導語：如何才能寫好一篇網(wǎng)絡安全原理與技術，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

【關鍵詞】網(wǎng)絡安全技術 網(wǎng)絡信息資源 安全管理

隨著互聯(lián)網(wǎng)技術的不斷發(fā)展，計算機的應用也越來越普及，在給用戶生活和工作帶來極大便利的同時，也帶來安全管理方面的風險?；ヂ?lián)網(wǎng)信息資源的安全管理問題已經(jīng)成為了如今網(wǎng)絡安全探討的重點。如何加強網(wǎng)絡安全技術防護，增強計算機網(wǎng)絡信息資源安全管理性能，防止網(wǎng)絡信息在通信過程中被入侵和破壞，為計算機的正常運行營造一個良好的內(nèi)外部環(huán)境也成為了一個重要的課題。

1 網(wǎng)絡信息資源管理中的安全技術問題

1.1 網(wǎng)絡信息資源開放性帶來的安全隱患

信息網(wǎng)絡最大的優(yōu)勢便是其提供了開放互動的平臺，開放性是互聯(lián)網(wǎng)絡的顯著特點，同時也是信息資源的發(fā)展必然趨勢。但開放性給人們帶來便利的同時，也對網(wǎng)絡安全帶來極大的隱患。首先，目前網(wǎng)絡實名制并未完全實行，互聯(lián)網(wǎng)絡使用人群的身份判別存在難度，同時由于如今移動設備的廣泛應用，開放性極強，而泛在化互聯(lián)網(wǎng)絡的使用成本并不太高，因此對于使用人群來說，便利地傳遞信息資源固然能提供方便，但也會對互聯(lián)網(wǎng)的穩(wěn)定維護帶來隱患；其次，在互聯(lián)網(wǎng)這個開放的大環(huán)境之中，難免會存在對網(wǎng)絡安全管理具有威脅的不軌行為。這樣的行為可能是針對于互聯(lián)網(wǎng)軟件中的漏洞，或是針對于互聯(lián)網(wǎng)網(wǎng)層結(jié)構中的傳輸協(xié)議。既有可能是出于炫耀目的的本地用戶，有也可能是其他國家或組織的黑客。因此網(wǎng)絡信息資源管理中的安全技術問題，不僅關系每個用戶的信息保密，還涉及到一個地區(qū)或是一個國家的整體網(wǎng)絡安全防護問題。因此網(wǎng)絡安全問題不僅僅是行業(yè)性安全保障問題，更是一個世界性的安全保障問題。

1.2 計算機操作系統(tǒng)漏洞帶來的安全隱患

計算機的操作系統(tǒng)是最為基本也是最為重要的運行平臺，用戶通過操作系統(tǒng)得以正常使用計算機以及安裝其他軟件程序，同時還能針對計算機內(nèi)部的信息資源進行有效管理。對計算機所需的硬件和軟件而言，操作系統(tǒng)能夠幫助用戶迅速進行管理和使用，但如果在軟硬件程序之中存在漏洞和問題的話，如果沒有及時解決，極有可能造成系統(tǒng)崩潰以至于直接影響對于計算機本身的整體使用。導致計算機操作系統(tǒng)存在漏洞的重要原因在于允許使用者自行創(chuàng)建進程，并且還可以支持遠程激活。這樣的特性一旦被有心的不法分子利用，則會給計算機信息資源的安全管理帶來威脅和隱患，甚至會出現(xiàn)被他人遠程控制的情況，這將有可能對使用者帶來極大的損失。

2 主要網(wǎng)絡安全技術

2.1 內(nèi)部防御安全技術

針對于網(wǎng)絡信息資源安全管理的內(nèi)部防御安全技術主要是防火墻和漏洞掃描這兩種類型。防火墻技術是一種基于預先已經(jīng)定義好的安全規(guī)則之上，針對于計算機的內(nèi)網(wǎng)與外網(wǎng)之間的通信行為進行強制性檢查和防范，加強內(nèi)外網(wǎng)之間相互通信的訪問控制。防火墻技術需要根據(jù)實際發(fā)生的情況針對計算機外網(wǎng)的訪問權限進行限制，防止非法和違規(guī)行為通過外網(wǎng)進行入侵，以此來保障計算機內(nèi)部的網(wǎng)絡信息管理的安全，另外也需要針對計算機內(nèi)網(wǎng)之間的訪問行文進行規(guī)范，以此來優(yōu)化內(nèi)部防御安全技術，從而提高網(wǎng)絡信息資源的安全管理程度。

另外一種技術類型則是漏洞掃描。這是一種通過打補丁的方式針對計算機本地的主機或是遠程設備進行整體安全掃描，發(fā)現(xiàn)安全漏洞的同時進行修補，從而達到保障整體系統(tǒng)安全的目的。在漏洞掃描過程中，掃描程序通過對TCP/TP相關的服務端口進行掃描，從而監(jiān)控主機的系統(tǒng)，同時通過記錄相應的相應情況來收集相關的有效信息，以此通過漏洞掃描來對整體系統(tǒng)存在的安全漏洞和隱患進行整體把控，從而增強網(wǎng)絡信息資源管理的安全性，同時也能降低安全風險值，提升系統(tǒng)防御性能。

2.2 外部監(jiān)測安全技術

維護網(wǎng)絡信息資源安全管理的外部檢測安全技術包括入侵檢測行為以及可視化的安全技術。入侵檢測是基于審計大數(shù)據(jù)的收集和整合，以此來分析網(wǎng)絡通信和安全日志相關行為的安全性，判斷整個計算機系統(tǒng)中是否存在被攻擊和被入侵等不法行為。如果存在入侵行為的可能性，那么入侵檢測可以在系統(tǒng)被攻擊之前進行攔截，這是一種針對于外部監(jiān)測的安全技術，同時也是一種比較積極的防御功能。這項入侵檢測技術是針對于就是外部攻擊，同時也會對內(nèi)部攻擊進行監(jiān)控，因此能起到增強計算機安全性能防護的作用，但同時也不會對計算機本身的網(wǎng)絡通信性能造成影響。這同時也是入侵檢測技術的優(yōu)勢所在。

另外一種安全技術便是針對于網(wǎng)絡安全而衍生發(fā)展的可視化安全技術。它是基于內(nèi)部防御和外部監(jiān)測安全技術之上，將計算機網(wǎng)絡中涉及到的系統(tǒng)數(shù)據(jù)以及網(wǎng)絡結(jié)構以可視化的圖像形式表現(xiàn)出來，同時這也是實時動態(tài)監(jiān)測，為計算機整個網(wǎng)絡通信使用過程保駕護航，一旦出現(xiàn)安全漏洞或潛在風險，會以某種特定方式提示用戶，同時還能為網(wǎng)絡安全技術人員處理計算機系統(tǒng)安全問題而提供幫助，促進針對性地處理安全風險問題，從而增強計算機網(wǎng)絡信息資源的安全和智能管理。

3 加強網(wǎng)絡信息資源安全管理的策略

3.1 培養(yǎng)專業(yè)的網(wǎng)絡安全維護人才

目前對計算機網(wǎng)絡信息資源安全管理存在潛在威脅的攻擊行為大多集中在人為性的入侵行為方面。無論是針對于有目的性的黑客入侵或是計算機網(wǎng)絡犯罪，大多屬于人為入侵和攻擊的范疇。而這種人為攻擊分為兩個類型，主動攻擊和被動攻擊。兩者區(qū)別在于是否對截取到的網(wǎng)絡信息資源進行更改，前者會利用不法行為來更改截取到的信息以達到誤導信息接受者，而后者則是對傳輸?shù)男畔①Y源直接進行截取和破解，但這兩者都對信息的安全保障造成了重大風險和威脅，極易為組織和單位帶來重大的經(jīng)濟損失。因此針對這樣的網(wǎng)絡信息安全風險形式，需要從人員上優(yōu)化知識結(jié)構，增強安全防護的技能，培養(yǎng)專業(yè)的網(wǎng)絡安全維護人才，從而在加強現(xiàn)有網(wǎng)絡監(jiān)測和維護力度的基礎上，對網(wǎng)絡信息的安全發(fā)展未來趨勢進行專業(yè)性地判斷和預測，從而幫助網(wǎng)絡信息資源安全管理工作往更加智能和可把控的方向去發(fā)展。

3.2 加強計算機軟硬件設備安全管理

首先就計算機的硬件設備而言，最基本的是需要營造安全的計算機運行環(huán)境，對于電壓穩(wěn)定，防火防潮，防蟲蛀等外部風險進行把控，降低外部環(huán)境對計算機硬件運行的風險影響。同時還需要相關安全技術性管理人員針對計算機硬件設備定期進行檢測和維護，定期進行問題排查，另外還需要對相關人員未經(jīng)允許不得擅自更換計算機硬件進行規(guī)范規(guī)定。其次是對于計算機的軟件而言，網(wǎng)絡信息資源安全管理人員應該定期利用計算機安全防護技術對軟件進行病毒查殺和和漏洞修復。對于威脅到系統(tǒng)安全的計算機病毒或是其他風險，需要及時下載補丁進行修補和防護，以增強系統(tǒng)軟件的安全性，同時還需要注意的是，對于重要的相關網(wǎng)絡信息資源需建立有效的備份機制，以防止在系統(tǒng)出現(xiàn)安全風險時造成數(shù)據(jù)丟失等問題。

4 結(jié)語

在如今網(wǎng)絡信息技術以及計算機新興技術飛速發(fā)展的時代，人們利用計算機和網(wǎng)絡信息資源進行工作和交流，從中得到了極大的便利，但另一方面，網(wǎng)絡信息資源的安全問題也成為了一個重要課題。因此針對于網(wǎng)絡信息資源安全管理的隱患和風險問題進行分析，同時有針對性地提出相應的應對策略，以期能促進網(wǎng)絡信息資源管理向更為安全性的方向發(fā)展。這需要不斷加強對于網(wǎng)絡信息資源的安全管理意識，同時需要通過培養(yǎng)專業(yè)性安全維護人才來提高相關技術，加強網(wǎng)絡信息資源管理，為計算機的整體安全運行提供穩(wěn)定和良好的大環(huán)境，能夠更好地為用戶的生活和工作提供便利和幫助。

參考文獻：

[1]孫暉.網(wǎng)絡安全技術與網(wǎng)絡信息資源管理研究[J].計算機光盤軟件與應用，2012，v.15；No.20522：44-45.

[2]史亞巍.我國政府信息資源管控研究[D].中央民族大學，2015.

[3]梁宏斌.基于SMDP的移動云計算網(wǎng)絡安全服務與資源優(yōu)化管理研究[D].西南交通大學，2012.

[4]王浩羽.網(wǎng)絡安全技術與網(wǎng)絡信息資源管理探討[J].硅谷，2013，v.6；No.13414：86-87.

篇2

網(wǎng)絡安全與管理專業(yè)方向的人才培養(yǎng)除了滿足網(wǎng)絡工程專業(yè)人才培養(yǎng)基本要求外，還需要注重培養(yǎng)兩方面的專業(yè)能力：網(wǎng)絡系統(tǒng)安全保障能力和網(wǎng)絡管理維護能力[3]。網(wǎng)絡系統(tǒng)安全保障能力是指熟悉信息安全基本理論和常見網(wǎng)絡安全技術的工作原理，掌握主流網(wǎng)絡安全產(chǎn)品的安裝、配置和使用方法，能初步設計開發(fā)網(wǎng)絡安全產(chǎn)品。網(wǎng)絡管理維護能力是指熟悉常見網(wǎng)絡設備與系統(tǒng)的工作原理，掌握網(wǎng)絡管理的主流模型、系統(tǒng)功能、以及各類管理技術與方法，能初步管理和維護網(wǎng)絡與信息系統(tǒng)。

2網(wǎng)絡安全與管理方向?qū)I(yè)課程體系

2.1知識結(jié)構

網(wǎng)絡工程專業(yè)網(wǎng)絡安全與管理專業(yè)方向人才要求具備的知識可分為三大類：公共基礎知識、專業(yè)基礎知識、專業(yè)知識。公共基礎知識相對固定，具體知識包括政治理論知識、人文社科知識、自然科學知識。其中，政治理論知識包括基本原理、中國近現(xiàn)代史綱要、思想和中國特色社會主義理論。人文社科知識包括大學英語、大學生心理健康、思想道德修養(yǎng)與法律基礎、社會和職業(yè)素養(yǎng)、軍事理論、體育。自然科學知識包括高等數(shù)學、線性代數(shù)、概率論與數(shù)理統(tǒng)計、大學物理、大學物理實驗。專業(yè)基礎知識根據(jù)網(wǎng)絡工程專業(yè)人才的專業(yè)能力要求制定，具體包括電子技術基礎、計算技術基礎、計算機系統(tǒng)基礎。其中，電子技術基礎包括數(shù)字電路、模擬電路和電路基礎，技術技術基礎包括數(shù)據(jù)結(jié)構、離散數(shù)學、程序設計、算法分析與設計，計算機系統(tǒng)基礎包括計算機組成原理、操作系統(tǒng)、數(shù)據(jù)庫原理、軟件工程。專業(yè)知識相對靈活，通常根據(jù)所在院校的專業(yè)特色和辦學條件制定，具體包括專業(yè)核心知識、專業(yè)方向知識、專業(yè)實踐環(huán)節(jié)[1]。下面重點討論這部分內(nèi)容。

