第一篇:基于密码技术的网络安全通信协议研究
基于密码技术的网络安全通信协议研究
摘 要:随着我国信息科学技术的快速发展,各种网络通信设备得到了大范围的推广和使用。如果某些通信协议存在安全隐患,很可能在网络应用中被其他恶意用户攻击。安全通信协议在信息传输过程中可以实现保密功能,并且为通信双方确认身份提供了便利。因此,在网络应用中保障通信协议安全十分关键。本文以密码技术为基础对网络安全通信协议进行了研究和探讨。
关键词:密码技术;网络安全;通信协议
人们将日常生活中容易理解的内容通过一定的转换或者变化,让这些内容变为不能通过常规思维理解的信息,这就是密码技术。密码技术从本质来看属于数学应用,其应用过程可以分为加密、传递和解密三步[1]。为了便于执行通信过程中的加密和解密操作,进而保障网络通信安全,人们制定了安全通信协议,该协议规定了通信双方执行各项操作的顺序与规范。安全通信协议的参与方在两个或以上,参与者在执行各步操作过程中应该按照规定依此完成,不可跳过和漏项。安全通信协议在信息传输过程中可以实现保密功能,并且为通信双方确认身份提供了便利。安全协议可以在满足网络安全的基础上,减少网络通信中影响运行效率的各种因素。本文以密码技术为基础对网络安全通信协议进行了研究和探讨。密码技术在网络通信协议中的应用
网络通信系统中可以使用密码技术对传输的信息进行加密,并且设置必要的身份鉴别,同时也可以运用授权和控制访问存取的方式保障通信安全。网络通信中的密码技术主要是对数据进行加密,在信息的传输、存储方面应用较多。从网络通信数据加密的方式来看,常见的有节点加密、链路加密等[2]。这些加密方法在应用过程中各有特点,在传输密级程度较高的信息过程中,应该综合运用多种加密方式。在实际运用过程中应该结合通信安全的需求,考虑加密技术是否会增加网络运行过程中的负荷等。由于在不同的情况下每一个通信实体具有的网络结构存在很大差异,因此实际应用过程中应该根据不同的网络结构设置安全通信协议。目前常用的安全通信协议有密钥协商、身份认证和加密等[3]。
在网络通信安全防护阶段可以综合运用信息加密、身份验证和鉴别等多种密码保护技术,以此保障网络通信安全。管理人员可以运用密码技术限制非授权用户进入系统,可综合运用身份识别、口令机制等达到目的。如果入侵者进入系统的方式比较特殊,可以运用访问控制和验证等方式达到保密信息的目的。如果入侵者能够通过特殊的方式获取保密信号,管理者应该根据实际情况对信息进行不同程度的加密。
企业级别网络可以分为商务服务网、办公网和内部信息网三部分,每一个子网对信息的安全需求不同,应该结合实际使用不同的密码技术,在降低投入成本的同时满足整体安全需求。商务服务网可以使用控制细粒度访问的方式,对用户和服务器等进行身份验证。企业内部信息网不仅需要防止非法入侵以及外部用户的非法访问,也需要对内部用户进行管理,适当控制内部用户的对外访问。办公网是企业网络的核心,禁止信息从网络向外部流动,并且在用户和服务器之间设置安全通道,在安全通道中设置身份认证等,避免外部用户进入办公网络中。基于密码技术的网络安全通信协议对策
在深入分析企业级网络通信协议的安全需求后,我们可以充分结合密码技术以及现有的设备和技术,在网络系统中保障安全保密技术和保密模式的一致性,将密码、秘钥等集中起来进行统一管理,密码的处理使用专用的硬件,以此保障企业级网络系统的安全。常用的网络通信安全协议对策有:
⑴将VPN设备接入内网的路由器节点中,构建一个VPN的专用安全通道,对VPN通道中的信息进行认证和加密,以IPSEC作为参考。虚拟专用网络(VPN)是信息网络中的一项新技术,在企业网络中设置独立的VPN设备,可以在不提高运营成本的前提下保障各种信息数据的交换安全,运用这种方式也可以避免在WAN中投入过多的成本,并且能够充分利用各种信息资源。VPN的专用安全通道可以对各种数据进行封装传输,并且各种信息均经过密钥处理,可以在公共网络上安全地传输和通信。
⑵在网络的重要服务器配置或者用户终端设置密码机,将端端加密和节点加密等密码技术应用于特殊系统中,在系统标准应用方面提供加密或者身份认证等服务。在通信网络中建立密码逻辑管理中心,对用户密码机、专用密钥等进行分配与管理,以此更好地管理各种网络安全设备或者密钥等。
⑶将安全授权、设备控制应用于企业网络各子网的重要节点上,实现接入口的身份认证和用户授权,制定并合理配置各种细粒度安全策略,让加密和鉴别等为网络通信细粒度访问控制把关。在内外信息网络中设置网络防火墙,有效隔离企业网络中的业务子网络,对网络中的出入路由器进行控制,较粗粒度地进行进出数据控制,确保数据传输和通信过程中的保密性,在不同层次的安全访问控制过程中使用较粗粒度控制。结语
在计算机信息网络应用范围不断扩展的同时,网络通信安全问题也变得更为严峻。因此,在网络中综合利用密码技术以及各种安全通信技术,能够避免网络通信信息受到侵害,保障信息数据的传输安全,这对于促进信息化的发展具有十分重要的意义。
[参考文献]
[1]吴钰锋,刘泉,李方敏.网络安全中的密码技术研究及其应用[J].真空电子技术,2011(06).[2]喻建文,李雯.基于密码技术的网络安全服务的实现机制[J].计算机与数字工程,2012(03).[3]夏清国,姚群,高德远.信息安全中密码技术的分析及研究[J].现代电子技术,2011(03).
