时间:2023-07-20 16:16:28
导言:作为写作爱好者,不可错过为您精心挑选的10篇信息技术安全教育,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
技工在进行实践操作中,往往存在一定的危险性,但学生如果安全意识不足,在学习与实践过程中疏忽大意,可能引起不必要的伤害。因此,技工院校在教育教学中的首要工作就是增强学生的安全意识,提升他们对于危险情况的判断能力,同时对于他们今后工作中的操作适应性的提高有很大的帮助,能够为其自身安全提供一定的保障。现代信息技术在课堂上的应用不仅能够提升课堂教学的生动性,更能够帮助学生更加直观的意识到安全问题的重要性,从而有效增强安全意识,提升教师的教学效果以及教学质量,为学生的实践以及工作的顺利进行提供良好的保证。因此,技工院校以及相关教职员工要加强现代信息技术在安全教育中的重视程度,才能够使安全教育发挥出真正的价值[1]。
二、图音结合
图音结合的课堂模式不仅有利于技法学生的学习兴趣,同时对于教材知识的拓展,以及提高学生的知识积累有着重要作用。由于对技工院校的多数学生来说,可能在安全教育的理解上存在一定的偏差,认为技术操作仅仅是一场有趣的实践,对于自己专业性技能的提升没有太大的作用。但是安全教育在整个技工专业学习中都占据重要的地位。对于院校来说,怎样能够帮助学生提高安全意识,有效落实安全教育是其教学重点内容。而对于学生来说,课堂教学的内容既枯燥又无聊,注意力难以长时间集中。但是通过图音结合的方式能够将这样的问题改善甚至解决,教师通过运用画面的形式,使教学内容能够更加直观的呈现在学生面前,而多媒体的使用,能够使学生在学习基本安全知识的基础上,了解更多相关知识,提高学习效率与质量。例如,在日常课堂学习过程中,学生需要注意的安全问题较多,以简单的工具取用来说,看起来比较容易的事情,如果马虎大意,还是可能由于不正确的手法及态度发生误伤的问题。这时,教师就可以利用信息技术的方式将其危害以动画的形式展现出来,通过生动的展示内容,能够帮助学生意识到即使是微不足道的小事也要有安全意识,同时结合相关和内容,适当引入日常实践中的相关知识,进一步巩固教学效果。
三、展示后续发展
技工院校对于学生的安全教育涉及到方方面面,从日常行为习惯到面对危险情况时对于危险的判断以及解决能力的培养,从而具备自我保护能力。因此,安全教育工作存在一定的难度,对于教书的课堂教学而言是一场挑战,同时如何将安全问题完善而系统的传授给学生,并帮助他们有效吸收化为己用也是值得思考的问题。例如,现阶段汽车修理是要求学生们集中注意力的重点内容之一,其中的关键点也相对复杂,不仅要结合有关操作规范,还要结合汽车实际情况进行操作。但是,很多学生在操作规范上没有达到要求,并且在修理过程中可能存在一些意料之外的状况,对于学生的安全意识以及应变方面要求较高,仅仅凭借教师的理论诉说难以传达出这一过程的难度,甚至一些学生可能会抱着好奇心盲目尝试,导致安全隐患的存在。但是借助信息技术,可以在多媒体上将可能发生的后果展示给学生,吸引其更多的注意力,看到可能由于不当操作而引发的后果,让他们直观的了解到其严重性,并在脑海中形成印象,避免因为错误的行为而引发意外的情况,从而提高在实践当中的重视程度。通过借助信息技术展示不当操作的后续发展,能够有效帮助教师达到安全教育的教学目的,提升教学质量。
四、创设实时情境
前苏联教育家苏霍姆林斯基说:“儿童是用形象、色彩、声音来思维的”,幼儿认识世界的方式是比较直观的,他们对外部世界的认识较多地依赖声音、色彩和图像,据此,我们把信息技术融入到安全教育活动中,尝试运用多媒体手段,将安全教育的内容具体化、形象化、趣味化。让幼儿安全教育的内容添上鲜明的色彩,活动的形象,有趣的情节,儿童化的语言,以孩子乐于接受的形式展现在他们的面前,帮助幼儿掌握安全知识,增强幼儿的安全意识,培养幼儿的自我保护能力,扩展幼儿知识的深度和广度,从而使让幼儿园的安全教育更有实效。
信息技术在幼儿安全教育活动中,具备明显的优势。
一、信息技术的感性材料丰富,变枯燥为有趣
教育心理学研究表明,教育手段的新颖多样是吸引幼儿注意、激发学习兴趣、形成学习动机的条件。幼儿年龄小,新颖、鲜明、具体形象的刺激是引起幼儿无意注意的主要因素,在教学中充分发挥信息技术的图像直观、色彩鲜明、动静结合、形象生动的特点,巧妙地创设出与教学相适应的教学情境,使幼儿在不知不觉中全身心地投入到教学活动中。这不仅激发了幼儿的兴趣,还极大地增强幼儿的认识动力和能力,推动他们主动获知。多媒体信息技术作为一种先进的教学手段,将文字、图像、图形、声音、视频和动画等多种元素有机的融为一体,生动形象、富有情趣。实践证明,把信息技术融入到安全教育活动中,能够以贴合幼儿年龄和认知特点的形式,有效可以激发幼儿的学习兴趣。
二、信息技术的感知刺激多元,变静态为动态
在我设计的安全教育活动课件《学做文明小乘客》中,由汽车“嘟嘟嘟“的配乐拉开活动序幕,加入了汽车行驶画面,模拟幼儿乘坐公交车的情景。避免和代替了老师单一的口头表达和介绍,声音、图片、视频等多媒体元素构建的场景,让孩子身临其境,从而对后面老师在活动中介绍各类小动物在车上文明或者不文明的行为有很好的铺垫作用。
在《地震来了怎么办》这节安全教育活动中,活动开始让幼儿先观看了真实的地震视频:房屋倒塌、桥梁断裂、地面凹陷,触目惊心的视频画面让幼儿对地震所带来的灾害有了直观震撼的初步感受。活动全程,孩子一直非常专注,沉浸在地震来了,我该怎么办的气氛里,整个活动充分调动幼儿的视觉、听觉等多种感官,使幼儿在具体画面的刺激下,掌握了安全知识,增强了自我保护意识,也懂得了碰到困难自己要想办法解决,扩展了幼儿知识的深度和广度。
三、信息技术让活动镜头再现,变无形为有形
蒙台梭利说过:“听过了很快就忘记了,看到了很快就记住了。”幼儿在安全教育活动过程中,往往能对他人的行为可以进行头头是道的进行评价,却对自身的行为视若无睹。但是,多媒体却可以突破时空限制的功能将幼儿自己的行为展现,引发幼儿对自身不安全行为的反思与改正。
在安全教育活动《地震来了怎么办》中的一个教学重难点就是幼儿在室内躲避时,要选择安全区域—,即“三角区“。老师在第一次提问,如果地震来了,你将在哪些地方进行躲避的时候,就通过手机或摄像机拍摄孩子躲避的过程、位置和方式。捕捉孩子活动的瞬间,变无形为有形,然后让幼儿观看自己刚才的情景,运用多媒体技术画面的放大、放慢、定格等多种手段,让幼儿通过仔细观察,主动思考、探索、讨论,帮助其了解自己存在的不适当的躲避方法,从而掌握正确的方法,提高自我保护能力。这样让幼儿获得的是真实感知,不但容易理解,而且知识完整、印象深刻,并逐步内化为正确的行为技能,多媒体教技术引入安全教育活动,给活动注入了新的生机和活力。
四、信息技术直击教育难点,变抽象为具体
结合幼儿的认知特点,运用多媒体技术进行动态演示,将安全教学中的重点和难点形象、生动、具体、直观地剖析,使抽象难懂的知识变得浅显易懂,让幼儿能够真正理解和学握。如:在给孩子讲解高空抛物的危险时,大部分孩子对其伤害是缺乏已有经验的,因此并没有意识到高空抛物的严重性。我们为孩子播放视频:当一个鸡蛋分别从高空抛下对下面行人和物体的伤害,或者一个花盆掉下阳台对下面行人和物体的伤害,让孩子有更直观的感受,从而学会保护自己和他人,不做危险的事情。
幼儿在游戏时会发生互相推挤、叠压等现象。我们用多媒体网络让幼儿观察人体构造的画面演示各种不当做法对身体造成伤害的过程,幼儿认真观看形象的画面,对同样的事就会记的更牢更清楚了,从而给孩子警示作用。看了这样的画面,孩子们对难以掌握的知识,就能轻而易举地获得。突如其来的危险和灾难是生活中不可避免的,因此掌握初步的自救技能是十分必要的。多媒体教学独具的重复、慢放与特写功能,能抓住动作的重难点,有助于幼儿理解安全行为,并掌握自救动作与技能。