2.2課程體系

依據(jù)上述知識結(jié)構，結(jié)合筆者所在學院的師資力量、辦學條件和專業(yè)特色，制定了網(wǎng)絡工程專業(yè)網(wǎng)絡安全與管理方向的專業(yè)課程體系，如圖1所示。由于公共基礎課程基本固定不變，在此不再列出。圖1所示的課程體系包括專業(yè)基礎課程、專業(yè)核心課程、專業(yè)方向課程和專業(yè)實踐環(huán)節(jié)。其中，專業(yè)核心課程包括計算機網(wǎng)絡、網(wǎng)絡編程技術、網(wǎng)絡互聯(lián)技術、網(wǎng)絡工程設計。專業(yè)方向課程分為網(wǎng)絡安全和網(wǎng)絡管理兩個分支。專業(yè)實踐環(huán)節(jié)包括課程實驗、課程設計、實習實訓、畢業(yè)設計。我們認為專業(yè)核心課程的設置依據(jù)是，計算機網(wǎng)絡是所有網(wǎng)絡工程專業(yè)課程的核心基礎，網(wǎng)絡編程技術是網(wǎng)絡工程專業(yè)各方向（包括網(wǎng)絡安全與管理方向）的軟件開發(fā)基礎，網(wǎng)絡互聯(lián)技術是網(wǎng)絡工程設計的基礎，而網(wǎng)絡工程設計是網(wǎng)絡管理分支方向的基礎。

2.3專業(yè)方向課程知識點

網(wǎng)絡工程專業(yè)網(wǎng)絡安全與管理方向可分為網(wǎng)絡安全和網(wǎng)絡管理兩個分支。其中，網(wǎng)絡安全分支課程包括信息安全基礎[4]、網(wǎng)絡安全技術[5]、網(wǎng)絡攻防技術，每門課程的主要知識點如表1所示。網(wǎng)絡管理分支課程包括網(wǎng)絡管理[6]、網(wǎng)絡性能測試與分析、網(wǎng)絡故障診斷與排除，每門課程的主要知識點如表1所示。

篇3

【關鍵詞】操作系統(tǒng) 電子商務 密碼安全 病毒 防火墻

一、網(wǎng)絡安全技術體現(xiàn)的具體方面

（一）什么是網(wǎng)絡安全

可能有人會對什么是網(wǎng)絡安全不以為然，認為所謂的網(wǎng)絡安全，就是在使用網(wǎng)絡中保證安全。這樣等于沒有解釋什么是網(wǎng)絡安全，而且只有弄清楚怎樣的環(huán)境才算是安全的網(wǎng)絡，才能有的放矢，使用網(wǎng)絡技術去防范網(wǎng)絡犯罪，從而真正實現(xiàn)的網(wǎng)絡安全。網(wǎng)絡安全包含多個層面含義，是要讓用戶在網(wǎng)絡環(huán)境中能夠正常的傳輸數(shù)據(jù)信息，保證傳輸過程正常運行，不被認為或者自然的因素所影響。網(wǎng)絡安全既要保證網(wǎng)絡中軟件的安全更要保證網(wǎng)絡中硬件設備正常工作不被損壞。這是理論上的網(wǎng)絡安全環(huán)境，不可能完全避免認為和自然環(huán)境因素的影響，但是只要我們正確的認識網(wǎng)絡安全的重要，合理使用網(wǎng)絡安全技術，就能使得你的生活和工作的網(wǎng)絡環(huán)境避免收到侵害。

（二）網(wǎng)絡安全常見的體現(xiàn)：

網(wǎng)絡安全技術的應用越來越趨于完善，各個方面人們都已經(jīng)使用或者正在嘗試使用網(wǎng)絡安全技術，最大程度的降低網(wǎng)絡犯罪所帶來的威脅。這里主要介紹幾個常見的網(wǎng)絡安全技術。首先，對于信息的傳送，我們使用了加密技術，這屬于計算機中密碼學的范疇。包括聊天信息的加密解密，個人帳戶隱私的加密，密碼的多重加密等等，不一而足。主要應用的領域主要在電子商務的財務往來和信息溝通軟件的保密方面（如騰訊QQ）。其次，主要是體現(xiàn)在殺毒軟件和防火墻兩方面。這兩種網(wǎng)絡安全技術針對性比較強，主要是針對來自網(wǎng)絡的病毒攻擊和一些非法的侵入行為。其實從原理角度講，殺毒軟件和防火墻并不相同，差異很大。殺毒軟件主要是針對進入到網(wǎng)絡的終端（計算機）中的病毒，進行查找與殺滅。讓病毒不能夠正常的復制、觸發(fā)，不能實現(xiàn)危害計算機危害網(wǎng)絡的目的。而防火墻則如同守衛(wèi)大門的衛(wèi)士，利用柵欄阻攔不受信賴的訪客，讓危險信息無法傳送到內(nèi)網(wǎng)。但兩者也有相同的目的，就是共同組織危險者的破壞行為。再進一步說，網(wǎng)站是人們關注信息的平臺和媒介。哪么建立網(wǎng)站的服務器的安全性保障要跟高。這就要從操作系統(tǒng)抓起，合理選用自身性能更加安全的操作系統(tǒng)，進行操作系統(tǒng)安全設置，從根本上保證安全性進一步提高。

二、網(wǎng)絡安全技術的具體應用

（一）密碼學：

在電子商務和信息傳送中常常使用，利用的是密碼學的知識。但要實現(xiàn)具體應用就要以技術形式體現(xiàn)。現(xiàn)在常用的加密技術有MD5技術、數(shù)字簽名技術、RSA、DESA算法相關技術等。這些是以使用較多為介紹，不是以具體標準進行分類的。比如在實現(xiàn)不可逆的軟件加密或者計算機應用工具機密，MD5技術就有較多的使用。在電子商務中數(shù)字簽名技術更方便的保障了買方和賣方的共同利益，防止資金支付抵賴。

（二）防火墻應用：

防火墻已經(jīng)介紹了，如同門衛(wèi)一般，保障用戶和用戶間內(nèi)網(wǎng)的安全。但從原理來說，其實防火墻歷經(jīng)了幾個不同的階段，從早期利用數(shù)據(jù)包格式進行安全判定，到進一步電路級網(wǎng)關安全判定，再到應用層使用的安全判定。網(wǎng)絡安全性能一路攀升。但是不可否認的是，安全性能的攀升也付出了大量計算大量判定與時間的代價。從這些原理出發(fā)，廠商也制作了不同原理的防火墻。成熟產(chǎn)品也日益增多，如果在公共場合使用的網(wǎng)絡終端，都最好配置一款防火墻產(chǎn)品?，F(xiàn)在比較流行的有天網(wǎng)防火墻、安氏領信，聯(lián)想網(wǎng)御，天融信等。當然還有很多國外防火墻產(chǎn)品性能也很優(yōu)越。這里不再贅述。

（三）操作系統(tǒng)安全應用

WINDOWS已經(jīng)是人們使用最多的操作系統(tǒng)，但是有的操作系統(tǒng)只適合個人用戶，對于服務器級的安全是不夠的。當然也不乏幾款操作系統(tǒng)是針對安全性設計的。因為微軟的操作系統(tǒng)人們研究已經(jīng)較多，這里討論下LIUNX平臺下安卓系統(tǒng)的安全。Android系統(tǒng)作一個安全開源的移動平臺，在系統(tǒng)內(nèi)核層次與應用開發(fā)方面都提供了強大的安全措施。在系統(tǒng)內(nèi)核層次，應用沙盒可以實現(xiàn)應用之間的隔離，防止一個應用的數(shù)據(jù)和代碼被其它沒有授權的應用存??；隨著系統(tǒng)版本的升級，內(nèi)存管理功能隨之豐富；加密的文件系統(tǒng)可以保護丟失設備上的數(shù)據(jù)不被泄漏。在應用開發(fā)方面同，采用加密、授權和安全IPC等措施構建的應用程序框架具有強大的安全特性；授權模式可以限制應用對系統(tǒng)功能和用戶數(shù)據(jù)的存??；應用指定的權限級別可以控制其它應用對自己的訪問；數(shù)字簽名保證了程序開發(fā)者與應用之間的信任關系。Android在安全性設計方面還考慮了盡量減少應用開發(fā)人員的負擔問題。針對安全性要求高的開發(fā)者通過平臺提供的靈活的安全控制機制可以輕松開發(fā)應用程序。針對安全性要求不高的開發(fā)者，系統(tǒng)默認的安全措施也能夠?qū)贸绦蛱峁┹^好的保護。對于可能存在的惡意攻擊，系統(tǒng)提供了防范機制，一方面降低攻擊成功的概率，另一方面盡量限制攻擊后系統(tǒng)所受損失。

參考文獻：

[1]高學軍，凌捷.網(wǎng)絡安全現(xiàn)狀與趨勢探討[J].汕頭大學學報（自然科學版）.2004（04）.

[2]禹春東，薛質(zhì).淺析入侵檢測系統(tǒng)[J].中國科技信息.2005（24）.

[3]葉宇光.淺談網(wǎng)絡安全[J].電腦知識與技術.2004（32）.

[4]劉明，韓江.網(wǎng)絡安全現(xiàn)狀及其防范技術探討[J].科技信息.2006（S2）.

篇4

關鍵詞：網(wǎng)絡安全問題

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 （2013） 01-0153-02

1 網(wǎng)絡安全

在我們的日常生活中，幾乎每天都會接觸到網(wǎng)絡。互聯(lián)網(wǎng)對于現(xiàn)代社會中的人而言，更具高效性、交互性。隨著科技的發(fā)展，計算機信息處理功能也得到了很大的提高。網(wǎng)絡的出現(xiàn)，將過去時間與空間都沒有交集的信息集成起來，構成了龐大的數(shù)據(jù)信息資源系統(tǒng)，為廣大的用戶提供了更為便捷的信息處理方式，在很大程度上推動了信息化的進程。但是隨之而產(chǎn)生的則是信息數(shù)據(jù)的安全問題，一個公開的網(wǎng)絡平臺為懷有一定目的的人員提供了可乘之機，不但會造成重要信息資源的損壞，同時也會給整個網(wǎng)絡帶來相當大的安全隱患。所以，網(wǎng)絡安全問題成為當今人們最為關心的網(wǎng)絡問題。隨著網(wǎng)絡技術的不斷發(fā)展及更新，安全防范的具體舉措也在不斷的更新。

網(wǎng)絡安全主要是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不會因偶然的或者惡意的行為而遭受到極大的破壞、更改、泄露，網(wǎng)絡服務不會中斷。網(wǎng)絡安全的本質(zhì)就是網(wǎng)絡上的數(shù)據(jù)信息安全。

大家?guī)缀蹩梢悦刻煸诿襟w上看到宣傳網(wǎng)絡安全的重要性的信息：例如出現(xiàn)了某種新的木馬，提醒大家要多加注意；發(fā)現(xiàn)了某種高危險漏洞，告訴用戶要及時的修補補丁等。這種各樣的網(wǎng)絡威脅充斥網(wǎng)絡，那么我們應該如何才能獲得網(wǎng)絡安全感呢？這是廣大用戶心中始終縈繞的問題，也是信息安全專家心中的困惑。

2 威脅網(wǎng)絡安全的重要因素

在網(wǎng)絡的具體運行過程中，網(wǎng)絡安全受到來自各方的威脅，威脅主要來自信息的威脅、設備威脅等，主要有以下幾個方面的威脅：

2.1 網(wǎng)絡硬件設施的威脅。在我們平時的上網(wǎng)過程中，在計算機網(wǎng)絡運行中，硬件設施是必不可少的，但是就硬件設施的本身就有著極大的安全隱患。這其中對安全問題威脅最大的就是電子輻射泄漏，當計算機和網(wǎng)絡包含的一些電磁信息不慎泄漏了，這就在一定程度上增加了竊密、失密、泄密的危險性了。還有平時我們使用的一些移動存儲設備，由于這些存儲設備小巧精致、存儲量大所以應用的較為廣泛，這給網(wǎng)絡系統(tǒng)的信息安全造成了巨大的隱患，造成信息的泄漏。

2.2 軟件的威脅。在平時的網(wǎng)絡運行中，一些大的網(wǎng)絡公司如微軟等經(jīng)常安全更新公告，提醒廣大的用戶要盡快的下載及安裝官方網(wǎng)站上的安全程序，這些安裝程序大都涉及到Windows操作系統(tǒng)內(nèi)核更新和Office組件的安全更新，操作系統(tǒng)的安全形勢非常的嚴峻，給用戶的信息帶來了巨大的隱患。一旦存在漏洞的系統(tǒng)在執(zhí)行過程中出現(xiàn)缺陷，就會遇到網(wǎng)絡攻擊，就會引發(fā)系統(tǒng)的安全失效。不少網(wǎng)絡安全問題都是由軟件存在的巨大缺陷引起的，應用軟件的這些安全隱患必須要受到足夠的重視。雖然我國現(xiàn)在越來越重視信息安全的作用，信息與網(wǎng)絡安全的相關產(chǎn)業(yè)也初步形成了一定的規(guī)模。但是從總體上來看，我國的信息與網(wǎng)絡安全存在著巨大的問題。

