关于网络安全的论述篇1
[关键词]网络安全;立法;权利
【中图分类号】D92【文献标识码】a【文章编号】1007-4244(2014)06-162-1
我国自1996年开始制定关于网络安全保护之规定至今已有18年,在面临着信息技术快速发展,网络环境日新月异的情况下,我国关于网络安全之法律保护层级较低,多为部门规章和地方法规,而且在立法过程中指导思想注重管理与监督,过于忽视权利的保护。本文将就网络安全立法中有关权利进行浅析。
一、网络安全法之权利主体
我国现行法律对于网络安全立法多从管理和监督角度出发,如《计算机信息网络国际联网安全保护管理办法》、《吉林市网络新闻监督管理条例》等,故在此次网络安全立法中应当对权利予以明确规定。在研究权利的保护之前,首先要明确的就是网络安全法中享有权利的人即权利主体。从网络使用中可以看出,主要有三类主体会参与到网络安全中。
(一)国家有关管理机关。有些法律规定由公安部计算机管理监察机构负责计算机信息网络国际联网的安全保护管理工作。相对于网络的覆盖范围,仅仅由专门机构负责过于笼统。因此在网络安全法立法中应该明确或另设具体的国家管理机关,以便统一管理、集中解决有关网络安全事项,同时也会贯彻高效便民理论。
(二)网络服务提供者。网络服务提供者主要指专门从事网络事业的人员。相对于使用者具有更为专业的技术,为发展大数据环境具有重要贡献,故在立法中应当从更有助于其研发、创新技术方面赋予权利。立法宗旨不是限制发展,而应是引导创新。
(三)普通使用者。作为网络系统中最为弱势的一方,处于被动情况下,务必应当遵守《宪法》的立法宗旨保障人权为指导思想,从使用者角度维护其合法权益。在立法中应当加强普通使用者权利,并加大宣传网络安全意识,能够在良好利用网络资源同时保障其利益不受侵犯。
以上这三类人是网络安全立法中不可或缺的权利人,属于网络安全的直接参与人。在立法中只有确定了权利主体,才能更好的明确权利的内容与客体。可见,网络安全权利人明确的重要性。
二、网络安全法之权利内容
基于具体权利人之后,从各自特定地位出发赋予不同权利来维护利益。总的来说可以从三个维度来明确权利的内容。
首先,从管理与监督维度看。这是与现行有关网络立法是相通的。同时具有一些区别。此次立法不应只明确国家有关管理机关对网络服务提供者与普通使用者的管理和监督权,同时还应包括网络服务提供者、普通使用者与国家有关管理机关的相互管理与监督权。增加公众的参与性,符合社会主义法治理念。
其次,从报酬维度看。依据我国现行法律体系不难不发现,对于网络安全立法重点指的就是网络信息安全,对于网络交易、网络游戏已经通过部委规章进行了适当的管理。那么在此次立法中,是否应当整合相关网络法律形成统一的网络法律体系,还是只注重网络信息保护,还有待考究。但是可以预见的是无论从选择哪种立法体系,报酬都将是网络得以发展的基本点。明确获取报酬权,不仅有助于促进网络服务提供者提供完善的服务,而且也有助于网络环境的良好运行。
再次,从隐私维度出发。基于在网络安全立法中重点信息安全,尤其是个人信息的保护,那么完善对个人信息收集、占有、处理、使用的保护。以隐私的角度进行保护,会起到更为完善的保障。不仅对泄露、篡改、毁损他人信息予以禁止,同时还应加强对网络广告的相关规定,有些网络广告随意进入自己空间或者在安装某些软件时附带且无法删除,此种广告绑定行为应该予以禁止。因此,在网络安全立法中应当以类似保护隐私的方式对个人信息维护,以体现保障人权之重要性。
在上述三方面权利基础上,应当着重加强服务的理念。即国家有关管理机构对网络服务提供者和普通使用者的分享信息技术,网络服务提供者对国家有关管理机构和普通使用者的信息整理工作,以及普通使用者对国家有关管理机构和普通使用者的信息提供等事项。
三、网络安全法之权利客体
网络安全法的权利客体就是指网络安全法中规定的权利人具体行使权利的行为。在结合上述内容可知,网络安全中的权利客体主要可以分为三大类。第一类即管理与监督行为。除上述提到的国家有关管理机构、网络服务提供者、普通使用者之间管理与监督行为外,同时还应包括自我管理与监督。作为一方网络参与人应就自己的行为负责,即各人责任制。同时自我管理行为与社会主义法治理论更为切合。第二类即获取报酬行为。原则上以不违法法律禁止的方式获取报酬的行为都应当予以准许。即法无禁止则可为。但是在快速发展的网络技术时代,法律永远具有滞后性,在不能够协调一致时,则应当以保障人权、维护社会利益、公共利益为原则。第三类即维护隐私行为。我国现行法律主要规定了举报、控告等行为。即权利人发现自己的网络信息、网络领域被侵犯,即可采取的向网络服务者或国家有关管理机构举报、控告的行为,请求予以补救的行为或者要求相关人员予以赔偿。
除上述三类权利客体外,网络安全立法中还应当明确当权利受到侵犯时采取何种救济途径,补偿或赔偿的范围和方式等。为了权利人更好的维护合法权益,构建完善的救济机制。
综合上述观点,就是笔者对网络安全立法中有关权利分别从三个角度即权利主体、权利内容和权利客观进行的剖析。鉴于网络安全立法之初,全国人大常委会将在今年予以制定,望上述有关网络安全立法中权利的分析能够为其制定提供帮助。
参考文献:
[1]刘志月,梁梦娇.制定网络安全法保护个人信息[n].法制日报,2013-07-06(003).
[2]陈琪.新疆网络安全监管之法律思考[J].新疆社会科学,2011,(04):78-82.
[3]皮勇.网络安全法原论[m].北京:中国人民公安大学出版社,2008.
[4]谢德.网络安全呼唤“良法善治”[n].中国社会科学报,2013-04-10(a04).
[5]沈耀U.论个人信息网络安全的法律保护[D].重庆:西南政法大学,2012.
关于网络安全的论述篇2
关键词:泛在无线网络;分布式态势感知;网络安全
中图分类号:tp311.52文献标识码:a文章编号:10053824(2013)04002504
0引言
信息通信技术(informationandcommunicationtechnology,ict)随着技术的进步和应用的拓展,将给人类社会的生产与生活带来一场深刻的变革。目前,通信网络作为信息通信技术的重要基础分支,已经从人到人(persontoperson,p2p)的通信发展到人与机器(或物体)间以及机器到机器间(m2m)的通信,并朝着无所不在(ubiquitous)的网络(即泛在网络)方向演进[1]。无线通信技术在近几十年内呈现出异常繁荣的景象,也带来了多种类型无线通信网络的发展和共存,这些无线通信网络可以统一称为泛在无线网络。
1泛在无线网络概述
泛在化已经成为未来无线网络演进的主题特征。泛在无线网络扩展了无线通信系统的外延,也丰富了系统的内涵。因此,这种高速化、宽带化、异构化、泛在化的网络无论从内部结构,还是所处外部环境,都具有如下两大主要基本特点:
1)异构性。构成泛在无线网络的不是单一或同构的网络实体,而是由功能、结构和组织形态各异的各类无线网络融合而成。同时,由于实体所处的地理位置、对资源的使用权限、网络社会环境中的角色和关系、信息的获取能力等因素的差异性,使得各个网络实体所处的环境以及获取的环境信息具有非对称性。
2)复杂性。网络实体之间,以及网络与环境的联系广泛而紧密,且互相影响。网络具有多层次、多功能的结构,其在发展和运动过程中能够不断地学习,并对其层次结构与功能结构进行重组与完善。网络与环境有密切的联系,能与环境相互作用,并能不断向更好地适应环境的方向发展变化。
泛在无线网络的异构性和复杂性从本质上改变了网络系统的内外部安全要素及其相互作用机理,使得人类对其特征做出有价值描述的能力大为降低[2]。这就要求降低网络系统对人的依赖,通过智能、综合的威胁分析和全面、协作的安全管理,将各个安全功能融合成一个无缝的安全体系。在这方面,目前国内外学术界已经开展了相关研究。其中,基于网络态势感知(cyberspacesituationawareness,csa)的网络安全机制研究作为异构、复杂网络的主流研究方法之一,得到了学术界广泛的关注与研究。所谓网络安全态势感知是指在一定的时空条件下,对影响网络安全的各种要素进行获取和理解,通过数据的整合处理与分析来判断网络安全性的现状,预测其未来的发展趋势,并最终形成匹配趋势的自主安全行为机制[3]。
2分布式态势感知
目前学术界关于网络安全态势感知的研究已经形成一些初步的成果,但这些研究方法主要针对有线网络,难以匹配泛在无线网络的特征,同时本身也具有较大的局限性。
这些局限性的具体表现之一为:集中式感知体系与无线泛在网络的异构性和复杂性不匹配。在目前的研究中,感知体系具有底层分布式和顶层集中式架构。即感知信息的获取与融合具有分布式特征,而在感知知识理解以及态势预测方面都采用集中式的决策方式。在这种体系下,必然有一个全网的中心控制实体,用于形成态势感知的顶层功能。泛在无线网络庞大的规模和异构性必然导致集中决策功能的计算、存储和协议传输开销过于复杂,难于实现,而且过于集中化也不能较好地体现安全要素和安全功能的局部化、本地化特征。
为了解决这一问题,本文提出了一种新型的态势感知理论。一般来说,大规模系统中的各个子系统拥有各自的态势感知信息,这些态势感知信息和其他主体的感知信息尽管是兼容的,但也可能是非常不同的。通常情况下,由于各个主体的目的不同,我们并不总是希望或者总是必须共享这些态势感知信息,于是可以把态势感知看作是一个动态的和协作的过程,这个过程能够把各个主体在同一个任务下每时每刻地联系在一起。基于这样一个观点,一种创新理论—
分布式态势感知(distributedsituationawareness,dsa)应运而生[4]。
2.1分布式态势感知与集中式态势感知的比较
