㈠ 南京理工大學江陰校區是幾本
南京理工大學江陰校區是一本類院校。南京理工大學江陰校區(以下簡稱「江陰校區」)坐落在素有「春申舊封」、「忠義之邦」之稱的「芙蓉城」江陰,地處蘇錫常「幾何中心」,北枕長江,南眺太湖,手挽運河,是學校落實工業和信息化部、教育部、江蘇省人民政府共建南京理工大學的重要舉措和服務「長三角一體化發展戰略」的「橋頭堡」。
南京理工大學江陰校區是學校不可分割的普通高等教育功能區和對外合作辦學的主要校區,是學校「一校三區」辦學布局的重點工程。校區堅持高起點、高標准、高質量辦學,是學校服務「兩個強國」的先行區、新興交叉學科的先試區和國際化辦學的示範區。
(1)橋頭堡網路安全擴展閱讀:
南京理工大學江陰校區設置基礎教學與實驗中心、中法工程師學院、網路空間安全學院、智能製造學院、新能源學院、工業互聯網研究院、志道書院、鼎新研究院、國際教育學院、江陰學院、動商研究院等教學科研機構。
重點發展現代裝備製造、新材料、新能源、微電子、網路空間安全、工商管理、公共管理、項目管理、社會工作等相關學科方向;建設機械工程、材料科學與工程、智能製造工程、網路空間安全、信息管理與信息系統、新能源科學與工程等特色專業。
㈡ 橋頭堡建設是什麼意思啊
2009年7月,國家主席錦濤考察雲南後提出把雲南建成中國面向東南亞、南亞及印度洋的橋頭堡,把雲南建成中國沿邊開放經濟區。雲南具有良好的區位優勢和對東南亞、南亞地區的輻射功能,擁有國內首屈一指的民航運輸網路。目前,整個橋頭堡的框架已大致清晰,即雲南將在國際大通道與進出口加工基地建設,以及大湄公河次區域、中國-東盟自由貿易區、孟中印緬合作機制建設等主要方面取得新的突破。橋頭堡建設即是經濟需要也是國家安全需要,這條從雲南經由緬甸直達印度洋的大通道,要比目前經東南沿海繞道馬六甲海峽進入印度洋的行程短3000公里左右。據統計,目前中國出口貨物有42%,原油進口的90%均經馬六甲。一旦印度洋大通道貫通,雲南將不再是一個傳統意義上的邊陲,而成為開放的前沿,使中國能夠突破馬六甲封鎖,具有巨大的國家戰略意義。
雲南將藉助橋頭堡戰略打造滇中城市經濟圈、八個沿邊經濟區和四條經濟走廊。
㈢ 防火牆是什麼為什麼只裝殺毒軟體不夠還要有防火牆呢
1.什麼是防火牆?
防火牆是一個或一組系統,它在網路之間執行訪問控制策略。實現防火牆的實際方式各不相同,但是在原則上,防火牆可以被認為是這樣一對機制:一種機制是攔阻傳輸流通行,另一種機制是允許傳輸流通過。一些防火牆偏重攔阻傳輸流的通行,而另一些防火牆則偏重允許傳輸流通過。了解有關防火牆的最重要的概念可能就是它實現了一種訪問控制策略。如果你不太清楚你需要允許或否決那類訪問,你可以讓其他人或某些產品根據他(它)們認為應當做的事來配置防火牆,然後他(它)們會為你的機構全面地制定訪問策略。
2.為何需要防火牆?
同其它任何社會一樣,Internet也受到某些無聊之人的困擾,這些人喜愛在網上做這類的事,像在現實中向其他人的牆上噴染塗鴉、將他人的郵箱推倒或者坐在大街上按汽車喇叭一樣。一些人試圖通過Internet完成一些真正的工作,而另一些人則擁有敏感或專有數據需要保護。一般來說,防火牆的目是將那些無聊之人擋在你的網路之外,同時使你仍可以完成工作。
許多傳統風格的企業和數據中心都制定了計算安全策略和必須遵守的慣例。在一家公司的安全策略規定數據必須被保護的情況下,防火牆更顯得十分重要,因為它是這家企業安全策略的具體體現。如果你的公司是一家大企業,連接到Internet上的最難做的工作經常不是費用或所需做的工作,而是讓管理層信服上網是安全的。防火牆不僅提供了真正的安全性,而且還起到了為管理層蓋上一條安全的毯子的重要作用。
最後,防火牆可以發揮你的企業駐Internet「大使」的作用。許多企業利用其防火牆系統作為保存有關企業產品和服務的公開信息、下載文件、錯誤修補以及其它一些文件的場所。這些系統當中的幾種系統已經成為Internet服務結構(如UUnet.uu.net、whitehouse.gov、gatekeeper.dec.com)的重要組成部分,並且給這些機構的贊助者帶來了良好的影響。
3.防火牆可以防範什麼?
一些防火牆只允許電子郵件通過,因而保護了網路免受除對電子郵件服務攻擊之外的任何攻擊。另一些防火牆提供不太嚴格的保護措施,並且攔阻一些眾所周知存在問題的服務。
一般來說,防火牆在配置上是防止來自「外部」世界未經授權的互動式登錄的。這大大有助於防止破壞者登錄到你網路中的計算機上。一些設計更為精巧的防火牆可以防止來自外部的傳輸流進入內部,但又允許內部的用戶可以自由地與外部通信。如果你切斷防火牆的話,它可以保護你免受網路上任何類型的攻擊。
防火牆的另一個非常重要的特性是可以提供一個單獨的「攔阻點」,在「攔阻點」上設置安全和審計檢查。與計算機系統正受到某些人利用數據機撥入攻擊的情況不同,防火牆可以發揮一種有效的「電話監聽」(Phone tap)和跟蹤工具的作用。防火牆提供了一種重要的記錄和審計功能;它們經常可以向管理員提供一些情況概要,提供有關通過防火牆的傳流輸的類型和數量以及有多少次試圖闖入防火牆的企圖等等信息。
4.防火牆不能防範什麼?
防火牆不能防範不經過防火牆的攻擊。許多接入到Internet的企業對通過接入路線造成公司專用數據數據泄露非常擔心。不幸得是,對於這些擔心來說,一盤磁帶可以被很有效地用來泄露數據。許多機構的管理層對Internet接入非常恐懼,它們對應當如何保護通過數據機撥號訪問沒有連慣的政策。當你住在一所木屋中,卻安裝了一扇六英尺厚的鋼門,會被認為很愚蠢。然而,有許多機構購買了價格昂貴的防火牆,但卻忽視了通往其網路中的其它幾扇後門。要使防火牆發揮作用,防火牆就必須成為整個機構安全架構中不可分割的一部分。防火牆的策略必須現實,能夠反映出整個網路安全的水平。例如,一個保存著超級機密或保密數據的站點根本不需要防火牆:首先,它根本不應當被接入到Internet上,或者保存著真正秘密數據的系統應當與這家企業的其餘網路隔離開。
防火牆不能真正保護你防止的另一種危險是你網路內部的叛變者或白痴。盡管一個工業間諜可以通過防火牆傳送信息,但他更有可能利用電話、傳真機或軟盤來傳送信息。軟盤遠比防火牆更有可能成為泄露你機構秘密的媒介!防火牆同樣不能保護你避免愚蠢行為的發生。通過電話泄露敏感信息的用戶是社會工程(social engineering)的好目標;如果攻擊者能找到內部的一個「對他有幫助」的雇員,通過欺騙他進入數據機池,攻擊者可能會完全繞過防火牆打入你的網路。
5.防火牆能否防止病毒的攻擊?
防火牆不能有效地防範像病毒這類東西的入侵。在網路上傳輸二進制文件的編碼方式太多了,並且有太多的不同的結構和病毒,因此不可能查找所有的病毒。換句話說,防火牆不可能將安全意識(security-consciosness)交給用戶一方。總之,防火牆不能防止數據驅動的攻擊:即通過將某種東西郵寄或拷貝到內部主機中,然後它再在內部主機中運行的攻擊。過去曾發生過對不同版本的郵件寄送程序和幻像腳本(ghostscript)和免費PostScript閱讀器的這類攻擊。
對病毒十分憂慮的機構應當在整個機構范圍內採取病毒控制措施。不要試圖將病毒擋在防火牆之外,而是保證每個脆弱的桌面系統都安裝上病毒掃描軟體,只要一引導計算機就對病毒進行掃描。利用病毒掃描軟體防護你的網路將可以防止通過軟盤、數據機和Internet傳播的病毒的攻擊。試圖御病毒於防火牆之外只能防止來自Internet的病毒,而絕大多數病毒是通過軟盤傳染上的。
盡管如此,還是有越來越多的防火牆廠商正提供「病毒探測」防火牆。這類防火牆只對那種交換Windows-on-Intel執行程序和惡意宏應用文檔的毫無經驗的用戶有用。不要指望這種特性能夠對攻擊起到任何防範作用。
6.在防火牆設計中需要做哪些基本設計決策?
在負責防火牆的設計、制定工程計劃以及實施或監督安裝的幸運兒面前,有許多基本設計問題等著他去解決。
首先,最重要的問題是,它應體現你的公司或機構打算如何運行這個系統的策略:安裝後的防火牆是為了明確地拒絕除對於連接到網路至關重的服務之外的所有服務,或者,安裝就緒的防火牆是為以非威脅方式對「魚貫而入」的訪問("queuing" access)提供一種計量和審計的方法。在這些選擇中存在著某種程度的偏執狂;防火牆的最終功能可能將是行政上的結果,而非工程上的決策。
第二個問題是:你需要何種程度的監視、冗餘度以及控制水平?通過解決第一個問題,確定了可接受的風險水平(例如你的偏執到何種程度)後,你可以列出一個必須監測什麼傳輸、必須允許什麼傳輸流通行以及應當拒絕什麼傳輸的清單。換句話說,你開始時先列出你的總體目標,然後把需求分析與風險評估結合在一起,挑出與風險始終對立的需求,加入到計劃完成的工作的清單中。
第三個問題是財務上的問題。在此,我們只能以模糊的表達方式論述這個問題,但是,試圖以購買或實施解決方案的費用多少來量化提出的解決方案十分重要。例如,一個完整的防火牆的高端產品可能價值10萬美元,而低端產品可能是免費的。像在Cisco或類似的路由器上做一些奇妙的配置這類免費選擇不會花你一分錢,只需要工作人員的時間和幾杯咖啡。從頭建立一個高端防火牆可能需要幾個人工月,它可能等於價值3萬美元的工作人員工資和利潤。系統管理開銷也是需要考慮的問題。建立自行開發的防火牆固然很好,但重要的是使建立的防火牆不需要費用高昂的不斷干預。換句話說,在評估防火牆時,重要的是不僅要以防火牆目前的費用來評估它,而且要考慮到像支持服務這類後續費用。
出於實用目的,我們目前談論的是網路服務提供商提供的路由器與你內部網路之間存在的靜態傳輸流路由服務,因此基於為一事實,在技術上,還需要做出幾項決策。傳輸流路由服務可以通過諸如路由器中的過濾規則在IP層實現,或通過代理網關和服務在應用層實現。
需要做出的決定是,是否將暴露的簡易機放置在外部網路上為telnet、ftp、news等運行代理服務,或是否設置像過濾器這樣的屏蔽路由器,允許與一台或多台內部計算機的通信。這兩種方式都存在著優缺點,代理機可以提供更高水平的審計和潛在的安全性,但代價是配置費用的增加,以及可能提供的服務水平的降低(由於代理機需要針對每種需要的服務進行開發)。由來以久的易使性與安全性之間的平衡問題再次死死地困擾著我們。
7.防火牆的基本類型是什麼?
