。因此，要構(gòu)建信息安全防御體系，僅憑某單一的防護(hù)措施或技術(shù)無法滿足企業(yè)的安全要求，只有構(gòu)建完整的信息安全防護(hù)屏障，才能為企業(yè)提供足夠的信息安全保障能力。

經(jīng)過分析，目前針對電網(wǎng)企業(yè)的新型攻防技術(shù)有如下幾類：

2.1 高級持續(xù)威脅攻擊與防護(hù)技術(shù)

高級持續(xù)威脅（APT）是針對某一項(xiàng)有價(jià)值目標(biāo)而開展的持續(xù)性攻擊，攻擊過程會使用一切能被利用的手段，包括社會工程學(xué)攻擊、0day漏洞攻擊等，當(dāng)各攻擊點(diǎn)形成持續(xù)攻擊鏈后，最終達(dá)到攻擊目的。典型的APT攻擊案例如伊朗核電項(xiàng)目被“震網(wǎng)（Stuxnet）”蠕蟲病毒攻擊，通過攻擊工業(yè)用的可編程邏輯控制器，導(dǎo)致伊朗近[15]的核能離心機(jī)損壞。

根據(jù)APT攻擊的特性，企業(yè)可以從防范釣魚攻擊、識別郵件中的惡意代碼、識別主機(jī)上的惡意代碼、監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)滲出等多個環(huán)節(jié)進(jìn)行檢測，主要涉及以下幾類新型技術(shù)。

2.1.1 基于沙箱的惡意代碼檢測技術(shù)

惡意代碼檢測中最具挑戰(zhàn)性的是檢測利用0day漏洞的惡意代碼，傳統(tǒng)的基于特征碼的惡意代碼檢測技術(shù)無法應(yīng)對0day攻擊。目前最新的技術(shù)是通過沙箱技術(shù)，構(gòu)造模擬的程序執(zhí)行環(huán)境，讓可疑文件在模擬環(huán)境中運(yùn)行，通過軟件所表現(xiàn)的外在行為判定是否是惡意代碼。

2.1.2 基于異常的流量檢測技術(shù)

傳統(tǒng)的入侵檢測系統(tǒng)IDS都是基于特征（簽名）的深度包檢測（DPI）分析，部分會采用到簡單深度流檢測（DFI）技術(shù)。面對新型威脅，基于DFI技術(shù)的應(yīng)用需要進(jìn)一步深化?；诋惓５牧髁繖z測技術(shù)，是通過建立流量行為輪廓和學(xué)習(xí)模型來識別流量異常，進(jìn)而識別0day攻擊、C&C通信以及信息滲出等惡意行為。

2.1.3 全包捕獲與分析技術(shù)

由于APT攻擊的隱蔽性與持續(xù)性，當(dāng)攻擊行為被發(fā)現(xiàn)時(shí)往往已經(jīng)持續(xù)了一段時(shí)間；因此需要考慮如何分析信息系統(tǒng)遭受的損失，利用全包捕獲及分析技術(shù)（FPI），借助海量存儲空間和大數(shù)據(jù)分析（BDA）方法，F(xiàn)PI能夠抓取網(wǎng)絡(luò)定場合下的全量數(shù)據(jù)報(bào)文并存儲，便于后續(xù)的歷史分析或者準(zhǔn)實(shí)時(shí)分析。

2.2 漏洞掃描技術(shù)

漏洞掃描技術(shù)是一種新型的、靜態(tài)的安全檢測技術(shù)，攻防雙方都會利用它盡量多地獲取信息。一方面，攻擊者利用它可以找到網(wǎng)絡(luò)中潛在的漏洞；另一方面，防御者利用它能夠及時(shí)發(fā)現(xiàn)企業(yè)或單位網(wǎng)絡(luò)系統(tǒng)中隱藏的安全漏洞。以被掃描對象分類，漏洞掃描主要可分為基于網(wǎng)絡(luò)與基于主機(jī)的安全漏洞掃描技術(shù)。

2.2.1 基于網(wǎng)絡(luò)的安全漏洞掃描技術(shù)

基于網(wǎng)絡(luò)的安全漏洞掃描技術(shù)通過網(wǎng)絡(luò)掃描網(wǎng)絡(luò)設(shè)備、主機(jī)或系統(tǒng)中的安全漏洞與脆弱點(diǎn)。例如，通過掃描的方式獲知OpenSSL心臟出血漏洞是否存在。基于網(wǎng)絡(luò)的安全漏洞掃描技術(shù)的優(yōu)點(diǎn)包括：易操作性，掃描在執(zhí)行過程中，無需目標(biāo)網(wǎng)絡(luò)或系統(tǒng)主機(jī)Root管理員的參與；維護(hù)簡便，若目標(biāo)網(wǎng)絡(luò)中的設(shè)備有調(diào)整或變化，只要網(wǎng)絡(luò)是連通的，就可以執(zhí)行掃描任務(wù)。但是基于網(wǎng)絡(luò)的掃描也存在一些局限性：掃描無法直接訪問目標(biāo)網(wǎng)絡(luò)或系統(tǒng)主機(jī)上的文件系統(tǒng)；其次，掃描活動不能突破網(wǎng)絡(luò)防火墻[3]。

2.2.2 基于主機(jī)的安全漏洞掃描技術(shù)

基于主機(jī)的安全漏洞掃描技術(shù)是通過以系統(tǒng)管理員權(quán)限登錄目標(biāo)主機(jī)，記錄網(wǎng)絡(luò)或系統(tǒng)配置、規(guī)則等重要項(xiàng)目參數(shù)，通過獲取的信息與標(biāo)準(zhǔn)的系統(tǒng)安全配置庫進(jìn)行比對，最終獲知系統(tǒng)的安全漏洞與風(fēng)險(xiǎn)。

基于主機(jī)的安全漏洞掃描技術(shù)的優(yōu)點(diǎn)包括：可使用的規(guī)則多，掃描結(jié)果精準(zhǔn)度高；網(wǎng)絡(luò)流量負(fù)載較小，不易被發(fā)現(xiàn)。該技術(shù)也存在一些局限性：首先，基于主機(jī)的安全漏洞掃描軟件或工具的價(jià)格昂貴；其次，基于主機(jī)的安全漏洞掃描軟件或工具首次部署的工作周期較長。

3 基于最小攻擊代價(jià)的網(wǎng)絡(luò)防御有效性分析策略

惡意攻擊總是以某一目標(biāo)為導(dǎo)向，惡意攻擊者為了達(dá)到目標(biāo)會選擇各種有效的手法對網(wǎng)絡(luò)進(jìn)行攻擊。在復(fù)雜網(wǎng)絡(luò)環(huán)境下，如果可以盡可能大地提高惡意攻擊者的攻擊代價(jià)，則對應(yīng)能達(dá)到提高有效防御的能力。基于這個假設(shè)，這里展示一種在復(fù)雜網(wǎng)絡(luò)環(huán)境下分析攻擊有效性的策略，并依此計(jì)算從非安全區(qū)到目標(biāo)區(qū)是否存在足夠小的攻擊代價(jià)，讓惡意攻擊可以獲取目標(biāo)。如果存在，則可以被惡意攻擊利用的路徑將被計(jì)算出來；如果不存在，則證明從非安全區(qū)到目標(biāo)區(qū)的安全防御能力是可以接受的。

以二元組的形式描述網(wǎng)絡(luò)拓?fù)鋱D[4][C，]其中節(jié)點(diǎn)是網(wǎng)絡(luò)中的各類設(shè)備，邊表示設(shè)備間的關(guān)聯(lián)關(guān)系。假設(shè)非安全區(qū)域?yàn)閇Z，]目標(biāo)區(qū)域?yàn)閇D。]在網(wǎng)絡(luò)中，攻擊者如果能達(dá)到目標(biāo)，必然至少存在一條從非安全區(qū)節(jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)[d]的通路[p，]且這條通路上的攻擊代價(jià)小于值[w。]其中，攻擊代價(jià)指攻擊者能夠利用攻擊工具、系統(tǒng)缺陷、脆弱性等信息，實(shí)現(xiàn)其對目標(biāo)的入侵行為所付出的代價(jià)。直觀地，由于攻擊行為往往會因遇到安全設(shè)備和安全策略的阻攔，而導(dǎo)致其成功實(shí)現(xiàn)其攻擊目的的時(shí)間、精力甚至資金成本提高，攻擊者為達(dá)到其攻擊目標(biāo)所付出的所有的行為成本即攻擊代價(jià)。

在圖[G]中，每一個節(jié)點(diǎn)[v]具有輸入權(quán)限[q]和獲利權(quán)限[q]（如表1所示）、本身的防護(hù)能力[pr]以及風(fēng)險(xiǎn)漏洞數(shù)L（L≥0）。攻擊者能力是指攻擊者通過輸入權(quán)限[q，]通過任意攻擊手段，在節(jié)點(diǎn)[v]上所能獲取的最高權(quán)限值（獲利權(quán)限）[q′。]直觀地，輸入權(quán)限代表攻擊者在對某節(jié)點(diǎn)進(jìn)行攻擊前所擁有的權(quán)限，如Web服務(wù)器一般均具有匿名訪問權(quán)限；獲利權(quán)限代表攻擊者最終可以利用的系統(tǒng)權(quán)限。

最短攻擊路徑是從非安全區(qū)域[Z]中任意節(jié)點(diǎn)[z]到目標(biāo)節(jié)點(diǎn)[d]所有攻擊路徑中，防護(hù)成功率最低的[Pr]所對應(yīng)的路徑。最短攻擊路徑所對應(yīng)耗費(fèi)的攻擊代價(jià)為最小攻擊代價(jià)[4]，也是該網(wǎng)絡(luò)的防護(hù)能力有效性分值。

攻擊代價(jià)閾值：一旦攻擊者付出的攻擊代價(jià)超過其預(yù)期，攻擊者很大程度上將會停止使得攻擊代價(jià)超限的某一攻擊行為，轉(zhuǎn)而專注于攻擊代價(jià)較小的其他攻擊路徑。攻擊代價(jià)閾值即攻擊者為達(dá)到目標(biāo)可接受的最大攻擊代價(jià)。如果防護(hù)能力有效性分值小于攻擊代價(jià)閾值，則說明攻擊目標(biāo)可以達(dá)到。

攻擊代價(jià)閾值一般可以通過人工方式指定，本文采用德爾斐法，也被稱為專家咨詢法的方式來確定。經(jīng)過專家分析和評判，將攻擊代價(jià)閾值設(shè)定為[t，]當(dāng)攻擊路徑防護(hù)能力小于[t]即認(rèn)為攻擊者會完成攻擊行為并能成功實(shí)施攻擊行為。

4 網(wǎng)絡(luò)防御有效性分析應(yīng)用

假設(shè)在電網(wǎng)企業(yè)復(fù)雜網(wǎng)絡(luò)環(huán)境場景下存在一類新型的APT攻擊，網(wǎng)絡(luò)中使用兩種策略A，B進(jìn)行攻擊防御。策略A采用了現(xiàn)有的隔離與防御技術(shù)，策略B是在現(xiàn)有基礎(chǔ)上增加應(yīng)用了APT防御技術(shù)。計(jì)算兩類策略下的最小攻擊代價(jià)，并進(jìn)而對APT防護(hù)效果進(jìn)行分析。

4.1 策略選取

4.1.1 策略A

圖1為一個簡化的復(fù)雜網(wǎng)絡(luò)環(huán)境實(shí)例拓?fù)?，其中DMZ區(qū)部署的Web服務(wù)器為內(nèi)、外網(wǎng)用戶提供Web服務(wù)，電網(wǎng)地市局局域網(wǎng)的內(nèi)部用戶不允許與外網(wǎng)直接連接，限網(wǎng)。各安全域之間具體訪問控制策略如下：

（1） 只允許地市局局域網(wǎng)用戶訪問DMZ區(qū)Host2（H2）上的IIS Web服務(wù)和Host3（H3）上的Tomcat服務(wù)；

（2） DMZ 區(qū)的H2 允許訪問H3上的Tomcat服務(wù)和IDC區(qū)Host4（H4）上的Oracle DB服務(wù)；

（3） 禁止H2和H3訪問Domino服務(wù)器Host5（H5）；

（4） H5允許訪問DMZ的H2和H3及IDC區(qū)的H4。

4.2 效果分析

通過上述計(jì)算結(jié)果表明，在應(yīng)用策略A與B情況下，局域網(wǎng)用戶到DMZ區(qū)域目標(biāo)主機(jī)存在的攻擊路徑的防護(hù)有效性分值分別是（0.3，0.3，0.51）與（0.93， 0.93，0.979）。在策略A的情況下，通過DMZ區(qū)的H2為跳板，攻擊IDC的目標(biāo)主機(jī)H4，最短攻擊路徑的防護(hù)有效性分值只有0.51，說明局域網(wǎng)內(nèi)的攻擊者能在花費(fèi)較小代價(jià)的情況下，輕易地獲取內(nèi)網(wǎng)DMZ或IDC服務(wù)器的系統(tǒng)權(quán)限，從而造成較大的危害。而增加APT防護(hù)設(shè)備之后，通過DMZ區(qū)的H2為跳板，攻擊IDC的目標(biāo)主機(jī)H4，防護(hù)有效性分值提升為0.979，其他攻擊路徑的防護(hù)有效性也有明顯提高。

策略A與策略B的對比結(jié)果表明，在DMZ區(qū)域有APT防護(hù)技術(shù)情況下，網(wǎng)絡(luò)環(huán)境下整體的隔離與防御能力得到了明顯提升，從而驗(yàn)證了隔離與防御新技術(shù)的防護(hù)效果。

5 結(jié) 語

在新形勢、新技術(shù)下，我國電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全仍面臨著嚴(yán)峻的挑戰(zhàn)，應(yīng)當(dāng)高度重視網(wǎng)絡(luò)信息安全工作，不斷發(fā)展完善信息安全防御新技術(shù)，改善網(wǎng)絡(luò)信息安全的水平。單純使用某種防御技術(shù)，往往已無法應(yīng)對快速變化的安全防御需求，只有綜合運(yùn)用各種新型的攻防技術(shù)，分析其關(guān)聯(lián)結(jié)果，并通過網(wǎng)內(nèi)、網(wǎng)間各類安全設(shè)備、安全措施的互相配合，才能最終建立健全網(wǎng)絡(luò)信息安全防范體系，最大限度減少惡意入侵的威脅，保障企業(yè)應(yīng)用的安全、穩(wěn)定運(yùn)行。

參考文獻(xiàn)

[1] 高子坤，楊海洲，王江濤.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略分析[J].科技研究，2014，11（2）：155?157.

[2] 彭曉明.應(yīng)對飛速發(fā)展的計(jì)算機(jī)網(wǎng)絡(luò)的安全技術(shù)探索[J].硅谷，2014，15（11）：86?87.

[3] 范海峰.基于漏洞掃描技術(shù)的網(wǎng)絡(luò)安全評估方法研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2012，8（6）：9?11.

[4] 吳迪，馮登國，連一峰，等.一種給定脆弱性環(huán)境下的安全措施效用評估模型[J].軟件學(xué)報(bào)，2012，23（7）：1880?1898.

