導語：如何才能寫好一篇網(wǎng)絡安全服務內(nèi)容，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

Abstract： Aiming at the network security architecture， make a research and analysis； based on expounding the network security architecture， introduce the content of network security architecture design， and ensure the network security， so as to provide a more stable service for people.

關鍵詞： 網(wǎng)絡安全；結(jié)構(gòu)體系；設計要點

Key words： network security；structural system；design points

中圖分類號：TP393 文獻標識碼：A 文章編號：1006-4311（2017）03-0080-02

0 引言

信息技術的快速發(fā)展，使計算機網(wǎng)絡的連接形式變得更加多樣化，而網(wǎng)絡本身又具有開放性和互聯(lián)性，終端的分布具有不均勻性，在這樣的背景之下，計算機網(wǎng)絡在具體運行過程中容易遭受黑客攻擊，不僅會影響用于在具體應用過程中的安全性，而且會導致用戶的信息發(fā)生泄漏，并且會伴隨著較為嚴重的經(jīng)濟損失，因此構(gòu)建網(wǎng)絡安全體系勢在必行。

1 網(wǎng)絡安全體系結(jié)構(gòu)

一般來說，網(wǎng)絡安全體系設計過程分為以下四步：①網(wǎng)絡安全策略定義。②網(wǎng)絡安全需求分析。③網(wǎng)絡安全設計。④網(wǎng)絡安全實現(xiàn)。設計模型圖如圖1所示。

從現(xiàn)代網(wǎng)絡的具體應用情況來看，從高級安全需求分析滲入到具體執(zhí)行上，兩者之間存在的一定差距[1]。從高級策略不斷發(fā)展，最終形成了一個結(jié)構(gòu)和功能復雜的系統(tǒng)，部分組件可能會呈現(xiàn)出不一定特性，將會引起錯誤的執(zhí)行需要的安全策略，引起危險的失誤和安全漏洞。

1.1 安全策略定義

詳細的描述安全策略定義，該過程中的最終目的是能夠為網(wǎng)絡的正常使用提供有效的支持，同時需要相關研究人員注意的是，在分析網(wǎng)絡安全系統(tǒng)過程中，應當與其領域的科學結(jié)合，從而使其適應性能夠得到進一步提高。例如，操作安全、人員安全、物理安全、社會機制等多項內(nèi)容。該過程通常依據(jù)對企業(yè)中存在的風險進行分析，并且需要將高級安全策略和控制作為整個操作的主要依據(jù)，最后通過自然語言描述控制文檔和網(wǎng)絡安全，這也就是我們常說的高級安全策略。

1.2 安全需求分析

安全需求分析是網(wǎng)絡安全體系結(jié)構(gòu)設計的第二步，其是上一步高級安全策略形式內(nèi)容的具體描述。通過大量的實踐可以發(fā)現(xiàn)，通過形式化完成對高級安全策略的具體描述可以具有諸多優(yōu)點，主要體現(xiàn)在以下幾個方面：通過分析可以全面細致的完成對沖突的檢查，同時也可以將高級策略中的模糊描述消除[2]。曾有學者提出，通過行形式化方法對高級安全策略進行處理，并且取得了不錯的效果。

2 網(wǎng)絡安全設計的具體內(nèi)容

2.1 設計的目標

現(xiàn)代網(wǎng)絡的快速發(fā)展與應用，一方面使人們的生活和工作變得更加便利，另一方面也增加了安全隱患，人們在生活與工作中利用網(wǎng)絡的同時必須加強對安全問題的思考。隨著人們網(wǎng)絡安全意識的不斷提升，人們在應用網(wǎng)絡中，加強了對網(wǎng)絡安全設計的研究與分析。

2.2 體系結(jié)構(gòu)設計

安全體系的構(gòu)建要依據(jù)安全需求的具體情況而定，只有這樣才能使最終所設計的系統(tǒng)與實際情況相符。在設計過程中，依據(jù)OSI模型中各個層之間存在的依賴性，安全方面的需求，從邏輯角度出發(fā)，科學的將安全內(nèi)容細致的分到不同層中。具體內(nèi)容如下：

①物理層：該層在信息安全上存在的問題主要集中在，物理通量受到非法竊停和干擾等，從而會對物理層的性能造成不良影響。

②鏈路層：該層的主要作用是確保通過鏈路層所傳送的信息，在傳送過程中不會受到外界的截取。在具體操作過程中采用方式為劃分局域網(wǎng)、遠程網(wǎng)等手段[3]。

③網(wǎng)絡層：該層的作用是避免網(wǎng)絡服務被非法人員使用，通過網(wǎng)絡層的有效控制，使得只有授權的客戶才能夠享受到相應的服務，通過該方式可以確保網(wǎng)絡路由的正確性，提供了網(wǎng)絡層的安全性，有效地避免了數(shù)據(jù)被監(jiān)聽。操作系統(tǒng)，保證資料和訪問控制的安全性，同時在操作過程中，要對系統(tǒng)中涉及到的內(nèi)容進行審計，審計工作要依據(jù)相關的標準進行，確保最終審計結(jié)果的合理性，有效地避免安全問題的發(fā)生。

④應用平臺與應用系統(tǒng)。前者指的是應用軟件服務，目前比較常見的有數(shù)據(jù)庫、電子郵件服務器等，通過分析不難發(fā)現(xiàn)，應用平臺中的系統(tǒng)的結(jié)構(gòu)復雜，應用相對說比較繁瑣，為了提高應用平臺的安全性，通過需要通過多種技術完成，比較常見的技術有SSL；后者的作用就是為用戶服務，系統(tǒng)的安全與設計實現(xiàn)兩者之間的聯(lián)系十分緊密。通過科學的方式應用系統(tǒng)，能夠為應用平臺提供全服務得到相應的保護。

2.3 安全策略的設計與實現(xiàn)

安全策略的設計與實現(xiàn)是網(wǎng)絡安全體系結(jié)構(gòu)設計過程中的第一步，該過程的主要目的是確定科學的安全策略。但是，在具體應用中，受各方面因素的影響，計算機網(wǎng)絡配置與部門兩項內(nèi)容在具體操作過程中會發(fā)生改變，而這種改變通常都是不可控和不可預知的，這也就直接導致了安全需求也會發(fā)生改變，并且該變化通常都比較明顯，會引起一系列的變化。由此可以判斷，網(wǎng)絡安全自身并不是靜止不變的，因此要不斷調(diào)整和完善安全策略內(nèi)容。企業(yè)在具體運用過程中要想獲取理想的經(jīng)濟收益，就必須要確保具有一個科學的安全策略，并且要按照規(guī)范的要求執(zhí)行。安全策略在企業(yè)中的應用，需要能夠全面、清楚識別存在風險的資源，并且要依據(jù)企業(yè)和其所處的具體環(huán)境給出合理的環(huán)節(jié)威脅的具體方法。該策略的核心問題是對系統(tǒng)中的哪一個用戶可以訪問哪一種資源進行定義，從而避免資源被非法訪問而引發(fā)安全問題[4]。需要注意的是，需要做好對審計跟蹤用戶進行定義，同時需要幫助用戶對出現(xiàn)的傷害進行識別，并且要及時做出相應的響應，避免危害進一步擴大，造成更大的影響。

安全策略管理要需要包含所有的安全組件。例如，路由器、訪問列表、防火墻等，從而構(gòu)建網(wǎng)絡安全策略管理實現(xiàn)的實現(xiàn)模型。目前，網(wǎng)絡安全策略管理實現(xiàn)的模型以IETF安全體系框架中的RFC275策略管理為基礎，該模型策略管理的應用十分廣泛，在整個網(wǎng)絡中都所有分布?，F(xiàn)階段，適合所有用戶的有網(wǎng)絡安全層以及服務網(wǎng)絡安全層。策略管理包括的功能有以下幾點：策略實現(xiàn)點、策略決定點、策略倉庫。網(wǎng)絡策略中的每一項信息點都應被存儲在策略倉庫中，完成對計算機以及網(wǎng)絡用戶各項內(nèi)容的研究與分析，各項內(nèi)容的執(zhí)行都應當在倉庫內(nèi)完成，確保執(zhí)行結(jié)果的合理性。

策略服務器與策略決定點兩者都是對網(wǎng)絡進行抽象，成為策略控制信息，再將信息傳遞給策略執(zhí)行點。策略實現(xiàn)點接受PAPs中的策略，作為網(wǎng)絡或安全設備。公共開放策略服務以TCP作為基礎協(xié)議進行應答，從而完成PEPs和PDP兩者之間策略信息的交換。

3 網(wǎng)絡安全的實現(xiàn)

網(wǎng)絡安全體系結(jié)構(gòu)中，安全管理運的工作站和服務器上，對網(wǎng)絡輔助級和網(wǎng)絡及的上的安全，通過對應用級的安全管理來實現(xiàn)。在網(wǎng)絡操作者中存在一些身份較為特殊的用戶，這些用戶的認證主體和授權程序都更為嚴格。因此，管理人員在具體操作過程中具有更大的功能權限和訪問授權，因此為了確保一切操作的安全性，他們的行為和訪問等操作都必須要安全，從而確保網(wǎng)絡的性能、配置以及存活能力都能夠達到要求標準。通過大量實踐經(jīng)驗可以發(fā)現(xiàn)，企業(yè)的網(wǎng)絡管理系統(tǒng)的開放性和集中性越高，安全管理的需求也就越急迫[5]。安全網(wǎng)絡管理是一個整體方法，網(wǎng)絡安全體系結(jié)構(gòu)包含多個領域。在具體操作過程中，記錄安全行為對用戶以及管理員在網(wǎng)絡結(jié)構(gòu)的各項行為都有著嚴格的要求。

為了確保操作的合理性，網(wǎng)絡操作者認證需要在集中管理和執(zhí)行口令的基礎上完成，確保沒有獲得授權的用戶無法訪問系統(tǒng)，通過這一方式有效地避免了非法訪問的出現(xiàn)。網(wǎng)絡操作者授權通過已經(jīng)認證的身份對用戶的訪問權限進行認證，判斷得到授權的用戶可以在系統(tǒng)中的對哪些內(nèi)容進行訪問，實現(xiàn)何種功能。網(wǎng)絡管理事物加密起到的作用就是保護網(wǎng)絡管理數(shù)據(jù)的機密性，避免數(shù)據(jù)被非法人員盜取，通過加密能夠?qū)ν獠亢蛢?nèi)部都提供高度保護，從而確保網(wǎng)絡體系結(jié)構(gòu)的安全。操作者安全遠程訪問：對IPsec進行合理應用，提供一個VPN，這是一種強制性的解決方案，通過該方案可以為遠程操作者提供科學的加密和認證。利用防火墻和VLANs將網(wǎng)絡分離開，在管理上要分開進行。在應用通過入侵檢測系統(tǒng)鎖構(gòu)成的管理服務器，通過提出管理員存在的不安因素（例如，在運行過程中，服務其妥協(xié)和拒絕服務襲擊），完成對網(wǎng)絡的保護操作。

網(wǎng)絡安全體系實現(xiàn)的實例如下：某企業(yè)為了確保企業(yè)中網(wǎng)絡安全采取了以下措施：①構(gòu)建防火墻。在網(wǎng)關上安裝防火墻，分組過濾和ip偽裝，監(jiān)視網(wǎng)絡內(nèi)外的通信，全面掌握企業(yè)網(wǎng)絡情況。②采用身份驗證技術。針對企業(yè)中的不同用戶設定了不同的訪問權限，并且定期對用戶的權限進行檢查，避免非法訪問。③入侵檢測技術。④口令管理。每個用戶設置口令，定義口令存活期。⑤病毒防護安裝殺毒軟件，及時查殺服務器和終端；限制共享目錄及讀寫權限；限制網(wǎng)上下載和盜版軟件使用。⑤系統(tǒng)管理，及時下載安裝系統(tǒng)補丁；設置開機口令；設置屏?？诹睿粍h除不用賬戶。該企業(yè)通過以上方式，構(gòu)建了網(wǎng)絡安全體系，確保了企業(yè)中網(wǎng)絡的安全性。

4 結(jié)束語

網(wǎng)絡安全體系結(jié)構(gòu)的設計與實現(xiàn)對用戶使用網(wǎng)絡的安全性會產(chǎn)生直接影響，同時也會對計算機網(wǎng)絡安全的健康發(fā)展造成影響。在提出網(wǎng)絡安全系統(tǒng)設計框架基礎上，對網(wǎng)絡安全的設計問題進行詳細劃分，提出了安全體系結(jié)構(gòu)模型和策略管理執(zhí)行模型的設計與實現(xiàn)。最后合理地將安全體系結(jié)構(gòu)、安全策略管理的實現(xiàn)與網(wǎng)絡機制結(jié)合，確保了高級安全策略向網(wǎng)絡安全機制的合理過渡，推動了網(wǎng)絡的健康發(fā)展。同時，本文也為網(wǎng)絡安全體系結(jié)構(gòu)的設計與實現(xiàn)指明了方向。

參考文獻：

[1]梁樹軍，李玉華，尚展壘.基于訪問控制技術的網(wǎng)絡安全體系結(jié)構(gòu)研究與設計[J].網(wǎng)絡安全技術與應用，2016（05）：23-24.

