網絡安全意識建議模板(10篇)
時間:2023-06-14 16:30:52
導言:作為寫作愛好者,不可錯過為您精心挑選的10篇網絡安全意識建議,它們將為您的寫作提供全新的視角,我們衷心期待您的閱讀,并希望這些內容能為您提供靈感和參考。
篇1
網絡安全事件異常檢測問題方案,基于網絡安全事件流中頻繁情節發展的研究之上。定義網絡安全異常事件檢測模式,提出網絡頻繁密度概念,針對網絡安全異常事件模式的間隔限制,利用事件流中滑動窗口設計算法,對網絡安全事件流中異常檢測進行探討。但是,由于在網絡協議設計上對安全問題的忽視以及在管理和使用上的不健全,使網絡安全受到嚴重威脅。本文通過針對網絡安全事件流中異常檢測流的特點的探討分析,對此加以系統化的論述并找出合理經濟的解決方案。
1、建立信息安全體系統一管理網絡安全
在綜合考慮各種網絡安全技術的基礎上,網絡安全事件流中異常檢測在未來網絡安全建設中應該采用統一管理系統進行安全防護。直接采用網絡連接記錄中的基本屬性,將基于時間的統計特征屬性考慮在內,這樣可以提高系統的檢測精度。
1.1網絡安全帳號口令管理安全系統建設
終端安全管理系統擴容,擴大其管理的范圍同時考慮網絡系統擴容。完善網絡審計系統、安全管理系統、網絡設備、安全設備、主機和應用系統的部署,采用高新技術流程來實現。采用信息化技術管理需要帳號口令,有效地實現一人一帳號和帳號管理流程安全化。此階段需要部署一套帳號口令統一管理系統,對所有帳號口令進行統一管理,做到職能化、合理化、科學化。
信息安全建設成功結束后,全網安全基本達到規定的標準,各種安全產品充分發揮作用,安全管理也到位和正規化。此時進行安全管理建設,主要完善系統體系架構圖編輯,加強系統平臺建設和專業安全服務。體系框架中最要的部分是平臺管理、賬號管理、認證管理、授權管理、審計管理,本階段可以考慮成立安全管理部門,聘請專門的安全服務顧問,建立信息安全管理體系,建立PDCA機制,按照專業化的要求進行安全管理通過系統的認證。
邊界安全和網絡安全建設主要考慮安全域劃分和加強安全邊界防護措施,重點考慮Internet外網出口安全問題和各節點對內部流量的集中管控。因此,加強各個局端出口安全防護,并且在各個節點位置部署入侵檢測系統,加強對內部流量的檢測。主要采用的技術手段有網絡邊界隔離、網絡邊界入侵防護、網絡邊界防病毒、內容安全管理等。
1.2綜合考慮和解決各種邊界安全技術問題
隨著網絡病毒攻擊越來越朝著混合性發展的趨勢,在網絡安全建設中采用統一管理系統進行邊界防護,考慮到性價比和防護效果的最大化要求,統一網絡管理系統是最適合的選擇。在各分支節點交換和部署統一網絡管理系統,考慮到以后各節點將實現INITERNET出口的統一,要充分考慮分支節點的internet出口的深度安全防御。采用了UTM統一網絡管理系統,可以實現對內部流量訪問業務系統的流量進行集中的管控,包括進行訪問控制、內容過濾等。
網絡入侵檢測問題通過部署UTM產品可以實現靜態的深度過濾和防護,保證內部用戶和系統的安全。但是安全威脅是動態變化的,因此采用深度檢測和防御還不能最大化安全效果,為此建議采用入侵檢測系統對通過UTM的流量進行動態的檢測,實時發現其中的異常流量。在各個分支的核心交換機上將進出流量進行集中監控,通過入侵檢測系統管理平臺將入侵檢測系統產生的事件進行有效的呈現,從而提高安全維護人員的預警能力。
1.3防護IPS入侵進行internet出口位置的整合
防護IPS入侵進行internet出口位置的整合,可以考慮將新增的服務器放置到服務器區域。同時在核心服務器區域邊界位置采用入侵防護系統進行集中的訪問控制和綜合過濾,采用IPS系統可以預防服務器因為沒有及時添加補丁而導致的攻擊等事件的發生。
在整合后的internet邊界位置放置一臺IPS設備,實現對internet流量的深度檢測和過濾。安全域劃分和系統安全考慮到自身業務系統的特點,為了更好地對各種服務器進行集中防護和監控,將各種業務服務器進行集中管控,并且考慮到未來發展需要,可以將未來需要新增的服務器進行集中放置,這樣我們可以保證對服務器進行同樣等級的保護。在接入交換機上劃出一個服務器區域,前期可以將已有業務系統進行集中管理。
2、科學化進行網絡安全事件流中異常檢測方案的探討
網絡安全事件本身也具有不確定性,在正常和異常行為之間應當有一個平滑的過渡。在網絡安全事件檢測中引入模糊集理論,將其與關聯規則算法結合起來,采用模糊化的關聯算法來挖掘網絡行為的特征,從而提高系統的靈活性和檢測精度。異常檢測系統中,在建立正常模式時必須盡可能多得對網絡行為進行全面的描述,其中包含出現頻率高的模式,也包含低頻率的模式。
2.1基于網絡安全事件流中頻繁情節方法分析
針對網絡安全事件流中異常檢測問題,定義網絡安全異常事件模式為頻繁情節,主要基于無折疊出現的頻繁度研究,提出了網絡安全事件流中頻繁情節發現方法,該方法中針對事件流的特點,提出了頻繁度密度概念。針對網絡安全異常事件模式的時間間隔限制,利用事件流中滑動窗口設計算法。針對復合攻擊模式的特點,對算法進行實驗證明網絡時空的復雜性、漏報率符合網絡安全事件流中異常檢測的需求。
傳統的挖掘定量屬性關聯規則算法,將網絡屬性的取值范圍離散成不同的區間,然后將其轉化為“布爾型”關聯規則算法,這樣做會產生明顯的邊界問題,如果正常或異常略微偏離其規定的范圍,系統就會做出錯誤的判斷。在基于網絡安全事件流中頻繁情節方法分析中,建立網絡安全防火墻,在網絡系統的內部和外網之間構建保護屏障。針對事件流的特點,利用事件流中滑動窗口設計算法,采用復合攻擊模式方法,對算法進行科學化的測試。
2.2采用系統連接方式檢測網絡安全基本屬性
在入侵檢測系統中,直接采用網絡連接記錄中的基本屬性,其檢測效果不理想,如果將基于時間的統計特征屬性考慮在內,可以提高系統的檢測精度。網絡安全事件流中異常檢測引入數據化理論,將其與關聯規則算法結合起來,采用設計化的關聯算法來挖掘網絡行為的特征,從而提高系統的靈活性和檢測精度。異常檢測系統中,在建立正常的數據化模式盡可能多得對網絡行為進行全面的描述,其中包含出現頻率高的模式,也包含低頻率的模式。
在網絡安全數據集的分析中,發現大多數屬性值的分布較稀疏,這意味著對于一個特定的定量屬性,其取值可能只包含它的定義域的一個小子集,屬性值分布也趨向于不均勻。這些統計特征屬性大多是定量屬性,傳統的挖掘定量屬性關聯規則的算法是將屬性的取值范圍離散成不同的區間,然后將其轉化為布爾型關聯規則算法,這樣做會產生明顯的邊界問題,如果正常或異常略微偏離其規定的范圍,系統就會做出錯誤的判斷。網絡安全事件本身也具有模糊性,在正常和異常行為之間應當有一個平滑的過渡。
另外,不同的攻擊類型產生的日志記錄分布情況也不同,某些攻擊會產生大量的連續記錄,占總記錄數的比例很大,而某些攻擊只產生一些孤立的記錄,占總記錄數的比例很小。針對網絡數據流中屬性值分布,不均勻性和網絡事件發生的概率不同的情況,采用關聯算法將其與數據邏輯結合起來用于檢測系統。實驗結果證明,設計算法的引入不僅可以提高異常檢測的能力,還顯著減少了規則庫中規則的數量,提高了網絡安全事件異常檢測效率。
2.3建立整體的網絡安全感知系統,提高異常檢測的效率
作為網絡安全態勢感知系統的一部分,建立整體的網絡安全感知系統主要基于netflow的異常檢測。為了提高異常檢測的效率,解決傳統流量分析方法效率低下、單點的問題以及檢測對分布式異常檢測能力弱的問題。對網絡的netflow數據流采用,基于高位端口信息的分布式異常檢測算法實現大規模網絡異常檢測。
通過網絡數據設計公式推導出高位端口計算結果,最后采集局域網中的數據,通過對比試驗進行驗證。大規模網絡數據流的特點是數據持續到達、速度快、規模宏大。因此,如何在大規模網絡環境下進行檢測網絡異常并為提供預警信息,是目前需要解決的重要問題。結合入侵檢測技術和數據流挖掘技術,提出了一個大規模網絡數據流頻繁模式挖掘和檢測算法,根據“加權歐幾里得”距離進行模式匹配。
實驗結果表明,該算法可以檢測出網絡流量異常。為增強網絡抵御智能攻擊的能力,提出了一種可控可管的網絡智能體模型。該網絡智能體能夠主動識別潛在異常,及時隔離被攻擊節點阻止危害擴散,并報告攻擊特征實現信息共享。綜合網絡選擇原理和危險理論,提出了一種新的網絡智能體訓練方法,使其在網絡中能更有效的識別節點上的攻擊行為。通過分析智能體與對抗模型,表明網絡智能體模型能夠更好的保障網絡安全。
結語:
伴隨著計算機和通信技術的迅速發展,伴隨著網絡用戶需求的不斷增加,計算機網絡的應用越來越廣泛,其規模也越來越龐大。同時,網絡安全事件層出不窮,使得計算機網絡面臨著嚴峻的信息安全形勢的挑戰,傳統的單一的防御設備或者檢測設備已經無法滿足安全需求。網絡安全安全檢測技術能夠綜合各方面的安全因素,從整體上動態反映網絡安全狀況,并對安全狀況的發展趨勢進行預測和預警,為增強網絡安全性提供可靠的參照依據。因此,針對網絡的安全態勢感知研究已經成為目前網絡安全領域的熱點。
參考文獻:
篇2
1醫院信息化網絡安全防護問題
1.1網絡安全。
醫院信息化建設中存在的網絡安全技術主要就是應用服務、技術手段、產品以及物理等幾點。在應用服務領域中的網絡安全問題就是在網絡終端鏈接之中存在的各種安全隱患問題,主要就是一些黑客攻擊、病毒性感染以及垃圾郵件與違規操作等問題,這些問題都會導致醫院計算機系統出現網絡終端、服務器癱瘓等問題,甚至會導致患者的信息賬號被盜以及篡改等問題。在產品中的網絡安全就是硬件設備以及軟件操作系統中被植入了一些惡意的代碼等問題,導致其存在安全隱患問題。在技術領域中的安全隱患問題就是在相關產品以及系統的生遇中其自身存在的缺陷以及不足等問題。而在物理層面上的安全問題,就是醫護工作人員自己操作失誤問題、一些計算機攻擊以及自然災害等因素導致的網絡系統無法正常運行[2]。因為網絡安全內容相對較為復雜,在運行過程中各種因素都會對其產生一定的影響,在實踐中必須要對其進行深入、系統的研究,這樣才可以有效的規避各種安全隱患問題。
