网络安全行动总结篇1
一、通过多种渠道的宣传方式,提升全校学生的网络安全意识。
为了更好的宣传网络安全知识,在全校范围内开展网络安全知识的宣传。发挥线上线下多渠道的宣传优势,全方位多角度的对网络安全意识的提升加以宣传。通过宣传栏介绍相关安全知识;在360校园大使与系领导的统一安排下,相继展出了以"360网络安全伴我行"为主题的网络安全宣传板。通过以上展开的切实有效的宣传活动,使船院学生从最初对网络安全概念淡漠,逐步上升到树立网络安全自我保护意识,同时同学们也纷纷宣传并学习了网络安全相关知识将其运用到生活中,以便更好的创造和谐的网络环境。
二、通过组织学习及参与讲解会深刻了解网络安全的重要性和对360企业文化认识及360产品的使用。
认真计划并组织船院学生通过线上参与360网络安全伴我行竞赛,深刻了解网络安全教育活动于2016年3月28日-3月30日,组织在校同学们进行了多种形式的网络安全知识的学习,并于30日下午参加360校园俱乐部组织的"360网络安全伴我行讲解会".在此活动中,同学们纷纷展现出了较高的积极性,并且取得了优异的表现,部分同学在竞赛中获得了由360校园俱乐部提供的奖品。据参加讲解会的同学说:"其实讲解会的题目就是我们生活中常见的网络安全问题,通过这种方式能使我们更加深入的了解网络安全,从而更好的将360安全的网络技术运用到学习和生活中。"
网络安全行动总结篇2
银川市交通运输局2020年网络安全工作总结
市委网信办:
按照《关于报送2020年网络安全工作总结的通知》要求,现将银川市交通运输局2020年网络安全工作具体情况总结如下:
一、主要措施及成效
(1)落实网络安全责任。成立银川市交通运输局信息网络安全工作领导小组,局长任组长,分管副局长任副组长,机关各科室负责人为成员,设置专职信息网络联系员,明确分工,责任到人。
(2)建立信息网络安全规章制度。根据《银川党委(党组)网络安全工作责任实施细则》要求,为确保信息网络安全,建立计算机安全保密、网络安全管理等工作制度。
(3)网络信息安全自查工作。现有部门网站、新媒体平台共4个。截止目前:@银川交通:共检索微博823条(全部)@银川公交:共检索微博617条(全部),经全面排查没有涉敏感性、政治术语错误及SH等词语的宣传内容。@城市客运:共检索微博8132条(全部),查出涉敏感词20条信息已删除,现全部整改完成。
(4)落实技术防范措施安全。一是严格把关文件的,完善签发、审批等制度,并要求信息网络管理员严格;二是第三方定期对部门网站安全进行排查,及时对网络系统进行更新,对措词、敏感词、暗链伪链错链及时整改。
二、存在的问题
根据《关于报送2020年网络安全工作总结的通知》要求,在认真梳理过程中也发现了一些不足:一是规章制度建立还不完善,未能覆盖全部交通系统所有方面;二是个别工作人员政治敏锐性还不够高,要加强防范意识;三是遇到计算机病毒侵袭防范意识薄弱,维护不够全面。
三、下一步工作
银川市交通运输局认真贯彻落实关于网络安全工作的“四个坚持”的重要指示精神,进一步加强信息网络系统安全,一是提高政治站位,充分认识到网络安全工作的重要性,把网络安全作为落实意识形态责任制的重要内容,切实履行责任并建立网络安全报送工作和联动机制,确保网络安全工作落实到位。二是强化协助。各单位和各科室交流互动,做好网络安全防护,风险评估,安排专人,密切监测。三是加强宣传和培训。充分利用局例会学习网络安全事件预防和处置的相关法律、法规和政策;开展网络安全基本知识和技能宣传活动;积极参加网络安全各类培训,提高防范意识和技能。
网络安全行动总结篇3
一、美国网络空间安全战略启示
(一)美国将网络空间安全由“政策”、“计划”提升为国家战略
美国在网络空间战略是一个认识发展的过程。首先是1998年的第63号总统令(pDD63)《克林顿政府对关键基础设施保护的政策》,紧接着2000年了《信息系统保护国家计划v1.0》。布什政府在2001年911事件后马上的第13231号行政令《信息时代的关键基础设施保护》,并宣布成立“总统关键基础设施保护委员会”,由其代表政府全面负责国家的网络空间安全工作。并研究起草国家战略,于2003年2月正式《保护网络空间的国家战略》,又于2008年机密级的第54号国家安全总统令,设立“综合性国家网络安全计划”,该计划以“曼哈顿”(二战研制原子弹)命名,具体内容以“爱因斯坦”一、二、三组成,目的是全面建设联邦政府和主要信息系统的防护工程,建立全国统一的安全态势信息共享和指挥系统。
(二)美国网络空间安全战略进一步完善
2008年4月,布什总统了《提交第44届总统的保护网络空间安全的报告》,建议美国下一届政府如何加强网络空间安全。
2009年2月,奥巴马政府经过全面论证后,公布了《网络空间政策评估——保障可信和强健的信息和通信基础设施》报告,将网络空间安全威胁定位为“举国面临的最严重的国家经济和国家安全挑战之一”,并宣布“数字基础设施将被视为国家战略资产,保护这一基础设施将成为国家安全的优先事项”,全面规划了保卫网络空间的战略措施。
2009年6月,美国国防部长罗伯特.盖茨正式命令建立美国“网络空间司令部”以统一协调保障美军网络安全和开展网络战等军事行动。该司令部隶属于美国战略司令部,编制近千人,2010年5月,美国网络司令部正式启动工作。
(三)网络空间国际和战争战略
2011年5月,美国白宫网络安全协调员施密特了美国《网络空间国际战略》,其战略意图明显,即确立霸主,制定规则,谋求优势,控制世界;同年7月,美国国防部《网络空间行动战略》,提出5大战略措施,用于捍卫美国在网络空间的利益,使得美国及其盟国和国际合作伙伴可以继续从信息时代的创新中获益。
2012年10月,奥巴马签署《美国网络行动政策》(pDD21),在法律上赋予美军具有进行非传统作战权力,明确从网络中心战扩展到网络空间作战行动等。
2013年2月,奥巴马第13636号行政命令《增强关键基础设施网络安全》,明确指出该政策作用为提升国家关键基础设施并维护环境安全与恢复能力。
2013年4月,奥巴马向国会提交《2014财年国防预算优先项和选择》提出至2016年整编成133支网络部队,其中国家任务部队68支,作战任务部队25支,网络防御部队40支。
2014年2月,美国国家标准与技术研究所针对《增强关键基础设施网络安全》提出《美国增强关键基础设施网络安全框架》(V1.0),强调利用业务驱动指导网络安全行动,并为四个等级,组织风险管理进程。按网络安全风险程度不同分
2015年4月23日,美国五角大楼新版网络安全战略概要,首次公开要把网络战作为今后军事冲突的战术选项之一,明确提出要提高美军在网络空间的威慑和进攻能力。
不仅美国紧锣密鼓执行网络空间国际和战争战略,最近颁布的北约网络空间安全框架表明,目前世界上有一百多个国家具备一定的网络战能力,公开发表网络安全战略的国家达56家之多。
由此可见,网络空间已经成为继陆、海、空、天之后的第五大主权领域空间,也是国际战略在军事领域的演进,这对我国网络安全提出了严峻的挑战,我们应积极应对,加快建设我国网络安全保障体系,捍卫我国网络安全国家主权。
二、构建主动防御的技术保障体系
(一)可信免疫的计算体系结构
现在使用的计算机体系结构在设计时只追求计算速度并没有考虑安全因素,如系统任务难以隔离、内存无越界保护等,这直接导致了网络化环境下的计算服务存在大量安全问题,如源配置可被篡改、恶意程序被植入执行、利用缓冲区(栈)溢出攻击、非法接管系统管理员权限等。
可信计算是信息科学发展的结果,是一种新的可信免疫计算模式。可信计算采用运算和防御并行的双体系架构,在计算运算的同时进行安全防护,使计算结果总是与预期一样,计算全程可测可控,不被干扰。
对比当前大部分网络安全系统,其主要是由防火墙、入侵监测和病毒防范等组成,称为“老三样”。形象的说,这些消极被动的封堵查杀是治标不治本,而可信计算实现了计算机体系结构的主动免疫,与人体免疫一样,能及时识别“自己”和“非己”成份,从而破坏与排斥进入机体的有害物质,使有缺陷和漏洞不被攻击者利用。。