2.3 操作系統(tǒng)的威脅。操作系統(tǒng)是對網(wǎng)絡系統(tǒng)與計算機的安全起著決定性的作用。操作系統(tǒng)聯(lián)系這用戶、上層軟件、計算機硬件，操作系統(tǒng)一旦在復雜的網(wǎng)絡環(huán)境中工作，無疑會出現(xiàn)安全方面的隱患。另外，由于操作系統(tǒng)存在著重大的安全隱患，數(shù)據(jù)庫程序及電子郵件都有可能存在危險，這種存在的漏洞被加以利用進行遠程攻擊，為網(wǎng)絡安全帶來巨大的隱患。

3 加強計算機網(wǎng)絡安全的措施

針對網(wǎng)絡安全中存在的諸多問題，加強網(wǎng)絡安全刻不容緩，加強計算機網(wǎng)絡安全的措施主要有以下幾個方面：

3.1 運用防火墻技術。防火墻是最流行的網(wǎng)絡運行技術，應用的也最為廣泛。它的基本工作原理就是在不安全的網(wǎng)絡環(huán)境中盡可能的構建一個相對安全的子網(wǎng)環(huán)境。防火墻中最大的優(yōu)勢是，這兩個網(wǎng)絡之間的訪問策略控制和限制保護網(wǎng)絡和互聯(lián)網(wǎng)的安全連接。它的主要功能是由內(nèi)到外或由外到內(nèi)的溝通都必須要經(jīng)過它。只有內(nèi)部訪問策略經(jīng)過授權的通信才能允許其通過，這樣就提高了網(wǎng)絡安全性。

3.2 加密數(shù)據(jù)技術。這種技術的工作原理是將加密后的數(shù)據(jù)對信息進行重新編碼，進而隱藏信息內(nèi)容，使沒有得到授權的用戶不可能得到真實的信息。加密的數(shù)據(jù)可以提高信息系統(tǒng)及數(shù)據(jù)的安全性及保密性，防止外部破譯的秘密數(shù)據(jù)。加密的數(shù)據(jù)可以分為不同的類型，可以有數(shù)據(jù)存儲、數(shù)據(jù)傳輸、身份驗證的數(shù)據(jù)完整性，還有密鑰的管理技術等。

3.3 入侵檢測技術。入侵檢測技術可以監(jiān)測輸入到系統(tǒng)或侵入安全日志和審計數(shù)據(jù)或其他信息的網(wǎng)絡操作。入侵檢測技術是一種設計和配置能力，用來監(jiān)測和報告未授權或者異?，F(xiàn)象的系統(tǒng)。入侵檢測系統(tǒng)和一般的檢測技術有著同樣的原理。發(fā)現(xiàn)一組數(shù)據(jù)，檢測出數(shù)據(jù)符合和滿足某種的特點。當攻擊者對網(wǎng)絡進行攻擊的時候會留下痕跡，這些痕跡和系統(tǒng)正常運行的時候生成的數(shù)據(jù)混和在一起。入侵檢測技術就是在這些混合的數(shù)據(jù)中找到是否有入侵過的痕跡，并提供相應的提示或者警告。

3.4 身份認證技術。身份驗證技術主要是通過用戶在訪問服務器時，可以要求用戶輸入自己的帳號、密碼等。這種輸入檢查的過程就是身份驗證，實施的過程也比較的簡單，可以在網(wǎng)站或者FTP站點上設置相關的身份驗證。同時也可以通過因特網(wǎng)的信息服務技術進行身份的驗證，以防止不法分子的侵入，造成網(wǎng)絡安全的隱患。

4 總結(jié)

復雜多變的網(wǎng)絡環(huán)境，以及信息系統(tǒng)的脆弱性共同決定了網(wǎng)絡安全威脅的客觀存在。我國正在全面的走向世界并積極地融入到世界中，但是加強監(jiān)管與建立適當?shù)谋Ｗo屏障是至關重要的。在這個信息化的時代里，如國沒有信息安全的保障，國家就沒有安全的保障。

計算機網(wǎng)絡安全的問題越來越受到人們的重視，也在計算機的發(fā)展中被提上日程。我們必須綜合的進行考慮，制定出合理的技術手段。我們有理由相信，隨著計算機網(wǎng)絡技術的進一步發(fā)展，網(wǎng)絡安全防護技術也將會隨著科技的發(fā)展而不斷發(fā)展。

參考文獻：

[1]黃開枝，孫巖.網(wǎng)絡防御與安全對策[M].北京：清華大學出版社，2004.

[2]胡道元.網(wǎng)絡安全[M].北京：清華大學出版社，2004.

[3]袁津生，吳硯農(nóng).計算機網(wǎng)絡安全基礎[M].北京：人民郵電出版社，2002.

[4]張成昆.網(wǎng)絡安全原理與技術.北京：人民郵電出版社，2003.

[5]李晶名.網(wǎng)絡安全.北京：電子工業(yè)出版社，2005.

[6]劉曉輝.網(wǎng)絡安全管理實踐（網(wǎng)管天下）[M].北京：電子工業(yè)出版社，2007（3）.

[7]李毅超，蔡洪斌，譚浩等譯.信息安全原理與應用（第四版）[M].北京：電子工業(yè)出版社，2007（11）.

[8]常莉.計算機網(wǎng)絡安全技術的探討[M].中國管理信息化.

[9]李學詩.計算機系統(tǒng)安全技術[M].武漢：華中理工大學出版社，2003.

[10]楊義先.網(wǎng)絡安全理論與技術[M].北京：人民郵電出版社，2003.

篇5

關鍵詞：網(wǎng)絡安全；評價方式；應用；探討

中圖分類號：TP393文獻標識碼：A文章編號：1007-9599 (2012) 03-0000-02

The Study of Comprehensive Evaluation of Network Security

Sui Zhenyou1,Tong Lu2

(1.Institute of Adult Education,Inner Mongolia University for Nationalities,Tongliao028043,China;2. Xingan Vocational and Technical College,Xinganmeng137400,China)

Abstract:Network security is a complex project,this is closely related to computer networks,information security issues more and more people's attention,therefore,to develop an effective and scientific network security policy is to ensure that the network information security protection,which requires network security risk assessment,development of a comprehensive evaluation of effective network security is also particularly important.Start of network security evaluation and comprehensive evaluation of the three types of network security are discussed from two aspects of the evaluation principles and evaluation model for comparison and reference.

Keywords:Network security;Evaluation methods;Application;Explore

一、引言

當今計算機網(wǎng)絡技術迅猛發(fā)展，與此同時其網(wǎng)絡安全問題也日益凸顯，也成為計算機網(wǎng)絡技術發(fā)展所需要解決的迫切問題[1]。因此需要對網(wǎng)絡的安全狀況進行合理和有效的評價，以幫助用戶全面掌握網(wǎng)絡安全狀態(tài)，及時采取必要的防范措施，以確保網(wǎng)絡的安全。目前在對網(wǎng)絡安全的評價方法上，主要依靠查找系統(tǒng)的安全漏洞或者薄弱環(huán)節(jié)，進而對系統(tǒng)的安全性能進行測試評估。然而，計算機網(wǎng)絡安全所涉及的領域太廣，需要運用系統(tǒng)工程的思想方法才能對網(wǎng)絡的安全狀況做好有效的評估和得到準確的評價結(jié)果。我國在計算機網(wǎng)絡安全的評價理論和方法研究上，雖有些學者對其進行了研究，但是研究成果還比較分散，仍未形成系統(tǒng)和科學的體系。對此，針對網(wǎng)絡安全綜合評價方式的研究現(xiàn)狀，有必要對其進行梳理，為促進其深入研究提供參考。

二、三種網(wǎng)絡安全綜合評價方式探討

網(wǎng)絡安全綜合評價具體包括了三個方面的內(nèi)容，一是建立評價指標體系，二是需對評價指標實施標準化的處理，三是采用合適的評價方法。其中，評價指標選取的合適與否對綜合評價有著基礎性的影響，因此在對其的選取上務必要合理和科學。由于網(wǎng)絡安全評價屬于復雜工程，采用以往的定性或者定量方式都難以取得理想的評價效果，因此必須要尋找更為科學和有效的網(wǎng)絡安全綜合評價方式。

（一）基于層次分析法的網(wǎng)絡安全綜合評價方式

原理：層次分析法可以在對網(wǎng)絡安全綜合評價時把定性分析和定量分析結(jié)合起來，它的原理是：首先是對問題進行層次化分解，在該過程中對系統(tǒng)對象進行抽象化，轉(zhuǎn)化為一個層次化、有序化的結(jié)構模型；其次是對同屬層次中的評價指標進行互相比較，創(chuàng)建判斷矩陣，產(chǎn)生評價指標相對權重；最后是計算每層指標的組合權重，獲得各個指標相對于總指標的權重比較值，并進行排序，作為決策的依據(jù)。層次分析法可以把專家知識和人的主觀判斷結(jié)合起來，用數(shù)量形式進行表達和處理，將研究對象看作一個有機聯(lián)系的整體，因而可以對系統(tǒng)進行有效的分析[2]。并且，采用層次分析法對網(wǎng)絡安全進行評價，對影響網(wǎng)絡安全的各種因素都可以充分考慮，有利于準確評價網(wǎng)絡安全的風險狀況。

模型：在用層次分析法構建網(wǎng)絡安全綜合評價模型前，很有必要了解與之相關的網(wǎng)絡安全評價指標體系，以利于保障信息的完整性、可用性和保密性。目前在對網(wǎng)絡安全進行安全評價的過程當中，還沒有有效的指標體系建立方法，現(xiàn)在應用比較多的是德爾菲法，因其結(jié)合了不少專家經(jīng)驗和主觀判斷，可在概率上對很多不能進行定量分析的因素做出估算，并把評估報告報給評估專家，從而可利用信息控制及反饋來使評價意見收斂，最終得到一個協(xié)調(diào)的結(jié)果。采用層次分析法建立網(wǎng)絡安全綜合評價模型可以分為四個步驟，首先是要建立起網(wǎng)絡安全的層次結(jié)構模型；其次是要建立起判斷矩陣，再次是要計算指標權重，最后是要進行一次性檢驗。通常，可把網(wǎng)絡安全的綜合評價指標的層次結(jié)構模型分為三層，把網(wǎng)絡安全定義為目標層，將管理安全、數(shù)據(jù)安全、環(huán)境安全及軟硬件安全定義為規(guī)則層，把組織體系、制度管理、入侵檢測、數(shù)據(jù)加密和數(shù)據(jù)備份等定義為措施層。判斷矩陣是由專家知識對各層次的評價指標與上一層次的功能模型相對重要性進行互相比較，從而形成的一個數(shù)據(jù)矩陣。在對指標權重的確定上，需要按照一定的順序進行，步驟如下：以專家經(jīng)驗為依據(jù)，對準則層相對于安全目標層的指標權重進行判斷，確定其最大特征值和特征向量，再進行歸一化處理，從而取得相應的權重系數(shù)；同理，可以計算確定措施層相對于準則層的每項指標權重系數(shù)；最后把上面兩次計算出來的指標權重相乘，得到合成的權重，以表示措施層相對于安全目標層的合成權重。由于專家在各指標重要性的判斷上存在差異，因此，還很有必要根據(jù)相應的判斷矩陣一致性指標公式對判斷矩陣實施一致性檢驗，以檢驗其一致性程度。

（二）基于模糊評價法的網(wǎng)絡安全評價方式

原理：基于模糊評價法的網(wǎng)絡安全評價方式是一種將定性分析和定量分析結(jié)合起來，綜合化程度高的網(wǎng)絡安全評價方式。所謂模糊綜合評價法屬于一種應用模糊數(shù)學的綜合評價方法，其依據(jù)模糊數(shù)學中的隸屬度理論將定性評價轉(zhuǎn)變?yōu)槎吭u價，由模糊數(shù)學對受因素制約的對象作出總體評價，不但結(jié)果清晰和系統(tǒng)性強，而且可以有效解決一些模糊及難數(shù)量化的問題，因而在解決多種非確定性問題上具有很明顯的優(yōu)勢[3]。

