時間:2023-09-15 17:32:30
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇計算機攻防技術,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:計算機 網絡安全 建模仿真 分析
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2015)11-0000-00
隨著我國社會經濟發展速度不斷加快,通信技術與計算機技術等早已廣泛地應用于各個行業里,計算機的網絡安全逐步受到人們的關注。計算機信息技術敏感性比較強,利用計算機網絡信息技術進行研究,容易對計算機的網絡安全造成影響。借助建模仿真方法能夠有效避免對計算機的網絡造成影響與破壞,能夠為計算機的網絡攻防提供有效途徑。
1 計算機圖形分析建模仿真方法
從網絡的攻擊建模類型來說,其中,攻擊圖與攻擊樹等屬于較常使用的建模方法。應用這種建模可以攻擊計算機的網絡中存在的漏洞問題,并形成了具體的網絡攻擊模型,有效解決了計算機的網絡里出現的漏洞。攻擊樹指的是運用樹狀圖形來實現網絡的攻擊,是一種有效途徑,進而實現攻擊網絡中漏洞的效果。應用計算機網絡攻擊的過程中,一般情況下以目標作為子節點再根據網絡的特點來對網絡的攻擊方向實施轉換,這種攻擊樹模型能有效解決網絡的風險與網絡威脅等因素。在研究攻擊樹的模型過程中,可利用密碼機制以算機為節點,分析網絡脆弱性指數,并且能夠計算成功攻擊的概率。
攻擊圖模型是一種攻擊預案集合,其在攻擊的過程當中主要利用網絡的拓撲信息,相關技術人員在運用攻擊圖的模型時,大多都是利用手工的形式來展開操作,但這種操作方式的速度相對較慢,并且缺乏了定量分析等環節。技術人員對傳統攻擊圖的模型進行高效的改進和創新,與此同時,可以建立能自動生成貝葉斯的攻擊圖模型。此攻擊圖模型能夠對任意網絡的節點進行評估和推理。此外,建立攻擊圖的模型時,技術人員可以通過模型相關概率以及大小的情況等來進行具體的檢測,再對關鍵節點提出相關的建議。在這類模型實際應用的過程當中,如果只是單一借助網絡攻擊圖來分析大規模的網絡,極可能使計算機的網絡存在很大脆弱性,且圖形形式極為復雜,技術人員很難進行實際分析和理解,若想有效地克服這個缺陷,研究人員所研究的鄰接矩陣形式能夠有效彌補這一不足,其可視化的程度較高[1]。
2 分析防御圖形網絡防御的建模方法
目前,網絡的防御方式種類有很多,常用的則包括攻擊檢測和攻擊預防以及源追蹤等方式。隨著我國網絡防御技術不斷更新和運行,目前已經出現了各種類的防御樹和智能圖等的建模形式。防御樹的建立主要是以攻擊樹為基礎,從而增加了網絡的安全性能并且以此為基礎,形成網絡攻擊較為穩定的圖形,隨著防御樹的不斷運行,技術人員在這個基礎上對網絡安全的防御措施進行優化,并針對各類網絡攻擊行為的變化來選擇具體的擴展防御樹的方法。計算攻擊目標主要是借助條件的概率來進行,并針對網絡的攻擊,技術人員對攻擊類型與特性都應給予廣泛關注,做好相應預測、分析等工作,其中,合理應用智能圖形可以在較短時間以內進行檢測;除此之外,攻擊模型與正常模型間存在一定相似性,如果一旦與任何異常現象出現,攻擊模型就會出現報警模式,而用戶本身可以通過此種警報模式提醒來選擇比較科學的措施[2]。
3 網絡蠕蟲病毒建的模仿真方法
3.1網絡傳染病的研究模型
蠕蟲病毒是計算機網絡中常見的一種,這種病毒傳播的類型及其特點和其他傳染病間具有一定相似性。因此,可按照網絡傳染病的研究模型來建立起網絡病毒的傳播模型,并且這種模型應用到計算機仿真模型當中。病毒傳播的類型主要是以SI、IWMM以及SIS的類型呈現,此外,也有許多雙因素的模型,此類模型可以使網絡病毒的傳播像流行病的傳播一樣擴散,把網絡主機區分為了易感主機和已感染主機、移出主機等,并通過不同類型主機數量及時間、感染系數來建立數學解析模型,而仿真結果則可以通過Mat-lab數學的分析軟件計算和畫出模型曲線圖。這種病毒模型的傳播的擴展性很強,能對上千萬的節點網絡進行模仿。
3.2 數據包的模型
為了能將網絡的拖布、協議以及流量等從可擴展網絡模型當中反映出來,計算機網絡環境細節對蠕蟲病毒傳播產生影響,以蠕蟲病毒數據包傳播行作為建模的基礎,計算機網絡的數據包蠕蟲病毒仿真可以有效地反映出網絡流量、拓撲等結構,從而對蠕蟲的傳播造成一定影響,并且能夠將網絡防御策略使用情況及時反映出來,但是,這種方式的關注級別比較低,然而建立仿真建模過程當中,需消耗很多計算機自身資源,通常情況下這種方式難以在一些大規模的網絡蠕蟲病毒建模的仿真中運用。
3.3 混合模型
混合模型的建立主要包含三種:蠕蟲傳播感染和掃描引發流量模型以及路由的信息流量變化的模型。從較高的層次來說,計算機網絡的蠕蟲病毒與傳播是利用網絡傳染病的模型。較低層次充分考慮網絡的拓撲結構和節點分布與協議以及病毒掃描等而引發開了網絡流量變化,運用了數據包層次建模,其中不同層次的模型采用了不同仿真機制。傳染病模型是基于時間運行,數據包模型則基于事件運行,這兩者間通過單獨的循環事件計時器來實現了統一協調[3]。
4結語
總而言之,計算機網絡攻防建模依然存在著很多不足之處,且發展空間比較大。可以利用計算機的網絡信息共享功能,研發更多信息獲取的技術,進而保保證獲取的計算機網絡的安全數據能夠實現精確性與完整性、格式統一的相互合作。借助復雜性的科學理論對網絡統計特性與演化特性進行分析。隨著計算機信息技術的不斷發展和廣泛應用,確保其網絡的安全性十分必要,技術人員更應當對其給予重視,加強對計算機的網絡攻防建模分析,促進計算機的網絡更加安全。
參考文獻
[1]李春亮,司光亞,王艷正.計算機網絡攻防建模仿真研究綜述[J].計算機仿真,2013,30(11):1-19.
關鍵詞:OpenStack;云平臺;網絡攻防;靶場
中圖分類號:TP393 文獻標識碼:A 文章編號:1671-2064(2017)01-0027-02
1 引言
隨著計算機網絡技術的快速發展及其在各領域的廣泛應用,社會各界也越來越重視信息網絡安全問題,不斷投入資源進行網絡攻防演練和信息安全研究。考慮到計算機網絡應用服務的實時性和高可靠性要求,難以直接在業務網絡尤其是生產系統上進行網絡攻防演練和滲透測試研究。網絡靶場技術能夠對真實業務網絡進行模擬,在其上進行攻防演練能夠避免對真實業務網絡的破壞,并且成本低、部署靈活、過程可重復,是網絡攻防演練和測試研究的有效途徑。
網絡靶場概念最初在軍事領域提出,是為了滿足信息化武器系統的研究需求而構建的信息安全試驗平臺,是一個貼近實戰的信息戰模擬環境[1]。由于網絡靶場可以進行各種攻擊手段和防御技術的研究,針對性制定安全性策略以及安全方案,并可進行定量和定性的安全評估,因此其在軍事領域之外的其他信息安全研究領域也得到了廣泛的應用。
本文根據網絡攻擊及防護技術在真實網絡環境中的應用特點,基于云計算技術構建了網絡攻防靶場平臺,能夠為網絡攻防演練、滲透測試以及防護技術研究提供綜合模擬環境,可應用于政府、企業以及高校等行業的網絡安全實驗室。
2 OpenStack云計算技術
云計算是一種基于互聯網的計算方式和服務模式,它具有靈活動態分配資源、統一管理、有效降低管理維護成本等優勢,因此基于云計算平臺的網絡靶場也具有高性價比和便于管理維護等優點。OpenStack是由開源社區開發維護的一個開源云計算平臺,采用組件化的服務形式管理計算、存儲以及網絡資源池,支持自定義方式搭建靈活的云計算環境,其主要組件包括:
(1)運算組件Nova,是OpenStack的核心組件,負責虛擬運算和資源的調度;
(2)對象存儲組件Swift,其以分布式對象存儲方式存放虛擬機鏡像文件;
(3)區塊存儲組件Cinder,分塊存儲,為虛擬機提供塊存儲設備;
(4)網絡組件Quantum,管理虛擬網絡系統;
(5)身份認證組件Keystone,用于身份認證和授權;
(6)鏡像文件管理組件Glance,對虛擬機鏡像文件進行管理;
(7)儀表盤組件Horizon,提供UI操作界面。
OpenStack通過以上組件提供可擴展、靈活的云計算平臺,并且鑒于其開源特性以及強大的社區開發模式,本文采用OpenStack作為云平臺構建網絡靶場。
3 基于OpenStack技術的網絡攻防靶場平臺構建
3.1 設計目標
在實際業務環境中,網絡攻擊和防御是“道高一尺魔高一丈”的關系,手段也呈現多樣性特點,所以近似真實業務網絡是靶場設計的基本要求,并且靶場的設計應滿足以下目標:
(1)網絡攻防的指標參數應可以根據需要進行配置,比如拓撲結構、漏洞等級、設備參數以及評價指標等。
(2)可以進行多種模式的演練,以滿足不同的演練需求,包括紅藍對抗和單兵作戰。
(3)能夠對演練過程和成績進行實時監控和統計,并以圖形化界面全程展示演練情況,具備一定的態勢感知能力。
(4)在演練過程中,靶場應能夠在運行資源和管理資源方面支持不同攻防場景的快速部署,從而全方位地對靶場進行安全性評估,重點完善薄弱環節,也能夠通過豐富的演練場景,掌握網絡攻擊與防護的理論知識和實踐技能。
(5)演練數據應被詳細記錄,通過數據處理和分析,評估靶場的安全性以及演練人員的技能水平,并進一步形成和豐富網絡攻防實驗模型和實驗數據庫。
3.2 總體架構
根據前述設計目標,基于云平臺的網絡攻防靶場在OpenStack基礎設施之上模擬出多種設備和系統,包括網絡設備、安全設備、主機設備以及操作系統,并能夠完全貼近網絡安全的各應用領域,例如網絡設備安全、操作系統安全、數據庫安全、Web應用安全、主機程序安全、移動設備安全以及中間件安全。功能模塊主要有靶場信息管理系統、紅藍對抗系統和單兵作戰系統。靶場系統又包括各種靶場場景,可以預設和修改,主要靶場場景包括ServU漏洞利用靶場、Windows漏洞靶場、Linux漏洞靶場、webshell利用、SqlServer提權靶場、SQL注入靶場、cookie分析靶場、ftp弱口令利用靶場、telnet弱口令利用靶場、系統登錄弱口令利用靶場、電商網站靶場、新聞系統靶場、個人博客靶場、Wiki靶場、OA系統靶場等。系統總體架構如圖1所示。
