网络安全实训报告
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全实训报告范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全实训报告范文第1篇
关键词:职业岗位;项目化;四维一体模式;教材建设
中图分类号:G642 文献标识码:A
Abstract:The course of firewall technology is a core curriculum in information security and related professions in Higher Vocational Colleges,carrying responsibilities and tasks to be network security manager.It is particularly important to develop a project oriented practice textbook on the basis of professional post demand.It was proposed a model based on four dimensional integration about the development of firewall technology project in this paper.It was proved that the students can enhance network security professional skills through this textbook.
Keywords:professional post;project;four dimensional integrated model;textbook construction
1 引言(Introduction)
伴随着网络安全问题的出现,国家机关单位、行业、企业、事业单位等都在局域网网络安全建设方面投入了防火墙设备以提高网络安全性能。高职教育直接为社会经济发展提供高技能型人才[1],尤其是为地方经济建设服务。因此网络安全类专业培养熟悉网络安全设备方面的人才需求量日益增加。防火墙技术课程是国家高职院校专业标准中计算机网络技术、信息安全技术专业的核心技术课程,是培养专业核心技能的专业课程[2,3],且开设学校与面向的学生广泛,课程教材建设尤为重要。王永红[4,5]等提出理实一体化教材建设思想,采用“五个”对接理念进行优质教材建设。
2 教材建设的依据(The basis of textbook construction )
社会经济发展区域势态不同,行业、企业需求不一样,不同省份、区域的高职院校在专业建设方面的投入各不相同,因此教材建设存在显著差异。对于实训环境欠缺的院校,防火墙技术课程注重理论和软件防火墙的模拟操作。因此目前已经出版发行的主流防火墙技术教材,主要是基于软件防火墙应用及防火墙工作原理介绍网络安全策略,重原理轻实践,尤其是缺乏市场主流硬件防火墙配置与管理方面的实践内容。对于实训环境较好的院校,其地方经济活跃,行业、企业信息化程度高,对硬件防火墙的需求能力旺盛,因此该区域的高职院校防火墙技术课程旨在培养学生对软、硬件防火墙的操作配置的实践能力,实现防火墙设备与交换机、路由器等网络设备的互联互通,进而达到企业网络安全系统集成的技能要求,注重行业企业岗位职责需求,同时掌握防火墙技术所需的理论知识,以够用为原则。
本教材改革传统防火墙技术内容编排体系,根据《防火墙技术》课程核心技能要求和网络安全技术岗位技能要求(如图1所示),依据网络安全管理与防控过程的工作逻辑选取并组织内容体系。选取技术方法常用、内容实用,结合市场主流防火墙技术应用案例,对企业安全案例进行典型化修改、提升和拓展,嵌入省部级信息安全职业技能大赛赛项内容。按项目设计工作任务,由简单到复杂,螺旋进阶,组织内容体系。由背景需求引导解决问题方法,分析设备选型,规划网络拓朴并进行设备配置,最终进行项目测试、撰写测试分析报告。采用理论(与技能赛点匹配,与实践操作对应链接)+实践(仿真与实操结合)的框架结构,突出防火墙技术技能训练。
3 《防火墙技术》教材建设的依据(The basis of textbook construction on firewall technology)
3.1 吻合课程标准,突出网络安全防控能力训练
《防火墙技术》为专业课程体系中的专业核心技能训练模块课程,课程设置对应网络安全防控能力训练,与网络安全管理员岗位的防火墙技术应用技能匹配。教材紧贴课程标准开发与建设,符合岗位职业技能需求。
3.2 融合行业企业项目及技能大赛内容,动态更新
教材建设既与企业项目工程实战紧密相关,通过消化吸收企业真实工程项目,对企业真实案例进行典型化修改并融入到教材内容中,通过毕业生网络安全管理工作实践反馈,再吸收行业新技术、新案例,保证技术内容覆盖深度和广度。另一方面嵌入省部级技能大赛,将省部级大学生技能大赛赛点以任务形式融入教材内容中,通过各个技能点对应的任务提高学生职业技能,更好地参加省部级技能大赛、创新训练大赛、创业大赛等项目。
