《通信網(wǎng)絡(luò)安全與防護》 教案全套 第1-6章 概述 - 網(wǎng)絡(luò)安全協(xié)議

《通信網(wǎng)絡(luò)安全與防護》課程教案授課時間年月日周節(jié)課次1授課方式（請打√）理論課√討論課□實驗課□習題課□其他□課時安排2授課題目（教學(xué)章、節(jié)或主題）：第一章概述（上）教學(xué)目的、要求（分掌握、熟悉、了解三個層次）：（1）掌握通信網(wǎng)與網(wǎng)絡(luò)安全的基本概念；（2）了解通信網(wǎng)絡(luò)安全的主要內(nèi)容，掌握網(wǎng)絡(luò)安全需求;（3）掌握通信網(wǎng)絡(luò)安全面臨的主要威脅。教學(xué)重點及難點：重點：通信網(wǎng)絡(luò)安全面臨的主要威脅；課堂教學(xué)設(shè)計（含思政）：本次課主要是使學(xué)員理解網(wǎng)絡(luò)安全的基本概念，通過習主席講話的時代背景和典型的網(wǎng)絡(luò)安全案例分析，引導(dǎo)學(xué)員理解網(wǎng)絡(luò)安全面臨的威脅，提高對網(wǎng)絡(luò)安全重要性的認識，自覺養(yǎng)成用網(wǎng)時的安全習慣。教學(xué)采用引導(dǎo)式的教學(xué)方法，以多媒體為主的信息化教學(xué)手段進行授課，激發(fā)學(xué)員對網(wǎng)絡(luò)安全的興趣，引導(dǎo)學(xué)員課下加強自學(xué)，促進理論和實踐融合。思政要素切入點：引導(dǎo)學(xué)員深入理解習主席“沒有網(wǎng)絡(luò)安全，就沒有國家安全”講話精神，分析講話的時代背景，體會講話的現(xiàn)實意義，引導(dǎo)學(xué)員強化在工作、學(xué)習中勇于承擔網(wǎng)絡(luò)安全重任，促進職業(yè)素養(yǎng)和崗位能力的提高。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計回顧與引入：分析網(wǎng)絡(luò)發(fā)展與安全內(nèi)涵發(fā)展的兩條線路，了解課程內(nèi)涵的演進過程，引出課程的教學(xué)內(nèi)容和教學(xué)設(shè)計，使學(xué)員對課程教學(xué)體系形成整體框架。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點、重點，建議不要寫成講稿）1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全1.1.1通信網(wǎng)絡(luò)的基本概念通信網(wǎng)絡(luò)是指在一定范圍內(nèi)將通信線（電）路、信道終端、復(fù)用終端、交換設(shè)備、入網(wǎng)接口設(shè)備、網(wǎng)絡(luò)監(jiān)控設(shè)備和各種用戶（末端）設(shè)備，按一定方式相互連接，用于達成通信聯(lián)絡(luò)的網(wǎng)絡(luò)體系。通信網(wǎng)按功能與用途不同，一般可分為傳送網(wǎng)、業(yè)務(wù)網(wǎng)和支撐網(wǎng)等三種。1．傳送網(wǎng)傳送網(wǎng)，是由用戶終端、交換系統(tǒng)、傳輸系統(tǒng)等通信設(shè)備所組成的實體結(jié)構(gòu)，是通信網(wǎng)的物質(zhì)基礎(chǔ)。2．業(yè)務(wù)網(wǎng)業(yè)務(wù)網(wǎng)是指通信網(wǎng)的服務(wù)功能，包括電話、電報網(wǎng)等。3．支撐網(wǎng)1.1.2通信網(wǎng)絡(luò)的發(fā)展趨勢1．數(shù)字化2．寬帶化3．IP化1.1.3網(wǎng)絡(luò)安全引入：習主席“沒有網(wǎng)絡(luò)安全，就沒有國家安全”“沒有信息化，就沒有現(xiàn)代化”網(wǎng)絡(luò)安全是指信息的產(chǎn)生、存儲、分發(fā)、傳輸、處理全過程和整個通信網(wǎng)絡(luò)的信息安全保障。1．網(wǎng)絡(luò)安全的主要研究領(lǐng)域網(wǎng)絡(luò)安全主要包括信息安全、網(wǎng)絡(luò)安全防護、人員與網(wǎng)絡(luò)設(shè)施安全等內(nèi)容。2. 網(wǎng)絡(luò)安全需求網(wǎng)絡(luò)的安全需求就是要保證在一定的外部環(huán)境下，系統(tǒng)能夠正常、安全地工作所需具備的特性。機密性完整性可用性可控性信息流保護1.2網(wǎng)絡(luò)面臨的安全威脅1.2.1物理安全威脅自然災(zāi)害、物理損壞、設(shè)備故障電磁輻射、乘虛而入、痕跡泄漏操作失誤和疏忽1.2.2操作系統(tǒng)的安全缺陷任何操作系統(tǒng)都自帶一系列的系統(tǒng)應(yīng)用程序，這些應(yīng)用程序中可能因編程時的不謹慎而存在安全漏洞，而引發(fā)安全風險。CVE（CommonVulnerabilitiesExposures）-公共漏洞和暴露。就像是一個字典表，為廣泛認同的信息安全漏洞或者已經(jīng)暴露出的弱點給出一個公共的名稱。1.2.3網(wǎng)絡(luò)協(xié)議的安全缺陷由于TCP/IP協(xié)議設(shè)計之初的目的是使網(wǎng)絡(luò)互連，缺乏安全性上的考慮，因此TCP/IP協(xié)議本身存在一些不安全的地方。如：TCP序列號預(yù)測；DNS攻擊；網(wǎng)絡(luò)監(jiān)聽（嗅探Sniffer)；ARP病毒；路由協(xié)議缺陷；無線破解。1.2.4應(yīng)用軟件的安全缺陷應(yīng)用軟件是運行在操作系統(tǒng)之上的應(yīng)用程序，如MicrosoftOffice、InternetExplorer等。軟件實現(xiàn)缺陷是由于程序員在編程時沒有考慮周全而造成的。2019年，CNVD收錄漏洞10487個。1.2.5用戶使用中的安全缺陷系統(tǒng)和網(wǎng)絡(luò)是由用戶（管理員）來操作的，由于用戶（管理員）缺乏安全知識，在使用和維護系統(tǒng)或網(wǎng)絡(luò)時給攻擊者提供了可乘之機是常見的安全問題。用戶使用的缺陷體現(xiàn)在以下幾個方面：密碼易于被破解軟件使用的錯誤系統(tǒng)備份不完整1.2.6惡意代碼惡意代碼則完全是人為創(chuàng)造出來，對網(wǎng)絡(luò)造成的威脅。1.計算機病毒（computervirus）2.計算機蠕蟲（computerworm）3.特洛伊木馬（Trojanhorse）4.灰色軟件內(nèi)容小結(jié)：請同學(xué)們總結(jié)：1）本節(jié)課的關(guān)鍵詞；2）自己最直觀的感受；3）課下準備采取什么行動；4）有無問題需要與教員溝通。板書提綱：$1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全一、通信網(wǎng)絡(luò)的基本概念1.傳送網(wǎng)2.業(yè)務(wù)網(wǎng)3.支撐網(wǎng)二、通信網(wǎng)的發(fā)展趨勢數(shù)字化寬帶化IP化三、通信網(wǎng)絡(luò)安全1.研究內(nèi)容2.安全需求機密性、完整性、可用性、可控性、信息流保護$1.2網(wǎng)絡(luò)安全面臨的安全威脅物理安全威脅；操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、應(yīng)用軟件的實現(xiàn)缺陷；用戶使用中的缺陷；惡意代碼知識擴展：課下了解勒索軟件、羊毛黨、智商稅等名詞的含義全程PPT輔助講解課程設(shè)計：總結(jié)“網(wǎng)絡(luò)安全”內(nèi)涵演化過程通信安全信息安全計算機安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)空間安全引導(dǎo)學(xué)員結(jié)合自身認識，理解三者之間的關(guān)聯(lián)。思政點：結(jié)合時代背景，介紹“震網(wǎng)”“斯諾登”“永恒之藍”等網(wǎng)絡(luò)安全事件；引導(dǎo)學(xué)員深入理解講話精神，結(jié)合學(xué)習及以后工作崗位，強化在網(wǎng)絡(luò)安全中的使命擔當，加強學(xué)習，為軍事網(wǎng)絡(luò)安全貢獻力量。補充：2021年我國互聯(lián)網(wǎng)發(fā)展報告及網(wǎng)絡(luò)安全形勢分析報告。舉例：因操作系統(tǒng)漏洞發(fā)生過的安全事件CVE-2017-8464（Windows系統(tǒng)在解析快捷方式時存在遠程執(zhí)行任意代碼的高危漏洞，黑客可以通過U盤、網(wǎng)絡(luò)共享等途徑觸發(fā)漏洞，完全控制用戶系統(tǒng)，安全風險高危）著重對網(wǎng)絡(luò)監(jiān)聽和ARP病毒進行講解。請同學(xué)們反思，自己工作學(xué)習生活中使用網(wǎng)絡(luò)時存在哪些不安全的操作？作業(yè)、討論題、思考題：作業(yè)：1-02、1-05、1-06討論題：圍繞深刻理解習主席指出的“沒有網(wǎng)絡(luò)安全，就沒有國家安全”談?wù)務(wù)J識課堂教學(xué)后記：（課堂教學(xué)反思、課堂優(yōu)化設(shè)計構(gòu)想等內(nèi)容，必須手寫）《通信網(wǎng)絡(luò)安全與防護》課程教案授課時間年月日周節(jié)課次2授課方式（請打√）理論課√討論課□實驗課□習題課□其他□課時安排2授課題目（教學(xué)章、節(jié)或主題）：第一章概述（下）教學(xué)目的、要求（分掌握、熟悉、了解三個層次）：（1）熟悉網(wǎng)絡(luò)安全體系結(jié)構(gòu)的基本概念;（2）掌握ISO7498-2標準中五種安全服務(wù)與八種安全機制;（3）掌握PDRR網(wǎng)絡(luò)安全模型，熟悉防護的手段；（4）了解網(wǎng)絡(luò)基本原則。