《計算機網絡安全基礎(第4版)》教案

《高級數據庫技術》課程報告《高級數據庫技術》課程報告頁腳內容PAGE頁腳內容PAGE34《高級數據庫技術》課程報告頁腳內容PAGE計算機網絡安全基礎教案周次第1，2次課日期章節(jié)名稱第1章網絡基礎知識與因特網授課方式理論課（√）實驗課（）實習（）教學時數4教學目的及要求1．掌握網絡參考模型2．讓學生對網絡安全的發(fā)展、構成、分類、網絡體系結構等有一個初步的了解。教學內容提要時間分配1.1網絡參考模型1.1.1分層通信 1.1.2信息格式 1.2網絡互連設備 1.2.1中繼器和集線器1.2.2網橋1.2.3路由器1.2.4網關1.3局域網技術1.3.1以太網和IEEE80令牌環(huán)網和IEEE802.5 81.3.3光纖分布式數據接口（FDDI）1.4廣域網技術1.4.1廣域網基本技術1.4.2廣域網協(xié)議 1.5TCP/IP基礎1.5.1TCP/IP與OSI參考模型 1.5.2網絡層1.5.3傳輸層1.5.4應用層l.6因特網提供的主要服務1.6.1遠程終端訪問服務1.6.2文件傳輸服務1.6.3電子郵件服務1.6.4WWW服務1.6.5DNS服務1.6.6網絡管理服務303020203070第1頁教學重點與難點1．重點分層實現(xiàn)網絡的功能：網絡協(xié)議、網絡體系結構、實通信和虛通信。網絡互連設備是實現(xiàn)網絡互連的關鍵，它們有4種主要的類型：中繼器、網橋、路由器以及網關，這些設備在實現(xiàn)局域網（LAN）與LAN的連接中相對于OSI參考模型的不同層。中繼器在OSI參考模型的第一層建立LAN對LAN的連接，網橋在第二層，路由器在第三層，網關則在第四至第七層。每種網絡互連設備提供的功能與OSI參考模型規(guī)定的相應層的功能一致，但它們都可以使用所有低層提供的功能。因特網協(xié)議（IP）和傳輸控制協(xié)議（TCP）是因特網協(xié)議簇中最為有名的兩個協(xié)議，其應用非常廣泛，它能夠用于任何相互連接的計算機網絡系統(tǒng)之間的通信，對局域網（LAN）和廣域網（WAN）都有非常好的效果。在因特網中，每一臺主機都有一個惟一的地址，地址由網絡號和主機號兩部分組成。地址是惟一的，以使每一個IP地址表示因特網中的惟一一臺主機。所有的IP地址都是32位。廣域網技術及對應的協(xié)議、IP地址及子網掩碼。因特網提供的主要服務：遠程終端訪問服務、文件傳輸服務、電子郵件服務、WWW服務、DNS服務、網絡管理服務討論、練習、作業(yè)網上查找資料和學習有關課程的內容。教學手段采用電子教案，以多媒體教學為主，同時輔以版書的進一步講解。參考資料1參考課堂筆記，及提供的本次課程的多媒體課件。2教材：計算機網絡安全基礎（第4版）第2頁計算機網絡安全基礎教案周次第3，4次課日期章節(jié)名稱第2章網絡安全概述授課方式理論課（√）實驗課（）實習（）教學時數4教學目的及要求1．掌握網絡安全基礎知識2．了解威脅網絡安全的因素3．了解網絡安全分類及網絡安全解決方案教學內容提要時間分配2.1網絡安全基礎知識2.1.1網絡安全的含義2.1.2網絡安全的特征2.1.3網絡安全的威脅2.1.4網絡安全的關鍵技術2.1.5網絡安全策略2.2威脅網絡安全的因素2.2.1威脅網絡安全的主要因素2.2.2各種外部威脅2.2.3防范措施2.3網絡安全分類 2.4網絡安全解決方案2.4.1網絡信息安全模型2.4.2安全策略設計依據2.4.3網絡安全解決方案2.4.4網絡安全性措施2.4.5因特網安全管理2.4.6網絡安全的評估40403090第1頁教學重點與難點1．網絡安全基礎知識計算機網絡安全的含義是通過各種計算機、網絡、密碼技術和信息安全技術，保護在公用通信網絡中傳輸、交換和存儲的信息的機密性、完整性和真實性，并對信息的傳播及內容具有控制能力。網絡安全的結構層次包括物理安全、安全控制和安全服務。網絡安全應具有保密性、完整性、可用性和可控性4個方面的特征。計算機網絡安全技術主要有主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火墻技術、安全審計技術和安全管理技術。2．威脅網絡安全的因素計算機網絡安全受到的威脅主要有“黑客”的攻擊、計算機病毒和拒絕服務攻擊。3．網絡安全分類根據中國國家計算機安全規(guī)范，計算機的安全大致可分為以下三類：（1）實體安全，包括機房、線路和主機等；（2）網絡與信息安全，包括網絡的暢通、準確以及網上信息的安全；（3）應用安全，包括程序開發(fā)運行、I/O和數據庫等的安全。討論、練習、作業(yè)練習和作業(yè)：1．網絡安全的含義是什么？2．網絡安全有哪些特征？3．什么是網絡安全的最大威脅？4．網絡安全主要有哪些關鍵技術？5．如何實施網絡安全的安全策略？6．如何理解協(xié)議安全的脆弱性？