论文摘要:利用网络信息技术进行科研管理,加强了信息共享与协同工作,提高了科研工作的效率,但与此同时也存在一些安全隐患。介绍了科研网络信息安全的概念和意义,分析了其存在的安全隐患的具体类型及原因,为保证科研网络信息的安全,提出了加强网络风险防范、防止科研信息被泄露、修改或非法窃取的相应控制措施。
论文关键词:科研网络信息;安全隐患;控制策略
1引言
随着计算机网络技术的普及,利用网络信息技术来改造传统科研管理模式已经成为一种历史潮流。由于计算机网络的互联性和开放性,在提供信息和检索信息的同时,也面临着一些安全隐患,科研信息一旦泄露,会给科研项目的实施带来致命的打击。因此,加强网络安全、防止信息泄露、修改和非法窃取已成为科研单位普及与应用网络迫切需要解决的问题,及时掌握和控制网络信息安全隐患是十分必要的。
2科研网络信息安全的概念和意义
2.1概念
科研网络信息安全主要包括以下两个方面的内容:①科研数据的完整性,即科研数据不发生损坏或丢失,具有完全的可靠性和准确性。②信息系统的安全性,防止故意冒充、窃取和损坏数据。
2.2意义
根据信息安全自身的特点以及科研的实际情况。
网络信息安全在科研单位的实施应该以信息安全技术做支撑,通过流程、审查和教育等的全面协同机制,形成一个适合科研管理的完整的信息安全体系,并依靠其自身的持续改进能力,始终同步支持科研项目发展对网络信息安全的要求。
3科研网络信息存在的安全隐患
3.1网络管理方面的问题
科研网络的信息化,由于覆盖面大、使用人员多以及资料、信息系统管理存在漏洞.有关人员缺乏保密意识,往往不能保证工作文稿、科研资料、学术论文等在网络上安全、正确、实时的传输和管理。
3.2外部威胁
网络具有方便、快捷的特点。但也面临着遭遇各种攻击的风险。各种病毒通过网络传播,致使网络性能下降,同时黑客也经常利用网络攻击服务器,窃取、破坏一些重要的信息,给网络系统带来严重的损失。
4科研网络信息安全的控制策略
4.1建立完善的网络信息管理体系
4.1.1制定并网络信息安全管理制度这是科研网络信息安全工作的指导准则,信息安全体系的建立也要以此为基础。
4.1.2建立网络信息安全管理组织这为网络信息安全体系的建立提供组织保障,也是网络信息安全实施的一个重要环节,没有一个强有力的管理体系,就不能保证信息安全按计划推进。
4.1.3加强网络信息保密审查工作坚持“谁公开、谁负责、谁审查”的原则,落实保密审查责任制,规范各科室、部门分工负责的保密审查制度,不断完善和细化保密审查的工作制度、工作程序、工作规范和工作要求。
4.2开展充分的信息安全教育
工作人员信息安全意识的高低,是一个科研单位信息安全体系是否能够最终成功实施的决定性因素,所以需要对员工进行充分的教育,提高其信息安全意识,保证信息安全实施的成效。
科研单位可以采取多种形式对工作人员开展信息安全教育,充分利用科研单位内部的舆论宣传手段,如观看警示教育片、保密知识培训、签订保密承诺书、保密专项检查等,并将工作人员的信息安全教育纳入绩效考核体系。
4.3选择合适的网络信息安全管理技术
网络信息安全管理技术作为信息安全体系的基础,在信息安全管理中起到基石的作用。
4.3.1设置密码保护设置密码的作用就是安全保护,主要是为了保证信息免遭窃取、泄露、破坏和修改等,常采用数据备份、访问控制、存取控制、用户识别、数据加密等安全措施。
4.3.2设置防火墙防火墙在某种意义上可以说是一种访问控制产品,它能强化安全策略,限制暴露用户点,它在内部网络与不安全的外部网络之间设置屏障,防止网络上的病毒、资源盗用等传播到网络内部,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。
4.3.3病毒防范和堵住操作系统本身的安全漏洞为了防止感染和传播病毒,计算机信息系统必须使用有安全专用产品销售许可证的计算机病毒防治产品。同时任何操作系统也都存在着安全漏洞问题,只要计算机接人网络,它就有可能受到被攻击的威胁,还必须完成一个给系统“打补丁”的工作,修补程序中的漏洞,以提高系统的性能。防止病毒的攻击。
4.3.4使用入侵检测技术人侵检测系统能够主动检查网络的易受攻击点和安全漏洞。并且通常能够先于人工探测到危险行为,是一种积极的动态安全检测防护技术,对防范网络恶意攻击及误操作提供了主动的实时保护。
4.4加强网络和移动存储介质的管理
科研管理系统安全是由多个层面组成的,在实际的操作过程中.也要严格遵守操作规程。严禁在外网上处理、存储、传输涉及科研秘密信息和敏感信息,严禁移动存储介质在内外网上交叉使用,严格上网信息保密审查审批制度,严格执行计算机定点维修制度。
【关键词】信息安全;网络安全;网络空间安全;联系区别;战略
信息安全、网络安全和网络空间安全这三个名词随着我国互联网科技的不断发展,已经被越来越多的人所熟知,出现在大众面前的频率也越来越高,同时,在世界各国的安全战略文件中,对这三者之间的研究占有着重要的地位。然而,虽然这三者经常出现在各种媒体报道中,但是很少对其进行详细的解释,很多人对于这三者之间的交叉关系和逻辑关系并不十分明确,缺乏清晰的认识。因此,本文将根据对信息安全、网络安全和网络空间安全的最新研究资料和实践活动,做出初步的分析和探讨。
一、“信息安全”的概念和范围
1.1“信息安全”概念的形成和发展信息安全是指保护信息和信息系统避免未经授权的而进入、使用、破坏、监视记录和销毁,涉及到计算机科学、网络技术、通信技术和应用数学等众多领域知识。信息安全的概念在上世纪50年代开始出现,90年开始深化。进入二十一世纪以来,随着各国科技和互联网技术的不断发展,信息安全问题日益突出,因此,确保信息安全已经成为社会各界广发关注的问题。国际标准化组织对信息安全是这样定义的:确保信息的完整性、可用性、保密性和可靠性。我国开放以来,各方面的信息量呈爆炸式增长,并且对信息的传播速度也有了更高要求,为了适应社会环境要求,通信技术也发生了巨大转变,除了传统的有线通信外,短波、超短波、微波、卫星等无线通信技术广泛应用,因此,在信息的传播渠道上采取有效措施来保护信息安全,是目前各国正在积极研究的重要课题。1.2“信息安全”的内涵信息安全的核心在于保证信息的保密性、可用性、可控性和不可否认性等五个主要内容。保密性是阻止非法授权阅读信息的行为,信息安全一诞生就具有该特性,是信息安全研究的主要课题之一。不仅要组织非法授权者接触信息、阅读信息,更要防止信息被传递给其他非法授权者,防止信息泄露。完整性是指防止信息被篡改,保护信息的原始状态不被非法修改、插入、删除等。可用性是指主体在需要信息时能够得到信息的服务能力。可控性是指可以采取适当措施监控和管理信息系统,以防被恶意盗取和利用。不可否认性是指在网络环境下,交换信息的双方不能否认在教化过程中发送和接受信息的行为。
二、信息安全、网络安全和网络空间安全之间的联系
2.1网络安全与信息化发展指出:安全是发展的前提,发展则是安全的保障,安全和发展要同步推进。网络安全和信息安全是一体之两翼,驱动之双轮,必须要统一谋划,统一推进、统一实施。这很经典地概括了网络安全和信息安全发展的辩证关系。目前,在国际上已经发生了多起因网络安全没有同步跟进信息安全而导致重大危害实践的发生,甚至导致一个政府的。比如在2007年4月至5月期间,爱沙尼亚遭受到了全国性的网络攻击,包括爱沙尼亚总统和会议网站、各级政府部门、各级执政党和六大新闻机构中的三家机构、最大的两家银行和多家通讯公司等,大量网站被迫关闭,造成全国性的恐慌;2010年伊朗核设施遭受“震网”病毒攻击,导致1000多台离心机瘫痪,“震网”病毒攻击物理设施,引起了世界震动;在2011年社交网络催化的西亚北非“街头革命”,导致多国政府垮塌;2015年12月,乌克兰电力基础设施遭受到恶意代码攻击,导致大面积地区数小时的额电事,造成社会恐慌。这些惨痛的教训告诉人们,如果网络安全防护工作没有同步跟进信息安全,小到企业和个人,大到国家政府、国家基础设施和社会生活都将面临极大的网络风险。2.2网络空间安全和信息安全伴随着互联网的发展,世界范围内侵害个人隐私、侵害产权知识等违法犯罪经常发生。网络监听、网络攻击、网络渗透、网络恐怖主义等行为对国家安全构成了严重的危害,已经成为影响国家经济社会发展和人民利益的重大战略问题。据公安机关相关负责人称,2016年以来,仅涉网的侵犯公民个人信息的案件,已经多达1800起,涉及犯罪嫌疑人达4200多人。因此,在2016年12月国办了《国家网络空间安全战略》,提出依法办网,依法治网,使互联网在法治轨道上健康运行,保护网络空间依法有序流动,保护个人隐私和知识产权不被非法侵犯。同时,在战略中提到的有关建立实施网络安全审查制度,提高产品服务的安全性和可控性任务,目的在于在开放的环境下为用户提供安全放心的产品。网络空间安全强调公民遵循合法、正当、务必的重要原则,公开收集信息的使用规则、使用信息的目的、范围及方式,这一原则和信息安全的核心内容相互依赖,相互融合。
