计算机网络安全教学大纲
《计算机网络安全》
一、说明:
(一)课程性质
《计算机网络安全》是为我院计算机科学与技术专业网络方向开设的一门专业课,属于计算机网络安全范畴,是培养学生计算机网络安全基本理论素质和应用能力的一门必修课,是在学习其它计算机类课程的基础上展开的。本课程对于培养学生的理论思维、实践能力、创新能力,分析和解决问题的能力都起到重要作用,对网络方向的学生培养目标的实现都起到关键作用的课程。
(二)课程目的
本课程的教学目的是使学生掌握计算机网络安全基础理论知识,具备熟练操作和使用计算机进行网络安全攻防的能力,为培养网络安全管理员奠定理论基础和培养应用技能。
(三)教学内容
1.掌握网络安全的研究体系、了解实验环境的配置
2.熟练掌握网络安全协议基础知识;
3.掌握网络安全编程基础;
4.熟练掌握网络扫描与网络监听原理和操作方法;
5.熟练掌握网络入侵原理和操作方法;
6.熟练掌握网络后门与网络隐身原理和操作方法;
7.掌握操作系统安全配置方案基本知识;
(四)教学时数
60学时(理论40学时,实践20学时)
(五)教学方式
“理论联系实际,并有所发展”是本课程的指导方针:
(1)“理论”即计算机网络以及网络安全的理论。
(2)“实际”即众多的网络安全攻防工具。
(3)“发展”即利用编程技术编写一些网络安全工具。
本课程具有基础理论知识广泛、操作性强的特点,是一门理论性和实践性很强的课程。在教学过程中,应注重学生基本操作能力和解决实际问题能力的培养,既要重视基础理论、基础知识的教学,又要重视上机实验与实践教学环节。课堂讲授与上机实验课时比例应保持在2:1。采用多媒体教学课件、网络、模拟实验等现代化教学手段,充分利用多媒体网络教学系统和大屏幕投影进行教学。积极采用案例教学方法,逐步建立以学生为主体的互动式教学模式。
二、本文
理论部分
第一章网络安全概述与环境配置
教学要点:
1.了解研究网络安全的必要性;
2.掌握网络安全研究的体系;
3.理解应用软件的安全等级;
4.了解研究网络安全社会意义;
5.了解目前计算机网络安全的相关法规;
6.具备实验环境的配置能力;
7.能够进行简单的抓取网络数据包实验。
教学时数:
4学时
教学内容:
1.1网络安全研究的体系学时)
网络安全攻防体系,攻击技术,防御技术,网络的层次体系:物理安全、逻辑安全、操作系统安全、联网安全等。
1.2研究网络安全的必要性学时)
物理威胁,系统漏洞造成的威胁,身份鉴别威胁,线缆连接威胁,有害程序
等方面的威胁。
1.3研究网络安全社会意义学时)
网络安全与政治,网络安全与经济,网络安全与社会稳定,网络安全与军事。
1.4目前计算机网络安全的相关法规学时)
我国立法情况,国际立法情况。
1.5评价一个系统或者应用软件的安全等级(1学时)
我国评价标准,国际评价标准,安全级别:D、C1、C2、B1、B2、B3、A,1.6实验环境的配置(1学时)
安装VMware虚拟机、sniffer抓包
考核要求:
1.计算机网络安全研究的体系、研究网络安全社会意义与必要性、相关法规。
2.采用演示及案例教学使学生具备实验环境的配置能力、简单的抓取网络数据包的能力,以便为学习后续章节奠定基础。
第二章网络安全协议基础
教学要点:
1.重点理解OSI参考模型和TCP/IP协议簇的联系和区别
2.理解IP/TCP/UDP/ICMP协议头的结构并且学会使用Sniffer进行分析
3.了解常用的网络服务以及它们提供服务的端口。
4.熟练掌握常用网络命令及其使用方法。
教学时数:
6学时
教学内容:
OSI七层网络模型(1学时)
物理层,数据链路层,网络层,传输层,会话层,表示层,应用层。
TCP/IP协议簇(1学时)
OSI与TCP/IP比较,解剖TCP/IP模型,
介绍IP协议、TCP协议、UDP协议和ICMP协议(1学时)
网络协议IP
IP头结构、抓取ping命令发送的数据包、IPV4地址分类、子网掩码。
传输控制协议TCP
TCP协议的头结构、一次完整的FTP会话、TCP的特点、TCP的工作原理、TCP协议三次握手。
用户数据协议UDP
UDP与TCP的区别、UDP与TCP的差异、UDP与TCP传递数据的比较、UDP 的头结构、UDP数据报分析、设置DNS解析。
互联网控制消息协议ICMP
ICMP协议的结构、ICMP协议的头结构、ICMP数据报分析。
常用的网络服务:文件传输服务、Telnet服务、电子邮件服务和、Web服务(1学时)
FTP服务
命令行登录、图形界面登录、更改登录用户信息
Telnet服务
开启Telnet服务、连接Telnet服务
Email服务
Smtp协议、pop3协议
常用的网络服务端口和常用的网络命令的使用(2学时)
常用的网络服务端口
常用的网络命令的使用
1.判断主机是否连通的ping指令
2.查看IP地址配置情况的ipconfig指令
3.查看网络连接状态的netstat指令
4.进行网络操作的net指令
5.进行定时器操作的at指令
考核要求:
1.设计精品案例,增强学生操作能力和理解;
2.通过仿真实验软件,加强学生对重点和难点问题的理解和掌握;
3.采用实验教程规范实验内容,强化能力培养;
4.本部分的课堂讲授与实践教学比例应掌握在2:1左右。
第三章网络安全编程基础
教学要点:
1.重点掌握Windows操作系统的内部机制,理解C语言四个阶段编程的特点。
2.重点掌握网络安全编程领域的Socket编程、注册表编程、定时器编程、驻留程序的编程和多线程编程。
教学时数:
6学时
教学内容:
网络安全编程概述(1学时)
Windows内部机制
八大基本概念:窗口、程序、进程、线程、消息、事件、句柄、API与SDK 编程工具的使用(2学时)
Windows操作系统的基本原理以及C语言的四个发展阶段,每一阶段都用典型的案例说明。
网络安全编程(3学时)
在网络安全领域如何使用C/C++语言实现Socket编程、注册表编程、定时器编程、驻留程序编程和多线程编程。
考核要求:
1.设计精品案例,增强学生VC++编程的综合运用能力;
2.通过自助式学习软件,加强学生对重点和难点问题的理解和掌握;
3.采用实验教程规范实验内容,强化能力培养;
4.本部分的课堂讲授与实践教学比例应掌握在2:1左右。
第四章网络扫描与网络监听
教学要点:
1.重点掌握网络攻击技术中的网络扫描和监听技术原理。
2.了解黑客的概述以及分类等常识,
3.了解网络踩点的概念,掌握利用的工具以及程序,掌握扫描技术中的被
动策略扫描和主动策略扫描。
4.掌握网络监听的概念和掌握密码监听工具的使用。
教学时数:
5学时
教学内容:
黑客概述(1学时)
黑客的定义,黑客的分类、黑客的行为发展趋势、黑客精神、黑客守则。
攻击与安全的关系(2学时)
攻击五部曲隐蔽IP地址、踩点扫描、获取系统或管理员权限、种植后门、在网络中隐身
网络踩点与扫描(2学时)
踩点:踩点的概念、踩点的方法
扫描:扫描的概念,扫描方式,被动策略扫描:系统用户扫描、开放端口扫描、共享目录扫描、利用TCP协议实现端口扫描,主动策略扫描:漏洞扫描、网络监听(2学时)
网络监听软件,工具sniffer,监听工具pswmonitor
考核要求:
1.设计精品案例,增强学生网络踩点、网络扫描和网络监听操作的综合运用能力;
2.通过自助式学习软件,加强学生对重点和难点问题的理解和掌握;
3.采用实验教程规范实验内容,强化能力培养;
4.本部分的课堂讲授与实践教学比例应掌握在1:1左右。
第五章网络入侵
教学要点:
1.了解网络攻击的常用手段和技巧
2.掌握有代表性的工具,其他的工具可以进行有效的攻击。
3.需要了解社会工程学攻击的基本方法、学会防范物理攻击。
4.重点掌握暴力攻击下的暴力破解操作系统密码、暴力破解邮箱密码和暴力破解Office文档的密码;
5.掌握各种漏洞攻击以及防御手段,掌握各种缓冲区溢出攻击的手段以及防御的手段。
6.了解拒绝服务攻击的概念。
教学时数:
6学时
教学内容:
常用的网络攻击手段(4学时)
社会工程学攻击
物理攻击:物理攻击与防范、得到管理员密码、普通用户建立管理账户
暴力攻击:字典文件、暴力破解系统管理员密码、暴力破解邮箱密码、暴力破解软件密码、修改权限密码、破解word文档密码
利用Unicode漏洞攻击:Unicode漏洞检测方法、Unicode漏洞、读取系统盘目录、删除主页、拷贝文件、查看C盘目录、入侵系统、上载文件、查看scripts 目录、入侵对方主机、建立用户、打印漏洞、SMB致命攻击。
