谈谈如何防范网络安全

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇谈谈如何防范网络安全范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

谈谈如何防范网络安全范文第1篇

一、危害校园网安全的因素。

1、构成校园网的各种硬件因素。

计算机网络主要由传输介质、路由器、交换机、服务器、工作站等硬件组成，分布在室外的双绞线遭受日晒雨淋，很容易出故障，室外的光纤如果布线不规范也容易造成人为或意外的损坏，另外光纤收发器、路由器、交换机任何一个硬件出现问题都会影响校园网络的正常运行。

2、系统软件和应用软件因素。

安装在校园网电脑上的Windows系统、网络管理等软件也是校园网的不稳定因素，如：Windows系统及很多软件都存在着或多或少的安全漏洞，成为了黑客与计算机病毒的攻击校园网服务器及工作站的捷径。

3、计算机病毒因素

校园网一般都连接互联网，上互联网过程中很容易在浏览含有病毒的网页时使电脑染上病毒，计算机感染病毒后，轻则运行速度变慢，频繁死机，重则文件被删除，甚至造成系统瘫痪。教师办公用的计算机里都保存着大量的重要文档资料，一旦被病毒破坏，或被黑客盗取，将会造成数据丢失、泄密，严重影响学校正常教学。计算机病毒已成为危害校园网的一个重要因素。

4、教师与学生的网络安全意识及法律意识因素。

某些教师随意修改电脑的IP地址，造成与其它电脑发生冲突，一些学生在机房上机时，随意删除其他人的数据，修改电脑参数，造成系统运行不稳定，有的学生甚至恶意传播病毒而觉得好玩，有的计算机专业学生为了显示自己的高超水平，专门破解网络机房计算机系统的保护软件及网络管理软件，如冰点软件、网络还原精灵软件等最后造成大量计算机系统瘫痪。

二、校园网络的安全防范措施

针对上面提到的危害校园网的因素，应采取相应的防范措施来保护网络不受来自网络内外的各种危害，主要从以下几个方面进行防范。

1、从网络硬件方面进行防范。

从规划、设计到组建校网络整个过程都要充分考虑到硬件设备的安全问题。比如专用一间小房间作为校园网的中心机房，将服务器、路由器、主干交换机、光纤收发器等集中放在中心机房。另外，室外光纤尽量深埋或架空，室内双绞线则暗装进线槽，避免人为或意外损坏。对于机房的交换机等设备则集中安装在专用柜子里。

2、从防火墙及系统软件方面进行防范

防火墙可对外部屏蔽网络内部的信息、结构和运行状况，有效地防止外来的入侵，以保护网络的安全。所以启用Windows自带的防火墙或安装其它专业的防火墙，即可防止黑客入侵计算机窃取、破坏重要资料。

另外，定期检测Windows系统及其它应用软件的漏洞，并及时进行修复，防止系统受到入侵破坏。据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，像冲击波等病毒。

3.从子网隔离方面进行防范

前面提到很多技工学校的校园网都由三个子网组成，为了避免学生从网络机房访问到办公室中教师的电脑，造成教师的重要数据被窃取或试题泄漏，应采取隔离手段把网络机房的局域网与办公室的网络分开。通常利用交换机提供的vlan技术把这三个子网设置成3个虚拟子网进行隔离，设置子网相互间的访问控制，限制学生通过网络机房的电脑非法访问办公室教师电脑的目的。

4.从访问控制方面进行防范

在教学管理过程中，办公室经常要把文件共享给指定的科室领导访问，同时又要避免被其它教师通过网络访问，这就要采取访问控制措施，也就是保证网络资源不被非法访问。访问控制措施通常包括用户名的识别与验证、用户口令的识别与验证、用户帐户的缺省限制检查等。

5.从师生方面进行防范

首先，在计算机基础课程中安排计算机网络安全内容与国家有关计算机犯罪的法律，使学生了解网络安全知识与法律知识，既保证上网安全又避免学生破坏系统软件或通过网络攻击其它电脑系统。

另外，教师也要通过各种培训使自己学到更多的网络安全知识，不断提高网络安全意识，养成良好的上网习惯。

最后，除了对师生进行有关网络安全的法律和规章制度进行宣传教育外，还必须让师生知道和了解下列一些网络安全操作方法：

（1）在设置文件、系统等密码时，不能用简单的密码，最好用一个由数字、英文、标点组合成的口令，这样黑客较难破解。

（2）对系统及重要数据进行备份，避免系统瘫痪或病毒破坏时能及时恢复。

（3）一定要设置Windows中administrator超级用户的登录密码，避免非法用户登录电脑或黑客通过网络远程入侵电脑。

（4）不能随便更改电脑的IP地址，避免与网络上的其它电脑冲突。

（5）及时升级杀毒软件到最新版本，并经常查杀电脑各个硬盘，避免计算机感染病毒或让病毒在网络传播。

6、从网络的管理方面。

学校应建立起一套严格的网络安全管理制度，如：校园网由专人管理，网络管理员通过对所有用户设置资源使用权限和口令，对用户名和口令进行加密、存储、传输、提供完整的用户使用记录和分析等方式可以有效地保证校园网络文件服务器及网站服务器的安全。

