信息安全導(dǎo)論實(shí)驗(yàn)教學(xué)的研究與實(shí)踐的分析論文

　　本文提出階梯式的驗(yàn)證性實(shí)驗(yàn)教學(xué)方法，即將多個獨(dú)立的實(shí)驗(yàn)按照所需安全技術(shù)水平的高低有機(jī)的組織起來，從而在短時間內(nèi)取得較好的實(shí)驗(yàn)教學(xué)效果。

　　1課程概述

　　“信息安全導(dǎo)論”是面向計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)和網(wǎng)絡(luò)工程專業(yè)學(xué)員的一門專業(yè)技術(shù)課程。隨著部隊(duì)信息化建設(shè)的迅猛發(fā)展，部隊(duì)對信息系統(tǒng)的依賴日益加重，信息安全問題日益突出，因此在利用信息化提升部隊(duì)?wèi)?zhàn)斗力的同時，必須研究信息安全的自身特點(diǎn)，尋找信息安全問題的解決之道。

　　本課程要求學(xué)員了解信息安全的重要性和復(fù)雜性、理解信息安全的基本概念和基本原理、掌握信息安全的基本技能和基本方法。而實(shí)驗(yàn)教學(xué)的主要目的是讓學(xué)員通過實(shí)驗(yàn)?zāi)軌蛘莆栈�本的信息安全防護(hù)技能，了解系統(tǒng)存在的安全隱患，樹立牢固的安全意識，培養(yǎng)良好的安全習(xí)慣，另一方面提高實(shí)踐操作和應(yīng)用能力。

　　課程的課內(nèi)學(xué)時為32課時，課外學(xué)時即實(shí)驗(yàn)學(xué)時為12學(xué)時。課程內(nèi)容基本覆蓋了信息安全領(lǐng)域所涉及的主要分支和領(lǐng)域，共包括信息安全緒論、密碼學(xué)基礎(chǔ)、計(jì)算機(jī)系統(tǒng)安全、計(jì)算機(jī)網(wǎng)絡(luò)安全、計(jì)算機(jī)應(yīng)用安全和信息系統(tǒng)安全工程六章內(nèi)容。而課外實(shí)驗(yàn)由于學(xué)時有限，只能在課程內(nèi)容中進(jìn)行適當(dāng)?shù)倪x擇。

　　2實(shí)驗(yàn)教學(xué)內(nèi)容選擇

　　由于時間有限，應(yīng)該優(yōu)先選擇最基本、最常用的安全技術(shù)方面的實(shí)驗(yàn)，并按照所需技術(shù)水平的高低進(jìn)行階梯式的安排。

　　根據(jù)這一原則在整個課程中計(jì)算機(jī)系統(tǒng)安全章節(jié)、計(jì)算機(jī)網(wǎng)絡(luò)安全章節(jié)中涉及的內(nèi)容成為實(shí)驗(yàn)內(nèi)容安排的重點(diǎn)。

　　2.1計(jì)算機(jī)系統(tǒng)安全的實(shí)驗(yàn)內(nèi)容選擇

　　在計(jì)算機(jī)系統(tǒng)安全章節(jié)中的計(jì)算機(jī)操作系統(tǒng)的安全內(nèi)容成為實(shí)驗(yàn)內(nèi)容的首選。計(jì)算機(jī)操作系統(tǒng)是應(yīng)用軟件同系統(tǒng)硬件的接口，其目標(biāo)是高效地、最大限度地、合理地使用計(jì)算機(jī)資源。沒有系統(tǒng)的安全就沒有信息的安全。操作系統(tǒng)作為系統(tǒng)軟件中最基礎(chǔ)的部分，其安全問題的解決最為關(guān)鍵。目前操作系統(tǒng)主要分為 Windows系列的操作系統(tǒng)和類Unix的操作系統(tǒng)。雖然這些操作系統(tǒng)符合C2級安全級別，即自主安全保護(hù)和受控存儲控制，但操作系統(tǒng)仍存在不少安全漏洞，而大多數(shù)惡意代碼正是針對操作系統(tǒng)存在的安全漏洞進(jìn)行攻擊，因此導(dǎo)致出現(xiàn)很多安全問題。

　　為了讓學(xué)員了解操作系統(tǒng)存在的安全漏洞以及攻擊者入侵操作系統(tǒng)的手段，加強(qiáng)自身的安全意識，我們設(shè)計(jì)了一個Windows 2000漏洞入侵實(shí)驗(yàn)。實(shí)際上，對于大部分的安全問題，我們可以通過對操作系統(tǒng)的安全管理配置操作來進(jìn)行防范。在實(shí)驗(yàn)內(nèi)容中，我們選擇Windows 2000和Linux操作系統(tǒng)進(jìn)行操作系統(tǒng)的安全管理配置操作的學(xué)習(xí)。

