作为一门综合性的新学科,网络空间安全覆盖物理层、网络层、数据层等多个层面的问题[1]。网络安全信息化领导小组于2014年2月正式成立[2],表明网络空间安全人才的培养迫在眉睫。2015年6月,教育部批示在工学中设立网络空间安全一级学科,学科代码为0839[3]。2016年6月,中央网信办《关于加强网络安全学科建设和人才培养的意见》(中网办发文[2016]4号)文件[4],至此国家对网络空间安全人才培养的重要性和需求也提升至一个崭新的层面。
1 网络空间安全的教学体系
网络空间安全是一门交叉性学科,融合了数学、信息论、计算复杂理论、控制论、系统论、认知科学、博弈论、管理学、法学等学科知识,其研究内容不仅涉及非传统网络安全理论与技术,如网络安全、网络攻防、网络安全的管理、信息安全等,还囊括网络应用的安全,如数据的恢复与取证、舆情分析、工程系统和物联网安全等。与其他学科相比,网络空间安全不仅采用理论分析、实验验证、技术实现等常规手段,还采用逆向分析等技术,从攻方和守方两个不同的角度分析当前网络空间安全所面临的威胁[5]。网络空间安全的教学体系框架如图1所示。
2 课程改革的发展与建设
2.1 课程体系教学改革
现有的网络安全或信息安全教学体系分为两种,一种是传统课堂教学模式,另一种是互联网在线教学。传统课堂教学模式可以实现良好的师生互动,但是授课内容大都是授课教师拟定,学生不能根据自身喜好、知识水平、技术能力等实际情况选择适合自己的课程。基于互联网的在线教学虽然解决了学习地域以及时间受限的问题,但是还存在缺少互动实践环节、不能及时巩固练习及反馈学习内容的问题。针对两种教学模式的固有缺点,结合网络空间安全的学习更需要可知、可感和可实践的特点,教师可尝试设计网络空间安全课程的实践教学模式,涵盖可实施性的应用教学案例,满足更轻量、更丰富且更自由的新型学习理念,提高学生的创新能力与实践能力。
2.2 实践教学课程建设
网络空间安全实践教学设计采用层层深入各个知识点、关键技术的原理演示与课后练习实践等多种教学模式,课程设计要能够理清网络空间安全学科涉及的各个主要教学内容,融合网络空间安全、网络安全和信息安全相互之间的联系和区别。
实践教学的内容设计涵盖了学习者所需要的大部分重难点知识体系。学生既可以通过实践教学系统搭建仿真环境自主学习,又可以点播、跟踪指导教师授课视频进行学习,不断强化学习者对网络空间安全的整体规划意识。这个整体规划意识是网络空间安全、网络安全、信息安全相互之间的联系,三者之间存在相互区别又相互促进的关系。
每节课都提供详细的PPT教案与教学视频供学生学习,课程涵盖基本的知识量且在完成规定的授课学时后,还将课程进行深度与广度的拓展,如挖掘应用技术和国内外网络空间安全领域发展的最新进展,不仅为学生提供充足的、具有自主性的学习资源,还可为教师提供一次学习提高的机会。课程中除了知识讲解,还需设定学生提出问题并布置作业的模块。完善建设中的实践教学系统如图2和图3所示。
3 实践教学体系结构
文献[6]提出 “一个通过规则管理的虚拟的空间,这种空间称为‘网络空间’。网络空间的安全涉及设备层、系统层、数据层和应用层这四大层面上的问题,这是网络空间安全概念的初步定义。教学内容建设是课程建设的核心,综合考虑教学内容的可实践性、可扩展性、综合完备性等方面因素之后,我们利用网络自主学习的整体性原则,把网络空间安全课程的教学内容划分为设备安全、系统安全、数据安全和应用安全4个部分,每一部分重视和强化实践与实验环节,强调学生自学能力,以激发学生独立思考的思维。实践教学内容见表1。实践教学内容体系框架如图4所示。
4 实践教学任务规划
4.1 教学规划
综合表1和图4,具体的教学任务安排如下。
(1)设备安全:①防火墙建设与保护,如Linux防火墙配置、事件审计、状态检测等;②入侵异常检测,如HIDS部署实验、入侵行为检测实验、异常行为检测等;③容灾数据安全备份,如NAS存储、Linux RAID实验、IP SAN存储管理等;④通信安全,如语言保密通信实验、MAP信息安全传输、认证实验等;⑤服务器安全,如Linux日志管理、远程桌面安全配置、Windows网络管理等;⑥无线保护,如无线组测试、WEP密码破解测试、WPA配置测试等。
(2)系统安全:①操作系统安全,如Web安全配置、Linux用户管理、FTP服务安全配置等;②数据库安全保障,如MYSQL与SQLServer的安全审计、数据的安全备份与恢复等;③身份认证,如动态口令认证系统实验、人脸识别与检测编程实验等;④安全审计等,如文件事件审查、网络事件审查、主机监控实验等。
(3)数据安全:①密码学及应用,如密码学、PKI、PMI等;②密码破解,如Linux密码破解、Win密码破解、远程密码破解等;③信息防护,如图像信息和音频信息的隐藏与加密实验等。
(4)应用安全:①计算机病毒,如脚本病毒实验、木马攻击实验、PE型病毒实验等;②网络扫描与嗅探,如网络连通实验、路由信息探测实验、网络嗅探实验等;③逆向工程,如Aspck加壳、 Aspack反汇编分析、逆向工程高级实验等;④网络欺骗,如ARP_DNS欺骗实验、MAC地址欺骗实验、DOS攻击实验等;⑤缓冲区溢出,如缓冲区溢出初等级实验、缓冲区溢出中等级实验等。
4.2 实施路径
实施路径涉及教学内容的安排、教学大纲的撰写、实验验证与仿真、原理演示、实验步骤、复习讨论等方面,每一章节内容的路径设计如图5所示。
网络空间安全实践教学系统的设计具有以下4个方面的特点:①云部署,课程资源包部署于云端,可随时随地开展学习和分享;②进度掌控,随时掌握学习进度情况,通过作业了解学习效果;③断点保存,保存实验进度,分阶段完成课程;④灵活扩展,教师可灵活定制和调整课程,系统可灵活扩展和完善。
围绕网络空间安全学科,探索高校计算机专业在此领域的课程建设和教学改革,建成一个高质量、可共享的课程体系和培养方案,课程的建设成果将开源开放。
