《通信網(wǎng)絡(luò)安全與防護(hù)》 教案全套 第1-6章 概述 - 網(wǎng)絡(luò)安全協(xié)議

《通信網(wǎng)絡(luò)安全與防護(hù)》課程教案授課時(shí)間年月日周節(jié)課次1授課方式（請(qǐng)打√）理論課√討論課□實(shí)驗(yàn)課□習(xí)題課□其他□課時(shí)安排2授課題目（教學(xué)章、節(jié)或主題）：第一章概述（上）教學(xué)目的、要求（分掌握、熟悉、了解三個(gè)層次）：（1）掌握通信網(wǎng)與網(wǎng)絡(luò)安全的基本概念；（2）了解通信網(wǎng)絡(luò)安全的主要內(nèi)容，掌握網(wǎng)絡(luò)安全需求;（3）掌握通信網(wǎng)絡(luò)安全面臨的主要威脅。教學(xué)重點(diǎn)及難點(diǎn)：重點(diǎn)：通信網(wǎng)絡(luò)安全面臨的主要威脅；課堂教學(xué)設(shè)計(jì)（含思政）：本次課主要是使學(xué)員理解網(wǎng)絡(luò)安全的基本概念，通過(guò)習(xí)主席講話的時(shí)代背景和典型的網(wǎng)絡(luò)安全案例分析，引導(dǎo)學(xué)員理解網(wǎng)絡(luò)安全面臨的威脅，提高對(duì)網(wǎng)絡(luò)安全重要性的認(rèn)識(shí)，自覺(jué)養(yǎng)成用網(wǎng)時(shí)的安全習(xí)慣。教學(xué)采用引導(dǎo)式的教學(xué)方法，以多媒體為主的信息化教學(xué)手段進(jìn)行授課，激發(fā)學(xué)員對(duì)網(wǎng)絡(luò)安全的興趣，引導(dǎo)學(xué)員課下加強(qiáng)自學(xué)，促進(jìn)理論和實(shí)踐融合。思政要素切入點(diǎn)：引導(dǎo)學(xué)員深入理解習(xí)主席“沒(méi)有網(wǎng)絡(luò)安全，就沒(méi)有國(guó)家安全”講話精神，分析講話的時(shí)代背景，體會(huì)講話的現(xiàn)實(shí)意義，引導(dǎo)學(xué)員強(qiáng)化在工作、學(xué)習(xí)中勇于承擔(dān)網(wǎng)絡(luò)安全重任，促進(jìn)職業(yè)素養(yǎng)和崗位能力的提高。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計(jì)回顧與引入：分析網(wǎng)絡(luò)發(fā)展與安全內(nèi)涵發(fā)展的兩條線路，了解課程內(nèi)涵的演進(jìn)過(guò)程，引出課程的教學(xué)內(nèi)容和教學(xué)設(shè)計(jì)，使學(xué)員對(duì)課程教學(xué)體系形成整體框架。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點(diǎn)、重點(diǎn)，建議不要寫(xiě)成講稿）1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全1.1.1通信網(wǎng)絡(luò)的基本概念通信網(wǎng)絡(luò)是指在一定范圍內(nèi)將通信線（電）路、信道終端、復(fù)用終端、交換設(shè)備、入網(wǎng)接口設(shè)備、網(wǎng)絡(luò)監(jiān)控設(shè)備和各種用戶（末端）設(shè)備，按一定方式相互連接，用于達(dá)成通信聯(lián)絡(luò)的網(wǎng)絡(luò)體系。通信網(wǎng)按功能與用途不同，一般可分為傳送網(wǎng)、業(yè)務(wù)網(wǎng)和支撐網(wǎng)等三種。1．傳送網(wǎng)傳送網(wǎng)，是由用戶終端、交換系統(tǒng)、傳輸系統(tǒng)等通信設(shè)備所組成的實(shí)體結(jié)構(gòu)，是通信網(wǎng)的物質(zhì)基礎(chǔ)。2．業(yè)務(wù)網(wǎng)業(yè)務(wù)網(wǎng)是指通信網(wǎng)的服務(wù)功能，包括電話、電報(bào)網(wǎng)等。3．支撐網(wǎng)1.1.2通信網(wǎng)絡(luò)的發(fā)展趨勢(shì)1．?dāng)?shù)字化2．寬帶化3．IP化1.1.3網(wǎng)絡(luò)安全引入：習(xí)主席“沒(méi)有網(wǎng)絡(luò)安全，就沒(méi)有國(guó)家安全”“沒(méi)有信息化，就沒(méi)有現(xiàn)代化”網(wǎng)絡(luò)安全是指信息的產(chǎn)生、存儲(chǔ)、分發(fā)、傳輸、處理全過(guò)程和整個(gè)通信網(wǎng)絡(luò)的信息安全保障。1．網(wǎng)絡(luò)安全的主要研究領(lǐng)域網(wǎng)絡(luò)安全主要包括信息安全、網(wǎng)絡(luò)安全防護(hù)、人員與網(wǎng)絡(luò)設(shè)施安全等內(nèi)容。2. 網(wǎng)絡(luò)安全需求網(wǎng)絡(luò)的安全需求就是要保證在一定的外部環(huán)境下，系統(tǒng)能夠正常、安全地工作所需具備的特性。機(jī)密性完整性可用性可控性信息流保護(hù)1.2網(wǎng)絡(luò)面臨的安全威脅1.2.1物理安全威脅自然災(zāi)害、物理?yè)p壞、設(shè)備故障電磁輻射、乘虛而入、痕跡泄漏操作失誤和疏忽1.2.2操作系統(tǒng)的安全缺陷任何操作系統(tǒng)都自帶一系列的系統(tǒng)應(yīng)用程序，這些應(yīng)用程序中可能因編程時(shí)的不謹(jǐn)慎而存在安全漏洞，而引發(fā)安全風(fēng)險(xiǎn)。CVE（CommonVulnerabilitiesExposures）-公共漏洞和暴露。就像是一個(gè)字典表，為廣泛認(rèn)同的信息安全漏洞或者已經(jīng)暴露出的弱點(diǎn)給出一個(gè)公共的名稱。1.2.3網(wǎng)絡(luò)協(xié)議的安全缺陷由于TCP/IP協(xié)議設(shè)計(jì)之初的目的是使網(wǎng)絡(luò)互連，缺乏安全性上的考慮，因此TCP/IP協(xié)議本身存在一些不安全的地方。如：TCP序列號(hào)預(yù)測(cè)；DNS攻擊；網(wǎng)絡(luò)監(jiān)聽(tīng)（嗅探Sniffer)；ARP病毒；路由協(xié)議缺陷；無(wú)線破解。1.2.4應(yīng)用軟件的安全缺陷應(yīng)用軟件是運(yùn)行在操作系統(tǒng)之上的應(yīng)用程序，如MicrosoftOffice、InternetExplorer等。軟件實(shí)現(xiàn)缺陷是由于程序員在編程時(shí)沒(méi)有考慮周全而造成的。2019年，CNVD收錄漏洞10487個(gè)。1.2.5用戶使用中的安全缺陷系統(tǒng)和網(wǎng)絡(luò)是由用戶（管理員）來(lái)操作的，由于用戶（管理員）缺乏安全知識(shí)，在使用和維護(hù)系統(tǒng)或網(wǎng)絡(luò)時(shí)給攻擊者提供了可乘之機(jī)是常見(jiàn)的安全問(wèn)題。用戶使用的缺陷體現(xiàn)在以下幾個(gè)方面：密碼易于被破解軟件使用的錯(cuò)誤系統(tǒng)備份不完整1.2.6惡意代碼惡意代碼則完全是人為創(chuàng)造出來(lái)，對(duì)網(wǎng)絡(luò)造成的威脅。1.計(jì)算機(jī)病毒（computervirus）2.計(jì)算機(jī)蠕蟲(chóng)（computerworm）3.特洛伊木馬（Trojanhorse）4.灰色軟件內(nèi)容小結(jié)：請(qǐng)同學(xué)們總結(jié)：1）本節(jié)課的關(guān)鍵詞；2）自己最直觀的感受；3）課下準(zhǔn)備采取什么行動(dòng)；4）有無(wú)問(wèn)題需要與教員溝通。板書(shū)提綱：$1.1通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全一、通信網(wǎng)絡(luò)的基本概念1.傳送網(wǎng)2.業(yè)務(wù)網(wǎng)3.支撐網(wǎng)二、通信網(wǎng)的發(fā)展趨勢(shì)數(shù)字化寬帶化IP化三、通信網(wǎng)絡(luò)安全1.研究?jī)?nèi)容2.安全需求機(jī)密性、完整性、可用性、可控性、信息流保護(hù)$1.2網(wǎng)絡(luò)安全面臨的安全威脅物理安全威脅；操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、應(yīng)用軟件的實(shí)現(xiàn)缺陷；用戶使用中的缺陷；惡意代碼知識(shí)擴(kuò)展：課下了解勒索軟件、羊毛黨、智商稅等名詞的含義全程PPT輔助講解課程設(shè)計(jì)：總結(jié)“網(wǎng)絡(luò)安全”內(nèi)涵演化過(guò)程通信安全信息安全計(jì)算機(jī)安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)空間安全引導(dǎo)學(xué)員結(jié)合自身認(rèn)識(shí)，理解三者之間的關(guān)聯(lián)。思政點(diǎn)：結(jié)合時(shí)代背景，介紹“震網(wǎng)”“斯諾登”“永恒之藍(lán)”等網(wǎng)絡(luò)安全事件；引導(dǎo)學(xué)員深入理解講話精神，結(jié)合學(xué)習(xí)及以后工作崗位，強(qiáng)化在網(wǎng)絡(luò)安全中的使命擔(dān)當(dāng)，加強(qiáng)學(xué)習(xí)，為軍事網(wǎng)絡(luò)安全貢獻(xiàn)力量。補(bǔ)充：2021年我國(guó)互聯(lián)網(wǎng)發(fā)展報(bào)告及網(wǎng)絡(luò)安全形勢(shì)分析報(bào)告。舉例：因操作系統(tǒng)漏洞發(fā)生過(guò)的安全事件CVE-2017-8464（Windows系統(tǒng)在解析快捷方式時(shí)存在遠(yuǎn)程執(zhí)行任意代碼的高危漏洞，黑客可以通過(guò)U盤(pán)、網(wǎng)絡(luò)共享等途徑觸發(fā)漏洞，完全控制用戶系統(tǒng)，安全風(fēng)險(xiǎn)高危）著重對(duì)網(wǎng)絡(luò)監(jiān)聽(tīng)和ARP病毒進(jìn)行講解。請(qǐng)同學(xué)們反思，自己工作學(xué)習(xí)生活中使用網(wǎng)絡(luò)時(shí)存在哪些不安全的操作？作業(yè)、討論題、思考題：作業(yè)：1-02、1-05、1-06討論題：圍繞深刻理解習(xí)主席指出的“沒(méi)有網(wǎng)絡(luò)安全，就沒(méi)有國(guó)家安全”談?wù)務(wù)J識(shí)課堂教學(xué)后記：（課堂教學(xué)反思、課堂優(yōu)化設(shè)計(jì)構(gòu)想等內(nèi)容，必須手寫(xiě)）《通信網(wǎng)絡(luò)安全與防護(hù)》課程教案授課時(shí)間年月日周節(jié)課次2授課方式（請(qǐng)打√）理論課√討論課□實(shí)驗(yàn)課□習(xí)題課□其他□課時(shí)安排2授課題目（教學(xué)章、節(jié)或主題）：第一章概述（下）教學(xué)目的、要求（分掌握、熟悉、了解三個(gè)層次）：（1）熟悉網(wǎng)絡(luò)安全體系結(jié)構(gòu)的基本概念;（2）掌握ISO7498-2標(biāo)準(zhǔn)中五種安全服務(wù)與八種安全機(jī)制;（3）掌握PDRR網(wǎng)絡(luò)安全模型，熟悉防護(hù)的手段；（4）了解網(wǎng)絡(luò)基本原則。教學(xué)重點(diǎn)及難點(diǎn)：重點(diǎn)：網(wǎng)絡(luò)安全體系結(jié)構(gòu)；課堂教學(xué)設(shè)計(jì)（含思政）：本次課通過(guò)與學(xué)員掌握的網(wǎng)絡(luò)體系結(jié)構(gòu)概念的關(guān)聯(lián)分析，介紹網(wǎng)絡(luò)安全體系結(jié)構(gòu)，使學(xué)員理解安全服務(wù)與安全機(jī)制；通過(guò)對(duì)PDRR模型的介紹，使學(xué)員理解網(wǎng)絡(luò)防護(hù)的動(dòng)態(tài)性，并掌握防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)各個(gè)環(huán)節(jié)的主要工作。