信息安全導論實驗教學的研究與實踐的分析論文

　　本文提出階梯式的驗證性實驗教學方法，即將多個獨立的實驗按照所需安全技術水平的高低有機的組織起來，從而在短時間內取得較好的實驗教學效果。

　　1課程概述

　　“信息安全導論”是面向計算機科學與技術專業(yè)和網絡工程專業(yè)學員的一門專業(yè)技術課程。隨著部隊信息化建設的迅猛發(fā)展，部隊對信息系統(tǒng)的依賴日益加重，信息安全問題日益突出，因此在利用信息化提升部隊戰(zhàn)斗力的同時，必須研究信息安全的自身特點，尋找信息安全問題的解決之道。

　　本課程要求學員了解信息安全的重要性和復雜性、理解信息安全的基本概念和基本原理、掌握信息安全的基本技能和基本方法。而實驗教學的主要目的是讓學員通過實驗能夠掌握基本的信息安全防護技能，了解系統(tǒng)存在的安全隱患，樹立牢固的安全意識，培養(yǎng)良好的安全習慣，另一方面提高實踐操作和應用能力。

　　課程的課內學時為32課時，課外學時即實驗學時為12學時。課程內容基本覆蓋了信息安全領域所涉及的主要分支和領域，共包括信息安全緒論、密碼學基礎、計算機系統(tǒng)安全、計算機網絡安全、計算機應用安全和信息系統(tǒng)安全工程六章內容。而課外實驗由于學時有限，只能在課程內容中進行適當?shù)倪x擇。

　　2實驗教學內容選擇

　　由于時間有限，應該優(yōu)先選擇最基本、最常用的安全技術方面的實驗，并按照所需技術水平的高低進行階梯式的安排。

　　根據(jù)這一原則在整個課程中計算機系統(tǒng)安全章節(jié)、計算機網絡安全章節(jié)中涉及的內容成為實驗內容安排的重點。

　　2.1計算機系統(tǒng)安全的實驗內容選擇

　　在計算機系統(tǒng)安全章節(jié)中的計算機操作系統(tǒng)的安全內容成為實驗內容的首選。計算機操作系統(tǒng)是應用軟件同系統(tǒng)硬件的接口，其目標是高效地、最大限度地、合理地使用計算機資源。沒有系統(tǒng)的安全就沒有信息的安全。操作系統(tǒng)作為系統(tǒng)軟件中最基礎的部分，其安全問題的解決最為關鍵。目前操作系統(tǒng)主要分為 Windows系列的操作系統(tǒng)和類Unix的操作系統(tǒng)。雖然這些操作系統(tǒng)符合C2級安全級別，即自主安全保護和受控存儲控制，但操作系統(tǒng)仍存在不少安全漏洞，而大多數(shù)惡意代碼正是針對操作系統(tǒng)存在的安全漏洞進行攻擊，因此導致出現(xiàn)很多安全問題。

　　為了讓學員了解操作系統(tǒng)存在的安全漏洞以及攻擊者入侵操作系統(tǒng)的手段，加強自身的安全意識，我們設計了一個Windows 2000漏洞入侵實驗。實際上，對于大部分的安全問題，我們可以通過對操作系統(tǒng)的安全管理配置操作來進行防范。在實驗內容中，我們選擇Windows 2000和Linux操作系統(tǒng)進行操作系統(tǒng)的安全管理配置操作的學習。

　　2.2計算機網絡安全的實驗內容選擇

　　在計算機網絡安全章節(jié)中防火墻技術、嗅探技術和VPN技術被選擇為實驗的內容。

　　許多來自網絡的遠程攻擊可以通過防火墻技術來進行防范。防火墻是在兩個網絡之間執(zhí)行訪問控制策略的一組硬件和軟件系統(tǒng)，其目的是保護本地網絡的通信安全。使用防火墻進行網絡的安全防護是最常用的安全技術。據(jù)統(tǒng)計，全球接入因特網的計算機中有1/3以上處在防火墻保護之下。因此，理解防火墻的工作原理，并能根據(jù)定義的安全策略配置相應的安全規(guī)則是學習安全技術的一個重點。

　　嗅探技術主要通過將網卡設置為混雜模式來接收和分析所有經過網卡的數(shù)據(jù)包。而利用嗅探器竊取別人的用戶密碼和秘密信息是惡意攻擊者常用的手段。通過學習嗅探器的使用，可以使學員們了解數(shù)據(jù)包的基本結構，從而加深對后階段實驗的理解，同時增強數(shù)據(jù)包在網絡上傳輸時需要安全保護的意識。

