計算機網(wǎng)絡技術(shù)學習單元6-Windows網(wǎng)絡服務器假設(shè)-任務6-1

1、任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接學習單元6 網(wǎng)絡安全防護任務任務6-1 系統(tǒng)漏洞檢測與防護系統(tǒng)漏洞檢測與防護任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接過程菜單鏈接過程菜單鏈接引例描述龍華校園網(wǎng)通信網(wǎng)絡和資源平臺搭建已經(jīng)進入尾聲，部分測試工作也已經(jīng)開展，小張以為項目沒有什么工作了，徐工卻提醒他，還有一塊很重要的工作網(wǎng)絡安全防護，需要完成。此時小張的實習任務已經(jīng)可以完成了，項目組劉經(jīng)理也沒有要求徐工對小張的工作做進一步安排。但小張早就聽說過網(wǎng)絡黑客的傳奇事跡，很是好奇，請求徐工再帶

2、一帶他。徐工給小張介紹了網(wǎng)絡安全中的加密解密、公鑰體系、數(shù)字簽名、數(shù)字證書等方面的知識，以及系統(tǒng)漏洞掃描、防火墻配置等技能，并告訴他黑客行為是不可取的，掌握網(wǎng)絡安全技術(shù)是為了更好的維護網(wǎng)絡，而不是去做非法或違背道德的事情。征得劉經(jīng)理同意之后，徐工安排小張參與了網(wǎng)站安全防護和防火墻安全配置的任務。如圖6-1所示。過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.16.1網(wǎng)絡安全定義網(wǎng)絡安全定義從定義上講，信息安全一般指防止對知識、事實、數(shù)據(jù)或能力非授權(quán)的使用、誤用、篡改或拒絕使用所采取的措施。網(wǎng)絡安全是一個系統(tǒng)工程，實施網(wǎng)

3、絡安全保護，需要弄清楚幾個問題： 哪些對象需要保護； 哪些因素會威脅對象； 威脅會從哪里產(chǎn)生； 威脅的實施過程； 威脅發(fā)生時如何降低損失。過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.16.1網(wǎng)絡安全網(wǎng)絡安全定義定義網(wǎng)絡安全目標網(wǎng)絡安全目標 1. 網(wǎng)絡安全保護對象 一般說來，下列各項可以要求保護： （1）信息與數(shù)據(jù)（包括軟件，以及與安全措施有關(guān)的被動數(shù)據(jù)，例如口令）； （2）通信和數(shù)據(jù)處理服務； （3）設(shè)備與設(shè)施。過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單

4、鏈接過程菜單鏈接6.16.1網(wǎng)絡安全網(wǎng)絡安全定義定義網(wǎng)絡安全目標網(wǎng)絡安全目標 2. 網(wǎng)絡安全目標 網(wǎng)絡安全主要目的是實現(xiàn)保護對象的機密性、完整性、可用性。 （1）機密性 機密性是指保證信息與網(wǎng)絡系統(tǒng)不被非授權(quán)者所訪問和獲取。 （2）完整性 完整性是指信息是真實可信的，來源沒有被偽造、內(nèi)容沒有被篡改。 （3）可用性 可用性是指保證信息與網(wǎng)絡系統(tǒng)可被授權(quán)人正常使用。過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.16.1網(wǎng)絡安全網(wǎng)絡安全定義定義網(wǎng)絡威脅網(wǎng)絡威脅對網(wǎng)絡系統(tǒng)的威脅包括： 對通信或其他資源的破壞； 對信息的濫用、

5、訛用或篡改； 信息或其他資源的被竊，刪除或丟失； 信息的泄露； 系統(tǒng)服務的中斷和禁止。威脅分為偶發(fā)性威脅與故意性威脅，也可以分為主動威脅或被動威脅。過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.16.1網(wǎng)絡安全網(wǎng)絡安全定義定義網(wǎng)絡威脅網(wǎng)絡威脅 網(wǎng)絡威脅產(chǎn)生的原因可能來自于很多方面，有因為網(wǎng)絡系統(tǒng)的技術(shù)問題，如系統(tǒng)平臺漏洞、應用平臺漏洞、網(wǎng)絡協(xié)議漏洞、設(shè)備管理漏洞等；也有內(nèi)部管理方面的漏洞，如員工安全意識薄弱、操作不當、報復心理等。這些威脅的產(chǎn)生會造成一個企業(yè)或組織在財富、時間、信譽等方面的損失。過程菜單鏈接過程菜單鏈