在概念上,有兩種類型的防火牆:
1、網路級防火牆
2、應用級防火牆
這兩種類型的差異並不像你想像得那樣大,最新的技術模糊了兩者之間的區別,使哪個「更好」或「更壞」不再那麼明顯。同以往一樣,你需要謹慎選擇滿足你需要的防火牆類型。
網路級防火牆一般根據源、目的地址做出決策,輸入單個的IP包。一台簡單的路由器是「傳統的」網路級防火牆,因為它不能做出復雜的決策,不能判斷出一個包的實際含意或包的實際出處。現代網路級防火牆已變得越來越復雜,可以保持流經它的接入狀態、一些數據流的內容等等有關信息。許多網路級防火牆之間的一個重要差別是防火牆可以使傳輸流直接通過,因此要使用這樣的防火牆通常需要分配有效的IP地址塊。網路級防火牆一般速度都很快,對用戶很透明。
網路級防火牆的例子:在這個例子中,給出了一種稱為「屏蔽主機防火牆」(screened host
firewall)的網路級防火牆。在屏蔽主機防火牆中,對單個主機的訪問或從單個主機進行訪問是通過運行在網路級上的路由器來控制的。這台單個主機是一台橋頭堡主機(bastion host),是一個可以(希望如此)抵禦攻擊的高度設防和保險的要塞。
網路級防火牆的例子:在這個例子中,給出了一種所謂「屏蔽子網防火牆」的網路級防火牆。在屏蔽子網防火牆中,對網路的訪問或從這個網路中進行訪問是通過運行在網路級上的路由器來控制的。除了它實際上是由屏蔽主機組成的網路外,它與被屏蔽主機的作用相似。
應用級防火牆一般是運行代理伺服器的主機,它不允許傳輸流在網路之間直接傳輸,並對通過它的傳輸流進行記錄和審計。由於代理應用程序是運行在防火牆上的軟體部件,因此它處於實施記錄和訪問控制的理想位置。應用級防火牆可以被用作網路地址翻譯器,因為傳輸流通過有效地屏蔽掉起始接入原址的應用程序後,從一「面」進來,從另一面出去。在某些情況下,設置了應用級防火牆後,可能會對性能造成影響,會使防火牆不太透明。早期的應用級防火牆,如那些利用TIS防火牆工具包構造的防火牆,對於最終用戶不很透明,並需要對用戶進行培訓。應用級防火牆一般會提供更詳盡的審計報告,比網路級防火牆實施更保守的安全模型。
應用級防火牆舉例:這此例中,給出了一個所謂「雙向本地網關」(al homed gateway)的應用級防火牆。雙向本地網關是一種運行代理軟體的高度安全主機。它有兩個網路介面,每個網路上有一個介面,攔阻通過它的所有傳輸流。
防火牆未來的位置應當處於網路級防火牆與應用級防火牆之間的某一位置。網路級防火牆可能對流經它們的信息越來越「了解」(aware),而應用級防火牆可能將變得更加「低級」和透明。最終的結果將是能夠對通過的數據流記錄和審計的快速包屏蔽系統。越來越多的防火牆(網路和應用層)中都包含了加密機制,使它們可以在Internet上保護流經它們之間的傳輸流。具有端到端加密功能的防火牆可以被使用多點Internet接入的機構所用,這些機構可以將Internet作為「專用骨幹網」,無需擔心自己的數據或口令被偷看。
8.什麼是「單故障點」?應當如何避免出現這種故障?
安全性取決於一種機制的結構具有單故障點。運行橋頭堡主機的軟體存在錯誤。應用程序存在錯誤。控制路由器的軟體存在錯誤。使用所有這些組件建造設計安全的網路,並以冗餘的方式使用它們才有意義。
如果你的防火牆結構是屏蔽子網,那麼,你有兩台包過濾路由器和一台橋頭堡主機。(參見本節的問題2)Internet訪問路由器不允許傳輸流從Internet進入你的專用網路。然而,如果你不在橋頭堡主機以及(或)阻塞(choke)路由器上與其它任何機制一道執行這個規則(rule)的話,那麼只要這種結構中的一個組件出現故障或遭到破壞就會使攻擊者進入防火牆內部。另一方面,如果你在橋頭堡主機上具有冗餘規則,並在阻塞路由器上也有冗餘規則,那麼攻擊者必須對付三種機制。
此外,如果這台橋頭堡主機或阻塞路由器使用規則來攔阻外部訪問進入內部網路的話,你可能需要讓它觸發某種報警,因為你知道有人進入了你的訪問路由器。
9.如何才能將所有的惡意的傳輸攔在外面?
對於重點在於安全而非連接性的防火牆來說,你應當考慮預設攔阻所有的傳輸,並且只特別地根據具體情況允許你所需要的服務通過。
如果你將除特定的服務集之外的所有東西都擋在外面,那麼你已經使你的任務變得很容易了。你無需再為周圍的每樣產品和每件服務的各種安全問題擔心了,你只需關注特定產品和服務存在的各種安全問題。:-)
在啟動一項服務之前,你應當考慮下列問題:
*這個產品的協議是人們熟知的公開協議嗎?
*為這個協議提供服務的應用程序的應用情況是否可供公開檢查?
*這項服務和產品是否為人們熟知?
*使用這項服務會怎樣改變防火牆的結構?攻擊者會從不同的角度看待這些嗎?攻擊者能利用這點進入我的內部網路,或者會改變我的DMZ中主機上的東西嗎?
在考慮上述問題時,請記住下列忠告:
*「不為人所知的安全性根本不安全。許多未公開的協議都被那些壞傢伙研究並破解過。
*無論營銷人員說些什麼,不是所有的協議或服務在設計時考慮了安全性。事實上,真正在設計時考慮了安全性的協議或服務數量很少。
*甚至在考慮過安全性的情況下,並不是所有的機構都擁有合格的負責安全的人員。在那些沒有稱職負責安全的人員的機構中,不是所有的機構都願意請稱職的顧問參與工程項目。這樣做的結果是那些其它方面還稱職的、好心腸的開發者會設計出不安全的系統。
*廠商越不願意告訴你他們系統的真正工作原理,它就越有可能可存安全性(或其它)問題。只有有什麼東西需要隱瞞的廠商才有理由隱瞞他們的設計和實施情況。
10.有哪些常見的攻擊?應當如何保護系統不受它們的攻擊呢?
每個站點與其它站點遭受攻擊的類型都略有不同。但仍有一些共同之處。
SMTP會話攻擊(SMTP Session Hijacking)
在這種攻擊中,垃圾郵件製造者將一條消息復製成千上萬份,並按一個巨大的電子郵件地址清單發送這條消息。由於這些地址清單常常很糟糕,並且為了加快垃圾製造者的操作速度,許多垃圾製造者採取了將他們所有的郵件都發送到一台SMTP伺服器上作法,由這台伺服器負責實際發送這些郵件。
當然,彈回(bounces)消息、對垃圾製造者的抱怨、咒罵的郵件和壞的PR都湧入了曾被用作中繼站的站點。這將著實要讓這個站點破費一下了,其中大部分花費被用到支付以後清除這些信息的人員費用上。
《防止郵件濫用系統傳輸安全性建議》(The Mail Abuse Prevention System Transport Security Initiative)中對這個問題作了詳盡的敘述,以及如何對每個寄信人進行配置防止這種攻擊。
利用應用程序中的錯誤(bugs)
不同版本的web伺服器、郵件伺服器和其它Internet服務軟體都存在各種錯誤,因此,遠程(Internet)用戶可以利用錯誤做從造成對計算機的控制到引起應用程序癱瘓等各種後果。
只運行必要的服務、用最新的補丁程序修補程序以及使用應用過一段時間的產品可以減少遭遇這種風險的可能。
利用操作系統中的錯誤
這類攻擊一般也是由遠程用戶發起的。相對於IP網路較新的操作系統更易出現問題,而很成熟的操作系統有充分的時間來發現和清除存在的錯誤。攻擊者經常可以使被攻擊的設備不斷重新引導、癱瘓、失去與網路通信的能力,或替換計算機上的文件。
因此,盡可能少地運行操作系統服務可以有助於防範對系統的攻擊。此外,在操作系統前端安裝一個包過濾器也可以大大減少受這類攻擊的次數。
當然,選擇一個穩定的操作系統也同樣會有幫助。在選擇操作系統時,不要輕信「好貨不便宜」這類說法。自由軟體操作系統常常比商用操作系統更強健。
11.我必須滿足用戶要求的各種要求嗎?
對這個問題的答案完全有可能是「不」。對於需要什麼,不需要什麼,每個站點都有自己的策略,但是,重要的是記住作為一家機構的看門人的主要工作之一是教育。用戶需要流視頻、實時聊天,並要求能夠向請求在內部網路上的活資料庫進行交互查詢的外部客戶提供服務。
這意味著完成任何這類事情都會給機構造成風險,而造成的風險往往比想像中沿著這條路走下去的「價值」的回報更高。多數用戶不願使自己的機構遭受風險。他們只看一看商標,閱讀一下廣告,他們也願意做上述那些事。重要的是了解用戶真正想幹些什麼,幫助他們懂得他們可以以更安全的方式實現他們的真正目的。
你不會總受到歡迎,你可以甚至會發現自己收到了難以置信愚蠢的命令,讓你做一些諸如「打開所有的口子」這樣的事,但不要為此擔心。在這種時刻,明智的做法是將你的交換數據全都保存起來,這樣當一個十二歲的小孩闖入網路時,你至少能夠使你自己遠離混亂局面。
12.如何才能通過自己的防火牆運行Web/HTTP?
有三種辦法做到這點:
1、如果你使用屏蔽路由器的話,允許「建立起的」連接經過路由器接入到防火牆外。
2、使用支持SOCKS的Web客戶機,並在你的橋頭堡主機上運行SOCKS。
3、運行橋頭堡主機上的某種具有代理功能的Web伺服器。一些可供選擇的代理伺服器包括Squid、Apache、Netscape Proxy和TIS防火牆工具包中的http-gw。這些選件中的多數還可以代理其它協議(如gopher和ftp),並可緩存捕獲的對象。後者一般會提高用戶的性能,使你能更有效地使用到Internet的連接。基本上所有的Web客戶機(Mozilla、Internet Explorer、Lynx等等)都具有內置的對代理伺服器的支持。
13.在使用防火牆時,怎樣使用DNS呢?
一些機構想隱藏DNS名,不讓外界知道。許多專家認為隱藏DNS名沒有什麼價值,但是,如果站點或企業的政策強制要求隱藏域名,它也不失為一種已知可行的辦法。你可能必須隱藏域名的另一條理由是你的內部網路上是否有非標準的定址方案。不要自欺欺人的認為,如果隱藏了你的DNS名,在攻擊者打入你的防火牆時,會給攻擊者增加困難。有關你的網路的信息可以很容易地從網路層獲得。假如你有興趣證實這點的話,不妨在LAN上「ping」一下子網廣播地址,然後再執行「arp -a」。還需要說明的是,隱藏DNS中的域名不能解決從郵件頭、新聞文章等中「泄露」主機名的問題。
這種方法是許多方法中的一個,它對於希望向Internet隱瞞自己的主機名的機構很有用。這種辦法的成功取決於這樣一個事實:即一台機器上的DNS客戶機不必與在同一台機器上的DNS伺服器對話。換句話說,正是由於在一台機器上有一個DNS伺服器,因此,將這部機器的DNS客戶機活動重定向到另一台機器上的DNS伺服器沒有任何不妥(並且經常有好處)。
首先,你在可以與外部世界通信的橋頭堡主機上建立DNS伺服器。你建立這台伺服器使它宣布對你的域名具有訪問的權力。事實上,這台伺服器所了解的就是你想讓外部世界所了解的:你網關的名稱和地址、你的通配符MX記錄等等。這台伺服器就是「公共」伺服器。
然後,在內部機器上建立一台DNS伺服器。這台伺服器也宣布對你的域名具有權力;與公共伺服器不同,這台伺服器「講的是真話」。它是你的「正常」的命名伺服器,你可以在這台伺服器中放入你所有的「正常」DNS名。你再設置這台伺服器,使它可以將它不能解決的查詢轉發到公共伺服器(例如,使用Unix機上的/etc/
named.boot中的「轉發器」行(forwarder line))。
最後,設置你所有的DNS客戶機(例如,Unix機上的/etc/resolv.conf文件)使用內部伺服器,這些DNS客戶機包括公共伺服器所在機器上的DNS客戶機。這是關鍵。
詢問有關一台內部主機信息的內部客戶機向內部伺服器提出問題,並得到回答;詢問有關一部外部主機信息的內部客戶機向內部伺服器查詢,內部客戶機再向公共伺服器進行查詢,公共伺服器再向Internet查詢,然後將得到的答案再一步一步傳回來。公共伺服器上的客戶機也以相同的方式工作。但是,一台詢問關於一台內部主機信息的外部客戶機,只能從公共伺服器上得到「限制性」的答案。
這種方式假定在這兩台伺服器之間有一個包過濾防火牆,這個防火牆允許伺服器相互傳遞DNS,但除此之外,限制其它主機之間的DNS。
這種方式中的另一項有用的技巧是利用你的IN-ADDR.AROA域名中通配符PTR記錄。這將引起對任何非公共主機的「地址到名稱」(address-to-name)的查找返回像「unknown.YOUR.DOMAIN」這樣的信息,而非返回一個錯誤。這就滿足了像ftp.uu.net匿名FTP站點的要求。這類站點要求得到與它們通信的計算機的名字。當與進行DNS交叉檢查的站點通信時,這種方法就不靈了。在交叉檢查中,主機名要與它的地址匹配,地址也要與主機名匹配。
14.怎樣才能穿過防火牆使用FTP?