篇2

關(guān)鍵詞：網(wǎng)絡(luò)工程；安全防護(hù)；防護(hù)技術(shù)

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）21- 4790-02

隨著我國社會經(jīng)濟(jì)的發(fā)展，信息化建設(shè)也發(fā)展較快，現(xiàn)代通信技術(shù)日新月異。通信網(wǎng)絡(luò)的推廣和普及使人們改變了信息交流的方式，逐漸成為人們?nèi)粘Ｉ钚畔@取和交流的主要途徑。近年來，我國互聯(lián)網(wǎng)行業(yè)的飛速發(fā)展帶來了兩個方面的影響，一方面方便了人們的工作和生活，另一方面由于計(jì)算機(jī)網(wǎng)絡(luò)的開放性、互聯(lián)性以及分散性等特點(diǎn)，使得網(wǎng)絡(luò)工程中還不同程度地存在著一些安全隱患，威脅著網(wǎng)絡(luò)工程的通信網(wǎng)絡(luò)環(huán)境。網(wǎng)絡(luò)安全防護(hù)是一種網(wǎng)絡(luò)安全技術(shù)，加強(qiáng)網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)，有利于保障通信網(wǎng)絡(luò)安全暢通。因此，研究網(wǎng)絡(luò)工程中的安全防護(hù)技術(shù)具有十分重要的現(xiàn)實(shí)意義。鑒于此，筆者對網(wǎng)絡(luò)工程中的安全防護(hù)技術(shù)進(jìn)行了初步探討。

1 網(wǎng)絡(luò)工程安全存在的問題分析

當(dāng)前，網(wǎng)絡(luò)工程安全現(xiàn)狀不容樂觀，還存在著諸多亟待解決的問題，這些問題主要表現(xiàn)在黑客的威脅攻擊、計(jì)算機(jī)病毒入侵、IP地址被盜用、垃圾郵件的泛濫和計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)五個方面，其具體內(nèi)容如下：

1.1 黑客的威脅攻擊

黑客的威脅攻擊是網(wǎng)絡(luò)工程安全中存在的問題之一。黑客最早源自英文hacker，從黑客的定義上來看，黑客是指利用系統(tǒng)安全漏洞對網(wǎng)絡(luò)進(jìn)行攻擊破壞或竊取資料的人。一般來說，黑客在對網(wǎng)絡(luò)工程進(jìn)行攻擊時(shí)，按黑客攻擊的方式分類主要有兩種攻擊方式，即非破壞性攻擊和破壞性攻擊。非破壞性攻擊通常為了擾亂系統(tǒng)的運(yùn)行，將阻礙系統(tǒng)正常運(yùn)行作為目的， 并不盜竊系統(tǒng)資料，用拒絕服務(wù)和信息炸彈對系統(tǒng)進(jìn)行攻擊；破壞性攻擊以侵入電腦系統(tǒng)、盜竊系統(tǒng)保密信息為目的，黑客會破壞電腦系統(tǒng)。

1.2 計(jì)算機(jī)病毒入侵

計(jì)算機(jī)病毒入侵在一定程度上制約著網(wǎng)絡(luò)工程安全的發(fā)展。計(jì)算機(jī)病毒具有破壞性，復(fù)制性和傳染性等特點(diǎn)，計(jì)算機(jī)病毒不是天然存在的，是編制者將指令、程序代碼植入到計(jì)算機(jī)系統(tǒng)中。所謂的病毒是人為造成的，通過影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行，造成對其他用戶的危害。計(jì)算機(jī)病毒破壞力強(qiáng)、傳播迅速且不易被察覺，尤其是像木馬、震網(wǎng)、火焰這些通過網(wǎng)絡(luò)作為途徑傳播的病毒，一旦感染其他程序，將會對計(jì)算機(jī)資源進(jìn)行破壞。不難看出，提高系統(tǒng)的安全性是確保網(wǎng)絡(luò)工程安全的過程中迫切需要解決的問題。

1.3 IP地址被盜用

IP地址被盜用也是網(wǎng)絡(luò)工程安全的瓶頸。對計(jì)算機(jī)網(wǎng)絡(luò)而言，被盜用IP地址的計(jì)算機(jī)不能正常使用網(wǎng)絡(luò)，致使用戶無法進(jìn)行正常的網(wǎng)絡(luò)連接。區(qū)域網(wǎng)絡(luò)中常有l(wèi)P被盜的情況，這種情況下用戶被告知lP地址已被占用，致使用戶無法進(jìn)行正常的網(wǎng)絡(luò)連接。這些lP地址權(quán)限通常較高，竊取lP者一般會以不知名的身份來擾亂用戶的正常網(wǎng)絡(luò)使用，這會給用戶帶來很大的影響，使用戶的自身權(quán)益受到侵犯，也嚴(yán)重威脅網(wǎng)絡(luò)的安全性。

1.4 垃圾郵件的泛濫

垃圾郵件的泛濫，使得網(wǎng)絡(luò)工程安全陷入困境。垃圾郵件是指那些并非用戶自愿卻無法阻止收取的郵件。長期以來，垃圾郵件損害了郵件使用者的利益， 垃圾郵件的的日益嚴(yán)重讓網(wǎng)絡(luò)重負(fù)逐漸加大，對效率和安全性造成嚴(yán)重的威脅，一方面大量消耗網(wǎng)絡(luò)資源，減緩了系統(tǒng)運(yùn)行效率；另一方面，數(shù)量繁多的垃圾郵件還侵害整個網(wǎng)絡(luò)工程的安全。

1.5 計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)

計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)也影響著網(wǎng)絡(luò)工程安全。在計(jì)算機(jī)網(wǎng)絡(luò)工程中，管理機(jī)構(gòu)的體制不健全，各崗位分工不明確，對密碼及權(quán)限的管理不夠，這些因素使網(wǎng)絡(luò)安全日益受到外來的破壞且用戶自身安全防衛(wèi)意識薄弱，無法有效地規(guī)避信息系統(tǒng)帶來的風(fēng)險(xiǎn)， 導(dǎo)致計(jì)算機(jī)系統(tǒng)的風(fēng)險(xiǎn)逐步嚴(yán)重，計(jì)算機(jī)系統(tǒng)不能正常工作，最終威脅到計(jì)算機(jī)網(wǎng)絡(luò)的安全。因此，加強(qiáng)網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)勢在必行。

2 加強(qiáng)網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)的策略

2.1 設(shè)置防火墻過濾信息

最直接的黑客防治辦法是運(yùn)用防火墻技術(shù)，設(shè)置防火墻過濾信息是加強(qiáng)網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)的關(guān)鍵。網(wǎng)絡(luò)工程中最有效的防護(hù)手段就是在外部網(wǎng)絡(luò)和局域網(wǎng)之間架設(shè)防火墻，網(wǎng)絡(luò)防火墻作為一個位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件，可以將局域網(wǎng)與外部網(wǎng)的地址分割開，計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻，經(jīng)過防火墻的過濾，能夠過濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行，增加內(nèi)部網(wǎng)絡(luò)的安全性。另外，防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點(diǎn)的訪問，從而防止來自不明入侵者的所有通信。

2.2 加強(qiáng)病毒的防護(hù)措施

加強(qiáng)病毒的防護(hù)措施也是加強(qiáng)網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)的重要組成部分。病毒防護(hù)是計(jì)算機(jī)系統(tǒng)日常維護(hù)與安全管理的重要內(nèi)容，當(dāng)前計(jì)算機(jī)病毒在形式上越來越難以辨別，計(jì)算機(jī)網(wǎng)絡(luò)病毒的防治，單純依靠技術(shù)手段是不可能十分有效地杜絕和防止其蔓延的，只有把技術(shù)手段和管理機(jī)制緊密結(jié)合起來，提高人們的防范意識，才有可能從根本上保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。常見的殺毒軟件有：360安全衛(wèi)士，卡巴斯基，金山毒霸等。網(wǎng)絡(luò)工程在加強(qiáng)病毒的防護(hù)措施方面，對計(jì)算機(jī)網(wǎng)絡(luò)工程人員而言，相關(guān)人員都應(yīng)該掌握使用殺毒軟件、防病毒卡等措施，一般情況下，要定期對計(jì)算進(jìn)行病毒檢測與查殺，一旦發(fā)現(xiàn)病毒時(shí)應(yīng)詢問后再處理，不僅如此，對計(jì)算機(jī)系統(tǒng)的重要文件還要進(jìn)行備份，防止由于病毒對系統(tǒng)造成的破壞導(dǎo)致數(shù)據(jù)的丟失。

2.3 入侵檢測技術(shù)的植入

入侵檢測系統(tǒng)作為一種主動的安全防護(hù)技術(shù)，對于加強(qiáng)網(wǎng)絡(luò)工程中安全防護(hù)至關(guān)重要。對網(wǎng)絡(luò)工程而言，入侵檢測技術(shù)對計(jì)算機(jī)網(wǎng)絡(luò)資源及信息中隱藏或包含的惡意攻擊行為有效的識別，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，可以利用網(wǎng)絡(luò)安全入侵檢測采取相應(yīng)的網(wǎng)絡(luò)安全防護(hù)措施。入侵檢測系統(tǒng)能夠從網(wǎng)絡(luò)安全的立體縱深、多層次防御的角度出發(fā)提供安全服務(wù)，從而有效的降低了來自網(wǎng)絡(luò)的威脅和破壞，必將進(jìn)一步受到人們的高度重視。

2.4 拒絕垃圾郵件的收取

凡是未經(jīng)用戶許可就強(qiáng)行發(fā)送到用戶的郵箱中的電子郵件，都被成為垃圾郵件。垃圾郵件一般具有批量發(fā)送的特征。垃圾郵件現(xiàn)在慢慢發(fā)展成為計(jì)算機(jī)網(wǎng)絡(luò)安全的又一公害。拒絕垃圾郵件的收取也是加強(qiáng)網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)的重要環(huán)節(jié)，拒絕垃圾郵件的收取，要從保護(hù)自己的郵件地址做起，不要隨意的使用郵箱地址作為登記信息，避免垃圾郵件的擾亂。還可以使用outlookExPress和Faxmail中的郵件管理，將垃圾文件過濾處理，拒絕垃圾文件的收取。

2.5 加強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)的防范

加強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)的防范對于加強(qiáng)網(wǎng)絡(luò)工程安全也不容忽視。在網(wǎng)絡(luò)工程風(fēng)險(xiǎn)防范的過程中，利用數(shù)據(jù)加密技術(shù)是行之有效的途徑。數(shù)據(jù)加密技術(shù)是加密技術(shù)是最常用的安全保密手段，也是有效防范網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)最直接，最為有效的方式。數(shù)據(jù)加密是一種限制對網(wǎng)絡(luò)上傳輸數(shù)據(jù)的訪問權(quán)的技術(shù)，具體說來，它是通過引導(dǎo)用戶對網(wǎng)絡(luò)傳輸中出現(xiàn)的、比較重要的數(shù)據(jù)進(jìn)行設(shè)置密碼的過程。從網(wǎng)絡(luò)工程中數(shù)據(jù)加密的方式上來看，數(shù)據(jù)加密技術(shù)主要包括線路加密、端與端加密等等，各種方法都有各自的有點(diǎn)，線路加密主要是針對需要保密的信息進(jìn)行的，在加密時(shí)使用加密密鑰來對信息進(jìn)行保護(hù)。端與端加密主要是針對網(wǎng)絡(luò)信息的發(fā)出方，當(dāng)網(wǎng)絡(luò)信息數(shù)據(jù)到達(dá)tcp/ip之后就利用數(shù)據(jù)包進(jìn)行回封操作，以此對重要數(shù)據(jù)進(jìn)行安全保護(hù)。

3 結(jié)束語

總之，網(wǎng)絡(luò)工程中的安全防護(hù)是一項(xiàng)綜合的系統(tǒng)工程，具有長期性和復(fù)雜性。網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)，應(yīng)設(shè)置防火墻過濾信息、加強(qiáng)病毒的防護(hù)措施、入侵檢測技術(shù)的植入、拒絕垃圾郵件的收取、加強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)的防范，不斷探索加強(qiáng)網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)的策略，只有這樣，才能不斷提高網(wǎng)絡(luò)工程的安全管理水平，進(jìn)而確保計(jì)算機(jī)網(wǎng)絡(luò)的安全。

參考文獻(xiàn)：

[1] 李巍巍.計(jì)算機(jī)網(wǎng)絡(luò)安全的數(shù)據(jù)備份和容災(zāi)系統(tǒng)[J].黑龍江科技信息，2010（33）.

[2] 王薪凱，姚衡，王亨，常晶晶，喻星晨.計(jì)算機(jī)網(wǎng)絡(luò)信息安全與防范[J].硅谷，2011（4）.

[3] 金金.2011年信息安全十大熱點(diǎn)預(yù)測[J].信息安全與通信保密，2011（3）.

[4] 趙章界，李晨旸，劉海峰.信息安全策略開發(fā)的關(guān)鍵問題研究[J].信息網(wǎng)絡(luò)安全，2011（3）.

[5] 陸文紅，蒙勁.小議通信網(wǎng)絡(luò)安全問題分析及維護(hù)措施[J].中小企業(yè)管理與科技（下旬刊），2010（10）.

[6] 余斌.論計(jì)算機(jī)互聯(lián)網(wǎng)與通信網(wǎng)絡(luò)建設(shè)的安全性[J].科技經(jīng)濟(jì)市場，2010（5）.

