前言:我們精心挑選了數篇優質網絡安全設計論文文章,供您閱讀參考。期待這些文章能為您帶來啟發,助您在寫作的道路上更上一層樓。
一、消防信息化建設的主要內容
1.1消防信息化的范疇
消防信息化是利用先進可靠、實用有效的現代計算機、網絡及通信技術對消防信息進行采集、儲存、處理、分析和挖掘,以實現消防信息資源和基礎設施高程度、高效率、高效益的共享與共用的過程。
消防信息化建設的范疇包括通信網絡基礎設施建設、信息系統建設及應用、安全保障體系建設、運行管理體系建設和標準規范體系建設等內容。
1.2通信網絡基礎設施建設
全國消防通信網絡從邏輯上分為三級:一級網是從部消防局到各省(區、市)消防總隊以及相關的消防科研機構和消防院校;二級網是各省(區、市)消防總隊到市(地、州)消防支隊;三級網是各市(地、州)消防支隊到基層消防大隊及中隊。對北京、上海、天津、重慶等直轄市,二級網和三級網可合并考慮。每一級網絡所在機關均應建設本級局域網。
1.3安全保障體系建設
安全保障體系是實現公安消防機構信息共享、快速反應和高效運行的重要保證。安全保障體系首先應保證網絡的安全、可靠運行,在此基礎上保證應用系統和業務的保密性、完整性和高度的可用性,同時為將來的應用提供可擴展的空間。安全保障體系建設的基本要求是:
(1)保障網絡安全、可靠、持續運行,能夠防止來自外部的惡意攻擊和內部的惡意破壞;
(2)保障信息的完整性、機密性和信息訪問的不可否認性,要求采取必要的信息加密、信息訪問控制、訪問權限認證等措施;
(3)提供容災、容錯等風險保障;
(4)在確保安全的條件下盡量為網絡應用提供方便,實行全網統一的身份認證和基于角色的訪問控制;
(5)建立完備的安全管理制度。
二、消防信息化建設中面臨的網絡安全問題
2.1計算機網絡安全的定義
從狹義的保護角度來看,計算機網絡安全是指計算機及其網絡系統資源和信息資源不受自然和人為有害因素的威脅和危害;從其本質上來講就是系統上的信息安全。
從廣義來說,凡是涉及到計算機網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是計算機網絡安全的研究領域。
2.2網絡系統的脆弱性
2.2.1操作系統安全的脆弱性
操作系統不安全,是計算機不安全的根本原因。主要表現在:
(1)操作系統結構體制本身的缺陷;
(2)操作系統支持在網絡上傳輸文件、加載與安裝程序,包括可執行文件;
(3)操作系統不安全的原因還在于創建進程,甚至可以在網絡的結點上進行遠程的創建和激活;
(4)操作系統提供網絡文件系統(NFS)服務,NFS系統是一個基于RPC的網絡文件系統,如果NFS設置存在重大問題,則幾乎等于將系統管理權拱手交出;
(5)操作系統安排的無口令人口,是為系統開發人員提供的邊界入口,但這些入口也可能被黑客利用;
(6)操作系統還有隱蔽的信道,存在潛在的危險。
2.2.2網絡安全的脆弱性
由于Internet/Intmnet的出現,網絡安全問題更加嚴重。可以說,使用TCP/IP協議的網絡所提供的FTP、E-Mail、RPC和NFS都包含許多不安全的因素,存在許多漏洞。
同時,網絡的普及使信息共享達到了一個新的層次,信息被暴露的機會大大增多。Intemet網絡就是一個不設防的開放大系統,誰都可以通過未受保護的外部環境和線路訪問系統內部,隨時可能發生搭線竊聽、遠程監控、攻擊破壞。
2.2.3數據庫管理系統安全的脆弱性
當前,大量的信息存儲在各種各樣的數據庫中,而這些數據庫系統在安全方面的考慮卻很少。而且,數據庫管理系統安全必須與操作系統的安全相配套。
2.2.4防火墻的局限性
盡管利用防火墻可以保護安全網免受外部黑客的攻擊,但它只能提高網絡的安全性,不可能保證網絡絕對安全。
2.3基于消防通信網絡進行入侵的常用手段分析