利用缓冲区溢出漏洞进行攻击等技术:RPC漏洞溢出、利用RPC漏洞建立超级用户、利用IIS溢出漏洞攻击、监听本地端口、利用WEBdav远程溢出、拒绝服务攻击
攻击工具的使用及代码实现(2学时)
介绍流行的攻击工具的使用以及部分工具的代码实现。
考核要求:
采用实验教程规范实验内容,培养学生网络攻击的常用手段和技巧,强化能力培养。
第六章网络后门与网络隐身
教学要点:
1.掌握入侵过程中三个非常重要的步骤。隐藏IP、种植后门和在网络中隐身
2.了解隐藏IP通过网络代理跳板来实现,在网络中隐身通过清除系统日志来完成
3.需要重点掌握和理解网络后门的建立方法以及如何通过后门程序再一次入侵对方的主机。
4.学会使用常用的木马进行远程控制,掌握网络代理跳板和清楚系统日志的方法。掌握如何利用C程序实现服务器和客户机的交互。
教学时数:
7学时
教学内容:
网络后门(2学时)
网络后门概念
案例:远程启动Telnet服务
案例:记录管理员口令修改过程
案例:建立WEB服务和Telnet服务
707端口
案例:让guest用户具有管理权限
案例:三种方法连接到终端服务
案例:安装并启动终端服务
木马(2学时)
木马的概念
木马和后门的区别
常见木马的使用
案例:冰河
网络代理跳板(3学时)
网络代理跳板的工作原理
网络代理跳板工具的使用snake
清除日志(1学时)
清除IIS日志
清除主机日志
事件查看器
考核要求:
采用实验教程规范实验内容,培养学生网络后门与网络隐身能力,强化能力培养。
第七章操作系统安全配置方案
教学要点:
1.了解Windows 2000的安全配置。
2.了解安全配置三十六项
3.需要重点理解三大部分中的每一项设置,并掌握如何设置。
4.重点掌握和理解初级篇讲述常规的操作系统安全配置。
5.掌握中级篇介绍操作系统的安全策略配置。
6.掌握高级篇介绍操作系统安全信息通信配置。
教学时数:
6学时
教学内容:
操作系统概述(2学时)
Linux
Unix
Windows NT/2000/2003 server
Windows 2000服务器的安全配置原则(4学时)
安全配置初级篇:物理安全、停止guest帐号、限制用户数量、多个管理员
帐号、管理员帐号改名、陷阱帐号、更改默认权限、安全密码、屏幕保护程序、NTFS分区、防毒软件、备份盘的安全
安全配置中级篇:操作系统安全策略、关闭不必要的服务、关闭不必要的端口、开启审核策略、开启密码策略、开启帐户策略、备份敏感文件、不显示上次登录名、禁止建立空连接、下载最新的补丁
安全配置高级篇:关闭DirectDraw、关闭默认共享、禁用Dump File、文件加密系统、加密Temp文件夹、锁住注册表、关机时清除文件、禁止软盘光盘启动、使用智能卡、使用IPSec、禁止判断主机类型、抵抗DDOS、禁止Guest访问日志和数据恢复软件
考核要求:
采用实验教程规范实验内容,培养学生操作系统安全配置的能力,强化能力培养。
实验部分
(一)基本要求
采用实验教程规范实验内容,培养学生操作系统安全配置的能力,强化能力培养。设计精品案例和实验,增强学生网络踩点、网络扫描和网络监听操作的综合运用能力;培养学生网络攻击的常用手段和技巧;培养学生网络后门与网络隐身能力;培养学生网络安全初级、中级及高级综合配置能力。
(二)项目总表
(三)实验内容
本系列实验所需主要设备及软件:计算机、VC6++、sniffer、冰河、snake、windows 2000 server等。
实验一常用网络命令及其使用方法(4学时)
实验目的:
熟练掌握常用网络命令及其使用方法。
实验器材:
计算机及局域网
实验内容:
1.判断主机是否连通的ping指令
2.查看IP地址配置情况的ipconfig指令
3.查看网络连接状态的netstat指令
4.进行网络操作的net指令
5.进行定时器操作的at指令
考核要求:
1.实验前认真预习实验内容,明确实验的目的和具体实验内容,做好实验之前的必要准备;
2.想好实验的操作步骤,明确通过实验到底可以学习哪些知识,想一想怎么样有意识地提高教学实验的真正效果。
3.在教学实验过程中,要认真记录实验步骤中的实验结果,仔细分析遇到的现象与问题,找出解决问题的办法,有意识地提高自己创新思维能力;
4.填写完整的实验报告。
实验二C++网络安全编程(2学时)
实验目的:
设计精品案例,增强学生VC++编程的综合运用能力。
实验器材:
计算机、C++
实验内容:
网络安全编程领域的Socket编程、注册表编程、定时器编程、驻留程序的编程和多线程编程。
考核要求:
1.实验前认真预习实验内容,明确实验的目的和具体实验内容,做好实验之前的必要准备;
2.想好实验的操作步骤,明确通过实验到底可以学习哪些知识,想一想怎么样有意识地提高教学实验的真正效果。
3.在教学实验过程中,要认真记录实验步骤中的实验结果,仔细分析遇到的现象与问题,找出解决问题的办法,有意识地提高自己创新思维能力;
4.填写完整的实验报告。
实验三Sniffer/Pswmonitor工具软件(2学时)
实验目的:
增强学生网络踩点、网络扫描和网络监听操作的综合运用能力。
实验器材:
计算机、sniffer、pswmonitor
实验内容:
1.被动策略扫描:系统用户扫描、开放端口扫描、共享目录扫描、利用TCP 协议实现端口扫描;
2.主动策略扫描:漏洞扫描
3.Sniffer/pswmonitor监听
考核要求:
1.实验前认真预习实验内容,明确实验的目的和具体实验内容,做好实验之前的必要准备;
2.想好实验的操作步骤,明确通过实验到底可以学习哪些知识,想一想怎
么样有意识地提高教学实验的真正效果。
3.在教学实验过程中,要认真记录实验步骤中的实验结果,仔细分析遇到的现象与问题,找出解决问题的办法,有意识地提高自己创新思维能力;
4.填写完整的实验报告。
实验四网络攻击常用的手段与技巧(4学时)
实验目的:
1.了解网络攻击的常用手段和技巧
2.掌握有代表性的工具,其他的工具可以进行有效的攻击。
3.需要了解社会工程学攻击的基本方法、学会防范物理攻击。
4.重点掌握暴力攻击下的暴力破解操作系统密码、暴力破解邮箱密码和暴力破解Office文档的密码;
5.掌握各种漏洞攻击以及防御手段,掌握各种缓冲区溢出攻击的手段以及防御的手段。
实验器材:
计算机、服务器
实验内容:
1、物理攻击:得到管理密码、普通用户建立管理帐号
2、暴力攻击:字典文件、暴力破解系统管理员密码、暴力破解邮箱密码、暴力破解软件密码、修改权限密码、破解word文档密码
3、利用Unicode漏洞攻击:Unicode漏洞检测方法、Unicode漏洞、读取系统盘目录、删除主页、拷贝文件、查看C盘目录、入侵系统、上载文件、查看scripts目录、入侵对方主机、建立用户、打印漏洞、SMB致命攻击。
4、利用缓冲区溢出漏洞进行攻击等技术:RPC漏洞溢出、利用RPC漏洞建立超级用户、利用IIS溢出漏洞攻击、监听本地端口、利用WEBdav远程溢出、拒绝服务攻击
考核要求:
1.实验前认真预习实验内容,明确实验的目的和具体实验内容,做好实验
之前的必要准备;
2.想好实验的操作步骤,明确通过实验到底可以学习哪些知识,想一想怎么样有意识地提高教学实验的真正效果。
3.在教学实验过程中,要认真记录实验步骤中的实验结果,仔细分析遇到的现象与问题,找出解决问题的办法,有意识地提高自己创新思维能力;
4.填写完整的实验报告。
实验五冰河、snake黑客软件的使用(4学时)
实验目的:
1.掌握入侵过程中三个非常重要的步骤。隐藏IP、种植后门和在网络中隐身
2.了解隐藏IP通过网络代理跳板来实现,在网络中隐身通过清除系统日志来完成
3.需要重点掌握和理解网络后门的建立方法以及如何通过后门程序再一次入侵对方的主机。
4.学会使用常用的木马进行远程控制,掌握网络代理跳板和清楚系统日志的方法。掌握如何利用C程序实现服务器和客户机的交互。
实验器材:
计算机、冰河、snake
实验内容:
1.安装冰河软件服务端、客户端
2.设置冰河服务器配置
3、查看注册表
4、使用冰河客户端添加主机
5、控制远程屏幕
6、使用snake代理跳板
7、查看1122端口
8、代理级别配置
9、设置经过的代理服务器
10、设置可以访问的代理客户端
11、启动代理跳板
12、设置scoks代理
13、设置需要代理的应用程序
14、查看代理结果
考核要求:
1.实验前认真预习实验内容,明确实验的目的和具体实验内容,做好实验之前的必要准备;
2.想好实验的操作步骤,明确通过实验到底可以学习哪些知识,想一想怎么样有意识地提高教学实验的真正效果。
