《網(wǎng)絡(luò)攻防原理》課程標(biāo)準(zhǔn)

課程編號(hào)：

英文名稱(chēng)：PrinciplesofNetworkAttackandDefense

考核性質(zhì)：

總學(xué)時(shí)數(shù)：30+20

折算學(xué)分：

開(kāi)課學(xué)期：

教學(xué)對(duì)象：

一、課程概述

（-）課程地位

當(dāng)前網(wǎng)絡(luò)已經(jīng)深入到社會(huì)發(fā)展和人們生活的各個(gè)領(lǐng)域。由于計(jì)算機(jī)網(wǎng)絡(luò)的高度開(kāi)放性和共

享性，使得對(duì)于網(wǎng)絡(luò)的攻擊手段層出不窮，攻擊力度日益增加，使網(wǎng)絡(luò)的安全問(wèn)題尤為突出。

與此同時(shí)，國(guó)家網(wǎng)絡(luò)攻防力量的參與，也使得網(wǎng)絡(luò)空間安全也上升到了國(guó)家安全的戰(zhàn)略高度。

通過(guò)本門(mén)課程的教學(xué)，可以使學(xué)生比較全面地了解網(wǎng)絡(luò)攻擊與防護(hù)的基本理論、方法與發(fā)展動(dòng)

向，培養(yǎng)學(xué)生具有科學(xué)思維方法、較強(qiáng)的理論基礎(chǔ)、較高思想素質(zhì)與業(yè)務(wù)素質(zhì)，能夠運(yùn)用所學(xué)

的知識(shí)駕御未來(lái)數(shù)字化戰(zhàn)場(chǎng)信息對(duì)抗的能力。

（二）課程性質(zhì)

本課程是XX本科專(zhuān)業(yè)的一門(mén)基礎(chǔ)專(zhuān)業(yè)課程。

（H）基本理念

遵循實(shí)施素質(zhì)教育、突出創(chuàng)新能力培養(yǎng)的指導(dǎo)思想，教學(xué)過(guò)程中要強(qiáng)調(diào)以素質(zhì)教育和創(chuàng)新

教育為主，使學(xué)生夯實(shí)基本知識(shí)、掌握基本技能、培養(yǎng)基本能力、提高基本素質(zhì)。努力優(yōu)化教

學(xué)內(nèi)容、改革教學(xué)方法、完善教學(xué)過(guò)程，切實(shí)突出學(xué)生學(xué)習(xí)的主體地位。

（四）設(shè)計(jì)思路

以當(dāng)前網(wǎng)絡(luò)攻防的基礎(chǔ)知識(shí)和前沿技術(shù)認(rèn)真選擇課程內(nèi)容，重點(diǎn)突出網(wǎng)絡(luò)攻擊知識(shí)；以知

識(shí)驗(yàn)證、綜合分析、創(chuàng)新設(shè)計(jì)為原則設(shè)計(jì)實(shí)驗(yàn)內(nèi)容：優(yōu)化考核方式，建立以衡量綜合素質(zhì)為依

據(jù)的評(píng)分標(biāo)準(zhǔn)，采用隨堂討論、理論考試、指定實(shí)驗(yàn)、自主實(shí)驗(yàn)等綜合測(cè)試評(píng)估的方法評(píng)定課

程成績(jī)；教學(xué)方法由傳統(tǒng)的“注入式知識(shí)傳授”轉(zhuǎn)變?yōu)椤把芯渴剿刭|(zhì)教育”：授課方式由“連

續(xù)型細(xì)節(jié)式授課”轉(zhuǎn)變?yōu)椤皢l(fā)式專(zhuān)題授課”；教學(xué)形式由“單一的課堂教學(xué)”轉(zhuǎn)變?yōu)椤岸嘈?/p>

式的互動(dòng)交流二建立“以學(xué)生為主體、以教師為主導(dǎo)”的基于探索和研究的教學(xué)模式，激發(fā)

每個(gè)學(xué)生的特長(zhǎng)和潛能，鼓勵(lì)并引導(dǎo)他們的求知欲、想象力、創(chuàng)新欲和探索精神。

二、課程目標(biāo)

（-）總體目標(biāo)

通過(guò)本課程的學(xué)習(xí)，掌握網(wǎng)絡(luò)攻擊與防護(hù)的基本概念、基本理論和基本方法、基本技能，

特別是網(wǎng)絡(luò)攻擊能力，培養(yǎng)分析、歸納、綜合及相互協(xié)作能力，進(jìn)而提高創(chuàng)新能力，為以后的

工作奠定必要的理論和實(shí)踐基礎(chǔ)。

（二）分類(lèi)目標(biāo)

1、知識(shí)與技能

理解與網(wǎng)絡(luò)對(duì)抗有關(guān)的基本概念；掌握常見(jiàn)的網(wǎng)絡(luò)攻擊技術(shù)及方法，主要包括：網(wǎng)絡(luò)偵察

技術(shù)、網(wǎng)絡(luò)掃描技術(shù)、口令攻擊技術(shù)、緩沖區(qū)溢出攻擊技術(shù)、木馬攻擊技術(shù)、拒絕服務(wù)攻擊技

術(shù)、網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)、Web應(yīng)用攻擊技術(shù)、社會(huì)工程學(xué)等內(nèi)容；掌握最基本的網(wǎng)絡(luò)防護(hù)技術(shù)的基

本原理，包括：密碼學(xué)基礎(chǔ)、網(wǎng)絡(luò)防火墻技術(shù)、入侵檢測(cè)與網(wǎng)絡(luò)欺騙防御等。

優(yōu)等生應(yīng)具有以下能力：

利用所學(xué)知識(shí)對(duì)目標(biāo)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)實(shí)施攻擊的能力；為目標(biāo)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)設(shè)計(jì)安

全防護(hù)方案的能力。

2、過(guò)程與方法

根據(jù)“知識(shí)結(jié)構(gòu)導(dǎo)學(xué)法”的基本理念，綜合運(yùn)用各種有利于師生互動(dòng)和調(diào)動(dòng)學(xué)生自主學(xué)習(xí)

積極性的方法，以“案例教學(xué)”為主，特別要精心設(shè)計(jì)“講解”、“演示”、“參與”和“提問(wèn)”

環(huán)節(jié)，充分發(fā)揮教師“導(dǎo)”的作用，激發(fā)每個(gè)學(xué)生的特長(zhǎng)和潛能，鼓勵(lì)并引導(dǎo)他們的求知欲、

想象力、創(chuàng)新欲和探索精神。通過(guò)綜合型、自主型實(shí)驗(yàn)培養(yǎng)學(xué)生的動(dòng)手能力、創(chuàng)新能力。

3、情感態(tài)度與價(jià)值觀

培養(yǎng)學(xué)生認(rèn)識(shí)網(wǎng)絡(luò)攻擊與防護(hù)技術(shù)在網(wǎng)絡(luò)安全中的重要地位。培養(yǎng)學(xué)生信息安全防護(hù)意識(shí)

和崗位責(zé)任感。使學(xué)生了解掌握各種網(wǎng)絡(luò)攻擊技能，不僅可用于信息進(jìn)攻，亦有助于保護(hù)己方

的網(wǎng)絡(luò)和信息系統(tǒng)。

三、內(nèi)容標(biāo)準(zhǔn)

（~）網(wǎng)絡(luò)對(duì)抗概述

內(nèi)容與要求：

1.了解網(wǎng)絡(luò)戰(zhàn)概念及現(xiàn)狀；

2.掌握網(wǎng)絡(luò)空間、網(wǎng)絡(luò)空間安全概念的內(nèi)涵；

3.了解網(wǎng)絡(luò)攻擊的不同分類(lèi)方法，理解每種攻擊技術(shù)的基本思想；

4.了解幾種基本的網(wǎng)絡(luò)安全模型、安全機(jī)制及服務(wù)：

5.了解黑客的背景知識(shí)。

采用課堂多媒體教學(xué)手段進(jìn)行理論教學(xué)。通過(guò)典型的網(wǎng)絡(luò)對(duì)抗的例子來(lái)提高學(xué)生對(duì)本門(mén)課

程的學(xué)習(xí)興趣。通過(guò)這部分內(nèi)容的教學(xué)，使學(xué)生對(duì)網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)防護(hù)有基本的理解，對(duì)“黑

