引論：我們為您整理了13篇網絡安全滲透技術范文，供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源，期望它們能夠激發您的創作靈感，讓您的文章更具深度。

篇1

1 常見的網絡攻擊手段

目前較為常見的網絡攻擊手段主要包含以下幾種：

1.1 IP欺騙攻擊手段

這種攻擊手段是指，不法分子利用偽裝網絡主機的方式，將主機的IP地址信息復制并記錄下來，然后為用戶提供虛假的網絡認證，以獲得返回報文，干擾用戶使用計算機網絡。這種攻擊手段的危害性主要體現在：在不法分子獲得返回報文之前，用戶可能無法感知網絡環境存在的危險性。

1.2 口令攻擊手段

口令攻擊手段是指，黑客實現選定攻擊主機目標之后，通過字典開展測試，將攻擊對象的網絡口令破解出來?？诹罟羰侄文軌虺晒玫脑蛟谟冢汉诳驮诶缅e誤口令測試用戶UNIX系統網絡的過程中，該系統網絡不會對向用戶發出提示信息。這種特點為黑客破解網絡口令的過程提供了充裕的時間。當黑客成功破解出網絡口令之后，可以利用Telnet等工具，將用戶主機中處于加密狀態的數據信息破解出來，進而實現自身的盜取或損壞數據信息目的。

1.3 數據劫持攻擊手段

在網絡運行過程中，不法分子會將數據劫持攻擊方式應用在用戶傳輸信息的過程中，獲得用戶密碼信息，進而引發網絡陷入癱瘓故障。與其他攻擊手段相比，數據劫持攻擊手段產生的危害相對較大。當出現這種問題之后，用戶需要花費較長的時間才能恢復到正常的網絡狀態。

2 網絡安全風險評估關鍵技術類型

網絡安全風險評估關鍵技術主要包含以下幾種：

2.1 綜合評估技術

綜合評估技術是指，在對網絡安全風險進行定性評估的同時，結合定量評估的方式提升網絡安全風險評估的準確性。

2.2 定性評估技術

定性評估技術向網絡安全風險評估中滲透的原理為：通過推導演繹理論分析網絡安全狀態，借助德爾菲法判斷網絡中是否存在風險以及風險的類型。這種評估技術是我國當前網絡安全評估中的常用技術之一。

2.3 定量評估技術

這種評估方式的評估作用是通過嫡權系數法產生的。定量評估技術的評估流程較為簡單，但在實際的網絡安全風險評估過程中，某些安全風險無法通過相關方式進行量化處理。

3 網絡安全風險評估關鍵技術的滲透

這里分別從以下幾方面入手，對網絡安全風險評估關鍵技術的滲透進行分析和研究：

3.1 綜合評估技術方面

結合我國目前的網絡使用現狀可知，多種因素都有可能引發網絡出現安全風險。在這種情況下，網絡使用過程中可能同時存在多種不同的風險。為了保證網絡中存在的安全風險能夠被全部識別出來，應該將綜合評估技術應用在網絡安全風險的評估過程中。在眾多綜合評估技術中，層次分析法的應用效果相對較好。評估人員可以將引發風險的因素及功能作為參照依據，將既有網絡風險安全隱患分成不同的層次。當上述工作完成之后，需要在各個層次的網絡安全風險之間建立出一個完善的多層次遞接結構。以該結構為依據，對同一層次中處于相鄰關系的風險因素全部進行排序。根據每個層次風險因素的順序關系，依次計算網絡安全風險的權值。同時，結合預設的網絡安全風險評估目標合成權重參數，進而完成對網絡安全風險評估的正確判斷。

3.2 定性評估技術方面

定性評估技術的具體評估分析流程主要包含以下幾個步驟：

3.2.1 數據查詢步驟

該步驟是通過匿名方式完成的。

3.2.2 數據分析步驟

為了保證網絡安全風險評估結果的準確性，定性評估技術在數據分析環節通過多次征詢操作及反饋操作，分析并驗證網絡安全風險的相關數據。

3.2.3 可疑數據剔除步驟

網絡安全風險具有不可預測性特點。在多種因素的影響下，通過背對背通信方式獲得的網絡安全風險數據中可能存在一些可疑數據。為了避免這類數據對最終的網絡安全風險評估結果產生干擾作用，需要在合理分析網絡安全現狀的情況下，將可疑數據從待分析數據中剔除。

3.2.4 數據處理及取樣步驟

通過背對背通信法獲得的數據數量相對較多，當數據處理工作完成之后，可以通過隨機取樣等方法，從大量網絡安全風險數據中選出一部分數據，供給后續評估分析環節應用。

3.2.5 累計比例計算及風險因素判斷步驟

累計比例是風險因素判斷的重要參考依據。因此，評估人員應該保證所計算累計比例的準確性。

3.2.6 安全系數評估步驟

在這個步驟中，評估人員需要根據前些步驟中的具體情況，將評估對象網絡的安全風險系數確定出來。

與其他評估技術相比，定性評估技術的評估流程較為復雜。但所得評估結果相對較為準確。

3.3 定量評估技術方面

這種評估技術的評估原理為：通過嫡權系數法將評估對象網絡的安全數據參數權重計算出來。這種評估方法的應用優勢在于：能夠度量網絡系統中的不確定因素，將網絡安全風險量化成具體數值的形式，為用戶提供網絡安全狀態的判斷。

4 結論

目前用戶運用互聯網的過程主要受到數據劫持攻擊、口令攻擊、IP欺騙攻擊等手段的干擾。對于用戶而言，網絡安全風險的存在為其正常使用帶來了一定的安全隱患。當隱患爆發時，用戶可能會面臨極大的經濟損失。這種現象在企業用戶中有著更為明顯的體現。為了改善這種現象，促進互聯網應用的正常發展，應該將定量評估技術、定性評估技術以及綜合評估技術等，逐漸滲透在網絡安全風險評估工作中。用戶除了需要通過防火墻、病毒r截軟件等工具改善網絡環境之外，還應該加強對網絡安全風險評估的重視。當獲得網絡安全風險評估結束之后，應該需要通過對評估資料的分析，有針對性地優化自身的網絡系統，降低數據丟失或損壞等惡性事件的發生概率。

參考文獻

[1]陳雷.網絡安全態勢評估與預測關鍵技術研究[D].鄭州：信息工程大學，2015.

[2]李靖.網絡安全風險評估關鍵技術研究[J].網絡安全技術與應用，2014（05）：82-84.

[3]覃宗炎.網絡安全風險評估關鍵技術研究[J].網絡安全技術與應用，2014（04）：168-170.

[4]毛捍東.基于邏輯滲透圖模型的網絡安全風險評估方法研究[D].北京：國防科學技術大學，2008.

篇2

根據當前社會對于網絡和網絡安全人才的需求，本校制定了相應的人才培養計劃，歷經10年的改革與發展，形成了當前網絡工程專業下的三個特色方向：網絡技術方向、網絡安全方向、網絡編程技術方向。無論是網絡技術還是網絡安全技術都離不開網絡編程技術的支撐，缺少相應的編程能力網絡技術與網絡安全技術也注定會是瘸腿的技術，無法滿足網絡管理與網絡安全管理的需求。因此這三個方向相互融合形成的高級網絡與網絡安全技術方向，形成了目前網絡工程專業較為穩定的培養目標?！癙KI體系及應用”與“網絡安全協議”是以應用密碼學為基礎的延伸課程。培養學生利用現代密碼學的技術研發密碼產品的能力?！癙KI體系及應用”以證書認證中心為軸心，詳細介紹公開密鑰基礎設施的基本概念、基本原理、基本方法，以及公開密鑰基礎設施在現代密碼產品中的應用研發技術?！熬W絡安全協議”從密碼應用系統業務邏輯層面的安全分析入手，介紹常見的網絡安全協議、網絡安全標準和典型的網絡安全應用系統，在此基礎上，介紹安全協議設計及其安全性分析的基本理論與技術，使學生掌握基本的網絡安全協議設計方法，能夠根據具體的應用背景設計對應的網絡安全協議，研發安全應用系統。網絡攻防類課程是在以“應用密碼學”等信息安全類課程開設的基礎上，根據網絡工程專業的建設和國內網絡安全形勢的需要而開設的網絡維護類課程。其中，“網絡攻防技術入門”是在大一新生中開設的新生研討課，共16學時，分8次上課，以學生討論的方式組織教學，通過安排技術資料研讀和課堂討論，啟發學生對網絡攻防技術的學習興趣，掌握基本的網絡威脅防護方法?！熬W絡信息對抗”綜合講授與網絡安全相關的法律法規、網絡滲透技術和網絡防護技術。課程共64學時，理論授課32學時，實驗32學時，每個理論學時跟著一個實驗學時，以邊學邊練的方式組織教學。實驗教學通過專用綜合攻防平臺進行驗證性訓練?！坝嬎銠C取證技術”主要講述計算機取證的基本方法、基本過程、數據恢復技術、證據提取技術、證據分析技術，以及常見的計算機取證工具的使用方法?！靶畔踩夹g實訓”是在四年級上學期開設的實訓課程，共計192學時，8個學分。該課程分為兩個部分，第一部分以實際的項目案例為驅動，訓練學生對現代密碼理論技術應用能力與程序設計能力，目標是設計并實現一個小型的網絡安全軟件系統。第二部分以實際的網絡安全案例為驅動，訓練學生對于目標系統的滲透能力與網絡加固能力、以及對于整個滲透過程的取證分析能力。該實訓課程與學生的實習相互結合，部分學生進入網絡安全公司進行實習，提交綜合實習報告來獲得同校內綜合實訓相當的學分。通過三年的實踐，效果良好。