三、信息安全、网络安全和网络空间安全之间的异同
根据上面的分析,可以看出信息安全、网络安全和网络空间安全这三者之间并不是单独存在,而都是交互使用的。我国在2012年国务院颁布的《关于大力推进信息化发展和切实保障信息安全的若干意见》中,多次强调关于网络与信息安全的用语,比如“提升网络与信息安全监管能力”,“提升网络与信息安全”等,都说明了三者之间的联系的密切性。但是在信息安全受到网络安全和网络空间安全影响时,人们往往会将三者混为一谈。同时,很多人对网络安全和网络空间安全的认识不够深刻,难以有效区分两者之间的联系。首先,先分析这三者之间的相同之处。首先,信息安全、网络安全和网络空间安全都属于非传统的安全领域,是进入二十一世纪以来全人类共同面对的一大安全问题,在我国人大会议上也曾多次强调建设信息安全、网络安全和网络空间安全的举措。其次,三者都属于信息安全,虽然各自的载体和形式各不相同,但是出发点和重点都是使人类信息的安全保障不受外来因素的干扰和侵害。最后,这三者可以互相使用。其中,信息安全的使用范围最广,既可以是线上的线下的额信息安全,又可以保证网络安全和网络空间安全,其中网络安全的侧重点是线上和网络社会安全,网络空间安全侧重点是海、陆、空的并行的空间安全,具有军事性质的安全。信息安全、网络安全和网络空间安全的不同除了概念上的不同之外,它们各自提出的背景也不相同。信息安全最早基于现实社会的信息安全提出的,网络安全是相对于现实安全而言,网络空间安全则是对全球五大空间的新认知,将网域和现实中的陆地、海上和空中、太空等领域一起,共同形成了人类自然社会和国家的公共空间,具有全球性。
四、结束语
文章主要论述了信息安全、网络安全和网络空间安全各自的概念、特点。以及三者之间的联系、异同。总之,在现代社会,信息安全必须注入“网络”元素,在互联网时代的信息安全必须关注网络空间安全的新战略,要以一种全新的视野看待信息安全、网络安全和网络空间安全三者之间的联系和区别。
参考文献
[1]曲成义.再论信息安全、网络安全和网络空间安全.[J].中国图书馆学报,2016(16)
[2]郭志龙.网络安全的内容体系与法律资源的投放方向.[J].网络安全的时代与中国探讨,2014(16)
[3]任贤良.推动网络新媒体形成客观理性的网络生态.[J].红旗文稿,2014(11)
[关键词] 移动电子商务 信息系统 Bent函数 Hash函数
现代计算机网络技术和电子计算机技术的迅猛发展及普遍使用,使得社会前进愈来愈依赖电子技术和信息技术的发展,信息经济席卷全球,成为经济运行的主流。电子商务近年来发展速度越来越快,应用的环境越来越好,但同时产生了商务信息系统安全问题。商务信息系统安全的核心是密码理论与技术,密码技术的研究一直收到广泛重视,密码理论与技术发展很快。应对层叠而出的商务信息系统安全问题,设计能抵抗安全攻击的布尔函数不仅有理论价值,同时还有巨大的商业应用价值。
由Rothaus教授提出的Bent函数是一类重要的密码函数,还有Hash函数。它在密码、编码理论、序列设计,以及组合设计理论中有广泛而重要应用。笔者在本文将主要探讨移动电子商务信息系统安全,以及如何采用bent函数、hash函数技术如何增加移动商务信息系统安全系数的问题。
一、移动电子商务信息系统安全简述
1.电子商务与移动电子商务概念
电子商务(Electronic Commerce,简称E-commerce)是在因特网开放的网络环境下,基于浏览器或服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付,以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。
移动电子商务(M-Commerce),它由电子商务(E-Commerce)的概念衍生出来,是通过手机、PDA(个人数字助理)、呼机等移动通信设备与因特网有机结合所进行的电子商务活动。移动电子商务能提供以下服务:PIM(个人信息服务)、银行业务、交易、购物、基于位置的服务、娱乐等。移动电子商务因其快捷方便、无所不在的特点,已经成为电子商务发展的新方向。因为只有移动电子商务才能在任何地方、任何时间,真正解决做生意的问题。
截至2008年4月,中国移动电话用户合计5.84亿,移动电话用户数与固定电话用户数的差距拉大到2.24亿户,移动电话用户在电话用户总数中所占的比重达到61.9%。移动电话普及率已达41.6%。
移动电子商务与传统的主要通过桌面电脑网络平台而运行和开展的电子商务相比,拥有更为广泛的潜在用户基础。当前,中国互联网用户虽然已经超过2亿,但同时手机用户却相比多了3亿多用户,此外根据资料还有数量庞大的PDA用户群,因此,移动电子商务具有比非移动电子商务更为广阔的市场前景。
2.移动电子商务信息系统安全概念
移动电子商务信息系统安全问题是动态发展的,如防范病毒的措施,往往不可能一次成功更不可能一劳永逸。由于移动电子商务信息系统是以移动通信网络与计算机网络共同构建的平台为商务活动平台,因此它不可避免面临着一系列的由移动通讯网络和计算机网络相关的安全问题。移动电子商务给商务活动带来了诸多便利,如缩短了商务活动时间、降低了商务成本、提高了响应市场的效率等等。计算机网络为主体的有线网络安全的技术手段并不能完全适用于无线的移动网络环境,由于无线设备的内存和计算能力有限而不能承载大部分的病毒扫描和入侵检测的程序,因此,有效抵制手机病毒的防护软件目前还不是很成熟。
3.移动电子商务信息系统安全类型
移动电子商务信息系统安全威胁种类繁多,可以有多种可能的潜在面,既有蓄意违法而致的威胁;也有无意疏忽造成的安全漏洞。另外还有如:非法使用移动终端、移动通讯公司工作人员不慎泄露客户信息而致、窃听等均有可能导致不同程度和后果的移动电子商务安全威胁。大体我们可以分为以下几个情况:
第一,移动通讯网络本身导致重要商务信息外泄:移动无线信道是一个开放性的信道,它给移动无线用户带来通讯的自由和灵活性的同时,同时也伴随着很多不安全因素:如通讯双方商务内容容易被窃听、通讯双方的身份容易被假冒,以及通讯内容容易被篡改等。在移动无线通讯过程中,所有通讯内容(如:通话信息,身份信息,数据信息等)都是通过移动无线信道开放传送的。任何拥有一定频率接收设备的人均可以获取移动无线信道上传输的内容。这对于移动无线用户的信息安全、个人安全和个人隐私都构成了潜在的威胁。在移动电子商务信息系统中商业机密的泄漏表现,主要有两个方面:商务活动双方进行商务活动的核心机密内容被第三方意外获得或窃取;交易一方提供给另一方使用的商务文件被第三方非正常使用。
第二,移动通讯设备传播的病毒的侵犯:病毒是目前威胁移动电子商务用户的主要因素之一,随着移动网络应用的深入扩展,移动电子商务的规模愈趋增大,移动电子商务用户也越来越多地面临着各类病毒黑客攻击风险。与病毒齐名的是黑客侵扰和攻击,由于各种网络黑客应用软件工具的传播,黑客与黑客行为己经大众化了,他们利用操作系统和网络的漏洞、缺陷,从网络的外部非法侵入,进行侵扰和不法行为,对移动电子商务安全造成很大隐患。