教學(xué)采用以多媒體為主的信息化教學(xué)手段進(jìn)行授課，激發(fā)學(xué)員對(duì)網(wǎng)絡(luò)安全的興趣，引導(dǎo)學(xué)員課下加強(qiáng)自學(xué)，促進(jìn)理論和實(shí)踐融合。思政要素切入點(diǎn)：一是結(jié)合軍事網(wǎng)絡(luò)安全防護(hù)體系對(duì)照講解，加深學(xué)員對(duì)本職崗位的認(rèn)識(shí)，促進(jìn)崗位能力提高；二是結(jié)合對(duì)我國(guó)新近出臺(tái)的“等保2.0”標(biāo)準(zhǔn)體系的介紹，增進(jìn)學(xué)員對(duì)行業(yè)發(fā)展的了解，促進(jìn)學(xué)員職業(yè)素養(yǎng)的養(yǎng)成。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計(jì)回顧與引入：回顧上節(jié)課主要內(nèi)容，通過(guò)兩個(gè)測(cè)試題檢驗(yàn)學(xué)員對(duì)知識(shí)點(diǎn)掌握情況；回顧網(wǎng)絡(luò)體系結(jié)構(gòu)的概念，引出網(wǎng)絡(luò)安全體系結(jié)構(gòu)。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點(diǎn)、重點(diǎn)，建議不要寫(xiě)成講稿）1.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.3.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)的相關(guān)概念網(wǎng)絡(luò)安全體系結(jié)構(gòu)是網(wǎng)絡(luò)安全最高層的抽象描述，它從系統(tǒng)化的角度去理解安全問(wèn)題的解決方案，對(duì)研究、實(shí)現(xiàn)和管理網(wǎng)絡(luò)安全的工作有全局指導(dǎo)的作用，對(duì)于網(wǎng)絡(luò)安全的理解、設(shè)計(jì)、實(shí)現(xiàn)和管理有著重要的意義。OSI安全體系結(jié)構(gòu)主要包括三部分內(nèi)容：安全服務(wù)：一個(gè)系統(tǒng)各功能部件所提供的安全功能的總和。安全機(jī)制：指安全服務(wù)的實(shí)現(xiàn)機(jī)制，一種安全服務(wù)可以由多種安全機(jī)制來(lái)實(shí)現(xiàn)，一種安全機(jī)制也可以為多種安全服務(wù)所用。安全管理：包括兩方面的內(nèi)容，一是安全的管理，網(wǎng)絡(luò)和系統(tǒng)中各種安全服務(wù)和安全機(jī)制的管理，如認(rèn)證或加密服務(wù)的激活，密鑰等參數(shù)的分配、更新等；二是管理的安全，是指各種管理活動(dòng)自身的安全，如管理系統(tǒng)本身和管理信息的安全。1．安全服務(wù)：五種安全服務(wù)2．安全機(jī)制：八種安全機(jī)制3．安全服務(wù)與安全機(jī)制的關(guān)系1.3.2網(wǎng)絡(luò)安全體系結(jié)構(gòu)的三維框架結(jié)構(gòu)介紹網(wǎng)絡(luò)安全體系的三維框架結(jié)構(gòu)，便于指導(dǎo)具體的系統(tǒng)實(shí)施。1.4PDRR網(wǎng)絡(luò)安全模型PDRR安全模型將網(wǎng)絡(luò)安全劃分為防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)四個(gè)動(dòng)態(tài)往復(fù)的周期。在整體安全策略的控制和指導(dǎo)下，綜合運(yùn)用防護(hù)工具（如防火墻、加密機(jī)、防病毒等手段）的同時(shí)，利用檢測(cè)工具（如隱患掃描、入侵檢測(cè)等）了解和評(píng)估系統(tǒng)的安全狀態(tài)，通過(guò)適當(dāng)?shù)陌踩憫?yīng)，將系統(tǒng)保持或恢復(fù)到“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài)。1.4.1防護(hù)防護(hù)是PDRR模型中的最重要的部分，防護(hù)是阻止攻擊可以發(fā)生的條件產(chǎn)生，讓攻擊者無(wú)法順利的入侵。防護(hù)可以分為三大類：系統(tǒng)安全防護(hù)、網(wǎng)絡(luò)安全防護(hù)和信息安全防護(hù)。防護(hù)主要包括以下幾種措施：（1）風(fēng)險(xiǎn)評(píng)估－－缺陷掃描（2）訪問(wèn)控制和防火墻（3）防病毒軟件與個(gè)人防火墻（4）數(shù)據(jù)備份和歸檔：屬于信息安全防護(hù)類型。（5）使用數(shù)據(jù)加密：信息安全防護(hù)的重要技術(shù)。（6）使用鑒別技術(shù)（7）使用安全通信1.4.2檢測(cè)防護(hù)系統(tǒng)只能阻止大多數(shù)入侵事件的發(fā)生，但不能阻止所有的入侵，特別是利用新的系統(tǒng)缺陷、新的攻擊手段的入侵。因些安全政策的第二個(gè)安全屏障就是檢測(cè)，即如果入侵發(fā)生就檢測(cè)出來(lái)，這個(gè)工具是入侵檢測(cè)系統(tǒng)（IDS，Intrusiondetectionsystem）。IDS是一個(gè)硬件系統(tǒng)或軟件程序，它的功能是檢測(cè)出正在發(fā)生或者已經(jīng)發(fā)生的入侵事件。1.4.3響應(yīng)PDRR模型的第三個(gè)環(huán)節(jié)是響應(yīng)。在一個(gè)大規(guī)模網(wǎng)絡(luò)中，響應(yīng)都是由一個(gè)特殊部門(mén)負(fù)責(zé)，即計(jì)算機(jī)緊急響應(yīng)小組（CERT）。CNCERT/CC是我國(guó)互聯(lián)網(wǎng)應(yīng)急中心，服務(wù)內(nèi)容:事件發(fā)現(xiàn)：依托公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)平臺(tái)開(kāi)展對(duì)基礎(chǔ)信息網(wǎng)絡(luò)、金融證券等重要信息系統(tǒng)、移動(dòng)互聯(lián)ISP等安全事件的自主監(jiān)測(cè)。預(yù)警通報(bào)：實(shí)現(xiàn)網(wǎng)絡(luò)安全威脅的分析預(yù)警、網(wǎng)絡(luò)安全事件情況通報(bào)、宏觀網(wǎng)絡(luò)安全態(tài)勢(shì)分析等。應(yīng)急處置：對(duì)危害較大的事件報(bào)告，及時(shí)響應(yīng)并協(xié)調(diào)處置。測(cè)試評(píng)估：為政府部門(mén)、企事業(yè)單位提供安全測(cè)評(píng)服務(wù)，組織通信網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)制定。1.4.4恢復(fù)恢復(fù)就是把系統(tǒng)恢復(fù)到被攻擊前的狀態(tài)甚至比被攻擊前更安全的狀態(tài)?；謴?fù)包括系統(tǒng)恢復(fù)與數(shù)據(jù)恢復(fù)?，F(xiàn)在流行的是容災(zāi)備份系統(tǒng)。內(nèi)容小結(jié)：網(wǎng)絡(luò)安全體系結(jié)構(gòu)：安全服務(wù)、安全機(jī)制與安全管理五種安全服務(wù)，八種安全機(jī)制；PDRR網(wǎng)絡(luò)安全模型：防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)；防護(hù)的主要措施。板書(shū)提綱：$1.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)一、網(wǎng)絡(luò)安全體系結(jié)構(gòu)的相關(guān)概念1．安全服務(wù)2．安全機(jī)制3．安全管理二、網(wǎng)絡(luò)安全體系的三維框架結(jié)構(gòu)$1.4PDRR網(wǎng)絡(luò)安全模型1．防護(hù)2．檢測(cè)3．響應(yīng)4．恢復(fù)知識(shí)擴(kuò)展：無(wú)全程PPT輔助講解分析網(wǎng)絡(luò)體系結(jié)構(gòu)與網(wǎng)絡(luò)安全體系結(jié)構(gòu)的關(guān)聯(lián)設(shè)問(wèn)：了解了安全體系結(jié)構(gòu)的概念，如何在系統(tǒng)設(shè)計(jì)與實(shí)施時(shí)規(guī)劃安全呢？補(bǔ)充介紹：2019年5月13日，我國(guó)出臺(tái)了信息系統(tǒng)等級(jí)保護(hù)2.0，對(duì)各級(jí)防護(hù)提出了明確要求及評(píng)測(cè)標(biāo)準(zhǔn)。作業(yè)、討論題、思考題：作業(yè)：1-7、1-9討論：圍繞關(guān)于網(wǎng)絡(luò)空間的八個(gè)基本觀點(diǎn)談?wù)勛约旱恼J(rèn)識(shí)課堂教學(xué)后記：（課堂教學(xué)反思、課堂優(yōu)化設(shè)計(jì)構(gòu)想等內(nèi)容，必須手寫(xiě)）《通信網(wǎng)絡(luò)安全與防護(hù)》課程教案授課時(shí)間年月日周節(jié)課次3授課方式（請(qǐng)打√）理論課√討論課□實(shí)驗(yàn)課□習(xí)題課□其他□課時(shí)安排2授課題目（教學(xué)章、節(jié)或主題）：第二章網(wǎng)絡(luò)信息安全（上）教學(xué)目的、要求（分掌握、熟悉、了解三個(gè)層次）：（1）掌握數(shù)據(jù)加密的一般模型和古典加密體制；（2）掌握對(duì)稱密碼體制概念，熟悉DES和AES算法；（3）重點(diǎn)理解非對(duì)稱密碼體制概念及RSA算法；（4）熟悉散列函數(shù)的概念，了解MD5和SHA算法。。教學(xué)重點(diǎn)及難點(diǎn)：重點(diǎn)：密碼系統(tǒng)一般模型、公鑰密鑰體制；難點(diǎn)：RSA算法。課堂教學(xué)設(shè)計(jì)（含思政）：本次課主要是使學(xué)員掌握密碼學(xué)的相關(guān)知識(shí)，通過(guò)理論分析、實(shí)例講解使學(xué)員掌握密碼系統(tǒng)一般模型、古典加密體制、對(duì)稱密碼體制、公鑰密碼體制，熟悉DES、AES、RSA等算法。教學(xué)中注重舉例分析，結(jié)合具體的算法講解；注重啟發(fā)思考，引導(dǎo)學(xué)員分析單表替換的安全性、對(duì)稱體制的難點(diǎn)等問(wèn)題，全程采用以多媒體為主的信息化教學(xué)手段進(jìn)行授課，并引導(dǎo)學(xué)員課下查閱相關(guān)資料。思政要素切入點(diǎn)：通過(guò)“密碼學(xué)的中國(guó)貢獻(xiàn)”課下研討作業(yè)，引導(dǎo)學(xué)員查閱資料，了解王小云、潘建偉院士的研究成果與事跡，用榜樣的力量激發(fā)學(xué)員學(xué)習(xí)熱情，增強(qiáng)自信，強(qiáng)化在工作、學(xué)習(xí)中勇于承擔(dān)安全重任的使命擔(dān)當(dāng)。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計(jì)回顧與引入：回顧第一章主要內(nèi)容，通過(guò)兩個(gè)測(cè)試題檢驗(yàn)學(xué)員對(duì)知識(shí)點(diǎn)掌握情況；對(duì)網(wǎng)絡(luò)信息安全的教學(xué)內(nèi)容進(jìn)行總體介紹，并明確本次課教學(xué)目標(biāo)。