五、在运用信息技术到安全教育活动的过程中的建议
(一)运用多媒体信息技术丰富教育内容,优化各类信息来源
信息量大是多媒体信息技术这一教学手段的一大优势,在幼儿安全教育上,教师要根据幼儿的年龄特点和认知程度,选取合适的教育内容,并通过自己的筛选、整合、创编,不断优化信息来源,发挥其最大的教育导向功能。
我们都知道一个政治经济学定律:生产力决定生产关系。根据这个定律,可以把人类文明分为三种:农业社会文明,工业社会文明,信息社会文明。农业文明使用的工具是镰刀、锄头,代表者是农民;工业文明使用的主要工具是锤子、机器(马克思说过,农业社会是水推磨,工业社会是机器磨),代表者是工人;信息社会文明使用的主要生产工具是计算机,代表者是知识分子。从世界范围来看,农业文明中国领先,工业文明中国落后,信息文明则全球在行动,这是大趋势。信息社会的根本是重视教育、重视人才。
信息社会文明从技术上讲有三个技术很重要:以CPU为核心的技术、操作系统技术、信息安全技术。三大技术中前两大技术国外暂时领先,我们不能掉以轻心,仍有追击之力。对于第三项信息安全技术,我们是大有希望占有较大技术份额,甚至有可能领先。试想:在整个信息化文明到来时,作为一个占全世界人口四分之一的民族,核心技术又一举占先,数字化经济、信息化社会将垂涎于整个国家和民族。那么国家的综合势力必定大上一个台阶。
1 信息安全概述
随着现代通信技术的发展和迅速普及,特别是计算机互联网连接到千家万户,信息安全问题日益突出,而且情况也变得越来越复杂。信息安全本身包括的范围很大,大到国家军事政治等机密安全,小范围的当然还包括如防范商业企业机密泄露,防范青少年对不良信息的浏览以及个人信息的泄露等。
在通信过程中,存在着人为因素和非人为因素造成的对通信安全的威胁。其中,以人为攻击所造成的威胁最大。“攻击”分被动攻击和主动攻击两类。被动攻击是不改变系统信息内容以及系统状态的一种攻击。例如,以合法或非法手段窃取系统中的信息,或者通过对系统长期监视和对有关参数的统计分析,从中掌握某些规律,或获取有价值的信息情报等,都属于这种类型。被动型攻击主要威胁信息的保密性。主动攻击意在窜改系统中所包含的信息内容,或改变系统的状态或操作。常见的攻击手段有冒充、篡改、抵赖等。冒充是指非法用户冒充合法用户,特权小的用户冒充特权大的用户等;篡改是指采取删除、偷换、添加信息内容的办法,以假乱真;抵赖是指通过否认自己曾过的消息或伪造、修改来信等手段来实现的欺骗。主动攻击主要是威胁信息的完整性、可用性和真实性。
2 信息安全技术
针对上述攻击,目前常用的保障通信安全的技术即信息安全技术主要有:
2.1 信息保密技术
信息保密技术是利用数学或物理手段,对电子信息在传输过程中和存储体内进行保护,以防止泄漏的技术。保密通信、计算机密钥、防复制软盘等都属于信息保密技术。信息保密技术是保障信息安全最基本、最重要的技术,一般采用国际上公认的安全加密算法实现。例如, 目前世界上被公认的最新国际密码算法标准AES,就是采用128、192、256比特长的密钥将128比特长的数据加密成128比特的密文技术。在多数情况下,信息保密被认为是保证信息机密性的唯一方法。它的特点是用最小的代价来获得最大的安全保护。
2.2 信息确认技术
信息确认技术是通过严格限定信息的共享范围来达到防止信息被伪造、篡改和假冒的技术。通过信息确认,应使合法的接收者能够验证他所收到的信息是否真实;使发信者无法抵赖他发信的事实;使除了合法的发信者之外,别人无法伪造信息。一个安全的信息确认方案应该做到:其一,合法的接收者能够验证他收到的消息是否真实;其二,发信者无法抵赖自己发出的信息;其三,除合法发信者外,别人无法伪造消息;其四,发生争执时可由第三人仲裁。按照其具体目的,信息确认系统可分为消息确认、身份确认和数字签名。 例如,当前安全系统所采用的DSA签名算法,就可以防止别人伪造信息。
2.3 网络控制技术
常用的网络控制技术包括防火墙技术、审计技术、访问控制技术和安全协议等。其中,大家所比较熟悉的防火墙技术是一种允许获得授权的外部人员访问网络,而又能够识别和抵制非授权者访问网络的安全技术。它起到指挥网上信息安全、合理、有序流动的作用。审计技术能自动记录网络中机器的使用时间、敏感操作和违纪操作等,它是对系统事故分析的主要依据之一。访问控制技术是能识别用户对其信息库有无访问的权利,并对不同的用户赋予不同的访问权利的一种技术。访问控制技术还可以使系统管理员跟踪用户在网络中的活动,及时发现并拒绝“黑客”的入侵。安全协议则是实现身份鉴别、密钥分配、数据加密等的安全机制。整个网络系统的安全强度实际上取决于所使用的安全协议的安全性。
3 信息安全教育
为了保证信息安全,防范计算机犯罪,需要从技术、法律、管理和教育等方面着手,缺一不可。信息安全教育也是信息安全的重要组成部分。信息安全教育是一项新的安全工作,不仅是一个技术问题,更重要的是它对社会各方面可能产生重大影响。信息安全问题影响到整个社会,并逐渐成为社会的公共问题。抓好信息安全教育,进行有效管理,对维护社会的稳定与发展具有深远的意义。信息安全教育的比较内容比较多,主要包括法规教育、安全基础知识教育。
3.1 法规教育
法规教育是信息安全教育的核心。现代社会中,计算机的社会化程度正在迅速提高,大量与国计民生、国家安全有关的重要数据信息,迅速地向计算机系统集中,被广泛地用于各个领域。同时计算机的脆弱性所导致的诈骗犯罪,已经给计算机发达国家和公众带来严重损失和危害,成为社会关注的问题。因此,许多国家都在纷纷采取技术、行政和法律措施,加强对计算机的安全保护,建立了计算机安全管理、监察和审计机构。
3.2 安全基础知识教育
安全基础知识主要包括安全技术教育、网络安全教育、运行安全教育,实体安全教育,所涉及的内容既深又广。正确使用计算机系统和规范上网操作是各行各业工作必备的基本技术素质。
针对青少年的特点,重视学校和家庭教育,一是加强青少年的法制教育、爱国主义、政治思想教育,使青少年在思想上提高自我约束、自我保护的能力。二是积极创造条件,在普及网络知识上下功夫,普及信息安全知识上加大投入,一方面促使青少年更好地学习信息安全知识,另一方面在学习的过程中提高青少年的水准。三是家长不但要有所意识,及早行动,通过提高自身素质,以便更好地教育、引导孩子,而且在情感方面也要不断地与孩子交流。
4 结语
信息安全十分重要,但是绝对安全也是不可能的。因此,加强信息安全知识的普及和教育十分重要。结合信息安全的特殊性,加强长期培训和短期培训相结合,面对面传授和网上远程教育相结合,尤其是重视对青少年的启蒙和引导教育,为他们的智力、能力的发挥提供更吸引人的正确的信息安全教育平台。
关键词:信息安全技术;教学改革;实验创新
中图分类号:G642
文献标识码:B
1信息安全技术的教学现状
信息安全技术是数学、计算机科学与技术、信息与通信工程等学科交叉而形成的一门综合性课程,除了要求教师有宽广的知识和丰富的经验之外,还要有良好的教学条件、实验实践条件等。目前,信息安全技术的教学主要存在以下几方面的问题。
(1) 教材建设滞后。以“信息安全技术”为关键字,在专业图书网站“互动出版网”中搜索,找到了78种,并不是很多,而且这些教材大多是本科院校的有关教材,大多是按学科体系组织编写,强调知识的系统性、理论性和完备性,缺乏可操作性、实用性和应用性。显然,这些教材并不适合高职学生。
(2) 学生学习基础差,理论教学难度大。高职学生是高考最后一批招生的,这些学生大多基础知识较差,没有养成良好的学习习惯和端正的学习态度。而信息安全技术较多涉及数学、物理、电子、通信等理工科的内容,这给理论教学带来了一定的难度。同时,这对教师也提出了较高的要求,对这些理论知识要把握“够用”和“适度”的原则,做到“不求甚解”和“点到为止”,而且运用多媒体等现代化教学手段,把复杂抽象的原理和过程形象化、具体化、简单化,以符合高职学生的认知规律。