第二篇:密码技术
密码技术
简介
密码学(在西欧语文中之源于希腊语kryptós,“隐藏的”,和gráphein,“书写”)是研究如何隐密地传递信息的学科。在现代特别指对信息以及其传输的数学性研究,常被认为是数学和计算机科学的分支,和信息论也密切相关。著名的密码学者Ron Rivest解释道:“密码学是关于如何在敌人存在的环境中通讯”,自工程学的角度,这相当于密码学与纯数学的异同。密码学是 信息安全等相关议题,如认证、访问控制的核心。密码学的首要目是隐藏信息的涵义,并不是将隐藏信息的存在。密码学也促进了计算机科学,特别是在于电脑与网络安全所使用的技术,如访问控制与信息的机密性。密码学已被应用在日常生活:包括自动柜员机的芯片卡、电脑使用者存取密码、电子商务等等。
术语
直到现代以前,密码学几乎专指加密算法:将普通信息(明文)转换成难以理解的资料(密文)的过程;解密算法则是其相反的过程:由密文转换回明文;密码机(cipher或cypher)包含了这两种算法,一般加密即同时指称加密与解密的技术。密码机的具体运作由两部分决定:一个是算法,另一个是钥匙。钥匙是一个用于密码机算法的秘密参数,通常只有通讯者拥有。历史上,钥匙通常未经认证或完整性测试而被直接使用在密码机上。
密码协议(cryptographic protocol)是使用密码技术的通信协议(communication protocol)。近代密码学者多认为除了传统上的加解密算法,密码协议也一样重要,两者为密码学研究的两大课题。在英文中,cryptography和cryptology都可代表密码学,前者又称密码术。但更严谨地说,前者(cryptography)指密码技术的使用,而后者(cryptology)指研究密码的学科,包含密码术与密码分析。密码分析(cryptanalysis)是研究如何破解密码学的学科。但在实际使用中,通常都称密码学(英文通常称cryptography),而不具体区分其含义。
口语上,编码(code)常意指加密或隐藏信息的各种方法。然而,在密码学中,编码有更特定的意义:它意指以码字(code word)取代特定的明文。例如,以„苹果派‟(apple pie)替换„拂晓攻击‟(attack at dawn)。编码已经不再被使用在严谨的密码学,它在信息论或通讯原理上有更明确的意义。
在汉语口语中,电脑系统或网络使用的个人帐户口令(password)也常被以密码代称,虽然口令亦属密码学研究的范围,但学术上口令与密码学中所称的钥匙(key)并不相同,即使两者间常有密切的关连。
现代密码学
现代密码学大致可被区分为数个领域。对称钥匙密码学指的是传送方与接收方都拥有相同的钥匙。直到1976年这都还是唯一的公开加密法。
现代的研究主要在分组密码(Block Cipher)与流密码(Stream Cipher)及其应用。分组密码在某种意义上是阿伯提的多字符加密法的现代化。分组密码取用明文的一个区块和钥匙,输出相同大小的密文区块。由于信息通常比单一区块还长,因此有了各种方式将连续的区块编织在一起。DES和AES是美国联邦政府核定的分组密码标准(AES将取代DES)。尽管将从标准上废除,DES依然很流行(triple-DES变形仍然相当安全),被使用在非常多的应用上,从自动交易机、电子邮件到远端存取。也有许多其他的区块加密被发明、释出,品质与应用上各有不同,其中不乏被破解者。
流密码,相对于区块加密,制造一段任意长的钥匙原料,与明文依位元或字符结合,有点类似一次垫(one-time pad)。输出的串流根据加密时的内部状态而定。在一些流密码上由钥匙控制状态的变化。RC4是相当有名的流密码。
密码杂凑函数(有时称作消息摘要函数,杂凑函数又称散列函数或哈希函数)不一定使用到钥匙,但和许多重要的密码算法相关。它将输入资料(通常是一整份文件)输出成较短的固定长度杂凑值,这个过程是单向的,逆向操作难以完成,而且碰撞(两个不同的输入产生相同的杂凑值)发生的机率非常小。
信息认证码或押码(Message authentication codes, MACs)很类似密码杂凑函数,除了接收方额外使用秘密钥匙来认证杂凑值。
公开密钥密码体系(Public Key Infranstructures,)
公开密钥密码体系,简称公钥密码体系,又称非对称密钥密码体系,相对于对称密钥密码体系,最大的特点在于加密和解密使用不同的密钥。
在对称密钥密码体系中,加密和解密使用相同的密钥,也许对不同的信息使用不同的密钥,但都面临密钥管理的难题。由于每对通讯方都必须使用异于他组的密钥,当网络成员的数量增加时,密钥数量成二次方增加。更尴尬的难题是:当安全的通道不存在于双方时,如何建立一个共有的密钥以利安全的通讯?如果有通道可以安全地建立密钥,何不使用现有的通道。这个„鸡生蛋、蛋生鸡‟的矛盾是长年以来密码学无法在真实世界应用的阻碍。
1976年,美国学者Whitfield Diffie与Martin Hellman发表开创性的论文,提出公开密钥密码体系的概念:一对不同值但数学相关的密钥,公开钥匙(或公钥, public key)与私密钥匙(私钥,private key or secret key)。在公钥系统中,由公开密钥推算出配对的私密密钥于计算上是不可行的。历史学者David Kahn这样描述公开密钥密码学;“从文艺复兴的多字符取代法后最革命性的概念。”在公钥系统中,公钥可以随意流传,但私钥只有该人拥有。典型的用法是,其他人用公钥来加密给该接受者,接受者使用自己的私钥解密。Diffie与Hellman也展示了如何利用公开钥匙密码学来达成Diffie-Hellman钥匙交换协定。
1978年,MIT的Ron Rivest、Adi Shamir和Len Adleman发明另一个公开密钥系统,RSA。
直到1997年的公开文件中大众才知道,早在1970年代早期,英国情报机构GCHQ的数学家James H.Ellis便已发明非对称密钥密码学,而且Diffie-Hellman与RSA都曾被Malcolm J.Williamson与Clifford Cocks分别发明于前。这两个最早的公钥系统提供优良的加密法基础,因而被大量使用。其他公钥系统还有
Cramer-Shoup、Elgamal、以及椭圆曲线密码学等等。
除了加密外,公开密钥密码学最显著的成就是实现了数字签名。数字签名名符其实是普通签章的数位化,他们的特性都是某人可以轻易制造签章,但他人却难以仿冒。数字签名可以永久地与被签署信息结合,无法自信息上移除。数字签名大致包含两个算法:一个是签署,使用私密密钥处理信息或信息的杂凑值而产生签章;另一个是验证,使用公开钥匙验证签章的真实性。RSA和DSA是两种最流行的数字签名机制。数字签名是公开密钥
基础建设(public key infranstructures, PKI)以及许多网络安全机制(SSL/TLS, VPNs等)的基础。
公开密钥的算法大多基于计算复杂度上的难题,通常来自于数论。例如,RSA源于整数因子分解问题;DSA源于离散对数问题。近年发展快速的椭圆曲线密码学则基于和椭圆曲线相关的数学难题,与离散对数相当。由于这些底层的问题多涉及模数乘法或指数运算,相对于分组密码需要更多计算资源。因此,公开密钥系统通常是复合式的,内含一个高效率的对称密钥算法,用以加密信息,再以公开密钥加密对称钥匙系统所使用的钥匙,以增进效率。
