信息安全導(dǎo)論實驗教學(xué)的研究與實踐論文

　　1課程概述

　　“信息安全導(dǎo)論”是面向計算機科學(xué)與技術(shù)專業(yè)和網(wǎng)絡(luò)工程專業(yè)學(xué)員的一門專業(yè)技術(shù)課程。隨著部隊信息化建設(shè)的迅猛發(fā)展，部隊對信息系統(tǒng)的依賴日益加重，信息安全問題日益突出，因此在利用信息化提升部隊?wèi)?zhàn)斗力的同時，必須研究信息安全的自身特點，尋找信息安全問題的解決之道。

　　本課程要求學(xué)員了解信息安全的重要性和復(fù)雜性、理解信息安全的基本概念和基本原理、掌握信息安全的基本技能和基本方法。而實驗教學(xué)的主要目的是讓學(xué)員通過實驗?zāi)軌蛘莆栈�本的信息安全防護(hù)技能，了解系統(tǒng)存在的安全隱患，樹立牢固的安全意識，培養(yǎng)良好的安全習(xí)慣，另一方面提高實踐操作和應(yīng)用能力。

　　課程的課內(nèi)學(xué)時為32課時，課外學(xué)時即實驗學(xué)時為12學(xué)時。課程內(nèi)容基本覆蓋了信息安全領(lǐng)域所涉及的主要分支和領(lǐng)域，共包括信息安全緒論、密碼學(xué)基礎(chǔ)、計算機系統(tǒng)安全、計算機網(wǎng)絡(luò)安全、計算機應(yīng)用安全和信息系統(tǒng)安全工程六章內(nèi)容。而課外實驗由于學(xué)時有限，只能在課程內(nèi)容中進(jìn)行適當(dāng)?shù)倪x擇。

　　2實驗教學(xué)內(nèi)容選擇

　　由于時間有限，應(yīng)該優(yōu)先選擇最基本、最常用的安全技術(shù)方面的實驗，并按照所需技術(shù)水平的高低進(jìn)行階梯式的安排。

　　根據(jù)這一原則在整個課程中計算機系統(tǒng)安全章節(jié)、計算機網(wǎng)絡(luò)安全章節(jié)中涉及的內(nèi)容成為實驗內(nèi)容安排的重點。

　　2.1計算機系統(tǒng)安全的實驗內(nèi)容選擇

　　在計算機系統(tǒng)安全章節(jié)中的計算機操作系統(tǒng)的安全內(nèi)容成為實驗內(nèi)容的首選。計算機操作系統(tǒng)是應(yīng)用軟件同系統(tǒng)硬件的接口，其目標(biāo)是高效地、最大限度地、合理地使用計算機資源。沒有系統(tǒng)的安全就沒有信息的安全。操作系統(tǒng)作為系統(tǒng)軟件中最基礎(chǔ)的部分，其安全問題的解決最為關(guān)鍵。目前操作系統(tǒng)主要分為Windows系列的操作系統(tǒng)和類Unix的操作系統(tǒng)。雖然這些操作系統(tǒng)符合C2級安全級別，即自主安全保護(hù)和受控存儲控制，但操作系統(tǒng)仍存在不少安全漏洞，而大多數(shù)惡意代碼正是針對操作系統(tǒng)存在的安全漏洞進(jìn)行攻擊，因此導(dǎo)致出現(xiàn)很多安全問題。

　　為了讓學(xué)員了解操作系統(tǒng)存在的安全漏洞以及攻擊者入侵操作系統(tǒng)的手段，加強自身的安全意識，我們設(shè)計了一個Windows 2000漏洞入侵實驗。實際上，對于大部分的安全問題，我們可以通過對操作系統(tǒng)的安全管理配置操作來進(jìn)行防范。在實驗內(nèi)容中，我們選擇Windows 2000和Linux操作系統(tǒng)進(jìn)行操作系統(tǒng)的安全管理配置操作的學(xué)習(xí)。