由于消防工作的社會性,消防信息化建設很重要的一方面就是利用信息化手段強化為社會服務的功能,積極通過網絡媒體為社會提供各類消防信息,如消防法律法規、消防知識等,促進消防工作社會化;在網上受理消防業務,公布依法行政的有關信息,為社會提供服務,增強群眾對消防工作的滿意度。在利用網絡提高工作效率和簡化日常工作流程的同時,也面臨許多信息安全方面的問題,主要表現在:
2.3.1內部資料被竊取
現在消防機關上傳下達的各種資料基本上都要先經過電腦錄入并打印后再送發出去,電腦內一般都留有電子版的備份,若此電腦直接接入局域網或Intemet,就有可能受到來自內部或外部人員的威脅,其主要方式有:
(1)利用系統漏洞入侵,瀏覽、拷貝甚至刪除重要文件。前段時間在安全界流行一個名為DCOMRPC的漏洞,其涉及范圍非常之廣,從WindowsNT4.0、Windows2000、WindowsXP到WindowsServer2003。由于MicrosoftRPC的DCOM(分布式組件對象模塊)接口存在緩沖區溢出缺陷,如果攻擊者成功利用了該漏洞,將會獲得本地系統權限,并可以在系統上運行任何命令,如安裝程序,查看或更改、刪除數據或是建立系統管理員權限的帳戶等。目前關于該漏洞的攻擊代碼已經涉及到的相應操作系統和版本已有48種之多,其危害性可見一斑;
(2)電腦操作人員安全意識差,系統配置疏忽大意,隨意共享目錄;系統用戶使用空口令,或將系統帳號隨意轉借他人,都會導致重要內容被非法訪問,甚至丟失系統控制權。
2.3.2Web服務被非法利用
據統計,目前全國各級公安消防部門在因特網上已建立近100個網站,提供消防法規、危險物品基礎數據、產品質量信息、消防技術標準等重要信息,部分支隊還對轄區內重點單位開辟網上受理業務服務,極大地提高了工作效率,但基于網頁的入侵及欺詐行為也在威脅著網站數據的安全性及可信性。其主要表現在:
(1)Web頁面欺詐
許多提供各種法律法規及相關專業數據查詢的站點都提供了會員服務,這些會員一般需要繳納一定的費用才能正式注冊成為會員,站點允許通過信用卡在線付費的形式注冊會員。攻擊者可以通過一種被稱為Man-In-the-Middle的方式得到會員注冊中的敏感信息。
攻擊者可通過攻擊站點的外部路由器,使進出方的所有流量都經過他。在此過程中,攻擊者扮演了一個人的角色,在通信的受害方和接收方之間傳遞信息。人是位于正在同心的兩臺計算機之間的一個系統,而且在大多數情況下,它能在每個系統之間建立單獨的連接。在此過程中,攻擊者記錄下用戶和服務器之間通信的所有流量,從中挑選自己感興趣的或有價值的信息,對用戶造成威脅。
(2)CGI欺騙
CGI(CommonGatewayInterface)即通用網關接口,許多Web頁面允許用戶輸入信息,進行一定程度的交互。還有一些搜索引擎允許用戶查找特定信息的站點,這些一般都通過執行CGI程序來完成。一些配置不當或本身存在漏洞的CGI程序,能被攻擊者利用并執行一些系統命令,如創建具有管理員權限的用戶,開啟共享、系統服務,上傳并運行木馬等。在奪取系統管理權限后,攻擊者還可在系統內安裝嗅探器,記錄用戶敏感數據,或隨意更改頁面內容,對站點信息的真實性及可信性造成威脅。
(3)錯誤和疏漏
Web管理員、Web設計者、頁面制作人員、Web操作員以及編程人員有時會無意中犯一些錯誤,導致一些安全問題,使得站點的穩定性下降、查詢效率降低,嚴重的可導致系統崩潰、頁面被篡改、降低站點的可信度。
2.3.3網絡服務的潛在安全隱患
一切網絡功能的實現,都基于相應的網絡服務才能實現,如IIS服務、FTP服務、E-Mail服務等。但這些有著強大功能的服務,在一些有針對性的攻擊面前,也顯得十分脆弱。以下列舉幾種常見的攻擊手段。
(1)分布式拒絕服務攻擊