3.在教学实验过程中,要认真记录实验步骤中的实验结果,仔细分析遇到的现象与问题,找出解决问题的办法,有意识地提高自己创新思维能力;
4.填写完整的实验报告。
实验六网络安全初、中、高级配置(4学时)
实验目的:
1.重点掌握和理解初级篇讲述常规的操作系统安全配置。
2.掌握中级篇介绍操作系统的安全策略配置。
3.掌握高级篇介绍操作系统安全信息通信配置。
实验器材:
服务器、windows 2000 server
实验内容:
1.安全配置初级篇:物理安全、停止guest帐号、限制用户数量、多个管理员帐号、管理员帐号改名、陷阱帐号、更改默认权限、安全密码、屏幕保护程序、NTFS分区、防毒软件、备份盘的安全
2.安全配置中级篇:操作系统安全策略、关闭不必要的服务、关闭不必要的端口、开启审核策略、开启密码策略、开启帐户策略、备份敏感文件、不显示上
次登录名、禁止建立空连接、下载最新的补丁。
3.安全配置高级篇:关闭DirectDraw、关闭默认共享、禁用Dump File、文件加密系统、加密Temp文件夹、锁住注册表、关机时清除文件、禁止软盘光盘启动、使用智能卡、使用IPSec、禁止判断主机类型、抵抗DDOS、禁止Guest 访问日志和数据恢复软件
实验要求与实验报告内容:
1.实验前认真预习实验内容,明确实验的目的和具体实验内容,做好实验之前的必要准备;
2.想好实验的操作步骤,明确通过实验到底可以学习哪些知识,想一想怎么样有意识地提高教学实验的真正效果。
3.在教学实验过程中,要认真记录实验步骤中的实验结果,仔细分析遇到的现象与问题,找出解决问题的办法,有意识地提高自己创新思维能力;
4.填写完整的实验报告。
(四)考核要求
为了提高实践教学的质量,进一步增强学生对实验课重要性的认识,实验课成绩的考核尤为关键。其考核办法是:学生在完成每一个单元的实验后,必须经过实验指导老师的验收登记予以认可。实验课全部结束后,每人提交一份实验报告(要求独立完成,坚决杜绝抄袭),实验成绩根据学生完成实验的情况、平时表现、遵守实验室规章制度的情况、实验报告完成的情况、有无违章操作而损坏实验设备的记录等,按优、良、中、及格、不及格五级制予以综合评定。
实验采取开放式教学形式,2—3人一组进行实验,以小组为单位记分,实验成果和实验报告占总成绩30%;实验考试采取单人形式,占总成绩的70%。
三、参考书目
1、Andrew S. Tanenbaum,《计算机网络》,清华大学出版社
2、Douglas ,《计算机网络与因特网》(Computer Networks and Internets),清华大学出版社
3、肖宏伟,《专家门诊--Visual C++开发答疑300问》,人民邮电出版社
4.高永强郭世泽,《网络安全技术与应用大典》,人民邮电出版社
四、本课程使用教具和现代教育技术的指导性意见
本课程采用多媒体教学、网络教学等多种现代教学手段提高教学质量,以理论考试和实验测试、课堂质疑和小论文、读书报告等形式为主要测试手段,以教、研、讨等互动形式为主要课堂组织形式,强调培养学生的理解能力、动手能力与创新能力,提高学生的综合素质。
五、课外学习
(一)课外读书
1、目标
通过广泛而有序的课外读书获取、筛选信息,开阔学生的视野、丰富学生的知识、培养适应社会发展的各种能力。
2、阅读书目
1.《计算机网络安全》,清华大学出版社,刘远生主编;
2.《下一代网络安全》,人民邮电大学出版社,思科系统(中国)网络技术有限公司编著;
3.《计算机网络安全》,机械工业出版社,梁亚声编著;
4.《计算机网络安全》,人民邮电出版社,沈鑫剡著;
5.《计算机网络和网络安全基础》,北京理工大学出版社,高飞高平译
6.《VPN与网络安全》,电子工业出版社,戴宗坤唐三平编著
7.《攻击与防护——网络安全与实用防护技术》,人民邮电出版社,求是科技等著;
8.《配置ISA Server 2000构建Windows 2000防火墙》,机械工业出版社,:(美)Thomas 等著智慧东方工作室译;
9.《计算机网络安全》,清华大学出版社,薛庆永编著;
10.《计算机网络安全技术》,大连理工大学出版社,薛庆永编著。
3、学习要求
(1)复述性理解:理解读物所传递的基本信息和读物提供的内容;
(2)解释性理解:把读物内容转化为自己的认识;
(3)评价性理解:对所读材料内容作出自己的判断;
(4)创造性理解:逐步培养学生探究性阅读和创造性阅读的能力,提倡多角度的、有创意的阅读,利用阅读期待、阅读反思和批判等环节,拓展思维空间,提高阅读质量。
4、时间安排
课余时间以学生自学为主,教师不定期安排指导不少于8个学时。
5、评价方式
通过检查学生的读书笔记、摘记、阅读卡等书面材料,以量化的形式定时、定量甚至定主题来评价学生的阅读情况。同时通过学生间的互相检查,来达到评价的目的。使课外读书能够趋于常规化,做到天天读、周周读、月月读,同时也充分挖掘学生自我评价能力。评价可分为优、良、中、及格和不及格五个档次。(二)课外讨论
1、目标
通过有组织的课外专题讨论、案例讨论等形式,培养学生的语言表达能力和逻辑推理能力、激发学生的创造性思维能力,丰富学生的知识、使学生成长为适应社会发展需求的合格人才。
2、讨论内容
(1)《网络安全与黑客攻防宝典》,案例讨论;
(2)《windows 2000 server 网络安全配置》,案例讨论;
(3)《WORD文档密码暴力破解》,案例讨论;
(4)《网络文化与人的发展》,专题讨论。
3、讨论要求
围绕教学中心制定讨论计划,通过有组织的课外讨论,使学生在语言表达能力和逻辑推理能力、以及创造性思维能力等方面得到较大提高,掌握小型讨论会的组织方法,并能够较为熟练地掌握各种讨论技巧和方法。
4、时间安排
每月组织一次班级讨论或小型研讨会。设置兴趣小组,每组大约为10人,每班最多设5个小组。小组设正副组长两人。兴趣小组的活动主要是案例讨论和专题讨论。
5、评价方式
教师参与学生讨论会,并对学生讨论的综合能力做出客观评价,同时鼓励学生间的互相评价和自我评价。评价可分为优、良、中、及格和不及格五个档次。(三)实践活动
1、目标
实践活动的教学安排,主要目的是促使学生比较扎实地掌握专业技能,提高学生专业实践能力与创新素质。主要办法是强化实训教学的力度。在校内专业实验室,由辅导教师专门指导,进行各种网络应用实际操作练习,解决所遇到的各种难题。
2、实践内容
(1)常用网络命令及其使用方法(实验室完成)
(2)C++网络安全编程(实验室完成)
(3)Sniffer/pswmonitor工具软件(实验室完成)
(4)网络攻击的常用手段与技巧(实验室完成)
(5)冰河、snake黑客软件的使用(实验室完成)
(6)网络安全初、中、高级配置(实验室完成)
3、实践要求
(1)熟练掌握常用网络命令及其使用方法。
(2)设计精品案例,增强学生VC++编程的综合运用能力。
(完整版)《网络安全》教学大纲
《网络安全技术》课程教学大纲 课程编号: 课程名称:网络安全技术及应用 课程类型:必修课 总学时:72 讲课学时:36 实验学时:36 学分: 适用对象:计算机专业 一、课程性质、目的及任务 随着计算机网络与通讯技术的发展,Internet在人们的生活、学习和工作中的位置越来越重要,网络信息的安全已经成为各行各业中非常重要的环节。因此,能够掌握一定的网络信息安全知识已成为网络管理中的一种必须技能。 同时随着服务器管理技术的不断发展,现在国内的各行各业的网络大多只是处于组建内部网或接入公网,根本谈不上真正意义的网络管理,要想管理好网络就必须具备一定的网络信息安全知识,所以网络信息安全的管理人员将大量需要,网络信息安全将会成为网络管理的发展趋势。 本课程将介绍一定的网络安全中常用黑客攻击技术和搭建一个企业网络安全体系,同时使学习者能够熟练的使用常用的黑客攻击和系统防御工具,了解信息安全的整个过程,以适应现代网络管理的需要。 二、教学基本要求 按照“以能力为本位、以职业实践为主线、以项目课程为主体的模块化专业课程体系”的总体设计要求,该门课程以满足一下要求为基本理念 (1)、体系性要求:所设计的模块课程,要求能够既能自成体系,又能独立使用。所谓自成体系是指单个模块课程要涵盖该模块所涉及的所有内容领域,不能有遗漏;所谓能够独立使用,是指该模块课程的设计,要以每一任务为单位,对每一节课甚至每个知识点,要设计出适合教学需要的任务课程,它可以独立用于教学。 (2)、功能性要求:所设计模块课程在教学过程中,要在如下五个方面起重要作用:一是用于辅助教师教学,重点在于向学生演示和表达知识,突破重点和难点,辅助教师进行知识的传授;二是辅助学生学习,重点帮助学生巩固知识,诱导学生积极思考,帮助学生发现探索知识;三是提供资料参考,重点在于提供教师备课以及学生学习时的相关参考资料;四是用于学生的兴趣扩展,重点用于帮助学生发展兴趣爱好、增长见识、形成个性。五是能即时测评,重点在于对学习者的学习效果进行评价并即时反馈。 (3)技能性要求:模块教学设计要符合人才培养方案,要有利于激发学生的学习动机和提高学习兴趣,最终达到让学生掌握改课程所传授的技能,并能将这些技能应用的以后的工作中。 三、课程目标 通过项目引领的软件开发活动,掌握一定的网络安全管理技能,对windows系统的安全配置和
