《通信网络安全与防护》 教案全套 第1-6章 概述 - 网络安全协议

《通信网络安全与防护》课程教案授课时间年月日周节课次1授课方式（请打√）理论课√讨论课□实验课□习题课□其他□课时安排2授课题目（教学章、节或主题）：第一章概述（上）教学目的、要求（分掌握、熟悉、了解三个层次）：（1）掌握通信网与网络安全的基本概念；（2）了解通信网络安全的主要内容，掌握网络安全需求;（3）掌握通信网络安全面临的主要威胁。教学重点及难点：重点：通信网络安全面临的主要威胁；课堂教学设计（含思政）：本次课主要是使学员理解网络安全的基本概念，通过习主席讲话的时代背景和典型的网络安全案例分析，引导学员理解网络安全面临的威胁，提高对网络安全重要性的认识，自觉养成用网时的安全习惯。教学采用引导式的教学方法，以多媒体为主的信息化教学手段进行授课，激发学员对网络安全的兴趣，引导学员课下加强自学，促进理论和实践融合。思政要素切入点：引导学员深入理解习主席“没有网络安全，就没有国家安全”讲话精神，分析讲话的时代背景，体会讲话的现实意义，引导学员强化在工作、学习中勇于承担网络安全重任，促进职业素养和岗位能力的提高。教学基本内容课堂教学设计回顾与引入：分析网络发展与安全内涵发展的两条线路，了解课程内涵的演进过程，引出课程的教学内容和教学设计，使学员对课程教学体系形成整体框架。本节内容：（主要内容框架、要点、重点，建议不要写成讲稿）1.1通信网络及网络安全1.1.1通信网络的基本概念通信网络是指在一定范围内将通信线（电）路、信道终端、复用终端、交换设备、入网接口设备、网络监控设备和各种用户（末端）设备，按一定方式相互连接，用于达成通信联络的网络体系。通信网按功能与用途不同，一般可分为传送网、业务网和支撑网等三种。1．传送网传送网，是由用户终端、交换系统、传输系统等通信设备所组成的实体结构，是通信网的物质基础。2．业务网业务网是指通信网的服务功能，包括电话、电报网等。3．支撑网1.1.2通信网络的发展趋势1．数字化2．宽带化3．IP化1.1.3网络安全引入：习主席“没有网络安全，就没有国家安全”“没有信息化，就没有现代化”网络安全是指信息的产生、存储、分发、传输、处理全过程和整个通信网络的信息安全保障。1．网络安全的主要研究领域网络安全主要包括信息安全、网络安全防护、人员与网络设施安全等内容。2. 网络安全需求网络的安全需求就是要保证在一定的外部环境下，系统能够正常、安全地工作所需具备的特性。机密性完整性可用性可控性信息流保护1.2网络面临的安全威胁1.2.1物理安全威胁自然灾害、物理损坏、设备故障电磁辐射、乘虚而入、痕迹泄漏操作失误和疏忽1.2.2操作系统的安全缺陷任何操作系统都自带一系列的系统应用程序，这些应用程序中可能因编程时的不谨慎而存在安全漏洞，而引发安全风险。CVE（CommonVulnerabilitiesExposures）-公共漏洞和暴露。就像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出的弱点给出一个公共的名称。1.2.3网络协议的安全缺陷由于TCP/IP协议设计之初的目的是使网络互连，缺乏安全性上的考虑，因此TCP/IP协议本身存在一些不安全的地方。如：TCP序列号预测；DNS攻击；网络监听（嗅探Sniffer)；ARP病毒；路由协议缺陷；无线破解。1.2.4应用软件的安全缺陷应用软件是运行在操作系统之上的应用程序，如MicrosoftOffice、InternetExplorer等。软件实现缺陷是由于程序员在编程时没有考虑周全而造成的。2019年，CNVD收录漏洞10487个。1.2.5用户使用中的安全缺陷系统和网络是由用户（管理员）来操作的，由于用户（管理员）缺乏安全知识，在使用和维护系统或网络时给攻击者提供了可乘之机是常见的安全问题。用户使用的缺陷体现在以下几个方面：密码易于被破解软件使用的错误系统备份不完整1.2.6恶意代码恶意代码则完全是人为创造出来，对网络造成的威胁。1.计算机病毒（computervirus）2.计算机蠕虫（computerworm）3.特洛伊木马（Trojanhorse）4.灰色软件内容小结：请同学们总结：1）本节课的关键词；2）自己最直观的感受；3）课下准备采取什么行动；4）有无问题需要与教员沟通。板书提纲：$1.1通信网络及网络安全一、通信网络的基本概念1.传送网2.业务网3.支撑网二、通信网的发展趋势数字化宽带化IP化三、通信网络安全1.研究内容2.安全需求机密性、完整性、可用性、可控性、信息流保护$1.2网络安全面临的安全威胁物理安全威胁；操作系统、网络协议、应用软件的实现缺陷；用户使用中的缺陷；恶意代码知识扩展：课下了解勒索软件、羊毛党、智商税等名词的含义全程PPT辅助讲解课程设计：总结“网络安全”内涵演化过程通信安全信息安全计算机安全网络安全网络空间安全引导学员结合自身认识，理解三者之间的关联。思政点：结合时代背景，介绍“震网”“斯诺登”“永恒之蓝”等网络安全事件；引导学员深入理解讲话精神，结合学习及以后工作岗位，强化在网络安全中的使命担当，加强学习，为军事网络安全贡献力量。补充：2021年我国互联网发展报告及网络安全形势分析报告。举例：因操作系统漏洞发生过的安全事件CVE-2017-8464（Windows系统在解析快捷方式时存在远程执行任意代码的高危漏洞，黑客可以通过U盘、网络共享等途径触发漏洞，完全控制用户系统，安全风险高危）着重对网络监听和ARP病毒进行讲解。请同学们反思，自己工作学习生活中使用网络时存在哪些不安全的操作？作业、讨论题、思考题：作业：1-02、1-05、1-06讨论题：围绕深刻理解习主席指出的“没有网络安全，就没有国家安全”谈谈认识课堂教学后记：（课堂教学反思、课堂优化设计构想等内容，必须手写）《通信网络安全与防护》课程教案授课时间年月日周节课次2授课方式（请打√）理论课√讨论课□实验课□习题课□其他□课时安排2授课题目（教学章、节或主题）：第一章概述（下）教学目的、要求（分掌握、熟悉、了解三个层次）：（1）熟悉网络安全体系结构的基本概念;（2）掌握ISO7498-2标准中五种安全服务与八种安全机制;（3）掌握PDRR网络安全模型，熟悉防护的手段；（4）了解网络基本原则。教学重点及难点：重点：网络安全体系结构；课堂教学设计（含思政）：本次课通过与学员掌握的网络体系结构概念的关联分析，介绍网络安全体系结构，使学员理解安全服务与安全机制；通过对PDRR模型的介绍，使学员理解网络防护的动态性，并掌握防护、检测、响应、恢复各个环节的主要工作。教学采用以多媒体为主的信息化教学手段进行授课，激发学员对网络安全的兴趣，引导学员课下加强自学，促进理论和实践融合。思政要素切入点：一是结合军事网络安全防护体系对照讲解，加深学员对本职岗位的认识，促进岗位能力提高；二是结合对我国新近出台的“等保2.0”标准体系的介绍，增进学员对行业发展的了解，促进学员职业素养的养成。