網(wǎng)絡安全設計論文范文

前言：我們精心挑選了數(shù)篇優(yōu)質(zhì)網(wǎng)絡安全設計論文文章，供您閱讀參考。期待這些文章能為您帶來啟發(fā)，助您在寫作的道路上更上一層樓。

第1篇

一、消防信息化建設的主要內(nèi)容

1．1消防信息化的范疇

消防信息化是利用先進可靠、實用有效的現(xiàn)代計算機、網(wǎng)絡及通信技術對消防信息進行采集、儲存、處理、分析和挖掘，以實現(xiàn)消防信息資源和基礎設施高程度、高效率、高效益的共享與共用的過程。

消防信息化建設的范疇包括通信網(wǎng)絡基礎設施建設、信息系統(tǒng)建設及應用、安全保障體系建設、運行管理體系建設和標準規(guī)范體系建設等內(nèi)容。

1．2通信網(wǎng)絡基礎設施建設

全國消防通信網(wǎng)絡從邏輯上分為三級：一級網(wǎng)是從部消防局到各省(區(qū)、市)消防總隊以及相關的消防科研機構和消防院校；二級網(wǎng)是各省(區(qū)、市)消防總隊到市(地、州)消防支隊；三級網(wǎng)是各市(地、州)消防支隊到基層消防大隊及中隊。對北京、上海、天津、重慶等直轄市，二級網(wǎng)和三級網(wǎng)可合并考慮。每一級網(wǎng)絡所在機關均應建設本級局域網(wǎng)。

1．3安全保障體系建設

安全保障體系是實現(xiàn)公安消防機構信息共享、快速反應和高效運行的重要保證。安全保障體系首先應保證網(wǎng)絡的安全、可靠運行，在此基礎上保證應用系統(tǒng)和業(yè)務的保密性、完整性和高度的可用性，同時為將來的應用提供可擴展的空間。安全保障體系建設的基本要求是：

(1)保障網(wǎng)絡安全、可靠、持續(xù)運行，能夠防止來自外部的惡意攻擊和內(nèi)部的惡意破壞；

(2)保障信息的完整性、機密性和信息訪問的不可否認性，要求采取必要的信息加密、信息訪問控制、訪問權限認證等措施；

(3)提供容災、容錯等風險保障；

(4)在確保安全的條件下盡量為網(wǎng)絡應用提供方便，實行全網(wǎng)統(tǒng)一的身份認證和基于角色的訪問控制；

(5)建立完備的安全管理制度。

二、消防信息化建設中面臨的網(wǎng)絡安全問題

2．1計算機網(wǎng)絡安全的定義

從狹義的保護角度來看，計算機網(wǎng)絡安全是指計算機及其網(wǎng)絡系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害；從其本質(zhì)上來講就是系統(tǒng)上的信息安全。

從廣義來說，凡是涉及到計算機網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是計算機網(wǎng)絡安全的研究領域。

2．2網(wǎng)絡系統(tǒng)的脆弱性

2．2．1操作系統(tǒng)安全的脆弱性

操作系統(tǒng)不安全，是計算機不安全的根本原因。主要表現(xiàn)在：

(1)操作系統(tǒng)結構體制本身的缺陷；

(2)操作系統(tǒng)支持在網(wǎng)絡上傳輸文件、加載與安裝程序，包括可執(zhí)行文件；

(3)操作系統(tǒng)不安全的原因還在于創(chuàng)建進程，甚至可以在網(wǎng)絡的結點上進行遠程的創(chuàng)建和激活；

(4)操作系統(tǒng)提供網(wǎng)絡文件系統(tǒng)(NFS)服務，NFS系統(tǒng)是一個基于RPC的網(wǎng)絡文件系統(tǒng)，如果NFS設置存在重大問題，則幾乎等于將系統(tǒng)管理權拱手交出；

(5)操作系統(tǒng)安排的無口令人口，是為系統(tǒng)開發(fā)人員提供的邊界入口，但這些入口也可能被黑客利用；

(6)操作系統(tǒng)還有隱蔽的信道，存在潛在的危險。

2．2．2網(wǎng)絡安全的脆弱性

由于Internet／Intmnet的出現(xiàn)，網(wǎng)絡安全問題更加嚴重?？梢哉f，使用TCP／IP協(xié)議的網(wǎng)絡所提供的FTP、E-Mail、RPC和NFS都包含許多不安全的因素，存在許多漏洞。

