前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络通信调研报告主题范文,仅供参考,欢迎阅读并收藏。
[论文摘要]计算机网络技术是高校计算机类专业的主干技术基础课程,涉及电子技术、计算机软件技术、计算机硬件技术等多个学科领域,,在整个教学过程中占有极其重要的地位。本文从高校计算机网络技术课程的现状出发,探讨了优化该课程教学的一些措施。
一、计算机网络技术课的教学现状
随着现代通信技术和计算机技术的飞速发展,信息技术正在给人类带来一场新的产业革命,信息已成为人类赖以生存的最重要资源。而信息的社会化、网络化、全球经济的一体化,都受到计算机网络技术的巨大影响,这对高校计算机网络技术专业的教育提出了更高的要求。“计算机网络技术”专业是信息技术通信领域的重要支柱,然而,调查发现目前在计算机网络技术课程的教学中,网络技术飞速发展与师资老化的矛盾日益严重,这将从根本上制约教育质量的发展。另外,一些学校的现行教材中教学内容滞后,以学科为体系的痕迹明显,教学内容偏多偏深,实践与能力培养不够突出,教学要求与培养“以能力为本位”的教学目标存在一定的差距,而且专业实习、实训的设备与计算机技术的发展有一定的差距,学生实验教学往往不能按要求进行,从而对教学改革的进程起到消极影响。
二、计算机网络技术课程教学的优化
1.优化课程体系
在课程设置上,学校应当坚持应用能力“宽窄”结合的方针,使学生逐步深人全面地掌握网络知识,培养学生各个方面的网络应用能力,同时适当兼顾计算机其它应用能力的培养,使学生毕业后能适应多种职业岗位群的需要,按照网络集成、网络管理和网络软件开发三个方向成组设课,强化这三个方面的应用能力。让学生根据自己的兴趣、发展方向和接受能力自主选择相应课程。学校在制定教学计划时应该根据实际情况和社会需求安排四大类课程的教学内容和学时比例。技术基础课以教会学生掌握从事职业岗位所必须的科学原理、方法和使用这些原理和方法去分析、判断、解决生产第一线或工作现场实际问题的能力,技术技能课是以行业的职业技能为目标,将职业理论知识应用于实际岗位操作能力的训练,这两类科目的学时数可以适当减少;公共基础课应满足学生学习和应用职业岗位技能所必备的基本概念、基本原理和基本方法的需要,培养学生掌握科学思维及解决实际问题的方法,课程的学时数比例可以适当加大;而选修课是以跨专业或高新技术等课程为主,以培养学生的就业适应能力、专业技能综合能力,门数尽可能多、范围要广些。
2.丰富教学内容
计算机网络技术主要是关于计算机网络的基本理论,比如有网络的拓扑结构、网络体系、网络设备以及网络应用等,重点是相关内容的理论阐述,网络设备中的网卡主要介绍网卡的结构及工作原理、分类情况以及性能指标等纯理论的知识。教师在教学过程中要注重理论与实践的互相结合,可以结合网卡的性能指标以及分类情况介绍网卡的选型以及网卡的安装等实用知识,将网卡相关的理论与实际结合起来,激发学生的学习动力和学习兴趣。网络应用技术主要介绍电子邮件系统的工作原理、使用的协议等枯燥难懂的内容,教师则可以结合电子邮件的收发工具进行教学,这样既有助于学生对基本原理的理解,提高对实际应用的认识,又能结合相应的社会实践活动。在实验、实训教学中,教学目的是验证理论知识,培养学生的动手操作能力和解决实际工作问题的能力,这就更需要将理论教学和实践教学结合起来,培养学生面对具体问题独立分析、解决的能力,教师应该适当增加专业基础课的实验比例,加强学生的职业技术、技能培养,加强技能实验和设计型实验,扩充专业实训科目,使课堂教学与社会实践有机结合,要求学生独立理解实验、实训任务,自选仪器材料,自行设计方案,独立完成,从而培养学生的创造力。
3.优化教学方法
传统的教学往往是以教师为主,学生则是处于被动学习的状态,整个教学过程体现为学生听、老师讲的单方面交流,学生的认知主要表现为记忆的形成,教师和学生之间缺乏交流。这种学生被动接受的方式是一种静态的教学方式,阻断教师在教学过程中的激情和创造,而使授课平淡、乏味、呆板,严重影响教学效果。因此,现在应采取现代化教学手段进行交互式的教学,采用项目设计制作、现场模拟、社会调查、案例分析等多种多样的教学方式,比如组建网络教室的组建、建设小型校园网的建设、改造小型办公室网络改造等等实践活动,从而丰富整个教学过程,发挥网络通信及网络资源共享的特征,进行网上教育,包括电子教案、电子阅览、电子作业,这将有效缩短教师与学生的距离,加强教学交流,提高教学效果。
4.改革考核方式
考核方式应该可以充分发挥考试的教学功能、教育功能、督促和引导功能、检测、鉴定与评价功能等,使教学内容、教学方法与人才培养模式相一致,促进人才培养质量的提高。在对学生进行考核时,可以沿用传统的试卷考核与社会实践相结合,要求学生完成社会调研报告、市场调研分析等。在考核内容上,要坚持以知识的应用、技能与能力的掌握为主,注重检测学生创新意识和思维水平。确立考试是重要教学环节,充分发挥考试的多种功能,摒弃一次考试下定论的不科学做法,坚持平时考核与期末的总结性、鉴定性考试相结合。而且对于不同的课程可以采用不同的考核方式,如采用职业技能鉴定、完成课程项目、编写项目计划等形式代替课程的考核。这样既有利于提高学生的综合素质,又可以培养学生适应不同的需求,增加工作经验。比如程序设计课,可以要求学生既熟练掌握数据库管理系统的基本知识与使用方法,又具有熟练使用一种中文平台及相应数据库管理系统进行数据处理工作的能力,采用平时考核(如作业与实习报告、阶段测验、课程设计等)和鉴定性考试并用,主要考核基本知识、概念的掌握程度和简单的应用能力等。总之,要改变单一指标评价学习效果为多次考核综合评定成绩,树立高职高专实用型人才的素质教育思想,树立全面考核的思想,构建考核方式多样化。
参考文献:
[1]蔡开裕.计算机网络[M].机械工业出版社,2001.
[2]翟轰.高等职业技术教育概述[M].西安电子科技大学出版社,2002.
