项目七 网络安全与管理

  • 格式:doc
  • 大小:74.50 KB
  • 文档页数:7

计算机网络技术教学设计教学标准1.项目七局域网技术表1.1 网络安全与管理项目名称网络安全与管理学时10 学习目标1.知识目标:1)网络管理概念。

2)网络管理的功能。

3)两种网络管理体系。

4)网络管理软件。

5)网络安全的重要性、安全策略、安全级别。

2.能力目标:1)1.培养学生的观察能力,和动手能力。

2)2.让学生学会基本的网络安全知识。

3.态度目标:1)提高学生网络安全防范意识。

2)激发学生对该课程的学习兴趣。

3)树立就业的信心。

教学内容网络安全概述7.1.1 网络安全的概念7.1.2 网络安全的分类7.1.3 网络中存在的威胁7.1.4 网络安全的结构层次7.1.5 网络安全组件7.1.6 安全策略的制定与实施7.2 防火墙的应用7.2.1 防火墙的概念7.2.2 防火墙及体系结构7.2.3 防火墙的功能7.2.4 防火墙的选择7.3 信息加密技术7.3.1 信息加密的概念7.3.2 加密系统的组成7.3.3 常用的加密方法及应用7.3.4 加密技术的应用7.4 网络攻击与防范7.4.1 网络攻击的一般目标7.4.2 网络攻击的原理及手法7.4.3 网络攻击的步骤及过程分析7.4.4 网络攻击的防范策略7.5 网络管理7.5.1 网络管理概述7.5.2 网络管理模式7.5.3 简单网络管理协议教学方法建议与说明(方法、手段、教学做一体等)1.教学方法:操作演示、课堂讨论、启发引导、参观。

2.媒介资源:教材、教案、计算机及多媒体课件等。

考核与评价方式让学生提交实验的报告,根据报告和实验操作过程给出成绩。

实验报告成绩占总成绩的20%,实验操作过程成绩占总成绩80%。

教学辅助材料1.软件:Windows操作系统、Office软件包。

2.硬件:多媒体机房(基本配置要求:具有网络环境、1套投影设备、若干微机设备、交换机)。

教学目标分析班级周次时间节次项目名称网络安全与管理课题名称网络安全与管理课时分配7 教学目的教学目标知识目标能力(技能)目标情感目标1.网络管理概念。

2.网络管理的功能。

3.两种网络管理体系。

4.网络管理软件。

5.网络安全的重要性、安全策略、安全级别。

1.培养学生的观察能力,和动手能力。

2.让学生学会基本的网络安全知识。

1.提高学生网络安全防范意识。

2.激发学生对该课程的学习兴趣。

3.树立就业的信心。

重点难点1.网络安全的层次、安全组件与安全策略。

2.防火墙技术和信息加密技术。

3.网络攻击与防范的基本知识。

教学环境多媒体机房教学用具通用计算机、交换机、路由器教学资源1.计算机网络技术教学PPT2.网上公开课,计算机网络技术课等。

参考资料1.《计算机网络技术》主编,电子工业出版社教学方法讲授法、练习法教学手段充分利用信息技术、白板教学过程教学环节(时间分配)教师活动(任务)课时7 备注•7.1.1 网络安全的概念•网络安全是指网络系统的硬件、软件及其系统的数据不受到偶然的或者恶意的因素而遭到破坏、更改和泄露,系统连续可靠的正常运行,网络服务不中断。