教學(xué)重點及難點：重點：網(wǎng)絡(luò)安全體系結(jié)構(gòu)；課堂教學(xué)設(shè)計（含思政）：本次課通過與學(xué)員掌握的網(wǎng)絡(luò)體系結(jié)構(gòu)概念的關(guān)聯(lián)分析，介紹網(wǎng)絡(luò)安全體系結(jié)構(gòu)，使學(xué)員理解安全服務(wù)與安全機制；通過對PDRR模型的介紹，使學(xué)員理解網(wǎng)絡(luò)防護的動態(tài)性，并掌握防護、檢測、響應(yīng)、恢復(fù)各個環(huán)節(jié)的主要工作。教學(xué)采用以多媒體為主的信息化教學(xué)手段進行授課，激發(fā)學(xué)員對網(wǎng)絡(luò)安全的興趣，引導(dǎo)學(xué)員課下加強自學(xué)，促進理論和實踐融合。思政要素切入點：一是結(jié)合軍事網(wǎng)絡(luò)安全防護體系對照講解，加深學(xué)員對本職崗位的認識，促進崗位能力提高；二是結(jié)合對我國新近出臺的“等保2.0”標準體系的介紹，增進學(xué)員對行業(yè)發(fā)展的了解，促進學(xué)員職業(yè)素養(yǎng)的養(yǎng)成。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計回顧與引入：回顧上節(jié)課主要內(nèi)容，通過兩個測試題檢驗學(xué)員對知識點掌握情況；回顧網(wǎng)絡(luò)體系結(jié)構(gòu)的概念，引出網(wǎng)絡(luò)安全體系結(jié)構(gòu)。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點、重點，建議不要寫成講稿）1.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.3.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)的相關(guān)概念網(wǎng)絡(luò)安全體系結(jié)構(gòu)是網(wǎng)絡(luò)安全最高層的抽象描述，它從系統(tǒng)化的角度去理解安全問題的解決方案，對研究、實現(xiàn)和管理網(wǎng)絡(luò)安全的工作有全局指導(dǎo)的作用，對于網(wǎng)絡(luò)安全的理解、設(shè)計、實現(xiàn)和管理有著重要的意義。OSI安全體系結(jié)構(gòu)主要包括三部分內(nèi)容：安全服務(wù)：一個系統(tǒng)各功能部件所提供的安全功能的總和。安全機制：指安全服務(wù)的實現(xiàn)機制，一種安全服務(wù)可以由多種安全機制來實現(xiàn)，一種安全機制也可以為多種安全服務(wù)所用。安全管理：包括兩方面的內(nèi)容，一是安全的管理，網(wǎng)絡(luò)和系統(tǒng)中各種安全服務(wù)和安全機制的管理，如認證或加密服務(wù)的激活，密鑰等參數(shù)的分配、更新等；二是管理的安全，是指各種管理活動自身的安全，如管理系統(tǒng)本身和管理信息的安全。1．安全服務(wù)：五種安全服務(wù)2．安全機制：八種安全機制3．安全服務(wù)與安全機制的關(guān)系1.3.2網(wǎng)絡(luò)安全體系結(jié)構(gòu)的三維框架結(jié)構(gòu)介紹網(wǎng)絡(luò)安全體系的三維框架結(jié)構(gòu)，便于指導(dǎo)具體的系統(tǒng)實施。1.4PDRR網(wǎng)絡(luò)安全模型PDRR安全模型將網(wǎng)絡(luò)安全劃分為防護、檢測、響應(yīng)、恢復(fù)四個動態(tài)往復(fù)的周期。在整體安全策略的控制和指導(dǎo)下，綜合運用防護工具（如防火墻、加密機、防病毒等手段）的同時，利用檢測工具（如隱患掃描、入侵檢測等）了解和評估系統(tǒng)的安全狀態(tài)，通過適當?shù)陌踩憫?yīng)，將系統(tǒng)保持或恢復(fù)到“最安全”和“風險最低”的狀態(tài)。1.4.1防護防護是PDRR模型中的最重要的部分，防護是阻止攻擊可以發(fā)生的條件產(chǎn)生，讓攻擊者無法順利的入侵。防護可以分為三大類：系統(tǒng)安全防護、網(wǎng)絡(luò)安全防護和信息安全防護。防護主要包括以下幾種措施：（1）風險評估－－缺陷掃描（2）訪問控制和防火墻（3）防病毒軟件與個人防火墻（4）數(shù)據(jù)備份和歸檔：屬于信息安全防護類型。（5）使用數(shù)據(jù)加密：信息安全防護的重要技術(shù)。（6）使用鑒別技術(shù)（7）使用安全通信1.4.2檢測防護系統(tǒng)只能阻止大多數(shù)入侵事件的發(fā)生，但不能阻止所有的入侵，特別是利用新的系統(tǒng)缺陷、新的攻擊手段的入侵。因些安全政策的第二個安全屏障就是檢測，即如果入侵發(fā)生就檢測出來，這個工具是入侵檢測系統(tǒng)（IDS，Intrusiondetectionsystem）。IDS是一個硬件系統(tǒng)或軟件程序，它的功能是檢測出正在發(fā)生或者已經(jīng)發(fā)生的入侵事件。1.4.3響應(yīng)PDRR模型的第三個環(huán)節(jié)是響應(yīng)。在一個大規(guī)模網(wǎng)絡(luò)中，響應(yīng)都是由一個特殊部門負責，即計算機緊急響應(yīng)小組（CERT）。CNCERT/CC是我國互聯(lián)網(wǎng)應(yīng)急中心，服務(wù)內(nèi)容:事件發(fā)現(xiàn)：依托公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測平臺開展對基礎(chǔ)信息網(wǎng)絡(luò)、金融證券等重要信息系統(tǒng)、移動互聯(lián)ISP等安全事件的自主監(jiān)測。預(yù)警通報：實現(xiàn)網(wǎng)絡(luò)安全威脅的分析預(yù)警、網(wǎng)絡(luò)安全事件情況通報、宏觀網(wǎng)絡(luò)安全態(tài)勢分析等。應(yīng)急處置：對危害較大的事件報告，及時響應(yīng)并協(xié)調(diào)處置。測試評估：為政府部門、企事業(yè)單位提供安全測評服務(wù)，組織通信網(wǎng)絡(luò)安全相關(guān)標準制定。1.4.4恢復(fù)恢復(fù)就是把系統(tǒng)恢復(fù)到被攻擊前的狀態(tài)甚至比被攻擊前更安全的狀態(tài)。恢復(fù)包括系統(tǒng)恢復(fù)與數(shù)據(jù)恢復(fù)?，F(xiàn)在流行的是容災(zāi)備份系統(tǒng)。內(nèi)容小結(jié)：網(wǎng)絡(luò)安全體系結(jié)構(gòu)：安全服務(wù)、安全機制與安全管理五種安全服務(wù)，八種安全機制；PDRR網(wǎng)絡(luò)安全模型：防護、檢測、響應(yīng)、恢復(fù)；防護的主要措施。板書提綱：$1.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)一、網(wǎng)絡(luò)安全體系結(jié)構(gòu)的相關(guān)概念1．安全服務(wù)2．安全機制3．安全管理二、網(wǎng)絡(luò)安全體系的三維框架結(jié)構(gòu)$1.4PDRR網(wǎng)絡(luò)安全模型1．防護2．檢測3．響應(yīng)4．恢復(fù)知識擴展：無全程PPT輔助講解分析網(wǎng)絡(luò)體系結(jié)構(gòu)與網(wǎng)絡(luò)安全體系結(jié)構(gòu)的關(guān)聯(lián)設(shè)問：了解了安全體系結(jié)構(gòu)的概念，如何在系統(tǒng)設(shè)計與實施時規(guī)劃安全呢？補充介紹：2019年5月13日，我國出臺了信息系統(tǒng)等級保護2.0，對各級防護提出了明確要求及評測標準。作業(yè)、討論題、思考題：作業(yè)：1-7、1-9討論：圍繞關(guān)于網(wǎng)絡(luò)空間的八個基本觀點談?wù)勛约旱恼J識課堂教學(xué)后記：（課堂教學(xué)反思、課堂優(yōu)化設(shè)計構(gòu)想等內(nèi)容，必須手寫）《通信網(wǎng)絡(luò)安全與防護》課程教案授課時間年月日周節(jié)課次3授課方式（請打√）理論課√討論課□實驗課□習題課□其他□課時安排2授課題目（教學(xué)章、節(jié)或主題）：第二章網(wǎng)絡(luò)信息安全（上）教學(xué)目的、要求（分掌握、熟悉、了解三個層次）：（1）掌握數(shù)據(jù)加密的一般模型和古典加密體制；（2）掌握對稱密碼體制概念，熟悉DES和AES算法；（3）重點理解非對稱密碼體制概念及RSA算法；（4）熟悉散列函數(shù)的概念，了解MD5和SHA算法。。教學(xué)重點及難點：重點：密碼系統(tǒng)一般模型、公鑰密鑰體制；難點：RSA算法。課堂教學(xué)設(shè)計（含思政）：本次課主要是使學(xué)員掌握密碼學(xué)的相關(guān)知識，通過理論分析、實例講解使學(xué)員掌握密碼系統(tǒng)一般模型、古典加密體制、對稱密碼體制、公鑰密碼體制，熟悉DES、AES、RSA等算法。教學(xué)中注重舉例分析，結(jié)合具體的算法講解；注重啟發(fā)思考，引導(dǎo)學(xué)員分析單表替換的安全性、對稱體制的難點等問題，全程采用以多媒體為主的信息化教學(xué)手段進行授課，并引導(dǎo)學(xué)員課下查閱相關(guān)資料。