引論:我們為您整理了1篇信息安全研究與設計范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
信息安全研究與設計:信息安全技術仿真實驗項目研究與設計
摘要:論述了信息安全技術仿真實驗項目的研究內容、目標及擬解決的主要問題;闡述了該項目擬采取的主要方法;提出了該項目研究與設計的目標:一方面創新實踐教學,提高教師教學水平,另一方面提高學生的實踐動手能力和創新能力,為提高學生就業率打下堅實的基礎。
關鍵詞:信息安全技術;仿真;實踐教學;創新能力
作者簡介作者簡介:李畢祥(1981-),男, 碩士,武漢科技大學城市學院信息工程學部信息工程系講師,研究方向為信息安全;郭冀生(1946-),男,武漢科技大學城市學院信息工程學部副教授,研究方向為數據庫。
0 引言
信息安全技術是從事信息安全應用與信息技術研究的專業技術人員必須掌握的知識和技能。本課程需要理論和實踐緊密結合,學生在掌握信息安全技術基本概念和基本理論之后,還要掌握網絡管理和網絡信息安全保障知識,深入理解網絡信息安全的各項工作,并能理論聯系實際,進一步應用信息安全技術。
為了充分提高學生的信息安全技術實踐能力,迫切需要相應的硬件平臺和軟件平臺作為實踐支撐環境,但相關的硬件成本非常高,很難配備齊全,所以很多高校的信息安全技術試驗都是傳統的演示實驗,很難提高學生學習信息安全技術的興趣。本文設計的信息安全技術實驗仿真平臺可以充分模擬高校、企業和銀行等網絡環境,使用模擬軟件進行仿真,繪制詳細的網絡拓撲圖,分析網絡流量,捕獲數據包,分析信息安全,并提供信息安全解決方案。此仿真平臺充分利用各種仿真軟件的優勢和特點,一方面能讓教師合理實施實踐教學任務,改革傳統的實踐教學模式,在改革中提高教師的教學能力和水平;另一方面,能讓學生身臨其境,自己繪制網絡拓撲圖,分析信息安全問題,充分調動學生的學習積極性,提高學生的自主創新能力,為就業打下堅實的基礎。
1 研究內容和目標
1.1 研究內容
(1)建設信息安全實驗室,加強信息安全虛擬平臺建設。信息安全實驗室是信息安全技術教學的實踐場所,目前很多大學的實驗中心還沒有建成專門的信息安全實驗室。由于信息安全實驗室建設投入較大,建設周期長,在目前教學任務緊迫的情況下,唯有加強信息安全虛擬平臺建設才能滿足實驗教學要求。虛擬實驗平臺主要依賴于軟件和較少的配套硬件,使實驗室的維護費用和工作量大大降低。在虛擬實驗平臺Boson、Opnet、Sniffer和Matlab上可以開展豐富的模擬實驗,包括網絡虛擬仿真、防火墻配置和基于SNMP的信息安全管理等。
(2)改革實驗教學模式,創造自主學習模式,提高實驗教學質量。對于信息安全的管理和實現,設定任務情境,對實驗任務的選擇可以具有梯度,更貼近工程應用。教師制定學習目標,學生可以自己設定任務情境,根據實際情況完成。例如,在信息安全管理實驗中,學生可以自主設計網絡拓撲結構,進行設備選型、配置和管理,以提高學生興趣和實踐動手能力為導向,鼓勵學生自主學習。
(3)完善教學實驗指導書,增加實驗項目。
1.2 項目目標
(1)通過信息安全虛擬平臺建設,強化學生的信息安全理論修養和實踐能力,學以致用,通過實踐來真正掌握信息安全技術的應用。
(2)通過信息安全虛擬平臺的使用,增強學生之間的學術交流氛圍。教學任務設定和日常信息安全技術應用,讓學生不僅在課堂,在課余時間也有進行信息安全知識鉆研的意識和環境。
(3)積極尋求相關途徑進行校企合作,為進一步提高學生實踐動手能力創造條件。
(4)建立結構合理的教學隊伍,制定適應社會需求的教學內容,培養教師的科研能力,完成信息安全技術課程群梯隊建設,形成一些具有較高水平的教學研究成果。
2 仿真實驗項目解決的關鍵問題
(1)改革過于模式化的傳統實驗,培養學生的創造性思維。
信息安全技術傳統實驗內容大多局限于實驗環境,脫離工程實際,實驗效果不好,難以培養學生創新能力。學生畢業后從事信息安全工程實踐時,很難將實驗功底轉化為從業能力。
(2)完善信息安全虛擬平臺,進行優化和合理的實驗設計。
