序論：好文章的創(chuàng)作是一個不斷探索和完善的過程，我們?yōu)槟扑]十篇網(wǎng)絡安全專業(yè)服務范例，希望它們能助您一臂之力，提升您的閱讀品質，帶來更深刻的閱讀感受。

篇（1）

總的說來，2003年中國網(wǎng)絡安全產(chǎn)品市場發(fā)展勢頭良好，諸多因素促成了市場規(guī)模的持續(xù)增長。病毒和黑客攻擊等網(wǎng)絡安全事件的頻繁發(fā)生刺激了市場需求的再度增長，這也給了整個網(wǎng)絡安全產(chǎn)品市場一個發(fā)展的契機。

網(wǎng)絡安全產(chǎn)品主要細分產(chǎn)品包括防殺毒軟件、防火墻、入侵檢測系統(tǒng)、信息加密以及安全認證等。2003年，中國網(wǎng)絡安全產(chǎn)品市場中，防殺毒軟件和防火墻仍然占據(jù)主要市場份額，兩者合計占總市場70.7%的份額。防殺毒軟件的銷售額為6.99億元，比2002年增長2.11億元;防火墻產(chǎn)品銷售額為9.68億元，同比增長了2.41億元;入侵檢測系統(tǒng)的銷售額為2.75億元，同比增長0.51億元。由于2003年網(wǎng)絡安全病毒等事件的頻頻發(fā)生，尤其是來自網(wǎng)絡的入侵攻擊越來越嚴重，使得對于其它多樣的網(wǎng)絡安全產(chǎn)品需求再度增加，其它網(wǎng)絡安全產(chǎn)品的銷售額為4.15億元，市場份額已由2002年的9.6%增長到17.6%。

市場特點

1.網(wǎng)絡安全威脅日益嚴重，網(wǎng)絡安全市場迅速增長。2003年病毒和黑客攻擊等網(wǎng)絡安全事件頻繁發(fā)生，促使市場需求大幅增長，市場總銷售額達23.57億元，比2002年增長5.21億元，增長率達到28.4%。

2.市場日益走向成熟，國內(nèi)外廠商競爭更加激烈。2003年中國網(wǎng)絡安全產(chǎn)品市場表現(xiàn)較為突出，已經(jīng)進入快速成長并日益成熟的發(fā)展階段，市場地位不斷提高。

3.網(wǎng)絡安全整體解決方案備受關注。用戶需求發(fā)展趨勢表明，用戶迫切需要整合更多功能的網(wǎng)絡安全整體解決方案，以全面保障正常的網(wǎng)絡運行與維護，這已成為供求雙方都倍加關注的一大熱點。

4.專業(yè)安全服務日益引起高度重視。用戶的安全服務投資也已經(jīng)成為網(wǎng)絡安全整體投資的重要組成部分。服務導向也是廠商實現(xiàn)轉型的重要步驟之一。服務將成為網(wǎng)絡安全市場利潤來源的新增長點，已經(jīng)引起廠商和用戶的高度重視。

5.電子政務建設成為網(wǎng)絡安全市場的最大推動力。2003年，政府部門占網(wǎng)絡安全產(chǎn)品市場總銷售額的21.8%，占據(jù)最大份額，并呈逐步上升的趨勢。

發(fā)展趨勢與預測

預計2004～2008年，中國網(wǎng)絡安全產(chǎn)品市場將以31.7%的年均復合增長率增長，市場規(guī)模將從2003年的23.57億元增長到2008年的93.2億元。隨著市場規(guī)模的逐步擴大，預計2004年將達到增長率的最高點;自2005年開始，市場增長率將呈現(xiàn)持續(xù)緩慢的下降趨勢，從2004年的36.4%逐步下降至2008年的29.1%，市場將逐步走向成熟。賽迪顧問預測中國網(wǎng)絡安全產(chǎn)品市場發(fā)展將有以下幾個發(fā)展趨勢:

1.技術創(chuàng)新是網(wǎng)絡安全發(fā)展的主題。從整個產(chǎn)業(yè)來看，國家鼓勵科技創(chuàng)新，并且要在關鍵領域、發(fā)展前沿掌握核心技術和擁有一批自主知識產(chǎn)權，網(wǎng)絡安全產(chǎn)業(yè)就是事關國家命脈的關鍵領域之一。

2.多元化是網(wǎng)絡安全渠道發(fā)展的趨勢。2003年以來，網(wǎng)絡銷售作為一種新興的銷售模式廣受歡迎。網(wǎng)絡銷售渠道的產(chǎn)生使得渠道呈現(xiàn)多元化發(fā)展的局面，預計未來5年將持續(xù)多元化的發(fā)展局面。

3.安全整體解決方案將成為用戶的突出需求。用戶愈發(fā)認識到單純的網(wǎng)絡安全產(chǎn)品已經(jīng)不能滿足其網(wǎng)絡安全防護需求，而整體安全解決方案將成為用戶的首選，這是市場發(fā)展的大勢所趨。

4.出于解除安全后顧之憂和降低安全風險的需要，用戶不僅需要更專業(yè)化的產(chǎn)品，而且需要更專業(yè)化的服務，這包含從高端的全面安全體系到細節(jié)的技術解決措施等各方面。目前，專業(yè)提供網(wǎng)絡安全服務的廠商數(shù)量還不多，預計未來會有越來越多的廠商加入進來。

篇（2）

0 前言

政府高度重視在信息安全人才培養(yǎng)等方面的公共服務能力建設，但是，目前在信息安全專業(yè)人才實踐教學環(huán)節(jié)，缺乏能支持信息安全各專項技術的綜合實訓環(huán)境。圍繞國家加快發(fā)展現(xiàn)代服務業(yè)和提升國家信息安全保障能力的戰(zhàn)略要求，結合學校在網(wǎng)絡安全方向及實踐教學環(huán)境建設的需要，建設面向計算機網(wǎng)絡技術等相關專業(yè)的多層次、全方位、可擴展的信息安全綜合實踐教學環(huán)境，近年來，我校進行了網(wǎng)絡安全實訓室建設的實踐與探索。

1 網(wǎng)絡安全實訓室建設的目的和意義

隨著計算機網(wǎng)絡技術的發(fā)展，信息存儲容量成倍地增長，信息已經(jīng)成為客戶的重要資產(chǎn)，信息存儲成為各項業(yè)務運作的基本依賴條件和環(huán)境，任何信息的破壞和丟失，都會造成難以挽回的巨大損失，任何存儲系統(tǒng)的故障，都會嚴重影響業(yè)務的正常開展和運營。可以說，網(wǎng)絡安全技術已滲透到各個領域，其技術人才積累往往是和技術發(fā)展相輔相成的，由于安全經(jīng)驗需要時間積累的緣故，目前網(wǎng)絡安全管理人員遠遠滿足不了業(yè)務發(fā)展需求。據(jù)計算機世界資訊的相關研究報告稱，估計國內(nèi)網(wǎng)絡安全人才缺口將達到30萬人以上。

在此背景下，尤其是國家對高等教育提出了“打造精品課程”、“建設國家示范實訓基地”以及“大力開展校企合作”的要求，建設網(wǎng)絡安全實訓室，可以改善專業(yè)實驗實訓教學環(huán)境，滿足計算機網(wǎng)絡技術專業(yè)實施開發(fā)課程一體化教學需要，突出培養(yǎng)學生對應崗位能力培養(yǎng)，提升專業(yè)實驗及實訓教育水平，培養(yǎng)適應信息技術發(fā)展的高端技能型人才。

2 建設思路與建設目標

我校網(wǎng)絡安全實訓室的建設思路是：以“校企共建、企業(yè)化管理、職業(yè)化環(huán)境、服務于社會”為指導思想，適應高素質技能型專門人才培養(yǎng)的需要，依據(jù)計算機網(wǎng)絡技術專業(yè)崗位能力要求為驅動，設備性能與主流技術同步，建設具有真實職業(yè)環(huán)境，能承接加工制造業(yè)信息化服務項目，集教學、培訓、技能鑒定和技術服務等功能于一體的實訓室。

我校網(wǎng)絡安全實訓室建設目標是：在校園網(wǎng)環(huán)境下模擬完整的企業(yè)網(wǎng)環(huán)境，實現(xiàn)商業(yè)運營環(huán)境中各項業(yè)務需求的在校實訓，提供多層次、全方位及綜合化的信息安全實驗與實踐環(huán)境。一是滿足《網(wǎng)絡安全技術與實施》、《網(wǎng)絡與信息安全技術》、《網(wǎng)絡故障分析與排除》、《網(wǎng)絡操作系統(tǒng)配置與管理》等課程“教學做一體化”教學需要，使學生通過在此環(huán)境下認識整網(wǎng)的運行環(huán)境，并且進行各種設備調試，實現(xiàn)各種平臺環(huán)境下的業(yè)務需求，達到實踐能力的全面提高，職業(yè)能力和就業(yè)能力得到提升；二是提供科研開發(fā)和測試環(huán)境，服務企業(yè)；三是支持信息安全社會化培訓以及信息咨詢、方案優(yōu)化、產(chǎn)品研發(fā)與仿真測試等服務，服務地方經(jīng)濟。