客”有正確的認(rèn)識(shí)，樹(shù)立正確的網(wǎng)絡(luò)安全觀。

（-）密碼學(xué)基礎(chǔ)

內(nèi)容與要求：

1.掌握密碼系統(tǒng)的組成、密碼算法設(shè)計(jì)的基本要求；

2.掌握典型對(duì)稱(chēng)密碼算法（DES、AES、RC4）的基本思想及其安全性；

3.掌握典型公開(kāi)密碼算法（RSA、DH）的基本思想及其安全性；

4.了解常用安全散列函數(shù)（MD、SHA）的基本思想及其安全性；

5.了解密鑰管理問(wèn)題及密鑰管理與分發(fā)方法；

6.掌握幾種典型密碼分析方法的基本思想。

密碼學(xué)是網(wǎng)絡(luò)攻防人員必須了解和掌握的基礎(chǔ)性理論。采用課堂多媒體教學(xué)手段進(jìn)行理論

教學(xué)，使學(xué)生了解密碼學(xué)的基本理論及常見(jiàn)的加密算法及其應(yīng)用。

通過(guò)實(shí)驗(yàn)加強(qiáng)學(xué)生對(duì)DES、RSA加密算法的理解及應(yīng)用，培養(yǎng)學(xué)生的動(dòng)手和解決實(shí)際問(wèn)

題的能力。

（三）網(wǎng)絡(luò)脆弱性分析

內(nèi)容與要求：

1.了解計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)的脆弱性，理解分組交換、盡力而為服務(wù)、中間盒子等對(duì)網(wǎng)

絡(luò)安全的影響；

2.了解典型TCP/IP網(wǎng)絡(luò)協(xié)議（HTTP,DNS,TCP,UDP,IP,ICMP,RIP,OSPF,BGP）的脆

弱性及其利用思路；

3.了解計(jì)算機(jī)系統(tǒng)軟硬件的脆弱性。

采用課堂多媒體教學(xué)手段進(jìn)行理論教學(xué)。通過(guò)這部分內(nèi)容的教學(xué)，使學(xué)生能夠了解計(jì)算機(jī)

網(wǎng)絡(luò)及端系統(tǒng)的脆弱性，為后續(xù)學(xué)習(xí)網(wǎng)絡(luò)攻擊技術(shù)打下基礎(chǔ)。

（四）網(wǎng)絡(luò)偵察技術(shù)

內(nèi)容與要求：

1.了解典型搜索引擎（Google/Baidu、Shodan/ZoomEye）的功能及其所能實(shí)現(xiàn)的偵察目

標(biāo)；

2.了解Whois數(shù)據(jù)庫(kù)的使用方法及其所能實(shí)現(xiàn)的偵察目標(biāo)；

3.了解社交網(wǎng)絡(luò)、Web站點(diǎn)查詢(xún)方法及可實(shí)現(xiàn)的偵察目標(biāo)；

4.了解常見(jiàn)開(kāi)源情報(bào)收集工具及其所能實(shí)現(xiàn)的偵察目標(biāo)；

5.了解網(wǎng)絡(luò)偵察的基本防御思想。

采用課堂多媒體教學(xué)手段進(jìn)行理論教學(xué)。通過(guò)這部分內(nèi)容的教學(xué)，使學(xué)生能夠了解獲取攻

擊目標(biāo)的相關(guān)信息的方法和思路。

通過(guò)實(shí)驗(yàn)使學(xué)生學(xué)會(huì)使用各種偵察工具實(shí)現(xiàn)指定的偵察任務(wù)。

（五）網(wǎng)絡(luò)掃描技術(shù)

內(nèi)容與要求：

1.了解網(wǎng)絡(luò)掃描的目的及意義；

2.掌握常見(jiàn)的主機(jī)掃描、端口掃描技術(shù)的原理、隱蔽掃描策略；

3.理解操作系統(tǒng)識(shí)別技術(shù)原理；

4.了解漏洞掃描的基本原理。

采用課堂多媒體教學(xué)手段進(jìn)行理論教學(xué)。通過(guò)這部分內(nèi)容的教學(xué)，使學(xué)生能夠理解網(wǎng)絡(luò)掃

描的基本原理，并能夠利用網(wǎng)絡(luò)掃描軟件進(jìn)行網(wǎng)絡(luò)掃描，為下一步實(shí)施攻擊打下基礎(chǔ)。

通過(guò)實(shí)驗(yàn)使學(xué)生掌握常見(jiàn)掃描軟件的使用。

（六）拒絕服務(wù)攻擊

內(nèi)容與要求：

1.理解拒絕服務(wù)攻擊的基本思想；

2.了解幾種典型劇毒包型拒絕服務(wù)攻擊的基本原理；

3.掌握直接風(fēng)暴型拒絕服務(wù)攻擊的基本思想及典型的攻擊方法；

4.掌握反射型拒絕服務(wù)攻擊的基本思想及反射源的選擇原則；

5.了解拒絕服務(wù)攻擊的檢測(cè)及防御方法。

采用課堂多媒體教學(xué)手段進(jìn)行理論教學(xué)。通過(guò)這部分內(nèi)容的教學(xué)，使學(xué)生理解拒絕服務(wù)攻

擊的原理，掌握常見(jiàn)的拒絕服務(wù)攻擊方法。

通過(guò)實(shí)驗(yàn)使學(xué)生熟悉拒絕服務(wù)攻擊方法。

（七）木馬攻擊技術(shù)

內(nèi)容與要求：

1.掌握計(jì)算機(jī)病毒、蠕蟲(chóng)、木馬的基本概念及其區(qū)別；

2.了解木馬的攻擊過(guò)程以及每個(gè)步驟涉及的基本技術(shù)或方法；

3.掌握木馬的進(jìn)程和通信隱藏技術(shù)；

4.了解木馬的檢測(cè)及防范技術(shù)。

采用課堂多媒體教學(xué)手段進(jìn)行理論教學(xué)。通過(guò)這部分內(nèi)容的教學(xué)，使學(xué)生理解木馬的組成

和功能、植入技術(shù)、進(jìn)程和通信隱藏技術(shù)，了解典型木馬檢測(cè)方法的基本思想。

通過(guò)實(shí)驗(yàn)使學(xué)生了解遠(yuǎn)程控制型木馬的使用方法，加深對(duì)木馬概念的理解

（八）口令攻擊技術(shù)

內(nèi)容與要求：

1.了解身份認(rèn)證的基本理論與方法：

2.掌握口令行為規(guī)律以及口令猜測(cè)的基本思想；

3.了解Windows和Unix/Linux操作系統(tǒng)環(huán)境下的口令機(jī)制及攻擊方法；

4.了解口令安全防護(hù)思想及方法。

采用課堂多媒體教學(xué)手段進(jìn)行理論教學(xué)和工具使用演示。通過(guò)這部分內(nèi)容的教學(xué)，使學(xué)生

能夠了解口令認(rèn)證的一般規(guī)律、口令攻擊的一般過(guò)程與方法，并能熟練使用常用的口令破解工

具。

（九）網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)

內(nèi)容與要求：

1.掌握典型網(wǎng)絡(luò)流量劫持方法，包括共享式和交換式網(wǎng)絡(luò)環(huán)境中各種網(wǎng)絡(luò)流量劫持（端

口鏡像、MAC攻擊、ARP欺騙、TCP連接劫持）的思想及實(shí)現(xiàn)過(guò)程；

2.了解網(wǎng)絡(luò)流量采集及協(xié)議分析的基本原理；

3.了解網(wǎng)絡(luò)監(jiān)聽(tīng)的防范技術(shù)。

采用課堂多媒體教學(xué)手段進(jìn)行理論教學(xué)和工具使用演示。通過(guò)這部分內(nèi)容的教學(xué)，使學(xué)

生掌握網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)的原理和方法。

通過(guò)實(shí)驗(yàn)使學(xué)生熟悉網(wǎng)絡(luò)監(jiān)聽(tīng)軟件的使用，加深對(duì)網(wǎng)絡(luò)監(jiān)聽(tīng)概念的理解。

（+）緩沖區(qū)溢出攻擊技術(shù)

