第一篇:计算机网络安全问题结题报告
《计算机网络安全问题》结题报告
一、课题意义
计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全 包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致 因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
二、研究目标
1.让学生走出课堂、走出学校、走向社会,上互联网,开展社会调查,增加学生对网络的认识及网络用途。
2.增强学生整理、辨别、分析网络的能力,由其是能够对网络危害认识及处理的能力。
3.通过开展主题班会、学术辩论会等提高中学生对网络这把“双刃剑”的认识。
4.培养学生在研究性学习及社会实践中的团队意识、团队精神、沟通交流能力。
三、研究方式
收集整理有关计算机网络的材料、咨询指导老师、查阅书籍、上网发帖收集各界人士对网络安全的意见及建议。
四、具体内容
随着计算机技术和网络技术的发展,网络安全问题,在今天已经成为网络世界里最为人关注的问题之一 危害网络安全的因素很多,它们主要依附于各种恶意软件,其中病毒和木马最为一般网民所熟悉。针对这些危害因素,网络安全技术得以快速发展,这也大大提高了网络的安全性。以下分析了几种常见的网络入侵方法以及在此基础上探讨了网络安全的几点策略。
1、常见的几种网络入侵方法
由于计算机网络的设计初 衷是资源共享、分散控制、分组交换,这决定了互联网具有大跨度、分布式、无边界的特征。这种开放性使黑客可以轻而易举地进入各级网络,并将破坏行为迅速地在网络中传播。同时,计算机网络还有着自然社会中所不具有的隐蔽性:无法有效识别网络用户的真实身份;由于互联网上信息以二进制数码,即数字化的形式存在,所以操作者能比较容易地在数据传播过程中改变信息内容。计算机网络的传输协议及操作系统也存在设计上的缺陷和漏洞,从而导致各种被攻击的潜在危险层出不穷,这使网络安全问题与传统的各种安全问题相比面临着更加严峻的挑战,黑客们也正是利用这样的特征研发出了各种各样的攻击和入侵方法。例如:通过伪装发动攻击、利用开放端口漏洞发动攻击、通过木马程序进行入侵或发动攻击、嗅探器和扫描攻击。
为了应对不断更新的网络攻击手段,网络安全技术也经历了从被动防护到主动检测的发展过程。主要的网络安全技术包括:防火墙、VPN、防毒墙、入侵检测、入侵防御、漏洞扫描。其中防病毒、防火墙和VPN属早期的被动防护技术,入侵检测、入侵防御和漏洞扫描属主动检测技术,这些技术领域的研究成果已经成为众多信息安全产品的基础。
2、网络的安全策略具体分析
早期的网络防护技术的出 发点是首先划分出明确的网络边界,然后通过在网络边界处对流经的信息利用各种控制方法进行检查,只有符合规定的信息才可以通过网络边界,从而达到阻止对网络攻击、入侵的目的。主要的网络防护技术包括:
1.防火墙
防火墙是一种隔离控制技 术,通过预定义的安全策略,对内外网通信强制实施访问控制,常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过;状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性;应用网关技术在应用层实现,它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络,其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。
2.VPN VPN(Virtual Private Network)即虚拟专用网络,它是将物理分布在不同地点的网络通过公用骨干网连接而成的逻辑上的虚拟子网。它可以帮助异地用户、公司分支机构、商业伙伴及供应商与内部网建立可信的安全连接,并保证数据的安全传输。为了保障信息的安全,VPN技术采用了鉴别、访问控制、保密性和完整性等措施,以防止信息被泄露、篡改和复制。VPN技术可以在不同的传输协议层实现,如在应用层有SSL协议,它广泛应用于Web浏览程序和Web服务器程序,提供对等的身份认证和应用数据的加密;在会话层有Socks协议,在该协议中,客户程序通过Socks客户端的1080端口透过防火墙发起连接,建立到Socks服务器的VPN隧道;在网络层有IPSec协议,它是一种由IETF设计的端到端的确保IP层通信安全的机制,对IP包进行的IPSec处理有AH(Authentication Header)和ESP(Encapsulating Security Payload)两种方式。
3.防毒墙
防毒墙是指位于网络入口 处,用于对网络传输中的病毒进行过滤的网络安全设备。防火墙能够对网络数据流连接的合法性进行分析,但它对从允许连接的电脑上发送过来的病毒数据流却是无能为力的,因为它无法识别合法数据包中是否存在病毒这一情况;防毒墙则是为了解决防火墙这种防毒缺陷而产生的一种安全设备。防毒墙使用签名技术在网关处进行查毒工作,阻止网络蠕虫(Worm)和僵尸网络(BOT)的扩散。此外,管理人员能够定义分组的安全策略,以过滤网络流量并阻止特定文件传输、文件类型扩展名、即时通信信道、批量或单独的IP/MAC地址,以及TCP/UDP端口和协议。
3、网络检测技术分析
人们意识到仅仅依靠防护 技术是无法挡住所有攻击,于是以检测为主要标志的安全技术应运而生。这类技术的基本思想是通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统,或者更广泛意义上的信息系统的非法攻击。包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法活动。
4、主要的网络安全检测技术有: 1.入侵检测
入侵检测系统(Intrusion Detection System,IDS)是用于检测任何损害或企图损害系统的保密性、完整性或可用性行为的一种网络安全技术。它通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统,包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法活动。作为防火墙的有效补充,入侵检测技术能够帮助系统对付已知和未知网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
2.入侵防御
入侵防御系统(Intrusion Prevention System,IPS)则是一种主动的、积极的入侵防范、阻止系统。IPS是基于IDS的、建立在IDS发展的基础上的新生网络安全技术,IPS的检测功能类似于IDS,防御功能类似于防火墙。IDS是一种并联在网络上的设备,它只能被动地检测网络遭到了何种攻击,它的阻断攻击能力非常有限;而IPS部署在网络的进出口处,当它检测到攻击企图后,会自动地将攻击包丢掉或采取措施将攻击源阻断。可以认为IPS就是防火墙加上入侵检测系统,但并不是说IPS可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品,它在基于TCP/IP协议的过滤方面表现出色,同时具备网络地址转换、服务代理、流量统计、VPN等功能。
3.漏洞扫描
漏洞扫描技术是一项重要 的主动防范安全技术,它主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等,若模拟攻击成功,则表明目标主机系统存在安全漏洞。发现系统漏洞的一种重要技术是蜜罐(Honeypot)系统,它是故意让人攻击的目标,引诱黑客前来攻击。通过对蜜罐系统记录的攻击行为进行分析,来发现攻击者的攻击方法及系统存在的漏洞。
五、结束语
网络安全是一个复杂的问 题,涉及法律、管理和技术等综合方面。只有协调好三者之间的关系,构建完善的安全体系,才能有效地保护网络安全。
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
六、参考资料:
书籍资料:
1、刘占全.网络管理与防火墙[M].北京:人民邮电出版社,1999
2、葛秀慧:计算机网络安全管理(第2版).清华大学出版社, 2008,5.3、胡铮等:网络与信息安全.清华大学出版社,2006,5.4、胡道元、闵京华:网络安全.科技信息,2005,10.5、王群:计算机网络安全技术.清华大学出版社,2008,7.网站资料:
1、中国科学院计算机网络中心 http://www.xiexiebang.com
第二篇:浅谈计算机网络安全问题
1引言