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點(diǎn)、重點(diǎn)，建議不要寫(xiě)成講稿）2.1密碼學(xué)與信息加密一、密碼學(xué)概述1．密碼學(xué)基本概念密碼學(xué)是研究如何進(jìn)行密寫(xiě)以及如何非法解密的科學(xué)。基本思想是通過(guò)變換信息的表示形式來(lái)保護(hù)敏感信息，使非授權(quán)者不能了解被保護(hù)信息的內(nèi)容。2．密碼學(xué)的發(fā)展三個(gè)發(fā)展階段每個(gè)發(fā)展階段代表性事件3．密碼系統(tǒng)一般模型密碼學(xué)基本原則：一切秘密寓于密鑰之中。4．密碼分析密碼分析就是在不知道密鑰的情況下，利用數(shù)學(xué)方法破譯密文或找到秘密密鑰。5．現(xiàn)代密碼體制的分類（1）對(duì)稱密碼體制和非對(duì)稱密碼體制（2）分組密碼體制和序列密碼體制（3）確定型密碼體制和概率型密碼體制（4）單向函數(shù)密碼體制和雙向變換密碼體制二、古典加密1．置換加密明文的每個(gè)符號(hào)本身不變，但通過(guò)一定的算法重新排列它們的位置使其相互順序發(fā)生變化。（1）路游法（2）密鑰法2．替換加密明文的順序不變，通過(guò)一定的算法使明文的每個(gè)字母或每組字母由另外一個(gè)或一組字母代替。（1）單表替換（2）多表替換三、對(duì)稱密碼體制算法AES1.DES與IDEADES20世紀(jì)70年代中期IBM公司提出，且被美國(guó)國(guó)家標(biāo)準(zhǔn)局公布為數(shù)據(jù)加密標(biāo)準(zhǔn)的一種分組加密(BlockCipher)算法。DES分組大小為64位，加密或解密密鑰也是64位，但其中有8位是奇偶校驗(yàn)位，不參預(yù)運(yùn)算。國(guó)際數(shù)據(jù)加密算法IDEA由瑞士聯(lián)邦理工學(xué)院XuejiaLai和JamesMassey在1990年提出的。也是一種對(duì)稱分組密碼算法。IDEA密鑰長(zhǎng)度為128位，分組大小為64位。其安全強(qiáng)度要高于DES算法。2.AES的提出DES的密鑰長(zhǎng)度為56比特，安全性受到挑戰(zhàn)，因此需要設(shè)計(jì)一種更安全的算法。Rijndael算法由比利時(shí)的兩個(gè)學(xué)者JoanDaemen和VincentRijmen提出，是一種具有可變分組長(zhǎng)度和可變密鑰長(zhǎng)度的重復(fù)的分組密碼。3.AES算法流程AES加密算法涉及4種操作：字節(jié)替代（SubBytes）行移位（ShiftRows）列混淆（MixColumns）輪密鑰加（AddRoundKey四、公鑰密碼體制與RSA算法1．公鑰密碼體制公開(kāi)密碼體制是20世紀(jì)70年代由Diffie和Hellman等人所提出，它是密碼學(xué)理論的劃時(shí)代突破。公開(kāi)密碼體制修正了密鑰的對(duì)稱性，它一方面，為數(shù)據(jù)的保密性、完整性、真實(shí)性提供了有效方便的技術(shù)。另一方面，科學(xué)地解決了密碼技術(shù)的瓶頸──密鑰的分配問(wèn)題。2．RAS算法流程RSA算法主要包括三個(gè)部分：☆密鑰的生成（1）生成大的素?cái)?shù)p和q，計(jì)算乘積n=p╳q；（2）歐拉函數(shù)Φ(n)=(p-1)╳(q-1)，任意選取整數(shù)e與Φ(n)互質(zhì)，e用做加密密鑰；（3）據(jù)d╳e=1modΦ(n)，確定解密密鑰d；（4）公開(kāi)(e,n)做為加密密鑰，秘密保存d做為解密密鑰?！罴用苓^(guò)程。對(duì)于明文P，加密得密文C=Pemodn?！罱饷苓^(guò)程。對(duì)于密文C，解密得明文P=Cdmodn。除算法本身外，RSA算法中還需注意幾個(gè)環(huán)節(jié)：（1）素?cái)?shù)的產(chǎn)生與檢測(cè)；（采用概率檢測(cè)法）（2）明文的數(shù)字化處理；（3）素?cái)?shù)長(zhǎng)度的考慮（RSA算法的安全性）。3．公鑰密碼體制的使用五、消息摘要算法散列函數(shù)對(duì)明文認(rèn)證和數(shù)字簽名都是非常必要的工具。散列函數(shù)值可以說(shuō)是對(duì)明文的一種“指紋”或是摘要。散列函數(shù)必須滿足下面的條件：散列函數(shù)可以將任意長(zhǎng)度的信息轉(zhuǎn)變?yōu)楣潭ㄩL(zhǎng)度的散列函數(shù)值。對(duì)任意的明文m，散列函數(shù)值h(m)可通過(guò)軟件或硬件很容易的產(chǎn)生。散列函數(shù)逆向運(yùn)算是不可行的。不同的明文，散列函數(shù)值相同的可能性極小，可以忽略。1．MD5算法將任意長(zhǎng)度明文計(jì)算為128比特的散列值，在互聯(lián)網(wǎng)應(yīng)用廣泛。2．SHA算法美國(guó)國(guó)家標(biāo)準(zhǔn)局為配合數(shù)字簽名算法設(shè)計(jì)的消息摘要算法。內(nèi)容小結(jié)：密碼學(xué)的一般模型；現(xiàn)代密碼體制的分類；古典加密體制；對(duì)稱密碼體制AES；公鑰密碼體制RSA報(bào)文摘要算法MD5SHA板書(shū)提綱：$2.1密碼學(xué)與信息加密一、密碼學(xué)概述二、古典加密置換替換三、對(duì)稱密碼體制與AESDES、IDEA、AES四、公鑰密碼體制與RSA五、消息摘要函數(shù)MD5SHA知識(shí)擴(kuò)展：無(wú)全程PPT輔助講解討論：密碼學(xué)的應(yīng)用軍事領(lǐng)域：如“二戰(zhàn)”時(shí)期恩尼格碼、紫密，反例：山本五十六之死思政：保密就是保生命，保密就是保勝利啟發(fā)思考：?jiǎn)伪硖鎿Q的安全性如何？單表替換不能抵抗語(yǔ)言統(tǒng)計(jì)學(xué)分析，密文越長(zhǎng)規(guī)越明顯。因此引入多表替換。45分鐘，課間顯示曾子兵法與現(xiàn)代網(wǎng)絡(luò)用語(yǔ)分析：互聯(lián)網(wǎng)就是一個(gè)巨大的的云計(jì)算平臺(tái)實(shí)例：DESCHALL競(jìng)賽討論：對(duì)稱密碼體制使用中的難點(diǎn)問(wèn)題？密鑰的分配舉例：我們每天都在用消息摘要算法。Windows登錄網(wǎng)絡(luò)應(yīng)用登錄小結(jié)：回顧本次課的主要教學(xué)內(nèi)容，加深學(xué)員對(duì)知識(shí)體系的印象作業(yè)、討論題、思考題：作業(yè)：2-1、2-3、2-5研討：1.密碼學(xué)在軍事通信網(wǎng)絡(luò)中的應(yīng)用2．古典密碼體制是否退出軍事應(yīng)用的歷史舞臺(tái)？3．課下查閱資料，了解王小云、潘建偉院士的主要研究成果和事跡。課堂教學(xué)后記：（課堂教學(xué)反思、課堂優(yōu)化設(shè)計(jì)構(gòu)想等內(nèi)容，必須手寫(xiě)）《通信網(wǎng)絡(luò)安全與防護(hù)》課程教案授課時(shí)間年月日周節(jié)課次4授課方式（請(qǐng)打√）理論課√討論課□實(shí)驗(yàn)課□習(xí)題課□其他□課時(shí)安排2授課題目（教學(xué)章、節(jié)或主題）：第二章網(wǎng)絡(luò)信息安全（下）教學(xué)目的、要求（分掌握、熟悉、了解三個(gè)層次）：（1）熟悉密鑰分配與管理的方法;（2）掌握消息認(rèn)證、身份認(rèn)證、PKI的基本概念，重點(diǎn)掌握數(shù)字簽名的工作過(guò)程及工作原理；（3）了解訪問(wèn)控制策略與機(jī)制，掌握訪問(wèn)控制的工作原理。教學(xué)重點(diǎn)及難點(diǎn)：重點(diǎn)：數(shù)字簽名的工作過(guò)程與工作原理；難點(diǎn)：強(qiáng)制訪問(wèn)控制策略。課堂教學(xué)設(shè)計(jì)（含思政）：本次課采用結(jié)合部隊(duì)裝備講解、結(jié)合實(shí)例講解等教學(xué)方法，如講解密鑰分配時(shí)介紹新型核常機(jī)動(dòng)指揮系統(tǒng)中的密鑰分配裝備運(yùn)用，講解身份認(rèn)證時(shí)結(jié)合生活中的網(wǎng)上銀行、大門(mén)門(mén)禁等實(shí)例，講解數(shù)字簽名時(shí)以作戰(zhàn)命令的傳遞中存在的偽造、篡改、抵賴等威脅為例說(shuō)明數(shù)字簽名的需求。全程采用以多媒體為主的信息化教學(xué)手段進(jìn)行授課，并引導(dǎo)學(xué)員課下查閱相關(guān)資料。思政要素切入點(diǎn)：通過(guò)密鑰分配、認(rèn)證、訪問(wèn)控制在軍事中的應(yīng)用，引導(dǎo)學(xué)員結(jié)合將來(lái)從事的崗位進(jìn)行思考，增強(qiáng)對(duì)信息保密和網(wǎng)絡(luò)防護(hù)重要性認(rèn)識(shí)，提高對(duì)保密、網(wǎng)絡(luò)防護(hù)工作的政治站位，增強(qiáng)使命感。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計(jì)回顧與引入：回顧上節(jié)課主要內(nèi)容，通過(guò)兩個(gè)測(cè)試題檢驗(yàn)學(xué)員對(duì)知識(shí)點(diǎn)掌握情況；對(duì)本節(jié)課的內(nèi)容組織進(jìn)行介紹，并明確本節(jié)課教學(xué)目標(biāo)。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點(diǎn)、重點(diǎn)，建議不要寫(xiě)成講稿）2.2密鑰分配與管理一、密鑰管理概述密鑰的安全十分重要，密鑰的管理問(wèn)題凸顯。密鑰的管理綜合了密鑰的等一系列過(guò)程。所有的工作都圍繞一個(gè)宗旨，即確保使用中的密鑰是安全的。1．密鑰的生成與分配2．密鑰的保護(hù)與存儲(chǔ)3．密鑰的有效性與使用控制二、密鑰的分類根據(jù)密碼系統(tǒng)的類型劃分為對(duì)稱密鑰和公開(kāi)密鑰。根據(jù)密鑰的用途劃分為數(shù)據(jù)會(huì)話密鑰、密鑰加密密鑰、公鑰系統(tǒng)中的私鑰、公鑰系統(tǒng)中的公鑰。根據(jù)密鑰的有效期劃分一次性密鑰和重復(fù)性密鑰。三、密鑰分配1.密鑰分配實(shí)現(xiàn)的基本方法安全的密鑰分配通過(guò)建立安全信道來(lái)實(shí)現(xiàn)。密鑰分配的研究一般解決兩個(gè)問(wèn)題：一是引進(jìn)自動(dòng)分配密鑰機(jī)制；二是盡可能減少系統(tǒng)中駐留的密鑰量?；趯?duì)稱密碼體制的安全信道基于雙鑰密碼體制的安全信道基于量子密碼體制的安全信道2.密鑰分配系統(tǒng)的實(shí)現(xiàn)模式小型網(wǎng)絡(luò)：每?jī)蓚€(gè)用戶之間共享一個(gè)密鑰大型網(wǎng)絡(luò)：采用密鑰中心的方式，可以采用密鑰傳送中心和密鑰分配中心2.3安全認(rèn)證一、消息認(rèn)證消息認(rèn)證一般通過(guò)消息認(rèn)證碼（MessageAuthenticationCode，MAC）實(shí)現(xiàn)，它利用密鑰生成一個(gè)固定長(zhǎng)度的短數(shù)據(jù)塊，并將該數(shù)據(jù)塊附加在消息之后。接收方對(duì)收到的消息用相同的密鑰K進(jìn)行相同的計(jì)算，并得出新的MAC，然后將接收到的MAC與其計(jì)算出的MAC進(jìn)行比較。接收方可以相信消息未被修改接收方可以相信消息來(lái)自真正的發(fā)送方如果消息中含有序列號(hào)，接收方可以相信信息順序是正確的二、數(shù)字簽名數(shù)字簽名以電子方式存儲(chǔ)簽名消息，是在數(shù)字文檔上進(jìn)行身份驗(yàn)證的技術(shù)。