網(wǎng)絡(luò)攻防與安全滲透精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)攻防與安全滲透主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)攻防與安全滲透范文

關(guān)鍵詞：網(wǎng)絡(luò)安全；攻防訓(xùn)練；平臺設(shè)計

近年來，隨著計算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)用加速，各類信息安全和網(wǎng)絡(luò)攻擊事件時有發(fā)生，防不勝防，并且逐步滲透到國家安全、經(jīng)濟(jì)發(fā)展、人民生活的各個領(lǐng)域，使得當(dāng)今社會對信息安全人才的需求日益緊迫和突出。目前開展網(wǎng)絡(luò)攻防訓(xùn)練存在以下幾個制約因素：（1）構(gòu)建真實(shí)的物理平臺需要優(yōu)質(zhì)的物理設(shè)備和復(fù)雜的實(shí)現(xiàn)環(huán)境，費(fèi)用昂貴、模擬規(guī)模有限且設(shè)備更新?lián)Q代較慢，不利于對最新網(wǎng)絡(luò)安全技術(shù)的學(xué)習(xí)和掌握。（2）網(wǎng)絡(luò)攻防實(shí)驗(yàn)一般對網(wǎng)絡(luò)設(shè)備具有破壞性，在真實(shí)的網(wǎng)絡(luò)中開展攻防實(shí)驗(yàn)管理難度大，訓(xùn)練風(fēng)險高[1]。（3）采用OPNET和NS2等網(wǎng)絡(luò)安全仿真軟件存在仿真對象單一、平臺制約多、缺乏系統(tǒng)性等問題。本文借助虛擬化技術(shù)，采用B/S架構(gòu)設(shè)計并實(shí)現(xiàn)一種集攻擊、防護(hù)訓(xùn)練及學(xué)習(xí)功能于一體的網(wǎng)絡(luò)安全攻防訓(xùn)練平臺。該平臺充分利用現(xiàn)有的設(shè)備和網(wǎng)絡(luò)基礎(chǔ)設(shè)施環(huán)境，設(shè)備資源利用率高、組建靈活，可擴(kuò)展性強(qiáng)，利于系統(tǒng)地開展網(wǎng)絡(luò)攻防訓(xùn)練。

1平臺架構(gòu)及功能設(shè)計

1.1平臺系統(tǒng)架構(gòu)

平臺分為物理資源層、虛擬化層和用戶管理層3個層次：（1）物理資源層主要包括物理計算機(jī)、服務(wù)器、存儲設(shè)備及網(wǎng)絡(luò)等。（2）虛擬化層是攻防訓(xùn)練平臺的底層核心，將互聯(lián)的物理計算機(jī)和存儲設(shè)備虛擬化為由內(nèi)存、顯卡、磁盤和CPU組成的網(wǎng)絡(luò)資源池，通過虛擬化可在資源池上運(yùn)行多個共享資源虛擬機(jī)，以實(shí)現(xiàn)不同應(yīng)用。（3）用戶管理層是攻防訓(xùn)練平臺的應(yīng)用核心，主要包括靶場中心、工具臺、實(shí)訓(xùn)中心、管理控制中心4個功能模塊，用戶通過瀏覽器訪問Web用戶交互界面來使用攻防訓(xùn)練平臺進(jìn)行攻防訓(xùn)練。

1.2平臺功能設(shè)計

（1）實(shí)訓(xùn)中心以課程為向?qū)?，分為攻擊和防護(hù)兩大方面，區(qū)分具體類別提供配套電子實(shí)驗(yàn)指導(dǎo)書、知識庫、漏洞庫等，供參訓(xùn)人員自主選擇學(xué)習(xí)。（2）工具臺集合了訓(xùn)練中所用到的各種攻擊防御工具，按不同的類別進(jìn)行分類，用戶訓(xùn)練時可通過Web網(wǎng)頁下載工具臺當(dāng)中的工具供訓(xùn)練使用。（3）靶場中心是靶機(jī)的集合，為網(wǎng)絡(luò)攻防訓(xùn)練提供目標(biāo)和環(huán)境。靶機(jī)（TargetsHosts）上預(yù)置了存在安全漏洞的網(wǎng)站、應(yīng)用程序或是操作系統(tǒng)等，攻擊者可以通過查找漏洞進(jìn)行相應(yīng)的攻擊訓(xùn)練，防護(hù)者通過修復(fù)漏洞練習(xí)網(wǎng)絡(luò)防護(hù)技巧。（4）管理控制臺主要包括監(jiān)控管理和系統(tǒng)維護(hù)兩個方面的功能。監(jiān)控管理可根據(jù)定義好的規(guī)則過濾網(wǎng)卡的流量，從而通過抓取正在訓(xùn)練的虛擬機(jī)的流量包，對整個平臺正在訓(xùn)練的虛擬機(jī)進(jìn)行監(jiān)控，并采集大量真實(shí)的數(shù)據(jù)信息用于后續(xù)分析。對網(wǎng)絡(luò)攻防訓(xùn)練平臺的系統(tǒng)維護(hù)可以分為基本維護(hù)管理和高級維護(hù)管理兩類?；揪S護(hù)管理主要是對平臺門戶網(wǎng)站的維護(hù)，包括網(wǎng)站內(nèi)容更新、欄目管理、工具臺列表更新等日常維護(hù)。高級維護(hù)管理主要是指對攻防訓(xùn)練平臺基礎(chǔ)結(jié)構(gòu)進(jìn)行調(diào)整，包括添加新服務(wù)器對虛擬資源池進(jìn)行擴(kuò)展，部署新的工具臺虛擬主機(jī)（ToolsHosts），在工具臺中添加新的攻擊工具，根據(jù)新發(fā)現(xiàn)的漏洞建立相應(yīng)的靶機(jī)環(huán)境，以及為現(xiàn)有工具臺、靶機(jī)調(diào)整虛擬硬件資源等。

2系統(tǒng)實(shí)現(xiàn)

2.1虛擬化解決方案

虛擬化是一個簡化管理、優(yōu)化資源的解決方案，通過虛擬化可以把有限的固定資源根據(jù)不同需求重新規(guī)劃，以達(dá)到最大利用率。綜合考慮適用性及軟件成本，筆者采用VMware公司的基于vSphere的服務(wù)器虛擬化解決方案[2]。vSphere可提供包括計算、存儲、網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)服務(wù)以及包括可用性、安全性、可擴(kuò)展性的應(yīng)用程序服務(wù)[3]。在本平臺中使用了vSphere的VMwareESXi，VMwarevSphereClient和VMwarevCenterServer功能組件，如圖1所示。VMwareESXi是VMwarevSphere的核心組件，安裝好ESXi的服務(wù)器稱之為ESXi主機(jī)。ESXi從內(nèi)核級支持硬件虛擬化，提供強(qiáng)健的、高性能虛擬化層，允許在ESXi主機(jī)上創(chuàng)建的多個虛擬機(jī)共享硬件資源。VMwarevCenterServer是VMwarevSphere的ESXi主機(jī)和虛擬機(jī)集中管理組件[4]，能使用標(biāo)準(zhǔn)化模板在ESXi主機(jī)上快速部署虛擬機(jī)，并對其提供集中化管理、配置和性能監(jiān)控。VMwareVSphereClient是VMwarevSphere的管理端，可以用來遠(yuǎn)程登錄并管理VMwarevCenterServer服務(wù)器。本平臺中可以通過vSphereClient遠(yuǎn)程連接控制單臺ESXi主機(jī)，也可以通過vSphereClient登錄VMwarevCenterServer，集中管理多臺ESXi主機(jī)及其上的虛擬機(jī)。為了保證網(wǎng)絡(luò)安全攻防訓(xùn)練平臺的性能，我們使用vSphereHA（高可用）技術(shù)，當(dāng)服務(wù)器集群中硬件失效時，實(shí)現(xiàn)虛擬服務(wù)器自動在集群中另一個主機(jī)上重啟。使用VSphereDRS（分布式資源管理）技術(shù)，在不同ESXi主機(jī)間進(jìn)行虛擬機(jī)的遷移，從而自動平衡ESXi集群的負(fù)載，并且可根據(jù)資源分配策略，設(shè)置虛擬機(jī)優(yōu)先級和限制虛擬機(jī)資源使用等，對集群范圍內(nèi)的資源進(jìn)行分配，從而提升平臺的整體性能[5]。

2.2工具臺

工具臺用于存放攻防訓(xùn)練平臺的常用攻防工具，創(chuàng)建工具臺的過程如圖2所示，共分4步。（1）通過VMwarevCenterServer新建虛擬機(jī)；（2）在虛擬機(jī)中，安裝攻防工具包，并對其可用性、穩(wěn)定性等基本情況進(jìn)行測試；（3）在完成攻防工具的安裝部署后，更新平臺網(wǎng)站的攻防工具列表使其可以通過網(wǎng)頁被調(diào)用，攻防工具列表以csv格式存儲，使用DMcsvEditor工具進(jìn)行編輯；（4）在平臺網(wǎng)站中添加新的頁面鏈接，使用戶可以調(diào)用攻防工具。

2.3靶場中心

靶場中心為網(wǎng)絡(luò)攻防訓(xùn)練提供目標(biāo)和環(huán)境，首先通過VMwarevCenterServer新建虛擬機(jī)作為靶機(jī)，然后在靶機(jī)中安裝存在漏洞的操作系統(tǒng)、應(yīng)用程序或是部署存在漏洞的網(wǎng)站等，在部署完成后更新平臺網(wǎng)站的靶機(jī)鏈接，使用戶可以通過平臺網(wǎng)站直接獲取靶機(jī)的信息進(jìn)行攻擊和防護(hù)，也可以通過平臺提供的工具間接對靶機(jī)進(jìn)行攻擊和防護(hù)。

2.4實(shí)訓(xùn)中心

實(shí)訓(xùn)中心以課程為向?qū)?，分為攻擊和防護(hù)兩大方面。攻擊方面從“按攻擊方法”和“按攻擊對象”兩個維度將全部課程分類，課程按照攻擊方法可分為“信息收集”“木馬病毒”“密碼破解”“網(wǎng)絡(luò)欺騙”“溢出攻擊”“DOS攻擊”“逆向工程”等類別；按照攻擊對象可分為“操作系統(tǒng)”“應(yīng)用平臺”“交換機(jī)”“防火墻”“VPN”等類別，并提供配套電子實(shí)驗(yàn)指導(dǎo)書。防護(hù)方面包括防火墻、入侵檢測系統(tǒng)、路由器、交換機(jī)的配置應(yīng)用訓(xùn)練，以及網(wǎng)絡(luò)安全知識庫，共享漏洞庫。網(wǎng)絡(luò)安全知識庫主要是以文字的形式提供網(wǎng)絡(luò)安全防護(hù)基本概念和常用的防護(hù)手段等。共享漏洞庫主要是用于實(shí)時更新、各類已知的共享漏洞，并提供各類漏洞的解決方案，以便用戶了解最新漏洞并盡快對其修補(bǔ)。

2.5部署方式

平臺采用B/S架構(gòu)，創(chuàng)建平臺門戶網(wǎng)站，用戶不僅可以在局域網(wǎng)內(nèi)實(shí)訓(xùn)，也可以通過互聯(lián)網(wǎng)使用瀏覽器對平臺進(jìn)行遠(yuǎn)端訪問和操作。本平臺打破訓(xùn)練模式的局限，可實(shí)現(xiàn)用戶隨時隨地參與線上訓(xùn)練。

3結(jié)語

網(wǎng)絡(luò)安全攻防平臺的實(shí)現(xiàn)降低了網(wǎng)絡(luò)攻防實(shí)驗(yàn)對物理設(shè)備和實(shí)際網(wǎng)絡(luò)環(huán)境的破壞性，減少訓(xùn)練成本的投入，且能夠通過因特網(wǎng)實(shí)現(xiàn)線上訓(xùn)練，滿足不同層次人員對網(wǎng)絡(luò)攻擊、防御過程及細(xì)節(jié)學(xué)習(xí)和訓(xùn)練的需求，具有較大實(shí)用價值。

[參考文獻(xiàn)]

[1]張力，周漢清.基于云計算技術(shù)的網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)平臺設(shè)計[J].軟件導(dǎo)刊，2015（9）：188-191.

[2]底曉強(qiáng)，張宇昕，趙建平.基于云計算和虛擬化的計算機(jī)網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)平臺建設(shè)探索[J].2015（4）：147-151.

[3]VMware中國網(wǎng)站.vSphere產(chǎn)品[EB/OL].（2014-09-25）[2017-10-15].http：

[4]黃曉芳.網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺開發(fā)與實(shí)現(xiàn)[J].實(shí)驗(yàn)技術(shù)與管理，2017（5）：73-76.