　　2.2計(jì)算機(jī)網(wǎng)絡(luò)安全的實(shí)驗(yàn)內(nèi)容選擇

　　在計(jì)算機(jī)網(wǎng)絡(luò)安全章節(jié)中防火墻技術(shù)、嗅探技術(shù)和VPN技術(shù)被選擇為實(shí)驗(yàn)的內(nèi)容。

　　許多來自網(wǎng)絡(luò)的遠(yuǎn)程攻擊可以通過防火墻技術(shù)來進(jìn)行防范。防火墻是在兩個網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一組硬件和軟件系統(tǒng)，其目的是保護(hù)本地網(wǎng)絡(luò)的通信安全。使用防火墻進(jìn)行網(wǎng)絡(luò)的安全防護(hù)是最常用的安全技術(shù)。據(jù)統(tǒng)計(jì)，全球接入因特網(wǎng)的計(jì)算機(jī)中有1/3以上處在防火墻保護(hù)之下。因此，理解防火墻的工作原理，并能根據(jù)定義的安全策略配置相應(yīng)的安全規(guī)則是學(xué)習(xí)安全技術(shù)的一個重點(diǎn)。

　　嗅探技術(shù)主要通過將網(wǎng)卡設(shè)置為混雜模式來接收和分析所有經(jīng)過網(wǎng)卡的數(shù)據(jù)包。而利用嗅探器竊取別人的用戶密碼和秘密信息是惡意攻擊者常用的手段。通過學(xué)習(xí)嗅探器的使用，可以使學(xué)員們了解數(shù)據(jù)包的基本結(jié)構(gòu)，從而加深對后階段實(shí)驗(yàn)的理解，同時增強(qiáng)數(shù)據(jù)包在網(wǎng)絡(luò)上傳輸時需要安全保護(hù)的意識。

　　在學(xué)習(xí)嗅探器使用的實(shí)驗(yàn)中，學(xué)員已經(jīng)認(rèn)識到數(shù)據(jù)包在網(wǎng)絡(luò)上傳輸?shù)牟话踩�性。而VPN技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)安全傳輸?shù)囊环N安全技術(shù)。VPN稱為虛擬專用網(wǎng)，它是在因特網(wǎng)上實(shí)現(xiàn)的一個專用網(wǎng)絡(luò)。由于利用VPN技術(shù)構(gòu)建的虛擬網(wǎng)絡(luò)中數(shù)據(jù)包是加密傳輸?shù)模瑥亩�能夠保證信息在網(wǎng)絡(luò)傳輸?shù)臋C(jī)密性。通過學(xué)習(xí)VPN 服務(wù)的配置和連接的建立技術(shù)，可以加深學(xué)員對VPN技術(shù)的理解。

　　最后，學(xué)員通過學(xué)習(xí)本門課程不斷地提高自身信息安全技術(shù)水平，并按照如圖1的階梯式實(shí)驗(yàn)內(nèi)容的安排進(jìn)行學(xué)習(xí)，能夠了解入侵操作系統(tǒng)的典型攻擊手段、掌握主流操作系統(tǒng)的安全管理配置操作、掌握防火墻的基本配置和使用、學(xué)會嗅探工具的使用和掌握VPN服務(wù)的配置和連接。

　　3實(shí)驗(yàn)內(nèi)容設(shè)計(jì)

　　根據(jù)圖1的安排，整個實(shí)驗(yàn)課程的內(nèi)容包括六個實(shí)驗(yàn)。每個實(shí)驗(yàn)所占課時為2個課時，為了讓學(xué)員們能夠在短時間達(dá)到實(shí)驗(yàn)要求，實(shí)驗(yàn)內(nèi)容主要以驗(yàn)證性的實(shí)驗(yàn)為主，部分提高型的設(shè)計(jì)實(shí)驗(yàn)為輔。驗(yàn)證性的實(shí)驗(yàn)內(nèi)容的實(shí)驗(yàn)步驟比較詳細(xì)，力爭學(xué)員在實(shí)驗(yàn)課時間內(nèi)完成所需實(shí)驗(yàn)，而提高型的實(shí)驗(yàn)內(nèi)容用于部分感興趣的同學(xué)在課后進(jìn)一步提高技術(shù)水平。