模型：建立網(wǎng)絡安全的評價模型，需要做到以下幾點：一是注意評估要素。網(wǎng)絡安全的風險是由于各種外部的威脅因素通過其漏洞對資產(chǎn)價值造成破壞，其值是資產(chǎn)價值、網(wǎng)絡脆弱等級和網(wǎng)絡威脅評估等級的函數(shù)。二是資產(chǎn)評估。通過資產(chǎn)評估，可以提供重要資產(chǎn)價值評估和確定漏洞掃描器分布等。三是威脅評估，其主要包括評估各種類型資產(chǎn)薄弱環(huán)節(jié)、可能的威脅類型、各種攻擊代價等。四是評估方法。評估方法是采用模糊數(shù)學的概念和方法，以便于得到簡單易用的評估結(jié)果。采用模糊方法對網(wǎng)絡安全進行安全評價時，首先要確定好隸屬度函數(shù)，按照某一標準對包含所有評判因子在內(nèi)的因素集合進行分組，一般把性質(zhì)相近的因素放到一起。其次是建立好關系模糊矩陣，設置每個單項指標集合和風險級別集合，并對每個單項指標進行評價，由各自相關的隸屬度函數(shù)來求出每個單項指標相對于風險級別的隸屬度，從而得到關系模糊矩陣。同時，還需要根據(jù)相關條件來確定權重模糊矩陣。最后是根據(jù)權重模糊矩陣與關系模糊矩陣來確定模糊綜合評價模型，通過把兩個模糊矩陣相乘，所得的矩陣即是模糊綜合評價模型。

（三）基于BP神經(jīng)網(wǎng)絡的網(wǎng)絡安全評價方式

原理：BP神經(jīng)網(wǎng)絡是當前應用最為廣泛的神經(jīng)網(wǎng)絡模型之一，最早由1986年的一個科學家小組提出，屬于一種按誤差逆?zhèn)鞑ニ惴ㄓ柧毝玫亩鄬忧梆伨W(wǎng)絡。BP網(wǎng)絡可以學習和貯存大量輸入到輸出模式的映射關系，不需先揭示描述該映射關系的數(shù)學方程。它通過使用最速下降法作為學習規(guī)則，由反向傳播不斷調(diào)整網(wǎng)絡權值和閥值，從而可使網(wǎng)絡的誤差平方和取到最小。

模型：BP神經(jīng)網(wǎng)絡一般由輸入層、隱含層及輸出層構成。可以用BP神經(jīng)網(wǎng)絡來逼近在任意區(qū)間內(nèi)的連續(xù)函數(shù)，實現(xiàn)相關的從輸入到輸出的映射關系。BP神經(jīng)網(wǎng)絡的模型在計算時采用梯度搜索技術，計算時，輸入信號從輸入層進入，再經(jīng)隱含層單元的逐層處理，傳到輸出層，上層神經(jīng)元僅影響下層神經(jīng)元的狀態(tài)。若輸出層未能得到期望的輸出，會轉(zhuǎn)到反向傳播，把輸出信號誤差按原連接通路返回，修改每層神經(jīng)元的權重，使誤差最小[4]。

基本評價步驟：首先是對網(wǎng)絡初始狀態(tài)進行初始化，主要是對相關的連接權值和閥值賦予-1到1之間的隨機數(shù)；接著把第一個輸入樣本對輸入；接著計算中間每層神經(jīng)元的相應輸入值和輸出值；接著計算相關的連接到輸出層單元和中間層單元的權限誤差，接著對相關連接權值和閥值進行更新；再接著輸入下一學習樣本對，到全部模式對訓練完畢，再開始新一輪的學習訓練，直到滿足相應的結(jié)束條件。

在網(wǎng)絡安全評價中的應用。由于BP網(wǎng)絡具有出色的非線性處理能力，可以有效解決在信息模糊、矛盾頻雜等復雜環(huán)境下的判斷和認知問題，在網(wǎng)絡安全的評價當中也有廣泛的應用。例如，有學者用BP網(wǎng)絡對投資風險進行了評估研究，取得了良好的成果；有學者在電力系統(tǒng)中運用BP神經(jīng)網(wǎng)絡進行安全評估；也有學者將BP神經(jīng)網(wǎng)絡對地震災害進行了評估。又如，有國外學者將BP神經(jīng)網(wǎng)絡應用于橋梁系統(tǒng)的性能評價當中，證明了其在方案評價中的潛力和效率；國內(nèi)也有學者把BP神經(jīng)網(wǎng)絡應用于信息管理系統(tǒng)的綜合評價和多目標綜合評價當中，取得了不少研究成果。

三、結(jié)語

網(wǎng)絡安全保障體系的建設將是一個長期和復雜的系統(tǒng)工程，不僅需要加強技術支撐和制度管理，還需要運用科學有效的網(wǎng)絡安全綜合評價方式對安全風險進行評估，根據(jù)安全評估報告采取相應的安全措施，從而使安全風險在可控的范圍內(nèi)。本文主要從原理和模型方面比較具體地探討和梳理了層次分析法、模糊評價法和BP神經(jīng)網(wǎng)絡在網(wǎng)絡安全綜合評價中的應用情況，結(jié)果表明這三種方法在對網(wǎng)絡安全綜合評價中的應用可以使評價結(jié)果更加客觀和準確。

參考文獻：

[1]許福永,神劍,李劍英.網(wǎng)絡安全綜合評價方法的研究及應用[J].計算機工程與設計,2006,27(8):1398-1400

[2]李健宏,李廣振.網(wǎng)絡安全綜合評價方法的應用研究[J].計算機仿真,2011,28(7):165-168

篇6

在計算機網(wǎng)絡技術迅速發(fā)展和人類社會不斷進步的帶動下，人工智能也與時俱進，并得到迅速傳播和發(fā)展，進而直接或間接地推動著其他學科領域的進步和發(fā)展。網(wǎng)絡安全問題也在日漸成為人們的關注焦點，如何才能有效的利用人工智能技術對網(wǎng)絡數(shù)據(jù)進行安全防護呢？本文首先介紹了人工智能與網(wǎng)絡安全問題的特點與聯(lián)系，進而提出在網(wǎng)絡安全中引入人工智能技術，防護網(wǎng)絡安全的策略，希望能對維護網(wǎng)絡起到一部分作用。

關鍵詞：

網(wǎng)絡安全；計算機；人工智能；信息安全

引言

人工智能是一門將計算機科學與語言學、控制論、神經(jīng)生理學等多種學科的理論和應用相互結(jié)合、相互滲透，逐漸產(chǎn)生發(fā)展的綜合性學科，是計算機科學領域內(nèi)有關研究、設計和利用現(xiàn)代智能工具的一個重要分支。目前網(wǎng)絡技術的急速發(fā)展，使得人們早就已經(jīng)習慣運用網(wǎng)絡處理各類事宜，如娛樂、聊天、辦公等，網(wǎng)絡的個人隱私信息也越來越多，傳統(tǒng)的網(wǎng)絡安全維護辦法早已捉襟見肘，人工智能的出現(xiàn)，為網(wǎng)絡安全管理提供了一個新的契機。

1.我國網(wǎng)絡安全現(xiàn)狀

網(wǎng)絡安全是每個人都應該了解與維護的職責，人們享受著網(wǎng)絡帶來的便利，同樣也會遭受到個人信息與財產(chǎn)的威脅。而目前的網(wǎng)絡安全現(xiàn)狀卻是：很多時候，當使用者一打開網(wǎng)頁時，網(wǎng)頁就自動會彈出一些雜亂無章的廣告信息，鋪天滿地的向使用者“傳達”無用的信息來麻痹使用者的視野，擾亂使用者的心智?；蛟S，當使用者在下載信息時很容易下載病毒，如果把下載的是病毒當著有用信息保存到電腦中后，除了得不到使用外，還會損害電腦的硬件設備，讓電腦長時間的處于“危險”狀態(tài)?；蛘呤且恍┤藶橐蛩氐恼`操作：有意“種植”木馬病毒、編寫病毒代碼、對電腦硬件不加以保護所造成的。這些不良信息，會是代碼病毒、蠕蟲等，它們都會擾亂信息源代碼，侵染網(wǎng)頁，電腦會崩潰。種種原因表明，這些不良信息的大量出現(xiàn)，是一些不法分子以及商家為了謀取暴利而上傳在網(wǎng)絡上的，來吸引正在使用網(wǎng)絡的人們眼球，給使用網(wǎng)絡的人帶來更多的痛苦。從而產(chǎn)生密碼被泄露、數(shù)據(jù)被篡改、用戶難以登錄、網(wǎng)絡端口故障等現(xiàn)象。這些現(xiàn)象的發(fā)生，給現(xiàn)在的網(wǎng)絡安全帶來危險，使計算機網(wǎng)絡安全機制難以“愈合”。病毒的不斷涌入、蠕蟲的不斷產(chǎn)生、黑客的間斷性攻擊、間諜的蜂擁出現(xiàn)、人為的誤操作，給網(wǎng)絡的安全問題帶來巨大的威脅。

2.人工智能技術特點與優(yōu)勢

將人工智能應用到網(wǎng)絡安全管理領域可以幫助網(wǎng)絡管理員提高工作效率，相較于傳統(tǒng)的網(wǎng)絡安全技術，不論是從速度，效率以及可操作性都顯著提高，其具體的優(yōu)勢如下所示：

2.1具有處理模糊信息能力

人工智能技術具有處理未知問題的能力。人工智能技術一般采用模糊邏輯的推理方式，不用非常準確的描述數(shù)據(jù)模型。網(wǎng)絡中存在大量不確定也不可知的模糊信息，處理這些信息比較困難。在計算機網(wǎng)絡安全管理中應用人工智能技術，可以提高處理信息的能力。

2.2具備學習能力和處理非線性能力

人工智能不同于傳統(tǒng)的網(wǎng)絡安全處理模式，它最大的特點是它具有一定的學習能力，這一點的優(yōu)勢在處理信息時表現(xiàn)得尤為明顯，因為網(wǎng)絡中的信息量往往是龐大的，但是許多信息都是簡單的，及其容易理解，卻可能有有效信息，想要從海量的信息中挖掘出有效的信息，首先要做的就是學習，推理這些簡單的信息，人工智能的優(yōu)勢就在于這里。人工智能具有處理非線性能力。

2.3計算成本低

傳統(tǒng)網(wǎng)絡安全技術消耗的能源量驚人，人工智能在這一方面則有很大的改善，它對于能源消耗速率特別低。因為人工智能采用的是新的算法，即控制算法。這種算法可以利用最優(yōu)解可以一次性完成計算任務，有效減少資源消耗力度，實現(xiàn)綠色節(jié)能。另外，使用這種方法可以保證網(wǎng)絡技術的高速性。

3.人工智能技術

在網(wǎng)絡安全中的運用在網(wǎng)絡安全管理過程中，運用得最廣泛的就是防火墻，其中最具有技術含量的核心部分為入侵檢測，入侵是指任何可能損害信息的完整性和保密性的所有活動，而入侵檢測主要就是識別這些活動，后續(xù)再采取其他手段對網(wǎng)絡安全進行維護。本文的重心主要在于人工智能技術在這一階段的運用。

3.1建立規(guī)則產(chǎn)生式專家系統(tǒng)

目前網(wǎng)絡安全領域運用得最為廣泛的人工智能技術就是專家系統(tǒng)。專家系統(tǒng)，顧名思義就是以專家所擁有的經(jīng)驗性知識為基礎而設立的入侵檢測系統(tǒng)。該系統(tǒng)的管理員可以通過將目前已經(jīng)了解的入侵特點編碼成規(guī)則，通過系統(tǒng)自動檢測這些特征從而來判斷系統(tǒng)的安全性是否到位，同時，專家系統(tǒng)的建立也使得日后的入侵檢測工作量減輕。

3.2人工神經(jīng)網(wǎng)絡系統(tǒng)

在網(wǎng)絡安全管理中的運用人工神經(jīng)網(wǎng)絡具有較強分辨能力，它可以識別一些帶有噪音或者暗藏畸變的入侵模式，這套系統(tǒng)的開發(fā)是相關的科研隊伍經(jīng)過長時間的模擬人腦學習技能的而形成的。除了有上訴的優(yōu)勢，它還具備一定的學習能力和高適應能力，能夠快速識別入侵行為。人工神經(jīng)系統(tǒng)在網(wǎng)絡安全中的運用，大大提高了面對入侵時管理員的應對速度，對保證網(wǎng)絡安全的意義重大。

3.3人工免疫技術

在網(wǎng)絡安全領域中的運用人工免疫技術也是人工智能技術的一個分支，它的技術原理是人體免疫之后人體自發(fā)的出現(xiàn)一系列的自我防御的現(xiàn)狀，運用在信息安全管理上就是基于自然防御機理的學習技術，兩種人工免疫技術原理相似。前者保護人體免受病毒打擾，后者保護信息不被入侵，保證信息的完整性、保密性。

4.結(jié)束語

將人工智能運用在網(wǎng)絡安全還是一個較為新穎的領域。事實上，可以用到網(wǎng)絡安全中的人工智能技術并不止上訴提及的幾種，它還有待我們?nèi)グl(fā)展和探索，另外，在網(wǎng)絡功能如此強大的今天，不少人的日常生活都已經(jīng)無法離開網(wǎng)絡，網(wǎng)絡安全正在逐漸成為一個越來越熱的話題，對于各類新技術，并不只限于人工智能技術，我們都應該將其靈活運用到網(wǎng)絡中來，保障網(wǎng)絡的安全性，使網(wǎng)絡更好的服務于大眾。

參考文獻：

[1]吳元立,司光亞,羅批.人工智能技術在網(wǎng)絡空間安全防御中的應用[J].計算機應用研究,2015,32(8):2241-2244.