思政要素切入點：通過“密碼學(xué)的中國貢獻”課下研討作業(yè)，引導(dǎo)學(xué)員查閱資料，了解王小云、潘建偉院士的研究成果與事跡，用榜樣的力量激發(fā)學(xué)員學(xué)習熱情，增強自信，強化在工作、學(xué)習中勇于承擔安全重任的使命擔當。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計回顧與引入：回顧第一章主要內(nèi)容，通過兩個測試題檢驗學(xué)員對知識點掌握情況；對網(wǎng)絡(luò)信息安全的教學(xué)內(nèi)容進行總體介紹，并明確本次課教學(xué)目標。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點、重點，建議不要寫成講稿）2.1密碼學(xué)與信息加密一、密碼學(xué)概述1．密碼學(xué)基本概念密碼學(xué)是研究如何進行密寫以及如何非法解密的科學(xué)?；舅枷胧峭ㄟ^變換信息的表示形式來保護敏感信息，使非授權(quán)者不能了解被保護信息的內(nèi)容。2．密碼學(xué)的發(fā)展三個發(fā)展階段每個發(fā)展階段代表性事件3．密碼系統(tǒng)一般模型密碼學(xué)基本原則：一切秘密寓于密鑰之中。4．密碼分析密碼分析就是在不知道密鑰的情況下，利用數(shù)學(xué)方法破譯密文或找到秘密密鑰。5．現(xiàn)代密碼體制的分類（1）對稱密碼體制和非對稱密碼體制（2）分組密碼體制和序列密碼體制（3）確定型密碼體制和概率型密碼體制（4）單向函數(shù)密碼體制和雙向變換密碼體制二、古典加密1．置換加密明文的每個符號本身不變，但通過一定的算法重新排列它們的位置使其相互順序發(fā)生變化。（1）路游法（2）密鑰法2．替換加密明文的順序不變，通過一定的算法使明文的每個字母或每組字母由另外一個或一組字母代替。（1）單表替換（2）多表替換三、對稱密碼體制算法AES1.DES與IDEADES20世紀70年代中期IBM公司提出，且被美國國家標準局公布為數(shù)據(jù)加密標準的一種分組加密(BlockCipher)算法。DES分組大小為64位，加密或解密密鑰也是64位，但其中有8位是奇偶校驗位，不參預(yù)運算。國際數(shù)據(jù)加密算法IDEA由瑞士聯(lián)邦理工學(xué)院XuejiaLai和JamesMassey在1990年提出的。也是一種對稱分組密碼算法。IDEA密鑰長度為128位，分組大小為64位。其安全強度要高于DES算法。2.AES的提出DES的密鑰長度為56比特，安全性受到挑戰(zhàn)，因此需要設(shè)計一種更安全的算法。Rijndael算法由比利時的兩個學(xué)者JoanDaemen和VincentRijmen提出，是一種具有可變分組長度和可變密鑰長度的重復(fù)的分組密碼。3.AES算法流程AES加密算法涉及4種操作：字節(jié)替代（SubBytes）行移位（ShiftRows）列混淆（MixColumns）輪密鑰加（AddRoundKey四、公鑰密碼體制與RSA算法1．公鑰密碼體制公開密碼體制是20世紀70年代由Diffie和Hellman等人所提出，它是密碼學(xué)理論的劃時代突破。公開密碼體制修正了密鑰的對稱性，它一方面，為數(shù)據(jù)的保密性、完整性、真實性提供了有效方便的技術(shù)。另一方面，科學(xué)地解決了密碼技術(shù)的瓶頸──密鑰的分配問題。2．RAS算法流程RSA算法主要包括三個部分：☆密鑰的生成（1）生成大的素數(shù)p和q，計算乘積n=p╳q；（2）歐拉函數(shù)Φ(n)=(p-1)╳(q-1)，任意選取整數(shù)e與Φ(n)互質(zhì)，e用做加密密鑰；（3）據(jù)d╳e=1modΦ(n)，確定解密密鑰d；（4）公開(e,n)做為加密密鑰，秘密保存d做為解密密鑰。☆加密過程。對于明文P，加密得密文C=Pemodn?！罱饷苓^程。對于密文C，解密得明文P=Cdmodn。除算法本身外，RSA算法中還需注意幾個環(huán)節(jié)：（1）素數(shù)的產(chǎn)生與檢測；（采用概率檢測法）（2）明文的數(shù)字化處理；（3）素數(shù)長度的考慮（RSA算法的安全性）。3．公鑰密碼體制的使用五、消息摘要算法散列函數(shù)對明文認證和數(shù)字簽名都是非常必要的工具。散列函數(shù)值可以說是對明文的一種“指紋”或是摘要。散列函數(shù)必須滿足下面的條件：散列函數(shù)可以將任意長度的信息轉(zhuǎn)變?yōu)楣潭ㄩL度的散列函數(shù)值。對任意的明文m，散列函數(shù)值h(m)可通過軟件或硬件很容易的產(chǎn)生。散列函數(shù)逆向運算是不可行的。不同的明文，散列函數(shù)值相同的可能性極小，可以忽略。1．MD5算法將任意長度明文計算為128比特的散列值，在互聯(lián)網(wǎng)應(yīng)用廣泛。2．SHA算法美國國家標準局為配合數(shù)字簽名算法設(shè)計的消息摘要算法。內(nèi)容小結(jié)：密碼學(xué)的一般模型；現(xiàn)代密碼體制的分類；古典加密體制；對稱密碼體制AES；公鑰密碼體制RSA報文摘要算法MD5SHA板書提綱：$2.1密碼學(xué)與信息加密一、密碼學(xué)概述二、古典加密置換替換三、對稱密碼體制與AESDES、IDEA、AES四、公鑰密碼體制與RSA五、消息摘要函數(shù)MD5SHA知識擴展：無全程PPT輔助講解討論：密碼學(xué)的應(yīng)用軍事領(lǐng)域：如“二戰(zhàn)”時期恩尼格碼、紫密，反例：山本五十六之死思政：保密就是保生命，保密就是保勝利啟發(fā)思考：單表替換的安全性如何？單表替換不能抵抗語言統(tǒng)計學(xué)分析，密文越長規(guī)越明顯。因此引入多表替換。45分鐘，課間顯示曾子兵法與現(xiàn)代網(wǎng)絡(luò)用語分析：互聯(lián)網(wǎng)就是一個巨大的的云計算平臺實例：DESCHALL競賽討論：對稱密碼體制使用中的難點問題？密鑰的分配舉例：我們每天都在用消息摘要算法。Windows登錄網(wǎng)絡(luò)應(yīng)用登錄小結(jié)：回顧本次課的主要教學(xué)內(nèi)容，加深學(xué)員對知識體系的印象作業(yè)、討論題、思考題：作業(yè)：2-1、2-3、2-5研討：1.密碼學(xué)在軍事通信網(wǎng)絡(luò)中的應(yīng)用2．古典密碼體制是否退出軍事應(yīng)用的歷史舞臺？3．課下查閱資料，了解王小云、潘建偉院士的主要研究成果和事跡。課堂教學(xué)后記：（課堂教學(xué)反思、課堂優(yōu)化設(shè)計構(gòu)想等內(nèi)容，必須手寫）《通信網(wǎng)絡(luò)安全與防護》課程教案授課時間年月日周節(jié)課次4授課方式（請打√）理論課√討論課□實驗課□習題課□其他□課時安排2授課題目（教學(xué)章、節(jié)或主題）：第二章網(wǎng)絡(luò)信息安全（下）教學(xué)目的、要求（分掌握、熟悉、了解三個層次）：（1）熟悉密鑰分配與管理的方法;（2）掌握消息認證、身份認證、PKI的基本概念，重點掌握數(shù)字簽名的工作過程及工作原理；（3）了解訪問控制策略與機制，掌握訪問控制的工作原理。教學(xué)重點及難點：重點：數(shù)字簽名的工作過程與工作原理；難點：強制訪問控制策略。課堂教學(xué)設(shè)計（含思政）：本次課采用結(jié)合部隊裝備講解、結(jié)合實例講解等教學(xué)方法，如講解密鑰分配時介紹新型核常機動指揮系統(tǒng)中的密鑰分配裝備運用，講解身份認證時結(jié)合生活中的網(wǎng)上銀行、大門門禁等實例，講解數(shù)字簽名時以作戰(zhàn)命令的傳遞中存在的偽造、篡改、抵賴等威脅為例說明數(shù)字簽名的需求。全程采用以多媒體為主的信息化教學(xué)手段進行授課，并引導(dǎo)學(xué)員課下查閱相關(guān)資料。思政要素切入點：通過密鑰分配、認證、訪問控制在軍事中的應(yīng)用，引導(dǎo)學(xué)員結(jié)合將來從事的崗位進行思考，增強對信息保密和網(wǎng)絡(luò)防護重要性認識，提高對保密、網(wǎng)絡(luò)防護工作的政治站位，增強使命感。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計回顧與引入：回顧上節(jié)課主要內(nèi)容，通過兩個測試題檢驗學(xué)員對知識點掌握情況；對本節(jié)課的內(nèi)容組織進行介紹，并明確本節(jié)課教學(xué)目標。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點、重點，建議不要寫成講稿）2.2密鑰分配與管理一、密鑰管理概述密鑰的安全十分重要，密鑰的管理問題凸顯。密鑰的管理綜合了密鑰的等一系列過程。所有的工作都圍繞一個宗旨，即確保使用中的密鑰是安全的。1．密鑰的生成與分配2．密鑰的保護與存儲3．密鑰的有效性與使用控制二、密鑰的分類根據(jù)密碼系統(tǒng)的類型劃分為對稱密鑰和公開密鑰。根據(jù)密鑰的用途劃分為數(shù)據(jù)會話密鑰、密鑰加密密鑰、公鑰系統(tǒng)中的私鑰、公鑰系統(tǒng)中的公鑰。根據(jù)密鑰的有效期劃分一次性密鑰和重復(fù)性密鑰。三、密鑰分配1.密鑰分配實現(xiàn)的基本方法安全的密鑰分配通過建立安全信道來實現(xiàn)。密鑰分配的研究一般解決兩個問題：一是引進自動分配密鑰機制；二是盡可能減少系統(tǒng)中駐留的密鑰量。基于對稱密碼體制的安全信道基于雙鑰密碼體制的安全信道基于量子密碼體制的安全信道2.密鑰分配系統(tǒng)的實現(xiàn)模式小型網(wǎng)絡(luò)：每兩個用戶之間共享一個密鑰大型網(wǎng)絡(luò)：采用密鑰中心的方式，可以采用密鑰傳送中心和密鑰分配中心2.3安全認證一、消息認證消息認證一般通過消息認證碼（MessageAuthenticationCode，MAC）實現(xiàn)，它利用密鑰生成一個固定長度的短數(shù)據(jù)塊，并將該數(shù)據(jù)塊附加在消息之后。