信息安全虛擬實驗平臺是在能夠進行網絡通信的基礎之上將計算機網絡上虛擬的各種計算機、通信設備按實驗要求組建成一個完整的虛擬實驗網絡,模擬實現各種計算機網絡試驗和測試,并能演示實驗過程和信息安全管理的配置過程。使用已有網絡虛擬平臺Boson、Opnet、Sniffer和Matlab
進行合理的實驗設計,達到提高學生實踐能力的目的。
在繪制企業網絡拓撲圖,以及配置網絡設備,例如交換機、路由器和防火墻時,選用Boson軟件來完成拓撲圖的繪制和網絡設備的模擬配置。實驗效果描述如下:在捕獲和分析網絡中的數據包時,選用sniffer軟件來完成;在分析網絡的流量和網絡參數時,選用openet軟件來完成;在分析相關的數據和結果時,選用Matlab仿真軟件來完成。可以充分結合以上各種模擬軟件的特點和優勢,完成復雜的信息安全實驗項目。
(3)培養學生之間的合作精神,讓學生體驗團隊協作。
在傳統的教學過程中,雖然在實驗環節也采用了分組進行的模式,但在具體操作過程中部分學生并沒有真正參與,也就談不上團隊意識和協作學習,信息安全虛擬實驗平臺可以拓展和改善學習環境和氛圍。
(4)傳統課程考核模式陳舊,需要借助信息安全虛擬實驗平臺進行改革。
傳統的考核模式,內容局限于教材中的基本理論和基本知識,缺乏對學生知識、能力與素質的綜合考察,不利于學生應用能力的培養和創新精神的形成。另外,考試形式單一,在課程總評成績的計算中實踐部分所占比重很小,制約了學生實踐能力的培養。
(5)積極尋求相關途徑進行校企合作,讓學生進入企業實習和工作,為進一步提高學生實踐動手能力創造條件。
3 教學方法
教學方法的改革,目的是使學生在實際應用時能夠靈活地將理論與實踐相結合,培養學生運用知識分析問題解、決問題的能力。除了傳統的行之有效的教學方法之外,還應該采用一些有專業特色的教學方法,與時俱進。主要采取如下方法:
(1)在信息安全技術虛擬平臺上,將傳統的實驗題目改編為自主型實驗題目。針對設計型實驗的內容和要求,根據機房環境和信息安全技術虛擬平臺,精心設計相關題目和題目的梯度任務,或將原有實驗題目進行改造,形成與實驗要求相對應的自主型實驗題目系列。將實驗教學中傳統的特定環境實驗題目改為以問題為主線的任務情境,使學生自主選擇合理的任務并進行自主設計,培養學生創新能力。
(2)實驗教學中增強學生團隊意識。利用信息安全技術虛擬實驗平臺拓展和改善學習環境和氛圍。在傳統的分組模式基礎上,在具體操作過程中根據學生水平結合自愿原則分組,鼓勵學生制定不同梯度的任務作為目標,適時引導和有效監督,讓學生體會到團隊合作的重要性,培養竭誠合作的精神。此時,教師的引導作用很重要。
(3)利用信息安全虛擬實驗平臺,改革實踐課程考核體系。實驗考核中,學生要在規定時間內獨立解決問題,確保實踐考核的實時性、公開性和性。這樣的學習考核方式,使學生學習有目標、有壓力,學生在課前會認真做好準備,課后強化相關的信息安全的設計和應用,調動了學生的學習興趣,從而達到了提高學生解決實踐問題能力的教學目的。
(4)尋求校企合作,鼓勵學生到相關企業實習和工作。讓學生了解企業信息安全人才需求,努力讓學生密切聯系實際,鼓勵學生到相關企業實習和工作。在學校有限的實驗條件下,積極尋求校企合作,鼓勵學生去企業實習,為畢業生順利就業和后續擴大專業招生打下良好的基礎。
信息安全研究與設計:企業網信息安全風險評估系統的研究與設計
摘 要 本文構建了一個網絡信息安全風險評估系統,該系統對企業內部網絡中的信息進行風險評估,為如何實施控制措施以降低風險提供指導。
關鍵詞 企業網 信息系統 風險評估
一、引言
信息技術在商業上的廣泛應用,使得企業對信息系統的依賴性增大。信息系統風險評估是辨別各種系統的脆弱性及其對系統構成威脅,識別系統中存在的風險,并將這些風險進行定性,定量的分析,制定控制和變更措施的過程 。通過安全評估能夠明確企業信息系統的安全威脅,了解企業信息系統的脆弱性,并分析可能由此造成的損失或影響,為滿足企業信息安全需求和降低風險提供必要的依據。
二、安全風險評估的關鍵要素