第2篇：網(wǎng)絡(luò)攻防與安全滲透范文

關(guān)鍵詞：OWASP；Web應(yīng)用漏洞；安全攻防；實(shí)訓(xùn)平臺；SQL注入

一、引言

隨著計算機(jī)與互聯(lián)網(wǎng)的快速發(fā)展，Web應(yīng)用已經(jīng)深入各個領(lǐng)域當(dāng)中。但是由于 Web 開發(fā)人員能力的良莠不齊，致使大量的站點(diǎn)存在著 Web應(yīng)用安全漏洞，這就給攻擊者打開方便之門。世界上權(quán)威的Web安全與數(shù)據(jù)庫安全研究組織OWASP（Open Web Application Security Project）提供的OWASP TOP10 WEB安全報告，總結(jié)了Web應(yīng)用程序最可能、最常見、最危險的十大安全威脅，包括SQL注入漏洞；跨站腳本（XSS）；直接引用安全漏洞；跨站請求偽造（CSRF）；配置安全缺陷；加密存儲威脅；未檢驗(yàn)重定向等。Trust Wave公司在其2012 Global Security Report的十大Web應(yīng)用安全威脅包括SQL注入漏洞；邏輯缺陷；跨站腳本；授權(quán)旁路；會話處理缺陷；旁路認(rèn)證；跨站請求偽造；源代碼泄露；詳細(xì)的錯誤信息；脆弱的第三方軟件等。

Web應(yīng)用安全受到越來越多的攻擊者的關(guān)注，一方面是由于傳統(tǒng)的C/S架構(gòu)方式逐漸在往“瘦客戶端”的B/S架構(gòu)上遷移，而且其應(yīng)用與數(shù)據(jù)庫系統(tǒng)的結(jié)合也更加緊密，使得存在安全漏洞的環(huán)節(jié)增多；另一方面是由于防火墻和IDS/IPS可以關(guān)閉不必要暴露的端口，但是對于Web應(yīng)用常用的80端口都是對外開放的，這樣使得攻擊者可以方便地借助于這個通道進(jìn)行攻擊或者執(zhí)行惡意的操作。

二、系統(tǒng)框架設(shè)計

基于B/S架構(gòu)的Web應(yīng)用安全攻防實(shí)訓(xùn)平臺允許用戶使用瀏覽器與站點(diǎn)進(jìn)行交互操作，并且可以通過應(yīng)用來訪問后臺數(shù)據(jù)庫系統(tǒng)，其架構(gòu)主要包括以下方向。

1.Web應(yīng)用系統(tǒng)。采用標(biāo)準(zhǔn)HTML代碼進(jìn)行編寫用于顯示數(shù)據(jù)和接收用戶輸入的數(shù)據(jù)，在Net Framework框架基礎(chǔ)上采用C#進(jìn)行編寫代碼接受用戶端傳遞過來的參數(shù)，負(fù)責(zé)處理業(yè)務(wù)邏輯和數(shù)據(jù)庫訪問等功能。

2.Web應(yīng)用服務(wù)器。用來支持Web應(yīng)用和用戶瀏覽器之間的正常通信，負(fù)責(zé)處理HTTP請求/響應(yīng)消息等操作，采用Windows自帶的IIS程序，根據(jù)實(shí)際需要可以擴(kuò)展到Apache、Lighttpd等Web應(yīng)用服務(wù)器。

3.操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)。操作系統(tǒng)默認(rèn)采用Windows Sever系列，后臺數(shù)據(jù)庫默認(rèn)采用SQL Server作為后臺數(shù)據(jù)庫系統(tǒng)，根據(jù)實(shí)際需要可以進(jìn)行相應(yīng)擴(kuò)展My SQL、Access、Oracle等等。

攻防實(shí)訓(xùn)平臺的硬件部分包括Web應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、防火墻、教師端和學(xué)生端等，其系統(tǒng)拓?fù)鋱D如圖1所示。學(xué)生端分為校內(nèi)學(xué)生端和校外學(xué)生端兩組，其中校外學(xué)生端通過防火墻進(jìn)行訪問、分析和處理。

圖1 系統(tǒng)拓?fù)鋱D

三、安全漏洞設(shè)計和利用

在OWASP和TrustWave的報告中，SQL注入漏洞都被列為最危險的攻擊形式之一，因此，提取SQL注入漏洞作為分析和測試用例。

1.SQL注入漏洞分析。其原理是通過把SQL命令插入到Web表單遞交、或輸入域名或頁面請求的查詢字符串中，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令，通過構(gòu)造巧妙的遞交參數(shù)構(gòu)造巧妙的SQL語句，從而成功獲取想要的數(shù)據(jù)。其嚴(yán)重后果會使得攻擊者得到在數(shù)據(jù)庫服務(wù)器上執(zhí)行命令的權(quán)限，并且甚至可以獲得管理員的權(quán)限進(jìn)行更為危險的操作。

2.SQL注入漏洞構(gòu)造。為了利用SQL注入漏洞，攻擊者必須找到一個參數(shù)傳遞數(shù)據(jù)，然后這個參數(shù)傳送到操作數(shù)據(jù)庫的SQL語句中，Web應(yīng)用程序使用該語句操作數(shù)據(jù)庫，可能導(dǎo)致信息泄漏、數(shù)據(jù)丟失、記錄篡改等危害。

在Web應(yīng)用安全攻防平臺的顯示頁面（view.aspx）的部分代碼編寫如下。

SqlCommand Cmd=new SqlCommand（"select*from NewView where id =" +Request.QueryString["id"]， Conn）；

SqlDataReader Dr = Cmd.ExecuteReader（）；

其傳遞過來的參數(shù)id，沒有做任何的限制和處理就傳遞給操作數(shù)據(jù)庫的SQL語句，那么該語句就產(chǎn)生了SQL注入漏洞。

3.模擬攻擊過程。在構(gòu)造完SQL注入漏洞以后，使用經(jīng)典的參數(shù)后面附帶單引號（’）、and 1=1、and 1=2和分號（；）測試數(shù)據(jù)，分析其返回結(jié)果。對于SQL Server的數(shù)據(jù)庫可以采用錯誤的安全配置和猜解管理員數(shù)據(jù)表及其內(nèi)容的方式進(jìn)行模擬攻擊。

（1）SA用戶權(quán)限利用。如果Web應(yīng)用采用了SA用戶進(jìn)行數(shù)據(jù)連接，那么可以構(gòu)造特殊的SQL Server命令來提交到查詢字符串中，利用SQL Server自帶的xp_cmdshell操作系統(tǒng)外殼命令來執(zhí)行相應(yīng)的系統(tǒng)命令，提交的頁面字符串（Web應(yīng)用地址：192.168.2.5）為：

http：//192.168.2.5/view.aspx？id=28；exec master.dbo.xp_cmdshell "net user test test /add"

對于SQL Server阻止了對xp_cmdshell的訪問情況，可以使用sp_configure來恢復(fù)和啟用xp_cmdshell，提交的頁面字符串為：

http：//192.168.2.5/view.aspx？id=28；EXEC sp_configure 'show advanced options'，1 RECONFIGURE；EXEC sp_configure 'xp_cmdshell'，1 RECONFIGURE

再次執(zhí)行xp_cmdshell操作系統(tǒng)外殼命令，如果執(zhí)行成功即可添加一個系統(tǒng)用戶。

（2）數(shù)據(jù)表的猜解。對于非SQL Server數(shù)據(jù)庫的情況，比如，Access和MySQL數(shù)據(jù)庫類型或者Web應(yīng)用沒有使用SA用戶進(jìn)行數(shù)據(jù)庫連接，那么可以通過SQL注入來完成數(shù)據(jù)表的猜解，其過程可以分為：猜解表名和記錄數(shù)；猜解字段名稱；猜解字段長度；猜解字段字符等步驟。

猜解表名提交的頁面字符串為：

http：//192.168.2.5/View.aspx？id=28 and exists（select * from admin）

猜解記錄數(shù)提交的頁面字符串為：

http：//192.168.2.5/View.aspx？id=28 and 5

其余提交的頁面字符串都可以通過手工構(gòu)造SQL命令或者使用SQL注入工具來自動完成。

4.獲得服務(wù)器管理權(quán)限。在獲得Web應(yīng)用管理權(quán)限之后，可以進(jìn)入其管理后臺利用其Web編輯器的上傳功能將準(zhǔn)備好的Web Shell上傳到Web服務(wù)器上。根據(jù)其Web應(yīng)用服務(wù)器類型的不同，可以上傳ASP（.NET）、PHP和JSP等類型的Web Shell，以獲得服務(wù)器的管理控制權(quán)。

綜上所述，其攻擊過程如圖2所示。

圖2漏洞攻擊過程

四、SQL注入攻擊防范設(shè)計

SQL注入攻擊防范首先需要對Web應(yīng)用和數(shù)據(jù)庫系統(tǒng)進(jìn)行安全合理的配置，包括以下幾點(diǎn)。

1.不使用管理員（SA）權(quán)限的數(shù)據(jù)庫連接，為每個應(yīng)用分配權(quán)限有限的數(shù)據(jù)庫連接。

2.使用參數(shù)化的SQL或者直接使用存儲過程進(jìn)行數(shù)據(jù)查詢存取。

3.應(yīng)用的異常信息應(yīng)該給出盡可能少的提示，最好使用自定義的錯誤頁面提示。

對于用戶提交的客戶端信息，使用SQL注入檢測模塊進(jìn)行必要的檢測，其步驟主要包括。

1.對客戶端提交的信息進(jìn)行URL解碼，防止用戶以URL編碼的方式構(gòu)造SQL命令用來欺騙SQL注入檢測模塊。

2.使用正則表達(dá)式來驗(yàn)證提交信息中是否包含單引號（’）、分號（；）、結(jié)束符（--）等特殊字符，如果存在則轉(zhuǎn)至異常處理模塊。

3.檢測提交信息中是否包含select、insert、update、from、user、exec等特殊命令，如果存在則轉(zhuǎn)至異常處理模塊。

4.檢測提交參數(shù)信息的長度是否超過預(yù)設(shè)的閾值，如果超過則轉(zhuǎn)至異常處理模塊。

SQL注入檢測步驟流程如圖3所示。

圖3 SQL注入檢測防御模塊設(shè)計

五、結(jié)束語

緊密結(jié)合OWASP和Trust Wave提供的相關(guān)安全報告，采用積極主動的辦法來訓(xùn)練用戶對于SQL注入漏洞的處理，分析漏洞原因、構(gòu)造和設(shè)計漏洞、模擬攻擊平臺，并對結(jié)果進(jìn)行分析，確定問題所在，給出改進(jìn)建議和防護(hù)措施。在平臺上，一方面可以實(shí)現(xiàn)Web應(yīng)用攻防技術(shù)、過程、方法的演示再現(xiàn)甚至對抗性的攻防演練；另一方面，將教學(xué)和實(shí)驗(yàn)操作中產(chǎn)生的Web應(yīng)用攻擊行為限制在一定的范圍內(nèi)，防止對互聯(lián)網(wǎng)的實(shí)際網(wǎng)絡(luò)和服務(wù)造成干擾和破壞。

Web應(yīng)用程序的安全攻防是信息（網(wǎng)絡(luò)）系統(tǒng)安全中具有挑戰(zhàn)性的部分，對于滿足信息安全人才的培養(yǎng)，實(shí)現(xiàn)網(wǎng)絡(luò)安全專業(yè)方向?qū)嶒?yàn)教學(xué)，滿足教育、政府信息化和企業(yè)Web應(yīng)用安全培訓(xùn)需求是一項(xiàng)十分有意義的工作。

參考文獻(xiàn)：

1.OWASP.The Ten Most Critical Web ApplicationSecurityRisks[R]，http：///images/0/0f/OWASPT10 2010 rc1.pdf.2012-10

2.TrustWave.2012 Global Security Report[R]，http：//.cn/OWASP Training/Trustwave WP Global Security Report 2012.pdf.2012-10

3.范淵，《Web應(yīng)用風(fēng)險掃描的研究與應(yīng)用》[J]，《電信網(wǎng)技術(shù)》，2012.3：13-17

4.章建國，《利用WEB應(yīng)用漏洞構(gòu)筑WEB安全檢測系統(tǒng)》[J]，《廣東公安科技》，2006.2：36-39

5.尹中旭、朱俊虎、魏強(qiáng)等，《網(wǎng)絡(luò)攻防演練平臺的設(shè)計與實(shí)現(xiàn)》[J]，《計算機(jī)教育》，2011.2：108-112

6.徐川、唐建、唐紅，《網(wǎng)絡(luò)攻防對抗虛擬實(shí)驗(yàn)系統(tǒng)的設(shè)計與實(shí)現(xiàn)》[J]，《計算機(jī)工程設(shè)計》，2011.32（4）：1268-1271

7.王云、郭外萍、陳承歡，《Web 項(xiàng)目中的 SQL 注入問題研究與防范方法》[J]，《計算機(jī)工程與設(shè)計》，2010.31（5）：976-978

8.李揚(yáng)、朱曉民、李煒，《網(wǎng)站安全漏洞解析》[J]，《四川兵工學(xué)報》，2012.33（1）：97-99

9.余靜、高豐、徐良華，《基于 SQL 注入的滲透性測試技術(shù)研究》[J]，《計算機(jī)工程與設(shè)計》2007.28（15）：3577-3578

10.朱輝、周亞建、鈕心忻，《數(shù)據(jù)庫SQL注入攻擊與防御研究》[A]，《2011年通信與信息技術(shù)新進(jìn)展——第八屆中國通信學(xué)會學(xué)術(shù)年會論文集》，2011，580-583

11.熊婧、曹忠升、朱虹等，《基于構(gòu)造路徑的存儲過程SQL注入檢測》[J]，《計算機(jī)研究與發(fā)展》，2008.45：125-129

12.王偉平、李昌、段桂華，《基于正則表示的SQL注入過濾模塊設(shè)計》[J]，《計算機(jī)工程》，2011.37（5）：158-160

基金項(xiàng)目：河北省高等學(xué)?？茖W(xué)研究計劃項(xiàng)目（課題編號：Z2012087），石家莊市哲學(xué)社會科學(xué)規(guī)劃研究項(xiàng)目（課題編號：WH1217）

第3篇：網(wǎng)絡(luò)攻防與安全滲透范文

1網(wǎng)絡(luò)工程專業(yè)學(xué)生網(wǎng)絡(luò)系統(tǒng)安全保障能力培養(yǎng)的現(xiàn)狀分析

網(wǎng)絡(luò)工程專業(yè)是依托于計算機(jī)科學(xué)與技術(shù)專業(yè)發(fā)展起來的。網(wǎng)絡(luò)工程專業(yè)的人才應(yīng)該具備計算機(jī)類專業(yè)人才的四大基本能力：計算思維、算法設(shè)計與分析、程序設(shè)計與實(shí)現(xiàn)和系統(tǒng)能力。網(wǎng)絡(luò)工程專業(yè)人才的專業(yè)能力可以進(jìn)一步細(xì)化為：網(wǎng)絡(luò)協(xié)議分析設(shè)計與實(shí)現(xiàn)、網(wǎng)絡(luò)設(shè)備研發(fā)能力、網(wǎng)絡(luò)應(yīng)用系統(tǒng)設(shè)計與開發(fā)能力、網(wǎng)絡(luò)工程設(shè)計與實(shí)施能力、網(wǎng)絡(luò)系統(tǒng)管理與維護(hù)能力、網(wǎng)絡(luò)系統(tǒng)安全保障能力等。因此，網(wǎng)絡(luò)系統(tǒng)安全保障能力是網(wǎng)絡(luò)工程專業(yè)有別于其他計算機(jī)類專業(yè)的一個重要能力。但在目前的現(xiàn)實(shí)情況下，大家對網(wǎng)絡(luò)工程專業(yè)和其他相關(guān)專業(yè)在專業(yè)能力構(gòu)成上的差異認(rèn)識不夠，很多學(xué)校不同專業(yè)在網(wǎng)絡(luò)系統(tǒng)安全保障能力培養(yǎng)方面存在同質(zhì)化現(xiàn)象。