　　在學習嗅探器使用的實驗中，學員已經認識到數(shù)據(jù)包在網絡上傳輸?shù)牟话踩�性。而VPN技術是實現(xiàn)網絡安全傳輸?shù)囊环N安全技術。VPN稱為虛擬專用網，它是在因特網上實現(xiàn)的一個專用網絡。由于利用VPN技術構建的虛擬網絡中數(shù)據(jù)包是加密傳輸?shù)�，從而能夠保證信息在網絡傳輸?shù)臋C密性。通過學習VPN 服務的配置和連接的建立技術，可以加深學員對VPN技術的理解。

　　最后，學員通過學習本門課程不斷地提高自身信息安全技術水平，并按照如圖1的階梯式實驗內容的安排進行學習，能夠了解入侵操作系統(tǒng)的典型攻擊手段、掌握主流操作系統(tǒng)的安全管理配置操作、掌握防火墻的基本配置和使用、學會嗅探工具的使用和掌握VPN服務的配置和連接。

　　3實驗內容設計

　　根據(jù)圖1的安排，整個實驗課程的內容包括六個實驗。每個實驗所占課時為2個課時，為了讓學員們能夠在短時間達到實驗要求，實驗內容主要以驗證性的實驗為主，部分提高型的設計實驗為輔。驗證性的實驗內容的實驗步驟比較詳細，力爭學員在實驗課時間內完成所需實驗，而提高型的實驗內容用于部分感興趣的同學在課后進一步提高技術水平。

　　3.1Windows 2000漏洞入侵的實驗內容

　　操作系統(tǒng)存在許多安全漏洞如緩沖區(qū)溢出，很多攻擊都是針對這些漏洞進行的。此次實驗的操作系統(tǒng)選擇的是Windows 2000。實驗的主要目的是讓學員們了解典型入侵過程，提高安全意識。針對漏洞入侵的典型過程如圖2。在入侵典型過程中安裝后門和清除入侵痕跡不屬于必備環(huán)節(jié)，而是較高級的攻擊者采取的方法。 此次實驗的主要內容是設計兩個可驗證步驟的漏洞入侵過程，讓學員可以在實驗課時內按照實驗步驟完成實驗。這兩個入侵過程分別為：1433溢出漏洞攻擊和弱口令入侵。第一個實驗包括了典型入侵過程的主要環(huán)節(jié)。第二個實驗進一步提高學習內容，包括了安裝后門的環(huán)節(jié)。

　　3.2操作系統(tǒng)的安全配置實驗內容

　　針對攻擊者的攻擊，實際上可以通過對操作系統(tǒng)進行安全管理配置的操作來進行防范。操作系統(tǒng)的安全配置實驗包括Windows的安全管理配置和Linux的安全管理配置兩次實驗。

　　這兩次實驗的具體操作雖然不同，但實驗的內容是相同的。每次的實驗內容包括三部分：系統(tǒng)用戶管理、系統(tǒng)服務管理和系統(tǒng)安全配置。

　　多用戶的操作系統(tǒng)通過將用戶進行分組的管理，每組賦予不同的權限，來限制用戶對系統(tǒng)資源的使用，從而防止非授權用戶進行非法操作。通過系統(tǒng)用戶管理的學習，學員不僅可以掌握如何增加和刪除用戶，而且還可以學會如何修改用戶權限。

　　由于針對操作系統(tǒng)的漏洞進行攻擊是攻擊者的主要手段，因此操作系統(tǒng)應遵循最小特權原則，盡可能關閉不需要的服務。通過系統(tǒng)服務管理，學員可以知道如何根據(jù)需求關閉特定的服務和端口。

　　為了防御攻擊，操作系統(tǒng)還可以進行專門的安全配置。審核策略就是其中的一項重要的功能。審核策略可以對特定事件如登陸失敗的事件進行日志記錄。系統(tǒng)管理員通過對日志記錄進行分析可以對攻擊者的攻擊行為進行事后追蹤。同時，管理員還可以發(fā)現(xiàn)攻擊者的不良企圖，從而加強對系統(tǒng)的防護。