篇3

關(guān)鍵詞：非合作動態(tài)博弈；網(wǎng)絡(luò)安全；主動防御技術(shù)

中圖分類號：TP393.08

現(xiàn)有的網(wǎng)絡(luò)防御和入侵檢測系統(tǒng)主要的是依靠安全配置的方式對處于聯(lián)網(wǎng)狀態(tài)下的網(wǎng)絡(luò)進(jìn)行安全防護(hù)，這些防御技術(shù)具有本身一些缺點(diǎn)，無法對瞬時(shí)的攻擊以及未知的攻擊進(jìn)行保護(hù)，因此在對網(wǎng)絡(luò)的安全進(jìn)行保護(hù)的時(shí)候要做到適當(dāng)?shù)姆雷o(hù)，即有一定的可行性和合理性，又要保證能夠做到比較好的防御。博弈理論下的防御技術(shù)具有很多的變形，并且具有獨(dú)特的優(yōu)點(diǎn)，而非合作動態(tài)的博弈理論的應(yīng)用又進(jìn)一步的強(qiáng)化了這些特征。

1 博弈論

所謂博弈論，指的是一門研究其他的參加者關(guān)于utility（效用）的情況，理性參加者間互相產(chǎn)生作用的科學(xué)，其要素包括博弈的參加者中利益或者目標(biāo)間互相的沖突和均為理性的參加者特點(diǎn)等兩個方面。隨著理論的發(fā)展和時(shí)代的進(jìn)步，現(xiàn)代的博弈論也逐漸發(fā)展成為一項(xiàng)涵蓋心理學(xué)、運(yùn)籌學(xué)、哲學(xué)、數(shù)學(xué)、計(jì)算機(jī)科學(xué)、軍事戰(zhàn)略、政治、生物、經(jīng)濟(jì)等學(xué)科領(lǐng)域內(nèi)容的交叉性學(xué)科。通常而言，現(xiàn)代的博弈論所公認(rèn)的起源是由名為Morgenstern的經(jīng)濟(jì)學(xué)者與名為Von Neumann的數(shù)學(xué)家所共同撰寫的《博弈的理論與經(jīng)濟(jì)的行為》。盡管此處當(dāng)時(shí)所提出理論性博弈論的框架僅僅能夠?qū)Σ糠钟邢薜睦舆M(jìn)行使用，例如只對非合作與零的博弈問題等進(jìn)行了討論，但是該著作是將博弈的問題通過數(shù)學(xué)的語言作出解決與描述的第一人。在此之后，在眾多學(xué)者不斷的研究與努力下，尤其是在非合作的博弈理論內(nèi)Nash創(chuàng)造性的將策略的均衡概念進(jìn)行了引入，博弈論逐步演變成分析中極為有用且重要的工具[1]。

2 多階段的非合作動態(tài)博弈

網(wǎng)絡(luò)攻防圖的表示方式是G（V’，E’，U’），其為一個帶環(huán)的具有方向的圖，其中的V’叫狀態(tài)節(jié)點(diǎn)，表示的是所有有關(guān)的物理節(jié)點(diǎn)的所有狀態(tài)的集合。E’={Ea Ed}集合代表的是網(wǎng)絡(luò)的攻防圖中的有向邊方面的集合，集合內(nèi)的每一條邊代表的是來自攻擊方或者是防御方的攻防策略，U’集合表示的是網(wǎng)絡(luò)的攻擊和防御的策略相對應(yīng)的策略收益方面的集合。網(wǎng)絡(luò)的攻擊圖之上再加上相應(yīng)的防御策略就變成了網(wǎng)絡(luò)的攻防策略圖。

2.1 攻防博弈樹的形成

攻防博弈樹被應(yīng)用與完全信息的網(wǎng)絡(luò)攻防動態(tài)博弈中，可以對其進(jìn)行有效的描述。攻防博弈樹可以對攻擊方和防御方的動態(tài)策略選擇進(jìn)行描述和了解。為有效的發(fā)揮相應(yīng)的集合的概念需要將網(wǎng)絡(luò)的攻防圖轉(zhuǎn)變成攻防的博弈樹T。要對攻防圖中的兩種子圖進(jìn)行轉(zhuǎn)化，包括入度為n（n>1）的節(jié)點(diǎn)子圖，以及包含環(huán)圖的子圖。

處于非合作動態(tài)博弈理論下的網(wǎng)絡(luò)安全通過攻防博弈樹來進(jìn)行描述和分析。由于攻防博弈樹可以對攻擊方或者是防御方的動態(tài)策略選擇進(jìn)行秒描述，可以知道參與者會在什么時(shí)候采取什么活動進(jìn)行行動，并且企圖通過這個活動產(chǎn)生什么效益和信息。其圖形如下圖1所示。

要對網(wǎng)絡(luò)的攻防圖和網(wǎng)絡(luò)的攻防博弈樹上的結(jié)構(gòu)差異進(jìn)行消除，需要將虛擬節(jié)點(diǎn)的技術(shù)引入才能夠?qū)崿F(xiàn)。網(wǎng)路的攻防圖通過引入虛擬節(jié)點(diǎn)技術(shù)可以將攻防的博弈樹的節(jié)點(diǎn)結(jié)構(gòu)進(jìn)行進(jìn)一步的規(guī)范。在此階段需要采取的算法包括完全信息的多階段博弈理論的逆向歸納算法，以及非完全信息的多階段動態(tài)博弈的逆向歸納的方法[2]。

2.2 應(yīng)用實(shí)例

為驗(yàn)證該技術(shù)的有效性和可行性，下面以該實(shí)驗(yàn)場景進(jìn)行模擬實(shí)驗(yàn)，實(shí)驗(yàn)的場景如圖2所示：

通過漏洞和木馬的掃描工具統(tǒng)計(jì)出目標(biāo)系統(tǒng)的相關(guān)漏洞信息，將攻擊的圖生成為子系統(tǒng)的攻擊圖，再在圖中增加各個攻擊階段相對應(yīng)的防御措施，人后利用以上的攻防博弈圖的理論將其轉(zhuǎn)變成相應(yīng)的攻防博弈樹，博弈樹中的實(shí)線代表的是有方向的一邊集合攻擊方采用的攻擊策略，虛線代表的是有方向的邊代表的是防御方所采用的防御策略的集合，并且在有方向的實(shí)線的一段引出的節(jié)點(diǎn)表示的攻擊的節(jié)點(diǎn)，有方向的虛線一端引出的就是防御方的節(jié)點(diǎn)，而同時(shí)具有實(shí)線和虛線的節(jié)點(diǎn)代表的是混合的節(jié)點(diǎn)。所代表的意思為該點(diǎn)既可以在防御的一方采取防御的措施，有可以被攻擊的一方作為攻擊的節(jié)點(diǎn)。通過運(yùn)算的方式1得出逆向歸納的路徑的集合，并且找到最佳的攻防路徑，根據(jù)運(yùn)行的結(jié)果來計(jì)算出攻擊方最有可能采取的策略集以及對路由器進(jìn)行拒絕攻擊的服務(wù)。防御方要據(jù)此來進(jìn)行最佳的補(bǔ)丁的安裝。

攻擊博弈樹的形狀和結(jié)構(gòu)圖如下圖3：

假設(shè)理性的人被違背，那么攻擊者采取的措施就會突破防火墻，并且對實(shí)驗(yàn)的服務(wù)帳號進(jìn)行嘗試破解的工作，這時(shí)防御的一方就要采取最佳的防御措施以修復(fù)系統(tǒng)的補(bǔ)丁或者是對文件的數(shù)據(jù)進(jìn)行恢復(fù)。算法2提出的是動態(tài)的博弈模型，該模式可能在進(jìn)行實(shí)際的攻擊策略時(shí)會與預(yù)期的攻擊策略出現(xiàn)一定的差錯或者是不對應(yīng)的情況，導(dǎo)致在又一個新的節(jié)點(diǎn)上采取新的動態(tài)博弈的措施，所以算法2可以在攻擊的意圖發(fā)生變化的時(shí)候仍舊計(jì)算出最佳的攻擊集合，并且除此之外，算法2提出的方法能夠?qū)φ麄€的狀態(tài)空間進(jìn)行全面的博弈局勢的掌握，由此便可以推測出最優(yōu)化的防御措施。這樣就可以在全局的大范圍內(nèi)對防御的措施進(jìn)行最優(yōu)化的選擇[3]。通過實(shí)驗(yàn)可以看出基于非合作動態(tài)的博弈環(huán)境下的網(wǎng)絡(luò)安全防御技術(shù)具有比較好的高效性，并且具有一些很明顯的優(yōu)勢，能夠?qū)W(wǎng)絡(luò)的安全起到很強(qiáng)的積極作用。

3 結(jié)語

基于目前的靜態(tài)、被動的網(wǎng)絡(luò)安全防御的技術(shù)缺點(diǎn)，研究主要的分析了新興的基于非合作動態(tài)博弈理論的主動網(wǎng)絡(luò)防御技術(shù)，該技術(shù)的特點(diǎn)是引入了虛擬接點(diǎn)的技術(shù)，以此實(shí)現(xiàn)了網(wǎng)絡(luò)攻防圖和攻防博弈樹的轉(zhuǎn)化。該技術(shù)還提出了求解最佳的攻防策略的博弈理論算法，經(jīng)過理論和時(shí)間的檢驗(yàn)，該技術(shù)在對網(wǎng)絡(luò)進(jìn)行防御方面具體很強(qiáng)的可操作性。值得在以后的工作和實(shí)踐中進(jìn)行推廣和使用。

參考文獻(xiàn)：

[1]林旺群，王慧，劉家紅，鄧鐳，李愛平，吳泉源，賈焰.基于非動態(tài)博弈的網(wǎng)絡(luò)安全主動防御技術(shù)研究[J].計(jì)算機(jī)研究與發(fā)展，2011，02（45）：12-13.

[2]姜偉，方濱興，田志宏.基于攻防博弈模型的網(wǎng)絡(luò)安全測評和最優(yōu)主動防御[J].計(jì)算機(jī)學(xué)報(bào)，2009，32（04）：817-827.

篇4

（中國人民公安大學(xué)（團(tuán)河校區(qū)）網(wǎng)絡(luò)安全保衛(wèi)學(xué)院，北京100076）

摘要：網(wǎng)絡(luò)攻防課題已經(jīng)為越來越多的高校所重視，國內(nèi)越來越多的CTF網(wǎng)絡(luò)攻防競賽也是愈演愈烈。文章提出將CTF的比賽模式應(yīng)用于網(wǎng)絡(luò)安全的教學(xué)過程，以提高學(xué)生在學(xué)習(xí)過程中的積極性，同時(shí)闡述競賽平臺總體結(jié)構(gòu)、后臺數(shù)據(jù)庫關(guān)系以及主要題目類型的歸納設(shè)計(jì)。

關(guān)鍵詞 ：CTF；網(wǎng)絡(luò)安全；競賽平臺設(shè)計(jì)

文章編號：1672-5913(2015)17-0047-04 中圖分類號：G642

基金項(xiàng)目：中國人民公安大學(xué)基本科研業(yè)務(wù)費(fèi)項(xiàng)目( 2015JKF01435)。

第一作者簡介：高見，男，講師，研究方向?yàn)榫W(wǎng)絡(luò)安全，gaojianbeijing2006@163．com。

1 C語言實(shí)驗(yàn)情況現(xiàn)狀

CTF（capture the flag）即奪旗競賽。在網(wǎng)絡(luò)安全領(lǐng)域，經(jīng)常以CTF的形式舉行比賽以展示自己的網(wǎng)絡(luò)安全技能。1996年的DEFCON全球黑客大會首次使用奪旗競賽的形式，代替之前黑客們互相真實(shí)攻擊進(jìn)行技術(shù)較量的方式。CTF發(fā)展至今，已經(jīng)成為全球范圍網(wǎng)絡(luò)安全圈流行的競賽形式。2013年，全球舉辦了超過50場國際性CTF賽事；而DEFCON作為CTF賽制的發(fā)源地，DEFCON CTF也成為目前全球最高技術(shù)水平和影響力的CTF競賽，類似于CTF賽場中的“世界杯”。奪旗競賽可以增加比賽的趣味性和競爭性，因此將其借鑒到各高校的C語言實(shí)驗(yàn)教學(xué)過程中，可以提高學(xué)生對課程的學(xué)習(xí)興趣，使學(xué)生在游戲中學(xué)習(xí)，在競賽中提高。

2 競賽模式種類

2.1 解題模式

在解題模式( jeopardy) CTF賽制中，參賽隊(duì)伍可以通過互聯(lián)網(wǎng)或者現(xiàn)場網(wǎng)絡(luò)參與。這種模式的CTF競賽與ACM編程競賽、信息學(xué)奧賽類似，以解決網(wǎng)絡(luò)安全技術(shù)挑戰(zhàn)題目的分值和時(shí)間排名，通常用于在線選拔賽。題目主要包含逆向、漏洞挖掘與利用、Web滲透、密碼、取證、隱寫、安全編程等類別。

2.2 攻防模式

在攻防模式（attack-defense）CTF賽制中，參賽隊(duì)伍在網(wǎng)絡(luò)空間互相進(jìn)行攻擊和防守，通過挖掘網(wǎng)絡(luò)服務(wù)漏洞并攻擊對手服務(wù)得分，通過修補(bǔ)自身服務(wù)漏洞進(jìn)行防御以避免丟分。攻防模式CTF賽制可以實(shí)時(shí)通過得分反映出比賽情況，最終也以得分直接分出勝負(fù)，是一種競爭激烈、具有很強(qiáng)觀賞性和高度透明性的網(wǎng)絡(luò)安全賽制。在這種賽制中，不僅僅是比參賽隊(duì)員的智力和技術(shù)，還比體力（因?yàn)楸荣愐话銜掷m(xù)48小時(shí)及以上），同時(shí)也比團(tuán)隊(duì)之間的分工配合與合作。

2.3 混合模式

混合模式( mix)是結(jié)合了解題模式與攻防模式的CTF賽制。參賽隊(duì)伍通過解題可以獲取一些初始分?jǐn)?shù)，然后通過攻防對抗進(jìn)行得分增減的零和游戲，最終以得分高低分出勝負(fù)。采用混合模式CTF賽制的典型代表如iCTF國際CTF競賽。

3 競賽平臺設(shè)計(jì)

競賽平臺結(jié)構(gòu)分為網(wǎng)絡(luò)攻防競賽網(wǎng)站和網(wǎng)絡(luò)攻防競賽平臺靶機(jī)服務(wù)器。網(wǎng)絡(luò)攻防競賽網(wǎng)站搭建于真實(shí)服務(wù)器上，用于參賽隊(duì)員答題以及瀏覽比賽事項(xiàng)。競賽題目存放于網(wǎng)絡(luò)攻防競賽平臺服務(wù)器的虛擬機(jī)環(huán)境中。比賽過程中會出現(xiàn)隊(duì)員互相攻擊的情況，為了避免網(wǎng)站資源受到攻擊而產(chǎn)生崩潰，在虛擬環(huán)境中可以利用快照備份當(dāng)前的漏洞環(huán)境。

網(wǎng)絡(luò)攻防靶機(jī)服務(wù)器提供3臺靶機(jī)，均存放于服務(wù)器虛擬機(jī)中。銅牌靶機(jī)、銀牌靶機(jī)、金牌靶機(jī)均在同一網(wǎng)段上。競賽平臺體系結(jié)構(gòu)如圖1所示。

該設(shè)計(jì)平臺采用PHP+MySQL的方式進(jìn)行搭建，后臺數(shù)據(jù)庫表的關(guān)系如圖2所示。

其中，Student表中存放選手的基本信息，包括學(xué)號、姓名、年級、區(qū)隊(duì)、登錄密碼和Salt；Chapter表中，存放題目類型的ID號和類型的名稱；Examination表中存放每道題的唯一ID號、題目對應(yīng)的類型號（通過外鍵連接）、題干內(nèi)容、題目所涉及的文件和題目對應(yīng)的分?jǐn)?shù)；Result表中存放選手答題的結(jié)果，其中包括每道題的ID（通過外鍵連接）、選手的ID（通過外鍵連接）、提交的答案和代碼；Score表中存放選手答題的成績，其中包括每道題的ID（通過外鍵連接）、選手的ID（通過外鍵連接）和題目對應(yīng)的分?jǐn)?shù)；Answer表中存放題目的標(biāo)準(zhǔn)答案，包括每道題的ID（通過外鍵連接）、選手的ID（通過外鍵連接）和題目對應(yīng)的答案。選手的ID號可以為空，如果對于同一道題目每個學(xué)生的答案是唯一的，那么記錄中就只有題目ID和題目的答案；如果對于同一道題目每個選手的答案可能是不唯一的（如寫出每個學(xué)生學(xué)號后4位對應(yīng)的16進(jìn)制數(shù)），那么記錄中要有題目ID和學(xué)生ID及答案。

4 實(shí)驗(yàn)內(nèi)容設(shè)計(jì)

4.1 Web安全題目設(shè)計(jì)

根據(jù)Web應(yīng)用程序安全項(xiàng)目(OWASP，open web application security project)近幾年公布的OWASP top 10 Web安全威脅，我們總結(jié)目前主流的Web安全漏洞有以下幾方面。