3 網(wǎng)絡安全實訓室建設實施

網(wǎng)絡安全實訓室的建設實施按照作用范圍和設備的情況，分為兩個階段。第一階段是搭建基礎網(wǎng)絡結構。構建網(wǎng)絡安全基礎結構和服務器存儲基礎結構，以基礎通信網(wǎng)絡知識培訓為主要目的，在信息安全主流技術上是以網(wǎng)絡安全技術為主，實驗設備采用全球市場廣泛應用的主流通信設備，兼并實用性和先進性，同時滿足驗證性實驗、綜合性實驗、設計性實驗的不同要求。存儲功能部分主要由學生終端、存儲管理軟件客戶端、e-Bridge存儲管理軟件、存儲陣列、應用服務器五部分組成。e-Bridge存儲管理軟件將存儲陣列上的磁盤分割成為每4塊磁盤一組的磁盤組，每小組學生共用一組磁盤，在這組磁盤上學生可以對其進行配置和操作，學生小組之間互不影響。學生在實驗終端啟用存儲管理軟件客戶端，圖像化界面上進行操作。第二階段為多元化多業(yè)務實驗室階段，構建完善的認證培訓體系，服務社會，帶動教育、其它行業(yè)的信息化建設，成為學校所屬區(qū)域乃至全國信息化建設的龍頭，構建一條實驗室的價值鏈。

網(wǎng)絡安全實訓室實驗系統(tǒng)構架，分為三個層面，即基礎理論層面（教材）、子系統(tǒng)級層面（各功能模塊設備）和平臺層面（實驗軟件平臺）；縱向又分為兩個層面，功能演示層面和教學實驗層面。功能演示和教學實驗橫穿三個橫向層面，即可以針對基礎理論知識層面、子系統(tǒng)級層面以及平臺層面設計不同復雜度的系統(tǒng)功能演示和教學實驗。每個子系統(tǒng)均依照自身的特點，有針對性地選擇一個或者多個層面進行教學或培訓實驗設計，教學實驗數(shù)量要求有三至六個或者更多。

網(wǎng)絡安全實訓室共投入資金151萬，共有設備123臺套，主要設備有：二層網(wǎng)絡交換機、三層路由交換機、安全路由設備、邊緣防火墻、VPN設備、智能入侵檢測系統(tǒng)、文檔安全管理軟件、信息安全綜合實驗系統(tǒng)模塊服務器、信息安全綜合實驗系統(tǒng)模塊、OceanStor S2600I存儲系統(tǒng)、IP-SAN交換機、安全實驗管理平臺、設備控制臺、實驗管理網(wǎng)絡設備交換機、實驗管理防火墻交流主機、拓撲管理器、實驗室終端、網(wǎng)絡分析系統(tǒng)等。

4 網(wǎng)絡安全實訓室建設成效

在建設過程中，與思科網(wǎng)絡公司、北京神州祥升科技有限公司等企業(yè)合作，搭建了真實的小型企業(yè)網(wǎng)環(huán)境，體現(xiàn)了“校中廠”的理念，同時選擇使用率高、起點高、能體現(xiàn)現(xiàn)代網(wǎng)絡安全環(huán)境的先進設備，使學生在學習過程中不知不覺中地積累到最先進的網(wǎng)絡安全經(jīng)驗。

網(wǎng)絡安全實訓室，能夠開設數(shù)據(jù)網(wǎng)絡類、網(wǎng)絡安全類、應用類、存儲類、網(wǎng)絡故障分析與排除類等5種類型的實訓。能滿足48人同時分組實訓，提高學生動手實踐能力和就業(yè)能力 。近年來該專業(yè)的學生在全國職業(yè)院校技能大賽、山東省職業(yè)院校技能大賽綜合布線技術競賽項目中取得了優(yōu)異成績。承辦了2013年山東省物聯(lián)網(wǎng)應用技能大賽。

該實訓室在承擔課程實訓、綜合實訓以外，還承擔了科研、企業(yè)培訓、認證培訓及考試，突出了專業(yè)技術輸出能力，提升了專業(yè)團隊的行業(yè)美譽度。計算機網(wǎng)絡技術專業(yè)依托該實訓室立項了“山東省信息化戰(zhàn)略專項研究課題”等8項省級科研課題，獲得了1項山東省計算機應用優(yōu)秀成果獎一等獎，申報了12項國家專利。舉辦了一期山東省高等職業(yè)院校教師省級培訓，組織了兩期山東省高職院校物聯(lián)網(wǎng)應用技術培訓，來自全省高職院校的197名師生參加了學習。與企業(yè)合作申報了3個國培項目，開發(fā)了兩個專業(yè)培訓包。9所省內(nèi)外職業(yè)院校來校學習專業(yè)建設經(jīng)驗。

5 結束語

近幾年，我們通過建設網(wǎng)絡安全實訓室，并充分發(fā)揮其實訓教學、技術應用研發(fā)、技能培訓與社會服務等方面的能，計算機網(wǎng)絡專業(yè)辦學水平和辦學競爭力的得到了提升。

篇（3）

2醫(yī)院信息化建設過程中網(wǎng)絡安全的防護對策分析

2.1構建科學的網(wǎng)絡安全管理制度

要想充分保證當前醫(yī)院網(wǎng)絡環(huán)境的穩(wěn)定健康運行，醫(yī)院必須制定出科學的網(wǎng)絡安全規(guī)章管理制度。醫(yī)院應當結合自身的實際情況，采取科學的使用方法和合理的管理制度，例如機房安全管理制度、醫(yī)療資源數(shù)據(jù)存儲備份制度、網(wǎng)絡運行維護制度、醫(yī)療信息系統(tǒng)操作使用制度等，并且醫(yī)院應當逐步培養(yǎng)工作人員的網(wǎng)絡安全意識，從而保證醫(yī)院網(wǎng)絡安全能夠有據(jù)可依、有章可循。此外，醫(yī)院還可以成立網(wǎng)絡安全應急小組，當發(fā)生網(wǎng)絡安全事件問題時小組應當根據(jù)事件的嚴重程度采取措施。如果出現(xiàn)災難時應當在第一時間內(nèi)對網(wǎng)絡安全進行恢復，并且盡可能將醫(yī)院的社會影響、故障損失及網(wǎng)絡中斷時間降到最低，同時形成長效的問題整改機制。除此之外，醫(yī)院還應當對所有的網(wǎng)絡使用人員進行定期的考核，確保所有的工作人員能夠完全勝任其所屬的崗位職責。

2.2采取科學的網(wǎng)絡安全管理措施

醫(yī)院應當在充分結合自身發(fā)展實際情況的基礎上，實施科學正確的網(wǎng)絡安全管理措施，從而保證整個網(wǎng)絡信息系統(tǒng)能夠安全、高效、正常地運行。第一，為了進一步保證醫(yī)院網(wǎng)絡系統(tǒng)服務器能夠高效、穩(wěn)定可靠地運行，應當采取雙機熱備、雙機容錯等解決措施；第二，對于一些十分關鍵的設備，建議通過UPS進行主機設備供電，這能夠在保證電壓穩(wěn)定的同時，有效避免發(fā)生突發(fā)事件；第三，網(wǎng)絡架構設計方面，應當將主干網(wǎng)絡鏈路也構建成冗余模式，一旦主干網(wǎng)絡中發(fā)生線路故障時，則可以通過冗余線路保證網(wǎng)絡信息數(shù)據(jù)依然能夠得到正常的傳輸；第四，物理隔離措施同樣是不可缺少的一種安全防護措施，醫(yī)院專業(yè)的工作人員應當將網(wǎng)絡外網(wǎng)和業(yè)務內(nèi)網(wǎng)進行物理分離處理，從而防止發(fā)生互聯(lián)網(wǎng)和醫(yī)療業(yè)務網(wǎng)絡出現(xiàn)混搭的現(xiàn)象，這能夠從根本上避免受到互聯(lián)網(wǎng)因素的影響導致醫(yī)療業(yè)務數(shù)據(jù)發(fā)生外泄，還可避免非法用戶借助外部網(wǎng)絡進入醫(yī)院信息系統(tǒng)和服務器實施一系列非法操作；第五，針對醫(yī)療業(yè)務信息安全，醫(yī)院應當構建出系統(tǒng)和數(shù)據(jù)備份容災體系，從而保障發(fā)生機房災難和存儲設備損壞時能夠在短時間內(nèi)快速恢復信息系統(tǒng)的正常運行；第六，采取權限分級管理的措施，避免修改數(shù)據(jù)以及越權訪問等現(xiàn)象的發(fā)生，還能夠對部分關鍵數(shù)據(jù)信息進行跟蹤預警等。

