网络安全主动防护
网络安全主动防护范文第1篇
关键词:主动防护;网络安全;网络欺骗;入侵防御
【中图分类号】 TP306 【文献标识码】 A 【文章编号】1671-8437(2012)02-0013-02
一、引言
网络信息安全保障是一项复杂的系统工程,是安全策略、多种技术、管理方法和人们安全素质的综合。现代的网络安全问题处于动态变化之中,要保障网络系统的安全,必须建立具有相应防御策略的网络安全防御体系。在综合型的网络安全防御模型中,多方位、多角度的纵深防御思想得到了充分体现,而主动防护系统在其中扮演了重要角色。
二、传统信息安全防护系统的弱点
传统信息安全防护方法,包括访问控制、防火墙、入侵检测系统(IDS)、虚拟专用网络(VPN)等,都是通过静态的规则阻挡攻击者,防御系统只能被动地接受攻击者的攻击,攻击者不会受到任何损失;而攻击者却完全主动地选择目标,通过系统信息收集和弱点挖掘,针对静态目标系统中最薄弱的环节强行攻击。这种情况下,传统防御系统恰处于“人为刀俎,我为鱼肉”的尴尬境地,其脆弱性一览无遗,导致近年来信息安全形势非但没有改善,反而日益恶化。
三、主动式网络安全防护系统
主动防护系统是一种综合性的网络安全防护体系,借鉴ISS的自适应网络安全模型P2DR和CISCO的网络动态安全轮模型,在传统网路安全防御技术的基础上建立。该系统应能实现:通过扫描网络漏洞,主动对网络可能遭受的威胁进行预先评估;用硬件NIDS主动、实时、高效地检测流经网络的数据包并及时响应;借助密罐,主动设置诱骗以保护网络上的机密信息。与传统防护系统相比,网络诱骗和主动式的入侵防御是主动防护系统中最具特点的两个重要环节。
四、网络诱骗系统
网络诱骗技术就是在网络中设计一个严格控制的欺骗环境,诱骗可疑入侵者重定向到该环境中,保护实际运行的系统,同时收集入侵信息,借以观察入侵者的行为,记录其活动,用以分析入侵者的水平、目的、所用工具、入侵手段等,待确定入侵者身份后,对其进行分别处理。同时在对可疑者进行分析的过程中,若网络服务质量急剧下降,则可通过特殊机制保持重要应用的网络服务质量。
1.网络诱骗系统的体系结构
网络诱骗系统由决策、诱导、欺骗、分析等模块组成,如图1所示。决策模块实时地监听各种事件,包括入侵检测系统的报警信号,普通网络访问事件等。决策模块将监听到的事件与欺骗、诱导信息库中的记录进行比较,若目的地址在被保护的范围内,则根据欺骗、诱导策略决定如何进行诱导或欺骗。诱导模块将攻击者的连接转向蜜罐系统,欺骗模块则由欺骗主机或欺骗网络生成虚假信息发送给攻击者,使其得不到正确的网络资料。系统所作的欺骗和诱导事件都记录到日志中,由分析模块进行分析,调整欺骗和诱导策略。
图1 网络诱骗系统的体系结构示意图
2.网络诱骗系统
网络欺骗系统有多种实现方式,目前得到实际应用的有欺骗主机和欺骗网络。欺骗主机有一个很好听的专用名称“蜜罐”(Honeypot),欺骗网络则被称为“陷阱”(Honeynet)。
(1)蜜罐系统
所谓蜜罐,主要是指建立一个虚拟的环境,上面装有模拟或真实的操作系统和应用程序,并故意留有各种弱点或漏洞,引诱黑客进行攻击,从而监视、学习并分析其攻击行为,进而提高自己系统或网络的安全系数。蜜罐工作于一种理想状态,即所有到蜜罐的通信都是允许的。蜜罐一般就是一台主机,通过在其中安装操作系统和相关配置,或运行一些仿真软件对硬件进行模拟建立多个虚拟操作系统,甚至模拟出一个小型网络,来实现其功能。
(2)陷阱网络
蜜罐物理上是一台单独的机器,可能会运行多个虚拟操作系统,但由于数据包是直接进入网络的,它不能控制外发的连接。因此,为了限制外发的数据包就必须使用防火墙,形成陷阱网络。陷阱网络有多个蜜罐主机、路由器、防火墙、IDS、审计系统等组成,一般需要实现蜜罐系统、数据控制系统、数据捕获系统、数据记录、数据分析、数据管理等功能。