7．數據庫管理系統(tǒng)有哪些不安全因素？8．解釋網絡信息安全模型。9．對因特網進行安全管理需要哪些措施？10．簡述信息包篩選的工作原理。教學手段1講授為主，討論為輔2多媒體教學，使用投影儀3進行幾分鐘的課堂討論45參考資料1參考課堂筆記，及提供的本次課程的多媒體課件。2教材：計算機網絡安全基礎（第4版）第2頁計算機網絡安全基礎教案周次第5次課日期章節(jié)名稱第3章計算機系統(tǒng)安全與訪問控制授課方式理論課（√）實驗課（）實習（）教學時數2教學目的及要求1．了解計算機安全的主要目標2．掌握安全級別3．了解系統(tǒng)訪問控制4．了解選擇性訪問控制5．了解強制性訪問控制教學內容提要時間分配3.1什么是計算機安全3.2安全級別3.3系統(tǒng)訪問控制 3.3.1系統(tǒng)登錄3.3.2身份認證3.3.3系統(tǒng)口令3.3.4口令的維護 3.4選擇性訪問控制20203030第1頁教學重點與難點1．計算機安全的主要目標計算機安全的主要目標是保護計算機資源免受毀壞、替換、盜竊和丟失。計算機系統(tǒng)安全技術包括：實體硬件安全技術、軟件系統(tǒng)安全技術、數據信息安全技術、網絡站點安全技術、運行服務（質量）安全技術、病毒防治技術、防火墻技術和計算機應用系統(tǒng)的安全評價。OSI安全體系結構的5種安全服務項目包括：鑒別、訪問控制、數據保密、數據完整性和抗否認。2．安全級別根據美國國防部開發(fā)的計算機安全標準，將安全級別由最低到最高劃分為D級、C級、B級和A級，D級為最低級別，A級為最高級別。3．系統(tǒng)訪問控制系統(tǒng)訪問控制是對進入系統(tǒng)的控制。其主要作用是對需要訪問系統(tǒng)及其數據的人進行識別，并檢驗其合法身份。4．選擇性訪問控制選擇性訪問控制是基于主體或主體所在組的身份的，這種訪問控制是可選擇性的，也就是說，如果一個主體具有某種訪問權，則它可以直接或間接地把這種控制權傳遞給別的主體。討論、練習、作業(yè)練習和作業(yè)：1．計算機系統(tǒng)安全的主要目標是什么？2．簡述計算機系統(tǒng)安全技術的主要內容。3．計算機系統(tǒng)安全技術標準有哪些？4．訪問控制的含義是什么？5．如何從Unix操作系統(tǒng)登錄？6．如何從Windows操作系統(tǒng)登錄？7．怎樣保護系統(tǒng)的口令？8．什么是口令的生命周期？9．如何保護口令的安全？10．建立口令應遵循哪些規(guī)則？教學手段1講授為主，討論為輔2多媒體教學，使用投影儀3進行幾分鐘的課堂討論參考資料1參考課堂筆記，及提供的本次課程的多媒體課件。2教材：計算機網絡安全基礎（第4版）第2頁計算機網絡安全基礎教案周次第6，7次課日期章節(jié)名稱第4章數據安全技術授課方式理論課（√）實驗課（）實習（）教學時數4教學目的及要求1．掌握數據完整性的概念2．了解容錯與網絡冗余3．學會使用網絡備份系統(tǒng)4．掌握數據庫的安全教學內容提要時間分配4.1數據完整性簡介4.1.1數據完整性 4.1.2提高數據完整性的辦法 4.2容錯與網絡冗余4.2.1容錯技術的產生及發(fā)展 4.2.2容錯系統(tǒng)的分類4.2.3容錯系統(tǒng)的實現(xiàn)方法4.2.4網絡冗余4.3網絡備份系統(tǒng) 4.3.1備份與恢復 4.3.2網絡備份系統(tǒng)的組成4.3.3備份的設備與介質4.3.4磁帶輪換4.3.5備份系統(tǒng)的設計4.4數據庫安全概述4.4.1簡介4.4.2數據庫的特性4.4.3數據庫安全系統(tǒng)特性4.4.4數據庫管理系統(tǒng)4.5數據庫安全的威脅4.6數據庫的數據保護4.7數據庫備份與恢復4.7.1數據庫備份的評估4.7.2數據庫備份的性能4.7.3系統(tǒng)和網絡完整性4.7.4制定備份的策略4.7.5數據庫的恢復30303040202030第1頁教學重點與難點1．數據完整性簡介影響數據完整性的因素主要有如下5種：硬件故障、網絡故障、邏輯問題、意外的災難性事件、人為的因素。2．容錯與網絡冗余將容錯系統(tǒng)分成5種不同的類型：高可用度系統(tǒng)、長壽命系統(tǒng)、延遲維修系統(tǒng)、高性能計算系統(tǒng)、關鍵任務計算系統(tǒng)。實現(xiàn)容錯系統(tǒng)的方法如下：空閑備件、負載平衡、鏡像、復現(xiàn)。3．網絡備份系統(tǒng)備份包括全盤備份、增量備份、差別備份、按需備份和排除。4．數據庫安全概述數據庫具有多用戶、高可靠性、可頻繁更新和文件大等特性。在安全方面數據庫具有數據獨立性、數據安全性、數據的完整性、并發(fā)控制和故障恢復等特點。5．數據庫安全的威脅對數據庫構成的威脅主要有篡改、損壞和竊取3種情況。6．數據庫的數據保護數據庫保護主要是指數據庫的安全性、完整性、并發(fā)控制和數據庫恢復。