随着计算机网络技术的发展,网络的安全性和可靠性已成为不同使用层次的用户共同关心的问题。人们都希望自己的网络系统能够更加可靠地运行,不受外来入侵者干扰和破坏。所以解决好网络的安全性和可靠性问题,是保证网络正常运行的前提和保障。
2网络安全的重要性
在信息化飞速发展的今天,计算机网络得到了广泛应用,但随着网络之间的信息传输量的急剧增长,一些机构和部门在得益于网络加快业务运作的同时,其上网的数据也遭到了不同程度的攻击和破坏。攻击者可以窃听网络上的信息,窃取用户的口令、数据库的信息;还可以篡改数据库内容,伪造用户身份,否认自己的签名。更有甚者,攻击者可以删除数据库内容,摧毁网络节点,释放计算机病毒等等。这致使数据的安全性和自身的利益受到了严重的威胁。根据美国FBI(美国联邦调查局)的调查,美国每年因为网络安全造成的经济损失超过170亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。超过50%的安全威胁来自内部。而仅有59%的损失可以定量估算。在中国,针对银行、证券等金融领域的计算机系统的安全问题所造成的经济损失金额已高达数亿元,针对其他行业的网络安全威胁也时有发生。
由此可见,无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。所以,计算机网络必须有足够强的安全措施。无论是在局域网还是在广域网中,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
3网络安全的理论基础
国际标准化组织(ISO)曾建议计算机安全的定义为:“计算机系统要保护其硬件、数据不被偶然或故意地泄露、更改和破坏。”为了帮助计算机用户区分和解决计算机网络安全问题,美国国防部公布了“桔皮书”(orange book,正式名称为“可信计算机系统标准评估准则”),对多用户计算机系统安全级别的划分进行了规定。
桔皮书将计算机安全由低到高分为四类七级:D1、C1、C2、B1、B2、B3、A1。其中D1级是不具备最低安全限度的等级,C1和C2级是具备最低安全限度的等级,B1和B2级是具有中等安全保护能力的等级,B3和A1属于最高安全等级。
D1级:计算机安全的最低一级,不要求用户进行用户登录和密码保护,任何人都可以使用,整个系统是不可信任的,硬件软件都易被侵袭。
C1级:自主安全保护级,要求硬件有一定的安全级(如计算机带锁),用户必须通过登录认证方可使用系统,并建立了访问许可权限机制。
C2级:受控存取保护级,比C1级增加了几个特性:引进了受控访问环境,进一步限制了用户执行某些系统指令;授权分级使系统管理员给用户分组,授予他们访问某些程序和分级目录的权限;采用系统审计,跟踪记录所有安全事件及系统管理员工作。
B1级:标记安全保护级,对网络上每个对象都予实施保护;支持多级安全,对网络、应用程序工作站实施不同的安全策略;对象必须在访问控制之下,不允许拥有者自己改变所属资源的权限。
B2级:结构化保护级,对网络和计算机系统中所有对象都加以定义,给一个标签;为工作站、终端等设备分配不同的安全级别;按最小特权原则取消权力无限大的特权用户。
B3级:安全域级,要求用户工作站或终端必须通过信任的途径连接到网络系统内部的主机上;采用硬件来保护系统的数据存储区;根据最小特权原则,增加了系统安全员,将系统管理员、系统操作员和系统安全员的职责分离,将人为因素对计算机安全的威胁减至最小。A1级:验证设计级,是计算机安全级中最高一级,本级包括了以上各级别的所有措施,并附加了一个安全系统的受监视设计;合格的个体必须经过分析并通过这一设计;所有构成系
统的部件的来源都必须有安全保证;还规定了将安全计算机系统运送到现场安装所必须遵守的程序。
在网络的具体设计过程中,应根据网络总体规划中提出的各项技术规范、设备类型、性能要求以及经费等,综合考虑来确定一个比较合理、性能较高的网络安全级别,从而实现网络的安全性和可靠性。
4网络安全应具备的功能
为了能更好地适应信息技术的发展,计算机网络应用系统必须具备以下功能:
(1)访问控制:通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
(2)检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。
(3)攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取响应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。
(4)加密通讯:主动地加密通讯,可使攻击者不能了解、修改敏感信息。
(5)认证:良好的认证体系可防止攻击者假冒合法用户。
(6)备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
(7)多层防御:攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。
(8)设立安全监控中心:为信息系统提供安全体系管理、监控、保护及紧急情况服务。5网络系统安全综合解决措施
要想实现网络安全功能,应对网络系统进行全方位防范,从而制定出比较合理的网络安全体系结构。下面就网络系统的安全问题,提出一些防范措施。
5.1物理安全
物理安全可以分为两个方面:一是人为对网络的损害;二是网络对使用者的危害。
最常见的是施工人员由于对地下电缆不了解,从而造成电缆的破坏,这种情况可通过立标志牌加以防范;未采用结构化布线的网络经常会出现使用者对电缆的损坏,这就需要尽量采用结构化布线来安装网络;人为或自然灾害的影响,需在规划设计时加以考虑。
网络对使用者的危害主要是电缆的电击、高频信号的幅射等,这需要对网络的绝缘、接地和屏蔽工作做好。
5.2访问控制安全
访问控制识别并验证用户,将用户限制在已授权的活动和资源范围之内。网络的访问控制安全可以从以下几个方面考虑。
(1)口令
网络安全系统的最外层防线就是网络用户的登录,在注册过程中,系统会检查用户的登录名和口令的合法性,只有合法的用户才可以进入系统。
(2)网络资源属主、属性和访问权限
网络资源主要包括共享文件、共享打印机、网络通信设备等网络用户都有可以使用的资源。资源属主体现了不同用户对资源的从属关系,如建立者、修改者和同组成员等。资源属性表示了资源本身的存取特性,如可被谁读、写或执行等。访问权限主要体现在用户对网络资源的可用程度上。利用指定网络资源的属主、属性和访问权限可以有效地在应用级控制网络系统的安全性。
(3)网络安全监视
网络监视通称为“网管”,它的作用主要是对整个网络的运行进行动态地监视并及时处理各种事件。通过网络监视可以简单明了地找出并解决网络上的安全问题,如定位网络故障点、捉
住IP盗用者、控制网络访问范围等。
(4)审计和跟踪
网络的审计和跟踪包括对网络资源的使用、网络故障、系统记帐等方面的记录和分析。一般由两部分组成:一是记录事件,即将各类事件统统记录到文件中;二是对记录进行分析和统计,从而找出问题所在。
5.3数据传输安全
传输安全要求保护网络上被传输的信息,以防止被动地和主动地侵犯。对数据传输安全可以采取如下措施:
(1)加密与数字签名
任何良好的安全系统必须包括加密!这已成为既定的事实。网络上的加密可以分为三层:第一层为数据链路层加密,即将数据在线路传输前后分别对其进行加密和解密,这样可以减少在传输线路上被窃取的危险;第二层是传输层的加密,使数据在网络传输期间保持加密状态;第三层是应用层上的加密,让网络应用程序对数据进行加密和解密。当然可以对这三层进行综合加密,以增强信息的安全性和可靠性。
数字签名是数据的接收者用来证实数据的发送者确实无误的一种方法,它主要通过加密算法和证实协议而实现。
(2)防火墙
防火墙(Firewall)是Internet上广泛应用的一种安全措施,它可以设置在不同网络或网络安全域之间的一系列部件的组合。它能通过监测、限制、更改跨越防火墙的数据流,尽可能地检测网络内外信息、结构和运行状况,以此来实现网络的安全保护。
(3)User Name/Password认证
该种认证方式是最常用的一种认证方式,用于操作系统登录、telnet(远程登录)、rlogin(远程登录)等,但此种认证方式过程不加密,即password容易被监听和解密。
(4)使用摘要算法的认证
Radius(远程拨号认证协议)、OSPF(开放路由协议)、SNMP Security Protocol等均使用共享的Security Key(密钥),加上摘要算法(MD5)进行认证,但摘要算法是一个不可逆的过程,因此,在认证过程中,由摘要信息不能计算出共享的security key,所以敏感信息不能在网络上传输。市场上主要采用的摘要算法主要有MD5和SHA-1。
