建設網絡安全
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇建設網絡安全范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
建設網絡安全范文第1篇
目前,在我國的建設工程項目中運用Internet對建筑設備的監控是基于因特網的BAS系統的數據庫框架中進行的。
現代智能建筑設備中的網絡數據的目標、特性和應對的安全措施
智能建筑區域數據庫中的數據必須具有以下特殊性:首先是獨立性,包括物理數據獨立性,即改變內部模式時無需改變概念或外部模式,數據庫物理存儲的變動還會影響訪向數據的應用程序;邏輯數據獨立性,即修改概念模式時無需修改外部模式;其次是共享性,數據庫中的數據應可被幾個用戶和應用程序共享;最后是持續性,即數據在整個設定有效期內穩定保持。
數據庫有三個主要組成部分:數據、聯系、約束和模式。數據庫管理系統則是為數據庫訪問服務的軟件,它應為支持應用程序和操作庫中的數據提供下列服務:事務處理、并發控制、恢復、語言接口、容錯性、數據目錄、存儲管理。
智能建筑中的數據庫系統(含子數據庫系統)與某些商業系統相比,雖然規模不大,但功能復雜、性質迥異,因而主數據庫與各子系統數據庫的集成有著很高的技術難度,可以說是現有各種數據庫技術的集成。理想的智能建筑數據庫系統應具有以下特性:開放性面向對象,關系型,實時性、多媒體性、互操作性、分布性、異構性等。所以一個理想的智能建筑(集成)數據庫體系應該是開放的,面向對象的、關系型的、實時的,分布式的或操作的多媒體異約數據庫體系。這一體系的安全保障:
首先是安全性,即數據庫在數據不得被非法更改或外泄。同時,智能建筑數據庫中的數據也具有其他一般特性,如一致性等。其次是安全保障,智能建筑中各子系統數據庫必須能免受非授權的泄露導致更改和破壞,每個用戶(也包括各子系統)和應用程序都應只擁有特定的數據訪問權,以防非法訪問與操作。這一功能在FAS、SAS及某些OSA系統中是必不可少的。
因特網的數據庫訪問技術和遠程監控的框架及房地產信息網絡的安全措施
首先,因特網的數據庫技術相結合的Web數據庫的應用,實現了信息從靜態向動態的轉變,而其中遠程數據服務是核心。
目前比較流行的Browser/Server模型是采用三層模式結構:表示(Browser),提供可視界面,用戶通過可視界面觀察信息和數據,并向中間層發出服務請求;中間層(WebServer)實現正式的進程和邏輯規則,響應用戶服務請求,是用戶服務和數據服務的邏輯橋梁;數據庫服務層(DBServer),實現所有的典型數據處理活動,包括數據的獲取、修改、更新及相關服務。
Browser端一般沒有應用程序,借助于Javaapplet、Actives、javascript、vabscvipt等技術可以處理一些簡單的客戶端處理邏輯,顯示用戶界面和WebServer端的運行結果。中間層負責接受遠程或本地的數據查詢請求,然后運用服務器腳本,借助于中間部件把數據請求通過數據庫驅動程序發送到DBServer上以獲取相關數據再把結果數據轉化成HTML及各種腳本傳回客戶的Browser、DBServer端負責管理數據庫,處理數據更新及完成查詢要求,運行存儲過程,可以是集成式的也可以是分布式的。在三層結構中,數據計算與數據處理集中在中間層,即功能層。由于中間層的服務器的性能容易提升,所以在Internet下的三層結構可以滿足用戶的需求。
其次,遠程監控的框架。
基于因特網的樓宇設備運程監控結構,這個結構是基于NT的平臺上。對于市場上的BA系統,如江森和霍尼維爾等,他們系統內置有專用的數據庫,并提供有接口可以轉化為標準的數據庫,通過前面提供的方法,用戶可以從遠程通過調用數據庫來了解整個BA系統的情況。如果他想獲得BA系統的實時狀況和實時控制BA系統可以直接通過相應的CGI程序監控BA系統。
通過這樣的結構,授權的用戶可以在遠程獲得建筑設備每一個部件的相關數據,除了數據監測和報警功能之外,還有比如數據記錄趨向預測、基本維護等功能。現代的BAS系統包括數以千計的外部點,所以傳輸的數據必須經過優化僅僅是關鍵數據才應該在BAS和遠程使用者間傳輸。而在房地產建筑設備中,
HVAC系統和照明系統最耗能的,在開率控制系統的功能時,用戶的滿意程度是主要的參考因素,所以目前建筑設備的控制和足夠通風量;照明系統,為房客和公用區提供足夠照明;報警系統有,對煙、火警的探測和處理;傳送系統有升降機,傳送帶,運輸帶和自動門,電力供應系統等。
在大多數BAS系統中,主要是四類信號:模擬輸入、模擬輸出、數字輸出、數字輸入。對于一個具體的BAS系統而言,它的輸入輸出包括煙感探頭狀態,空氣混合室、中過濾器狀態,識別空調房間情況的傳感器等;二進制輸出包括回風機、送風機、VAV控制盒、照明、報警等;模擬量的輸入包括回風和室外新風的溫濕度;送風壓力,VAV控制盒的空氣流動速度,送回溫度、房間溫度、回風溫度等;模擬量輸出包括送風、回風的風速,冷水的流動速度等。所以可將需要遠程傳輸的信號可以分為五類進行傳輸狀態類、感受器類、報警器類、趨勢類和控制類。