一般來說,可以通過使用像防火牆工具包中的ftp-gw這類代理伺服器,或在有限的埠范圍允許接入連接到網路上(利用如「建立的」屏蔽規則這樣的規則來限制除上述埠外的接入),使FTP可以穿過防火牆工作。然後,修改FTP客戶機,使其將數據埠連接在允許埠范圍內的一個埠上。這樣做需要能夠修改在內部主機上的
FTP客戶機應用。
在某些情況下,如果FTP的下載是你所希望支持的,你不妨考慮宣布FTP為「死協議」(dead protocol),並且讓戶通過Web下載文件。如果你選擇FTP-via-Web方式,用戶將不能使用FTP向外傳輸文件,這可能會造成問題,不過這取決你試圖完成什麼。
另一個不同的辦法是使用FTP "PASV"選項來指示遠程FTP伺服器允許客戶機開始連接。PASV方式假設遠程系統上的FTP伺服器支持這種操作。(詳細說明請參看RFC1579)
另一些站點偏愛建立根據SOCKS庫鏈接的FTP程序的客戶機版本。
15.怎樣才能穿過防火牆使用telnet?
利用像防火牆工具包中的tn-gw這類應用代理,或簡單地配置一台路由器使它利用像「建立的」屏蔽規則等策略允許接出,一般都可以支持使用telnet。應用代理可以以運行在橋頭堡主機上的獨立代理的形式,或以SOCKS伺服器和修改的客戶機的形式存在。
16.怎樣才能穿過防火牆使用RealAudio?
RealNetworks中含有關於如何使穿過防火牆RealAudio的一些說明。在沒有清楚地了解做哪些改動,了解新的改動將帶來什麼樣的風險的情況下,就改動你的防火牆,是很不明智的。
17.如何才能使web伺服器作為專用網路上的一個資料庫的前端呢?
實現這點的最佳途徑是通過特定的協議在web伺服器與資料庫伺服器之間允許很有限的連接。特定的協議只支持你將使用的功能的級別。允許原始SQL或其它任何可為攻擊者利用來進行定製提取(extractions)的東西,一般來說不是一個好主意。
假設攻擊者能夠進入你的web伺服器,並以web伺服器同樣的方式進行查詢。難道沒有一種機制能提取web伺服器不需要的像信用卡信息這樣的敏感信息嗎?攻擊者難道不能發出一次SQL選擇,然後提取你整個的專用資料庫嗎?
同其它所有應用一樣,「電子商務」應用從一開始設計時就充分考慮到了安全問題,而不是以後再想起來「增加」安全性。應當從一個攻擊者的角度,嚴格審查你的結構。假設攻擊者了解你的結構的每一個細節。現在,再問問自己,想要竊取你的數據、進行非授權的改動或做其它任何你不想讓做的事的話,應當做些什麼。你可能會發現,不需要增加任何功能,只需做出一些設計和實施上的決策就可大大地增加安全性。
下面是一些如何做到這點的想法:
以一般的原則,從資料庫中提取你所需要的數據,使你不用對包含攻擊者感興趣的信息的整個資料庫進行查詢。對你允許在web伺服器與資料庫之間傳輸流實行嚴格的限制和審計。
㈣ 防火牆真的很重要嗎如果不裝會發生什麼
要想知道它的作用,必須先了解它的工作原理。
防火牆是一個或一組系統,它在網路之間執行訪問控制策略。實現防火牆的實際方式各不相同,但是在原則上,防火牆可以被認為是這樣一對機制:一種機制是攔阻傳輸流通行,另一種機制是允許傳輸流通過。一些防火牆偏重攔阻傳輸流的通行,而另一些防火牆則偏重允許傳輸流通過。了解有關防火牆的最重要的概念可能就是它實現了一種訪問控制策略。如果你不太清楚你需要允許或否決那類訪問,你可以讓其他人或某些產品根據他(它)們認為應當做的事來配置防火牆,然後他(它)們會為你的機構全面地制定訪問策略。
2.為何需要防火牆?
同其它任何社會一樣,Internet也受到某些無聊之人的困擾,這些人喜愛在網上做這類的事,像在現實中向其他人的牆上噴染塗鴉、將他人的郵箱推倒或者坐在大街上按汽車喇叭一樣。一些人試圖通過Internet完成一些真正的工作,而另一些人則擁有敏感或專有數據需要保護。一般來說,防火牆的目是將那些無聊之人擋在你的網路之外,同時使你仍可以完成工作。
許多傳統風格的企業和數據中心都制定了計算安全策略和必須遵守的慣例。在一家公司的安全策略規定數據必須被保護的情況下,防火牆更顯得十分重要,因為它是這家企業安全策略的具體體現。如果你的公司是一家大企業,連接到Internet上的最難做的工作經常不是費用或所需做的工作,而是讓管理層信服上網是安全的。防火牆不僅提供了真正的安全性,而且還起到了為管理層蓋上一條安全的毯子的重要作用。
最後,防火牆可以發揮你的企業駐Internet「大使」的作用。許多企業利用其防火牆系統作為保存有關企業產品和服務的公開信息、下載文件、錯誤修補以及其它一些文件的場所。這些系統當中的幾種系統已經成為Internet服務結構(如UUnet.uu.net、whitehouse.gov、gatekeeper.dec.com)的重要組成部分,並且給這些機構的贊助者帶來了良好的影響。
3.防火牆可以防範什麼?
一些防火牆只允許電子郵件通過,因而保護了網路免受除對電子郵件服務攻擊之外的任何攻擊。另一些防火牆提供不太嚴格的保護措施,並且攔阻一些眾所周知存在問題的服務。
一般來說,防火牆在配置上是防止來自「外部」世界未經授權的互動式登錄的。這大大有助於防止破壞者登錄到你網路中的計算機上。一些設計更為精巧的防火牆可以防止來自外部的傳輸流進入內部,但又允許內部的用戶可以自由地與外部通信。如果你切斷防火牆的話,它可以保護你免受網路上任何類型的攻擊。
防火牆的另一個非常重要的特性是可以提供一個單獨的「攔阻點」,在「攔阻點」上設置安全和審計檢查。與計算機系統正受到某些人利用數據機撥入攻擊的情況不同,防火牆可以發揮一種有效的「電話監聽」(Phone tap)和跟蹤工具的作用。防火牆提供了一種重要的記錄和審計功能;它們經常可以向管理員提供一些情況概要,提供有關通過防火牆的傳流輸的類型和數量以及有多少次試圖闖入防火牆的企圖等等信息。
4.防火牆不能防範什麼?
防火牆不能防範不經過防火牆的攻擊。許多接入到Internet的企業對通過接入路線造成公司專用數據數據泄露非常擔心。不幸得是,對於這些擔心來說,一盤磁帶可以被很有效地用來泄露數據。許多機構的管理層對Internet接入非常恐懼,它們對應當如何保護通過數據機撥號訪問沒有連慣的政策。當你住在一所木屋中,卻安裝了一扇六英尺厚的鋼門,會被認為很愚蠢。然而,有許多機構購買了價格昂貴的防火牆,但卻忽視了通往其網路中的其它幾扇後門。要使防火牆發揮作用,防火牆就必須成為整個機構安全架構中不可分割的一部分。防火牆的策略必須現實,能夠反映出整個網路安全的水平。例如,一個保存著超級機密或保密數據的站點根本不需要防火牆:首先,它根本不應當被接入到Internet上,或者保存著真正秘密數據的系統應當與這家企業的其餘網路隔離開。
防火牆不能真正保護你防止的另一種危險是你網路內部的叛變者或白痴。盡管一個工業間諜可以通過防火牆傳送信息,但他更有可能利用電話、傳真機或軟盤來傳送信息。軟盤遠比防火牆更有可能成為泄露你機構秘密的媒介!防火牆同樣不能保護你避免愚蠢行為的發生。通過電話泄露敏感信息的用戶是社會工程(social engineering)的好目標;如果攻擊者能找到內部的一個「對他有幫助」的雇員,通過欺騙他進入數據機池,攻擊者可能會完全繞過防火牆打入你的網路。
5.防火牆能否防止病毒的攻擊?
防火牆不能有效地防範像病毒這類東西的入侵。在網路上傳輸二進制文件的編碼方式太多了,並且有太多的不同的結構和病毒,因此不可能查找所有的病毒。換句話說,防火牆不可能將安全意識(security-consciosness)交給用戶一方。總之,防火牆不能防止數據驅動的攻擊:即通過將某種東西郵寄或拷貝到內部主機中,然後它再在內部主機中運行的攻擊。過去曾發生過對不同版本的郵件寄送程序和幻像腳本(ghostscript)和免費PostScript閱讀器的這類攻擊。
對病毒十分憂慮的機構應當在整個機構范圍內採取病毒控制措施。不要試圖將病毒擋在防火牆之外,而是保證每個脆弱的桌面系統都安裝上病毒掃描軟體,只要一引導計算機就對病毒進行掃描。利用病毒掃描軟體防護你的網路將可以防止通過軟盤、數據機和Internet傳播的病毒的攻擊。試圖御病毒於防火牆之外只能防止來自Internet的病毒,而絕大多數病毒是通過軟盤傳染上的。
盡管如此,還是有越來越多的防火牆廠商正提供「病毒探測」防火牆。這類防火牆只對那種交換Windows-on-Intel執行程序和惡意宏應用文檔的毫無經驗的用戶有用。不要指望這種特性能夠對攻擊起到任何防範作用。
6.在防火牆設計中需要做哪些基本設計決策?
在負責防火牆的設計、制定工程計劃以及實施或監督安裝的幸運兒面前,有許多基本設計問題等著他去解決。
首先,最重要的問題是,它應體現你的公司或機構打算如何運行這個系統的策略:安裝後的防火牆是為了明確地拒絕除對於連接到網路至關重的服務之外的所有服務,或者,安裝就緒的防火牆是為以非威脅方式對「魚貫而入」的訪問("queuing" access)提供一種計量和審計的方法。在這些選擇中存在著某種程度的偏執狂;防火牆的最終功能可能將是行政上的結果,而非工程上的決策。
第二個問題是:你需要何種程度的監視、冗餘度以及控制水平?通過解決第一個問題,確定了可接受的風險水平(例如你的偏執到何種程度)後,你可以列出一個必須監測什麼傳輸、必須允許什麼傳輸流通行以及應當拒絕什麼傳輸的清單。換句話說,你開始時先列出你的總體目標,然後把需求分析與風險評估結合在一起,挑出與風險始終對立的需求,加入到計劃完成的工作的清單中。
第三個問題是財務上的問題。在此,我們只能以模糊的表達方式論述這個問題,但是,試圖以購買或實施解決方案的費用多少來量化提出的解決方案十分重要。例如,一個完整的防火牆的高端產品可能價值10萬美元,而低端產品可能是免費的。像在Cisco或類似的路由器上做一些奇妙的配置這類免費選擇不會花你一分錢,只需要工作人員的時間和幾杯咖啡。從頭建立一個高端防火牆可能需要幾個人工月,它可能等於價值3萬美元的工作人員工資和利潤。系統管理開銷也是需要考慮的問題。建立自行開發的防火牆固然很好,但重要的是使建立的防火牆不需要費用高昂的不斷干預。換句話說,在評估防火牆時,重要的是不僅要以防火牆目前的費用來評估它,而且要考慮到像支持服務這類後續費用。
出於實用目的,我們目前談論的是網路服務提供商提供的路由器與你內部網路之間存在的靜態傳輸流路由服務,因此基於為一事實,在技術上,還需要做出幾項決策。傳輸流路由服務可以通過諸如路由器中的過濾規則在IP層實現,或通過代理網關和服務在應用層實現。
需要做出的決定是,是否將暴露的簡易機放置在外部網路上為telnet、ftp、news等運行代理服務,或是否設置像過濾器這樣的屏蔽路由器,允許與一台或多台內部計算機的通信。這兩種方式都存在著優缺點,代理機可以提供更高水平的審計和潛在的安全性,但代價是配置費用的增加,以及可能提供的服務水平的降低(由於代理機需要針對每種需要的服務進行開發)。由來以久的易使性與安全性之間的平衡問題再次死死地困擾著我們。
7.防火牆的基本類型是什麼?
