導語：如何才能寫好一篇網絡安全原理與技術，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

【關鍵詞】網絡安全技術 網絡信息資源 安全管理

隨著互聯網技術的不斷發展，計算機的應用也越來越普及，在給用戶生活和工作帶來極大便利的同時，也帶來安全管理方面的風險。互聯網信息資源的安全管理問題已經成為了如今網絡安全探討的重點。如何加強網絡安全技術防護，增強計算機網絡信息資源安全管理性能，防止網絡信息在通信過程中被入侵和破壞，為計算機的正常運行營造一個良好的內外部環境也成為了一個重要的課題。

1 網絡信息資源管理中的安全技術問題

1.1 網絡信息資源開放性帶來的安全隱患

信息網絡最大的優勢便是其提供了開放互動的平臺，開放性是互聯網絡的顯著特點，同時也是信息資源的發展必然趨勢。但開放性給人們帶來便利的同時，也對網絡安全帶來極大的隱患。首先，目前網絡實名制并未完全實行，互聯網絡使用人群的身份判別存在難度，同時由于如今移動設備的廣泛應用，開放性極強，而泛在化互聯網絡的使用成本并不太高，因此對于使用人群來說，便利地傳遞信息資源固然能提供方便，但也會對互聯網的穩定維護帶來隱患；其次，在互聯網這個開放的大環境之中，難免會存在對網絡安全管理具有威脅的不軌行為。這樣的行為可能是針對于互聯網軟件中的漏洞，或是針對于互聯網網層結構中的傳輸協議。既有可能是出于炫耀目的的本地用戶，有也可能是其他國家或組織的黑客。因此網絡信息資源管理中的安全技術問題，不僅關系每個用戶的信息保密，還涉及到一個地區或是一個國家的整體網絡安全防護問題。因此網絡安全問題不僅僅是行業性安全保障問題，更是一個世界性的安全保障問題。

1.2 計算機操作系統漏洞帶來的安全隱患

計算機的操作系統是最為基本也是最為重要的運行平臺，用戶通過操作系統得以正常使用計算機以及安裝其他軟件程序，同時還能針對計算機內部的信息資源進行有效管理。對計算機所需的硬件和軟件而言，操作系統能夠幫助用戶迅速進行管理和使用，但如果在軟硬件程序之中存在漏洞和問題的話，如果沒有及時解決，極有可能造成系統崩潰以至于直接影響對于計算機本身的整體使用。導致計算機操作系統存在漏洞的重要原因在于允許使用者自行創建進程，并且還可以支持遠程激活。這樣的特性一旦被有心的不法分子利用，則會給計算機信息資源的安全管理帶來威脅和隱患，甚至會出現被他人遠程控制的情況，這將有可能對使用者帶來極大的損失。

2 主要網絡安全技術

2.1 內部防御安全技術

針對于網絡信息資源安全管理的內部防御安全技術主要是防火墻和漏洞掃描這兩種類型。防火墻技術是一種基于預先已經定義好的安全規則之上，針對于計算機的內網與外網之間的通信行為進行強制性檢查和防范，加強內外網之間相互通信的訪問控制。防火墻技術需要根據實際發生的情況針對計算機外網的訪問權限進行限制，防止非法和違規行為通過外網進行入侵，以此來保障計算機內部的網絡信息管理的安全，另外也需要針對計算機內網之間的訪問行文進行規范，以此來優化內部防御安全技術，從而提高網絡信息資源的安全管理程度。

另外一種技術類型則是漏洞掃描。這是一種通過打補丁的方式針對計算機本地的主機或是遠程設備進行整體安全掃描，發現安全漏洞的同時進行修補，從而達到保障整體系統安全的目的。在漏洞掃描過程中，掃描程序通過對TCP/TP相關的服務端口進行掃描，從而監控主機的系統，同時通過記錄相應的相應情況來收集相關的有效信息，以此通過漏洞掃描來對整體系統存在的安全漏洞和隱患進行整體把控，從而增強網絡信息資源管理的安全性，同時也能降低安全風險值，提升系統防御性能。

2.2 外部監測安全技術

維護網絡信息資源安全管理的外部檢測安全技術包括入侵檢測行為以及可視化的安全技術。入侵檢測是基于審計大數據的收集和整合，以此來分析網絡通信和安全日志相關行為的安全性，判斷整個計算機系統中是否存在被攻擊和被入侵等不法行為。如果存在入侵行為的可能性，那么入侵檢測可以在系統被攻擊之前進行攔截，這是一種針對于外部監測的安全技術，同時也是一種比較積極的防御功能。這項入侵檢測技術是針對于就是外部攻擊，同時也會對內部攻擊進行監控，因此能起到增強計算機安全性能防護的作用，但同時也不會對計算機本身的網絡通信性能造成影響。這同時也是入侵檢測技術的優勢所在。

另外一種安全技術便是針對于網絡安全而衍生發展的可視化安全技術。它是基于內部防御和外部監測安全技術之上，將計算機網絡中涉及到的系統數據以及網絡結構以可視化的圖像形式表現出來，同時這也是實時動態監測，為計算機整個網絡通信使用過程保駕護航，一旦出現安全漏洞或潛在風險，會以某種特定方式提示用戶，同時還能為網絡安全技術人員處理計算機系統安全問題而提供幫助，促進針對性地處理安全風險問題，從而增強計算機網絡信息資源的安全和智能管理。

3 加強網絡信息資源安全管理的策略

3.1 培養專業的網絡安全維護人才

目前對計算機網絡信息資源安全管理存在潛在威脅的攻擊行為大多集中在人為性的入侵行為方面。無論是針對于有目的性的黑客入侵或是計算機網絡犯罪，大多屬于人為入侵和攻擊的范疇。而這種人為攻擊分為兩個類型，主動攻擊和被動攻擊。兩者區別在于是否對截取到的網絡信息資源進行更改，前者會利用不法行為來更改截取到的信息以達到誤導信息接受者，而后者則是對傳輸的信息資源直接進行截取和破解，但這兩者都對信息的安全保障造成了重大風險和威脅，極易為組織和單位帶來重大的經濟損失。因此針對這樣的網絡信息安全風險形式，需要從人員上優化知識結構，增強安全防護的技能，培養專業的網絡安全維護人才，從而在加強現有網絡監測和維護力度的基礎上，對網絡信息的安全發展未來趨勢進行專業性地判斷和預測，從而幫助網絡信息資源安全管理工作往更加智能和可把控的方向去發展。

3.2 加強計算機軟硬件設備安全管理

首先就計算機的硬件設備而言，最基本的是需要營造安全的計算機運行環境，對于電壓穩定，防火防潮，防蟲蛀等外部風險進行把控，降低外部環境對計算機硬件運行的風險影響。同時還需要相關安全技術性管理人員針對計算機硬件設備定期進行檢測和維護，定期進行問題排查，另外還需要對相關人員未經允許不得擅自更換計算機硬件進行規范規定。其次是對于計算機的軟件而言，網絡信息資源安全管理人員應該定期利用計算機安全防護技術對軟件進行病毒查殺和和漏洞修復。對于威脅到系統安全的計算機病毒或是其他風險，需要及時下載補丁進行修補和防護，以增強系統軟件的安全性，同時還需要注意的是，對于重要的相關網絡信息資源需建立有效的備份機制，以防止在系統出現安全風險時造成數據丟失等問題。

4 結語

在如今網絡信息技術以及計算機新興技術飛速發展的時代，人們利用計算機和網絡信息資源進行工作和交流，從中得到了極大的便利，但另一方面，網絡信息資源的安全問題也成為了一個重要課題。因此針對于網絡信息資源安全管理的隱患和風險問題進行分析，同時有針對性地提出相應的應對策略，以期能促進網絡信息資源管理向更為安全性的方向發展。這需要不斷加強對于網絡信息資源的安全管理意識，同時需要通過培養專業性安全維護人才來提高相關技術，加強網絡信息資源管理，為計算機的整體安全運行提供穩定和良好的大環境，能夠更好地為用戶的生活和工作提供便利和幫助。

參考文獻：

[1]孫暉.網絡安全技術與網絡信息資源管理研究[J].計算機光盤軟件與應用，2012，v.15；No.20522：44-45.

[2]史亞巍.我國政府信息資源管控研究[D].中央民族大學，2015.

[3]梁宏斌.基于SMDP的移動云計算網絡安全服務與資源優化管理研究[D].西南交通大學，2012.

[4]王浩羽.網絡安全技術與網絡信息資源管理探討[J].硅谷，2013，v.6；No.13414：86-87.

篇2

網絡安全與管理專業方向的人才培養除了滿足網絡工程專業人才培養基本要求外，還需要注重培養兩方面的專業能力：網絡系統安全保障能力和網絡管理維護能力[3]。網絡系統安全保障能力是指熟悉信息安全基本理論和常見網絡安全技術的工作原理，掌握主流網絡安全產品的安裝、配置和使用方法，能初步設計開發網絡安全產品。網絡管理維護能力是指熟悉常見網絡設備與系統的工作原理，掌握網絡管理的主流模型、系統功能、以及各類管理技術與方法，能初步管理和維護網絡與信息系統。

2網絡安全與管理方向專業課程體系

2.1知識結構

網絡工程專業網絡安全與管理專業方向人才要求具備的知識可分為三大類：公共基礎知識、專業基礎知識、專業知識。公共基礎知識相對固定，具體知識包括政治理論知識、人文社科知識、自然科學知識。其中，政治理論知識包括基本原理、中國近現代史綱要、思想和中國特色社會主義理論。人文社科知識包括大學英語、大學生心理健康、思想道德修養與法律基礎、社會和職業素養、軍事理論、體育。自然科學知識包括高等數學、線性代數、概率論與數理統計、大學物理、大學物理實驗。專業基礎知識根據網絡工程專業人才的專業能力要求制定，具體包括電子技術基礎、計算技術基礎、計算機系統基礎。其中，電子技術基礎包括數字電路、模擬電路和電路基礎，技術技術基礎包括數據結構、離散數學、程序設計、算法分析與設計，計算機系統基礎包括計算機組成原理、操作系統、數據庫原理、軟件工程。專業知識相對靈活，通常根據所在院校的專業特色和辦學條件制定，具體包括專業核心知識、專業方向知識、專業實踐環節[1]。下面重點討論這部分內容。