接收方對收到的消息用相同的密鑰K進行相同的計算，并得出新的MAC，然后將接收到的MAC與其計算出的MAC進行比較。接收方可以相信消息未被修改接收方可以相信消息來自真正的發(fā)送方如果消息中含有序列號，接收方可以相信信息順序是正確的二、數(shù)字簽名數(shù)字簽名以電子方式存儲簽名消息，是在數(shù)字文檔上進行身份驗證的技術(shù)。數(shù)字簽名必須做到：接收者和第三方都能夠驗證文檔來自簽名者，并且文檔簽名后沒有被修改，簽名者也不能否認對文檔的簽名。三、身份認證從身份認證實現(xiàn)所需條件來看，身份認證技術(shù)分為:單因子認證雙（多）因子認證依據(jù)認證的基本原理劃分，身份認證劃分為:靜態(tài)身份認證動態(tài)身份認證四、公鑰基礎(chǔ)設(shè)施1.PKI的定義及組成PKI是一種利用公鑰密碼理論和技術(shù)建立起來的、提供信息安全服務(wù)的基礎(chǔ)設(shè)施。PKI目的是從技術(shù)上解決網(wǎng)上身份認證、電子信息的完整性和不可抵賴性等安全問題，為網(wǎng)絡(luò)應(yīng)用（如瀏覽器、電子郵件、電子交易）提供可靠的安全服務(wù)。PKI系統(tǒng)包括6個部分:證書機構(gòu)、注冊機構(gòu)、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)、應(yīng)用接口。2.數(shù)字證書及其應(yīng)用數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。用于在網(wǎng)絡(luò)空間中證明用戶的身份及公鑰信息。2.4訪問控制訪問控制的實質(zhì)是對資源使用的限制，保障授權(quán)用戶能夠獲得所需的資源，同時又能阻止非授權(quán)用戶使用的安全機制。一、訪問控制策略和機制訪問控制的策略一般分為以下三種。1)自主訪問控制(DiscretionaryAccessControl，DAC)：資源的所有者能夠按照自身的意愿授予另一個實體訪問某些資源的權(quán)限，由此稱為自主訪問控制。2)強制訪問控制(MandatorilyAccessControl，MAC)：訪問某種資源的實體不能按其自身意愿授予其他實體訪問該資源的權(quán)限，因此稱之為強制訪問控制。它根據(jù)用戶安全許可的安全標記控制訪問。3)基于角色的訪問控制(Role-BasedAccessControl，RBAC)：基于系統(tǒng)中用戶的角色和屬于該類角色的訪問權(quán)限控制訪問。二、自主訪問控制自主訪問控制通常通過ACL（訪問控制列表）來實現(xiàn)，訪問控制列表是對訪問控制矩陣的一種分解。三、強制訪問控制MAC是一種多級訪問控制策略，主要特點是系統(tǒng)對訪問主體和受控對象實施強制訪問控制。根據(jù)對客體資源保護不同的重點，訪問控制策略可以分為兩種。保障信息完整性策略：向上讀、向下寫保障信息機密性策略：向上寫、向下讀四、基于角色的訪問控制基本思想是將訪問許可權(quán)分配給一定的角色，用戶通過其扮演不同的角色以取得該角色所擁有的訪問許可權(quán)，這些用戶往往不是被訪問客體信息資源的所有者。角色被定義為與一個特定活動相關(guān)聯(lián)的一組動作和責任。內(nèi)容小結(jié)：密鑰的分配與管理；安全認證：消息認證、數(shù)字簽名、身份認證；公鑰基礎(chǔ)設(shè)施PKI；訪問控制：自主訪問控制、強制訪問控制、基于角色的訪問控制。板書提綱：$2.2密鑰的分配與管理一、密鑰管理二、密鑰分類三、密鑰分配$2.3安全認證一、消息認證二、數(shù)字簽名三、身份認證四、公開密鑰基礎(chǔ)設(shè)施PKI$2.4訪問控制一、自主訪問控制二、強制訪問控制三、基于角色的訪問控制知識擴展：無全程PPT輔助講解提問：現(xiàn)代密碼學(xué)基本原則?引出密鑰分配與管理拓展：新型核常機動指揮系統(tǒng)中的密鑰分發(fā)裝備應(yīng)用思政：引導(dǎo)學(xué)員提高對信息保密的重視補充：量子密鑰分發(fā)鏈接：墨子號報導(dǎo)視頻思考：如何保證通信雙方的身份真實性？如何保證物理信道和資源不被非法用戶使用？如何防止通信的相關(guān)信息被第三方篡改？思考：公鑰密碼體制是傳遞密鑰的最佳方式，但其前提是確信擁有了對方的公鑰。如何確信通信雙方獲得了對方的公鑰呢？反例：宣稱公鑰的中間人攻擊方式舉例：windows操作系統(tǒng)是基于自主訪問控制防火墻是基于強制訪問控制分析：傳統(tǒng)訪問控制的不足作業(yè)、討論題、思考題：作業(yè)：2-11、2-12、2-15討論：訪問控制有哪些典型的應(yīng)用場景？采用的是哪種訪問控制策略。課堂教學(xué)后記：（課堂教學(xué)反思、課堂優(yōu)化設(shè)計構(gòu)想等內(nèi)容，必須手寫）《通信網(wǎng)絡(luò)安全與防護》課程教案授課時間年月日周節(jié)課次5授課方式（請打√）理論課√討論課□實驗課□習題課□其他□課時安排2授課題目（教學(xué)章、節(jié)或主題）：第三章網(wǎng)絡(luò)設(shè)備安全教學(xué)目的、要求（分掌握、熟悉、了解三個層次）：（1）了解網(wǎng)絡(luò)設(shè)備安全的基本概念及安全隱患；（2）熟悉機房安全、通信線路安全、硬件設(shè)備安全等物理安全措施;（3）掌握交換機、路由器的安全配置；（4）熟悉服務(wù)器與操作系統(tǒng)安全。教學(xué)重點及難點：重點：物理安全的組成；難點：交換機、路由器的安全配置。課堂教學(xué)設(shè)計（含思政）：本次課主要是引導(dǎo)學(xué)員重視物理安全、交換機與路由器的安全配置、操作系統(tǒng)的安全配置等內(nèi)容，采用引導(dǎo)式的教學(xué)方法，以多媒體為主的信息化教學(xué)手段進行授課，針對學(xué)員都有通信崗位經(jīng)歷的特點，引導(dǎo)學(xué)員結(jié)合單位實際對照學(xué)習，加強師生互動，加強理論和實踐融合。思政要素切入點：通過國家安全法規(guī)體系和相關(guān)案例的介紹引導(dǎo)學(xué)員形成嚴謹細致的工作習慣，促進職業(yè)素養(yǎng)提高；二是通過交換機、路由器安全問題的分析，引導(dǎo)學(xué)員提高對安全防護工作的重視。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計回顧與引入：回顧網(wǎng)絡(luò)信息安全的主要內(nèi)容，通過兩個測試題檢驗學(xué)員對知識點掌握情況；對網(wǎng)絡(luò)設(shè)備安全的重要意義進行介紹，明確本次課教學(xué)目標。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點、重點，建議不要寫成講稿）3.1物理安全物理安全是整個通信網(wǎng)絡(luò)系統(tǒng)安全的前提，是保護通信網(wǎng)絡(luò)設(shè)備、設(shè)施及其他媒介免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或人為損壞導(dǎo)致被破壞的過程。一、機房安全技術(shù)1.機房的安全要求2.機房的防盜要求3.機房的三度要求4.防靜電措施5.接地與防雷6.機房的防火、防水措施二、通信線路安全通信線路是信息傳輸?shù)耐ǖ?，會受到搭線竊聽、中斷或干擾的攻擊。電纜加壓技術(shù)電纜兩端加壓，連接監(jiān)視器，如果監(jiān)測到變化，則啟動報警器。加壓電纜是屏蔽在波紋鋁鋼包皮中，幾乎沒有電磁輻射，對利用電磁感應(yīng)的竊聽行為有一定的抵抗力。線纜屏蔽技術(shù)線纜屏蔽可以降低電磁感應(yīng)，提高抗干擾能力。如采用屏蔽式雙絞線，或?qū)⒕€纜放在金屬管內(nèi)。光纖通信技術(shù)光纖通信廣泛覆蓋于骨千網(wǎng)和接入網(wǎng)中，目前全球90％以上的信息通信都是由光網(wǎng)絡(luò)承載，涉及的用戶和業(yè)務(wù)包括個人、企業(yè)、軍事和政府機關(guān)，很多密級較高的信號傳輸也都是以光纖作為基礎(chǔ)的。光纖沒有電磁輻射，是否就安全了？隨著各種竊聽、破壞技術(shù)和設(shè)備的進步與發(fā)展，以及光網(wǎng)絡(luò)遭到攻擊的事件不斷地被報道，光網(wǎng)絡(luò)具有先天安全性的成見正在被逐步地打破。光纖竊聽方法：光纖彎曲法、V型槽切口法、散射法等。三、硬件設(shè)備安全1.硬件設(shè)備的維護和管理2.電磁兼容和電磁輻射的防護3.信息存儲媒體的安全管理四、電源系統(tǒng)安全電源系統(tǒng)指標：供電連續(xù)性、可靠性、穩(wěn)定性和抗干擾性等。風險：因電源系統(tǒng)電壓波動、浪涌電流和突然斷電等導(dǎo)致計算機系統(tǒng)存儲信息丟失、設(shè)備損壞。機房的供配電系統(tǒng)設(shè)計要求3.2路由器的安全技術(shù)一、路由器存在的安全問題及對策安全問題：身份問題、漏洞問題、訪問控制問題、路由協(xié)議問題、配置管理問題等1.路由器口令的設(shè)置口令加密設(shè)置端口登錄口令加密特權(quán)用戶口令防止口令修復(fù)2.網(wǎng)絡(luò)服務(wù)的安全設(shè)置禁止HTTP服務(wù)禁止一些默認狀態(tài)下開啟的服務(wù)關(guān)閉其他一些易受攻擊的端口服務(wù)3.保護內(nèi)部網(wǎng)絡(luò)lP地址利用路由器的網(wǎng)絡(luò)地址轉(zhuǎn)換隱藏內(nèi)部地址利用地址解析協(xié)議防止盜用內(nèi)部IP地址4.