同時，網(wǎng)絡的普及使信息共享達到了一個新的層次，信息被暴露的機會大大增多。Intemet網(wǎng)絡就是一個不設防的開放大系統(tǒng)，誰都可以通過未受保護的外部環(huán)境和線路訪問系統(tǒng)內(nèi)部，隨時可能發(fā)生搭線竊聽、遠程監(jiān)控、攻擊破壞。

2．2．3數(shù)據(jù)庫管理系統(tǒng)安全的脆弱性

當前，大量的信息存儲在各種各樣的數(shù)據(jù)庫中，而這些數(shù)據(jù)庫系統(tǒng)在安全方面的考慮卻很少。而且，數(shù)據(jù)庫管理系統(tǒng)安全必須與操作系統(tǒng)的安全相配套。

2．2．4防火墻的局限性

盡管利用防火墻可以保護安全網(wǎng)免受外部黑客的攻擊，但它只能提高網(wǎng)絡的安全性，不可能保證網(wǎng)絡絕對安全。

2．3基于消防通信網(wǎng)絡進行入侵的常用手段分析

由于消防工作的社會性，消防信息化建設很重要的一方面就是利用信息化手段強化為社會服務的功能，積極通過網(wǎng)絡媒體為社會提供各類消防信息，如消防法律法規(guī)、消防知識等，促進消防工作社會化；在網(wǎng)上受理消防業(yè)務，公布依法行政的有關信息，為社會提供服務，增強群眾對消防工作的滿意度。在利用網(wǎng)絡提高工作效率和簡化日常工作流程的同時，也面臨許多信息安全方面的問題，主要表現(xiàn)在：

2．3．1內(nèi)部資料被竊取

現(xiàn)在消防機關上傳下達的各種資料基本上都要先經(jīng)過電腦錄入并打印后再送發(fā)出去，電腦內(nèi)一般都留有電子版的備份，若此電腦直接接入局域網(wǎng)或Intemet，就有可能受到來自內(nèi)部或外部人員的威脅，其主要方式有：

(1)利用系統(tǒng)漏洞入侵，瀏覽、拷貝甚至刪除重要文件。前段時間在安全界流行一個名為DCOMRPC的漏洞，其涉及范圍非常之廣，從WindowsNT4．0、Windows2000、WindowsXP到WindowsServer2003。由于MicrosoftRPC的DCOM(分布式組件對象模塊)接口存在緩沖區(qū)溢出缺陷，如果攻擊者成功利用了該漏洞，將會獲得本地系統(tǒng)權限，并可以在系統(tǒng)上運行任何命令，如安裝程序，查看或更改、刪除數(shù)據(jù)或是建立系統(tǒng)管理員權限的帳戶等。目前關于該漏洞的攻擊代碼已經(jīng)涉及到的相應操作系統(tǒng)和版本已有48種之多，其危害性可見一斑；

(2)電腦操作人員安全意識差，系統(tǒng)配置疏忽大意，隨意共享目錄；系統(tǒng)用戶使用空口令，或將系統(tǒng)帳號隨意轉借他人，都會導致重要內(nèi)容被非法訪問，甚至丟失系統(tǒng)控制權。

2．3．2Web服務被非法利用

據(jù)統(tǒng)計，目前全國各級公安消防部門在因特網(wǎng)上已建立近100個網(wǎng)站，提供消防法規(guī)、危險物品基礎數(shù)據(jù)、產(chǎn)品質(zhì)量信息、消防技術標準等重要信息，部分支隊還對轄區(qū)內(nèi)重點單位開辟網(wǎng)上受理業(yè)務服務，極大地提高了工作效率，但基于網(wǎng)頁的入侵及欺詐行為也在威脅著網(wǎng)站數(shù)據(jù)的安全性及可信性。其主要表現(xiàn)在：

(1)Web頁面欺詐

許多提供各種法律法規(guī)及相關專業(yè)數(shù)據(jù)查詢的站點都提供了會員服務，這些會員一般需要繳納一定的費用才能正式注冊成為會員，站點允許通過信用卡在線付費的形式注冊會員。攻擊者可以通過一種被稱為Man-In-the-Middle的方式得到會員注冊中的敏感信息。

攻擊者可通過攻擊站點的外部路由器，使進出方的所有流量都經(jīng)過他。在此過程中，攻擊者扮演了一個人的角色，在通信的受害方和接收方之間傳遞信息。人是位于正在同心的兩臺計算機之間的一個系統(tǒng)，而且在大多數(shù)情況下，它能在每個系統(tǒng)之間建立單獨的連接。在此過程中，攻擊者記錄下用戶和服務器之間通信的所有流量，從中挑選自己感興趣的或有價值的信息，對用戶造成威脅。

