通信网络安全与防护教学教案

《通信网络安全与防护》课程教案

授课时间年月日周节课次1

授课方式课时

理论课V讨论课口实验课口习题课口其他口2

（请打V）安排

授课题目（教学章、节或主题）：

第一章概述（上）

教学目的、要求（分掌握、熟悉、了解三个层次）：

（1）掌握通信网与网络安全的基本概念；

（2）了解通信网络安全的主要内容，掌握网络安全需求；

（3）掌握通信网络安全面临的主要威肋

教学重点及难点：

重点：通信网络安全面临的主要威胁；

课堂教学设计（含思政）：

本次课主要是使学员理解网络安全的基本概念，通过习近平主席讲话的时代背景和典型的网络安全

案例分析，引导学员理解网络安全面临的威肋，，提高对网络安全重要性的认识，自觉养成用网时的安

全习惯。教学采用引导式的教学方法，以多媒体为主的信息化教学手段进行授课，激发学员对网络安

全的兴趣，引导学员课下加强自学，促进理论和实践融合。

思政要素切入点：

引导学员深入理解习近平主席“没有网络安全，就没有国家安全”讲话精神，分析讲话的时代背景

，体会讲话的现实意义,引导学员强化在工作、学习中勇干承担网络安全重仟，促进职'也素养和岗位

能力的提高。

教学基本内容课堂教学设计（教学方法手段及时间设计等）

回顾与引入：全程PPT辅助讲解

分析网络发展与安全内涵发展的两条线路，了解课程

课程设计：总结“网络安全”内涵演化过程

内涵的演进过程，引出课程的教学内容和教学设计，使学

员对课程教学体系形成整体框架。通信安全信息安全

计算机安全

本节内容：（主要内容框架、要点、重点，建议不要写成网络安全

讲稿）

网络空间安全

1.1通信网络及网络安全

1.1.1通信网络的基本概念

通信网络是指在一定范围内将通信线（电）路、信道

终端、复用终端、交换设备、入网接口设备、网络监控设

备和各种用户（末端）设备，按一定方式相互连接，用于

达成通信联络的网络体系。通信网按功能与用途不同，-

般可分为传送网、业务网和支撑网等三种。

1.传送网

传送网，是由用户终端、交换系统、传输系统等通信引导学员结合自身认识，理解三者之间的关

设备所组成的实体结构，是通信网的物质基础。联。

2.业务网

业务网是指通信网的服务功能，包括电话、电报网等。

3.支撑网

1.1.2通信网络的发展趋势

1.数字化

2.宽带化

3.IP化

1.1.3网络安全思政点：

引入：习近平主席“没有网络安全，就没有国家安全结合时代背景,介绍“震网”“斯诺登”“永

”“没有信息化，就没有现代化”恒之蓝”等网络安全事件：引导学员深入理

网络安全是指信息的产生、存储、分发、传输、处理解讲话精神，结合学习及以后工作向位，强

全过程和整个通信网络的信息安全保障。化在网络安全中的使命担当，加强学习，为

1.网络安全的主要研究领域军事网络安全贡献力量。

网络安全主要包括信息安全、网络安全防护、人员与

网络设施安全等内容。

2.网络安全需求

网络的安全需求就是要保证在•定的外部环境下，系

统能够正常、安全地工作所需具备的特性。

令机密性

令完整性

<可用性

令可控性

令信息流保护

补充：2021年我国互联网发展报告及网络安

1.2网络面临的安全威胁

全形势分析报告。

1.2.1物理安全威胁

令自然灾害、物理损坏、设备故障

<电磁辐射、乘虚而入、痕迹泄漏

◊操作失误和疏忽

1.2.2操作系统的安全缺陷

任何操作系统都自带一系列的系统应用程序，这些应举例：因操作系统漏洞发生过的安全事件

用程序中可能因编程时的不谨慎而存在安全漏洞，而引发

安全风险。CVE-2017-8464（Windows系统在解析快捷

方式时存在远程执行任意代码的高危漏洞，

黑客可以通过U盘、网络共享等途径触发

漏洞，完全控制用户系统，安全风险高危）

2013年3M4年3OIS年却16隼和17年3018年笫1叫

IWK：O岛龟41制数・口多日漏河数,■安全

0B1-1O2013-2019年CNVD收录的安全黄将故■对比《来寻：CNCERT/CC）

CVE（CommonVulnerabiIitiesExposures）-公共漏

洞和暴露。就像是一个字典表，为广泛认同的信息安全漏

洞或者已经暴露出的弱点给出一个公共的名称。

1.2.3网络协议的安全缺陷

由于TCP/IP协议设计之初的目的是使网络互连，缺

着重对网络监听和ARP病毒进行讲解。

乏安全性上的考虑，因此TCP/IP协议本身存在•些不安

全的地方。如：

TCP序列号预测；

DNS攻击;

