网络安全攻防技术教程篇1

[论文摘要]教学管理网络是当今全国各大高校实现现代化教学管理手段的重要支撑，随着时代的进步，信息技术的飞速发展，教学管理网络的安全保障遇到了极大的挑战。本文结合当今实际，分析了影响教学管理网络安全的原因，并提出了相应对策。

随着我国高等教育的快速发展，高等教育的教学研究及管理改革工作的逐步深化，高校对教学管理工作也提出了进一步的要求。因此，很多基于计算机网络技术的教学管理信息系统应运而生。这些信息系统的应用，进一步加强了教学管理工作的规范化、信息化和制度化，大大提高了教学管理工作效率。然而，随着整个高校信息化建设进程的推进，教学管理信息系统所拥有的资源日益增多，广大师生对教学管理网络的依赖性不断增强，使得系统变得越来越庞大和复杂，由此增加了教学管理系统及其支持网络受到攻击的可能性，教学管理网络的安全保障遇到了极大的挑战。

一、教学管理网络所面临的主要安全问题

教学网络的信息开放性和资源共享性使其自身的安全存在一定的漏洞。此外，因特网的关键技术部分也存在一定的安全隐患，所以，运行在网络上的教学管理信息系统普遍面临着以下几种主要威胁：

1.人为的恶意攻击

这些人为的恶意攻击包括黑客的攻击以及从教学管理网络外部试图进行非法访问内部的用户，通常这些行为会给教学管理系统构成一定的威胁。再者，由于互联网的广泛运用，许多特定的对象（网络黑客）和不特定的对象（某些学生）对教学管理网络的攻击很有兴趣，形成了一大批潜在的攻击者。

2.人为无意识的错误操作

防火墙的原理让我们知道，更重要的安全威胁来自网络内部。教学管理网络的使用者众多，由于错误的操作等一系列的因素使得广大师生员工对教学管理系统在某种程度上构成了一定的威胁，尤其是某些学生对进行网络攻击有着强烈的好奇心。

3.病毒等不良代码

近年来，随着互联网的普及，利用网络传播病毒的事情时有发生，它们不但破坏计算机程序和存储器上的数据，也会造成网络的堵塞甚至瘫痪。此外，随着程序设计方法的不断改变，某些病毒已经成为黑客进行攻击的有力工具，这无形中加大了病毒对网络安全的危害。目前，网络上流行的一些危害程度较高的病毒已将攻击的矛头指向了数据库。

4.用户安全意识不强

个别用户对整个教学管理网络的安全认识不够及对网络安全意义的理解不够深刻，造成了教学管理网络的安全隐患。

二、进行教学网络安全防护的必要性

1.教学管理信息系统的基本情况：(1)存放大量的关键性教学数据；(2)教学管理信息系统承载着全校的教学运行，学校——老师——学生之间的数据通讯非常频繁。

2.目前高校教学管理网络的安全形势：整个教学管理信息系统所处的网络环境复杂，黑客的攻击技术和手段都有很大的提高，传统的网络安全产品或者各种安全技术和产品的简单堆砌已经远不能满足当前网络安全的需要。

鉴于以上两点，为了给教学管理网络提供有效的安全保障，加强教学网络安全的各项措施是很有必要的。转贴于三、进行教学网络安全防护相应的对策

1.安全策略

所谓安全策略就是指在一定条件下的效率和成本的平衡，是保护网络不受内外各种危害而采取的防范措施的总和。具体来说：(1)物理安全策略—通过改善局域网和公网之间的通信链路性能，保证硬件实体链路通信的可靠性和可用性，确保教学管理信息系统有一个良好的电磁兼容工作环境；(2)网络安全控制策略—定位在数据审计与监控、安全漏洞检测、系统通信分析和操作系统的安全防护等方面，保证网络资源不被非法使用和非常访问；(3)“应用层”策略，包括认证授权、安全扫描与访问控制、数据安全和应用审计。

2.技术手段

网络安全技术是在安全策略指导下落实到管理层面上的所必备的支撑工具。常见的安全技术和工具主要包括：(1)防火墙技术—通过过滤不安全的服务而极大地提高一个内部网络的安全性；(2)进行访问控制—采用访问控制技术进行用户帐户控制、数据库注册控制、访问权限控制、资源限制控制以及基于存储过程、触发器和视图的安全性控制，不同用户或用户组拥有不同的访问权限和数据处理权限；(3)审计跟踪技术—利用已有的相关软件（数据库系统，操作系统等）和技术对整个教学管理网络系统进行实时监控、报警以及对相关数据进行事后分析、统计报告来保证系统的安全；(4)其他相关技术：数据加密技术、病毒防范技术、备份回复技术等。

3.安全管理

从网络安全的角度制定一系列安全管理制度，对教学管理网络信息、安全技术和安全设施进行管理。事实证明，仅有技术而没有与相应严格的管理体系配套，是难以保障整个教学管理网络的安全。

4.网络安全培训

教学管理网络的安全培训主要集中在教学管理信息系统的管理员和学院级用户层面上，这个培训环节是整个教学管理网络安全体系中不可或缺的关键环节，他们安全意识的强弱直接影响了整个网络安全性的高低。

在当今高等教育飞速发展的氛围中，教学管理网络已经成为整个教学管理工作的核心载体，只有认清网络的脆弱性和威胁网络安全的潜在因素，并采取相应的网络安全管理措施，才能提高网络安全防护能力，为整个教学管理工作的顺利进行保驾护航。

参考文献：

[1]陶祥亚.高校教学信息资源中心网络安全方案研究[J].现代教育技术，2008，18(1)：84-87.