1.2系統安全問題。
系統安全問題就是在醫院的信息系統中必須要具有一定的安全應用程序,保障其操作系統以及物理的安全性。所謂的數據安全就是醫院數據自身存在的各種安全問題以及防護管理中存在的各種安全問題。隨著網絡技術的不斷發展與更新,各種網絡安全威脅問題逐漸的增多,醫院必須要加強系統安全管理,合理的規避各種問題與安全隱患,這樣才可以在根本上保障醫院信息化建設過程中網絡系統的安全性。
2醫院信息化建設過程中網絡安全的防護途徑
2.1構建完善的醫院網絡安全管理模式。
在醫院的信息化建設與發展過程中,要想真正的提升網絡環境的安全性,保障其正常運行,在實踐中就要構建完善的網絡安全管理系統,加強對網絡安全系統的管理與制約。對此在實踐中,醫院要綜合實際的管理狀況、業務活動以及工作內容,構建科學、完善的管理制度,加強對醫院信息化系統的管理,這樣才可以在根本上保障醫院系統的安全性以及系統性,而計算機安全管理制度以及網絡運行維護管理制度、信息化系統操作制度等制度與規定的構建,可以把保障醫護人員合理的、基于規定要求進行系統操作,可以避免各種違規操作問題的出現,避免因為操作不當導致的各種安全隱患問題的出現。同時,醫院必須要加強崗位培訓,定期加強對工作人員的教育,提升醫護人員的網絡安全意識,讓醫護人員了解自己工作的責任與義務,對此,醫院可以構建完善的網絡安全應急小組,對于出現的各種網絡安全問題進行及時處理,避免問題擴大,這樣才可以在一些嚴重的網絡安全問題出現的時候,保障醫院網絡信息系統的有效恢復,避免惡性影響,保障在最短的實踐中恢復醫院的網絡系統,繼而減少因為網絡系統故障導致的各種損失與問題,為醫院的各項工作的有效開展奠定基礎。
2.2數據備份和恢復。
數據備份是醫院網絡信息管理系統的關鍵內容,也是保障系統在出現安全隱患問題恢復的主要方式與途徑。對此醫院的網絡安全管理人員必須要綜合醫院的實際狀況以及業務需求,基于不同數據的等級以及重要程度對其進行合理設置保護方式,對數據進行等級劃分以及備份處理,一旦醫院的信息系統受到各種安全隱患問題的影響,或者受到不法攻擊的時候就會降低數據的損失,及時通過備份數據恢復網絡信息系統[3]。在現階段多數的醫院都是通過HIS服務器進行數據的存儲護理,這樣可以保障醫院各項信息數據的完整性,可以為醫院的數據信息恢復工作的控制在奠定基礎,進而保障醫院的各項工作有效開展。
2.3科殺毒操作,保障網絡安全。
在對醫院的網絡信息系統進行殺毒處理的過程中,必須要對一些常規性的軟件進行科學性的部署規劃,加強對一些惡意軟件的深度防護。在對一些殺毒軟件進行長規定的部署過程中,必須要選擇科學的、匹配的殺毒軟件,合理的應用防火墻技術手段,這樣才可以有效的避免病毒的入侵問題。同時也可以通過對相關殺毒軟件的在線升級等方式,加強對病毒的診斷與處理,提升網絡系統的安全性,在對一些惡意的軟件進行防護處理的時候,要加強對客戶端以及服務器管理工作的重視。同時,要及時刪除一些多余的程序以及服務,這樣才可以有效的減少系統漏洞問題,通過軟件的更新,利用防火墻及時加強對主機數據的篩選,加強對用戶的一些違規操作的限制與控制,設置權限,加強殺毒軟件的科學化管理,可以在根本上提升系統的安全性。
3結論
網絡安全就是網絡系統中的硬件,軟件以及數據等相關內容。網絡系統在應用過程中必須要具有一定的安全性,不會受到外界各種因素的影響,出現信息的泄露以及更改等問題,也不會因為各種干擾導致中斷。醫院的工作性質與其他行業有所區別,醫院的為網絡系統涉及到各個領域,多臺電腦在同時開展工作,患者在通過網絡系統進行掛號到痊愈都會應用到網絡系統,對此醫院必須要保障計算機網絡的安全性,避免因為信息故障問題導致醫院正常工作無法開展。因此在實踐中,必須要通過構建完善的醫院網絡安全管理模式、數據備份和恢復、科殺毒操作,保障網絡安全等方式開展工作,提升醫院信息系統的安全性,加強防護,這樣才可以保障醫院工作的有效開展。
參考文獻
篇3
【關鍵詞】無線傳感器 網絡 安全通信協議
1 無線傳感器網絡及其特點
1.1 無線傳感器網絡結構
無線傳感器網絡簡稱WSN,其歸屬于網絡系統的范疇,具體是指應由部署在監測區域范圍內的若干個傳感器節點組成,以無線通信作為傳輸方式所形成的具有多跳性特點的自組織網絡。在WSN中,傳感器節點是基本構成單位,每一個傳感器節點均是一個獨立的小型嵌入式系統,圖1為傳感器節點的結構示意圖。
WSN中除了包含大量的傳感器節點之外,還包括數據匯聚、數據處理中心等節點和設施。匯聚節點是一個經過增強的傳感器節點,它具有提供能量和處理數據信息的能力;數據處理中心則主要負責對網絡進行配置與管理,并相關的數據采集指令,同時完成數據的接收。
1.2 WSN的特點
WSN與傳統網絡相比,不僅對通信能力、存儲能力、節點能量供應有著極高要求,而且還具備自身應用特點,具體表現在以下方面:
1.2.1 規模大
需要在占地面積廣闊的監測區域布置數量多的傳感器節點。
1.2.2 自行管理
傳感器節點通過飛機播撒等方式進行放置,放置位置帶有隨機性,需要WSN自行管理,并具備較強的網絡配置能力。
1.2.3 動態拓撲
在WSN工作狀態下根據監測環境的變化進行不斷變化。
1.2.4 專門設計
由于WSN需要在千差萬別的監測環境中采集不同的信息,所以必須根據具體應用,優化設計網絡結構和網絡協議。
1.2.5 以數據為中心
觀測者向WSN下達事件監測命令,感知節點根據命令收集、處理監測區域內的數據,將其反饋給觀測者。在WSN工作過程中,數據是網絡運行的核心,觀測者不關心網絡本身的運行狀態以及數據源于哪一節點,而只是對最終獲取的數據感興趣。
2 無線傳感器網絡安全協議的運用
2.1 WSN的安全需求分析
為保證信息安全,WSN的安全需求體現在以下方面:
2.1.1 機密性
要求WSN節點之間的消息傳輸安全,對消息進行加密,防止攻擊者非法獲取信息,只有授權者才能獲取真實的信息內容,解密出正確的明文。
2.1.2 完整性
要求數據在整個傳輸過程中不能被篡改,利用消息認證機制保證消息內容的完整性。
2.1.3 可認證性
信息接收者要對網絡傳輸中的數據進行認證,識別注入網絡的虛假信息包,在確認信息來源于合法的節點后才可準許接收。WSN主要包括點到點認證與組播廣播認證兩種方式,前者要求節點接收信息的同時對信息來源和對方身份進行確認,后者則是針對單個節點向多個節點發送同一消息的情況進行安全認證。
2.2 安全通信協議設計與實現
在充分考慮WSN安全需求的基礎上,本次設計采用了層次型拓撲結構的網絡模型,為使描述過程更加方便,假定整個網絡只有兩層結構,即WSN被分解為多個簇,每個簇有一個簇頭結點和多個簇成員節點組成。同時,假設WSN中全部傳感器節點均為相同,并且這些節點在最初加入網絡時所擁有的能量也是相同的,網絡中所有簇頭的選擇全都由基站來完成,并假定基站具有永久可信任性,所有對網絡的攻擊均來自于外部。
2.2.1 分配密鑰
當傳感器節點加入到安全體系當中之后,基站便會將通信周期的密鑰Kt發送給節點,隨著Kt的加入,節點的加密密鑰與認證密鑰會發生周期性的變化,同時,基站的廣播也可以密文的方式進行信息傳送,上述措施的應用,使WSN的安全性獲得了進一步增強。
2.2.2 加入安全體系
在網絡運行中,各基站會不時地發送各類信息,這就要求節點具備消息識別能力,能夠有效判斷消息是否來源于授權的基站,與基站建立起信任關系。為此,必須將節點納入到網絡安全體系建設中,對基站的廣播包進行認證。只有在安全體系涵蓋所有傳感器節點之后,才能實現對基站所發送信息數據的安全控制。
2.2.3 建立網絡拓撲結構
簇頭在層次型拓撲結構網絡的建立中具有非常重要的作用,而涉及簇頭的危害則具有一定的破壞性,鑒于此,在網絡拓撲結構的建立中,必須對簇頭進行身份認證。為實現這一目標,本次設計中對LEACH協議算法進行適當地改M,當基站接收到簇頭節點信息后,會按照簇頭的ID號與認證密鑰對其進行身份認證,由此能夠剔除掉非法簇頭節點的假冒信息,并將剩余的合法信息以廣播的方式發送出去。設計中還應用了SPINS安全協議框架中的μTESLA廣播認證協議,由此實現了傳感器節點對基站廣播包的認證。由于簇頭需要進行定期的選舉,也就是簇頭并非一成不變的,因此,拓撲結構也需要隨之定期進行更新。
2.3 網絡安全通信協議的運用
拓撲結構是安全通信體系的基本框架,在穩定通信的狀態下,網絡通信包括以下兩種方式:一種方式為簇內成員節點與簇頭節點之間的通信,通過計算通信周期內的加密密鑰和認證密鑰,對數據進行加密,對重放攻擊進行有效遏制,保證信息傳輸安全;另一種方式為簇頭節點與基站通信,由簇頭節點接收合并信息,將其傳輸給基站進行認證。
3 結論
綜上所述,本文在簡要闡述無線傳感器網絡結構和特點的基礎上,分析了無線傳感器網絡的安全需求,隨后采用層次型拓撲結構網絡模型及LEACH協議改進算法,對安全通信協議進行了設計,并介紹了該協議的具體運用。期望通過本文的研究能夠對無線傳感器網絡安全的提升有一定幫助。
參考文獻
[1]王東安,張方舟,秦剛,南凱,閻保平.無線傳感器網絡安全協議的研究[J].計算機工程,2005,31(21):10-13.
[2]李燕.無線傳感器網絡安全通信協議研究與設計(碩士學位論文)[J].大連理工大學,2006.