內(nèi)容與要求：

1.掌握緩沖區(qū)溢出攻擊原理（進(jìn)程內(nèi)存結(jié)構(gòu)、溢出攻擊步驟）；

2.理解棧溢出的基本思想，了解Shellcode的構(gòu)造方法；

3.了解緩沖區(qū)溢出攻擊的防護(hù)方法。

采用課堂多媒體教學(xué)手段進(jìn)行理論教學(xué)。通過(guò)這部分內(nèi)容的教學(xué)，使學(xué)生理解緩沖區(qū)溢出

攻擊技術(shù)的原理，并具有基本的對(duì)目標(biāo)實(shí)施緩沖區(qū)溢出攻擊的能力。

通過(guò)實(shí)驗(yàn)使學(xué)生學(xué)會(huì)查看進(jìn)程堆棧的變化過(guò)程，掌握常見(jiàn)緩沖區(qū)溢出攻擊軟件的使用方法。

（H—）Web應(yīng)用攻擊技術(shù)

1.理解Web應(yīng)用的脆弱性：

2.掌握典型Web應(yīng)用攻擊方法（XSS、SQL注入、Cookie欺騙.等）的基本原理（前提

條件、實(shí)施過(guò)程）及其防御方法：

3.了解WAF的基本功能及實(shí)現(xiàn)原理。

采用課堂多媒體教學(xué)手段進(jìn)行理論教學(xué)。通過(guò)這部分內(nèi)容的教學(xué)，使學(xué)生了解針對(duì)Web

應(yīng)用存在的安全問(wèn)題以及攻擊者如何利用這些安全問(wèn)題實(shí)施各種攻擊。

通過(guò)實(shí)驗(yàn)使學(xué)生了解常見(jiàn)Web應(yīng)用攻擊的操作步驟及攻擊效果，加深對(duì)各種Web應(yīng)用攻

擊原理的理解。

（十二）社會(huì)工程學(xué)

內(nèi)容與要求：

1.了解典型社會(huì)工程學(xué)方法與手段；

2.了解社會(huì)工程學(xué)工具（SET）；

3.典型社會(huì)工程學(xué)案例分析；

4.了解社會(huì)工程學(xué)防御方法。

社會(huì)工程學(xué)方法是成功實(shí)施網(wǎng)絡(luò)攻擊的重要手段。采用課堂多媒體教學(xué)手段進(jìn)行理論教學(xué),

通過(guò)典型案例分析，使學(xué)生了解常見(jiàn)社會(huì)工程學(xué)攻擊方法。

（十三）網(wǎng)絡(luò)防火墻

內(nèi)容與要求：

1.了解防火墻的基本概念及分類(lèi)；

2.理解四種類(lèi)型的網(wǎng)絡(luò)防火墻（包過(guò)濾、狀態(tài)檢測(cè)、應(yīng)用網(wǎng)關(guān)、下一代防火墻）的工作

原理及其優(yōu)缺點(diǎn)；

3.掌握四種典型網(wǎng)絡(luò)防火墻體系結(jié)構(gòu)的基本內(nèi)容及其安全性；

4.了解網(wǎng)絡(luò)防火墻的部署方案；

5.了解網(wǎng)絡(luò)防火墻評(píng)價(jià)指標(biāo)的含義。

采用課堂多媒體教學(xué)手段進(jìn)行理論教學(xué)。通過(guò)這部分內(nèi)容的教學(xué)，使學(xué)生掌握網(wǎng)絡(luò)防火墻

的原理及配置原則和部署方法。

（十四）入侵檢測(cè)與欺騙防御技術(shù)

內(nèi)容與要求：

1.了解入侵檢測(cè)技術(shù)的發(fā)展過(guò)程及在網(wǎng)絡(luò)安全防御中的作用；

2.掌握入侵檢測(cè)技術(shù)的基本原理（特征檢測(cè)與異常檢測(cè)的基本思想、典型技術(shù)及優(yōu)缺點(diǎn)）；

3.了解典型入侵檢測(cè)系統(tǒng)Snort的功能及其規(guī)則定義方法；

4.了解蜜罐、蜜網(wǎng)、欺騙防護(hù)的基本思想；

5.了解入侵檢測(cè)產(chǎn)品的評(píng)價(jià)方法。

采用課堂多媒體教學(xué)手段進(jìn)行理論教學(xué)。通過(guò)對(duì)這部分內(nèi)容的教學(xué)，使學(xué)生了解到入侵檢

測(cè)與欺騙防御作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)

時(shí)保護(hù)，是安全系統(tǒng)的重要組成。

通過(guò)實(shí)驗(yàn)操作了解基于規(guī)則的入侵檢測(cè)系統(tǒng)的工作過(guò)程及規(guī)則定義方法，加深對(duì)入侵檢測(cè)

概念的理解。

（十五）實(shí)驗(yàn)

內(nèi)容與要求：

1.基本實(shí)驗(yàn)項(xiàng)目

基本實(shí)驗(yàn)項(xiàng)目是與知識(shí)點(diǎn)相關(guān)的實(shí)驗(yàn)項(xiàng)目，內(nèi)容相對(duì)單一，其目的是幫助學(xué)生進(jìn)一步理解

相關(guān)知識(shí)點(diǎn)中的關(guān)鍵知識(shí)。因此，基本實(shí)驗(yàn)項(xiàng)目一般應(yīng)在相關(guān)知識(shí)點(diǎn)講授完畢后進(jìn)行。下面給

出了八個(gè)基本實(shí)驗(yàn)項(xiàng)目，以使用工具（而不是編程）實(shí)現(xiàn)攻防任務(wù)為主，教師在實(shí)施時(shí)可根據(jù)

具體情況選做其中的部分實(shí)驗(yàn)項(xiàng)目：

實(shí)驗(yàn)一：網(wǎng)絡(luò)偵察（指定站點(diǎn)信息、聯(lián)網(wǎng)設(shè)備查詢(xún)）

實(shí)驗(yàn)二：網(wǎng)絡(luò)主機(jī)與漏洞掃描（Nmap、X-Scan的安裝與使用）

實(shí)驗(yàn)三：遠(yuǎn)程控制型木馬的安裝與使用（冰河或Quasar）

實(shí)驗(yàn)四：利用EtterCap實(shí)現(xiàn)ARP欺騙

實(shí)驗(yàn)五：棧溢出過(guò)程跟蹤

實(shí)驗(yàn)六：Web應(yīng)用攻擊（WebGoat或DVWA的安裝與使用）

實(shí)驗(yàn)七：Windows內(nèi)置防火墻配置及使用

實(shí)驗(yàn)八：Snort的安裝與使用

2、提高實(shí)險(xiǎn)項(xiàng)目

提高實(shí)驗(yàn)項(xiàng)目為綜合性、較高難度的實(shí)驗(yàn)項(xiàng)目，教師可以選擇一個(gè)或多個(gè)進(jìn)行實(shí)驗(yàn)。實(shí)施

時(shí)，既可給出詳細(xì)的實(shí)驗(yàn)步驟及操作方法，亦可僅給出實(shí)驗(yàn)?zāi)康暮蜅l件，由學(xué)生自行設(shè)計(jì)實(shí)驗(yàn)

方案（即設(shè)計(jì)型實(shí)驗(yàn)）。下面列出了五個(gè)提高實(shí)驗(yàn)項(xiàng)目，涉及攻擊技術(shù)編程或多種攻防護(hù)技術(shù)

的綜合運(yùn)用：

實(shí)驗(yàn)一：拒絕服務(wù)攻擊（SYNFlood/NTPDDoS攻擊編程實(shí)現(xiàn)）

實(shí)驗(yàn)二：木馬關(guān)鍵功能（鍵盤(pán)記錄、截屏等）編程實(shí)現(xiàn)

實(shí)驗(yàn)三：木馬樣例的動(dòng)態(tài)分析

實(shí)驗(yàn)四：社會(huì)工程學(xué)工具（SET）的安裝與使用

實(shí)驗(yàn)五：網(wǎng)絡(luò)攻防對(duì)抗演練（以Web網(wǎng)站為攻防對(duì)象）

3、自主型實(shí)驗(yàn)

學(xué)生亦可根據(jù)教學(xué)內(nèi)容自主提出要進(jìn)行的實(shí)驗(yàn)（包括實(shí)驗(yàn)?zāi)康摹l件、步驟等）。

4.總體要求

教師可根據(jù)具體情況，選擇相應(yīng)的實(shí)驗(yàn)項(xiàng)目。由于實(shí)驗(yàn)中用到的各類(lèi)攻擊與防護(hù)軟件的版

本更新較快，因此在具體實(shí)驗(yàn)時(shí)，每個(gè)實(shí)驗(yàn)的實(shí)驗(yàn)條件、步驟及要求應(yīng)根據(jù)實(shí)際情況作相應(yīng)調(diào)