在專業(yè)知識體系上，網(wǎng)絡(luò)系統(tǒng)安全保障知識領(lǐng)域的核心知識單元應(yīng)有：信息安全基礎(chǔ)、安全模型、加密、認(rèn)證、數(shù)字簽名、安全協(xié)議、防火墻、入侵檢測系統(tǒng)、漏洞檢測與防護(hù)、安全評估與審計等。從知識體系上來看，網(wǎng)絡(luò)工程專業(yè)中的網(wǎng)絡(luò)系統(tǒng)安全保障知識基本上是信息安全專業(yè)中密碼學(xué)、網(wǎng)絡(luò)攻防技術(shù)及信息系統(tǒng)安全領(lǐng)域基礎(chǔ)知識的綜合，具有內(nèi)容多、涉及面廣的特點(diǎn)。另外，目前的知識體系主要從防御角度出發(fā)，攻擊和滲透的知識還很欠缺。如何在確保知識體系覆蓋完整的條件下，突出網(wǎng)絡(luò)工程專業(yè)的特色，是一個尚待深入研究的課題。在課程體系結(jié)構(gòu)上，網(wǎng)絡(luò)系統(tǒng)安全保障能力對應(yīng)的網(wǎng)絡(luò)安全課程，對網(wǎng)絡(luò)工程、信息安全和信息對抗專業(yè)來說是主干課程，而對計算機(jī)類其他專業(yè)來說，往往是擴(kuò)展課程；信息安全專業(yè)和信息對抗專業(yè)一般將其細(xì)化為至少4門主干課程，如密碼學(xué)、網(wǎng)絡(luò)安全、信息系統(tǒng)安全和信息內(nèi)容安全。網(wǎng)絡(luò)工程專業(yè)需要強(qiáng)化網(wǎng)絡(luò)安全課程，并開設(shè)相應(yīng)的擴(kuò)展課程，以完善網(wǎng)絡(luò)系統(tǒng)安全保障課程體系的完整性。

教學(xué)條件上，在網(wǎng)絡(luò)與信息安全方面比較突出的國內(nèi)高校主要以密碼學(xué)領(lǐng)域的科學(xué)研究與人才培養(yǎng)見長，缺少網(wǎng)絡(luò)系統(tǒng)安全保障的師資，特別是缺少既有工程背景和網(wǎng)絡(luò)攻防實(shí)戰(zhàn)經(jīng)驗(yàn)又有高學(xué)術(shù)水平的師資，導(dǎo)致一些高校網(wǎng)絡(luò)安全課程的教學(xué)質(zhì)量不高，甚至無法開設(shè)，影響了網(wǎng)絡(luò)系統(tǒng)安全保障能力的培養(yǎng)。網(wǎng)絡(luò)系統(tǒng)安全保障不僅有理論性，也具有實(shí)踐性，許多方法和手段需要在實(shí)踐過程中認(rèn)識和領(lǐng)會。一些高校的網(wǎng)絡(luò)工程專業(yè)缺少必要的實(shí)驗(yàn)條件，有些僅僅進(jìn)行加密與解密、VPN、入侵檢測或防火墻等方面的簡單配置性實(shí)驗(yàn)，缺少網(wǎng)絡(luò)對抗等復(fù)雜的綜合性實(shí)驗(yàn)，致使網(wǎng)絡(luò)系統(tǒng)安全保障實(shí)踐環(huán)節(jié)質(zhì)量不高，影響學(xué)生動手能力的培養(yǎng)。

2網(wǎng)絡(luò)工程專業(yè)學(xué)生網(wǎng)絡(luò)系統(tǒng)安全保障能力構(gòu)成

網(wǎng)絡(luò)系統(tǒng)安全保障能力的教育需要以網(wǎng)絡(luò)系統(tǒng)安全保障知識為載體，通過探討知識發(fā)現(xiàn)問題求解過程，培養(yǎng)學(xué)生靈活運(yùn)用所學(xué)知識有效地解決網(wǎng)絡(luò)系統(tǒng)安全防御、檢測、評估、響應(yīng)等實(shí)際問題的能力。計算機(jī)類專業(yè)培養(yǎng)學(xué)生的計算思維、算法思維、程序思維、系統(tǒng)思維、過程思維、數(shù)據(jù)思維、人機(jī)系統(tǒng)思維等思維能力，而網(wǎng)絡(luò)工程專業(yè)還要培養(yǎng)學(xué)生的對抗思維、逆向思維、拆解思維、全局思維等網(wǎng)絡(luò)系統(tǒng)安全保障所特有的思維能力。網(wǎng)絡(luò)系統(tǒng)安全保障體系是一個復(fù)雜系統(tǒng)，必須從復(fù)雜系統(tǒng)的觀點(diǎn)，采用從定性到定量的綜合集成的思想方法，追求整體效能。從系統(tǒng)工程方法論的觀點(diǎn)出發(fā)，網(wǎng)絡(luò)系統(tǒng)安全保障不能簡單地采用還原論的觀點(diǎn)處理，必須遵循“木桶原理”的整體思維，注重整體安全。網(wǎng)絡(luò)系統(tǒng)安全保障的方法論與數(shù)學(xué)或計算機(jī)科學(xué)等學(xué)科相比，既有聯(lián)系又有區(qū)別，包括觀察、實(shí)驗(yàn)、猜想、歸納、類比和演繹推理以及理論分析、設(shè)計實(shí)現(xiàn)、測試分析等，綜合形成了逆向驗(yàn)證的獨(dú)特方法論。

從不同的角度看網(wǎng)絡(luò)系統(tǒng)安全保障可以得到不同的內(nèi)涵和外延。從物理域看，是指網(wǎng)絡(luò)空間的硬件設(shè)施設(shè)備安全，要求確保硬件設(shè)施設(shè)備不擾、破壞和摧毀；從信息域看，重點(diǎn)是確保信息的可用性、機(jī)密性、完整性和真實(shí)性；從認(rèn)知域看，主要是關(guān)于網(wǎng)絡(luò)傳播的信息內(nèi)容對國家政治及民眾思想、道德、心理等方面的影響；從社會域看，要確保不因網(wǎng)絡(luò)信息傳播導(dǎo)致現(xiàn)實(shí)社會出現(xiàn)經(jīng)濟(jì)安全事件、民族宗教事件、暴力恐怖事件以及群體性聚集事件等。網(wǎng)絡(luò)系統(tǒng)安全保障涉及網(wǎng)絡(luò)協(xié)議安全及相關(guān)技術(shù)研究、網(wǎng)絡(luò)安全需求分析、方案設(shè)計與系統(tǒng)部署、網(wǎng)絡(luò)安全測試、評估與優(yōu)化、網(wǎng)絡(luò)安全策略制訂與實(shí)施等內(nèi)容。培養(yǎng)網(wǎng)絡(luò)系統(tǒng)安全保障能力就是培養(yǎng)學(xué)生熟悉信息安全基本理論和常見的網(wǎng)絡(luò)安全產(chǎn)品的工作原理，掌握主流網(wǎng)絡(luò)安全產(chǎn)品如防火墻、入侵檢測、漏洞掃描、病毒防殺、VPN、蜜罐等工具的安裝配置和使用，能夠制定網(wǎng)絡(luò)系統(tǒng)安全策略與措施，部署安全系統(tǒng)，同時具有安全事故預(yù)防、監(jiān)測、跟蹤、管理、恢復(fù)等方面的能力以及網(wǎng)絡(luò)安全系統(tǒng)的初步設(shè)計與開發(fā)能力，以滿足企事業(yè)單位網(wǎng)絡(luò)安全方面的實(shí)際工作需求。

3網(wǎng)絡(luò)工程專業(yè)學(xué)生網(wǎng)絡(luò)系統(tǒng)安全保障能力課程設(shè)置

網(wǎng)絡(luò)工程專業(yè)涉及計算機(jī)網(wǎng)絡(luò)的設(shè)計、規(guī)劃、組網(wǎng)、維護(hù)、管理、安全、應(yīng)用等方面的工程科學(xué)和實(shí)踐問題，其網(wǎng)絡(luò)安全課程使學(xué)生了解網(wǎng)絡(luò)系統(tǒng)中各種潛在的安全威脅與攻擊手段以及針對這些威脅可采用的安全機(jī)制與技術(shù)。掌握常見的網(wǎng)絡(luò)安全工具和設(shè)備，如防火墻、入侵檢測、漏洞掃描等工具的工作原理，學(xué)生可以了解網(wǎng)絡(luò)安全的相關(guān)政策法規(guī)，并具有網(wǎng)絡(luò)安全策略與措施制定、安全事故監(jiān)測等能力。為了保質(zhì)保量地完成網(wǎng)絡(luò)工程專業(yè)學(xué)生的網(wǎng)絡(luò)系統(tǒng)安全保障能力的培養(yǎng)，可設(shè)置相應(yīng)的主干課程：網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)安全技術(shù)實(shí)踐及擴(kuò)展課程安全測試與評估技術(shù)。課程涉及的核心知識點(diǎn)如表1所示。通過開設(shè)安全測試與評估技術(shù)，教師引導(dǎo)和培養(yǎng)學(xué)生用逆向、對抗和整體思維來學(xué)習(xí)并思考網(wǎng)絡(luò)系統(tǒng)安全保障問題。

4培養(yǎng)學(xué)生網(wǎng)絡(luò)系統(tǒng)安全保障的實(shí)踐和創(chuàng)新能力

實(shí)踐動手能力是網(wǎng)絡(luò)系統(tǒng)安全保障能力培養(yǎng)中的重要一環(huán)。許多網(wǎng)絡(luò)信息系統(tǒng)安全保障能力知識點(diǎn)比較難掌握，必須通過實(shí)踐環(huán)節(jié)來消化、吸收、鞏固和升華，才成為學(xué)生自己的技能。為此，我們一方面努力爭取解決實(shí)驗(yàn)條件，與企業(yè)聯(lián)合共建網(wǎng)絡(luò)安全教學(xué)實(shí)驗(yàn)室；另一方面，自主開發(fā)實(shí)現(xiàn)了一系列的教學(xué)演示和實(shí)踐工具，彌補(bǔ)部分環(huán)節(jié)難以讓學(xué)生動手實(shí)踐的不足。通過完善的實(shí)踐體系（包括課內(nèi)實(shí)驗(yàn)、綜合實(shí)驗(yàn)、創(chuàng)新實(shí)踐、實(shí)習(xí)及學(xué)科競賽等），培養(yǎng)學(xué)生網(wǎng)絡(luò)系統(tǒng)安全保障的實(shí)踐和創(chuàng)新能力。課內(nèi)實(shí)驗(yàn)包括安全測試與評估技術(shù)課程的信息收集、內(nèi)部攻擊、KaliLinux的安裝與使用、Metasploit、緩沖溢出攻擊、Shellcode、Web攻擊、數(shù)據(jù)庫安全、逆向分析等實(shí)驗(yàn)。網(wǎng)絡(luò)安全技術(shù)課程對應(yīng)的實(shí)踐課程網(wǎng)絡(luò)安全技術(shù)實(shí)踐設(shè)置了加解密編程、PGP、PKI、VPN服務(wù)器和客戶端、病毒與惡意代碼行為分析、Iptables防火墻、Snort入侵檢測、以太網(wǎng)網(wǎng)絡(luò)監(jiān)聽與反監(jiān)聽、端口掃描、WinPcap編程、Windows和Linux安全配置等實(shí)驗(yàn)；另外還設(shè)置了兩個綜合實(shí)驗(yàn)——綜合防御實(shí)驗(yàn)(安全配置、防火墻、入侵檢測、事件響應(yīng))和綜合滲透測試實(shí)驗(yàn)(信息收集、緩沖溢出滲透、權(quán)限提升、后門安裝、日志清除)。在課內(nèi)實(shí)驗(yàn)和綜合實(shí)驗(yàn)環(huán)節(jié)采用分工合作、以強(qiáng)帶弱、小組整體與個人測試評分相結(jié)合等措施，確保讓每個學(xué)生掌握相應(yīng)的網(wǎng)絡(luò)系統(tǒng)安全保障實(shí)踐能力。目前，我們正積極與網(wǎng)絡(luò)安全相關(guān)企業(yè)建設(shè)實(shí)習(xí)和實(shí)訓(xùn)基地，開展社會實(shí)習(xí)和實(shí)踐，探索利用社會力量培養(yǎng)實(shí)踐能力的模式。專業(yè)實(shí)踐是一門2學(xué)分的創(chuàng)新實(shí)踐和實(shí)習(xí)課程。通過專業(yè)實(shí)踐和畢業(yè)設(shè)計，學(xué)生可以根據(jù)自己的興趣選擇網(wǎng)絡(luò)系統(tǒng)安全保障方面的創(chuàng)新實(shí)踐拓展和深化。一方面，積極鼓勵并組織優(yōu)秀學(xué)生參加全國性和地方性的網(wǎng)絡(luò)安全技能競賽；另一方面，讓高年級的同學(xué)參與教師的網(wǎng)絡(luò)系統(tǒng)安全保障科研項(xiàng)目中來，讓學(xué)生在競爭與對抗中和解決實(shí)際問題過程中增強(qiáng)自己的動手能力和創(chuàng)新能力，培養(yǎng)學(xué)生的自主學(xué)習(xí)能力和研究能力，激發(fā)他們的網(wǎng)絡(luò)系統(tǒng)安全保障創(chuàng)新思維。

5結(jié)語

第4篇：網(wǎng)絡(luò)攻防與安全滲透范文

 

如果黑客通過網(wǎng)絡(luò)科技手段來控制你的汽車，會發(fā)生什么?事實(shí)上，隨著汽車功能越來越復(fù)雜，在幕后驅(qū)動各種程序的汽車電腦已經(jīng)變得非常重要，盡管在公共道路上，黑客通過網(wǎng)絡(luò)劫車的情況還沒有發(fā)生，但由此所引發(fā)的安全隱患卻是汽車生產(chǎn)企業(yè)必須面對的挑戰(zhàn)。

 

此前，菲亞特克萊斯勒就曾被迫召回了140萬輛汽車，來解決相關(guān)的軟件問題。黑客為什么能那么輕易就入侵到汽車的"大腦"?甚至使得廠商被迫召回?當(dāng)我們進(jìn)入智能汽車時代，如何解決網(wǎng)絡(luò)安全問題?