《网络安全技术》详细教学大纲
《网络安全技术》教学大纲 课程名称:网络安全技术英语名称:Network security technology 课程代码: 课程性质:专业支持必修 学分学时数:4/64 适用专业:计算机应用技术专业 修(制)订人: 修(制)订日期:2009年2月6日 审核人: 审核日期: 审定人: 审定日期: 一、课程的性质和目的 (一)课程性质 本课程是一门新兴科学,属于计算机应用技术专业(普专、远程)的专业限选课程,为学生的选修课。实施网络安全的首要工作就是要进行网络防X 设置。深入细致的安全防X 是成功阻止利用计算机网络犯罪的途径,缺乏安全防X 的网络必然是不稳定的网络,其稳定性、扩展性、安全性、可管理性没有保证。本课程在介绍计算机网路安全基础知识的基础上,深入细致的介绍了网络安全设置的方法和经验。并且配合必要的实验,和具体的网络安全案例,使学生顺利掌握网络安全的方法。 (二)课程目的 1.使学生对网络安全技术从整体上有一个较全面的了解。 2.了解当前计算机网络安全技术面临的挑战和现状。 3.了解网络安全技术研究的内容,掌握相关的基础知识。 4.掌握网络安全体系的架构,了解常见的网络攻击手段,掌握入侵检测的技术和手段。 5.了解网络安全应用领域的基础知识。 二、教学内容、重(难)点、教学要求及学时分配 第一章:安全技术基础绪论(4学时) 1、讲授内容: 开放与安全的冲突;面临的挑战;计算机网络安全主要内容;当前状况。 2、教学要求: 了解:开放与安全的冲突 ……………………………………………………………………装……订……线……………………………………………………………………………………………………………
计算机及网络安全保密管理规定
计算机及网络安全保密管理规定 1
武汉XX有限公司 计算机及网络安全保密管理规定 第一章总则 第一条为加强武汉XX有限公司(以下简称公司)计算机及网络安全保密管理工作,保障计算机及其网络安全运行,防止国家秘密和公司内部信息泄露,根据国家行政法规和上级机关有关规定,结合公司实际制订本规定。 第二条公司内部网络是指覆盖公司在武汉、襄樊两地部门的网络;国际联网是指各单机用户为实现信息的国际交流,同国际互联网(因特网)或其它国际性公共网络相联。 第三条涉及联网的部门和个人,应当严格遵守国家有关法律法规,严格执行安全保密制度,不得利用内部网络和国际联网从事危害国家和集团安全,泄露国家、集团和公司秘密等违法犯罪活动。 第二章计算机及其网络的管理与运行 第四条公司各部门计算机(包括台式计算机和便携式计算机)分为涉密计算机和非涉密计算机,计算机主机醒目处须有”涉密” 2
或”非涉密”标识,以示区分。存储、处理涉密信息的计算机以及联入集团涉密系统的计算机为涉密计算机;非涉密计算机严禁存储和处理涉密信息,严禁联入集团内部涉密系统。经集团保密工作部门批准,公司办和业务一部分别安排一台计算机接入集团涉密系统,实行专人管理。 第五条接入集团涉密系统的计算机由公司按国家对涉密网的管理规定和集团计算机网络安全管理部门的要求进行购置,由集团计算机网络安全管理部门或在其指导下进行调试和维护管理。公司信息化管理部门为公司计算机及网络安全管理部门,必须设立专职网络管理员,对公司的联网计算机进行统一管理。 第六条未经允许,任何部门和个人不得私自在集团内部网上接入各类网络设备,也不得在已接入集团内部网的网络设备上随意安装各种软件,更不能以非法身份侵入内部网络或擅自更改各类网络运行参数。专职网络管理员应定期对公司的联网计算机进行检查并做好相关记录。 第七条要加强对公司计算机联网服务器的安全管理和对计算机网络管理人员的教育管理,有权出入计算机网络服务器机房的工作人员为公司专职网络管理人员,非工作人员进入须经公司党群办审查批准。 第八条公司联入集团内网的两台计算机需要保留软驱和光 3
浅谈计算机网络安全技术
浅谈计算机网络安全技术 近年来,随着计算机在社会生活各个领域的广泛运用,网络已成为一个无处不在、无所不用的工具。然而,网络安全问题也越来越突出,特别是计算机病毒以及计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性、网络资源的共享性等因素,致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。为确保信息的安全与畅通,我们必须不断加强和提高网络安全防范意识。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。从技术上来说,主要由防病毒、防火墙等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、PKI技术等。网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。 网络安全应具有以下四个方面的特征: (1)保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 (2)可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击; (3)可控性:对信息的传播及内容具有控制能力。 (4)可审查性:出现的安全问题时提供依据与手段。 从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extranet)、全球互连网(Internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,整体的网络安全主要表现在以下几个方面:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。因此计算机安全问题,应该象每家每户
计算机网络安全管理全
网络安全:网络安全硬件、网络安全软件、网络安全服务。 网络协议:为网络数据交换而建立的规则、标准或者约定。它的三要素为语法、语义、同步。语法:数据与控制信息的结构或格式。语义需要发出何种控制信息、完成何种协议以及做出何种作答。同步:事件实现顺序的详细说明。 网络体系结构:计算机网络的各层协议的集合。 OSI参考模型的分层原则:根据功能的需要分层;每一层应当实现一个定义明确的功能;每一层功能的选择应当有利于制定国际标准化协议;各层界面的选择应当尽量减少通过接口的信息量;层数应该足够多,以避免不同功能混扎在同一层中,但也不能过多,否则体系结构会过于庞大。 TCP—IP协议:是事实上的网络标准,由低到高分为网络接口层、网络层、传输层、应用层。 网络接口层:该层中的协议提供了一种数据传送的方法,使得系统可以通过直接的物理连接的网络,将数据传送到其他设备,并定义了如何利用网络来传送IP数据报。网络层协议:网络层协议IP是TCP-IP的核心协议,IP 可提供基本的分组传输服务。网络层还有地址转换协议(ARP)和网间控制报文协议(ICMP)。还提供了虚拟专用网(VPN)。 传输层协议:有传输控制协议(TCP)和用户数据报协议(UDP)。还提供了安全套接字服务(SSL)。 应用层协议:网络终端协议(Telnet)、文件传输协议(FTP)、简单邮件传输协议(SMTP)、邮件接收协议(POP)、超文本传输协议(HTTP)、域名服务(DNS)。系统安全结构:物理层(防止物理通路的损坏、窃听、攻击)、数据链路层(保证网络链路传送的数据不被窃听)、网络层(保证网络路由正确,避免被拦截和监听)、操作系统(保证客户资料、操作系统访问控制的安全)、应用平台(利用SSL),应用系统(使用应用平台提供的安全服务来保证基本安全)。 网络层的安全性:一般使用IP封装技术(其本质是纯文本的包被加密,封装在外层的IP报头里。用来对加密的包进行因特网上的路由选择,到达另一端时,外层的IP 头被拆开,报文被解密,然后送到收报地点),相应的安全协议可以用来在Internet上建立安全的IP通道和虚拟私有网。 