[2]儲美芳.基于人工智能理論的網(wǎng)絡安全管理關鍵技術的研究[J].計算機光盤軟件與應用,2012(23):95.

篇7

摘要：本文就信息安全學科實踐環(huán)節(jié)中綜合能力的培養(yǎng)進行了探索，首先分析了信息安全專業(yè)教學中實踐能力培養(yǎng)的重要性與面臨的問題，說明了編程能力提高在培養(yǎng)信息安全應用型人才的重要性，然后提出通過掌握網(wǎng)絡安全開發(fā)包提高學生編程綜合能力的培養(yǎng)途徑。

關鍵詞：人才培養(yǎng)；信息安全；編程實踐；網(wǎng)絡安全開發(fā)包

中圖分類號：G642

文獻標識碼：B

1實踐能力培養(yǎng)的重要性與面臨的問題

信息安全是一個實踐性很強的科學，目前信息安全專業(yè)的實踐教學中，除一些重點院校外，多數(shù)院校普遍存在硬件設施缺乏的問題，相關信息安全課程以課堂授課為主，學生難以很好地將所學的理論知識用于解決實際問題。此外已建設有信息安全試驗室的院校也面臨如何更好地充分利用現(xiàn)有信息安全實驗室的硬件、軟件資源，如何更合理、有效地安排信息安全實驗環(huán)節(jié)等問題。

總地說來，目前信息安全學科的實驗環(huán)節(jié)也正經(jīng)歷從無到有再逐漸完善的過程,在已有的實踐環(huán)節(jié)中，以分析、驗證、配置型實驗為多，一般可以劃分為以下幾類:

(1) 密碼學實驗，如DES和RSA密碼算法、MD5和SHA散列算法實驗等，該類實驗通常主要以經(jīng)典算法分析與代碼實現(xiàn)為主。

(2) 網(wǎng)絡攻防實驗，如緩沖區(qū)溢出攻擊與防范、網(wǎng)絡監(jiān)聽技術、計算機和網(wǎng)絡掃描技術、DOS攻擊與防范，以及欺騙類攻擊與防范實驗等。

(3) 系統(tǒng)安全配置實驗，如Windows和linux操作系統(tǒng)的安全配置、Web和FTP服務器安全。

(4) 計算機病毒實驗，如COM病毒、PE病毒、宏病毒和腳本病毒等實驗。

(5) 網(wǎng)絡安全設備使用實驗，包括路由器、防火墻、入侵檢測系統(tǒng)(IDS)、VPN、網(wǎng)絡安全隔離網(wǎng)閘等設備的配置與使用實驗等。

(6) 除此以外，還有根據(jù)各校實際課程需要開設的如信息隱藏、數(shù)字水印、智能卡等實驗。

通過以上實驗環(huán)節(jié)，學生可以加深對相關信息安全基本概念、理論的理解，同時也可極大地提高動手能力，但是我們認為以上分析、驗證、配置型實驗無法完全滿足對應用型人才的需求，還需要加大綜合性實驗環(huán)節(jié)。

要進行綜合性實驗，就需要加強學生編程能力的綜合培養(yǎng)。以密碼學為例，學生掌握了密碼算法相關的基本概念、理論和算法原理之后，在將來的網(wǎng)絡安全系統(tǒng)研發(fā)中會經(jīng)常碰到諸如如何對實際系統(tǒng)的消息進行加密、解密，如何對消息實現(xiàn)數(shù)字簽名，如何建立一個CA系統(tǒng)等問題。

為了解決以上這些實際問題，在實際的研發(fā)中一些專用的網(wǎng)絡安全開發(fā)包發(fā)揮了重要的作用，這些網(wǎng)絡安全開發(fā)包是指用于網(wǎng)絡安全研究和開發(fā)的一些專業(yè)的開發(fā)函數(shù)庫和算法庫，它們的主要作用是實現(xiàn)網(wǎng)絡安全研究和開發(fā)的基本功能，為研究者和開發(fā)者進一步研究和開發(fā)網(wǎng)絡安全服務提供編程接口，使網(wǎng)絡開發(fā)人員能夠忽略一些密碼算法的具體過程和網(wǎng)絡底層的細節(jié)，從而更專注于程序本身具體功能的設計和開發(fā)。筆者認為掌握這些專用的網(wǎng)絡安全開發(fā)包是提高學生編程綜合能力的有力的培養(yǎng)途徑，也為學生將來實際研發(fā)打下良好的基礎。

2編程能力的培養(yǎng)途徑

2.1前續(xù)課程的設置

要著手進行網(wǎng)絡安全編程，學生應該對必要的信息安全前序課程進行過系統(tǒng)的學習，首先應對網(wǎng)絡安全相關概

念和原理進行全面的了解，如密碼學基本知識，具體包括對稱密碼算法、公鑰密碼算法、鑒別技術和數(shù)字簽名的原理與應用，此外還應掌握黑客攻擊與防御、網(wǎng)絡安全協(xié)議、防火墻、入侵檢測技術等網(wǎng)絡安全技術。

2.2現(xiàn)有主要網(wǎng)絡安全開發(fā)工具介紹

網(wǎng)絡安全本身理論性和實踐性都很強，掌握了網(wǎng)絡安全相關基本概念、基本原理后可以運用到實際的工程中，在實際應用中，需要我們針對實際應用環(huán)境開發(fā)一些特定應用程序以提供相應的安全服務，而這時掌握一些實用的網(wǎng)絡安全編程工具就顯得猶為重要。

網(wǎng)絡安全開發(fā)工具是指用于網(wǎng)絡安全研究和開發(fā)的一些專業(yè)編程接口或開發(fā)包。它的主要作用是提供用于網(wǎng)絡安全研究和開發(fā)的基本功能的實現(xiàn)，為研究者和開發(fā)者進一步研究和開發(fā)網(wǎng)絡安全提供編程接口，為網(wǎng)絡安全服務的實現(xiàn)提供方便。

某些網(wǎng)絡安全開發(fā)工具基本上已經(jīng)實現(xiàn)了某個特定網(wǎng)絡安全服務的基本框架和基本功能，然后開發(fā)者可以在這個已經(jīng)構造好的基本框架下進行進一步的開發(fā)，這樣就為開發(fā)者節(jié)省了時間和精力，為進一步開發(fā)功能更強大的系統(tǒng)提供方便。

我們認為對一種或幾種網(wǎng)絡安全開發(fā)工具的學習是提高信息安全專業(yè)的學生編程能力的有利途徑，老師在教學中可以有針對性的對當前有代表性的幾種網(wǎng)絡安全開發(fā)工具進行講授，如表1所示，下面逐一說明：

(1) CryptoAPI：CryptoAPI是提供開發(fā)者在Windows下使用PKI的編程接口。CryptoAPI提供了很多函數(shù)，包括編碼、解碼、加密、解密、哈希、數(shù)字證書、證書管理和證書存儲等功能。CryptoAPI在安全通信中應用十分廣泛。CryptoAPI體系架構共由五大主要部分組成：基本加密函數(shù)(Base Cryptographic Functions)、證書編/解碼函數(shù)(Certificate Encode/Decode Functions)、證書庫管理函數(shù)(Certificate Store Functions)，簡單消息函數(shù)(Simplified Message Functions)、底層消息函數(shù)(Low-level Message Functions)。其架構如圖1所示。(2) OpenSSL：OpenSSL是用于安全通信的著名的開放庫，也是一個開放源代碼的SSL協(xié)議的產(chǎn)品實現(xiàn)，它采用C語言作為開發(fā)語言。OpenSSL提供了建立在普通的通信層基礎上的加密傳輸層，這些功能為許多網(wǎng)絡應用和服務程序所廣泛使用。OpenSSL主要由三部分組成：密碼算法庫，SSL協(xié)議庫和OpenSSL應用程序。

① OpenSSL密碼算法庫――這是一個強大完整的密碼算法庫，是OpenSSL的基礎部分，也是很值得一般密碼安全技術人員研究的部分，它實現(xiàn)了目前大部分主流的密碼算法和標準。主要包括公開密鑰算法、對稱加密算法、散列函數(shù)算法、X.509數(shù)字證書標準、PKCS12、PKCS7等標準。OpenSSL具備的應用程序，既能直接使用，也可以方便進行二次開發(fā)。Openssl密碼算法庫提供了8種對稱加密算法、4種非對稱的加密算法和5種信息摘要算法，雖然每種算法都定義了自己的接口函數(shù)，但是OpenSSL還使用EVP封裝了以上算法，大大提高了代碼的可重用性能。

② SSL協(xié)議庫――包含了OpenSSL實現(xiàn)的SSL協(xié)議和TLS協(xié)議的大部分API使用說明。OpenSSL實現(xiàn)的SSL是開放源代碼的，在教學中可以引導學生研究SSL協(xié)議實現(xiàn)的細節(jié)，有助于加深學生的理解。

③ OpenSSL應用程序――命令行工具，可用于加密、證書生成和簽署等。OpenSSL應用程序提供包含了大部分OpenSSL應用程序的使用和參數(shù)說明，并有部分例子。Openssl的應用程序提供了相對全面的功能，這些應用程序可通過OpenSSL的指令進行調(diào)用實現(xiàn)。OpenSSl的指令主要包括密鑰生成、證書管理、格式轉(zhuǎn)換、數(shù)據(jù)加密和簽名，SSL測試以及其他輔助配置功能。

以上這兩種網(wǎng)絡安全開發(fā)包主要用于提供加密算法、數(shù)字簽名、散列函數(shù)、證書等，以保證數(shù)據(jù)的機密性、完整性、不可否認性以及身份鑒別的功能。

網(wǎng)絡安全開發(fā)包的種類很多，其實現(xiàn)的功能也千差萬別，以上兩種網(wǎng)絡安全開發(fā)工具是筆者在教學中所選擇的教學內(nèi)容，除了上面介紹的，在實際教學中還可以根據(jù)實際情況選擇以下網(wǎng)絡安全開發(fā)包進行教學：

(3) 網(wǎng)絡數(shù)據(jù)包捕獲開發(fā)包Libpcap和WinPCap

網(wǎng)絡數(shù)據(jù)包捕獲開發(fā)包Libpcap是一個專門用來捕獲網(wǎng)絡數(shù)據(jù)的編程接口，它提供了以下的各項功能：捕獲原始數(shù)據(jù)包，包括在共享網(wǎng)絡上各主機發(fā)送/接收的以及相互之間交換的數(shù)據(jù)包；在數(shù)據(jù)包發(fā)往應用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)包過濾掉；在網(wǎng)絡上發(fā)送原始的數(shù)據(jù)包；收集網(wǎng)絡通信過程中的統(tǒng)計信息。由于網(wǎng)絡數(shù)據(jù)包捕獲功能是很多安全系統(tǒng)都要實現(xiàn)的功能，所以Libpcap可應用到網(wǎng)絡嗅探器、網(wǎng)絡協(xié)議分析、網(wǎng)絡入侵檢測、安全掃描等網(wǎng)絡安全系統(tǒng)中。

WinPCap (windows packet capture)是Libpcap在Windows平臺下的版本。

(4) 網(wǎng)絡入侵檢測開發(fā)包Libnids

Libnids(Library Network Intrusion Detection System)是一個用于網(wǎng)絡入侵檢測系統(tǒng)設計的專業(yè)開發(fā)包，提供了一個網(wǎng)絡入侵檢測系統(tǒng)的基本框架和基本功能，可以快速實現(xiàn)網(wǎng)絡入侵檢測的基本功能。

(5)Crypto++

Crypto++是采用標準C++編寫而成，也是一個自由軟件，Crypto++實現(xiàn)了多種公開密鑰算法、對稱加密算法、數(shù)字簽名算法、信息摘要算法以及其相關的其它算法等等。Crypto++于1995年6月了1.0版本，目前最新的版本是Crypto++™ Library 5.5，可以適應各種常用的操作系統(tǒng)和編譯平臺。

(6) Cryptix

如果從事Java開發(fā)程序，還可以選擇Cryptix，它是Sun公司的采用Java語言的關于Java Cryptography Extension(JCE)的開放源碼的API實現(xiàn)。

2.3教學步驟和重點

網(wǎng)絡安全開發(fā)工具歸根結(jié)底是一些函數(shù)庫，它們采用了一些特定的數(shù)據(jù)結(jié)構，提供了編程接口。使用網(wǎng)絡安全開發(fā)工具就是要掌握怎樣使用這些數(shù)據(jù)結(jié)構和函數(shù)?？偟恼f來，教學重點可以從以下幾方面入手：

(1) 使學生掌握網(wǎng)絡安全開發(fā)工具的數(shù)據(jù)結(jié)構

每種網(wǎng)絡安全開發(fā)工具都使用了很多數(shù)據(jù)結(jié)構，這些數(shù)據(jù)結(jié)構在編程中都要使用到，它們是信息的載體。特別是一些典型的數(shù)據(jù)結(jié)構，他們基本上描述了開發(fā)工具的一些核心內(nèi)容，掌握它們對于理解和掌握網(wǎng)絡安全開發(fā)工具是非常重要的。