关键词: 高职院校计算机网络技术课程 教学现状 优化策略
计算机专业已由20世纪90年代的热门专业变成了各校均有开设的普通专业。随着职业教育不断深入和计算机专业的大量毕业生进入社会,逐渐出现了这种情况:虽然每年高职院校为社会提供大量的计算机专业毕业生,但符合社会需求的技术应用性人才仍然短缺。这一现象表明,计算机专业的教学和人才培养模式与社会脱节,高职计算机技术人才培养面临巨大的挑战。
一、高职院校计算机网络技术课程的教学现状
计算机网络技术是计算机专业的主干课程,对实际操作要求非常高,学生如果不能真正对网络设备进行操作,没有实际组网和管理网络的经验,就根本谈不上掌握计算机网络这门技术。
目前在高职院校计算机网络技术课程的教学中,网络技术飞速发展与师资老化的矛盾日益严重,从根本上制约了教育质量的提高。一些学校的现行教材中教学内容滞后,偏多偏深,实践与能力培养不够突出,专业实习、实训的设备与计算机技术的发展有一定的差距,学生的实验教学往往不能保质保量地进行,学生很难按要求完成教材的学习内容,达到教学大纲所要求的目标,学习的最终效果不能满足社会相关职业岗位的需要。
二、高职院校计算机网络技术课程教学的优化策略
1.优化课程体系
职业教育的目标是培养合格的高技能人才,使学生尽快适应就业岗位的要求,掌握就业岗位所要求的知识技能。要实现这个目标,教师就应该将岗位的工作过程引入到课堂教学当中。学习一门专业技能的最佳方案,就是理论联系实践,理论与实践结合越紧密,学习时间越紧凑,学习效果就越好。
学校在制定教学计划时应该根据实际岗位需求安排教学内容和学时比例,坚持应用能力“宽窄”结合的方针,课程设置与专业覆盖面相适应,让学生获得较扎实的基础素质,以利于培养综合能力。在课程编排上,划分成若干中心,形成多个知识模块,模块之间能相对和互相组合,让学生逐步深入全面地掌握网络知识,培养学生各个方面的网络应用能力,同时适当兼顾计算机其它应用能力的培养,使学生毕业后能适应多种职业岗位群的需要。
(1)公共基础课。满足学生学习和应用职业岗位技能所必备的基本概念、原理和方法的需要,培养学生掌握科学思维与解决实际问题的方法。
(2)网络技术基础课。教会学生掌握从事职业岗位所必须的科学原理、方法和使用这些原理和方法去分析、判断、解决生产第一线或工作现场实际问题的能力。
(3)技术技能课。以行业的职业技能为目标,将职业理论知识应用于实际岗位操作能力的训练,如让学生进行交换机、路由器、防火墙的设置,双机互连、小型局域网、园区网的组建,等等。学生在完成工作的同时能接受与实践紧密结合的学习。通过这种方式的学习,学生必然能够真正理解理论知识,切实掌握操作技能。
(4)选修课――以跨专业或高新技术等课程为主,培养学生的就业适应能力、专业综合应用能力,门数尽可能多,范围尽可能广。
2.丰富教学内容
教师在教学过程中要注重理论与实践相结合,如学习网卡的结构、工作原理、分类情况与性能指标等纯理论的知识,可以结合网卡的性能指标与分类情况,介绍网卡的选型与网卡的安装等实用知识,将网卡相关的理论与实际结合起来,激发学生的学习动力和学习兴趣。介绍电子邮件系统的工作原理、使用协议等枯燥难懂的内容,可以结合电子邮件的收发工具进行教学,这样有助于学生对基本原理的理解,提高对实际应用的认识。在实验、实训教学中,教学目的是验证理论知识,培养学生的动手操作能力和解决实际工作问题的能力,这就更需要将理论教学和实践教学结合起来,培养学生面对具体问题独立分析、解决的能力,教师应适当增加专业基础课的实验比例,加强技能实验和设计型实验,扩充专业实训科目,使课堂教学与社会实践有机结合,要求学生独立理解实验、实训任务,自选仪器材料,自行设计方案,独立完成,从而培养学生的创造力。
3.优化教学方法
采用现代化教学手段进行交互式的教学,利用项目设计制作、现场模拟、社会调查、案例分析等多种多样的教学方式,如组建网络教室、建设小型校园网、改造小型办公室网络等实践活动,发挥网络通信及网络资源共享的特征,进行网上教育,包括电子教案、电子阅览、电子作业,可有效地缩短教师与学生的距离,加强教学交流,丰富整个教学过程,提高教学效果。
关键词:在校大学生;信息消费;特征
中图分类号:F27文献标识码:Adoi:10.19311/ki.16723198.2016.19.026
信息消费作为在校大学生精神消费领域的一项重要内容,能够解决在校大学生在文化教育、娱乐、医疗保健、体育健身、交通通讯等方面的消费需求。本文对兰州市安宁区四所高校在校大学生的信息消费状况进行了调查,发现该地区在校大学生信息消费呈现可支配收入偏低,信息消费结构不合理,信息消费素质偏低等特征。
1调查设计及被调查对象的基本情况
1.1调查问卷的设计
调查问卷主要从信息产品、信息内容、信息服务三个方面进行,对在校大学生的信息产品消费、交通消费、网络通信消费、文化教育娱乐消费、体育健身消费、医疗保健消费、网络购物等信息消费支出情况,以及在校大学生的基本信息、生活费用开支、宿舍用电、信息消费素养、消费类APP的使用情况等进行了调查。
1.2问卷发放及调查对象基本情况
调查主要选取了西北师范大学、甘肃政法学院、兰州交通大学、甘肃农业大学等四所高校在校大学本科生、研究生进行了问卷调查,调查采取当场填写与回收的办法,以提高回收率、独立性、真实性。本次调查结果的数据采用SPSS 22.0软件进行数据统计分析,以保证结果的正确性和可靠性。
2调查结果分析
2.1基本问题分析
2.1.1收入水平
收入水平是影响在校大学生信息消费水平的重要因素,是在校大学生进行信息消费的重要前提之一,同时也是形成信息消费支付能力的重要基础。在校大学生的经济收入大部分来自家庭,少部分来自兼职、勤工助学、助奖学金等,经济收入数额相对稳定且普遍偏低,有62.4%的在校大学生经济收入数额在800-1200元。从性别上来看,大学生的经济收入大多集中在800-1200元,男性大学生占25.5%,女性大学生占37.0%。从年级上来看,经济收入在1200元以上的研究生比重达到46.9%。如图1所示。
分析发现,该区域在校大学生经济收入数额均值为959.9元,1-4年级在校本科大学生以及研究生之间均存在显著差异;男女在校大学生之间也存在显著差异,男性大学生每月的经济收入均值为1012.04元,女性大学生为921.27元,男性大学生比女性大学生平均每月经济收入多90.77元。如表5所示。表4性别*年级*APP是在校大学生进行信息消费的重要渠道。在校大学生手机或者电脑上安装的大部分消费类APP中,最多的是淘宝、美团、支付宝等网络购物类APP,所占比重分别为22.4%,10.6%,20.8%,其它消费类APP基本都在10%以下。对于淘宝、唯品会,看重衣物和化妆品消费,对于美团,则看重其外卖服务。就性别而言,女性大学生安装淘宝APP和唯品会APP的比重比男性大学生大,消费类APP不同性别的大学生大部分都集中在1-4个,但安装10个以上消费类APP的男性大学生稍微比女性大学生多一些。如图3所示。