在數據庫的安全性方面要采取用戶標識和鑒定、存取控制、數據分級以及數據加密等手段。7．數據庫備份與恢復常用的數據庫備份方法有冷備份、熱備份和邏輯備份3種。討論、練習、作業(yè)練習和作業(yè)：1．簡述數據完整性的概念及影響數據完整性的主要因素。2．什么是容錯與網絡冗余技術，實現(xiàn)容錯系統(tǒng)的主要方法有哪些？3．實現(xiàn)存儲系統(tǒng)冗余的方法有哪些？4．簡述“鏡像”的概念。5．網絡系統(tǒng)備份的主要目的是什么？6．網絡備份系統(tǒng)的主要部件有哪些？7．試分析數據庫安全的重要性，說明數據庫安全所面臨的威脅。8．數據庫的安全策略有哪些？簡述其要點。9．簡述常用數據庫的備份方法。教學手段1講授為主，討論為輔2多媒體教學，使用投影儀3進行幾分鐘的課堂討論參考資料1參考課堂筆記，及提供的本次課程的多媒體課件。2教材：計算機網絡安全基礎（第4版）第2頁計算機網絡安全基礎教案周次第8，9次課日期章節(jié)名稱第5章惡意代碼及網絡防病毒技術授課方式理論課（√）實驗課（）實習（）教學時數4教學目的及要求1．掌握計算機病毒的基本概念2．了解宏病毒及網絡病毒3．了解特洛伊木馬的原理4．了解蠕蟲病毒的原理5．了解其他惡意代碼的原理6．學會病毒的預防、檢測和清除教學內容提要時間分配5.1計算機病毒5.1.1計算機病毒的分類5.1.2計算機病毒的傳播5.1.3計算機病毒的工作方式5.1.4計算機病毒的特點及破壞行為5.2宏病毒及網絡病毒5.2.1宏病毒 5.2.2網絡病毒 5.3特洛伊木馬 5.3.1木馬的啟動方式 5.3.2木馬的工作原理 5.3.3木馬的檢測 5.4蠕蟲病毒 5.4.1蠕蟲病毒的特點 5.4.2蠕蟲病毒的原理 5.4.3蠕蟲病毒的防治 5.5其他惡意代碼5.5.1移動惡意代碼5.5.2陷門 5.5.3邏輯炸彈 5.5.4僵尸病毒 5.5.5復合型病毒 5.6病毒的預防、檢測和清除5.6.1病毒的預防 5.6.2病毒的檢測 5.6.3計算機病毒的免疫5.6.4計算機感染病毒后的恢復5.6.5計算機病毒的清除303030303050第1頁教學重點與難點1．計算機病毒計算機病毒是一種“計算機程序”，它不僅能破壞計算機系統(tǒng)，而且還能夠傳播或感染到其他系統(tǒng)。計算機病毒可分為文件病毒、引導扇區(qū)病毒、多裂變病毒、秘密病毒、異形病毒和宏病毒等幾類。2．計算機病毒的傳播病毒進入系統(tǒng)以后，通常用兩種方式傳播：通過磁盤的關鍵區(qū)域進行傳播，在可執(zhí)行的文件中傳播。3．計算機病毒的特點及破壞行為計算機病毒具有的特點是：刻意編寫人為破壞；有自我復制能力；奪取系統(tǒng)控制權；隱蔽性；潛伏性；不可預見性。4．宏病毒及網絡病毒“宏病毒”，就是利用軟件所支持的宏命令編寫成的具有復制、傳染能力的宏。網絡病毒是由因特網衍生出的新一代病毒，即Java及ActiveX病毒。它不需要停留在硬盤中且可以與傳統(tǒng)病毒混雜在一起，不被人們察覺。它們可以跨操作平臺，一旦遭受感染，便毀壞所有操作系統(tǒng)。5．病毒的預防、檢查和清除病毒檢測的原理主要是基于下列4種方法：比較被檢測對象與原始備份的比較法，利用病毒特征代碼串的搜索法，病毒體內特定位置的特征字識別法以及運用反匯編技術分析被檢測對象，確認是否為病毒的分析法。掃描病毒程序就是尋找掃描串，也被稱為病毒特征。這些病毒特征可用于惟一地識別某種類型的病毒，掃描程序能在程序中尋找這種病毒特征。完整性檢查程序是另一類反病毒程序，它是通過識別文件和系統(tǒng)的改變來發(fā)現(xiàn)病毒，或病毒的影響。討論、練習、作業(yè)練習和作業(yè)：1．什么是計算機病毒？2．計算機病毒的基本特征是什么？3．簡述計算機病毒攻擊的對象及所造成的危害。4．計算機病毒一般由哪幾部分構成，各部分的作用是什么？計算機病毒的預防有哪幾方面？6．簡述檢測計算機病毒的常用方法。7．簡述宏病毒的特征及其清除方法。8．簡述計算機病毒的防治措施。9．什么是網絡病毒，防治網絡病毒的要點是什么？教學手段1講授為主，討論為輔2多媒體教學，使用投影儀3進行幾分鐘的課堂討論參考資料1參考課堂筆記，及提供的本次課程的多媒體課件。2教材：計算機網絡安全基礎（第4版）第2頁計算機網絡安全基礎教案周次第10次課日期章節(jié)名稱第6章數據加密與認證技術授課方式理論課（√）實驗課（）實習（）教學時數2教學目的及要求1．了解密碼學的發(fā)展歷史2．掌握數據加密的基本原理3．掌握對稱和非對稱密碼的原理教學內容提要時間分配6.1數據加密概述6.1.1密碼學的發(fā)展6.1.2數據加密6.1.3基本概念6.2傳統(tǒng)密碼技術6.2.1數據表示方法6.2.2替代密碼6.2.3換位密碼6.2.4簡單異或6.2.5一次密碼4060第1頁教學重點與難點1．