數(shù)字簽名必須做到：接收者和第三方都能夠驗(yàn)證文檔來(lái)自簽名者，并且文檔簽名后沒(méi)有被修改，簽名者也不能否認(rèn)對(duì)文檔的簽名。三、身份認(rèn)證從身份認(rèn)證實(shí)現(xiàn)所需條件來(lái)看，身份認(rèn)證技術(shù)分為:單因子認(rèn)證雙（多）因子認(rèn)證依據(jù)認(rèn)證的基本原理劃分，身份認(rèn)證劃分為:靜態(tài)身份認(rèn)證動(dòng)態(tài)身份認(rèn)證四、公鑰基礎(chǔ)設(shè)施1.PKI的定義及組成PKI是一種利用公鑰密碼理論和技術(shù)建立起來(lái)的、提供信息安全服務(wù)的基礎(chǔ)設(shè)施。PKI目的是從技術(shù)上解決網(wǎng)上身份認(rèn)證、電子信息的完整性和不可抵賴性等安全問(wèn)題，為網(wǎng)絡(luò)應(yīng)用（如瀏覽器、電子郵件、電子交易）提供可靠的安全服務(wù)。PKI系統(tǒng)包括6個(gè)部分:證書(shū)機(jī)構(gòu)、注冊(cè)機(jī)構(gòu)、數(shù)字證書(shū)庫(kù)、密鑰備份及恢復(fù)系統(tǒng)、證書(shū)作廢系統(tǒng)、應(yīng)用接口。2.數(shù)字證書(shū)及其應(yīng)用數(shù)字證書(shū)是一個(gè)經(jīng)證書(shū)授權(quán)中心數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的文件。用于在網(wǎng)絡(luò)空間中證明用戶的身份及公鑰信息。2.4訪問(wèn)控制訪問(wèn)控制的實(shí)質(zhì)是對(duì)資源使用的限制，保障授權(quán)用戶能夠獲得所需的資源，同時(shí)又能阻止非授權(quán)用戶使用的安全機(jī)制。一、訪問(wèn)控制策略和機(jī)制訪問(wèn)控制的策略一般分為以下三種。1)自主訪問(wèn)控制(DiscretionaryAccessControl，DAC)：資源的所有者能夠按照自身的意愿授予另一個(gè)實(shí)體訪問(wèn)某些資源的權(quán)限，由此稱為自主訪問(wèn)控制。2)強(qiáng)制訪問(wèn)控制(MandatorilyAccessControl，MAC)：訪問(wèn)某種資源的實(shí)體不能按其自身意愿授予其他實(shí)體訪問(wèn)該資源的權(quán)限，因此稱之為強(qiáng)制訪問(wèn)控制。它根據(jù)用戶安全許可的安全標(biāo)記控制訪問(wèn)。3)基于角色的訪問(wèn)控制(Role-BasedAccessControl，RBAC)：基于系統(tǒng)中用戶的角色和屬于該類角色的訪問(wèn)權(quán)限控制訪問(wèn)。二、自主訪問(wèn)控制自主訪問(wèn)控制通常通過(guò)ACL（訪問(wèn)控制列表）來(lái)實(shí)現(xiàn)，訪問(wèn)控制列表是對(duì)訪問(wèn)控制矩陣的一種分解。三、強(qiáng)制訪問(wèn)控制MAC是一種多級(jí)訪問(wèn)控制策略，主要特點(diǎn)是系統(tǒng)對(duì)訪問(wèn)主體和受控對(duì)象實(shí)施強(qiáng)制訪問(wèn)控制。根據(jù)對(duì)客體資源保護(hù)不同的重點(diǎn)，訪問(wèn)控制策略可以分為兩種。保障信息完整性策略：向上讀、向下寫(xiě)保障信息機(jī)密性策略：向上寫(xiě)、向下讀四、基于角色的訪問(wèn)控制基本思想是將訪問(wèn)許可權(quán)分配給一定的角色，用戶通過(guò)其扮演不同的角色以取得該角色所擁有的訪問(wèn)許可權(quán)，這些用戶往往不是被訪問(wèn)客體信息資源的所有者。角色被定義為與一個(gè)特定活動(dòng)相關(guān)聯(lián)的一組動(dòng)作和責(zé)任。內(nèi)容小結(jié)：密鑰的分配與管理；安全認(rèn)證：消息認(rèn)證、數(shù)字簽名、身份認(rèn)證；公鑰基礎(chǔ)設(shè)施PKI；訪問(wèn)控制：自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制、基于角色的訪問(wèn)控制。板書(shū)提綱：$2.2密鑰的分配與管理一、密鑰管理二、密鑰分類三、密鑰分配$2.3安全認(rèn)證一、消息認(rèn)證二、數(shù)字簽名三、身份認(rèn)證四、公開(kāi)密鑰基礎(chǔ)設(shè)施PKI$2.4訪問(wèn)控制一、自主訪問(wèn)控制二、強(qiáng)制訪問(wèn)控制三、基于角色的訪問(wèn)控制知識(shí)擴(kuò)展：無(wú)全程PPT輔助講解提問(wèn)：現(xiàn)代密碼學(xué)基本原則?引出密鑰分配與管理拓展：新型核常機(jī)動(dòng)指揮系統(tǒng)中的密鑰分發(fā)裝備應(yīng)用思政：引導(dǎo)學(xué)員提高對(duì)信息保密的重視補(bǔ)充：量子密鑰分發(fā)鏈接：墨子號(hào)報(bào)導(dǎo)視頻思考：如何保證通信雙方的身份真實(shí)性？如何保證物理信道和資源不被非法用戶使用？如何防止通信的相關(guān)信息被第三方篡改？思考：公鑰密碼體制是傳遞密鑰的最佳方式，但其前提是確信擁有了對(duì)方的公鑰。如何確信通信雙方獲得了對(duì)方的公鑰呢？反例：宣稱公鑰的中間人攻擊方式舉例：windows操作系統(tǒng)是基于自主訪問(wèn)控制防火墻是基于強(qiáng)制訪問(wèn)控制分析：傳統(tǒng)訪問(wèn)控制的不足作業(yè)、討論題、思考題：作業(yè)：2-11、2-12、2-15討論：訪問(wèn)控制有哪些典型的應(yīng)用場(chǎng)景？采用的是哪種訪問(wèn)控制策略。課堂教學(xué)后記：（課堂教學(xué)反思、課堂優(yōu)化設(shè)計(jì)構(gòu)想等內(nèi)容，必須手寫(xiě)）《通信網(wǎng)絡(luò)安全與防護(hù)》課程教案授課時(shí)間年月日周節(jié)課次5授課方式（請(qǐng)打√）理論課√討論課□實(shí)驗(yàn)課□習(xí)題課□其他□課時(shí)安排2授課題目（教學(xué)章、節(jié)或主題）：第三章網(wǎng)絡(luò)設(shè)備安全教學(xué)目的、要求（分掌握、熟悉、了解三個(gè)層次）：（1）了解網(wǎng)絡(luò)設(shè)備安全的基本概念及安全隱患；（2）熟悉機(jī)房安全、通信線路安全、硬件設(shè)備安全等物理安全措施;（3）掌握交換機(jī)、路由器的安全配置；（4）熟悉服務(wù)器與操作系統(tǒng)安全。教學(xué)重點(diǎn)及難點(diǎn)：重點(diǎn)：物理安全的組成；難點(diǎn)：交換機(jī)、路由器的安全配置。課堂教學(xué)設(shè)計(jì)（含思政）：本次課主要是引導(dǎo)學(xué)員重視物理安全、交換機(jī)與路由器的安全配置、操作系統(tǒng)的安全配置等內(nèi)容，采用引導(dǎo)式的教學(xué)方法，以多媒體為主的信息化教學(xué)手段進(jìn)行授課，針對(duì)學(xué)員都有通信崗位經(jīng)歷的特點(diǎn)，引導(dǎo)學(xué)員結(jié)合單位實(shí)際對(duì)照學(xué)習(xí)，加強(qiáng)師生互動(dòng)，加強(qiáng)理論和實(shí)踐融合。思政要素切入點(diǎn)：通過(guò)國(guó)家安全法規(guī)體系和相關(guān)案例的介紹引導(dǎo)學(xué)員形成嚴(yán)謹(jǐn)細(xì)致的工作習(xí)慣，促進(jìn)職業(yè)素養(yǎng)提高；二是通過(guò)交換機(jī)、路由器安全問(wèn)題的分析，引導(dǎo)學(xué)員提高對(duì)安全防護(hù)工作的重視。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計(jì)回顧與引入：回顧網(wǎng)絡(luò)信息安全的主要內(nèi)容，通過(guò)兩個(gè)測(cè)試題檢驗(yàn)學(xué)員對(duì)知識(shí)點(diǎn)掌握情況；對(duì)網(wǎng)絡(luò)設(shè)備安全的重要意義進(jìn)行介紹，明確本次課教學(xué)目標(biāo)。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點(diǎn)、重點(diǎn)，建議不要寫(xiě)成講稿）3.1物理安全物理安全是整個(gè)通信網(wǎng)絡(luò)系統(tǒng)安全的前提，是保護(hù)通信網(wǎng)絡(luò)設(shè)備、設(shè)施及其他媒介免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或人為損壞導(dǎo)致被破壞的過(guò)程。一、機(jī)房安全技術(shù)1.機(jī)房的安全要求2.機(jī)房的防盜要求3.機(jī)房的三度要求4.防靜電措施5.接地與防雷6.機(jī)房的防火、防水措施二、通信線路安全通信線路是信息傳輸?shù)耐ǖ?，?huì)受到搭線竊聽(tīng)、中斷或干擾的攻擊。電纜加壓技術(shù)電纜兩端加壓，連接監(jiān)視器，如果監(jiān)測(cè)到變化，則啟動(dòng)報(bào)警器。加壓電纜是屏蔽在波紋鋁鋼包皮中，幾乎沒(méi)有電磁輻射，對(duì)利用電磁感應(yīng)的竊聽(tīng)行為有一定的抵抗力。線纜屏蔽技術(shù)線纜屏蔽可以降低電磁感應(yīng)，提高抗干擾能力。如采用屏蔽式雙絞線，或?qū)⒕€纜放在金屬管內(nèi)。光纖通信技術(shù)光纖通信廣泛覆蓋于骨千網(wǎng)和接入網(wǎng)中，目前全球90％以上的信息通信都是由光網(wǎng)絡(luò)承載，涉及的用戶和業(yè)務(wù)包括個(gè)人、企業(yè)、軍事和政府機(jī)關(guān)，很多密級(jí)較高的信號(hào)傳輸也都是以光纖作為基礎(chǔ)的。光纖沒(méi)有電磁輻射，是否就安全了？隨著各種竊聽(tīng)、破壞技術(shù)和設(shè)備的進(jìn)步與發(fā)展，以及光網(wǎng)絡(luò)遭到攻擊的事件不斷地被報(bào)道，光網(wǎng)絡(luò)具有先天安全性的成見(jiàn)正在被逐步地打破。光纖竊聽(tīng)方法：光纖彎曲法、V型槽切口法、散射法等。三、硬件設(shè)備安全1.硬件設(shè)備的維護(hù)和管理2.電磁兼容和電磁輻射的防護(hù)3.信息存儲(chǔ)媒體的安全管理四、電源系統(tǒng)安全電源系統(tǒng)指標(biāo)：供電連續(xù)性、可靠性、穩(wěn)定性和抗干擾性等。風(fēng)險(xiǎn)：因電源系統(tǒng)電壓波動(dòng)、浪涌電流和突然斷電等導(dǎo)致計(jì)算機(jī)系統(tǒng)存儲(chǔ)信息丟失、設(shè)備損壞。機(jī)房的供配電系統(tǒng)設(shè)計(jì)要求3.2路由器的安全技術(shù)一、路由器存在的安全問(wèn)題及對(duì)策安全問(wèn)題：身份問(wèn)題、漏洞問(wèn)題、訪問(wèn)控制問(wèn)題、路由協(xié)議問(wèn)題、配置管理問(wèn)題等1.路由器口令的設(shè)置口令加密設(shè)置端口登錄口令加密特權(quán)用戶口令防止口令修復(fù)2.網(wǎng)絡(luò)服務(wù)的安全設(shè)置禁止HTTP服務(wù)禁止一些默認(rèn)狀態(tài)下開(kāi)啟的服務(wù)關(guān)閉其他一些易受攻擊的端口服務(wù)3.保護(hù)內(nèi)部網(wǎng)絡(luò)lP地址利用路由器的網(wǎng)絡(luò)地址轉(zhuǎn)換隱藏內(nèi)部地址利用地址解析協(xié)議防止盜用內(nèi)部IP地址4.利用訪問(wèn)控制列表有效防范網(wǎng)絡(luò)攻擊利用ACL禁止ping相關(guān)接口利用ACL防止IP地址欺騙利用ACL防止SYN攻擊利用ACL防范網(wǎng)絡(luò)病毒攻擊5.防止包嗅探6.校驗(yàn)數(shù)據(jù)流路徑的合法性7.