2.2課程體系

依據上述知識結構，結合筆者所在學院的師資力量、辦學條件和專業特色，制定了網絡工程專業網絡安全與管理方向的專業課程體系，如圖1所示。由于公共基礎課程基本固定不變，在此不再列出。圖1所示的課程體系包括專業基礎課程、專業核心課程、專業方向課程和專業實踐環節。其中，專業核心課程包括計算機網絡、網絡編程技術、網絡互聯技術、網絡工程設計。專業方向課程分為網絡安全和網絡管理兩個分支。專業實踐環節包括課程實驗、課程設計、實習實訓、畢業設計。我們認為專業核心課程的設置依據是，計算機網絡是所有網絡工程專業課程的核心基礎，網絡編程技術是網絡工程專業各方向（包括網絡安全與管理方向）的軟件開發基礎，網絡互聯技術是網絡工程設計的基礎，而網絡工程設計是網絡管理分支方向的基礎。

2.3專業方向課程知識點

網絡工程專業網絡安全與管理方向可分為網絡安全和網絡管理兩個分支。其中，網絡安全分支課程包括信息安全基礎[4]、網絡安全技術[5]、網絡攻防技術，每門課程的主要知識點如表1所示。網絡管理分支課程包括網絡管理[6]、網絡性能測試與分析、網絡故障診斷與排除，每門課程的主要知識點如表1所示。

篇3

【關鍵詞】操作系統 電子商務 密碼安全 病毒 防火墻

一、網絡安全技術體現的具體方面

（一）什么是網絡安全

可能有人會對什么是網絡安全不以為然，認為所謂的網絡安全，就是在使用網絡中保證安全。這樣等于沒有解釋什么是網絡安全，而且只有弄清楚怎樣的環境才算是安全的網絡，才能有的放矢，使用網絡技術去防范網絡犯罪，從而真正實現的網絡安全。網絡安全包含多個層面含義，是要讓用戶在網絡環境中能夠正常的傳輸數據信息，保證傳輸過程正常運行，不被認為或者自然的因素所影響。網絡安全既要保證網絡中軟件的安全更要保證網絡中硬件設備正常工作不被損壞。這是理論上的網絡安全環境，不可能完全避免認為和自然環境因素的影響，但是只要我們正確的認識網絡安全的重要，合理使用網絡安全技術，就能使得你的生活和工作的網絡環境避免收到侵害。

（二）網絡安全常見的體現：

網絡安全技術的應用越來越趨于完善，各個方面人們都已經使用或者正在嘗試使用網絡安全技術，最大程度的降低網絡犯罪所帶來的威脅。這里主要介紹幾個常見的網絡安全技術。首先，對于信息的傳送，我們使用了加密技術，這屬于計算機中密碼學的范疇。包括聊天信息的加密解密，個人帳戶隱私的加密，密碼的多重加密等等，不一而足。主要應用的領域主要在電子商務的財務往來和信息溝通軟件的保密方面（如騰訊QQ）。其次，主要是體現在殺毒軟件和防火墻兩方面。這兩種網絡安全技術針對性比較強，主要是針對來自網絡的病毒攻擊和一些非法的侵入行為。其實從原理角度講，殺毒軟件和防火墻并不相同，差異很大。殺毒軟件主要是針對進入到網絡的終端（計算機）中的病毒，進行查找與殺滅。讓病毒不能夠正常的復制、觸發，不能實現危害計算機危害網絡的目的。而防火墻則如同守衛大門的衛士，利用柵欄阻攔不受信賴的訪客，讓危險信息無法傳送到內網。但兩者也有相同的目的，就是共同組織危險者的破壞行為。再進一步說，網站是人們關注信息的平臺和媒介。哪么建立網站的服務器的安全性保障要跟高。這就要從操作系統抓起，合理選用自身性能更加安全的操作系統，進行操作系統安全設置，從根本上保證安全性進一步提高。

二、網絡安全技術的具體應用

（一）密碼學：

在電子商務和信息傳送中常常使用，利用的是密碼學的知識。但要實現具體應用就要以技術形式體現。現在常用的加密技術有MD5技術、數字簽名技術、RSA、DESA算法相關技術等。這些是以使用較多為介紹，不是以具體標準進行分類的。比如在實現不可逆的軟件加密或者計算機應用工具機密，MD5技術就有較多的使用。在電子商務中數字簽名技術更方便的保障了買方和賣方的共同利益，防止資金支付抵賴。

（二）防火墻應用：

防火墻已經介紹了，如同門衛一般，保障用戶和用戶間內網的安全。但從原理來說，其實防火墻歷經了幾個不同的階段，從早期利用數據包格式進行安全判定，到進一步電路級網關安全判定，再到應用層使用的安全判定。網絡安全性能一路攀升。但是不可否認的是，安全性能的攀升也付出了大量計算大量判定與時間的代價。從這些原理出發，廠商也制作了不同原理的防火墻。成熟產品也日益增多，如果在公共場合使用的網絡終端，都最好配置一款防火墻產品。現在比較流行的有天網防火墻、安氏領信，聯想網御，天融信等。當然還有很多國外防火墻產品性能也很優越。這里不再贅述。

（三）操作系統安全應用

WINDOWS已經是人們使用最多的操作系統，但是有的操作系統只適合個人用戶，對于服務器級的安全是不夠的。當然也不乏幾款操作系統是針對安全性設計的。因為微軟的操作系統人們研究已經較多，這里討論下LIUNX平臺下安卓系統的安全。Android系統作一個安全開源的移動平臺，在系統內核層次與應用開發方面都提供了強大的安全措施。在系統內核層次，應用沙盒可以實現應用之間的隔離，防止一個應用的數據和代碼被其它沒有授權的應用存取；隨著系統版本的升級，內存管理功能隨之豐富；加密的文件系統可以保護丟失設備上的數據不被泄漏。在應用開發方面同，采用加密、授權和安全IPC等措施構建的應用程序框架具有強大的安全特性；授權模式可以限制應用對系統功能和用戶數據的存取；應用指定的權限級別可以控制其它應用對自己的訪問；數字簽名保證了程序開發者與應用之間的信任關系。Android在安全性設計方面還考慮了盡量減少應用開發人員的負擔問題。針對安全性要求高的開發者通過平臺提供的靈活的安全控制機制可以輕松開發應用程序。針對安全性要求不高的開發者，系統默認的安全措施也能夠對應用程序提供較好的保護。對于可能存在的惡意攻擊，系統提供了防范機制，一方面降低攻擊成功的概率，另一方面盡量限制攻擊后系統所受損失。

參考文獻：

[1]高學軍，凌捷.網絡安全現狀與趨勢探討[J].汕頭大學學報（自然科學版）.2004（04）.

[2]禹春東，薛質.淺析入侵檢測系統[J].中國科技信息.2005（24）.

[3]葉宇光.淺談網絡安全[J].電腦知識與技術.2004（32）.

[4]劉明，韓江.網絡安全現狀及其防范技術探討[J].科技信息.2006（S2）.

篇4

關鍵詞：網絡安全問題

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 （2013） 01-0153-02

1 網絡安全

在我們的日常生活中，幾乎每天都會接觸到網絡。互聯網對于現代社會中的人而言，更具高效性、交互性。隨著科技的發展，計算機信息處理功能也得到了很大的提高。網絡的出現，將過去時間與空間都沒有交集的信息集成起來，構成了龐大的數據信息資源系統，為廣大的用戶提供了更為便捷的信息處理方式，在很大程度上推動了信息化的進程。但是隨之而產生的則是信息數據的安全問題，一個公開的網絡平臺為懷有一定目的的人員提供了可乘之機，不但會造成重要信息資源的損壞，同時也會給整個網絡帶來相當大的安全隱患。所以，網絡安全問題成為當今人們最為關心的網絡問題。隨著網絡技術的不斷發展及更新，安全防范的具體舉措也在不斷的更新。

網絡安全主要是指網絡系統的硬件、軟件及其系統中的數據受到保護，不會因偶然的或者惡意的行為而遭受到極大的破壞、更改、泄露，網絡服務不會中斷。網絡安全的本質就是網絡上的數據信息安全。

大家幾乎可以每天在媒體上看到宣傳網絡安全的重要性的信息：例如出現了某種新的木馬，提醒大家要多加注意；發現了某種高危險漏洞，告訴用戶要及時的修補補丁等。這種各樣的網絡威脅充斥網絡，那么我們應該如何才能獲得網絡安全感呢？這是廣大用戶心中始終縈繞的問題，也是信息安全專家心中的困惑。

2 威脅網絡安全的重要因素

在網絡的具體運行過程中，網絡安全受到來自各方的威脅，威脅主要來自信息的威脅、設備威脅等，主要有以下幾個方面的威脅：

2.1 網絡硬件設施的威脅。在我們平時的上網過程中，在計算機網絡運行中，硬件設施是必不可少的，但是就硬件設施的本身就有著極大的安全隱患。這其中對安全問題威脅最大的就是電子輻射泄漏，當計算機和網絡包含的一些電磁信息不慎泄漏了，這就在一定程度上增加了竊密、失密、泄密的危險性了。還有平時我們使用的一些移動存儲設備，由于這些存儲設備小巧精致、存儲量大所以應用的較為廣泛，這給網絡系統的信息安全造成了巨大的隱患，造成信息的泄漏。

2.2 軟件的威脅。在平時的網絡運行中，一些大的網絡公司如微軟等經常安全更新公告，提醒廣大的用戶要盡快的下載及安裝官方網站上的安全程序，這些安裝程序大都涉及到Windows操作系統內核更新和Office組件的安全更新，操作系統的安全形勢非常的嚴峻，給用戶的信息帶來了巨大的隱患。一旦存在漏洞的系統在執行過程中出現缺陷，就會遇到網絡攻擊，就會引發系統的安全失效。不少網絡安全問題都是由軟件存在的巨大缺陷引起的，應用軟件的這些安全隱患必須要受到足夠的重視。雖然我國現在越來越重視信息安全的作用，信息與網絡安全的相關產業也初步形成了一定的規模。但是從總體上來看，我國的信息與網絡安全存在著巨大的問題。