云计算、大数据、物联网、工业系统移动互联网、虚拟动态异构计算环境等新型信息技术应用都需要可信免疫体系作为其基础支撑。构建可信安全管理中心支持下的三重防护框架能够保障体系结构,确保操作行为、资源配置、数据存储盒策略管理的可信,达到攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息篡改不了、系统工作瘫不成和攻击行为赖不掉的防护效果,如果有可信机制,“震网”、“火焰”、“心脏滴血”等恶意代码可不杀自灭。
(二)中国可信计算技术创新
中国可信计算于1992年正式立项研究并规模应用,早于国际可信计算组织(tCG,2000年成立)。
研究tCG可信计算方案发现其体系存在的问题有:(1)密码体制的局限性:tCG公钥密码算法只采用了RSa,杂凑算法只支持SHa1系列,回避了对称密码,由此导致密钥管理、密钥迁移和授权协议的设计复杂化,也直接威胁着密码的安全;(2)体系结构不合理:tCG的tpm外挂调用是一种被动体系结构,无法执行动态主动度量。
中国可信计算经过长期攻关,不仅解决了tCG的上述问题,还形成了自主创新的体系,其创新点包括:
(1)可信计算平台密码方案创新
采用国家自主设计的算法,提出了可信计算密码模块(tCm),以对称密码与非对称密码相结合体制,提高了安全性和效率;采用双证书结构,简化证书管理,提高了可用性和可管性。
(2)可信平台控制模块创新
提出了可信平台控制模块(tpCm),tpCm作为自主可控的可信节点植入可信源根,在tCm基础上加以信任根控制功能,实现了以密码为基础的主动控制和度量;tpCm先于CpU启动并对BioS进行验证,由此改变了tpm作为被动设备的传统思路,实现了tpCm对整个平台的主动控制。
(3)可信主板创新
在可信平台主板中增加可信度量节点(tpCm+tCm),构成了宿主加可信的双节点,实现到操作系统的信任传递,为上层提供可信硬件环境平台;对外设资源实行总线级的硬件可信控制,在CpU上电前tpCm主动对BootRom进行度量,使得信任链在“加电第一时刻”开始建立;并利用多度量建立信任链,为动态和虚拟度量提供支撑。
(4)可信基础支撑软件创新
采用宿主软件系统+可信软件基的双系统体系结构,,可信软件基是可信计算平台中实现可信功能的可信软件元件的全体,对宿主软件系统提供主动可信度量、存储、报告等保障。
(5)可信网络连接创新
采用基于三层三元对等的可信连接架构,进行访问请求者、访问控制者和策略仲裁者之间的三重控制和鉴别;对三元集中控管,提高架构的安全性和可管理性;并对访问请求者和访问控制者实现统一的策略管理,提高系统整体的可信性。
(三)解决核心技术受制于人问题
(1)中国可信计算产业化条件具备。《国家中长期科学技术发展(2006-2020年)》明确提出“以发展高可信网络为重点,开发网络安全技术及相关产品,建立网络安全技术保障体系”,“十二五”规划有关工程项目都把可信计算列为发展重点,可信计算标准系列逐步制定,研究制定单位达40多家,参加人员达400多,标准的创新点都作了技术验证,申报专利达40多项。不少单位和部门已按有关标准研制了芯片、整机、软件和网络连接等可信部件和设备,并在国家电网调度等重要系统中得到了有效的应用。2014年4月16日,成立了中关村可信计算产业联盟,大力推进产业化、市场化。
(2)为全面替代国外产品打基础。2014年4月微软公司停止对windowsXp的服务支持,全国约2亿台运行Xp操作系统的终端将面临无人服务的局面;而windows8和Vista(2006年政府明确不采购)是同类架构,升级为windows8不仅耗费巨资,还会失去安全控制权和二次开发权。利用自主创新的可信计算加固Xp系统可以方便的把现有设备升级为可信计算机系统,以可信服务替代打补丁服务,应用系统不用改动,便于推广应用。
基于开源技术发展自主操作系统是现实选择。经过20多年的攻关,我们在操作系统关键技术上有相当的积累和储备,这些技术积累主要是在开源操作系统基础上取得的突破。从继承的角度,我们需要选择开源作为技术路线;从发展的角度,目前也来不及重新编码形成一套完全新的操作系统,要共享人类知识财富,开源依然是现实选择。自主创新不是封闭起来搞安全,而是要充分继承和发展。
要做到“五可”“一有”:
可知:对开源系统完全掌握其细节,不能有不可知代码的困惑;
可编:要基于对开源代码的理解,完全自主编写代码;
可重构:面向具体的应用场景和安全需求,对基于开源技术的代码进行重构,形成定制化的新的体系结构;
可信:通过可信计算技术增强自主操作系统免疫性,防范自主系统中的漏洞影响系统安全性;
可用:做好应用程序与操作系统的适配工作,确保自主操作系统能够替代国外产品。
有自主知识产权:要对最终的自主操作系统拥有自主知识产权,并处理好所使用的开源技术的知识产权问题。开源技术要受到GpL协议的约束,目前我国现有基于开源的操作系统尚未遇到知识产权方面的明显纠纷,但这仅仅因为这些系统尚无规模应用,一旦我自主操作系统形成气候,必然会面临这方面的挑战。
网络安全行动总结篇4
关键词:计算机局域网络;合理性优化;服务器;防火墙
中图分类号:tp393文献标识码:a文章编号:16727800(2012)011011403
作者简介:于梅英(1980-),女,硕士,兰州大学网络教育学院主任,研究方向为软件工程;刘江(1984-),男,兰州大学网络教育学院工程师,研究方向为计算机硬件及网络管理;耿磊(1982-),男,兰州大学网络教育学院工程师,研究方向为软件工程。
1计算机局域网简介
在当前各种先进计算机技术高速发展的环境下,计算机局域网已成为it技术里面的一个重要组成部分。人们离不开计算机网络,每天都生活在一个个的局域网络中,与外部世界的联系变得更加紧密。就定义来说,局域网(Localareanetwork,Lan)是指在某一区域内由多台计算机互联而成的计算机组,一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。
2计算机局域网发展与现状
信息时代,大家对于信息资源的共享和信息交流的迫切需求,使得计算机网络技术快速发展,计算机网络的使用为人们信息文明的发展带来了前所未有的变化。其主要包括许多计算机局域网技术、计算机网络技术、局域网布线施工、intranet/internet的应用、计算机网络安全、局域网网络系统的维护等内容。
美国电气和电子工程师协会(ieee)局域网标准委员会提出局域网的特征:计算机局域网在通信距离上有一定的限制,一般在1~2km的地域范围内,并且拥有较高传输速率的物理通信信道。正因为连接线路较短,中间几乎不会受任何外因所干扰,所以网络还拥有始终如一的低误码率。另外,计算机局域网的拓扑结构较为简单,所支持连接的计算机数量有限,组网时也很容易连接。目前在网络中应用得最广泛的协议是tCp/ip协议,它实际上是一个关于internet的标准,并随着的internet广泛应用而风靡全世界,随之也成为计算机局域网的首选协议。
现今计算机网络按网络的组建规模和延伸范围来划分的话,分局域网、城域网、广域网。经常用到的因特网属于广域网,校园网或企业内部网属于局域网。将来的网络技术向着使用简单、高速快捷、多网合一、安全保密方向发展。就目前而言,比较常见的网络拓扑结构主要有以下四大类:星型结构、环型结构、总线型结构、混合型结构。
星型结构网络基本上是ethernet(以太网)的网络专用,它因网络中的各工作站节点通过一个集中的(如集线器或者交换机)网络设备连接在一起,并且各节点呈星状分布而得名。首先,这种拓扑结构做节点扩展时,仅需要从交换机或集线器等集中设备中拉一条线,要移动一个节点时,仅需要把相应节点设备移动到新节点;其次,维护起来较为容易,当一个节点出现故障时,不会影响其它节点的连接,而且还可任意拆走故障节点;再次,其所采用的广播信息传送方式使得任何一个节点发送的信息在整个网中的节点都可以被接收到,而且从目前最新的1000mbps到10G以太网接入速度中可以看出,星型结构网络传输数据快。
环型结构的网络形式主要是运用于令牌网中,在此形式下各设备直接通过电缆来串接,形成一个闭环,整个网络发送的信息就直接在环中传递。此种形式下的拓扑结构网络主要有如下几个特点:实现过程简单、投资小、传输速度快。但与此同时缺点也很突出:①扩展性能较差,同样是因为它的环型结构,所以决定了它的扩展性远远比不上星型结构,如果要添加新的节点或者移动相关节点,就必须中断掉整个网络,而且需要在环的两端做好连接器才能连接;②维护起来较为困难,这点从其网络的结构中可以看到,因为整个网络中各节点之间是直接串联,所以任何一个节点出了故障都会造成整个网络的瘫痪、中断,维护起来也非常不方便。