[2]姜.金保工程信息網(wǎng)絡安全保障體系設計與實現(xiàn)[J]. 數(shù)字技術與應用，2016（05）：201.

[3]羅旬，嚴承華.無線Mesh網(wǎng)絡安全體系研究與設計[J].信息網(wǎng)絡安全，2015（06）：61-66.

篇2

【關鍵詞】國內(nèi)互聯(lián)網(wǎng) 網(wǎng)絡安全問題 分析

1 引言

通常而言，唯有那些“黑客”運用我們在互聯(lián)網(wǎng)網(wǎng)絡安全技術上的漏洞或者對于資源的不良利用來進行網(wǎng)絡病毒的傳播等一系列不良的網(wǎng)絡安全侵入都屬于互聯(lián)網(wǎng)網(wǎng)絡安全的范疇。此外互聯(lián)網(wǎng)網(wǎng)絡安全的范疇除了以上我們提及的病毒之外，還有黑客技術中的攔截、服務攻擊等一系列內(nèi)容。通過我們以上的分析，我們可以發(fā)現(xiàn)對于互聯(lián)網(wǎng)網(wǎng)絡安全的理解，存在一定的局限性和片面性。

對于互聯(lián)網(wǎng)網(wǎng)絡安全真是“確切”的版本應該為：互聯(lián)網(wǎng)網(wǎng)絡安全是指是指保護網(wǎng)絡系統(tǒng)中的軟件、硬件及信息資源，使之免受偶然或惡意的破壞篡改和泄露，保證網(wǎng)絡系統(tǒng)的正常運行、網(wǎng)絡服務不中斷。這個定義被最大多數(shù)的專家所接受和認同。

2 國內(nèi)互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢

根據(jù)以上我們對互聯(lián)網(wǎng)網(wǎng)絡安全的認識我們可以發(fā)現(xiàn)，針對我們現(xiàn)在的認識和理解可以講互聯(lián)網(wǎng)網(wǎng)絡安全分為以下幾個部分，分別是傳送內(nèi)容安全、身份認證的安全、網(wǎng)絡行為的安全，根據(jù)這三個部分對國內(nèi)互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢進行分析。

2.1 傳送內(nèi)容安全

傳送內(nèi)容安全：對于國內(nèi)互聯(lián)網(wǎng)網(wǎng)絡安全中的傳送內(nèi)容安全主要是針對節(jié)點傳送內(nèi)容安全而言，我們可以發(fā)現(xiàn)節(jié)點傳送安全是指，當我們在指定的節(jié)點發(fā)出的信息內(nèi)容，這個節(jié)點所發(fā)出的信息對于整個網(wǎng)絡系統(tǒng)而言，是完全安全的沒有任何威脅，在這里我們所提到的傳送內(nèi)容，主要是指那些影響網(wǎng)絡運行的控制信息。對于我們現(xiàn)有的互聯(lián)網(wǎng)網(wǎng)絡安全中，危害我們的節(jié)點傳送內(nèi)容安全主要是指大多數(shù)路由節(jié)點上的網(wǎng)絡安全設置低，這就使得虛假路由可達性信息很容易通過，這樣一來回危害整個網(wǎng)絡的安全，甚至導致整個網(wǎng)絡安全的癱瘓以至于不能正常的使用。對于傳送內(nèi)容安全而言，我們不僅僅要從人為的方面找原因，節(jié)點自身的協(xié)議漏洞也是一個方面。

2.2 身份認證的安全

身份認證的安全：對于身份認證的安全而言，其指的是對于一些像交換機、路由器之類的終端的身份的認證。對于國內(nèi)互聯(lián)網(wǎng)網(wǎng)絡安全而言，身份認證的安全是我們互聯(lián)網(wǎng)網(wǎng)絡安全的根基，對于我們之前所謂的互聯(lián)網(wǎng)網(wǎng)絡安全節(jié)點的身份認證而言，一個節(jié)點通常（IP地址）具有兩種屬性，分別為我們所說的身份特性和節(jié)點的位置特性，對于我們現(xiàn)階段的互聯(lián)網(wǎng)協(xié)議而言，開放性是其基本特性，我們從節(jié)點的IP特定可以了解到，一個其他方節(jié)點很輕松的就能狗得到一個通信方和接收方的基本身份信息和相應的位置地點，然后在進行一定的偽造通過進行適當?shù)膫窝b，對雙方的安全造成威脅，通常造成了一定的經(jīng)濟損失。

2.3 節(jié)點網(wǎng)絡行為安全

節(jié)點網(wǎng)絡行為安全：通過以上兩個方面的分析，我們僅僅分析了互聯(lián)網(wǎng)網(wǎng)絡傳輸過程和基本身份信息的安全，并沒有對一些網(wǎng)絡安全行為進行分析，在此我們對節(jié)點網(wǎng)絡行為安全進行說明。對于這種節(jié)點網(wǎng)絡行為安全通常指的是那些危害網(wǎng)絡安全的不合法行為，例如惡意下載、惡意上傳等在短時間內(nèi)進行大量的非法操作，比如說在2010年爆發(fā)了對某貼吧的惡意破吧就屬于節(jié)點網(wǎng)絡行為安全的一種，這種不良的網(wǎng)絡行為嚴重影響了網(wǎng)絡的正常運行，對網(wǎng)絡產(chǎn)生影響。對于現(xiàn)階段的網(wǎng)絡安全協(xié)議是指在20世紀末形成的網(wǎng)絡協(xié)議，并沒有將這些情況考慮到設計的過程中去，因此而言現(xiàn)階段的ARP等的網(wǎng)絡安全漏洞，導致網(wǎng)絡的過度使用。

通過我們對傳送內(nèi)容安全、身份認證的安全、網(wǎng)絡行為的安全這三個部分國內(nèi)互聯(lián)網(wǎng)網(wǎng)絡安全的分析有利我們對整個網(wǎng)絡安全的認識和深度理解。下面我們主要針對公共互聯(lián)網(wǎng)網(wǎng)絡安全進行分析。

3 公共互聯(lián)網(wǎng)網(wǎng)絡安全

通過我們對互聯(lián)網(wǎng)網(wǎng)絡安全的三個方面進行分析，我們發(fā)現(xiàn)在我們信息時代雖然科技不斷發(fā)展但是我們?nèi)匀幻媾R著許多無形的、潛在的危害。

3.1 DDOS攻擊嚴重影響互聯(lián)網(wǎng)網(wǎng)絡安全

DDOS攻擊嚴重影響互聯(lián)網(wǎng)網(wǎng)絡安全：自從2012年6月以來，DDOS攻擊主要有兩種主流的攻擊方式，這兩種攻擊方式非別為虛假的源頭的IP地址對節(jié)點的攻擊，以及“嫁接”方式對我們的網(wǎng)絡節(jié)點進行攻擊。我們可以從2012年發(fā)生在我國某重要的國際城市政府網(wǎng)站的事件可以發(fā)現(xiàn)。2012年下半年，此政府的網(wǎng)站短時間內(nèi)遭到多次的惡意攻擊，經(jīng)過一段時間的調(diào)查發(fā)現(xiàn)，是某知名公司的下屬網(wǎng)站在遭到黑客攻擊之后將其域名更改為該系統(tǒng)的域名，這就是我們所謂的“嫁接”方式網(wǎng)絡攻擊。對于虛假的源頭的IP地址攻擊而言，顧名思義我們可以發(fā)現(xiàn)這種攻擊方式主要針對攻擊一方采用偽裝IP地址的形式，這種方式在查找的過程中給網(wǎng)絡警察帶來了很大的不便。

3.2 木馬程序和僵尸程序影響互聯(lián)網(wǎng)網(wǎng)絡安全

最傳統(tǒng)的兩種方式危害互聯(lián)網(wǎng)網(wǎng)絡安全：木馬程序和僵尸程序，這兩種方式依然是危害互聯(lián)網(wǎng)網(wǎng)絡安全最傳統(tǒng)的方式之一。據(jù)相關組織不完全統(tǒng)計在2013年下半年，共發(fā)現(xiàn)651萬多個主機遭到了不同程度的攻擊，特別是發(fā)生在10月的木馬程序和僵尸程序攻擊時其他幾個月平均攻擊的2倍之余。

3.3 漏洞是危害互聯(lián)網(wǎng)網(wǎng)絡安全的一個根本要素

不能忽略的網(wǎng)絡安全漏洞是危害互聯(lián)網(wǎng)網(wǎng)絡安全的一個根本要素。對于現(xiàn)階段存在的較多的網(wǎng)絡安全漏洞主要以3種特點存在，分別是存量漏洞多、漏洞影響大危害深、漏洞增速快。

存量漏洞多：據(jù)國外的媒體對我國的漏洞進行報道發(fā)現(xiàn)，我國的漏洞已發(fā)現(xiàn)的已超過5萬個（自2003年到2013年底），由于漏洞修復具有一定的時間，而且漏洞的衍變形式較為豐富，因此而言，漏洞的危害相當?shù)拇?，不斷上升的漏洞信息給我們的信息安全造成了重大的危害。

漏洞影響大危害深：由于現(xiàn)階段我們國內(nèi)的互聯(lián)網(wǎng)快速普及，而且玩羅德受眾群體相當之大，一旦某大型網(wǎng)站受到危害，其信息將會遭到泄露。

漏洞增速快：根據(jù)我們國家信息安全漏洞共享平臺公布的信息發(fā)現(xiàn)，自從2013年整整一年之內(nèi)，我國的網(wǎng)絡漏洞的增加速度平均每天增長在10個以上，這種高速增長的網(wǎng)絡安全漏洞是我們現(xiàn)階段網(wǎng)絡安全問題的一個重要的組成部分。

對于網(wǎng)絡安全服務要實現(xiàn)主動性的安全架構(gòu)，必須具有4個方面，如下圖1主動性的安全架構(gòu)所示。

分別是：防火墻，其包括身份驗證、身份加密、相應的防毒網(wǎng)絡、防火墻、已經(jīng)對應的入侵檢測盒VPN；其次是相應的階段，包括對于相應內(nèi)容的實時更新和安全相應、全球的網(wǎng)絡系統(tǒng)支持、以及攻擊回復服務；第三，管理階段主要包括策略的一致性、事件與事故管理、訪問控制與相應的授權、身份的管理、配置的管理等；最后是警報階段，這就包括蜜罐與誘引技術、漏洞的實時評估、威脅管理與預警。

4 結(jié)論

通過我們對國內(nèi)互聯(lián)網(wǎng)網(wǎng)絡安全問題的分析，我們發(fā)現(xiàn)對于國內(nèi)互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢主要分為三個方面分別是傳送內(nèi)容安全、身份認證的安全、網(wǎng)絡行為的安全，這三個方面是影響網(wǎng)絡態(tài)勢安全的重要物理誘因；對于影響我們公共互聯(lián)網(wǎng)網(wǎng)絡安全的根本因素同樣有3個方面分別是DDOS攻擊、木馬程序和僵尸程序、漏洞；最后我們對網(wǎng)絡安全服務要實現(xiàn)主動性的安全架構(gòu)進行了淺要的分析和說明，其主要有四個方面組成，通過我們對國內(nèi)互聯(lián)網(wǎng)網(wǎng)絡安全問題的分析我們發(fā)現(xiàn)，現(xiàn)階段我們對于互聯(lián)網(wǎng)網(wǎng)絡安全已經(jīng)重視了許多，但是仍然有許多地方需要改進，只有對網(wǎng)絡安全常抓不懈，才能最大限度避免網(wǎng)絡安全事件所帶來的危害。

參考文獻

[1]穆祥昆，趙晨飛，霍英東，唐召東.基于云架構(gòu)的網(wǎng)絡安全事件監(jiān)測系統(tǒng)研究[A].第28次全國計算機安全學術交流會論文集[C].2013.

[2]閻婷.對奧運信息網(wǎng)絡安全保障工作的幾點體會――學習北京奧運會，寫在上海世博會前[J].信息網(wǎng)絡安全，2008（12）.

[3]公安部部長助理朱恩濤在“中國信息網(wǎng)絡安全”網(wǎng)站開通儀式上的講話[J].信息網(wǎng)絡安全，2001（02）.

[4]中國國家互聯(lián)網(wǎng)應急中心：網(wǎng)絡安全威脅出現(xiàn)新特點[J].電子產(chǎn)品可靠性與環(huán)境試驗，2011（04）.

[5]曾潤喜，徐曉林.國家政治安全視角下的中國互聯(lián)網(wǎng)虛擬社會安全[J].華中科技大學學報（社會科學版），2012（02）.

[6]張凌.淺談計算機信息網(wǎng)絡安全應急處置機制建設[J].中國公共安全（學術版），2009（03）.