(2)CGI欺騙

CGI(CommonGatewayInterface)即通用網(wǎng)關接口，許多Web頁面允許用戶輸入信息，進行一定程度的交互。還有一些搜索引擎允許用戶查找特定信息的站點，這些一般都通過執(zhí)行CGI程序來完成。一些配置不當或本身存在漏洞的CGI程序，能被攻擊者利用并執(zhí)行一些系統(tǒng)命令，如創(chuàng)建具有管理員權限的用戶，開啟共享、系統(tǒng)服務，上傳并運行木馬等。在奪取系統(tǒng)管理權限后，攻擊者還可在系統(tǒng)內(nèi)安裝嗅探器，記錄用戶敏感數(shù)據(jù)，或隨意更改頁面內(nèi)容，對站點信息的真實性及可信性造成威脅。

(3)錯誤和疏漏

Web管理員、Web設計者、頁面制作人員、Web操作員以及編程人員有時會無意中犯一些錯誤，導致一些安全問題，使得站點的穩(wěn)定性下降、查詢效率降低，嚴重的可導致系統(tǒng)崩潰、頁面被篡改、降低站點的可信度。

2．3．3網(wǎng)絡服務的潛在安全隱患

一切網(wǎng)絡功能的實現(xiàn)，都基于相應的網(wǎng)絡服務才能實現(xiàn)，如IIS服務、FTP服務、E-Mail服務等。但這些有著強大功能的服務，在一些有針對性的攻擊面前，也顯得十分脆弱。以下列舉幾種常見的攻擊手段。

(1)分布式拒絕服務攻擊

攻擊者向系統(tǒng)或網(wǎng)絡發(fā)送大量信息，使系統(tǒng)或網(wǎng)絡不能響應。對任何連接到Intemet上并提供基于TCP的網(wǎng)絡服務(如Web服務器、FrP服務器或郵件服務器)的系統(tǒng)都有可能成為被攻擊的目標。大多數(shù)情況下，遭受攻擊的服務很難接收進新的連接，系統(tǒng)可能會因此而耗盡內(nèi)存、死機或產(chǎn)生其他問題。

(2)口令攻擊

基于網(wǎng)絡的辦公過程中不免會有利用共享、FTP或網(wǎng)頁形式來傳送一些敏感文件，這些形式都可以通過設置密碼的方式來提高文件的安全性，但多數(shù)八會使用一些諸如123、work、happy等基本數(shù)字或單詞作為密碼，或是用自己的生日、姓名作為口令，由于人們主觀方面的原因，使得這些密碼形同虛設，攻擊者可通過詞典、組合或暴力破解等手段得到用戶密碼，從而達到訪問敏感信息的目的。

(3)路由攻擊

攻擊者可通過攻擊路由器，更改路由設置，使得路由器不能正常轉發(fā)用戶請求，從而使得用戶無法訪問外網(wǎng)。或向路由器發(fā)送一些經(jīng)過精心修改的數(shù)據(jù)包使得路由器停止響應，斷開網(wǎng)絡連接。

三、消防信息化建設中解決網(wǎng)絡安全問題的對策

3．1規(guī)范管理流程

網(wǎng)絡安全工作是信息化工作中的一個方面，信息化工作與規(guī)范化工作的根本目的一樣，就是要提高工作效率，只不過改變了規(guī)范化的手段。因此，在實行信息化的過程中，管理有著比技術更重要的作用，只有優(yōu)化管理過程、強化管理基礎、細化管理流程、簡化管理冗余環(huán)節(jié)、提高管理效率，才能在達到信息化目的的同時，完善網(wǎng)絡安全建設。

3．2構建管理支持層

信息化是一項系統(tǒng)性工程，其實施自始至終需要單位最高層領導的重視和支持，包括對工作流程再造的支持、對協(xié)調(diào)各部門統(tǒng)一開展工作的支持、對軟件普及和培訓的支持。在實際工作中，應當建一個“信息化建設領導小組”，由各部門部長擔任成員，下設具體辦事部門，具體負責網(wǎng)絡建設和信息安全工作，這是一種較理想的做法。但要真正發(fā)揮其作用，促使信息工作的順利開展，不僅需要領導的重視，更重要的是需要負責人有能力充分協(xié)調(diào)與溝通各業(yè)務部門開展工作，更要與其他部門負責人有良好的協(xié)調(diào)配合關系。

3．3制定網(wǎng)絡安全管理制度

加強計算機網(wǎng)絡安全管理的法規(guī)建設，建立、健全各項管理制度是確保計算機網(wǎng)絡安全必不可少的措施。如制定人員管理制度，加強人員審查；組織管理上，避免單獨作業(yè)，操作與設計分離等。