谈谈如何防范网络安全范文第2篇

关键词 消防；网络信息安全

中图分类号TN91 文献标识码A 文章编号 1674-6708（2014）121-0239-02

0引言

随着计算机和网络技术在消防部队的广泛应用，网络安全和信息保密问题也日益凸显。近几年，公安消防部队发生了一些网络违规事件、失泄密案件大多是通过计算机和网络途径发生的，网络攻击、网络窃密和网上违法犯罪等问题日渐突出。在中央网络安全和信息化领导小组第一次会议明确指出：没有网络安全就没有国家安全。下面，笔者就如何加强公安消防部队网络信息安全工作谈谈自己的看法。

1 当前基层公安消防部队网络信息安全现状

1.1网络安全意识普遍不强。

基层公安消防部队官兵在日常工作中要经常性接触互联网、公安信息网和调度指挥网，台式计算机、移动办公终端（笔记本电脑）基本普及，这给广大官兵日常办公带来了很大的方便。但由于部分官兵网络安全意识不强，甚至淡薄，导致出现以下方面：一是U盘、移动硬盘等移动数码存储介质普遍存在公安信息网和互联网交叉使用的问题，易使电脑感染病毒，甚至造成网络失泄密。二是工作用计算机未及时更新升级杀毒软件，致使杀毒软件无法发挥正常的监控和查杀功能。三是打开办公系统或网页浏览信息后，没有随手关闭的意识，致使一些重要内容被外来人员浏览。四是个别官兵网络安全防范知识匮乏，将个人智能手机等便携式上网设备连接公安网充电或下载资料，造成“一机两用”违规。五是公安网电脑和各类服务器密码设置过于简单，且不能定期更换，易遭到恶意登陆，造成重要信息的外泄。

1.2网络信息安全规章制度落实不力

《公安信息网“八条纪律”和“四个严禁”》、《禁止公安业务用计算机“一机两用”的规定》、《公安网计算机使用管理规定》、网络信息系统日巡检、系统日志周检查和数据库备份制度等一系列网络信息安全规章制度未有效落实在日常工作中，麻痹大意思想不同程度存在，造成了基层公安消防部队网络信息安全隐患事件。

1.3网络安全教育组织不到位

大多数基层部队官兵电脑、网络方面的维护知识较少，对于查杀病毒、杀毒软件升级、设置更改密码等一些基本操作都不精通，工作中普遍存在只使用、不懂维护现象，这些因素致使网络信息安全得不到保障有效。多数基层消防部队开展网络安全教育手段较为单一，多是照本宣科的传达上级规章制度，不少单位甚至将士兵上网行为视作洪水猛兽，这种一味去“堵”、“防”的安全教育管理模式，显然不能从根本上解决问题，也达不到提升官兵自身网络安全意识的效果。另外基层消防部队的合同制消防员和文职人员流动性大，也增加了消防部队网络安全教育的复杂因素。

1.4网络安全技术防范措施和手段较为单一

基层公安消防部队的网络信息安全系统建设普遍不到位，网络安全管理平台、威胁管理（UTM）、防病毒、入侵侦测、安全审计、漏洞扫描、数据备份等安全设备缺口较大。受经费制约，不少基层消防部队在信息化项目建设时不能按照有关规定进行网络安全设计，无法同步建设网络信息安全系统。这种现象致使基层部队网络安全技术防范措施和手段较单一，不能及早发现、消除一些网络安全隐患。

2 加强基层公安消防部队网络信息安全的对策

2.1加强网络信息安全教育

基层消防部队要组织官兵经常性地学习部队网络信息安全规章及禁令，积极开展反面警示及法制教育，从中汲取教训，举一反三，使官兵充分认识到网上违纪违规行为的严重性和危害性。针对网络违纪的倾向性问题，加强思想政治教育、革命人生观教育和忧患意识教育，让青年官兵做到正确认识看待网络技术，正确把握自己的言行。可以邀请保密部门进行专题培训、组织案例剖析以及窃密攻防演示等多种形式，进一步强化官兵依法保护国家秘密的自觉性。要加强对文员和合同制队员的岗前培训与安全保密教育工作，对于日常工作中经常接触公安网和内部信息的人员要严格监督和指导，贯彻落实各项安全管理制度，杜绝违纪泄密事件发生，最大限度地消除隐患，确保网络信息安全。

2.2规范日常网络安全检查

应配责任心强、计算机素质较高的官兵为单位网络安全管理员，严格落实网络信息系统日巡检、系统日志周检查和数据库定期备份制度，并将设备运行参数、安全运行情况、故障处理信息等检查、巡检结果造册登记。同时要定期组织开展计算机网络安全自查，确保不漏一人、一机、一盘、一网，对排查出来的问题要逐项登记，落实整改措施，消除隐患，堵塞漏洞。通过经常性的检查评比，在部队内部营造浓厚的网络信息安全氛围，不断提升官兵做好网络信息安全工作的自觉意识，杜绝各类网络信息违纪泄密事件发生，把隐患消灭在萌芽状态，确保网络信息安全稳定。