网络安全包括五个基本要素:机密性、完整性、可用性、可控性与可审查性。

•机密性:是指网络信息的内容不会被未授权的第三方所知。

•完整性:指信息在存储或传输时不被篡改、破坏,不出现信息包的丢失、乱序等。

•可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。

•可控性:可以控制授权范围内的信息流向及行为方式。

•可审查性:对出现的网络安全问题提供调查的依据和手段。

•7.1.2 网络安全威胁• 1. 人为威胁•人为威胁是有目的的破坏,它包括对静态信息的攻击和对动态信息的攻击。

人为攻击具有以下特性:•(1)智能性。

从事恶意工具的人大都具有相当高的专业技术和熟练的操作技能。

在攻击之前都经过了预谋和策划。

•(2)严重性。

涉及金融资产的网络信息系统的恶意进攻,企业往往会由于资金损失巨大,而导致破产,甚至会给社会稳定带来振荡。

•(3)多样性。

随着计算机网络的迅猛发展,网络信息系统中的恶意攻击手段也随之增加。

•(4)隐蔽性。

人为恶意攻击的隐藏性很强,不易引起怀疑,作案的技术难度大。

一般情况下,犯罪的证据往往存在于软件的数据和信息资料中,若无专业知识,则很难获得侦破证据。

相反,恶意工具者却能很容易地毁灭证据。

•(5)口令猜测。

通过穷举法来猜测口令,逐一测试,得到口令,从而非法入侵系统。

•(6)IP地址欺骗。

攻击者伪装成源自一台内部主机的一个外部节点来传送信息包,冒名他人,进而窃取信息。

•(7)指定路由。

发送方指定信息包到达目的站点路由,而这条路由是可以绕开安全控制的路由。

• 2. 自然威胁•(1)物理威胁。

物理安全是指保护计算机硬件和存储介质等装置和工作程序不遭受损失。

常见的物理安全威胁有偷窃、废物搜寻和间谍活动等。

•(2)网络威胁。

计算机网络的发展和使用对数据信息造成了新的安全教学过程详见课件威胁,在计算机网络上存在着电子窃听,只要把网卡模式设置成混合模式,网络上人人都可以收到发向任何人的信息。

