谈谈对信息安全的理解精选(五篇)
发布时间:2023-10-09 17:40:59
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的5篇谈谈对信息安全的理解,期待它们能激发您的灵感。
篇1
[关键词] 缬沙坦;卡维地洛;慢性心力衰竭;生活质量
[中图分类号] R541.6 [文献标识码] A [文章编号] 1674-4721(2016)04(b)-0128-03
[Abstract] Objective To investigate the security analysis and life quality effect of Valsartan combined with Carvedilol treatment for chronic heart failure patients. Methods 118 cases of chronic heart failure patients in our hospital from October 2014 to October 2015 were randomly divided into research group and control group,each was 59 cases.Control group were treated with Valsartan based on conventional therapy.Research group were treated with Valsartan combined with Carvedilol based on conventional therapy.Life quality of patients in the two groups was measured by SF-36 scale.The life quality,ST-segment depression,NYHA and adverse reactions rate of two groups were compared. Results After 8 weeks treatment,the SF-36 scale score of research group was higher than control group [(0.36±0.05)mV vs (0.50±0.09)mV;(2.31±0.23)levels vs (2.87±0.49)levels,P
[Key words] Valsartan;Carvedilol;Chronic heart failure;Life quality
慢性心力衰竭是由各种原因造成心肌损伤,使心肌结构和功能改变,导致心室泵血或充盈功能低下的一种疾病,患者主要表现为耐力下降、呼吸困难、乏力,部分患者有腹部或腿部水肿等症状[1-2]。研究表明,慢性心力衰竭的死亡率与临床表现的严重程度有很大关系,中重度心力衰竭患者5年的死亡率为30%~50%[3]。治疗慢性心力衰竭的目的是改变衰竭心脏的生物学性质,临床常用药物包括缬沙坦、卡维地洛、依那普利等。为探讨缬沙坦联合卡维地洛对慢性心力衰竭患者生活质量的影响及其安全性,笔者以慢性心力衰竭患者作为研究对象展开本次研究。
1 资料与方法
1.1 一般资料
选取2014年10月~2015年10月我院收治的118例慢性心力衰竭患者作为研究对象,随机将患者分为研究组和对照组,每组59例。研究组男31例,女28例;年龄42~78岁,平均(62.8±8.6)岁;病程2~6年,平均(3.8±1.2)年;心功能分级Ⅲ级31例,Ⅳ级28例;合并心肌病、冠心病各9例,糖尿病11例,高血压19例。对照组男33例,女26例;年龄43~81岁,平均(63.5±9.1)岁;病程1~6年,平均(3.4±1.1)年;心功能分级Ⅲ级29例,Ⅳ级30例;合并心肌病10例,冠心病8例,糖尿病13例,高血压17例。两组患者一般资料比较差异无统计学意义(P>0.05),具有可比性。本研究符合伦理学要求,已取得我院医学伦理委员会批准。
入选标准:①符合美国心脏病协会关于慢性心力衰竭的诊断标准,按纽约心脏病分级标准(NYHA)为Ⅲ、Ⅳ级;②患者同意参与本次研究,并签署知情同意书。
排除标准:药物过敏及严重肝肾功能障碍者。
1.2方法
两组患者均使用β-受体阻滞剂、利尿剂、洋地黄及扩血管等进行慢性心力衰竭的常规治疗。
对照组:在常规治疗的基础上使用缬沙坦胶囊(北京诺华制药有限公司生产,国药准字H20040217,规格80 mg/片)治疗,剂量:1片/次,1次/d,晚饭后温开水吞服。
研究组:在常规治疗的基础上使用缬沙坦(北京诺华制药有限公司生产,国药准字H20040217,规格80 mg/片)联合卡维地洛(齐鲁制药有限公司生产,国药准字H20000100,规格10 mg/片)治疗,剂量:缬沙坦胶囊1片/次,1次/d,晚饭后温开水吞服;卡维地洛2片/次,2次/d,早、晚餐后用温开水吞服。
两组均治疗8周后进行疗效对比。
1.3评价指标
使用SF-36量表评价两组患者治疗前后的生活质量,每项满分100分,得分越高代表生活能力越强,生活质量越好。其中SF-36量表共分为8个维度:生理功能(PF)、生理职能(RP)、躯体疼痛(BP)、总体健康(GH)、活力(VT)、社会功能(SF)、情感职能(RE)以及精神健康(MH)[4]。
1.4统计学方法
采用统计软件SPSS 20.0对实验数据进行分析,计量资料以均数±标准差(x±s)表示,采用t检验。计数资料以率表示,采用χ2检验,以P
2结果
2.1两组患者治疗前后生活质量的比较
治疗8周后,研究组SF-36各维度评分均比对照组升高(P
2.2两组心电图ST段下移及NYHA心功能分级变化情况的比较
治疗后研究组心电图ST段下移及NYHA心功能分级分别为(0.36±0.05)mV、(2.31±0.23)级,改善程度优于对照组(P
2.3两组患者不良反应发生情况的比较
两组均无药物不良反应发生,耐受性好。
3讨论
慢性心力衰竭是一种严重心脏病,其发病率在全球范围内逐年上升,且好发于中老年人[5]。在我国,慢性心力衰竭在35岁以上的成人中发病率为0.9%[6]。慢性心力衰竭发生的主要机制是肾上腺素能系统和肾素-血管紧张素-醛固酮系统被激活,另外激活的两大系统相互作用,引起肾素过度分泌,使病情进入恶性循环。治疗慢性心力衰竭的关键在于抑制被激活的神经内分泌系统,阻断心肌重构[7],临床的常用疗法包括β-受体阻滞剂、利尿剂、洋地黄及扩血管等。缬沙坦属于非肽类、口服有效的血管紧张素Ⅱ(AT)受体拮抗剂,能有效竞争性拮抗1型受体(AT1)[8]。研究表明,缬沙坦在抑制血管收缩和醛固酮释放的同时不会抑制因钾导致的释放,其对心收缩功能及心率无明显影响[9]。缬沙坦的作用包括:①改善血流动力学,减少儿茶酚胺释放;②抑制心肌间质的合成,逆转心肌细胞肥大;③阻断AT1作用,避免心血管重构的异常生理改变;④降低三酰甘油水平,改善心肌和动脉的顺应性;⑤抑制心肌细胞凋亡作用,保护心肌[9]。卡维地洛是一种新型的β-受体阻滞剂,对心率失常具有很好的抑制作用。卡维地洛通过抑制心脏交感神经系统从而有效降低慢性心力衰竭患者的死亡风险[10]。卡维地洛还具有很强的抗氧化、抗增殖作用,能抑制心力衰竭患者体内儿茶酚胺的过度分泌,从而降低心脏兴奋度,减少心肌细胞耗氧量,保护心肌细胞。值得指出的是,使用卡维地洛治疗慢性心力衰竭必须确保患者的病情得到稳定控制,切不可对急性心力衰竭患者使用卡维地洛治疗[11]。另外,对于使用利尿药和静脉强心药的患者也不可使用卡维地洛治疗。缬沙坦与卡维地洛联合使用能有效抑制心脏的兴奋状态,减缓心率,减少心输出量,降低心脏耗氧量,保护心肌。本研究结果显示,单一使用缬沙坦治疗慢性心力衰竭效果不够理想。卡维地洛是一种α、β-受体阻滞剂,具有疏通血管的作用。该药从1988年开始用于慢性心力衰竭的治疗,疗效被众多研究证实。贾海莲[12]在其研究中表明,卡维地洛能有效降低慢性心力衰竭患者的死亡率,并能预防心血管事件的发生。卡维地洛还能抑制肾上腺素的分泌,从而减缓心率、降低心肌细胞耗氧,保护心肌[13-14]。值得注意的是,停止治疗时不能突然停止卡维地洛用药,需要在1~2周内逐渐减少用药剂量。缬沙坦与卡维地洛联合治疗慢性心力衰竭能更加彻底地抑制肾上腺素能系统,两者与缓激肽共同作用,改善心功能,提高患者的生活质量[15]。
本研究中选取118例慢性心力衰竭患者作为研究对象,分别采用单一缬沙坦和缬沙坦联合卡维地洛治疗,旨在探讨缬沙坦联合卡维地洛对慢性心力衰竭患者生活质量的影响及其安全性,研究结果表明:治疗8周后,研究组SF-36各维度评分均比对照组高(P
综上所述,缬沙坦联合卡维地洛对慢性心力衰竭疗效突出,能有效提高患者生活质量,改善心功能,且无明显的不良反应发生,安全可靠,值得临床推广应用。
[参考文献]
[1] 张澍,黄德嘉,华伟,等.心脏再同步治疗慢性心力衰竭的建议(2013年修订版)[J].中华心律失常学杂志,2013, 17(4):247-261.