[2]信息管理系列编委会.网络安全管理[M].中国人民大学出版社，2003.

[3]张红旗.信息网络安全[M].清华大学出版社，2002.

网络安全攻防技术教程篇2

【关键词】网络信息安全；防范策略

随着信息技术的飞速发展，信息网络已经成为社会发展和人们生活的重要基础保证，已经渗透到社会的方方面面。信息内容涉及到政府、军事、文教等诸多领域，其中有很多甚至是国家机密，所以难免吸引来各种人为攻击。计算机网络犯罪率迅速增加，使得计算机网络系统面临很大的威胁，并成为严重的社会问题。

一、网络信息安全的脆弱性

互联网已遍及世界绝大多个国家，为广大用户提供了多样化的信息服务。网络信息系统已经在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用。社会对网络信息系统的依赖也日益增强。各种各样完备的网络信息系统，使得秘密信息和财富信息高度集中于计算机网络系统中。这些信息都依靠计算机网络接收和处理，实现相互间的联系和对目标的管理、控制。以网络方式获得信息和交流信息已成为现代信息社会的一个重要特征。网络正在逐步改变人们的工作和生活方式，成为当今社会发展的一个主题。然而，伴随着信息产业发展而产生的网络信息的安全问题，也已成为有关部门、行业和企事业领导人关注的热点问题。网络本身也是非常脆弱的，原因主要是：

1.1网络是开放的，TCP/IP协议是通用的

各种硬件和软件平台的计算机系统可以通过各种媒体接入进来，如果不加限制，世界各地均可以访问。于是各种安全威胁可以不受地理限制、不受平台约束，迅速通过互联网影响到世界的每一个角落。

1.2互联网的自身的安全缺陷

互联网的脆弱性体现在设计、实现、维护的各个环节。设计阶段，由于最初的互联网只是用于少数可信的用户群体，因此设计时没有充分考虑安全威胁，互联网和所连接的计算机系统在实现阶段也留下了大量的不可避免的安全漏洞。一般认为，软件中的错误数量和软件的规模成正比，由于网络和相关软件越来越复杂，其中所包含的安全漏洞相应的也越来越多。互联网和软件系统维护阶段的安全漏洞也是安全攻击的重要目标。尽管系统提供了某些安全机制，但是由于管理员或者用户的技术水平限制、维护管理工作量大等因素，这些安全机制并没有发挥有效作用。比如，计算机系统的缺省安装和弱口令是大量攻击成功的原因之一。

1.3互联网威胁的普遍性

随着互联网的发展，网络攻击工具的功能越来越强，对攻击者的知识水平要求越来越低，网络攻击的手段也越来越简单、越来越普遍，因此攻击者也更为普遍。此外，网络业务发展快，人员流动频繁，技术更新快，管理方面的困难等，也是互联网安全问题的重要原因。

近年来，网络信息泄漏防范成为一个新兴的产业。据IDC的估计，全球信息泄漏防范市场（IDC称之为OCC，即OutboundContentCompliance）的总值在2006年将接近6亿美元，并以每年约50％的速度增长，到2009年将接近19亿美元。这正是因为网络信息安全的脆弱性所致。

二、常见的网络攻击

网络中的安全漏洞无处不在。即便旧的安全漏洞补上了，新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对计算机系统和网络资源进行攻击的。几种常见的网络攻击如下。

2.1口令入侵

所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。

2.2放置特洛伊木马程序

特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等，诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会保留在用户的电脑中，并在用户的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当用户连接到因特网上时，这个程序就会通知攻击者，报告用户的IP地址以及预先设定的端口。攻击者在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。

2.3WWW的欺骗技术

在网上用户可以利用浏览器进行各种各样的WEB站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已经被黑客篡改过，网页上的信息是虚假的！例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。

2.4电子邮件攻击

电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。相对于其它的攻击手段来说，这种攻击方法具有简单、见效快等优点。

2.5网络监听

网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时，用户输入的密码需要从用户端传送到服务器端，而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密，只要使用某些网络监听工具（如NetXRay、Sniffer、Solaries等）就可轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户帐号及口令。

2.6安全漏洞攻击

许多系统都有这样那样的安全漏洞（Bugs）。其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况，就任意接受任意长度的数据输入，把溢出的数据放在堆栈里，系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令，系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符，他甚至可以访问根目录，从而拥有对整个网络的绝对控制权。

三、网络攻击防范和安全应对策略

在对网络攻击进行上述分析与识别的基础上，我们应当认真制定有针对性的策略。明确安全对象，设置强有力的安全保障体系。有的放矢，在网络中层层设防，发挥网络的每层作用，使每一层都成为一道关卡，从而让攻击者无隙可钻、无计可使。还必须做到未雨绸缪，预防为主，将重要的数据备份并时刻注意系统运行状况。

3.1建立网络安全长效机制

强化信息网络安全保障体系建设，建立规范的网络秩序，需要不断完善法制，探索网络空间所体现的需求和原则，为规范网络空间秩序确定法律框架；建立规范的网络秩序，还要在道德和文化层面确定每个使用网络者的义务，每个人必须对其网络行为承担法律和道德责任是规范网络秩序的一个重要准则；建立规范的网络秩序，需要在法制基础上建立打击各类网络犯罪有效机制和手段。

3.2提高安全意识,使用数据加密技术

不要随意打开来历不明的电子邮件及文件，不要随便运行不太了解的人给你的程序；尽量避免从Internet下载不知名的软件、游戏程序；密码设置尽可能使用字母数字混排，单纯的英文或者数字很容易穷举；及时下载安装系统补丁程序；不随便运行黑客程序，不少这类程序运行时会发出你的个人信息。