(3) 实验实践教学有待进一步加强。实践教学作为教学过程中的重要环节,它不但有助于对理论知识的理解和应用,而且还可以提高学生的动手能力和对知识的运用能力,这对高职学生尤为重要。信息安全技术是一门实践性非常强的课程,实验内容量大面广,受高职院校实验室条件的限制,部分实验实践难以开展,且大多数实验是验证性实验,缺乏设计性实验和综合性实验。实验的典型性、代表性和仿真性也有待进一步提高。
2教学改革与实验创新
我们在教学内容的安排、实验项目的选择、实验步骤的设计和实验文档的组织等诸方面做了精心的考虑和安排,尝试为“信息安全技术”课程编写了主要用于实验也可用于课堂教学的教材――《信息安全技术》实践教程。该教材依据课程教学大纲,充分理解课程的大多数主教材,遵循课程教学的规律和节奏,重视实验的可操作性、实用性和应用性,帮助学生切实把握本课程的知识内涵和理论与实践的水平。
《信息安全技术》实践教程通过一系列来自于实际工作中的实验练习,把信息安全技术的概念、理论知识与技术融入到实验实践当中,从而加深对该课程的认识和理解。全书共12章,包含了信息安全技术的各个方面(见表1),包括可供选择的25个实验、1个实验总结和1个课程设计。各章节都包含相关知识介绍、所需的工具及准备工作和实验步骤指导等,每个实验完成后,要求学生根据个人感受完成实验总结,以加深对概念的理解以及掌握主流软件工具的基本使用方法等。教师通过实验总结,了解学生对相关理论知识和实践操作能力的掌握情况,及时调整教学方法和内容,做到“因材施教”。
第1章:熟悉信息安全技术。包括信息安全技术的计算环境和标准化、信息系统的物理安全以及Windows系统管理与安全设置等方面。通过学习和实验,了解信息安全技术的基本概念和基本内容。通过对因特网进行的专题搜索与浏览,了解网络环境中主流的信息安全技术网站,掌握通过专业网站不断丰富信息安全技术最新知识的学习方法,尝试通过专业网站的辅助与支持来开展信息安全技术应用实践;熟悉标准化的概念、掌握信息安全标准化的内容及其意义,了解支持国家标准和其他标准信息的专业网站,并较为系统和全面地了解与信息安全相关的国家标准;熟悉物理安全技术的基本概念和基本内容;通过学习使用Windows系统管理工具,熟悉Windows系统工具的内容,由此进一步熟悉Windows操作系统的应用环境。通过使用和设置Windows XP的安全机制,加深了解现代操作系统的安全机制,熟悉Windows的网络安全特性和Windows提供的安全措施。
第2章:数据备份技术。包括优化Windows XP磁盘子系统和数据存储解决方案等方面。通过学习和实验,熟悉Windows XP的NTFS文件系统,掌握优化Windows XP磁盘子系统的基本方法和理解现代操作系统的文件和磁盘管理知识;熟悉数据备份技术的基本概念和基本内容。通过案例分析深入领会备份的真正含义及其意义,通过案例了解备份技术的学习和获取途径。
第3章:加密与认证技术。包括个人数字证书与CA认证、加密技术与DES加解密算法、RSA加解密算法和认证技术与MD5算法等方面。通过学习和实验,了解《电子签名法》及其关于电子认证服务的相关规定,熟悉CA认证的基本原理和作用,掌握数字证书的申请和使用过程,熟悉加密技术的基本概念和基本内容,熟悉认证技术的基本概念和基本内容;用Visual C++实现DES、RSA加解密算法和MD5算法,深入理解加解密算法及其在程序设计中的实现过程。
第4章:防火墙与网络隔离技术。包括防火墙技术及Windows防火墙配置和网络隔离技术与网闸应用等方面。通过学习和实验,熟悉防火墙技术的基本概念和基本内容,掌握通过专业网站不断丰富防火墙技术最新知识的学习方法,并在Windows XP中学习配置简易防火墙(IP筛选器)的操作;熟悉网络隔离技术的基本概念、工作原理和基本内容,熟悉隔离网闸的基本概念和工作原理,了解网闸产品及其应用。
第5章:安全检测技术。包括入侵检测技术与网络入侵检测系统产品、漏洞检测技术和微软系统漏洞检测工具MBSA等方面。通过学习和实验,了解入侵检测技术的基本概念和基本内容;了解漏洞检测技术的基本概念和基本内容,学习在Windows环境中安装和使用MBSA软件。
第6章:访问控制与审计技术。包括访问控制技术与Windows访问控制和审计追踪技术与Windows安全审计功能等方面。通过学习和实验,熟悉访问控制技术的基本概念、工作原理和基本内容,学习配置安全的Windows操作系统,掌握Windows的访问控制功能;熟悉安全审计技术的基本概念和基本内容,通过应用Windows的审计追踪功能,加深理解安全审计技术。
第7章:病毒防范技术。包括病毒防范技术与杀病毒软件和解析计算机蠕虫病毒等方面。通过学习和实验,熟悉计算机病毒防范技术的基本概念,掌握计算机蠕虫病毒的查杀和防范措施,尝试通过专业网站的辅助和支持来开展计算机病毒防范技术的应用实践。
第8章:虚拟专用网络技术。通过学习和实验,熟悉虚拟专用网络技术的基本概念和基本内容,尝试通过专业网站的辅助和支持来开展VPN技术的应用实践。
第9章:信息安全管理与灾难恢复。包括信息安全管理与工程和信息灾难恢复规划等方面。通过学习和实验,熟悉信息安全管理的基本概念和内容,通过学习某金融单位的“计算机安全管理规定”,提高对信息安全管理工作的认识,理解信息安全管理工作的方法;熟悉数据容灾技术和信息灾难及其恢复计划的概念、内容及其意义;通过案例更好地理解灾难恢复规划的概念。
第10章:信息安全技术的应用。包括电子邮件加密软件PGP、Kerberos认证服务、公钥基础设施PKI、安全通信协议(SSL)与安全电子交易协议(SET)和反垃圾邮件技术等方面。通过学习和实验,熟悉PGP和MiniPGP软件的使用来实现对邮件、文件等的加密与传输,掌握PGP的基本功能;熟悉认证的概念、认证协议,了解Kerberos模型、原理及其基本内容;了解PKI、SSL和SET、反垃圾邮件技术的概念、原理及其基本内容。
课程设计:信息安全技术课程设计为学生提供了可供选择的几个不同应用领域的典型案例,例如金融信息系统、电子商务系统、电子政务系统等,要求学生根据已经掌握的信息安全技术知识,对案例进行信息安全的规划与设计,完成相应的规划设计文档。
各章节的难易程度不同,实验练习之间的难度不断增加,循序渐进,学生在实验中遇到困难,还可以搜索更早的实验来帮助解决问题。每个实验完成后,要求学生根据个人感受完成实验总结;师生通过“实验总结”和“教师评价”部分,交流对学科知识、实验内容的理解与体会。
3学生的体会与评价
《信息安全技术》实践教程经过多轮学生使用,得到了学生的普遍好评。学生们积极的评价不仅仅是对教学的肯定、对实验内容的肯定,更重要的,是可以从中看到和体会到学生对教学改革的期望。
安全隔离网闸市场已经开始进入高速增长期。安全隔离网闸的高安全性已经逐渐地被政府网络管理者所认可,从安全隔离网闸现在在公安专网与其外联网络(如印章制作中心网络、旅店监管网络等),税务专网与互联网、工商专网与互联网等政府部门网络中的广泛应用就可以得到印证,并且数十台以上的集中采购项目已经是经常可见的。除了政府应用外,军队、金融、电力等行业也认识到了安全隔离网闸的安全价值,在重要的网络隔离中采购安全隔离网闸来实现高安全的数据交换。
安全隔离网闸需求量的迅速增长是以产品成熟为前提的!国家相关部门对安全隔离网闸最基本的技术要求有两点:一点是硬件架构为“2+1”结构,即由两个拥有独立操作系统的主机系统和一个专有的隔离交换模块组成;另一点是对流经的数据处理方式,对数据包全部在应用层进行重组、深度内容检测之后在网间进行信息“摆渡”。这两点技术要求已经在主流厂商的安全隔离网闸上得到了严格的执行。
