文章編號(hào)：1672-5913(2008)12-0113-04

摘要：本文提出階梯式的驗(yàn)證性實(shí)驗(yàn)教學(xué)方法，即將多個(gè)獨(dú)立的實(shí)驗(yàn)按照所需安全技術(shù)水平的高低有機(jī)的組織起來，從而在短時(shí)間內(nèi)取得較好的實(shí)驗(yàn)教學(xué)效果。

關(guān)鍵詞：信息安全導(dǎo)論；階梯式實(shí)驗(yàn)教學(xué)；驗(yàn)證性實(shí)驗(yàn)

中圖分類號(hào)：G642

文獻(xiàn)標(biāo)識(shí)碼：A

1課程概述

“信息安全導(dǎo)論”是面向計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)和網(wǎng)絡(luò)工程專業(yè)學(xué)員的一門專業(yè)技術(shù)課程。隨著部隊(duì)信息化建設(shè)的迅猛發(fā)展，部隊(duì)對(duì)信息系統(tǒng)的依賴日益加重，信息安全問題日益突出，因此在利用信息化提升部隊(duì)?wèi)?zhàn)斗力的同時(shí)，必須研究信息安全的自身特點(diǎn)，尋找信息安全問題的解決之道。

本課程要求學(xué)員了解信息安全的重要性和復(fù)雜性、理解信息安全的基本概念和基本原理、掌握信息安全的基本技能和基本方法。而實(shí)驗(yàn)教學(xué)的主要目的是讓學(xué)員通過實(shí)驗(yàn)?zāi)軌蛘莆栈镜男畔踩雷o(hù)技能，了解系統(tǒng)存在的安全隱患，樹立牢固的安全意識(shí)，培養(yǎng)良好的安全習(xí)慣，另一方面提高實(shí)踐操作和應(yīng)用能力。

課程的課內(nèi)學(xué)時(shí)為32課時(shí)，課外學(xué)時(shí)即實(shí)驗(yàn)學(xué)時(shí)為12學(xué)時(shí)。課程內(nèi)容基本覆蓋了信息安全領(lǐng)域所涉及的主要分支和領(lǐng)域，共包括信息安全緒論、密碼學(xué)基礎(chǔ)、計(jì)算機(jī)系統(tǒng)安全、計(jì)算機(jī)網(wǎng)絡(luò)安全、計(jì)算機(jī)應(yīng)用安全和信息系統(tǒng)安全工程六章內(nèi)容。而課外實(shí)驗(yàn)由于學(xué)時(shí)有限，只能在課程內(nèi)容中進(jìn)行適當(dāng)?shù)倪x擇。

2實(shí)驗(yàn)教學(xué)內(nèi)容選擇

由于時(shí)間有限，應(yīng)該優(yōu)先選擇最基本、最常用的安全技術(shù)方面的實(shí)驗(yàn)，并按照所需技術(shù)水平的高低進(jìn)行階梯式的安排。

根據(jù)這一原則在整個(gè)課程中計(jì)算機(jī)系統(tǒng)安全章節(jié)、計(jì)算機(jī)網(wǎng)絡(luò)安全章節(jié)中涉及的內(nèi)容成為實(shí)驗(yàn)內(nèi)容安排的重點(diǎn)。

2.1計(jì)算機(jī)系統(tǒng)安全的實(shí)驗(yàn)內(nèi)容選擇

在計(jì)算機(jī)系統(tǒng)安全章節(jié)中的計(jì)算機(jī)操作系統(tǒng)的安全內(nèi)容成為實(shí)驗(yàn)內(nèi)容的首選。計(jì)算機(jī)操作系統(tǒng)是應(yīng)用軟件同系統(tǒng)硬件的接口，其目標(biāo)是高效地、最大限度地、合理地使用計(jì)算機(jī)資源。沒有系統(tǒng)的安全就沒有信息的安全。操作系統(tǒng)作為系統(tǒng)軟件中最基礎(chǔ)的部分，其安全問題的解決最為關(guān)鍵。目前操作系統(tǒng)主要分為Windows系列的操作系統(tǒng)和類Unix的操作系統(tǒng)。雖然這些操作系統(tǒng)符合C2級(jí)安全級(jí)別，即自主安全保護(hù)和受控存儲(chǔ)控制，但操作系統(tǒng)仍存在不少安全漏洞，而大多數(shù)惡意代碼正是針對(duì)操作系統(tǒng)存在的安全漏洞進(jìn)行攻擊，因此導(dǎo)致出現(xiàn)很多安全問題。

