“信息安全概論”實踐教學的探索

李洪偉

摘要:“信息安全概論”是一門實踐性很強的課程,建設一個滿足信息安全專業教學要求的實驗教學體系是培養合格的信息安全人才的關鍵之一。本文分析了信息安全概論實踐教學的目標,闡述了具體實驗項目及其設計理念。

關鍵詞:信息安全概論;實踐教學;實驗設計

中圖分類號:G642 文獻標識碼:B

1引言

信息安全是計算機學科下的二級學科,是一門新興的學科。它涉及通信學、計算機科學、信息學和數學等多個學科,主要研究范圍涉及計算機及網絡安全的各個方面。“信息安全概論” 課程是信息安全專業的專業基礎課程,也是提高學生計算機水平的重要組成部分。但信息安全概論同時也是學生們認為比較難學的專業課程之一。其原因如下:信息安全概論課程講述的是計算機資源管理的原理和機制,其中包含了許多抽象的概念和算法,學生學習起來感覺“大而空”。因此,信息安全概論實踐教學作為教學輔助環節十分重要,它的作用在于通過動手做實驗,幫助學生解決從抽象理論到具體對象的認識問題,培養學生應用知識解決問題的能力。

近年來,我們針對不同的教學對象和教學要求,精心設計了多種方式的實驗項目,在信息安全概論實踐教學上做了一些有益的探索。本文首先分析信息安全概論實踐教學的目標,然后說明如何具體設計實驗項目。

2實踐教學目標

我們認為,信息安全概論實踐教學作為輔助教學環節,有兩個主要目標。

(1) 幫助學生理解信息安全概論的基本概念、原理和機制

信息安全概論包含了許多抽象的基本概念如訪問控制、安全模型和系統可靠性,也包含了復雜的算法和機制,如對稱加密和身份認證。這些知識對于本科學生而言是比較難以理解的,因為他們平時很少也很難窺視到信息安全概論的內部。信息安全概論的實踐教學應該讓學生了解一個真實信息安全概論的內部實現,從而幫助學生更好地理解信息安全概論的基本概念、原理和機制。

(2) 培養學生應用信息安全概論知識的能力

信息安全概論是計算機系統中的核心軟件,從事計算機行業的專業人員都需要信息安全概論的原理知識,但他們擔任的角色不同,面臨的問題就不同,因而所具備的信息安全概論知識的應用能力也不同。信息安全概論的實踐教學必須考慮到不同能力培養的特點,以滿足學生未來任職需要。

3實驗項目設計

我們在上述的實踐教學目標的指導下,設計了多個實驗項目,內容從安全技術層面上涵蓋了主機安全技術、認證技術、訪問控制技術、防火墻技術、入侵檢測技術等。從工程技術層面上則涵蓋了計算機系統、計算機網絡、計算機通信和信息數據庫和網站安全等多學科工程技術知識。考慮到學生的知識和經驗背景,實驗項目的安排從簡到難,從依靠指導到自主設計。除必做的實驗項目外,還設計了選做的實驗項目,為有能力的同學提供更多的學習空間。下面分別介紹我們設計的9個實驗項目。其中,前3個實驗項目是密碼學理論實驗項目,使學生掌握如何使用工具實現密碼學中的算法;第4、5個實驗幫助學生理解網絡中設備配置的實現過程;后4個實驗項目是攻擊性實驗,讓學生體驗信息安全中攻擊的全過程。

(1)DES算法實現

該項實驗的目的是培養密碼算法的設計思想、掌握密碼算法的實現技術。實驗內容是:通過編寫DES算法的實現程序,理解DES算法的原理;分析DES算法的優點和缺點;掌握DES算法設計、實現和分析等階段的方法。實驗中使用的軟件資源:Windows 2000操作系統軟件和Visual C++應用開發軟件等。

(2)RSA加密算法實現

該項實驗的目的是深刻理解RSA算法的原理、掌握大整數運算的方法。實驗內容是:編程實現RSA算法,并能進行文件的加密和解密。實驗中使用的軟件資源:Windows 2000操作系統軟件、Visual C++應用開發軟件和SQL Server數據庫軟件。

(3)PKI的配置和應用

該項實驗的目的是了解PKI在信息安全中的作用。了解在SSL和PGP中應用證書的方法。掌握在局域網中正確配置PKI的方法。學會利用CA管理和發放用戶證書和對證書生命期進行管理,并能利用證書實現安全Web訪問和安全電子郵件。實驗內容是:安裝并配置PKI系統;跟據安全策略實現證書發放;利用瀏覽器查看證書內容;利用證書配置SSL,實現對網站的安全訪問;利用證書配置PGP,實現安全的電子郵件。實驗中使用的軟件資源:Windows 2000操作系統軟件和MyPKI應用軟件。