所谓数据加密技术就是使用数字方法来重新组织数据，使得除了合法受者外，任何其他人想要恢复原先的"消息"是非常困难的。这种技术的目的是对传输中的数据流加密，常用的方式有线路加密和端对端加密两种。前者侧重在线路上而不考虑信源与信宿，是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端通过专用的加密软件，采用某种加密技术对所发送文件进行加密，把明文（也即原文）加密成密文（加密后的文件，这些文件内容是一些看不懂的代码），然后进入TCP/IP数据包封装穿过互联网，当这些信息一旦到达目的地，将由收件人运用相应的密钥进行解密，使密文恢复成为可读数据明文。

3.3使用防火墙技术，加强访问控制

"防火墙"是一种形象的说法，其实它是一种由计算机硬件和软件的组合，使互联网与内部网之间建立起一个安全网关（securitygateway），从而保护内部网免受非法用户的侵入，它其实就是一个把互联网与内部网（通常指局域网或城域网）隔开的屏障。由于黑客经常会针对特定的日期发动攻击，计算机用户在此期间应特别提高警戒。坚持使用防火墙，并定时更新防毒组件，将防毒软件保持在常驻状态，以彻底防毒。对于重要的个人资料做好严密的保护，并养成资料备份的习惯。并通过身份验证、存取控制等，来控制访问对象，以免遭受攻击。

3.4设置服务器，隐藏自己的IP地址

保护自己的IP地址是很重要的。事实上，即便你的机器上被安装了木马程序，若没有你的IP地址，攻击者也是没有办法的，而保护IP地址的最好方法就是设置服务器。服务器能起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数据转发器，它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时，服务器接受申请，然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务，如果接受，它就向内部网络转发这项请求。

上面，我们从网络信息安全的脆弱性、网络安全的主要技术、常见网络攻击方法及对策、网络安全建设等方面剖析了当前网络信息安全存在的主要问题，并对常见网络攻击从技术层面提出了解决方案，希望通过网络安全建设逐步消除网络信息安全的隐患。

【参考文献】

［1］杨海平：网络信息安全研究[J]，情报科学，2000(10)

［2］刘庆华：信息安全技术[M]，科学出版社，2005

［3］綦朝辉：Internet安全技术[M]，国防工业出版社，2005

［4］黎连业：计算机网络与工程实践教程[M]，科学出版社，2007

作者简介：汪顶武（1970--）男，本科，装备指挥技术学院信息管理中心工程师，研究方向：计算机网络管理与应用、教育技术应用与管理等领域

韩平（1973--）女，硕士，装备指挥技术学院信息管理中心高级工程师，研究方向：计算机网络管理与应用、教育技术应用与管理等领域

网络安全攻防技术教程篇3

1运行管理的安全原则1.1制定并不断完善公司专用的安全策略。为了保护网络安全，最重要的事情就是编写安全策略，描述要保护的对象，保护的理由，以及如何保护它们。安全策略的内容最好具有可读性，同时，注意哪些是保密的，哪些是可以公开的。此外，应严格执行。最后，必须随时保持更新。1.2安全防范应基于技术、动机和机会3个方面考虑，以减少攻击者的成功率。从技术上讲，系统应同时需要相当高的通用技术和专用技术，从而避免不同级别的人员滥用系统。攻击者的动机方面，应消除攻击者的满足程度，使其感到受挫。每次攻击失败时，安全系统让攻击者移动到网络系统的其它地方，使攻击者工作很辛苦。1.3应尽可能少地向攻击者提供可攻击的机会。首先关闭不用或不常用的服务，需要时再打开。第二，访问控制权限的管理应合理。第三，系统应能自我监视，掌握违反策略的活动。第四，一旦发现问题，如果有补救措施，应立刻采用。第五，如果被保护的服务器不提供某种服务，如FTP，那么，应封锁FTP请求。1.4安全只能通过自己进行严格的测试，才能达到较高的安全程度。因为每个人都可能犯错误，只有通过完善的安全测试，才能找到安全系统的不足。要做到主动防御和被动防御相结合，应能提前知道自己被攻击。如果知道自己被攻击，其实已经赢了一半。安全系统不但防御攻击者，同时防御他们的攻击。因为攻击者经常失败后就换个地方，再次实行新的攻击，因此，不但防御攻击的源地址，同时防御主机周围灵活选择的范围。1.5战时和训练相结合，也就是说，主动防御必须严格测试，并不断改进。同时，安全软件的选择应基于应用的重要性和产品的更新周期，保证安全系统应能跟上新技术的发展。应经常维护、定期测试和检查防御系统的每一个部件，避免安全系统的能力退化。1.6在企业内部，应让每一位员工都深刻理解安全是大家的事，不是口号，而是警告，安全和业务可能有冲突，最好能够得到领导和业务人员的理解和支持。安全管理过程中，对人员的信任应合理、明智，不能盲目信任。在企业的安全防御系统中，除了采用常规的防御方案，应尽可能采用一些适合行业特点的新方案，对攻击者而言，也就多了一层堡垒。要有运行规范，包括管理制度、审计评估、网络安全规划、工程管理、安全监督和灾难恢复。2运行管理的组织结构为实现整个梯级调度的网络安全，需要各种保证网络安全的手段。网络安全功能的实现，必须从安全管理功能和管理员的职责上结合。企业的调度中心的信息部门应成立安全系统运行小组管理整个安全系统的运行，负责完成全企业的安全系统总体运行方案的编制，负责安全管理中心的建设，制订全企业范围的安全管理规范，对相关人员进行基本培训，指导各电站(厂)完成其安全系统的运行。应有专人负责网络安全，成立网络安全管理组，其成员包括领导、系统管理员、网络工程师以及网络安全专家等组成。3运行管理的培训支持3.1建立安全教育培训体系为企业建立信息安全教育培训的制度，包括安全教育政策制订、安全教育计划制订和安全教育实施支持方案。此外，文档包括《企业信息安全组织管理》、《企业信息安全人员岗位指南》和《企业信息安全教育培训体系》。3.2提供教育培训课程(1)安全基础培训对象：企业全部与网络安全相关的人员。内容：系统安全、网络安全及增强安全意识的重要性、主要网络安全威胁、网络安全层次、网络安全度量、主机安全、黑客进攻步骤、安全防范措施和商用安全产品分类等。目标：增强系统管理员的安全意识，基本了解安全的实际要领，能够分辩出系统中存在的安全问题。(2)Unix/Windows系统安全管理培训对象：公司安全相关的系统管理员。内容：掌握Unix/Windows系统的安全策略，常见的攻击手段分

