信息安全研究与设计:信息安全技术仿真实验项目研究与设计

摘要：论述了信息安全技术仿真实验项目的研究内容、目标及拟解决的主要问题；阐述了该项目拟采取的主要方法；提出了该项目研究与设计的目标：一方面创新实践教学，提高教师教学水平，另一方面提高学生的实践动手能力和创新能力，为提高学生就业率打下坚实的基础。

关键词：信息安全技术；仿真；实践教学；创新能力

作者简介作者简介：李毕祥（1981-），男， 硕士，武汉科技大学城市学院信息工程学部信息工程系讲师，研究方向为信息安全；郭冀生（1946-），男，武汉科技大学城市学院信息工程学部副教授，研究方向为数据库。

0 引言

信息安全技术是从事信息安全应用与信息技术研究的专业技术人员必须掌握的知识和技能。本课程需要理论和实践紧密结合，学生在掌握信息安全技术基本概念和基本理论之后，还要掌握网络管理和网络信息安全保障知识，深入理解网络信息安全的各项工作，并能理论联系实际，进一步应用信息安全技术。

为了充分提高学生的信息安全技术实践能力，迫切需要相应的硬件平台和软件平台作为实践支撑环境，但相关的硬件成本非常高，很难配备齐全，所以很多高校的信息安全技术试验都是传统的演示实验，很难提高学生学习信息安全技术的兴趣。本文设计的信息安全技术实验仿真平台可以充分模拟高校、企业和银行等网络环境，使用模拟软件进行仿真，绘制详细的网络拓扑图，分析网络流量，捕获数据包，分析信息安全，并提供信息安全解决方案。此仿真平台充分利用各种仿真软件的优势和特点，一方面能让教师合理实施实践教学任务，改革传统的实践教学模式，在改革中提高教师的教学能力和水平；另一方面，能让学生身临其境，自己绘制网络拓扑图，分析信息安全问题，充分调动学生的学习积极性，提高学生的自主创新能力，为就业打下坚实的基础。

1 研究内容和目标

1.1 研究内容

（1）建设信息安全实验室，加强信息安全虚拟平台建设。信息安全实验室是信息安全技术教学的实践场所，目前很多大学的实验中心还没有建成专门的信息安全实验室。由于信息安全实验室建设投入较大，建设周期长，在目前教学任务紧迫的情况下，唯有加强信息安全虚拟平台建设才能满足实验教学要求。虚拟实验平台主要依赖于软件和较少的配套硬件，使实验室的维护费用和工作量大大降低。在虚拟实验平台Boson、Opnet、Sniffer和Matlab上可以开展丰富的模拟实验，包括网络虚拟仿真、防火墙配置和基于SNMP的信息安全管理等。

（2）改革实验教学模式，创造自主学习模式，提高实验教学质量。对于信息安全的管理和实现，设定任务情境，对实验任务的选择可以具有梯度，更贴近工程应用。教师制定学习目标，学生可以自己设定任务情境，根据实际情况完成。例如，在信息安全管理实验中，学生可以自主设计网络拓扑结构，进行设备选型、配置和管理，以提高学生兴趣和实践动手能力为导向，鼓励学生自主学习。

（3）完善教学实验指导书，增加实验项目。

1.2 项目目标

（1）通过信息安全虚拟平台建设，强化学生的信息安全理论修养和实践能力，学以致用，通过实践来真正掌握信息安全技术的应用。

（2）通过信息安全虚拟平台的使用，增强学生之间的学术交流氛围。教学任务设定和日常信息安全技术应用，让学生不仅在课堂，在课余时间也有进行信息安全知识钻研的意识和环境。

（3）积极寻求相关途径进行校企合作，为进一步提高学生实践动手能力创造条件。

（4）建立结构合理的教学队伍，制定适应社会需求的教学内容，培养教师的科研能力，完成信息安全技术课程群梯队建设，形成一些具有较高水平的教学研究成果。

2 仿真实验项目解决的关键问题

（1）改革过于模式化的传统实验，培养学生的创造性思维。

信息安全技术传统实验内容大多局限于实验环境，脱离工程实际，实验效果不好，难以培养学生创新能力。学生毕业后从事信息安全工程实践时，很难将实验功底转化为从业能力。

（2）完善信息安全虚拟平台，进行优化和合理的实验设计。

信息安全虚拟实验平台是在能够进行网络通信的基础之上将计算机网络上虚拟的各种计算机、通信设备按实验要求组建成一个完整的虚拟实验网络，模拟实现各种计算机网络试验和测试，并能演示实验过程和信息安全管理的配置过程。使用已有网络虚拟平台Boson、Opnet、Sniffer和Matlab