整。

學(xué)生應(yīng)認(rèn)真做好進(jìn)實(shí)驗(yàn)室的必要準(zhǔn)備，嚴(yán)格遵守實(shí)驗(yàn)規(guī)程，實(shí)驗(yàn)結(jié)束后按要求認(rèn)真寫(xiě)出實(shí)

驗(yàn)報(bào)告。

通過(guò)實(shí)驗(yàn)課程的教學(xué)，培養(yǎng)學(xué)生理論聯(lián)系實(shí)際、獨(dú)立思考、分析解決實(shí)際問(wèn)題的能力，同

時(shí)培養(yǎng)基本的實(shí)驗(yàn)技能和動(dòng)手能力。對(duì)學(xué)有余力的學(xué)生著重培養(yǎng)設(shè)計(jì)、綜合和創(chuàng)新能力。

四、實(shí)施建議

（-）預(yù)修課程

《計(jì)算機(jī)網(wǎng)絡(luò)》、《操作系統(tǒng)》。

（-）教學(xué)實(shí)施總體方案

《網(wǎng)絡(luò)攻防原理》是一門(mén)涉及許多不同學(xué)科技術(shù)的課程。課程實(shí)施的總體方案建議以提高

學(xué)生的綜合素質(zhì)和創(chuàng)新能力為目標(biāo)，按照先易后難，先簡(jiǎn)單后復(fù)雜的思路進(jìn)行講解，采用啟發(fā)

式和研討式的教學(xué)方法，抓住“設(shè)疑”、“質(zhì)疑”、“小結(jié)”、“指定型實(shí)驗(yàn)”、“設(shè)計(jì)型實(shí)

驗(yàn)”、“綜合型實(shí)驗(yàn)”、“自主型實(shí)驗(yàn)”和“分組討論”等生動(dòng)有效的形式開(kāi)展教學(xué)。講解時(shí)

要點(diǎn)明問(wèn)題的思路，突出重點(diǎn)，以點(diǎn)帶面，以緩解教學(xué)內(nèi)容多學(xué)時(shí)少的矛盾。

課時(shí)分配可作如下安排：

課堂教學(xué)實(shí)踐教學(xué)

序號(hào)教學(xué)內(nèi)容

學(xué)時(shí)學(xué)時(shí)批注[w2]:如果只講對(duì)抗技術(shù)，可以刪除第2、第13、

1網(wǎng)絡(luò)對(duì)抗概述2第14個(gè)知識(shí)模塊，適當(dāng)增加網(wǎng)絡(luò)脆弱性分析、木馬攻

2密碼學(xué)基礎(chǔ)2擊技術(shù)、網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)、Web應(yīng)用攻擊技術(shù)的理論課時(shí)

3網(wǎng)絡(luò)脆弱性分析2

4網(wǎng)絡(luò)偵察技術(shù)22

5網(wǎng)絡(luò)掃描技術(shù)22

6拒絕服務(wù)攻擊2

7木馬攻擊技術(shù)22

8口令攻擊技術(shù)22

9網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)22

10緩沖區(qū)溢出攻擊技術(shù)22

11Web應(yīng)用攻擊技術(shù)42

12社會(huì)工程學(xué)22

13網(wǎng)絡(luò)防火墻22

14入侵檢測(cè)與網(wǎng)絡(luò)欺騙防御22

總計(jì)3020

具體實(shí)施時(shí)，實(shí)踐課時(shí)也可不按上表的課時(shí)安排，而是將部分實(shí)踐課時(shí)集中用于安排一些

綜合性、設(shè)計(jì)性的網(wǎng)絡(luò)攻防對(duì)抗實(shí)驗(yàn)，且放在全部講授課時(shí)完成后實(shí)施。

（三）教材選編與使用的基本設(shè)想

教材選編與使用要突出綜合素質(zhì)和創(chuàng)新能力的培養(yǎng)，強(qiáng)調(diào)實(shí)用性，講究循序漸進(jìn)，注重教

學(xué)靈活性，重視向其他相關(guān)領(lǐng)域的延伸，充分體現(xiàn)當(dāng)前網(wǎng)絡(luò)攻擊與防護(hù)技術(shù)的現(xiàn)狀與發(fā)展趨勢(shì)。

與網(wǎng)絡(luò)攻擊與防護(hù)有關(guān)的書(shū)籍和參考資料比較多，通過(guò)教學(xué)實(shí)踐和總結(jié)，結(jié)合我院教學(xué)條

件和特色，擬選擇機(jī)械工業(yè)出版社出版的《網(wǎng)絡(luò)攻防原理與技術(shù)（第3版）》，該教材以介紹攻

擊技術(shù)原理為主，輔以最基本的網(wǎng)絡(luò)防護(hù)技術(shù)，比較適合作為以攻擊技術(shù)為主的網(wǎng)絡(luò)攻防課程

的教材。

（四）考核評(píng)價(jià)

評(píng)價(jià)學(xué)生學(xué)習(xí)成績(jī)的優(yōu)劣，可以采用筆試測(cè)試學(xué)習(xí)水平的方法，但試題內(nèi)容必須精心設(shè)計(jì)，

涵蓋測(cè)試?yán)碚撝R(shí)的基礎(chǔ)題以及考察學(xué)生應(yīng)用能力的分析題，綜合測(cè)試學(xué)生對(duì)網(wǎng)絡(luò)攻防知識(shí)的

理解和掌握情況。也可采用“80+20”模式，即理論80分，實(shí)驗(yàn)20分。教師可根據(jù)具體情況

選擇其一。

（五）保障條件

理論課教室應(yīng)配備電腦投影儀和先進(jìn)的放音、擴(kuò)音設(shè)備。實(shí)驗(yàn)室中需要建立網(wǎng)絡(luò)攻防對(duì)抗

實(shí)驗(yàn)環(huán)境。

五、附錄

(-)教材及講義

《網(wǎng)絡(luò)攻防原理及應(yīng)用(第3版)》，吳禮發(fā)、洪征、李華波編著，機(jī)械工業(yè)出版社，2021

年7月。

(-)參考資料

《網(wǎng)絡(luò)攻防原理與技術(shù)（第3版）》課后習(xí)題參

考答案

習(xí)題一、單項(xiàng)選擇題

1.安全屬性"CIA"不包括（D1

A.完整性B.機(jī)密性C.可用性D.可控性

2.屬于被動(dòng)攻擊的是（B1

A.中斷B.截獲C.篡改D.偽造

3.下列攻擊中，主要針對(duì)可用性的攻擊是A1

A.中斷B.截獲C.篡改D.偽造

4.下列攻擊中，主要針對(duì)完整性的攻擊是Ci

A.中斷B.截獲C.篡改D.偽造

5.下列攻擊中，主要針對(duì)機(jī)密性的攻擊是Bi

A.中斷B.截獲C.篡改D.偽造

6.元屬性“可用性”不包括的子屬性是（D>

A.可靠性B.穩(wěn)定性C.可生存性D.可控性

7.信息在傳送過(guò)程中，如果接收方接收到的信息與發(fā)送方發(fā)送的信

息不同，則信息的

（C）遭到了破壞。

A.可用性B.不可否認(rèn)性C.完整性D.機(jī)密性

8.通信過(guò)程中，如果僅采用數(shù)字簽名，不能解決（D1

A.數(shù)據(jù)的完整性B.數(shù)據(jù)的抗抵賴(lài)性C.數(shù)據(jù)的防篡改

D.數(shù)據(jù)的保密性

10.數(shù)字簽名主要解決操作的（C1

A.可控性B.機(jī)密性C.不可否認(rèn)

性D.可用性11.重放攻擊破壞

了信息的（C>

A.機(jī)密性B.可控性C.可鑒別性D.可用性

12.ISO7498-2從體系結(jié)構(gòu)的角度描述了5種可選的安全服務(wù)，以

下不屬于這5種安全服務(wù)的是（D）

A.數(shù)據(jù)完整性B.身份鑒別C.授權(quán)控制D.數(shù)

據(jù)報(bào)過(guò)濾

13.ISO7498-2描述了8種特定的安全機(jī)制，這8種安全機(jī)制是為

5類(lèi)特定的安全服務(wù)設(shè)置的，以下不屬于這8種安全機(jī)制的是

（B）

A.加密機(jī)制B.安全標(biāo)記機(jī)制C.數(shù)字簽名機(jī)制

D.訪問(wèn)控制機(jī)制

14.ISO7496-2從體系結(jié)構(gòu)的角度描述了5種普遍性的安全機(jī)制,

這5種安全機(jī)制不包括（D）

A.可信功能度B.安全標(biāo)記C.事件檢測(cè)D.