3.3 功能模塊
3.3.1 靶場管理信息系統
靶場管理信息系統對整個靶場平臺進行統一管理調度,采用B/S架構模式,無需安裝客戶端,升級維護靈活方便。其一方面通過API接口訪問OpenStack云計算資源,另一方面負責對靶場場景進行鏡像管理和參數配置,并提供實時監控、分析統計、可視化展示、系統管理等功能。靶場管理信息系統自身具備較高的安全防護能力,能夠防止在攻防演練中受到攻擊導致整個靶場平臺的失效。
3.3.2 紅藍對抗系統
呈現紅藍對抗演練模式,即將演練者分為紅方和藍方兩組進行網絡攻防的對抗演練,以CTF(Capture the Flag)奪旗比賽模式進行,紅方試圖利用藍方的安全防護漏洞獲取藍方的Flag,藍方則盡力堵住自身安全漏洞,并反利用紅方漏洞獲取紅方Flag,是一種對抗激烈的演練模式,對演練者的技能水平有較高考驗。
3.3.3 單兵作戰系統
主要訓練考核演練者的攻擊水平,系統為演練者提供了兩臺攻擊機以及目標靶機,攻擊機分別為預置有攻擊工具的Windows操作系統和Kali Linux操作系統,目標靶機由系統管理員從靶場場景中選取設置,演練者通過攻擊機對靶機進行滲透,獲取過關文件,向系統提交過關文件后由系統自動進行判分,并給出實時成績。
4 網絡攻防滲透測試實例
本文對系統功能和各靶場場景逐一進行了測試,此處以Windows漏洞利用靶場場景為例闡述滲透測試過程。該靶場場景部署Windows xp SP1版本操作系統作為目標靶機,測試時使用靶場平臺提供的Kali Linux作為攻擊機,在攻擊機運行漏洞掃描程序對目標靶機進行漏洞掃描,發現目標靶機存在MS08-067高危漏洞。于是攻擊機啟動Metasploit攻擊框架,使用攻擊模塊,加載攻擊載荷,對靶機進行滲透,從而獲取到靶機的命令行權限,并添加用戶、提權,最終獲得靶機的最高控制權,取得Flag,滲透成功。
通過對網絡攻防靶場系統全部功能模塊和靶場場景的測試以及實踐檢驗,證明該系統功能全面、運行穩定,達到了預期設計目標。
5 結語
本文根據網絡攻擊及防護技術在真實網絡業務環境中的應用特點,基于OpenStack云計算技術構建了網絡攻防靶場平臺,能夠為網絡攻防演練、滲透測試以及防護技術研究提供綜合模擬環境,避免對真網絡的影響和危害,可應用于政府、企業以及高校等行業的網絡安全實驗室。
關鍵詞:信號博弈;網絡安全;威脅;評估
隨著網絡環境的不斷變化,各種網絡攻擊手段也在更新換代,給網絡環境造成了很大的安全威脅,因此做好網絡安全威脅評估尤為重要。安全威脅的造成與網絡信息系統本身的漏洞存在著聯系,防御性為不足,攻擊行為過強,也會決定安全威脅的產生。傳統的安全威脅評估方法主要有這樣幾種:基于IDS的風險漏洞評估方法、基于攻擊模式圖的評估方法、基于病毒傳播模型的評估方法。這些風險評估方法只是從防御系統本身進行靜態分析,沒有綜合考慮攻擊方的攻擊策略和預算對抗結果,信息安全評估不夠準確、合理。同時,各種網絡安全威脅隨著技術的更新也在不斷提升,傳統的安全威脅評估方法必將被淘汰,研究一種全新的、準確的安全評估方法至關重要。
1網絡安全威脅的基本概述
網絡安全威脅主要有兩個方面:病毒入侵、黑客攻擊。病毒入侵主要在網頁、網站系統中進行傳播,傳播的速度非常快,影響的范圍非常廣泛。它通常隱藏在網頁和網站代碼中,當用戶點擊進入某個網頁時,病毒就會進入網絡系統,對網絡信息系統構成破壞,進而影響計算機正常運行。一般利用360和金山毒霸等殺毒軟件清除病毒,但是有的病毒過于厲害,殺毒軟件無法徹底清除,所以必須重視網絡病毒的危害。相比于病毒入侵來說,黑客攻擊危害更大,可以從根本上破壞網絡系統,導致信息系統癱瘓,計算機報廢,增加了計算機的維修成本,一些重要數據也會因此丟失。黑客攻擊方式主要分為兩種:一種是非法入侵,一種是拒絕服務(DOS)。非法入侵主要是黑客直接通過網絡系統漏洞侵入一些計算機內部網絡,并對系統中的數據資源進行盜取、損壞等攻擊行為,例如:有的黑客非法入侵進入銀行網絡系統內部,盜取存款人信息,竊取錢財。拒絕服務主要是破壞網絡系統,導致計算機網絡癱瘓,主要目的為了阻止網絡系統進行正常運行和操作。這些網絡安全威脅都對人們的生產生活造成了很大的危害。
2網絡安全威脅態勢分析技術
2.1.融合數據的技術
融合數據只要是把網絡系統中的各個方面的數據資料進行分析,組合,找出其中的關聯性并進行融合處理。對當前網絡中的運行狀況和帶有威脅的數據位置進行確認,最終得到準確、合理的結果。在網絡系統中,有多個安全信息點設備,可以搜集到不同類型的安全信息,然后為融合數據提供操作基礎。融合數據主要分為三個級別,分別是數據級融合、決策級融合和特征級融合。在數據集融合中,處理的信息量非常大,要求處理數據的精確性,對計算機系統的硬件要求比較高。當進行到決策級融合時,處理的信息量就比較少了,大多采用模糊抽象層次分析,因此要求的數據進度弱一些,對設備的要求也低一點。在評估網絡安全威脅的過程中,融合數據可以起到很好的安全威脅態勢分析作用,在融合數據方面的技術有有貝葉斯推理技術和DS證據理論技術。
2.2分析威網絡威脅態勢值
評估網絡風險主要考慮:網絡數據資源、威脅的等級和網絡漏洞。為了對威脅態勢值進行一個準確的計算,首先必須量化各個基本組成因素,然后把網絡的運行情況和安全事故發生的頻率轉換成相關數據。最后建立態勢值分析表,進行直觀地觀察,測算網絡威脅程度,對網絡狀況有一個清晰地認識。在分析威脅態勢值中,主要運用到層次分析法和抽象模糊層次分析法。
2.3層次分析法
目前,層次分析法在很多計算分析領域中得到運用,這種方法可以使分析和計算過程更加簡單化,在分析中導入判斷矩陣,可以幫助決策者更加精確地進行分析,層次分析法中層次化明顯,結構條理清晰、明確,能夠把一些復雜的問題分成一層層的簡單問題,然后單獨計算解決,最后進行統計總結,使計算過程更加精確。但是也存在一些缺點,當處于同一個層次的數據太多時,很容易混淆不清,判斷矩陣得出的結果很難一致化,容易對決策者的判斷造成干擾。當決策者的思維模式和判斷矩陣的實際數據存在差異時,最后的計算結果就會缺乏準確性,沒有科學證明,缺少說服力度。由于層次分析法存在這些缺陷,所以結合使用抽象模糊層次分析法更加有效。
2.4抽象模糊層次分析法
抽象模糊層次分析法使判斷過程更加簡化,通過建立模糊矩陣的方式把數據進行定量轉換,使層次分析法中的一些具體問題得到解決。其主要分為四個解決步驟:1.首先設定隸屬函數。在實際操作中通對每個評估數據設定隸屬函數,可以確定模糊界限。2.建立模糊矩陣。對網絡系統中的各個風險進行評估。3.權重模糊矩陣。在網絡安全威脅中,一些高風險因素造成的風險等級比較高,因此必須重視風險級別高的因素。4.計算模糊綜合評價。對單項風險因素進行評價和確定權重后,會得到兩個不同的模糊矩陣,然后通過模糊綜合評價模型計算出模糊綜合評估結果。
3信號博弈網絡安全威脅評估方法
3.1構建網絡攻防信號的博弈模型
在構建網絡攻防信號的博弈模型過程中,首先把攻擊者作為信號發送者,防御者作為信號接收者。防御者開始對攻擊者的安全威脅類別形成一種先驗理念,然后通過安全防火墻和IDS等防御技術獲取對抗過程中的攻擊信號,在攻擊信號中不僅具有真實的攻擊信息,而且也具有虛假的攻擊信息,然后借助攻擊信號對攻擊類別進行概率修正,對攻擊者的安全威脅類別形成一種后驗理念。最后通過后驗理念預測攻擊者的威脅類別,從而實施合理的安全防御。
3.2完美貝葉斯均衡求解算法過程
由于不完全信息的動態博弈的均衡在發生變化,所以求解過程相比較于靜態博弈更加困難。本文對攻防信號的博弈模型進行完美貝葉斯均衡求解,其具體過程和步驟如下的:1.在防御者信號的每個不同的信息子集上建立后驗信念測算p(t|m)。2.求根據防御者信號推斷存在的最優反應方法集。3.求根據攻擊者推斷存在的最優方法。4.求根據網絡攻防信號博弈模型依存的完美貝葉斯均衡結果。
3.3網絡安全威脅評估
在網絡安全的博弈過程中,攻防雙方都希望利用自己的技術方法使結果優勢最大化,因此最后的博弈結果都將是完美貝葉斯均衡。攻擊者不會自動改變攻擊行為和攻擊信號,防御者也不會改變自己的防御行為和防御信號。如果雙方的攻防行為脫離了均衡值,就會導致行動的最后結果降低收益。完美貝葉斯均衡的最終結果存在這些類型:1.攻擊者的類型不同,但是選擇一樣的攻擊信號,造成了混同均衡。2.攻擊者的類型不同,同時選擇不一樣的攻擊信號,造成了分離均衡。3.防御者隨機地選擇防御信號,造成了準分離均衡。信號博弈是不完全信息博弈模型,綜合考慮了攻防二者之間不熟悉對方的信息情況,因此更加適合于實際網絡。靜態博弈在實際攻防中要求二者之間同時做出選擇,這一點不滿足實際網絡。信號博弈作為一種動態博弈模型,能夠考慮到攻防二者之間的博弈順序,滿足實際網絡要求。如果在信號博弈中忽略了攻擊者的信號,將會導致信號博弈變成不完全信息靜態博弈。不完全的信息靜態博弈中的防御者一般先驗后判斷,不能更改預設,無法修改實際中的誤差,不適合動態信號博弈,最終的評估結果也不準確。所以必須構建合適的網絡攻防信號博弈模型,在博弈過程中,防御者可以針對攻擊信號先驗再判斷攻擊類型,然后對防御信號進行修改,保證了評估結果的準確性。
4總結語
傳統的靜態網絡安全威脅評估方法從自身出發,評估的結果準確性不足,不能合理地運用到實際操作中。本文提出了一種動態評估方法:網絡攻防信號博弈模型,這種評估方法可以防御者的角度出發,充分應對攻擊者信息,為防御者創造均衡的信號博弈收益,修正后驗的理念,能夠有效地評估攻擊者的威脅。另外,網絡威脅態勢值的分析也是至關重要的,必須選擇合適的技術進行分析,為網絡安全威脅的評估提供數據支持。
作者:甘露 林莉蕓 單位:信陽職業技術學院數學與計算機科學學院
參考文獻:
[1]王青峰,范艷紅.網絡安全威脅態勢評估與分析技術研究[J].計算機光盤軟件與應用,2012,02:128-129.