[2] 王正,沈娟,宋庆桥.慢性心力衰竭合并心律失常发病机制研究进展[J].中西医结合心脑血管病杂志,2012,10(2):216-219.
[3] 余耀鸣,陈瑶.常规治疗+卡维地洛对慢性心力衰竭患者心功能的改善作用[J].中国当代医药,2013,20(36):79-80.
[4] 杜惠莲,李晓萍.卡维地洛与缬沙坦联用治疗慢性心力衰竭的临床研究[J].吉林医学,2012,33(18):93.
[5] 张文亮.卡维地洛和美托洛尔对慢性充血性心力衰竭患者左室舒张功能及心室重塑的影响[J].中西医结合心脑血管病杂志,2012,10(2):235-236.
[6] 王秀梅,张波,边翠霞.依那普利联合卡维地洛治疗老年慢性心力衰竭临床分析[J].中国当代医药,2012,19(27):75-76.
[7] McMurray JV,Adamopoulos S,Anker SD,et al.ESC Guidelines for the diagnosis and treatment of acute and chronic heart failure[J].Eur Heart Fail,2012,14(8):803-869.
[8] 赵志坚,李芹.卡维地洛联合依那普利治疗风湿性心脏病慢性心力衰竭的疗效分析[J].中国实用医药,2012,7(26):21-22.
[9] 贺志伟,王湘富,杨翰文,等.卡维地洛联合普伐他汀对冠心病慢性心力衰竭氨基末端脑钠肽前体和心肌肌钙蛋白I及其心功能影响的研究[J].中国综合临床,2012, 28(8):841-844.
[10] 贺志伟,王湘富,杨翰文,等.卡维地洛加普伐他汀对冠心病慢性心力衰竭患者心功能的影响[J].华南国防医学杂志,2012,26(4):316.
[11] 刘振,王鹏飞,刘玲玲,等.卡维地洛与曲美他嗪联用对慢性心力衰竭患者左室重构的影响研究[J].中国实用医药,2013,8(6):179-181.
[12] 贾海莲.卡维地洛联合曲美他嗪治疗高龄慢性心力衰竭的疗效及对左室功能的影响[J].中国医药导刊,2012, 14(2):248-249.
[13] 李卫红.卡维地洛联合缬沙坦治疗慢性心力衰竭临床效果及安全性探究[J].中国医药指南,2012,10(10):134-136.
[14] 莫逆,陈海坚,黎奇才.卡维地洛联合坎地沙坦治疗慢性心力衰竭的临床观察[J].中国临床研究,2012,25(5):444-445.
[15] 郑进民.卡维地洛联合缬沙坦治疗慢性心力衰竭的临床疗效观察[J].中国现代药物应用,2013,7(15):13-14.
篇2
【关键词】图书馆;网络;信息安全
图书馆承载着信息资源的收集、整理和传播的任务,服务内容的广泛性和信息用户的复杂性是图书馆信息服务的一个重要特点。随着数字图书馆建设的推进和网络化服务的推广,数字化和网络化应用系统的不断增多,图书馆网络信息的安全问题也日益突显,已引起有关方面及专业人士的重视。
1 信息安全
1.1 信息安全的定义
对“信息安全”可以从不同的角度来理解,因此出现了“计算机安全”、“网络安全”、“信息内容安全”之类的提法,也出现了“机密性”、“真实性”、“完整性”、“可用性”、“不可否认性”等描述方式。国际标准化委员会给出的定义是:“为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露”。从这个定义可以看出,信息安全既包含了层面的概念,其中计算机硬件可以看作是物理层面,软件可以看作是运行层面,再就是数据层面;同时信息安全又包含了属性的概念,其中破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。[1]因此,高校图书馆的信息安全从层面上考虑主要是运行层和数据层的安全保护,从信息安全的属性上考虑主要是数据的可用性和数据的完整性保护。
1.2 信息安全策略[2]
信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全,不但靠先进的技术,而且更得靠严格的安全管理,法律约束和安全教育:(1)严格的安全管理是信息安全的根本保证。各计算机网络使用机构应建立相应的网络安全管理办法,建设合适的网络安全管理体系,加强内部管理、监督和落实,才能降低信息安全风险。(2)先进的信息安全技术是实现信息安全的重要手段。用户对自身面临的威胁进行风险评估,决定其所需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术,形成一个全方位的安全系统。(3)完善信息安全道德教育和严格的惩罚措施是抑制信息安全事件的有效工具。高校图书馆的网络信息服务对象主要是教师和在校学生,网络攻击工具的泛滥和学生的好奇心理、冒险心理、侥幸心理是造成高校图书馆信息安全破坏的重要因素,内部的攻击往往最难于控制和预防。
2 影响图书馆网络信息安全的主要因素
2.1 计算机病毒的入侵
计算机病毒的传播和蔓延对计算机网络和图书馆信息造成的破坏性很大,有时甚至是毁灭性的。计算机病毒的传播速度快、危害大、变种多、难于控制、难于根治且容易引起多种疫情,一旦病毒发作,它将影响服务器性能、破坏数据和删除文件,还能损坏硬件,导致图书馆的网络系统瘫痪,网络信息服务无法开展,甚至有些图书馆的数据全部丢失,造成不可弥补的巨大损失。[3]
2.2 网络黑客非法攻击
黑客攻击比病毒更具目的性,因而也更具危险性。对于图书馆网络来说,黑客的危害主要有窃取数据、恶意破坏、非法使用网络资源。黑客一般采取的攻击方法有获取口令、放置特洛伊木马程序、电子邮件攻击、寻找系统漏洞、偷取特权等。利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击,前者可使黑客非法获得对用户机器的完全控制权,后者可使黑客获得超级用户的权限,从而拥有对整个网络的绝对控制权。这种攻击手段一旦奏效,危害性极大。[4]
2.3 内部人员安全意识薄弱
一方面,用户安全意识不强,没有系统防护意识。往往为了方便记忆常将开机口令设置的过于简单,而且有时会相互冒用认证密码,随意使用来历不明的工具软件、黑客软件、存储介质,造成系统感染病毒。另一方面,内部工作人员操作失误或有意破坏系统,也会对图书馆的网络信息安全造成极大的危害。
3 图书馆网络信息安全对策
3.1 强化安全意识
对图书馆工作进行保密教育和法律保护安全意识是图书馆系统安全的基础,图书馆网络系统平时出现的这样那样的安全问题大部分都是由于图书馆工作人员的安全意识不强造成的。因此应结合机房、硬件、软件和网络、操作等各个方面的安全问题,对工作人员进行教育,提高其保密观念及责任心; 加强业务、技术的培训,提高操作技能; 教育工作人员严格遵守操作规程和各项图书馆保密制度,不断提高法律观念; 了解国家颁布的相应法律、法规,以保证网络安全。[5]
3.2 引进先进技术
为图书馆网络安全与保密提供根本保证高新技术不断创新、发展,各种网络安全系统应运而生,只要图书馆各级领导能够重视起来,利用科学的技术,那么图书馆网络系统的安全问题就能够基本解决。第一,利用安全检测与评估系统,对图书馆网络系统进行检测。不但在入网前将不符合要求的设备或系统拒之门外,而且在实际运行过程中也要进行各种自动监测与维护。第二,利用加密系统来控制非法访问与数据资源的保护。对用户进行分类和标识,使数据的存取受到限制和控制。如当一主体试图非法使用一个未经授权的资源时,加密系统将拒绝这一访问机制,并将这一事件报告给审计跟踪系统,审计跟踪系统再给出报警并记入日志档案,以备管理人员检查。第三,利用先进的硬件、软件系统,避免各种已出现的漏洞。[6]我国图书馆研制、开发的各种硬件、软件系统最初都没有考虑安全问题,只是在使用运行过程中或者通过黑客的入侵,逐渐发现其漏洞、错误,这样,开发商就会逐步改进、完善并研制出更新更强的系统。
3.3 制定严格的安全管理措施
为图书馆网络系统安全提供可靠的依据图书馆网络信息的安全管理可分为技术管理和行政管理两个方面。技术管理前面我们已谈到利用先进的技术对系统进行安全检测与保密、密钥等管理,这里主要谈谈行政管理,它包括安全组织机构、责任和监督、业务运行安全和规章制度、人事安全管理、教育和奖惩、应急计划和措施等。
4 结束语
在当代高校图书馆走向网络化、信息化的过程中,网络信息安全无疑是其要长期面对的重要课题。为此,我们必须始终将网络信息安全摆在重要位置,不断发展、完善图书馆的网络信息安全措施,为图书馆的服务工作保驾护航。
【参考文献】
[1]龚俭.计算机网络安全导论[M].南京:东南大学出版社,2004.