在概念上,有兩種類型的防火牆:
1、網路級防火牆
2、應用級防火牆
這兩種類型的差異並不像你想像得那樣大,最新的技術模糊了兩者之間的區別,使哪個「更好」或「更壞」不再那麼明顯。同以往一樣,你需要謹慎選擇滿足你需要的防火牆類型。
網路級防火牆一般根據源、目的地址做出決策,輸入單個的IP包。一台簡單的路由器是「傳統的」網路級防火牆,因為它不能做出復雜的決策,不能判斷出一個包的實際含意或包的實際出處。現代網路級防火牆已變得越來越復雜,可以保持流經它的接入狀態、一些數據流的內容等等有關信息。許多網路級防火牆之間的一個重要差別是防火牆可以使傳輸流直接通過,因此要使用這樣的防火牆通常需要分配有效的IP地址塊。網路級防火牆一般速度都很快,對用戶很透明。
網路級防火牆的例子:在這個例子中,給出了一種稱為「屏蔽主機防火牆」(screened host
firewall)的網路級防火牆。在屏蔽主機防火牆中,對單個主機的訪問或從單個主機進行訪問是通過運行在網路級上的路由器來控制的。這台單個主機是一台橋頭堡主機(bastion host),是一個可以(希望如此)抵禦攻擊的高度設防和保險的要塞。
網路級防火牆的例子:在這個例子中,給出了一種所謂「屏蔽子網防火牆」的網路級防火牆。在屏蔽子網防火牆中,對網路的訪問或從這個網路中進行訪問是通過運行在網路級上的路由器來控制的。除了它實際上是由屏蔽主機組成的網路外,它與被屏蔽主機的作用相似。
應用級防火牆一般是運行代理伺服器的主機,它不允許傳輸流在網路之間直接傳輸,並對通過它的傳輸流進行記錄和審計。由於代理應用程序是運行在防火牆上的軟體部件,因此它處於實施記錄和訪問控制的理想位置。應用級防火牆可以被用作網路地址翻譯器,因為傳輸流通過有效地屏蔽掉起始接入原址的應用程序後,從一「面」進來,從另一面出去。在某些情況下,設置了應用級防火牆後,可能會對性能造成影響,會使防火牆不太透明。早期的應用級防火牆,如那些利用TIS防火牆工具包構造的防火牆,對於最終用戶不很透明,並需要對用戶進行培訓。應用級防火牆一般會提供更詳盡的審計報告,比網路級防火牆實施更保守的安全模型。
應用級防火牆舉例:這此例中,給出了一個所謂「雙向本地網關」(al homed gateway)的應用級防火牆。雙向本地網關是一種運行代理軟體的高度安全主機。它有兩個網路介面,每個網路上有一個介面,攔阻通過它的所有傳輸流。
防火牆未來的位置應當處於網路級防火牆與應用級防火牆之間的某一位置。網路級防火牆可能對流經它們的信息越來越「了解」(aware),而應用級防火牆可能將變得更加「低級」和透明。最終的結果將是能夠對通過的數據流記錄和審計的快速包屏蔽系統。越來越多的防火牆(網路和應用層)中都包含了加密機制,使它們可以在Internet上保護流經它們之間的傳輸流。具有端到端加密功能的防火牆可以被使用多點Internet接入的機構所用,這些機構可以將Internet作為「專用骨幹網」,無需擔心自己的數據或口令被偷看。
8.什麼是「單故障點」?應當如何避免出現這種故障?
安全性取決於一種機制的結構具有單故障點。運行橋頭堡主機的軟體存在錯誤。應用程序存在錯誤。控制路由器的軟體存在錯誤。使用所有這些組件建造設計安全的網路,並以冗餘的方式使用它們才有意義。
如果你的防火牆結構是屏蔽子網,那麼,你有兩台包過濾路由器和一台橋頭堡主機。(參見本節的問題2)Internet訪問路由器不允許傳輸流從Internet進入你的專用網路。然而,如果你不在橋頭堡主機以及(或)阻塞(choke)路由器上與其它任何機制一道執行這個規則(rule)的話,那麼只要這種結構中的一個組件出現故障或遭到破壞就會使攻擊者進入防火牆內部。另一方面,如果你在橋頭堡主機上具有冗餘規則,並在阻塞路由器上也有冗餘規則,那麼攻擊者必須對付三種機制。
此外,如果這台橋頭堡主機或阻塞路由器使用規則來攔阻外部訪問進入內部網路的話,你可能需要讓它觸發某種報警,因為你知道有人進入了你的訪問路由器。
9.如何才能將所有的惡意的傳輸攔在外面?
對於重點在於安全而非連接性的防火牆來說,你應當考慮預設攔阻所有的傳輸,並且只特別地根據具體情況允許你所需要的服務通過。
如果你將除特定的服務集之外的所有東西都擋在外面,那麼你已經使你的任務變得很容易了。你無需再為周圍的每樣產品和每件服務的各種安全問題擔心了,你只需關注特定產品和服務存在的各種安全問題。:-)
在啟動一項服務之前,你應當考慮下列問題:
*這個產品的協議是人們熟知的公開協議嗎?
*為這個協議提供服務的應用程序的應用情況是否可供公開檢查?
*這項服務和產品是否為人們熟知?
*使用這項服務會怎樣改變防火牆的結構?攻擊者會從不同的角度看待這些嗎?攻擊者能利用這點進入我的內部網路,或者會改變我的DMZ中主機上的東西嗎?
在考慮上述問題時,請記住下列忠告:
*「不為人所知的安全性根本不安全。許多未公開的協議都被那些壞傢伙研究並破解過。
*無論營銷人員說些什麼,不是所有的協議或服務在設計時考慮了安全性。事實上,真正在設計時考慮了安全性的協議或服務數量很少。
*甚至在考慮過安全性的情況下,並不是所有的機構都擁有合格的負責安全的人員。在那些沒有稱職負責安全的人員的機構中,不是所有的機構都願意請稱職的顧問參與工程項目。這樣做的結果是那些其它方面還稱職的、好心腸的開發者會設計出不安全的系統。
*廠商越不願意告訴你他們系統的真正工作原理,它就越有可能可存安全性(或其它)問題。只有有什麼東西需要隱瞞的廠商才有理由隱瞞他們的設計和實施情況。
10.有哪些常見的攻擊?應當如何保護系統不受它們的攻擊呢?
每個站點與其它站點遭受攻擊的類型都略有不同。但仍有一些共同之處。
SMTP會話攻擊(SMTP Session Hijacking)
在這種攻擊中,垃圾郵件製造者將一條消息復製成千上萬份,並按一個巨大的電子郵件地址清單發送這條消息。由於這些地址清單常常很糟糕,並且為了加快垃圾製造者的操作速度,許多垃圾製造者採取了將他們所有的郵件都發送到一台SMTP伺服器上作法,由這台伺服器負責實際發送這些郵件。
當然,彈回(bounces)消息、對垃圾製造者的抱怨、咒罵的郵件和壞的PR都湧入了曾被用作中繼站的站點。這將著實要讓這個站點破費一下了,其中大部分花費被用到支付以後清除這些信息的人員費用上。
《防止郵件濫用系統傳輸安全性建議》(The Mail Abuse Prevention System Transport Security Initiative)中對這個問題作了詳盡的敘述,以及如何對每個寄信人進行配置防止這種攻擊。
利用應用程序中的錯誤(bugs)
不同版本的web伺服器、郵件伺服器和其它Internet服務軟體都存在各種錯誤,因此,遠程(Internet)用戶可以利用錯誤做從造成對計算機的控制到引起應用程序癱瘓等各種後果。
只運行必要的服務、用最新的補丁程序修補程序以及使用應用過一段時間的產品可以減少遭遇這種風險的可能。
利用操作系統中的錯誤
這類攻擊一般也是由遠程用戶發起的。相對於IP網路較新的操作系統更易出現問題,而很成熟的操作系統有充分的時間來發現和清除存在的錯誤。攻擊者經常可以使被攻擊的設備不斷重新引導、癱瘓、失去與網路通信的能力,或替換計算機上的文件。
因此,盡可能少地運行操作系統服務可以有助於防範對系統的攻擊。此外,在操作系統前端安裝一個包過濾器也可以大大減少受這類攻擊的次數。
當然,選擇一個穩定的操作系統也同樣會有幫助。在選擇操作系統時,不要輕信「好貨不便宜」這類說法。自由軟體操作系統常常比商用操作系統更強。
11.我必須滿足用戶要求的各種要求嗎?
對這個問題的答案完全有可能是「不」。對於需要什麼,不需要什麼,每個站點都有自己的策略,但是,重要的是記住作為一家機構的看門人的主要工作之一是教育。用戶需要流視頻、實時聊天,並要求能夠向請求在內部網路上的活資料庫進行交互查詢的外部客戶提供服務。
這意味著完成任何這類事情都會給機構造成風險,而造成的風險往往比想像中沿著這條路走下去的「價值」的回報更高。多數用戶不願使自己的機構遭受風險。他們只看一看商標,閱讀一下廣告,他們也願意做上述那些事。重要的是了解用戶真正想幹些什麼,幫助他們懂得他們可以以更安全的方式實現他們的真正目的。
你不會總受到歡迎,你可以甚至會發現自己收到了難以置信愚蠢的命令,讓你做一些諸如「打開所有的口子」這樣的事,但不要為此擔心。在這種時刻,明智的做法是將你的交換數據全都保存起來,這樣當一個十二歲的小孩闖入網路時,你至少能夠使你自己遠離混亂局面。
12.如何才能通過自己的防火牆運行Web/HTTP?
有三種辦法做到這點:
1、如果你使用屏蔽路由器的話,允許「建立起的」連接經過路由器接入到防火牆外。
2、使用支持SOCKS的Web客戶機,並在你的橋頭堡主機上運行SOCKS。
3、運行橋頭堡主機上的某種具有代理功能的Web伺服器。一些可供選擇的代理伺服器包括Squid、Apache、Netscape Proxy和TIS防火牆工具包中的http-gw。這些選件中的多數還可以代理其它協議(如gopher和ftp),並可緩存捕獲的對象。後者一般會提高用戶的性能,使你能更有效地使用到Internet的連接。基本上所有的Web客戶機(Mozilla、Internet Explorer、Lynx等等)都具有內置的對代理伺服器的支持。
13.在使用防火牆時,怎樣使用DNS呢?
一些機構想隱藏DNS名,不讓外界知道。許多專家認為隱藏DNS名沒有什麼價值,但是,如果站點或企業的政策強制要求隱藏域名,它也不失為一種已知可行的辦法。你可能必須隱藏域名的另一條理由是你的內部網路上是否有非標準的定址方案。不要自欺欺人的認為,如果隱藏了你的DNS名,在攻擊者打入你的防火牆時,會給攻擊者增加困難。有關你的網路的信息可以很容易地從網路層獲得。假如你有興趣證實這點的話,不妨在LAN上「ping」一下子網廣播地址,然後再執行「arp -a」。還需要說明的是,隱藏DNS中的域名不能解決從郵件頭、新聞文章等中「泄露」主機名的問題。
這種方法是許多方法中的一個,它對於希望向Internet隱瞞自己的主機名的機構很有用。這種辦法的成功取決於這樣一個事實:即一台機器上的DNS客戶機不必與在同一台機器上的DNS伺服器對話。換句話說,正是由於在一台機器上有一個DNS伺服器,因此,將這部機器的DNS客戶機活動重定向到另一台機器上的DNS伺服器沒有任何不妥(並且經常有好處)。
首先,你在可以與外部世界通信的橋頭堡主機上建立DNS伺服器。你建立這台伺服器使它宣布對你的域名具有訪問的權力。事實上,這台伺服器所了解的就是你想讓外部世界所了解的:你網關的名稱和地址、你的通配符MX記錄等等。這台伺服器就是「公共」伺服器。
然後,在內部機器上建立一台DNS伺服器。這台伺服器也宣布對你的域名具有權力;與公共伺服器不同,這台伺服器「講的是真話」。它是你的「正常」的命名伺服器,你可以在這台伺服器中放入你所有的「正常」DNS名。你再設置這台伺服器,使它可以將它不能解決的查詢轉發到公共伺服器(例如,使用Unix機上的/etc/
named.boot中的「轉發器」行(forwarder line))。
最後,設置你所有的DNS客戶機(例如,Unix機上的/etc/resolv.conf文件)使用內部伺服器,這些DNS客戶機包括公共伺服器所在機器上的DNS客戶機。這是關鍵。
詢問有關一台內部主機信息的內部客戶機向內部伺服器提出問題,並得到回答;詢問有關一部外部主機信息的內部客戶機向內部伺服器查詢,內部客戶機再向公共伺服器進行查詢,公共伺服器再向Internet查詢,然後將得到的答案再一步一步傳回來。公共伺服器上的客戶機也以相同的方式工作。但是,一台詢問關於一台內部主機信息的外部客戶機,只能從公共伺服器上得到「限制性」的答案。
這種方式假定在這兩台伺服器之間有一個包過濾防火牆,這個防火牆允許伺服器相互傳遞DNS,但除此之外,限制其它主機之間的DNS。
這種方式中的另一項有用的技巧是利用你的IN-ADDR.AROA域名中通配符PTR記錄。這將引起對任何非公共主機的「地址到名稱」(address-to-name)的查找返回像「unknown.YOUR.DOMAIN」這樣的信息,而非返回一個錯誤。這就滿足了像ftp.uu.net匿名FTP站點的要求。這類站點要求得到與它們通信的計算機的名字。當與進行DNS交叉檢查的站點通信時,這種方法就不靈了。在交叉檢查中,主機名要與它的地址匹配,地址也要與主機名匹配。
14.怎樣才能穿過防火牆使用FTP?
一般來說,可以通過使用像防火牆工具包中的ftp-gw這類代理伺服器,或在有限的埠范圍允許接入連接到網路上(利用如「建立的」屏蔽規則這樣的規則來限制除上述埠外的接入),使FTP可以穿過防火牆工作。然後,修改FTP客戶機,使其將數據埠連接在允許埠范圍內的一個埠上。這樣做需要能夠修改在內部主機上的
FTP客戶機應用。
在某些情況下,如果FTP的下載是你所希望支持的,你不妨考慮宣布FTP為「死協議」(dead protocol),並且讓戶通過Web下載文件。如果你選擇FTP-via-Web方式,用戶將不能使用FTP向外傳輸文件,這可能會造成問題,不過這取決你試圖完成什麼。
另一個不同的辦法是使用FTP "PASV"選項來指示遠程FTP伺服器允許客戶機開始連接。PASV方式假設遠程系統上的FTP伺服器支持這種操作。(詳細說明請參看RFC1579)
另一些站點偏愛建立根據SOCKS庫鏈接的FTP程序的客戶機版本。
15.怎樣才能穿過防火牆使用telnet?