數據加密概述加密算法通常是公開的，現(xiàn)在只有少數幾種加密算法，如DES和IDEA等。一般把受保護的原始信息稱為明文，編碼后的信息稱為密文。有兩類基本的加密算法保密密鑰和公用/私有密鑰。摘要是一種防止信息被改動的方法，其中用到的函數叫摘要函數。基于密鑰的算法通常有兩類：對稱算法和公用密鑰算法。對稱算法有時又叫傳統(tǒng)密碼算法，就是加密密鑰能夠從解密密鑰中推導出來，反過來也成立；公用密鑰算法用作加密的密鑰不同于用作解密的密鑰，而且解密密鑰不能根據加密密鑰計算出來。2．傳統(tǒng)密碼技術傳統(tǒng)加密方法的主要應用對象是對文字信息進行加密解密。在經典密碼學中，常用的有替代密碼和換位密碼。有以下4種類型的替代密碼：（1）簡單替代密碼；（2）多名碼替代密碼；（3）多字母替代密碼；（4）多表替代密碼。討論、練習、作業(yè)練習和作業(yè)：1．什么是數據加密？簡述加密和解密的過程。2．在凱撒密碼中令密鑰k=8，制造一張明文字母與密文字母對照表。3．用維吉尼亞法加密下段文字：COMPUTERANDPASSWORDSYSTEM，密鑰為KEYWORD。教學手段1講授為主，討論為輔2多媒體教學，使用投影儀3進行幾分鐘的課堂討論參考資料1參考課堂筆記，及提供的本次課程的多媒體課件。2教材：計算機網絡安全基礎（第4版）第2頁計算機網絡安全基礎教案周次第11次課日期章節(jié)名稱第6章數據加密與認證技術授課方式理論課（√）實驗課（）實習（）教學時數2教學目的及要求掌握數據加密標準DES的工作原理掌握公鑰密碼體制RSA的工作原理學會使用數字信封技術教學內容提要時間分配6.3對稱密鑰密碼技術6.3.1Feistel密碼結構6.3.2數據加密標準6.3.3國際數據加密算法6.3.4Blowfish算法6.3.5GOST算法 6.3.6PKZIP算法 6.3.7RC5算法 6.4公鑰密碼體制 6.4.1公鑰加密原理6.4.2Diffie-Hellman密鑰交換算法6.4.3RSA密碼系統(tǒng)6.4.4數字信封技術5050第1頁教學重點與難點數據加密標準DES（DataEncryptionStandard）是一個分組加密算法，它以64位為分組對數據加密。64位一組的明文從算法的一端輸入，64位的密文從另一端輸出。DES使得用相同的函數來加密或解密每個分組成為可能，二者的惟一不同之處是密鑰的次序相反。IDEA與DES一樣，也是一種使用一個密鑰對64位數據塊進行加密的常規(guī)共享密鑰加密算法。同樣的密鑰用于將64位的密文數據塊恢復成原始的64位明文數據塊。IDEA使用128位（16字節(jié)）密鑰進行操作。RSA要求每一個用戶擁有自己的一種密鑰：（1）公開的加密密鑰，用以加密明文；（2）保密的解密密鑰，用于解密密文。這是一對非對稱密鑰，又稱為公用密鑰體制。RSA數字簽名是一種強有力的認證鑒別方式，可保證接收方能夠判定發(fā)送方的真實身份。討論、練習、作業(yè)練習和作業(yè)：1．DES算法主要有哪幾部分？2．在DES算法中，密鑰Ki的生成主要分哪幾步？3．簡述加密函數f的計算過程。4．簡述DES算法中的依次迭代過程。5．簡述DES算法和RSA算法保密的關鍵所在。教學手段1講授為主，討論為輔2多媒體教學，使用投影儀3進行幾分鐘的課堂討論參考資料1參考課堂筆記，及提供的本次課程的多媒體課件。2教材：計算機網絡安全基礎（第4版）第2頁計算機網絡安全基礎教案周次第12次課日期章節(jié)名稱第6章數據加密與認證技術授課方式理論課（√）實驗課（）實習（）教學時數2教學目的及要求學會使用數字簽名技術學會使用信息驗證技術能設計并用程序編寫數字簽名和信息驗證技術教學內容提要時間分配6.5數字簽名技術 6.5.1基本概念6.5.2安全Hash函數6.5.3直接方式的數字簽名技術6.5.4數字簽名算法6.5.5其他數字簽名技術6.6驗證技術 6.6.1信息的驗證 6.6.2認證授權6.6.3CA證書 6.6.4PKI系統(tǒng)6.6.5Kerberos系統(tǒng)6.7加密軟件PGP 504010第1頁教學重點與難點一個數字簽名方案一般由兩部分組成：簽名算法和驗證算法。其中，簽名算法或簽名密鑰是秘密的，只有簽名人知道，而驗證算法是公開的。信息的簽名就是用專用密鑰對信息進行加密，而簽名的驗證就是用相對應的公用密鑰對信息進行解密。PGP（PrettyGoodPrivacy）是一個基于RSA密鑰加密體系的供大眾使用的加密軟件。它不但可以對用戶的郵件保密，以防止非授權者閱讀，還能對郵件加上數字簽名讓收信人確信郵件未被第三者篡改，讓人們可以安全地通信。在計算機網絡系統(tǒng)中，數據加密方式有鏈路加密、節(jié)點加密和端—端加密3種方式。討論、練習、作業(yè)練習和作業(yè)：1．說明公開密鑰體制實現(xiàn)數字簽名的過程。