(4) 路由器配置

該項實驗的目的是了解網絡互聯原理和所需硬件功能。掌握路由器IP路由功能的配置方法,實現兩個局域網之間的相互連接與通信。實驗內容:在聯想天工路由器上完成以下配置,配置以太口、配置串口、運行動態路由協議RIP、配置網關、加入靜態路由、主機配置和測試配置結果。實驗中使用的硬件資源:個人計算機、路由器和Console配置線。

(5) 防火墻設計

該項實驗的目的是了解防火墻安全技術原理與應用,學會利用路由器的屏蔽功能配置包過濾防火墻的方法,掌握根據不同的安全需求制定安全規則和建立訪問控制列表的方法。實驗內容:配置包過濾防火墻,將硬件路由器配置成如下功能——內部網絡通過Serial0訪問Internet,局域網對外提供www、ftp和MS SQL數據庫服務;利用掃描軟件進行掃描測試,根據測試結果調整規則設置;利用攻擊軟件進行測試,根據測試結果調整規則設置。實驗中使用的軟硬件資源:PC一臺、路由器一臺、Windows 2000操作系統軟件和Console配置線。

(6) 口令攻擊

該項實驗的目的是通過對操作系統口令攻擊程序的開發,使學生了解口令作為身份認證機制的脆弱性和口令攻擊原理,理解如何增強口令機制的安全性。掌握一種破解口令的程序設計方法。實驗內容有:用C++語言(或其他語言)編寫一個帶操作控制窗口的口令破解程序。實現對本地和遠程主機的口令破解。實驗中使用的軟件資源:Windows 2000操作系統軟件和VC++應用開發軟件等。

(7) 網頁木馬攻擊

該項實驗的目的是通過對網頁木馬的編寫,了解木馬的工作原理及功能。掌握利用IE瀏覽器漏洞進行木馬種植的方法,實現修改遠程目標機網頁標題的木馬攻擊。實驗內容是:擬定木馬制作和種植方案;配置測試網站;編寫制作一個網頁木馬,使客戶端通過瀏覽頁面感染木馬;測試運行,檢查并記錄實驗結果。實驗中使用的軟硬件資源:Windows 2000操作系統軟件和VC++應用開發軟件等。

(8) 遠程注冊表攻擊

該項實驗的目的是通過對注冊表的攻擊,了解注冊表在Windows系統注冊表的結構和在系統安全中的重要性,了解注冊表的安全配置方法,掌握實現一種遠程注冊表入侵的程序設計方法。實驗內容有:確定注冊表攻擊方案,編寫一個程序完成如下功能:創建操作控制窗口,通過修改注冊表中相應鍵值改變遠程目標機瀏覽器窗口標題以實現對遠程主機注冊表的攻擊;測試運行。實驗中使用的軟硬件資源:Windows 2000操作系統軟件和VC++應用開發軟件等。

(9) 網站攻擊

該項實驗的目的是通過對Web網站的模擬攻擊,了解DOS攻擊的原理及危害。掌握DOS攻擊的程序設計方法,并利用該程序對Web服務器進行攻擊。實驗內容有:搭建一個測試網站;擬定網站攻擊方案;編寫一個程序,完成以下功能:創建操作控制顯示窗口,確定被攻擊服務器的IP地址并顯示在屏幕上;修改被攻擊網站的網頁標題等。實驗中使用的軟硬件資源:Windows 2000操作系統軟件、VC++應用開發軟件和IIS服務器軟件。

4結束語

“信息安全概論”是一門實踐性很強的課程,建設一個滿足信息安全專業教學要求的實驗教學體系是培養合格的信息安全人才的關鍵之一。本文在信息安全概論實踐教學中做了一些有益的工作,教學效果也不錯,但還存在一些問題有待于進一步研究和探索。例如,如何與課堂教學互補,進一步激發學生學習信息安全概論的興趣;如何通過構建實驗平臺將信息安全概論中更多的機制(認證機制、簽名機制等)呈現給學生;如何設計更為實用的、學生自主性更強的實驗項目等。

參考文獻:

[1] 威特曼. 信息安全原理[M]. 齊立博,譯. 2版. 北京:清華大學出版社,2006.

[2] 段云所,魏仕民,唐禮勇,等. 信息安全概論[M]. 北京:高等教育出版社,2003.

[3] 王景中,徐小青. 計算機通信信息安全技術[M]. 北京:清華大學出版社,2006.

[4] 張煥國,王麗娜. 信息安全綜合實驗教程[M]. 武漢:武漢大學出版社,2006.

[5] 龔方紅,湯正華,蔣必彪. 試論工程教育中的本科實驗教學改革[J]. 中國高教研究,2006(4):86-87.

[6] 卿斯漢,蔣建春.網絡功防技術原理與實踐[M]. 北京:科學出版社,2004.

[7] 彭國軍,張煥國.論高校師生信息安全意識培養的必要性[C]//全國計算機新科技與計算機教育論文集. 2006.

[8] 王昭順. 信息安全本科專業人才培養的研究[J]. 計算機教育,2006(10):30-32.