笔者从众多开设网络工程专业的高校中选取部分211或985学校作为研究对象,对多所学校的网络安全方向课程的设置进行了对比分析,见表1。网络安全在某些高校是作为网络工程专业的一个方向开设,如吉林大学就是在网络工程专业下设网络安全方向,开设网络攻防技术、无线网络技术等课程;而在有些院校网络工程中没有网络安全方向,而以单独的信息安全专业存在,如电子科技大学和北京邮电大学都是单独设有信息安全专业,该专业开设的安全方向课程更全面,如信息安全数学基础、密码学基础、网络安全协议等;还有一些高校既没有信息安全专业,在网络工程专业中也没有安全方向,只是在课程中设置了少量的安全类课程,如大连理工大学开设网络安全、Matlab课程,中山大学开设了密码学与网络安全课程。
2扩展课程设置探讨
下面针对济南大学的网络工程专业安全方向开设的课程进行改革探讨。济南大学网络工程专业目前正在使用的培养方案中与安全相关的课程设置情况见表2。其中,一部分是计算机类学科基础课,一部分是网络工程专业基础选修课和专业方向课。济南大学网络工程专业中设有网络安全方向。结合山东省名校工程的契机,笔者在调研多个名校的培养方案并结合本校实际情况的前提下,对网络安全方向课程的设置提出下面几个调整意见。
2.1增设信息安全数学基础和网络仿真课程
虽然原有培养方案中高等数学、线性代数、概率论与数理统计、离散数学4门数学课程都占据了大量学时,但是对于网络安全方向的学生而言,后期用到的相关数学知识并不多。但是学生对网络安全真正用到的初等数论和群环域知识却一点都没有接触。因此,修改培养方案时应增设信息安全数学基础课程,学时不用太多,可以为24学时,授课内容要涉及网络安全中用到的模运算、同余理论、数论函数和群环域等知识。目前,网络安全方向用到的数学知识均是在应用密码学课程中讲解的。大部分有关密码学的教材都会在讲解分组密码和公钥密码时,介绍一些与之密切相关的数学知识(如群环域),如由清华大学出版社出版,杨波编写的《现代密码学》(第二版)[3]中的“密码学中一些常用的数学知识”部分。这种做法一方面占了密码学课程的部分学时,势必会减少学生学到的密码学知识;另一方面,临时讲一些数学知识并不能让学生系统地理解。因此,笔者非常赞成清华大学冯克勤教授提出的增设初等数论课程的想法[4]。虽然冯教授是针对清华大学数学科学系本科生提出的,但对于网络安全方向的学生而言,不学习初等数论和群环域知识,很难理解和掌握后续的与安全相关的课程内容,这点在应用密码学课程中尤其明显。例如,学习离散对数算法后,学生只知道在已知一些参数的情况下如何利用指数进行加密解密,但不能理解如何选择参数,不知道什么是本原元,如何确定一个循环群的本原元以及如何利用模运算降低计算量,如何快速的编程实现。笔者采用不同于上述冯教授提出的在大学第1学期开设初等数论课程的方式,而是在第3学期开设。因为济南大学在第1、2学期,学生必修高等数学和线性代数课程,这已经使学生无暇顾及更多的数学知识。第3学期开设信息安全数学基础可以很好地和第4学期开设的应用密码学课程衔接。另外,在信息安全数学基础课程中,安排一定的实验学时,让学生在经过第1、2学期的程序设计课程之后,通过学过的编程语言实现数论和群环域中的一些算法,理论联系实际,从而更好地掌握数学知识,为后续密码学算法的研究奠定基础。
2.2增加网络仿真课程
现代网络技术的研究离不开仿真软件,因为我们不可能实际搭建网络,如果不合适,再拆了重新搭建,这不仅费时而且费力。现在所有与网络相关的研究都在仿真基础上进行;而如果不开设仿真课程,学生仅学习理论知识,会与实际应用脱离。济南大学的信息安全教学团队由5位博士组成,其中3人是数学专业背景,主要研究网络安全,2人是计算机学科出身,主要研究无线网络,而且5人中有2人具有工程背景。信息安全教学团队负责网络工程专业的所有安全类课程的教学,包含无线网络和网络协议等课程,这些课程都需要仿真软件的配合才能使学生真正掌握所学知识。因此,增加网络仿真课程是必须的。至于仿真课程的内容,可以选择NS2或NS3,也可以与大连理工大学相似,采用Matlab。
2.3合并网络协议和网络安全协议课程,调整其他相关课程的学分和学时
网络协议课程主要讲TCP/IP协议,内容与吉林大学的TCP/IP协议族相似,重点在网络的分层协议,如网络层协议、传输层协议等。涉及部分安全协议,如IPsec、SSL、SNMP等,这与网络安全协议课程中再次对这些内容的讲解重复,而且安全协议本身也是网络协议的一种,因此可以考虑将安全协议和网络协议两个课程整合或一门全新的网络协议课程,去掉重复内容,增加部分学分和学时,从原有的2.5学分增加到3学分,同时学时从原有的48增加到64。网络工程专业修改培养方案后的安全方向课程设置见表3。从表3可以看出培养方案修正前后的总学分保持不变,这是因为在增加新课的同时,调整了部分课程所占学分和学时,如减少无线网络原理与技术的学分,从原有的4学分减到3.5学分。这样一方面增加了新课,另一方面整合了重复内容的课程。
3结语
1.1开放环境。目前,在网络安全领域及智能规划领域中,都没有对开放环境予以明确的定义,而对于开放环境下的问题研究却很多。在本论文中所研究的开放环境指的是,在计算机网络对应用者开放使用的条件下,硬件系统能够保障网络的正常运行,操作系统及软件能够为管理员及普通用户提供各个角色所需要的功能,即软硬件系统能够为应用者提供服务。
1.2网络安全。网络安全其从应用的角度包含设备安全、信息安全、软件安全。网络攻击者通过以计算机网络为基础的入侵达到窃取重要信息的目的,同时,也有部分计算机高手为达到某种目的,通过使用计算机网络攻击竞争对手的服务器,进而造成网络企业无法正常运营。本文所讨论的网络安全即是为了防范信息丢失或服务器攻击所采取的措施。
1.3智能规划。智能规划是一个动作序列,是一个智能体agent在初始状态(initialstate)下经过执行动作1,动作2,……,动作n这样的一系列动作,最后到达目标状态(goalstate),该一系列动作,我们也称为是这个动作的序列所构成的整体叫做一个规划。每一个规划问题(planningproblem)都要涉及到以下四个集合:一个操作的集合operators、一个对象的集合objects、一个初始条件集合initialconditions和一个目标集合goals,其中初始条件集合和目标集合的每个元素都是一个命题。
1.4规划识别。规划识别是人工智能一个重要的研究领域,是多学科交叉的一个研究领域,涉及到了知识表达、知识推理、非单调逻辑和情景演算等。规划识别问题是指从观察到的某一智能体的动作或动作效果出发,推导出该智能体的目标/规划的过程。
1.5入侵检测。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