教学基本内容课堂教学设计回顾与引入：回顾上节课主要内容，通过两个测试题检验学员对知识点掌握情况；回顾网络体系结构的概念，引出网络安全体系结构。本节内容：（主要内容框架、要点、重点，建议不要写成讲稿）1.3网络安全体系结构1.3.1网络安全体系结构的相关概念网络安全体系结构是网络安全最高层的抽象描述，它从系统化的角度去理解安全问题的解决方案，对研究、实现和管理网络安全的工作有全局指导的作用，对于网络安全的理解、设计、实现和管理有着重要的意义。OSI安全体系结构主要包括三部分内容：安全服务：一个系统各功能部件所提供的安全功能的总和。安全机制：指安全服务的实现机制，一种安全服务可以由多种安全机制来实现，一种安全机制也可以为多种安全服务所用。安全管理：包括两方面的内容，一是安全的管理，网络和系统中各种安全服务和安全机制的管理，如认证或加密服务的激活，密钥等参数的分配、更新等；二是管理的安全，是指各种管理活动自身的安全，如管理系统本身和管理信息的安全。1．安全服务：五种安全服务2．安全机制：八种安全机制3．安全服务与安全机制的关系1.3.2网络安全体系结构的三维框架结构介绍网络安全体系的三维框架结构，便于指导具体的系统实施。1.4PDRR网络安全模型PDRR安全模型将网络安全划分为防护、检测、响应、恢复四个动态往复的周期。在整体安全策略的控制和指导下，综合运用防护工具（如防火墙、加密机、防病毒等手段）的同时，利用检测工具（如隐患扫描、入侵检测等）了解和评估系统的安全状态，通过适当的安全响应，将系统保持或恢复到“最安全”和“风险最低”的状态。1.4.1防护防护是PDRR模型中的最重要的部分，防护是阻止攻击可以发生的条件产生，让攻击者无法顺利的入侵。防护可以分为三大类：系统安全防护、网络安全防护和信息安全防护。防护主要包括以下几种措施：（1）风险评估－－缺陷扫描（2）访问控制和防火墙（3）防病毒软件与个人防火墙（4）数据备份和归档：属于信息安全防护类型。（5）使用数据加密：信息安全防护的重要技术。（6）使用鉴别技术（7）使用安全通信1.4.2检测防护系统只能阻止大多数入侵事件的发生，但不能阻止所有的入侵，特别是利用新的系统缺陷、新的攻击手段的入侵。因些安全政策的第二个安全屏障就是检测，即如果入侵发生就检测出来，这个工具是入侵检测系统（IDS，Intrusiondetectionsystem）。IDS是一个硬件系统或软件程序，它的功能是检测出正在发生或者已经发生的入侵事件。1.4.3响应PDRR模型的第三个环节是响应。在一个大规模网络中，响应都是由一个特殊部门负责，即计算机紧急响应小组（CERT）。CNCERT/CC是我国互联网应急中心，服务内容:事件发现：依托公共互联网网络安全监测平台开展对基础信息网络、金融证券等重要信息系统、移动互联ISP等安全事件的自主监测。预警通报：实现网络安全威胁的分析预警、网络安全事件情况通报、宏观网络安全态势分析等。应急处置：对危害较大的事件报告，及时响应并协调处置。测试评估：为政府部门、企事业单位提供安全测评服务，组织通信网络安全相关标准制定。1.4.4恢复恢复就是把系统恢复到被攻击前的状态甚至比被攻击前更安全的状态。恢复包括系统恢复与数据恢复。现在流行的是容灾备份系统。内容小结：网络安全体系结构：安全服务、安全机制与安全管理五种安全服务，八种安全机制；PDRR网络安全模型：防护、检测、响应、恢复；防护的主要措施。板书提纲：$1.3网络安全体系结构一、网络安全体系结构的相关概念1．安全服务2．安全机制3．安全管理二、网络安全体系的三维框架结构$1.4PDRR网络安全模型1．防护2．检测3．响应4．恢复知识扩展：无全程PPT辅助讲解分析网络体系结构与网络安全体系结构的关联设问：了解了安全体系结构的概念，如何在系统设计与实施时规划安全呢？补充介绍：2019年5月13日，我国出台了信息系统等级保护2.0，对各级防护提出了明确要求及评测标准。作业、讨论题、思考题：作业：1-7、1-9讨论：围绕关于网络空间的八个基本观点谈谈自己的认识课堂教学后记：（课堂教学反思、课堂优化设计构想等内容，必须手写）《通信网络安全与防护》课程教案授课时间年月日周节课次3授课方式（请打√）理论课√讨论课□实验课□习题课□其他□课时安排2授课题目（教学章、节或主题）：第二章网络信息安全（上）教学目的、要求（分掌握、熟悉、了解三个层次）：（1）掌握数据加密的一般模型和古典加密体制；（2）掌握对称密码体制概念，熟悉DES和AES算法；（3）重点理解非对称密码体制概念及RSA算法；（4）熟悉散列函数的概念，了解MD5和SHA算法。。教学重点及难点：重点：密码系统一般模型、公钥密钥体制；难点：RSA算法。课堂教学设计（含思政）：本次课主要是使学员掌握密码学的相关知识，通过理论分析、实例讲解使学员掌握密码系统一般模型、古典加密体制、对称密码体制、公钥密码体制，熟悉DES、AES、RSA等算法。教学中注重举例分析，结合具体的算法讲解；注重启发思考，引导学员分析单表替换的安全性、对称体制的难点等问题，全程采用以多媒体为主的信息化教学手段进行授课，并引导学员课下查阅相关资料。思政要素切入点：通过“密码学的中国贡献”课下研讨作业，引导学员查阅资料，了解王小云、潘建伟院士的研究成果与事迹，用榜样的力量激发学员学习热情，增强自信，强化在工作、学习中勇于承担安全重任的使命担当。教学基本内容课堂教学设计回顾与引入：回顾第一章主要内容，通过两个测试题检验学员对知识点掌握情况；对网络信息安全的教学内容进行总体介绍，并明确本次课教学目标。本节内容：（主要内容框架、要点、重点，建议不要写成讲稿）2.1密码学与信息加密一、密码学概述1．密码学基本概念密码学是研究如何进行密写以及如何非法解密的科学。基本思想是通过变换信息的表示形式来保护敏感信息，使非授权者不能了解被保护信息的内容。2．密码学的发展三个发展阶段每个发展阶段代表性事件3．密码系统一般模型密码学基本原则：一切秘密寓于密钥之中。4．密码分析密码分析就是在不知道密钥的情况下，利用数学方法破译密文或找到秘密密钥。5．现代密码体制的分类（1）对称密码体制和非对称密码体制（2）分组密码体制和序列密码体制（3）确定型密码体制和概率型密码体制（4）单向函数密码体制和双向变换密码体制二、古典加密1．置换加密明文的每个符号本身不变，但通过一定的算法重新排列它们的位置使其相互顺序发生变化。（1）路游法（2）密钥法2．替换加密明文的顺序不变，通过一定的算法使明文的每个字母或每组字母由另外一个或一组字母代替。（1）单表替换（2）多表替换三、对称密码体制算法AES1.DES与IDEADES20世纪70年代中期IBM公司提出，且被美国国家标准局公布为数据加密标准的一种分组加密(BlockCipher)算法。DES分组大小为64位，加密或解密密钥也是64位，但其中有8位是奇偶校验位，不参预运算。