2.3 操作系統的威脅。操作系統是對網絡系統與計算機的安全起著決定性的作用。操作系統聯系這用戶、上層軟件、計算機硬件，操作系統一旦在復雜的網絡環境中工作，無疑會出現安全方面的隱患。另外，由于操作系統存在著重大的安全隱患，數據庫程序及電子郵件都有可能存在危險，這種存在的漏洞被加以利用進行遠程攻擊，為網絡安全帶來巨大的隱患。

3 加強計算機網絡安全的措施

針對網絡安全中存在的諸多問題，加強網絡安全刻不容緩，加強計算機網絡安全的措施主要有以下幾個方面：

3.1 運用防火墻技術。防火墻是最流行的網絡運行技術，應用的也最為廣泛。它的基本工作原理就是在不安全的網絡環境中盡可能的構建一個相對安全的子網環境。防火墻中最大的優勢是，這兩個網絡之間的訪問策略控制和限制保護網絡和互聯網的安全連接。它的主要功能是由內到外或由外到內的溝通都必須要經過它。只有內部訪問策略經過授權的通信才能允許其通過，這樣就提高了網絡安全性。

3.2 加密數據技術。這種技術的工作原理是將加密后的數據對信息進行重新編碼，進而隱藏信息內容，使沒有得到授權的用戶不可能得到真實的信息。加密的數據可以提高信息系統及數據的安全性及保密性，防止外部破譯的秘密數據。加密的數據可以分為不同的類型，可以有數據存儲、數據傳輸、身份驗證的數據完整性，還有密鑰的管理技術等。

3.3 入侵檢測技術。入侵檢測技術可以監測輸入到系統或侵入安全日志和審計數據或其他信息的網絡操作。入侵檢測技術是一種設計和配置能力，用來監測和報告未授權或者異常現象的系統。入侵檢測系統和一般的檢測技術有著同樣的原理。發現一組數據，檢測出數據符合和滿足某種的特點。當攻擊者對網絡進行攻擊的時候會留下痕跡，這些痕跡和系統正常運行的時候生成的數據混和在一起。入侵檢測技術就是在這些混合的數據中找到是否有入侵過的痕跡，并提供相應的提示或者警告。

3.4 身份認證技術。身份驗證技術主要是通過用戶在訪問服務器時，可以要求用戶輸入自己的帳號、密碼等。這種輸入檢查的過程就是身份驗證，實施的過程也比較的簡單，可以在網站或者FTP站點上設置相關的身份驗證。同時也可以通過因特網的信息服務技術進行身份的驗證，以防止不法分子的侵入，造成網絡安全的隱患。

4 總結

復雜多變的網絡環境，以及信息系統的脆弱性共同決定了網絡安全威脅的客觀存在。我國正在全面的走向世界并積極地融入到世界中，但是加強監管與建立適當的保護屏障是至關重要的。在這個信息化的時代里，如國沒有信息安全的保障，國家就沒有安全的保障。

計算機網絡安全的問題越來越受到人們的重視，也在計算機的發展中被提上日程。我們必須綜合的進行考慮，制定出合理的技術手段。我們有理由相信，隨著計算機網絡技術的進一步發展，網絡安全防護技術也將會隨著科技的發展而不斷發展。

參考文獻：

[1]黃開枝，孫巖.網絡防御與安全對策[M].北京：清華大學出版社，2004.

[2]胡道元.網絡安全[M].北京：清華大學出版社，2004.

[3]袁津生，吳硯農.計算機網絡安全基礎[M].北京：人民郵電出版社，2002.

[4]張成昆.網絡安全原理與技術.北京：人民郵電出版社，2003.

[5]李晶名.網絡安全.北京：電子工業出版社，2005.

[6]劉曉輝.網絡安全管理實踐（網管天下）[M].北京：電子工業出版社，2007（3）.

[7]李毅超，蔡洪斌，譚浩等譯.信息安全原理與應用（第四版）[M].北京：電子工業出版社，2007（11）.

[8]常莉.計算機網絡安全技術的探討[M].中國管理信息化.

[9]李學詩.計算機系統安全技術[M].武漢：華中理工大學出版社，2003.

[10]楊義先.網絡安全理論與技術[M].北京：人民郵電出版社，2003.

篇5

關鍵詞：網絡安全；評價方式；應用；探討

中圖分類號：TP393文獻標識碼：A文章編號：1007-9599 (2012) 03-0000-02

The Study of Comprehensive Evaluation of Network Security

Sui Zhenyou1,Tong Lu2

(1.Institute of Adult Education,Inner Mongolia University for Nationalities,Tongliao028043,China;2. Xingan Vocational and Technical College,Xinganmeng137400,China)

Abstract:Network security is a complex project,this is closely related to computer networks,information security issues more and more people's attention,therefore,to develop an effective and scientific network security policy is to ensure that the network information security protection,which requires network security risk assessment,development of a comprehensive evaluation of effective network security is also particularly important.Start of network security evaluation and comprehensive evaluation of the three types of network security are discussed from two aspects of the evaluation principles and evaluation model for comparison and reference.

Keywords:Network security;Evaluation methods;Application;Explore

一、引言

當今計算機網絡技術迅猛發展，與此同時其網絡安全問題也日益凸顯，也成為計算機網絡技術發展所需要解決的迫切問題[1]。因此需要對網絡的安全狀況進行合理和有效的評價，以幫助用戶全面掌握網絡安全狀態，及時采取必要的防范措施，以確保網絡的安全。目前在對網絡安全的評價方法上，主要依靠查找系統的安全漏洞或者薄弱環節，進而對系統的安全性能進行測試評估。然而，計算機網絡安全所涉及的領域太廣，需要運用系統工程的思想方法才能對網絡的安全狀況做好有效的評估和得到準確的評價結果。我國在計算機網絡安全的評價理論和方法研究上，雖有些學者對其進行了研究，但是研究成果還比較分散，仍未形成系統和科學的體系。對此，針對網絡安全綜合評價方式的研究現狀，有必要對其進行梳理，為促進其深入研究提供參考。

二、三種網絡安全綜合評價方式探討

網絡安全綜合評價具體包括了三個方面的內容，一是建立評價指標體系，二是需對評價指標實施標準化的處理，三是采用合適的評價方法。其中，評價指標選取的合適與否對綜合評價有著基礎性的影響，因此在對其的選取上務必要合理和科學。由于網絡安全評價屬于復雜工程，采用以往的定性或者定量方式都難以取得理想的評價效果，因此必須要尋找更為科學和有效的網絡安全綜合評價方式。

（一）基于層次分析法的網絡安全綜合評價方式

原理：層次分析法可以在對網絡安全綜合評價時把定性分析和定量分析結合起來，它的原理是：首先是對問題進行層次化分解，在該過程中對系統對象進行抽象化，轉化為一個層次化、有序化的結構模型；其次是對同屬層次中的評價指標進行互相比較，創建判斷矩陣，產生評價指標相對權重；最后是計算每層指標的組合權重，獲得各個指標相對于總指標的權重比較值，并進行排序，作為決策的依據。層次分析法可以把專家知識和人的主觀判斷結合起來，用數量形式進行表達和處理，將研究對象看作一個有機聯系的整體，因而可以對系統進行有效的分析[2]。并且，采用層次分析法對網絡安全進行評價，對影響網絡安全的各種因素都可以充分考慮，有利于準確評價網絡安全的風險狀況。

模型：在用層次分析法構建網絡安全綜合評價模型前，很有必要了解與之相關的網絡安全評價指標體系，以利于保障信息的完整性、可用性和保密性。目前在對網絡安全進行安全評價的過程當中，還沒有有效的指標體系建立方法，現在應用比較多的是德爾菲法，因其結合了不少專家經驗和主觀判斷，可在概率上對很多不能進行定量分析的因素做出估算，并把評估報告報給評估專家，從而可利用信息控制及反饋來使評價意見收斂，最終得到一個協調的結果。采用層次分析法建立網絡安全綜合評價模型可以分為四個步驟，首先是要建立起網絡安全的層次結構模型；其次是要建立起判斷矩陣，再次是要計算指標權重，最后是要進行一次性檢驗。通常，可把網絡安全的綜合評價指標的層次結構模型分為三層，把網絡安全定義為目標層，將管理安全、數據安全、環境安全及軟硬件安全定義為規則層，把組織體系、制度管理、入侵檢測、數據加密和數據備份等定義為措施層。判斷矩陣是由專家知識對各層次的評價指標與上一層次的功能模型相對重要性進行互相比較，從而形成的一個數據矩陣。在對指標權重的確定上，需要按照一定的順序進行，步驟如下：以專家經驗為依據，對準則層相對于安全目標層的指標權重進行判斷，確定其最大特征值和特征向量，再進行歸一化處理，從而取得相應的權重系數；同理，可以計算確定措施層相對于準則層的每項指標權重系數；最后把上面兩次計算出來的指標權重相乘，得到合成的權重，以表示措施層相對于安全目標層的合成權重。由于專家在各指標重要性的判斷上存在差異，因此，還很有必要根據相應的判斷矩陣一致性指標公式對判斷矩陣實施一致性檢驗，以檢驗其一致性程度。

（二）基于模糊評價法的網絡安全評價方式

原理：基于模糊評價法的網絡安全評價方式是一種將定性分析和定量分析結合起來，綜合化程度高的網絡安全評價方式。所謂模糊綜合評價法屬于一種應用模糊數學的綜合評價方法，其依據模糊數學中的隸屬度理論將定性評價轉變為定量評價，由模糊數學對受因素制約的對象作出總體評價，不但結果清晰和系統性強，而且可以有效解決一些模糊及難數量化的問題，因而在解決多種非確定性問題上具有很明顯的優勢[3]。

