电子商务网络技术基础教学教案（高教版）——网络系统安全综合解决方案 .doc

【课题】 10.4 网络系统安全综合解决方案 【教材版本】 电子商务网络技术基础/刘弈，谢先彬主编—北京：高等教育出版社，2001（2007重印） 【教学目标】 知识目标：网络安全。 能力目标：1.网络系统安全综合解决方案的掌握。 【教学重点、难点】 教学重点：网络安全。 教学难点：网络系统安全综合解决方案的掌握 教学途径： 多用具体实例解释抽象概念，以便于学生接受和理解。 【教学媒体及教学方法】 制作PPT。 演示法、讲授法、分组讨论法。 【课时安排】 2课时（90分钟）。 【教学过程】 第一环节 导入（5分钟） 上一节课，我们共同学习了防火墙的安全技术分析和防火墙的基本类型，现在我们一起回忆一下吧！ （1）实现防火墙的技术：应用级网关、电路级网关、规则检查防火墙、 （2）防火墙的配置 (3) 防火墙的安全措施 （4）防火墙在大型网络系统中的部署 （5）防火墙在网络系统中的作用 ①控制进出网络的信息流向和信息包； ②提供网络使用流量的日志各审计； ③隐藏内部IP地址用网络结构的细节； ④提供VPN功能。 第二环节 新授课（70分钟） 网络系统安全综合解决方案 [讲解] 1．安全系统性 2．系统安全结构 [分析] 系统安全性 国际标准化组织（ISO）将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”此概念偏重于静态信息保护。也有人将“计算机安全”定义为：“计算机的硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄露，系统连续正常运行。”该定义着重于动态意义描述。计算机安全的内容应包括两方面：即物理安全和逻辑安全。物理安全指系统设备及相关设备受到物理保护，免于破坏、丢失等。逻辑安全包括信息完整性、保密性和可用性： ①保密性指高级别信息仅在授情况下流向低级的客体与主体； ②完整性指信息不会被非授权修改及信息保持一致性等； ③可用性指合法用记的正常请求能及时、正确、安全地得到服务或回应。 一个系统存在的安全问题可能主要来源于两方面：或者是安全控制机构有故障；或者是系统安全定义有缺陷。前者是一个软件可靠性问题，可以用优秀的软件设计技术配合特殊的安全方针加以克服；而后者则需要精确描述安全系统。 [分组讨论] 学生根据前面演示的具体事例，分组讨论系统安全性。 [演示] 教师用幻灯片演示具体事例,来说明网络系统安全综合解决方案 2．系统安全结构 [分析] （1）系统结构 网络系统的安全涉及到平台的各个方面。按照网络OSI的７层模型，网络安全贯穿于整个７层模型。针对网络系统实际运行的TCP／IP协议，网络安全贯穿于信息系统的４个层次。物理层信息安全，主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击（干扰等）。链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN（局域网）、加密通信（远程网）等手段。 网络层的安全需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或监听。操作系统安全要求保证客户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计。 应用平台指建立在网络系统之上的应用软件服务，如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂，通常采用多种技术（如SSL等）来增强应用平台的安全性。 应用系统完成网络系统的最终目的是为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全，如通信内容安全，通信双方的认证，审计等手段。 （2）系统功能 ：访问控制；检查安全漏洞；攻击监控；加密通信；认证；备份和恢复；多层防御；设立安全监控中心； （3）局域网安全解决方案网 ： 网络分段； 网络分段可分为物理分段和逻辑分段两种方式：物理分段，通常是指将网络从物理层和数据链路层（ISO／OSI模型中的第一层和第二层）上分为若干网段，各网段相互之间无法进行直接通信。目前，许多交换机都有一定的访问控制能力，可实现对网络的物理分段。 VLAN的实现； ①VLAN的概念。虚拟网（VLAN）技术主要基于近年发展的局域网交换技术（ATM和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通信的范围而无需通过开销很大的路由器。以太网从本质上基于广播机制，但应用了交换机和VLAN技术后，实际上转变为点到点通信，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题。 ②VLAN之间的划分原则。划分VLAN的目的是保证系统的安全性。因此，可以按照系统的安全性来划分VLAN：可