(5)基于PKI的认证
使用PKI(公开密钥体系)进行认证和加密。该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效性结合起来。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙认证等领域。该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务。
(6)虚拟专用网络(VPN)技术
VPN技术主要提供在公网上的安全的双向通讯,采用透明的加密方案以保证数据的完整性和保密性。
VPN技术的工作原理:VPN系统可使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信,它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。其处理过程大体是这样:
① 要保护的主机发送明文信息到连接公共网络的VPN设备;
② VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过。③ 对需要加密的数据,VPN设备对整个数据包进行加密和附上数字签名。
④ VPN设备加上新的数据报头,其中包括目的地VPN设备需要的安全信息和一些初始化参数。
⑤ VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备的IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输。
⑥ 当数据包到达目标VPN设备时,数据包被解封装,数字签名被核对无误后,数据包被解密。
综上所述,对于计算机网络传输的安全问题,我们必须要做到以下几点。第一,应严格限制上网用户所访问的系统信息和资源,这一功能可通过在访问服务器上设置NetScreen防火墙来实现。第二,应加强对上网用户的身份认证,使用RADIUS等专用身份验证服务器。一方面,可以实现对上网用户帐号的统一管理;另一方面,在身份验证过程中采用加密的手段,避免用户口令泄露的可能性。第三,在数据传输过程中采用加密技术,防止数据被非法窃取。一种方法是使用PGP for Business Security对数据加密。另一种方法是采用NetScreen防火墙所提供的VPN技术。VPN在提供网间数据加密的同时,也提供了针对单机用户的加密客户端软件,即采用软件加密的技术来保证数据传输的安全性。
第三篇:计算机网络安全问题浅析论文
毕业论文
论文题目: 计算机网络安全问题浅析
专 业: 计算机信息管理 作 者: 韩子厚 学 校: 天津城市建设管理职业技术学院 指导教师:
2011年 月 日
目录
内容摘要.............................................................2 计算机网络安全.......................................................3
第一章 方案目标......................................................3 第二章 安全需求......................................................3 第三章 风险分析......................................................4 第四章 解决方案......................................................4 参考文献............................................................11 致谢................................................................12
内容摘要
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。
关键词 互联网 网络安全 远程服务 编程 数据
计算机网络安全
第一章 方案目标
本方案主要从网络层次考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与Internet或国内其它网络的安全互连。本方案在保证网络安全可以满足各种用户的需求,比如:可以满足个人的通话保密性,也可以满足企业客户的计算机系统的安全保障,数据库不被非法访问和破坏,系统不被病毒侵犯,同时也可以防止诸如反动淫秽等有害信息在网上传播等。
需要明确的是,安全技术并不能杜绝所有的对网络的侵扰和破坏,它的作用仅在于最大限度地防范,以及在受到侵扰的破坏后将损失尽旦降低。具体地说,网络安全技术主要作用有以下几点:
1.采用多层防卫手段,将受到侵扰和破坏的概率降到最低; 2.提供迅速检测非法使用和非法初始进入点的手段,核查跟踪侵入者的活动;
3.提供恢复被破坏的数据和系统的手段,尽量降低损失; 4.提供查获侵入者的手段。
网络安全技术是实现安全管理的基础,近年来,网络安全技术得到了迅猛发展,已经产生了十分丰富的理论和实际内容。
第二章 安全需求
通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,可用性: 授权实体有权访问数据
机密性: 信息不暴露给未授权实体或进程 完整性: 保证数据不被未授权修改
可控性: 控制授权范围内的信息流向及操作方式 可审查性:对出现的安全问题提供依据与手段
访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。
数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。
安全审计: 是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏
第三章 风险分析
网络安全是网络正常运行的前提。网络安全不单是单点的安全,而是整个信息网的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。要知道如何防护,首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。无论哪个层面上的安全措施不到位,都会存在很大的安全隐患,都有可能造成网络的中断。根据国内网络系统的网络结构和应用情况,应当从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。
风险分析是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。
第四章 解决方案
4.1 设计原则
针对网络系统实际情况,解决网络的安全保密问题是当务之急,考虑技术难度及经费等因素,设计时应遵循如下思想:
1.大幅度地提高系统的安全性和保密性;
2.保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作; 4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展; 5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用; 6.安全与密码产品具有合法性,及经过国家有关管理部门的认可或认证;
7.分步实施原则:分级管理 分步实施。4.2 安全策略
针对上述分析,我们采取以下安全策略:
1.采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。
2.采用各种安全技术,构筑防御系统,主要有:
(1)防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。
(2)NAT技术:隐藏内部网络信息。
(3)VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用,而事实上并非如此。
(4)网络加密技术(Ipsec):采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。
(5)认证:提供基于身份的认证,并在各种认证机制中可选择使用。(6)多层次多级别的企业级的防病毒系统:采用多层次多级别的企业级的防病毒系统,对病毒实现全面的防护。