该文以网络安全课程中的上网行为管理教学内容为例,在分析教学背景、教学内容、学情、目标等环节的基础上,对实验部分的教学进行研究、设计和实施,同时贯穿信息化教学手段和多种教学方法的引入,最终给出全面的评价标准,取得了良好的教学效果。
关键词:
网络安全;实验教学;教学设计;教学手段
1引言
网络安全课程本身原理部分晦涩难以理解,实验部分涉及技术众多,涵盖多个专业课程的知识点,因此也是一门与其他学科交叉性极强的实践性课程。根据学科特点和岗位能力培养目标,从基本学情出发,研究设计了符合教学目标和学生认知特点的教学方案,有效完成了教学任务,提高了学生的学习能力
2教学基本情况分析
网络的便捷带给用户很多网络使用效率的困扰,包括带宽拥塞、关键应用的服务质量QoS无法保障、病毒请求消耗带宽、网络攻击导致服务中断等问题。上网行为管理作为网络安全管理的重要内容,能够实施内容审计、行为监控与行为管理,同时可以动态灵活控制网络速率和流量带宽,很好地满足各行业网络安全管理的需要。同时,上网行为管理也是计算机技术专业的“网络安全与运维”典型工作任务中的一个技术技能训练单元。在专业职业岗位需求分析的基础上确定了本实训单元的技术技能训练要求。课程内容根据《网络安全与防护》课程标准中制定,同时参考了神州数码网络安全岗位认证系列教材的相关内容。我们依据技术技能人才培养方案,立足地区网络安全管理人才需求,结合学院现有设备优势,将实训的内容设计为上网行为管理的基本概念、常用设备及架构、校园网络上网行为管理的规划与实施、上网行为管理的日常运维与分析四个部分[2]。教学对象是高职高专二年级学生,已经具备计算机网络基础知识、路由与交换、局域网组建等相关知识和技术技能。但尚未达到网络安全运维的实践能力要求,隐形知识也有待显化。从往届生的学习情况来看,课后对知识的复习巩固性练习积极性不高。尤其是对动手配置的内容,很多同学只能按照教材按部就班地进行,不善于思考,只限于对配置操作的记忆。因此结合技术技能人才培养要求,我们以职业技能训练和岗位能力培养为教学组织原则,结合案例分析、实际操作、模拟现场、课后实践等多种方式进行实践内容教学,充分利用实训室现有网络设备和各类信息化教学平台和手段,突出“以学生为主体”和“学做合一”的特点,完成本次教学任务。基于以上分析,教学目标确定为三方面。首先是知识目标。要求学生掌握上网行为管理的基本概念,熟悉上网行为管理常用设备,了解此类设备的关键技术,熟悉上网行为管理常用架构。二是技能目标,学生能够规划校园网络上网行为管理方案,能够实施上网行为管理方案,能够对常见设备进行运维管理及分析。三是素养目标方面,希望学生具备安全操作意识,有用良好合作协调能力、自我学习能力和创新和应变能力[3]。
3教学设计
3.1课前活动
为了培养学生的自我学习和自我管理能力,同时利用网络教学平台突破空间限制,扩展师生互动范围,提升学生个性化和差异化的学习体验。教师会在课前上传课前任务书、学习资源、考核标准到超星网络教学平台,并通过该平台预学习任务;同时,通过超星移动APP、QQ群、微信预习通知;教师收到学生的课前测验结果后,及时批改测验结果,了解不同学生的认知基础的差异,灵活调整课堂教学策略,适当调整教学方法。学生收到预习通知后查看任务书;针对本单元中用到的各类硬件设备,提前调研其性能及技术参数;同时学生可以利用实验室的环境设备进行安全的探索操作;完成课前预习报告后学生提交到超星网络教学平台并在平台上独立完成课前评价表的填写。
3.2课堂活动
课堂教学部分,教师首先创设教学情境,设计出三个教学活动,引导学生分组讨论,完成实验环境的搭建,从而引出本单元学习内容;然后教师利用奥易课堂教学软件下发任务书,并做出简要说明。在学生完成过程中针对个别学生的提问做差异化指导,通过奥易教学软件统一监控。最后教师引导学生总结归纳本单元课堂教学的主要内容和实验思路、故障分析解决思路。与此同时学生要完成一下工作。首先针对创设情境,分组讨论、展开头脑风暴并总结表述讨论结果,复习已有知识技能,独立完成实验环境的搭建;其次结合下发的任务书,组员间讨论分析项目的需求,检查项目实施的环境及准备工作是否完整。然后讨论制定项目计划,确定项目实施的方案;第三观看教学视频,独立完成9个任务的实施和验证;第四针对拓展任务,分组讨论,分析问题,提出解决方案,给出实施计划,确定实施方案;第五划分不同角色,组员间协作完成拓展任务的实施和验证;拓展任务结束后,其中一组简要汇报任务的完成情况,由师生对其共同点评;接下来学生结合教师给出的新的网络场景,分析总结出常见上网行为管理时有可能出现的网络问题,以及常见的分析和解决方法;最后独立完成课堂评价表的填写。
3.3课后活动
课后环节部分,教师利用网络课程平台课后操作练习,对练习环境、练习要求,评价标准做出简要描述说明。批阅学生课后实验报告完成情况。关注学生的讨论话题,适当做出引导和总结。更新课程作业库以及微课资源。学生的任务包括:完成课后操作练习;在网络课程平台上积极参与讨论话题,积极主动与同学和老师互动;访问更新的作业库和微课资源,在网络课程平台上共享学习资源;以及完成课后评价表的填写。此教学环节从操作巩固、讨论拓展、提问答疑三个部分入手,帮助提升学生的实践操作技能,锻炼学生的合作沟通能力、自我学习能力,以及面对新型应用场景时的创新和应变能力。网络通讯工具和信息化教学平台的引入能够帮助学生追踪本单元的课前、课中、课后等各个教学环节的学习过程,为今后的自我学习提供参考依据。
4教学实施
4.1情境设计
情境设计部分创设了三个活动,举例分析如下。教师首先引入校园网应用案例,给出拓扑结构和现有设备清单。然后学生分组讨论并陈述如下问题:
(1)该案例中存在哪些不同的用户需求,他们会发生哪些不同的上网行为?