　　3.3嗅探工具Sniffer的使用的實驗內容

　　利用嗅探器竊取別人的用戶密碼和秘密信息是惡意攻擊者常用的手段。此實驗的目的是通過學習典型嗅探器sniffer的使用了解數(shù)據(jù)包的結構，加深學員對后階段實驗的理解，并增強學員對數(shù)據(jù)包在網絡傳輸要進行保護的安全意識。

　　整次實驗包括如何利用嗅探器sniffer對報文進行捕獲、解碼和編寫報文的內容。其中報文捕獲和解碼是基本學習內容，而編寫報文為提高內容。

　　報文捕獲的實驗內容如下：

　　利用sniffer工具捕獲指定目標機發(fā)出的所有數(shù)據(jù)包。

　　利用sniffer分析捕獲的報文。讓學員兩人一組：一人在目標機上登錄某網站并輸入用戶名和密碼;一人捕獲其發(fā)出的數(shù)據(jù)包并分析出用戶名和密碼。

　　報文解碼的實驗內容包括熟悉各種協(xié)議報文結構并對捕獲的IP報文主要是報文頭部的各種信息進行分析。

　　編寫報文的實驗內容是利用sniffer提供的報文編輯功能，自行編寫一個IP報文并發(fā)送到合作伙伴的目標機上，并由合作伙伴捕獲進行分析。

　　3.4防火墻iptables的啟用與配置的實驗內容

　　使用防火墻是防范攻擊者攻擊的一種最常用的安全技術。此實驗的目的是通過啟動配置linux系統(tǒng)下的防火墻iptables，理解防火墻的工作原理，并能根據(jù)定義的安全策略配置相應的安全規(guī)則。

　　此次實驗需要兩臺機器，可驗證的實驗步驟如下：

　　(1) 一臺機器啟動防火墻iptables，充當服務器。

　　(2) 服務器清空防火墻的過濾規(guī)則表。

　　(3) 另一臺機器充當客戶機，使用掃描器nmap對服務器進行掃描，發(fā)現(xiàn)其開放的服務，并使用其提供的服務。

　　(4) 服務器配置報文過濾表使得客戶機不能訪問服務器提供的任何服務。

　　(5) 客戶機再次訪問服務器，已不能使用其提供的服務。

　　3.5VPN服務器配置與連接的實驗內容

　　VPN技術是在因特網上構建的虛擬專用網絡。它通過一套復雜的協(xié)議來保證數(shù)據(jù)包在網絡上進行安全的傳輸。此實驗的目的就是通過對學習VPN服務器的配置和連接建立來加深學員對VPN概念的理解。

　　實驗內容選擇學習VPN中最常用的一種訪問連接方式——遠程訪問連接方式。通過虛擬專用網的遠程訪問方式，VPN客戶端可以通過IP網絡(例如因特網)與充當VPN服務器的遠程訪問服務器建立虛擬點對點連接。這種方式最適用于公司內部經常有流動人員遠程辦公的情況。

　　可驗證的實驗步驟包括：

　　(1) 配置和啟動Windows 2000 Server下的VPN服務器。

　　(2) 授予用戶通過VPN連接服務器的權限。

　　(3) 授權用戶與VPN服務器建立VPN連接。

　　4教學效果

　　信息安全導論實驗課程的每次實驗都需要提交實驗報告來考察實驗教學的效果。從提交的實驗報告來看，所有學員都在既定時間內完成了實驗規(guī)定的基本內容，而部分學員在課外時間完成了提高部分的內容。信息安全導論課程的總評分中筆試占70%，實驗成績占30%。整個課程的成績在良好以上的學員占 30%，中以上的學員占80%，達到預期目標。

　　課程學習結束后，我們對學員進行了調查，學員普遍反映通過實驗課的學習加深了對信息安全技術的理解，同時提高了自身的安全意識。

【信息安全導論實驗教學的研究與實踐的分析論文】相關文章：

在線信息安全實驗教學平臺研究論文10-09

信息安全工程分析論文10-11

電力信息安全監(jiān)控研究論文10-12

關于計算機信息管理及其應用實踐的研究分析論文10-10

信息安全等級保護的分析論文10-09

高職無機及分析化學實驗教學改革研究論文10-09

醫(yī)院信息安全與系統(tǒng)監(jiān)控研究論文10-11

檔案信息安全策略研究論文10-11

信息安全審計機制研究與設計論文10-12

數(shù)字檔案信息安全研究論文10-09