3網絡安全方向的人才培養分析

網絡安全方向已經形成了較為完善的課程體系，學生學習興趣高漲，在校內形成了良好的網絡安全研究氛圍。自發形成了保有數為20人左右的本科生興趣研究小組，另外，通過每年一屆的全校網絡安全知識比賽，促進了全校網絡安全知識的普及與人才培養，通過組織參加全省大學生網絡信息安全知識比賽，選拔優秀本科生進入相關課題研究，而且都取得了較好的效果。

篇3

據中國互聯網絡信息中心的調查報告，2009年我國網民規模達到3.84億人，普及率達28.9%，網民規模較2008年底增長8600萬人，年增長率為28.9%。中國互聯網呈現出前所未有的發展與繁榮。

然而，在高速發展的背后，我們不能忽視的是互聯網安全存在的極大漏洞，期盼互聯網增長的不僅有渴望信息的網民，也有心存不善的黑客，不僅有滾滾而來的財富，也有讓人猝不及防的損失。此次發生的政府網站篡改事件、百度被攻擊事件已經給我們敲響了警鐘：“重視互聯網安全刻不容緩!”

顯然，互聯網以其網絡的開放性、技術的滲透性、信息傳播的交互性而廣泛滲透到各個領域，有力地促進了經濟社會的發展。但同時，網絡信息安全問題日益突出，如不及時采取積極有效的應對措施，必將影響我國信息化的深入持續發展，對我國經濟社會的健康發展帶來不利影響。進一步加強網絡安全工作，創建一個健康、和諧的網絡環境，需要我們深入研究，落實措施。

二、關于互聯網安全的幾點建議

第一，要深刻認識網絡安全工作的重要性和緊迫性。

黨的十七大指出，要大力推進信息化與工業化的融合。推進信息化與工業化融合發展，對網絡安全必須有新的要求。信息化發展越深入，經濟社會對網絡的應用性越強，保證網絡安全就顯得越重要，要求也更高。因此，政府各級主管部門要從戰略高度認識網絡安全的重要性、緊迫性，始終堅持一手抓發展，一手抓管理。在加強互聯網發展，深入推動信息化進程的同時，采取有效措施做好網絡安全各項工作，著力構建一個技術先進、管理高效、安全可靠的網絡信息安全保障體系。

第二，要進一步完善網絡應急處理協調機制。

網絡安全是一項跨部門、跨行業的系統工程，涉及政府部門、企業應用部門、行業組織、科研院校等方方面面，各方面要秉承共建共享的理念，建立起運轉靈活、反應快速的協調機制，形成合力有效應對各類網絡安全問題。特別是，移動互聯網安全防護體系建設包含網絡防護、重要業務系統防護、基礎設施安全防護等多個層面，包含外部威脅和內部管控、第三方管理等多個方位的安全需求，因此應全面考慮不同層面、多個方位的立體防護策略。

第三，要著力加強網絡安全隊伍建設和技術研究。

要牢固樹立人才第一觀念，為加強網絡管理提供堅實的人才保障和智力支持。要發揮科研院所和高校的優勢，積極支持網絡安全學科專業和培訓機構的建設，努力培養一支管理能力強、業務水平高、技術素質過硬的復合型隊伍。不斷加強創新建設，是有效提升網絡安全水平的基礎，要加強相關技術，特別是關鍵核心技術的攻關力度，積極研究制訂和推動出臺有關扶持政策，有效應對網絡安全面臨的各種挑戰。

第四，要進一步加強網絡安全國際交流與合作。

在立足我國國情，按照政府主導、多方參與、民主決策、透明高效的互聯網管理原則的基礎上，不斷增強應急協調能力，進一步加強網絡安全領域的國際交流與合作，推動形成公平合理的國際互聯網治理新格局，共同營造和維護良好的網絡環境。

第五，要加強網絡和信息安全戰略與規劃的研究，針對網絡信息安全的薄弱環節，不斷完善有關規章制度。

如在當前的市場準入中，要求運營商必須承諾信息安全保障措施和信息安全責任，并監督其自覺履行相關義務。還要充分發揮行業自律及社會監督作用，利用行業自律組織完善行業規范、制定行業章程、推廣安全技術、倡導網絡文明。

篇4

近年來，隨著科技和互聯網技術的飛速發展，計算機在人們的日常工作和生活中的應用范圍快速擴大，已經滲透到人們工作和生活的各個領域，日常辦公、金融、貿易、購物等很多行為都基本實現了網絡化。但同時，由于計算機的開放性，計算機病毒層出不窮，網絡黑客的猖獗活動，讓人防不勝防，網絡安全受到全所未有的威脅。因此，認清計算機網絡的脆弱性，發現網絡安全的潛在威脅，并采取有效的保障計算機網絡安全的技術，對于保障現代社會人們工作和生活的正常進行顯得十分重要。

1計算機網絡安全的重要性

當今社會，隨著科學技術和互聯網技術的飛速發展，計算機在各行各業中的普及，從根本上改變了人類的工作和生活方式，極大的提高了人們的工作效率，豐富了人們的業余休閑娛樂，提升了人們的物質和精神生活品質。但是不容忽視的是，網絡在帶給我們的生活極大方便的同時，也面臨著諸多網絡安全問題，例如黑客的攻擊、網絡數據信息遭竊密、病毒的攻擊、木馬掛馬以及陷門等，網絡黑客活動日益猖獗，他們攻擊用戶的網絡服務器進行非法入侵，不但竊取用戶計算機的機密信息，而且還篡改數據庫內容，更有甚者導致用戶的計算機網絡系統癱瘓，對人們的工作和生活造成了嚴重的危害。事前的預防比事后的彌補更重要，為了有效預防計算機網絡安全問題，計算機用戶要加強安全上網的意識，推廣使用最新的有效的網絡安全技術，以全方位地應對各種不同的威脅，修復計算機安全漏洞，防患于未然，以確保計算機網絡信息的安全性和保密性。

2計算機網絡安全技術及其應用

1）升級操作系統補丁。由于操作系統自身的復雜性，為了適應網絡的需求，要及時對操作系統進行升級，更新，不但服務器和工作站等需要操作系統升級，各種網絡設備也都需要及時升級，并打上最新的系統補丁，以預防網絡惡意工具的入侵，修復漏洞不給黑客可乘之機，確保網絡的安全。

2）防火墻技術。目前防止網絡安全問題的措施，主要是靠防火墻技術來完成。作為網絡安全的屏障，防火墻是實現網絡安全最基本的辦法，也是一種最為有效的安全措施。防火墻對不安全的服務進行過濾排除，能極大地提高網絡的安全性，從而降低安全風險。

3）虛擬專用網絡（VPN）技術。虛擬專用網絡VPN技術，其主要提供在公網上安全的雙向通訊，其通過采用透明的加密方案的辦法，保證計算機數據的完整性，并提高數據的保密性。對于分布在不同地方的專用網絡，在計算機公共網絡上，虛擬專用網絡系統可以使其實現安全保密的通信。它由于采用復雜的算法，使在網絡上傳輸的數據和信息得到加密，從而避免數據被竊聽。

4）訪問控制安全。網絡的訪問控制安全，主要表現在口令、訪問權限和安全監視幾方面。訪問權限主要體現在用戶對網絡資源的可用程度上。網絡監視主要是監視整個計算機網絡在不同時間的運行情況，對整個計算機網絡進行動態監視，發現問題及時處理，從而確保網絡的訪問控制安全。網絡監視的作用在于，可以使網絡上的安全問題迅速被發現，并得到及時解決，從而實現訪問控制的安全。