3．4采取有效的安全技術措施

就當前消防信息化建設的程度來看，網(wǎng)絡的應用主要體現(xiàn)在局域網(wǎng)服務、Web服務和數(shù)據(jù)庫服務上。應當避免與Internet連接直接接入，而是配置一臺安全的服務器，整個局域網(wǎng)通過這個上網(wǎng)，這樣上網(wǎng)的終端在Internet上是沒有真實IP的，能避免大多數(shù)的常規(guī)攻擊。對基于Web服務的網(wǎng)上辦公、電子政務，應當安裝經(jīng)公安部安全認證的網(wǎng)絡防火墻，由專人負責，盡量少開無用的服務，對系統(tǒng)用戶的數(shù)量和權限做嚴格限制，并可采用授權證書訪問或IP限制訪問，增強站點的安全性。在數(shù)據(jù)庫方面，現(xiàn)消防部門主要應用Microsoft的Access，此數(shù)據(jù)庫的網(wǎng)絡功能主要基于ASP、PHP等動態(tài)網(wǎng)頁平臺來實現(xiàn)，通過SQL查詢語句與頁面進行交互，在保證系統(tǒng)不被侵入、數(shù)據(jù)庫不能被直接下載的前提下，數(shù)據(jù)安全主要由頁面查詢語句的嚴密性來保證。除Access之外，應用較多的是Microsoft的SQLServer和Oracle，這兩套數(shù)據(jù)庫系統(tǒng)的網(wǎng)絡功能很強大，其安全性首先需要一個專業(yè)的數(shù)據(jù)庫操作員，對數(shù)據(jù)庫進行正確的配置、限制數(shù)據(jù)庫用戶的數(shù)量、根據(jù)用戶的職責范圍設定權限、對敏感數(shù)據(jù)進行加密、定時備份數(shù)據(jù)庫，保證數(shù)據(jù)的連續(xù)性和完整性。

第2篇

目前，許多學校的校園網(wǎng)都以WINDOWSNT做為系統(tǒng)平臺，由IIS（InternetInformationServer）提供WEB等等服務。下面本人結合自己對WINDOWSNT網(wǎng)絡管理的一點經(jīng)驗與體會，就技術方面談談自己對校園網(wǎng)安全的一些看法。

一、密碼的安全

眾所周知，用密碼保護系統(tǒng)和數(shù)據(jù)的安全是最經(jīng)常采用也是最初采用的方法之一。目前發(fā)現(xiàn)的大多數(shù)安全問題，是由于密碼管理不嚴，使"入侵者"得以趁虛而入。因此密碼口令的有效管理是非?；镜模彩欠浅Ｖ匾?。

在密碼的設置安全上，首先絕對杜絕不設口令的帳號存在，尤其是超級用戶帳號。一些網(wǎng)絡管理人員，為了圖方便，認為服務服務器只由自己一個人管理使用，常常對系統(tǒng)不設置密碼。這樣，"入侵者"就能通過網(wǎng)絡輕而易舉的進入系統(tǒng)。筆者曾經(jīng)就發(fā)現(xiàn)并進入多個這樣的系統(tǒng)。另外，對于系統(tǒng)的一些權限，如果設置不當，對用戶不進行密碼驗證，也可能為"入侵者"留下后門。比如，對WEB網(wǎng)頁的修改權限設置，在WINDOWSNT4.0+IIS4.0版系統(tǒng)中，就常常將網(wǎng)站的修改權限設定為任何用戶都能修改（可能是IIS默認安裝造成的），這樣，任何一個用戶，通過互聯(lián)網(wǎng)連上站點后，都可以對主頁進行修改刪除等操作。

其次，在密碼口令的設置上要避免使用弱密碼，就是容易被人猜出字符作為密碼。筆者就猜過幾個這樣的站點，他們的共同特點就是利用自己名字的縮寫或6位相同的數(shù)字進行密碼設置。

密碼的長度也是設置者所要考慮的一個問題。在WINDOWSNT系統(tǒng)中，有一個sam文件，它是windowsNT的用戶帳戶數(shù)據(jù)庫，所有NT用戶的登錄名及口令等相關信息都會保存在這個文件中。如果"入侵者"通過系統(tǒng)或網(wǎng)絡的漏洞得到了這個文件，就能通過一定的程序（如L0phtCrack）對它進行解碼分析。在用L0phtCrack破解時，如果使用"暴力破解"方式對所有字符組合進行破解，那么對于5位以下的密碼它最多只要用十幾分鐘就完成，對于6位字符的密碼它也只要用十幾小時，但是對于7位或以上它至少耗時一個月左右，所以說，在密碼設置時一定要有足夠的長度?？傊诿艽a設置上，最好使用一個不常見、有一定長度的但是你又容易記得的密碼。另外，適當?shù)慕徊媸褂么笮懽帜敢彩窃黾颖黄平怆y度的好辦法。