分布式态势感知是面向系统的,而非面向个体的。我们的目标是研究分布式态势感知的措施,使其能够在某些领域支持对系统行为的预测和对观测现象的解释。例如,说明可能出现的错误,或者比较组织间指挥与控制的不同。在过去的20年中,很多的研究者在不同层次之间的相互关系和结构与功能之间的相互作用等方面都有着突出的贡献。通过回顾当代团队合作的研究,paris等人发现在一般的系统理论中,大多数的理论、模式和分类都包含着这样一种3步走方法,即输入—处理—输出[5],这似乎对预测模型的开发是一种有效的区分方法。事实上,系统理论方法应该能够提供一种适用于在不同分层描述预测信息的方法。
在分布式态势感知中,认知过程发生在整个系统中,而不是某个特定的分层。endsley于1995年提出了3层态势感知模型[6],即态势获取、态势理解和态势预测,这些可以恰当地映射为输入—处理—输出这样一个3步走方法。我们可以把endsley的感知模型应用在表1所示的入侵检测系统(ids)中。在这个例子中,信息收集设备一般为放置在不同网段的传感器,或者是由不同主机的来收集信息。检测引擎检测收集到的信息,当检测到某一异常时,会产生一个告警并发送给控制台。控制台按照告警产生预先确定的响应措施,如重新配置路由器或防火墙等。 这是一个简单的例子,因为它是线性的。在一定程度上,信息收集设备的输出是检测引擎的输入,检测引擎的输出又是控制台的输入。但是有两点说明对于本文研究的方法是非常重要的:第一点,构成分布式态势感知的认知信息是分布在整个系统的;第二点,是信息的隐式通信,而不是思维模型的详细交换。在表1的例子中,检测引擎通过一个告警来显示系统安全已经存在异常。因此,正如一些影响个体认知行为的重要的因素会涉及到信息的表征、转换和处理,即态势要素从获取到理解再到决策,同样的,整个系统层也要来面对和解决这些因素。
2.2分布式态势感知的特点
这些态势感知的基本理念分布在整个系统,引导我们提出一系列可以形成一个理论的基础原则。这些原则如下:
1)态势感知要素被人类或者非人类主体拥有。在表1中,技术设备和操作人员(控制台可能由人为控制)一样在某种程度进行了态势感知,如在这里是检测异常数据的存在。
2)在同一情景阶段下,不同的主体拥有不同的视角。就像在表1中,在态势要素获取、理解和预测阶段,信息收集设备、检测引擎和控制台拥有各自不同的视角和见解。
3)一个主体的态势感知是否与另外的一个重叠取决于他们各自的目的。尽管他们同属于一个入侵检测系统,信息收集设备的目的是收集可能存在异常的数据,检测引擎的目标是确定系统所处环境是否存在安全威胁,而控制台的目的在于为系统的安全做出适当的决策。基于endsley的态势感知模型,不同的主体代表态势感知的不同阶段,而他们自己并不是整个态势感知的缩影,如信息收集设备负责态势获取,检测引擎负责态势理解,控制台负责态势决策,这是分布式态势感知和传统态势感知模型很大的不同之处。
4)各个主体之间的通信可能通过非语言行为、习惯或者实践(这可能对非原生系统用户构成问题)来进行。例如,控制台通过检测引擎发送的一个告警信号,即了解到系统安全可能正受到威胁。
5)态势感知把松耦合系统联系在一起。通过对系统中异常数据的存在在不同阶段的感知和适当的响应,将信息收集设备、检测引擎和控制台三者联系在一起。
6)态势要素可以在各个主体间共享。例如,一个检测引擎可能不了解该系统中的安全威胁等级,但是它可以被信息收集设备、另一个检测引擎或控制台告知。
对于这类事件,我们可以依据klein提出的自然决策观点[7]进行考虑,也就是说,在某一领域的主体能够利用他们的经验和专长,使快速诊断和执行有效的行动在一个非常有限的时间框架内完成。类似的,smith和hancock两人提出,态势感知可以即时理解任务的相关信息,并能在压力之下做出适当的决策[8]。我们的理论是面向系统的,所以我们要对个体和共享态势感知采用不同的视角。我们认为分享态势感知的方法会把我们的注意力误导到任务并不十分重要的方面。在分布式团队工
作中,态势感知在短暂的时期可能是重叠的。分布式的态势感知需求和分享式的态势感知需求是不一样的。分享式的态势感知意味着分享的需求和目的是相同的,然而分布式态势感知意味着需求和目的是不同的,但是潜在兼容各自的需求和目的。因此,我们认为,对于一个系统中的特定任务,分布式态势感知可以定义为具有活性的认知。这与bell和lyon提出的观点相似,他们认为,态势感知可以定义为关于环境要素的认知[9]。从而,当把这一观点运用在分布式认知时,我们提出,态势需要充分利用适当的认知(被个体感知或者被设备获取等),这些认知信息与环境的状态和随着态势改变而发生的变化有关。对于本文提到的模型,认知的“所有权”首先是面向系统的,而不是个体的。这一观点可以进一步扩展到包括“态势感知元”的系统中,某个主体的认知信息包含于系统中,这样当其他的主体需要这些认知信息时,就可以知道去哪里找到。
2.3dsa理论的3个主要部分
分布式态势感知理论包括3个主要的部分:第一部分,获取操作过程中各个阶段和各个主体的认知信息,为完成这一任务我们使用关键决策理论;第二部分,从关键决策方法得到的结果中提取出认知对象,这里要用到内容分析方法;第三部分也是最后一部分,表述认知对象之间的关系,并识别它们是在哪些阶段被激活的。命题网络被用于此任务,包括利用“主题”、“关系”和“对象”网络结构的系统所需的知识来描述任何给定的情况。具体如下:
1)第一部分,获取各个部分的认知信息。
近年来,研究真实世界中的情况决策已经得到了极大的关注。虽然在检测方面做出了很多的工作,但还是要强调通过访问方法的使用来收集信息。klein提出的关键决策方法是一种针对关键事件的技术。按照klein的理论,关键决策方法是一种回顾性访问策略,应用一组认知探针来探测实际发生的非常规事件,需要专家判断和决策。在这种方法中,访问收益通过以下4个阶段:简洁和初始的事件回顾,确定特定事件的决策点,探测决策点和校验。
2)第二部分,提取认知对象。
为了把关键决策的分析表格转换成命题,我们采用内容分析的方法。在第一个部分,仅仅是从海量信息中分离出关键内容。例如,威胁的性质、情报可用性的程度和气候状况可以缩减为如下认知对象:“威胁”、“情报”和“天气”。通过检查以确保重复的最小化,然后用于构造命题网络。
为了解释这一系列的活动,我们确定一个认知对象的网络。我们定义认知对象作为世界上人们可以探测、分类和操作的实体。例如,认知对象可以包含自己和敌人领土的认知、空气和海洋的资产(和这些资产的有用度)、目标、重点、雷达带宽、计划和策略等。世界上所有的现象,都可用作潜在的认知对象。通过这种方式,我们把作战空间作为一个认知对象的网络,而不是一个技术网络。这不是否认技术网络的重要性,而是为了说明认知网络的正确使用可以确保整个系统有效地执行。
3)第三部分,表述认知对象与它们活动之间的关系。
命题网络就像语义网络,它们包含节点(包含文字)和节点之间的联系,但在两个方面有所不同。首先,这些词不一定是随机添加到网络的,而是涉及到定义的命题。一个命题是一个基本的声明,也就是说命题是最小的单元,其意义可以用来判断真伪。第二,词之间的链接被标记用来定义命题之间的关系。这些关系可能是关于主体和对象(从语法的角度)之间相对应的联系。基于以上的描述,我们认为可以引出像字典定义一样的概念。这些概念是基于基本命题的应用。 命题的派生是从关键决策方法再到内容分析得出的。我们可以构建一个初始命题网络来展示与此相关时间的认知信息。这个命题网络由一系列的节点来表示与特定操作者相关联的对象,例如,信息的来源和主体等。通过这个网络,应该可以识别与此事件相关的需求信息和可能选项。
综上所述,通过分析分布式态势感知的理论特点,并且结合泛在无线网络存在的安全难题,我们可以得到如下结论:分布式态势感知技术可以很好地解决泛在无线网络的异构性和复杂性问题,同时能够较好地体现安全要素和安全功能的局部化和本地化特征。
3结语
泛在网是全球新兴战略性产业,是“感知中国”的基础设施,此项事业光荣而艰巨,任重而道远。而泛在无线网络作为其重要组成部分,其安全问题正
到越来越广泛的关注。本文的主要目的是介绍一个新型的态势感知理论,即分布式态势感知。希望利用分布式态势感知的理论特点来解决泛在无线网络的一些具体难题,如复杂性和异构性问题。
虽然网络安全态势感知的研究已经得到了国内外越来越多的关注,但仍处于研究的探索阶段。尤其是对于无线泛在网络而言,除了要解决本文提到的“集中式感知体系与无线泛在网络的异构性和复杂性不匹配”问题,还需要注意到以下3个方面的问题:
1)安全态势演化模型无法耦合网络中各实体行为的复杂、非线性关联作用机理;
2)精准且高效的态势感知过程必须受网络实体的存储和计算能力以及带宽约束,尤其是在分布式态势感知体系下,各网络实体完成协作式态势感知过程时引入高效的协议交互,以及分布式决策的收敛性和收敛速度都有待研究;
3)缺乏针对泛在无线网络应用场景的主动防御机制及其评价体系。
参考文献:
[1]苗杰,胡铮,田辉,等.泛在网络发展趋势与研究建议[j].通信技术与标准(泛在网专刊),2010(1):49.
[2]akhtmanj,hanzol.heterogeneousnetworking:anenablingparadigmforubiquitouswirelesscommunications[j].proceedingsoftheieee,2010,98(2):135138.
[3]龚正虎,卓莹.网络态势感知研究[j].软件学报,2010,21(7):16051619.
[4]nevillea,rebeccas,donh,etal.distributedsituationawarenessindynamicsystems:theoreticaldevelopmentandapplicationofanergonomicsmethodology[j].ergonomics,2006,49(1213):12881311.
[5]pariscr,salase,cannonbja.teamworkinmultipersonsystems:areviewandanalysis[j].ergonomics,2000,43(8):10521075.