在現代化的房地產建筑中智能建筑建設與網絡營銷的原則為:業務為導向,市場為支力,網絡為基礎,技術為支撐,效益為根本,服務為保障
智能建筑設備給人們帶來方便的同時,也給自己帶來了一個個不速之客——黑客、信息網絡及網絡炸彈和因之而來利用網絡犯罪分子,在方便自己的同時,也為那些離智能的犯罪分子帶來了一個靠近自己便捷的通道。毫無疑問在HTML語言規劃制定和Vbscript及javascript文件操作功能被現代建筑設備中廣泛應用的同時,房地產信息網絡安全不由自主地成為我們首當其沖的問題。
如前邊所述,在利用數據庫和因特網技術監控的同時,房地產信息網絡的安全問題的措施也應運而生。
而網絡“營銷”需要兩個條件:一是采取傳統的市場營銷手段;二是在網上提供價格有吸引力的商品。應該說至少到目前為止,傳統營銷與網絡營銷實質上是房地產整體營銷策略的兩個有機組成部分。傳統營銷的對象是房地產網站本身和房地產企業品牌,而網絡營銷的對象是有關企業的大量信息,這兩部分是缺一不可的,只有整合才能使其發揮最大的功效。
傳統搞品牌。房地產企業網站的知曉和品牌的建立只有通過傳統營銷方式才能得以實現。網站作為消費者與企業最終產品之間的中介者,首先必須把自己推銷出去,引導消費者進入網站,這樣才能使他們接觸最終產品信息,而網站怎樣才能引起消費者的點擊欲望呢?傳統媒體的廣告促銷是有力的幫手。就連以網上直銷聞名的戴爾公司,也在電視的黃金時段大打廣告。在宣傳網站的同時,還必須把網站同企業的品牌形象緊密結合在一起,吸引真正有需求的目標消費者,以免虛耗宣傳資源。因此企業就必須得在消費者購買決策前樹立品牌形象。只有這樣,消費者才會垂青于載有該品牌信息的網絡。對于房地產這種高價值產品,品牌效應在消費者購買決策者中是一個重要影響因素。良好的品牌形象也是房地產企業的一項無形資產。借助傳統媒介建立品牌形象,是房地產企業利用傳統營銷手法引導消費者登陸企業網站的一個較好方式。如果沒有傳統營銷的幫助,網絡營銷只能坐著冷板凳,感嘆英雄無用武之地了。
建設網絡安全范文第2篇
1.1網絡信息安全事件頻繁發生,給社會造成了嚴重損失
在科學技術快速發展的環境下,計算機網絡技術的發展步伐不斷加快,為人們的生產、生活帶來了極大的便利,但是隨之而來的網絡信息安全問題的威脅也在不斷加大,一些釣魚網站、黑客、木馬、間諜軟件、網絡漏洞攻擊等各種形式的網絡信息安全問題經常出現。隨著社會各界對網絡與信息安全問題認識的不斷提升,網絡信息安全問題越來越得到人們的重視,根據相關部門的統計,2005年一年內我國相關部門接受的國內外網絡安全事件已經超過了12萬件,使我國計算機用戶造成了巨大的損失。
1.2高校網絡與信息安全實驗教學的要求
高校是國家培訓專門技術人才的重要機構,也是社會專業人才的主要來源,當前我國高校網絡技術和網絡安全實驗教學硬件已經不能滿足現階段網絡技術和網絡安全實驗教學的需求。因此為了適應新形勢下網絡與信息安全的需求,高校應該不斷加大對網絡技術和網絡信息安全實驗的建設,提升網絡信息安全實驗的硬件條件,從而更好地滿足新形勢下高校網絡與信息安全對實驗的需求,提升學生網絡信息安全的實踐能力,滿足社會發展對網絡信息安全人才的需求。
2、關于網絡與信息安全教學實驗室建設原則的分析
2.1遵循層次性原則,滿足不同層次網絡與信息安全課程實驗的需求
網絡信息安全關系到國家安全和社會發展,涉及面十分廣闊。但是,不同層次和不同專業的學生對網絡與信息安全專業技能和理論需求都不相同。因此,網絡安全實驗室的構建要充分滿足不同層次的學生需求,讓更多層次的學生受益。
2.2提升網絡安全實驗室的可擴充性,滿足時展的需求
網絡信息技術的發展十分迅速,因此,高校網絡信息安全實驗室建設,應充分考慮這一點,實驗室平臺要滿足升級、更新的需求,要跟得上時展的步伐。實驗室的構建要保證實驗室能夠具有較強的可擴充性,從而保證高校網絡與信息安全實驗教學能夠滿足信息安全技術的發展趨勢,體現高校網絡與信息安全實驗教學的時代性特征。
2.3保證實驗室軟硬件設備先進性和實用性
網絡信息安全技術是以網絡通訊協議為技術基礎而構建的。而當前使用的基于IPv4的IP網絡正處于向IPv6轉變和過渡的過程中。這次轉變極大地提升了網絡信息的安全性,同時也為網絡計算機提供了大量的IPv6地址。針對這一系列變化,高校在網絡信息安全實驗室建設時,要充分考慮到實驗室設備與IPv6協議的兼容性。網絡信息安全實驗室建設,要在為學生提供良好實驗環境的基礎上,考慮學生將來的就業需求,因此,實驗室軟硬件設備必須要具有較強的先進性和實用性,從而保證實驗室能夠發揮出更大的效用。
3、關于高校網絡安全實驗室項目設計的分析