為路由器間的協(xié)議交換增加認(rèn)證功能，提高網(wǎng)絡(luò)安全性二、路由器的安全配置1．路由器口令安全配置2．路由器網(wǎng)絡(luò)服務(wù)的安全設(shè)置3．保護(hù)內(nèi)部網(wǎng)絡(luò)IP地址的配置4．利用ACL防范網(wǎng)絡(luò)攻擊的配置5．利用ACL防范病毒攻擊的配置6．利用ACL對(duì)HTTP服務(wù)進(jìn)行服務(wù)控制及權(quán)限管理。3.3交換機(jī)的安全技術(shù)一、交換機(jī)存在的安全問(wèn)題及對(duì)策1.利用交換機(jī)端口安全技術(shù)限制端口接入的隨意性2.利用虛擬局域網(wǎng)技術(shù)限制局域網(wǎng)廣播及ARP攻擊范圍3.強(qiáng)化Trunk端口設(shè)置避免利用封裝協(xié)議缺陷實(shí)行VLAN的跳躍攻擊4.使用交換機(jī)包過(guò)濾技術(shù)增加網(wǎng)絡(luò)交換的安全性二、交換機(jī)的安全配置1．路由器登錄口令、加密等安全措施也適用于交換機(jī)2．啟用端口的端口安全功能3.4服務(wù)器與操作系統(tǒng)安全一、Windows操作系統(tǒng)安全1.限制用戶數(shù)量2.管理員賬號(hào)設(shè)置3.使用安全口令4.使用屏幕保護(hù)／屏幕鎖定口令5.安全文件管理6.安裝防病毒軟件7.做好備份盤(pán)的安全8.禁止不必要的服務(wù)9.使用IPSec來(lái)控制端口訪問(wèn)10.定期查看日志11.經(jīng)常訪問(wèn)微軟升級(jí)程序站點(diǎn)，了解補(bǔ)丁的最新發(fā)布情況。二、Web服務(wù)器的安全1．明確安全需求2．合理配置內(nèi)容小結(jié)：物理安全的四個(gè)方面；路由器安全面臨的問(wèn)題與對(duì)策，安全配置；交換機(jī)安全面臨的問(wèn)題與對(duì)策，安全配置；操作系統(tǒng)與Web服務(wù)器的安全。板書(shū)提綱：$3.1物理安全一、機(jī)房安全技術(shù)二、通信線路安全三、硬件設(shè)備安全四、電源系統(tǒng)安全$3.2路由器的安全技術(shù)一、路由器存在的安全問(wèn)題及對(duì)策二、路由器的安全配置$3.3交換機(jī)的安全技術(shù)一、交換機(jī)存在的安全問(wèn)題及對(duì)策二、交換機(jī)的安全配置$3.4服務(wù)器與操作系統(tǒng)安全一、Windows操作系統(tǒng)安全二、Web服務(wù)器的安全知識(shí)擴(kuò)展：無(wú)全程PPT輔助講解案例分析：靜電的危害引入DDoS攻擊的案例，加深學(xué)員認(rèn)識(shí)視頻：美軍竊聽(tīng)海底電纜視頻：美軍竊聽(tīng)海底光纜案例分析：電磁兼容性不強(qiáng)的危害案例分析：電磁輻射屏蔽不良的危害詳細(xì)配置命令實(shí)驗(yàn)課上講述，本節(jié)課不講。作業(yè)、討論題、思考題：作業(yè)：3-4、3-5、3-8拓展：查找相關(guān)資料，介紹物理安全的真實(shí)案例及分析教學(xué)反思：《通信網(wǎng)絡(luò)安全與防護(hù)》課程教案授課時(shí)間2021年3月23日周二3-4節(jié)課次6授課方式（請(qǐng)打√）理論課√討論課□實(shí)驗(yàn)課□習(xí)題課□其他□課時(shí)安排2授課題目（教學(xué)章、節(jié)或主題）：第四章網(wǎng)絡(luò)攻擊技術(shù)（上）教學(xué)目的、要求（分掌握、熟悉、了解三個(gè)層次）：（1）了解網(wǎng)絡(luò)攻擊的基本步驟;（2）熟悉社會(huì)工程學(xué)、口令破解、緩沖區(qū)溢出等典型的網(wǎng)絡(luò)攻擊手段;（3）重點(diǎn)掌握緩沖區(qū)溢出的原理；（4）掌握各種攻擊手段的防護(hù)措施。教學(xué)重點(diǎn)及難點(diǎn)：重點(diǎn)：緩沖區(qū)溢出攻擊工作原理；難點(diǎn)：緩沖區(qū)溢出攻擊的實(shí)施。課堂教學(xué)設(shè)計(jì)（含思政）：本次課注重結(jié)合實(shí)例講解，穿插介紹著名黑客及事跡，增強(qiáng)教學(xué)趣味性，區(qū)分白帽黑客和黑帽黑客，引導(dǎo)學(xué)員建立對(duì)黑客行為的正確認(rèn)識(shí)；注重引導(dǎo)式教學(xué)，如溢出攻擊的講解以問(wèn)題牽引，引導(dǎo)學(xué)員分析溢出漏洞成因及溢出攻擊的原理。全程以多媒體為主的信息化教學(xué)手段進(jìn)行授課，注重加強(qiáng)師生互動(dòng)，加強(qiáng)理論和實(shí)踐融合。思政要素切入點(diǎn)：通過(guò)區(qū)分白帽黑客和黑帽黑客，引導(dǎo)學(xué)員正確的網(wǎng)絡(luò)攻防觀；通過(guò)“黑客有無(wú)國(guó)界，黑客技術(shù)有無(wú)國(guó)界”的討論，引導(dǎo)學(xué)員樹(shù)立國(guó)家網(wǎng)絡(luò)安全觀；通過(guò)對(duì)溢出漏洞的分析，引導(dǎo)學(xué)員養(yǎng)成良好的程序設(shè)計(jì)習(xí)慣和用網(wǎng)習(xí)慣。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計(jì)回顧與引入：回顧上節(jié)課主要內(nèi)容，通過(guò)兩個(gè)測(cè)試題檢驗(yàn)學(xué)員對(duì)知識(shí)點(diǎn)掌握情況；對(duì)網(wǎng)絡(luò)攻擊如何分類進(jìn)行介紹，并明確本次課教學(xué)目標(biāo)。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點(diǎn)、重點(diǎn)，建議不要寫(xiě)成講稿）4.1黑客與網(wǎng)絡(luò)攻擊概述4.1.1黑客的基本概念按行為和動(dòng)機(jī)可將黑客劃分為白帽(whiteHat)黑客和黑帽(BlackHat)黑客兩類。白帽黑客利用其高超技術(shù)，長(zhǎng)期致力于改善計(jì)算機(jī)及其環(huán)境，不斷尋找系統(tǒng)的脆弱性并公布于眾，促使各大計(jì)算機(jī)廠商改善產(chǎn)品質(zhì)量，提醒普通用戶系統(tǒng)可能存在的安全隱患。黑帽黑客也稱為Cracker，他們利用掌握的攻擊手段和入侵技術(shù)，非法侵入并破壞計(jì)算機(jī)系統(tǒng)，從事一些惡意的破壞活動(dòng)。4.1.2網(wǎng)絡(luò)攻擊的一般流程網(wǎng)絡(luò)攻擊或以劃分為四個(gè)階段、八個(gè)環(huán)節(jié)。1.踩點(diǎn)“踩點(diǎn)”原意為策劃一項(xiàng)盜竊活動(dòng)的準(zhǔn)備階段，在網(wǎng)絡(luò)攻擊領(lǐng)域，“踩點(diǎn)”是傳統(tǒng)概念的電子化形式。黑客通常采用搜索引擎或各種開(kāi)放的信息源進(jìn)行信息搜集。2.掃描掃描的目的是確定目標(biāo)網(wǎng)絡(luò)范圍內(nèi)哪些系統(tǒng)是“活動(dòng)”的，以及它們提供哪些服務(wù)，并對(duì)目標(biāo)系統(tǒng)所提供的各種服務(wù)進(jìn)行評(píng)估，以便集中精力在最有希望的途徑上發(fā)動(dòng)攻擊。掃描采用的主要技術(shù)有Ping掃射、TCP/UDP端口掃描、操作系統(tǒng)檢測(cè)以及漏洞檢測(cè)。3.獲取訪問(wèn)權(quán)搜集到目標(biāo)系統(tǒng)的足夠信息后，下一步要完成的工作是得到目標(biāo)系統(tǒng)的訪問(wèn)權(quán)進(jìn)而完成對(duì)目標(biāo)系統(tǒng)的入侵。對(duì)于操作系統(tǒng)采用的主要技術(shù)有破解系統(tǒng)登陸口令、竊聽(tīng)口令、遠(yuǎn)程緩沖區(qū)溢出等。4.提升權(quán)限攻擊者能夠獲得訪問(wèn)權(quán)限后，就會(huì)試圖將普通用戶權(quán)限提升至超級(jí)用戶權(quán)限，以便完成對(duì)系統(tǒng)的完全控制。權(quán)限提升所采取的技術(shù)主要有通過(guò)得到的密碼文件，破解系統(tǒng)上其他用戶名及口令；利用不同操作系統(tǒng)及服務(wù)的漏洞，利用管理員不正確的系統(tǒng)配置等。5.竊取或篡改信息一旦攻擊者得到了系統(tǒng)的完全控制權(quán)，接下來(lái)進(jìn)行的工作對(duì)敏感數(shù)據(jù)的篡改、添加、刪除及復(fù)制，并通過(guò)對(duì)敏感數(shù)據(jù)的分析，為進(jìn)一步攻擊應(yīng)用系統(tǒng)做準(zhǔn)備。6.清除痕跡清除痕跡的主要工作有禁止系統(tǒng)審計(jì)、清空事件日志、隱藏作案工具等。7.植入后門(mén)或木馬創(chuàng)建后門(mén)的主要方法有創(chuàng)建具有特權(quán)用戶權(quán)限的虛假用戶賬號(hào)、安裝遠(yuǎn)程控制工具、使用木馬程序替換系統(tǒng)程序、安裝監(jiān)控機(jī)制及感染啟動(dòng)文件等。8.拒絕服務(wù)攻擊如果黑客未能成功獲取訪問(wèn)權(quán)，可以使用精心準(zhǔn)備好的漏洞代碼攻擊系統(tǒng)使目標(biāo)服務(wù)器資源耗盡或資源過(guò)載，以至于沒(méi)有能力再向外提供服務(wù)。4.2欺騙型攻擊1.社會(huì)工程學(xué)的基本概念社會(huì)工程學(xué)是一種利用人的弱點(diǎn)如人的本能反應(yīng)、好奇心、信任、貪便宜等弱點(diǎn)進(jìn)行諸如欺騙等攻擊手段，獲取自身利益的手法。社會(huì)工程學(xué)不是一門(mén)科學(xué)，因?yàn)樗皇强偰苤貜?fù)和成功，而且在被攻擊者信息充分的情況下，會(huì)自動(dòng)失效。2．社會(huì)工程學(xué)攻擊手段1）打電話請(qǐng)求密碼2）偽造郵件3）釣魚(yú)攻擊4）主動(dòng)提供技術(shù)支持3．社會(huì)工程學(xué)攻擊防護(hù)措施4.3利用型攻擊4.3.1口令破解1.口令破解方法1）窮舉法2）字典法2．口令破解對(duì)象1）破解系統(tǒng)登錄口令2）破解web站點(diǎn)口令3）破解軟件加密口令3．口令破解防范措施4.3.2口令破解1．緩沖區(qū)溢出攻擊基本概念緩沖區(qū)，就是程序運(yùn)行期間，在內(nèi)存中分配的一段連續(xù)的區(qū)域，用于保存包括字符數(shù)組在內(nèi)的各種數(shù)據(jù)類型；溢出，就是指所填充的數(shù)據(jù)超出了原有緩沖區(qū)的邊界，并且非法占據(jù)了另一段內(nèi)存區(qū)域。緩沖區(qū)溢出攻擊指的是一種系統(tǒng)攻擊的手段，通過(guò)向程序的緩沖區(qū)寫(xiě)超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。2.緩沖區(qū)溢出漏洞存在的原因程序員編程時(shí)，調(diào)用或編寫(xiě)類似strcpy這樣的函數(shù)時(shí)，未限定或檢查參數(shù)的大小，這就是緩沖區(qū)溢出漏洞存在的原因。3.緩沖區(qū)溢出攻擊的原理當(dāng)攻擊者有機(jī)會(huì)用大于目標(biāo)緩沖區(qū)大小的內(nèi)容來(lái)向緩沖區(qū)進(jìn)行填充時(shí)，就有可能改寫(xiě)函數(shù)保存在函數(shù)棧中的返回地址，從而使程序的執(zhí)行流程隨著攻擊者的意圖而轉(zhuǎn)移。也就是說(shuō)，進(jìn)程接受了攻擊者的控制，攻擊者可以讓進(jìn)程改變?cè)瓉?lái)的執(zhí)行流程，去執(zhí)行攻擊者準(zhǔn)備好的代碼。4.