(7)网络的实时监测:采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。
3.实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力。
4.建立分层管理和各级安全管理中心。4.3 防御系统
我们采用防火墙技术、NAT技术、VPN技术、网络加密技术(Ipsec)、身份认证技术、多层次多级别的防病毒系统、入侵检测技术,构成网络安全的防御系统。4.3.1 物理安全
物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
为保证信息网络系统的物理安全,还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。这是政府、军队、金融机构在兴建信息中心时首要的设置的条件。
为保证网络的正常运行,在物理安全方面应采取如下措施:
1.产品保障方面:主要指产品采购、运输、安装等方面的安全措施。2.运行安全方面:网络中的设备,特别是安全类产品在使用过程中,必须能够从生成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统,应设置备份系统。
3.防电磁辐射方面:所有重要涉密的设备都需安装防电磁辐射产品,如辐射干扰机。
4.保安方面:主要是防盗、防火等,还包括网络系统所有网络设备、计算机、安全设备的安全防护。4.3.2 防火墙技术
防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间地任何活动,保证了内部网络地安全;在物
理实现上,防火墙是位于网络特殊位置地以组硬件设备――路由器、计算机或其他特制地硬件设备。防火墙可以是独立地系统,也可以在一个进行网络互连地路由器上实现防火墙。用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构:
(1)屏蔽路由器:又称包过滤防火墙。
(2)双穴主机:双穴主机是包过滤网关的一种替代。(3)主机过滤结构:这种结构实际上是包过滤和代理的结合。(4)屏蔽子网结构:这种防火墙是双穴主机和被屏蔽主机的变形。根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。4.3.2.1 包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。4.3.2.2 网络地址转化—NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只
是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。4.3.2.3 代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
4.3.2.4 监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品,虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开
始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。相关性:毕业论文,免费毕业论文,大学毕业论文,毕业论文模板 4.3.3 入侵检测
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为
是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现:
1.监视、分析用户及系统活动; 2.系统构造和弱点的审计;
3.识别反映已知进攻的活动模式并向相关人士报警; 4.异常行为模式的统计分析; 5.评估重要系统和数据文件的完整性;
6.操作系统的审计跟踪管理,并识别用户违反安全策略的行为。4.4 安全服务
网络是个动态的系统,它的变化包括网络设备的调整,网络配置的变化,各种操作系统、应用程序的变化,管理人员的变化。即使最初制定的安全策略十分可靠,但是随着网络结构和应用的不断变化,安全策略可能失效,必须及时进行相应的调整。针对以上问题和网管人员的不足,下面介绍一系列比较重要的网络服务。包括:
4.4.1 通信伙伴认证
通信伙伴认证服务的作用是通信伙伴之间相互确庥身份,防止他人插入通信过程。认证一般在通信之前进行。但在必要的时候也可以在通信过程中随时进行。认证有两种形式,一种是检查一方标识的单方认证,一种是通信双方相互检查对方标识的相互认证。
通信伙伴认证服务可以通过加密机制,数字签名机制以及认证机制实现。4.4.2 访问控制
访问控制服务的作用是保证只有被授权的用户才能访问网络和利用资源。访问控制的基本原理是检查用户标识,口令,根据授予的权限限制其对资源的利用范围和程度。例如是否有权利用主机CPU运行程序,是否有权对数据库进行查询和修改等等。访问控制服务通过访问控制机制实现。4.4.3 数据保密
数据保密服务的作用是防止数据被无权者阅读。数据保密既包括存储中的数据,也包括传输中的数据。保密查以对特定文件,通信链路,甚至文件中指定的字段进行。
数据保密服务可以通过加密机制和路由控制机制实现。4.4.4 业务流分析保护
业务流分析保护服务的作用是防止通过分析业务流,来获取业务量特征,信息长度以及信息源和目的地等信息。
业务流分析保护服务可以通过加密机制,伪装业务流机制,路由控制机制实现。
4.4.5 数据完整性保护
数据完整性保护服务的作用是保护存储和传输中的数据不被删除,更改,插入和重复,必要时该服务也可以包含一定的恢复功能。数据完整性保护服务可以通过加密机制,数字签名机制以及数据完整性机制实现 4.4.6 签字
签字服务是用发送签字的办法来对信息的接收进行确认,以证明和承认信息是由签字者发出或接收的。这个服务的作用在于避免通信双方对信息的来源发生争议。签字服务通过数字签名机制及公证机制实现。4.5 安全技术的研究现状和动向
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。国际上信息安全研究起步较早,力度大,积累多,应用广,在70年代美国的网络安全技术基础理论研究成果“计算机保密模型”(Beu& La padula模型)的基础上,指定了“
可信计算机系统安全评估准则”(TCSEC),其后又制定了关于网络系统数据库方面和系列安全解释,形成了安全信息系统体系结构的准则。
结论
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
本论文从多方面描述了网络安全的解决方案,目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。
参考文献
[1] 韩希义, 计算机网络基础,北京高等教育出版社,2004 [2]徐敬东等, 计算机网络, 北京清华大学出版社,2002
[3]沈辉等, 计算机网络工程与实训,北京清华大学出版社,2002 [4] 褚建立等, 计算机网络技术实用教程,北京电子工业出版社,2003 [5] 刘化君, 计算机网络原理与技术,北京电子工业出版社,2005 [6] 谢希仁, 计算机网络, 北京电子工业出版社,1999 [7] 陆姚远, 计算机网络技术, 北京高等教育出版社,2000 [8] 刘习华等, 网络工程,重庆大学出版社,2004 [9] 彭澎, 计算机网络实用教程,北京电子工业出版社,2000 [10] 陈月波, 使用组网技术实训教程,北京科学出版社,2003 致谢
本研究及学位论文是在我的导师 副教授的亲切关怀和悉心指导下完成的。他严肃的科学态度,严谨的治学精神,精益求精的工作作风,深深地感染和激励着我。从课题的选择到项目的最终完成,郑老师都始终给予我细心的指导和不懈的支持。两年多来,郑教授不仅在学业上给我以精心指导,同时还在思想、生活上给我以无微不至的关怀,在此谨向郑老师致以诚挚的谢意和崇高的敬意。
在此,我还要感谢在一起愉快的度过研究生生活的 各位同门,正是由于你们的帮助和支持,我才能克服一个一个的困难和疑惑,直至本文的顺利完成。特别感谢我的师妹叶秋香同学,她对本课题做了不少工作,给予我不少的帮助。
在论文即将完成之际,我的心情无法平静,从开始进入课题到论文的顺利完成,有多少可敬的师长、同学、朋友给了我无言的帮助,在这里请接受我诚挚的谢意!最后我还要感谢培养我长大含辛茹苦的父母,谢谢你们!