1.6应对规划。应对规划是将规划识别和智能规划进行融合,实现识别与应对同时进行,针对敌方系统实施的敌意规划,采取一个动作序列来阻止、破坏敌意规划的执行,进而使我方系统不受到破坏或者将所受损失降到最小,这样的动作序列就称为应对规划(counterplan)。在作者蔡增玉的《基于应对规划的入侵防护系统设计与研究》一文中对应对规划赋予的定义是:为Agent根据敌对Agent的动作,利用规划识别技术发现敌对Agent的目标和将来的动作,并采取适当的响应措施阻止敌对Agent目标的实现,整个过程称为应对规划.在网络安全领域,敌对Agent通常是指网络的入侵者。
2识别及应对模型
对于计算机网络安全的研究较多,但是,将智能规划与规划识别技术应用于该领域的研究却并不多见。本文在前期的理论研究的基础上,提出了开放环境下网络安全规划问题的识别与应对模型,进而得到了解决网络安全问题的新的方法。具体模型如图1所示。该模型的具体执行过程是根据针对服务器端或客户端产生的人为攻击,通过入侵检测的方法,检测到该动作后,对这一动作进行识别,并在此动作中提取该动作所导致的系统变化,将变化的结果作为当前系统工作的初始状态,将此状态传递至应对规划器,此规划器中以此状态为初始状态展开应对规划的求解过程,应对规划器均以系统安全为目标状态,并按照规划器得到的规划步骤,触发相关软硬件设备,逐步执行规划中的每个操作,使服务器端及客户端达到安全状态。该模型的核心在于攻击动作的识别及应对规划的产生。动作的识别主要依靠规划识别器,应对规划的产生则依靠应对规划器,将这两个部分进行组合,并应用到网络安全的问题中,进而对人为攻击计算机网络的安全问题有了解决的方法。
3总结
通过下一代防火墙、态势感知检测响应、安全云端、安全运营平台,初步构建“网-端-云-平台”一体化框架进行风险控制闭环。框架中,下一代防火墙、态势感知检测响应等网络和端点安全设备持续采集网络和端点侧流量日志,安全云端和本地安全运营平台通过发现和关联流量日志中各类攻击威胁失陷标志,找出入侵攻击链,进一步在网络和端点侧进行控制处置,切断攻击链。
3.2建立初步的信任评估和控制机制
以上网行为管理和SSLVPN设备组件为基础,对接各类型终端,入网前基于设备状态和身份信息进行信任等级判定。并建立内部应用访问身份认证机制。下一阶段工作通过零信任技术建立更全面的访问前信息采集和持续评估能力,进一步打通网络、应用、数据访问的身份和信任判决及控制。
3.3建立本地化安全运营能力
基于安全运营平台,将全网终端威胁、网络攻击及业务系统安全通过大屏可视化的方式呈现,结合外部安全服务专家专属服务化的方式,实现了网络安全的闭环响应与处置,同时为内部人员提供信息安全知识与技能,沉淀本地知识经验库;基于安全运营平台分析结果进行决策,指导各部门开展网络安全工作;通过网络安全运营平台指导安全建设,提供安全策略优化指导,全面提升系统安全运营能力。
3.4构建针对未知威胁防控的人机共智能力
基于本地安全运营平台、下一代防火墙、态势感知检测响应等设备组件中人工智能算法,借助安全云端的全球威胁情报和安全大数据分析辅助,初步构建针对已知和未知Web攻击、僵尸网络、各类型病毒、漏洞利用、部分APT攻击和异常业务行为的检测识别能力。通过演练成果应用,实现了满足等级保护2.0合规要求,具备在实战化攻防对抗中抵御攻击、快速恢复能力,同时日常服务运维过程中对各类型业务和数据提供常态化安全防护。
4创新性与价值
信息系统安全建设基于自身信息化业务需求和网络安全监管法规要求,以“体系合规,面向实战,常态保护”为目标,“统筹风险,精益安全,持续推进,人机共智”为安全能力构建方向,逐步推进建设落地。规划建设过程,体现了以下几方面特色和优势:(1)体系化统筹,从高层要求、监管法规等业务和内外部需求出发,从风险、安全、推进、智能四方面,体系化地规划安全能力和落地过程[5]。(2)全面保障,整个建设理念和框架覆盖的保护对象从物理环境,到网络、主机、边界等各层面,并对各类型业务和场景具有普适性。(3)面向未来,利用人机共智的三位一体能力,以及阶段性演进的成熟度坐标,规划面向未来的能力演进体系。(4)有效落地,创新网络安全微服务架构,提升自动化管理效率,利用专家服务和辅助决策降低人员门槛,进一步通过可视化指标体系呈现安全建设绩效。
网络工程专业从1998年教育部批准开设以来,发展十分迅速。截止2012年,全国已有329所高等学校设置了网络工程专业,其中重点院校超过50所。经过十多年的发展,网络工程从原来计算机专业的一个专业方向发展成为全国性的大专业。2011年教育部将网络工程专业列入高等学校本科专业基本目录,标志着网络工程专业已经成为一个稳定发展的基本本科专业[1]。
网络工程专业在快速发展的同时,也面临着一些普遍性的困难与问题。比如:网络工程专业与计算机科学与技术、软件工程、信息安全等其他信息类专业的差异区分不够明显,办学特色不够鲜明。因此,有必要从专业方向和课程体系建设入手,结合自身办学优势,制定特色鲜明的网络工程专业人才培养方案。这样,才能培养出合格的网络工程专业人才。
笔者所在学院2012年获批了中央支持地方高校发展专项资金,重点建设“网络与信息安全”实验室,改善网络工程专业的实践教学条件。网络工程系以此为契机,结合已有的信息安全师资优势,凝练出网络安全与管理方向,并开展相应的专业课程体系改革。本文以此为背景,探讨网络工程专业网络安全与管理方向的人才培养方案。
1 网络安全与管理方向人才培养要求
与其他信息类专业类似,网络工程专业网络安全与管理方向的人才培养要求从素质和能力两方面入手。
1.1 基本素质
网络工程专业人才要求具备的基本素质包括思想政治素质、人文素质、职业道德素质、专业素质、心理素质和身体素质等[2]。
思想政治素质要求政治立场坚定,热爱祖国,增强社会责任感,树立崇高理想,培养高尚情操,养成正确的人生观和价值观。人文素质要求具有深厚的文化底蕴,高雅的文化气质,良好的人际交往能力和团队合作精神。职业道德素质要求遵纪守法,遵守社会公德,坚持职业道德的底线,具备实事求是,坚持真理的品格,具有爱岗敬业的精神,一丝不苟的作风,以及服务社会的意识。专业素质要求掌握科学的思维方式和研究方法,养成良好的学习习惯和工作风格,具备较好的创新思维和踏实严谨的实干精神。心理素质和身体素质要求具有健康的体魄,乐观向上的心态,坚忍不拔的毅力和身体力行的风格。
1.2 基本能力
网络工程专业人才要求具备的基本能力包括学习能力、分析解决问题的能力、阅读写作能力、协同工作能力、专业适应能力、创新能力[2]。
学习能力是指自学能力,即知识和技术的获取能力、理解能力与应用能力。分析解决问题的能力是指通过专业调研、理论分析、设计开发、仿真实验等方法解决网络工程领域实际问题的能力。阅读写作能力是指专业技术文档的阅读能力与写作能力。协同工作能力包括专业表达能力、问题沟通能力、协作能力、组织管理能力。专业适应能力是指在学习网络工程专业知识和技术的基础上,能够从事并适应相关领域的研究、开发与管理工作,并能适应网络工程专业技术和市场不断发展变化的能力。创新能力包括创新思维能力和创新实践能力。