[6]endlseymr.towardatheoryofsituationawarenessindynamicsystems[j].humanfactors,1995(37):3264.
[7]kleinga.arecognitionprimeddecision(rpd)modelofrapiddecisionmaking[j].decisionmakinginactim:modelsandmethods,1993,5(4):138147.
[8]smithk,hancockpa.situationawarenessisadaptive,externallydirectedconsciousness[j].thejournalofthehumanfactorsandergonomicssociety,1995,37(1):137148.
[9]bellhh,lyondr.usingobserverratingstoassesssituationawareness[c]//in:m.r.endsley(ed.)situationawarenessanalysisandmeasurement.mahwah,nj:lea,2000:129146.
关于网络安全的论述篇3
关键词:网络安全部署与实施;课程定位;课程开发;工作过程;课程设计;学习情境
作为部级示范院校的非示范专业,我院计算机网络工程专业根据国家教育部的有关要求,把工学结合作为人才培养模式改革的重要切入点,推进工学结合,突出实践能力培养,在实践中取得了一些成绩。
课程定位
课程在专业中的定位计算机网络工程专业培养的学生应当具备网络基础理论知识和专业实践知识,具备较强的从事企业局域网的网络规划、设计和管理,主机设备安装、调试与维护,网络系统安全检测与调试,网站程序设计开发等工作的能力,能够适应生产、建设、管理和服务第一线需要。我院将计算机网络工程专业培养方向定位为网络设计与实施、网络管理和网络编程三个方向,《网络安全部署与实施》课程的开发是基于网络设计与实施、网络管理这两个岗位的工作需求开展的。该课程在网络设计与实施、网络管理岗位中的相关的需求,对网络人才的核心技能培养有着关键作用,同时该课程对网络技术技能的要求也很高。因此,我们将《网络安全部署与实施》课程定位为该专业的核心课程,同时确定了课程的目标是培养学生在网络工程中安全计划、部署、实施与管理的职业技能和职业素质,具备在工程实际项目中确保网络安全的能力以及团队协作、沟通交流、职业道德、网络安全法规等方面的综合素质和能力。
该课程与前导、后继课程的联系《网络安全部署与实施》涉及的网络基础知识是在《计算机网络技术基础》课程中讲授的,路由器规划管理技术是《路由器部署与实施》课程讲授的,交换机的规划与管理来源于《交换机部署与实施》课程,基本管理与配置无线网络、广域网络涉及的知识则来自于《无线网络应用实践》、《广域网技术实施》两门课程。可以看出,学生在学习了上述前导课程后,对网络规划、部署与实施的基本技术与技能已经大体掌握了,《网络安全部署与实施》课程也是对上述前导课程进一步深化、应用和提高,因此网络安全基础课程可以通过项目引导方式,将网络安全类知识与前导课程的知识内容进行有效融合。《网络安全部署与实施》课程还为《网络应用项目》、《网络毕业设计》等后继课程打下基础,构建完整的网络工程实施、规划、部署知识体系结构,具备实施网络安全工程项目的基本能力与基本素质。该课程在计算机网络工程专业课程体系结构中的位置如图1所示。
该课程的历史从2006年开始,我院信息系就开设了《网络安全基础》课程,经过3轮课程实施,我们发现在实际授课过程中,因教师个人掌握的技术方向不同,讲授的侧重点不同,一部分教师侧重于windows/Linux安全技术,而有些教师侧重于防火墙、路由器、交换机硬件设备安全技术。经过教研室探讨和对市场相关人才技能需求调研分析,我们发现《网络安全基础》应该涵盖网络设备、网络主机两个不同方向的安全主题,单独一门课程不足以将相关技术都覆盖到位。于是从2009年起我们着手将《网络安全基础》划分为《网络安全部署与实施》、《主机安全部署与实施》两门课程,以实现人才培养的技能精细化、目标明确化。
课程设计
高职学生的形象思维能力普遍强于逻辑思维能力,高职院校的人才培养目标定位是高技术高技能型人才。该类人才知识结构中的陈述性理论知识和过程性实践知识的关系应当是:过程性的实践知识应用是最终目标,陈述性的理论知识是基础,并且陈述性理论知识最终要在过程性的实践中应用和体现。基于这一思想,《网络安全部署与实施》课程的课程设计围绕建立并实施完整的工作过程来展开。
以汉堡理工大学的潘伽罗斯(p.pagalos)教授对工作过程建立的模型来看,工作过程的涵义包括工作人员、工具、产品和工作行动四个关键元素,这四个元素在特定环境中按照一定的时间和空间顺序,根据工作任务和实现工作成果达到需求的过程即为工作过程。基于工作过程的课程设计方法是由德国不来梅大学技术与教育研究所创始人菲利克斯·劳耐尔(FelixRauner)提出的,该方法以现代职业工作整体化分析和描述为基础,对课程进行的工作过程展开系统化设计,该方法称典型工作任务分析法,也称为BaG课程开发方法。基于工作过程的课程开发,其开发过程更加关注工作过程所涉及任务的综合性,强调工作过程应具备整体性和完成工作任务所需的创造性,同时将工作中的相对于理论知识而言的实践性知识提高到了一个新的水平。在基于工作过程的课程开发过程中,首先需要进行职业领域分析,了解职业领域中的工作过程,从中分析并提炼出典型工作任务,再以此为基础确定行动领域,从而实现工作过程向行动领域的转变,之后在行动领域中归纳分析需要且能够学习的行动领域并从中得到学习领域,最终在学习领域中通过分析设计出学习情境、学习任务、教学考核过程等。
课程整体设计在《网络安全部署与实施》课程的设计过程中,我们和南通大恒创新技术有限公司、南通市人民政府信息化部门等多家企事业单位的网络工程专家进行了探讨,并通过发放电子问卷联系已经毕业的学生获取目前他们从事岗位工作的专业技能需求,进而确定从网络工程专业培养的网络实施工程师、网络维护工程师岗位中提炼典型工作任务。在典型工作任务提炼过程中,我们的目标定位于企业一线的工程项目,将之作为课程的载体,从这个出发点出发实现教育与就业对接,并实现网络工程专业人才培养和服务一线的岗位需求对接。因为企业本身对自己的网络安全机密度、敏感度要求较高,一般不愿意向外透露自身的安全资源建设信息,为此我们通过多方走访和企业协商,在遵循法律规范、工程职业道德及对客户信息保密的前提下,由企业一线工程师和教研室教师一起对现有企业网络实施中的项目进行探讨并对这些项目进行必要的改动,这样在保证企业网络安全项目机密的同时,通过合作开发确保了我们基于工作过程课程开发的项目载体是来源于实际一线的网络实施项目,且实践性较强、可操作性较高,保证了载体的质量和课程设计方向的正确性。通过获取并分析网络项目中的项目需求、项目建议书、设备选型采购计划、项目实施方案、项目测试方案、项目维护方案等项目实施过程中所需的技术信息,可以初步归纳出网络安全技术实施过程对专业能力的需求包含的5个行动领域。《网络安全部署与实施》课程设计总体结构如图2所示。
转贴于
学习情境设计学习情境是在行动领域分析和提炼的基础上设计的学习的“情形”和“环境”。《网络安全部署与实施》课程的载体是源于网络工程一线的大型项目。大型项目涉及的多个不同行动领域信息经教研室教师和一线工程师分析后,将网络安全实施的工作任务分解为子项目。每个子项目都是一个具有完整需求、设计、实施、测试过程的网络工程项目。每个子项目有着不同的实施特征,项目之间相对独立,按照实际的项目工作流程依次序化。序化后的子项目即可对应于一个学习情境。参考一般的学习情境按照从简单到复杂的方式序化外,考虑到整个工作过程的载体是一个完整的大型项目,学习情境的序化同时要考虑实际项目的施工逻辑流程,因此难度较大的情境“工程文档撰写”和难度较小的情境“网络设备测试与验收”放在项目实施过程中实际对应的位置。
教学设计对于每个学习情境(即子项目)的学习内容,将工程实施流程和学生认知规律进行有效的结合,按照资讯、计划、决策、实施、检查和评价的过程开展教学过程。在教学过程中(参见图2右1列),先将班级学生分组,以小组为单位讨论教师提供的资讯信息,小组提出自身的计划,小组讨论后对可行方案作出决策,分别通过模拟器实验和实际设备进行验证,检查实验和验证结果并调整先前计划,在小组的组内、组间、教师评估中对实施过程进行考核。改革前本课程的平时成绩与期末成绩各占总成绩的30%和70%,通过开展上述6个步骤的教学活动,加大了阶段性情境教学过程中的考核工作,平时考核占到了总成绩的70%。通过开展情境教学,学生的自主学习能力、交流能力、职业技能和职业素质都得到了极大提高,同时也提升了学生对职业的认可度。
职业素质培养
职业能力是综合能力,专业能力之外的方法能力和社会能力更为重要。因此,我们从行动领域中提炼出来的其他关键能力包括:(1)遵循法律、职业道德规范,具有良好职业操守;(2)爱岗敬业、适应技术岗位,团队合作和独立工作能力;(3)具备一定心理承受能力和环境适应能力,具备在较大压力环境中观察、分析、解决故障的能力;(4)遵循安全实施、规范操作流程;(5)与用户沟通、谈判的能力;(6)能够跟踪技术动态,能够通过自主学习获取新的知识,能独立性、创造性地开展工作的创新能力;(7)严谨的科学态度和科学素质、逻辑思维能力。
上述能力的培养和专业能力的培养同等重要,甚至可以说比专业能力更为重要。上述能力的培养是通过融入项目教学过程中,借助具体的学习情境、课业文本的学习和考核过程而实现的。在课程实施过程中,我们提出了环境育人和文化育人的理念。在网络机房上课的教师和学生,一律穿鞋套;在机架设备前进行调试的学生必须佩戴防静电手腕;放置临时线缆的学生必须将每根线缆做上临时标签,线缆用完后离开实验室前必须拆除;在网络机房外部提供公共柜子放置水壶、饮料,网络机房内部一律不允许带入;在实际设备上配置数据操作的命令必须由小组组长或教师批准后方可实施,如配置有变动则需要再次在小组内部提出变动申请。这些要求虽然琐碎,但都是根据电信、移动机房一线项目实施实际要求提出的,目的是通过日常的细节用环境和文化潜移默化地帮助提高学生的职业素质。为促进学生职业素质的培养,教师将这部分内容纳入了学生成绩考核范围。
总结与思考
总结(1)随着互联网的普及,网络安全问题日益突出,网络安全课程的重要性也越发显著。考虑到一门课程无法容纳网络安全的所有技术,我们将网络安全课程分为两门,《网络安全部署与实施》侧重于工程中网络设备的安全技术实现,另一门《主机安全部署与实施》则将侧重于基于Linux/windows/Hp-UX等服务器的安全,这样的划分是基于国内大型集成商的项目实施对人员岗位的划分及网络一线实践需求。(2)《网络安全部署与实施》涉及路由、交换、防火墙、Vpn等多种技术,同时涉及网络计划、部署、实施、验收等项目实践工作,对授课教师要求较高。为保证教学质量,授课教师应当具备不低于CCna/CCnp的技术水平,具有相当的工程实践经验,同时应当具备丰富的授课经验并完整进行过一轮CCna网络课程的授课。
思考(1)网络安全类课程对实验室建设要求较高,中高端防火墙、Vpn设备价格较高,大规模建设对于一般院校而言较为困难,如何在现有采购招标法规、资金条件下利用企业的下线设备、加大实验室共建力度值得在示范院校建设过程中探索。(2)职业教育类的课程是动态的企业需求的反映,不只是静态学科知识的载体,《网络安全部署与实施》课程内容需要根据技术的变化不断调整,在课程授课中实现学生学习过程的工学结合、理论实践一体化的同时,也应考虑如何促进教师走进企业一线实践,在具体项目工程中实现面向教师的工学结合学习实践,进而通过提升教师研发能力、课程开发能力与水平,促进教师的职业能力提升。(3)网络专业不同于软件专业,项目实施过程中对网络工程师的纯技术以外知识需求较多,一般现场项目实施只有一名网络工程师与用户沟通并处理所有事务,因此培养学生的客户沟通能力、独立工作能力、在压力环境下排除故障的职业素质要求远远高于这一方面软件人才的培养,同时网络工程的工作地点分散且多在用户现场,如何大规模建立校外网络人才实训基地及在现有校内实验实训环境中培养学生的职业素质也值得高职院校思考并解决。
参考文献
[1]姜大源.学科体系的解构与行动体系的重构[J].中国职业技术教育,2006,(7):14-17.