第三,移动通讯网路漫游而致的威胁:无线网路中的危害安全者不需要寻找攻击对象,攻击对象在某种条件下会漫游到攻击者所在的小区。在终端用户不知情的情况下,信息可能被窃取和篡改。服务也可被经意或不经意地拒绝。交易会中途打断而没有重新认证的机制。由刷新引起连接的重新建立会给系统引入风险,没有再认证机制的交易和连接的重新建立是危险的。连接一旦建立,使用SSL和WTLS的多数站点不需要进行重新认证和重新检查证书,攻击者可以利用该漏洞来获利。
第四,垃圾信息(或称垃圾短信):在移动通讯系统及设备带给广大人们便利和效率的同时,也带来了很多烦恼,其中尤其难以控制的就是铺天盖地而来的垃圾短信广告打扰着我们的生活、工作和学习。在移动用户进行商业交易时,会把手机号码留给对方。有的移动用户喜欢把手机号码公布在网上。这些都是其他公司获取大量手机用户号码的渠道所在。垃圾短信使得人们对移动电子商务充满不信任和反感,而不敢在网络上使用自己的移动设备从事商务活动。
二、提升移动电子商务信息系统安全的趋势与必然性
1.移动商务是电子商务发展的必然趋势
在未来几年中,伴随着无线网络的日益普及,移动计算设备将变得很普及。计算机技术和无线技术的结合将成为最终趋势,电子商务也将向移动商务过渡。中国在电子商务的发展方面要落后于发达国家,但随着观念的改变和技术的进步,中国越来越多地参与到世界经济发展的各个环节。中国要想在商务模式变革的过程中取得成功,关键是要准确分析市场趋势并把握市场先机。移动商务中关键的一点以用户为中心,如果能成功把握住移动个性化方面的市场先机,则完全有可能成为移动商务的规则制订者,从而摆脱以往的模仿。
2.我国高速发展的移动通讯网络要求提升移动电子商务信息系统安全性
2007年,全国电话用户新增8389.1万户,总数突破9亿户,达到91273.4万户。移动电话用户在电话用户总数中所占的比重达到60.0%,移动电话用户与固定电话用户的差距拉大到18183.8万户。
2007年12月中国互联网络信息中心(CNNIC)《第21次中国互联网络发展状况统计报告》。报告显示,截至2007年底,我国网民人数达到了2.1亿,占中国人口总数的16%。调查反映出基于网络的商务安全问题,调查网民对互联网最反感的方面是:网络病毒 29.8%,网络入侵或攻击(有木马) 17.3%等。可以说我国2亿多网民在网络上,信息安全问题是比较普遍的,因此,我国高速发展的互联网络客观上也要求提升商务信息系统安全。
美国安全软件公司McAfee2008年公布的最新调查结果显示,虽然手机病毒和攻击现在还不普遍,但随着越来越多的用户通过手机访问互联网和下载文件,手机病毒出现的概率将越来越大。McAfee公司公布的调查结果显示,只有2.1%的被调查者曾经自己遭遇手机病毒,而听说过其他手机用户遭遇病毒的被调查者也只有11.6%。McAfee在英国、美国和日本共调查了2000名手机用户,结果发现86.3%的用户对于手机病毒没有任何概念。
当前我国移动用户数保持世界第一,网民数为世界第二,我国高速发展的移动通讯网络要求提升移动电子商务信息系统安全性。
3.利用加密函数技术加强和完善高效高安全性的移动电子商务信息系统
在这个网络互联技术、移动通讯技术告诉前行的时代,信息安全尤其是电子商务信息的保密工作变得越来越至关重要,这无疑给密码学的研究带来了巨大推动。为提高移动通讯网络与互联网为平台的移动电子商务服务质量,维护移动电子商务信息提供者的权益,信息安全越来越得到人们的关注。笔者认为,研究布尔函数各种性质,特别是研究对抵抗相关攻击的相关免疫函数类、抗线性分析的Hent函数与Hash函数,无疑是具有很强的现实意义的。
(1)Hash函数加密技术概述及应用
Hash函数加密技术主要用于信息安全领域中加密算法,它能把一些不同长度的信息转化成杂乱的128位的编码里,叫做HASH值。Hash就是为了找到一种数据内容和数据存放地址之间的映射关系密码学上的Hash函数是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。Hash 函数可用于数字签名、消息的完整性检测、消息的起源认证检测等。安全的Hash函数的存在性依赖于单项函数的存在性。Hash算法被普遍应用于数字安全的几乎所有方面,如登录办公室局域网、进入个人邮箱和安全页面都要用它来保护用户的密码;电子签名系统利用它来认证客户及其发来的信息。
(2)bent函数加密技术概述及应用
在密码学中,为了抵抗最佳线性逼近,人们引人了Bent函数的概念,bent函数具有最高非线性度,在密码、编码理论等方面理论中有着重要应用,因而成为当前密码学界研究信息安全保密技术的热点。对Bent函数的构造可以分为间接构造和直接构造。直接构造方法主要有2种:一种是MM类;另一种是PS类,这两种属于直接构造方法。bent函数具有最高的非线性度,但它的相关免疫阶为0,为了使bent具有更好的密码学性质和实际应用价值,学者们提出了bent函数的变种,如Hyper-bent,Semi-bent等。
总之,移动电子商务信息系统安全是个多角度、多因素、多学科的问题,它不单要求从保密安全技术方面,同时也要求我们从技术之外的社会等因素考虑解决。
参考文献:
[1]赵永刚:解析“三角经营商法”[J].商场现代化,2004(15)
[2]姬志刚:计算机、网络与信息社会.科技咨询导报[J].2006(20)
[3]邱显杰:关于Bent函数的研究.湘潭大学[D],2002
[4]戴方虎等:Internet的移动访问技术研究.计算机科学,2000(3)
[5]肖皇培张国基:基于Hash函数的报文鉴别方法[J].计算机工程, 2007,(06)
1 前言
随着现代信息技术的发展和网络技术的普遍应用,信息服务行业在服务内容、服务方式与服务对象等方面发生了革命性变化,运作效率也有了显著提升。在网络环境下,信息服务行业在国家经济生活中的地位日益重要。但是,网络同时也是攻击事件和病毒蠕虫等滋生之地。信息安全事件已经不单单是影响个别民众、企业的小事,而是影响到国家的安全。
随着信息安全事件发生的日益频繁,发达国家和地区对信息安全问题都予以了高度重视。我国长期以来信息安全意识不强,即使是重视,也仅限于政治和军事领域。近几年来,面对国际信息环境的变化与挑战,我国也采取了一系列对策。在法律法规建设方面,《计算机软件保护条例》、《计算机信息系统安全保护条例》、《计算机病毒防治管理办法》等相继出台。
2 信息安全基本概念
国内外对“信息安全”没有统一的定义。《中华人民共和过计算机信息系统安全保护条例》的定义:“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。国家信息安全重点实验室的定义:“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说,就是要保障电子信息的有效性。国际标准化委员会的定义:“为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露”。英国信息安全管理标准的定义:“信息安全是使信息避免一系列威胁,保障商务的连续性,最大限度地减少商务损失,最大限度地获取投资和商务的回报,涉及信息的机密性、完整性、可用性”。美国人则认为:“信息安全包括信息的机密性、完整性、可用性、真实性和不可抵赖性”。其实,当前信息安全的概念正在与时俱进,它从早期的通信保密发展到关注信息的保密、完整、可用、可控和不可否认的信息安全,并进一步发展到如今的信息保障和信息保障体系。信息保障依赖于人、操作和技术实现组织的任务运作,针对技术信息基础设施的管理活动同样依赖于这三个因素,稳健的信息保障状态意味着信息保障和政策、步骤、技术和机制在整个组织的信息基础设施的所有层面上均能得到实施,即面向数据安全概念是信息保密性、完整性和可用性;面向使用者的安全概念则是鉴别、授权、访问、控制、抗否认性和可服务性以及基于内容的个人隐私、知识产权等的保护,这两者的结合就是信息安全保障体现的安全服务,而这些安全问题又要依赖于密码、数字签名、身份验证技术、防火墙、灾难恢复、防毒墙和防黑客入侵等安全机制加以解决,其中密码技术和管理是信息安全的核心,而安全标准和系统评估则是信息安全的基础。因此,信息安全就是指一个国家的社会信息化的状态不受外来威胁与侵害,一个国家的信息技术体系不受到外来的威胁与侵害。
