《计算机网络基础》第8章教案

《计算机网络基础》课程教案课程名称：计算机网络基础课程号：课程学分：3参考学时：48课程性质：专业必修课适用专业：计算机应用技术等专业上课时间：授课教师：负责人：审核单位：年月日-1-一、课程基本信息课程名称计算机网络基础课程号课程性质专业必修课开课部门课程负责人课程团队授课学期学分/学时3/48授课语言汉语课程简介《计算机网络基础》是计算机类专业重要的专业基本理论课程，是计算机类专业的各门专业课程的先导课程。本课程在把握教学对象对理论知识“必要、适度、够用”的原则下系统介绍计算机网络技术与工程所涉及到各个方面的理论基础与技术基础知识;全面阐明计算机网络技术所涉及的各项基木概念和基木工作原理，为后续课程的知识学习和技能培养奠定理论基础。授课班级

二、课程授课教案第8章讲课主题计算机网络安全学时4学时教学目标·理解网络空间安全存在的问题·了解密码学的基本概念·理解传统的加密技术及使用方法·理解对称密钥和公钥体系的基本原理·了解数字签名、摘要的作用及原理·了解网络安全的防范措施教学重点、难点了解数字签名、摘要的作用及原理本章导读应用层随着计算机网络的应用越来越广泛，人们的日常生活、工作、学习等各个方面几乎都会应用到计算机网络。尤其是计算机网络应用到电子商务、电子政务以及企事业单位的管理等领域，对计算机网络的安全要求也越来越高。一些恶意者利用各种手段对计算机网络安全造成各种威胁。因此，计算机网络安全越来越受到人们的关注，成为一个研究的新课题。本章主要介绍计算机网络面临的安全威胁、加密技术和防范措施等内容，旨在帮助读者全面了解网络安全领域的基本概念、原理和方法，提升网络安全意识和能力。教学设计授课提纲及重难点分析教学方法及课程思政设计教学时间8.1网络安全基础概述随着计算机网络技术的迅猛发展，以Internet为代表的全球性信息化浪潮日益高涨，信息网络技术的应用日益普及，应用领域从传统的小型业务系统逐渐向大型、关键业务系统扩展。然而，随着网络技术的普及，信息安全问题也逐渐凸显，成为人们日益关注的焦点，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对信息安全也提出了更高的要求。8.1.1网络安全的概念网络安全(NetworkSecurity)是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然因素或者恶意攻击而遭到破坏、更改、泄露，确保系统能够连续、可靠、正常地运行，网络服务不中断。网络安全包括网络设备安全、网络信息安全和网络软件安全，其主要目的是确保网络数据的可用性、完整性和保密性。(1)可用性：授权用户在正常访问信息和资源时不被拒绝，可以及时获取服务。此外，当网络信息系统部分受损或需要降级使用时，仍能为授权用户提供有效服务，即保证为用户提供稳定的服务。(2)完整性：信息在未经合法授权时不能被改变的特性，即信息在生成、存储或传输过程中保证不被偶然或蓄意地删除、修改、伪造、乱序等破坏和丢失的特性。完整性是一种面向信息的安全性，它要求保持信息的原样，即信息能正确地生成、存储和传输。(3)保密性：信息在产生、传送、处理和存储过程中不泄露给非授权的个人或组织。一般是通过加密技术对信息进行加密处理来实现的，经过加密处理后的加密信息，即使被非授权者截取，也会由于非授权者无法解密而不能了解其内容。8.1.2网络面临的威胁网络安全威胁主要影响网络系统的服务、信息保密性和可用性。这些威胁源于网络本身的不可靠性和脆弱性以及外部的人为破坏。网络安全的威胁类型主要有以下4种。(1)物理威胁与设备安全：物理威胁可能源于意外或故意的物理损害，如设备盗窃、物理损伤。重要的是要注意网络设备的安全和在更换硬件时的数据销毁，以防止数据被恢复。(2)系统、软件和协议漏洞：这类漏洞包括操作系统的缺陷、网络协议的脆弱性以及由于硬件、软件和人为因素导致的网络和数据库漏洞。例如，操作系统可能在安装过程中暴露出端口开放、认证服务不足等问题。基于TCP/IP的网络协议，由于最初设计时未重视安全问题，也存在漏洞。因此，硬件和软件的缺陷也可能被攻击者非法访问或对系统造成威胁。(3)体系结构的安全性：多数网络体系结构在设计和实施时可能存在安全隐患。如果网络的不同部分缺乏有效协同防御机制，那么整个网络体系的安全性可能受到威胁。(4)恶意软件与黑客攻击：包括黑客程序、计算机病毒、网络蠕虫、特洛伊木马、后门程序和僵尸网络等。这些恶意软件或程序旨在攻击网络系统，可能导致数据泄露、资源滥用破坏系统完整性和可用性。