本文作者:左朝樹 伍淼 單位:保密通信重點實驗室 西南通信研究所
隨著計算機/通信網絡技術的迅速發展及其在軍事領域的廣泛應用,計算機網絡與作戰越來越聯系緊密,已成為新的作戰空間。計算機網絡對抗作為一種新型的作戰手段在現代化戰爭中將發揮越來越大的作用,因此計算機網絡對抗體系結構作為計算機網絡對抗的基礎,顯得尤為重要,并越來越受到重視,大量學者開展了相關的研究。李雄偉[1]等研究了網絡對抗效能的評估指標體系,并設計了網絡對抗體系結構,由信息支援、信息攻擊和信息防護3部分組成。陳文斌[2]基于設計了協同網絡安全對抗模型,由安全攻擊、安全機制和安全服務三者構成。劉海燕[3]等基于高層體系結構(HLA)在HLA標準下構建了網絡對抗仿真系統的層次模型,用對象模型模板(OMT)表格的方式對網絡對抗仿真系統進行了描述。王付明[4]等認為網絡對抗技術體系是一個灰色系統,并針對網絡對抗技術能力的抽象性和難以度量性,采用灰色關聯分析方法建立了網絡對抗技術能力評估模型。盧云生[5]分析了計算機網絡戰的作用和對象,探討了信息戰背景下計算機網絡攻擊系統的組成和作用,提出了計算機網絡攻擊體系結構,由網絡偵察技術、網絡攻擊技術、網絡對抗數據庫3部分組成。這些研究成果,從網絡對抗評估指標、安全對抗模型、網絡對抗仿真以及網絡對抗技術體系等方面進行了研究,推動了網絡對抗技術的發展,于網絡對抗技術在網絡中心戰中發揮重要作用,但是作為一種作戰手段,計算機網絡對抗需要成體系、成系統地進行全面研究和建設,而不能僅僅依靠某一方面的技術。為此,設計了計算機網絡對抗體系結構,包括系統體系結構和技術體系結構,并基于該體系結構設計了典型的計算機網絡對抗試驗環境。通過該體系結構的研究,可推動計算機網絡對抗技術成體系的發展,有力地支撐信息時代的網絡中心戰。
1計算機網絡對抗體系結構
1.1系統體系結構
計算機網絡對抗是作戰雙方針對可利用的計算機網絡環境,在計算機網絡空間所展開的各類對抗活動的總稱,是以該環境中的計算機終端、交換機、路由器以及它們構成的網絡為作戰對象,以先進的信息技術為基本手段獲取制信息權,以贏得局部戰爭的勝利為最終目的。計算機網絡對抗包括瓦解、破壞敵方計算機網絡以及保護己方計算機網絡所采用的技術、方法和手段等。為此設計計算機網絡對抗系統體系結構如圖1所示,計算機網絡對抗系統由網絡攻擊、網絡防御、對抗評估以及對抗指揮4部分構成。網絡攻擊在對抗指揮的統一控制和指揮下開展對敵方計算機網絡的攻擊,以獲取敵方計算機網絡的相關信息(包括拓撲結構、節點位置、應用協議、傳輸的信息等)或破壞敵方計算機網絡為目的,承擔對抗指揮的攻擊職能。為了實現網絡攻擊職能,網絡攻擊系統應該由網絡偵察、情報處理、攻擊決策、網絡進攻等子系統構成。網絡偵察子系統通過一定的技術手段獲取敵方計算機網絡的相關信息,包括拓撲結構、存在的漏洞、運行模式等,為網絡進攻奠定基礎。情報處理子系統是對網絡偵察子系統獲取的信息進行綜合加工,提取可用于攻擊的漏洞或缺陷等信息。攻擊決策是在情報處理基礎上,根據敵方計算機網絡存在的漏洞或缺陷等信息,選擇相應的攻擊技術和設備,組織對敵網絡進行攻擊。網絡進攻子系統由各種計算機網絡攻擊設備組成,根據攻擊決策子系統的指令,直接開展對敵計算機網絡攻擊。網絡防御是在對抗指揮的統一控制和指揮下開展對我方計算機網絡進行防護,以保障我方計算機網絡的正常運行和信息的安全傳輸,承擔對抗指揮的防御職能。為了實現網絡防御職能,網絡防御系統由脆弱分析、終端防護、網絡防護以及協議安全等子系統構成。脆弱分析子系統根據我方計算機網絡的拓撲結構、運行協議、運行模式、組織應用等情況,通過綜合分析,挖掘我方計算機網絡存在的脆弱性和安全需求,為終端防護、網絡防護以及協議安全提供支撐。終端防護根據計算機網絡中終端的特點,如操作系統類型、存在的漏洞、應用系統、硬件平臺等,采取相應的防護手段,確保終端的安全,保障應用系統正常運行。網絡防護子系統根據網絡拓撲結構、網絡協議等,采用多種手段對網絡進行綜合防護,包括入侵檢測、防火墻等。協議安全是針對TCP/IP協議族在設計上存在的缺陷,從協議的角度進行安全增強,彌補TCP/IP等協議的缺陷。對抗評估是對抗指揮的統一管理和控制下,對網絡攻擊系統以及網絡防御系統進行效能和安全性評估,使更有效的發揮其功能。對抗評估系統由效能評估、安全測試、對抗測試、模擬仿真等子系統構成。效能評估子系統是在攻擊效能評估指標體系下對網絡攻擊系統的攻擊效能進行評估,以便對網絡攻擊系統的作戰能力進行評價。模擬仿真子系統是通過模擬仿真手段構造敵方或者我方計算機網絡,便于評估和測試網絡攻擊系統以及網絡防御系統的作戰效能。安全測試子系統是根據相關的安全防護標準以及指標體系對網絡防御系統的防御能力進行測試。為了進一步評估網絡防御系統的作戰效能,對抗測試子系統采用網絡對抗的測試方式和環境,測試網絡防御系統的防御能力。對抗指揮是整個計算機網絡對抗系統體系的核心,承擔整個對抗系統的指揮控制職能,保障整個對抗系統的有序正常運行和作戰效能的發揮。對抗指揮系統由設備管理、指揮控制、態勢處理和應急響應四部分構成。設備管理是對所有的攻擊設備、防護設備和評估設備進行統一管理和控制,包括相應策略的下發。指揮控制是通過協調和調動所有相關設備對敵進行協同攻擊,對我方網絡進行協同防護,充分發揮所有設備的作戰效能。態勢處理通過收集敵方計算機網絡的相關信息和我方計算機網絡的相關信息,做到知己知彼,并進行直觀的展示,輔助作戰人員進行指控控制。應急響應通過感知計算機網絡中所發生的緊急事件,并以此作為多種應急預案選擇的依據,從而確定相應的處置過程,以保障計算機網絡在多種緊急情況下能夠正常運行。
1.2技術體系結構
根據計算機網絡對抗系統體系結構,設計網絡對抗技術體系結構如圖2所示,計算機網絡對抗技術體系結構由網絡攻擊、網絡防御、網絡評估、對抗指控四部分技術構成。網絡攻擊技術包括物理攻擊技術、能量攻擊技術、病毒攻擊技術、拒絕服務攻擊技術、密碼分析技術、協議攻擊技術等。物理攻擊技術主要以硬殺傷為主要手段,攻擊敵方計算機網絡中的重要部件或接口裝備,特別是破壞計算機的中央處理器、硬盤、存儲芯片等,具有徹底性和不可逆性。能量攻擊技術主要是采用諸如電磁脈沖炸彈等的高功率武器或設備,破壞敵方計算機網絡中的通信裝備或基礎設施,導致敵方計算機網絡癱瘓。病毒攻擊技術利用對方計算機網絡存在的漏洞,通過植入病毒木馬等方式,攻擊敵方計算機網絡。拒絕服務攻擊技術就是利用對方計算機網絡存在的缺陷,通過發送大量攻擊報文或控制對方網絡的重要設施,導致對方計算機網絡不能提供正常服務。密碼分析技術是加密技術的逆過程,是通過對方的密文等信息,獲取相應的明文或者加密算法、參數以及密鑰等。協議攻擊技術就是利用計算機網絡通信協議本身的缺陷,攻擊對方計算機網絡的方法,如ARP協議攻擊等。網絡防御技術包括訪問控制技術、入侵檢測技術、安全審計技術、防火墻技術、終端監控技術、防病毒技術以及加密技術等。訪問控制技術就是通過一定的技術手段實現主體對客體的有序合法訪問,防止非法或越權訪問,常見的訪問控制技術包括強制訪問控制MAC、自主訪問控制DAC、基于角色訪問控制RBAC以及基于身份訪問控制IBAC等。入侵檢測技術是通過模式匹配、關聯分析等手段,發現網絡中可能存在的攻擊行為或事件,為聯防聯動提供支撐。安全審計技術通過收集和分析各種安全日志或者網絡中傳輸的數據或者操作者的行為,以挖掘各種攻擊事件或違規行為,實現事后追蹤和責任認定。防火墻技術基于五元組(協議類型、源地址、源端口、目的地址、目的端口)對網絡中傳輸的數據進行過濾和控制,防止非法數據在網絡邊界的流動。終端監控技術基于操作系統提供的各種函數或接口,實現對終端各種外部接口以及資源(如硬盤、光驅、CPU等)的監控。防病毒技術通過特征碼匹配以及智能識別等手段檢測計算機網絡中存在的病毒,并對病毒進行處理,避免病毒的破壞。加密技術基于相應的加密算法將明文轉化為密文,防止重要信息的泄露。網絡評估技術包括基線掃描技術、對抗測試技術、攻擊效能評估技術等。基線掃描技術是在獲得授權的情況下對系統進行檢測,并將目標設備或網絡與相應的安全標準進行對比,以評估目標設備或網絡的安全性。對抗測試技術通過專業測試人員模擬入侵者常用的入侵手法,對被評估設備或網絡進行一系列的安全檢測,從而發現評估對象存在的安全問題。攻擊效能評估技術通過模擬仿真或實物的方式對攻擊設備進行測試,獲取攻擊設備的作戰效能,評估可能對敵計算機網絡造成的破壞。對抗指揮技術包括設備管理技術、應急處置技術、指揮調度技術、態勢處理技術等。設備管理技術通過統一的接口規范收集攻防設備的信息,并下發相應的攻防策略,實現對所有的設備的統一管控。應急處置技術通過制定應急響應預案以及相應的資源調度策略等,實現緊急事件處理的方法,保障計算機網絡能夠應對各種突發事件。指控調度技術通過提供相應的人機界面,提供攻防人員對攻防設備的控制,實現多種攻防設備的協同作戰和有序調度。
2計算機網絡對抗試驗環境
基于計算機網絡對抗體系結構,設計網絡對抗試驗環境如圖3所示,主要由網絡對抗系統、網絡防御系統、對抗評估系統以及對抗指揮系統組成。基本的網絡對抗系統由攻擊決策設備、情報處理設備、網絡偵察設備以及相應的攻擊設備構成。基本的網絡防御系統由終端監控系統、入侵檢測設備、防火墻、安全審計設備等構成。基本的對抗評估系統由安全測試設備、攻擊效能評估系統、對抗測試系統以及相應的模擬仿真設備構成。基本的對抗指揮系統由態勢處理服務器、指揮控制系統、設備管理服務器以及應急響應服務器構成。(1)網絡防御試驗流程在進行網絡防御試驗時,需要綜合應用對抗指揮系統、對抗評估系統甚至網絡對抗系統的相關設備進行試驗,其大體流程如下:①指揮控制系統根據安全防御需求,生成相應的網絡防御方案,包括網絡防御設備清單以及設備的部署圖;②根據網絡防御方案,部署相應的網絡防御設備;③設備管理服務器為所有網絡防御設備配置安全策略,并使所有網絡防御設備開始工作;④網絡對抗系統的攻擊設備發出各種攻擊,網絡防御設備檢測和抵御這些攻擊,并將相應信息上報到態勢處理服務器;⑤通過態勢處理服務器可以直觀得到網絡防御的性能和強度,必要時可以將這些信息輸入到對抗評估系統進行評估。(2)網絡對抗試驗流程在進行網絡對抗試驗時,需要綜合應用對抗指揮系統、對抗評估系統以及網絡防御系統的相關設備,大體試驗流程如下:①指揮控制系統根據試驗目的,生成相應的網絡防御圖,包括網絡防御設備以及對應的安全策略;②根據網絡防御圖部署相應的網絡防御設備,并有指揮控制系統發出攻擊測試開始指令;③網絡偵察設備開始掃描目標網絡,并把獲取的信息上報到情報處理設備;④情報處理設備對這些信息進行分析,獲取目標網絡存在的漏洞或缺陷,并上報給攻擊決策設備;⑤攻擊決策設備根據發現的漏洞和缺陷,以及網絡對抗系統具備的攻擊能力,組織相應的攻擊設備開始攻擊;⑥攻擊設備開展攻擊操作,并把攻擊結果或獲取的信息上報給攻擊效能評估系統;⑦攻擊效能評估系統對攻擊效能進行評估,并把評估結果上報給態勢處理服務器,進行直觀展現。