(2)针对不同的网络用户,他们各自的业务流量具备什么特点?
(3)从网管员的角度看,校园网的出口带宽管理将会面临哪些挑战和威胁?
最后教师总结学生发言,一一对应,引入上网流量管理、上网应用管理、上网行为分析、浏览管理、外发管理等部分的概念。这个过程中使用到了案例教学法和头脑风暴法两种教学方法。这样设计的目的是:
(1)使用案例分析,由此完成上网行为管理概念的导入,引出本单元的教学内容,完成教学知识目标1的内容。
(2)引导学生展开头脑风暴,锻炼学生独立发现问题的能力。
(3)教学组织形式采用4人分组讨论陈述,培养学生的沟通技巧和表达陈述能力。
4.2布置任务
教师利用教学软件下发任务书和操作评价标准,学生完成以下工作:按照任务书要求独立分析任务;组员间讨论分析项目的需求;讨论制定项目计划,确定项目实施的方案;检查项目实施的环境及准备工作是否完整。该环节的特点是以任务为驱动,达到为了解决问题而学习的目的。同时此环节要求学生分组讨论,但是独立完成。这样做帮助学生提高沟通技能和独立分析解决问题的能力。
4.3任务实施
教师利用教学平台上传教学视频,学生利用教学视频能够提高学习效率,可以根据自身接受能力不同单独控制学习进度,达到差异化教学的目的。观看教学视频后,学生独立完成9个任务的实施和验证。
4.4分组拓展
完成基础任务练习后进入到分组拓展综合练习阶段,同样利用教学软件下发任务书和操作评价标准。学生分组讨论,分析问题,提出解决方案,给出实施计划;然后在小组内部划分不同角色,一人作为网管员,两人模拟内网不同部门的用户,另外一人模拟外网服务器。组员间协作完成任务的分析、计划、实施和验证。该环节使用到的教学方法有项目教学法、角色扮演法。为了在现有实验室设备条件下营造出真实的职业情境,在任务内容的选取上贴合工作实际,提高学生的学习兴趣。此环节采用分组讨论的模式,要求学生采用分组讨论、协作方式完成,目的是培养学生在应对复杂、新型场景时的沟通、协作能力,以及创新和应变能力。教学重点的解决思路是:首先利用视频材料完成基本任务的独立练习,继而分组协作完成拓展任务;挑选一组简要汇报任务的完成情况,由师生对其共同点评;教师再将综合任务1、2整体操作演示一遍;最后教师引导学生总结归纳上网行为管理的部署方式及其优缺点,上网行为管理的主要内容、方案设计和实施,至此完成教学重点的学习。教学难点的解决思路是:紧接着教学重点,接下来教师提出更高要求,引导学生结合前面三个综合任务的完成情况,思考类似问题,例如:接到用户反映网络服务响应特别慢,甚至服务中断,如何利用之前掌握的技能分析解决此问题?学生在分组讨论后,分析出常见上网行为管理时有可能出现的网络问题,以及常见分析和解决方法。至此完成教学难点的学习。
4.5课堂考核
评价标准贯穿课前、课中、课后三个环节。不仅仅强调考核结果,更为注重考核项目完成的过程。考核细项从专业技能、方法能力、社会能力三个方面进行设计。同时鼓励学生独立评估,即强调自我调节的行动为方法。我们以课堂考核为例。考核标准在任务布置的时候,连同任务书一起发给学生。评价标准从三个方面设计,包括专业技能、方法能力、社会能力,示例如下表:
5结论
本文以网络安全课程中的上网行为管理教学内容为例进行了相关研究和设计,实施过程中借助信息化手段,学生通过师生、组员间的多种互动方式,手脑并用,较好地完成了预设教学知识目标、技能目标和素养目标,取得了良好的教学效果。
参考文献:
[1]李建国.高校计算机网络安全课程教学研究[J].淮北煤炭师范学院学报:自然科学版,2009,30(1):94-96.
[2]俞研,兰少华.计算机网络安全课程教学的探索与研究[J].计算机教育,2008(18):127-128
关键词:网络安全;实验教学;教学设计;教学手段
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)31-0107-03
1 引言
网络安全课程本身原理部分晦涩难以理解,实验部分涉及技术众多,涵盖多个专业课程的知识点,因此也是一门与其他学科交叉性极强的实践性课程。根据学科特点和岗位能力培养目标,从基本学情出发,研究设计了符合教学目标和学生认知特点的教学方案,有效完成了教学任务,提高了学生的学习能力
2 教学基本情况分析
网络的便捷带给用户很多网络使用效率的困扰,包括带宽拥塞、关键应用的服务质量QoS无法保障、病毒请求消耗带宽、网络攻击导致服务中断等问题。上网行为管理作为网络安全管理的重要内容,能够实施内容审计、行为监控与行为管理,同时可以动态灵活控制网络速率和流量带宽,很好地满足各行业网络安全管理的需要。
同时,上网行为管理也是计算机技术专业的“网络安全与运维”典型工作任务中的一个技术技能训练单元。在专业职业岗位需求分析的基础上确定了本实训单元的技术技能训练要求。课程内容根据《网络安全与防护》课程标准中制定,同时参考了神州数码网络安全岗位认证系列教材的相关内容。我们依据技术技能人才培养方案,立足地区网络安全管理人才需求,结合学院现有设备优势,将实训的内容设计为上网行为管理的基本概念、常用设备及架构、校园网络上网行为管理的规划与实施、上网行为管理的日常运维与分析四个部分[2]。
教学对象是高职高专二年级学生,已经具备计算机网络基础知识、路由与交换、局域网组建等相关知识和技术技能。但尚未达到网络安全运维的实践能力要求,隐形知识也有待显化。从往届生的学习情况来看,课后对知识的复习巩固性练习积极性不高。尤其是对动手配置的内容,很多同学只能按照教材按部就班地进行,不善于思考,只限于对配置操作的记忆。因此结合技术技能人才培养要求,我们以职业技能训练和岗位能力培养为教学组织原则,结合案例分析、实际操作、模拟现场、课后实践等多种方式进行实践内容教学,充分利用实训室现有网络设备和各类信息化教学平台和手段,突出“以学生为主体”和“学做合一”的特点,完成本次教学任务。