信息系統安全風險評估的三個關鍵要素是信息資產、威脅、弱點(即脆弱性)。每個要素都有各自的屬性,信息資產的屬性是資產價值。威脅的屬性是威脅發生的可能性,弱點的屬性是弱點被威脅利用后對資產帶來的影響的嚴重程度。
對企業信息系統的本身條件和歷史數據進行整理分析,得到威脅,脆弱點分析如下:
實物資產的脆弱性:對電腦等辦公物品的保護措施不力,辦公場所防范災害措施不力,電纜松動,通訊線路保護缺失。
信息資產的脆弱性:相關技術文檔不全,信息傳輸保護缺失,撥號線路網絡訪問受限,單點故障,網絡管理不力,不受控制的拷貝。
軟件資產的脆弱性:未使用正版穩定軟件。
人員的脆弱性:對外來人員監管不力,安全技術培訓不力,授權使用控制不力,內部員工的道德培訓不力。
三、風險評估過程
風險評估是信息系統安全保障的核心和關鍵。風險評估過程分為風險識別、風險分析和風險管理。
風險識別是分析系統,找出系統的薄弱點和在運行過程中可能存在的風險。為了保障風險分析的的及時性和有效性,管理層面應該有具備豐富風險知識的部門經理、IT人員、關鍵用戶、審計人員和專家顧問,他們能夠幫助快速地指出關鍵風險。
風險分析是對已識別的風險進行分析,確定各個風險可能造成的影響和損失,并按照其造成的影響和損失大小進行排序,得到風險的級別。風險分析有助于企業就安全項目和構成該項目的安全組成部分編制正確的預算,有助于將安全項目的目標與企業的業務目標和要求結合起來。
風險管理是由以上步驟得到的結果,制定相應的保護措施。通過實施在評估階段創建的各種計劃,并用這些計劃來創建新的安全策略,在完成補救措施策略的開發和相關系統管理的更改,并且確定其有效性的策略和過程已經寫好之后,即進行安全風險補救措施測試。在測試過程中,將按照安全風險的控制效果來評估對策的有效性。
四、評估系統的設計
(一)評估系統的體系結構和運行環境。
該評估系統主要采用B/S/S三層體系結構,即包括客戶端、應用服務器、數據庫服務器三部分。其結構示意圖如圖1所示:其中,客戶端通過Web瀏覽器訪問應用服務器,在Web頁面的引導下指導用戶與評估人員進行風險識別、數據收集,并顯示的評估結果。同時豐富的在線幫助信息又為用戶及評估人員參與風險評估以及管理員進行系統維護提供了很好的在線支持,系統管理員也可以利用任意一臺客戶端登錄管理帳號對系統數據庫進行權限范圍內的維護。管理者需了解部門、員工及資產總體情況,明確風險種類及大小,并以知識庫的形式,為如何處置風險提供了一些解決方案。面向評估人員的功能模塊,展示了本部門目前面臨的威脅和薄弱點情況,幫助評估人員明確風險。相比而言,該模塊更主要的功能,是協助上報本部門的人員及資產信息,以滿足評估需要。
圖1 評估系統體系結構
應用服務器處理收集到的風險信息,并采取多種手段,利用綜合評估算法 ,完成信息系統安全風險評估,并實時將執行結果返回給客戶端Web瀏覽器。應用服務器配置了系統運行所需要的Web服務器程序以及Web站點頁面文件,我們選擇動態網頁編程技術對系統的Web站點頁面文件進行編碼和開發。數據庫服務器上配置了系統運行所需要的SQL Server數據庫管理程序以及系統數據庫資源,通過Web服務器與客戶端實現實時數據交互。
(二)工作流程設計
首先,對信息系統進行風險數據采集,用戶填寫由評估單位制定的評估申請,將信息系統按具體情況進行分類,同時利用漏洞掃描器、正反向工具從技術角度了解系統的安全配置和運行的應用服務,使得評估人員從整體上了解該信息系統及其評估重點,并針對系統業務特點進行裁剪;接下來,在前面所做的工作的基礎上,圍繞著系統所承載的業務對數據進行資產、威脅、脆弱性分析;,依據發生的可能性及對系統業務造成的影響對識別的風險進行分類,利用定性和定量的評估算法以及消除主觀性的各種算法,對風險識別中獲得的風險信息進行風險綜合評估,并在整體和局部、管理和技術風險評估的基礎上,生成評估報告。
(三)數據庫設計
該系統的數據庫由企業信息庫、知識庫、評估標準庫和評估方法庫組成,采用SQL Server數據庫管理系統作為該數據庫的開發和運行平臺,其中:企業信息庫存儲的是有關企業信息系統的基本信息;評估方法庫存儲了針對所設計的評估結構所采用的評估方法集合;知識庫存儲的是以往已評估系統的完整評估資料,可以為當前的風險評估提供可借鑒的經驗;在數據庫設計中評估標準庫是幾個庫中最重要也是工作量較大的部分,該庫涵蓋了各評估標準的評估要素,即遵從標準,又針對各行業的業務特點,提供了靈活的數據結構。