攻擊者向系統或網絡發送大量信息,使系統或網絡不能響應。對任何連接到Intemet上并提供基于TCP的網絡服務(如Web服務器、FrP服務器或郵件服務器)的系統都有可能成為被攻擊的目標。大多數情況下,遭受攻擊的服務很難接收進新的連接,系統可能會因此而耗盡內存、死機或產生其他問題。
(2)口令攻擊
基于網絡的辦公過程中不免會有利用共享、FTP或網頁形式來傳送一些敏感文件,這些形式都可以通過設置密碼的方式來提高文件的安全性,但多數八會使用一些諸如123、work、happy等基本數字或單詞作為密碼,或是用自己的生日、姓名作為口令,由于人們主觀方面的原因,使得這些密碼形同虛設,攻擊者可通過詞典、組合或暴力破解等手段得到用戶密碼,從而達到訪問敏感信息的目的。
(3)路由攻擊
攻擊者可通過攻擊路由器,更改路由設置,使得路由器不能正常轉發用戶請求,從而使得用戶無法訪問外網。或向路由器發送一些經過精心修改的數據包使得路由器停止響應,斷開網絡連接。
三、消防信息化建設中解決網絡安全問題的對策
3.1規范管理流程
網絡安全工作是信息化工作中的一個方面,信息化工作與規范化工作的根本目的一樣,就是要提高工作效率,只不過改變了規范化的手段。因此,在實行信息化的過程中,管理有著比技術更重要的作用,只有優化管理過程、強化管理基礎、細化管理流程、簡化管理冗余環節、提高管理效率,才能在達到信息化目的的同時,完善網絡安全建設。
3.2構建管理支持層
信息化是一項系統性工程,其實施自始至終需要單位最高層領導的重視和支持,包括對工作流程再造的支持、對協調各部門統一開展工作的支持、對軟件普及和培訓的支持。在實際工作中,應當建一個“信息化建設領導小組”,由各部門部長擔任成員,下設具體辦事部門,具體負責網絡建設和信息安全工作,這是一種較理想的做法。但要真正發揮其作用,促使信息工作的順利開展,不僅需要領導的重視,更重要的是需要負責人有能力充分協調與溝通各業務部門開展工作,更要與其他部門負責人有良好的協調配合關系。
3.3制定網絡安全管理制度
加強計算機網絡安全管理的法規建設,建立、健全各項管理制度是確保計算機網絡安全必不可少的措施。如制定人員管理制度,加強人員審查;組織管理上,避免單獨作業,操作與設計分離等。
3.4采取有效的安全技術措施
就當前消防信息化建設的程度來看,網絡的應用主要體現在局域網服務、Web服務和數據庫服務上。應當避免與Internet連接直接接入,而是配置一臺安全的服務器,整個局域網通過這個上網,這樣上網的終端在Internet上是沒有真實IP的,能避免大多數的常規攻擊。對基于Web服務的網上辦公、電子政務,應當安裝經公安部安全認證的網絡防火墻,由專人負責,盡量少開無用的服務,對系統用戶的數量和權限做嚴格限制,并可采用授權證書訪問或IP限制訪問,增強站點的安全性。在數據庫方面,現消防部門主要應用Microsoft的Access,此數據庫的網絡功能主要基于ASP、PHP等動態網頁平臺來實現,通過SQL查詢語句與頁面進行交互,在保證系統不被侵入、數據庫不能被直接下載的前提下,數據安全主要由頁面查詢語句的嚴密性來保證。除Access之外,應用較多的是Microsoft的SQLServer和Oracle,這兩套數據庫系統的網絡功能很強大,其安全性首先需要一個專業的數據庫操作員,對數據庫進行正確的配置、限制數據庫用戶的數量、根據用戶的職責范圍設定權限、對敏感數據進行加密、定時備份數據庫,保證數據的連續性和完整性。
目前,許多學校的校園網都以WINDOWSNT做為系統平臺,由IIS(InternetInformationServer)提供WEB等等服務。下面本人結合自己對WINDOWSNT網絡管理的一點經驗與體會,就技術方面談談自己對校園網安全的一些看法。
一、密碼的安全
眾所周知,用密碼保護系統和數據的安全是最經常采用也是最初采用的方法之一。目前發現的大多數安全問題,是由于密碼管理不嚴,使"入侵者"得以趁虛而入。因此密碼口令的有效管理是非常基本的,也是非常重要的。