數(shù)據(jù)完整性機(jī)制

15.ISO/OSI安全體系結(jié)構(gòu)中的通信對(duì)象認(rèn)證安全服務(wù)，使用

（C）機(jī)制來(lái)完成。

A.訪問(wèn)控制B.加密C.數(shù)字簽名D.數(shù)據(jù)完

整性

16.身份鑒別是安全服務(wù)中的重要一環(huán)，以下關(guān)于身份鑒別的敘述不正確

的是（BM.身份鑒別是授權(quán)控制的基礎(chǔ)

B.身份鑒別一般不用提供雙向認(rèn)證

C.目前一般采用基于對(duì)稱(chēng)密鑰加密或公開(kāi)密鑰加密的方法

D.數(shù)字簽名機(jī)制是實(shí)現(xiàn)身份鑒別的重要機(jī)制

17.信息在傳送過(guò)程中，通信量分析破壞了信息的（D）

A.可用性B.不可否認(rèn)性C.完整性D.機(jī)密性

18.P2DR模型中的“D”指的是（BI

A.策略B.檢測(cè)C.保護(hù)D.恢復(fù)

19.下列攻擊方式中，最能代表網(wǎng)絡(luò)戰(zhàn)攻擊水平的是（B）

A.口令破解B.APT攻擊C.緩沖區(qū)溢出攻擊D.網(wǎng)絡(luò)監(jiān)聽(tīng)

20.下列安全技術(shù)中，不屬于第二代安全技術(shù)的是（D1

A.防火墻B.入侵檢測(cè)技術(shù)C.虛擬專(zhuān)用網(wǎng)D.可

生存技術(shù)

二、多項(xiàng)選擇題

1.以保護(hù)信息為主的安全元屬性包括（AC

A.機(jī)密性B.可控性C.可鑒別性D.可用性

2.以保護(hù)信息系統(tǒng)為主的安全元屬性包括（BD1

A.機(jī)密性B,可控性C.可鑒別性D.可用性

3.機(jī)密性主要通過(guò)（AB）來(lái)保證。

A.加密機(jī)制B.訪問(wèn)控制控制C.安全標(biāo)記D.公證

機(jī)制

4.網(wǎng)絡(luò)空間（Cyberspace）要保護(hù)的核心對(duì)象中，在技術(shù)層面反映“網(wǎng)

絡(luò)（Cyber）”屬性的對(duì)象包括（AD）

A.設(shè)施B.用戶(hù)C.操作D.數(shù)據(jù)

5.網(wǎng)絡(luò)空間（Cyberspace）要保護(hù)的核心對(duì)象中，在社會(huì)層面反映

“空間（space）”屬性的對(duì)象包括（BC>

A.設(shè)施B.用戶(hù)C.操作D.數(shù)據(jù)

6.P2DR模型中，“P2”指的是（BD1

A.檢測(cè)B.保護(hù)C.響應(yīng)D.策略

7.IATF定義的與信息安全有關(guān)的核心要素包括（BCD1

A.策略（Policy）B.人（People）C.技術(shù)

（Technology）D.操作（Operation）

8.人為的惡意上擊分為被動(dòng)攻擊和主動(dòng)攻擊，在以下的攻擊類(lèi)型中屬

于主動(dòng)攻擊的是

（BC1

A.網(wǎng)絡(luò)監(jiān)聽(tīng)B.數(shù)據(jù)篡改及破壞C.身份假冒D.數(shù)

據(jù)流分析

9.元安全屬性“可用性”主要包括以下安全屬性（ABCD1

A.可靠性B.穩(wěn)定性C.可維護(hù)性D.可生存性

10.元安全屬性"可鑒別性'’主要包括以下安全屬性（ABC】

A.完整性B.真實(shí)性C.不可抵賴(lài)性D.穩(wěn)

定性11.數(shù)據(jù)源認(rèn)證服務(wù)需要使用的安全機(jī)制包

括（AB）A.加

密B.數(shù)字簽名C.訪問(wèn)

控制D.認(rèn)證交換12.對(duì)等實(shí)體認(rèn)證需

要使用的安全機(jī)制包括（ABDN加密

B.數(shù)字簽名C.3方問(wèn)

控制D.認(rèn)證交換

13.通信業(yè)務(wù)流機(jī)密性服務(wù)需要使用的安全機(jī)制包括（BCD）

A.訪問(wèn)控制B.加密C.流量填充D.路由控制

14.不可抵賴(lài)服務(wù)需要使用的安全機(jī)制包括（ACD>

A.數(shù)字簽名B.加密C.認(rèn)證交換D.公證

15.數(shù)據(jù)完整性服務(wù)需要使用的安全機(jī)制包括（BCD>

A.流量填充B.加密C.數(shù)字簽名D.數(shù)據(jù)完整性

16.數(shù)字簽名可保護(hù)的安全屬性包括（ABD）

A.真實(shí)性B.不可抵賴(lài)性C.機(jī)

密性D.完整性三、簡(jiǎn)答題

1.簡(jiǎn)述“網(wǎng)絡(luò)空間安全''的發(fā)展過(guò)

程。答：略。

2.查閱資料，簡(jiǎn)要分析各國(guó)網(wǎng)絡(luò)戰(zhàn)部隊(duì)的建設(shè)情

況。答：略。

3.網(wǎng)絡(luò)或信息系統(tǒng)的安全屬性有哪些？簡(jiǎn)要解釋每一個(gè)安全屬性的

含義。答：建議采用方濱興院士的觀點(diǎn)來(lái)回答。

4.有人說(shuō)只要我有足夠多的錢(qián)，就可以采購(gòu)到自己想要的安全設(shè)

備來(lái)保障本單位的網(wǎng)絡(luò)安全不受攻擊。你是否同意這一說(shuō)法，為什

么？

答：不同意。安全不僅僅是技術(shù)（對(duì)應(yīng)到安全設(shè)備）上的問(wèn)題，還涉及

人和管理。此外，沒(méi)有一種技術(shù)能完全阻止所有攻擊，特別是一些未

知攻擊。

5.簡(jiǎn)要分析“黑客”概念內(nèi)涵的演變過(guò)程。

答：略。

6.有人說(shuō)“人是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)“，談?wù)勀愕目?/p>

法。答：略。

7.簡(jiǎn)述“網(wǎng)絡(luò)''與"網(wǎng)絡(luò)空間''之間的區(qū)別與聯(lián)系。

答：略。參考1.2.1節(jié)。

8.假定你是本單位的安全主管，為了提高本單位的網(wǎng)絡(luò)安全，在

制定單位的安全保障方案時(shí)，有哪些措施（包括技術(shù)和非技術(shù)的）？

答：采用IATF類(lèi)似的思想。從三個(gè)方面考慮：

（1）組織管理體系，包括：組織機(jī)構(gòu)，人員編制，職責(zé)分工，教育培

訓(xùn)；

（2）技術(shù)標(biāo)準(zhǔn)體系，包括：技術(shù)法規(guī)，標(biāo)準(zhǔn)、規(guī)范：

（3）技術(shù)防護(hù)體系，包括：P2DR模型中涉及的各項(xiàng)技術(shù)。要列

出常見(jiàn)的技術(shù)防護(hù)手段，邊界部署防火墻，內(nèi)部安全I(xiàn)DS;單機(jī)防

護(hù)（個(gè)人防火墻，殺毒軟件，口令，關(guān)閉不必要的服務(wù)）：網(wǎng)絡(luò)隔離

等。

9.比較分析“cyberspace”不同定義的異同（至少選取3個(gè)不同時(shí)期、

不同國(guó)家或不同人給出的定義）。

答：略。參考1.2.1節(jié)。

1（）.在P2DR安全模型中，假設(shè)攻擊時(shí)間是10（）個(gè)單位時(shí)間，檢

測(cè)時(shí)間是40個(gè)單位時(shí)間，響應(yīng)時(shí)間要滿(mǎn)足什么條件，被防護(hù)的系統(tǒng)