3.3 项目载体,基于任务难易进行进阶设计
教材内容应用实践部分,采用项目化方式将企业项目与技能大赛技能点进行消化吸收,按照学生思维“从简单到复杂”的方式组织项目,开展“任务驱动、赛项融合、防控一体,企业生产实践一体化”教学模式,将课程逐级递增项目难度,最后实现网络安全系统综合实训内容。
4 教材开发(The development of textbook)
防火墙技术项目化教程采用四维一体开发模式。(1)采用项目化实战维度。突出实训内容,构建信息安全技术专业核心课程教学资源库建设,按照行业、企业需求,对网络安全技术职业岗位进行调研并归纳出岗位对应的典型工作任务,开发出防火墙技术课程对应的教学资源及配套教材。(2)采用网络安全工程生命周期维度。教材开发遵循网络安全工程生命周期开发,先从基础网络配置,在网络互联互通基础上进行防火墙安全设备配置,实现网络安全策略部署。(3)采用省部级技能大赛维度。嵌入省部级信息安全技术方面的职业技能大赛赛项内容。教材内容涵盖省部级信息安全技术赛项中防火墙技术技能点、防火墙与网络互联设备综合技能点,以任务形式开展技能点训练,并定期进行更新,极大的提高了教学效果和教学质量。(4)采用综合管理技能训练维度。每个项目里面设立项目综合实训,将企业真实项目引入,阶段性的引入综合管理技能。分项目完成后设立综合实训项目:网络安全系统综合实训,将防火墙与交换机、路由器等网络系统进行系统化集成,如图2所示。
开发的实战项目如表1所示。
5 结论(Conclusion)
《防火墙技术项目化教程》是信息安全技术专业、计算机网络技术专业的核心教材,是2014江苏省现代职业教育技术课题中高职衔接课程资源建设核心成果之一,经过实践教学应用,教材使用效果好。教材建设是专业内涵建设的一部分,特别是专业核心课程的教材建设,需要综合考虑企业、行业的需求,人才培养职业能力、实训环境、省职业技能大赛需求等方面,切实提升专业内涵建设。
参考文献(References)
[1] 李敏等.高职工学结合特色教材建设的探索与实践――以机械类专业“基于工作过程系统化”教材开发为例.哈尔滨职业技术学院学报,2015(1):56-57.
[2] 刘静,杨正校.基于太仓市产业集群的电子商务发展研究.苏州市职业大学学报,2014(25):31-35.
[3] 杨正校,刘静.基于产业集群的中小企业移动电子商务研究-以太仓市为例[J].软件2014,09(35):86-90.
[4] 王诗瑶,王永红.基于“理实一体化”的《计算机网络技术》教材建设研究.开封教育学院学报,2015(35):112-113.
[5] 王永红,王诗瑶.基于五个“对接”的优质教材建设思考与实践[J].计算机教育,2015(12):94-97.
作者简介:
网络安全实训报告范文第2篇
关键词:卓越工程师;课程体系;“双师型”教师;校企合作
作者简介:胡中栋(1958-),男,江西婺源人,江西理工大学信息工程学院,教授;涂燕琼(1981-),女,江西南昌人,江西理工大学信息工程学院,讲师。(江西 赣州 341000)
基金项目:本文系江西省教育厅教改资助课题(项目编号:JXJG-10-6-33)的研究成果。
中图分类号:G642?????文献标识码:A?????文章编号:1007-0079(2012)31-0017-02
“卓越工程师教育培养计划”是贯彻落实《国家中长期教育改革和发展规划纲要(2010-2020 年)》和《国家中长期人才发展规划纲要(2010-2020 年)》的重大改革项目,也是促进我国由工程教育大国迈向工程教育强国的重大举措。[1]工程师作为新生产力的重要创造者和新兴产业的开拓者,在当今社会扮演着越来越重要的角色。如何持续高效地培养工程师,从而提高国家的竞争力、造福人类社会是世界各国政府关心的重要议题。[2]随着互联网的迅猛发展,对网络工程师人才的需求量相当大。几十年来,我国培养了大批工科毕业生,可是满足社会需要的工程师仍然显得紧缺。[3]我国工程教育存在的“学术化”取向使工科学生在读期间以理论课为主,缺少工程实践。[4]而很多学生毕业后到了工作单位又很难适应岗位的需求;用人单位也反映本科生动手能力差、再培训的经费支出较大的问题。针对此问题,根据长期以来对网络工程专业人才培养的实践,探讨网络工程专业卓越工程师人才培养方案。
一、确定网络工程专业人才培养目标
网络工程专业应用型“卓越工程师培养计划”的主要培养目标是通过“知识—能力—素质”一体化培养的课程体系,培养创新能力强、适应我国经济社会发展需要的高级网络工程技术人才,系统地培养学生掌握网络工程技术的基本理论及专业知识,为社会培养出具有现代高级网络工程师的知识、能力和素质,具有可持续发展潜力的新世纪卓越工程师。培养的网络工程专业学生应具有较好的获取知识和综合应用知识的能力,具有在大、中、小企业网络与骨干网络等方面从事网络系统的规划、设计、实施、管理与维护等的能力,同时具备网络应用软件的开发能力,以满足国家与社会经济发展的需求。
二、改革人才培养方案与课程体系