6、接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.16.1網(wǎng)絡安全網(wǎng)絡安全定義定義幾種特定類型的網(wǎng)絡攻幾種特定類型的網(wǎng)絡攻擊擊 常見的網(wǎng)絡攻擊方式有：訪問攻擊、篡改攻擊、拒絕服務攻擊、否認攻擊。常見的攻擊行為如圖6-2所示。過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.16.1網(wǎng)絡安全網(wǎng)絡安全定義定義網(wǎng)絡安全服務與安全機網(wǎng)絡安全服務與安全機制制 安全服務是由參與通信的開放系統(tǒng)的層所提供的服務，它確保該系統(tǒng)或數(shù)據(jù)傳送具有足夠的安全性。 本教材列為六類安全服務：認證、訪

7、問控制、數(shù)據(jù)機密性、數(shù)據(jù)完整性、不可否認性、可用性。 安全機制是用來實現(xiàn)安全服務的組合。安全機制既可以是特定的，也可以是普遍的。過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.16.1網(wǎng)絡安全網(wǎng)絡安全定義定義網(wǎng)絡安全服務與安全機網(wǎng)絡安全服務與安全機制制 安全服務是由參與通信的開放系統(tǒng)的層所提供的服務，它確保該系統(tǒng)或數(shù)據(jù)傳送具有足夠的安全性。 本教材列為六類安全服務：認證、訪問控制、數(shù)據(jù)機密性、數(shù)據(jù)完整性、不可否認性、可用性。 安全機制是用來實現(xiàn)安全服務的組合。安全機制既可以是特定的，也可以是普遍的。 為實現(xiàn)安全服務與安

8、全機制的對照關(guān)系，將主要介紹特定安全機制。標準定義的特定安全機制有以下幾種：加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、認證交換、流量填充、路由控制和公證等。過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.16.1網(wǎng)絡安全網(wǎng)絡安全定義定義網(wǎng)絡安全服務與安全機網(wǎng)絡安全服務與安全機制制 1 安全服務 （1）認證 認證確保某個實體身份的可靠性，可分為兩種類型。一種類型是確保其對等實體沒有試圖冒充別的實體，或沒有試圖重新建立將已經(jīng)存在連接，稱為對等實體認證。 另一種認證是證明某個信息是否來自于某個特定的實體，這種認證叫做數(shù)據(jù)源認證。

9、數(shù)據(jù)簽名技術(shù)就是一例。過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.16.1網(wǎng)絡安全網(wǎng)絡安全定義定義網(wǎng)絡安全服務與安全機網(wǎng)絡安全服務與安全機制制 1 安全服務 （2）訪問控制 訪問控制的目標是防止對任何資源的非授權(quán)訪問，確保只有經(jīng)過授權(quán)的實體才能訪問受保護的資源。過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.16.1網(wǎng)絡安全網(wǎng)絡安全定義定義網(wǎng)絡安全服務與安全機網(wǎng)絡安全服務與安全機制制 1 安全服務 （3）數(shù)據(jù)機密性 數(shù)據(jù)機密性服務確保只有經(jīng)

10、過授權(quán)的實體才能理解受保護的信息、在信息安全中主要區(qū)分兩種機密性服務：數(shù)據(jù)機密性服務和業(yè)務流機密性服務，數(shù)據(jù)機密性服務主要是采用加密手段使得攻擊者即使竊取了加密的數(shù)據(jù)也很難推出有用的信息。過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.16.1網(wǎng)絡安全網(wǎng)絡安全定義定義網(wǎng)絡安全服務與安全機網(wǎng)絡安全服務與安全機制制 1 安全服務 （4）數(shù)據(jù)完整性 數(shù)據(jù)完整性防止對數(shù)據(jù)未授權(quán)的修改和破壞。完整性服務使消息的接收者能夠發(fā)現(xiàn)消息是否被修改，是否被攻擊者用假消息換掉。過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例

11、任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.16.1網(wǎng)絡安全網(wǎng)絡安全定義定義網(wǎng)絡安全服務與安全機網(wǎng)絡安全服務與安全機制制 1 安全服務 （5）抗否認 不可否認服務是防止對數(shù)據(jù)源以及數(shù)據(jù)交付的否認。對數(shù)據(jù)源的抗否認將使發(fā)送者謊稱未發(fā)送過這些數(shù)據(jù)或否認它的內(nèi)容的企圖不能得逞。過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.16.1網(wǎng)絡安全網(wǎng)絡安全定義定義網(wǎng)絡安全服務與安全機網(wǎng)絡安全服務與安全機制制 1 安全服務 （6）可用性 可用性服務是防止拒絕服務攻擊、物理破壞等造成的信息與網(wǎng)絡系統(tǒng)對合法用戶的不可用問題