(1)注入漏洞。目前主流的注入漏洞為SQL注入漏洞以及OS命令注入漏洞。這一類漏洞發(fā)生在開放者未對用戶輸入的字符進(jìn)行充分的安全檢查，導(dǎo)致用戶輸入的數(shù)據(jù)會被當(dāng)作命令或者查詢執(zhí)行，致使注入漏洞產(chǎn)生。

(2)跨站腳本攻擊(XSS)。截至2015年，XSS漏洞是繼SQL注入以后第2個嚴(yán)重的Web安全威脅。它利用開發(fā)者或?yàn)g覽器對用戶輸入字符未加過濾的疏忽，通過JavaScript代碼實(shí)現(xiàn)惡意攻擊。

(3)跨站請求偽造(CSRF)?？缯菊埱髠卧焓怯脩粼跈?quán)限認(rèn)證后，攻擊者將偽造好的釣魚頁面發(fā)送給用戶，用戶點(diǎn)擊后觸發(fā)CSRF進(jìn)行一系列操作。

(4)中間人攻擊(MITM)。目前，中間人攻擊( MITM)的安全威脅主要來自局域網(wǎng)環(huán)境，因?yàn)榫W(wǎng)絡(luò)上普遍采用Http協(xié)議傳輸數(shù)據(jù)，但這種協(xié)議傳輸?shù)臄?shù)據(jù)是未經(jīng)加密的。當(dāng)用戶與攻擊者同處于一個局域網(wǎng)環(huán)境下，攻擊者通過劫持網(wǎng)關(guān)，可以嗅探到用戶通過Http協(xié)議發(fā)送的賬號以及圖片或視頻的數(shù)據(jù)流。

4.2 加密解密題目設(shè)計(jì)

加密解密題目通常采用較為冷門的加密算法對文件或文本字符串進(jìn)行加密，要求答題者對各類算法有一定的了解。應(yīng)用程序的加密解密往往涉及匯編、逆向等知識?？紤]到答題者中存在未學(xué)習(xí)過此類課程的學(xué)生，因此加密解密的題目可出兩道題，分別為應(yīng)用程序加密解密、字符串加密解密。

4.3 Wi-Fi破解及數(shù)據(jù)分析題目設(shè)計(jì)

本題由Wi-Fi破解及數(shù)據(jù)分析兩部分組成。首先，搭建一個局域網(wǎng)環(huán)境，包含A服務(wù)器以及B服務(wù)器。A服務(wù)器開啟無線連接，該無線連接密碼由WPA密鑰加密，密碼強(qiáng)度為純數(shù)字。答題者只有通過相關(guān)的Wi-Fi破解工具窮舉出Wi-Fi密碼才能夠得到連接密碼。在整個過程中，A服務(wù)器總是向B服務(wù)器發(fā)送UDP數(shù)據(jù)包，其中包含題目的FLAG。答題者需要在連入Wi-Fi后，通過嗅探工具截取發(fā)送數(shù)據(jù)并通過分析得到FLAG，完成本題。

4.4 取證分析題目設(shè)計(jì)

取證分析作為比賽題目的重點(diǎn)，在設(shè)計(jì)過程中也是難度最大的，因?yàn)榫W(wǎng)絡(luò)安全專業(yè)課培養(yǎng)方案中有取證分析的課程，主要介紹目前公安取證的基本方法和技術(shù)，而在網(wǎng)絡(luò)攻防競賽平臺的設(shè)計(jì)中，無法將課程中使用的取證大師等工具移植到平臺。為了使取證題目更具實(shí)戰(zhàn)意義，教師可將題目設(shè)計(jì)為分析系統(tǒng)日志，將日志設(shè)計(jì)為一臺已經(jīng)被入侵服務(wù)器的系統(tǒng)日志。被入侵服務(wù)器的系統(tǒng)為Windows XP SQL系統(tǒng)，系統(tǒng)被黑客人侵后留下系統(tǒng)日志，答題者需要在審計(jì)日志后得到黑客入侵的IP地址，通過找到對應(yīng)的端口得到黑客的服務(wù)器；黑客服務(wù)器中搭建一個Web服務(wù)器并創(chuàng)建一個網(wǎng)站，網(wǎng)站功能為驗(yàn)證答題者在系統(tǒng)審計(jì)過程中得到的信息。只有完成所有問題，才能夠得到題目的FLAG。

5 虛擬靶機(jī)設(shè)計(jì)

虛擬靶機(jī)作為網(wǎng)絡(luò)攻防競賽平臺中最重要的題目，由于更加貼近實(shí)戰(zhàn)角度，因此設(shè)計(jì)時(shí)應(yīng)更多考慮到實(shí)戰(zhàn)環(huán)境因素。靶機(jī)平臺搭建在服務(wù)器的虛擬機(jī)中，它們有不同的系統(tǒng)環(huán)境。虛擬機(jī)采用的是Vmware workstation 9.0軟件，它的好處在于可以方便地編輯網(wǎng)絡(luò)環(huán)境，快速組建可用有效的虛擬局域網(wǎng)。靶機(jī)平臺在網(wǎng)絡(luò)攻防競賽平臺中不僅只扮演靶機(jī)的角色，而且也對其他題目進(jìn)行支持。因此，在設(shè)計(jì)靶機(jī)系統(tǒng)的同時(shí)要考慮到虛擬系統(tǒng)的負(fù)載能力，避免因系統(tǒng)線程過多導(dǎo)致系統(tǒng)死機(jī)，影響比賽的進(jìn)行，可以采用虛擬機(jī)的快照功能保存當(dāng)前系統(tǒng)環(huán)境；在比賽過程中出現(xiàn)問題時(shí)，可以利用快照隨時(shí)還原系統(tǒng)，保障比賽進(jìn)度。

靶機(jī)系統(tǒng)的主要考查點(diǎn)包括3個：系統(tǒng)漏洞的發(fā)現(xiàn)與利用、系統(tǒng)網(wǎng)絡(luò)服務(wù)漏洞的發(fā)現(xiàn)與利用、網(wǎng)站漏洞的發(fā)現(xiàn)與利用。這3個主要考查點(diǎn)的背后同樣包含著大量的考查節(jié)點(diǎn)，它們組合在一起形成3臺靶機(jī)系統(tǒng)。銅牌、銀牌、金牌分別由簡單到困難的程度定義，在系統(tǒng)中利用漏洞的難度也不斷提高。為了保證大部分學(xué)生能夠攻破銅牌靶機(jī)，教師在設(shè)計(jì)之初，可將銅牌靶機(jī)定義為只含有系統(tǒng)漏洞和輸入法漏洞的靶機(jī)。這兩種漏洞的利用方法都很簡單，可以提高參賽隊(duì)員的信心，令學(xué)生對剩下的銀牌靶機(jī)和金牌靶機(jī)有攻破的欲望。教師可將靶機(jī)平臺所占分?jǐn)?shù)設(shè)定為不超過總分?jǐn)?shù)的40%，將銅牌靶機(jī)定為200分、銀牌靶機(jī)定為300分、金牌靶機(jī)定為500分。

5.1 銅牌靶機(jī)

銅牌靶機(jī)設(shè)定為易得分題，靶機(jī)系統(tǒng)為Windows XP系統(tǒng)。靶機(jī)的漏洞為系統(tǒng)層漏洞MS08-064。為了增強(qiáng)題目的靈活性，教師可在增加系統(tǒng)漏洞的同時(shí)增加網(wǎng)絡(luò)服務(wù)漏洞。IIS 6.0漏洞多種多樣，可以給答題者提供更多的答題思路。

5.2 銀牌靶機(jī)

銀牌靶機(jī)難度較銅牌靶機(jī)更大，考查答題者對網(wǎng)站整體入侵思路的掌握。在設(shè)計(jì)網(wǎng)站之初，銀牌靶機(jī)為PHP代碼編寫的賭博網(wǎng)站。網(wǎng)站中可設(shè)計(jì)多處漏洞，如XSS漏洞、SQL漏洞、任意文件讀取漏洞。答題者需要在滲透進(jìn)入服務(wù)器并遠(yuǎn)程連接服務(wù)器后在某個文件夾內(nèi)得到加密的RAR壓縮包，通過暴力破解得到題目的FLAG。

5.3 金牌靶機(jī)

金牌靶機(jī)的難度較大，為附加題目。金牌靶機(jī)系統(tǒng)為Linux系統(tǒng)，默認(rèn)安裝有Apache以及PHP環(huán)境，網(wǎng)站為PHP代碼編寫的詐騙網(wǎng)站。詐騙網(wǎng)站結(jié)構(gòu)簡單，僅有部分功能可以供答題者利用，其他頁面均為靜態(tài)頁面。答題者需要在頁面中尋找線索，才能夠得到網(wǎng)站的后臺地址。通過工具窮舉爆破，可以登錄網(wǎng)站后臺。網(wǎng)站后臺僅有上傳功能并且利用白名單進(jìn)行過濾，答題者需要在繞過白名單后才能夠利用后門繼續(xù)滲透服務(wù)器。FLAG文本文件具有系統(tǒng)權(quán)限，因此答題者只有在對Linux系統(tǒng)提權(quán)的情況下，才能夠得到FLAG完成此題。目的分值比如設(shè)為10分，當(dāng)前5位學(xué)生得到正確答案后，該題目的分?jǐn)?shù)自動降為9分，當(dāng)有10位學(xué)生得到正確答案時(shí)，分值再自動減少，一直減少到6分（及格分）為止。這樣可以激勵學(xué)生在短時(shí)間內(nèi)迅速思考，并將最先做完的學(xué)生的分?jǐn)?shù)和最后做完的學(xué)生的分?jǐn)?shù)進(jìn)行區(qū)分。

6 結(jié)語

隨著國家大力發(fā)展網(wǎng)絡(luò)安全教育，相信一定會有越來越多的人投入學(xué)習(xí)網(wǎng)絡(luò)安全的隊(duì)伍中。在目前的發(fā)展趨勢下，單一的課本技能已經(jīng)不能解決日益復(fù)雜的網(wǎng)絡(luò)安全問題，需要一個可以貼近實(shí)戰(zhàn)的平臺對學(xué)生所學(xué)的知識進(jìn)行整理和實(shí)踐。網(wǎng)絡(luò)攻防競賽平臺的設(shè)計(jì)便是以此為初衷，它的設(shè)計(jì)在于提高學(xué)生對于網(wǎng)絡(luò)安全的學(xué)習(xí)熱情，通過比賽也能更好地選拔網(wǎng)絡(luò)安全人才，對網(wǎng)絡(luò)安全人才的培養(yǎng)非常有意義。網(wǎng)絡(luò)攻防競賽平臺的設(shè)計(jì)參考了目前國內(nèi)主流的CTF網(wǎng)絡(luò)安全競賽的規(guī)則設(shè)計(jì)，其中加入了一些公安業(yè)務(wù)需要的技能考核元素，對學(xué)生了解更多的網(wǎng)絡(luò)安全知識起到很好的鋪墊作用。

參考文獻(xiàn)：

[1]賓浩斯．心理大師手則：記憶的奧秘[M]．北京：北京理工大學(xué)出版社，2013: 56-57.

[2]黃龍軍．游標(biāo)在Online Judge中的應(yīng)用[J]．紹興文理學(xué)院學(xué)報(bào)，2012，32(8): 26-29.

[3]丁琦，汪德宏，基于工作過程的高職課程教學(xué)模式探討[J].職教論壇，2010(2): 45-46．

篇5

關(guān)鍵詞 網(wǎng)絡(luò)安全實(shí)驗(yàn) 課程教學(xué) 實(shí)驗(yàn)設(shè)計(jì)

中圖分類號：G424 文獻(xiàn)標(biāo)識碼：A

0 引言

隨著網(wǎng)絡(luò)信息產(chǎn)業(yè)的快速發(fā)展，網(wǎng)絡(luò)安全成為亟需解決的問題，我院為了培養(yǎng)應(yīng)用型本科人才，在網(wǎng)絡(luò)通信專業(yè)培養(yǎng)計(jì)劃中設(shè)置了網(wǎng)絡(luò)安全實(shí)驗(yàn)這門選修課，因?yàn)殚_設(shè)時(shí)間較短，教學(xué)過程還處于探索階段。網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)這門課無論在掌握計(jì)算機(jī)學(xué)科理論，還是鍛煉學(xué)生在實(shí)際工作生活中解決應(yīng)用問題的能力方面，都起到了十分重要的作用。因?yàn)槭菍?shí)驗(yàn)課程，所以在教學(xué)過程中，比較重視實(shí)踐操作過程。網(wǎng)絡(luò)安全實(shí)驗(yàn)課程的內(nèi)容比較集中在P2DR模型中說涉及的網(wǎng)絡(luò)安全防御、檢測、響應(yīng)三大領(lǐng)域，以滿足在現(xiàn)實(shí)工作中所遇到的不同網(wǎng)絡(luò)安全問題。因此，本文從實(shí)驗(yàn)項(xiàng)目的選擇，實(shí)驗(yàn)平臺的建立，以及實(shí)驗(yàn)教學(xué)方法等上對網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)進(jìn)行探索。

1 實(shí)驗(yàn)平臺搭建

首先是虛擬機(jī)技術(shù)在實(shí)驗(yàn)中的使用，網(wǎng)絡(luò)安全實(shí)驗(yàn)中的實(shí)驗(yàn)具有一定的破壞性，所以我們采用了虛擬機(jī)來進(jìn)行實(shí)驗(yàn)，在網(wǎng)絡(luò)安全實(shí)驗(yàn)中，需要模擬網(wǎng)絡(luò)攻擊，使學(xué)生掌握怎樣防御的同時(shí)，也了解攻擊技術(shù)。所以在實(shí)驗(yàn)中我們首先安排了Vmware虛擬機(jī)的安裝與配置。在虛擬機(jī)中我們安裝windowsserver2003服務(wù)器版操作系統(tǒng)，并且配置開啟相關(guān)服務(wù)。

因?yàn)橛布l件有限，所以我們的大量實(shí)驗(yàn)還只能在虛擬機(jī)上進(jìn)行，但為了使學(xué)生身臨其境的感受網(wǎng)絡(luò)安全技術(shù)，我們在綜合實(shí)訓(xùn)中還是建立了基礎(chǔ)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境。

2 實(shí)驗(yàn)項(xiàng)目設(shè)計(jì)

在我國，高校是培養(yǎng)網(wǎng)絡(luò)安全人才的核心力量。網(wǎng)絡(luò)攻擊與防護(hù)是網(wǎng)絡(luò)安全的核心內(nèi)容，也是國內(nèi)外各個高校信息安全相關(guān)專業(yè)的重點(diǎn)教學(xué)內(nèi)容。所以在實(shí)驗(yàn)項(xiàng)目設(shè)計(jì)上我們體現(xiàn)了實(shí)用性為主的觀念，要在實(shí)驗(yàn)中更多的體現(xiàn)未來學(xué)生畢業(yè)后，會遇到的網(wǎng)絡(luò)安全問題。所以設(shè)置了以下實(shí)驗(yàn)：