　　3.1Windows 2000漏洞入侵的實(shí)驗(yàn)內(nèi)容

　　操作系統(tǒng)存在許多安全漏洞如緩沖區(qū)溢出，很多攻擊都是針對這些漏洞進(jìn)行的。此次實(shí)驗(yàn)的操作系統(tǒng)選擇的是Windows 2000。實(shí)驗(yàn)的主要目的是讓學(xué)員們了解典型入侵過程，提高安全意識。針對漏洞入侵的典型過程如圖2。在入侵典型過程中安裝后門和清除入侵痕跡不屬于必備環(huán)節(jié)，而是較高級的攻擊者采取的方法。 此次實(shí)驗(yàn)的主要內(nèi)容是設(shè)計(jì)兩個可驗(yàn)證步驟的漏洞入侵過程，讓學(xué)員可以在實(shí)驗(yàn)課時內(nèi)按照實(shí)驗(yàn)步驟完成實(shí)驗(yàn)。這兩個入侵過程分別為：1433溢出漏洞攻擊和弱口令入侵。第一個實(shí)驗(yàn)包括了典型入侵過程的主要環(huán)節(jié)。第二個實(shí)驗(yàn)進(jìn)一步提高學(xué)習(xí)內(nèi)容，包括了安裝后門的環(huán)節(jié)。

　　3.2操作系統(tǒng)的安全配置實(shí)驗(yàn)內(nèi)容

　　針對攻擊者的攻擊，實(shí)際上可以通過對操作系統(tǒng)進(jìn)行安全管理配置的操作來進(jìn)行防范。操作系統(tǒng)的安全配置實(shí)驗(yàn)包括Windows的安全管理配置和Linux的安全管理配置兩次實(shí)驗(yàn)。

　　這兩次實(shí)驗(yàn)的具體操作雖然不同，但實(shí)驗(yàn)的內(nèi)容是相同的。每次的實(shí)驗(yàn)內(nèi)容包括三部分：系統(tǒng)用戶管理、系統(tǒng)服務(wù)管理和系統(tǒng)安全配置。

　　多用戶的操作系統(tǒng)通過將用戶進(jìn)行分組的管理，每組賦予不同的權(quán)限，來限制用戶對系統(tǒng)資源的使用，從而防止非授權(quán)用戶進(jìn)行非法操作。通過系統(tǒng)用戶管理的學(xué)習(xí)，學(xué)員不僅可以掌握如何增加和刪除用戶，而且還可以學(xué)會如何修改用戶權(quán)限。

　　由于針對操作系統(tǒng)的漏洞進(jìn)行攻擊是攻擊者的主要手段，因此操作系統(tǒng)應(yīng)遵循最小特權(quán)原則，盡可能關(guān)閉不需要的服務(wù)。通過系統(tǒng)服務(wù)管理，學(xué)員可以知道如何根據(jù)需求關(guān)閉特定的服務(wù)和端口。

　　為了防御攻擊，操作系統(tǒng)還可以進(jìn)行專門的安全配置。審核策略就是其中的一項(xiàng)重要的功能。審核策略可以對特定事件如登陸失敗的事件進(jìn)行日志記錄。系統(tǒng)管理員通過對日志記錄進(jìn)行分析可以對攻擊者的攻擊行為進(jìn)行事后追蹤。同時，管理員還可以發(fā)現(xiàn)攻擊者的不良企圖，從而加強(qiáng)對系統(tǒng)的防護(hù)。

　　3.3嗅探工具Sniffer的使用的實(shí)驗(yàn)內(nèi)容

　　利用嗅探器竊取別人的用戶密碼和秘密信息是惡意攻擊者常用的手段。此實(shí)驗(yàn)的目的是通過學(xué)習(xí)典型嗅探器sniffer的使用了解數(shù)據(jù)包的結(jié)構(gòu)，加深學(xué)員對后階段實(shí)驗(yàn)的理解，并增強(qiáng)學(xué)員對數(shù)據(jù)包在網(wǎng)絡(luò)傳輸要進(jìn)行保護(hù)的安全意識。

　　整次實(shí)驗(yàn)包括如何利用嗅探器sniffer對報文進(jìn)行捕獲、解碼和編寫報文的內(nèi)容。其中報文捕獲和解碼是基本學(xué)習(xí)內(nèi)容，而編寫報文為提高內(nèi)容。

　　報文捕獲的實(shí)驗(yàn)內(nèi)容如下：

　　利用sniffer工具捕獲指定目標(biāo)機(jī)發(fā)出的所有數(shù)據(jù)包。

　　利用sniffer分析捕獲的報文。讓學(xué)員兩人一組：一人在目標(biāo)機(jī)上登錄某網(wǎng)站并輸入用戶名和密碼;一人捕獲其發(fā)出的數(shù)據(jù)包并分析出用戶名和密碼。

　　報文解碼的實(shí)驗(yàn)內(nèi)容包括熟悉各種協(xié)議報文結(jié)構(gòu)并對捕獲的IP報文主要是報文頭部的各種信息進(jìn)行分析。

　　編寫報文的實(shí)驗(yàn)內(nèi)容是利用sniffer提供的報文編輯功能，自行編寫一個IP報文并發(fā)送到合作伙伴的目標(biāo)機(jī)上，并由合作伙伴捕獲進(jìn)行分析。