 

在網(wǎng)絡(luò)越來越發(fā)達(dá)的其他行業(yè)，比如零售、金融等行業(yè)有著應(yīng)對并挫敗黑客的豐富經(jīng)驗(yàn)，而汽車行業(yè)卻很少。在過去很多年里，汽車行業(yè)的發(fā)展一直處于相對封閉的狀況——汽車制造商之間基本上不會共享信息。隨著汽車網(wǎng)絡(luò)安全問題的日益突出，汽車制造商們應(yīng)當(dāng)攜手合作，共同應(yīng)對。

 

汽車網(wǎng)絡(luò)安全專家飛馳鎂物首席運(yùn)營官蔡東表示，智能汽車的安全問題目前國內(nèi)外都非常關(guān)注，在過去的一年甚至出現(xiàn)大的主機(jī)廠智能汽車被破解，汽車被遠(yuǎn)程控制，進(jìn)而不得不召回的事件。他認(rèn)為，汽車智能化聯(lián)網(wǎng)化必然帶來新的安全問題。

 

傳統(tǒng)的車輛安全問題一般是局限在某具體的車輛。而車輛聯(lián)網(wǎng)后，可能通過遠(yuǎn)程來操控，更為重要的是，一些安全漏洞會影響上百萬輛車。猶如打開了潘多拉盒子，搞不好就把魔鬼放出來了。不過，蔡東并不認(rèn)為智能汽車的發(fā)展，會因安全問題，因噎廢食。智能聯(lián)網(wǎng)車是汽車發(fā)展的必然趨勢，出現(xiàn)安全問題不可怕，解決好就行。“我們相信在互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)上發(fā)生的安全演進(jìn)過程同樣會出現(xiàn)在車聯(lián)網(wǎng)上，隨著攻防兩派的不斷滲透，車輛安全會得到不斷提升?！?/p>

 

其實(shí)，黑客入侵智能汽車并不容易。雖然從結(jié)果上看，黑客很快就控制了汽車，但是這個入侵的過程是花了很多時間很多精力準(zhǔn)備和研究的，但不管怎樣，黑客能夠入侵畢竟表明系統(tǒng)存在缺陷。網(wǎng)絡(luò)安全缺陷的存在主要是因?yàn)檐嚶?lián)網(wǎng)系統(tǒng)的安全是融合車輛控制、移動互聯(lián)網(wǎng)、傳統(tǒng)IT等領(lǐng)域的新興發(fā)展方向，大家都在摸索，并無成熟標(biāo)準(zhǔn)規(guī)范可以借鑒，不僅是整車企業(yè)缺乏熟悉這方面的人才，在整個行業(yè)中都嚴(yán)重不足。

 

在產(chǎn)業(yè)高速發(fā)展中，人們?nèi)菀装呀裹c(diǎn)放在功能實(shí)現(xiàn)上，而對安全考慮不足，或者說這方面的人才及能力不足，“這是發(fā)展過程中的陣痛，不可避免?！辈贿^，黑客入侵汽車，如果是由于安全設(shè)計缺陷導(dǎo)致的，如果一個問題會影響到數(shù)百萬輛車的財產(chǎn)安全及人身安全，那么出現(xiàn)這種情況，廠商實(shí)施召回就不足為怪了?！?15晚會”曝光此事，在一定程度上反而會促進(jìn)智能汽車安全發(fā)展。

 

隨著汽車行業(yè)越來越多地開始應(yīng)用網(wǎng)絡(luò)技術(shù)，汽車的網(wǎng)絡(luò)安全問題將愈發(fā)突出，汽車企業(yè)應(yīng)該如何應(yīng)對這方面的挑戰(zhàn)?蔡東認(rèn)為，車企至少需要從幾個方面做好功課，首先是提升技術(shù)安全。

 

這是最直接的，汽車企業(yè)需要從需求、設(shè)計、開發(fā)、測試、部署等各研發(fā)環(huán)節(jié)加入安全要素，對涉及的車端、后臺系統(tǒng)、移動端的安全問題進(jìn)行整體考慮，采取合適的安全措施。這方面，汽車企業(yè)可借鑒相對成熟的IT安全、互聯(lián)網(wǎng)安全方法論和手段，使車聯(lián)網(wǎng)系統(tǒng)安全級別更高。

 

此外，還需要加強(qiáng)運(yùn)營管理。系統(tǒng)運(yùn)行是動態(tài)的，要加強(qiáng)系統(tǒng)監(jiān)控，及時對運(yùn)行過程中出現(xiàn)的問題進(jìn)行分析，對可疑的攻擊行為進(jìn)行處理，如后臺告警及車主安全提示，將問題消滅在萌芽的狀態(tài)。與此同時，汽車企業(yè)還需要加強(qiáng)合作。蔡東告訴記者，車企應(yīng)保持開放的心態(tài)，對車聯(lián)網(wǎng)系統(tǒng)建設(shè)、運(yùn)營、更新各方保持密切合作。安全方面尤其要注意保持與安全平臺的合作，建立合適的通道和處理機(jī)制，對平臺報出的問題及時響應(yīng)處理。

 

不僅如此，在網(wǎng)絡(luò)安全方面持續(xù)改進(jìn)是汽車企業(yè)必須強(qiáng)化的意識。新的功能、新的系統(tǒng)、新的車型都會帶來新的安全隱患，安全問題會一直存在，沒有絕對的安全。只要有利益和好奇心存在，攻防兩派的斗爭會一直持續(xù)下去。因此汽車企業(yè)必須以負(fù)責(zé)任的態(tài)度對待持續(xù)威脅，加大投入，持續(xù)改進(jìn)，使得系統(tǒng)安全與時俱進(jìn)，保持在較高水準(zhǔn)。

 

網(wǎng)絡(luò)專家強(qiáng)調(diào)，應(yīng)對汽車黑客的最好方法是加強(qiáng)監(jiān)管。汽車行業(yè)應(yīng)當(dāng)持續(xù)監(jiān)控汽車黑客，積極準(zhǔn)備潛在的黑客事件并改進(jìn)應(yīng)對方式。在與網(wǎng)絡(luò)安全專家合作方面，上個月通用汽車和特斯拉汽車成為僅有的兩個汽車制造商，他們承諾將與安全專家合作，主動尋找系統(tǒng)弱點(diǎn)，而不是被動等黑客們篡改汽車編碼之后將他們告上法庭。

 

與此同時，曾高調(diào)進(jìn)軍汽車產(chǎn)業(yè)，研發(fā)無人駕駛汽車已達(dá)8年之久的谷歌近來卻轉(zhuǎn)變了對于智能汽車的態(tài)度，由于谷歌無人駕駛汽車與加州公交車發(fā)生的碰擦事故，谷歌無人駕駛汽車項(xiàng)目負(fù)責(zé)人表示“希望無人駕駛汽車比人類駕駛的汽車更安全時才正式推出”。此前，谷歌曾經(jīng)積極推動智能汽車的發(fā)展，樂觀地估計形勢，而現(xiàn)在他們開始承認(rèn)谷歌無人駕駛汽車目前并不完美。

 

無論前景多么美好，安全問題都是智能汽車的痛點(diǎn)，只有安全問題解決了，用戶才能購買配置了成千上萬個傳感器以及沒有配置方向盤的無人駕駛汽車。

 

或許，在晴朗的天氣環(huán)境下，人們能夠借助無人駕駛汽車行駛在更加寬闊的馬路上，但在惡劣的氣候條件下、在擁擠的大都市街道上行駛，無人駕駛汽車會面臨更多困難。在這之前，也許人們只能在特定區(qū)域內(nèi)使用智能汽車。

第5篇：網(wǎng)絡(luò)攻防與安全滲透范文

信息安全的心得體會   4月24日，學(xué)校安排我到北京步同信息培訓(xùn)基地進(jìn)行學(xué)習(xí)。本次學(xué)習(xí)由工業(yè)和信息化部軟件與集成電路增進(jìn)中心舉行，雖然時間不是很長，僅僅為期5天，但是我收獲頗豐，這次實(shí)訓(xùn)，讓我對網(wǎng)絡(luò)工程及信息安全有了更深的理解，并通過考核獲得了信息安全網(wǎng)絡(luò)工程師資歷。對本次學(xué)習(xí)，我有以下幾點(diǎn)心得：

  1、領(lǐng)悟到“學(xué)無止境”的含義。

  本次培訓(xùn)主要任務(wù)是學(xué)會散布式網(wǎng)絡(luò)的設(shè)計與利用，網(wǎng)絡(luò)互連技術(shù)，和網(wǎng)絡(luò)利用中如何保證信息的安全，通過理論與實(shí)踐相結(jié)合，進(jìn)1步加深我們對理論知識的理解。老師通過溝通了解，有針對性的教我們1些網(wǎng)絡(luò)信息安全方面的知識?！凹埳系脕斫K覺淺，絕知此事要躬行！”在短暫的培訓(xùn)進(jìn)程中，讓我深深的感覺到自己在實(shí)際應(yīng)用中的專業(yè)知識的匱乏。讓我們真正領(lǐng)悟到“學(xué)無止境”的含義。

  2、內(nèi)容豐富，案例真實(shí)且實(shí)用。

  張曉峰老師從中石化、中海油、核電、政府信息中心等真實(shí)案例動身，對信息安全從合規(guī)化建設(shè)入手到影響信息安全的諸多因素進(jìn)行了深入解析。同時，張老師利用NetMeeting展現(xiàn)和WINDOWS2003虛擬環(huán)境進(jìn)行學(xué)員間的攻防演練的授課情勢也得到了學(xué)員的認(rèn)可。

  3、培訓(xùn)具有生產(chǎn)實(shí)用價值。

  信息安全培訓(xùn)是本錢最低、最有效利用現(xiàn)有技術(shù)和資源的、效果最快最顯著的信息安全管理措施。通過本次CISP培訓(xùn)，使我對工作中的信息安全全部領(lǐng)域有所了解，對產(chǎn)后學(xué)校信息安全的布置和設(shè)置有的放矢，能夠減少沒必要要的投入浪費(fèi)并對網(wǎng)絡(luò)的良好運(yùn)行起到應(yīng)有的作用。

  談到心得，就不能不提學(xué)校訂于信息化建設(shè)的重視，幾年來學(xué)校不斷加強(qiáng)校園信息化建設(shè)，信息化和數(shù)字化校園建設(shè)獲得了公認(rèn)的成效。學(xué)校也非常重視對信息化工作人員的培訓(xùn)，為我們提供了很好的學(xué)習(xí)進(jìn)修的機(jī)會，我會在今后的工作中把學(xué)到的東西充實(shí)到工作實(shí)踐中去，指點(diǎn)工作使培訓(xùn)能真正體現(xiàn)它的價值。

  信息安全的心得體會

  隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，信息技術(shù)正以驚人的速度滲透到金融行業(yè)的各個領(lǐng)域。但是，信息技術(shù)又是一把“雙刃劍”，它為銀行經(jīng)營管理帶來巨大發(fā)展機(jī)遇的同時，也帶來了嚴(yán)峻的挑戰(zhàn)，網(wǎng)絡(luò)信息的安全性變得越來越重要。特別是如同瘟疫般的計算機(jī)病毒以及危害公共安全的惡意代碼的廣泛傳播，涉及到計算機(jī)的犯罪案件迅速增長，造成的損失也越來越大。鑒于此，對于初入建行的我們而言，學(xué)好銀行信息安全知識顯得尤為重要。下午，個金部的周經(jīng)理給我們詳細(xì)講解了一些有關(guān)銀行的信息安全知識，并介紹了建行的郵件都辦公系統(tǒng)的使用方法，周經(jīng)理的講授深入淺出，讓我們在較短的時間內(nèi)對建行員工在信息安全方面應(yīng)該掌握的知識有了一個比較全面的了解，也為我們今后正式走上工作崗位奠定了基礎(chǔ)。

第6篇：網(wǎng)絡(luò)攻防與安全滲透范文

關(guān)鍵詞：網(wǎng)絡(luò)作戰(zhàn) 黑客 網(wǎng)絡(luò)人才

中圖分類號：TN 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-0745（2013）05-0303-01

一、對“網(wǎng)絡(luò)戰(zhàn)”的基本了解

（一）“網(wǎng)絡(luò)戰(zhàn)”中的的含義。

網(wǎng)絡(luò)戰(zhàn)，是指以計算機(jī)作為實(shí)現(xiàn)作戰(zhàn)目的的主要武器，以計算機(jī)網(wǎng)絡(luò)為主要作戰(zhàn)平臺，以先進(jìn)信息技術(shù)為基本手段，以實(shí)現(xiàn)對敵網(wǎng)絡(luò)攻擊和對我網(wǎng)絡(luò)防護(hù)為作戰(zhàn)目的并貫穿于整個作戰(zhàn)過程的各類信息攻防行動的總稱。簡單地說，敵對雙方圍繞計算機(jī)網(wǎng)絡(luò)的控制權(quán)，即“制網(wǎng)絡(luò)權(quán)”而展開的斗爭。既是作戰(zhàn)的先導(dǎo)，又貫穿于作戰(zhàn)的始終，其成敗事關(guān)作戰(zhàn)的進(jìn)程和結(jié)局，甚至直接影響戰(zhàn)爭的勝負(fù)。

（二）實(shí)施網(wǎng)絡(luò)作戰(zhàn)主要方法

1、病毒攻擊。計算機(jī)病毒是一段具有破壞作用的程序代碼，它具有隱蔽性、潛伏性、自我復(fù)制性、破壞性等特點(diǎn)。病毒攻擊就是指利用計算機(jī)病毒對計算機(jī)系統(tǒng)或網(wǎng)絡(luò)進(jìn)行的攻擊、破壞。它是網(wǎng)絡(luò)戰(zhàn)的一種重要方法。