二、系統(tǒng)的安全

最近流行于網(wǎng)絡上的"紅色代碼"、"藍色代碼"及"尼姆達"病毒都利用系統(tǒng)的漏洞進行傳播。從目前來看，各種系統(tǒng)或多或少都存在著各種的漏洞，系統(tǒng)漏洞的存在就成網(wǎng)絡安全的首要問題，發(fā)現(xiàn)并及時修補漏洞是每個網(wǎng)絡管理人員主要任務。當然，從系統(tǒng)中找到發(fā)現(xiàn)漏洞不是我們一般網(wǎng)絡管理人員所能做的，但是及早地發(fā)現(xiàn)有報告的漏洞，并進行升級補丁卻是我們應該做的。而發(fā)現(xiàn)有報告的漏洞最常用的方法，就是經(jīng)常登錄各有關網(wǎng)絡安全網(wǎng)站，對于我們有使用的軟件和服務，應該密切關注其程序的最新版本和安全信息，一旦發(fā)現(xiàn)與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。比如上面提及引起"紅色代碼"、"藍色代碼"及"尼姆達"病毒的傳播流行的Unicode解碼漏洞，早在去年的10月就被發(fā)現(xiàn)，且沒隔多久就有了解決方案和補丁，但是許多的網(wǎng)絡管理員并沒有知道及時的發(fā)現(xiàn)和補丁，以至于過了將近一年，還能掃描到許多機器存在該漏洞。

在校園網(wǎng)中服務器，為用戶提供著各種的服務，但是服務提供的越多，系統(tǒng)就存在更多的漏洞，也就有更多的危險。因些從安全角度考慮，應將不必要的服務關閉，只向公眾提供了他們所需的基本的服務。最典型的是，我們在校園網(wǎng)服務器中對公眾通常只提供WEB服務功能，而沒有必要向公眾提供FTP功能，這樣，在服務器的服務配置中，我們只開放WEB服務，而將FTP服務禁止。如果要開放FTP功能，就一定只能向可能信賴的用戶開放，因為通過FTP用戶可以上傳文件內(nèi)容，如果用戶目錄又給了可執(zhí)行權限，那么，通過運行上傳某些程序，就可能使服務器受到攻擊。所以，信賴了來自不可信賴數(shù)據(jù)源的數(shù)據(jù)也是造成網(wǎng)絡不安全的一個因素。

在WINDOWSNT使用的IIS，是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而微軟的IIS默認安裝又實在不敢恭維，為了加大安全性，在安裝配置時可以注意以下幾個方面：

首先，不要將IIS安裝在默認目錄里（默認目錄為C:\Inetpub），可以在其它邏輯盤中重新建一個目錄，并在IIS管理器中將主目錄指向新建的目錄。

其次，IIS在安裝后，會在目錄中產(chǎn)生如scripts等默認虛擬目錄，而該目錄有執(zhí)行程序的權限，這對系統(tǒng)的安全影響較大，許多漏洞的利用都是通過它進行的。因此，在安裝后，應將所有不用的虛擬目錄都刪除掉。

第三，在安裝IIS后，要對應用程序進行配置，在IIS管理器中刪除必須之外的任何無用映射，只保留確實需要用到的文件類型。對于各目錄的權限設置一定要慎重，盡量不要給可執(zhí)行權限。

三、目錄共享的安全

在校園網(wǎng)絡中，利用在對等網(wǎng)中對計算機中的某個目錄設置共享進行資料的傳輸與共享是人們常采用的一個方法。但在設置過程中，要充分認識到當一個目錄共享后，就不光是校園網(wǎng)內(nèi)的用戶可以訪問到，而是連在網(wǎng)絡上的各臺計算機都能對它進行訪問。這也成了數(shù)據(jù)資料安全的一個隱患。筆者曾搜索過外地機器的一個C類IP網(wǎng)段，發(fā)現(xiàn)共享的機器就有十幾臺，而且許多機器是將整個C盤、D盤進行共享，并且在共享時將屬性設置為完全共享，且不進行密碼保護，這樣只要將其映射成一個網(wǎng)絡硬盤，就能對上面的資料、文檔進行查看、修改、刪除。所以，為了防止資料的外泄，在設置共享時一定要設定訪問密碼。只有這樣，才能保證共享目錄資料的安全。