3結語
針對網絡中心戰的作戰需求以及目前的技術發展現狀,研究并設計了計算機網絡對抗體系結構,主要包括系統體系結構和技術體系結構,由網絡攻擊、網絡防御、對抗評估、對抗指揮4個部分構成,并設計了典型的計算機網絡對抗試驗環境。網絡攻擊系統主要對敵方計算機網絡進行攻擊,網絡防御系統主要對我方計算機網絡進行安全防護,對抗評估系統主要對網絡攻擊系統和網絡防御系統的作戰效能進行評估和測試,對抗指揮系統是整個計算機網絡對抗系統的運行進行控制和管理。通過該體系結構的研究,可推動計算機網絡對抗技術成體系的發展,有力地支撐信息時代的網絡中心戰。
關鍵詞 網絡安全實驗 課程教學 實驗設計
中圖分類號:G424 文獻標識碼:A
0 引言
隨著網絡信息產業的快速發展,網絡安全成為亟需解決的問題,我院為了培養應用型本科人才,在網絡通信專業培養計劃中設置了網絡安全實驗這門選修課,因為開設時間較短,教學過程還處于探索階段。網絡安全實驗教學這門課無論在掌握計算機學科理論,還是鍛煉學生在實際工作生活中解決應用問題的能力方面,都起到了十分重要的作用。因為是實驗課程,所以在教學過程中,比較重視實踐操作過程。網絡安全實驗課程的內容比較集中在P2DR模型中說涉及的網絡安全防御、檢測、響應三大領域,以滿足在現實工作中所遇到的不同網絡安全問題。因此,本文從實驗項目的選擇,實驗平臺的建立,以及實驗教學方法等上對網絡安全實驗教學進行探索。
1 實驗平臺搭建
首先是虛擬機技術在實驗中的使用,網絡安全實驗中的實驗具有一定的破壞性,所以我們采用了虛擬機來進行實驗,在網絡安全實驗中,需要模擬網絡攻擊,使學生掌握怎樣防御的同時,也了解攻擊技術。所以在實驗中我們首先安排了Vmware虛擬機的安裝與配置。在虛擬機中我們安裝windowsserver2003服務器版操作系統,并且配置開啟相關服務。
因為硬件條件有限,所以我們的大量實驗還只能在虛擬機上進行,但為了使學生身臨其境的感受網絡安全技術,我們在綜合實訓中還是建立了基礎的網絡攻防實驗環境。
2 實驗項目設計
在我國,高校是培養網絡安全人才的核心力量。網絡攻擊與防護是網絡安全的核心內容,也是國內外各個高校信息安全相關專業的重點教學內容。所以在實驗項目設計上我們體現了實用性為主的觀念,要在實驗中更多的體現未來學生畢業后,會遇到的網絡安全問題。所以設置了以下實驗:
(1)安裝Vmware虛擬機,并配置完整的網絡環境。配置完善win2003server虛擬環境,為以后的實驗搭建平臺,習和掌握Vmware虛擬機的安裝與配置,以建立網絡攻防平臺。
(2)加密原理與技術,利用不同技術進行加密。了解和掌握各種加密方法,以實現信息加密。學習和掌握密碼技術,利用密碼技術對計算機系統的各種數據信息進行加密保護實驗,實現網絡安全中的數據信息保密。
(3)PPPoE的網絡通信原理及應用。學習和掌握基于PAP/CHAP的PPPOE的身份認證方法。學習和掌握利用身份認證技術對計算機和網絡系統的各種資源進行身份認證保護實驗,實現網絡安全中的信息鑒別。
(4)掌握Windows系統中基于PPTV VPN的功能、配置與使用操作。學習和掌握如何利用防火墻技術對網絡通信中的傳輸數據進行鑒別和控制實驗。
(5)學習掌握Windows系統中NAT防火墻的功能、配置與使用操作。學習和掌握網絡通信中的合法用戶數據信息的傳輸,以實現網絡安全中的保密性、鑒別性和完整。
(6)學習和掌握Superscan掃描工具對計算機進行端口掃描的方法,操作應用。學習和掌握各種網絡安全掃描技術和操作,并能有效運用網絡掃描工具進行網絡安全分析、有效避免網絡攻擊行為。
(7)學習和掌握如何利用Wireshark進行網絡安全監測與分析。學習各種網絡監聽技術的操作實驗,能利用網絡監聽工具進行分析、診斷、測試網絡安全性的能力。
(8)學習和掌握Snort網絡入侵監測系統的安裝、配置和操作。學習和掌握Snort入侵檢測系統的基本原理、操作與應用實驗。
3 綜合實訓
為了讓學生能適應真實的網絡環境,使之更貼近應用型人才的培養方案,最后我們設計了綜合實訓這個環節,讓學生在網絡通信系統中綜合運用各種網絡安全技術,設計一個整體的網絡安全系統。分析公司網絡需求,綜合運用網絡安全技術構建公司網絡的安全系統。通過一個實際網絡通信系統中的綜合運用,實現整體系統的有效設計和部署。
學生分組進行實訓,分為防御組與攻擊組,為了充分利用實驗資源讓防御組的同學在局域網環境下搭建服務器靶機,并讓防御組的同學配置VPN、NAT防火墻的技術并搭建SNORT入侵檢測系統。攻擊組同學操作學生終端嘗試攻擊服務器靶機,使用ARP欺騙等技術。防御組的學生使用Wireshark網絡監聽查看ARP欺騙源地址,并解決該威脅。
4 結論
隨著網絡技術的發展,網絡安全成為重中之重,為了培養本科應用型人才,實踐證明實驗必須貼近真實存在的案例才能提高學生的實際網絡攻防水平,使學生掌握網絡安全的新技術,而使用綜合實訓這種方式,更是提高了學生的參與積極性,使教學質量進一步提升。
參考文獻
[1] 常晉義.網絡安全實驗教程. 南京大學出版社,2010.12.
關鍵詞:計算機網絡課程;虛擬仿真實驗;應用
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2017)01-0106-01
仿真是指從原來的真實系統中得出一個抽象模型,該模型要求能夠反應原來真實系統的靜態結構和動態結構,同時還要能體現原來真實系統中的人機交互關系。虛擬技術營造了一種可交互更迭的環境,人們可以通過人機界面與之交互,在精神感覺上進入該環境。例如:在展開某個實驗環境時,虛擬現實可以先表達外部環境,隨著操作者走進,實驗環境的透視表現也轉遠為近,再后,當你面對某一層面進入操作時,計算機就轉而生成深一層的景物視圖,使各部分的狀態逐漸展現出來一切如親臨其境。計算機網絡課程作為高校計算機網絡工程專業一門重要的課程,通過該課程的學習,不僅要讓學生熟悉網絡的理論知識,也要讓學生掌握實踐操作能力。
1 虛擬仿真實驗特點
虛擬仿真實驗作為學科專業與信息技術深度結合的產品,是使用虛擬現實技術模擬實物的計算機輔助教學軟件,其主要特點如下:(1)互動性:與傳統實驗模式相比,教與學雙向互動的實驗模式更加關注教學內容,有利于學生、老師表達自己的意見,提升學生的學習興趣和學習主動性。(2)激勵性:課堂實驗中教師通過展示仿真實例、學生參與實踐,能激發學生的學習欲望,幫助學生充分理解、掌握學習內容,激發學生的創新思S和創造動機。(3)安全性高:部分危險性高的實驗項目,如果操作疏忽,極易對實驗者產生嚴重危害。虛擬仿真實驗涵蓋各專業所用設備和知識,有毒有害、破壞性強的實驗也可在虛擬實驗室內進行,在保障實驗者安全的同時,獲得其想要的實驗效果。
2 計算機網絡應用虛擬仿真平臺的效果
眾所周知,計算機網絡實踐較強,因此,多數院校均建立專業的網絡實驗室,以此增加課程實驗環節所占比例。但由于不同因素的影響,在計算機網絡實踐操作中依然存在實驗條件不達標、配套實驗設施陳舊等問題,上述因素導致學生無法深入理解知識點,實踐操作能力得不到相應的鍛煉,從而影響整個研究效果。想要提升計算機網絡實踐操作的質量和效果,應把理論與實踐有機融合起來,讓更多的學生在實踐操作中理解、掌握所學知識。對此,可利用部分軟件在一臺PC機上通過仿真實驗進行研究,達到理想的實踐效果。下文以病毒、網絡協議等闡述虛擬仿真實驗中的應用效果。
2.1 病毒模擬實驗
隨著計算機的普及應用,計算機及網絡病毒隨之增多。針對這些病毒的傳播特點,基于已有軟硬件資源構建虛擬網絡實驗環境,能使學生在近似真實的條件下學習病毒攻防技術。實驗系統可提供100多種病毒源代碼程序,確保各種病毒工作原理和感染方法處于可視化狀態。如:在進行蠕蟲仿真實驗時,老師組織2名學生建立一個小組,分別操控主機A、B。主機A在實驗平臺中執行蠕蟲模擬程序,B執行漏洞程序,并開啟協議分析器及時捕獲APP數據包,認真查看與APP協議相關的數據。在虛擬仿真環境下驗證蠕蟲病毒感染過程,學生能夠真切了解計算機病毒設計的理論知識和感染機制。同時,實驗還配備驗證殺毒工具效果等內容,便于學生深入了解計算機病毒分析、預防及對抗方法,針對性的補充各種編程語言和技術,提升學生對病毒攻防知識的運用能力。
2.2 網絡協議實驗
在虛擬仿真實驗平臺下進行網絡協議實驗,學生可借助仿真編輯器手動編輯、發送相應的協議數據包,隨之由協議分析器捕獲網絡數據包,并把網絡會話以十六進制、圖形兩種方法表達出來。在進行POP、SMTP協議實驗時,仿真編輯器上均設置outlook express軟件,學生通過TCP工具、POP3等命令編輯郵件并完成發送操作,學習SMIP協議、POP3等協議命令方法。同時,學生借助仿真編輯器對ASMIP數據包進行編輯,更好的理解、使用SMIP工作過程及其封裝格式。網絡協議實施虛擬仿真實驗教學,有利于學生在實踐操作中深入了解網絡結構及協議。通過編輯不同協議數據包,充分調動學生學習主動性,拓寬學生的思維和設計思路,提升自身的設計能力。
3 結語
綜上所述,計算機網絡課程是一門實踐與理論并重的課程,在計算機網絡課程中使用虛擬仿真實驗進行實踐操作,能有效解決計算機網絡實踐操作中遇到的問題,提升學生的學習積極性和實踐操作能力。本文以虛擬仿真實驗為依據,深入分析在計算機網絡課程實踐操作中應用虛擬仿真實驗的效果,以期為更好地開展計算機網絡課程實踐操作提供一定幫助。
參考文獻
【關鍵詞】計算思維 人才培養模式 課程體系 教學模式
【中圖分類號】 G 【文獻標識碼】A
【文章編號】0450-9889(2014)01C-0152-03
隨著信息技術在互聯網的廣泛應用,人們的生活和工作越來越網絡化,但是互聯網的開放性與安全漏洞所帶來的安全風險也對網絡的健康發展產生了巨大影響。信息安全已經成為任何國家、政府、部門、行業都必須重視的問題,是一個不容忽視的國家安全戰略。信息安全人才已成為信息時代企業亟需的熱門人才,如何提高高等職業院校信息安全專門人才的培養質量,不斷適應地方經濟和信息社會發展的需求,已成為信息安全專業建設和教學改革的重要課題。
一、高職信息安全專業教學現狀
(一)人才培養模式脫離市場需求