(2) 掌握網(wǎng)絡安全開發(fā)工具的輸出函數(shù)

網(wǎng)絡安全開發(fā)工具的輸出函數(shù)是一個提供給用戶的編程接口，它是開發(fā)者直接打交道的對象，也是開發(fā)者最終要掌握的對象。使用網(wǎng)絡安全開發(fā)工具歸根結(jié)底是調(diào)用網(wǎng)絡安全開發(fā)工具提供的輸出函數(shù)，所以掌握輸出函數(shù)是最重要的，也是了解網(wǎng)絡安全開發(fā)工具的目的所在。要掌握網(wǎng)絡開發(fā)工具的輸出函數(shù)，必須從函數(shù)的返回值、函數(shù)的參數(shù)描述和函數(shù)的功能這三方面了解。

(3) 網(wǎng)絡安全開發(fā)工具的主要功能的逐步實現(xiàn)

以CryptoAPI為例，在掌握了其體系結(jié)構、數(shù)據(jù)結(jié)構、輸出函數(shù)后，教學中可逐步介紹其在密鑰管理、數(shù)據(jù)編碼、解碼、數(shù)據(jù)的加密和解密、數(shù)字簽名和驗證、證書和證書庫管理幾個方面編程實現(xiàn)方法。

3結(jié)束語

實驗教學是信息安全專業(yè)人才培養(yǎng)的一個重要方面，本文針對信息安全實驗教學過程中編程能力的培養(yǎng)，提出利用網(wǎng)絡安全開發(fā)包編程知識的系統(tǒng)講授，提高學生在網(wǎng)絡安全領域的研發(fā)能力，為培養(yǎng)應用型人才打下良好基礎。本文的教學經(jīng)驗在本校兩屆學生中得到教學實踐，得到良好的教學效果。

參考文獻

[1] 沈昌祥. 加強信息安全學科、專業(yè)建設和人才培養(yǎng)[J]. 計算機教育,2007,(10).

[2] 張煥國,王麗娜等. 信息安全綜合實驗教程[M]. 武漢大學出版社,2005.

[3] 崔寶江. 信息安全實驗指導[M]. 北京:國防工業(yè)出版社,2005.

[4] 高敏芬. 信息安全實驗教程[M]. 天津:南開大學出版社,2007.

篇8

摘要：隨著網(wǎng)絡技術的高速發(fā)展,網(wǎng)絡上的信息迅速膨脹、豐富，各種各樣的網(wǎng)絡應用得以普及和頻繁使用。而與此同時，網(wǎng)絡安全技術卻明顯滯后，發(fā)展和響應的速度緩慢，各種網(wǎng)絡安全措施都顯得“道高一尺、魔高一丈”。本文將以arp病毒攻擊為代表，從分析arp協(xié)議入手，詳細闡述arp的工作過程以及欺騙技術的基本原理，通過分析大多數(shù)現(xiàn)有校園網(wǎng)絡安全措施，即防火墻設備，入侵檢測系統(tǒng)，入侵防御系統(tǒng)在針對內(nèi)部網(wǎng)絡攻擊行為管理上的缺陷，從而證明現(xiàn)有網(wǎng)絡安全措施上的巨大漏洞。在詳細陳述現(xiàn)有的一些處理arp病毒的手段后，總體分析這些防范措施的共同缺陷，進一步討論彌補這些缺陷的必要性及其所帶來的現(xiàn)實意義，指明今后校園網(wǎng)絡管理所面臨的重要問題和主要發(fā)展方向。

關鍵詞：arp協(xié)議；arp欺騙；防火墻；入侵檢測系統(tǒng)；入侵防御系統(tǒng)；網(wǎng)絡監(jiān)控平臺；

中圖分類號：tp393文獻標識碼：a

0引言

隨著網(wǎng)絡技術的高速發(fā)展,網(wǎng)絡上的信息迅速膨脹、豐富，各種各樣的網(wǎng)絡應用得以普及和頻繁使用。而同時期，網(wǎng)絡安全技術卻明顯停滯后，各種網(wǎng)絡安全措施都顯得“道高一尺、魔高一丈”，絕大多數(shù)網(wǎng)絡管理人員在日常的網(wǎng)絡管理工作中都疲于應付，力不從心。事實上，資源共享和信息安全歷來就是一對矛盾。一個系統(tǒng)的使用權限規(guī)劃越細，使用規(guī)定越多，那么相對來說，這個網(wǎng)絡系統(tǒng)就比較安全一些；但同時使用起來就不方便。計算機網(wǎng)絡的開放性是網(wǎng)絡應用所導致的，這就決定了網(wǎng)絡安全問題是先天存在的。網(wǎng)絡安全一直是限制網(wǎng)絡發(fā)展的一個主要因素?，F(xiàn)今的網(wǎng)絡架構中采用交換機互聯(lián)，使用網(wǎng)關地址轉(zhuǎn)發(fā)網(wǎng)絡數(shù)據(jù)包，這種交換式連接的局域網(wǎng)一直是很成熟的技術，但近年來它在一種新型網(wǎng)絡攻擊面前卻毫無辦法進行防范，這種攻擊就是arp欺騙。

1arp協(xié)議的工作流程

1.1arp協(xié)議

地址轉(zhuǎn)換協(xié)議addressresolutionprotocol(簡稱：arp)是數(shù)據(jù)鏈路層協(xié)議，它負責把網(wǎng)絡層的ip地址轉(zhuǎn)換成為數(shù)據(jù)鏈路層的mac地址，從而建立ip地址和mac設備物理地址的對應關系，以便實現(xiàn)ip地址訪問網(wǎng)絡設備的通訊目的。

1.2arp工作流程

在以太網(wǎng)中，兩個不同網(wǎng)絡設備進行直接通信，需要知道目標設備的網(wǎng)絡層邏輯（ip）地址和網(wǎng)絡設備的物理（mac）地址。arp協(xié)議的基本功能就是通過目標設備的ip地址，查詢目標設備的mac地址，以保障網(wǎng)絡通信的順利進行。當網(wǎng)絡中某臺計算機a要與同網(wǎng)段中計算機b通信時，a機首先要在緩存中查找是否有b機的ip地址和mac地址的對應關系；如果沒有，則a機在本網(wǎng)段中廣播，將自己的ip地址和mac地址發(fā)出，并要求ip地址是b機的計算機作應答。網(wǎng)段中所有計算機都會收到a機的廣播包，并檢查自己的ip地址是否b機ip，ip地址是b機的計算機會作出應答，并按照a機的ip地址和mac地址發(fā)出應答包。a機接收到b機的應答包后，將b機的ip地址和mac地址加入到自己的緩存中，隨后再開始與b機的通信。如果計算機a要與網(wǎng)段以外的計算機通信，則由網(wǎng)關將a計算機的廣播包加以轉(zhuǎn)發(fā)來完成上面的工作。

在整個arp工作期間,不但主機a得到了主機b的ip地址和mac地址的映射關系，而且主機b也得到了主機a的ip地址和mac地址的映射關系。如果主機b的應用程序需要立即返回數(shù)據(jù)給主機a的應用程序，那么，主機b就不必再次執(zhí)行上面的arp請求過程了。

1.3arp欺騙的原理

所謂arp欺騙，又被稱為arp重定向，由于arp協(xié)議是建立在信任局域網(wǎng)內(nèi)所有計算機的基礎上的，因此會出現(xiàn)中間人攻擊的現(xiàn)象，某臺非目標的計算機利用arp協(xié)議的缺陷向目標主機頻繁發(fā)送偽造arp應答報文，使目標主機接收該偽造的ip地址和mac地址報文并更新本地系統(tǒng)的arp高速緩存，從而使攻擊者插入到被攻擊主機和其他主機之間，便可以監(jiān)聽被攻擊的主機。由此可見，入侵者利用ip機制的安全漏洞，比較容易實現(xiàn)arp欺騙，造成計算機網(wǎng)絡無法正常通訊，以達到冒用網(wǎng)關或目的計算機合法ip來攔截、竊取信息以及破壞數(shù)據(jù)的目的。雖然arp欺騙發(fā)生在局域網(wǎng)內(nèi)，只有內(nèi)部的計算機可以互相監(jiān)聽，但是對于本來就存在安全漏洞的網(wǎng)絡來說，如果外部攻擊者能夠入侵到局域網(wǎng)內(nèi)的某臺計算機，然后再進行arp欺騙，一旦成功，將給網(wǎng)絡造成很大的破壞。

2現(xiàn)有網(wǎng)絡防御手段

2.1防火墻

在ipv4網(wǎng)絡中，普遍采用防火墻來阻止外部未經(jīng)授權的網(wǎng)絡用戶進入內(nèi)部網(wǎng)絡。以此保護內(nèi)部網(wǎng)絡的安全。根據(jù)所采用的技術不同，防火墻可以分為三大類：地址轉(zhuǎn)換nat型、監(jiān)測型和包過濾型；其中使用最多、最廣泛的就是地址轉(zhuǎn)換nat型。雖然目前防火墻是保護網(wǎng)絡免遭黑客攻擊的有效手段，但明顯存在著不足：①對內(nèi)部網(wǎng)絡發(fā)起的攻擊無法阻止；②可以阻斷外部攻擊而無法消滅攻擊來源；③做nat轉(zhuǎn)換后，由于防火墻本身性能和并發(fā)連接數(shù)的限制，容易導致出口成為網(wǎng)絡瓶頸，形成網(wǎng)絡擁塞；④對于網(wǎng)絡中新生的攻擊行為，如果未做出相應策略的設置，則無法防范；⑤對于利用系統(tǒng)后門、蠕蟲病毒以及獲得用戶授權等一切擁有合法開放端口掩護的攻擊行為將無法防范。

為了彌補防火墻存在的不足，許多網(wǎng)絡管理者應用入侵檢測來提高網(wǎng)絡的安全性和抵御攻擊的能力。

2.2入侵檢測系統(tǒng)（intrusiondetectionsystem）

（1）入侵檢測就是對入侵的網(wǎng)絡行為進行檢測，通過收集和分析計算機網(wǎng)絡中的信息，檢查網(wǎng)絡中是否存在違反安全策略規(guī)定的行為或者是被攻擊的痕跡。如果發(fā)現(xiàn)有入侵行為的跡象，檢測系統(tǒng)可以自動進行記錄或生成報告，甚至能夠根據(jù)所制定策略自動采取應對措施，斷開入侵來源并向網(wǎng)絡管理者報警。

入侵檢測系統(tǒng)（ids）按照收集數(shù)據(jù)來源的不同一般可以分為三大類：

①由多個部件組成，分布于內(nèi)部網(wǎng)絡的各個部分的分布式入侵檢測系統(tǒng)。

②依靠網(wǎng)絡上的數(shù)據(jù)包作為分析、監(jiān)控數(shù)據(jù)源的基于網(wǎng)絡型入侵檢測系統(tǒng)。

③安裝在網(wǎng)段內(nèi)的某臺計算機上，以系統(tǒng)的應用程序日志和審計日志為數(shù)據(jù)源主機型入侵檢測系統(tǒng)。

（2）雖然入侵檢測系統(tǒng)以不同的形式安裝于內(nèi)部網(wǎng)絡的各個不同的位置，但由于采集數(shù)據(jù)源的限制，對arp病毒形式的攻擊行為卻反應遲鈍。入侵檢測系統(tǒng)一般部署在主干網(wǎng)絡或者明確要監(jiān)控的網(wǎng)段之中，而一個內(nèi)部網(wǎng)絡往往有很多個獨立的網(wǎng)段；由于財力的限制，網(wǎng)絡管理者一般都不能在每個網(wǎng)絡中部署用于數(shù)據(jù)采集的監(jiān)控計算機。一旦未部署的網(wǎng)段中arp欺騙阻塞了本網(wǎng)段與外界的正常通訊，入侵檢測系統(tǒng)無法采集到完整的數(shù)據(jù)信息而不能迅速準確的作出反應。

除此以外，現(xiàn)有的各種入侵檢測系統(tǒng)還存在著一些共同的缺陷，如；較高的誤報率，無關緊要的報警過于頻繁；系統(tǒng)產(chǎn)品對不同的網(wǎng)絡或網(wǎng)絡中的變化反應遲鈍，適應能力較低；系統(tǒng)產(chǎn)品報告的專業(yè)性太強，需要管理者、使用者有比較高深的網(wǎng)絡專業(yè)知識；對用于處理信息的設備在硬件上有較高的要求，在大型局域網(wǎng)絡中檢測系統(tǒng)受自身處理速度的限制，容易發(fā)生故障無法對網(wǎng)絡進行實時監(jiān)測。

2.3入侵防御系統(tǒng)（intrusionpreventsystem）

（1）入侵防御系統(tǒng)（ips）是針對入侵檢測系統(tǒng)（ids）所存在的不足，借用網(wǎng)絡防火墻的部分原理而建立的。入侵防御系統(tǒng)有效的結(jié)合了入侵檢測技術和防火墻原理；不但能檢測入侵的發(fā)生，而且通過一些有效的響應方式來終止入侵行為；從而形成了一種新型的、混合的、具有一定