基于身份认证密码体系(Identity-Based Cryptograph,)
在1984年以色列科学家Shamir提出了基于标识的密码系统的概念(IBC)。在基于标识的系统中,每个实体具有一个标识。该标识可以是任何有意义的字符串。但和传统公钥系统最大的不同是,在基于标识的系统中,实体的标识本身就是实体的公开密钥。由于标识本身就是实体的公钥,这类系统就不再依赖证书和证书管理系统如PKI,从而极大地简化了管理密码系统的复杂性。在提出IBC概念的同时,Shamir提出了一个采用RSA算法的基于标识的签名算法(IBS)。但是基于标识的加密算法(IBC)长时期未能找到有效解决方法。
在2000年,三位日本密码学家R.Sakai, K.Ohgishi 和 M.Kasahara提出了使用椭圆曲线上的pairing设计基于标识的密码系统的思路。在该论文中他们提出了一种无交互的基于标识的密钥生成协议.在该系统中,他们设计了一种可用于基于标识的密码系统中的系统初始化方法和密码生成算法。
在2001年,D.Boneh和M.Franklin , R.Sakai, K.Ohgishi 和 M.Kasahara 以及C.Cocks 分别提出了三个基于标识的加密算法。前两个都是采用椭圆曲线上pairing的算法。第三种算法利用平方剩余难问题。前两种算法都采用了与中相同的思路初试化系统并生成用户的私钥。由于D.Boneh和M.Franklin提出的IBC(BF-IBC)的安全性可以证明并且有较好的效率,所以引起了极大的反响。
基于标识的密码技术在过去几年中得到快速发展。研究人员设计了大量的新密码系统。随着应用的逐渐广泛,相应算法的标准化工作也在逐步展开。IEEE P1363.3的基于标识的密码技术工作组正在进行相关算法的标准化工作。ISO/IEC已经标准化了两个基于标识的签名算法。
2007年,中国国家密码局组织了国家标识密码体系IBC标准规范
(Identity-Based Cryptograph, IBC)的编写和评审工作。由五位院士和来自党政军、科研院所的密码专家组成了评审组,对该标准规范在安全性、可靠性、实用性和创新性等方面进行了多次严格审查,2007年12月16日国家IBC标准正式通过了评审。专家们一致认定,该标准拥有独立知识产权,属于国内首创,达到了国际领先水平,并已逐步开始应用在智能密钥、加密邮件、网络安全设备等产品中中。
有关的法律禁令
密码技术长期以来都是情报或司法机构的兴趣。由于这些单位的隐密性以及禁令后个人隐私的减少,密码技术也是人权支持者关心的焦点。环绕密码技术的法律议题已有很长的历史,特别是在可以执行高品质密码的廉价计算机问世后。
在某些国家甚至本国的密码技术应用也受到了限制:
直到1999年,法国仍然限制国内密码技术的使用。
在中国,使用密码技术需要申请执照。
许多国家有更严格的限制,例如白俄罗斯、哈萨克、蒙古、巴基斯坦、俄罗斯、新加坡、突尼斯、委内瑞拉和越南。
在美国,国内密码技术的使用是合法的,但仍然有许多法律冲突。
一个特别重要的议题是密码软件与硬件的出口管制。由于密码分析在二战时期扮演的重要脚色,也期待密码学可以持续在国家安全上效力,许多西方国家政府严格规范密码学的出口。二战之后,在美国散布加密科技到国外曾是违法的。事实上,加密技术曾被视为军需品,就像坦克与核武。直到个人电脑和因特网问世后情况才改变。好的密码学与坏的密码学对绝大部分使用者来说是没有差别的,其实多数情况下,大部分现行密码技术普遍缓慢而且易出错。然而当因特网与个人电脑日益成长,优良的加密技术逐渐广为人知。可见出口管制将成为商务与研究上的阻碍。
密码技术在中国的发展状况
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安
全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。
第三篇:网络安全技术
网络安全技术
——防火墙技术与病毒
摘 要:
计算机网络安全,指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段。而计算机网络安全主要包括计算机网络安全的概况、虚拟网技术、防火墙技术、入侵检测技术, 安全扫描技术, 电子认证和数字签名技术.VPN技术、数据安全、计算机病毒等。防火墙技术作为时下比较成熟的一种网络安全技术,其安全性直接关系到用户的切身利益。针对网络安全独立元素——防火墙技术,通过对防火墙日志文件的分析,设计相应的数学模型和软件雏形,采用打分制的方法,判断系统的安全等级,实现对目标网络的网络安全风险评估,为提高系统的安全性提供科学依据。本文将以最常见的WORD宏病毒为例来解释计算机病毒传播过程。
关键词:网络安全 防火墙技术 计算机病毒
1.1 研究背景
随着互联网的普及和发展,尤其是Internet的广泛使用,使计算机应用更加广泛与深入。同时,我们不得不注意到,网络虽然功能强大,也有其脆弱易受到攻击的一面。据美国FBI统计,美国每年因网络安全问题所造成的经济损失高达75亿美元,而全求平均每20秒钟就发生一起Internet计算机侵入事件。在我国,每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时,对网络安全问题也决不能忽视。如何建立比较安全的网络体系,值得我们关注研究。
1.2 计算机病毒简介
计算机病毒是指那些具有自我复制能力的计算机程序, 它能影响计算机软件、硬件的正常运行, 破坏数据的正确与完整。计算机病毒的来源多种多样, 有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的;有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚, 因为他们发现病毒比加密对付非法拷贝更有效且更有威胁, 这种情况助长了病毒的传播。还有一种情况就是蓄意破坏, 它分为个人行为和政府行为两种, 个人行为多为雇员对雇主的报复行为, 而政府行为则是有组织的战略战术手段。另外有的病毒还是用于研究或实验而设计的“有用”程序, 由于某种原因失去控制扩散出实验室, 从而成为危害四方的计算机病毒。
1987 年, 计算机用户忽然发现, 在世界的各个角落, 几乎同时出现了形形色色的计算机病毒。Brain, Lenig h, IBM 圣诞树, 黑色星期五, 特别是近期发现的几种病毒, 其名气也最大, 它们是: 台湾一号病毒、DIR-Ⅱ病毒、幽灵病毒、米开朗基罗病毒等, 至今, 病毒种类已超过一万种。
1988 年底, 我国国家统计系统发现小球病毒。随后, 中国有色金属总公司所属昆明、天津、成都等地的一些单位, 全国一些科研部门和国家机关也相继发现病毒入侵。自从“中国炸弹”病毒出现后,已发现越来越多的国产病毒。比如目前国内主要有:感染Window s3.x 的“V3783”,感染Window s95/ 98的“CIH”病毒。