《國家中長期教育改革和發展規劃綱要(2010-2020)》指出,要“創立高校與科研院所、行業、企業聯合培養人才的新機制”。目前,大多數高職院校對企業信息安全崗位的知識、能力和素質要求缺乏深入了解,對學生的培養目標大多參考相關或相近的專業和課程,脫離了信息安全行業的實際需要;而企業也沒有利用學校資源,將企業項目融入學生的實驗實訓過程或將新員工的培訓與在校生的實習相結合,這樣就使得學生的學習內容與企業所急需的技能脫節,從而造成當今社會的一大矛盾:大學生找不到工作,企業招不到人。為了緩解這些矛盾,迫切要求運用新的理念對高職院校信息安全人才培養模式進行改革。
(二)課程內容設置缺乏系統化、體系化
信息安全內容更新迅速,課程涉及的知識點既多且難,而且目前高職院校對信息安全課程設置的學時相對較少,這樣就容易在教學過程中造成教學內容的選取和教學課時安排之間的矛盾。比如,有些高職院校的信息安全配套設備少,教師在課程內容設置方面就會偏重理論的系統性、完整性,側重信息安全基本理論和加密解密算法等知識點的講解,學生學習起來會感覺枯燥乏味,難以理解,加之信息安全實驗配置相對復雜,會降低學生的學習熱情,影響學生對信息安全基本認知能力的培養。而有些高職院校的課程設置偏重于實踐性操作,教師在教學過程中采用大量的案例與項目,忽略基本知識點的講解與分析,學生在實驗過程中“只知其然,不知其所以然”,換了例子就無從下手,思維受到限制,不能充分發揮學習積極性,很多學生在課程學習結束后感覺“只見樹木不見森林”,不能將所學的內容融會貫通,不利于學生系統地掌握信息安全課程的知識。
(三)重理論、輕實踐,學生動手能力差,發展后勁不足
對于信息安全課程教學,大部分高職院校采用了“講授+上機實踐”的授課方法和邊講邊練的課堂教學模式,但具體實施過程中由于實踐性環節課時較少,且信息安全實驗配置環境相對復雜,造成了實踐教學缺乏系統性、完整性,學生在實踐過程中只是在虛擬機如VMware Workstation上模仿練習教師上課時使用的案例或實現教材中的例題,沒有進行團隊合作的分組實驗,也很少在真實環境下實現小規模的網絡攻防演練,因此阻礙了學生擴展應用能力和創新精神的培養,造成學生缺乏主體意識、實踐綜合應用能力差、團隊協作能力差,發展后勁不足,進而影響學生就業和他們的后續發展。
二、計算思維的理念
2006年3月,美國卡內基?梅隆大學計算機科學系的周以真教授在《美國計算機協會通訊》期刊(《Communications of the ACM》)中給出了計算思維的定義:計算思維是運用計算機科學的基礎概念進行問題求解、系統設計以及人類行為理解等涵蓋計算機科學之廣度的一系列思維活動。此后,計算思維理念成為國內外計算機行業廣泛關注的重要概念,也成為各大高校在計算機教學中重點關注和研究的內容。周以真教授在《中國計算機協會通信》期刊中的《計算思維》一文中強調:計算思維的理念是“通過約簡、嵌入、轉化和仿真等方法,把一個困難的問題闡釋為如何求解它”;是“采用了抽象和分解來迎戰龐雜的任務或設計巨大復雜的系統”;是“利用啟發式推理來尋求解答,就是在不確定情況下進行規劃、學習和調度”。將計算思維的理念運用到高職院校信息安全教學過程,就是要在教學實踐中引導學生利用啟發式推理方式求解問題;學習把握復雜問題的關鍵環節,并能把關鍵問題分解為若干小任務加以處理;培養學生從整體把握到細化分解并最終求解問題的思維方式。2010年發表的《九校聯盟(C9)計算機基礎教學發展戰略聯合聲明》中提出了要在計算機基礎課程教學中,把培養學生的計算思維能力作為核心任務,充分發揮學生的創新能力。
三、計算思維在信息安全課程改革中的應用
(一)強化計算思維能力的培養,實現“認知、實踐、創新”人才培養方案
信息安全是一個“以信息安全理論為核心,以信息技術、信息工程和信息管理等理論體系為支撐,以國家和社會各領域信息安全防護為應用方向”的跨學科的交叉性學科。由于涉及知識面寬、知識點多、知識體系龐大,需要的基礎知識也很多,這就要求信息安全的人才培養必須從信息安全學的學科體系建設入手,以培養多層次、多規格的,且具備多學科知識和復合型技術的人才為目標。
將計算思維理念運用于信息安全教學改革,在教學過程中以培養學生的計算思維能力為核心,引導學生利用啟發式推理來尋求問題的解決,根據學生的學習特點,循序漸進地實現“認知、實踐、創新”一體化人才培養方案,培養學生的理解能力、實踐能力和創新能力。在認知訓練階段指導學生掌握信息安全的基本理論和經典案例;在實踐訓練階段引導學生以項目為依托,循序漸進地學習掌握信息安全的分項實驗;在創新訓練階段,指導學生分組演練,調動學生的主動性與參與性,讓學生自己提出問題、分析問題和解決問題,在實踐過程中理解和應用課程所涉及的知識點,培養學生的計算思維能力,進而提高學生的自主學習、實踐應用和創新能力。
(二)加強實踐教學環節,構建層次化、系統化的課程教學體系
信息安全課程的理論性很強,對于高職院校的學生來說,其中涉及的知識點具有較大的難度,這樣就更需要構建層次化、系統化的課程教學體系,通過各階段各層次知識點的講解以及相應的實驗和項目訓練,讓學生由淺入深、由易到難,逐步理解和掌握信息安全課程的知識體系結構。計算思維的理念注重在教學實踐中引導學生利用啟發式推理方式求解問題,把握復雜問題的關鍵環節,并培養學生從整體把握到細化分解并最終求解問題的思維方式。因此,將計算思維應用于信息安全的理論教學與實踐環節是一個循序漸進、層次化、系統化的過程。
在構建基于計算思維的課程教學體系過程中,我們將信息安全課程的理論教學與實驗和企業真實項目以及全國職業技能大賽的信息安全技術方向結合起來,將項目分解融入到各階段的實驗。第一學年認知訓練階段,主要激發學生的學習興趣、奠定他們的專業基礎能力,這階段的重點在于指導學生利用虛擬機搭建信息安全實驗平臺自主學習、分項訓練;第二學年實踐訓練階段,主要讓學生了解構建安全信息系統所要解決的關鍵問題,重在真實環境中的分組協作和攻防演練;第三學年創新訓練階段,充分發揮學生的主觀能動性和創造性,在真實環境實現小規模的信息安全項目或企業項目,并選拔優秀學生參加全國職業院校技能大賽,著力培養學生的網絡安全工程能力和創新能力。我校學生在2011和2012全國職業院校技能大賽中獲得信息安全賽項和計算機網絡應用賽項的區級三等獎。上述這些實驗和項目之間相互關聯,涉及信息安全課程的所有重要知識點,通過整體設計,形成一個循序漸進的系統化的、層次化的課程教學體系,見表1。
表1 基于計算思維的實踐教學體系
層次 教學重點 教學內容設計
認
知
階
段 基本知識點
演示驗證實驗 該階段重在把握信息安全的概念以及講解演示網絡攻擊技術:密碼破解技術、網絡嗅探技術、網絡端口掃描技術、緩沖區溢出、拒絕服務攻擊技術、VPN技術等,進而了解NIDS和IPS的作用與構建。
實
踐
階
段
基礎實驗
綜合實驗 基礎實驗:
①古典密碼算法;②基于公鑰的安全服務基礎設施CA中心的搭建,實現SSL web服務;③使用Nmap和X-scan工具進行端口掃描;④利用L0phtCrack5.02工具破解賬號口令;⑤windows操作系統安全;⑥linux操作系統安全;⑦IPSec VPN的配置;⑧緩沖區溢出攻擊與防范。
綜合實驗:綜合運用前述知識進行網絡攻擊
①對本機安裝和配置DNS、Web、FTP、E-mail、DHCP等網絡服務;②對目標機進行端口掃描,分析它所開放的服務;③使用遠程溢出工具如MS05039攻擊目標機;④利用X-scan工具進行嗅探,獲取目標機的FTP登錄用戶名和密碼;⑤用獲取的FTP帳號登錄目標機并取得其IP地址;⑥部署防火墻,在防火墻上實現NAT轉換、包過濾、URL過濾、P2P流量控制等。
創
新
階
段 企業項目演練
模擬大賽演練 借鑒企業項目與全國職業院校技能大賽的內容,在真實環境中實現攻防演練:
①網絡組建;②服務器配置和應用;③網絡安全配置與防護:部署防火墻,實現路由、NAT轉換、包過濾等;部署入侵檢測技術,對網絡存在的風險進行預警,實現檢測DDOS攻擊、病毒攻擊、緩沖區溢出攻擊、端口攻擊等;配置IPSec VPN;配置無線網絡WEP加密、MAC認證接入控制;Windows Server 域控制器技術、權限管理;配置CA服務;EFS加密技術;操作系統病毒防護等。
(三)“教”“學”并重,營造團結協作的學習氛圍
教育部《關于全面提高高等職業教育教學質量的若干意見》中明確指出:“教育學生樹立終身學習理念,提高學習能力,學會交流溝通和團隊協作,提高學生的實踐能力、創造能力、就業能力和創業能力”。基于計算機的協作式學習模式是一種在講授式與個別化教學模式基礎上發展而來的教學模式,是建立于合作學習基礎上的一種教學模式,是一種基于學習主題,學生通過開展競賽、協同討論、互動的方式達成知識建構的教學模式。在信息安全課程的實踐教學過程中,學生可以采用分組協作式攻防演練,通過小組協作學習和真實環境分組模擬演練,培養學生的合作精神;同時,教師之間也可以采用協作式備課、協作式教學,營造“學”“教”并重的良好氛圍,既強調老師的導學,又注重學生的自主學習和協作學習,提高學生的專業綜合能力和團隊協作精神。
(四)實現“請進來”和“走出去”,培養雙師型教師
國家一直提倡高職院校加強“雙師型”教師隊伍建設,教師的教學素質和實踐應用能力直接影響學生的專業技能和職業能力,實現“走出去”是希望教師能夠走出校門,參與行業、企業的進修,了解行業的最新動態和需求,并在企業的項目中提升自己的實踐應用能力和項目經驗;實現“請進來”是希望學校能夠邀請企業一線的優秀人才來學校當兼職老師,向學生傳授最新的技術和技能,將企業項目靈活地引入學生的實驗環節,給教學過程注入新的活力,同時也會激發學(下轉第180頁)(上接第153頁)生的學習熱情,提高學生的實踐能力和項目能力。
基于計算思維的信息安全課程改革以學生的職業能力培養為導向,以信息安全方向經典案例為基礎,通過任務分解和學生協作實驗,將課程的知識點巧妙地融合于體系化的實踐環節中,使學生在實驗中加深對理論知識的理解,進而提高學生的思維能力、創新能力和職業能力。
【參考文獻】
[1]周以真.計算思維[J].中國計算機學會通訊,2007(11)
[2]王飛躍.從計算思維到計算文化[J].中國計算機學會通訊,2007(11)
[3]朱亞宗.論計算思維―計算思維的科學定位,基本原理及創新路徑[J].計算機科學,2009(4 )
[4]董榮勝,古天龍.計算思維與計算機方法論[J].計算機科學,2009(1)
[5]陳國良,董榮勝. 計算思維與大學計算機基礎教育[J]. 中國大學教學,2011(1)
[6]Jeannette M. Wing. Computational Thinking[J]. Communications of the ACM. 2006,49(3)