总线型网络结构中,所有的设备都是直接与总线相连接,总线型网络结构含有以下几个特点:首先,它的缺点是其它端用户必须等待直到获得发送权,原因在于它每一次仅能使用一个端用户发送数据;其次,因为各节点共用总线带宽,所以该网络设备的传输速度会随着接入网络用户的增加而降低。不过这样的结构根本不需要另外的互联设备,仅通过一条总线直接连接即可,所以其组网费用较为低廉。
混合型结构的布线方式是我们常见的综合型布线方式。混合型网络结构主要具有以下几个方面的特点:①因为继承了星型拓扑结构的优点,所以其扩展相当灵活;②因为它既解决了星型和总线型拓扑结构的些许不足,又满足了很多大公司组网的现实需求,所以应用相对广泛。但是因为受到总线型网络拓扑结构的制约,同样具有总线型网络结构的网络速率仍然会随着用户的增加而降低,而且整个网络非常的复杂,所以相对来说维护起来也较为困难。而且由于其采用的广播式消息传送方式,在节点数量和总线长度上也会受到一定的限制,但是这在局域网络中并不会有太大的问题。
3影响计算机局域网的主要因素
3.1网络管理员
管理员在计算机局域网当中的作用非常关键,管理员必须深入地了解在用网络的真实情况和性能,对可能存在的网络安全问题和各种网络性能问题采取及时、快速的措施,才能使整个局域网以最佳状态运行。管理员要始终把握这些关键因素,才能对网络性能和安全起到积极的影响,提高网络系统的运行容错率。
3.2网间协议与服务
网卡设置服务组件时,必须充分了解该网的特点,根据实际情况选择使用的网络组件,不能将所有的网络组件都添加到计算机系统中,这样会影响到网络的整体性能,因为这些组件在计算机系统启动时会自动加载,不仅占用大量的系统资源,而且对计算机网络的正常通信产生一定的干扰。
而一般计算机网络只需使用tCp/ip协议即可。如需要连接其它计算机系统,则可选择相应的协议。管理员应将主要的网络协议放在绑定顺序的最前面。总之,只有对计算机内部各种服务和性能进行掌控,才能使局域网的性能发挥到最大程度,最终使网络以最佳状态运行。
3.3局域网综合设计
整体设计局域网核心交换机的路由表,根据实际的需求建立合理的拓扑结构,两者都非常重要,也是整个网络结构和路由状况的灵魂。局域网络整体系统的成熟与否直接影响整体局域网系统的成功。前期的综合布线设计对整体网络的物理特性有关键性作用,路由器、交换机、双绞线、水晶头等网络设备的合理安装,以及注重防干扰源、控制传输距离、要求施工质量,这些都是影响着整个局域网的性能。
3.4网络病毒和恶意攻击
非授权访问:是指没有经过预先同意便使用计算机或网络资源,例如擅自扩大权限、越权访问信息、故意绕过计算机系统访问及控制机制,以及对网络资源及硬件设备进行的一系列非授权使用等。
数据完整性遭到破坏:是指以非法手段恶意添加、修改数据,以干扰用户的正常使用,且对非法窃得的数据进行插入、修改、重发或删除某些重要信息,并获得有益于攻击者的响应。
系统服务攻击:是指不断地对计算机网络服务系统进行干扰,并执行无关程序使系统响应减慢甚至瘫痪,改变系统正常工作,影响正常用户的使用,最终使许多授权用户被排斥在外,不能得到相应的服务,不能进入计算机系统。
网间传播病毒:是指通过局域网对计算机病毒的传播,并且其破坏性远远大于单机计算机病毒,迫使用户很难采取相应的防范措施。
4计算机局域网优化内容
4.1计算机局域网的物理性能优化
计算机局域网的物理性能优化是多种多样的,目前物理性主要是水灾、火灾、地震等环境事故、电磁干扰、电源故障、硬件设备损毁及被盗、人为操作失误,以及系统冗余设计、安全防范意识、机房工作环境及报警系统等。在局域网中,因为网间物理跨度较小,所以只要做好备份,并且制定相对健全的安全管理制度,加强网络硬件设备以及机房管理,这些风险是完全可以避免的。
4.2计算机局域网的网络平台优化
公开服务器所面临的困境:公开服务器作为信息的平台,这个因素也影响着内部局域网,受到攻击后可能也会对内部局域网产生一定的威胁。每天都有很多黑客在试图闯入internet各个节点,因此,大规模的网络管理人员对internet多发的安全事故所做出的有效反应就变得十分重要。
计算机管理者必须将外网、内网与公开服务器进行隔离,避免整个网络结构信息的外泄,还要对外网的请求服务加以筛选过滤,只允许正常通信的数据包到达相应服务器,并增加安全设置和防火墙设置。服务器的防火墙主要是用来阻止和过滤,防火墙一般是利用tCp包和ip包的头信息对进出被保护网络的ip包信息进行筛选过滤,并根据自身相应的局域网安全政策来控制(监测、拒绝、允许)出入网的所有信息流和数据包,同时还实现实时告警、审记与网络地址转换(nat)等功能。
4.3计算机局域网内部监控优化
计算机局域网系统的安全性完全取决于本网系统中的最薄弱环节。如何最大限度地保证整个网络的系统安全?如何及时发现网间系统中的最薄弱环节?其实最行之有效的方法是及时发现并修正存在的漏洞和弱点,并定期对网间系统进行安全性分析。
网间安全检测工具则是一个网间安全性分析评估软件,主要功能是检查系统存在的弱点和漏洞,提出其相应的安全策略和补救措施,并分析扫描网络系统,增强网络的安全性。网间的检测工具必须具备以下功能:①建立相对必要的循环过程以确保隐患能够时刻被纠正;②控制各种网络安全危险;③网络分析、监控及自动响应功能。
4.4计算机局域网网络备份优化
数据备份系统只有一个目的:尽可能快地全盘恢复运行系统服务所需要的信息和数据。根据计算机系统安全需求可选择的备份机制有:场点外的数据备份、恢复及存储;系统设备的备份;场点内大容量、高速度的自动数据备份、恢复及存储。数据备份不仅能在人为失误或系统硬件故障时起保护作用,并且在受到网络攻击或非授权访问并破坏数据的完整性时起到及时的保护作用。
确定需要数据备份的方案后,选择安全的技术和存储媒介进行数据备份(“热备份”和“冷备份”)。热备份是指“在线”备份,即下载备份的数据被传到另一个非实时处理的业务系统中或另一个非工作的分区进行存放,但数据仍存在于整个计算机系统和网络中;“冷备份”是指“不在线”备份,下载的备份与正在运行的整个计算机系统和网络没有直接联系,只是暂时存放到相对安全的存储媒介中,并且仅有一部分原始的数据长期保存以备查询时使用。
4.5计算机局域网整体策略优化
将计算机局域网软件、硬件及整体计算机安全策略等方法结合起来,形成较为统一的防御安全系统,有效减少网间的各种安全风险,并及时地阻止非法用户进入计算机网络当中。所谓安全策略是指在一个特定的网络环境中,为了能够提供一定级别的安全保护所必须遵循的法则。
该安全策略模型包括了建立安全环境的3个重要组成部分,即:①先进的计算机技术:用户对自身面临的威胁进行安全风险评估,决定其需要的安全服务种类,选择相应的安全机制,然后集成先进的计算机安全技术,保障信息安全;②严格的管理:建立相应的计算机信息安全管理办法,加强内部管理,建立审计体系和跟踪反馈体系,使各网络使用机构和单位整体信息安全意识得以提高;③威严的法律:社会手段与法律、法规是安全的基石,通过建立与计算机信息安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动,更有利于我们形成一套行之有效的安全管理方法和准则。
5结语
综上所述,只有充分而合理地对计算机局域网的性能进行优化,才能使计算机局域网的性能得到最大限度的发挥,使网络以最佳状态运行,为我们的工作和学习提供可靠的保障。计算机局域网系统是一个非常庞大且又繁杂的系统,它不仅为现代化信息服务、现代电子商务、综合信息管理和单位办公自动化等一系列应用提供基本操作平台,还能提供多种计算机应用服务,使各种各样的信息能及时、准确、高效地传送到每一个子系统内。计算机网络技术的发展是永无止境的,在前进的过程中必将有更多的知识需要我们去不断学习和研究,并将其充分应用到实际的工作之中。
参考文献:
[1]力诚教育.局域网组建及维护基础与实例教程[m].重庆:天健电子音像出版社,2007.
