网络安全意识建议大全11篇
时间:2023-06-01 15:56:54绪论:写作既是个人情感的抒发,也是对学术真理的探索,欢迎阅读由发表云整理的11篇网络安全意识建议范文,希望它们能为您的写作提供参考和启发。
篇(1)
2医院网络安全体系构建中存在的问题
虽然网络体系的构建是医院信息化管理的必要环节,但是其在安全风险防范方面却依旧漏洞百出,使得医院的网络安全体系建设形同虚设,难以充分发挥其风险控制与防范的实际效果。具体来讲,医院网络安全体系构建中存在的问题如下:第一,医院内部系统对数据的收集与应用效果并不理想,目前多数医院对于网络系统的建设还处于起步阶段,许多数据的收集并不完整,例如电子病历的形成尚处于“模板+标签”阶段,缺乏专业化处理,影响了数据传输与共享效果,各部门之间的信息沟通不畅,“信息孤岛”的状况没有被完全打破。第二,网络安全规划缺乏投入,对信息安全的预期投入严重不足,虽然信息安全问题是医院网络信息系统构建的关键,但是从整体上来看,相关部门对于信息安全体系的构建并不积极,例如在硬件投入中缺乏预算支持,使得硬件设备一旦出现损毁就会造成大量医疗卫生信息的丢失;对软件技术的应用不到位,防火墙、加密系统的建立存在漏洞;各部门对于安全系统的认识存在偏见,在某一科室出现网络安全问题的时候则相互推诿,缺乏有效的追责与监督。第三,网络安全体系构建与实现的方案缺乏有效的落实,任何网络安全问题在没有爆发前往往都显得不那么重要,医院在网络安全体系建设中也存在这种侥幸,对安全规划的设计头头是道,但是到了具体的落实阶段却又推三阻四,影响了网络安全体系建设工作的实效性。
3医院网络安全体系构建与实现的相关对策
医院网络安全体系的构建与实现需要从硬件设备、软件系统、组织管理者三个方面入手。
3.1硬件设备安全的构建与实现
根据信息化管理的技术需要,医院的硬件设备安全管理主要包括以下内容:第一,网络布线。对于医院的信息化建设而言,网络布线不仅影响着系统的信息传递速度,更关系着信息沟通的安全,因此,相关技术人员应采取内外网物理断开的方法,对医院网络系统进行科学布线;考虑到信息安全,对于各楼宇的主干线可以采用光纤和备份光纤相结合的方式;在连接客户端的时候,应做好屏蔽处理,及时排除干扰源,保证信号强度,以及信息数据传递的有效性和完整性。第二,根据《电子信息系统机房设计规范》做好对机房的设计,如根据“电子信息系统机房的耐火等级不能低于2级”等规定做好防火安全管理;根据“主机房气流组织、风口及送回风温差”的相关数据做好防潮工作等,确保主机房能够充分发挥信息存储与传输的功能。第三,服务器、交换机的数据安全,在医院网络安全系统构建中,技术人员应对关键设备的基本性能以及冗余做好分析,并确保系统能时刻运行。为避免停电故障造成信息丢失,医院的服务器应采用不间断电源,并在出现安全故障的时候,自动接入另一个服务器完成信息备份,从而做好“双保险”,提高网络系统运行的持续性和安全性。
3.2软件安全系统的构建与实现
在网络安全系统构建中,系统软件可以通过与硬件设备的交互作用,实现对系统的控制与调度,并连接网络,实现信息的传输与存储。因此,医院在网络安全系统构建与实现中,应该不断完善软件系统,从而确保信息数据的安全。医院在软件安全系统的构建与实现上可以从以下几个方面入手:第一,设置安全口令。软件系统的登录应控制开放程度,利用安全口令对访问者的身份进行确定,在使用软件系统的过程中,口令的设置也应该提高安全系数,避免使用缺省值,保证长度不少于八位,且内容包含字母和数字及至少包含两个特殊字符。此外,为进一步确保软件系统的安全,相关部门的操作人员应对安全口令进行定期更换,提高被破译的难度。第二,安装杀毒软件。在医院的网络系统建设中,内外网的完全物理隔离是不可能的,只要存在接入外网的机会,病毒就会见缝插针对网络系统进行攻击。针对此,医院在网络安全系统构建中应该要求客户机及服务器安装杀毒软件,利用软件对病毒进行甄别与抵御,及时检测违规操作,并对高风险行为做出提示,控制病毒对网络系统的威胁。第三,应用防火墙。目前一些软件公司在技术研发中,对防火墙的设计更加严谨,医院在网络安全系统建设中,应利用方便、快捷的防火墙进行定期扫描,及时检测出危险信息,控制恶意脚本在目标计算机上的执行过程,避免外网攻击的入侵,以及信息的泄露。第四,加强对工作站的安全管理。各个工作站在使用系统的过程中,都应该利用账号、用户权限、网络访问以及文件访问等实行严格管理程序规范进行安全控制,严格监控光驱、软驱,USB接口等外来信息的接入,提高安全管理效果。
3.3组织机构的构建与实现
在医院的网络安全保障系统建设中,工作人员是落实安全措施、执行安全方案的主体。再高端的硬件设备、再完善的软件系统都需要人的操作来发挥作用。因此,医院在网络安全保障体系的建设中,应该将人的因素纳入其中,并确定、尊重其主体地位,利用安全管理制度,提高工作人员构建网络安全保障体系的能力。具体来讲:第一,建立一支强有力的安全管理小组,体现组织管理效果,并在管理小组内部做好明确分工,确保一旦出现安全问题能够迅速做出反应。第二,完善安全制度建设,对于医院网络安全管理人员而言,制度建设是规范其安全行为,提高安全方案执行效果的关键,因此医院应该从多方面做出安全规定,明确管理细则,推动安全管理人员工作的有序开展。第三,规范内部人员网络操作,根据信息安全问题的调查显示,操作者的不规范操作是造成病毒入侵,信息泄露的主要问题。因此,在组织管理中,医院应对内部人员的违规操作进行严格控制。第四,做好应急预案的制定与演练,对出现的信息安全问题应做好各部门的联动,提高应急能力,及时止损。
4结束语
总之,进入到互联网时代,信息化已经成为医院内部管理创新的基本思路,信息化的实现需要网路系统的支持,但是在网络系统构建的过程中,无处不在的安全问题使得医院的信息化建设举步维艰。针对此,医院应该从网络安全系统的建设要点出发,增加对硬件设备的投入,做好软件系统的技术应用,加强组织管理建设,进而完成医院的网络安全体系构建与实现。
参考文献:
篇(2)
【关键词】无线传感器 网络 安全通信协议
1 无线传感器网络及其特点
1.1 无线传感器网络结构
无线传感器网络简称WSN,其归属于网络系统的范畴,具体是指应由部署在监测区域范围内的若干个传感器节点组成,以无线通信作为传输方式所形成的具有多跳性特点的自组织网络。在WSN中,传感器节点是基本构成单位,每一个传感器节点均是一个独立的小型嵌入式系统,图1为传感器节点的结构示意图。
WSN中除了包含大量的传感器节点之外,还包括数据汇聚、数据处理中心等节点和设施。汇聚节点是一个经过增强的传感器节点,它具有提供能量和处理数据信息的能力;数据处理中心则主要负责对网络进行配置与管理,并相关的数据采集指令,同时完成数据的接收。
1.2 WSN的特点
WSN与传统网络相比,不仅对通信能力、存储能力、节点能量供应有着极高要求,而且还具备自身应用特点,具体表现在以下方面:
1.2.1 规模大
需要在占地面积广阔的监测区域布置数量多的传感器节点。
1.2.2 自行管理
传感器节点通过飞机播撒等方式进行放置,放置位置带有随机性,需要WSN自行管理,并具备较强的网络配置能力。
1.2.3 动态拓扑
在WSN工作状态下根据监测环境的变化进行不断变化。
1.2.4 专门设计
由于WSN需要在千差万别的监测环境中采集不同的信息,所以必须根据具体应用,优化设计网络结构和网络协议。
1.2.5 以数据为中心
观测者向WSN下达事件监测命令,感知节点根据命令收集、处理监测区域内的数据,将其反馈给观测者。在WSN工作过程中,数据是网络运行的核心,观测者不关心网络本身的运行状态以及数据源于哪一节点,而只是对最终获取的数据感兴趣。
2 无线传感器网络安全协议的运用
2.1 WSN的安全需求分析
为保证信息安全,WSN的安全需求体现在以下方面:
2.1.1 机密性
要求WSN节点之间的消息传输安全,对消息进行加密,防止攻击者非法获取信息,只有授权者才能获取真实的信息内容,解密出正确的明文。
2.1.2 完整性
要求数据在整个传输过程中不能被篡改,利用消息认证机制保证消息内容的完整性。
2.1.3 可认证性
信息接收者要对网络传输中的数据进行认证,识别注入网络的虚假信息包,在确认信息来源于合法的节点后才可准许接收。WSN主要包括点到点认证与组播广播认证两种方式,前者要求节点接收信息的同时对信息来源和对方身份进行确认,后者则是针对单个节点向多个节点发送同一消息的情况进行安全认证。
2.2 安全通信协议设计与实现