[7]陳慶章,洪寧.以合作學習系統為例看CSCW的合作機制[J].計算機工程與應用,2000(6)
[8]黃榮懷.CSCL的理論與方法[J].電化教育研究,1999(6)
[9]周勤.協作學習與網絡教學探討[J].中國電化教育,2000(5)
【基金項目】新世紀廣西高等教育教改工程項目(2011JGZ065),廣西高等學校特色專業及課程一體化建設項目(GXTSZY196)
關鍵詞:計算機犯罪偵查;信息安全;培養方.案;課程體系;
中圖分類號:G642 文獻標識碼:A
1 引言
隨著信息化的發展,虛擬空間的計算機犯罪呈快速發展的趨勢,嚴重影響了信息化社會的健康發展,影響了現實社會的社會安定、社會安全和國家安全。為了應對新型的計算機犯罪問題,公安部組建并成立了公共信息網絡安全監察局,并擁有覆蓋全國的相關機構,以處理不斷增多、形式多樣的計算機犯罪問題。在和公安部下屬的院校、研究所,以及普通科研機構中科院下屬的軟件研究所和高能物理研究所,北京大學、武漢大學等高等院校也展開了對計算機犯罪問題的研究工作。
信息安全學科是由數學、計算機科學與技術、信息與通信工程等學科交叉形成的一門綜合性學科。信息安全專業是一個綜合性的專業,它以計算機、通信、數學、法學等專業為基礎,主要研究領域涉及現代密碼學、計算機系統安全、計算機與通信網絡安全、信息系統安全、電子商務/電子政務系統安全、信息隱藏與偽裝等。
計算機犯罪偵查專業目前主要在公安院校設立,2004年首先在中國人民公安大學、沈陽刑警學院的計算機科學與技術專業發展而來。本文結合作者在中國人民公安大學信息安全工程系的教學工作,就如何在計算機犯罪偵查專業教學中設置信息安全相關課程進行了探討,包括課程設置、實踐環節設計、實驗室建設等內容。
2 課程設置
2.1 課程設置原則
課程設置要符合專業知識體系特點,由于計算機犯罪偵查專業是交叉學科,要求的基礎面比較寬,不可能開設所有相關的專業基礎課,因此對這些基礎課程必須進行一些取舍。專業課程設置可分為專業基礎課、專業主干課、專業提高課和專業實驗實踐課。為了培養多方面多層次的人才,在課程設置上還應注重多層面內容的結合,特別加強了專業實驗實踐教學來提高學生運用知識的能力。其中在專業提高課中,注重學生的分流,對有深造愿望的一部分學生加強專業理論的學習,對就業的大部分同學加強專業知識的實踐運用。專業實驗實踐課程主要加強在公安實踐中的專業知識的運用。
課程方案基于2004年版中國人民公安大學計算機犯罪偵查專業培養方案(以下簡稱原有方案)的課程體系進行設計,參照了國內外院校信息安全專業課程設置的相關材料,既體現計算機科學與技術學科基礎,突出信息安全學科專業方向內容,同時又保持我校公安偵查特色與優勢。
2.1 課程設置方案
根據原有課程設置方案,計算機犯罪偵查專業課程設置大致分為通識教育內容、專業教育內容和公安學教育內容三個部分,每個部分又包含若干個知識體系。通識教育內容包括:人文社會科學、自然科學、思想教育、外語、計算機信息技術、體育和實踐動手能力訓練等7個知識體系。專業教育課程大致包括:專業基礎課程、專業主干課程、專業提高課程、專業實驗實踐課程等4個知識體系。公安學教育內容包括刑法學、公安學、偵查學、刑事科學技術、治安學和警體技能等6個知識體系。
參考全國高校本科信息安全專業本科教學規范和相關高校計算機學院信息安全專業的人才培養方案,結合公安業務部門一線需求實踐,保留我校計算機犯罪偵查專業的特色和優勢,我們可以對原有方案的課程設置做如下調整:
(1)大學通識教育課程和公安學課程類保持不變。
(2)對專業基礎課程進行調整,使其涵蓋數學、計算機、電子、通信學科的基礎內容。在原有方案中,增加“電路與電子技術”、“通信原理”兩門課程。同時把“離散數學”改為“信息安全數學基礎”,增加數論和群環域等代數內容,偵查學課程只保留偵查學概論(公安學課程類中已講)、偵查程序內容。
(3)對專業主干課程進行調整。專業特色課程包括原有方案的“現代密碼學”、“網絡安全”、“信息網絡安全監察技術”、“計算機犯罪偵查技術”,以及新增的“信息安全體系結構”和“計算機犯罪取證技術”。
(4)在專業提高課程中,對專業提高課進行了增減,包括原有“數字信號處理”、“嵌入式系統”、“多媒體技術”、“JAVA與面向對象程序設計”、“Linux原理與應用”以及新增的“信息隱藏與數字水印”、“電磁防護與物理安全”、“信息內容安全”、“信息安全新技術講座”、“電子取證技術”和“網絡程序設計”等。調整后的提高課程,增加了信息安全與計算機偵查技術的知識廣度,同時加強了學生程序開發能力。專業提高課程是按知識結構進行了簡單的分類,而在學生選修課程時可以打破選修方向限制,可根據興趣同時選修每個方向的每門課程。
(5)專業實驗實踐課程,在下一節介紹。
表1給出了計算機犯罪偵查專業方向的課程設置方案。
3 計算機犯罪偵查專業實驗實踐教學的設計
計算機犯罪偵查是一個實踐性很強的學科,尤其適應公安網監等部門的業務要求,要求學生有更強的解決實際問題的能力,計算機犯罪偵查專業必須加強實踐環節的教學。因此我校特別加強了專業實驗實踐課,包括獨立實驗課程、專業課題設計、項目實踐、畢業課題、科技創新、公安認知型實踐、公安專業業務實習等多種形式。
(1)專業實驗課程。包括原有方案中的“密碼技術應用實驗”、“微機系統與接口實驗”、“計算機取證技術訓練”和“計算機組成實驗”,以及新增的“計算機網絡實驗”、“信息安全綜合實驗”、“網絡安全實驗”等。
(2)專業課程設計。在專業課教學中,由任課教師安排組織學生組成若干項目組,根據教學內容設計題目進行編程開發和系統實現。可進行“嵌入式系統設計”、“計算機網絡系統設計”和“信息安全工程系統設計”等一般性課程設計,也可以進行“程序設計綜合訓練”、“信息安全系統軟件”等大型應用軟件課程設計。
(3)項目實踐。引導有特長的學生參與到系部老師在研的項目中,進行實際項目開發與工程實踐。
(4)科技創新。系部資助經費,鼓勵學生參加程序設計大賽、電子設計大賽、嵌入式系統大賽、科技創新或發明大賽、創新或創業設計大賽、撰寫學術論文等。
(5)畢業課題設計。由指導教師確定題目或結合公安實習單位相關項目,進行技術專題研究或工程設計。
(6)公安認知型實踐。主要在大一和大二的暑假,要求學生參與基層派出所工作,初步了解基層公安工作,樹立警察意識,培養警察職業的感性認識和適應能力。
(7)公安專業業務實習。大三和畢業實習中,深入了解公安業務,參與到網監部門工作,掌握警察執勤辦案程序,并結合所學計算機犯罪偵查專業,參與到實習單位項目開發中,培養獨立工作能力。
表2給出了一個計算機犯罪偵查專業的實踐教學的安排。
公安大學計算機犯罪偵查實驗室結合了公安專業特色,目前建了計算機基礎實驗室、計算機軟件工程實驗室、計算機硬件實驗室、網絡攻防實驗室、計算機犯罪偵查實驗室和信息安全實驗室。我校信息安全工程系和安全防范系合作申請部級“電子證據實驗室”,主要以我國公安、司法部門針對計算機犯罪應用的法律和技術方面相關需求為導向,開展面向電子證據取證的技術、標準、檢驗方法、取證模型等領域的研究。
公安大學計算機基礎實驗室主要完成全校計算機公共課的實驗教學。計算機軟件工程實驗室主要面向計算機犯罪偵查系專業課學習,可進行軟件工程、面向對象語言等教學實驗。計算機硬件實驗室為“數字邏輯實驗”、“微機系統與接口實驗”和“計算機組成實驗”等實驗教學服務。網絡攻防實驗室主要進行網絡攻擊與防御技術、計算機病毒原理與防治、入侵檢測等實驗教學。計算機犯罪偵查實驗室主要進行計算機犯罪偵查技術、計算機犯罪取證技術和偵控、監控技術的教學實驗。信息安全實驗室主要為現代密碼學等相關內容的教學實驗服務。在申請的“電子證據實驗室”將為學生可以提供計算機犯罪偵查和電子取證的綜合軟硬件的實驗實踐場所。
關鍵詞:信息中心;安全;原因;優化
中圖分類號:TP393.18 文獻標識碼:A 文章編號:1674-7712 (2013) 20-0000-01
學校信息中心肩負著保障整個校園計算機與校園網絡可靠運行的重任。在計算機與網絡維護的工作中,我們經常發現威脅網絡安全的風險因素,只有認清并掌握這些網絡安全問題,并及時采取防范優化策略才能保障整個校園網絡的正常運轉。
一、學校信息中心發現的主要網絡安全問題
(一)軟件漏洞帶來的安全威脅
現階段網絡信息化已經普及到各大高校,一個校園各項教學與管理任務的正常運轉要依靠各類軟件系統的支撐。例如,遼寧某大學的教師教務與學生成績的管理,圖書館的借閱圖書管理,財務部門的學生學費繳納管理,學校后勤部門的管理等等,都開始應用了系統的管理系統軟件。而類似這些軟件在開發與設計當中難免會遺留一些問題,在加上每個學校形勢每天都在變化,軟件的升級與維護工作又不能夠及時的跟進,這就讓很多病毒與木馬有大量的機會來入侵和攻擊這些校園管理系統軟件。軟件攜帶進校園網絡的病毒還具有一定的擴散性,如不加以控制將迅速蔓延至整個校園網絡。
(二)硬件設置與設備上的安全威脅
以計算機、服務器以及路由器和交換機、還有各類移動設備和網線等硬件設備等都是校園網絡系統得以運轉和實施的重要載體。這些硬件設備在設置上往往忽略了安全密碼的設置,或者設置的密碼安全等級低、還有的學校從應用這些設備以來都沒有對密碼進行過更換,一直使用設備出廠設置的最初的初始密碼。這就造成了黑客在硬件設置上找到了漏洞,將病毒通過漏洞攜帶進校園網絡。有些校園的計算機還設置了可以遠程協助等功能,黑客會通過遠程對該計算機進行控制[1]。再有,很多學校也忽視了對諸如雙絞線、光纜、服務器以及UPS電源等硬件設備的維護。例如,沒有對這些硬件設備進行防水、防火方面的保護,沒有采取恰當的抗震措施;也有的學校忽略了設備的防磁干擾防護等等。以上,都屬于硬件設置與設備維護上構成的校園網絡安全風險威脅。
(三)校園內部對網絡資源的濫用
校園網絡對于帶寬的需求已經超過了我國不斷更新的帶寬增長速度。即使千兆級的帶寬網絡被應用到校園網絡上,還是不能夠滿足廣大師生對于網絡帶寬的需求。主要是因為下載教學軟件與視頻的用戶不斷增多,甚至有些學生過分利用校園網絡資源,例如大量下載電影、電視劇等,每天大量下載任務的加劇造成了網絡資源不斷被占用,甚至會影響到正常教學管理系統任務的執行效率。而在下載過程中各類病毒也很容易入侵進校園網絡,這些校園內部網絡資源的濫用都構成了對校園網絡安全的威脅。
二、校園網絡安全問題頻發的原因