基于以上分析,教学目标确定为三方面。首先是知识目标。要求学生掌握上网行为管理的基本概念,熟悉上网行为管理常用设备,了解此类设备的关键技术,熟悉上网行为管理常用架构。二是技能目标,学生能够规划校园网络上网行为管理方案,能够实施上网行为管理方案,能够对常见设备进行运维管理及分析。三是素养目标方面,希望学生具备安全操作意识,有用良好合作协调能力、自我学习能力和创新和应变能力[3]。
3 教学设计
3.1 课前活动
为了培养学生的自我学习和自我管理能力,同时利用网络教学平台突破空间限制,扩展师生互动范围,提升学生个性化和差异化的学习体验。教师会在课前上传课前任务书、学习资源、考核标准到超星网络教学平台,并通过该平台预学习任务;同时,通过超星移动APP、QQ群、微信预习通知;教师收到学生的课前测验结果后,及时批改测验结果,了解不同学生的认知基础的差异,灵活调整课堂教学策略,适当调整教学方法。学生收到预习通知后查看任务书;针对本单元中用到的各类硬件设备,提前调研其性能及技术参数;同时学生可以利用实验室的环境设备进行安全的探索操作;完成课前预习报告后学生提交到超星网络教学平台并在平台上独立完成课前评价表的填写。
3.2 课堂活动
课堂教学部分,教师首先创设教学情境,设计出三个教学活动,引导学生分组讨论,完成实验环境的搭建,从而引出本单元学习内容;然后教师利用奥易课堂教学软件下发任务书,并做出简要说明。在学生完成过程中针对个别学生的提问做差异化指导,通过奥易教学软件统一监控。最后教师引导学生总结归纳本单元课堂教学的主要内容和实验思路、故障分析解决思路。
与此同时学生要完成一下工作。首先针对创设情境,分组讨论、展开头脑风暴并总结表述讨论结果,复习已有知识技能,独立完成实验环境的搭建;其次结合下发的任务书,组员间讨论分析项目的需求,检查项目实施的环境及准备工作是否完整。然后讨论制定项目计划,确定项目实施的方案;第三观看教学视频,独立完成9个任务的实施和验证;第四针对拓展任务,分组讨论,分析问题,提出解决方案,给出实施计划,确定实施方案;第五划分不同角色,组员间协作完成拓展任务的实施和验证;拓展任务结束后,其中一组简要汇报任务的完成情况,由师生对其共同点评;接下来学生结合教师给出的新的网络场景,分析总结出常见上网行为管理时有可能出现的网络问题,以及常见的分析和解决方法;最后独立完成课堂评价表的填写。
3.3 课后活动
1实践教学内容总体教学设计
网络安全协议这门课程涉及的重要知识点包括:网络安全协议的基本概念、TCP/IP协议簇的安全隐患、在不同协议层次上的安全协议的原理和实现、不同层次安全协议之间的比较、无线网络安全协议的原理和实现、安全协议的形式化分析基本方法等。网络安全协议无论从教学设计、验证,还是如何有效地应用来看都非常复杂。即使所采用的密码算法很强大,协议依然有可能受到攻击。网络上的重放攻击、中间人攻击能够绕过对密码算法的攻击,非常难以防范,此外,攻击者还有可能利用安全协议的消息格式进行“类型缺陷(typeflaw)”攻击。由于网络安全协议的复杂性,在实际教学过程中,若只是由老师空洞的进行讲解,大多数学生往往很难跟上讲课的进度,进而失去对此门课程的兴趣。目前常用的网络安全协议包括PPTP/L2TP、IPSec、SSL/TSL、HTTPS、SSH、SNMPv3、S/MIME、、PGP、Kerberos、PKI、无线网安全协议(IEEE802.11i,WTLS)等。让学生通过实践教学活动,理解并掌握安全协议的理论及应用,并在实践中增强自身的动手能力、创新能力是本课程的主要教学目标。本课程的实践教学将教学内容划分为4个阶段,认知阶段、体验阶段、应用阶段及总结提高阶段。通过这4个阶段,使学生由表及里、由浅入深、由学到用、由用到创,全面掌握各主要协议的原理、应用及教学设计;同时,通过对4个阶段的划分,更好地满足不同层次学生的需求,使学生学得更深、更透,用的更顺、更广,其创新思路也更易被激发和实现。
2SSL协议的实践教学实施
2.1认知阶段
本阶段的实践教学内容是通过利用Wireshark抓包分析工具软件,获取SSL/TSL协议通信流量,直观地观看SSL/TSL协议的结构、分析SSL/TSL协议的建立过程。在访问222.249.130.131时,采用Wireshark抓取的部分通信流量,如图1所示。第7~9条消息,完成TCP的连接。客户端首先在某端口向服务器端的443端口发出连接请求,完成三次握手。第10~12条消息,客户端首先发送Client-Hello等消息,请求建立SSL/TSL会话连接;然后,服务器端发送Server-Hello、证书等消息;接着客户端发送ClientKeyExchange、ChangeCipherSpec等消息。第13~15条消息,服务器端发出的响应和ChangeCipherSpec消息,以及客户端发出应答响应消息。至此表明连接已准备好,可以进行应用数据的传输。第16条消息是由客户端发出的与另外一个服务器端的连接请求消息,与所讨论内容无关。这种情形,在抓包分析时,经常会遇到,不必受此干扰。第17~18条消息,客户端和服务器端分别关闭连接。以后再进行SSL/TSL连接时,不必产生新的会话ID,也不必交换证书、预主密钥、密码规格(cipher-spec)等会话参数。每一条消息都可以进一步打开,观看更细节的内容。ClientHello消息的内容是对相应的二进制的内容的一个分析解释,如图2所示。其他消息的格式和内容也都可以清晰地呈现,在此不一一列举。通过对SSL/TSL流量的抓取分析,可以很直观地让学生掌握如下知识点:(1)SSL/TLS协议是建立在TCP连接之上的安全协议。(2)SSL/TSL连接和会话的概念,以及连接和会话的建立过程。(3)握手协议的执行过程,各消息的先后次序,及消息的格式和内容。(4)重要的消息参数及其作用,如sessionID、数字证书、加密组件(Ciphersuite)、加密预主密钥(Premaster)等。需要说明的是,上述内容没有涉及客户端发送的证书消息,只能通过证书完成客户端对服务器的认证,没有服务器对客户端的认证。事实上,SSL/TSL是可以通过数字证书进行双向认证的。