网络安全攻防技术教程篇4

关键词：网络安全微课校企合作

中图分类号：G718文献标识码：A文章编号：1672-3791（2014）09（c）-0179-01

随着计算机的发展，互联网已经融入经济社会发展的方方面面，计算机网络已经成为人们日常生活的一部分。据统计，2013年全球有5.56亿人成为网络攻击的受害者，平均每天有150万名用户受到网络攻击。因此，网络安全不仅是普通用户面临的重大问题，各国政府和经济界也面临同样的问题。全球每年要耗资上万亿美元应对网络攻击。

由于人们越来越担忧网络的脆弱性，因此，急需大量网络安全专业人才来维护网络。在2007至2012年这五年间，市场对网络安全专业人才的需求增长了73%。鉴于网络环境越来越复杂，这个需求仍会增长。

高职院校培养的是直接面向一线企业的技能型人才，学生毕业出来应该能胜任对口岗位的工作。然而，由于各种原因，当前该类院校的网络安全教学并不尽如人意，存在的主要问题是下面两点。

1以理论教学为主，缺少或不重视实践环节

当前网络安全教学普遍采用课堂理论教学为主，实践教学为辅的教学方式，虽然授课过程也会涉及案例教学，但是，由于网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科，其任何一个分支都是实践性很强的科学技术，没有具体的实战经验和技术，单纯地“纸上谈兵”，学生无法真正领悟和掌握这门技术。这就使我们培养出来的学生只有理论知识，而缺乏实际运用的能力。

虽然部分高职院校在设置理论授课的同时，还安排了少数实践课的课时。实践课是理论课的有力补充，实践课能让学生近距离地接触一些网络安全问题。但是由于受硬件及软件的条件限制，实践课形同虚设。例如：讲到枯燥的密码学，如果没有相应的实践环节让学生亲手设置及破解简单的密码，学生就没办法真正理解其工作原理，从而在踏上工作岗位后，如若遇到此类问题，也就不具备解决这些问题的能力。

2缺少网络安全实训室

网络安全实验有其特殊的要求，它要求学生在掌握相关网络安全理论知识的基础上，还要具备解决实际的网络安全问题的能力。网络安全实训室可以模拟各种网络安全问题，学生在实训室里，应可以在比较真实的环境下，遇到诸如网络攻击、密码被窃取等各种网络安全问题，并能通过独立思考，运用所学知识去解决这些问题。但是，现实情况是很多学校没有建立专用的网络安全实训室，或者虽然有这类实训室，但是实训设备、实训内容陈旧，跟不上网络安全发展的步伐。

为解决高职院校网络安全教学中存在的主要问题，培养高素质的、能达到企业要求的技能型网络安全人才，我们应从以下三个方面进行改革提升。

2.1授课方式改革

网络安全涵盖的内容广泛，理论与实际联系紧密，新概念、新技术以及新的问题层出不穷，同时，网络攻击手段与防范技术相互较量，共同推动网络安全技术不断前进。因此，网络安全课程要紧跟着其技术的发展，不断更新。在理论教学方面，除了选择一本好的教材，授课教师应时刻关注网络安全发展的前沿，及时地把这些新知识、新技术传授给学生。

为了使理论课更加生动、更接近实际情况，在授课过程中，教师可以引入动画、微课等多媒体手段来辅助教学。例如：对于DDoS攻击，教师可以设计相应的动画，演示攻击过程，使学生加深理解，印象深刻，还可以进一步让学生讨论，提出防御方法，最后教师进行提示、总结，揭示攻击的原理和防御策略。

2.2建立高质量的网络安全实训室

实践教学是职业院校教学体系中的一个重要环节，是巩固理论知识和加深对理论认识的有效途径，是培养具有创新意识的高素质工程技术人员的重要环节，是理论联系实际、培养学生掌握科学方法和提高动手能力的重要平台。实践教学的演练，为学生日后踏上工作岗位并能胜任奠定了基础。

网络安全实践教学，包括防火墙的使用和配置、入侵检测系统、安全扫描系统、病毒查杀、监控系统等，同时还应包括网络安全解决方案的设计、规划和构建，网络安全问题的诊断与解决等更高级的内容。要想较真实地模拟这些环境，必须建立专用的网络安全实训室。实训室应配置的设备包括交换机、防火墙、VPN设备、实训管理平台、配套的软件等，学生在实训室里能够接触并模拟演练各种网络安全问题。例如：在进行攻防实训时，教师可以将学生进行分组，组中的一部分学生“扮演”主动攻击一方，组中另一部分同学“扮演”防御一方，双方学生运用所学知识进行“实战演练”。这样的实训，使学生真正直面各种网络安全问题，并通过思考，运用所学知识解决实际问题，达到很好的教学效果。