在充分考虑WSN安全需求的基础上,本次设计采用了层次型拓扑结构的网络模型,为使描述过程更加方便,假定整个网络只有两层结构,即WSN被分解为多个簇,每个簇有一个簇头结点和多个簇成员节点组成。同时,假设WSN中全部传感器节点均为相同,并且这些节点在最初加入网络时所拥有的能量也是相同的,网络中所有簇头的选择全都由基站来完成,并假定基站具有永久可信任性,所有对网络的攻击均来自于外部。
2.2.1 分配密钥
当传感器节点加入到安全体系当中之后,基站便会将通信周期的密钥Kt发送给节点,随着Kt的加入,节点的加密密钥与认证密钥会发生周期性的变化,同时,基站的广播也可以密文的方式进行信息传送,上述措施的应用,使WSN的安全性获得了进一步增强。
2.2.2 加入安全体系
在网络运行中,各基站会不时地发送各类信息,这就要求节点具备消息识别能力,能够有效判断消息是否来源于授权的基站,与基站建立起信任关系。为此,必须将节点纳入到网络安全体系建设中,对基站的广播包进行认证。只有在安全体系涵盖所有传感器节点之后,才能实现对基站所发送信息数据的安全控制。
2.2.3 建立网络拓扑结构
簇头在层次型拓扑结构网络的建立中具有非常重要的作用,而涉及簇头的危害则具有一定的破坏性,鉴于此,在网络拓扑结构的建立中,必须对簇头进行身份认证。为实现这一目标,本次设计中对LEACH协议算法进行适当地改M,当基站接收到簇头节点信息后,会按照簇头的ID号与认证密钥对其进行身份认证,由此能够剔除掉非法簇头节点的假冒信息,并将剩余的合法信息以广播的方式发送出去。设计中还应用了SPINS安全协议框架中的μTESLA广播认证协议,由此实现了传感器节点对基站广播包的认证。由于簇头需要进行定期的选举,也就是簇头并非一成不变的,因此,拓扑结构也需要随之定期进行更新。
2.3 网络安全通信协议的运用
拓扑结构是安全通信体系的基本框架,在稳定通信的状态下,网络通信包括以下两种方式:一种方式为簇内成员节点与簇头节点之间的通信,通过计算通信周期内的加密密钥和认证密钥,对数据进行加密,对重放攻击进行有效遏制,保证信息传输安全;另一种方式为簇头节点与基站通信,由簇头节点接收合并信息,将其传输给基站进行认证。
3 结论
综上所述,本文在简要阐述无线传感器网络结构和特点的基础上,分析了无线传感器网络的安全需求,随后采用层次型拓扑结构网络模型及LEACH协议改进算法,对安全通信协议进行了设计,并介绍了该协议的具体运用。期望通过本文的研究能够对无线传感器网络安全的提升有一定帮助。
参考文献
[1]王东安,张方舟,秦刚,南凯,阎保平.无线传感器网络安全协议的研究[J].计算机工程,2005,31(21):10-13.
[2]李燕.无线传感器网络安全通信协议研究与设计(硕士学位论文)[J].大连理工大学,2006.
篇(3)
中图分类号:TP391.9
《计算机网络安全管理》是一门理论性和实践性很强的基础课程,本课程在本院是面向高职学生开设的必选课,课程理论与实践紧密结合,实用性强,目的在于使学生掌握计算机网络安全的基础知识、TCP/IP协议基础,能对网络入侵进行初步分析,掌握网络入侵工具的分类、网络安全的策略、防范措施及网络设备安全知识,了解常用的一些密码技术,如何利用现代教学软件来体现网络教学的实践环节,在有效的时间展示网络安全管理丰富的技术技能,作为现代教学需要利用好工具。本文就计算机网络安全管理中的仿真逐一进行总结分析,采用思科Cisco模拟器6.0版本,运行操作系统Windows XP或Windows 2000。
情景一密码设置和恢复:Cisco提供了5个口令可以来保护Cisco路由器,分别是:使能口令、使能加密口令、控制台口令(Console)、远程登陆口令(VTY)和辅助口令(AUX)。这里我们介绍前面4个口令设置:
1 使能口令
进入全局配置模式 Router#configure terminal
设置使能口令 Router(config)#enable password cisco //口令设置成功!
2 使能加密口令
进入全局配置模式 Router#configure terminal
设置使能加密口令 Router(config)#enable secret cisco
使能加密口令设置成功!
3 控制台口令(Console)
进入全局配置模式 Router#configure terminal
进入console口配置模式 Router(config)#line console 0
进行console口密码设置 Router(config-line)#password consolekey
使其口令生效 Router(config-line)#login //控制台口令设置成功
4 远程登陆口令(VTY)
进入全局配置模式 Router#configure terminal
进入console口配置模式 Router(config)#line vty 0 15
进行console口密码设置 Router(config-line)#password vtykey
使其口令生效 Router(config-line)#login //远程登陆设置成功
设置好密码,网络中就多了一道屏障,但当密码丢失遗忘,要进行密码恢复。如图1所示。
步骤1:设置密码
特意设置一个不容易记住的密码,如Router(config-if)#enable password 2q3qeqew
重新登陆后如果遗忘输入其他密码,登陆将出现Bad secrets的错误提示(见下图)
步骤2:路由器密码恢复(破解原有密码)
关闭路由器电源并重新开机,当控制台出现启动过程按下ctrl+break,进入rommon模式
首先改变配置寄存器的值为0x2142,这会使得路由器开机时不读取NVRAM 中的配置文件,然后敲reset重启路由器,退出setup 模式,敲no重新进入。如图2所示。
Router#write //先将配置写入内存
屏幕提示:Building configuration...
[OK] //配置文件保存成功
Router#copy startup-config running-config//把配置文件从NVRAM 中拷贝到RAM 中,在此基础上修改密码。-屏幕提示:Destination filename [running-config]?
489 bytes copied in 0.416 secs (1175 bytes/sec)
最后在进入配置模式,将密码更改为自己熟悉的密码,如cisco
Router(config)#enable password cisco //密码将更换为最新的密码cisco
Router(config)#config-register 0x2102 //将寄存器数值改回0x2102
Router(config-if)#interface FastEthernet0/0
Router(config-if)#no shutdown
Router #reload //保存配置,重启路由器,保存前,需要把各个接口一一打开。
情景二VLAN隔离局域网:在企业内部,共享资源的同时有些部门数据禁止其他部门访问,这时候除了设置密码保护,关闭不需要的共享,还可以进行VLAN划分局域网,来进行网络安全管理。划分VLAN之前,两台路由器可以相互访问。如图3所示。
Switch# vlan 2 name VLAN2
VLAN 2 added:
Name: VLAN2
Switch(vlan)#vlan 3 name VLAN3
VLAN 3 added:
Name: VLAN3//以上创建vlan,2是vlan的编号,范围为1~1001
Switch(config)#int f0/1
Switch(config-if)#switch
Switch(config-if)#switch mode access
Switch(config-if)#switch access vlan 2
Switch(config-if)#int f0/2
Switch(config-if)#switch mode access
Switch(config-if)#switch access vlan 3
此时在ping测试,出现不通的符号,这样就实现了利用vlan隔离的作用。如图4所示。
以上可以看出在网络教学过程中利用仿真软件直观生动,学生有兴趣学,老师也方便指导。后续将不断探索和实践,使其在教学过程中充分发挥作用。
参考文献:
[1]李杰阳.浅析计算机网络实训课题的设计及使用[J].科技信息,2011,20.