2.2体验阶段
经过认知阶段的理论与实践学习后,需要让学生了解和掌握SSL协议应用在哪里?如何应用?可以有效防范哪些安全威胁?本阶段的实践教学内容通过配置IIS服务器中的SSL/TSL,为Web服务器和浏览器之间建立一个安全的通信通道,使学生学习和掌握SSL在Web的应用中的配置和作用,从而对SSL协议的应用有一个直接的感受和体验。学生完成IIS服务器中的SSL/TLS配置,首先需要完成CA的安装与配置[3],用于数字证书的生成、发放和管理;然后,分别为IISWeb服务器和客户端申请、安装证书;最后在服务器上配置SSL,使客户端与服务器建立SSL/TSL连接,如图3所示。该阶段的实践教学,除加深学生对SSL/TSL的理解,还使他们学会了如何进行CA服务器的图3建立https协议的访问配置、Web服务器和客户端的证书的申请,以及CA服务器对证书的颁发、安装管理等。
2.3应用阶段
通过前2个阶段的实验教学,很好地配合了SSL的理论教学,使学生对SSL/TSL协议有了更深的认识和体验。本阶段的实验教学内容,将通过利用OpenSSL,实现一个简单的SSL服务器端和客户端[4],使学生具备利用SSL/TLS协议进行通信的编程能力。OpenSSL是一个开放源代码的SSL协议实现,具有一个强大的支撑函数库,主要包括三大部分,密码算法库、SSL协议库和OpenSSL应用程序。OpenSSL提供了一系列的封装函数,可以方便实现服务器和客户端的SSL通信。该阶段的工作量较大,通常在教师指导下,由学生分组自行完成。(1)OpenSSL的编译安装。这一步骤涉及下载和安装多个软件,版本也各不相同。包括不同版本的Openssl、Perl、VC++等。一般建议学生采用自己熟悉的系统和开发平台,安装新版的OpenSSL。(2)VC++编译环境的设置。目前的参考资料大都基于VC++6.0,我们采用的是VisualC++2010开发环境。网上有许多现成的源代码,但一般很难编译、调试或执行通过。我们建议学生可以参考已有的源代码,但一定要通过自己的编译、调试、改正,得到满意的运行结果。(3)生成服务器和客户端数字证书。SSL可以通过数字证书实现服务器和客户端之间的双向或单向认证。我们建议学生利用OpenSSL的证书生成命令行工具,自行完成一遍。这一步骤若出现问题,将直接影响以后程序的顺利执行。(4)SSL/TLS编程。首先建议学生采用OpenSSL的BIO连接库,建立一个简单的服务器和客户端,仅能完成简单的TCP握手连接和通讯;然后,再加入SSL握手功能,实现一个真正意义上的简单的SSL服务器和客户端。SSL/TLS客户端和服务器端程序运行结果,分别如图4和图5所示。通过该阶段的实验教学,一方面使学生熟悉如何利用OpenSSL工具编程,实现基于SSL的安全通信;另一方面使学生了解和掌握OpenSSL在安全方面的广泛应用,最终使学生在毕业设计和未来工作中,有足够的能力提出和实现应用安全方面的解决方案。
2.4总结
提高阶段通过前3个阶段的实践教学内容,再结合课堂上的理论教学,学生对SSL/TSL协议的原理、实现和应用都有了较深的认识。由于有许多研究和实践活动受各种条件所限,不可能全部列入教学实践的内容,这个阶段的主要任务是让学生通过他人对SSL/TSL协议的研究和应用,了解SSL/TSL协议在实际应用中还存在哪些问题、如何进一步完善,其目的是训练学生具备通过别人的研究和实践活动进行高效学习的能力,同时也让学生了解一个看似成熟的协议,还存在一系列的问题,这些问题有的是协议本身存在的,有些是在实际应用中产生的。我们通过提出3方面问题,让学生去通过查阅相关资料,自己进行总结。①SSL/TSL协议的存在哪些不足?②将SSL/TSL协议与应用层和网络层的安会协议进行比较,有哪些优劣?③通过一个实际的SSL/TSL协议的应用案例,说明SSL/TSL在实际应用中还存在哪些局限,应如何进行解决?教师可向学生推荐几篇参考文献[5-6]同时鼓励学生自己查询更多有价值的文献。在此阶段,教师和学生不断进行交流和讨论,对学生提出的问题以及业内新出现的热点问题,教师要通过不断的学习和提高给学生一个满意的答案。例如2014曝出的Heartbleed漏洞,涉及OpenSSL的开源软件包,而该软件包被网银、在线支付、电商网站、门户网站、电子邮件等重要网站广泛使用,所以漏洞影响范围广大。学生们对此漏洞非常有兴趣,作为教师要尽快查阅有关资料,了解此漏洞的产生的原因、有何危害、如何补救等。此漏洞虽然是OpenSSL的开源软件包程度存在的问题所导致的,与SSL/TSL协议本身无关,但是该漏洞的出现,提醒我们即使协议本身是安全的,在实现协议的过程中仍可能出现不安全的因素,导致安全漏洞的产生。
3实践教学效果评价