利用像防火牆工具包中的tn-gw這類應用代理,或簡單地配置一台路由器使它利用像「建立的」屏蔽規則等策略允許接出,一般都可以支持使用telnet。應用代理可以以運行在橋頭堡主機上的獨立代理的形式,或以SOCKS伺服器和修改的客戶機的形式存在。
16.怎樣才能穿過防火牆使用RealAudio?
RealNetworks中含有關於如何使穿過防火牆RealAudio的一些說明。在沒有清楚地了解做哪些改動,了解新的改動將帶來什麼樣的風險的情況下,就改動你的防火牆,是很不明智的。
17.如何才能使web伺服器作為專用網路上的一個資料庫的前端呢?
實現這點的最佳途徑是通過特定的協議在web伺服器與資料庫伺服器之間允許很有限的連接。特定的協議只支持你將使用的功能的級別。允許原始SQL或其它任何可為攻擊者利用來進行定製提取(extractions)的東西,一般來說不是一個好主意。
假設攻擊者能夠進入你的web伺服器,並以web伺服器同樣的方式進行查詢。難道沒有一種機制能提取web伺服器不需要的像信用卡信息這樣的敏感信息嗎?攻擊者難道不能發出一次SQL選擇,然後提取你整個的專用資料庫嗎?
同其它所有應用一樣,「電子商務」應用從一開始設計時就充分考慮到了安全問題,而不是以後再想起來「增加」安全性。應當從一個攻擊者的角度,嚴格審查你的結構。假設攻擊者了解你的結構的每一個細節。現在,再問問自己,想要竊取你的數據、進行非授權的改動或做其它任何你不想讓做的事的話,應當做些什麼。你可能會發現,不需要增加任何功能,只需做出一些設計和實施上的決策就可大大地增加安全性。
下面是一些如何做到這點的想法:
以一般的原則,從資料庫中提取你所需要的數據,使你不用對包含攻擊者感興趣的信息的整個資料庫進行查詢。對你允許在web伺服器與資料庫之間傳輸流實行嚴格的限制和審計。
回答者:引力流 - 經理 四級 3-11 23:46
提問者對於答案的評價:
bn
其他回答
共 6 條
記得<一個饅頭>中說無極=無聊X2,那我想現在普通網友認為的安全應該是 安全=防火牆+殺毒.鑒於普通網友不具備主動發現和手工清除病毒的能力,所以採用殺毒軟體來清除病毒是很好的辦法,但是有的時候殺毒軟體確實也發現不了一些木馬後門.而且經常因為清除病毒造成一些程序無法正常使用,防火牆是阻擋外界攻擊的,網路上的攻擊形形色色所以我們合理的配置好我們的防火牆還是很有必要的,你問題中提到了後台活動的程序那我推薦你安裝反間諜程序,這樣就一目瞭然了。 所以這些防護軟體該怎麼用,並沒有嚴格限制,根據自己需求吧.
總而言之一句話,防火牆是守城的,是站崗放哨的,沒有系統給他的命令是不
允許放不明身份的敵人(程序)進來的。而殺毒軟體是把不小心潛入的敵人(程序)給消滅掉的。
㈤ 什麼網路加密的演算法
由於網路所帶來的諸多不安全因素使得網路使用者不得不採取相應的網路安全對策。為了堵塞安全漏洞和提供安全的通信服務,必須運用一定的技術來對網路進行安全建設,這已為廣大網路開發商和網路用戶所共識。
現今主要的網路安全技術有以下幾種:
一、加密路由器(Encrypting Router)技術
加密路由器把通過路由器的內容進行加密和壓縮,然後讓它們通過不安全的網路進行傳輸,並在目的端進行解壓和解密。
二、安全內核(Secured Kernel)技術
人們開始在操作系統的層次上考慮安全性,嘗試把系統內核中可能引起安全性問題的部分從內核中剔除出去,從而使系統更安全。如S olaris操作系統把靜態的口令放在一個隱含文件中, 使系統的安全性增強。
三、網路地址轉換器(Network Address Translater)
網路地址轉換器也稱為地址共享器(Address Sharer)或地址映射器,初衷是為了解決IP 地址不足,現多用於網路安全。內部主機向外部主機連接時,使用同一個IP地址;相反地,外部主機要向內部主機連接時,必須通過網關映射到內部主機上。它使外部網路看不到內部網路, 從而隱藏內部網路,達到保密作用。
數據加密(Data Encryption)技術
所謂加密(Encryption)是指將一個信息(或稱明文--plaintext) 經過加密鑰匙(Encrypt ionkey)及加密函數轉換,變成無意義的密文( ciphertext),而接收方則將此密文經過解密函數、解密鑰匙(Decryti on key)還原成明文。加密技術是網路安全技術的基石。
數據加密技術要求只有在指定的用戶或網路下,才能解除密碼而獲得原來的數據,這就需要給數據發送方和接受方以一些特殊的信息用於加解密,這就是所謂的密鑰。其密鑰的值是從大量的隨機數中選取的。按加密演算法分為專用密鑰和公開密鑰兩種。
專用密鑰,又稱為對稱密鑰或單密鑰,加密時使用同一個密鑰,即同一個演算法。如DES和MIT的Kerberos演算法。單密鑰是最簡單方式,通信雙方必須交換彼此密鑰,當需給對方發信息時,用自己的加密密鑰進行加密,而在接收方收到數據後,用對方所給的密鑰進行解密。這種方式在與多方通信時因為需要保存很多密鑰而變得很復雜,而且密鑰本身的安全就是一個問題。
DES是一種數據分組的加密演算法,它將數據分成長度為6 4位的數據塊,其中8位用作奇偶校驗,剩餘的56位作為密碼的長度。第一步將原文進行置換,得到6 4位的雜亂無章的數據組;第二步將其分成均等兩段 ;第三步用加密函數進行變換,並在給定的密鑰參數條件下,進行多次迭代而得到加密密文。
公開密鑰,又稱非對稱密鑰,加密時使用不同的密鑰,即不同的演算法,有一把公用的加密密鑰,有多把解密密鑰,如RSA演算法。
在計算機網路中,加密可分為"通信加密"(即傳輸過程中的數據加密)和"文件加密"(即存儲數據加密)。通信加密又有節點加密、鏈路加密和端--端加密3種。
①節點加密,從時間坐標來講,它在信息被傳入實際通信連接點 (Physical communication link)之前進行;從OSI 7層參考模型的坐標 (邏輯空間)來講,它在第一層、第二層之間進行; 從實施對象來講,是對相鄰兩節點之間傳輸的數據進行加密,不過它僅對報文加密,而不對報頭加密,以便於傳輸路由的選擇。
②鏈路加密(Link Encryption),它在數據鏈路層進行,是對相鄰節點之間的鏈路上所傳輸的數據進行加密,不僅對數據加密還對報頭加密。
③端--端加密(End-to-End Encryption),它在第六層或第七層進行 ,是為用戶之間傳送數據而提供的連續的保護。在始發節點上實施加密,在中介節點以密文形式傳輸,最後到達目的節點時才進行解密,這對防止拷貝網路軟體和軟體泄漏也很有效。
在OSI參考模型中,除會話層不能實施加密外,其他各層都可以實施一定的加密措施。但通常是在最高層上加密,即應用層上的每個應用都被密碼編碼進行修改,因此能對每個應用起到保密的作用,從而保護在應用層上的投資。假如在下面某一層上實施加密,如TCP層上,就只能對這層起到保護作用。
值得注意的是,能否切實有效地發揮加密機制的作用,關鍵的問題在於密鑰的管理,包括密鑰的生存、分發、安裝、保管、使用以及作廢全過程。
(1)數字簽名
公開密鑰的加密機制雖提供了良好的保密性,但難以鑒別發送者, 即任何得到公開密鑰的人都可以生成和發送報文。數字簽名機制提供了一種鑒別方法,以解決偽造、抵賴、冒充和篡改等問題。
數字簽名一般採用不對稱加密技術(如RSA),通過對整個明文進行某種變換,得到一個值,作為核實簽名。接收者使用發送者的公開密鑰對簽名進行解密運算,如其結果為明文,則簽名有效,證明對方的身份是真實的。當然,簽名也可以採用多種方式,例如,將簽名附在明文之後。數字簽名普遍用於銀行、電子貿易等。
數字簽名不同於手寫簽字:數字簽名隨文本的變化而變化,手寫簽字反映某個人個性特徵, 是不變的;數字簽名與文本信息是不可分割的,而手寫簽字是附加在文本之後的,與文本信息是分離的。
(2)Kerberos系統
Kerberos系統是美國麻省理工學院為Athena工程而設計的,為分布式計算環境提供一種對用戶雙方進行驗證的認證方法。
它的安全機制在於首先對發出請求的用戶進行身份驗證,確認其是否是合法的用戶;如是合法的用戶,再審核該用戶是否有權對他所請求的服務或主機進行訪問。從加密演算法上來講,其驗證是建立在對稱加密的基礎上的。
Kerberos系統在分布式計算環境中得到了廣泛的應用(如在Notes 中),這是因為它具有如下的特點:
①安全性高,Kerberos系統對用戶的口令進行加密後作為用戶的私鑰,從而避免了用戶的口令在網路上顯示傳輸,使得竊聽者難以在網路上取得相應的口令信息;
②透明性高,用戶在使用過程中,僅在登錄時要求輸入口令,與平常的操作完全一樣,Ker beros的存在對於合法用戶來說是透明的;
③可擴展性好,Kerberos為每一個服務提供認證,確保應用的安全。
Kerberos系統和看電影的過程有些相似,不同的是只有事先在Ker beros系統中登錄的客戶才可以申請服務,並且Kerberos要求申請到入場券的客戶就是到TGS(入場券分配伺服器)去要求得到最終服務的客戶。
Kerberos的認證協議過程如圖二所示。
Kerberos有其優點,同時也有其缺點,主要如下:
①、Kerberos伺服器與用戶共享的秘密是用戶的口令字,伺服器在回應時不驗證用戶的真實性,假設只有合法用戶擁有口令字。如攻擊者記錄申請回答報文,就易形成代碼本攻擊。
②、Kerberos伺服器與用戶共享的秘密是用戶的口令字,伺服器在回應時不驗證用戶的真實性,假設只有合法用戶擁有口令字。如攻擊者記錄申請回答報文,就易形成代碼本攻擊。
③、AS和TGS是集中式管理,容易形成瓶頸,系統的性能和安全也嚴重依賴於AS和TGS的性能和安全。在AS和TGS前應該有訪問控制,以增強AS和TGS的安全。
④、隨用戶數增加,密鑰管理較復雜。Kerberos擁有每個用戶的口令字的散列值,AS與TGS 負責戶間通信密鑰的分配。當N個用戶想同時通信時,仍需要N*(N-1)/2個密鑰
( 3 )、PGP演算法
PGP(Pretty Good Privacy)是作者hil Zimmermann提出的方案, 從80年代中期開始編寫的。公開密鑰和分組密鑰在同一個系統中,公開密鑰採用RSA加密演算法,實施對密鑰的管理;分組密鑰採用了IDEA演算法,實施對信息的加密。
PGP應用程序的第一個特點是它的速度快,效率高;另一個顯著特點就是它的可移植性出色,它可以在多種操作平台上運行。PGP主要具有加密文件、發送和接收加密的E-mail、數字簽名等。
(4)、PEM演算法
保密增強郵件(Private Enhanced Mail,PEM),是美國RSA實驗室基於RSA和DES演算法而開發的產品,其目的是為了增強個人的隱私功能, 目前在Internet網上得到了廣泛的應用,專為E-mail用戶提供如下兩類安全服務:
對所有報文都提供諸如:驗證、完整性、防抵 賴等安全服務功能; 提供可選的安全服務功能,如保密性等。
PEM對報文的處理經過如下過程:
第一步,作規范化處理:為了使PEM與MTA(報文傳輸代理)兼容,按S MTP協議對報文進行規范化處理;
第二步,MIC(Message Integrity Code)計算;
第三步,把處理過的報文轉化為適於SMTP系統傳輸的格式。
身份驗證技術
身份識別(Identification)是指定用戶向系統出示自己的身份證明過程。身份認證(Authertication)是系統查核用戶的身份證明的過程。人們常把這兩項工作統稱為身份驗證(或身份鑒別),是判明和確認通信雙方真實身份的兩個重要環節。