传输层安全性:安全套接层协议(SSL),此协议包括SSL 记录协议和SSL握手协议。前者涉及应用程序提供的信息的分段、压缩、数据认证和加密。后者用来交换版本号、加密算法、身份认证并交换密钥。 应用层的安全性:它实际上是最灵活的处理单个文件安全性的手段。目前都是用PKI(公钥基础结构),此结构包括3个层次:顶层为网络层安全政策登记结构IPRA、第2层为安全政策证书颁发机构PCA、底层为证书颁发机构CA。 局域网的安全:局域网基本上都采用以广播为技术基础的以太网。它的安全分为网络分段、以交换式集线器代替共享式集线器(可防止网络监听)、虚拟专网。 网络分段:物理分段(是指将网络从物理层和数据链路层上分为若干网段)和逻辑分段(在网络层上进行分段)。虚拟专网VPN:以局域网交换技术(A TM和以太网交换)为基础的面向连接的技术,它的核心技术是采用隧道技术(将企业专网的数据加密封装后,透过虚拟的公网隧道进行传输,从而防止敏感数据的被窃)。 广域网的安全:加密技术(通过对网络数据的加密来保障网络的安全)、VPN技术、身份认证技术(对拨号用户的身份进行验证并记录完备的登陆日志)。 网络安全的威胁:安全漏洞(是指资源容易遭受攻击的位置)、乘虚攻击(通过利用环境中的安全漏洞访问到计算机中的资源产生)。 19.乘虚攻击的方法:利用技术漏洞型攻击(强力攻击、缓冲区溢出、错误配置、重放攻击、会话劫持);信息收集;拒绝服务(物理损坏、资源删除、资源修改、资源饱和) 20.网络系统的安全体系:访问控制、检查安全漏洞、攻击监控、加密通信、备份和恢复、多层防御、隐藏内部信息、设立安全监控信息。 21.网络安全的主要攻击形式:信息收集(防范信息收集的关键技术就是限制外部对资源进行未经授权的访问)、利用技术漏洞型攻击、会话劫持、防止DNS毒化、URL字符串攻击、攻击安全账户管理器、文件缓冲区溢出、拒绝服务、攻击后门攻击、恶意代码。 22.网络安全的关键技术:防电磁辐射(分为对传导发射的防护和对辐射的防护)、访问控制技术、安全鉴别技术(a. 网络设备的鉴别,基于VPN设备和IP加密机的鉴别;b. 应用程序中的个人身份鉴别;c. 远程拨号访问中心加密设备(线路密码机)与远程加密设备(线路密码机)的鉴别;d. 密码设备对用户的鉴别)、权限控制(操作系统、数据库的访问、密码设备管理、应用业务软件操作的权限控制)、通信保密(a. 中心网络中采用IP加密机进行加密;b. 远程拨号网络中采用数据密码机进行线路加密)、数据完整性、实现身份鉴别(可利用:a. 数字签名机制;b. 消息鉴别码;c. 校验等;d. 口令字;e. 智能卡; f.身份验证服务:Kerberos和X.509目录身份验证)、安全审计、病毒防范及系统安全备份,加密方法、网络的入侵检测和漏洞扫描、应用系统安全、文件传送安全、邮件安全。 23.保证网络安全的措施:防火墙、身份认证(主要包括验证依据、验证系统和安全要求)、加密(数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种)、数字签名(密文和用来解码的密 钥一起发送,而该密钥本身又被加密,还需要另一个密 钥来解码)、内容检查、存取控制、安全协议(加密协议, 身份验证协议,密钥管理协议,数据验证协议,安全审 计协议,防护协议)、智能卡技术。 网络的安全策略:它是纵深防御策略,包括物理安全、 数据防御、应用程序防御、主机防御、网络防御、周边 防御。 网络攻击常用工具:任何攻击都需要进行嗅探或端口扫 描。网络嗅探的常用工具为Ethereal(它是开放源代码 的软件,免费的网络协议程序,支持UNIX、Windows)、 端口扫描是主动的,常用攻击是nmap(它基于Linus和 UNIX)。 1、信息安全性表现在以下的四个特性:保密性、完整性、 可用性、可控性 2、一个加密网络,不但可以防止非授权用户的搭线窃听 和入网,而且也是对付恶意软件的有效方法 3、密码算法主要分为3类:对称密钥算法、公钥加密算 法(非对称加密)、单项函数算法。 4、对称密钥算法:这种技术使用单一的密钥加密信息, 加密和解密共用一把密钥。 5、公钥加密算法(非对称加密):这种技术使用两个密 钥,一个公钥用于加密信息,一个私钥用于解密信息。 这两把密钥之间具有数学关系,所以用一个密钥加密过 的资料只能用相应的另一个密钥来解密。 6、单项函数算法:这个函数对信息加密产生原始信息的 一个“签名”,即数字签名,该签名被在以后证明它的权 威性。 7、DES算法:它是最著名的对称密钥加密算法。DES 使用56位密钥和64位的数据块进行加密,并对64位数 据块进行16轮编码。在每轮编码时,一个48位的“每 轮”密钥值由56位的完整密钥的出来。 8、三重DES算法:这种方法用两个密钥对明文进行了 3次加密,但不是加密了3次,而是加密、解密、加密 的过程。用密钥1进行DES加密,用密钥2对步骤1的 结果进行DES解密,对步骤2的结果使用密钥1进行 DES加密。 9、RSA算法:是非对称加密算法,RSA是用两个密钥, 用公钥加密,私钥解密。加密时吧明文分成块,块的大 小可变,但不能超过密钥的长度。密钥越长,加密效果 越好,加密解密的开销也大,一般64位较合适。RSA 比较知名的应用是SSL。 10、公共密钥算法的2种用途:数据加密和身份认证。 11、数据加密:发送者用接收者的公钥对要发送的数据 加密,接收者用自己的私钥对接收到的数据解密。第三 者由于不知道接收者的私钥而无法破译该数据。 12、身份认证:发送者可以用自己的私钥对要发送的数 据加上“数字签名”,接收者可以通过验证“数字签名” 来确定数据的来源。 13、DES和RSA算法的比较:一是在加密解密的处理 效率方面,DES优于RSA;二是理方面,RSA比DES 更优越;;三是在安全性方面,两者都较好;四是在签名 和认证方面,RSA算法更容易。总之,DES加密解密速 度快,适用用于数据量大、需要在网上传播的信息。RSA 算法于数据量小但非常重要的数据,以及数字签名和 DES算法的密钥。 14、认证机构CA:它是证书的签发机构。他的职责是 验证并标识申请者的身份;确保CA用于签名证书的非 对称密钥的质量;确保整个签名过程的安全,确保签名 私钥的安全性;管理证书材料信息;确定并检查证书的 有效期限;确保证书主题标识的唯一性,防止重名;发 布并维护作废证书表;对整个证书签发过程做日志记录 及向申请人发通知等。CA也拥有一个证书,也有剖自 己的私钥,所以也有签字能力。 15、认证中心:是一个负责发放和管理数字证书的权威 机构。 16. 通用的加密标准分为:对称加密算法、非对称加密 算法、散列算法。 对称加密算法:DES、Triple-DES、RC2、RC4、CAST。 非对称加密算法:RSA、DSA、Diffie-Hellman。 散列算法:SHA-1、MD5。 17、数字证书:是一种能在完全开放系统中使用的证书 (例如互联网络),它的用户群绝不是几个人互相信任的 小集体。在这个用户群中,从法律度讲彼此之间都不能 轻易信任。所以公钥加密体系采用了将公钥和公钥主人 的名字联系在一起,再请一个大家都信任的权威机构确 认,并加上全球为机构的签名,就形成了证书。 18、通用的证书标准是X.509,目录服务标准 X.500及LDAP 19、数字签名:私钥拥有者用私钥加密数据,任何拥有 公钥的人都能解除开。信息发送者用其私钥对从所传报 文中提取的特征数据或称数字指纹进行RSA算法解密 运算操作得到发电者对数字指纹的签名函数H(m)。数 字签名具有不可抵赖性和完整性。 20、数字证书应具备的信息:版本号、序列号、签名算 法、发出该证书的认证机构、有效期限、主题信息、公 钥信息、认证机构的数字签名。 21、证书的管理功能:用户能方便地查找各种证书及已 经撤销的证书,能根据用户请求或其它相关信息撤销用 户的证书,能根据证书的有效期限自动地撤销证书,能 完成证书数据库的备份工作 22、认证机构发放的证书主要应用有:使用S/MIME 协议实现安全的电子邮件系统;使用SSL协议实现浏 览器与Web服务器之间的安全通信;使用SET协议实 现信用卡网上安全支付 23、智能卡:是当前国际上公认的商业网络安全通信中 最好的用户端解决方案,它的外形与普通信用卡相同, 内部有微处理器(CPU)和可重写存储单元(EEPROM), 并有文件管理系统和保护算法不怀还以的人获得智能卡 必须还要得到卡的密码PIN,否则几次输入不成功,卡 会被锁定。 