四、木馬的防范

相信木馬對于大多數(shù)人來說不算陌生。它是一種遠程控制工具，以簡便、易行、有效而深受廣大黑客青睞。一臺電腦一旦中上木馬，它就變成了一臺傀儡機，對方可以在你的電腦上上傳下載文件，偷窺你的私人文件，偷取你的各種密碼及口令信息……中了木馬你的一切秘密都將暴露在別人面前，隱私？不復存在！木馬，應該說是網(wǎng)絡安全的大敵。并且在進行的各種入侵攻擊行為中，木馬都起到了開路先鋒的作用。

木馬感染通常是執(zhí)行了一些帶毒的程序，而駐留在你的計算機當中，在以后的計算機啟動后，木馬就在機器中打開一個服務，通過這個服務將你計算機的信息、資料向外傳遞，在各種木馬中，較常見的是"冰河"，筆者也曾用冰河掃描過網(wǎng)絡上的計算機。發(fā)現(xiàn)每個C類IP網(wǎng)段中（個人用戶），偶爾都會發(fā)現(xiàn)一、二個感染冰河的機器。由此可見，個人用戶中感染木馬的可能性還是比較高的。如果是服務器感染了木馬，危害更是可怕。

第3篇

1實踐教學內(nèi)容總體教學設計

網(wǎng)絡安全協(xié)議這門課程涉及的重要知識點包括：網(wǎng)絡安全協(xié)議的基本概念、TCP/IP協(xié)議簇的安全隱患、在不同協(xié)議層次上的安全協(xié)議的原理和實現(xiàn)、不同層次安全協(xié)議之間的比較、無線網(wǎng)絡安全協(xié)議的原理和實現(xiàn)、安全協(xié)議的形式化分析基本方法等。網(wǎng)絡安全協(xié)議無論從教學設計、驗證，還是如何有效地應用來看都非常復雜。即使所采用的密碼算法很強大，協(xié)議依然有可能受到攻擊。網(wǎng)絡上的重放攻擊、中間人攻擊能夠繞過對密碼算法的攻擊，非常難以防范，此外，攻擊者還有可能利用安全協(xié)議的消息格式進行“類型缺陷（typeflaw）”攻擊。由于網(wǎng)絡安全協(xié)議的復雜性，在實際教學過程中，若只是由老師空洞的進行講解，大多數(shù)學生往往很難跟上講課的進度，進而失去對此門課程的興趣。目前常用的網(wǎng)絡安全協(xié)議包括PPTP/L2TP、IPSec、SSL/TSL、HTTPS、SSH、SNMPv3、S/MIME、、PGP、Kerberos、PKI、無線網(wǎng)安全協(xié)議（IEEE802.11i,WTLS）等。讓學生通過實踐教學活動，理解并掌握安全協(xié)議的理論及應用，并在實踐中增強自身的動手能力、創(chuàng)新能力是本課程的主要教學目標。本課程的實踐教學將教學內(nèi)容劃分為4個階段，認知階段、體驗階段、應用階段及總結提高階段。通過這4個階段，使學生由表及里、由淺入深、由學到用、由用到創(chuàng)，全面掌握各主要協(xié)議的原理、應用及教學設計；同時，通過對4個階段的劃分，更好地滿足不同層次學生的需求，使學生學得更深、更透，用的更順、更廣，其創(chuàng)新思路也更易被激發(fā)和實現(xiàn)。