进行合理的实验设计，达到提高学生实践能力的目的。

在绘制企业网络拓扑图，以及配置网络设备，例如交换机、路由器和防火墙时，选用Boson软件来完成拓扑图的绘制和网络设备的模拟配置。实验效果描述如下：在捕获和分析网络中的数据包时，选用sniffer软件来完成；在分析网络的流量和网络参数时，选用openet软件来完成；在分析相关的数据和结果时，选用Matlab仿真软件来完成。可以充分结合以上各种模拟软件的特点和优势，完成复杂的信息安全实验项目。

（3）培养学生之间的合作精神，让学生体验团队协作。

在传统的教学过程中，虽然在实验环节也采用了分组进行的模式，但在具体操作过程中部分学生并没有真正参与，也就谈不上团队意识和协作学习，信息安全虚拟实验平台可以拓展和改善学习环境和氛围。

（4）传统课程考核模式陈旧，需要借助信息安全虚拟实验平台进行改革。

传统的考核模式，内容局限于教材中的基本理论和基本知识，缺乏对学生知识、能力与素质的综合考察，不利于学生应用能力的培养和创新精神的形成。另外，考试形式单一，在课程总评成绩的计算中实践部分所占比重很小，制约了学生实践能力的培养。

（5）积极寻求相关途径进行校企合作，让学生进入企业实习和工作，为进一步提高学生实践动手能力创造条件。

3 教学方法

教学方法的改革，目的是使学生在实际应用时能够灵活地将理论与实践相结合，培养学生运用知识分析问题解、决问题的能力。除了传统的行之有效的教学方法之外，还应该采用一些有专业特色的教学方法，与时俱进。主要采取如下方法：

（1）在信息安全技术虚拟平台上，将传统的实验题目改编为自主型实验题目。针对设计型实验的内容和要求，根据机房环境和信息安全技术虚拟平台，精心设计相关题目和题目的梯度任务，或将原有实验题目进行改造，形成与实验要求相对应的自主型实验题目系列。将实验教学中传统的特定环境实验题目改为以问题为主线的任务情境，使学生自主选择合理的任务并进行自主设计，培养学生创新能力。

（2）实验教学中增强学生团队意识。利用信息安全技术虚拟实验平台拓展和改善学习环境和氛围。在传统的分组模式基础上，在具体操作过程中根据学生水平结合自愿原则分组，鼓励学生制定不同梯度的任务作为目标，适时引导和有效监督，让学生体会到团队合作的重要性，培养竭诚合作的精神。此时，教师的引导作用很重要。

（3）利用信息安全虚拟实验平台，改革实践课程考核体系。实验考核中，学生要在规定时间内独立解决问题，确保实践考核的实时性、公开性和性。这样的学习考核方式，使学生学习有目标、有压力，学生在课前会认真做好准备，课后强化相关的信息安全的设计和应用，调动了学生的学习兴趣，从而达到了提高学生解决实践问题能力的教学目的。

（4）寻求校企合作，鼓励学生到相关企业实习和工作。让学生了解企业信息安全人才需求，努力让学生密切联系实际，鼓励学生到相关企业实习和工作。在学校有限的实验条件下，积极寻求校企合作，鼓励学生去企业实习，为毕业生顺利就业和后续扩大专业招生打下良好的基础。

信息安全研究与设计:企业网信息安全风险评估系统的研究与设计

摘 要 本文构建了一个网络信息安全风险评估系统，该系统对企业内部网络中的信息进行风险评估，为如何实施控制措施以降低风险提供指导。

关键词 企业网 信息系统 风险评估

一、引言

信息技术在商业上的广泛应用，使得企业对信息系统的依赖性增大。信息系统风险评估是辨别各种系统的脆弱性及其对系统构成威胁，识别系统中存在的风险，并将这些风险进行定性，定量的分析，制定控制和变更措施的过程 。通过安全评估能够明确企业信息系统的安全威胁，了解企业信息系统的脆弱性，并分析可能由此造成的损失或影响，为满足企业信息安全需求和降低风险提供必要的依据。