(四)網站內容風險算法。
對風險進行計算,需要確定影響的風險要素、要素之間的組合方式、以及具體的計算方法。將風險要素按照組合方式使用具體的計算方法進行計算,得到風險值。目前通用的風險評估中風險值計算涉及的風險要素一般為資產、威脅、和脆弱性。由威脅和脆弱性確定安全事件發生的可能性,由資產和脆弱性確定安全事件的損失;由安全事件發生的可能性和安全事件的損失確定風險值。目前,常用的計算方法是矩陣法和相乘法。
五、總結
網絡技術的發展在加速信息交流與共享的同時,也加大了網絡信息安全事故發生的可能性。對企業信息系統進行風險評估,可以了解其安全風險,評估這些風險可能帶來的安全威脅與影響程度,為安全策略的確定、信息系統的建立及安全運行提供依據,給用戶提供信息技術產品和系統性的信心,增強產品、企業的競爭力。
(作者:武漢職業技術學院計算機系教師,碩士,研究方向:計算機網絡及其應用、信息安全)
信息安全研究與設計:高職信息安全專業實訓教學評價系統的設計與研究
摘 要:目前不少公司和教育機構都開發了信息安全專業實訓平臺,但配套的實訓教學評價系統卻很少。本文依托實訓平臺研究開發配套的實訓教學評價系統,該系統既方便教師及時了解學生實訓完成情況,也能及時反映學生在學習過程中遇到的問題,根據學生反饋對實訓項目不斷完善。
關鍵詞:信息安全技術;實訓項目;實訓教學評價系統
中圖分類號:TP309-4
為了更好的指導對信息安全專業學生的實訓課程教學任務,培養高素質的信息安全方面的人才,掌握近期的信息安全理論與實踐經驗,開設信息安全實訓課程是非常必要的,但如何對實訓課程進行教學評價及考核是我們面臨的一個新問題,教師需要了解實訓項目開發是否適合學生學習,需要學生及時將完成任務后的效果反饋給教師,教師也需要對學生完成情況進行考評。
目前國內的教育機構或企業開發的集成化網絡實訓產品比較多,如西普陽光,銳捷網絡,這類實訓產品主要提供一些實訓題目操作給學生練習,對教學效果有的根本沒有評價系統,有的只有簡單給出實訓成績,不能真實反映實訓效果。為了更好的對實訓課程、基于工作過程的項目化教學課程學習效果進行評價分析,更好的了解學生的實訓課程及完成工作任務的情況,本文給出了信息安全專業實訓課程評價系統。
1 信息安全專業實訓課程教學模式分析
信息安全專業實訓課程,按照課程設置可分為兩種類型:一類是與課堂教學配套實驗教學,通常以驗證性實驗為主,其重點在于讓學生通過實驗理解知識的本質和原理[1];另外一類是單獨開設的實訓課程,通常以綜合性、設計性和創新性實驗為主,目的是培養學生綜合運用所學多種信息安全技能,提高學生的實際操作能力,為將來頂崗實習、畢業設計打基礎,為更快、更好適應企業崗位需求打基礎。因此實訓課程設置需要注意以下幾個方面問題:
(1)實訓課程中課程內容的設置,要求能綜合運用多種安全領域技術手段,采用多種手段結合的方式來實現安全設置,以此解決相應的問題。
(2)實訓內容中涉及到加密算法驗證、程序演示等項目時,一方面要提供正確的算法或程序的可執行程序進行驗證性實驗,另一方面要求提供算法或程序的實現細節,便于學生通過源代碼或實現細節的調試修改加深對知識點的理解,增強學生的實際動手能力[2]。
(3)實訓內容中涉及到利用網絡上的共享資源時,如網絡攻防實訓、計算機病毒實訓,需要讓學生掌握更多的攻擊和防御技巧的手段,需提供成熟、版本較新的各種網絡上的共享資源。
(4)需要提供實訓結果的評價機制,實訓效果的考核和評價機制,教師能實時了解每一位學生當前的實訓狀態,操作過程,便于實時發現問題,及時反饋信息,進行指導和修正。
(5)需要提供統一管理的實訓平臺環境,教師可以靈活合理的搭配實驗內容,根據教學需要,配置相應的實驗基礎設置條件。
信息安全實訓課程必須在完成課堂教學的基礎上進行,通過課堂教學使學生掌握信息安全專業的相關基礎知識。在此基礎上,通過實訓課程完成相關配套課程的實訓,提高學生綜合專業技能水平[3]。因此成熟、完善的實訓評價系統十分必要,該系統對實訓環節進行實時監控,及時發現問題,解決問題。
