电子教案-网络安全技术_09计本.doc

计算机科学系教案教 师 教 案（2012 2013 学年第 1 学期)课 程 名 称： 网络安全技术 授 课 学 时： 24*2 授 课 班 级： 09计本班 任 课 教 师： 贺道德 毕节学院数学与计算机科学学院课程名称网络安全技术授课专业计算机科学技术班级09计本班课程编号人数课程类型通识教育课必修（ ） 选修（ ）专业基础课必修（ ） 选修（ ）专业核心课必修（ ） 专业方向课必修（ ） 选修（ ）实践课必修（ ）授课方式课堂讲授为主（ ） 实验为主（ ） 自学为主（ ） 专题讨论为主（ ） 其他：是否采用多媒体授课是考核方式及成绩构成考 试( ) 考 查( )成绩构成及比例：是否采用双语教学学时分配讲授 学时 实验 学时 上机 学时 习题 学时 课程设计 学时教材名称作者出版社及出版时间计算机网络安全基础袁津生人民邮电出版社2008.3参考书目授课时间第 13 周第 18 周网络安全技术教案任课教师贺道德授课班级09计本班教学时间2学时授课题目（章节）第1章 网络基础知识与因特网1.1-1.3 网络参考模型至局域网教学目的、要求通过本次课的学习，掌握网络参考模型，了解网络互连设备，局域网技术，能简单应用其相关协议教学重点与难点及解决办法重点：对分层通信格式，七层模式，网桥，路由器等工具的使用，应重点分析掌握难点：采用实例方式针对IEEE 802.3 协议的使用进行讲解教学方式、方法与手段一、 讲授为主（指导上机实验）二、 多媒体辅助教学教学内容1.1 网络参考模型OSI1. 分层通信 （1）应用层。这是OSI模型的最高层。它是应用进程访问网络服务的窗口。这一层直接为网络用户或应用程序提供各种各样的网络服务，它是计算机网络与最终用户间的界面。（2）表示层。表示层保证了通信设备之间的互操作性。该层的功能使得两台内部数据表示结构都不同的计算机能实现通信。它提供了一种对不同控制码、字符集和图形字符等的解释，而这种解释是使两台设备都能以相同方式理解相同的传输内容所必需的。表示层还负责为安全性引入的数据提供加密与解密，以及为提高传输效率提供必需的数据压缩及解压等功能。（3）会话层。会话层是网络对话控制器，它建立、维护和同步通信设备之间的交互操作，保证每次会话都正常关闭而不会突然断开，使用户被挂起在一旁。会话层建立和验证用户之间的连接，包括口令和登录确认；它也控制数据的交换，决定以何种顺序将对话单元传送到传输层，以及在传输过程的哪一点需要接收端的确认。（4）传输层。传输层负责整个消息从信源到信宿（端到端）的传递过程，同时保证整个消息无差错、按顺序地到达目的地，并在信源和信宿的层次上进行差错控制和流量控制。（5）网络层。网络层负责数据包经过多条链路、由信源到信宿的传递过程，并保证每个数据包能够成功和有效率地从出发点到达目的地。为实现端到端的传递，网络层提供了两种服务：线路交换和路由选择。线路交换是在物理链路之间建立临时的连接，每个数据包都通过这个临时链路进行传输；路由选择是选择数据包传输的最佳路径。（6）数据链路层。数据链路层从网络层接收数据，并加上有意义的比特位形成报文头和尾部。这些附加信息的数据单元称为帧。数据链路层负责将数据帧无差错地从一个站点送达下一个相邻站点，即通过一些数据链路层协议完成在不太可靠的物理链路上实现可靠的数据传输。 （7）物理层。物理层是OSI的最低层，它建立在物理通信介质的基础上，作为系统和通信介质的接口，用来实现数据链路实体间透明的比特（bit）流传输。为建立、维持和拆除物理连接，物理层规定了传输介质的机械特性、电气特性、功能特性和过程特性。在上述七层中，上五层一般由软件实现，而下面的两层是由硬件和软件实现的。 1.2 网络互联设备 网络互联设备用于局域网（LAN）的网段，它们有四种主要的类型：中继器 网桥 路由器 网关1.3 局域网技术 目前，流行的局域网主要有三种：以太网令牌环网FDDI1. 以太网和IEEE 802.3以太网是由施乐公司于七十年代开发，IEEE 802.3发表于1980年，它是以以太网作为技术基础。如今以太网和IEEE 802.3占据了局域网市场的最大份额，而以太网通常指所有采用载波监听多路访问冲突检测（CSMACD）的局域网，包括IEEE 802.3。（1）物理连接 IEEE 802.3规定了几种不同类型的物理层，而以太网仅仅定义了一种物理层，每一种IEEE 802.3物理层协议都有一个概括它们自身特点的名称。 2. 令牌环和IEEE 802.5 （1）令牌的传递 令牌环传递网络的主要特点是在网络上传递一个比较小的数据帧，即令牌，如果网络上的某个节点拥有令牌，就表示它拥有传输数据的权力。