篇(4)
现在,随着网络的不断发达使得我们的生活产生了很大的改变,很大程度上提升了我们的生活质量。随着无线网络的普遍,不仅极大程度上的丰富了我们的生活,而且也极大程度上推动了医疗体系的发展。和有线网络相比,无线网络有着很多的优势,具有安装方便、信号强等优点,通过无线电波进行数据传播,更加的快速有效。但是,随之也产生各种各样安全问题,在无线网络的安全建设中,还是存在着一定的安全威胁。所以,现在所面临的最大的挑战就是安全问题。医院当中的工作区域或者是休息区域部署无线网络,更大程度上的方便了医疗工作者还有来就医的患者,从而使医疗工作更加方便的进行。
1无线网络安全建设措施
1.1概述现在在我国很多医院都已经大规模的实施,无线医疗技术方面的应用十分活跃,无论是大城市还是一些偏远城市都很大程度上的普及了这项技术。但是,和其他的医疗体系发达的国家相比还是存在着很多的不足之处。所以,我们如何加快的普及和推广这一项技术成为我们现在所面临的重要问题,而且,在发展无线网络的过程当中,排在第一位的还是安全问题,甚至还是一个社会道德与法律法规的问题。因此,我们要寻求一个相对合适的手段和采用一种独特的技术来进行管理,通过无线网络,利用高科技的设备,在医院可以实现现代化的发展,实现一种高端的医疗服务,从而能够提高病人对于本医院的满意程度,提升工作效率,美化病区环境。网络安全是现在很重要的一个部分,对于整个网络体系来说,在具有标准的安全体系之外,还要有相对应的安全策略。安全建设措施主要体现在几个方面,设备安全、连接安全、网络本身的安全和管理层面的安全。无线网络的组成由控制层、接入层和管理层三个方面。所以,我们要根据无线网络的特点来制定特定的安全建设措施。1.2安全策略集中控制所谓安全策略集中控制就是指将所有的安全策略都集中在统一的控制器上面,来进行数据的传递,是一种固定的网络构架。控制主要有几个方面,登记用户身份、管控上网的行为、安全加密、制定病毒的对策等。网络主要的管理员在主控制器上制定与之相匹配的安全策略,进而提升安全系数。1.3病毒入侵防护在访问网络时,病毒是一个需要我们要阻拦的东西,在无线网络访问互联网的时候,操作系统中可能就会出现病毒软件。所以,在用户认证之前,无线网络的终端就应该制作出相应的防病毒定义码对其进行检查。若是检查的结果并没有通过,那么就应该考虑到禁止访问互联网。在访问网络之后,可能会产生一些病毒性的网络残留,某些用户很有可能沾染病毒的一些数据,应该在防病毒设备上对其进行全面检查。检查的结果为通过时,就能够允许通过,若是结果显示的情况是不允许通过,那么则是要丢弃这些数据,用来保证系统没有被病毒入侵。
2应用实践
2.1无线网络的设计与部署无线网络在设计的过程中,主要是以太网来进行连接的,无线AP和一些主要的接入点构成了主要的无线网络。通过POE交换机进行网络交换,使用千兆以上的网链进行交换和传输。通过固定的分配器和一些必要的天线进行无线网络覆盖。相对来说比较大的室内则是通过放装的形式进行信号覆盖。2.2非法电磁信号检测对于非法电磁信号的检测主要是通过智能无线AP,那么现在主要有两种方法来进行检测:一种就是在一段时间内,通过AP自动进行扫描;第二种就是将AP设定成能够持续监视的模式来进行不断的刷新扫描,进行检测。选择非法的电磁信号进行屏蔽,并且按照所需要的频率进行扫描检测,并且在周围环境中进行信号的检测。通过这样的方式,自动识别并且检测非法的电磁信号,用来避免造成网络的系统崩溃。另外,在相对重点的区域更是要注重安全检测,避免潜在的危险。2.3双重认证鉴别为了保障网络的安全,需要对对接人的设备进行准入认证。通常包括几个方法来进行认证,有Web和MAC认证两个方面。两个不同的方法也对应着不同的系统问题,系统操作的差异化也会导致结果的不同,所以,对于不同种类的移动终端Web存在着很多的局限性,可以采用MAC双重鉴定方法来实现。在安装了相应的证书之后,并且所对应的地址一致,之后能够接入无线网络。这种双重认证鉴别的方式,能够更加安全的进行身份识别,从而使医院系统更加的安全。
3结束语
综上所述,很多医院的实践都证明了网络安全的重要性,无线网络的实施确实为医院工作者和来就医的人员带来了很多的方便,而且让医院的安全系统更加安全。通过无线网络的技术,医疗信息系统也大部分都是由无线网络所支持的。随着移动医疗设备在医院的普及,会有包括无线网络在内的更多更新的技术和理论的出现,那么为了保证网络的安全性,在新的网络形式之下,我们要做到的就是保障无线网络的安全问题,适应当下的安全形势管理需要,让无线网络能够更好的为人民服务。
参考文献
[1]徐金建,孙震,王浩.基于“互联网+”及无线应用安全问题探讨[J].中国数字医学,2015(07):98-100.
[2]杨眉,潘晓雷,彭仕机.医院无线网络安全建设措施及应用实践[J].医学信息学杂志,2015(02):41-44.
[3]自动化技术、计算机技术[J].中国无线电电子学文摘,2010(04):167-247.
[4]韩雪峰.浅析医院无线网络的实施[J].医疗卫生装备,2010(01):61-63.
[5]朱俊.无线网络安全问题及其防范措施[J].计算机与网络,2013(21).
篇(5)
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)08-1768-04
A Practice Platform of Network Information Security Curriculum Based on Mobile Agent
QIAO Zheng-hong, GE Wu-dian, XU Jie
(Institue of Science, PLA Univ. of Sci. & Tech., Nanjing 211101, China)
Abstract:Network information security course is a very practical course, the practical teaching of the course is lack of special experimental system. Aiming at this problem,The paper proposes a realization method of quasi real network confrontation training platform based on mobile agent, discusses system structure and main work flow of the platform.