但是,各安全隔离网闸厂商研发的重点都只是集中在对“摆渡”数据的深度检测实现和提高处理性能上了,笔者在进行广泛地调研后认识到安全隔离网闸的技术发展忽视了其作为网关级安全设备应该进一步具有适应性、可管理性以及自身安全性。以下笔者将从客户应用需求的角度,展望安全隔离网闸下一步的几个最新发展动向。
多网接入安全隔离需求
现在,交警、电业局、自来水公司等单位在通过银行实现相关费用代收时一般要与多家银行进行网络连接。安全隔离网闸在这样的网络中部署时使客户出现了困扰,原因在于现有各厂商的安全隔离网闸部署时每个主机系统只能连接一个网络,那么在不能将各家银行网络连接到同一个交换设备上的安全要求下,一般的解决方式只能是有几家银行接入就部署几台安全隔离网闸。这样的解决方案很明显是过于浪费的!
以交警网络与银行网络连接为例,我们仔细分析发现各银行网络相对于交警内网都是相同安全级别的网络。在各银行网络在实现无法互访和分别能与交警内网进行数据交换的前提下,是可以通过一台安全隔离网闸与交警内网相连接的。这就要求安全隔离网闸满足主机系统有多个网络连接接口,从而实现每一主机系统可以同时连接多个相同安全级别的网络,并且每个网络接口之间在系统内部固化实现无法互访。也就要求安全隔离网闸成为多网接入安全隔离平台(如图一所示)。
集中管理需求
防火墙从最初作为独立的安全设备部署在网络中,到现在可以通过集中管理控制平台来实现对多台防火墙的统一协同安全防护和设备状态监控等管理。安全隔离网闸作为与防火墙相类似的网关级安全设备,其管理上也必然有相类似的管理技术发展脉络。
当前,市场上的安全隔离网闸还无法实现集中管理功能,但由于安全隔离网闸的规模性部署增多和对管理人员技能要求更高,所以用户对安全隔离网闸的集中管理功能的需求已经相当迫切。
集中式安全管理系统,要以统一的策略和集成的平台对受控网络进行安全配置和管理。集中管理员能通过集中管理中心可以对全局网络中的安全隔离网闸完成集中、统一的配置、管理和系统监视工作。
集中管理模式对于拥有多台安全隔离网闸的网络的安全管理尤为重要。它一方面提高了网络安全规则的一致性,增进网络的安全性,另一方面也为管理员提供了方便的配置和诊断工具,使管理员可以腾出更多精力的关注更高级的安全管理工作。
操作系统抗攻击需求
用户对安全隔离网闸操作系统抗攻击的需求越来越迫切。安全隔离网闸作为网关级网络安全设备,并且对所有的应用协议都是在应用层采取的方式进行处理,从而导致安全隔离网闸的并发连接数都是不高的,如百兆平台一般并发连接数不超过一万个,这个数量级与防火墙的少则几十万和多则上百万相比实在太少了。因此,如果在相连网络中有主机感染网络病毒或者蓄意发起DDOS攻击时,就会导致安全隔离网闸无法响应正常的连接请求,由此出现的网络故障时有发生。
安全隔离网闸的操作系统内置独立的入侵检测功能和抗DDOS攻击功能将成为必需。其入侵检测功能要与系统紧密集成,包括包解码、规则解析及检测引擎、日志记录及报警等子模块。采用实时入侵检测机制和自动响应技术,可选择配置不同的攻击特征码,并且支持攻击特征码分类,可根据大类进行特征码选择。攻击的特征库应包括扫描攻击、SMTP攻击、HTTP攻击、FTP攻击等多类攻击,可以检测到网络中的绝大多数入侵行为,可以实时设置阻断规则,将入侵及时阻断。
市场需求是产品技术发展的指挥棒,用户的迫切需求需要具有研发实力和市场远见的安全隔离网闸厂商来完成。
技术发展需要
安全隔离与信息交换系统(以下简称“网闸”)的三项关键技术是:硬件隔离,信息摆渡,应用层的细粒度检查。
网闸作为对网络保护程度接近于物理隔离的安全产品,首先要在硬件上实现物理隔离。因此,网闸的硬件架构上就要是“2+1”,即有两个主机模块和一个隔离交换模块。现在除了个别厂商采用两个主机模块直接连接之外,大部分厂商都是采用“2+1”的架构,只是各自的交换模块设计方式不同。现在国内网闸业内的交换模块设计主要有三类实现方式:专有隔离交换硬件、与主机模块相同的主机和数据存储模块。基于要在硬件上实现物理隔离的原则,就要求三个模块的系统必须互相独立,并且通过隔离交换模块控制开关的切换确保两个主机系统任何时刻不直接相连。
网闸支持的应用通常包括数据库的同步和访问、文件交换、邮件交换和访问、HTTP访问、FTP访问等等。对于各种应用的控制强度和在应用层的检查力度是检验各厂商产品的安全防护能力的验金石。
用户安全需要
现在我国各级政府的网络建设重心已经由最初的面子工程转变成为各级政府电子政务提供基础应用平台。政府的网络基础建设已经基本完成,如网上报税、网上工商、政府办公大厅等网络应用已经开始全面展开,大大地方便了公民或企业办事。这些应用都要求各政府单位的业务网与国际互联网直接或者间接的进行连接,同时各政府单位又担心安全和保密问题。网闸基于其自身的高安全性,因此是解决此问题的最佳选择。网闸以自身的安全隔离特性和极高的检测机制保证了其保护的网络主机和网络不会被入侵。在高安全需求的网络环境下,网闸正在全面取代防火墙。
联想网御通过多年防火墙的研发积蓄了丰富的硬件设计、访问控制、主机安全防护、数据深层次检查等安全产品研发经验。很多安全技术就已经成功移植到网闸上,例如多机负载均衡技术的移植,使联想网御网闸最大支持32节点群集,无需任何第三方负载均衡软硬件支持。
2013年6月,美国《卫报》和《华盛顿邮报》对于棱镜门事件的报道使世界哗然。美国政府通过监听、监视民众的通话记录和网络活动掌握重要信息。这起事件背后不得不让人深思,也说明我国网络安全受制于人的严重困局。从网络诈骗,获取银行密码,盗取信用卡钱款等,再到斯诺登的棱镜门事件,导致国家和人民的利益深受侵害,这种种行为都归结于信息在传送和存储的过程中没有得到安全保障。不管从国家和人民的利益,还是从道德与法律的层面出发,对于信息安全的防范和保护都显得尤为重要。
信息安全专业是在网络高速发展,安全事情日益增多,安全问题越来越重要的情况下发展起来的,是由数学、计算机科学及技术和通信工程等学科交叉而成的一门综合性学科。自2001年武汉大学创办我国第一个信息安全本科专业以来,据教育部高教司统计,截至2010年,教育部共批准了78所高校设置了信息安全本科专业。在本专业的课程体系、教学内容以及全部教学实践活动的环节中,应从基础理论教学着手,把提高工程实践应用和增强学生创新能力应用及设计开发应用作为导向,重点培养学生实践动手能力。
本文在对信息安全专业培养课程研究的基础上,从理论切入到实验教学,结合以防火墙为例的网络防护技术,调查分析教学效果,提高学生的实践动手能力和学习积极性。
1 信息安全课程体系结构
信息安全学科不仅具有很强的理论性,同时也具有非常强的实践性,许多安全技术与手段需要在实践过程中去认识、去体会。[4]在本专业的全部教学实践活动中,应从基础理论着手,把提高工程实践应用和增强学生创新能力应用及设计开发应用作为导向,重点培养学生实践动手能力。
1.1课程内容设计
鉴于信息安全专业是交叉性综合学科的特点,本专业的理论课程设置分为两类。即基础理论课程和核心理论课程。如表1。
基础课程可以让学生初步认识到计算机的工作原理、软硬件系统等相关应用,对于学生学习密码学、信息论等核心课程有一定的促进作用,而且有利于学生下一步学习与深造。核心课程的设计是对本专业学习的综合提高,使学生在一定的基础之上更高层次的掌握本专业的顶层内容。这种课程体系的设置保证了学生可以适应信息安全领域、通信工程方面的相关工作,从而更好的满足社会发展和国家需要,缓解学生未来的发展和就业压力,规避行业风险。
1.2理论与实践相结合实践培养