如果一个接到令牌的网络站点没有数据需要传递时，令牌就被简单地传递到下一个网络站点，在允许的最大时间范围内可将令牌保留在手中。 （3）优先级网络站点优先权决定了它能够俘获令牌的概率，只有网络站点的优先权等于或高于令牌包含的优先权值时，该网络站点才能俘获令牌， （4）错误管理机制 令牌环网络采用多种机制来检测和恢复网络中产生的错误。 教学过程一、 复习旧课二、 引入新课三、 新授内容四、 课堂小结 布置作业一、 作业：简述互连网络参考模型二、 对下一次课的预习等。网络安全技术教案任课教师贺道德授课班级09计本班教学时间2学时授课题目（章节）1.4-1.6 广域网技术、TCP/IP基础教学目的、要求掌握广域网技术，TCP/IP基础等技术教学重点与难点及解决办法重点：TCP/IP基础难点：SDLC协议教学方式、方法与手段三、 讲授为主（指导上机实验）四、 多媒体辅助教学教学内容1.4 广域网技术 1. 广域网基本技术（1）包交换（2）广域网的构成（3）存储转发 （4）广域网的物理编址 （5）下一站转发（6）源地址独立性 （7）层次地址与路由的关系 （8）广域网中的路由 2. 广域网协议 （1）SDLC及其派生协议 同步数据链控制（SDLC）协议主要用于IBM的系统网络体系结构（SNA）环境中。它基于同步机制采用了面向二进制位的操作方法。 SDLCSDLC协议支持各种各样链路类型和网络拓扑结构，包括点对点链路、环形拓扑和总线型拓扑、半双工和全双工传输设备，以及电路交换和包交换网络。SDLC协议通常设有二种类型的站点，即主动型站点和从动型站点。 SDLC协议的主动型站点与从动站点的连接可以根据下面的方式进行连接：点对点连接 多点连接 集线式连接 SDLC派生协议 HDLC（高层数据链路控制协议 ）LAP（链路访问过程 ，SDLC协议的子集）LAPB（平衡电路访问过程 ）QLLC协议（增强逻辑链路控制协议 ）HDLC是面向比特的数据链路协议。支持点到点和多点链路上的半双工和全双工通信。采用HDLC的系统可以通过它们的站点类型、配置以及响应模式进行描述。HDLC的站点有三种类型：主站点、从站点和复合站点。主站点发送命令，从站点作出响应，复合站点既发送命令也进行响应。非平衡配置：（也称为主从配置）一个设备为主设备、其他的为从设备的配置方式。对称配置：指链路上每个物理站点都有两个逻辑站点，一个是主站点，另一个是从站点。平衡配置：指点到点拓扑中的两个站点都是复合型的。HDLC支持三种不同通信方式：正常响应方式（NRM）：指标准的主从关系。异步响应方式（ARM）：只要信道空闲，从设备就可以在没有得到许可的情况下发起一次传输。异步平衡方式（ABM）：所有站点都是平等的，使用点到点方式连接的复合站点。1.5 TCPIP协议基础互联网协议IP和传输控制协议TCP是互联网协议族中最为有名的两个协议，其应用非常广泛，它能够用于任何相互连接的计算机网络系统之间的通信，对局域网（LAN）和广域网（WAN）都有非常好的效果。 TCP/IP的主要协议之间的相关性 图中每个封闭的多边形对应了一个协议，并且位于它所直接使用的协议之上。如 SMTP依赖于TCP，而TCP依赖于IP。 TCP/IP的层次结构 应用层。向用户提供一组常用的应用程序。传输层（TCP和UDP）。提供应用程序间的通信，提供了可靠的传输（UDP不能提供可靠的传输）等。网络层（IP）。负责数据包的寻径功能，以保证数据包可靠到达目标主机，若不能到达，则向源主机发送差错控制报文。网络接口层 。这是TCPIP软件的最低层，负责接收IP数据包并通过网络发送之，或者从网络上接收物理帧，抽出IP数据包，并把它交给IP层。2. 网络层（IP层） 将所有的低层的物理实现隐藏起来，作用是将数据包从源主机发送出去，并且使这些数据包独立地到达目的主机。在数据包传送过程中，即使是连续的数据包，也可能走过不同的路径，到达目的主机的顺序也会不同于它们被发送时的顺序。教学过程五、 复习旧课六、 引入新课七、 新授内容八、 课堂小结 布置作业三、 作业:习题3、4四、 对下一次课的预习等。网络安全技术教案任课教师贺道德授课班级09计本班教学时间2学时授课题目（章节）第2章 操作系统与网络安全 2.1-2.3 unix操作系统至windows 操作系统教学目的、要求了解unix，windows操作系统的历史。掌握unix操作系统的相关命令。教学重点与难点及解决办法重点：各操作系统的运行机制难点：操作系统的运行原理教学方式、方法与手段一、 讲授为主（指导上机实验）二、 多媒体辅助教学教学内容2.1 Unix系统简介 1. Unix系统的由来Unix操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品发展成为当前使用普遍、影响深远的业界主流操作系统。