五、主动式入侵防御系统
网络主动防护系统的特点不仅包括通过网络欺骗转移入侵者的攻击目标,更重要的是实现入侵追踪,以及在发现入侵后采取相应措施保护系统、分析入侵行为,甚至实施反击。而在网络欺骗系统中,入侵检测也是不可缺少的一个重要部分,它监听到的事件是欺骗决策模块的判断依据,它捕获的数据是入侵者留下的证据。下面将从入侵检测系统的不足之处谈起,对主动式网络防护系统中的入侵防御系统做一番窥视。
1.入侵检测系统(IDS)简析
入侵检测( Intrusion Detection) ,是指从计算机网络系统中的若干关键点收集信息,并分析这些信息,发现网络中是否有违反安全策略的行为和遭到攻击的迹象。入侵检测概念的提出依赖于两个假设: ①用户和程序的活动是可以观察的。例如:系统审计机制。②正常活动和入侵活动有截然不同的行为。不正常的活动被标志为入侵。
2.入侵防御系统(IPS)
由于入侵检测系统存在误报率高,不能采取积极有效的主动防御措施等缺点,人们提出入侵防御系统( Intrusion Prevention System, IPS)的解决方案。IPS是一种主动防御的解决方案,它可以阻止由防火墙漏掉的或IDS只能检测而不能处理的安全事件,减少因安全事件而受到的损失,增强系统和网络的性能。
入侵防御系统目前还没有一个统一完善的定义,有一种定义是:入侵防御系统( IPS)为任何能够检测已知和未知攻击,并且在没有人为的干预下能够自动阻止攻击的硬件或软件设备,是一个能够对入侵进行检测和响应的“主动防御”系统。
网络安全主动防护范文第2篇
如今,高性能计算已经无所不在,在社会的各个领域发挥着重大作用。高性能计算应用分为两类,一类是在电子政务、教育信息化、企业信息化广泛应用的信息服务; 一类用于石油物探、分子材料研究、航天国防等领域的科学计算,但无论哪种应用,都离不开安全的保障。
一方面,内部安全是HPC安全的主要问题,内部攻击和内部人员的误用造成70%的安全问题; 另一方面,对外需要加强访问控制、非法入侵、安全过滤等边界安全。与此同时高性能计算也给用户提供有可视化应用,要求系统能够作为可视化用的图形服务器。另外,用户还有海量存储和后备磁带库等灾难容错需求。
高性能计算是一个综合系统,涉及网络系统、主机系统两个层次。网络系统的模型是一个分层次的拓扑结构,通常采用五层模型; 主机系统也可以分为两个层次: 操作系统、应用服务。因此高性能计算的安全防护也需采用分层次的拓扑防护措施。即一个完整的高性能计算安全解决方案应该覆盖网络与主机的各个层次,并且与安全管理相结合。
如何保护系统和数据
作为最基本的应用,防火墙可以用于实现对网络不同安全区域的隔离。防火墙可以将办公局域网、HPC计算网、HPC用户接口与不安全的互联网隔离成几个逻辑区域,在保证局域网内的客户端访问互联网和HPC用户接口、以及互联网用户访问HPC用户接口的同时,限制互联网与HPC计算网之间的访问,达到可控访问的目的。
使用防火墙的必要性
虽然通过禁用主机上的没用的或者不安全的服务,或者安装个人防火墙,可以实现防火墙的包过滤等功能,然而,毕竟这是由主机自身提供的防护,一旦主机系统已经被侵入,上述的防护措施均可以被入侵者修改。
而采用专用防火墙则可以降低系统被入侵后造成的部分侵害,例如入侵者如果打开了主机上某些被禁止的端口,由于防火墙并未开放该端口,因此入侵者仍然不可以使用该端口进行内外网之间的通信,因而也就在一定程度上防止了内部资源或数据的外泄。
另外使用专用防火墙还可以有效地降低安全管理的工作强度,提高系统安全的可管理性。
防火墙为高性能机群提供了基本的安全防范,然而防火墙只能提供被动的、静态的保护,所提供的安全级别较低,如果与网络入侵检测系统(NIDS)配合,则可以提供动态的安全防护,提高HPC机群的安全等级。拿曙光专用防火墙来说可以从以下几个方面来保护高性能机群系统的安全。
