談談對信息安全的理解精選(五篇)
發布時間:2023-10-09 17:40:59
序言:作為思想的載體和知識的探索者,寫作是一種獨特的藝術,我們為您準備了不同風格的5篇談談對信息安全的理解,期待它們能激發您的靈感。
篇1
[關鍵詞] 纈沙坦;卡維地洛;慢性心力衰竭;生活質量
[中圖分類號] R541.6 [文獻標識碼] A [文章編號] 1674-4721(2016)04(b)-0128-03
[Abstract] Objective To investigate the security analysis and life quality effect of Valsartan combined with Carvedilol treatment for chronic heart failure patients. Methods 118 cases of chronic heart failure patients in our hospital from October 2014 to October 2015 were randomly divided into research group and control group,each was 59 cases.Control group were treated with Valsartan based on conventional therapy.Research group were treated with Valsartan combined with Carvedilol based on conventional therapy.Life quality of patients in the two groups was measured by SF-36 scale.The life quality,ST-segment depression,NYHA and adverse reactions rate of two groups were compared. Results After 8 weeks treatment,the SF-36 scale score of research group was higher than control group [(0.36±0.05)mV vs (0.50±0.09)mV;(2.31±0.23)levels vs (2.87±0.49)levels,P
[Key words] Valsartan;Carvedilol;Chronic heart failure;Life quality
慢性心力衰竭是由各種原因造成心肌損傷,使心肌結構和功能改變,導致心室泵血或充盈功能低下的一種疾病,患者主要表現為耐力下降、呼吸困難、乏力,部分患者有腹部或腿部水腫等癥狀[1-2]。研究表明,慢性心力衰竭的死亡率與臨床表現的嚴重程度有很大關系,中重度心力衰竭患者5年的死亡率為30%~50%[3]。治療慢性心力衰竭的目的是改變衰竭心臟的生物學性質,臨床常用藥物包括纈沙坦、卡維地洛、依那普利等。為探討纈沙坦聯合卡維地洛對慢性心力衰竭患者生活質量的影響及其安全性,筆者以慢性心力衰竭患者作為研究對象展開本次研究。
1 資料與方法
1.1 一般資料
選取2014年10月~2015年10月我院收治的118例慢性心力衰竭患者作為研究對象,隨機將患者分為研究組和對照組,每組59例。研究組男31例,女28例;年齡42~78歲,平均(62.8±8.6)歲;病程2~6年,平均(3.8±1.2)年;心功能分級Ⅲ級31例,Ⅳ級28例;合并心肌病、冠心病各9例,糖尿病11例,高血壓19例。對照組男33例,女26例;年齡43~81歲,平均(63.5±9.1)歲;病程1~6年,平均(3.4±1.1)年;心功能分級Ⅲ級29例,Ⅳ級30例;合并心肌病10例,冠心病8例,糖尿病13例,高血壓17例。兩組患者一般資料比較差異無統計學意義(P>0.05),具有可比性。本研究符合倫理學要求,已取得我院醫學倫理委員會批準。
入選標準:①符合美國心臟病協會關于慢性心力衰竭的診斷標準,按紐約心臟病分級標準(NYHA)為Ⅲ、Ⅳ級;②患者同意參與本次研究,并簽署知情同意書。
排除標準:藥物過敏及嚴重肝腎功能障礙者。
1.2方法
兩組患者均使用β-受體阻滯劑、利尿劑、洋地黃及擴血管等進行慢性心力衰竭的常規治療。
對照組:在常規治療的基礎上使用纈沙坦膠囊(北京諾華制藥有限公司生產,國藥準字H20040217,規格80 mg/片)治療,劑量:1片/次,1次/d,晚飯后溫開水吞服。
研究組:在常規治療的基礎上使用纈沙坦(北京諾華制藥有限公司生產,國藥準字H20040217,規格80 mg/片)聯合卡維地洛(齊魯制藥有限公司生產,國藥準字H20000100,規格10 mg/片)治療,劑量:纈沙坦膠囊1片/次,1次/d,晚飯后溫開水吞服;卡維地洛2片/次,2次/d,早、晚餐后用溫開水吞服。
兩組均治療8周后進行療效對比。
1.3評價指標
使用SF-36量表評價兩組患者治療前后的生活質量,每項滿分100分,得分越高代表生活能力越強,生活質量越好。其中SF-36量表共分為8個維度:生理功能(PF)、生理職能(RP)、軀體疼痛(BP)、總體健康(GH)、活力(VT)、社會功能(SF)、情感職能(RE)以及精神健康(MH)[4]。
1.4統計學方法
采用統計軟件SPSS 20.0對實驗數據進行分析,計量資料以均數±標準差(x±s)表示,采用t檢驗。計數資料以率表示,采用χ2檢驗,以P
2結果
2.1兩組患者治療前后生活質量的比較
治療8周后,研究組SF-36各維度評分均比對照組升高(P
2.2兩組心電圖ST段下移及NYHA心功能分級變化情況的比較
治療后研究組心電圖ST段下移及NYHA心功能分級分別為(0.36±0.05)mV、(2.31±0.23)級,改善程度優于對照組(P
2.3兩組患者不良反應發生情況的比較
兩組均無藥物不良反應發生,耐受性好。
3討論
慢性心力衰竭是一種嚴重心臟病,其發病率在全球范圍內逐年上升,且好發于中老年人[5]。在我國,慢性心力衰竭在35歲以上的成人中發病率為0.9%[6]。慢性心力衰竭發生的主要機制是腎上腺素能系統和腎素-血管緊張素-醛固酮系統被激活,另外激活的兩大系統相互作用,引起腎素過度分泌,使病情進入惡性循環。治療慢性心力衰竭的關鍵在于抑制被激活的神經內分泌系統,阻斷心肌重構[7],臨床的常用療法包括β-受體阻滯劑、利尿劑、洋地黃及擴血管等。纈沙坦屬于非肽類、口服有效的血管緊張素Ⅱ(AT)受體拮抗劑,能有效競爭性拮抗1型受體(AT1)[8]。研究表明,纈沙坦在抑制血管收縮和醛固酮釋放的同時不會抑制因鉀導致的釋放,其對心收縮功能及心率無明顯影響[9]。纈沙坦的作用包括:①改善血流動力學,減少兒茶酚胺釋放;②抑制心肌間質的合成,逆轉心肌細胞肥大;③阻斷AT1作用,避免心血管重構的異常生理改變;④降低三酰甘油水平,改善心肌和動脈的順應性;⑤抑制心肌細胞凋亡作用,保護心肌[9]。卡維地洛是一種新型的β-受體阻滯劑,對心率失常具有很好的抑制作用。卡維地洛通過抑制心臟交感神經系統從而有效降低慢性心力衰竭患者的死亡風險[10]。卡維地洛還具有很強的抗氧化、抗增殖作用,能抑制心力衰竭患者體內兒茶酚胺的過度分泌,從而降低心臟興奮度,減少心肌細胞耗氧量,保護心肌細胞。值得指出的是,使用卡維地洛治療慢性心力衰竭必須確保患者的病情得到穩定控制,切不可對急性心力衰竭患者使用卡維地洛治療[11]。另外,對于使用利尿藥和靜脈強心藥的患者也不可使用卡維地洛治療。纈沙坦與卡維地洛聯合使用能有效抑制心臟的興奮狀態,減緩心率,減少心輸出量,降低心臟耗氧量,保護心肌。本研究結果顯示,單一使用纈沙坦治療慢性心力衰竭效果不夠理想。卡維地洛是一種α、β-受體阻滯劑,具有疏通血管的作用。該藥從1988年開始用于慢性心力衰竭的治療,療效被眾多研究證實。賈海蓮[12]在其研究中表明,卡維地洛能有效降低慢性心力衰竭患者的死亡率,并能預防心血管事件的發生。卡維地洛還能抑制腎上腺素的分泌,從而減緩心率、降低心肌細胞耗氧,保護心肌[13-14]。值得注意的是,停止治療時不能突然停止卡維地洛用藥,需要在1~2周內逐漸減少用藥劑量。纈沙坦與卡維地洛聯合治療慢性心力衰竭能更加徹底地抑制腎上腺素能系統,兩者與緩激肽共同作用,改善心功能,提高患者的生活質量[15]。
本研究中選取118例慢性心力衰竭患者作為研究對象,分別采用單一纈沙坦和纈沙坦聯合卡維地洛治療,旨在探討纈沙坦聯合卡維地洛對慢性心力衰竭患者生活質量的影響及其安全性,研究結果表明:治療8周后,研究組SF-36各維度評分均比對照組高(P
綜上所述,纈沙坦聯合卡維地洛對慢性心力衰竭療效突出,能有效提高患者生活質量,改善心功能,且無明顯的不良反應發生,安全可靠,值得臨床推廣應用。
[參考文獻]
[1] 張澍,黃德嘉,華偉,等.心臟再同步治療慢性心力衰竭的建議(2013年修訂版)[J].中華心律失常學雜志,2013, 17(4):247-261.