2.3深入一线企业（校企合作）

实训室的教学虽然能最大程度地模拟现实的网络安全环境，但是随着网络技术的发展，网络世界瞬息万变，网络安全问题也层出不穷，因此，紧跟计算机网络及网络安全发展的步伐，才能培养出高质量的技能型人才。实训室设备及软件的更新有一定的周期，要想时刻具备最前沿的实训条件是不能完全实现的，因此，我们的学生可以深入一线企业去体验真实的“战场”。

校企合作是高职院校谋求自身发展、实现与市场接轨、大力提高育人质量、有针对性地为企业培养一线实用型技术人才的重要举措，让学校和企业的设备、技术实现优势互补、资源共享，以切实提高育人的针对性和实效性，提高技能型人才的培养质量。

职业学校加强校企合作，实行顶岗实习、能够为学生提供身临其境的企业环境熏陶和必要的实习条件、难得的实践锻炼机会。生产实践过程也就成了教学过程和管理过程，学生在行业工程师的带领指导下，把理论知识运用到实践中，并把在实践中得到的体验与理论进行对接，从而加深对理论的理解，增强应用知识和解决实际问题的能力。

高职院校培养的是面向基层、面向服务、面向管理的一线技能型人才，要求学生具有一定的理论知识水平和较强的实践水平。而现在很多高职院校由于实践环境的欠缺，渐渐脱离了培养人才的目标。该文从教学授课方式，建立网络安全实训室及进行校企合作三个方面阐述了高职院校如何培养实用的技能型人才。

参考文献

网络安全攻防技术教程篇5

关键词：校园网网络安全防范策略

随着Internet和intranet技术的普及和近年来的迅猛发展，数字化校园的建设得到了蓬勃发展。校园网是学校教学管理信息化和网络化的基础。由于校园网具有开放性、互联性和共享性的特点，因此不可避免地受到病毒、黑客、恶意软件和其他不轨行为的安全威胁和攻击。校园网数据丢失、系统被攻击修改、网络瘫痪的事情时有发生。因此，基于校园网的软件开发过程，需要首先解决校园网运行环境的安全问题，无论是软件开发，还是网络运行环境的搭建，需要时时刻刻警惕可能出现安全问题的单元和模块。

为确保基于校园网的教学管理软件的安全稳定运行，需要对两个方面进行研究和分析：一、软件开发过程中出现的安全漏洞。任何软件都是会有一些漏洞的，即使最大的软件开发者“微软”也在不断更新安全补丁，因此从设计软件的模块到数据库的使用要时刻留意漏洞的出现。二、网络运行环境的安全漏洞。校园网的安全环境可以用“内外交迫”来形容。校园网外部Internet上的安全问题一直让网管员头痛，同时校园网内部有些人员的计算机相关技术水平非常高，甚至超乎管理人员的想象，据统计80%对校园网的攻击来自于校园网内部。在这种情况下，如何构建校园网安全屏障，保证网络的安全、稳定、高效地运行，同时又能提供丰富的网络资源，达到办公、教学以及学生上网的多种需求是学院必须面对的问题。

1.软件开发的安全设计分析

软件开发当前流行的开发结构包括C/S开发（客户端/服务器）和B/S开发（浏览器/服务器）。两种开发结构的程序运行入口都是从登录开始，但C/S开发结构中的登录要比B/S登录要安全许多，C/S程序需要为客户机安装相应的客户端软件才能运行，而B/S开发的程序在客户端仅需要浏览器就可以了，任何一台计算机目前都是安装浏览器的，也就是说任何一个人都可以运行B/S的程序。虽然用户是需要用户名和密码才允许访问，但黑客可能利用数据库和程序的“注入”和“旁注”漏洞，绕过用户名和密码的输入而得到程序的授权访问。还有就是黑客可能利用自制软件暴力破解用户名和密码，循环猜测用户名和密码。因此在程序登录窗口的设计中需要注意如下几部分：

1.1约束用户输入的用户名和密码尽量要复杂一些。比如密码长度、复杂度，这样可以有效防止黑客暴力破解密码。

1.2当输入账户和密码三次错误后，锁定软件一段时间。这样可以避免黑客使用工具循环猜测账户和密码，此方法对C/S开发的程序比较有效。若是B/S开发的程序可以设置图片验证码来代替锁定。

1.3用户名和密码内不允许输入敏感的特殊字符，例如“’、％、(、&、exec”等，这些敏感的字符可能会引起数据库程序的“注入”漏洞，使黑客越权登录。一般程序都设置成允许数字和英文字符可输入，可通过正则表达式来限定更加复杂的格式。

在B/S开发过程中要注意页面的用户状态识别、页面过期设定的设置，例如当用户长时间访问过的某个程序页面，有可能在BAIDU搜索引擎留下记录，黑客可通过搜索引擎来访问某页信息，通过在页中设置用户状态，可以防止这样的事情发生。另外页面过期也是要注意的问题，比如浏览器的历史记录中的“上一步”问题，当用户退出系统后，关闭浏览器之前，点击“上一步”有可能进入系统，这需要在编写程序时，特别注意做到页面过期时间调整和浏览器的缓存清除操作。