模型：建立網絡安全的評價模型，需要做到以下幾點：一是注意評估要素。網絡安全的風險是由于各種外部的威脅因素通過其漏洞對資產價值造成破壞，其值是資產價值、網絡脆弱等級和網絡威脅評估等級的函數。二是資產評估。通過資產評估，可以提供重要資產價值評估和確定漏洞掃描器分布等。三是威脅評估，其主要包括評估各種類型資產薄弱環節、可能的威脅類型、各種攻擊代價等。四是評估方法。評估方法是采用模糊數學的概念和方法，以便于得到簡單易用的評估結果。采用模糊方法對網絡安全進行安全評價時，首先要確定好隸屬度函數，按照某一標準對包含所有評判因子在內的因素集合進行分組，一般把性質相近的因素放到一起。其次是建立好關系模糊矩陣，設置每個單項指標集合和風險級別集合，并對每個單項指標進行評價，由各自相關的隸屬度函數來求出每個單項指標相對于風險級別的隸屬度，從而得到關系模糊矩陣。同時，還需要根據相關條件來確定權重模糊矩陣。最后是根據權重模糊矩陣與關系模糊矩陣來確定模糊綜合評價模型，通過把兩個模糊矩陣相乘，所得的矩陣即是模糊綜合評價模型。

（三）基于BP神經網絡的網絡安全評價方式

原理：BP神經網絡是當前應用最為廣泛的神經網絡模型之一，最早由1986年的一個科學家小組提出，屬于一種按誤差逆傳播算法訓練而得的多層前饋網絡。BP網絡可以學習和貯存大量輸入到輸出模式的映射關系，不需先揭示描述該映射關系的數學方程。它通過使用最速下降法作為學習規則，由反向傳播不斷調整網絡權值和閥值，從而可使網絡的誤差平方和取到最小。

模型：BP神經網絡一般由輸入層、隱含層及輸出層構成。可以用BP神經網絡來逼近在任意區間內的連續函數，實現相關的從輸入到輸出的映射關系。BP神經網絡的模型在計算時采用梯度搜索技術，計算時，輸入信號從輸入層進入，再經隱含層單元的逐層處理，傳到輸出層，上層神經元僅影響下層神經元的狀態。若輸出層未能得到期望的輸出，會轉到反向傳播，把輸出信號誤差按原連接通路返回，修改每層神經元的權重，使誤差最小[4]。

基本評價步驟：首先是對網絡初始狀態進行初始化，主要是對相關的連接權值和閥值賦予-1到1之間的隨機數；接著把第一個輸入樣本對輸入；接著計算中間每層神經元的相應輸入值和輸出值；接著計算相關的連接到輸出層單元和中間層單元的權限誤差，接著對相關連接權值和閥值進行更新；再接著輸入下一學習樣本對，到全部模式對訓練完畢，再開始新一輪的學習訓練，直到滿足相應的結束條件。

在網絡安全評價中的應用。由于BP網絡具有出色的非線性處理能力，可以有效解決在信息模糊、矛盾頻雜等復雜環境下的判斷和認知問題，在網絡安全的評價當中也有廣泛的應用。例如，有學者用BP網絡對投資風險進行了評估研究，取得了良好的成果；有學者在電力系統中運用BP神經網絡進行安全評估；也有學者將BP神經網絡對地震災害進行了評估。又如，有國外學者將BP神經網絡應用于橋梁系統的性能評價當中，證明了其在方案評價中的潛力和效率；國內也有學者把BP神經網絡應用于信息管理系統的綜合評價和多目標綜合評價當中，取得了不少研究成果。

三、結語

網絡安全保障體系的建設將是一個長期和復雜的系統工程，不僅需要加強技術支撐和制度管理，還需要運用科學有效的網絡安全綜合評價方式對安全風險進行評估，根據安全評估報告采取相應的安全措施，從而使安全風險在可控的范圍內。本文主要從原理和模型方面比較具體地探討和梳理了層次分析法、模糊評價法和BP神經網絡在網絡安全綜合評價中的應用情況，結果表明這三種方法在對網絡安全綜合評價中的應用可以使評價結果更加客觀和準確。

參考文獻：

[1]許福永,神劍,李劍英.網絡安全綜合評價方法的研究及應用[J].計算機工程與設計,2006,27(8):1398-1400

[2]李健宏,李廣振.網絡安全綜合評價方法的應用研究[J].計算機仿真,2011,28(7):165-168

篇6

在計算機網絡技術迅速發展和人類社會不斷進步的帶動下，人工智能也與時俱進，并得到迅速傳播和發展，進而直接或間接地推動著其他學科領域的進步和發展。網絡安全問題也在日漸成為人們的關注焦點，如何才能有效的利用人工智能技術對網絡數據進行安全防護呢？本文首先介紹了人工智能與網絡安全問題的特點與聯系，進而提出在網絡安全中引入人工智能技術，防護網絡安全的策略，希望能對維護網絡起到一部分作用。

關鍵詞：

網絡安全；計算機；人工智能；信息安全

引言

人工智能是一門將計算機科學與語言學、控制論、神經生理學等多種學科的理論和應用相互結合、相互滲透，逐漸產生發展的綜合性學科，是計算機科學領域內有關研究、設計和利用現代智能工具的一個重要分支。目前網絡技術的急速發展，使得人們早就已經習慣運用網絡處理各類事宜，如娛樂、聊天、辦公等，網絡的個人隱私信息也越來越多，傳統的網絡安全維護辦法早已捉襟見肘，人工智能的出現，為網絡安全管理提供了一個新的契機。

1.我國網絡安全現狀

網絡安全是每個人都應該了解與維護的職責，人們享受著網絡帶來的便利，同樣也會遭受到個人信息與財產的威脅。而目前的網絡安全現狀卻是：很多時候，當使用者一打開網頁時，網頁就自動會彈出一些雜亂無章的廣告信息，鋪天滿地的向使用者“傳達”無用的信息來麻痹使用者的視野，擾亂使用者的心智。或許，當使用者在下載信息時很容易下載病毒，如果把下載的是病毒當著有用信息保存到電腦中后，除了得不到使用外，還會損害電腦的硬件設備，讓電腦長時間的處于“危險”狀態。或者是一些人為因素的誤操作：有意“種植”木馬病毒、編寫病毒代碼、對電腦硬件不加以保護所造成的。這些不良信息，會是代碼病毒、蠕蟲等，它們都會擾亂信息源代碼，侵染網頁，電腦會崩潰。種種原因表明，這些不良信息的大量出現，是一些不法分子以及商家為了謀取暴利而上傳在網絡上的，來吸引正在使用網絡的人們眼球，給使用網絡的人帶來更多的痛苦。從而產生密碼被泄露、數據被篡改、用戶難以登錄、網絡端口故障等現象。這些現象的發生，給現在的網絡安全帶來危險，使計算機網絡安全機制難以“愈合”。病毒的不斷涌入、蠕蟲的不斷產生、黑客的間斷性攻擊、間諜的蜂擁出現、人為的誤操作，給網絡的安全問題帶來巨大的威脅。

2.人工智能技術特點與優勢

將人工智能應用到網絡安全管理領域可以幫助網絡管理員提高工作效率，相較于傳統的網絡安全技術，不論是從速度，效率以及可操作性都顯著提高，其具體的優勢如下所示：

2.1具有處理模糊信息能力

人工智能技術具有處理未知問題的能力。人工智能技術一般采用模糊邏輯的推理方式，不用非常準確的描述數據模型。網絡中存在大量不確定也不可知的模糊信息，處理這些信息比較困難。在計算機網絡安全管理中應用人工智能技術，可以提高處理信息的能力。

2.2具備學習能力和處理非線性能力

人工智能不同于傳統的網絡安全處理模式，它最大的特點是它具有一定的學習能力，這一點的優勢在處理信息時表現得尤為明顯，因為網絡中的信息量往往是龐大的，但是許多信息都是簡單的，及其容易理解，卻可能有有效信息，想要從海量的信息中挖掘出有效的信息，首先要做的就是學習，推理這些簡單的信息，人工智能的優勢就在于這里。人工智能具有處理非線性能力。

2.3計算成本低

傳統網絡安全技術消耗的能源量驚人，人工智能在這一方面則有很大的改善，它對于能源消耗速率特別低。因為人工智能采用的是新的算法，即控制算法。這種算法可以利用最優解可以一次性完成計算任務，有效減少資源消耗力度，實現綠色節能。另外，使用這種方法可以保證網絡技術的高速性。

3.人工智能技術

在網絡安全中的運用在網絡安全管理過程中，運用得最廣泛的就是防火墻，其中最具有技術含量的核心部分為入侵檢測，入侵是指任何可能損害信息的完整性和保密性的所有活動，而入侵檢測主要就是識別這些活動，后續再采取其他手段對網絡安全進行維護。本文的重心主要在于人工智能技術在這一階段的運用。

3.1建立規則產生式專家系統

目前網絡安全領域運用得最為廣泛的人工智能技術就是專家系統。專家系統，顧名思義就是以專家所擁有的經驗性知識為基礎而設立的入侵檢測系統。該系統的管理員可以通過將目前已經了解的入侵特點編碼成規則，通過系統自動檢測這些特征從而來判斷系統的安全性是否到位，同時，專家系統的建立也使得日后的入侵檢測工作量減輕。

3.2人工神經網絡系統

在網絡安全管理中的運用人工神經網絡具有較強分辨能力，它可以識別一些帶有噪音或者暗藏畸變的入侵模式，這套系統的開發是相關的科研隊伍經過長時間的模擬人腦學習技能的而形成的。除了有上訴的優勢，它還具備一定的學習能力和高適應能力，能夠快速識別入侵行為。人工神經系統在網絡安全中的運用，大大提高了面對入侵時管理員的應對速度，對保證網絡安全的意義重大。

3.3人工免疫技術

在網絡安全領域中的運用人工免疫技術也是人工智能技術的一個分支，它的技術原理是人體免疫之后人體自發的出現一系列的自我防御的現狀，運用在信息安全管理上就是基于自然防御機理的學習技術，兩種人工免疫技術原理相似。前者保護人體免受病毒打擾，后者保護信息不被入侵，保證信息的完整性、保密性。

4.結束語

將人工智能運用在網絡安全還是一個較為新穎的領域。事實上，可以用到網絡安全中的人工智能技術并不止上訴提及的幾種，它還有待我們去發展和探索，另外，在網絡功能如此強大的今天，不少人的日常生活都已經無法離開網絡，網絡安全正在逐漸成為一個越來越熱的話題，對于各類新技術，并不只限于人工智能技術，我們都應該將其靈活運用到網絡中來，保障網絡的安全性，使網絡更好的服務于大眾。

參考文獻：

[1]吳元立,司光亞,羅批.人工智能技術在網絡空間安全防御中的應用[J].計算機應用研究,2015,32(8):2241-2244.