篇3

網(wǎng)絡系統(tǒng)構(gòu)建之前，首選需要弄清楚的就是網(wǎng)絡安全運行需求，這是后期制定安全運行方案的基礎和前提。一般情況下，校園網(wǎng)絡安全需求主要涉及到以下幾個方面內(nèi)容：其一，在網(wǎng)絡互聯(lián)的基礎上保證通訊處于安全狀態(tài)，這是最基本的要求；其二，服務器系統(tǒng)安全檢測，評估效能的發(fā)揮，能夠?qū)τ诓话踩袨檫M行阻擋，以保證系統(tǒng)的安全運行；其三，應用系統(tǒng)的安全性需求，也就是說關鍵應用系統(tǒng)能夠在認證管理下，形成防病毒體系，保證各個入口的安全連接；其四，業(yè)務系統(tǒng)的安全需求，避免網(wǎng)絡內(nèi)部其他系統(tǒng)對于業(yè)務系統(tǒng)造成危害；其五，健全的校園網(wǎng)絡安全管理規(guī)章，保證校園網(wǎng)的安全運行。

2校園網(wǎng)絡安全總體設計思路

針對于校園網(wǎng)網(wǎng)絡運行的基本需求，對于校園網(wǎng)絡安全進行規(guī)劃設計，并且在此基礎上構(gòu)建完善的校園安全體系結(jié)構(gòu)，是保證校園網(wǎng)安全性的關鍵一步。在此過程中不僅僅需要滿足上述的安全需求，還要對于可能出現(xiàn)的安全問題進行預警，以保證設計體系的合理性和科學性。具體來講，其主要設計到以下內(nèi)容：其一，以獨立的VLAN，MAC地址綁定和ACL訪問控制列表來進行VPN網(wǎng)絡子系統(tǒng)的安全控制和管理，可以保證數(shù)據(jù)傳輸?shù)陌踩燃夁_到最佳水平；其二，以網(wǎng)絡安全檢測子系統(tǒng)的構(gòu)建，并在校園網(wǎng)中WWW服務器和Email服務器進行應用，在此基礎上對于網(wǎng)絡傳輸內(nèi)容進行監(jiān)督和管理，并且形成相應的數(shù)據(jù)庫，避免非法內(nèi)容進入校園網(wǎng)；其三，針對于安全需求，設置相應的安全防火墻，以雙機設備方式去運行，實現(xiàn)防火墻子系統(tǒng)的構(gòu)建；其三，基于控制中西和探測引擎技術構(gòu)建入侵檢測子系統(tǒng)體系，對于入侵行為進行監(jiān)督和管理，并且將其屏蔽在網(wǎng)絡安全范圍之外；其四，全面升級網(wǎng)絡系統(tǒng)的防毒系統(tǒng)，實現(xiàn)對于客戶端PC機器的安全控制，形成統(tǒng)一的防毒服務器；其五，建立有效的漏洞掃描系統(tǒng)，實現(xiàn)自動修復和檢查漏洞，保證補丁工作的全面開展；其六，針對于校園內(nèi)部的侵襲行為，可以以建立內(nèi)部子網(wǎng)審計功能的方式去實現(xiàn)內(nèi)部網(wǎng)絡運行質(zhì)量的提高；其七，建立健全完善的校園網(wǎng)安全運行管理制度體系，為開展一切安全管理工作打下基礎。

3整體構(gòu)建校園網(wǎng)絡安全體系的實現(xiàn)途徑

校園網(wǎng)絡安全體系涉及到多方面的內(nèi)容，一般情況下會將其歸結(jié)為物理層，鏈路層，網(wǎng)絡層，應用層等幾個方面。

3.1物理層安全體系實現(xiàn)途徑物理層的安全性能主要針對于線路的破壞，線路的竊聽，物理通路的干擾等安全缺陷問題。對此，需要做好以下工作：其一，采用雙網(wǎng)結(jié)構(gòu)作為拓撲網(wǎng)絡結(jié)構(gòu)方式，內(nèi)外網(wǎng)使用不同的服務器，實現(xiàn)不同信道的運行，使得信息處于不同的高度路上運轉(zhuǎn)，不僅僅可以營造安全的運行狀態(tài)，還可以使得系統(tǒng)運行壓力降低；其二，以雙網(wǎng)物理隔離的方式去實現(xiàn)內(nèi)外網(wǎng)布線系統(tǒng)的構(gòu)建，從根本上杜絕了黑客入侵的可能性，同時還合理設置，避免出現(xiàn)內(nèi)外網(wǎng)同時使用的情況。

3.2鏈路層安全體系實現(xiàn)途徑鏈路層安全體系構(gòu)建是保證網(wǎng)絡鏈路傳送數(shù)據(jù)安全性為根本性目的，主要使用的技術手段有局域網(wǎng)和加密通訊手段。具體來講，其一，在交換機配置端口安全選項中，盡量將CAM表進行淹沒；其二，在中繼端口實現(xiàn)VLANID的專業(yè)化設置，保證端口設置成為非中繼模式；其三，進行MAC地址綁定設置，避免出現(xiàn)IP地址被盜用。

3.3網(wǎng)絡層安全體系實現(xiàn)途徑網(wǎng)絡層安全體系構(gòu)建，主要是保證網(wǎng)絡時能給授予權限的客戶使用，避免出現(xiàn)攔截或者監(jiān)聽的情況。為了實現(xiàn)這樣的目標，應該從以下幾個角度入手：其一，設置硬件防火墻，運行訪問控制技術程序，一旦遇到安全問題，使得其處于隔離狀態(tài)；其二，網(wǎng)絡入侵檢測系統(tǒng)IDS的使用，能夠?qū)τ诰W(wǎng)絡入侵行為進行監(jiān)督，由此構(gòu)建起來第二道安全閘門；其三，在路由交換設備上進行安全技術應用，如VPN技術，加密機制及時，審計和監(jiān)控技術等，都是其重要內(nèi)容。

3.4應用層安全體系的實現(xiàn)途徑對于應用層來講，其安全體系的構(gòu)建需要做到以下幾點：其一，建立網(wǎng)絡病毒防火墻，避免內(nèi)外病毒對于網(wǎng)絡文件系統(tǒng)的破壞；其二，設置服務器，盡可能的保護自己的IP地址；其三，構(gòu)建操作系統(tǒng)補丁自動分發(fā)系統(tǒng)，保證能夠及時的進行安全漏洞的修復；其四，積極開展認證和授權管理工作，對于多重身份認證和用戶角色授權進行審計，以保證系統(tǒng)的安全性。

4結(jié)束語

篇4

關鍵詞：計算機網(wǎng)絡；安全體系；框架結(jié)構(gòu)；安全管理；應用

1計算機網(wǎng)絡安全體系的相關內(nèi)容

1.1在組成部分方面

第一，防火墻技術。在網(wǎng)頁與網(wǎng)頁之間的關卡上，通過安裝防火墻，分組過濾，對網(wǎng)絡內(nèi)外部的通信進行監(jiān)視。第二，口令管理。各個用戶需要設置口令，這個口令的性質(zhì)與密碼差不多，用戶可以設置密碼，但是密碼盡量以數(shù)字加字母為主。第四，病毒防護。通過防火墻技術或殺毒軟件的安裝，可以對服務器和終端的狀態(tài)進行實時查詢和分析。第五，系統(tǒng)管理，要定期打系統(tǒng)補丁和服務器安全檢測工作，如果發(fā)現(xiàn)問題，要做到修補漏洞工作，必要時也可以講不相關的賬戶進行刪除處理。

1.2在結(jié)構(gòu)方面

首先，安全服務。在數(shù)據(jù)的傳輸和處理中，要提供安全的方法手段。在網(wǎng)絡運行過程中，要對各個部分提供安全性保障。首先，要確保系統(tǒng)自身的安全性，給予系統(tǒng)過程中各個部分的安全一定的保障。其次，確保系統(tǒng)技術的安全。總之，作為重要的安全服務措施之一，促進數(shù)據(jù)傳輸和處理工作的順利進行。其次，安全機制。對于安全機制來說，是實現(xiàn)安全服務目標的重要舉措之一。對于安全機制來說，屬于一些程序的設定，可以給予程序的安全運行一定的保障。安全性機制，是操作系統(tǒng)和軟硬件功能部件整合的成果，與管理程序和軟硬件功能部件的整合之間也有著一定的聯(lián)系性，在信息系統(tǒng)中，任意部件檢測，都可以確保系統(tǒng)中程序的安全運行。

2計算機網(wǎng)絡安全體系的三維框架結(jié)構(gòu)分析

在分析計算機網(wǎng)絡安全體系的一種框架結(jié)構(gòu)中，主要圍繞三維框架結(jié)構(gòu)體系進行，進而發(fā)揮出三維框架結(jié)構(gòu)體系的作用，給予計算機網(wǎng)絡安全體系一定的保障。借助三維框架結(jié)構(gòu)體系，在分析計算機網(wǎng)絡安全問題時，要深入分析網(wǎng)絡結(jié)構(gòu)設計，確保高度的可靠性，結(jié)合X、Y、Z等層次，從而為分析網(wǎng)絡安全體系提供一定的便利性。第一，X安全服務方面。在安全服務層面的設計過程中，所涵蓋的內(nèi)容主要包括可用性、訪問控制以及認證等。在安全服務層面設計過程中，對于可用性來說，主要是指網(wǎng)絡數(shù)據(jù)信息是否可用，并且是否會影響到系統(tǒng)的安全性，旨在確保系統(tǒng)的安全運作；而對于數(shù)據(jù)保密性來說，主要是指數(shù)據(jù)傳輸方面的內(nèi)容，這對于計算機網(wǎng)絡的應用至關重要；而對于認證來說，主要是指Internet相關信息的認證，通過有效認證，為數(shù)據(jù)訪問的安全性創(chuàng)造一定的條件。第二，Y協(xié)議層面。在協(xié)議層面的應用，與應用層、網(wǎng)絡層以及物理層之間有著可緊密的聯(lián)系，這是網(wǎng)絡安全體系構(gòu)建的重要的內(nèi)容。協(xié)議層面的建設與系統(tǒng)通信模型的構(gòu)建，這兩者之間的關系是緊密聯(lián)系、密不可分的，主要圍繞TCP/IP協(xié)議進行，從而給予系統(tǒng)安全性強有力的保障。第三，Z實體單元層面。在實體單元層面中，與計算機網(wǎng)絡安全、應用系統(tǒng)安全等關系，是息息相關的，在三維框架結(jié)構(gòu)中，實體單元層面是重要的構(gòu)成內(nèi)容，在應用過程中，針對計算機網(wǎng)絡的各個層面，要進行深入分析，確保計算機網(wǎng)絡的安全運行。通過實體單元層面的應用，對于有效管理網(wǎng)絡安全具有極大的幫助，進而與計算機網(wǎng)絡系統(tǒng)的安全需求相適應[1]。對于計算機網(wǎng)絡安全三維框架結(jié)構(gòu)，在利用三維框架結(jié)構(gòu)過程中，以物理層、計算機網(wǎng)絡安全為例，可以看出，在計算機系統(tǒng)應用過程中，通過物理層，可以有效認證計算機網(wǎng)絡安全，確保系統(tǒng)的高效化運作。主機網(wǎng)絡安全在訪問認證過程中，要選擇相應的協(xié)議，有效控制訪問，進而與安全性需求相符合。在三維框架結(jié)構(gòu)體系應用過程中，可以保證相關操作的安全性和可靠性。

3計算機網(wǎng)絡安全體系的框架結(jié)構(gòu)的具體應用

在計算機網(wǎng)絡安全體系建設中，三維框架結(jié)構(gòu)體系發(fā)揮的作用不容忽視，在網(wǎng)絡安全建設過程中，可以有效管理網(wǎng)絡管理。計算機網(wǎng)絡安全框架結(jié)構(gòu)的應用，必須要對計算機網(wǎng)絡發(fā)展的特點進行深入分析，不斷增強應用的可針對性。比如可以對計算機網(wǎng)絡安全進行細分，進而給予網(wǎng)絡安全一定的保障。

3.1端系統(tǒng)安全管理分析

在三維框架結(jié)構(gòu)體系應用過程中，端系統(tǒng)安全管理的應用至關重要，端系統(tǒng)安全管理，對自身端系統(tǒng)的管理，給予了高度重視，制定相應的安全防范措施。比如：用戶可以結(jié)合Windows操作系統(tǒng)[2]，加強防火墻和殺毒軟件的應用，避免安全隱患的出現(xiàn)。用戶在端系統(tǒng)安全管理過程中，必須要嚴格管理通信端口，全方位、多角度領域地監(jiān)督和控制信息傳輸端，確保信息傳輸?shù)臅惩o阻，將安全隱患保持在萌芽狀態(tài)內(nèi)。

3.2通信安全管理

在應用三維框架結(jié)構(gòu)體系中，必須要高度重視通信安全管理。計算機網(wǎng)絡自身具有一定的開放性和匿名性，極容易導致網(wǎng)絡安全隱患的出現(xiàn)。數(shù)據(jù)信息在通信的帶動下，實現(xiàn)了傳輸，大大提高了計算機網(wǎng)絡的安全性，所以要想更好地處理和解決網(wǎng)絡安全隱患，必須要高度重視通信這一層面。3.2.1加強網(wǎng)絡安全性的評估網(wǎng)絡安全性的評估，必須要集中在網(wǎng)絡設備、用戶操作等方面，給予通信安全性一定的保障。網(wǎng)絡安全性的評估，可以對用戶通信安全狀況進行檢測，并深入分析其中存在的安全隱患，維護好通信的安全性和穩(wěn)定性?，F(xiàn)階段，在評估網(wǎng)絡安全過程中，要加強態(tài)勢感知技術的應用[3]，對相應的網(wǎng)絡安全防護設備進行部署，并有效判斷信息傳輸情況，做到防患于未然。3.2.2加強網(wǎng)絡入侵檢查對于網(wǎng)絡安全問題的出現(xiàn)，網(wǎng)絡入侵是重要的影響因素之一。在網(wǎng)絡入侵檢查過程中，必須要有效檢測網(wǎng)絡安全問題?；诰W(wǎng)絡通信視角進行分析，網(wǎng)絡通信主要運用了TCP/IP協(xié)議。在網(wǎng)絡入侵檢查過程中，必須要正確判斷訪問的合理性，如果出現(xiàn)非法問題，要及時進行阻止，并進行一定的提示，從而更好地處理網(wǎng)絡安全問題。

3.3應用系統(tǒng)安全管理

對于應用系統(tǒng)來說，是計算機用戶處理事物的重要系統(tǒng)之一，在應用系統(tǒng)進行安全管理過程中，必須要及時修復好漏洞問題。要求要加強安全管理系統(tǒng)的構(gòu)建，針對系統(tǒng)中存在的安全漏洞，加大管理力度。其中，要積極構(gòu)建應用層或網(wǎng)關，不斷提高計算機通信管理服務職能。應用層或網(wǎng)關，在通信安全管理中，主要結(jié)合統(tǒng)一的認證服務，進而使授權的用戶可以訪問使用信息。

結(jié)束語

總之，現(xiàn)階段，計算機網(wǎng)絡技術，已經(jīng)得到了廣泛的應用和推廣，在計算機網(wǎng)絡安全體系中，必須要高度重視三維框架結(jié)構(gòu)體系的應用，不斷提高數(shù)據(jù)信息傳輸?shù)陌踩院头€(wěn)定性，并避免網(wǎng)絡安全隱患的出現(xiàn)。

b[1]康志輝.計算機網(wǎng)絡安全體系的一種框架結(jié)構(gòu)及其應用[J].福建師大福清分校學報,2016(5):22-26.