网络安全是一个复杂且持续的挑战。由于网络系统天然存在漏洞，绝对的安全是不可能的，因此，关键在于通过采取各种措施降低风险。了解并应对这些威胁，是确保网络环境安全的重要步骤。8.1.3网络安全模型网络安全是一个复杂且综合的系统工程，必须保证网络系统和信息资源的整体安全性。为此，人们建立各种网络安全模型，并对网络的整体安全性进行深入研究。网络安全评估是依据有关准则对网络系统及由其处理、传输、存储信息的保密性、完整性、可用性等安全属性进行全面评价的过程，是实现网络安全保障的有效措施。网络安全模型在构建网络安全体系和结构方面发挥着重要作用，并进行具体的网络安全解决方案的制订、规划、设计和实施，同时也可以用于描述和研究实际应用中网络安全的实施过程。常用的网络安全模型有MPDRR、APPDRR等。1.MPDRR安全模型MPDRR安全模型是一种比较常见的具有纵深防御体系的网络安全模型，主要包含管理(Management)、防护(Protection)、检测(Detection)、响应(Responsen)和恢复(Recovery)5个关键环节。2.APPDRR安全模型APPDRR安全模型是一个全面而系统的网络安全框架，由风险评估、安全策略、系统防护、动态检测、实时响应和灾难恢复6个环节组成。30min8.2网络安全法律法规8.2.1网络安全的发展了解网络安全的发展历程体现了其日益复杂和不断演进的特性。关于网络安全发展的一些重要事件和趋势如下：(1)20世纪70年代至80年代初期，以“黑客”为代表的早期计算机安全事件开始出现，这引起了人们对计算机安全的关注。(2)20世纪80年代中期至90年代初期，计算机病毒开始广泛传播，这使得计算机安全面临更大的挑战。(3)20世纪90年代中期至21世纪初期，随着互联网的普及，网络攻击事件剧增，引起了各界对网络安全的关注。(4)2000年至2010年，随着移动设备和社交网络的出现，网络安全问题进一步加剧，出现了一系列新的安全威胁。(5)2010年至2020年，云计算和大数据技术的普及使网络攻击的规模和威力进一步增强，防范网络威胁成了一项全球性的任务。(6)2020年至2023年，人工智能和物联网技术的快速发展带来了新型威胁，如智能设备的安全漏洞和数据隐私保护问题，这就要求安全技术不断发展和更新，以适应日益复杂的网络环境。总的来说，网络安全发展史是一个不断发展和演变的过程。随着计算机技术的推进和互联网的普及，网络安全问题也变得越来越复杂。只有不断提高对网络安全的认识和加强安全技术的研发，才能够有效地应对各种网络安全威胁。8.2.2国际与国内网络安全法律法规1.国际网络安全法律法规及标准在国际层面，网络安全法律法规和标准的制定主要由多边组织、国际合作机构及领先国家的立法机构共同承担。这些规范旨在促进全球数据保护、打击网络犯罪，并维护网络空间的安全与稳定。主要的法律法规和标准包括：(1)联合国指导制定的信息安全和网络空间使用指导原则。(2)《网络犯罪公约》(布达佩斯公约)：2001年开放签署，是首个国际性打击网络犯罪的条约。(3)欧盟的《通用数据保护条例》(GDPR)：2016年通过，2018年5月生效，为数据保护和隐私设定了严格的规范。(4)ISO/IEC27000系列标准：是国际上具有代表性的信息安全管理体系标准，标准涉及的安全管理控制项目主要包括安全策略、安全组织、资产分类与控制、人员安全、物理与环境安全、通信与运作、访问控制、系统开发与维护、事故管理、业务持续运行、符合性等。2.我国网络安全法律法规我国在网络安全法律法规方面的发展虽起步较晚，但已迅速形成了一套较为完善的体系。主要法律法规按实施时间排序包括：(1)《中华人民共和国反恐怖主义法》：2016年1月1日实施，涉及网络空间的使用和监控，防止恐怖主义活动。(2)《中华人民共和国网络安全法》：2017年6月1日实施，覆盖网络安全策略、网络运营者安全义务、个人信息保护等方面。(3)《中华人民共和国电子商务法》：2019年1月1日实施，包括网络交易安全、个人信息保护和电子支付等内容。(4)《中华人民共和国网络信息内容生态治理规定》：2020年3月1日实施，加强网络信息内容管理，保护网络空间清朗。(5)《中华人民共和国数据安全法》：2021年9月1日实施，规范数据处理活动，保障数据安全，促进数据利用。(6)《中华人民共和国个人信息保护法》：2021年11月1日实施，明确个人信息处理规则，强调信息主体权利。这些法律法规不仅是网络空间治理的重要工具，也是维护国家安全、促进经济社会发展和保护公民权利的关键。