欢迎访问发表云网!为您提供杂志订阅、期刊投稿咨询服务!

网络安全渗透技术大全11篇

时间:2024-01-15 15:01:30

网络安全渗透技术

篇(1)

保证信息安全不发生外泄现象,是至关重要的。可是,现在我国信息安全保障和其它先进国家相比,仍难望其项背,还有不少问题迫切需要我们着手解决:

中国保证信息安全工作经历了三个时期。第一时期是不用联网,只作用于单一电脑的查杀和防控病毒软件;第二个时期是独立的防止病毒产品向为保证信息安全采用的成套装备过渡时期;第三个时期是建设保证信息安全的系统时期。

1 需要解决与注意的问题

信息安全保障的内容和深度不断得到扩展和加深,但依然存在着“头痛医头,脚痛医脚”的片面性,没有从系统工程的角度来考虑和对待信息安全保障问题;信息安全保障问题的解决既不能只依靠纯粹的技术,也不能靠简单的安全产品的堆砌,它要依赖于复杂的系统工程、信息安全工程(system security engineering);信息安全就是人们把利用工程的理论、定义、办法和技术进行信息安全的开发实施与维护的经过,是把通过岁月检验证明没有错误的工程实施步骤管理技术和当前能够得到的最好的技术方法相结合的过程;由于国家8个重点信息系统和3个重点基础网络本身均为复杂的大型信息系统,因此必须采用系统化方法对其信息安全保障的效果和长效性进行评估。

2 安全检测标准

2.1 CC 标准

1993年6月,美国、加拿大及欧洲四国协商共同起草了《信息技术安全评估公共标准CCITSE(commoncriteria of information technical securityevaluation)》,简称 CC,它是国际标准化组织统一现有多种准则的结果。CC标准,一方面可以支持产品(最终已在系统中安装的产品)中安全特征的技术性要求评估,另一方面描述了用户对安全性的技术需求。然而,CC 没有包括对物理安全、行政管理措施、密码机制等方面的评估,且未能体现动态的安全要求。因此,CC标准主要还是一套技术性标准。

2.2 BS 7799标准

BS 7799标准是由英国标准协会(BSI)制定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,包括:BS 7799-1∶1999《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则;BS7799-2∶2002 以 BS 7799-1∶1999为指南,详细说明按照 PDCA 模型,建立、实施及文件化信息安全管理体系(ISMS)的要求。

2.3 SSE-CMM 标准

SSE-CMM(System Security EngineeringCapability Maturity Model)模型是 CMM 在系统安全工程这个具体领域应用而产生的一个分支,是美国国家安全局(NSA)领导开发的,它专门用于系统安全工程的能力成熟度模型。

3 网络安全框架考察的项目

对网络安全进行考察的项目包括:限制访问以及网络审核记录:对网络涉及的区域进行有效访问控制;对网络实施入侵检测和漏洞评估;进行网络日志审计并统一日志时间基准线;网络框架:设计适宜的拓扑结构;合乎系统需求的区域分界;对无线网接入方式进行选择方式;对周边网络接入进行安全控制和冗余设计;对网络流量进行监控和管理;对网络设备和链路进行冗余设计;网络安全管理:采用安全的网络管理协议;建立网络安全事件响应体系;对网络设备进行安全管理。网络设备是否进行了安全配置,并且验证设备没有已知的漏洞等。对网络设置密码:在网络运输过程中可以根据其特点对数字设置密码;在认证设备时对比较敏感的信息进行加密。

4 安全信息检测办法

4.1 调整材料和访问

调整材料和访问是对安全信息检测的手段。评估人员首先通过对信息系统的网络拓扑图、安全运作记录、相关的管理制度、规范、技术文档、历史事件、日志等的研究和剖析,从更高的层次上发现网络系统中存在的安全脆弱性。并找准信息资产体现为一个业务流时所流经的网络节点,查看关键网络节点的设备安全策略是否得当,利用技术手段验证安全策略是否有效。评估专家经验在安全顾问咨询服务中处于不可替代的关键地位。通过对客户访谈、技术资料进行分析,分析设备的安全性能,而且注意把自己的实际体会纳入网络安全的检测中。

4.2 工具发现

工具发现是利用扫描器扫描设备上的缺陷,发现危险的地方和错误的配置。利用检测扫描数据库、应用程序和主机,利用已有的安全漏洞知识库,模拟黑客的攻击方法,检测网络协议、网络服务、网络设备、应用系统等各主机设备所存在的安全隐患和漏洞。漏洞扫描主要依靠带有安全漏洞知识库的网络安全扫描工具对信息资产进行基于网络层面安全扫描,其特点是能对被评估目标进行覆盖面广泛的安全漏洞查找,并且评估环境与被评估对象在线运行的环境完全一致,从而把主机、应用系统、网络设备中存在的不利于安全的因素恰切地展现出来。

4.3 渗透评估

渗透评估是为了让使用的人员能够知道网络当前存在的危险以及会产生的后果,从而进行预防。渗透评估的关键是经过辨别业务产业,搭配一定手段进行探测,判断可能存在的攻击路径,并且利用技术手段技术实现。由于渗透测试偏重于黑盒测试,因此可能对被测试目标造成不可预知的风险;此外对于性能比较敏感的测试目标,如一些实时性要求比较高的系统,由于渗透测试的某些手段可能引起网络流量的增加,因此可能会引起被测试目标的服务质量降低。由于中国电信运营商的网络规范庞大,因此在渗透测试的难度也较大。因此,渗透层次上既包括了网络层的渗透测试,也包括了系统层的渗透测试及应用层的渗透测试。合法渗透测试的一般流程为两大步骤,即预攻击探测阶段、验证攻击阶段、渗透实施阶段。不涉及安装后门、远程控制等活动。

我国信息安全要想得到保证,需要有一定的信息安全监测办法。依靠信息安全监测办法对中国业务系统和信息系统整体分析和多方面衡量,将对中国信息安全结论的量化提供强有力的帮助,给我国所做出的重要决策实行保密,对中国筹划安全信息建设以及投入,甚至包括制定安全信息决策、探究与拓宽安全技术,都至关重要。因而,制定我国信息安全检测办法,是一项不容忽视的重要工作。

【参考文献】

[1]曹一家,姚欢,黄小庆,等.基于D-S证据理论的变电站通信系统信息安全评估[J].电力自动化设备,2011,31(6):1-5.

[2]焦波,李辉,黄东,等.基于变权证据合成的信息安全评估[J].计算机工程,2012,38(21):126-128,132.

篇(2)

Study of Kali Linux Web based on Penetration Testing

Xu Guang

(Fuzhou Central Branch of People's Bank of China FujianFuzhou 350003)

【 Abstract 】 With the widespread of Internet applications, the Internet is playing an increasingly important role in all aspects of social life; at the same time, the application of Web system security is facing a severe test, Web penetration testing technology has become an important means to ensure the security of Web. In this paper,based on the research of the weak in Web system security and the common vulnerability , by the analysis of the basic steps of Web attack, proposes a method of Web based on penetration test Kali Linux, in order to achieve the purpose to evaluate and improve the security of Web application system.

【 Keywords 】 web security; penetration testing; kali linux

1 引言

随着Web技术的日益成熟,Web应用系统已被广泛应用于电子政务、电子商务等领域,不断向公众提供各种信息和服务。Web 技术极大地改变了人们工作和生活方式,网上购物已成为人们日常生活非常重要的一部分。根据中国互联网络信息中心的数据,截至2014年6月,中国网民已经达到6.32亿,网站273万家,国内域名数1915万个,2013年,我国网络购物用户超过了3亿,交易金额达到了1.85万亿元人民币。然而,在Web 应用技术迅猛发展的同时,由于Web应用及其运行环境先天的脆弱性,Web 应用系统容易出现安全问题。

据《2014中国网络空间安全发展分析报告》显示,2014年上半年,我国大约有2.5万余个网站遭黑客入侵和篡改。近年来,网站信息泄露事件频发,包括国内最大的程序员网站CSDN、天涯社区、12306等知名网站的用户信息外泄,在网上曝光的用户信息条数过亿。曝光的网站攻击事件,仅是冰山一角,更令人不安的是,有33%的组织不知道自己的网站是否受到入侵。Web应用系统的安全面临着严峻的现实考验,如何保证Web网站安全已成为一个重要的研究热点。Web 渗透测试因此成为评估Web 网站安全的一个重要的手段。

2 渗透测试相关概念

渗透测试(Penetration Testing)作为网络安全防范的一种新技术,就是在实际网络环境下,由高素质的安全人员发起的,经过客户授权的高级安全检测行为,通过模拟恶意黑客的攻击方法,来评估计系统安全的一种评估方法。评估方法包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。渗透测试可以高度仿真地反映客户系统面临的风险,在渗透测试的过程中,充分暴露和发掘潜在的漏洞,揭示目标系统中存在的安全缺陷。

Kali Linux(前身是 Back Track)是一个基于Debian的高级渗透测试和安全审计Linux发行版。它集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用。其预装了许多渗透测试软件,包括如Nmap (端口扫描器)、Wireshark (数据包分析器)、John the Ripper (密码破解器),以及Aircrack-ng (一套用于对无线局域网进行渗透测试的软件)。

3 Web安全脆弱性分析及常见漏洞

在Web应用程序出现之前,主要在网络边界上抵御外部攻击,主要通过防火墙、IDS、SSL 加密、防篡改系统以及安全审计等手段保障网络和系统的安全。Web应用程序的广泛应用使得系统安全边界发生了变化。用户要访问应用程序,边界防火墙必须允许其通过HTTP/HTTPS连接内部服务器;应用程序要实现其功能,必须允许其连接服务器之后数据库、大型主机等核心系统。如果Web应用程序存在漏洞,那么互联网上攻击者只需从Web浏览器提交专门设计的数据就可以攻破其核心后端系统。这些数据会像传送至Web应用程序的正常、良性数据流一样,穿透组织的所有网络防御。由于应用程序无法控制客户端,用户几乎可向服务器端应用程序提交任意输入。如果应用程序没有对输入进行合法性确认,攻击者可以使用专门设计的输入破坏应用程序,干扰其逻辑结构和行为,并最终达到非法访问其数据和功能的目的。系统与攻击者的数据交换仍属于正常访问,利用的只是应用系统的一些潜在漏洞,在这类情况下,大部分传统的安防手段就形同虚设了。

2013 年,OWASP(开放式Web应用程序安全项目,一个非盈利组织,旨在提高软件安全)组织公布了Web 系统十大安全漏洞。1)注入:包括SQL注入、操作系统注入和LDAP注入;2)失效的身份认证和会话管理;3)跨站脚本(XSS);4)不安全的直接对象引用;5)安全配置错误;6)敏感信息泄露;7)功能级访问控制缺失;8)跨站请求伪造(CSRF);9)使用含有已知漏洞的组件;10)未验证的重定向和转发。