Key words:network information security; practice teaching; training platform
随着计算机网络技术的高速发展,网络信息系统深入到人们工作和生活的每个角落。网络信息系统一方面给人们带来了极大便利,另一方面它的安全问题也日益显现,这一切迫切要求人们重视相关安全技术与手段的研究。但目前网络信息安全人才极度匮乏,远远不能满足社会的实际需要,必须加快网络信息安全人才的培养。为此,许多高校和科研院所纷纷开设了网络信息安全相关课程。该类课程的特点是发展迅速、实践性强,在课程教学中,既要重视基本理论、基本原理的讲授,同时也要强化学生对相关网络安全技术的应用,培养学生实践动手能力。
在网络信息安全相关课程实践教学环节中,目前主要的做法是:根据课堂讲授的网络信息安全理论,然后要求学生在实验室熟悉少许网络安全工具,并能够根据网络安全的某一方面内容开发设计一种工具。采取这样的实践教学方法,学生通过有针对性的训练,可以较好地掌握实验内容,但由于只停留在某一个或几个具体的点上,学生对系统总体情况的掌握比较缺乏,不能够全面掌握实践内容,实践教学效果一般。
针对该类课程在实践教学中存在的问题,需要设计一种专门的实验平台,该平台能够让学生熟悉各种的安全技术和手段,有效地进行网络攻防训练。
1系统设计思想
在设计系统平台时,首先要考虑建设的系统是基于什么环境的?通常有三种设计思路:完全真实对抗环境、模拟对抗环境和准真实对抗环境(介于前两者之间)。其中,在完全真实对抗环境下,网络攻防训练完全由学生自主控制,考虑到实际网络情况比较复杂,系统的结构可能相对复杂,同时涉及到较多的认为因素,使得训练过程不太容易协调和控制;在模拟对抗环境下,系统需要全面分析和梳理已有的攻防战术和手段,并构造各种不同的虚拟场景,通常这种设计有比较大的工作量,后期也难以升级和维护。基于上述的分析,本文在充分考虑了系统结构的复杂性、设计工作量、后期升级和维护等各方面的情况,提出了一个基于准真实对抗环境的网络攻防训练实验平台。
1.1系统设计目标
网络安全对抗训练是一种网络信息安全类课程实践教学平台,也是学生进行网络对抗训练的专门系统。该系统让学生在一个网络攻防对抗的整体环境中,通过相关的技术应用带动理论和原理的学习和理解,训练方式主要是人机对抗。
在该课程实践教学中,每个学生可以对自己的训练情况进行分析和总结,了解自己对网络对抗各个环节的掌握情况,找出薄弱环节,从而突出训练的重点,提高训练的针对性,从而提高实践教学效果。
1.2系统设计原则
在进行系统规划和设计时,要充分利用已有的信息和技术,并考虑系统以后的扩展,有几个方面需重点考虑:
系统的集成性。在系统设计时,要充分考虑已有信息的集成、共享和交换,这一点至关重要。这些信息不仅本系统功能模块可 以有效使用,而且以后更新的功能模块也可以用。
技术的先进性。要坚持从实际出发,以最大限度满足用户需求为基本原则,合理选择先进的主流技术、设计思想和设计方法,力求做到先进性和实用性的统一。
产品的成熟性。在系统设计时,应尽量采用成熟的可重用模块,同时系统的功能要容易扩充、容易使用、运行稳定,并且也便于后期的维护。
设计的规范性。目前主流的技术都有其特定的标准和规范,在系统设计的过程中,要充分地加以考虑。
系统的可扩展性。网络攻防技术与手段是在不断变化和发展的,在系统设计时要综合考虑对当前的实际和将来的变化,使系统具备可扩展性,能够支持尽可能多的网络攻防手段。
2系统架构
在系统设计时,该实验平台架构在实验室内部相对成熟的局域网之上,采用准真实网络对抗环境,尽可能反映网络的实际情况,同时又具有一定的可控性,以便降低系统设计的复杂性。系统的工作模式采用B/S结构,整个系统主要由三个部分组成:用户接口层、核心功能层和数据层,主要的功能模块有用户接口及运行环境、系统控制中心、自适应任务均衡处理、智能分析处理以及网络攻防和底层数据库,系统的功能逻辑划分如图1所示。
图1系统功能逻辑图
为了更好地满足设计原则及系统的特点,该实验平台采用基于移动Agent的设计方案。在这种方案中,所有计算机分为两种角色:客户端和服务器。其中,客户端的配置比较简单,只安装浏览器和Agent运行环境,平台其他的功能模块都安装在服务器中,这样,系统所有的核心功能都集中在服务器上,学生日常训练只接触客户端,便于系统管理和升级维护。在具体设计时,主要采用JSP语言,服务器端可以通过ServLet访问数据库,以及移动Agent库。系统各逻辑功能模块之间的相互关系如图2所示。
图2系统架构基本结构图
3系统主要功能模块
该实验平台涉及到网络信息安全技术的诸多方面,系统功能较多,其中移动、任务均衡处理是两个非常重要的模块,其他各项主要工作均与之相关。
3.1移动Agent
在本系统中,移动Agent具有非常重要的作用,无论是系统管理维护、网络攻击、防护检测,都是通过移动来完成的,移动是系统核心的功能模块。每个完成特定的任务,具体来说,移动主要有以下几类:
系统管理与维护Agent:在平台使用的过程中,系统维护是一项经常性的工作。管理员可以利用实验网络环境,派遣系统维护Agent完成设备管理与维护工作,例如,可以安排Agent移动到主机,检测主机运行状况,然后将结果反馈给管理员,管理员也可以把一些简单的修复工作交给Agent去完成。
攻击Agent:在进行攻击训练时,用户将训练科目提交给服务器,服务器依据用户需求,在相关的主机上部署用于攻击训练的攻击Agent,利用它做一些准备工作,以及在结束后将训练结果上传。例如:在网络攻击中,端口探测是常用的一种技术手段,用户在进行该类攻击训练时,首先由客户端(用户)发出训练请求,服务器收到请求后,通过均衡处理分配合适的主机及其IP地址,同时,派 遣端口探测Agent到探测目标上,再由该Agent收集主机的端口信息,并将探测结果返回服务器,训练结束后,客户端提交探测结果。用户上报的信息到达服务器后,服务器会将其与Agent搜集的探测结果进行比对,最终得到用户的训练结果。
防护检测Agent:在学生进行防护训练前,系统可以依据防护科目,在相关的主机上部署用于防护训练的防护Agent,该Agent会根据防护的目的,逐条检测主机的设置,进而判断设置的安全性。例如,操作系统安全是信息安全的一个重要的方面,用户在练习这方面防护时,根据训练目标和需求,先对系统进行相关配置,然后向服务器发送请求,告诉服务器配置完成,服务器接受用户请求后,派出防护检测Agent到客户端,根据安全配置的指标,全面系统地进行检测,然后向服务器报告检测结果。
3.2自适应任务均衡处理
该模块主要有策略管理器和任务均衡处理器两部分,策略管理器用于记录本系统安装网络的基本情况,任务均衡处理器用于协调攻击与防护训练的顺利进行。
3.2.1策略管理器
随着网络技术的进一步发展,网络攻防手段的更新,所要设计的对抗科目将逐渐丰富,而实验主机的硬件条件(数量、类型等)相对有限。针对这种矛盾,在系统设计时要考虑如何尽可能支持多种对抗科目,如何充分提高有限训练主机的使用效率。在策略管理器中,记录了系统支持的所有攻击科目、各类科目之间的互斥关系、被攻击主机各种类型的数目等方面的情况。
3.2.2任务均衡处理器
系统在接收到用户的训练请求后,会为学生指定目标主机,如何选择合适的目标主机呢?首先由任务均衡处理器根据策略管理器中记录的数据,在保证网络带宽、系统内存、CPU使用率等的前提下,尽量先安排可兼容已起用的训练主机,直至所有的训练主机均被起用。任务均衡处理的基本原则是充分利用每一台训练主机的资源,具体的做法是:
1)根据学生的训练科目,查询策略管理器,得到无法和请求科目在同一训练主机同时运行的科目名称;
2)查询策略管理器,获取训练主机中已经开展的科目,通过进一步分析可以知道没有与请求科目互斥科目的训练主机地址;3)利用(1)、(2)的结果,查询策略管理器,得到可以运行请求科目的主机地址;
4)根据(3)的结果,对每一台主机进行综合分析,从可选训练主机集合中选择合适的训练主机。
自适应任务均衡处理器模块主要的工作流程如图3所示:
图3任务均衡负载流程图
4系统工作流程
本系统主要有两大功能:攻击训练和防护训练,在使用系统时,首先进行用户身份鉴别和访问控制,而后用户可以根据自身的实际情况选择训练内容,以下分别介绍攻击训练和防护训练工作流程。
4.1攻击科目训练
攻击科目主要训练学生对各种攻击技术与手段的应用,进一步理解相关的网络信息安全的基本理论、原理。具体的工作流程:1)用户选择训练科目名称,然后向服务器发出请求;
2)服务器收到用户的请求后,进行均衡处理,并调用相关的Agent完成训练进行前的一些准备工作;
3)准备工作完成后,在训练任务可以进行的情况下,服务器任务主机的相关信息,例如:IP地址等。当然,训练科目不同,服务器给出的信息也不同。除此之外,服务器还会给出一些提示,并通知用户训练开始;
4)用户收到服务器返回信息后,依据训练科目,选择合适的工具进行攻击试验;
5)攻击结束后,用户按照系统设定的格式,将训练结果上传给服务器,并等待训练结果的返回。
6)服务器比对用户上报的训练结果和攻击Agent收集的信息,然后返回用户最终的训练结果。
4.2防护科目训练
防护科目的训练促进学生掌握各种网络信息安全设置方法,熟练运用各种防护技术和手段,进一步理解相关的网络信息安全的基本理论、原理。具体的工作流程:
1)用户选择训练科目名称,然后向服务器发出请求;
2)服务器收到用户的请求后,运行均衡处理,返回相应结果;
3)用户根据训练任务与目标,进行相关系统防护的配置;
4)用户对系统进行必要的配置后,通知服务器来检测配置效果;
5)服务器发送相应的检测Agent,检测Agent返回训练效果到服务器;
6)服务器发送训练效果给用户。根据反馈的结果,用户可以评价系统配置效果,并作进一步的改进。
5总结
21世纪是信息时代,信息已成为社会发展的重要战略资源,社会的信息化、网络化已成为当今世界发展的潮流和核心,网络信息安全在信息社会中将扮演极为重要的角色。高校是信息安全人才培养的主渠道,强化网络信息安全相关课程的实践环节,提高学生网络信息对抗能力,显得尤为重要。为此针对本课程给出了一种网络安全对抗训练平台的主要设计思路,并介绍了该系统主要的功能模块。
参考文献:
[1]周龙骧,刘添添.移动Agent综述[J].计算机科学, 2003(11):19-23.