2.3加强公安信息网接入边界管理

每台接入公安网的计算机必须安装“一机两用”监控程序、防病毒软件，及时更新操作系统补丁程序，坚决杜绝未注册计算机接入公安网络。计算机、公安信息网、互联网必须实行物理隔离。严禁具有WIFI、蓝牙功能的3G手机连接公安网电脑。除移动接入应用外，严禁笔记本电脑接入公安网。严格落实各类应用系统和网站的登记、备案制度，严格上网内容的审批，防止非网管人员随意登录服务器篡改业务系统程序、开设论坛、聊天室、架设游戏网站、非工作视频下载等违规行为。

2.4加强网络信息安全技术保障

基层消防部队要依据《全国公安消防部队安全保障系统建设技术指导意见》，在建设信息化项目时，制定切实可行的网络安全保障规划，加大投入，确保用于网络安全与保密系统方面的投入不低于信息化建设项目投资总额的10%，逐步配备必要的网络信息安全系统，研究网络安全防范技术，建立网上巡查监控机制，提高计算机网络和信息系统的整体防范能力和

水平。

2.5建立健全网络信息责任机制

基层消防部队要按照“谁主管、谁负责”的原则，严格落实公安网络安全和保密工作军政主官负责制，加强公安网络安全和保密工作的组织领导和监督检查，及时研究解决网络信息安全工作中遇到的问题和困难，督促工作措施落实。要严格落实定期网络安全与保密形势分析制度，在内网网站建立网络安全管理专栏，通报网络运行情况和网络安全管理情况。同时加大对网络违规违纪的查处力度，将网络信息安全防范工作全面贯彻到部队日常安全管理工作中，逐步建立健全对网上违规行为的调查、取证、处罚、通报等查处工作联动机制。凡因管理不善、措施不力、工作不落实，发生网络违规违纪事件的，实行问责制和责任倒查制，对直接责任人进行严肃处理。

参考文献

[1]河南省公安消防部队网络与信息全安管理员管理规范.

谈谈如何防范网络安全范文第3篇

关键词：网络攻防；课程建设；实践教学

中图分类号：G642 文献标识码：A

文章编号：1672-5913 (2007) 24-0049-03

1引言

“网络攻防技术”课程是我院近两年新开设的网络与安全方向工程硕士的一门专业选修课，是一门具有一定难度的课程，其特点是：

1) 涉及知识多，需要学生具有较好的专业知识基础；

2) 内容广泛，作为一门选修课，要想在32学时中把网络攻防技术全部学完、学好十分困难；

3) 实验难做，实验环境的建立需要投入较多的时间和精力，并且还要考虑并避免实验中对周围环境可能产生的影响。选修该课程的学生一般都对该课程有着浓厚的兴趣，但要在有限的学时和现有条件设备下达到较好的学习效果，还需要任课教师在教学内容和方法上进行研究和实践。几年来，笔者在这门课程的教学中，做了一些研究和实践，下面就该课程的建设谈谈个人的看法和体会。

2明确教学目的

只有明确了教学目的，才能“有的放矢”。本课程以黑客攻击步骤为线索向学生介绍黑客攻击各阶段常用的攻击方法、技术和工具，以及相应的防御方法和技术，并通过实践环节加强学生对相关技术和方法的理解，使学生较为全面地了解一般攻击步骤，理解常见的攻击技术，并掌握主要的安全防范技术，从而增强安全防范意识，为今后从事相关工作打下基础。教学目标在整个课程的教和学中起着指引作用，一切教学活动都应围绕教学目的来开展。

3根据教学目的设计编排教学内容

优化课程体系和改革教学内容是实现人才培养目标的基础。本课程依据我院“面向国际、面向企业、面向社会”的人才培养目标和要求，本着“厚基础、宽口径、强能力、高素质、广适应”的原则，制定了该课程的教学内容和教学计划。在制定教学计划过程中一方面注重该课程和其它课程的联系，另一方面也要努力避免不必要的重复和脱节现象。在教学内容方面，本着先进性与基础性相统一，深入性与广泛性相结合的原则，力求理论适中、实例丰富、系统性强，体现科学性、系统性、完整性，同时注意“与时俱进”，根据网络安全技术的新发展，将新知识、新理论和新技术不断充实到教学内容中，以适应学生综合素质的提高、创新思维和创新能力的培养。

目前网络安全类的很多课程存在内容陈旧、与其它课程内容重复较多，没有体现当今迅速发展的网络安全等诸多问题，不能满足信息时代新形势下网络信息安全专业学生的需要。鉴于以上不足，我们根据《网络攻防技术》课程自身的综合性和实践性强的特点，及其教学性质、教学目的和课时少等教学特点，对其教学内容进行设置。

首先，选修本课程的学生，应该已经学习过计算机网络、操作系统以及一门高级程序设计语言，因为黑客攻击会涉及到这些课程的很多知识，尤其是计算机网络方面的知识。如果没有这些基础，很多知识理解起来就会有一定困难。因此，没有学过这些课程的学生，如果想选修该课程，应首先对这些课程进行补课学习。

其次，由于典型的黑客攻击并不是一个简单的、一步到位的过程，很多时候，黑客需要综合使用多种技术，才能逐渐绕过目标系统的多层保护。“知己知彼，百战不殆”。因此，网络攻防技术应以黑客实施攻击的各阶段为线索进行介绍，这样学生能较清晰地认识黑客攻击的本质，学习效果也会更好。