4 Web攻击的基本步骤

所谓“知己知彼,百战不殆”。想要有效发现风险并保护网站的安全,首先我们要了解攻击者是如何进行Web攻击,才能做到有针对性的防御。Web攻击一般分为三个阶段。1)预攻击阶段:通过踩点及扫描进行信息收集;2)攻击阶段:漏洞分析与验证;3)后攻击阶段:嗅探,提权以及删除日志处理等。

预攻击阶段:采用各种方法收集攻击目标的信息,包括Whois、媒体网络、Google Hacking、社工库等来进行目标系统踩点。这个阶段,黑客需要对目标系统进行探查,了解其组织结构、运行模式、掌握目标系统所属的安全控制措施。如通过Whois了解目标的网段,注册信息等;通过DNS查询,获取域名信息,了解可能提供的服务;通过Nmap扫描,了解服务器端口信息,提供的服务信息。

攻击阶段:在获取目标系统信息之后,需要分析可能攻破的路径,配合漏洞扫描信息,定位最佳攻击路线,确定系统的最薄弱的受攻击面。“攻”与“防”是不对等的,“防”则意味着需要防护尽可能全的漏洞,而“攻”则往往只需要找到一个未防备好的弱点,就可以恶意利用,扩大战果了。攻击过程可能不会像预想的那么顺利,这个阶段需要做大量的尝试,可能会采用多种攻击方式,很容易留下痕迹,如果最终没取得目标系统权限,很容易在目标系统留下日志。所以攻击过程中,事先应要明确目标系统的漏洞,不能漫无目的的扫描攻击。

后攻击阶段:在获取了目标系统部分访问控制权限,比如一台服务器权限,就可以开始以特定业务系统为目标,识别出关键的基础设施,寻找目标系统最具有价值的资产,通过提权、建立后门等手段保持后续的入侵。同时为了掩盖攻击痕迹,攻击者还应该进行删除日志等处理。后攻击阶段是Web攻击过程中的关键环节,是最能体现高手和平庸小黑客区别的地方。

5 基于Kali Linux的Web渗透测试

结合Patrick Engebretson在《The Basics of Hacking and Penetration Testing》中对渗透测试过程的定义,基于Kali Linux的渗透测试包括:侦查、扫描、渗透、维持访问、报告等五个阶段,在渗透测试过程中可以利用Kali Linux预装的渗透工具提高渗透测试效率。

侦查:这个阶段的重点在于了解关于渗透目标信息系统的一切网络信息和组织信息。可以通过互联网进行搜素和对目标网络的可用连接进行主动扫描来完成。在这一阶段,渗透测试人员并不真正渗透进入网络防御中,而是识别并收集相关目标尽可能多的信息。这个阶段中除了利用Google搜索、Google Hacking、社工库、社交媒体、招聘网站等手段外,还可以使用Wget、Nslookup、DIG程序(Domain Internet Gopher)等Kali Linux预装渗透工具。

扫描:测试人员利用第一阶段获取的信息,对目标的网络和信息系统进行实际扫描。在这一阶段通过利用工具,一个更加清晰的网络和信息系统基础设施将成为接下来的渗透目标。可以用Kali Linux预装的Nmap、Hping3、Nessus等工具完成这一阶段的任务。

渗透:这对应着黑客在渗透阶段所做的工作。这个阶段的目标是在不被发觉的情况下通过运用系统的漏洞和成熟的技术入侵目标系统,并带出相关信息。Metasploit是这一阶段渗透人员最有力的工具之一。

维持访问:一旦系统被渗透后,可以通过留下后门和Rootkit(一种特殊的恶意软件,在安装目标上隐藏自身及指定的文件、进程和网络链接等信息)以便将来进行持续的渗透。使用Metasploit可以轻松创建特洛伊木马和后门程序以维持访问被入侵的系统。

报告:渗透人员向目标信息系统的主管和技术人员提交一份描述渗透过程的详尽报告,包括入侵过程中的每个步骤、漏洞利用方式以及系统的缺陷。

6 结束语

Web应用系统安全是一项动态的、整体的系统工程,其防护手段主要包括了防病毒、防火墙、入侵检测、漏洞扫描、数据备份与恢复等方面,但由于用户端输入的不可控,仍然存在来自应用层方面的种种不安全因素。因此,在做好常规安防措施的基础之上,应定期对Web系统开展渗透测试,利用Kali Linux这类自动化工具发现可能Web应用系统漏洞,并做好相应的安全加固和系统完善,以避免给企业造成严重的业务及虚拟资产上的损失。

参考文献

[1] James Broad,Andrew Bindner.Kali渗透测试技术实战.

[2] Dafydd Stuttard,Marcus Pinto.黑客攻防技术宝典:Web实战篇(第2版).

篇(3)

中图分类号:TP393 文献标识码:A 文章编号:1671-2064(2017)01-0027-02

1 引言

随着计算机网络技术的快速发展及其在各领域的广泛应用,社会各界也越来越重视信息网络安全问题,不断投入资源进行网络攻防演练和信息安全研究。考虑到计算机网络应用服务的实时性和高可靠性要求,难以直接在业务网络尤其是生产系统上进行网络攻防演练和渗透测试研究。网络靶场技术能够对真实业务网络进行模拟,在其上进行攻防演练能够避免对真实业务网络的破坏,并且成本低、部署灵活、过程可重复,是网络攻防演练和测试研究的有效途径。

网络靶场概念最初在军事领域提出,是为了满足信息化武器系统的研究需求而构建的信息安全试验平台,是一个贴近实战的信息战模拟环境[1]。由于网络靶场可以进行各种攻击手段和防御技术的研究,针对性制定安全性策略以及安全方案,并可进行定量和定性的安全评估,因此其在军事领域之外的其他信息安全研究领域也得到了广泛的应用。

本文根据网络攻击及防护技术在真实网络环境中的应用特点,基于云计算技术构建了网络攻防靶场平台,能够为网络攻防演练、渗透测试以及防护技术研究提供综合模拟环境,可应用于政府、企业以及高校等行业的网络安全实验室。

2 OpenStack云计算技术

云计算是一种基于互联网的计算方式和服务模式,它具有灵活动态分配资源、统一管理、有效降低管理维护成本等优势,因此基于云计算平台的网络靶场也具有高性价比和便于管理维护等优点。OpenStack是由开源社区开发维护的一个开源云计算平台,采用组件化的服务形式管理计算、存储以及网络资源池,支持自定义方式搭建灵活的云计算环境,其主要组件包括:

(1)运算组件Nova,是OpenStack的核心组件,负责虚拟运算和资源的调度;

(2)对象存储组件Swift,其以分布式对象存储方式存放虚拟机镜像文件;

(3)区块存储组件Cinder,分块存储,为虚拟机提供块存储设备;

(4)网络组件Quantum,管理虚拟网络系统;

(5)身份认证组件Keystone,用于身份认证和授权;

(6)镜像文件管理组件Glance,对虚拟机镜像文件进行管理;

(7)仪表盘组件Horizon,提供UI操作界面。

OpenStack通过以上组件提供可扩展、灵活的云计算平台,并且鉴于其开源特性以及强大的社区开发模式,本文采用OpenStack作为云平台构建网络靶场。

3 基于OpenStack技术的网络攻防靶场平台构建

3.1 设计目标

在实际业务环境中,网络攻击和防御是“道高一尺魔高一丈”的关系,手段也呈现多样性特点,所以近似真实业务网络是靶场设计的基本要求,并且靶场的设计应满足以下目标:

(1)网络攻防的指标参数应可以根据需要进行配置,比如拓扑结构、漏洞等级、设备参数以及评价指标等。

(2)可以进行多种模式的演练,以满足不同的演练需求,包括红蓝对抗和单兵作战。

(3)能够对演练过程和成绩进行实时监控和统计,并以图形化界面全程展示演练情况,具备一定的态势感知能力。

(4)在演练过程中,靶场应能够在运行资源和管理资源方面支持不同攻防场景的快速部署,从而全方位地对靶场进行安全性评估,重点完善薄弱环节,也能够通过丰富的演练场景,掌握网络攻击与防护的理论知识和实践技能。

(5)演练数据应被详细记录,通过数据处理和分析,评估靶场的安全性以及演练人员的技能水平,并进一步形成和丰富网络攻防实验模型和实验数据库。

3.2 总体架构

根据前述设计目标,基于云平台的网络攻防靶场在OpenStack基础设施之上模拟出多种设备和系统,包括网络设备、安全设备、主机设备以及操作系统,并能够完全贴近网络安全的各应用领域,例如网络设备安全、操作系统安全、数据库安全、Web应用安全、主机程序安全、移动设备安全以及中间件安全。功能模块主要有靶场信息管理系统、红蓝对抗系统和单兵作战系统。靶场系统又包括各种靶场场景,可以预设和修改,主要靶场场景包括ServU漏洞利用靶场、Windows漏洞靶场、Linux漏洞靶场、webshell利用、SqlServer提权靶场、SQL注入靶场、cookie分析靶场、ftp弱口令利用靶场、telnet弱口令利用靶场、系统登录弱口令利用靶场、电商网站靶场、新闻系统靶场、个人博客靶场、Wiki靶场、OA系统靶场等。系统总体架构如图1所示。

3.3 功能模块

3.3.1 靶场管理信息系统

靶场管理信息系统对整个靶场平台进行统一管理调度,采用B/S架构模式,无需安装客户端,升级维护灵活方便。其一方面通过API接口访问OpenStack云计算资源,另一方面负责对靶场场景进行镜像管理和参数配置,并提供实时监控、分析统计、可视化展示、系统管理等功能。靶场管理信息系统自身具备较高的安全防护能力,能够防止在攻防演练中受到攻击导致整个靶场平台的失效。

3.3.2 红蓝对抗系统

呈现红蓝对抗演练模式,即将演练者分为红方和蓝方两组进行网络攻防的对抗演练,以CTF(Capture the Flag)夺旗比赛模式进行,红方试图利用蓝方的安全防护漏洞获取蓝方的Flag,蓝方则尽力堵住自身安全漏洞,并反利用红方漏洞获取红方Flag,是一种对抗激烈的演练模式,对演练者的技能水平有较高考验。

3.3.3 单兵作战系统

主要训练考核演练者的攻击水平,系统为演练者提供了两台攻击机以及目标靶机,攻击机分别为预置有攻击工具的Windows操作系统和Kali Linux操作系统,目标靶机由系统管理员从靶场场景中选取设置,演练者通过攻击机对靶机进行渗透,获取过关文件,向系统提交过关文件后由系统自动进行判分,并给出实时成绩。