访问控制 访问控制功能可以通过加密认证来限制外网用户对防火墙内部的机群系统的访问,没有得到密钥的用户无法进入机群系统,能保持很高的安全性。
安全过滤 安全过滤模块能在防火墙内外网数据交互的时候对其进行深度包过滤检测。若是有不安全因素包括在数据中,防火墙可以通过检测定义对其过滤。
抗攻击 专用防火墙具有的抗攻击能力,能适应各种险恶的网络环境,保证内部机群系统不因为防火墙的抵抗能力差而无法保持正常工作。
流量带宽管理 防火墙的带宽管理可以让用户随意调整网络的带宽流量; 流量计费功能可以帮助用户实现网络流量计费,流量监控等功能。
防止非法入侵 入侵检测系统可以让系统对受到的攻击设有完备的记录功能,检测到危险信息时,系统可以根据管理员的设置断开连接,实现入侵主动防护。
利用VPN保护数据安全传输
高性能计算机群多数都是用于科学研究,因此其原始资料、计算结果等都属于安全敏感数据,因为这些敏感数据在局域网、互联网这样的不安全网络中传输极易被窃取、篡改,因此在设计高性能计算机群的安全问题时,数据传输的安全问题也必须要考虑。
出于数据传输安全的考虑,利用防火墙的VPN功能,能使互联网用户和局域网用户到HPC用户接口之间实现安全的通信隧道,通过加密、认证、数字签名等保证数据的安全性、完整性。比如,曙光防火墙的VPN的密钥管理系统,使用IKE协议进行会话密钥的自动协商,所有的VPN连接隔一段时间会自动地更换密钥。IKE协议使用共享密钥进行认证,将管理的复杂程度有所降低。
四级防护保HPC安全
防火墙被部署于局域网与互联网、或局域网中某个特定区域到局域网的接口上,为局域网或局域网中的特定区域提供了安全保护。
第一级防护: 网络安全
防火墙可以通过对网络数据包的过滤和访问控制,将访问限制在网络被允许的主机(IP地址)和应用服务(端口),从而极大地缩小所需管理的安全范围,然而对于对被允许的主机和应用的攻击就无能为力了,因为这些攻击会伪装成对这些合法主机和应用服务的访问,从而骗过防火墙,进入到受防火墙保护的区域之内。
因此对于安全要求较高的局域网、或者局域网中部署有关键应用的,应该在使用防火墙保护的基础上,采用入侵检测系统提高相关区域的安全防护水平。
网络入侵检测系统(NIDS)监视网络流量,通过侦听特定网段的数据包,实现对该网段实时监视可疑连接、发现非法访问的闯入等,防范对网络层至应用层的恶意攻击和误操作。通过与防火墙联动,实现针对网络的入侵的安全防护。
第二级防护: 主机系统安全
主机入侵检测系统(HIDS)监视主机系统的状态,实现针对主机入侵的安全防护。防范对系统文件的恶意纂改和误操作,实时监视可疑连接、定期检查系统日志,扫描用户行为,发现非法访问的闯入等。
虽然网络入侵检测可以对各种应用服务,如Web、SMTP、POP3等提供保护,然而这些更多是对网络数据包的检查,而防御手段通常会滞后于攻击手段的发展,因此也就存在着由于这种滞后而造成网络防御的突破。受保护网络被侵入的表现就是网络中的某台主机接受了未被授权的访问,并成为攻击的中转站。而入侵者通常需要对被攻破的系统进行修改,掩藏自己并使之进一步对网络中其他的主机发动攻击,这些行为是网络入侵检测系统无法解决的,但这正是主机入侵检测系统所能检测和保护的,因此主机入侵检测系统可以很好地弥补网络入侵检测系统的盲区,二者形成互补。
通过互为补充的网络入侵检测系统和主机入侵检测系统对绕过防火墙的攻击行为进行细粒度的检测和防御,两者协调工作实现从网络到主机的全面防护。
第三级防护: 数据安全
数据安全除了数据的存储安全、备份安全手段之外,还存在数据传输安全,它可以利用防火墙的VPN功能,实现互联网用户和局域网用户到HPC用户接口之间实现安全的通信隧道,通过加密、认证、数字签名等方法保证数据传输的安全性、完整性。