3 信息安全的基本属性
信息安全有以下几点基本属性:
3.1 完整性
信息存储和传输的过程保持被修改不被破坏的,不被插入,不延迟,不乱序和不丢失的数据特征。对于军用信息来说完整性遭破坏导致延误战机,自相残杀或闲置战斗力,破坏信息完整性是对信息安全发动攻击的最终目的。
3.2 可用性
信息可被合法用户访问并能按照要求顺序使用的特征,既在需要时就可以去用所需信息。可用性攻击就是阻断信息的可用性。例如破坏网络和有关系统的正常运行就属于这种类型攻击。
3.3 保密性
信息给非授权个人/实体或供其使用的特征。军用信息安全尤为注重信息保密性。
3.4 可控性
授权机构可以随时控制信息的机密性。美国的政府提倡“密钥托管’、“密钥恢复”等措施就是实现信息安全可控性的例子。
3.5 可靠性
信息用户认可的质量连续服务于用户的特征,但也有人认为可靠性是人们对信息系统而不是信息本身的要求。总体来看,信息安全就是要保证信息的基本属性不被破坏,信息按照发送方的意愿成功被接收方接收。
4 网络安全的威胁
4.1 人为的无意失误
如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他
人或与别人共享等都会对网络安全带来威胁。
4.2 人为的恶意攻击
此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
4.3 网络软件的漏洞和“后门”
网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。计算机网络设备安全和网络信息安全实际上是密不可分的,两者相辅相成,缺一不可。计算机网络设备安全特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全。网络信息安全则紧紧围绕信息在互联网络上应用时产生的各种安全问题,在计算机网络设备安全的基础上,如何保障信息应用过程的顺利进行。没有计算机网络设备安全作为基础,网络信息安全就犹如空中楼阁,无从谈起。没有信息安全保障,即使计算机网络本身再安全,仍然无法达到计算机网络信息应用的最终目的。
5 信息安全策略
信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全,不但靠先进的技术,而且也得靠严格的安全管理,法律约束和安全教育。
5.1 先进的信息安全技术是网络安全的根本保证
用户对自身面临的威胁进行风险评估,决定其所需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术,形成一个全方位的安全系统;
5.2 严格的安全管理
各计算机网络使用机构,企业和单位应建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统,加强用户管理和授权管理,建立安全审计和跟踪体系,提高整体网络安全意识;
5.3 制订严格的法律、法规
计算机网络是一种新生事物。它的许多行为无法可依,无章可循,导致网络上计算机犯罪处于无序状态。面对日趋严重的网络犯罪,必须建立与网络安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。
作者:张秀梅 来源:科教导刊 2009年5期
关键词:信息安全专业;网络与网络安全课程群;工程训练;自主学习
1研究背景
随着网络及信息技术的发展,网络和信息安全风险日益增长。在全球范围内,计算机病毒、网络攻击、垃圾邮件、系统漏洞、网络窃密、虚假有害信息和网络违法犯罪等问题日渐突出。据有关国家信息安全机构统计,我国每年被黑客攻击的网页达10万数量级,钓鱼网站数量占世界总量比例偏高,位于我国的僵尸网络的肉鸡数量位于世界的前列,分布式拒绝服务的受害者数量非常庞大。如何保证网络的安全性,已经成为全社会关注的问题。如应对不当,可能会给我国经济社会发展和国家安全带来不利影响。提升网络普及水平、信息资源开发利用水平和信息安全保障水平,是国家近年来的信息化发展战略之一。
社会对网络安全人才的需求量在不断扩大,急需大量具有扎实理论基础并受过良好工程实践训练的网络安全人才。培养网络与网络安全人才,对推动国家的网络与信息安全工作有重要意义[1-4]。如何使高校的本科生教育与社会需求接轨,为社会培养有用的网络安全技术人才,是我们在网络与网络安全课程体系建设中需要考虑的重要问题。
本文主要围绕北京工业大学信息安全专业建设情况,对网络与网络安全课程群的设置与建设情况进行详细介绍,探讨网络与网络安全课程群的教学方法和实践教学改革思路。
2网络与网络安全课程群设置
北京工业大学信息安全专业于2003年在计算机学院成立,到2005年,建成了具有初步规模的信息安全专业教学与实验环境。近几年来,在国家和北京市的支持下,专业建设取得突飞猛进的进步。2007年,本专业被教育部批准为第二类特色专业建设点,2008年被北京市教委批准为特色专业,2010年被评为北京市重点学科。网络安全是北京工业大学信息安全交叉学科的一个重要研究方向。
在沈昌祥院士的带领下,信息安全专业以“立足北京、服务北京”为基本办学定位,加强课程体系和教材建设,强化实践教学,紧密结合国家和北京市的经济社会发展需求,推进专业建设与人才培养。该专业逐步形成了满足培养国家和北京市经济和行业发展急需的信息安全专业创新型应用人才需求的教学体系。网络与网络安全课程群是我校信息安全专业建设的一个重要内容,该课程群主要培养信息安全系本科生在网络与网络安全方面的理论基础和实践能力[5-7],要求学生掌握网络和网络安全基本理论知识,学会规划网络和配置网络,并具备使用防火墙、VPN、病毒防治等工具维护网络安全的能力。在课程群的课程教学内容安排上,充分体现由易到难、由浅入深的教学规律,并注重理论与实践相结合的原则,图1展示了信息安全专业课程的拓扑图,其中网络与网络安全课程群设置用灰色阴影文本框表示。
现行的信息安全专业的本科教学计划包括计算机网络基础、计算机网络基础实验、路由与交换技术、网络设计、网络安全防护、信息安全体系结构、信息安全标准、安全协议、安全协议课设、计算机病毒防护、无线网络安全、防火墙技术、应用服务器安全等系列课程,建立了一定规模的实验环境。为了更好地安排上述课程群的教学内容,我们结合信息安全专业不同年级学生的特点,进一步制定每一年的教学目标,使整个课程群的教学内容成为一个有机整体。
针对一年级学生,主要是培养学生的学习兴趣和奠定专业基础。计算机网络基础是为信息安全专业新生开设的第一门专业课程,在信息安全整个课程体系以及网络与网络安全系列课程群中起着举足轻重的作用。这门学科的内容博大精深,涉及到众多的概念、原理、协议和技术,它们以错综复杂的方式彼此交织在一起。为应对计算机网络在内容上的广阔度和复杂度,使学生能够在学习整个体系结构中某部分的具体概念与协议的同时,也能够掌握每一层协议在整个网络系统中所处的地位和作用,我们采用自底向上和自顶向下相结合的方法。该方法能够使学生在对计算机网络的概念、原理和体系结构有深入了解的基础上,又能对协议和技术及其内在联系有一个全局的掌握,形成比较系统的知识体系。在该课的基础上,第二学期开设的计算机网络基础实验课程加深学生对计算机网络各层协议功能和基本工作过程的理解与掌握,以验证性和演示性实验为主,培养学生的学习兴趣,使学生在一年级就能轻松接触到网络相关知识。