利用訪問控制列表有效防范網(wǎng)絡(luò)攻擊利用ACL禁止ping相關(guān)接口利用ACL防止IP地址欺騙利用ACL防止SYN攻擊利用ACL防范網(wǎng)絡(luò)病毒攻擊5.防止包嗅探6.校驗數(shù)據(jù)流路徑的合法性7.為路由器間的協(xié)議交換增加認證功能，提高網(wǎng)絡(luò)安全性二、路由器的安全配置1．路由器口令安全配置2．路由器網(wǎng)絡(luò)服務(wù)的安全設(shè)置3．保護內(nèi)部網(wǎng)絡(luò)IP地址的配置4．利用ACL防范網(wǎng)絡(luò)攻擊的配置5．利用ACL防范病毒攻擊的配置6．利用ACL對HTTP服務(wù)進行服務(wù)控制及權(quán)限管理。3.3交換機的安全技術(shù)一、交換機存在的安全問題及對策1.利用交換機端口安全技術(shù)限制端口接入的隨意性2.利用虛擬局域網(wǎng)技術(shù)限制局域網(wǎng)廣播及ARP攻擊范圍3.強化Trunk端口設(shè)置避免利用封裝協(xié)議缺陷實行VLAN的跳躍攻擊4.使用交換機包過濾技術(shù)增加網(wǎng)絡(luò)交換的安全性二、交換機的安全配置1．路由器登錄口令、加密等安全措施也適用于交換機2．啟用端口的端口安全功能3.4服務(wù)器與操作系統(tǒng)安全一、Windows操作系統(tǒng)安全1.限制用戶數(shù)量2.管理員賬號設(shè)置3.使用安全口令4.使用屏幕保護／屏幕鎖定口令5.安全文件管理6.安裝防病毒軟件7.做好備份盤的安全8.禁止不必要的服務(wù)9.使用IPSec來控制端口訪問10.定期查看日志11.經(jīng)常訪問微軟升級程序站點，了解補丁的最新發(fā)布情況。二、Web服務(wù)器的安全1．明確安全需求2．合理配置內(nèi)容小結(jié)：物理安全的四個方面；路由器安全面臨的問題與對策，安全配置；交換機安全面臨的問題與對策，安全配置；操作系統(tǒng)與Web服務(wù)器的安全。板書提綱：$3.1物理安全一、機房安全技術(shù)二、通信線路安全三、硬件設(shè)備安全四、電源系統(tǒng)安全$3.2路由器的安全技術(shù)一、路由器存在的安全問題及對策二、路由器的安全配置$3.3交換機的安全技術(shù)一、交換機存在的安全問題及對策二、交換機的安全配置$3.4服務(wù)器與操作系統(tǒng)安全一、Windows操作系統(tǒng)安全二、Web服務(wù)器的安全知識擴展：無全程PPT輔助講解案例分析：靜電的危害引入DDoS攻擊的案例，加深學(xué)員認識視頻：美軍竊聽海底電纜視頻：美軍竊聽海底光纜案例分析：電磁兼容性不強的危害案例分析：電磁輻射屏蔽不良的危害詳細配置命令實驗課上講述，本節(jié)課不講。作業(yè)、討論題、思考題：作業(yè)：3-4、3-5、3-8拓展：查找相關(guān)資料，介紹物理安全的真實案例及分析教學(xué)反思：《通信網(wǎng)絡(luò)安全與防護》課程教案授課時間2021年3月23日周二3-4節(jié)課次6授課方式（請打√）理論課√討論課□實驗課□習題課□其他□課時安排2授課題目（教學(xué)章、節(jié)或主題）：第四章網(wǎng)絡(luò)攻擊技術(shù)（上）教學(xué)目的、要求（分掌握、熟悉、了解三個層次）：（1）了解網(wǎng)絡(luò)攻擊的基本步驟;（2）熟悉社會工程學(xué)、口令破解、緩沖區(qū)溢出等典型的網(wǎng)絡(luò)攻擊手段;（3）重點掌握緩沖區(qū)溢出的原理；（4）掌握各種攻擊手段的防護措施。教學(xué)重點及難點：重點：緩沖區(qū)溢出攻擊工作原理；難點：緩沖區(qū)溢出攻擊的實施。課堂教學(xué)設(shè)計（含思政）：本次課注重結(jié)合實例講解，穿插介紹著名黑客及事跡，增強教學(xué)趣味性，區(qū)分白帽黑客和黑帽黑客，引導(dǎo)學(xué)員建立對黑客行為的正確認識；注重引導(dǎo)式教學(xué)，如溢出攻擊的講解以問題牽引，引導(dǎo)學(xué)員分析溢出漏洞成因及溢出攻擊的原理。全程以多媒體為主的信息化教學(xué)手段進行授課，注重加強師生互動，加強理論和實踐融合。思政要素切入點：通過區(qū)分白帽黑客和黑帽黑客，引導(dǎo)學(xué)員正確的網(wǎng)絡(luò)攻防觀；通過“黑客有無國界，黑客技術(shù)有無國界”的討論，引導(dǎo)學(xué)員樹立國家網(wǎng)絡(luò)安全觀；通過對溢出漏洞的分析，引導(dǎo)學(xué)員養(yǎng)成良好的程序設(shè)計習慣和用網(wǎng)習慣。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計回顧與引入：回顧上節(jié)課主要內(nèi)容，通過兩個測試題檢驗學(xué)員對知識點掌握情況；對網(wǎng)絡(luò)攻擊如何分類進行介紹，并明確本次課教學(xué)目標。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點、重點，建議不要寫成講稿）4.1黑客與網(wǎng)絡(luò)攻擊概述4.1.1黑客的基本概念按行為和動機可將黑客劃分為白帽(whiteHat)黑客和黑帽(BlackHat)黑客兩類。白帽黑客利用其高超技術(shù)，長期致力于改善計算機及其環(huán)境，不斷尋找系統(tǒng)的脆弱性并公布于眾，促使各大計算機廠商改善產(chǎn)品質(zhì)量，提醒普通用戶系統(tǒng)可能存在的安全隱患。黑帽黑客也稱為Cracker，他們利用掌握的攻擊手段和入侵技術(shù)，非法侵入并破壞計算機系統(tǒng)，從事一些惡意的破壞活動。4.1.2網(wǎng)絡(luò)攻擊的一般流程網(wǎng)絡(luò)攻擊或以劃分為四個階段、八個環(huán)節(jié)。1.踩點“踩點”原意為策劃一項盜竊活動的準備階段，在網(wǎng)絡(luò)攻擊領(lǐng)域，“踩點”是傳統(tǒng)概念的電子化形式。黑客通常采用搜索引擎或各種開放的信息源進行信息搜集。2.掃描掃描的目的是確定目標網(wǎng)絡(luò)范圍內(nèi)哪些系統(tǒng)是“活動”的，以及它們提供哪些服務(wù)，并對目標系統(tǒng)所提供的各種服務(wù)進行評估，以便集中精力在最有希望的途徑上發(fā)動攻擊。掃描采用的主要技術(shù)有Ping掃射、TCP/UDP端口掃描、操作系統(tǒng)檢測以及漏洞檢測。3.獲取訪問權(quán)搜集到目標系統(tǒng)的足夠信息后，下一步要完成的工作是得到目標系統(tǒng)的訪問權(quán)進而完成對目標系統(tǒng)的入侵。對于操作系統(tǒng)采用的主要技術(shù)有破解系統(tǒng)登陸口令、竊聽口令、遠程緩沖區(qū)溢出等。4.提升權(quán)限攻擊者能夠獲得訪問權(quán)限后，就會試圖將普通用戶權(quán)限提升至超級用戶權(quán)限，以便完成對系統(tǒng)的完全控制。權(quán)限提升所采取的技術(shù)主要有通過得到的密碼文件，破解系統(tǒng)上其他用戶名及口令；利用不同操作系統(tǒng)及服務(wù)的漏洞，利用管理員不正確的系統(tǒng)配置等。5.竊取或篡改信息一旦攻擊者得到了系統(tǒng)的完全控制權(quán)，接下來進行的工作對敏感數(shù)據(jù)的篡改、添加、刪除及復(fù)制，并通過對敏感數(shù)據(jù)的分析，為進一步攻擊應(yīng)用系統(tǒng)做準備。6.清除痕跡清除痕跡的主要工作有禁止系統(tǒng)審計、清空事件日志、隱藏作案工具等。7.植入后門或木馬創(chuàng)建后門的主要方法有創(chuàng)建具有特權(quán)用戶權(quán)限的虛假用戶賬號、安裝遠程控制工具、使用木馬程序替換系統(tǒng)程序、安裝監(jiān)控機制及感染啟動文件等。8.拒絕服務(wù)攻擊如果黑客未能成功獲取訪問權(quán)，可以使用精心準備好的漏洞代碼攻擊系統(tǒng)使目標服務(wù)器資源耗盡或資源過載，以至于沒有能力再向外提供服務(wù)。4.2欺騙型攻擊1.社會工程學(xué)的基本概念社會工程學(xué)是一種利用人的弱點如人的本能反應(yīng)、好奇心、信任、貪便宜等弱點進行諸如欺騙等攻擊手段，獲取自身利益的手法。社會工程學(xué)不是一門科學(xué)，因為它不是總能重復(fù)和成功，而且在被攻擊者信息充分的情況下，會自動失效。2．社會工程學(xué)攻擊手段1）打電話請求密碼2）偽造郵件3）釣魚攻擊4）主動提供技術(shù)支持3．社會工程學(xué)攻擊防護措施4.3利用型攻擊4.3.1口令破解1.口令破解方法1）窮舉法2）字典法2．口令破解對象1）破解系統(tǒng)登錄口令2）破解web站點口令3）破解軟件加密口令3．口令破解防范措施4.3.2口令破解1．緩沖區(qū)溢出攻擊基本概念緩沖區(qū)，就是程序運行期間，在內(nèi)存中分配的一段連續(xù)的區(qū)域，用于保存包括字符數(shù)組在內(nèi)的各種數(shù)據(jù)類型；溢出，就是指所填充的數(shù)據(jù)超出了原有緩沖區(qū)的邊界，并且非法占據(jù)了另一段內(nèi)存區(qū)域。緩沖區(qū)溢出攻擊指的是一種系統(tǒng)攻擊的手段，通過向程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達到攻擊的目的。2.緩沖區(qū)溢出漏洞存在的原因程序員編程時，調(diào)用或編寫類似strcpy這樣的函數(shù)時，未限定或檢查參數(shù)的大小，這就是緩沖區(qū)溢出漏洞存在的原因。3.緩沖區(qū)溢出攻擊的原理當攻擊者有機會用大于目標緩沖區(qū)大小的內(nèi)容來向緩沖區(qū)進行填充時，就有可能改寫函數(shù)保存在函數(shù)棧中的返回地址，從而使程序的執(zhí)行流程隨著攻擊者的意圖而轉(zhuǎn)移。