4 网络攻防渗透测试实例

本文对系统功能和各靶场场景逐一进行了测试,此处以Windows漏洞利用靶场场景为例阐述渗透测试过程。该靶场场景部署Windows xp SP1版本操作系统作为目标靶机,测试时使用靶场平台提供的Kali Linux作为攻击机,在攻击机运行漏洞扫描程序对目标靶机进行漏洞扫描,发现目标靶机存在MS08-067高危漏洞。于是攻击机启动Metasploit攻击框架,使用攻击模块,加载攻击载荷,对靶机进行渗透,从而获取到靶机的命令行权限,并添加用户、提权,最终获得靶机的最高控制权,取得Flag,渗透成功。

通过对网络攻防靶场系统全部功能模块和靶场场景的测试以及实践检验,证明该系统功能全面、运行稳定,达到了预期设计目标。

5 结语

篇(4)

1、前言

当今世界正在向信息时代迈进,信息已经成为社会、经济发展的“血液”、“剂”; 现代信息技术广泛地渗透到和改变着人们的生活学习和工作;信息产业正逐步成为全球最大的产业。在这股席卷全球的信息化浪潮的冲击下,各个学校的学习氛围无一例外的受到了现代信息大潮的强大冲击。学校的教育工作面临着前所未有的挑战。

学校德育工作作为学校教育的重要部分,德育是素质教育的核心。信息技术教育是落实素质教育的重要途径之一,将信息技术作为认知工具,以其他学科知识的学习过程作为载体,从而达到培养学生综合能力的目的,信息技术与德育相结合,有利于形成德育网络、拓宽德育渠道,改进德育方法,提高德育实效。

计算机技术的不断改进提高和计算机网络的迅速发展.使人们获取信息、处理信息的方式和能力发生了质的飞跃‘.同时,一些不良现象和不道德的行为在互联网上传播,对当前学校德育工作提出了新的挑战‘.如何培养未来信息社会的合格公民,使他们其有良好的信息技术道德,把他们的才能和智慧应用在汁算机事业的发展上,是每一个信息技术教育者需要思考的问题,

2、 信息技术教育与德育的结合尝试

2.1从教师的行为来熏陶

德育是教育的一种,它具备了教育的基本特征。因此,在学校德育工作中,教师是德育的执行者,在信息技术课上进行德育渗透,信息技术教师理所当然的就是德育教育的执行者。

在教学过程中教师要以身作则,为人师表,起到表率的作用,从德育角度讲,至少有三个作用:1、能够发挥学生作为德育主体的德育潜能;2、能够促进学生的榜样学习;3、能够改善道德教育效能。比如,在教学过程中,在计算机房当成一个严肃的场所,不看与课堂教学内容无关的内容;把上课需要或者建立的文件和文件夹按照班级和种类分门别类有条理的排列好;把上课做好的作品建立好文件夹,不放在系统盘内;不随便删除或者翻看修改别人的作品;注意这些问题,使学生在潜移默化中养成有条理、注重场合、尊重别人的隐私的良好习惯,反之,如果教师不注意这个问题,由于学生的模仿心理很强,学生就会照猫画虎.影响学生良好习惯的养成,甚至可能使学生也养成了类似的不良习惯。

2.2选择合适的教学内容来进行熏陶

在信息技术教学中强化德育,首先要从教材实际及学科特点出发,附着于平时知识的讲授或上机的训练之中。针对我国现阶段信息技术领域的发展相对滞后这种现象,可以将我国古代、现代有关信息技术的重要成就在教学中自然而然地渗透融入到日常教学中,进行爱国主义教育,同时教育让学生正视我国信息技术发展的现状,激发学生刻苦学习、为我国信息技术的发展做出更大贡献来报效祖国的爱国热情。整个教学要做到’随风潜入夜,润物细无声,让学生不感到是在接受思想教育,却受到深刻的思想教育。比如,在课堂上讲到《计算机的发展》时,可通过介绍我国最早的简单计算机――算盘;我国在计算机事业上取得的巨大成就等等,激发学生的爱国主义热情。再如,教材有《计算机安全和计算机犯罪》的教学内容,这一章节的教学内容就是适合对学生进行计算机道德行为教育,用以教育学生认识“计算机安全问题的重要意义”,了解“计算机犯罪”的含义,通过实例使学生明白:计算机安全一旦失去控制,将会对人类社会产生巨大的危害!

2.3从教学过程的管理的行为中陶冶

一、教育学生正确对待计算机游戏和网络、合理取舍网络信息

计算机是一种学习和工作的工具,同时,也是一种娱乐工具。市面上不少游戏并不适合学生,有许多血腥、暴力甚至色情的场面甚至还有一些赌博的行为在其中。在网络信息中纷繁芜杂,不乏健康有用的信息,但也有不少不利于学生身心健康的有害信息,如反动、暴力、色情的内容。

如果放任学生在网络中驰骋,缺乏正确引导,就会在网络中“迷航”。因此,教师在教会学生使用网络的同时,更要引导学生善用网络资源,教会他们如何分析信息,辨别是非,去伪存真,分清精华与糟泊,作为教师,应当把对学生网民的教育作为重要工作。可结合信息课程,增加网络道德、网络法规和文明上网等知识教育。让学生了解网络的正确用途,知道网络具有的潜在威胁,明确在网上可以做什么、不可以做什么。

二、规范学生使用计算机的行为

硬件方面:培养学生爱护机房设备和遵守机房规则的良好习惯。比如,在介绍有关计算机荃础知识的时候.要特别强调在windows中关机的步骤,即屏幕上出现如下信怠“你可以安全地关闭计算机’,时,才能关闭电源,而不能直接关闭电源,并且使他们了解为什么要这样做的原因:延长计算机的使用寿命,保护计算机内数据的安全;遵守机房的规章制度带来安静的课堂和学习空间,保护自己受教育的权利的同时也维护了别人的权益。

软件方面:要加强培养学生有关知识产权和软件保护的意识。要让学生懂得:软件是计算机系统的重要组成部分,汁算机的工作离不开软件,否则它就是一些废铁和晶体管!而软件的研制和开发,需要大量的人力、物力、财力和时间,软件是人类智力的创作成果,结合我国的《计算机保护条例》,使学生明白:未经软件著作人的同意,复制其软件的行为是浸权行为,浸权者要承担相应的民事责任,从小培养学生使用正版软件、反对盗版软件的意识,促进汁算机应用事业健康的发展

安全问题:特别要规范学生的网络行为,要教育学生不能在网上为所欲为,进入别人的网站空间搞恶作剧;不在网络散布一些不健康的言论、无根据的流言等;对别人的作品要尊重,不随意修改删除别人的作品;不随意对不属于自己的计算机系统功能进行删除、修改、增加、干扰等。

3、 尾言

信息教学中进行德育渗透,是一项长期的、反复的、循序渐进的工作。教师要根据教学大纲,从教材实际出发, 在教学中自然而然地渗透,寓教于乐,才能发挥出信息技术这门课程的特色渗透,达到预期的效果。

篇(5)

【文章编号】0450-9889(2016)10A-0114-02

信息技术的快速发展,造就了网络时代的盛况,也诞生了众多的学生网民。学生在享受着信息技术带来方便快捷的同时,却没有考虑到它的负面因素。因此,信息技术课除了教学工作,还担负着对学生进行德育渗透的重任,不仅要让学生掌握信息技术的基本技能,还要培养学生高尚的道德情操和健康的审美情趣,形成正确的价值观和积极的人生态度,让学生在信息技术课上也能学会做人的基本道理。如何将两者有效结合?本文将从三个方面展开论述。

一、遵守规章制度,养成良好的上机习惯

培养学生良好的上机操作习惯至关重要。良好的习惯是陪伴学生成长的重要品质,是学生今后学好信息技术、用好网络的重要保障。因此,在日常的信息技术课堂上,从点滴小事教育学生尤为重要。每个学年接到新一届学生,笔者都会对学生进行习惯养成教育。通过明确《学校电脑室有关规章制度》,强调在电脑室操作时注意的事项,让学生对首次上机操作习惯印象深刻,并将其牢记心中。如上课前必须有序排队进入电脑室,不得带零食、不得带手机、不得带作业――即“三不得一必须”;课堂上不得乱开关电脑、不得乱敲键盘、不得乱按鼠标,老师在授课时先认真听讲――即“三不得一认真”;课后做到三件事,一是关闭电脑,二是摆好所坐的椅子,三是原地站好位,由老师统一指挥有序离开电脑室。规章制度的实施有效地教育和引导了学生养成良好的习惯。虽然这些都是小事,但是小事做好了以后,能给课堂教学带来极大的方便。德育无小事,教师需把德育渗透到细微之处。

二、网络教学中的德育渗透

1.安全上网教育

安全使用网络正受到人们的日益关注。如何让小学生在接触信息网络时,健康安全地上网是信息技术教育的一个重要课题。在信息技术教学过程中,教师首先可以《全国青少年网络文明公约》作为网络第一课,让学生熟记公约内容,摆正上网的心态,明辨是非,做一个合格的小网民。课堂上选择适当的时机,给学生播放《绿色上网,文明上网》动漫教育系列短片,通过短片中的网上诈骗劫财、网上跟踪骚扰、假“聊天”实则盗窃隐私等案例,让学生认识到沉溺网络不仅会荒废学业,而且损害身心健康,更有甚者会被坏人迷惑而违法犯罪,把自己送进监狱。这样的内容既充实了课堂内容,又起到了让学生警惕网络负面影响的作用。同时,教师还可以把一些健康网站设置成学生电脑的上网导航,给学生推荐符合他们年龄段的优秀网站,如《全国未成年人网》《中国文明网》《快乐学堂》等,这样既能让学生学习到知识,又能对学生进行德育渗透。通过这些日常课堂上的德育渗透,让每个学生懂得遵守网络文明公约,树立健康安全上网的意识。