国际数据加密算法IDEA由瑞士联邦理工学院XuejiaLai和JamesMassey在1990年提出的。也是一种对称分组密码算法。IDEA密钥长度为128位，分组大小为64位。其安全强度要高于DES算法。2.AES的提出DES的密钥长度为56比特，安全性受到挑战，因此需要设计一种更安全的算法。Rijndael算法由比利时的两个学者JoanDaemen和VincentRijmen提出，是一种具有可变分组长度和可变密钥长度的重复的分组密码。3.AES算法流程AES加密算法涉及4种操作：字节替代（SubBytes）行移位（ShiftRows）列混淆（MixColumns）轮密钥加（AddRoundKey四、公钥密码体制与RSA算法1．公钥密码体制公开密码体制是20世纪70年代由Diffie和Hellman等人所提出，它是密码学理论的划时代突破。公开密码体制修正了密钥的对称性，它一方面，为数据的保密性、完整性、真实性提供了有效方便的技术。另一方面，科学地解决了密码技术的瓶颈──密钥的分配问题。2．RAS算法流程RSA算法主要包括三个部分：☆密钥的生成（1）生成大的素数p和q，计算乘积n=p╳q；（2）欧拉函数Φ(n)=(p-1)╳(q-1)，任意选取整数e与Φ(n)互质，e用做加密密钥；（3）据d╳e=1modΦ(n)，确定解密密钥d；（4）公开(e,n)做为加密密钥，秘密保存d做为解密密钥。☆加密过程。对于明文P，加密得密文C=Pemodn。☆解密过程。对于密文C，解密得明文P=Cdmodn。除算法本身外，RSA算法中还需注意几个环节：（1）素数的产生与检测；（采用概率检测法）（2）明文的数字化处理；（3）素数长度的考虑（RSA算法的安全性）。3．公钥密码体制的使用五、消息摘要算法散列函数对明文认证和数字签名都是非常必要的工具。散列函数值可以说是对明文的一种“指纹”或是摘要。散列函数必须满足下面的条件：散列函数可以将任意长度的信息转变为固定长度的散列函数值。对任意的明文m，散列函数值h(m)可通过软件或硬件很容易的产生。散列函数逆向运算是不可行的。不同的明文，散列函数值相同的可能性极小，可以忽略。1．MD5算法将任意长度明文计算为128比特的散列值，在互联网应用广泛。2．SHA算法美国国家标准局为配合数字签名算法设计的消息摘要算法。内容小结：密码学的一般模型；现代密码体制的分类；古典加密体制；对称密码体制AES；公钥密码体制RSA报文摘要算法MD5SHA板书提纲：$2.1密码学与信息加密一、密码学概述二、古典加密置换替换三、对称密码体制与AESDES、IDEA、AES四、公钥密码体制与RSA五、消息摘要函数MD5SHA知识扩展：无全程PPT辅助讲解讨论：密码学的应用军事领域：如“二战”时期恩尼格码、紫密，反例：山本五十六之死思政：保密就是保生命，保密就是保胜利启发思考：单表替换的安全性如何？单表替换不能抵抗语言统计学分析，密文越长规越明显。因此引入多表替换。45分钟，课间显示曾子兵法与现代网络用语分析：互联网就是一个巨大的的云计算平台实例：DESCHALL竞赛讨论：对称密码体制使用中的难点问题？密钥的分配举例：我们每天都在用消息摘要算法。Windows登录网络应用登录小结：回顾本次课的主要教学内容，加深学员对知识体系的印象作业、讨论题、思考题：作业：2-1、2-3、2-5研讨：1.密码学在军事通信网络中的应用2．古典密码体制是否退出军事应用的历史舞台？3．课下查阅资料，了解王小云、潘建伟院士的主要研究成果和事迹。课堂教学后记：（课堂教学反思、课堂优化设计构想等内容，必须手写）《通信网络安全与防护》课程教案授课时间年月日周节课次4授课方式（请打√）理论课√讨论课□实验课□习题课□其他□课时安排2授课题目（教学章、节或主题）：第二章网络信息安全（下）教学目的、要求（分掌握、熟悉、了解三个层次）：（1）熟悉密钥分配与管理的方法;（2）掌握消息认证、身份认证、PKI的基本概念，重点掌握数字签名的工作过程及工作原理；（3）了解访问控制策略与机制，掌握访问控制的工作原理。教学重点及难点：重点：数字签名的工作过程与工作原理；难点：强制访问控制策略。课堂教学设计（含思政）：本次课采用结合部队装备讲解、结合实例讲解等教学方法，如讲解密钥分配时介绍新型核常机动指挥系统中的密钥分配装备运用，讲解身份认证时结合生活中的网上银行、大门门禁等实例，讲解数字签名时以作战命令的传递中存在的伪造、篡改、抵赖等威胁为例说明数字签名的需求。全程采用以多媒体为主的信息化教学手段进行授课，并引导学员课下查阅相关资料。思政要素切入点：通过密钥分配、认证、访问控制在军事中的应用，引导学员结合将来从事的岗位进行思考，增强对信息保密和网络防护重要性认识，提高对保密、网络防护工作的政治站位，增强使命感。教学基本内容课堂教学设计回顾与引入：回顾上节课主要内容，通过两个测试题检验学员对知识点掌握情况；对本节课的内容组织进行介绍，并明确本节课教学目标。本节内容：（主要内容框架、要点、重点，建议不要写成讲稿）2.2密钥分配与管理一、密钥管理概述密钥的安全十分重要，密钥的管理问题凸显。密钥的管理综合了密钥的等一系列过程。所有的工作都围绕一个宗旨，即确保使用中的密钥是安全的。1．密钥的生成与分配2．密钥的保护与存储3．密钥的有效性与使用控制二、密钥的分类根据密码系统的类型划分为对称密钥和公开密钥。根据密钥的用途划分为数据会话密钥、密钥加密密钥、公钥系统中的私钥、公钥系统中的公钥。根据密钥的有效期划分一次性密钥和重复性密钥。三、密钥分配1.密钥分配实现的基本方法安全的密钥分配通过建立安全信道来实现。密钥分配的研究一般解决两个问题：一是引进自动分配密钥机制；二是尽可能减少系统中驻留的密钥量。基于对称密码体制的安全信道基于双钥密码体制的安全信道基于量子密码体制的安全信道2.密钥分配系统的实现模式小型网络：每两个用户之间共享一个密钥大型网络：采用密钥中心的方式，可以采用密钥传送中心和密钥分配中心2.3安全认证一、消息认证消息认证一般通过消息认证码（MessageAuthenticationCode，MAC）实现，它利用密钥生成一个固定长度的短数据块，并将该数据块附加在消息之后。接收方对收到的消息用相同的密钥K进行相同的计算，并得出新的MAC，然后将接收到的MAC与其计算出的MAC进行比较。接收方可以相信消息未被修改接收方可以相信消息来自真正的发送方如果消息中含有序列号，接收方可以相信信息顺序是正确的二、数字签名数字签名以电子方式存储签名消息，是在数字文档上进行身份验证的技术。数字签名必须做到：接收者和第三方都能够验证文档来自签名者，并且文档签名后没有被修改，签名者也不能否认对文档的签名。三、身份认证从身份认证实现所需条件来看，身份认证技术分为:单因子认证双（多）因子认证依据认证的基本原理划分，身份认证划分为:静态身份认证动态身份认证四、公钥基础设施1.PKI的定义及组成PKI是一种利用公钥密码理论和技术建立起来的、提供信息安全服务的基础设施。