（1）安裝Vmware虛擬機(jī)，并配置完整的網(wǎng)絡(luò)環(huán)境。配置完善win2003server虛擬環(huán)境，為以后的實(shí)驗(yàn)搭建平臺，習(xí)和掌握Vmware虛擬機(jī)的安裝與配置，以建立網(wǎng)絡(luò)攻防平臺。

（2）加密原理與技術(shù)，利用不同技術(shù)進(jìn)行加密。了解和掌握各種加密方法，以實(shí)現(xiàn)信息加密。學(xué)習(xí)和掌握密碼技術(shù)，利用密碼技術(shù)對計(jì)算機(jī)系統(tǒng)的各種數(shù)據(jù)信息進(jìn)行加密保護(hù)實(shí)驗(yàn)，實(shí)現(xiàn)網(wǎng)絡(luò)安全中的數(shù)據(jù)信息保密。

（3）PPPoE的網(wǎng)絡(luò)通信原理及應(yīng)用。學(xué)習(xí)和掌握基于PAP/CHAP的PPPOE的身份認(rèn)證方法。學(xué)習(xí)和掌握利用身份認(rèn)證技術(shù)對計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的各種資源進(jìn)行身份認(rèn)證保護(hù)實(shí)驗(yàn)，實(shí)現(xiàn)網(wǎng)絡(luò)安全中的信息鑒別。

（4）掌握Windows系統(tǒng)中基于PPTV VPN的功能、配置與使用操作。學(xué)習(xí)和掌握如何利用防火墻技術(shù)對網(wǎng)絡(luò)通信中的傳輸數(shù)據(jù)進(jìn)行鑒別和控制實(shí)驗(yàn)。

（5）學(xué)習(xí)掌握Windows系統(tǒng)中NAT防火墻的功能、配置與使用操作。學(xué)習(xí)和掌握網(wǎng)絡(luò)通信中的合法用戶數(shù)據(jù)信息的傳輸，以實(shí)現(xiàn)網(wǎng)絡(luò)安全中的保密性、鑒別性和完整。

（6）學(xué)習(xí)和掌握Superscan掃描工具對計(jì)算機(jī)進(jìn)行端口掃描的方法，操作應(yīng)用。學(xué)習(xí)和掌握各種網(wǎng)絡(luò)安全掃描技術(shù)和操作，并能有效運(yùn)用網(wǎng)絡(luò)掃描工具進(jìn)行網(wǎng)絡(luò)安全分析、有效避免網(wǎng)絡(luò)攻擊行為。

（7）學(xué)習(xí)和掌握如何利用Wireshark進(jìn)行網(wǎng)絡(luò)安全監(jiān)測與分析。學(xué)習(xí)各種網(wǎng)絡(luò)監(jiān)聽技術(shù)的操作實(shí)驗(yàn)，能利用網(wǎng)絡(luò)監(jiān)聽工具進(jìn)行分析、診斷、測試網(wǎng)絡(luò)安全性的能力。

（8）學(xué)習(xí)和掌握Snort網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)的安裝、配置和操作。學(xué)習(xí)和掌握Snort入侵檢測系統(tǒng)的基本原理、操作與應(yīng)用實(shí)驗(yàn)。

3 綜合實(shí)訓(xùn)

為了讓學(xué)生能適應(yīng)真實(shí)的網(wǎng)絡(luò)環(huán)境，使之更貼近應(yīng)用型人才的培養(yǎng)方案，最后我們設(shè)計(jì)了綜合實(shí)訓(xùn)這個環(huán)節(jié)，讓學(xué)生在網(wǎng)絡(luò)通信系統(tǒng)中綜合運(yùn)用各種網(wǎng)絡(luò)安全技術(shù)，設(shè)計(jì)一個整體的網(wǎng)絡(luò)安全系統(tǒng)。分析公司網(wǎng)絡(luò)需求，綜合運(yùn)用網(wǎng)絡(luò)安全技術(shù)構(gòu)建公司網(wǎng)絡(luò)的安全系統(tǒng)。通過一個實(shí)際網(wǎng)絡(luò)通信系統(tǒng)中的綜合運(yùn)用，實(shí)現(xiàn)整體系統(tǒng)的有效設(shè)計(jì)和部署。

學(xué)生分組進(jìn)行實(shí)訓(xùn)，分為防御組與攻擊組，為了充分利用實(shí)驗(yàn)資源讓防御組的同學(xué)在局域網(wǎng)環(huán)境下搭建服務(wù)器靶機(jī)，并讓防御組的同學(xué)配置VPN、NAT防火墻的技術(shù)并搭建SNORT入侵檢測系統(tǒng)。攻擊組同學(xué)操作學(xué)生終端嘗試攻擊服務(wù)器靶機(jī)，使用ARP欺騙等技術(shù)。防御組的學(xué)生使用Wireshark網(wǎng)絡(luò)監(jiān)聽查看ARP欺騙源地址，并解決該威脅。

4 結(jié)論

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全成為重中之重，為了培養(yǎng)本科應(yīng)用型人才，實(shí)踐證明實(shí)驗(yàn)必須貼近真實(shí)存在的案例才能提高學(xué)生的實(shí)際網(wǎng)絡(luò)攻防水平，使學(xué)生掌握網(wǎng)絡(luò)安全的新技術(shù)，而使用綜合實(shí)訓(xùn)這種方式，更是提高了學(xué)生的參與積極性，使教學(xué)質(zhì)量進(jìn)一步提升。

參考文獻(xiàn)

[1] 常晉義.網(wǎng)絡(luò)安全實(shí)驗(yàn)教程. 南京大學(xué)出版社，2010.12.

篇6

在網(wǎng)絡(luò)安全博弈中，設(shè)定參與人是網(wǎng)絡(luò)系統(tǒng)和黑客，網(wǎng)絡(luò)系統(tǒng)的純戰(zhàn)略是防守和不防守，黑客的純戰(zhàn)略是攻擊和不攻擊。網(wǎng)絡(luò)系統(tǒng)防守時(shí)能防御到黑客的攻擊概率為e（0<<e<<1），在防守到攻擊后一定能對攻擊者做出相應(yīng)的懲罰。為了研究網(wǎng)絡(luò)系統(tǒng)和黑客之間的博弈，本出如下假設(shè)：局中人集合：{網(wǎng)絡(luò)系統(tǒng)，黑客}局中人策略空間：網(wǎng)絡(luò)系統(tǒng)的策略空間為{放守，不防守}；黑客的策略空間為{攻擊，不攻擊}局中人收益：黑客如攻擊成功，收益為a，黑客攻擊如碰到防守，網(wǎng)絡(luò)系統(tǒng)對黑客進(jìn)行懲罰的收益為e•b，網(wǎng)絡(luò)系統(tǒng)的防御成本為c，網(wǎng)絡(luò)系統(tǒng)的懲罰成本為d。則當(dāng)黑客攻擊且網(wǎng)絡(luò)系統(tǒng)防守時(shí)，黑客的收益為-e•b，網(wǎng)絡(luò)系統(tǒng)的收益為e•b-c-d-（1-e）a；當(dāng)黑客攻擊且網(wǎng)絡(luò)系統(tǒng)不防守時(shí)，黑客的收益為a，網(wǎng)絡(luò)系統(tǒng)的收益的-a；當(dāng)黑客不攻擊且網(wǎng)絡(luò)系統(tǒng)防守時(shí)，網(wǎng)絡(luò)系統(tǒng)成本為-c，黑客的收益為0；當(dāng)黑客不攻擊且網(wǎng)絡(luò)系統(tǒng)不防守時(shí)，網(wǎng)絡(luò)系統(tǒng)收益為0，黑客收益為0。根據(jù)以上假設(shè)，參與人同時(shí)選擇或非同時(shí)選擇，但后行動者不知前行動者采用了什么具體行動，因此此問題為靜態(tài)博弈，參與人對另一參與人的特征、策略空間及收益函數(shù)都有了準(zhǔn)確信息，因此為完全信息博弈，綜合而來此問題涉及黑客攻擊與網(wǎng)絡(luò)系統(tǒng)防御的完全信息靜態(tài)博弈，其相應(yīng)的收益矩陣見表。假設(shè)網(wǎng)絡(luò)系統(tǒng)以概率p進(jìn)行防守，則不防守的概率就是1-p；q為黑客的攻擊概率，則不攻擊的概率為1-q。下面就來討論混合戰(zhàn)略的納什均衡問題。

2攻防博弈模型的求解

在給定的網(wǎng)絡(luò)系統(tǒng)以概率p進(jìn)行防守時(shí)，黑客攻擊q=1的期望收益F（p，1）和黑客不攻擊q=0的期望收益F（p，0）分別為。由（4）式可知，當(dāng)網(wǎng)絡(luò)系統(tǒng)防守概率大于a/a+eb時(shí)，不攻擊是黑客的最優(yōu)策略；當(dāng)網(wǎng)絡(luò)系統(tǒng)的防守概率小于a/a+eb時(shí)，攻擊是黑客的最優(yōu)策略；當(dāng)網(wǎng)絡(luò)的防守概率等于a/a+eb時(shí)，黑客攻擊和不攻擊都具有相同的效果。同理，在給定黑客以概率q進(jìn)行攻擊時(shí)，網(wǎng)絡(luò)系統(tǒng)防守p=1的期望收益F（1，q）和網(wǎng)絡(luò)系統(tǒng)不防守的p=0的期望收益F（0，q）分別為。由（8）式可知，當(dāng)黑客的攻擊概率小于c/eb+ea-d時(shí)，網(wǎng)絡(luò)系統(tǒng)的最優(yōu)選擇是不防守；當(dāng)黑客的攻擊概率大于c/eb+ea-d時(shí)，網(wǎng)絡(luò)系統(tǒng)的最優(yōu)選擇是防守；當(dāng)黑客的攻擊概率是c/eb+ea-d時(shí)，防守和不防守具有相同的概率。

3攻防成本的博弈分析

下面對混合納什均衡進(jìn)行深入的分析：

3.1網(wǎng)絡(luò)系統(tǒng)的防守概率（9）式說明網(wǎng)絡(luò)系統(tǒng)的防守概率p*是a的單調(diào)增函數(shù)，即p*隨a的增大而增大，p*隨a的減少而減少。這可以解釋為黑客的攻擊收益越大，則相對應(yīng)的網(wǎng)絡(luò)系統(tǒng)損失越大，網(wǎng)絡(luò)系統(tǒng)的防守概率越高；黑客的攻擊收益越小，則相對應(yīng)的網(wǎng)絡(luò)系統(tǒng)損失越小，網(wǎng)絡(luò)系統(tǒng)的防守概率越低。（10）式說明網(wǎng)絡(luò)系統(tǒng)的防守概率p*是eb的單調(diào)減函數(shù)，即p*隨eb的增大而減少。這可以理解為黑客得到防御系統(tǒng)的懲罰收益越大，則相應(yīng)的對黑客的威懾越大，網(wǎng)絡(luò)系統(tǒng)的防守概率越小。把eb分開來看，當(dāng)eb為定值時(shí)，e值越小則b值越大，這說明防守成功的概率越低，則相應(yīng)的應(yīng)加大懲罰值。

3.2黑客的攻擊概率是由網(wǎng)絡(luò)系統(tǒng)的防守成本c、網(wǎng)絡(luò)系統(tǒng)對黑客的懲罰值eb、網(wǎng)絡(luò)系統(tǒng)成功防御到黑客攻擊所減少的損失值ea、網(wǎng)絡(luò)系統(tǒng)的懲罰成本d所決定的。由黑客的攻擊概率q*可知，q與c成正比、與eb+ea-d成反比。q與c成正比，即在其他條件不變的情況下，防守的成本c越小，黑客攻擊概率越??；這可以解釋為：防守成本c越小，網(wǎng)絡(luò)系統(tǒng)防守的就越多，那么被黑客攻擊的概率就會越少。q與eb+ea-d成反比，即當(dāng)c一定時(shí)，防守系統(tǒng)對黑客的懲罰收益越大，網(wǎng)絡(luò)系統(tǒng)成功防御到黑客攻擊所減少的損失值越大，網(wǎng)絡(luò)系統(tǒng)的懲罰成本越小，則黑客的攻擊概率越小。分開來看，q與eb、ea均成反比，與d成正比；即防守系統(tǒng)對黑客的懲罰收益越大，則給黑客的威懾越大，黑客的攻擊概率越低；防守系統(tǒng)成功防御到黑客攻擊所減少的損失值越大，也就是防御系統(tǒng)內(nèi)部的防御信息越重要，防御系統(tǒng)就越會加大防御，黑客的攻擊概率就越低；防守系統(tǒng)的懲罰成本越大，則防守方實(shí)際所得的收益越小，黑客的攻擊概率越大。q與ea、eb均成反比，則當(dāng)a、b是定值時(shí)，q與e成反比；又由于q與c成正比，則當(dāng)其他條件不變時(shí)，e與c成反比。從而可知網(wǎng)絡(luò)系統(tǒng)防御的成功率越高，網(wǎng)絡(luò)系統(tǒng)的防御成本就越低，即增加網(wǎng)絡(luò)系統(tǒng)的防御成功率可以降低網(wǎng)絡(luò)系統(tǒng)的防御成本。由q與c成正比、q與eb成反比可知，若使黑客的攻擊概率越小，則最好使網(wǎng)絡(luò)系統(tǒng)的防御成本越低，對網(wǎng)絡(luò)系統(tǒng)黑客的懲罰值越大。但目前由于網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性，防御成本很難降下來，因此就可以加大懲罰力度。這也說明了在網(wǎng)絡(luò)安全方面懲罰機(jī)制和防御機(jī)制同樣重要。

4網(wǎng)絡(luò)安全治理建議

由以上網(wǎng)絡(luò)安全攻防博弈分析可知，網(wǎng)絡(luò)安全是由網(wǎng)絡(luò)的防守成本、網(wǎng)絡(luò)系統(tǒng)對黑客的懲罰值、黑客的攻擊收益值、網(wǎng)絡(luò)系統(tǒng)的懲罰成本所決定的。對這些方面，特提出如下建議：

4.1加大取證技術(shù)建設(shè)。網(wǎng)絡(luò)安全的取證技術(shù)既是防御系統(tǒng)的根基，也是懲罰體系的根基。比如取證技術(shù)的典型蜜罐技術(shù)，它通過設(shè)置陷阱取證記錄攻擊源和攻擊方法，在防御方面根據(jù)記錄到的攻擊源和攻擊方法，得出相應(yīng)的應(yīng)對策略，然后給防火墻和入侵檢測系統(tǒng)加入相應(yīng)的策略，以應(yīng)對后面的攻擊；在懲罰方面以記錄的攻擊源和攻擊方法作為證據(jù)，運(yùn)用法律等相關(guān)手段對攻擊者做出相應(yīng)的懲罰。取證工作做不好，面對新型的攻擊，防御和懲罰就都不可能執(zhí)行下去。