Web網上採用的安全技術
在Web網上實現網路安全一般有SHTTP/HTTP和SSL兩種方式。
(一)、SHTTP/HTTP
SHTTP/HTTP可以採用多種方式對信息進行封裝。封裝的內容包括加密、簽名和基於MAC 的認證。並且一個消息可以被反復封裝加密。此外,SHTTP還定義了包頭信息來進行密鑰傳輸、認證傳輸和相似的管理功能。SHTTP可以支持多種加密協議,還為程序員提供了靈活的編程環境。
SHTTP並不依賴於特定的密鑰證明系統,它目前支持RSA、帶內和帶外以及Kerberos密鑰交換。
(二)、SSL(安全套層) 安全套接層是一種利用公開密鑰技術的工業標准。SSL廣泛應用於Intranet和Internet 網,其產品包括由Netscape、Microsoft、IBM 、Open Market等公司提供的支持SSL的客戶機和伺服器,以及諸如Apa che-SSL等產品。
SSL提供三種基本的安全服務,它們都使用公開密鑰技術。
①信息私密,通過使用公開密鑰和對稱密鑰技術以達到信息私密。SSL客戶機和SSL伺服器之間的所有業務使用在SSL握手過程中建立的密鑰和演算法進行加密。這樣就防止了某些用戶通過使用IP packet sniffer工具非法竊聽。盡管packet sniffer仍能捕捉到通信的內容, 但卻無法破譯。 ②信息完整性,確保SSL業務全部達到目的。如果Internet成為可行的電子商業平台,應確保伺服器和客戶機之間的信息內容免受破壞。SSL利用機密共享和hash函數組提供信息完整性服務。③相互認證,是客戶機和伺服器相互識別的過程。它們的識別號用公開密鑰編碼,並在SSL握手時交換各自的識別號。為了驗證證明持有者是其合法用戶(而不是冒名用戶),SSL要求證明持有者在握手時對交換數據進行數字式標識。證明持有者對包括證明的所有信息數據進行標識以說明自己是證明的合法擁有者。這樣就防止了其他用戶冒名使用證明。證明本身並不提供認證,只有證明和密鑰一起才起作用。 ④SSL的安全性服務對終端用戶來講做到盡可能透明。一般情況下,用戶只需單擊桌面上的一個按鈕或聯接就可以與SSL的主機相連。與標準的HTTP連接申請不同,一台支持SSL的典型網路主機接受SSL連接的默認埠是443而不是80。
當客戶機連接該埠時,首先初始化握手協議,以建立一個SSL對話時段。握手結束後,將對通信加密,並檢查信息完整性,直到這個對話時段結束為止。每個SSL對話時段只發生一次握手。相比之下,HTTP 的每一次連接都要執行一次握手,導致通信效率降低。一次SSL握手將發生以下事件:
1.客戶機和伺服器交換X.509證明以便雙方相互確認。這個過程中可以交換全部的證明鏈,也可以選擇只交換一些底層的證明。證明的驗證包括:檢驗有效日期和驗證證明的簽名許可權。
2.客戶機隨機地產生一組密鑰,它們用於信息加密和MAC計算。這些密鑰要先通過伺服器的公開密鑰加密再送往伺服器。總共有四個密鑰分別用於伺服器到客戶機以及客戶機到伺服器的通信。
3.信息加密演算法(用於加密)和hash函數(用於確保信息完整性)是綜合在一起使用的。Netscape的SSL實現方案是:客戶機提供自己支持的所有演算法清單,伺服器選擇它認為最有效的密碼。伺服器管理者可以使用或禁止某些特定的密碼。
代理服務
在 Internet 中廣泛採用代理服務工作方式, 如域名系統(DNS), 同時也有許多人把代理服務看成是一種安全性能。
從技術上來講代理服務(Proxy Service)是一種網關功能,但它的邏輯位置是在OSI 7層協議的應用層之上。
代理(Proxy)使用一個客戶程序,與特定的中間結點鏈接,然後中間結點與期望的伺服器進行實際鏈接。與應用網關型防火牆所不同的是,使用這類防火牆時外部網路與內部網路之間不存在直接連接,因此 ,即使防火牆產生了問題,外部網路也無法與被保護的網路連接。
防火牆技術
(1)防火牆的概念
在計算機領域,把一種能使一個網路及其資源不受網路"牆"外"火災"影響的設備稱為"防火牆"。用更專業一點的話來講,防火牆(FireW all)就是一個或一組網路設備(計算機系統或路由器等),用來在兩個或多個網路間加強訪問控制,其目的是保護一個網路不受來自另一個網路的攻擊。可以這樣理解,相當於在網路周圍挖了一條護城河,在唯一的橋上設立了安全哨所,進出的行人都要接受安全檢查。
防火牆的組成可以這樣表示:防火牆=過濾器+安全策略(+網關)。
(2)防火牆的實現方式
①在邊界路由器上實現;
②在一台雙埠主機(al-homed host)上實現;
③在公共子網(該子網的作用相當於一台雙埠主機)上實現,在此子網上可建立含有停火區結構的防火牆。
(3)防火牆的網路結構
網路的拓撲結構和防火牆的合理配置與防火牆系統的性能密切相關,防火牆一般採用如下幾種結構。
①最簡單的防火牆結構
這種網路結構能夠達到使受保護的網路只能看到"橋頭堡主機"( 進出通信必經之主機), 同時,橋頭堡主機不轉發任何TCP/IP通信包, 網路中的所有服務都必須有橋頭堡主機的相應代理服務程序來支持。但它把整個網路的安全性能全部託付於其中的單個安全單元,而單個網路安全單元又是攻擊者首選的攻擊對象,防火牆一旦破壞,橋頭堡主機就變成了一台沒有尋徑功能的路由器,系統的安全性不可靠。
②單網端防火牆結構
其中屏蔽路由器的作用在於保護堡壘主機(應用網關或代理服務) 的安全而建立起一道屏障。在這種結構中可將堡壘主機看作是信息伺服器,它是內部網路對外發布信息的數據中心,但這種網路拓撲結構仍把網路的安全性大部分託付給屏蔽路由器。系統的安全性仍不十分可靠。
③增強型單網段防火牆的結構
為增強網段防火牆安全性,在內部網與子網之間增設一台屏蔽路由器,這樣整個子網與內外部網路的聯系就各受控於一個工作在網路級的路由器,內部網路與外部網路仍不能直接聯系,只能通過相應的路由器與堡壘主機通信。
④含"停火區"的防火牆結構
針對某些安全性特殊需要, 可建立如下的防火牆網路結構。 網路的整個安全特性分擔到多個安全單元, 在外停火區的子網上可聯接公共信息伺服器,作為內外網路進行信息交換的場所。
網路反病毒技術
由於在網路環境下,計算機病毒具有不可估量的威脅性和破壞力, 因此計算機病毒的防範也是網路安全性建設中重要的一環。網路反病毒技術也得到了相應的發展。
網路反病毒技術包括預防病毒、檢測病毒和消毒等3種技術。(1) 預防病毒技術,它通過自身常駐系統內存,優先獲得系統的控制權,監視和判斷系統中是否有病毒存在,進而阻止計算機病毒進入計算機系統和對系統進行破壞。這類技術是:加密可執行程序、引導區保護、系統監控與讀寫控制(如防病毒卡)等。(2)檢測病毒技術,它是通過對計算機病毒的特徵來進行判斷的技術,如自身校驗、關鍵字、文件長度的變化等。(3)消毒技術,它通過對計算機病毒的分析,開發出具有刪除病毒程序並恢復原文件的軟體。
網路反病毒技術的實施對象包括文件型病毒、引導型病毒和網路病毒。
網路反病毒技術的具體實現方法包括對網路伺服器中的文件進行頻繁地掃描和監測;在工作站上採用防病毒晶元和對網路目錄及文件設置訪問許可權等。
隨著網上應用不斷發展,網路技術不斷應用,網路不安全因素將會不斷產生,但互為依存的,網路安全技術也會迅速的發展,新的安全技術將會層出不窮,最終Internet網上的安全問題將不會阻擋我們前進的步伐
㈥ 築牢思想防線不被攻破的決定因素是什麼
生活在今天的人們,誰也無法離開網路。網路改變著人們的生活,也深刻影響著國家安全。
網路主權彰顯國家主權。網上空間,也是國家的安全空間。網上陣地,自己不去佔領,別人就會去佔領;網上領土,自己不去守衛,就會喪失主權,甚至成為敵對勢力侵蝕瓦解我們的「橋頭堡」。
互聯網已經成為意識形態領域斗爭的主戰場。有了網路,思想防線全面開放,心門成了國門,心防成了國防,心戰成了暗戰。誰掌握了網路,誰就搶佔了意識形態斗爭戰場的制高點,誰就按住了信息時代國家安全和發展的命脈。
網路資源不是虛擬資源,而是關乎國家安全的實體資源。網路時代,一個國家信息、資料、人心、關鍵樞紐等也可以被掌握先進網路技術的敵對國家肆意掠奪。
網路安全,已經成為我國綜合安全「大盤」的重要組成部分。可以說,沒有網路安全就沒有國家安全。
應對網路安全,我們除了加強技術力量外,強化「心防」力量應該成為重中之重。互聯網是我們面臨的「最大變數」,搞不好也會成為「心頭之患」。特別是網上意識形態工作關乎旗幟、道路和國家政治安全,是我們必爭必守必占的核心陣地。一位學者指出:「21世紀掌握制網權與19世紀掌握制海權、20世紀掌握制空權一樣具有決定意義。」西方反華勢力一直妄圖利用互聯網扳倒中國。多年前,有西方政要就聲稱,「有了互聯網,對付中國就有了辦法」「社會主義國家投入西方懷抱,將從互聯網開始」。
於是,西方敵對勢力和我國少數「思想叛國者」利用網路,藉助電腦和手機等信息終端,惡毒攻擊我們的黨,抹黑新中國的開國領袖,詆毀我們的英雄人物,掀起歷史虛無主義的錯誤思潮,其根本目的是想用「普世價值」迷惑我們,用「憲政民主」擾亂我們,用「顏色革命」顛覆我們,用負面輿論謠翻我們,用「軍隊非黨化、非政治化」和「軍隊國家化」動搖我們。
在互聯網這個戰場上,我們能否拒敵於心門之外,直接關系我國意識形態安全和政權安全。這是一場沒有刀光劍影卻殺機重重的網上輿論戰爭。當年對付蘇聯,西方敵對勢力採取的手段之一就是意識形態領域的網路滲透。後來在南聯盟,在西亞、北非一些國家,他們故伎重演:通過顛覆對象國家的網路平台,採用斷章取義、移花接木等手法攻擊目標對象,從而以借刀殺人的方式,除掉現實世界的戰略對手。
心勝則興,心敗則衰。一個政權的瓦解往往是從思想領域開始的,政治動盪、政權更迭可能在一夜之間發生,但思想演化是個長期過程。思想防線被攻破了,其他防線也就很難守住。我們必須把網上意識形態工作的領導權、管理權、話語權牢牢掌握在手中,任何時候都不能旁落,否則就要犯無可挽回的歷史性錯誤。
然而,與敵對勢力長期把持網路輿論主導權,有組織、有目標、有計劃、有步驟地實施戰略進攻相比,我軍少數領導幹部還沒有在網路大潮中學會「游泳術」,缺乏對網上輿論斗爭形勢的清醒認識和憂患意識,缺乏在網上「領土」為黨為國為軍而戰的主動意識和擔當意識。
加強網上意識形態工作,就是捍衛國家和民族的最高利益,捍衛人民的根本利益。在這場斗爭面前,我們不能退也退不起,不能輸也輸不起。如果不重視網路安全,不把網上意識形態工作擺上位、抓在手,群眾就會被敵人拉走,軍隊就有變質變色的危險。可以說,我們最危險也危險在這個戰場,最關鍵也關鍵在這個戰場。
主戰場還是要上主力軍。在強國強軍的征程上,我軍不僅要在有形的傳統戰場上,堅決維護國家主權、安全和發展利益,也要在無形的網路戰場上,堅決捍衛意識形態安全和政治安全,這是我們義不容辭的責任。只有像當年守衛上甘嶺那樣,鉚在意識形態斗爭的主陣地、戰斗在最前沿,當好網上的「播種機、宣傳隊」,喚起「紅軍」千百萬,才能在築牢「網上長城」中當好突擊隊、生力軍,在這場沒有硝煙的持久戰中頂得住、打得贏。
㈦ 傳奇伺服器安裝防火牆,裝什麼防火牆,防護軟體最好
伺服器一般會有兩種使用方式,一種是託管的伺服器,或者是在IDC租用的伺服器,此時需要的是單機防火牆;另外一種是公司學校的區域網伺服器,這種一般是作為網路出口的橋頭堡,保護整個區域網的安全,這時要使用專門的網關防火牆。
幾款單機版防火牆比較適合於擁有IDC伺服器的用戶:
BlackICE Server Protection , Cyberwall PLUS-SV
KFW傲盾防火牆伺服器版.