篇4
0 引言
安全協議理論與技術是信息安全的基礎和核心內容之一也是信息安全領域最復雜的研究和應用難題。安全協議融合了計算機網絡和密碼學兩大應用。教學實踐表明,計算機網絡原理課程教學碰到的最大問題在于網絡結構和協議的抽象性無法使學生徹底理解和掌握網絡協議的工作流程;密碼學課程的教學則容易陷入密碼算法的理論學習而使學生無法體會密碼技術的實際應用。因此,有效開展安全協議設計和分析的教學實踐不僅可作為信息安全的入門基礎,還可成為計算機網絡和密碼學課程內容相結合的深化教學。
1 安全協議的教學現狀
近幾年,信息安全作為一個計算機相關專業在國內興起,對信息安全的產、學、研一體化發展起到較大推動作用,使我國的信息安全技術突飛猛進,取得了長足的發展。但是,由于信息安全是一個新興的方向,專業基礎課程的教學方面尚無太多的積累,還處于不斷的摸索和改革之中。概括地講,目前關于安全協議的教學存在如下幾個問題:
(1)安全協議的教學定位不明確
當前,有關信息安全的教材層出不窮,普遍被認同的教學內容主要包括:密碼學、密鑰管理、訪問控制、防火墻、入侵檢測、信息安全模型與管理,以及信息安全相關法律等。安全協議滲透在密碼學、密鑰管理、訪問控制等教學內容中,提出作為獨立課程者甚少。縱使學生理解密碼學基礎知識,也難以系統掌握安全協議的原理與技術。
(2)缺乏通俗易懂的安全協議教材
目前為止,面向信息安全專業的安全協議教材僅出現過兩本。一為中科院信息安全國家重點實驗室撰寫的《安全協議理論與技術》,全面介紹安全協議的形式化分析理論和方法;另一本為國內信息安全專家卿斯漢編著的《安全協議》,主要內容包含了作者多年來從事安全協議的研究成果。兩本教材的共同點是內容相對集中在較高的學術研究水平上,主要圍繞形式化理論分析技術,忽視了作為大學教材的通讀性特點。因此,針對安全協議的設計和分析,尚無適合基礎教學的教程。
(3)安全協議教學的實用性不強
眾多高校開展安全協議相關內容教學,通常以詳細介紹流行的安全協議實例為主,如講解SSL、SET、PKI協議等原理和流程,尚未給出實現安全協議的工程方法及安全協議設計的要點等實踐方法。這使學生停留在安全協議理論模型的認識上,無法掌握實現安全協議的相關技術。
因此,基于安全協議課程的重要性和教學現狀,有必要尋求一種綜合教學實踐方法,倡導學生自主設計安全協議、靈活運用理論和工程相結合的方法分析安全協議,幫助學生快速掌握安全協議的基本原理與應用技術。
2 安全協議的綜合教學實踐方法
鑒于安全協議的設計和分析兩個關鍵教學內容和目標的融合,綜合教學和實踐框架。型庫。根據各個安全協議的標準設計,提煉和總結安全協議設計的一般方法,并作為設計規則歸入安全協議設計方法集以傳授給學生;同時,在標準協議的基礎上,由教師簡化協議模型,設計完成特定安全功能的安全協議需求,供安全協議設計時參考,并在此基礎上構建安全協議自主設計命題庫。
從自主設計題庫中選取安全協議設計需求,在通用的安全協議設計方法指導下,學生開始自主設計安全協議。當然,有必要時需在安全協議設計之前開展相關的密碼學預備知識講解。
學生在完成安全協議的設計雛形后,開始學習運用各種形式化分析方法,如模態邏輯、代數系統等,對自己設計的安全協議進行安全性邏輯分析,找到安全不足之處,并反饋回協議設計階段重新修改協議模型,直到在形式化分析工具的支持下,安全協議滿足預定的安全需求時得到最終的協議設計框架。
針對自主設計的安全協議,進一步利用現有的密碼開發工具包,包括開源的密碼庫如openssl、cryptlib等(或自主開發密碼包),開發和實現已設計的安全協議,并在相應的網絡環境中運行和測試安全協議。
安全性分析對安全協議至關重要,而協議執行的性能和穩定性分析在工程實踐上是必要的。因此,學生需配套學習網絡協議分析的方法,主要通過協議分析工具如著名的sniffer等,在安全協議的測試平臺上對協議運行狀態進行數據抓包分析,并運用基于網絡原理的各種分析和統計方法,給出自主設計的安全協議執行性能分析報告。若安全協議在執行性能和穩定性方面無法滿足現實的應用,則重新回到協議設計階段修正安全協議設計。
通過安全協議設計和分析的綜合實踐過程,最終得到符合設計要求的安全協議集。鑒于教學積累考慮,可將自主設計的安全協議模型添加到安全協議自主設計命題庫,以備后續教學實踐。
3 綜合教學方法的特點
(1)發揮學生的學習自覺性
以自主設計命題的形式引導學生學習安全協議的設計和分析技術,可充分調動學生的自主思維和相關知識的學習積極性。如安全協議的設計過程利于學生學習一般的協議設計方法;協議的分析過程幫助學生理解和掌握形式化分析技術;協議的測試和性能分析則培養學生利用密碼技術開發安全協議的工程設計能力。
(2)支持學生的學習協作性
安全協議綜合實踐的過程既可指定學生單獨完成,也可讓學生分組合作,共同完成協議的設計和分析任務。如四個學生可分別擔任協議設計、安全分析、實現和測試、性能分析四項工作,以此鍛煉學生的自主研究和項目協作能力。
(3)知識點的綜合和交叉
篇5
現在,隨著網絡的不斷發達使得我們的生活產生了很大的改變,很大程度上提升了我們的生活質量。隨著無線網絡的普遍,不僅極大程度上的豐富了我們的生活,而且也極大程度上推動了醫療體系的發展。和有線網絡相比,無線網絡有著很多的優勢,具有安裝方便、信號強等優點,通過無線電波進行數據傳播,更加的快速有效。
但是,隨之也產生各種各樣安全問題,在無線網絡的安全建設中,還是存在著一定的安全威脅。所以,現在所面臨的最大的挑戰就是安全問題。醫院當中的工作區域或者是休息區域部署無線網絡,更大程度上的方便了醫療工作者還有來就醫的患者,從而使醫療工作更加方便的進行。
1 無線網絡安全建設措施
1.1 概述
現在在我國很多醫院都已經大規模的實施,無線醫療技術方面的應用十分活躍,無論是大城市還是一些偏遠城市都很大程度上的普及了這項技術。但是,和其他的醫療體系發達的國家相比還是存在著很多的不足之處。所以,我們如何加快的普及和推廣這一項技術成為我們現在所面臨的重要問題,而且,在發展無線網絡的過程當中,排在第一位的還是安全問題,甚至還是一個社會道德與法律法規的問題。因此,我們要尋求一個相對合適的手段和采用一種獨特的技術來進行管理,通過無線網絡,利用高科技的設備,在醫院可以實現現代化的發展,實現一種高端的醫療服務,從而能夠提高病人對于本醫院的滿意程度,提升工作效率,美化病區環境。
網絡安全是現在很重要的一個部分,對于整個網絡體系來說,在具有標準的安全體系之外,還要有相對應的安全策略。安全建設措施主要體現在幾個方面,設備安全、連接安全、網絡本身的安全和管理層面的安全。無線網絡的組成由控制層、接入層和管理層三個方面。所以,我們要根據無線網絡的特點來制定特定的安全建設措施。
1.2 安全策略集中控制
所謂安全策略集中控制就是指將所有的安全策略都集中在統一的控制器上面,來進行數據的傳遞,是一種固定的網絡構架。控制主要有幾個方面,登記用戶身份、管控上網的行為、安全加密、制定病毒的對策等。網絡主要的管理員在主控制器上制定與之相匹配的安全策略,進而提升安全系數。
1.3 病毒入侵防護
在訪問網絡時,病毒是一個需要我們要阻攔的東西,在無線網絡訪問互聯網的時候,操作系統中可能就會出現病毒軟件。所以,在用戶認證之前,無線網絡的終端就應該制作出相應的防病毒定義碼對其進行檢查。若是檢查的結果并沒有通過,那么就應該考慮到禁止訪問互聯網。
在訪問網絡之后,可能會產生一些病毒性的網絡殘留,某些用戶很有可能沾染病毒的一些數據,應該在防病毒設備上對其進行全面檢查。檢查的結果為通過時,就能夠允許通過,若是結果顯示的情況是不允許通過,那么則是要丟棄這些數據,用來保證系統沒有被病毒入侵。
2 用實踐
2.1 無線網絡的設計與部署
無線網絡在設計的過程中,主要是以太網來進行連接的,無線AP和一些主要的接入點構成了主要的無線網絡。通過POE交換機進行網絡交換,使用千兆以上的網鏈進行交換和傳輸。通過固定的分配器和一些必要的天線進行無線網絡覆蓋。相對來說比較大的室內則是通過放裝的形式進行信號覆蓋。
2.2 非法電磁信號檢測
對于非法電磁信號的檢測主要是通過智能無線AP,那么現在主要有兩種方法來進行檢測:一種就是在一段時間內,通過AP自動進行掃描;第二種就是將AP設定成能夠持續監視的模式來進行不斷的刷新掃描,進行檢測。選擇非法的電磁信號進行屏蔽,并且按照所需要的頻率進行掃描檢測,并且在周圍環境中進行信號的檢測。通過這樣的方式,自動識別并且檢測非法的電磁信號,用來避免造成網絡的系統崩潰。另外,在相對重點的區域更是要注重安全檢測,避免潛在的危險。
2.3 雙重認證鑒別
為了保障網絡的安全,需要對對接人的設備進行準入認證。通常包括幾個方法來進行認證,有Web和MAC認證兩個方面。兩個不同的方法也對應著不同的系統問題,系統操作的差異化也會導致結果的不同,所以,對于不同種類的移動終端Web存在著很多的局限性,可以采用MAC雙重鑒定方法來實現。在安裝了相應的證書之后,并且所對應的地址一致,之后能夠接入無線網絡。這種雙重認證鑒別的方式,能夠更加安全的進行身份識別,從而使醫院系統更加的安全。
3 結束語
綜上所述,很多醫院的實踐都證明了網絡安全的重要性,無線網絡的實施確實為醫院工作者和來就醫的人員帶來了很多的方便,而且讓醫院的安全系統更加安全。通過無線網絡的技術,醫療信息系統也大部分都是由無線網絡所支持的。
隨著移動醫療設備在醫院的普及,會有包括無線網絡在內的更多更新的技術和理論的出現,那么為了保證網絡的安全性,在新的網絡形式之下,我們要做到的就是保障無線網絡的安全問題,適應當下的安全形勢管理需要,讓無線網絡能夠更好的為人民服務。
參考文獻
[1]徐金建,孫震,王浩.基于“互聯網+”及無線應用安全問題探討[J].中國數字醫學,2015(07):98-100.
[2]楊眉,潘曉雷,彭仕機.醫院無線網絡安全建設措施及應用實踐[J].醫學信息學雜志,2015(02):41-44.
[3]自動化技術、計算機技術[J].中國無線電電子學文摘,2010(04):167-247.
[4]韓雪峰.淺析醫院無線網絡的實施[J].醫療衛生裝備,2010(01):61-63.
篇6
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)08-1768-04
A Practice Platform of Network Information Security Curriculum Based on Mobile Agent
QIAO Zheng-hong, GE Wu-dian, XU Jie
(Institue of Science, PLA Univ. of Sci. & Tech., Nanjing 211101, China)
Abstract:Network information security course is a very practical course, the practical teaching of the course is lack of special experimental system. Aiming at this problem,The paper proposes a realization method of quasi real network confrontation training platform based on mobile agent, discusses system structure and main work flow of the platform.