针对二年级学生,我们开设了路由与交换技术、网络设计、网络安全与防护,培养学生在组网和网络配置方面的能力,同时使其了解网络面临的安全威胁,并具有简单的安全防护知识。通过路由与交换技术课程的学习,学生将了解路由与交换的基本知识,掌握各种路由与交换技术的特点及其基本原理,培养学生的局域网组网与管理能力,使学生能够根据具体环境和应用目的设计合理的拓扑结构,组建网络,并具备解决网络中常见问题的基本技能。网络安全与防护使学生了解企事业网络中存在的威胁,掌握安全评测的基本理论与方法,掌握网络安全策略的设计与实现、安全事故处理的基本方法。通过该课程学习,学生将学会网络安全防护的方法,为学生从事企业安全网络设计与网络管理等工作打下一定的基础。
针对三年级学生,为了加深他们对网络安全知识的理解,我们开设了信息安全体系结构、安全协议、信息安全标准课程。信息安全体系结构课程围绕如何构建一个安全的信息系统,并对构建安全体系结构的关键三要素(技术、管理和人员)之间的关系进行了详细阐述。使学生掌握信息安全体系结构中的基本概念、基本理论、基本方法,在整体上认识构建一个安全的信息系统需要解决的主要问题,通过结合具体的应用案例分析,提高学生的综合设计、分析和解决问题的能力。安全协议课程使学生能够对网络安全协议有一个系统全面的了解,掌握各层安全协议的概念、原理和知识体系,在实践中学会应用网络协议知识分析解决各种网络安全问题。课程包括了许多网络安全的案例分析,让学生将课堂理论与应用实践紧密结合起来,学会解决实际应用中的工程技术问题,了解设计和维护安全的网络及其应用系统的基本手段和常用方法。通过信息安全标准的学习,学生对国际和国内信息安全领域制定的相关标准方面有一个基本的了解,并重点学习几个信息安全领域中的核心标准。
针对四年级学生,注重对其网络与网络安全工程实践能力和创新能力的培养,通过一些能反映网络与网络安全最新发展情况的计算机病毒防护、无线网络安全、防火墙技术、应用服务器安全等专业选修课程,开阔学生的视野,为学生实习和就业打下基础。计算机病毒防护课程既注重对病毒基本概念、作用机制和防治技术的阐述,又力求反映病毒防治技术的新发展,既兼顾课程的深度,又有一定的广度。通过学习该课程,学生将掌握防治计算机病毒的基本理论和基本技术,为进一步深入学习网络安全课程奠定了良好的基础。无线网络安全课程则使学生对无线通信系统及其安全有比较全面的了解,初步掌握无线通信的分类和各种类别的基本原理,以及无线网络环境中的安全措施,为今后适应层出不穷的无线网络应用打下基础。防火墙技术课程使学生理解防火墙的基本知识,掌握防火墙的体系结构、关键技术以及构建、配置防火墙的基本方法,并对防火墙技术的未来发展方向有一定的了解。应用服务器安全课程主要讲解计算机应用系统面临的安全风险、应用安全涉及的相关技术和手段(包括数据存储技术及其安全)、应用系统安全解决方案以及方案的典型实现。通过该课程的学习和实践,学生能够基本掌握设计计算机应用系统的安全方案应考虑的若干方面,能够从系统的角度看待安全问题,并能综合利用几年来所学的安全知识解决系统的安全问题。
3网络与网络安全课程群教学方法改革
在网络与网络安全课程群的教学中,我们强调理论与实践相结合的教学方法,在抓好理论教学的同时,强化实践教学,形成了工程训练、自主学习、创新培养并举的特色教育理念。鉴于在实践教学和创新能力培养方面的有力措施和突出成绩,我们在2010年获得了北京工业大学优秀教育成果一等奖。
3.1强化实践教学,提高学生的工程实践能力
2007年,信息安全专业对实践教学计划进行了全面修订,包括增加实践教学环节的学分比例、提高综合性与设计性实验比例、设置自选设计环节、强化综合设计和毕业设计环节、加强对实践教学体系各个环节的规范化管理。
针对某些比较重要的理论课程,如计算机网络基础,我们设置了专门的实验课程――计算机网络基础实验。针对技术性比较强的课程,我们设置了课内实验,做到理论与实践相结合。例如对路由与交换技术、网络安全与防护、安全协议、防火墙技术、计算机病毒与防护、应用服务器安全等选修课程,我们设置了课内实验(包括设计性实验和综合性实验),使学生掌握高级网络技术和具备维护网络安全的技能。
课程设计是锻炼学生系统设计能力的好机会,我们设置了安全协议课设课程。学生以小组形式进行课设,每个小组选出组长,负责一些协调工作,提高团结协作能力,使同学间互相帮助、取长补短、共同进步。
信息安全专业实习、信息安全综合设计和毕业设计是信息安全专业比较重要的实践环节,是促进学生综合运用所学知识解决实际问题的关键。我校信息安全专业与太极、瑞星等单位建立了校内外实习基地,为学生提供了实习条件。信息安全综合设计和毕业设计使学生能够有机会参加一些工程项目的研发。综合设计题目与内容选取有一定的工程实际背景,体现应用性、先进性、综合性。毕业设计的题目主要来自企业或学校的科研项目。一些学生在公司完成实习和毕业设计,为顺利就业创造了条件。一些学生在学校的科研环境中进行实习和毕业设计,为考研和进一步深造奠定了基础。
3.2提倡自主学习,提高学生的学习积极性
自学课程的开设对教师提出了新的要求,要求教师改变传统教学模式,探索有利于创新型人才培养的教学模式。我们开设自学课程的教学理念是:以学生自主学习为主,教师引导和启发学生为辅。这不仅要求教师有丰富的教学经验和较好的教学效果,还要有较强的责任心。该课程培养学生独立学习网络与网络安全新知识,发现问题、分析问题、解决问题的自主学习能力,使学生能够适应社会和网络技术发展的要求。在网络设计自学课程中,我们采用国外经典教材《Cisco Network Design》,引导学生自己学习教材和阅读相关文献资料,通过小组分工协作完成一个真实的园区局域网络规划方案设计,达到学以致用的目的。通过采用自评、互评、演讲等多种形式来激发学生的参与力度,使学生能充分发挥学习的主动性和自觉性,把学生的兴趣、爱好、学习、创新融为一体。
3.3通过创新活动,激发学生创新能力
结合网络安全课程群的建设,我们为学生开设网络与网络安全的创新活动和创新实践课程,利用第二课堂活动开展专业调查、社会实践和竞赛活动。具体采取了如下措施。
1) 以校企联合的形式为学生举办多次安全知识的讲座。邀请院士、总工程师、总裁等作相关报告,使学生更好地了解信息安全产业的发展状况,对他们后续的工程实践、实习就业有非常重要的作用。
2) 各种科技活动和兴趣小组培养学生研究性学习和创新性实验能力。例如,我们成立了网络兴趣小组,促进学生参加网络技能训练;鼓励学生申请“北京工业大学星火基金”,培养学生的创新能力。
3) 通过组织各种竞赛,引领学生在创新中成长。我们多次指导本科生参加思科网院杯全国大学生网络技术大赛、全国大学生信息安全竞赛。获得一等奖2次,二等奖3次、三等奖2次。
4) 安排高年级本科生进入专业实验室,鼓励学生参与到教师的教学科研项目,逐步引导学生独立从事科学研究工作。在指导老师的帮助下,一些学生已经独立发表学术论文或与老师合作发表学术论文。
4结语
培养网络与网络安全的人才,对推动国家的网络与信息安全工作有重要意义。我校强化实践教学,提高学生的工程实践能力;提倡自主学习,提高学生的学习积极性;通过创新活动激发学生创新能力,形成工程训练、自主学习、创新培养并举的特色教育理念,取得较好的教学效果。
参考文献:
[1] 张焕国,黄传河,刘玉珍,等.信息安全本科专业的人才培养与课程体系[J].高等理科教育,2004(2):16-20.
[2] 王清贤,朱俊虎,陈岩. 信息安全专业主干课程设置初探[J]. 计算机教育,2007(19):12-14.
[3] 王伟平,杨路明. 信息安全人才需求与专业知识体系、课程体系的研究[J]. 北京电子科技学院学报,2006(1):47-49.
[4] 马建峰,李凤华. 信息安全学科建设与人才培养现状、问题与对策[J]. 计算机教育,2005(1):11-14.