二、安全风险评估的关键要素

信息系统安全风险评估的三个关键要素是信息资产、威胁、弱点（即脆弱性）。每个要素都有各自的属性，信息资产的属性是资产价值。威胁的属性是威胁发生的可能性，弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度。

对企业信息系统的本身条件和历史数据进行整理分析，得到威胁，脆弱点分析如下：

实物资产的脆弱性：对电脑等办公物品的保护措施不力，办公场所防范灾害措施不力，电缆松动，通讯线路保护缺失。

信息资产的脆弱性：相关技术文档不全，信息传输保护缺失，拨号线路网络访问受限，单点故障，网络管理不力，不受控制的拷贝。

软件资产的脆弱性：未使用正版稳定软件。

人员的脆弱性：对外来人员监管不力，安全技术培训不力，授权使用控制不力，内部员工的道德培训不力。

三、风险评估过程

风险评估是信息系统安全保障的核心和关键。风险评估过程分为风险识别、风险分析和风险管理。

风险识别是分析系统，找出系统的薄弱点和在运行过程中可能存在的风险。为了保障风险分析的的及时性和有效性，管理层面应该有具备丰富风险知识的部门经理、IT人员、关键用户、审计人员和专家顾问，他们能够帮助快速地指出关键风险。

风险分析是对已识别的风险进行分析，确定各个风险可能造成的影响和损失，并按照其造成的影响和损失大小进行排序，得到风险的级别。风险分析有助于企业就安全项目和构成该项目的安全组成部分编制正确的预算，有助于将安全项目的目标与企业的业务目标和要求结合起来。

风险管理是由以上步骤得到的结果，制定相应的保护措施。通过实施在评估阶段创建的各种计划，并用这些计划来创建新的安全策略，在完成补救措施策略的开发和相关系统管理的更改，并且确定其有效性的策略和过程已经写好之后，即进行安全风险补救措施测试。在测试过程中，将按照安全风险的控制效果来评估对策的有效性。

四、评估系统的设计

（一）评估系统的体系结构和运行环境。

该评估系统主要采用B/S/S三层体系结构，即包括客户端、应用服务器、数据库服务器三部分。其结构示意图如图1所示：其中，客户端通过Web浏览器访问应用服务器，在Web页面的引导下指导用户与评估人员进行风险识别、数据收集，并显示的评估结果。同时丰富的在线帮助信息又为用户及评估人员参与风险评估以及管理员进行系统维护提供了很好的在线支持，系统管理员也可以利用任意一台客户端登录管理帐号对系统数据库进行权限范围内的维护。管理者需了解部门、员工及资产总体情况，明确风险种类及大小，并以知识库的形式，为如何处置风险提供了一些解决方案。面向评估人员的功能模块，展示了本部门目前面临的威胁和薄弱点情况，帮助评估人员明确风险。相比而言，该模块更主要的功能，是协助上报本部门的人员及资产信息，以满足评估需要。

图1 评估系统体系结构

应用服务器处理收集到的风险信息，并采取多种手段，利用综合评估算法 ，完成信息系统安全风险评估，并实时将执行结果返回给客户端Web浏览器。应用服务器配置了系统运行所需要的Web服务器程序以及Web站点页面文件，我们选择动态网页编程技术对系统的Web站点页面文件进行编码和开发。数据库服务器上配置了系统运行所需要的SQL Server数据库管理程序以及系统数据库资源，通过Web服务器与客户端实现实时数据交互。

（二）工作流程设计

首先，对信息系统进行风险数据采集，用户填写由评估单位制定的评估申请，将信息系统按具体情况进行分类，同时利用漏洞扫描器、正反向工具从技术角度了解系统的安全配置和运行的应用服务，使得评估人员从整体上了解该信息系统及其评估重点，并针对系统业务特点进行裁剪；接下来，在前面所做的工作的基础上，围绕着系统所承载的业务对数据进行资产、威胁、脆弱性分析；，依据发生的可能性及对系统业务造成的影响对识别的风险进行分类，利用定性和定量的评估算法以及消除主观性的各种算法，对风险识别中获得的风险信息进行风险综合评估，并在整体和局部、管理和技术风险评估的基础上，生成评估报告。

（三）数据库设计

该系统的数据库由企业信息库、知识库、评估标准库和评估方法库组成，采用SQL Server数据库管理系统作为该数据库的开发和运行平台，其中：企业信息库存储的是有关企业信息系统的基本信息；评估方法库存储了针对所设计的评估结构所采用的评估方法集合；知识库存储的是以往已评估系统的完整评估资料，可以为当前的风险评估提供可借鉴的经验；在数据库设计中评估标准库是几个库中最重要也是工作量较大的部分，该库涵盖了各评估标准的评估要素，即遵从标准，又针对各行业的业务特点，提供了灵活的数据结构。