深度的入侵防范技術。入侵防御系統(tǒng)（ips）按照應用方式的不同一般可以分為三大類：

①基于主機的入侵防御系統(tǒng)hips：是一種駐留在服務器、工作站等獨立系統(tǒng)中的安全管理程序。這些程序可以對流入和流出特定系統(tǒng)的數(shù)據(jù)包進行檢查，監(jiān)控應用程序和操作系統(tǒng)的行為，保護系統(tǒng)不會被惡意修改和攻擊。

②基于網(wǎng)絡的入侵防御系統(tǒng)nips：是一種以嵌入模式部署與受保護網(wǎng)段中的系統(tǒng)。受保護網(wǎng)段中的所有網(wǎng)絡數(shù)據(jù)都必須通過nips設備，如果被檢測出存在攻擊行為，nips將會進行實時攔截。

③應用服務入侵防御系統(tǒng)（aips）：是將hips擴展成位于應用服務器之間的網(wǎng)絡設備。利用與hips相似的原理保護應用服務器。

相對與ids而言，ips是以在線方式安裝在被保護網(wǎng)絡的入口處，從而監(jiān)控所有流經(jīng)的網(wǎng)絡數(shù)據(jù)。ips結(jié)合了ids和防火墻的技術，通過對流經(jīng)的數(shù)據(jù)報文進行深層檢查，發(fā)現(xiàn)攻擊行為，阻斷攻擊行為，從而達到防御的目的。

（2）但同時，我們也認識到：由于ips是基于ids同樣的策略特征庫，導致它無法完全克服ids所存在的缺陷，依然會出現(xiàn)很多的誤報和漏報的情況，而主動防御應建立在精確、可靠的檢測結(jié)果之上，大量的誤報所激發(fā)的主動防御反而會造成巨大的負面影響；另一方面，數(shù)據(jù)包的深入檢測和保障可用網(wǎng)絡的高性能之間是存在矛盾的，隨著網(wǎng)絡帶寬的擴大、單位時間傳輸數(shù)據(jù)包的增加、ips攻擊特征庫的不斷膨脹，串連在出口位置的ips對網(wǎng)絡性能的影響會越來越嚴重，最終必將成為網(wǎng)絡傳輸?shù)钠款i。

3新的網(wǎng)絡安全發(fā)展方向

3.1當前網(wǎng)絡的安全缺陷

綜合分析以上網(wǎng)絡安全技術的特點以后，我們不難發(fā)現(xiàn)：現(xiàn)有的網(wǎng)絡安全設備大多部署在局域網(wǎng)的出口位置，現(xiàn)有的安全技術又無法保證100%發(fā)現(xiàn)和阻斷外來的網(wǎng)絡攻擊行為；同時，內(nèi)網(wǎng)中的計算機以及其它網(wǎng)絡通訊設備中存在的系統(tǒng)安全漏洞基本上沒有得到任何監(jiān)控，僅僅依靠用戶自己進行維護；由于受到用戶安全防范水平和認識的限制，內(nèi)網(wǎng)中必然存在著大量的網(wǎng)絡安全漏洞，一旦這些存在漏洞的計算機或網(wǎng)絡設備被外部侵入行為所控制，再利用這些設備發(fā)動arp或類似原理的攻擊，將迅速導致整個網(wǎng)絡系統(tǒng)的崩潰。對于這些內(nèi)部網(wǎng)絡中發(fā)起的攻擊行為，普通的網(wǎng)絡安全措施是無法及時發(fā)現(xiàn)和有效阻止的。

3.2網(wǎng)絡安全新的發(fā)展方向

基于以上分析，我們認為應該將網(wǎng)絡安全的防御重點轉(zhuǎn)到內(nèi)部網(wǎng)絡上來，應該將網(wǎng)絡監(jiān)控的觸角延伸到內(nèi)部網(wǎng)絡的每一個網(wǎng)段中；而最容易成為這些觸角的工具就是構建起內(nèi)部網(wǎng)絡的網(wǎng)絡交換機。

在一個大規(guī)模的局域網(wǎng)內(nèi)，聯(lián)入的網(wǎng)絡通信設備分布廣泛，覆蓋地理位置較遠；接入的計算機用戶數(shù)量多，通信的數(shù)據(jù)量大；設置的通信網(wǎng)段和通信路由復雜。一旦發(fā)生網(wǎng)絡故障，網(wǎng)絡管理員無法迅速定位引起故障的來源，更不用說在故障發(fā)生之前就主動的發(fā)現(xiàn)攻擊苗頭，通過遠程管理來消除故障隱患。這大大的影響網(wǎng)絡用戶的使用效率，降低了服務質(zhì)量。而網(wǎng)絡交換機是構建內(nèi)部網(wǎng)絡的基礎，是用于轉(zhuǎn)發(fā)網(wǎng)絡數(shù)據(jù)包的工具。那么，無論是外網(wǎng)發(fā)起的網(wǎng)絡連接，還是內(nèi)網(wǎng)中類似于arp攻擊所發(fā)出的廣播包，網(wǎng)絡交換機都可以收集到數(shù)據(jù)信息。如果網(wǎng)絡中的交換機可以定時將收集到的數(shù)據(jù)樣本發(fā)往一個處理平臺，由處理平臺根據(jù)既定策略進行分析，再將分析結(jié)果傳給網(wǎng)絡管理員，由網(wǎng)絡管理員根據(jù)分析結(jié)果通過遠程控制將網(wǎng)絡故障或即將引起網(wǎng)絡故障的設備進行隔離，將大大的提高網(wǎng)絡管理的響應速度，保障大多數(shù)網(wǎng)絡用戶的使用效率。

3.3優(yōu)化網(wǎng)絡管理的幾點要素

要建立起上述的網(wǎng)絡故障自動監(jiān)控平臺，在建網(wǎng)時就要盡量做到以下幾個方面的工作：

①設計大規(guī)模的局域網(wǎng)時，網(wǎng)內(nèi)的交換機應該聯(lián)入一個或多個獨立的網(wǎng)段中，這樣既可以讓交換機之間形成一個獨立的管理網(wǎng)絡，又可以避免遠程操作交換機時受到用戶網(wǎng)段通信的影響。

②應盡量多的在網(wǎng)絡中部署管理型網(wǎng)絡交換機，這樣既可以縮小故障源的范圍便于定位，又便于網(wǎng)絡管理員進行遠程操作以迅速處理網(wǎng)絡故障。

③應在核心交換機上部署一個基于全網(wǎng)拓撲圖的網(wǎng)絡監(jiān)控軟件，形成一個對網(wǎng)絡信息進行收集、分析和反饋的平臺，達到動態(tài)監(jiān)控的目的。如下圖1：

④應在核心交換機上配置一臺網(wǎng)絡監(jiān)控計算機，這臺計算機可以與交換機管理網(wǎng)段進行通信。同時在網(wǎng)絡監(jiān)控計算機上部署一個網(wǎng)絡交換機的圖形化管理軟件。以便加強交換機的可操控性，擺脫交換機的“命令行式”管理，利于普通的網(wǎng)絡值班人員（非核心技術人員）進行故障分析和排除。如下圖2：

⑤努力開發(fā)收集交換機數(shù)據(jù)的軟件，開發(fā)分析網(wǎng)絡行為的策略庫，不斷提高網(wǎng)絡監(jiān)控平臺的故障反應速度和故障源定位的準確性。

4結(jié)論

當然，僅僅做到以上幾點還是不夠的，保障大型網(wǎng)絡的正常通信，維持網(wǎng)絡信道的高效傳輸，其任重而道遠。要構建綜合的動態(tài)網(wǎng)絡監(jiān)控平臺來優(yōu)化安全防護效果，就應該整合各種網(wǎng)絡安全資源、網(wǎng)絡安全產(chǎn)品，組成內(nèi)外兼?zhèn)洌咝е悄艿牧Ⅲw防護體系，從而滿足各種領域?qū)W(wǎng)絡安全的需求。大力提高內(nèi)網(wǎng)的網(wǎng)絡安全管理能力，必將為達成上述目標起到重要而深遠的影響。

參考文獻：

[1]張仕斌，易勇。網(wǎng)絡安全技術[m]清華大學出版社

[2]任俠，呂述望。arp協(xié)議欺騙原理分析與抵御方法[j]計算機工程20__

篇9

關鍵詞：縣級煙草公司；計算機網(wǎng)絡； 網(wǎng)絡安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）14-3286-02

根據(jù)我國煙草公司的計算機網(wǎng)絡安全建設規(guī)劃與細則，我國各省的縣級煙草公司都已經(jīng)建立了上接省級煙草公司，下接各個基層公司的信息共享和互聯(lián)通信的計算機網(wǎng)絡，在每一級網(wǎng)絡節(jié)點上都有各個局域網(wǎng)相連，由于考慮到計算機網(wǎng)絡結(jié)構與應用系統(tǒng)存在的復雜性，計算機網(wǎng)絡安全系統(tǒng)的建立于解決網(wǎng)絡安全的方案制訂問題就顯得尤為重要了。

1 網(wǎng)絡安全

所謂的計算機網(wǎng)絡安全指的是防止信息本身和采集、存貯、加工、傳輸?shù)刃畔?shù)據(jù)出現(xiàn)偶爾甚至是故意的泄露、破壞和更改，導致計算機網(wǎng)絡信息無法控制和辨認，也就是指有效保障計算機內(nèi)的信息的可控性、可用性以及完整，計算機網(wǎng)絡安全主要包括兩方面的內(nèi)容：首先是應確保計算機網(wǎng)絡本身的安全，其次是應確保計算機網(wǎng)絡內(nèi)的信息安全。

2 縣級煙草公司計算機網(wǎng)絡安全面臨的主要威脅

1）病毒威脅

電腦病毒具有較強的破壞性、潛伏性、傳染性以及隱蔽性，電腦病毒如今已成為網(wǎng)絡安全最大的隱患，電腦病毒能夠嚴重威脅電腦內(nèi)信息的安全，輕者能夠影響電腦運行的速度，嚴重搶占電腦資源，嚴重的則能夠破壞電腦內(nèi)存貯的數(shù)據(jù)信息，將電腦內(nèi)的秘密資料盜取，使得電腦的網(wǎng)絡系統(tǒng)徹底癱瘓。當前我國煙草行業(yè)的網(wǎng)絡建設十分完善，其主干網(wǎng)通過專有線路連接到各個煙草單位，并且所有的經(jīng)營單位都有本單位內(nèi)獨有的網(wǎng)絡出口，所有日常的經(jīng)營和銷售活動都需要依賴于網(wǎng)絡平臺，并且雄厚的網(wǎng)絡資源給病毒侵入與傳播帶來了極為便利的侵入優(yōu)勢，一旦使煙草公司內(nèi)的電腦病毒有所蔓延，將會造成無法估計的損失。

2）黑客攻擊

所謂的黑客攻擊指的是黑客破壞或破解某一項重要程序、網(wǎng)絡安全甚至是系統(tǒng)，或者是破壞某網(wǎng)絡或系統(tǒng)從而提醒系統(tǒng)用戶系統(tǒng)出現(xiàn)安全問題的一種過程，黑客攻擊具備高技術和高智能等特點，是一種嚴重的違法犯罪現(xiàn)象，并且由于各種網(wǎng)絡攻擊軟件的大量出現(xiàn)，使得黑客攻擊大量存在于計算機網(wǎng)絡內(nèi)，根據(jù)相關數(shù)據(jù)統(tǒng)計，在我國現(xiàn)已有90%的人擔心自己的電腦被黑客攻擊，通過這一數(shù)據(jù)我們能夠了解到黑客攻擊在我國是較為普遍的現(xiàn)象。由于黑客攻擊現(xiàn)象嚴重，給我國的計算機網(wǎng)絡和個人計算機帶來極為嚴重的安全挑戰(zhàn)和安全威脅。

3）垃圾郵件

由于計算機技術發(fā)展迅猛，網(wǎng)絡電子郵件傳輸?shù)臄?shù)量也不斷增加，根據(jù)相關統(tǒng)計結(jié)果顯示，在我國垃圾郵件的日傳輸量高達1200億封，從全球范圍內(nèi)來看，我國計算機用戶平均每天都會受到接近20封的垃圾郵件，有絕大多數(shù)的郵件都是由病毒計算機發(fā)送出來的，一旦查看了這些病毒郵件就會使得病毒侵入計算機，令人防不勝防，因此，企業(yè)與個人應了解這些病毒郵件的危害，并且將有效的防護措施做好。

4）內(nèi)部員工泄密問題

根據(jù)公安機關的統(tǒng)計結(jié)果顯示，大約有70%的泄密案件其犯罪源頭都來源于企業(yè)內(nèi)部，由于當前煙草公司的網(wǎng)絡安全管理體制不健全或體制貫徹力度不夠，致使員工對網(wǎng)絡安全的防范意識無法滿足公司需求，構成安全系統(tǒng)的投入資金與維護資金存在較大矛盾，致使電腦安全管理方面的安全技術和安全措施無法有效的實施出來。假若相關操作人員有意違規(guī)操作，即使公司的安全系統(tǒng)十分強大也無法保證網(wǎng)絡運行環(huán)境和網(wǎng)絡信息的安全。