1.3 专业能力
网络安全与管理专业方向的人才培养除了满足网络工程专业人才培养基本要求外,还需要注重培养两方面的专业能力:网络系统安全保障能力和网络管理维护能力[3]。网络系统安全保障能力是指熟悉信息安全基本理论和常见网络安全技术的工作原理,掌握主流网络安全产品的安装、配置和使用方法,能初步设计开发网络安全产品。网络管理维护能力是指熟悉常见网络设备与系统的工作原理,掌握网络管理的主流模型、系统功能、以及各类管理技术与方法,能初步管理和维护网络与信息系统。
2 网络安全与管理方向专业课程体系
2.1 知识结构
网络工程专业网络安全与管理专业方向人才要求具备的知识可分为三大类:公共基础知识、专业基础知识、专业知识。
公共基础知识相对固定,具体知识包括政治理论知识、人文社科知识、自然科学知识。其中,政治理论知识包括马克思主义基本原理、中国近现代史纲要、毛泽东思想和中国特色社会主义理论。人文社科知识包括大学英语、大学生心理健康、思想道德修养与法律基础、社会和职业素养、军事理论、体育。自然科学知识包括高等数学、线性代数、概率论与数理统计、大学物理、大学物理实验。
专业基础知识根据网络工程专业人才的专业能力要求制定,具体包括电子技术基础、计算技术基础、计算机系统基础。其中,电子技术基础包括数字电路、模拟电路和电路基础,技术技术基础包括数据结构、离散数学、程序设计、算法分析与设计,计算机系统基础包括计算机组成原理、操作系统、数据库原理、软件工程。
专业知识相对灵活,通常根据所在院校的专业特色和办学条件制定,具体包括专业核心知识、专业方向知识、专业实践环节[1]。下面重点讨论这部分内容。
2.2 课程体系
依据上述知识结构,结合笔者所在学院的师资力量、办学条件和专业特色,制定了网络工程专业网络安全与管理方向的专业课程体系,如图1所示。由于公共基础课程基本固定不变,在此不再列出。
2.3 专业方向课程知识点
网络工程专业网络安全与管理方向可分为网络安全和网络管理两个分支。其中,网络安全分支课程包括信息安全基础[4]、网络安全技术[5]、网络攻防技术,每门课程的主要知识点如表1所示。网络管理分支课程包括网络管理[6]、网络性能测试与分析、网络故障诊断与排除,每门课程的主要知识点如表1所示。
3 结束语
本文以笔者所在学院的网络工程专业建设为背景,分析了网络工程专业人才培养的基本要求。在此基础上,说明了网络安全与管理专业方向人才培养的专业能力要求,进而得出与之相适应的知识体系结构和课程体系内容。最后重点介绍了网络安全与管理专业方向主要课程的知识单元与相应的知识点。接下来的工作是将该课程体系落实到网络工程专业培养方案中,并在具体实施过程中发现问题,解决问题,分段调整,逐步完善。希望本文所作的研究与探讨能给兄弟院校的网络工程专业建设提供有价值的参考。
参考文献:
[1] 教育部高等学校计算机科学与技术教学指导委员会.高等学校网络工程专业规范[M].高等教育出版社,2012.
[2] 姜腊林,王静,徐蔚鸿.网络工程专业物联网方向课程改革研究 [J].计算机教育,2011.19:48-50
[3] 曹介南,蔡志平,朱培栋等.网络工程专业与计算机专业差异化教学研究[J].计算机教育,2010.23:139-142
[4] 教育部信息安全类专业教学指导委员会.信息安全类专业指导性专业规范[M].高等教育出版社,2010.
【关键词】移动互联网 信息爆炸 信息与网络安全 网络资源 可持续发展模式
1 前言
信息通信技术为社会与经济发展注入了强劲动力,更是“让城市生活更美好”的“动力之源”。而移动互联网的出现给人们带来了传统互联网和传统通信技术所无法比拟的方便和快捷。但是,正如世间万物皆有正反两面性一样,移动互联网在蓬勃发展的同时,如失之不察,也会对社会及人们生活产生负面影响。如何将这种负面影响降至最低,这正是移动互联网发展中将面临的挑战。
2 信息爆炸与知识匮乏的共生现象
移动互联网克服了传统通信技术时间和空间的障碍,为人们进一步打开了获取信息与知识的大门,加快了信息传播的速度,但是也带来了一些问题和“副作用”。首先是“信息爆炸”现象更为严重。信息爆炸是指人们对当代社会大量出现并加速增长的各种信息现象的描述,表现为新闻信息飞速增加、娱乐信息急剧攀升、广告信息铺天盖地、科技信息飞速递增、个人接受严重“超载”,其结果是伴随信息泛滥,信息超载而发生严重的信息浪费和信息“疾病”。移动互联网上真正有价值的信息常常被大量无用信息所淹没,因而不得不耗费大量的时间和精力在信息“洪水”中搜寻有用的信息,搜索过程难免造成大量信息流失,从而造成信息的极大浪费。比如,全球第二大应用商店GetJar今年3月的一份独立研究报告显示,手机应用的下载量将从2009年的略高于7亿次上升至2012年的近500亿次,移动应用很明显将超过传统的桌面互联网,但泛滥的信息使有用信息的下载和传播变得更为困难。另外,对世界10家跨国公司的调查结果表明,由于每天要处理的信息量超过了分析能力,从而影响到了其决策的效率,甚至导致决策失误或是难以作出最佳决策。有分析说,目前收集一些信息所花费的成本已超过了信息本身的价值。
同时,与移动互联网可能进一步引发信息爆炸而共生的却是知识匮乏现象。因为信息爆炸并不意味着知识爆炸,信息只是形成知识的原始素材,知识是信息发展的高级形式,只有人们理解了数据和信息后,以高度活用的形式编排记忆的系统信息才将形成知识。在移动互联网时代,汹涌而来的信息会使人无所适从,大量无关的没用的冗余信息严重干扰了受众对相关有用信息的准确分辨和正确选择,从而难以从浩如烟海的信息海洋中迅速而准确地获取自己最需要的信息与知识。当然知识匮乏并不意味着在移动互联网上知识供应总量低于过去,也不意味着知识增长速度放慢,而表现为信息与知识的增长失衡。因此,移动互联网的发展如果处理不当,可能会出现一个“信息虽发达,知识却贫乏”的时代,给人类社会带来负面效应和潜在危机。医治和控制移动互联网环境下的“信息爆炸”与“知识匮乏”是移动互联网时代人们面临的一个严峻的挑战。
3 信息与网络安全日益严峻
移动互联网发展迅猛,作为定位于一个开放的信息承载网络,向固定用户和移动用户在内的所有用户提供IP电话、电子邮件、Web业务、FTP业务、电子商务、WAP业务、基于位置信息的业务、短消息结合业务等具有移动特色的互联网服务,其安全性越来越受到人们的重视和质疑。
在今年央视“3・15”晚会上,“手机用户被莫名其妙地收取信息费”的现象又一次成了热门话题。晚会曝光了部分不良的手机厂商与SP勾结,将暗藏陷阱的手机卖给不知情的消费者,骗取信息服务费的不法行为。另外,借助手机传播色情信息的问题也日益突出,成为了某些不法机构和个人盈利的手段。手机色情产业的日益猖獗,对涉世未深的儿童和青少年伤害极大,并已经成为许多国家乃至全球必须面对的日益突出的社会问题。在移动互联网发展中,如不采取有效的安全措施,安全问题将日益凸显。