[2]熊松韫,张志平.构建网络信息的安全防护体系[J].情报科学,2003(1):72-78.
[3]秦浩.浅谈数字图书馆的信息安全管理[J].科技情报开发与经济,2008(4):49-50.
[4]董翔,杨淑华.数字图书馆网络安全体系构筑研究[J].图书馆论坛,2008(4):254-255.
篇3
[关键词] 民族高校;双语教学;高等教育
[中图分类号] G642[文献标识码] A
[文章编号] 1671-5918(2011)05-0059-03
doi:10.3969/j.iss.1671-5918.2011.05-030[本刊网址] http://省略
我国高校双语教学首先在2001年教育部4号文件《关于加强高等学校本科教学工作提高教学质量的若干意见》明确提出,“对高新技术领域的生物技术、信息技术等专业外语教学课程达到所开课程的5%―10%”,2007年教育部137号文《关于启动2007年度双语教学示范课程建设项目的通知》指出从2007年至2010年共支持建设500门双语教学示范课程。我国高校双语教学经过近十年的建设,取得了丰硕的成果,批准建设了503门双语教学示范课程。但是在少数民族高校双语教学方面,仅有大连民族学院《国际商务》一门课程。这表明虽然我国高校的双语教学取得了丰硕的成果,但是民族高校双语教学方面基本处在摸索与起步阶段。因此对民族高校双语教学课程的研究具有非常重要的意义。
目前关于计算机科学与技术专业的双语教学探讨的比较多,如王练等[1],柴争义等[2],赵艳红等[3],但是对具体课程的双语教学探讨的比较少,如彭文娟[4]对《计算机网络》,董东[5]对《java程序设计》双语教学进行了研究。中南民族大学计算机学院从2006年开设《信息安全》双语课程,本文根据作者多年从事双语教学的经验与体会,结合了解到的其他大学的情况,就民族高校的《信息安全》课程双语教学提出几点心得和若干建议。
一、《信息安全》课程特点
信息是社会发展需要的战略资源.国际上围绕信息的获取、使用和控制的斗争愈演愈烈,信息安全成为维护国家安全和社会稳定的一个焦点。因此《信息安全》课程是信息类专业,特别是计算机科学与技术专业的重要特色课程,作为计算机科学与技术专业的学生有必要具有信息安全的意识和掌握一定的信息安全技术。信息安全是信息技术的前沿学科,以英语作为主要的专业技术表达语言,知识更新速度快,最新的技术及参考资料都是英文表达。如果由于语言的障碍,国际上信息安全方面许多新的技术、新的知识都要通过翻译才能传播,那我们就不能及时地掌握最新的技术。所以在《信息安全》课程教学中采用双语教学形式不仅可以培养更多、更有特色的计算机科学与技术专业人才,也可以为少数民族和少数民族地区培养更多具有高素质,国际化视野的人才。
(一)内容广泛。《信息安全》课程包含密码学、散列函数、报文鉴别、数字签名、安全协议、IP安全、WEB安全、入侵检测、恶意软件、防火墙等。根据民族高校的特点,虽然对这门课程的定位是信息安全的入门性质课程,但是也应该包含上面的这些内容。要在教学计划规定的36个学时中,采用双语教学的方式,让学生较好地掌握这些知识是一个值得探讨的问题。
(二)前期知识要求比较多。要想较好地掌握这门课程,需要数学知识、数据结构、算法、计算机网络、数据库、软件、操作系统等大量的前期知识。
(三)知识更新快。由于互联网的普及,人们得到各种攻击工具的成本越来越低,攻击工具的自动化程度越来越高,对攻击者的知识要求越来越低,但是攻击的复杂度越来越高,越来越难以防范。因此相应的信息安全技术发展也是日新月异,新概念,新方法,新知识层出不穷。
根据作者这几年对《信息安全》课程的教学实践,发现学生对这门课的往往是一开始比较有感兴趣,这是因为信息安全与现实生活联系非常密切,学生每天都在接触,但是在以后学习的过程中,由于某些知识复杂与掌握的困难,逐渐丧失了积极性,并无法切实感受到书本基础知识对今后解决信息安全问题的重要性。本文提出了作者对民族高校计算机科学与技术专业《信息安全》课程双语教学中的几点思考。
二、双语教学概念及模式
什么是双语教学(Bilingual Education)?根据《朗曼应用语言学词典》 给出的双语教学定义“Bilingual education:The use of a second or foreign language in school for the teaching of content subject与Wikipedia给出的双语教学定义Bilingual education involves teaching academic content in two languages,in a native and secondary language with varying amounts of each language used in accordance with the program model”定义。作者认为Wikipedia的定义更加符合我国高校双语教学的情况。因为Wikipedia给出的双语教学中更加强调“academic content”而不是语言本身的教学,而是学术内容的教学。这也符合《双语教学示范课程建设项目评审指标体系》中对双语教学的定义“双语教学是指将母语外的另一种外国语言直接应用于非语言类课程教学,并使外语与学科知识同步获取的一种教学模式”。关于学界争论的英语作为外语教学(TEFL)、“英语作为第二语言的教学(TESL)”以及“双语教学(Bilingual Education)”之间的差异,王静[6]进行了比较详细的分析。
关于双语教学的模式,有多种不同的分类,如美国的“过渡式”、加拿大等“法语浸入式”、“英语浸入式”与“英语与法语混合浸入式”、新加坡的“三向分流式”、澳大利亚“澳大利浸入式”双语教学等模式。目前我国有的高校,比如,上海交通大学[7],清华大学等,双语教学采用的是侵入式模式。俞理明[8]对我国双语教学的理论依据与模式进行了深入的分析与探讨。他指出现阶段我国高校双语教学的理论依据是依托课程内容教学法。常俊跃与刘莉[9]指出“内容依托”教学可被定义为“内容教学与语言教学目标的融合”。更具体地说是语言和学科知识的同步学习,即内容材料支配下的一系列语言介绍与学习。语言课程围绕学生的学术需要和兴趣,跨越语言与学科内容课程之间的障碍。它有三种元教学模式:主题式语言教学、保护式内容教学和附加式语言教学。其中在保护式内容教学中,学科知识专家用第二语言向学生教授内容课程。由学科内容教师承担教学任务,而不是语言教师。这种模式也是我国双语教学模式中的一种,由专业教师进行双语教学,而不是英语教师进行双语教学。就我国高校而言,双语教学基本上有三种模式:第一类是全外语型的,即基本上是外语教学,教师和学生上课都使用英语,这种全英语的教学模式也称为浸入式;第二类是混合型的,这种教学模式采用外语教材,教师用外语和汉语交替讲授;最后一种叫半外语型,即采用外语教材,用汉语讲授。俞理明[8]根据上海交通大学的双语教学实践认为我国双语教学应该采用全英语的教学模式,也就是采用侵入式。他的这个观点作者认为是值得商榷的。根据各个学校的情况来进行选择,既不能一刀切,也不能人为的拔高或降低。以我国民族高校为例,大部分学生的英语水平比较低,而且层次不高,其中 60%的学生是少数民族学生,要是采用全英语的教学模式,不适合民族高校的情况,教学效果与质量也不会太好。因此中南民族大学规定双语教学应该采用英语占50%以上的课堂教学是比较恰当的。
三、《信息安全》双语课程教学的心得与体会
根据作者对民族高校计算机专业《信息安全》课程双语教学的实践,下面从教师素质、教材选择、教学模式、考试方式四个方面,谈谈自己的心得与适合民族高校的若干建议。
(一)教师素质的提升
教师素质的高低在《信息安全》双语教学中占有非常重要的作用。作为《信息安全》双语教学教师首先要具有较强的专业能力与学术水平,这是基础,并且对《信息安全》课程要有充分的理解与掌握,吃透课程的知识点。此外,《信息安全》双语教学教师应该具有较强的专业英语与口语水平。具有良好的专业英语水平,可以使阅读《信息安全》专业的相关文献与书籍,才能获得最新的理论知识,追踪并掌握国外最新的信息安全技术与发展趋势。具有良好的口语水平才可以把自己掌握的信息安全的最新知识生动准确的传授给学生,提高学生的学习兴趣与知识掌握的效果。提高教师的英语水平,有多种方法,比如对双语教师送到国内外进行培训,这种方式效果较好,但是从时间、费用来考虑代价较大。笔者认为一个经济有效的方法是充分利用网络,对国外著名大学的计算机科学与技术专业的《信息安全》课程的一些视频进行学习与研究。一方面可以提高教师的专业水平,另外还可以学习国外名校的授课模式与方法,进行改造后,应用到教学中,提高教学质量。
(二)教材选择
一本适合各自学校的难易适中的教材无论是对学生还是教师来说,都非常重要。目前关于双语教材的来源主要有两种:一种是学校组织信息安全专业的教师自己编写教材,笔者认为此种方法值得商榷。虽然经过国家及学校对海外优秀人才进行了大量引进,同时也把国内教师送到国外进行进修与培训,都具有了相当的英语水平。但是由于具有中文背景,编写的“教材”看起来比较适合中国的阅读习惯。编写的“教材”作为补充教辅材料是可以的,不适和作为学生使用的教材。因为不能够更好训练学生的英语能力,不能使学生建立用英语模式进行表达的习惯。另外一种方式是使用国外编写的经典教材,比如,笔者学校选用的教材是William Stallings编写的,多次获得美国计算机科学和工程教材委员会最佳教材大奖的《Cryptography and Network Security Principles and Practices》作为教材。虽然国外编写的教材不一定非常适合各个学校的实际情况,同时对学生来说,增加学习的难度。但是笔者认为这可以通过一定的方式进行处理。最重要的是在开始阶段,给学生一个正确的英语表达习惯。
(三)教学模式
双语教学的授课方式与非双语教学相比,存在较大差距。主要受制英语的表达与理解、学生的英语水平。作者在双语教学的课堂教学中,采用了互动教学法,情景教学法等,既增加学生学习的兴趣又提高了教学质量。比如在讲授安全协议这部分内容时,首先用英语讲授安全协议执行的过程,让后让同学扮演不同的角色,一个是消息的发送者,一个是消息的接受者,一个是攻击者。让他们来模仿协议的执行,并且用中文表达出来,来加深对安全协议的理解。另外在讲授密码学部分时,首先用中文讲述一些和密码学发展的一些小故事,来提高学生学习的兴趣,活跃课堂气氛,然后用英语讲授密码学知识。
在授课内容的选择上,因为作者所选的教材包含的内容较多,根据民族高校学生的特点,进行了恰当的取舍。在授课内容上,采用循序渐进的方式,刚开始的部分讲授的慢一些,课堂上英语少一点,中文多一点;在学生建立了信息安全的基本的概念后,可以加快讲授的速度与增加英语授课的比例。另外在授课过程中,强调基本的概念和基本方法,对一些基本的概念和方法进行多次的重复。而对方法的细节可以不讲,或用中文讲授,这样学生比较容易接受。
充分利用教材,比如我们选择的国外原版教材组织的非常合理,每一章都有key idea 和key terms。在课堂讲授中,可以首先让学生翻译一下上一章的key idea以及terms,及锻炼了学生的英语翻译能力,又达到了复习上一章的目的。
根据《信息安全》课程前期知识需要比较多的特点,在授课的过程中,恰当的对用到的前期知识用中文进行介绍,减少学生学习的难度与对双语课程的为难情绪。
充分利用多媒体网络资源,提高学生的兴趣和教学质量。比如笔者在讲授Enigma,DES,AES密码算法时,就是利用相应的英文教学软件Enigma Simulator,DES Simulator,AES Flash等来讲授,一方面降低了内容的难度,另一方面使学生不自觉地学会了相应的专业词汇和英文表达,提高了英文阅读技能,提高了学生的学习兴趣。同时提供国外大学《信息安全》课程网站与信息安全某一领域的专业网站上的一些多媒体资源,让学生在课下学习使用。一方面让学生知道,我们所讲授的内容是与国外著名大学讲授的内容是保持一致的,另外一方面也开阔了学生的视野。
(四)考试方式
篇4
一、检察机关网络安全保密工作的重要意义
检察机关作为国家法律监督机关,是国家司法体制的重要组成部分,是一个涉及国家秘密、检察工作秘密,同时又大批量产生国家秘密和检察工作秘密的重要部门。加强网络安全保密工作,是开展反腐斗争、打击职务犯罪的需要;加强网络安全保密工作,是提高办案质量的需要;加强网络安全保密工作,是保护公民举报权利的需要。近年来,随着信息化技术的高速发展,国际互联网的广泛应用,大量新技术、新设备的投入使用,使得大量检察秘密信息隐于无形、传递快捷、复制方便,可控性弱。这种形势下,各地各级检察机关要确保国家秘密和检察工作秘密的安全,保障各项检察工作的顺利开展,做好网络安全保密工作意义重大。
二、当前基层检察机关网络安全存在的问题
(一)重视程度不够,保密意识淡薄。这主要表现为对计算机、网络的使用与管理缺乏足够的重视,对开展网络安全保密工作的重要性和必要性的认识上有偏差,信息化建设往往是基础建设上去了,但同步的安全保密措施并未跟上。如:计算机密码设置简单,并且没有定期更改的习惯,有些密码甚至是公开的;处理信息的网络没有切实做到与互联网的物理隔离;使用互联网传递材料;用处理检察信息的计算机上互联网;原先用作处理信息的计算机改上互联网,但先前计算机内存储的信息资料却没有及时清理,并由此埋下了重大的安全隐患。
(二)信息网络管理乏力,制度落实不到位。有些基层院对保密管理与信息安全的要求还仅仅停留在对纸质材料的保管回收上,而对存有大量信息的计算机设备和网络设备安全的重要性缺乏足够的重视。一是规章制度不健全。对计算机办公设备和内部局域网缺乏完善的管理办法,没有相应的管理制度,或虽有制度,但由于制定时间较早,已经不能完全适应新形势新发展的要求;有的制度流于形式,缺乏执行力;有的疏于管理,处于放任状态。二是对计算机和网络的保密管理不严。有法不依,有章不循,保密规章制度不落实,不能严格实行“专机专用”,甚至还存在“一机上多网”的违规现象。三是对网络信息安全仅仅停留在查防病毒的层面上。对主动防止外部“黑客”的侵入和检察信息的失泄密工作重视和管理还不够。
(三)硬件设施不到位,网络安全存在隐患。网络信息安全包括两方面:即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息完整性、保密性和可用性。当前,在基层检察机关信息化建设中普遍存在硬件设施不到位的情况,如:机房没有达到安全标准,未真正做防盗、防静电、防高温等;将台式计算机作为服务器使用,台式计算机在一些性能上无法与服务器相比,也不能进行随机备份,从而留下安全隐患;缺少备份服务器,如果硬盘出现故障或者数据遭到破坏,都将造成无法挽回的损失。
(四)专业技术人才匮乏,应用管理不到位。由于各方面原因,基层检察机关缺乏专业网络安全技术人员,网络管理员大都“半路出家”,没有经过比较系统、专业的计算机网络知识学习,对一些常见的网络故障还可以应付,而对网络安全知识却知之甚少,这种现状制约了网络信息安全建设的全面展开。同时信息化建设对检察人员的要求相对较高,而检察干警年龄、文化水平差距较大,信息化应用水平参差不齐,有的干警甚至不懂汉字输入,缺乏最基本的操作能力,对网上办公、办案更是无从谈起。检察业务人员之前接受的教育中几乎没有信息技术方面的知识,信息化的运用都是依赖于后期自学和短期培训;新招录的专业信息技术人员对于检察业务认识理解相对肤浅。因此,办案人不会操作计算机,而专业技术人员又不懂办案,缺乏检察业务与信息化建设相结合的复合型人才。因此,全体检察人员信息化应用管理平均水平较低,警惕性低。而安全系统总是在最薄弱的环节遭到攻击,即便有很好的安全管理软件,有强度很高的加密算法,软件安全设置过于简单,或者用户不使用,不设密码,也无济于事。
三、加强基层检察机关信息网络保密工作的几点建议
(一)加强人员管理,强化保密意识教育。领导务必高度重视对有关保密法规的学习和理解,要熟知检察机关信息化建设中安全保密的有关规定,牢固树立“保密无小事”的思想意识,切实加强对信息化建设中保密工作的组织领导,通过形式多样的教育方式强化全体干警的保密意识,尤其对网络技术人员进行经常性的保密知识教育.强化保密意识,增强正确认识和处理保密与办案、检务公开之间关系的能力。
(二)加强行政管理,建立安全防范机制。首先坚持技术层面的防范和行政管理并重的原则,根据《计算机信息系统安全与保密管理规定》,结合检察工作的特点,制定符合实际,操作性强的规章制度,以制度管好网络。要禁止无关人员随便进出机房,建立健全出入工作间制度、计算机使用制度、启用信息源的口令、用户标识管理制度、信息介质管理、保密机和密钥管理等制度。二要在执行制度上下功夫。严格按照网络安全保密工作责任制的要求,采取积极有效措施,狠抓规章制度落实,对违反规定的行为,坚决追查处理。切实做到用制度规范行为,按职责实施管理。形成制度化、正规化的网络安全保密管理秩序。
篇5
1基本概念
既然信息与我们的生活的关系如此密切,我们不妨谈谈信息是指什么。信息是人类对世界感知的记录。信息的表现形态有字符、声光、图形、影像,还有一些是人类的感官无法感知的,需借助仪器才能感知的表现形态。信息处理有记录、计算、编辑、统计、还原、传输、存储、审计和重现等形式。信息的记录不得不依靠载体,而载体又可分为存储载体,如在人类历史上,人们曾用甲骨、竹片、纸张、胶片、磁带、磁芯、光盘等作为存储载体。还有传输载体,如电缆、光纤、电磁波、空气和水等。信息是我们的无形资产,它对我们如此重要,以至于我们对它的安全越来越重视。因此,我们有必要知道信息安全的五个重要属性:真实性(reliability)、保密性(confidentiality)、完整性(integrity)、可用性(availability)。不可抵赖性(non-repudiation)。也就是说,我们在信息的应用和处理时,都要从这五个方面去考虑和权衡信息的安全。
2以现实例子解读信息安全术语
现实中对信息安全构成的威胁就是对信息安全这五个属性的可能的破坏。常见的破坏信息安全的情形有:未授权使用,窃取,伪装,篡改,制造缺损,妨碍使用,否认发送过信息等。为更好地理解信息安全,我们列举一些实例。例如,组织和个人的网站或主页(例如网上银行),需要密码才能登录;某些机密的区域通常会设置门禁。要是没有磁卡、不通过生物信息(指纹、视网膜等)认证,人们无法进入;这些都属于禁止未授权使用(在信息安全领域,未经授权使用,窥探,破坏信息行为的人,通常被称为黑客)。又例如,一些人通过在网站、软件内植入木马,盗窃客户的用户密码,从而偷窃用户的信息,继而盗取钱财,实施犯罪;也有人通过建立假网站,发送假电邮,在QQ中用别人的头像冒名顶替他人,或通过电话冒充执法部门进行执法,从而诈骗钱财,这类就是典型的信息伪装(字符的、图案的、声音的);有人将别人的付款、发货、转账等指令的数额擅自改大或改小,以达到不当得利的非法目的。还有人暗中更改账目,掩盖渎职,贪污等行为。这类行为称为信息篡改;还有一些信息,必须完整才能应用。比如,银行账户中,如果有一段时期的流水账缺失,你就有可能无法查核你目前的账上金额是否正确。一个企业,假如丢失了一两个月的收支记录。那么,这个企业就无法完成年度月平均绩效的计算。这表明信息缺损,可能是一个很严重的事件;信息如此重要,有时敌对的双方会用计算机技术手段,令对方在收集信息和传递信息时受到障碍,使对方无法分辨哪些是有用信息或无法发出信息或接收信息,导致信息交流失败。这种手法就是妨碍使用;还有一种破坏信息安全的行为是否认发送信息。例如,有人通过网上银行或网站炒股,利用股票价格的波动,趁机低价买入或高价抛出,从而获利。然而,有人因为没有把握好交易的时机,结果损失惨重。这时,这些人就有可能矢口否认自己在网络曾经发出过要求交易机构按其要求进行交易的指令,企图不认账,对发过的信息进行抵赖。以上列举了常见的涉及信息安全问题的各种实例。那么,我们如何去防范风险和维护信息安全呢?我们将从以下几个角度,探讨在计算机技术的应用中常见的信息泄漏的风险以及为保护信息安全可采取的防御措施:
3从计算机网络结构的角度考虑信息安全
目前,单台计算机应用已经很少见。为了互联互通,人们都是将计算机互联成局域网、广域网或互联网使用,即按照不同的人群、机构或区域,将计算机互相联通,达到跨计算机,跨办公室,跨建筑物,跨地区,跨城市,跨国家,甚至跨星球来使用。从而达到跨空间跨时区进行信息交流,资源共享的目的。这使人类突破了本身器官能力的限制,仿佛有了千里眼、顺风耳、无影手和超级脑。从计算机网络的角度去保障信息安全,也就是要在信息传播的途径上排除存在的风险因素。信息可以转换成数据。所以信息有时又被专业人士称为数据。信息传播的起点,通常是某台计算机,它可以表现为个人计算机、服务器、数据中心。传播的途径我们称为链路。人们以逻辑划分的链路,被称为虚拟链路。而实体可见的链路,称为物理链路。这些链路由信息的传播载体——电缆、光纤或电磁波(无线电波)构成。信息的终点可以是另一台计算机或展示信息的设备(如投影仪、打印机等)。要做到保障网络安全,就等于要保障信息从起点/源主机——路途/链路——终点/目的主机,整个传播过程的安全。信息在电脑网络传播中,在计算机技术领域,我们会用IP地址去标注信息的起点和终点。黑客在数据链路中截取或在数据终点提取数据,都有可能获悉信息起点的IP。这样,他就可以有针对性地对信息的来源计算机进行入侵,盗窃信息或发动攻击。
3.1网络攻击的种类
计算机网络常见的攻击有:窃取权限攻击、服务瘫痪攻击、响应探测攻击、篡改攻击、假冒攻击、口令攻击、缓冲区溢出。
3.1.1窃取权限攻击这类型的攻击是通过各种手段盗取用户的用户名和密码,从事侵权或违法活动。最常见的有三种:口令猜测:黑客利用人们对信息安全的意识的淡薄和懒惰的弱点进行用户名和密码的试探。比如,不少人用自己的名字或机器默认的admin或administrator做用户名,用单纯的数字或自然数字排列顺序的组合作密码,如1、0、123、123456、生日日期等作密码。这样,在众多的用户中,就有相当可观的几率猜中密码。另外,高级的黑客编一个并不复杂的程序,用字母(包括大小写)和数字组合,去试探某用户的密码,最终破解密码。一旦黑客猜中或破解一台机器,例如识别了基于NetBIOS的口令,他就可以控制一台微软的客户机/服务器;识别了基于Telnet的口令,黑客就可以控制一台交换机或路由器或服务器;识别了基于NFS的服务的可利用的用户帐号和口令,黑客可通过对某机器的控制,窃取与该机器共享文件的远端系统上的文件。因此,要预防被黑客猜中或破解口令,要选用难以猜测的口令,比如用词、字母(大小写区别)、标点和符号的组合。定期更换。不在公共场合使用登录密码或口令。如果服务支持锁定策略,就在机器中设置锁定。木马病毒:也称为特洛伊木马(取自希腊神话的典故),是一种由黑客编写并在用户不知情的情况下植入到客户系统的程序。一旦成功获取了用户的权限,他就可以直接远程控制用户的系统。这种程序也称为后门程序。有恶意的,包括:Trojan.QQ3344、Avp32.exe和Backdoor.IRCBot,为工作而善意设计的,如:第三只眼、VNC、向日葵、pcAnywhere。预防木马的方法是不打开来路不明的电邮,不点击诱惑性的弹出广告,不下载不了解的程序,不运行不了解的程序。并且可以通过网络扫描软件定期监测机器的TCP的服务。电子邮件轰炸电子邮件轰炸是一种有着悠久历史的匿名攻击。它是通过某台主机连续不断地向同一个IP地址发送电邮的方式。攻击者使被攻击者的网络带宽予以耗尽,致使被攻击者无法进行电邮收发预防的手段有:在邮箱中的反垃圾或黑名单中设置攻击者的邮件地址,达到自动删除或拒绝来自同一电邮地址或同一主机的过量或重复的电邮。
3.1.2服务瘫痪攻击服务瘫痪攻击是利用计算机网络传输数据的原理,通过制造异常的数据的传递,达到受害者的计算机服务崩溃而瘫痪。这类攻击包括:Smurf攻击:这种攻击是用黑客最迟发起攻击所用的程序名称来命名的。其名称来自最初发发动攻击的程序名称Smurf。这种攻击是运用这样一个原理:某个主机向另一台主机发送一个ICMPecho请求包(例如PING)请求时,接受主机将要回应一个ICMPecho回应包。广播地址可以同时向网络中多台主机发送ICMPecho请求包。因此smurf攻击有两种情形:
1)将受害主机地址作为源地址,向目的地址发送ICMPecho请求包,目的地址设为广播地址。此时回复地址设置成受害主机。这样就有大量的ICMPecho回应包淹没受害主机,导致受害主机崩溃。此回应包的流量比ping-of-death洪水的流量高出一或两个数量级。
2)将应答地址设置成受害网络的,以IP地址为255结尾的广播地址。广播地址接收到ICMP应答包后,根据数据包传输协议,将向该网络广泛发送ICMPecho应答包来泛洪该网络的多台主机,导致网络堵塞而无法传送正常数据包。对于这类攻击防范手段有:关闭外部入口的路由器或防火墙的广播特性来阻止黑客利用某台主机来攻击某个网络。也可在防火墙中设置策略,令其丢弃ICMP应答包。拼死它(ping-of-death):在研究计算机网络的初期,科学家对路由器的数据包的最大尺寸设定了一个上限,不同厂商的操作系统对TCP/IP协议堆栈的实现在ICMP包上都是规定64KB,而且规定在对包的标题头读取后,根据该标题头里所包含的信息来为有效载荷生成缓冲区。当产生ICMP包的尺寸超过上限或者说产生畸形的ICMP包时计算机就会出现内存分配错误,进而发生TCP/IP堆栈崩溃,结果导致ICMP包接受方宕机。目前的TCP/IP堆栈的实现已能应付超上限的ICMP包,大多数防火墙都有自动过滤这些超上限ICMP包的能力。在微软公司的WindowsNT后的操作系统、linux操作系统、Solaris操作系统和MacOS操作系统都已具备抵御“拼死它”的攻击的能力。因此,只要将防火墙进行恰当的配置,都能阻止ICMP或未知协议的此类攻击。泪滴(tear-drop):这类攻击是攻击者通过伪造数据包内的IP分段或故意使IP分段位移造成TCP/IP堆栈的崩溃。原理是TCP/IP栈的实现是依赖于其信任的IP碎片的包的标题头所含有的信息。这些信息表明IP碎片是原包的哪一段的信息。分段的次序一旦混乱。数据就无法正确重组。由于服务器的TCP/IP堆栈的实现受服务包的版本影响,要防范这类攻击,需要更新最新服务包。或者在防火墙的设置时,对IP分段进行重组,不设置成转发。UDP洪水式攻击(UDPflood):这类的攻击利用TCP/IP服务中的通信规则,如Chargen和Echo传送或应答来掺入毫无用处的数据,并刻意使这些数据足够大而占满整个带宽。使通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就利用了Echo的收到数据包后必回复一个数据包的特性,也利用了Chargen每收到一个UDP数据包后发回一个包含包含长度为0~512字节之间随机值的任意字符的数据包的特性。在两台主机之间生成足够多的无用数据流,如果足够多的数据流就会导致Dos攻击。防御措施:关掉不必要的TCP/IP服务,或者用防火墙过滤19端口的数据包即可。SYN洪水式攻击(SYNflood):一些TCP/IP栈的实现只能通过等待从有限数量的计算机发来的ACK消息,因为他们只有有限的内存缓冲区用于创建连接。如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应。攻击者就是利用“僵尸主机”向受害主机发送大量的无用的SYN数据包来占漫缓冲区时。使受攻击主机无法创建连接。防御方法:在防火墙上过滤来自同一主机的后续连接。SYN洪水式攻击被定义为DDos攻击。比较难以防范。由于释放洪水的并不寻求响应,难以鉴别出来。Land攻击:其手段为:把SYN数据包的源地址和目标地址都设置为某个服务器地址。这使服务器向自身地址发送SYN-ACK包,结果自身地址又发出ACK消息。于是就产生一个空连接。这些空连接的累积,最终导致TIMEOUT.对Land攻击的反应,不同的操作系统有不同。UNIX的许多实现会崩溃,WindowsNT系统会变得运行极其迟缓。防御:对防火墙进行配置,或者打最新的补丁,将那些在外部接口上进入的含有内部源地址的SYN-ACK包滤掉。(比如,包括10域、127域、192.168域、172.16到172.31域)。Fraggle攻击:利用UDP应答而不是ICMP应答,将Smurf攻击作简单的修改,就变形为Fraggle攻击。防御手段:设置防火墙,使其过滤掉UDP应答消息。
3.1.3信息收集型攻击此类攻击是为非法入侵他人数据做准备而收集相关信息。主要包括:体系结构刺探、利用信息服务、扫描技术。
3.1.3.1体系结构探测运用数据库中Banner抓包器,对已知响应与来自目标主机的、对坏数据包传递所作出发响应之间的分析对比,可以判断出目标主机所运行的操作系统的类型。比如,WindowsNT或Solaris。这是由于不同操作系统的TCP/IP堆栈的具体实现有所不同。抵御方法:去除或修改Banner,包括操作系统和各种应用服务的Banner,阻断黑客识别的端口,扰乱其的攻击计划。
3.1.3.2扫描技术地址扫描:应用ping这样的命令探测目标地址,对命令产生响应的就证明目标主机存在。应对策略:在防火墙上过滤掉ICMP应答消息。端口扫描:通常使用扫描软件,大范围地连接主机的一系列的TCP端口,扫描软件报告有多少主机所开断开被成功连接。阻止手段:不少防火墙能检测到是否被扫描,并自动阻断扫描企图。反响映射:通过向主机发送虚假消息,然后根据返回“hostunreachable”这一响应消息特征判断出哪些主机是存在的。这些虚假消息通常是:RESET消息、SYN-ACK消息、DNS响应包。原因是如果黑客的常规扫描手段容易被防火墙阻断。防御:NAT和非路由服务器能够自动抵御此类攻击,也可以在防火墙上过滤“hostunreachable”ICMP应答。慢速扫描:通常的扫描侦测器是通过监视某个时间帧里主机发起的连接的数目(例如每秒10次)来决定是否在被扫描,这样黑客利用扫描速度比常规慢一些的扫描软件进行扫描,逃避扫描侦测器的发现。防御:通过引诱服务来对慢速扫描进行侦测。
3.1.3.3利用信息服务DNS域转换:DNS协议不对域转换或信息性的更新进行身份认证,这使得该协议被黑客以一些不同的方式加以利用。黑客只需实施一次域转换操作就能得到一台公共的DNS服务器的所有主机的名称以及内部IP地址。预防:设置防火墙规则,过滤掉域转换请求。Finger服务:黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。抵御手段:关闭finger服务并获取尝试连接该服务的刺探方的IP地址,然后根据该IP地址在防火墙设置策略,滤掉试图建立服务连接请求。LDAP服务:黑客使用LDAP协议窥探网络内部的系统和它们的用户信息。防御:在防火墙设置规则对刺探内部网络的LDAP进行阻断并记录。如果在公共主机上提供LDAP服务,那么应把LDAP服务器放入DMZ采取特别保护。
3.1.4假消息攻击用于攻击配置不正确消息的目标。主要手段包括:DNS高速缓存污染、伪造电子邮件。DNS高速缓存污染:黑客可以将虚假信息掺入DNS服务器并把用户引向黑客自己的主机。因DNS服务器与其他名称服务器交换信息的时候并不进行身份验证。防御:在防火墙上过滤入站的DNS更新,不让外部DNS服务器更改内部服务器对内部机器的认识。伪造电子邮件:梗概:由于SMTP并不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户伪造电子邮件,声称是来自某客户认识并相信的人,邮件内容可能有诈骗内容,并附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的连接。预防方式:使用PGP等安全工具并安装电子邮件证书。口令攻击:盗窃的手段有对登录密码的破解,制造假登录界面骗取密码等。发动攻击的手段有ARP攻击、病毒攻击等,目的就是让信息发源地的电脑瘫痪,无法正常发送信息。防止源IP地址轻易被黑客知悉,防御:对传输的信息进行加密,用密文传送信息。缓冲区溢出:因为在许多服务程序中不少粗心的程序员经常应用strcpy(),strcat()类型的不进行有效位检查的函数,导致黑客编写一小段利用程序就可以打开安全缺口,然后再恶意代码缀加在有效载荷的末尾。这使当缓冲区溢出时,返回指针将指向恶意代码,令系统控制权被黑客夺取。防御:利用SafeLib、tripwire这样的程序保护系统,或者浏览最新的安全公告不断更新操作系统。畸形消息攻击:不同种类的操作系统在提供服务,处理信息之前没有进行错误校验,导致系统收到恶意用户制造的畸形消息时崩溃。防御:打最新的服务补丁。上述的情形,多数发生在互联网的计算机网络中。而企业或机构级的局域网,也就是在企业内,主要防范的对象是社会上的黑客。这种情形通常是把业务网和互联网做物理隔离,即业务网完全与互联网没有物理通路。
4从硬件发展的角度考虑信息安全
随着计算机技术从单机应用到互联成计算机网络,越来越多的重要信息在互联网上传播。因此,防止信息泄露的手段和设备应用到计算机网络。常用的手段和设备如下:考虑到物理安全,人们针对重要信息可能通过电磁辐射等泄漏。需要对存放绝密信息的机房进行必要的设计,如构建屏蔽室。采用辐射干扰机,防止电磁辐射泄漏机密信息。对存有重要数据库且有实时要求的服务器必须采用UPS(不间断稳压电源),且数据库服务器采用虚拟化,双机热备份,数据异地存储等方式保证数据库服务器实时对外部用户提供服务并且能快速恢复。在计算机网络上增设防火墙。防火墙是一个硬件设备,是网络安全最基本、最经济、最有效的手段之一。防火墙可以实现内部、外部网或不同信任域网络之间的虚拟隔离,达到有效的控制对网络访问的作用。通常有两种形式:
1)总部与各下属机构的隔离和访问控制。防火墙可以做到网络间的单向访问需求,过滤一些不安全服务;可以针对服务、协议、具有某种特征或类型的数据包、端口号、时间、流量等条件实现安全的访问控制;具有很强的记录日志的功能,可以按管理者所要求的策略来记录所有不安全的访问行为。
2)公开服务器与内部其他子网的隔离与访问控制。利用防火墙可以做到单向访问控制的功能,仅允许内部网用户及合法外部用户可以通过防火墙来访问公开服务器,而公开服务器不可以主动发起对内部网络的访问,这样,若公开服务器造受攻击,内部网由于有防火墙的保护,依然是安全的。在网络中应用安全路由器。路由器作为内外网之间数据通信的核心设备,安全路由器与普通路由器的区别在于安全路由器本身具有安全防范能力。其功能相当于“防火墙+路由器”。就网络而言,其面临的安全威胁主要源自于未经授权的非法网络访问、网络传输过程中可能出现的敏感信息泄漏与遗失、数据完整性破坏及计算机病毒的传播等几个方面。而解决这类问题的途径只有用法律和预防,计算机技术为预防提供了预防的可能和方法,这就产生了安全路由器。这其中,路由器作为不断接收和转发路由信息与IP数据报,而防火墙则是对信息及数据报的检查筛选。只要符合安全要求的数据包才能通过内部与外部网络之间闸口。并且对允许通过的数据包进行加密处理,强化了数据传输的安全。能够有效检测及防范各类攻击事件的发生。在网络中使用应用安全管理器(ASM:ApplicationSecurityManager)。网络安全产品ASM是一款基于最先进的第三代准入控制技术的纯硬件设备,秉承“不改变网络、不装客户端”的特性,旨在解决网络的合规性要求,达到“违规不入网、入网必合规”的管理规范,满足安全等级对网络边界、主机保护的相应要求,同时提供更高效的、智能式的网络防护功能。
5从软件应用的角度考虑信息安全
这是人们通过设计一些专业的程序去检测网络及主机的安全隐患,防止信息泄露。而这些程序可能直接在计算机中运行,也有在专门建造的设备中运行。黑客通过软件技术非法使用或盗窃信息的常见手法有:在运行的应用程序或链接中植入木马,运用程序破解密码,刻意传播病毒,进行包嗅探(packetsniffing)、DHCP窥探(DHCPSnooping)、IP地址瞒骗等。首先,我谈谈如何避免中木马计。当需要登录高度保密的网站(例如,网银等)时。打开高度保密网站前,最好重启计算机,启动应用程序越少越好(一些木马是伴随应用程序的启动而启动的),其他的网页不打开或打开的网页越少越好(部分网页被植入了带木马的链接)。另外,打开网页后,一定要确认网址是否正确或异常。千万不要在不正确或有异常的登录页面输入用户名和密码。还有,在与别人或机构交流信息时,不熟悉的人的电子邮件,不熟悉的人提供的链接,都不要去点击打开。以免被诱导访问陷阱页面或被对方控制你的计算机。其次,我们如何去防范密码被轻易破解?这就要求我们在设置密码时。密码的位数应尽可能多,尽可能复杂。应由数字、字母(区分大小写)和字符三方面组合而成。密码的越复杂,破解就越难,破解所需的时间也越长。密码要定期更换。而且,密码不能存放在有机会被人发现的媒介中(纸条、无密码的光盘,无密码的电子文档)。我们必须重视信息安全,不厌其烦。在登录程序或网站时,绝不通过别人发送的链接登录,只通过直接点击自己电脑的运行文件(自建的快捷方式)登录程序或自己输入网址(或自己已确认过,预先收藏的网页)登录重要网站。若打开别人提供的链接来登录程序或网站,就给黑客提供了向你推介假登录界面的机会。即使按上述严谨的方法打开登录界面后,也要留意与平常打开的是否有异常。必须注意每一个细节,包括数字、字母、字符、界面的版面风格等。确认没异常才输入密码。值得注意的是,一旦在假登录界面输入了密码,你的密码就已泄漏。如果你登录后发现自己登录了假系统或网站,需马上登录正常的系统或网站,立即修改密码,尽可能抢先在盗贼实施盗窃行动之前。再次,我们来谈论病毒传播。计算机病毒是一些对网络设备的设置和信息产生损害的程序。这些程序是一些懂编程的人员故意制造的。动机通常有以下几种:针对性地进行信息破坏;通过传播病毒造成的影响来成名,显示自己的编程能力;对所制造的程序的危害认识不足,试验性的把一些破坏性的程序在网络里传播,看看其破坏力,有进行恶作剧的心态。对于计算机病毒的防御,我们可以各种手段。例如,扫描查杀,隔断传播通路。目前计算机的使用前都应该安装专业的查病毒杀病毒软件,把病毒库更新为最新病毒库。计算机使用者应定期对计算机进行全盘扫描,查找病毒。如果查到有病毒,可以根据情况采取删除,隔离病毒。杀毒软件还有预防和及时提醒病毒入侵的作用。另一个防病毒的手段是切断交叉感染的途径。我们要有一个清晰的概念,凡是有信息交流,就有病毒传播的机会。因此,在机构内的业务网,通常是禁止与互联网交流信息,同时也禁止个人在业务网下载和上传信息。这种禁止的手段,最常用的就是业务网和互联网的物理隔离,将USB接口和光盘驱动器的禁用。通过BIOS和注册表的设置,我们可以禁止U盘、移动硬盘和光驱的使用。也可以使用一些专业的应用软件来禁止USB接口和光盘驱动器的使用。当然,禁止了U盘、移动硬盘和光驱的使用,在当代的信息时代,会给业务操作员的个人业务总结、业务汇报、业务技术交流带来诸多不便。业务网的使用者会以各种的理由和特权企图突破封锁。但这种措施确实能保障业务信息的安全,阻断了病毒的传播途径。是一种两害相权取其轻的折中方案。因此,要保障业务网的信息安全,上至高层领导,下至普通员工,都很有必要严格遵守业务网的信息下载和上传的安全守则。业务网的信息交流必须有专人管控。下载和上传信息到业务网的介质(U盘、移动硬盘、可刷写的光盘)在使用前都要查杀病毒,确保所用介质是不带病毒或相对安全的。接下来,我们再来探讨通过软件窃取信息的手段和预防。包嗅探(PacketSniffing)是一种用于计算机网络的窃听形式,类似于电话网络的搭线窃听(Wire-tap)。它是以太网流行的一种窃听手段。以太网是一种共享媒介网络。这就意味着,连接于同一网段的主机的数据流(Traffic)都要经过以太网卡的过滤器。这个过滤器的作用是防止某台主机看到已编址的数据流发送到其他站点。而嗅探程序可以关闭过滤器,使得黑客可以看到该网段所有主机数据流的行踪。在当代的计算机网络,某些公司的产品甚至已内置了嗅探模块。大多数的集线器支持远程监控协议(RMONstandard),这协议允许入侵者使用SNMP进行远程嗅探。而SNMP具有较弱的认证能力。不少大公司也使用网络联盟的“分布式嗅探服务器”。有了这种服务器就能容易猜到用户的密码。WindowsNT的机器常常装有“网络监控”,它也允许远程嗅探。这种嗅探功能在信息安全的应用中是一把双刃剑。正义方可以利用它在信息安全中发挥监控作用。邪恶方可以利用它造成对信息安全的威胁。当今的计算机网络越来越依赖于交换技术。妨碍包嗅探在交换技术中的发展,计算机网络的研究人员取得了一定的成功。这些研究成果,在越来越容易在交换数据流的服务器和路由器上远程装入嗅探程序的今天,依然有用。然而,包嗅探程序很难探测。人们依然在坚持进行深入研究,但目前还没有根本的解决方案。包嗅探流行的原因是它能一览无遗。典型的嗅探项目有:SMTP,POP,IMAP数据流。它们使入侵者能读取实际的电邮。POP,IMAP,HTTPBasic,Telnetauthentication数据流。它们使入侵者能离线读取明文的密码。SMB,NFS,FTP数据流。它们使入侵者能在线读取文件。SQL数据库。它们让入侵者能获悉金融交易和信用卡号。嗅探不仅能读取信息攻破一个系统。而且可以干预一个系统。因为入侵者利用嗅探可阅读每一个感兴趣的文件。还有一种通过软件窃取信息的手段称为“IP哄骗”(IPSpoofing)。这是黑客在某个网段的两个通信端点之间植入嗅探程序,扮演其中一方来劫持联系。这通常用作发动拒绝服务攻击,并且伪装的IP不受干扰。从上述的分析来看,要抵御包嗅探,我们需要安装电子证书以便进行身份认证;对传输的信息进行加密,用密文传送信息;加强对数据库的日志的察看和审计。
6小结