网络安全行动总结篇5
国家安全生产信息系统是国家安全生产监督管理总局为便于全国安全生产管理部门开展安全生产检查、落实、监督等工作设计的管理信息系统。系统的建设目标是充分利用现有的信息化基础,通过对国家安全生产信息系统的建设,提高安全监管和监察信息采集、处理、加工的能力,实现煤矿安全监察、监督和行政执法工作的信息化,推动安全生产管理工作的科学发展,并为国家实时预测事故、消除隐患、分析安全生产形势和及时决策提供服务。该系统主要包括应用子系统、网络子系统、数据库子系统、网站子系统、视频子系统、远程教育培训子系统、存储备份子系统、标准规范子系统等建设内容。网络子系统是该系统的重要建设内容,为其它系统提供通道服务。
网络子系统需求分析
新建网络子系统的主要需求为:
依托国家电子政务外网和电信专网,建立安全生产监督管理广域网传输平台,实现总局与各省地县机构的网络互联;
建立、健全各级安全生产监督管理、监察机构局域网络;
实现与国务院各有关部门、国务院安委会成员单位的信息传输和信息共享,为各有关部门提供服务;
为企业及公众访问国家安全生产信息系统提供基于互联网的接入方式;
实现总局与各省级机构之间的视频传输。
网络子系统建设的目标是:提供国家安全生产监督管理总局到省级机构(共45个)、部分地市机构(共116个)和县级机构(共900个)以及地区煤矿监察分局机构(共71个)的应用系统之间数据交换的需求,并且为各机构的视频会议系统和Voip系统提供承载平台。该子系统的设计主要包括广域网和局域网两部分。这里探讨的是理想的设计方案。
广域网方案设计
根据国家安全生产监督监察管理的特点,网络结构应采用具有单一中心节点的星型拓扑结构。主干网络辐射到全国各个省会城市,各省级节点负责本省范围内各地市县级节点的连接。采用四级五层结构。
国家安全生产监督管理总局为核心节点,作为四级五层结构中的第一级和第一层;省安监局节点和省级煤监节点,作为四级五层结构中的第二级和第二层;地级安监局节点和煤监分局节点,作为四级五层结构中的第三级和第三层;县级安监局节点,作为四级五层结构中的第四级和第四层;各个县所属的生产经营单位,作为信息采集层,是整个五层结构中的最后一层。
核心节点至二级节点的广域网连接可以说是国家安全生产信息网的一级骨干网络,由于总局汇聚了全国的业务应用数据,因此在一级骨干网建设上必须采用高性能的路由设备和高带宽的通信链路以满足数据交换的需求。
一级骨干网络的核心节点配置了两台路由器汇聚45个二级节点的接入,两台路由器之间互为备份,并且能够实现负载分担。在各二级节点侧配置了一台上行路由器和一台下行路由器,分别向上连接总局节点,向下连接三级节点。
在链路选择方面,由于一级骨干网不仅承载着数据业务,而且有视频业务和语音业务通过其流转,其中视频业务和语音业务对带宽需求比较大、网络性能要求比较高,因此考虑以上因素核心节点与每个二级节点的主链路采用2×2m链路进行连接。由于与核心节点连接的有45个二级节点,核心节点端共需要2×90m带宽与二级节点进行连接,所以核心节点主从路由器各配置一个通道化155mpoS端口就可以满足带宽的需求。为了保证一级骨干网的可靠性,在核心节点配置2台路由器,只要有任意一条链路和一台路由器完好,系统就可正常工作。
二级节点至三级节点构成国家安全生产信息网的二级广域网络,该广域网主要实现以二级节点为汇聚中心覆盖全省各三级节点互连互通的网络,网络主要运行数据、语音、视频等业务,其中省煤监局节点与煤监分局节点之间传输数据、语音和视频业务,省安监局节点与地市安监局节点之间只传输数据和语音业务。
在链路的选择方面,由于三级节点与二级节点之间传输数据和语音业务,同时三级节点还需汇聚四级节点的数据流,所以两个节点之间的广域网连接链路采用2m带宽的e1线路实现连接。三级节点与二级节点之间传输数据、视频、语音业务,所以两个节点之间的广域网链路也采用2m带宽的e1线路实现连接。
三级节点至四级节点广域网主要实现以三级节点为汇聚中心覆盖地市下辖各县级安监局节点的广域连接网络,本广域网主要承载的是数据业务,不部署视频会议系统,三级节点至四级节点的广域网链路采用DDn链路或拨号连接。
局域网方案设计
一级节点局域网设计国家安全生产监督管理总局局域网采用核心层、汇聚层和和接入层的三层网络结构,其中核心层包括2台核心交换机、2台路由器和2台防火墙设备,汇聚层完成核心设备与接入设备的衔接,接入层负责对用户桌面终端的接入。两台核心交换机之间进行负载均衡和冗余备份,以保证网络的可靠性,并且提高了网络性能。核心层的防火墙与核心交换机构成口字型结构,同时防火墙和路由器构成口字型连接,在该种结构下两台防火墙可以实现失效备援模式进行防火墙间的设备冗余备份,通过防火墙的控制策略,对来自广域网的数据访问进行限制。两台核心交换机分别通过千兆光口下联汇聚层交换机呈星型连接,每个汇聚层双千兆链路连接到核心交换机,汇聚层具有三层功能。接入层由多台三层交换机组成,接入交换机为机关用户提供端口。总局节点使用两台路由器与各省局的广域网路由器连接,这两台路由器互为主从,同时工作。
二级节点局域网设计二级节点包括省安监局节点和省煤监局节点,由于二级节点在管理功能上基本相同,所以局域网的网络设备配置也大致相同。
每一个二级节点配置的设备有2台路由器、2台交换机、2台防火墙、1台Vpn网关。其中,一台路由器作为上行路由器通过两个2m带宽链路与总局连接;另一台路由器作为下行路由器,通过155m拆分成若干个2m带宽与三级节点连接。二级节点的局域网通过防火墙达到专网与外网之间的隔离,对专网进行保护。防火墙与上下行这两台路由器呈三角连接,对内下联交换机,这台交换机作为二级节点的核心交换机。为了方便移动用户对网内数据的访问,在二级节点配置了一台Vpn网关,合法的移动用户可以通过互联网以及Vpn网关访问二级节点网内数据。
三级节点局域网设计三级节点包括地市级安监局节点和煤监分局节点,由于三级节点的机构功能和工作内容上基本上相同,所以三级节点内网采用相同的网络拓扑。每一个三级节点配置有1台路由器、1台三层交换机、一台防火墙、若干服务器和pC机。其中交换机连接本地用户,路由器作为广域网设备实现与省局以及县局的连接。服务器作为应用服务器并存放本地市的安全生产监督管理数据。
四级节点局域网设计由于四级节点在整个系统的功能相同,所以采用相同的网络拓扑。四级节点配置的设备为1台路由器、1台交换机、1台防火墙和配套设备等。其中交换机连接本地用户,路由器作为广域网设备实现与地级安监局节点的连接。在广域网链路上,开通DDn专线的区域,采用DDn方式,没有开通DDn专线的区域采用拨号的方式连接到所属地市核心路由器。
各级节点网络设备选型原则
1.满足性能要求,实用先进。选择的设备必须满足国家安全生产信息系统对处理速度的要求。
2.可靠性。选用的产品要求比较成熟,产品可用性经受过考验,设备能可靠运行。
3.可扩展性。产品具备相应的升级能力,便于今后随着业务的发展而扩充。
4.服务质量。由于设备分布在全国各地,所以要求厂商的售后服务反应迅速,服务质量好。
网络子系统管理
国家安全生产信息网网络管理网络中设备多、范围大,而且呈四级结构,为了简化管理,在网络管理上,采用分级的管理方式,在总局核心部署一台网管服务器,在每个省部署一台网管服务器,总局的网管系统管理总局和各省级节点的上行路由器,二级节点的网管软件管理除本级上行路由器以外的本省范围内的网络设备。
管理主要实现的功能:实时显示网络设备及其分布图;对网络运行状态和流量进行动态监测;提供网络事件的报警和处理;网络设备性能参数的实时监控以及对历史数据的收集;对于第三方和网络硬件生产厂家的管理工具的集成支持;分层次的管理模式,对于较大的网络环境提供更好的管理效率;提供网络设备的权限管理功能。
网络管理的上述功能主要从以下4个方面来考虑:
(1)性能管理
性能管理主要负责网络的性能监视、性能控制和性能分析来完成网络性能测试,以及各类性能信息的收集、统计、存储,性能信息数据库的维护,性能管理阈值的设置与阈值超限产生的性能报告。为操作人员和管理部门提供网络运行状态、报文数据统计情况、处理器负荷能力等信息,借此来识别特定问题和进行质量分析。必要时可通过运行管理功能和配置管理功能对网络进行调整,以改善网络的总体性能水平,保证网络的正常高效运行,为用户提供满意的服务。
(2)故障管理
故障和告警管理主要负责告警监测、故障定位,配合运行管理功能进行故障排除和系统设备复测,能收集、处理、表示各网络单元的各种故障、告警及网络状态异常信息,并具有各种分类统计和指导分析的功能。
(3)配置管理
配置管理功能主要负责全面动态的管理网络单元设备的配置数据,网络单元的保障、状态检查和安装功能能够以图形、文字等形式分层显示,并且具有编辑、增加、删除、更改、分类统计和打印输出这些功能。
设备配置数据应包括系统内各网络单元己生成的设备配置参数,也包括根据设计文件及管理资料人工生成的参数两部分内容。为使配置数据与实际配置情况始终保持一致,对于能从网络单元设备输出的配置信息,提供定时和手工启动方式的自动核对;其他配置信息,提供录入、编辑等手段由操作员及时更正以反映实际情况。