PKI目的是从技术上解决网上身份认证、电子信息的完整性和不可抵赖性等安全问题，为网络应用（如浏览器、电子邮件、电子交易）提供可靠的安全服务。PKI系统包括6个部分:证书机构、注册机构、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口。2.数字证书及其应用数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。用于在网络空间中证明用户的身份及公钥信息。2.4访问控制访问控制的实质是对资源使用的限制，保障授权用户能够获得所需的资源，同时又能阻止非授权用户使用的安全机制。一、访问控制策略和机制访问控制的策略一般分为以下三种。1)自主访问控制(DiscretionaryAccessControl，DAC)：资源的所有者能够按照自身的意愿授予另一个实体访问某些资源的权限，由此称为自主访问控制。2)强制访问控制(MandatorilyAccessControl，MAC)：访问某种资源的实体不能按其自身意愿授予其他实体访问该资源的权限，因此称之为强制访问控制。它根据用户安全许可的安全标记控制访问。3)基于角色的访问控制(Role-BasedAccessControl，RBAC)：基于系统中用户的角色和属于该类角色的访问权限控制访问。二、自主访问控制自主访问控制通常通过ACL（访问控制列表）来实现，访问控制列表是对访问控制矩阵的一种分解。三、强制访问控制MAC是一种多级访问控制策略，主要特点是系统对访问主体和受控对象实施强制访问控制。根据对客体资源保护不同的重点，访问控制策略可以分为两种。保障信息完整性策略：向上读、向下写保障信息机密性策略：向上写、向下读四、基于角色的访问控制基本思想是将访问许可权分配给一定的角色，用户通过其扮演不同的角色以取得该角色所拥有的访问许可权，这些用户往往不是被访问客体信息资源的所有者。角色被定义为与一个特定活动相关联的一组动作和责任。内容小结：密钥的分配与管理；安全认证：消息认证、数字签名、身份认证；公钥基础设施PKI；访问控制：自主访问控制、强制访问控制、基于角色的访问控制。板书提纲：$2.2密钥的分配与管理一、密钥管理二、密钥分类三、密钥分配$2.3安全认证一、消息认证二、数字签名三、身份认证四、公开密钥基础设施PKI$2.4访问控制一、自主访问控制二、强制访问控制三、基于角色的访问控制知识扩展：无全程PPT辅助讲解提问：现代密码学基本原则?引出密钥分配与管理拓展：新型核常机动指挥系统中的密钥分发装备应用思政：引导学员提高对信息保密的重视补充：量子密钥分发链接：墨子号报导视频思考：如何保证通信双方的身份真实性？如何保证物理信道和资源不被非法用户使用？如何防止通信的相关信息被第三方篡改？思考：公钥密码体制是传递密钥的最佳方式，但其前提是确信拥有了对方的公钥。如何确信通信双方获得了对方的公钥呢？反例：宣称公钥的中间人攻击方式举例：windows操作系统是基于自主访问控制防火墙是基于强制访问控制分析：传统访问控制的不足作业、讨论题、思考题：作业：2-11、2-12、2-15讨论：访问控制有哪些典型的应用场景？采用的是哪种访问控制策略。课堂教学后记：（课堂教学反思、课堂优化设计构想等内容，必须手写）《通信网络安全与防护》课程教案授课时间年月日周节课次5授课方式（请打√）理论课√讨论课□实验课□习题课□其他□课时安排2授课题目（教学章、节或主题）：第三章网络设备安全教学目的、要求（分掌握、熟悉、了解三个层次）：（1）了解网络设备安全的基本概念及安全隐患；（2）熟悉机房安全、通信线路安全、硬件设备安全等物理安全措施;（3）掌握交换机、路由器的安全配置；（4）熟悉服务器与操作系统安全。教学重点及难点：重点：物理安全的组成；难点：交换机、路由器的安全配置。课堂教学设计（含思政）：本次课主要是引导学员重视物理安全、交换机与路由器的安全配置、操作系统的安全配置等内容，采用引导式的教学方法，以多媒体为主的信息化教学手段进行授课，针对学员都有通信岗位经历的特点，引导学员结合单位实际对照学习，加强师生互动，加强理论和实践融合。思政要素切入点：通过国家安全法规体系和相关案例的介绍引导学员形成严谨细致的工作习惯，促进职业素养提高；二是通过交换机、路由器安全问题的分析，引导学员提高对安全防护工作的重视。教学基本内容课堂教学设计回顾与引入：回顾网络信息安全的主要内容，通过两个测试题检验学员对知识点掌握情况；对网络设备安全的重要意义进行介绍，明确本次课教学目标。本节内容：（主要内容框架、要点、重点，建议不要写成讲稿）3.1物理安全物理安全是整个通信网络系统安全的前提，是保护通信网络设备、设施及其他媒介免遭地震、水灾、火灾等环境事故、人为操作失误或人为损坏导致被破坏的过程。一、机房安全技术1.机房的安全要求2.机房的防盗要求3.机房的三度要求4.防静电措施5.接地与防雷6.机房的防火、防水措施二、通信线路安全通信线路是信息传输的通道，会受到搭线窃听、中断或干扰的攻击。电缆加压技术电缆两端加压，连接监视器，如果监测到变化，则启动报警器。加压电缆是屏蔽在波纹铝钢包皮中，几乎没有电磁辐射，对利用电磁感应的窃听行为有一定的抵抗力。线缆屏蔽技术线缆屏蔽可以降低电磁感应，提高抗干扰能力。如采用屏蔽式双绞线，或将线缆放在金属管内。光纤通信技术光纤通信广泛覆盖于骨千网和接入网中，目前全球90％以上的信息通信都是由光网络承载，涉及的用户和业务包括个人、企业、军事和政府机关，很多密级较高的信号传输也都是以光纤作为基础的。光纤没有电磁辐射，是否就安全了？随着各种窃听、破坏技术和设备的进步与发展，以及光网络遭到攻击的事件不断地被报道，光网络具有先天安全性的成见正在被逐步地打破。光纤窃听方法：光纤弯曲法、V型槽切口法、散射法等。三、硬件设备安全1.硬件设备的维护和管理2.电磁兼容和电磁辐射的防护3.信息存储媒体的安全管理四、电源系统安全电源系统指标：供电连续性、可靠性、稳定性和抗干扰性等。风险：因电源系统电压波动、浪涌电流和突然断电等导致计算机系统存储信息丢失、设备损坏。机房的供配电系统设计要求3.2路由器的安全技术一、路由器存在的安全问题及对策安全问题：身份问题、漏洞问题、访问控制问题、路由协议问题、配置管理问题等1.路由器口令的设置口令加密设置端口登录口令加密特权用户口令防止口令修复2.网络服务的安全设置禁止HTTP服务禁止一些默认状态下开启的服务关闭其他一些易受攻击的端口服务3.保护内部网络lP地址利用路由器的网络地址转换隐藏内部地址利用地址解析协议防止盗用内部IP地址4.利用访问控制列表有效防范网络攻击利用ACL禁止ping相关接口利用ACL防止IP地址欺骗利用ACL防止SYN攻击利用ACL防范网络病毒攻击5.防止包嗅探6.校验数据流路径的合法性7.