纵观计算机病毒的发展历史, 我们不难看出, 计算机病毒已从简单的引导型、文件型病毒或它们的混合型发展到了多形性病毒、欺骗性病毒、破坏性病毒。已从攻击安全性较低的DOS平台发展到攻击安全性较高的Window s95/ 98平台;从破坏磁盘数据发展到直接对硬件芯片进行攻击。1995 年宏病毒的出现, 使病毒从感染可执行文件过渡到感染某些非纯粹的数据文件。最近有资料显示已发现JAVA病毒, 各种迹象表明病毒正向着各个领域渗透, 这些新病毒更隐秘, 破坏性更强。
计算机病毒的种类很多, 不同种类的病毒有着各自不同的特征, 它们有的以感染文件为主、有的以感染系统引导区为主, 大多数病毒只是开个小小的玩笑。
按传染方式分类可分为引导型病毒、文件型病毒和混合型病毒3种。引导型病毒主要是感染磁盘的引导区, 系统从包含了病毒的磁盘启动时传播, 它一般不对磁盘文件进行感染;文件型病毒一般只传染磁盘上的可执行文件(COM, EXE), 其特点是附着于正常程序文件, 成为程序文件的一个外壳或部件;混合型病毒则兼有以上两种病毒的特点, 既感染引导区又感染文件, 因此扩大了这种病毒的传染途径。
按连接方式分类可分为源码型病毒、入侵型病毒和操作系统型病毒等3 种。其中源码型病毒主要攻击高级语言编写的源程序, 它会将自己插入到系统的源程序中, 并随源程序一起编译、连接成可执行文件, 从而导致刚刚生成的可执行文件直接带毒;入侵型病毒用自身代替正常程序中的部分模块或堆栈区的病毒, 它只攻击某些特定程序, 针对性强;操作系统型病毒是用其自身部分加入或替代操作系统的部分功能, 危害性较大。
病毒按程序运行平台分类可分为DOS 病毒、Windows 病毒、WindowsNT病毒、OS/2 病毒等, 它们分别是发作于DOS,Windows9X,WindowsNT, OS/2等操作系统平台上的病毒。而计算机病毒的主要危害:不同的计算机病毒有不同的破坏行为, 其中有代表性的行为如下: 一是攻击系统数据区, 包括硬盘的主引导扇区、Boot 扇区、FAT 表、文件目录。一般来说, 攻击系统数据区的病毒是恶性病毒, 受损的数据不易恢复。二是攻击文件, 包括删除、改名、替换文件内容、删除部分程序代码、内容颠倒、变碎片等等。三是攻击内存。
1.3防火墙概述
随着Internet的迅速发展,网络应用涉及到越来越多的领域,网络中各类重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题,使得网络安全问题越来越突出。因此,保护网络资源不被非授权访问,阻止病毒的传播感染显得尤为重要。就目前而言,对于局部网络的保护,防火墙仍然不失为一种有效的手段,防火墙技术主要分为包过滤和应用代理两类。其中包过滤作为最早发展起来的一种技术,其应用非常广泛。
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。[4]防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙提供信息安全服务,是实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网络和互联网之间的任何活动,保证了内部网络的安全。
2.防火墙的原理及分类
顾名思义,包过滤防火墙[9]就是把接收到的每个数据包同预先设定的包过滤规则相比较,从而决定是否阻塞或通过。过滤规则是基于网络层IP包包头信息的比较。包过滤防火墙工作在网络层,IP包的包头中包含源、目的IP地址,封装协议类型(TCP,UDP,ICMP或IP Tunnel),TCP/UDP端口号,ICMP消息类型,TCP包头中的ACK等等。如果接收的数据包与允许转发的规则相匹配,则数据包按正常情况处理;如果与拒绝转发的规则相匹配,则防火墙丢弃数据包;如果没有匹配规则,则按缺省情况处理。包过滤防火墙是速度最快的防火墙,这是因为它处于网络层,并且只是粗略的检查连接的正确性,所以在一般的传统路由器上就可以实现,对用户来说都是透明的。但是它的安全程度较低,很容易暴露内部网络,使之遭受攻击。例如,HTTP。通常是使用80端口。如果公司的安全策略允许内部员工访问网站,包过滤防火墙可能设置允所有80端口的连接通过,这时,意识到这一漏洞的外部人员可以在没有被认证的情况下进入私有网络。包过滤防火墙的维护比较困难,定义过滤规则也比较复杂,因为任何一条过滤规则的不完善都会给网络黑客造成可乘之机。同时,包过滤防火墙一般无法提供完善的日志。
应用级代理技术通过在OSI的最高层检查每一个IP包,从而实现安全策略。代理技术与包过滤技术完全不同,包过滤技术在网络层控制所有的信息流,而代理技术一直处理到应用层,在应用层实现防火墙功能。它的代理功能,就是在防火墙处终止客户连接并初始化一个新的连接到受保护的内部网络。这一内建代理机制提供额外的安全,这是因为它将内部和外部网络隔离开来,使网络外部的黑客在防火墙内部网络上进行探测变得困难,更重要的是能够让网络管理员对网络服务进行全面的控制。但是,这将花费更多的处理时间,并且由于代理防火墙支持的应用有限,每一种应用都需要安装和配置不同的应用代理程序。比如访问WEB站点的HTTP,用于文件传输的FTP,用于E一MAIL的SMTP/POP3等等。如果某种应用没有安装代理程序,那么该项服务就不被支持并且不能通过防火墙进行转发;同时升级一种应用时,相应的代理程序也必须同时升级。
代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤[10]和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用。同时 也常结合入过滤器的功能。它工作在OSI模型的最高层,掌握着应用系统中可用作安全决策的全部信息。
复合型防火墙:由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法结合起来,形成复合型防火墙产品。这种结合通常是以下两种方案。屏蔽主机防火墙体系结构,在该结构中,分组过滤路由器或防火墙与Internet相连,同时一个堡垒机安装在内部网络,通过在分组过滤器路由器或防火墙上过滤规则的设置,使堡垒机成为Internet上其他节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构:堡垒机放在一个子网内,形成非军事化区,两个分组过滤路由器放在这一子网的两端,使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中,堡垒机和分组过滤路由器共同构成了整个防火墙的安全基础。执行save命令保存退出后就可以在企业外网出口指定IP时实现防火墙数据转发以及安全保护功能了。
3.1防火墙包过滤技术发展趋势
(1)安全策略功能
一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常必要。具有用户身份验证的防火墙通常是采用应用级网关技术的,包过滤技术的防火墙不具有。用户身份验证功能越强,它的安全级别越高,但它给网络通信带来的负面影响也越大,因为用户身份验证需要时间,特别是加密型的用户身份验证。
(2)多级过滤技术