探究移动互联网安全隐患的原因,首先,移动互联网时代智能手机所占比例越来越大,移动终端在向iPad、上网本、电子书等便携式终端扩展已成为必然趋势,因而使移动互联网安全面临更大挑战。其表现为智能终端病毒及木马病毒大幅增加,从而导致个人信息泄露或出现对电子商务的安全威胁。其次,来自传统互联网的恶意代码、僵尸网络、垃圾信息等问题,以及来自新业务模式的移动电子商务中诈骗、隐私泄露等问题将越发严重。有专家指出,目前全球网络信息安全威胁有三大趋势:一是全球安全威胁急剧增长;二是安全攻击产业化发展;三是Web安全成为重中之重,80%基于Web的应用或多或少都存在安全问题,其中很大一部分Web的安全问题相当严重。
移动互联网安全形势严峻,还与移动互联网的融合有关,其使传统移动网络由于终端类型单一、网络封闭、终端非智能而形成的安全性优势丧失殆尽,最后仅能保持鉴权严格,行为可溯源的特点。在移动互联网融合中,互联网所特有的安全问题仍然存在,而移动互联网的融合又凸显了新的安全隐患。固定互联网的业务复制是目前移动互联网业务发展的特点,而融合“移动”特征的业务创新则是移动互联网业务发展的方向。因此,其业务系统环节会更多,应用涉及到的用户及服务器的信息也更多,信息安全问题比固定互联网更为复杂。由于移动互联网用户基数大,节点自组织能力强,同时涉及大量的私密信息和位置信息,因此有可能引发大规模的攻击和信息发掘,包括拒绝服务攻击及其对于特定群组的敏感信息搜集等。与固定互联网相比,移动互联网的恶意信息传播方式多样化,具有即时性、群组的精确性等特点。
随着移动互联网的逐步成熟,各种新业务在为用户带来便捷性的同时,如何保护他们在虚拟空间中的安全,如何进行有效监管及创造阳光绿色的安全环境,将对运营商、服务内容提供商、移动互联网企业、终端厂商以及政府监管提出更高的要求。
4 网络资源与频谱资源的巨大浪费
移动互联网的到来,必然伴随着用户对网络资源的巨量需求。以AT&T为例,自2007年6月推出了iPhone后,AT&T网内的数据流量3年内激增了5000%,使其网络多次出现拥塞或是局部瘫痪。而在2009年圣诞节后几天,由于网络拥塞,AT&T甚至一度在纽约地区停售iPhone手机。在遭到用户的强烈反对后,又不得不恢复纽约地区的销售,其结果是,AT&T陷入了前所未有的品牌低潮中。据统计,在美国由iPhone/iPod Touch以及Android系统手机所产生的网络流量在2009年10月份竟然占到了全美网络的流量的75%,而在九月份这个数字还只是65%。在全球市场范围之内iPhone所占流量从九月份的43%上升到了十月份的50%,即全球的手机网络流量中有一半是iPhone创造的,可见移动互联网对网络流量的占用正以令人惊讶的速度增长。但是,随之而来的庞大数据流量使众多运营商相继遭遇了严重的网络瓶颈问题,就连超级电信巨头也不能幸免。
尽管我国的用户和市场结构与国外存在差别,但使用智能手机的情况类似,正如中国联通董事长常小兵所言:“实际上联通iPhone用户套餐的使用量,大多数消费者都没有消费掉,但是对少数‘粉丝’而言可能就显得不够,这和全世界运营商同行的规律类似,即不到5%的用户消费掉运营商60%、70%的带宽。”
在移动互联网时代,这种少数人占用绝大部分网络资源而令网络拥塞/瘫痪的不正常现象,必然造成网络资源和频谱资源的巨大浪费。
5移动互联网也需要“低碳式”的可持续发展
移动互联网可能引发的对社会与经济发展的负面影响,究其原因,可以归纳为移动互联网发展模式还处于初级阶段,缺乏对移动互联网真正良性融入社会的可持续发展的认识。
移动互联网发展的初级阶段,表现为,其一发展目标是初级的,只想尽快将业务重点从话音业务转移到数据业务上,尽量争取用户量和业务量。AT&T就是典型的例证,自2007年6月引入iPhone仅半年,新增iPhone用户超过200万,占所有新增移动用户的22%。在2008年,其iPhone用户群的数据消费增长了4000%,ARPU值达到96美元,是普通用户的1.6倍。2008年AT&T联手iPhone,尤其是3G版的iPhone,为其带来了高端市场和移动数据业务的双丰收,也是其应对金融危机的有力武器。可是曾几何时,到2009年底就爆发大规模网络拥塞,却变为全美手机用户最不满意的移动运营商。其二,用于发展的资源和手段是初级的。发展的资源以网络和终端升级为主,这些都是发展的初级资源。仍以AT&T为例,其在移动互联网的得意之作就是独家运营iPhone,而且一直以iPhone的升级为主线。同时,在应对iPhone引发的网络拥塞时,也主要考虑网络的不断升级;发展手段也是初级的,无非是宽带网络建设和资费刺激。其三,参与发展的各主要方面的关系是初级的。实施发展的政府、企业和用户的关系是失衡的,其目标存在较大差异。其四,发展的结果也是初级的。电信增值业务及收入得以快速增长,但也形成了诸多的“类发展困境”,诸如有害信息泛滥、网络及信息安全漏洞频出、无序应用造成网络拥塞或质量下降等等。所谓“类发展困境”,是指虽然行业总体发展了,但不少方面发展的实际结果与发展的预定目标正好相反,这是属于总体发展顺境中的“发展困境”。
应该认识到,当前的移动互联网模式不是可持续发展的模式,因为巨量的无用和不良信息极大地增加了社会成本;网络、信息以及终端严峻的安全威胁,破坏了社会良性发展的基础结构;少数人占有大部分网络资源不但造成了社会资源的巨大浪费,也形成了新的信息社会的不公平现象。因此,面临挑战,移动互联网的成长要寻求一条“低碳式”可持续发展路线。低碳经济原本是为应对气候变化应运而生的新概念。发展低碳经济就是要解决长期以来高碳排放给人类社会发展带来的不可持续的影响,构建以低能耗、低污染、低排放、可持续为基本特征的经济发展模式,保护人类社会赖以生存的生态和气候环境,促进人类社会的可持续发展。
同理,移动互联网虽然不是高碳排放的行业,但它的发展中对人类社会造成的负面有害的影响可视为信息的“高碳排放”,同样需求净化,需要将移动互联网的目标与社会、经济、人民生活的发展目标和谐一致,不能仅为产业或企业的利益而造成社会成本的增加。比如,不能只追求业务流量和收入放任不良信息的泛滥,而整个社会要为治理不良信息“买单”;不应为降低行业或企业成本而减少保证网络安全、信息安全的投入,其安全漏洞却让整个社会承受惨重代价;更不应该不分青红皂白地一味鼓励用户无节制地使用网络资源而产生大量垃圾信息,同时浪费了网络资源和频谱资源,而让整个社会为网络拥塞/瘫痪承担损失。因此,移动互联网也需要构建自己的“低碳式”可持续发展模式。
6 结束语
移动互联网作为新的信息通信技术,必将成为促进人类社会发展进步的重要力量。但是,诸如信息泛滥、安全威胁、资源无序占用与浪费等将可能对社会和人们生活产生负面影响,使互联网的发展面临严峻挑战,对此应引起足够的警惕与重视;同时,期盼移动互联网早日走上“低碳式”可持续发展的坦途。
参考文献
[1]徐海东. 移动互联网面临三大安全问题[R]. 2009中国计算机网络安全应急年会分会.
