信息安全技術（HCIA-Security）（微課版）（第2版） 教案 項目1-3 信息安全基礎、網(wǎng)絡與設備、信息安全威脅防范及發(fā)展

教案 《信息安全技術》ADDINCNKISM.UserStyle授課周次與課時：第1周第1-4課時累計4課時課程名稱：信息安全技術授課課題：信息安全基礎教學目標：了解信息安全管理的重要性學會區(qū)分不同安全模型的特點和區(qū)別了解信息安全等級化保護體系掌握常見信息安全標準掌握信息安全標準的意義思政目標：1.強化學生對信息安全和網(wǎng)絡安全的重要性的認識；2.立德樹人，幫助學生樹立正確的網(wǎng)絡安全和信息安全觀；教學要點：1.教學重點：不同安全模型的特點及區(qū)別2.教學難點：信息安全標準意義課型：理實一體課教學與學法（教具）：多媒體播放設備、計算機、投影儀教學過程【課程思政與課程導入】新的學期，新開始，但疫情還在沒有完全消除，同學們要加強對疫情發(fā)展的關注，疫情防控不松懈。思政主題：立德樹人學習《習近平出席全國網(wǎng)絡安全和信息化工作會議并發(fā)表重要講話》【新課講授】1信息與信息安全1.1信息定義？信息是通過施加于數(shù)據(jù)上的某些約定而賦予這些數(shù)據(jù)的特定含義，信息包括書本信件、國家機密、電子郵件、雷達信號、交易數(shù)據(jù)、考試題目等。1.2信息安全定義信息安全是指通過采用計算機軟硬件技術、網(wǎng)絡技術、密鑰技術等安全技術和各種組織管理措施，來保護信息在其神秘周期內的產(chǎn)生、傳輸、交換、處理和存儲的各個環(huán)節(jié)中，信息的機密性、完整性和可用性不被破壞。2信息安全的發(fā)展2.1信息安全的發(fā)展歷2.2信息安全涉及的風險3信息安全管理的重要性安全技術知識是信息安全控制的手段，要讓安全技術發(fā)揮應有的作用，必然要有適當管理程序的支持。據(jù)統(tǒng)計，企業(yè)信息收到損失的70%是由于內部員工的疏忽或有意泄密造成的，可參看下圖。4信息安全標準與組織信息安全標準是規(guī)范性文件之一，其定義是為了在一定的范圍內獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認機構批準，共同使用的和重復使用的一種規(guī)范性文件。在國際上，與信息安全標準化有關的組織主要有以下4個：InternationalOrganizationforStandardization(ISO)國際標準化組織InternationalElectrotechnicalCommission(IEC)國際電工委員會InternationalTelecommunicationUnion(ITU)國際電信聯(lián)盟TheInternetEngineeringTaskForce(IETF)Internet工程任務組國內的安全標準組織主要有：信息技術安全標準化技術委員會(CITS)中國通信標準化協(xié)會(CCSA)下轄的網(wǎng)絡與信息安全技術工作委員會常見信息安全標準與規(guī)范可見下圖。5信息安全管理體系信息安全管理體系（InformationSecurityManagementSystem,簡稱ISMS）的概念最初來源于英國標準學會制定的BS7799標準,并伴隨著其作為國際標準的發(fā)布和普及而被廣泛地接受.【學生練習】信息安全事件頻發(fā)的原因是存在漏洞病毒后門程序等安全攻擊手段（）正確錯誤信息安全管理體系遵循的是______流程。等級保護定義是什么？【點評】【總結提煉】本次課介紹了信息與信息安全概念、信息安全發(fā)展過程、信息安全設涉及的風險類別、信息安全的重要性及發(fā)展現(xiàn)狀以及常見信息安全標準與規(guī)范、信息安全等級化保護體系等?！菊n后作業(yè)】信息安全涉及的風險有哪些？【教學后記】ADDINCNKISM.UserStyle授課周次與課時：第2周第5-8課時累計8課時課程名稱：信息安全技術授課課題：網(wǎng)絡與設備教學目標：掌握TCP/IP的工作原理；掌握常見協(xié)議的工作原理；常見協(xié)議可能存在的安全威脅；掌握較為常見網(wǎng)絡設備的功能；掌握登錄網(wǎng)絡設備并對設備進行基礎配置；掌握對設備進行文件管理。