Key words:network information security; practice teaching; training platform
隨著計算機網絡技術的高速發展,網絡信息系統深入到人們工作和生活的每個角落。網絡信息系統一方面給人們帶來了極大便利,另一方面它的安全問題也日益顯現,這一切迫切要求人們重視相關安全技術與手段的研究。但目前網絡信息安全人才極度匱乏,遠遠不能滿足社會的實際需要,必須加快網絡信息安全人才的培養。為此,許多高校和科研院所紛紛開設了網絡信息安全相關課程。該類課程的特點是發展迅速、實踐性強,在課程教學中,既要重視基本理論、基本原理的講授,同時也要強化學生對相關網絡安全技術的應用,培養學生實踐動手能力。
在網絡信息安全相關課程實踐教學環節中,目前主要的做法是:根據課堂講授的網絡信息安全理論,然后要求學生在實驗室熟悉少許網絡安全工具,并能夠根據網絡安全的某一方面內容開發設計一種工具。采取這樣的實踐教學方法,學生通過有針對性的訓練,可以較好地掌握實驗內容,但由于只停留在某一個或幾個具體的點上,學生對系統總體情況的掌握比較缺乏,不能夠全面掌握實踐內容,實踐教學效果一般。
針對該類課程在實踐教學中存在的問題,需要設計一種專門的實驗平臺,該平臺能夠讓學生熟悉各種的安全技術和手段,有效地進行網絡攻防訓練。
1系統設計思想
在設計系統平臺時,首先要考慮建設的系統是基于什么環境的?通常有三種設計思路:完全真實對抗環境、模擬對抗環境和準真實對抗環境(介于前兩者之間)。其中,在完全真實對抗環境下,網絡攻防訓練完全由學生自主控制,考慮到實際網絡情況比較復雜,系統的結構可能相對復雜,同時涉及到較多的認為因素,使得訓練過程不太容易協調和控制;在模擬對抗環境下,系統需要全面分析和梳理已有的攻防戰術和手段,并構造各種不同的虛擬場景,通常這種設計有比較大的工作量,后期也難以升級和維護。基于上述的分析,本文在充分考慮了系統結構的復雜性、設計工作量、后期升級和維護等各方面的情況,提出了一個基于準真實對抗環境的網絡攻防訓練實驗平臺。
1.1系統設計目標
網絡安全對抗訓練是一種網絡信息安全類課程實踐教學平臺,也是學生進行網絡對抗訓練的專門系統。該系統讓學生在一個網絡攻防對抗的整體環境中,通過相關的技術應用帶動理論和原理的學習和理解,訓練方式主要是人機對抗。
在該課程實踐教學中,每個學生可以對自己的訓練情況進行分析和總結,了解自己對網絡對抗各個環節的掌握情況,找出薄弱環節,從而突出訓練的重點,提高訓練的針對性,從而提高實踐教學效果。
1.2系統設計原則
在進行系統規劃和設計時,要充分利用已有的信息和技術,并考慮系統以后的擴展,有幾個方面需重點考慮:
系統的集成性。在系統設計時,要充分考慮已有信息的集成、共享和交換,這一點至關重要。這些信息不僅本系統功能模塊可 以有效使用,而且以后更新的功能模塊也可以用。
技術的先進性。要堅持從實際出發,以最大限度滿足用戶需求為基本原則,合理選擇先進的主流技術、設計思想和設計方法,力求做到先進性和實用性的統一。
產品的成熟性。在系統設計時,應盡量采用成熟的可重用模塊,同時系統的功能要容易擴充、容易使用、運行穩定,并且也便于后期的維護。
設計的規范性。目前主流的技術都有其特定的標準和規范,在系統設計的過程中,要充分地加以考慮。
系統的可擴展性。網絡攻防技術與手段是在不斷變化和發展的,在系統設計時要綜合考慮對當前的實際和將來的變化,使系統具備可擴展性,能夠支持盡可能多的網絡攻防手段。
2系統架構
在系統設計時,該實驗平臺架構在實驗室內部相對成熟的局域網之上,采用準真實網絡對抗環境,盡可能反映網絡的實際情況,同時又具有一定的可控性,以便降低系統設計的復雜性。系統的工作模式采用B/S結構,整個系統主要由三個部分組成:用戶接口層、核心功能層和數據層,主要的功能模塊有用戶接口及運行環境、系統控制中心、自適應任務均衡處理、智能分析處理以及網絡攻防和底層數據庫,系統的功能邏輯劃分如圖1所示。
圖1系統功能邏輯圖
為了更好地滿足設計原則及系統的特點,該實驗平臺采用基于移動Agent的設計方案。在這種方案中,所有計算機分為兩種角色:客戶端和服務器。其中,客戶端的配置比較簡單,只安裝瀏覽器和Agent運行環境,平臺其他的功能模塊都安裝在服務器中,這樣,系統所有的核心功能都集中在服務器上,學生日常訓練只接觸客戶端,便于系統管理和升級維護。在具體設計時,主要采用JSP語言,服務器端可以通過ServLet訪問數據庫,以及移動Agent庫。系統各邏輯功能模塊之間的相互關系如圖2所示。
圖2系統架構基本結構圖
3系統主要功能模塊
該實驗平臺涉及到網絡信息安全技術的諸多方面,系統功能較多,其中移動、任務均衡處理是兩個非常重要的模塊,其他各項主要工作均與之相關。
3.1移動Agent
在本系統中,移動Agent具有非常重要的作用,無論是系統管理維護、網絡攻擊、防護檢測,都是通過移動來完成的,移動是系統核心的功能模塊。每個完成特定的任務,具體來說,移動主要有以下幾類:
系統管理與維護Agent:在平臺使用的過程中,系統維護是一項經常性的工作。管理員可以利用實驗網絡環境,派遣系統維護Agent完成設備管理與維護工作,例如,可以安排Agent移動到主機,檢測主機運行狀況,然后將結果反饋給管理員,管理員也可以把一些簡單的修復工作交給Agent去完成。
攻擊Agent:在進行攻擊訓練時,用戶將訓練科目提交給服務器,服務器依據用戶需求,在相關的主機上部署用于攻擊訓練的攻擊Agent,利用它做一些準備工作,以及在結束后將訓練結果上傳。例如:在網絡攻擊中,端口探測是常用的一種技術手段,用戶在進行該類攻擊訓練時,首先由客戶端(用戶)發出訓練請求,服務器收到請求后,通過均衡處理分配合適的主機及其IP地址,同時,派 遣端口探測Agent到探測目標上,再由該Agent收集主機的端口信息,并將探測結果返回服務器,訓練結束后,客戶端提交探測結果。用戶上報的信息到達服務器后,服務器會將其與Agent搜集的探測結果進行比對,最終得到用戶的訓練結果。
防護檢測Agent:在學生進行防護訓練前,系統可以依據防護科目,在相關的主機上部署用于防護訓練的防護Agent,該Agent會根據防護的目的,逐條檢測主機的設置,進而判斷設置的安全性。例如,操作系統安全是信息安全的一個重要的方面,用戶在練習這方面防護時,根據訓練目標和需求,先對系統進行相關配置,然后向服務器發送請求,告訴服務器配置完成,服務器接受用戶請求后,派出防護檢測Agent到客戶端,根據安全配置的指標,全面系統地進行檢測,然后向服務器報告檢測結果。
3.2自適應任務均衡處理
該模塊主要有策略管理器和任務均衡處理器兩部分,策略管理器用于記錄本系統安裝網絡的基本情況,任務均衡處理器用于協調攻擊與防護訓練的順利進行。
3.2.1策略管理器
隨著網絡技術的進一步發展,網絡攻防手段的更新,所要設計的對抗科目將逐漸豐富,而實驗主機的硬件條件(數量、類型等)相對有限。針對這種矛盾,在系統設計時要考慮如何盡可能支持多種對抗科目,如何充分提高有限訓練主機的使用效率。在策略管理器中,記錄了系統支持的所有攻擊科目、各類科目之間的互斥關系、被攻擊主機各種類型的數目等方面的情況。
3.2.2任務均衡處理器
系統在接收到用戶的訓練請求后,會為學生指定目標主機,如何選擇合適的目標主機呢?首先由任務均衡處理器根據策略管理器中記錄的數據,在保證網絡帶寬、系統內存、CPU使用率等的前提下,盡量先安排可兼容已起用的訓練主機,直至所有的訓練主機均被起用。任務均衡處理的基本原則是充分利用每一臺訓練主機的資源,具體的做法是:
1)根據學生的訓練科目,查詢策略管理器,得到無法和請求科目在同一訓練主機同時運行的科目名稱;
2)查詢策略管理器,獲取訓練主機中已經開展的科目,通過進一步分析可以知道沒有與請求科目互斥科目的訓練主機地址;3)利用(1)、(2)的結果,查詢策略管理器,得到可以運行請求科目的主機地址;
4)根據(3)的結果,對每一臺主機進行綜合分析,從可選訓練主機集合中選擇合適的訓練主機。
自適應任務均衡處理器模塊主要的工作流程如圖3所示:
圖3任務均衡負載流程圖
4系統工作流程
本系統主要有兩大功能:攻擊訓練和防護訓練,在使用系統時,首先進行用戶身份鑒別和訪問控制,而后用戶可以根據自身的實際情況選擇訓練內容,以下分別介紹攻擊訓練和防護訓練工作流程。
4.1攻擊科目訓練
攻擊科目主要訓練學生對各種攻擊技術與手段的應用,進一步理解相關的網絡信息安全的基本理論、原理。具體的工作流程:1)用戶選擇訓練科目名稱,然后向服務器發出請求;
2)服務器收到用戶的請求后,進行均衡處理,并調用相關的Agent完成訓練進行前的一些準備工作;
3)準備工作完成后,在訓練任務可以進行的情況下,服務器任務主機的相關信息,例如:IP地址等。當然,訓練科目不同,服務器給出的信息也不同。除此之外,服務器還會給出一些提示,并通知用戶訓練開始;
4)用戶收到服務器返回信息后,依據訓練科目,選擇合適的工具進行攻擊試驗;
5)攻擊結束后,用戶按照系統設定的格式,將訓練結果上傳給服務器,并等待訓練結果的返回。
6)服務器比對用戶上報的訓練結果和攻擊Agent收集的信息,然后返回用戶最終的訓練結果。
4.2防護科目訓練
防護科目的訓練促進學生掌握各種網絡信息安全設置方法,熟練運用各種防護技術和手段,進一步理解相關的網絡信息安全的基本理論、原理。具體的工作流程:
1)用戶選擇訓練科目名稱,然后向服務器發出請求;
2)服務器收到用戶的請求后,運行均衡處理,返回相應結果;
3)用戶根據訓練任務與目標,進行相關系統防護的配置;
4)用戶對系統進行必要的配置后,通知服務器來檢測配置效果;
5)服務器發送相應的檢測Agent,檢測Agent返回訓練效果到服務器;
6)服務器發送訓練效果給用戶。根據反饋的結果,用戶可以評價系統配置效果,并作進一步的改進。
5總結
21世紀是信息時代,信息已成為社會發展的重要戰略資源,社會的信息化、網絡化已成為當今世界發展的潮流和核心,網絡信息安全在信息社會中將扮演極為重要的角色。高校是信息安全人才培養的主渠道,強化網絡信息安全相關課程的實踐環節,提高學生網絡信息對抗能力,顯得尤為重要。為此針對本課程給出了一種網絡安全對抗訓練平臺的主要設計思路,并介紹了該系統主要的功能模塊。
參考文獻:
[1]周龍驤,劉添添.移動Agent綜述[J].計算機科學, 2003(11):19-23.
[2]劉軍,周海剛,于振偉.理工大學教學研究文集[C].北京:軍事誼文版社,2008.