2.道德品德教育

信息技术教学中,道德品德教育也是教学的一个重要部分。学生在学校除了上课学习,也需要与其他同学进行人际交往,那么,如何引导学生更好地开展人际交往呢?每个年级段的教学内容都可以成为切入点。比如四年级的Word文档学习。该主题的教学内容是制作奖状,教师上课除了教会学生掌握制作Word文档的基础知识和技能,还可以发挥主观能动性,将情感态度价值观教育融入教学中去。笔者在授课时,让学生学会发现身边同学的优点,引导学生以同学的优点来制作一张特殊的奖状,然后颁发给他(她)。随后开展“比一比”活动,比一比哪位学生发现身边同学的亮点最多,谁的奖状做得最精美。这样的教学任务贴近学生生活,让学生觉得很有趣,一下子提起了动手实践的热情,并在任务中互相讨论,比较谁发现的优点多。这样的任务设置,不仅让学生学到了课程知识,还让学生懂得在生活中发现别人的优点,培养向优秀同学学习的意识。此外,社会环境问题也一直受到人们的关注。五年级的PowerPoint学习有一个“创建动物保护家园”的主题,内容包括认识特有动物、认识稀有动物、爱护动物的行为、残害动物的行为、给动物创建家园五个具体小任务,在教学过程中,可以让学生自己百度搜索爱护动物的行为与残害动物的行为图片,并做图片对比,把自己的感受写在制作的PPT中,通过这样的教学情境设置,让学生知道人类与动物和谐相处的生态意义,从小养成爱护动物、拒绝残害动物的环保意识。

3.爱国主义教育

爱国主义教育是德育渗透的核心,在信息技术教学中,更是必不可少的教学内容。笔者在课堂教学中,以爱国主义教育为主题,结合节日和每个单元的教学任务引导学生设计和制国主义专题人物介绍;结合“”制作“五四”爱国板报;结合建党日引导学生设计建党海报;结合国庆节给学生布置国庆新闻与图片编辑任务。通过一系列关于爱国主义主题任务的开展,让学生在活动中感受和抒发爱国情怀。除了在教学中潜移默化地给学生渗透爱国主义,每逢国庆节、清明节等重大节日,笔者还积极开展未成年人爱国主义教育,开展“向国旗敬礼”“网上祭英烈”等德育活动,让学生在活动中追忆历史、缅怀先烈,激发学生强烈的爱国热情。课堂实践表明,日常教学任务与节日相融合的教育方式,让爱国主义教育渗透更有成效。

三、实践操作中的竞争与团队合作意识渗透

教师要充分利用学生喜欢学信息技术、求知欲强的优势,通过结合各种学生感兴趣的教学主题,以奖励式的任务驱动教学,让学生在实践操作中培养竞争与团队合作意识。如设计激励型任务,诱发学生的竞争意识,引导学生在同等条件下赶超他人,实现技术竞争,把自己优秀的一面展示出来。同时,在任务中有意识地引导学生养成自学、主动探索的习惯,在不断的成功激励或失败的考验中,锻炼自己的人格,培养不服输的竞争意识。例如:在学生喜爱的Flash学习中,可以给学生布置“绘制美丽蝴蝶”的任务,并设置奖项,最先完成的学生将得到教师当场颁发的聘书,将被聘为教师的教学助手来协助其他同学完成任务。在任务和荣誉的激励下,学生学习的热情自然高涨。

篇(6)

一、巧设导语,渗透德育

导语是课堂教学的起始环节,好的开篇,虽然只有一两分钟甚至几句话,却能一下子抓住学生的好奇心,激发他们的学习兴趣,顺利地把他们引入新的学习情境中来。新课的导入是渗透德育的极好时机。

以七年级下册活动5《直面网络安全》为例,年级中有部分学生没有正确运用网络,进入一些不健康的网站,或者运用网络玩游戏,甚至搞一些恶作剧,导致学习成绩下降,所以网络道德与相关法律在学校德育内容中逐渐成为必须。教师在教学准备时要充分考虑学生的心理特点,让学生意识到计算机安全的重要性,又不至于让他们产生恐惧心理,适当选择现实生活中有关网络安全的典型事例为导入,鼓励他们养成良好的安全习惯,强化网络道德。教育学生慎交网友,不要随意约见网友。善于网上学习,不浏览不良信息等。

二、借助教学设计,渗透孝敬父母、尊老爱幼的教育

中华民族具有悠久的文明历史,百事孝为先,“孔融让梨”等故事都是中国文化的精髓。作为教育工作者,首先就要做到把中华民族的传统美德进行传承、发扬光大。教育学生学会善待身边的亲人,尊重他人,这是培养他们良好的交际能力和促进学生完善世界观与人生观的良好开端。

比如,四年级上册第15课的综合实践《做贺卡》综合运用金山画王的各种工具绘画,让学生用熟练操作方法和技巧后的综合应用。以“献给妈妈的生日礼物”为主题,在贺卡中送温馨祝福语,体会到母爱的伟大,渗透中华民族孝敬父母的优良传统教育。

三、利用课外辅导渗透德育

课外辅导,如开展信息技术兴趣小组等,是对课堂教学的补充,深化、巩固,当然也是信息技术教学进行德育渗透的另一途径。大家知道,课堂教学是在规定时间内完成的一种教学活动,对知识分析、理解及德育渗透难免要受时间、空间的限制,影响教育教学效果的提高。而课外辅导,相对限制少,它使教师更容易因材施教,适应学生的性格特点、知识现状进行少数或个别辅导,从而使教学更有针对性、更具体和形象,不仅提高教育教学的效率,连效果也得到增强。自然德育渗透也能更实际、实在、实效。鼓励学生定期举办《小小电脑手抄报》,让每个学生都参与其中,每天进行“精神充电”,记下“成长的足迹”。而教师在传授电脑知识的同时还可以通过评价激励学生,鼓励学生树立信心,确定正确的世界观、人生观。

四、提高教师修养,德育注重言传身教

“学高为师,身正为范”,教师只有把正确的行为示范给学生,树立榜样、模范形象,才能发掘出信息技术与道德教育的结合点。所以教师首先应该在思想意识上重视德育,做个有心之人,提高教师自我道德修养,树立良好的模范形象,从一点一滴做起,让学生在学习过程中体验健康的情感、态度和价值观。作为人类心灵的工程师,教师要保持豁达的心胸和采取宽容的态度,对学生如亲子般的关怀。信息技术教师应当尽量保持客观和公正态度,然后通过说理诱导和榜样示范等教学方法,实现信息道德教育在“情”“理”之中潜移默化地进行。

五、注重合作,培养学生的合作精神

当代社会竞争日趋紧张激烈,各种知识、技术不断推陈出新,在很多情况下,单靠个人能力已很难完全处理各种错综复杂的问题。所有这些都需要人们组成团体,并要求组织成员之间进一步相互依赖、相互关联、共同合作,建立合作团队来解决错综复杂的问题。

信息技术课中培养学生间的合作学习,既可以增强互助意识,又可以培养合作精神。合作学习还有助于因材施教,可以弥补一个教师难以面向有差异的众多学生教学的不足,并能更好地突出学生的主体地位,培养主动参与意识,激发学生的创造潜能。

篇(7)

目前,各行业信息化建设发展迅速,计算机网络广泛地运用于各个领域,网络安全技术也在不断提高。然而,随着网络规模的不断扩大,网络的使用人群也随之发生变化,非计算机专业的用户逐渐增多,这类人群计算机相关知识比较缺乏,安全意识薄弱。此外,网络安全设备不断完善,功能愈发强大,攻击者想要从技术层面攻击网络的难度更高。因此,由社会工程学主导的网络安全问题就显得尤为重要,基于社会安全学的网络安全研究具有重要现实意义。本文结合社会工程学与网络的入侵渗透,给出一种基于社会工程学的网络安全渗透攻击模型,并对攻击过程进行分析,说明社会工程学在网络安全中的应用价值。

1.社会工程学

1.1社会工程学概念

社会工程学《Social Engineering》是黑客凯文.米特尼克在《The Art of Deception》中提出的,其初始目的是让全球的网民能够懂得网络安全,提高警惕,防止没必要的个人损失。广义的社会工程学是指通过自然的、社会的和制度上的途径,并特别强调根据现实的双向计划和设计经验来逐步地解决各种社会问题。在信息安全中,社会工程学就是入侵者利用人性的弱点及相关领域规则的漏洞,获得被攻击者的信任,从而达到攻击目的。

1.2社会工程学原理及特点

1.2.1社会工程学原理

社会工程学攻击是一种利用人的心理弱点进行欺骗,从而获得保密信息和访问权限的攻击行为。社会工程学攻击区别于传统攻击的手段,其攻击行为无法通过技术措施进行防范。

攻击者充分利用人性的弱点,借助各种物理环境和软硬件条件,通过收集资料、目标信息研究、关联性分析和一致性引导,利用社会工程学的方法对目标进行攻击,攻击体系结构如图1所示。

1.2.2社会工程学的特点

社会工程学的攻击手段很多,包括邮件欺骗、消息欺骗、软件欺骗及假冒网站等。

以邮件欺骗为例,攻击者想要入侵某个网站,通过网络技术没有找到该网站的漏洞;随后,攻击者便伪造一个带有木马附件的电子邮件,发送给网站的管理员(被攻击者),并告知其网站遭到入侵,入侵后的证据在附件内;此时,若管理员相信了此邮件的内容打开附件,攻击者就很容易达到入侵该网站的目的。

社会攻击学攻击的过程大致分为几个步骤:(1)收集攻击对象的相关信息,通过分析找到其弱点;(2)利用相关信息设置陷阱;(3)对落入陷阱的对象实施攻击。

1.2.3社会工程学的发展

随着网络安全设备和安全策略的不断完善,网络攻击者想要通过技术层面实施攻击更加困难。人的某些习惯、疏忽或者制度的不规范将成为黑客突破的目标。社会工程学将网络安全问题从单纯的技术问题发展成“人”的问题。因此,将传统的攻击技术与社会工程学结合成为当前网络安全研究的新方向。

2.基于社会工程学的攻击模型

2.1传统入侵渗透模型

传统入侵渗透通过技术手段对特定目标的实施渗透攻击。通常,攻击者对攻击目标的信息是一无所知的,过程如下:(1)确定攻击目标。根据不同的目标,使用不同的攻击方法和工具。因此,在渗透攻击开始前要明确攻击的目标是某个系统、网站或服务器。(2)收集目标信息。攻击者要对攻击目标进行探查,了解其行为模式、运行原理,最后确定攻击方案。攻击者可以使用任何可能的方法收集攻击目标的相关信息,包括网络信息、系统信息、边缘信息等。(3)漏洞分析。将收集的信息进行整理和分析,得知目标的操作系统类型、运行的程序及开放的端口等,从而找到目标系统可能存在的安全漏洞和缺陷。(4)渗透攻击。根据制定的渗透攻击方案实施攻击。(5)清除痕迹。攻击者实施完攻击后,会清除或伪造自己使用的痕迹,以防被发现。