第四篇:计算机网络安全问题分析
计算机网络安全问题分析
郑培红 周刚
摘要: 计算机网络安全问题已成为当今信息时代的研究热点。当前的网络存在着计算机病毒、计算机黑客攻击等等问题。本文介绍了当前的计算机网络面临的威胁, 而后介绍到计算机网络安全的特征, 最后给出几点意见。
关键词: 计算机网络安全;黑客;病毒
一、引言 世纪全世界的计算机都将通过Internet 联到一起, 信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范, 而且还从一种专门的领域变成了无处不在。当人类步入21 世纪这一信息社会、网络社会的时候, 我国建立起一套完整的网络安全体系, 特别是从政策上和法律上建立起有中国自己特色的网络安全体系。在当今网络化的世界中, 网络的开放性和共享性在方便了人们使用的同时, 也使得网络很容易受到攻击, 计算机信息和资源也很容易受到黑客的攻击, 甚至是后果十分严重的攻击, 诸如数据被人窃取, 服务器不能提供服务等等。因此, 网络和信息安全技术也越来越受到人们的重视, 由此推动了入侵检测、虚拟专用网、访问控制、面向对象系统的安全等各种网络、信息安全技术的蓬勃发展。
计算机网络是计算机科学发展到一定阶段的产物, 是由计算机系统和终端设备, 通过线路连接形成的, 实现了用户远程通信和资源的共享, 而且有较高的可靠性和扩展性。计算机网络化是信息社会的主要标志之一。互联网是通过TCP/IP 协议将各个不同地区及不同结构的计算机连接在一起组成的网络形式。随着互联网用户的不断发展促进了信息交流, 然而,网络的发展也带来安全方面的问题, 例如网络中使用的传输控制协议(TCP)、互联网协议、IP、路由器等都会出现安全方面的问题, 需要采取鉴别、数据加密、数字签名、防火墙等必需的安全机制和防护措施。
二、计算机网络面临的威胁
计算机网络所面临的威胁大体可分为两种: 一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多, 针对网络安全的威胁主要有以下几种。
一是无意失误。如操作员安全配置不当造成的安全漏洞, 用户安全意识不强, 用户口令选择不慎, 用户将自己的口令随意转借他人或与别人共享等都会对网络安全带来威胁。二是人为的恶意攻击。这是计算机网络所面临的最大威胁, 敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种: 一种是主动攻击, 它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击, 它是在不影响网络正常工作的情况下, 进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害, 并导致机密数据的泄漏。三是网络软件的漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的, 而这些漏洞和缺陷恰恰是黑客进行攻击的首选目标, 经常出现的黑客攻击网络内部的事件, 这些事件的大部分就是因为安全措施不完善所招致的苦果。
三、计算机网络安全问题的特征
(一)网络安全先天脆弱
计算机网络安全系统的脆弱性是伴随计算机网络一同产生的, 换句话说, 安全系统脆弱是计算机网络与生俱来的致命弱点。在网络建设中, 网络特性决定了不可能无条件、无限制的提高其安全性能。要使网络更方便快捷, 又要保证网络安全, 这是一个非常棘手的“两难选择”, 而网络安全只能在“两难选择”所允许的范围中寻找支撑点。因此, 可以说世界上任何一个计算机网络都不是绝对安全的。
(二)黑客攻击后果严重
近几年, 黑客猖狂肆虐, 四面出击, 使交通通讯网络中断, 军事指挥系统失灵, 电力供水系统瘫痪, 银行金融系统混乱--危及国家的政治、军事、经济的安全与稳定, 在世界各国造成了难以估量的损。
(三)网络杀手集团化
目前, 网络杀手除了一般的黑客外, 还有一批具有高精尖技术的“专业杀手”, 更令人担忧的是出现了具有集团性质的“网络恐怖分子”甚至政府出面组织的“网络战”、“黑客战”, 其规模化、专业性和破坏程度都使其他黑客望尘莫及。可以说, 由政府组织的“网络战”、“黑客战”是当前网络安全的最大隐患。目前, 美国正开展用无线电方式、卫星辐射式注入方式、网络方式把病毒植入敌方计算机主机或各类传感器、网桥中的研究以伺机破坏敌方的武器系统、指挥控制系统、通信系统等高敏感的网络系统。另外, 为达到预定目的, 对出售给潜在敌手的计算机芯片进行暗中修改, 在CPU 中设置“芯片陷阱”, 可使美国通过因特网发布指令让敌方电脑停止工作, 以起到“定时炸弹”的作用。
(三)破坏手段多元化
目前,“网络恐怖分子”除了制造、传播病毒软件、设置“邮箱炸弹”, 更多的是采取借助工具软件对网络发动袭击, 令其瘫痪或者盗用一些大型研究机构的服务器, 使用“拒绝服务”程序, 如TFN 和与之相近的程序等, 指挥它们向目标网站传输远远超出其带宽容量的垃圾数据, 从而使其运行中断。多名黑客甚至可以借助同样的软件在不同的地点“集中火力”对一个或者多个网络发起攻击。而且, 黑客们还可以把这些软件神不知鬼不觉地通过互联网安装到别人的电脑上, 然后, 在电脑主人根本不知道的情况下“借刀杀人”。总之, 影响网络安全的两大方面: 一是来自外部网络的安全问题。二是来自内部网络的安全问题。
四、加强计算机网络的安全防范措施
(一)提高思想认识
近年来, 中国的网络发展非常迅速, 同时, 中国的网络安全也越来越引起人们的关注, 国家权威部门曾对国内网站的安全系统进行测试, 发现不少单位的计算机系统都存在安全漏洞, 有些单位还非常严重, 随时可能被黑客入侵。当前, 世界各国对信息战十分重视, 假如我们的网络安全无法保证, 这势必影响到国家政治、经济的安全。因此, 从思想上提高对计算机网络安全重要性的认识,是我们当前的首要任务。
(二)健全管理制度