调查显示,大部分在校大学生对信息消费了解程度不高,女性大学生信息消费素质稍微比男性大学生信息消费素质高一些。绝大多数在校大学生认为信息消费主要包括购买信息产品、购买书籍、报刊、杂志等文化教育消费,看电影、K歌等娱乐性消费,网络通信费用,认为信息消费包括医疗保健和体育健身仅仅占到了3.5%和4.6%。如图4所示。
2.2.1信息产品消费
调查发现,在校大学生对信息产品的需求量非常大。在校大学生在校期间购买的信息产品中,购买手机和电脑的比重达到了80.7%,这只是在校大学生在校期间购买的信息产品,一部分同学是在大学前就已经购买。当然,无论在校大学生什么时候购买手机和电脑,在校大学生会利用它们衍生出更多的信息消费内容,比如在校大学生使用这些信息产品需要产生的网络通信消费,安装APP进行的购物、浏览网页、下载视频、查询资料等信息服务和信息内容的消费。与此同时,这类信息产品由于技术进步速度快,更新速度非常快,服务功能增加快,大学生由于具有相对高的文化素质,对新事物的接受程度高,也喜欢跟随时代潮流,因此在校大学生的信息产品更新换代的速度也是相当迅速,加之对自己的信息产品爱护和保护不当,损坏率和丢失率也相对比较高。
2.2.2信息内容消费
(1)文化教育用品支出。
该区域本科1-4年级在校大学生与研究生平均每月对购买书籍、报刊、杂志、学习资料等文化教育用品支出费用均值分别为69.65元,78.61元,83.65元,84.01元,134.13元,主要集中在100元以下的区间,均值为85.98元。男女在校大学生在文化教育用品方面的支出没有显著差异,本科1-4年级在校大学生之间在文化教育用品方面的支出上无显著差异,但是研究生与本科1-4年级在校大学生之间在文化教育用品方面的支出上存在显著差异,平均每月文化教育用品支出在200元以上的研究生占比达到33.9%。如图5所示。
该区域本科1-4年级在校大学生与研究生平均每月用于看电影、游戏、K歌等娱乐用品支出均值分别为60.47元,62.92元,65.89元,71.32元,101.00元,主要集中在80元以下的区间,均值为69.15元。其中男性大学生支出在140元的比重较女性大学生大,男性大学生娱乐用品支出140元以上在性别内占145%,而女性大学生仅仅占到5.5%。研究生娱乐支出在140元以上的比重较其它年级在校大学生也相对较高。
进一步分析表明,在校大学生平均每月娱乐用品支出在不同性别上存在显著差异,男性大学生支出比女性大学生平均支出多一些,均值分别为75.67元和64.33元,四年级在校大学生与一年级在校大学生,研究生与本科1-4年级之间存在显著差异。一是研究生可以支配的收入比其它年级多一些,二是本科1-4年级各年级的课程多少不同,研究生的课程相比一年级在校大学生、二年级在校大学生的课程少一些,有更多时间来进行这些娱乐用品的消费,三是男性大学生比女性大学生贪玩,在看电影、游戏、K歌等方面的娱乐用品支出费用比女性大学生多一些。
(1)网络通信支出。
在校大学生平均每月网络通讯支出主要集中在40-80元。从性别角度上来讲男性大学生的高消费比女性大学生多一些,男女在校大学生平均每月在网络通讯方面的支出存在显著性差异,男性大学生比女性大学生多一些,在校大学生的均值分别为79.31元和7272元。从年级的角度来看,研究生的高支出比其它年级所占比重大,在160元以上的研究生占合计、年级、选中160元的人中所占比重分别为2.6%,22.6%,578%,其它年级的这三类所占比重分别不到1%,3%,16%,研究生与其它年级在这方面的支出存在明显差异,均值分别为70.13元,70.48元,7215元,7507元,10557元。
网络购物是在校大学生的主要购物方式。调查显示,大部分在校大学生平均每月网络购物费用主要分布在200元以下的区域,这部分同学的网络购物费用与在校大学生的每月收入相比也不算太低,较高消费的比例相对较小,主要集中在研究生人群中,研究生中平均每月网络购物费用在400元以上的占到总数的30%,其它年级均在1%以下,在年级中的占比为266%,其余都在4%以下,在选择400元以上的同学中,研究生所占比重达到52.6%,其余年级均在20.0%以下。研究生与其它本科学生存在明显差异,本科生1-4年级学生与研究生网络购物支出均值分别为154.17元,154.69元,155.35元,167.04元,248.26元。如图10所示。
调查显示,该区域在校大学生在校期间平均每月医疗保健消费支出较少,主要集中在0-30元,均值为38.07元。针对性别在医疗保健消费支出在90-120元及120元以上分析发现,男性大学生在这两个区域的比重比女性大学生大,同时不同性别的大学生之间存在显著性差异,男性大学生的平均支出为40.66元,女性大学生为36.14元。从年级角度分析发现,研究生比其它年级在这两个区域的比重一年级在校大学生些,同时研究生与其它年级之间存在显著性的差异,每个年级的平均支出分别为33.13元,34.03元,35.36元,36.26元,64.57元。
调查显示,在校大学生交通通讯支出均值主要集中在30.92元,不同性别的大学生之间存在明显差异,不同性别的大学生在交通通讯方面的支出均值分别为33.87元和28.74元,男性大学生在60-80元及80元以上区域比女性大学生稍多一些。1-4年级在校本科大学生与研究生交通通讯支出均值分别为25.48元,25.49元,26.35元,34.13元,54.87元。表明在校大学生每月交通通讯支出不多,在校大学生主要在学校周边活动,这与在校大学生每周外出时间少有关,并且以消费费用较低的公共交通通讯工具为主。如图12所示。
3.1收入相对稳定,收入水平偏低
在校大学生每月生活收入相对稳定、相对固定、较为单一。在校大学生的月收入主要来源于家庭给予的生活费用以及勤工助学收入、兼职收入、奖助学金等项内容,相应的,生活费用也不高。男性大学生总体收入比女性大学生较多,研究生由于在年龄、知识、能力等方面存在优势,收入水平比本科生更高,收入来源更广一些。
3.2信息消费结构不合理,理财意识淡薄
该区域在校大学生对医疗保健、交通方面的消费相对较少,主要偏向于信息产品消费、信息内容消费。从信息内容消费来说,主要偏向于文化教育用品、娱乐用品支出。从信息服务消费方面来说,大部分支出偏向于网络通讯方面的支出,对其他方面的信息服务消费支出相对少,表明该区域在校大学生信息消费结构不合理。
将在校大学生在文化教育用品、娱乐用品、网络通讯、网络购物、医疗保健、交通方面的平均支出相加后发现,在校大学生的信息消费支出高达467.61元,占到平均可支配收入的48.7%,接近1/2。表明该区域在校大学生信息消费结构不合理,信息消费支出比重过大,储蓄观念和节约消费意识不够。