2 實訓教學評價系統設計
實訓教學評價系統的設計,需要滿足以下幾個需求:
(1)提高教學質量,通過實訓教學評價系統,學生可以向教師及時反饋實訓過程中存在的問題、意見和建議,便于老師及時掌握學生的學習情況,而不是簡單的完成工作任務,教師根據學生反饋,及時調整實訓項目內容,提高實訓教學質量。
(2)增強學生自主學習能力,利用教學評價系統,學生在完成實訓后可以自己查看實訓結果的正確性及疑難問題解答,學生可以根據自身情況進行自主學習,大大增強學生自主學習能力。
(3)減輕教師繁瑣的評價工作,一般由于課堂時間有限,老師只能針對個別同學的實訓結果進行講評,還需要課后花大量時間重新查閱所有同學的實訓結果,工作量較大。利用實訓教學評價系統,在同學們完成實訓的時候,教師就可以查看所有同學的實訓結果,了解實訓效果及反饋,大大減輕教師的工作量。
實訓教學評價系統設計必修根據實訓項目內容來設計,針對不同的實訓項目考核的重點及學生反饋的問題有所差異,應根據實際情況靈活設計考核方案。目前實訓項目主要涉及以下幾方面內容:
(1)操作系統安全設置、計算機病毒、信息加密,這類實訓內容一般由一臺計算機可以完成,實訓結果是否正確比較好判斷,教學評價較為簡單。
(2)服務器入侵及防御,這類信息安全實訓項目至少涉及2臺計算機,一臺作為服務器扮演被入侵的角色,一臺作為客戶端扮演入侵者的角色,同時服務器被入侵后如何進行防御是實訓內容的重點和難度;這類實訓結果正確性不能簡單判斷是否正確,因此在進行教學評價時有一定的難度。
(3)網絡安全策略部署,這類實訓需要多臺計算機共同完成,同學們需要分組進行實訓,因此實訓的教學評價系統難度較大。
3 實訓教學評價系統開發
實訓教學評價系統是依托于實訓項目進行開發設計,目前各類信息安全實驗平臺具有以下特征:
(1)建立真實的網絡環境,能在局域網交換式和共享式網絡環境下,開展信息安全實驗、實訓。
(2)有多種操作系統環境,Windows xp/2000/2003的專業版和服務器,有linux、UNIX操作系統環境。
(3)提供開展密碼系統和PKI/CA相應的實訓環境;
(4)具備開展網絡攻防實驗的條件,有網絡攻擊系統或平臺、口令攻擊軟件、DDos攻擊軟件、滲透攻擊軟件、木馬植入軟件、攻擊仿真系統等。
(5)具有建立網絡防御體系需要的實訓條件,具有防火墻系統、入侵檢測系統;
實訓教學評價系統是依附于實訓平臺使用的,信息安全實訓平臺為方便教學開發設計的集成圖形操作環境,該環境給教師和學生提供了一個公用的平臺,集成的實驗平臺,既便于學生動手,也便于師生之間的信息交流及教學效果評價。這樣的系統一般由幾個部分組成,平臺基礎信息維護程序,教師和同學通過該程序注冊、登錄系統。教師端程序主要提供教師分發實訓任務,了解學生完成情況,根據學生完成情況進行講評。同學們登錄學生端程序后,接受實訓任務,根據要求完成相關實訓并提交,查看實訓結果并將實訓過程遇到問題反饋給教師。因此實訓教學評價系統應該在教師端程序和學生客戶端程序中共同完成。
根據設計要求、實訓內容、實訓平臺特點等幾個方面綜合考慮,設計出如下實訓教學評價系統,系統功能模塊分析圖如下圖1所示。
系統在實際設計中分兩個部分,一個部分關于教學考評學生實訓完成情況,結果是否正確,在教師端程序中設計實施。另一部分關于學生在實訓過程中遇到的問題及時反饋給教師,同時查看自己的實訓成績及實訓結果正確性,這部分功能在學生端程序中設計實施。因此整個系統的流程圖如圖2所示。
4 總結
信息安全專業學生實訓目的是培養學生綜合運用所學安全工具、安全策略的能力,提高學生的實際操作能力,培養學生適應實際工作要求能力。在高職的教育教學過程中顯得尤為重要,為了減輕教師實訓評價工作,提供實訓的教學質量及教學效果,配套的實訓教學評價系統也尤為重要。本文給出的實訓教學評價系統通過實施,可以達到點評實訓結果,了解學生實訓狀況,改進實訓內容的作用,提高教學質量。
信息安全研究與設計:地鐵信號維護支持系統信息安全采集設計與研究