3.1網絡信息安全實驗室應滿足高級實驗的需求
對于網絡信息安全專業的學生來講,他們在掌握常規的實驗基礎上還應該具備較高的網絡信息安全技術和相關的實驗能力。當前高級的實驗和技術主要包括:VPN技術和相關配置、數字證書發放的實驗、身份認證實驗等等。數字證書發放實驗就是使用服務器網絡中的CA證書服務器,實現對實驗小組發放數字證書。通過這個實驗幫助學生有效掌握公鑰密碼運行機制以及相關技術,提升學生對數字證書的理解和使用能力。在進行數字證書認證的過程中,以發放的數字證書作為身份的依據,完成對網絡服務的訪問。服務器為使用者提供相關服務之前,需要具有合法的身份才能夠獲得系統提供的有效服務。
3.2建設網絡平臺
建設網絡平臺是高校網絡與信息安全教學實驗室建設的第一步,高校在建設過程中,要在原有的實驗室基礎上補充一些網絡信息安全設備,包括每個試驗臺布置一臺防火墻,一臺IDS,在核心處布置一臺安全隔離網閘、一臺UTM、一臺APM應用安全管理系統;高校實驗室建設人員在已經補充好的網絡信息安全設備上,設置安全管理平臺,并對設備日志進行審計和分析,以便更好的對網絡安全設備進行控制和管理。同時,每個試驗臺可以根據情況防止IPS入侵防護系統和安全隔離網閘。
3.3為學生提供網絡安全創新實驗的平臺
信息安全方面的知識學習具有很強的實踐性,因此,信息安全專業課程的學習對信息安全實驗室的要求很高。而當前我國高校的網絡信息安全教學基本都是停留在理論層面,對學生實踐能力培養的關注相對較少,學校的網絡安全實驗室條件很差,實踐課程很難高效開展,導致網絡信息安全實驗教學環節之后,學生的實踐能力較差,無法滿足社會對網絡信息安全的需求。因此,配備一個合格的網絡安全實驗室具有極其深遠的意義。高校的網絡信息安全實驗室在完成一般實驗教學的基礎上,還可為更高層次學生提供創新實驗的機會和平臺,讓學生在現有軟硬件條件的基礎上,對當前的軟件進行創新和改進,優化軟件的效果,提升學生的網絡信息安全創新能力。
3.4全面模塊化的網絡安全實驗室解決方案
模塊化的網絡安全實驗室解決方案把防火墻設備,WEB應用安全設備,非法信息檢測設備,輿情分析系統,作為一個安全有效的防御整體,架設到高校信息安全專業的實驗室中,使師生全面地對網絡安全的多樣性,復雜性從理論上和實際操作中得到了全方位的了解。一方面使學生畢業后真正走向網絡安全方向的學生不會再和現行的網絡攻擊和威脅脫節,不會單獨依靠簡單膚淺的理論知識對繁瑣復雜多樣的攻擊摸不到頭腦,另一方面可以讓學生和研究人員可以深入地了解網絡安全問題,加深對網絡原理、協議的理解,同時最重要的是在整個網絡安全實驗室中,實驗者通過學習可以很清楚地了解如何進行有效的網絡安全設計,避免網絡風險的發生以及在網絡安全事件發生的第一時間,如何有效地解決安全問題。
參考文獻:
[1] 張衛東,李暉,尹鈺.網絡安全實驗教學方法的研究[J]_實驗室研究與探索,2007(12)
[2] 容治.計算機網絡教學實驗環境存在的問題和改革探討[J].科技信息(科學教研),2007(21)
[3] 陳峰,沈雅婕,馮朝輝。高校網絡與信息安全教學實驗室建設研究[J】.網絡安全技術與應用,2007(07)
作者簡介:
建設網絡安全范文第3篇
隨著網絡技術的發展,各種網絡威脅也隨影而至。特別是無線網絡技術的發展,使得互聯網的體系結構更加復雜,任何網絡節點的薄弱環節都有可能會是網絡攻擊者的突破口。近幾年,引起廣泛關注的高級持續性威脅(AdvancedPersistentThreat)更是綜合了各種可以利用的突破口對目標進行長期踩點,并在適當的時候對目標發動攻擊。因此,網絡安全管理人員需要具備操作系統、數據庫、密碼學的理論與技術、掌握網絡路由與交換技術、網絡管理技術,網絡編程技術,以及常見的網絡服務器的管理與配置,尤其是對Web服務器的深入理解。但無論是信息安全專業還是信息對抗專業的培養方案都在網絡路由域交換技術、網絡管理技術等相關課程的設置方面比較薄弱,無法滿足網絡安全管理人員對相關知識體系的要求。因此,網絡工程專業依托其深厚的網絡知識體系,更適合建立網絡安全管理所需要的理論技術,更適合培養網絡安全管理人才。
2網絡工程專業的網絡安全課程體系建設