[5] 李毅超,曹跃,郭文生,等. 信息安全专业计算机网络课程群建设初探[J]. 实验科学与技术,2008(3):90-93.
[6] 俞研,兰少华. 计算机网络安全课程教学的探索与研究[J]. 计算机教育,2008(18):127-128.
[7] 谌黔燕,郝玉洁,王建新,等.网络安全课程中的实践教学研究与探索[J]. 计算机教育,2007(1):38-40.
Network and Network Security Curriculum Group Construction for Information Security Major
DUAN Lijuan, LAI Yingxu, YANG Zhen, HOU Yarong, LI Jian
(College of Computer Science, Beijing University of Technology, Beijing 100124, China)
论文摘要:在介绍网络安全概念及其产生原因的基础上,介绍了各种信息技术及其在局域网信息安全中的作用和地位。
论文关键词:网络安全信息技术信息安全局域网
随着现代网络通信技术的应用和发展,互联网迅速发展起来,国家逐步进入到网络化、共享化,我国已经进入到信息化的新世纪。在整个互联网体系巾,局域网是其巾最重要的部分,公司网、企业网、银行金融机构网、政府、学校、社区网都属于局域网的范畴。局域网实现了信息的传输和共享,为用户方便访问互联网、提升业务效率和效益提供了有效途径。但是由于网络的开放性,黑客攻击、病毒肆虐、木马猖狂都给局域网的信息安全带来了严重威胁。
信息技术是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论诸多学科的技术。信息技术的应用就是确保信息安全,使网络信息免遭黑客破坏、病毒入侵、数据被盗或更改。网络已经成为现代人生活的一部分,局域网的安全问题也闲此变得更为重要,信息技术的应用必不可少。
1网络安全的概念及产生的原因
1.1网络安全的概念
计算机网络安全是指保护计算机、网络系统硬件、软件以及系统中的数据不因偶然的或恶意的原因而遭到破坏、更改和泄密,确保系统能连续和可靠地运行,使网络服务不巾断。从本质上来讲,网络安全就是网络上的信息安全。网络系统的安全威胁主要表现在主机可能会受到非法入侵者的攻击,网络中的敏感信息有可能泄露或被修改。从内部网向公共网传送的信息可能被他人窃听或篡改等等。典型的网络安全威胁主要有窃听、重传、伪造、篡改、非授权访问、拒绝服务攻击、行为否认、旁路控制、电磁/射频截获、人员疏忽。
网络安全包括安全的操作系统、应用系统以及防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复和完全扫描等。它涉及的领域相当广泛,这是因为目前的各种通信网络中存在着各种各样的安全漏洞和威胁。从广义上讲,凡是涉及网络上信息的保密性、完整性、可性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。网络安全归纳起来就是信息的存储安全和传输安全。
1.2网络安全产生的原因
1.2.1操作系统存在安全漏洞
任何操作系统都不是无法摧毁的“馒垒”。操作系统设计者留下的微小破绽都给网络安全留下了许多隐患,网络攻击者以这些“后门”作为通道对网络实施攻击。局域网中使用的操作系统虽然都经过大量的测试与改进,但仍有漏洞与缺陷存在,入侵者利用各种工具扫描网络及系统巾的安全漏洞,通过一些攻击程序对网络进行恶意攻击,严重时造成网络的瘫痪、系统的拒绝服务、信息的被窃取或篡改等。
1.2.2TCP/lP协议的脆弱性
当前特网部是基于TCP/IP协议,但是陔协议对于网络的安全性考虑得并不多。且,南于TCtVIP协议在网络上公布于众,如果人们对TCP/IP很熟悉,就可以利川它的安全缺陷来实施网络攻击。
1.2.3网络的开放性和广域性设计
网络的开放性和广域性设计加大了信息的保密难度.这其巾还包括网络身的布线以及通信质量而引起的安全问题。互联网的全开放性使网络可能面临来自物理传输线路或者对网络通信协议以及对软件和硬件实施的攻击;互联网的同际性给网络攻击者在世界上任何一个角落利州互联网上的任何一个机器对网络发起攻击提供机会,这也使得网络信息保护更加难。
1.2.4计算机病毒的存在
计算机病毒是编制或者存计箅机程序巾插入的一组旨在破坏计箅机功能或数据,严重影响汁算机软件、硬件的正常运行,并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性几大特点。大量涌现的病毒在网上传播极快,给全球地嗣的网络安全带来了巨大灾难。
1.2.5网络结构的不安全性
特网是一个南无数个局域网连成的大网络,它是一种网问网技术。当l主机与另一局域网的主机进行通信时,它们之间互相传送的数据流要经过很多机器重重转发,这样攻击者只要利用l台处于用户的数据流传输路径上的主机就有可能劫持用户的数据包。
2信息技术在互联网中的应用
2.1信息技术的发展现状和研究背景
信息网络安全研究在经历了通信保密、数据保护后进入网络信息安全研究阶段,当前已经…现了一些比较成熟的软件和技术,如:防火墙、安全路由器、安全网关、黑客人侵检测、系统脆弱性扫描软件等。信息网络安全是一个综合、交叉的学科,应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统等方面综合开展研究,使各部分相互协同,共同维护网络安全。
国外的信息安全研究起步较早,早在20世纪70年代美国就在网络安全技术基础理论研究成果“计算机保密模型(Beu&Lapaduh模型)”的基础上,提出了“可信计箅机系统安全评估准则(TESEC)”以及后来的关于网络系统数据库方面的相关解释,彤成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容,处于发展提高阶段,仍存在局限性和漏洞。密码学作为信息安全的关键技术,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。自从美国学者于1976年提出了公开密钥密码体制后,成为当前研究的热点,克服了网络信息系统密钥管理的闲舴,同时解决了数字签名问题。另外南于计箅机运算速度的不断提高和网络安全要求的不断提升,各种安全技术不断发展,网络安全技术存21世纪将成为信息安全的关键技术。
2.2信息技术的应用
2.2.1网络防病毒软件
存网络环境下,病毒的传播扩散越来越快,必须有适合于局域网的全方位防病毒产品。针对局域网的渚多特性,应该有一个基于服务器操作系统平的防病毒软件和针对各种桌面操作系统的防病毒软件。如果局域网和互联网相连,则川到网大防病毒软件来加强上网计算机的安全。如果使用邮件存网络内部进行信息交换.则需要安装基于邮件服务器平的邮件防病毒软件,用于识别出隐藏在电子邮件和附件巾的病毒最好的策略是使川全方位的防病毒产品,针对网络巾所有可能的病毒攻击点设置对应的防病毒软件。通过全方位、多层次的防病毒系统的配置,定期或不定期地动升级,保护局域网免受病毒的侵袭。
2.2.2防火墙技术
防火墙技术是建立在现代通信网络技术和信息安全技术基础;上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境巾,尤其以接入lnlernel网络的局域网为典型。防火墙是网络安全的屏障:一个防火墙能檄大地提高一个内部网络的安全性,通过过滤不安全的服务而降低风险。南于只有经过精心选择的应州协议才能通过防火墙,所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件如口令、加密、身份认证、审计等配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。
防火墙技术是企业内外部网络问非常有效的一种实施访问控制的手段,逻辑上处于内外部网之问,确保内部网络正常安全运行的一组软硬件的有机组合,川来提供存取控制和保密服务。存引人防火墙之后,局域网内网和外部网之问的通信必须经过防火墙进行,某局域网根据网络决策者及网络擘家共同决定的局域网的安全策略来设置防火墙,确定什么类型的信息可以通过防火墙。可见防火墙的职责就是根据规定的安全策略,对通过外部网络与内部网络的信息进行检企,符合安全策略的予以放行,不符合的不予通过。