为路由器间的协议交换增加认证功能，提高网络安全性二、路由器的安全配置1．路由器口令安全配置2．路由器网络服务的安全设置3．保护内部网络IP地址的配置4．利用ACL防范网络攻击的配置5．利用ACL防范病毒攻击的配置6．利用ACL对HTTP服务进行服务控制及权限管理。3.3交换机的安全技术一、交换机存在的安全问题及对策1.利用交换机端口安全技术限制端口接入的随意性2.利用虚拟局域网技术限制局域网广播及ARP攻击范围3.强化Trunk端口设置避免利用封装协议缺陷实行VLAN的跳跃攻击4.使用交换机包过滤技术增加网络交换的安全性二、交换机的安全配置1．路由器登录口令、加密等安全措施也适用于交换机2．启用端口的端口安全功能3.4服务器与操作系统安全一、Windows操作系统安全1.限制用户数量2.管理员账号设置3.使用安全口令4.使用屏幕保护／屏幕锁定口令5.安全文件管理6.安装防病毒软件7.做好备份盘的安全8.禁止不必要的服务9.使用IPSec来控制端口访问10.定期查看日志11.经常访问微软升级程序站点，了解补丁的最新发布情况。二、Web服务器的安全1．明确安全需求2．合理配置内容小结：物理安全的四个方面；路由器安全面临的问题与对策，安全配置；交换机安全面临的问题与对策，安全配置；操作系统与Web服务器的安全。板书提纲：$3.1物理安全一、机房安全技术二、通信线路安全三、硬件设备安全四、电源系统安全$3.2路由器的安全技术一、路由器存在的安全问题及对策二、路由器的安全配置$3.3交换机的安全技术一、交换机存在的安全问题及对策二、交换机的安全配置$3.4服务器与操作系统安全一、Windows操作系统安全二、Web服务器的安全知识扩展：无全程PPT辅助讲解案例分析：静电的危害引入DDoS攻击的案例，加深学员认识视频：美军窃听海底电缆视频：美军窃听海底光缆案例分析：电磁兼容性不强的危害案例分析：电磁辐射屏蔽不良的危害详细配置命令实验课上讲述，本节课不讲。作业、讨论题、思考题：作业：3-4、3-5、3-8拓展：查找相关资料，介绍物理安全的真实案例及分析教学反思：《通信网络安全与防护》课程教案授课时间2021年3月23日周二3-4节课次6授课方式（请打√）理论课√讨论课□实验课□习题课□其他□课时安排2授课题目（教学章、节或主题）：第四章网络攻击技术（上）教学目的、要求（分掌握、熟悉、了解三个层次）：（1）了解网络攻击的基本步骤;（2）熟悉社会工程学、口令破解、缓冲区溢出等典型的网络攻击手段;（3）重点掌握缓冲区溢出的原理；（4）掌握各种攻击手段的防护措施。教学重点及难点：重点：缓冲区溢出攻击工作原理；难点：缓冲区溢出攻击的实施。课堂教学设计（含思政）：本次课注重结合实例讲解，穿插介绍著名黑客及事迹，增强教学趣味性，区分白帽黑客和黑帽黑客，引导学员建立对黑客行为的正确认识；注重引导式教学，如溢出攻击的讲解以问题牵引，引导学员分析溢出漏洞成因及溢出攻击的原理。全程以多媒体为主的信息化教学手段进行授课，注重加强师生互动，加强理论和实践融合。思政要素切入点：通过区分白帽黑客和黑帽黑客，引导学员正确的网络攻防观；通过“黑客有无国界，黑客技术有无国界”的讨论，引导学员树立国家网络安全观；通过对溢出漏洞的分析，引导学员养成良好的程序设计习惯和用网习惯。教学基本内容课堂教学设计回顾与引入：回顾上节课主要内容，通过两个测试题检验学员对知识点掌握情况；对网络攻击如何分类进行介绍，并明确本次课教学目标。本节内容：（主要内容框架、要点、重点，建议不要写成讲稿）4.1黑客与网络攻击概述4.1.1黑客的基本概念按行为和动机可将黑客划分为白帽(whiteHat)黑客和黑帽(BlackHat)黑客两类。白帽黑客利用其高超技术，长期致力于改善计算机及其环境，不断寻找系统的脆弱性并公布于众，促使各大计算机厂商改善产品质量，提醒普通用户系统可能存在的安全隐患。黑帽黑客也称为Cracker，他们利用掌握的攻击手段和入侵技术，非法侵入并破坏计算机系统，从事一些恶意的破坏活动。4.1.2网络攻击的一般流程网络攻击或以划分为四个阶段、八个环节。1.踩点“踩点”原意为策划一项盗窃活动的准备阶段，在网络攻击领域，“踩点”是传统概念的电子化形式。黑客通常采用搜索引擎或各种开放的信息源进行信息搜集。2.扫描扫描的目的是确定目标网络范围内哪些系统是“活动”的，以及它们提供哪些服务，并对目标系统所提供的各种服务进行评估，以便集中精力在最有希望的途径上发动攻击。扫描采用的主要技术有Ping扫射、TCP/UDP端口扫描、操作系统检测以及漏洞检测。3.获取访问权搜集到目标系统的足够信息后，下一步要完成的工作是得到目标系统的访问权进而完成对目标系统的入侵。对于操作系统采用的主要技术有破解系统登陆口令、窃听口令、远程缓冲区溢出等。4.提升权限攻击者能够获得访问权限后，就会试图将普通用户权限提升至超级用户权限，以便完成对系统的完全控制。权限提升所采取的技术主要有通过得到的密码文件，破解系统上其他用户名及口令；利用不同操作系统及服务的漏洞，利用管理员不正确的系统配置等。5.窃取或篡改信息一旦攻击者得到了系统的完全控制权，接下来进行的工作对敏感数据的篡改、添加、删除及复制，并通过对敏感数据的分析，为进一步攻击应用系统做准备。6.清除痕迹清除痕迹的主要工作有禁止系统审计、清空事件日志、隐藏作案工具等。7.植入后门或木马创建后门的主要方法有创建具有特权用户权限的虚假用户账号、安装远程控制工具、使用木马程序替换系统程序、安装监控机制及感染启动文件等。8.拒绝服务攻击如果黑客未能成功获取访问权，可以使用精心准备好的漏洞代码攻击系统使目标服务器资源耗尽或资源过载，以至于没有能力再向外提供服务。4.2欺骗型攻击1.社会工程学的基本概念社会工程学是一种利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗等攻击手段，获取自身利益的手法。社会工程学不是一门科学，因为它不是总能重复和成功，而且在被攻击者信息充分的情况下，会自动失效。2．社会工程学攻击手段1）打电话请求密码2）伪造邮件3）钓鱼攻击4）主动提供技术支持3．社会工程学攻击防护措施4.3利用型攻击4.3.1口令破解1.口令破解方法1）穷举法2）字典法2．口令破解对象1）破解系统登录口令2）破解web站点口令3）破解软件加密口令3．口令破解防范措施4.3.2口令破解1．缓冲区溢出攻击基本概念缓冲区，就是程序运行期间，在内存中分配的一段连续的区域，用于保存包括字符数组在内的各种数据类型；溢出，就是指所填充的数据超出了原有缓冲区的边界，并且非法占据了另一段内存区域。缓冲区溢出攻击指的是一种系统攻击的手段，通过向程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。2.缓冲区溢出漏洞存在的原因程序员编程时，调用或编写类似strcpy这样的函数时，未限定或检查参数的大小，这就是缓冲区溢出漏洞存在的原因。