（四）网站内容风险算法。

对风险进行计算，需要确定影响的风险要素、要素之间的组合方式、以及具体的计算方法。将风险要素按照组合方式使用具体的计算方法进行计算，得到风险值。目前通用的风险评估中风险值计算涉及的风险要素一般为资产、威胁、和脆弱性。由威胁和脆弱性确定安全事件发生的可能性，由资产和脆弱性确定安全事件的损失；由安全事件发生的可能性和安全事件的损失确定风险值。目前，常用的计算方法是矩阵法和相乘法。

五、总结

网络技术的发展在加速信息交流与共享的同时，也加大了网络信息安全事故发生的可能性。对企业信息系统进行风险评估，可以了解其安全风险，评估这些风险可能带来的安全威胁与影响程度，为安全策略的确定、信息系统的建立及安全运行提供依据，给用户提供信息技术产品和系统性的信心，增强产品、企业的竞争力。

（作者：武汉职业技术学院计算机系教师，硕士，研究方向：计算机网络及其应用、信息安全）

信息安全研究与设计:高职信息安全专业实训教学评价系统的设计与研究

摘 要：目前不少公司和教育机构都开发了信息安全专业实训平台，但配套的实训教学评价系统却很少。本文依托实训平台研究开发配套的实训教学评价系统，该系统既方便教师及时了解学生实训完成情况，也能及时反映学生在学习过程中遇到的问题，根据学生反馈对实训项目不断完善。

关键词：信息安全技术；实训项目；实训教学评价系统

中图分类号：TP309-4

为了更好的指导对信息安全专业学生的实训课程教学任务，培养高素质的信息安全方面的人才，掌握近期的信息安全理论与实践经验，开设信息安全实训课程是非常必要的，但如何对实训课程进行教学评价及考核是我们面临的一个新问题，教师需要了解实训项目开发是否适合学生学习，需要学生及时将完成任务后的效果反馈给教师，教师也需要对学生完成情况进行考评。

目前国内的教育机构或企业开发的集成化网络实训产品比较多，如西普阳光，锐捷网络，这类实训产品主要提供一些实训题目操作给学生练习，对教学效果有的根本没有评价系统，有的只有简单给出实训成绩，不能真实反映实训效果。为了更好的对实训课程、基于工作过程的项目化教学课程学习效果进行评价分析，更好的了解学生的实训课程及完成工作任务的情况，本文给出了信息安全专业实训课程评价系统。

1 信息安全专业实训课程教学模式分析

信息安全专业实训课程，按照课程设置可分为两种类型：一类是与课堂教学配套实验教学，通常以验证性实验为主，其重点在于让学生通过实验理解知识的本质和原理[1]；另外一类是单独开设的实训课程，通常以综合性、设计性和创新性实验为主，目的是培养学生综合运用所学多种信息安全技能，提高学生的实际操作能力，为将来顶岗实习、毕业设计打基础，为更快、更好适应企业岗位需求打基础。因此实训课程设置需要注意以下几个方面问题：

（1）实训课程中课程内容的设置，要求能综合运用多种安全领域技术手段，采用多种手段结合的方式来实现安全设置，以此解决相应的问题。

（2）实训内容中涉及到加密算法验证、程序演示等项目时，一方面要提供正确的算法或程序的可执行程序进行验证性实验，另一方面要求提供算法或程序的实现细节，便于学生通过源代码或实现细节的调试修改加深对知识点的理解，增强学生的实际动手能力[2]。

（3）实训内容中涉及到利用网络上的共享资源时，如网络攻防实训、计算机病毒实训，需要让学生掌握更多的攻击和防御技巧的手段，需提供成熟、版本较新的各种网络上的共享资源。

（4）需要提供实训结果的评价机制，实训效果的考核和评价机制，教师能实时了解每一位学生当前的实训状态，操作过程，便于实时发现问题，及时反馈信息，进行指导和修正。

（5）需要提供统一管理的实训平台环境，教师可以灵活合理的搭配实验内容，根据教学需要，配置相应的实验基础设置条件。

信息安全实训课程必须在完成课堂教学的基础上进行，通过课堂教学使学生掌握信息安全专业的相关基础知识。在此基础上，通过实训课程完成相关配套课程的实训，提高学生综合专业技能水平[3]。因此成熟、完善的实训评价系统十分必要，该系统对实训环节进行实时监控，及时发现问题，解决问题。