4.2加大防御技術(shù)建設(shè)，使防御系統(tǒng)廉價(jià)，做好防御系統(tǒng)普及工作。防御系統(tǒng)價(jià)格越低，防御普及率才會越高，安全性才會越好。加大對網(wǎng)絡(luò)內(nèi)各個部位核心技術(shù)的掌握（一些重要部門的內(nèi)部網(wǎng)絡(luò)最好全部運(yùn)用自己的技術(shù)），防御的成功率才會較高，防御系統(tǒng)的成本才會大大減少。比如國內(nèi)電腦基本都用微軟的操作系統(tǒng)，核心交換機(jī)大部分用思科的設(shè)備，打印機(jī)基本都用HP等國外設(shè)備。只要這些設(shè)備廠商開啟后門，網(wǎng)絡(luò)將無安全可言。內(nèi)部技術(shù)不掌握，防御總是處于被動之中，投資再高，實(shí)際效果也不會大。目前網(wǎng)絡(luò)系統(tǒng)內(nèi)很多設(shè)備的核心技術(shù)都不在自己的掌握下，因此軍工等一些重要情報(bào)部門內(nèi)部網(wǎng)絡(luò)最好不要接入到Internet網(wǎng)。防御系統(tǒng)方面可以建立各層防御體系，電腦開發(fā)免費(fèi)的取證審計(jì)系統(tǒng)，使每個用戶都有監(jiān)督自己電腦的方式。其他網(wǎng)絡(luò)的各個部件也要建立自己的取證審計(jì)系統(tǒng)，方便網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)其他部件的監(jiān)控管理工作。

4.3加大網(wǎng)絡(luò)懲罰機(jī)制建設(shè)和懲罰力度，降低懲罰成本。網(wǎng)絡(luò)安全方面的懲罰方式很多，比如法律懲罰、網(wǎng)絡(luò)反攻等。針對目前國內(nèi)嚴(yán)峻的網(wǎng)絡(luò)安全問題，應(yīng)該完善網(wǎng)絡(luò)安全法規(guī)，做到有法可依，執(zhí)法必嚴(yán)，違法必究，使執(zhí)行的成本大大減少，這樣就能對黑客給予足夠的威懾，有效降低攻擊概率。比如圖書館網(wǎng)絡(luò)系統(tǒng)面對黑客的攻擊時(shí)，只要對黑客的懲罰相比黑客獲得的利益越大，理性的黑客就越不敢攻擊。懲罰可以根據(jù)國家的立法進(jìn)行，比如發(fā)現(xiàn)某些公司運(yùn)用自己的產(chǎn)品進(jìn)行犯罪牟利時(shí)，就可以根據(jù)相應(yīng)的法律措施給予懲罰。國家間的網(wǎng)絡(luò)犯罪，可以在全世界成立一個集體的組織比如聯(lián)合國，建立相應(yīng)的法規(guī)，對國與國之間的網(wǎng)絡(luò)攻擊給予嚴(yán)厲的懲罰。二戰(zhàn)后以美國為首的西方國家，就建立了聯(lián)合國國際機(jī)構(gòu)，對一些國際間的違規(guī)事務(wù)進(jìn)行處理，比如成立原子彈不擴(kuò)散條約，以避免對世界毀滅性的傷害。美國作為聯(lián)合國的五大常任理事國之一，如果想維護(hù)世界的網(wǎng)絡(luò)安全，也需要對最近出現(xiàn)的斯諾登“棱鏡門”事件等，給出相應(yīng)的說明或解決方法，這樣才能更好地帶頭制定和實(shí)施相應(yīng)的懲罰制度，以維護(hù)世界的網(wǎng)絡(luò)安全。對于國家間的網(wǎng)絡(luò)攻擊，當(dāng)聯(lián)合國的法律懲罰難以實(shí)施時(shí)，也可以發(fā)展網(wǎng)絡(luò)反攻懲罰技術(shù)，在國家內(nèi)部建立起強(qiáng)大的網(wǎng)絡(luò)部隊(duì)，給予別國巨大的威懾，以減少網(wǎng)絡(luò)戰(zhàn)爭。只要攻擊方法發(fā)展起來、攻擊成本降低，實(shí)施反擊更加容易，給另一個國家的懲罰相對于其獲得的收益越大，就會給想攻擊的國家?guī)碜銐虼蟮耐?，這樣理性的國家就越不敢攻擊。

篇7

關(guān)鍵詞：計(jì)算機(jī)工程，網(wǎng)絡(luò)安全課程，實(shí)踐教學(xué)

網(wǎng)絡(luò)安全的本質(zhì)是人與人的對抗，網(wǎng)絡(luò)安全人才培養(yǎng)是對抗的決勝因素。高職網(wǎng)絡(luò)安全課程本身綜合性、實(shí)踐性較強(qiáng)，傳統(tǒng)教學(xué)常以講授理論為主，知識結(jié)構(gòu)體系缺乏關(guān)聯(lián)性、實(shí)戰(zhàn)性，無法與當(dāng)前網(wǎng)絡(luò)安全系列1+X證書制度相融合。對網(wǎng)絡(luò)安全課程進(jìn)行項(xiàng)目化重構(gòu)，以1+X證書培訓(xùn)中的網(wǎng)絡(luò)安全實(shí)訓(xùn)項(xiàng)目貫穿課內(nèi)外教學(xué)活動全程，是實(shí)現(xiàn)課證融通的重要環(huán)節(jié)，提高學(xué)生專業(yè)技能更為有效。

1網(wǎng)絡(luò)安全課程項(xiàng)目化的教學(xué)問題

解決高職學(xué)生學(xué)習(xí)能力不足的問題。五年制高職計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)學(xué)生水平參差不齊，由于主要招收初中應(yīng)屆畢業(yè)生，一些學(xué)生基礎(chǔ)知識薄弱、學(xué)習(xí)主觀能動性差、學(xué)習(xí)缺乏方法和動力，在參與專業(yè)課學(xué)習(xí)活動時(shí)總是停留在等、靠、要的階段。通過對該專業(yè)學(xué)生的調(diào)查分析，學(xué)生的計(jì)算機(jī)使用水平存在一定的差異化，分析原因與各初中學(xué)校實(shí)施信息素質(zhì)教育的差異情況有直接關(guān)系。大部分學(xué)生能夠明白計(jì)算機(jī)能力對未來可持續(xù)發(fā)展的必要性，仍有少部分學(xué)生尚未認(rèn)識到該能力的實(shí)用性。作為一門新興科學(xué)，網(wǎng)絡(luò)安全被納入計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)的專業(yè)課程，為學(xué)生的必修課。網(wǎng)絡(luò)安全課程是一門理實(shí)一體化的課程，學(xué)生在理解理論知識后需實(shí)際動手操作網(wǎng)絡(luò)安全實(shí)驗(yàn)，以此提高專業(yè)技能水平。在往年的實(shí)踐教學(xué)中發(fā)現(xiàn)，學(xué)生的學(xué)習(xí)能力、主觀能動性會隨教學(xué)內(nèi)容難度的深層次遞進(jìn)，慢慢降低，無法深入了解課程的理論知識要點(diǎn)。在實(shí)踐性學(xué)習(xí)活動中，更無法融合相關(guān)網(wǎng)絡(luò)安全技能要點(diǎn)處理實(shí)際發(fā)生的問題。解決師資團(tuán)隊(duì)實(shí)戰(zhàn)能力不足的問題。網(wǎng)絡(luò)安全本是實(shí)戰(zhàn)性較強(qiáng)的專業(yè)領(lǐng)域，就高職師資團(tuán)隊(duì)分析，大多數(shù)教師為剛畢業(yè)的本科生及研究生，且為師范畢業(yè)，沒有體驗(yàn)過網(wǎng)絡(luò)安全相關(guān)企業(yè)的工作環(huán)境及內(nèi)容，缺乏網(wǎng)絡(luò)安全一線實(shí)踐經(jīng)驗(yàn)。因此，在教學(xué)活動中，內(nèi)容更趨向于網(wǎng)絡(luò)安全基礎(chǔ)理論知識，缺乏實(shí)踐性項(xiàng)目或?qū)嶒?yàn)。項(xiàng)目式教學(xué)提升了學(xué)生的各種能力，更要求教師成為項(xiàng)目的組織者，對教師的綜合素質(zhì)提出了更高的要求，對計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)教師而言，是一種新的挑戰(zhàn)。解決理實(shí)教學(xué)內(nèi)容更新滯后的問題。目職網(wǎng)絡(luò)安全課程的教學(xué)內(nèi)容較依賴于相關(guān)教材，而這些教材的質(zhì)量及年限導(dǎo)致教學(xué)內(nèi)容更新滯后。且高職網(wǎng)絡(luò)安全教材往往照搬本科院校教材，將理論學(xué)術(shù)研究問題融入，實(shí)踐內(nèi)容匱乏，僅僅為單一的驗(yàn)證性案例，不利于培養(yǎng)學(xué)生理論聯(lián)系實(shí)際的能力，與目前網(wǎng)絡(luò)安全人與人攻防現(xiàn)狀脫節(jié)嚴(yán)重。即使一些教材也采用了項(xiàng)目化教學(xué)的模式，但教學(xué)內(nèi)容停留在工具的使用，致使學(xué)生成為網(wǎng)絡(luò)安全“腳本小子”，并非網(wǎng)絡(luò)攻防人才。網(wǎng)絡(luò)安全涉及的專業(yè)技術(shù)、安全工具繁多，隨著安全問題呈現(xiàn)出的復(fù)雜化形勢，學(xué)生很容易被這些表象所混淆，進(jìn)入“只見樹木不見森林”的誤區(qū)，無法在網(wǎng)絡(luò)攻防技術(shù)方面快速成長。

2網(wǎng)絡(luò)安全課程項(xiàng)目化的教學(xué)實(shí)踐

結(jié)合1+X證書制度要求，提高學(xué)生學(xué)習(xí)能力。為了提高學(xué)生的學(xué)習(xí)能力和興趣，依據(jù)五年制高職計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)人才培養(yǎng)方案的要求，基于網(wǎng)絡(luò)安全課程目標(biāo)，轉(zhuǎn)變傳統(tǒng)純理論、教為主的教學(xué)模式，按照“以能力為本位、以職業(yè)實(shí)踐為主線、以項(xiàng)目式學(xué)習(xí)為主體”對該課程進(jìn)行項(xiàng)目化重構(gòu)設(shè)計(jì)。通過項(xiàng)目將教學(xué)變?yōu)橐环N教與學(xué)的互動，激發(fā)學(xué)生學(xué)習(xí)興趣，調(diào)用學(xué)生的主動性，開展多樣化的項(xiàng)目式學(xué)習(xí)活動，讓學(xué)生融入實(shí)踐性項(xiàng)目的完成過程中，轉(zhuǎn)變其不正確的學(xué)習(xí)觀，打消“等、靠、要”的學(xué)習(xí)依賴性。除日常教學(xué)外，指導(dǎo)學(xué)生參加技能競賽、應(yīng)用開發(fā)、行業(yè)認(rèn)證，正確幫助學(xué)生樹立學(xué)習(xí)目標(biāo)，引導(dǎo)學(xué)生增強(qiáng)終身學(xué)習(xí)的信念及未來的職業(yè)信心。既強(qiáng)調(diào)1+X證書制度對應(yīng)網(wǎng)絡(luò)安全評估等工作崗位的技能需求，也強(qiáng)調(diào)學(xué)生個人未來的可持續(xù)發(fā)展的要求。所以，課程重構(gòu)設(shè)計(jì)中，一切都以學(xué)生樂于學(xué)習(xí)、易于學(xué)習(xí)、善于學(xué)習(xí)為準(zhǔn)，滿足學(xué)生分階段“體驗(yàn)--改進(jìn)--創(chuàng)新”的項(xiàng)目式學(xué)習(xí)需求。校企產(chǎn)教融合，共助“雙師型”教師隊(duì)伍建設(shè)。為提升師資團(tuán)隊(duì)的實(shí)戰(zhàn)能力，鼓勵教師參加1+X證書師資培訓(xùn)，通過培訓(xùn)幫助高職教師理解1+X證書制度、網(wǎng)絡(luò)安全相關(guān)證書培訓(xùn)教學(xué)和考核的要求，提升網(wǎng)絡(luò)安全攻防水平，了解最新的網(wǎng)絡(luò)安全技術(shù)及動向?；诂F(xiàn)有與華為、科大訊飛、中科磐云等校企合作基礎(chǔ)，開展企業(yè)實(shí)踐及行業(yè)交流活動，提高教師項(xiàng)目化實(shí)踐教學(xué)能力、項(xiàng)目創(chuàng)新及科研能力，促進(jìn)教師發(fā)展專業(yè)化發(fā)展，打造“雙師型”師資隊(duì)伍。項(xiàng)目化課程重構(gòu)，優(yōu)化內(nèi)容實(shí)現(xiàn)課證融通。教師可以在1+X證書培訓(xùn)企業(yè)專家的指導(dǎo)下，對網(wǎng)絡(luò)安全課程的結(jié)構(gòu)、知識點(diǎn)進(jìn)行分析，深化構(gòu)建網(wǎng)絡(luò)安全技術(shù)知識體系，從專業(yè)角度出發(fā)，建立“網(wǎng)絡(luò)安全技術(shù)知識樹”。從教學(xué)內(nèi)容上把原零散的知識點(diǎn)轉(zhuǎn)換為一個個項(xiàng)目，各加強(qiáng)知識模塊間的聯(lián)系。依據(jù)課程特點(diǎn)和現(xiàn)狀，進(jìn)行項(xiàng)目化課程重構(gòu)。根據(jù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估相關(guān)崗位的能力需求，明確課程目標(biāo)定位，將1+X證書內(nèi)容融入課堂教學(xué)中，實(shí)現(xiàn)理論和技能知識的可持續(xù)更新，培養(yǎng)高質(zhì)量的網(wǎng)絡(luò)安全應(yīng)用型人才。實(shí)踐中要注意，基于項(xiàng)目化的課程重構(gòu)，是將實(shí)際項(xiàng)目融入理實(shí)一體化的課堂教學(xué)中，而不是利用課后探索、研發(fā)項(xiàng)目學(xué)習(xí)內(nèi)容。重構(gòu)的目的在于將原書本專業(yè)知識分解、整合優(yōu)化為基于項(xiàng)目的學(xué)習(xí)內(nèi)容，這些項(xiàng)目往往為實(shí)際企業(yè)生產(chǎn)環(huán)境中出現(xiàn)的問題或是任務(wù)驅(qū)動型。將學(xué)生生活中的經(jīng)驗(yàn)與專業(yè)知識相結(jié)合，更適于網(wǎng)絡(luò)安全技術(shù)知識的實(shí)際應(yīng)用。項(xiàng)目化教學(xué)要求教師要先深入研究實(shí)訓(xùn)項(xiàng)目，課前需準(zhǔn)備好項(xiàng)目中的各理論、技能知識點(diǎn)，可結(jié)合小組合作學(xué)習(xí)等方式開展。理論知識注重講練結(jié)合，利用1+X網(wǎng)絡(luò)安全學(xué)習(xí)平臺將理論知識講解、案例演示有機(jī)結(jié)合，提高授課的效率。為提高學(xué)生的學(xué)習(xí)能力，可對課程理論知識進(jìn)行詳細(xì)劃分，一些簡易的內(nèi)容，可融入項(xiàng)目中交給學(xué)生，項(xiàng)目匯報(bào)展示時(shí)分小組上臺講解知識點(diǎn)，由教師進(jìn)行總結(jié)擴(kuò)展。實(shí)踐教學(xué)注重實(shí)際應(yīng)用，利用1+X場景仿真實(shí)訓(xùn)平臺，引導(dǎo)學(xué)生在模擬的網(wǎng)絡(luò)空間安全問題場景內(nèi)對解決方案進(jìn)行模擬驗(yàn)證，依據(jù)驗(yàn)證結(jié)果再對方案進(jìn)行修改、完善，進(jìn)一步培養(yǎng)學(xué)生的創(chuàng)新開發(fā)能力，完成1+X考核要求，實(shí)現(xiàn)課證融通。

3結(jié)語

高職網(wǎng)絡(luò)安全課程教學(xué)過程中存在學(xué)生學(xué)習(xí)能力不足、教師缺乏實(shí)戰(zhàn)能力、內(nèi)容更新之后等問題，本章結(jié)合高職網(wǎng)絡(luò)安全教學(xué)的實(shí)際情況，結(jié)合1+X證書制度，重新構(gòu)建項(xiàng)目化的教學(xué)體系，利用校企合作雙師培養(yǎng)、1+X信息化資源平臺利用等策略，實(shí)踐育人，提高學(xué)生對課程學(xué)習(xí)的興趣、主觀能動下、解決實(shí)際安全問題的能力。

參考文獻(xiàn)

[1]李冬.高職計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)課程群建設(shè)[J].職業(yè)技術(shù)教育,2005,26(01):45-47.