2SSL協(xié)議的實踐教學實施

2.1認知階段

本階段的實踐教學內(nèi)容是通過利用Wireshark抓包分析工具軟件，獲取SSL/TSL協(xié)議通信流量，直觀地觀看SSL/TSL協(xié)議的結構、分析SSL/TSL協(xié)議的建立過程。在訪問222.249.130.131時，采用Wireshark抓取的部分通信流量，如圖1所示。第7~9條消息，完成TCP的連接?？蛻舳耸紫仍谀扯丝谙蚍掌鞫说?43端口發(fā)出連接請求，完成三次握手。第10~12條消息，客戶端首先發(fā)送Client-Hello等消息，請求建立SSL/TSL會話連接；然后，服務器端發(fā)送Server-Hello、證書等消息；接著客戶端發(fā)送ClientKeyExchange、ChangeCipherSpec等消息。第13~15條消息，服務器端發(fā)出的響應和ChangeCipherSpec消息，以及客戶端發(fā)出應答響應消息。至此表明連接已準備好，可以進行應用數(shù)據(jù)的傳輸。第16條消息是由客戶端發(fā)出的與另外一個服務器端的連接請求消息，與所討論內(nèi)容無關。這種情形，在抓包分析時，經(jīng)常會遇到，不必受此干擾。第17~18條消息，客戶端和服務器端分別關閉連接。以后再進行SSL/TSL連接時，不必產(chǎn)生新的會話ID，也不必交換證書、預主密鑰、密碼規(guī)格（cipher-spec）等會話參數(shù)。每一條消息都可以進一步打開，觀看更細節(jié)的內(nèi)容。ClientHello消息的內(nèi)容是對相應的二進制的內(nèi)容的一個分析解釋，如圖2所示。其他消息的格式和內(nèi)容也都可以清晰地呈現(xiàn)，在此不一一列舉。通過對SSL/TSL流量的抓取分析，可以很直觀地讓學生掌握如下知識點：（1）SSL/TLS協(xié)議是建立在TCP連接之上的安全協(xié)議。（2）SSL/TSL連接和會話的概念，以及連接和會話的建立過程。（3）握手協(xié)議的執(zhí)行過程，各消息的先后次序，及消息的格式和內(nèi)容。（4）重要的消息參數(shù)及其作用，如sessionID、數(shù)字證書、加密組件（Ciphersuite）、加密預主密鑰（Premaster）等。需要說明的是，上述內(nèi)容沒有涉及客戶端發(fā)送的證書消息，只能通過證書完成客戶端對服務器的認證，沒有服務器對客戶端的認證。事實上，SSL/TSL是可以通過數(shù)字證書進行雙向認證的。

2.2體驗階段

經(jīng)過認知階段的理論與實踐學習后，需要讓學生了解和掌握SSL協(xié)議應用在哪里？如何應用？可以有效防范哪些安全威脅？本階段的實踐教學內(nèi)容通過配置IIS服務器中的SSL/TSL，為Web服務器和瀏覽器之間建立一個安全的通信通道，使學生學習和掌握SSL在Web的應用中的配置和作用，從而對SSL協(xié)議的應用有一個直接的感受和體驗。學生完成IIS服務器中的SSL/TLS配置，首先需要完成CA的安裝與配置[3]，用于數(shù)字證書的生成、發(fā)放和管理；然后，分別為IISWeb服務器和客戶端申請、安裝證書；最后在服務器上配置SSL，使客戶端與服務器建立SSL/TSL連接，如圖3所示。該階段的實踐教學，除加深學生對SSL/TSL的理解，還使他們學會了如何進行CA服務器的圖3建立https協(xié)議的訪問配置、Web服務器和客戶端的證書的申請，以及CA服務器對證書的頒發(fā)、安裝管理等。

2.3應用階段

通過前2個階段的實驗教學，很好地配合了SSL的理論教學，使學生對SSL/TSL協(xié)議有了更深的認識和體驗。本階段的實驗教學內(nèi)容，將通過利用OpenSSL，實現(xiàn)一個簡單的SSL服務器端和客戶端[4]，使學生具備利用SSL/TLS協(xié)議進行通信的編程能力。OpenSSL是一個開放源代碼的SSL協(xié)議實現(xiàn)，具有一個強大的支撐函數(shù)庫，主要包括三大部分，密碼算法庫、SSL協(xié)議庫和OpenSSL應用程序。OpenSSL提供了一系列的封裝函數(shù)，可以方便實現(xiàn)服務器和客戶端的SSL通信。該階段的工作量較大，通常在教師指導下，由學生分組自行完成。（1）OpenSSL的編譯安裝。這一步驟涉及下載和安裝多個軟件，版本也各不相同。包括不同版本的Openssl、Perl、VC++等。一般建議學生采用自己熟悉的系統(tǒng)和開發(fā)平臺，安裝新版的OpenSSL。（2）VC++編譯環(huán)境的設置。目前的參考資料大都基于VC++6.0，我們采用的是VisualC++2010開發(fā)環(huán)境。網(wǎng)上有許多現(xiàn)成的源代碼，但一般很難編譯、調(diào)試或執(zhí)行通過。我們建議學生可以參考已有的源代碼，但一定要通過自己的編譯、調(diào)試、改正，得到滿意的運行結果。（3）生成服務器和客戶端數(shù)字證書。SSL可以通過數(shù)字證書實現(xiàn)服務器和客戶端之間的雙向或單向認證。我們建議學生利用OpenSSL的證書生成命令行工具，自行完成一遍。這一步驟若出現(xiàn)問題，將直接影響以后程序的順利執(zhí)行。（4）SSL/TLS編程。首先建議學生采用OpenSSL的BIO連接庫，建立一個簡單的服務器和客戶端，僅能完成簡單的TCP握手連接和通訊；然后，再加入SSL握手功能，實現(xiàn)一個真正意義上的簡單的SSL服務器和客戶端。SSL/TLS客戶端和服務器端程序運行結果，分別如圖4和圖5所示。通過該階段的實驗教學，一方面使學生熟悉如何利用OpenSSL工具編程，實現(xiàn)基于SSL的安全通信；另一方面使學生了解和掌握OpenSSL在安全方面的廣泛應用，最終使學生在畢業(yè)設計和未來工作中，有足夠的能力提出和實現(xiàn)應用安全方面的解決方案。