緩沖區(qū)溢出攻擊的實(shí)施緩沖區(qū)溢出攻擊包的基本構(gòu)造如下：內(nèi)容小結(jié)：網(wǎng)絡(luò)攻擊的基本流程：四個(gè)環(huán)節(jié)、八個(gè)階段；社會(huì)工程學(xué)攻擊的概念、主要手段、防范措施；口令破解的兩種方法、三種對(duì)象、防范措施；緩沖區(qū)溢出攻擊概念、漏洞成因、原理與實(shí)施。板書(shū)提綱：$4.1黑客與網(wǎng)絡(luò)攻擊基本概念1.黑客2.網(wǎng)絡(luò)攻擊的一般流程$4.2欺騙型攻擊1.社會(huì)工程學(xué)2.社會(huì)工程學(xué)攻擊手段$4.3利用型攻擊1.口令破解2.緩沖區(qū)溢出攻擊知識(shí)擴(kuò)展：1．參考教學(xué)資源，總結(jié)分析一到兩種新型攻擊手段。2．了解近年出現(xiàn)的緩沖區(qū)溢出漏洞及造成的后果。全程PPT輔助講解請(qǐng)學(xué)員談?wù)剬?duì)黑客的認(rèn)識(shí)？引出教學(xué)內(nèi)容穿插介紹史上十大黑客，如比爾蓋茲、喬布斯、李納斯就是白帽，凱文米特尼克就是黑帽。以打開(kāi)學(xué)校網(wǎng)站首頁(yè)做為案例，分析可以獲取的信息結(jié)合實(shí)例講解徐玉玉事件結(jié)合實(shí)例講解郵箱口令的破解通過(guò)分析程序代碼和程序執(zhí)行流程，理解漏洞的成因通過(guò)分析案例程序，使學(xué)員理解函數(shù)返回指針的作用啟發(fā)學(xué)員：攻擊如何實(shí)施？三個(gè)問(wèn)題：如何找到服務(wù)進(jìn)程的溢出漏洞？如何知道函數(shù)返回地址存在的位置如何執(zhí)行相應(yīng)的攻擊代碼？作業(yè)、討論題、思考題：作業(yè)：4-1、4-3、4-4討論：黑客有無(wú)國(guó)界，黑客技術(shù)有無(wú)國(guó)界。課堂教學(xué)后記：（課堂教學(xué)反思、課堂優(yōu)化設(shè)計(jì)構(gòu)想等內(nèi)容，必須手寫(xiě)）《通信網(wǎng)絡(luò)安全與防護(hù)》課程教案授課時(shí)間年月日周節(jié)課次7授課方式（請(qǐng)打√）理論課√討論課□實(shí)驗(yàn)課□習(xí)題課□其他□課時(shí)安排2授課題目（教學(xué)章、節(jié)或主題）：第四章網(wǎng)絡(luò)攻擊技術(shù)（下）教學(xué)目的、要求（分掌握、熟悉、了解三個(gè)層次）：（1）掌握木馬的工作原理與工作過(guò)程;（2）熟悉SQL注入攻擊的原理與防范方法;（3）掌握DoS攻擊的常用技術(shù)，掌握DDoS的組織過(guò)程；（4）了解高級(jí)可持續(xù)威脅的基本概念、攻擊過(guò)程。教學(xué)重點(diǎn)及難點(diǎn)：重點(diǎn)：木馬與DoS工作原理；難點(diǎn)：木馬的傳播方法。課堂教學(xué)設(shè)計(jì)（含思政）：本次課針對(duì)木馬采用問(wèn)題剖析、層層遞進(jìn)的教學(xué)方法，針對(duì)DoS攻擊突出重點(diǎn)知識(shí)講解，略講早期技術(shù)，精講現(xiàn)用技術(shù)，教學(xué)中引導(dǎo)學(xué)員結(jié)合自己平時(shí)的認(rèn)知對(duì)照學(xué)習(xí)，加強(qiáng)師生互動(dòng)。思政要素切入點(diǎn)：通過(guò)震網(wǎng)病毒等實(shí)際案例的介紹，使學(xué)生認(rèn)識(shí)到當(dāng)前網(wǎng)絡(luò)空間斗爭(zhēng)的復(fù)雜性，從更加透徹的理解習(xí)主席關(guān)于網(wǎng)絡(luò)安全的重要論斷和講話精神，養(yǎng)成日常管網(wǎng)用網(wǎng)嚴(yán)謹(jǐn)細(xì)致的工作習(xí)慣，促進(jìn)職業(yè)素養(yǎng)提高。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計(jì)回顧與引入：回顧上節(jié)課主要內(nèi)容，通過(guò)兩個(gè)測(cè)試題檢驗(yàn)學(xué)員對(duì)知識(shí)點(diǎn)掌握情況；對(duì)本次課的主要內(nèi)容進(jìn)行介紹，并明確本次課教學(xué)目標(biāo)。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點(diǎn)、重點(diǎn)，建議不要寫(xiě)成講稿）4.3利用型攻擊4.3.3木馬病毒1．木馬的基本概念木馬從本質(zhì)上而言就是一對(duì)網(wǎng)絡(luò)進(jìn)程，其中一個(gè)運(yùn)行在受害者主機(jī)上，稱為服務(wù)端；另一個(gè)運(yùn)行在攻擊者主機(jī)上，稱為控制端。攻擊者通過(guò)控制端與受害者服務(wù)端進(jìn)行網(wǎng)絡(luò)通信，達(dá)到遠(yuǎn)程控制或其它目的。通常我們說(shuō)的木馬指的是木馬服務(wù)端程序，它具有以下兩個(gè)典型特征：一是隱蔽性：木馬程序是隱藏的，沒(méi)有運(yùn)行窗體，用戶難以察覺(jué)；二是非授權(quán)性：即木馬程序執(zhí)行的所有功能都不是管理員允許的，是非授權(quán)的；2．木馬的工作原理典型木馬的工作過(guò)程:1）功能機(jī)制木馬的典型功能包括：一是遠(yuǎn)程控制功能。像經(jīng)典的冰河、灰鴿子等木馬都實(shí)現(xiàn)了遠(yuǎn)程控制功能。二是文件竊取功能。木馬在受害者主機(jī)按照預(yù)置參數(shù)進(jìn)行搜索，將找到的文件發(fā)送到指定的郵箱或上載到指定的站點(diǎn)位置。三是執(zhí)行預(yù)置的如破壞、網(wǎng)絡(luò)攻擊等特定功能。例如“僵尸”程序，可用于完成拒絕服務(wù)攻擊。2）傳播機(jī)制病毒式傳播網(wǎng)頁(yè)掛馬欺騙下載文件捆綁主動(dòng)攻擊3）啟動(dòng)機(jī)制4）連接機(jī)制正向連接反彈式連接無(wú)連接3．木馬防范技術(shù)4.3.4SQL注入攻擊SQL-StructuredQueryLanguage,結(jié)構(gòu)化查詢語(yǔ)言。SQL注入即是指攻擊者通過(guò)在應(yīng)用程序中預(yù)先定義好的查詢語(yǔ)句結(jié)尾加上額外的SQL語(yǔ)句元素，欺騙數(shù)據(jù)庫(kù)服務(wù)器執(zhí)行非授權(quán)的任意查詢。防止SQL注入四種方法：(1)在服務(wù)端正式處理之前對(duì)提交數(shù)據(jù)的合法性進(jìn)行檢查；(2)封裝客戶端提交信息；(3)替換或刪除敏感字符/字符串；(4)屏蔽出錯(cuò)信息。4.4DoS與DDoS拒絕服務(wù)攻擊DoS（DenialofService），凡是造成目標(biāo)計(jì)算機(jī)拒絕提供服務(wù)的攻擊都稱為DoS攻擊，其目的是使目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。1．DoS攻擊技術(shù)1）早期的一些DoS攻擊手段2）SYNFlood3）Smurf攻擊2．DDoS攻擊DDoS采取的仍然是DOS技術(shù)，只不過(guò)增加了攻擊主機(jī)。4.5APT課下自學(xué)。內(nèi)容小結(jié)：木馬的定義、本質(zhì)、工作過(guò)程、工作原理；SQL注入攻擊的原理、防范措施；DoS攻擊的原理、常用技術(shù)；DDoS攻擊的組織方式、防范措施。板書(shū)提綱：$4.3利用型攻擊三、特洛伊木馬1.概述定義、本質(zhì)、特征2.木馬的工作原理功能機(jī)制傳播機(jī)制啟動(dòng)機(jī)制連接機(jī)制四、SQL注入攻擊1.工作原理2.防范措施$4.4DoS與DDoS1.DoS攻擊技術(shù)2.DDoS攻擊知識(shí)擴(kuò)展：APT的基本概念及攻擊過(guò)程全程PPT輔助講解請(qǐng)學(xué)員談?wù)剬?duì)木馬的認(rèn)識(shí)是什么？引出教學(xué)內(nèi)容內(nèi)容重點(diǎn)，用時(shí)約40分鐘注重結(jié)合實(shí)例剖析網(wǎng)絡(luò)上通信的原理，回顧套接字、端口等運(yùn)輸層重要概念。針對(duì)Web的攻擊是當(dāng)前網(wǎng)絡(luò)攻擊的重點(diǎn)，補(bǔ)充教學(xué)內(nèi)容，引導(dǎo)學(xué)員了解基本原理。引入DDoS攻擊的案例，加深學(xué)員認(rèn)識(shí)針對(duì)最新的利用物聯(lián)網(wǎng)設(shè)備的DDoS攻擊進(jìn)行剖析作業(yè)、討論題、思考題：作業(yè)：4-2、4-7、4-9討論：課堂教學(xué)后記：（課堂教學(xué)反思、課堂優(yōu)化設(shè)計(jì)構(gòu)想等內(nèi)容，必須手寫(xiě)）《通信網(wǎng)絡(luò)安全與防護(hù)》課程教案授課時(shí)間2021年4月6日周二3-4節(jié)課次8授課方式（請(qǐng)打√）理論課√討論課□實(shí)驗(yàn)課□習(xí)題課□其他□課時(shí)安排2授課題目（教學(xué)章、節(jié)或主題）：第五章網(wǎng)絡(luò)防護(hù)技術(shù)（上）教學(xué)目的、要求（分掌握、熟悉、了解三個(gè)層次）：（1）掌握防火墻的基本概念、優(yōu)缺點(diǎn);（2）重點(diǎn)掌握防火墻的三種實(shí)現(xiàn)技術(shù)，熟悉防火墻安全規(guī)則的配置;（3）了解網(wǎng)絡(luò)安全隔離的基本概念，熟悉網(wǎng)閘的工作原理。教學(xué)重點(diǎn)及難點(diǎn)：重點(diǎn)：防火墻的實(shí)現(xiàn)技術(shù)；難點(diǎn)：防火墻規(guī)則的配置。課堂教學(xué)設(shè)計(jì)（含思政）：本次課教學(xué)中注重運(yùn)用對(duì)比分析、實(shí)例講解的教學(xué)方法，對(duì)比分析防火墻與網(wǎng)絡(luò)隔離技術(shù)的異同，在防火墻規(guī)則設(shè)計(jì)時(shí)結(jié)合實(shí)例講解，教學(xué)中突出防火墻實(shí)現(xiàn)技術(shù)及規(guī)則配置這一教學(xué)重點(diǎn)。教學(xué)中注重技術(shù)與應(yīng)用結(jié)合，介紹軍事網(wǎng)絡(luò)中的防火墻與網(wǎng)絡(luò)隔離系統(tǒng)裝備及應(yīng)用。教學(xué)中注重與學(xué)員的教學(xué)互動(dòng)，引導(dǎo)學(xué)員結(jié)合自己平時(shí)的認(rèn)知對(duì)照學(xué)習(xí)。思政要素切入點(diǎn)：通過(guò)防火墻技術(shù)的發(fā)展，使學(xué)生認(rèn)識(shí)到網(wǎng)絡(luò)攻防對(duì)抗的動(dòng)態(tài)性，增強(qiáng)整體防護(hù)意識(shí)，養(yǎng)成日常管網(wǎng)用網(wǎng)嚴(yán)謹(jǐn)細(xì)致的工作習(xí)慣，促進(jìn)職業(yè)素養(yǎng)提高。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計(jì)回顧與引入：回顧第四章網(wǎng)絡(luò)攻擊技術(shù)的主要內(nèi)容，通過(guò)三個(gè)測(cè)試題檢驗(yàn)學(xué)員對(duì)知識(shí)點(diǎn)掌握情況；對(duì)網(wǎng)絡(luò)防護(hù)的主要內(nèi)容進(jìn)行介紹，并明確本節(jié)課教學(xué)目標(biāo)。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點(diǎn)、重點(diǎn)，建議不要寫(xiě)成講稿）5.1防火墻技術(shù)5.1.1防火墻概述1．防火墻基本概念防火墻是在信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)之間，通過(guò)預(yù)定義的安全策略，對(duì)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問(wèn)控制的安全應(yīng)用設(shè)備。