2 实训教学评价系统设计

实训教学评价系统的设计，需要满足以下几个需求：

（1）提高教学质量，通过实训教学评价系统，学生可以向教师及时反馈实训过程中存在的问题、意见和建议，便于老师及时掌握学生的学习情况，而不是简单的完成工作任务，教师根据学生反馈，及时调整实训项目内容，提高实训教学质量。

（2）增强学生自主学习能力，利用教学评价系统，学生在完成实训后可以自己查看实训结果的正确性及疑难问题解答，学生可以根据自身情况进行自主学习，大大增强学生自主学习能力。

（3）减轻教师繁琐的评价工作，一般由于课堂时间有限，老师只能针对个别同学的实训结果进行讲评，还需要课后花大量时间重新查阅所有同学的实训结果，工作量较大。利用实训教学评价系统，在同学们完成实训的时候，教师就可以查看所有同学的实训结果，了解实训效果及反馈，大大减轻教师的工作量。

实训教学评价系统设计必修根据实训项目内容来设计，针对不同的实训项目考核的重点及学生反馈的问题有所差异，应根据实际情况灵活设计考核方案。目前实训项目主要涉及以下几方面内容：

（1）操作系统安全设置、计算机病毒、信息加密，这类实训内容一般由一台计算机可以完成，实训结果是否正确比较好判断，教学评价较为简单。

（2）服务器入侵及防御，这类信息安全实训项目至少涉及2台计算机，一台作为服务器扮演被入侵的角色，一台作为客户端扮演入侵者的角色，同时服务器被入侵后如何进行防御是实训内容的重点和难度；这类实训结果正确性不能简单判断是否正确，因此在进行教学评价时有一定的难度。

（3）网络安全策略部署，这类实训需要多台计算机共同完成，同学们需要分组进行实训，因此实训的教学评价系统难度较大。

3 实训教学评价系统开发

实训教学评价系统是依托于实训项目进行开发设计，目前各类信息安全实验平台具有以下特征：

（1）建立真实的网络环境，能在局域网交换式和共享式网络环境下，开展信息安全实验、实训。

（2）有多种操作系统环境，Windows xp/2000/2003的专业版和服务器，有linux、UNIX操作系统环境。

（3）提供开展密码系统和PKI/CA相应的实训环境；

（4）具备开展网络攻防实验的条件，有网络攻击系统或平台、口令攻击软件、DDos攻击软件、渗透攻击软件、木马植入软件、攻击仿真系统等。

（5）具有建立网络防御体系需要的实训条件，具有防火墙系统、入侵检测系统；

实训教学评价系统是依附于实训平台使用的，信息安全实训平台为方便教学开发设计的集成图形操作环境，该环境给教师和学生提供了一个公用的平台，集成的实验平台，既便于学生动手，也便于师生之间的信息交流及教学效果评价。这样的系统一般由几个部分组成，平台基础信息维护程序，教师和同学通过该程序注册、登录系统。教师端程序主要提供教师分发实训任务，了解学生完成情况，根据学生完成情况进行讲评。同学们登录学生端程序后，接受实训任务，根据要求完成相关实训并提交，查看实训结果并将实训过程遇到问题反馈给教师。因此实训教学评价系统应该在教师端程序和学生客户端程序中共同完成。

根据设计要求、实训内容、实训平台特点等几个方面综合考虑，设计出如下实训教学评价系统，系统功能模块分析图如下图1所示。

系统在实际设计中分两个部分，一个部分关于教学考评学生实训完成情况，结果是否正确，在教师端程序中设计实施。另一部分关于学生在实训过程中遇到的问题及时反馈给教师，同时查看自己的实训成绩及实训结果正确性，这部分功能在学生端程序中设计实施。因此整个系统的流程图如图2所示。

4 总结

信息安全专业学生实训目的是培养学生综合运用所学安全工具、安全策略的能力，提高学生的实际操作能力，培养学生适应实际工作要求能力。在高职的教育教学过程中显得尤为重要，为了减轻教师实训评价工作，提供实训的教学质量及教学效果，配套的实训教学评价系统也尤为重要。本文给出的实训教学评价系统通过实施，可以达到点评实训结果，了解学生实训状况，改进实训内容的作用，提高教学质量。