实践教学方案的教学设计是否可行和有效,需要在实际教学过程中进行检验。该实践教学方案是在多年教学基础上不断总结而教学设计的,并已在2013和2014年度的网络安全协议课程的教学中进行了实施。我们根据学生的反馈、表现以及实际教学效果,对方案的内容、难度以及方法也做了相应的调整。在方案实施过程中,教师要多与学生沟通,对所布置的作业认真检查,关注并统计学生是否有兴趣、是否努力,学生的技能是否得以改善,学生完成的情况、学生的满意度等各项指标。从对各项指标的统计来看,大部分学生对该实践教学方案比较认同,也取得了很好的效果,其中有几位学生还在毕业设计中选择了相关的毕测试。上述文档将整个测试过程显性化,实现了对缺陷解决过程的监控,有助于学生明确缺陷状态,评估所报缺陷的准确性,完善现有图式,促成自我反思与实践反馈。测试所涉及的文档和源码都将编号归档,统一存放于配置管理服务器,归档的文档被冻结,不允许修改。这些文件记录了缺陷的整个解决过程,为后期分析问题、完善解决方案、改进工作流程、反思教学设计提供了重要依据。
4结语
关键词:Packet Tracer;访问控制列表
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)33-0037-02
1 前言
本文首先给出一个企业网安全访问控制工作情境,以实现该工作任务为主线,以Packet Tracer仿真软件为实现平台,设计整个教学过程,包括ACL工作原理及配置,应用标准和扩展ACL的具体应用。
2 任务导入
公司有四个部门,分别是技术部、销售部、财务部、经理部,组建网络如图所示,为了安全起见,公司领导要求:
1)技术部、销售部不能对财部进行访问,但经理部可以访问财务部。
2)要求FTP服务器供公司内网员工专用,外网用户不可使用。
3 任务分析
要完成该工作任务,首先应网络基本配置,实现网络联通,在此基础上配置ACL,实现网络访问控制。
4 任务实现
4.1 ACl简介
ACL是一个路由器配置脚本,根据分组报头中的条件控制路由器允许还是拒绝分组。
ACL分为两大类,标准ACL和扩展ACL,标准ACL仅以源IP地址作为过滤标准只能粗略的限制某一大类协议。扩展ACL以源IP地址、目的IP地址、源端口号、目的端口号、协议号作为过滤标准,可以精确的限制到某一种具体的协议。
4.2 网络配置
1)定义ACL
标准访问列表的创建根据 “动作”+“源地址”,即允许谁,拒绝谁的方法来创建。
4.4 网络测试
没有配置ACL之前,所有主机都可以互相ping通,外网主机可以登录内网ftp,配置ACL之后,只有经理部主机可以访问财务部主机,技术部、销售部都无法访问,外网主机无法访问内网ftp服务器,内网主机可以,说明任务完成。
5 结束Z
Packet Tracer是思科公司开发一款模拟软件,能比较真实的模拟计算机网络中的网络配置。本文利用Packet Tracer软件可以仿真现实中的网络工程项目,本次教学设计,首先引入工作情境,以该工作任务实现展开教学,包括ACL工作原理、配置与测试。通过该项目的学习,提高了学生自主学习能力及动手实践能力,加深了学生对网络基本概念和基础理论知识的理解。
参考文献:
[1] 思科网络学院教程:网络基础知识[M].中国思科网络学院,译.人民邮电出版社,2009.
[2] 思科网络学院教程:路由协议[M].中国思科网络学院,译.人民邮电出版社,2009.
[3] 梁广民,王隆杰.思科网络实验室CCNA实验指南[M].电子工业出版社,2009.
关键词:工作过程导向;工作任务项目化;计算机网络与安全;实训室空间布局
“计算机网络与安全”是计算机网络技术专业的专业基础主干课程,采用传统的教学设计已经不能满足社会对网络人才的需求,笔者基于工作过程导向与工作任务项目化的思想,对这门课程进行了整体开发与设计。
1课程教学设计
1.1课程开发与设计思想
职业教育课程开发与设计是以工作过程为导向,依据并围绕职业活动中“为完成一件工作任务并获得工作成果而进行的一个完整的工作程序(工作过程)”选择课程内容,并以之为参照系对知识内容实施序化,着眼于蕴含在行动体系中的隐性实践知识的生成与构建,筑造课程内容结构[1]。
基于工作过程的课程开发,以工作过程分析为起点,选用适于教学的典型工作任务为项目载体整合教学内容,在课程教学过程中凸现以学生为主体、以职业能力的培养为主线、“教学做一体化”的特点。这一课程开发模式将职业活动中的各个元素渗透到教学的整个过程,实现学习者从经验层面向策略层面的能力发展,培养企业真正需要的人才。
课程的开发与设计以计算机网络管理员工作过程为基础,以学生组网、建网、管网能力的培养为重点,融入网络管理员岗位职业资格标准,突出理论与实践的有机结合。
1.2课程的开发与设计
图1为计算机网络管理员工作过程示意图。笔者通过分解网络管理员工作过程,确定工作任务与步骤,选取典型的工作任务设计课程学习项目;采用项目引领、任务驱动、案例教学等教学模式与方法,引导学生开展自主实践,完成学习项目。
基于对计算机网络管理员典型工作过程的分析,将课程设计成四个学习项目:中小型网络认知、组建中小型局域网环境、管理网络应用环境、局域网环境安全防护。图2是学习项目2“组建中小型有线局域网络”的整体设计方案。
2课程教学实施中若干问题的探讨
2.1围绕职业能力培养这一主线,实施课程实践教学
为实现课程教学的实践技能训练目标,进一步突出职业能力培养这一主线,课程实践教学环节的设计关注以下几个方面:
1) 拓展校企合作的形式与内容,聘请实践经验丰富的企业兼职教师与校内专任教师共同承担课程教学任务;
2) 利用现有校内外实训基地,对企业工作环境进行仿真与模拟,营造适于职业能力培养的学习情境;
3) 将学生按照4~6人一个工作组进行分组,模拟“企业项目部主管”岗位和“企业网络工程师”岗位,根据工作岗位划分学习性工作任务;