24、使用智能卡的优点:可把用户重要信息安全存在卡 中;加密处理可在卡内完成、每张卡存放的内容都是独 立的、不可代替的;便于携带。 第三章Windows 2000操作系统的安全管理 1、Windows 2000的安全特性主要体现在:对Internet 上的新型服务的支持、便于安全性框架、实现对Windows NT4.0的网络支持。 2、Kerberos是在Internet上广泛采用的一种安全验证机 制,它基于公钥技术。Kerberos协议规定了客户机/密钥 发布中心(Key Distribution Center,KDC)/服务器三者之 间获得和使用Kerberos票证进行通信规则和过程。 Kerberos验证机制加强了Windows 2000的安全性,它使 网络应用服务验证速度更快捷,同时可以建立域信任以 及在建立域信任的域中传递信任关系,另外Kerberos验 证有互操作性的优势。在一个多种操作系统并存的异构 网络环境中,Kerberos协议使用一个统一的用户数据库 对各种用户进行验证,这样就解决了现在异构环境中的 统一验证问题 3、Windows 2000的安全特性:数据安全性(用户登录 时的安全性和网络数据的保护、存储数据的保护)、通信 的安全性、单点安全登录、安全的管理性(对工作站、 服务器、域控制器的安全管理)。 4、Windows 2000中的组策略:账户策略/密码策略(配 置密码存留期、长度和复杂性)、账户策略\账户锁定策 略(配置锁定时间、阀值和复位计数器)、账户策略 \Kerberos策略(配置票证寿命)、本地策略\审计策略、 本地策略\用户权限、本地策略\安全选项、事件日志、受 限制的组、系统服务、注册表、文件系统。 5、密码策略:密码必须符合复杂性的要求,密码必须为 6个字符长(见意为8个字符),密码中必须包含以下三 个类别的字符(英语大写字母,英语小写字母、阿拉伯 数字、标点符号) 6、Windows 2000的安全模板:以inf的格式存储。 7、组策略的安全级别:域级和OU级。域级是一般的安 全要求,如对所有服务器使用的账户策略和审计策略等; OU级是对特定的服务器的安全要求,如IIS的服务器。 8、审计:主要目标是识别攻击者对网络所采取的操作, 分为成功事件和失败事件。 9、安全审计的类别:登录事件、账户登录事件、对象访 问、目录服务访问、特权使用、进程跟踪、系统事件、 策略更改。 10、入侵检测:可分为主动监测和被动检测。 11、主动监测:有目的地查找攻击并阻止这些攻击,有 端口扫描、事件查看器、转储日志工具、EventCombMT 工具,其中端口是最常用的。 12、被动检测:是被攻击后使用检查日志的方法。 1、Windows Server2003的内置信任安全构架TSI主要包 括:身份验证、授权与访问控制、审计与记账、密码管 理、安全管理(包括鉴别与安全策略)。 2、Windows Server2003的安全功能:授权管理器、存储 用户名和密码、软件限制策略、证书颁发机构、受限委 派、有效权限工具、加密文件系统、Everyone成员身份、 基于操作的审核、重新应用安全默认值。3、Windows Server2003的身份验证有四种:某个具体内容、某个具 体设备、某种特征(如指纹)、某个位置。 4、操作系统的验证机制体现在:支持的验证方法的数量、 方法的强度、验证信息是否集成到所有安全操作中。 5、交互式登录身份验证须执行2个方面:交互正式登陆 (向域账户或本地计算机确认用户身份)和网络身份验 证(使用本地计算机的用户每次访问网络资源时,必须 提供凭据)。 6、Kerberos V5身份验证:Kerberos V5是与密码或者智 能卡一起使用已进行交互登陆的协议。它是Windows Server2003对服务进行网络身份验证的默认方法。 Kerberos的三个头在协议中分别代表验证、授权、审核。 是基于对称密钥加密的。 7、Kerberos身份验证优点:使用独特的票证系统并能提 供更快的身份验证;是交互式验证;是开放的标准;支 持委托验证、支持智能卡网络登录的验证。 8、Kerberos V5身份验证的过程:(1)客户端系统上的 用户使用密码或智能卡向KDC进行身份验证。(2)KDC 为此客户颁发一个特别的票证授予式票证。(3)TGS接 着向客户颁发服务票证。(4)客户向请求的网络服务出 示服务票证。 9、强密码的规则:长度至少有7个字符;不包含用户名、 真实姓名或公司名称;不包含完整的字典词汇;与先前 的密码大不相同;包含全部下列四组字符类型(大写字 母、小写字母、数字、键盘上的符号)。远程资源账户、 本地计算机账户、域账户都要使用强密码。 10、授权:SRM是安全参考监视器,它是Windows 操 作系统内核模式中最有特权的安全组件,它检测所有来 自用户端访问资源的请求。授权不仅处理访问控制,还 能控制对操作系统的进程和线程的访问。 11、访问令牌:当每个用户登录系统时,产生访问令牌。 访问令牌的组件是本地安全认证机构LSA。令牌包含用 户域的授权和用户本地授权信息。 12、ACL:访问控制列表集,有多个访问控制实体ACE 组成,ACE与安全标识符SID连接来确定用户的访问权 限,如读取、修改等。 13、Windows Server2003有以下模拟级:匿名、识别、 模拟、委托。 14、Windows Server2003的安全策略:用户账号和用户 密码、域名管理、用户组权限、共享资源权限。 15、域:是指网络服务器和其他计算机的逻辑分组,每 个用户有一个账号,每次登陆是整个域,而不是某一个 服务器。可节省管理员和用户的精力和时间。 16、用户组权限:分为全局组和本地组。全局组由一个 域的几个用户账号组成。本地组由用户账号和一个或者 多个域中的全局组构成。本地组可以包含用户和全局组, 但不能包含其他本地组。 17、有3种方式访问Windows Server2003:通过用户账 号、密码和用户组方式登陆;在局部范围内通过资源共 享的形式登陆;在网络中通过TCP\IP协议对服务器进行 访问。 18、Windows Server2003的安全管理体现在3方面:安 全策略管理、安全补丁管理、相关审核管理。 19、Windows Server2003的组策略:来定义用户工作的 坏境,包括用户账户策略、审计策略、用户权利和事件 日志。 20、密码策略包括:强制密码历史、密码最常使用期限、 密码最短使用期限、密码长度最小值、密码必须符合复 杂性要求、用可还原加密来存储密码。 21、Windows Server2003的加密系统:它支持EFS技术 对任意文件或文件夹进行加密,这是一种核心的文件加 密技术,只有NTFS才能使用,加密后的文件不可以被 被除此用户以外的任何文件访问。 22、Windows Server2003的安全管理采用的对策:物理 安全管理、及时更新补丁、避免给用户定义特定的访问 控制、实施账号及口令策略、控制远程访问服务、启动 审核功能、确保注册表安全、应用系统的安全、取消 TCP/IP撒谎能够的NetBIOS 绑定、Internet Explorer增 强的安全配置、清除远程可访问的注册表路径、禁止不 必要的服务。 第五章Linux网络操作系统的安全管理 TCSEC将系统划分为4组7个等级:从低到高依次是D; C(C1、C2);B(B1、B2、B3);A(A1)。 文件的三种存取权限:用户存取权限、组存取权限、其 他用户存取权限。 基本的溢出攻击方式:堆栈溢出、函数指针、长跳转点。 溢出攻击的解决方案:补丁、编写程序、提升安全级、 利用文件系统和磁盘分区、chroot(可以让用户程序吧某 个目录当成根目录)。 PGP:电子邮件加密技术,是双密钥体系(用户A要建 立两个密钥,一个私钥,一个公钥,用户B向A发送信 息时,先用A的公钥加密,再传给A)它是加密和签名 的综合体。 常用服务端口号:ftp21 、ssh22、telnet23、smtp25。 网络接口层:这两层主要是讲数据转化成物理帧,并且 在电气连接上传递。 集线器:是一个简单的信号放大器,用来补偿信号在传 输中的衰减和变形。一台集线器可以连接很多网卡。而 网卡首先用双绞线连接到集线器和交换机,然后再连接 到其他的机器。 MAC地址:是以太网使用的一个48位的整数来标志自 身,当某一个网卡发送数据时,它在以太帧中携带发送 者和接收者的MAC地址。 混杂模式:程序绕过TCP/IP堆栈和网卡直接打交道。 嗅探器:在以太网内,用一个正确设计的程序就可以监 听到别人发送的信息,它可以作为专门的窃听工具。 