才是安全的？并給出計(jì)算過(guò)程。

答：因?yàn)橄到y(tǒng)暴露時(shí)間Et=Dt+Rt-Pt,如果ES0,那么基于P2DR

模型，認(rèn)為系統(tǒng)安全。Et=Dt+Rt-Pt<0,即響應(yīng)時(shí)間RtWPl-Dt=

100-40=60個(gè)時(shí)間單位，系統(tǒng)才是安全的。

11.簡(jiǎn)述你認(rèn)為網(wǎng)絡(luò)攻防人員應(yīng)遵循的

道德準(zhǔn)則。答：略。

12.簡(jiǎn)述訪問(wèn)控制機(jī)制能夠?qū)崿F(xiàn)的安

全目標(biāo)。答：機(jī)密性和可用性。

13.簡(jiǎn)述安全機(jī)制與安全服務(wù)的區(qū)別與聯(lián)系。答：安全機(jī)制是指

用來(lái)檢測(cè)、阻止攻擊或者從攻擊狀態(tài)恢復(fù)到正常狀態(tài)的過(guò)程（或?qū)?/p>

現(xiàn)該過(guò)程的設(shè)備、系統(tǒng)、措施或技術(shù)），安全服務(wù)則是指加強(qiáng)數(shù)據(jù)處理

系統(tǒng)和信息傳輸?shù)陌踩缘奶幚磉^(guò)程或通信服務(wù)。聯(lián)系：安全服務(wù)需

要通過(guò)一種或多種安全機(jī)制對(duì)攻擊進(jìn)行反制來(lái)實(shí)現(xiàn)。

2.8習(xí)題一、單項(xiàng)

選擇題

1.數(shù)據(jù)加密標(biāo)準(zhǔn)DES采用的密碼類(lèi)型是（B>

A.序列密碼B.分組密碼C.散列碼D.隨機(jī)碼

2.以下幾種密碼算法，不屬于對(duì)稱(chēng)密鑰密碼算法的是（Ci

A.DESB.3DESC.RSAD.AES

3.密碼分析者只知道一些消息的密文，試圖恢復(fù)盡可能多的消息

明文，在這種條件下的密碼分析方法屬于（A）。

A.唯密文攻擊B.已知明文攻擊C.選擇明文攻擊

D.選擇密文攻擊

4.“公開(kāi)密鑰密碼體制”的含義是（C）o

A.將所有密鑰公開(kāi)B.將私有密鑰公開(kāi)，公開(kāi)密鑰保密

C.將公開(kāi)密鑰公開(kāi)，私有密鑰保密D.兩個(gè)

密鑰相同5.現(xiàn)代密碼系統(tǒng)的安全性取決于對(duì)（

A）。A.密鑰

的保護(hù)B.加密算法的保護(hù)C.明

文的保護(hù)D.密文的保護(hù)

6.目前公開(kāi)密鑰密碼主要用來(lái)進(jìn)行數(shù)字簽名，或用于保護(hù)傳統(tǒng)密

碼的密鑰，而不是主要用于數(shù)據(jù)加密，主要因?yàn)椋˙1

A.公鑰密碼的密鑰太短B.公鑰密碼的效率比較低

C.公鑰密碼的安全性不好D.公鑰密碼抗攻擊性比較差

7.若Bob給Alice發(fā)送一封郵件，并想讓Alice確信郵件是由

Bob發(fā)出的，則Bob應(yīng)該選用（D）對(duì)郵件加密。

A.Alice的公鑰B.Alice的私鑰

C.Bob的公鑰D.Bob的私鑰

8.RSA密碼的安全性基于（C>

A.離散對(duì)數(shù)問(wèn)題的困難性B.子集和問(wèn)題的困難性

C.大的整數(shù)因子分解的困難性D.線性編碼的解碼問(wèn)題的困難性

9.把明文中的字母重新排列，字母本身不變，但位置改變了這

樣編成的密碼稱(chēng)為

（B>

A.代替密碼B.置換密碼C.代數(shù)密碼D.仿射密碼

10.根據(jù)密碼分析者所掌握的分析資料的不同，密碼分析一般可分為

4類(lèi)：唯密文攻擊、已知明文攻擊、選擇明文攻擊、選擇密文攻擊，其

中破譯難度最大的是（D>

A.唯密文攻擊B.已知明文攻擊C.選擇明文攻擊

D.選擇密文攻擊

11.下列密碼算法中，采用非對(duì)稱(chēng)密鑰的是（D1

A.DESB.AESC.IDEAD.RSA

12.下列密碼算法中，安全性依賴(lài)于離散對(duì)數(shù)難解的是（B>

A.AESB.Diffie-Hellman算法C.RSAD.DES

13.在RSA的公鑰密碼體制中，假設(shè)公鑰為（e,〃）=（13,35）,則私鑰

d等于（BM.11B.13C.15D.17

14.計(jì)算和估計(jì)出破譯密碼系統(tǒng)的計(jì)算量下限，利用已有的最好方

法破譯它的所需要的

代價(jià)超出了破譯者的破譯能力（如時(shí)間、空間、資金等資源），那么該

密碼系統(tǒng)的安全性是

（B1

A.無(wú)條件安全B.計(jì)算安全C.可證明安全D.實(shí)際

安全

15.Diffie-Hellman密鑰交換算法的安全性依賴(lài)于（A1

A.計(jì)算離散對(duì)數(shù)的難度B.大數(shù)分解難題C.算法保密

D,以上都不是

16.在具有層次結(jié)構(gòu)的組織中，最合適的多個(gè)CA的組織結(jié)構(gòu)模

型是（B）。A.森林模型B.樹(shù)模型C.瀑布模型D.

網(wǎng)狀模型

17.在非層次結(jié)構(gòu)的組織中，實(shí)現(xiàn)多個(gè)CA之間交叉認(rèn)證方法不包括

（D1

A.由用戶(hù)自己決定信任哪個(gè)CA（用戶(hù)）或拒絕哪個(gè)

CA（用戶(hù)）B.各PKI的CA之間互相簽發(fā)證書(shū)

C.由橋接CA控制的交叉認(rèn)證

D.上級(jí)給下級(jí)簽發(fā)證書(shū)

18.在數(shù)字證書(shū)中加入公鑰所有人信息的目的是（C>

A.確定私鑰是否真的隸屬于它所聲稱(chēng)的用戶(hù)

B.方便計(jì)算公鑰對(duì)應(yīng)的私鑰

C.確定公鑰是否真的隸屬于它所聲稱(chēng)的用戶(hù)

D.為了驗(yàn)證證書(shū)是否是偽造的

19.PKIX標(biāo)準(zhǔn)中，支持用戶(hù)查詢(xún)和下載數(shù)字證書(shū)的協(xié)議的是（C）。

A.TCPB.HTTPC.LDAPD.OSCP

20.PKI體系中，負(fù)責(zé)產(chǎn)生、分配并管理證書(shū)的機(jī)構(gòu)是

（D認(rèn).用戶(hù)B.業(yè)務(wù)受理點(diǎn)C.注冊(cè)機(jī)

構(gòu)RAD.簽證機(jī)構(gòu)CA21.散列函

數(shù)具有單向性是指（Bi

A.對(duì)于任意給定的x,計(jì)算”（x）比較容易。

B.對(duì)任意給定的散列值兒找到滿(mǎn)足”（x）=〃的x在計(jì)算上是不可行

的。

C.對(duì)任意給定的數(shù)據(jù)塊X,找到滿(mǎn)足淤:且〃（x）=〃S）的y在計(jì)算上是

不可行的。

D.找到任意滿(mǎn)足〃（y）=，（x）的偶對(duì)（x,y）在計(jì)算上是不可行的。

22.通信過(guò)程中，如果僅采用數(shù)字簽名，不能解決（D）

A.數(shù)據(jù)的完整性B.數(shù)據(jù)的抗抵賴(lài)性C.數(shù)據(jù)的防篡

改D.數(shù)據(jù)的保密性

23.數(shù)字簽名通常要先使用單向哈希函數(shù)進(jìn)行處理的原因

是（C）o

A.多一道加密工序使密文更難破譯

B.提高密文的計(jì)算速度

C.縮小簽名消息的長(zhǎng)度，加快數(shù)字簽名和驗(yàn)證簽名的運(yùn)算速度

D.保證密文能正確還原成明文

24.現(xiàn)代密碼學(xué)中很多應(yīng)用包含散列運(yùn)算，下列應(yīng)用中不包含散列運(yùn)算的

是（A）

A.消息加密B.消息完整性保護(hù)C.消息認(rèn)證碼

D.數(shù)字簽名

25.若小張給小李發(fā)送一封郵件，并想讓小李確信郵件是由小張發(fā)

出的，則小張應(yīng)該選用（D）對(duì)郵件內(nèi)容加密。

A.小李的公鑰B.小李的私鑰C.小張的公鑰D.