由于其功能强大、技术成熟、可靠性好、网络功能强及开放性好，可满足各行各业实际应用的需求，受到了广大用户的欢迎，已经成为重要的企业级操作平台。由于Unix系统强大的生命力，它的用户每年以两位数字以上的速度增长。 Unix系统在经过20多年的发展成长以后，已经成为一种成熟的主流操作系统，并在发展过程中逐步形成了一些新的特色，其中主要包括：（1）可靠性高。（2）极强的伸缩性。（3）网络功能强。（4）强大的数据库支持功能。（5）开放性好。2. Unix常用命令介绍ls 这个命令相当于DOS中的dir（列目录和文件的命令） -a：把本目录下所有的文件，包括隐含的文件列出来。-l：把文件的文件长度、修改的日期等详细信息列出来。-p：在每个文件名后附一个字符说明文件类型。*表示可执行文件，表示目录，表示连接。-d：将目录当作文件显示，而不是显示其下的文件。 当输入ls -al命令并接回车时，就会列出当前目录下所有文件和目录的名称。 2.2 Linux系统简介1. Linux的历史 Unix系统对计算机硬件的要求比较高，对于一般的个人来说，想要在PC机上运行Unix是比较困难的。而Linux就为一般用户提供了一个使用Unix界面操作系统的机会。因为Linux是按照Unix风格设计的操作系统，所以在源代码级上兼容绝大部分的Unix标准。可以说相当多的网络安全人员在自己的机器上运行的正是Linux。2. Linux的特点（1）与Unix高度兼容。Linux是一种完全符合国际标准的操作系统，它和大部分商业Unix操作系统保持高度的兼容性，几乎所有的Unix命令都可以在Linux下使用。（2）高度的稳定性和可靠性。Linux是一种完全32位的操作系统（其实Linux可以很容易地升级为64位），具备完善的多任务机制。3. vi用法介绍vi是Linux下的一个非常好用的全屏幕文本编辑器。vi有两种模式，即编辑模式和命令模式。编辑模式用来输入文字资料，而命令模式用来下达一些编排文件、存档以及离开vi等等的操作命令。 进入vi：直接输入vi 离开vi：命令模式下键入:q，:wq指令则是存盘后再离开 模式切换：切换到命令模式下需按Esc键 2.3 Windows系统简介 Windows Server 2003有4种版本：Windows Server 2003标准版，Windows Server 2003企业版，Windows Server 2003 Data Center版和Windows Server 2003 Web版。 Windows Server 2003具有：最可靠、高效能、连接性和最经济4大特点。Windows Server 2003具有4大管理功能：服务器管理、电脑管理、组策略管理和基于Web的管理微软公司是全球最大的电脑软件提供商，总部设在华盛顿州的雷德蒙市。公司于1975年由比尔盖茨和保罗艾伦成立。公司最初以“Micro-soft”的名称（意思为“微型软件”）发展和销售BASIC解释器。最初的总部是新墨西哥州的阿尔伯克基。Microsoft Windows是一个为个人电脑和服务器用户设计的操作系统，它有时也被称为“视窗操作系统”。它的第一个版本由微软公司发行于1985年，并最终获得了世界个人电脑操作系统软件的垄断地位。所有最近的Windows都是完全独立的操作系统。教学过程一、 复习旧课二、 引入新课三、 新授内容四、 课堂小结 布置作业一、 作业: 5Windows 操作系统的主要特点有哪些？二、 对下一次课的预习等。网络安全技术教案任课教师贺道德授课班级09计本班教学时间2学时授课题目（章节）第2章 操作系统与网络安全2.4-2.6 Unix网络配置、Windows 网络配置教学目的、要求掌握各操作系统的网络配置、注意对其网络安全进行设置教学重点与难点及解决办法重点：Unix网络配置、Windows 网络配置难点：Unix网络安全配置、Windows 网络安全配置教学方式、方法与手段一、 讲授为主（指导上机实验）二、 多媒体辅助教学教学内容Unix网络配置 1. 网络配置文件 （1）/etchosts文件 该文件的目的是提供简单的主机名到IP地址的转换。一个例子，其中以“#”打头的行表示注释： # IP ADDRESS FQDNALIASEShost2（2）/etc/ethers文件 当一个主机在本地网络上，并知道其IP地址时，TCP/IP将它转换成实际的以太网地址。这可以通过地址转换协议（ARP），或者创建一个etcethers文件并由该文件列出所有的以太网地址列表来实现。