在密碼的設置安全上,首先絕對杜絕不設口令的帳號存在,尤其是超級用戶帳號。一些網絡管理人員,為了圖方便,認為服務服務器只由自己一個人管理使用,常常對系統不設置密碼。這樣,"入侵者"就能通過網絡輕而易舉的進入系統。筆者曾經就發現并進入多個這樣的系統。另外,對于系統的一些權限,如果設置不當,對用戶不進行密碼驗證,也可能為"入侵者"留下后門。比如,對WEB網頁的修改權限設置,在WINDOWSNT4.0+IIS4.0版系統中,就常常將網站的修改權限設定為任何用戶都能修改(可能是IIS默認安裝造成的),這樣,任何一個用戶,通過互聯網連上站點后,都可以對主頁進行修改刪除等操作。
其次,在密碼口令的設置上要避免使用弱密碼,就是容易被人猜出字符作為密碼。筆者就猜過幾個這樣的站點,他們的共同特點就是利用自己名字的縮寫或6位相同的數字進行密碼設置。
密碼的長度也是設置者所要考慮的一個問題。在WINDOWSNT系統中,有一個sam文件,它是windowsNT的用戶帳戶數據庫,所有NT用戶的登錄名及口令等相關信息都會保存在這個文件中。如果"入侵者"通過系統或網絡的漏洞得到了這個文件,就能通過一定的程序(如L0phtCrack)對它進行解碼分析。在用L0phtCrack破解時,如果使用"暴力破解"方式對所有字符組合進行破解,那么對于5位以下的密碼它最多只要用十幾分鐘就完成,對于6位字符的密碼它也只要用十幾小時,但是對于7位或以上它至少耗時一個月左右,所以說,在密碼設置時一定要有足夠的長度。總之在密碼設置上,最好使用一個不常見、有一定長度的但是你又容易記得的密碼。另外,適當的交叉使用大小寫字母也是增加被破解難度的好辦法。
二、系統的安全
最近流行于網絡上的"紅色代碼"、"藍色代碼"及"尼姆達"病毒都利用系統的漏洞進行傳播。從目前來看,各種系統或多或少都存在著各種的漏洞,系統漏洞的存在就成網絡安全的首要問題,發現并及時修補漏洞是每個網絡管理人員主要任務。當然,從系統中找到發現漏洞不是我們一般網絡管理人員所能做的,但是及早地發現有報告的漏洞,并進行升級補丁卻是我們應該做的。而發現有報告的漏洞最常用的方法,就是經常登錄各有關網絡安全網站,對于我們有使用的軟件和服務,應該密切關注其程序的最新版本和安全信息,一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。比如上面提及引起"紅色代碼"、"藍色代碼"及"尼姆達"病毒的傳播流行的Unicode解碼漏洞,早在去年的10月就被發現,且沒隔多久就有了解決方案和補丁,但是許多的網絡管理員并沒有知道及時的發現和補丁,以至于過了將近一年,還能掃描到許多機器存在該漏洞。
在校園網中服務器,為用戶提供著各種的服務,但是服務提供的越多,系統就存在更多的漏洞,也就有更多的危險。因些從安全角度考慮,應將不必要的服務關閉,只向公眾提供了他們所需的基本的服務。最典型的是,我們在校園網服務器中對公眾通常只提供WEB服務功能,而沒有必要向公眾提供FTP功能,這樣,在服務器的服務配置中,我們只開放WEB服務,而將FTP服務禁止。如果要開放FTP功能,就一定只能向可能信賴的用戶開放,因為通過FTP用戶可以上傳文件內容,如果用戶目錄又給了可執行權限,那么,通過運行上傳某些程序,就可能使服務器受到攻擊。所以,信賴了來自不可信賴數據源的數據也是造成網絡不安全的一個因素。
在WINDOWSNT使用的IIS,是微軟的組件中漏洞最多的一個,平均兩三個月就要出一個漏洞,而微軟的IIS默認安裝又實在不敢恭維,為了加大安全性,在安裝配置時可以注意以下幾個方面:
首先,不要將IIS安裝在默認目錄里(默認目錄為C:\Inetpub),可以在其它邏輯盤中重新建一個目錄,并在IIS管理器中將主目錄指向新建的目錄。