网络安全主动防护范文第3篇
目前,医院计算机网络安全管理是网络研究者的一项重要课题,通常是指网络通信的安全、传输数据的安全两部分组成。医院计算机网络安全面临的威胁概括为几个方面。
(1)医院计算机网络病毒威胁。计算机病毒始终是计算机系统安全的一个无法根除的威胁,破坏操作系统和应用软件。尤其是在网络环境下,病毒传播速度快,辐射范围广,更加难以彻底根除,一旦病毒侵入计算机网络系统,就会导致网络利用率大幅下降,系统资源遭到严重破坏,也可能造成网络系统整个瘫痪。
(2)医院计算机网络应用程序漏洞。现今,网络上使用的应用软件或者是系统软件总是存在各种各样的技术漏洞,并不是非常完美和安全。这些漏洞正是“黑客”等利用各种技术进行攻击的薄弱部位。
(3)医院计算机网络管理漏洞。只有对网络上存储、传输的数据信息进行严格管理,才能确保网络安全。但是大部分的企业在管理方面都做得不够好,根本不重视网络信息的安全保护,也没有投入一定的物力、人力以及财力来加强网络安全的防护,导致管理上存在漏洞。
2构建计算机安全主动防御体系
2.1网络管理医院计算机网络安全主动防御模型中,网络管理具有重要的作用,其位于主动防御的核心层面。网络安全管理的对象是安全管理制度、用户和网络安全技术,尤其是对网络技术的管理,需要采取各种网络管理策略将网络安全防范技术集成在一起,成为一个有机的防御系统,提高网络的整体防御能力;对用户的管理可以与管理制度相互结合,制定网络安全管理制度,提高人们的网络安全意识,培训正确的网络安全操作。增强网络安全人员的法律意识,提高网络使用警觉性,确保网络运行于一个正常的状态。
2.2防御策略医院计算机网络安全防御策略可以根据网络安全的需求、网络规模的大小、网络应用设备配置的高低,采取不同的网络安全策略,其是一个网络的行为准则。本文的网络安全防御策略是一个融合各种网络安全防御技术的纵深策略,分别集成了网络预警、网络保护、网络检测、网络响应、网络阻止、网络恢复和网络反击等,确保网络安全达到最优化。
2.3防御技术目前,医院计算机网络主动防御体系采用的防御技术不仅仅是一种技术,其同时能够合理地运用传统的防病毒、防黑客技术,并其有机地结合起来,相互补充,在此基础上,使用入侵预测技术和入侵响应技术,主动式地发现网络存在的漏洞,防患于未然。
3网络安全主动防御体系架构
医院计算机网络安全主动防御体系架构是一种纵深的网络安全防御策略,其涵盖了网络安全管理、网络预防策略和网络预防技术三个层面,本文将从技术层面详细地阐述网络安全防御体系。本文将医院计算机网络安全主动防御体系分为预警、保护、检测、响应、恢复和反击六个层面,纵深型的防御体系架构能够将这几种技术融合起来,形成一个多层的纵深保护体系。
(1)网络预警。医院计算机网络预警可以根据经验知识,预测网络发生的攻击事件。漏洞预警可以根据操作系统厂商研究发现的系统存在的漏洞,预知网络可能发生的攻击行为;行为预警可以通过抓取网络黑客发生的各种网络攻击行为,分析其特征,预知网络攻击;攻击预警可以分析正在发生或者已经发生的攻击,判断网络可能存在的攻击行为;情报收集分析预警可以通过从网络获取的各种数据信息,判断是否可能发生网络攻击。
(2)网络保护。医院计算机网络保护是指可以采用增强操作系统安全性能、防火墙、虚拟专用网(VPN)、防病毒体系构建网络安全保护体系,以便能够保证网络数据传输的完整性、机密性、可用性、认证性等。
(3)网络检测。医院计算机网络检测在主动防御系统中具有非常重要的意义,网络检测可以有效地发现网络攻击,检测网络中是否存在非法的信息流,检测本地网络是否存在漏洞,以便有效地应对网络攻击。目前网络检测过程中采用的技术包括实时监控技术、网络入侵检测技术和网络安全扫描技术等。