该课程的主要内容设置情况如下：

第一章绪论部分，首先对目前互联网安全状况进行分析，介绍一些主要的安全术语、网络安全的基本需求，以及黑客与黑客文化，并融入思想道德和互联网法律法规教育，让学生树立这样的思想，即“黑客不光具有高超的技术和出众的能力，还要具有共享和正义的精神，真正的黑客不会随便破坏他人的系统，不会做违背社会道德和国家法律的事情”。

第二部分向学生简要介绍网络攻防中所涉及的基础知识，主要包括：计算机网络知识的简介，如TCP/IP协议、UDP、ARP、ICMP、DNS、服务与端口号等；典型系统漏洞与防范，如Windows和Linux系统的安全漏洞与安全机制。为了避免不同课程内容的重复，同时兼顾知识的系统性和整体性，这里把重点放在对容易被黑客利用的脆弱性的分析上，以便为下面的学习做好铺垫。

第三部分是本课程的重点，介绍黑客攻击技术及相应的防范对策。主要包括：攻击分类、攻击步骤、各步骤所使用的黑客技术原理和实例(如：扫描技术，网络监听与sniffer技术，密码攻击，电子欺骗攻击，拒绝服务攻击，缓冲溢出攻击，Web攻击，木马和后门技术，病毒技术等)，以及相应的防御策略，常见黑客工具和攻击发展趋势介绍等。对于较简单的、容易理解的攻击技术，点到为止，如密码攻击、社会工程学；对于重要的攻击技术和防范方法，要详细分析并通过实验来加深学生对该技术的认识和思考。

第四部分向学生介绍几种主要的安全技术，如密码学技术、防火墙技术、防病毒技术、入侵检测技术，重点放在这几种技术的工作原理，以及对能够解决和不能解决的安全问题分析上。另外，简要介绍几种新出现的安全技术和未来网络安全技术的发展趋势等。

第五部分是综合案例研究，需要教师平时注意收集这方面的案例，同时鼓励学生结合自己工作实际上讲台介绍自己身边的案例，通过案例研究让学生自己得出相应的结论，比如，对于某种入侵如何做到防患于未然，发生了入侵又该如何应对等等。

4采取形式多样的教学方法和手段，激发学生的积极性

“网络攻防技术”课程是一门综合性、实践性都很强的课程，在课堂上需要教师发挥以学生为主体的引导作用。通过“讲课+课堂演示+课堂讨论+实验”四个环节，采用多样的课堂形式和案例，激发学生的学习兴趣和自主学习的积极性，提高学生综合应用知识的能力。课堂演示在虚拟机构成的网络环境下进行，这样一方面减少了演示实验可能对教师机产生的破坏，另一方面也方便了教师操作演示，节约了有限的课堂时间和硬件资源。另外，建立课程的FTP站点，把教学大纲、课件、实验、习题及答案、学习资料等教学相关的材料分门别类挂在FTP上，帮助同学们课余自学；并把教师的E-mail地址公布给学生，方便师生间的交流。同时，建议学生相应地采用“听课+课下查资料+交流+实践”的方法进行学习。这种多元化的教学形式，有效提高了教学效率和学习效果。

对于本课程的主要内容，每次课给大家留几个课堂讨论的主题(基础好的学生也可自己选择题目)，作为作业由学生在课下准备，要求每人准备10分钟左右的发言。作业采取课堂发言和提交报告的形式进行检查，通过课后收集资料和课堂讨论，进一步加深学生对攻击的认识和了解，使其掌握相应的攻击防范技术和方法。

恰当的考核目标和考核形式，不仅可以科学地检测教学效果，更能够有效地引导学生完成各个学习环节中的任务。为了充分调动学生参与课程的积极性，采用闭卷考试与实验、作业相结合的形式对其学习效果进行考核，即最后考试成绩 = 笔试(40%)+ 实验(30%)+ 作业(30%)。其中，笔试部分主要考查学生对基本概念和知识的理解；实验部分包括实验结果演示和说明、以及实验报告；作业以调研报告的形式布置下去，资料收集情况和课堂发言情况各占15%。这种考核方式不仅较全面地考查了学生利用所学知识解决实际问题的能力，而且能够激发学生学习的积极性和创新精神。

5做好实践环节的设计

网络信息安全是一个整体概念，并且在实际生活中专业技术人员经常需要解决综合性问题，因此需要培养学生综合的应用技能。传统教学的实验内容通常比较单一，不同实验之间相对独立，缺少综合性实验。因此，在本课程的学习中，除了针对典型攻击或防御技术，设计一些小实验让学生课下自己亲自动手实验外，在课程全部内容学习完成后，还给学生布置一个网络攻防综合实验，通过这些实验加深学生对知识的理解和认识。这里应当注意的是，在课堂以外，应弱化教师的主导地位，强化学生的主体作用，教师可以平等的姿态，以参与者的身份同学生一起参加这些实践活动，共同探讨问题的解决方案。

为了防止实验可能给周围环境带来的影响和破坏，学生可以在由虚拟机搭建的局域网环境中进行实验。通过模拟攻击过程，让学生进一步了解该种攻击的工作原理，并探索针对该攻击的有效防御措施。学生可以自由选择自己熟悉或感兴趣的某种攻击，利用现有的攻击软件，对虚拟机搭建的局域网中的一台主机进行入侵，观察被攻击主机的异常情况，并进行记录；通过观察主机对攻击的反应，研究该攻击的工作原理，并针对该攻击设计防御体系；部署防御体系，再次对该主机进行攻击，验证其防御体系是否可靠。