3.3信息消费追求时尚,消费内容与互联网联系紧密
在校大学生年纪轻,总体文化水平相比较而言高一些,对新鲜事物的接受能力强,主要追求时尚、个性化的信息消费,同时在校大学生所认为的信息消费大部分与互联网联系在一起,比如网络购物、网络通讯、网络游戏等,很少涉及交通、医疗保健方面,这些方面同样也属于信息消费的范畴。
3.4信息消费素质相对偏低,攀比心理强
大部分在校大学生对信息消费并不是很了解,在平时生活中也很少看信息消费相关的书籍。但是,作为青年消费群体,在校大学生的信息消费具有明显的攀比心理,在丰富多彩、消费更新速度极快的当今社会,极易导致大部分学生超额消费或过度消费,增加自身和家庭的经济负担,影响了后期的信息消费水平。
4影响在校大学生信息消费的主要因素分析
4.1收入水平总体偏低
收入是影响消费的关键因素之一,是在校大学生消费的前提和基础,在校大学生收入水平直接受家庭收入水平影响,同时也为信息消费需求提供重要的支付能力。2015年全国居民人均可支配收入为21966元,甘肃省城镇居民年均可支配收入为20804元人民币,农村居民人均年纯收入仅为5736元人民币,排名中甘肃省垫底。城乡差距大,相比全国平均水平仍然偏低,导致甘肃省整体的信息消费水平偏低,增长速度缓慢。
4.2上网时间相对分散
信息消费呈现出信息化、网络化的特征,信息消费绝大部分需要借助网络平台才能得以实现。在校大学生以学业为主,课后其它事物繁多,上网时间相对分散,绝大部分在校大学生每天上网时间基本都在3小时。加之大部分同学每天的上网时间主要花费在游戏、朋友圈等娱乐性消费和服务性消费上,次生信息消费能力相对较弱,不利于在校大学生整体信息消费水平的提高。
4.3消费类APP数量较少
消费APP软件是在校大学生进行信息消费的主要平台,其数量、功能直接影响到在校大学生信息消费。目前,市场上各类消费类APP参差不齐,功能相对单一,信息安全保障能力相对弱,宣传力度不够,主要集中于诸如淘宝、美团等购物型消费类APP。同时,在校大学生平均拥有的消费类APP数量偏少,仅为3-4个左右。这不利于在校大学生整体信息消费水平的提高。
4.4信息消费素质整体偏低
信息消费是一种知识型和智力型的消费,它对信息消费者的知识与文化水平具有较高的要求,具有多层次性、倍增性、持续性等特点。信息消费素养要求消费者具有利用信息工具及信息资料等来解决问题的技术和技能,从而才能获得更高层次、更高质量、更高效率、更高水平的信息。相同的信息商品,不同的消费者,由于信息消费素质不同,可能产生的信息效应也会有很大差别。该区域在校大学生的文化水平相比较高,但是对于信息消费素质而言,总体偏低,对信息消费了解程度不高,信息化思维以及信息获取、处理、应用的技术和技能不够,极大的制约了信息消费水平的提高。
4.5信息消费基础设施建设不完善
信息消费设施是信息消费的支撑,信息消费设施建设的不完善也将直接影响在校大学生的信息消费活动,比如网络通讯、交通通讯设施等。交通存在大量问题,主要呈现为交通拥堵、公交线路重叠、车辆乱停乱放、立体交通规划滞后、智能交通效果不明显、交通信号控制混乱、人不避车等现象。为缓解交通拥堵,开通了BRT快速公交和水上巴士等,也正在修改、规划和完善交通通讯建设,但由于资金、地形、技术等原因,进展相对缓慢,这些都将会影响在校大学的信息消费水平的提高。
4.6信息消费渠道不完善
据360互联网安全中心宽带测速器高校网速PK数据,全国高校平均网速为2.6M。其中,甘肃政法学院上网带宽仅0.24Mbps,下载速度0.03MB/秒,是网民提交的高校中网速最慢的;而网友提交网速最快的广西生态工程职业技术学院带宽达7.8Mbps,相当于甘肃政法学院的32.5倍。同时兰州市的WIFI覆盖点仅268个,大部分学校也只是部分楼层或者宿舍里有。与此同时,部分高校校园宽带对在校大学生而言价格相对偏高,诸如西北师范大学兰天学生公寓的宽带价格为0.45元/小时。
5提高在校大学生信息消费水平的对策建议
5.1加大政策扶持力度,提高居民收入水平
收入是影响消费的关键因素,增加居民的收入水平,加大对居民的政策扶持是提高该地区在校大学生信息消费水平的前提和基础。因为在校大学生大部分收入来自于家庭,父母有钱孩子才会有钱,父母每月的可支配收入提高了,相应给孩子的钱才会相应的增加。同时政府、学校也应加在校大学生的扶持力度,比如增加奖助学金金额或者奖项,增加勤工助学岗位等,这样在校大学生的收入将会增加,也减轻了家庭的经济负担。
5.2加大技术投入力度,加快信息消费基础设施建设进程
基础设施建设是信息消费的基本保障,良好的基础设施有利于信息消费水平的提高。学校、政府相关部门、企业等因该加快信息消费基础设施的建设,不断对基础设计进行更新,提高技术水平,尤其是网络通讯、医疗保健、交通等方面的建设,使得成本降低,可选择性更强。
同时要拓宽网络覆盖面积,提高网络速度,降低网络通讯费用,良好的网络环境,网络速度同样也是信息消费的保障。学校、政府相关部门、网络运营商应该增加学校及周边的网络覆盖面积,提升网络运行速度,良好的网络速度是信息消费高效的保障,同时对在校大学生多提供一些优惠政策或者套餐,降低网络通讯消费费用,从而也为提高在校大学生在其他方面的信息消费支出的增加提供可能行。
5.3加强大学生信息消费指导,引导科学信息消费观念和意识的快速形成
在校大学生是信息消费的主力军,提高信息消费水平的必备工具就是信息素养,信息消费主体文化水平的高低又决定信息消费素养的高低。在校大学生虽然综合文化素质相对较高,但是对信息消费的素质还不是很高,因此需要加强在校大学生在信息消费领域的教育投入力度,引导在校大学生树立正确、合理、科学的信息消费观和信息消费意识,从而提高在校大学生的信息消费素质和文化水平,特别是加强对在校大学生们医疗保健和体育健身信息消费方面的知识普及,让在校大学生更加了解信息消费,提高自身的信息消费素质。
5.4完善信息消费法律法规,建立健全信息消费环境
信息消费的过程中离不开特定的环境,政府相关部分应建立和完善信息消费相关的法律法规,加大信息消费市场的监管力度,建立公平、公正的市场竞争和交易机制,引导在校大学生甚至居民树立合理、科学的信息消费观,保证消费者的合法权益,为在校大学生的信息消费提供保障,促进该区域在校大学生信息消费水平的提高。
参考文献
[1]刘红梅,王克强,陈立俊.在校大学生行为及其引致消费市场的经济分析[M].上海:上海财经大学,2008:145.
[2]冯秋明.信息的海洋[M].成都:四川教育出版社,1990:1.
[3]刘诗白,邹广严.新世纪企业家百科全书(第四卷)[M].中国言实出版社,1999:2522.
[4]王恒玉,刘单玉.西北地区农村居民信息消费现状及发展对策研究――以甘肃为例[J].江西农业学报.2013,(8):142143.