所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。在分组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等;在应用网关(应用层)一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术,它可以弥补以上各种单独过滤技术的不足。
这种过滤技术在分层上非常清楚,每种过滤技术对应于不同的网络层,从这个概念出发,又有很多内容可以扩展,为将来的防火墙技术发展打下基础。
(3)功能扩展
功能扩展是指一种集成多种功能的设计趋势,包括VPN、AAA、PKI、IPSec等附加功能,甚至防病毒、入侵检测这样的主流功能,都被集成到防火墙产品中了,很多时候我们已经无法分辨这样的产品到底是以防火墙为主,还是以某个功能为主了,即其已经逐渐向我们普遍称之为IPS(入侵防御系统)的产品转化了。有些防火墙集成了防病毒功能,通常被称之为“病毒防火墙”,当然目前主要还是在个人防火墙中体现,因为它是纯软件形式,更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播,比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少公司的损失。
3.1防火墙的体系结构发展趋势
随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外,在以后几年里,多媒体应用将会越来越普遍,它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要,一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。
与基于ASIC的纯硬件防火墙相比,基于网络处理器的防火墙具有软件色彩,因而更加具有灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流,比起前两种类型的防火墙具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性,这就使得它缺乏灵活性,从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性,使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。参考文献
[1] 艾军.防火墙体系结构及功能分析[J].电脑知识与技术.2004,(s):79一82.[2] 高峰.许南山.防火墙包过滤规则问题的研究[M].计算机应用.2003,23(6):311一312.[3] 孟涛、杨磊.防火墙和安全审计[M].计算机安全.2004,(4):17一18.[4] 郑林.防火墙原理入门[Z].E企业.2000.[5] 魏利华.防火墙技术及其性能研究.能源研究与信息.2004,20(l):57一62
[6] 李剑,刘美华,曹元大.分布式防火墙系统.安全与环境学报.2002,2(l):59一61
[7] 王卫平,陈文惠,朱卫未.防火墙技术分析.信息安全与通信保密.2006,(8):24一27
[8] 付歌,杨明福.一个快速的二维数据包分类算法.计算机工程.2004,30(6):76一78
[9] 付歌,杨明福,王兴军.基于空间分解的数据包分类技术.计算机工程与应用.2004(8):63一65
[10] 〕韩晓非,王学光,杨明福.位并行数据包分类算法研究.华东理工大学学报.2003,29(5):504一508
[11] 韩晓非,杨明福,王学光.基于元组空间的位并行包分类算法.计算机工程与应用.2003,(29):188一192
[12] 冯东雷,张勇,白英彩.一种高性能包分类渐增式更新算法.计算机研究与发展.2003,40(3):387一392
第四篇:网络安全技术
网络信息安全与策略
【摘要】随着我国网路信息科技的高速发展,网络信息安全问题日益突出。以网络方式获取信息和交流信息已成为现代信息社会的一个重要特征。网络给人们生活带来极大便利的同时,也给许多部门、单位和个人带来了极大的风险,造成严重的经济损失。最新报道:央视《经济半小时》播出“我国黑客木马形成产业 2009年收入可超百亿元”节目,可以看出黑客通过网络传播木马的严重性。本文主要探讨了网络信息安全中存在的威胁,并提出了相应的技术保障和对策。【关键字】网络
信息
安全
黑客
病毒
技术
一、网络信息安全的内涵
在网络出现以前,信息安全是指为建立信息处理系统而采取的技术上和管理上的安全保护以实现电子信息的保密性、完整性、可用性、可控性和不可否认性。当今信息时代,计算机网络已经成为一种不可缺少的信息交换工具。然而,由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性,再加上本身存在的技术弱点和人为的疏忽,致使网络易受计算机病毒、黑客或恶意软件的侵害。面对侵袭网络安全的种种威胁,必须考虑信息的安全这个至关重要的问题。
网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全,即硬件平台、操作系统、应用软件;运行服务安全,即保证服务的连续性、高效率。信息安全则主要是指数据安全,包括数据加密、备份、程序等。
1.网络信息安全的内容
(1)硬件实体安全。即网络硬件和存储媒体的安全。要保护这些硬设施不受损害,能够正常工作;预防地震、水灾、飓风、雷击等的措施;满足设备正常运行环境要求;防止电磁辐射、泄露;媒体的安全备份及管理等。
(2)软件系统安全。即计算机程序和文档资料及其网络中各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效,不被非法复制。
(3)运行服务安全。即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。
(4)数据信息安全。即网络中存储及流通数据的安全。要保护网络中的数据文件和数据信息在传输过程中不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。
2.网络信息安全的目标
(1)保密性。保密性是指利用密码技术对敏感信息进行加密处理同时采取抑制、屏蔽措施防止电磁泄漏,保证信息只有合法用户才能利用,而不会泄露给非授权人、实休。
(2)完整性。完整性是指信息未经授权不能被修改、不被破坏、不被插人、不迟延、不乱序和不丢失的特性。对网络信息安全进行攻击的最终目的就是破坏信息的完整性。
(3)可用性。可用性是指合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问到信息。
(4)可控性。可控性是指授权机构对信息的内容及传播具有控制的能力的特性,可以控制授权范围内的信息流向以及方式。
(5)不可否认性。不可否认性是指在信息交流过程结束后,通信双方不能抵赖曾经做出的行为,也不能否认曾经接收到对方的信息。
二、网络信息安全面临的威胁
1.操作系统自身的因素
无论哪一种操作系统,其体系结构本身就是不安全的一种因素。由于操作系统的程序是可以动态连接的,包过I/O的驱动程序与系统服务都可以用打补丁的方法升级和进行动态连接。而这种动态连接正是计算机病毒产生的温床,该产品的厂商可以使用,“黑客”成员也可以使用。因此,这种打补丁与渗透开发的操作系统是不可能从根本上解决安全问题。