(4)网络响应。医院计算机网络响应可以对网络安全事件或者攻击行为做出反应,及时保护系统,将安全事故对系统造成的危害降到最低,因此,网络检测到攻击之后,需要及时地将攻击阻断或者将攻击引诱到一个无用的主机上去,同时要定位网络攻击源位置,搜集网络攻击的行为数据或者特点,便于后期防止类似事件发生。比如检测到网络攻击之后,可以用网络监控系统或防火墙阻断网络攻击;可以使用网络僚机技术和网络攻击诱骗技术引诱网络攻击到其他位置。
(5)恢复。及时地恢复医院计算机网络系统,能够为用户提供正常的服务,也是降低网络攻击所造成的损失的有效方法之一。为了能够充分地保证网络受到攻击之后恢复系统,必须做好系统备份工作,常用的系统备份方法包括现场外备份、冷热备份和现场内备份。
(6)反击。医院计算机网络反击可以使用各种网络技术对攻击者进行攻击,迫使其停止攻击,攻击手段包括阻塞类攻击、探测类攻击、漏洞类攻击、控制类攻击、病毒类攻击和欺骗类攻击等行为,网络反击必须是在遵循国家的法律法规,不违反道德的范围内。
4结束语
网络安全主动防护范文第4篇
信息技术被广泛地在应用领域得以应用,给人们的生产生活带来诸多的便利。电力企业引入信息技术后,在电力运行和调度方面实现了自动化、网络化管理。特别是电力网络规模化发展而扩大了电能供应面,自动化技术的应用程度也相对提高,这就需要发挥电力调度的作用以对电力系统进行有效地调节控制。
一、电力调度自动化网络安全防护系统所发挥的功能
(一)电力调度自动化网络安全防护系统对电网运行发挥着实时监控的功能
电力调度自动化网络安全防护系统运行中,其所发挥的功能就是对电网运行状况进行监控,包括电网运行中所产生的各项指标,电压、频率、电负荷以及所产生的潮流调度,都要进行实时监控。此外,还要对电网运行中所产生工况指标进行调度,诸如主要设备安装的位置、水能变化情况和热能变化情况调度,都要对相关数据充分掌握,以使电网按照规定运行,确保电能用户能够安全用电、计划用电。
(二)电网运行中所产生可以用于分析电网运行安装状况
在电力系统运行的过程中,电网运行的安全性至关重要。如果电网设计中没有充分考虑到安全问题,就必然会在安全管理中存在漏洞。当电网处于运行状态的时候,就会受到诸多因素的影响而导致电网运行故障出现。电网的构建需要多种技术,加之电网规模化扩展,使得运行中所存在的故障问题也日趋复杂化。如果没有对电网运行实施有效的监督控制,并采取有效的调度措施,就难以对故障原因准确定位。要提高电网运行质量,就要将电力调度自动化网络安全防护系统构建起来,该系统不仅对电网的运行状况实时监控,而且还可以及时发现潜在故障,并对可能发生的电网故障进行准确预测,并自动启动防护措施,由此而大大地降低了电网故障率。
二、电力调度自动化网络安全防护系统所存在的网络安全问题
(一)电力调度自动化网络安全防护系统内部结构复杂
电力调度自动化网络安全防护系统是根据电网运行需要而不断完善的。信息技术不断升级,通信技术更新换代的速度非常快,加系统规划的滞后性,使得电力调度自动化网络安全防护系统的构建没有及时优化,导致内部结构复杂化。目前电力调度自动化系统无法发挥预期功能,其中的一个主要原因就是网络结构不规范的结果,使得系统运行中无法达到要求,包括账号口令问题、安全管理问题、在岗位授权的设置上缺乏安全性,使得网络安全管理的难度增加。
(二)电力调度自动化网络安全防护系统的网络安全管理不到位
电力调度自动化网络安全防护系统运行中,网络安全管理不到位主要在于电力企业运行局域网实施企业内部管理,同时还运行互联网以保持企业与外界之间的沟通。但是,对于局域网和互联网并没有做好分区和隔离工作,当网络运行中没有实施必要的防御措施而容易受到外部不良攻击。这种安全管理不到位的问题存在,就必然会存在各种网络管理问题,而使得网络系统运行困难。如果没有建立行之有效的防御体系,就会由于网络管理存在安全问题而导致网络运行瘫痪。