為了讓學(xué)員了解操作系統(tǒng)存在的安全漏洞以及攻擊者入侵操作系統(tǒng)的手段，加強(qiáng)自身的安全意識(shí)，我們?cè)O(shè)計(jì)了一個(gè)Windows 2000漏洞入侵實(shí)驗(yàn)。實(shí)際上，對(duì)于大部分的安全問題，我們可以通過對(duì)操作系統(tǒng)的安全管理配置操作來進(jìn)行防范。在實(shí)驗(yàn)內(nèi)容中，我們選擇Windows 2000和Linux操作系統(tǒng)進(jìn)行操作系統(tǒng)的安全管理配置操作的學(xué)習(xí)。

2.2計(jì)算機(jī)網(wǎng)絡(luò)安全的實(shí)驗(yàn)內(nèi)容選擇

在計(jì)算機(jī)網(wǎng)絡(luò)安全章節(jié)中防火墻技術(shù)、嗅探技術(shù)和VPN技術(shù)被選擇為實(shí)驗(yàn)的內(nèi)容。

許多來自網(wǎng)絡(luò)的遠(yuǎn)程攻擊可以通過防火墻技術(shù)來進(jìn)行防范。防火墻是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一組硬件和軟件系統(tǒng)，其目的是保護(hù)本地網(wǎng)絡(luò)的通信安全。使用防火墻進(jìn)行網(wǎng)絡(luò)的安全防護(hù)是最常用的安全技術(shù)。據(jù)統(tǒng)計(jì)，全球接入因特網(wǎng)的計(jì)算機(jī)中有1/3以上處在防火墻保護(hù)之下。因此，理解防火墻的工作原理，并能根據(jù)定義的安全策略配置相應(yīng)的安全規(guī)則是學(xué)習(xí)安全技術(shù)的一個(gè)重點(diǎn)。

嗅探技術(shù)主要通過將網(wǎng)卡設(shè)置為混雜模式來接收和分析所有經(jīng)過網(wǎng)卡的數(shù)據(jù)包。而利用嗅探器竊取別人的用戶密碼和秘密信息是惡意攻擊者常用的手段。通過學(xué)習(xí)嗅探器的使用，可以使學(xué)員們了解數(shù)據(jù)包的基本結(jié)構(gòu)，從而加深對(duì)后階段實(shí)驗(yàn)的理解，同時(shí)增強(qiáng)數(shù)據(jù)包在網(wǎng)絡(luò)上傳輸時(shí)需要安全保護(hù)的意識(shí)。

在學(xué)習(xí)嗅探器使用的實(shí)驗(yàn)中，學(xué)員已經(jīng)認(rèn)識(shí)到數(shù)據(jù)包在網(wǎng)絡(luò)上傳輸?shù)牟话踩?。而VPN技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)安全傳輸?shù)囊环N安全技術(shù)。VPN稱為虛擬專用網(wǎng)，它是在因特網(wǎng)上實(shí)現(xiàn)的一個(gè)專用網(wǎng)絡(luò)。由于利用VPN技術(shù)構(gòu)建的虛擬網(wǎng)絡(luò)中數(shù)據(jù)包是加密傳輸?shù)模瑥亩軌虮ＷC信息在網(wǎng)絡(luò)傳輸?shù)臋C(jī)密性。通過學(xué)習(xí)VPN服務(wù)的配置和連接的建立技術(shù)，可以加深學(xué)員對(duì)VPN技術(shù)的理解。