配置管理也提供对特定配置的分析和管理工具。该工具可以对一组相关设备进行配置策略的分析,并能模拟配置后所产生的结果。同时对配置的变动自动生成报告,为管理员提供配置优化的依据。
(4)安全管理
所采用的网管系统具备完善的权限管理功能。可实现基于用户的权限管理,基于用户组的权限管理,基于访问时间的权限管理,基于访问网络单元组的权限管理以及对以上几类访问的组合。
在系统中对各种操作功能的权限进行详细的划分,包括告警取消、告警确认、告警预处理的权限;数据查询、增加、修改、删除的权限;网络单元登录、发送人机命令、使用批命令的权限;用户资料查询、增加用户、修改用户资料、删除用户资料的权限。
系统每一个网管用户综合上述的类别和功能级别进行设定,规定其授权、时间限制、制定授权范围。当用户违权操作时,系统能及时产生告警信息,并禁止当前用户的进一步操作。
国家安全生产信息系统的建设符合国家对安全生产管理的战略发展规划,它的建成将极大地提高安全生产管理规范化、科学化和信息化的水平,为安全生产的真正改善和好转打下良好的基础。
链接:网络子系统特点
可扩充性强:随着网络建设规模的逐步增大,用户数量逐步增加,网络具备较强的扩充能力,方便用户对系统功能的扩展。
可靠性强:网络能够提供较丰富的服务功能,核心网络设备采用关键部件冗余和链路备份技术,保障核心设备的稳定可靠
安全性高:采用最先进的安全认证手段,整个网络具备防火、防盗、防病毒侵害、防黑客入侵等能力,确保系统安全。
开放性高:采用标准的协议保护用户的投资,提高设备的互操作性。网络系统的设备采用主流技术、开发的标准协议,具有良好的互操作性,能够支持同一厂家的不同系列产品,不同厂家的产品之间的无缝相互连接与通信。网管系统接口在遵循规范性原则的基础上,可以集成不同设备厂商、系统或平台供应商、软件供应商的产品。
网络安全行动总结篇6
2014年国家网络安全和信息化领域异彩纷呈,成效显著,这一年无疑成为中国网络空间战略启动之年。2014年2月27日,中央网络安全和信息化领导小组成立,以“一把手”工程的战略视野,“没有网络安全就没有国家安全,没有信息化就没有现代化”的战略清晰,启动了网络强国建设的伟大历程。2015年,有必要作为战略执行之年,加速推动国家网络空间治理能力现代化成为新常态。
互联网是一把双刃剑,用得好,它是阿里巴巴的宝库;用不好,它是潘多拉的魔盒。随着中央网络安全和信息化领导小组的成立,国家的信息安全建设进入了一个崭新的发展阶段。党中央明确提出网络强国的战略和目标,加强网络法制建设的大政方针,不断推出国家网络信息安全新举措。这一年,国家互联网信息办公室重新组建,成立中央网络安全和信息化领导小组办公室,网络信息安全工作全面提速。中央网信办作为常设办事机构,形成了舆情管控、网络安全和信息化“三位一体”的网络治理新常规,加紧践行依法治网的基本策略,有力推进正本清源的专项行动,积极倡导全球网络治理的中国主张,推动网络安全和信息化工作长远发展,扎扎实实打出了“筹划方略、制定规则、强化治理、宣扬主张、谋划长远”的“组合拳”,有效地落实了国家网络空间“一把手”工程,建设网络强国的大格局已出现端倪。国家加紧实施和推进核心技术和产品的自主可控,大力支持信息安全产品研发,加快创新步伐,国内互联网蓬勃发展,网络规模不断壮大,网络应用水品不断提高,网络安全意识深入人心,网络空间日渐清朗,互联网治理引人注目,主动出击加强与国际的交往与合作,寻求和平、安全、开放、合作的网络空间,建立多边、民主、透明的国际互联网治理体系。
与此同时,网络空间与信息安全领域也出现了许多新情况、新威胁以及新挑战,尤其是当前我国相关立法还不够完善,核心技术和产品还发展不成熟,外国企业对我国信息产业渗透情况相当严重。我国频遭网络攻击,数据和用户信息泄露等网络安全问题日益突出,网络应用生态环境越发严峻,网络空间的博弈越发激烈。
据统计,今年一季度全国交通行业网络与信息安全事件中发生试图攻击事件共11682179件。从总体发展趋势来看,第一季度试图攻击事件持续递增,增长比例分别为25.2%、42.5%。具体来看,漏洞攻击事件类型最多,占第一季度试图攻击事件总数的47.3%。试图攻击事件持续递增反映出行业信息系统遭受日益增多,行业网络安全形势日趋严峻。交通行业各单位要持续加强和完善网络安全保障体系建设,切实落实网络安全制度办法,明确网络安全责任,加强网络安全基础设施及重要信息系统安全防护。
一季度全国交通运输行业发生一般安全事件共1956件,环比2014年第四季度增长45.0%。其中计算机病毒事件1321件,占一般信息安全事件总数的67.5%;拒绝服务攻击179件,占一般信息安全事件总数的9.2%;漏洞攻击事件79件,占一般信息安全事件总数的4.0%;扫描探测事件254件,占一般信息安全事件总数的13.0%;其他类型安全事件123件,占一般信息安全事件总数的6.3%。环比2014年第四季度,计算机病毒引发的一般性安全事件增长比例达139.3%,其余类型呈现小幅度下降。当上述事件发生后,各交通行业相关单位管理和技术人员应及时处置,遏止对日常办公及业务应用产生重大影响,避免导致直接经济损失,要不断加强基础网络和重要信息系统防病毒管理工作。
2015年3月20日,中国互联网协会、国家互联网应急中心在京《中国互联网站发展状况及其安全报告》,报告对中国网站发展总量、中国网站接入服务市场竞争情况、中国网站分布情况、网站主办者组成情况、网站所注册使用的独立域名、专业互联网信息服务网站发展、中国互联网行业创业创新和中国网站的安全状况等方面进行了全面、深入的统计、分析和研究。
报告显示,近三年来中国网站的发展实现止跌回升、呈现出稳中求进的发展趋势,在部分行业和领域培育出了一批具有产业竞争能力和一定规模的互联网企业。报告同时也指出,中国网站安全问题形势依然严峻,2014年度数据显示:针对我国境内网站的仿冒钓鱼站点成倍增长,境外攻击、控制事件不断增加,在仿冒钓鱼上,根据CnCeRt监测,共有6116各境外ip地址承载了93136个针对我国境内网站的仿冒页面,仿冒页面数量较2013年增长了2.1倍;中国反钓鱼网站联盟在2014年全年共处理钓鱼网站51198个,平均每月处理钓鱼网站4266个。在篡改和植入后门上,据CnCeRt监测,境内被篡改网站36969个,较2013年大幅增长53.8%,被植入后门的网站达到40186个,其中位于美国的4761个ip地址通过植入后门控制了我国境内5580个网站,侵入网站数量居首位。
2015年1月,为促进我国云计算创新发展,积极培育信息产业新业态,国务院印发《国务院关于促进云计算创新发展培育信息产业新业态的意见》,意见指出,我国促进云计算创新发展培育信息产业新业态的指导思想为:适应推进新型工业化、信息化、城镇化、农业现代化和国家治理能力现代化的需求,以全面深化改革为动力,以提升能力、深化应用为主线,完善发展环境,培育骨干企业,创新服务模式,扩展应用领域,强化技术支撑,保障信息安全,优化设施布局,促进云计算创新发展,培育信息产业新业态,使信息资源得到高效利用,为促进创业兴业、释放创新新活力提供有力支持,为经济社会持续健康发展注入新的动力。其主要任务包括:增强云计算服务能力;提升云计算自主创新能力;探索电子政务云计算发展新模式;加强大数据开发与利用;统筹布局云计算基础设施;提升安全保障能力。
2015年,网络空间风险加大成为新常态,网络空间博弈加剧成为新常态,网络空间治理加强成为新常态,网络空间军事化加速成为新常态。我们需要以时不我待的心态,统筹国内国际两个大局,着眼现实和虚拟两个空间,平衡网络安全和信息化双轮双翼,从认识新常态,适应新常态,走向引领新常态,执行更加坚强有力,工作更加注重质量,以更强的“穿透力”和“气可鼓而不可泄”的姿态,进一步分解细化网络强国建设任务,聚焦攻克难点,进一步树立网络强国建设的制度自信、理论自信、道路自信和文化自信,加快推出网络强国建设的大政策、大项目、大工程,提升战略执行力;全面呈现网络强国建设的大智慧、大思路、大设计,塑造磅礴大格局。
参考文献:
1、《中国信息安全》第61期
2、《中国信息安全》第63期
3、《中国互联网络发展状况统计报告》中国互联网络信息中心
网络安全行动总结篇7
网络安全产业是知识密集型产业,网络安全学科与其他学科有很多交叉,是高技术专业,需要构建完善的知识体系。当前,我国网络安全人才储备不足,亟待加强人才队伍建设。2015年6月,国务院学位委员会、教育部决定在“工学”门类下增设“网络空间安全”一级学科,此举充分体现了国家对网络安全的重视,希望将分散在计算机科学、通信技术和软件工程学等学科的相关网络安全科目进行统筹,集中资源和力量来培养网络安全人才。
笔者近年供职于中国信息安全研究院,深入参与了国家网络安全顶层设计和标准编制等工作,目睹了国际和国内网络安全政策、产业和技术的重要变革,对产业政策、产业现状和需求,以及网络安全技术体系进行了深入研究。本文结合近年工作经验与高教研究,以打造网络安全体系性人才为目标,对网络安全专业的教学特点、教学内容、教学方法和考核方式等进行了一系列探索。
一、网络安全专业的教学特点