摘要:在城市軌道交通運營中,信號設備發揮了神經中樞的作用。信號維護工作則是保障信號系統正常工作的關鍵。對地鐵信號系統維護現狀進行分析后,建議引入獨立的地鐵信號維護支持系統,通過實時采集信號設備的運行狀態,及時顯示故障報警信息,輔助設備維護流程,實現對地鐵信號系統設備的集中監測和維護管理。
關鍵字:地鐵;信號維護支持系統;設計
一、接口安全問題
地鐵交通信號維護支持系統通過數據接口對信號設備進行信息采集,信號設備提供的接口方式有RS232、RS422/485、CAN、以太網,通常CC(車載控制器)、ATS(列車自動監控系統)、ZC(區域控制器)、CI(聯鎖)、DCS(數據通信子系統)等信號設備提供以太網接口[5],ACS、UPS、智能電源屏等信號設備提供RS232或RS422/485接口。信號設備與信號維護支持系統采用RS232、RS422/485、CAN等接口進行通信時,通訊設備間可能存在參考電位不同、系統噪聲以及浪涌等,容易造成通信故障甚至信號設備的損壞,嚴重時則會影響到行車效率和行車安全。信號設備與信號維護支持系統之間為確保接口信息的安全采集,必須確保有良好的安全隔離措施,既要做到數據上的安全隔離也要做到電氣上的安全隔離。確保信號維護支持系統符合故障-安全原則,即在任何情況下都不得影響信號的正常工作。同時其它信號子系統間不能通過信號維護支持系統相互通信相互影響。
二、串口通信安全方案
2.1系統隔離
信號傳輸中非預期的電涌可能由多種原因引起,它們是電流通過感應方式耦合到電纜上的結果,工業環境中的長電纜特別容易受此現象的影響。電機操作尤其容易引起地電位的快速變化,這些變化可產生電流,流過所有鄰近線路以補償地電位。其他感應電涌來源包括靜電放電(ESD)和電擊,它們可導致線路中的電位高達數百或甚至上千伏特,并表現為瞬態電流和電壓浪涌。因此,這些失控的電壓和電流會破壞信號并為器件和系統帶來嚴重后果―――損壞甚至毀壞連接到總線的元件并使系統出現故障。由于RS-485系統鋪設距離長并且連接多種系統,特別容易受到這類情況的影響。為防范此類潛在的破壞,總線上的所有設備和連接至總線的系統都必須參考同一地線。將RS-485系統器件與連接至總線的各個系統隔離,可防止接地環路和電涌損壞電路。連接至RS-485電纜總線的各系統和每個RS-485電路都有單獨且隔離的地線,使各RS-485電路僅參考同一地線,可消除接地環路。通過隔離,還可以使RS-485電路基準電壓水平隨著電纜線中產生的電涌而升高和降低。使電路基準電壓源隨浪涌而變化,而不是鉗位在固定的地線,可防止器件損壞。為實現系統隔離,必須將RS-485信號線和電源隔離。電源隔離是使用隔離DC-DC電源實現的。信號隔離通常是使用光耦合器實現的。隔離的實現方式并不復雜,但設計者在實現隔離電路時必須考慮多個因素。由于數字隔離器不支持RS-485標準,無法在RS-485接收器、驅動器和RS-485電纜之間插入數字隔離器。為實現RS-485系統信號路徑隔離,需要在RS-485驅動器、接收器和本地系統之間的數字信號路徑中設計一個隔離器。隔離器包括輸入電路和輸出電路,互相之間以電氣方式隔離,可有效防止浪涌造成的損壞并消除接地環路。理論上,變壓器可用來提供隔離,但是,如果總線速度慢,需要大型變壓器,這一解決方案就不可行了。
2.2系統應用
RS-485總線標準是使用最廣泛的物理層總線設計標準之一。RS-485標準可用于驅動多達32個驅動器/接收器。長度可以達4 000 m。RS-485的多功能性使該設計適用于各類應用,尤其是遠661第5期程全,等:地鐵信號維護支持系統信息安全采集設計與研究程的系統間連接。RS-485驅動器使用平衡的差分信號通過兩條輸出線路發送數據信號。接收器通過將這兩個輸入信號互相比較進而確定邏輯狀態。驅動器和接收器包含差分放大器和兩個差分信號線路之間的電路引導電流。相比單端驅動方案(如RS-232)差分信號的使用使系統具有較高的抗噪水平。所有的RS-485驅動器還包含使能驅動,可使驅動器處于高阻狀態。使能驅動功能可使多個驅動器共享同一總線并防止總線競爭問題。