《计算机网络安全原理》课程大纲

——编写审批课程教学大纲课程名称：计算机网络安全原理英文名称：PrinciplesofComputerNetworkSecurity课程编号：培训对象：课程性质：总学时数：理论40学时，实践30学时学分：开课学期：一、课程目标本课程是网络空间安全/信息安全专业的一门专业核心课程。通过本课程的学习，使学生具有网络安全防护意识，掌握网络安全防护的基本概念、典型网络安全机制/协议/算法的核心思想和应用方法，了解网络安全领域的最新研究进展，培养学生创新能力、团队精神和解决实际网络安全问题的能力。课程目标1：使学生理解计算机网络安全的基本原理和关键技术，培养学生抽象思维和逻辑思维能力，能够利用基本原理和关键技术识别和分析网络安全领域复杂工程问题的特征。课程目标2：使学生掌握设计和维护计算机网络安全的基本手段和方法，能够应用这些基本方法分析和解决网络信息系统开发中的实际安全问题。课程目标3：使学生掌握多种网络安全工具的使用方法，了解常见的网络安全开源软件项目，培养学生网络安全项目的实践开发和应用能力。二、课程设计（一）思路理念遵循实施素质教育、突出创新能力培养的指导思想，对本课程的教学内容与教学方式方法进行规划。在教学内容上围绕TCP/IP网络体系结构，分析面临的网络安全威胁，设计增强安全性的方法手段。在教学方法上推行符合课程特点、学生认知规律的教学方式方法；在实践环节上，以保障网络安全的具体需求为牵引，构建贴合实际应用的实验环境和内容，强化学生综合组织协调能力的培养。（二）内容设计本课程教学分为理论教学和实践教学两部分。总体上，跟踪国内外网络安全相关理论和技术的发展，结合当前网络安全的发展现状，进行相关技术的研究，不断充实教学内容，保证课程教学内容的新颖性和先进性。通过参加科研学术活动等方式以科研促教学，将其应用到课堂教学、教学实践以及毕业设计的各教学环节中。强调对学生综合能力的培养，综合运用所学的计算机理论、系统软件以及网络工程等方面的知识解决网络安全问题的能力，加强对学生网络安全防护意识的培养。由于计算机网络安全原理课程是一门综合性专业课程,涉及的知识面广，内容丰富，涉及各种安全技术多，领域广，易显得课程知识零乱，难以形成整体概念，学生感觉学习困难。因此在教学内容上首先帮助学生建立网络安全总体结构轮廓，然后从网络传输安全和网络访问安全两个角度介绍网络安全涉及的各方面内容。此外与其他专业课程有机整合，合理划分好内容，做到分工合作，紧密配合，共同构成完整的专业教学内容体系。实践教学紧紧围绕网络安全原理，通过实验课程的教学，帮助学生加深对理论课教学内容的理解和掌握，培养学生理论联系实际、独立思考、分析解决实际问题的能力，同时培养学生基本的实验技能和动手能力。在课外教学方面，围绕精英教育理念，组织学生参加国内各类信息安全大赛等学生科技创新活动，充分激发学生创造力，进一步提高解决实际问题的能力。（三）方式方法教学方法采用引导、启发、研究、讨论等多种形式，充分发挥学生的主体作用，激发每个学生的特长和潜能，培养学生的想象力和创新能力。教学手段采用多媒体、网络和板书相结合的形式，全方位、多角度地阐述教学内容，将抽象教学变为形象教学，提高学生的学习兴趣和求知欲。充分发挥实验室、网络等多种资源的作用，鼓励学生开展创新型课题的探索，提升学生能动作用，增强自主学习兴趣；利用网络平台，实现教学资源的公开共享，实现学习状态的及时跟踪，难点和重点的及时解答，建立不受时间和空间约束的教学联系。网络安全是一个比较复杂的问题，学习计算机网络安全原理的过程实际就是一个在学生的知识空间中“构建”一个网络安全防护体系的过程。因此，对于每个知识点在授课中应强调知识点在整个体系结构中的位置、作用、应用模式，以及与其他知识点之间的关系。三、内容及实施要求本课程系统介绍计算机网络安全的基本理论和方法，内容围绕网络安全体系的建立展开。课程首先介绍网络安全的基本概念、密码学基础、消息认证、身份认证、数字证书、PKI等网络安全基础理论和技术，然后介绍建立在这些基础理论和技术基础之上的典型网络安全协议，最后介绍几种典型网络安全技术。