[2]儲美芳.基于人工智能理論的網絡安全管理關鍵技術的研究[J].計算機光盤軟件與應用,2012(23):95.

篇7

摘要：本文就信息安全學科實踐環節中綜合能力的培養進行了探索，首先分析了信息安全專業教學中實踐能力培養的重要性與面臨的問題，說明了編程能力提高在培養信息安全應用型人才的重要性，然后提出通過掌握網絡安全開發包提高學生編程綜合能力的培養途徑。

關鍵詞：人才培養；信息安全；編程實踐；網絡安全開發包

中圖分類號：G642

文獻標識碼：B

1實踐能力培養的重要性與面臨的問題

信息安全是一個實踐性很強的科學，目前信息安全專業的實踐教學中，除一些重點院校外，多數院校普遍存在硬件設施缺乏的問題，相關信息安全課程以課堂授課為主，學生難以很好地將所學的理論知識用于解決實際問題。此外已建設有信息安全試驗室的院校也面臨如何更好地充分利用現有信息安全實驗室的硬件、軟件資源，如何更合理、有效地安排信息安全實驗環節等問題。

總地說來，目前信息安全學科的實驗環節也正經歷從無到有再逐漸完善的過程,在已有的實踐環節中，以分析、驗證、配置型實驗為多，一般可以劃分為以下幾類:

(1) 密碼學實驗，如DES和RSA密碼算法、MD5和SHA散列算法實驗等，該類實驗通常主要以經典算法分析與代碼實現為主。

(2) 網絡攻防實驗，如緩沖區溢出攻擊與防范、網絡監聽技術、計算機和網絡掃描技術、DOS攻擊與防范，以及欺騙類攻擊與防范實驗等。

(3) 系統安全配置實驗，如Windows和linux操作系統的安全配置、Web和FTP服務器安全。

(4) 計算機病毒實驗，如COM病毒、PE病毒、宏病毒和腳本病毒等實驗。

(5) 網絡安全設備使用實驗，包括路由器、防火墻、入侵檢測系統(IDS)、VPN、網絡安全隔離網閘等設備的配置與使用實驗等。

(6) 除此以外，還有根據各校實際課程需要開設的如信息隱藏、數字水印、智能卡等實驗。

通過以上實驗環節，學生可以加深對相關信息安全基本概念、理論的理解，同時也可極大地提高動手能力，但是我們認為以上分析、驗證、配置型實驗無法完全滿足對應用型人才的需求，還需要加大綜合性實驗環節。

要進行綜合性實驗，就需要加強學生編程能力的綜合培養。以密碼學為例，學生掌握了密碼算法相關的基本概念、理論和算法原理之后，在將來的網絡安全系統研發中會經常碰到諸如如何對實際系統的消息進行加密、解密，如何對消息實現數字簽名，如何建立一個CA系統等問題。

為了解決以上這些實際問題，在實際的研發中一些專用的網絡安全開發包發揮了重要的作用，這些網絡安全開發包是指用于網絡安全研究和開發的一些專業的開發函數庫和算法庫，它們的主要作用是實現網絡安全研究和開發的基本功能，為研究者和開發者進一步研究和開發網絡安全服務提供編程接口，使網絡開發人員能夠忽略一些密碼算法的具體過程和網絡底層的細節，從而更專注于程序本身具體功能的設計和開發。筆者認為掌握這些專用的網絡安全開發包是提高學生編程綜合能力的有力的培養途徑，也為學生將來實際研發打下良好的基礎。

2編程能力的培養途徑

2.1前續課程的設置

要著手進行網絡安全編程，學生應該對必要的信息安全前序課程進行過系統的學習，首先應對網絡安全相關概

念和原理進行全面的了解，如密碼學基本知識，具體包括對稱密碼算法、公鑰密碼算法、鑒別技術和數字簽名的原理與應用，此外還應掌握黑客攻擊與防御、網絡安全協議、防火墻、入侵檢測技術等網絡安全技術。

2.2現有主要網絡安全開發工具介紹

網絡安全本身理論性和實踐性都很強，掌握了網絡安全相關基本概念、基本原理后可以運用到實際的工程中，在實際應用中，需要我們針對實際應用環境開發一些特定應用程序以提供相應的安全服務，而這時掌握一些實用的網絡安全編程工具就顯得猶為重要。

網絡安全開發工具是指用于網絡安全研究和開發的一些專業編程接口或開發包。它的主要作用是提供用于網絡安全研究和開發的基本功能的實現，為研究者和開發者進一步研究和開發網絡安全提供編程接口，為網絡安全服務的實現提供方便。

某些網絡安全開發工具基本上已經實現了某個特定網絡安全服務的基本框架和基本功能，然后開發者可以在這個已經構造好的基本框架下進行進一步的開發，這樣就為開發者節省了時間和精力，為進一步開發功能更強大的系統提供方便。

我們認為對一種或幾種網絡安全開發工具的學習是提高信息安全專業的學生編程能力的有利途徑，老師在教學中可以有針對性的對當前有代表性的幾種網絡安全開發工具進行講授，如表1所示，下面逐一說明：

(1) CryptoAPI：CryptoAPI是提供開發者在Windows下使用PKI的編程接口。CryptoAPI提供了很多函數，包括編碼、解碼、加密、解密、哈希、數字證書、證書管理和證書存儲等功能。CryptoAPI在安全通信中應用十分廣泛。CryptoAPI體系架構共由五大主要部分組成：基本加密函數(Base Cryptographic Functions)、證書編/解碼函數(Certificate Encode/Decode Functions)、證書庫管理函數(Certificate Store Functions)，簡單消息函數(Simplified Message Functions)、底層消息函數(Low-level Message Functions)。其架構如圖1所示。(2) OpenSSL：OpenSSL是用于安全通信的著名的開放庫，也是一個開放源代碼的SSL協議的產品實現，它采用C語言作為開發語言。OpenSSL提供了建立在普通的通信層基礎上的加密傳輸層，這些功能為許多網絡應用和服務程序所廣泛使用。OpenSSL主要由三部分組成：密碼算法庫，SSL協議庫和OpenSSL應用程序。

① OpenSSL密碼算法庫――這是一個強大完整的密碼算法庫，是OpenSSL的基礎部分，也是很值得一般密碼安全技術人員研究的部分，它實現了目前大部分主流的密碼算法和標準。主要包括公開密鑰算法、對稱加密算法、散列函數算法、X.509數字證書標準、PKCS12、PKCS7等標準。OpenSSL具備的應用程序，既能直接使用，也可以方便進行二次開發。Openssl密碼算法庫提供了8種對稱加密算法、4種非對稱的加密算法和5種信息摘要算法，雖然每種算法都定義了自己的接口函數，但是OpenSSL還使用EVP封裝了以上算法，大大提高了代碼的可重用性能。

② SSL協議庫――包含了OpenSSL實現的SSL協議和TLS協議的大部分API使用說明。OpenSSL實現的SSL是開放源代碼的，在教學中可以引導學生研究SSL協議實現的細節，有助于加深學生的理解。

③ OpenSSL應用程序――命令行工具，可用于加密、證書生成和簽署等。OpenSSL應用程序提供包含了大部分OpenSSL應用程序的使用和參數說明，并有部分例子。Openssl的應用程序提供了相對全面的功能，這些應用程序可通過OpenSSL的指令進行調用實現。OpenSSl的指令主要包括密鑰生成、證書管理、格式轉換、數據加密和簽名，SSL測試以及其他輔助配置功能。

以上這兩種網絡安全開發包主要用于提供加密算法、數字簽名、散列函數、證書等，以保證數據的機密性、完整性、不可否認性以及身份鑒別的功能。

網絡安全開發包的種類很多，其實現的功能也千差萬別，以上兩種網絡安全開發工具是筆者在教學中所選擇的教學內容，除了上面介紹的，在實際教學中還可以根據實際情況選擇以下網絡安全開發包進行教學：

(3) 網絡數據包捕獲開發包Libpcap和WinPCap

網絡數據包捕獲開發包Libpcap是一個專門用來捕獲網絡數據的編程接口，它提供了以下的各項功能：捕獲原始數據包，包括在共享網絡上各主機發送/接收的以及相互之間交換的數據包；在數據包發往應用程序之前，按照自定義的規則將某些特殊的數據包過濾掉；在網絡上發送原始的數據包；收集網絡通信過程中的統計信息。由于網絡數據包捕獲功能是很多安全系統都要實現的功能，所以Libpcap可應用到網絡嗅探器、網絡協議分析、網絡入侵檢測、安全掃描等網絡安全系統中。

WinPCap (windows packet capture)是Libpcap在Windows平臺下的版本。

(4) 網絡入侵檢測開發包Libnids

Libnids(Library Network Intrusion Detection System)是一個用于網絡入侵檢測系統設計的專業開發包，提供了一個網絡入侵檢測系統的基本框架和基本功能，可以快速實現網絡入侵檢測的基本功能。

(5)Crypto++

Crypto++是采用標準C++編寫而成，也是一個自由軟件，Crypto++實現了多種公開密鑰算法、對稱加密算法、數字簽名算法、信息摘要算法以及其相關的其它算法等等。Crypto++于1995年6月了1.0版本，目前最新的版本是Crypto++™ Library 5.5，可以適應各種常用的操作系統和編譯平臺。