12、，可通過提供備份、實時恢復、災后恢復等安全恢復機制提供安全保障。過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.16.1網(wǎng)絡安全網(wǎng)絡安全定義定義網(wǎng)絡安全服務與安全機網(wǎng)絡安全服務與安全機制制過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.16.1網(wǎng)絡安全網(wǎng)絡安全定義定義網(wǎng)絡安全服務與安全機網(wǎng)絡安全服務與安全機制制 2 安全機制 （1）加密機制 用于保護數(shù)據(jù)的機密性。它依賴于現(xiàn)代密碼學理論，一般來說加/解密算法是公開的，加密的安全性主要依賴于密鑰的

13、女全性和強度。有兩種加密機制，一種是對稱的加密機制，種是非對稱的加密機制。過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.16.1網(wǎng)絡安全網(wǎng)絡安全定義定義網(wǎng)絡安全服務與安全機網(wǎng)絡安全服務與安全機制制 2 安全機制 （2） 數(shù)字簽名機制 保證數(shù)據(jù)完整性及不可否認性的一種重要手段。 （3）訪問控制機制 與實體認證密切相關(guān)。首先，要訪問某個資源的實體應成功通過認證，然后訪問控制機制對該實體的訪問請求進行處理，查看該實體是否具有訪問所請求資源的權(quán)限，并做出相應的處理。過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例

14、引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.16.1網(wǎng)絡安全網(wǎng)絡安全定義定義網(wǎng)絡安全服務與安全機網(wǎng)絡安全服務與安全機制制 2 安全機制 （4）數(shù)據(jù)完整性機制 用于保護數(shù)據(jù)免受未經(jīng)授權(quán)的修改，該機制可以通過使用一種單向的不可逆函數(shù)散列函數(shù)來計算出消息摘要（Message Digest），并對消息摘要進行數(shù)字簽名來實現(xiàn)。過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.16.1網(wǎng)絡安全網(wǎng)絡安全定義定義網(wǎng)絡安全服務與安全機網(wǎng)絡安全服務與安全機制制 2 安全機制 （5）認證交換機制 提供對對等實體進行鑒別。需

15、要安全通信的雙方可以用這個機制確定核實對方身份是否合法，如果得到否定的結(jié)果，就會導致連接的拒絕或終止，也可能產(chǎn)生一個安全審計記錄或報告。 （6）流量填充機制 能用來提供各種不同級別的保護，抵抗流量分析。這種機制只有在流量填充受到機密服務保護時才是有效的。過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.16.1網(wǎng)絡安全網(wǎng)絡安全定義定義網(wǎng)絡安全服務與安全機網(wǎng)絡安全服務與安全機制制 2 安全機制 （7）路由控制機制 可以指定數(shù)據(jù)通過網(wǎng)絡的路徑。這樣就可以選擇物理上安全的一條路徑，這條路徑上的節(jié)點都是可信任的，確保發(fā)送的信息不

16、會因通過不安全的節(jié)點而受到攻擊。 （8）公證機制 有關(guān)在兩個或多個實體之間通信數(shù)據(jù)的性質(zhì)，如它的完整性、原發(fā)、時間和目的地等能夠借助公證機制而得到確保。過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.16.1網(wǎng)絡安全網(wǎng)絡安全定義定義網(wǎng)絡安全服務與安全機網(wǎng)絡安全服務與安全機制制過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.2 6.2 密碼技術(shù)密碼技術(shù) 密碼技術(shù)是信息安全的核心技術(shù)，認證、數(shù)據(jù)機密性、數(shù)據(jù)完整性、抗否認性等都需要密碼技術(shù)的支持。過

17、程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.2 6.2 密碼密碼技術(shù)技術(shù)密碼技術(shù)概念密碼技術(shù)概念 1. 加密 通常將待加密的信息稱為明文，為了保護明文，通過一系列步驟將轉(zhuǎn)換成另一種形式。加密可以是不可逆的。 2. 解密 與一個可逆的加密過程相對應的反過程，就是將密文還原為明文。 3. 密鑰 控制加密與解密操作的序列符號，是在明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換為明文的算法中要輸入的數(shù)據(jù)。 4. 數(shù)字簽名 附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，防止被人進行偽造。過程

18、菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.2 6.2 密碼密碼技術(shù)技術(shù)密碼體制密碼體制 1. 對稱密碼體制 如果一個加密系統(tǒng)的加密密鑰和解密密鑰相同，或者雖不相同，但可以由其中一個推導出另一個，就被稱為對稱密碼體制，有時也被稱為單密鑰密碼體制或私鑰（secret key）密碼體制。過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.2 6.2 密碼密碼技術(shù)技術(shù)密碼體制密碼體制 2. 非對稱密碼體制 非對稱密碼體制，又稱為公鑰（public key