同时，合理设置实验内容以配合理论课的教学，明确每一个实验的训练目标。具体内容及实施要求如表1所示。表1课程内容及实施要求序号模块（章）主要内容（*为可选内容）目标、要求理论学时实践学时1网络安全概述1、计算机网络概述*2、计算机网络安全概念3、计算机网络安全威胁4、网络安全模型5、网络安全机制、服务及产品6、网络安全面临的挑战及发展方向*1、了解计算机网络组成、分层体系结构，理解分组交换、中间盒子对网络安全的影响2、重点掌握网络安全属性的内涵及基本的保障方法，了解网络安全属性种类和内含的定义存在不同学术观点，了解信息安全、计算机安全、网络空间安全的典型定义及其与计算机网络安全的区别与联系。3、了解典型网络安全威胁因素、网络攻击的典型分类方法，掌握常见攻击方法的含义及其影响的网络安全属性和基本的防护机制。4、了解PDRR模型、P2DR模型、IATF框架的基本思想。5、掌握ISO7498定义的5类安全服务、8种特定安全机制的含义，了解国标有关网络安全产品的分类。6、了解网络安全技术的发展过程以及每一个阶段的典型网络安全产品或技术、当前面临的挑战及发展发向。222密码学基础知识如果该专业有独立的《密码学如果该专业有独立的《密码学》课程，可作为自学内容，而非本课程内容。1、密码学基本概念2、典型对称密码系统1）DES2）AES3）RC43、典型公开密码系统1）RSA2）Diffie-Helllman3）ElGamal*4）ECC5）基于身份标识的密码*4、密码分析*1、掌握密码系统设计原则、密码算法设计思想（置换、代换、混乱、扩散、数学难解问题），重点掌握对称密码体制和公开密码体制的基本思想。2、了解DES、AES、RC4算法的基本过程及其安全性。3、掌握RSA、DH算法的基本过程及其安全性，了解ECC的核心思想及其安全性、优势，一般了解ElGamal、基于身份标识的密码。4、了解4种传统密码分析方法的原理，密码旁路分析的基本思想以及密码工程实现中存在的安全问题。223消息认证与身份认证1、散列函数1）散列函数的要求2）MD算法3）SHA算法2、消息认证1）消息内容认证2）消息顺序认证3）消息发送方认证3、身份认证1）一次性口令认证2）其于共享密钥的认证3）可扩展认证协议EAP1、重点掌握散列函数的安全属性的含义，了解MD、SHA算法的发展过程及其基本思想、安全性，了解散列函数在网络安全中的应用场景。2、重点掌握利用加密和消息认证码（MAC、HMAC）实现消息完整性检测的实现方法，了解加密算法与MAC算法的区别；掌握常见消息顺序的认证方法，重点掌握现时（Nonce）的常见形式及其在安全中的应用；掌握数字签名在保障消息安全属性中的作用、利用RSA实现数字签名过程，一般了解利用ElGamal密码、ECC实现数字签名过程，掌握对消息散列值（而不是消息本身）进行签名的原因。3、了解常见身份认证技术的基本原理；掌握S/KEY协议的实现过程及其安全性；掌握N-S协议的实现过程及其安全性；了解Kerberos协议的基本思想及其安全性；了解EAP协议的层次结构及其在网络安全协议中的应用。424PKI与数字证书1、密钥管理2、数字证书3、PKI1）PKI组成2）证书签发和撤销流程3）证书的使用4）PKIX4、证书透明性*1、理解对称密码系统和公开密码系统中的密钥管理问题，掌握常见密钥分发方法。2、了解数字证书主要属性的含义、不同标准证书格式的差异，了解CRL格式。3、了解PKI组成，重点掌握典型CA信任模型（树型、Web模型、森林模型）、信任锚的含义、信任传递过程，理解CA在信任体系中的重要作用；了解证书签发和撤销流程；了解证书使用过程；了解PKIX标准体系。4、了解证书透明性所要解决的安全问题及其基本解决思想。225无线网络安全如果该专业有独立的《无线网络安全》课程，，可作为自学内容，而非本课程内容如果该专业有独立的《无线网络安全》课程，，可作为自学内容，而非本课程内容。