篇7
【關鍵詞】計算機 網絡安全 軟件開發
1 計算機網絡系統安全方面存在的弊端
借助網絡技術,計算機與各種終端設備連接在一起,形成各種類型的網絡系統,期間開放性的計算機網絡系統,通過傳輸介質和物理網絡設備組合而成,勢必存在不同的安全威脅問題。
1.1 操作系統安全
操作系統是一種支撐性軟件,為其他應用軟件的應用提供一個運行的環境,并具有多方面的管理功能,一旦操作軟件在開發設計的時候存在漏洞的時候就會給網絡安全留下隱患。操作系統是由多個管理模塊組成的,每個模塊都有自己的程序,因此也會存在缺陷問題;操作系統都會有后門程序以備程序來修改程序設計的不足,但正是后門程序可以繞過安全控制而獲取對程序或系統的訪問權的設計,從而給黑客的入侵攻擊提供了入口;操作系統的遠程調用功能,遠程調用可以提交程序給遠程服務器執行,如果中間通訊環節被黑客監控,就會出現網絡安全問題。
1.2 數據庫安全
數據庫相關軟件開發時遺漏的弊端,影響數據庫的自我防護水平,比如最高權限被隨意使用、平臺漏洞、審計記錄不全、協議漏洞、驗證不足、備份數據暴露等等。另外,數據庫訪問者經常出現的使用安全問題也會導致網絡安全隱患,比如數據輸入錯誤、有意蓄謀破壞數據庫、繞過管理策略非法訪問數據庫、未經授權任意修改刪除數據庫信息。
1.3 防火墻安全
作為保護計算機網絡安全的重要系統軟件,防火墻能夠阻擋來自外界的網絡攻擊,過濾掉一些網絡病毒,但是部署了防火墻并不表示網絡的絕對安全,防火墻只對來自外部網絡的數據進行過濾,對局域網內部的破壞,防火墻是不起任何防范作用的。防火墻對外部數據的過濾是按照一定規則進行的,如果有網絡攻擊模式不在防火墻的過濾規則之內,防火墻也是不起作用的,特別是在當今網絡安全漏洞百出的今天,更需要常常更新防火墻的安全策略。
2 計算機網絡系統安全軟件開發建議
基于計算機網絡系統的安全問題,為保護計算機網絡用戶和應用系統的安全,我們需要分別研討入侵防護軟件、數據庫備份與容災軟件、病毒防護軟件、虛擬局域網保護軟件等。
2.1 入侵防護軟件
入侵防護軟件設置于防火墻后面,主要功能是檢查計算機網絡運行時的系統狀況,同時將運行狀況等記錄下來,檢測當前的網絡運行狀況,尤其是網絡的流量,可結合設定好的過濾規則來對網絡上的流量或內容進行監控,出現異常情況時會發出預警信號,它還可以協助防火墻和路由器的工作。該軟件的最大有點是當有病毒發生攻擊之前就可以實時捕捉網絡數據、檢測可以數據,并及時發出預警信號,收集黑客入侵行為的信息,記錄整個入侵事件的過程,而且還可以追蹤到發生入侵行為的具置,從而增強系統的防護入侵能力。
2.2 數據備份和容災軟件
數據備份和容災軟件,可以安全備份需保護數據的安全性,在國外已經被廣泛應用,但是在國內卻沒有被得到重視。數據備份和容災軟件要求將RAID技術安裝到操作系統,將主硬盤文件備份到從硬盤;移動介質和光盤備份,計算機內的數據會隨著使用的時間發生意外損壞或破壞,采用移動介質和光盤可以將數據拷貝出來進行存儲;磁盤陣列貯存法,可大大提高系統的安全性能和穩定性能。隨著儲存、備份和容災軟件的相互結合,將來會構成一體化的數據容災備份儲存系統,并進行數據加密。
2.3 病毒防護軟件
隨著計算機網絡被廣泛的應用,網絡病毒類型越來越多,由于計算機網絡的連通性,一旦感染病毒則會呈現快速的傳播速度,波及面也廣,而且計算機病毒的傳播途徑也日趨多樣化,因此,需要開發完善的病毒防護軟件,防范計算機網絡病毒。首先是分析病毒傳播規律和危害性,開發相對應的殺毒軟件,并在規定時間內掃描系統指定位置及更新病毒庫;其次是安裝防毒墻軟件,傳統的防火墻利用IP控制的方式,來禁止病毒和黑客的入侵,難以對實時監測網絡系統情況,而防毒墻則可以在網絡入口(即網關處)對病毒進行過濾,防止病毒擴散。最后是更各系統補丁,以提高系統的操作水平和應用能力,同時預防病毒利用系統漏洞入侵計算機。
2.4 虛擬局域網軟件
采用虛擬局域網軟件,可以將不同需求的用戶隔離開來,并劃分到不同的VLAN,采用這種做法可以提高計算機網絡的安全性。具體做法是從邏輯上將計算機網絡分為一個個的子網,并將這些子網相互隔離,一旦發生入侵事故也不會導致網內上“廣播風暴”的發生。結合子網的控制訪問需求,將訪問控制列表設置在各個子網中間,以形成對具體方向訪問的允許條件、限制條件等,從而達到保護各個子網的目的。同時,把MAC地址和靜態IP地址上網的計算機或相關設備進行綁定,這樣就可以有效防止靜態IP地址或是MAC地址被盜用的問題出現。
2.5 服務器安全軟件
服務器系統安全軟件分為兩種,一種是系統軟件,另外一種為應用軟件。計算機網絡在配置服務器系統軟件時要充分考慮到它的承受能力和安全功能性,承受能力是指安全設計、減少攻擊面、編程;安全功能涵蓋各種安全協議程序,并基于自身的使用需求,及時更新操作系統;服務器應用軟件的應用,要求考慮軟件在穩定性、可靠、安全等方面的性能,以避免帶入病毒,并定期及時更新。
3 結束語
計算機網絡安全是一個長期且復雜的問題,即使現在的網絡技術已經日漸成熟、網絡安全防范體系也日趨完善,但是網絡安全問題是相對存在的。因此在實際計算機應用管理中,我們只能根據網絡寬帶的特點和具體的應用需求去找到平衡網絡安全和網絡性能,以此為指導思想來配置網絡安全軟件。也就是說,我們需要不斷強化安全防護軟件的研發力度,以進一步促進計算機網絡系統防御水平的提升,才能適應不斷變化的網絡環境。
參考文獻
[1]于軍旗.計算機系統安全與計算機網絡安全[J].數字技術與應用,2013,(2):165-166.
[2]陳豪.淺談網絡時代計算機的安全問題及應對策略[J].科技致富向導,2013,(8):73.
[3]楊玉香,魯娟,胡志麗.淺析網絡環境下如何維護計算機網絡安全[J].數字技術與應用,2013,(2):173.
作者簡介
篇8
在現行法看來,網絡只是一個環境,一個場所,很多傳統的行為在網絡上都可以發生,同樣地,犯罪行為也會隨之而來。例如,盜竊Q幣的構成盜竊罪,散布謠言的視為尋釁滋事,〔3 〕雖然頗有爭議,但這些論爭乃至最后結論的得出很大程度上都是將網絡視為一個看不見摸不著的場景,認為在這個場景中切切實實地發生了傳統的民事行為和犯罪行為。此時,民法和刑法的觸角伸及網絡,并非法律的擴張,而是技術的進步給我們的生活拓寬了空間。對網絡行為進行規范判斷,首先要進行定性分析,如果從性質上等同于我們在傳統生活場景中的行為,那么適用傳統法律法規就沒有問題,除非在傳統生活中找不到對應的情形,才需要特殊的網絡相關法律法規予以規制。
關于著作權法禁止的違法行為,《刑法》第217條至第218條著作權刑法規范從8種侵犯著作權行為(2010年《著作權法》第48條)中選取特定的4種行為(非完全一一對應 〔4 〕)成立侵犯著作權罪和銷售侵權復制品罪,并且明確了“以營利為目的”作為前提。就“以營利為目的”的存廢論,有“取消論”、〔5 〕“加重量刑情節論”、〔6 〕“有條件的保留論”、〔7 〕“保留論”,〔8 〕觀點聚訟,爭鋒相對。在網絡侵犯著作權的情形,只是著作權侵權行為發生的地點和方式發生了變化,同樣的爭論不僅重演,甚至“取消論”者的呼聲更高。筆者認為,網絡著作權刑事案件不能因為網絡侵權的便宜性、犯罪偵查的復雜性就輕易提出要特殊相待,甚至提出降低犯罪構成的門檻。學界關于網絡著作權刑事案件中“以營利為目的”應否廢止的論爭實際上源自于對網絡新生事物的恐慌,缺失刑法學的理性判斷。
如果說人類的智力成果是廣袤的海洋,無邊又無際,知識產權法的保護就只是其中的幾座孤島。而鑒于知識產權是私權,公權力對私權的保護只是基于最后保障性地位,因而應具有最大程度的謙抑性。據此,知識產權的刑法保護只能是孤島中的大島。刑法的威懾性在經濟犯罪中本身就是有限的,而刑法對于新興事物的“事必躬親”是缺乏說服力的。網絡侵犯知識產權行為作為新生事物,司法機關既要保護知識產權、打擊侵權行為,也要注意區分、加以甄別,對輕微侵權行為和非典型權行為慎用刑罰,以期達到良好的社會效果和法律效果。立足司法適用的視角,筆者首先要明確的是,現行刑法關于著作權犯罪就規定了侵犯著作權罪和銷售侵權復制品罪兩個罪名,下面就這兩個罪名中的“以營利為目的”展開分析。
二、我國刑法學界關于著作權犯罪“以營利為目的”的觀點
“以營利為目的”作為人的一種主觀心理態度,不僅僅停留在其大腦中的純主觀思維活動,而是必然通過支配行為人客觀的犯罪活動,從犯罪前、犯罪中、犯罪后的一系列客觀外在活動表現出來。〔9 〕《刑法》第217條侵犯著作權罪和第218條銷售侵權復制品罪雖然從表面上看,兩罪的罪過形式都是故意,且“以營利為目的”,但通過對行為方式的考察,大致可歸屬于侵犯著作權的直接侵權和間接侵權情形。所謂直接侵權是指行為人直接實施了侵權行為,主觀上有直接的故意,并造成侵權后果的發生,如《刑法》第217條侵犯著作權罪,相應的網絡上著作權的直接侵權可以表現為行為人沒有合法的理由,把受版權法保護的作品上傳到網絡上或從網絡上下載使用,以此營利。間接侵權是指行為人雖沒有直接實施侵犯受版權法保護的作品的行為,但為直接實施侵權行為提供了便利,這種便利本應包括引誘、教唆或有意幫助。在刑法上僅就事后的“幫助”行為進行了規定,發生在網絡環境下就可能是對于明知的侵權復制品在網絡上加以銷售。根據《刑法》第217條和第218條的關系,可見間接侵權是建立在直接侵權的基礎之上的,也就是說沒有直接侵權就不存在間接侵權。我國現行犯罪論體系采取的是主觀的違法性說,即只有同時符合主客觀要件的行為,才具有違法性。根據主客觀相統一原則,兩罪的不同在主觀方面也會體現出來,這就需要對于“以營利為目的”的性質進行辨析。
1.同一論