[2]3G与全业务运营应高度重视网络信息安全[N]. 人民邮电报,2009年11月8日.
[3]钱薇旭. 信息爆炸与信息匮乏[J]. 教育技术专业战略发展研究,2007年12月.
[4]郭庆婧. 苹果引发的一场思辨[N]. 人民邮电报,2010年1月26日.
关键词:网络;初中生;德育
计算机网络以其信息容量大,内容丰富,且集知识和娱乐于一体的特征深受中学生青睐。网络环境给学生的学习资源提供了有利条件,但在带来正面效应的同时,也会造成负面影响。如何应对网络给学校德育带来的问题,做好初中生的德育工作,这正成为我们每个教育者必须认真思考的问题。作为一名教育工作者,就网络德育教育方面,提出以下几点认识。
一、了解网络,以身作则
教师应主动学习网络知识,了解网络,提高自身的网络道德修养,才能做学生的表率。教育者应当也是受教育者,一方面是网络知识的学习,另一方面是网络道德素养的提高。只有掌握了网络工具,教师才能有针对性地开展对学生上网的指导。
所谓“先莫先于修德”,塑造灵魂的工程师必须首先具备高尚的网络道德,从而对学生产生潜移默化的影响。对此,学校应组织全体教师进行网络远程教育培训,让教师在了解网络的同时,体
会教师为人师表,必须率先垂范,做好学生网络道德教育的模范。
二、了解学生,合理引导
网络资源兼具声色俱全、图文并茂、声情融会的特点,易于吸引人们的注意力,同时信息内容复杂,既有科学、健康、有益的大量信息,伪科学、不健康、有害甚至反动的信息也充斥其中。庞杂的信息会造成人们思想的迷惘,何况初中生自我约束力不足、道德规范意识不强,思想更容易被影响。
作为教育工作者,除了呼吁社会净化网络环境之外,我们可以通过其他方式来引导学生,培养学生正确的网络价值观。
首先,向学生推荐好的学习网站和优秀的少年儿童网站,让
网络成为学生文化学习的“良师益友”。面向中小学的网站有很多,其中主要功能是补习辅导,设有学习方法指导、例题分析、试题、疑题介绍等内容。
学生网络浏览信息最初带有盲目性,我们可以向学生推荐优秀的少年儿童网站,如:雏鹰网、童网、中青网等。
其次,建立班级QQ群,通过学生的聊天内容,掌握学生的思想动态,对于涉及不健康的内容,我们要及时制止,删除这些内容,防止传播开来。
再次,学校建立网站、初中生贴吧,学生可以在学校网站上了解学校最新大事。在初中生贴吧,里面必须是科学、健康、积极、向上的信息,以此来感染、熏陶学生,时刻关注贴吧内容,发现有不健康、消极负面的内容,教师应及时清除不良信息,引导学生树立正确的思想观念,获得更多的知识。
三、尊重学生,合理指导
我们应该在网络环境下关注学生电脑,在网络服务器和学生电脑上安装防护软件,运用一些技术手段进行分级审查、限制,将不健康的内容过滤,减少不良信息的传播、污染,安装防“黑客”、防病毒软件,保护电脑安全,使学生免受毒害。
开展丰富多彩的活动,引导他们将时间和精力用到学习和创造中去,让他们正确利用网络,提高学习兴趣。如,组织学生参加全国中小学电脑制作比赛,我校初二一学生作品获得全省二等奖,同时将有创意的作品展示出来,让学生在学习和活动的过程中充分展示自己的综合素质,培养自己的创造能力,努力实现自己的个人价值,充分获得成就感。
四、因势利导,实施教育
学校可以举办网络德育方面的讲座,加强学生的政治思想教育、法制教育和责任教育、人格教育和道德教育,提高他们辨别真假、是非的能力,让他们自觉维护国家和民族的利益,树立良好的信息道德和信息意识,从而能够清醒地对网上信息进行分析、选择,取其精华,去其糟粕。
还可在网上开设“网络问题咨询室”,结合现实设身处地地为学生着想,与学生交谈,让他们在其中学到网络知识,同时培养他们的网络环保意识,让他们具有公德心和责任感,从而发自内心地认识到:全社会的人都应该自觉维护网络环境。
21世纪是一个高度信息化的网络时代,在这个世界多极化、思潮多元化、人的发展多向化的时代,网络已经渗透到学校校园里,尤其是网络的多媒体和虚拟现实技术的应用,可以在电脑屏幕上创设一种轻松、愉快的场景,为学生提供真实的表现效果,感染力极强,为增强人与人之间、人与网络之间的互动性创造了良好的条件。我们可以在教学中有机地渗透德育,要求学生不能在网上为所欲为,不能进入别人的网站搞恶作剧,不能随意对计算机系统进行删除、修改、增加、干扰,不能在网上散布不健康的言论等,而且阐述这些行为有可能产生的严重后果和社会危害,使学生自觉地远离一切有损网络的行为,让他们知道网络社会是全世界人们共同组建的,每一个有良知的网民都有责任维护和保持这个社会的正常秩序。
网络的健康发展离不开德育工作,我们应该取其长补其短,充分发挥出它的效益,并且要充分尊重学生的主体地位,关注学生的电脑,更关注学生的心灵,让学生紧跟时代前进的步伐,在网络环境中健康快乐地成长。
关键词:信息安全专业;网络与网络安全课程群;工程训练;自主学习
1研究背景
随着网络及信息技术的发展,网络和信息安全风险日益增长。在全球范围内,计算机病毒、网络攻击、垃圾邮件、系统漏洞、网络窃密、虚假有害信息和网络违法犯罪等问题日渐突出。据有关国家信息安全机构统计,我国每年被黑客攻击的网页达10万数量级,钓鱼网站数量占世界总量比例偏高,位于我国的僵尸网络的肉鸡数量位于世界的前列,分布式拒绝服务的受害者数量非常庞大。如何保证网络的安全性,已经成为全社会关注的问题。如应对不当,可能会给我国经济社会发展和国家安全带来不利影响。提升网络普及水平、信息资源开发利用水平和信息安全保障水平,是国家近年来的信息化发展战略之一。
社会对网络安全人才的需求量在不断扩大,急需大量具有扎实理论基础并受过良好工程实践训练的网络安全人才。培养网络与网络安全人才,对推动国家的网络与信息安全工作有重要意义[1-4]。如何使高校的本科生教育与社会需求接轨,为社会培养有用的网络安全技术人才,是我们在网络与网络安全课程体系建设中需要考虑的重要问题。