信息安全研究与设计:地铁信号维护支持系统信息安全采集设计与研究

摘要：在城市轨道交通运营中，信号设备发挥了神经中枢的作用。信号维护工作则是保障信号系统正常工作的关键。对地铁信号系统维护现状进行分析后，建议引入独立的地铁信号维护支持系统，通过实时采集信号设备的运行状态，及时显示故障报警信息，辅助设备维护流程，实现对地铁信号系统设备的集中监测和维护管理。

关键字：地铁；信号维护支持系统；设计

一、接口安全问题

地铁交通信号维护支持系统通过数据接口对信号设备进行信息采集，信号设备提供的接口方式有RS232、RS422/485、CAN、以太网，通常CC（车载控制器）、ATS（列车自动监控系统）、ZC（区域控制器）、CI（联锁）、DCS（数据通信子系统）等信号设备提供以太网接口[5]，ACS、UPS、智能电源屏等信号设备提供RS232或RS422/485接口。信号设备与信号维护支持系统采用RS232、RS422/485、CAN等接口进行通信时，通讯设备间可能存在参考电位不同、系统噪声以及浪涌等，容易造成通信故障甚至信号设备的损坏，严重时则会影响到行车效率和行车安全。信号设备与信号维护支持系统之间为确保接口信息的安全采集，必须确保有良好的安全隔离措施，既要做到数据上的安全隔离也要做到电气上的安全隔离。确保信号维护支持系统符合故障-安全原则，即在任何情况下都不得影响信号的正常工作。同时其它信号子系统间不能通过信号维护支持系统相互通信相互影响。

二、串口通信安全方案

2.1系统隔离

信号传输中非预期的电涌可能由多种原因引起，它们是电流通过感应方式耦合到电缆上的结果，工业环境中的长电缆特别容易受此现象的影响。电机操作尤其容易引起地电位的快速变化，这些变化可产生电流，流过所有邻近线路以补偿地电位。其他感应电涌来源包括静电放电（ESD）和电击，它们可导致线路中的电位高达数百或甚至上千伏特，并表现为瞬态电流和电压浪涌。因此，这些失控的电压和电流会破坏信号并为器件和系统带来严重后果―――损坏甚至毁坏连接到总线的元件并使系统出现故障。由于RS-485系统铺设距离长并且连接多种系统，特别容易受到这类情况的影响。为防范此类潜在的破坏，总线上的所有设备和连接至总线的系统都必须参考同一地线。将RS-485系统器件与连接至总线的各个系统隔离，可防止接地环路和电涌损坏电路。连接至RS-485电缆总线的各系统和每个RS-485电路都有单独且隔离的地线，使各RS-485电路仅参考同一地线，可消除接地环路。通过隔离，还可以使RS-485电路基准电压水平随着电缆线中产生的电涌而升高和降低。使电路基准电压源随浪涌而变化，而不是钳位在固定的地线，可防止器件损坏。为实现系统隔离，必须将RS-485信号线和电源隔离。电源隔离是使用隔离DC-DC电源实现的。信号隔离通常是使用光耦合器实现的。隔离的实现方式并不复杂，但设计者在实现隔离电路时必须考虑多个因素。由于数字隔离器不支持RS-485标准，无法在RS-485接收器、驱动器和RS-485电缆之间插入数字隔离器。为实现RS-485系统信号路径隔离，需要在RS-485驱动器、接收器和本地系统之间的数字信号路径中设计一个隔离器。隔离器包括输入电路和输出电路，互相之间以电气方式隔离，可有效防止浪涌造成的损坏并消除接地环路。理论上，变压器可用来提供隔离，但是，如果总线速度慢，需要大型变压器，这一解决方案就不可行了。