[2] 王正,沈娟,宋慶橋.慢性心力衰竭合并心律失常發病機制研究進展[J].中西醫結合心腦血管病雜志,2012,10(2):216-219.
[3] 余耀鳴,陳瑤.常規治療+卡維地洛對慢性心力衰竭患者心功能的改善作用[J].中國當代醫藥,2013,20(36):79-80.
[4] 杜惠蓮,李曉萍.卡維地洛與纈沙坦聯用治療慢性心力衰竭的臨床研究[J].吉林醫學,2012,33(18):93.
[5] 張文亮.卡維地洛和美托洛爾對慢性充血性心力衰竭患者左室舒張功能及心室重塑的影響[J].中西醫結合心腦血管病雜志,2012,10(2):235-236.
[6] 王秀梅,張波,邊翠霞.依那普利聯合卡維地洛治療老年慢性心力衰竭臨床分析[J].中國當代醫藥,2012,19(27):75-76.
[7] McMurray JV,Adamopoulos S,Anker SD,et al.ESC Guidelines for the diagnosis and treatment of acute and chronic heart failure[J].Eur Heart Fail,2012,14(8):803-869.
[8] 趙志堅,李芹.卡維地洛聯合依那普利治療風濕性心臟病慢性心力衰竭的療效分析[J].中國實用醫藥,2012,7(26):21-22.
[9] 賀志偉,王湘富,楊翰文,等.卡維地洛聯合普伐他汀對冠心病慢性心力衰竭氨基末端腦鈉肽前體和心肌肌鈣蛋白I及其心功能影響的研究[J].中國綜合臨床,2012, 28(8):841-844.
[10] 賀志偉,王湘富,楊翰文,等.卡維地洛加普伐他汀對冠心病慢性心力衰竭患者心功能的影響[J].華南國防醫學雜志,2012,26(4):316.
[11] 劉振,王鵬飛,劉玲玲,等.卡維地洛與曲美他嗪聯用對慢性心力衰竭患者左室重構的影響研究[J].中國實用醫藥,2013,8(6):179-181.
[12] 賈海蓮.卡維地洛聯合曲美他嗪治療高齡慢性心力衰竭的療效及對左室功能的影響[J].中國醫藥導刊,2012, 14(2):248-249.
[13] 李衛紅.卡維地洛聯合纈沙坦治療慢性心力衰竭臨床效果及安全性探究[J].中國醫藥指南,2012,10(10):134-136.
[14] 莫逆,陳海堅,黎奇才.卡維地洛聯合坎地沙坦治療慢性心力衰竭的臨床觀察[J].中國臨床研究,2012,25(5):444-445.
[15] 鄭進民.卡維地洛聯合纈沙坦治療慢性心力衰竭的臨床療效觀察[J].中國現代藥物應用,2013,7(15):13-14.
篇2
【關鍵詞】圖書館;網絡;信息安全
圖書館承載著信息資源的收集、整理和傳播的任務,服務內容的廣泛性和信息用戶的復雜性是圖書館信息服務的一個重要特點。隨著數字圖書館建設的推進和網絡化服務的推廣,數字化和網絡化應用系統的不斷增多,圖書館網絡信息的安全問題也日益突顯,已引起有關方面及專業人士的重視。
1 信息安全
1.1 信息安全的定義
對“信息安全”可以從不同的角度來理解,因此出現了“計算機安全”、“網絡安全”、“信息內容安全”之類的提法,也出現了“機密性”、“真實性”、“完整性”、“可用性”、“不可否認性”等描述方式。國際標準化委員會給出的定義是:“為數據處理系統而采取的技術的和管理的安全保護,保護計算機硬件、軟件、數據不因偶然的或惡意的原因而遭到破壞、更改、顯露”。從這個定義可以看出,信息安全既包含了層面的概念,其中計算機硬件可以看作是物理層面,軟件可以看作是運行層面,再就是數據層面;同時信息安全又包含了屬性的概念,其中破壞涉及的是可用性,更改涉及的是完整性,顯露涉及的是機密性。[1]因此,高校圖書館的信息安全從層面上考慮主要是運行層和數據層的安全保護,從信息安全的屬性上考慮主要是數據的可用性和數據的完整性保護。
1.2 信息安全策略[2]
信息安全策略是指為保證提供一定級別的安全保護所必須遵守的規則。實現信息安全,不但靠先進的技術,而且更得靠嚴格的安全管理,法律約束和安全教育:(1)嚴格的安全管理是信息安全的根本保證。各計算機網絡使用機構應建立相應的網絡安全管理辦法,建設合適的網絡安全管理體系,加強內部管理、監督和落實,才能降低信息安全風險。(2)先進的信息安全技術是實現信息安全的重要手段。用戶對自身面臨的威脅進行風險評估,決定其所需要的安全服務種類,選擇相應的安全機制,然后集成先進的安全技術,形成一個全方位的安全系統。(3)完善信息安全道德教育和嚴格的懲罰措施是抑制信息安全事件的有效工具。高校圖書館的網絡信息服務對象主要是教師和在校學生,網絡攻擊工具的泛濫和學生的好奇心理、冒險心理、僥幸心理是造成高校圖書館信息安全破壞的重要因素,內部的攻擊往往最難于控制和預防。
2 影響圖書館網絡信息安全的主要因素
2.1 計算機病毒的入侵
計算機病毒的傳播和蔓延對計算機網絡和圖書館信息造成的破壞性很大,有時甚至是毀滅性的。計算機病毒的傳播速度快、危害大、變種多、難于控制、難于根治且容易引起多種疫情,一旦病毒發作,它將影響服務器性能、破壞數據和刪除文件,還能損壞硬件,導致圖書館的網絡系統癱瘓,網絡信息服務無法開展,甚至有些圖書館的數據全部丟失,造成不可彌補的巨大損失。[3]
2.2 網絡黑客非法攻擊
黑客攻擊比病毒更具目的性,因而也更具危險性。對于圖書館網絡來說,黑客的危害主要有竊取數據、惡意破壞、非法使用網絡資源。黑客一般采取的攻擊方法有獲取口令、放置特洛伊木馬程序、電子郵件攻擊、尋找系統漏洞、偷取特權等。利用各種特洛伊木馬程序、后門程序和黑客自己編寫的導致緩沖區溢出的程序進行攻擊,前者可使黑客非法獲得對用戶機器的完全控制權,后者可使黑客獲得超級用戶的權限,從而擁有對整個網絡的絕對控制權。這種攻擊手段一旦奏效,危害性極大。[4]
2.3 內部人員安全意識薄弱
一方面,用戶安全意識不強,沒有系統防護意識。往往為了方便記憶常將開機口令設置的過于簡單,而且有時會相互冒用認證密碼,隨意使用來歷不明的工具軟件、黑客軟件、存儲介質,造成系統感染病毒。另一方面,內部工作人員操作失誤或有意破壞系統,也會對圖書館的網絡信息安全造成極大的危害。
3 圖書館網絡信息安全對策
3.1 強化安全意識
對圖書館工作進行保密教育和法律保護安全意識是圖書館系統安全的基礎,圖書館網絡系統平時出現的這樣那樣的安全問題大部分都是由于圖書館工作人員的安全意識不強造成的。因此應結合機房、硬件、軟件和網絡、操作等各個方面的安全問題,對工作人員進行教育,提高其保密觀念及責任心; 加強業務、技術的培訓,提高操作技能; 教育工作人員嚴格遵守操作規程和各項圖書館保密制度,不斷提高法律觀念; 了解國家頒布的相應法律、法規,以保證網絡安全。[5]
3.2 引進先進技術
為圖書館網絡安全與保密提供根本保證高新技術不斷創新、發展,各種網絡安全系統應運而生,只要圖書館各級領導能夠重視起來,利用科學的技術,那么圖書館網絡系統的安全問題就能夠基本解決。第一,利用安全檢測與評估系統,對圖書館網絡系統進行檢測。不但在入網前將不符合要求的設備或系統拒之門外,而且在實際運行過程中也要進行各種自動監測與維護。第二,利用加密系統來控制非法訪問與數據資源的保護。對用戶進行分類和標識,使數據的存取受到限制和控制。如當一主體試圖非法使用一個未經授權的資源時,加密系統將拒絕這一訪問機制,并將這一事件報告給審計跟蹤系統,審計跟蹤系統再給出報警并記入日志檔案,以備管理人員檢查。第三,利用先進的硬件、軟件系統,避免各種已出現的漏洞。[6]我國圖書館研制、開發的各種硬件、軟件系統最初都沒有考慮安全問題,只是在使用運行過程中或者通過黑客的入侵,逐漸發現其漏洞、錯誤,這樣,開發商就會逐步改進、完善并研制出更新更強的系統。
3.3 制定嚴格的安全管理措施
為圖書館網絡系統安全提供可靠的依據圖書館網絡信息的安全管理可分為技術管理和行政管理兩個方面。技術管理前面我們已談到利用先進的技術對系統進行安全檢測與保密、密鑰等管理,這里主要談談行政管理,它包括安全組織機構、責任和監督、業務運行安全和規章制度、人事安全管理、教育和獎懲、應急計劃和措施等。
4 結束語
在當代高校圖書館走向網絡化、信息化的過程中,網絡信息安全無疑是其要長期面對的重要課題。為此,我們必須始終將網絡信息安全擺在重要位置,不斷發展、完善圖書館的網絡信息安全措施,為圖書館的服務工作保駕護航。
【參考文獻】
[1]龔儉.計算機網絡安全導論[M].南京:東南大學出版社,2004.