该文件的格式是：前面是以太网地址，后面是正式的主机名，例如：# Ethernet AddressHostname5:2:21:3:fc:1ahost12:54:12:4:54:7fhost2e1:0:c1:1:9:23host3（3）/etc/networks 文件该文件提供了一个Internet上的IP地址和名字。每一行提供了一个特定的网络的信息，例如：# NETWORK NAMEIP ADDRESS166.23.56该文件中的每一项包括一个网络的IP地址、名称、别名和注释。 Windows 网络配置1. Windows的资源访问控制 Windows 对象中有一个安全性描述符，安全性描述符上列出了允许用户和组在对象上可以执行的动作。安全性标识符可以用来设置和查询一个对象的安全属性，所有的命名对象、进程和线程都有与之关联的安全描述符。Windows 安全模式的一个最初目标，就是定义一系列标准的安全信息，并把它应用于所有对象的实例，这些安全信息，包括下列元素：所有者、组、自由ACL、系统ACL、存取令牌（ Access Token） 。安全子系统按照下面步骤来比较存取令牌：（1）从ACL的顶部开始，安全子系统检查每个访问控制项，看是否显式地拒绝该用户所要求的访问形式，如读的操作、写的操作等，或是否显式地拒绝该用户所在组的这种形式的访问。（2）进行检查，看是否是用户要求的访问类型已经显式地授予用户，或已经授予用户所在的组。（3）对ACL每次重复（1）、（2）步，直到遇到显式地拒绝，或者直到累计所有的许可，以授权所要求的访问。（4）如果对于每个需要的许可，ACL中没有拒绝也没有授权，则用户将被拒绝。2. Windows 的 NTFS文件系统 NTFS文件系统是一种安全的文件系统，因为它支持文件访问控制，人们可以设置文件和目录的访问权限，控制谁可以使用这个文件，以及如何使用这个文件。五个预定义的许可为：拒绝访问，读取，更改，完全控制和选择性访问。NTFS文件系统具有如下的特点：（1）NTFS可以支持的分区大小可以达到2TB。（2）NTFS是一个可恢复的文件系统。（3）NTFS支持对分区、文件夹和文件的压缩。（4）NTFS采用了更小的簇，可以更有效率地管理磁盘空间。（5）在NTFS分区上，可以为共享资源、文件夹以及文件设置访问许可权限。（6）在NTFS文件系统下可以进行磁盘配额管理。（7）NTFS使用一个“变更”日志来跟踪记录文件所发生的变更。小 结1Unix是一个多任务多用户的操作系统，它具有：可靠性高、极强的伸缩性、网络功能强、强大的数据库支持功能和开放性好等特点。2Linux是按照Unix风格设计的操作系统，所以在源代码级上兼容绝大部分的Unix标准。Linux主要具有：与Unix高度兼容、高度的稳定性和可靠性、完全开放源代码，价格低廉和系统安全可靠，绝无后门等特点。3Windows NT具有支持多种网络协议、内置的因特网功能和支持NTFS文件系统等显著特点。注册表是Windows系统的核心数据库。 4Unix网络配置 和Windows网络配置 教学过程一、 复习旧课二、 引入新课三、 新授内容四、 课堂小结 布置作业一、 作业:Unix操作系统对文件进行操作的有哪三类用户？二、 对下一次课的预习等。网络安全技术教案任课教师贺道德授课班级09计本班教学时间2学时授课题目（章节）第3章 网络安全概述 3.1-3.3 网络安全的含义、网络安全的特征、威胁网络安全的因素教学目的、要求掌握什么是网络安全，理解网络安全的特征，认识威胁网络安全的因素教学重点与难点及解决办法重点：威胁网络安全的因素难点：网络安全的特征教学方式、方法与手段一、 讲授为主（指导上机实验）二、 多媒体辅助教学教学内容网络安全的含义网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当广泛。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。下面给出网络安全的一个通用定义：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 1）运行系统安全，即保证信息处理和传输系统的安全。 （2）网络上系统信息的安全，包括口令鉴别、存取控制、安全审计、数据加密等。 （3）网络上信息传播的安全，即信息传播后的安全。（4）网络上信息内容的安全，即我们讨论的狭义的“信息安全”，用于保护信息的保密性、真实性、完整性。网络安全的特征（1）保密性：信息不泄露给非授权的用户、实体或过程，或供其利用的特性。