根據當前社會對于網絡和網絡安全人才的需求,本校制定了相應的人才培養計劃,歷經10年的改革與發展,形成了當前網絡工程專業下的三個特色方向:網絡技術方向、網絡安全方向、網絡編程技術方向。無論是網絡技術還是網絡安全技術都離不開網絡編程技術的支撐,缺少相應的編程能力網絡技術與網絡安全技術也注定會是瘸腿的技術,無法滿足網絡管理與網絡安全管理的需求。因此這三個方向相互融合形成的高級網絡與網絡安全技術方向,形成了目前網絡工程專業較為穩定的培養目標。“PKI體系及應用”與“網絡安全協議”是以應用密碼學為基礎的延伸課程。培養學生利用現代密碼學的技術研發密碼產品的能力。“PKI體系及應用”以證書認證中心為軸心,詳細介紹公開密鑰基礎設施的基本概念、基本原理、基本方法,以及公開密鑰基礎設施在現代密碼產品中的應用研發技術。“網絡安全協議”從密碼應用系統業務邏輯層面的安全分析入手,介紹常見的網絡安全協議、網絡安全標準和典型的網絡安全應用系統,在此基礎上,介紹安全協議設計及其安全性分析的基本理論與技術,使學生掌握基本的網絡安全協議設計方法,能夠根據具體的應用背景設計對應的網絡安全協議,研發安全應用系統。網絡攻防類課程是在以“應用密碼學”等信息安全類課程開設的基礎上,根據網絡工程專業的建設和國內網絡安全形勢的需要而開設的網絡維護類課程。其中,“網絡攻防技術入門”是在大一新生中開設的新生研討課,共16學時,分8次上課,以學生討論的方式組織教學,通過安排技術資料研讀和課堂討論,啟發學生對網絡攻防技術的學習興趣,掌握基本的網絡威脅防護方法。“網絡信息對抗”綜合講授與網絡安全相關的法律法規、網絡滲透技術和網絡防護技術。課程共64學時,理論授課32學時,實驗32學時,每個理論學時跟著一個實驗學時,以邊學邊練的方式組織教學。實驗教學通過專用綜合攻防平臺進行驗證性訓練。“計算機取證技術”主要講述計算機取證的基本方法、基本過程、數據恢復技術、證據提取技術、證據分析技術,以及常見的計算機取證工具的使用方法。“信息安全技術實訓”是在四年級上學期開設的實訓課程,共計192學時,8個學分。該課程分為兩個部分,第一部分以實際的項目案例為驅動,訓練學生對現代密碼理論技術應用能力與程序設計能力,目標是設計并實現一個小型的網絡安全軟件系統。第二部分以實際的網絡安全案例為驅動,訓練學生對于目標系統的滲透能力與網絡加固能力、以及對于整個滲透過程的取證分析能力。該實訓課程與學生的實習相互結合,部分學生進入網絡安全公司進行實習,提交綜合實習報告來獲得同校內綜合實訓相當的學分。通過三年的實踐,效果良好。
3網絡安全方向的人才培養分析
網絡安全方向已經形成了較為完善的課程體系,學生學習興趣高漲,在校內形成了良好的網絡安全研究氛圍。自發形成了保有數為20人左右的本科生興趣研究小組,另外,通過每年一屆的全校網絡安全知識比賽,促進了全校網絡安全知識的普及與人才培養,通過組織參加全省大學生網絡信息安全知識比賽,選拔優秀本科生進入相關課題研究,而且都取得了較好的效果。
4結語
建設網絡安全范文第4篇
關鍵詞:信息安全專業;網絡與網絡安全課程群;工程訓練;自主學習
1研究背景
隨著網絡及信息技術的發展,網絡和信息安全風險日益增長。在全球范圍內,計算機病毒、網絡攻擊、垃圾郵件、系統漏洞、網絡竊密、虛假有害信息和網絡違法犯罪等問題日漸突出。據有關國家信息安全機構統計,我國每年被黑客攻擊的網頁達10萬數量級,釣魚網站數量占世界總量比例偏高,位于我國的僵尸網絡的肉雞數量位于世界的前列,分布式拒絕服務的受害者數量非常龐大。如何保證網絡的安全性,已經成為全社會關注的問題。如應對不當,可能會給我國經濟社會發展和國家安全帶來不利影響。提升網絡普及水平、信息資源開發利用水平和信息安全保障水平,是國家近年來的信息化發展戰略之一。
社會對網絡安全人才的需求量在不斷擴大,急需大量具有扎實理論基礎并受過良好工程實踐訓練的網絡安全人才。培養網絡與網絡安全人才,對推動國家的網絡與信息安全工作有重要意義[1-4]。如何使高校的本科生教育與社會需求接軌,為社會培養有用的網絡安全技術人才,是我們在網絡與網絡安全課程體系建設中需要考慮的重要問題。
本文主要圍繞北京工業大學信息安全專業建設情況,對網絡與網絡安全課程群的設置與建設情況進行詳細介紹,探討網絡與網絡安全課程群的教學方法和實踐教學改革思路。
2網絡與網絡安全課程群設置
北京工業大學信息安全專業于2003年在計算機學院成立,到2005年,建成了具有初步規模的信息安全專業教學與實驗環境。近幾年來,在國家和北京市的支持下,專業建設取得突飛猛進的進步。2007年,本專業被教育部批準為第二類特色專業建設點,2008年被北京市教委批準為特色專業,2010年被評為北京市重點學科。網絡安全是北京工業大學信息安全交叉學科的一個重要研究方向。
在沈昌祥院士的帶領下,信息安全專業以“立足北京、服務北京”為基本辦學定位,加強課程體系和教材建設,強化實踐教學,緊密結合國家和北京市的經濟社會發展需求,推進專業建設與人才培養。該專業逐步形成了滿足培養國家和北京市經濟和行業發展急需的信息安全專業創新型應用人才需求的教學體系。網絡與網絡安全課程群是我校信息安全專業建設的一個重要內容,該課程群主要培養信息安全系本科生在網絡與網絡安全方面的理論基礎和實踐能力[5-7],要求學生掌握網絡和網絡安全基本理論知識,學會規劃網絡和配置網絡,并具備使用防火墻、VPN、病毒防治等工具維護網絡安全的能力。在課程群的課程教學內容安排上,充分體現由易到難、由淺入深的教學規律,并注重理論與實踐相結合的原則,圖1展示了信息安全專業課程的拓撲圖,其中網絡與網絡安全課程群設置用灰色陰影文本框表示。