2．RSA算法的密鑰是如何選擇的？3．編寫一段程序，對選定的文字進行加密和解密（密鑰為另一段文字）。4．編寫一篇經過加密的文章，通過一定的算法獲得文章的內容（要求原文的內容有意義并能看懂）。5．已知線性替代密碼的變換函數為：f（a）=akmod26設已知明碼字母J（9）對應于密文字母P（15），即9kmod26=15，試計算密鑰k以破譯此密碼。6．已知RSA密碼體制的公開密碼為n=55，e=7，試加密明文m=10，通過求解p、q和d破譯這種密碼體制。設截獲到密碼文C=35，求出它對應的明碼文。7．考慮一個常用質數q=11，本原根a=2的Diffie-Hellman方案。（1）如果A的公鑰為YA=9，則A的私鑰XA為多少？（2）如果B的公鑰為YB=3，則共享A的密鑰K為多少？教學手段1講授為主，討論為輔2多媒體教學，使用投影儀3進行幾分鐘的課堂討論參考資料1參考課堂筆記，及提供的本次課程的多媒體課件。2教材：計算機網絡安全基礎（第4版）第2頁計算機網絡安全基礎教案周次第13次課日期章節(jié)名稱第7章網絡安全技術授課方式理論課（√）實驗課（）實習（）教學時數2教學目的及要求了解網絡安全協(xié)議的主要內容掌握IPSec安全傳輸技術掌握SSL安全傳輸技術了解網絡加密技術教學內容提要時間分配7.1網絡安全協(xié)議及傳輸技術7.1.1安全協(xié)議及傳輸技術概述7.1.2網絡層安全協(xié)議IPSec7.1.3IPSec安全傳輸技術7.1.4傳輸層安全協(xié)議7.1.5SSL安全傳輸技術7.2網絡加密技術7.2.1鏈路加密7.2.2節(jié)點加密7.2.3端—端加密5050第1頁教學重點與難點1．網絡安全協(xié)議（1）應用層安全協(xié)議在應用層的安全協(xié)議主要包括：安全Shell（SSH）協(xié)議、SET（SecureElectronicTransaction）協(xié)議、S-HTTP協(xié)議、PGP協(xié)議和S/MIME協(xié)議（2）傳輸層安全協(xié)議傳輸層的安全協(xié)議有：安全套接層（SecureSocketLayer，SSL）協(xié)議和私密通信技術（PrivateCommunicationTechnology，PCT）協(xié)議。（3）網絡層安全協(xié)議網絡層的安全協(xié)議主要有IPSec協(xié)議。該協(xié)議定義了：IP驗證頭（AuthenticationHeader，AH）協(xié)議、IP封裝安全載荷（EncryptionServicePayload，ESP）協(xié)議和Internet密鑰交換（InternetKeyExchange，IKE）協(xié)議。2．網絡安全傳輸技術網絡安全傳輸技術，就是利用安全通道技術，通過將待傳輸的原始信息進行加密和協(xié)議封裝處理后再嵌套裝入另一種協(xié)議的數據包送入網絡中，像普通數據包一樣進行傳輸。網絡安全傳輸通道應該提供以下功能和特性：機密性、完整性、對數據源的身份驗證、反重發(fā)攻擊。3．網絡加密技術數據加密方式有鏈路加密、節(jié)點加密和端—端加密等3種方式。鏈路加密通常用硬件在網絡層以下的物理層和數據鏈路層中實現(xiàn)，它用于保護通信節(jié)點間傳輸的數據；節(jié)點加密是在協(xié)議運輸層上進行加密，是對源點和目標節(jié)點之間傳輸的數據進行加密保護；端—端加密是面向網絡高層主體進行的加密，即在協(xié)議表示層上對傳輸的數據進行加密，而不對下層協(xié)議信息加密。討論、練習、作業(yè)練習和作業(yè)：1．IPSec能對應用層提供保護嗎？2．按照IPSec協(xié)議體系框架，如果需要在AH或ESP中增加新的算法，需要對協(xié)議做些什么修改工作？教學手段1講授為主，討論為輔2多媒體教學，使用投影儀3進行幾分鐘的課堂討論參考資料1參考課堂筆記，及提供的本次課程的多媒體課件。2教材：計算機網絡安全基礎（第4版）第2頁計算機網絡安全基礎教案周次第14次課日期章節(jié)名稱第7章網絡安全技術授課方式理論課（√）實驗課（）實習（）教學時數2教學目的及要求1．掌握防火墻的設計原則；2．掌握防火墻的特征、防火墻的四種機制；3．掌握防火墻的三種基本類型和防火墻的配置；4．研究攻擊的本質；5．掌握應對攻擊的防護策略；6．了解入侵技術。教學內容提要時間分配7.3防火墻技術7.3.1因特網防火墻7.3.2包過濾路由器7.3.3堡壘主機7.3.4代理服務7.3.5防火墻體系結構7.4網絡攻擊類型及對策7.4.1網絡攻擊的類型 7.4.2物理層的攻擊及對策 7.4.3數據鏈路層的攻擊及對策7.4.3網絡層的攻擊及對策 7.4.4傳輸層的攻擊及對策 7.4.5應用層的攻擊及對策 7.4.6黑客攻擊的三個階段 7.4.7對付黑客入侵6040第1頁教學重點與難點1．