用户程序数据保存的数据库系统也会有一定的安全隐患，当前大多是数据库都是网络数据库，例如SQL2000、SQL2005、Oracle、MYSQL。这些网络数据库可以通过网络访问，这就会出现非法用户通过网络直接连接数据库，除了注意要将数据库的管理账户设置复杂一些以外，还要防止一些存储过程的调用例如SQL2000的xp_cmdshell，设置网络的访问权限，让非法的用户无法直接访问到数据库。

2.校园网网络安全的设计和分析

虽然在软件设计中可以解决一些运行的安全隐患，但没有安全的校园网络配置，是无法解决所有的安全的问题的。只有程序和网络两个方面共同发挥力量才能让校园网的管理软件安全、稳定的运行。

校园网的网络体系结构包括校园网的网络边界设备，核心及骨干设备，网络接入层设备，网络服务提供设备和这些设备的连接方式以及该结构采用的协议和技术。

校园网至少应采用1000M以太网主干技术，1000M或100M到楼，100M或10M到桌面，部分区域采用无线接入技术（802.11）实现无线接入。校园网络路由器，高性能的核心路由交换机，各分布层的三层路由交换机，大量的二层可网管接入交换机，以及防火墙，IDS（或IPS），内容过滤系统，流量分析系统，网络设备管理系统等网络硬件设备。教学管理软件服务器端程序应该放在DMZ(隔离区)内，它连接防火墙，且可以连接外网和内网。教学管理软件所有的重要数据库和资料则放在内网的重要数据区，严格限制访问，此区域连接DMZ区，为各种教学管理软件进行数据存取服务。这样做的优点是DMZ区可以为主机环境提供网络级的保护，能减少为不信任客户提供服务而引发的危险，是放置公共信息的最佳位置。即使DMZ区的公共服务例如WEB服务器、EMAIL服务器被黑客攻陷，由于重要的数据库和资料并不在此区域内，则不会对数据造成损失。

校园网主要面临的危险包括如下内容：

2.1操作系统的安全问题

目前，被广泛使用的网络操作系统主要是UNIX、WINDOWS和Linux等，这些操作系统都存在各种各样的安全问题，许多新型计算机病毒都是利用操作系统的漏洞进行传染。如不对操作系统进行及时更新，弥补各种漏洞，计算机即使安装了防毒软件也会反复感染。

2.2病毒的破坏

计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪，是影响高校校园网络安全的主要因素。

2.3黑客

黑客入侵的常用手法有：端口监听、端口扫描、口令入侵、JAVA炸弹等。

2.4内部破坏

在高校中，有人为了报复而销毁或篡改人事档案记录；有人改变程序设置，引起系统混乱；有人越权处理公务，为了个人私利窃取机密数据；一些学生通过非正常的手段获取习题的答案或在考前获得考试内容，使正常的教学练习失去意义。这些安全隐患都严重地破坏了学校的管理秩序。

2.5设备受损

设备破坏主要是指对网络硬件设备的破坏。

2.6敏感服务器使用的受限

由于财务等敏感服务器上存有大量重要数据库和文件，因担心安全性问题，不得不与校园网络物理隔离，使得应用软件不能发挥真正的作用。

2.7技术之外的问题

校园网是一个比较特殊的网络环境。随着校园网络规模的扩大，目前，高校基本实现了教学科研办公上网，学生上网。由于上网地点的扩大，使得网络监管更是难上加难。由于高校部分学生对网络知识很感兴趣，而且具有相当高的专业知识水平，有的研究生甚至研究方向就是网络安全，攻击校园网就成了他们表现才华，实践自己所学知识的首选。其次，教工人员和学生的计算机网络安全意识薄弱、安全知识缺乏。学校的规章制度还不够完善，还不能够有效的规范和约束学生、教工的上网行为。

除去设备本身的受损情况其它的安全问题可分为外网的安全和内网的安全两部分。

外网的攻击主要包括破坏性攻击和侵入型的攻击。破坏性的攻击多采用DoS及DDoS（分布式DoS）攻击。在这种类型的攻击中，攻击者发送通过一台傀儡机(肉鸡)或大量的傀儡机发送大量的TCPSYN请求到某个服务器。在SYN请求被发送之后，“握手”行为就永远也不会结束。服务器，由于一直设法维持SYN连接的信息并且等待握手行为的完成，最终耗尽它的资源并停止接收任何进一步的TCP连接请求，因而拒绝了对真正用户的访问。攻击的目的就是让服务器忙得无法完成正常服务，破坏网络正常的运行。处理DDoS的攻击最有效的方法就是架设防火墙，目前防火墙的重要任务就是防止DDoS的攻击，在外网路由器加入防火墙可以有效屏蔽DDoS的数据包，同时若对外网ICMP和TCP的数据包进行检测，检查数据包的大小也可以过滤一部分攻击效果。侵入型的攻击多寻找服务器的漏洞和网络漏洞，侵入服务器获取有用数据，或将服务器变成傀儡机。要防止侵入攻击首要的任务就是为服务器打补丁，这样可以防范系统级的漏洞，其次在防火墙配置访问策略，限制端口的访问，例如提供WEB服务的服务器，只需要开80端口即可，服务器本身的135、139等端口应限制访问。再次就是软件开发过程中的登录安全设计，防止出现登录漏洞，数据库访问漏洞，DMZ区的设计多为此处设计考虑。