2.2卡式决策目标模型

卡式战略目标管理是指在特定社会工程系统环境中,以目标为导向,自上而下实现目标的管理方式,分为3个层级:核心目的、里程碑、子目的。

卡式战略目标模型如图2所示,其主要意义是能快速得到一个战略目标,并帮助攻击者将总目标切分为多个中间目标。

确定中间目标后,通过战略目标模型形成一系列中间任务,然后将这些任务交给决策目标模型。卡式模型中,把攻击者可以操作的资源量化成物质、时间和质量3种变量,通过分析这3种变量确定最优攻击方案。

2.3社会工程学模型

社会工程学基本内容及模型是《The Art of Deception》一书中提炼的社会工程学思维导图,以及由此抽象的社会工程学攻击构成的基本要素。社会工程学模型如图3所示。

社会工程学攻击的定义包括如下内容:社会工程的主要目的是通过管理漏洞获取秘密信息。

(1)获取信息的途径可以是任何承载秘密信息的介质。(2)卡式目标管理模型的3个层级。(3)收集信息是社会工程攻击的关键步骤,收集信息的质量是决定攻击成败的关键。(4)通过筛除冗余信息优化数据,分析信息间关系得出最优路径。(5)通过欺骗手段伪造身份获取信任,完成系统信息对接。(6)运用非结构性漏洞获取攻击目标信息,实施社会攻击。

2.4基于社会工程学的渗透模型

将卡式模型与社会工程学模型结合得到新的社会工程学攻击模型,该模型能够帮助入侵分析者模拟和还原整个社会工程学攻击(见图4),从而评估受到攻击的风险以及信息泄露的程度。

3.社会工程学的网络攻击案例分析

本文通过代入社会工程学攻击模型分析入侵攻击的过程。

3.1实验环境

实验的网络拓扑图如图5所示,将内网和外网环境进行了简化处理,涉及的设备相关信息如表1所示。

使用到的主要工具有:社会工程学攻击包SET(SocialEngineer Toolkit)和嗅探工具Ettercap。攻击主机A上安装的Rali操作系统自带有这2个工具。

3.2实验过程

主机B访问外网网站的基本流程为:(1)本机浏览器检查其缓存中是否有要访问的网站域名对应的IP地址,若有则解析过程结束;(2)本机操作系统会将此域名发给本地DNS服务器,若本地DNS服务器上也没有,就请求上一级DNS服务器帮助解析,得到此域名对应的IP地址。(3)浏览器向此IP地址对应的服务器发送HTTP请求,请求的数据包均要经过网关路由器。WEB服务器收到请求后进行相关检索,并回发所请求的文件或信息给主机B。

前期攻击成功后,攻击者可进入内网进行内网钓鱼攻击。内网钓鱼的核心技术结合了技术型社会工程学,攻击过程如下:

(1)在攻击HA的主机上开启Apache服务功能,并打开SET212具,选择攻击的类型,选择社会工程学攻击。随后,进行站点克隆,制作钓鱼网站如图6所示。

(2)使用Ettereap软件对目标主机B进行ARP攻击。首先,向网关Routerl发送ARPn向应数据包,其中源MAC地址是主机A的MAC地址;同时,以网关Routerl的名义向B发送ARPn向应数据包,数据包的源MAC地址是主机A的MAC地址。如此,主机B访问外网的数据包会先发送到主机A,主机A再将此数据包转发给网关,而网关也会将本来要发给主机B的数据包先发给主机A,最后主机A再将收到的数据包发给主机Bo

(3)ARP欺骗成功后,利用Ettereap自带的一个DNS欺骗攻击的插件来完成DNS欺骗;攻击者A开始监视B和网关Routerl之间的数据包,监测发出的DNS请求包,提取由主机B发送来的DNS查询数据包中ID信息,通过分析数据包得到ID和端口号信息后,向目标发送之前构造好的DNS返回包,提前将自己的DNSn向应数据包发送给主机B。主机B收到DNS应答包后,比对ID和端口号均正确,随即将返回数据包中的域名和IP地址存入DNS缓存表。这样主机B会先收到来自主机A的DNS响应数据包,并访问主机A自己定义的网站,虽然主机B也会收到来自DNS服务器的响应报文,但真的DNS应答包则会被丢弃。

(4)钓鱼网站以网易邮箱为例,用户在钓鱼网站上输入账号和密码等机密信息后,这些内容就会传送给攻击主机A如图7所示。

3.3买验分析

攻击过程中,首先确定攻击的目标和基本策略,了解网络环境,确定攻击的中间目标为网关路由器,进行身份伪装,获取目标主机B的信任,最终诱使其访问钓鱼网站。

步骤(3)中,ARP欺骗攻击之后,在网关Routerl看来,主机B的MAC址就是主机A的MAC地址;而主机B也认为网关Routerl的MAC地址就是主机A的MAC地址。由于局域网中数据包的传送均是基于MAC地址,所以网关Routerl和主机B之间传送的数据必须先通过主机A。这样A就能在主机B毫不知情的情况下获取其上网数据。

攻击过程中涉及到ARP欺骗、DNS欺骗等技术,同时进行了身份伪装,实现网络攻击技术与社会工程学的结合。

4.社会工程学攻击的防范

从案例中,可以总结出一些防范社会工程学攻击的措施:

篇(8)

一、西方文化渗透的特点

(一)渗透途径的多样性

1、利用互联网,进行文化渗透。近年来,以美国为首的西方国家通过互联网、网络微博等手段对中国大量宣传西方的资本主义思想文化和意识形态,诋毁和批判我们的主流意识形态和民族文化。尼克松在《1999:不战而胜》一书中曾说过,应该制订一个在铁幕里面同社会主义国家进行“一个和平竞赛的战略”,即在军事遏制的基础上,发挥美国的经济优势以经济援助和技术转让等条件,诱使社会主义国家“和平演变”;开展“意识形态竞争”,打“攻心战”,扩散“自由和民主价值观”,打开社会主义国家的“和平变革之门”。事实上,网络已成为美国对中国输出美国价值观的主要途径。而且中国现在是世界上使用互联网人数最多的国家。互联网已成为美国对华实施“和平演变”的有力武器。美国政府正日益重视互联网等新媒体的文化渗透影响力,希望借此加强对中国的宣传攻势。这也说明互联网已“成为敌对势力进行意识形态渗透着力利用的渠道和腐朽思想文化沉渣泛起的一个传播途径。”

2、以新式的宗教进行文化渗透。宗教渗透作为西方文化渗透的一个方面,主要表现为以宗教交流、传播等为掩护,以宗教信仰自由为借口,使各种非马克思主义和反马克思主义意识形态从西方社会渗进来,浸透到我国社会主义社会的现实土壤中,并将其逐步社会化的过程。在这一过程中企图有目的、有计划、有步骤地控制和占领社会主义中国的思想阵地,消融和瓦解社会主义意识形态。美国前国务卿舒尔茨明确说过:从宗教信仰到政治行动只有一小步距离。所以西方某些国家一直利用宗教反华:如支持达赖喇嘛企图谋求西藏独立,鼓动法轮功邪教分子闹事;出巨资160亿美元要“把中国基督教化”,等等。由此可见,西方某些资本主义国家利用宗教对社会主义实施文化渗透,把宗教作为“西化”、“分化”中国的突破口。

3、利用电影电视、文化交流、学术研讨等途径进行文化渗透。近年来,以电影、电视、流行音乐为代表的美国文化借助商业机制和高科技手段,大举对世界各国进行渗透。目前,美国控制了世界75%的电视节目和60%以上广播节目的生产和制作,每年向国外发行的电视节目总量达30万小时,许多国家的电视节目中美国节目往往占到60%~70%,有的占到80%以上。好莱坞影片的海外票房收入,已经占到好莱坞票房总收入的50%以上,而中国正成为好莱坞影片的最佳出口基地。尽管这些文化产业表面上好像不涉及政治立场和态度,但是却在大力传播西方生活方式、人生观、价值观及其民主、人权等资本主义意识形态。使得高校学生在媒体的煽动下盲目羡慕和追求这些价值观念和生活方式,轻视甚至鄙视自己本民族独特的文化价值观念和生活方式,从而形成一种文化领域新的依附关系。

(二)渗透方式的隐蔽性。从现实看,西方文化渗透在高校有着广泛的存在形式,诸如学生的学习、生活、社会交往无不留有西方文化渗透的影子,当年轻人喝着可口可乐、咖啡,跳着华尔兹、狐步舞,热衷于过情人节、圣诞节,大嚼肯德基、麦当劳的时候,他们不知道自己已经欣然接受了西方文化。由于这些内容多半是以隐蔽的形式出现,所以高校学生一般难以察觉。而且他们利用我国当前转型时期出现的一些社会问题,抓住人们群众普遍关注的热点、焦点问题,添枝加叶,对中国共产党的领导和中国的社会主义制度加以丑化,煽动人们不满情绪。扶持“台独”、“藏独”、“疆独”、“民运”、法轮功分子,制造社会不安定因素,企图使高校学生对共产党失去信任,对社会主义失去信心。

(三)渗透过程的长期性。随着我国改革开放的不断深入,西方敌对势力必然加紧对我国实施文化渗透,这是一个从量的不断积累到质变的演变过程,它会一步步地威胁到我国文化安全,而文化安全是国家安全的核心,因为“文化是国家和民族的灵魂,集中体现了国家和民族的品格。文化的力量,深深熔铸在民族的生命力、创造力和凝聚力之中,是团结人民、推动发展的精神支撑。”在今后一个相当长的时期内,一方面西方文化依托其经济、军事、科技及信息传播手段的优势,形成强势文化;另一方面我国社会正处于深刻的变革之中,社会生活的多样化带来社会思想文化的多样化,思想文化和意识形态领域的渗透与反渗透、争夺和反争夺的斗争会十分复杂尖锐。

二、西方文化渗透对高校思想政治教育的影响

(一)对学生政治思想的影响。从以上特点不难看出,西方文化渗透的影响是显而易见的。随着我国改革开放的不断深入以及我国以经济、政治、军事为核心的综合国力的不断增强,西方国家的对华策略也相应地做了一些调整。但是,无论怎样调整,其对华策略中的冷战遏制思维丝毫没有减弱。与此同时,由于我国现代化事业的需要,当代的大学生必须汲取各方面的知识来充实自己,不能故步自封,当然也要学习西方的科技、文化知识。也正因为如此,涉世不深的大学生无疑是他们进行所谓“和平演变”的主要对象。西方势力通过对我国青少年一代、尤其是当代大学生的各种西方思想灌输,使我国高校学生中一度出现了所谓的“意识形态真空”、“信仰危机”,有的学生在思想上陷入误区,以为“西方国家什么都比中国好”,人生观和价值观被“西化”观念同化,个别学生不信仰共产主义,而信仰西方宗教;甚至有的学生没有信仰。这种信仰危机的出现,致使部分学生感到空虚和迷茫,对自己、对社会开始失去信心。