SSL:网络接口层,安全套阶层协议,它是基于scoket 的采用客户/服务器方式,安装在传输层和应用层之间, 可以提供数据的加密传输,可强化HTTP的安全性。当 一个客户视图和服务器对话的时候,它首先要执行一个 握手过程。 SSH:网络接口层,是一个用来解决TELNET/FTP协议 安全性的工具。 VPN:网络接口层,虚拟专用网,采用隧道技术。它通 过一个公共网络建立一个临时的、安全的连接。它在因 特网的一些机器之间建立一个虚拟连接,使得这些机器 看上去在一个独立的网络中,其他系统无法加入。VPN 的功能:加密数据、信息认证和身份认证、提供访问控 制。 ARP:地址解析协议,网络层,可有IP地址找到对应的 MAC地址。 ICMP:网络层,网络报文控制协议,它是IP协议的附 属协议,网络层用它来与其他主机或路由器交换错误报 文和其他重要控制信息。ICMP豹纹是在IP数据报内部 被传输的,主要用来对系统中的错误进行分析和控制。 IP地址欺骗:即外网地址冒充本地IP,是通过向路由和 目标发送虚假的重定向豹纹,导致本地机器的路由表被 欺骗实现的。 18、TCP三次握手过程:传输层,请求连接的客户机首 先将一个带SYN标志位的包发给服务器;服务器受到这 个包后产生一个自己的SYN标志,并把收到包的SYN+1 作为ACK标志返回给客户机;客户机收到该包后,再 发一个ACK=SYN+1的包给服务器。经过三次握手,才 正式建立连接。 第六章路由器安全管理 1.路由器相关安全特性具有两层含义:保证内部局域网 的安全(不被非法侵入)和保护外部进行数据交换的安
计算机网络安全的主要技术
随着计算机应用范围的扩大和互联网技术的迅速发展,计算机信息技术已经渗透到人们生活的方方面面,网上购物、商业贸易、金融财务等经济行为都已经实现网络运行,“数字化经济”引领世界进入一个全新的发展阶段。然而,由于计算机网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、恶意软件和其他不轨人员的攻击,计算机网络安全问题日益突出。在网络安全越来越受到人们重视和关注的今天,网络安全技术作为一个独特的领域越来越受到人们关注。 一、网络安全的定义 所谓网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄漏,确保系统能连续、可靠、正常地运行,网络服务不中断。常见的影响网络安全的问题主要有病毒、黑客攻击、系统漏洞、资料篡改等,这就需要我们建立一套完整的网络安全体系来保障网络安全可靠地运行。 二、影响网络安全的主要因素 (1)信息泄密。主要表现为网络上的信息被窃听,这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。 (2)信息被篡改。这是纯粹的信息破坏,这样的网络侵犯被称为积极侵犯者。积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者故意添加一些有利于自已的信息,起到信息误导的作用,其破坏作用最大。 (3)传输非法信息流。只允许用户同其他用户进行特定类型的通信,但禁止其它类型的通信,如允许电子邮件传输而禁止文件传送。 (4)网络资源的错误使用。如不合理的资源访问控制,一些资源有可能被偶然或故意地破坏。 (5)非法使用网络资源。非法用户登录进入系统使用网络资源,造成资源的消耗,损害了合法用户的利益。 (6)环境影响。自然环境和社会环境对计算机网络都会产生极大的不良影响。如恶劣的天气、灾害、事故会对网络造成损害和影响。 (7)软件漏洞。软件漏洞包括以下几个方面:操作系统、数据库及应用软件、TCP/IP 协议、网络软件和服务、密码设置等的安全漏洞。这些漏洞一旦遭受电脑病毒攻击,就会带来灾难性的后果。 (8)人为安全因素。除了技术层面上的原因外,人为的因素也构成了目前较为突出的安全因素,无论系统的功能是多么强大或者配备了多少安全设施,如果管理人员不按规定正确地使用,甚至人为露系统的关键信息,则其造成的安全后果是难以量的。这主要表现在管理措施不完善,安全意识薄,管理人员的误操作等。 三、计算机网络安全的主要技术 网络安全技术随着人们网络实践的发展而发展,其涉及的技术面非常广,主要的技术如下:认证技术、加密技术、防火墙技术及入侵检测技术等,这些都是网络安全的重要防线。 (一)认证技术
《网络安全技术》详细教学大纲
《网络安全技术》详细教学大纲
《网络安全技术》教学大纲 、课程的性质和目的 (一)课程性质 本课程是一门新兴科学,属于计算机应用技术专 业(普专、远程)的专业限选课程,为学生的选修课。 实施网络安全的首要工作就是要进行网络防范设置。 深入细致的安全防范是成功阻止利用计算机网络犯 罪的途径,缺乏安全防范的网络必然是不稳定的网络 其稳定性、扩展性、安全性、可管理性没有保证。本 课程在介绍计算机网路安全基础知识的基础上,深入 细致的介绍了网络安全设置的方法和经验。并且配合 必要的实验,和具体的网络安全案例,使学生顺利掌 握网络安全的方法。 (二)课程目的 1 .使学生对网络安全技术从整体上有一个较全 面的了解。 课程名称:网络安全技术 课程代码: 学分学时数:4/64 适用专业:计算机应用技术专业 修(制)订人: 审核人: 审定人: 英语名称:Network security technology 课程性质:专业支持必修 修(制)订日期:2009年2月6日 审核日期: 审定日期:
2?了解当前计算机网络安全技术面临的挑战和 现状。 3?了解网络安全技术研究的内容,掌握相关的 基础知识。 4?掌握网络安全体系的架构,了解常见的网络 攻击手段,掌握入侵检测的技术和手段。 5.了解网络安全应用领域的基础知识。 、教学内容、重(难)点、教学要求及学时分配 (4学时) (10学时) 技密钥密码码系统与本概念密钥密码体制; 鉴别:基于保密密钥密码体制的身份鉴别;凸 鉴密钥书的身制鉴钥分鉴较与分基于3勺身 I 证访字 ill 空制较控分析方案UN ' 签名:数字签名万法; RSA 签名万案 第一章:安全技术基础绪论 1、 讲授内容、: 全主开放与安当 2、 教学要求: 了解:开放与安全的冲突 理解:面临的挑战 掌握:计算机网络安全主要内容 3、 教学重点: 安全面临的挑战(不安全的原因、安全的可行性、威 胁的来源、安全威胁类型、攻击类型) 全的含义、计算机胁涉全攻击内容(计算机网络安 :前状突;面临的挑战;计算机网络安 密码
计算机信息网络安全管理制度
****计算机信息网络安全管理制度 第一章总则 第一条为规范****系统信息化及计算机网络安全管理,促进信息化建设,提高工作效率,确保信息化网络、计算机设备安全、有效运行,特制定本制度。 第二条 ****信息化及计算机网络管理工作在本队队长的统一领导下,由****计算机信息网络安全管理领导小组所有成员负责具体组织实施。 第三条本单位计算机信息网络安全管理工作实行“一把手”负责制。 第四条本制度所称计算机信息安全网络管理工作包括信息化网络及设备管理、安全保密管理、计算机病毒防治、资料管理、培训等内容。 第二章信息化网络及设备管理 第五条信息化网络及设备按个人分配使用。分配到个人的设备由单位的工作人员负责,单位应指定一名熟悉计算机技术的人员负责日常管理和维护工作。 第六条凡使用信息化网络及设备的工作人员应自觉遵守相关法律法规和制度规定。对违反规定使信息化网络及设备不能正常工作和造成重大事故者,追究其相应责任,后果严重的,依法追究法律责任。
第七条严禁在信息化设备上安装与工作无关的、未经广泛验证为安全的软件程序。严禁带电拔插计算机内部配件。移动非便携式信息网络设备应断电后进行。离开工作场所前,须关闭计算机,切断电源。如有特殊情况不能关闭的,须征得本部门负责人同意。 第八条非指定的技术人员不得擅自打开信息化网络设备外壳,进行任何配臵和检测。不得擅自将信息网络设备(包括报废设备)的配件私自拆卸,移植到其它设备。 第九条未经单位负责人批准,任何人不得随意更换信息化网络设备,不得随意外借、处臵信息网络设备。外部人员如需使用本单位的信息网络设备,需经本单位主管领导同意,并在现场监督的情况下进行。 第十条对计算机进行硬盘格式化和删除操作系统文件,须事先做好数据备份工作,并由本单位信息化管理员进行操作。 第十一条各单位信息化网络设备的使用人、保管人、责任人等情况的变更,应及时报办公室和财务部门登记备案。 第十二条重要的信息化网络设备,由本单位办公室集中统一管理。如需要使用时,应办理相关借用手续。 第十三条为防止计算机病毒造成严重后果,对外来移动存储介质(软盘、光盘、优盘、移动硬盘等)要严格管理,