最后，學(xué)員通過學(xué)習(xí)本門課程不斷地提高自身信息安全技術(shù)水平，并按照如圖1的階梯式實(shí)驗(yàn)內(nèi)容的安排進(jìn)行學(xué)習(xí)，能夠了解入侵操作系統(tǒng)的典型攻擊手段、掌握主流操作系統(tǒng)的安全管理配置操作、掌握防火墻的基本配置和使用、學(xué)會(huì)嗅探工具的使用和掌握VPN服務(wù)的配置和連接。

3實(shí)驗(yàn)內(nèi)容設(shè)計(jì)

根據(jù)圖1的安排，整個(gè)實(shí)驗(yàn)課程的內(nèi)容包括六個(gè)實(shí)驗(yàn)。每個(gè)實(shí)驗(yàn)所占課時(shí)為2個(gè)課時(shí)，為了讓學(xué)員們能夠在短時(shí)間達(dá)到實(shí)驗(yàn)要求，實(shí)驗(yàn)內(nèi)容主要以驗(yàn)證性的實(shí)驗(yàn)為主，部分提高型的設(shè)計(jì)實(shí)驗(yàn)為輔。驗(yàn)證性的實(shí)驗(yàn)內(nèi)容的實(shí)驗(yàn)步驟比較詳細(xì)，力爭(zhēng)學(xué)員在實(shí)驗(yàn)課時(shí)間內(nèi)完成所需實(shí)驗(yàn)，而提高型的實(shí)驗(yàn)內(nèi)容用于部分感興趣的同學(xué)在課后進(jìn)一步提高技術(shù)水平。

3.1Windows 2000漏洞入侵的實(shí)驗(yàn)內(nèi)容

操作系統(tǒng)存在許多安全漏洞如緩沖區(qū)溢出，很多攻擊都是針對(duì)這些漏洞進(jìn)行的。此次實(shí)驗(yàn)的操作系統(tǒng)選擇的是Windows 2000。實(shí)驗(yàn)的主要目的是讓學(xué)員們了解典型入侵過程，提高安全意識(shí)。針對(duì)漏洞入侵的典型過程如圖2。在入侵典型過程中安裝后門和清除入侵痕跡不屬于必備環(huán)節(jié)，而是較高級(jí)的攻擊者采取的方法。

此次實(shí)驗(yàn)的主要內(nèi)容是設(shè)計(jì)兩個(gè)可驗(yàn)證步驟的漏洞入侵過程，讓學(xué)員可以在實(shí)驗(yàn)課時(shí)內(nèi)按照實(shí)驗(yàn)步驟完成實(shí)驗(yàn)。這兩個(gè)入侵過程分別為：1433溢出漏洞攻擊和弱口令入侵。第一個(gè)實(shí)驗(yàn)包括了典型入侵過程的主要環(huán)節(jié)。第二個(gè)實(shí)驗(yàn)進(jìn)一步提高學(xué)習(xí)內(nèi)容，包括了安裝后門的環(huán)節(jié)。

3.2操作系統(tǒng)的安全配置實(shí)驗(yàn)內(nèi)容

針對(duì)攻擊者的攻擊，實(shí)際上可以通過對(duì)操作系統(tǒng)進(jìn)行安全管理配置的操作來進(jìn)行防范。操作系統(tǒng)的安全配置實(shí)驗(yàn)包括Windows的安全管理配置和Linux的安全管理配置兩次實(shí)驗(yàn)。

這兩次實(shí)驗(yàn)的具體操作雖然不同，但實(shí)驗(yàn)的內(nèi)容是相同的。每次的實(shí)驗(yàn)內(nèi)容包括三部分：系統(tǒng)用戶管理、系統(tǒng)服務(wù)管理和系統(tǒng)安全配置。

多用戶的操作系統(tǒng)通過將用戶進(jìn)行分組的管理，每組賦予不同的權(quán)限，來限制用戶對(duì)系統(tǒng)資源的使用，從而防止非授權(quán)用戶進(jìn)行非法操作。通過系統(tǒng)用戶管理的學(xué)習(xí)，學(xué)員不僅可以掌握如何增加和刪除用戶，而且還可以學(xué)會(huì)如何修改用戶權(quán)限。