2.4總結

提高階段通過前3個階段的實踐教學內(nèi)容，再結合課堂上的理論教學，學生對SSL/TSL協(xié)議的原理、實現(xiàn)和應用都有了較深的認識。由于有許多研究和實踐活動受各種條件所限，不可能全部列入教學實踐的內(nèi)容，這個階段的主要任務是讓學生通過他人對SSL/TSL協(xié)議的研究和應用，了解SSL/TSL協(xié)議在實際應用中還存在哪些問題、如何進一步完善，其目的是訓練學生具備通過別人的研究和實踐活動進行高效學習的能力，同時也讓學生了解一個看似成熟的協(xié)議，還存在一系列的問題，這些問題有的是協(xié)議本身存在的，有些是在實際應用中產(chǎn)生的。我們通過提出3方面問題，讓學生去通過查閱相關資料，自己進行總結。①SSL/TSL協(xié)議的存在哪些不足？②將SSL/TSL協(xié)議與應用層和網(wǎng)絡層的安會協(xié)議進行比較，有哪些優(yōu)劣？③通過一個實際的SSL/TSL協(xié)議的應用案例，說明SSL/TSL在實際應用中還存在哪些局限，應如何進行解決？教師可向學生推薦幾篇參考文獻[5-6]同時鼓勵學生自己查詢更多有價值的文獻。在此階段，教師和學生不斷進行交流和討論，對學生提出的問題以及業(yè)內(nèi)新出現(xiàn)的熱點問題，教師要通過不斷的學習和提高給學生一個滿意的答案。例如2014曝出的Heartbleed漏洞，涉及OpenSSL的開源軟件包，而該軟件包被網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等重要網(wǎng)站廣泛使用，所以漏洞影響范圍廣大。學生們對此漏洞非常有興趣，作為教師要盡快查閱有關資料，了解此漏洞的產(chǎn)生的原因、有何危害、如何補救等。此漏洞雖然是OpenSSL的開源軟件包程度存在的問題所導致的，與SSL/TSL協(xié)議本身無關，但是該漏洞的出現(xiàn)，提醒我們即使協(xié)議本身是安全的，在實現(xiàn)協(xié)議的過程中仍可能出現(xiàn)不安全的因素，導致安全漏洞的產(chǎn)生。

3實踐教學效果評價

實踐教學方案的教學設計是否可行和有效，需要在實際教學過程中進行檢驗。該實踐教學方案是在多年教學基礎上不斷總結而教學設計的，并已在2013和2014年度的網(wǎng)絡安全協(xié)議課程的教學中進行了實施。我們根據(jù)學生的反饋、表現(xiàn)以及實際教學效果，對方案的內(nèi)容、難度以及方法也做了相應的調(diào)整。在方案實施過程中，教師要多與學生溝通，對所布置的作業(yè)認真檢查，關注并統(tǒng)計學生是否有興趣、是否努力，學生的技能是否得以改善，學生完成的情況、學生的滿意度等各項指標。從對各項指標的統(tǒng)計來看，大部分學生對該實踐教學方案比較認同，也取得了很好的效果，其中有幾位學生還在畢業(yè)設計中選擇了相關的畢測試。上述文檔將整個測試過程顯性化，實現(xiàn)了對缺陷解決過程的監(jiān)控，有助于學生明確缺陷狀態(tài)，評估所報缺陷的準確性，完善現(xiàn)有圖式，促成自我反思與實踐反饋。測試所涉及的文檔和源碼都將編號歸檔，統(tǒng)一存放于配置管理服務器，歸檔的文檔被凍結，不允許修改。這些文件記錄了缺陷的整個解決過程，為后期分析問題、完善解決方案、改進工作流程、反思教學設計提供了重要依據(jù)。

4結語