2.3實施科學合理的技術手段

醫(yī)院網(wǎng)絡安全防范的對策較為繁多，在技術手段方面的對策應當變得多層次、多元化，從被動防護過渡到主動防御層面上來。第一，由于醫(yī)院的網(wǎng)絡架構是外網(wǎng)和內(nèi)網(wǎng)隔離的，內(nèi)網(wǎng)的網(wǎng)絡安全需求更為高級，其應當安裝一些強大的殺毒軟件，同時還應當構建管理控制中心，以此來進行危險項修復、病毒庫更新、病毒查殺、漏洞修復、全網(wǎng)體驗等；第二，在醫(yī)院的外網(wǎng)和內(nèi)網(wǎng)之間構建出防火墻網(wǎng)關，從而將一些非法服務和不安全的服務過濾出去，對網(wǎng)絡訪問進行適當?shù)南拗?，還能夠在一定程度上探測及預警網(wǎng)絡的攻擊行為，避免出現(xiàn)潛在的、不可預測的惡意入侵現(xiàn)象；第三，要想有效彌補防火墻存在的漏洞，醫(yī)院還應當采取專業(yè)化的入侵檢測系統(tǒng)部署措施，將多個關鍵點分散在網(wǎng)絡中，通過對審計數(shù)據(jù)、安全日志及行為或其他網(wǎng)絡來檢測所獲取的各方面信息，并且從其中發(fā)現(xiàn)系統(tǒng)或網(wǎng)絡中是否存在被攻擊的現(xiàn)象或有違背網(wǎng)絡安全的行為；第四，醫(yī)院在信息化建設過程中，專業(yè)的技術人員還應當通過安全掃描技術，全面掃描網(wǎng)絡中的網(wǎng)絡服務和可能潛在的安全漏洞；第五，構建云安全管理平臺。通常來說，通過虛擬化平臺能實現(xiàn)網(wǎng)絡安全的集中式管理，如終端保護方案、事件管理（SIEM）、數(shù)據(jù)防丟失（DLP）等，從而為醫(yī)院提供出相關的云服務功能，通過虛擬化的手段來壓縮醫(yī)院網(wǎng)絡維護成本，并且能夠對醫(yī)院內(nèi)部網(wǎng)絡安全問題進行有效解決。例如，利用VMwarevSphere5與病毒廠商的結合，從而對服務器進行全方位的檢測，這能夠動態(tài)識別網(wǎng)絡通信及對虛擬架構配置更改問題，同時還能夠對用戶中的未授權操作進行阻止，并且給在不會對系統(tǒng)安全運行產(chǎn)生影響的前提下防止Oday攻擊等行為。

篇（4）

目前,很多學校的網(wǎng)絡管理者都不是由具備相關專業(yè)知識的人員擔任,網(wǎng)絡安全防范意識淡薄,而且學校也未構建正確、完善的網(wǎng)絡安全策略和安全機制來規(guī)范網(wǎng)絡管理者的工作行為,如系統(tǒng)未定期更新修復漏洞、服務系統(tǒng)密碼沒有定期修改,導致校園網(wǎng)絡常常留有大量漏洞,使其更容易被木馬病毒侵入、破壞,甚至還可能被網(wǎng)絡相關人員利用從事一些非法工作。另一方面,有不少學校師生自身的安全防范意識淡薄,對日常用的電腦沒有采取足夠的安全防范措施,一旦感染木馬病毒可以迅速移植、傳播,造成資料丟失、損壞,甚至導致整個校園網(wǎng)絡癱瘓。

2校園網(wǎng)絡安全防范基本思路

本文上面論述了校園網(wǎng)絡安全經(jīng)常遇見的一些威脅因素,它們主要都是通過利用校園網(wǎng)絡自身的漏洞,或者網(wǎng)絡安全管理不規(guī)范來達到攻擊、破壞校園網(wǎng)絡的目的。因此,為了給學校師生構建一個安全、高效的網(wǎng)絡環(huán)境,應采取的主要手段是構建一套科學、完善的校園網(wǎng)絡安全防范體系,而校園網(wǎng)絡安全防范體系建立是一項非常復雜的系統(tǒng)工程,其涵蓋的內(nèi)容非常繁雜。筆者認為構建校園網(wǎng)絡安全防范體系的基本思路是:一方面,采用相關技術手段來改進、提升校園網(wǎng)絡自身的防御功能,如防火墻技術、加密技術、隔離技術、身份認證等技術手段都對防止非法侵入系統(tǒng)具有良好的作用,其中,防火墻這一技術手段已被廣泛運用在校園網(wǎng)絡安全建設中;另一方面,改進網(wǎng)絡安全管理機制,需制定一套完整、科學、規(guī)范的校園網(wǎng)絡管理制度,規(guī)范網(wǎng)絡管理人員的工作行為,并聘用具有網(wǎng)絡安全管理專業(yè)技能的人員來對校園網(wǎng)絡建設進行指導、管理?？傊?加強校園網(wǎng)絡安全防范不僅需要依靠相關安全設備和技術手段,特別是還需要制定一套正確、全面的安全管理制度來指導校園網(wǎng)絡建設,以提高網(wǎng)絡安全防范意識,只有在加強技術管理的基礎上,才能綜合提升校園網(wǎng)絡的安全性。

篇（5）

中圖分類號：G424 文獻標識碼：A

0 引言

隨著網(wǎng)絡信息產(chǎn)業(yè)的快速發(fā)展，網(wǎng)絡安全成為亟需解決的問題，我院為了培養(yǎng)應用型本科人才，在網(wǎng)絡通信專業(yè)培養(yǎng)計劃中設置了網(wǎng)絡安全實驗這門選修課，因為開設時間較短，教學過程還處于探索階段。網(wǎng)絡安全實驗教學這門課無論在掌握計算機學科理論，還是鍛煉學生在實際工作生活中解決應用問題的能力方面，都起到了十分重要的作用。因為是實驗課程，所以在教學過程中，比較重視實踐操作過程。網(wǎng)絡安全實驗課程的內(nèi)容比較集中在P2DR模型中說涉及的網(wǎng)絡安全防御、檢測、響應三大領域，以滿足在現(xiàn)實工作中所遇到的不同網(wǎng)絡安全問題。因此，本文從實驗項目的選擇，實驗平臺的建立，以及實驗教學方法等上對網(wǎng)絡安全實驗教學進行探索。

1 實驗平臺搭建

首先是虛擬機技術在實驗中的使用，網(wǎng)絡安全實驗中的實驗具有一定的破壞性，所以我們采用了虛擬機來進行實驗，在網(wǎng)絡安全實驗中，需要模擬網(wǎng)絡攻擊，使學生掌握怎樣防御的同時，也了解攻擊技術。所以在實驗中我們首先安排了Vmware虛擬機的安裝與配置。在虛擬機中我們安裝windowsserver2003服務器版操作系統(tǒng)，并且配置開啟相關服務。

因為硬件條件有限，所以我們的大量實驗還只能在虛擬機上進行，但為了使學生身臨其境的感受網(wǎng)絡安全技術，我們在綜合實訓中還是建立了基礎的網(wǎng)絡攻防實驗環(huán)境。

2 實驗項目設計

在我國，高校是培養(yǎng)網(wǎng)絡安全人才的核心力量。網(wǎng)絡攻擊與防護是網(wǎng)絡安全的核心內(nèi)容，也是國內(nèi)外各個高校信息安全相關專業(yè)的重點教學內(nèi)容。所以在實驗項目設計上我們體現(xiàn)了實用性為主的觀念，要在實驗中更多的體現(xiàn)未來學生畢業(yè)后，會遇到的網(wǎng)絡安全問題。所以設置了以下實驗：

（1）安裝Vmware虛擬機，并配置完整的網(wǎng)絡環(huán)境。配置完善win2003server虛擬環(huán)境，為以后的實驗搭建平臺，習和掌握Vmware虛擬機的安裝與配置，以建立網(wǎng)絡攻防平臺。

（2）加密原理與技術，利用不同技術進行加密。了解和掌握各種加密方法，以實現(xiàn)信息加密。學習和掌握密碼技術，利用密碼技術對計算機系統(tǒng)的各種數(shù)據(jù)信息進行加密保護實驗，實現(xiàn)網(wǎng)絡安全中的數(shù)據(jù)信息保密。