其次,IIS在安裝后,會在目錄中產生如scripts等默認虛擬目錄,而該目錄有執行程序的權限,這對系統的安全影響較大,許多漏洞的利用都是通過它進行的。因此,在安裝后,應將所有不用的虛擬目錄都刪除掉。
第三,在安裝IIS后,要對應用程序進行配置,在IIS管理器中刪除必須之外的任何無用映射,只保留確實需要用到的文件類型。對于各目錄的權限設置一定要慎重,盡量不要給可執行權限。
三、目錄共享的安全
在校園網絡中,利用在對等網中對計算機中的某個目錄設置共享進行資料的傳輸與共享是人們常采用的一個方法。但在設置過程中,要充分認識到當一個目錄共享后,就不光是校園網內的用戶可以訪問到,而是連在網絡上的各臺計算機都能對它進行訪問。這也成了數據資料安全的一個隱患。筆者曾搜索過外地機器的一個C類IP網段,發現共享的機器就有十幾臺,而且許多機器是將整個C盤、D盤進行共享,并且在共享時將屬性設置為完全共享,且不進行密碼保護,這樣只要將其映射成一個網絡硬盤,就能對上面的資料、文檔進行查看、修改、刪除。所以,為了防止資料的外泄,在設置共享時一定要設定訪問密碼。只有這樣,才能保證共享目錄資料的安全。
四、木馬的防范
相信木馬對于大多數人來說不算陌生。它是一種遠程控制工具,以簡便、易行、有效而深受廣大黑客青睞。一臺電腦一旦中上木馬,它就變成了一臺傀儡機,對方可以在你的電腦上上傳下載文件,偷窺你的私人文件,偷取你的各種密碼及口令信息……中了木馬你的一切秘密都將暴露在別人面前,隱私?不復存在!木馬,應該說是網絡安全的大敵。并且在進行的各種入侵攻擊行為中,木馬都起到了開路先鋒的作用。
木馬感染通常是執行了一些帶毒的程序,而駐留在你的計算機當中,在以后的計算機啟動后,木馬就在機器中打開一個服務,通過這個服務將你計算機的信息、資料向外傳遞,在各種木馬中,較常見的是"冰河",筆者也曾用冰河掃描過網絡上的計算機。發現每個C類IP網段中(個人用戶),偶爾都會發現一、二個感染冰河的機器。由此可見,個人用戶中感染木馬的可能性還是比較高的。如果是服務器感染了木馬,危害更是可怕。
1實踐教學內容總體教學設計
網絡安全協議這門課程涉及的重要知識點包括:網絡安全協議的基本概念、TCP/IP協議簇的安全隱患、在不同協議層次上的安全協議的原理和實現、不同層次安全協議之間的比較、無線網絡安全協議的原理和實現、安全協議的形式化分析基本方法等。網絡安全協議無論從教學設計、驗證,還是如何有效地應用來看都非常復雜。即使所采用的密碼算法很強大,協議依然有可能受到攻擊。網絡上的重放攻擊、中間人攻擊能夠繞過對密碼算法的攻擊,非常難以防范,此外,攻擊者還有可能利用安全協議的消息格式進行“類型缺陷(typeflaw)”攻擊。由于網絡安全協議的復雜性,在實際教學過程中,若只是由老師空洞的進行講解,大多數學生往往很難跟上講課的進度,進而失去對此門課程的興趣。目前常用的網絡安全協議包括PPTP/L2TP、IPSec、SSL/TSL、HTTPS、SSH、SNMPv3、S/MIME、、PGP、Kerberos、PKI、無線網安全協議(IEEE802.11i,WTLS)等。讓學生通過實踐教學活動,理解并掌握安全協議的理論及應用,并在實踐中增強自身的動手能力、創新能力是本課程的主要教學目標。本課程的實踐教學將教學內容劃分為4個階段,認知階段、體驗階段、應用階段及總結提高階段。通過這4個階段,使學生由表及里、由淺入深、由學到用、由用到創,全面掌握各主要協議的原理、應用及教學設計;同時,通過對4個階段的劃分,更好地滿足不同層次學生的需求,使學生學得更深、更透,用的更順、更廣,其創新思路也更易被激發和實現。
2SSL協議的實踐教學實施
2.1認知階段