三、电力调度自动化网络安全防护系统的设计
(一)电力调度自动化网络安全防护系统所发挥的功能
电力调度自动化网络安全防护系统的作用是确保电力调度自动化运行,且运行效率有所提高。以网络为载体进行电力调度自动化防护系统运行,是将电网信息源充分利用起来,原有的数据信息经过转换,成为可以利用的数字信息,在电网的运行环境下集成数据信息并实现信息共享。在电网设备将数据信息进行模拟数字化转换中,防护系统要确保电网处于持续的高质量运行状态,就需要电网具有一定的决策能力,并能够针对所获得的数据进行分析,包括数据信息的采集、运行的监督控制,以及对电网运行的规划和相关的维护工作都需要综合性运行数字信息完成运行、调度、检测、优化,同时针对运行故障问题还会发出预警功能,并对运行故障以识别,对故障进行分析并相关技术处理工作。随着各项工作的展开并协调运行,使得电力调度自动化网络安全防护系统建立起来。
(二)电力调度自动化网络安全防护系统的构建
从电力调度自动化网络安全防护系统的构成情况来看,主要包括4个部分,即电力系统的主站、管理控制中心、信息资讯通道和电力系统的厂站等等。要使电力调度自动化网络安全防护系统能够发挥其功能性,就需要对系统进行划分,主要包括信息采集系统、信息分析和处理的执行系统、信息传输系统、信息处理系统以及人机互联系统。
电力调度自动化网络安全防护系统在具体运行中,各个系统都发挥着各自的功能,其中,信息采集系统以及信息分析和处理的执行系统所发挥的功能并不局限于数据信息的采集、分析和处理,还要对电力系统主站的运行情况以明确,接收到调度中心的指令之后,就开始传递和接收信息,根据指令执行各项操作,并管理系统运行中所产生的各种信息。
信息传输系统,就是要求电力调度自动化网络安全防护系统的主体要发挥沟通功能,将各站的信息建立起联系,进行信息传递,以使各项操作按照信息指令执行,实现和采集目标。
在整个的电力调度自动化网络安全防护中,是以自动化技术为核心进行信息处理的系统,数据信息的采集、分析和运算操作都是通过操作计算机软件来完成的,根据计算结果将控制指令出来,使得自动化控制功能得以实现。
在电力调度自动化网络安全防护中,人机互联系统发挥着辅助性的作用,系统运行中,统筹管理调度信息,并对所获得的调度信息进行加工、汇总、综合性分析之后,填写相关报表,将填写好数据信息的报表打印出来。调度管理人员根据报表上所显示的数据信息,就可以充分掌握电网运行装填,并调整调度管理。
四、电力调度自动化网络安全防护系统的应用
电力调度自动化网络安全防护系统由电力调度管理控制中心的主站设施、电力通信设施、厂站监督控制管理体系等等构成,通过操作计算机软件对系统的程序实施管理。具体运行中,各项工作按照规范的程序进行,包括采集数据信息、对数据信息进行分析和处置、将数据信息传输到主站体系,同时向分站同步命令发挥有效的控制作用。
为了使电力调度自动化网络安全防护系统的管理性能充分地发挥出来,就要在进行系统设计的时候采用以太网结构,网络连接中,包括RJ-45插座的连接,主机工作站、网络服务器、前置机都要连接在网络集线器(HUB)上面。前置机设置有多口智能接口,可以根据需要将双机切换柜与前置机连接。在前置机与MODEM连接的时候,采用一对一的相连方式,以提高电力调度自动化网络安全防护系统的运行可靠性。