5）數據加密技術。數據加密技術包括對稱加密和非對稱加密。對稱加密技術是一種比較常規的技術，以口令為基礎。目前，對稱加密方式中，數據加密標準DES的應用比較廣泛，在銀行業中得到了成功的應用，其主要應用于銀行的電子資金轉賬領域。非對稱加密方式，信息交換領域應用的比較多，例如身份認證和數字簽名等。

6）服務器。使用服務器，是為了加快網速，使用戶可以快速打開瀏覽的網站。由于服務器都有緩沖的功能，一些網站與IP地址的對應，關系可以得到保留。服務器的優點在于，其由于把內網的機器隱藏起來，不但可以防止網絡黑客對計算機網絡的直接攻擊，而且還可以實現節省公網IP的作用。

7）PKI技術。PKI技術主要利用公開密鑰體系，對計算機網絡的信息進行認證，并對計算機網絡信息進行加密。PKI技術由于將網絡數據的安全性和高效性集于一體，所以它的安全程度較高，目前在電子商務，電子政務以及電子事務領域，其成為了密碼技術的首要選擇，使電子商務中傳遞的數據信息的的保密性和完整性等安全問題得到解決，極大的保護客戶的資料安全。

8）安裝防病毒軟件。病毒掃描通過對機器中的所有文件和郵件內容，以及帶有exe的可執行文件進行掃描。為保障計算機網絡安全，用戶要對全網的機器安裝殺毒軟件，并保持最新的病毒庫，并定期清除隔離病毒的文件夾。

綜上所述，對于計算機網絡的安全問題，我們要應提高安全上網的意識，推廣使用多種最新的網絡安全技術，全方位地應對各種不同的威脅，做到防患于未然，從而最大限度的保障計算機網絡的安全。

參考文獻

[1]乜國雷.淺談計算機網絡安全及其對策[J].硅谷，2009.

[2]郭立暉，姚琦.計算機網絡安全與防范探討[J].現代商貿工業，2008.

[3]馮.計算機網絡安全技術研究[J].福建電腦，2008.

[4]曲大海.淺談計算機網絡安全技術的應用[J].硅谷，2008.

[5]網絡管理經驗總結十二招[J].計算機與網絡，2011.

[6]陸珊.淺談校園網絡的安全管理[J].科技信息，2010.

[7]李治國.校園網絡系統安全維護技巧分析[J].計算機光盤軟件與應用，2013.

篇5

滲透測試技術作為網絡安全防范的一種新技術,對信息系統安全防御處于較低水平的中國而言,具有遠大的實用價值和發展前景。通過對滲透測試的流程、步驟與方法的共性研究,本文給出了一種最基本的滲透測試過程,并論述了情報搜集階段使用的安全漏洞掃描技術。

1滲透測試

1.1定義

滲透測試[1],英文為PenetrationTesting,就是通過模擬惡意攻擊者的技術與方法,對目標系統進行探測,發現系統漏洞,挫敗目標系統安全控制措施,取得訪問控制權,為網絡系統的加固和服務信息的保護提供方向的一種網絡安全評估方式。

1.2分類

滲透測試包括兩種基本類型和一種混合類型：黑盒測試、白盒測試和灰盒測試[2]。黑盒測試(black-boxtesting)：也稱為外部測試。對目標系統完全不知的情況下,測試者通過遠程網絡,使用各種網絡掃描技術對目標系統進行掃描,并進行逐步的滲透,繼而揭示目標網絡中一些已知或者未知的安全漏洞。白盒測試(white-boxtesting)：也稱為內部測試。滲透測試者通過正規途徑了解到關于目標環境的所有內部與底層知識,例如網絡地址段、網絡拓撲結構圖、協議等,然后以最小的代價發現和驗證系統中最嚴重的安全漏洞?；液袦y試(grey-boxtesting)：以上兩種滲透測試基本類型的組合就是灰盒測試,組合之后的好處就是滲透測試者能夠根據對目標系統所掌握的有限知識與信息,對目標系統更加深入和全面的審查。

2滲透測試基本流程

本文通過研究,并依據安全業界的廣泛認同的PTES(ThePen-etrationTestingExecutionStandard,滲透測試執行標準)[3],提出最基本的滲透測試過程,分別是情報搜集、模擬攻擊、滲透攻擊,生成報告,這四個基本階段。

2.1情報搜集階段

通常,不論是團隊還是個人,在滲透攻擊前都要做大量的準備工作,即情報搜集。在這個階段,滲透測試者可以利用各種信息來源與搜集技術方法,盡可能獲取更多關于目標系統的網絡拓撲、系統配置與安全防御措施等信息,一般可以使用的情報搜集方法包括公開來源信息查詢、GoogleHacking、社會工程學、網絡踩點、掃描探測、被動監聽、服務查點等。

2.2模擬攻擊階段

這個階段,滲透測試團隊就需要對搜集到的情報信息進行威脅建模,有側重點的分析可能面臨的威脅及其風險大小,確定出最可行的攻擊通道和實施滲透攻擊的攻擊點,然后搭建現實目標網絡環境進行模擬攻擊實驗,以確定可以利用的目標系統的安全漏洞。通過模擬攻擊,滲透測試者可以提出風險規避策略以避免或降低滲透測試對系統產生的影響。

2.3滲透攻擊階段

在此階段中,滲透測試者需要利用上述階段中找出的目標系統安全漏洞,來真正入侵系統,獲取目標系統的訪問控制權,進一步搜集目標信息系統的信息。如果是大型滲透測試活動,滲透測試者還需要考慮對目標系統檢測機制的逃逸,清理痕跡,從而避免造成目標系統安全響應團隊的警覺和發現。

2.4報告階段

報告中要對整個測試的情況和細節描述清楚,其主要包括所有階段之中獲取的關鍵情報信息、探測和發掘出的系統安全漏洞、成功滲透攻擊的過程,以及造成業務影響后果的攻擊途徑,最終目的就是,幫助客戶分析安全防御體系中存在的問題,以及修補與升級技術方案。

3安全漏洞掃描技術

安全漏洞掃描技術是為使系統管理員能及時發現系統中存在的安全漏洞,并采取相應防范措施,從而降低系統的安全風險的一種安全技術。安全漏洞掃描技術可以分為黑盒掃描和白盒掃描兩種。

3.1黑盒掃描技術

一種基于網絡的掃描技術,采用主動式策略通過網絡對目標系統進行遠程掃描,以發現目標系統中存在的安全漏洞。因而,它是一種通過采取主動的、非破壞性的方式來發現系統安全漏洞的常用方法。通常,黑盒掃描分為三個階段：a、探尋目標主機或網絡;b、搜尋目標主機或網絡的相關信息,如端口配置、開放的服務、網絡拓撲結構等信息;c、根據搜集到的信息來評估系統中的安全漏洞。

3.2白盒掃描技術

此技術基于主機,采用被動式策略在具有主機操作權限后在其系統內部進行漏洞掃描。通常,這類技術會事先在目標系統上安裝一個或者是服務,方便滲透者在測試時能夠訪問所有的文件與進程,探測并判斷系統內部權限的設置如注冊表、系統日志、數據庫、系統配置等方面是否存在缺陷。

4結語

通過對滲透測試技術的實施過程的研究,依據安全業界權威標準方法論——滲透測試執行標準(PTES),本文提出了一種由四個階段組成的滲透測試最基本模型。此基本模型不論是對實驗個人還是專業滲透測試團體都可適用,使流程簡單化,實用化。其中,安全漏洞掃描技術不僅能檢測出系統存在的安全漏洞,而且通過測試會使系統使用方采取防范措施從而降低系統的安全風險。

參考文獻

篇6

雖然網絡安全課程實訓具有很強的實踐性，但是網絡安全實訓環境構建困難。由于現實網絡環境具有規模大、復雜性強等特點，導致無法在實訓室里完全構建出和真實網絡相同的環境。另外，教學設計中存在的網絡安全漏洞會產生非常大的風險，可能對校園網造成難以估計的后果。因此，網絡安全的實踐教學很難在真實的環境中完成。云計算的產生為網絡安全實踐教學提供了新的思路，即利用虛擬仿真技術開展網絡安全課程的實踐教學。本文在江西信息應用職業技術學院現有的軟硬件條件下，研究基于云計算的網絡安全虛擬實訓教學平臺實現技術。