内网主要受到的安全危险包括病毒、非授权访问、技术之外的问题等。

病毒和木马是内网安全的一个非常重要的问题，病毒和木马疯狂复制自己，达到在网络中传播，占用大量网络，造成网络瘫痪，同时影响正常软件的运行。当前流行的病毒一般是通过网络下载运行，或移动设备运行传播。要控制病毒和木马的泛滥，首先要对计算机进行保护，例如系统还原软件，杀病毒软件，可以有效检测和快速处理病毒。然后为不同的机构设置不同的VLAN，限制VLAN间的访问，这样即使某一个机构的病毒泛滥，也不会影响另一个机构的网络状况。

非授权访问，对于校园网内的办公软件、财务软件、学籍管理部分，对于学生是不能随意访问的，虽然所有的办公软件等都是需要登录后才可以使用，但软件难免存在未知的漏洞，最好的解决办法是从网络访问策略中限制访问，例如在学院内的机房、办公楼设置好VLAN，且只有VLAN段内限定的IP地址范围可发送数据包出VLAN。在防火墙和交换机的配置中，限制仅允许指定IP地址段可访问DMZ区的办公软件。

一些非技术的安全问题：1、部分部门的教工管理不严格，造成具有恶意人员操作了受限制访问的内部网资源。例如学生操作了某部门领导的办公计算机，这可能使部分人员越权访问资源。2、教工对安全意识的淡薄，例如登录办公软件后没有安全退出，其他人可以任意访问。3、BT等点对点下载非教学相关内容，BT等点对点网络软件，具有很多优点，包括一些很重要的学习资料的网络共享，但也有一些是与教学等无关的娱乐资源，例如电影、游戏，这些内容的下载会严重影响网络的稳定运行，也有可能引入病毒和木马。对于上述这些问题则需要指定相应的政策和法规来进行约束。

该文通过软件开发过程和网络环境的配置两个方面叙述了校园网内教学管理软件开发运行中的一些问题，说明了软件的开发与网络的安全有着必然的联系，只有软件以及软件的运行环境都经过详细的安全设计和分析，才能确保软件安全稳定的运行，以发挥教学管理软件的功能和重要作用。

基金项目名称：国家教师科研基金“十二五”教育科研重点课题，编号：CTF120510。

参考文献：

[1]郭萍.浅析高校校园网安全隐患及防范技术[J].湖北三峡职业技术学院学院,2010,(12).

网络安全攻防技术教程篇6

一、网络安全的探析

网络安全是指网络系统的硬件、软件和数据受到保护，不因偶然的或恶意的原因遭到破坏、更改和泄露，确保网络系统正常的工作，网络服务不中断，确保网络系统中流动和保存的数据具有可用性、完整性和保密性。网络的安全在技术上应综合考虑到防火墙技术、入侵检测技术、漏洞扫描技术等多个要素。不断提高防范病毒的措施，提高系统抵抗黑客入侵的能力，还要提高数据传输过程中的保密性，避免遭受非法窃取。因此，对网络安全问题的研究总是围绕着信息系统进行的，主要包括以下几个方面：

（一）Internet开放带来的数据安全问题。伴随网络技术的普及，Internet所具有的开放性、国际性和自由性以及各方面因素导致的网络安全问题，对信息安全也提出了更高的要求。为了解决这些安全问题，各种安全机制、策略和工具被研究和应用，但网络的安全仍然存在很大隐患，主要可归结为以下几点：1.就网间安全而言，防火墙可以起到十分有效的安全屏障作用，它可以按照网络安全的需要设置相关的策略，对于进出网络的数据包进行严密的监视，可以杜绝绝大部分的来自外网的攻击，但是对于防范内网攻击，却难以发挥作用。2.对于针对网络应用层面的攻击、以及系统后门而言，其攻击数据包在端口及协议方面都和非网络攻击包十分相似，这些攻击包可以轻易的通过防火墙的检测，防火墙对于这类攻击是难以发现的。3.网络攻击是开放性网络中普遍难以应对的一个问题，网络中的攻击手段、方法、工具几乎每天都在更新，让网络用户难以应对。为修复系统中存在的安全隐患，系统程序员也在有针对性的对系统开发安全补丁，但这些工作往往都是滞后于网络攻击，往往是被黑客攻击后才能发现安全问题。旧的安全问题解决了，新的攻击问题可能随时出现。因此，应对开放性网络中的黑客攻击是重要的研究课题。

（二）网络安全不仅仅是对外网，而对内网的安全防护也是不可忽视的。据统计，来自内部的攻击呈现着极具上升的趋势。这是因为内网用户对网络结构和应用系统更加熟悉。以高校的校园网为例，网络用户人数众多，而学生的好奇心和渴望攻击成功的心理，使得他们把校园网当作网络攻击的试验场地，且其中不乏计算机应用高手（特别是计算机专业的学生），防火墙对其无法监控，这种来自内部不安全因素对网络的破坏力往往更大。2008年7月的旧金山的网络系统内部的侵害事件，2008年6月深圳“泄密门”等网络内部的安全事件向我们警示着内网安全防范的重要性。

（三）网络中硬件设备的安全可靠性问题。对计算机网络而言网络硬件设备在其中起到了重要的作用。比如：路由器，交换机，以及为网络用户提供多种应用服务的服务器等，这些设备的可用性、可靠性，以及设备自身的高安全保护能力都是网络安全中应该加以研究和认真对待的问题。

二、通过教学研究，提高学生对网络安全体系的管理与防范

由于网络技术水平和人为因素，以及计算机硬件的“缺陷”和软件的“漏洞”的原因，让我们所依赖的网络异常脆弱。在教学过程中，我们必须加强对网络安全体系管理与防范意识的传授，才能提高学生的管理和防范能力，常用的方法如下：