4) 通过典型示范、密切检查、适时归纳、考核验收等方式,教师发挥组织者、咨询者、指导者、促进者的作用,积极引导学生开展自主学习与实践,实现预期的课程学习目标。
2.2围绕学习项目要求,改进实训室空间布局
学习空间的布局,必须紧紧围绕学习目标和学习性工作任务。一方面,应有利于教师对于学生学习活动的掌控与指导,另一方面,应有利于学习过程中学生之间的交流和合作。
座位的位置在一定程度上影响着一个学生是否参加课堂活动及参加的程度[2]。古今中外的一些著名教育家对传统课堂中学生座位的摆放都有过研究。例如:英国人Jeremy Harmer在他所著的《How to Teach English》一书中介绍了几种不同的空间布局[3],如图3所示。其中右下图的布局方式比较常见,在世界各地被广泛使用。这一方式有利于教师组织教学并对整个教学过程进行掌控,学生也易于集中注意力;左上图的空间布局有利于学生开展小组讨论与合作,教师在小组外,以引导者与咨询者的身份参与学习活动;左下图和右上图的布局方式适合于以讨论班为主的课程教学,左下图将教师置于讨论组的核心位置,右上图则完全将教师与学生融为一体。这两种空间布局极为有效地突出了学生在学习活动中的主体地位。
课程教学在实训室中进行。因此,为完成课程学习目标,实训室空间布局力求能够创设一个仿真企业工作环境的学习情境,围绕课程学习内容及学习项目要求,突出职业能力培养这一主线,确保达到预期学习目标。
图4是课程中两种典型的实训室空间布局。左图直接将学习区安排在仿真的企业网络中心机房,配备适当的桌椅和其他必需的教学设备,学生学习活动在工作现场展开。活动结合企业真实项目、案例、职业规范和程序,学生可以发现并研究工作现场的实际问题,执行完整的任务流程、完成仿真或真实的工作任务,获得大量的技术实践知识和技术理论知识,提高技术实践能力,强化“实践工作经验”。右图的空间布局意在营造一般网络公司环境下的项目组工作氛围。传统的单人课桌转变为定制的五角型多人课桌,学生按学习项目要求组成项目小组,每组不超过6人,项目小组内部可以展开充分地交流与合作,共同完成学习项目;教师积极发挥学习顾问的作用,促进学习项目的完成和学习目标的实现。
图5是建议采用的两种课程实训室空间布局。左图中的空间布局是对图4的进一步改进与完善。这一布局不仅将学习场所安排在仿真的企业网络中心机房,同时在机房中划分出专门的学习区,并配备适当的桌椅和其他必需的教学设备。学习区、工作区的明确划分便于教师组织现场教学,也便于学生现场研究与讨论,更好地实现了学习、工作的一体化。右图的空间布局模拟一般计算机公司的工作环境,学生的课桌转变成职员的办公桌,项目小组长还获得了一张单独的“老板桌”。这一学习情境对于公司环境的模拟更加全面、真实,学生在学习过程中可以有效地感知外界环境对未来职业生涯所起的作用,也可以在心理环境中将“所学”与未来工作中“所用”建立起直接的、必然的联系。学生行为不再是单纯的学习,而是形成一种潜意识中的工作,学生主体意识被进一步唤醒。
2.3开展角色互换,突出学生的学习主体地位
为突出职业能力培养这一主线,课程教学中传统的教师与学生角色被模拟与转换为“企业项目经理”和“企业网络工程师”角色。教师以企业项目经理的身份布置工作任务、安排工作进度、开展工作检查,学生以企业网络工程师的身份接受领导交办的工作任务,制定工作计划与工作方案,运用所学知识与技能积极开展工作并接受过程监督与检查,分工协作完成工作任务。教师与学生的角色变化,使得传统教学活动中被动的学习者可以发挥更多的主观能动性,整个教学活动也得以凸显“工作学习一体化”的特征。
从另一个角度加以分析,国内目前的高职教育
大多是在普通高等教育基础上加上职业元素演化而来,高职教育领域内部存在着与普通高等教育类似的“重教轻学”问题。面向人才市场培养高技能专门人才的高等职业教育,其课程教学内容应以实际应用经验和策略的习得为主,概念和原理学习以适度够用为原则。学生在学习过程中应该是信息加工的主体,是意义的主动建构者,教师则是学生意义建构的促进者、群体的协作者、学生的学习顾问。
一般来说,缺乏教学经验的教师由于对教学内容、教学对象不熟悉、不自信,难以估计教学过程中可能出现的各种问题,更缺乏自如掌控教学活动的各项能力。这样的教师总是在不自觉地强调自身的教学主体地位,忽视学生的学习主体地位。随着教师个人职业生涯的发展、教学经验的不断积累,会逐渐有能力、有信心关注教学活动中的其他重要因素,也慢慢将自己转换为教学活动组织者的角色,将学生转换为教学活动的主体。同时,由于高职教育特别强调学生实践技能和职业意识的培养,高职教育教师除注重积累自身教学经验外,更应注意增强自身的实践经验、增强自身的实践教学能力,以更好地完成教学活动中的主体角色转换。
3结语
“计算机网络与安全”是计算机网络技术专业的专业基础主干课程,整体的教学设计要以计算机网络技术方面的能力为本位,突出理论与实践的有机交融。在教学实施过程中,模拟企业的具体岗位,以学生的实践为主体,采用合理的实验室空间布局,聘请企业兼职教师开展现场教学,改革实训课程的教学模式,培养满足社会需求的网络人才。
参考文献:
[1] 姜大源. 学科体系的解构与行动体系的重构―职业教育课程内容序化的教育学解读[J]. 教育研究,2005,307(8):53-57.
[2] 吴康宁. 教育社会学[M]. 北京:人民教育出版社,1998:344.
[3] Harmer J. How to Teach English[M]. Harlow :Addison Wesley Longman Limited,1998:18.