任何网站都不是绝对安全的, 值得一提的是, 当前一些单位在急忙赶搭“网络快车”时, 只管好用, 不管安全, 这种短视必然带来严重的恶果, 与“网络恐怖分子”的较量是一场“没有硝烟的战争”, 是高科技的较量, 是“硬碰硬”的较量。根据这一情况, 当前工作的重点, 一是要狠抓日常管理制度的落实, 要把安全管理制度落实到每一个环节中;二是要加强计算机从业人员的行业归口管理, 对这些人员要强化安全教育和法制教育, 建立人员管理档案并进行定期的检查和培训;三是要建立一支反黑客的“快速反应部队”, 同时加快加紧培养高水平的网络系统管理员, 并尽快掌握那些关键技术和管理知识。
(三)强化防范措施
一般来说, 影响计算机网络安全的因素很多, 但目前最主要的因素是接受电子邮件和下载软件两种。下面就这两种方式谈谈基本的防范措施: 1 切实保护电子邮件的安全
第一, 要做好邮件帐户的安全防范。一定要保护好邮箱的密码。入网帐号与口令应该是需要保护的重中之重, 密码要取得有技巧、有难度, 密码最好能有多位数, 且数字与字母相间, 中间还可以允许用特殊符号。对于比较重要的邮件地址不要随便在网上暴露。第二, 将邮件信息加密处理。如使用A-LOCK, 在发送邮件之前对内容(复制到粘贴板上)进行加密。对方收到这种加密信件之后也必须用A-LOCK 来进行解密才能阅读信件。即使有人截获了邮件信息, 看到的也是一堆毫无意义的乱码。第三, 防止邮件炸弹。下面介绍几种对付电子邮件炸弹的方法: ① 过滤电子邮件。凡可疑的E-MAIL 尽量不要开启: 如果怀疑信箱有炸弹, 可以用邮件程序的远程邮箱管理功能来过滤信件, 如国产的邮件程序Foxmail。在进行邮箱的远程管理时, 仔细检查邮件头信息, 如果发现有来历可疑的信件或符合邮件炸弹特征的信件, 可以直接把它从邮件服务器上删除。② 使用杀毒软件。一是邮件有附件的话, 不管是谁发过来的, 也不管其内容是什么(即使是文档, 也往往能成为病毒的潜伏场所, 像著名的Melissa), 都不要立即执行, 而是先存盘, 然后用杀毒软件检查一番, 以确保安全。二是注意目前网上有一些别有用心的人以网站的名义, 让你接受他们通过邮件附件推给你的软件(多半是木马S 端), 并以种种借口要求你立即执行。对此, 凡是发过来的任何程序、甚至文档都应用杀毒软件检查一番。③ 使用转信功能。用户一般都有几个E-mail 地址。最好申请一个容量较大的邮箱作为收信信箱。对于其它各种信箱, 最好支持转信功能的, 并设置转信到大信箱。所有其它邮件地址的信件都会自动转寄到大信箱内, 可以很好地起到保护信箱的作用。第四, 申请邮件数字签证。数字签证不但能够保护邮件的信息安全, 而且通过它可以确认信件的发送者。最后要注意对本地的已收发邮件进行相应的删除处理。2 切实保障下载软件的安全
对于网络软件, 需要指出的是: 一方面, 网上大多数的信息都是干净的, 但也确实有一部分受到“污染”, 尤其是黑客和“网络恐
怖分子”利用各种方法在网上扩散病毒、木马等以制造混乱, 而且手段十分狡猾、隐蔽, 很容易中了他们的圈套。另一方面, 由于因特网的迅捷与无所不在, 各式病毒、木马的传播速度和传播范围达到了前所未有的程度。因此我们对下载软件和接受的E-MAIL 决不可大意。下载软件时应该注意:第一, 下载软件应尽量选择客流大的专业站点。大型的专业站点, 资金雄厚, 技术成熟, 水平较高, 信誉较佳, 大都有专人维护,安全性能好, 提供的软件问题较少。相比之下, 那些小型的个人站点所提供的软件出问题的机率较高。第二, 从网上下载来软件要进行杀毒处理。对下载的任何软件, 不要立即使用,WORD 文档也不宜直接打开, 而应先用杀毒软件检测一番, 进行杀毒处理。杀毒软件应当始终保持最新版本, 最好每月升级一次。第三, 防止染上“木马”。一旦染上木马后, 它就会给你的Windows 留下后门, 秘密监视网络信息, 一旦发现远方控制指令, 就会秘密地予以回应, 可以让远方的控制者掌握对机器的完全控制权。此后在你完全不知的情况下, 远方的侵入者可以随时在因特网上无限制地访问你的计算机, 因此它的危害是不言而喻的。最简便有效的预防措施是, 避免启动服务器端(S 端)。消除木马的具体操作是, 首先拜访注册表, 获取木马的装入信息, 找出S 端程序放于何处。然后先将注册表中的木马配置键删掉, 重新启动计算机, 再将程序也删掉。21 世纪人类步入信息社会后, 网络安全技术成为信息网络发展的关键技术, 信息这一社会发展的重要战略资源需要网络安全技术的有力保障, 才能形成社会发展的推动力。在我国, 信息网络安全技术的研究和产品开发仍处于起步阶段, 有大量的工作需要我们去研究、开发和探索。我们只有走有中国特色的防火墙技术发展之路, 以超常规的思路和超常规的措施, 赶上和超过发达国家的水平, 才能保证我国信息网络的安全, 推动我国国民经济的高速发展。
第五篇:幼儿户外活动安全问题及对策研究(结题报告)
一、问题的提出:
1、课题的研究背景及意义:
许多儿童健康专家普遍指出,儿童缺乏足够的户外活动会影响到身心的健康发展,呼吁社会和家庭对这一日趋严重的问题予以充分的重视。按照国际研究结果,儿童每天至少需要户外运动一个小时,最好保持两至三个小时的户外活动。调查表明,近年来,随着各种媒体的发展,儿童看电视、玩电脑的时间急剧增加,与此同时,户外活动明显减少。许多儿童由于长期运动不足,导致身体虚弱、超重或出现肥胖等不良症状。专家们强调,为确保儿童的健康发展,幼儿园和小学应为孩子们组织更多的户外活动活动,应多带孩子投身大自然。
但是在幼儿园的实际工作中,由于幼儿年龄小,安全意识和自我保护能力薄弱,动作的灵敏性和协调性较差,又缺乏安全意识,在参加户外自由活动时难免要奔跑、跳跃、钻爬、攀登等,常常不能清楚预见自己行为的后果,导致幼儿在户外活动中隐藏着各种意想不到的危险因素。加上幼儿园户外活动场地大、幼儿活动人数多难组织难管理等客观原因使老师户外活动的监管存在一定的难度,致使老师们惧怕开展幼儿户外活动,导致幼儿户外活动时间没有了保障。因此关注幼儿户外活动中的安全教育问题,如何合理组织幼儿户外活动,使幼儿尽量避免在户外活动中受到伤害是我们课题研究的初衷。
