第七章 计算机网络安全.docx

1、第七章 计算机网络安全第七章 计算机网络安全一、本章内容框架图7-1 计算机网络安全内容框架图 本章主要介绍计算机网络的安全隐患及其产生的原因，解决网络安全问题的常用办法，侧重介绍了病毒防治、防火墙、加密、数字签名和数字认证，最后介绍了网络文明道德。由于“标准”对计算机网络安全未作具体要求，故本章内容可选学。二、教材重点、难点分析本章包括计算机网络的安全问题、常用的安全技术、网络文明道德等三节内容。 本章主要让学生了解计算机网络存在安全隐患，了解常见的安全隐患以及防范安全隐患的常用措施。由于大多是介绍性的知识，一般只要求学生了解即可，教学方法可采用讲授法，或者学生自学教材内容，教师组织一些问题

2、，采用问题教学法。结合学生日常使用计算机过程中如何加强安全防范的实际，教材安排了“实践探究活动”：常用客户端软件的安全措施。 本章的重点是了解防范安全隐患的常用措施。难点是对防火墙、加密、数字签名和数字认证的了解。 三、教学目标1. 了解计算机网络安全隐患及其常用的网络安全隐患防范措施。 2. 了解计算机病毒、防火墙、加密、数字签名和数字认证等网络安全防范措施。 3. 了解网络文明道德、降低因特网的负面影响。四、课时分配建议表7-1 计算机网络安全课时分配小节内容实践探究活动课时7.1计算机网络的安全问题0.57.2常用的安全技术实践体验：常用客户端软件的安全措施1.57.3网络文明道德合计2

3、.0 在教学安排中，计算机网络的安全问题和常用的安全技术中的病毒防治、防火墙两小节内容可安排在第一学时完成，剩余部分安排在第二学时进行。五、各节教学要求和教学设计建议教材7.1节计算机网络的安全问题（一）教学要求 1.了解计算机、计算机网络的脆弱性。 2.了解主要的网络安全隐患。 3.了解常用的网络安全隐患防范措施（二）教学设计建议 本节包括计算机网络在安全上是脆弱的、安全隐患和安全的网络三小节内容。本节大多为常识性介绍的内容，学生不存在理解上的困难，在教学方法上，可以采用讲授式，也可以让学生预习或者课堂上给出10分钟先自学，然后组织几个关键问题提问或者组织学生就某个问题进行讨论，教师应采用图

4、表、组成图等形式以帮助学生增强记忆与理解。计算机网络在安全上是脆弱的一节从计算机本身和网络两个方面介绍了计算机网络的脆弱性。 计算机网络的脆弱性图7-2计算机网络的脆弱性安全隐患一节从系统自身、自然环境和人为等三个方面介绍了计算机网络存在的安全隐患。图7-3计算机网络安全隐患 安全的网络一节从计算机系统、自然环境和人为因素等三个方面介绍了防范计算机网络安全隐患的一般措施。表7-2 常采用的安全措施常采用的安全措施计算机系统使用冗余技术：双机系统、磁盘阵列、备用电源、UPS等自然灾害机房选址、机房建筑质量、备用电源、设备备用中心等人为因素技术方面金属屏蔽、采用光缆、防火墙、防病毒、加密、数字签名

5、等管理方面搞好内部管理：如用户权限管理、口令管理等教材7.2节常用的安全技术（一）教学要求 1.了解常用的网络安全技术：病毒防治、防火墙、加密、数字签名和数字认证的基本知识。 2、学会使用简单的常用的网络安全保护措施。（二）教学设计建议 本节包括病毒防治、防火墙、加密和数字签名和数字认证四小节内容。本节内容要求学生初步了解计算机网络的安全防范技术：病毒防治、防火墙、加密、数字签名和数字认证。在教学中只要求学生了解即可。为了增强学生的计算机网络安全意识、在使用网络过程中能使用一些简单的安全措施、保护自己少受干扰和损失，教材安排了“实践体验”活动：常用客户端软件的安全措施。病毒防治部分在以往的学习