小張的私鑰

二、簡(jiǎn)答題

1.請(qǐng)簡(jiǎn)要分析密碼系統(tǒng)（密碼體制）的五個(gè)組成

要素。答：S={M,C,K,E,D}O進(jìn)一步解釋每個(gè)

組成部分。

2.對(duì)于密碼系統(tǒng)，基于算法保密的策略有什么不足之處？答：首先,

算法泄密的代價(jià)高。加解密算法的設(shè)計(jì)非常復(fù)雜，一旦算法泄密，重新

設(shè)計(jì)

往往需要大量的人力、財(cái)力投入，而且時(shí)間較長(zhǎng)。其次，不便于標(biāo)準(zhǔn)化。

每個(gè)用戶(hù)單位使用自己獨(dú)立的加解密算法，不可能采用統(tǒng)一的軟硬件

產(chǎn)品進(jìn)行加解密操作。第三，不便于質(zhì)量控制。密碼算法的開(kāi)發(fā)，要

求有優(yōu)秀的密碼專(zhuān)家，否則密碼系統(tǒng)的安全性難于保障。

3.簡(jiǎn)述密碼系統(tǒng)的設(shè)計(jì)要求。答：系統(tǒng)即使達(dá)不到理論上不可破解，

也應(yīng)當(dāng)在實(shí)際上不可破解的；系統(tǒng)的保密性不依

賴(lài)于加密體制或算法的保密，而依賴(lài)于密鑰的保密；加密算法和解密算

法適用于密鑰空間中的所有元素；密碼系統(tǒng)既易于實(shí)現(xiàn)也便于使用。

4.簡(jiǎn)述分組密碼的工作原理。答：將明文以固定長(zhǎng)度劃分為多組，加

密時(shí)每個(gè)明文分組在相同密鑰的控制下，通過(guò)加

密運(yùn)算產(chǎn)生與明文分組等長(zhǎng)的密文分組。解密操作也是以分組為單位，

每個(gè)密文分組在相同密鑰的控制下，通過(guò)解密運(yùn)算恢復(fù)明文。

5.請(qǐng)簡(jiǎn)要評(píng)述以DES為代表的對(duì)稱(chēng)密鑰密碼系統(tǒng)的優(yōu)點(diǎn)和缺點(diǎn)。答:

優(yōu)點(diǎn)：對(duì)稱(chēng)密鑰密碼系統(tǒng)具有很高的安全性，而且，無(wú)論密碼系統(tǒng)是以

硬件實(shí)現(xiàn)還

是以軟件實(shí)現(xiàn)，加、解密的速度都很快。缺點(diǎn)：通信雙方為了約定密鑰

往往需要付出高昂代價(jià)；在加解密涉及到多人時(shí)需要的密鑰量大，管

理困難。

6.請(qǐng)簡(jiǎn)要評(píng)述以RSA為代表的公開(kāi)密鑰密碼系統(tǒng)的優(yōu)點(diǎn)和缺點(diǎn)。答:

優(yōu)點(diǎn)：可以解決對(duì)稱(chēng)密鑰密碼系統(tǒng)密鑰分發(fā)困難的問(wèn)題，密鑰管理簡(jiǎn)單。

缺點(diǎn)：加

密操作和解密操作的速度比對(duì)稱(chēng)密鑰密碼系統(tǒng)慢很多。

7.考慮RSA密碼體制：設(shè)n=35,已極獲發(fā)給某用戶(hù)的密文C=10,

并查到該用戶(hù)的公鑰e=5,求出明文M。

解：

分解n=35=7x5,于是p=7,q=5。(p(n)=6x4=24。因?yàn)閑=5,根據(jù)

ed=1mod

(p(n),求出d=5。

根據(jù)M=Cmodn,M=105mod35,求出M=5。

8.考慮RSA密碼體制：令p=3,q=U,d=7,m=5,給出密文C的計(jì)算過(guò)

程。

解：n=3x11=33;(p(n)=2x10=20;因?yàn)閐=7,根據(jù)ed=1mod(p(n),

求出e=3：C=mcmodn=5?mod33=26

9.對(duì)于RSA數(shù)字簽名體制，假設(shè)p=839,q=983,n=pxq=

824737o已知私鑰d

=132111,計(jì)算公鑰e和對(duì)消息m=23547的簽名。

解:由RSA簽名體制可以得e=J'mod(p(n)=132111'mod882916=

26959,對(duì)消息機(jī)

的簽名為s=m'modn=23547132111mod824737=266749。

1().對(duì)于RSA數(shù)字簽名體制，假設(shè)模n=824737,公鑰

e=26959。(1)已知消息m的簽名是s=8798,求消息m。

(2)數(shù)據(jù)對(duì)(m,s尸(167058,366314)是有效的(消息，簽名)對(duì)嗎？

(3)已知兩個(gè)有效的消息簽名對(duì)(m,s)=(629489,445587)與(m；s')=

(203821,229149),求mxnf的簽名。

解：

(1)由公式可得：m=.s-niodn=879826Wmod824737=123456.

(2)因?yàn)閕n'=sfmodn=366314^wmod824737=167058=m,所以是

有效的(消息，簽名)對(duì)。

(3)加的簽名=(/nx")"mod〃=sxs，mod"=445587x229149mod824737

=75915?

11.設(shè)H是一個(gè)安全的哈希函數(shù)，Alice將消息和其哈希值

M||H(M)一并發(fā)送，以檢測(cè)消息是否在傳輸過(guò)程中被篡改，問(wèn)：這樣

做可否達(dá)到Alice的安全目標(biāo)？為什么？

答：不能，因?yàn)镠ash函數(shù)本身沒(méi)有密鑰，給定M,任何人(包括攻擊

者)都可以正確

計(jì)算出其哈希值，所以攻擊者可以將Alice發(fā)送的消息M修改為M，，

并計(jì)算H（M，），而接收方無(wú)法確定原始消息的完整性。

12.有了公鑰證書(shū)，為什么還需要PKI?

答：有了證書(shū)以后，就會(huì)涉及證書(shū)的申請(qǐng)、發(fā)布、查詢(xún)、撤銷(xiāo)等一系

列管理任務(wù)，因此需要一套完整的軟硬件系統(tǒng)、協(xié)議、管理機(jī)制來(lái)完成這些

任務(wù)，這就是公鑰基礎(chǔ)設(shè)施（PKI）o

13.簡(jiǎn)要說(shuō)明PKI系統(tǒng)中多個(gè)CA間建立信任的方法。答：1）對(duì)于具

有層次結(jié)構(gòu)的組織，可采用樹(shù)型信任模型；2）雙向交叉認(rèn)證證書(shū)，包

括：①各PKI的CA之間互相簽發(fā)證書(shū)，從而在種局部PKI

之間建立起了信任關(guān)系；②由用戶(hù)控制的交叉認(rèn)證，即由用戶(hù)自己

決定信任哪個(gè)CA或拒絕哪個(gè)CA:③由橋接CA控制的交叉認(rèn)證；

3）以用戶(hù)為中心的信任模型（UserCentricTrustModel）。在這種模型

中，每個(gè)用戶(hù)自己決定信任其他哪些用戶(hù)。

14.請(qǐng)解釋什么是密鑰管理問(wèn)題，密鑰管理對(duì)于對(duì)稱(chēng)密鑰密碼系統(tǒng)有什

么意義。答：密鑰管理包括密鑰的產(chǎn)生、存儲(chǔ)、分發(fā)、組織、使用、停

用、更換、銷(xiāo)毀等一系列

問(wèn)題，涉及每個(gè)密鑰的從產(chǎn)生到銷(xiāo)毀的整個(gè)生命周期。現(xiàn)代密碼學(xué)一般

采用基于密鑰保護(hù)的安全策略來(lái)保證密碼系統(tǒng)的安全，因此對(duì)密鑰的

保護(hù)關(guān)乎整個(gè)通信的安全保密。如果任何一個(gè)環(huán)節(jié)出現(xiàn)問(wèn)題，均可能

導(dǎo)致密鑰的泄露，進(jìn)而導(dǎo)致泄露。

15.比較分析唯密文攻擊、已知明文攻擊、選擇明文攻擊、選擇密文

攻擊等四種密碼攻擊方法的破解思路和破解難度。

答：唯密文攻擊：攻擊者手中除了截獲的密文外，沒(méi)有其他任何輔助信

息，難度最大；已知明文攻擊：攻擊者除了掌握密文，還掌握了部分明

文和密文的對(duì)應(yīng)關(guān)系；選擇明文攻擊：攻擊者知道加密算法，同時(shí)能夠

選擇明文并得到相應(yīng)明文所對(duì)應(yīng)的密文；選擇密文攻擊：攻擊者知道加密

算法，同時(shí)可以選擇密文并得到對(duì)應(yīng)的明文，攻擊者的

攻擊目標(biāo)通常是加密所使用的密鑰。

3.6習(xí)題一、單項(xiàng)