3.缓冲区溢出攻击的原理当攻击者有机会用大于目标缓冲区大小的内容来向缓冲区进行填充时，就有可能改写函数保存在函数栈中的返回地址，从而使程序的执行流程随着攻击者的意图而转移。也就是说，进程接受了攻击者的控制，攻击者可以让进程改变原来的执行流程，去执行攻击者准备好的代码。4.缓冲区溢出攻击的实施缓冲区溢出攻击包的基本构造如下：内容小结：网络攻击的基本流程：四个环节、八个阶段；社会工程学攻击的概念、主要手段、防范措施；口令破解的两种方法、三种对象、防范措施；缓冲区溢出攻击概念、漏洞成因、原理与实施。板书提纲：$4.1黑客与网络攻击基本概念1.黑客2.网络攻击的一般流程$4.2欺骗型攻击1.社会工程学2.社会工程学攻击手段$4.3利用型攻击1.口令破解2.缓冲区溢出攻击知识扩展：1．参考教学资源，总结分析一到两种新型攻击手段。2．了解近年出现的缓冲区溢出漏洞及造成的后果。全程PPT辅助讲解请学员谈谈对黑客的认识？引出教学内容穿插介绍史上十大黑客，如比尔盖兹、乔布斯、李纳斯就是白帽，凯文米特尼克就是黑帽。以打开学校网站首页做为案例，分析可以获取的信息结合实例讲解徐玉玉事件结合实例讲解邮箱口令的破解通过分析程序代码和程序执行流程，理解漏洞的成因通过分析案例程序，使学员理解函数返回指针的作用启发学员：攻击如何实施？三个问题：如何找到服务进程的溢出漏洞？如何知道函数返回地址存在的位置如何执行相应的攻击代码？作业、讨论题、思考题：作业：4-1、4-3、4-4讨论：黑客有无国界，黑客技术有无国界。课堂教学后记：（课堂教学反思、课堂优化设计构想等内容，必须手写）《通信网络安全与防护》课程教案授课时间年月日周节课次7授课方式（请打√）理论课√讨论课□实验课□习题课□其他□课时安排2授课题目（教学章、节或主题）：第四章网络攻击技术（下）教学目的、要求（分掌握、熟悉、了解三个层次）：（1）掌握木马的工作原理与工作过程;（2）熟悉SQL注入攻击的原理与防范方法;（3）掌握DoS攻击的常用技术，掌握DDoS的组织过程；（4）了解高级可持续威胁的基本概念、攻击过程。教学重点及难点：重点：木马与DoS工作原理；难点：木马的传播方法。课堂教学设计（含思政）：本次课针对木马采用问题剖析、层层递进的教学方法，针对DoS攻击突出重点知识讲解，略讲早期技术，精讲现用技术，教学中引导学员结合自己平时的认知对照学习，加强师生互动。思政要素切入点：通过震网病毒等实际案例的介绍，使学生认识到当前网络空间斗争的复杂性，从更加透彻的理解习主席关于网络安全的重要论断和讲话精神，养成日常管网用网严谨细致的工作习惯，促进职业素养提高。教学基本内容课堂教学设计回顾与引入：回顾上节课主要内容，通过两个测试题检验学员对知识点掌握情况；对本次课的主要内容进行介绍，并明确本次课教学目标。本节内容：（主要内容框架、要点、重点，建议不要写成讲稿）4.3利用型攻击4.3.3木马病毒1．木马的基本概念木马从本质上而言就是一对网络进程，其中一个运行在受害者主机上，称为服务端；另一个运行在攻击者主机上，称为控制端。攻击者通过控制端与受害者服务端进行网络通信，达到远程控制或其它目的。通常我们说的木马指的是木马服务端程序，它具有以下两个典型特征：一是隐蔽性：木马程序是隐藏的，没有运行窗体，用户难以察觉；二是非授权性：即木马程序执行的所有功能都不是管理员允许的，是非授权的；2．木马的工作原理典型木马的工作过程:1）功能机制木马的典型功能包括：一是远程控制功能。像经典的冰河、灰鸽子等木马都实现了远程控制功能。二是文件窃取功能。木马在受害者主机按照预置参数进行搜索，将找到的文件发送到指定的邮箱或上载到指定的站点位置。三是执行预置的如破坏、网络攻击等特定功能。例如“僵尸”程序，可用于完成拒绝服务攻击。2）传播机制病毒式传播网页挂马欺骗下载文件捆绑主动攻击3）启动机制4）连接机制正向连接反弹式连接无连接3．木马防范技术4.3.4SQL注入攻击SQL-StructuredQueryLanguage,结构化查询语言。SQL注入即是指攻击者通过在应用程序中预先定义好的查询语句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授权的任意查询。防止SQL注入四种方法：(1)在服务端正式处理之前对提交数据的合法性进行检查；(2)封装客户端提交信息；(3)替换或删除敏感字符/字符串；(4)屏蔽出错信息。4.4DoS与DDoS拒绝服务攻击DoS（DenialofService），凡是造成目标计算机拒绝提供服务的攻击都称为DoS攻击，其目的是使目标计算机或网络无法提供正常的服务。1．DoS攻击技术1）早期的一些DoS攻击手段2）SYNFlood3）Smurf攻击2．DDoS攻击DDoS采取的仍然是DOS技术，只不过增加了攻击主机。4.5APT课下自学。内容小结：木马的定义、本质、工作过程、工作原理；SQL注入攻击的原理、防范措施；DoS攻击的原理、常用技术；DDoS攻击的组织方式、防范措施。板书提纲：$4.3利用型攻击三、特洛伊木马1.概述定义、本质、特征2.木马的工作原理功能机制传播机制启动机制连接机制四、SQL注入攻击1.工作原理2.防范措施$4.4DoS与DDoS1.DoS攻击技术2.DDoS攻击知识扩展：APT的基本概念及攻击过程全程PPT辅助讲解请学员谈谈对木马的认识是什么？引出教学内容内容重点，用时约40分钟注重结合实例剖析网络上通信的原理，回顾套接字、端口等运输层重要概念。针对Web的攻击是当前网络攻击的重点，补充教学内容，引导学员了解基本原理。引入DDoS攻击的案例，加深学员认识针对最新的利用物联网设备的DDoS攻击进行剖析作业、讨论题、思考题：作业：4-2、4-7、4-9讨论：课堂教学后记：（课堂教学反思、课堂优化设计构想等内容，必须手写）《通信网络安全与防护》课程教案授课时间2021年4月6日周二3-4节课次8授课方式（请打√）理论课√讨论课□实验课□习题课□其他□课时安排2授课题目（教学章、节或主题）：第五章网络防护技术（上）教学目的、要求（分掌握、熟悉、了解三个层次）：（1）掌握防火墙的基本概念、优缺点;（2）重点掌握防火墙的三种实现技术，熟悉防火墙安全规则的配置;（3）了解网络安全隔离的基本概念，熟悉网闸的工作原理。教学重点及难点：重点：防火墙的实现技术；难点：防火墙规则的配置。课堂教学设计（含思政）：本次课教学中注重运用对比分析、实例讲解的教学方法，对比分析防火墙与网络隔离技术的异同，在防火墙规则设计时结合实例讲解，教学中突出防火墙实现技术及规则配置这一教学重点。教学中注重技术与应用结合，介绍军事网络中的防火墙与网络隔离系统装备及应用。教学中注重与学员的教学互动，引导学员结合自己平时的认知对照学习。思政要素切入点：通过防火墙技术的发展，使学生认识到网络攻防对抗的动态性，增强整体防护意识，养成日常管网用网严谨细致的工作习惯，促进职业素养提高。