計算機(jī)操作系統(tǒng)的脆弱性、應(yīng)用系統(tǒng)的各種漏洞使對計算機(jī)及網(wǎng)絡(luò)的病毒攻擊成為可能，計算機(jī)的網(wǎng)絡(luò)化通信又為病毒的廣泛傳播提供了途徑，和其他方法相比，對計算機(jī)網(wǎng)絡(luò)的病毒攻擊具有其獨(dú)有的特點(diǎn)。一是攻擊的隱蔽性強(qiáng)。病毒可以通過磁盤復(fù)制、電子郵件、黑客植入等手段，也可是有預(yù)謀地事先在硬件中植入，甚至通過電子戰(zhàn)設(shè)備，以電磁頻譜的方式無聲無息地感染計算機(jī)系統(tǒng)或應(yīng)用平臺而不被察覺，往往是已造成嚴(yán)重后果時才能發(fā)現(xiàn)，如海灣戰(zhàn)爭中，美國事先在法國賣給伊拉克的打印芯片中事先植入了病毒，在戰(zhàn)爭開始后激活，造成伊軍的指揮控制系統(tǒng)失靈；二是潛伏期長，可侍機(jī)攻擊。病毒可以長期潛伏在計算機(jī)系統(tǒng)而不發(fā)作，待時機(jī)成熟后，就激發(fā)破壞；三是破壞力大。計算機(jī)病毒一旦發(fā)作，輕則干擾系統(tǒng)的正常運(yùn)行，重則破壞磁盤數(shù)據(jù)、刪除文件，導(dǎo)致整體計算機(jī)系統(tǒng)的癱瘓；四是針對性強(qiáng)。計算機(jī)病毒的效能可以人為地準(zhǔn)確地加以設(shè)計，以滿足不同環(huán)境、不同時機(jī)和不同作戰(zhàn)目的的要求；五是效費(fèi)比高。用病毒攻擊敵人比用任何其他方式的代價都小，既不消耗我方的有生力量，實(shí)施攻擊時又事需大量的人力物力，但所得到的軍事效益和經(jīng)濟(jì)效益往往很高。

2、黑客入侵。黑客是指具有尖端計算機(jī)和網(wǎng)絡(luò)技術(shù)的人才。黑客入侵就是指使用黑客手段進(jìn)入計算機(jī)網(wǎng)絡(luò)系統(tǒng)，隨意瀏覽、竊取、篡改數(shù)據(jù)，使他人無法訪問和得到服務(wù)以及以某種方式使計算機(jī)網(wǎng)絡(luò)造成損失或破壞的網(wǎng)絡(luò)攻擊方法。

黑客對計算機(jī)網(wǎng)絡(luò)的攻擊方法多種多樣，基本的有三種：一是網(wǎng)絡(luò)滲透。網(wǎng)絡(luò)滲透是指黑客使用口令猜測、指令破譯、密碼破譯、嗅探器、數(shù)據(jù)包欺騙等瓦解計算機(jī)防護(hù)措施的技術(shù)，攻破計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全保密機(jī)制，進(jìn)入軍事信息系統(tǒng)查閱和拷貝感興趣的機(jī)密信息的活動。從理論上講，一個系統(tǒng)無論上多少鎖，總會有人找到一個辦法進(jìn)去，經(jīng)網(wǎng)絡(luò)滲透到對方系統(tǒng)從而發(fā)起攻擊的可能性很大。黑客利用各種網(wǎng)絡(luò)滲透手段“合法”地進(jìn)入敵方與計算機(jī)網(wǎng)絡(luò)相連的各種信息系統(tǒng)，調(diào)閱與復(fù)制各種機(jī)密信息，是具有戰(zhàn)備意義的作戰(zhàn)行動。它雖然不破壞對方計算機(jī)網(wǎng)絡(luò)的工作狀態(tài)和計算機(jī)信息數(shù)據(jù)，但可以使攻擊者掌握和了解對方的機(jī)密信息、行動計劃、作戰(zhàn)意圖，使敵方對自己透明，使戰(zhàn)爭與作戰(zhàn)的主動權(quán)牢牢掌握在自己手里。二是網(wǎng)絡(luò)控制。網(wǎng)絡(luò)控制是利用計算機(jī)聯(lián)網(wǎng)，采用遠(yuǎn)程登錄手段控制敵方指揮、導(dǎo)航和交通系統(tǒng)的活動。采用網(wǎng)絡(luò)控制的方式，可以使敵方飛機(jī)錯誤地轟炸自己的目標(biāo)，使火車開往與預(yù)定方向相反的地點(diǎn)，使飛機(jī)無故晚點(diǎn)起飛，從而使全部陸地和空中交通系統(tǒng)陷入混亂直至癱瘓。它是黑客攻擊中最具威力的一種方式，可以導(dǎo)致敵人自相殘殺，甚至可以達(dá)到不戰(zhàn)而屈人之兵的效果。三是網(wǎng)絡(luò)破壞。網(wǎng)絡(luò)破壞是黑客作用計算機(jī)病毒等各種手段威脅、干擾、癱瘓、甚至摧毀敵方計算機(jī)網(wǎng)絡(luò)的活動，它是網(wǎng)絡(luò)攻擊經(jīng)常采用的一種方式。

3、拒絕服務(wù)攻擊。指的是攻擊者通過一系列手段，冒用連接在互聯(lián)網(wǎng)或局域網(wǎng)上的第三方計算機(jī)，把過量的信息流發(fā)送到目標(biāo)服務(wù)器，使對方的服務(wù)器無法處理大量的數(shù)據(jù)而被迫關(guān)閉。

二、關(guān)于網(wǎng)絡(luò)戰(zhàn)人才的培養(yǎng)

信息化時代，對人才的培養(yǎng)提出了全新的要求，要想贏得網(wǎng)絡(luò)戰(zhàn)的勝利，沒有強(qiáng)有力的科技人才，一切都是空談。同志早在建軍初期就指出：沒有文化的軍隊(duì)是愚蠢的軍隊(duì)。隨著我軍現(xiàn)代化程度的提高和信息技術(shù)的不斷發(fā)展，信息戰(zhàn)爭已經(jīng)成為高技術(shù)條件下局部戰(zhàn)爭的主要作戰(zhàn)樣式。信息時代的技術(shù)人才必須具有較寬的知識覆蓋面和較深的業(yè)務(wù)技能，集指揮、技術(shù)、管理于一身。

（一）注重人才的選拔，選出理論功底扎實(shí)、綜合素質(zhì)過硬的知識型人才。

對現(xiàn)有的新知識、新裝備、新技能了如指掌，能夠處置瞬息萬變的戰(zhàn)場信息。選拔出高素質(zhì)、高技能的復(fù)合型人才就顯得尤為重要。人才的選拔一是要拓寬渠道，不僅僅從現(xiàn)役軍人中選出綜合素質(zhì)過硬的人才，而且要從地方院校中招收高素質(zhì)的人才，補(bǔ)充到技術(shù)人才隊(duì)伍中。二是提高培養(yǎng)層次，在軍內(nèi)院校中提高本科生、研究生的培養(yǎng)比率。有了雄厚的文化功底，才能為未來的網(wǎng)絡(luò)戰(zhàn)提供可靠的人才保障。

（二）加大人才培養(yǎng)的力度，為人才成長創(chuàng)造有利的物質(zhì)環(huán)境。

實(shí)踐是實(shí)現(xiàn)由只是向能力轉(zhuǎn)化的必然途徑。因此，要積極創(chuàng)造條件，為人才培養(yǎng)提供舞臺。首先，在硬件上要做到配套、齊全。硬件環(huán)境是整個網(wǎng)絡(luò)戰(zhàn)的基礎(chǔ)，“巧婦難為無米之炊”，沒有相應(yīng)的硬件支持，技術(shù)再高的人才也不能創(chuàng)造奇跡。因此，要構(gòu)件良好的硬件環(huán)境，讓人才有用武之地。其次，在軟件方面，要多組織軍事理論講座、交流；高技術(shù)知識學(xué)習(xí)；安排軟件開發(fā)。盡量多地組織技術(shù)人員參加，同時吸收參謀人員參加，大家共同交流，取長補(bǔ)短。充分利用演習(xí)、集訓(xùn)等軍事活動的機(jī)會觀摩、學(xué)習(xí)。

第7篇：網(wǎng)絡(luò)攻防與安全滲透范文

從空中突襲到網(wǎng)絡(luò)攻擊，以色列作戰(zhàn)籌劃人員對先發(fā)制人打擊的深刻理解與運(yùn)用，從各個方面清晰展現(xiàn)了這一先進(jìn)作戰(zhàn)思想的發(fā)展演進(jìn)。同時，以色列軍隊(duì)在作戰(zhàn)原則概念方面也在同步發(fā)展，比如聯(lián)合地面作戰(zhàn)中的原則以及網(wǎng)絡(luò)域中的不可追蹤性和欺騙性，這些都展現(xiàn)了1967年到2009年之間先發(fā)制人打擊方式的發(fā)展變化。 震網(wǎng)病毒的攻擊目標(biāo)，伊朗納坦茲核設(shè)施外的防空武器

先發(fā)制人打擊與戰(zhàn)爭的新維度

網(wǎng)絡(luò)是戰(zhàn)爭中的新領(lǐng)域，當(dāng)今各國應(yīng)當(dāng)注重網(wǎng)絡(luò)空間攻防作戰(zhàn)思想的發(fā)展研究，因?yàn)檫@是現(xiàn)代戰(zhàn)場上的第五維空間。網(wǎng)絡(luò)域?qū)е铝嗽S多新型戰(zhàn)略脆弱性的出現(xiàn)，使各種國家和非國家主體能夠充分利用環(huán)境的極速發(fā)展變化，獲取大量對物理域的控制信息，進(jìn)而利用這些信息來籌劃并開展攻擊行動。美國依靠專業(yè)的網(wǎng)絡(luò)戰(zhàn)士以及來自私營機(jī)構(gòu)的專家，并在他們之間建立緊密的聯(lián)系，來獲悉網(wǎng)絡(luò)領(lǐng)域所發(fā)生的變化情況。

在網(wǎng)絡(luò)域，籌劃與展開進(jìn)攻性行動要易于防御行動，因?yàn)樵诜烙矫嫘枰Ｗo(hù)國家資產(chǎn)和軍用/工業(yè)目標(biāo)。盡管在未來網(wǎng)絡(luò)作戰(zhàn)能力方面將會有很多的機(jī)遇，但是真正達(dá)到最佳利用網(wǎng)絡(luò)空間的水平，還需要領(lǐng)導(dǎo)者們轉(zhuǎn)變思維方式，并在克服傳統(tǒng)思維沖突的前提下實(shí)現(xiàn)現(xiàn)有技術(shù)的軍事化應(yīng)用。網(wǎng)絡(luò)空間有兩大特性，一是進(jìn)攻性占據(jù)支配地位，二是要素的發(fā)展變化極快。這兩個方面為非國家性組織制造了大量的有利因素，他們可以“針對一些特定的目標(biāo)發(fā)揮自己的優(yōu)勢，使接入方式匿名化、優(yōu)勢發(fā)揮快速化、決策生成迅捷化”。國家網(wǎng)絡(luò)防御行動必須要防護(hù)所有的接入點(diǎn)以及數(shù)百萬能夠進(jìn)入關(guān)鍵基礎(chǔ)設(shè)施的計算機(jī)，并且只有在攻擊行為滲透到初始防火墻的時候，才能發(fā)現(xiàn)這些攻擊行動。雖然在網(wǎng)絡(luò)域?qū)嵤┻M(jìn)攻行動要比防御行動簡單，但由于許多國家的商業(yè)、信息以及民生都極為依賴網(wǎng)絡(luò)，這些國家已經(jīng)建立起能夠應(yīng)對網(wǎng)絡(luò)攻擊的最強(qiáng)大的防御系統(tǒng)。以色列作戰(zhàn)籌劃人員認(rèn)為，網(wǎng)絡(luò)域主要分為三大功能，即情報搜集、防御和進(jìn)攻，以色列一直在努力發(fā)展這3個領(lǐng)域的同時，要求所有這些網(wǎng)絡(luò)活動保持低調(diào)。對于任何其它領(lǐng)域的戰(zhàn)爭類型而言，進(jìn)攻與防御行動都是不可或缺的。防御性網(wǎng)絡(luò)籌劃工作通常由指揮體系的高層負(fù)責(zé)完成。網(wǎng)絡(luò)防御行動主要利用網(wǎng)絡(luò)要素來對人員、軍隊(duì)、設(shè)施和活動實(shí)施防護(hù)，遏制敵方獲取網(wǎng)絡(luò)優(yōu)勢，從而鞏固己方利益并保持主動權(quán)。網(wǎng)絡(luò)先發(fā)制人攻擊，致力于使用網(wǎng)絡(luò)要素形成對敵的空間、時間和心理優(yōu)勢，從而奪取并利用戰(zhàn)略主動權(quán)。網(wǎng)絡(luò)戰(zhàn)爭領(lǐng)域中縱深的概念與傳統(tǒng)領(lǐng)域有著本質(zhì)的區(qū)別。現(xiàn)代戰(zhàn)爭中，物理縱深已經(jīng)不像以前那樣重要了;在先發(fā)制人打擊作戰(zhàn)籌劃方面，物理縱深的重要性更輕更小，因?yàn)榫W(wǎng)絡(luò)武器能夠迅速超越縱深，能夠在沒有警告的情況下從超遠(yuǎn)距離之外向敵方網(wǎng)絡(luò)發(fā)起攻擊。隨著網(wǎng)絡(luò)戰(zhàn)爭的不斷發(fā)展，物理縱深的重要性逐步減小，認(rèn)知縱深的重要性日益增強(qiáng)。作戰(zhàn)籌劃人員可以使用網(wǎng)絡(luò)武器來削弱敵方的物理縱深，獲取更大的時間縱深和認(rèn)知縱深，從而為領(lǐng)導(dǎo)者增加戰(zhàn)略選擇并保持主動權(quán)奠定基礎(chǔ)。網(wǎng)絡(luò)武器很具有多點(diǎn)位同時發(fā)起攻擊的特殊優(yōu)勢，一個惡意代碼程序能夠同時攻擊成千上萬的系統(tǒng)，能夠同時利用所有目標(biāo)設(shè)備的脆弱性。運(yùn)用這種攻擊能力的最佳方式，是可以把網(wǎng)絡(luò)攻擊與其它作戰(zhàn)手段進(jìn)行同步集成，例如空中突襲、特種作戰(zhàn)突襲或全面入侵等手段，從而使作戰(zhàn)行動達(dá)成突然性并形成對敵作戰(zhàn)優(yōu)勢。運(yùn)用這種方法，同步化c集成化的過程就成了網(wǎng)絡(luò)域和陸、海、空三域協(xié)同的交匯點(diǎn)。