在实验中，学生自由组合成2~3人的小组，分工协作，共同完成该实验，从而培养学生的合作与团队精神；同时各个小组完成实验后向大家介绍实验情况，并提交实验报告，报告中要求写明实验人员的分工情况。

为了不妨碍大家的积极性和创新性，对于该实验的具体内容，对学生并不作硬性要求，只要是涉及网络上攻和防两方面的实验均可。在这次综合实验中，有个小组模拟了木马的安装过程，并提出了对该种木马的检测、清除和防范方法；另有3名学生没有使用虚拟局域网，而是结合自己实际工作，通过扫描工具对自己单位的网站进行扫描，发现了单位网页上存在的SQL注入漏洞问题，并进行了修补，排除了该漏洞给本单位可能带来的隐患。后来这几名同学庆幸地告诉我，多亏选修了这门课程，让他们利用所学知识帮他们单位网站排除了一大隐患。通过综合实验，每个小组都有很大收获，并谈了自己的心得体会。

6重视教材的选择和建设

好的教材有利于学生课后自学和知识深化。目前，由于一直没有找到一本适用的教材，所以授课内容主要来自两本书的综合和提炼：一本是Ed Skoudis编写的《反击黑客》，由机械工业出版社出版，这本书把黑客攻击划分为五个阶段，并按这五个阶段对黑客常用的技术及相应的防范方法进行介绍；另一本书是卿斯汉和蒋建春编著的《网络攻防技术原理与实战》，由科学出版社出版，该书将攻击分为七个阶段，按阶段罗列出了黑客所使用的各种技术或方法。另外，在演示实验上主要参考了另外两本书的内容，即陈三堰、沈阳编著的《网络攻防技术与实践》，由科学出版社出版；邓吉、柳靖编著的《黑客攻防实战详解》，由电子工业出版社出版。将这些书推荐给学生，由学生课下自由选择和学习。

鉴于目前缺少针对专业教学编著的《网络攻防技术》教材，而且现有的很多网络攻防方面的书籍都把重点放在了黑客攻击技术和手法上，“防”的方面涉及较少，也不详细，因此有必要针对该专业的实际情况和教学目标编写一本适合网络信息安全专业的《网络攻防技术》教材。教材的编写应面向就业和社会需求，在传授知识和方法的同时，注重对学生实际应用能力和创新能力的激励和培养。

7结束语

“网络攻防技术”课程围绕黑客行为、动机和入侵手段，研究了相应的防范对策和技术，重点在于培养学生认识黑客行为和增强安全防范的能力。课程中所涉及的内容发展很快，教师应当紧跟计算机网络技术发展的步伐，并根据社会发展的需要不断更新自己的教学内容。此外，在教授理论和方法的同时，还应重视学生实际应用能力的培养。

课程建设是高等学校教学基本建设，是提高教学质量的中心环节。搞好课程建设是深入开展教育教学改革的需要，是提高教学质量的根本保证。因此，我们还要加大力度进行课程的教学改革和创新，力求培养出更多具有较强动手能力和创新精神的社会实用性人才。

Research and Practice on the Course Construction of “Technology of Network Attack and Defense”

Abstract: Based on the characteristics of the course of network attack and defense technology, this paper research and practice on teaching contents, teaching methods, practice aspects and teaching materials construction according to teaching goals, and gave some opinions and experience.

Keywords: network attack and defense, course construction

参考文献

[1] 张然等. 网络信息安全专业人才培养模式探讨[J]. 信息技术，2007，(24).

[2] 郑莉. 课程建设解决方案探讨[J]. 计算机教育，2007，(6).

作者简介：

张然，女，博士，讲师，主要研究方向为计算机网络与网络安全

E-mail：

谈谈如何防范网络安全范文第4篇

学校安全事故从大的方面可分为一是学生的人生安全，二是学生的财产安全。从细的方面可分为社会安全、公共卫生安全、意外伤害、网络信息安全、自然灾害等。

1.1教学楼和学生宿舍的管理安全。教学楼和宿舍是学生在学校最常待得地方，是人群最密集的场所，也是最易发生安全问题的场所。容易发生火灾，拥挤踩踏事件，因此要重点整治教学楼和宿舍拥挤，违章用电现象，消除火灾隐患，严格宿舍夜间管理，确保学生宿舍安全。

1.2突发性疾病集体爆发，关注学生的卫生保健安全。经过03年的“非典”和09年的“甲流”两次疫情的考验，开展学生对常见病、传染病的防治成为日常工作的首要任务。学校需要加强对学生卫生常识的教育，制定对常规疾病的防治和治疗措施，严防疫情的发生。另外，还需严防病从口入，确保师生集体用餐的卫生安全。

1.3正确对待网络，树立学生的网络安全意识。网络对学生好比一把双刃剑，既可以带给学生大量的科学信息又可以使学生沉迷于虚拟的网络世界荒废学业。尤其是中职生处在向成年人过渡时期，他们在思想上有着幼稚和单纯的一面，又有着成年人独立的一面。一些不良的网络信息影响他们的人生观、价值观。特别是一些不法份子，利用学生的善良进行违法犯罪活动。因此，要加强对中职生网络安全意识的教育，养成良好的上网习惯。