19、）密碼體制或雙密鑰密碼體制，是將加密和解密分開，采用一對不同的密鑰進行。非對稱密碼體制原理如圖6-4所示。過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.2 6.2 密碼密碼技術(shù)技術(shù)散列函數(shù)散列函數(shù) 散列函數(shù)主要用來產(chǎn)生散列值（hash value），其關(guān)系如圖6-5所示。過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.2 6.2 密碼密碼技術(shù)技術(shù)數(shù)字簽名和數(shù)字證書數(shù)字簽名和數(shù)字證書 在網(wǎng)絡應用場合上，若用戶想以自己的名義發(fā)表一份文件，就可以在

20、文件末尾附上數(shù)字簽名（digital signature），證明這份文件確實是自己發(fā)出的，并可確保文件內(nèi)容不會被篡改。過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.3 6.3 訪問訪問控制控制 訪問控制指系統(tǒng)對用戶身份及其所屬的預先定義的策略組限制其使用數(shù)據(jù)資源能力的手段。 訪問控制包括三個要素： 主體主體 客體客體 控制控制策略策略過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.3 6.3 訪問訪問控制控制 訪問控制可以建立在使用下列所舉的

21、一種或多種手段之上。 1. 訪問控制信息庫，在這里保存客體的訪問權(quán)限 2. 認證信息，例如口令 3. 權(quán)力 4. 安全標記 5. 試圖訪問的時間 6. 試圖訪問的路由 7. 訪問持續(xù)期過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.4 Web6.4 Web服務器安全服務器安全 Web服務器以及Web服務器所在的網(wǎng)絡的漏洞。 對網(wǎng)站的安全分析，除了網(wǎng)站本身的軟件問題之外，更多的是分析其所在Web服務器安全問題過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜

22、單鏈接6.4 Web6.4 Web服務器服務器安全安全WebWeb服務器安全威脅服務器安全威脅 除了自然災害之外，通常將Web服務器的安全漏洞分為兩大類： 一是軟硬件系統(tǒng)平臺的安全漏洞，其中包括無意的漏洞和有意的漏洞 二是人員管理方面的漏洞過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.4 Web6.4 Web服務器服務器安全安全系統(tǒng)平臺的安全系統(tǒng)平臺的安全 對于系統(tǒng)平臺的安全，一般需要考慮以下問題： 1確認服務器、操作系統(tǒng)和其他系統(tǒng)軟件是否有安全漏洞，確認是否要更換部件，軟件是否要安裝補丁程序等等。 2采用適當?shù)拇胧?/p>

23、保護Web服務器主機系統(tǒng)不會受到外網(wǎng)或內(nèi)網(wǎng)的攻擊。 3保護Web服務器免于拒絕服務的攻擊。 4采用一次性登錄方式，減少賬戶管理的復雜度，簡潔的賬戶系統(tǒng)更容易實施安全策略，對過期不用的賬戶應及時刪除。 5建立一個可持續(xù)運轉(zhuǎn)的安全策略，并確保策略的實施。 6注意Web服務器安全日志的記錄與查看。過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.4 Web6.4 Web服務器服務器安全安全攻擊方式攻擊方式 口令攻擊是許多攻擊者屢試不爽的方式。 對網(wǎng)站的攻擊一般都是人為的惡意攻擊。一般來說，攻擊者對目標進行攻擊要經(jīng)歷3個步驟：

24、1. 目標信息搜集 2. 漏洞掃描 3. 實施攻擊過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.4 Web6.4 Web服務器服務器安全安全安全策略安全策略 1. 物理安全策略 2. 訪問控制策略 訪問控制是網(wǎng)絡安全防范和保護的主要策略，主要任務是保證網(wǎng)絡資源不被非法使用和訪問。 （1）入網(wǎng)訪問控制 （2）網(wǎng)絡的權(quán)限控制 （3）目錄級安全控制 （4）屬性安全控制 （5）網(wǎng)絡服務器安全控制 （6）網(wǎng)絡監(jiān)測和鎖定控制 （7）網(wǎng)絡端口和節(jié)點的安全控制過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任

25、務拓展實施指導實施指導過程菜單鏈接過程菜單鏈接6.4 Web6.4 Web服務器服務器安全安全安全策略安全策略 3. 防火墻控制 4. 數(shù)據(jù)加密策略 比較著名的對稱密鑰算法有美國的DES及其各種變形，比如Triple DES、GDES、New DES；歐洲的IDEA；日本的FEAL-N、LOKI-91、Skipjack、RC4、RC5以及代換密碼和轉(zhuǎn)輪密碼為代表的古典密碼等。 比較著名的公鑰密碼算法有RSA、背包密碼、McEliece密碼、DiffeHelman、Rabin算法等等。 5. 網(wǎng)絡安全管理策略 6. 經(jīng)常自檢過程菜單鏈接過程菜單鏈接任務描述任務描述知識準備知識準備引例引例任務拓展任務拓展實施指導實施指