也就是說，進程接受了攻擊者的控制，攻擊者可以讓進程改變原來的執(zhí)行流程，去執(zhí)行攻擊者準備好的代碼。4.緩沖區(qū)溢出攻擊的實施緩沖區(qū)溢出攻擊包的基本構(gòu)造如下：內(nèi)容小結(jié)：網(wǎng)絡(luò)攻擊的基本流程：四個環(huán)節(jié)、八個階段；社會工程學(xué)攻擊的概念、主要手段、防范措施；口令破解的兩種方法、三種對象、防范措施；緩沖區(qū)溢出攻擊概念、漏洞成因、原理與實施。板書提綱：$4.1黑客與網(wǎng)絡(luò)攻擊基本概念1.黑客2.網(wǎng)絡(luò)攻擊的一般流程$4.2欺騙型攻擊1.社會工程學(xué)2.社會工程學(xué)攻擊手段$4.3利用型攻擊1.口令破解2.緩沖區(qū)溢出攻擊知識擴展：1．參考教學(xué)資源，總結(jié)分析一到兩種新型攻擊手段。2．了解近年出現(xiàn)的緩沖區(qū)溢出漏洞及造成的后果。全程PPT輔助講解請學(xué)員談?wù)剬诳偷恼J識？引出教學(xué)內(nèi)容穿插介紹史上十大黑客，如比爾蓋茲、喬布斯、李納斯就是白帽，凱文米特尼克就是黑帽。以打開學(xué)校網(wǎng)站首頁做為案例，分析可以獲取的信息結(jié)合實例講解徐玉玉事件結(jié)合實例講解郵箱口令的破解通過分析程序代碼和程序執(zhí)行流程，理解漏洞的成因通過分析案例程序，使學(xué)員理解函數(shù)返回指針的作用啟發(fā)學(xué)員：攻擊如何實施？三個問題：如何找到服務(wù)進程的溢出漏洞？如何知道函數(shù)返回地址存在的位置如何執(zhí)行相應(yīng)的攻擊代碼？作業(yè)、討論題、思考題：作業(yè)：4-1、4-3、4-4討論：黑客有無國界，黑客技術(shù)有無國界。課堂教學(xué)后記：（課堂教學(xué)反思、課堂優(yōu)化設(shè)計構(gòu)想等內(nèi)容，必須手寫）《通信網(wǎng)絡(luò)安全與防護》課程教案授課時間年月日周節(jié)課次7授課方式（請打√）理論課√討論課□實驗課□習題課□其他□課時安排2授課題目（教學(xué)章、節(jié)或主題）：第四章網(wǎng)絡(luò)攻擊技術(shù)（下）教學(xué)目的、要求（分掌握、熟悉、了解三個層次）：（1）掌握木馬的工作原理與工作過程;（2）熟悉SQL注入攻擊的原理與防范方法;（3）掌握DoS攻擊的常用技術(shù)，掌握DDoS的組織過程；（4）了解高級可持續(xù)威脅的基本概念、攻擊過程。教學(xué)重點及難點：重點：木馬與DoS工作原理；難點：木馬的傳播方法。課堂教學(xué)設(shè)計（含思政）：本次課針對木馬采用問題剖析、層層遞進的教學(xué)方法，針對DoS攻擊突出重點知識講解，略講早期技術(shù)，精講現(xiàn)用技術(shù)，教學(xué)中引導(dǎo)學(xué)員結(jié)合自己平時的認知對照學(xué)習，加強師生互動。思政要素切入點：通過震網(wǎng)病毒等實際案例的介紹，使學(xué)生認識到當前網(wǎng)絡(luò)空間斗爭的復(fù)雜性，從更加透徹的理解習主席關(guān)于網(wǎng)絡(luò)安全的重要論斷和講話精神，養(yǎng)成日常管網(wǎng)用網(wǎng)嚴謹細致的工作習慣，促進職業(yè)素養(yǎng)提高。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計回顧與引入：回顧上節(jié)課主要內(nèi)容，通過兩個測試題檢驗學(xué)員對知識點掌握情況；對本次課的主要內(nèi)容進行介紹，并明確本次課教學(xué)目標。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點、重點，建議不要寫成講稿）4.3利用型攻擊4.3.3木馬病毒1．木馬的基本概念木馬從本質(zhì)上而言就是一對網(wǎng)絡(luò)進程，其中一個運行在受害者主機上，稱為服務(wù)端；另一個運行在攻擊者主機上，稱為控制端。攻擊者通過控制端與受害者服務(wù)端進行網(wǎng)絡(luò)通信，達到遠程控制或其它目的。通常我們說的木馬指的是木馬服務(wù)端程序，它具有以下兩個典型特征：一是隱蔽性：木馬程序是隱藏的，沒有運行窗體，用戶難以察覺；二是非授權(quán)性：即木馬程序執(zhí)行的所有功能都不是管理員允許的，是非授權(quán)的；2．木馬的工作原理典型木馬的工作過程:1）功能機制木馬的典型功能包括：一是遠程控制功能。像經(jīng)典的冰河、灰鴿子等木馬都實現(xiàn)了遠程控制功能。二是文件竊取功能。木馬在受害者主機按照預(yù)置參數(shù)進行搜索，將找到的文件發(fā)送到指定的郵箱或上載到指定的站點位置。三是執(zhí)行預(yù)置的如破壞、網(wǎng)絡(luò)攻擊等特定功能。例如“僵尸”程序，可用于完成拒絕服務(wù)攻擊。2）傳播機制病毒式傳播網(wǎng)頁掛馬欺騙下載文件捆綁主動攻擊3）啟動機制4）連接機制正向連接反彈式連接無連接3．木馬防范技術(shù)4.3.4SQL注入攻擊SQL-StructuredQueryLanguage,結(jié)構(gòu)化查詢語言。SQL注入即是指攻擊者通過在應(yīng)用程序中預(yù)先定義好的查詢語句結(jié)尾加上額外的SQL語句元素，欺騙數(shù)據(jù)庫服務(wù)器執(zhí)行非授權(quán)的任意查詢。防止SQL注入四種方法：(1)在服務(wù)端正式處理之前對提交數(shù)據(jù)的合法性進行檢查；(2)封裝客戶端提交信息；(3)替換或刪除敏感字符/字符串；(4)屏蔽出錯信息。4.4DoS與DDoS拒絕服務(wù)攻擊DoS（DenialofService），凡是造成目標計算機拒絕提供服務(wù)的攻擊都稱為DoS攻擊，其目的是使目標計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)。1．DoS攻擊技術(shù)1）早期的一些DoS攻擊手段2）SYNFlood3）Smurf攻擊2．DDoS攻擊DDoS采取的仍然是DOS技術(shù)，只不過增加了攻擊主機。4.5APT課下自學(xué)。內(nèi)容小結(jié)：木馬的定義、本質(zhì)、工作過程、工作原理；SQL注入攻擊的原理、防范措施；DoS攻擊的原理、常用技術(shù)；DDoS攻擊的組織方式、防范措施。板書提綱：$4.3利用型攻擊三、特洛伊木馬1.概述定義、本質(zhì)、特征2.木馬的工作原理功能機制傳播機制啟動機制連接機制四、SQL注入攻擊1.工作原理2.防范措施$4.4DoS與DDoS1.DoS攻擊技術(shù)2.DDoS攻擊知識擴展：APT的基本概念及攻擊過程全程PPT輔助講解請學(xué)員談?wù)剬δ抉R的認識是什么？引出教學(xué)內(nèi)容內(nèi)容重點，用時約40分鐘注重結(jié)合實例剖析網(wǎng)絡(luò)上通信的原理，回顧套接字、端口等運輸層重要概念。針對Web的攻擊是當前網(wǎng)絡(luò)攻擊的重點，補充教學(xué)內(nèi)容，引導(dǎo)學(xué)員了解基本原理。引入DDoS攻擊的案例，加深學(xué)員認識針對最新的利用物聯(lián)網(wǎng)設(shè)備的DDoS攻擊進行剖析作業(yè)、討論題、思考題：作業(yè)：4-2、4-7、4-9討論：課堂教學(xué)后記：（課堂教學(xué)反思、課堂優(yōu)化設(shè)計構(gòu)想等內(nèi)容，必須手寫）《通信網(wǎng)絡(luò)安全與防護》課程教案授課時間2021年4月6日周二3-4節(jié)課次8授課方式（請打√）理論課√討論課□實驗課□習題課□其他□課時安排2授課題目（教學(xué)章、節(jié)或主題）：第五章網(wǎng)絡(luò)防護技術(shù)（上）教學(xué)目的、要求（分掌握、熟悉、了解三個層次）：（1）掌握防火墻的基本概念、優(yōu)缺點;（2）重點掌握防火墻的三種實現(xiàn)技術(shù)，熟悉防火墻安全規(guī)則的配置;（3）了解網(wǎng)絡(luò)安全隔離的基本概念，熟悉網(wǎng)閘的工作原理。教學(xué)重點及難點：重點：防火墻的實現(xiàn)技術(shù)；難點：防火墻規(guī)則的配置。課堂教學(xué)設(shè)計（含思政）：本次課教學(xué)中注重運用對比分析、實例講解的教學(xué)方法，對比分析防火墻與網(wǎng)絡(luò)隔離技術(shù)的異同，在防火墻規(guī)則設(shè)計時結(jié)合實例講解，教學(xué)中突出防火墻實現(xiàn)技術(shù)及規(guī)則配置這一教學(xué)重點。教學(xué)中注重技術(shù)與應(yīng)用結(jié)合，介紹軍事網(wǎng)絡(luò)中的防火墻與網(wǎng)絡(luò)隔離系統(tǒng)裝備及應(yīng)用。教學(xué)中注重與學(xué)員的教學(xué)互動，引導(dǎo)學(xué)員結(jié)合自己平時的認知對照學(xué)習。思政要素切入點：通過防火墻技術(shù)的發(fā)展，使學(xué)生認識到網(wǎng)絡(luò)攻防對抗的動態(tài)性，增強整體防護意識，養(yǎng)成日常管網(wǎng)用網(wǎng)嚴謹細致的工作習慣，促進職業(yè)素養(yǎng)提高。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計回顧與引入：回顧第四章網(wǎng)絡(luò)攻擊技術(shù)的主要內(nèi)容，通過三個測試題檢驗學(xué)員對知識點掌握情況；對網(wǎng)絡(luò)防護的主要內(nèi)容進行介紹，并明確本節(jié)課教學(xué)目標。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點、重點，建議不要寫成講稿）5.1防火墻技術(shù)5.1.1防火墻概述1．