2研究意義

隨著互聯網的發展，網絡安全問題層出不窮，網絡安全技術研究成為了當前熱點，網絡安全人才短缺問題也亟待解決。高職院校是應用型高技能人才培養基地，實踐教學尤為重要。但是，高職院校網絡安全類課程的實踐教學往往帶有一定的破壞性，甚至威脅了校園網安全，因此網絡安全課程實訓一般都是在真實的物理PC機中安裝虛擬機，如Virtualbox、VMware等軟件。如今云計算技術日益成熟，應用越來越廣泛，如果把云計算提供的各種軟硬件資源虛擬化、網絡存儲、負載均衡等技術，運用到網絡安全實踐教學中，就可以改進網絡安全課程實踐教學方式，節約部署網絡安全實訓環境的時間，有效提高課程教學效果，降低軟硬件投入成本。例如，將網絡安全實踐教學所需要的網絡工具軟件、各種不同的系統鏡像、模擬攻擊環境放到一個云平臺中?；谠朴嬎愕木W絡安全虛擬實訓教學平臺建設的研究意義重大，不僅可以提高網絡安全課程教學質量和教學水平，而且有利于增加課程任課教師與學生之間的互動，從而切實、有效提高學生分析問題和解決問題的能力。

3基于云計算的網絡安全虛擬實訓教學平臺的實現技術

本系統應用OpenStack云平臺設計、搭建網絡安全虛擬實訓教學平臺。OpenStack是開放源代碼的云計算管理平臺，由美國國家航空航天局（NASA）和RackSpace合作研發，由Nova和Swift兩個主要模塊構成，覆蓋了虛擬化、服務器、操作系統和網絡等各個方面。網絡安全虛擬實訓教學平臺以開源云計算項目OpenStack平臺為基礎，應用了OpenStack模塊中多項服務。第一，OpenStacknetwork。網絡管理服務，提供網絡連接和管理服務。第二，OpenStacknova。計算管理服務，提供計算資源調派，實例化虛擬機。第三，OpenStackswift。對象存儲服務，為Glance提供鏡像服務，包括靶機鏡像庫和攻擊機鏡像庫。第四，OpenStackHorizon?？刂婆_服務，以Web的形式提供對所有節點的服務管理。本例中將其改進為網絡安全虛擬實訓教學平臺的一個功能模塊，用于Web界面部分操作。本系統主要在控制服務器和服務器節點安裝Linux操作系統，服務器節點安裝OpenStacknova組件和OpenStackswift組件，靶機鏡像庫和攻擊主機鏡像庫安裝與之相關的OpenStackGlance組件。平臺利用Openstack控制服務器管理相關的服務器節點，根據鏡像服務器中的鏡像建立虛擬靶機和虛擬攻擊機。平臺首先根據OpenStacknetwork提供的虛擬網絡、端口等虛擬網絡服務，創建和配置相應的虛擬網絡，實現系統的控制服務器、節點服務器、鏡像服務器之間的通信。其次，根據實訓教學需求配置和管理虛擬節點，并完成網絡安全虛擬實訓教學體系的搭建。

4基于云計算的網絡安全虛擬實訓教學平臺中靶機和攻擊主機的配置

篇7

1.社會工程學

1.1社會工程學概念

社會工程學《Social Engineering》是黑客凱文.米特尼克在《The Art of Deception》中提出的，其初始目的是讓全球的網民能夠懂得網絡安全，提高警惕，防止沒必要的個人損失。廣義的社會工程學是指通過自然的、社會的和制度上的途徑，并特別強調根據現實的雙向計劃和設計經驗來逐步地解決各種社會問題。在信息安全中，社會工程學就是入侵者利用人性的弱點及相關領域規則的漏洞，獲得被攻擊者的信任，從而達到攻擊目的。

1.2社會工程學原理及特點

1.2.1社會工程學原理

社會工程學攻擊是一種利用人的心理弱點進行欺騙，從而獲得保密信息和訪問權限的攻擊行為。社會工程學攻擊區別于傳統攻擊的手段，其攻擊行為無法通過技術措施進行防范。

攻擊者充分利用人性的弱點，借助各種物理環境和軟硬件條件，通過收集資料、目標信息研究、關聯性分析和一致性引導，利用社會工程學的方法對目標進行攻擊，攻擊體系結構如圖1所示。

1.2.2社會工程學的特點

社會工程學的攻擊手段很多，包括郵件欺騙、消息欺騙、軟件欺騙及假冒網站等。

以郵件欺騙為例，攻擊者想要入侵某個網站，通過網絡技術沒有找到該網站的漏洞；隨后，攻擊者便偽造一個帶有木馬附件的電子郵件，發送給網站的管理員（被攻擊者），并告知其網站遭到入侵，入侵后的證據在附件內；此時，若管理員相信了此郵件的內容打開附件，攻擊者就很容易達到入侵該網站的目的。

社會攻擊學攻擊的過程大致分為幾個步驟：（1）收集攻擊對象的相關信息，通過分析找到其弱點；（2）利用相關信息設置陷阱；（3）對落入陷阱的對象實施攻擊。

1.2.3社會工程學的發展

隨著網絡安全設備和安全策略的不斷完善，網絡攻擊者想要通過技術層面實施攻擊更加困難。人的某些習慣、疏忽或者制度的不規范將成為黑客突破的目標。社會工程學將網絡安全問題從單純的技術問題發展成“人”的問題。因此，將傳統的攻擊技術與社會工程學結合成為當前網絡安全研究的新方向。

2.基于社會工程學的攻擊模型

2.1傳統入侵滲透模型

傳統入侵滲透通過技術手段對特定目標的實施滲透攻擊。通常，攻擊者對攻擊目標的信息是一無所知的，過程如下：（1）確定攻擊目標。根據不同的目標，使用不同的攻擊方法和工具。因此，在滲透攻擊開始前要明確攻擊的目標是某個系統、網站或服務器。（2）收集目標信息。攻擊者要對攻擊目標進行探查，了解其行為模式、運行原理，最后確定攻擊方案。攻擊者可以使用任何可能的方法收集攻擊目標的相關信息，包括網絡信息、系統信息、邊緣信息等。（3）漏洞分析。將收集的信息進行整理和分析，得知目標的操作系統類型、運行的程序及開放的端口等，從而找到目標系統可能存在的安全漏洞和缺陷。（4）滲透攻擊。根據制定的滲透攻擊方案實施攻擊。（5）清除痕跡。攻擊者實施完攻擊后，會清除或偽造自己使用的痕跡，以防被發現。

2.2卡式決策目標模型

卡式戰略目標管理是指在特定社會工程系統環境中，以目標為導向，自上而下實現目標的管理方式，分為3個層級：核心目的、里程碑、子目的。

卡式戰略目標模型如圖2所示，其主要意義是能快速得到一個戰略目標，并幫助攻擊者將總目標切分為多個中間目標。

確定中間目標后，通過戰略目標模型形成一系列中間任務，然后將這些任務交給決策目標模型。卡式模型中，把攻擊者可以操作的資源量化成物質、時間和質量3種變量，通過分析這3種變量確定最優攻擊方案。

2.3社會工程學模型

社會工程學基本內容及模型是《The Art of Deception》一書中提煉的社會工程學思維導圖，以及由此抽象的社會工程學攻擊構成的基本要素。社會工程學模型如圖3所示。

社會工程學攻擊的定義包括如下內容：社會工程的主要目的是通過管理漏洞獲取秘密信息。

（1）獲取信息的途徑可以是任何承載秘密信息的介質。（2）卡式目標管理模型的3個層級。（3）收集信息是社會工程攻擊的關鍵步驟，收集信息的質量是決定攻擊成敗的關鍵。（4）通過篩除冗余信息優化數據，分析信息間關系得出最優路徑。（5）通過欺騙手段偽造身份獲取信任，完成系統信息對接。（6）運用非結構性漏洞獲取攻擊目標信息，實施社會攻擊。

2.4基于社會工程學的滲透模型

將卡式模型與社會工程學模型結合得到新的社會工程學攻擊模型，該模型能夠幫助入侵分析者模擬和還原整個社會工程學攻擊（見圖4），從而評估受到攻擊的風險以及信息泄露的程度。

3.社會工程學的網絡攻擊案例分析

本文通過代入社會工程學攻擊模型分析入侵攻擊的過程。

3.1實驗環境

實驗的網絡拓撲圖如圖5所示，將內網和外網環境進行了簡化處理，涉及的設備相關信息如表1所示。

使用到的主要工具有：社會工程學攻擊包SET（SocialEngineer Toolkit）和嗅探工具Ettercap。攻擊主機A上安裝的Rali操作系統自帶有這2個工具。