建构主义学习理论认为,知识不是通过教师传授得到,而是学习者在一定的情境下,借助于他人(包括教师和学习伙伴)的帮助,利用必要的学习资料、媒体,通过意义建构的方式而获得。实践教学是实用性高级信息安全人才培养的重要环节,直接影响人才的培养质量。[4] 在实验过程中,学生以理论知识作为基础,通过分析、判断,运用理论知识解决问题。[5]实践教学是培养学生工程能力和解决问题能力的一种重要方法和途径。借鉴传统教学方法中的优点,采用“上课+上机操作”的传统教学模式,积极利用实验室现有设备和资源,重组理论与实验教学体系,建设基础—综合—创新的三级实验教学模式,增强学习过程中的自主性与合作性。实验教学不仅承担了对基础理论知识的验证,传送实验技能的任务,而且对于培养学生勇于探索、自主创新能力的提升也有所帮助。
2 网络安全防护技术实例
实践教学作为信息安全专业教育的重要内容,不仅对帮助学生理解信息安全专业的基本概念、原理和机制具有重要作用,也是培养学生实践动手能力和应用型工程人才的关键环节。该文提出把提高学生学习的主动性和参与性作为重点教学内容,进行教学活动的设计与实施。网络防护技术是安全防护技术之一,加固防火墙是实现网络防护的基本手段。该文以两人实验小组为依托,组织对抗性攻防实验,通过学生具体参与操作,增强学生的探索创新能力,充分发挥学生竞争意识,实行组内加分,组间互助的考核策略,最终达到能够合作设计完成综合实验的教学目的。具体实验教学模式如图1。该文以配置SMART-V防火墙实验为例,通过课堂实例来具体阐述本文的教学模式与理念。
2.1防火墙技术简介
防火墙是由软件和硬件设备共同组成的,它存在于内部网络与外部网络之间,是能够实施网络访问控制的系统。防火墙的常用技术分为包过滤技术、服务技术、网络地址转换技术、虚拟专用网VPN技术、审计技术、信息加密技术。
2.2防火墙典型体系结构
防火墙体系结构通常分为双重宿主主机体系结构、被屏蔽主机体系结构、被屏蔽子网体系结构。该文主要介绍被屏蔽子网体系结构。学生实验设备为联想网御Smart V系列防火墙,该产品集成防火墙、VPN、交换机功能于一身,满足学生学习应用要求。
被屏蔽子网体系结构的最简单的形式为两个屏蔽路由器,每一个都连接到周边网。一个位于周边网与内部网络之间,另一个位于周边网与外部网络(通常为Internet)之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。如图2所示。
2.3配置SMART-V防火墙
2.3.1分配任务
根据本班人数(32人),划分为16个实验小组,每两人一组,规划网络拓扑进行实验。实验拓扑如图3所示。
2.3.2实验过程
1) 置防火墙IP地址,保障主机A与B能正常通信。
2) 主机A对B主动实施TCP SYN Flood攻击。通过A主机实施攻击,实验小组了解到TCP SYN Flood攻击原理,并对TCP建立三次握手的协议进行了复习和巩固。
3) 每组成员共同架设防火墙。
4) 测试连通性分析参数。
主机A使用相同的方法对B实施TCP SYN FLOOD攻击,B仍可以保持相同的网速继续上网,说明防火墙阻挡了TCP SYN FLOOD攻击。最后撰写实验报告,教师给予小组成员评分。
2.3.3教师根据实验情况,总结实验。
本次实验共16组成员,其中10组成功完成了防火墙的配置与测试,2组没有配置成功,剩余4组由于时间原因未能完成实验。具体实验情况如图3所示。
根据实验进行的结果,62.5%的同学合作完成SMART-V防火墙的配置与测试,巩固了TCP协议的相关知识,了解了TCP SYN Flood攻击的部分手段,对于网络攻防技术的掌握更加具体化。对于未能完成实验的同学根据老师的帮助下查找错误原因,解决问题。有些同学由于其他原因未能完成实验,也给教师更多启示,教师应该根据具体实验时间与内容做出更加合理的安排。有兴趣的同学还可以在老师的指导下进行进一步的探索与实验,例如教师可以推荐联想网御N3000 IDS基本技术,学生自主完成配置操作,从中学习IDS的基本知识和技术(包括探测器、规则匹配、事件分析等),通过亲自体会与实验,能够进行N3000的基本配置及检测报表分析,并能从中理解IDS在网络安全防护中的重要作用。该实验过程应印证了从基础配置到探索创新的三级实验模式,也是学生自主完成从基础—综合—创新的提高过程。
3 结束语
信息在传播过程中要保证其可获性、完整性和机密性,还要保障网络传播设备的安全性和传送数据的可恢复性。实验教学过程给学生提供更多的学习和发展平台,增强学生自主创新能力,符合本专业培养方案与目标。信息安全专业提倡学生进行自主实验,把提高实际动手能力作为学习与科研的重要基础环节。教师应提供更多对抗性实验机会,充分发挥学生的竞争意识,多环节使用鼓励加分机制,把提高学生的积极主动性作为教学设计的第一过程。该文结合网络安全防护技术的实际教学案例,充分发挥基础—综合—创新的三级教学模式,最大程度唤起学生在学习过程中的自主性、互,并取得良好的效果。希望对于本专业今后的教学提供参照与帮助,成为信息安全专业实验教学模式的具体体现与补充。
中图分类号:X55 文献标识码:A 文章编号:1009-914X(2015)41-0389-01
下文通过对保密技术的阐述,同时也定义了XML在上下文中的安全性,还有XML的规范化,以及PKI基础设施的重要性,而且分析了逐步生成密钥的方法。也就是说扩展标记语言XML,是一种比较简单的数据存储的语言,其可以使用一系列的简单的标记,然后对数据进行描述,接下来我们就对XML的安全性进行简要的介绍。
一、XML的安全性介绍
对于本文所要说的安全问题,是针对XML加密技术的信息安全交换而言的,所以这个安全性不是我们通常所能领会的那层意思,其解释起来还比较抽象,安全一词不但涉及到了从一个客户机,然后经过不定数量的中间机器,最后到达目的地的整个过程,而且在这一个往复的过程中,是要对XML的进行保护的。在这方面我们要注意的是,假如一个XML消息的不同部分,在这个过程中也有可能有不同的目的地。而我们要保护有效的载荷,而这些有效的载荷却分布在不同的部分,所以就可以让预期的接收群体,能够及时方便的阅读它们,除此之外,又能对其他的,所有中间机器,在这个信息传递的过程中,保持加密的状态,可想而知,这个技术是多么的复杂和困难。在保护XML的信息中,在电子数据中其基本粒度单位是元素,而被加密的粒度,我们还可以对其进一步的细化处理,你比方说在规定的加密的类型中,我们所加密的是元素部分还是内容部分。这是要认识清楚的。
二、XML安全实现的具体方法
2.1 XML的总体加密的方法
通过了解我们的设计目标,就可以清晰地看出,被加密的XML数据,是用
XML的形式表现出来的。而经过了一系列XML的传递过程,最后在得到的XML中,有两个非常重要的元素值,是需要我们必须理解清楚的,因为这对一下的很多问题,都是非常关键的,和这两个数据值,其中中,不仅包含了加密密钥,而且还包含了所有的经过加密的内容。当我们在对加密密钥进行加密的情况下,所得到的结果,是要都放置在元素中的。只要不涉及加密过的内容,XML加密是可以让你在上面讨论的,而且还可以对两个元素中指定的加密的算法进行计算,或者是对加入的用于加密的密钥进行讨论。也即是说你可以不对它们进行分别保存,在后续的工作中你也可以引用这些数据,或者是应用其他的传输机制,把XML发送给接收方。下面我们就针对JAVA技术来说,步骤1:先把XML转换成DOM。步骤2:通过PKI体系中的对称算法,就可以生成共享密钥。步骤3:通过应用非对称算法,就可以生成密钥,如果这个公钥给的共享密钥被加密,我们就假设公钥是根据RSA算法而来的。步骤4:数据被加密后,一个密钥的加密密钥和两个密钥关联的算法是一样的。步骤5:最后,可以调用Encrypt or对象的encrypt的方法,把XPat h当成输入参数,然后传入。XPat h中,最后可以把XML内部需要加密的元素进行加密。
2.2 XML数字签名的具体方法