本文主要围绕北京工业大学信息安全专业建设情况,对网络与网络安全课程群的设置与建设情况进行详细介绍,探讨网络与网络安全课程群的教学方法和实践教学改革思路。
2网络与网络安全课程群设置
北京工业大学信息安全专业于2003年在计算机学院成立,到2005年,建成了具有初步规模的信息安全专业教学与实验环境。近几年来,在国家和北京市的支持下,专业建设取得突飞猛进的进步。2007年,本专业被教育部批准为第二类特色专业建设点,2008年被北京市教委批准为特色专业,2010年被评为北京市重点学科。网络安全是北京工业大学信息安全交叉学科的一个重要研究方向。
在沈昌祥院士的带领下,信息安全专业以“立足北京、服务北京”为基本办学定位,加强课程体系和教材建设,强化实践教学,紧密结合国家和北京市的经济社会发展需求,推进专业建设与人才培养。该专业逐步形成了满足培养国家和北京市经济和行业发展急需的信息安全专业创新型应用人才需求的教学体系。网络与网络安全课程群是我校信息安全专业建设的一个重要内容,该课程群主要培养信息安全系本科生在网络与网络安全方面的理论基础和实践能力[5-7],要求学生掌握网络和网络安全基本理论知识,学会规划网络和配置网络,并具备使用防火墙、VPN、病毒防治等工具维护网络安全的能力。在课程群的课程教学内容安排上,充分体现由易到难、由浅入深的教学规律,并注重理论与实践相结合的原则,图1展示了信息安全专业课程的拓扑图,其中网络与网络安全课程群设置用灰色阴影文本框表示。
现行的信息安全专业的本科教学计划包括计算机网络基础、计算机网络基础实验、路由与交换技术、网络设计、网络安全防护、信息安全体系结构、信息安全标准、安全协议、安全协议课设、计算机病毒防护、无线网络安全、防火墙技术、应用服务器安全等系列课程,建立了一定规模的实验环境。为了更好地安排上述课程群的教学内容,我们结合信息安全专业不同年级学生的特点,进一步制定每一年的教学目标,使整个课程群的教学内容成为一个有机整体。
针对一年级学生,主要是培养学生的学习兴趣和奠定专业基础。计算机网络基础是为信息安全专业新生开设的第一门专业课程,在信息安全整个课程体系以及网络与网络安全系列课程群中起着举足轻重的作用。这门学科的内容博大精深,涉及到众多的概念、原理、协议和技术,它们以错综复杂的方式彼此交织在一起。为应对计算机网络在内容上的广阔度和复杂度,使学生能够在学习整个体系结构中某部分的具体概念与协议的同时,也能够掌握每一层协议在整个网络系统中所处的地位和作用,我们采用自底向上和自顶向下相结合的方法。该方法能够使学生在对计算机网络的概念、原理和体系结构有深入了解的基础上,又能对协议和技术及其内在联系有一个全局的掌握,形成比较系统的知识体系。在该课的基础上,第二学期开设的计算机网络基础实验课程加深学生对计算机网络各层协议功能和基本工作过程的理解与掌握,以验证性和演示性实验为主,培养学生的学习兴趣,使学生在一年级就能轻松接触到网络相关知识。
针对二年级学生,我们开设了路由与交换技术、网络设计、网络安全与防护,培养学生在组网和网络配置方面的能力,同时使其了解网络面临的安全威胁,并具有简单的安全防护知识。通过路由与交换技术课程的学习,学生将了解路由与交换的基本知识,掌握各种路由与交换技术的特点及其基本原理,培养学生的局域网组网与管理能力,使学生能够根据具体环境和应用目的设计合理的拓扑结构,组建网络,并具备解决网络中常见问题的基本技能。网络安全与防护使学生了解企事业网络中存在的威胁,掌握安全评测的基本理论与方法,掌握网络安全策略的设计与实现、安全事故处理的基本方法。通过该课程学习,学生将学会网络安全防护的方法,为学生从事企业安全网络设计与网络管理等工作打下一定的基础。
针对三年级学生,为了加深他们对网络安全知识的理解,我们开设了信息安全体系结构、安全协议、信息安全标准课程。信息安全体系结构课程围绕如何构建一个安全的信息系统,并对构建安全体系结构的关键三要素(技术、管理和人员)之间的关系进行了详细阐述。使学生掌握信息安全体系结构中的基本概念、基本理论、基本方法,在整体上认识构建一个安全的信息系统需要解决的主要问题,通过结合具体的应用案例分析,提高学生的综合设计、分析和解决问题的能力。安全协议课程使学生能够对网络安全协议有一个系统全面的了解,掌握各层安全协议的概念、原理和知识体系,在实践中学会应用网络协议知识分析解决各种网络安全问题。课程包括了许多网络安全的案例分析,让学生将课堂理论与应用实践紧密结合起来,学会解决实际应用中的工程技术问题,了解设计和维护安全的网络及其应用系统的基本手段和常用方法。通过信息安全标准的学习,学生对国际和国内信息安全领域制定的相关标准方面有一个基本的了解,并重点学习几个信息安全领域中的核心标准。
针对四年级学生,注重对其网络与网络安全工程实践能力和创新能力的培养,通过一些能反映网络与网络安全最新发展情况的计算机病毒防护、无线网络安全、防火墙技术、应用服务器安全等专业选修课程,开阔学生的视野,为学生实习和就业打下基础。计算机病毒防护课程既注重对病毒基本概念、作用机制和防治技术的阐述,又力求反映病毒防治技术的新发展,既兼顾课程的深度,又有一定的广度。通过学习该课程,学生将掌握防治计算机病毒的基本理论和基本技术,为进一步深入学习网络安全课程奠定了良好的基础。无线网络安全课程则使学生对无线通信系统及其安全有比较全面的了解,初步掌握无线通信的分类和各种类别的基本原理,以及无线网络环境中的安全措施,为今后适应层出不穷的无线网络应用打下基础。防火墙技术课程使学生理解防火墙的基本知识,掌握防火墙的体系结构、关键技术以及构建、配置防火墙的基本方法,并对防火墙技术的未来发展方向有一定的了解。应用服务器安全课程主要讲解计算机应用系统面临的安全风险、应用安全涉及的相关技术和手段(包括数据存储技术及其安全)、应用系统安全解决方案以及方案的典型实现。通过该课程的学习和实践,学生能够基本掌握设计计算机应用系统的安全方案应考虑的若干方面,能够从系统的角度看待安全问题,并能综合利用几年来所学的安全知识解决系统的安全问题。
