分析從職業競技角度進行網路安全課程改革的實踐論文

分析從職業競技角度進行網路安全課程改革的實踐論文

  多年來,筆者承擔學校“網路作業系統配置與管理”“網路安全與防護”等課程的教學工作,同時,作為指導老師承擔多項職業院校技能大賽網路安全相關專案的競賽輔導工作,並取得了良好的成績。本文將透過研究全國技能競賽對參賽選手能力的要求,探討如何將技能競賽知識點、考核方法融入課程建設中,同時對近幾年進行的課程建設實踐進行總結,以期從另一個角度開展課程改革和建設。

  一、高職技能競賽與課程建設互動

  2010年全國職業院校技能大賽高職組設立了“計算機網路組建與安全維護”專案。賽項的目的是適應網路產業快速發展及“三網融合”的趨勢,體現綠色節能理念,促進網路工程專案及產業前沿技術在高職院校中的教學應用,引導高職教育計算機網路專業的教學改革方向,最佳化課程設定;深化校企合作,推進產學結合人才培養模式改革;促進高職相應專業學生實訓實習與就業。

  從高職教育技能競賽與課程建設兩者之間的關係來看,後者為前者提供必要的知識、技能、素質準備,前者對後者實施過程中存在的問題進行反饋,並對後者的教育教學結果進行綜合應用和實戰檢驗。兩者共同服務於高技能型人才的培養過程和培養目標,具有互動性。

  傳統的網路安全類課程在教學組織上存在著“重理論輕實踐、重個體輕協作”的傾向,按照這種方式培養的學生可以理解一些網路安全的基礎理論知識,但無法在現實環境中進行網路安全裝置或服務主機的整機聯調.或者出現個人能力較強但無法團隊協作的問題。以“計算機網路組建與安全維護”大賽以及後續的“資訊保安技術應用”大賽為代表的職業技能競賽,非常注重理論知識與綜合能力的結合,一般都是以團隊協作,解決一個實際的專案任務,重視專案任務的順利完成,同時,知識點覆蓋計算機網路安全課程的大部分內容。這樣的一種競技模式,對傳統的網路安全課程形成一種挑戰。透過分析網路安全類技能競賽的技術檔案,我們發現,它具有以下特點:(1)專案任務貼近網路安全崗位群要求;(2)注重考察學生的專業能力和創新能力;(3)強調選手的團隊協作和職業道德。而這些也是高職學生核心能力的體現,是我們課程建設和改革的方向,因此,從職業競技角度進行網路安全的課程改革具有可行性。

  二、以競賽為參考,開展教學改革實踐

  1.相關知識點引入網路安全課程

  以2011年全國大學生職業技能競賽“資訊保安技術應用”賽項為例,它的知識點考核分佈在以下兩個模組:(1)資訊保安網路平臺搭建,主要包括IP地址規劃,如VLSM、子網劃分等;交換機配置與除錯,如TRUNI},STP,RSTP,MSTP,MAC地址繫結和埠聚合等配置;路由器的配置與除錯,如RIP,OSPF,BGP、單臂路由、認證、策略路由、IP SecVPN,L2TP VPN,PPP,NAPT等配置;安全閘道器應用,主要包括使用防火牆規則保護內網服務安全,在防火牆上實現路由、IPS ,NAT轉換、防DDOS攻擊、實現包過濾,URL過濾,P2P流量控制、雙機熱備、DHCP,VPN實現遠端安全接入和站點到站點的IPSec VPN或SSL VPN等;(2)網路安全攻防,主要包括遠端伺服器攻防演練,如針對未設定防護的伺服器發起攻擊、滲透、掃描、密碼猜測等;伺服器安全防護和安全威脅溯源等。

  為了確保競技效果,“資訊保安技術應用”大賽還專門設計了極具展示效果的流程,將比賽分成三個階段。第一階段主要是進行網路環境的現場搭建與除錯,主要是按照指定的拓撲圖進行裝置連線,完成各裝置的基礎配置,並進行連通性測試,以考察選手的組網能力。第二階段針對特定安全攻防平臺中的預設場景進行網路攻擊滲透測試,獲得目標主機中預設的標識檔案,利用漏洞進行網路內全方位安全測試,同時對自身網路系統中不安全的因素進行修正和加固。第三階段就是直接進行參賽隊之間的對抗,可充分利用弱口令暴力破解、抓包嗅探、ARP欺騙、主機遠端訪問、IIS伺服器配置、WEB安全漏洞認識、HTTP報文安全性認識、搭建CA證書伺服器、SQL注入與加固、Linux漏洞利用與加固、垃圾郵件防範、SSL加密、緩衝區溢位、基線安全工具使用、遠端木馬控制等手段進行網路的攻擊,同時防禦來自其它參賽隊的網路入侵。