数字签名的具体步骤为:步骤1:和上面的加密步骤差不多,把需进行数字签名的XML文件格式,转换为DOM的格式对象。步骤2:在获得本文的上一章中的“生成公-私密钥对”所生成的密钥,实际上是包括公钥和私钥的。我们要用私钥把内容落实数字签名,然后再把公钥和经过数字签名的消息,一起发送给接收方,这样就可以方便的验证其中的数字签名了。步骤3:我们要根据需要的签名的DOM文档,进行一个si gner的创建工作,然后这个象是用来签名的,以此私钥来进行公钥的验证,而我们所进行验证用的公钥,并不是一定要实际存在的。数字签名过程中,最主要的对象就是si gner,它的种类在com.veri si gn.xml si g中是包含的,si gner对象的确立,是根据W3CXML Si gnat ur e的规范来对XML文档进行签名的,si gner在实际的应用中可以支持全部三种签名方式,所以其重要性是不言而喻的。步骤4:首先我们要指定XML中需要签名的那部分内容。然后通过对Si gner对象的引用,就可以确定数字签名的XML位置。而这种增加引用的方法,其实就是调用Si gnwer对象中的addResference方法。XPat h也可以成为一个参数,来提供给addRefeer-ence,是作为需要签名的元素,在经过多次的调用addRef er ence,就可以指定我们想要签名的不同元素了。步骤5:对XML签名是最后一步要做的工作,我们可以通过对si gner对象的调用的方式,来完成这个工作。当我们需要调用si gn方法时,急啊诶不传递任何的参数的情况下,生成的签名就是封外签名。然后通过带有XPat h参数的si gn方法的调用,数字签名就可以被放置在文档中了,最后就生成了封内签名。
总结:通过对以上加密内容分的分析,大家都能理解,元素加密其实就是说是对整个元素(包括属性)都进行加密,而且是通过应用Encrypt edDat a元素来替代它的。而内容加密,就是说只是对元素的子节点进行加密的,同样也是用Encr ypt edDat a元素来代替的。希望今天对XML加密技术的分析,为日后的工作带来方便。
参考文献
随着网络中信息安全事件的不断升温,网络安全教育也越来越受到高校重视。各大高校纷纷开设该类课程。本校计算机科学与技术、信息工程等专业都相继开设《网络与信息安全》、《信息安全》、《信息安全技术》等课程,普及网络安全知识,提高学生的网络安全技能,增加网络安全意识。以《网络与信息安全》课程为例,课程分配学分为4.0,采用“2+2”模式教学,其中理论2.0为课堂教学和课堂讨论课时,实验2.0为实验课时,即每周理论2节课,单周理论课时,双周讨论课,实验课每周2节课。该课程的体系结构如图1所示。[1,2]
教学过程中的基础内容
《网络与信息安全》课程分为三大模块:①网络安全基本知识概述。该模块主要讲述了网络安全的发展和现状问题,列举网络安全问题引发的各种不同影响的案例。②网络攻击技术。该模块主要讲述网络中的一些攻击现象、攻击行为以及攻击工具等。③密码学模块。该模块主要讲述古典密码学和现代密码学的一些应用,以及信息隐藏技术的一些实际作用等。④网络防护技术。该模块主要讲述网络中针对安全的一些防护措施,如防火墙、入侵监测系统等。
以信息隐藏技术为例,该部分内容在整个课程中非常重要,它将一些保密或重要的信息隐藏到另外一个可以公开的媒体之中,如把指定的信息隐藏于数字化的图像、声音或文本当中,充分利用人们的“所见即所得”的心理,来迷惑恶意的攻击者。近几年来,信息隐藏技术不断发展,越来越多地应用在生活中,如隐写术、数字水印、数字指纹、隐藏信道、阈下信道、低截获概率和匿名通信等,是目前较热的话题。[3,4]
在课程中这部分内容是整个课程的重点、难点之一,教学过程采用了比较、举例等方法,课时分配――理论教学:讨论:实验=1:1:2,理论讲授以图1中的知识框架为主线,算法原理及实现方法,讨论和实验结合中软吉大的网络信息安全系统进行教学。综合起来可以把这部分内容分为以下几部分。
1.信息隐藏位图法
位图法目前使用越来越少,但作为一种基础信息隐藏方法,仍有较高的教学应用价值。该方法作为课程中的一个基本知识点,要求学生掌握它的基本原理,并能通过一个案例,掌握主要运算过程如下:
例如,一幅24位BMP图像,文件头和图像数据由54字节组成,文件头不能隐藏信息,从第55字节开始为图像数据部分,这部分可以隐藏信息。图像数据部分是由一系列的8位二进制数所组成,因为每个8位二进制数中“1”的个数只有奇数或偶数两种可能性,因此若一个字节中“1”的个数为奇数,则称该字节为奇性字节,用“1”表示;若一个字节中“1”的个数为偶数,则称该字节为偶性字节,用“0”表示。我们用每个字节的奇偶性来表示隐藏的信息。
设一段24位BMP文件的数据为:01100110,00111100,10001111,00011010,00000000,10101011,00111110,10110000,则其字节的奇偶排序为:0,0,1,1,0,1,1,1.现在需要隐藏16进制信息4F,由于4F转化为8位二进制为01001111,将这两个数列相比较,发现第2,3,4,5位不一致,于是对这段24位BMP文件数据的某些字节的奇偶性进行调制,使其与4F转化的8位二进制相一致:第2位:将00111100变为00111101,则该字节由偶变为奇;第3位:将10001111变为10001110,则该字节由奇变为偶;第4位:将00011010变为00011011,则该字节由奇变为偶;第5位:将00000000变为00000001,则该字节由偶变为奇。
经过变化,8个字节便隐藏了一个字节的信息,这样就能很好地将信息隐藏在位图中了。当然逆向提取隐藏信息需要花费更长的时间。
2.LSB水印提取
LSB(最低有效位)算法是在位图法的基础上将输入的信号打乱,并按照一定的分配规则使嵌入的信息能够散布于图像的所有像素点上,增加破坏和修改水印的难度。水印信号嵌入模型如图2,水印信号检测模型如图3。
3.DCT变换域算法
DCT变换域算法是这一类算法的总称,在它下面的具体的算法会有一些不同。下面介绍一种基于模运算的数字水印算法。该方法将水印作为二值图像(每一像元只有两种可能的数值或者灰度等级状态的图像)进行处理,依据图像在进行DCT变换后系数的统计来选取适当的阈值,通过模处理加入水印。此算法的特点是在水印检测时不需要原始图像(如图4)。
模拟主动水印攻击教学过程
通过基础知识的学习,学生对信息隐藏技术已经有了一定的了解,为了加深记忆,使知识应用得更好,在这部分课程最后增加了一个模拟主动水印攻击的教学模块。该模块主要应用前期的知识完成。常见的水印攻击方法有:移去攻击、几何攻击、密码攻击、协议攻击(如图5)。
通过模拟攻击实验,学生对数字隐藏技术有了更深的了解,对各种算法增加了兴趣。并在课堂上针对结果展开讨论。下页图6为实验模拟攻击后的有效结果之一。
选用LSB或者DCT进行水印攻击,测试可以显示如下页图6效果。
教学成效
通过对课程中信息隐藏技术教学的改进,学生对比较难懂的数字水印部分内容有了更深一步的了解。通过改革,不仅充分调动了学生的积极性,培养了自学能力,开发了创新能力,还锻炼了学生的团队合作意识和实践能力。攻击中涉及算法的选择、操作的选择、速度的快慢,学生都能通过团队合作完成。学生在实践过程中强烈感受到了成功感和自信感。
结束语
本文以信息隐藏技术内容教学为例,阐述了三种不同的信息隐藏技术的基本知识点,分析了它们之间的关联性和区别,提高了学生的团队合作能力和创新思维的培养,加强了学生的学习兴趣。此外,本模式将教学与科研能力培养相融合,更多地引发了学生的思考。该教学模式可推广到其他课程中。
参考文献:
[1]李继芳,奚李峰,董晨.IPR―CDIO环境的计算机工程教育研究[J].计算机教育,2009(18).