防火墻基本概念防火墻是在信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)之間，通過預(yù)定義的安全策略，對內(nèi)外網(wǎng)通信強制實施訪問控制的安全應(yīng)用設(shè)備。2．防火墻的優(yōu)點采用防火墻保護內(nèi)部網(wǎng)絡(luò)有以下優(yōu)點：1）防火墻可以保護網(wǎng)絡(luò)中脆弱的服務(wù)2）防火墻允許網(wǎng)絡(luò)管理員定義中心“扼制點”抵抗非法訪問3）防火墻可以增強保密性，強化私有權(quán)4）采用NAT的防火墻可以節(jié)約地址資源5）防火墻可以方便的進行審計和告警3．防火墻的缺點雖然防火墻可以提高內(nèi)網(wǎng)的安全性，是網(wǎng)絡(luò)安全體系中極為重要的一環(huán)，但不能因為有了防火墻就可以高枕無憂。因為防火墻也有一些缺陷和不足，主要體現(xiàn)在以下幾點：1）防火墻無法防護內(nèi)部網(wǎng)用戶的攻擊2）防火墻無法防護病毒，也無法抵御數(shù)據(jù)驅(qū)動型的攻擊3）防火墻不能防范不通過它的攻擊4）防火墻不能防備新的網(wǎng)絡(luò)安全問題5.1.2防火墻的常用技術(shù)防火墻的主要技術(shù)包括包過濾、應(yīng)用代理和狀態(tài)檢測技術(shù)。1．包過濾技術(shù)采用包過濾技術(shù)的防火墻稱為包過濾型防火墻，因為它工作在網(wǎng)絡(luò)層，又叫網(wǎng)絡(luò)級防火墻。包過濾防火墻可以通過檢查每個包的源IP地址、目的IP地址、運輸層端口等信息來決定是否允許此數(shù)據(jù)包通過。包過濾的工作過程如下。2．應(yīng)用代理應(yīng)用代理工作在網(wǎng)絡(luò)的應(yīng)用層，其實質(zhì)是把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間直接進行的業(yè)務(wù)由代理接管。應(yīng)用代理防火墻能夠完全控制網(wǎng)絡(luò)信息的交換，控制會話過程，具有較高的安全性。其缺點主要表現(xiàn)在：1）軟件實現(xiàn)限制了處理速度，易于遭受拒絕服務(wù)攻擊；2）需要針對每一種網(wǎng)絡(luò)服務(wù)開發(fā)應(yīng)用層代理，開發(fā)周期長，而且升級較困難。3．狀態(tài)檢測技術(shù)狀態(tài)檢測又稱動態(tài)包過濾，是在傳統(tǒng)包過濾上的功能擴展。狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。狀態(tài)檢測技術(shù)檢查的項目除了傳統(tǒng)的包過濾技術(shù)檢查的IP地址與端口號以外，還需要檢查連接狀態(tài)與上下文信息。5.1.3防火墻的功能性能分析1．功能指標衡量防火墻的基本功能指標包括防火墻提供的接入方式、安全區(qū)劃分、訪問控制功能。支持不同接入方式防火墻提供的接入方式包括透明接入、路由或NAT接入及混合接入三種接入方式。2）安全區(qū)劃分3）訪問控制功能2．性能指標防火墻的性能指標：并發(fā)連接數(shù)、吞吐量、時延等。5.3安全隔離技術(shù)實際工作中，我們經(jīng)常會面臨在不同安全等級網(wǎng)絡(luò)間的數(shù)據(jù)交換需求，傳統(tǒng)的做法是采用“人工拷盤”，這種解決方案可以實現(xiàn)網(wǎng)絡(luò)的安全隔離，但數(shù)據(jù)交換通過人工來實現(xiàn)，工作效率低；且安全性完全依賴于人的因素，可靠性無法保證。1．安全隔離的基本概念安全隔離是指把兩個或兩個以上可路由的網(wǎng)絡(luò)（如TCP/IP）通過不可路由的協(xié)議進行數(shù)據(jù)交換而達到隔離目的。目前，在我國，網(wǎng)閘是一種廣泛使用的安全隔離產(chǎn)品。不同生產(chǎn)廠商，又稱之為安全隔離網(wǎng)閘、物理隔離網(wǎng)閘、安全隔離與信息交換系統(tǒng)等，這些產(chǎn)品都是為了在確保安全的前提下實現(xiàn)有限的數(shù)據(jù)交流。2．網(wǎng)閘的工作原理1）網(wǎng)閘的結(jié)構(gòu)通常，網(wǎng)閘內(nèi)部采用“2+1”模塊結(jié)構(gòu)設(shè)計，即包括外網(wǎng)主機模塊、內(nèi)網(wǎng)主機模塊和隔離交換模塊。2）網(wǎng)閘的工作過程3．網(wǎng)閘的應(yīng)用場景不同的涉密網(wǎng)絡(luò)之間；同一涉密網(wǎng)絡(luò)的不同安全域之間；與Internet物理隔離的網(wǎng)絡(luò)與秘密級涉密網(wǎng)絡(luò)之間；未與涉密網(wǎng)絡(luò)連接的網(wǎng)絡(luò)與Internet之間內(nèi)容小結(jié)：防火墻的定義、功能與不足防火墻的主要技術(shù)防火墻的功能與性能；網(wǎng)閘的基本概念、結(jié)構(gòu)、工作原理、應(yīng)用場景。板書提綱：$5.1防火墻一、防火墻概述1．基本概念2．優(yōu)缺點二、防火墻的常用技術(shù)1．包過濾技術(shù)2．應(yīng)用代理3．狀態(tài)檢測技術(shù)三、防火墻的功能性能1．功能指標：接入方式、安全區(qū)劃分、訪問控制2．性能指標：并發(fā)連接數(shù)、吞吐量、時延$5.3安全隔離技術(shù)1．基本概念2．網(wǎng)閘工作原理3．網(wǎng)閘應(yīng)用場景知識擴展：了解指揮專的防火墻與安全隔離系統(tǒng)全程PPT輔助講解請學(xué)員談?wù)勊私獾木W(wǎng)絡(luò)安全防護手段有哪些？引出教學(xué)內(nèi)容對照實例，講解防火墻規(guī)則的配置，強調(diào)防火墻規(guī)則是有順序的結(jié)合實例講解代理工程過程。問題：如何在不同安全等級的網(wǎng)絡(luò)間進行信息交換？如從學(xué)校辦公專網(wǎng)拷貝文件到校園網(wǎng)。作業(yè)、討論題、思考題：作業(yè)：5-2、5-7、5-8課堂教學(xué)后記：（課堂教學(xué)反思、課堂優(yōu)化設(shè)計構(gòu)想等內(nèi)容，必須手寫）《通信網(wǎng)絡(luò)安全與防護》課程教案授課時間2021年4月8日周四1-2節(jié)課次9授課方式（請打√）理論課√討論課□實驗課□習題課□其他□課時安排2授課題目（教學(xué)章、節(jié)或主題）：第五章網(wǎng)絡(luò)防護技術(shù)（下）教學(xué)目的、要求（分掌握、熟悉、了解三個層次）：（1）掌握入侵檢測系統(tǒng)的基本概念，熟悉入侵檢測系統(tǒng)的體系結(jié)構(gòu);（2）掌握入侵檢測系統(tǒng)的檢測方法;（3）掌握蜜罐與蜜網(wǎng)基本概念，熟悉蜜罐的分類，了解蜜罐的搭建方法。教學(xué)重點及難點：重點：入侵檢測系統(tǒng)的檢測分析方法；難點：木馬的傳播方法。課堂教學(xué)設(shè)計（含思政）：本次課教學(xué)中注重運用對比分析、實例講解的教學(xué)方法，對比分析入侵檢測系統(tǒng)與蜜罐技術(shù)在攻擊檢測技術(shù)及結(jié)果運用中的差別，加深學(xué)員對知識的理解；在講解入侵檢測規(guī)則時，采用實例講解，使抽象的問題直觀化。教學(xué)中注重技術(shù)與應(yīng)用結(jié)合，介紹軍事網(wǎng)絡(luò)中的入侵檢測系統(tǒng)裝備及應(yīng)用。教學(xué)中注重與學(xué)員的教學(xué)互動，引導(dǎo)學(xué)員結(jié)合自己平時的認知對照學(xué)習。思政要素切入點：通過對入侵檢測技術(shù)與蜜罐技術(shù)的講解，使學(xué)生認識到網(wǎng)絡(luò)攻防對抗的動態(tài)性，增強整體防護意識，養(yǎng)成日常管網(wǎng)用網(wǎng)嚴謹細致的工作習慣，促進職業(yè)素養(yǎng)提高。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計回顧與引入：回顧上節(jié)課主要內(nèi)容，通過三個測試題檢驗學(xué)員對知識點掌握情況；對本次課的主要內(nèi)容進行介紹，并明確本次課教學(xué)目標。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點、重點，建議不要寫成講稿）5.2入侵檢測系統(tǒng)一、入侵檢測系統(tǒng)基本概念入侵（Intrusion）：是指對任何企圖危及系統(tǒng)及資源的完整性、機密性和可用性的活動。入侵檢測（IntrusionDetection）即對入侵行為的發(fā)覺，是指通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)、其它網(wǎng)絡(luò)上可獲得的信息及計算機系統(tǒng)中關(guān)鍵點的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）：即進行入侵檢測的軟件或硬件的組合。1.入侵檢測的發(fā)展歷史和發(fā)展趨勢誕生、發(fā)展歷程、發(fā)展趨勢2.入侵檢測的類型1）基于主機的入侵檢測系統(tǒng)（Host-BasedIDS,簡稱HIDS）2）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（Network-BasedIDS,簡稱NIDS）3）分布式入侵檢測系統(tǒng)（DistributedIDS,簡稱DIDS）二、入侵檢測系統(tǒng)的體系結(jié)構(gòu)1．體系結(jié)構(gòu)的演變過程2．