思政目標：提高學生網(wǎng)絡安全和信息化的認識，充分認識做好工作的重要性和緊迫性；愛國主義：通過對華為技術有限公司的發(fā)展史的了解，加強學生愛國主義教育；民族自豪感：通過對華為5G技術的了解，增強學生民族自豪感和自信心；教學要點：1.教學重點：TCP/IP協(xié)議工作原理、常見網(wǎng)絡設備功能2.教學難點：對網(wǎng)絡設備登陸進行配置課型：理實一體課教學與學法（教具）：多媒體教學過程【課程思政/溫故知新】思政主題：民族品牌華為——中華有為，學習華為技術有限公司的發(fā)展史。引出了解網(wǎng)絡基礎設備常用配置與管理，了解民族品牌中主流設備的基本參數(shù)及設置，華為的常見網(wǎng)絡設備市場占有絕對優(yōu)勢，“站在智能時代的入口，通過“無處不在的聯(lián)接+數(shù)字平臺+無所不及的智能”，致力于打造數(shù)字中國的底座、成為數(shù)字世界的內核”，是不懈的追求，更是青年學生的目標所在！?！拘抡n講授】1OSI互聯(lián)參考模型1.1OSI模型的提出OSI：OpenSystemInterconnectReferenceModel，開放式系統(tǒng)互聯(lián)參考模型，是國際標準化組織(ISO)提出的一個試圖使各種計算機在世界范圍內互連為網(wǎng)絡的標準框架。OSI模型的設計目的是成為一個開放網(wǎng)絡互聯(lián)模型，來克服使用眾多網(wǎng)絡模型所帶來的互聯(lián)困難和低效性，因此OSI參考模型很快成為計算機網(wǎng)絡通信的基礎模型。1.2OSI模型設計OSI參考模型很快成為計算機網(wǎng)絡通信的基礎模型。在設計時遵循了以下原則：各個層之間有清晰的邊界，便于理解；每個層實現(xiàn)特定的功能，且相互不影響；每個層是服務者又是被服務者，即為上一層服務，又被下一層服務；層次的劃分有利于國際標準協(xié)議的制定；1.3OSI模型分層OSI參考模型將網(wǎng)絡通信需要的各種進程劃分為7個相對獨立的7個功能層次，從下到上依次為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層、會話層、表示層以及應用層。具體如圖1所示圖1OSI七層模型1.4TCP/IP協(xié)議基礎TCP/IP（TransferControlProtocol/InternetProtocol），是指傳輸控制協(xié)議/網(wǎng)際協(xié)議），TCP/IP模型具有開放性和易用性等特點，以致在實踐中得到了廣泛應用，由于Interent在全世界的飛速發(fā)展，使得TCP/IP協(xié)議棧成為事實上的標準協(xié)議，并形成了TCP/IP參考模型。TCP/IP模型與OSI參考模型的不同點在于TCP/IP把表示層和會話層都歸入應用層，所以TCP/IP模型從下至上分為四層：數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層和應用層。在有些文獻中也劃分成五層，即把物理層也單獨列出。TCP/IP和OSI的對應關系如圖2所示。圖2TCP/IP和OSI的對應關系1.5TCP/IP協(xié)議棧各層作用TCP/IP協(xié)議每一層都有對應的相關協(xié)議，且均為達成某一網(wǎng)絡應用而產(chǎn)生，對于某些協(xié)議在分層上還不能嚴格對其定義，比如ICMP、IGMP、ARP、RARP協(xié)議，我們把他們放在與網(wǎng)絡層IP協(xié)議同一層，但在某些場合我們可能會把ICMP、IGMP放在IP協(xié)議的上層，而把ARP、RARP放在IP協(xié)議的下層。TCP/IP協(xié)議棧各層作用如圖3所示。圖3TCP/IP協(xié)議棧各層作用1.6TCP/IP協(xié)議棧封裝與解封如圖4所示，發(fā)送方將用戶數(shù)據(jù)提交給應用程序把數(shù)據(jù)送達目的地圖4TCP/IP協(xié)議棧封裝與解封1.7TCP連接建立與終止TCP的連接建立是一個三次握手過程，目的是為了通信雙方確認開始序號，以便后續(xù)通信的有序進行。