转贴于

(二)对大学生价值观的影响。太过露骨的政治宣传产生的效果是有很大局限性的,所以通过传播基督教和西方价值观,宣扬西方的民主、人权来影响当代大学生便成为西方文化渗透的主要方式。在当代,有些大学生出现信仰危机或信仰多元化状况,个别大学生甚至选择了宗教作为信仰。加之当代中国正处于深刻的社会转型期,传统文化与现代市场经济文化的融合,西方外来文化与中国传统文化的激烈碰撞,对人们的思想、文化、道德、价值观等方面带来深刻的影响。以美国为首的西方国家极力鼓吹西方的拜金主义、享乐主义和个人主义,否定我国传统文化提倡的大一统精神和社会主义文化提倡的集体主义等价值观,企图使大学生失去精神支柱,失去凝聚力和向心力。使原处于基本道德、价值观念初步形成时期的大学生正确的道德、价值观念发生了扭曲,失去了是非判断的标准,从而出现了道德、价值取向困惑和迷茫现象。

三、高校应对西方文化渗透的对策

(一)引导高校学生认清西方文化渗透的本质,用马克思主义占领意识形态阵地。以拜金主义和自由主义为核心的西方腐朽文化披着“文明”的外衣,不断蚕食着大学生脆弱的思想防线,从本质上说就是用文化“熏陶”的方式影响高校学生的思想,让大学生首先在思想上向西方敌对势力缴械投降,达到不战而屈人之兵的“和平演变”目的。意识形态阵地先进的东西不去占领,落后的东西必然会去占领;马克思主义不去占领,各种非马克思主义的思想就必然去占领。我们要坚持守土有责,引导学生运用马克思主义的思想武器澄清各种模糊认识,划清基本是非界限,旗帜鲜明地反对和抵制各种落后的、腐朽的、反动的思想文化;用中国先进的思想文化武装青年的头脑,占领意识形态阵地,培养他们健康向上的道德情操,增强拒腐防变能力;引导青年树立正确的世界观、人生观、价值观,促进全民族思想道德素质和科学文化素质的不断提高,为我国经济发展和社会进步提供精神动力和智力支持。

篇(9)

China’s Situation of Protection Techniques against Special Network Attacks

Xu Jin-wei

(The Chinese PLA Zongcan a Research Institute Beijing 100091)

【 Abstract 】 By the end of 2013,the author visited more than ten domestic well-known information security companies to make a special investigation and research on the focused “APT” attack issue. During the visit, the author made deeply exchange and discussion with the first-line professional research and management personnel and gained much knowledge. This article mainly introduces the present situation of protect technology construction by some of domestic information security companies against network attacks, as an inspiration to the colleagues?and units in the information security industry.

【 Keywords 】 advanced evasion techniques; advanced persistent threat; detection methods

1 引言

2010年发生的“震网”病毒对伊朗布什尔核电站离心机的攻击和2013年的“斯诺登”事件,标志着信息安全进入了一个全新的时代:新型攻击者(国家组织的专业团队),采用全新的方式(APT[注1])攻击国家的重要基础设施。

APT攻击因其采用了各种组合隐遁技术,具有极强的隐蔽攻击能力,传统的依赖攻击特征库比对模式的IDS/IPS无法检测到它的存在,APT攻击得手后并不马上进行破坏的特性更是难以发觉。它甚至能在重要基础网络中自由进出长时间潜伏进行侦察活动,一旦时机成熟即可通过在正常网络通道中构筑的隐蔽通道盗取机密资料或进行目标破坏活动,APT的出现给网络安全带来了极大危害。目前在西方先进国家,APT攻击已经成为国家网络安全防御战略的重要环节。例如,美国国防部的High Level网络作战原则中,明确指出针对APT攻击行为的检测与防御是整个风险管理链条中至关重要也是最基础的组成部分。

从资料中得知,国外有些著名的信息安全厂商和研究机构,例如美国电信公司Verizon Business的ICSA实验室,芬兰的Stonesoft公司几年前就开展了高级隐遁技术的研究;2013年美国的网络安全公司FireEye(FEYE)受到市场追捧,因为FireEye能够解决两大真正的安全难题――能够阻止那种许多公司此前无法阻止的网络攻击,即所谓的“零天(Zeroday)”攻击和“高级持续性威胁(APT)”。零天攻击是指利用软件厂商还未发现的软件漏洞来发动网络攻击,也就是说,黑客在发现漏洞的当天就发动攻击,而不会有延迟到后几天再发动攻击,软件厂商甚至都来不及修复这些漏洞。高级持续性威胁则是由那些想进入特殊网络的黑客所发动的一系列攻击。FireEye的安全应用整合了硬件和软件功能,可实时通过在一个保护区来运行可疑代码或打开可疑电子邮件的方式来查看这些可疑代码或可疑电子邮件的行为,进而发现黑客的攻击行为。

APT攻击的方式和危害后果引起了我国信息安全管理机构和信息安全专业检测及应急支援队伍的高度重视。国家发改委在关于组织实施2013年信息安全专项通知中的 “信息安全产品产业化”项目中,首次明确指明“高级可持续威胁(APT)安全监测产品”是支持重点产品之一。我国的众多信息安全厂商到底有没有掌握检测和防护APT的技术手段?2013年底,带着这个疑问专门走访了几家对此有研究和技术积累的公司,听取了他们近年来在研究防护APT攻击方面所取得的成果介绍,并与技术人员进行了技术交流。

2 高级隐遁技术(AET[注2])

根据IMB X-force小组针对2011年典型攻击情况的采样分析调查,如图1所示可以看出,有许多的攻击是未知(Unknown)原因的攻击。Gartner《Defining Next-Generation Network Intrusion Prevention》文章中也明确提出了利用先进技术逃避网络安全设备检查的事件越来越多。同时,NSS Lab最新的IPS测试标准《NSS Labs ips group 渗透测试工具t methodology v6.2》,已经把layered evasion(也就是AET)作为必须的测试项。

结合近年情况,各国基础网络和重要信息系统所面临的最新和最大的信息安全问题,即APT攻击,我们相信高级隐遁技术有可能已经在APT中被黑客广泛采用。

目前,各企事业单位为了应对网络外部攻击威胁,均在网络边界部署了入侵检测系统(简称IDS)和入侵防御系统(简称IPS),这些措施确实有效地保护了企业内部网络的安全。黑客们为了试图逃避IPS这类系统的检测,使用了大量的逃避技术。近年来,国外信息安全机构发现了一套新型逃避技术,即将以前的逃避技术进行各种新的组合,以增加IPS对入侵检测的难度。这些新型逃避技术,我们称之为高级隐遁技术(AET)。AET可利用协议的弱点以及网络通信的随意性,从而使逃避技术的数量呈指数级增长,这些技术的出现对信息安全而言无疑是个新的挑战。

使用畸形报头和数据流以及迷惑性代码调用的AET攻击的原理:包含AET攻击代码的非常规IP数据流首先躲避过IDS/IPS的检测,悄悄渗透到企业网中;之后,这些数据流被用规范方式重新组装成包并被发送至目标终端上。以上过程看似正常,但这样的IP包经目标终端翻译后,则会形成一个可攻击终端系统的漏洞利用程序,从而给企业的信息资源造成大规模破坏,只留下少量或根本不会留下任何审计数据痕迹,这类攻击就是所谓的隐遁攻击。

2.1 常见的高级隐遁技术攻击方法

常见的高级隐遁技术攻击方法有字符串混淆、加密和隧道、碎片技术和协议的违规。这些仅列举了TCP协议某层的几种隐遁攻击的技术,实际上高级隐遁技术千变万化,种类叠加后更是天文数字。

2.2 高级隐遁技术的测试

为了研究AET的特点,研发AET检测、防护工具,国内有必要搭建自己的高级隐遁监测审计平台来对现有的网络安全设备进行测试和分析,并根据检测结果来改进或重新部署现有网络中的网络安全设备。

国内某信息安全公司最近研制成功一款专门针对高级隐遁技术测试的工具CNGate-TES。CNGate-TES有针对CVE-2008-4250/CVE-2004-1315/CVE-2012-0002漏洞的各种组合、叠加隐遁模拟的测试工具,从IP、TCP、NetBios、SMB、MSRPC、HTTP等各层都有自己相应的隐遁技术。各个层之间的隐遁可以互相叠加组合,同一层内的隐遁技术也可以互相叠加组合。

测试的目的是检验网络中的IDS/IPS是否具备检测和防护AET的能力。

CNGate-TES测试环境部署如图2所示。

3 下一代威胁与 APT

下一代威胁主要是指攻击者采取了现有检测体系难以检测的方式(未知漏洞利用、已知漏洞变形、特种木马等),组合各种其他手段(社会工程、钓鱼、供应链植入等),有针对性地对目标发起的攻击。这种攻击模式能有效穿透大多数公司的内网防御体系,攻击者成功控制了内网主机之后,再进行内部渗透或收集信息。

对信息系统的下一代威胁和特征有几点。

0DAY漏洞威胁:0DAY漏洞由于系统还未修补,而大多数用户、厂商也不知道漏洞的存在,因此是攻击者入侵系统的利器。也有很多利用已修复的漏洞,但由于补丁修复不普遍(如第三方软件),通过变形绕过现有基于签名的检测体系而发起攻击的案例。

多态病毒木马威胁:已有病毒木马通过修改变形就可以形成一个新的未知的病毒和木马,而恶意代码开发者也还在不断开发新的功能更强大的病毒和木马,他们可以绕过现有基于签名的检测体系发起攻击。

混合性威胁:攻击者混合多种路径、手段和目标来发起攻击,如果防御体系中存在着一个薄弱点就会被攻破,而现有安全防御体系之间缺乏关联而是独立防御,即使一个路径上检测到威胁也无法将信息共享给其他的检测路径。

定向攻击威胁:攻击者发起针对具体目标的攻击,大多数情况下是从邮件、IM、SNS发起,因为这些系统账户背后标记的都是一个真实固定的人,而定向到人与他周边的关系,是可以在和攻击者目标相关的人与系统建立一个路径关系。定向攻击如果是小范围发起,并和多种渗透手段组合起来,就是一种APT攻击,不过定向攻击也有大范围发起的,这种情况下攻击者出于成本和曝光风险考虑,攻击者往往使用已知的安全漏洞来大规模发起,用于撒网和捞鱼(攻击一大片潜在受害者,再从成功攻击中查找有价值目标或作为APT攻击的渗透路径点)。