教学基本内容课堂教学设计回顾与引入：回顾第四章网络攻击技术的主要内容，通过三个测试题检验学员对知识点掌握情况；对网络防护的主要内容进行介绍，并明确本节课教学目标。本节内容：（主要内容框架、要点、重点，建议不要写成讲稿）5.1防火墙技术5.1.1防火墙概述1．防火墙基本概念防火墙是在信任网络与非信任网络之间，通过预定义的安全策略，对内外网通信强制实施访问控制的安全应用设备。2．防火墙的优点采用防火墙保护内部网络有以下优点：1）防火墙可以保护网络中脆弱的服务2）防火墙允许网络管理员定义中心“扼制点”抵抗非法访问3）防火墙可以增强保密性，强化私有权4）采用NAT的防火墙可以节约地址资源5）防火墙可以方便的进行审计和告警3．防火墙的缺点虽然防火墙可以提高内网的安全性，是网络安全体系中极为重要的一环，但不能因为有了防火墙就可以高枕无忧。因为防火墙也有一些缺陷和不足，主要体现在以下几点：1）防火墙无法防护内部网用户的攻击2）防火墙无法防护病毒，也无法抵御数据驱动型的攻击3）防火墙不能防范不通过它的攻击4）防火墙不能防备新的网络安全问题5.1.2防火墙的常用技术防火墙的主要技术包括包过滤、应用代理和状态检测技术。1．包过滤技术采用包过滤技术的防火墙称为包过滤型防火墙，因为它工作在网络层，又叫网络级防火墙。包过滤防火墙可以通过检查每个包的源IP地址、目的IP地址、运输层端口等信息来决定是否允许此数据包通过。包过滤的工作过程如下。2．应用代理应用代理工作在网络的应用层，其实质是把内部网络和外部网络之间直接进行的业务由代理接管。应用代理防火墙能够完全控制网络信息的交换，控制会话过程，具有较高的安全性。其缺点主要表现在：1）软件实现限制了处理速度，易于遭受拒绝服务攻击；2）需要针对每一种网络服务开发应用层代理，开发周期长，而且升级较困难。3．状态检测技术状态检测又称动态包过滤，是在传统包过滤上的功能扩展。状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。状态检测技术检查的项目除了传统的包过滤技术检查的IP地址与端口号以外，还需要检查连接状态与上下文信息。5.1.3防火墙的功能性能分析1．功能指标衡量防火墙的基本功能指标包括防火墙提供的接入方式、安全区划分、访问控制功能。支持不同接入方式防火墙提供的接入方式包括透明接入、路由或NAT接入及混合接入三种接入方式。2）安全区划分3）访问控制功能2．性能指标防火墙的性能指标：并发连接数、吞吐量、时延等。5.3安全隔离技术实际工作中，我们经常会面临在不同安全等级网络间的数据交换需求，传统的做法是采用“人工拷盘”，这种解决方案可以实现网络的安全隔离，但数据交换通过人工来实现，工作效率低；且安全性完全依赖于人的因素，可靠性无法保证。1．安全隔离的基本概念安全隔离是指把两个或两个以上可路由的网络（如TCP/IP）通过不可路由的协议进行数据交换而达到隔离目的。目前，在我国，网闸是一种广泛使用的安全隔离产品。不同生产厂商，又称之为安全隔离网闸、物理隔离网闸、安全隔离与信息交换系统等，这些产品都是为了在确保安全的前提下实现有限的数据交流。2．网闸的工作原理1）网闸的结构通常，网闸内部采用“2+1”模块结构设计，即包括外网主机模块、内网主机模块和隔离交换模块。2）网闸的工作过程3．网闸的应用场景不同的涉密网络之间；同一涉密网络的不同安全域之间；与Internet物理隔离的网络与秘密级涉密网络之间；未与涉密网络连接的网络与Internet之间内容小结：防火墙的定义、功能与不足防火墙的主要技术防火墙的功能与性能；网闸的基本概念、结构、工作原理、应用场景。板书提纲：$5.1防火墙一、防火墙概述1．基本概念2．优缺点二、防火墙的常用技术1．包过滤技术2．应用代理3．状态检测技术三、防火墙的功能性能1．功能指标：接入方式、安全区划分、访问控制2．性能指标：并发连接数、吞吐量、时延$5.3安全隔离技术1．基本概念2．网闸工作原理3．网闸应用场景知识扩展：了解指挥专的防火墙与安全隔离系统全程PPT辅助讲解请学员谈谈所了解的网络安全防护手段有哪些？引出教学内容对照实例，讲解防火墙规则的配置，强调防火墙规则是有顺序的结合实例讲解代理工程过程。问题：如何在不同安全等级的网络间进行信息交换？如从学校办公专网拷贝文件到校园网。作业、讨论题、思考题：作业：5-2、5-7、5-8课堂教学后记：（课堂教学反思、课堂优化设计构想等内容，必须手写）《通信网络安全与防护》课程教案授课时间2021年4月8日周四1-2节课次9授课方式（请打√）理论课√讨论课□实验课□习题课□其他□课时安排2授课题目（教学章、节或主题）：第五章网络防护技术（下）教学目的、要求（分掌握、熟悉、了解三个层次）：（1）掌握入侵检测系统的基本概念，熟悉入侵检测系统的体系结构;（2）掌握入侵检测系统的检测方法;（3）掌握蜜罐与蜜网基本概念，熟悉蜜罐的分类，了解蜜罐的搭建方法。教学重点及难点：重点：入侵检测系统的检测分析方法；难点：木马的传播方法。课堂教学设计（含思政）：本次课教学中注重运用对比分析、实例讲解的教学方法，对比分析入侵检测系统与蜜罐技术在攻击检测技术及结果运用中的差别，加深学员对知识的理解；在讲解入侵检测规则时，采用实例讲解，使抽象的问题直观化。教学中注重技术与应用结合，介绍军事网络中的入侵检测系统装备及应用。教学中注重与学员的教学互动，引导学员结合自己平时的认知对照学习。思政要素切入点：通过对入侵检测技术与蜜罐技术的讲解，使学生认识到网络攻防对抗的动态性，增强整体防护意识，养成日常管网用网严谨细致的工作习惯，促进职业素养提高。教学基本内容课堂教学设计回顾与引入：回顾上节课主要内容，通过三个测试题检验学员对知识点掌握情况；对本次课的主要内容进行介绍，并明确本次课教学目标。本节内容：（主要内容框架、要点、重点，建议不要写成讲稿）5.2入侵检测系统一、入侵检测系统基本概念入侵（Intrusion）：是指对任何企图危及系统及资源的完整性、机密性和可用性的活动。入侵检测（IntrusionDetection）即对入侵行为的发觉，是指通过收集和分析网络行为、安全日志、审计数据、其它网络上可获得的信息及计算机系统中关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测系统（IntrusionDetectionSystem，IDS）：即进行入侵检测的软件或硬件的组合。1.入侵检测的发展历史和发展趋势诞生、发展历程、发展趋势2.入侵检测的类型1）基于主机的入侵检测系统（Host-BasedIDS,简称HIDS）2）基于网络的入侵检测系统（Network-BasedIDS,简称NIDS）3）分布式入侵检测系统（DistributedIDS,简称DIDS）二、入侵检测系统的体系结构1．体系结构的演变过程2．通用入侵检测框架3.现有IDS体系结构的局限性三、入侵检测系统的检测方法1．