[2]蒋庆斌,徐国庆.基于工作任务的职业教育项目课程研究[J].职业技术教育,2005,(22):46-50.
关于网络安全的论述篇4
关键词:计算机;安全弱点;评估检测;关键技术;分析
随着网络规模的迅速增长,网络安全事件日益增多,安全问题逐步严峻。大量理论探究与长期实践探索表明,黑客、病毒与恶意代码等将会对计算机运行构成严重威胁,产生这一问题的根本原因是安全弱点,对于计算机与其软件而言,在相关设计活动、开发研究与日常维护中总会出现安全弱点。由此可知,全面剖析和探讨安全弱点,这在提升网络安全,维护计算机系统中发挥着巨大价值。
1计算机安全弱点概述
1.1内涵
计算机弱点研究具有广泛性和复杂性,主要涵盖形式语言学与统计学等不同领域。计算机弱点一般指代在自身硬件、软件系统或者策略层面存在缺陷,为攻击者的恶意攻击与非法访问提供可能性。弱点包含广泛的范围,涉及计算机与网络系统的所有环节,例如,路由器以及防火墙等。以防出现称呼混淆现象,笔者在本文中把安全漏洞、薄弱点、薄弱性以及安全弱点均看作弱点。探讨计算机弱点问题时一般需要解决下述四个问题,其一,何谓计算机弱点;其二,如何清晰反映弱点的本质特性;其三,如何计算机系统归属脆弱范畴;其四,一旦出现计算机弱点,将会引发各种资产损失。围绕上述探讨的四个问题,通常能够把弱点研究简单地概括为以下三方面:描述、检测以及评估技术,该三项技术紧密相连,相互影响,弱点描述技术占据着基础性地位,弱点检测技术扮演着评估工具,弱点评估技术面向用户提供最终服务,彰显弱点研究的初始目标。
1.2弱点描述技术
为全面解读计算机弱点,要求我们应完整、清晰表述与计算机弱点相对应的本质特性,在此种背景条件下,弱点描述技术随之出现。弱点描述探讨主要包含弱点分类方法与描述语言这两点内容,其中前者的探讨主要解决何种属性可清晰、全面标注弱点这一问题,后者的探讨则用来应对借助何种手段让人们明确与体会上述属性,进而正确认识弱点这一问题。对于弱点描述技术,其应用需要大多源自弱点信息公开、存储与获悉;检测;研究和评判;软件工程范畴。
1.3弱点检测技术
弱点检测指代弱点识别,它可促进弱点评估工作的开展,为其提供合理的弱电信息,从常规意义上而言,主要用来探究弱点发现问题。因此,在实践活动中,弱点检测情况关乎着弱点评估工作最终的成效,且为主要影响因素。近些年,研究人员围绕弱电检测技术开展了大量与系统的研究,并从不同角度出发给出相应的分类结果,各个检测方法密切联系。从检测目标层面而言,可将弱点检测技术划分成已知与未知这两项内容,其中前者主要涉及部分自动检测方法,最为常见的是被动监听方法,然而后者主要探究人工检测方法。
1.4弱点评估技术
弱点评估技术具体指代判断计算机以及网络软件系统自身出现安全弱点后将产生的损失量。借助弱点风险评估能够明确信息系统结构内部的安全健康装款,判断安全有效性,以此来促进安全防范,为其提供可靠的决策信息。
2主机系统弱点评估
2.1总体概述
近几年,网络技术迅猛发展,与此同时,恶意攻击与非法访问活动也更加多样与繁琐,其中最为突出的网络病毒,主要按照自动化方式,经由软件安全弱点进行传播与蔓延,面向计算机系统进行恶意攻击。上述提及的安全隐患对计算机系统的正常运行与稳步使用构成严重威胁。为增加系统安全,提升信息可靠度,系统管理人员以及开发人员正在努力探索自主、有效的防范技术,即弱点评估,并引发了人们的高度热议。弱点评估具体指代落实计算机、明确网络在安全弱点的作用下产生的损失量,借助弱点评估,有效掌控计算机系统实际的安全风险走向,促进安全防范,为其提供科学的决策信息,进而防范危险事件的出现。弱点评估技术较为主动,且具有一定的预先性,优越于入侵检测技术。参照评估对象,可将弱点评估划分成主机系统评估、计算机防火墙评估以及网络软件系统评估等多种类型,笔者将着重探讨主机系统评估。主机系统通常包含多个软件,且各软件能够看做系统组件,原有评估方法只是分析个别组件弱点,不考虑若在多个组件弱点内部的关联所产生的不良威胁,同时,原有的评估方法仅借助弱点数量表达系统风险,此种形式将会诱发弱点误判现象。为弥补这一不足,笔者提出以弱点关联图为基础的评估方法。此种方法不仅应用弱点关联思想,而且应用综合分析方法,选取指数评估策略,以此来从组织设计、实现与投入运行中评估弱点诱发的安全风险,并综合比对每一个系统与所有版本在任何层面的安全状况。
2.2风险计算
2.2.1基于弱点进行的风险计算
众所周知,从主机系统的层面来说,攻击者在执行多级攻击环节时只能借助相同操作系统包含的安全弱点,因此,对于各操作系统版本均存在相应、独特的弱点关联子图。其中弱点关联子图包含独立弱点以及关联弱点链这两部分,若想围绕操作系统内部的安全走向进行量化评估,则应提供与弱点与弱点链相对应的风险计算理论公式,参照公式进行科学计算。
2.2.2基于评估对象进行的风险计算
在常规条件下,执行评估活动之前要求应明确评估对象,对于本文所探究的主机弱点评估,其对应的评估对象主要包含真实存在的操作系统、基本组件、各种软件以及不同的数据库等。基于评估对象进行的风险计算一般依托弱点风险计算来开展,利用琼斯指数,选择风险系数较高的弱点序列充当系统整体的评估依据,借助矩阵形式展现评估对象自身的风险值,主要应用微观与宏观这两种分析方法。
2.3评估算法
参照软件运行状态,可将弱点评估划分成动态评估以及静态评估这两种类型,其中前者还包含主机扫描与网络扫描评估。由此可知,以弱点关联图为基础的主机系统弱点评估所采用的评估方法,一般应涉及以主机扫描为基础的动态评估、以网络扫描为基础的动态评估、以网络扫描为基础的静态评估。正式执行上述评估算法之前,要求达成下述两项任务,其一,各已知弱点存在预先设计的量化特征;其二,可生成涵盖各种已经明确弱点的VGR。
3网络系统弱点评估
计算机的迅猛发展为人们的日常工作与常规生活带来了翻天覆地的变化,与此同时增加了恶意攻击与非法访问的可能性。生活实践表明,多个独立弱点虽然波及范围较小,然而,若被黑客经由网络进行组织利用,那么将会为网络系统安全埋藏一定风险。从弱点评估范畴层面来说,因计算机的互联,致使网络系统评估以及主机系统评估存在较大差异,对于网络信息安全系统而言,其安全风险分析以及网络互联程度呈现出正相关,随着互联程度的增加,分析难度系数将不断提升。参照描述方式,可将风险评估划分成定性、定量以及混合式评估方法。通俗来说,定性评估一般依据研究者自身的知识结构与经验水平等来明确系统风险状况,此种评估方法具有全面、深入的优点。定量评估是指借助数量指标开展风险评估工作,此种方法的显著优点为直观、简明、合理、严密。笔者将围绕网络系统具体的量化弱点评估进行探讨。本文依托网络节点关联关系,组织设计,研制出风险传播模型,以此来评判网络系统风险。
3.1网络节点关联关系
为明确网络内部各独立弱点的实际联系,以此来精准评判安全风险,研究人员围绕网络节点自身的连通性进行大量研究。分析相关文献发现,系统理解与全面探究网络自身每一个节点主机自身的连通性关乎着网络弱点评估效果。在工作实际与现实生活中,随时随地均会应用网络,例如,通过网络公开数据信息,借助网络开展作业活动。在上述实践探索中不难发现,网络节点以及节点用户内部一直存在别样的访问关系,此种关系具有特殊性,除作用于专有控制权层面,还展现于关系特殊性中。
3.2风险传播理论模型
首先,进行模型定义,提出所有与之存在关联的概念和定义;随后,明确传播算法。因npR认识存在不足之处,不难发现,现实生活中很少能够看到与求解该问题所用算法相关的文献研究。截止到前,与该问题较为相似的问题主要包含DCmC与mRD问题,这两种问题与nRp问题存在差异,后者求解重点是把各种风险顺着各种有向路径,完整传播至各种可达节点。
3.3近似传播算法
结合实践活动,我们试图探索一种近似算法,以此来在精准的基础上,显著优化算法性能。基于这一需求,近似传播算法正式问世,将其记做apmi算法。分析RH算法可发现,每条有向路贯穿相同部件时均会落实一次操作,这一般会消耗较多的时间,挤占一定的空间,针对这一现象,归纳总结出近似传播原则,其具体内容如下:各部件传播风险,使其转移到邻近部件,忽略继续传播问题,同时各部件只需要处理一次。在这一基础条件下,涌现出了新的问题,主要是指部件处理顺序将会制约准确性,为规避这一误差,引入最小度原则,以入度最小部件为对象实施邻近传播。apmi算法具体涉及初始化、准确计算所有部件自身的初始概率,明确风险,形成风险源集合,科学计算初始入度,摒弃零入度对应的非风险源部件内部形成的入度或者间接形成的入度,实施邻近传播内容。随后从有回向路与无回向路着手探究算法的精准性。在此基础之上开展模拟实验,为探究网络规模类型、网络实际密度以及风险源密度等不同因素在算法性能中产生的影响,本文以中小规模类型的网络开展模拟实验,合理布设实验环境。面向各节点设置一个主体,且各弱点以及有向便对应的概率值与危害性指标分别规定为0.5与1.0。另外,为降低实验误差的大小,针对各组实验,依托一组参数借助平均分布随机数制造RH与apmi,并选取对应的平均值。分别从网络规模类型、网络密度值以及风险源密度等进行探讨。通过分析探究可知,若网络环境存在差异,则网络规模类型将会对算法产生不同的影响,形成这一结论的主要原因为:若网络系数,则形成有向回路几率降低,因此,apim算法更加精准;若网络与风险源较为稠密,则对应的有向回路与风险源均较多,随网络规模类型的逐步扩大,算法性能以及精准性将不断下降,满足分析结果;apmi算法几乎不会因网络密度值出现变化,这两者之间并不密切,待网络密度值发生改变时,算法精准性仅仅受到很小的影响;网络密度关乎着RH算法,且影响程度较大,相对来说,网络规模类型以及风险源密度则会对RH算法产生较小的影响,但apmi算法却在相同的高稠密条件下,呈现出线性指数关系,性能有所提升,其性能与RH算法相比存在一定的优越性。