（3）PPPoE的網(wǎng)絡通信原理及應用。學習和掌握基于PAP/CHAP的PPPOE的身份認證方法。學習和掌握利用身份認證技術對計算機和網(wǎng)絡系統(tǒng)的各種資源進行身份認證保護實驗，實現(xiàn)網(wǎng)絡安全中的信息鑒別。

（4）掌握Windows系統(tǒng)中基于PPTV VPN的功能、配置與使用操作。學習和掌握如何利用防火墻技術對網(wǎng)絡通信中的傳輸數(shù)據(jù)進行鑒別和控制實驗。

（5）學習掌握Windows系統(tǒng)中NAT防火墻的功能、配置與使用操作。學習和掌握網(wǎng)絡通信中的合法用戶數(shù)據(jù)信息的傳輸，以實現(xiàn)網(wǎng)絡安全中的保密性、鑒別性和完整。

（6）學習和掌握Superscan掃描工具對計算機進行端口掃描的方法，操作應用。學習和掌握各種網(wǎng)絡安全掃描技術和操作，并能有效運用網(wǎng)絡掃描工具進行網(wǎng)絡安全分析、有效避免網(wǎng)絡攻擊行為。

（7）學習和掌握如何利用Wireshark進行網(wǎng)絡安全監(jiān)測與分析。學習各種網(wǎng)絡監(jiān)聽技術的操作實驗，能利用網(wǎng)絡監(jiān)聽工具進行分析、診斷、測試網(wǎng)絡安全性的能力。

（8）學習和掌握Snort網(wǎng)絡入侵監(jiān)測系統(tǒng)的安裝、配置和操作。學習和掌握Snort入侵檢測系統(tǒng)的基本原理、操作與應用實驗。

3 綜合實訓

為了讓學生能適應真實的網(wǎng)絡環(huán)境，使之更貼近應用型人才的培養(yǎng)方案，最后我們設計了綜合實訓這個環(huán)節(jié)，讓學生在網(wǎng)絡通信系統(tǒng)中綜合運用各種網(wǎng)絡安全技術，設計一個整體的網(wǎng)絡安全系統(tǒng)。分析公司網(wǎng)絡需求，綜合運用網(wǎng)絡安全技術構建公司網(wǎng)絡的安全系統(tǒng)。通過一個實際網(wǎng)絡通信系統(tǒng)中的綜合運用，實現(xiàn)整體系統(tǒng)的有效設計和部署。

學生分組進行實訓，分為防御組與攻擊組，為了充分利用實驗資源讓防御組的同學在局域網(wǎng)環(huán)境下搭建服務器靶機，并讓防御組的同學配置VPN、NAT防火墻的技術并搭建SNORT入侵檢測系統(tǒng)。攻擊組同學操作學生終端嘗試攻擊服務器靶機，使用ARP欺騙等技術。防御組的學生使用Wireshark網(wǎng)絡監(jiān)聽查看ARP欺騙源地址，并解決該威脅。

4 結論

隨著網(wǎng)絡技術的發(fā)展，網(wǎng)絡安全成為重中之重，為了培養(yǎng)本科應用型人才，實踐證明實驗必須貼近真實存在的案例才能提高學生的實際網(wǎng)絡攻防水平，使學生掌握網(wǎng)絡安全的新技術，而使用綜合實訓這種方式，更是提高了學生的參與積極性，使教學質量進一步提升。

參考文獻

篇（6）

計算機網(wǎng)絡涉及計算機技術和通訊技術兩大領域,自20世紀60年代末期美國軍方建立起ARPANET網(wǎng)后,基于此的Internet網(wǎng)絡快速發(fā)展,其應用逐漸擴大到世界范圍的各行各業(yè)。在近十年里,Internet得到了迅猛的發(fā)展,在商業(yè)上取得了巨大的成功。Internet已逐步由過去單純的數(shù)據(jù)載體,發(fā)展為支持數(shù)據(jù)、語音、視頻等多種信息的多媒體信息和通訊平臺。Internet的快速發(fā)展、網(wǎng)絡的普及使得網(wǎng)絡工程專業(yè)人才的需求倍增,各大高校相繼設立了網(wǎng)絡工程專業(yè)。

網(wǎng)絡安全是網(wǎng)絡工程中的一個重要環(huán)節(jié),因此,在網(wǎng)絡工程專業(yè)中設置網(wǎng)絡安全的相關課程是非常必要的。

1.網(wǎng)絡帶來的安全問題

Internet的開放性和其他方面的因素導致了網(wǎng)絡環(huán)境下的計算機系統(tǒng)存在很多安全問題。為了解決這些安全問題,各種安全機制、策略和工具被研究和應用。然而,在使用了現(xiàn)有的安全工具和機制的情況下,網(wǎng)絡的安全仍然存在很大隱患和問題,這些安全隱患和問題主要為以下幾點。

(1)每一種安全機制都有一定的應用范圍和應用環(huán)境。

防火墻是一種有效的安全工具,它可以隱蔽內(nèi)部網(wǎng)絡結構,限制外部網(wǎng)絡到內(nèi)部網(wǎng)絡的訪問。但是對于內(nèi)部網(wǎng)絡之間的訪問,防火墻往往是無能為力的。因此,對于內(nèi)部網(wǎng)絡到內(nèi)部網(wǎng)絡之間的入侵行為和內(nèi)外勾結的入侵行為,防火墻是很難發(fā)覺和防范的。

(2)安全工具的使用受到人為因素的影響。

一個安全工具能不能實現(xiàn)期望的效果,在很大程度上取決于使用者,包括系統(tǒng)管理者和普通用戶,不正當?shù)脑O置就會產(chǎn)生不安全因素。例如,NT在進行合理的設置后可以達到C2級的安全性,但很少有人能夠對NT本身的安全策略進行合理的設置。雖然使用者可以通過靜態(tài)掃描工具來檢測系統(tǒng)是否進行了合理的設置,但是這些掃描工具基本上只是基于一種缺省的系統(tǒng)安全策略進行比較,針對具體的應用環(huán)境和專門的應用需求很難判斷設置的正確性。

(3)系統(tǒng)的后門是傳統(tǒng)安全工具難以考慮到的地方。

防火墻很難考慮到這類安全問題,多數(shù)情況下,這類入侵行為可以堂而皇之地經(jīng)過防火墻而很難被察覺。比如說,ASP源碼問題,這個問題在IIS服務器4.0以前一直存在。它是IIS服務的設計者留下的一個后門,任何人都可以使用瀏覽器從網(wǎng)絡上方便地調出ASP程序的源碼,從而收集系統(tǒng)信息,進而對系統(tǒng)進行攻擊。對于這類入侵行為,防火墻是無法發(fā)覺的,因為對于防火墻來說,該入侵行為的訪問過程和正常的Web訪問是相似的,唯一的區(qū)別是入侵訪問在請求鏈接中多加了一個后綴。

(4)黑客的攻擊手段在不斷地更新,幾乎每天都有不同的系統(tǒng)安全問題出現(xiàn)。

安全工具的更新速度太慢,絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題,這就使得安全工具總是對新出現(xiàn)的安全問題反應慢。當安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時,其它的安全問題又出現(xiàn)了。因此,黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。

2.網(wǎng)絡安全專業(yè)課程設置

很多高校認識到了網(wǎng)絡安全的重要性,所以在網(wǎng)絡工程專業(yè)的課程設置上面均考慮了對于網(wǎng)絡安全方面專業(yè)課程教學要求。但是由于各方面的原因,在實際教學當中,根據(jù)不完全統(tǒng)計,96.84%的高校針對于網(wǎng)絡工程專業(yè)的網(wǎng)絡安全方面課程設置一般僅僅安排了《信息安全概論》或者《網(wǎng)絡安全技術概論》等課程,并且理論遠遠大于實踐,完全不能滿足實際網(wǎng)絡安全方面的需要。

正是由于網(wǎng)絡自身安全問題,入侵事件數(shù)量持續(xù)上漲,黑客成為引起網(wǎng)絡安全問題最為重要的因素。黑客(hacker)是指一個喜歡用智力通過創(chuàng)造性方法來挑戰(zhàn)腦力極限的人,特別是他們所感興趣的領域,例如電腦編程或電器工程?！昂诳汀弊钤缭醋杂⑽膆acker,早期在美國的電腦界該詞是帶有褒義的。但在媒體報導中,“黑客”一詞往往指那些“軟件駭客”(software cracker)?！昂诳汀币辉~原指熱心于計算機技術,水平高超的電腦專家,尤其是程序設計人員。但到了今天,它已被用于泛指那些專門利用電腦網(wǎng)絡搞破壞或惡作劇的家伙。對這些人的正確英文叫法是Cracker,有人翻譯成“駭客”。現(xiàn)在計算機專業(yè)一些大學生認為成為一名黑客是一件極富于挑戰(zhàn)并且令他們?yōu)橹院赖氖虑?。尤其現(xiàn)在網(wǎng)絡上流傳著各種各樣的黑客免費軟件,使得他們能夠入侵某些國內(nèi)外的網(wǎng)站或者通過系統(tǒng)漏洞安裝一些木馬,成功獲得某些權限,或者直接在校園網(wǎng)內(nèi)部進行攻擊,這樣能夠證明自己的能力或者驗證某項技術。