基于异常的检测分析方法异常检测是目前入侵检测系统分析方法研究的重点，其特点是通过对系统异常行为的检测，可以归结出未知攻击。异常检测的关键问题在于正常使用模型的建立，以及如何通过正常使用模型对当前的系统行为进行比较，从而判断出与正常模型的偏离程度。常用的异常检测方法有：1）基于统计方法的异常检测2）基于数据挖掘技术的异常检测3）基于神经网络的异常检测2．基于误用的检测分析方法误用（Misuse）：指“可以用某种规则、方式、模型表示的入侵攻击或其他安全相关行为”。基于误用的入侵检测（MisuseDetection）技术：通过某种方式预先定义入侵行为，然后监视系统的运行，井根据所建立的这种入侵模式来检测入侵，并从中找出符合预先定义规则的入侵行为。3.常用的误用检测技术1）模式匹配例如协议匹配、字符串匹配、长度匹配、累积匹配或增量匹配等；2）协议分析技术将协议分析与模式匹配相结合，可以获得更高的效率和更精确的结果。5.4蜜罐与蜜网一、蜜罐的基本概念蜜罐（honeypot）是一种价值在于被探测、攻击、破坏的系统，是一种网络管理员可以监视、观察攻击者行为的系统。引入蜜罐的目的：一是分散攻击者的注意力；二是收集同攻击和攻击者有关的信息。二、蜜罐的关键技术1．网络欺骗技术2．数据控制技术3．数据收集技术4．报警技术5．入侵行为重定向技术三、蜜罐的分类1．从应用层面分为产品型蜜罐和研究型蜜罐两种。2．按交互等级分为低交互、中交互、高交互三种蜜罐。蜜罐主机的一个重要特性就是其交互等级。交互等级：是指攻击者可以同蜜罐主机所在的操作系统的交互程度。四、蜜网蜜网（Honeynet）是一个网络系统，而并非某台单一的主机，这一网络系统是隐藏在防火墙后面的，所有进出的数据都受到关注、捕获及控制。这些被捕获的数据可供我们研究分析入侵者们使用的工具、方法及动机。蜜罐与蜜网的实现方法：利用Snort软件安装利用HoneyD软件安装2021两会期间，知道创宇提供免费试用“云蜜罐”服务，云安全已经成为新的发展方向。内容小结：IDS基本概念、发展历程、发展趋势、体系结构；HIDS、NIDS、DIDS；IDS的体系结构；误用检测、异常检测；蜜罐的价值、蜜罐的关键技术、蜜罐的分类；板书提纲：$5.2入侵检测系统一、基本概念分类：HIDS、NIDS、DIDS发展历程发展趋势二、体系结构CIDF三、入侵检测分析技术异常检测误用检测$5.4蜜罐与蜜网基本概念关键技术分类蜜网知识扩展：课下搜集云安全的进展。全程PPT辅助讲解通过设问防火墙能不能给我们提供安全的保证？引出教学内容类比：病毒查杀的两种技术，行为监测法与特征代码法。对比分析：异常检测是给正常行为给出刻画，不符合则认为是入侵；误用检测是给攻击行为给出刻画，符合了则是入侵。结合实例分析结合实例分析思考：安全组织是如何辨别不同的黑客组织的呢？作业、讨论题、思考题：作业：5-4、5-9、5-10拓展作业：感兴趣的同学可以安装Hfish蜜罐软件，在互联网中捕获攻击信息。课堂教学后记：（课堂教学反思、课堂优化设计构想等内容，必须手写）《通信网络安全与防护》课程教案授课时间年月日周节课次10授课方式（请打√）理论课√讨论课□实验课□习题课□其他□课时安排2授课题目（教学章、节或主题）：第六章网络安全协议（上）教学目的、要求（分掌握、熟悉、了解三个层次）：（1）熟悉Kerberos与X.509两种安全认证协议的实现原理及鉴别过程;（2）掌握IPsec体系结构，熟悉IPsec的实现方式，掌握IPsec的工作模式；（3）熟悉安全关联SA的概念，掌握AH、ESP两种协议的安全特性及首部格式；（4）了解IKE的实现方法。教学重点及难点：重点：AH、ESP两种协议；难点：安全关联SA的理解。课堂教学设计（含思政）：本次课主要讲解典型的安全认证协议及IPsec协议，采用问题引入、对比分析等教学方法，采用多媒体为主的信息化教学手段进行授课，教学中注重通过问题或知识回顾的方式启发学员思考，加强师生互动。思政要素切入点：通过协议设计的严密性（即协议需要将各种可能的不利因素考虑到），引导学员注重培养严谨细致的工作作风，促进职业素养提高；通过IPV4协议存在的安全隐患的分析，引导学员思考军事网络的安全风险，提高安全意识，增强对从事网络安全防护工作重要性的认识。教学基本内容课堂教学设计回顾与引入：回顾第五章网络防护技术的主要内容，通过三个测试题检验学员对知识点掌握情况；对网络安全协议的分类介绍自己的思考，并明确本节课教学目标。本节内容：（主要内容框架、要点、重点，建议不要写成讲稿）6.1安全认证协议6.1.1Kerberos认证协议1．Kerberos概述Kerberos是一种网络身份认证协议，其设计目的是通过密钥密码学技术为客户端/服务器应用提供一种强身份认证的功能（Kerberos这个词来源于希腊神话中看守冥府大门的三首地狱犬）。2．Kerberos认证过程Kerberos认证的具体流程如下3.Kerberos存在的问题6.1.2X.509认证1.概述X.509协议是国际电信联盟电信标准化部门（ITU-T）制定的数字证书标准。2.证书的格式3.X.509的鉴别框架6.2安全通信协议人们很早就开始关注TCP/IP协议簇的安全性问题：地址欺骗风险数据篡改风险信息泄露风险高安全风险6.2.1IPSec协议簇1.IPSec设计目标与体系结构IPsec的设计目标是为IPv4和IPv6提供可互操作的、高质量的、基于密码学的安全性保护。它工作在IP层，提供访问控制、无连接的完整性、数据源认证、机密性保护、有限的数据流机密性保护以及抗重放攻击等安全服务。IPsec的安全体系结构：2.IPSec实现方式与工作模式IPsec可以在主机、路由器(防火墙)或在两者中同时实施和部署，常用的实现方式：集成方式堆栈中的块bitS方式线缆中的块bitW方式工作模式：传输模式隧道模式3．IPSec的安全关联1）SA的定义2）SA的单向性3）SA的组合4）SA的两种类型4.安全关联数据库处理IPsec数据流必须维护两个与SA相关的数据库：安全策略数据库(SPD)和安全关联数据库(SAD)。5.AH协议6.ESP协议7.IKE协议IKE就是IPsec规定的一种用于动态管理和维护SA的协议。内容小结：Kerberos、X.509IPsec体系SA、SPD、SADAH、ESP、IKE板书提纲：$6.1安全认证协议一、Kerberos认证协议1．概述2．鉴别过程3．存在问题二、X.509认证1．概述2．证书格式3．鉴别框架$6.2安全通信协议一、IPSec1．IPSec设计目标与体系结构2．IPSec实现方式与工作模式3．IPSec的安全关联4．安全关联数据库5．AH6．ESP7．IKE知识扩展：无全程PPT辅助讲解回顾通信网技术基础课程中对协议的定义由学员类比给出安全协议的理解什么是安全协议？引出教学内容对比分析：Kerberos基于对称密码体制；X.509基