4结语
现阶段,社会各界在计算机网络发展问题中已经达成共识,携手努力,一起构建信息网络平台,为实现该目标,首先应提供稳固、可靠的安全保障。不难发现,面向安全隐患提出可行对策至关重要,这需要引起全社会的高度关注。不管是从局域网的层面来说,还是站在因特网的角度而言,均涉及信息保护问题。因此,我们应结合各类安全隐患,提出有效的安全对策,综合权衡各种威胁特点,切实保障网络信息数据,不断提升安全技术水平,实现计算机的可持续发展。
参考文献:
[1]张永铮.计算机安全弱点及其对应关键技术研究[D].哈尔滨工业大学,2013.
[2]张婷婷.计算机安全弱点及解决技术研究[J].网友世界•云教育,2014(19):8-8.
[3]孙桂林.对计算机安全知识教学的分析和探讨[J].学周刊B版,2014(6):55-55.
[4]崔志磊.基于人工免疫的计算机安全行为防范模型[J].兰州理工大学学报,2014,35(4):107-110.
[5]欧鑫凤.基于弱点数据库的多维关联规则挖掘[D].哈尔滨工业大学,2015
[6]全石峰.计算机安全技术在电子商务中的应用探讨[J].微型电脑应用,2013,29(11):63-65.
[7]罗成.电子商务中计算机安全技术的运用研究[J].消费电子,2014(8):107-107,109.
[8]刘海英.计算机安全技术在企业移动办公中的应用[J].科技创新导报,2013(20):33-34.
[9]田文仲.浅议电子商务信息安全在计算机安全技术下的研究[J].计算机光盘软件与应用,2015(8):6-6.
关于网络安全的论述篇5
关键词:adHoc,信任,信任管理,模型
1引言
adHoc网络是一种无线对等自组织网,它由移动节点组成,是一种不依赖于任何固定网络设施的临时性自治系统。adHoc网络中所有节点分布式运行,同时具有终端和路由器的功能,均可接收或转发分组。由于adHoc组网的快速性、灵活性、节点的分布性等诸多的特点,在战争、救灾等特殊领域有着不可替代的作用。但是,正是由于其无中心、自组织、移动性、多跳路由、动态变化的拓扑结构、节点资源有限等特点,与固定节点相比而言,adHoc网络中的移动节点更易遭受攻击[1]。由于adHoc网络与目前广泛应用的有线固网存在着巨大的差别,使得现有固网中许多安全措施难以在adHoc网络中实施,因此adHoc网络的安全问题更为突出。
信任管理是通过收集和处理信任数据,获得经验,并以此为依据做出信任决策。信任数据的来源主要有两种:直接经验与推荐信息。wattsDJ将小世界理论用于网络环境[2],并认为信任、推荐可以通过较短的路径在相连的两个实体之间传播。基于上述的特点和理论,信任管理成为解决adHoc网络中安全问题的一种新的思路和重要的手段。本文在分析adHoc网络特点的基础上给出了一种基于主观信任的adHoc网络信任管理模型的逻辑设计方案,为建立安全的adHoc网络提供了新的解决方法。
2信任管理的相关研究
目前,对于信任还没有一个精确的、广泛可接受的定义。本文采用文献[3]中对信任的定义:信任是在不断的交互过程中,某一实体逐渐动态形成的对其他实体的部分或整体的评价,这个评价可以用来指导这个实体的下一步动作。
m.Blaze等人在1996年第一次提出了信任管理(trustmanagement)的概念[4],并将其定义为采用一种统一的方法描述和解释安全策略(Securitypolicy)、安全凭证(SecurityCredential),以及用于直接授权关键性安全操作的信任关系。信任管理主要研究内容包括制定安全策略、获取安全凭证、判断安全凭证是否满足相关的安全策略。m.Blaze等人提出了基于信任管理引擎(trustmanagementengine)的信任管理模型结构,如图1所示[4],使信任管理能够独立于特定的应用环境。
图1m.Blaze等人提出的信任管理模型
在图1所示的信任管理模型中,信任管理引擎是整个信任管理模型的核心,它回答了信任管理的核心问题:安全凭证集C是否能够证明请求r满足本地策略集p,信任管理的规范性也在这里得到体现。毕业论文,信任管理。
a.abdu1-Rahman在m.Blaze定义的基于上,结合了的主观信任管理模型思想,给出了一个更具有一般性的信任管理定义[5]:信任管理是信任意向(trustintention)的获取、评估和实施。因此之前的授权委托和安全凭证的信任管理实际上是一种信任意向的具体表现,而主观信任管理主要从信任的定义出发,使用数学的方法来描述信任意向的获取和评估。他们认为信任是非理性的,是一种经验的体现,不仅要有具体的内容,还应有程度的划分,并提出了基于此观点的信任度评估模型。如Beth信任管理模型[6]、Josang信任管理模型[7]等。
现有adHoc网络的信任管理大多通过公钥机制与门限密码机制来实现[8,9,10],这是一种精确的、理性的方式,但是要求在adHoc网络中至少存在一个授权认证中心(Ca)。由于adHoc网络具有无中心性、自组织性、移动性、多跳路由和拓扑结构动态变化的特点,传统意义上的Ca在adHoc网络很难实现。这种信任管理模型由于自身的局限性,难以准确地描述adHoc网络中的信任关系,因而现有的adHoc网络的信任管理模型无论在描述准确性和具体实现方法上都存在很大的问题。毕业论文,信任管理。但是这个问题对于整个adHoc网络的安全是至关重要的。本文正是在这样的背景下,在对目前信任管理的相关研究进行深入分析的基础上,给出了一种新颖的基于主观信任的adHoc网络信任管理模型,并进行了详细的逻辑设计。
3adHoc网络信任管理模型
3.1adHoc网络对信任管理的要求
adhoc网络不依赖任何现有的固定网络设施;网络节点是对等的,同时承担了主机和路由器的功能,可以寻找和保持到其他节点的路由;拓扑结构是动态变化的;结点资源有限,adHoc网络的这些特点对其信任管理提出了新的要求:
(1)adHoc网络是没有固定的网络基础设施和网络控制中心,所以没有统一的认证中心或者可信的第
三方来收集、保持与存储相关的信任数据,这要求其信任管理模型必须是分布式的;
(2)adHoc网络的拓扑结构是动态变化的,因此节点必须动态的发现相邻的网络节点,并与之交互信
任数据。
(3)每个网络节点只知道自己和部分其他节点的信任数据,因此必须要有从其他节点学习和评价不熟
悉节点信任值的能力。
基于上述新的要求,综合考虑adHoc网络的特点,本文给出一种基于主观信任的adHoc网络中分布式的信任管理模型的逻辑设计方案。
3.2adHoc网络信任管理模型的逻辑设计
adHoc网络虽然与传统的广泛应用的有线固网不同,但考虑到tCp/ip协议已经成为事实上的互联标准,所以adHoc网络的体系结构应基于tCp/ip体系结构[11],其网络体系结构如图2所示。
图2 adHoc网络的协议栈模型
从图2中,可以看出信任管理处于协议栈的应用层,利用UDp协议进行数据传输。毕业论文,信任管理。因为UDp协议开销较小,尤其在adHoc网络中,结点资源有限,使用UDp不会对adHoc网络造成太大的负担。信任管理模型在协议实体中的上下文语义如图3所示。
图3 信任管理的上下文语义
在图3中,①代表上层实体向信任管理层发出的信任计算请求,②代表信任管理层利用下层实体提供的服务,③代表下层实体向信任管理层提供服务,④代表信任管理层向用户层提供服务。从图中可以看出,信任管理实体利用本层服务数据单元(SDU)向上层协议实体提供服务,并利用下层的协议实体提供的服务完成本层协议实体的功能。网络实体通过在两个用户的对等层实体之间用协议数据单元(pDU)传递信任数据,实现信任数据的交互。
信任管理模型主要包括4个功能,信任数据收集,信任数据存储,信任评估及信任行为指引,系统组成如图4所示。信息收集主要负责监控相邻网络节点的行为和接受其他节点发来的推荐信任数据,解析数据并将本地的信任信息分发给相邻节点。信任存储主要用来存储本节点的信任数据,以备用户查询和使用。信任评估主要负责计算网络节点的信任度,它从数据库中读取信任数据,按照本地的安全策略计算信任值。毕业论文,信任管理。网络服务行为指导主要负责对节点的网络行为给出基于信任度的指导,可以使网络节点避开信任度较低的节点(可能是恶意节点或自私节点),提高节点的工作效率。毕业论文,信任管理。
图4adHoc网络中信任管理的逻辑模型
4结束语
作为一种无线通信网络,adhoc由于自身的特性,在军事领域和商业领域中受到了广泛的重视,逐渐成为网络研究的热点。毕业论文,信任管理。本文在研究了当前信任管理研究的现状的基础上,综合考虑了adHoc网络自身的特点,提出了基于主观信任的adHoc网络的信任管理模型。该模型使用数学的方法描述信任数据和信任值评估,这对创建一个安全的adHoc网络有重要的意义。在未来的工作中,对信任管理模型中的信任评估模块、信任数据交互模块等细节还要进行更深入的研究和探讨。
参考文献
[1]elizabeth,mRoyer.aReviewofCurrentRoutinprotocolsforadHocmobilewirelessnetworks[J].ieeepersonalCommunication,1999,4(2):46.