2.2系统应用

RS-485总线标准是使用最广泛的物理层总线设计标准之一。RS-485标准可用于驱动多达32个驱动器/接收器。长度可以达4 000 m。RS-485的多功能性使该设计适用于各类应用，尤其是远661第5期程全，等：地铁信号维护支持系统信息安全采集设计与研究程的系统间连接。RS-485驱动器使用平衡的差分信号通过两条输出线路发送数据信号。接收器通过将这两个输入信号互相比较进而确定逻辑状态。驱动器和接收器包含差分放大器和两个差分信号线路之间的电路引导电流。相比单端驱动方案（如RS-232）差分信号的使用使系统具有较高的抗噪水平。所有的RS-485驱动器还包含使能驱动，可使驱动器处于高阻状态。使能驱动功能可使多个驱动器共享同一总线并防止总线竞争问题。驱动器使能功能和软件协议定义了驱动器之间线路共享的仲载程序。软件协议在驱动器之间仲载，确保一次只有一个驱动器保持激活状态。此仲裁允许多达32个驱动器共享线路。RS-485可采用一种半双工、双向、双线、多分支配置，在一条总线上支持多达32个驱动器和32个接收器。线路上的每个节点都包含一个接收器和一个驱动器。在此配置中，所有的接收器和驱动器都共享相同的两个差分信号线路。双线系统可以使用一条双绞线安装。该设计可简化安装并降低成本，但它需要所有驱动器共享线路，从而限制了较大数据吞吐率。由于RS-485系统通常用于连接多个系统，当电缆铺设距离过长时，总线和所连接的各个系统之间的隔离就显得非常关键，这时利用数字隔离技术为它们之间提供了重要的隔离，并防止过压瞬变，同时避免在RS-485网络中形成接地环路。利用数字隔离技术可减少信号失真和误差，并防止系统和组件发生和总线电压及接地失配。在网络安全问题日益突出的今天，采用串口通信的方式可以有效隔离病毒。串口间的数据流、编码格式、数据报文由串口通信程序控制，通用的TCP/IP协议、UDP协议无法在此通过。同时串口通讯协议不是标准协议，都是自己根据系统特点设计，只有符合串口通讯协议的数据才能完成传输，如果设备间只是通过串口进行连接，病毒将无法通过串口通信线路进行传播。造成串口通信设备损坏的主要原因有两端设备不共地、浪涌、感应雷击、静电干扰、热插拔、电磁干扰等，当串口通信设备采用光电隔离技术后，两端串口通信设备的电气与地线回路隔离，使得一侧的电信号变成光信号传到另一侧以后，再将光信号转换回电信号，从而保护了串口通信设备，提高了系统通信的性与稳定性。因此，采用带光电隔离的串口可以实现接口信息的安全采集，保障恶劣环境下也能安全的通信。如果信号维护支持系统在车站需要与两种或两种以上的串口设备通信，可以采用带光电隔离的多串口卡进行串口扩展。采用光电隔离的串口可以实现接口信息的安全采集，但是串口通信速率低，通信距离短。比如常用的具有光电隔离的MOXA CP-114I（4口232，422/485）端口速度为921。6 KB/s，通讯距离为100 m。

三、通信接口机

如果信号维护支持系统直接通过交换机与信号设备相连，可能造成本来没有互连关系的信号设备通过信号维护支持系统提供的交换机有了互连关系，对列车的安全运行来说具有一定的风险。当需要采集的接口数据量较大，同时通信距离又较远，采用光电隔离的串口通信安全方案无法满足要求时，可以采用以太网通信安全方案。在通信安全方案中可以采用通信接口机实现信号设备与信号维护支持系统间的互联互通，同时保障通信的安全。通信接口机把网络接口转换成串口与信号维护支持系统连接，一路网口转换成一路串口，一台通信接口机可同时将8路网口转换成8路串口，每路通讯通道间相互独立，信号设备间没有任何物理上的通讯连接关系。因此，通信接口机可以很好地实现信号维护支持系统与信号设备间、各信号设备间的安全隔离。通信接口机可用于控制中心、设备集中站、车辆段/停车场的通信安全隔离，通信接口机在设备集中站的应用实例见图1

图1

若采用通信接口机作为安全隔离方案，还需要考虑通信接口机、多串口卡（当信号维护支持系统提供的串口太少且无法满足与多种信号设备通信时，采用多串口卡进行串口扩展）的串口速率以及网络的数据量。若信号设备发送给信号维护支持系统的数据量特别大，由于串口速率较小，此时就不适合采用通信接口机这种安全隔离方案，只能采用其它的安全隔离措施。

结束语

在地铁信号维护支持系统中串口安全通信的优点是基于光电隔离的串口通信成本低，隔离病毒。但是通信速率较低，通信距离短；适用于通信距离短、通信数据量较小的信号设备通信。通信接口机优点成本低，隔离病毒，各路通讯通道间相互独立。但是通信速率较低，不适合通信数据量较大的场合，适用于控制中心、设备集中站、车辆段/停车场的信号设备的通信安全隔离。因此在应用时可根据不同的场景选择不同的设计方案。