当然,可以通过加密来解决这个问题,但目前,强大的加密技术还没有在网络上广泛使用,况且,加密也是有可能被破解的。

在网络上还存在着很多冒名顶替的现象,而这种冒名顶替的形式也是多种多样的,令人难辨真伪。

•(3)身份鉴别。

身份鉴别是指计算机判断用户是否有权使用它的一种技术手段。

身份鉴别普遍存在于计算机系统当中,实现的形式也有所不同。

身份鉴别中存在着口令圈套、口令破解和算法缺陷等安全威胁。

•(4)编程威胁。

编程就是通过编制程序代码实施对计算机的破坏。

编程威胁主要有计算机病毒、逻辑炸弹和特洛伊木马等。

•(5)系统漏洞。

系统漏洞也称为陷阱或系统缺陷,它通常是由操作系统的设计者和开发者有意设置的,这样就能在用户失去对系统的所有访问权时仍能进入系统。

系统的安全漏洞也可能引起系统拒绝服务。

•7.1.3 网络安全机制•网络安全机制(security mechanisms)可分为两类:一类与安全服务有关,另一类与管理功能有关。

ISO7498-2建议了以下八种机制。

•(1)加密机制:加密是确保数据保密性。

•(2)数字签名机制:数字签名用来确保数据真实性和进行身份验证。

•(3)访问控制机制:访问控制按照事先确定的规则来决定主体对客体的访问是否合法。

•(4)数据完整性机制:数据完整性是保证数据不被修改。

•(5)认证机制:计算机网络中认证机制主要有站点认证、报文认证、用户和进程的认证。

•(6)信息流填充机制:信息流填充使攻击者不知道哪些是有用信息,哪些是无用信息,从而挫败信息流分析攻击。

•(7)路由控制机制:路由控制机制可根据信息发送者的申请选择安全路径,以确保数据安全。

•(8)公正机制:主要是在发生纠纷时进行公正仲裁用。

•7.1.4 安全解决方案•完整的安全解决方案应该覆盖网络的各个层次,并且与安全管理制度相结合。

•(1)物理层的安全防护。

在物理层上主要通过制定物理层面的管理规范和措施来提供安全解决方案。

•(2)数据链路层的安全保护。

主要是链路加密设备对数据加密保护。

它对所有用户数据一起加密,用户数据通过通信线路送到目的节点后再进行解密。

•(3)网络层的安全防护。

网络层的安全防护是面向IP包的。

网络层主要采用防火墙作为安全防护手段,实现初级的安全防护。

在网络层也可以根据一些安全协议实施加密保护。

在网络层也可实施相应的入侵检测。

•(4)传输层的安全防护。

传输层处于通信子网和资源子网之间,起着承上启下的作用。

传输层也支持多种安全服务,包括:对等实体认证服务、访问控制服务、数据保密服务、数据完整性服务、数据源点认证服务。

•(5)应用层的安全防护。

原则上讲,所有安全服务均可在应用层提供。

在应用层可以实施强大的基于用户的身份认证。

在应用层也是实施数据加密、访问控制的理想位置。

在应用层还可加强数据的备份和恢复措施。

应用层可以是对资源的有效性进行控制,资源包括各种数据和服务。

应用层的安全防护是面向用户和应用程序的,因此可以实施细粒度的安全控制。

•要建立一个安全的内部网,一个完整的解决方案必须从多方面入手。

•首先要加强主机本身的安全,减少漏洞;其次要用系统漏洞检测软件定期对网络内部系统进行扫描分析,找出可能存在的安全隐患;建立完善的访问控制措施,安装防火墙,加强授权管理和认证;加强数据备份和恢复措施;对敏感的设备和数据要建立必要的隔离措施;对在公共网络上传输的敏感数据要加密;加强内部网的整体防病毒措施;建立详细的安全审计日志等。

网络安全模型如下图所示。

信息需要从一方通过某种网络传送到另一方,在传送中居主体地位的双方必须合作起来,通过通信协议(如TCP/IP)在两个主体之间可以建立一条逻辑信息通道。

•保证安全性的所有机制都包括以下两部分:•(1)对被传送的信息进行与安全相关的转换。

•(2)两个主体共享不希望对手得知的保密消息。

•网络安全模型指出了设计特定安全服务的四个基本任务:•(1)设计加密算法,进行安全性相关的转换。

加密算法必须使对手不能靠破解算法来达到其目的。

•(2)生成算法使用的保密信息。

•(3)开发分发和共享保密信息的方法。

•(4)指定两个主体要使用的协议,并利用安全算法和保密信息来实现特定的安全服务。

数据加密技术是以研究数据保密为目的,对存储或者传输的信息采取秘密的交换以防止第三者对信息的窃取。

被交换的信息被称为明文(Plaintext),它可以是一段有意义的文字或者数据;变换过后的形式被称为密文(Ciphertext),密文应该是一串杂乱排列的数据,从字面上没有任何含义。

从明文到密文的交换过程被称为加密(Encryption),该变换本身是一个以加密密钥k为参数的函数,记作Ek(P)。

•密文经过数据信道传输到达目的地后需要还原成有意义的明文才能被通信接收方理解,将密文C还原为明文P的变换过程称为解密或脱密(Decryption),该变换是以解密密钥k’为参数的函数,记作Dk’(C)。

加密技术加密解密模型如下图所示。

•在传统密码体制中,加密和解密采用的是同一密钥,即k=k’并且Dk’(Ek(P))=P,称为对称密钥密码系统(Symmetric Key Cryptography),每个通信方均需要有k,k’两个密钥,在进行保密通信时通常将加密密钥k公开(称为公钥Public Key)而保留解密密钥k’(称为私钥PrivateKey),所以也称为公开密钥密码系统(Public Key Cryptography)。

传统密码系统中最常见的算法有DES、IDEA等。

•对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类。

•公开密钥加密又叫做非对称加密•数据备份是指将计算机系统中,硬盘上的一部分数据通过恰当的形式转录到可脱机保存的介质(如磁带、软盘、光盘)上,以便需要时输入计算机系统使用。