通过学习这些法律法规，可以更好地理解网络空间的复杂性和治理的多维性，为未来的网络安全工作和研究奠定坚实的基础。45min8.3数据加密技术数据加密技术是研究计算机信息加密、解密及其变换的科学，是数学和计算机的交叉学科，也是一门新兴的学科。在国际范围内，它已成为计算机安全主要的研究方向，也是计算机安全课程中的主要内容。数据加密技术是对数据信息进行编码和解码的技术，数据信息没有被处理之前称为“明文”，“明文”使用某种方法隐藏它的真实内容以后称为“密文”。把“明文”变成“密文”的过程称为加密(Encrypt)；反之，把“密文”变成“明文”的过程称为解密(Decrypt)。如果加密和解密所使用的密钥相同，则这种加密算法称为对称加密算法，否则称为非对称加密算法。8.3.1对称加密算法对称加密算法即加密和解密使用相同密钥的算法，也被称为单密钥加密。在这种算法中，发送方将明文和加密密钥一起经过特殊加密算法处理后，变成复杂的加密密文发送出去。接收方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。对称加密算法的类型包括DES、TripleDES、RC4、BlowFish等。这些算法的具体实现机制不同，但都采用了单密钥密码的加密方法。对称加密算法的优点主要在于其加密和解密速度快、算法公开、计算量小、加密效率高，且加密和解密使用相同的密钥，因此在大量数据传输时效率更高。此外，对称加密算法的加密强度高，能够提供很好的安全保障。对称加密算法也存在一些缺点。首先，在分布式网络系统上使用对称加密算法比较困难，因为每个用户都需要拥有一个唯一的密钥，因此在用户数量较多的情况下，密钥管理变得非常复杂，密钥数量会呈几何级数增长，容易发生泄露。其次，对称加密算法无法提供信息鉴别功能，无法验证消息的完整性和准确性。在实际应用中，对称加密算法适合用于小规模网络或者安全性要求不高的场景。如果需要在大规模网络或者高安全性的场景下进行加密，则建议使用非对称加密算法。8.3.2非对称加密算法非对称加密算法也被称为公开密钥加密算法，是指加密和解密使用不同密钥的算法。这种算法需要两个密钥：公开密钥(Publickey)和私有密钥(Privatekey)。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。非对称加密算法的主要算法有RSA、Elgamal、背包算法、Rabin、D-H、ECC(椭圆曲线加密算法)等。非对称加密算法的优点主要在于其安全性更高，公钥是公开的，密钥是自己保存的，不需要将私钥给别人。这种加密方式使得只有拥有相应私钥的用户才能解密信息，有效避免了密钥泄露的风险，提高了信息传输的安全性。非对称加密算法也存在一些缺点。首先，加密和解密花费时间长、速度慢，只适合对少量数据进行加密。这是由于非对称加密算法需要使用成对的公钥和私钥进行加密和解密操作，计算量较大，导致加密和解密的速度相对较慢。其次，非对称加密算法需要使用多个密钥，增加了密钥管理的复杂性。在实际应用中，需要妥善保管好私钥，并确保其安全传输，否则一旦私钥泄露，信息的安全性将受到威胁。在实际应用中，如果需要传输大量数据或者要求更高的加密效率，对称加密算法可能更为合适；如果对安全性要求较高，且数据量较小，则可以考虑使用非对称加密算法。45min8.4网络安全技术计算机网络经常面临的安全性威胁有4种：截获(从网络上窃听他人的通信内容)、中断(有意中断他人在网络上的通信)、篡改(故意篡改网络上传送的报文)和伪造(伪造信息在网络上传送)。其中，截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。下面介绍几种常见的网络安全技术，其均涉及数据安全、软硬件安全、通信安全等方面。8.4.1数据安全技术数据安全技术包括数字签名(DigitalSignature)、数字摘要(DigitalDigest)、数字时间戳(DTS)、数字信封和数字证书等。下面仅对数字签名、数字摘要和数字时间戳作一简单介绍。1.数字签名数字签名与传统方式的签名具有同样的功效，可以进行身份认证以及当事人的不可抵赖性。数字签名采用公开密钥加密技术，是公开密钥加密技术应用的一个实例。数字签名使用两对公开密钥的加密/解密的密钥，将它们分别表示为(k，k′)和(j，j′)。其中k和j是公开的加密密钥，k′是发送方的私钥，j′是接收方的私钥。2.数字摘要上述介绍的数字签名的方法需要对传输的整个信息文档进行两次加密/解密，这就需要占用较多的时间，而在实际应用中，只有部分信息需要数字签名，这时便适合使用数字摘要。