[2]俞研,蘭少華.計(jì)算機(jī)網(wǎng)絡(luò)安全課程教學(xué)的探索與研究[J].計(jì)算機(jī)教育,2008(18):127-128.

篇8

去年12月底，美國就對朝鮮進(jìn)行了全面的網(wǎng)絡(luò)攻擊，使得朝鮮全國網(wǎng)絡(luò)癱瘓了2天。美國組建了網(wǎng)絡(luò)戰(zhàn)聯(lián)合功能構(gòu)成司令部，擁有約9萬名安全研究軍人，日本于2011年建立網(wǎng)絡(luò)空間防衛(wèi)隊(duì)，投資了約70億日元負(fù)責(zé)安全項(xiàng)目。在和平時(shí)代，網(wǎng)絡(luò)的攻防成為國家間沒有硝煙的戰(zhàn)場。

正式以法律的角度來確保我國的軍事安全、科技安全領(lǐng)域：在維護(hù)國家安全的任務(wù)方面，新法要求，國家加強(qiáng)自主創(chuàng)新能力建設(shè)，加快發(fā)展自主可控的戰(zhàn)略高新技術(shù)和重要領(lǐng)域核心關(guān)鍵技術(shù)，加強(qiáng)知識產(chǎn)權(quán)的運(yùn)用、保護(hù)和科技保密能力建設(shè)，保障重大技術(shù)和工程的安全。

國家建設(shè)網(wǎng)絡(luò)與信息安全保障體系，提升網(wǎng)絡(luò)與信息安全保護(hù)能力，加強(qiáng)網(wǎng)絡(luò)和信息技術(shù)的創(chuàng)新研究和開發(fā)應(yīng)用，實(shí)現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控。

IT安全是國家戰(zhàn)略安全的制高點(diǎn)：當(dāng)代社會已經(jīng)進(jìn)入數(shù)字社會，互聯(lián)網(wǎng)開始連接一切，構(gòu)成互聯(lián)網(wǎng)時(shí)代的基礎(chǔ)則是各種通訊設(shè)備和系統(tǒng)應(yīng)用軟件，信息安全是國家安全的重中之重，保障互聯(lián)網(wǎng)安全，保障IT信息產(chǎn)業(yè)安全將是重頭戲。

在互聯(lián)網(wǎng)的時(shí)代，IT產(chǎn)業(yè)國產(chǎn)化的進(jìn)程不可逆轉(zhuǎn)。加大IT安全有兩條路徑，即防護(hù)和自身系統(tǒng)國產(chǎn)化。前者需要加大對防火墻、攻防產(chǎn)品的投入；后者則是加大系統(tǒng)的國產(chǎn)化率，做到自主可控。

網(wǎng)絡(luò)安全法人大二次審稿結(jié)束，政策依然密集支持：現(xiàn)在法律已經(jīng)落地，那么以前各個部門、領(lǐng)域的臨時(shí)網(wǎng)絡(luò)安全措施便有了法律依據(jù)，從投資邏輯上我們具體可以關(guān)注三條線：軟件自主可控，硬件自主可控以及系統(tǒng)自主可控，軟件自主可控表現(xiàn)在架構(gòu)上，更多的使用云計(jì)算架構(gòu)替代傳統(tǒng)國外巨頭的軟件設(shè)施；硬件上來看，從芯片、服務(wù)器、網(wǎng)絡(luò)安全設(shè)備等等，開始對國外設(shè)備進(jìn)行替代；從系統(tǒng)自主可控，更多的以具有保密資質(zhì)的國內(nèi)企業(yè)來完成以往國外公司招標(biāo)的系統(tǒng)。

篇9

關(guān)鍵詞:軟件工程;網(wǎng)絡(luò)安全;教學(xué)改革

中圖分類號:G642文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2010)08-1934-02

The Design and Implement of the Basis of Computer Applications

YU Ying, DENG Song, WANG Ying-long

(Department of Software, Jiangxi Agricultural University, Nanchang 330045, China)

Abstract: In order toenhance the student's applicational ability, This paper talk about the reform of network security course from such aspects as teaching materials, teaching management, teaching method, practice step and improving the ability of student.

Key words: software engineering; network security; educational reform

近年來,我院圍繞軟件工程專業(yè)面向軟件產(chǎn)業(yè)培養(yǎng)高素質(zhì)應(yīng)用型軟件工程人才這個定位,不斷探索新的培養(yǎng)理念、培養(yǎng)模式,調(diào)整課程體系和教學(xué)目標(biāo)、改革教學(xué)方法和教學(xué)手段。本文結(jié)合我院人才培養(yǎng)的改革與實(shí)踐,探討“網(wǎng)絡(luò)安全”課程教學(xué)改革。

“網(wǎng)絡(luò)安全”是我院軟件工程專業(yè)網(wǎng)絡(luò)工程方向的一門方向?qū)I(yè)課,在專業(yè)課程中占據(jù)很重的分量?！熬W(wǎng)絡(luò)安全”是一門綜合性很強(qiáng)的課程,涉及的知識包括計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、數(shù)論、信息論等多門學(xué)科。根據(jù)培養(yǎng)應(yīng)用型人才這個目標(biāo),我們將授課目標(biāo)定位在培養(yǎng)掌握網(wǎng)絡(luò)安全的基礎(chǔ)概念合理論,了解計(jì)算機(jī)網(wǎng)絡(luò)潛在安全問題,掌握常用的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù),增強(qiáng)學(xué)生的安全意識以及對安全問題的分析和處理能力,能在實(shí)際生活和工作中解決某些具體安全問題的應(yīng)用型人才。因此,軟件工程專業(yè)“網(wǎng)絡(luò)安全”課程不能與計(jì)算機(jī)專業(yè)開設(shè)的網(wǎng)絡(luò)安全課程一樣,著重基礎(chǔ)理論教學(xué)。如何進(jìn)行軟件工程專業(yè)下的“網(wǎng)絡(luò)安全”課程教學(xué)改革,加強(qiáng)學(xué)生實(shí)踐動手能力的培養(yǎng)突出應(yīng)用能力的培養(yǎng),使之符合軟件工程專業(yè)強(qiáng)調(diào)學(xué)生動手實(shí)踐能力的特點(diǎn)是本文要探討的內(nèi)容。

1 合理組織教學(xué)內(nèi)容,適應(yīng)教學(xué)要求

“網(wǎng)絡(luò)安全”課程覆蓋知識面廣泛,學(xué)生不可能在有限的時(shí)間內(nèi)掌握所有的安全技術(shù),根據(jù)確定的課程目標(biāo),針對培養(yǎng)應(yīng)用型人才的需要,確定本課程教學(xué)內(nèi)容包括計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)理論(網(wǎng)絡(luò)安全體系結(jié)構(gòu)、網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)、網(wǎng)絡(luò)安全協(xié)議基礎(chǔ))、網(wǎng)絡(luò)安全攻擊技術(shù)(網(wǎng)絡(luò)掃描、網(wǎng)絡(luò)監(jiān)聽、攻擊類型)、網(wǎng)絡(luò)安全防御技術(shù)(數(shù)據(jù)加密認(rèn)證技術(shù)、防火墻、入侵檢測、操作系統(tǒng)安全配置方案)、網(wǎng)絡(luò)安全綜合解決方案四個部分。在課程選擇上從傳統(tǒng)的偏重網(wǎng)絡(luò)安全理論的介紹,轉(zhuǎn)變?yōu)楸容^實(shí)用的新型技術(shù)的學(xué)習(xí),突出應(yīng)用能力的培養(yǎng)。

由于目前沒有專門針對軟件工程專業(yè)的網(wǎng)絡(luò)安全教材,通用的網(wǎng)絡(luò)安全教材一般著重就介紹網(wǎng)絡(luò)安全理論與常用網(wǎng)絡(luò)攻防技術(shù)。知識點(diǎn)孤立、分散,沒有形成一個完整的體系。很少有教材綜合多個知識點(diǎn)結(jié)合案例進(jìn)行講解分析,而且教材中關(guān)于網(wǎng)絡(luò)安全綜合解決方案的內(nèi)容很簡單,篇幅也很少,不適合培養(yǎng)應(yīng)用型人才的需要。為了解決這個問題,我們整合多本教材作為授課教材。在授課內(nèi)容的組織上,重新調(diào)整次序,將前三部分內(nèi)容穿插在綜合解決方案里,保證授課內(nèi)容包含教學(xué)大綱要求掌握的所有知識點(diǎn)。

在教學(xué)大綱編寫上,我們改變以往“網(wǎng)絡(luò)安全”課程單獨(dú)制定大綱的方式,將本課程和其它網(wǎng)絡(luò)相關(guān)課程一起按課程模塊統(tǒng)一制定大綱,使得教學(xué)內(nèi)容的總體布局更加科學(xué)合理。例如,網(wǎng)絡(luò)安全協(xié)議――TCP/IP協(xié)議簇安排在“TCP/IP協(xié)議原理及應(yīng)用”課程中重點(diǎn)講解,防火墻及IDS的配置安排在“網(wǎng)絡(luò)設(shè)備”課程中講解,避免出現(xiàn)知識盲點(diǎn)和教學(xué)內(nèi)容重復(fù)現(xiàn)象。

2 改進(jìn)教學(xué)方法,激發(fā)學(xué)生學(xué)習(xí)興趣

采用以案例教學(xué)為主,理論教學(xué)為輔的方法。圍繞解決企業(yè)安全問題這條主線,把課程內(nèi)容分為發(fā)現(xiàn)安全問題、分析安全問題、解決安全問題3大部分,通過一個實(shí)際的案例(某大學(xué)校園網(wǎng))貫穿始終,圍繞著課程主線,逐步將知識點(diǎn)滲透。目前常見的攻擊技術(shù)(口令攻擊、木馬、IP欺騙、拒絕服務(wù)攻擊、會話劫持等)和防御技術(shù)(防火墻、入侵監(jiān)測等)都可以在校園網(wǎng)中找到案例,因此將校園網(wǎng)安全問題作為案例講解有一定的代表性。在案例中設(shè)計(jì)了各種常見的網(wǎng)絡(luò)攻擊的情景,通過實(shí)際情景引申出原理的講解,原理依然采用多媒體設(shè)備進(jìn)行課堂講授,對于常見攻擊要進(jìn)行當(dāng)堂演示,回放攻擊過程,然后再講解具體的防御措施和手段,并演示防御過程。采用這種授課方式使學(xué)生切實(shí)感受到各種安全問題的存在,加深對各種攻擊技術(shù)和防御方法的理解,靈活掌握各種防御技術(shù)的應(yīng)用。通過一個完整案例的分析講解,使各個知識點(diǎn)不再孤立,而是形成一個整體,與現(xiàn)實(shí)中各種網(wǎng)絡(luò)安全綜合解決過程相符。每個部分中各知識點(diǎn)均配有其它案例作補(bǔ)充,例如常見網(wǎng)絡(luò)攻擊技術(shù)均設(shè)計(jì)有相關(guān)案例講解分析,而且根據(jù)網(wǎng)絡(luò)安全最新技術(shù),每年調(diào)整案例內(nèi)容。

在教學(xué)過程中轉(zhuǎn)變傳統(tǒng)的“填鴨式”教學(xué)為啟發(fā)式教學(xué),讓學(xué)生以企業(yè)安全顧問的角色對企業(yè)的運(yùn)行過程及網(wǎng)絡(luò)架構(gòu)進(jìn)行診斷,找出問題并提出解決方案和整改措施,最后要學(xué)生根據(jù)所學(xué)知識完成二次案例設(shè)計(jì)。實(shí)際的案例討論和應(yīng)用將理論與實(shí)際完全結(jié)合起來,既有邏輯性,也有趣味性。學(xué)生全方位參與教學(xué)過程,充分調(diào)動了學(xué)生的學(xué)習(xí)積極性,引導(dǎo)學(xué)生發(fā)現(xiàn)問題,解決問題,培養(yǎng)學(xué)生動手的能力,激發(fā)學(xué)生的學(xué)習(xí)主動性。

3 加強(qiáng)實(shí)踐教學(xué),提高動手能力

網(wǎng)絡(luò)安全是實(shí)踐性非常強(qiáng)的課程,光說不練不行。本課程實(shí)驗(yàn)教學(xué)最初分為基礎(chǔ)驗(yàn)證型和綜合設(shè)計(jì)型兩個層次。實(shí)驗(yàn)內(nèi)容涵蓋了網(wǎng)絡(luò)攻擊技術(shù)、訪問控制技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)等。為了加強(qiáng)學(xué)生專業(yè)創(chuàng)新能力和應(yīng)用能力的培養(yǎng),在原有兩個層次之上增加一個研究創(chuàng)新型實(shí)驗(yàn),調(diào)整為3個層次,并加大后面層次的比重。

基礎(chǔ)驗(yàn)證實(shí)驗(yàn)內(nèi)容與理論課內(nèi)容相銜接,且相對固定。包括網(wǎng)絡(luò)掃描、網(wǎng)絡(luò)監(jiān)聽、DES算法實(shí)現(xiàn)、程序?qū)崿F(xiàn)簡單IDS、口令攻擊、木馬攻擊、拒絕服務(wù)攻擊等。通過基礎(chǔ)實(shí)驗(yàn)幫助學(xué)生掌握密碼學(xué)算法實(shí)現(xiàn),網(wǎng)絡(luò)安全設(shè)備配置,并讓學(xué)生體驗(yàn)網(wǎng)絡(luò)攻擊防御的全過程。本類型實(shí)驗(yàn)安排在每個理論知識點(diǎn)講解后進(jìn)行。