現行的信息安全專業的本科教學計劃包括計算機網絡基礎、計算機網絡基礎實驗、路由與交換技術、網絡設計、網絡安全防護、信息安全體系結構、信息安全標準、安全協議、安全協議課設、計算機病毒防護、無線網絡安全、防火墻技術、應用服務器安全等系列課程,建立了一定規模的實驗環境。為了更好地安排上述課程群的教學內容,我們結合信息安全專業不同年級學生的特點,進一步制定每一年的教學目標,使整個課程群的教學內容成為一個有機整體。
針對一年級學生,主要是培養學生的學習興趣和奠定專業基礎。計算機網絡基礎是為信息安全專業新生開設的第一門專業課程,在信息安全整個課程體系以及網絡與網絡安全系列課程群中起著舉足輕重的作用。這門學科的內容博大精深,涉及到眾多的概念、原理、協議和技術,它們以錯綜復雜的方式彼此交織在一起。為應對計算機網絡在內容上的廣闊度和復雜度,使學生能夠在學習整個體系結構中某部分的具體概念與協議的同時,也能夠掌握每一層協議在整個網絡系統中所處的地位和作用,我們采用自底向上和自頂向下相結合的方法。該方法能夠使學生在對計算機網絡的概念、原理和體系結構有深入了解的基礎上,又能對協議和技術及其內在聯系有一個全局的掌握,形成比較系統的知識體系。在該課的基礎上,第二學期開設的計算機網絡基礎實驗課程加深學生對計算機網絡各層協議功能和基本工作過程的理解與掌握,以驗證性和演示性實驗為主,培養學生的學習興趣,使學生在一年級就能輕松接觸到網絡相關知識。
針對二年級學生,我們開設了路由與交換技術、網絡設計、網絡安全與防護,培養學生在組網和網絡配置方面的能力,同時使其了解網絡面臨的安全威脅,并具有簡單的安全防護知識。通過路由與交換技術課程的學習,學生將了解路由與交換的基本知識,掌握各種路由與交換技術的特點及其基本原理,培養學生的局域網組網與管理能力,使學生能夠根據具體環境和應用目的設計合理的拓撲結構,組建網絡,并具備解決網絡中常見問題的基本技能。網絡安全與防護使學生了解企事業網絡中存在的威脅,掌握安全評測的基本理論與方法,掌握網絡安全策略的設計與實現、安全事故處理的基本方法。通過該課程學習,學生將學會網絡安全防護的方法,為學生從事企業安全網絡設計與網絡管理等工作打下一定的基礎。
針對三年級學生,為了加深他們對網絡安全知識的理解,我們開設了信息安全體系結構、安全協議、信息安全標準課程。信息安全體系結構課程圍繞如何構建一個安全的信息系統,并對構建安全體系結構的關鍵三要素(技術、管理和人員)之間的關系進行了詳細闡述。使學生掌握信息安全體系結構中的基本概念、基本理論、基本方法,在整體上認識構建一個安全的信息系統需要解決的主要問題,通過結合具體的應用案例分析,提高學生的綜合設計、分析和解決問題的能力。安全協議課程使學生能夠對網絡安全協議有一個系統全面的了解,掌握各層安全協議的概念、原理和知識體系,在實踐中學會應用網絡協議知識分析解決各種網絡安全問題。課程包括了許多網絡安全的案例分析,讓學生將課堂理論與應用實踐緊密結合起來,學會解決實際應用中的工程技術問題,了解設計和維護安全的網絡及其應用系統的基本手段和常用方法。通過信息安全標準的學習,學生對國際和國內信息安全領域制定的相關標準方面有一個基本的了解,并重點學習幾個信息安全領域中的核心標準。
針對四年級學生,注重對其網絡與網絡安全工程實踐能力和創新能力的培養,通過一些能反映網絡與網絡安全最新發展情況的計算機病毒防護、無線網絡安全、防火墻技術、應用服務器安全等專業選修課程,開闊學生的視野,為學生實習和就業打下基礎。計算機病毒防護課程既注重對病毒基本概念、作用機制和防治技術的闡述,又力求反映病毒防治技術的新發展,既兼顧課程的深度,又有一定的廣度。通過學習該課程,學生將掌握防治計算機病毒的基本理論和基本技術,為進一步深入學習網絡安全課程奠定了良好的基礎。無線網絡安全課程則使學生對無線通信系統及其安全有比較全面的了解,初步掌握無線通信的分類和各種類別的基本原理,以及無線網絡環境中的安全措施,為今后適應層出不窮的無線網絡應用打下基礎。防火墻技術課程使學生理解防火墻的基本知識,掌握防火墻的體系結構、關鍵技術以及構建、配置防火墻的基本方法,并對防火墻技術的未來發展方向有一定的了解。應用服務器安全課程主要講解計算機應用系統面臨的安全風險、應用安全涉及的相關技術和手段(包括數據存儲技術及其安全)、應用系統安全解決方案以及方案的典型實現。通過該課程的學習和實踐,學生能夠基本掌握設計計算機應用系統的安全方案應考慮的若干方面,能夠從系統的角度看待安全問題,并能綜合利用幾年來所學的安全知識解決系統的安全問題。
3網絡與網絡安全課程群教學方法改革
在網絡與網絡安全課程群的教學中,我們強調理論與實踐相結合的教學方法,在抓好理論教學的同時,強化實踐教學,形成了工程訓練、自主學習、創新培養并舉的特色教育理念。鑒于在實踐教學和創新能力培養方面的有力措施和突出成績,我們在2010年獲得了北京工業大學優秀教育成果一等獎。