在這樣一種背景下,網(wǎng)絡安全專業(yè)課程的設置既要滿足學生學習的需求,符合社會對于網(wǎng)絡工程中網(wǎng)絡安全的需求,又要盡可能保證用戶正常使用網(wǎng)絡。這是因為很多學生在學習和驗證過程中,對網(wǎng)絡和其他用戶進行有意或者無意識的破壞,導致了不良的后果。同時學生的一知半解對于網(wǎng)絡的危害性更大,因為他們在實踐過程中有時候并不清楚會造成什么樣的后果,結果會帶來意想不到的麻煩。

因此,對于網(wǎng)絡安全課程的設置,設置哪些課程,如何設置,如何將教學和實踐很好地統(tǒng)一在一起,并且保證現(xiàn)有網(wǎng)絡資源安全,是一個很重要的問題。

3.網(wǎng)絡安全專業(yè)課程設置計劃

網(wǎng)絡安全專業(yè)課程一般來說包括以下一些課程:信息安全數(shù)學基礎、密碼與編碼學、信息安全概論、網(wǎng)絡攻防技術、計算機病毒原理及其防治、網(wǎng)絡安全協(xié)議、數(shù)字鑒別與認證機制、防火墻與入侵檢測技術、電子商務安全、網(wǎng)絡安全體系結構等。

很多人認為以上大部分課程應該是屬于信息安全專業(yè)所開設的課程,但是目前信息安全專業(yè)在很多高校中并沒有開設。因為教育部對這方面是嚴格控制的,現(xiàn)在開設信息安全專業(yè)本科的高校不多,到目前為止,全國只有70多所高校開設了這一專業(yè),武漢大學是第一個開設信息安全專業(yè)的,但至今也僅僅只有8年的時間。目前安全方面的專家遠遠不能滿足人才市場和實際工作中的需要,因此各高校網(wǎng)絡工程專業(yè)對于此類課程的開設而且是必要的。網(wǎng)絡工程師不僅需要對整體網(wǎng)絡構架、設置等方面進行考慮,而且對于網(wǎng)絡安全的考慮是必不可少的,沒有安全保障的網(wǎng)絡系統(tǒng)是危險的。因此,一個網(wǎng)絡工程師不僅是精通網(wǎng)絡安全方面的專家,而且是了解網(wǎng)絡安全法律法規(guī)的專家。

網(wǎng)絡工程專業(yè)在網(wǎng)絡安全專業(yè)課程設置之上當然不能和信息安全專業(yè)相提并論,但是在課程開設的過程中,各高?？梢杂羞x擇、有針對性地設置一些網(wǎng)絡安全方面的課程。我國于1994年2月18日出臺《中華人民共和國計算機信息系統(tǒng)安全保護條例》,于1996年2月1日出臺《中華人民共和國計算機信息網(wǎng)絡國際互聯(lián)網(wǎng)管理暫行辦法》;公安部于1996年1月29日頒發(fā)《關于對與國際互聯(lián)網(wǎng)的計算機信息系統(tǒng)進行備案工作的通知》,于1997年12月30日頒發(fā)《計算機信息網(wǎng)絡國際互聯(lián)網(wǎng)安全保護管理辦法》,對于這些內(nèi)容各高校可以以講座的形式進行開設,加強學生在網(wǎng)絡安全法律方面的意識。下表為我校網(wǎng)絡安全專業(yè)課程設置簡表。

這樣的設置可以使得網(wǎng)絡安全課程有一個持續(xù)的學習和研究過程,而不是只開設一門課程讓學生僅僅了解而已。

4.網(wǎng)絡安全專業(yè)課程實踐環(huán)節(jié)

在講授理論課程時,如果沒有配備適合的實驗教學,高校就不能保障學科的正常教學研究。網(wǎng)絡安全專業(yè)課程最為重要的就是實踐環(huán)節(jié),僅僅有理論只是紙上談兵,不能使學生從真正意義上了解網(wǎng)絡安全中一系列的專業(yè)技術。但是在教學過程中,網(wǎng)絡安全方面的實驗有可能造成網(wǎng)絡環(huán)境的混亂,擾亂正常的教學秩序。

在實踐環(huán)節(jié),教師在講授理論課程的基礎上還要配以實驗教學,保障學科的正常教學研究。教師應使學生具有一定的工程實踐能力,能將理論和實踐形成有機的統(tǒng)一體,使學生具有解決實際問題的能力,能完成相應的畢業(yè)設計、課程設計和創(chuàng)新課題,等等。網(wǎng)絡實踐環(huán)節(jié)可以使教師在網(wǎng)絡安全的教學和科研方面得到提高。由于網(wǎng)絡安全這方面的知識是需要終身學習的,特別是反病毒這一塊,更新較快,可能很多教師都不如學生,因此,教師應不斷學習,把握網(wǎng)絡安全方面的最新知識,這樣才能及時將最前沿的知識傳授給學生,以達到較好的教學效果。

高校網(wǎng)絡安全實驗室的設置最好是單獨的實驗室,自身為一個局域網(wǎng),并且最好不要連在校園網(wǎng)上或者Internet上。在實驗室中,教師可以每組安排3-6臺學生機,1個防火墻,1個入侵檢測設備,共用1個服務器。在進行網(wǎng)絡安全實驗的時候,對于操作系統(tǒng)、應用軟件系統(tǒng)和網(wǎng)絡協(xié)議本身都要考慮到它們的安全性,所以教師可以讓學生從頭開始,一項一項地進行試驗。教師可以讓學生下載各種漏洞的補丁進行安裝,加固各種系統(tǒng),保障安全,然后讓學生在局域網(wǎng)的范圍內(nèi)以小組為單位進行攻防實驗。同時教師還可以進行一些病毒實驗,讓學生根據(jù)資料編寫一些小的病毒,也可以讓學生從網(wǎng)上下載一些病毒進行試驗。在課堂實踐的過程中,教師要加強對學生與國家計算機安全相關的法律、法規(guī)、政策、條例等方面的教育,使學生避免有意或者無意的計算機犯罪,以免給國家網(wǎng)絡安全造成危害。這種獨立實驗室不會影響正常的其他教學內(nèi)容,可保證其他教學內(nèi)容的正常開展。

網(wǎng)絡工程專業(yè)中網(wǎng)絡安全課程的開設,要求教師不僅在教學上盡可能地深入,而且在理論與實踐結合的實踐中使學生在保障網(wǎng)絡安全的同時減少了對網(wǎng)絡的危害。教師不僅要在教學上對學生嚴格要求,而且要在法律法規(guī)上對學生進行規(guī)范,避免學生進行網(wǎng)絡犯罪。

參考文獻:

篇（7）

在當今社會中，如何做好信息網(wǎng)絡安全工作是值得進行深入研究與探討的課題。如今的網(wǎng)絡發(fā)展速度不斷加快，信息相互融合的程度也在不斷加深，網(wǎng)絡給通信企業(yè)的工作帶來便利的同時，也存在著一些難以避免的問題。安全上的漏洞給通信企業(yè)的發(fā)展帶來了不利因素，需要及時解決，這樣才有保持通信企業(yè)良好發(fā)展的可能。

一、通信企業(yè)中信息網(wǎng)絡安全的現(xiàn)狀

在通信企業(yè)目前發(fā)展中，對信息網(wǎng)絡的安全性要求越來越高，由于通信企業(yè)對網(wǎng)絡的依賴程度日漸加深，保障信息網(wǎng)絡的安全性就顯得尤為重要。通信企業(yè)在內(nèi)部通常建立了與自身發(fā)展相適應的信息網(wǎng)絡安全機制，并加大了對信息網(wǎng)絡安全的維護力度。在通信企業(yè)中，大多應用了相關維護安全性能的系統(tǒng)，如防火墻、日志分析系統(tǒng)、防病毒軟件等。根據(jù)自身發(fā)展要求投入了大量的資源，并進一步完善對信息網(wǎng)絡安全工作，這是符合發(fā)展要求的舉措。但在一定程度上，還無法完全避免通信企業(yè)受到信息網(wǎng)絡安全的影響，這就需要通信企業(yè)進一步作出相應維護措施。