(6) Cryptix

如果從事Java開發程序，還可以選擇Cryptix，它是Sun公司的采用Java語言的關于Java Cryptography Extension(JCE)的開放源碼的API實現。

2.3教學步驟和重點

網絡安全開發工具歸根結底是一些函數庫，它們采用了一些特定的數據結構，提供了編程接口。使用網絡安全開發工具就是要掌握怎樣使用這些數據結構和函數。總的說來，教學重點可以從以下幾方面入手：

(1) 使學生掌握網絡安全開發工具的數據結構

每種網絡安全開發工具都使用了很多數據結構，這些數據結構在編程中都要使用到，它們是信息的載體。特別是一些典型的數據結構，他們基本上描述了開發工具的一些核心內容，掌握它們對于理解和掌握網絡安全開發工具是非常重要的。

(2) 掌握網絡安全開發工具的輸出函數

網絡安全開發工具的輸出函數是一個提供給用戶的編程接口，它是開發者直接打交道的對象，也是開發者最終要掌握的對象。使用網絡安全開發工具歸根結底是調用網絡安全開發工具提供的輸出函數，所以掌握輸出函數是最重要的，也是了解網絡安全開發工具的目的所在。要掌握網絡開發工具的輸出函數，必須從函數的返回值、函數的參數描述和函數的功能這三方面了解。

(3) 網絡安全開發工具的主要功能的逐步實現

以CryptoAPI為例，在掌握了其體系結構、數據結構、輸出函數后，教學中可逐步介紹其在密鑰管理、數據編碼、解碼、數據的加密和解密、數字簽名和驗證、證書和證書庫管理幾個方面編程實現方法。

3結束語

實驗教學是信息安全專業人才培養的一個重要方面，本文針對信息安全實驗教學過程中編程能力的培養，提出利用網絡安全開發包編程知識的系統講授，提高學生在網絡安全領域的研發能力，為培養應用型人才打下良好基礎。本文的教學經驗在本校兩屆學生中得到教學實踐，得到良好的教學效果。

參考文獻

[1] 沈昌祥. 加強信息安全學科、專業建設和人才培養[J]. 計算機教育,2007,(10).

[2] 張煥國,王麗娜等. 信息安全綜合實驗教程[M]. 武漢大學出版社,2005.

[3] 崔寶江. 信息安全實驗指導[M]. 北京:國防工業出版社,2005.

[4] 高敏芬. 信息安全實驗教程[M]. 天津:南開大學出版社,2007.

篇8

摘要：隨著網絡技術的高速發展,網絡上的信息迅速膨脹、豐富，各種各樣的網絡應用得以普及和頻繁使用。而與此同時，網絡安全技術卻明顯滯后，發展和響應的速度緩慢，各種網絡安全措施都顯得“道高一尺、魔高一丈”。本文將以arp病毒攻擊為代表，從分析arp協議入手，詳細闡述arp的工作過程以及欺騙技術的基本原理，通過分析大多數現有校園網絡安全措施，即防火墻設備，入侵檢測系統，入侵防御系統在針對內部網絡攻擊行為管理上的缺陷，從而證明現有網絡安全措施上的巨大漏洞。在詳細陳述現有的一些處理arp病毒的手段后，總體分析這些防范措施的共同缺陷，進一步討論彌補這些缺陷的必要性及其所帶來的現實意義，指明今后校園網絡管理所面臨的重要問題和主要發展方向。

關鍵詞：arp協議；arp欺騙；防火墻；入侵檢測系統；入侵防御系統；網絡監控平臺；

中圖分類號：tp393文獻標識碼：a

0引言

隨著網絡技術的高速發展,網絡上的信息迅速膨脹、豐富，各種各樣的網絡應用得以普及和頻繁使用。而同時期，網絡安全技術卻明顯停滯后，各種網絡安全措施都顯得“道高一尺、魔高一丈”，絕大多數網絡管理人員在日常的網絡管理工作中都疲于應付，力不從心。事實上，資源共享和信息安全歷來就是一對矛盾。一個系統的使用權限規劃越細，使用規定越多，那么相對來說，這個網絡系統就比較安全一些；但同時使用起來就不方便。計算機網絡的開放性是網絡應用所導致的，這就決定了網絡安全問題是先天存在的。網絡安全一直是限制網絡發展的一個主要因素。現今的網絡架構中采用交換機互聯，使用網關地址轉發網絡數據包，這種交換式連接的局域網一直是很成熟的技術，但近年來它在一種新型網絡攻擊面前卻毫無辦法進行防范，這種攻擊就是arp欺騙。

1arp協議的工作流程

1.1arp協議

地址轉換協議addressresolutionprotocol(簡稱：arp)是數據鏈路層協議，它負責把網絡層的ip地址轉換成為數據鏈路層的mac地址，從而建立ip地址和mac設備物理地址的對應關系，以便實現ip地址訪問網絡設備的通訊目的。

1.2arp工作流程

在以太網中，兩個不同網絡設備進行直接通信，需要知道目標設備的網絡層邏輯（ip）地址和網絡設備的物理（mac）地址。arp協議的基本功能就是通過目標設備的ip地址，查詢目標設備的mac地址，以保障網絡通信的順利進行。當網絡中某臺計算機a要與同網段中計算機b通信時，a機首先要在緩存中查找是否有b機的ip地址和mac地址的對應關系；如果沒有，則a機在本網段中廣播，將自己的ip地址和mac地址發出，并要求ip地址是b機的計算機作應答。網段中所有計算機都會收到a機的廣播包，并檢查自己的ip地址是否b機ip，ip地址是b機的計算機會作出應答，并按照a機的ip地址和mac地址發出應答包。a機接收到b機的應答包后，將b機的ip地址和mac地址加入到自己的緩存中，隨后再開始與b機的通信。如果計算機a要與網段以外的計算機通信，則由網關將a計算機的廣播包加以轉發來完成上面的工作。

在整個arp工作期間,不但主機a得到了主機b的ip地址和mac地址的映射關系，而且主機b也得到了主機a的ip地址和mac地址的映射關系。如果主機b的應用程序需要立即返回數據給主機a的應用程序，那么，主機b就不必再次執行上面的arp請求過程了。

1.3arp欺騙的原理

所謂arp欺騙，又被稱為arp重定向，由于arp協議是建立在信任局域網內所有計算機的基礎上的，因此會出現中間人攻擊的現象，某臺非目標的計算機利用arp協議的缺陷向目標主機頻繁發送偽造arp應答報文，使目標主機接收該偽造的ip地址和mac地址報文并更新本地系統的arp高速緩存，從而使攻擊者插入到被攻擊主機和其他主機之間，便可以監聽被攻擊的主機。由此可見，入侵者利用ip機制的安全漏洞，比較容易實現arp欺騙，造成計算機網絡無法正常通訊，以達到冒用網關或目的計算機合法ip來攔截、竊取信息以及破壞數據的目的。雖然arp欺騙發生在局域網內，只有內部的計算機可以互相監聽，但是對于本來就存在安全漏洞的網絡來說，如果外部攻擊者能夠入侵到局域網內的某臺計算機，然后再進行arp欺騙，一旦成功，將給網絡造成很大的破壞。

2現有網絡防御手段

2.1防火墻

在ipv4網絡中，普遍采用防火墻來阻止外部未經授權的網絡用戶進入內部網絡。以此保護內部網絡的安全。根據所采用的技術不同，防火墻可以分為三大類：地址轉換nat型、監測型和包過濾型；其中使用最多、最廣泛的就是地址轉換nat型。雖然目前防火墻是保護網絡免遭黑客攻擊的有效手段，但明顯存在著不足：①對內部網絡發起的攻擊無法阻止；②可以阻斷外部攻擊而無法消滅攻擊來源；③做nat轉換后，由于防火墻本身性能和并發連接數的限制，容易導致出口成為網絡瓶頸，形成網絡擁塞；④對于網絡中新生的攻擊行為，如果未做出相應策略的設置，則無法防范；⑤對于利用系統后門、蠕蟲病毒以及獲得用戶授權等一切擁有合法開放端口掩護的攻擊行為將無法防范。

為了彌補防火墻存在的不足，許多網絡管理者應用入侵檢測來提高網絡的安全性和抵御攻擊的能力。

2.2入侵檢測系統（intrusiondetectionsystem）

（1）入侵檢測就是對入侵的網絡行為進行檢測，通過收集和分析計算機網絡中的信息，檢查網絡中是否存在違反安全策略規定的行為或者是被攻擊的痕跡。如果發現有入侵行為的跡象，檢測系統可以自動進行記錄或生成報告，甚至能夠根據所制定策略自動采取應對措施，斷開入侵來源并向網絡管理者報警。

入侵檢測系統（ids）按照收集數據來源的不同一般可以分為三大類：

①由多個部件組成，分布于內部網絡的各個部分的分布式入侵檢測系統。

②依靠網絡上的數據包作為分析、監控數據源的基于網絡型入侵檢測系統。

③安裝在網段內的某臺計算機上，以系統的應用程序日志和審計日志為數據源主機型入侵檢測系統。

（2）雖然入侵檢測系統以不同的形式安裝于內部網絡的各個不同的位置，但由于采集數據源的限制，對arp病毒形式的攻擊行為卻反應遲鈍。入侵檢測系統一般部署在主干網絡或者明確要監控的網段之中，而一個內部網絡往往有很多個獨立的網段；由于財力的限制，網絡管理者一般都不能在每個網絡中部署用于數據采集的監控計算機。一旦未部署的網段中arp欺騙阻塞了本網段與外界的正常通訊，入侵檢測系統無法采集到完整的數據信息而不能迅速準確的作出反應。

除此以外，現有的各種入侵檢測系統還存在著一些共同的缺陷，如；較高的誤報率，無關緊要的報警過于頻繁；系統產品對不同的網絡或網絡中的變化反應遲鈍，適應能力較低；系統產品報告的專業性太強，需要管理者、使用者有比較高深的網絡專業知識；對用于處理信息的設備在硬件上有較高的要求，在大型局域網絡中檢測系統受自身處理速度的限制，容易發生故障無法對網絡進行實時監測。