[2]熊松韞,張志平.構建網絡信息的安全防護體系[J].情報科學,2003(1):72-78.
[3]秦浩.淺談數字圖書館的信息安全管理[J].科技情報開發與經濟,2008(4):49-50.
[4]董翔,楊淑華.數字圖書館網絡安全體系構筑研究[J].圖書館論壇,2008(4):254-255.
篇3
[關鍵詞] 民族高校;雙語教學;高等教育
[中圖分類號] G642[文獻標識碼] A
[文章編號] 1671-5918(2011)05-0059-03
doi:10.3969/j.iss.1671-5918.2011.05-030[本刊網址] http://省略
我國高校雙語教學首先在2001年教育部4號文件《關于加強高等學校本科教學工作提高教學質量的若干意見》明確提出,“對高新技術領域的生物技術、信息技術等專業外語教學課程達到所開課程的5%―10%”,2007年教育部137號文《關于啟動2007年度雙語教學示范課程建設項目的通知》指出從2007年至2010年共支持建設500門雙語教學示范課程。我國高校雙語教學經過近十年的建設,取得了豐碩的成果,批準建設了503門雙語教學示范課程。但是在少數民族高校雙語教學方面,僅有大連民族學院《國際商務》一門課程。這表明雖然我國高校的雙語教學取得了豐碩的成果,但是民族高校雙語教學方面基本處在摸索與起步階段。因此對民族高校雙語教學課程的研究具有非常重要的意義。
目前關于計算機科學與技術專業的雙語教學探討的比較多,如王練等[1],柴爭義等[2],趙艷紅等[3],但是對具體課程的雙語教學探討的比較少,如彭文娟[4]對《計算機網絡》,董東[5]對《java程序設計》雙語教學進行了研究。中南民族大學計算機學院從2006年開設《信息安全》雙語課程,本文根據作者多年從事雙語教學的經驗與體會,結合了解到的其他大學的情況,就民族高校的《信息安全》課程雙語教學提出幾點心得和若干建議。
一、《信息安全》課程特點
信息是社會發展需要的戰略資源.國際上圍繞信息的獲取、使用和控制的斗爭愈演愈烈,信息安全成為維護國家安全和社會穩定的一個焦點。因此《信息安全》課程是信息類專業,特別是計算機科學與技術專業的重要特色課程,作為計算機科學與技術專業的學生有必要具有信息安全的意識和掌握一定的信息安全技術。信息安全是信息技術的前沿學科,以英語作為主要的專業技術表達語言,知識更新速度快,最新的技術及參考資料都是英文表達。如果由于語言的障礙,國際上信息安全方面許多新的技術、新的知識都要通過翻譯才能傳播,那我們就不能及時地掌握最新的技術。所以在《信息安全》課程教學中采用雙語教學形式不僅可以培養更多、更有特色的計算機科學與技術專業人才,也可以為少數民族和少數民族地區培養更多具有高素質,國際化視野的人才。
(一)內容廣泛。《信息安全》課程包含密碼學、散列函數、報文鑒別、數字簽名、安全協議、IP安全、WEB安全、入侵檢測、惡意軟件、防火墻等。根據民族高校的特點,雖然對這門課程的定位是信息安全的入門性質課程,但是也應該包含上面的這些內容。要在教學計劃規定的36個學時中,采用雙語教學的方式,讓學生較好地掌握這些知識是一個值得探討的問題。
(二)前期知識要求比較多。要想較好地掌握這門課程,需要數學知識、數據結構、算法、計算機網絡、數據庫、軟件、操作系統等大量的前期知識。
(三)知識更新快。由于互聯網的普及,人們得到各種攻擊工具的成本越來越低,攻擊工具的自動化程度越來越高,對攻擊者的知識要求越來越低,但是攻擊的復雜度越來越高,越來越難以防范。因此相應的信息安全技術發展也是日新月異,新概念,新方法,新知識層出不窮。
根據作者這幾年對《信息安全》課程的教學實踐,發現學生對這門課的往往是一開始比較有感興趣,這是因為信息安全與現實生活聯系非常密切,學生每天都在接觸,但是在以后學習的過程中,由于某些知識復雜與掌握的困難,逐漸喪失了積極性,并無法切實感受到書本基礎知識對今后解決信息安全問題的重要性。本文提出了作者對民族高校計算機科學與技術專業《信息安全》課程雙語教學中的幾點思考。
二、雙語教學概念及模式
什么是雙語教學(Bilingual Education)?根據《朗曼應用語言學詞典》 給出的雙語教學定義“Bilingual education:The use of a second or foreign language in school for the teaching of content subject與Wikipedia給出的雙語教學定義Bilingual education involves teaching academic content in two languages,in a native and secondary language with varying amounts of each language used in accordance with the program model”定義。作者認為Wikipedia的定義更加符合我國高校雙語教學的情況。因為Wikipedia給出的雙語教學中更加強調“academic content”而不是語言本身的教學,而是學術內容的教學。這也符合《雙語教學示范課程建設項目評審指標體系》中對雙語教學的定義“雙語教學是指將母語外的另一種外國語言直接應用于非語言類課程教學,并使外語與學科知識同步獲取的一種教學模式”。關于學界爭論的英語作為外語教學(TEFL)、“英語作為第二語言的教學(TESL)”以及“雙語教學(Bilingual Education)”之間的差異,王靜[6]進行了比較詳細的分析。
關于雙語教學的模式,有多種不同的分類,如美國的“過渡式”、加拿大等“法語浸入式”、“英語浸入式”與“英語與法語混合浸入式”、新加坡的“三向分流式”、澳大利亞“澳大利浸入式”雙語教學等模式。目前我國有的高校,比如,上海交通大學[7],清華大學等,雙語教學采用的是侵入式模式。俞理明[8]對我國雙語教學的理論依據與模式進行了深入的分析與探討。他指出現階段我國高校雙語教學的理論依據是依托課程內容教學法。常俊躍與劉莉[9]指出“內容依托”教學可被定義為“內容教學與語言教學目標的融合”。更具體地說是語言和學科知識的同步學習,即內容材料支配下的一系列語言介紹與學習。語言課程圍繞學生的學術需要和興趣,跨越語言與學科內容課程之間的障礙。它有三種元教學模式:主題式語言教學、保護式內容教學和附加式語言教學。其中在保護式內容教學中,學科知識專家用第二語言向學生教授內容課程。由學科內容教師承擔教學任務,而不是語言教師。這種模式也是我國雙語教學模式中的一種,由專業教師進行雙語教學,而不是英語教師進行雙語教學。就我國高校而言,雙語教學基本上有三種模式:第一類是全外語型的,即基本上是外語教學,教師和學生上課都使用英語,這種全英語的教學模式也稱為浸入式;第二類是混合型的,這種教學模式采用外語教材,教師用外語和漢語交替講授;最后一種叫半外語型,即采用外語教材,用漢語講授。俞理明[8]根據上海交通大學的雙語教學實踐認為我國雙語教學應該采用全英語的教學模式,也就是采用侵入式。他的這個觀點作者認為是值得商榷的。根據各個學校的情況來進行選擇,既不能一刀切,也不能人為的拔高或降低。以我國民族高校為例,大部分學生的英語水平比較低,而且層次不高,其中 60%的學生是少數民族學生,要是采用全英語的教學模式,不適合民族高校的情況,教學效果與質量也不會太好。因此中南民族大學規定雙語教學應該采用英語占50%以上的課堂教學是比較恰當的。