1.4学会关爱身边的同学，抵制校园暴力。学生们正值青春少年，情感丰富，有着对成年生活的向往，叛逆的心理使得他们容易冲动。人生经验的缺乏和人生目标的模糊使得他们易聚易散，矛盾丛生。一些学生自小家庭离异，受不良风气的影响，与社会不良青年联系密切，哥（姐）们义气严重，成帮结伙，打架斗殴。我们需要及时帮助这些同学树立正确的安全道德观念，在关注自身安全的同时，关爱其他人的安全，提供力所能及的援助。

二、学校安全教育工作的思路格局与实施

2.1完善安全制度关键在于加强层级综合治理。涉及影响学生的生活和学习方面的校园安全隐患有十几种，比如来自学生间的暴力、欺诈、吸烟、食品卫生、失火、触电、溺水、中毒、运动中的伤害、集体活动间的拥挤等等，这些都时刻威胁着学生的健康成长。我认为广大教职工需要抓好以下几项工作。

2.1.1统一思想，完善措施，层层抓落实、整改和防范，利用教职工大会宣讲安全教育工作的重要性，纠正少数老师对安全教育的麻痹意识和侥幸心理以及没有工作责任心和责任感的错误思想。

2.1.2建立校园安全管理网络，明确事故安全责任，做到学校领导亲自抓，学管人员主要抓。无论是辅导员（班主任）还是科任老师或是普通工作人员都要参与学校安全工作中，做到人人有责，形成学校的安全工作网络保障体系。比如在领导的统领下①由教务处及科任老师建立教学管理安全网，保证课堂教学环节的安全管理。②由学工处和辅导员（班主任）建立生活安全管理网，加强学生的法律法规意识，进行安全防范能力、自救自护、心理调节等方面的教育。③由学校保卫处加强对校园及周边的治安防范。做好夜间巡逻以及对外来人员入校园的查询登记工作，防止治安案件的发生。

2.1.3明确安全责任，调动发挥辅导员（班主任）的带头作用。学校安全教育工作是一项人人参与的工作。其中，辅导员（班主任）是学校安全教育的主要承担者和生力军，是与学生接触最多的人，往往也是发现问题及协调问题的第一人。辅导员（班主任）责任心的高低直接关系到学校安全教育工作落实程度的好坏。我认为班主任（辅导员）在日常工作中最需要做的①经常宣传学校安全制度和措施，做到天天讲、时时讲、处处讲，时刻向学生敲响警钟。②要从细处管理，不仅要注意学生上课时间的安全，还需注意学生课余时间以及在寝室内的安全。③善于观察自己的学生，一旦发现什么异常，要及时与同学沟通，从心理解决问题，获得学生的信任，消除隔阂，把安全隐患消除在萌芽时期。④把安全工作落实到位，“安全工作无小事，责任重于泰山”。宣传口号不能只挂着口头上，更不能存在侥幸心理，而应脚踏实地完成教育工作。定期开展以安全教育为主题的班会，宣讲学生中出现的安全事故案例，组织学生讨论，引起每个同学的足够重视，防范于未然。⑤配合学校有关部门的工作。如配合学生安全员和校卫队的队伍建设，鼓励同学积极参加学校组织的安全知识竞赛，做好学校安全大检查工作等等。

2.2让安全意识“随风潜入夜，润物细无声”扎根于学生心中，减少安全事故。对于安全教育问题，虽然学管人员和辅导员（班主任）每时每刻都在强调，但安全事故却层出不穷。究其原因是绝大部分同学都没有意识到安全的重要性。对于老师的安全教育经常是从左耳朵进，右耳朵出。今天说的话可能当时记得，可过了两天就忘了。如何把安全意识扎根于学生心中呢？我的看法有下面几点。

2.2.1加强安全知识宣传力度，学校有关部门利用课外时间、团会、校会、升旗仪式安排师生共同参加安全知识的培训学习，时刻紧绷“安全”这根弦，这样不仅增加了老师的责任心，又使学生学会了自身的安全防范。

2.2.2加强学生心理健康教育，提高学生身心健康水平，利用专题讲座、墙报、板报等方式进行。如组织同学收听广播、收看法制节目，然后谈谈自己的体会和看法，辅导员（班主任）可用生动活泼的方式辅助点评，引领正确的话题方向。

2.2.3从身边的小事做起，提高安全防范意识，在校园内可张贴宣传标语，在涉及到安全隐患的地方设置警示牌。定时定期的集中组织力量进行“拉网式”安全检查，发现隐患后要及时清除。执行好消防、交通及保卫制度，加强饮食卫生管理、学校集体活动管理等。

2.2.4通过游戏、模拟现场、亲身体验等更贴切的方式进行教育。如在一些发达地区的学校开展了死亡教育，通过让学生亲身体验死亡过程的方式来揭开死亡的神秘面纱，消除学生对死亡的好奇心，大大减少了校园的自杀率。

谈谈如何防范网络安全范文第5篇

[论文摘要]通过对几种不同防火墙的攻击方法和原理进行研究，针对黑客攻击的方法和原理，我们能够部署网络安全防御策略，为构建安全稳定的网络安全体系提供了理论原理和试验成果。