（2）完整性：数据未经授权不能进行改变的特性。（3）可用性：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。（4）可控性：对信息的传播及内容具有控制能力。网络安全的威胁 有三种不同类型的安全威胁：（1）非授权访问：指一个非授权用户的入侵。（2）信息泄露：指造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。（3）拒绝服务：指使系统难以或不能继续执行任务的所有问题。网络安全的关键技术主机安全技术。身份认证技术。访问控制技术。密码技术。防火墙技术。安全审计技术。安全管理技术。网络安全策略网络用户的安全责任：该策略可以要求用户每隔一段时间改变其口令；使用符合一定准则的口令；执行某些检查，以了解其账户是否被别人访问过等。重要的是，凡是要求用户做到的，都应明确地定义。系统管理员的安全责任：该策略可以要求在每台主机上使用专门的安全措施、登录标题报文、监测和记录过程等，还可列出在连接网络的所有主机中不能运行的应用程序。正确利用网络资源：规定谁可以使用网络资源，他们可以做什么，他们不应该做什么等。如果用户的单位认为电子邮件文件和计算机活动的历史记录都应受到安全监视，就应该非常明确地告诉用户，这是其政策。检测到安全问题时的对策：当检测到安全问题时应该做什么？应该通知谁？这些都是在紧急的情况下容易忽视的事情。计算机网络安全受到的威胁包括： “黑客”的攻击 计算机病毒 拒绝服务攻击（DoS）安全威胁的类型 非授权访问。这主要的是指对网络设备以及信息资源进行非正常使用或超越权限使用假冒合法用户，主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权，以达到占用合法用户资源的目的数据完整性受破坏干扰系统的正常运行，改变系统正常运行的方向，以及延时系统的响应时间病毒破坏通信线路被窃听等教学过程一、 复习旧课二、 引入新课三、 新授内容四、 课堂小结 布置作业一、 作业：数据库管理系统有哪些不安全因素？二、 对下一次课的预习等。网络安全技术教案任课教师贺道德授课班级09计本班教学时间2学时授课题目（章节）第3章 网络安全概述 3.4-3.5 网络安全解决方案教学目的、要求掌握网络信息安全模型、安全策略设计依据、网络安全解决方案、网络安全性措施。教学重点与难点及解决办法重点：网络安全解决方案难点：安全策略设计依据教学方式、方法与手段一、 讲授为主（指导上机实验）二、 多媒体辅助教学教学内容1. 网络信息安全模型一个完整的网络信息安全系统至少包括三类措施： 社会的法律政策，企业的规章制度及网络安全教育技术方面的措施，如防火墙技术、防病毒。信息加密、身份确认以及授权等审计与管理措施，包括技术与社会措施 政策、法律、法规是安全的基石，它是建立安全管理的标准和方法。 第二部分为增强的用户认证，它是安全系统中属于技术措施的首道防线。用户认证的主要目的是提供访问控制。用户认证方法按其层次的不同可以根据以下3种情况提供认证。（1）用户持有的证件，如大门钥匙、门卡等。（2）用户知道的信息，如密码。（3）用户特有的特征，如指纹、声音和视网膜扫描等。2. 安全策略设计依据在制定网络安全策略时应当考虑如下因素：对于内部用户和外部用户分别提供哪些服务程序初始投资额和后续投资额（新的硬件、软件及工作人员）方便程度和服务效率复杂程度和安全等级的平衡网络性能3. 网络安全解决方案（1）信息包筛选（2）应用中继器 （3）保密与确认4. 网络安全性措施 要实施一个完整的网络安全系统，至少应该包括三类措施：社会的法律、法规以及企业的规章制度和安全教育等外部软件环境技术方面的措施，如网络防毒、信息加密、存储通信、授权、认证以及防火墙技术审计和管理措施，这方面措施同时也包含了技术与社会措施。可以采取的网络安全性措施有：选择性能优良的服务器。采用服务器备份。服务器备份方式分为冷备份与热备份二种，热备份方式由于实时性好，可以保证数据的完整性和连续性，得以广泛采用的一种备份方式对重要网络设备、通信线路备份。通信故障就意味着正常工作无法进行。教学过程一、 复习旧课二、 引入新课三、 新授内容四、 课堂小结 布置作业一、 作业简述信息包筛选的工作原理？二、 对下一次课的预习等。网络安全技术教案任课教师贺道德授课班级09计本班教学时间2学时授课题目（章节）第4章 计算机系统安全与访问控制 4.1-4.2 计算机安全概述与安全级别教学目的、要求掌握计算机安全的主要目标、安全级别。教学重点与难点及解决办法重点：计算机安全级别难点：计算机安全级别的评估教学方式、方法与手段一、 讲授为主（指导上机实验）二、 多媒体辅助教学教学内容一、什么是计算机安全主要目标是保护计算机资源免受毁坏、替换、盗窃和丢失。