篇5

如果電力系統(tǒng)中缺少嚴格的驗證機制，或者不同業(yè)務系統(tǒng)之間缺乏有效的訪問控制，可能導致非法用戶使用到關鍵業(yè)務系統(tǒng)，引發(fā)非法侵入的業(yè)務安全風險。

2電力行業(yè)計算機應用網(wǎng)絡安全結(jié)構(gòu)的內(nèi)容

基于電力行業(yè)所面臨的網(wǎng)絡安全風險，為保障整個電力系統(tǒng)的安全、穩(wěn)定運行，必須建立一套符合電力行業(yè)自身特點的網(wǎng)絡安全結(jié)構(gòu)。而所謂電力行業(yè)計算機應用網(wǎng)絡的安全結(jié)構(gòu)，即是應用和實施一個基于多層次安全系統(tǒng)的全面網(wǎng)絡安全策略，在多個層次上部署相關的安全產(chǎn)品，以實現(xiàn)控制網(wǎng)絡和主機存取，降低系統(tǒng)被攻擊危險，從而達到安全防護的目的。網(wǎng)絡安全結(jié)構(gòu)的內(nèi)容主要有以下幾個方面：2.1網(wǎng)絡安全防護結(jié)構(gòu)體系電力行業(yè)網(wǎng)絡安全防護的基礎是網(wǎng)絡安全域的劃分。根據(jù)《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡安全防護規(guī)定》的要求，電力系統(tǒng)的網(wǎng)絡可劃分為四級網(wǎng)。其中，電力調(diào)度生產(chǎn)控制與實時監(jiān)測可作為一、二級網(wǎng)，它與三、四級網(wǎng)絡是進行物理隔離的。第三級網(wǎng)為DMIS網(wǎng)，第四級網(wǎng)為MIS網(wǎng)，網(wǎng)絡安全防護的重點也是第三、第四級網(wǎng)絡。根據(jù)整個電力行業(yè)計算機應用網(wǎng)絡的特點，還可對三、四級網(wǎng)絡進行進一步安全域的劃分，并劃清網(wǎng)絡的邊界，綜合采用路由器、防火墻、入侵監(jiān)測等技術對三、四級網(wǎng)絡進行綜合防護。2.2安全防護技術的應用電力行業(yè)網(wǎng)絡安全防護技術，主要包括了防護墻技術、漏洞掃描技術、入侵檢測技術、病毒防治技術等，這些安全防護技術作為網(wǎng)絡防護結(jié)構(gòu)的基礎組成部分，在統(tǒng)一的安全策略指導下，以保障系統(tǒng)的整體安全。其中，防火墻技術、入侵檢測技術和漏洞掃描技術，主要是針對內(nèi)部信息系統(tǒng)不同安全域進行的安全防護；而病毒防治技術則主要是面對電力系統(tǒng)內(nèi)的客戶端及各種服務器提供安全服務。

3電力行業(yè)計算機應用網(wǎng)絡安全結(jié)構(gòu)的設計

3.1網(wǎng)絡安全結(jié)構(gòu)設計的原則

（1）安全性原則。是指網(wǎng)絡安全結(jié)構(gòu)的設計方案，應充分確保電力系統(tǒng)的安全性；所采用的安全技術產(chǎn)品應有著良好的產(chǎn)品質(zhì)量與可靠性，以充分保證系統(tǒng)的安全。

（2）一致性原則。主要是電力行業(yè)網(wǎng)絡安全問題應與整個網(wǎng)絡的工作周期同時存在，所制定的安全體系結(jié)構(gòu)也必須與網(wǎng)絡的安全需求相一致。

（3）易操作性原則。網(wǎng)絡安全結(jié)構(gòu)的相關技術措施需要由人為去完成，如果所采用的技術措施過于復雜，對人的要求也過高，這自身就降低了系統(tǒng)的安全性。

（4）分布實施原則。由于電力網(wǎng)絡系統(tǒng)隨著規(guī)模的擴大和應用領域的增加，網(wǎng)絡受到攻擊的可能性也不斷增加，想一勞永逸的解決電力網(wǎng)絡安全問題是不現(xiàn)實的，而且網(wǎng)絡安全措施的實施也需要相當?shù)馁M用支出。因此，網(wǎng)絡安全結(jié)構(gòu)的建設可采用分布實施的方式，既可滿足當前網(wǎng)絡對信息安全的需要，也可為今后系統(tǒng)的擴展與完善奠定良好的基礎。

3.2網(wǎng)絡安全結(jié)構(gòu)具體設計方案的應用

（1）電力系統(tǒng)局域網(wǎng)內(nèi)部網(wǎng)絡安全結(jié)構(gòu)設計整個電力行業(yè)計算機應用網(wǎng)絡，不僅會受到外部的攻擊，也同時會受到內(nèi)部攻擊。內(nèi)部網(wǎng)絡主要是指用于控制電力設備以及采集運行數(shù)據(jù)的設備層網(wǎng)絡系統(tǒng)，如SCADA系統(tǒng)DSC系統(tǒng)等，由于這部分網(wǎng)絡需和電力控制設備之間直接進行數(shù)據(jù)間的交換，任何非法入侵的數(shù)據(jù)都可能引發(fā)電力設備的故障，并可能導致整個電網(wǎng)的安全運行受到影響。為了有效解決內(nèi)網(wǎng)的安全防護問題，可在電站系統(tǒng)的局域網(wǎng)內(nèi)部，使用防火墻技術對不同的網(wǎng)段進行隔離，并且采用IPS設備加強對關鍵應用部位的監(jiān)控與保護。如圖1所示，即為電力系統(tǒng)局域網(wǎng)內(nèi)部網(wǎng)絡安全結(jié)構(gòu)設計。在該設計方案中：

①使用防火墻集群將內(nèi)部與外部網(wǎng)絡隔離，保證電力網(wǎng)絡外部的攻擊與漏洞掃描等，不會影響到內(nèi)網(wǎng)數(shù)據(jù)的正常傳輸與交流；

②再將內(nèi)部網(wǎng)絡的不同區(qū)域進行隔離，使之能具備不同級別的訪問權限，以有效保證內(nèi)網(wǎng)數(shù)據(jù)的安全性；

③對電站關鍵部位的安全防護還可采用IPS裝置，以保證內(nèi)部重要數(shù)據(jù)的可監(jiān)控性、可審計性以及防止惡意流量的攻擊。

（2）省級電力骨干網(wǎng)絡安全結(jié)構(gòu)設計省級電力骨干網(wǎng)絡的核心中部署有眾多的業(yè)務，如用電營銷、工程管理、辦公自動化系統(tǒng)、電力生產(chǎn)信息平臺以及GIS系統(tǒng)等，同時還包含了與其它企業(yè)及各種服務系統(tǒng)的系統(tǒng)。正是由于各種業(yè)務的流量都需由電力骨干網(wǎng)絡進行傳輸和匯集，對網(wǎng)絡的安全性與可靠性也有著極高的要求。因此，對于省級電力骨干網(wǎng)絡的安全結(jié)構(gòu)設計，可部署2~4點的防火墻集群作為網(wǎng)絡系統(tǒng)的省級安全核心，并對系統(tǒng)的多鏈路情況進行負載均衡，以充分滿足省級電力骨干網(wǎng)絡對安全防護的要求。省級電力骨干網(wǎng)絡的安全結(jié)構(gòu)建設，主要包括了兩方面的任務：

①利用防火墻技術對外部接口區(qū)域和內(nèi)部服務器區(qū)域進行劃分，并綜合應用病毒防治技術、漏洞掃描技術等多種安全防護技術，從而實現(xiàn)系統(tǒng)在訪問控制、漏洞掃描、病毒防護、入侵檢測、集中安全管理以及日志記錄等多個環(huán)節(jié)的安全防護；

②通過安全結(jié)構(gòu)的建設以實現(xiàn)系統(tǒng)多鏈路情況下的負載均衡，保證系統(tǒng)具有足夠的收發(fā)速度和響應速度，并能有效避免網(wǎng)絡服務的中斷。

（3）電力廣域網(wǎng)整體網(wǎng)絡安全結(jié)構(gòu)設計對于整個電力系統(tǒng)的廣域網(wǎng)，為了保證端對端、局對局的安全性，并有效保證整個系統(tǒng)的安全性與可靠性，可對整個電力廣域網(wǎng)采用分布式的安全結(jié)構(gòu)設計方案。其安全結(jié)構(gòu)的特點是：

①通過分布式架構(gòu)，可以使廣域網(wǎng)的安全結(jié)構(gòu)真正實現(xiàn)多臺防火墻的同時Active技術，有效保證了網(wǎng)絡的安全性。

②通過過濾規(guī)則設置，可以實現(xiàn)對廣域網(wǎng)內(nèi)部資源對外開放程度的有效控制，尤其是電力公司和Internet公共網(wǎng)絡之間的連接可僅開放某特殊段的IP端口，從而有效避免了病毒攻擊和非法侵入。

③通過客戶端認證規(guī)則的應用，可以確保電力廣域網(wǎng)不同的內(nèi)部用戶享受到不同的訪問外部資源的級別。同時還對內(nèi)部用戶嚴格區(qū)分網(wǎng)段，其自動的反地址欺騙有效杜絕了從外網(wǎng)發(fā)起的對于內(nèi)網(wǎng)的訪問，而對于內(nèi)網(wǎng)發(fā)起的對外網(wǎng)的訪問則可以不受到限制。

4總結(jié)

篇6

【關鍵詞】計算機通信 網(wǎng)絡安全 防護方法

當今階段，計算機通信網(wǎng)絡的安全已經(jīng)是對網(wǎng)絡進行管理的過程當中的主要內(nèi)容，也得到了全社會非常廣泛的關注，計算機通信網(wǎng)絡安全的管理水平對社會的發(fā)展有非常重大的影響。所以，一定要加強關注對計算機通信網(wǎng)絡安全問題的深入研究，這有著非常重大的意義。隨著人們的生活水平不斷的提高，相應的計算機通信安全的問題對人們的日常生產(chǎn)生活的影響也越來越大，而且已經(jīng)成了當今階段人們非常重視的一個話題。

1 計算機通信網(wǎng)絡安全管理中的安全隱患

1.1 網(wǎng)絡安全管理體制不健全

網(wǎng)絡安全管理體制的不健全，是嚴重影響我們國家計算機通信網(wǎng)絡安全的重要一項因素。因為網(wǎng)絡安全管理體制的不健全，致使網(wǎng)絡安全管理的部門也非常缺乏專業(yè)的技術人才，整體的技術水平較低，這就大大的影響到了網(wǎng)絡安全管理的質(zhì)量。也有些人認為，現(xiàn)階段，很多企業(yè)在計算機網(wǎng)絡安全管理上已經(jīng)建設了屬于自己的通信網(wǎng)絡系統(tǒng)，但是，大多數(shù)是照搬一些成功企業(yè)的經(jīng)驗，沒有完善的管理規(guī)范，從而致使網(wǎng)絡安全管理工作沒有大的發(fā)展，網(wǎng)絡安全管理工作也無法達到預期效果。