2.网络协议和软件的安全缺陷
因特网的基石是TCP/IP协议簇,该协议簇在实现上力求效率,而没有考虑安全因素,因为那样无疑增大代码量,从而降低了TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的。很容易被窃听和欺骗:大多数因特网上的流量是没有加密的,电子邮件口令、文件传输很容易被监听和劫持。很多基于TCP/IP的应用服务都在不同程度上存在着安全问题,这很容易被一些对TCP/IP十分了解的人所利用,一些新的处于测试阶级的服务有更多的安全缺陷。缺乏安全策略:许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被内部人员滥用,黑客从一些服务中可以获得有用的信息,而网络维护人员却不知道应该禁止这种服务。配置的复杂性:访问控制的配置一般十分复杂,所以很容易被错误配置,从而给黑客以可乘之机。TCP/IP是被公布于世的,了解它的人越多被人破坏的可能性越大。现在,银行之间在专用网上传输数据所用的协议都是保密的,这样就可以有效地防止入侵。当然,人们不能把TCP/IP和其实现代码保密,这样不利于TCP/IP网络的发展。
3.电脑黑客攻击多样化
进人2006年以来,网络罪犯采用翻新分散式阻断服务(DDOS)攻击的手法,用形同互联网黄页的域名系统服务器来发动攻击,扰乱在线商务。宽带网络条件下,常见的拒绝服务攻击方式主要有两种,一是网络黑客蓄意发动的针对服务和网络设备的DDOS攻击;二是用蠕虫病毒等新的攻击方式,造成网络流量急速提高,导致网络设备崩溃,或者造成网络链路的不堪负重。
调查资料显示,2006年初发现企业的系统承受的攻击规模甚于以往,而且来源不是被绑架的“僵尸”电脑,而是出自于域名系统(DNS)服务器。一旦成为DDOS攻击的目标,目标系统不论是网页服务器、域名服务器,还是电子邮件服务器,都会被网络上四面八方的系统传来的巨量信息给淹没。黑客的用意是借人量垃圾信息妨碍系统正常的信息处理,借以切断攻击目标对外的连线。黑客常用“僵尸”电脑连成网络,把大量的查询要求传至开放的DNS服务器,这些查询信息会假装成被巨量信息攻击的目标所传出的,因此DNS服务器会把回应信息传到那个网址。
美国司法部的一项调查资料显示,1998年3月到2005年2月期间,82%的人侵者掌握授权用户或设备的数据。在传统的用户身份认证环境下,外来攻击者仅凭盗取的相关用户身份凭证就能以任何台设备进人网络,即使最严密的用户认证保护系统也很难保护网络安全。另外,由于企业员工可以通过任何一台未经确认和处理的设备,以有效合法的个人身份凭证进入网络,使间谍软件、广告软件、木马程序及其它恶意程序有机可乘,严重威胁网络系统的安全。有资料显示,最近拉美国家的网络诈骗活动增多,作案手段先进。犯罪活动已经从“现实生活转入虚拟世界”,网上诈骗活动日益增多。
4计算机病毒
计算机病毒是专门用来破坏计算机正常工作,具有高级技巧的程序。它并不独立存在,而是寄生在其他程序之中,它具有隐蔽性、潜伏性、传染性和极大的破坏性。随着网络技术的不断发展、网络空间的广泛运用,病毒的种类急剧增加。目前全世界的计算机活体病毒达14万多种,其传播途径不仅通过软盘、硬盘传播,还可以通过网络的电子邮件和下载软件传播。从国家计算机病毒应急处理中日常监测结果来看,计算机病毒呈现出异常活跃的态势。据2001年调查,我国约73%的计算机用户曾感染病毒,2003年上半年升至83%。其中,感染3次以上的用户高达59%,而且病毒的破坏性较大。被病毒破坏全部数据的占14%,破坏部分数据的占57%。只要带病毒的电脑在运行过程中满足设计者所预定的条件,计算机病毒便会发作,轻者造成速度减慢、显示异常、丢失文件,重者损坏硬件、造成系统瘫痪。
5.人性的脆弱性
人们与生俱来就有信任他人、乐于助人以及对未知事物的好奇心等弱点。狡猾的电脑黑客往往利用这些弱点,通过E-mail、伪造的Web网站、向特定的用户提几个简单的问题的伎俩,骗取公司的保密资料或从个人用户那里骗取网上购物的信用卡、用户名和密码,达到入侵网络信息系统的目的,使得那些采用多种先进技术的安全保护措施形同虚设。
6管理因素
用户安全意识淡薄, 管理不善是当前存在的一个严重的问题。目前我国安全管理方面存在的问题主要有: 一是缺乏强有力的权威管理机构, 由于我国网络安全立法滞后, 安全管理部门受人力、技术等条件的限制影响着安全管理措施的有效实施。二是缺乏安全审计,安全审计是把与安全相关的事件记录到安全日志中,我国现有的网络系统大多数缺少安全审计, 安全日志形同虚设。三是安全意识淡薄。人们对信息安全认识不够, 过分依赖信息安全产品, 缺乏细致的内部网络管理机制, 一些用户警惕性不高, 操作麻痹, 甚至把自己账号随意给他人。
三、保障网络信息安全的对策和技术
1.安全通信协议和有关标准。
在网络安全技术应用领域,安全通信协议提供了一种标准,基于这些标准,企业可以很方便地建立自己的安全应用系统。目前主要的安全通信协议有SSL(TLS)、IPsec和S/MIME SL提供基于客户/服务器模式的安全标准,SSL(TLS)在传输层和应用层之间嵌入一个子层,主要用于实现两个应用程序之间安全通讯机制,提供面向连接的保护;IP安全协议(IPsec)提供网关到网关的安全通信标准,在网络层实现,IPsec能够保护整个网络;S/MIME在应用层提供对信息的安全保护,主要用于信息的安全存储、信息认证、传输和信息转发。三种安全通信协议虽然均提供了类似的安全服务,但是他们的具体应用范围是不同的,在实际应用中,应根据具体情况选择相应的安全通信协议。
2.防火墙技术
防火墙技术是为了保证网络路由安全性而在内部网和外部网之间的界面上构造一个保护层。所有的内外连接都强制性地经过这一保护层接受检查过滤,只有被授权的通信才允许通过。防火墙的安全意义是双向的,一方面可以限制外部网对内部网的访问,另一方面也可以限制内部网对外部网中不健康或敏感信息的访问。同时,防火墙还可以对网络存取访问进行记录和统计,对可疑动作告警,以及提供网络是否受到监视和攻击的详细信息。防火墙系统的实现技术一般分为两种,一种是分组过滤技术,一种是代理服务技术。分组过滤基于路由器技术,其机理是由分组过滤路由器对IP分组进行选择,根据特定组织机构的网络安全准则过滤掉某些IP地址分组,从而保护内部网络。代理服务技术是由一个高层应用网关作为代理服务器,对于任何外部网的应用连接请求首先进行安全检查,然后再与被保护网络应用服务器连接。代理服务技术可使内、外网络信息流动受到双向监控。
3.访问拉制技术
访问控制根据用户的身份赋予其相应的权限,即按事先确定的规则决定主体对客体的访问是否合法,当一主体试图非法使用一个未经授权使用的客体时,该机制将拒绝这一企图,其主要通过注册口令、用户分组控制、文件权限控制三个层次完成。此外,审计、日志、入侵侦察及报警等对保护网络安全起一定的辅助作用,只有将上述各项技术很好地配合起来,才能为网络建立一道安全的屏障。
4.反病毒软件