6、中已经多次接触，本节在内容上作了提升和概括，学生一般通过自学即可掌握，教师可以补充说明目前常用的网络版杀毒软件，如Norton Antivirus企业版、瑞星网络版等。也可通过演示一个网络病毒（如：冲击波等）的查杀过程，增强学生对网络病毒的感性认识。提议或鼓励学生通过Internet了解这些软件的特点和功能，增强学生对网络杀毒软件的认识。防火墙是采用隔离和过滤技术来保护网络安全的一种技术。按照采用的硬件不同可以把防火墙分成两种，一种是在路由器上实现的硬件防火墙，它通过存储在路由器中的软件对进出网络的分组进行检查过滤。另外一种是应用安装在计算机上的软件，通过对进出网络的分组进行审查、过滤来实现的

7、。防火墙安装在外部网络与内部网络之间。对加密小节的内容，只要学生了解常用的加密方式，对于其数学原理不做要求。常见的加密方式见表7-3。表7-3常见的加密方式常见的加密方式早期加密方法替代密码置换密码单密钥类序列密码分组密码：DES公开密钥类RSA数字签名技术实现的基础是加密技术。常用的数字签名的方式见表7-4。表7-4数字签名的方式数字签名的方式不加密单向散列函数加密直接利用RSA密钥体制用DES密钥数字签名是经贸文件往来的一种安全保证和防抵赖措施。具体应用如网上证券交易系统、网上银行、企业网上报税系统等。数字认证的具体应用可供参考的有：中国工商银行个人网上银行、天同证券网上交易系统等，教师在

8、课堂中可以示范演示网上交易系统软件的安装或者网上银行个人证书的安装或者建议有兴趣的同学课余上网去了解。另外，为增强学生对加密和认证技术应用的了解，可打开Outlook Express，查看邮件账户属性的安全页，如图7-4。图7-4 邮件账户属性的安全页了解有关Outlook Express安全邮件的说明，可以查看菜单栏工具(T)选项(O)的安全页，如图7-5。图7-5 Outlook Express安全邮件的说明（三）“实践探究”活动指导 实践体验：常用客户端软件的安全措施 活动目的：（1）增强学生的计算机网络安全意识（2）学会IE浏览器和Outlook Express邮件管理软件中的网络安全

9、设置、保护自己少受干扰和损失。 活动步骤：(1) 教师演示并介绍在用IE浏览器上网登陆进入论坛时的用户名、密码自动完成功能；演示上网输入地址的自动完成功能。讲解其优点与缺点。(2) 演示取消自动完成设置的方法。(3) 学生上机完成取消自动完成设置。(4) 安排学生阅读教材P138中“（2）在Outlook Express邮件管理软件中进行设置，阻止某些广告邮件（垃圾邮件）进入”部分。(5) 学生参照教材中的提示，完成上机操作，教师检查指导。(6) 请同学给大家演示操作过程。对操作过程中存在的问题请同学帮助。 活动评价： 在实践体验活动的6个常规评价指标即“实践主题”、“独立思考”、“信息数量及

10、来源”、“合作精神”、“操作效率”和“操作技能”中，本次活动对“信息数量及来源”不需要进行评价。 本次实践体验活动除了用上述常规性指标进行评价外，还需对这一活动学生操作的完成情况进行评价。表7-5常用客户端软件的安全措施评价表项目评价指标评价常用客户端软件的安全措施设置正常（两项）。（6分）设置部分正常（Outlook Express）。（5分）设置部分正常（IE）。（3分）需努力（2分）教材7.3节 网络文明道德（一）教学要求 了解网络文明道德、降低因特网的负面影响。（二）教学设计建议本节内容较少，但是比较重要。可以安排学生先阅读教材，重点就如何提高自身对不良信息的抵抗力和免疫力请同学进行一

11、些讨论。更为重要的是，教师要有意识地把网络道德规范渗透在日常的教学活动中，对平时教学中发现的问题及时地进行指导。六、知识、技能拓展1、防火墙防火墙的英文名为“firewall”，它是目前一种最重要的网络防护设备。它在网络中经常用图7-6所示的两种图标来表示。左边那个图标很形象，像一堵墙。而右边那个图标则是用一个二极管图标，形象地表示防火墙的过滤机制，形象地说明了防火墙具有单向导通性。它粗看起来与现在防火墙过滤机制有些矛盾，不过它却完全体现了防火墙初期的设计思想，同时也在相当大程度上体现了当前防火墙的过滤机制。因为防火最初的设计思想是对内部网络总是信任的，而对外部网络却总是不信任的，所以最初的防