二、做好通信企業(yè)信息網(wǎng)絡安全工作的方案

1、提高企業(yè)領導的重視程度。在通信企業(yè)中，加強信息網(wǎng)絡安全工作與企業(yè)領導的重視息息相關，企業(yè)領導對信息網(wǎng)絡安全工作重要性有了足夠的認識，就會相應地加大對這項工作的投入力度。這樣為做好信息網(wǎng)絡安全工作提供了有利的發(fā)展條件，使這一工作有了充足的資金保障，同時，企業(yè)領導的重視也會促進各部門工作相互協(xié)調，提高工作效率。加強信息網(wǎng)絡安全時，在無形中加大相關工作人員的工作強度，容易使工作人員產(chǎn)生抵觸排斥的心理，根據(jù)這一情況，企業(yè)領導更需加以重視，為企業(yè)整個工作的順利開展提供有利的保障。由此看來，只有在企業(yè)領導足夠重視的情況下，才能夠更好地為企業(yè)提供良好的發(fā)展平臺。為通信企業(yè)做好信息網(wǎng)絡安全工作打下堅實的基礎。2、加強學習交流。由于互聯(lián)網(wǎng)的普及，信息網(wǎng)絡安全層面的技術在日益完善，技術水平不斷提高，相應的技術知識日新月異。因此，加強學習交流，保障技術的先進性是做好網(wǎng)絡信息安全工作的前提。通過與其它企業(yè)進行技術上的交流互換，完善發(fā)展體制，不斷更新維護信息安全的技術，提出相應的解決措施，才能將通信企業(yè)的信息網(wǎng)絡安全工作做好。3、專業(yè)化網(wǎng)絡安全人員的配備。在網(wǎng)絡安全工作中，通信企業(yè)還存在著兼職人員擔任網(wǎng)絡安全員職位的現(xiàn)象。這對于維護通信企業(yè)的信息網(wǎng)絡安全是不利的，由于兼職人員在網(wǎng)絡維護的專業(yè)性上跟不上時展的需求，在許多專業(yè)問題上還不能很好地進行處理，因此造成了通信企業(yè)網(wǎng)絡安全工作存在問題的局面。針對這一實際問題，需要在維護網(wǎng)絡安全工作中，應用專業(yè)化的技術人才，以最大程度保障通信企業(yè)網(wǎng)絡安全。4、大力完善技術保護手段。一方面，技術保護手段的完善是推動通信企業(yè)網(wǎng)絡安全工作的關鍵因素。要做好通信企業(yè)信息系統(tǒng)之間的安全隔離措施，在應用系統(tǒng)所在的服務器中，只對外開放相應指定的服務端口。另一方面，需加強對網(wǎng)絡邊界的管理，具體舉措如在網(wǎng)絡邊界上設置防火墻等。防火墻可以有效地保障網(wǎng)絡邊界的安全，為防止病毒等不良因素的入侵做好預防工作。防火墻的配備同樣需合理化，要避免產(chǎn)生不良情況，如開通不必要的服務。同時，國產(chǎn)設備應廣泛應用于與網(wǎng)絡相連接的安全設備中。

三、通信企業(yè)信息網(wǎng)絡安全工作發(fā)展趨勢

1、網(wǎng)絡安全工作復雜化。網(wǎng)絡信息技術將會持續(xù)發(fā)展，這就促使網(wǎng)絡安全工作復雜化。威脅網(wǎng)絡安全的因素不斷更新，新病毒的出現(xiàn)、網(wǎng)絡黑客的攻擊技術提高等使維護網(wǎng)絡安全工作的難度不斷增加。同時隨著網(wǎng)絡應用的范圍越來越廣，所涉及到的相關工作日漸增多，也是網(wǎng)絡安全工作難度增加的一個重要因素。

2、網(wǎng)絡安全工作規(guī)范化。隨著網(wǎng)絡安全工作的逐步深入，網(wǎng)絡安全工作勢必將規(guī)范化。同時，在通信企業(yè)中，做好信息網(wǎng)絡安全工作是重要的工作之一，因此，網(wǎng)絡安全工作的規(guī)范化程度將日益加深。

結語：隨著通信企業(yè)對信息網(wǎng)絡安全工作的要求進一步提高，維護信息網(wǎng)絡安全的重要性日漸突出。網(wǎng)絡技術逐漸普及到社會的各行各業(yè)，對于自身網(wǎng)絡安全性的保障是日常工作中不可缺少的任務與目標。在通信企業(yè)中，做好信息網(wǎng)絡安全工作是必要的工作之一，這對于維護企業(yè)的利益、樹立良好的企業(yè)形象、維護社會的安全與穩(wěn)定都有著重要的意義。

參 考 文 獻

篇（8）

關鍵詞：Open Source；網(wǎng)絡安全；實驗

中圖分類號：G642 文獻標識碼：B

1引言

2007年11月在武漢大學召開的“第一屆中國信息安全學科建設與人才培養(yǎng)研討會”上，教育部信息安全專業(yè)指導委員會初步提交了“信息安全類專業(yè)指導性專業(yè)規(guī)范”，在該規(guī)范中，不僅制定了信息安全專業(yè)畢業(yè)生規(guī)格和信息安全專業(yè)知識體系，而且創(chuàng)造性地提出了信息安全專業(yè)實踐能力體系，強調了信息安全專業(yè)畢業(yè)生應具備的實踐能力。信息安全決不是書本上空洞的理論和抽象的安全策略，要使學生真正掌握好信息安全技術，需要大量的實踐環(huán)節(jié)加以理解、掌握和應用。

文獻[1]中提出了利用Open Source技術實現(xiàn)網(wǎng)絡安全課程中的實驗教學，設計了8個實驗專題FTP協(xié)議分析、HTTP協(xié)議分析、IPsec VPN實驗、PKI及SSL實驗、SMTP和POP3協(xié)議分析實驗、TCP協(xié)議分析實驗、端口掃描實驗、網(wǎng)絡安全掃描實驗，用來加強教學過程中的技術專題實驗，增強教學效果。

但筆者認為文獻[1]中設計的實驗專題遠不能滿足“網(wǎng)絡安全”課程的教學需要，而且很多是利用嗅探工具進行協(xié)議分析的實驗。筆者在文獻[1]的基礎上又設計了幾個“網(wǎng)絡安全技術”實驗專題，介紹了實驗內(nèi)容，并詳細描述了每個實驗的平臺構建、設計了實驗項目。

2實驗內(nèi)容

本文所設計的網(wǎng)絡安全實驗由三個實驗專題組成，實驗的內(nèi)容以及需要的開放源代碼軟件、所需要的硬件由表1所示。

3實驗設計

下面按照信息安全專業(yè)的培養(yǎng)計劃，結合“網(wǎng)絡安全技術”課程對以上實驗項目的原理、實驗平臺搭建、設計的實驗項目進行討論。

3.1網(wǎng)絡層及傳輸層firewall實驗

開放源代碼組織在創(chuàng)建防火墻軟件方面已經(jīng)做得很優(yōu)秀，而且這些軟件對任何規(guī)模的網(wǎng)絡都很理想[2]。本文中將以IPtables軟件為例來說明防火墻實驗的設計。IPtables能在網(wǎng)絡層和傳輸層進行包過濾，并能進行網(wǎng)絡地址翻譯（NAT）和端口重定向。

為了使firewall實現(xiàn)包過濾、NAT以及端口重定向等功能，搭建如圖1所示的網(wǎng)絡實驗環(huán)境。在該環(huán)境中只需要1臺用于運行IPtables防火墻的Linux主機，三臺Windows主機分別連接到防火墻主機的三塊網(wǎng)卡（NIC）上，用來表示Internet區(qū)域、DMZ和私有網(wǎng)絡。為了滿足實驗的要求，在這三臺Windows主機上必須安裝的一些軟件如各種服務器軟件并加以配置使其正確運行。

在以上的實驗環(huán)境中，設計滿足如下網(wǎng)絡安全要求的防火墻實驗：

a) 允許網(wǎng)絡接口eth1、eth2相連接的LAN1和LAN2之間相互通信。

b) 從LAN1、LAN2發(fā)往internet的數(shù)據(jù)包被偽裝成IP地址210.45.157.254。

d) 來自internet的主機不能訪問1023以下的LAN1和LAN2中的內(nèi)部端口。

c) LAN1和LAN2的任何主機可以使用internet中的任何服務（Web，E-mail，F(xiàn)tp等）。

e) 拒絕從防火墻的internet接口（eth0）進行的欺騙攻擊（即黑客把防火墻作為默認網(wǎng)關，偽裝成內(nèi)部網(wǎng)IP，進入內(nèi)部網(wǎng)絡），并進行日志記錄。

f) 拒絕全部從eth0進入的ICMP通信。

g) 允許internet中的主機訪問LAN1中的DNS服務、WEB服務、FTP服務，其它服務如telnet等禁止。

通過該實驗可以讓學生掌握通過防火墻實現(xiàn)包過濾、網(wǎng)絡地址翻譯（NAT）和端口轉發(fā)等網(wǎng)絡安全技術的原理。另外也可使學生掌握IPtables的防火墻規(guī)則編寫方法、IPtables中的表和鏈的概念，防火墻在網(wǎng)絡系統(tǒng)中的部署、安裝、配置和測試方法等，為以后真正使用防火墻來保護網(wǎng)絡奠定堅實的基礎。