三、《信息安全》雙語課程教學的心得與體會
根據作者對民族高校計算機專業《信息安全》課程雙語教學的實踐,下面從教師素質、教材選擇、教學模式、考試方式四個方面,談談自己的心得與適合民族高校的若干建議。
(一)教師素質的提升
教師素質的高低在《信息安全》雙語教學中占有非常重要的作用。作為《信息安全》雙語教學教師首先要具有較強的專業能力與學術水平,這是基礎,并且對《信息安全》課程要有充分的理解與掌握,吃透課程的知識點。此外,《信息安全》雙語教學教師應該具有較強的專業英語與口語水平。具有良好的專業英語水平,可以使閱讀《信息安全》專業的相關文獻與書籍,才能獲得最新的理論知識,追蹤并掌握國外最新的信息安全技術與發展趨勢。具有良好的口語水平才可以把自己掌握的信息安全的最新知識生動準確的傳授給學生,提高學生的學習興趣與知識掌握的效果。提高教師的英語水平,有多種方法,比如對雙語教師送到國內外進行培訓,這種方式效果較好,但是從時間、費用來考慮代價較大。筆者認為一個經濟有效的方法是充分利用網絡,對國外著名大學的計算機科學與技術專業的《信息安全》課程的一些視頻進行學習與研究。一方面可以提高教師的專業水平,另外還可以學習國外名校的授課模式與方法,進行改造后,應用到教學中,提高教學質量。
(二)教材選擇
一本適合各自學校的難易適中的教材無論是對學生還是教師來說,都非常重要。目前關于雙語教材的來源主要有兩種:一種是學校組織信息安全專業的教師自己編寫教材,筆者認為此種方法值得商榷。雖然經過國家及學校對海外優秀人才進行了大量引進,同時也把國內教師送到國外進行進修與培訓,都具有了相當的英語水平。但是由于具有中文背景,編寫的“教材”看起來比較適合中國的閱讀習慣。編寫的“教材”作為補充教輔材料是可以的,不適和作為學生使用的教材。因為不能夠更好訓練學生的英語能力,不能使學生建立用英語模式進行表達的習慣。另外一種方式是使用國外編寫的經典教材,比如,筆者學校選用的教材是William Stallings編寫的,多次獲得美國計算機科學和工程教材委員會最佳教材大獎的《Cryptography and Network Security Principles and Practices》作為教材。雖然國外編寫的教材不一定非常適合各個學校的實際情況,同時對學生來說,增加學習的難度。但是筆者認為這可以通過一定的方式進行處理。最重要的是在開始階段,給學生一個正確的英語表達習慣。
(三)教學模式
雙語教學的授課方式與非雙語教學相比,存在較大差距。主要受制英語的表達與理解、學生的英語水平。作者在雙語教學的課堂教學中,采用了互動教學法,情景教學法等,既增加學生學習的興趣又提高了教學質量。比如在講授安全協議這部分內容時,首先用英語講授安全協議執行的過程,讓后讓同學扮演不同的角色,一個是消息的發送者,一個是消息的接受者,一個是攻擊者。讓他們來模仿協議的執行,并且用中文表達出來,來加深對安全協議的理解。另外在講授密碼學部分時,首先用中文講述一些和密碼學發展的一些小故事,來提高學生學習的興趣,活躍課堂氣氛,然后用英語講授密碼學知識。
在授課內容的選擇上,因為作者所選的教材包含的內容較多,根據民族高校學生的特點,進行了恰當的取舍。在授課內容上,采用循序漸進的方式,剛開始的部分講授的慢一些,課堂上英語少一點,中文多一點;在學生建立了信息安全的基本的概念后,可以加快講授的速度與增加英語授課的比例。另外在授課過程中,強調基本的概念和基本方法,對一些基本的概念和方法進行多次的重復。而對方法的細節可以不講,或用中文講授,這樣學生比較容易接受。
充分利用教材,比如我們選擇的國外原版教材組織的非常合理,每一章都有key idea 和key terms。在課堂講授中,可以首先讓學生翻譯一下上一章的key idea以及terms,及鍛煉了學生的英語翻譯能力,又達到了復習上一章的目的。
根據《信息安全》課程前期知識需要比較多的特點,在授課的過程中,恰當的對用到的前期知識用中文進行介紹,減少學生學習的難度與對雙語課程的為難情緒。
充分利用多媒體網絡資源,提高學生的興趣和教學質量。比如筆者在講授Enigma,DES,AES密碼算法時,就是利用相應的英文教學軟件Enigma Simulator,DES Simulator,AES Flash等來講授,一方面降低了內容的難度,另一方面使學生不自覺地學會了相應的專業詞匯和英文表達,提高了英文閱讀技能,提高了學生的學習興趣。同時提供國外大學《信息安全》課程網站與信息安全某一領域的專業網站上的一些多媒體資源,讓學生在課下學習使用。一方面讓學生知道,我們所講授的內容是與國外著名大學講授的內容是保持一致的,另外一方面也開闊了學生的視野。
(四)考試方式
篇4
一、檢察機關網絡安全保密工作的重要意義
檢察機關作為國家法律監督機關,是國家司法體制的重要組成部分,是一個涉及國家秘密、檢察工作秘密,同時又大批量產生國家秘密和檢察工作秘密的重要部門。加強網絡安全保密工作,是開展反腐斗爭、打擊職務犯罪的需要;加強網絡安全保密工作,是提高辦案質量的需要;加強網絡安全保密工作,是保護公民舉報權利的需要。近年來,隨著信息化技術的高速發展,國際互聯網的廣泛應用,大量新技術、新設備的投入使用,使得大量檢察秘密信息隱于無形、傳遞快捷、復制方便,可控性弱。這種形勢下,各地各級檢察機關要確保國家秘密和檢察工作秘密的安全,保障各項檢察工作的順利開展,做好網絡安全保密工作意義重大。
二、當前基層檢察機關網絡安全存在的問題
(一)重視程度不夠,保密意識淡薄。這主要表現為對計算機、網絡的使用與管理缺乏足夠的重視,對開展網絡安全保密工作的重要性和必要性的認識上有偏差,信息化建設往往是基礎建設上去了,但同步的安全保密措施并未跟上。如:計算機密碼設置簡單,并且沒有定期更改的習慣,有些密碼甚至是公開的;處理信息的網絡沒有切實做到與互聯網的物理隔離;使用互聯網傳遞材料;用處理檢察信息的計算機上互聯網;原先用作處理信息的計算機改上互聯網,但先前計算機內存儲的信息資料卻沒有及時清理,并由此埋下了重大的安全隱患。
(二)信息網絡管理乏力,制度落實不到位。有些基層院對保密管理與信息安全的要求還僅僅停留在對紙質材料的保管回收上,而對存有大量信息的計算機設備和網絡設備安全的重要性缺乏足夠的重視。一是規章制度不健全。對計算機辦公設備和內部局域網缺乏完善的管理辦法,沒有相應的管理制度,或雖有制度,但由于制定時間較早,已經不能完全適應新形勢新發展的要求;有的制度流于形式,缺乏執行力;有的疏于管理,處于放任狀態。二是對計算機和網絡的保密管理不嚴。有法不依,有章不循,保密規章制度不落實,不能嚴格實行“專機專用”,甚至還存在“一機上多網”的違規現象。三是對網絡信息安全僅僅停留在查防病毒的層面上。對主動防止外部“黑客”的侵入和檢察信息的失泄密工作重視和管理還不夠。