12、火墙是只对外部进来的通信进行过滤，而对内部网络用户发出的通信不作限制。当然目前的防火墙在过滤机制上有所改变，不仅对外部网络发出的通信连接要进行过滤，对内部网络用户发出的部分连接请求和数据包同样需要过滤，防火墙仍只对符合安全策略的信息予以通过。图7-6防火墙的本义是指古代使用木制结构房屋构筑，为防止火灾的蔓延，人们在房屋周围用泥石砌起高墙作为屏障，这种防护构筑物就被称之为“防火墙”。对于防火墙的概念，目前还没有一个准确、标准的定义。通常人们认为：防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合。它具有以下三个方面的基本特性：内部网络和外部网络之间的所有网络数据流都必须经过防火

13、墙只有符合安全策略的数据流才能通过防火墙防火墙自身应具有非常强的抗攻击免疫力目前市场的防火墙产品非常之多，划分的标准也比较杂。在此我们对主流的分类标准进行介绍。（1） 从防火墙的构成材质来分如果从实现防火墙机制的材质来分的话，防火墙可以分为软件防火墙和硬件防火墙。最初的防火墙与我们平时所看见的集线器、交换机一样，都属于硬件产品。如图7-7所示的是3Com公司的一款3Com SuperStack 3防火墙。它在外观上与平常我们所见到的集线器和交换机类似，只是只有少数几个接口，分别用于连接内、外部网络。图7-7随着防火墙应用的逐步普及和计算机软件技术的发展，为了满足不同层次用户对防火墙技术的需求，

14、许多网络安全软件厂商开发出了基于纯软件的防火墙，俗称“个人防火墙”。之所以说它是“个人防火墙”，那是因为它是安装在主机中，只对一台主机进行防护，而不是对整个网络。（2）从防火墙所用的技术来分防火墙的防护和过滤技术虽然有许多种，但总体来讲仍可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和Cisco公司的PIX防火墙为代表，后者以美国NAI公司的Gauntlet防火墙为代表。 1). 包过滤(packet filtering)型包过滤型防火墙工作在开放系统互连参考模型（OSI）的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通

15、过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能在很大程度上满足绝大多数企业安全要求。包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规

16、则数目的增加，性能会受到很大影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”黑客软件的攻击。对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和网关配合使用，共同组成防火墙系统。2). 应用代理(application proxy)型应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全阻隔了网络信息流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层信息流的作用。其典型网络结构

17、如图7-8所示。图7-8代理型防火墙的最突出的优点就是安全。由于它工作于最高层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。另外代理型防火墙采取是一种代理机制，它可以为每一种应用服务建立一个专门的代理，所以内外部网络之间的通信不是直接的，都需先经过代理服务器审核，通过后再由代理服务器代为连接，根本没有给内、外部网络计算机任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。包过滤类型的防火墙是很难彻底避免这一漏洞的。就像你要向一个陌生人物递交一份声明一样，如果你先将这份声明交给你的律师，然后律师就会审查你的声明，确认没有什

18、么负面的影响后才由他交给那个陌生人。在此期间，陌生人对你的存在一无所知，因为他仅与你的律师进行交接。如果要对你进行侵犯，他直接面对的将是你的律师，而你的律师当然比你更加清楚该如何对付这种人。有优点就有缺点，任何事物都一样。代理防火墙的最大缺点就是速度相对比较慢，当用户对内外部网络网关的吞吐量要求比较高时，代理防火墙就会成为内外部网络之间的瓶颈。因为防火墙需要为不同的网络服务建立专门的代理服务，在自己的代理程序为内、外部网络用户建立连接时需要时间，所以给系统性能带来了一些负面影响，但通常不会很明显。防火墙的功能主要体现在如下几个方面：包过滤 审计和报警机制 NAT(Network Address