电力调度自动化网络安全防护系统体现为系统网络实现,而且运行中,FDDI、EtherNet、ATM都可以使用,网络运行具有形式多样性。此外,电力调度自动化网络安全防护系统还实现了组合式运行方式,包括高速网速和低速网速的组合、单网和多网的组合等等。电力调度自动化网络安全防护系统的网络接口设计为通用接口,可以与其他系统的标准接口连接。网络运行中,网络冗余热备份可以使得正负两个网络通道交替使用,即如果一个网络通道出现故障而需要停止运行,或者强制性停止运行,另一个备份网络通道就可以启用,由此而保证了数据信息有效传输,而不会由于通道故障问题而影响到系统正常运行。电力调度自动化网络安全防护系统所发挥的主要功能是自动化调度功能,不仅使得上下机调度网络化展开,而且在数据传输的过程中,还能够发挥远程调试功能。
网络安全主动防护范文第5篇
关键词:网络安全;实践教学;教学方法
中图分类号:G642文献标识码:A文章编号:1009-3044(2012)22-5314-02
Network Security Professional Teaching Method Reform and Discussion
LIN Fei1,ZHANG Qian2,YE Ya-lin2
(1.Jinan Military Region, Jinan 264000,China;2 .Xi’an Communications Institute , Xi’an 710106,China)
Abstract:Network security professional is a theory and practice,closely integrated courses,not only emphasize the mastery of the technical principles of network security, and pay more attention to the improvement of students’practical ability. The paper analyzes the main problems in the existing network security professional teaching; propose a three stages of network security professional teaching method of basic experiment teaching; research, innovative practice teaching; innovative practice teaching. It is very great significance to develop practical high-quality professional telent.
Key words: network security; practice teaching; teaching method
网络安全专业是一门理论与实践并重的课程,该文针对目前多数院校现行网络安全专业实践课教学过程中存在的不足,结合多年网络安全防护专业实践课教学的体会,提出实践课教学改革思路。将本课程的教学以“以理论为中心”转化为“以实践为中心”,将学生从课堂带到实验室,使其在实践中深入理解、掌握和升华所学到的相关知识,使网络安全防护专业学生具备较强实践能力、任职能力和综合能力,对网络安全防护专业实践课教学改革的对策作以探讨。
1网络安全防护专业教学存在的问题
网络安全防护专业是一门实践性很强的课程。实践教学不仅仅是验证和理解本学科的基本理论,也是培养学生的思维和创新能力。目前,多数院校在网络安全防护专业教学过程中,实践课教学环节比较薄弱,使得培养出来的学生实践能力、创新能力和解决实际问题能力不强。网络安全防护专业实践教学普遍存在一些问题。
1.1理论教学为主,实践教学为辅