有學者認為,我國《刑法》第217條侵犯著作權罪和第218條銷售侵權復制品罪主觀方面都要求“以營利為目的”,因此,如果行為人缺乏該主觀要件,即使行為造成嚴重的危害后果,根據罪刑法定原則依然不能構成犯罪。還有學者認為,我國《刑法》第217條侵犯著作權罪的故意是一種包含了“營利目的”的故意——認識到未經他人許可,認識到自己的行為是在復制發行他人作品,認識到自己行為的營利性,并且希望自己的行為能夠復制發行他人作品,希望自己的行為能夠營利。同樣,第218條銷售侵權復制品罪的犯罪故意也是包含了“營利目的”的故意。這兩種觀點雖然對于兩罪的“目的”屬于何種性質的認定未必相同,前者認為兩罪犯罪構成要件中故意以外的必備要素,是籠統的、一般的主觀超過要素;后者認為“營利目的”是犯罪故意的意志要素的一部分。但它們的共同點在于,認為“以營利為目的”在《刑法》第217條和第218條中明確規定表明著作權犯罪是一種目的犯,目的犯的罪過前提是故意,即排除了過失構成侵犯著作權罪的可能。在兩罪的司法認定中,舉證責任相同,都需要對故意以外的“營利目的”進行證明,故為“同一論”。
2.區別論
有學者將犯罪目的與犯罪故意的關系分為三種情況:第一種,犯罪目的屬于注意規定,犯罪目的對犯罪故意和犯罪行為的違法性都沒有影響。這類犯罪雖然含有犯罪目的,但不是目的犯;第二種,犯罪目的是犯罪故意的意志要素的一部分,其功能在于明確犯罪故意的內容。第三種,犯罪目的是犯罪故意之外的主觀超過要素,其功能在于影響行為的違法性。〔10 〕根據這個分類,作者將《刑法》第218條銷售侵權復制品罪的“以營利為目的”歸于第一種,即不影響犯罪故意和犯罪行為違法性,只是起到提醒司法工作人員注意的作用。換言之,《刑法》第217條不屬于這種注意規定可有可無的情形,“以營利為目的”是具備實質意義的構成要件要素,在司法實踐中,需要對之予以證明。故稱“區別論”。
三、《刑法》第217條和第218條“以營利為目的”性質辨析
筆者同意上述區別論,認為對兩罪“以營利為目的”的性質有必要區別對待,并嘗試運用德日刑法中目的犯之“二分法”進行辨析。
1.目的犯之“二分法”
對于主觀的超過要素,德日刑法學通說將目的犯分為斷絕的結果犯與短縮的二行為犯兩種類型。〔11 〕在斷絕的結果犯中,事實上的行為結果與規范上的危害結果不一致,發生斷裂。因此,僅僅根據客觀要件(行為和事實上的行為結果)以及對客觀要件(行為和事實上的行為結果)的認識與意志尚難以認定犯罪是否成立或成立何罪,此時就需要(立法規定和刑法解釋)某種目的以揭示、補充犯罪故意的意志要素。例如,誣告陷害罪的客觀行為是捏造事實,誣告陷害他人,從該行為并不能夠推出行為人具有犯罪故意,如果行為人出于損害他人名譽的目的或者使他人受行政處分的目的都不具有犯罪故意,不構成本罪,只有當行為人意圖使他人受刑事追究時,該目的“補足”本罪犯罪故意所缺少的內容,從而才能夠明確行為人具有犯本罪的故意,有助于本罪的認定。〔12 〕而短縮的二行為犯(間接目的犯)是以實施第二行為為目的的犯罪,但只有第一行為是構成要件行為,第二行為不是構成要件行為;間接故意可以成立短縮的二行為犯;例如,要求行為人客觀上實施第二個行為;與此同時,如果行為人不以實施第二個行為為目的,即使客觀上實施了第一個行為,也不成立犯罪(或者僅成立其他犯罪)。〔13 〕例如《刑法》第269條轉化型搶劫罪,“犯盜竊、詐騙、搶奪罪,為窩藏贓物、抗拒抓捕或者毀滅罪證……”作為法律擬制的搶劫罪,其對于特殊的目的有法律明文規定作為依據,這種目的是超過主觀故意以外的要素。而且,有學者認為,短縮的二行為犯可以由間接故意構成。〔14 〕因為,第一個行為的結果與行為人實施第二行為的目的并不相同,因此,對第一個行為的結果的放任與對第二個行為的目的完全可以并存。簡單說來,兩者最大的區別在于斷絕的結果犯的目的是直接故意的內容;短縮的二行為犯的目的是故意之外的獨立要素。據此,斷絕的結果犯的目的必須在論證直接故意之上;而短縮的二行為犯的目的相對獨立,在主觀方面不需要證明有直接故意,證明間接故意即可告成。
隨著概念的引進和不斷的被討論,我國學者對這兩個概念也逐步地接受并內化形成了自己的理解。針對《刑法》第217條中的“以營利為目的”究竟屬于哪種類型,有兩種觀點:一種觀點認為,侵犯著作權罪的“以營利為目的”屬于斷絕的結果犯。侵犯著作權罪的故意是一種包含了“營利目的”的故意——認識到未經他人許可,認識到自己的行為是在復制發行他人作品,認識到自己行為的營利性,并且希望自己的行為能夠復制發行他人作品,希望自己的行為能夠營利。如果抽掉犯罪故意中的“營利目的”,剩余的內容就是一種法國刑法傳統概念式的抽象故意,這種故意不是我國刑法規定的犯罪故意。另一種觀點認為,侵犯著作權罪是一種典型的“短縮的二行為犯”。就行為人的主觀方面的“以營利為目的”的目的與其所具體實施的侵權行為二者之間的關系進行分析,侵犯著作權罪屬于所謂“短縮的二行為犯”,是為了達到最終實施第二個行為的目的,直接實施了第一個侵犯著作權的行為,就以犯罪既遂處理,對于行為人的第二個行為是否實施、及其實施的程度沒有任何客觀要求。
2.性質辨析
對于外來法學理論的借鑒,還是要“不忘初心”,回歸到最基本的關系上進行解讀。
首先,考察目的和行為的關系。就侵犯著作權罪而言,行為人實施故意侵犯著作權的行為,只有在為了營利時才構成犯罪,侵犯著作權是第一個行為,營利可以通過行為人自己或者第三人銷售以達到目的,這是第二個行為。第二個行為未必要實現,只需要有第二行為的目的即可,二行為犯(營利)目的的實現與否,既不影響犯罪的成立,也不影響犯罪既遂的認定。侵犯著作權是數額犯、情節犯,達到數額或情節要求的按既遂處理;而未達到量的要求的按照未遂處理,跟二行為犯的目的沒有關系。對于銷售侵權復制品而言,雖然規定了“以營利為目的”,但“銷售”一詞表明了行為的營利性,“營利”根據《辭海》釋義,是謀求私利、謀求利潤或贏利的意思。從表面來看,這是對行為人主觀罪過的要求。有學者對“營利、盈利、贏利、牟利”進行了詞義考察,指出贏利與盈利,兩者很相似,是企業經營獲得利潤的結果。而“營利”強調謀求利潤的目的性,與“牟利”接近。〔15 〕銷售是賣出(貨物)的意思,作為商品買賣的雙方,一方為了營利,一方為了獲得自己所需。所以,銷售活動本身就是一種經營活動,其目的就是營利。也就是說,行為人實施符合構成要件的行為就可以實現其目的,符合斷絕的結果犯對目的和行為關系的定義。
其次,考察事實和規范的關系。事實上,有沒有不以營利為目的,侵犯他人著作權的情形?答案是肯定的。這種情形“不以營利為目的”是否需要刑法規制?答案是否定的。這是按照目的解釋得出的必然結論:如果沒有對目的加以規定,立法者認為其行為對法益的侵犯沒有達到應受刑罰處罰的程度,于是該目的具備了區分罪與非罪的機能。從事實層面來看,“以營利為目的”是內化于“故意”之心的。但是從規范意義上來說,正是由于立法者基于應受刑罰懲罰的目的性考慮,只擇取了營利目的這一種情形入罪,體現了強烈的規范意義。所以,對于直接侵權而言,“以營利為目的”不僅僅是注意規定,它不是犯罪故意里面所包含的必然要素。誠然多數犯罪故意都是“以營利為目的”,但不否認有其他目的例如娛樂、滿足自我愛好等目的。第217條侵犯著作權罪要求有特定的犯罪目的才能構成犯罪,“以營利為目的”這個主觀的超過要素,是法律規范施加的,相應地在司法實踐中也需要得到特殊的證明。而銷售侵權復制品的事實和規范內容是同一的。實施銷售活動本身的目的里面就包含了營利目的,在罪狀描述中強調了“以營利為目的”只是對銷售行為的主觀方面的一種重復,并沒有任何補充。這只是法律的一種提示性規定,用以提醒法律工作者在認定行為時常與此相關聯,彼此間存在事實和規范相互印證的關系。2011年“兩高”、公安部《關于辦理侵犯知識產權刑事案件適用法律若干問題的意見》(以下簡稱“2011意見”)第10條關于侵犯著作權犯罪案件“以營利為目的”的認定問題的表述也說明了這一問題,“除銷售外,具有下列情形之一的,可以認定為‘以營利為目的’”,這說明如果具有銷售行為的,就不再需要對“營利目的”加以說明,有銷售行為即證明主觀上有“營利目的”,這是一種基于字面解釋得出的結論,是合理的司法推定。
可見,雖然侵犯著作權罪和銷售侵權復制品罪都規定了“以營利為目的”,但在兩罪的構成要件中所起的作用截然不同,第217條是限制作用,第218條是強調作用。按照目的犯的“二分法”,前者屬于短縮的二行為犯,后者則是斷絕的結果犯。對此性質的辨析和明確,有助于司法實踐中準確定罪量刑。
四、網絡侵犯著作權罪中“以營利為目的”的司法適用
1.目的犯和間接故意
[案件一] 〔16 〕被告單位北京易查無限信息技術有限公司,于某為其法定代表人。自2012年起,于某為提高“易查網”的用戶數量,通過技術部早已開發的爬蟲軟件將互聯網上發現的小說形成目錄索引,用戶搜索、點擊某小說閱讀時,就通過自己開發的程序進行文本樣式轉碼,最后將轉碼后的小說內容緩存到自己的服務器,從而提高用戶的瀏覽速度;用戶訪問觸發轉碼,互聯網上的小說就自動緩存下來,供移動電話用戶在小說頻道內免費閱讀。
面對辯護人提出被告人不存在主觀故意,“被告單位易查公司設有法律部門負責處理涉嫌侵權作品的‘通知-刪除’工作,盡到了注意義務……于某僅提出了做小說轉碼業務的要求,其設想的技術過程并不侵權”,一審法院認為,“被告人于某在被告單位易查公司中負責技術工作,其提議開發涉案觸屏版小說產品,且由其直接提出該產品的技術需求,則在具體開發中,尤其是產品上線前,其應跟蹤了解該產品的技術實現方式,以確保不侵犯他人合法權益。于某自認其并未完全了解該技術的具體實現方式,也未就開發中的具體技術問題進行后續跟蹤,其主觀上至少存在放任的間接故意”。對此,有人認為,如果僅僅證明被告人具有間接故意,對于說明主觀罪過恐怕不夠充分。因為傳統刑法理論告訴我們,目的犯只能存在于直接故意中,間接故意和過失犯罪不存在犯罪目的問題,間接故意犯罪和過失犯罪中的行為人,都不期望危害社會結果的發生。如果無法證明行為人具有直接故意,則不能證明其主觀上具有“營利目的”。
但由于侵犯著作權罪屬于短縮的二行為犯,這就為間接故意的存在提供了可能性。從心理事實來說,當行為人所放任的結果與行為人所追求的目的不具有同一性時,即兩者分別為不同的內容時,完全可能并不矛盾地存在于行為人的主觀心理中。〔17 〕換句話說,在短縮的二行為犯中,由于行為人預期的前行為的犯罪結果與后行為的犯罪目的指向的內容是不同的。因此,行為人主觀上完全可以既有對前行為的結果的放任態度,又有追求后行為的目的。