防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，以保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许。

从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。尽管如此，事情没有我们想象的完美，攻击我们的是人，不是机器，聪明的黑客们总会想到一些办法来突破防火墙。

一、包过滤型防火墙的攻击

包过滤技术是一种完全基于网络层的安全技术,只能根据Packet的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意入侵。

包过滤防火墙是在网络层截获网络Packet，根据防火墙的规则表，来检测攻击行为。根据Packet的源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口来过滤。所以它很容易受到如下攻击。

（一）ip欺骗

如果修改Packet的源，目的地址和端口，模仿一些合法的Packet就可以骗过防火墙的检测。如：我将Packet中的源地址改为内部网络地址，防火墙看到是合法地址就会放行。

这种攻击应该怎么防范呢？

如果防火墙能结合接口，地址来匹配，这种攻击就不能成功了。

eth1连接外部网络,eth2连接内部网络，所有源地址为内网地址的Packet一定是先到达eth2，我们配置eth1只接受来自eth2的源地址为内网地址的Packet，那么这种直接到达eth1的伪造包就会被丢弃。

（二）分片伪造

分片是在网络上传输IP报文时采用的一种技术手段，但是其中存在一些安全隐患。PingofDeath,teardrop等攻击可能导致某些系统在重组分片的过程中宕机或者重新启动。这里我们只谈谈如何绕过防火墙的检测。

在IP的分片包中，所有的分片包用一个分片偏移字段标志分片包的顺序，但是，只有第一个分片包含有TCP端口号的信息。当IP分片包通过分组过滤防火墙时，防火墙只根据第一个分片包的Tcp信息判断是否允许通过，而其他后续的分片不作防火墙检测，直接让它们通过。

工作原理弄清楚了，我们来分析：从上面可以看出，我们如果想穿过防火墙只需要第一个分片，也就是端口号的信息符合就可以了。

那我们先发送第一个合法的IP分片，将真正的端口号封装在第二个分片中，那样后续分片包就可以直接穿透防火墙，直接到达内部网络主机，通过我的实验，观察攻击过程中交换的数据报片断，发现攻击数据包都是只含一个字节数据的报文，而且发送的次序已经乱得不可辨别，但对于服务器TCP/IP堆栈来说，它还是能够正确重组的。

二、NAT防火墙的攻击

这里其实谈不上什么攻击，只能说是穿过这种防火墙的技术，而且需要新的协议支持，因为这种方法的是为了让两个不同NAT后面的p2p软件用户可以不通过端口映射直接进行连接，我们称为UDP打洞技术。

UDP打洞技术允许在有限的范围内建立连接。STUN（TheSimpleTraversalofUserDatagramProtocolthroughNetworkAddressTranslators）协议实现了一种打洞技术可以在有限的情况下允许对NAT行为进行自动检测然后建立UDP连接。在UDP打洞技术中，NAT分配的外部端口被发送给协助直接连接的第三方。在NAT后面的双方都向对方的外部端口发送一个UDP包，这样就在NAT上面创建了端口映射，双方就此可以建立连接。一旦连接建立，就可以进行直接的UDP通信了。

但是UDP连接不能够持久连接。UDP是无连接的并且没有对谁明确的通信。一般地，NAT见了的端口映射，如果一段时间不活动后就是过期。为了保持UDP端口映射，必须每隔一段时间就发送UDP包，就算没有数据的时候，只有这样才能保持UDP通信正常。另外很多防火墙都拒绝任何的外来UDP连接。

由于各方面原因，这次没有对建立TCP的连接做研究，估计是能连接的。

三、防火墙的攻击

防火墙运行在应用层,攻击的方法很多。这里就以WinGate为例。WinGate是以前应用非常广泛的一种Windows95/NT防火墙软件，内部用户可以通过一台安装有WinGate的主机访问外部网络，但是它也存在着几个安全脆弱点。

黑客经常利用这些安全漏洞获得WinGate的非授权Web、Socks和Telnet的访问，从而伪装成WinGate主机的身份对下一个攻击目标发动攻击。因此，这种攻击非常难于被跟踪和记录。

导致WinGate安全漏洞的原因大多数是管理员没有根据网络的实际情况对WinGate防火墙软件进行合理的设置，只是简单地从缺省设置安装完毕后就让软件运行，这就让攻击者可从以下几个方面攻击：

（一）非授权Web访问

某些WinGate版本（如运行在NT系统下的2.1d版本）在误配置情况下，允许外部主机完全匿名地访问因特网。因此，外部攻击者就可以利用WinGate主机来对Web服务器发动各种Web攻击（如CGI的漏洞攻击等），同时由于Web攻击的所有报文都是从80号Tcp端口穿过的，因此，很难追踪到攻击者的来源。

检测WinGate主机是否有这种安全漏洞的方法如下：

（1）以一个不会被过滤掉的连接（譬如说拨号连接）连接到因特网上。

（2）把浏览器的服务器地址指向待测试的WinGate主机。

如果浏览器能访问到因特网，则WinGate主机存在着非授权Web访问漏洞。

（二）非授权Socks访问

在WinGate的缺省配置中，Socks（1080号Tcp端口）同样是存在安全漏洞。与打开的Web（80号Tcp端口）一样，外部攻击者可以利用Socks访问因特网。

（三）非授权Telnet访问

它是WinGate最具威胁的安全漏洞。通过连接到一个误配置的WinGate服务器的Telnet服务，攻击者可以使用别人的主机隐藏自己的踪迹，随意地发动攻击。

检测WinGate主机是否有这种安全漏洞的方法如下：

1)使用telnet尝试连接到一台WinGate服务器。

[root@happy/tmp]#telnet172.29.11.191

Trying172.29.11.191….