这些计算机资源包括计算机设备、存储介质、软件和计算机输出材料和数据。计算机部件中经常发生的故障：（1）磁盘故障；（2）I/O控制器故障；（3）电源故障；（4）存储器故障；（5）介质、设备和其它备份故障；（6）芯片和主板故障等。（1）计算机系统的安全需求 保密性 广义的保密性是指保守国家机密，或是未经信息拥有者的许可，不得非法将该保密信息泄露给非授权人员。狭义的保密性则指利用密码技术对信息进行加密处理，以防止信息泄露。 安全性安全性标志着一个信息系统的程序和数据的安全保密程度，即防止非法使用和访问的程度，可分为内部安全和外部安全。内部安全是由计算机系统内部实现的；而外部安全是在计算机系统之外实现的。（2）计算机系统安全技术实体硬件安全 指为保证计算机设备及其他设施免受危害所采取的措施。计算机实体包含了计算机的设备、通信线路及设施（包括供电系统、建筑物）等。所受的危害包括地震、水灾、火灾、飓风、雷击、电磁辐射和泄露等。 软件系统安全保证所有计算机程序和文档资料，免遭破坏、非法复制和非法使用，同时也应包括操作系统平台、数据库系统、网络操作系统和所有应用软件的安全；软件安全技术包括口令控制、鉴别技术，软件加密、压缩技术，软件防复制、防跟踪技术。 二、安全级别1. D级D级是最低的安全级别，拥有这个级别的操作系统就像一个门户大开的房子，任何人可以自由进出，是完全不可信的。 2. C1级C级有两个安全子级别：C1和C2。C1级，又称选择性安全保护系统。这种级别的系统对硬件有某种程度的保护：用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权，但硬件受到损害的可能性仍然存在。 3. C2级除了C1级包含的特性外，C2级别应具有访问控制环境权力。该环境具有进一步限制用户执行某些命令或访问某些文件的权限，而且还加入了身份认证级别。4. B1级B级中有三个级别，B1级即标志安全保护，是支持多级安全（例如秘密和绝密）的第一个级别，这个级别说明处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限。5. B2级又叫做结构保护（structured protection），它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或多个安全级别。它是提供较高安全级别的对象与较低安全级别的对象相通信的第一个级别。6. B3级B3级或又称安全域级别（security domain），使用安装硬件的方式来加强域的安全，例如，内存管理硬件用于保护安全域免遭无授权访问或其它安全域对象的修改。 7. A级A级或又称验证设计（verity design）是当前橙皮书的最高级别，它包括了一个严格的设计、控制和验证过程。与前面所提到的各级别一样，该级别包含了较低级别的所有特性。教学过程一、 复习旧课二、 引入新课三、 新授内容四、 课堂小结 布置作业一、 作业1计算机系统安全的主要目标是什么？2简述计算机系统安全技术的主要内容二、 对下一次课的预习等。网络安全技术教案任课教师贺道德授课班级09计本班教学时间2学时授课题目（章节）第4章 计算机系统安全与访问控制 4.3-4.5 计算机系统访问控制教学目的、要求掌握系统访问控制、选择性访问控制。教学重点与难点及解决办法重点：计算机系统访问控制。难点：计算机选择性访问控制。教学方式、方法与手段一、 讲授为主（指导上机实验）二、 多媒体辅助教学教学内容一、系统访问控制 实现访问控制的方法，除了使用用户标识与口令之外，还可以采用较为复杂的物理识别设备，如访问卡、钥匙或令牌。生物统计学系统是一种颇为复杂而又昂贵的访问控制方法，它基于某种特殊的物理特征对人进行唯一性识别，如指纹等。 1. 系统登陆 （1）Unix系统登陆Unix系统是一个可供多个用户同时使用的多用户、多任务、分时的操作系统，任何一个想使用Unix系统的用户，必须先向该系统的管理员申请一个账号，然后才能使用该系统，因此账号就成为用户进入系统的合法“身份证”。（2）Unix账号文件Unix账号文件/etc/passwd是登录验证的关键，该文件包含所有用户的信息，如用户的登录名、口令和用户标识号等等信息。该文件的拥有者是超级用户，只有超级用户才有写的权力，而一般用户只有读取的权力。 2. 身份认证身份认证定义：为了使某些授予许可权限的权威机构满意，而提供所要求的用户身份验证的过程。（1）用生物识别技术进行鉴别 指纹是一种已被接受的用于唯一地识别一个人的方法。