當然,在本案中,對直接故意的認定也并無困難。經審理查明,被告人通過在“易查網”內植入廣告,使用易查公司的銀行賬戶收取廣告收益分成。從這個事實就可以看出行為人對采取技術手段侵犯他人著作權將為自己帶來利益是明知并且希望的主觀心態,從而可以得出行為人主觀罪過為直接故意,并具有“營利目的”。這與司法解釋“投放相關廣告收取相關費用”也是一致的,“投放相關廣告收取相關費用”作為一種司法推定,符合了刑法理論中直接故意和犯罪目的之間的關系而具有合理性。所謂犯罪目的,是行為人對發生危害結果的希望或者追求的心理態度。在一般情況下,法律對犯罪目的不作明文規定,因為通過分析這些犯罪的構成要件,便可明確其要求的犯罪目的;犯罪目的不是犯罪主觀方面的必要要素,但明確犯罪目的,對正確定罪量刑有所幫助。而在目的犯的場合,則需要證明這主觀的超過要素的存在。由于目的和動機往往深藏于人的內心深處,無法洞察,表面上看增加了公訴方的舉證責任,但實際上運用合理的司法推定就可以使行為人的狡辯遁于無形,例如“投放廣告收取費用”說明行為人為了獲利而直接希望危害結果的發生,排除了放任結果發生的可能。
2.直接營利和間接營利
[案件二] 〔18 〕2010年12月,被告人馬某某在互聯網上設計并推出了“Excel三國殺”游戲,并于2011年7月取得了計算機軟件著作權登記證書。其間,馬某某未經著作權人許可,使用了邊鋒公司運營的三國殺游戲的圖片和聲音。2012年7月,馬某某和邊鋒公司在談判合作“Excel三國殺”游戲未果后,邊鋒公司明確禁止馬某某使用三國殺游戲的相關圖片和聲音。馬某某為謀取私利,仍編輯三國殺游戲的相關圖片和聲音,制作成“Excel三國殺”素材包V2.0,為規避法律,使用“六只白蟻”的網名在互聯網上該素材包供用戶下載,用于“Excel三國殺”游戲的運營。
在本案中,一審法院認為,“Excel三國殺”游戲是馬某某用以營利的主要手段,其直接目的是通過“Excel三國殺”游戲獲取相關收益。“Excel三國殺素材包”是其用以增加“Excel三國殺”游戲用戶體驗從而增加下載量的輔助手段,該侵權行為的實施客觀上增加了“Excel三國殺”游戲的營利,馬某某對此事實明知,但仍積極實施侵權行為,間接地收取了相關費用,故應認定其具有“營利目的”。在一審判處被告人馬某某犯侵犯著作權罪后,被告人提出上訴,諸理由中有一項是認為“以營利為目的”的認定事實不清。被告人提出,司法解釋對于“以營利為目的”的規定,是通過信息網絡傳播他人作品,在網站或者網頁上提供刊登收費廣告服務,直接、間接收取費用的。而馬某某在馬峰窩網站中不存在投放相關廣告收取相關費用的行為。
對于涉嫌侵犯著作權罪的案件而言,公訴方除了證明犯罪嫌疑人主觀上是犯罪故意以外,還需要證明額外的“以營利為目的”。“2011意見”以列舉的方式表明三種情形可以認定為“以營利為目的”,并在第(4)項兜底性地規定了其他利用他人作品牟利也可構成。也就是說,“以營利為目的”的情形包括但不限于前三項,關鍵在于行為目的的牟利性,只要排除非營利的目的(包括著作權合理使用)皆有構成犯罪的可能。所以,被告人認為自己沒有投放廣告收取費用就不構成“營利目的”的辯護意見不能成立。
從營利取得的途徑來看,可以分為直接營利和間接營利。直接營利目的相對容易理解;間接營利目的,是指行為人實施完畢刑法規定的某種犯罪的構成要件,并不能直接獲取利潤,尚需要行為人或者第三人實施其他行為才能獲取利潤。在實踐中,間接營利因其具有隱蔽性、復雜性而難以認定的情況多發生于網絡環境下。〔19 〕本案就是典型的通過侵犯他人著作權的方式,增加其用戶(第三方)體驗,從而增加下載量而獲利的情形,屬于間接營利,也是屬于短縮的二行為犯的第二行為目的的情形。
除此以外,間接營利的情形還有:行為人以通過電子郵箱免費發送某專業領域的他人作品為誘餌,在網絡社區要求他人留下郵箱地址,大量套取他人的郵箱地址,出售給電子郵件廣告者,等等。這種通過侵犯他人著作權,通過網絡渠道營利的情形雖然頗經周折,但仍然不能阻斷其中的“營利目的”,屬于以間接方式構成的“以營利為目的”。
3.積極利益和消極利益
[案例三] 〔20 〕磊若公司系“Serv-U”系列軟件的版權所有人,依法對該系列軟件享有所有權及著作權。2011年4月11日,磊若公司通過系統命令監測到,朗科公司的官方網站netac.com.cn正在使用磊若公司一款“Serv-UFTPServerv6.3”的軟件,該軟件系磊若公司于2006年,然而至今為止,其銷售系統上都未見朗科公司的購買記錄。由此可見,朗科公司系長期使用盜版軟件,侵害了磊若公司享有的計算機軟件著作權。遂訴至法院請求損害賠償。法院通過審理,認定被告朗科公司的行為構成商業性使用侵權行為,判決如下:(1)朗科公司停止侵權行為,卸載盜版軟件;(2)朗科公司在國內主要報刊上向磊若公司公開賠禮道歉;(3)朗科公司賠償磊若公司為本案支付的律師費及公證費。確定朗科公司賠償磊若公司經濟損失及維權合理費用共計人民幣200000元。
該案是商業使用盜版軟件的民事案件,商業使用盜版軟件的刑事判決尚未檢索到。這是因為,最高人民法院《著作權解釋》第21條規定:“計算機軟件用戶未經許可或者超過許可范圍商業使用計算機軟件的,依據著作權法第四十七條第(一)項、《計算機軟件保護條例》第二十四條第(一)項的規定承擔民事責任。”這是我國法律上第一次對最終用戶使用盜版軟件的民事責任予以明確,這一規定使得追究商業使用盜版軟件有了法律依據。2013年修訂后的《計算機軟件保護條例》第24條規定,“除《中華人民共和國著作權法》、本條例或者其他法律、行政法規另有規定外,未經軟件著作權人許可”,“復制或者部分復制著作權人的軟件”,“同時損害社會公共利益的”,應當負行政責任。這是對商業使用盜版軟件行為追究行政責任的直接法律依據。至于是否可以追究刑事責任,以及商業使用盜版軟件行為的含義等沒有明確規定。〔21 〕
在實踐中,商業使用盜版軟件行為并不罕見,很多企業使用網絡上的盜版軟件,一般不會直接產生經濟效益,而是為了節約購置軟件的成本。肯定論者認為,如果“以營利為目的”包括間接營利的話,商業使用盜版軟件也屬于間接營利的情形,可以認定為第217條的“以營利為目的”。判定某項行為是否具有營利目的,需要進行宏觀上的、整體上的考察,考慮到單位經營行為的整體性,成本與利潤的“此消彼長”性,完全可以把節省的成本納入單位的利潤中,從而把單位降低經營成本的目的與動機視為營利的動機與目的。否定論者認為,將商業使用盜版軟件行為人節省開支等的動機理解為間接營利,進而認定屬于營利目的,不符合刑法解釋的原則,不利于法律的理解和適用。〔22 〕
筆者認為,上述的直接營利和間接營利都體現為積極利益的增加,只是增加的方式不同,對于認定其屬于“以營利為目的”并無困難,司法解釋也證明了這一點。而對于節省開支是不是間接營利的問題,筆者持否定觀點。首先,擬借用民法上關于“不當得利”的概念來加以說明,民法上將取得財產利益分為兩種情形:一是財產或利益的積極增加,即通過取得權利、增強權利效力或獲得某種財產利益或義務的減弱而擴大財產范圍。二是財產或利益的消極增加,即因財產或利益本應減少而未減少所得的利益。跟上面的無論是直接營利還是間接營利所產生的積極利益的增加相比,節省開支體現的是消極利益的增加,這是一種狀態的描述,而“營利”的關鍵在于“營”,即通過經營方式謀求。從語詞邏輯上來看,消極利益只能獲得,而不存在“消極營利”的可能。其次,根據系統解釋,在相關知識產權罪名中,如假冒注冊商標罪、銷售侵權復制品、侵犯商業秘密罪等,都存在“營利目的”的構成要件,而這些“營利目的”從罪名體現的表現形式來看,通常都是通過實施侵犯知識產權的行為獲取積極利益的增加。唯獨將侵犯著作權罪“營利”包含消極利益的增加,恐怕行之過遠。再次,“2011意見”第(4)項規定中的“利用”非“商業使用盜版軟件”中的“使用”。“利用”一詞帶主觀負面評價色彩,而“使用”則是一般的中性詞。刑法是追求精準的科學,用語上的差之毫厘有可能謬以千里。這里是否可以將“使用”解釋為“利用”,是否會突破罪刑法定的邊界,不無疑問。最后,在我國法律對商業使用盜版軟件行為作出民事和行政責任追究的明文規定之前,對該行為追究民事和行政責任尚且被認為沒有法律依據,而要進行刑事責任追究恐怕更需要以法律明文規定的方式,而不是模棱兩可的學理解釋所能解決。
4.銷售行為反制“營利目的”
篇9
[DOI]10.13939/ki.zgsc.2016.02.111
構建安全網絡、營造網絡安全環境都需要網絡安全協議。人們對應用于計算機中的安全協議做了大量的分析研究,就是為了提高網絡信息傳輸的安全性,使之能從根本上保證網絡安全,以免造成因網絡安全等級不夠而導致網絡信息數據丟失或者文件信息丟失以及信息泄露等問題。網絡安全協議課程包括對密碼學和計算機網絡的學習,網絡安全協議比較復雜,無論是對于教師還是學生而言,難度都比較大,所以學生只有在加強自身的理解與應用能力之后,才能有利于新知識的繼續學習。針對網絡安全協議中的協議原理和細節,對于教師而言,如何讓學生理解非常重要;對于學生而言,如何掌握并應用非常重要。所以,教師對于網絡安全協議課程的實踐教學設計不能馬虎。
1實踐教學設計總述
常用的網絡安全協議包括Kerberos認證協議,安全電子交易協議SET、SSL、SHTTP、S/MIME、SSH、IPSec等。[1]這些安全協議屬于不同的網絡協議層次,能提供不同的安全功能。特別是在IPV6當中采用IPSec來加強網絡的安全性。并且在開放系統互連標準中,網絡協議被分為7層,其中物理層、數據鏈路層、網絡層、傳輸層和應用層都是常用的。所以,由于每種網絡安全協議內容豐富以及它們都有各自的優點和缺點,致使在實際應用中網絡安全協議更具復雜性。教師需要通過實踐教學設計來實現讓學生全面理解和掌握協議中的原理和細節,并能夠有效應用。首先要做到讓學生由表及里的、由淺入深的認識和學習網絡安全協議,其次要做到讓學生能應用到網絡安全協議,最后達到創新的目標。所以實踐教學內容要劃分為階段性的,才能讓學生逐步透徹地掌握網絡安全協議中的方方面面。