2.3入侵防御系統（intrusionpreventsystem）

（1）入侵防御系統（ips）是針對入侵檢測系統（ids）所存在的不足，借用網絡防火墻的部分原理而建立的。入侵防御系統有效的結合了入侵檢測技術和防火墻原理；不但能檢測入侵的發生，而且通過一些有效的響應方式來終止入侵行為；從而形成了一種新型的、混合的、具有一定

深度的入侵防范技術。入侵防御系統（ips）按照應用方式的不同一般可以分為三大類：

①基于主機的入侵防御系統hips：是一種駐留在服務器、工作站等獨立系統中的安全管理程序。這些程序可以對流入和流出特定系統的數據包進行檢查，監控應用程序和操作系統的行為，保護系統不會被惡意修改和攻擊。

②基于網絡的入侵防御系統nips：是一種以嵌入模式部署與受保護網段中的系統。受保護網段中的所有網絡數據都必須通過nips設備，如果被檢測出存在攻擊行為，nips將會進行實時攔截。

③應用服務入侵防御系統（aips）：是將hips擴展成位于應用服務器之間的網絡設備。利用與hips相似的原理保護應用服務器。

相對與ids而言，ips是以在線方式安裝在被保護網絡的入口處，從而監控所有流經的網絡數據。ips結合了ids和防火墻的技術，通過對流經的數據報文進行深層檢查，發現攻擊行為，阻斷攻擊行為，從而達到防御的目的。

（2）但同時，我們也認識到：由于ips是基于ids同樣的策略特征庫，導致它無法完全克服ids所存在的缺陷，依然會出現很多的誤報和漏報的情況，而主動防御應建立在精確、可靠的檢測結果之上，大量的誤報所激發的主動防御反而會造成巨大的負面影響；另一方面，數據包的深入檢測和保障可用網絡的高性能之間是存在矛盾的，隨著網絡帶寬的擴大、單位時間傳輸數據包的增加、ips攻擊特征庫的不斷膨脹，串連在出口位置的ips對網絡性能的影響會越來越嚴重，最終必將成為網絡傳輸的瓶頸。

3新的網絡安全發展方向

3.1當前網絡的安全缺陷

綜合分析以上網絡安全技術的特點以后，我們不難發現：現有的網絡安全設備大多部署在局域網的出口位置，現有的安全技術又無法保證100%發現和阻斷外來的網絡攻擊行為；同時，內網中的計算機以及其它網絡通訊設備中存在的系統安全漏洞基本上沒有得到任何監控，僅僅依靠用戶自己進行維護；由于受到用戶安全防范水平和認識的限制，內網中必然存在著大量的網絡安全漏洞，一旦這些存在漏洞的計算機或網絡設備被外部侵入行為所控制，再利用這些設備發動arp或類似原理的攻擊，將迅速導致整個網絡系統的崩潰。對于這些內部網絡中發起的攻擊行為，普通的網絡安全措施是無法及時發現和有效阻止的。

3.2網絡安全新的發展方向

基于以上分析，我們認為應該將網絡安全的防御重點轉到內部網絡上來，應該將網絡監控的觸角延伸到內部網絡的每一個網段中；而最容易成為這些觸角的工具就是構建起內部網絡的網絡交換機。

在一個大規模的局域網內，聯入的網絡通信設備分布廣泛，覆蓋地理位置較遠；接入的計算機用戶數量多，通信的數據量大；設置的通信網段和通信路由復雜。一旦發生網絡故障，網絡管理員無法迅速定位引起故障的來源，更不用說在故障發生之前就主動的發現攻擊苗頭，通過遠程管理來消除故障隱患。這大大的影響網絡用戶的使用效率，降低了服務質量。而網絡交換機是構建內部網絡的基礎，是用于轉發網絡數據包的工具。那么，無論是外網發起的網絡連接，還是內網中類似于arp攻擊所發出的廣播包，網絡交換機都可以收集到數據信息。如果網絡中的交換機可以定時將收集到的數據樣本發往一個處理平臺，由處理平臺根據既定策略進行分析，再將分析結果傳給網絡管理員，由網絡管理員根據分析結果通過遠程控制將網絡故障或即將引起網絡故障的設備進行隔離，將大大的提高網絡管理的響應速度，保障大多數網絡用戶的使用效率。

3.3優化網絡管理的幾點要素

要建立起上述的網絡故障自動監控平臺，在建網時就要盡量做到以下幾個方面的工作：

①設計大規模的局域網時，網內的交換機應該聯入一個或多個獨立的網段中，這樣既可以讓交換機之間形成一個獨立的管理網絡，又可以避免遠程操作交換機時受到用戶網段通信的影響。

②應盡量多的在網絡中部署管理型網絡交換機，這樣既可以縮小故障源的范圍便于定位，又便于網絡管理員進行遠程操作以迅速處理網絡故障。

③應在核心交換機上部署一個基于全網拓撲圖的網絡監控軟件，形成一個對網絡信息進行收集、分析和反饋的平臺，達到動態監控的目的。如下圖1：

④應在核心交換機上配置一臺網絡監控計算機，這臺計算機可以與交換機管理網段進行通信。同時在網絡監控計算機上部署一個網絡交換機的圖形化管理軟件。以便加強交換機的可操控性，擺脫交換機的“命令行式”管理，利于普通的網絡值班人員（非核心技術人員）進行故障分析和排除。如下圖2：

⑤努力開發收集交換機數據的軟件，開發分析網絡行為的策略庫，不斷提高網絡監控平臺的故障反應速度和故障源定位的準確性。

4結論

當然，僅僅做到以上幾點還是不夠的，保障大型網絡的正常通信，維持網絡信道的高效傳輸，其任重而道遠。要構建綜合的動態網絡監控平臺來優化安全防護效果，就應該整合各種網絡安全資源、網絡安全產品，組成內外兼備，高效智能的立體防護體系，從而滿足各種領域對網絡安全的需求。大力提高內網的網絡安全管理能力，必將為達成上述目標起到重要而深遠的影響。

參考文獻：

[1]張仕斌，易勇。網絡安全技術[m]清華大學出版社

[2]任俠，呂述望。arp協議欺騙原理分析與抵御方法[j]計算機工程20__

篇9

關鍵詞：縣級煙草公司；計算機網絡； 網絡安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）14-3286-02

根據我國煙草公司的計算機網絡安全建設規劃與細則，我國各省的縣級煙草公司都已經建立了上接省級煙草公司，下接各個基層公司的信息共享和互聯通信的計算機網絡，在每一級網絡節點上都有各個局域網相連，由于考慮到計算機網絡結構與應用系統存在的復雜性，計算機網絡安全系統的建立于解決網絡安全的方案制訂問題就顯得尤為重要了。

1 網絡安全

所謂的計算機網絡安全指的是防止信息本身和采集、存貯、加工、傳輸等信息數據出現偶爾甚至是故意的泄露、破壞和更改，導致計算機網絡信息無法控制和辨認，也就是指有效保障計算機內的信息的可控性、可用性以及完整，計算機網絡安全主要包括兩方面的內容：首先是應確保計算機網絡本身的安全，其次是應確保計算機網絡內的信息安全。

2 縣級煙草公司計算機網絡安全面臨的主要威脅

1）病毒威脅

電腦病毒具有較強的破壞性、潛伏性、傳染性以及隱蔽性，電腦病毒如今已成為網絡安全最大的隱患，電腦病毒能夠嚴重威脅電腦內信息的安全，輕者能夠影響電腦運行的速度，嚴重搶占電腦資源，嚴重的則能夠破壞電腦內存貯的數據信息，將電腦內的秘密資料盜取，使得電腦的網絡系統徹底癱瘓。當前我國煙草行業的網絡建設十分完善，其主干網通過專有線路連接到各個煙草單位，并且所有的經營單位都有本單位內獨有的網絡出口，所有日常的經營和銷售活動都需要依賴于網絡平臺，并且雄厚的網絡資源給病毒侵入與傳播帶來了極為便利的侵入優勢，一旦使煙草公司內的電腦病毒有所蔓延，將會造成無法估計的損失。

2）黑客攻擊

所謂的黑客攻擊指的是黑客破壞或破解某一項重要程序、網絡安全甚至是系統，或者是破壞某網絡或系統從而提醒系統用戶系統出現安全問題的一種過程，黑客攻擊具備高技術和高智能等特點，是一種嚴重的違法犯罪現象，并且由于各種網絡攻擊軟件的大量出現，使得黑客攻擊大量存在于計算機網絡內，根據相關數據統計，在我國現已有90%的人擔心自己的電腦被黑客攻擊，通過這一數據我們能夠了解到黑客攻擊在我國是較為普遍的現象。由于黑客攻擊現象嚴重，給我國的計算機網絡和個人計算機帶來極為嚴重的安全挑戰和安全威脅。

3）垃圾郵件

由于計算機技術發展迅猛，網絡電子郵件傳輸的數量也不斷增加，根據相關統計結果顯示，在我國垃圾郵件的日傳輸量高達1200億封，從全球范圍內來看，我國計算機用戶平均每天都會受到接近20封的垃圾郵件，有絕大多數的郵件都是由病毒計算機發送出來的，一旦查看了這些病毒郵件就會使得病毒侵入計算機，令人防不勝防，因此，企業與個人應了解這些病毒郵件的危害，并且將有效的防護措施做好。

4）內部員工泄密問題

根據公安機關的統計結果顯示，大約有70%的泄密案件其犯罪源頭都來源于企業內部，由于當前煙草公司的網絡安全管理體制不健全或體制貫徹力度不夠，致使員工對網絡安全的防范意識無法滿足公司需求，構成安全系統的投入資金與維護資金存在較大矛盾，致使電腦安全管理方面的安全技術和安全措施無法有效的實施出來。假若相關操作人員有意違規操作，即使公司的安全系統十分強大也無法保證網絡運行環境和網絡信息的安全。