校園網絡安全問題頻發的原因是多方造成的。首先是校園管理與日常辦公軟件系統的應用越來越多,教師與學生們對郵件、網頁、游戲、博客、QQ等軟件的使用率愈來愈高,這些系統應用的頻繁都增加了網絡系統安全的風險指數。例如,常常見到的網速慢、網頁不能正常打開與關閉、計算機藍屏、系統用戶被篡改、甚至有些教學應用數據被修改等現象常有發生,極大的影響了學校教學秩序的順暢進行。其次,學校信息中心的管理者技術水平參差不齊,有的沒有接受過系統的網絡維護與病毒防范知識培訓,網絡安全意識薄弱,認為一些殺毒軟件與木馬防范程序的安裝可有可無等,這些都造成了對網絡安全維護工作的忽視,讓病毒有可乘之機,威脅校園網絡正常運轉。此外,一些黑客的技術手段也愈加高明,風險因素隨時可能爆發,病毒和木馬的不斷更新也對校園網絡安全造成了不小的威脅。
三、防范優化學校網絡安全的重要策略
(一)加強防火墻與漏洞掃描,維護軟件系統安全
校園信息中心的網絡管理人員要注意在每臺計算機上安裝IP地址檢測、病毒檢測軟件。防火墻的安裝也必不可少。特別要注重對軟件漏洞的掃描,可以利用360安全殺毒軟件或者金山毒霸軟件的漏洞掃描功能,及時查找網絡系統的漏洞并進行補丁修補。此外,要定期對計算機的內存、垃圾軟件等進行清理,讓計算機能夠高效的運行[2]。軟件登錄時注意口令與密碼的核對,注意用戶身份的認證。對于軟件系統的維護上,要注重軟件定期運行狀況的監測,及時對軟件進行升級處理[3]。如果校園應用軟件被黑客攻擊與控制,要有相應的應急補救措施。
(二)做好硬件配套設施的維護,保障硬件系統安全
學校信息中心在采購網絡設備諸如計算機、服務器、USB移動設備、路由器和交換器時,一定要注意檢查設備的質量,保障其功能與性能良好。在校園網絡應用中,也要對相應的硬件進行安全設置,密碼登記要高,盡量避免密碼等級低帶來的不安全風險。在計算機上盡量不要允許遠程控制,杜絕黑客控制。在設備的防火、防潮、防磁與防震方面也要多加注意,避免因火災、潮濕、磁干擾和震動帶來的硬件系統風險。
(三)規范校園網絡使用規定,避免網絡資源的濫用
學校應該加強網絡安全使用方面的規定,加強信息中心網絡維護人員的管理與培訓[4]。對于學生占用網絡資源進行的電影、視頻、電視劇等的下載量要進行控制,對于教學軟件與P2P軟件的帶寬的合理分配等都要進行合理的規定,對于教學軟件與QQ或者游戲的帶寬占用要以教學軟件優先,保障正常教學任務的優先進行。杜絕學生在網絡應用中對不良網站的瀏覽、強化綠色網絡環境的建設[5]。
四、結語
校園信息網絡對于各項教學與管理工作的順利進行提供著較為高效的平臺,我們在對其利用的過程中要避免資源浪費,意識到網絡安全問題的存在并積極采取防范與優化的策略,讓其更好地為廣大師生服務。
參考文獻:
[1]李俊民.網絡安全與黑客攻防寶典[M].電子工業出版社,2011:87.
[2]俞朝暉,王,趙怡程.系統防護、網絡安全與黑客攻防實用寶典[M].中國鐵道出版社,2013:35-41.
[3]劉瑩.計算機信息網絡安全技術和防范措施探析[J].中國科技博覽,2013(16):72.
[4](美)康維,著.田果,劉丹寧,譯.網絡安全體系結構[M].人民郵電出版社,2013:22-25.
【關鍵詞】計算機;網絡防御;策略;描述語言
計算機網絡安全所指的是凡是涉及網絡信息完整性、保密性、真實性、可靠性、可用性及抗抵賴性等相關技術及理論均是網絡安全要研究的領域,從本質上講網絡安全即是網絡信息安全,盡管網絡安全已經被信息社會各領域重視了,可因為計算機網絡本身就存在著一些潛在威脅因素,這就讓計算機網絡容易受到病毒、黑客、惡意軟件及其它不軌意圖行為等的攻擊,為了確保計算機網絡的安全及可靠,計算機內就需要一種較為強大的網絡防御策略來保護自身的網絡安全。
一、計算機網絡安全漏洞及攻擊分析
由于計算機網絡自身因素所造成的安全漏洞,主要有三個方面的因素,一是網絡結構不安全性,Internet是種網絡與網絡間的技術,主要有主機和自治系統所連接成的龐大網絡,在兩臺主機進行端與端通信的時候,相互傳輸的數據流一定會通過許多主機進行發送,這樣的話就給那些攻擊者帶來了便利,當他有一臺數據流傳輸中的主機,對用戶的數據包進行挾持就易如反掌了。二是TCP/IP體系間的脆弱性,在上個世紀的70年代,當美國的國防部制定有關DARPA計劃時,并沒有想到會在全球范圍內使用,因此,TCP/IP協議所考慮的網絡安全性并不是很多,而且TCP/IP協議是開放的,當有人對這個協議很熟悉的時候,就有可能運用其安全缺陷實施網絡攻擊。三是計算機用戶的安全意識較為缺乏,盡管在網絡中設置了較多的安全壁壘保護屏障,可人們的安全意識普遍不強,這些保護措施很多時候形同虛設,像用戶口令的選擇不夠謹慎,以及打開了來歷不明E-mail,這些都會給網絡帶來安全隱患,有些人為了避開有關防火墻的服務器額外認證,就會直接進行PPP連接,這樣也就避開了防火墻保護,還有些人是直接進行瀏覽器頁面的關閉,這些操作均給病毒及黑客入侵帶來了便利。現在的攻擊行為主要是運用計算機網絡自身存在缺陷或者安全配置不恰當造成了安全漏洞來實施計算機網絡攻擊的,其攻擊程度與攻擊者采用的攻擊手段及攻擊思路不同而有著不同,但這些都給計算機的網絡安全帶來了較大的隱患。
二、有關計算機網絡的防御策略描述語言
DPSL概述
計算機網絡的防御策略所指的是為了實現特定安全目標,其網絡及信息系統依據一定條件來選擇防御措施規則,進行計算機防御就需要大量措施應對各種網絡攻擊,用人工配置的方法是比較復雜、低效及易錯的,運用網絡防御策略能夠實現措施的正確、高效及自動化的部署并且能夠讓系統具有靈活性及可伸縮性的特點,這種策略具有較多的優點,已經被廣泛應用在網絡防御中了,并且是網絡防御核心,其檢測、保護及響應均是依據策略進行實施的,這種思想也被稱為PPDR模型思想,可由于這種模型的策略粒度有些太大,沒有辦法實現基于策略防御,依據這個先天不足,策略樹把防御策略表示成了目標/措施的形式,可并沒有實施機制,并且兼容性不是很好,層次也不是很清楚的問題。而計算機網絡防御策略描述語言簡稱為CNDPSL,它所面向的是計算機網絡防御策略模型(CNDPM),能夠統一地對檢測、保護及響應策略進行描述,并能夠把抽象策略細化成具體的規則,還能夠以形式化方法來驗證策略一致性、完備性及有效性。對于計算機網絡防御策略描述語言(CNDPSL)來說,它是一種聲明式的語言,對網絡防御控制行為進行了抽象,而且對網絡防御的需求具有比較好的適應性、靈活性及可擴展性,通過實驗表明,這種描述語言能夠將抽象的策略自動地轉為具體技術規則,且實現表達防御效能。在CNDPSL設計中,需要滿足下列要求,一是語法簡潔直觀,能夠抽象網絡防御控制行為,并且能夠細化成有效及可實施防御的規則。二是能夠表示訪問控制領域策略,也能夠對保密等其他保護策略進行描述,并控制響應及檢測規則配置。
2.計算機網絡防御策略模型描述
這里的防御策略模型代表是依據RBAC模型及組織機構訪問控制的模型Or-BAC,前者僅是把主體抽象成了角色,并沒有對權限給予抽象,后者則對客體、主體及動作等都給予了抽象,但它們僅是一些框架及概念,并沒有進行實際的應用防御,而CNDPM是在Or-BAC的基礎上進行了擴展,引入了措施概念,把策略及具體規則統一成了元組形式,把Or-BAC中有關規則及策略的8個謂詞進行了去除,且給出了推導規則,概念間的關系進行了簡化,把剩下的七個多元謂詞進行演變成了一個四元謂詞及九個二元謂詞,從而對應成了十種關系。同時引入了特性的定義機制,把視圖、角色及活動自動地分配給了客體、主體及動作。并將策略結構轉化為了6元組,Policey:,其表示為在組織(org)中其角色(r)能夠對視圖(v)的活動(a)上下文(c)環境中采取相應措施(m)。其具體規則結構化成了5元組,Rule:,這里所表示的是在組織(org)里主體(s)能夠對客體(o)的動作(a)運用措施(m)。
3.防御策略性質
計算機網絡防御策略性質主要包括有效性、完備性及一致性。有效性所指的是當任何策略預期風險均在可接受范圍之內時,這個策略集就能夠被稱之為有效的了。策略的有效性是依據上限值及評估函數進行決定的,當給定一個風險后,就應該選取合適策略,把威脅限制在能夠接受的范圍內。完備性所指的是任何組織及任何一個事件至少應該對應一條策略,那么稱這個策略集為完備的,它所表示的在任意攻擊事件中,都可以在策略集里找到響應及檢測策略,有些已知攻擊響應策略可能并沒有定義,依據這種情況,可在每個組織中,定義出一條缺省的策略來實現策略集完備性,這樣對于未知的攻擊就會存在著漏檢情況,僅有當未知的攻擊轉變成了已知攻擊的時候,才能進行相關檢測及響應策略擴展。當兩條策略組織及上下文相同的時候,并且視圖、角色及活動都存在交集的時候,采用了相沖突措施,像許可和禁止,這時策略集出現了不一致現象,而檢測一致性所指的是在某個策略集中,任意兩條不同策略,其組織不同、上下文不同、視圖不重疊、角色不重疊或者活動沒有重疊,那么這個策略集就是一致的。
三、CNDPSL設計及實施機制
CNDPSL是依據CNDPM模型而實現的一種策略描述語言,把計算機網絡防御策略所涉及的內容按照語言描述了出來,并給出了EBNF的范式,且通過仿真來驗證該語言是否有效,為攻防模擬的演練給予了支持。CNDPSL所需要描述的內容主要有組織機構、角色、策略、活動、視圖、定義、上下文、措施聲明、分配和繼承關系等,其中,組織結構為CNDPM模型核心的概念,并運用搜索網絡配置來設定目錄服務器同名域的建立,這些內容有效地反映了有關CNDPM的思想。在計算機攻防的模擬演練之中,人機交互命令或者CNDPSL格式策略文件,通過策略引擎及防御策略的信息庫進行交互處理,并轉化成相應CNDDL的防御命令,再通過RT1傳送至GTNetS仿真聯邦成員中,且有CNDDL解釋器把命令轉成防御動作,完成了對防御策略部署。其執行系統總體設計主要包括策略引擎及防御策略的信息庫。防御策略的信息庫主要是通過1dap來存儲策略需要的實體關系及實體信息。其引擎具體工作原理為:先對模塊進行解析,主要是通過Yacc和Lex對CNDPSL的語法、詞法及語義進行分析,并從信息庫里讀出策略描述需要的客體、主體及動作,且存入防御策略的信息庫里,接著依照模型推導規則將模塊的防御策略映射成相應規則,并由分發模塊對防御策略信息庫查找,且把規則分發到相應防御節點上,最終轉化成了CNDDL的防御命令。其中,訪問允許策略定要遞歸地在每個父組織防御節點上部署,這是由于數據包必定經過所有防火墻。
四、結束語
CNDPSL作為一種計算機防御策略描述語言,能夠在很多環境中,對計算機網絡的防御措施給予選擇,隨著新防御措施的出現,僅需要將措施集里加入相應描述就可以被策略發現及選擇了,而防御策略圖形化界面的提供,必將進一步加強計算機網絡防御的功能及可操作性。
參考文獻:
[1]楊鵬,楊帆.一種計算機網絡防御策略描述語言[J].硅谷,2011(13).