3.2應用層firewall實驗

服務器防火墻的原理是所有內(nèi)部主機的請求都發(fā)送到服務器，由服務器發(fā)送Internet請求，當響應的包達到時，服務器將其發(fā)送到發(fā)出初始請求的內(nèi)部主機上。

使用應用層防火墻即服務器是另一種創(chuàng)建網(wǎng)絡邊界的方法，并能用更具體的方式過濾通信，通過增加規(guī)則過濾網(wǎng)頁內(nèi)容，可以過濾掉地址中包含某些單詞的Web頁請求。另外還有降低帶寬成本，提高網(wǎng)絡性能，實現(xiàn)負載平衡的優(yōu)點[2]。

本實驗項目利用Squid Web緩存服務器來實現(xiàn)。圖2是實現(xiàn)該實驗項目的平臺。

在以上的實驗環(huán)境中，設計滿足如下要求的實驗：

a)Windows Client通過Squid服務器訪問www服務器或ftp服務器。

b) 設置規(guī)則（如關鍵詞）進行URL的內(nèi)容過濾。

c) 在squid.conf中定義ACL（訪問控制列表）用于源IP地址、IP地址范圍，目標IP地址、IP地址范圍進行訪問時的允許或拒絕。

d) 實現(xiàn)認證，即對使用服務器的客戶端進行Username/Password身份認證。

通過該實驗還可以讓學生真正了解包過濾防火墻與服務器的區(qū)別，包過濾防火墻工作在網(wǎng)絡層和傳輸層，而服務器工作在應用層。教師可指導學生通過嗅探工具（如sniffer）或查看www服務器的訪問日志來驗證它們之間的區(qū)別。

3.3入侵檢測實驗

Snort是用C語言編寫的開源的、跨平臺、輕量級的網(wǎng)絡入侵檢測軟件。從入侵檢測分類上來看，Snort是一個基于網(wǎng)絡和誤用（misuse detection）的入侵檢測系統(tǒng)。Snort采用基于規(guī)則的網(wǎng)絡信息搜索機制，對數(shù)據(jù)包進行內(nèi)容模式匹配，從中發(fā)現(xiàn)入侵和探測行為。它與基于異常檢測(anomaly detection)的IDS比較缺點是不能檢測到新的攻擊行為。通過Snort入侵檢測系統(tǒng)的安裝，配置和管理，可加強學生對入侵檢測系統(tǒng)原理的理解。實驗平臺架構如圖3所示。

在圖3中的Linux+snort是作為入侵檢測系統(tǒng)部署的，目的是在廣播式的網(wǎng)絡中捕獲數(shù)據(jù)包并進行入侵檢測，也可將圖3中的HUB換成switch，但該交換機要具有端口流量鏡像功能。Windows client作為攻擊者主機，www/ftp/mail server作為被攻擊主機。

設計如下入侵檢測實驗：

a) 以守護進程運行snort IDS。

b) 深入了解snort IDS規(guī)則庫，并測試一種新的攻擊snort IDS能否檢測到，然后將新的攻擊特征增加到規(guī)則庫中再進行測試。

c) 安裝配置用于保存入侵警報信息的數(shù)據(jù)庫管理系統(tǒng)，可選擇MySQL或postgreSQL。

d) 配置snort.conf文件，使Snort真正成為一個網(wǎng)絡入侵檢測系統(tǒng)來運行。

e) 安裝配置入侵檢測控制臺ACID，用于對snort IDS的行為進行管理與監(jiān)控。

4總結及展望

本文在文獻[1]的基礎上設計了有關網(wǎng)絡安全技術的實驗，由于這些實驗都是基于Open Source軟件的，通過源代碼學生可以更加清楚地了解這些安全技術的原理、核心和實現(xiàn)細節(jié)，同時也可以在開源代碼的基礎上進行二次開發(fā)和修改。

未來的工作有兩點：一是設計更多的基于Open Source的信息安全實驗，例如Linux系統(tǒng)安全強化實驗、一次性密碼（OTP）實驗OPIE、網(wǎng)絡認證Kerberos等。二是如何將所有這些信息安全實驗集成在一起，建成一個所謂的“基于Open source的信息安全綜合實驗系統(tǒng)”。

篇（9）

中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2010) 11-0000-01

Strengthening the Safety Management of Changqing Oil Field

Chang Zekun

(Communications Department of Changqing Oil Field Company,Xi'an710021,China)

Abstract:The rapid development of network technology to people's lives has brought great changes,but it also brings a lot of risks.This article discusses the risk of computer in Changqing Oil Field,and thinks about how to ensure network security,and proposed preventive measures.

Keywords:Network security;Threat;Management

隨著長慶油田未上市部分網(wǎng)絡改造項目的完成,長慶油田形成了核心萬兆互聯(lián),廣域網(wǎng)雙2.5G互聯(lián),接入單位雙千兆上聯(lián),網(wǎng)絡吞吐能力得到很大提升,隨之而來網(wǎng)絡安全風險加大,對油田網(wǎng)絡安全運行造成的影響變大。網(wǎng)絡安全是一項系統(tǒng)的工程,涉及技術、管理、使用等許多方面,網(wǎng)絡安全技術與工具是網(wǎng)絡安全的基礎,高水平的網(wǎng)絡安全技術隊伍是網(wǎng)絡安全的保證,嚴格的管理則是網(wǎng)絡安全的關鍵。

一、影響計算機網(wǎng)絡安全的主要因素

長慶油田公司主干網(wǎng)絡建成后接入單位帶寬達到千兆,單機網(wǎng)絡帶寬達到百兆以上,個人計算機性能提高很快,加之廣域網(wǎng)帶寬提高20倍以上,單臺計算機對網(wǎng)絡沖擊流量達到100M級,發(fā)包速度達到10萬PPS以上甚至幾十萬PPS導致骨干網(wǎng)絡流量增大,發(fā)生網(wǎng)絡攻擊行為會影響骨干網(wǎng)絡穩(wěn)定運行同時隨著現(xiàn)在BT、迅雷、在線視頻的P2P應用的廣泛使用,網(wǎng)絡流量增大影響到正常網(wǎng)絡應用的使用。

由于設計的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮,網(wǎng)絡系統(tǒng)在穩(wěn)定性和可擴充性方面存在問題;文件服務器和網(wǎng)卡用工作站選配不當導致網(wǎng)絡不穩(wěn)定,網(wǎng)絡硬件的配置不協(xié)調;許多站點在防火墻配置上無意識地擴大了訪問權限,忽視了這些權限可能會被其他人員濫用;訪問控制配置的復雜性,容易導致配置錯誤,從而給他人以可乘之機;管理制度不健全,網(wǎng)絡管理、維護任其自然。

二、確保計算機網(wǎng)絡安全的防范措施

(一)建立入網(wǎng)訪問功能模塊

訪問控制的目的是保證網(wǎng)絡資源不被末授權地訪問和使用。資源訪問控制通常采用網(wǎng)絡資源短陣來定義用戶對資源的訪問權限;對于信息資源,還可以直接利用各種系統(tǒng)(如數(shù)據(jù)庫管理系統(tǒng))內(nèi)在的訪問控制能力,為不同的用戶定義不同的訪問權限,有利于信息的有序控制。同樣,設備的使用也屬于訪問控制的范疇。因此,網(wǎng)絡中心,尤其是主機房應當加強管理,嚴禁外人進入。對于跨網(wǎng)的訪問控制,簽證(visas)和防火墻是企業(yè)信息化網(wǎng)絡建設中可選擇的較好技術。

(二)數(shù)據(jù)加密。加密指改變數(shù)據(jù)的表現(xiàn)形式。加密的目的是只讓特定的人能解讀密文,對一般人而言,其即使獲得了密文,也不解其義。加密旨在對第三者保密,如果信息由源點直達目的地,在傳遞過程中不會被任何人接觸到,則無需加密。Internet是一個開放的系統(tǒng),穿梭于其中的數(shù)據(jù)可能被任何人隨意攔截,因此,將數(shù)據(jù)加密后再傳送是進行秘密通信的最有效的方法。