另外，因為計算機的技術發展與人的認知能力都存在較強的局限性，所以在設計軟硬件過程中難免會留下很多技術問題，使得計算機網絡安全存在很多不安全的因素。

3 防范措施

1）構建有效的防病毒體系

通過對病毒系統的完善采用主流網絡版的病毒防護軟件，其中包括客戶端和服務器兩個部分，服務器采用的是病毒防護系統，下載的是更新的病毒庫，系統客戶機端主要由計算機統一進行管理，并且其必須可以自動更新病毒庫，這樣就在很大程度上保證了縣級煙草公司的信息安全，從而實現全面的病毒清殺，在硬件角度上，為了阻攔來自外部的病毒，企業應由其出口處設置網絡病毒網，從而有效抑制病毒在主干網絡上的擴散。根據相關實踐經驗，我們應將病毒防護體系統一納入到全局安全體系中進行統一規劃和管理，從而以規章體制為基礎，用技術手段保障網絡安全，營造出可靠、安全的網絡運行環境。

2）入侵檢測

將防火墻和入侵檢測系統連接起來，通過防火墻檢測局域網內外的攻擊程序，與此同時，監測服務器的主要網絡異常現象，防止局域網的內部攻擊，預防無意的濫用行為和誤用行為，這樣有效的擴充了計算機系統的安全防御能力。

3）建立安全信息管理制度，采取訪問控制手段

構建行之有效、切合實際的管理體制，規范日常的管理活動，確保計算機運行的效率和流程，在計算機安全管理問題上也同樣應該如此，建立健全的管理體制，規范和完善計算機的網絡安全程序，網絡信息安全的組織結構應實行責任制度，將領導負責體制建立健全，在組織結構上確保計算機安全體制的執行。

訪問控制能夠決定網絡訪問的范圍，明確使用端口和協議，對訪問用戶的資源進行有效的管控，采用基于角色的訪問審計機制和訪問控制體制，通過對網管的控制，為不同單位和不同職位的員工設置差異化的網絡訪問策略和網絡訪問權限，從而確保網絡訪問的有效性和可靠性。強化日常檢查體系，對業務實行監控，部署檢測入侵系統，將完善的病毒反應系統和安全預警體系建立健全，對計算機內出現的所有入侵行為進行有效的阻斷和報警。

4 總結

總而言之，煙草公司電腦網絡安全防護是極為系統的一項工程，任何一個單一的預防措施都無法完全保障電腦信息和計算機網絡的安全，所以，網絡安全防御工作必須要遵循全方位、多角度的防護原理，我們在建立網絡安全時應以木桶原理做準繩，采取的安全防護措施一定要較為全面和綜合，只有這樣才能確保公司網絡系統運行的安全性。

參考文獻：

[1] 李海燕，王艷萍.計算機網絡安全問題與防范方法的探討[J].煤炭技術，201 l（9）.

[2] 張楠.淺析計算機網絡安全的現狀及對策[J].才智，2010（8）.

篇10

關鍵詞：職業崗位；項目化；四維一體模式；教材建設

中圖分類號：G642 文獻標識碼：A

Abstract：The course of firewall technology is a core curriculum in information security and related professions in Higher Vocational Colleges，carrying responsibilities and tasks to be network security manager.It is particularly important to develop a project oriented practice textbook on the basis of professional post demand.It was proposed a model based on four dimensional integration about the development of firewall technology project in this paper.It was proved that the students can enhance network security professional skills through this textbook.

Keywords：professional post；project；four dimensional integrated model；textbook construction

1 引言（Introduction）

伴隨著網絡安全問題的出現，國家機關單位、行業、企業、事業單位等都在局域網網絡安全建設方面投入了防火墻設備以提高網絡安全性能。高職教育直接為社會經濟發展提供高技能型人才[1]，尤其是為地方經濟建設服務。因此網絡安全類專業培養熟悉網絡安全設備方面的人才需求量日益增加。防火墻技術課程是國家高職院校專業標準中計算機網絡技術、信息安全技術專業的核心技術課程，是培養專業核心技能的專業課程[2，3]，且開設學校與面向的學生廣泛，課程教材建設尤為重要。王永紅[4，5]等提出理實一體化教材建設思想，采用“五個”對接理念進行優質教材建設。

2 教材建設的依據（The basis of textbook construction ）

社會經濟發展區域勢態不同，行業、企業需求不一樣，不同省份、區域的高職院校在專業建設方面的投入各不相同，因此教材建設存在顯著差異。對于實訓環境欠缺的院校，防火墻技術課程注重理論和軟件防火墻的模擬操作。因此目前已經出版發行的主流防火墻技術教材，主要是基于軟件防火墻應用及防火墻工作原理介紹網絡安全策略，重原理輕實踐，尤其是缺乏市場主流硬件防火墻配置與管理方面的實踐內容。對于實訓環境較好的院校，其地方經濟活躍，行業、企業信息化程度高，對硬件防火墻的需求能力旺盛，因此該區域的高職院校防火墻技術課程旨在培養學生對軟、硬件防火墻的操作配置的實踐能力，實現防火墻設備與交換機、路由器等網絡設備的互聯互通，進而達到企業網絡安全系統集成的技能要求，注重行業企業崗位職責需求，同時掌握防火墻技術所需的理論知識，以夠用為原則。

本教材改革傳統防火墻技術內容編排體系，根據《防火墻技術》課程核心技能要求和網絡安全技術崗位技能要求（如圖1所示），依據網絡安全管理與防控過程的工作邏輯選取并組織內容體系。選取技術方法常用、內容實用，結合市場主流防火墻技術應用案例，對企業安全案例進行典型化修改、提升和拓展，嵌入省部級信息安全職業技能大賽賽項內容。按項目設計工作任務，由簡單到復雜，螺旋進階，組織內容體系。由背景需求引導解決問題方法，分析設備選型，規劃網絡拓樸并進行設備配置，最終進行項目測試、撰寫測試分析報告。采用理論（與技能賽點匹配，與實踐操作對應鏈接）+實踐（仿真與實操結合）的框架結構，突出防火墻技術技能訓練。

3 《防火墻技術》教材建設的依據（The basis of textbook construction on firewall technology）

3.1 吻合課程標準，突出網絡安全防控能力訓練

《防火墻技術》為專業課程體系中的專業核心技能訓練模塊課程，課程設置對應網絡安全防控能力訓練，與網絡安全管理員崗位的防火墻技術應用技能匹配。教材緊貼課程標準開發與建設，符合崗位職業技能需求。

3.2 融合行業企業項目及技能大賽內容，動態更新

教材建設既與企業項目工程實戰緊密相關，通過消化吸收企業真實工程項目，對企業真實案例進行典型化修改并融入到教材內容中，通過畢業生網絡安全管理工作實踐反饋，再吸收行業新技術、新案例，保證技術內容覆蓋深度和廣度。另一方面嵌入省部級技能大賽，將省部級大學生技能大賽賽點以任務形式融入教材內容中，通過各個技能點對應的任務提高學生職業技能，更好地參加省部級技能大賽、創新訓練大賽、創業大賽等項目。

3.3 項目載體，基于任務難易進行進階設計

教材內容應用實踐部分，采用項目化方式將企業項目與技能大賽技能點進行消化吸收，按照學生思維“從簡單到復雜”的方式組織項目，開展“任務驅動、賽項融合、防控一體，企業生產實踐一體化”教學模式，將課程逐級遞增項目難度，最后實現網絡安全系統綜合實訓內容。

4 教材開發（The development of textbook）

防火墻技術項目化教程采用四維一體開發模式。（1）采用項目化實戰維度。突出實訓內容，構建信息安全技術專業核心課程教學資源庫建設，按照行業、企業需求，對網絡安全技術職業崗位進行調研并歸納出崗位對應的典型工作任務，開發出防火墻技術課程對應的教學資源及配套教材。（2）采用網絡安全工程生命周期維度。教材開發遵循網絡安全工程生命周期開發，先從基礎網絡配置，在網絡互聯互通基礎上進行防火墻安全設備配置，實現網絡安全策略部署。（3）采用省部級技能大賽維度。嵌入省部級信息安全技術方面的職業技能大賽賽項內容。教材內容涵蓋省部級信息安全技術賽項中防火墻技術技能點、防火墻與網絡互聯設備綜合技能點，以任務形式開展技能點訓練，并定期進行更新，極大的提高了教學效果和教學質量。（4）采用綜合管理技能訓練維度。每個項目里面設立項目綜合實訓，將企業真實項目引入，階段性的引入綜合管理技能。分項目完成后設立綜合實訓項目：網絡安全系統綜合實訓，將防火墻與交換機、路由器等網絡系統進行系統化集成，如圖2所示。

開發的實戰項目如表1所示。

5 結論（Conclusion）

《防火墻技術項目化教程》是信息安全技術專業、計算機網絡技術專業的核心教材，是2014江蘇省現代職業教育技術課題中高職銜接課程資源建設核心成果之一，經過實踐教學應用，教材使用效果好。教材建設是專業內涵建設的一部分，特別是專業核心課程的教材建設，需要綜合考慮企業、行業的需求，人才培養職業能力、實訓環境、省職業技能大賽需求等方面，切實提升專業內涵建設。

參考文獻（References）

[1] 李敏等.高職工學結合特色教材建設的探索與實踐――以機械類專業“基于工作過程系統化”教材開發為例.哈爾濱職業技術學院學報，2015（1）：56-57.

[2] 劉靜，楊正校.基于太倉市產業集群的電子商務發展研究.蘇州市職業大學學報，2014（25）：31-35.

[3] 楊正校，劉靜.基于產業集群的中小企業移動電子商務研究-以太倉市為例[J].軟件2014，09（35）：86-90.

[4] 王詩瑤，王永紅.基于“理實一體化”的《計算機網絡技術》教材建設研究.開封教育學院學報，2015（35）：112-113.

[5] 王永紅，王詩瑤.基于五個“對接”的優質教材建設思考與實踐[J].計算機教育，2015（12）：94-97.

作者簡介：