2、课题研究的理论依据
户外活动是幼儿一日生活中非常重要的环节,《幼儿园工作规程》明确指出,幼儿园要“积极开展适合幼儿的户外活动,幼儿户外活动时间在正常情况下,每天不得少于两小时。”这明确指出了户外活动在幼儿园工作中的重要地位。幼儿户参加外活动,能培养勇敢坚强、反应灵敏等多种意志品质,是促进幼儿生理心理发展的有效途径。可见,开展“关于幼儿户外活动中安全问题的研究”正体现了《纲要》精神,有利于教师创造性的开展户外活动中安全教学研讨,探索适合本地、本园实际状况的户外活动中安全教育教学活动,有效的促进幼儿健康发展。
3、国内外研究资料综述:
我们通过查阅文献资料,发现日本、美国等相关部门都曾做过调查统计,表明儿童受伤种类一般有:骨折、挫折伤、擦伤、扭伤等,而事故发生地点最频繁的就是户外活动场地、游戏设施等处。他们对这些事故高发场地及设施等所采取的对策,是尽量保证有足够的场地与设施供孩子们户外活动使用,也尽量维持设施能提供给孩子以运动经验获得的功能,创设充满“危险”的环境,让孩子亲身体验这些随时可能发生的危险的同时,尽可能地降低活动场地、游戏设施的危险性,或在恰当的时候给孩子以适当的安全提醒。德国Schweinfurt幼儿园曾调查过鼓励幼儿园运动与事故发生率之间的关系。实施时间共持续8周,实验组幼儿在运动方面受到鼓励,结果发现这些孩子不仅运动能力较强,而且事故发生率也下降了,而对照组的幼儿几乎没有什么改变。
其他地区的研究仅以单一的形式呈现,教师对研究目的不是很明确,不是带着问题研究,而是寻找活动中的某些问题,研究内容实质上仍比较被动与松散。对照国内外幼儿园安全教育的实践,反思我们的现状,有很多令人无奈的漏洞和不足;并不是照搬国外的模式就能解决自身存在的问题,我们必须结合自己的现实,力所能及地克服一些局限,让我们的安全工作和安全教育能真正地为了孩子,让他们将来在面对危险时能真正地从容不迫。为了不使教研活动只停留于“一个个片断的反映上”,我们在借鉴他人经验的基础上开展关于幼儿户外活动中安全问题的园本教研模式研究,明确研究目的,充实研究内容,拓展研究范围,在研究常态课的同时结合精品课学习,使得研究更具科学性和系统性,提高研究的有效性。
二、课题的研究过程:
1、课题研究的预期目标及内容:
(1)、寻找和分析幼儿户外活动事故发生的原因,培养孩子预测、判断、回避危险的能力。
(2)、合理组织幼儿户外活动,使幼儿掌握户外活动的安全知识和技能,学会自我保护的方法。
(3)、全面提高幼儿园整体的安全意识与防范能力。让家长参与到幼儿园的安全教育中来,协助幼儿园制定户外活动安全规范制度。
(4)、加强全园教师的科研意识,提高教师的理论知识及实际操作水平
2、课题研究的对象、方法:
(一)、课题的研究对象:全园36岁幼儿
(二)、课题的研究方法:
1、行动研究法:
通过“发现问题设计方案展示活动研讨反思”为循环模式,在实践中发现问题,及时调整策略,逐步形成户外活动研究的园本模式。
2、文献资料法
通过查阅相关资料,了解他人“户外活动中安全问题研究”的情况,在借的基础上进一步开展研究。
3、案例研究法
研究活动进行之后,必须围绕研讨主题形成教学案例。课题组将对这些案例,进行分析、提炼,寻找内在规律。
4、观察法
通过观察幼儿在户外活动中的表现及存在的安全问题,收集相关信息,并进行分析总结。
3、研究的步骤:
(1)、准备阶段:(2011年3月~2011年5月)课题酝酿,申报立项,设计方案,收集相关文献资料,明确课题研究的意义、目标,讨论研究策略。制定实施计划,理论学习、师资培训,论证课题研究方案。成立课题组阶段。
(2)、实施阶段:(2011年6月~2011年2月)组织实施研究阶段 实验班教师进行若干子课题研究;阶段总结会,提升经验,调整策略;开展与本课题有关的研究课、汇报课活动,及时调整、完整实验中的各项操作。
(3)、总结阶段:(2011年3月~2011年5月)完成研究报告,汇总实验资料,撰写研究报告,召开课题期终鉴定会,推广研究成果。
三、研究结果分析:
(一)、幼儿户外活动安全事故发生调查数据和典型案例分析
1、幼儿户外活动安全事故调查数据分析:
从幼儿户外活动安全事故案例归因及易发生事故地调查情况来看,有45%的小班家长认为:幼儿安全事故的发生与幼儿缺乏自我保护意识和技能有关,有 2.5%的中班家长认为是老师的原因,有2.5%的大班家长认为是幼儿园设施的原因;而大班家长认为安全事故易发生地是跌伤的占17.5 %,撞伤占22.5%,荡秋千占2.5%,玩大型玩具占7.5%。(具体见下表)
幼儿户外活动安全事故案例归因及易发生事故地统计表
年龄段老师的 原因幼儿园
设施问题幼儿缺乏自我保护意识和技能户外活动具体事故率
摔交
跌伤撞伤荡秋千滑滑梯
小班5%7.5%45%27.5%10%7.5%22.5%
中班2.5%10%40%20%12.5%5%12.5%
大班0%2.5%35%17.5%22.5%2.5%7.5%
2、典型案例调查学习:
案例1: 2004年11月10日,年仅4岁的小天(化名)在当天下午自由活动时被同班幼儿小伟(化名)推了一下,摔倒时正好跌坐在一块石头上。后经医院检查,发现小天头部撞出一个大包,左腿出现严重骨折。
案例2:2011年10月的某天,某幼儿园小(1)班幼儿董燕鸥在从操场跑步回教室的过程中不甚绊倒,下巴正好磕在台阶上,导致上牙床将下嘴唇内壁凿出一个宽约1.5cm,深约1cm的伤口。后在医院缝了七针。
(二)、幼儿在户外活动时发生意外事故的主要原因分析
1、孩子的原因: 初生牛犊不怕虎”,由于缺乏生活经验,幼儿对周围环境中潜在的不安全因素认识不足,判断能力差,又缺少自我保护技能。因此跌伤、撞伤、打闹受伤等事故时有发生,在幼儿园集体生活中往往容易打闹或发生磕磕碰碰。比如有的孩子因为在走廊上追逐而跌倒,磕破头、磕破手;有的孩子因为做一些危险的动作导致受伤;有的孩子动作发展相对较差,容易在户外活动中发生意外„„
2、幼儿园的原因: 在设施安全方面还不够完善,从而存在安全隐患,还有就是供幼儿玩耍的场地、公共设备、设施老化、锈蚀、失修等没有及时完善,很容易发生意外。