3.1強化實踐教學,提高學生的工程實踐能力
2007年,信息安全專業對實踐教學計劃進行了全面修訂,包括增加實踐教學環節的學分比例、提高綜合性與設計性實驗比例、設置自選設計環節、強化綜合設計和畢業設計環節、加強對實踐教學體系各個環節的規范化管理。
針對某些比較重要的理論課程,如計算機網絡基礎,我們設置了專門的實驗課程――計算機網絡基礎實驗。針對技術性比較強的課程,我們設置了課內實驗,做到理論與實踐相結合。例如對路由與交換技術、網絡安全與防護、安全協議、防火墻技術、計算機病毒與防護、應用服務器安全等選修課程,我們設置了課內實驗(包括設計性實驗和綜合性實驗),使學生掌握高級網絡技術和具備維護網絡安全的技能。
課程設計是鍛煉學生系統設計能力的好機會,我們設置了安全協議課設課程。學生以小組形式進行課設,每個小組選出組長,負責一些協調工作,提高團結協作能力,使同學間互相幫助、取長補短、共同進步。
信息安全專業實習、信息安全綜合設計和畢業設計是信息安全專業比較重要的實踐環節,是促進學生綜合運用所學知識解決實際問題的關鍵。我校信息安全專業與太極、瑞星等單位建立了校內外實習基地,為學生提供了實習條件。信息安全綜合設計和畢業設計使學生能夠有機會參加一些工程項目的研發。綜合設計題目與內容選取有一定的工程實際背景,體現應用性、先進性、綜合性。畢業設計的題目主要來自企業或學校的科研項目。一些學生在公司完成實習和畢業設計,為順利就業創造了條件。一些學生在學校的科研環境中進行實習和畢業設計,為考研和進一步深造奠定了基礎。
3.2提倡自主學習,提高學生的學習積極性
自學課程的開設對教師提出了新的要求,要求教師改變傳統教學模式,探索有利于創新型人才培養的教學模式。我們開設自學課程的教學理念是:以學生自主學習為主,教師引導和啟發學生為輔。這不僅要求教師有豐富的教學經驗和較好的教學效果,還要有較強的責任心。該課程培養學生獨立學習網絡與網絡安全新知識,發現問題、分析問題、解決問題的自主學習能力,使學生能夠適應社會和網絡技術發展的要求。在網絡設計自學課程中,我們采用國外經典教材《Cisco Network Design》,引導學生自己學習教材和閱讀相關文獻資料,通過小組分工協作完成一個真實的園區局域網絡規劃方案設計,達到學以致用的目的。通過采用自評、互評、演講等多種形式來激發學生的參與力度,使學生能充分發揮學習的主動性和自覺性,把學生的興趣、愛好、學習、創新融為一體。
3.3通過創新活動,激發學生創新能力
結合網絡安全課程群的建設,我們為學生開設網絡與網絡安全的創新活動和創新實踐課程,利用第二課堂活動開展專業調查、社會實踐和競賽活動。具體采取了如下措施。
1) 以校企聯合的形式為學生舉辦多次安全知識的講座。邀請院士、總工程師、總裁等作相關報告,使學生更好地了解信息安全產業的發展狀況,對他們后續的工程實踐、實習就業有非常重要的作用。
2) 各種科技活動和興趣小組培養學生研究性學習和創新性實驗能力。例如,我們成立了網絡興趣小組,促進學生參加網絡技能訓練;鼓勵學生申請“北京工業大學星火基金”,培養學生的創新能力。
3) 通過組織各種競賽,引領學生在創新中成長。我們多次指導本科生參加思科網院杯全國大學生網絡技術大賽、全國大學生信息安全競賽。獲得一等獎2次,二等獎3次、三等獎2次。
4) 安排高年級本科生進入專業實驗室,鼓勵學生參與到教師的教學科研項目,逐步引導學生獨立從事科學研究工作。在指導老師的幫助下,一些學生已經獨立發表學術論文或與老師合作發表學術論文。
4結語
培養網絡與網絡安全的人才,對推動國家的網絡與信息安全工作有重要意義。我校強化實踐教學,提高學生的工程實踐能力;提倡自主學習,提高學生的學習積極性;通過創新活動激發學生創新能力,形成工程訓練、自主學習、創新培養并舉的特色教育理念,取得較好的教學效果。
參考文獻:
[1] 張煥國,黃傳河,劉玉珍,等.信息安全本科專業的人才培養與課程體系[J].高等理科教育,2004(2):16-20.
[2] 王清賢,朱俊虎,陳巖. 信息安全專業主干課程設置初探[J]. 計算機教育,2007(19):12-14.
[3] 王偉平,楊路明. 信息安全人才需求與專業知識體系、課程體系的研究[J]. 北京電子科技學院學報,2006(1):47-49.
[4] 馬建峰,李鳳華. 信息安全學科建設與人才培養現狀、問題與對策[J]. 計算機教育,2005(1):11-14.
[5] 李毅超,曹躍,郭文生,等. 信息安全專業計算機網絡課程群建設初探[J]. 實驗科學與技術,2008(3):90-93.
[6] 俞研,蘭少華. 計算機網絡安全課程教學的探索與研究[J]. 計算機教育,2008(18):127-128.
[7] 諶黔燕,郝玉潔,王建新,等.網絡安全課程中的實踐教學研究與探索[J]. 計算機教育,2007(1):38-40.