本階段的實踐教學內容是通過利用Wireshark抓包分析工具軟件,獲取SSL/TSL協議通信流量,直觀地觀看SSL/TSL協議的結構、分析SSL/TSL協議的建立過程。在訪問222.249.130.131時,采用Wireshark抓取的部分通信流量,如圖1所示。第7~9條消息,完成TCP的連接。客戶端首先在某端口向服務器端的443端口發出連接請求,完成三次握手。第10~12條消息,客戶端首先發送Client-Hello等消息,請求建立SSL/TSL會話連接;然后,服務器端發送Server-Hello、證書等消息;接著客戶端發送ClientKeyExchange、ChangeCipherSpec等消息。第13~15條消息,服務器端發出的響應和ChangeCipherSpec消息,以及客戶端發出應答響應消息。至此表明連接已準備好,可以進行應用數據的傳輸。第16條消息是由客戶端發出的與另外一個服務器端的連接請求消息,與所討論內容無關。這種情形,在抓包分析時,經常會遇到,不必受此干擾。第17~18條消息,客戶端和服務器端分別關閉連接。以后再進行SSL/TSL連接時,不必產生新的會話ID,也不必交換證書、預主密鑰、密碼規格(cipher-spec)等會話參數。每一條消息都可以進一步打開,觀看更細節的內容。ClientHello消息的內容是對相應的二進制的內容的一個分析解釋,如圖2所示。其他消息的格式和內容也都可以清晰地呈現,在此不一一列舉。通過對SSL/TSL流量的抓取分析,可以很直觀地讓學生掌握如下知識點:(1)SSL/TLS協議是建立在TCP連接之上的安全協議。(2)SSL/TSL連接和會話的概念,以及連接和會話的建立過程。(3)握手協議的執行過程,各消息的先后次序,及消息的格式和內容。(4)重要的消息參數及其作用,如sessionID、數字證書、加密組件(Ciphersuite)、加密預主密鑰(Premaster)等。需要說明的是,上述內容沒有涉及客戶端發送的證書消息,只能通過證書完成客戶端對服務器的認證,沒有服務器對客戶端的認證。事實上,SSL/TSL是可以通過數字證書進行雙向認證的。
2.2體驗階段
經過認知階段的理論與實踐學習后,需要讓學生了解和掌握SSL協議應用在哪里?如何應用?可以有效防范哪些安全威脅?本階段的實踐教學內容通過配置IIS服務器中的SSL/TSL,為Web服務器和瀏覽器之間建立一個安全的通信通道,使學生學習和掌握SSL在Web的應用中的配置和作用,從而對SSL協議的應用有一個直接的感受和體驗。學生完成IIS服務器中的SSL/TLS配置,首先需要完成CA的安裝與配置[3],用于數字證書的生成、發放和管理;然后,分別為IISWeb服務器和客戶端申請、安裝證書;最后在服務器上配置SSL,使客戶端與服務器建立SSL/TSL連接,如圖3所示。該階段的實踐教學,除加深學生對SSL/TSL的理解,還使他們學會了如何進行CA服務器的圖3建立https協議的訪問配置、Web服務器和客戶端的證書的申請,以及CA服務器對證書的頒發、安裝管理等。
2.3應用階段
通過前2個階段的實驗教學,很好地配合了SSL的理論教學,使學生對SSL/TSL協議有了更深的認識和體驗。本階段的實驗教學內容,將通過利用OpenSSL,實現一個簡單的SSL服務器端和客戶端[4],使學生具備利用SSL/TLS協議進行通信的編程能力。OpenSSL是一個開放源代碼的SSL協議實現,具有一個強大的支撐函數庫,主要包括三大部分,密碼算法庫、SSL協議庫和OpenSSL應用程序。OpenSSL提供了一系列的封裝函數,可以方便實現服務器和客戶端的SSL通信。該階段的工作量較大,通常在教師指導下,由學生分組自行完成。(1)OpenSSL的編譯安裝。這一步驟涉及下載和安裝多個軟件,版本也各不相同。包括不同版本的Openssl、Perl、VC++等。一般建議學生采用自己熟悉的系統和開發平臺,安裝新版的OpenSSL。(2)VC++編譯環境的設置。目前的參考資料大都基于VC++6.0,我們采用的是VisualC++2010開發環境。網上有許多現成的源代碼,但一般很難編譯、調試或執行通過。