手印是又一种被用于读取整个手而不是仅仅手指的特征和特性。声音图像对每一个人来说也是各不相的同。视网膜扫描是用红外线检查人眼各不相同的血管图像。 3. 系统口令口令是访问控制的简单而有效的方法，只要口令保持机密，非授权用户就无法使用该账（1）怎样选择一个安全的口令最有效的口令是用户很容易记住但“黑客”很难猜测或破解的。建立口令时最好遵循如下的规则： 选择长的口令，口令越长，黑客猜中的概率就越低最好的口令包括英文字母和数字的组合。二、选择性访问控制选择性访问控制DAC （Discretionary Access Control）是基于主体或主体所在组的身份的，这种访问控制是可选择性的，也就是说，如果一个主体具有某种访问权，则它可以直接或间接地把这种控制权传递给别的主体（除非这种授权是被强制型控制所禁止的）。选择性访问控制被内置于许多操作系统当中，是任何安全措施的重要成部分。文件拥有者可以授予一个用户或一组用户访问权。选择性访问控制在网络中有着广泛的应用，下面将着重介绍网络上的选择性访问控制的应用。 教学过程一、 复习旧课二、 引入新课三、 新授内容四、 课堂小结 布置作业一、 作业 建立口令应遵循哪些规则？二、 对下一次课的预习等。网络安全技术教案任课教师贺道德授课班级09计本班教学时间2学时授课题目（章节）第5章 数据库系统安全 5.1-5.2 数据库安全概述、数据库安全威胁教学目的、要求掌握数据库的特性、数据库系统安全性、数据库安全威胁。教学重点与难点及解决办法重点：数据库系统安全性难点：数据库安全威胁教学方式、方法与手段一、 讲授为主（指导上机实验）二、 多媒体辅助教学教学内容一、 数据库安全概述1. 简介数据库系统是计算机技术的一个重要分支，从60年代后期开始发展。虽然起步较晚，但近几十年来已经形成为一门新兴学科，应用涉及面很广，几乎所有领域都要用到数据库。数据库，形象上讲就是若干数据的集合体。这些数据存在于计算机的外存储器上，而且不是杂乱无章地排列的。数据库数据量庞大、用户访问频繁，有些数据具有保密性，因此数据库要由数据库管理系统（DBMS）进行科学的组织和管理，以确保数据库的安全性和完整性。2 数据库安全系统特性（1）数据独立性数据库系统的数据独立性分为以下两种。物理独立性数据库物理结构的变化不影响数据库的应用结构，从而也就不能影响其相应的应用程序。这里的物理结构是指数据库的物理位置、物理设备等。逻辑独立性数据库逻辑结构的变化不会影响用户的应用程序，数据类型的修改、增加，改变各表之间的联系都不会导致应用程序的修改。（2）数据安全性数据库对数据安全性采取以下措施。将数据库中需要保护的部分与其它部分相隔离。使用授权规则。将数据加密，以密码的形式存于数据库内。（3）数据的完整性通常表明数据在可靠性与准确性上是可信赖的，同时也意味着数据有可能是无效的或不完整的。数据完整性包括数据的正确性、有效性和一致性。（4）并发控制如果数据库应用要实现多用户共享数据，就可能在同一时刻多个用户要存取数据，这种事件叫做并发事件。当一个用户取出数据进行修改，在修改存入数据库之前如有其它用户再取此数据，那么读出的数据就是不正确的。这时就需要对这种并发操作施行控制，排除和避免这种错误的发生，保证数据的正确性。（5）故障恢复数据库系统运行时出现物理或逻辑上的错误、系统能尽快恢复正常，这就是数据库系统的故障恢复功能。3 数据库管理系统数据库管理系统（DBMS）是一个专门负责数据库管理和维护的计算机软件系统。它是数据库系统的核心，对数据库系统的功能和性能有着决定性影响。DBMS的主要职能为：（1）有正确的编译功能，能正确执行规定的操作；（2）能正确执行数据库命令；（3）保证数据的安全性、完整性，能抵御一定程度的物理破坏，能维护和提交数据库内容；（4）能识别用户，分配授权和进行访问控制，包括身份识别和验证；（5）顺利执行数据库访问，保证网络通信功能。二、数据库安全的威胁 发现威胁数据库安全的因素和检查相应措施是数据库安全性的一个问题的两个方面，二者缺一不可。对数据库构成的威胁主要有篡改、损坏和窃取三种情况。1篡改所谓的篡改指的是对数据库中的数据未经授权进行修改，使其失去原来的真实性。篡改是人为因素而发生的。一般来说，发生这种人为的篡改的原因主要的有如下几种：个人利益驱动、隐藏证据、恶作剧、无知。2损坏网络系统中数据的真正丢失是数据库安全性所面对的一个威胁。其表现的形式是：表和整个数据库部分或全部被删除、移走或破坏。产生损坏的原因主要有破坏、恶作剧和病毒。 3窃取窃取一般是对敏感数据的，窃取的手法除了将数据复制到软盘之类的可移动的介质上外，也可以把数据打印后取走。