网络监听（嗅探Sniffer）；

ARP病毒；

路由协议缺陷；

无线破解。

1.2.4应用软件的安全缺陷

应用软件是运行在操作系统之上的应用程序，如

MicrosoftOffice^InternetExplorer等。软件实现缺

陷是由于程序员在编程时没有考虑周全而造成的。2019

年，CNVD收录漏洞10487个。

1.2.5用户使用中的安全缺陷

请同学们反思，自己工作学习生活中使用网

系统和网络是由用户（管理员）来操作的，由于用户络时存在哪些不安全的操作？

（管理员）缺乏安全知识，在使用和维护系统或网络时给

攻击者提供了可乘之机是常见的安全问题。用户使用的缺

知识扩展:

课下了解勒索软件、羊毛党、智商秘等名词的含义

作业、讨论题、思考题：

作业：1-02、1-05.1-06

讨论题：围绕深刻理解习近平主席指出的“没有网络安全，就没有国家安全”谈谈

认识

课堂教学后记：（深望我学安思、课堂优化设计构想等内容,必须手写）

《通信网络安全与防护》课程教案

授课时间年月日周节课次2

授课方式课时

理论课V讨论课口实验课口习题课口其他口2

（请打V）安排

授课题目（教学章、节或主题）：

第一章概述（下）

教学目的、要求（分掌握、熟悉、了解三个层次）：

（1）熟悉网络安全体系结构的基本概念；

（2）掌握IS07498-2标准中五种安全服务与八种安全机制；

（3）掌握PDRR网络安全模型，熟悉防护的手段；

（4）了解网络基本原则。

教学重点及难点：

重点：网络安全体系结构；

课堂教学设计（含思政）：

本次课通过与学员掌握的网络体系结构概念的关联分析，介绍网络安全体系结构，使学员理解安全

服务与安全机制；通过对PDRH模型的介绍，使学员理解网络防护的动态性，并掌握防护、检测、响应、

恢复各个环节的主要工作。教学采用以多媒体为主的信息化教学手段进行授课，激发学员对网络安全

的兴趣，引导学员课下加强自学，促进理论和实践融合。

思政要素切入点：

一是结合军事网络安全防尹体系对照讲解，加深学员对本职岗位的认识，促进岗位能力提高：二是

结合对我国新近出台的“等保2.0”标准体系的介绍，增进学员对行业发展的了解，促进学员职业素养

的养成。

教学基本内容课堂教学设计（教学方法手段及时间设计等）

回顾与引入：全程PPT辅助讲解

回顾上节课主要内容，通过两个测试题检验学员对知

识点掌握情况；回顾网络体系结构的概念，引出网络安全

体系结构。

本节内容：（主要内容框架、要点、重点，建议不要写成

讲稿）

1.3网络安全体系结构分析网络体系结构与网络安全体系结构的

关联

13.1网络安全体系结构的相关概念

网络安全体系结构是网络安全最高层的抽象描述，它

从系统化的角度去理解安全问题的解决方案，对研究、实

现和管理网络安全的工作有全局指导的作用，对于网络安

全的理解、设计、实现和管理有着重:要的意义。

OSI安全体系结构主要包括三部分内容：

安全服务：一个系统各功能部件所提供的安全功能的

总和。

安全机制：指安全服务的实现机制，一种安全服务可

以由多种安全机制来实现，一种安全机制也可以为多种安

全服务所用。

安全管理：包括两方面的内容，一是安全的管理，网

络和系统中各种安全服务和安全机制的管理，如认证或加

密服务的激活，密钥等参数的分配，更新等；二是管理的

安全，是指各种管理活动自身的安全，如管理系统本身和

管理信息的安全。

n公g

@a

用r

Mt

fMs

i

2.安全机制：八种安全机制

3.安全服务与安全机制的关系

13.2网络安全体系结构的三维框架结构

介绍网络安全体系的一：维框架结构，便于指导具体的被问：

系统实施。

7解了安全体系结构的概念，如何在系统设

计与实施时规划安全呢？

Y协及层次

安仝膈分与方公枢制校理

访

数

数

不

问

可

据

«可

控

否

保

完

用

制

认

性

监

整

服

性

性

性

方

7.实体单元

1.4PDRR网络安全模型

PDRR安全模型将网络安全划分为防护、检测、响应、

恢更四个动态往复的周期。在整体安全策略的控制和指导

下，综合运用防护工具（如防火墙、加密机、防病毒等手

段）的同时，利用检测工具（如隐患扫描、入侵检测等）

了解和评估系统的安全状态，通过适当的安全响应，将系

统保持或恢复到“最安全”和“风险最低”的状态。

1.4.1防护

防护是PDRR模型中的最重要的部分，防护是阻止

攻击可以发生的条件产生，让攻击者无法顺利的入侵。防

护可以分为三大类：系统安全防护、网络安全防护和信息

安全防护。防护主要包括以下几种措施：

（1）风险评估一一缺陷扫描

（2）访问控制和防火墙

（3）防病毒软件与个人防火墙

（4）数据备份和归档：属于信息安全防护类型。补充介绍：2019年5月13日，我国出台了

（5）使用数据加密：信息安全防护的重要技术。信息系统等级保护2.0,对各级防护提出了

（6）使用鉴别技术明确要未及评测标准。

（7）使用安全通信

1.4.2检测

防护系统只能阻止大多数入侵事件的发生，但不能阻

止所有的入侵，特别是利用新的系统缺陷、新的攻击手段

的入侵。因些安全政策的第二个安全屏障就是检测，即如

果入侵发生就检测出来，这个工具是入侵检测系统（IDS,

Intrusiondetectionsystem）0

IDS是一个硬件系统或软件程序，它的功能是检测出

正在发生或者已经发生的入侵事件。

1.4.3响应

PDRR模型的第三个环节是响应。在一个大规模网络

中，响应都是由一个特殊部门负责，即计算机紧急响应小

组（CERT）o

CNCERT/CC是我国互联网应急中心，服务内容：

事件发现:依托公共互联网网络安全监测平台开展对

基础信息网络、金融证券等重要信息系统、移动互联ISP

等安全事件的自主监测。

预警通报：实现网络安全威胁的分析预警、网络安全

事件情况通报、宏观网络安全态势分析等。

应急处置：对危害较大的事件报告，及时响应并协调

处置。

测试评估：为政府部门、企事业单位提供安全测评服

务，组织通信网络安全相关标准制定。

1.4.4恢复

恢复就是把系统恢复到被攻击前的状态甚至比被攻

击前更安全的状态.