1.2 缺乏必要的網(wǎng)絡安全防范措施

F階段的網(wǎng)絡通信防護主要的作用就是杜絕病毒的浸入、病毒惡意的進行攻擊以及病毒非法的入侵等等。但是，實際在進行應用的過程當中，大部分的人或者是單位非常缺乏網(wǎng)絡安全防范的有效措施，所以，還無法有效的防范網(wǎng)絡系統(tǒng)內(nèi)外部帶來的安全風險。與此同時，不同安全域之間以及內(nèi)外網(wǎng)的隔離也沒有進行合理的控制，服務器在進行運行的過程當中開放很多沒用的端口，而這些無用的端口就會給黑客的遠程攻擊帶來了機會。上述的這些問題就會對計算機通信網(wǎng)絡的安全管理水平造成非常不好的影響。

2 計算機通信網(wǎng)絡安全的防護策略

2.1 提高安全意識，強化網(wǎng)絡安全管理

現(xiàn)階段，對計算機的通信網(wǎng)絡進行安全管理的過程當中，相關的網(wǎng)絡管理人員在進行工作的時候一定要把網(wǎng)絡安全的問題放在第一位，對計算機網(wǎng)絡安全的通信問題深入的進行研究，對管理人員的網(wǎng)絡安全意識不斷的進行強化，對網(wǎng)絡安全管理的水平不斷的進行加強。比如，因為現(xiàn)階段的“網(wǎng)絡安全”的理念已經(jīng)涉及到了網(wǎng)絡管理、數(shù)據(jù)對象以及通道控制等很多個內(nèi)容，為了有效的確保網(wǎng)絡信息系統(tǒng)的安全以及保密的問題，相關的網(wǎng)絡管理單位常常就會開展對計算機通信網(wǎng)絡的安全教育。所以，對網(wǎng)絡安全管理的人員來說，一定要緊緊的抓住開展的教育時機，不斷的提升自身的技術水平，為提升網(wǎng)絡安全的管理工作打下堅實的基礎。

與此同時，一定要加強重視的是，計算機本身也是致使發(fā)生計算機通信網(wǎng)絡安全非常重要的一個因素。有很多人認為，現(xiàn)階段的計算機通信網(wǎng)絡軟件系統(tǒng)自身還存在很多的問題，本身有很多的漏洞，還有就是互聯(lián)網(wǎng)當中的TCP/IP協(xié)議也有很多的安全問題。在這個越來越開放的網(wǎng)絡環(huán)境當中，如果沒有非常高的防護措施，那么就會致使計算機通信的網(wǎng)絡有很大的可能受到黑客的攻擊。這一情況就表明，計算機通信網(wǎng)絡的相關安全管理人員在對自身的網(wǎng)絡安全管理水平進行提高的過程當中，一定要全面的認識到信息計算機自身因素帶來的影響，根據(jù)計算機自身實際的情況采取有效的措施，來有效的提升自身網(wǎng)絡安全的管理水平。

2.2 科學利用各種安全保護措施

總的來說，因為網(wǎng)絡通信的系統(tǒng)自身非常的復雜而且建設的成本也比較高，所以，對計算機網(wǎng)絡的整體維護難度非常的大，而且在進行安全管理的過程當中使用較為單一的安全防護措施的時候，就很難達到有效的管理效果。這就需要線管的安全管理人員在進行工作的過程當中，一定要對計算機網(wǎng)絡的非法入侵實時的、嚴格的進行監(jiān)測。

2.2.1 隱藏IP地址

對現(xiàn)階段比較常見的一些計算機通信網(wǎng)絡的安全問題進行研究之后能夠得知，有一部分不法侵襲計算機網(wǎng)絡的方式就是利用網(wǎng)絡探測的技術來對計算機的信息進行非法的探查，在得到計算機的地址之后再進行入侵。服務是能夠有效的隱藏IP地址的方法，利用一些的服務器，就可以使得一些不法的分子只可以查看的服務IP地址，無法得到用戶計算機實際的地址，從而有效的保護了系統(tǒng)安全。

2.2.2 制訂完整的網(wǎng)絡安全策略

比較普通的網(wǎng)絡安全策略主要有以下幾個方面：第一方面，對用戶的訪問權限進行設置。比如：用戶在進行訪問的過程當中，就能夠利用用戶的密碼以及口令等方式來進行判斷訪問者的信息。當訪問者的信息正確的話，那么所設置的訪問權限一定要控制好訪問者需要訪問的內(nèi)容。第二方面，授權機制。利用網(wǎng)絡管理的方式，向計算機的終端用戶設置訪問的許可證或者是能夠進行訪問的相應指令，從而就能夠有效的控制非授權用戶使用網(wǎng)絡資源。第三方面，加密機制。加密機制是在用戶訪問網(wǎng)絡資源的過程當中，對網(wǎng)絡信息有效處理的一個過程。當用戶想要識別處理信息的時候，就應當取得高一層次的授權。這能夠更好的確保網(wǎng)絡數(shù)據(jù)的安全性。

3 結(jié)束語

總而言之，本篇文章就是對計算機的通信網(wǎng)絡安全以及主要的防護措施進行了詳細的論述。相關的工作人員一定要對安全風險的問題有效的進行處理，一定要確保計算機通信的安全。

參考文獻

[1]崔利軍.計算機通信網(wǎng)絡安全與防護策略的幾點思考[J].中國新技術新產(chǎn)品，2013（20）.

[2]陳睿.關于計算機通信網(wǎng)絡安全與防護策略的分析[J].電子技術與軟件工程，2015（11）.

[3]王鵬.計算機通信網(wǎng)絡安全維護管理分析[J].電腦知識與技術，2015（18）.

作者簡介

趙潔琳（1991-），女，河北省唐山市人。河北工業(yè)職業(yè)技術學院計算機技術專業(yè)。在職碩士研究生。

篇7

關鍵詞：網(wǎng)絡安全；安全監(jiān)控；網(wǎng)絡維護

中圖分類號：TP393.08 文獻標識碼：A文章編號：1007-9599 (2011) 20-0000-01

Research and Application about Monitoring and Maintaining of Network Security

Xia Qing

(Jiangsu Yancheng Product Quality Supervise Inspection Institute,Yancheng224005,China)

Abstract:This thesis had studied the Internet network security monitoring and maintenance of technology,from network security,content unless,according to the principles of network security monitoring,network security system design,and detail the use of firewalls and network intrusion detection technology,the establishment of joint monitoring and maintenance of network security system within the network and the Internet to complete the interaction between the security monitoring.

Keywords:Network security;Security monitoring;Network maintenance

一、網(wǎng)絡安全概述

信息時代，計算機網(wǎng)絡技術的發(fā)展和應用對人類生活方式的影響越來越大，Internet/Intranet技術廣泛應用于社會的各個領域，基于計算機網(wǎng)絡的安全問題己經(jīng)成為非常嚴重的問題。確保網(wǎng)絡安全己經(jīng)是一件刻不容緩的大事，解決網(wǎng)絡安全課題具有十分重要的理論意義和現(xiàn)實背景。本文針對網(wǎng)絡安全監(jiān)控與維護的需求，進行了深入的研究與開發(fā)，按照建立的網(wǎng)絡安全應該是動態(tài)防護體系，是動態(tài)加靜態(tài)的防御，提出了一個全方位、各個層次、多種防御手段的網(wǎng)絡安全實現(xiàn)模型，構(gòu)建了網(wǎng)絡監(jiān)控和維護的安全系統(tǒng)體系結(jié)構(gòu)。

二、網(wǎng)絡監(jiān)控原理

網(wǎng)絡安全監(jiān)控系統(tǒng)能夠分級建立監(jiān)控系統(tǒng)和網(wǎng)絡數(shù)據(jù)庫，首先，需要使得網(wǎng)絡內(nèi)部的各級監(jiān)控系統(tǒng)，對所管轄的網(wǎng)絡區(qū)域內(nèi)的計算機進行有效的監(jiān)控，阻斷“一機兩用”的行為和想象；其次，要對轄區(qū)的下級監(jiān)控系統(tǒng)的工作狀態(tài)進行監(jiān)控，能夠?qū)τ嬎銠C之間的病毒入侵源進行分析和定位；同時還需要對網(wǎng)絡區(qū)域內(nèi)的設備和個人計算機進行數(shù)據(jù)的管理、統(tǒng)計和數(shù)據(jù)登記，全面地進行網(wǎng)絡安全監(jiān)控和維護。

三、網(wǎng)絡安全監(jiān)控措施

（一）防火墻設置

在Internet與內(nèi)網(wǎng)之間安裝防火墻，形成內(nèi)外網(wǎng)之間的安全屏障[3]。其中WWW、MAIL、FTP、DNS對外服務器連接在安全，與內(nèi)、外網(wǎng)間進行隔離。通過Internet進來的公眾用戶只能訪問到對外公開的一些服務，既保護內(nèi)網(wǎng)資源不被外部非授權用戶非法訪問或破壞。

（二）入侵檢測系統(tǒng)配置

分布式入侵檢測系統(tǒng)一般采用分布監(jiān)視、集中管理的結(jié)構(gòu)，在每個網(wǎng)段里放置基于網(wǎng)絡的入侵檢測引擎，同時對于重要的服務器，例如MAIL服務器、WEB服務器放置基于主機的入侵檢測引擎。再通過遠程管理功能在一臺管理站點上實現(xiàn)統(tǒng)一的管理和監(jiān)控。

分布式入侵檢測系統(tǒng)的總體結(jié)構(gòu)系統(tǒng)由三個主要組件組成：主管傳感器、邊界傳感器、中央控制臺[5]。這三層結(jié)構(gòu)中的任一個結(jié)點均可對攻擊以不同的方式進行響應。分布式入侵檢測系統(tǒng)支持不同的鏈路，如TCP專用鏈路和TCP加密鏈路。主管傳感器由控制臺決定上報信息的存儲、顯示、管理，將匯總信息報告給控制臺。邊界傳感器每個組有一個主管傳感器，負責信息的收集、精簡。如果網(wǎng)絡連接通過公用網(wǎng)，則使用加密鏈路。

四、網(wǎng)絡監(jiān)控與維護應用

典型的網(wǎng)絡安全監(jiān)控應用，如VRV（Virus Removed Victory成功清除病毒）[6]網(wǎng)絡防病毒體系，為網(wǎng)絡每個層面提供防病毒保護，通過對病毒在網(wǎng)絡中存儲、傳播、感染的各種方式和途徑進行分析，提供桌面應用、服務器系統(tǒng)、郵件系統(tǒng)、群件服務器、Internet網(wǎng)關級別的全面防毒保護。這種全方位、多層次的防毒系統(tǒng)配置，能使政府、企業(yè)網(wǎng)絡免遭所有病毒的入侵和危害。

基于局域網(wǎng)、廣域網(wǎng)多級管理：網(wǎng)絡終端殺毒-局域網(wǎng)集中監(jiān)控-廣域網(wǎng)總部管理，在局域網(wǎng)中用VRV各防毒組件構(gòu)架本地網(wǎng)防毒系統(tǒng)的基礎上構(gòu)建廣域網(wǎng)總部控制系統(tǒng)：（1）監(jiān)控本地、遠程異地局域網(wǎng)病毒防御情況；（2）統(tǒng)計分析廣域網(wǎng)病毒爆發(fā)種類、發(fā)生頻度、易發(fā)生源等信息；（3）病毒信息匯總，進行病毒安全風險評估；（4）整體網(wǎng)絡統(tǒng)一策略、統(tǒng)一升級、統(tǒng)一控制。

主動式病毒防護機制：企業(yè)安全防護策略是針對網(wǎng)絡內(nèi)部安全推出的最新解決方案。不用等到病毒碼更新，就能主動防御。透過VRV防病毒管理中心管理整個病毒爆發(fā)周期。讓企業(yè)在面臨病毒爆發(fā)的威脅時，通過VRVAMC主動獲得完整防毒策略，有效降低因為病毒疫情帶來的人力損失及成本。防毒系統(tǒng)本身更能自動識別未知病毒，通過對文件和網(wǎng)絡流量異常監(jiān)視，提出報警。

五、結(jié)束語

本文通過分析了網(wǎng)絡安全的現(xiàn)狀與概況，提出建立網(wǎng)絡安全監(jiān)控與維護體系的重要性，在此基礎上，利用網(wǎng)絡安全監(jiān)控和管理手段，首先建立的網(wǎng)絡的防火墻配置，在防火墻配置的基礎上，配置了網(wǎng)絡入侵檢測系統(tǒng)，利用這兩項配置，完成網(wǎng)絡內(nèi)部與Internet之間的交互安全監(jiān)控。論文最后分析了一個實際的VRV網(wǎng)絡安全監(jiān)控與維護系統(tǒng)，通過該系統(tǒng)的配置與應用，說明網(wǎng)絡安全監(jiān)控技術的具體實施，對網(wǎng)絡安全具有一定研究價值。

參考文獻：

[1]張杰.因特網(wǎng)安全及其防范措施[J].信息安全技術,2002,3:20-23

篇8

[關鍵詞]計算機網(wǎng)絡 局域網(wǎng) 網(wǎng)絡安全

[中圖分類號]TN915.08 [文獻標識碼]A [文章編號]1672-5158（2013）06-0061-01

1 引言

隨著計算機技術的飛速發(fā)展，計算機網(wǎng)絡可以說已經(jīng)無處不在，網(wǎng)絡應用已滲透到現(xiàn)代社會生活的各個方面。在計算機網(wǎng)絡給人們帶來便利的同時，也帶來也一些不容忽視的問題。網(wǎng)絡安全已經(jīng)人們成為關注的焦點，也是技術研究的熱門領域，同時也是國家和政府的行為。