3、老师的原因:有的教师责任心差,在工作时间心不在焉,没有认真组织幼儿活动,这也是导致意外发生的一个方面。
(三)、教学干预策略
课题组通过一年多的努力探讨研究。对户外安全活动提出相应的措施。
1、加强学习,以年龄段为单位开展户外活动安全课。
向幼儿进行安全健康教育,教师自身必须具备相应的理论知识和一定的教育技能。比如,户外活动安全教育的目标和内容以及实施途径和方法等问题,教师必须在理论上有一个清醒的认识,在实施过程中怎样安全地组织户外活动的问题决定了教师应该具有一定的教育技能。其次,抓好幼儿这一头,以年龄段为单位精心备好典型课,开展幼儿户外活动安全优质教育课观摩研讨,幼儿学习和掌握了基本的安全知识和技能,提高了幼儿自我保护能力的意识,并激发幼儿学习基本的安全知识和技能的兴趣,主动参与活动,切实提高幼儿的户外安全意识和实践能力。
2、教育干预,增强幼儿自我保护的意识
“千般爱护,莫过自护”。《学前教育课程指南》中提出:幼儿要学会面对危险的事情能及时做出反应,控制自己的行为和动作,有一定的安全意识。在日常活动中经常发生一些有意识或无意识的伤害行为,如曾逊小朋友家庭:父亲教育简单粗暴,妈妈、爷爷奶奶又非常溺爱,所以该孩子活泼好动,户外活动时喜欢推人,打人,把同伴绊倒,我们课题组认真分析幼儿事故的主要原因,并对症下药,用,期望效应进行教育干预,如在户外体育活动中,请他当小组长、带头人,有一点进步就及时鼓励他,在班主任刘阳建老师的一系列教育措施下,我们发现小曾逊的自控能力明显提高了,推人、绊倒人的事情发生次数明显减少了。
又如:有的小朋友在荡秋千的时候会在后面推一把让他荡得高一点,没有想到自己还站在原地会被荡回来的秋千撞伤,每当发现这方面的情况时,我们都会立刻帮助幼儿分析这些事情易引起的危害和后果,让幼儿深刻认识到自己所做的事情的严重性,增强其自我保护及保护他人不受伤害的意识。幼儿学会自护,就等于在生存中学会向前迈进了一大步,而生存是发展的重要保障。
3、创设良好的活动环境,保障课题的正常实施
我园在开展幼儿户外活动中,十分重视幼儿园的环境创设。我们面对幼儿园的现状,想方设法改善幼儿园环境。如在大型玩具场地铺设塑胶地板时,在有限的场地中科学摆放各类大型玩具,以保证幼儿的安全和整个大环境的美观,争取最大限度地为幼儿创设户外活动的场地;同时在时间的安排上,我们努力在课程表的安排上,合理安排每个班级的户外活动时间,为教师提供更多的可以自主安排的时间,组织幼儿开展好户外活动。
4、家园协作增强幼儿户外活动效率
在幼儿园开展户外活动中,指导家长积极配合幼儿园,是我们课题组的一个重要任务。首先,我们注意家长对幼儿园开展户外活动意义的认识。因为家长对幼儿园开展户外活动所持的态度,将直接影响着孩子参与活动的积极性。于是,我们召开家长会,主动听取家长对孩子参与活动的意见和建议,并进行宣传、研讨,形成了开展活动的共识,家长不仅积极参加幼儿园的运动会等活动,还经常帮助幼儿搜集废旧材料共同制作户外活动器械,如:沙包、毽子、垒球、降落伞、飞盘、飞镖等。
5、建立良好的户外活动安全常规
孩子年龄越小,各种良好行为和习惯就越容易养成。对于幼儿来说建立安全的户外活动常规是十分重要和可行的。通过调查与实地观察,我们研究分析幼儿在户外活动时发生意外事故的主要原因,并对症下药。如教师在带孩子进行户外活动前要先检查幼儿的手中、口袋中是否有不安全的东西,在进行户外活动时,教师要先做好一些基本的准备工作,要先划定一定的活动空间、场地,对孩子提一些适当的要求:不随便离开集体单独活动,要注意使每个幼儿都在带班老师及配班老师或保育员的视野范围之内,以便及时发现安全隐患,并做出合理的处理方法。通过各种活动建立良好的幼儿户外活动安全常规。
四、成效分析:
本课题的研究学校领导的重视,设计的基本指导思想明确、实施方案切实可行,得到江山市教科所的指导和帮助,通过课题组成员的共同努力,在我园全体教师的支持配合下,取得了一些成效。
1、通过本次课题研究,我们将长期关注安全问题。对我园幼儿户外活动安全成因有了基本了解,对户外安全活动的安全问题引起了足够的重视,我园将长期关注安全问题。通过本次课题研究,我们找到了一些有效策略。如开展典型户外安全活动教育课,许多教师能在学户外教学中渗透健康安全教育。
2、幼儿掌握了户外活动的基本安全知识和技能,学会自我保护的方法。在户外活动安全教育课题的实践研究中,由寻根源到各项措施的保障与落实,把户外安全教育溶入幼儿一日活动之中。幼儿不安全行为、事故发生率也大大减少了。从而全面提高了我园整体的户外活动安全意识与防范能力。
3、增强全园教师的科研意识,提高了教师的理论知识及实际操作水平。在学习和研讨的过程中,不断完善和充实知识技能结构,如:在开展户外活动时,既要考虑率到季节场地,还要考虑到幼儿的身心特点,不仅要加强对体育活动教材和教法的研究,还要研究幼儿的发展规律、学习特点,研究幼儿的兴趣和需要,研究如何使幼儿获得更多的运动体验等。同时在研究的过程和认真撰写的论文中,老师们也积累了丰富的经验。每阶段的心得体会交流,采用讲座、讨论、交谈、互评、辩论等形式;以年级为单位,进行户外公开活动,组织教师进行观摩、点评;幼儿园安全教育的骨干师资队伍已经形成。课题组成员、虚心学习,刻苦钻研,心理专业知识不断得到丰富,能担任户外安全咨询教师、户外活动课教师,能进行户外安全讲座,使幼儿园有一批自产的骨干师资队伍。
4、增强了体能,发展了幼儿智力。
一年来,我园幼儿出勤率较高,均在95%以上,发病率在4%以下,幼儿对环境的适应能力及对疾病的抵抗能力明显提高。户外活动为幼儿发展智力、积极解决各种问题的能力提供了良好的机会。同时,随着户外活动的开展,幼儿有关自然和社会方面的知识也丰富了,如:通过体育活动“小青蛙捉害虫”的游戏,幼儿获得了有关青蛙生活习性方面的知识。
5、一日活动科学安排,确保了户外活动的安全
我们结合不同季节分别制订了与之相匹配的适宜的户外活动作息表,根据幼儿园实际场地条件以及班额统筹规划户外活动场地安排表,合理安排幼儿的活动。户外活动时间和活动内容(详见下表)。