2．防火墻的優(yōu)點(diǎn)采用防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)有以下優(yōu)點(diǎn)：1）防火墻可以保護(hù)網(wǎng)絡(luò)中脆弱的服務(wù)2）防火墻允許網(wǎng)絡(luò)管理員定義中心“扼制點(diǎn)”抵抗非法訪問(wèn)3）防火墻可以增強(qiáng)保密性，強(qiáng)化私有權(quán)4）采用NAT的防火墻可以節(jié)約地址資源5）防火墻可以方便的進(jìn)行審計(jì)和告警3．防火墻的缺點(diǎn)雖然防火墻可以提高內(nèi)網(wǎng)的安全性，是網(wǎng)絡(luò)安全體系中極為重要的一環(huán)，但不能因?yàn)橛辛朔阑饓涂梢愿哒頍o(wú)憂。因?yàn)榉阑饓σ灿幸恍┤毕莺筒蛔悖饕w現(xiàn)在以下幾點(diǎn)：1）防火墻無(wú)法防護(hù)內(nèi)部網(wǎng)用戶的攻擊2）防火墻無(wú)法防護(hù)病毒，也無(wú)法抵御數(shù)據(jù)驅(qū)動(dòng)型的攻擊3）防火墻不能防范不通過(guò)它的攻擊4）防火墻不能防備新的網(wǎng)絡(luò)安全問(wèn)題5.1.2防火墻的常用技術(shù)防火墻的主要技術(shù)包括包過(guò)濾、應(yīng)用代理和狀態(tài)檢測(cè)技術(shù)。1．包過(guò)濾技術(shù)采用包過(guò)濾技術(shù)的防火墻稱為包過(guò)濾型防火墻，因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層，又叫網(wǎng)絡(luò)級(jí)防火墻。包過(guò)濾防火墻可以通過(guò)檢查每個(gè)包的源IP地址、目的IP地址、運(yùn)輸層端口等信息來(lái)決定是否允許此數(shù)據(jù)包通過(guò)。包過(guò)濾的工作過(guò)程如下。2．應(yīng)用代理應(yīng)用代理工作在網(wǎng)絡(luò)的應(yīng)用層，其實(shí)質(zhì)是把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間直接進(jìn)行的業(yè)務(wù)由代理接管。應(yīng)用代理防火墻能夠完全控制網(wǎng)絡(luò)信息的交換，控制會(huì)話過(guò)程，具有較高的安全性。其缺點(diǎn)主要表現(xiàn)在：1）軟件實(shí)現(xiàn)限制了處理速度，易于遭受拒絕服務(wù)攻擊；2）需要針對(duì)每一種網(wǎng)絡(luò)服務(wù)開(kāi)發(fā)應(yīng)用層代理，開(kāi)發(fā)周期長(zhǎng)，而且升級(jí)較困難。3．狀態(tài)檢測(cè)技術(shù)狀態(tài)檢測(cè)又稱動(dòng)態(tài)包過(guò)濾，是在傳統(tǒng)包過(guò)濾上的功能擴(kuò)展。狀態(tài)檢測(cè)技術(shù)采用的是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過(guò)規(guī)則表與狀態(tài)表的共同配合，對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別。狀態(tài)檢測(cè)技術(shù)檢查的項(xiàng)目除了傳統(tǒng)的包過(guò)濾技術(shù)檢查的IP地址與端口號(hào)以外，還需要檢查連接狀態(tài)與上下文信息。5.1.3防火墻的功能性能分析1．功能指標(biāo)衡量防火墻的基本功能指標(biāo)包括防火墻提供的接入方式、安全區(qū)劃分、訪問(wèn)控制功能。支持不同接入方式防火墻提供的接入方式包括透明接入、路由或NAT接入及混合接入三種接入方式。2）安全區(qū)劃分3）訪問(wèn)控制功能2．性能指標(biāo)防火墻的性能指標(biāo)：并發(fā)連接數(shù)、吞吐量、時(shí)延等。5.3安全隔離技術(shù)實(shí)際工作中，我們經(jīng)常會(huì)面臨在不同安全等級(jí)網(wǎng)絡(luò)間的數(shù)據(jù)交換需求，傳統(tǒng)的做法是采用“人工拷盤(pán)”，這種解決方案可以實(shí)現(xiàn)網(wǎng)絡(luò)的安全隔離，但數(shù)據(jù)交換通過(guò)人工來(lái)實(shí)現(xiàn)，工作效率低；且安全性完全依賴于人的因素，可靠性無(wú)法保證。1．安全隔離的基本概念安全隔離是指把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)（如TCP/IP）通過(guò)不可路由的協(xié)議進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。目前，在我國(guó)，網(wǎng)閘是一種廣泛使用的安全隔離產(chǎn)品。不同生產(chǎn)廠商，又稱之為安全隔離網(wǎng)閘、物理隔離網(wǎng)閘、安全隔離與信息交換系統(tǒng)等，這些產(chǎn)品都是為了在確保安全的前提下實(shí)現(xiàn)有限的數(shù)據(jù)交流。2．網(wǎng)閘的工作原理1）網(wǎng)閘的結(jié)構(gòu)通常，網(wǎng)閘內(nèi)部采用“2+1”模塊結(jié)構(gòu)設(shè)計(jì)，即包括外網(wǎng)主機(jī)模塊、內(nèi)網(wǎng)主機(jī)模塊和隔離交換模塊。2）網(wǎng)閘的工作過(guò)程3．網(wǎng)閘的應(yīng)用場(chǎng)景不同的涉密網(wǎng)絡(luò)之間；同一涉密網(wǎng)絡(luò)的不同安全域之間；與Internet物理隔離的網(wǎng)絡(luò)與秘密級(jí)涉密網(wǎng)絡(luò)之間；未與涉密網(wǎng)絡(luò)連接的網(wǎng)絡(luò)與Internet之間內(nèi)容小結(jié)：防火墻的定義、功能與不足防火墻的主要技術(shù)防火墻的功能與性能；網(wǎng)閘的基本概念、結(jié)構(gòu)、工作原理、應(yīng)用場(chǎng)景。板書(shū)提綱：$5.1防火墻一、防火墻概述1．基本概念2．優(yōu)缺點(diǎn)二、防火墻的常用技術(shù)1．包過(guò)濾技術(shù)2．應(yīng)用代理3．狀態(tài)檢測(cè)技術(shù)三、防火墻的功能性能1．功能指標(biāo)：接入方式、安全區(qū)劃分、訪問(wèn)控制2．性能指標(biāo)：并發(fā)連接數(shù)、吞吐量、時(shí)延$5.3安全隔離技術(shù)1．基本概念2．網(wǎng)閘工作原理3．網(wǎng)閘應(yīng)用場(chǎng)景知識(shí)擴(kuò)展：了解指揮專的防火墻與安全隔離系統(tǒng)全程PPT輔助講解請(qǐng)學(xué)員談?wù)勊私獾木W(wǎng)絡(luò)安全防護(hù)手段有哪些？引出教學(xué)內(nèi)容對(duì)照實(shí)例，講解防火墻規(guī)則的配置，強(qiáng)調(diào)防火墻規(guī)則是有順序的結(jié)合實(shí)例講解代理工程過(guò)程。問(wèn)題：如何在不同安全等級(jí)的網(wǎng)絡(luò)間進(jìn)行信息交換？如從學(xué)校辦公專網(wǎng)拷貝文件到校園網(wǎng)。作業(yè)、討論題、思考題：作業(yè)：5-2、5-7、5-8課堂教學(xué)后記：（課堂教學(xué)反思、課堂優(yōu)化設(shè)計(jì)構(gòu)想等內(nèi)容，必須手寫(xiě)）《通信網(wǎng)絡(luò)安全與防護(hù)》課程教案授課時(shí)間2021年4月8日周四1-2節(jié)課次9授課方式（請(qǐng)打√）理論課√討論課□實(shí)驗(yàn)課□習(xí)題課□其他□課時(shí)安排2授課題目（教學(xué)章、節(jié)或主題）：第五章網(wǎng)絡(luò)防護(hù)技術(shù)（下）教學(xué)目的、要求（分掌握、熟悉、了解三個(gè)層次）：（1）掌握入侵檢測(cè)系統(tǒng)的基本概念，熟悉入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu);（2）掌握入侵檢測(cè)系統(tǒng)的檢測(cè)方法;（3）掌握蜜罐與蜜網(wǎng)基本概念，熟悉蜜罐的分類，了解蜜罐的搭建方法。教學(xué)重點(diǎn)及難點(diǎn)：重點(diǎn)：入侵檢測(cè)系統(tǒng)的檢測(cè)分析方法；難點(diǎn)：木馬的傳播方法。課堂教學(xué)設(shè)計(jì)（含思政）：本次課教學(xué)中注重運(yùn)用對(duì)比分析、實(shí)例講解的教學(xué)方法，對(duì)比分析入侵檢測(cè)系統(tǒng)與蜜罐技術(shù)在攻擊檢測(cè)技術(shù)及結(jié)果運(yùn)用中的差別，加深學(xué)員對(duì)知識(shí)的理解；在講解入侵檢測(cè)規(guī)則時(shí)，采用實(shí)例講解，使抽象的問(wèn)題直觀化。教學(xué)中注重技術(shù)與應(yīng)用結(jié)合，介紹軍事網(wǎng)絡(luò)中的入侵檢測(cè)系統(tǒng)裝備及應(yīng)用。教學(xué)中注重與學(xué)員的教學(xué)互動(dòng)，引導(dǎo)學(xué)員結(jié)合自己平時(shí)的認(rèn)知對(duì)照學(xué)習(xí)。思政要素切入點(diǎn)：通過(guò)對(duì)入侵檢測(cè)技術(shù)與蜜罐技術(shù)的講解，使學(xué)生認(rèn)識(shí)到網(wǎng)絡(luò)攻防對(duì)抗的動(dòng)態(tài)性，增強(qiáng)整體防護(hù)意識(shí)，養(yǎng)成日常管網(wǎng)用網(wǎng)嚴(yán)謹(jǐn)細(xì)致的工作習(xí)慣，促進(jìn)職業(yè)素養(yǎng)提高。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計(jì)回顧與引入：回顧上節(jié)課主要內(nèi)容，通過(guò)三個(gè)測(cè)試題檢驗(yàn)學(xué)員對(duì)知識(shí)點(diǎn)掌握情況；對(duì)本次課的主要內(nèi)容進(jìn)行介紹，并明確本次課教學(xué)目標(biāo)。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點(diǎn)、重點(diǎn)，建議不要寫(xiě)成講稿）5.2入侵檢測(cè)系統(tǒng)一、入侵檢測(cè)系統(tǒng)基本概念入侵（Intrusion）：是指對(duì)任何企圖危及系統(tǒng)及資源的完整性、機(jī)密性和可用性的活動(dòng)。入侵檢測(cè)（IntrusionDetection）即對(duì)入侵行為的發(fā)覺(jué)，是指通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可獲得的信息及計(jì)算機(jī)系統(tǒng)中關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）：即進(jìn)行入侵檢測(cè)的軟件或硬件的組合。1.入侵檢測(cè)的發(fā)展歷史和發(fā)展趨勢(shì)誕生、發(fā)展歷程、發(fā)展趨勢(shì)2.入侵檢測(cè)的類型1）基于主機(jī)的入侵檢測(cè)系統(tǒng)（Host-BasedIDS,簡(jiǎn)稱HIDS）2）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（Network-BasedIDS,簡(jiǎn)稱NIDS）3）分布式入侵檢測(cè)系統(tǒng)（DistributedIDS,簡(jiǎn)稱DIDS）二、入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)1．