　　2.2計算機網(wǎng)絡(luò)安全的實驗內(nèi)容選擇

　　在計算機網(wǎng)絡(luò)安全章節(jié)中防火墻技術(shù)、嗅探技術(shù)和VPN技術(shù)被選擇為實驗的內(nèi)容。

　　許多來自網(wǎng)絡(luò)的遠(yuǎn)程攻擊可以通過防火墻技術(shù)來進(jìn)行防范。防火墻是在兩個網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一組硬件和軟件系統(tǒng)，其目的是保護(hù)本地網(wǎng)絡(luò)的通信安全。使用防火墻進(jìn)行網(wǎng)絡(luò)的安全防護(hù)是最常用的安全技術(shù)。據(jù)統(tǒng)計，全球接入因特網(wǎng)的計算機中有1/3以上處在防火墻保護(hù)之下。因此，理解防火墻的工作原理，并能根據(jù)定義的安全策略配置相應(yīng)的安全規(guī)則是學(xué)習(xí)安全技術(shù)的一個重點。

　　嗅探技術(shù)主要通過將網(wǎng)卡設(shè)置為混雜模式來接收和分析所有經(jīng)過網(wǎng)卡的數(shù)據(jù)包。而利用嗅探器竊取別人的用戶密碼和秘密信息是惡意攻擊者常用的手段。通過學(xué)習(xí)嗅探器的使用，可以使學(xué)員們了解數(shù)據(jù)包的基本結(jié)構(gòu)，從而加深對后階段實驗的理解，同時增強數(shù)據(jù)包在網(wǎng)絡(luò)上傳輸時需要安全保護(hù)的意識。

　　在學(xué)習(xí)嗅探器使用的實驗中，學(xué)員已經(jīng)認(rèn)識到數(shù)據(jù)包在網(wǎng)絡(luò)上傳輸?shù)牟话踩�性。而VPN技術(shù)是實現(xiàn)網(wǎng)絡(luò)安全傳輸?shù)囊环N安全技術(shù)。VPN稱為虛擬專用網(wǎng)，它是在因特網(wǎng)上實現(xiàn)的一個專用網(wǎng)絡(luò)。由于利用VPN技術(shù)構(gòu)建的虛擬網(wǎng)絡(luò)中數(shù)據(jù)包是加密傳輸?shù)模瑥亩�能夠保證信息在網(wǎng)絡(luò)傳輸?shù)臋C密性。通過學(xué)習(xí)VPN服務(wù)的配置和連接的建立技術(shù)，可以加深學(xué)員對VPN技術(shù)的理解。

　　最后，學(xué)員通過學(xué)習(xí)本門課程不斷地提高自身信息安全技術(shù)水平，并按照如圖1的階梯式實驗內(nèi)容的安排進(jìn)行學(xué)習(xí)，能夠了解入侵操作系統(tǒng)的典型攻擊手段、掌握主流操作系統(tǒng)的安全管理配置操作、掌握防火墻的基本配置和使用、學(xué)會嗅探工具的使用和掌握VPN服務(wù)的配置和連接。

　　3實驗內(nèi)容設(shè)計

　　根據(jù)圖1的安排，整個實驗課程的內(nèi)容包括六個實驗。每個實驗所占課時為2個課時，為了讓學(xué)員們能夠在短時間達(dá)到實驗要求，實驗內(nèi)容主要以驗證性的實驗為主，部分提高型的設(shè)計實驗為輔。驗證性的實驗內(nèi)容的實驗步驟比較詳細(xì)，力爭學(xué)員在實驗課時間內(nèi)完成所需實驗，而提高型的實驗內(nèi)容用于部分感興趣的同學(xué)在課后進(jìn)一步提高技術(shù)水平。

　　3.1Windows 2000漏洞入侵的實驗內(nèi)容

　　操作系統(tǒng)存在許多安全漏洞如緩沖區(qū)溢出，很多攻擊都是針對這些漏洞進(jìn)行的。此次實驗的操作系統(tǒng)選擇的是Windows 2000。實驗的主要目的是讓學(xué)員們了解典型入侵過程，提高安全意識。針對漏洞入侵的典型過程如圖2。在入侵典型過程中安裝后門和清除入侵痕跡不屬于必備環(huán)節(jié)，而是較高級的攻擊者采取的方法。