(三)硬件設施不到位,網絡安全存在隱患。網絡信息安全包括兩方面:即物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護,免于破壞、丟失等。邏輯安全包括信息完整性、保密性和可用性。當前,在基層檢察機關信息化建設中普遍存在硬件設施不到位的情況,如:機房沒有達到安全標準,未真正做防盜、防靜電、防高溫等;將臺式計算機作為服務器使用,臺式計算機在一些性能上無法與服務器相比,也不能進行隨機備份,從而留下安全隱患;缺少備份服務器,如果硬盤出現故障或者數據遭到破壞,都將造成無法挽回的損失。
(四)專業技術人才匱乏,應用管理不到位。由于各方面原因,基層檢察機關缺乏專業網絡安全技術人員,網絡管理員大都“半路出家”,沒有經過比較系統、專業的計算機網絡知識學習,對一些常見的網絡故障還可以應付,而對網絡安全知識卻知之甚少,這種現狀制約了網絡信息安全建設的全面展開。同時信息化建設對檢察人員的要求相對較高,而檢察干警年齡、文化水平差距較大,信息化應用水平參差不齊,有的干警甚至不懂漢字輸入,缺乏最基本的操作能力,對網上辦公、辦案更是無從談起。檢察業務人員之前接受的教育中幾乎沒有信息技術方面的知識,信息化的運用都是依賴于后期自學和短期培訓;新招錄的專業信息技術人員對于檢察業務認識理解相對膚淺。因此,辦案人不會操作計算機,而專業技術人員又不懂辦案,缺乏檢察業務與信息化建設相結合的復合型人才。因此,全體檢察人員信息化應用管理平均水平較低,警惕性低。而安全系統總是在最薄弱的環節遭到攻擊,即便有很好的安全管理軟件,有強度很高的加密算法,軟件安全設置過于簡單,或者用戶不使用,不設密碼,也無濟于事。
三、加強基層檢察機關信息網絡保密工作的幾點建議
(一)加強人員管理,強化保密意識教育。領導務必高度重視對有關保密法規的學習和理解,要熟知檢察機關信息化建設中安全保密的有關規定,牢固樹立“保密無小事”的思想意識,切實加強對信息化建設中保密工作的組織領導,通過形式多樣的教育方式強化全體干警的保密意識,尤其對網絡技術人員進行經常性的保密知識教育.強化保密意識,增強正確認識和處理保密與辦案、檢務公開之間關系的能力。
(二)加強行政管理,建立安全防范機制。首先堅持技術層面的防范和行政管理并重的原則,根據《計算機信息系統安全與保密管理規定》,結合檢察工作的特點,制定符合實際,操作性強的規章制度,以制度管好網絡。要禁止無關人員隨便進出機房,建立健全出入工作間制度、計算機使用制度、啟用信息源的口令、用戶標識管理制度、信息介質管理、保密機和密鑰管理等制度。二要在執行制度上下功夫。嚴格按照網絡安全保密工作責任制的要求,采取積極有效措施,狠抓規章制度落實,對違反規定的行為,堅決追查處理。切實做到用制度規范行為,按職責實施管理。形成制度化、正規化的網絡安全保密管理秩序。
篇5
1基本概念
既然信息與我們的生活的關系如此密切,我們不妨談談信息是指什么。信息是人類對世界感知的記錄。信息的表現形態有字符、聲光、圖形、影像,還有一些是人類的感官無法感知的,需借助儀器才能感知的表現形態。信息處理有記錄、計算、編輯、統計、還原、傳輸、存儲、審計和重現等形式。信息的記錄不得不依靠載體,而載體又可分為存儲載體,如在人類歷史上,人們曾用甲骨、竹片、紙張、膠片、磁帶、磁芯、光盤等作為存儲載體。還有傳輸載體,如電纜、光纖、電磁波、空氣和水等。信息是我們的無形資產,它對我們如此重要,以至于我們對它的安全越來越重視。因此,我們有必要知道信息安全的五個重要屬性:真實性(reliability)、保密性(confidentiality)、完整性(integrity)、可用性(availability)。不可抵賴性(non-repudiation)。也就是說,我們在信息的應用和處理時,都要從這五個方面去考慮和權衡信息的安全。
2以現實例子解讀信息安全術語
現實中對信息安全構成的威脅就是對信息安全這五個屬性的可能的破壞。常見的破壞信息安全的情形有:未授權使用,竊取,偽裝,篡改,制造缺損,妨礙使用,否認發送過信息等。為更好地理解信息安全,我們列舉一些實例。例如,組織和個人的網站或主頁(例如網上銀行),需要密碼才能登錄;某些機密的區域通常會設置門禁。要是沒有磁卡、不通過生物信息(指紋、視網膜等)認證,人們無法進入;這些都屬于禁止未授權使用(在信息安全領域,未經授權使用,窺探,破壞信息行為的人,通常被稱為黑客)。又例如,一些人通過在網站、軟件內植入木馬,盜竊客戶的用戶密碼,從而偷竊用戶的信息,繼而盜取錢財,實施犯罪;也有人通過建立假網站,發送假電郵,在QQ中用別人的頭像冒名頂替他人,或通過電話冒充執法部門進行執法,從而詐騙錢財,這類就是典型的信息偽裝(字符的、圖案的、聲音的);有人將別人的付款、發貨、轉賬等指令的數額擅自改大或改小,以達到不當得利的非法目的。還有人暗中更改賬目,掩蓋瀆職,貪污等行為。這類行為稱為信息篡改;還有一些信息,必須完整才能應用。比如,銀行賬戶中,如果有一段時期的流水賬缺失,你就有可能無法查核你目前的賬上金額是否正確。一個企業,假如丟失了一兩個月的收支記錄。那么,這個企業就無法完成年度月平均績效的計算。這表明信息缺損,可能是一個很嚴重的事件;信息如此重要,有時敵對的雙方會用計算機技術手段,令對方在收集信息和傳遞信息時受到障礙,使對方無法分辨哪些是有用信息或無法發出信息或接收信息,導致信息交流失敗。這種手法就是妨礙使用;還有一種破壞信息安全的行為是否認發送信息。例如,有人通過網上銀行或網站炒股,利用股票價格的波動,趁機低價買入或高價拋出,從而獲利。然而,有人因為沒有把握好交易的時機,結果損失慘重。這時,這些人就有可能矢口否認自己在網絡曾經發出過要求交易機構按其要求進行交易的指令,企圖不認賬,對發過的信息進行抵賴。以上列舉了常見的涉及信息安全問題的各種實例。那么,我們如何去防范風險和維護信息安全呢?我們將從以下幾個角度,探討在計算機技術的應用中常見的信息泄漏的風險以及為保護信息安全可采取的防御措施:
3從計算機網絡結構的角度考慮信息安全