[2]wattsDJ.CollectiveDynamicsofSmallworldnetworks[J].nature,1998,393(6):440~442.
[3]Josanga.trust-Baseddecisionmakingforelectronictransactions.in:proceedingsofthe4thnordicworkshoponSecureComputerSystems(noRDSeC'99).1999.
[4]Blazem,FeigenbaumJ,LacyJ.Decentralizedtrustmanagement.in:Dale,J.,Dinolt,G.,eds.proceedingsofthe17thSymposiumonSecurityandprivacy.oakland,Ca:ieeeComputerSocietypress,1996:164~173
[5]abdul-Rahmana,HailesS.adistributedtrustmode1.in:proceedingsofthe1997newSecurityparadigmsworkshop.Cumbria.UK:aCmpress,1998:48~60
[6]Betht,Borcherding,mKleinB.Valuationoftrustinopennetworks[C].proceedingsoftheeuropeanSymposiumonResearchinSecurity(eSoRiCS),Brighton:Springer-Verglag.,1999:59~63.
[7]Josanga,KnapskogS.i,ametricfortrustedSystems,GlobalitSecurity[m],wierraustrianComputerSociety,1998:541~549.
[8]周海刚,肖军模.adhoc网络安全模型的研究[J].解放军理工大学学报(自然科学版),2002,3(3):5~8。
[9]孙利荣,蒋泽军,王丽芳.adHoc网络信任模型的研究[J].微电子学与计算机,2004,21(10):161~168。
[10]张胜,徐国爱.adhoc网络信任模型的研究[J].计算机应用研究,2005,22(12):100~102.
[11]王金龙,王呈贵等.adHoc移动无线网络[m].北京:国防工业出版社,2004:7~11.
关于网络安全的论述篇6
关键词:网络安全 防火墙 pKi技术
1.概述
网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLan),则应该在各个VLan之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(Vpn)。
安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
2.防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
2.1.总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(tCo)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
2.2.防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
2.3.管理与培训
管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在tCo中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
2.4.可扩充性
在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。
2.5.防火墙的安全性
防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
3.加密技术
信息交换加密技术分为两类:即对称加密和非对称加密。
3.1.对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有n个交换对象,那么他就要维护n个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DeS是DeS(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。
3.2.非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSa公钥密码体制。
3.3.RSa算法
RSa算法是Rivest、Shamir和adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSa体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSa算法的描述如下:
公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密)
e与(p-1)(q-1)互素
私有密钥:d=e-1 {mod(p-1)(q-1)}
加密:c=me(mod n),其中m为明文,c为密文。
解密:m=cd(mod n)
利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
4.pKi技术
pKi(publie Key infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。pKi技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而pKi技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的pKi体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构(Ca)、注册机构(Ra)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合。
4.1.认证机构
Ca(Certification authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由Ca签发的网络用户电子身份证明—证书,任何相信该Ca的人,按照第三方信任原则,也都应当相信持有证明的该用户。Ca也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的Ca是至关重要的,这不仅与密码学有关系,而且与整个pKi系统的构架和模型有关。此外,灵活也是Ca能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的Ca产品兼容。
4.2.注册机构
Ra(Registration authorty)是用户和Ca的接口,它所获得的用户标识的准确性是Ca颁发证书的基础。Ra不仅要支持面对面的登记,也必须支持远程登记。要确保整个pKi系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的Ra系统。
4.3.策略管理
在pKi系统中,制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求,并且能通过Ca和Ra技术融入到Ca 和Ra的系统实现中。同时,这些策略应该符合密码学和系统安全的要求,科学地应用密码学与网络安全的理论,并且具有良好的扩展性和互用性。
4.4.密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个pKi系统强健性、安全性、可用性的重要因素。
4.5.证书管理与撤消系统
证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的机制撤消证书或采用在线查询机制,随时查询被撤消的证书。
5.安全技术的研究现状和动向
关于网络安全的论述篇7
1概述
1.1问题描述
简单的说在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。安全的一般性定义也必须解决保护公司财产的需要,包括信息和物理设备(例如计算机本身)......
目录
引言
1概述1
2需求分析13
3系统设计25
4系统实现31
5系统测试32
6结论33
谢辞
参考文献36
附录
参考资料
[1].屈辉立,陈可明,石武信.JSp网站编程教程[m].北京希望电子出版社,2002.
[2].朱敏.JSpweb应用教程[m].清华大学出版社,2004.
[3].(美)philHanna.JSp技术大全[m].机械工业出版社,2002.
[4].何川.JSp编程实践[m].清华大学出版社,2002
[5].(美)SimonBrown..JSp编程指南(白雁)[m].电子工业出版社,2004.
[6].肖金秀.JSp程序设计教程[m].冶金工业出版社,2003.
[7].V.K工作室.HtmL+CSS入门讲座[m].科学出版社.2001.
[8].帝龙.microsoftJscript应用系统开发宝典[m].清华大学出版社,2001.
[9].Donny.JSp与网站开发编程实战[m].科学出版社,2001.
[10].Davidm.Kroenke.JSpapplication&developmentindatawarehouse[m].BeijingHopeelectronicpress,2001.