医学信息学医疗信息化PBL教学医疗信息化,即医疗服务的数字化、网络化,是指通过计算机科学和现代网络通信技术及数据库技术,为各医院之间以及医院所属各部门之间提供病人信息和管理信息的收集、存储、处理、提取和数据交换,并满足所有授权用户的功能需求。是目前国家卫生信息化建设的重点工程,也是各医院现代化建设的热点和趋势,在《全国卫生信息化发展规划纲要(2003-2010年)》中有提到:充分利用信息技术,改造和规范医院管理流程,降低医疗成本,增强管理效率,提升医院的竞争能力和服务水平,实现医院资源最优配置,建立网络化、智能化、数字化的全方位服务模式。可见,医院信息化建设是医学科学发展和医院现代化管理的必然趋势。
在我国,早期主要从事的是狭义数字化医院建设,即医院的“无纸化、无胶片化”建设,实现了医院事务的处理与应用。近10年来,国内越来越多的医疗单位开展了医院信息系统的构建、集成,业务范围从费用管理向临床、医技等方面扩展,EMR(电子病历系统)、PACS(医学影像存储与传输系统)、RIS(放射科信息管理系统)纷纷进入医院。通过IT手段的引入,传统医学模式被打破,使得我国在疾病预防、保健、诊治、护理等方面实现了“全网络(多系统全面高性能网络化)、全方位(医教研诸方面)、全关联(医院、社会、银行、社区、家庭全面关联)”为主要特征的广义数字化医院建设,实现了病人信息采集、编码、存储与传输以及医学图像处理和远程医疗等诸多方面的数字化运作。纵观医院数字化建设进程,可以发现医疗卫生信息化不是一成不变的,是需要不断改进和再开发的。在信息化医疗建设中涉及的学科较多,要求的知识面广,专业技术性强,若由医务人员直接从事信息系统构建,因自身不具备从事信息工
作的相关知识和技能存在一定的难度,而IT人员缺乏医学专业知识,在构建信息化系统时需要熟悉医疗卫生的业务流程,其在系统分析上存在较长的医学适应期,由此可见,具备单一知识背景的人员是无法胜任的,所以复合型的医学信息人才对我国医院信息化建设是不可或缺的。试想如果在医学环境中培养信息人才,不但可以使其熟悉医学环境、医院业务,深入理解医学信息的意义,而且还能具备可自主工作的计算机技能,能从事医学信息系统的研究、分析及开发,能够利用信息科学的知识来解决医学问题、服务于医学,成为适应社会发展需要的复合型医学信息人才。为此,我校积极准备于2008年获得教育部批准面向全国招收电子信息科学与技术(医学信息方向)本科专业,现有两届毕业生,全日制在校生100多人。经过几年医学信息学专业课的教学和摸索,我们发现培养医学信息专业人才加强与医学知识的融合是十分必要的。首先,医学专业具有特殊性,医院的信息量多而杂,形式多种多样,要求医院的信息人员必须具备特殊的知识结构,既掌握信息技术,又具备医学知识背景、熟悉医院业务,能在海量的医学信息中运用现代化信息技术手段进行有效地收集、整理、存储和传输,并能挖掘出可利用的医学信息。其次,医学院校开设信息专业教育没有医学特色是一大垢病;而丧失了医学特色的医学信息专业毕业生,不仅与工科院校或综合院校信息专业毕业生相比没有竞争优势,毕业证上的“医学院校”印记反而会成为学生就业找工作时的重大不利因素。
传统计算机专业教学中,存在授课教师专业限制情况,所设计的实践开发项目基本不涉及医学内容,多数是与非医疗卫生行业有关的开发,难以使学生明确在信息化管理中医学信息的规律和特点,更没有紧密地将理论和实际相结合,从而影响了学生的动手能力和开发创新精神。可想而知,如若这般要想设计、开发医疗软件或将来就业医疗信息行业将会是怎样一番景象!我国医学信息学领域的著名学者、南京中医药大学丁宝芬教授曾经说过“医学信息学不是简单的‘医学+计算机’,而是用计算机的思维方式来解决医学领域的相关问题,并在不同结合点上进行创新和重建。”综上所述,如何行之有效的将信息学知识和医学内容整合,是医学信息学人才教育中值得重点探讨的问题。医学是信息学要处理的对象,如若想将两者有效的整合,应该在学生学习信息学相关课程前进行必要的医学背景知识教育,这样在实践教学时学生比较容易理解和掌握,尽量在信息课程中体现医学特色,例如在PACS系统中就涉及医学影像学,甚至是解剖学等有关医学知识,如果在此之前学生已经进行过相应知识的学习,那么在讲解时就更容易理解。
在学时有限的情况下如何实践与医学知识的融合,或者说该如何在实践中强化我校医学信息方向学生的医学能力培养,就成为我们在教育中所面临的问题。
一、采用基于问题的学习(Problem-Based Learning,PBL)
在教育部深化教学改革,提高教学质量的倡导下,各大高校都在压缩本科生的总学时数,为了保证信息方向学生计算机专业课的授课时数,学生接受的医学教育就相对匮乏,医学课程的课时减少导致理论讲解多于实践,学生几乎没有医学领域的经历,接受起来也比较抽象不好理解,对医疗卫生事业的背景知识认识不足。基于该专业的培养方向和特点,学生毕业后主要是从事医学信息系统分析、设计、管理和维护,并不是去医院接诊病人,所以在医学知识的接触层面上,要求广度而非深度。在教学中为了能拓展学生对于医学知识的广度可采用基于问题的学习(Problem -Based Learning,PBL),将学习与医学问题挂钩,培养学生学习医学知识的内部动机,激发学生的创造性思维和创新能力。把医学信息系统所涉及各子模块的需求分析、业务流程作为问题开展教学活动,让学生置身于未知、混乱和复杂的医学情境中,成为主体自己去查询信息、收集资料、分析问题、学习解决该问题所需的医学知识,进行独立思考、探索,有步骤、有计划地解决问题。亦可通过学习者的合作来发现隐含在问题背后的科学知识,以小组讨论的形式,在其消化吸收后以汇报的形式进行讲解、讨论。学生能有充分的自由各抒己见,这样既可以提高学生的学习兴趣,也可以使学生在讨论交流中轻松获取知识,提升解决问题的技能和自主学习的能力。雅斯贝尔斯曾说过:“只有导向教育的自我强迫,才会对教育产生效用,而其他所有外在强迫都不具有教育作用”。
二、采用社会流合作,实现多种学习途径相整合
学生在进行医院信息系统需求分析时由于缺乏对医学的感性认识或体验,无法充分理解用户的需求,在实际业务需求的沟通上存在障碍,不了解医院信息流的底层结构,不熟悉医院部门之间的密切关联,容易出现需求分析与实际业务脱节现象,无法实现医院最优化的业务处理。有的甚至连医院的基本业务流程都不清楚,对医院各部门相互协作关系的认识比较模糊,不知道如何下手分析需求,又何谈深入理解,而这些内容对于医学信息系统开发至关重要。解决的办法可以采用社会性合作,比如增加医院调研、见习和医院信息科或医药软件公司实习等环节使学生熟悉医院工作环境,并接触可能遇到的各种问题,争取医院信息系统实际操作的机会,提供医院相关业务流程的感性认识,弥补缺乏与医院相关的支持系统课程的脱节衔接、进行整合和融合,提高医疗信息化领域的竞争力。通过医院调研完成相关业务调研报告;通过见习了解就诊程序、科室的业务流程和相互关联以及医院的管理;通过毕业实习熟悉医院等卫生机构的日常工作,医院信息系统的运行和维护等,加强学生实际操作的训练,提高学生分析与解决问题的能力和水平。
我国卫生部已经初步确定了我国卫生信息化建设路线图,简称“3521工程”,即建设国家级、省级和地市级三级卫生信息平台;加强公共卫生、医疗服务、新农合、基本药物制度、综合管理5项业务应用;建设健康档案和电子病历2个基础数据库和1个专用网络建设。我国的医疗信息化发展只有起点,没有终点,具有广阔的发展空间,我们要把拓宽学生的知识面、提升实践能力、提高素质结构作为培养目标,使学生能适应未来的人才市场需要,成为应用型、技能型、复合型的高级人才,真正做到学有所用,从根本上解决用人单位既懂医学又掌握信息技术的复合型人才短缺问题。
参考文献:
[1]中华人民共和国卫生部.全国卫生信息化发展规划纲要(2003-2010年)[EB/OL].[2002-11-05].