目前,單臺計算機應用已經很少見。為了互聯互通,人們都是將計算機互聯成局域網、廣域網或互聯網使用,即按照不同的人群、機構或區域,將計算機互相聯通,達到跨計算機,跨辦公室,跨建筑物,跨地區,跨城市,跨國家,甚至跨星球來使用。從而達到跨空間跨時區進行信息交流,資源共享的目的。這使人類突破了本身器官能力的限制,仿佛有了千里眼、順風耳、無影手和超級腦。從計算機網絡的角度去保障信息安全,也就是要在信息傳播的途徑上排除存在的風險因素。信息可以轉換成數據。所以信息有時又被專業人士稱為數據。信息傳播的起點,通常是某臺計算機,它可以表現為個人計算機、服務器、數據中心。傳播的途徑我們稱為鏈路。人們以邏輯劃分的鏈路,被稱為虛擬鏈路。而實體可見的鏈路,稱為物理鏈路。這些鏈路由信息的傳播載體——電纜、光纖或電磁波(無線電波)構成。信息的終點可以是另一臺計算機或展示信息的設備(如投影儀、打印機等)。要做到保障網絡安全,就等于要保障信息從起點/源主機——路途/鏈路——終點/目的主機,整個傳播過程的安全。信息在電腦網絡傳播中,在計算機技術領域,我們會用IP地址去標注信息的起點和終點。黑客在數據鏈路中截取或在數據終點提取數據,都有可能獲悉信息起點的IP。這樣,他就可以有針對性地對信息的來源計算機進行入侵,盜竊信息或發動攻擊。
3.1網絡攻擊的種類
計算機網絡常見的攻擊有:竊取權限攻擊、服務癱瘓攻擊、響應探測攻擊、篡改攻擊、假冒攻擊、口令攻擊、緩沖區溢出。
3.1.1竊取權限攻擊這類型的攻擊是通過各種手段盜取用戶的用戶名和密碼,從事侵權或違法活動。最常見的有三種:口令猜測:黑客利用人們對信息安全的意識的淡薄和懶惰的弱點進行用戶名和密碼的試探。比如,不少人用自己的名字或機器默認的admin或administrator做用戶名,用單純的數字或自然數字排列順序的組合作密碼,如1、0、123、123456、生日日期等作密碼。這樣,在眾多的用戶中,就有相當可觀的幾率猜中密碼。另外,高級的黑客編一個并不復雜的程序,用字母(包括大小寫)和數字組合,去試探某用戶的密碼,最終破解密碼。一旦黑客猜中或破解一臺機器,例如識別了基于NetBIOS的口令,他就可以控制一臺微軟的客戶機/服務器;識別了基于Telnet的口令,黑客就可以控制一臺交換機或路由器或服務器;識別了基于NFS的服務的可利用的用戶帳號和口令,黑客可通過對某機器的控制,竊取與該機器共享文件的遠端系統上的文件。因此,要預防被黑客猜中或破解口令,要選用難以猜測的口令,比如用詞、字母(大小寫區別)、標點和符號的組合。定期更換。不在公共場合使用登錄密碼或口令。如果服務支持鎖定策略,就在機器中設置鎖定。木馬病毒:也稱為特洛伊木馬(取自希臘神話的典故),是一種由黑客編寫并在用戶不知情的情況下植入到客戶系統的程序。一旦成功獲取了用戶的權限,他就可以直接遠程控制用戶的系統。這種程序也稱為后門程序。有惡意的,包括:Trojan.QQ3344、Avp32.exe和Backdoor.IRCBot,為工作而善意設計的,如:第三只眼、VNC、向日葵、pcAnywhere。預防木馬的方法是不打開來路不明的電郵,不點擊誘惑性的彈出廣告,不下載不了解的程序,不運行不了解的程序。并且可以通過網絡掃描軟件定期監測機器的TCP的服務。電子郵件轟炸電子郵件轟炸是一種有著悠久歷史的匿名攻擊。它是通過某臺主機連續不斷地向同一個IP地址發送電郵的方式。攻擊者使被攻擊者的網絡帶寬予以耗盡,致使被攻擊者無法進行電郵收發預防的手段有:在郵箱中的反垃圾或黑名單中設置攻擊者的郵件地址,達到自動刪除或拒絕來自同一電郵地址或同一主機的過量或重復的電郵。
3.1.2服務癱瘓攻擊服務癱瘓攻擊是利用計算機網絡傳輸數據的原理,通過制造異常的數據的傳遞,達到受害者的計算機服務崩潰而癱瘓。這類攻擊包括:Smurf攻擊:這種攻擊是用黑客最遲發起攻擊所用的程序名稱來命名的。其名稱來自最初發發動攻擊的程序名稱Smurf。這種攻擊是運用這樣一個原理:某個主機向另一臺主機發送一個ICMPecho請求包(例如PING)請求時,接受主機將要回應一個ICMPecho回應包。廣播地址可以同時向網絡中多臺主機發送ICMPecho請求包。因此smurf攻擊有兩種情形:
1)將受害主機地址作為源地址,向目的地址發送ICMPecho請求包,目的地址設為廣播地址。此時回復地址設置成受害主機。這樣就有大量的ICMPecho回應包淹沒受害主機,導致受害主機崩潰。此回應包的流量比ping-of-death洪水的流量高出一或兩個數量級。
2)將應答地址設置成受害網絡的,以IP地址為255結尾的廣播地址。廣播地址接收到ICMP應答包后,根據數據包傳輸協議,將向該網絡廣泛發送ICMPecho應答包來泛洪該網絡的多臺主機,導致網絡堵塞而無法傳送正常數據包。對于這類攻擊防范手段有:關閉外部入口的路由器或防火墻的廣播特性來阻止黑客利用某臺主機來攻擊某個網絡。也可在防火墻中設置策略,令其丟棄ICMP應答包。拼死它(ping-of-death):在研究計算機網絡的初期,科學家對路由器的數據包的最大尺寸設定了一個上限,不同廠商的操作系統對TCP/IP協議堆棧的實現在ICMP包上都是規定64KB,而且規定在對包的標題頭讀取后,根據該標題頭里所包含的信息來為有效載荷生成緩沖區。當產生ICMP包的尺寸超過上限或者說產生畸形的ICMP包時計算機就會出現內存分配錯誤,進而發生TCP/IP堆棧崩潰,結果導致ICMP包接受方宕機。目前的TCP/IP堆棧的實現已能應付超上限的ICMP包,大多數防火墻都有自動過濾這些超上限ICMP包的能力。在微軟公司的WindowsNT后的操作系統、linux操作系統、Solaris操作系統和MacOS操作系統都已具備抵御“拼死它”的攻擊的能力。因此,只要將防火墻進行恰當的配置,都能阻止ICMP或未知協議的此類攻擊。淚滴(tear-drop):這類攻擊是攻擊者通過偽造數據包內的IP分段或故意使IP分段位移造成TCP/IP堆棧的崩潰。原理是TCP/IP棧的實現是依賴于其信任的IP碎片的包的標題頭所含有的信息。這些信息表明IP碎片是原包的哪一段的信息。分段的次序一旦混亂。數據就無法正確重組。由于服務器的TCP/IP堆棧的實現受服務包的版本影響,要防范這類攻擊,需要更新最新服務包。或者在防火墻的設置時,對IP分段進行重組,不設置成轉發。UDP洪水式攻擊(UDPflood):這類的攻擊利用TCP/IP服務中的通信規則,如Chargen和Echo傳送或應答來摻入毫無用處的數據,并刻意使這些數據足夠大而占滿整個帶寬。使通過偽造與某一主機的Chargen服務之間的一次的UDP連接,回復地址指向開著Echo服務的一臺主機,這樣就利用了Echo的收到數據包后必回復一個數據包的特性,也利用了Chargen每收到一個UDP數據包后發回一個包含包含長度為0~512字節之間隨機值的任意字符的數據包的特性。在兩臺主機之間生成足夠多的無用數據流,如果足夠多的數據流就會導致Dos攻擊。防御措施:關掉不必要的TCP/IP服務,或者用防火墻過濾19端口的數據包即可。SYN洪水式攻擊(SYNflood):一些TCP/IP棧的實現只能通過等待從有限數量的計算機發來的ACK消息,因為他們只有有限的內存緩沖區用于創建連接。如果這一緩沖區充滿了虛假連接的初始信息,該服務器就會對接下來的連接停止響應。攻擊者就是利用“僵尸主機”向受害主機發送大量的無用的SYN數據包來占漫緩沖區時。使受攻擊主機無法創建連接。防御方法:在防火墻上過濾來自同一主機的后續連接。SYN洪水式攻擊被定義為DDos攻擊。比較難以防范。由于釋放洪水的并不尋求響應,難以鑒別出來。Land攻擊:其手段為:把SYN數據包的源地址和目標地址都設置為某個服務器地址。這使服務器向自身地址發送SYN-ACK包,結果自身地址又發出ACK消息。于是就產生一個空連接。這些空連接的累積,最終導致TIMEOUT.對Land攻擊的反應,不同的操作系統有不同。UNIX的許多實現會崩潰,WindowsNT系統會變得運行極其遲緩。防御:對防火墻進行配置,或者打最新的補丁,將那些在外部接口上進入的含有內部源地址的SYN-ACK包濾掉。(比如,包括10域、127域、192.168域、172.16到172.31域)。Fraggle攻擊:利用UDP應答而不是ICMP應答,將Smurf攻擊作簡單的修改,就變形為Fraggle攻擊。防御手段:設置防火墻,使其過濾掉UDP應答消息。