关于网络安全的论述篇8
1.社会网络及其对风险行为的影响社会网络是一种研究社会结构的理论和方法视角,它将个人或组织视为“节点”,将这些人或组织之间的联系视为“线”,这些点和线形成了一个个网络状的结构,人类社会即由这一个个网络结构构成,甚至整个社会都可视为一个大网络[17]。社会网络视角被广泛地应用于社会生活各领域的研究之中,其中社会网络与健康的研究是一种非常重要的研究领域。早期研究社会网络与健康关系的学者主要采取一种“功能性”视角,关注社会网络可能提供的“社会支持”对健康产生的直接积极作用或间接“缓冲”作用;其后有一部分研究者开始采取“结构论”视角,重点关注个人所处社会网络结构对健康可能产生的影响。已有研究主要认为社会网络从两个方面影响人的态度和行为。一是通过提供知识/信息。有关网络与信息传递的研究表明,网络的规模和结构均对信息传递有影响,规模较大、异质性较高的网络更有利于信息传递。二是通过提供社会支持,社会支持包括经济、情感、社会关系支持等方面。个人除了从社会网络中获取信息以外,还能从网络成员那里获得各种物质70《科学与社会》(S&S)和精神上的实质性帮助和支持。社会支持对精神和心理健康有积极的影响,社会支持可以促进心理方面的适应性、减少压力和焦虑等心理问题,即社会支持的“缓冲效应”。缓冲效应的存在是因为社会支持促进“适应性评价(adaptiveappraisal)”和“应对(Coping)”。从生理学途径来看,社会网络有助于免疫系统、神经内分泌系统和心血管系统的健康。以往研究表明,强关系和同质性关系多的网络在提供社会支持方面更为有效,亲属是最主要的强关系。网络密度描述网络的连接性,网络密度与更多的合作、信息分享和责任有关,可以预测个体能够获得的物质支持的程度。网络密度也影响个体获得关系资源的能力[29],高的社会网络密度意味着非常亲密的关系,有助于成员之间形成归属感。已有不少研究者关注了社会网络对风险行为影响的问题。Berten研究了青少年在同伴网络中的位置对个体风险行为的影响,结果表明中学生的滥用和风险等不仅受到关系最好的同伴影响,还受到网络中位置相似的同伴的影响;相比较中学3年级的学生,5年级的学生更容易受到同伴的影响;网络凝聚力的影响大于网络中同等结构位置的影响[2]。一项针对走失和无家可归年轻人的研究表明,没有社会网络支持的个体,更有可能非法使用、有更多的性伴和生存性;对于有社会网络支持的个体而言,当社会网络的规模较小、但情感支持特征明显(社会网络主要有朋友构成,通常包括酒精和非法使用者)时,社会网络将不是他们风险行为压力的来源。随着社交媒体的流行,在线社会网络开始引起研究者的关注,研究发现在线上青少年对风险健康行为有更加正向的态度,更多地使用(网络)社会网络媒介会增加个体的风险行为,比如吸烟、滥用酒精、吸毒等[30]。有关社会网络与融资决策这种风险行为关系的研究也表明,社会网络可以给决策者提供信息,帮助过滤掉复杂的信息,借款的社会关系会直接影响他的借款行为。总之,已有研究表明社会网络可以从提供信息、社会支持两个方面对风险行为产生影响,而且不同的社会网络特征提供的信息和社会支持不同。比如网络的规模、异质性、弱关系等更多地促进网络成员之间的信息传递;而网络密度、网络同质性、亲属关系的比例、强关系等与网络可以提供的社会支持相关。
2.社会网络对有机食品选择的影响尽管社会网络对风险行为影响的研究已有不少,但具体研究社会网络对有关食品安全风险行为影响的研究尚不多见。有研究表明公众的主观知识(信息)是他们感知的转基因食品风险的风险因素[26,29],也有研究表明给公众提供生物技术相关的信息可以增加他们感知的生物技术带来的利益,但是没有减少他们感知的生物技术风险[6]。还有研究表明社会支持的缓冲作用是个体的心理和生理健康风险的积极影响因素[23]。那么,社会网络的不同特征是否影响公众对有机食品的购买意愿?如果存在影响,网络是通过什么机制来影响公众对有机食品的购买意愿的?已有研究并没有关注这些内容。本文以调研的数据为基础,分析社会网络的不同的结构特征是否以及如何影响个体对有机食品的购买意愿。
二、数据与方法
1.数据来源与样本特征本文的数据来源于两项调查,一是中国科技发展战略研究院课题组于2007年在北京市和湘潭市进行的公众食品安全风险感知问卷调查;二是吉林大学社会学系课题组于2008年在长春市进行的公众食品安全风险感知问卷调查。两项调查均使用了基本相同的调查问卷和方法,考察了三城市居民关于食品风险的感知、行为倾向、信任和政策需求,三地数据分别代表中国大城市、大中型城市和中小城市的公众风险感知情况。三城市调查均采用多阶段随机抽样的入户调查方法,先在城市社区名册中随机抽取若干社区,再在每个社区中随机抽取若干家庭,最后在被抽中家庭中用Kish表随机抽取1人作为调查对象,被访者是现居家中的18周岁及以上的常住人口。北京、长春和湘潭三市共获得有效问卷2153份,三个城市的有效问卷数分别为987份、506份和660份。
2.变量与测量方法(1)因变量。我们在调查中询问被调查者:假如市场上的一般黄瓜卖1块钱1斤,您愿意花多少钱买没有喷撒农药的黄瓜?以此测量被调查者对有机蔬菜的购买意愿。(2)自变量。本研究中的主要自变量是个人讨论重要社会问题的讨论网络,具体测量方法采用提名生成法(name-generator)。提名生成法是一种比较传统的方法,具体做法是根据研究的要求,让每个被访者提供自己的社会网络成员的姓名、个人特征以及这些成员的关系等信息[32]。然后根据这些信息描述社会网络的情况。我们要求被访者回忆跟自己讨论问题最多的5个人,以及这些人的性别、年龄、教育程度、工作类型、讨论的问题、关系亲密程度等。然后计算社会网络的密度、管理人员的比例、高等教育人员的比例等指标。以此为基础,我们建立了研究的自变量,包括:网络规模、平均熟悉程度、网络密度,网络中亲属的比例、讨论食品安全人数的比例、管理人员的比例、高等教育人数的比例。(3)控制变量。包括性别、年龄、文化程度、收入、健康状况、对我国食品安全状况的满意程度、自己或者家人的经历、自己最近七天的健康状况、已有的食品风险知识等。具体变量的描述性统计情况如表1所示。
3.分析方法由于因变量是一个连续变量,我们在对其做对数处理后,使用普通最小二乘(oLS)法构建多元回归模型进行分析。
三、数据分析结果
本文使用SpSS软件分析社会网络特征对有机蔬菜购买意愿的影响进行了分析,结果如表2所示。表2的模型一中分析的社会网是讨论网,即与被调查者讨论任何重要问题的成员构成的网络。统计结果表明,个人讨论网络的密度和网络中管理人员的比例显著地降低了公众对有机蔬菜的购买意愿;网络中讨论食品安全人数的比例和受过高等教育人数的比例则显著地增加了公众对有机食品的购买意愿。研究结论也表明,相比较基准模型(仅仅包括控制变量的模型),在模型中增加网络特征变量,显著地增加了模型的解释能力。就控制变量而言,年龄、性别、文化程度和相关知识都显著地影响有机蔬菜的购买意愿。女性的购买意愿显著地高于男性;随着年龄的增加,公众对有机蔬菜的购买意愿显著地降低;文化程度和相关知识显著地增加了公众对有机蔬菜的购买意愿(在只有控制变量的情况下成立)。在前面的文献综述中我们提出网络影响风险行为可能存在两种机制,即传递知识(信息)和提供支持。根据以往研究的结论,一般认为密度较高的网络更可能提供社会支持,同时网络中的管理人员因拥有较多的权力资源而更可能提供支持,而网络中讨论食品安全问题的成员和受高等教育的成员则更可能提供知识和信息。为进一步验证这一点,我们又单独分析了食品安全讨论网的情况,这时的网络成员仅包括那些与被调查者讨论食品安全的成员。我们的假设是:由于食品安全讨论网的成员都会讨论食品安全问题,因此在这种网络中知识和信息传递是必然存在的,而社会支持的传递则不一定存在。从表2模型二的统计结果中可以看出,在食品安全讨论网中,只有高等教育人数的比例显著地影响公众对有机蔬菜的购买意愿,而其他网络特征的影响不显著。这一结果在一定程度上支持了我们的推测,既网络密度和管理人员的比例更可能是通过提供更多的社会支持而降低了公众对有机蔬菜的购买意愿,而网络中讨论食品安全人数的比例和网络中高等教育人数的比例通过提供信息而增加了公众对有机蔬菜的购买意愿。
四、结论与讨论
关于网络安全的论述篇9
关键词:网络安全教学;教学改革;教学效果
中图法分类号:G642.0文献标识码:a文章编号:1009-3044(2016)35-0097-02
1引言
信息时代离不开计算机网络,网络安全是计算机网络的基石,深远地影响着信息时代的发展,目前我国互联网面临着来自方方面面的安全威胁,迫切需要高校培养出大量具备网络安全知识的高技术人才。因此网络安全课程有着很强的现实需求,本文着力探讨提高网络安全课程教学效果的方法。
2课程现状及存在的问题
网络安全课程是我校网络工程专业四年制本科的专业选修课,它的先修课是计算机网络,网络安全课程也是进行网络规划与设计、网络程序设计、网络管理与维护等相关专业课程学习的基础。本课程安排在大三的第一学期,共48学时,其中讲课部分32学时,实验部分16学时,课程主要围绕网络安全体系结构、对称加密、非对称加密、数字证书、ip安全、web安全和防火墙等内容展开,介绍了主流的安全策略和技术,目的是使学生具备实现网络系统安全的能力。
目前网络安全课程在教学过程中存在以下比较突出的问题:
(1)网络安全课程的核心内容是关于各种安全协议的讲解,这些协议普遍比较复杂、抽象,难于理解,比如ipSec、SSL、Set等协议,学生在学习时往往觉得缺乏直观感受且内容枯燥,导致学生难以表现出强烈的学习兴趣,课堂教学效果不理想,学生对知识的记忆不牢固,概念理解不准确,在具体应用时更是显得无从下手。
(2)网络安全课程理论深度较深,其中涉及很多加密算法,比如常见的对称加密算法有DeS、RC4和aeS等,非对称加密算法有D-H、RSa和eCC等,这些算法是加密的核心,也是整个网络安全的基石,但这些加密算法中有很多都是建立在数学难题上的,学生在理解其原理时,往往存在畏难情绪,不愿深究其原理。
(3)网络安全课程实验内容陈旧。网络安全一直处于动态变化中,网络系统中不断有新的漏洞被发现,网络的攻防技术更新很快,而网络安全课程的实验内容设置普遍陈旧,缺乏新意,实验课时总体偏少,不利于学生通过实践来理解网络安全的内容。
3网络安全课程教改方法
为了解决以上问题,改善教学效果,提升学生对网络安全知识的掌握,下面谈几点网络安全课程教学改革的思路。
(1)提高学生学习兴趣
提高学生学习兴趣,是所有课程都在追求的目标,但在具体实践中却往往是知易而行难,说起来容易做起来难,特别是在网络安全课程的教学实践中,如何提升学生的学习兴趣,是高度考验教师授课技巧的事情。