防火墙是一种有效的安全工具,它对外屏蔽内部网络结构,限制外部网络到内部网络的访问。但是它仍有身的缺陷,对于内部网络之问的入侵行为和内外勾结的入侵行为很难发觉和防范,对于内部网络之间的访问和侵害,防火墙则得无能为力。
2.2.3漏洞扫描技术
漏洞扫描技术是要弄清楚网络巾存在哪些安全隐患、脆弱点,解决网络层安全问题。各种大型网络不仅复杂而且不断变化,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估得很不现实。要解决这一问题,必须寻找一种能金找网络安全漏洞、评估并提…修改建议的网络安全扫描工具,利刖优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。存网络安全程度要水不高的情况下,可以利用各种黑客工具对网络实施模拟攻击,暴露出:网络的漏洞,冉通过相关技术进行改善。
2.2.4密码技术
密码技术是信息安全的核心与关键。密码体制按密钥可以分为对称密码、非对称密码、混合密码3种体制。另外采用加密技术的网络系统不仅不需要特殊网络拓扑结构的支持,而且在数据传输过程巾也不会对所经过网络路径的安全程度做出要求,真正实现了网络通信过程端到端的安全保障。非对称密码和混合密码是当前网络信息加密使川的主要技术。
信息加密技术的功能主要是保护计算机网络系统内的数据、文件、口令和控制信息等网络资源的安全。信息加密的方法有3种,一是网络链路加密方法:目的是保护网络系统节点之间的链路信息安全;二是网络端点加密方法:目的是保护网络源端川户到口的川户的数据安全;二是网络节点加密方法:目的是对源节点到目的节点之间的传输链路提供保护川户可以根据实际要求采川不同的加密技术。
2.2.5入侵检测技术。
入侵检测系统对计算机和网络资源上的恶意使川行为进行识别和响应。入侵检测技术同时监测来自内部和外部的人侵行为和内部刚户的未授权活动,并且对网络入侵事件及其过程做fIj实时响应,是维护网络动态安全的核心技术。入侵检测技术根据不同的分类标准分为基于行为的入侵检测和基于知识的人侵检测两类。根据使用者的行为或资源使状况的正常程度来判断是否发生入侵的称为基于行为的入侵检测,运用已知的攻击方法通过分析入侵迹象来加以判断是否发生入侵行为称为基于知识的入侵检测。通过对迹象的分析能对已发生的入侵行为有帮助,并对即将发生的入侵产生警戒作用
观察美国政府对于互联网的政策姿态,可以清晰地看到短时间内美国网络空间战略从全面防御到全面进攻演变:克林顿时期其互联网政策主要强调全面防御,小布什时期开始强调网络反恐,到奥巴马则体现出系统威慑、网络进攻的特点。这才是真正的新军事革命,只是它的涵义已不局限于军事领域。
美国前不久制造的中国军方黑客总部事件,应该引起中国各界的强烈警惕,它预示着在突尼斯、利比亚、叙利亚之后,美国意图将网络文化革命引向中国。反观目前中国互联网的一些乱象,人们可以隐姓埋名、破口大骂甚至造谣栽赃。美国发现,网络战已成为有些国家、民族间博弈的决定性战场。而在这个领域,美国拥有远远超过核武器的绝对垄断性优势。通过网络控制,美国可以通过低成本绞杀反美的小国,还可以无声无息、低成本地瓦解、肢解军事实力强大的对手。
值得忧虑的是,今天相当多的中国人,对于国防安全的概念还停留在传统的陆海空军事平台对决的概念上,而对思想文化领域的危险态势尚未觉察。中国必须像重视领土领海主权一样,重视网络空间的思想文化主权。
首先,中国有关部门在思想认识上要将网络安全提升到国家战略高度,尽早制定网络领域成体系性的法律,以及应对网络战的攻防战略,防止敌对势力通过网络点燃中国社会的动乱之火。
关键词:
关键词: 模型/架构 信息家电 网络体系
一、问题提出
1.信息家电与嵌入式系统
技术是应用科学之母。过去,人们的视野局限于pc、服务器、交换机、路由器等;近来,在硬件设备功能日益增强、价格越来越便宜的情况下,人们开始注意到技术如何与家居生活更贴近的问题。1999年底,所谓的信息家电吸引了人们的目光,特别是那些国内家电企业,在国内已经成熟的家电市场没有太大发展空间的情况下,找到了增强企业继续发展的动力。信息家电的概念最早为国人所知是由微软的“维纳斯”计划开始的。“维纳斯信息家电”实际上是将家用电脑、网络应用、娱乐教育三大应用集中在一体。由于微软摆脱不了电脑的概念,最后没能成功。但微软推出的嵌入式操作系统wince经过几年的改进,已成为现在许多信息家电的软件平台。当时,国人担心微软会统治国内的嵌入式操作系统市场;但不久,中科院下的凯思公司适时推出了嵌入式操作系统“女娲”,获得国人的喝彩。
从概念来看,信息家电ia(information appliance )可准确译为信息电器,是计算机通信技术与传统家用电器相结合的创新产品;是为数字化与网络技术广泛深入家庭生活而设计的新型家用电器。信息家电应具有网络功能、数字化、信息化、智能化、低成本、稳定性强等特点。但各个公司厂商对信息家电模型的理解各不相同,出现了不同概念的信息家电。可以形象地说,现在是信息家电的战国时代。现在出现的有webtv、iptv、机顶盒、pda、vod、网络空调、网络冰箱,还有网络vcd、dvd等,大多是概念,市场还未成熟,也未被广大消费者接受,但pda却比较火爆。其实,信息电器的提法最好。因为在企业中也有信息产品,如1999年底sun公司推出的一项具有重大革新意义的软件技术“hot desk”,体现了网络门户的计算思想,其产品是sun公司的sun ray i信息电器。它打破了以往的瘦客户机架构,成为真正的企业信息电器。该产品不运行任何应用程序或系统源代码,不须配置或管理桌面,复杂的事务放置在网络内部(后台)解决,使一种类似于电话设施的计算模型成为可能。sun的信息电器虽然与微软的“维纳斯”计划将近同时推出,但没能给人们留下深刻的影响。所以,人们习惯用信息家电的概念统称信息电器。据权威部门预测,未来10年后,信息家电的销量将是pc的10倍。信息家电具有广阔的市场,所以许多it厂商和家电企业投入相当多的人力与资金研究与开发信息家电。
由于快速发展的网络市场,使得信息家电的市场比传统的计算机市场大得多;使嵌入式软件将成为21世纪信息产业的支柱之一。嵌入式系统是以应用为中心,软硬件可裁减的专用计算机系统。它主要由嵌入式处理器、相关支持硬件、嵌入式操作系统及应用软件组成,是集软、硬件于一体的可独立工作的“器件”。嵌入式操作系统通常包括与硬件相关的底层驱动软件、系统内核、设备驱动接口、通信协议、图形界面、标准化浏览器browser等。据统计,仅应用于信息电器的嵌入式操作系统就有40种左右,如windows ce、palm os、real-time linux、vxworks、psos、os-9等。windows ce、palm os当前应用较广;vxworks、psos、os-9是传统的系统代表,但应用并不广泛,需要在网络化等方面扩展;linux系统,是现在嵌入式操作系统发展的热点,它具有开放源代码,系统内核小、效益高、内核网络结构完整,裁减后的系统符合信息家电的开发。嵌入式微处理器主要有x86、pa-risc、power pc、arm、strong arm、mips、68xxx等。嵌入式操作系统一般与嵌入式微处理器硬件平台相配合。
2.家用电脑的发展趋向
回顾pc的发展历程,家用电脑的历史在某种意义上并不长。联想于1992年首倡家用电脑的概念;1997年推出功能电脑;1999年底又推出因特网电脑。到了2000年下半年,各种家用因特网电脑纷纷出现,包括体现“应用网电脑”理念的方正电脑;诠释“家庭服务器”设计理念的海信电脑;强调增值服务与整体应用解决方案的tcl新概念电脑;体现“因特网生命”价值与“互联的个性电脑”的联想电脑等等。联想是国内典型代表,注重发展因特网电脑和个性化电脑;方正与海信重在家庭智能控制,使家用电脑以“家庭服务器”的身份出现,以无线与有线的方式与家庭内各种家用电器、通信设备以及其他数字化产品连接,完成对它们的操控。与国内大多数pc厂商不同,国外如ibm新推出的netvista电脑,其含义是用户通过ibm新的个人计算设备可对网络(net)风景(vista)一览无余,倡导将家用电脑与商用电脑相结合的理念,提出网络边际的概念,针对不同的网络应用环境进行细分。