2 計算機網(wǎng)絡安全的內(nèi)涵

計算機網(wǎng)絡安全是指計算機網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)的數(shù)據(jù)受到保護，不受偶然或惡意原因而遭到破壞、更改和泄漏，系統(tǒng)連續(xù)可靠正常的運行，網(wǎng)絡服務不中斷。主要包括：①計算機網(wǎng)絡系統(tǒng)的運行安全：保證計算機網(wǎng)絡設備及系統(tǒng)狀態(tài)正常；②計算機網(wǎng)絡上信息內(nèi)容的安全：保護信息的保密性、真實性和完整性，把信息原原本本的送給應該接收該信息的人；③計算機網(wǎng)絡上系統(tǒng)信息的安全：通過采取一系列安全措施和安全策略，實現(xiàn)對計算機網(wǎng)絡系統(tǒng)的安全管理；④計算機網(wǎng)絡上信息傳輸?shù)陌踩罕ＷC信息正確傳輸?shù)侥康牡亍?/p>

3 計算機網(wǎng)絡安全面臨的威脅分析

針對網(wǎng)絡安全的威脅手段有一下三種情況：人為的無意失誤、人為的惡意攻擊和網(wǎng)絡軟件的漏洞和后門。

3.1 網(wǎng)絡安全存在的缺陷

3.1.1 協(xié)議及操作系統(tǒng)本身存在漏洞

計算機網(wǎng)絡安全隱患的主要原因是網(wǎng)絡是一個開放性的環(huán)境，同時計算機網(wǎng)絡協(xié)議以及操作系統(tǒng)的本身存在漏洞。TCP/IP及FTP、E-mail、WWW等都存在安全漏洞。

3.1.2 黑客攻擊等威脅互聯(lián)網(wǎng)安全

WWW中使用的通用網(wǎng)關接口程序、Java Applet程序等都能成為黑客的工具，黑客采用TCP預測或遠程訪問直接掃描等攻擊防火墻；而且一些人為的因素影響使得網(wǎng)絡更加脆弱。常見的網(wǎng)絡攻擊包括拒絕服務攻擊、郵件炸彈、過載攻擊、入侵、信息竊取以及病毒等。

常用的網(wǎng)絡攻擊手段：

（1）信息收集型攻擊

這種攻擊主要是對目標網(wǎng)絡或主機進行信息收集，以便為下一步入侵做準備。它一般不會對網(wǎng)絡和系統(tǒng)造成破壞。

（2）安全弱點掃描攻擊

在收集到攻擊目標的一批網(wǎng)絡信息之后，黑客會探測網(wǎng)絡上的每臺主機，以尋求該系統(tǒng)的安全漏洞或安全弱點，黑客可能使用多種方式自動掃描駐留網(wǎng)絡上的主機。像自編程序、利用各種公開的工具、利用性攻擊、口令猜測、特洛伊木馬、緩存區(qū)溢出、條件競爭攻擊、CGI攻擊等。

（3）拒絕服務型擊

這種攻擊行動使網(wǎng)站服務器充斥大量要求回復的信息，消耗網(wǎng)絡帶寬或系統(tǒng)資源，導致網(wǎng)絡或系統(tǒng)不勝負荷，以至于癱瘓而停止提供正常的網(wǎng)絡服務。

3.1.3 計算機病毒

計算機病毒無論是種類還是破壞性都與日俱增。而互聯(lián)網(wǎng)已經(jīng)成為病毒傳播的最主要的途徑，電子郵件和網(wǎng)絡信息傳遞為病毒傳播打開了高速通道。近幾年，在中國大規(guī)模爆發(fā)的多種病毒，全部都是通過互聯(lián)網(wǎng)傳播的。而通過網(wǎng)絡傳播的病毒與傳統(tǒng)病毒相比，表現(xiàn)出了更快的傳播速度以及更強有力的殺傷力。

3.2 局域網(wǎng)絡安全的威脅

主要有以下幾種：未授權訪問、越權訪問、信息審計、對公開服務器攻擊、病毒威脅和遠程傳輸。通過對網(wǎng)絡安全的分析，網(wǎng)絡安全需求包括一下幾個方面：①解決網(wǎng)絡的邊界安全問題；②保證網(wǎng)絡內(nèi)部安全；③實現(xiàn)系統(tǒng)安全和數(shù)據(jù)安全；④建立網(wǎng)絡通行身份識別和驗證系統(tǒng)，并實現(xiàn)用戶的統(tǒng)一管理；⑤在用戶和資源之間進行嚴格的訪問控制；⑦建立一套審計機制；⑧融合集輸手段和管理手段，加強員工的安全防范意識。

4 局域網(wǎng)安全解決方案

4.1 防病毒機制

安裝殺毒軟件是實現(xiàn)網(wǎng)絡安全必不可少的前提條件。殺毒軟件可以給局域網(wǎng)絡內(nèi)部的用戶提供一個安全保障，定期殺毒和升級軟件是系統(tǒng)安全的必要保障。

4.2 安全檢查機制

安全檢查就是要找出可能威脅系統(tǒng)安全的一場現(xiàn)象或漏洞，采取相應的措施，防患于未然。安全檢查的內(nèi)容包括物理安全檢查、管理安全檢查、網(wǎng)絡設備安全檢查、服務器安全檢查和終端安全檢查等內(nèi)。

4.3 身份管理與認證機制

身份管理和認證為網(wǎng)絡訪問提供了第一層訪問控制。它控制用戶能夠登陸服務器并獲取網(wǎng)絡資源，通過該用戶擁有使用的網(wǎng)絡權限和范圍來控制用戶對網(wǎng)絡資源的使用。用戶身份管理和認證可分為三個步驟：用戶名的申請、用戶名的識別與驗證、用戶口令的識別和驗證?？梢酝ㄟ^軟件或硬件加密來實現(xiàn)用戶的管理和認證。

4.4 安全恢復機制

計算機網(wǎng)絡的絕對安全是做不到的，因此需要做好數(shù)據(jù)備份，還要做好數(shù)據(jù)回復的準備。數(shù)據(jù)備份可以采用雙機異地、磁盤冗余、鏡像容錯等管理和技術手段來實現(xiàn)。

4.5 安全監(jiān)控機制

安全監(jiān)控機制是監(jiān)視、檢測用戶行為和系統(tǒng)狀況，控制用戶和系統(tǒng)使用網(wǎng)絡資源的一項信息安全技術。它主要包括鑒別驗證技術、訪問控制技術和安全檢測技術。

5 結(jié)束語

實現(xiàn)計算機局域網(wǎng)網(wǎng)絡安全是多方面的，其環(huán)節(jié)眾多，除了采用品質(zhì)好的材料和設備、建立合理的網(wǎng)絡結(jié)構(gòu)、采取適當?shù)陌踩呗?、實施必要的安全措施，還要重視員工的管理和培訓，建立相應的管理制度來規(guī)范員工的行為，以實現(xiàn)“三分技術、七分管理”的網(wǎng)絡安全理念。

參考文獻

[1]楊宇，計算機網(wǎng)絡安全存在的問題和解決對策分析[J]電腦知識與技術，2010，6（33）

[2]趙博，張勇，計算機網(wǎng)絡安全的問題與研究[J]信息與電腦，2010（11）

[3]王中鋒，李尚，計算機網(wǎng)絡安全管理淺議[J]，南昌教育學院學報，2010（4）

篇9

關鍵詞:網(wǎng)絡安全;信息安全;控制策略

中圖分類號:TP393·08文獻標識碼:A文章編號:1009-8984(2006)02-0075-03

計算機網(wǎng)絡作為現(xiàn)代社會的基礎設施,越來越多地出現(xiàn)在人們的工作、學習、生活中,其作用越來越重要,并且不可替代。但由于人們的安全意識與資金方面的原因,在信息網(wǎng)絡的安全方面往往沒有太多的投入與設置。在信息網(wǎng)絡形成的初期,由于信息資源和用戶數(shù)量不多,信息網(wǎng)絡的安全問題顯得還不突出。隨著應用的深入及用戶數(shù)量的不斷增加,各種各樣的安全問題開始困擾網(wǎng)絡管理人員,信息資源數(shù)據(jù)的丟失、系統(tǒng)運行效率下降、系統(tǒng)癱瘓的事情時有發(fā)生。因此,如何建立一個安全、穩(wěn)定、高效的計算機信息網(wǎng)絡系統(tǒng),就顯得十分迫切并成為重要的問題。

1計算機網(wǎng)絡安全的內(nèi)涵

計算機網(wǎng)絡安全包涵“網(wǎng)絡安全”和“信息安全”2部分。

“網(wǎng)絡安全”(NetworkSecurity)和“信息安全”(In-formationSecurity)是指確保網(wǎng)絡上的硬件資源、軟件資源和信息資源不被非法用戶破壞和使用。網(wǎng)絡安全涉及的內(nèi)容眾多、范圍廣泛,如合理的安全策略和安全機制。網(wǎng)絡安全技術包括訪問控制和口令、加密、數(shù)字簽名、認證、內(nèi)容過濾、包過濾、防(殺)毒軟件以及防火墻等。網(wǎng)絡安全,特別是信息安全,強調(diào)的是網(wǎng)絡中信息或數(shù)據(jù)的完整性、可用性、可控性、不可否認性以及保密性。信息安全的內(nèi)涵也已發(fā)展為“攻(攻擊)、防(防范)、測(檢測)、控(控制)、管(管理)、評(評估)”等多方面的基礎理論和實施技術。網(wǎng)絡安全防范的內(nèi)容也不再僅僅局限于硬件安全,具體說主要包含了物理安全、鏈路安全、網(wǎng)絡安全、系統(tǒng)安全、應用安全及管理安全6個方面。

網(wǎng)絡物理安全是整個網(wǎng)絡系統(tǒng)安全的前提;鏈

路傳輸安全主要保障數(shù)據(jù)在網(wǎng)絡上傳輸?shù)恼鎸嵭浴?/p>

可靠性、機密性、完整性;網(wǎng)絡結(jié)構(gòu)的安全則體現(xiàn)在

內(nèi)部網(wǎng)絡與外部網(wǎng)絡互聯(lián)時來自外部網(wǎng)絡的安全威

脅及來自內(nèi)部網(wǎng)絡自身的安全威脅二個方面;系統(tǒng)

安全指的是網(wǎng)絡操作系統(tǒng)、應用系統(tǒng)的安全;應用的

安全不是一成不變的,要隨時針對不同的應用檢測

安全漏洞,采取相應的安全措施,降低應用的安全風

險;管理安全指的是通過安全管理制度的制定、責權

的制定、管理工作的執(zhí)行來降低安全的風險。

2計算機網(wǎng)絡安全的表現(xiàn)形式

2·1不良信息的傳播

隨著網(wǎng)絡范圍的不斷擴大,應用水平的不斷加深,越來越多的人進入到了Internet這個大家庭。目前,Internet上各種信息良莠不齊,其中有些不良信息違反人類的道德標準和有關法律法規(guī),對世界觀和人生觀正在形成的年輕人來說危害非常大。如果不采取安全措施,會導致這些信息在網(wǎng)絡上傳播,侵蝕年輕人的心靈。

2·2病毒的危害

計算機病毒是一種人為制造的,寄生于計算機應用程序或操作系統(tǒng)中的可執(zhí)行部分,并且能夠自我復制、傳播的程序。通過網(wǎng)絡傳播的病毒在傳播速度、破壞性和傳播范圍等方面都遠遠超過單機病毒。網(wǎng)絡中的計算機在運行、下載程序和電子郵件時都有可能感染病毒,一旦感染病毒,就有可能造成主機系統(tǒng)的癱瘓或者崩潰。

2·3遭受非法入侵及惡意破壞

一些人因為好奇心、功力心或者惡意心的驅(qū)使,利用網(wǎng)絡設備、網(wǎng)絡協(xié)議和操作系統(tǒng)的安全漏洞以及管理上的疏漏,使用各種非法手段訪問資源、刪改數(shù)據(jù)、破壞系統(tǒng)。對這些行為如不及時加以控制,也有可能造成主機系統(tǒng)的癱瘓或者崩潰,給用戶帶來嚴重的不良后果及損失。

2·4設備、線路損壞

主要是指對網(wǎng)絡硬件設備的穩(wěn)定性。網(wǎng)絡設備包括服務器、交換機、集線器、路由器、工作站、電源等。線路包括光纖線路、電纜線路、衛(wèi)星線路等。它們分布在整個網(wǎng)絡內(nèi),管理起來非常困難。由于人為或者不可抗力(如天氣、自然災害等原因)的因素,設備、線路會發(fā)生損壞或故障,這樣會造成網(wǎng)絡全部或部分癱瘓。

3計算機網(wǎng)絡安全規(guī)劃原則

在對計算機網(wǎng)絡安全進行設計時,既安全、可靠又不加大投資,是我們應該堅持的總的原則。此外,在進行網(wǎng)絡安全方面的規(guī)劃時應當考慮的原則還包括:

3·1需求、風險、代價平衡分析的原則

對一個計算機網(wǎng)絡系統(tǒng)所面臨的威脅、安全需求、所承擔的風險和所要付出的代價一定要進行定性和定量統(tǒng)一的分析,確保系統(tǒng)的安全策略、保護成本以及所要保護內(nèi)容的價值必須平衡。

3·2綜合性、整體性原則

對計算機網(wǎng)絡的安全性設計一定要將系統(tǒng)內(nèi)的設備資源、軟件資源、信息資源和人力資源整體規(guī)劃、綜合考慮。只有從整體的角度綜合地考慮問題,才有可能獲得行之有效的解決措施,最大限度地保護用戶的投資效益。

3·3一致性原則

主要是指網(wǎng)絡安全問題應該與整個網(wǎng)絡的運行周期并存,制定的安全體系結(jié)構(gòu),必須與網(wǎng)絡的安全需求相一致。

3·4易操作性原則

目前,計算機網(wǎng)絡系統(tǒng)任何的安全措施的最后實施者都是人,如果過程過于煩瑣,本身就降低了系統(tǒng)的安全性。其次,所采取的安全措施不能影響整個計算機網(wǎng)絡系統(tǒng)的正常運行。

3·5適應性、靈活性原則

安全措施必須能隨著網(wǎng)絡性能及安全需求的變化而變化,要容易適應容易修改。

3·6多層保護原則

對任意一個網(wǎng)絡來說,絕對的安全難以達到,任何的措施都不是絕對安全的,都可能被攻破。但是如果建立的是一個多層保護系統(tǒng),各層之間相互補充,整個系統(tǒng)的安全系數(shù)也可以隨之增大。4計算機網(wǎng)絡安全管理的策略

4·1物理安全

在計算機網(wǎng)絡當中,保證各種設備的物理安全是保障整個網(wǎng)絡安全的前提。所謂的物理安全就是保護計算機網(wǎng)絡設備、設施等免遭人為、自然災害或各種計算機犯罪行為的破壞。具體可以包括以下幾個方面:

4·1.1環(huán)境安全

主要是指計算機網(wǎng)絡系統(tǒng)所在環(huán)境的安全保護。在對網(wǎng)絡系統(tǒng)進行規(guī)劃、設計、施工時一定要按照國家規(guī)范和標準進行。

4·1.2設備安全

設備安全主要是指應將一些重要的網(wǎng)絡設備,如各種服務器、核心交換機、路由器等盡量實行集中管理。對集中管理的設備要做好防火、防盜、防毀措施,保證設備所處房間的正常溫度、濕度。各種室外通信線路盡量實行深埋、穿線或架空,并有明顯標記,防止無意損壞。對于終端設備,如工作站、小型交換機、集線器和其它轉(zhuǎn)接設備基本建設投資落實到人,進行嚴格管理。如果有條件,樓宇內(nèi)的網(wǎng)絡線路應在基礎建設時就進行合理設計,綜合布線。同時,在進行網(wǎng)絡布線施工時一定要有詳細的線路圖紙,以備檢查維修時使用。

4·2系統(tǒng)安全

4·2.1網(wǎng)絡結(jié)構(gòu)安全

網(wǎng)絡結(jié)構(gòu)安全主要是指網(wǎng)絡拓撲結(jié)構(gòu)是否合理、線路是否有冗余等。主要通過合理設計網(wǎng)絡結(jié)構(gòu)來達到提高網(wǎng)絡安全的目的。

4·2.2操作系統(tǒng)安全

操作系統(tǒng)安全主要是指計算機網(wǎng)絡系統(tǒng)中可網(wǎng)管交換機、路由器、服務器等采取的安全配置、權限限制、補丁程序安裝等。

4·2.3應用系統(tǒng)安全

在計算機網(wǎng)絡系統(tǒng)中使用的服務器種類繁多,各服務器應關閉掉一些不常用的協(xié)議或協(xié)議端口號。同時,應加強網(wǎng)絡系統(tǒng)內(nèi)用戶的身份認證,確定網(wǎng)內(nèi)用戶的合法性。

4·3網(wǎng)絡安全

網(wǎng)絡安全是整個計算機網(wǎng)絡安全解決方案的關鍵,主要有訪問控制、入侵檢測、網(wǎng)絡安全掃描系統(tǒng)和防病毒系統(tǒng)等4個方面。

4·3.1訪問控制

通過對計算機網(wǎng)絡內(nèi)各種可網(wǎng)管的交換機、路由器、服務器、內(nèi)容過濾器、防火墻等設備進行嚴密的訪問規(guī)則的制定和劃分虛擬局域網(wǎng)(VLAN)的方式來進行細致的訪問控制。

(1)運用交換機、路由器的訪問控制技術

可在計算機網(wǎng)絡內(nèi)的可網(wǎng)管交換機及路由器上可使用訪問控制列表(ACL)技術對網(wǎng)絡內(nèi)的用戶來進行訊問控制。如:允許哪能些用戶進行訪問?允許用戶訪問哪些資源?是否允許管理人員以Tel-net、Web等方式進行遠程管理?以及可進行遠程管理的IP地址限制等。

(2)運用內(nèi)容過濾器和防火墻

由于上網(wǎng)人員的種類繁雜,有些人的法律意識不強,對網(wǎng)絡中的一些非法內(nèi)容鑒別力不高,因此有必要在互聯(lián)網(wǎng)的接口處使用內(nèi)容過濾器。內(nèi)容過濾器的主要用途是對一些不良網(wǎng)站或非法網(wǎng)站的內(nèi)容進行過濾,從而達到凈化網(wǎng)絡目的信息資源的目的,保證網(wǎng)絡信息安全。

配置防火墻則是實現(xiàn)網(wǎng)絡安全最基本、最經(jīng)濟、最有效的安全措施之一。

使用防火墻的目的就是阻止來自不安全網(wǎng)絡的未經(jīng)授權的信息或不安全的信息進入專用網(wǎng)絡,同時也可阻止專用網(wǎng)絡內(nèi)的不安全信息進入其它網(wǎng)絡。

(3)運用VLAN技術

目前的局域網(wǎng)主要采用的都是以太網(wǎng)技術,而以太網(wǎng)技術是以CSMA/CD(載波偵聽多路訪問/沖突檢測)的形式為技術基礎的。任何二個主機之間的通信同時也可被同一網(wǎng)絡上的其它主機所截獲而用于非法目的。

為了克服以太網(wǎng)的廣播問題,可以運用VLAN技術,減小網(wǎng)絡廣播的范圍,防止大部分基于網(wǎng)絡偵聽的入侵。同時也可以防止病毒的大范圍擴散。

4·3.2入侵檢測

目前的入侵檢測系統(tǒng)是根據(jù)已有的、最新的攻擊手段的信息特征代碼對進出網(wǎng)段的所有操作行為進行實時監(jiān)控和記錄,并按管理人員業(yè)已制定的檢測策略實時響應(切斷會話、報警等),從而防止針對網(wǎng)絡的攻擊與非法行為。

4·3.3掃描系統(tǒng)

通過使用各種掃描系統(tǒng)對網(wǎng)絡中的服務器、路由器等設備進行攻擊性掃描、分析和評估,發(fā)現(xiàn)并報告系統(tǒng)存在的漏洞和弱點,評估安全風險,建議補救措施。

4·3.4病毒防護

在網(wǎng)絡環(huán)境下,計算機病毒有不可估量的威脅性和破壞力。目前,最好的病毒防護辦法就是安裝防(殺)毒軟件并及時更新。同時及時更新、安裝操作系統(tǒng)的補丁程序。

4·4應用安全

為了保證應用的安全,應嚴格控制內(nèi)部人員開放本機的共享資源,不要輕易開放共享目錄。例如,為了達到控制目的,可在三層交換機或路由器上對常用的135、136、138、139等端口的使用進行限制。對數(shù)據(jù)庫服務器中的數(shù)據(jù)必須經(jīng)常進行安全備份。

4·5安全管理

制定健全的安全管理體制是計算機網(wǎng)絡安全的重要保證。但除了建立起一套嚴格的安全管理體制外,還必須培養(yǎng)一支具有高度的安全管理意識的網(wǎng)管隊伍。網(wǎng)絡管理人員通過對所有用戶設置資源使用權限與口令,對用戶名和口令進行加密存儲、傳輸,提供完整的用戶使用記錄和分析等方式有效地保證系統(tǒng)的安全。

網(wǎng)絡內(nèi)使用的IP地址做為一種資源以前一直為某些管理人員所忽略,為了更好地進行安全管理工作,應該對本網(wǎng)內(nèi)的IP地址資源統(tǒng)一管理、統(tǒng)一分配。對于盜用IP資源的用戶必須依據(jù)管理制度嚴肅處理。

在計算機網(wǎng)絡系統(tǒng)中,絕對的安全是不存在的。只能通過網(wǎng)絡使用人員與管理人員的共同努力,運用一切可以使用的工具和技術,盡一切可能去控制、減小一切非法的行為,盡可能地把不安全的因素降到最低。同時,要不斷地加強計算機信息網(wǎng)絡的安全規(guī)范化管理力度,大力加強安全技術建設,全面強化使用人員和管理人員的安全防范意識。只有共同努力,才能使計算機網(wǎng)絡的安全可靠得到保障,從而使廣大網(wǎng)絡用戶的利益得到保障。

參考文獻

[1]謝希仁·計算機網(wǎng)絡[M]·大連:大連理工大學出版社,2003·

[2]趙暉·計算機網(wǎng)絡安全與防護[J]·通信技術,2004,(3):25—26·

篇10

關鍵詞：計算機網(wǎng)絡安全;實驗教學;教學改革;教學模式

中圖分類號：G642 文獻標識碼：A 文章編號：1007-0079（2014）33-0108-02

計算機網(wǎng)絡安全是一門涉及計算機科學、網(wǎng)絡、通信技術、密碼學等多個學科的綜合性課程，課程理論性強，涉及知識面廣，對學生的理論與實踐兩方面的要求均較高。課程涉及的內(nèi)容主要有防火墻、入侵監(jiān)測、信息加密、惡意代碼防治以及網(wǎng)絡安全協(xié)議等[1]。由于課程具有強烈的工程背景，學生在學習和掌握該課程時，常常感覺空洞、抽象，無法與實際相結(jié)合。傳統(tǒng)的計算機網(wǎng)絡安全實驗課程仍主要停留在教師演示、學生驗證階段，學生很難深入理解技術原理，且實驗環(huán)境要求高，教學效果不理想。因此，如何更充分地將理論與實驗進行有機融合，構(gòu)建更合適的環(huán)境和平臺，使學生理解掌握理論知識，獨立思考，鍛煉分析解決具體問題的能力，為該課程實驗教學研究中的主要問題。本文結(jié)合筆者所在課程組多年來的教學實踐，詳細闡述了課程組所做的具體研究與探索。

一、現(xiàn)狀與存在的問題

計算機網(wǎng)絡安全實驗教學的目標旨在培養(yǎng)學生的實際應用能力，學生在掌握各種網(wǎng)絡攻擊技術原理的基礎上，能夠針對不同環(huán)境下的網(wǎng)絡應用規(guī)劃、設計安全方案，并實施有效的網(wǎng)絡安全管理。而單純利用實驗室組建局域網(wǎng)進行實驗教學無法滿足這一培養(yǎng)目標的要求。概括而言，當前實驗教學過程中存在以下主要問題[2，3]。

1.實驗學時相對偏少。目前大部分高校還是以理論教學為主，實踐教學為輔。以筆者所在學校為例，計算機網(wǎng)絡安全課程48學時中理論教學占40學時，實驗教學僅8學時，教師在設計實驗項目時只能覆蓋相對有限的幾個網(wǎng)絡安全原理，而學生實際遇到的網(wǎng)絡安全問題很可能是多個問題的集合，這也導致了實驗內(nèi)容零散、實驗項目單一的問題。

2.實驗內(nèi)容的特殊性。計算機網(wǎng)絡安全實驗很可能會對實驗室中計算機系統(tǒng)的硬件或軟件帶來不可逆轉(zhuǎn)的破壞。安裝還原保護卡使得需要特定配置的實驗無法正常進行，但如果取消還原保護卡，又可能會導致計算機系統(tǒng)出現(xiàn)運行緩慢、死機、文件被刪除、更改或大量復制等異?，F(xiàn)象，甚至導致系統(tǒng)崩潰，從而影響其他課程的實驗教學工作。

3.實驗效果的不確定性。一是實驗的集中進行，容易導致計算機系統(tǒng)的配置被頻繁更改，感染多種惡意代碼，導致實驗失敗。二是實驗需要多臺計算機協(xié)同操作，例如分布式拒絕服務攻擊過程實驗，一個班級的學生通常在40人左右，分組以2-4人為宜，則分組數(shù)至少為10組，需要大量的物理設備，加重設備的維護成本，實驗效果不明確。

4.實驗過程的模式化。實驗過程大多仍采用傳統(tǒng)的教師演示學生按照實驗指導書的步驟進行操作的方式，學生即使完成試驗，遇到具體問題也不知如何解決。如數(shù)據(jù)加密軟件實驗，學生能按照軟件的使用步驟，很好地掌握DES、3-DES、IDEA、RSA、MD5以及SHA等密碼學算法的基本原理，但在具體開發(fā)Web應用程序時卻仍然不知該如何應用這些算法來加強安全性?？梢姡瑢嶒灈]有達到培養(yǎng)學生發(fā)現(xiàn)、分析和解決問題能力的效果。