從本質(zhì)上來看，網(wǎng)絡(luò)先發(fā)制人打擊的適應(yīng)性極強(qiáng)，并且完全根據(jù)目標(biāo)的特點(diǎn)來展開。網(wǎng)絡(luò)攻擊的適應(yīng)性越強(qiáng)，靈活性也就越差，這是由計算機(jī)軟件的現(xiàn)實(shí)性和計算機(jī)科學(xué)的復(fù)雜性決定的。網(wǎng)絡(luò)攻擊武器的設(shè)計者們完全依據(jù)他們所期望的效果和目標(biāo)系統(tǒng)來開展武器編制工作。在網(wǎng)絡(luò)攻擊的具體目標(biāo)方面，特別是敵方所安裝防護(hù)軟件的類型、版本以及軟件補(bǔ)丁程序等要素，都需要提前掌握，這也就需要大量的情報來做支撐。網(wǎng)絡(luò)攻擊過程與入侵過程之間是相反的關(guān)系。網(wǎng)絡(luò)攻擊的侵略性越低，它在被對手發(fā)現(xiàn)之前的隱蔽時間也就越長。這些時間跨度很長的攻擊通常是偵察性攻擊、戰(zhàn)斗毀傷評估或簡單的信息攻擊，其主要作用是為攻擊者盡可能的搜集信息或監(jiān)控敵方的系統(tǒng)工作狀態(tài)。網(wǎng)絡(luò)攻擊所獲取到的敵方系統(tǒng)控制權(quán)限越多，它被敵方發(fā)現(xiàn)的可能性也就越大，時間就越短。大多數(shù)對手將來都會提升發(fā)現(xiàn)問題的能力，尤其當(dāng)他們的計算機(jī)系統(tǒng)出現(xiàn)故障或運(yùn)行不夠順暢的時候，所以這些入侵性活動為攻擊者所能夠提供的時間窗口將會很短。這些攻擊可能會很簡單，就像是一次短暫的停電事故，也可能會很復(fù)雜，比如按照己方的預(yù)期效果去篡改敵方系統(tǒng)信息。其實(shí)，可以將某些網(wǎng)絡(luò)武器的攻擊效果比為利用精確制導(dǎo)武器直接打擊目標(biāo)的效果。網(wǎng)絡(luò)攻擊通過滲透、分析，最后對目標(biāo)造成暫時性影響，其附帶破壞是非常小的。在這種情況下，網(wǎng)絡(luò)可能是非常致命的，但很多時候通常是與其它領(lǐng)域進(jìn)行配合而實(shí)施的，目的也是通過網(wǎng)絡(luò)攻擊來使其它領(lǐng)域攻擊效能得以倍增，同時盡可能降低對友鄰設(shè)備的附帶損壞。網(wǎng)絡(luò)領(lǐng)域最好的攻擊武器就是那些能夠隱蔽完成任務(wù)的武器，是那些能夠使目標(biāo)在整個被攻擊過程中一直處于渾然不覺狀態(tài)的武器。這方面的典型案例就是震網(wǎng)病毒，從時間來看，它對伊朗核濃縮項(xiàng)目所造成了嚴(yán)重的延遲。對任一國家或組織而言，網(wǎng)絡(luò)戰(zhàn)作戰(zhàn)特征極難辯識，這是一種獨(dú)特的優(yōu)勢，能夠使攻擊方避免受到對手的控訴與譴責(zé)。不可追蹤性是一種作戰(zhàn)理念，能夠通過不使用任何一支部隊(duì)、不發(fā)射任何一枚導(dǎo)彈，一個國家在攻擊或影響另一個國家（組織）之后，不會產(chǎn)生有關(guān)攻擊者位置、來源等相關(guān)的指紋信息。震網(wǎng)病毒就具有這種特性，它能夠出入嚴(yán)格管理下的伊朗核電站，但不會引起伊朗人的注意。震網(wǎng)病毒就在伊朗計算機(jī)中活躍了數(shù)月之久，成功避開了鈾濃縮防護(hù)系統(tǒng)的機(jī)器或人為檢測。并且，震網(wǎng)病毒還設(shè)計了上報虛假信息的代碼，能夠向核電站技術(shù)人員和數(shù)字化安全系統(tǒng)報告離心機(jī)所有工作一切正常的虛假信息。這種欺騙行為改變了網(wǎng)絡(luò)攻擊武器在先發(fā)制人打擊中的運(yùn)用方式和籌劃思路。如果敵方在悄無聲息的情況下，能夠攻擊我方數(shù)據(jù)庫并修改安全代碼，篡改供應(yīng)需求、彈藥數(shù)量以及相關(guān)花名冊，那么他們就能夠通過改變我方數(shù)據(jù)信息有效性檢測結(jié)果，來對我方實(shí)施欺騙行動。這種網(wǎng)絡(luò)攻擊的后果非常嚴(yán)重，需要籌劃人員與指揮官再耗費(fèi)兩倍甚至三倍的精力來重新制定作戰(zhàn)計劃。在信息戰(zhàn)爭時代，信息是制勝關(guān)鍵。當(dāng)敵方利用破壞或篡改信息的手段對我方進(jìn)行欺騙的時候，他們就能夠遏制我方進(jìn)行作戰(zhàn)籌劃的能力，因?yàn)檎鎸?shí)目標(biāo)感知能力發(fā)生了變化。欺騙手段，能夠有效降低欺騙目標(biāo)感知戰(zhàn)場的能力，重點(diǎn)是其感知己方、敵方及戰(zhàn)場環(huán)境的能力。

第8篇：網(wǎng)絡(luò)攻防與安全滲透范文

關(guān)鍵詞：信息安全專業(yè)；特色建設(shè)；高等教育教學(xué)

中圖分類號：G642 文獻(xiàn)標(biāo)識碼：B

1引言

目前我國信息安全技術(shù)與世界先進(jìn)水平有較大差距，我國政府已將信息安全列為今后十年優(yōu)先發(fā)展領(lǐng)域。我國過去只有少數(shù)高等院校開設(shè)信息安全課程，而且不能涵蓋信息安全的主要內(nèi)容，因此信息安全方面的人才很少，而金融、商業(yè)、公安、軍事和政府部門對信息安全人才的需求是很大的。根據(jù)現(xiàn)階段國家信息化建設(shè)的規(guī)模測算，比較保守地估計高級信息安全人才的需求在3萬人左右，一般人才的需求是15萬。而現(xiàn)有信息安全專業(yè)人才不到1萬人，這樣就造成了在企業(yè)和機(jī)關(guān)工作的信息安全專業(yè)人才遠(yuǎn)遠(yuǎn)不能滿足需求。要解決供需矛盾，必須加快信息安全人才的培養(yǎng)，以滿足社會對信息安全人才的需求。近年來信息安全專業(yè)在高等院校中得到了充分重視與快速發(fā)展，2001年武漢大學(xué)計算機(jī)學(xué)院新開設(shè)了信息安全專業(yè)，招收了第一屆信息安全專業(yè)本科班。隨后的幾年里，上海交大、北郵、南郵等70多所高等院校也先后開設(shè)了信息安全專業(yè)。

信息安全專業(yè)是一個新興的專業(yè)，學(xué)科建設(shè)中存在著諸多需要解決的問題，其中如何建設(shè)有特色的信息安全專業(yè)是眾多高校面臨的難題。由于信息安全學(xué)科是一個跨學(xué)科的交叉性學(xué)科群體系，涉及到計算機(jī)科學(xué)與技術(shù)、通信工程、數(shù)學(xué)、密碼學(xué)，電子工程等諸多學(xué)科的內(nèi)容。不是每個學(xué)校都能建立大而全的信息安全專業(yè)，進(jìn)行全方面的人才培養(yǎng)。進(jìn)行信息安全專業(yè)特色建設(shè)一定要有特色，要利用學(xué)校的優(yōu)勢，發(fā)揮學(xué)校的長處。有些高校因?yàn)槎ㄎ徊幻鞔_，信息安全專業(yè)沒有得到很好發(fā)展，目前已經(jīng)停止招生。沈昌祥院士指出“由于我國系統(tǒng)培養(yǎng)信息安全人才的工作剛起步不久，存在著學(xué)科體系不完善、教材及實(shí)驗(yàn)室建設(shè)的基礎(chǔ)條件不足、師資隊(duì)伍缺乏等一些薄弱環(huán)節(jié)。高等院校應(yīng)該根據(jù)國際上信息安全技術(shù)的發(fā)展趨勢和我國信息化建設(shè)需求，結(jié)合本校學(xué)科專業(yè)結(jié)構(gòu)特點(diǎn)，充分利用現(xiàn)有學(xué)科條件和優(yōu)勢，積極促進(jìn)學(xué)科交叉和融合。培養(yǎng)具有自主知識產(chǎn)權(quán)開發(fā)能力、掌握核心技術(shù)的信息安全專業(yè)人才?！蹦暇┼]電大學(xué)在信息安全專業(yè)建設(shè)的過程中發(fā)揮學(xué)校優(yōu)勢，堅(jiān)持“有所為有所不為”的建設(shè)理念，重點(diǎn)發(fā)展有特色的計算機(jī)網(wǎng)絡(luò)與通信安全，電子取證，嵌入式系統(tǒng)安全這三個主要學(xué)科建設(shè)方向，在實(shí)踐中形成了自己的教學(xué)體系。

2南京郵電大學(xué)信息安全專業(yè)建設(shè)基本情況

南京郵電大學(xué)計算機(jī)學(xué)院在2001年申報信息安全專業(yè)獲得批準(zhǔn)，2002年在江蘇省內(nèi)高校中首次設(shè)置信息安全專業(yè)，擁有本、碩、博的人才培養(yǎng)體系。2007年被教育部評定為國家特色專業(yè)，是全國信息安全專業(yè)首批十五個特色專業(yè)建設(shè)點(diǎn)之一。信息安全專業(yè)結(jié)合我校的傳統(tǒng)優(yōu)勢領(lǐng)域，確定該專業(yè)的特色為網(wǎng)絡(luò)通信安全。信息安全專業(yè)從2002年起招生，每屆招3個小班100人左右，2006年7月，該專業(yè)有了第一屆畢業(yè)生，目前在校學(xué)生達(dá)399人。

“信息安全”是一個工科專業(yè)，所培養(yǎng)學(xué)生除必須具備扎實(shí)的理論基礎(chǔ)和較寬的專業(yè)知識面外，還要具備從事科學(xué)研究和技術(shù)開發(fā)的基本能力。經(jīng)過近兩年的努力，已初步完成由中央與地方財政下?lián)軐？?60萬元的實(shí)驗(yàn)室硬件和軟件環(huán)境建設(shè)，實(shí)驗(yàn)室設(shè)立在南京郵電大學(xué)仙林校區(qū)教二號樓西側(cè)和三牌樓校區(qū)的無線樓，面積共達(dá)800平米，實(shí)驗(yàn)室建設(shè)以專業(yè)基礎(chǔ)課實(shí)驗(yàn)教學(xué)為主，兼顧專業(yè)課實(shí)驗(yàn)與科研的需要，結(jié)合專業(yè)方向，注重專業(yè)原理，加強(qiáng)設(shè)計和綜合實(shí)驗(yàn)。目前有多個信息安全實(shí)驗(yàn)平臺供教學(xué)與科研使用，如網(wǎng)絡(luò)攻防綜合實(shí)驗(yàn)平臺，計算機(jī)病毒綜合實(shí)驗(yàn)平 臺，網(wǎng)絡(luò)管理綜合實(shí)驗(yàn)平臺，電子證據(jù)取證綜合實(shí)驗(yàn)平臺，無線安全綜合實(shí)驗(yàn)平臺，嵌入式系統(tǒng)綜合實(shí)驗(yàn)平臺等。

3特色專業(yè)建設(shè)的思路與措施

專業(yè)建設(shè)的特色在于結(jié)合南京郵電大學(xué)在通信與信息工程方面的優(yōu)勢，將信息安全的理論技術(shù)和計算機(jī)通信與網(wǎng)絡(luò)緊密結(jié)合在一起，注重科技成果轉(zhuǎn)化以及為社會服務(wù)的職能，利用與電信運(yùn)營商之間長期穩(wěn)定的合作關(guān)系，直接為我國電信事業(yè)建設(shè)和發(fā)展所需要的信息安全保障提供科學(xué)依據(jù)，同時根據(jù)目前和國家機(jī)關(guān)(部隊(duì)、公安)的良好合作關(guān)系和科研計劃，挑選政治合格、思想過硬的優(yōu)秀學(xué)生進(jìn)行反計算機(jī)犯罪和信息對抗的人才培養(yǎng)。

在專業(yè)建設(shè)中，確定重點(diǎn)建設(shè)“計算機(jī)網(wǎng)絡(luò)與通信安全，電子取證，嵌入式系統(tǒng)安全”三個學(xué)科建設(shè)方向。本文將從人才培養(yǎng)、課程建設(shè)、師資培養(yǎng)、校企合作方面介紹南京郵電大學(xué)在特色專業(yè)建設(shè)方面的一些工作。

3.1人才培養(yǎng)