3.2實驗過程

主機B訪問外網網站的基本流程為：（1）本機瀏覽器檢查其緩存中是否有要訪問的網站域名對應的IP地址，若有則解析過程結束；（2）本機操作系統會將此域名發給本地DNS服務器，若本地DNS服務器上也沒有，就請求上一級DNS服務器幫助解析，得到此域名對應的IP地址。（3）瀏覽器向此IP地址對應的服務器發送HTTP請求，請求的數據包均要經過網關路由器。WEB服務器收到請求后進行相關檢索，并回發所請求的文件或信息給主機B。

前期攻擊成功后，攻擊者可進入內網進行內網釣魚攻擊。內網釣魚的核心技術結合了技術型社會工程學，攻擊過程如下：

（1）在攻擊HA的主機上開啟Apache服務功能，并打開SET212具，選擇攻擊的類型，選擇社會工程學攻擊。隨后，進行站點克隆，制作釣魚網站如圖6所示。

（2）使用Ettereap軟件對目標主機B進行ARP攻擊。首先，向網關Routerl發送ARPn向應數據包，其中源MAC地址是主機A的MAC地址；同時，以網關Routerl的名義向B發送ARPn向應數據包，數據包的源MAC地址是主機A的MAC地址。如此，主機B訪問外網的數據包會先發送到主機A，主機A再將此數據包轉發給網關，而網關也會將本來要發給主機B的數據包先發給主機A，最后主機A再將收到的數據包發給主機Bo

（3）ARP欺騙成功后，利用Ettereap自帶的一個DNS欺騙攻擊的插件來完成DNS欺騙；攻擊者A開始監視B和網關Routerl之間的數據包，監測發出的DNS請求包，提取由主機B發送來的DNS查詢數據包中ID信息，通過分析數據包得到ID和端口號信息后，向目標發送之前構造好的DNS返回包，提前將自己的DNSn向應數據包發送給主機B。主機B收到DNS應答包后，比對ID和端口號均正確，隨即將返回數據包中的域名和IP地址存入DNS緩存表。這樣主機B會先收到來自主機A的DNS響應數據包，并訪問主機A自己定義的網站，雖然主機B也會收到來自DNS服務器的響應報文，但真的DNS應答包則會被丟棄。

（4）釣魚網站以網易郵箱為例，用戶在釣魚網站上輸入賬號和密碼等機密信息后，這些內容就會傳送給攻擊主機A如圖7所示。

3.3買驗分析

攻擊過程中，首先確定攻擊的目標和基本策略，了解網絡環境，確定攻擊的中間目標為網關路由器，進行身份偽裝，獲取目標主機B的信任，最終誘使其訪問釣魚網站。

步驟（3）中，ARP欺騙攻擊之后，在網關Routerl看來，主機B的MAC址就是主機A的MAC地址；而主機B也認為網關Routerl的MAC地址就是主機A的MAC地址。由于局域網中數據包的傳送均是基于MAC地址，所以網關Routerl和主機B之間傳送的數據必須先通過主機A。這樣A就能在主機B毫不知情的情況下獲取其上網數據。

攻擊過程中涉及到ARP欺騙、DNS欺騙等技術，同時進行了身份偽裝，實現網絡攻擊技術與社會工程學的結合。

4.社會工程學攻擊的防范

從案例中，可以總結出一些防范社會工程學攻擊的措施：

篇8

副組長：

成 員：

二、建立健全各項安全管理制度

我校根據《中華人民共和國計算機信息系統安全保護條例》、《教育網站和網校暫行管理辦法》等法律法規制定出了適合我校的《校園網絡安全管理辦法》，同時建立了《鹿馬中學校園網絡安全應急預案》，《鹿馬中學校園網日常管理制度》，《鹿馬中學網絡信息安全維護制度》等相關制度。除了建立這些規章制度外，我們還堅持了對我校的校園網絡隨時檢查監控的運行機制，有效地保證了校園網絡的安全。

三、嚴格執行備案制度

學校機房堅持了服務于教育教學的原則，嚴格管理，完全用于教師和學生學習計算機網絡技術和查閱與學習有關的資料，沒有出現出租轉讓等情況。

四、加強網絡安全技術防范措施，實行科學管理

我校的技術防范措施主要從以下幾個方面來做的：

1.安裝了防火墻，防止病毒、不良信息入侵校園網絡、Web服務器。

2.安裝殺毒軟件，實施監控網絡病毒，發現問題立即解決。

3.及時修補各種軟件的補丁。

4.對學校重要文件、信息資源、網站數據庫做到及時備份，創建系統恢復文件。

五、加強校園計算機網絡安全教育和網管人員隊伍建設

目前，我校每位領導和部分教師都能接入因特網，在查閱資料和進行教學和科研的過程中，我校學校領導重視網絡安全教育，使教師們充分認識到網絡信息安全對于保證國家和社會生活的重要意義，并要求信息技術教師在備課、上課的過程中，有義務向學生滲透計算機網絡安全方面的常識，并對全校學生進行計算機網絡安全方面的培訓，做到校園計算機網絡安全工作萬無一失。

六、我校定期進行網絡安全的全面檢查

篇9

1、網絡安全模型

一般的網絡安全模型是通信方通過Inlernet把信息傳送到另一方，通信雙方要共同完成消息交換。用以保證安全的方法有：一是對發送信息的相關安全變換；二是雙方共享某些秘密消息，并使這些消息不被攻擊者獲得，而且需要有可信的第三方。設計安全服務一般有以下內容：一是設計執行與安全相關、攻擊者不能攻破的傳輸算法；二是產生算法使用的秘密信息；三是設計分配與共享秘密信息的方法；四是指明通信雙方使用的協議，以運用安全算法和機密信息進行安全服務。

2、安全技術應用

2.1安全電子郵件

（1）PGP。PGP的實際操作由：鑒別、機密性、壓縮、電子郵件、兼容性和分段等服務構成。它運用：一次性會話的一般密鑰、公開密鑰、私有密鑰和口令短語的密鑰等類型。

（2）S/MIME。S/MIME是基于RSA數據安全技術的Inlemet 電子郵件格式標準的安全擴充。其功能屬加密數據、簽名的數據、透明簽名和簽名并加密的數據。Office2000中的Outlook Express在Internet上運用S/MIME安全收、發電子郵件的過程是：獲取數字證書；選擇數字證書；發送數字證書；檢索他人的數字證書；接收和發送安全電子郵件和備份數字證書。

2.2網絡層安全―IOSec

IP安全協議（IPsec）系在網絡層提供安全的協議。在IPsec協議中，有兩個重要的協議：即身份認證頭AH協議和封裝安全負載FSP協議。后者供了源身份認證和數據的完整性，但未提供秘密性。后者提供了數據完整性、身份認證及秘密性。

對于AH和ESP，兩個主機應進行握手并建立網絡層邏輯連接（SA）。SA定義為三元組，主要有安全協議標識符、單工連接的源IP 地址和32位連接標識符。

2.3web安全

它分為web服務器安全威脅、web瀏覽器安全威脅和瀏覽器與服務器間的網絡通信安全威脅。web流量安全性方法如下：一是網絡級：即使用IP安全性，使用IPsee對終端用戶和應用程序是透明的，即提供通用的解決方法，還有過濾功能；二是傳輸級：即在TCP上實施安全性。諸如，安全套接層（SSL）和運輸層安全TLS的InternetSSL標準。三是應用級：即與應用相關的安全服務被嵌入應用程序。應按給定應用程序的專門需要訂制服務。如：安全電子交易（SET）等。

3、入侵檢測技術

入侵者通常指黑客和解密高手，可分為假冒者、非法者和秘密用戶。審計記錄是入侵檢測的基礎工具。一般運用原有審計記錄和專門檢測的審計記錄等方法。

（1）統計異常檢測：閥值分析效率較低的檢測器，闊值和時間區間均需提前選定?；谳喞漠惓z測集中刻畫單獨用戶或相關用戶組過去的行為特征，再檢測出明顯差別?？捎糜诨谳喞娜肭謾z測的度量機制為計數器、標準值、間隔定時器、資源利用。運用以上的度量機制，可進行不同的測試，確定現在行為是否在能接受的限度內。一般的方法為平均和標準偏差、多個變量、馬爾科夫過程、時間序列和操作模型。

（2）規則的入侵檢測

規則的異常檢測是一種規則的方法，分析歷史的審計記錄來識別使用模式，并自動生成描述那些模式的規則。規則的滲透鑒別采用專家系統技術的方法。它的重要特征是使用規則鑒別已知的滲透或利用已知弱點的滲透。也能定義鑒別可疑行為的規則。