  網路安全課程主要是為企事業單位網路安全管理員崗位服務,其主要的知識目標包括具備網路協議底層結構與原理的知識與新的協議的學習方法;學習資料加密和VPN技術相關知識以及對新知識的學習方法;學習防火牆技術與原理和對新知識的學習方法;學習入侵檢測/防禦技術與原理和對新知識的學習方法;學習主機安全防護與病毒防範相關知識與概念和對新知識的學習方法;學習保障網路安全可靠執行的相關技術與知識。其主要的能力目標包括學會協議分析技術,能利用協議分析軟體定位協議及流量引發的安全問題,具備實施有效的防護措施的方法與能力;學會資料加密技術與VPN技術為資料提供保護,並能設計規劃VPN方案,具備對資料機密性、完整性、合法性保護的方法與能力;學會防火牆在網路中的設計、規劃與部署,能對網路訪問行為加以控制,具備利用防火牆保護網路的能力;學會利用入侵檢測/防禦技術對網路行為進行審記與防護,並能部署入侵檢測/防禦方案;學會對主流作業系統的主機實施全而安全防護措施與病毒防範和病毒處理的方法與能力;學會對網路部署不同層而的安全防護技術,保障網路安全可靠執行的相關技能與方法。

  在確保課程主體目標不變的前提下,重點參考2011年全國大學生職業技能競賽“資訊保安技術應用”賽項知識點和競技手段,我們對課程的教學內容進行改革,組成了教學模組。

  2.以任務為引領,開展課堂教學改革

  以網路攻擊技術與實踐的某次課堂為例,我們透過虛擬機器技術,為全班每一位學生搭建具有已知漏洞的堡壘主機,然後,給學生部署以下實踐任務。

  任務一:伺服器A主機資訊收集。伺服器A的IP地址10.5.7.1xx (x、為工位號),透過NMAP掃描工具,獲取伺服器A系統資訊,檢視埠開放情況和相應的服務(如ftp , 3389遠端連線,http服務等)。

  任務二:伺服器A弱口令猜解。利用攻擊工具,猜測伺服器A的登入口令,並透過該口令進入伺服器A。在伺服器A桌而上獲得檔名為“伺服器B.txt”的檔案,檢視檔案中的IP地址。

  任務三:伺服器B的IIS許可權探測。利用IIS上傳工具,對其進行IIS寫許可權探測,驗證該目錄是否可寫;若該目錄可寫,上傳help.txt至伺服器B,要求可以透過http://伺服器B/help.txt訪問到上傳的'檔案。

  任務四:伺服器B的WEB網站SQL注入攻擊。訪問伺服器B的WEB網站,嘗試進行手工SQL注入,發現網站可以進行SQL注入攻擊,利用注入工具,獲取資料庫表及使用者名稱、密碼等有效資料。接著去探測後臺管理登入頁而,利用已經猜解到的使用者名稱,密碼等成功登入後臺。最後建立新的賬號,並透過該賬號登入伺服器B,在伺服器B的桌而上獲得檔名為“伺服器C.txt”的檔案,檢視檔案中的內容。

  任務五:伺服器C的MYSQL密碼破解。透過“伺服器C.txt”中的內容提示找出伺服器C的IP地址,利用攻擊工具破解伺服器C的MYSQL的ROOT密碼。

  在實踐老師的引導下,學生自行查閱相關資料,從數字教學資源FTP站點中下載對應的工具軟體,在學習掌握網路安全工具軟體的基礎上,可以迅速完成一系列的工作任務,從中獲得巨大的成就感和滿足感,很好的完成了課堂教學任務。

  三、課程改革效果

  經過為期三年的課程改革實踐,以職業競技方式進行網路安全課程教學已經成為浙江機電職業技術學院網路技術專業的特色課程,改變了以前以網路安全理論教學輔以安全實驗為主的教學方式。從課程一開始就明確了網路安全以攻防競技為手段的學習模式,學生在分析自身不同優勢的前提下,首先明確自己是攻擊方還是防禦方,然後,透過學習各自領域的專業技術,分階段進行競技對抗,極大地調動了學生的學習積極性和主動性,強化了高職學生的核心能力。

  在課程教學外,每年還定期舉行學校網路安全攻防競賽,更進一步吸引了其它專業的學生參加該課程的雙休日工程和興趣班。

  從職業競技角度進行網路安全課程改革實踐,還需要其它方而的配合。下一步我們將繼續進行課程整合,在現有考核方式的基礎上,進行課程評價方式的變革,在現有案例題庫基礎上進行試題庫建設,在現有教學錄影基礎上進行微課案例的編寫等。

最近訪問