TCP建立三次握手連接如圖5所示.圖5TCP建立連接1.8套接字與各層協(xié)議一個套接字由相關五元組構成：源IP地址、目的IP地址、協(xié)議、源端口、目的端口。通過五元組，應用服務器可響應任何并發(fā)服務請求，且能保證每一鏈接在本系統(tǒng)內是唯一的。其套接字組成元素如圖6所示。圖6套接字組成元素1.9常見網(wǎng)絡層協(xié)議圖7為網(wǎng)絡層協(xié)議結構圖。圖7網(wǎng)絡層協(xié)議結構圖1.10常見應用層協(xié)議圖8為應用層協(xié)議結構圖。圖8應用層協(xié)議結構圖2網(wǎng)絡基礎設備2.1交換機交換機工作在數(shù)據(jù)鏈路層，轉發(fā)數(shù)據(jù)幀。如圖9所示。圖9交換機工作原理2.2路由器路由器功能：是連接\t"/item/%E8%B7%AF%E7%94%B1%E5%99%A8/_blank"因特網(wǎng)中各\t"/item/%E8%B7%AF%E7%94%B1%E5%99%A8/_blank"局域網(wǎng)、\t"/item/%E8%B7%AF%E7%94%B1%E5%99%A8/_blank"廣域網(wǎng)的設備，能夠在不同的網(wǎng)絡之間轉發(fā)數(shù)據(jù)包，如圖10所示圖10路由器功能2.3防火墻防火墻功能：它是一種位于內部網(wǎng)絡與外部網(wǎng)絡之間的網(wǎng)絡安全系統(tǒng)，主要用于保護一個網(wǎng)絡區(qū)域免受來自另一個網(wǎng)絡區(qū)域的網(wǎng)絡攻擊和網(wǎng)絡入侵行為，具體可參看圖11。圖11防火墻功能2.4設備初始介紹VRP：VersatileRoutingPlatform，通用路由平臺，它的主要功能如下：網(wǎng)絡操作系統(tǒng)支撐多種設備的軟件平臺提供TCP/IP路由服務命令行：系統(tǒng)將命令行接口劃分為若干個命令視圖，系統(tǒng)的所有命令都注冊在某個（或某些）命令視圖下，只有在相應的視圖下才能執(zhí)行該視圖下的命令。3設備登陸管理3.1通過Console口登錄使用PC終端通過連接設備的Console口來登錄設備，進行第一次上電和配置。當用戶無法進行遠程訪問設備時，可通過Console進行本地登錄；當設備系統(tǒng)無法啟動時，可通Console口進行診斷或進入BootRom進行系統(tǒng)升級。如果使用PC進行配置，需要在PC上運行終端仿真程序（如Windows3.1的TerminaWindows98/Windows2000/WindowsXP的超級終端），建立新的連接。3.2通過Telnet登錄通過PC終端連接到網(wǎng)絡上，使用Telnet方式登錄到設備上，進行本地或遠程的配置，目標設備根據(jù)配置的登錄參數(shù)對用戶進行驗證。Telnet登錄方式方便對設備進行遠程管理和維護。3.3通過SSH登錄SSH登錄能更大限度的保證數(shù)據(jù)信息交換的安全，提供安全的信息保障和強大認證功能，保護設備系統(tǒng)不受IP欺騙等攻擊。SSH登錄步驟如下：配置USG接口SSH設備管理，管理員根據(jù)實際的需要打開。執(zhí)行命令stelnetserverenable，啟用Stelnet服務。在USG上生成本地密鑰對。3.4通過Web登錄在客戶端通過Web瀏覽器訪問設備，進行控制和管理。適用于配置終端PC通過Web方式登錄?！緦W生練習】以下哪個不屬于TCP/IP協(xié)議簇？（）數(shù)據(jù)鏈路層傳輸層會話層應用層以下哪個報文是TCP三次握手的首包？（）SYN+ACKSYNACK采用默認web方式登錄時，默認登錄的地址為（）？/24/24/16/16【點評】【總結提煉】本次課介紹了介紹了計算機網(wǎng)絡OSI參考模型的概念以及OSI參考模型中不同層次的功能；網(wǎng)絡基礎設備，包括常見網(wǎng)絡設備的功能和型號；網(wǎng)絡設備登錄方式，包括Console、Telnet、SSH和Web四種；安全設備基礎配置?！菊n后作業(yè)】路由器的功能有哪些？防火墻的作用有哪些？