[2]刘军,周海刚,于振伟.理工大学教学研究文集[C].北京:军事谊文版社,2008.
篇(6)
我省区域纵深近1800公里,辖区面积大,监管范围广,为提升食品质量监管的科技含量,省局建成了具有“统一集中受理,分工协作办理,应急指挥调度,信息汇总分析,消费警示公示”等五种功能相结合的行政执法监管网络体系,形成了以省级指挥中心、市(州)、县(区)工商局、专业分局和工商所四级联网。在此基础上,开发完成了12315消费者申诉举报软件系统、工商综合业务软件系统、食品质量监管网络软件系统等,实现了消保维权和食品质量监管的网上咨询、网上受理、网上调度指挥、网上跟踪督办、网上应急处置。从此,从消费者申诉举报、执法检查、食品质量监测、案件查处等途径获得的信息以及消费者协会、各行业协会提供的食品质量的信息,均集中于省局中心数据库,进行综合分析,统一调度,形成食品质量监管网络使食品质量监管实现了跨越式发展。
二、运用现代科技手段。加强食品质量检测
为强化食品质量检测,2006年省局投资800余万元给全省工商系统配备了1台食品安全监测指挥车、17台食品安全检测车和500个食品安全快速检测箱,建起了18个流动食品检测室和500个监测站(点),并开发了全省食品质量监管网络系统软件。为确保全省系统食品安全检测工作有序开展,2006年9月,省局组织对18台食品检测车的36名车载仪器工作人员进行了统一培训,对500个食品安全检测箱1000余名工作人员以市、州局为单位组织了分片巡回培训,提高了食品检测人员的操作技能,为流通领域食品安全监管提供了人才和技术保证。
篇(7)
传统防火墙只能提供一般意义上的数据包转发和拦截功能,以及一些简单的包检测机制。UTM和传统防火墙相比,确实增加了很多过滤功能,包括应用层的识别和过滤等,但是UTM的致命缺陷是由于采用串行扫描方式,处理效率低下,尤其在激活多种扫描过滤功能后,整体性能将使企业网络受到很大影响。要应对Web 2.0应用给网络带来的影响,需要通过下一代防火墙实现,集成了网络安全、内容安全以及基于七层应用管理的网络接入控制保护,防御来自应用层的攻击,基于应用层的进出策略控制,在局域网内提供基于应用层的路由优先级控制和路由流量控制。现有的防火墙产品和UMT设备由于缺乏基于应用层的控制手段,已被证明无法应对各种已有的或者日益增长的网络威胁。即便是增加了单点解决方案,虽然能提供对email业务、Web应用、远程接入、即时通讯软件等病毒防护,但是运营成本也会大幅度提高。而这些问题都可以通过NGFW解决,同时NGFW采用了高效的并行处理机制,可以有效解决UTM的本质缺陷。
性能差异是UTM设备和下一代防火墙设备最根本的区别,这是由于完全不同的功能实现机制导致的。简单来说,梭子鱼下一代防火墙特有的ACPF防火墙引擎技术,通过一次性的解包,并行处理所有识别、扫描、过滤与控制,大大提升数据处理效率。
硬件操作平台:作为边界安全设备,梭子鱼自身的健壮性极强,可防御各种攻击。梭子鱼NG防火墙建构在Linux操作系统之上,迄今已有超过10年的经验。经过固化处理,基础性网关及路由功能已融合到Linux内核中。这样,系统既能防御那些针对自身的攻击,也能通过NG的安全引擎检测所有进出流量。
篇(8)
[DOI]10.13939/ki.zgsc.2016.02.111
构建安全网络、营造网络安全环境都需要网络安全协议。人们对应用于计算机中的安全协议做了大量的分析研究,就是为了提高网络信息传输的安全性,使之能从根本上保证网络安全,以免造成因网络安全等级不够而导致网络信息数据丢失或者文件信息丢失以及信息泄露等问题。网络安全协议课程包括对密码学和计算机网络的学习,网络安全协议比较复杂,无论是对于教师还是学生而言,难度都比较大,所以学生只有在加强自身的理解与应用能力之后,才能有利于新知识的继续学习。针对网络安全协议中的协议原理和细节,对于教师而言,如何让学生理解非常重要;对于学生而言,如何掌握并应用非常重要。所以,教师对于网络安全协议课程的实践教学设计不能马虎。
1实践教学设计总述
常用的网络安全协议包括Kerberos认证协议,安全电子交易协议SET、SSL、SHTTP、S/MIME、SSH、IPSec等。[1]这些安全协议属于不同的网络协议层次,能提供不同的安全功能。特别是在IPV6当中采用IPSec来加强网络的安全性。并且在开放系统互连标准中,网络协议被分为7层,其中物理层、数据链路层、网络层、传输层和应用层都是常用的。所以,由于每种网络安全协议内容丰富以及它们都有各自的优点和缺点,致使在实际应用中网络安全协议更具复杂性。教师需要通过实践教学设计来实现让学生全面理解和掌握协议中的原理和细节,并能够有效应用。首先要做到让学生由表及里的、由浅入深的认识和学习网络安全协议,其次要做到让学生能应用到网络安全协议,最后达到创新的目标。所以实践教学内容要划分为阶段性的,才能让学生逐步透彻地掌握网络安全协议中的方方面面。
2SSL协议的实践教学实施
2.1认知阶段
教师在本阶段的教学内容就是让学生认识SSL协议。需要掌握以下内容:
SSL采用公开密钥技术,其目标是保证两个应用间通信的保密性和可靠性,可在服务器和客户机两端同时实现支持。目前,利用公开密钥技术的SSL协议,已成为因特网上保密通信的工业标准。SSL协议中的SSL握手协议可以完成通信双方的身份鉴定以及协商会话过程中的信息加密密钥,从而建立安全连接。SSL握手协议如下图所示。
SSL握手协议
而在SSL协议中,获取SSL/TLS协议通信流量,直观地观看SSL/TLS协议的结构就需要使用Wireshark抓包分析工具软件。通过流量抓取分析来让学生掌握SSL/TLS的具体内容。
2.2体验阶段
经过初步的学习,要让学生体验SSL的应用范围,对SSL的应用过程有一个直观的感受和体验。学生用于数字证书生成、发放和管理需要完成CA的安装与配置,其次分别为IISWeb服务器和客户端申请、安装证书,再在服务器上配置SSL,通过以上步骤完成IIS服务器中的SSL/TLS配置来建立客户端和服务器的连接。[2]此阶段的具体应用会让学生深入的了解SSL/TLS中的有关内容。
2.3应用阶段
应用阶段的教学内容是前两阶段教学内容的升华,它会使学生具备利用SSL/TLS协议进行通信的编程能力。而要达到这点,就需要通过利用OpenSSL,实现一个简单的SSL服务器和客户端。这个阶段的工作量不小,学生需要在教师的指导下分组进行。进行过程中主要环节包括,首先,学生利用自己熟悉的系统和开发平台来完成OpenSSL的编译安装。其次,学生参考已有的源代码来完成VC++编译环境的设置。[3]再次,学生利用OpenSSL的证书生成命令性工具生成服务器和客户端数字证书。最后,通过完成简单的TCP握手连接和通信,并加入SSL握手功能来实现SSL/TLS编程。
2.4总结提高阶段
课堂上的理论教学和阶段性的实践教学对于学生熟悉掌握SSL协议具有很好的作用,但是还存在某些方面的不完整性。例如,通过研究和实际应用SSL/TLS协议的过程中,如何进一步改善SSL/TLS协议所存在的问题。这些都是需要学生去解决的。在解决过程中,学生就能具备进行高效学习的能力。教师可以采取向学生提问的方式来进行这一阶段的教学内容。问题可以是多方面的,例如通过前几阶段的认识和实践,SSL/TLS协议还存在哪些不足?并通过一个实际的SSL/TLS协议的应用案例,发现SSL/TLS协议还有哪些局限性,并解决这些局限所带来的问题。在此阶段内,学生和教师要进行不断的交流和讨论,并找出相关事实依据来论证自己的观点。例如,针对Heartbleed漏洞,学生需要了解漏洞产生的原因和危害,并提出解决措施。通过分析发现是OpenSSL开源软件包的问题导致了此漏洞出现,与SSL/TLS协议并无太大关系。经过对此问题的分析研究,我们可以发现,协议本身的安全并不代表能在实现协议过程中避免所有的不安全因素。