　　此次實驗的主要內(nèi)容是設(shè)計兩個可驗證步驟的漏洞入侵過程，讓學(xué)員可以在實驗課時內(nèi)按照實驗步驟完成實驗。這兩個入侵過程分別為：1433溢出漏洞攻擊和弱口令入侵。第一個實驗包括了典型入侵過程的主要環(huán)節(jié)。第二個實驗進(jìn)一步提高學(xué)習(xí)內(nèi)容，包括了安裝后門的環(huán)節(jié)。

　　3.2操作系統(tǒng)的安全配置實驗內(nèi)容

　　針對攻擊者的攻擊，實際上可以通過對操作系統(tǒng)進(jìn)行安全管理配置的操作來進(jìn)行防范。操作系統(tǒng)的安全配置實驗包括Windows的安全管理配置和Linux的安全管理配置兩次實驗。

　　這兩次實驗的具體操作雖然不同，但實驗的內(nèi)容是相同的。每次的實驗內(nèi)容包括三部分：系統(tǒng)用戶管理、系統(tǒng)服務(wù)管理和系統(tǒng)安全配置。

　　多用戶的操作系統(tǒng)通過將用戶進(jìn)行分組的管理，每組賦予不同的權(quán)限，來限制用戶對系統(tǒng)資源的使用，從而防止非授權(quán)用戶進(jìn)行非法操作。通過系統(tǒng)用戶管理的學(xué)習(xí)，學(xué)員不僅可以掌握如何增加和刪除用戶，而且還可以學(xué)會如何修改用戶權(quán)限。

　　由于針對操作系統(tǒng)的漏洞進(jìn)行攻擊是攻擊者的主要手段，因此操作系統(tǒng)應(yīng)遵循最小特權(quán)原則，盡可能關(guān)閉不需要的服務(wù)。通過系統(tǒng)服務(wù)管理，學(xué)員可以知道如何根據(jù)需求關(guān)閉特定的服務(wù)和端口。

　　為了防御攻擊，操作系統(tǒng)還可以進(jìn)行專門的安全配置。審核策略就是其中的一項重要的功能。審核策略可以對特定事件如登陸失敗的事件進(jìn)行日志記錄。系統(tǒng)管理員通過對日志記錄進(jìn)行分析可以對攻擊者的攻擊行為進(jìn)行事后追蹤。同時，管理員還可以發(fā)現(xiàn)攻擊者的不良企圖，從而加強對系統(tǒng)的防護(hù)。

　　3.3嗅探工具Sniffer的使用的實驗內(nèi)容

　　利用嗅探器竊取別人的用戶密碼和秘密信息是惡意攻擊者常用的手段。此實驗的目的是通過學(xué)習(xí)典型嗅探器sniffer的使用了解數(shù)據(jù)包的結(jié)構(gòu)，加深學(xué)員對后階段實驗的理解，并增強學(xué)員對數(shù)據(jù)包在網(wǎng)絡(luò)傳輸要進(jìn)行保護(hù)的安全意識。

　　整次實驗包括如何利用嗅探器sniffer對報文進(jìn)行捕獲、解碼和編寫報文的內(nèi)容。其中報文捕獲和解碼是基本學(xué)習(xí)內(nèi)容，而編寫報文為提高內(nèi)容。

　　報文捕獲的實驗內(nèi)容如下：

　　利用sniffer工具捕獲指定目標(biāo)機發(fā)出的所有數(shù)據(jù)包。

　　利用sniffer分析捕獲的報文。讓學(xué)員兩人一組：一人在目標(biāo)機上登錄某網(wǎng)站并輸入用戶名和密碼;一人捕獲其發(fā)出的數(shù)據(jù)包并分析出用戶名和密碼。

　　報文解碼的實驗內(nèi)容包括熟悉各種協(xié)議報文結(jié)構(gòu)并對捕獲的IP報文主要是報文頭部的各種信息進(jìn)行分析。

　　編寫報文的實驗內(nèi)容是利用sniffer提供的報文編輯功能，自行編寫一個IP報文并發(fā)送到合作伙伴的目標(biāo)機上，并由合作伙伴捕獲進(jìn)行分析。