高级持续性威胁: APT是以上各种手段(甚至包括传统间谍等非IT技术手段)的组合,是威胁中最可怕的威胁。APT是由黑客团队精心策划,为了达成即定的目标,长期持续的攻击行为。攻击者一旦攻入系统,会长期持续的控制、窃取系统信息,关键时也可能大范围破坏系统,会给受害者带来重大的损失(但受害者可能浑然不知)。APT攻击,其实是一种网络情报、间谍和军事行为。很多时候,APT都具有国家和有政治目的组织的背景,但为了商业、知识产权和经济目的的APT攻击,也不少见。

3.1 APT攻击过程和技术手段

APT攻击可以分为大的三个环节,每个环节具体的工作内容,如图3所示。

在攻击前奏环节,攻击者主要是做入侵前的准备工作。主要是收集信息:了解被攻击目标的IT环境、保护体系、人际关系、可能的重要资产等信息,用于指导制定入侵方案,开发特定的攻击工具。在收集信息时,攻击者可以利用多种方式来收集信息,主要有网络公开信息收集、钓鱼收集、人肉搜集、嗅探、扫描等,信息收集是贯穿全攻击生命周期的,攻击者在攻击计划中每获得一个新的控制点,就能掌握更多的信息,指导后续的攻击。

技术准备:根据获取的信息,攻击者做相应的技术准备,主要有入侵路径设计并选定初始目标,寻找漏洞和可利用代码及木马(漏洞、利用代码和木马,我们统称为攻击负载),选择控制服务器和跳板。

周边渗透准备:入侵实际攻击目标可信的外部用户主机、外部用户的各种系统账户、外部服务器、外部基础设施等。

在入侵实施环节,攻击者针对实际的攻击目标,展开攻击;主要内容有攻击者利用常规的手段,将恶意代码植入到系统中;常见的做法有通过病毒传播感染目标、通过薄弱安全意识和薄弱的安全管理控制目标,利用缺陷入侵、漏洞入侵、通过社会工程入侵、通过供应链植入等。

SHELLCODE执行:大多数情况攻击者利用漏洞触发成功后,攻击者可以在漏洞触发的应用母体内执行一段特定的代码(由于这段代码在受信应用空间内执行,很难被检测),实现提权并植入木马。

木马植入:木马植入方式有远程下载植入、绑定文档植入、绑定程序植入、激活后门和冬眠木马。

渗透提权:攻击者控制了内网某个用户的一台主机控制权之后,还需要在内部继续进行渗透和提权,最终逐步渗透到目标资产存放主机或有特权访问攻击者目标资产的主机上,到此攻击者已经成功完成了入侵。

在后续攻击环节,攻击者窃取大量的信息资产或进行破坏,同时还在内部进行深度的渗透以保证发现后难以全部清除,主要环节有价值信息收集、传送与控制、等待与破坏;一些破坏性木马,不需要传送和控制,就可以进行长期潜伏和等待,并按照事先确定的逻辑条件,触发破坏流程,如震网,探测到是伊朗核电站的离心机环境,就触发了修改离心机转速的破坏活动,导致1000台离心机瘫痪。

深度渗透:攻击者为了长期控制,保证被受害者发现后还能复活,攻击者会渗透周边的一些机器,然后植入木马。

痕迹抹除:为了避免被发现,攻击者需要做很多痕迹抹除的工作,主要是销毁一些日志,躲避一些常规的检测手段等。

3.2 APT检测方法

随着APT攻击被各国重视以来,一些国际安全厂商逐步提出了一些新的检测技术并用于产品中,并且取得了良好的效果,这些检测技术主要有两种。

虚拟执行分析检测:通过在虚拟机上执行检测对抗,基于运行行为来判定攻击。这种检测技术原理和主动防御类似,但由于不影响用户使用,可以采用更深更强的防绕过技术和在虚拟机下层进行检测。另外,可疑可以由对安全研究更深入的人员进行专业判定和验证。国外多家厂商APT检测的产品主要使用该技术。

内容无签名算法检测:针对内容深度分析发现可疑特征,再配合虚拟执行分析检测。该技术需要对各种内容格式进行深入研究,并分析攻击者负载内容的原理性特征。该技术可以帮助快速过滤检测样本,降低虚拟执行分析检测的性能压力,同时虚拟执行分析检测容易被对抗,而攻击原理性特征比较难绕过。国外几个最先进的APT检测厂商检测的产品里部分使用了该技术。

国内某公司总结了近年来对APT攻击特点的研究和检测实践,提出了建立新一代安全检测体系的设想。

3.2.1基于攻击生命周期的纵深检测体系

从攻击者发起的攻击生命周期角度,可以建立一个纵深检测体系,覆盖攻击者攻击的主要环节。这样即使一点失效和被攻击者绕过,也可以在后续的点进行补充,让攻击者很难整体逃逸检测。

信息收集环节的检测:攻击者在这个环节,会进行扫描、钓鱼邮件等类型的刺探活动,这些刺探活动的信息传递到受害者网络环境中,因此可以去识别这类的行为来发现攻击准备。

入侵实施环节的检测:攻击者在这个环节,会有基于漏洞利用的载体、木马病毒的载体传递到受害者网络环境中,因此可以去识别这类的行为和载体来发现攻击发起。

木马植入环节:攻击者在这个环节,会释放木马并突破防御体系植入木马。因此可以去识别这类的行为来发现入侵和入侵成功。

控制窃取与渗透环节:攻击者在这个环节,会收集敏感信息,传递敏感信息出去,与控制服务器通讯,在本地渗透等行为。因此可以去识别已经受害的主机和潜在被攻击的主机。

3.2.2基于信息来源的多覆盖检测

从攻击者可能采用的攻击路径的角度,可以建立一个覆盖广泛的检测体系,覆盖攻击者攻击的主要路径。这样避免存在很大的空区让攻击者绕过,同时增加信息的来源度进行检测。

从攻击载体角度覆盖:攻击者发起攻击的内容载体主要包括:数据文件、可执行文件、URL、HTML、数据报文等,主要发起来源的载体包括邮件、HTTP流量和下载、IM通讯、FTP下载、P2P通讯。

双向流量覆盖:攻击者在信息收集环节、入侵实施环节主要是外部进入内部的流量。但在木马植入环节、控制窃取与渗透环节,则包含了双向的流量。对内部到外部的流量的检测,可以发现入侵成功信息和潜在可疑已被入侵的主机等信息。

从攻击类型角度覆盖:覆盖主要的可以到达企业内容的攻击类型,包括但不限于基于数据文件应用的漏洞利用攻击、基于浏览器应用的漏洞利用攻击、基于系统逻辑的漏洞利用攻击、基于XSS、CSRF的漏洞利用攻击、进行信息收集的恶意程序的窃取、扫描、嗅探等。

从信息来源角度覆盖:主要覆盖网络流来收集流量,但是考虑到加密流量、移动介质带入的攻击等方式,还需要补充客户端检测机制。同时为了发现更多的可疑点,针对主机的日志挖掘,也是一个非常重要的信息补充。

3.2.3基于攻击载体的多维度检测

针对每个具体攻击载体点的检测,则需要考虑多维度的深度检测机制,保证攻击者难以逃过检测。

基于签名的检测:采用传统的签名技术,可以快速识别一些已知的威胁。

基于深度内容的检测:通过对深度内容的分析,发现可能会导致危害的内容,或者与正常内容异常的可疑内容。基于深度内容的检测是一种广谱但无签名检测技术,让攻击者很难逃逸,但是又可以有效筛选样本,降低后续其他深度分析的工作量。

基于虚拟行为的检测:通过在沙箱中,虚拟执行漏洞触发、木马执行、行为判定的检测技术,可以分析和判定相关威胁。

基于事件关联的检测:可以从网络和主机异常行为事件角度,通过分析异常事件与发现的可疑内容事件的时间关联,辅助判定可疑内容事件与异常行为事件的威胁准确性和关联性。

基于全局数据分析的检测:通过全局收集攻击样本并分析,可以获得攻击者全局资源的信息,如攻击者控制服务器、协议特征、攻击发起方式,这些信息又可以用于对攻击者的检测。

对抗处理与检测:另外需要考虑的就是,攻击者可以采用的对抗手段有哪些,被动的对抗手段(条件触发)可以通过哪些模拟环境手段仿真,主动的对抗手段(环境检测)可以通过哪些方式检测其对抗行为。

综上所述,新一代的威胁检测思想,就是由时间线(攻击的生命周期)、内容线(信息来源覆盖)、深度线(多维度检测),构成一个立体的网状检测体系,攻击者可能会饶过一个点或一个面的检测,但想全面地逃避掉检测,则非常困难。只有逐步实现了以上的检测体系,才是一个最终完备的可以应对下一代威胁(包括APT)的新一代安全检测体系。

4 结束语

结合目前我国防护特种网络攻击技术现状,针对AET和APT的防护提出三点建议。

一是国家信息安全主管部门应将高级隐遁攻击和APT技术研究列入年度信息安全专项,引导国内信息安全厂商重点开展针对高级隐遁攻击和高级持续性威胁的防御技术研发,推动我国具有自主知识产权的新一代IDS和IPS产品产业化。

二是有条件的网络安全设备厂商应建设网络攻防实验室,搭建仿真实验环境,对网络IDS/IPS进行高级隐遁技术和APT的攻防测试,收集此类攻击的案例,积累检测和防御此类攻击的方法和经验。

三是在业界成立“防御特种网络攻击”学术联盟,定期开展学术交流并尝试制定特网攻击应急响应的防护技术要求和检测标准。

[注1] APT(Advanced Persistent Threat)直译为高级持续性威胁。这种威胁的特点:一是具有极强的隐蔽能力和很强的针对性;二是一种长期而复杂的威胁方式。它通常使用特种攻击技术(包括高级隐遁技术)对目标进行长期的、不定期的探测(攻击)。

[注2] AET(Advanced Evasion Techniques),有的文章译为高级逃避技术、高级逃逸技术,笔者认为译为高级隐遁技术比较贴切,即说明采用这种技术的攻击不留痕迹,又可躲避IDS、IPS的检测和阻拦。

参考文献

[1] 关于防御高级逃逸技术攻击的专题报告.

[2] Mark Boltz、Mika Jalava、Jack Walsh(ICSA实验室)Stonesoft公司.高级逃逸技术-避开入侵防御技术的新方法和新组合 .

[3] 恶意代码综合监控系统技术白皮书.国都兴业信息审计系统技术(北京)有限公司.

[4] 杜跃进.从RSA2012看中国的网络安全差距.2012信息安全高级论坛.

[5] 张帅.APT攻击那些事.金山网络企业安全事业部.