[2]袁静,刘国伟.军队医院数字化建设目标体系分析[J].医院管理杂志,2013,20(2):109-110.
[3]程艳敏,刘岩,杨凤丽等.医学信息专业在校生专业认知现状与问题调查[J].医学信息学杂志,2009,30(4):40-43.
[4]刘秋鸽.论走向对话的高校师生关系[J].文教资料,2009(10):198-199.
【 关键词 】 高级隐遁技术;高级持续性攻击;检测方法
China’s Situation of Protection Techniques against Special Network Attacks
Xu Jin-wei
(The Chinese PLA Zongcan a Research Institute Beijing 100091)
【 Abstract 】 By the end of 2013,the author visited more than ten domestic well-known information security companies to make a special investigation and research on the focused “APT” attack issue. During the visit, the author made deeply exchange and discussion with the first-line professional research and management personnel and gained much knowledge. This article mainly introduces the present situation of protect technology construction by some of domestic information security companies against network attacks, as an inspiration to the colleagues?and units in the information security industry.
【 Keywords 】 advanced evasion techniques; advanced persistent threat; detection methods
1 引言
2010年发生的“震网”病毒对伊朗布什尔核电站离心机的攻击和2013年的“斯诺登”事件,标志着信息安全进入了一个全新的时代:新型攻击者(国家组织的专业团队),采用全新的方式(APT[注1])攻击国家的重要基础设施。
APT攻击因其采用了各种组合隐遁技术,具有极强的隐蔽攻击能力,传统的依赖攻击特征库比对模式的IDS/IPS无法检测到它的存在,APT攻击得手后并不马上进行破坏的特性更是难以发觉。它甚至能在重要基础网络中自由进出长时间潜伏进行侦察活动,一旦时机成熟即可通过在正常网络通道中构筑的隐蔽通道盗取机密资料或进行目标破坏活动,APT的出现给网络安全带来了极大危害。目前在西方先进国家,APT攻击已经成为国家网络安全防御战略的重要环节。例如,美国国防部的High Level网络作战原则中,明确指出针对APT攻击行为的检测与防御是整个风险管理链条中至关重要也是最基础的组成部分。
从资料中得知,国外有些著名的信息安全厂商和研究机构,例如美国电信公司Verizon Business的ICSA实验室,芬兰的Stonesoft公司几年前就开展了高级隐遁技术的研究;2013年美国的网络安全公司FireEye(FEYE)受到市场追捧,因为FireEye能够解决两大真正的安全难题――能够阻止那种许多公司此前无法阻止的网络攻击,即所谓的“零天(Zeroday)”攻击和“高级持续性威胁(APT)”。零天攻击是指利用软件厂商还未发现的软件漏洞来发动网络攻击,也就是说,黑客在发现漏洞的当天就发动攻击,而不会有延迟到后几天再发动攻击,软件厂商甚至都来不及修复这些漏洞。高级持续性威胁则是由那些想进入特殊网络的黑客所发动的一系列攻击。FireEye的安全应用整合了硬件和软件功能,可实时通过在一个保护区来运行可疑代码或打开可疑电子邮件的方式来查看这些可疑代码或可疑电子邮件的行为,进而发现黑客的攻击行为。
APT攻击的方式和危害后果引起了我国信息安全管理机构和信息安全专业检测及应急支援队伍的高度重视。国家发改委在关于组织实施2013年信息安全专项通知中的 “信息安全产品产业化”项目中,首次明确指明“高级可持续威胁(APT)安全监测产品”是支持重点产品之一。我国的众多信息安全厂商到底有没有掌握检测和防护APT的技术手段?2013年底,带着这个疑问专门走访了几家对此有研究和技术积累的公司,听取了他们近年来在研究防护APT攻击方面所取得的成果介绍,并与技术人员进行了技术交流。
2 高级隐遁技术(AET[注2])
根据IMB X-force小组针对2011年典型攻击情况的采样分析调查,如图1所示可以看出,有许多的攻击是未知(Unknown)原因的攻击。Gartner《Defining Next-Generation Network Intrusion Prevention》文章中也明确提出了利用先进技术逃避网络安全设备检查的事件越来越多。同时,NSS Lab最新的IPS测试标准《NSS Labs ips group 渗透测试工具t methodology v6.2》,已经把layered evasion(也就是AET)作为必须的测试项。
结合近年情况,各国基础网络和重要信息系统所面临的最新和最大的信息安全问题,即APT攻击,我们相信高级隐遁技术有可能已经在APT中被黑客广泛采用。
目前,各企事业单位为了应对网络外部攻击威胁,均在网络边界部署了入侵检测系统(简称IDS)和入侵防御系统(简称IPS),这些措施确实有效地保护了企业内部网络的安全。黑客们为了试图逃避IPS这类系统的检测,使用了大量的逃避技术。近年来,国外信息安全机构发现了一套新型逃避技术,即将以前的逃避技术进行各种新的组合,以增加IPS对入侵检测的难度。这些新型逃避技术,我们称之为高级隐遁技术(AET)。AET可利用协议的弱点以及网络通信的随意性,从而使逃避技术的数量呈指数级增长,这些技术的出现对信息安全而言无疑是个新的挑战。