反病毒软件已成为人们抵御病毒进攻的有力武器。目前的反病毒软件具有几项技术特色。首先, 出现了病毒防火墙。该技术为用户提供了一个实时监防止病毒发作的工具,它对用户访问的每一个文件进行病毒检测, 确认无毒后才会让系统接管进行下一步的工作。其次, 反病毒软件提出了在线升级的方式。第三, 完成了统一的防病毒管理。第四,嵌入式查毒技术的形成, 它将杀毒引擎直接嵌挂到IE 浏览器和流行办公软件Office2003 和OfficeXP 组件当中,使其与可能发生病毒侵扰的应用程序有机地结合为一体, 在占用系统资源最小的情况下查杀病毒。
5.入侵检测技术
随着网络安全风险系数的不断提高, 作为对防火墙及其有益的补充, IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力包括安全审计、监视、进攻识别和响应, 提高了信息安全基础结构的完整性。入侵检测系统是一种对网络活动进行实时监测的专用系统, 该系统处于防火墙之后, 可以和防火墙及路由器配合工作, 用来检查一个LAN 网段上的所有通信,记录和禁止网络活动,可以通过重新配置来禁止从防火墙外部进入的恶意流量。入侵检测系统能够对网络上的信息进行快速分析或在主机上对用户进行审计分析, 通过集中控制台来管理、检测。
6.PKI技术
PKI是在公开密钥理论和技术基础上发展起来的一种综合安全平台,能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理,从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。利用PKI可以方便地建立和维护一个可信的网络计算环境,从而使得人们在这个无法直接相互面对的环境里,能够确认彼此的身份和所交换的信息,能够安全地从事商务活动。目前,PKI技术己趋于成熟,其应用已覆盖了从安全电子邮件、虚拟专用网络(VPN),Web交互安全到电子商务、电子政务、电子事务安全的众多领域,许多企业和个人已经从PKI技术的使用中获得了巨大的收益。
在PKI体系中,CA(CertificateAuthority,认证中心)和数字证书是密不可分的两个部分。认证中心又叫CA中心,它是负责产生、分配并管理数字证书的可信赖的第三方权威机构。认证中心是PKI安全体系的核心环节,因此又称作PKI/CA。认证中心通常采用多层次的分级结构,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。数字证书,又叫“数字身份证”、“数字ID”,是由认证中心发放并经认证中心数字签名的,包含公开密钥拥有者以及公开密钥相关信息的一种电子文件,可以用来证明数字证书持有者的真实身份。
7.增强网络安全意识
利用讲座和电视视频直播给上网的朋友们普及有关网络安全知识,使他们知道网络中时时刻刻都存在潜在的威胁,可能会带来经济损失和精神损失。同时,还要让他们知道一切不明身份的垃圾邮件千万不要打开,因为它可能给你的电脑带进病毒。通过事实中的案例告诉网民在网络中做任何事情一定不要放松自己的警惕,加强自己电脑的杀毒软件,多关注网上欺骗手段的视频。总之,利用一切可以利用的手段加强网民的网络安全意识。
8.法律保护
随着互联网技术的发展,大量的信息在互联网上进行传播,不可避免地会侵犯他人的合法权益,而且这种侵犯将因为互联网比其他媒体更有广泛的影响而加重侵权的严重程度。从这个意义上来说,一个人可以不上网,但是他的合法权益被他人通过互联网侵犯却是有可能的,因此,加强与互联网相关的立法建设,对于全体国民都是非常重要的。
四、结论
随着信息技术的飞速发展,网络及网络信息安全技术已经深入到了社会的多个领域。网络和信息时代给我们带来技术进步和生活便利的同时,也给国家和个人都带了巨大经济损失。网民要加强自己的防范意识,保证自己的财产不受到侵犯。我还希望国家相关部门规范网络信息安全标准,加快先进技术的研发来保障网络通讯的安全。同时,加强相关法律法规的力度来保证人民的根本利益,为我们提供一个安全的网络环境。参考文献:
[1]庞淑英.网络信息安全技术基础及应用.2009 [2]李俊宇.信息安全技术基础冶金工业出版社.2004.12 [3]王丽辉.网络安全及相关技术吉林农业科技学院学报,第19卷第2期.2005 [4]何万敏.网络信息安全与防范技术甘肃农业.2005年第1期 [5]黄慧陈阂中.针对黑客攻击的预防措施计算机安全.2005 [6]王云峰.信息安全技术及策略[J].广东广播电视大学学报,2006
第五篇:《网络安全――密码安全》教学案例
《网络安全――密码安全》教学案例
一、教学目标设计
1、知识目标
通过QQ密码破解等实例向学生说明网络密码安全防范的重要性,并向学生介绍如何提高网络安全,特别是密码安全问题。
2、能力目标
通过多媒体网络教学和实践操作,培养学生自主学习的能力和团体合作精神,培养他们获取、处理和应用信息的良好信息素养,培养他们自主、创造性地学习和活动,充分发展学生个性,促进学生心理品质发展和社会技能的进步。
3、情感目标
通过观察、实践操作、搜集和交流信息,体验菜鸟黑客网上破密,让学生对网络安全中的密码安全问题有一个概括的了解,从而培养网络安全防范意识。
二、教学内容分析
这是在Internet上完后增加的一堂课外知识课,教学分三部分:
第一部分让学生填写“情况调查”网页,了解学生的“网络安全”防范意识。
第二部分向学生介绍几种QQ密码的破解过程
第三部分引导学生提高网络安全防范意识。
三、教学对象分析
参加本课学习的对象是小学五年级的学生,他们已经过一段时间的计算机学习,计算机操作较熟练,学生已具有初步的发现问题和解决问题的能力,网络安全问题是他们在网上冲浪时较关心的问题,让学生去操作、去尝试,体会自己探索的成功感,从而充分激发起学习兴趣,调动起学习积极性和主动参与意识。
四、教学思路和教学软件设计
根据教学对象分析和教学目标,采取以下教学流程:情况调查——引导探究——网上交流——归纳小结——网络资料。通过演示讲授和学生操作计算机,以讲解法、互动讨论法组织整个教学过程。
五、网络教学环境设计
本堂课的教学地点将在网络教室,能与因特网相连,计算机像笔、纸、书本一样,成了学生学习的工具。整节课采用了多种工具软件,课前用Authorware制作了一个课件,充当上课的板书使用,用Lanstar进行多媒体网络教学,利用Webzip下载了一些软件,如QQ秘密潜入工具、QQ密码好好盗工具、天网防火墙等,利用DreamWeaver制作了网站《网络安全――密码安全》,将教学中要利用的网上信息通过超级链接与网站中有关内容相连,学生使用IE可以快速的访问教师的网站,进行资料的查看、情况调查、及利用网页中的留言板发表自己的想法,全班围绕网络安全问题进行交流学习。
六、教学过程设计与分析
本课力图体现基于在网络环境下开展学生积极性学习,以网络为手段,以学生为主体,是学生自主探索、发现新知的过程。教师在教学过程中起组织者、辅导者、参与者和促进者的作用。通过学习,提高学生发现、吸收新信息和提出新问题的能力,最终培养学生创造性地解决问题的学习方式。
(一)创设情景,导入新课
教师讲述:在网络世界和信息时代里,几乎每个人都面临着安全威胁。平时
第 1 页 不注意安全,往往在付出惨重的代价时才后悔。今天我们通过填写网页中的调查表来了解一下网络安全这个问题。
学生行为:填写网络安全情况调查表
1、曾经听别人说过QQ号、邮箱号或其它用户帐号被盗的情况?