另外，因為計算機的技術發(fā)展與人的認知能力都存在較強的局限性，所以在設計軟硬件過程中難免會留下很多技術問題，使得計算機網(wǎng)絡安全存在很多不安全的因素。

3 防范措施

1）構建有效的防病毒體系

通過對病毒系統(tǒng)的完善采用主流網(wǎng)絡版的病毒防護軟件，其中包括客戶端和服務器兩個部分，服務器采用的是病毒防護系統(tǒng)，下載的是更新的病毒庫，系統(tǒng)客戶機端主要由計算機統(tǒng)一進行管理，并且其必須可以自動更新病毒庫，這樣就在很大程度上保證了縣級煙草公司的信息安全，從而實現(xiàn)全面的病毒清殺，在硬件角度上，為了阻攔來自外部的病毒，企業(yè)應由其出口處設置網(wǎng)絡病毒網(wǎng)，從而有效抑制病毒在主干網(wǎng)絡上的擴散。根據(jù)相關實踐經(jīng)驗，我們應將病毒防護體系統(tǒng)一納入到全局安全體系中進行統(tǒng)一規(guī)劃和管理，從而以規(guī)章體制為基礎，用技術手段保障網(wǎng)絡安全，營造出可靠、安全的網(wǎng)絡運行環(huán)境。

2）入侵檢測

將防火墻和入侵檢測系統(tǒng)連接起來，通過防火墻檢測局域網(wǎng)內(nèi)外的攻擊程序，與此同時，監(jiān)測服務器的主要網(wǎng)絡異?，F(xiàn)象，防止局域網(wǎng)的內(nèi)部攻擊，預防無意的濫用行為和誤用行為，這樣有效的擴充了計算機系統(tǒng)的安全防御能力。

3）建立安全信息管理制度，采取訪問控制手段

構建行之有效、切合實際的管理體制，規(guī)范日常的管理活動，確保計算機運行的效率和流程，在計算機安全管理問題上也同樣應該如此，建立健全的管理體制，規(guī)范和完善計算機的網(wǎng)絡安全程序，網(wǎng)絡信息安全的組織結(jié)構應實行責任制度，將領導負責體制建立健全，在組織結(jié)構上確保計算機安全體制的執(zhí)行。

訪問控制能夠決定網(wǎng)絡訪問的范圍，明確使用端口和協(xié)議，對訪問用戶的資源進行有效的管控，采用基于角色的訪問審計機制和訪問控制體制，通過對網(wǎng)管的控制，為不同單位和不同職位的員工設置差異化的網(wǎng)絡訪問策略和網(wǎng)絡訪問權限，從而確保網(wǎng)絡訪問的有效性和可靠性。強化日常檢查體系，對業(yè)務實行監(jiān)控，部署檢測入侵系統(tǒng)，將完善的病毒反應系統(tǒng)和安全預警體系建立健全，對計算機內(nèi)出現(xiàn)的所有入侵行為進行有效的阻斷和報警。

4 總結(jié)

總而言之，煙草公司電腦網(wǎng)絡安全防護是極為系統(tǒng)的一項工程，任何一個單一的預防措施都無法完全保障電腦信息和計算機網(wǎng)絡的安全，所以，網(wǎng)絡安全防御工作必須要遵循全方位、多角度的防護原理，我們在建立網(wǎng)絡安全時應以木桶原理做準繩，采取的安全防護措施一定要較為全面和綜合，只有這樣才能確保公司網(wǎng)絡系統(tǒng)運行的安全性。

參考文獻：

[1] 李海燕，王艷萍.計算機網(wǎng)絡安全問題與防范方法的探討[J].煤炭技術，201 l（9）.

[2] 張楠.淺析計算機網(wǎng)絡安全的現(xiàn)狀及對策[J].才智，2010（8）.

篇10

關鍵詞：職業(yè)崗位；項目化；四維一體模式；教材建設

中圖分類號：G642 文獻標識碼：A

Abstract：The course of firewall technology is a core curriculum in information security and related professions in Higher Vocational Colleges，carrying responsibilities and tasks to be network security manager.It is particularly important to develop a project oriented practice textbook on the basis of professional post demand.It was proposed a model based on four dimensional integration about the development of firewall technology project in this paper.It was proved that the students can enhance network security professional skills through this textbook.

Keywords：professional post；project；four dimensional integrated model；textbook construction

1 引言（Introduction）

伴隨著網(wǎng)絡安全問題的出現(xiàn)，國家機關單位、行業(yè)、企業(yè)、事業(yè)單位等都在局域網(wǎng)網(wǎng)絡安全建設方面投入了防火墻設備以提高網(wǎng)絡安全性能。高職教育直接為社會經(jīng)濟發(fā)展提供高技能型人才[1]，尤其是為地方經(jīng)濟建設服務。因此網(wǎng)絡安全類專業(yè)培養(yǎng)熟悉網(wǎng)絡安全設備方面的人才需求量日益增加。防火墻技術課程是國家高職院校專業(yè)標準中計算機網(wǎng)絡技術、信息安全技術專業(yè)的核心技術課程，是培養(yǎng)專業(yè)核心技能的專業(yè)課程[2，3]，且開設學校與面向的學生廣泛，課程教材建設尤為重要。王永紅[4，5]等提出理實一體化教材建設思想，采用“五個”對接理念進行優(yōu)質(zhì)教材建設。

2 教材建設的依據(jù)（The basis of textbook construction ）

社會經(jīng)濟發(fā)展區(qū)域勢態(tài)不同，行業(yè)、企業(yè)需求不一樣，不同省份、區(qū)域的高職院校在專業(yè)建設方面的投入各不相同，因此教材建設存在顯著差異。對于實訓環(huán)境欠缺的院校，防火墻技術課程注重理論和軟件防火墻的模擬操作。因此目前已經(jīng)出版發(fā)行的主流防火墻技術教材，主要是基于軟件防火墻應用及防火墻工作原理介紹網(wǎng)絡安全策略，重原理輕實踐，尤其是缺乏市場主流硬件防火墻配置與管理方面的實踐內(nèi)容。對于實訓環(huán)境較好的院校，其地方經(jīng)濟活躍，行業(yè)、企業(yè)信息化程度高，對硬件防火墻的需求能力旺盛，因此該區(qū)域的高職院校防火墻技術課程旨在培養(yǎng)學生對軟、硬件防火墻的操作配置的實踐能力，實現(xiàn)防火墻設備與交換機、路由器等網(wǎng)絡設備的互聯(lián)互通，進而達到企業(yè)網(wǎng)絡安全系統(tǒng)集成的技能要求，注重行業(yè)企業(yè)崗位職責需求，同時掌握防火墻技術所需的理論知識，以夠用為原則。

本教材改革傳統(tǒng)防火墻技術內(nèi)容編排體系，根據(jù)《防火墻技術》課程核心技能要求和網(wǎng)絡安全技術崗位技能要求（如圖1所示），依據(jù)網(wǎng)絡安全管理與防控過程的工作邏輯選取并組織內(nèi)容體系。選取技術方法常用、內(nèi)容實用，結(jié)合市場主流防火墻技術應用案例，對企業(yè)安全案例進行典型化修改、提升和拓展，嵌入省部級信息安全職業(yè)技能大賽賽項內(nèi)容。按項目設計工作任務，由簡單到復雜，螺旋進階，組織內(nèi)容體系。由背景需求引導解決問題方法，分析設備選型，規(guī)劃網(wǎng)絡拓樸并進行設備配置，最終進行項目測試、撰寫測試分析報告。采用理論（與技能賽點匹配，與實踐操作對應鏈接）+實踐（仿真與實操結(jié)合）的框架結(jié)構，突出防火墻技術技能訓練。

3 《防火墻技術》教材建設的依據(jù)（The basis of textbook construction on firewall technology）

3.1 吻合課程標準，突出網(wǎng)絡安全防控能力訓練

《防火墻技術》為專業(yè)課程體系中的專業(yè)核心技能訓練模塊課程，課程設置對應網(wǎng)絡安全防控能力訓練，與網(wǎng)絡安全管理員崗位的防火墻技術應用技能匹配。教材緊貼課程標準開發(fā)與建設，符合崗位職業(yè)技能需求。

3.2 融合行業(yè)企業(yè)項目及技能大賽內(nèi)容，動態(tài)更新

教材建設既與企業(yè)項目工程實戰(zhàn)緊密相關，通過消化吸收企業(yè)真實工程項目，對企業(yè)真實案例進行典型化修改并融入到教材內(nèi)容中，通過畢業(yè)生網(wǎng)絡安全管理工作實踐反饋，再吸收行業(yè)新技術、新案例，保證技術內(nèi)容覆蓋深度和廣度。另一方面嵌入省部級技能大賽，將省部級大學生技能大賽賽點以任務形式融入教材內(nèi)容中，通過各個技能點對應的任務提高學生職業(yè)技能，更好地參加省部級技能大賽、創(chuàng)新訓練大賽、創(chuàng)業(yè)大賽等項目。

3.3 項目載體，基于任務難易進行進階設計

教材內(nèi)容應用實踐部分，采用項目化方式將企業(yè)項目與技能大賽技能點進行消化吸收，按照學生思維“從簡單到復雜”的方式組織項目，開展“任務驅(qū)動、賽項融合、防控一體，企業(yè)生產(chǎn)實踐一體化”教學模式，將課程逐級遞增項目難度，最后實現(xiàn)網(wǎng)絡安全系統(tǒng)綜合實訓內(nèi)容。

4 教材開發(fā)（The development of textbook）

防火墻技術項目化教程采用四維一體開發(fā)模式。（1）采用項目化實戰(zhàn)維度。突出實訓內(nèi)容，構建信息安全技術專業(yè)核心課程教學資源庫建設，按照行業(yè)、企業(yè)需求，對網(wǎng)絡安全技術職業(yè)崗位進行調(diào)研并歸納出崗位對應的典型工作任務，開發(fā)出防火墻技術課程對應的教學資源及配套教材。（2）采用網(wǎng)絡安全工程生命周期維度。教材開發(fā)遵循網(wǎng)絡安全工程生命周期開發(fā)，先從基礎網(wǎng)絡配置，在網(wǎng)絡互聯(lián)互通基礎上進行防火墻安全設備配置，實現(xiàn)網(wǎng)絡安全策略部署。（3）采用省部級技能大賽維度。嵌入省部級信息安全技術方面的職業(yè)技能大賽賽項內(nèi)容。教材內(nèi)容涵蓋省部級信息安全技術賽項中防火墻技術技能點、防火墻與網(wǎng)絡互聯(lián)設備綜合技能點，以任務形式開展技能點訓練，并定期進行更新，極大的提高了教學效果和教學質(zhì)量。（4）采用綜合管理技能訓練維度。每個項目里面設立項目綜合實訓，將企業(yè)真實項目引入，階段性的引入綜合管理技能。分項目完成后設立綜合實訓項目：網(wǎng)絡安全系統(tǒng)綜合實訓，將防火墻與交換機、路由器等網(wǎng)絡系統(tǒng)進行系統(tǒng)化集成，如圖2所示。

開發(fā)的實戰(zhàn)項目如表1所示。

5 結(jié)論（Conclusion）

《防火墻技術項目化教程》是信息安全技術專業(yè)、計算機網(wǎng)絡技術專業(yè)的核心教材，是2014江蘇省現(xiàn)代職業(yè)教育技術課題中高職銜接課程資源建設核心成果之一，經(jīng)過實踐教學應用，教材使用效果好。教材建設是專業(yè)內(nèi)涵建設的一部分，特別是專業(yè)核心課程的教材建設，需要綜合考慮企業(yè)、行業(yè)的需求，人才培養(yǎng)職業(yè)能力、實訓環(huán)境、省職業(yè)技能大賽需求等方面，切實提升專業(yè)內(nèi)涵建設。

參考文獻（References）

[1] 李敏等.高職工學結(jié)合特色教材建設的探索與實踐――以機械類專業(yè)“基于工作過程系統(tǒng)化”教材開發(fā)為例.哈爾濱職業(yè)技術學院學報，2015（1）：56-57.

[2] 劉靜，楊正校.基于太倉市產(chǎn)業(yè)集群的電子商務發(fā)展研究.蘇州市職業(yè)大學學報，2014（25）：31-35.

[3] 楊正校，劉靜.基于產(chǎn)業(yè)集群的中小企業(yè)移動電子商務研究-以太倉市為例[J].軟件2014，09（35）：86-90.

[4] 王詩瑤，王永紅.基于“理實一體化”的《計算機網(wǎng)絡技術》教材建設研究.開封教育學院學報，2015（35）：112-113.

[5] 王永紅，王詩瑤.基于五個“對接”的優(yōu)質(zhì)教材建設思考與實踐[J].計算機教育，2015（12）：94-97.

作者簡介：