要提高学生学习兴趣,首先是要建立良好的师生关系,要让学生认可老师,发自内心的尊重老师,这是一切的基础,如果师生关系是紧张的,甚至对立的,则提升学生学习兴趣就空谈,建立良好的师生关系要求老师在整个教学过程中要特别注重把握细节,从走进课堂的那一刻开始,就应该像一个话剧演员登上舞台一样,时刻在意自己的一言一行,每一堂课都应该是精心设计的,力求完美。在教学过程中要注意尊重学生的人格,对学生的承诺应该言出必行,并对学生表现出足够的耐心和宽容,从细节中建立起良好的师生关系。
在良好的师生关系的基础上,对网络安全课程的某些内容进行特别设计,使其能贴近现实或增强趣味性,比如在讲述网络中传输数据的机密性、完整性、不可否认性时,笔者在教学中始终围绕某个男生想向喜欢的女孩通过网络表白时的细腻心态,以及女孩在收到表白时如何确保发送方的身份以及数据的完整性,展开论述,在课堂中取得良好的效果,学生的注意力始终被吸引着。再比如在讲述对称加密算法的发展历程时,可以增加二战时围绕德军使用的恩尼格尔玛的加密与破解的内容,向学生呈现人类历史上最为惊心动魄的加密与破解的攻防,使学生能够体验到网络安全的意义,从历史中汲取学习网络安全的动力。在讲述Set协议时,笔者从一个宅男在网购治疗灰指甲的过程中,不想无关的人知道自己隐私的心态讲起,描述了Set协议是如何保护消费者隐私的,既要实现购物信息和信用卡信息的高度关联,又要在整个购物过程中既不能让商家知道信用卡信息,同时也不能让银行知道订单信息。在《网络安全》教学的过程中,笔者使用了各种案例来提升学生的兴趣,进一步吸引了学生的注意力,取得了比较好的教学效果。
(2)任务驱动、自主式教学
传统的教学中,是以教师为中心,围绕教师的课堂讲述展开,学生被动的接受知识,很少能自主的参与其中,在网络安全课程中这种模式的弊端尤为突出,网络安全课程中许多的知识点比较枯燥无趣,难以让学生长时间保持注意力,而一旦学生分心以后,再想跟上老师的思路就会比较困难,导致一堂课快到结束的时候,经常发现只剩一小部分同学还在专注听讲,而大部分同学已经昏昏欲睡了,课堂效果非常不理想。
为了解决这个问题,笔者在教学中采用任务驱动、自主式教学,让学生自由进行团队组合,接受教师提出的任务并进行比赛,胜出方获得各种小奖励。比如在讲解RSa算法原理的时候,提前让学生根据自己的意愿进行自由组合,一起了解和学习RSa算法的原理,上课时由教师给出RSa公钥和加密的密文,让学生利用RSa的原理进行破解,攻破的团队获得奖励,很好的激发了学生自主学习算法的动力。再比如在讲解SSL握手协议的过程中,握手协议消息交换的过程是最为复杂的一部分,晦涩难懂,客户端和服务器之间将进行多次协商,中间涉及很多的细节,学生学习时很困难,而SSL又是目前互联网确保安全通信十分重要的协议,在互联网中被广泛使用,如何让学生能够深入细致的掌握SSL协议,对于网络安全课程意义重大,为此笔者在教学过程中自制了几套专供SSL协议使用的教具,将SSL握手协议中涉及的协议版本、加密套件、压缩算法、初始随机数和数字证书等要素,分别制作成小卡片,标识出来,并装在信封中交给学生,每组学生拿到教具后进行充分讨论,然后派两名同学上讲台分别扮演客户端和服务器端,用小卡片来展示SSL握手协议交换消息的过程,其它组的同学听讲并发现其中有无错误,演示结束后,各小组进行辩论,指出对方组在演示过程中的不足,最后由教师进行点评,并对获胜方进行奖励。整个教学过程,学生完全参与其中,气氛热烈,情绪高涨,一扫平时的沉闷,在课堂实践中取得了非常好的教学效果,很受同学欢迎。
(3)实验环节
经过网络安全课程的学习以后,学生对于网络安全会有比较系统全面的认识,可以考虑让学生根据书本内容自行来设计实验方案,从而提高他们的兴趣,并进一步激发学生的创造力。首先让学生收集网络中攻击目标计算机的信息,进而入侵目标系统,最终在目标计算机上安装攻击软件并发起攻击。实验可以由学生自主上网寻找最流行的攻防软件工具,让学生实践去体验和比较这些工具软件的差别和特点,再由学生自主设计实验方案,按照需要来组织攻防过程,实验也可以让学生自己编写程序来验证某些加解密原理。这种自主式的实验对学生有较强的吸引力,提升了学生的实践能力。[2]
4结论
本文结合网络安全课程的教学内容和教学方法,在总结课程实践经验的基础上,阐述了网络安全课程在教学中面临的一些主要问题,并针对这些问题,介绍了如何提高学生学习兴趣的方法,探讨了采用任务驱动、自主学习教学模式的具体实施细节。从教学改革的实际效果看,这些方法可以有效活跃课堂氛围,提高学生的注意力,激发学生学习网络安全的兴趣。希望本文的研究能够对促进网络安全课程的教学改革有着积极的作用。
参考文献:
[1]谢永,丁云正.基于witkey模式的网络安全n程教学改革[J].科技广场,2010(3):234-236.
[2]傅彦铭,陈攀.以实验为中心的网络安全课程教学改革探索[J].软件导刊,2012(6):192-193.
[3]王楚正,刘小凤.《网络安全》教学中学生自主学习能力的培养[J].现代计算机,2011(3):64-65.
关于网络安全的论述篇10
关键词:石油企业计算机网络安全隐患对策
随着计算机网络技术的发展,关于其网络安全问题尤为突出。我国石油企业的现代化建设起步晚,企业计算机网络环境相对脆弱,网络安全容易受到多方面的因素影响。加之,在开放的互联网平台下,计算机网络的安全问题呈现出多渠道、多层次的特点。因此,净化网络运行环境,尤其是设置有效的登录控制,以及网络防火墙,是实现安全网络环境的基础。石油企业在现代化建设中,基于网络安全问题的解决尤为重要。
1、石油企业计算机网络中存在的安全隐患
1.1网络攻环境下的病毒与黑客入侵
石油企业计算机网络的运行平台,基于开放的互联网环境。企业网络中的漏洞,都会成为网络攻击的对象。黑客入侵就是基于网络漏洞,对企业的网络环境造成威胁。同时企业的网络服务端以员工为主,所以网络环境相对复杂,关于网页的浏览或东西的下载,都存在病毒的入侵的隐患。并且,员工的网络安全意识比较淡薄,对于网络环境的潜在安全隐患缺乏重视,造成企业网络安全环境比较复杂,易受外界入侵源的攻击。
1.2人为因素下的网络安全问题
人为因素下的网络安全问题,主要表现在网络管理端和用户端。员工作为主要的用户端,诸多不当的网络操作,都会带来安全隐患。同时,网络管理员在安全管理中,关于数据接入端和服务器的管理力度缺乏,造成网络数据管理上的不足。企业网络的网络平台都设有权限,管理员在权限的设计上存在漏洞,在病毒的入侵下,造成局部网络出现信息瘫痪的问题。
1.3网络连接的不规范,尤其是各系统间的网络连接
石油企业在构建信息化的管理平台中,各管理系统的网络一体化,是平台构建的核心内容。企业在系统的连接中,缺乏网络风险的认识,信息系统与管理系统的连接,造成病毒对于管理网络的入侵,最终造成整个网络平台的瘫痪。同时,网络连接不规范,在构建安全的以太网环境中,存在诸多安全的操作,诸如一台computer构建两个以太网,在病毒的入侵防范上比较欠缺。
1.4企业缺乏完善的网络安全管理
石油企业的信息平台构建,注重平台的形式,而对平台缺乏完善的后期维护,网络安全管理工作不到位,以至于受到多方面的因素影响。在安全管理中,管理人员对于网络漏洞和软件不能及时修补和升级。同时,对于用户端的下载和网页浏览,管理力度缺乏,用户端可以基于各网络站点,随意的东西下载,造成内部网络的安全隐患。而且,对于登陆的密码和账号,员工随意的共享或转借,造成网络运行中的各类隐患。
2、计算机网络安全隐患的应对措施
在石油企业的现代化进程中,计算机网络安全问题显得尤为突出。企业网络安全问题主要来源于管理、网络操作,以及网络安全体系等方面。因此,在对于安全隐患的防范中,强化网络安全管理,以构建完善的防范体系,营造安全的网络环境,加速企业信息平台的构建于完善。
2.1强化网络安全管理
石油企业的计算机网络安全隐患,很大程度上源于安全管理不到位,尤其是网络权限的控制,是强化安全管理的重要内容。构建完善的权限控制系统,对用户端进行有效的约束,进而净化网络运行环境。
2.1.1构建完善的权限控制系统
企业的计算机网络,在登录端采用权限控制的方式,对网络的使用进行保护。因而,企业网络在安全管理的进程中,强化控制系统的构建。系统主要针对密码验证、身份识别等内容,形成完善的控制系统。在网络的使用前,用户端需要进行身份的认证后,才能进行相关网络的使用。而且,对于身份认证失败的用户,可以将其列为黑名单,进行集中的安全管理,以针对性的防范该类用户的登陆。于此,在权限控制系统的构建中,要明确好登陆系统和控制系统,两系统同时进行网络的保护,以净化用户端的网络环境。
2.1.2构建网络安全体系
企业网络安全环境的营造,在于安全体系的构建。基于网络防火墙的构建,强化外来网络威胁的阻止,以营造安全的网络环境。同时,基于复杂的用户端,企业网络环境相对薄落。于是,在安全体系的构建中,以多级防护体系为主,形成多层保护机制,强化网络安全管理的力度。对于网络的数据,做到封闭式的管理,关键的数据要进行加密处理,以防止信息的泄漏。
2.2强化网络设备的管理
企业的网络设备是安全隐患预防的重要部分,尤其是对网络主机或服务器,是强化网络安全管理的重点。对于网络的相关设备,进行妥善的管理,网络的电缆线在铺设和管理中,要做到管理的封闭性,以防止外界物理辐射的影响,而造成信息传输的问题。同时,对于相关的网络软件,进行及时的升级或修补,以防止网络系统出现漏洞,这样可以避免各类潜在的安全隐患。
2.3建立网络安全应急机制
在开放的互联网环境下,企业网路存在诸多的安全隐患。构建网络安全应急机制,对于企业的信息管理系统具有重要的意义。基于完善的安全应急机制,可以及时地对各类安全威胁进行处理,避免外来入侵源对于网络平台的深入攻击。同时,对于重要的数据信息,要进行加密或备份,以应对数据意外丢失的情况。在实际的网络安全管理中,关于网络运行环境的实时监控,是及时发现系统漏洞或外来入侵源的重要工作。
2.4强化用户端的安全意识
随着互联网络技术的不断发展,企业网络的运行环境越来越复杂。企业用户端在网络的使用中,要强化其网络安全意识,规范相关的上网操作,诸如网页的浏览或数据的下载等活动,要在安全的环境下进行。同时,做好网络安全的宣传工作,强调网络犯罪的严重性,进而约束员工的网络活动。
3、结语
石油企业在现代化建设中,网络信息平台的构建十分关键。而基于开放的互联网环境,企业计算机网络存在诸多的安全隐患,严重制约着企业信息平台的构建。因而,强化企业网络安全管理,尤其是安全网络体系的构建,对于净化网络环境,防范网络威胁,具有重要的作用。
参考文献
[1]刘冬梅.企业计算机网络中存在的安全隐患和对策[J].新疆石油科技,2009(03).