2SSL協議的實踐教學實施
2.1認知階段
教師在本階段的教學內容就是讓學生認識SSL協議。需要掌握以下內容:
SSL采用公開密鑰技術,其目標是保證兩個應用間通信的保密性和可靠性,可在服務器和客戶機兩端同時實現支持。目前,利用公開密鑰技術的SSL協議,已成為因特網上保密通信的工業標準。SSL協議中的SSL握手協議可以完成通信雙方的身份鑒定以及協商會話過程中的信息加密密鑰,從而建立安全連接。SSL握手協議如下圖所示。
SSL握手協議
而在SSL協議中,獲取SSL/TLS協議通信流量,直觀地觀看SSL/TLS協議的結構就需要使用Wireshark抓包分析工具軟件。通過流量抓取分析來讓學生掌握SSL/TLS的具體內容。
2.2體驗階段
經過初步的學習,要讓學生體驗SSL的應用范圍,對SSL的應用過程有一個直觀的感受和體驗。學生用于數字證書生成、發放和管理需要完成CA的安裝與配置,其次分別為IISWeb服務器和客戶端申請、安裝證書,再在服務器上配置SSL,通過以上步驟完成IIS服務器中的SSL/TLS配置來建立客戶端和服務器的連接。[2]此階段的具體應用會讓學生深入的了解SSL/TLS中的有關內容。
2.3應用階段
應用階段的教學內容是前兩階段教學內容的升華,它會使學生具備利用SSL/TLS協議進行通信的編程能力。而要達到這點,就需要通過利用OpenSSL,實現一個簡單的SSL服務器和客戶端。這個階段的工作量不小,學生需要在教師的指導下分組進行。進行過程中主要環節包括,首先,學生利用自己熟悉的系統和開發平臺來完成OpenSSL的編譯安裝。其次,學生參考已有的源代碼來完成VC++編譯環境的設置。[3]再次,學生利用OpenSSL的證書生成命令性工具生成服務器和客戶端數字證書。最后,通過完成簡單的TCP握手連接和通信,并加入SSL握手功能來實現SSL/TLS編程。
2.4總結提高階段
課堂上的理論教學和階段性的實踐教學對于學生熟悉掌握SSL協議具有很好的作用,但是還存在某些方面的不完整性。例如,通過研究和實際應用SSL/TLS協議的過程中,如何進一步改善SSL/TLS協議所存在的問題。這些都是需要學生去解決的。在解決過程中,學生就能具備進行高效學習的能力。教師可以采取向學生提問的方式來進行這一階段的教學內容。問題可以是多方面的,例如通過前幾階段的認識和實踐,SSL/TLS協議還存在哪些不足?并通過一個實際的SSL/TLS協議的應用案例,發現SSL/TLS協議還有哪些局限性,并解決這些局限所帶來的問題。在此階段內,學生和教師要進行不斷的交流和討論,并找出相關事實依據來論證自己的觀點。例如,針對Heartbleed漏洞,學生需要了解漏洞產生的原因和危害,并提出解決措施。通過分析發現是OpenSSL開源軟件包的問題導致了此漏洞出現,與SSL/TLS協議并無太大關系。經過對此問題的分析研究,我們可以發現,協議本身的安全并不代表能在實現協議過程中避免所有的不安全因素。
3實踐教學效果評價
各個階段的實踐教學過程需要教師進行精心的設計和把握,并通過具體的實施實踐才能驗證實踐教學設計的是否合理,是否有效。由于網絡安全協議課程本身就非常復雜,再加上具體實施過程中內容、方法和難度有所不同,就需要根據學生的反饋情況來進行及時的調整。教師要從各項反饋指標進行自我反思,并與學生進行溝通。同時,在此過程中,也要認真檢查對學生的作業布置,關注學生是否掌握了有關網絡安全協議的技能,注重學生的完成情況和學生對于實踐教學過程中不足之處的意見。
4結論
網絡安全協議內容復雜,具體應用過程及各項技術操作也較為煩瑣,因此,單單只是針對SSL/TLS協議的實踐教學做了簡要的設計并不能移植到所有的網絡安全協議課程的教學中去。若要講關于網絡安全協議中鏈路層和網絡層,那么第三階段的實踐教學內容就不具意義了。而要講應用層的安全協議,第三階段的實踐教學內容相比于第一階段和第二階段就重要得多。對于信息安全專業的學生來說,只有掌握好計算機網絡和密碼學的課程內容,才能繼續網絡安全協議課程的學習。因為網絡安全協議課程的理論性和實踐性都非常強。在實踐教學的實施過程中,不但要讓學生充分品嘗動手的樂趣,還要讓學生掌握網絡安全協議的具體知識。同時還要注重培養在網絡安全協議方面的應用型人才。
參考文獻:
篇10
【關鍵詞】醫院 信息網絡系統 安全風險 建設措施
隨著科學技術的發展和進步,互聯網在人們的日常生活和工作中得到了十分廣泛的應用,社會逐漸進入了網絡信息化時代,醫院也開始不斷加強信息網絡系統的建設。結合了計算機技術和網絡通信技術的信息網絡系統,可以極大地提高醫院的管理水平,同時推動醫院向著現代化的方向發展,應該引起醫院管理人員的重視。
1 醫院信息網絡系統概述
醫院信息網絡系統是實現醫院信息化和現代化的前提,醫院信息化,是指以病人的病例信息共享為核心,可以為病人的就醫提供便利,同時方便對醫院進行管理,不僅包括了硬件設備的安裝,還包括了系統的設計和維護,以及信息的分析管理等。要想充分發揮醫院信息網絡系統的作用,需要醫院全體員工的共同努力。從目前來看,在我國,絕大部分三級醫院都已經建立起了醫院信息網絡系統,并且經過不斷的發展和完善,逐漸成為了醫院管理活動中的重要組成部分,同時開始向著臨床應用和管理決策的方向發展,對于醫院整體管理水平的提高有著不容忽視的作用。
2 醫院信息網絡系統建設中的安全風險
從目前來看,在醫院信息網絡系統的建設中,存在的安全風險主要表現在以下幾個方面:
2.1 系統漏洞
系統漏洞主要表現在TCP/IP 網絡協議、計算機操作系統、應用軟件等方面。在不斷的發展過程中,系統需要進行不斷的更新,不可避免地會產生相應的缺陷和漏洞,這些漏洞的存在,給黑客的攻擊以及病毒的入侵提供了相應的渠道,容易造成系統信息混亂、數據丟失甚至系統的癱瘓。因此,要對系統進行有效管理,對漏洞進行及時更新和修復,對使用的軟件產品的安全性進行檢測,同時設置相應的防火墻,配合IDS入侵檢測設備,實現對于系統的安全防護。
2.2 網絡攻擊
一方面,如果網絡覆蓋的服務器遭到攻擊,會導致服務器誤動,在短時間內大量創建客戶端連接,占用系統資源,影響系統功能的正常發揮;另一方面,網絡黑客會對通過系統漏洞,或者利用病毒等,侵入系統中,竊取、修改、刪除數據庫中的信息,從而導致醫院信息管理系統的混亂,嚴重的甚至可能導致整個醫院信息網絡的癱瘓。針對這種情況,應該在系統中加入Internet邊界安全控制系統,部署相應的防火墻以及入侵檢測系統,對網絡進行實時在線監控,降低受到網絡攻擊的機率。
2.3 病毒威脅
網絡病毒是威脅網絡系統安全的重要因素之一,一般情況下,病毒會潛伏在郵件或者應用程序中,利用系統漏洞,對系統中的文件和信息進行修改、刪除,造成數據的混亂或者丟失。對于這個問題,可以建立病毒防火墻,同時在系統中加入殺毒軟件,對病毒進行預防和處理,減少其對于系統的危害。
2.4 人為失誤
在實際操作過程中,由于操作人員的粗心大意,或者對于操作流程不熟悉,同樣會對系統的安全造成影響。因此,要加強對于系統操作人員教育和培訓,提高其專業能力和責任意識,避免人為失誤的發生。
3 醫院信息網絡系統的建設措施
在對醫院信息網絡系統進行建設時,要在保證系統功能的基礎上,采取相應的安全防范措施,確保系統的安全性能。結合實際情況,醫院信息網絡系統的建設措施主要包括:
3.1 安全策略
一般來說,醫院信息網絡系統采用的都是服務器/客戶端(C/S)結構,作為系統的數據中心,服務器會對系統的所有信息進行收集,提供給客戶端使用。由于醫院信息網絡系統的數據不僅包括了病人的病例信息等,還包含有醫院的經營管理數據,因此需要確保其可以始終保持正常運行狀態,避免數據的丟失,同時在發生斷電、系統故障等災難性事件后,可以及時恢復數據,以保證數據的連續性和完整性。通常情況下,系統的中心服務器可以采用“2+2”模式雙機熱備份系統,以避免單點故障的影響。然后,應該在主機房之外的地方,建立相應的容災備份服務器,與中心服務器進行數據同步,這樣,即使中心服務器出現故障,也可以保證醫院醫療工作的正常進行。
3.2 設備安全
在信息網絡系統中,網絡設備是多種多樣的,主要包括交換機、服務器、電源等,這些設備是系統的基礎,也是信息網絡的物理保障,因此,需要采取有效措施,保證網絡設備的安全。一方面,應該將醫院信息系統網絡與其他網絡相互隔離,采用兩臺模塊化交換機,配置雙電源、雙引擎,并通過雙網卡,實現與核心交換機的分別連接,避免因單點故障引起的網絡業務中斷。另一方面,要根據醫院信息化網絡系統的特點,對醫院的不同系統和工作站進行分類,形成各自獨立的模塊,可以有效減少病毒在網絡系統中的泛濫和傳播,避免了醫院網絡全面癱瘓的風險。
3.3 軟件安全
首先,要設置相應的網絡殺毒軟件,對醫院信息網絡的安全進行保護,對病毒庫進行升級,對客戶機的殺毒情況進行實時監控,減少病毒對于系統的影響和危害。其次,加入內網安全管理軟件,對客戶機的實際運行情況進行管理,通過權限管理的方式,全面掌握醫院信息網絡的運行狀況。然后,針對系統機房內可能存在的安全風險,要設置相應的安全防護軟件和報警軟件,切實做好防火、防水、防靜電、防盜等工作,確保系統功能的有效發揮。
4 結語
總而言之,醫院信息網絡系統在醫院的正常運行和發展中發揮著十分巨大的作用,一旦出現問題,輕則影響醫院的運行,重則導致醫院管理系統的癱瘓,造成巨大的經濟損失。因此,相關技術人員應該充分重視起來,做好安全風險的防范工作,采取有效的建設措施,確保醫院信息網絡系統的建設和發展,從而推動醫院信息化水平和管理水平的提高。
參考文獻
[1]胡.醫院信息網絡建設中的安全技術體系[J].網絡安全技術與應用,2013(10):59-61.
[2]張延榮.淺談醫院信息網絡系統的建設與應用[J].現代經濟信息,2012(10):234.