[6] 徐金伟,徐圣凡.我国信息安全产业现状调研报告.2012.5.

[7] 徐金伟.我国专业公司网络流量监控技术现状. 2012.6.

[8] 北京科能腾达信息技术股份有限公司.CNGate-TES测试手册.

篇(10)

生命教育源于20世纪初,西方兴起的死亡学和死亡教育、生死教育。西方国家的生命教育研究趋于身心健康取向、生死取向、伦理取向、宗教取向、社会取向等。我国生命教育取向于生存技能、生活技能、健全人格、提高公民素质为目标。

时展日新月异,生活节奏越来越快,人们承受着各种压力,排解压力,保持健康的身心是现时代要解决的难题。随着生活条件的改善,国家越来越关注民生和人文,到处可见“生命至上、安全第一”标志。提升国民素质,归根结底是提升人的自然生命、精神生命、社会生命。提升人的生命质量,实现人的生命价值是创建和谐社会的主旋律。生命教育应该从小开始,生命教育应该渗透到课堂教学过程中,生命教育应该在实践活动中展开。青少年时期是学知识、长本领的黄金时期,也是生命安全教育的最佳时期,学科渗透生命安全教育是学校安全教育的最佳途径。

学科教学中有目的、有计划、有组织地渗透生命教育,可以引导学生珍爱生命、注重生命质量,学会生存、学会生活,搭建为实现生命价值而努力的舞台,创建和谐社会具有非常重要的意义。通过学科教学渗透生命教育研究,挖掘学生渗透生命教育资源、找出学科渗透生命教育途径、研究学科渗透生命教育方法,实现有效渗透生命教育的目的。

1.挖掘学科渗透生命教育资源,扩大生命教育领域

首先、开发学科渗透生命教育资源,扩大生命安全教育领域。政治学科教学中加强法制安全教育,增强法律观念,学会用法律武器,保护人身生命安全的能力。生物学科教学中增强保健意识,提高保健能力。地理教学中学会保护自然,保持生态平衡的意识。理化教学中丰富环保知识,学会废弃物处理方法,养成节水节电习惯。体育教学中学会正确的锻炼方法,增强体质,培养毅力。音乐教学中学会合作、学会和谐,使学生更加热爱生活,提升生命质量。语文教学中学会做人的道理和办事的原则,使学生更加珍惜生命,追求生命的质量。历史教学中,通过人类发展史,树立积极的人生观、科学的世界观、正确的价值观,提升生命的质量。

其次、丰富学科渗透生命教育理论,增强生命安全教育意识。通过学科渗透生命教育过程,丰富保健知识、心理健康知识、环保知识、控烟知识、传染病知识、交通安全知识、防电知识、防火知识、防水知识、防雷知识、防震知识,掌握安全技能,增强生命意识、开发生命潜能、关注生命质量、实现生命价值。

再次、参与学科渗透生命教育实践,提高生命安全教育质量。通过垃圾分类处理方法、回收垃圾制作手工制作、清理白色垃圾、争做环保使者等实践活动,使学生学会生活、学会生存、学会合作。通过学科渗透生命教育的研究,培养爱护人类家园、保护生态环境,做到人与自然、人与社会和谐相处的有责任、有爱心的文明公民。

2.拓展学科渗透生命安全教育途径,增强生命安全意识

首先,班会课,认真贯彻生命安全教育。在学校校长是安全第一负责人、主管安全的领导是主要负责人、而班主任是班级学生管理的直接负责人。所以对学生的安全教育离不开班主任,班主任要加强安全教育的最佳时间应该是班会课。利用班会、有计划地对学生实施《中小学公共安全教育指导纲要》中的阶段目标,有效实施安全教育,不但能科学掌握安全知识,还能提高安全教育质量。

其次,团队课,养成积极心理品质。中国共青团是中国青年的先进组织,参加团课学习与活动,能够树立健康的信仰和伟大的志向,培养团结、向上、奉献的高尚品质和正确的人生观、世界观和价值观,使学生更加关注生命的质量。

再次,心理健康课,培养良好的心理品质。随着社会的发展和学习、生活环境的复杂,增强了青少年的心理压力,再加上学生早熟不断引起教育界的困惑,所以学校教育必须认真实施心理健康教育。要做到有教师、有教案、有教研、有心理咨询室,还得建立心理健康档案。通过一系列的教育活动,维护学生的心理健康,学生的心理得以正常发展,心理困惑得到疏导,不良心理与行为得到矫治,学生对自我的认识不断提高,自立、自律、自学能力增强,个性得到健康发展,表现出良好的心理素质,能够适应学校、社会的要求,完善自我。

此外,利用信息技术课,加强网络安全教育。网络为我们提供了丰富的信息资源的同时,也面临网络安全威胁。如:个人隐私盗用、网络病毒、黑客攻击、不良文化传播等现象。所以信息技术课教学中要加强网络知识科普教育,树立正确的网络观,引导学生善用网络资源,学会如何分辨有害信息,增强网络安全道德意识。

3.丰富生命安全教育方式,增强安全教育针对性

3.1 丰富生命安全宣传方式。定期利用板报、手抄报、广播、国旗下演讲、示板、专栏、视频,宣传生命安全知识,使安全教育常规化、系列化、实效化,使学生足够引起重视。

3.2 定期开展安全教育活动。每学期组织一次法制安全讲座、控烟讲座、传染病预防讲座、饮食安全知识讲座课,还严密组织防震、防火疏散演练,增强生命安全预防意识,提高生命安全事故预防能力。

篇(11)

引言

在科学技术的不断深入发展下,主动配电系统(ADN)可以彻底满足高渗透率分布式能源对电力系统越来越高的要求,作为未来电网的发展部分,主动配电系统能够有效简化配电网的规划和控制,而使用主动配电系统的电网也能够有效保障电力网络的安全性和可靠性。

1 主动配电网的具体论述

主动配电网,英文全称为Active Distribution Network,通常被简称为ADN,主要是通过网络拓扑结构完成配电网的管理工作,从而能够主动控制分布式能源(DER)并且对整个配电系统进行主动管理,而分布式储能(EES)、分布式发电(DG)和可控负荷(RL)是分布式能源(DER)的三大组成部分。直到2010年国际上才对主动配电网进行具体的阐释说明,这也直接体现出主动配电网的起步比较晚,因此目前绝大多数的电力企业对主动配电网并不是十分了解,在配电网的管理中仍然采用传统办法,因此主动配电网的发展之路还比较漫长[1]。

2 分布式能源技术的概述

传统配电网也被人们看作是输电网与用户之间的中枢,而在整个电力系统当中,“被动”负荷其实是中低压配电网。由于传统配电网的技术标准不高,操作也并不复杂,所以开放辐射模式被广泛应用在电力网络当中,其中的大多数电力设备皆为自动化设备,能够快速处理后台故障,有效保障电力的持久供应,然而却无法主动控制稳态运行状态下的配电网,所以人们又将传统配电网形象的称作是被动配电网,由此可见高渗透率的分布式能源接入技术并没有体现在传统配电网设计上,虽然小规模的应用不会在高渗透率的分布式能源接入技术上产生巨大影响,但是一旦使用范围和使用规模扩大,那么不仅会对电网规划和系统运行产生影响,同时还会对故障处理甚至是短路电流等电学现象产生难以预估的影响。

3 主动配电系统的可行技术

3.1 通信技术

现阶段全球使用的通信技术主要分为无线通信技术和有线通信技术,尽管各个公司所使用的通信技术千差万别,但是能够看出几乎没有公司会采用DER遥控通讯,能够对低压网络进行控制的公司更是少之又少,而在配电系统中,主要采用信息和通讯技术设备即ICT技术进行主动管控,事实证明,在使用ICT技术之后,配电系统无论是在安全性、稳定性还是可靠性上均获得了不同程度的提升,不仅如此,ICT技术还能够全面提升配电系统的效率已经平衡频率,与此同时能够控制和调节整个配电系统的电压与潮流,由此我们可以看出,ICT技术可以被看作是主动配电系统中的可行技术,在ICT技术下的主动控制除了能够通过集中控制和组合控制之外,还能够以点对点的控制模式达到这一目的[2]。

3.2 电子设备

当然,除了最主要的通信技术之外,现阶段的主动配电系统中的可行技术还包括三个方面,分别是硬件设备、监测控制以及网络运行,其中的电力电子设备也就是智能电子设备、通信媒介设备、分布式储能、电池能量管理等等均可以实现对分布式发电以及可控电荷进行主动控制和调节,同时完成分布式能源接入的转换,谐波补偿、无功补偿等等,平衡发电以及负荷可以采用可控储能,而DER以及优化运行负荷则能够保障回报率最大化。

3.3 ICT技术

电力系统中所有信息的运算、处理以及分配和存储等功能都需要依靠ICT技术才能够得以实现,除此之外,可控设备与控制单元之间进行传送信息包括控制发电与负荷、合理预测发电以及电价,甚至是电力体统的网络重构和助攻补偿等等都有赖于ICT技术得以实现,由此可见主动配电系统的可行技术还应该包括ICT技术。

3.4 监测预测

所谓的监测和预测,其实就是为了能够有效保障电力系统能够安全稳定的运行,而全面检测各种网络参数,真实的电力系统运行情况并且对电价与发电、峰值电流与负荷以及峰值电压等数据信息进行合理的预测,因此我们也将监测和预测归纳为主动配电系统的可行技术领域当中。

3.5 运行控制

分布式控制和需求侧管理是现阶段配电网管理系统的主要管理模式,而运行和控制其实就是指微电网或是馈线能够在孤岛运行条件下进行管控,除此以外,潮流管理、自动电压控制、动态线路荷载水平等也都是运行和控制的涉及范围。

3.6 规划设计

主动配电系统要求在进行配电网规划设计时需要充分考虑在实际运行状况中存在的各种不确定因素,特别是在面对解决高渗透率分布式能源接入问题时,需要进行充分的考量,而不是将其简单看作是新能源形式接入和一种储能设备,这也是主动配电系统与传统被动配电系统相区别的地方[3]。

4 结束语

总而言之,在传统配电网的设计中忽略了分布式能源的高渗透率接入问题,如果不能及时解决这一问题将会对整个电力网络造成巨大的影响,而在电力网络中运用主动配电系统则彻底解决高渗透率接入问题,输配电网之间能够形成双向功率流,无论是电源和负荷还是客户自身都具有了双重保障,这也使得整个电力网络在运行过程中变得更加安全可靠,因此我国还需要继续加强对主动配电系统的研究,通过结合其可行技术全面提升我国配电网效率。

参考文献

[1]范明天,张祖平.主动配电系统可行技术的探讨[J].供用电,

2014,1:22-27.