　　3.4防火墻iptables的啟用與配置的實(shí)驗(yàn)內(nèi)容

　　使用防火墻是防范攻擊者攻擊的一種最常用的安全技術(shù)。此實(shí)驗(yàn)的目的是通過啟動配置linux系統(tǒng)下的防火墻iptables，理解防火墻的工作原理，并能根據(jù)定義的安全策略配置相應(yīng)的安全規(guī)則。

　　此次實(shí)驗(yàn)需要兩臺機(jī)器，可驗(yàn)證的實(shí)驗(yàn)步驟如下：

　　(1) 一臺機(jī)器啟動防火墻iptables，充當(dāng)服務(wù)器。

　　(2) 服務(wù)器清空防火墻的過濾規(guī)則表。

　　(3) 另一臺機(jī)器充當(dāng)客戶機(jī)，使用掃描器nmap對服務(wù)器進(jìn)行掃描，發(fā)現(xiàn)其開放的服務(wù)，并使用其提供的服務(wù)。

　　(4) 服務(wù)器配置報文過濾表使得客戶機(jī)不能訪問服務(wù)器提供的任何服務(wù)。

　　(5) 客戶機(jī)再次訪問服務(wù)器，已不能使用其提供的服務(wù)。

　　3.5VPN服務(wù)器配置與連接的實(shí)驗(yàn)內(nèi)容

　　VPN技術(shù)是在因特網(wǎng)上構(gòu)建的虛擬專用網(wǎng)絡(luò)。它通過一套復(fù)雜的協(xié)議來保證數(shù)據(jù)包在網(wǎng)絡(luò)上進(jìn)行安全的傳輸。此實(shí)驗(yàn)的目的就是通過對學(xué)習(xí)VPN服務(wù)器的配置和連接建立來加深學(xué)員對VPN概念的理解。

　　實(shí)驗(yàn)內(nèi)容選擇學(xué)習(xí)VPN中最常用的一種訪問連接方式——遠(yuǎn)程訪問連接方式。通過虛擬專用網(wǎng)的遠(yuǎn)程訪問方式，VPN客戶端可以通過IP網(wǎng)絡(luò)(例如因特網(wǎng))與充當(dāng)VPN服務(wù)器的遠(yuǎn)程訪問服務(wù)器建立虛擬點(diǎn)對點(diǎn)連接。這種方式最適用于公司內(nèi)部經(jīng)常有流動人員遠(yuǎn)程辦公的情況。

　　可驗(yàn)證的實(shí)驗(yàn)步驟包括：

　　(1) 配置和啟動Windows 2000 Server下的VPN服務(wù)器。

　　(2) 授予用戶通過VPN連接服務(wù)器的權(quán)限。

　　(3) 授權(quán)用戶與VPN服務(wù)器建立VPN連接。

　　4教學(xué)效果

　　信息安全導(dǎo)論實(shí)驗(yàn)課程的每次實(shí)驗(yàn)都需要提交實(shí)驗(yàn)報告來考察實(shí)驗(yàn)教學(xué)的效果。從提交的實(shí)驗(yàn)報告來看，所有學(xué)員都在既定時間內(nèi)完成了實(shí)驗(yàn)規(guī)定的基本內(nèi)容，而部分學(xué)員在課外時間完成了提高部分的內(nèi)容。信息安全導(dǎo)論課程的總評分中筆試占70%，實(shí)驗(yàn)成績占30%。整個課程的成績在良好以上的學(xué)員占 30%，中以上的學(xué)員占80%，達(dá)到預(yù)期目標(biāo)。

　　課程學(xué)習(xí)結(jié)束后，我們對學(xué)員進(jìn)行了調(diào)查，學(xué)員普遍反映通過實(shí)驗(yàn)課的學(xué)習(xí)加深了對信息安全技術(shù)的理解，同時提高了自身的安全意識。

【信息安全導(dǎo)論實(shí)驗(yàn)教學(xué)的研究與實(shí)踐的分析論文】相關(guān)文章：

在線信息安全實(shí)驗(yàn)教學(xué)平臺研究論文10-09

信息安全工程分析論文10-11

電力信息安全監(jiān)控研究論文10-12

關(guān)于計(jì)算機(jī)信息管理及其應(yīng)用實(shí)踐的研究分析論文10-10

信息安全等級保護(hù)的分析論文10-09

高職無機(jī)及分析化學(xué)實(shí)驗(yàn)教學(xué)改革研究論文10-09

醫(yī)院信息安全與系統(tǒng)監(jiān)控研究論文10-11

檔案信息安全策略研究論文10-11

信息安全審計(jì)機(jī)制研究與設(shè)計(jì)論文10-12

數(shù)字檔案信息安全研究論文10-09