恢复包括系统恢复与数据恢复。现在流行的是容灾备

份系统。

内容小结：

网络安全体系结构：安全服务、安全机制与安全管理

五种安全服务，八种安全机制：

PDRR网络安全模型：防护、检测、响应、恢复；

防护的主要措施。

板书提纲：

$1.3网络安全体系结构

一、网络安全体系结构的相关概念

1.安全服务

2.安全机制

3.安全管理

二、网络安全体系的三维框架结构

$1.4PDRR网络安全模型

1.防护

2.检测

3.响应

4.恢复

知识扩展：

无

作业、讨论题、思考题：

作业：1-7、1-9

讨论：围绕关于网络空间的八个基本观点谈谈自己的认识

课堂教学后记：（课堂教学反思、课堂优化设计构想等内容,必须手写）

《通信网络安全与防护》课程教案

授课时间年月日周节课次3

授课方式课时

理论课V讨论课口实验课口习题课口其他口2

（请打V）安排

授课题目（教学章、节或主题）：

第二章网络信息安全（上）

教学目的、要求（分掌握、熟悉、了解三个层次）：

（1）掌握数据加密的一般模型和古典加密体制；

（2）掌握对称密码体制概念，熟悉DES和AES算法；

（3）重点理解非对称密码体制概念及RSA算法；

（4）熟悉散列函数的概念，了解MD5和SHA算法。。

教学重点及难点：

重点：密码系统一般模型、公钥密钥体制；

难点：RSA算法。

课堂教学设计（含思政）：

本次课主要是使学员掌握密码学的相关知识，通过理论分析、实例讲解使学员掌握密码系统一般

模型、古典加密体制、对称密码体制、公钥密码体制，熟悉DES、AES、RSA等算法。教学中注重举例

分析，结合具体的算法讲解；注重启发思考，引导学员分析单表替换的安全性、对称体制的难点等问

题，全程采用以多媒体为主的信息化教学手段进行授课，并引导学员课下查阅相关资料。

思政要素切入点：

通过“密码学的中国贡献”课下研讨作业，引导学员查阅资料，了解王小云、潘建伟院士的研究

成果与事迹，用榜样的力量激发学员学习热情，增强自信，强化在工作、学习中勇于承担安全重任的

使命担当。

教学基本内容课堂教学设计（教学方法手段及时间设计等）

回顾与引入：全程PPT辅助讲解

回顾第一章主要内容，通过两个测试题检脸学员对知

识点掌握情况：对网络信息安全的教学内容进行总体介

绍，并明确本次课教学月标。

本节内容：（主要内容框架、要点、重点，建议不要写成

讲稿）

2.1密码学与信息加密

一、密码学概述

1.密码学基本概念

密码学是研究如何进行密写以及如何非法解密的科

学。基本思想是通过变换信息的表示形式来保护敏感信

息，使非授权者不能了解被保护信息的内容。

2.密码学的发展讨论：密码学的应用

三个发展阶段

军事领域：如“二战”时期恩尼格码、紫密,

每个发展阶段代表性事件

反例：山本五十六之死

3.密码系统一般模型

思政：保密就是保生命，保密就是保胜利

.V

密码学基本原则：一切秘密寓于密钥之中。

4.密码分析

密码分析就是在不知道密钥的情况下，利用数学方法

破译密文或找到秘密密钥。

5.现代密码体制的分类

（1）对称密码体制和非对称密码体制

（2）分组密码体制和序列密码体制

（3）确定型密码体制和概率型密码体制

（4）单向函数密码体制和双向变换密码体制

二、古典加密

1.置换加密

明义的每个符号本身不变,但通过一定的异法重新排

列它们的位置使其相互顺序发生变化。

（1）路游法

启发思考：单表替换的安全性如何？

（2）密钥法

2.替换加密