Network and Network Security Curriculum Group Construction for Information Security Major
DUAN Lijuan, LAI Yingxu, YANG Zhen, HOU Yarong, LI Jian
(College of Computer Science, Beijing University of Technology, Beijing 100124, China)
建設網絡安全范文第5篇
在電信部門IDC機房部署應用服務器兩臺及以上、數據庫服務器兩臺(或者四臺)分別做雙機熱備或多機互備,數據庫服務器通過光纖交換機與存儲系統相連接,為了便于數據同步,在單位部署一臺數據上傳服務器和電信部門IDC機房部署一臺前置數據庫服務器,定期將內部需要在外網查詢的內容通過數據上傳服務器自動傳送到外網前置數據庫服務器上,在外網前置數據庫服務器上進行數據校驗和比對后自動同步到網站數據庫服務器上,實現內外網數據的及時更新。
2網絡通信建設
由于門戶網站的所有硬件都托管在電信部門IDC機房,故在網絡通信方面完全利用電信部門IDC機房現有的網絡通信設備,對外出口帶寬至少為兩條100MB鏈路。
3網絡安全防護建設
政府類門戶網站的安全建設按照計算機信息系統安全等級保護三級技術標準執行。涉及內容包括:數據機房安全、網絡通信安全、主機系統安全、應用安全、數據安全幾個部分。
3.1防護對象
政府門戶網站信息網絡大致可分為管理信息區域和信息區域,管理信息區域用于支撐該系統與業務相關的內部管理信息應用數據。管理信息區域劃分為用于承載內部辦公的信息內網和用于支撐對外業務和互聯網用戶的信息外網。信息區為面向公眾的信息平臺,用于信息查詢、政策導向、公眾監督等互聯網訪問需要。
3.2設計思路
政府類門戶網站網絡安全防護體系是依據以下策略進行建設:雙網雙機:管理信息區劃分為信息內網和信息外網,內外網間采用物理隔離,信息內外網分別采用獨立的服務器,數據進行單向流動,通過人工操作實現,極大地保障了信息數據和內部網絡的安全。等級防護:管理信息系統將以實現等級保護為基本出發點進行安全防護體系建設,并參照國家等級保護基本要求進行安全防護措施設計;多層防御:在分域防護的基礎上,將各安全域的信息系統劃分為邊界、網絡、主機、應用四個層次進行安全防護設計,以實現層層遞進,縱深防御。
3.3防護措施
(1)基于網絡安全的訪問控制。在網絡邊界部署訪問控制設備,啟用訪問控制功能;根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力,控制粒度為端口級;對進出網絡的信息內容進行過濾,實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制;在會話處于非活躍時間或會話結束后終止網絡連接;限制網絡最大流量數及網絡連接數;重要網段采取技術手段防止地址欺騙;按用戶和系統之間的允許訪問規則,決定允許或拒絕用戶對受控系統進行資源訪問,控制粒度為單個用戶;限制具有撥號訪問權限的用戶數量。
(2)設備和審計系統結合。對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄;審計記錄包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;能夠根據記錄數據進行分析,并生成審計報表;對審計記錄進行保護,避免受到未預期的刪除、修改或覆蓋等;實現對應用系統的數據訪問與操作進行全面地監控審計,可實時顯示和監視操作行為,詳細記錄所有的操作行為和操作內容,提供審計查詢和關聯分析,輸出完整地審計統計報告。
(3)基于安全事件的防護。能夠對非法接入內部網絡的行為進行檢查,準確定出位置,并對其進行有效阻斷。
(4)檢測和主動防御的融合。在網絡邊界處監視以下攻擊行為:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等;當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發生嚴重入侵事件時提供報警。
(5)病毒防御機制。在網絡邊界處對惡意代碼進行檢測和清除;維護惡意代碼庫的升級和檢測系統的更新。
(6)虛擬接入和防篡改技術。對登錄網絡設備的用戶進行身份鑒別;對網絡設備的管理員登錄地址進行限制;網絡設備用戶的標識唯一;當對網絡設備進行遠程管理時,采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽;實現設備特權用戶的權限分離。通過主頁防篡改系統進一步防止黑客對門戶網站設備的入侵。
(7)主機系統防護。主機系統安全防護包括對系統內服務器及存儲設備的安全防護。服務器包括業務應用服務器、數據庫服務器、WEB服務器、文件與通信服務器等。保護主機系統安全的目標是采用信息保障技術確保業務數據在進入、離開或駐留服務器時保持可用性、完整性和保密性,采用相應的身份認證、訪問控制等手段阻止未授權訪問,采用主機防火墻、入侵檢測等技術確保主機系統的安全,進行事件日志審核以發現入侵企圖,在安全事件發生后通過對事件日志的分析進行審計追蹤,確認事件對主機的影響以進行后續處理。
3.4安全防護集成
綜上所述,政府門戶網站信息網絡的可靠運轉是基于通訊子網、計算機硬件、操作系統、各種應用軟件等各方面、各層次的良好運行。因此,其風險將來自對內部和外部的各個關鍵點可能造成的威脅,這些威脅可能造成總體功能的失效。網絡安全體系結構主要考慮安全對象和安全機制,安全對象主要有網絡安全、系統安全、數據庫安全、信息安全、設備安全、病毒防治等。
(1)網絡出口邊界部署能夠防御DoS/DDoS攻擊、ARP欺騙攻擊、TCP報文標志位不合法攻擊、LargeICMP報文攻擊、地址掃描攻擊和端口掃描攻擊等多種惡意攻擊的下一代防火墻。保證正常訪問用戶的接入,對內網資源形成進行有效保護。
(2)網絡出口部署入侵防御系統,因為內部網絡中有很多服務器(如web服務器、通訊服務器、應用服務器集群等等),各種服務器的操作系統和數據庫在網絡通訊傳輸中存在天然的安全隱患,如對協議中的異常情況考慮不足。外部非法訪問可利用協議的漏洞對服務器發起攻擊。向服務器發送非標準或者緩沖區溢出的協議數據,從而奪取服務器控制權或者造成服務器宕機。密切跟蹤全球知名安全組織和軟件廠商的安全公告,對各種威脅進行分析、驗證,保證實時更新簽名庫,跟進安全威脅的發展狀況。不斷升級入侵防御系統檢測引擎以防護新出現的安全威脅,具備防御0-DAY攻擊能力。