网络安全专业涉及范围广,涵盖了计算机、通信、电子、数学、生物、法律、教育和国际贸易等多学科内容,属知识密集型专业,具有很强的专业性、广泛性和实践性,随着物联网、云计算、大数据等新技术新应用的出现,网络安全专业的特点更加突出。
1.内容涉及范围广。网络安全专业涉及信息系统软硬件的本质安全,以及应对网络威胁、数据传输等方面的动态过程安全,在安全访问领域涉及密码学和生物学等,在网络安治理方面涉及法律学,在网络安全服务方面涉及教育学和管理学等,wto第二十一条“国家安全例外”等内容涉及国际贸易学。
2.知识和技术迭代速度快。网络安全由传统意义上的信息安全演变而来。狭义的信息安全重点关注内容安全,即确保信息的完整性、可用性和保密性。随着新技术新应用的层出不穷,异构信息系统和复杂多变的网络威胁带来了新挑战。除具备网络安全基础知识和技能以外,了解和掌握更多新技术知识是网络安全专业对学生提出的新要求。
3.对实际操作能力要求高。网络安全对实践操作能力有很高要求,构建具有本质安全的自主可控软硬件系统需要丰富开发经验和集成适配能力。应对复杂多变的网络安全威胁,需要提前具备应急响应和灾难恢复能力;面对国际贸易中技术壁垒的挑战,需要深入研究国际贸易保护下的信息安全产业和政策竞争策略等。
二、教学内容设置
对于网络安全专业学生和非网络安全专业学生,在设置网络安全专业课程和教学内容时应予以区分,以使不同发展方向的学生在毕业以后将在校期间学习的知识充分发挥,适应未来职位对其知识储备的差异化需求。
(一)网络安全专业学生
网络安全涵盖本质安全和动态过程安全两大部分。对于网络安全专业的学生,在教学内容设置上,应鼓励学生通过理论和实践,构建网络安全体系观念,并依据个人爱好,深耕具体技术方向,使网络安全专业毕业生具备顶层大局观和技术优势。
1.本质安全方向。近年来,“棱镜门”等事件充分说明美国政府可利用其全球大型it或互联网企业的技术、产品和服务,甚至对产品植入后门,来窃听、窃取各国数据和信息,这促使我国政府和产业界高度重视本质安全。本质安全涉及包括CpU、芯片、操作系统、数据库、整机、网络设备等软硬件技术产品的自主研发,目前我国党政军和“8+2”对以上技术产品渴求度很大,人才队伍建设亟待加强,因此在课程内容应增强核心硬件和基础软件知识的普及力度,使学生在本质安全基础理论、产品设计和集成适配等方面有所突破。
2.过程安全方向。学习了本质安全相关知识后,就可了解如何构建一个相对完整、安全的信息系统,但在信息系统运行过程中,还需要针对系统构建运维服务体系,从加强整个信息系统的安全性和健壮性。过程安全相关的教学内容包括容灾备份、追踪溯源、安全访问等技术,在过程安全教学内容中,可以以聚合式的思维来教授相关知识,以使学生具备完整的运维服务体系思维。(二)非网络安全专业学生
1.专业与网络安全有交互的学生。本部分以涉及网络安全的国际贸易和法律专业为例,阐述如何面向专业与网络安全有交互的学生进行教学。
对于国际贸易专业学生,引导学生加强国际it贸易问题研究,特别是wto第二十一条“国家安全例外”,即从国家安全考量出发,深入研究世界主要国家限制其他国家企业在其本土投资的案例,以及外国企业如何规避wto限制,在我国广泛开展it投资,总结国际贸易争端经验,为未来围绕“技术性贸易壁垒”的国际贸易纠纷做好充分准备。
对于法律专业学生,鼓励学生加强《中华人民共和国网络安全法》法理研究,深入学习互联网治理和网络安全相关法律和法规,培养网络安全法人才,为党政军和相关产业提供网络安全法律力量支撑,提升国家和企业的国际竞争力。
2.其他专业学生。对于其他专业学生,设置网络安全知识普及课程,通过案例分析和实践体验等手段,培养学生安全使用互联网的习惯,提升网络安全意识,了解和掌握网络安全防范和处理基本方法,巩固意识形态,促使学生做到文明上网、安全使用、加强防护,构建和谐清朗网络空间。
三、创新教学方法
教学方法和理念因学校和教师的不同而千差万别。总的来看,现代教学方法秉承以学生为主体、互动教学和构建体系化知识三项原则[1],重视创新性和突破性,符合新时代和新形势对我国高等教育提出的要求。本节结合网络安全专业的特点,总结了三个面向该专业的创新教学方法。
(一)教法和学法结合
网络安全专业涉及范围广且实践性很强,因此在教学方法上需要创新,将教法和学法进行有机结合,构建学生的理论和技术体系,提高实践能力。
ppt教授法。教师精炼教材重点,利用互联网和多媒体手段,将要点和案例以图文并茂的ppt展示,并结合课堂上的口头表述将知识展现给学生。比如利用信息系统模拟工控系统运行环境,利用DDoS进行持续攻击,使学生从各生产节点和控制系统观察受攻击时的状态,调动学生的注意力,加深学生的印象,使学生随着教师思路来学习。
互动提问法。在课堂上利用互动提问法可启发学生的思维,调动学生积极性和学习热情,促进学生提高注意力和快速学习到重要知识点,避免无精打采或溜号走神等现象发生。同时,提问法给学生提供了讨论、发表个人观点的机会,也促进了学生表达能力的提升。比如讲到构建本质安全信息系统时,可以首先向学生提问,构建该系统需要具备什么样的要素,请学生总结自己认为的具有本质安全信息系统的构造,以此增加师生间的互动,培养探究意识和发现问题的敏感性。
分组发表法。将学生分组并布置特定研究方向,鼓励学生利用互联网资源来获取知识、查找案例,并编制集文字、图片和视频等素材为一体的ppt,在课堂上进行发表,通过教授的点评和同学的提问促使学生深入了解该方向内容,做到专;通过聆听其他组的同学做发表,可以了解其他人的研究成果,并可通过课堂提问和课下交流来深入了解其他网络安全技术知识,做到广。例如学习网络安全政策时,可组建学生小组,基于学生网络安全基础技术和知识,深入研究包括FedRamp、美关键基础设施保护总统令或国防部云计算安全指南等网络安全政策,并在课堂上做发表,与师生共同分享和研讨美国的网络安全治理经验。
(二)传统授课和网络授课结合
目前,采用传统教学模式依然是我国教育的主要方式,作为“以教师为中心”的课堂教学模式,传统授课模式通过教师在课堂上当面将知识教授给学生,可以促进有意义的学习、加深学生的理解和记忆,也有利于未来对知识的提取。而网络授课的教学模式在传统课堂教学模式的基础上融合了互联网的优势,该模式相较传统教授模式具有更好的灵活性、互动性和广泛性。特别是对于教师资源相对匮乏的地域,可以依托互联网基础设施,通过网络授课的模式将发达地区的优质教育资源引入到地方课堂,使学生享受到公平的先进的网络安全教育资源。
(三)注重实训体系建设
依托网络安全企业或其他专业机构建设网络安全实训基地,与高校等人才培养单位联合,对网络安全专业学生进行实践技能训练。实训基地对于我国网络安全人才培养具有重要意义。首先,实训基地可解决我国网络安全人才培养和使用相“脱节”、学生实际动手能力严重不足等问题。其次,实训基地涵盖技术、战略、法规等多个领域,有利于培养跨学科、复合型人才。
实训基地培训既要涵盖网络安全技术,也要涵盖网络安全战略规划和法律标准等。针对网络安全专业的不同研究方向,有针对性地分类建设攻防、追踪溯源、容灾备份、安全测评、自主可控等实训场景;针对网络安全战略规划,针对性地研究世界主要国家网络安全战略规划,分析各国目前网络安全现状和未来发展重点;针对法律标准,深入研究wto“国家安全例外”、中美网络安全相关标准,为未来工作找到技术和法律依据。
四、改进考核方式
网络安全行动总结篇8
美国网络空间安全战略启示
美国现在在信息安全、网络空间安全上占据绝对的优势,他们试图确立霸主地位,制定规则谋求优势来控制世界。
2005年4月,美国政府公布了总统it咨询委员会向总统提交的《网络空间安全:迫在眉睫的危机》的紧急报告,对美国网络空间安全战略提出不同看法,指出过去10年美国保护国家信息技术基础建设工作是失败的。
2006年4月,信息安全研究委员会的《联邦网络空间安全及信息保障研究与发展计划(CSia)》确定了14个技术优先研究领域,13个重要投入领域。改变无穷无尽打补丁和封堵的被动防御策略。
2009年5月29日,奥巴马公布了名为《网络空间政策评估――保障可信和强健的信息和通信基础设施》的报告,并在其讲话中强调网络空间安全威胁是“举国面临的最严重的国家经济和国家安全挑战之一”。
2009年6月,美国建立网络空间司令部,统一协调保障美军网络安全和开展网络战等与网络有关的军事行动。
2011年5月,美国白宫网络安全协调员施密特美国首份《网络空间国际战略》,阐述美国“在日益以网络相联的世界如何建立繁荣、增进安全和保护开放”。
7月14日,美国国防部的《网络空间行动战略》再次强调:“网络安全威胁是我们作为一个国家所面临的最严重的国家安全、公共安全和经济安全挑战”。该战略将指导美国国防部捍卫美国在网络空间的利益,使得美国及其盟国和国际合作伙伴可继续从信息时代的创新中获益。
2013年2月,奥巴马第13636号行政命令《增强关键基础设施网络安全》,明确指出“这是美国提升国家关键基础设施并维护环境安全与恢复能力的政策,在提升安全性、商业机密、隐私和公民自由的同时提升效率、创新与繁荣”。