選擇題

1.下面有關(guān)ARP協(xié)議的描述中，（B）是錯(cuò)誤的。

A.ARP欺騙只能被用于本地網(wǎng)絡(luò)

B.ARP欺騙可在本地網(wǎng)絡(luò)以外成功使用

C.ARP協(xié)議可被用來(lái)進(jìn)行拒絕服務(wù)攻擊

D.一般情況下，當(dāng)主機(jī)收到ARP請(qǐng)求或響應(yīng)時(shí)，需要刷新其ARP緩

存

2.下列認(rèn)證方式中，不屬于OSPF協(xié)議定義的認(rèn)證方法是（D1

A.NULL認(rèn)證B.簡(jiǎn)單口令認(rèn)證C.MD5加密認(rèn)證

D.SHA1加密認(rèn)證

3.2011年出現(xiàn)的一種針對(duì)路由協(xié)議的攻擊方法，俗稱(chēng)“數(shù)字大炮”，

這種攻擊利用路由器正常工作過(guò)程中路由表更新機(jī)制，通過(guò)在網(wǎng)絡(luò)

上制造某些通信鏈路的時(shí)斷時(shí)續(xù)的震蕩效應(yīng)，導(dǎo)致網(wǎng)絡(luò)中路由器頻繁

地更新路由表，最終當(dāng)網(wǎng)絡(luò)上震蕩路徑數(shù)量足夠多、震蕩頻率足夠高

B寸，網(wǎng)絡(luò)上所有路由器都處于癱瘓狀態(tài)。該攻擊利用了（C）路由協(xié)

議存在的安全缺陷。

A.RIPB.OSPFC.BGPD.IGRP

4.攻擊者在攻擊一個(gè)目標(biāo)時(shí)，經(jīng)常用偽造的IP地址來(lái)發(fā)送攻擊數(shù)

據(jù)包（數(shù)據(jù)包的源IP

地址是偽造的），這樣做之所以能成功，主要原因是（A1

A.路由器在轉(zhuǎn)發(fā)IP包時(shí)不檢查IP源地址

B.路由器在轉(zhuǎn)發(fā)IP包時(shí)檢查IP源地址

C.路由器在轉(zhuǎn)發(fā)IP包時(shí)檢查IP目的地址

D.路由器在轉(zhuǎn)發(fā)IP包時(shí)不檢查IP目的地址

5.UDP協(xié)議可被攻擊者用來(lái)進(jìn)行（B>

A.監(jiān)聽(tīng)B.風(fēng)暴型拒絕服務(wù)攻擊C.連接劫持D.傳

播木馬

6.TCP協(xié)議報(bào)文中，與TCP連接建立和釋放過(guò)程無(wú)關(guān)的標(biāo)志位是

（D1

A.SYNB.FINC.ACKD.URG

7.互聯(lián)網(wǎng)中大量存在的“中間盒子”不符合互聯(lián)網(wǎng)設(shè)計(jì)之初提出的

（A）原則，

導(dǎo)致了大量網(wǎng)絡(luò)攻擊事件的發(fā)生。

A.端到端B.盡力而為C.分組交換D.分層設(shè)計(jì)

8.下列路由協(xié)議中，安全性最高的是（B1

A.RIPvlB.RIPngC.RIPv2D.所有版本的RIP協(xié)議

9.下列路由協(xié)議中，使用TCP作為傳輸協(xié)議的是（C1

A.RIPB.OSPFC.BGPD.RIPng

10.下列交換方式中，最容易被攻擊的是（Ai

A.分組交換B.電路交換C.專(zhuān)線D.報(bào)文交換

二、多項(xiàng)選擇題

1.很多單位的安全管理員會(huì)在防火墻的設(shè)置中禁用因特網(wǎng)控制管理

協(xié)議（ICMP）,主要原因是攻擊者常常使用ICMP進(jìn)行（ABC1

A.拒絕服務(wù)攻擊B.隱蔽通信C.主機(jī)掃描D.會(huì)話

劫持

2.TCP協(xié)議可被攻擊者用來(lái)進(jìn)行（ABC1

A.拒絕服務(wù)攻擊B.連接劫持C.網(wǎng)絡(luò)端口掃描D.網(wǎng)絡(luò)監(jiān)聽(tīng)

3.IP協(xié)議可以被攻擊者用來(lái)進(jìn)行（ABC）

A.拒絕服務(wù)攻擊B.源路由攻擊C.繞過(guò)防火墻D.

網(wǎng)絡(luò)端口掃描

4.下列協(xié)議中，使用UDP作為傳輸協(xié)議的是（BCD1

A.FTPB.DNSC.SNMPD.RIP

5.DNS協(xié)議易遭受的網(wǎng)絡(luò)攻擊包括（ABC）

A.緩存投毒B.拒絕服務(wù)攻擊C.域名解析劫持

D.溢出攻擊

6.Web瀏覽器和服務(wù)器使用HTTPS協(xié)議進(jìn)行通信，可確保通信的（

ABD\

A.機(jī)密性B.完整性C.可靠性D.服務(wù)器的真實(shí)性

7.下列攻擊中，針對(duì)OSPF協(xié)議的攻擊包括（ABCD1

A.篡改IP包中的協(xié)議字段B.最大年齡（MaxAge

attack）攻擊C.最大序列號(hào)攻擊D.LSA報(bào)文重放攻

擊

三、簡(jiǎn)答題

1.從體系結(jié)構(gòu)上講，因特網(wǎng)有哪些不足之處？答：分組交換易被攻

擊；缺少有效的認(rèn)證機(jī)制；盡力而為（best-effort）的服務(wù)策略；匿名

與隱私；對(duì)全球網(wǎng)絡(luò)基礎(chǔ)設(shè)施的依賴(lài)；無(wú)尺度網(wǎng)絡(luò)；互聯(lián)網(wǎng)的級(jí)聯(lián)特

性；中間盒子。

2.TCP協(xié)議的哪些字段或特性可被攻擊者利用？

答：TCP協(xié)議的標(biāo)志位SYN,FIN,RST,ACK等字段，TCP的有連

接特性，可用于進(jìn)行網(wǎng)絡(luò)掃描、連接劫持、拒絕服務(wù)攻擊。

3.IP協(xié)議的哪些字段或特性可被攻擊者利用？

答：IPv4協(xié)議的無(wú)連接、無(wú)認(rèn)證、無(wú)加密、無(wú)帶寬控制等特性，可

被攻擊者利用來(lái)偽造或篡改IP包、監(jiān)聽(tīng)、拒絕服務(wù)等攻擊。

IPv6協(xié)議的不足：對(duì)于同時(shí)支持IPv4和IPv6的主機(jī)，黑客可以利

用這兩種協(xié)議中存在的安全弱點(diǎn)和漏洞進(jìn)行協(xié)調(diào)攻擊，或者利用兩

種協(xié)議版本中安全設(shè)備的協(xié)調(diào)不足來(lái)逃避檢測(cè)；無(wú)狀態(tài)地址自動(dòng)配

置的安全風(fēng)險(xiǎn)；IPv6中PKI管理系統(tǒng)的安全風(fēng)險(xiǎn)；IPv6編址機(jī)制的

隱患；IPv6的安全機(jī)制給網(wǎng)絡(luò)安全體系所帶來(lái)的安全風(fēng)險(xiǎn)。

4.ARP協(xié)議的哪些字段或特性可被攻擊者利用？