驅動器使能功能和軟件協議定義了驅動器之間線路共享的仲載程序。軟件協議在驅動器之間仲載,確保一次只有一個驅動器保持激活狀態。此仲裁允許多達32個驅動器共享線路。RS-485可采用一種半雙工、雙向、雙線、多分支配置,在一條總線上支持多達32個驅動器和32個接收器。線路上的每個節點都包含一個接收器和一個驅動器。在此配置中,所有的接收器和驅動器都共享相同的兩個差分信號線路。雙線系統可以使用一條雙絞線安裝。該設計可簡化安裝并降低成本,但它需要所有驅動器共享線路,從而限制了較大數據吞吐率。由于RS-485系統通常用于連接多個系統,當電纜鋪設距離過長時,總線和所連接的各個系統之間的隔離就顯得非常關鍵,這時利用數字隔離技術為它們之間提供了重要的隔離,并防止過壓瞬變,同時避免在RS-485網絡中形成接地環路。利用數字隔離技術可減少信號失真和誤差,并防止系統和組件發生和總線電壓及接地失配。在網絡安全問題日益突出的今天,采用串口通信的方式可以有效隔離病毒。串口間的數據流、編碼格式、數據報文由串口通信程序控制,通用的TCP/IP協議、UDP協議無法在此通過。同時串口通訊協議不是標準協議,都是自己根據系統特點設計,只有符合串口通訊協議的數據才能完成傳輸,如果設備間只是通過串口進行連接,病毒將無法通過串口通信線路進行傳播。造成串口通信設備損壞的主要原因有兩端設備不共地、浪涌、感應雷擊、靜電干擾、熱插拔、電磁干擾等,當串口通信設備采用光電隔離技術后,兩端串口通信設備的電氣與地線回路隔離,使得一側的電信號變成光信號傳到另一側以后,再將光信號轉換回電信號,從而保護了串口通信設備,提高了系統通信的性與穩定性。因此,采用帶光電隔離的串口可以實現接口信息的安全采集,保障惡劣環境下也能安全的通信。如果信號維護支持系統在車站需要與兩種或兩種以上的串口設備通信,可以采用帶光電隔離的多串口卡進行串口擴展。采用光電隔離的串口可以實現接口信息的安全采集,但是串口通信速率低,通信距離短。比如常用的具有光電隔離的MOXA CP-114I(4口232,422/485)端口速度為921。6 KB/s,通訊距離為100 m。
三、通信接口機
如果信號維護支持系統直接通過交換機與信號設備相連,可能造成本來沒有互連關系的信號設備通過信號維護支持系統提供的交換機有了互連關系,對列車的安全運行來說具有一定的風險。當需要采集的接口數據量較大,同時通信距離又較遠,采用光電隔離的串口通信安全方案無法滿足要求時,可以采用以太網通信安全方案。在通信安全方案中可以采用通信接口機實現信號設備與信號維護支持系統間的互聯互通,同時保障通信的安全。通信接口機把網絡接口轉換成串口與信號維護支持系統連接,一路網口轉換成一路串口,一臺通信接口機可同時將8路網口轉換成8路串口,每路通訊通道間相互獨立,信號設備間沒有任何物理上的通訊連接關系。因此,通信接口機可以很好地實現信號維護支持系統與信號設備間、各信號設備間的安全隔離。通信接口機可用于控制中心、設備集中站、車輛段/停車場的通信安全隔離,通信接口機在設備集中站的應用實例見圖1
圖1
若采用通信接口機作為安全隔離方案,還需要考慮通信接口機、多串口卡(當信號維護支持系統提供的串口太少且無法滿足與多種信號設備通信時,采用多串口卡進行串口擴展)的串口速率以及網絡的數據量。若信號設備發送給信號維護支持系統的數據量特別大,由于串口速率較小,此時就不適合采用通信接口機這種安全隔離方案,只能采用其它的安全隔離措施。
結束語
在地鐵信號維護支持系統中串口安全通信的優點是基于光電隔離的串口通信成本低,隔離病毒。但是通信速率較低,通信距離短;適用于通信距離短、通信數據量較小的信號設備通信。通信接口機優點成本低,隔離病毒,各路通訊通道間相互獨立。但是通信速率較低,不適合通信數據量較大的場合,適用于控制中心、設備集中站、車輛段/停車場的信號設備的通信安全隔離。因此在應用時可根據不同的場景選擇不同的設計方案。
信息安全研究與設計:高職網絡與信息安全課程教學設計與研究