3实践教学效果评价
各个阶段的实践教学过程需要教师进行精心的设计和把握,并通过具体的实施实践才能验证实践教学设计的是否合理,是否有效。由于网络安全协议课程本身就非常复杂,再加上具体实施过程中内容、方法和难度有所不同,就需要根据学生的反馈情况来进行及时的调整。教师要从各项反馈指标进行自我反思,并与学生进行沟通。同时,在此过程中,也要认真检查对学生的作业布置,关注学生是否掌握了有关网络安全协议的技能,注重学生的完成情况和学生对于实践教学过程中不足之处的意见。
4结论
网络安全协议内容复杂,具体应用过程及各项技术操作也较为烦琐,因此,单单只是针对SSL/TLS协议的实践教学做了简要的设计并不能移植到所有的网络安全协议课程的教学中去。若要讲关于网络安全协议中链路层和网络层,那么第三阶段的实践教学内容就不具意义了。而要讲应用层的安全协议,第三阶段的实践教学内容相比于第一阶段和第二阶段就重要得多。对于信息安全专业的学生来说,只有掌握好计算机网络和密码学的课程内容,才能继续网络安全协议课程的学习。因为网络安全协议课程的理论性和实践性都非常强。在实践教学的实施过程中,不但要让学生充分品尝动手的乐趣,还要让学生掌握网络安全协议的具体知识。同时还要注重培养在网络安全协议方面的应用型人才。
参考文献:
篇(9)
随着我国信息化进程的不断深入,信息安全问题成为政府和企业广泛关注的焦点问题,而信息安全人才成为制约我国信息安全发展的瓶颈。[1]信息安全人才培养离不开信息安全的专业建设和课程建设,也离不开一些课程的教学改革研究。“网络安全基础”就是信息安全专业的一门专业必修课,它在整个专业体系中扮演着越来越重要的角色。因此,如何进行信息安全专业的“网络安全基础”课程教学改革成为当前亟待解决的问题。
网络安全是一门涉及计算机技术、网络技术、通信技术、信息安全技术、信息论与编码、统计学等多门学科的交叉学科,“网络安全基础”是讲解与网络安全有关的最基础的原理、技术及方法,它有着知识更新快、量大、多学科交叉、难以掌握的特点。对于信息安全专业的学生而言,“网络安全基础”的教学学时相对偏少,而且部分内容晦涩难懂,理解起来比较吃力,学生普遍反映比较难学。所以如何在有限的教学学时内,不但将“网络安全基础”这门课的基本理论、基本知识讲深讲透,而且让学生掌握基本的实际网络技能是每个任课教师的一项艰巨任务。[2]因此有必要转变不适应时代要求的过时教育观念与人才培养模式,克服以往在计算机网络课程教学中存在的诸如教学内容偏旧、教学手段单一、知识讲解囫囵吞枣、实验方法落后的缺陷与不足,从转变教育思想、更新教学内容、强化素质教育入手,深入进行教学改革,将人才培养从注重知识传授转变到强调知识传授与创新能力全面发展并重的模式上来,[3]为培养信息化社会所急需的信息安全人才打下良好的基础。
一、 教育观念与教育顺序上的逆向
在网络技术越来越普及的今天,学生每天都在感受网络技术的变革以及给生活带来的影响,我们在这门课程的教学中,应该切实改变教学观念,从以往单纯按照课本知识的填鸭式教学转变到以学生为教学中心上来,在对基本知识、基本理论传授的基础上,更加注重对学生日常接触到的网络技术进行讲述,这样才能充分调动学生的积极性,发掘学生对知识获取的好奇心。反过来,这种教学方法对教师本身提出了更高的要求。在以学生为中心开展的教学活动中,学生由之前的被动受教育者转变成主动的知识获取者。而在教学顺序上,目前的教材一般是以网络七层或者五层体系结构为主干来展开的,而以往的教学也是从体系结构的底层逐层地往上讲解。这样的讲解有它自身的优点,但是有一个很大的缺点就是学生一开始就接触比较抽象的网络底层知识,容易使学生感觉所学知识无用,这样不利于培养学生的积极性和认同感。而我们在教学活动中,采用的是一种自上向下的教学顺序,先从学生平时都经常接触的网络应用讲起,然后层层往下讲解,直至最后将基础理论讲透。这种逆向的教学方式,学生反映良好。
二、多种教学方法与手段的协调采用
良好的教学方法与手段是提高教学质量的重要环节。因此我们对传统的填鸭式教学方法与手段进行了改进,在充分利用传统方法、手段教学的同时,积极采用多种形式的教学方法,如讨论式教学、推演性教学、理论联系实际教学、逆向教学等。而在教学手段上,我们一方面继承传统手段的优势,另一方面注意吸收其他如多媒体教学、网络答疑等教学手段。
第一,引进先进的教学手段。利用多媒体技术,采用观看多媒体课件等教学手段,使抽象的计算机网络理论更加形象化。例如我们将电路交换、分组交换、报文交换制作成动画课件,大大提高了课堂的趣味性,不但加快了教学速度,也能对重点问题、基本理论进行透彻的讲解。
第二,采用课堂讲解与师生讨论的方法。改变沿袭已久的满堂灌、填鸭式授课方式,这样能激活学生的思维,提高学生学习的积极性。对于计算机网络的基本概念,如分层体系结构与TCP/IP协议等,主要以教师讲授为主;而对于IP地址的概念,以学生们熟悉的网络聊天为例,提出问题:如何知道同伴的大致位置?通过引导,学生们可以知道:聊天时由于对方发给你的数据中包含有和你交流时的计算机IP地址,而IP地址是通过中国互联网信息中心根据一定规则分配的,因此根据IP地址就可以知道同伴的大致位置。
第三,在教学中应经常使用归纳、小结。这样做有利于温故而知新、理出头绪。比如介绍交换方式类型时可以归纳:电路交换、分组交换(包括数据报和虚电路)、报文交换三种交换的不同点、优缺点。可以从信道占用方式、排队方式、带宽利用、信道利用、连接方式、协议复杂度、时延大小、传输速率的高低、传输顺序、灵活性等方面进行比较。通过适时的小结与归纳,不但能对基础知识加以巩固,还有助于提高记忆效率,便于迅速地提高知识水平。
第四,鼓励学生上网自主查阅文献资料和使用网络工具。针对部分学生自我学习自觉性不高的特点,提出一些与实际结合比较紧密的问题,让学生通过上网查阅资料的方式去解决,提高学生的学习兴趣和解决实际问题的能力。比如可以让学生查阅常用网络产品的价格、性能、相关技术及应用领域;如果通过普通方式不能看到网友计算机的IP地址,如何才能看见。针对所提的问题,可以给学生一些提示,通过解决这些实际问题,不仅可以加强学生对网络知识的理解,培养学生主动学习的良好习惯,还可以提高学生运用所学知识解决实际问题的能力。
三、评价依据的多样性
对于信息安全专业的学生,应注重实践操作能力与应用能力,传统的考试方式只是让学生苦于死记大量枯燥的网络原理与理论,造成学生“学习为了考试,考试完了全忘”的情况。仅凭卷面考试来确定学生的成绩是不全面的,因此需要完善学生成绩评价措施,使学生理论考试成绩、实践考试成绩和自愿性作品在总评中各占一定的比例。[4]理论考试只考查最基础的网络原理,实践考试主要考查学生应用网络知识的能力。这既让学生重视了基础理论的学习,使他们掌握了一些必备的网络原理和理论,又使他们进行了理论联系实际的操作,掌握了比较重要的操作技能。
在成绩评定过程中,也考虑学生的自主创新意识。也就是鼓励学生在期末自愿提交自己的小作品来进行最终成绩的加分。我们鼓励有创造性的学生通过独立思考,自主查找文献资料与利用网络工具,积极动手设计自己的作品来提高自己最终的课程成绩。这在提高学生的课程综合素质,培养独立思考能力和创造能力方面具有一定的激励作用。
四、结束语
信息安全人才培养是国家建设信息安全保障体系和社会信息化健康发展的重要保证。随着学科的交融以及新技术的不断涌现,传统的教学模式和教学内容日益受到冲击。在这种情况下,如何搞好信息安全专业的“网络安全基础”课程的教学,提高教学质量,为社会培养出既具有丰富的理论知识,又具有较高的分析、设计、开发、管理与应用技能的信息安全人才,是一个迫切的研究课题。
参考文献:
[1]吕欣.关于信息安全人才培养的建议[J].计算机安全,2006,(2):44-46.