伺服器網關防火牆: ISA Server
㈧ 清遠橋頭堡戰略是什麼意思
人家問的是清遠,1樓的貼網路上雲南橋頭堡戰略出來幹啥?誤導提問人啊!
以下是我在清遠日報找到的答案,采不採納沒關系,關鍵是1樓這坑爹回答太氣人了:
清遠就是橋頭堡
為了學習貫徹市第六次黨代會精神,幫助廣大讀者深刻理解市第六次黨代會關於全面實施「橋頭堡」戰略精神,16日,本報邀請社會各界匯聚一堂,就如何全面實施「橋頭堡」戰略舉辦論壇。請讀者關注。
實施「橋頭堡」戰略開拓內地市場
林為民(市科協黨組書記、副主席)
清遠有著得天獨厚的區域優勢,一頭緊臨珠三角核心區,一頭接壤國內市場腹地,地處珠三角與內地市場的結合部,承外啟內,左右逢源,清遠完全有條件成為珠三角地區和廣大內地市場主體南融北拓的「橋頭堡」。因此,葛長偉書記在黨代會報告中提出「全面實施『橋頭堡』戰略,推動清遠經濟社會發展實現新跨越」,非常切合當前國際國內經濟形勢和清遠的實際情況。
「橋頭堡」在路橋經濟研究中,是一個有特定內涵的重要概念。港口的性質、運輸線路的便捷和政府部門的定位,是確定「橋頭堡」的主要依據。融國際運輸中心、金融中心、信息中心為一體的國際商貿中心是橋頭堡的主要功能定位。清遠提出橋頭堡的發展戰略,具有劃時代的眼光。咬文嚼字地講,「橋頭堡」一詞在《現代漢語詞典》里有三個意思,其中一個就是泛指作為進攻的據點。所以,「橋頭堡」戰略不是「守」,反而是進攻的態勢。實施「橋頭堡」戰略突破了清遠過去以珠三角為單一參照系的思維定勢,著眼於新的歷史發展時期和國內外經濟發展格局調整的大背景,以更加開闊的視野和更主動的姿態,進一步審視和明晰清遠的發展定位,調整我們的發展思路,確立我們今後新一輪發展的戰略方向。
實施「橋頭堡」戰略是加快轉型升級,建設幸福清遠,實現我市經濟社會發展新跨越的重要戰略。我們必須緊緊抓住珠三角產業轉移的機遇。深化研究與珠三角核心地區產業及城市功能的互補,提升清遠的產業層次和城市發展水平,加快與廣佛城市圈發展的對接。
另外值得一提的是,在實施「橋頭堡」戰略過程中,必須重視開拓潛力巨大的內地市場。當前內地有實力的企業正瞄準我市緊臨珠三角核心地區的優勢位置和相對低廉的要素成本,構建進入珠三角市場的前沿陣地。我們要把內地市場作為我市企業重點開拓的新領域,也把內陸省份的優勢產業和企業作為我們招商引資的重要來源。這樣來確立我們清遠新一輪發展新的部署,才能形成清遠新一輪跨越發展的新優勢。
清遠如何構建「橋頭堡」
林海龍(市委黨校常務副校長)
「橋頭堡」發展戰略繼承了清遠歷屆政府的發展理念,而且更重要的是有創新。理論創新是一切創新的先導,「橋頭堡」戰略就是個理論的創新,它標志著我們的發展方式從重視量的增加到重視質的提升。珠三角地區目前的發展空間已經很窄小,必然要擴散轉移。清遠如何來迎接,以什麼優勢來吸引珠三角以及內地的企業過來?我們提出「橋頭堡」戰略,正是為了搶占發展先機。
打造交通基礎設施的立體網路,構建交通基礎設施的「橋頭堡」我們按照「一小時生活圈」的理念和要求,加強高鐵、高速公路、北江黃金水道、機場快速等交通基礎設施和珠三角的對接,此舉將大大促進清遠工業、會展業、旅遊業、房地產業等現代服務業的大發展。
構建產業集聚,轉型升級的「橋頭堡」林海龍認為,清遠要構建高端產業集聚,轉型升級的「橋頭堡」。清遠經濟發展必須與珠三角產業結構優勢互補,錯位發展。清遠不能走珠三角發展的老路,承接珠三角的產業轉移要從招商引資轉變到招商選資,重點引進戰略性新興產業、綠色節能環保產業,引進產業鏈條的中高端企業,提高產業的技術含量,如深高速、碧桂園、約克空調、王老吉涼茶等;引進資金和技術改造陶瓷、水泥、再生銅等傳統產業。
以城市化為抓手,把清遠建設成為宜居、宜游、宜工、宜商的「橋頭堡」首先要加快城市化進程。2010年,清遠城市化率為47.5%,與全省的66.08%相差甚遠。清遠要通過發展教育事業,加快和提升工業化水平,發展現代服務業,促進清遠城市化和服務水平的提升。按照「兩區、兩城」的城市定位,清遠城市化要與珠三角的城市功能互補,提高城市化水平,爭取到2015年城市化率達到55%以上。其次是要提高城市的承載能力。一要建設宜居城市,提高規劃的層次和水平,完善城市的功能配套;保護好自然環境,實現綠色發展,這是清遠未來發展的最大優勢和特色。二要建設人文清遠,加強社會管理、教育、文化、衛生以及城市基礎設施的配套建設,提升清遠的軟實力,營造招商引資的軟環境,把清遠建設成為產業和人才集聚的高地、招商引資的窪地。
加強理論武裝
每個新戰略的提出,大眾在了解和接受上需要一個過程,這要靠宣傳(論壇就是一種形式),使各級領導幹部、人民群眾都明白「橋頭堡」的內涵,並且如何實施。各個領域都要有貫徹落實「橋頭堡」發展戰略的任務和執行。我們還要形成文化的自覺、發展的理論和思路。
實施「橋頭堡」戰略的路徑建設
劉慶國(市委黨校主任)
市第六次黨代會有一個最新的亮點,就是提出了「橋頭堡」戰略。以前我們眼睛一直瞄準珠三角,第六次黨代會提出的「南融北拓」戰略讓我們的視野更加廣闊。
在講全面實施「橋頭堡「戰略的路徑建設上,我的觀點有三個。
優化環境是全面實施「橋頭堡」戰略的重要前提。清遠是一個後發地區,也是一個新型城市,我們要避免一種「班加魯爾」現象,即迅速地繁榮起來,又迅速地衰落下去。青山綠水是我們最大的優勢,不能破壞。而且,我們還有能源優勢,一定要有效利用,避免粗放型。對我市的稀土、水泥的發展,我認為應該謹慎、有序地發展。要避免污染。另外是社會環境,比如我們說的文化要大發展大繁榮,這個我們要抓住契機,畢竟教育和人才是經濟發展的一個重要支撐。現在清遠只有一個高職院,在提供智力支持,提供高熟練的技工人才方面我們沒有優勢。清遠缺乏人才,與其天南地北的招聘人才,為什麼我們不自己培養人才呢?再者,清遠的交通環境,從空間來說是有優勢的,但交通建設方面需要進一步完善。比如縣與縣之間,縣與鎮之間的道路是不好走的。再來是穩定的環境,沒有穩定的環境,外來的企業家就難以安心地工作、發展、投資。
轉型升級、追求自變是全面實施「橋頭堡」戰略的關鍵。我們要謹慎有序地發展傳統產業,不能走東莞的老路;大力引進高新產業和世界500強企業;大力發展高端商貿服務業,提升產業的檔次;加強自主創新能力,提高競爭能力;引進高端人才,大力發展教育。
注重民生,確保社會的公平正義,是全面實施「橋頭堡」戰略的重要保證。社科院做過一個調查報告,在10個城市150個富裕家庭、150個貧困家庭里展開一項調查,不管富的還是窮的家庭都對收入不滿意。富人說:「我們應該給貧困者提供最基本的醫療、教育等待遇,不然我們感到不安全。」所以說,改善民生是眾望所歸的。葛書記在參加機關一團的討論中也多次強調,落實「橋頭堡」戰略最重要的標准就是「富民強市」,要落實到群眾身上。但這並不意味著群眾收入高了,幸福感就強了。如果收入高了,但對周圍的環境不滿意,他的公平得不到伸張,自由得不到發揮、合法權益也得不到保障的話,那麼這個社會也是有問題的。因此,只有每個人對自己的生活指數滿意了,幸福感上升了,社會的經濟發展也肯定會上去了。
開啟新思路,適應新戰略
劉國華(市委宣傳部副部長、市文聯主席)
劉國華認為,戰略作為指導全局的總方針、總計劃,它也應該應歷史時期的不同而不同。這次黨代會提出一個嶄新的、適應當今清遠實際的「橋頭堡」戰略,這是件非常好的事情。
視野要進一步擴大。「橋頭堡」戰略與扶貧戰略、「後花園」戰略、「三化一園」戰略、「四個化」戰略有很大的不同,最大的不同在於,「橋頭堡」戰略是站在清遠建市23年的基礎上,審時度勢,綜合天時地利因素來制定的,這就註定了它的立意比以往任何一個戰略的立意都要高,所以我們要全面實施「橋頭堡」戰略,就要求廣大幹部群眾進一步擴大視野,時時事事都要既看到清遠、看到珠三角,還要看到鄰近省份,更要看到廣大的內地乃至國外。
思維方式要進一步轉變。無論是考慮問題、制定政策,還是向上級申請相關的扶助,都要圍繞「橋頭堡」戰略來進行,都要盡力爭取珠三角地區跟廣大內地的聯動,爭取做到一石二鳥。同時也要努力避免把「橋頭堡」戰略單純地、片面地理解為經濟發展戰略,而應該理解成今後一段時期,清遠經濟社會的發展戰略,教育、文化、科技、幹部培訓等方面都要早日實現與「橋頭堡」戰略的對接和對應。工作作風要進一步改進。要圍繞「橋頭堡」戰略多做深入的、細致的、科學的、合理的調查、分析、研究、可行性論證,為全面實施「橋頭堡」戰略多進取、多作為、多貢獻。
選擇取捨要進一步講究。「橋頭堡」戰略的提出,要求我們心胸要進一步寬闊,選擇取捨都要站在「橋頭堡」戰略的高度,包括招商項目的選取、確立,重點扶持產業的調研、推銷,政策措施的立、改、廢等等,都要符合新的歷史條件下,清遠新的發展定位的性質,都要符合新的發展戰略的要求。
體制機制要進一步改革。「橋頭堡」戰略肯定是要求我們進一步反對保守,不斷加大改革開放的力度,那麼今後我們的行政體制、用人機制、政績考核機制等方面,都要圍繞怎麼樣更有利於推進經濟社會的轉型升級、怎麼樣跟「橋頭堡」戰略更加協調,來進行一系列卓有成效的改革。
宣傳能力要進一步增強。宣傳本身是我們黨的一大傳統優勢,但是宣傳要因時而異、因地而異、因人而異、因發展戰略的不同而異。清遠在「橋頭堡」戰略中不僅要考慮到鄰近的省份,還要迎合中原、西北等省份的口味,宣傳的能力、文化的傳播能力都要進一步加強,才能強勢推進「橋頭堡」發展戰略。
通江達海的「橋頭堡」
黃榮茂(清遠市委黨校副校長)
站在新的歷史起點上的清遠,需要一個高屋建瓴的戰略,以匯聚八方要素,形成發展合力,持續成為南中國的投資熱土。
清遠位居廣東,襟領東西,貫通南北,具有「橋頭堡」的獨特優勢。
未來8年左右,清遠將形成「五縱三橫」的高速路網,海陸空立體交通條件具備。清遠獨特的區位交通條件,具有「橋頭堡」的獨特優勢。正如葛長偉書記在報告中指出的那樣,「清遠作為粵東西北唯一一個一頭緊臨珠三角核心區,一頭接壤國內市場腹地的地區,地處珠三角與內地市場的結合部,區位優勢得天獨厚,交通網路四通八達,承外啟內,左右逢源。」清遠的轉型升級需要一個戰略支點和超級平台,匯聚八方要素,形成新的增長極。
轉型升級需要一個超級平台來聚匯國內外的高質量的要素,形成新的增長極,充分利用華南和珠三角兩個不同的資源和優勢,內外結合,雙向出擊,既可以利用珠三角產業、市場、信息,也可以利用華南地區蘊藏的人才、自然資源、技術優勢,南北合作,實現互利共贏。珠三角和粵湘鄂贛積累了巨大的經濟能量,並處於黃金發展期,清遠可以發揮橋頭堡的作用,一手挽起珠三角,一手挽起華南腹地。
清遠利用「橋頭堡」優勢,發揮溝通、聯系、匯聚、展示、共享功能,開發「兩個資源,兩個市場」,在「雙向開放」中大展拳腳,拓展空間。清遠的「橋頭堡」作用充分發揮以後,可以溝通佔全國五分之
一的經濟分量,將為清遠轉型跨越提供充足的動力,將大大提升清遠的發展空間。「橋頭堡」戰略的核心內容是「南融北拓」。
「南融」就是爭取珠三角的入場券,可以借鑒肇慶、惠州的方式,爭取「9+1」的方式加入珠三角,和廣佛肇一起打造「廣清佛肇」城市圈。
「北拓」主要抓好三件大事:一是解決切入產業鏈高端的技術支撐問題,利用華南地區人才技術密集、科研院所眾多的優勢,不求所有但求所用,有針對性地形成多層次、寬領域、多元化的技術聯盟機制;二是拓展市場空間,開拓華南市場;三是吸引華南腹地及內陸地區高端人才,創新團隊,為清遠轉型升級提供智力保障。