使用畸形报头和数据流以及迷惑性代码调用的AET攻击的原理:包含AET攻击代码的非常规IP数据流首先躲避过IDS/IPS的检测,悄悄渗透到企业网中;之后,这些数据流被用规范方式重新组装成包并被发送至目标终端上。以上过程看似正常,但这样的IP包经目标终端翻译后,则会形成一个可攻击终端系统的漏洞利用程序,从而给企业的信息资源造成大规模破坏,只留下少量或根本不会留下任何审计数据痕迹,这类攻击就是所谓的隐遁攻击。
2.1 常见的高级隐遁技术攻击方法
常见的高级隐遁技术攻击方法有字符串混淆、加密和隧道、碎片技术和协议的违规。这些仅列举了TCP协议某层的几种隐遁攻击的技术,实际上高级隐遁技术千变万化,种类叠加后更是天文数字。
2.2 高级隐遁技术的测试
为了研究AET的特点,研发AET检测、防护工具,国内有必要搭建自己的高级隐遁监测审计平台来对现有的网络安全设备进行测试和分析,并根据检测结果来改进或重新部署现有网络中的网络安全设备。
国内某信息安全公司最近研制成功一款专门针对高级隐遁技术测试的工具CNGate-TES。CNGate-TES有针对CVE-2008-4250/CVE-2004-1315/CVE-2012-0002漏洞的各种组合、叠加隐遁模拟的测试工具,从IP、TCP、NetBios、SMB、MSRPC、HTTP等各层都有自己相应的隐遁技术。各个层之间的隐遁可以互相叠加组合,同一层内的隐遁技术也可以互相叠加组合。
测试的目的是检验网络中的IDS/IPS是否具备检测和防护AET的能力。
CNGate-TES测试环境部署如图2所示。
3 下一代威胁与 APT
下一代威胁主要是指攻击者采取了现有检测体系难以检测的方式(未知漏洞利用、已知漏洞变形、特种木马等),组合各种其他手段(社会工程、钓鱼、供应链植入等),有针对性地对目标发起的攻击。这种攻击模式能有效穿透大多数公司的内网防御体系,攻击者成功控制了内网主机之后,再进行内部渗透或收集信息。
对信息系统的下一代威胁和特征有几点。
0DAY漏洞威胁:0DAY漏洞由于系统还未修补,而大多数用户、厂商也不知道漏洞的存在,因此是攻击者入侵系统的利器。也有很多利用已修复的漏洞,但由于补丁修复不普遍(如第三方软件),通过变形绕过现有基于签名的检测体系而发起攻击的案例。
多态病毒木马威胁:已有病毒木马通过修改变形就可以形成一个新的未知的病毒和木马,而恶意代码开发者也还在不断开发新的功能更强大的病毒和木马,他们可以绕过现有基于签名的检测体系发起攻击。
混合性威胁:攻击者混合多种路径、手段和目标来发起攻击,如果防御体系中存在着一个薄弱点就会被攻破,而现有安全防御体系之间缺乏关联而是独立防御,即使一个路径上检测到威胁也无法将信息共享给其他的检测路径。
定向攻击威胁:攻击者发起针对具体目标的攻击,大多数情况下是从邮件、IM、SNS发起,因为这些系统账户背后标记的都是一个真实固定的人,而定向到人与他周边的关系,是可以在和攻击者目标相关的人与系统建立一个路径关系。定向攻击如果是小范围发起,并和多种渗透手段组合起来,就是一种APT攻击,不过定向攻击也有大范围发起的,这种情况下攻击者出于成本和曝光风险考虑,攻击者往往使用已知的安全漏洞来大规模发起,用于撒网和捞鱼(攻击一大片潜在受害者,再从成功攻击中查找有价值目标或作为APT攻击的渗透路径点)。
高级持续性威胁: APT是以上各种手段(甚至包括传统间谍等非IT技术手段)的组合,是威胁中最可怕的威胁。APT是由黑客团队精心策划,为了达成即定的目标,长期持续的攻击行为。攻击者一旦攻入系统,会长期持续的控制、窃取系统信息,关键时也可能大范围破坏系统,会给受害者带来重大的损失(但受害者可能浑然不知)。APT攻击,其实是一种网络情报、间谍和军事行为。很多时候,APT都具有国家和有政治目的组织的背景,但为了商业、知识产权和经济目的的APT攻击,也不少见。
3.1 APT攻击过程和技术手段
APT攻击可以分为大的三个环节,每个环节具体的工作内容,如图3所示。
在攻击前奏环节,攻击者主要是做入侵前的准备工作。主要是收集信息:了解被攻击目标的IT环境、保护体系、人际关系、可能的重要资产等信息,用于指导制定入侵方案,开发特定的攻击工具。在收集信息时,攻击者可以利用多种方式来收集信息,主要有网络公开信息收集、钓鱼收集、人肉搜集、嗅探、扫描等,信息收集是贯穿全攻击生命周期的,攻击者在攻击计划中每获得一个新的控制点,就能掌握更多的信息,指导后续的攻击。
技术准备:根据获取的信息,攻击者做相应的技术准备,主要有入侵路径设计并选定初始目标,寻找漏洞和可利用代码及木马(漏洞、利用代码和木马,我们统称为攻击负载),选择控制服务器和跳板。
周边渗透准备:入侵实际攻击目标可信的外部用户主机、外部用户的各种系统账户、外部服务器、外部基础设施等。
在入侵实施环节,攻击者针对实际的攻击目标,展开攻击;主要内容有攻击者利用常规的手段,将恶意代码植入到系统中;常见的做法有通过病毒传播感染目标、通过薄弱安全意识和薄弱的安全管理控制目标,利用缺陷入侵、漏洞入侵、通过社会工程入侵、通过供应链植入等。
SHELLCODE执行:大多数情况攻击者利用漏洞触发成功后,攻击者可以在漏洞触发的应用母体内执行一段特定的代码(由于这段代码在受信应用空间内执行,很难被检测),实现提权并植入木马。
木马植入:木马植入方式有远程下载植入、绑定文档植入、绑定程序植入、激活后门和冬眠木马。
渗透提权:攻击者控制了内网某个用户的一台主机控制权之后,还需要在内部继续进行渗透和提权,最终逐步渗透到目标资产存放主机或有特权访问攻击者目标资产的主机上,到此攻击者已经成功完成了入侵。
在后续攻击环节,攻击者窃取大量的信息资产或进行破坏,同时还在内部进行深度的渗透以保证发现后难以全部清除,主要环节有价值信息收集、传送与控制、等待与破坏;一些破坏性木马,不需要传送和控制,就可以进行长期潜伏和等待,并按照事先确定的逻辑条件,触发破坏流程,如震网,探测到是伊朗核电站的离心机环境,就触发了修改离心机转速的破坏活动,导致1000台离心机瘫痪。
深度渗透:攻击者为了长期控制,保证被受害者发现后还能复活,攻击者会渗透周边的一些机器,然后植入木马。
痕迹抹除:为了避免被发现,攻击者需要做很多痕迹抹除的工作,主要是销毁一些日志,躲避一些常规的检测手段等。
3.2 APT检测方法
随着APT攻击被各国重视以来,一些国际安全厂商逐步提出了一些新的检测技术并用于产品中,并且取得了良好的效果,这些检测技术主要有两种。
虚拟执行分析检测:通过在虚拟机上执行检测对抗,基于运行行为来判定攻击。这种检测技术原理和主动防御类似,但由于不影响用户使用,可以采用更深更强的防绕过技术和在虚拟机下层进行检测。另外,可疑可以由对安全研究更深入的人员进行专业判定和验证。国外多家厂商APT检测的产品主要使用该技术。