設備登錄管理有分別有哪幾種方式？【教學后記】思政課堂三分鐘文明標兵創(chuàng)建ADDINCNKISM.UserStyle授課周次與課時：第3周第9-12課時累計12課時課程名稱：信息安全技術授課課題：信息安全威脅防范及發(fā)展教學目標：掌握描述信息安全威脅分類掌握描述常見信息安全威脅手段了解信息安全未來發(fā)展趨勢學會如何避免存在的潛在安全威脅提升在公共場合的信息安全意識思政目標：1.在信息時代，網(wǎng)絡安全對國家安全而言是牽一發(fā)而動全身，同許多其他方面的安全都有著密切關系；2.法律法規(guī)，通過加強學生法律法規(guī)的學習，培養(yǎng)學生良好的法律意識；3.愛國主義，通過對我國法律法規(guī)發(fā)展的學習，增強學生對我國法律事業(yè)發(fā)展的了解，激發(fā)學生民族自豪感，加強愛國主義教育。教學要點：1.教學重點：信息安全威脅的類別2.教學難點：常見信息安全威脅手段課型：理實一體課教學與學法（教具）：多媒體教學過程：【課程思政/溫故知新】思政主題：法律法規(guī)、愛國主義常見信息安全威脅識別與防御，做為信息安全管理從業(yè)者，在工作和學習中始終要堅守國家法律法規(guī)和職業(yè)操守，網(wǎng)絡世界言行也要遵從國家大法，我國個人信息保護法是過往世界經(jīng)驗和中國智慧的結晶，也是維護個人權益、激勵社會穩(wěn)健發(fā)展、連接國家命運的數(shù)字時代基本法?！拘抡n講授】1信息安全威脅現(xiàn)狀1.1信息安全攻擊事件的演變（1）攻擊方式變化小攻擊的方式仍然是我們所能看到的病毒、漏洞、釣魚等，看起來似乎形式并無太大變化。（2）攻擊的手段由單一變得復雜一次重大攻擊往往需要精密地部署，長期的潛伏，以及多種攻擊手段相結合以達到最終目的。（3）攻擊目的多樣化攻擊的目標從個人電腦攻擊到經(jīng)濟、政治、戰(zhàn)爭、能源，甚至影響著世界格局。1.2安全威脅分類（1）網(wǎng)絡安全威脅DDoS攻擊；網(wǎng)絡入侵等。（2）應用安全威脅操作系統(tǒng)漏洞；病毒、木馬、蠕蟲；釣魚網(wǎng)站；數(shù)據(jù)泄露等。（3）數(shù)據(jù)傳輸與終端安全威脅通信流量挾持；中間人攻擊；未授權身份人員登錄系統(tǒng)；無線網(wǎng)絡安全薄弱等。2網(wǎng)絡安全威脅2.1掃描掃描是一種潛在的攻擊行為，本身并不具有直接的破壞行為，通常是攻擊者發(fā)動真正攻擊前的網(wǎng)絡探測行為。掃描可分為地址掃描和端口掃描，如圖1所示圖1掃描類別2.2欺騙攻擊-獲取控制權限攻擊者可以通過密碼暴力破解方式來獲取控制權限，也可以通過各種欺騙攻擊來獲取訪問和控制權限，如IP欺騙攻擊。圖2為欺騙攻擊示意圖IP欺騙攻擊：攻擊者通過向目標主機發(fā)送源IP地址偽造的報文，欺騙目標主機，從而獲取更高的訪問和控制權限。圖2業(yè)務連續(xù)性基本步驟2.3DDoS攻擊DDoS攻擊主要是耗盡網(wǎng)絡帶寬和耗盡服務器資源，DDoS攻擊如圖3所示。圖3DDoS攻擊2.4網(wǎng)絡類攻擊的防御手段（1）防火墻通過在大中型企業(yè)、數(shù)據(jù)中心等網(wǎng)絡的內網(wǎng)出口處部署防火墻，可以防范各種常見的DDoS攻擊，而且還可以對傳統(tǒng)單包攻擊進行有效地防范。（2）AntiDDoS設備Anti-DDoS解決方案，面向運營商、企業(yè)、數(shù)據(jù)中心、門戶網(wǎng)站、在線游戲、在線視頻、DNS域名服務等提供專業(yè)DDoS攻擊防護。3應用安全威脅3.1漏洞帶來的威脅漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統(tǒng)。由于不及時對系統(tǒng)漏洞進行修復，將會帶來以下攻擊：注入攻擊、跨站腳本攻擊、惡意代碼傳播、數(shù)據(jù)泄露3.2釣魚攻擊“釣魚”是一種網(wǎng)絡欺詐行為，指不法分子利用各種手段，仿冒真實網(wǎng)站的URL地址以及頁面內容，或利用真實網(wǎng)站服務器程序上的漏洞在站點的某些網(wǎng)頁中插入危險的HTML代碼，以此來騙取用戶銀行或信用卡賬號、密碼等