2014年2月,美国国家标准与技术研究所提出了《美国增强关键基础设施网络安全框架》(V1.0),强调利用业务驱动指导网络安全行动,并考虑网络安全风险作为组织风险管理进程的一部分。
美国网络空间战略表明,网络空间已成为第五大领域空间,也是国际战略在军事领域的演进。我们应积极应对,加快建设网络安全保障体系,捍卫我国网络安全和国家。
加强网络安全保障体系建设
面对日益严峻的形势,我们该怎么办?要构架主动防御的技术保障体系,当前大部分网络安全系统主要是由防火墙、入侵检测和病毒防范等组成,成为“老三样”,然而消极被动的封堵查杀是防不胜防的。
2005年美国已经否定了这样的做法,我们认为应该有一个好的、可信的计算机体系结构,可信的计算是什么?它是一个计算模式,而不是一个带一点安全技巧的。可信计算就是计算运算的同时进行安全防护,使得计算结果总是与预期是一样的,全程可测可控,不扰,是一种运算和防护并存的主动棉衣的新计算模式。同时要有主动免疫,识别“自己”和“非己”的成份,从而破坏与排斥进入机体的有害物质。可信计算发展的结果是从数字计算到数值计算到事务计算,我们从可靠性可用性发展到可信性。我们还提出了建立运算和和防御并行的双重体系结构,一边是原来pC机的结构,另一边是一个主动防御的免疫的结构双体系结构。
尤其是现在云计算、大数据、移动互联网、虚拟动态异构计算环境更需要可信。我们有可信的办法做到体系结构、操作行为、资源配置、数据存储、策略管理都可信,构成可信的体系架构。我们国家等级保护的基础设施安全的要求,构成了三重防御体系,在安全管理中心支持下的三重防护体系,在系统安全审计三个管理方向的支撑下进行。这样做的效果怎么样?攻击者进不去,非授权者拿不到重要信息,窃取保密信息也看不懂,系统和信息篡改不了,还有系统工作瘫不成,攻击行为因此也赖不掉。
在可信计算上我国是原始结构创新和体系结构创新。我国可信计算源于1992年国家正式立项研究并规模应用,tCG是2000年正式成立的,经过长期攻关,形成了自主创新的体系。我国可信计算技术的结构框架是以密码为基础,芯片为支柱、主办为平台、软件为核心、网络为纽带、应用成体系。
标准是先制定的,其次要构建主体芯片、主板、软件、网络,此外还要搞配套,要把服务做好,服务器、存储器……都要可信,对应用来讲要办公、网站以及其他新的云计算,这样来构成体系。
为什么我们比tCG好呢?tCG有两大局限性,第一是密码体制的局限性。因为tCG有100多家核心的有用的企业构成的,密码是每个国家的,各国都有政策与法令,借助企业性的、行业性的国际组织,因此采用了公开的密码RSa,不安全且管理复杂。第二是体系结构不合理。目前还主要停留在工程层面,尚缺乏比较完善的理论模型,tpm外挂,子程序调用被动模式。
而我们是以密码为基础,主动认证、主动度量、主动安全防御存储。其次,我们是一个双体系结构,构成一个可信计算的节点要有芯片层面做成可信的CpU。更重要的是平台要构成双节点的体系,一边计算一边防护。软件我们采用的是基础软件基,改变了tCG的被动调动的局面,在网络层面我们提出了三元三层对等的架构。
如今我国已经具备了可信计算产业化条件。《国家中长期科学技术发展(2006-2020)》明确提出“以发展高可信网络为重点,开发网络安全技术地相关产品,建立网络安全技术保障体系”。“十二五”规划了一些重大项目都把可信列为重点,尤其是我国可信计算标准正逐步制定,先后有几十个单位共同努力,不少单位和部门已按有关标准研制了芯片、整机、软件和网络连接等可信设备,并得到了广泛的应用,尤其是今年4月16日成立了中关村可信计算产业联盟,大力推进产业化和市场化。
Xp停止服务以后,全国约2亿台运行Xp操作系统的终端面临无人服务的局面,安全操作风险将显著增加。升级为windows8不仅耗费巨资,还是去安全控制权和二次开发权。因此我们建议开发自己的系统,不允许网络提升到windows8,国家要求信息类采购的时候禁止装windows8。这也给我们产业化提供了很好的契机,我们也抓住了这个机遇大力推进基于可信计算的创新的制度、可控安全可信的创新系统研发和产业化。
尽管国产化产品存在更多的缺陷和漏洞,有可信保障,使得缺陷和漏洞不被攻击利用,确保比国外产品更安全,为国产化自主可控、安全可信保驾护航。
网络安全行动总结篇9
关键词:aRp欺骗攻击;网络安全意识;问题情境;职业素质
中图分类号:tp393文献标识码:a文章编号:1009-3044(2015)35-0100-03
abstract:thispaperaimstointegratethenetworksafetyconsciousness,realproblemsituation,professionalqualityconceptintothecollegeexperimentalteachingprocessunderthestrategyofnetworkpower,tostimulatestudents'enthusiasmandinitiative,andguidestudentstofind,analyzeandsolvetheproblem,tosumuptheexperimentintheformoflists.Ultimately,the"studentoriented,supplementedbyteachers"teachingideasarereflected,andstudents'practicalabilityareenhanced.
Keywords:aRpspoofing;networksafetyconsciousness;problemsituation;professionalquality
1引言
2014年来,中央网络安全和信息化领导小组组长多次提出了“没有网络安全就没有国家安全”以及“建设网络强国”的重要论断。2015年政府工作报告提出的“互联网+行动计划”体现出信息化对网络发展巨大推动作用和以网络为载体的数据驱动巨大魅力的同时,也呼唤着人们通过网络的进一步发展来不断提升网络安全的能力和意识。两届国家网络安全宣传周活动的开展也为加强全民网络安全宣传教育、提升网民的网络安全防范意识和技能提供了良好的途径。
网络安全上升到国家战略层面,各类网络攻击和窃取事件的频发驱动信息安全需求急剧增加,目前网络安全普遍存在的问题是信息安全意识不强、缺乏整体安全方案、没有安全管理机制、系统本身不安全以及缺少必要的安全专才。
网络安全意识比技术更重要。作为培养网络专业技能人才的一线高校教师,在平常实验教学中除了借助各种安全设备和环境完成实训内容外,更重要的是提升学生的安全意识和处理安全事故的能力,在提高专业技能水平的同时培养学生的职业素质,因此设计好网络安全实验课程显得尤为重要。本文以aRp欺骗攻击与防范实验教学为例,探索在真实网络安全情境下,新型安全课程实验教学模式的改革以及教学效果。
2aRp欺骗攻击原理
aRp协议是以太网等数据链路层的基础协议,负责完成ip地址到硬件地址的映射。工作过程简述如下:1)当主机或者网络设备需要解析一个ip地址对应的maC地址时,会广播发送aRp请求报文。2)主机或者网络设备接收到aRp请求后,会进行应答。同时,根据请求发送者的ip地址和maC地址的对应关系建立aRp表项。3)发起请求的主机或者网络设备接收到应答后,同样会将应答报文中发送者的ip地址和maC地址的映射关系记录下来,生成aRp表项。从aRp工作机制可以看出,aRp协议简单易用,但是却没有任何安全机制,攻击者可以发送伪造aRp报文对网络进行攻击。伪造aRp报文具有如下特点:伪造的aRp报文中源maC地址/目的maC地址和以太网帧封装中的源maC地址/目的maC地址不一致;伪造的aRp报文中源ip地址和源maC地址的映射关系不是合法用户真实的映射关系。目前主要的aRp攻击方式有如下几类:仿冒网关攻击、仿冒用户攻击(欺骗网关或者其他主机)、泛洪攻击。
3问题情境设计
教学情境是课堂教学的基本要素,有价值的教学情境一定是内含问题的情境,它能有效地引发学生的思考。问题情境的创设,对于学生学习兴趣的激发起着决定作用。因此,如何设计具有一定情绪色彩的、以形象为主体的生动具体的场景,以激发学生一定的情感,就成为教学之初需要考虑的问题。
在一个没有防御的园区网中爆发的aRp病毒会造成网络丢包、不能访问网关、ip地址冲突等问题,实验室所有主机分配的是同一网段ip地址,接入交换机,预先在教师机上开启Sniffer嗅探者软件,运行数据包发生器,修改后的aRp广播报文会持续被发送到当前局域网中,为学生建立一个真实园区网面临的问题情境,接下来引导学生按照“发现问题-分析问题-解决问题”的顺序完成实验内容,提升自己的安全意识和实践能力。
4实施过程
4.1实验环境
实验室所有主机处于同一网段,类似如下所示的拓扑图环境:
4.2问题情境的构造
教师机ip地址为172.16.75.105,在本实验中充当攻击者身份。首先构造用于攻击的aRp欺骗报文,在Sniffer软件上定义好过滤器后,开始捕获报文,首先将教师机的aRp缓存清空,尝试pinG网关,停止捕获并显示结果如下图所示,