未听说
听说
2、你自己的QQ号、邮箱号或其它用户帐号被盗?
没有
有
3、你平时设置的密码大都是以下列哪种方式设置? 电话号码
生日号码
姓名
其它(还包含其它的特殊符
号)用以上方式混合设置
4、你认为你的用户帐号绝对安全吗?
是
不是
不知道
教师行为:查看调查结果,以柱状图的形式直观的体现调查的结果,如下图:
设计思路及分析:利用网页直观显示调查结果的方式,向学生说明提高网络安全防范意识的重要性。直观的网上调查和显示结果,也为学习者提供多样化的外部刺激,吸引学生深入学习计算机主动性,唤起学生的求知欲,激发学习的兴趣。
(二)演示指导学习,掌握网络安全知识 教师行为:
1、使用LanStar在计算机屏幕上显示: QQ密码盗取及防范
第一种:在线破解及防范 第二种:木马窃密及防范 第三种:秘密潜入及防范
2、教师操作讲解:
QQ密码被盗的第一种方法是“在线破解”。这种盗号方式最大的好处就是想破解哪个号码就破解哪个,少则几分钟就能破解,为学生准备的软件有“QQ在线破解器”,只作说明,并不实地演示
第二种是使用木马偷取。给学生准备“好友号好好盗”这个软件,这是一个通过将木马邦定在一个图片上的盗取QQ号的软件,使用简单方便。
第三种是QQ秘密潜入。给学生准备“QQ秘密潜入”这个软件,这是一个只针对0630版QQ起作用的秘密潜入QQ软件。
第 2 页
3、教师小结:网络中没有绝对的安全,如何防范QQ密码被盗?引导学生自主学习,成了真正的学生学习的指导者,为学生提供适当的帮助和指导,对学生的学习情况进行监控,对学生学习中遇到的问题个别解决,促进学生的学习进程。
学生行为:
1、在学习目标的指导下,利用教师准备好的网站进行自主探究,通过对相关站点,超级链接进行访问。
2、积极思考教师所提出的问题。(1)如何防范QQ在线破解类软件?(2)如何防范QQ木马类软件?(3)如何防范QQ秘密潜入类软件?
3、浏览教师所提供的网站,并进一步深入思考教师所提出的问题。如:(1)http://www.xiexiebang.com/
(三)互动学习,完成弹性教学
这节课,教师提供学生交流的机会,学生们可通过互相帮助、分工合作、互相激励来促进彼此的学习,形成面对面的促进性互动。
教师作为:教师作为其中的一员参与交流,除对交流起组织作用外,还对交流作点评、导拨,引导学生协作学习。
学生行为:学生分小组自由讨论,进入网站的留言版交流各自学习的结果,并接受其他同学和教师的质询。
设计思路及分析:
同桌学生组成合作学习小组,通过留言板交流,不仅提高了学生学习的主动性和对学习的自我控制,还培养了人际合作精神和信息交流的能力,促进了心理品质发展。整个教学过程中,学生是学习过程的主体,始终拥有高度的自主性,能够对学习过程自我设计、自我控制,让学生通过网络主动探索、发现和体验、初步学会对大量信息的收集、分析和判断,学会自主创造性地学习和活动,从而发展学生的信息科技能力和创造能力。
(四)归纳小结 教师行为:
1、在学生交流的基础上,根据前面所提出的问题,帮助学生理清知识体系。
2、通过今天的学习,你们认为在网络上窃取各种密码的行为是合法的吗? 学生行为:
进一步思考教师所提出的问题。设计思路及分析:组织学生对整堂课知识的总结,引导学生增强网络法制观念和网络伦理道德观念,提高对假、丑、恶的分辨能力,使自已在网上的言行符合法律法规和社会公德的要求。
七、教学反思
采用互动试的教学模式进行多媒体网络教学,教师的教和学生的学都是围绕着如何完成一个具体的任务进行的。教师教学思路清晰,学生学习目的明确,更容易掌握学习内容。在信息技术教学中,“教师一堂言”的局面只会养成学生依赖的心理,就无法提高学生的主动参与意识。互动试的教学模式其优势是明显的,但也会存在一些问题。由于教师主要是进行方法的引导,学生有更多的时间自己
第 3 页 去动手操作,而学生的学习和操作能力是不同的,因而在同一节课内,全班同学掌握的知识多少会有不同,容易造成学生成绩两极化和教学知识点的疏漏。这就要求教师在教学中,要加强课堂小结和知识点的回顾,使得学习能力差的同学或操作有疏漏的同学能通过教师的总结和回顾,跟上教学进度,全面掌握知识点,达到教学目标。同时,要加强学生间的交流,使学生在合作中共同提高。
此外,教师根据教学内容设计任务时,还要注意根据学生的特点,尽可能设计一些带有趣味性、实用性、可行性的任务,使学生愿学、爱学、乐学,使学生在掌握信息技术的同时,有利于对学生信息素养、创新能力的培养,能得心应手地解决实际问题,使计算机真正成为他们的学习创作工具。
[参考文献]:《黑客防范100例》、网络资料 [准备资料]:课件、网站、课内介绍的几个软件
第 4 页
点击咨询 