「橋頭堡」戰略不可忽視三個依據
鄒錫恆(市社科聯副主席)
黨代會報告中提到,清遠建市23年,如果說從建市到上世紀末的十幾年是打基礎,進入新世紀以來的十年經濟快速增長,使我市從一個落後的山區市躋身全省經濟總量的中遊行列、成為粵北山區發展的排頭兵,實現了第一次跨越。那麼今後五到十年,我們的中心任務是圍繞富民強市,加快轉型升級,提升產業層次和發展質量,提高人民群眾生活水平和幸福指數,實現清遠發展的第二次跨越。
鄒錫恆認為,第二次跨越的發展模式,與第一次跨越中基本上發展中低端產業為主的生產模式不同,不是將經濟作為唯一的考核指標,而以建設幸福清遠為核心,加快轉型升級的步伐,把工作重點轉移到社會管理服務,使經濟建設、社會建設、政治建設、文化建設、生態建設和黨的建設取得明顯成效,並提出今後清遠經濟社會發展的戰略———「橋頭堡」戰略。「橋頭堡「戰略的提出,鄒錫恆認為必須要參考幾個很重要的依據。
第一個依據是《珠江三角洲地區改革發展規劃綱要》,裡面最重要的精神就是中央賦予廣東先行先試這把「尚方寶劍」。
第二個依據是省里對清遠城市發展的戰略定位———大廣州衛星城、環珠三角高端產業成長新區、華南休閑宜居名城。華南休閑宜居名城是在後花園戰略上的提升,清遠作為橋頭堡,在遊客集散中心和集散服務方面也是很重要的,依託珠三角這么龐大的一個消費市場,使它的資源和財富流向清遠。
第三個依據是主體功能區,根據劃分,北部地區是生態發展區,南部地區是重點開發區,那麼清遠的布局和城市化建設就要做出相應的調整。調整以後,功能區就要通過橋頭堡的作用,通過南北吸附和輻射的作用,形成相關的產業,比如都市農業就是城市的米袋子和菜籃子,北部地區最大的優勢就是珠三角沒有糧食產區,需要外地供應,我們形成一個優質的生產基地,就可以把大量的農副產品吸附過來,流向珠三角城市群,我們的生態農業就可以利用北邊的地理氣候條件等,生產綠色食品,以質量為優以價格為上。
本版筆談由:黃慧禎黃蓓茵沈艷莉/整理張大崗/圖
㈨ 政治問題。我們應該如何用好互聯網,過健康自主的網路生活
一、優化小學生網路生活環境,提高小學生網路生活幸福度
網路這把「雙刃劍」在開啟一種全新文化空間的同時,正以常人難以想像的速度、力度、深度和廣度影響著小學生的生活方式、價值觀念、行為方式。面對網路的利弊,學校德育應興其利、去其弊,在優化小學生網路生活環境,促進小學生身心健康成長方面進行積極探索和實踐。一、優化小學生網路生活環境,提高小學生網路生活幸福度
網路這把「雙刃劍」在開啟一種全新文化空間的同時,正以常人難以想像的速度、力度、深度和廣度影響著小學生的生活方式、價值觀念、行為方式。面對網路的利弊,學校德育應興其利、去其弊,在優化小學生網路生活環境,促進小學生身心健康成長方面進行積極探索和實踐。
1.硬軟環境兩手抓
由於小學生的網路生活場所主要是校園和家庭,因此我們首先做的就是通過著力抓軟環境建設,在教師、學生、家長三者的價值觀中實現兩個轉變,樹立新的網路觀。即網路既不是什麼「天使」,也不是什麼「魔鬼」,它只是人類科學發展的產物,是我們認識改造自然和社會的工具,是師生學習的工具和手段,是我們生活方式和學習方式的一個方面。只要我們信守自己的信念和追求,恪守我們的道德和修養,牢記我們的使命和責任,勿忘小學生的品位與特質,就一定能做到文明上網,綠色上網,實現生命的健康成長。有了這樣的科學網路觀,教師和家長就能自覺地、有信心地為學生去營造一個生態的、和諧的網路生活環境,從而實現了從原本禁、堵為主的封閉式教育觀念轉到疏、導為主的開放式教育觀念,從被動「救火」型的教育方式轉到主動預防型的教育方式這兩個轉變。
如果說軟環境建設是為學生營造了一種良好的網路生活氛圍,那麼硬環境建設則是讓學生真正體驗網路生活樂趣的實踐基地。因此學校應重點抓好學生網路生活的橋頭堡——「校園網」的建設,學校不但要經常向學生推薦優秀網路,如雛鷹網、科普網、中國兒童網、小精靈兒童網、中國公眾科普網等對青少年兒童有益的網站,日益完善校園學習、德育、休閑等網站資源,而且還要利用校園網路實現學校管理自動化,如建立基於Moodle平台下的年段、班級信息數字化管理,使學生的學習、生活、成績、評語、獎懲記錄、身體發育等各方面成長軌跡在數字化管理系統中保存完好。學校做到班班有電腦,班班有班級管理網頁、學生個人博客,校園大廳、連廊增設數碼信息區的電腦數量,鼓勵學生在課余積極上網進行探究性學習實踐活動。學校分設校級和班級兩級管理員並有計劃地組織培訓,使學生不但能在校園網路資源庫中自由馳騁,還能參與校園網路自主管理,真正成為網路生活的小主人。
2.網路生活法制化
小學生年齡小,心智不夠健全,往往是沖動多於理智,這就意味著家長和教師在進行科學、文明網路生活引領的同時,還需要基本的強制性他律來規范其行為,需要把法制教育與加強管理和道德教育結合起來。法治與科學化規范化管理,是小學生網路道德形成的基礎和起點,也是小學生網路生活幸福的保障。
學習機制:學校在信息技術課上加強對小學生網路知識和技能的教育培訓,開展網路小知識競賽、師生辨論,舉辦主頁設計、打字速度比賽等活動,讓學生比較全面地了解網路知識,掌握網路技術,並懂得利用網路去獲取知識、搜索信息、促進創新。
誠信機制:學校應定期組織學生開展學習《青少年網路公約》,宣讀《中國青少年綠色網路宣言》並進行百人橫幅簽字,開展綠色網路夏令營等活動,通過教育激發和喚起學生內心的誠信,學生有了誠信內驅力,加上教師、家長的引導和同伴的提醒督促,就能在網路生活中較好地踐行網路誠信,為網路的健康有序發展盡小網民應盡職責。
監控機制:學校可在校園網上構築信息海關,攔截危害小學生的垃圾信息,建立先進的網路監控技術,利用網路自身先進的技術手段加強網路安全防範;學校還可以通過家校聯動,為學生網路生活建章立制,指導孩子接觸健康網路,現選擇有效信息,共同創建一個有良好監督引導機制的網路教育環境。
評價機制:平時學校通過家校聯合對學生上網行為進行監督,發現問題及時疏導、糾正,並建立相應的學生網路生活日常行為評價體系;期末學校可在學生成長手冊——信息技術這門學科的評價中,把以往「基礎知識」和「操作」兩項評價改成了「網德表現」、「知識掌握」、「操作規范」三項評價,前一項重點由教師、家長、同伴根據學生在學校、家庭的網路生活態度、行為表現進行自評、互評及綜合評議,後兩項則由信息技術教師根據學生日常課堂表現綜合評定。這樣對學生的信息能力綜合素養的評價顯得更科學、合理。
二、加強學校網路德育隊伍建設,提高自身素質和科學引領水平
網路德育隊伍是引領小學生網路生活的骨幹力量,是一支具有過硬的思想政治教育素質,兼備熟練的網路技術的德育工作者隊伍。學校的網路德育隊伍一般由班主任、思品教師、信息技術教師組成。他們一方面要加強對學生的正確引導,採取有力的措施,積極控制、凈化信息資源,要教育學生正確認識網路,有責任地使用網路;另一方面要重視學生心理素質的培養,了解他們的心理需求,組織各種有益的活動幫助學生擺脫心理困境,提高對網路善惡是非的判斷能力。
1.網路德育工作者自身素質提升
學校通過全員培訓及理論知識競賽、實踐操作比賽等途徑,促進教師先進網路技術和自身網路道德素養的提升,從而使德育工作者具備更強的信息技術能力,擁有更高的信息素養。有了這樣一支德才兼備的校園網路德育工作隊伍,就能以身垂範做學生網路生活的領路人。
2.網路德育工作者引領水平提升
在學校網路德育工作這支隊伍中,往往是班主任、思品教師擅長通過集體談話、個別談心、情景創設、行為辨析等方式對學生思想、心理上進行導航,而信息技術教師則側重從網路知識和技能方面對學生教育普及。為了提高網路德育工作者整體的育人水平,學校則更多的強調教師之間的相互學習、相互融合,並以課題科研論壇的形式促進相互提升,從而能使網路德育工作者從網路中發現更多積極的因素,因勢利導,科學引領學生文明、規范上網,養成良好的網路生活習慣,促進學生健康成長。也能科學指導家長如何家校聯動,創設良好的家庭網路環境,督促孩子在閑暇時間的上網行為,從小培養學生的網路信息素養。
3.網路道德教育走上正軌
學校通過組建校園網路德育隊伍,通過科學、規范地有效培訓和引領,使得原本對學生網路信息素養不夠全面的局面得以徹底改觀。學校把網路道德教育納入學校的德育工作體系,並且藉助網路的先進技術創新德育模式,開辟德育新途徑,打開網路環境下學校德育新局面。學校對網路德育這一塊工作有計劃、有目標,並把班級學生的網路生活日常行為評價考核結果與網路德育隊伍教師引領效績考核掛鉤,這樣明確的工作方向就能極大地調動教師工作的自覺性、主動性和積極性,使校園網路道德教育走上正軌。
三、拓展教材隱性資源,開發學校網路德育課程
要上網先養德,這如同駕駛員要上路必須先考駕照一樣的道理,然綜觀現實,小學生觸網年齡在趨向低齡化,而相應的網路道德教育卻呈滯後甚至缺乏現象。為了清掃目前這一德育盲區,學校應在保證原有設置課程不影響的情況下,挖掘整理現用信息技術課程中的德育資源,研究信息技術課德育滲透策略,同時在德育類課程(品生、品社、班隊、晨間活動等)中充實網路道德素養教育,努力做到了學校網德教育進課堂。
當然,有條件的話,學校可以以「及時到位的德育關懷和正確引導」為口號,自編小學生網路生活引領教材,其內容體系涉及網路精神教育、網路學習教育、網路法紀教育、網路保健教育、網路休閑教育、網路交往教育、網路安全教育、網路禮儀教育、網路誠信教育、網路情感教育、網路語言教育等。這樣,在校的每一位學生都可以接受較系統的網路生活科學引領。自編的網路德育教材內容應根據小學生不同年齡特點分層落實並逐步完善。
四、建立互聯德育立體網路,增強網路生活引領實效
學校利用互聯網路的快捷性、共享性等優勢,克服傳統德育網路聯系不便,溝通不及時,受時間、空間和人員條件制約、可操作性不強等弊端,使真正的開放式德育立體網路的建立成為可能。
1.建立家長網路學校,利用社區論壇BBS功能,聘請專家或有經驗教師擔任輔導員,定期上網與學生交流,對學生進行心理。
2.開展網路心理輔導,開發BBS功能,利用E-mail開展網路心理輔導。
3.建立網路德育基地,開展網路綜合實踐活動,增強學生網上文明操作參與度,增強實踐體驗,提高德育實效。
4.建立健全學校、年級、班級的三級家長委員會,通過家校、警校、區校文明共建這樣「三位一體」的管理機制,相互協調,形成一個網路化管理整體,從而使學校、家庭周邊的網路環境得到優化。同時我們正在與中國移動通信公司合作建設的「校信通」管理平台,利用現代信息和通訊技術,通過互聯網和移動通訊工具傳播和交流學生的學習信息、行為規范信息,構築學校與家庭和社區聯系交流的便捷通道,實現對學生的即時監控和信息反饋。
綜上所述,隨著網路信息時代的迅速發展,學校教育將進一步關注小學生的網路生活,研究一種符合小學生身心發展的引領模式,本著科學的態度和人文情懷對小學生進行先進網路文化引領,並通過環境創設、實踐活動等讓小學生加強網路實踐體驗,增強網路德育內省,積極提升本校小學生「網商」,這是學校教育培養小學生網路生活品質的最終目標和歸宿。