Connectedto172.29.11.191.

Escapecharacteris''''^]''''.

Wingate>10.50.21.5

2)如果接受到如上的响应文本，那就输入待连接到的网站。

3)如果看到了该新系统的登录提示符，那么该服务器是脆弱的。

Connectedtohost10.50.21.5…Connected

SunOS5.6

Login:

其实只要我们在WinGate中简单地限制特定服务的捆绑就可以解决这个问题。

四、监测型防火墙的攻击

一般来说，完全实现了状态检测技术防火墙，智能性都比较高，普通的扫描攻击还能自动的反应。但是这样智能的防火墙也会受到攻击！

（一）协议隧道攻击

协议隧道的攻击思想类似与VPN的实现原理，攻击者将一些恶意的攻击Packet隐藏在一些协议分组的头部，从而穿透防火墙系统对内部网络进行攻击。

比如说，许多简单地允许ICMP回射请求、ICMP回射应答和UDP分组通过的防火墙就容易受到ICMP和UDP协议隧道的攻击。Loki和lokid（攻击的客户端和服务端）是实施这种攻击的有效的工具。在实际攻击中，攻击者首先必须设法在内部网络的一个系统上安装上lokid服务端，而后攻击者就可以通过loki客户端将希望远程执行的攻击命令（对应IP分组）嵌入在ICMP或UDP包头部，再发送给内部网络服务端lokid，由它执行其中的命令，并以同样的方式返回结果。

由于许多防火墙允许ICMP和UDP分组自由出入，因此攻击者的恶意数据就能附带在正常的分组，绕过防火墙的认证，顺利地到达攻击目标主机。

（二）利用FTP-pasv绕过防火墙认证的攻击

FTP-pasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段。如CheckPoint的Firewall-1，在监视FTP服务器发送给客户端的包的过程中，它在每个包中寻找“227”这个字符串。如果发现这种包，将从中提取目标地址和端口，并对目标地址加以验证，通过后，将允许建立到该地址的TCP连接。

攻击者通过这个特性，可以设法连接受防火墙保护的服务器和服务。

五、通用的攻击方法

（一）木马攻击

反弹木马是对付防火墙的最有效的方法。攻击者在内部网络的反弹木马定时地连接外部攻击者控制的主机，由于连接是从内部发起的，防火墙（任何的防火墙）都认为是一个合法的连接，因此基本上防火墙的盲区就是这里了。防火墙不能区分木马的连接和合法的连接。

说一个典型的反弹木马，目前变种最多有“毒王”之称的“灰鸽子”，该木马由客户端主动连接服务器，服务器直接操控。非常方便。

(二)d.o.s拒绝服务攻击

简单的防火墙不能跟踪tcp的状态，很容易受到拒绝服务攻击，一旦防火墙受到d.o.s攻击，它可能会忙于处理，而忘记了自己的过滤功能。简单的说明两个例子。

Land（LandAttack）攻击：在Land攻击中，黑客利用一个特别打造的SYN包，它的源地址和目标地址都被设置成某一个服务器地址进行攻击。此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时，在Land攻击下，许多UNIX将崩溃，NT变得极其缓慢。

IP欺骗DOS攻击：这种攻击利用TCP协议栈的RST位来实现，使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。假设现在有一个合法用户(a.a.a.a)已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为a.a.a.a，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从a.a.a.a发送的连接有错误，就会清空缓冲区中已建立好的连接。这时，合法用户a.a.a.a再发送合法数据，服务器就已经没有这样的连接了，该用户就被拒绝服务而只能重新开始建立新的连接。

六、结论

我们必须承认以现在的防火墙技术，无法给我们一个相当安全的网络。网络中是没有百分之百安全的，由于我们面对的黑客都属于聪明的高技术性计算机专家，攻击时的变数太大，所以网络安全不可能单靠防火墙来实现，只可能通过不断完善策略、协议等根本因素才行。

在防火墙目前还不算长的生命周期中，虽然问题不断，但是，它也在科学家的苦心经营下不断自我完善，从单纯地拦截一次来自黑客的恶意进攻，逐步走向安全事件管理及安全信息管理的大路，并将最终汇入网络安全管理系统的大海，这应该是一种历史的必然。一旦防火墙把网络安全管理当作自我完善的终极目的，就等同于将发展的方向定位在了网络安全技术的制高点，如果成功，防火墙将成为未来网络安全技术中不可缺少的一部分。

参考文献：

[1]W．RichardAs.TCP/IP详解卷一：协议[M].机械工业出版社，2000.

[2]黎连业,张维.防火墙及其应用技术[M].北京：清华大学，2004.

[3]MarcusGoncalves.防火墙技术指南[M].北京：机械工业出版社，2000.