由于針對(duì)操作系統(tǒng)的漏洞進(jìn)行攻擊是攻擊者的主要手段，因此操作系統(tǒng)應(yīng)遵循最小特權(quán)原則，盡可能關(guān)閉不需要的服務(wù)。通過系統(tǒng)服務(wù)管理，學(xué)員可以知道如何根據(jù)需求關(guān)閉特定的服務(wù)和端口。

為了防御攻擊，操作系統(tǒng)還可以進(jìn)行專門的安全配置。審核策略就是其中的一項(xiàng)重要的功能。審核策略可以對(duì)特定事件如登陸失敗的事件進(jìn)行日志記錄。系統(tǒng)管理員通過對(duì)日志記錄進(jìn)行分析可以對(duì)攻擊者的攻擊行為進(jìn)行事后追蹤。同時(shí)，管理員還可以發(fā)現(xiàn)攻擊者的不良企圖，從而加強(qiáng)對(duì)系統(tǒng)的防護(hù)。

3.3嗅探工具Sniffer的使用的實(shí)驗(yàn)內(nèi)容

利用嗅探器竊取別人的用戶密碼和秘密信息是惡意攻擊者常用的手段。此實(shí)驗(yàn)的目的是通過學(xué)習(xí)典型嗅探器sniffer的使用了解數(shù)據(jù)包的結(jié)構(gòu)，加深學(xué)員對(duì)后階段實(shí)驗(yàn)的理解，并增強(qiáng)學(xué)員對(duì)數(shù)據(jù)包在網(wǎng)絡(luò)傳輸要進(jìn)行保護(hù)的安全意識(shí)。

整次實(shí)驗(yàn)包括如何利用嗅探器sniffer對(duì)報(bào)文進(jìn)行捕獲、解碼和編寫報(bào)文的內(nèi)容。其中報(bào)文捕獲和解碼是基本學(xué)習(xí)內(nèi)容，而編寫報(bào)文為提高內(nèi)容。

報(bào)文捕獲的實(shí)驗(yàn)內(nèi)容如下：

利用sniffer工具捕獲指定目標(biāo)機(jī)發(fā)出的所有數(shù)據(jù)包。

利用sniffer分析捕獲的報(bào)文。讓學(xué)員兩人一組：一人在目標(biāo)機(jī)上登錄某網(wǎng)站并輸入用戶名和密碼；一人捕獲其發(fā)出的數(shù)據(jù)包并分析出用戶名和密碼。

報(bào)文解碼的實(shí)驗(yàn)內(nèi)容包括熟悉各種協(xié)議報(bào)文結(jié)構(gòu)并對(duì)捕獲的IP報(bào)文主要是報(bào)文頭部的各種信息進(jìn)行分析。

編寫報(bào)文的實(shí)驗(yàn)內(nèi)容是利用sniffer提供的報(bào)文編輯功能，自行編寫一個(gè)IP報(bào)文并發(fā)送到合作伙伴的目標(biāo)機(jī)上，并由合作伙伴捕獲進(jìn)行分析。

3.4防火墻iptables的啟用與配置的實(shí)驗(yàn)內(nèi)容

使用防火墻是防范攻擊者攻擊的一種最常用的安全技術(shù)。此實(shí)驗(yàn)的目的是通過啟動(dòng)配置linux系統(tǒng)下的防火墻iptables，理解防火墻的工作原理，并能根據(jù)定義的安全策略配置相應(yīng)的安全規(guī)則。

此次實(shí)驗(yàn)需要兩臺(tái)機(jī)器，可驗(yàn)證的實(shí)驗(yàn)步驟如下：

(1) 一臺(tái)機(jī)器啟動(dòng)防火墻iptables，充當(dāng)服務(wù)器。

(2) 服務(wù)器清空防火墻的過濾規(guī)則表。

(3) 另一臺(tái)機(jī)器充當(dāng)客戶機(jī)，使用掃描器nmap對(duì)服務(wù)器進(jìn)行掃描，發(fā)現(xiàn)其開放的服務(wù)，并使用其提供的服務(wù)。