3.1.3信息收集型攻擊此類攻擊是為非法入侵他人數據做準備而收集相關信息。主要包括:體系結構刺探、利用信息服務、掃描技術。
3.1.3.1體系結構探測運用數據庫中Banner抓包器,對已知響應與來自目標主機的、對壞數據包傳遞所作出發響應之間的分析對比,可以判斷出目標主機所運行的操作系統的類型。比如,WindowsNT或Solaris。這是由于不同操作系統的TCP/IP堆棧的具體實現有所不同。抵御方法:去除或修改Banner,包括操作系統和各種應用服務的Banner,阻斷黑客識別的端口,擾亂其的攻擊計劃。
3.1.3.2掃描技術地址掃描:應用ping這樣的命令探測目標地址,對命令產生響應的就證明目標主機存在。應對策略:在防火墻上過濾掉ICMP應答消息。端口掃描:通常使用掃描軟件,大范圍地連接主機的一系列的TCP端口,掃描軟件報告有多少主機所開斷開被成功連接。阻止手段:不少防火墻能檢測到是否被掃描,并自動阻斷掃描企圖。反響映射:通過向主機發送虛假消息,然后根據返回“hostunreachable”這一響應消息特征判斷出哪些主機是存在的。這些虛假消息通常是:RESET消息、SYN-ACK消息、DNS響應包。原因是如果黑客的常規掃描手段容易被防火墻阻斷。防御:NAT和非路由服務器能夠自動抵御此類攻擊,也可以在防火墻上過濾“hostunreachable”ICMP應答。慢速掃描:通常的掃描偵測器是通過監視某個時間幀里主機發起的連接的數目(例如每秒10次)來決定是否在被掃描,這樣黑客利用掃描速度比常規慢一些的掃描軟件進行掃描,逃避掃描偵測器的發現。防御:通過引誘服務來對慢速掃描進行偵測。
3.1.3.3利用信息服務DNS域轉換:DNS協議不對域轉換或信息性的更新進行身份認證,這使得該協議被黑客以一些不同的方式加以利用。黑客只需實施一次域轉換操作就能得到一臺公共的DNS服務器的所有主機的名稱以及內部IP地址。預防:設置防火墻規則,過濾掉域轉換請求。Finger服務:黑客使用finger命令來刺探一臺finger服務器以獲取關于該系統的用戶的信息。抵御手段:關閉finger服務并獲取嘗試連接該服務的刺探方的IP地址,然后根據該IP地址在防火墻設置策略,濾掉試圖建立服務連接請求。LDAP服務:黑客使用LDAP協議窺探網絡內部的系統和它們的用戶信息。防御:在防火墻設置規則對刺探內部網絡的LDAP進行阻斷并記錄。如果在公共主機上提供LDAP服務,那么應把LDAP服務器放入DMZ采取特別保護。
3.1.4假消息攻擊用于攻擊配置不正確消息的目標。主要手段包括:DNS高速緩存污染、偽造電子郵件。DNS高速緩存污染:黑客可以將虛假信息摻入DNS服務器并把用戶引向黑客自己的主機。因DNS服務器與其他名稱服務器交換信息的時候并不進行身份驗證。防御:在防火墻上過濾入站的DNS更新,不讓外部DNS服務器更改內部服務器對內部機器的認識。偽造電子郵件:梗概:由于SMTP并不對郵件的發送者的身份進行鑒定,因此黑客可以對你的內部客戶偽造電子郵件,聲稱是來自某客戶認識并相信的人,郵件內容可能有詐騙內容,并附帶上可安裝的特洛伊木馬程序,或者是一個引向惡意網站的連接。預防方式:使用PGP等安全工具并安裝電子郵件證書。口令攻擊:盜竊的手段有對登錄密碼的破解,制造假登錄界面騙取密碼等。發動攻擊的手段有ARP攻擊、病毒攻擊等,目的就是讓信息發源地的電腦癱瘓,無法正常發送信息。防止源IP地址輕易被黑客知悉,防御:對傳輸的信息進行加密,用密文傳送信息。緩沖區溢出:因為在許多服務程序中不少粗心的程序員經常應用strcpy(),strcat()類型的不進行有效位檢查的函數,導致黑客編寫一小段利用程序就可以打開安全缺口,然后再惡意代碼綴加在有效載荷的末尾。這使當緩沖區溢出時,返回指針將指向惡意代碼,令系統控制權被黑客奪取。防御:利用SafeLib、tripwire這樣的程序保護系統,或者瀏覽最新的安全公告不斷更新操作系統。畸形消息攻擊:不同種類的操作系統在提供服務,處理信息之前沒有進行錯誤校驗,導致系統收到惡意用戶制造的畸形消息時崩潰。防御:打最新的服務補丁。上述的情形,多數發生在互聯網的計算機網絡中。而企業或機構級的局域網,也就是在企業內,主要防范的對象是社會上的黑客。這種情形通常是把業務網和互聯網做物理隔離,即業務網完全與互聯網沒有物理通路。
4從硬件發展的角度考慮信息安全
隨著計算機技術從單機應用到互聯成計算機網絡,越來越多的重要信息在互聯網上傳播。因此,防止信息泄露的手段和設備應用到計算機網絡。常用的手段和設備如下:考慮到物理安全,人們針對重要信息可能通過電磁輻射等泄漏。需要對存放絕密信息的機房進行必要的設計,如構建屏蔽室。采用輻射干擾機,防止電磁輻射泄漏機密信息。對存有重要數據庫且有實時要求的服務器必須采用UPS(不間斷穩壓電源),且數據庫服務器采用虛擬化,雙機熱備份,數據異地存儲等方式保證數據庫服務器實時對外部用戶提供服務并且能快速恢復。在計算機網絡上增設防火墻。防火墻是一個硬件設備,是網絡安全最基本、最經濟、最有效的手段之一。防火墻可以實現內部、外部網或不同信任域網絡之間的虛擬隔離,達到有效的控制對網絡訪問的作用。通常有兩種形式:
1)總部與各下屬機構的隔離和訪問控制。防火墻可以做到網絡間的單向訪問需求,過濾一些不安全服務;可以針對服務、協議、具有某種特征或類型的數據包、端口號、時間、流量等條件實現安全的訪問控制;具有很強的記錄日志的功能,可以按管理者所要求的策略來記錄所有不安全的訪問行為。