现代实践教学的主要目的是掌握实践技能,但是很多高校在“理论+实践”教学过程中,实践教学环节设置不合理,仍是采用理论教学为主、实践教学为辅的教学模式。这种模式使得学生学习专业技术知识掌握不好,学生难以全面透彻的理解相关专业知识,而且学生缺乏学习的主动性和积极性。如果教学中只是注重理论教学,那么学生毕业后很难满足实际工作需求,很难在短时间内胜任网络安全防护专业相关的工作。
1.2实践教学内容设置单一,方法陈旧
大部分传统网络安全专业课的实验设置,虽然项目比较繁多,但内容独立、不同实验之间缺乏系统性和灵活性。网络安全专业实验课不仅要求学生要有理论基础知识,更要有一定的实践操作能力。但很多时候都是老师在授课过程中进行相关的实验演示,以老师为主导,老师是实验的创作者,是主动施教者,这种方法使得在网络安全防护专业实践教学过程中,始终学生是被动者,极大阻碍了开发学生实践动手能力的创造性和主动性,极大减弱了网络安全防护专业教学的效果。
1.3实践课的考核形式不合理
实践教学考核方式不是很完备,主要表现在考核内容的设置缺乏灵活性,没有很好的和实际工作中的具体问题结合起来。通过对近几年各个院校网络安全防护相关专业的考核方式、结果的分析,以及对相关专业的学生和用人单位的意见反馈的调查,表明目前网络安全防护相关专业的考核方式仍是以理论考核为主,实践操作考核比例较少,设置不合理,不能全面体现学员的实践操作能力。
2网络安全专业教学改革的思路与方法
实践教学作为院校教学体系的一个重要教学环节,与理论教学相比则具有直观性、实践性、综合性、启发性和探索性的特点[1],不仅能使学生理解网络安全防护专业的基本理论,还能提高学生分析和解决实际问题的能力。针对网络安全防护专业学生的实际情况,将学生实践能力划分为基本能力、综合能力和创新自主能力等不同层次。根据不同层次设置基础实验教学、综合、设计性实践教学和创新实践教学三个阶段,进行网络安全防护专业实践能力的培养。
2.1基础性实验教学
网络安全专业实践教学基本内容为依据,在原有课程实践的基础上,结合实践教学的认知规律,重新整合重组。促进学员对基本原理的理解和基本技能的掌握。可划分为不同的教学模块,并引进相关领域新的实践技术。网络安全专业实验教学内容包括密码与安全协议、网络攻击、网络安全防护等基础性实验。因此,在原有课程实验的基础上,将知识体系结构重新整合成围绕一个专业问题或知识点为一个模块的设计方式,可以单独学习其中一个或多个内容,主要以验证方式进行实验,采取统一上机统一指导。
2.2综合性、设计性实践教学
在学生完成基础性实践的基础上,进行综合知识的技能训练,培养学生基本技能的综合分析能力,重视基本技能的综合和扩展,网络安全防护专业实践教学除了包含基础性实验,还包含了综合案例的方案过程设计、设备的运行和维护、问题的判断与解决等更高一级的内容。综合性、设计性实践教学是基于“任务驱动”的方式采取由浅入深、由简单到复杂、由小实验到综合型实验的递进方式设计实验。
2.3创新性实践教学
在综合性、设计性实践教学的基础上,以培养学生的创新能力和自主研究能力为目的,借助网络安全防护相关专业的技术各类竞赛平台,激发网络安全防护专业学生从被动接受知识变为主动探求知识的学习热情,设计相应的实践项目,突出学生独立设立实践和独立进行实践操作,强化学生“探究式”学习能力和培养科学思维能力[2]。
3小结
该文以网络安全防护专业实践教学目标为指导,深入分析现有课程存在的不足,积极探索构建适合网络安全防护专业的实践课程,设计了包含网络安全防护专业的基础实验教学、综合性、设计性实践教学、创新性实践教学三个环节的实践教学方法。课程设计以实现学生快速提升解决实际问题的能力、激发学生自主学习热情为目标,使网络安全防护专业学生具备为信息网络提供安全可靠的等级防护、有效防御各类网络攻击、快速处置各类网络安全事件的能力,真正满足信息系统安全防护能力建设对人才的要求。
参考文献:
