时间:2023-10-11 10:03:58
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇信息安全概论,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
关键词:信息安全;教学改革;课程教学;实验教学
信息安全导论(信息安全概论)课程是信息安全专业的专业基础课程,也是计算机学科相关专业的重要选修课程。其主要作用是让学生掌握信息安全的基本原理、基本技术;了解信息系统安全的设计方法;而且要求学生能够进行一些信息安全实践,具有一定的分析问题、综合解决问题的能力和动手能力。由于这门课程理论性强、信息量大且抽象,而授课对象多是专业知识尚不丰富的中低年级大学生,因此,如何在教学过程中提高学生的学习兴趣,合理地教学重要知识点,如何更好地将理论知识融入到具体的实验中去,高效地达到教学目的,就成为我们在教学研究中需要解决的主要问题。
1 信息安全导论课程教学现状分析
1.1 课程特点
信息安全导论与其他课程相比具有显著的特点,具体表现为以下几个方面。
1)知识涉及面广内容多。该课程是一门综合性课程,涉及数学、计算机、通信、管理学等多个学科领域的知识内容,涵盖内容广泛。其教学内容主要包括:信息安全概念与技术体系、信息保密技术、信息认证技术、访问控制技术、密钥管理技术、计算机系统安全、网络安全技术、信息安全管理等内容,是一门综合性实践性很强的课程。
2)部分内容更新快。随着计算机和网络技术的迅速发展,操作系统和各种应用软件的版本不断更新,使得攻击方式和防范手段日新月异、“水涨船高”,一些新的信息安全技术不断产生。因此,课程教学内容需要紧跟信息技术发展趋势,不断更新。
3)对先修课程要求高。在学习本课程之前,要求学生必须具备一些如数论、汇编语言、计算机网络甚至数据库系统等基础知识。这样才能较好地理解本课程涉及的密码学基础和应用、网络攻击与防范、恶意代码分析等内容。如果学生没有学习网络协议、SQL,对学习和理解利用各种协议和数据包的攻击、网络抓包、文件调试,对系统注入攻击等会显得比较困难。
4)实践性强。本课程涉及的许多知识需要学生在实践中加深理解,并在实际中具体应用。例如在学习Sniffer嗅探抓包、加密软件PGP等内容时,如果不安排学生上机实际操作,亲自体会实际应用,很难真正理解它们的原理。
1.2 课程教学中存在的问题
1)信息安全的丰富内容与课堂学习时间较少的矛盾。
信息安全导论需要大量的前修知识。如信息安全数学基础,是密码学部分的支撑内容;软件知识基础,包括数据结构、算法、C语言、汇编语言等;系统结构基础,包括计算机组成原理、操作系统和计算机网络等。另一方面信息安全导论自身的内容却非常广泛,包括信息安全基本概念、程序软件安全、密码学、网络安全、计算机系统安全、信息隐藏以及安全产品设计等。而安排的理论课时较少(32~40学时),如何全面讲授内容并将知识的“点”与“面”完美的结合是教学要权衡的问题。
2)学生的学习积极性与课程章节顺序的矛盾。
通过课堂观察和课后谈话调查,发现学生学习积极性随教学内容有不同的起伏。原因主要有以下两点:①学好本课程需要一定的数学知识。在讲授密码学知识时,由于前期的数学知识基础不扎实,很多学生只是盲目被动地听课,学习积极性较差;如果密码学安排在第2次课开始,对学生的初始积极性有较大打击。②如果本课程作为入门课程安排在低年级,学习就需要大量的后续知识支撑。如在讲授抓包或VPN时如果不懂网络和协议、在讲授注入攻击时不懂SQL语言,就没法讲了;还有PE文件的跟踪调试需要汇编、WEB安全需要Internet编程知识等。
3)信息安全内容及其相关产品的快速更新与教材内容相对陈旧的矛盾。
信息安全内容从PKI到PMI、入侵检测到入侵防御都有一定的发展;网络攻击的手段都有提高,而现在教学的内容很多实例都是Windows2000操作系统下的,在当前多用XP或者windows7的条件下,虽然有的兼容,但大多已不能成为安全威胁,因此教学示范性较差。
4)部分内容与后续专业课程内容相互交叉重复的矛盾。
对于信息安全专业的学生,后面将要开设专门的网络安全、安全协议、计算机病毒分析与防范、PKI技术、信息安全管理等课程,那么导论中网络安全协议、防火墙、VPN、入侵检测、恶意代码、PKI、信息安全标准等要讲多少、讲多深等问题,都成为我们要权衡的重要问题。
5)教学媒体使用与教学手段方法的矛盾。
目前大多高校都已采用多媒体教学,但如何编辑一个效果好的课件成为许多教师的一个心病。制作课件不像传统教学备课,需要耗费大量的时间和精力。有的老师利用出版社的课件讲课,多数不能如愿讲授自己的东西。大多课件是对书本内容的罗列,内容较多且抽象,对启发式、讨论互动式的教学方法采用比较少。因此单一的课件或粉笔的授课模式、单一的课件播放解说模式已不能满足教学需求。
6)实验需求与实验条件和实践教学方法相对落后的矛盾。
在计算机技术飞速发展的今天,没有永远先进的实验器材。实验室中有的计算机配置较低,即使较新的计算机由于不断实验,系统配置改变,难免还有很多木马病毒,使得学生上机首先得花很多时间“摆平”系统;如果硬件防火墙和入侵检测等系统设备少,还得分组甚至排队实验;实验系统也不一定全部满足实验内容需求。另外,实验教学很多采用“保姆”式的方法,即在确定时间内,学生根据实验指导书要求,在教师指导下逐步完成实验,教师“抱着”学生走,学生严重依赖教师,处于被动学习状态;或者干脆采用“自由开放式”,教师除了给出指导书,什么都不管,任凭学生发挥,这样可能造成实验室设备管理混乱,学生虽然有了主动,但处于对实验内容和目的失控状态。
2 信息安全导论理论教学改革
根据信息安全导论课程教学现状的分析,教研室进行了以下的理论教学改进。
2.1 确定教学知识点,合理安排教学内容和课时
针对课程内容多、学时少的问题,以课程标准为指导并结合多年的教学经验,对教学内容和课时进行适当调整,通过确定教学知识点,可以有效减轻学生的学习负担,使学生学有重点。理论教学的主要知识点内容和课时如表1所示。
理论课时安排为40学时,对于教材中提到表1中没有出现的内容,留给学有余力的学生课外学习。
2.2 选用新教材,适当调整教学内容和顺序,保持学生的学习热情
针对信息安全内容快速更新、学生学习积极性、与后续课程内容重复等问题,教研室在选用教材时尽 量选择较新出版的、内容与知识点基本接近的教材。如果教材的知识内容顺序与表1不同,尽量按表1的内容和顺序讲授,并适当协调内容和进度。
表1中将恶意代码分析放在密码学基础之前,就是为了提高并保持学生学习兴趣。学生在学习绪论后只是对信息安全有个大致了解,对具体的威胁和风险表现出强烈的求知渴望,因此将恶意代码提前讲授可以达到提高兴趣、引导深入的目的。表1中的课时和内容也可以视情况进行裁剪调整。对于信息安全专业的学生,如果先期开设了密码学的,这部分内容就可以省去,当然可以适当复习、加深理解;如果后续还有专门课程如网络安全、网络协议、入侵检测、PKI技术、信息安全管理等可以视情况适当减少讲授这些内容,避免太多的内容交叉重复,从而减少课时。
2.3 改革教学方法和手段
信息安全导论课程中涉及的内容繁多,有时需要数学推导,有时需要详细深入讲解,因此传统的教学方法和手段难以适应教学要求。
1)采用多媒体和粉笔(或鼠标涂鸦)相结合的教学模式。摒弃单一的课件播放解说模式,将不易表达及难以理解的内容以手工图画的形式呈现给学生,吸引学生的注意力。尽管多媒体课件可以使用动画生动演示一些复杂的理论或技术操作,但制作这些动画将花费教师大量的时间和精力;如果此类内容太多,个人以为不如将这些时间和精力花在如何备好课讲好课上,这样才能使课堂信息量更大、更生动,而且手工图画教学不仅能使学生对该知识有一个直观认识和加深理解,还增强了学习积极性、互动性。
2)通过教学实例加深理解。比如在学习恶意代码是可以演示对WIN32系统无害的早期DOS病毒,演示一些常用的相关DOS命令,演示加密解密工具的使用过程等,演示系统如何配置审计策略、Kerberos认证、防火墙策略等;让学生从原理到现象有更加感性的认识和理解。这样不仅有利于学生掌握知识点,还培养了学生提出问题并积极主动分析问题的习惯。
3)使用任务驱动教学方法。对于每一需要掌握的重要内容,适当安排课外作业和实验任务,使学生根据任务来加深理解和掌握课堂教学的理论和实践。例如,PGP实验需要预先下载安装合适的版本,并在网络申请自己的密钥对之后再应用,可以先由学生自己课外完成;恶意代码捆绑器或小型病毒木马的编写任务,可以在课外提高学生学习的兴趣;网络攻击实践也可以满足学生的黑客梦。另外还可以组织专题讲座或者新技术报告,让学生了解最新的信息安全动态,掌握国内外发展趋势。
3 信息安全导论实验教学改革
信息安全导论实验教学的主要目的是让学生通过实验能够掌握基本的信息安全防护技能,了解系统存在的安全隐患,树立牢固的安全意识,培养良好的安全习惯,提高信息安全实践操作和应用能力。信息安全导论可以实验的内容很多,而实验课时又较少,因此如何选择实验内容,如何设计实验项目,成为教师经常思考的问题。
3.1 改革实验教学内容
为了达到实验教学目的,教研室设计了以下几个必做的实验项目:1)Sniffer嗅探:学习典型嗅探器Sniffer/Ethereal的使用了解数据包的结构,增强对数据包在网络传输要进行保护的安全意识;利用嗅探工具对报文进行捕获、解码和编写报文,并对协议进行分析。2)软件防火墙:理解防火墙的工作原理,并能根据定义的安全策略配置相应的安全规则;利用防火墙iptables和nmap,进行防火墙配置。3)VPN:通过学习VPN服务器的配置和授权客户访问建立连接来加深VPN概念的理解。4)Snort入侵检测:学习Linux下snort的配置和编译过程,完成实时流量分析和对网络上的IP包登录进行测试等功能,能用来探测多种攻击,加深入侵检测的理解。其他选做实验:简单恶意代码编写、Windows系统安全配置、注册表、PGP加密解密应用、网站攻击、网络协议SSL等实验可以灵活考虑作为课外任务由学生自己完成。
3.2 改善实验教学环境
为了让学生更好地完成实验内容,引进了先进的信息安全实验教学系统。同时更换老旧的计算机设备,对操作系统进行软件备份与恢复,避免了硬件恢复卡一启动就恢复破坏前期实验配置,也避免了上一轮实验的环境改变对本次实验的影响。
3.3 改变实验教学模式
采用集中实验和个人课后实验相结合、验证性实验和综合性实验相结合的实验教学模式,打破实验室传统的在固定时间内完成固定实验内容的教学模式,大力推行开放式实验教学,即在时间上全面开放,在实验内容上开放。只要学生时间许可,可以随时到实验室利用实验系统按照自己的兴趣和爱好,进行一些综合性实验。这样不仅提高实验室利用率,还培养了学生独立思考、自由发挥的品质。
Abstract: Providing the young talent with professional skills about information security and sense of responsibility to maintain the network stability is the main aim of information security discipline. To help all the students have a better understanding of the technology of network security and the way of informationization, quality education of information security should be popularized in university. Relevant laws and regulations should be increased in information security discipline to improve the professional quality of students in this major. This paper proposes to remain little time in class for students to present the latest case of information security and share the experience of each other. On the performance evaluation of subject, it combines the experiments with appraisal system and onlines examination, increase summer class practice to enhance both innovative consciousness and practical ability of students.
关键词:信息安全;普及;素质教育;创新意识;实践能力
Key words: information security;popularize;quality-oriented education;innovative consciousness;practical ability
中图分类号:G642 文献标识码:A 文章编号:1006-4311(2016)31-0221-02
0 引言
随着计算机技术的飞速发展和通信网络广泛覆盖,网络化的消费生活和信息化的工作方式已经成为人们工作生活的主旋律。随之而来的不仅有生活的丰富和工作的便捷,还有更为高水平的网络攻击和信息诈骗,对人民的工作造成了重大影响,生活产生了巨大威胁。
另外,2013年6月斯诺登事件和“棱镜”计划的曝出,也让我们更深刻的意识到网络安全问题在国家层面的影响。由此看出,网络安全面临威胁日益严重和风险逐步扩大;强度高,规模大,组织严密的国家级网络威胁已经逐渐明显。信息安全学科的设立,不仅在于维护广大公民的的个人隐私和财产安全,也与保卫国家安全息息相关。
信息安全与网络安全已经作为国家安全的不可或缺的一部分,受到国家的高度重视。在2014年2月27日的主持召开的中央网络安全和信息化领导小组会议中,深刻阐述了“没有网络安全就没有国家安全,没有信息化就没有现代化”的重要论断,提出了从网络大国走向网络强国的宏伟目标,使国家网络空间进入到一个全新时期。培养业务水平高,综合素质好的网络安全人才是实现网络强国的基础。因此,在信息安全学科教育过程当中采取理论实践与素质培养并行方法,使学生兼备高水平的网安全专业知识和高素质的信息安全素养,至关重要。
1 学科特点
信息安全学科作为一门涵盖网络,通信,电子商务,法律等的交叉学科,涉及行业及领域较为广泛,综合性强,具有以下特点:①课程涵盖丰富冗杂,涉及高等数学,代数与逻辑,数据结构与算法,计算机网络,信息安全体系结构等,除了相关的专业知识外,信息安全学科还需要学生有正确的法律底线和是非观念。②相关技术发展迅速,更新换代时间短。课本上的原理和知识有助于学生了解相关技术的发展和细节,但当前面临的问题及需求的技术和相关原理短时间难以呈现在课堂上。③对于学生的实践能力要求较高,学生的知识水平不能仅仅通过试卷上面的分数来现。
针对以上特点本文提出了如下几个方面的教学课程改革。(图1)
2 学科教学改革
2.1 信息安全素质教育的普及
大学之道,在明明德,在亲民,在止于至善。《大学》的开篇之语就点名了创办大学,不仅是为了传播知识发展科技,更深层的意义在于培养能够为能够肩负社会责任德才兼备的青年力量。信息安全学科旨在培养兼备网络安全专业知识和维护网络稳定安全责任感的人才,因此首先要帮助学生树立对信息化的正确认识和理解并加深其对自己对社会和国家的责任感与使命感,普及信息安全素质教育,培养学生的信息安全意识和专业素养。
作为一个拥有6.88亿网民的网络大国,互联网普及率超过50%,互联网已经成为人们工作生活的一部分:网上购物、订票、学习,求职、同城交易等各方面都离不开网络。而网络安全问题素质教育却存在严重缺失:对于个人隐私的保护通常靠自觉,而信息诈骗靠标语提示还不能引起人们的重视,具有威胁的链接常常因好奇被点开等,各种人们面临的各种信息安全威胁基本靠个人的安全意识,很难识别,一旦爆发,即使利用相关计算机技术进行溯源或防御,损失只能降低不能完全消除。在本科教学中普及信息安全常识,把信息安全教育作为一门公共基础课进行推广,全面提高国民的信息安全意识是防范各种网络威胁最基本的措施。
2.1.1 在高校普及信息安全素质教育
对于全体学生的信息安全教育普及应从树立正确的网络安全观念开始。网络安全是动态的,开放的,相互之间关联性强;在信息飞速流通,通信网络发达的今天,任何一个小小的事件都可能产生巨大的影响,从而产生“星星之火可以燎原”的态势。将信息安全素质教育作为公共基础课普及和推广,不仅要让全体学生了解到计算机技术和互联网带来的便捷,更要教会他们保持清醒的头脑,学会分辨各种信息,使“徐玉玉”等大学生被骗身亡的悲剧不再重演;从而使学生在海量的信息中安全高效地获取有用信息,对网络技术从“会用”变为“用好”。
2.1.2 对计算机相关专业增加相关法律和心理学教育
信息安全专业人才,在应对安全挑战时需要与不法分子斗志斗勇。因此,教学过程中应适当加入一些心理学和法律相关知识,使学生具有明确的安全意识和法律意识。而对于安全意识的培养要不断强化,不能一蹴而就,要将它渗透到每节课中。对每一个相关知识点有实例引入,并进行相关心理学和法律知识延伸,让学生全面了解每一个问题,拉近学生与学科之间的距离,提高学生的兴趣。
2.2 课堂留余,给学生展示交流
学而不思则罔,思而不学则殆。主动思考是真正学习开始,只有学生开始思考问题,才能真正解决问题。传统教学,以老师为中心,学生为听众,被动的复制和记忆,缺乏思考。教学中,在课堂留出十分钟时间,布置相关课题,搜索相关资料,进行展示交流,促进可促进学生主动思考学习。
针对信息安全学科的特点,展示和报告的课题可有以下选择:①对于目前网络面临的主要威胁做出总结和分析;②以小组模式进行选择实际网络威胁案列进行介绍;③分两个大的组“攻击方”和“防御方”,进行攻防模拟。
这种课堂互动性较好,能够使学生独立思考,并对相关知识做出自己的独特的认识和体会,使学生在科研能力和创新能力上更上一层楼。
2.3 设置有自动评价机制的实验模拟系统
网络安全知识的学习需要大量实验课支撑,加深学生对知识的理解。由于学生众多,机房空间较大,不易管理。学生有问题时老师分身乏术,很难保证每一个学生的问题都得到解决。而学生遇到的问题大多相似,但由于座位分散,很难统一进行讲解。
为了使学生最大范围的得到解答,可以采取如下措施:①参考一些大型考试,如“信息安全大赛”设置带有自动评价机制的实验模拟系统,对个别难点进行讲解,在同学多次错误,无法进行的时自动提示。②可简单在线统计学生任务完成情况,在得到老师准许的情况下,让率先正确完成同学辅导有困难的同学。
这种实验课方式能让更多的同学得到解答,同时更高效地完成教学任务。
2.4 无纸化考试
线上学习,突破了传统教学方式时间和地点的约束,可方便快速获取所需专业技能和所学知识,且上机练习及考试能够自动记录学习中的错误,辅助学生不断提高。
就信息安全学科计算机相关专业学生来说,学生的专业水平,需要用上机实践检验所应用理论正确,算法精准,程序无误才算真正到位。在平时练习和期末考试采取无纸化的形式考核,可以同时检验学生的理论知识和实践能力。
2.5 增加寒暑假实践
理论和实践相结合是信息安全教育的基本要求,教学中,虽然有实验课辅助,但像毕业设计一样综合性强,能够系统深入体现专业技能的设计较少,不能真正锻炼学生实际处理能力,培养创新意识。
业精于勤荒于嬉,寒暑假漫长的假期,如果疏于练习,很可能将之前的知识遗忘,新学期在学习上衔接困难。增加寒暑期实践课题有助于学生保持学习状态,结合理论,提高实践能力。
寒暑假实践课题可以有以下选择:①对信息安全学科发展趋势和最新动态进行总结分析并整理成册,让学生充分了解学科前景和当前前沿热点。②选择历年毕业设计进行学习和分析,锻炼学生科研能力和自主学习能力。③结合兴趣点和信息安全学科特点做出系统的设计和分析,充分发挥学生的主观能动性,使学生发散思维,寻找创新点。
3 结束语
将理论与实践相结合,才能真正实现毕业生和企业的无缝对接;把素质培养和传授知识同时进行,才能真正为国家培养同时具有良好信息安全素养的专业人才。在优化信息安全教学模式,实行教学改革的过程中,我们坚持以上原则,不断总结经验,不断完善,积极探索,取得更好的教学成果,为我们从网络大国到网络强国的过渡做出贡献。
参考文献:
[1]中国互联网发展状况统计报告[DB/OL].中国互联网信心中心网站,2015-12.
[2]朱薇.信息与计算机科学专业网络信息安全课程教学改革[J].中国电力教育,2011(27).
[3]黄玮.信息安全本科专业课程教学体会与案例[D].中国传媒大学.
[4]李丹.“信息安全概论”课程教学的改革与探索[J].价值工程,2015(34):208-209.
关键词:蓝牙密钥DES算法安全机制
蓝牙作为一种新兴的短距离无线通信技术已经在各个领域得到广泛应用,它提供低成本、低功耗、近距离的无线通信,构成固定与移动设备通信环境中的个人网络,使得近距离内各种信息设备能够实现无缝资源共享。
由于蓝牙通信标准是以无线电波作为媒介,第三方可能轻易截获信息,所以蓝牙技术必须采取一定的安全保护机制,尤其在电子交易应用时。为了提供使用的安全性和信息的可信度,系统必须在应用层和链路层提供安全措施。
本文重点讨论了蓝牙信息安全机制的构成原理及相关算法,并指出其在安全性方面存在的不足与问题。因为对于大多数需要将保密放在首位来考虑的应用来说,蓝牙现行标准所提供的数据安全性是不够的。蓝牙现行规范采用的128位密钥长度的序列的加密在某些情况下可以被破解。本文同时提出了一种蓝牙安全机制的改进方案,即采用DES加密体制构建强健的加钥算法,能够在计算上证明此加密算法是安全可靠的。
1蓝牙的安全机制
蓝牙采取的安全机制适用于对等通信情况,即双方以相同方式实现认证与加密规程。链路层使用4个实体提供安全性:一个公开的蓝牙设备地址,长度为48bit;认证密钥,长度为128bit;加密密钥,长度为8~128bit;随机数,长度为128bit。以下重点讨论蓝牙安全机制的组成及相关算法。
1.1随机数发生器
随机数发生器在蓝牙标准中有重要应用,例如在生成认证密钥和加密密钥中以及查询-应答方案中等。产生随机数的理想方法是使用具有随机物理特性的真实随机数·发生器,例如某些电子器件的热噪声等,但是在实际应用中通常利用基于软件实现的伪随机数发生器。蓝牙系统对于随机数的要求是“随机生成”和“非重复性”。“随机生成”是指不可能以明显大于零的概率(对于长度为L位的蓝牙加密密钥,概率大于1/2L)估计出随机数值。
目前在众多类型的伪随机数发生器中,线性同余发生器(LinearCongruentialGenerator)被最广泛地研究与使用。其表达式为:
Xn+1=αXn+c(modm)n≥0。
式中α和c为常量,m为模数,均为正整数。αXn+c对m作模运算后得到Xn+1。开始时以某种方式给出一个种子数X0;然后使用前一个随机整数Xn生成下一个随机整数Xn+1,由此产生整数随机数列{Xn}。
1.2密钥管理
蓝牙单元密钥长度不能由单元制造者预置,不能由用户设置。蓝牙基带标准规定不接收由高层软件给出的加密密钥以防止使用者完全控制密钥长度。
1.2.1密钥类型
链路密钥是一个128位随机数,为通信双方或多方共享的临时性或半永久性密钥。半永久性链路密钥可以用于共享链路单元之间的几个相继认证过程中。临时密钥的典型应用是:在点对多点通信情况下,同一信息需要安全地发往多个接收端,这时采用主单元密钥取代当前链路密钥。蓝牙标准定义了四种链路密钥:①联合密钥KAB;②单元密钥KA;③临时密钥Kmoster;④初始化密钥Kinit。此外还定义了加密密钥Kc,由当前链路密钥生成。对蓝牙单元来说,单元密钥KA在单元A中生成,依赖于该单元,很少改变。联合密钥KAB。由单元A、B方共同生成。临时密钥Kmoster仅在当前会话中使用,也称主单元密钥。初始化密钥Kinit是蓝牙初始化过程中使用的链路密钥。该密钥由一个随机数、一个通常为十进制的PIN码以及发起单元的蓝牙设备地址BD_ADDR生成。PIN码可由用户选择也可以是随蓝牙一起提供的固定数。目前大多数应用中PIN码为4位的10进制数,无法提供较高的安全性。蓝牙基带标准要求PIN码长度为1~16位,因此建议尽量使用较长的PIN码以增强安全性。
1.2.2密钥生成与初始化
每一对要实现认证与加密的蓝牙单元都要执行初始化过程,其过程由以下几部分组成:
(1)生成初始化密钥Kinit:为初始化过程中临时使用的链路密钥。该密钥由E22算法及相关参数生成,其生成原理图见图1。E22输出的128位初始化密钥Kinit用于链路密钥的交换分配过程。如果申请者与证实者没有交换过链路密钥,则Kinit用于认证过程,否则不再使用。该过程必须保证能够抵御一定的攻击,例如攻击者使用大量的假蓝牙地址BD_ADDR来测试大量PIN等,如果设备地址固定则每次测试PIN码等待间隔应按指数增加。
(2)认证:如果两个单元没有发生过通信联系,则使用初始化密钥作为链路密钥。每次执行认证规程,均新随机参数AU_RANDA。在相互认证中,首先在一个方向执行认证规程,成功后再反向执行认证。认证成功将得到一个辅助参数ACO,即认证加密偏移量。它将用于生成加密密钥。
(3)生成单元密钥:单元密钥在蓝牙单元首次运行时生成,根据E21算法生成并几乎不改变。初始化时,通信双方通常选用一个内存容量较少的单元中的密钥作为链路密钥。
图3
(4)生成联合密钥:联合密钥是分别在A单元与B单元中生成的两个数字的组合。生成过程是:每个单元生成随机数LK_RANDA与Lk_RANDB,采用E21算法与各自的随机数、蓝牙地址分别生成另一个随机数LK_KA与LK_KB,并通过其他操作后两个单元得出联合密钥。然后开始互相认证过程以确认交互过程成功。联合密钥交换分配成功后将放弃使用原链路密钥。
(5)生成加密密钥:加密密钥Kc根据E3算法,由当前链路密钥、96bit“加密偏移数”COF和一个128bit随机数导出。
(6)点对多点配置情况:实际上,主单元通知几个从单元使用一个公共链路密钥广播加密消息,在多数应用中这个公共链路密钥是临时密钥,记为Kmoster。Kmoster被从单元接收后便可用它替代原链路密钥Kmoster的产生过程为:首先由2个128bit的随机数RAND1与RAND2生成新链路密钥Kmoster:Kmoster=E22(RAND1,RAND2,16)。然后将第3个随机数RANO发往从单元,主、从单元根据E22、当前链路密钥及RAND计算出128bit扰乱码overlay,主单元将overlay与新链路密钥按位“异或”结果发送给从单元,再计算出Kmoster。在后面的认证过程中计算出一个新ACO值。
1.3加密规程
对有效载荷加密通过流密码算法实现,流密码与有效载荷同步,加密原理图如图2所示。流密码系统由三部分组成:执行初始化、生成密钥流比特、执行加密或解密。有效载荷密钥生成器将输入比特流以恰当顺序进行组合并移人密钥流生成器使用的4个线性反馈移位寄存器LFSR。第二部分是主要部分,密钥流比特根据Massey与Rueppel提出的方法生成,该方法经过一定的分析与研究,证明具有较高的加密性能,但此法可能受到相关攻击,其改进方法在本文后面详细描述。
1.3.1商定加密密钥长度与加密模式
实现基带标准的蓝牙设备需要定义最大允许密钥字节长度Lmax,1≤Lmax≤16。在生成加密密钥前,有关单元必须商定密钥实际长度。主单元将建议值L(M)sug发送给从单元。如果L(S)min≤L(M)min并且从单元支持建议值,从单元对此给予确认,L(M)min成为本链路加密密钥长度值。如果不满足上述条件,从单元将向主单元发送新的建议值L(S)min〈L(M)sug,主单元对此建议评估。重复此规程直至达成协议或一方放弃商谈。
1.3.2加密算法
加密规程使用流密码加密。加密系统使用线性反馈移位寄存器(LFSRs),寄存器系统输出由具有16状态的有限状态机进行组合,状态机输出或是密钥流序列,或是初始化阶段的随机初始值。加密算法需要提供加密密钥、48bit蓝牙地址、主单元时钟比特与128bit随机数RAND,加密算法原理如图3所示。
其中,有4个LFSR(LFSR1,…,LFSR4),比特长度分别为L1=25,L2=31,L3=33,L4=39,反馈多项式(抽头多项式,特征多项式)。4个寄存器长度之和是128bit。
这些多项式都是本原多项式,汉明重量都为5,可以兼顾生成序列具有良好的统计特性与减少硬件实现所需要的异或门数两方面的要求。
令xit表示LFSRit时刻输出状态比特,由四元组(x1t,…,x4t)得Yt为:
,式中Yt为整数,取值为0,1,2,3或4。加法生成器输出由下述方程给出:
式中,T1[.]与T2[.]是GF(4)上两个不同的线性双射。
密钥流生成器工作前需要为4个LFSR(总共128bit)装载初始值并且确定C0与C-14bit值,这些132bit初始值使用密钥流生成器由规定的输入量导出,输入量分别为密钥Kc、48bit蓝牙地址和26bit主单元时钟CLK26-1。加密算法初始化过程:(1)由128bit加密密钥Kc生成有效加密密钥,记为K'c,令L(1≤L≤16)为用8bit组数目表示的有效密钥长度,则K'c(x)=g2(L)(x)(Kc(x)modg1(L)(x))。(2)将K'c、蓝牙地址、时钟以及6bit常数111001移入LFSR。加密算法初始化完成后,从加法组合器输出密钥流用于加密/解密。
1.3.2认证
蓝牙技术认证实体使用所谓查验-应答方案。通过“两步”协议,申请者是否知道秘密密钥使用对称密钥进行证实。这意味着,一个正确的申请者/证实者对,在查验-应答方案中将共享相同密钥Kc,证实者对于申请者是否能够认证算法K1认证随机数AU_RANDA,并返回认证结果SERS,进行查验。其认证及加密密钥生成函数可以参考相关资料,此处略。
2蓝牙安全机制的方案改进
现有蓝牙安全机制主要存在两个主要问题。一个是单元密钥的使用问题:在鉴权和加密过程中,由于单元密钥没有改变,第三方利用此密钥来窃取信息。128位密钥长度的E0序列加密在某些情况下可通过不是很复杂的方法破解。另一个是蓝牙单元提供的个人识别码(PIN码)的不安全问题:由于大多数应用中PIN码是由4位十进制数组成,所以采用穷举法很容易攻击成功。
克服这些安全性问题的解决方法除了增加PIN码长度外,关键是要采取更为强健的加密算法,如用数字加密标准DES代替序列加密算法。DES是一种块加密方法,加密过程是针对一个个数据块进行的。在DES算法中,原始信息被分为64位的固定长度数据块,然后利用56位的加密密钥通过置换和组合方法生成64位的加密信息。与蓝牙序列的加密算法不同,数学上可以证明块加密算法是完全安全的。DES块密码是高度随机和非线性的,其产生的密文和明文与密钥的每一位都相关。DES的可用加密密钥数量非常庞大,应用于每一位明文信息的密钥都是从这个庞大数量的密钥中随机产生的。DES算法已经被广泛采用并认为非常可靠。采用DES加密算法的蓝牙技术可以将蓝牙应用到安全性较高的应用中去,例如电子金融交易、ATM等。
2.1DES算法
1977年美国国家标准局公布了联邦数据加密标准DES。由于DES算法保密性强,迄今尚无切实可行的破译方法,所以DES得到了广泛地应用。DES是一种分组密码体制,它将明文按64位一组分成若干组,密钥长为56位。其基本思想是采用变换的组合与迭代,将明文中的各组变为密文组。
在DES系统中,乘积变换是加密过程的核心,连续进行16次操作,每次更新一组密钥。移位变换B是移位变换A的逆变换。图4为DES体制加密流程,图的右侧表示DES系统的密钥生成过程。初始密钥是一串64bit的随机序列。经过反复移位变换,产生16组子密钥(K1~K16),每组子密钥用于一次乘积变换。所谓初始重排(IP)就是打乱输入分组内比特原有排列次序,重新排列,排列方式是固定的。
DES的一次乘积变换运算步骤为:(1)把64bit输入码分成左右两组,每组32位比特,分别用Li-1和Ri-1代表。其中i代表第i次乘积变换,i=1~16。(2)把该次乘积变换输入分组的右组32位比特变为输出分组的左组32位比特,即Li=Ri-1。(3)输入分组右组32位比特经过扩展操作变为48位比特码组。(4)扩展变换输出的48位比特与子密钥Ki的48位比特按模2相加,输出的48位比特分为8组,每组6位。(5)把每组6位比特进行密表(S-盒)替代,产生4位比特。输入的6位比特的第1、6两位决定密表内所要选择的行数,其余4位决定密表内的列数。(6)把8组密表输出合并为32位比特,然后与本次乘积变换输入左组Ci-1按位模2相加,即可得到第i次乘积变换的右32位输出Ri。
2.2DES算法的特点
DES算法具有以下特点:
(1)DES的保密性仅仅取决于对密钥的保密,算法公开。
(2)在目前水平下,不知道密钥而在一定的时间内要破译(即解析出密钥K或明文)是不可能的,至少要建立256或264个项的表,这是现有资源无法实现的。
(3)由于“雪崩效应”,无法分而破之,一位的变化将引起若干位同时变化。
综上所述,由DES算法构建的蓝牙安全机制是可靠的,采用穷举方式攻击是不现实的。假设有一台每秒完成一次DES加密的机器要用将近1000年的时间才能破译这个密码。
关键词:信息安全;课程教学;实践教学
中图分类号:G424 文献标识码:B 文章编号:1673-8454(2012)05-0067-02
一、引言
信息安全人才培养是国家信息安全保障体系建设的基础和先决条件.自2001年至今国内一些高校先后设立了信息安全专业和信息对抗技术专业,已经为社会输送了上万信息安全专业的本科人才。与此同时,为普及信息安全教育,近年来许多高校也面向非信息安全专业学生开设了信息安全类选修课程。
我院自2005年开始就为计算机科学与技术、电子商务和信息管理与信息系统三个专业开设了密码编码学与网络安全、计算机安全技术两门专业选修课程,考虑到教学过程中不同专业在学习信息安全类课程时的不同特点.2007年调整教学计划后为信息管理与信息系统和电子商务专业开设了信息安全技术选修课程,为计算机科学与技术专业开设了网络安全技术课程。
二、教学目标
信息安全类课程具有涉及面广、内容和知识体系更新快、对先修课程要求高、理论与实践联系紧密等特点。并且对于非信息安全专业的学生来说教学重点应该是扩展学生知识面,培养学生的实际动手能力,为将来可能面对的信息安全问题的解决和学习奠定基础。因此我院信息安全类课程的教学目标被定位为培养学生的信息安全意识,普及常用的信息安全技术,使学生具备信息系统中的安全防卫能力和新技术的应用能力。…
三、教学过程中的难点问题
非信息安全专业的信息安全课程大部分都是该专业的专业选修课程,一般都是在大三下学期和大四上学期开设,此时的学生已经具备了一定的专业基础知识,但对信息安全类课程来说如何做到在一门课程中既要覆盖信息安全专业的主要知识领域,同时还要针对不同的专业特点选用相应的教学方法,这些苛刻的教学需求使得该类课程在教学过程中遇到了各种各样的难题,下面将从课堂教学和实践教学两个方面分别阐述在教学工作中遇到的难题和采用的解决办法。
1.课堂教学环节
(1)教学内容较多和学时偏少的矛盾
按照各专业的前导课程,遵循培养信息安全意识和普及常用的信息安全技术的原则。制定了如表1所示的教学内容。
其中只有信息系统安全与网络安全技术这两个部分的教学内容和课时分配根据教授专业的不同而有所侧重和区别。总体来说,在课程内容的设置上以培养信息安全技术应用人才为目的,扩大学生的信息安全知识面为导向,教学过程中不过多地纠缠于理论细节,以此来解决课程内容丰富而学时较少的矛盾。
(2)部分教学内容枯燥,影响了学生的学习兴趣
根据学生的教学意见反馈调查发现,影响学生学习兴趣的教学内容主要集中在密码学基础这一知识领域中。密码学基础是信息安全技术的基础知识,也是学习信息安全技术过程中必不可少的知识组成,因此为了提高学生的学习兴趣,在教学过程中采取了如下教学方法。
首先。将一些相关的数学基础知识整理成自学材料并引导学生自学,以降低学生在课堂上学习密码学知识的枯燥感;其次,在讲授密码学的基础知识时,多穿插一些小故事和影视作品的情节,以此来提高学生对密码学基础知识的学习兴趣。如:以电影《达芬奇密码》中的故事情节为线索,为大家讲解古典密码算法中置换类算法的加密思想以及密码分析中暴力破译法的基本原理:然后,在介绍现代密码算法时,应重点介绍主流算法.并配合一些Flas形象生动地帮助学生理解算法的加密解密原理。此外,还可以推荐一些和密码学相关的小说,如《密码故事――人类智慧的另类较量》,供学生课外阅读。
这些教学方法极大地提高了学生学习密码学知识的兴趣,取得了很好的教学效果,受到学生的一致好评。
(3)如何获取恰当的教学案例带动课堂教学
对于课程中信息系统安全和网络安全部分的知识点,如果在课堂教学过程中只是注重原理的讲解,会使得教学过程显得极为生硬抽象,不利于学生的理解和应用。因此,在授课过程中以案例为驱动,带动基本原理的讲解,是较为合理的教学方法。而如何获取恰当的教学案例,是困扰教师的难点问题。
目前,教学案例的获取方式主要有两种,一种是由教师亲自整理制作;另一种就是参考其他院校相关课程选用的教学案例。因此,在今后的课程建设过程中将重点考虑引入课程教学软件,以进一步解决教学案例匮乏和更新速度慢等问题。
(4)学习方式被动
学生往往只是被动地接受课堂的灌输式教育,如何提高学生的学习积极性,让学生主动地去学习信息安全课程,同样也是教学过程中的难点问题。
因此在课堂教学环节,尝试采取了学生分组的教学形式,并在课堂上组织分组讨论、演讲比赛、分组对抗等多种教学活动,通过多样化教学,充分调动学生的学习主动性和积极性,活跃课堂气氛,尤其是分组进行的演讲比赛,学生们通过自己动手搜集整理演讲材料和赛后讨论,加深了对课程内容的认识和理解。
2.实践教学环节
信息安全是一门较新的学科,同时也是跟实际联系非常密切的技术,因此实践教学环节是教学过程中必不可少的。而如何在教学资源有限的条件下找到既能培养学生的实践动手能力又能调动学生兴趣的实验内容是非信息安全专业信息安全类课程实践教学环节的难点问题。
我院信息安全类课程设置了如表2所示的实验项目。
其中所有的选做实验项目的实验指导书以及相关软件等材料都上传到公共邮箱中,并由教师引导学生利用课余时间来独立完成。实践表明,这些实验项目提高学生的学习兴趣,同时又锻炼了学生的动手能力.为将来在工作中可能遇到的一些安全问题奠定了基础。
四、教学方法的进一步探索与研究
考虑到社会各界对信息安全人才需求的变化,在今后的教学计划调整中准备将所有信息安全类课程合并为一门公共选修课程――信息安全概论,结合这一变化对信息安全概论的教学工作需要做出相应的调整和改进。
首先需要为信息安全概论增加前导课程汇编语言程序设计,该课程以Win32汇编语言程序设计为主要教学内容,以培养学生熟悉掌握Win32汇编程序设计的方法和技巧,并以具备分析Win32汇编程序、编制和调试汇编程序的能力为教学目标。
>> 个人信息谨防泄露 高校学生个人信息泄露成因及保护对策探究 从公众个人信息泄露看信息安全防护 关闭个人信息泄露之门 个人信息泄露将被通知 网络环境下快递行业泄露消费者个人信息原因分析及防范对策 个人信息安全管理与防护对策 官员财产公开不能靠个人信息泄露 个人信息被泄露,消费添烦恼 诈骗和勒索的源头都是个人信息泄露 防止“个人信息”泄露,需打好“法治牌” 好习惯可防个人信息泄露 用什么堵住公民个人信息泄露的缺口 浅析个人信息权 网络社会下个人信息泄露所引发的对个人信息保护的思考 怀孕女教师不堪骚扰,谁泄露了我的个人信息? 购车后个人信息被泄露,账户被盗谁担责? 2.2万伊斯兰国”名单泄露 包含2.2万名成员个人信息 斩断个人信息泄露利益链,亟需法律“保驾护航” 个人信息 常见问题解答 当前所在位置:.
[3] 中国市场报告网.2010年中国互联网络发展状况深度研究及统计分析报告.编号:0626508.[2011-03-30]. .
【参考文献】
[1] 齐爱民.中华人民共和国个人信息保护法示范法草案学者建议稿[J].河北法学,2005(6)2.
[2] 郎庆斌等.个人信息保护概论[M].人民出版社,2008.11-12.
[3] 齐爱民.论个人信息的法律保护[J].苏州大学学报,2005(2)32-35.
[4] 罗力.社交网络中用户个人信息安全研究[J].图书馆学研究,2012(14)36-40.
[5] 田桂兰.网络环境下个人信息安全问题及其保护[J].信息化建设,2007(6)42-44.
[6] 颜祥林.网络环境下个人信息安全与隐私问题的探析[J].情报科学,2002(9)938-940 .
1 课程学习能力自我测评的设计
一个好的教学评价方式要有利于激发学生的学习积极性,提高学生的学习兴趣,要能够把学生的能力、潜质等特征性的东西描述出来,并予以引导,鼓励其发展自己的特长。
教学测评的多元化尝试从多方面、多角度来开展评价活动,要求评价既体现共性,更关注个性;既关注结果,更关注过程。评价的多角度,注重的是学习的主动性、创造性和积极性,关注的是学生在学习过程中的表现,包括使命感、责任感、自信心、进取心、意志、毅力、气质等方面的自我认识和自我发展。评价学习不再仅仅依靠考试成绩,还包括对学习的态度、行为等方面的考查。一句话,就是以多维视角的评价内容和结果,综合衡量学习的发展状况。
在教学改革的创新实践中,我们为专业课程的教学测评设计了“课程学习能力学生自我测评”环节,要求学生根据自己在本课程中的学习情况,客观地为自己做一个能力测评。
2“信息安全技术”学生测评分析
我们为“信息安全技术”课程编写了以实验实践为主线开展教学的教材1,全书通过一系列在因特网环境下学习和实验练习,把信息安全技术的概念、理论知识与技术融入到了实践当中,从而加深了学生对该课程的认识和理解。教学内容和实验练习包含了信息安全技术知识的各个方面,涉及信息安全技术、数据备份技术、加密与认证技术、防火墙与网络隔离技术、安全检测技术、访问控制与审计技术、病毒防范技术、虚拟专用网络技术、信息安全管理与灾难恢复、信息安全技术应用等内容。全书共设计了可选择的25个实验、1个实验总结和1个课程设计。
“信息安全技术”课程的教学测评方案是:
课程成绩= n×实验成绩(70%)+课程设计成绩(30%)-平时缺勤/迟到扣分。
其中,在公共选修课中开设此课程时,一般减掉课程设计环节。
在学期末,我们要求学生结合实验总结,根据自己学习本课程的实际情况,客观地填写学习能力测评表,即在表1“测评结果”栏中选择合适的项打“P”。
3 “数字艺术设计”学生测评分析
“数字艺术设计”(又称“艺术设计概论”)一般是为计算机专业数字媒体方向的学生,或者是动漫、游戏设计等方向的学生开设的专业选修课。我们为该课程设计了一系列在网络环境下学习的实验练习(共17个实验、1个课程实验总结和1个课程实践)2。实验练习内容涉及熟悉数字艺术设计,基本要素、美学原则与文字图案设计,二维静画图形艺术设计,网页艺术设计与Fireworks Web图像制作,二维动画图形艺术设计,三维图形艺术设计等数字艺术设计知识的各个方面。
该课程的教学测评方案是:
课程成绩= n×实验成绩(90%)+课程实践成绩(10%)-平时缺勤/迟到扣分。
本课程学生学习能力测评的分析内容以及两轮课程自测表中各项指标的平均分值见表3。
4“电子商务概论”学生测评设计
为“电子商务概论”课程设计的教学内容和实验练习涉及电子商务和电子政务基础、电子商务的技术基础、电子商务与现代企业管理、网络银行与电子支付、网络建设与解决方案、移动电子商务和电子商务系统管理等电子商务知识的各个方面,包括21个实验和一组可供选择的课程设计。3
为《电子商务概论》课程设计的学生课程学习能力测评表如表5所示。
5 测评数据的方差分析
如前所述,一方面,教师主要根据教学过程中得到的实验和实践(例如课程设计等)成绩求和得到学生课程成绩,另一方面,学生根据自身学习状况,通过表格量化处理得到该课程学习能力的自我测评数据,我们利用Excel软件对这两组数据进行单因素方差分析(One-way ANOVA)。
教育统计中的方差分析主要用于检验两个或多个总体间是否有显著差异。根据分析因素的数目可分为单因素方差分析、双因素方差分析和多因素方差分析。
例1:2006/2007学年“数字艺术设计”公选课数据,得到的分析结果如图1所示。
图1 06/07“数字艺术设计”公选课学生自测方差分析
假设两组数据无显著差别,显著水平α取0.05。由图1可知,P-value值为0.922722 ,F统计量为0.009449,远小于F0=3.91755,表明假设成立,教师与学生两组数据无显著差别。
例2:2007/2008学年“艺术设计概论”专业选修课数据,得到的分析结果如图2所示。
图2 07/08“艺术设计概论”专选课学生自测方差分析
假设教师与学生两组数据无显著差别,显著水平α取0.05。由图2可知,P-value值为0.78886,F统计量为0.072264,远小于F0=3.977779,表明假设成立。
例3:2006/2007学年“计算机安全技术”专业选修课数据,得到的分析结果如图3所示。
假设教师与学生两组数据无显著差别,显著水平α取0.05。由图3可知,P-value值为0.263693,F统计量为1.260845,小于F0=3.915138,表明假设成立。
例4:2007/2008学年“信息安全技术”公选课数据,得到的分析结果如图4所示。
假设教师与学生两组数据无显著差别,显著水平α取0.05。由图4可知,P-value值为0.528862,F统计量为0.398359,远小于F0=3.901761,表明假设成立。
图306/07“计算机安全技术”专选课学生自测方差分析
图407/08“信息安全技术”公选课学生自测方差分析
可见,绝大多数学生都能够根据自己的学习状况对该课程进行学习能力测评,学生自我测评和教师主观打分的平均结果相当一致。
6分析与体会
除上述课程外,课程学习能力的学生自我测评还体现在诸如操作系统原理、软件工程、汇编语言程序设计、数据结构与算法、网络管理技术、网页设计与网站建设、人机界面设计、信息资源管理等课程(这些课程均有相关的具有实验实践特色的课程主教材或实验教材)。
实践证明,在教学测评环节中引入学生自我测评,为实现教学的多元评价增加了积极的评价因素,有利于促进学生自觉地审视自我学习状况,提高对课程学习和复习的积极性,提高学生学习兴趣和自我管理的能力;也有利于教师通过学生评价数据来修正和调整自己的教学安排和评价尺度 (尤其当教师评价数据与学生自测数据有较大出入时),分析学生由此反映的教学意见。
同时,通过教育统计的方差分析等手段,也可以指导教师参考学生自我测评数据,来调整教学测评的结果。这样的课程测评设计在多门课程的教学改革与教学实践中受到学生的广泛欢迎,取得了很好的效果。
参考文献
[1] 周苏. 专业课程教学测评的创新实践. 北京: 计算机教育. 2008,(4).
[2] 周苏. 从公选课随堂问卷调查得到的启迪. 北京: 计算机教育. 2008,(3).
面向网络工程专业本科生的网络管理与安全课程群,主要包括“信息安全概论”、“应用密码学”、“计算机网络管理”、“网络防御技术”、“网络性能分析”和“网络安全编程与实践”这六门专业课程。
在课程安排上,“信息安全概论”课程首先引入信息安全的基本概念和基本原理,包括消息鉴别与数字签名、身份认证、操作系统安全、数据库安全技术以及数据的备份与恢复等知识点;而“应用密码学”课程则介绍密码学基本概念、基本理论以及主要密码体制的算法与应用;更进一步,“计算机网络管理”课程以协议分析为导向讲授网络管理的相关理论,包括功能域、体系结构、协议规范、信息表示等知识点;“网络防御技术”课程以统一网络安全管理能力作为培养目标,阐述网络攻击的手段和方法以及网络防御的基本原理;在此基础上,“网络性能分析”课程着重讨论网络性能管理的理论与应用;“网络安全编程与实践”课程讨论网络安全编程实现的基本技术
。值得注意的是,网络工程专业的网络管理与安全课程群建设成果,目前正在为面向物联网工程专业的相关课程体系设置与教学方法改革所借鉴。网络管理与安全综合课程设计介于实践教学体系中提高层次到综合层次的过渡阶段,作为网络工程专业与物联网工程专业本科生第四学年实践能力培养的一个重要环节,有利于深入培养相关专业本科生的网络管理与安全综合实践能力。
二、基于项目角色划分的实施方案
为了培养网络工程专业与物联网工程专业本科生的工程实践能力,网络管理与安全综合课程设计实施过程的改革思路是:采用自主团队方式,选择并完成一个网络管理与安全项目。对于相关专业本科生而言,因为是自由组成团队,项目角色划分显得尤为重要。在这一背景下,提出基于项目角色划分的网络管理与安全综合课程设计实施方案。
网络管理与安全综合课程设计并不是要求本科生在短时间内便可以完成一个很大的网络管理与安全项目,主要是希望他们能够利用已有网络管理与安全课程群的知识基础,按照软件工程的思路合作完成一个规模适中的网络管理与安全项目,提高网络管理与安全综合实践能力。
三、网络工程专业与物联网工程专业的协同设计
作为一所地方工科院校,我校自2008年开始面向本科生开设网络工程专业,并于2012年面向本科生开设物联网工程专业,同时已获批“湖北省高等学校战略性新兴(支柱)产业人才培养计划本科项目”。网络工程专业与物联网工程专业虽然是两个不同的专业,却具有一定的关联性,如何保证网络管理与安全综合课程设计的实施方案对于这两个专业的协同设计,是专业改革实践过程中需要考虑的问题。网络工程专业的网络管理与安全综合课程设计的选题主要包括四个方向,即“信息安全与密码学”、“网络防御技术”、“计算机网络管理”与“统一网络安全管理”。
其基本的选题思路在于帮助本科生熟悉常用的网络管理与安全编程开发包,并掌握网络管理与安全项目实践的基本技术,为将来从事网络管理与安全方面的研发工作打下一定的基础。更进一步,较之网络工程专业,物联网工程专业具有更强的整合性与自身的特色,物联网工程专业的网络管理与安全综合课程设计的选题主要包括两个方向,即“物联网安全”与“物联网管理”。
关键词: 网络工程专业网络安全专业课程设置实践
计算机网络涉及计算机技术和通讯技术两大领域,自20世纪60年代末期美国军方建立起ARPANET网后,基于此的Internet网络快速发展,其应用逐渐扩大到世界范围的各行各业。在近十年里,Internet得到了迅猛的发展,在商业上取得了巨大的成功。Internet已逐步由过去单纯的数据载体,发展为支持数据、语音、视频等多种信息的多媒体信息和通讯平台。Internet的快速发展、网络的普及使得网络工程专业人才的需求倍增,各大高校相继设立了网络工程专业。
网络安全是网络工程中的一个重要环节,因此,在网络工程专业中设置网络安全的相关课程是非常必要的。
1.网络带来的安全问题
Internet的开放性和其他方面的因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用。然而,在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患和问题,这些安全隐患和问题主要为以下几点。
(1)每一种安全机制都有一定的应用范围和应用环境。
防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。
(2)安全工具的使用受到人为因素的影响。
一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。例如,NT在进行合理的设置后可以达到C2级的安全性,但很少有人能够对NT本身的安全策略进行合理的设置。虽然使用者可以通过静态扫描工具来检测系统是否进行了合理的设置,但是这些扫描工具基本上只是基于一种缺省的系统安全策略进行比较,针对具体的应用环境和专门的应用需求很难判断设置的正确性。
(3)系统的后门是传统安全工具难以考虑到的地方。
防火墙很难考虑到这类安全问题,多数情况下,这类入侵行为可以堂而皇之地经过防火墙而很难被察觉。比如说,ASP源码问题,这个问题在IIS服务器4.0以前一直存在。它是IIS服务的设计者留下的一个后门,任何人都可以使用浏览器从网络上方便地调出ASP程序的源码,从而收集系统信息,进而对系统进行攻击。对于这类入侵行为,防火墙是无法发觉的,因为对于防火墙来说,该入侵行为的访问过程和正常的Web访问是相似的,唯一的区别是入侵访问在请求链接中多加了一个后缀。
(4)黑客的攻击手段在不断地更新,几乎每天都有不同的系统安全问题出现。
安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得安全工具总是对新出现的安全问题反应慢。当安全工具刚发现并努力更正某方面的安全问题时,其它的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击。
2.网络安全专业课程设置
很多高校认识到了网络安全的重要性,所以在网络工程专业的课程设置上面均考虑了对于网络安全方面专业课程教学要求。但是由于各方面的原因,在实际教学当中,根据不完全统计,96.84%的高校针对于网络工程专业的网络安全方面课程设置一般仅仅安排了《信息安全概论》或者《网络安全技术概论》等课程,并且理论远远大于实践,完全不能满足实际网络安全方面的需要。
正是由于网络自身安全问题,入侵事件数量持续上涨,黑客成为引起网络安全问题最为重要的因素。黑客(hacker)是指一个喜欢用智力通过创造性方法来挑战脑力极限的人,特别是他们所感兴趣的领域,例如电脑编程或电器工程。“黑客”最早源自英文hacker,早期在美国的电脑界该词是带有褒义的。但在媒体报导中,“黑客”一词往往指那些“软件骇客”(software cracker)。“黑客”一词原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。但到了今天,它已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker,有人翻译成“骇客”。现在计算机专业一些大学生认为成为一名黑客是一件极富于挑战并且令他们为之自豪的事情。尤其现在网络上流传着各种各样的黑客免费软件,使得他们能够入侵某些国内外的网站或者通过系统漏洞安装一些木马,成功获得某些权限,或者直接在校园网内部进行攻击,这样能够证明自己的能力或者验证某项技术。
在这样一种背景下,网络安全专业课程的设置既要满足学生学习的需求,符合社会对于网络工程中网络安全的需求,又要尽可能保证用户正常使用网络。这是因为很多学生在学习和验证过程中,对网络和其他用户进行有意或者无意识的破坏,导致了不良的后果。同时学生的一知半解对于网络的危害性更大,因为他们在实践过程中有时候并不清楚会造成什么样的后果,结果会带来意想不到的麻烦。
因此,对于网络安全课程的设置,设置哪些课程,如何设置,如何将教学和实践很好地统一在一起,并且保证现有网络资源安全,是一个很重要的问题。
3.网络安全专业课程设置计划
网络安全专业课程一般来说包括以下一些课程:信息安全数学基础、密码与编码学、信息安全概论、网络攻防技术、计算机病毒原理及其防治、网络安全协议、数字鉴别与认证机制、防火墙与入侵检测技术、电子商务安全、网络安全体系结构等。
很多人认为以上大部分课程应该是属于信息安全专业所开设的课程,但是目前信息安全专业在很多高校中并没有开设。因为教育部对这方面是严格控制的,现在开设信息安全专业本科的高校不多,到目前为止,全国只有70多所高校开设了这一专业,武汉大学是第一个开设信息安全专业的,但至今也仅仅只有8年的时间。目前安全方面的专家远远不能满足人才市场和实际工作中的需要,因此各高校网络工程专业对于此类课程的开设而且是必要的。网络工程师不仅需要对整体网络构架、设置等方面进行考虑,而且对于网络安全的考虑是必不可少的,没有安全保障的网络系统是危险的。因此,一个网络工程师不仅是精通网络安全方面的专家,而且是了解网络安全法律法规的专家。
网络工程专业在网络安全专业课程设置之上当然不能和信息安全专业相提并论,但是在课程开设的过程中,各高校可以有选择、有针对性地设置一些网络安全方面的课程。我国于1994年2月18日出台《中华人民共和国计算机信息系统安全保护条例》,于1996年2月1日出台《中华人民共和国计算机信息网络国际互联网管理暂行办法》;公安部于1996年1月29日颁发《关于对与国际互联网的计算机信息系统进行备案工作的通知》,于1997年12月30日颁发《计算机信息网络国际互联网安全保护管理办法》,对于这些内容各高校可以以讲座的形式进行开设,加强学生在网络安全法律方面的意识。下表为我校网络安全专业课程设置简表。
这样的设置可以使得网络安全课程有一个持续的学习和研究过程,而不是只开设一门课程让学生仅仅了解而已。
4.网络安全专业课程实践环节
在讲授理论课程时,如果没有配备适合的实验教学,高校就不能保障学科的正常教学研究。网络安全专业课程最为重要的就是实践环节,仅仅有理论只是纸上谈兵,不能使学生从真正意义上了解网络安全中一系列的专业技术。但是在教学过程中,网络安全方面的实验有可能造成网络环境的混乱,扰乱正常的教学秩序。
在实践环节,教师在讲授理论课程的基础上还要配以实验教学,保障学科的正常教学研究。教师应使学生具有一定的工程实践能力,能将理论和实践形成有机的统一体,使学生具有解决实际问题的能力,能完成相应的毕业设计、课程设计和创新课题,等等。网络实践环节可以使教师在网络安全的教学和科研方面得到提高。由于网络安全这方面的知识是需要终身学习的,特别是反病毒这一块,更新较快,可能很多教师都不如学生,因此,教师应不断学习,把握网络安全方面的最新知识,这样才能及时将最前沿的知识传授给学生,以达到较好的教学效果。
高校网络安全实验室的设置最好是单独的实验室,自身为一个局域网,并且最好不要连在校园网上或者Internet上。在实验室中,教师可以每组安排3-6台学生机,1个防火墙,1个入侵检测设备,共用1个服务器。在进行网络安全实验的时候,对于操作系统、应用软件系统和网络协议本身都要考虑到它们的安全性,所以教师可以让学生从头开始,一项一项地进行试验。教师可以让学生下载各种漏洞的补丁进行安装,加固各种系统,保障安全,然后让学生在局域网的范围内以小组为单位进行攻防实验。同时教师还可以进行一些病毒实验,让学生根据资料编写一些小的病毒,也可以让学生从网上下载一些病毒进行试验。在课堂实践的过程中,教师要加强对学生与国家计算机安全相关的法律、法规、政策、条例等方面的教育,使学生避免有意或者无意的计算机犯罪,以免给国家网络安全造成危害。这种独立实验室不会影响正常的其他教学内容,可保证其他教学内容的正常开展。
网络工程专业中网络安全课程的开设,要求教师不仅在教学上尽可能地深入,而且在理论与实践结合的实践中使学生在保障网络安全的同时减少了对网络的危害。教师不仅要在教学上对学生严格要求,而且要在法律法规上对学生进行规范,避免学生进行网络犯罪。
参考文献:
[1]关于信息安全人才培养的建议.tech.163.corn/.2006.3.
购物车(0)