从总体上来看,各主要家用电脑厂商在家用电脑的发展策略与设计思想上几乎都体现了:网络化、智能化、个性化。网络化将不再是简单的一键上网和浏览,而是重在更全面的网络应用整体解决方案,包括无缝整合的深层次网络应用,如宽带接入、网络安全等。智能化重在智能家居控制,实现远程与近程智能控制家居中的各种信息家电。但计算机与各种信息家电之间的接口尚无通行的标准,这方面一旦有需求推动就会有发展。个性化体现在现代社会对个性的需求,对不同的用户提供不同的产品。未来,家用电脑会各种各样,但发展趋向将是网络化、智能化、个性化的综合。须要提出一点的是,家用电脑在某种意义上也是信息家电。
3.家居网络的现状与未来
家居网络是指在集成协同环境中把计算机、音频、视频设备以及其他各种家用电器和自动子系统,包括能量管理、保险、加热、通信、安全等连在一起,以实现家居资源的共享与管理,组成一个家电网络。也就是把具有各种能力的产品混合在一起,确保不同技术实现透明地无缝集成。
目前家居自动化有几种方式,如欧洲家居系统、欧洲设备总线等,提供的是网络协议,从而使家用电器组成网络。近年来,有些采用标准总线,如ieee1394和ip协议组建家居网络,或基于atm的家居网络,目的在于提供方便可靠的访问网络的集成方式。互联网界也在研究扩展ip协议,适合基于ip的家居网络。目前最成功的是美国的echelon公司,提出采用现场总线控制网络——lon works,组建家居网络,再通过网关和互联网相连,使家电组成局部网,但要求家电控制器采用带有专用协议的芯片。总的来看,家居网络由于家庭电器的对象结构与特性完全不同,没有统一的标准。组建局部网采用何种协议,如何与互联网相连;家电易受各种环境干预,采用何种较低价位的组网物理结构;与现在的家电如何接口等,这些问题限制了家居网络的发展。在家居网络的研究与开发中,国内投入力量不多,而国外一直在软件与硬件上优先,并提出了许多模型。用发展的观点看,家居网络应该采用开放分布处理模型和多种物理连网方式,借用互联网的ip协议,同时要兼顾现在的家居电器的情况。
模型/架构的提出
随着internet的普及与网络技术的发展以及各种信息家电的出现,可以估计在未来的5年内家居生活需要一个崭新的工作与管理平台,即以网络为中心的信息平台。我们称之为平台。在这里,智能家居管理平台具有很大的市场,每家每户都有可能是潜在的用户,现在主要的是如何设计与构造符合家居生活的平台。我们认为平台可由家居网络中心hnc(home networks center)和普通家用电脑组成。家居网络中心是一个多功能网络管理与控制中心,主要管理由信息家电以及家居中具有简单联网功能的电器,使它们通过不同通信媒介组成家居网,相互交换信息,并实现信息资源共享;同时又具有安全路由器和安全网关功能,将家居网通过宽带接入与internet互联,实现远程管理与维护家用电器,实时监控与获取家居信息。普通家用电脑与家居网络中心通过接口连接,作为家居智能控制中心。智能控制中心用图形化方式,利用电脑良好的交互式界面,自动完成用户预设或即时的各种操控,管理与控制家居电器,同时配置家居网络中心的各种控制参数。
前面提到的未来家用电脑,实际上也是向家居信息平台的方向发展,但它未能重点突出网络中心的作用,而且功能集成太多,过于复杂,反而影响了使用性能。平台将网络管理功能从家用电脑中分离,突出强调未来网络管理在家居中的重要性。只要配置好参数,家居网络中心可自行管理家居网络;如果要控制与管理家用电器,只需要一台普通家用电脑,配以相宜的软件,即可构成家庭智能控制中心。这样方便使用,并可应用在不同情况。
二、模型/架构体系
1. 总体框图
模型/架构的总体框图如图1所示。从大的方面看,可由2部分组成:家居网络中心(hnc)和普通家用电脑(pc)。本文将重点讨论家居网络中心的模型/架构,即如何构造适合现代家居的网络体系结构(至于普通家用电脑,需要一般硬件配置即可);着重于应用软件的功能,即如何充分发挥与利用平台的功能资源,以及采用何种方式与家居网络中心接口最好。
该模型/架构的最终目的:① 家居网络中心突出网络功能,是一个信息交换,资源共享中心;② 提供多种通信媒介接口,包括有线与无线,高速与低速通信,高价位与低价位的组网物理结构,尽量满足现在家用电器的连网方式,适合不同家用电器的对象结构与特性;③ 对于不同的通信媒介网络,提出一个开放的网络体系结构,能够包容不同协议,使不同家用电器能够实现透明地无缝通信;④ 提供internet单一宽带接入口,使家居网络中的家用电器都能与internet连接,同时对家居网络与internet连接时进行安全管理与认证,控制访问internet的信息流,相当于路由器与网关功能;⑤ 只需普通家用电脑与家居网络中心平台接口,利用电脑的图形化、交互式界面环境,实现对家居电器的管理与控制。
从图1看,普通家用电脑部分很简单,主要是与家居网络中心的接口。家居网络中心包括几大部分:主控单元;简单的lcd显示与人机接口;与普通家用电脑的接口以及网络接口。下面重点讨论网络接口部分。
网络接口包括5个方面:① internet宽带接入。internet的深入发展,使家居生活对网络带宽的需求加大。各种宽带接入技术的出现,未来在家居宽带internet接入方面会出现很大的市场。至于家居采用何种宽带接入技术,如isdn、adsl、光纤、catv等,现在还无统一方式,这里也不提出具体接入方式。采用internet接入,对未来网络安全将非常重要,须要提供网络安全管理和访问信息资源的控制,以及远程访问控制家居电器时如何保证安全确认等。② 家居无线网。现有无线传输技术大多是红外技术(irda),只能同时一对一直线传输,中间不能有阻挡;而于1998年5月推出的新型通信技术——蓝牙技术,是未来组建家居无线网络的最佳选择。其作用在于简化小型网络设备之间的通信,连接距离达100m,不限制在直线传输,并且可连接多个设备,适合构造个人区域的网络。一旦其芯片价格下降到3~4美元以下,其应用前景将十分广阔。③ 家居lan总线网。一般在高价位的信息家电中可配以10m网卡,组建家居网络。④ 家居usb总线网。usb总线是通用串行总线,速度较快。usb总线估计有时在家用数字相机等高档电器中使用,可不重点考虑。⑤ 家居其他通信媒介网与接口。一般如rs232、rs485口,由于价格低,在小型家用电器中使用相当广。提供这方面接口,是为满足低价位的组网方式。另外可提供一些模拟接口,如仿真modem口等,主要考虑到其他电器接口方式。
2.硬件平台
家居网络中心的主要功能在于网络,因而可选择具有较强通信处理能力、价格适当的微处理器作为主要的控制器,如power pc、arm等,配以各个网络接口芯片,如internet宽带接入、蓝牙技术、lan总线等。现在,这些功能是组合的,未来的发展方向应是系统芯片soc(system on chip)。
3.软件模块
软件包括2部分:家居网络中心的系统软件和运行于家用电脑上的家居智能控制软件。家居网络中心的软件平台有2种:一是购买通用操作系统软件;二是利用linux软件进行裁减开发。最好采用linux,因源代码开放,可以按照需要对系统结构进行改动,形成专用的操作系统,更能发挥系统硬件功能。
4.网络体系结构
家居网络中心的目标是组建一个开放式的网络管理与数据交换平台,应该有一个开放的网络体系结构。按照osi模型与tcp/ip协议模型,对于家居网络存在多种不同网络通信媒介。我们提出一个类似于ip协议的家居网络体系。家居网络体系可分三层,即应用层、网络层、链路层。应用层负责处理控制网络中各个家用电器的数据流向,提供特定应用;网络层处理数据分组在不同媒介中的选择通路,确定数据流通媒介,可通过地址识别或其他方式;链路层包括操作系统中的设备驱动程序和对应的网络接口卡,处理物理接口细节。网络层的协议可借鉴ip协议模型,实现不同通信媒介的数据统一交换。另外,还要注意解决家居网与internet的tcp/ip协议实现数据交换。
三、总结