[2]李继芳,奚李峰,殷伟凤,高昆.基于合作式学习的计算机导论课程教学[J].计算机教育,2008(10).
1.入侵防御系统概述及分类
1.1入侵防御系统的概述
入侵防御系统(IPS)有两种基本定义,①具有自主性智能化的网络安全系统在入侵检测的基础上进行主动相应和实时入侵阻隔,是形成网络安全体系的总体。②当前入侵检测系统和防火墙的集合体,将两者集成在一个系统中。IPS可分为两部分、两阶段。两部分为检测部分及防御部分。两阶段为检测阶段和控制阶段。
1.2入侵防御系统的分类
入侵防御系统在运行过程中分为三类:① 基于主机的入侵防御(HIPS),通过安装软件程序来防止网络攻击操作系统及应用程序。② 基于网络的入侵防御(NIPS)。通过检测网络流量来对网络系统进行安全保护,辨识出入侵行为的同时进行复位来保证系统的稳定运行。③ 应用入侵的防护(AIP),基于主机的入侵防护扩展成为应用服务器的网络信息安全设备。
2.入侵防御系统的特点及核心技术
2.1入侵防御技术特点
①实时在线服务,IPS采取了防火墙技术的服务方式,保留了入侵检测技术的实时性,通过系统中的网络端口检测流通中的流量是否包含异常性和可疑性。
②实时响应服务,IPS具有实时响应功能,能够对入侵活动和异常网络流量进行阻断拦截,避免出现不必要的损失。
③检测技术完善,IPS主要进行信息检测及协议分析,信息检测是对流量进行过滤匹配,而协议分析是所有通过IPS的数据包,根据不同应用协议的攻击方式进行筛选、隔离,以此实现提高检测的质量和效率。
④嵌入防御规则。主要是为了阻止代码攻击。
⑤学习适应能力强。IPS需具有自主学习和适应能力,据当前所在的网络环境和被入侵状态,分析和建立新的数据更新库,进行自动总结经验,制定更加完善的安全防范策略。
2.2入侵防御技术的核心技术
根据检测的方式不同,检测技术可分为两种:
①误用检测技术:也称特征检测技术,是检测引擎的核心技术,是按照规定对数据包进行分析检测,若于数据包中的规则相一致便被判定为误用而产生报警。
②异常检测技术:异常检测技术是指在进行网络检测时,对于任何不同于正常建模中的的行为都被认定为入侵行为。
3.新时期证券交易系统的安全风险
① 用户在系统登录的过程中所使用的账号密码及个人资料等机密信息在网络通信传输的过程中存在被攻击者截取的可能性,攻击者在截取之后对用户数据进行篡改,会导致用户信息对外泄露。
②证券交易系统客户端的安全风险主要包括软件程序自身存在的某种缺陷、客户端复杂的运行环境和客户端的登录认证方式。客户端程序自身存在缺陷使攻击者可以对客户端程序进行调试和篡改;客户端运行所在的环境中可能存在病毒、木马等,客户端的登录认证方式的安全风险可能导致用户的信息泄露。
③证券交易系统服务器端由于系统架构缺失安全模块和相应的防范机制,如网络方面只注重防火墙而忽略了入侵检测、防御等进一步的网络安全防范措施。同时,缺少安全监控机制和相关的安全制度,致使网上证券交易系统存在很大的安全风险。
4.入侵防御技术对证券交易系统的安全防范机制
4.1客户端防范机制
网上证券交易系统的客户端目的是为用户提供简易的操作界面和流畅地运行过程。保证用户能够轻松稳定的使用客户端的各项功能。保证客户端本身的安全及客户端运行环境的安全是保证证券网上交易顺利进行的前提和基础。客户端的安全模块包括:入侵防御技术主要防止木马后门进入系统;入侵检测技术是通过对注册表、文件关联等进行监控;进行启发预警,对重要目录实时监控;防止攻击者插入进程。客户端安全模块以服务形式驻留运行,通过监控内容的相关特征触发并启动引擎,避免攻击者对客户机密信息的窃取。客户端的运行环境可以通过客户端自身的安全模块与入侵防御技术中的实时在线服务相结合,以此保障账户信息不被非用户本人所取得来保障客户端运行环境的安全性。
4.2服务器端防范机制
网上证券交易系统的服务器团是整个系统平稳运行的核心所在,每次证券交易系统的运行都需要后台服务器的数据交互,所以为了服务器的安全应充分运用入侵防御技术与入侵检测技术对服务器端的安全进行有效的保障。传统进行网络安全隔离的是防火墙技术,该技术通过网络数据流量的经过对安全数据进行通过,对危险数据进行隔离从而使各主机之间的相互访问给予合理的安全防范。而入侵防御技术是一种对网络深层威胁进行抵御的安全手段,以深层防御为核心,精确阻隔危险数据为手段,以此对网络中深层攻击进行准确的分析和判断,而后判断为攻击行为后立刻进行阻隔,从而实施有效的保护网络安全。入侵防御技术根据其安全库和检测手段对常见的攻击行为进行有效的阻断,同时对内部往来的系统实现免疫防护。由于网上证券交易系统的服务器前端是通过网络提供对外服务,因此流量的成本多样化,在大量流量访问的过程中很有可能夹带危险流量,故需要对访问流量进行实时监控,随时监测分析,采取实时防御。所以对内部网络和网上证券交易系统数据库的访问的实时监控是必不可少的。
结语
入侵防御技术是当前网络安全领域的重要技术手段之一。以管理为手段确保技术措施达到标准,以技术为手段为管理工作提供强而有力的支撑。通过建立安全防线实现系统安全的全面保障,为整个网络带来安全可靠的环境。
参考文献;
[1]邓军.入侵防御技术分析与比较[J].电子技术与软件工程,2014:234-235.
[2]高天毅.网上证券交易中安全性研究与技术应用[J].科技资讯,2010:249-250.