二、改革與創(chuàng)新的具體舉措

針對上述問題，筆者認為應從優(yōu)化實驗教學內(nèi)容、構(gòu)建高效實驗平臺、創(chuàng)新實驗教學模式、改進考核評價機制等四個方面對計算機網(wǎng)絡安全實驗教學進行改革與創(chuàng)新，以期能有效提高學生的學習興趣，培養(yǎng)學生的自主學習能力和創(chuàng)新實踐能力。

1.優(yōu)化實驗教學內(nèi)容

精心選取與優(yōu)化設置實驗教學內(nèi)容，是提高實驗教學質(zhì)量的重要途徑。實驗項目的設計應由淺入深、由易到難、由局部到整體，體現(xiàn)由演示到應用再到設計的進階式過程。具體到網(wǎng)絡安全課程，前期的實驗項目應設置網(wǎng)絡基礎知識和加密技術，讓學生建立起網(wǎng)絡安全的基本概念;然后按照從攻擊到防御的思路，先分析掃描、監(jiān)聽以及各種攻擊技術，再過渡到對各類安全技術的介紹，包括系統(tǒng)安全、網(wǎng)絡安全和應用安全技術等;最后將各個專項安全技術進行融合，實現(xiàn)網(wǎng)絡安全的整體解決方案，促使學生建立起對網(wǎng)絡安全體系架構(gòu)的認識。

設置計算機網(wǎng)絡安全實驗教學的內(nèi)容應遵循以下幾點原則：

（1）基礎性。理論基礎類實驗主要通過對系統(tǒng)進行基本的安全配置以加強安全防范，從而使學生充分理解和掌握計算機網(wǎng)絡安全涉及的理論知識。

（2）綜合性。將課程中基本原理和方法與實驗內(nèi)容進行有機融合，設置成綜合的項目式實驗教學內(nèi)容，各個實驗項目又相對獨立、完整，使學生形成對各種網(wǎng)絡安全問題的感性認識，提高解決實際問題的能力。

（3）典型性。實驗項目應突出某個計算機網(wǎng)絡安全理論在具體實踐中的典型應用過程。當學生在實際工作中遇到類似問題時，可借鑒這些典型實驗項目所體現(xiàn)出的通用解決方法。

（4）真實性。每個實驗項目應從某個具體的網(wǎng)絡安全事件入手，通過文檔、視頻等相關資料的展示對本項目所依托的真實案例進行詳細描述，以激發(fā)學生的實驗興趣，并引出實驗目標。還應適當增加有關網(wǎng)絡安全的前沿內(nèi)容，以幫助學生了解業(yè)界的發(fā)展動態(tài)。

（5）障礙性。應通過對計算機系統(tǒng)、網(wǎng)絡和服務器配置使用多個網(wǎng)絡安全技術加以保護，給學生的實驗過程設置一些人為的障礙，以促使學生思考找出解決障礙的方法和途徑，大大提高實驗教學內(nèi)容的吸引力，充分鍛煉學生解決實際網(wǎng)絡安全問題的能力。

（6）差異性。可為每個實驗項目設置不同的實驗要求，為實驗內(nèi)容劃分難易等級梯度，規(guī)定必做內(nèi)容和選做內(nèi)容，因材施教，使得不同基礎、不同能力的學生都能夠通過自身的努力完成相應的任務，讓學生在實驗中獲得成就感，以激發(fā)其學習興趣。

2.構(gòu)建高效實驗平臺

計算機網(wǎng)絡安全實驗具有綜合性、應用性、攻防性及工程性等特點，對實驗環(huán)境有更高的要求。一些攻擊類的實驗還可能會對網(wǎng)絡環(huán)境、計算機系統(tǒng)產(chǎn)生破壞或負面的影響。實驗室一般會安裝還原保護卡等設備，當進行安全設置或安裝安全補丁、軟件等原因需要重啟計算機后，系統(tǒng)數(shù)據(jù)便會恢復，實驗則無法繼續(xù)。因此，如何有效地平衡實驗室管理維護和實驗需求這一對矛盾，是構(gòu)建網(wǎng)絡安全實驗教學環(huán)境和平臺需要重點考慮的因素。

一般而言，高效的網(wǎng)絡安全實驗環(huán)境和平臺應具備以下三個特點：

（1）實戰(zhàn)性。應在實驗環(huán)境和平臺中設置Web服務器、數(shù)據(jù)庫服務器、郵件服務器、域名服務器等Internet中廣泛應用的信息系統(tǒng)，以模擬出可實戰(zhàn)的網(wǎng)絡環(huán)境作為計算機網(wǎng)絡安全攻擊與防御實驗的平臺。

（2）真實性。在網(wǎng)絡攻擊與防御實驗環(huán)境和平臺中存在的各種安全漏洞應來源于真實的網(wǎng)絡應用案例，上述的各個服務器系統(tǒng)應設置不同的安全級別，以體現(xiàn)交互式的網(wǎng)絡攻擊和防御過程。

（3）合作性。每個實驗小組由2-4名學生組成，小組內(nèi)部形成小型局域網(wǎng)，實驗項目由小組成員協(xié)作完成，以培養(yǎng)學生獨立思考能力，強化學生的團隊合作意識和溝通交流能力。

虛擬機技術[4]是目前構(gòu)建網(wǎng)絡安全實驗環(huán)境和平臺應用最為廣泛的技術，其通過軟件在物理機器上模擬出獨立的物理環(huán)境安裝或運行操作系統(tǒng)，可有效降低實驗成本，減少易耗品的消耗，且不受時間、空間的影響，可充分發(fā)揮現(xiàn)有設備的作用，也更適合要求相對苛刻、任務特殊而復雜的實驗。一方面，采用虛擬手段可有效隔離外部網(wǎng)絡環(huán)境，減少實驗安全事故的發(fā)生，降低對實驗設備造成的損害;另一方面，網(wǎng)絡安全實驗大多比較復雜，需要較多計算機設備，現(xiàn)有教學條件通常很難滿足大量學生同時進行實驗，采用虛擬機技術，可使實驗環(huán)境擴展性更好、利用率更高。目前較常見的虛擬機軟件有VMware、Virtual PC、Java虛擬機、UML、Xen和Bochs 等，其中VMware Workstation在實驗教學中應用最為廣泛。

3.創(chuàng)新實驗教學模式

實驗是在教師的指導下以學生為中心獲取技術經(jīng)驗的學習過程，應重點考查學生的學習效果和實踐能力，教師應由實驗步驟的演示者轉(zhuǎn)變?yōu)閷嶒炦^程的引導者，學生則應由被動的接受者轉(zhuǎn)變?yōu)閷嶒炦^程的主導者。在教學過程中，應采取開放的態(tài)度，教師僅提出實驗項目需要解決的問題和預期效果，不規(guī)定具體步驟和方法，不強求進度，不刻意追求實驗結(jié)果，由學生獨立思考設計方案、選擇軟件、實施步驟，以培養(yǎng)創(chuàng)新性思維，并鼓勵學生提出不同解決方案，并結(jié)合實驗結(jié)果進行探討。

筆者所在課程組根據(jù)幾年來的實際教學經(jīng)歷，認為采取分組實驗和對抗實驗的方式，更易于激發(fā)學生的實驗興趣，培養(yǎng)學生解決實際問題的能力。分組實驗可擺脫學生在實驗過程中的孤立性和被動性，學生通過交流討論開拓視野，提高動手動腦的興趣，鍛煉了組織、溝通和協(xié)作能力。對抗實驗可激發(fā)學生的興趣，如可通過監(jiān)聽QQ程序并公布學生的QQ帳號及其部分聊天內(nèi)容，從而使學生產(chǎn)生對網(wǎng)絡監(jiān)聽技術做深入了解的興趣。又如冰河木馬實驗，學生通過控制與反控制的過程，加深對木馬工作原理的理解。

實驗教學模式改革與創(chuàng)新，就是要逐步從教師先講實驗原理和步驟，然后學生按照實驗指導書完成實驗的傳統(tǒng)模式，轉(zhuǎn)變到采用諸如任務驅(qū)動教學法、案例教學法、啟發(fā)式教學法等更有效的教學手段，調(diào)動學生的主觀能動性，提高學生自主學習的能力。具體而言，任務驅(qū)動教學法，就是在教師指導下以學生為中心的學習，教師起組織、指導、幫助和促進的作用，利用情境、協(xié)助、會話等學習環(huán)境要素充分發(fā)揮學生的主動性、積極性和創(chuàng)造性，最終達到學生實現(xiàn)對當前所學知識意義建構(gòu)的目的。案例教學法則以案例為基本教學材料，將學生引入具體的問題情境中積極思考、主動探索，以提高教與學的質(zhì)量與效果。啟發(fā)式教學，可在充分發(fā)揮教師主導作用的前提下，激發(fā)學生的學習興趣，培養(yǎng)學習主動性。

另外，還可采用多元化的實驗教學模式[5]，將計算機網(wǎng)絡安全實驗內(nèi)容進一步細化為示教型、任務驅(qū)動型、小組協(xié)作型、師生互動研究型、開放型以及工程實踐型等多種類型，針對各個類型分別采用不同的教學過程，以達到更好的教學效果。

CDIO（Conceive，Design，Implement，Operate）是當今國際高等工程教育的一種新模式[6]，由美國麻省理工學院和瑞典皇家工學院等四所大學共同倡導。該模式更加注重扎實的工程基礎理論和專業(yè)知識的培養(yǎng)，以構(gòu)思、設計、實施及運作全過程為載體來培養(yǎng)學生的工程實踐能力。CDIO倡導做中學（Learning by Doing）和基于項目教育和學習（Project Based Education and Learning）的新型教學模式，讓學生以主動的、實踐的、課程之間有機聯(lián)系的方式學習工程，培養(yǎng)學生的工程能力、職業(yè)道德、學術知識、運用知識解決問題的能力、終生學習能力、團隊協(xié)作能力、交流能力和大系統(tǒng)掌控能力，從而培養(yǎng)既有過硬專業(yè)技能，又有良好職業(yè)道德的國際化工程師。顯見，CDIO工程教育模式與計算機網(wǎng)絡安全實驗教學的目標非常契合，采用CDIO工程教育模式來設計計算機網(wǎng)絡安全實驗教學過程是可行的。

4.改進考核評價機制

改進實驗考核評價機制是實驗教學改革與創(chuàng)新的重要組成部分?？茖W的實驗考核評價機制，不僅考核學生的學習情況，更重考核學生的學習過程，讓教師通過對學生的考核進行自身的教學反思，以及時調(diào)整教學內(nèi)容和教學方法。傳統(tǒng)的實驗考核方式是學生做完實驗后教師根據(jù)實驗報告評定成績，有一定的局限性，教師一般很難客觀、準確、全面地評價學生對課程的掌握情況及實踐操作水平，會嚴重挫傷學生的自尊心與積極性。

具體到計算機網(wǎng)絡安全課程的實驗考核環(huán)節(jié)，可采取“平時成績+操作成績+考試成績”的綜合評價機制進行考核，注重學生平時的表現(xiàn)，同時兼顧學生對基礎知識的掌握情況和實踐動手能力。考核時將學生劃分成不同層次，考核內(nèi)容、難度不同，對應的權值也不同，學生可根據(jù)自身情況選擇不同的難度級別，從而最大程度發(fā)揮學生的積極性、主動性和創(chuàng)造性。

三、結(jié)語

通過以上措施，可使實驗教學與理論教學聯(lián)系更加緊密，拓寬學生的知識面，培養(yǎng)學生的工程素質(zhì)，提高學生的實踐動手能力和創(chuàng)新能力。近年來，筆者所在的課程組已指導多名學生申請計算機網(wǎng)絡安全相關的各級大學生創(chuàng)新項目多項，參加江蘇省和全國信息與網(wǎng)絡安全技術競賽多次，并獲得較好名次。

計算機網(wǎng)絡安全技術的發(fā)展日新月異，許多新的實驗教學理念和實驗教學模式也相繼出現(xiàn)。因此在今后的教學過程中，課程組需要進一步總結(jié)、研究、探索、創(chuàng)新和實踐更適合計算機網(wǎng)絡安全實驗教學的新理論、新模式和新方法。另外，打鐵還需自身硬，教師亦需要不斷提高自身的工程素質(zhì)和實踐能力。

參考文獻：

[1]石志國，薛為民，尹浩.計算機網(wǎng)絡安全教程[M].第2版.北京：清華大學出版社，北方交通大學出版社，2011.

[2]賀惠萍，榮彥，張?zhí)m.虛擬機軟件在網(wǎng)絡安全教學中的應用[J].實驗技術與管理，2011，28（12）：112-115.

[3]廉龍穎，王希斌，陳榮麗，等.網(wǎng)絡安全技術實驗課程P+T+E教學模式研究[J].教學研究，2012，35（6）：100-102.

[4]李馥娟.虛擬機技術在復雜網(wǎng)絡實驗中的應用[J].實驗技術與管理，2009，16（12）：79-83.

[5]聶方彥，汪永琳，榮秋生，等.計算機專業(yè)實驗教學多元化教學模式探索與實踐[J].大眾科技，2013，15（3）：122-123.