内容无签名算法检测:针对内容深度分析发现可疑特征,再配合虚拟执行分析检测。该技术需要对各种内容格式进行深入研究,并分析攻击者负载内容的原理性特征。该技术可以帮助快速过滤检测样本,降低虚拟执行分析检测的性能压力,同时虚拟执行分析检测容易被对抗,而攻击原理性特征比较难绕过。国外几个最先进的APT检测厂商检测的产品里部分使用了该技术。
国内某公司总结了近年来对APT攻击特点的研究和检测实践,提出了建立新一代安全检测体系的设想。
3.2.1基于攻击生命周期的纵深检测体系
从攻击者发起的攻击生命周期角度,可以建立一个纵深检测体系,覆盖攻击者攻击的主要环节。这样即使一点失效和被攻击者绕过,也可以在后续的点进行补充,让攻击者很难整体逃逸检测。
信息收集环节的检测:攻击者在这个环节,会进行扫描、钓鱼邮件等类型的刺探活动,这些刺探活动的信息传递到受害者网络环境中,因此可以去识别这类的行为来发现攻击准备。
入侵实施环节的检测:攻击者在这个环节,会有基于漏洞利用的载体、木马病毒的载体传递到受害者网络环境中,因此可以去识别这类的行为和载体来发现攻击发起。
木马植入环节:攻击者在这个环节,会释放木马并突破防御体系植入木马。因此可以去识别这类的行为来发现入侵和入侵成功。
控制窃取与渗透环节:攻击者在这个环节,会收集敏感信息,传递敏感信息出去,与控制服务器通讯,在本地渗透等行为。因此可以去识别已经受害的主机和潜在被攻击的主机。
3.2.2基于信息来源的多覆盖检测
从攻击者可能采用的攻击路径的角度,可以建立一个覆盖广泛的检测体系,覆盖攻击者攻击的主要路径。这样避免存在很大的空区让攻击者绕过,同时增加信息的来源度进行检测。
从攻击载体角度覆盖:攻击者发起攻击的内容载体主要包括:数据文件、可执行文件、URL、HTML、数据报文等,主要发起来源的载体包括邮件、HTTP流量和下载、IM通讯、FTP下载、P2P通讯。
双向流量覆盖:攻击者在信息收集环节、入侵实施环节主要是外部进入内部的流量。但在木马植入环节、控制窃取与渗透环节,则包含了双向的流量。对内部到外部的流量的检测,可以发现入侵成功信息和潜在可疑已被入侵的主机等信息。
从攻击类型角度覆盖:覆盖主要的可以到达企业内容的攻击类型,包括但不限于基于数据文件应用的漏洞利用攻击、基于浏览器应用的漏洞利用攻击、基于系统逻辑的漏洞利用攻击、基于XSS、CSRF的漏洞利用攻击、进行信息收集的恶意程序的窃取、扫描、嗅探等。
从信息来源角度覆盖:主要覆盖网络流来收集流量,但是考虑到加密流量、移动介质带入的攻击等方式,还需要补充客户端检测机制。同时为了发现更多的可疑点,针对主机的日志挖掘,也是一个非常重要的信息补充。
3.2.3基于攻击载体的多维度检测
针对每个具体攻击载体点的检测,则需要考虑多维度的深度检测机制,保证攻击者难以逃过检测。
基于签名的检测:采用传统的签名技术,可以快速识别一些已知的威胁。
基于深度内容的检测:通过对深度内容的分析,发现可能会导致危害的内容,或者与正常内容异常的可疑内容。基于深度内容的检测是一种广谱但无签名检测技术,让攻击者很难逃逸,但是又可以有效筛选样本,降低后续其他深度分析的工作量。
基于虚拟行为的检测:通过在沙箱中,虚拟执行漏洞触发、木马执行、行为判定的检测技术,可以分析和判定相关威胁。
基于事件关联的检测:可以从网络和主机异常行为事件角度,通过分析异常事件与发现的可疑内容事件的时间关联,辅助判定可疑内容事件与异常行为事件的威胁准确性和关联性。
基于全局数据分析的检测:通过全局收集攻击样本并分析,可以获得攻击者全局资源的信息,如攻击者控制服务器、协议特征、攻击发起方式,这些信息又可以用于对攻击者的检测。
对抗处理与检测:另外需要考虑的就是,攻击者可以采用的对抗手段有哪些,被动的对抗手段(条件触发)可以通过哪些模拟环境手段仿真,主动的对抗手段(环境检测)可以通过哪些方式检测其对抗行为。
综上所述,新一代的威胁检测思想,就是由时间线(攻击的生命周期)、内容线(信息来源覆盖)、深度线(多维度检测),构成一个立体的网状检测体系,攻击者可能会饶过一个点或一个面的检测,但想全面地逃避掉检测,则非常困难。只有逐步实现了以上的检测体系,才是一个最终完备的可以应对下一代威胁(包括APT)的新一代安全检测体系。
4 结束语
结合目前我国防护特种网络攻击技术现状,针对AET和APT的防护提出三点建议。
一是国家信息安全主管部门应将高级隐遁攻击和APT技术研究列入年度信息安全专项,引导国内信息安全厂商重点开展针对高级隐遁攻击和高级持续性威胁的防御技术研发,推动我国具有自主知识产权的新一代IDS和IPS产品产业化。
二是有条件的网络安全设备厂商应建设网络攻防实验室,搭建仿真实验环境,对网络IDS/IPS进行高级隐遁技术和APT的攻防测试,收集此类攻击的案例,积累检测和防御此类攻击的方法和经验。
三是在业界成立“防御特种网络攻击”学术联盟,定期开展学术交流并尝试制定特网攻击应急响应的防护技术要求和检测标准。
[注1] APT(Advanced Persistent Threat)直译为高级持续性威胁。这种威胁的特点:一是具有极强的隐蔽能力和很强的针对性;二是一种长期而复杂的威胁方式。它通常使用特种攻击技术(包括高级隐遁技术)对目标进行长期的、不定期的探测(攻击)。
[注2] AET(Advanced Evasion Techniques),有的文章译为高级逃避技术、高级逃逸技术,笔者认为译为高级隐遁技术比较贴切,即说明采用这种技术的攻击不留痕迹,又可躲避IDS、IPS的检测和阻拦。
参考文献
[1] 关于防御高级逃逸技术攻击的专题报告.
[2] Mark Boltz、Mika Jalava、Jack Walsh(ICSA实验室)Stonesoft公司.高级逃逸技术-避开入侵防御技术的新方法和新组合 .
[3] 恶意代码综合监控系统技术白皮书.国都兴业信息审计系统技术(北京)有限公司.
[4] 杜跃进.从RSA2012看中国的网络安全差距.2012信息安全高级论坛.
[5] 张帅.APT攻击那些事.金山网络企业安全事业部.
[6] 徐金伟,徐圣凡.我国信息安全产业现状调研报告.2012.5.
[7] 徐金伟.我国专业公司网络流量监控技术现状. 2012.6.
[8] 北京科能腾达信息技术股份有限公司.CNGate-TES测试手册.
[9] 南京翰海源信息技术有限公司.星云2技术白皮书V1.0.