2)公開服務器與內部其他子網的隔離與訪問控制。利用防火墻可以做到單向訪問控制的功能,僅允許內部網用戶及合法外部用戶可以通過防火墻來訪問公開服務器,而公開服務器不可以主動發起對內部網絡的訪問,這樣,若公開服務器造受攻擊,內部網由于有防火墻的保護,依然是安全的。在網絡中應用安全路由器。路由器作為內外網之間數據通信的核心設備,安全路由器與普通路由器的區別在于安全路由器本身具有安全防范能力。其功能相當于“防火墻+路由器”。就網絡而言,其面臨的安全威脅主要源自于未經授權的非法網絡訪問、網絡傳輸過程中可能出現的敏感信息泄漏與遺失、數據完整性破壞及計算機病毒的傳播等幾個方面。而解決這類問題的途徑只有用法律和預防,計算機技術為預防提供了預防的可能和方法,這就產生了安全路由器。這其中,路由器作為不斷接收和轉發路由信息與IP數據報,而防火墻則是對信息及數據報的檢查篩選。只要符合安全要求的數據包才能通過內部與外部網絡之間閘口。并且對允許通過的數據包進行加密處理,強化了數據傳輸的安全。能夠有效檢測及防范各類攻擊事件的發生。在網絡中使用應用安全管理器(ASM:ApplicationSecurityManager)。網絡安全產品ASM是一款基于最先進的第三代準入控制技術的純硬件設備,秉承“不改變網絡、不裝客戶端”的特性,旨在解決網絡的合規性要求,達到“違規不入網、入網必合規”的管理規范,滿足安全等級對網絡邊界、主機保護的相應要求,同時提供更高效的、智能式的網絡防護功能。
5從軟件應用的角度考慮信息安全
這是人們通過設計一些專業的程序去檢測網絡及主機的安全隱患,防止信息泄露。而這些程序可能直接在計算機中運行,也有在專門建造的設備中運行。黑客通過軟件技術非法使用或盜竊信息的常見手法有:在運行的應用程序或鏈接中植入木馬,運用程序破解密碼,刻意傳播病毒,進行包嗅探(packetsniffing)、DHCP窺探(DHCPSnooping)、IP地址瞞騙等。首先,我談談如何避免中木馬計。當需要登錄高度保密的網站(例如,網銀等)時。打開高度保密網站前,最好重啟計算機,啟動應用程序越少越好(一些木馬是伴隨應用程序的啟動而啟動的),其他的網頁不打開或打開的網頁越少越好(部分網頁被植入了帶木馬的鏈接)。另外,打開網頁后,一定要確認網址是否正確或異常。千萬不要在不正確或有異常的登錄頁面輸入用戶名和密碼。還有,在與別人或機構交流信息時,不熟悉的人的電子郵件,不熟悉的人提供的鏈接,都不要去點擊打開。以免被誘導訪問陷阱頁面或被對方控制你的計算機。其次,我們如何去防范密碼被輕易破解?這就要求我們在設置密碼時。密碼的位數應盡可能多,盡可能復雜。應由數字、字母(區分大小寫)和字符三方面組合而成。密碼的越復雜,破解就越難,破解所需的時間也越長。密碼要定期更換。而且,密碼不能存放在有機會被人發現的媒介中(紙條、無密碼的光盤,無密碼的電子文檔)。我們必須重視信息安全,不厭其煩。在登錄程序或網站時,絕不通過別人發送的鏈接登錄,只通過直接點擊自己電腦的運行文件(自建的快捷方式)登錄程序或自己輸入網址(或自己已確認過,預先收藏的網頁)登錄重要網站。若打開別人提供的鏈接來登錄程序或網站,就給黑客提供了向你推介假登錄界面的機會。即使按上述嚴謹的方法打開登錄界面后,也要留意與平常打開的是否有異常。必須注意每一個細節,包括數字、字母、字符、界面的版面風格等。確認沒異常才輸入密碼。值得注意的是,一旦在假登錄界面輸入了密碼,你的密碼就已泄漏。如果你登錄后發現自己登錄了假系統或網站,需馬上登錄正常的系統或網站,立即修改密碼,盡可能搶先在盜賊實施盜竊行動之前。再次,我們來談論病毒傳播。計算機病毒是一些對網絡設備的設置和信息產生損害的程序。這些程序是一些懂編程的人員故意制造的。動機通常有以下幾種:針對性地進行信息破壞;通過傳播病毒造成的影響來成名,顯示自己的編程能力;對所制造的程序的危害認識不足,試驗性的把一些破壞性的程序在網絡里傳播,看看其破壞力,有進行惡作劇的心態。對于計算機病毒的防御,我們可以各種手段。例如,掃描查殺,隔斷傳播通路。目前計算機的使用前都應該安裝專業的查病毒殺病毒軟件,把病毒庫更新為最新病毒庫。計算機使用者應定期對計算機進行全盤掃描,查找病毒。如果查到有病毒,可以根據情況采取刪除,隔離病毒。殺毒軟件還有預防和及時提醒病毒入侵的作用。另一個防病毒的手段是切斷交叉感染的途徑。我們要有一個清晰的概念,凡是有信息交流,就有病毒傳播的機會。因此,在機構內的業務網,通常是禁止與互聯網交流信息,同時也禁止個人在業務網下載和上傳信息。這種禁止的手段,最常用的就是業務網和互聯網的物理隔離,將USB接口和光盤驅動器的禁用。通過BIOS和注冊表的設置,我們可以禁止U盤、移動硬盤和光驅的使用。也可以使用一些專業的應用軟件來禁止USB接口和光盤驅動器的使用。當然,禁止了U盤、移動硬盤和光驅的使用,在當代的信息時代,會給業務操作員的個人業務總結、業務匯報、業務技術交流帶來諸多不便。業務網的使用者會以各種的理由和特權企圖突破封鎖。但這種措施確實能保障業務信息的安全,阻斷了病毒的傳播途徑。是一種兩害相權取其輕的折中方案。因此,要保障業務網的信息安全,上至高層領導,下至普通員工,都很有必要嚴格遵守業務網的信息下載和上傳的安全守則。業務網的信息交流必須有專人管控。下載和上傳信息到業務網的介質(U盤、移動硬盤、可刷寫的光盤)在使用前都要查殺病毒,確保所用介質是不帶病毒或相對安全的。接下來,我們再來探討通過軟件竊取信息的手段和預防。包嗅探(PacketSniffing)是一種用于計算機網絡的竊聽形式,類似于電話網絡的搭線竊聽(Wire-tap)。它是以太網流行的一種竊聽手段。以太網是一種共享媒介網絡。這就意味著,連接于同一網段的主機的數據流(Traffic)都要經過以太網卡的過濾器。這個過濾器的作用是防止某臺主機看到已編址的數據流發送到其他站點。而嗅探程序可以關閉過濾器,使得黑客可以看到該網段所有主機數據流的行蹤。在當代的計算機網絡,某些公司的產品甚至已內置了嗅探模塊。大多數的集線器支持遠程監控協議(RMONstandard),這協議允許入侵者使用SNMP進行遠程嗅探。而SNMP具有較弱的認證能力。不少大公司也使用網絡聯盟的“分布式嗅探服務器”。有了這種服務器就能容易猜到用戶的密碼。WindowsNT的機器常常裝有“網絡監控”,它也允許遠程嗅探。這種嗅探功能在信息安全的應用中是一把雙刃劍。正義方可以利用它在信息安全中發揮監控作用。邪惡方可以利用它造成對信息安全的威脅。當今的計算機網絡越來越依賴于交換技術。妨礙包嗅探在交換技術中的發展,計算機網絡的研究人員取得了一定的成功。這些研究成果,在越來越容易在交換數據流的服務器和路由器上遠程裝入嗅探程序的今天,依然有用。然而,包嗅探程序很難探測。人們依然在堅持進行深入研究,但目前還沒有根本的解決方案。包嗅探流行的原因是它能一覽無遺。典型的嗅探項目有:SMTP,POP,IMAP數據流。它們使入侵者能讀取實際的電郵。POP,IMAP,HTTPBasic,Telnetauthentication數據流。它們使入侵者能離線讀取明文的密碼。SMB,NFS,FTP數據流。它們使入侵者能在線讀取文件。SQL數據庫。它們讓入侵者能獲悉金融交易和信用卡號。嗅探不僅能讀取信息攻破一個系統。而且可以干預一個系統。因為入侵者利用嗅探可閱讀每一個感興趣的文件。還有一種通過軟件竊取信息的手段稱為“IP哄騙”(IPSpoofing)。這是黑客在某個網段的兩個通信端點之間植入嗅探程序,扮演其中一方來劫持聯系。這通常用作發動拒絕服務攻擊,并且偽裝的IP不受干擾。從上述的分析來看,要抵御包嗅探,我們需要安裝電子證書以便進行身份認證;對傳輸的信息進行加密,用密文傳送信息;加強對數據庫的日志的察看和審計。
6小結