（3）分布式入侵檢測。入侵檢測系統通過網絡合作實現有效保護網內計算機。

4、防火墻

進出局域網的通信量要通過防火墻，通過物理上阻塞不經過防火墻的局域網訪問實現。只有被授權的通信量才能進出防火墻。防火墻對于滲透是免疫的。

4.1防火墻的特點

（1）防火墻控制訪問和執行站點安全策略的通用技術。服務控制：確定在“圍墻”內外能訪問的Internet服務類型；方向控制：啟動服務請求，允許其經過防火墻，其操作具有方向性；用戶控制：根據請求訪問的用戶確定是否提供這些服務；行為控制：怎樣使用某一特定服務進行控制。

（2）防火墻的功能。防火墻設置單個阻塞點，將無授權的用戶阻止在被保護的網絡以外，防范潛在的易受攻擊的服務進出網絡，對不同類型的IP欺騙和路由選擇攻擊實施保護，單個阻塞點的使用可簡化網絡安全管理，安全能力統一于單個系統或系統集合中。防火墻提供監視和安全相關的事件場所。在防火墻系統中要實施審計和警告。防火墻是與安全無關的Intemet功能的平臺。

4.2防火墻的分類

（1）包過濾路由器。數據包過濾技術是對數據包的選擇，通過檢查數據流中數據包的源地址、目的地址、端口號、協議狀態等因素，確定能否許可數據包通過。一般安裝在路由器上。具有可行，對用戶透明，處理速度迅速等優點。

篇10

一、計算機網絡安全隱患分析

（一）惡意攻擊

惡意攻擊分為主動攻擊和被動攻擊，它是一種人為的、蓄意的破壞行為，是計算機網絡所面臨的最大威脅之一。其中，主動攻擊是以破壞對方的網絡和信息為主要目的，通常采用修改、刪除、偽造、欺騙、病毒、邏輯炸彈等手段，一旦獲得成功可破壞對方網絡系統的正常運行，甚至導致整個系統的癱瘓。而被動攻擊以獲取對方信息為目標，通常在對方不知情的情況下竊取對方的機密信息，例如商貿秘密、工程計劃、投標標底、個人資料等，但是不破壞系統的正常運行。不論是主動攻擊，還是被動攻擊都可能對計算機網絡造成極大的危害，并導致一些機密數據的泄漏，從而造成不可彌補的損失。因此，必須采取一些必要的防范措施。

（二）軟件漏洞和后門

軟件漏洞分為兩種：一種是蓄意制造的漏洞，是系統設計者為日后控制系統或竊取信息而故意設計的漏洞；另一種是無意制造的漏洞，是系統設計者由于疏忽或其它技術原因而留下的漏洞。因為這些漏洞的存在從而給網路帶來了一定的安全隱患。例如：為了給系統開發人員提供的便捷的入口，從而不設置操作系統的入口密碼，給開發人員的通道也成了“黑客”們的通道；操作系統運行時，一些系統進程總在等待一些條件的出現，一旦有滿足要求的條件出現，程序便繼續運行下去，這都是“黑客”可以利用的。另外，程序員為了方便自己而設置的一些軟件后門，雖然一般不為外人所知，但一旦泄漏出去或被他人發現，極有可能帶來危害更是極大和損失。

（三）計算機病毒

目前數據安全的頭號大敵是計算機病毒，它是一種特殊編制的計算機程序，這種程序可以通過磁盤、光盤、計算機網絡等各種途徑進行復制傳播。從上世紀80年代計算機病毒的首次被發現，至今全世界已經發現的計算機病毒以達數萬種，并且還在高速的增加，其隱蔽性、傳染性、破壞性都在進一步的發展。隨著Internet的迅猛發展，計算機病毒擴散速度大大加快，而且破壞性也加大，受感染的范圍也越來越廣，對各個國家的信息系統造成嚴重危害。為世界帶來了一次又一次的災難。根據美國著名的MIS Manages和Data Quest市場公司的調查，在美國大約有63%的微機曾受病毒侵害，而其中9%的病毒案例造成了超過10萬美元的損失。

二、計算機網絡安全防范策略

（一）網絡防火墻技術

網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。防火墻系統是由兩個基本部件包過濾路由器(Packet Filtering Router)、應用層網關(Application Gateway)構成的，防火墻處于5層網絡安全體系中的最底層，作為內部網絡與外部公共網絡之間的第一道屏障，防火墻是最先受到人們重視的網絡安全產品之一。雖然防火墻處于網絡安全的最底層，負責網絡間的安全認證與傳輸，但隨著網絡安全技術的整體發展和網絡應用的不斷變化，現代防火墻技術已經逐步走向網絡層之外的其他安全層次，不僅要完成傳統防火墻的過濾任務，同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。

（二）數據加密技術

數據加密技術是最基本的網絡安全技術，被譽為信息安全的核心，最初主要用于保證數據在存儲和傳輸過程中的保密性。它通過變換和置換等各種方法將被保護信息置換成密文，然后再進行信息的存儲或傳輸，即使加密信息在存儲或者傳輸過程為非授權人員所獲得，也可以保證這些信息不為其認知，從而達到保護信息的目的。根據密鑰類型不同可以將現代密碼技術分為兩類：對稱加密算法(私鑰密碼體系)和非對稱加密算法(公鑰密碼體系)。

（三）網絡安全管理措施

網絡安全管理策略包括：確定安全管理等級和安全管理范圍；指定有關網絡操作使用規程和人員出入機房管理制度；制定網絡系統的維護制度和應急措施等。

（四）提高網絡工作人員的素質，強化網絡安全責任

提高網絡工作人員的管理素質也是一項重要的任務。對工作人員要結合硬件、軟件、數據等網絡系統各方面進行安全教育，提高工作人員的責任心，并加強業務技術培訓，提高操作技能，重視網絡系統的安全管理，防止人為事故的發生。在我國，網絡研究起步較晚，網絡安全技術還有待提高和發展。另外，為了確保網絡的安全運行，我們還要建立嚴密的管理制度，制定完善的管理措施，提高人們對網絡安全的認識，完善法律、法規，對計算機犯罪進行法律制裁。

（五）訪問與控制

授權控制不同用戶對信息資源的訪問權限，即哪些用戶可訪問哪些資源以及可訪問的用戶各自具有的權限。對網絡的訪問與控制進行技術處理是維護系統運行安全、保護系統資源的一項重要技術，也是對付黑客的關鍵手段。

參考文獻：

篇11

APT攻擊；網絡安全防御；沖擊；應對

前言

在科學技術迅猛發展的帶動下，網絡信息技術在人們的日常生活中得到了越發廣泛的應用，如網絡銀行、網上購物等，在潛移默化中改變著人們的生活方式。但是，網絡本身的開放性為一些不法分子提供的便利，一些比較敏感的數據信息可能會被其竊取和利用，給人們帶來損失。在這種情況下，網絡安全問題受到了人們的廣泛關注。

1APT攻擊的概念和特點

APT，全稱AdvancedPersistentThreat，高級持續性威脅，這是信息網絡背景下的一種新的攻擊方式，屬于特定類型攻擊，具有組織性、針對性、長期性的特性，其攻擊持續的時間甚至可以長達數年。之所以會持續如此之久，主要是由于其前兩個特性決定的，攻擊者有組織的對某個特定目標進行攻擊，不斷嘗試各種攻擊手段，在滲透到目標內部網絡后，會長期蟄伏，進行信息的收集。APT攻擊與常規的攻擊方式相比，在原理上更加高級，技術水平更高，在發動攻擊前，會針對被攻擊對象的目標系統和業務流程進行收集，對其信息系統和應用程序中存在的漏洞進行主動挖掘，然后利用漏洞組件攻擊網絡，開展攻擊行為[1]。APT攻擊具有幾個非常顯著的特點，一是潛伏性，在攻破網絡安全防御后，可能會在用戶環境中潛伏較長的時間，對信息進行持續收集，直到找出重要的數據?；旧螦PT攻擊的目標并非短期內獲利，而是希望將被控主機作為跳板，進行持續搜索，其實際應該算是一種“惡意商業間諜威脅”；二是持續性，APT攻擊的潛伏時間可以長達數年之久，在攻擊爆發前，管理人員很難察覺；三是指向性，即對于特定攻擊目標的鎖定，開展有計劃、組織的情報竊取行為。