通用入侵檢測框架3.現(xiàn)有IDS體系結(jié)構(gòu)的局限性三、入侵檢測系統(tǒng)的檢測方法1．基于異常的檢測分析方法異常檢測是目前入侵檢測系統(tǒng)分析方法研究的重點，其特點是通過對系統(tǒng)異常行為的檢測，可以歸結(jié)出未知攻擊。異常檢測的關(guān)鍵問題在于正常使用模型的建立，以及如何通過正常使用模型對當前的系統(tǒng)行為進行比較，從而判斷出與正常模型的偏離程度。常用的異常檢測方法有：1）基于統(tǒng)計方法的異常檢測2）基于數(shù)據(jù)挖掘技術(shù)的異常檢測3）基于神經(jīng)網(wǎng)絡(luò)的異常檢測2．基于誤用的檢測分析方法誤用（Misuse）：指“可以用某種規(guī)則、方式、模型表示的入侵攻擊或其他安全相關(guān)行為”?；谡`用的入侵檢測（MisuseDetection）技術(shù)：通過某種方式預(yù)先定義入侵行為，然后監(jiān)視系統(tǒng)的運行，井根據(jù)所建立的這種入侵模式來檢測入侵，并從中找出符合預(yù)先定義規(guī)則的入侵行為。3.常用的誤用檢測技術(shù)1）模式匹配例如協(xié)議匹配、字符串匹配、長度匹配、累積匹配或增量匹配等；2）協(xié)議分析技術(shù)將協(xié)議分析與模式匹配相結(jié)合，可以獲得更高的效率和更精確的結(jié)果。5.4蜜罐與蜜網(wǎng)一、蜜罐的基本概念蜜罐（honeypot）是一種價值在于被探測、攻擊、破壞的系統(tǒng)，是一種網(wǎng)絡(luò)管理員可以監(jiān)視、觀察攻擊者行為的系統(tǒng)。引入蜜罐的目的：一是分散攻擊者的注意力；二是收集同攻擊和攻擊者有關(guān)的信息。二、蜜罐的關(guān)鍵技術(shù)1．網(wǎng)絡(luò)欺騙技術(shù)2．數(shù)據(jù)控制技術(shù)3．數(shù)據(jù)收集技術(shù)4．報警技術(shù)5．入侵行為重定向技術(shù)三、蜜罐的分類1．從應(yīng)用層面分為產(chǎn)品型蜜罐和研究型蜜罐兩種。2．按交互等級分為低交互、中交互、高交互三種蜜罐。蜜罐主機的一個重要特性就是其交互等級。交互等級：是指攻擊者可以同蜜罐主機所在的操作系統(tǒng)的交互程度。四、蜜網(wǎng)蜜網(wǎng)（Honeynet）是一個網(wǎng)絡(luò)系統(tǒng)，而并非某臺單一的主機，這一網(wǎng)絡(luò)系統(tǒng)是隱藏在防火墻后面的，所有進出的數(shù)據(jù)都受到關(guān)注、捕獲及控制。這些被捕獲的數(shù)據(jù)可供我們研究分析入侵者們使用的工具、方法及動機。蜜罐與蜜網(wǎng)的實現(xiàn)方法：利用Snort軟件安裝利用HoneyD軟件安裝2021兩會期間，知道創(chuàng)宇提供免費試用“云蜜罐”服務(wù)，云安全已經(jīng)成為新的發(fā)展方向。內(nèi)容小結(jié)：IDS基本概念、發(fā)展歷程、發(fā)展趨勢、體系結(jié)構(gòu)；HIDS、NIDS、DIDS；IDS的體系結(jié)構(gòu)；誤用檢測、異常檢測；蜜罐的價值、蜜罐的關(guān)鍵技術(shù)、蜜罐的分類；板書提綱：$5.2入侵檢測系統(tǒng)一、基本概念分類：HIDS、NIDS、DIDS發(fā)展歷程發(fā)展趨勢二、體系結(jié)構(gòu)CIDF三、入侵檢測分析技術(shù)異常檢測誤用檢測$5.4蜜罐與蜜網(wǎng)基本概念關(guān)鍵技術(shù)分類蜜網(wǎng)知識擴展：課下搜集云安全的進展。全程PPT輔助講解通過設(shè)問防火墻能不能給我們提供安全的保證？引出教學(xué)內(nèi)容類比：病毒查殺的兩種技術(shù)，行為監(jiān)測法與特征代碼法。對比分析：異常檢測是給正常行為給出刻畫，不符合則認為是入侵；誤用檢測是給攻擊行為給出刻畫，符合了則是入侵。結(jié)合實例分析結(jié)合實例分析思考：安全組織是如何辨別不同的黑客組織的呢？作業(yè)、討論題、思考題：作業(yè)：5-4、5-9、5-10拓展作業(yè)：感興趣的同學(xué)可以安裝Hfish蜜罐軟件，在互聯(lián)網(wǎng)中捕獲攻擊信息。課堂教學(xué)后記：（課堂教學(xué)反思、課堂優(yōu)化設(shè)計構(gòu)想等內(nèi)容，必須手寫）《通信網(wǎng)絡(luò)安全與防護》課程教案授課時間年月日周節(jié)課次10授課方式（請打√）理論課√討論課□實驗課□習題課□其他□課時安排2授課題目（教學(xué)章、節(jié)或主題）：第六章網(wǎng)絡(luò)安全協(xié)議（上）教學(xué)目的、要求（分掌握、熟悉、了解三個層次）：（1）熟悉Kerberos與X.509兩種安全認證協(xié)議的實現(xiàn)原理及鑒別過程;（2）掌握IPsec體系結(jié)構(gòu)，熟悉IPsec的實現(xiàn)方式，掌握IPsec的工作模式；（3）熟悉安全關(guān)聯(lián)SA的概念，掌握AH、ESP兩種協(xié)議的安全特性及首部格式；（4）了解IKE的實現(xiàn)方法。教學(xué)重點及難點：重點：AH、ESP兩種協(xié)議；難點：安全關(guān)聯(lián)SA的理解。課堂教學(xué)設(shè)計（含思政）：本次課主要講解典型的安全認證協(xié)議及IPsec協(xié)議，采用問題引入、對比分析等教學(xué)方法，采用多媒體為主的信息化教學(xué)手段進行授課，教學(xué)中注重通過問題或知識回顧的方式啟發(fā)學(xué)員思考，加強師生互動。思政要素切入點：通過協(xié)議設(shè)計的嚴密性（即協(xié)議需要將各種可能的不利因素考慮到），引導(dǎo)學(xué)員注重培養(yǎng)嚴謹細致的工作作風，促進職業(yè)素養(yǎng)提高；通過IPV4協(xié)議存在的安全隱患的分析，引導(dǎo)學(xué)員思考軍事網(wǎng)絡(luò)的安全風險，提高安全意識，增強對從事網(wǎng)絡(luò)安全防護工作重要性的認識。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計回顧與引入：回顧第五章網(wǎng)絡(luò)防護技術(shù)的主要內(nèi)容，通過三個測試題檢驗學(xué)員對知識點掌握情況；對網(wǎng)絡(luò)安全協(xié)議的分類介紹自己的思考，并明確本節(jié)課教學(xué)目標。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點、重點，建議不要寫成講稿）6.1安全認證協(xié)議6.1.1Kerberos認證協(xié)議1．Kerberos概述Kerberos是一種網(wǎng)絡(luò)身份認證協(xié)議，其設(shè)計目的是通過密鑰密碼學(xué)技術(shù)為客戶端/服務(wù)器應(yīng)用提供一種強身份認證的功能（Kerberos這個詞來源于希臘神話中看守冥府大門的三首地獄犬）。2．Kerberos認證過程Kerberos認證的具體流程如下3.Kerberos存在的問題6.1.2X.509認證1.概述X.509協(xié)議是國際電信聯(lián)盟電信標準化部門（ITU-T）制定的數(shù)字證書標準。2.證書的格式3.X.509的鑒別框架6.2安全通信協(xié)議人們很早就開始關(guān)注TCP/IP協(xié)議簇的安全性問題：地址欺騙風險數(shù)據(jù)篡改風險信息泄露風險高安全風險6.2.1IPSec協(xié)議簇1.IPSec設(shè)計目標與體系結(jié)構(gòu)IPsec的設(shè)計目標是為IPv4和IPv6提供可互操作的、高質(zhì)量的、基于密碼學(xué)的安全性保護。它工作在IP層，提供訪問控制、無連接的完整性、數(shù)據(jù)源認證、機密性保護、有限的數(shù)據(jù)流機密性保護以及抗重放攻擊等安全服務(wù)。IPsec的安全體系結(jié)構(gòu)：2.IPSec實現(xiàn)方式與工作模式IPsec可以在主機、路由器(防火墻)或在兩者中同時實施和部署，常用的實現(xiàn)方式：集成方式堆棧中的塊bitS方式線纜中的塊bitW方式工作模式：傳輸模式隧道模式3．IPSec的安全關(guān)聯(lián)1）SA的定義2）SA的單向性3）SA的組合4）SA的兩種類型4.安全關(guān)聯(lián)數(shù)據(jù)庫處理IPsec數(shù)據(jù)流必須維護兩個與SA相關(guān)的數(shù)據(jù)庫：安全策略數(shù)據(jù)庫(SPD)和安全關(guān)聯(lián)數(shù)據(jù)庫(SAD)。5.AH協(xié)議6.ESP協(xié)議7.IKE協(xié)議IKE就是IPsec規(guī)定的一種用于動態(tài)管理和維護SA的協(xié)議。內(nèi)容小結(jié)：Kerberos、X.509IPsec體系SA、SPD、SADAH、ESP、IKE板書提綱：$6.1安全認證協(xié)議一、Kerberos認證協(xié)議1．概述2．鑒別過程3．存在問題二、X.509認證1．概述2．證書格式3．鑒別框架$6.2安全通信協(xié)議一、IPSec1．IPSec設(shè)計目標與體系結(jié)構(gòu)2．IPSec實現(xiàn)方式與工作模式3．IPSec的安全關(guān)聯(lián)4．安全關(guān)聯(lián)數(shù)據(jù)庫5．AH6．ESP7．IKE知識擴展：無全程PPT輔助講解回顧通信網(wǎng)技術(shù)基礎(chǔ)課程中對協(xié)議的定義由學(xué)員類比給出安全協(xié)議的理解什么是安全協(xié)議？引出教學(xué)內(nèi)容對比分析：Kerberos基于對稱密碼體制；X.509基