3网络与网络安全课程群教学方法改革
在网络与网络安全课程群的教学中,我们强调理论与实践相结合的教学方法,在抓好理论教学的同时,强化实践教学,形成了工程训练、自主学习、创新培养并举的特色教育理念。鉴于在实践教学和创新能力培养方面的有力措施和突出成绩,我们在2010年获得了北京工业大学优秀教育成果一等奖。
3.1强化实践教学,提高学生的工程实践能力
2007年,信息安全专业对实践教学计划进行了全面修订,包括增加实践教学环节的学分比例、提高综合性与设计性实验比例、设置自选设计环节、强化综合设计和毕业设计环节、加强对实践教学体系各个环节的规范化管理。
针对某些比较重要的理论课程,如计算机网络基础,我们设置了专门的实验课程――计算机网络基础实验。针对技术性比较强的课程,我们设置了课内实验,做到理论与实践相结合。例如对路由与交换技术、网络安全与防护、安全协议、防火墙技术、计算机病毒与防护、应用服务器安全等选修课程,我们设置了课内实验(包括设计性实验和综合性实验),使学生掌握高级网络技术和具备维护网络安全的技能。
课程设计是锻炼学生系统设计能力的好机会,我们设置了安全协议课设课程。学生以小组形式进行课设,每个小组选出组长,负责一些协调工作,提高团结协作能力,使同学间互相帮助、取长补短、共同进步。
信息安全专业实习、信息安全综合设计和毕业设计是信息安全专业比较重要的实践环节,是促进学生综合运用所学知识解决实际问题的关键。我校信息安全专业与太极、瑞星等单位建立了校内外实习基地,为学生提供了实习条件。信息安全综合设计和毕业设计使学生能够有机会参加一些工程项目的研发。综合设计题目与内容选取有一定的工程实际背景,体现应用性、先进性、综合性。毕业设计的题目主要来自企业或学校的科研项目。一些学生在公司完成实习和毕业设计,为顺利就业创造了条件。一些学生在学校的科研环境中进行实习和毕业设计,为考研和进一步深造奠定了基础。
3.2提倡自主学习,提高学生的学习积极性
自学课程的开设对教师提出了新的要求,要求教师改变传统教学模式,探索有利于创新型人才培养的教学模式。我们开设自学课程的教学理念是:以学生自主学习为主,教师引导和启发学生为辅。这不仅要求教师有丰富的教学经验和较好的教学效果,还要有较强的责任心。该课程培养学生独立学习网络与网络安全新知识,发现问题、分析问题、解决问题的自主学习能力,使学生能够适应社会和网络技术发展的要求。在网络设计自学课程中,我们采用国外经典教材《Cisco Network Design》,引导学生自己学习教材和阅读相关文献资料,通过小组分工协作完成一个真实的园区局域网络规划方案设计,达到学以致用的目的。通过采用自评、互评、演讲等多种形式来激发学生的参与力度,使学生能充分发挥学习的主动性和自觉性,把学生的兴趣、爱好、学习、创新融为一体。
3.3通过创新活动,激发学生创新能力
结合网络安全课程群的建设,我们为学生开设网络与网络安全的创新活动和创新实践课程,利用第二课堂活动开展专业调查、社会实践和竞赛活动。具体采取了如下措施。
1) 以校企联合的形式为学生举办多次安全知识的讲座。邀请院士、总工程师、总裁等作相关报告,使学生更好地了解信息安全产业的发展状况,对他们后续的工程实践、实习就业有非常重要的作用。
2) 各种科技活动和兴趣小组培养学生研究性学习和创新性实验能力。例如,我们成立了网络兴趣小组,促进学生参加网络技能训练;鼓励学生申请“北京工业大学星火基金”,培养学生的创新能力。
3) 通过组织各种竞赛,引领学生在创新中成长。我们多次指导本科生参加思科网院杯全国大学生网络技术大赛、全国大学生信息安全竞赛。获得一等奖2次,二等奖3次、三等奖2次。
4) 安排高年级本科生进入专业实验室,鼓励学生参与到教师的教学科研项目,逐步引导学生独立从事科学研究工作。在指导老师的帮助下,一些学生已经独立发表学术论文或与老师合作发表学术论文。
4结语
培养网络与网络安全的人才,对推动国家的网络与信息安全工作有重要意义。我校强化实践教学,提高学生的工程实践能力;提倡自主学习,提高学生的学习积极性;通过创新活动激发学生创新能力,形成工程训练、自主学习、创新培养并举的特色教育理念,取得较好的教学效果。
参考文献:
[1] 张焕国,黄传河,刘玉珍,等.信息安全本科专业的人才培养与课程体系[J].高等理科教育,2004(2):16-20.
[2] 王清贤,朱俊虎,陈岩. 信息安全专业主干课程设置初探[J]. 计算机教育,2007(19):12-14.
[3] 王伟平,杨路明. 信息安全人才需求与专业知识体系、课程体系的研究[J]. 北京电子科技学院学报,2006(1):47-49.
[4] 马建峰,李凤华. 信息安全学科建设与人才培养现状、问题与对策[J]. 计算机教育,2005(1):11-14.
[5] 李毅超,曹跃,郭文生,等. 信息安全专业计算机网络课程群建设初探[J]. 实验科学与技术,2008(3):90-93.
[6] 俞研,兰少华. 计算机网络安全课程教学的探索与研究[J]. 计算机教育,2008(18):127-128.
[7] 谌黔燕,郝玉洁,王建新,等.网络安全课程中的实践教学研究与探索[J]. 计算机教育,2007(1):38-40.