體系結(jié)構(gòu)的演變過(guò)程2．通用入侵檢測(cè)框架3.現(xiàn)有IDS體系結(jié)構(gòu)的局限性三、入侵檢測(cè)系統(tǒng)的檢測(cè)方法1．基于異常的檢測(cè)分析方法異常檢測(cè)是目前入侵檢測(cè)系統(tǒng)分析方法研究的重點(diǎn)，其特點(diǎn)是通過(guò)對(duì)系統(tǒng)異常行為的檢測(cè)，可以歸結(jié)出未知攻擊。異常檢測(cè)的關(guān)鍵問(wèn)題在于正常使用模型的建立，以及如何通過(guò)正常使用模型對(duì)當(dāng)前的系統(tǒng)行為進(jìn)行比較，從而判斷出與正常模型的偏離程度。常用的異常檢測(cè)方法有：1）基于統(tǒng)計(jì)方法的異常檢測(cè)2）基于數(shù)據(jù)挖掘技術(shù)的異常檢測(cè)3）基于神經(jīng)網(wǎng)絡(luò)的異常檢測(cè)2．基于誤用的檢測(cè)分析方法誤用（Misuse）：指“可以用某種規(guī)則、方式、模型表示的入侵攻擊或其他安全相關(guān)行為”?；谡`用的入侵檢測(cè)（MisuseDetection）技術(shù)：通過(guò)某種方式預(yù)先定義入侵行為，然后監(jiān)視系統(tǒng)的運(yùn)行，井根據(jù)所建立的這種入侵模式來(lái)檢測(cè)入侵，并從中找出符合預(yù)先定義規(guī)則的入侵行為。3.常用的誤用檢測(cè)技術(shù)1）模式匹配例如協(xié)議匹配、字符串匹配、長(zhǎng)度匹配、累積匹配或增量匹配等；2）協(xié)議分析技術(shù)將協(xié)議分析與模式匹配相結(jié)合，可以獲得更高的效率和更精確的結(jié)果。5.4蜜罐與蜜網(wǎng)一、蜜罐的基本概念蜜罐（honeypot）是一種價(jià)值在于被探測(cè)、攻擊、破壞的系統(tǒng)，是一種網(wǎng)絡(luò)管理員可以監(jiān)視、觀察攻擊者行為的系統(tǒng)。引入蜜罐的目的：一是分散攻擊者的注意力；二是收集同攻擊和攻擊者有關(guān)的信息。二、蜜罐的關(guān)鍵技術(shù)1．網(wǎng)絡(luò)欺騙技術(shù)2．?dāng)?shù)據(jù)控制技術(shù)3．?dāng)?shù)據(jù)收集技術(shù)4．報(bào)警技術(shù)5．入侵行為重定向技術(shù)三、蜜罐的分類1．從應(yīng)用層面分為產(chǎn)品型蜜罐和研究型蜜罐兩種。2．按交互等級(jí)分為低交互、中交互、高交互三種蜜罐。蜜罐主機(jī)的一個(gè)重要特性就是其交互等級(jí)。交互等級(jí)：是指攻擊者可以同蜜罐主機(jī)所在的操作系統(tǒng)的交互程度。四、蜜網(wǎng)蜜網(wǎng)（Honeynet）是一個(gè)網(wǎng)絡(luò)系統(tǒng)，而并非某臺(tái)單一的主機(jī)，這一網(wǎng)絡(luò)系統(tǒng)是隱藏在防火墻后面的，所有進(jìn)出的數(shù)據(jù)都受到關(guān)注、捕獲及控制。這些被捕獲的數(shù)據(jù)可供我們研究分析入侵者們使用的工具、方法及動(dòng)機(jī)。蜜罐與蜜網(wǎng)的實(shí)現(xiàn)方法：利用Snort軟件安裝利用HoneyD軟件安裝2021兩會(huì)期間，知道創(chuàng)宇提供免費(fèi)試用“云蜜罐”服務(wù)，云安全已經(jīng)成為新的發(fā)展方向。內(nèi)容小結(jié)：IDS基本概念、發(fā)展歷程、發(fā)展趨勢(shì)、體系結(jié)構(gòu)；HIDS、NIDS、DIDS；IDS的體系結(jié)構(gòu)；誤用檢測(cè)、異常檢測(cè)；蜜罐的價(jià)值、蜜罐的關(guān)鍵技術(shù)、蜜罐的分類；板書(shū)提綱：$5.2入侵檢測(cè)系統(tǒng)一、基本概念分類：HIDS、NIDS、DIDS發(fā)展歷程發(fā)展趨勢(shì)二、體系結(jié)構(gòu)CIDF三、入侵檢測(cè)分析技術(shù)異常檢測(cè)誤用檢測(cè)$5.4蜜罐與蜜網(wǎng)基本概念關(guān)鍵技術(shù)分類蜜網(wǎng)知識(shí)擴(kuò)展：課下搜集云安全的進(jìn)展。全程PPT輔助講解通過(guò)設(shè)問(wèn)防火墻能不能給我們提供安全的保證？引出教學(xué)內(nèi)容類比：病毒查殺的兩種技術(shù)，行為監(jiān)測(cè)法與特征代碼法。對(duì)比分析：異常檢測(cè)是給正常行為給出刻畫(huà)，不符合則認(rèn)為是入侵；誤用檢測(cè)是給攻擊行為給出刻畫(huà)，符合了則是入侵。結(jié)合實(shí)例分析結(jié)合實(shí)例分析思考：安全組織是如何辨別不同的黑客組織的呢？作業(yè)、討論題、思考題：作業(yè)：5-4、5-9、5-10拓展作業(yè)：感興趣的同學(xué)可以安裝Hfish蜜罐軟件，在互聯(lián)網(wǎng)中捕獲攻擊信息。課堂教學(xué)后記：（課堂教學(xué)反思、課堂優(yōu)化設(shè)計(jì)構(gòu)想等內(nèi)容，必須手寫(xiě)）《通信網(wǎng)絡(luò)安全與防護(hù)》課程教案授課時(shí)間年月日周節(jié)課次10授課方式（請(qǐng)打√）理論課√討論課□實(shí)驗(yàn)課□習(xí)題課□其他□課時(shí)安排2授課題目（教學(xué)章、節(jié)或主題）：第六章網(wǎng)絡(luò)安全協(xié)議（上）教學(xué)目的、要求（分掌握、熟悉、了解三個(gè)層次）：（1）熟悉Kerberos與X.509兩種安全認(rèn)證協(xié)議的實(shí)現(xiàn)原理及鑒別過(guò)程;（2）掌握IPsec體系結(jié)構(gòu)，熟悉IPsec的實(shí)現(xiàn)方式，掌握IPsec的工作模式；（3）熟悉安全關(guān)聯(lián)SA的概念，掌握AH、ESP兩種協(xié)議的安全特性及首部格式；（4）了解IKE的實(shí)現(xiàn)方法。教學(xué)重點(diǎn)及難點(diǎn)：重點(diǎn)：AH、ESP兩種協(xié)議；難點(diǎn)：安全關(guān)聯(lián)SA的理解。課堂教學(xué)設(shè)計(jì)（含思政）：本次課主要講解典型的安全認(rèn)證協(xié)議及IPsec協(xié)議，采用問(wèn)題引入、對(duì)比分析等教學(xué)方法，采用多媒體為主的信息化教學(xué)手段進(jìn)行授課，教學(xué)中注重通過(guò)問(wèn)題或知識(shí)回顧的方式啟發(fā)學(xué)員思考，加強(qiáng)師生互動(dòng)。思政要素切入點(diǎn)：通過(guò)協(xié)議設(shè)計(jì)的嚴(yán)密性（即協(xié)議需要將各種可能的不利因素考慮到），引導(dǎo)學(xué)員注重培養(yǎng)嚴(yán)謹(jǐn)細(xì)致的工作作風(fēng)，促進(jìn)職業(yè)素養(yǎng)提高；通過(guò)IPV4協(xié)議存在的安全隱患的分析，引導(dǎo)學(xué)員思考軍事網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，提高安全意識(shí)，增強(qiáng)對(duì)從事網(wǎng)絡(luò)安全防護(hù)工作重要性的認(rèn)識(shí)。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計(jì)回顧與引入：回顧第五章網(wǎng)絡(luò)防護(hù)技術(shù)的主要內(nèi)容，通過(guò)三個(gè)測(cè)試題檢驗(yàn)學(xué)員對(duì)知識(shí)點(diǎn)掌握情況；對(duì)網(wǎng)絡(luò)安全協(xié)議的分類介紹自己的思考，并明確本節(jié)課教學(xué)目標(biāo)。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點(diǎn)、重點(diǎn)，建議不要寫(xiě)成講稿）6.1安全認(rèn)證協(xié)議6.1.1Kerberos認(rèn)證協(xié)議1．Kerberos概述Kerberos是一種網(wǎng)絡(luò)身份認(rèn)證協(xié)議，其設(shè)計(jì)目的是通過(guò)密鑰密碼學(xué)技術(shù)為客戶端/服務(wù)器應(yīng)用提供一種強(qiáng)身份認(rèn)證的功能（Kerberos這個(gè)詞來(lái)源于希臘神話中看守冥府大門(mén)的三首地獄犬）。2．Kerberos認(rèn)證過(guò)程Kerberos認(rèn)證的具體流程如下3.Kerberos存在的問(wèn)題6.1.2X.509認(rèn)證1.概述X.509協(xié)議是國(guó)際電信聯(lián)盟電信標(biāo)準(zhǔn)化部門(mén)（ITU-T）制定的數(shù)字證書(shū)標(biāo)準(zhǔn)。2.證書(shū)的格式3.X.509的鑒別框架6.2安全通信協(xié)議人們很早就開(kāi)始關(guān)注TCP/IP協(xié)議簇的安全性問(wèn)題：地址欺騙風(fēng)險(xiǎn)數(shù)據(jù)篡改風(fēng)險(xiǎn)信息泄露風(fēng)險(xiǎn)高安全風(fēng)險(xiǎn)6.2.1IPSec協(xié)議簇1.IPSec設(shè)計(jì)目標(biāo)與體系結(jié)構(gòu)IPsec的設(shè)計(jì)目標(biāo)是為IPv4和IPv6提供可互操作的、高質(zhì)量的、基于密碼學(xué)的安全性保護(hù)。它工作在IP層，提供訪問(wèn)控制、無(wú)連接的完整性、數(shù)據(jù)源認(rèn)證、機(jī)密性保護(hù)、有限的數(shù)據(jù)流機(jī)密性保護(hù)以及抗重放攻擊等安全服務(wù)。IPsec的安全體系結(jié)構(gòu)：2.IPSec實(shí)現(xiàn)方式與工作模式IPsec可以在主機(jī)、路由器(防火墻)或在兩者中同時(shí)實(shí)施和部署，常用的實(shí)現(xiàn)方式：集成方式堆棧中的塊bitS方式線纜中的塊bitW方式工作模式：傳輸模式隧道模式3．IPSec的安全關(guān)聯(lián)1）SA的定義2）SA的單向性3）SA的組合4）SA的兩種類型4.安全關(guān)聯(lián)數(shù)據(jù)庫(kù)處理IPsec數(shù)據(jù)流必須維護(hù)兩個(gè)與SA相關(guān)的數(shù)據(jù)庫(kù)：安全策略數(shù)據(jù)庫(kù)(SPD)和安全關(guān)聯(lián)數(shù)據(jù)庫(kù)(SAD)。5.AH協(xié)議6.ESP協(xié)議7.IKE協(xié)議IKE就是IPsec規(guī)定的一種用于動(dòng)態(tài)管理和維護(hù)SA的協(xié)議。內(nèi)容小結(jié)：Kerberos、X.509IPsec體系SA、SPD、SADAH、ESP、IKE板書(shū)提綱：$6.1安全認(rèn)證協(xié)議一、Kerberos認(rèn)證協(xié)議1．概述2．鑒別過(guò)程3．存在問(wèn)題二、X.509認(rèn)證1．概述2．證書(shū)格式3．鑒別框架$6.2安全通信協(xié)議一、IPSec1．IPSec設(shè)計(jì)目標(biāo)與體系結(jié)構(gòu)2．IPSec實(shí)現(xiàn)方式與工作模式3．IPSec的安全關(guān)聯(lián)4．安全關(guān)聯(lián)數(shù)據(jù)庫(kù)5．AH6．ESP7．IKE知識(shí)擴(kuò)展：無(wú)全程PPT輔助講解回顧通信網(wǎng)技術(shù)基礎(chǔ)課程中對(duì)協(xié)議的定義由學(xué)員類比給出安全協(xié)議的理解什么是安全協(xié)議？引出教學(xué)內(nèi)容對(duì)比分析：Kerberos基于對(duì)稱密碼體制；X.509基