信息安全研究与设计:高职网络与信息安全课程教学设计与研究

摘要：高职网络与信息安全是一门涉及多门课程知识的综合性课程，它涵盖的课程内容丰富且难度大。该文以window server 2008操作系统安全加固为例，来设计符合高职学生学习特点的一整套教学方案，目的在于培养学生解决实际问题的能力。

关键词：高职；网络与信息安全技术；操作系统；安全加固

随着互联网用户的增加，技术的发展，导致网络不安全的因素越来越复杂，网络面临前所未有的安全威胁，社会对能快速解决网络安全问题的人才需要增加。因此培养维护网络与信息安全的人才成为了高职院校的大事件。本文针对网络用户如何防范最常见的网络攻击角度出发，为学生精心设计教学内容。

1 课程特点

学习网络与信息安全课程，需要学生有一定的硬件平台、软件系统、TCP/IP协议等知识为基础。本课程在高职教学中主要有如下一些突出特点。

1）内容丰富。网络与信息安全技术课程内容包含：网络与信息安全的基本概念，加密与解密技术，数字签名和认证技术，神州数码硬件防火墙及ISA server2006软件防火墙技术，snort入侵检测技术，端口扫描和嗅探技术，网络流量监控及分析技术等，可见本课程内容丰富。

2）基础课程要扎实。网络与信息安全技术课程是计算机网络技术专业的专业课，前面的基础课程有：网络基础、windows系统操作系统、神州数码交换机及路由器设备配置等，这些课程知识需要学生在学习本课程之前掌握。

3） 恶意攻击方法层出不穷。随着网络与信息安全技术的广泛应用，由于各种原因，网络攻击手段越来越复杂，与防范技术不断较量。因此，网络与信息安全课程教学内容也需要不断地更新。

4）突出实用性。学习本课程的最终目的是能解决网络与信息安全问题，它包含的实践内容有：windows操作系统的安全加固、sniffer的使用、X-Scan扫描系统漏洞、用PGP加密软件发送邮件、使用snort入侵检测软件对网络进行实时监视、用ISA防火墙软件设置网络过滤规则等等。

2 网络与信息安全技术课程教学设计与研究

本课程教学内容多，本文以windows server 2008操作系统加固为例，介绍本课程的教学过程。目前许多公司正在使用外置安全硬件的方式来加固它们的网络。这意味着，它们使用防火墙和入侵保护系统在它们的网络周围建立起了一道铜墙铁壁，保护它们自然免受互联网上恶意攻击者的入侵。但是，如果一个攻击者能够攻破的防线，从而获得对内部网络的访问，这个时候就需要我们保护网络当作的一道防线--windows server 2008操作系统加固。

1） 教学目标设计

目前各大公司和企业单位主流服务器都是安全了windows server 2008操作系统，如何加固它，保护内部数据不被窃取或者破坏，成为了我们教学最重要的目标。

2） 教学内容设计

①系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固操作系统，整体提高服务器的安全性。

②IIS手工加固：手工加固IIS可以有效地提高web站点的安全性服务器安全加固，合理分配用户权限，配置相应的安全策略，有效地防止IIS用户溢出提权。

③系统应用程序加固，提供应用程序的安全性，例如SQL的安全配置以及服务器应用软件的安全加固。

3） 教学操作实践

实践环境是一个局域网机房，所有主机互联。假定你是某公司的系统管理员，负责服务器（受保护服务器IP、管理员账号）的维护，该服务器可能存在着各种问题和漏洞。给学生1个小时的时间对服务器进行加固，加固后将会有很多黑客对这台服务器进行猛烈地攻击，学生进入分组对抗环节。

在这个分组对抗的环节里，各位学生需要继续保护服务器免受各类黑客的攻击，可以继续加固服务器，也可以选择攻击其他组的保护服务器。如果某个学生的服务器攻击后死机那么实践结束。

4） 考核方式的设计。

本课程安排形成性考核包括了学生的期末笔试部分、出勤、平时表现占50%，而每次课的实践环节占50%，突出动手实践操作。动手解决实际问题才能真正反映学生的真实工作技能。

3 结束语

本课程是计算机网络技术专业的专业核心课程，课程内容多且复杂。本文提出了以为windows server 2008操作系统安全加固为例，介绍了本课程的教学目标、内容、实践环节的设计，突出学以致用的原则，注重培养学生网络安全防范的能力。