Network and Network Security Curriculum Group Construction for Information Security Major
DUAN Lijuan, LAI Yingxu, YANG Zhen, HOU Yarong, LI Jian
(College of Computer Science, Beijing University of Technology, Beijing 100124, China)
【关键词】无线网络 网络安全 加密技术
引言
在现今的网络时代中,无线网络的应用无处不在,广泛应用在单位、商场、酒店及家庭等。如果能深入了解各种无线网络的加密技术并加以对应的安全措施,就能自由无虑地在网上畅游,也不怕黑客的攻击或非法闯入者的骚扰了。以下就目前最流行的几种无线网络加密技术和安全防范技术进行分析。
一、无线网络的加密技术
无线传输的安全类似于一个书面信息,有各种各样的方法来发送一个书面信息。每一种方法都提供一种增强水平的安全性和保护这个信息的完整性。你可以发送一张明信片,这个信息对于看到它的每一个人都是公开的。你可以把这个信息放在信封里,防止他人随意看到它。如果你确实要保证只有收件人才能够看到这个信息,你就需要给这个信息加密并且保证收件人知道这个信息的解码方式,无线数据传输也是如此。如果没有加密的无线数据在空中传输,任何在附近的无线设备都有可能截获这些数据。使用有线等效协议(WEP)加密你的无线网络可提供最低限度的安全,因为这种加密是很容易破解的。如果你确实要保护你的无线数据,你需要使用WPA(Wi-Fi 保护接入)等更安全的加密方式。
(一)有线等效协议(WEP)
WEP即Wired Equivalent Privacy,是一种基于40bit共享密钥编码的数据加密装置,因为不可变换,所以非常容易入侵。
这里需要提醒WEP只是让你的网络更难让黑客入侵。WEP加密并不在IEEE 802.11标准中,这表示有许多种WEP加密方式,但不完全,例如MAC地址部分就没有被加密。因此,这个协议后来发现存在一些漏洞,甚至一个初入道的攻击者也能够利用这个协议中的安全漏洞。
(二)Wi-Fi 保护接入(WPA)
WPA加密即Wi-Fi Protected Access,其加密特性决定了它比WEP更难以入侵,所以如果对数据安全性有很高要求,那就必须选用WPA加密方式了(Windows XP SP2已经支持WPA加密方式)。WPA是目前最好的无限安全加密系统,它包含两种方式:Pre-shared密钥和Radius密钥,以下简单介绍一下:
①APre-shared密钥有两种密码方式:TKIP和AES。
②Radius密钥利用Radius服务器认证并可以动态选择TKIP、AES、WEP方式。
③临时密钥完整性协议(TKIP)
TKIP 是一种基础性的技术,允许WPA 向下兼容WEP 协议和现有的无线硬件。TKIP 与WEP一起工作,组成了一个更长的128 位密钥,并根据每个数据包变换密钥,使这个密钥比单独使用WEP 协议安全许多倍。
④可扩展认证协议(EAP)
有EAP的支持,WPA加密可提供与控制访问无线网络有关的更多功能。其方法不是根据可能被捕捉或者假冒的MAC地址过滤来控制无线网络的访问,而是根据公共密钥基础设施(PKI)来控制无线网络的访问。WPA协议给WEP 协议带来了很大的改善,它比WEP 协议安全许多倍。
二、无线网络用户的安全应对措施
无线网络安全并不是一个独立存在的问题,所有用户必须认识到这一事实,只有在共享的环境中同时在几条战线上对付攻击者,才能确保无线网络的安全。值得指出的是,有些威胁是无线网络自身所带有的,无线通讯最可靠的安全方式就是针对无线通讯数据进行加密,加密方式种类也很多,从最基本的WEP加密到WPA加密。用户在网络间的相互访问,其控制是通过AAA服务器来转载的。这种传输方式为用户提供更大更好的可扩展性,为了安全访问控制服务器,在802.1x的安全端口上提供了自定义的机器认证号码,在这一特定的环境中,只有使用者成功利用802.1x规定端口的识别码后才能进行端口访问。另外,目前还有通过SSID和MAC地址过滤。SSID是当前无线网络访问点所采用的识别字符串,它的特点是标志符都是由设备制造商所制定的,每个标识符都要通过默认短语,因为所有的无线工作站的网卡都会配有自己独特的物理地址,所以每个用户可以根据自己的需要设置访问点,设计一套允许的MAC地址列表,从而实现了物理地址过滤。需要指出的是,这要求AP中的MAC地址列表要随时更新,其缺点就是可扩展性差,无法实现机器在不同AP之间的漫游。同时,MAC的地址还可以用高科技技术来伪造,所以说,这种加密技术还是较为低级的授权认证。它的优点就是,他可以完全阻止非法访问无线网络,能有效保护网络的安全。在实践中很多用户通过WEP或TKIP无线网络提供原始完整性数据包。WEP加密技术也提供认证功能,当其加密机制功能开始启用时,所有客户则要在客户端连接AP,连接成功后AP会发出一个Challenge Packet地址给客户端,客户端利用中间的共享密码将此值加密,然后送回存取点以进行认证比对,直到验证正确无误,才能获准存取网络的资源。在IEEE 802.11i规范中,TKIP Temoral Key Integrity Protocol负责处理无线安全问题的加密部分。就上述几种加密技术的优缺点,我们可以做好以下几种措施:
(一)正确设置网络密钥
在缺省状态下,无线网络节点生产商为方便初级用户安装无线网络,特意将无线网络节点的数据传输加密功能设置为“禁用”,这样一来用户初次接入进的网络是不安全的,非法攻击者很容易利用专业的嗅探工具,截获到在无线网络中传输的数据。为此当你在初次连接到无线局域网中时,必须记得设置好网络密钥,来对在无线网络中传输的数据进行加密,以便有效抵御普通黑客的非法入侵。
(二)更改默认的SSID 设置
在默认状态下,无线网络节点的生产商会利用SSID(初始化字符串),来检验企图登录无线网络节点的连接请求,一旦检验通过的话,就可能顺利连接到无线网络中。可是由于同一生产商推出的无线网络节点都使用了相同的SSID 名称,这给那些企图非法连接到无线网络中的攻击者们,提供了入侵便利,一旦他们用通用的初始化字符串来连接无线网络时,就很容易建成一条非授权链接,从而给无线网络的安全带来威胁。为此,在初次安装好无线局域网时,你必须及时登录到无线网络节点的管理页面中,打开SSID 设置选项,重新设置一下初始化字符串,最好让人难于猜测。而且,为了更有效地避免非法链接,你最好在条件允许的前提下,取消SSID 的网络广播,这样能将黑客入侵机会降到最低限度。
(三)做好其他防范工作
为了更好地保护无线网络的安全,还可以根据无线网络节点自身功能的不同,进行一些其他有效的安全防范措施。
结论
无线网络安全是需要一个不断改善和升级的过程,特别是无线技术迅猛发展的今天,就算是一项大家都认为是目前最完美的安全技术,当应用到实际中时还是漏洞百出,这就需要通过人们不断的努力来完善它。只有认真了解各种加密技术和传输数据的加密方法,再加上相关的措施等方法结合起来, 才能构筑安全的无线局域网,这些都需要我们不断地学习和探索。
【参考资料】
[1]韦安明,王洪坡,程时端,林宇.高速网络中P2P流最检测及控制方法[J].北京邮电大学学报,2007(5).