计算机网络安全技术及防范措施正式样本
文件编号:TP-AR-L5204 In Terms Of Organization Management, It Is Necessary To Form A Certain Guiding And Planning Executable Plan, So As To Help Decision-Makers To Carry Out Better Production And Management From Multiple Perspectives. (示范文本) 编制:_______________ 审核:_______________ 单位:_______________ 计算机网络安全技术及 防范措施正式样本
计算机网络安全技术及防范措施正 式样本 使用注意:该解决方案资料可用在组织/机构/单位管理上,形成一定的具有指导性,规划性的可执行计划,从而实现多角度地帮助决策人员进行更好的生产与管理。材料内容可根据实际情况作相应修改,请在使用时认真阅读。 摘要;随着我国经济的飞速发展,计算机网络技 术也发展迅猛,但是在发展的同时,也存在许多安全 隐患。由于网络本身的开放性与自由性,从而对计算 机数据安全造成了很大的破坏侵犯,比如说,人们在 网上购物、转账等。正是由于计算机网络技术的开放 性,因此如果利用不好则会让潜在的病毒,侵入计算 机,造成不同程度的安全隐患发生,比如说,木马程 序攻击、电子邮件欺骗、安全漏洞和系统后门等,那 么针对现今计算机网路存在的一系列安全隐患,本文 将提出几点防护措施。
关键词:网络安全;网络攻击;安全风险;防范技术 中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)07-0040-02 在这个充满竞争的现代化社会中,计算机网络的应用,把人们带上了一个全新的时代。由于计算机网络技术的庞大与普及,已经成为了信息传播的主要媒介,但是这种公开的平台,会让网络面临着不同程度的攻击与破坏,比如说,由于线路问题的攻击、计算机对电磁铁的攻击、计算机对系统软件存在的漏洞进行攻击等等。而当今将信息保护,信息存储、处理与传输以及信息系统完整性作为网络技术保护的重点,确保给计算机网络用户提供更加安全的措施。 1网络安全的解析 在计算机网络早期应用期间,由于网络协议缺乏
《网络安全技术》课程教学大纲
《网络安全技术》课程教学大纲 课程代码: 英文名称:Network Security Technology 学时:48 学分:3 先修课程:计算机基础 适用专业:计算机及信息类、电子与通信、电子商务、金融与经济、管理与工程类等开课院系:电子信息学院网络工程系 教材:网络安全技术及应用(含实验)3版,贾铁军主编,机械工业出版社,2017参考书:(“十三五国家重点出版规划项目”及“上海市高校精品课程教材”) 网络安全技术及应用实践教程2版贾铁军主编,机械工业出版社2016.2 (“十三五国家重点出版规划项目”及“上海市高校精品课程配套教材”) 网络安全实用技术,贾铁军等,清华大学出版社,2016.2(第2版2次印刷) 计算机网络安全教程(第3版) 梁亚声机械工业出版社 2016年8月 一、课程的性质、地位和任务: 《网络安全技术》是计算机科学与技术类、通信与电子类、电子商务与管理工程类等专业开设的一门重要专业基础课程。 随着信息技术的快速发展,我国在网络化建设方面取得了令人瞩目的成就,电子银行、电子商务和电子政务的广泛应用,使计算机网络已经深入到国家的政治、经济、文化和国防建设的各个领域,遍布现代信息化社会的工作和生活每个层面,“数字化经济”和全球电子交易一体化正在形成。网络安全不仅关系到国计民生,还与国家安全密切相关,不仅涉及到国家政治、军事和经济各个方面,而且影响到国家的安全和主权。随着计算机网络的广泛应用和网络之间数据传输量的急剧增大,网络安全的重要性尤为突出,现在已经成为各国关注的焦点,也成为研究热点和人才需求的新领域。 随着信息技术的发展与应用,网络安全的内涵在不断的延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。网络安全是一个综合、交叉学科领域,要综合利用数学、物理、通信和计算机等诸多学科的长期知识积累和最新发展成果,不断发展和完善。 二、课程内容和基本要求: 第1章网络安全概述 本章要点 网络安全的概念、技术特征、研究目标及内容,网络面临的威胁及其因素分析,网络安全模型、网络安全保障体系和关键技术,保护网络安全技术法律法规,安全技术评估标准和准则,网络安全设计与建设的原则和步骤。 教学目标 ● 掌握网络安全的概念、技术特征、研究目标及内容 ● 了解网络面临的威胁及其因素分析 ● 掌握网络安全模型、网络安全保障体系和关键技术 ● 了解保护网络安全技术法律法规 ● 理解安全技术评估标准和准则 ● 掌握网络安全设计与建设的原则和步骤 第2章网络安全技术基础
计算机网络安全教程第2版--亲自整理最全课后答案
第1章网络安全概述与环境配置 一、选择题 1. 狭义上说的信息安全,只是从自然科学的角度介绍信息安全的研究内容。 2. 信息安全从总体上可以分成5个层次,密码技术是信息安全中研究的关键点。 3. 信息安全的目标CIA指的是机密性,完整性,可用性。 4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。 二、填空题 1. 信息保障的核心思想是对系统或者数据的4个方面的要求:保护(Protect),检测(Detect),反应(React),恢复(Restore)。 2. TCG目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台Trusted Computing Platform,以提高整体的安全性。 3. 从1998年到2006年,平均年增长幅度达50%左右,使这些安全事件的主要因素是系统和网络安全脆弱性(Vulnerability)层出不穷,这些安全威胁事件给Internet带来巨大的经济损失。 4. B2级,又叫结构保护(Structured Protection)级别,它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。 5. 从系统安全的角度可以把网络安全的研究内容分成两大体系:攻击和防御。 三、简答题 1. 网络攻击和防御分别包括哪些内容? 答:①攻击技术:网络扫描,网络监听,网络入侵,网络后门,网络隐身 ②防御技术:安全操作系统和操作系统的安全配置,加密技术,防火墙技术,入侵检测,网络安全协议。 2. 从层次上,网络安全可以分成哪几层?每层有什么特点? 答:从层次体系上,可以将网络安全分为4个层次上的安全: (1)物理安全特点:防火,防盗,防静电,防雷击和防电磁泄露。 (2)逻辑安全特点:计算机的逻辑安全需要用口令、文件许可等方法实现。 (3)操作系统特点:操作系统是计算机中最基本、最重要的软件。操作系统的安全是网络安全的基础。 (4)联网安全特点:联网的安全性通过访问控制和通信安全两方面的服务来保证。 3、为什么要研究网络安全? 答:目前研究网络安全已经不只为了信息和数据的安全性。网络安全已经渗透到国家的政治、经济、军事等领域,并影响到社会的稳定。 第2章网络安全协议基础 一、选择题 1. OSI参考模型是国际标准化组织制定的模型,把计算机与计算机之间的通信分成7个互相连接的协议层。 2. 表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。。 3. 子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。。 4. 通过ICMP协议,主机和路由器可以报告错误并交换相关的状态信息。 5. 常用的网络服务中,DNS使用UDP协议。 二、填空题 1. 网络层的主要功能是完成网络中主机间的报文传输,在广域网中,这包括产生从源端到目的端的路由。 2. TCP/IP协议族包括4个功能层:应用层、传输层、网络层和网络接口层。这4层概括了相对于OSI参考模型中的7层。 3. 目前E-mail服务使用的两个主要协议是简单邮件传输协议(SMTP)和邮局协议(POP)。 4. ping指令通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接,应答消息的接收情况将和往返过程的次数一起显示出来。