防火墻技術防火墻是一個或一組在兩個網絡之間執(zhí)行訪問控制策略的系統(tǒng)，包括硬件和軟件，目的是保護網絡不被可疑人侵擾。本質上，它遵從的是一種允許或阻止業(yè)務往來的網絡通信安全機制，也就是提供可控的過濾網絡通信，只允許授權的通信。由軟件和硬件組成的防火墻應該具有以下功能：（1）所有進出網絡的信息流都應該通過防火墻；（2）所有穿過防火墻的信息流都必須有安全策略和計劃的確認和授權；（3）理論上說，防火墻是穿不透的。防火墻需要防范以下3種攻擊。間諜：試圖偷走敏感信息的黑客、入侵者和闖入者。盜竊：盜竊對象包括數據、Web表格、磁盤空間和CPU資源等。破壞系統(tǒng)：通過路由器或主機/服務器蓄意破壞文件系統(tǒng)或阻止授權用戶訪問內部網絡（外部網絡）和服務器。防火墻常常就是一個具備包過濾功能的簡單路由器。包是網絡上信息流動的單位，在網上傳輸的文件一般在發(fā)出端被劃分成一串包，經過網上的中間站點，最終傳到目的地，然后這些包中的數據又重新組成原來的文件。每個包有兩個部分：數據部分和包頭。包頭中含有源地址和目標地址等信息。包過濾一直是一種簡單而有效的方法。通過攔截數據包，讀出并拒絕那些不符合標準的包頭，過濾掉不應入站的信息。包過濾器又稱為篩選路由器。設計和建立堡壘主機的基本原則有兩條：最簡化原則和預防原則。堡壘主機目前一般有以下3種類型：（1）無路由雙宿主主機；（2）犧牲主機；（3）內部堡壘主機。代理服務是運行在防火墻主機上的一些特定的應用程序或者服務程序。防火墻的體系結構一般有以下幾種：（1）雙重宿主主機體系結構；（2）主機過濾體系結構；（3）子網過濾體系結構。2．網絡攻擊的類型任何以干擾、破壞網絡系統(tǒng)為目的的非授權行為都稱之為網絡攻擊。法律上對網絡攻擊的定義有兩種觀點：第一種是指攻擊僅僅發(fā)生在入侵行為完全完成，并且入侵者已在目標網絡內；另一種觀點是指可能使一個網絡受到破壞的所有行為，即從一個入侵者開始在目標機上工作的那個時刻起，攻擊就開始進行了。黑客進行的網絡攻擊通?？煞譃?大類型：拒絕服務型攻擊、利用型攻擊、信息收集型攻擊和虛假信息型攻擊。物理層最重要的攻擊主要有直接攻擊和間接攻擊，直接攻擊是直接對硬件進行攻擊，間接攻擊是對物理介質的攻擊。數據鏈路層的最基本的功能是向該層用戶提供透明的和可靠的數據傳送基本服務。透明性是指該層上傳輸的數據的內容、格式及編碼沒有限制，也沒有必要解釋信息結構的意義；可靠的傳輸使用戶免去對丟失信息、干擾信息及順序不正確等的擔心。由于數據鏈路層的安全協(xié)議比較少，因此容易受到各種攻擊，常見的攻擊有：MAC地址欺騙、內容尋址存儲器（CAM）表格淹沒攻擊、VLAN中繼攻擊、操縱生成樹協(xié)議、地址解析協(xié)議（ARP）攻擊等。網絡層主要用于尋址和路由，它并不提供任何錯誤糾正和流控制的方法。網絡層常見的攻擊主要有：IP地址欺騙攻擊和ICMP攻擊。網絡層的安全需要保證網絡只給授權的客戶提供授權的服務，保證網絡路由正確，避免被攔截或監(jiān)聽。傳輸層處于通信子網和資源子網之間起著承上啟下的作用。傳輸層控制主機間傳輸的數據流。傳輸層存在兩個協(xié)議：傳輸控制協(xié)議（TCP）和用戶數據報協(xié)議（UDP）。端口掃描是傳輸層最常見的攻擊方法。應用層是網絡的最高層，所有的應用策劃能夠續(xù)非常多，因此遭受網絡攻擊的模式也非常多，綜合起來主要有：帶寬攻擊、缺陷攻擊和控制目標機。黑客指利用通信軟件，通過網絡非法進入他人系統(tǒng)，截獲或篡改計算機數據，危害信息安全的電腦入侵者或入侵行為。黑客攻擊的三個階段是：信息收集、系統(tǒng)安全弱點的探測以及網絡攻擊。黑客進行的網絡攻擊通?？煞譃?大類型：拒絕服務型攻擊、利用型攻擊、信息收集型攻擊和虛假信息型攻擊。對付黑客的襲擊的應急操作如下：估計形勢、切斷連接、分析問題、采取行動。討論、練習、作業(yè)練習和作業(yè)：1．簡述防火墻的工作原理。2．防火墻的體系結構有哪些？3．在主機過濾體系結構防火墻中，內部網的主機想要請求外網的服務，有幾種方式可以實現(xiàn)？4．安裝一個簡單的防火墻和一個代理服務的軟件。教學手段1講授為主，討論為輔2多媒體教學，使用投影儀3進行幾分鐘的課堂討論參考資料1參考課堂筆記，及提供的本次課程的多媒體課件。2教材：計算機網絡安全基礎（第4版）第2頁計算機網絡安全基礎教案周次第15次課日期章節(jié)名稱第7章網絡安全技術授課方式理論課（√）實驗課（）實習（）教學時數2教學目的及要求掌握入侵檢測的基本原理和基本方法；掌握虛擬專用網技術及對應的協(xié)儀。教學內容提要時間分配7.5入侵檢測技術7.5.1入侵檢測技術概述7.5.2常用入侵檢測技術7.6虛擬專用網技術7.6.1虛擬專用網的定義7.6.2虛擬專用網的類型7.6.3虛擬專用網的工作原理7.6.4虛擬專用網的關鍵技術和協(xié)議4060第1頁教學重點與難點1．