教学过程一、 复习旧课二、 引入新课三、 新授内容四、 课堂小结 布置作业一、 作业 试分析数据库安全的重要性，说明数据库安全所面临的威胁？二、 对下一次课的预习等。网络安全技术教案任课教师贺道德授课班级09计本班教学时间2学时授课题目（章节）第5章 数据库系统安全 5.3-5.5 数据库的数据保护、备份与恢复 教学目的、要求掌握数据库的数据保护、备份与恢复。教学重点与难点及解决办法重点：数据库的数据保护。难点：数据库的备份与恢复。教学方式、方法与手段一、 讲授为主（指导上机实验）二、 多媒体辅助教学教学内容一、数据库的数据保护 1. 数据库的故障类型数据库的故障是指从保护安全的角度出发，数据库系统中会发生的各种故障。这些故障主要包括：事务内部的故障、系统故障、介质故障和计算机病毒与黑客等。2. 数据库的数据保护主要是指数据库的安全性、完整性、并发控制和数据库恢复。 （1）数据库的安全性安全性的问题可分为系统问题与人为问题，所以一方面我们可以从法律、政策、伦理、道德等方面控制约束人们对数据库的安全使用，另一方面还可以从物理设备、操作系统等方面加强保护，保证数据库的安全。另外，可以从数据库本身实现数据库的安全性保护。（2）存取控制对于存取权限的定义称为授权。这些定义经过编译后存储在数据字典中。每当用户发出数据库的操作请求后，DBMS查找数据字典，根据用户权限进行合法权检查。若用户的操作请求超出了定义的权限，系统就拒绝此操作。授权编译程序和合法权检查机制一起组成了安全性子系统。数据库系统中，不同的用户对象有着不同的操作权力。对数据库的操作权限一般包括查询权、记录的修改权、索引的建立权和数据库的创建权。3数据库并发控制目前，多数数据库都是大型多用户数据库，所以数据库中的数据资源必须是共享的。为了充分利用数据库资源，应允许多个用户并行操作数据库。数据库必须能对这种并行操作进行控制，即并发控制，以保证数据在不同的用户使用时的一致性。 二、数据库备份与恢复 数据库的失效往往导致一个机构的瘫痪，然而，任何一个数据库系统总不可能不发生故障。数据库系统对付故障有两种办法：其一是尽可能提高系统的可靠性；另一种办法是在系统发出故障后，把数据库恢复至原来的状态。仅仅有第一点是远远不够的，必须有第二种办法，即必须有数据库发生故障后的恢复原状态的技术。 1. 数据库备份的评估数据库系统如果发生故障可能会导致数据的丢失，要恢复丢失的数据，必须对数据库系统作备份。在此之前，对数据库的备份作一个全面的评估是很有必要的。 2. 数据库备份的性能 数据库备份的性能可以用被复制到磁带上的数据的数据量和进行该项工作所花的时间两个参数来说明。提高数据库备份性能的办法有如下几种。（1）升级数据库管理系统。（2）使用更快的备份设备。（3）备份到磁盘上。（4）使用本地备份设备。（5）使用分区备份。直接从磁盘分区读取数据，而不是使用文件系统API调用。这种办法可加快备份的执行。 3制定备份的策略备份主要考虑以下的几个因素：（1）备份周期是按月、周、天还是小时；（2）使用冷备份还是热备份；（3）使用增量备份还是全部备份，或者两者同时使用；（4）使用什么介质进行备份，备份到磁盘还是磁带；（5）是人工备份还是设计一个程序定期自动备份；（6）备份介质的存放是否防窃、防磁、防火。5. 数据库的恢复 恢复也称为重载或重入，是指当磁盘损坏或数据库崩溃时，通过转储或卸载的备份重新安装数据库的过程。（1）恢复技术的种类 恢复技术大致可以分为如下三种： 单纯以备份为基础的恢复技术周期性地把磁盘上的数据库复制或转储到磁带上。 以备份和运行日志为基础的恢复技术教学过程一、 复习旧课二、 引入新课三、 新授内容四、 课堂小结 布置作业一、 作业 简述介质失效后，恢复的一般步骤？二、 对下一次课的预习等。网络安全技术教案任课教师贺道德授课班级09计本班教学时间2学时授课题目（章节）第6章 计算机病毒的防治 6.1-6.2 计算机病毒及其分类、计算机病毒的传播 教学目的、要求掌握计算机病毒及其分类、计算机病毒的传播。教学重点与难点及解决办法重点：计算机病毒的传播的方法。难点：宏病毒的防治方法。教学方式、方法与手段一、 讲授为主（指导上机实验）二、 多媒体辅助教学教学内容一、计算机病毒及其分类 计算机病毒是一种“计算机程序”，它不仅能破坏计算机系统，而且还能够传播、感染到其它系统。它通常隐藏在其它看起来无害的程序中，能生成自身的复制并将其插入其它的程序中，执行恶意的行动。 按传染对象分类（1）文件病毒。该病毒在操作系统执行文件时取得控制权并把自己依附在可执行文件上，然后，利用这些指令来调用附在文件中某处的病毒代码。当文件执行时，病毒会调出自己的代码来执行，