Curriculum Design and Implementation of Computer Networks and Security
ZHANG Juan1,2, HUANG Xinyuan2
(1.Department of Information and Engineering, Jiangsu Maritime Institute, Nanjing 211170, China;
2.School of Information Science and Technology, Beijing Forestry University, Beijing 100083, China)
[关键词]网络安全;安全协议课程;实践教学
[DOI]10.13939/ki.zgsc.2016.02.111
构建安全网络、营造网络安全环境都需要网络安全协议。人们对应用于计算机中的安全协议做了大量的分析研究,就是为了提高网络信息传输的安全性,使之能从根本上保证网络安全,以免造成因网络安全等级不够而导致网络信息数据丢失或者文件信息丢失以及信息泄露等问题。网络安全协议课程包括对密码学和计算机网络的学习,网络安全协议比较复杂,无论是对于教师还是学生而言,难度都比较大,所以学生只有在加强自身的理解与应用能力之后,才能有利于新知识的继续学习。针对网络安全协议中的协议原理和细节,对于教师而言,如何让学生理解非常重要;对于学生而言,如何掌握并应用非常重要。所以,教师对于网络安全协议课程的实践教学设计不能马虎。
1实践教学设计总述
常用的网络安全协议包括Kerberos认证协议,安全电子交易协议SET、SSL、SHTTP、S/MIME、SSH、IPSec等。[1]这些安全协议属于不同的网络协议层次,能提供不同的安全功能。特别是在IPV6当中采用IPSec来加强网络的安全性。并且在开放系统互连标准中,网络协议被分为7层,其中物理层、数据链路层、网络层、传输层和应用层都是常用的。所以,由于每种网络安全协议内容丰富以及它们都有各自的优点和缺点,致使在实际应用中网络安全协议更具复杂性。教师需要通过实践教学设计来实现让学生全面理解和掌握协议中的原理和细节,并能够有效应用。首先要做到让学生由表及里的、由浅入深的认识和学习网络安全协议,其次要做到让学生能应用到网络安全协议,最后达到创新的目标。所以实践教学内容要划分为阶段性的,才能让学生逐步透彻地掌握网络安全协议中的方方面面。
2SSL协议的实践教学实施
2.1认知阶段
教师在本阶段的教学内容就是让学生认识SSL协议。需要掌握以下内容:
SSL采用公开密钥技术,其目标是保证两个应用间通信的保密性和可靠性,可在服务器和客户机两端同时实现支持。目前,利用公开密钥技术的SSL协议,已成为因特网上保密通信的工业标准。SSL协议中的SSL握手协议可以完成通信双方的身份鉴定以及协商会话过程中的信息加密密钥,从而建立安全连接。SSL握手协议如下图所示。
SSL握手协议
而在SSL协议中,获取SSL/TLS协议通信流量,直观地观看SSL/TLS协议的结构就需要使用Wireshark抓包分析工具软件。通过流量抓取分析来让学生掌握SSL/TLS的具体内容。
2.2体验阶段
经过初步的学习,要让学生体验SSL的应用范围,对SSL的应用过程有一个直观的感受和体验。学生用于数字证书生成、发放和管理需要完成CA的安装与配置,其次分别为IISWeb服务器和客户端申请、安装证书,再在服务器上配置SSL,通过以上步骤完成IIS服务器中的SSL/TLS配置来建立客户端和服务器的连接。[2]此阶段的具体应用会让学生深入的了解SSL/TLS中的有关内容。
2.3应用阶段
应用阶段的教学内容是前两阶段教学内容的升华,它会使学生具备利用SSL/TLS协议进行通信的编程能力。而要达到这点,就需要通过利用OpenSSL,实现一个简单的SSL服务器和客户端。这个阶段的工作量不小,学生需要在教师的指导下分组进行。进行过程中主要环节包括,首先,学生利用自己熟悉的系统和开发平台来完成OpenSSL的编译安装。其次,学生参考已有的源代码来完成VC++编译环境的设置。[3]再次,学生利用OpenSSL的证书生成命令性工具生成服务器和客户端数字证书。最后,通过完成简单的TCP握手连接和通信,并加入SSL握手功能来实现SSL/TLS编程。
2.4总结提高阶段
课堂上的理论教学和阶段性的实践教学对于学生熟悉掌握SSL协议具有很好的作用,但是还存在某些方面的不完整性。例如,通过研究和实际应用SSL/TLS协议的过程中,如何进一步改善SSL/TLS协议所存在的问题。这些都是需要学生去解决的。在解决过程中,学生就能具备进行高效学习的能力。教师可以采取向学生提问的方式来进行这一阶段的教学内容。问题可以是多方面的,例如通过前几阶段的认识和实践,SSL/TLS协议还存在哪些不足?并通过一个实际的SSL/TLS协议的应用案例,发现SSL/TLS协议还有哪些局限性,并解决这些局限所带来的问题。在此阶段内,学生和教师要进行不断的交流和讨论,并找出相关事实依据来论证自己的观点。例如,针对Heartbleed漏洞,学生需要了解漏洞产生的原因和危害,并提出解决措施。通过分析发现是OpenSSL开源软件包的问题导致了此漏洞出现,与SSL/TLS协议并无太大关系。经过对此问题的分析研究,我们可以发现,协议本身的安全并不代表能在实现协议过程中避免所有的不安全因素。
3实践教学效果评价
各个阶段的实践教学过程需要教师进行精心的设计和把握,并通过具体的实施实践才能验证实践教学设计的是否合理,是否有效。由于网络安全协议课程本身就非常复杂,再加上具体实施过程中内容、方法和难度有所不同,就需要根据学生的反馈情况来进行及时的调整。教师要从各项反馈指标进行自我反思,并与学生进行沟通。同时,在此过程中,也要认真检查对学生的作业布置,关注学生是否掌握了有关网络安全协议的技能,注重学生的完成情况和学生对于实践教学过程中不足之处的意见。
4结论
网络安全协议内容复杂,具体应用过程及各项技术操作也较为烦琐,因此,单单只是针对SSL/TLS协议的实践教学做了简要的设计并不能移植到所有的网络安全协议课程的教学中去。若要讲关于网络安全协议中链路层和网络层,那么第三阶段的实践教学内容就不具意义了。而要讲应用层的安全协议,第三阶段的实践教学内容相比于第一阶段和第二阶段就重要得多。对于信息安全专业的学生来说,只有掌握好计算机网络和密码学的课程内容,才能继续网络安全协议课程的学习。因为网络安全协议课程的理论性和实践性都非常强。在实践教学的实施过程中,不但要让学生充分品尝动手的乐趣,还要让学生掌握网络安全协议的具体知识。同时还要注重培养在网络安全协议方面的应用型人才。
参考文献:
[1]刘凯.网络安全协议课程的实践教学设计[J].计算机教育,2014(24):111-114,118.