(4) 服務(wù)器配置報(bào)文過濾表使得客戶機(jī)不能訪問服務(wù)器提供的任何服務(wù)。

(5) 客戶機(jī)再次訪問服務(wù)器，已不能使用其提供的服務(wù)。

3.5VPN服務(wù)器配置與連接的實(shí)驗(yàn)內(nèi)容

VPN技術(shù)是在因特網(wǎng)上構(gòu)建的虛擬專用網(wǎng)絡(luò)。它通過一套復(fù)雜的協(xié)議來保證數(shù)據(jù)包在網(wǎng)絡(luò)上進(jìn)行安全的傳輸。此實(shí)驗(yàn)的目的就是通過對(duì)學(xué)習(xí)VPN服務(wù)器的配置和連接建立來加深學(xué)員對(duì)VPN概念的理解。

實(shí)驗(yàn)內(nèi)容選擇學(xué)習(xí)VPN中最常用的一種訪問連接方式——遠(yuǎn)程訪問連接方式。通過虛擬專用網(wǎng)的遠(yuǎn)程訪問方式，VPN客戶端可以通過IP網(wǎng)絡(luò)(例如因特網(wǎng))與充當(dāng)VPN服務(wù)器的遠(yuǎn)程訪問服務(wù)器建立虛擬點(diǎn)對(duì)點(diǎn)連接。這種方式最適用于公司內(nèi)部經(jīng)常有流動(dòng)人員遠(yuǎn)程辦公的情況。

可驗(yàn)證的實(shí)驗(yàn)步驟包括：

(1) 配置和啟動(dòng)Windows 2000 Server下的VPN服務(wù)器。

(2) 授予用戶通過VPN連接服務(wù)器的權(quán)限。

(3) 授權(quán)用戶與VPN服務(wù)器建立VPN連接。

4教學(xué)效果

信息安全導(dǎo)論實(shí)驗(yàn)課程的每次實(shí)驗(yàn)都需要提交實(shí)驗(yàn)報(bào)告來考察實(shí)驗(yàn)教學(xué)的效果。從提交的實(shí)驗(yàn)報(bào)告來看，所有學(xué)員都在既定時(shí)間內(nèi)完成了實(shí)驗(yàn)規(guī)定的基本內(nèi)容，而部分學(xué)員在課外時(shí)間完成了提高部分的內(nèi)容。信息安全導(dǎo)論課程的總評(píng)分中筆試占70%，實(shí)驗(yàn)成績(jī)占30%。整個(gè)課程的成績(jī)?cè)诹己靡陨系膶W(xué)員占30%，中以上的學(xué)員占80%，達(dá)到預(yù)期目標(biāo)。

課程學(xué)習(xí)結(jié)束后，我們對(duì)學(xué)員進(jìn)行了調(diào)查，學(xué)員普遍反映通過實(shí)驗(yàn)課的學(xué)習(xí)加深了對(duì)信息安全技術(shù)的理解，同時(shí)提高了自身的安全意識(shí)。

參考文獻(xiàn)

[1] 威特曼著，齊立博譯. 信息安全原理(第二版)[M]. 北京:清華大學(xué)出版社，2006.

[2] 段云所，魏仕民，唐禮勇，陳鐘. 信息安全概論[M]. 北京:高等教育出版社，2003.

[3] 王景中，徐小青. 計(jì)算機(jī)通信信息安全技術(shù)[M]. 北京:清華大學(xué)出版社，2006.

Study and Practice on Information Security Introduction

ZHENG Qian-bingYAO Dan-linZHAO Wen-tao

(National University of Defense Technology， School of Computer， Hunan Changsha， 410073)

Abstract: This paper puts forwards a staged and validated experiment teaching method which organizes many independent experiments logically according to their difficulty and content. With this method， students get expectant experiment effect in the limited time.

Keywords: Information security introduction; staged experiment teaching; validated experiment