作者简介:康晓凤(1978-),女,江苏徐州人,徐州工程学院信电工程学院,讲师;鲍蓉(1968-),女,上海人,徐州工程学院信电工程学院教学院长,教授。(江苏 徐州 221000)
基金项目:本文系江苏省高等教育教改立项研究课题(项目编号:2011JSJG253)的研究成果。
中图分类号:G642.0 文献标识码:A 文章编号:1007-0079(2013)32-0107-01
计算机科学与技术专业是技术发展更新最快的专业之一,而信息与网络安全技术又是本专业技术更新最快的课程之一。为使本课程的教学内容能跟上社会对人才的知识和技能要求,在给学生奠定扎实的基础理论的同时,还要强化动手能力,把学到的理论知识应用到实际项目中,同时在实践应用中主动学习新知识去解决各种问题。
CDIO是近年来国际工程教育改革的最新成果。CDIO代表构思(Conceive)、设计(Design)、实现(Implement)和运作(Operate),它以产品研发到运行的生命周期为载体,让学生以主动的、实践的、课程之间有机联系的方式学习工程的理论、技术与经验。其核心思想是强调“做中学”和“基于项目的学习”,这个思想和所倡导的学以致用和应用指导学是一致的。
信息与网络安全技术是一门理论与实践高度结合的课程,学生最初学习的积极性会比较高,但是如果没有合理的实践教学环节,学生学习的积极性会受到影响。只有在CDIO 理念的指导下,以学生为中心,合理安排教学内容和过程,提高理论联系实际的能力,才能达到较好的教学效果。
一、基于CDIO理念的教学大纲设计
根据CDIO工程教育理念,在构思信息与网络安全课程的教学大纲时,着重在教学目的、课程内容、教学方法、考核方式和课程设计等几个方面对教学提出了更高的要求。课程内容方面要求与当今的技术发展同步,将热点问题融入到实际教学中去。例如,2013年“3.15晚会”曝光的和网络安全相关的问题,可以融入到相关章节的教学内容,分析其成因、原理和解决方法。课程设计要能与全国大学生信息安全竞赛和全国大学生软件设计大赛等各级各类相关学科竞赛的水平同步,同时定期与相关的企业和院校交流,保证能够以社会需求为导向提高学生的技术能力。在考核方式上进行了大胆的改革,省级以上大学生实践创新和创业项目的主要参与者和省级以上信息安全竞赛的主要获奖者,本课程就可以免修。
在上述思想的指导下,经过课程组的讨论,本课程的教学内容主要包括信息安全发展现状和前沿技术、网络操作系统安全、网络实体安全、网络数据库与数据安全、数据加密和鉴别、防火墙、网络攻防技术与应用、Internet安全和VPN技术等,实验项目包括密码学(置换、替代、DES和RSA)、PKI、多级安全访问控制、防火墙、入侵检测、病毒、VPN和安全审计等内容。课程设计遵循以赛带练的指导思想进行开展,主要分为两大方向:安全作品和模拟攻防。安全作品由教师指定参考题目或学生自拟题目来实施,这些题目主要参考各级信息安全竞赛而不断更新,如文件透明加解密、基于Android平台的安全通信录、基于Android平台的绿色浏览器、基于Android平台的手机防护系统等。模拟攻防由教师提前创建一个模拟环境,在此环境中预留一些漏洞和层层关卡,学生在规定的时间内通过的关卡越多,则完成质量越高,环境和关卡的设置参考各级攻防赛的相关设置。
二、一个核心、一个导向、三个层次的教学模式改革
为了最大限度提高学生的学习积极性和学习效果,提出了一个核心、一个导向、三个层次的教学模式改革方案。一个核心是指以从业职位为核心,以信息安全人才未来可能从事职业的基本需求为基础设定了三大类职位:安全软件开发、安全顾问和红客。引导学生在学习期间拟定职业方向,进而有针对性地提高某个方面的能力。一个导向是指以项目经理训练为导向,即与网络安全充分结合的综合性的团队式项目训练,从团队人员的确定、项目计划、项目实施和项目的推广整个过程都有项目经理来执行,培养了学生的工程基础知识、个人能力、团队合作能力和工程系统能力。三个层次是指本课程的教学结构和内容上分为基础模块、项目模块、企业模块三个层次。基础模块是本课程的理论知识学习,项目模块是项目经理训练,企业模块是实训基地的企业项目实训。
三、分梯度的学生培养机制
徐州工程学院(以下简称“我校”)没有设置信息安全专业,信息与网络安全技术课程只是在计算机科学与技术专业的网络工程方向开设,而信息安全人才是复合型的人才,仅仅在网络工程方向的学生中去培养优秀的信息安全人才是困难的。学生仅仅学习这一门课程远远达不到社会对信息安全人才的技能要求,所以我校一般从大一开始进行选拔和培养。首先从计算机科学与技术专业中选拔一些有兴趣的同学,进入学院设立的学生网络技术学会,然后再从中选拔比较优秀的学生进入学院与企业共同设立的信息安全小组。进入信息安全小组的同学采取导师制的方式进行培养,指导老师对信息安全小组的每个同学制订一份个性化的培养方案,指导这些学生去参加各级各类学科竞赛,申请各级大学生实践创新和创业项目,在本科学习的第四年再把这些学生送到相关的实训基地参加实训项目,形成了四年分梯度的信息安全人才培养机制,如图1所示。
四、基于情景模拟的实践、实训教学体系
在CDIO的12条标准中,标准5和标准6对目前实践教学中存在问题的解决有很好的指导作用。依据CDIO的指导思想和企业项目需求,课程组老师进行多方考察和筛选后,与企业合作建立了信息安全实验室。本实验室不仅可以进行常规的课程实验,同时也能模拟各种信息安全应用案例,实现各类安全项目的实施。信息与网络安全技术的实践教学体系将课堂教学、实验项目、课程设计、学科竞赛、教师科研、实训基地、服务社会等环节有效地融入一体。
在实践教学中采取情景模拟教学方法。每一个实验都进行应用情景设计,按照“设定情景—提出问题—分析问题—解决问题—总结经验—经验推广”的模式进行实验教学,使学生对每一个实验项目都有一个全面的认识,提高其解决问题的能力。
学生在本科学习的第四年进入实训基地学习,和校外工程导师一起参与实际项目的开发,这样学生掌握的技能就能和企业需求实现“零距离”对接。实施以来取得了丰硕的成果并受到学生的普遍欢迎,学生在校外实训期间参与企业各类工程集成项目多项,深受用人单位好评。
五、提高教师自身的CDIO理论和实践能力
为了加深对CDIO的认识,并把这个理念带到教师实际的教学和科研工作中去,要求课程组的教师认真学习CDIO的理念,同时积极参加国内组织的CDIO教学研讨活动。现在很多大学教师在自己专业知识和科研方面都是专家,但在实际工程和产业中的经验非常有限,CDIO理念要求教师不仅要具备深厚的理论功底而且还要具备熟练的实战动手能力。在这种思想的指导下,课程组教师积极争取学院委派到企业进行锻炼的机会,增强自己的实际工程和产业经验。现在本课程组教师都具有工程项目经历。
六、结语
在充分研究与吸收CDIO工程教育理念的基础上,结合我校的人才培养目标和教学理念,对信息与网络安全技术课程从教学大纲的编制、教学模式的改革、实验和实训体系的设计,以及学生培养机制等方面进行实践,取得了丰硕的成果。自2010年起,学生申请软件著作权4项,在国内的各类期刊9篇,在省级以上信息安全技术相关的学科竞赛中获奖11余人次、申请省级以上大学生实践创新和创新创业项目10项。在此基础上,将继续运用CDIO工程教育理念,深化课程的教学改革。
参考文献:
[1]王天宝,程卫东.基于CDIO 的创新型工程人才培养模式研究与实践——成都信息工程学院的工程教育改革实践[J].高等工程教育研究,2010,(1):25-31.
[2]林英,李彤.信息安全专业“应用安全方向”CDIO实践探索[J].计算机教育,2010,(6):94-97.