1、无线局域网安全1）无线局域网概述2）WEP3）WPA/WPA2/WPA32、移动网络安全*1、了解无线局域网组成，掌握无线局域网面临的安全问题；了解WEP协议的基本内容及其安全问题；了解WPA加解密过程及安全问题；了解WPA/WPA2两种认证方式的认证过程，重点掌握WPA-PSK认证方式；了解WPA2存在的安全问题，WPA3中新增的安全机制。2、了解2G/3G/4G/5G网络中的安全问题及其基本的安全机制。226IP及路由安全1、IPv4协议及其安全性分析2、IPsec1）IPsec安全策略2）IPsec运行模式3）AH协议4）ESP协议5）网络密钥交换6）SA组合7）IPsec的应用3、IPv6协议及其安全性分析4、路由安全1）RIP协议及其安全性分析2）OSPF协议及其安全性分析3）BGP协议及其安全性分析1、了解IPv4协议存在的安全问题。2、了解IPsec标准体系、IPsec协议提供的安全能力；理解两个重要概念（SA、SP），了解基于SAD、SPD的IP包处理过程；掌握传输模式和隧道模式的区别；了解AH协议格式，掌握AH协议的传输模式和隧道模式的认证区域及认证过程、利用场合，理解AH协议与NAT协议不兼容的原因，了解IPsec抗重放攻击的基本原理；了解ESP协议格式，掌握ESP协议的传输模式和隧道模式的认证区域及认证过程、适用场合；了解IPsec密钥管理机制；了解4种AH和ESP典型组合运用方法，掌握加密和认证先后顺序不同而带来的性能和安全性上的差异；了解IPsecVPN的基本原理及适用场景。3、了解IPv6协议存在的安全问题。4、了解RIP、OSPF、BGP协议的基本安全机制、存在的安全问题、常见攻击方法。427传输层安全1、传输层安全概述2、SSL3、TLS4、SSL/TLSVPN1、了解TCP协议和UDP协议存在的安全问题及常见攻击方法。2、了解SSL体系结构；了解SSL记录协议格式、使用的加密和MAC方法；了解SSL告警协议、密码变更规格协议格式及功能；掌握SSL握手协议过程；了解主密钥和密钥参数生成方法。3、掌握TLS1.0对SSL的改进措施及原因；了解TLS1.3对以前版本所作改进及原因。4、了解SSLVPN的实现过程，掌握SSLVPN与IPsecVPN不同的应用场景及原因。428DNS安全1、DNS概述*2、DNS面临的安全威胁1）协议脆弱性2）实现脆弱性3）操作脆弱性3、DNSSEC1）DNSSEC基本原理2）DNSSEC配置3）DNSSEC的安全性分析4）DNSSEC部署1、了解DNS的作用、工作过程。2、了解DNS在协议设计、实现和操作配置等3方面的脆弱性以及相应的攻击方法。3、了解DNSSEC新增的4种资源记录的内容及作用；掌握DNSSEC信任链的建立过程；了解DNSSEC对DNS协议的修改；了解DNSSEC域名解析过程及其与传统DNS域名解析过程的差异；了解DNSSEC配置过程；掌握DNSSEC的安全能力及存在的安全问题；了解DNSSEC部署的困难性。229Web应用安全1、Web应用体系结构脆弱性2、SQL注入攻击及防范3、跨站脚本攻击及防范4、Cookie欺骗及防范5、CSRF攻击及防范*6、目录遍历及防范*7、操作系统命令注入及防范*8、HTTP消息头注入及防范*9、HTTPS10、HTTPoverQUIC*11、Web应用防火墙1、理解并重点掌握Web应用体系结构各组成部分的脆弱性2、掌握SQL注入攻击的基本原理（前提条件、实现过程、用途），了解SQL注入攻击的探测方法、防护方法。3、掌握三种XSS攻击的基本原理（前提条件、实现过程、用途）及防护方法。4、了解Cookie机制及其存在的安全问题，掌握Cookie欺骗的基本实现方法，了解利用Cookie实现会话劫持的基本思想。5、了解CSRF攻击原理（前提条件、实现过程、用途）及防护方法。6、了解目录遍历原理（前提条件、实现过程、用途）及防护方法。7、了解操作系统命令注入原理（前提条件、实现过程、用途）及防护方法。8、了解HTTP消息头注入攻击原理（成因、实现过程、用途）及防护方法。9、掌握HTTPS工作过程，了解HTTPS的5种部署方式及各种的安全性。