我們建議學生可以參考已有的源代碼,但一定要通過自己的編譯、調試、改正,得到滿意的運行結果。(3)生成服務器和客戶端數字證書。SSL可以通過數字證書實現服務器和客戶端之間的雙向或單向認證。我們建議學生利用OpenSSL的證書生成命令行工具,自行完成一遍。這一步驟若出現問題,將直接影響以后程序的順利執行。(4)SSL/TLS編程。首先建議學生采用OpenSSL的BIO連接庫,建立一個簡單的服務器和客戶端,僅能完成簡單的TCP握手連接和通訊;然后,再加入SSL握手功能,實現一個真正意義上的簡單的SSL服務器和客戶端。SSL/TLS客戶端和服務器端程序運行結果,分別如圖4和圖5所示。通過該階段的實驗教學,一方面使學生熟悉如何利用OpenSSL工具編程,實現基于SSL的安全通信;另一方面使學生了解和掌握OpenSSL在安全方面的廣泛應用,最終使學生在畢業設計和未來工作中,有足夠的能力提出和實現應用安全方面的解決方案。
2.4總結
提高階段通過前3個階段的實踐教學內容,再結合課堂上的理論教學,學生對SSL/TSL協議的原理、實現和應用都有了較深的認識。由于有許多研究和實踐活動受各種條件所限,不可能全部列入教學實踐的內容,這個階段的主要任務是讓學生通過他人對SSL/TSL協議的研究和應用,了解SSL/TSL協議在實際應用中還存在哪些問題、如何進一步完善,其目的是訓練學生具備通過別人的研究和實踐活動進行高效學習的能力,同時也讓學生了解一個看似成熟的協議,還存在一系列的問題,這些問題有的是協議本身存在的,有些是在實際應用中產生的。我們通過提出3方面問題,讓學生去通過查閱相關資料,自己進行總結。①SSL/TSL協議的存在哪些不足?②將SSL/TSL協議與應用層和網絡層的安會協議進行比較,有哪些優劣?③通過一個實際的SSL/TSL協議的應用案例,說明SSL/TSL在實際應用中還存在哪些局限,應如何進行解決?教師可向學生推薦幾篇參考文獻[5-6]同時鼓勵學生自己查詢更多有價值的文獻。在此階段,教師和學生不斷進行交流和討論,對學生提出的問題以及業內新出現的熱點問題,教師要通過不斷的學習和提高給學生一個滿意的答案。例如2014曝出的Heartbleed漏洞,涉及OpenSSL的開源軟件包,而該軟件包被網銀、在線支付、電商網站、門戶網站、電子郵件等重要網站廣泛使用,所以漏洞影響范圍廣大。學生們對此漏洞非常有興趣,作為教師要盡快查閱有關資料,了解此漏洞的產生的原因、有何危害、如何補救等。此漏洞雖然是OpenSSL的開源軟件包程度存在的問題所導致的,與SSL/TSL協議本身無關,但是該漏洞的出現,提醒我們即使協議本身是安全的,在實現協議的過程中仍可能出現不安全的因素,導致安全漏洞的產生。
3實踐教學效果評價
實踐教學方案的教學設計是否可行和有效,需要在實際教學過程中進行檢驗。該實踐教學方案是在多年教學基礎上不斷總結而教學設計的,并已在2013和2014年度的網絡安全協議課程的教學中進行了實施。我們根據學生的反饋、表現以及實際教學效果,對方案的內容、難度以及方法也做了相應的調整。在方案實施過程中,教師要多與學生溝通,對所布置的作業認真檢查,關注并統計學生是否有興趣、是否努力,學生的技能是否得以改善,學生完成的情況、學生的滿意度等各項指標。從對各項指標的統計來看,大部分學生對該實踐教學方案比較認同,也取得了很好的效果,其中有幾位學生還在畢業設計中選擇了相關的畢測試。上述文檔將整個測試過程顯性化,實現了對缺陷解決過程的監控,有助于學生明確缺陷狀態,評估所報缺陷的準確性,完善現有圖式,促成自我反思與實踐反饋。測試所涉及的文檔和源碼都將編號歸檔,統一存放于配置管理服務器,歸檔的文檔被凍結,不允許修改。這些文件記錄了缺陷的整個解決過程,為后期分析問題、完善解決方案、改進工作流程、反思教學設計提供了重要依據。
4結語