（一）防火墙是在内外网之间建立的一道牢固的安全屏障，用来加强网络之间访问控制，提供信息安全服务，实现网络和信息安全的网络互联设备。能防止不希望的、未授权的信息流出入被保护的网络，具有较强的抗攻击能力，是对黑客防范最严、安全性较强的一种方式，是保护内部网络安全的重要措施。防火墙可以控制对特殊站点的访问，还能防范一些木马程序，并监视Internet安全和预警的端点，从而有效地防止外部入侵者的非法攻击行为。

（二）入侵检测是指对入侵行为的发觉。它通过对网络或计算机系统中的若干关键点收集信息，并对其进行分析，从中发现是否有被攻击的迹象。如果把防火墙比作是网络门卫的话，入侵检测系统就是网络中不间断的摄像机。在网络中部署入侵检测系统可以有效地监控网络中的恶意攻击行为。

（三）网络病毒的防范。对于单独的计算机而言，可以使用单机版杀毒软件来应对病毒的问题，由于其各自为政，在应对网络中的计算机群时，则无法应对网络病毒的防杀要求，且在升级方面也很难做到协调一致。要有效地防范网络病毒，应从两方面着手：一是加强网络安全意识，有效控制和管理内网与外网之间的数据交换；二是选择使用网络版杀毒软件，定期更新病毒库，定时查杀病毒，对来历不明的文件在运行前进行查杀。保障网络系统时刻处于最佳的防病毒状态。

（四）对于网络中的Email,Web，FTP等典型的应用服务的监控。在这些服务器中应当采用，应用层的内容监控，对于其中的传输的内容加以分析，并对其中的不安全因素加以及时发现与处理，比如可以利用垃圾邮件处理系统对Email的服务加以实施的监控，该系统能发现其中的不安全的因素，以及垃圾内容并能自动的进行处理，从而可以杜绝掉绝大部分来自邮件的病毒与攻击。

（五）主动发现系统漏洞是减少网络攻击的一个重要手段。在网络中单靠网络管理人员人为的去发现并修复漏洞显然是不够的。因此主动的分析网络中的重点安全区域，掌握其主要的安全薄弱环节，利用漏洞扫描系统主动的去发现漏洞是十分总要的一个手段。同时在网络中配以系统补丁自动更新系统，对于网络毕业中有类似安全隐患的主机主动的为其打上系统补丁。事实证明上述两种机制的结合可以有效地减少因为系统漏洞所带来的问题。

（六）IP地址盗用与基于MAC地址攻击的解决，这个可以在三层交换机或路由器中总将IP和MAC地址进行绑定，对于进出网络设备的数据包进行检查，如果IP地址与MAC地址相匹配则放行，否则将该数据包丢弃。

三、通过教学改革，把学生培养成高技能应用型的网络人才

网络安全技术是非常复杂，非常庞大的，对初学者来说，如果直接照本宣科，学生肯定会觉得网络安全技术太多太深，从而产生畏学情绪。为了提高学生的学习兴趣，让他们更好地掌握网络安全技术的知识，就要培养学生的创新能力，就必须改革教学方法，经过几年的教学实践证明，以下几种教学方法能弥补传统教学中的不足。

（一）案例教学法

案例教学法是指在教师的指导下，根据教学目的的要求，通过教学案例，将学习者引入到教学实践的情景中，教会他们分析问题和解决问题的方法，进而提高他们分析问题和解决问题的能力，从而培养他们的职业能力。我们在教学实践中深深感受到，在计算机网络安全技术教学中，引入案例教学，将抽象的、枯燥的网络安全的理论知识和精湛的、深邃的网络安全技术涵寓于具体的案例中，打破传统理论教学中教师要么照本宣科，要么泛泛而谈，以至于学生学起来枯燥无味，用起来糊里糊涂的局发表面，变复杂为简单，变被动为主动的学习过程，调动了学生的学习积极性，培养了学生的职业能力。在具体案例中，将古城墙的功能和作用与防火墙比较；选择学生接触最多的校园网作为典型的案例，向学生系统地讲授网络安全体系结构、安全策略的制定、安全技术的应用、安全工具的部署，以及安全服务防范体系的建立等理论，从而降低网络安全的复杂度，使学生对网络安全体系有比较全面、透彻的理解。

（二）多媒体教学法

多媒体教学是指在教学过程中，根据教学目标和教学对象的特点，通过教学设计，合理选择和运用现代教学媒体，以多媒体信息作用于学生，形成合理的教学过程结构，达到最优化的教学效果。它具有交互性、集成性、可控性等特点。可以把抽象的、难理解的知识点直观地展示和动态地模拟，充分表达教学内容。例如：PGP技术的操作步骤、防火墙的配置和使用等。通过多媒体教学,边讲边操作,做到声像并行、视听并行,使学生在有限课堂时间内获得更多的信息,从而激发了学生的学习兴趣，提高了教学效果。

（三）实践教学

根据高职院校学生的岗位能力和培养目标,实践教学是职业技术教育的中重之重。运用学校提供的网络实验室和网络设备,为学生搭建良好的计算机网络学习平台，突出实用性，做到“专机专用”。例如,将3台计算机搭建一个小型局域网,安装微软网络监视器,使用网络监视器来嗅探FTP会话,解释捕获的数据,确定使用的用户名和口令。从抽象的概念上升到理性的认识，使学生真正体会到网络安全的重要性。为了使学生全面了解计算机网络,可带领学生到电信公司或网络公司进行参观学习和实训,培养学生的岗位技能和工程意识。