(3)網絡內部署安全審計系統,在嚴格執行安全保密規定的基礎上,對整個系統的監控審計管理,保證系統的數據完整性、保密性和可信性。實時顯示和監視操作行為,詳細記錄所有的操作行為和操作內容,提供審計查詢和關聯分析,輸出完整地審計統計報告。發生安全問題時,可以從系統的審計記錄庫中快速查找違規操作活動和留下的痕跡,獲取可靠的證據信息,如果發生了安全事故也能夠快速查證并追根尋源。
(4)在門戶網站服務器前端部署web應用防火墻系統,對web服務器進行全面防護,發現并阻斷各種WEB攻擊,定期檢查網站各種安全隱患,發現問題及時預警并自動采取修補措施;實時防護各種WEB應用攻擊、DDOS攻擊、網頁木馬攻擊等行為。
(5)在Web服務器上部署網頁放篡改系統,采用HTTP請求過濾、核心內嵌等技術;提供實時阻斷、事件觸發、數字水印和應用防護四種防護措施,通過四種防護措施的合理組合達到起到更好的防護作用。在安全審計系統對Web服務器的所有操作全面監控進行告警、記錄的預防措施的前提下,形成一套有機的保護體系,在發生篡改行為后迅速恢復Web網頁內容,不影響正常訪問,避免業務中斷。
(6)網絡出口部署的防病毒網關,所有數據流都需要經過防病毒網關。因此防病毒網關能夠有效地監控進入內部網絡的流量。提供兩種方式的病毒掃描,一種傳統的掃描方式,文件完全掃描后推送給真正的接收者,主要用來保護安全需求強烈的服務器或者重要區域,另一種是邊傳輸邊緩存的方式,允許用戶實時接收數據,延時減小。
3.5網絡安全技術服務
政府門戶網站信息網絡投入運行后,如何保障系統的安全運行便成了重中之重。其中涉及的工作量巨大,技術要求亦非常高。因此,政府門戶網站常常采取安全服務外包方式聘請具備專業安全服務資質的機構進行網絡安全保障。安全服務內容主要包括以下方面:
(1)Web安全監測。針對WEB應用安全,我們所提出日常安全檢測內容需包含:XSS跨站攻擊檢測;SQL注入檢測;URL重定向檢測;FORM檢測(單表逃逸檢測);FORM弱口令檢測;網頁木馬(惡意代碼)檢測;數據竊取檢測;GOOGLE-HACK檢測;中間人攻擊檢測;Oracle密碼暴力破解;WebSer-viceXPath注入檢測;Web2.0AJAX注入檢測;Cookies注入檢測;雜項:其他各類CGI弱點檢測,如:命令注入檢測、LDAP注入檢測、CFS跨域攻擊檢測、敏感文件檢測、目錄遍歷檢測、遠程文件包含檢測、應用層拒絕服務檢測等。(2)數據庫安全監測。數據庫安全檢測需實現的功能:發現不安全的數據庫安裝和配置;發現數據庫弱口令;發現數據庫的變化或潛藏木馬;發現數據庫弱點和補丁的層次。從而在此基礎上形成一個綜合的分析報告及修復建議。
(3)漏洞及病毒通報.系統在運行期間,計算機病毒及安全漏洞問題將是直接威脅整個系統運行的重要因素。因此,我們需要安全服務提供商定期提供定向計算機漏洞及病毒情況通報。借此,通過對這些情況的實時動態、快速的掌握,可提高管理部門的快速響應能力。
(4)風險評估。該系統需定期進行風險評估工作。有效地借助專業安全服務提供商的力量,來檢測本系統現行情況的安全現狀。
(5)系統安全加固。安全服務提供商需指派專業人員定期針對加固的系統進行漏洞掃描、攻擊、滲透等方面的測試,確保核心設備、核心系統的加固有效性,并及時報告系統加固現狀。在業務系統上線之前檢查安全配置情況,并提供安全加固建議。安全加固是指針對政府門戶網站的服務器、安全設備的安全加固和安全配置優化,對網絡設備的安全加固建議。通過定期的加固工作,將系統的安全狀況提升到一個較高的水平。將在漏洞掃描、安全審計、滲透測試的報告結果基礎上,對服務器、安全設備等方面存在的各類脆弱性問題進行提煉歸納,提出合理的切實可行的安全加固方案。安全加固方案在提交并經過用戶方評審、許可后,進行安全加固實施,同時,必須指導、協助對各應用系統的操作系統、數據庫系統、中間件和應用程序的安全配置、安全策略和安全機制進行電子政務云計算中心加固和完善,使應用系統符合安全防護要求,保證該信息系統的安全可靠運行。
3.5.1應急響應目標
及時響應信息系統的安全緊急事件,保證事件的損失降到最小。包括如下目標:
(1)7*24*365快速響應服務(本地),提供全天候的緊急響應服務,本地在2個小時內到達現場;
(2)判定安全事件類型,從網絡流量、系統和IDS日志記錄、桌面日志中判斷安全事件類型。查明安全事件原因,確定安全事件的威脅和破壞的嚴重程度。查明安全事件原因,確定安全事件的威脅和破壞的嚴重程度:
(3)抑制事態發展,抑制事態發展是為了將事故的損害降低到最小化。在這一步中,通常會將受影響系統和服務隔離。這一點對保持系統的可用性是非常重要的;
(4)排除系統故障,針對發現的安全事件來源,排除潛在的隱患,消除安全威脅,徹底解決安全問題;
(5)恢復信息系統正常操作,在根除問題后,將已經被攻擊設備或由于事故造成的系統損壞做恢復性工作,使網絡系統能在盡可能短的時間內恢復正常的網絡服務;
(6)信息系統安全加固,對系統中發現的漏洞進行安全加固,消除安全隱患;
(7)重新評估信息系統的安全性能,重新評價系統的安全特性,確保在一定的時間范圍內,不發生同類的安全事件。
3.5.2應急響應內容
應急響應是處理各種惡意攻擊帶來的緊急破壞效果,這里包括如下方面:
(1)拒絕服務響應,當網絡遭受大量通問而造成我們正常業務無法提供服務的時候,必須采取措施,將惡意訪問抵擋在業務范圍之外;
(2)數據破壞響應,當服務器的相關環節,包括文件服務器,網站服務器,數據庫服務器等的數據被惡意破壞,導致無法正常提供服務,并且此類現象可能還會重現;
(3)病毒蠕蟲響應,當網絡遭受到病毒蠕蟲的攻擊,導致正常辦公網絡癱瘓無法正常實施業務,必須采取根治措施,去除惡意影響;
(4)其他情況應急響應,除了上面列明外,包括惡意竊聽、代碼攻擊、網絡欺騙等,需要進一步找到攻擊根源,去除漏洞。
3.6等級保護測評
聘請第三方信息安全等級保護測評公司進行網站系統相關軟硬件是否達到信息安全等級保護三級的要求,并出具測評證書。
4建立及完善安全管理機制和網站維護隊伍