2APT攻擊對于網絡安全防御的沖擊

相比較其他攻擊方式，APT攻擊對于網絡安全防御系統的沖擊是非常巨大的，一般的攻擊都可以被安全防御系統攔截，但是就目前統計分析結果，在許多單位，即使已經部署了完善的縱深安全防御體系，設置了針對單個安全威脅的安全設備，并且通過管理平臺，實現了對于各種安全設備的整合，安全防御體系覆蓋了事前、事中和事后的各個階段，想要完全抵御APT攻擊卻仍然是力有不逮。由此可見，APT攻擊對于網絡安全防御的影響和威脅不容忽視[2]。就APT攻擊的特點和原理進行分析，其攻擊方式一般包括幾種：一是社交欺騙，通過收集目標成員的興趣愛好、社會關系等，設下圈套，發送幾可亂真的社交信函等，誘騙目標人員訪問惡意網站或者下載病毒文件，實現攻擊代碼的有效滲透；二是漏洞供給，在各類軟禁系統和信息系統中，都必然會存在漏洞，APT攻擊為了能夠實現在目標網絡中的潛伏和隱蔽傳播，通常都是借助漏洞，提升供給代碼的權限，比較常見的包括火焰病毒、震網病毒、ZeroAccess等；三是情報分析，為了能夠更加準確的獲取目標對象的信息，保證攻擊效果，APT攻擊人員往往會利用社交網站、論壇、聊天室等，對目標對象的相關信息進行收集，設置針對性的攻擊計劃。APT攻擊對于信息安全的威脅是顯而易見的，需要相關部門高度重視，做出積極應對，強化APT攻擊防范，保護重要數據的安全。

3APT攻擊的有效應對

3.1強化安全意識

在防范APT攻擊的過程中，人員是核心也是關鍵，因此，在構建網絡安全防護體系的過程中，應該考慮人員因素，強化人員的安全防范意識。從APT攻擊的具體方式可知，在很多時候都是利用人的心理弱點，通過欺騙的方式進行攻擊滲透。對此，應該針對人員本身的缺陷進行彌補，通過相應的安全培訓，提升其安全保密意識和警惕性，確保人員能夠針對APT攻擊進行準確鑒別，加強對于自身的安全防護。對于信息系統運維管理人員而言，還應該強化對于安全保密制度及規范的執行力，杜絕違規行為。另外，應該提升安全管理工作的效率，盡可能減低安全管理給正常業務帶來的負面影響，引入先進的信息化技術，對管理模式進行改進和創新，提升安全管理工作的針對性和有效性。

3.2填補系統漏洞

在軟件系統的設計中，缺陷的存在難以避免，而不同的系統在實現互連互操作時，由于管理策略、配置等的不一致，同樣會產生關聯漏洞，影響系統的安全性。因此，從防范APT攻擊的角度分析，應該盡量對系統中存在的漏洞進行填補。一是應該強化對于項目的測試以及源代碼的分析，構建完善的源代碼測試分析機制，開發出相應的漏洞測試工具；二是應該盡量選擇具備自主知識產權的設備和系統，盡量避免漏洞和預置后門；三是對于一些通用的商業軟件，必須強化對惡意代碼和漏洞的動態監測，確保基礎設施以及關鍵性的應用服務系統自主開發[3]。

3.3落實身份認證

在網絡環境下，用戶之間的信息交互一般都需要進行身份認證，這個工作通常由本地計算環境中的相關程序完成，換言之，用戶身份的認證實際上是程序之間的相互認證，如果程序本身的真實性和完整性沒有得到驗證，則無法對作為程序運行載體的硬件設備進行驗證，從而導致漏洞的存在，攻擊者可能冒充用戶身份進行攻擊。針對這個問題，應該對現有的身份認證體系進行完善，構建以硬件可信根為基礎的軟硬件系統認證體系，保證用戶的真實可信，然后才能進行用戶之間的身份認證。

3.4構建防御機制

應該針對APT攻擊的特點，構建預應力安全防御機制，以安全策略為核心，結合可信計算技術以及高可信軟硬件技術，提升網絡系統對于攻擊的抵御能力，然后通過風險評估，分析系統中存在的不足，采取針對性的應對措施，提升安全風險管理能力。具體來講，一是應該將數據安全分析、漏洞分析、惡意代碼分析等進行整合，統一管理；二是應該構建生態環境庫，對各種信息進行記錄，為安全分析提供數據支撐；三是應該完善取證系統，為違規事件的分析和追查奠定良好的基礎[4]。

4結束語

總而言之，作為一種新的攻擊方式，APT攻擊對于網絡安全的威脅巨大，而且其本身的特性使得管理人員難以及時發現，一旦爆發，可能給被攻擊目標造成難以估量的損失。因此，應該加強對于APT攻擊的分析，采取切實有效的措施進行應對，盡可能保障網絡系統運行的穩定性和安全性。

作者：李杰 單位：九江職業大學

參考文獻

[1]陳偉，趙韶華.APT攻擊威脅網絡安全的全面解析與防御探討[J].信息化建設，2015（11）：101.

篇12

近年來，隨著互聯網技術以及計算機技術的不斷發展，計算機網絡安全問題也越來越突出，正因如此，人們逐漸認識到了計算機網絡安全管理的重要性并采取了相關的措施來強化計算機網絡安全。然而，由于計算機網絡安全存在著的較多的問題，計算機網絡安全還是無法得到有效保障。因此，筆者分析了計算機網絡安全存在的問題并提出了強化計算機網絡安全的對策，旨在更好地維護計算機網絡安全。

1 計算機網絡安全概述

計算機網絡安全是指利用網絡技術和網絡管理控制措施，保證在一個網絡環境下的計算機數據的保密性、可使用性和完整性。計算機網絡安全包括邏輯安全與物理安全，邏輯安全是指數據的保密性、可使用性和完整性。物理安全是指相關通訊設備和計算機系統設備的保護。

計算機網絡安全會受很多因素的影響，主要是因為計算機網絡是在互聯網環境下運行的，而互聯網的范圍極為廣泛，通過互聯網就可以實現信息資源的共享，為信息的傳輸和獲取提供了很大的方便。因此，互聯網具有自身的特點，其特點主要包括以下幾個：（1）國際性，這就說明計算機網絡的攻擊具有不確定性，極易引發國際化的網絡安全問題。（2）共享性，互聯網可以實現信息資源的共享，方便人們傳輸和獲取信息，這也對計算機網絡安全產生了一定的影響。（3）開放性，互聯網不受時空的限制且對全球計算機開放，任何人都可以使用和學習。從上述分析可知，互聯網的特點嚴重地威脅著計算機網絡的安全。

2 計算機網絡安全存在的問題

2.1 操作系統問題

操作系統在計算機中扮演著重要的角色，它可以對計算機中絕大多數的程序集合進行管理。同時，只有在操作系統運行正常的情況下，計算機系統才能正常運行。它是系統軟件的集合，可以將友好的操作界面提供給計算機使用者，也可以監控程序運行和管理系統相關資源[1]。因此，要維護計算機網絡安全就必須保證操作系統的安全性，操作系統軟件自身的缺陷和隱患以及系統設計的不足會為計算機網絡埋下安全隱患。計算機操作系統的一個細小問題都會對計算機網絡安全產生重大的影響，更有甚者，導致計算機網絡癱瘓。

2.2 數據存儲問題

計算機中的數據庫是極為龐大的，可以存儲大量的信息，涵蓋我們上網瀏覽到的全部信息，目前的主流數據庫有著重要的作用，它主要負責管理信息，保證信息的準確、真實性，同時，它也為信息的存儲提供了很大的方便，但是，它在信息網絡安全方面卻沒有起到很大的作用。一旦有用戶進行非法操作，借助非法手段避過安全內核，盜取計算機數據庫中的信息，尤其是部分重要信息，就會造成計算機網絡安全問題。

2.3 網絡環境問題

計算機是在互聯網環境下運行的，這也就是說計算機的網絡環境較為復雜。在這種網絡環境下，信息資源的共享程度就會不斷加深，信息的傳輸和獲取也會變得更加便捷，人們可以通過上網的信息獲取大量的信息。對此，計算機網絡安全就受到了嚴重威脅，歸根結底還是由于其網絡環境不穩定。因此，互聯網環境下的計算機網絡安全是很難得到保障的，它會受到互聯網特點的影響，其特點包括以下幾個：（1）國際性，這就說明計算機網絡的攻擊具有不確定性，極易引發國際化的網絡安全問題。（2）共享性，互聯網可以實現信息資源的共享，方便人們傳輸和獲取信息，這也對計算機網絡安全產生了一定的影響。（3）開放性，互聯網不受時空的限制且對全球計算機開放，任何人都可以使用和學習。