　　3.4防火墻iptables的啟用與配置的實驗內(nèi)容

　　使用防火墻是防范攻擊者攻擊的一種最常用的安全技術(shù)。此實驗的目的是通過啟動配置linux系統(tǒng)下的防火墻iptables，理解防火墻的工作原理，并能根據(jù)定義的安全策略配置相應(yīng)的安全規(guī)則。

　　此次實驗需要兩臺機器，可驗證的實驗步驟如下：

　　(1) 一臺機器啟動防火墻iptables，充當(dāng)服務(wù)器。

　　(2) 服務(wù)器清空防火墻的過濾規(guī)則表。

　　(3) 另一臺機器充當(dāng)客戶機，使用掃描器nmap對服務(wù)器進(jìn)行掃描，發(fā)現(xiàn)其開放的服務(wù)，并使用其提供的服務(wù)。

　　(4) 服務(wù)器配置報文過濾表使得客戶機不能訪問服務(wù)器提供的任何服務(wù)。

　　(5) 客戶機再次訪問服務(wù)器，已不能使用其提供的服務(wù)。

　　3.5VPN服務(wù)器配置與連接的實驗內(nèi)容

　　VPN技術(shù)是在因特網(wǎng)上構(gòu)建的虛擬專用網(wǎng)絡(luò)。它通過一套復(fù)雜的協(xié)議來保證數(shù)據(jù)包在網(wǎng)絡(luò)上進(jìn)行安全的傳輸。此實驗的目的就是通過對學(xué)習(xí)VPN服務(wù)器的配置和連接建立來加深學(xué)員對VPN概念的理解。

　　實驗內(nèi)容選擇學(xué)習(xí)VPN中最常用的一種訪問連接方式——遠(yuǎn)程訪問連接方式。通過虛擬專用網(wǎng)的遠(yuǎn)程訪問方式，VPN客戶端可以通過IP網(wǎng)絡(luò)(例如因特網(wǎng))與充當(dāng)VPN服務(wù)器的遠(yuǎn)程訪問服務(wù)器建立虛擬點對點連接。這種方式最適用于公司內(nèi)部經(jīng)常有流動人員遠(yuǎn)程辦公的情況。

　　可驗證的實驗步驟包括：

　　(1) 配置和啟動Windows 2000 Server下的VPN服務(wù)器。

　　(2) 授予用戶通過VPN連接服務(wù)器的權(quán)限。

　　(3) 授權(quán)用戶與VPN服務(wù)器建立VPN連接。

　　4教學(xué)效果

　　信息安全導(dǎo)論實驗課程的每次實驗都需要提交實驗報告來考察實驗教學(xué)的效果。從提交的實驗報告來看，所有學(xué)員都在既定時間內(nèi)完成了實驗規(guī)定的基本內(nèi)容，而部分學(xué)員在課外時間完成了提高部分的內(nèi)容。信息安全導(dǎo)論課程的總評分中筆試占70%，實驗成績占30%。整個課程的成績在良好以上的學(xué)員占30%，中以上的學(xué)員占80%，達(dá)到預(yù)期目標(biāo)。

　　課程學(xué)習(xí)結(jié)束后，我們對學(xué)員進(jìn)行了調(diào)查，學(xué)員普遍反映通過實驗課的學(xué)習(xí)加深了對信息安全技術(shù)的理解，同時提高了自身的安全意識。

【信息安全導(dǎo)論實驗教學(xué)的研究與實踐論文】相關(guān)文章：

在線信息安全實驗教學(xué)平臺研究論文10-09

電力信息安全監(jiān)控研究論文10-12

醫(yī)院信息安全與系統(tǒng)監(jiān)控研究論文10-11

檔案信息安全策略研究論文10-11

信息安全審計機制研究與設(shè)計論文10-12

數(shù)字檔案信息安全研究論文10-09

公司信息化信息安全技術(shù)研究論文10-09

廣播電視信息安全保護(hù)研究論文10-11

信息安全與等級保護(hù)技術(shù)研究論文10-11

醫(yī)院計算機信息安全研究的論文10-09