入侵檢測技術入侵檢測就是通過從計算機網絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網絡或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。按照檢測類型從技術上劃分，入侵檢測有異常檢測模型和誤用檢測模型。按照監(jiān)測的對象是主機還是網絡分為基于主機的入侵檢測系統(tǒng)和基于網絡的入侵檢測系統(tǒng)以及混合型入侵檢測系統(tǒng)。按照工作方式分為離線檢測系統(tǒng)與在線檢測系統(tǒng)。入侵檢測的過程分為三部分：信息收集、信息分析和結果處理。入侵檢測系統(tǒng)的結構由事件提取、入侵分析、入侵響應和遠程管理4部分組成。常用的入侵檢測方法有：特征檢測、統(tǒng)計檢測和專家系統(tǒng)。2．虛擬專用網技術虛擬專用網分為三種類型：遠程訪問虛擬網（AccessVPN）、企業(yè)內部虛擬網（IntranetVPN）和企業(yè)擴展虛擬網（ExtranetVPN）。虛擬專用網中采用的關鍵技術主要包括隧道技術、加密技術、用戶身份認證技術及訪問控制技術。討論、練習、作業(yè)練習和作業(yè)：1．簡述黑客是如何攻擊一個網站的。2．簡述入侵檢測系統(tǒng)的工作原理，比較基于主機和基于網絡應用的入侵檢測系統(tǒng)的優(yōu)缺點。3．構建一個VPN系統(tǒng)需要解決哪些關鍵技術？這些關鍵技術各起什么作用？4．用IPSec機制實現(xiàn)VPN時，如果企業(yè)內部網使用了私用IP地址怎么辦？IPSec該采用何種模式？教學手段1講授為主，討論為輔2多媒體教學，使用投影儀3進行幾分鐘的課堂討論參考資料1參考課堂筆記，及提供的本次課程的多媒體課件。2教材：計算機網絡安全基礎（第4版）第2頁計算機網絡安全基礎教案周次第16次課日期章節(jié)名稱第8章網絡站點的安全授課方式理論課（√）實驗課（）實習（）教學時數2教學目的及要求了解Web站點安全、口令安全技術；掌握網絡監(jiān)聽、網絡掃描的工作原理；了解E-mail工作原理及安全漏洞；了解IP電子欺騙。教學內容提要時間分配8.1因特網的安全8.2Web站點安全8.3口令安全8.4無線網絡安全8.5網絡監(jiān)聽8.5.1監(jiān)聽的原理8.5.2監(jiān)聽的工具8.5.3監(jiān)聽的實現(xiàn)8.5.4監(jiān)聽的檢測與防范8.6掃描器 8.6.1什么是掃描器8.6.2端口掃描8.6.3掃描工具8.7E-mail的安全8.7.1E-mail工作原理及安全漏洞8.7.2匿名轉發(fā)8.7.3E-mail欺騙8.7.4E-mail轟炸和炸彈8.7.5保護E-mail 8.8IP電子欺騙 8.8.1IP電子欺騙的實現(xiàn)原理8.8.2IP電子欺騙的方式和特征8.8.3IP欺騙的對象及實施8.8.4IP欺騙攻擊的防備8.9DNS的安全性101010101010102010第1頁教學重點與難點1．因特網的安全因特網服務的安全隱患主要包括在：電子郵件、文件傳輸協(xié)議（FTP）、遠程登錄（Telnet）、用戶新聞（UsenetNews）和萬維網（WWW）等服務中。因特網許多事故的起源是因為使用了薄弱的、靜態(tài)的口令。因特網上的口令可以通過許多方法破譯。其中最常用的兩種方法是把加密的口令解密和通過監(jiān)視信道竊取口令。導致這些問題的原因主要有：認證環(huán)節(jié)薄弱性、系統(tǒng)易被監(jiān)視性、易被欺騙性、有缺陷的局域網服務、復雜的設備控制以及主機的安全性無法估計。2．Web站點安全為了保護站點的安全，應做到：安全策略制定原則、配置Web服務器的安全特性、排除站點中的安全漏洞以及監(jiān)視控制Web站點出入情況。3．口令安全通過口令進行攻擊是多數黑客常用的方法。作為系統(tǒng)管理員，應該定期檢查系統(tǒng)是否存在無口令的用戶，其次應定期運行口令破譯程序以檢查系統(tǒng)中是否存在弱口令，這些措施可以顯著地減少系統(tǒng)面臨的通過口令入侵的威脅。4．無線網絡安全無線局域網WLAN是利用無線通信技術在一定的局部范圍內建立的網絡，是計算機網絡與無線通信技術相結合的產物，它以無線多址信道作為傳輸媒介，提供傳統(tǒng)有線局域網LAN的功能，能夠使用戶真正實現(xiàn)隨時、隨地、隨意的寬帶網絡接入。常見的無線網絡安全技術有以下幾種：服務集標識符（SSID）技術，物理地址(MAC)過濾技術，連線對等保密（WEP）技術，虛擬專用網絡（VPN）技術，端口訪問控制技術(802.1x)。無線網絡的常見攻擊：針對WEP弱點的攻擊，搜索攻擊，竊聽、截取和監(jiān)聽，欺騙和非授權訪問，網絡接管與篡改，拒絕服務攻擊，惡意軟件，偷竊用戶設備。