摘要:高職網絡與信息安全是一門涉及多門課程知識的綜合性課程,它涵蓋的課程內容豐富且難度大。該文以window server 2008操作系統安全加固為例,來設計符合高職學生學習特點的一整套教學方案,目的在于培養學生解決實際問題的能力。
關鍵詞:高職;網絡與信息安全技術;操作系統;安全加固
隨著互聯網用戶的增加,技術的發展,導致網絡不安全的因素越來越復雜,網絡面臨前所未有的安全威脅,社會對能快速解決網絡安全問題的人才需要增加。因此培養維護網絡與信息安全的人才成為了高職院校的大事件。本文針對網絡用戶如何防范最常見的網絡攻擊角度出發,為學生精心設計教學內容。
1 課程特點
學習網絡與信息安全課程,需要學生有一定的硬件平臺、軟件系統、TCP/IP協議等知識為基礎。本課程在高職教學中主要有如下一些突出特點。
1)內容豐富。網絡與信息安全技術課程內容包含:網絡與信息安全的基本概念,加密與解密技術,數字簽名和認證技術,神州數碼硬件防火墻及ISA server2006軟件防火墻技術,snort入侵檢測技術,端口掃描和嗅探技術,網絡流量監控及分析技術等,可見本課程內容豐富。
2)基礎課程要扎實。網絡與信息安全技術課程是計算機網絡技術專業的專業課,前面的基礎課程有:網絡基礎、windows系統操作系統、神州數碼交換機及路由器設備配置等,這些課程知識需要學生在學習本課程之前掌握。
3) 惡意攻擊方法層出不窮。隨著網絡與信息安全技術的廣泛應用,由于各種原因,網絡攻擊手段越來越復雜,與防范技術不斷較量。因此,網絡與信息安全課程教學內容也需要不斷地更新。
4)突出實用性。學習本課程的最終目的是能解決網絡與信息安全問題,它包含的實踐內容有:windows操作系統的安全加固、sniffer的使用、X-Scan掃描系統漏洞、用PGP加密軟件發送郵件、使用snort入侵檢測軟件對網絡進行實時監視、用ISA防火墻軟件設置網絡過濾規則等等。
2 網絡與信息安全技術課程教學設計與研究
本課程教學內容多,本文以windows server 2008操作系統加固為例,介紹本課程的教學過程。目前許多公司正在使用外置安全硬件的方式來加固它們的網絡。這意味著,它們使用防火墻和入侵保護系統在它們的網絡周圍建立起了一道銅墻鐵壁,保護它們自然免受互聯網上惡意攻擊者的入侵。但是,如果一個攻擊者能夠攻破外圍的防線,從而獲得對內部網絡的訪問,這個時候就需要我們保護網絡當作的一道防線--windows server 2008操作系統加固。
1) 教學目標設計
目前各大公司和企業單位主流服務器都是安全了windows server 2008操作系統,如何加固它,保護內部數據不被竊取或者破壞,成為了我們教學最重要的目標。
2) 教學內容設計
①系統的安全加固:我們通過配置目錄權限,系統安全策略,協議棧加強,系統服務和訪問控制加固操作系統,整體提高服務器的安全性。
②IIS手工加固:手工加固IIS可以有效地提高web站點的安全性服務器安全加固,合理分配用戶權限,配置相應的安全策略,有效地防止IIS用戶溢出提權。
③系統應用程序加固,提供應用程序的安全性,例如SQL的安全配置以及服務器應用軟件的安全加固。
3) 教學操作實踐
實踐環境是一個局域網機房,所有主機互聯。假定你是某公司的系統管理員,負責服務器(受保護服務器IP、管理員賬號)的維護,該服務器可能存在著各種問題和漏洞。給學生1個小時的時間對服務器進行加固,加固后將會有很多黑客對這臺服務器進行猛烈地攻擊,學生進入分組對抗環節。
在這個分組對抗的環節里,各位學生需要繼續保護服務器免受各類黑客的攻擊,可以繼續加固服務器,也可以選擇攻擊其他組的保護服務器。如果某個學生的服務器攻擊后死機那么實踐結束。
4) 考核方式的設計。
本課程安排形成性考核包括了學生的期末筆試部分、出勤、平時表現占50%,而每次課的實踐環節占50%,突出動手實踐操作。動手解決實際問題才能真正反映學生的真實工作技能。
3 結束語
本課程是計算機網絡技術專業的專業核心課程,課程內容多且復雜。本文提出了以為windows server 2008操作系統安全加固為例,介紹了本課程的教學目標、內容、實踐環節的設計,突出學以致用的原則,注重培養學生網絡安全防范的能力。