数字摘要将整个信息文档与唯一的、固定长度(28位)的值(数字摘要)相对应，只要对数字摘要进行加密就可以达到身份认证和不可抵赖的作用。(1)数字摘要一般由散列函数(Hash函数)计算获得。(2)采用散列函数的数字签名过程3.数字时间戳在实际应用中，时间往往是一项十分重要的信息。数字时间戳(DigitalTimeStamp，DTS)能为电子文件提供发表时间的安全保护。数字时间戳是一种网上安全服务项目，由专门的机构提供。时间戳实际上是一个经加密后形成的凭证文档，包括以下3个部分：(1)需要DTS的文件的摘要。(2)DTS收到文件的时间和日期。(3)DTS的数字签名。8.4.2VPN和APNVPN(VirtualPrivateNetwork，虚拟专用网络)和APN(AccessPointName，接入点名称)是两个不同的网络概念，虽然它们有些相似之处，但在实际应用和功能上存在着明显的区别。VPN是在公共网络上建立起一个私密、安全的通信隧道，用于在不安全的网络上传输数据。它通过加密和隧道技术进行数据保护和隐私保密，使用户能够在各种网络中建立起一个安全的网络连接。VPN通常在应用程序或操作系统级别上部署，并且需要客户端软件或者设备支持。它可以在各种设备上使用，如计算机、手机、平板等。VPN常见的应用场景如下：(1)远程访问：允许用户通过公共网络(如互联网)访问私有网络资源，实现跨地域、跨网络的连接。(2)数据加密：通过加密技术对传输的数据进行保护，确保数据在公共网络中传输时不被黑客或监控窃取。(3)绕过封锁：使用VPN可以绕过地理限制、封锁和审查，访问被限制或屏蔽的内容和网站。APN是手机在无线网络上连接互联网时使用的网络参数，用于建立数据连接和访问互联网。APN通常由运营商提供，包含一系列网络配置信息，如接入点名称、身份验证类型、代理服务器地址等。APN的作用是识别和区分不同的移动网络，以确保手机可以访问互联网。APN通常是在手机设置或网络设置中配置的。对于不同的运营商和移动设备，APN配置可能会有所不同。APN的主要功能如下：(1)数据接入：手机通过APN建立数据连接，使用移动网络访问互联网，包括浏览网页、发送消息、下载文件等。(2)访问控制：APN可以对访问互联网的权限进行控制，如限制某些用户或设备的访问，管理数据流量等。综上所述，VPN和APN是两个不同的概念。VPN是一种安全通信隧道技术，可以在公共网络中保护用户数据的安全和隐私，主要应用于远程访问和数据加密；而APN是用于移动网络连接和访问互联网的网络参数，用于识别和配置手机连接互联网的信息。虽然它们都涉及网络连接和数据传输，但其目的、应用场景和功能均不同。8.4.3防火墙1.防火墙的概念防火墙的概念起源于中世纪的城堡防卫系统。那时，人们在城堡的周围挖一条护城河以保护城堡的安全，每个进入城堡的人都要经过一个吊桥，接受城门守卫的检查。在网络中，人们借鉴了这种思想，设计了一种网络安全防护系统，即防火墙系统。2.防火墙的分类防火墙是位于两个或多个网络间实施网络间访问控制的一组组件的集合，包括主机系统、路由器、网络安全策略和用于网络安全控制与管理的软硬件系统等。防火墙是不同网络或网络安全域之间信息的出入口，能够根据网络安全策略控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。1)按照防火墙的软、硬件形式分类按照防火墙的软、硬件形式区分，防火墙可以分为软件防火墙、硬件防火墙以及芯片级防火墙。2)按照防火墙实现技术的不同分类按照防火墙实现技术的不同，防火墙可以分为包过滤防火墙、状态/动态检测防火墙和应用程序代理防火墙。8.4.4SSL协议安全套接层(SSL)协议是目前应用最广泛的安全传输协议之一。它作为Web安全性解决方案，由Netscape公司于1995年提出。现在，SSL已经作为事实标准被众多网络产品提供商所采纳。SSL利用公开加密技术，在传输层上提供安全的数据传送通道。SSL协议的工作流程包括连接建立、证书验证、随机数生成和协商、会话密钥生成、SSL握手过程、数据传输和连接关闭。通过SSL协议的运作，可以保障网络通信的安全性，防止数据被窃听、篡改或伪造。SSL协议的工作流程如下：(1)客户端发起SSL连接：客户端与服务器建立通信前，需要通过读取URL的协议头或端口号来判断是否需要进行SSL连接。如果需要SSL连接，客户端会向服务器发起连接请求，并告诉服务器协议版本号和支持的加密套件等信息。(2)服务器证书验证：服务器收到客户端的请求后，会向客户端发送服务器的证书。证书中包含了服务器的公钥、证书颁发机构(C