(三)建立網(wǎng)絡服務器安全設置模塊。大中型企業(yè)的網(wǎng)絡相對比較完善,服務器的功能也比較強大,這就需要有非常專業(yè)的技術來對網(wǎng)絡加以保護,防火墻技術就是其中之一。經(jīng)濟條件較好、網(wǎng)絡比較完善的大中型企業(yè),對網(wǎng)絡安全的要求應該是高標準的,現(xiàn)在很多企業(yè)都采用比較完善的專業(yè)防火墻網(wǎng)絡安全技術。目前,為大中型企業(yè)設計的防火墻都是一種硬件結合軟件的架構。一般這種防火墻由一套硬件設備結合一些各種功能的模塊軟件,比如防病毒、日志、入侵檢測軟件等組成的。專業(yè)防火墻的網(wǎng)絡拓撲圖(見圖1)。

(四)建立完善的備份及恢復機制。應當安裝一套能與網(wǎng)絡操作系統(tǒng)很好配合的網(wǎng)絡備份系統(tǒng),并且既能備份文件服務器,也能備份客戶機。一個好的基于網(wǎng)絡的備份系統(tǒng)還應允許備份和恢復安全信息,如用戶名、口令及文件訪問權限等。若打算使用現(xiàn)有備份設備,就要確保它們能夠從網(wǎng)絡驅動器上備份數(shù)據(jù)。這些設備還應能容納全部網(wǎng)絡數(shù)據(jù)。盡管不必備份網(wǎng)絡軟件,但從磁帶中恢復要比重新安裝并重新進行設置這些軟件容易得多。

三、安全管理效果

通過采用以上的安全防范措施,可降低骨干網(wǎng)絡受到網(wǎng)絡病毒和攻擊的影響程度,通過對西安公網(wǎng)出口P2P下載的流量監(jiān)管測試,10.78網(wǎng)段限制P2P,10.59網(wǎng)段未限制同一個時段的流量情況如下圖,限制P2P流量帶寬后明顯10.78網(wǎng)段流量減少而10.59網(wǎng)段流量未發(fā)生變化(見圖2)。

參考文獻:

篇（10）

一、概述

隨著網(wǎng)絡在企業(yè)生產(chǎn)經(jīng)營中應用越來越廣、越來越深，企業(yè)網(wǎng)絡安全的問題也日益凸顯。來自企業(yè)網(wǎng)外部和內(nèi)部的攻擊無時不刻都在威脅著企業(yè)網(wǎng)絡的安全，也成了每一位網(wǎng)絡管理人員都需要面臨的考驗。如何建立一個完整的企業(yè)網(wǎng)絡安全解決方案，減少因網(wǎng)絡攻擊和病毒引發(fā)的生產(chǎn)經(jīng)營數(shù)據(jù)的丟失和外泄引發(fā)的損失，本文將進行一個淺顯的探討。

二、網(wǎng)絡安全的基礎——網(wǎng)絡設計

網(wǎng)絡的設計與建設，是構建一個安全網(wǎng)絡的基礎。合理的網(wǎng)絡構架設計將為未來網(wǎng)絡安全的設計與構建節(jié)省一大部分開銷，這些開銷包括了設計、成本和系統(tǒng)的效率等。因此，在構建一個網(wǎng)絡的初期，就必須將網(wǎng)絡系統(tǒng)的安全作為設計的基本要素，考慮到整個系統(tǒng)中。一個大型的企業(yè)，如在地域上分部較為集中，其內(nèi)網(wǎng)為了增大運行保險系數(shù)，一般主干采用雙環(huán)網(wǎng)的網(wǎng)絡構架。這種網(wǎng)絡在一路主用線纜引故障停止時會自動切換到備用環(huán)上，當然，根據(jù)具體的系統(tǒng)配置的不同，雙環(huán)網(wǎng)正常工作時又會被分為雙路負載分擔型和雙路數(shù)據(jù)同步型等類型，在這里就不詳細介紹了。一個企業(yè)如在地域上較為分散，下屬有多家子公司且這些子公司又擁有自己的網(wǎng)絡的情況下，最好采用以樹形或星型網(wǎng)絡結構為主的復合型網(wǎng)絡設計。這種設計使得各網(wǎng)絡層次的訪問控制權限一目了然，便于內(nèi)部網(wǎng)絡的控制。

一個大型企業(yè)的網(wǎng)絡在內(nèi)部又會被分為許多特定的區(qū)域——普通的辦公區(qū)，財務銷售的核心業(yè)務區(qū)，應用服務器工作區(qū)，網(wǎng)絡管理維護區(qū)，多方網(wǎng)絡互聯(lián)區(qū)域，VPN連接區(qū)等多個功能區(qū)域。其中普通的辦公區(qū)有時是與財務銷售類的業(yè)務區(qū)合并在一起的，但是，如果公司還涉及特殊業(yè)務的時候應當將這兩個區(qū)域分開，甚至為其單獨建立一套網(wǎng)絡系統(tǒng)以增強其安全保密性。應用服務器區(qū)域一般承載著企業(yè)辦公、生產(chǎn)等主要業(yè)務，因此在安全上其級別應當是最高的。一般對這一區(qū)域進行安全設置時最好將除所用端口以外的所有其他端口全部封鎖，以避免多余端口通信造成的安全威脅。有條件的網(wǎng)絡用戶或對安全要求比較高的用戶可以在不同的網(wǎng)絡之間配置防火墻，使其對網(wǎng)絡的訪問進行更好的控制或者將不同的網(wǎng)絡直接進行物理隔離，以完全絕斷不同網(wǎng)絡之間的互訪。在網(wǎng)絡中中有許多服務器，比如病毒服務器、郵件服務器等，有同時被內(nèi)網(wǎng)及外網(wǎng)訪問的需求，應當為這些有外網(wǎng)需求的服務器考慮設置DMZ區(qū)域。DMZ區(qū)域的安全級別較普通用戶區(qū)高，即便得到訪問授權的用戶，其對DMZ區(qū)域的訪問也是有限制的，只有管理人員才可以對這一區(qū)域的服務器進行完全的訪問與控制。

三、終端的安全防護

病毒、木馬無論通過何種途徑傳播，其最終都是感染終端為目的的，無論這個終端是指的服務器還是普通用戶的終端，因此，對各類終端的安全防護可以說是網(wǎng)絡安全構建的關鍵。對終端的安全防護可以分為兩套系統(tǒng)；一種為硬件的防火墻類，一般由管理人員進行專業(yè)操作處理的防護系統(tǒng)，包括了反垃圾郵件系統(tǒng)、用戶上網(wǎng)行為監(jiān)控管理系統(tǒng)、網(wǎng)站防篡改系統(tǒng)等專業(yè)(服務器)終端防護系統(tǒng)；另一種為軟件類的防火墻、殺毒軟件及其他安裝于各個用戶終端由用戶或管理人員進行操作管理的防護系統(tǒng)?，F(xiàn)在多數(shù)的網(wǎng)絡安全防護系統(tǒng)多由這兩種類型的防護系統(tǒng)復合而成。這種復合式的系統(tǒng)所取得的效果在很大程度上依賴于終端用戶的計算機水平及殺毒軟件服務提供商的反應能力和軟件更新能力，總之，這種方式是比較偏重于“被動防守”的一種防護措施。

現(xiàn)在有廠商提供了一種協(xié)調系統(tǒng)，使用這種系統(tǒng)能讓以上所述的復合安全系統(tǒng)能夠在網(wǎng)絡管理員的干涉下實現(xiàn)主動的管理。這套系統(tǒng)一般在用戶終端安裝一個客戶端，開機時，客戶端自動判定本終端的安全狀態(tài)并與安全服務器取得聯(lián)系，當終端被判定正常時，終端可進行正常權限的網(wǎng)絡訪問；當終端被判定為非正常(威脅)時，此終端可根據(jù)預先堤定的安全策略，斷絕與普通局域網(wǎng)的連接，只能與特定的服務器如病毒服務器等進行連接以解決問題。網(wǎng)絡管理員可以通過這套系統(tǒng)實時監(jiān)查每個終端的進程與數(shù)據(jù)狀態(tài)，并通過管理終端對客戶端進行控制，以解決安全威脅。此類系統(tǒng)的應用將所有用戶的終端都納入了系統(tǒng)管理員的控制下，以系統(tǒng)管理員專業(yè)化的技術知識實現(xiàn)對整個系統(tǒng)的監(jiān)管與維護，能夠在很大程度上減少威脅并提高系統(tǒng)的安全性和網(wǎng)絡效率。

四、終端用戶的規(guī)范