[2]吳鳳剛.計算機網絡的防御技術研究[J].中國新技術新產品,2010(11).
仲春時節,嶺南某山地,某部組織的一場對抗演練驟然打響。擔任“紅方”首攻任務的某新型履帶式步戰車分隊向目標地域急速開進。
厚厚的裝甲擋板、獨特的箱形車體,加上與山地環境渾然一體的迷彩外形,這些曾在國慶60周年首都閱兵場上亮相的新型步戰車,猶如一座座移動的“鐵甲堡壘”,成為演兵場上的新銳。
“報告指揮部,我車到達l號地域!”402車車長張東財按照車載定位系統提供的方位信息向指揮所報告。10秒后,車載指控系統的電子地圖上便收到指揮所根據“藍方”火力配系標繪出的一條安全開進路線。
通信靜默,戰車頓時如幽靈般消失在“藍方”偵測定位系統的視野中。
“裝甲再厚,也只是步戰車最基本、最原始的防護手段。要想成為馳騁現代戰場的‘鐵甲堡壘’,還必須具備信息化的防護手段。”現場指揮員、某裝甲團副團長黃小龍告訴記者,通過去年閱兵前的高強度訓練,官兵進一步挖掘出戰車運用信息技術實施規避、隱身、抗干擾的防護功能。
火網密織,馬達轟鳴。戰車分隊冒著炮火向“敵”占據的山頭悄然進發。
“402注意,你車右前側500米處有一火力點……”車載電臺傳來指揮所的通報。操作手迅速將相關數據輸入火控計算機,調炮、瞄準、裝彈……“轟!”炮彈如出鞘利劍,直刺“敵”火力點。火光沖天,目標灰飛煙滅。
而此時,與主炮呈“捆綁式”結構的小口徑機關炮也發出怒吼,“藍方”火力點前方的有生力量隨之被清除。
“在一定條件下,進攻是最有效的防御。”黃小龍告訴記者,該型步戰車與老式裝甲運兵車的最大區別在于,它不僅集多種特殊防護手段于一體,還擁有強大的火力和精確打擊體系,具備攻防自如的優越性能。
方位、風向……相關信息源源不斷地流向車載指控系統。在指揮所的引導下,“紅方”戰車分隊時而巧妙躲避“敵”火力,時而發起集群突擊……
指揮員心語:攻防結合制勝有道。攻與防,自古以來就是軍事斗爭中一對主要矛盾。然而,隨著科技的發展,攻防融為一體的趨勢在現代戰爭中日益凸顯,單純的“矛”利或“盾”堅已難以立足于現代戰場。攻中有防、防中有攻、攻防結合,才是制勝之道。有了攻防兼備的新型裝備,還必須練強攻防結合的作戰本領。在這方面,我們感到任重而道遠。
關鍵詞:計算機 網絡防御策略 模型 信息安全
前言
當今是計算機網絡信息引領發展的時代,高度信息化和便捷的網絡化給人們帶來很多方便。然而,網絡信息安全也日益引起了人們的注意,這也就促進了計算機網絡防御策略的發展不斷的與時俱進。計算機網絡防御策略是計算機進行攻防演繹的關鍵組成,并作為計算機信息對抗的不可或缺的組成。可見,計算機網絡防御策略模型在運用中的重要作用,這也是進行研究的意義所在。
1計算機網絡防御策略簡述
為了達到某個系統或者特定網絡的安全保護目的,則需要進行制定計算機網絡防御策略。制定計算機網絡防御策略,需要根據計算機信息系統及計算機的網絡環境進行防御措施的規劃。對于網絡攻擊,計算機網絡防御需要及時進行補救。計算機系統隨著所處的網絡環境的復雜性加大,計算機網絡防御策略也就愈加繁雜起來。因為人工進行防御措施的設置比較麻煩,而且效率也會很低,所以需要借助計算機做出有效的防御策略設置。
當前,進行網絡防御的關鍵與核心,是計算機的防御策略。計算機網絡防御策略是進行信息的保護以及網絡安全的維護。而且如今處于信息高速發展的時期,網絡安全事件頻頻發生。這是由于還沒構成具體的措施的實行體制,所以,迫切需要對計算機網絡防御策略進行探討。通過進行計算機網絡防御策略的模型的分析,是有效保障網絡系統的安全性和可靠性的重要舉措。
2計算機網絡安全現狀及面臨的威脅
當前計算機的安全性還是需要改進的,其主要面臨的威脅有計算機病毒、計算機系統漏洞、未授權訪問、惡意攻擊、以及管理因素帶來的問題。計算機網絡技術是一把雙刃劍,能給人們生活帶來便利的同時頻發的網絡事件對人們的工作和生活也造成了一定的負面影響。計算機的病毒是對其他服務器和用戶進行感染,通過電子郵件、文件共享、通信工具等方式實現的。計算機病毒不但影響網絡的正常運行,甚至可導致網絡癱瘓,其手段是對感染用戶大量發送垃圾信息等干擾正常使用。
未授權訪問是局域網各個信息用戶在一般情況下是可以進入的,但是不運用保密措施,則會導致一些機密信息泄密。未授權訪問出現問題,則會對信息產生不可估量的損失。做未授權訪問局域網的安全措施,可以從五個方面入手,即對重要數據進行加密;對用戶的行為進行跟蹤和審計;對口令的復雜度進行升級,使身份驗證強化;對訪問權限控制進行強化;網絡的軟硬件設備要調配好。
3計算機網絡防御策略模型
計算機網絡安全的防御策略模型的基礎,是建立在三維模型之上的。由該三維模型可以知道,計算機工程網絡安全防御策略模型是來自系統的思想、技術、方法以及網絡技術領域知識的支持。網絡安全知識防御策略模型的方法論是從其技術與思想方法的整合中來的。網絡安全防御策略的工程應用,則主要由防御策略模型、和網絡安全知識、技術這三者的融合而來。計算機網絡安全防御策略模型是用于對安全的機制及安全的對象進行分析,安全對象涉及的內容有計算機的系統安全、信息安全、網絡設備安全、數據庫安全、計算機病毒防治等一系列的安全問題。
3.1計算機網絡安全體系設計
計算機網絡安全體系的設計,是有效進行保護網絡安全的重要開端。因此,進行計算機網絡安全體系設計時,需要遵循的原則是整體性、靈活性、一致性,并進行成本平衡和方便使用的分析。整體性是指在進行網絡安全問題的思考時,需要結合系統的觀點和方法做規劃設計。最有效的保護措施,是結合更多的技術和各種方法進行信息的保護。靈活性則是要求制定安全措施的時候,也要把以后的網絡變化升級考慮進來,而且還要考慮到管理人員與計算機網絡安全管理的相協調,并方便做出改進。
一致性是指要同步考慮網絡的生命周期及安全問題,特別是要詳細分析前期的網絡建設,這樣有利于減少后期不必要的花費。而規劃設計中成本的平衡原則是分析保護信息所具有的價值,其這個價值用多少成本合適,維護費用不能超過所保護信息的價值。方便使用的規劃設計原則要求安全措施的運行不能太繁雜,這樣使得工作者難以完成計劃的措施,這樣會影響到系統的安全性。
3.2計算機網絡安全防御策略
計算機網絡安全防御策略,包括管理策略以及技術策略。安全管理措施需要人與計算機協調進行,保證計算機的安全級別,可以通過進行安全組織和管理制度的建設來實現。這也就是進行安全管理所涉及到法律措施、先進技術、高效管理這三個方面的內容。法律措施是指在已有的法律基礎上進行網絡安全管理的規范和準則,這是給犯罪分子的警示。網絡先進技術是指根據安全環境做相應的分析,對存在的風險,則可以利用先進技術對用戶信息安全做出保護。高效管理是指強化局域網內部的管理工作,對審計和跟蹤體系進行完善。
計算機網絡防御技術主要包括的內容是物理層及數據鏈路層;網絡層和計算機系統;認證、授權用戶,掃描并控制網絡這三個方面的內容。計算機網絡防御設計應遵循的原則是系統性、動態性、簡便性,而制定安全策略技術的措施是運用于計算機的網絡、操作系統、數據庫、訪問授權等方面。具體而言就是對重要數據進行加密處理,提升服務器的安全級別,檢測并清除病毒的傳播。交換機、操作系統、路由器處于網絡層中,衍生許多復雜的問題。針對可能出現的人員泄密和來自外界攻擊等問題,采取的應對措施是進行跟蹤和監測,一旦網絡有異常數據,則進行快速的操作系統補丁等應對措施。
參考文獻:
[1]熊群毓.計算機網絡防御策略模型探討[J]信息通信,2012(4).75-76.
[2]董鵬.計算機網絡防御策略模型[J]電腦編程技巧與維護,2012(10).114-115.