10、了解HTTPoverQUIC的基本思想、与HTTPS相比的优势。11、了解Web应用防火墙的基本原理、部署方式。4210电子邮件安全1、电子邮件的安全问题2、PGP1）PGP基本原理2）PGP密钥管理3、WebMail安全威胁及防范4、垃圾邮件防范1、了解电子邮件系统组成及工作过程；掌握电子邮件的安全需求，了解电子邮件系统存在的安全问题。2、了解PGP提供的安全功能及相关功能采用的典型算法；了解PGP发送和接收邮件的处理过程；掌握PGP采用的链式加密方法；了解PGP会话密钥生成方法；了解PGP密钥管理方法，掌握PGP采用的以用户为中心的信任模型的基本思想；了解PGP的安全性。3、了解WebMail面临的典型安全威胁及防范方法。4、了解垃圾邮件的典型特征；掌握典型垃圾邮件检测算法的基本思想。2211拒绝服务攻击及防御如果该专业有独立的《网络攻防技术如果该专业有独立的《网络攻防技术》类课程，且包括拒绝服务攻击方面的内容，可作为自学内容，而非本课程内容。1、剧毒包型拒绝服务攻击*2、风暴型拒绝服务攻击1）直接风暴型拒绝服务攻击2）反射型拒绝服务攻击3）僵尸网络4）典型案例分析3、拒绝服务攻击的作用4、拒绝服务攻击的检测及响应技术1、掌握拒绝服务攻击、分布式拒绝服务攻击的基本思想及成因。2、了解几种典型剧毒包型拒绝攻击原理。3、掌握风暴型拒绝服务攻击的基本原理、常用协议；了解SYNFlood、Ping风暴、TCP连接耗尽、HTTPCC等典型直接风暴型拒绝服务攻击的实现原理；了解反射型拒绝服务攻击常用协议，掌握用作反射型拒绝服务攻击的协议的特点，了解NTP、SSDP反射型拒绝服务攻击的攻击原理；了解僵尸网络的典型结构；理解2009年5月华东六省市断网事件的成因。4、了解拒绝服务攻击在网络攻击过程中的作用。5、了解拒绝服务攻击的检测方法、响应技术，掌握流量清洗的基本原理。2412网络防火墙1．防火墙概述2、防火墙工作原理1）包过滤防火墙2）状态检测防火墙3）应用网关防火墙3、防火墙的体系结构4、防火墙的部署方式5、防火墙的评价方式6、防火墙的不足及发展趋势1、掌握防火墙的定义，重点掌握网络防火墙的定义；了解网络防火墙的功能。2、了解包过滤防火墙的工作原理及不足之处；了解状态检测防火墙的工作原理及不足之处；了解应用网络防火墙的工作原理及不足之处；了解下一代防火墙的优缺点。3、了解4种防火墙体系结构（屏蔽路由器结构、双宿主机结构、屏蔽主机结构和屏蔽子网结构）的原理、安全性，掌握堡垒主机、DMZ等概念。4、掌握防火墙3种部署方式（透明模式、网关模式和NAT模式）的内涵、优缺点及适用场合。5、了解常见防火墙的评价指标及其含义。6、了解防火墙的不足及技术发展趋势。2213入侵检测与欺骗防御1．入侵检测概念、模型与分类2、入侵检测方法1）特征检测2）异常检测3、典型入侵检测系统Snort*4、网络欺骗技术1）蜜罐2）蜜网3）网络欺骗防御1、掌握入侵检测的定义、入侵检测的必要性以及在网络安全防御体系中的作用；了解IDES、CIDF模型的基本要素的功能；掌握HIDS、NIDS的工作原理。2、掌握特征检测、异常检测的基本思想、优缺点；了解典型特征检测方法、异常检测方法的入侵检测原理。3、了解Snort的工作原理及规则定义方法。4、了解网络欺骗的定义及作用；了解蜜罐的分类、功能和关键实现技术；了解蜜网的定义及功能；掌握网络欺骗防御的定义，了解网络层、系统层、应用层、数据层的典型网络欺骗防御技术。4214恶意代码如果该专业有独立的《网络攻防技术》类课程，且包括恶意代码方面的内容，如果该专业有独立的《网络攻防技术》类课程，且包括恶意代码方面的内容，可作为自学内容，而非本课程内容。1、恶意代码定义2、木马的工作原理3、木马的隐藏技术4、恶意代码的检测与防范1、掌握计算机病毒、蠕虫、木马等3个概念的定义及区别。2、了解远程控制木马的配置、传播方法、运行机制、信息反馈手段、远程控制功能；3、掌握木马的进程隐藏、通信隐藏的基本思想。4、了解恶意代码静态检测、动态检测技术的基本思