3 強化計算機網絡安全

3.1 加強網絡安全技術

為了強化計算機網絡安全，就需要加強網絡安全技術，主要包括以下幾點：（1）應用密碼技術。先進的密碼技術可以更好地解決計算機網絡安全問題[2]。數字簽名具有自身的優勢，可以確保其文件信息不丟失且便于驗證，這樣就可以使信息的傳輸更為準確、及時，交易順利進行。（2）進行入侵檢測。在計算機網絡中，我們經常可以看到一些入侵行為，這些入侵行為是需要進行檢測的，這種檢測就成為入侵檢測。它可以對計算機系統中的重要信息、相關網絡行為進行分析和檢測，在此基礎上，對計算機系統或網絡操作行為進行監控。入侵檢測可以有效維護計算機網絡安全，與防火墻相比，具有一定的優勢，它可以協助計算系統解決一些網絡安全問題，從而維護計算機系統安全。（3）提高網絡反病毒技術能力。計算機病毒嚴重地威脅著計算機網絡安全，這就要求不斷提高計算機網絡應對病毒的能力。因此，要不斷地監控和掃描服務器上的文件和數據，及時進行木馬、病毒查殺，靈活應對相關惡意程序的入侵。（4）研發并完善數據庫系統和操作系統。計算機病毒容易在操作系統中滋生，為了更好地防范病毒攻擊，就要對操作系統進行進一步的研發，提高其安全性。同時，計算機數據庫也要得到不斷的完善，這樣才能從根本上保證數據信息的安全。

3.2 加強網絡安全管理

計算機網絡的安全管理，不但要采取有效的管理措施和改進相關技術，還要完善相關的法律法規并加大其宣傳力度。只有“雙管齊下”，才能更好地保障計算機網絡安全。

首先，人們要樹立計算機網絡安全意識，認識到法制教育的重要性，嚴格按照相關的法律法規進行合法地操作，從自我做起，杜絕一些非法操作現象，保護計算機網絡安全。其次，系統管理人員的管理也要得到加強，使其職業素養和專業水平得到提高，同時，為了計算機網絡安全能得到最為有效的保障，還要建立嚴格的工作制度。

3.3 構建良好的網絡環境

要使計算機網絡安全得到有效的保障，就要構建良好的網絡環境，這就要保證網絡計算機的機房環境的安全性。計算機要放置在穩定的環境中，使其不受外界因素的干擾和影響。同時，計算機網絡安裝的環境要合適，避免其受到噪聲源和振動源的影響。此外，機房要制定相關的管理措施，限制機房人員的出入和機器的使用，在沒有得到允許的情況下不可隨便進入機房重地。當然，為了保障重要網絡計算機的安全，還要采取相關的安全保護措施和安裝必要的防盜系統，以免網絡計算機網絡安全受到各種威脅。

4 結束語

綜上所述，計算機網絡安全會受到很多因素的影響，導致計算機網絡安全存在著較多的問題，這些問題都顯得極為迫切，應引起人們的高度重視。這其中包括操作系統問題、數據存儲問題和網絡環境問題等。隨著互聯網技術和計算機技術的不斷發展，計算機網絡已滲透到人們生活中的每個角落，極大地改變了人們的生活、生產方式。與此同時，計算機網絡安全問題也越來越嚴重，這就要求我們制定有效的對策，如加強網絡安全技術，加強網絡安全管理以及構建良好的網絡環境等，如此才能強化計算機網絡安全。

參考文獻：

[1]黃寅.淺談計算機網絡安全問題及其對策[J].網絡通訊及安全，2012（18）：155-156.

篇13

一、高職信息安全專業課程現狀

傳統的高職信息安全與管理專業中，雖然其人才培養方案和課程體系的建設也是由專業帶頭人及骨干教師經過調研企業崗位之后得出的，但是由于是學院教師單方面來構建的課程體系。因此，在傳統的高職信息安全專業課程體系中會出現以下問題：（一）學科體系氛圍較濃。由于傳統的高職信息安全專業課程體系是由專業教師單方面完成的，在課程體系中難免會出現學科體系的影子。隨著專業的持續開辦，雖然專業帶頭人對人才培養方案進行了多輪修改，但是其中學科體系的氛圍還是會比較濃。例如，在傳統的專業課程體系中，會體現C語言、計算機組成原理等課程。這些課程很明顯帶有傳統學科體系下注重抽象理論知識學習的身影，因此還是不太適合于高職學生的學習。（二）課程體系不能完全體現出崗位需求。隨著時代的不斷發展與進步，許多新興的事物出現在人們面前，在專業課程體系中也會出現許多新知識、新技能。例如，在課程體系中增加了云計算方面的課程，并且加強了計算機網絡設備調試等方面的課程。雖然，這是為了讓學生能夠拓展自身的視野，提升了學生的專業技術技能，在今后的就業競爭中處于優勢地位。但是，這樣的安排不但沒有突出網絡安全服務于網絡安全運維等信息安全領域的崗位群技能需求，而且還占用了大量的課程時間，影響了網絡安全專業課程的課時安排。因此，這樣的課程體系不能完全體現出專業特色與崗位需求，不能完全達到企業對口崗位的技術技能需求。

二、現代學徒制信息安全與管理專業課程體系建設

為了能夠更好地滿足信息安全領域的企業相關崗位的技術技能需求，讓專業課程體系能夠更加突出專業崗位技能培養，這就需要校企雙方共同制定專業課程體系。建立現代學徒制試點專業的專業課程體系，需要校企雙方從分析崗位技能需求入手，共同開發專業教學標準，形成專業課程標準。（一）信息安全與管理專業典型工作任務職業能力分析。通過對企業的調研與交流，明確了信息安全與管理專業的培養目標為：培養與我國社會主義現代化建設要求相適應，德、智、體、美全面發展，面向網絡與信息安全企業，在網絡與信息安全領域的技術服務和技術管理崗位，能夠從事滲透測試、網絡安全風險評估、網絡安全工程集成等職業崗位群工作，具備網絡安全相關法律法規及專業標準、滲透測試技術、網絡安全應急響應與取證技術、網絡安全工程規劃設計與實施等專業知識和技能，具備良好的職業素養和解決實際問題的能力，具備較強的溝通、團隊協作和組織協調能力的高素質技術技能人才。因此，該專業學生畢業后主要在網絡與信息安全企業從事網絡安全滲透測試、網絡安全服務、網絡安全工程的設計與實施以及信息安全產品的銷售等工作。在崗位的確定上，我們首先將企業的崗位群劃分為：初始崗位群和發展崗位群。在初始崗位群中包含：專業技術崗位和銷售管理崗位。具體的崗位劃分如圖1所示。確定了該專業的崗位群后，校企雙方要針對崗位群確定典型崗位工作任務，從八個崗位中，我們確定了30個典型工作任務，再分別對每個典型工作任務進行深入分析，確定出相應的110條職業能力，如表1所示。（二）信息安全與管理專業課程體系的建立。根據對信息安全與管理專業典型工作任務和職業能力分析的結果，我們對職業能力進行歸納，從而設計出該專業的課程體系結構。該專業的課程體系結構突出了校企合作辦學的特色，凸顯現代學徒制人才培養模式的特點。課程體系結構共分為五大部分，包括：公共基礎課程、職業技術課程、學徒崗位課程、技能訓練課程以及職業拓展過程，如圖2。在課程體系結構中，公共基礎課程由學院負責課程標準的制定及課程授課；職業技術課程涉及該專業的職業能力中的核心部分，因此由校企雙方共同制定課程標準，授課地點為校內，教學方式為教學做一體，由校企雙導師團隊共同承擔課程教學；技術技能訓練課程為職業技術課程的延伸，對職業技術課程中涉及的職業能力進行強化訓練，因此該課程授課地點為校內，教學方式為實踐教學，由校企雙導師團隊共同承擔課程教學；學徒崗位課程是整個課程體系中的關鍵部分，授課地點為企業，教學方式為企業崗位實踐，由校企雙導師團隊共同承擔課程教學；職業拓展課程是學徒崗位課程的延伸，課程以各企業的實際發展方向和工作崗位特點來選擇，教學方式為企業崗位實踐，由校企雙導師團隊承擔課程教學。（三）信息安全與管理專業課程標準的制定。確定好專業的課程體系結構之后，校企雙方要共同制定每一門課程的課程標準。課程標準中包含課程的基本信息、課程定位、課程設計思路、課程目標、課程內容和要求、實施要求及建議等六個部分。在基本信息中，要講課程的名稱、類型、學分等基本信息填寫齊全；在課程定位中，主要講課程與工作崗位典型工作任務相對應，并確定每門課程所包含的職業能力；在課程目標中，將課程的總體目標、具體目標描述清楚；在課程內容和要求中，將課程內容、學習目標、主要內容及參考學時標識清楚，為今后的教學工作打好基礎；在實施要求及建議中，對師資、考核、教材等方面做了詳細的要求，對具體教學過程也做了相關的建議。