(1) 建立完備的人才培養(yǎng)體系。南京郵電大學(xué)作為江蘇省第一批設(shè)置信息安全專業(yè)的兩所高校之一，從2002年起正式招生，每屆招收學(xué)生100人左右，學(xué)校還設(shè)置有信息安全專業(yè)碩士和博士點(diǎn)，形成了信息安全專業(yè)本、碩、博的全面培養(yǎng)體系。這對于有進(jìn)一步學(xué)習(xí)深造意愿的優(yōu)秀學(xué)生，提供了優(yōu)良的條件。通過教學(xué)實(shí)踐，深刻感受到在本科層次培養(yǎng)信息安全方面的專門人才絕非易事，同時這也決定了信息安全學(xué)科本科階段的教育不可能貪高貪全。在本科人才培養(yǎng)時要講究務(wù)實(shí)，要注意拋棄舊的、煩瑣的、脫離實(shí)際的教學(xué)內(nèi)容，不斷跟蹤新技術(shù)，并把最新的技術(shù)充實(shí)到教學(xué)內(nèi)容中，并要強(qiáng)調(diào)實(shí)踐環(huán)節(jié)。

(2) 實(shí)施模塊化教學(xué)。模塊化教學(xué)和實(shí)踐基地教學(xué)兩者相結(jié)合為目前較為理想的教學(xué)模式。從目前人才市場對信息安全人才的需求情況來看，市場對信息安全人才的要求不單只是要求他們具有堅(jiān)實(shí)的理論基礎(chǔ)，還要求他們具有較強(qiáng)的社會實(shí)踐能力和創(chuàng)新能力。因此在借鑒以上兩種模式的基礎(chǔ)上，應(yīng)結(jié)合當(dāng)前實(shí)際情況，采用“模塊化教學(xué)+實(shí)踐基地教學(xué)”的模式。教學(xué)過程中借鑒國外經(jīng)驗(yàn)，確立核心課程模塊，保證信息安全教育的基礎(chǔ)性、全面性，同時對教學(xué)大綱中規(guī)定的除核心課程外的專業(yè)必修課依其內(nèi)容聯(lián)系、應(yīng)用需求等劃分成三大課程模塊：計算機(jī)與通信網(wǎng)安全，嵌入式信息安全技術(shù)和電子取證，供學(xué)生根據(jù)自己的興趣選擇不同的主修方向。計算機(jī)與通信網(wǎng)安全注重計算機(jī)網(wǎng)絡(luò)與通信網(wǎng)絡(luò)的信息安全理論與技術(shù)，側(cè)重網(wǎng)絡(luò)知識的學(xué)習(xí)；嵌入式信息安全偏向于硬件安全與嵌入式系統(tǒng)開發(fā)技術(shù)；電子取證以操作系統(tǒng)分析為基礎(chǔ)，側(cè)重電子取證技術(shù)，為國家部門(軍隊(duì)、公安、安全)輸送專門的反計算機(jī)犯罪和信息對抗人才。在經(jīng)過大一的基礎(chǔ)課學(xué)習(xí)后，在大二、大三學(xué)生中建立興趣小組，根據(jù)模塊化教學(xué)的思想，由老師對不同興趣組的學(xué)生進(jìn)行引導(dǎo)，由學(xué)生自由挑選三個模塊中的一個方向進(jìn)行選課與學(xué)習(xí)，這種建立在自身興趣基礎(chǔ)上的發(fā)展選擇有利于學(xué)生主動性的發(fā)揮。見表1。

3.2課程建設(shè)

(1) 課程體系和內(nèi)容的建設(shè)保證基礎(chǔ)、突出特色，一方面保證開設(shè)教育部高教司所編“普通高等學(xué)校本科專業(yè)目錄和專業(yè)介紹”所列的全部課程，另一方面在基礎(chǔ)課設(shè)置上，考慮到學(xué)校通信的傳統(tǒng)特色和優(yōu)勢，增加通信學(xué)科基礎(chǔ)課程。同時增加雙語教學(xué)專業(yè)課程內(nèi)容，以培養(yǎng)學(xué)生直接查閱英文文獻(xiàn)和使用專業(yè)詞匯的能力。注重更新教學(xué)內(nèi)容，優(yōu)化課程體系，打破學(xué)科課程間的壁壘，加強(qiáng)課程與課程體系間在邏輯和結(jié)構(gòu)上的聯(lián)系與綜合。在專業(yè)方向課程部分，注意“寬、新、淺”相結(jié)合?！皩挕敝钢R面寬，“新”指知識更新快，“淺”指知識講解能做到深入淺出，符合本科教學(xué)特點(diǎn)。在實(shí)驗(yàn)課程建設(shè)中，要重點(diǎn)研究各類綜合性實(shí)驗(yàn)與設(shè)計性實(shí)驗(yàn)的設(shè)置，使這些實(shí)驗(yàn)?zāi)苷嬲岣邔W(xué)生的實(shí)際動手能力與綜合知識的能力。

(2) 強(qiáng)調(diào)課程的實(shí)踐性。從對信息安全人才的需求來看，無論是信息安全技術(shù)人員，還是信息安全管理維護(hù)人員，實(shí)際動手能力是非常重要的，因此，一是強(qiáng)調(diào)程序設(shè)計能力，使其達(dá)到一定的水平，二是要求學(xué)生熟練掌握信息安全產(chǎn)品的配置和使用技能。在主干課程的教學(xué)中，特別注重實(shí)踐過程的訓(xùn)練并保證質(zhì)量。南京郵電大學(xué)在2006年新修訂的培養(yǎng)計劃中90％以上的專業(yè)課程設(shè)有實(shí)驗(yàn)環(huán)節(jié)，要求學(xué)生完成設(shè)計性或綜合性實(shí)驗(yàn)。南京郵電大學(xué)已完成由中央財政與地方在2005年共同投資360多萬元的“信息安全綜合實(shí)驗(yàn)室”建設(shè)，并建設(shè)了多個專業(yè)實(shí)驗(yàn)平臺，目前已經(jīng)具有優(yōu)良的硬件環(huán)境，但還需要進(jìn)一步完善實(shí)驗(yàn)軟環(huán)境，進(jìn)一步探索信息安全實(shí)驗(yàn)室建設(shè)的新方法。

(3) 專業(yè)教材的建設(shè)，精選經(jīng)典教材，結(jié)合自編教材，不斷充實(shí)反映科學(xué)技術(shù)和社會發(fā)展的最新成果，注意把體現(xiàn)當(dāng)代學(xué)科發(fā)展特征的、多學(xué)科間的知識交叉與滲透反映到教學(xué)內(nèi)容中來?，F(xiàn)有的涉及信息安全的書籍多是技術(shù)類和專業(yè)理論的圖書，如黑客攻防、密碼學(xué)理論等，這樣的書并不完全適合用作大學(xué)生的普及應(yīng)用型教材，因此需要及時建設(shè)和更新教材內(nèi)容，需要聯(lián)合相關(guān)專家來編撰適合信息安全專業(yè)需要的教材。實(shí)驗(yàn)教材方面，目前絕大部分高校的專業(yè)實(shí)驗(yàn)仍然停留在一些簡單的加密/解密、防火墻或者入侵檢測等方面的實(shí)驗(yàn)，而對于網(wǎng)絡(luò)攻防等更進(jìn)一步的實(shí)驗(yàn)沒有涉及，無法完成這些復(fù)雜的信息安全實(shí)驗(yàn)。準(zhǔn)備利用“信息安全綜合實(shí)驗(yàn)室”，研究具備一定規(guī)模、難度，示范性強(qiáng)的組合實(shí)驗(yàn)系統(tǒng)，并編制相應(yīng)的教材。

(4) 加強(qiáng)實(shí)驗(yàn)室軟環(huán)境建設(shè)，軟環(huán)境包括實(shí)驗(yàn)平臺建設(shè)與大型復(fù)雜實(shí)驗(yàn)設(shè)置。目前南京郵電大學(xué)已經(jīng)具有硬件條件良好的信息安全實(shí)驗(yàn)室，在實(shí)驗(yàn)軟環(huán)境建設(shè)中，已經(jīng)初步完成了多個實(shí)驗(yàn)平臺的建設(shè)。在今后要加強(qiáng)實(shí)驗(yàn)室軟環(huán)境建設(shè)，以網(wǎng)絡(luò)環(huán)境為基礎(chǔ)，對外連接因特網(wǎng)，內(nèi)部設(shè)置幾個相對獨(dú)立的網(wǎng)絡(luò)群，安裝一些常見的信息安全系統(tǒng)和設(shè)備，并根據(jù)普遍存在的網(wǎng)絡(luò)和信息安全現(xiàn)象，組成模擬信息安全實(shí)驗(yàn)環(huán)境。要能滿足完成網(wǎng)絡(luò)攻防、反向追蹤、電子取證等復(fù)雜的信息安全實(shí)驗(yàn)。設(shè)立創(chuàng)新實(shí)驗(yàn)室，多形式延長開放實(shí)驗(yàn)室，讓學(xué)生有較多的動手機(jī)會，創(chuàng)新機(jī)會。

3.3師資培養(yǎng)

強(qiáng)大的師資隊(duì)伍是培養(yǎng)高質(zhì)量學(xué)生的基本保障，南京郵電大學(xué)信息安全專業(yè)的師資主要來自計算機(jī)學(xué)院信息安全系，師資隊(duì)伍中包括博士生導(dǎo)師、教授、副教授等二十多人，但在學(xué)科建設(shè)中依然感受到師資力量的不足，迫切感受到師資隊(duì)伍建設(shè)的緊迫性，南京郵電大學(xué)從以下三個方面加強(qiáng)師資培養(yǎng)。

(1) 新教師的引進(jìn)和培養(yǎng)，一方面吸納信息安全專業(yè)畢業(yè)的碩士生、博士生，一方面引入知名學(xué)者和安全公司的高級人才，學(xué)校提供優(yōu)惠的條件來吸引這批人才，他們擁有最新的信息安全知識、較強(qiáng)的信息安全技能和合理的知識結(jié)構(gòu)，對于專業(yè)建設(shè)是有力的新鮮補(bǔ)充。

(2) 在師資隊(duì)伍建設(shè)過程中，制定政策鼓勵教師交流與學(xué)習(xí)，設(shè)有專用的經(jīng)費(fèi)，保障教師參加學(xué)習(xí)與培訓(xùn)，參加會議等學(xué)術(shù)交流活動。對現(xiàn)有的信息安全教學(xué)人員進(jìn)行定期培訓(xùn)，將現(xiàn)有的教學(xué)人員就近分批送到各地信息安全培訓(xùn)中心進(jìn)行短期進(jìn)修，如進(jìn)行CISP、NCSE或CISSP等相應(yīng)的信息安全認(rèn)證的培訓(xùn)，鼓勵教師取得信息安全認(rèn)證資格。聘請信息安全領(lǐng)域的知名學(xué)者、專家作為顧問，這樣不但可以直接培養(yǎng)高級信息安全人才，還可以指導(dǎo)青年教師，定期舉辦一些有關(guān)信息安全的講座也可以使廣大師生對信息安全增加了解。

(3) 強(qiáng)調(diào)教師的科研工作。教學(xué)和科研是高校兩大任務(wù)，做好教學(xué)、搞好科研是對教師的基本要求，信息安全方向的科研工作可以加強(qiáng)理論學(xué)習(xí)的廣度和深度，是教學(xué)質(zhì)量的保障，學(xué)校制定了完備的科研政策和管理制度，鼓勵和督促教師參見各種科研工作。

3.4校企合作

高等教育不僅要給學(xué)生傳輸知識，更要培養(yǎng)學(xué)生掌握應(yīng)用知識的方法和能力，信息安全專業(yè)更是一門對實(shí)踐要求很高的學(xué)科，我們要培養(yǎng)學(xué)生的社會實(shí)踐能力和創(chuàng)新能力，必須加強(qiáng)校企合作，推進(jìn)實(shí)踐基地的建設(shè)，實(shí)現(xiàn)實(shí)踐基地培養(yǎng)模式。實(shí)踐基地培養(yǎng)模式主要有三個方面的內(nèi)容：一要保證實(shí)踐時間，信息安全專業(yè)的學(xué)生應(yīng)花1個學(xué)期左右的時間具體到某一實(shí)踐基地去實(shí)習(xí)信息安全應(yīng)用的方方面面。二要保證實(shí)踐基地，使學(xué)生有固定的實(shí)踐地點(diǎn)，南京郵電大學(xué)將與更多的信息安全企業(yè)和事業(yè)單位合作，簽訂協(xié)議保證學(xué)生有更多的實(shí)習(xí)基地的選擇，重點(diǎn)遴選若干技術(shù)力量雄厚、專業(yè)特征相符、適合大學(xué)生創(chuàng)新實(shí)習(xí)的友好企業(yè)作為長期合作的實(shí)習(xí)基地和科技研發(fā)伙伴。從提供實(shí)踐基地場所的企業(yè)來說，去實(shí)習(xí)的學(xué)生，為企業(yè)提供更好更多的人才選擇機(jī)會。

在計算機(jī)與通信網(wǎng)安全方面，南京郵電大學(xué)已經(jīng)和綠盟、瑞星等知名專業(yè)安全公司簽訂了合作協(xié)議，定期交流，開辦講座，了解新技術(shù)和新產(chǎn)品，開闊學(xué)生的視野。在港灣網(wǎng)絡(luò)有限公司、江蘇電信、南京電信和江蘇網(wǎng)通公司建立了實(shí)習(xí)基地，已簽訂了合作協(xié)議的實(shí)習(xí)基地已達(dá)8家。在嵌入式信息安全技術(shù)方面，已經(jīng)和上海雙實(shí)科技公司合作成立了教學(xué)實(shí)習(xí)基地，除了常年在學(xué)校里面設(shè)有實(shí)驗(yàn)室，每年還有一部分學(xué)生直接去上海雙實(shí)公司進(jìn)行實(shí)習(xí)。在電子取證方面，每年均有部分學(xué)生參與政府安全、公安部門的信息安全工作，在畢業(yè)后通過公務(wù)員考試，進(jìn)入政府部門工作。三要保證實(shí)習(xí)師資力量，在實(shí)習(xí)基地應(yīng)保證有固定的老師指導(dǎo)學(xué)生實(shí)習(xí)，可聘請實(shí)習(xí)單位經(jīng)驗(yàn)豐富之士為學(xué)生作現(xiàn)身說法，現(xiàn)場講授、現(xiàn)場演示。同時加強(qiáng)對本專業(yè)老師的實(shí)習(xí)培訓(xùn)，以便讓其對學(xué)生的指導(dǎo)能有的放矢。

4結(jié)束語

信息安全專業(yè)是一個新興而充滿潛力的交叉學(xué)科，但由于其發(fā)展剛起步，各高等院校在學(xué)科建設(shè)的過程中遇到了不同的困難。對于多數(shù)高校而言，無法建立大而全的信息安全人才培養(yǎng)體系，各高校需要依據(jù)學(xué)校自身優(yōu)勢，明確專業(yè)建設(shè)目標(biāo)，形成具有特色的信息安全專業(yè)體系，這才能有助于改善我國信息安全專業(yè)人才匱乏的現(xiàn)狀。本文從人才培養(yǎng)、課程建設(shè)、師資培養(yǎng)、校企合作方面介紹南京郵電大學(xué)在特色專業(yè)建設(shè)方面的一些工作，我們的工作有成功之處，也有不足之處，還需要針對存在的問題，從教學(xué)內(nèi)容和教學(xué)模式方面進(jìn)一步提煉，使得信息安全專業(yè)特色建設(shè)的質(zhì)量繼續(xù)提高。

參考文獻(xiàn)：

[1] 沈昌祥. 加強(qiáng)信息安全學(xué)科專業(yè)建設(shè)和人才培養(yǎng)[J]. 計算機(jī)教育,2007,(19):6.