篇(10)
山西省体育局财务核算管理中心(简称“我中心”)承担着山西省体育局所属26个事业单位,35个会计账务核算账套、固定资产管理账套以及国库支付管理、财政供养管理、预算管理、年终决算等工作任务。部分单位跨地域分布在不同城市,客观现状使我中心的会计核算网络系统面临着多任务、远程、安全的需求。我中心通过不同网络的优化组合,实现了多任务管理,从而提高了网络资源的使用效率。
一、建立网络体系的思路
一是以现有的会计核算局域网为主体,将会计账务、报表、固定资产账表等软件系统建在局域网服务器中,每个终端在局域网上完成核算、报表等工作的同时,也可以很方便地转入国库支付管理专用网或Internet互联网中,完成所承担的工作任务和对信息资源的利用。
二是将国库支付专网与会计核算局域网部分终端机相连,使其可在专网与局域网之间转换,完成两种不同网络中的工作任务。国库支付专网主要承担直接支付、授权支付、额度计划、财政预算下发、财政各项网上通知等。
三是将Internet互联网与会计核算局域网部分终端机相连,使其可在Internet互联网和局域网之间转换,通过中间媒介(优盘、移动盘等)实现在互联网上远程数据传送以及广泛的信息需求。
四是根据每个网络终端机所承担的工作任务,规划、选择进入不同网络的角色。例如:终端1至5承担局域网的会计核算与国库支付专网的工作任务,终端6至10承担局域网的会计核算工作任务与Internet互联网资源的使用,也可以将终端7至15规划为国库支付专网与Internet互联网的组合使用。这种划分方式可以灵活组合,可根据终端操作人员承担的工作任务而定。
二、建立网络体系的前提条件
一是目前财政国库支付管理网络系统已运行多年,随着部门管理的需求,会计集中核算局域网系统也得到广泛使用。Internet互联网已成为媒体信息获取的重要载体。一些部门或单位都已具备这三种现成的网络体系,通过优化组合可以实现多任务工作管理模式。
二是可在所有的网络终端机中增加所需的第二块硬盘,即实现物理隔离的双盘双操作系统工作方式,达到一台终端机当两台使用的效果,最大限度地利用硬件设备资源。
三是在所有的网络终端机中加装所需的网络隔离转换卡,用以达到不同网络之间的转换目的,即内网与外网的区分。将会计集中核算局域网系统设置为内网,国库支付网络系统和Internet互联网设置为外网。此方法可将一台网络终端机变为两台使用,充分利用不同的网络资源。同时,提高了工作效率,更重要的是确保了会计集中核算内网的安全。
三、实现三种网络组合的具体方法
一是将会计核算局域网络终端机中加装硬盘,同时理顺两个物理盘的从属关系,即在主板CMOS里IDE Primdry Master与IDESecondary Master的关系都显示正常,对下一步连接网络隔离转换卡提供正确的关联保证。
二是首先根据网络隔离转换卡的说明书,将卡安装到主板PCI的扩展槽上,将卡的主供电源线与机箱电源相连接,并将卡的IDEPrimdry的接口用IDE数据线与主板的IDE Primdry的接口连接。然后,将卡上的内、外网电源线插头分别与内、外网的两个硬盘连接。通常将CMOS里IDE Primdry Master所识别的硬盘设为外网,另一个即为内网。同时,将硬盘跳线也进行匹配设置。最后,将隔离转换卡上标注的外网IDE接口通过数据线连接到外网硬盘的接口上,标注的内网IDE接口通过数据线连接到内网硬盘的接口上。到此,主板、电源、隔离转换卡三者之间的关系已连接到位。重新启动终端机,检查各连接的硬件设备是否可以正常运行。如若正常,安装隔离转换卡驱动程序和内外网转换软件,各终端机可依次调试安装。
三是将会计集中核算局域网每个终端机原有的网线水晶头插入主机箱后的隔离转换卡内网接口中,启动系统,根据提示选择进入内网,运行局域网上各软件系统以验证工作状况。由于每个终端机原有的局域网IP地址不变,内网连接状况应当正常。也可通过用ping命令等网络诊断测试工具检测终端机与服务器之间的连接状况是否正常。例如:在DOS下运行ping 192.168.0.1,根据此命令列示的信息判定结果。
四是将国库支付网络专线经路由器分配给所需的每个终端机,经合理布线后,把网线水晶头插入主机箱后的隔离转换卡外网接口中,启动系统选择进入外网,点击控制面板,选择“网络和Internet连接”图标中的“网络连接”,在“本地连接”中点击右键。在属性选项中点击“Internet协议(TCP/IP)”,选择“使用下面IP地址(s)”。例如:第一个网络终端机的IP地址:(192.168.79.1),子网掩码:(255.255.255.0),默认网关:(101.120.1.1),首选DNS服务器(P):(101.120.1.1);第n个网络终端机的IP地址:(192.168.79.n)。子网掩码:(255.255.255.N),默认网关:(101.120.1.n),如此类推。终端机IP地址设置完成后,将“本地连接属性”的复选框“连接后在通知区域显示图标(w)”选中,以便在任务栏中显示网络连接状态。 在外网操作系统Internet Explorer浏览器地址栏中输入“http://jcgc.sx.mof”。进入省级城域网“山西省政府财政管理信息系统”。即原“金财工程”国库支付管理系统。将此网址保存在收藏夹中。并通过IE浏览器工具菜单中的Internet选项,点击“使用当前页”按钮,完成进入“山西省政府财政管理信息系统”的使用设置。
五是将Internet互联网络线经路由器分配给所需的每个终端机,经合理布线后。把网线水晶头插入主机箱后的隔离转换卡外网接口中。启动系统,选择进入外网。点击控制面板选择“网络和Internet连接”图标中的“网络连接”。在“本地连接”中点击右键,在属性选项中点击“Internet协议(TCP/IP)”选择自动获得lP地址(0)。设置完成后,将“本地连接属性”的复选框“连接后在通知区域显示图标(w)”选中,以便在任务栏中显示网络连接状态。
在外网操作系统Internet Explorer浏览器地址栏中输入如:http://省略的网址,进入新浪网主页面。将此网址保存在收藏夹中,并通过IE浏览器工具菜单中的Internet选项,点击“使用当前页”按钮,完成进入“新浪网主页面”的使用设置。
在上述方法中,主要是通过使用网络隔离转换卡完成不同网络间的转换,同时保证会计核算内网的安全。更重要的是,要牢固树立网络体系的安全观念和意识,防息于未然,严格执行电算化规章制度,做到措施到位,常备不懈。在局域网服务器和每个终端机的内、外网系统全部安装一键还原软件和杀毒软件,杀毒软件随时升级,定期更新。用于内、外网数据信息交换的优盘要自带杀毒系统,并人手一个。所有与外部交换数据信息的移动盘、优盘、磁盘。须经专人检验方可进入使用。最大限度地防堵安全隐患。
四、多任务网络体系的运行效果情况
篇(11)
为了准确掌握我校学生网络信息安全意识现状,为分析原因、加强防范、堵塞漏洞提供依据,我们在部分学生中专题开展了网络信息安全意识问卷调查。从调查反馈的情况来看,我校学生网络信息安全意识相对有一定的基础,但总体仍不够强,值得我们深入分析研究并采取有效对策,及时全面提高学生的防范意识和防范能力,在充分享受互联网和信息社会带来好处的同时,严防网络信息违法犯罪现象和受骗受害现象的发生。具体报告如下:
一、调查概况
本次调查对象为东校区学生,采取随机确定的方式,共发放问卷300份,收回291份,回收率达97%。调查的主要方式是实际接触被调查者,交谈了解基本情况,要求被调查者独立填写不记名调查问卷。调查得到了同学们的积极支持,大家普遍比较认真地回答了每一个问题,并且比较真实地表述了自己的情况、表达了自己的想法。
二、数据分析
本次问卷调查共15道题目,以多选题为主,占三分之二;另有单选题5道。内容主要涉及大学生网络信息安全知识的掌握、对本人及他人信息安全的认知态度等多个方面,具体分析如下:
1)网络信息安全知识了解情况。291名被调查大学生中,有93人表示经常有意识地了解网络信息安全知识,占31.96%;有84人表示非常少;有65人表示偶尔了解;有49人表示从来没有了解。说明大学生普遍还没有及时掌握必要的网络信息安全知识。
2)个人信息安全的认知情况。291名被调查大学生中,有98人次认为个人信息安全是指在使用计算机时个人信息不泄露或不会被他人获取;有74人次认为是信息网络的硬件、软件及其系统中的个人数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常的运行,信息服务不中断;有63人次认为是日常生活中个人信息不被他人知道和窃取;有80人次认为是一切与个人有关的信息的保护。可见相当一部分大学生对个人信息安全的概念仍不清楚,不知道个人信息安全与计算机技术、网络技术发展密切相关。
3)利用网络搜索他人信息情况。291名被调查大学生中,有110人表示经常会利用网络搜索他人信息,因为想解他人;有145人表示仅在有需要的时候偶尔会利用网络搜索他人信息;有36人表示从不这样,因为很无聊。三者比例分别占37.80%、49.83%和12.37%,说明大学生网搜他人信息行为总体正常。
4)网络安全问题认知情况。291名被调查大学生中,有53人次认为破坏分子作伪装绕过安全检查属于网络安全问题,有128人认为网络服务器因断电停机属于网络安全问题,有83人认为因病毒导致系统瘫痪属于网络安全问题,有61人次认为伪造IP地址骗取其口令获取对计算机的访问权限属于网络安全问题。说明有近一半的大学生对网络安全问题内涵不太清楚。
5)遭遇过哪些网络安全问题。291名被调查大学生中,有121人次反映遭遇过垃圾邮件侵扰,有89人次表示受到过病毒攻击,有119人次表示信息曾经被盗,有76人次表示遇到过其它形式的网络安全问题。说明侵犯网络信息安全的现象已经较多地影响到大学生。
6)个人信息泄露原因。291名被调查大学生中,有83人认为个人信息泄露最主要的原因是网络普及管理不规范,有112人认为是法律不健全,存在个人信息买卖市场,有72人认为是学生个人信息安全意识薄弱,有69人认为是电脑病毒、木马横行。总体上表明大学生对个人信息泄露原因是有思考的。
7)对校内个人信息安全建设的满意度。291名被调查大学生中,有182人对校内的个人信息安全建设表示满意,有109人表示不满意。说明校园个人信息安全建设尽管得到大部分大学生的认可,但仍有值得加强的地方。
8)对学校信息安全保障的期待。291名被调查大学生中,关于学校应当采取哪些措施保障个人信息安全,有114人次提出应该建设个人信息安全平台并绑定个人,137人次提出应该加强后续处理监督,121人次提出应该加强对于学生信息安全教育。应该说学生们的期待是建立在关心信息安全基础上的合理要求。
9)网络安全信息技术了解情况。291名被调查大学生中,了解网络信息安全技术的情况不太乐观,有97人次表示知道密匙管理技术,有103人次表示知道数字签名和认证技术,有141人次表示知道网络入侵检测和防火墙技术,有107人次表示了解电子商务安全技术。
10)获取网络信息安全知识的途径。291名被调查大学生中,有131人表示从网络获得相关知识,107人表示从书籍上获得,146人表示从课堂上获得,123人次表示从新闻媒体上获得。应该说大学生获取信息安全知识的途径是多方面的,基本上不存在获取不到的困难,主要是看不看的问题。
11)提高大学生网络安全意识的办法。291名被调查大学生中,有121人次建议开设讲座,97人次建议开主题班会,27人次提出发宣传单,101人次提出通过网络视频。应该说,大家对提高网络安全意识是有期待的,也希望有更多的渠道来加强个人信息安全保障。
综合以上数据进行分析,调研组认为,我校大学生信息安全意识有待提高,尽管越来越多地利用网络、自媒体进行交流、娱乐和学习,但主要精力花在如何从网上得到信息, 较少考虑如何在网络环境下保护自己的信息。交谈得知,不少学生会将自己的真实材料到网上, 碰到过QQ 密码会被盗, 登录口令过于简单等现象。大学生信息安全防范知识和操作能力有待加强,尽管因为新闻宣传、课堂教育等因素对防火墙、病毒等基本知识比较了解,但比较完全的网络信息安全管理和防范知识知之不多,一些学生不会安装操作系统、配置防火墙,不知道需要定期升级病毒防治产品, 不懂得如何更好的配置自己的计算机,也没有掌握保护自身信息安全的基本防范技能。
三、对策建议
大学生的学习、生活和准备就业已经越来越离不开网络,网络的发展对当代大学生的思维方式、行为模式、心理发展、价值观念和政治趋向等都产生了深远的影响。在越来越多地参与网上购物,使用网上银行等网上商务活动的过程中,涉世不深的大学生也日渐成为网络信息盗取和网络诈骗、网络盗窃等违法犯罪行为的猎物,一些不良商家也通过盗取信息来达到不正当竞争的目的。作为学校要重视和提高大学生的网络综合素质,加强学生的网络素质、网络技能、实践运用网络综合能力和网络安全意识的培养,督促提高安全上网意识,学会使用杀毒软件及防火墙,学会为别人也为自己提供一个安全和谐的网络空间。具体有四个方面的建议:
1)加强大学生网络法制教育。网络安全教育一个不可忽视的方面是思想教育,这其中最重要的是法制教育。目前网络犯罪是十分常见的包括网络欺诈、网络谣言的散播等。网络的匿名性特点给了许多人一种“漠视法律的理由”,认为没有具体监管就不算犯罪,其实不然。这体现的是网络法制教育的缺失,所以教育学生们什么在网络上是可以做的、是合法的,什么是不可以做的、是违法的是十分重要的,对维护网络安全运行也是有重要作用的。
2)充分利用课堂教育普及网络安全知识和技能。建议在计算机普及课程中除讲授常用软件知识外,增加计算机网络安全知识,让学生了解系统管理用户、文件和其他硬件资源的安全机制。对网络安全的基本理论知识和系统安全策略,如加密解密算法、防火墙的工作原理与作用、系统漏洞及修补方法、硬盘保护卡的工作原理与使用方法也要多加讲授。同时,要加强对大学生的网络安全法制教育,提高学生的网上自我约束能力、自控能力,不利用网络散播其它同学和老师的私密信息,不参与网络信息违法活动。
3)积极拓展课外空间,开展形式多样的网络信息安全防范活动。可以定期开设网络安全知识专题讲座,就课堂教学中不能深入讲解的问题或薄弱环节,如网络行为规范、个人计算机安全策略、计算机病毒的新动向、病毒查杀软件的使用,引导有兴趣、有需要的大学生深入学习并积极参与防范。 建议每年举办网络安全知识大赛、网络安全知识调查、网络安全主题漫画比赛等,丰富大学生的业余生活,实现以生教生,在校园中普及网络安全知识,构建网络安全防范的群防群治机制。