無線網絡安全設置：使用無線加密協(xié)議，主動更新驅動，在合理位置放置天線，禁用動態(tài)主機配置協(xié)議，禁用或修改SNMP設置，IP過濾和MAC地址列表，改變服務集標識符并且禁止SSID廣播。5．網絡監(jiān)聽網絡監(jiān)聽工具是提供給管理員的一類管理工具。使用這種工具，可以監(jiān)視網絡的狀態(tài)，數據流動情況以及網絡上傳輸的信息。6．掃描器掃描器是自動檢測遠程或本地主機安全性弱點的程序。通過使用掃描器可以不留痕跡地發(fā)現(xiàn)遠程服務器的各種TCP端口的分配、提供的服務和軟件版本。7．E-mail的安全E-mail十分脆弱，從瀏覽器向因特網上的另一人發(fā)送E-mail時，不僅信件像明信片一樣是公開的，而且也無法知道在到達其最終目的之前，信件經過了多少機器。E-mail服務器向全球開放，他們很容易受到黑客的襲擊。信息中可能攜帶損害服務器的指令。8．IP電子欺騙所謂IP電子欺騙，就是偽造某臺主機的IP地址的技術。其實質就是讓一臺機器來扮演另一臺機器，以達到蒙混過關的目的。IP欺騙技術有如下3個特征。（1）只有少數平臺能夠被這種技術攻擊，也就是說很多平臺都不具有這方面的缺陷。（2）這種技術出現(xiàn)的可能性比較小，因為這種技術不好理解，也不好操作，只有一些真正的網絡高手才能做到這點。（3）很容易防備這種攻擊方法，如可以使用防火墻等。9．DNS欺騙黑客偽裝DNS服務器提前向客戶端發(fā)送響應數據報，那么客戶端的DNS緩存里域名所對應的IP就是他們自定義的IP了，同時客戶端也就被帶到了黑客希望的網站。如果遇到了DNS欺騙，先禁用本地連接，然后啟用本地連接就可以清除DNS欺騙了。討論、練習、作業(yè)練習和作業(yè)：1．總結因特網上不安全的因素。2．簡述無線局域網的安全漏洞及應對措施。3．從網上查找監(jiān)控工具、Web統(tǒng)計工具，簡要記錄其功能。4．從網上下載一款流行的網絡監(jiān)聽工具，并簡單介紹一下使用方法。5．利用端口掃描程序，查看網絡上的一臺主機，這臺主機運行的是什么操作系統(tǒng)，該主機提供了哪些服務？6．查找網上FTP站點的漏洞。7．簡述IP欺騙技術。8．簡述黑客是如何攻擊一個網站的。9．說明電子郵件匿名轉發(fā)的常用手段。10．撰寫一篇有關計算機網絡安全的論文。教學手段1講授為主，討論為輔2多媒體教學，使用投影儀3進行幾分鐘的課堂討論參考資料1參考課堂筆記，及提供的本次課程的多媒體課件。2教材：NetworkSecurityEssentials–Applicationsandstandards(secondedition)第2頁計算機網絡安全基礎教案周次第17次課日期章節(jié)名稱實驗一網絡分析器的練習與使用 授課方式理論課（）實驗課（√）實習（）教學時數2教學目的及要求1．Ethereal網絡分析器的操作；2．使用Ethereal網絡分析器對局域網的數據包進行識別、分析；3．SnifferPro網絡分析器的操作；4．使用SnifferPro網絡分析器對局域網的數據包進行識別、分析。教學內容提要時間分配1．安裝Ethereal網絡分析器首先從網上下載Ethereal，然后安裝并在需要的地方填寫簡單的用戶信息即可。安裝結束后，在桌面雙擊運行Ethereal。選擇菜單Capture\Options，并單擊“Start”按鈕就可以進行抓包了。2．查看IP數據包抓包結束后，單擊“Stop”按鈕后出現(xiàn)圖9-3的畫面，在此畫面上對賺取的數據包進行分析。3．安裝SnifferPro網絡分析器首先從網上下載SnifferPro，然后安裝并在需要的地方填寫簡單的用戶信息即可。安裝結束后，熟悉SnifferPro的菜單項。4．查看IP數據包假設本地機的IP地址為：03，要訪問的FTP服務器的IP地址為：05，整個操作過程如下。（1）選擇主菜單“Capture”下的“DefineFilter”命令，出現(xiàn)抓包過濾器窗口。（2）在抓包過濾器窗口中選擇“Address”選項卡。在“Address”下拉列表中，選擇抓包的類型是IP，在“Station1”下面輸入主機的IP地址，如03；在與之對應的“Station2”下面輸入與之對應的通信主機的IP地址，如05。（3）單擊該窗口的“Advanced”選項卡，拖動滾動條找到IP項，然后將其中TCP下的FTP選中。然后單擊“確定”按鈕，這樣Sniffer的抓包過濾器就設置完畢了。（4）選擇菜單欄“Capture”下“Start”命令，啟動抓包以后，在主機的IE窗口中打開ftp://05，上傳或下載數據后退出。（5）單擊工具欄上的“停止”按鈕和“分析”按鈕，在出現(xiàn)的窗口選擇“Decode”選項卡，可以看到數據包在兩臺計算機間的傳遞過程。20202040