19、 Translation，网络地址转换) Proxy(代理) 流量控制(带宽管理)和统计分析、流量计费 VPN(虚拟专用网) URL级信息过滤 其他特殊功能 除了以上介绍的几个方面的主要功能外，有的防火墙还具有一些特殊功能，这些特殊功能纯粹是为了迎合特殊客户的需要或者为赢得卖点而设计的。如特定的用户权限配置(包括：使用时间、邮件发送权限、文件传输权限、使用的主机、允许进行的互联网应用等)，这些依需求不同而定。有的防火墙还加入了病毒扫描功能。 ( 选摘自网络学堂之二十二：走进防火墙 王达 天极硬件频道 2.电子签名法十届全国人大常委会第十一次会议2004年8月日表决通过了电子签名法。这标志着我国

20、首部“真正意义上的信息化法律”已正式诞生。电子签名法共五章条，分为总则、数据电文、电子签名与认证、法律责任、附则。这部法律将于年月日起施行。这部法律在总则中指出，制定这部法律主要是为了规范电子签名行为，确立电子签名的法律效力，维护有关各方的合法权益。法律规定，可靠的电子签名与手写签名或者盖章具有同等的法律效力。专家认为，这部法律将对我国电子商务、电子政务的发展起到极其重要的促进作用。3.浙江省建立数字认证中心电子签名是保障电子交易安全的重要手段。但用什么样的签名才是合法的、有效的？由谁来判别签名的有效性？认证机构的建立再度成为焦点，因为它是电子签名的核心执行机构和安全保障机构。据了解，浙江省政

21、府由信息产业厅专门成立了浙江省数字认证中心，负责全省各类企业、机构和个人的数字证书发放和认证。基于公（共密）钥基础设施结构（Public Key Infrastructure，简记为PKI）技术的CA的身份认证，为电子签名法的实施提供了技术实现手段。因为CA的身份认证可以确保网上行为的保密性、完整性、真实性和不可否认性；电子签名法为CA及PKI技术的应用提供了法律依据与保障。可信的、中立的第三方认证机构，是为了确保网络活动的身份真实性、信息的保密性、数据的完整性及交易的不可抵赖性而建立的，数字认证机构非常类似于工商局、公安局在传统社会中所担负的部分角色，数字证书由数字认证中心发放，其功能类似于

22、现实生活中的身份证，数字证书是网络实体的唯一标识。浙江CA中心提供的数字证书可用于网上购物、企业与企业的电子贸易、网上合同的签订、安全电子邮件、网上证券交易、网上银行等电子商务活动中加密信息以及进行数字签名。目前，我省已率先在全省企业中推广数字证书及与网上身份认证、电子签章等应用相关的电子商务与电子政务应用。电子签名法的实施，为这项全省性的信息化基础工程提供法律依据。注：认证中心、证书授权、证书管理机构（Certification Authority,简称为CA）。七、评价建议评价计分方法参考第一章。学生本课程总分计算方法建议如下：根据各章内容在全课程的知识、技能考核中所占的重要性地位不同，为

23、各章设置一个权值，设各章的权值分别为：k1，k2，k3，k4，k5，k6，k7。若一个学生各章成绩为：n1，n2，n3，n4，n5，n6，n7则该同学本门课程的总得分计算公式为：学生课程总成绩n1k1n2k2n3k3n4k4n5k5n6k6n7k7 k1k2k3k4k5k6k7 八、参考书目及网站 普通高中技术课程标准（实验）国家教育部制定 人民教育出版社 2003年4月 Internet 协议概念与实践 施威铭研究室 著 清华大学出版社 2001年10月 信息技术课程与教学论 王吉庆 主编 浙江教育出版社 2003年8月 网络安全Cisco解决方案(美)梅森（Mason,A.G.）著 詹文军

24、等译 电子工业出版社 2002年1月计算机网络（美）帕特森（Larry L.Peterson），戴夫（Bruce S.Davie） 著 叶新铭等译 机械工业出版社 2001年6月 电子签名：网上通行有了身份证 钱江晚报2004年9月2日 中华人民共和国电子签名法（2004年8月28日第十届全国人民代表大会常务委员会第十一次会议通过） 九、练习题分析 1、详见教材P132。教参图7-2。2、详见教材P132。教参图7-3。3、常用的网络安全技术包括：病毒防治、防火墙、加密、数字签名和数字认证等。4、学生可以通过搜索引擎搜索关键词来查找相应的网站，也可以直接推荐学生打开中国工商银行个人网上银行（ /icbc/perbank/index.jsp）查看。