明文的顺序不变,通过一定的算法使明文的每个字母单表替换不能抵抗语言统计学分析，密文越

或每组字母由另外一个或一组字母代替。长规越明显。因此引入多表替换。

（1）单表替换

（2）多表替换

45分钟.课间显示曾子兵法与现代网络用语

三、对称密码体制算法AES

I.DES与IDEA

DES20世纪70年代中期IBM公司提出，且被美国

国家标准局公布为数据加密标准的一种分组加密（Block

Cipher）算法。DES分组大小为64位，加密或解密密钥也

是64位，但其中有8位是奇偶校验位，不参预运算。

国际数据加密算法IDEA由瑞士联邦理工学院Xuejia

Lai和JamesMassey在1990年提出的。也是一种对称分

组密码算法。IDEA密钥长度为128位，分组大小为64

位。其安全强度要高于DES算法。分析：互联网就是一个巨大的的云计算平台

2.AES的提出

实例：DESCHALL竞赛

DES的密钥长度为56比特，安全性受到挑战，因此

需要设计一种更安全的算法。

Rijndael算法由比利时的两个学者JoanDaemen和

VincentRijmen提出，是一种具有可变分组长度和可变

密钥长度的重复的分组密码。

3.AES算法流程

AES加密算法涉及4种操作：

<字节替代(SubBytes)

◊行移位(ShiftRows)

令列混淆(MixColurnns)

<轮密钥加(AddRoundKey讨论：对称密码体制使用中的难点问题？

四、公钥密码体制与RSA算法

密钥的分配

1.公钥密码体制

公开密码体制是20世纪70年代由Diffie和Hellman

等人所提出，它是密码学理论的划时代突破。公开密码体

制修正了密钥的对称性，它方面，为数据的保密性、完

整性、真实性提供了有效方便的技术。另一方面，科学地

解决了密码技术的瓶颈一密钥的分配问题。

2.RAS算法流程

RSA算法主要包括三个部分：

☆密钥的生成

(1)生成大的素数P和q,计算乘积"pXq；

(2)欧拉函数①欧=(p-DX(qT)，任意选取

整数e与①(n)互质，e用做加密密钥；

(3)据dXe=lmod(n),确定解密密钥d；

(4)公开(e,n)做为加密密钥，秘密保存d做

为解密密钥。

☆加密过程。对于明文P,加密得密文C=P"modn。

☆解密过程。对于密文C,解密得明文iCmodn。

除算法本身外，RSA算法中还需注意几个环节：

(1)素数的产生与检测；(采用概率检测法)

(2)明文的数字化处理；

(3)素数长度的考虑(RSA算法的安全性)。

3.公钥密码体制的使用

五、消息摘要算法

散列函数对明文认证和数字签名都是非常必要的工

举例：我们每天都在用消息摘要算法。

具。散列函数值可以说是对明文的一种“指纹”或是摘要。

V/indows登录

散列函数必须满足下面的条件：

令散列函数可以将任意长度的信息转变为固定长网络应用登录

度的散列函数值。

<对任意的明文m,散列函数值h(m)可通过软件

或硬件很容易的产生。

◊散列函数逆向运算是不可行的.

<不同的明文，散列函数值相同的可能性极小，可

以忽略。

1.MD5算法

将任意长度明文计算为128比特的散列值，在互联网

应用广泛。

2.SHA算法

美国国家标准局为配合数字签名算法设计的消息摘

要算法。

内容小结：

小结：回顾本次课的主要教学内容，加深学

密码学的一般模型；员对知识体系的印象

现代密码体制的分类；

古典加密体制；

对称密码体制AES:

公钥密码体制RSA

报文摘要算法MD5SHA

板书提纲：

$2.1密码学与信息加密

一、密码学概述

二、古典加密

置换

替换

三、对称密码体制与AES

DES、IDEA、AES

四、公钥密码体制与RSA

五、消息摘要函数

MD5

SHA

知识扩展：

无

作业'讨论题、思考题：

作业：2-1、2-3、2-5

研讨：1.密码学在军事通信网络中的应用

2.古典密码体制是否送出军事应用的历史舞台？

3.课下查阅资料，了解王小云、潘建伟院士的主要研究成果和事迹。

课堂教学后记：（课堂教学反思、课堂优化设计构想等内容，必须手写）

《通信网络安全与防护》课程教案

授课时间年月日周节课次4

授课方式课时

理论课V讨论课口实验课口习题课口其他口2

（请打V）安排

授课题目（教学章、节或主题）：

第二章网络信息安全（下）

教学目的、要求（分掌握、熟悉、了解三个层次）：

（1）熟悉密钥分配与管理的方法；

（2）掌握消息认证、身份认证、PKI的基本概念，重点掌握数字签名的工作过程及工作原理：

（3）了解访问控制策略与机制，掌握访问控制的工作原理。

教学重点及难点：

重点：数字签名的工作过程与工作原理；

难点：强制访问控制策略。

课堂教学设计（含思政）：

本次课采用结合部队装备讲解、结合实例讲解等教学方法，如讲解密钥分配时介绍新型核常机动

指挥系统中的密钥分配装备运用，讲解身份认证时结合生活中的网上银行、大门门禁等实例，讲解数

字签名时以作战命令的传递中存在的伪造、篡改、抵赖等威胁为例说明数字签名的需求。全程采用以

多媒体为主的信息化教学手段进行授课，并引导学员课下查阅相关资料。

思政要素切入点：

通过密钥分配、认证、访问控制在军事中的应用，引导学员结合将来从事的岗位进行思考，增强

对信息保密和网络防护重要性认识，提高对保密、网络防护工作的政治站位，增强使命感。

教学基本内容课堂教学设计（教学方法手段及时间设冲等）

回顾与引入：全程PPT辅助讲解

回顾上节课主要内容，通过两个测试题检验学员对知

识点掌握情况；对本节课的内容组织进行介绍，并明确本

节课教学目标。

本节内容：（主要内容框架、要点、重点，建议不要写成提问：

讲稿）

现代密码学基本原则？

2.2密钥分配与管理

引出

一、密钥管理概述

密朗分配与管理

密钥的安全十分重要，密钥的管理问题凸显。

密钥的管理综合了密钥的等一系列过程。所有的工作

都围绕一个宗旨，即确保使用中的密钥是安全的。

1.密钥的生成与分配

2.密钥的保护与存储

3.密钥的有效性与使用控制

二、密钥的分类

根据密码系统的类型划分为对称密钥和公开密钥。

根据密钥的用途划分为数据会话密钥、密钥加密密

钥、公钥系统中的私钥、公钥系统中的公钥。

根据密钥的有效期划分一次性密钥和重复性密钥。

三、密钥分配

1.密钥分配实现的基本方法拓展：新型核常机动指挥系统中的密钥分发

安全的密钥分配通过建立安全信道来实现。装备应用

密钥分配的研究一般解决两个问题：一是引进自动分

思政：引导学员提高对信息保密的重视

配密钥机制；二是尽可能减少系统中驻留的密钥量。

•基于对称密码体制的安全信道

•基于双钥密码体制的安全信道补充：量子密钥分发

•基于量子密码体制的安全信道链接：墨子号报导视频

2.密钥分配系统的实现模式

・小型网络：每两个用户之间共享一个密钥

•大型网络：采用密钥口心的方式，可以采用密钥

传送中心和密钥分配中心

2.3安全认证思考：

如何保证通信双方的身份真实性？

一、消息认证

消息认证一般通过消息认证码(Message如何保证物理信道和资源不被非法用户使

AuthenticationCode,MAC)实现，它利用密钥生成一个用？

固定长度的短数据块，并将该数据块附加在消息之后。如何防止通信的相关信息被第三方基改？

接收方对收到的消息用相同的密钥K进行相同的计

算，并得出新的MAC,然后将接收到的MAC与其计算

出的MAC进行比较。

•接收方可以相信消息未被修改

•接收方可以相信消息来自真正的发送方

•如果消息中含有序列号，接收方可以相信信息顺

序是正确的

二、数字签名

数字签名以电子方式存储签名消息，是在数字文档上

进行身份验证的技术。

A.MM（耻*工♦、A9MM）

数字签名必须做到：接收者和第三方都能够验证文档

来自签名者，并且文档签名后没有被修改，签名者也不能

否认对文档的签名。

三、身份认证

从身份认证实现所需条件来看，身份认证技术分为:

•单因子认证

・双（多）因子认证

依据认证的基本原理划分，身份认证划分为：

♦静态身份认证

•动态身份认证

四、公钥基础设施思考：

1.PKI的定义及组成

公钥密码体制是传递密钥的最佳方式，但其

PKI是一种利用公钥密码理论和技术建立起来的、提

前提是确信拥有了对方的公钥。

供信息安全服务的基础设施。

如何确信通信双方获得了对方的公钥呢？

PKI目的是从技术上解决网上身份认证、电子信息的

完整性和不可抵赖性等安全问题，为网络应用（如浏览器、反例：宣称公钥的中间人攻击方式

电子邮件、电子交易）提供可靠的安全服务。

PKI系统包括6个部分：证书机构、注册机构、数字

证书库、密钥备份及恢复系统、证书作废系统、应用接口。

2.数字证书及其应用

数字证书是一个经证书授权中心数字签名的包含公

开密钥拥有者信息以及公开密钥的文件。

用r-在网络空间中证明用户的身份及公钥信息。

2.4访问控制

举例：windows操作系统是基于自主访问控

访问控制的实质是对资源使用的限制，保障授权用户

制

能够获得所需的资源，同时又能阻止非授权用户使用的安

防火堵是基于强制访问控制

全机制。

一、访问控制策略和机制

访问控制的策略一般分为以下三种。

1）自主访问控制（DiscretionaryAccessControl,DAC）：

资源的所有者能够按照自身的意愿授予另一个实体访问

某些资源的权限，由此称为自主访问控制。

2）强制访问控制（MandatorilyAccessControl,MAC）：

访问某种资源的实体不能按其自身意愿授予其他实体访

问该资源的权限，因此称之为强制访问控制。它根据用户

安全许可的安全标记控制访问。

3）基于角色的访问控制（Role-BasedAccessControl,

RBAC）：基于系统中用户的角色和属于该类角色的访问权

限控制访问。

二、自主访问控制

自主访问控制通常通过ACL（访问控制列表）来实现，

访问控制列表是对访问控制矩阵的一种分解。

三、强制访问控制

MAC是一种多级访问控制策略，主要特点是系统对

访问主体和受控对象实施强制访问控制。根据对客体资源分析：传统访问控制的不足

保护不同的重点，访问控制策略可以分为两种。

・保障信息完整性策略：向上读、向下写

•保障信息机密性策略：向上写、向下读

四、基于角色的访问控制

基本思想是将访问许可权分配给一定的角色，用户通

过其扮演不同的角色以取得该角色所拥有的访问许可权，

这些用户往往不是被访问客体信息资源的所有者。

角色被定义为与一个特定活动相关联的一组动作和

责任。

内容小结：

密钥的分配与管理；

安全认证：消息认证、数字签名、身份认证；

公钥基础设施PKI;

访问控制：自主访问控制、强制访问控制、基于角色

的访问控制。

板书提纲：

$2.2密钥的分配与管理

一、密钥管理

二、密钥分类

三、密钥分配

$2.3安全认证

一、消息认证

二、数字签名

三、身份认证

四、公开密钥基础设施PKI

$2.4访问控制

一、自主访问控制

二、强制访问控制

三、基于角色的访问控制

知识扩展：

无

作业、讨论题、思考题:

作业：2-11,2-12、2-15

讨论：访问控制有哪些典型的应用场景？采用的是哪种访问控制策略。

课堂教学后记：（课堂教学反思、课堂优化设计构想等内容,必须手写）

《通信网络安全与防护》课程教案

授课时间年月日周节课次5

授课方式课时

理论课V讨论课口实验课口习题课口其他口2

（请打V）安排

授课题目（教学章、节或主题）：

第三章网络设备安全

教学目的、要求（分掌握、熟悉、了解三个层次）：

（1）了解网络设备安全的基本概念及安全隐患；

（2）熟悉机房安全、通信线路安全、硬件设备安全等物理安全措施；

（3）掌握交换机、路由器的安全配置；

（4）熟悉服务器与操作系统安全。

教学重点及难点：

重点：物理安全的组成；

难点：交换机、路由器的安全配置。

课堂教学设计（含思政）：

本次课主要是引导学员重视物理安全、交换机与路由器的安全配置、操作系统的安全配置等内容，

采用引导式的教学方法，以多媒体为主的信息化教学手段进行授课，针对学员都有通信岗位经历的特

点，引导学员结合单位实际对照学习，加强师生互动，加强理论和实践融合。

思政要素切入点：

通过国家安全法规体系和相关案例的介绍引导学员形成传谨细致的工作习惯，促进职业素养提高：

二是通过交换机、路由器安全问题的分析，引导学员提高对安全防护工作的重视。

教学基本内容课堂教学设计（教学方法手段及时间设计等）

回顾与引入：全程PPT辅助讲解

回顾网络信息安全的主要内容，通过两个测试题检脸

学员对知识点掌握情况：对网络设备安全的重要意义进行

介绍，明确本次课教学目标。

本节内容：（主要内容框架、要点、重点，建议不要写成

讲稿）

3.1物理安全

物理安全是整个通信网络系统安全的前提，是保护通

信网络设备、设施及其他媒介免遭地震、水灾、火灾等环

境事故、人为操作失误或人为损坏导致被破坏的过程。

一、机房安全技术

1.机房的安全要求

2.机房的防盗要求

案例分析：姆电的危害

3.机房的三度要求

4.防静电措施

5.接地与防雷

6.机房的防火、防水措施

二、通信线路安全

通信线路是信息传输的通道，会受到搭线窃听、中断

或干扰的攻击。

•电缆加压技术

引入DDoS攻击的案例，加深学员认识

电缆两端加压，连接监视器,如果监测到变化，则启

动报警器。加压电缆是屏蔽在波纹铝钢包皮中，几乎没有

电磁辐射，对利用电磁感应的窃听行为有一定的抵抗力。

­线缆屏蔽技术

线缆屏蔽可以降低电磁感应，提高抗干扰能力。如采

用屏蔽式双绞线，或将线缆放在金属管内。视频：美军窃听海底电缆

•光纤通信技术

光纤通信广泛覆盖于骨干网和接入网中，目前全球

视频：美军窃听海底光缆

90%以上的信息通信都是由光网络承载，涉及的用户和业

务包括个人、企业、军事和政府机关，很多密级较高的信

号传输也都是以光纤作为基础的。

光纤没有电磁福射，是否就安全了？随着各种窃听、

破坏技术和设备的进步与发展，以及光网络遭到攻击的事

件不断地被报道，光网络具有先天安全性的成见正在被逐

步地打破。

光纤窃听方法：光纤弯曲法、V型槽切口法、散射法

等。

三、硬件设备安全案例分析：电磁兼容性不强的危害

1.硬件设备的维护和管理

案例分析：电磁辐射屏蔽不良的危害

2.电磁兼容和电磁辐射的防护

3.信息存储媒体的安全管理

四、电源系统安全

电源系统指标：供电连续性、可靠性、稳定性和抗干

扰性等。

风险：因电源系统电压波动、浪涌电流和突然断电等

导致计算机系统存储信息丢失、设备损坏。

机房的供配电系统设计要求

3.2路由器的安全技术

一、路由器存在的安全问题及对策

安全问题：身份问题、漏洞问题、访问控制问题、路

由协议问题、配置管理问题等

1.路由器口令的设置

•口令加密

•设置端口登录口令

・加密特权用户口令

•防止口令修复

2.网络服务的安全设置

・禁止HTTP服务

・禁止一些默认状态下开启的服务

•关闭其他一些易受攻击的端口服务

3.保护内部网络1P地址

•利用路由器的网络地址转换隐藏内部地址

•利用地址解析协议防匚盗用内部IP地址

4.利用访问控制列表有效防范网络攻击

•利用ACL禁止ping相关接口

•利用ACL防止IP地址欺骗

•利用ACL防止SYN攻击

•利用ACL防范网络病毒攻击

5.防止包嗅探

6.校验数据流路径的合法性

7.为路由器间的协议交换增加认证功能，提高网络

安全性

二、路由器的安全配置详如配置命令实验课上讲述，本节课不讲。

1.路由器口令安全配置

2.路由器网络服务的安全设置

3.保护内部网络IP地址的配置

4.利用ACL防范网络攻击的配置

5.利用ACL防范病毒攻击的配置

6.利用ACL对HTTP服务进行服务控制及权限管理。

3.3交换机的安全技术

一、交换机存在的安全问题及对策

1.利用交换机端口安全技术限制端口接入的随意性

2.利用虚拟局域网技术限制局域网广播及ARP攻击

范围

3.强化Trunk端口设置避免利用封装协议缺陷实行

VLAN的跳跃攻击

4.使用交换机包过滤技术增加网络交换的安全性

二、交换机的安全配置

1.路由器登录口令、加密等安全措施也适用于交换

机

2.启用端口的端口安全功能

3.4服务器与操作系统安全

一、Windows操作系统安全

L限制用户数量

2.管理员账号设置

3.使用安全口令

4.使用屏幕保护/屏幕锁定口令

5.安全文件管理

6.安装防病毒软件

7.做好备份盘的安全

8.禁止不必要的服务

9.使用IPSec来控制端口访问

10.定期查看日志

11.经常访问微软升级程序站点，了解补丁的最新发

布情况。

二、Web服务器的安全

1.明确安全需求

2.合理配置

内容小结：

物理安全的四个方面；

路由器安全面临的问题与对策，安全配置：

交换机安全面临的问题与对策，安全配置；

操作系统与Web服务器的安全。

板书提纲：

$3.1物理安全

一1、机房安全技术

二、通信线路安全

三、硬件设备安全

四、电源系统安全

$3.2路由器的安全技术

一、路由器存在的安全问题及对策

二、路由器的安全配置

$3.3交换机的安全技术

一、交换机存在的安全问题及对策

二、交换机的安全配置

$3.4服务器与操作系统安全

一、Windows操作系统安全

二、Web服务器的安全

知识扩展：

无

作业、讨论题、思考题：

作业：3-4、3-5、3-8拓展：查找相关资料，介绍物理安全的真实案例及分析

教学反思:

《通信网络安全与防护》课程教案

授课时间2021年3月23日周二3-4节课次6

授课方式课时

理论课V讨论课口实验课口习题课口其他口2

（请打V）安排

授课题目（教学章、节或主题）：

第四章网络攻击技术（上）

教学目的、要求（分掌握、熟悉、了解三个层次）：

（1）了解网络攻击的基本步联；

（2）熟悉社会工程学、口令破解、缓冲区溢出等典型的网络攻击手段；

（3）重点掌握缓冲区溢出的原理；

（4）掌握各种攻击手段的防护措施。

教学重点及难点：

重点：缓冲区溢出攻击工作原理；

难点：缓冲区溢出攻击的实施。

课堂教学设计（含思政）：

本次课注重结合实例讲解，穿插介绍著名黑客及事迹，增强教学趣味性，区分白帽黑客和黑帽黑客，

引导学员建立对黑客行为的正确认识；注重引导式教学，如溢出攻击的讲解以问题牵引，引导学员分

析溢出漏洞成因及溢出攻击的原理。全程以多媒体为主的信息化教学手段进行授课，注重加强师生互

动，加强理论和实践融合。

思政要素切入点：

通过区分白帽黑客和黑帽黑客，引导学员正确的网络攻防观；通过“黑客有无国界，黑客技术有无

国界”的讨论，引导学员树立国家网络安全观；通过对溢出漏洞的分析，引导学员养成良好的程序设

计习惯和用网习惯。

教学基本内容课堂教学设计（教学方法手段及时间设计等）

回顾与引入：全程PPT辅助讲解

回顾上节课主要内容，通过两个测试题检脸学员对知

识点掌握情况；对网络攻击如何分类进行介绍，并明确本

次课教学目标。

本节内容：（主要内容框架、要点、重点，建议不要写成

讲稿）

4.1黑客与网络攻击概述请学员谈谈对黑客的认识？

引出教学内容

4.1.1黑客的基本概念

按行为和动机可将黑客划分为白帽（whiteHat）黑客

和黑帽（BlackHal）黑客两类。

穿插介绍史上十大黑客，如比尔盖兹、乔布

白帽黑客利用其高超技术，长期致力于改善计算机及

其环境，不断寻找系统的脆弱性并公布于众，促使各大计斯、季纳斯就是白帽，凯文米特尼克就是黑

算机厂商改善产品质量，提醒普通用户系统可能存在的安帽。

全隐患。

黑帽黑客也称为Cracker,他们利用掌握的攻击手段

和入侵技术，非法侵入并破坏计算机系统，从事一些恶意

的破坏活动。

4.1.2网络攻击的一般流程

网络攻击或以划分为四个阶段.八个环节.

“踩点”原意为策划一项盗窃活动的准备阶段，在

网络攻击领域，“踩点”是传统概念的电子化形式。

黑客通常采用搜索引擎或各种开放的信息源进行信以打开学校网站首页做为案例，分析可以获

息搜集。取的信息

2.扫描

扫描的目的是确定目标网络范围内哪些系统是“活

动”的，以及它们提供哪些服务，并对目标系统所提供的

各种服务进行评估，以便集中精力在最有希望的途径上发

动攻击。

扫描采用的主要技术有Ping扫射、TCP/UDP端口扫

描、操作系统检测以及漏洞检测。

3.获取访问权

搜集到目标系统的足够信息后，下一步要完成的工作

是得到FI标系统的访问权进而完成对目标系统的入侵。对

于操作系统采用的主要技术有破解系统登陆II令、窃听II

令、远程缓冲区溢出等。

4.提升权限

攻击者能够获得访问权限后，就会试图将普通用户权

限提升至超级用户权限，以便完成对系统的完全控制。

权限提升所采取的技术主要有通过得到的密码文件，

破解系统上其他用户名及口令;利用不同操作系统及服务

的漏洞，利用管理员不正确的系统配置等。

5.窃取或篡改信息

一旦攻击者得到了系统的完全控制权，接卜.来进行的

工作对敏感数据的篡改、添加、删除及复制，并通过对嫩

感数据的分析，为进一步攻击应用系统做准备。

6.清除痕迹

清除痕迹的主要工作有禁止系统审计、清空事件日

志、隐藏作案工具等。

7.植入后门或木马

创建后门的主要方法有创建具有特权用户权限的虚

假用户账号、安装远程控制工具、使用木马程序替换系统

程序、安装监控机制及感染启动文件等。

8.拒绝服务攻击

如果黑客未能成功获取访问权，可以使用精心准备好

的漏洞代码攻击系统使目标服务器资源耗尽或资源过载，

以至于没有能力再向外提供服务。

4.2欺骗型攻击

1.社会工程学的基本概念

社会工程学是一种利用人的弱点如人的本能反应、好

奇心、信任、贪便宜等弱点进吁诸如欺骗等攻击手段，获

取自身利益的手法。社会工程学不是一门科学，因为它不

是总能重复和成功，而且在被攻击者信息充分的情况下，

会自动失效。

2.社会工程学攻击手段结合实例讲解

1）打电话请求密码