[2] 張煥國,黃傳河,劉玉珍,王麗娜. 信息安全本科專業(yè)的人才培養(yǎng)與課程體系[J]. 高等理科教育,2004,(02).

[3] 楊義先,鈕心忻. 信息安全類學(xué)科建設(shè)―體會與案例[J]. 信息網(wǎng)絡(luò)安全,2008,(01):19-21.

[4] 張煥國,王麗娜,黃傳河,杜瑞潁,傅建明. 武漢大學(xué)信息安全學(xué)科建設(shè)與人才培養(yǎng)的探索與實(shí)踐[J]. 計算機(jī)教育,2007,(23).

[5] 邱衛(wèi)東,陳克非. 信息安全數(shù)學(xué)教學(xué)的新型互動模式[J]. 計算機(jī)教育,2007,(19):19-21.

[6] 王海暉,譚云松,伍慶華,黃文芝. 高等院校信息安全專業(yè)人才培養(yǎng)模式的研究[J]. 現(xiàn)代教育科學(xué),2006,(03):143-145.

第9篇：網(wǎng)絡(luò)攻防與安全滲透范文

國家利益在網(wǎng)絡(luò)空間拓展面臨新的挑戰(zhàn)

歷史表明，每一種新空間的拓展總是以一定國家利益的拓展為先導(dǎo)，隨之而來的則是基于實(shí)力的競爭引發(fā)的國家主權(quán)的變化。與歷次人類活動空間拓展相類似，網(wǎng)絡(luò)空間的出現(xiàn)己經(jīng)使國家利益在政治、經(jīng)濟(jì)、軍事和文化等方面發(fā)生了新的變遷。

國家政治主權(quán)日益受影響。在網(wǎng)絡(luò)全球化時代，政府控制信息擴(kuò)散的能力逐漸弱化，一國政府隨時置于大眾和其他國家政府、非政府組織的監(jiān)督之下，其內(nèi)政和外交的透明度越來越高，受到的牽制和約束也越來越大，國家主權(quán)出現(xiàn)了“隱性散失”現(xiàn)象。因此，一些國家和組織常常利用互聯(lián)網(wǎng)傳播速度快、范圍廣、信息量大、介入門檻低的特點(diǎn)，有意識地對他國進(jìn)行政治文化滲透?？陀^上講，互聯(lián)網(wǎng)推動了全球化一體化進(jìn)程，增強(qiáng)了各國間的相互滲透和相互依存，使國家與國家之間、國家與國際組織之間形成了縱橫交錯的緊密關(guān)系，國家政治主權(quán)逐漸向內(nèi)部和外部擴(kuò)散。

國家經(jīng)濟(jì)控制力開始下降。信息網(wǎng)絡(luò)滲入經(jīng)濟(jì)領(lǐng)域?qū)τ诮?jīng)濟(jì)的深遠(yuǎn)影響足以同工業(yè)革命帶來的社會變化相匹敵，促使經(jīng)濟(jì)關(guān)系發(fā)生了革命性的變革。金融機(jī)構(gòu)、保險公司、銀行、股票交易所通過信息網(wǎng)絡(luò)系統(tǒng)連接起來，資本在數(shù)量和價值上得到指數(shù)級擴(kuò)展，互聯(lián)網(wǎng)開始逐步滲入到國民經(jīng)濟(jì)的更深層次和更寬領(lǐng)域。有關(guān)資料表明，現(xiàn)代經(jīng)濟(jì)的發(fā)展與增長，40%來源于信息產(chǎn)業(yè)。例如，美國信息產(chǎn)業(yè)對經(jīng)濟(jì)增長的貢獻(xiàn)率為33%以上，比鋼鐵、汽車、建筑三大支柱產(chǎn)業(yè)的總和還要多。西方發(fā)達(dá)國家信息業(yè)產(chǎn)值已占國民生產(chǎn)總值的45%～60%，而發(fā)展中國家僅占1%左右。高度發(fā)達(dá)的信息網(wǎng)絡(luò)將成為國家經(jīng)濟(jì)發(fā)展的重要推動力，國家經(jīng)濟(jì)安全越來越依賴于信息化基礎(chǔ)設(shè)施的安全程度，因此信息化產(chǎn)業(yè)相對落后國家的經(jīng)濟(jì)發(fā)展將越來越受制于信息化發(fā)達(dá)國家。

信息網(wǎng)絡(luò)成為軍事行動中心。進(jìn)入21世紀(jì)，信息網(wǎng)絡(luò)技術(shù)已經(jīng)成為現(xiàn)代軍隊(duì)C4ISR系統(tǒng)的基礎(chǔ)。信息網(wǎng)絡(luò)如同人的神經(jīng)系統(tǒng)一樣延伸至軍隊(duì)各個級別的作戰(zhàn)單位，這使得圍繞制網(wǎng)權(quán)的網(wǎng)絡(luò)對抗在軍隊(duì)作戰(zhàn)行動中的重要性大大增加。當(dāng)前，一些國家和組織的網(wǎng)絡(luò)作戰(zhàn)力量部署已經(jīng)凸顯出你中有我、我中有你，超越地理國界的態(tài)勢。平時“休眠”潛伏，戰(zhàn)時對他國軍隊(duì)網(wǎng)絡(luò)指揮、管理、通信、情報系統(tǒng)網(wǎng)絡(luò)實(shí)施可控范圍的“破襲”，大量癱瘓其軍事信息網(wǎng)絡(luò)系統(tǒng)。如何有效防護(hù)、控制和構(gòu)建利于己方的網(wǎng)絡(luò)空間已經(jīng)成為各國軍隊(duì)維護(hù)網(wǎng)絡(luò)安全必須面對的嚴(yán)峻問題。

制網(wǎng)權(quán)由使用權(quán)、控制權(quán)和構(gòu)造權(quán)組成

伴隨著信息網(wǎng)絡(luò)空間的形成，國家主權(quán)開始向網(wǎng)絡(luò)延伸，由此產(chǎn)生了制網(wǎng)權(quán)問題。所謂制網(wǎng)權(quán)是指國家為維護(hù)自身利益而擁有的網(wǎng)絡(luò)空間使用權(quán)、網(wǎng)絡(luò)空間控制權(quán)和網(wǎng)絡(luò)空間構(gòu)造權(quán)。

網(wǎng)絡(luò)空間使用權(quán)。衡量一個國家是否具有互聯(lián)網(wǎng)的使用權(quán)，需要考察該國具備進(jìn)入網(wǎng)絡(luò)、使用網(wǎng)絡(luò)資源的基礎(chǔ)條件，這是進(jìn)入網(wǎng)絡(luò)空間能力的具體體現(xiàn)。核心上網(wǎng)技術(shù)、網(wǎng)絡(luò)帶寬、網(wǎng)民規(guī)模、本國互聯(lián)網(wǎng)基礎(chǔ)資源(IP地址數(shù)量、網(wǎng)站數(shù)量、國際頂級域名注冊量)和接入國際互聯(lián)網(wǎng)方式等因素都是制約國家使用互聯(lián)網(wǎng)絡(luò)的關(guān)鍵。各種要素必須均占一定的量值才能表明國家具有使用權(quán)，缺少某一項(xiàng)或該項(xiàng)占份額較小，則對國家進(jìn)入并利用網(wǎng)絡(luò)空間的能力具有較大影響。

網(wǎng)絡(luò)空間控制權(quán)。網(wǎng)絡(luò)空間控制權(quán)主要包括網(wǎng)絡(luò)空間話語主導(dǎo)權(quán)、網(wǎng)絡(luò)戰(zhàn)規(guī)則制定權(quán)、關(guān)鍵信息節(jié)點(diǎn)和設(shè)施的控制權(quán)。目前，圍繞網(wǎng)絡(luò)空間控制權(quán)的斗爭主要表現(xiàn)為：一是圍繞網(wǎng)絡(luò)空間話語主導(dǎo)權(quán)的爭奪日趨激烈。網(wǎng)絡(luò)常被有關(guān)國際行為體利用大量虛假信息和謠言混淆視聽，危害一國內(nèi)部穩(wěn)定與對外形象并影響其外交決策。因此，在網(wǎng)絡(luò)中保持話語主導(dǎo)權(quán)，及時有效地收集和分析網(wǎng)絡(luò)信息，充分利用網(wǎng)絡(luò)輿論進(jìn)行科學(xué)合理的政治決策，是對國家政治智慧的重要考驗(yàn)。二是關(guān)鍵信息節(jié)點(diǎn)和設(shè)施的控制權(quán)仍為少數(shù)國家擁有。目前，國際互聯(lián)網(wǎng)主干線以美國為中心，從主干線再分出支線，通信鏈路大多經(jīng)過美國。決定互聯(lián)網(wǎng)地址分配權(quán)的13臺根域名服務(wù)器，10臺設(shè)在美國，僅有3臺分別設(shè)在倫敦、斯德哥爾摩和東京。

網(wǎng)絡(luò)空間構(gòu)造權(quán)。隨著信息資源在國家利益中地位的不斷提高，圍繞網(wǎng)絡(luò)空間的構(gòu)造，即信息資源的控制日趨激烈。從網(wǎng)絡(luò)空間本質(zhì)上看，與傳統(tǒng)的“海、陸、空、天”等空間相比，支撐網(wǎng)絡(luò)空間的各類資源可以跨地域規(guī)劃和使用，規(guī)則可以由他國制定和解釋，并與他國網(wǎng)絡(luò)空間高度融合，使得各國網(wǎng)絡(luò)空間的邊界極為模糊。因此，網(wǎng)絡(luò)空間邊界與地理區(qū)域不存在嚴(yán)格的對應(yīng)關(guān)系。在網(wǎng)絡(luò)攻防手段不斷發(fā)展的情況下，網(wǎng)絡(luò)邊界具有極大的可塑性、易侵入性，呈現(xiàn)出動態(tài)變化的特征。

提高維護(hù)網(wǎng)絡(luò)空間國家利益的戰(zhàn)略能力

國家政治利益在網(wǎng)絡(luò)空間的拓展，直接關(guān)系到國家管轄網(wǎng)絡(luò)空間權(quán)益的拓展；國家經(jīng)濟(jì)利益在網(wǎng)絡(luò)空間的拓展，直接關(guān)系到國家經(jīng)濟(jì)的可持續(xù)發(fā)展；國家軍事利益在網(wǎng)絡(luò)空間的拓展，則直接關(guān)系到未來信息化戰(zhàn)爭的勝敗。所有這些，都要求我們必須進(jìn)一步提升軍隊(duì)在維護(hù)網(wǎng)絡(luò)空間國家利益中的戰(zhàn)略地位。

第一，在國家軍事戰(zhàn)略布局上，應(yīng)根據(jù)國家利益在網(wǎng)絡(luò)空間拓展的需求，進(jìn)一步加強(qiáng)對網(wǎng)絡(luò)空間的關(guān)注，充分認(rèn)識國家網(wǎng)絡(luò)空間利益發(fā)展的必然性、合法性與復(fù)雜性，建設(shè)一支與國家網(wǎng)絡(luò)空間發(fā)展利益相適應(yīng)的網(wǎng)絡(luò)軍事力量，適當(dāng)調(diào)整網(wǎng)絡(luò)作戰(zhàn)力量建設(shè)的方向和目標(biāo)。

第二，要從網(wǎng)絡(luò)作戰(zhàn)力量具有戰(zhàn)略性、綜合性和跨國性的特點(diǎn)，進(jìn)一步豐富軍隊(duì)?wèi)?zhàn)略網(wǎng)絡(luò)作戰(zhàn)的戰(zhàn)法與謀略。不僅要繼續(xù)高度重視戰(zhàn)時行動，還應(yīng)特別關(guān)注非戰(zhàn)時行動。例如，通過網(wǎng)絡(luò)偵察、網(wǎng)絡(luò)布控、網(wǎng)絡(luò)防護(hù)等活動顯示網(wǎng)絡(luò)軍事力量存在；利用網(wǎng)絡(luò)作戰(zhàn)力量機(jī)動迅速、聚合重組能力強(qiáng)和對抗強(qiáng)度大等特點(diǎn)，有效保衛(wèi)網(wǎng)絡(luò)信息節(jié)點(diǎn)等。

第三，進(jìn)一步更新網(wǎng)絡(luò)作戰(zhàn)力量運(yùn)用的時域觀念。應(yīng)改變傳統(tǒng)的“維護(hù)使用，保障運(yùn)行”時域觀念，進(jìn)行全時域防衛(wèi)，注重全時域運(yùn)用。在網(wǎng)絡(luò)軍事力量的運(yùn)用上，應(yīng)根據(jù)戰(zhàn)略形勢，重點(diǎn)研究網(wǎng)絡(luò)動態(tài)防御、網(wǎng)絡(luò)戰(zhàn)局控制等問題。