发送当前的帧之前做如下修改:(1)更改源ip地址为网关ip地址;(2)更改源maC地址为伪造的maC地址11-22-33-44-55-66;(3)更改目的ip地址为任一同网段主机ip地址;(4)更改目的maC地址为全F值。设置为连续不断地发送帧,启动数据帧发生器,此时当前网段会充斥着此类aRp广播报文。
4.3问题情境的呈现
以4-5人为一组,以真实的网络管理员遇到的企业局域网故障为案例,向学生说明经常受到的网络攻击来自于网络内部,表现为访问互联网时断时续,打开网页或下载文件的速度明显变慢,甚至无法访问公司的web服务器等资源,严重影响了企业办公业务的正常运行,公司领导对此很不满意,要求立刻彻底解决问题。要求在实验报告上完成每步测试内容并填写检查结果。此环节注重引入职业教育理念,既要注重技能锻炼,又要注意素质培养。立足本职岗位,敢于承担责任,从工作中发现问题是什么,为什么到怎么做,同时培养学生的团队意识。
4.4发现问题
此环节旨在让学生运用已掌握的网络维护技能发现当前局域网存在的问题,通过观察学生在测试环节中采用的方法,可以了解到学生能否快速有效地定位网络中的故障,在不投入新的设备情况下解决问题。
通过观察,多数学生会按照如下测试步骤检测网络状况:1)检查本机网络连接情况及ip地址是否有效;2)检查与同一网段内其余主机连接情况;3)检查与网关连接情况;4)检查与DnS服务器连接情况;5)检查与web服务器连接情况。这一过程旨在帮助学生基于收集到的测试数据判断问题症结点的能力,只有在充分调查研究的基础上具体问题具体分析,才能把存在的问题症结点找准、找实、找透,才能开对方子,做到对症下药。
4.5分析问题
根据课堂反映来看,绝大多数学生在实施到第3步时发现pinG网关ip地址不通,并且重启机器后症状依旧,没过多久又会产生丢包现象。不少学生通过使用aRp-a命令发现学习到的网关maC地址是伪造的11-22-33-44-55-66,进而判断出问题在于网关maC地址被篡改,通过使用Sniffer软件,可以嗅探到局域网内充斥着大量的aRp报文,并且通过抓包分析,发现源ip地址为172.16.75.254的网关的maC地址为11-22-33-44-55-66。此时需要引导学生去思考两个问题:一是为什么主机会无条件更新,二是如何防范此类错误。结合课本上提到的tCp/ip协议栈的脆弱性,部分同学会得出主机并不对收到的aRp报文进行检查,从而导致pC主机更新本机aRp缓存里的网关maC地址的结论。
这个分析问题的过程注重培养学生遇到问题的应变能力,这种能力的训练对于今后可能从事的网络运维岗位而言,是非常有必要的。
4.6解决问题
明白了问题的原因,如何解决问题就是一个水到渠成的过程。通过几分钟分组讨论的形式,最后总结了几组的意见,归纳出两种解决思路:一是主机对于收到的aRp伪造报文不进行更新操作,二是限制此类aRp广播报文在局域网内的泛洪。此时,结合实训指导书内容,教师提出两种解决方案让学生选择,一是在局域网内各台主机上静态绑定正确的网关maC地址,这样即使主机收到了虚假maC地址也不予以更新;二是在交换机各端口上设置单位时间内允许通过的aRp报文数量的阈值,超过阈值则关闭端口。同时让学生分组讨论,对这两种方案的优缺点进行比较,最终得出如下的结论,方案一因为要在局域网内每台主机上配置命令,工作量较大,网关maC地址一旦改变又得重新配置,而且治标不治本,不能有效遏制网段内aRp报文造成的广播风暴,网络传输性能较低;方案二只需在交换机端口上进行配置,与网关maC地址无关,如果再在端口上划分好VLan,将会进一步限制广播报文的传输范围。
4.7实验总结
总结既是自己对于实验的理解归纳,也是对整个实验过程的回放,既要总结有所收获的地方,也要归纳出不足之处。通过将实验全过程中涉及现象、情境及步骤列成问题清单,让每位学生都能从实验中总结出得与失。最后借鉴翻转课堂的思想,邀请一位学生就实验目的、方法、步骤进行口头陈述,由其余学生进行补充,从而获得更深层次的理解。
5结语
通过网络安全实验课程的教学尝试,以及学生的反映来看,收到了一定成效。总结起来达到了三个目的,一是探索网络安全意识、网络安全技能并重的新型网络安全实验教学方法,二是引导学生进入实际问题情境中,深入角色,积极主动地去发现、分析及解决问题,三是将个人责任感、团队合作等职业化素质理念融入到教学过程当中,培养主人公意识。在教学过程中需要注意对于课堂进度以及时间的把握,如学生遇到难点应及时进行引导,推动进程。
参考文献:
[1]迟恩宇,刘天飞,杨建毅,王东.网络安全与防护[m].电子工业出版社,2009.
[2]叶成绪.校园网中基于aRp协议的欺骗及其预防[J].青海大学学报:自然科学版,2007(3):59-61.
[3]秦丰林,段海新,郭汝廷.aRp欺骗的监测与防范技术综述[J].计算机应用研究,2009(1):30-33.
[4]孟令健.计算机网络安全aRp攻击行为的防范研究[J].齐齐哈尔大学学报:自然科学版,2013(3):9-11.
[5]郭会茹,杨斌,牛立全.aRp攻击原理分析及其安全防范措施[J].网络安全技术与应用,2015(6):5-6.
[6]刘名卓,赵娜.网络教学设计样式的研究与实践[J].远程教育杂志,2013(3):79-86.
网络安全行动总结篇10
论坛上,中国文化网络传播研究会、中国网络空间安全协会、中国互联网发展基金会等十余家网络文化社会组织代表联合发起《推动提升网络素养助力争做中国好网民行动》倡议,提出要推动网络素养教育,承担社会责任;引导优秀内容生产,健康网络生态;重视青少年培育,引领网络未来;弘扬中华优秀传统文化,树立文化自信;建立长效合作机制,发挥统筹联动。
网络素养教育被纳入教学
在4月19日召开的网络安全和信息化工作座谈会上强调,“培育积极健康、向上向善的网络文化”。落实总书记的重要讲话精神,营造风清气正的网络空间,需要培养千千万万的中国好网民。因此,有专家在论坛上指出,争做“中国好网民”要从“小”抓起,除了网络技能,还应将网络素养教育纳入教学。
“高校是人才培养的高地和思想文化建设的重地,把广大师生培育成为中国好网民,是‘争做中国好网民’工程的重要内容,是高校应该承担的责任所在,意义十分重大。”教育部思政司司长冯刚表示,要积极开展网络主题教育,提升青少年学生网络素养,实施“网络文明进校园”“网络安全知识进校园”“网络法制教育进校园”等主题活动,举办全国大学生网络安全知识竞赛,增强青少年学生对网上有害信息的甄别、抵制和批判能力,引导广大青少年学生树立和传播“四有”好网民理念。
腾讯公司网络安全管理部副总经理朱劲松谈道,政府应该大力推动网民树立正确的网络安全观。过去,互联网普及率较低,网络安全教育一直属于技能教育;未来,我们期望政府能够普及网络安全素养教育,把提高网络安全素养纳入国民教育体系中,加强网络安全教育人才的招募和培养,加速提升全民网络安全素养教育的教材出台。
浙江网信办网络评论处处长俞国娟提议,通过开展一系列网络安全教育活动,让“中国好网民”的理念在广大网民尤其是青年一代网民心中落地生根。
引导网民提升网络素养
“要打造中国好网民互动平台,建设网民精神家园”,论坛上有专家指出,要看重网民、善待网民、广开言路,及时对舆情进行梳理和总结。网络媒体要充分利用和发挥好社交媒体和移动媒体的作用,才能更好地影响网民。
“中国好网民两微推出的#好网民辟谣平台#话题活动一年内辟谣近千条,用鲜活的案例提醒网民拒绝盲从,理性思考,壮大了网络辟谣力量,通过持续的典型案例通报与假新闻拆解扩大了辟谣新闻信息的影响力。”中国网副总编辑薛立胜称,要帮助网民成为“智慧网络人”,当人人都成为中国好网民,“互联网”就会成为“互利网”。
“中国现在有3.9亿游戏网民,网络文化对青少年形成强大吸引力,也会潜移默化影响他们的价值观、世界观、行为习惯。一些唯利是图、不注意监管的网游公司,助长了不健康生活方式、低俗价值观的蔓延。”网络游戏公会联盟负责人宋金磊提议,商家应该研发更多绿色游戏,建立更安全的财产交易平台。而网民能在游戏世界里遵守规则,只要好好引导,在现实世界中同样能遵纪守法。
自律可形成主流价值观
论坛嘉宾大多为网络从业者、专家,他们达成共识:提升网络素养、培育中国好网民,必须从企业、机构自身抓起,严格自律。
2016年中国网民权益保护调查报告显示,54%的国内网民认为,个人信息泄露情况严重,其中84%的网民受到个人信息泄露带来的不良影响。对此,中国网络空间安全协会副理事长杜跃进指出,部分企业不注意保护客户个人信息,甚至出卖信息、伪造虚假信息,以牟取利益,伤害的不止是网民,还有企业自身。“互联网和水很像,因势而流,企业自律可形成主流价值观,去引领大势,让网络污秽无处藏身。”杜跃进说。
“某些直播平台将直播变为低端创业、赚取快钱的方式,迎合某些人群的窥私欲、猎奇欲,传播不健康文化,这些让网民素养不断走低。”中国传媒大学新闻传播学部副部长、教授王晓红谈道,在人人都是自媒体的时代,媒体更需要自律。媒体自律,要在“为了谁、依靠谁”方面找准方向,明确将公众视作信息消费者,不以信息售卖作为价值取向,对失实表达说“不”。