綜合設(shè)計(jì)實(shí)驗(yàn)鍛煉學(xué)生綜合運(yùn)用網(wǎng)絡(luò)安全知識解決問題的能力,在真實(shí)網(wǎng)絡(luò)環(huán)境中,將學(xué)生分成兩組,一組學(xué)生發(fā)現(xiàn)網(wǎng)絡(luò)存在的安全漏洞并進(jìn)行攻擊,另一組對發(fā)現(xiàn)的攻擊行為進(jìn)行分析,確定攻擊類型并采取相應(yīng)的措施,一遍攻防實(shí)驗(yàn)結(jié)束后再輪換。該類型實(shí)驗(yàn)主要通過課程實(shí)訓(xùn)、實(shí)習(xí)基地實(shí)戰(zhàn)訓(xùn)練等方式實(shí)現(xiàn),要求學(xué)生綜合運(yùn)用所學(xué)網(wǎng)絡(luò)安全知識,提高解決具體問題的能力,培養(yǎng)整體安全意識。該類型實(shí)驗(yàn)安排在理論課完成后,集中一周或兩周進(jìn)行;

研究創(chuàng)新實(shí)驗(yàn)要求學(xué)生利用學(xué)過的知識和積累的經(jīng)驗(yàn),針對創(chuàng)新課題提出有創(chuàng)意的設(shè)計(jì)并加以實(shí)現(xiàn)。該層次實(shí)驗(yàn)主要通過創(chuàng)新課題研究、畢業(yè)設(shè)計(jì)與畢業(yè)論文、競賽項(xiàng)目、興趣小組等方式實(shí)現(xiàn)。內(nèi)容來源于教師的科研項(xiàng)目、學(xué)生的自主科研選題、社會實(shí)踐活動和企事業(yè)應(yīng)用需求,實(shí)驗(yàn)內(nèi)容每年都在更新。

4 注重能力培養(yǎng),提高學(xué)生綜合素質(zhì)

近年來,我院從應(yīng)用型人才標(biāo)準(zhǔn)出發(fā)認(rèn)真研究了國內(nèi)外各高校軟件工程專業(yè)人才培養(yǎng)模式,辦學(xué)經(jīng)驗(yàn),認(rèn)識到軟件工程教育不僅要使我們的學(xué)生掌握專業(yè)相關(guān)知識、系統(tǒng)分析和設(shè)計(jì)能力、科學(xué)分析方法、工程思維能力。還必須具備良好的學(xué)習(xí)能力、語言表達(dá)能力、溝通能力和團(tuán)隊(duì)協(xié)作能力等。因此,在我們進(jìn)行教學(xué)改革時(shí),要把對學(xué)生能力的培養(yǎng)和課程的學(xué)習(xí)融合起來。在“網(wǎng)絡(luò)安全”課程的教學(xué)活動中,為了培養(yǎng)學(xué)生的能力,我們做了以下幾方面工作。

以項(xiàng)目為載體,將學(xué)生的基礎(chǔ)知識學(xué)習(xí)和綜合能力訓(xùn)練、扎實(shí)的課程學(xué)習(xí)和廣泛的探索興趣結(jié)合起來,引導(dǎo)學(xué)生養(yǎng)成終身學(xué)習(xí)的習(xí)慣,培養(yǎng)工程思維方式以及系統(tǒng)分析設(shè)計(jì)能力。在實(shí)驗(yàn)過程中,注重學(xué)生主觀能動意識的培養(yǎng)。

將合作性實(shí)驗(yàn)?zāi)Ｊ揭雽?shí)驗(yàn)教學(xué),通過合作,培養(yǎng)了學(xué)生的團(tuán)隊(duì)意識、和同學(xué)、老師的交流溝通能力,提高學(xué)生的綜合素質(zhì),培養(yǎng)創(chuàng)新意識和能力。

開設(shè)《大學(xué)語文》、《思想道德修養(yǎng)》等課程增強(qiáng)學(xué)生良好的職業(yè)道德和責(zé)任感的培養(yǎng),提高人文素質(zhì)。

5 結(jié)束語

隨著網(wǎng)絡(luò)安全形勢的日益嚴(yán)峻,《網(wǎng)絡(luò)安全》課程成為熱點(diǎn)課程,且隨著攻防對抗不斷升級,新技術(shù)不斷產(chǎn)生,課程內(nèi)容也不斷變化,這些給我們的教學(xué)工作帶來難度。如何設(shè)計(jì)深淺適宜,符合應(yīng)用型人才培養(yǎng)目標(biāo)的授課內(nèi)容、如何把抽象的理論變成學(xué)生易懂的知識,要需要在以后的教學(xué)實(shí)踐中進(jìn)行不斷的總結(jié)和提高。

參考文獻(xiàn):

[1] 駱斌,趙志宏,邵棟.軟件工程專業(yè)工程化實(shí)踐教學(xué)體系的構(gòu)建與實(shí)施[J].計(jì)算機(jī)教育,2005(4):25-28.

篇10

關(guān)鍵詞：信息中心；安全；原因；優(yōu)化

中圖分類號：TP393.18 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-7712 （2013） 20-0000-01

學(xué)校信息中心肩負(fù)著保障整個校園計(jì)算機(jī)與校園網(wǎng)絡(luò)可靠運(yùn)行的重任。在計(jì)算機(jī)與網(wǎng)絡(luò)維護(hù)的工作中，我們經(jīng)常發(fā)現(xiàn)威脅網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)因素，只有認(rèn)清并掌握這些網(wǎng)絡(luò)安全問題，并及時(shí)采取防范優(yōu)化策略才能保障整個校園網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。

一、學(xué)校信息中心發(fā)現(xiàn)的主要網(wǎng)絡(luò)安全問題

（一）軟件漏洞帶來的安全威脅

現(xiàn)階段網(wǎng)絡(luò)信息化已經(jīng)普及到各大高校，一個校園各項(xiàng)教學(xué)與管理任務(wù)的正常運(yùn)轉(zhuǎn)要依靠各類軟件系統(tǒng)的支撐。例如，遼寧某大學(xué)的教師教務(wù)與學(xué)生成績的管理，圖書館的借閱圖書管理，財(cái)務(wù)部門的學(xué)生學(xué)費(fèi)繳納管理，學(xué)校后勤部門的管理等等，都開始應(yīng)用了系統(tǒng)的管理系統(tǒng)軟件。而類似這些軟件在開發(fā)與設(shè)計(jì)當(dāng)中難免會遺留一些問題，在加上每個學(xué)校形勢每天都在變化，軟件的升級與維護(hù)工作又不能夠及時(shí)的跟進(jìn)，這就讓很多病毒與木馬有大量的機(jī)會來入侵和攻擊這些校園管理系統(tǒng)軟件。軟件攜帶進(jìn)校園網(wǎng)絡(luò)的病毒還具有一定的擴(kuò)散性，如不加以控制將迅速蔓延至整個校園網(wǎng)絡(luò)。

（二）硬件設(shè)置與設(shè)備上的安全威脅

以計(jì)算機(jī)、服務(wù)器以及路由器和交換機(jī)、還有各類移動設(shè)備和網(wǎng)線等硬件設(shè)備等都是校園網(wǎng)絡(luò)系統(tǒng)得以運(yùn)轉(zhuǎn)和實(shí)施的重要載體。這些硬件設(shè)備在設(shè)置上往往忽略了安全密碼的設(shè)置，或者設(shè)置的密碼安全等級低、還有的學(xué)校從應(yīng)用這些設(shè)備以來都沒有對密碼進(jìn)行過更換，一直使用設(shè)備出廠設(shè)置的最初的初始密碼。這就造成了黑客在硬件設(shè)置上找到了漏洞，將病毒通過漏洞攜帶進(jìn)校園網(wǎng)絡(luò)。有些校園的計(jì)算機(jī)還設(shè)置了可以遠(yuǎn)程協(xié)助等功能，黑客會通過遠(yuǎn)程對該計(jì)算機(jī)進(jìn)行控制[1]。再有，很多學(xué)校也忽視了對諸如雙絞線、光纜、服務(wù)器以及UPS電源等硬件設(shè)備的維護(hù)。例如，沒有對這些硬件設(shè)備進(jìn)行防水、防火方面的保護(hù)，沒有采取恰當(dāng)?shù)目拐鸫胧?；也有的學(xué)校忽略了設(shè)備的防磁干擾防護(hù)等等。以上，都屬于硬件設(shè)置與設(shè)備維護(hù)上構(gòu)成的校園網(wǎng)絡(luò)安全風(fēng)險(xiǎn)威脅。

（三）校園內(nèi)部對網(wǎng)絡(luò)資源的濫用

校園網(wǎng)絡(luò)對于帶寬的需求已經(jīng)超過了我國不斷更新的帶寬增長速度。即使千兆級的帶寬網(wǎng)絡(luò)被應(yīng)用到校園網(wǎng)絡(luò)上，還是不能夠滿足廣大師生對于網(wǎng)絡(luò)帶寬的需求。主要是因?yàn)橄螺d教學(xué)軟件與視頻的用戶不斷增多，甚至有些學(xué)生過分利用校園網(wǎng)絡(luò)資源，例如大量下載電影、電視劇等，每天大量下載任務(wù)的加劇造成了網(wǎng)絡(luò)資源不斷被占用，甚至?xí)绊懙秸＝虒W(xué)管理系統(tǒng)任務(wù)的執(zhí)行效率。而在下載過程中各類病毒也很容易入侵進(jìn)校園網(wǎng)絡(luò)，這些校園內(nèi)部網(wǎng)絡(luò)資源的濫用都構(gòu)成了對校園網(wǎng)絡(luò)安全的威脅。

二、校園網(wǎng)絡(luò)安全問題頻發(fā)的原因

校園網(wǎng)絡(luò)安全問題頻發(fā)的原因是多方造成的。首先是校園管理與日常辦公軟件系統(tǒng)的應(yīng)用越來越多，教師與學(xué)生們對郵件、網(wǎng)頁、游戲、博客、QQ等軟件的使用率愈來愈高，這些系統(tǒng)應(yīng)用的頻繁都增加了網(wǎng)絡(luò)系統(tǒng)安全的風(fēng)險(xiǎn)指數(shù)。例如，常常見到的網(wǎng)速慢、網(wǎng)頁不能正常打開與關(guān)閉、計(jì)算機(jī)藍(lán)屏、系統(tǒng)用戶被篡改、甚至有些教學(xué)應(yīng)用數(shù)據(jù)被修改等現(xiàn)象常有發(fā)生，極大的影響了學(xué)校教學(xué)秩序的順暢進(jìn)行。其次，學(xué)校信息中心的管理者技術(shù)水平參差不齊，有的沒有接受過系統(tǒng)的網(wǎng)絡(luò)維護(hù)與病毒防范知識培訓(xùn)，網(wǎng)絡(luò)安全意識薄弱，認(rèn)為一些殺毒軟件與木馬防范程序的安裝可有可無等，這些都造成了對網(wǎng)絡(luò)安全維護(hù)工作的忽視，讓病毒有可乘之機(jī)，威脅校園網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)。此外，一些黑客的技術(shù)手段也愈加高明，風(fēng)險(xiǎn)因素隨時(shí)可能爆發(fā)，病毒和木馬的不斷更新也對校園網(wǎng)絡(luò)安全造成了不小的威脅。

三、防范優(yōu)化學(xué)校網(wǎng)絡(luò)安全的重要策略

（一）加強(qiáng)防火墻與漏洞掃描，維護(hù)軟件系統(tǒng)安全

校園信息中心的網(wǎng)絡(luò)管理人員要注意在每臺計(jì)算機(jī)上安裝IP地址檢測、病毒檢測軟件。防火墻的安裝也必不可少。特別要注重對軟件漏洞的掃描，可以利用360安全殺毒軟件或者金山毒霸軟件的漏洞掃描功能，及時(shí)查找網(wǎng)絡(luò)系統(tǒng)的漏洞并進(jìn)行補(bǔ)丁修補(bǔ)。此外，要定期對計(jì)算機(jī)的內(nèi)存、垃圾軟件等進(jìn)行清理，讓計(jì)算機(jī)能夠高效的運(yùn)行[2]。軟件登錄時(shí)注意口令與密碼的核對，注意用戶身份的認(rèn)證。對于軟件系統(tǒng)的維護(hù)上，要注重軟件定期運(yùn)行狀況的監(jiān)測，及時(shí)對軟件進(jìn)行升級處理[3]。如果校園應(yīng)用軟件被黑客攻擊與控制，要有相應(yīng)的應(yīng)急補(bǔ)救措施。

（二）做好硬件配套設(shè)施的維護(hù)，保障硬件系統(tǒng)安全

學(xué)校信息中心在采購網(wǎng)絡(luò)設(shè)備諸如計(jì)算機(jī)、服務(wù)器、USB移動設(shè)備、路由器和交換器時(shí)，一定要注意檢查設(shè)備的質(zhì)量，保障其功能與性能良好。在校園網(wǎng)絡(luò)應(yīng)用中，也要對相應(yīng)的硬件進(jìn)行安全設(shè)置，密碼登記要高，盡量避免密碼等級低帶來的不安全風(fēng)險(xiǎn)。在計(jì)算機(jī)上盡量不要允許遠(yuǎn)程控制，杜絕黑客控制。在設(shè)備的防火、防潮、防磁與防震方面也要多加注意，避免因火災(zāi)、潮濕、磁干擾和震動帶來的硬件系統(tǒng)風(fēng)險(xiǎn)。

（三）規(guī)范校園網(wǎng)絡(luò)使用規(guī)定，避免網(wǎng)絡(luò)資源的濫用

學(xué)校應(yīng)該加強(qiáng)網(wǎng)絡(luò)安全使用方面的規(guī)定，加強(qiáng)信息中心網(wǎng)絡(luò)維護(hù)人員的管理與培訓(xùn)[4]。對于學(xué)生占用網(wǎng)絡(luò)資源進(jìn)行的電影、視頻、電視劇等的下載量要進(jìn)行控制，對于教學(xué)軟件與P2P軟件的帶寬的合理分配等都要進(jìn)行合理的規(guī)定，對于教學(xué)軟件與QQ或者游戲的帶寬占用要以教學(xué)軟件優(yōu)先，保障正常教學(xué)任務(wù)的優(yōu)先進(jìn)行。杜絕學(xué)生在網(wǎng)絡(luò)應(yīng)用中對不良網(wǎng)站的瀏覽、強(qiáng)化綠色網(wǎng)絡(luò)環(huán)境的建設(shè)[5]。

四、結(jié)語

校園信息網(wǎng)絡(luò)對于各項(xiàng)教學(xué)與管理工作的順利進(jìn)行提供著較為高效的平臺，我們在對其利用的過程中要避免資源浪費(fèi)，意識到網(wǎng)絡(luò)安全問題的存在并積極采取防范與優(yōu)化的策略，讓其更好地為廣大師生服務(wù)。

參考文獻(xiàn)：

[1]李俊民.網(wǎng)絡(luò)安全與黑客攻防寶典[M].電子工業(yè)出版社，2011：87.

[2]俞朝暉，王，趙怡程.系統(tǒng)防護(hù)、網(wǎng)絡(luò)安全與黑客攻防實(shí)用寶典[M].中國鐵道出版社，2013：35-41.

[3]劉瑩.計(jì)算機(jī)信息網(wǎng)絡(luò)安全技術(shù)和防范措施探析[J].中國科技博覽，2013（16）：72.

[4]（美）康維，著.田果，劉丹寧，譯.網(wǎng)絡(luò)安全體系結(jié)構(gòu)[M].人民郵電出版社，2013：22-25.