本着基本知识、基本技术和基本技能培养的要求,将知识点和实训能力的训练模块化、目标任务化、项目工程化,课程体系更加优化。教学内容要保持先进,要及时反映本学科领域的最新科技成果。要不断改革教学内容和体系,注意随时更新知识内容。将培养标准进一步细化为知识能力大纲,针对大纲中的各要素设计所需要开设的相关课程和教学环节,形成适合《卓越工程师培养计划》的教学大纲、培养方案、课程体系、教学环节。网络工程专业课程体系设计了八个课程模块,分别是:素质教育模块、基础模块、网络与计算机基础模块、路由交换模块、网络应用软件模块、网络安全与视频监控模块、数据中心与存储模块、工程实训模块,如图1所示。
素质教育模块包含思想道德与法律基础、中国近现代史纲要、职业规划、形势与政策、创业教育、创新教育等;基础模块包含高等数学、工程数学、大学物理、电路分析、模拟电子技术、数字电路与逻辑设计、大学英语等课程;网络与计算机基础模块包含计算机基础、C程序设计、计算机网络、构建中小企业网络等;路由交换模块包含高性能园区网络、大规模网络路由技术、构建广域网等课程;网络应用软件模块包含JAVA语言程序设计、WEB技术开发、数据库系统、软件工程等课程;网络安全与视频监控模块包含安全防火墙系统、构建安全VPN网络、入侵防御系统与安全审计、IP视频监控系统等课程;数据中心与存储模块包含数据中心网络、存储基本原理、Neocean网络存储技术等课程;工程实训模块是强化学生工程能力的模块,紧密结合企业现场的研究与应用环境,进行网络工程认识实习、构建中小型企业网与高性能园区网络实训、网络安全技术实训、数据中心实训、数据库开发实训、Java方向(或DotNet方向)软件开发实训等。
三、改革教学模式与教学方法
在理论课程的教学中,采用启发式教学方法,增加课堂习题课,留给学生自主学习时间,引导学生自主学习;促进学生的自学能力与创新能力的提高。例如,在数据库系统、网络规划与设计与综合布线系统等课程中,增加课堂习题课,布置大作业。鼓励学生参加IT认证考试、参加全国网络技术大赛,以培养学生的实践能力、创新能力,培养学生的团队精神、求真务实的作风和良好的意志品质。鼓励学生参与教师的科研课题,让学生边学习、边应用,极大地激发他们的求知欲望和创新精神。用科研中的实际问题引导学生综合运用所学的知识,主动探索、寻求新的知识和解决问题的思路,养成良好的科研素养。
网络安全实训报告范文第3篇
关键词:ARP欺骗攻击;网络安全意识;问题情境;职业素质
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)35-0100-03
Abstract: This paper aims to integrate the network safety consciousness, real problem situation, professional quality concept into the college experimental teaching process under the strategy of network power, to stimulate students' enthusiasm and initiative, and guide students to find, analyze and solve the problem, to sum up the experiment in the form of lists. Ultimately, the "student oriented, supplemented by teachers" teaching ideas are reflected, and students' practical ability are enhanced.
Key words: ARP spoofing;network safety consciousness; problem situation; professional quality
1 引言
2014年来,中央网络安全和信息化领导小组组长多次提出了“没有网络安全就没有国家安全”以及“建设网络强国”的重要论断。2015年政府工作报告提出的“互联网+行动计划” 体现出信息化对网络发展巨大推动作用和以网络为载体的数据驱动巨大魅力的同时,也呼唤着人们通过网络的进一步发展来不断提升网络安全的能力和意识。两届国家网络安全宣传周活动的开展也为加强全民网络安全宣传教育、提升网民的网络安全防范意识和技能提供了良好的途径。
网络安全上升到国家战略层面,各类网络攻击和窃取事件的频发驱动信息安全需求急剧增加,目前网络安全普遍存在的问题是信息安全意识不强、缺乏整体安全方案、没有安全管理机制、系统本身不安全以及缺少必要的安全专才。
网络安全意识比技术更重要。作为培养网络专业技能人才的一线高校教师,在平常实验教学中除了借助各种安全设备和环境完成实训内容外,更重要的是提升学生的安全意识和处理安全事故的能力,在提高专业技能水平的同时培养学生的职业素质,因此设计好网络安全实验课程显得尤为重要。本文以ARP欺骗攻击与防范实验教学为例,探索在真实网络安全情境下,新型安全课程实验教学模式的改革以及教学效果。
2 ARP欺骗攻击原理
ARP协议是以太网等数据链路层的基础协议,负责完成IP地址到硬件地址的映射。工作过程简述如下:1)当主机或者网络设备需要解析一个IP地址对应的MAC地址时,会广播发送ARP请求报文。2)主机或者网络设备接收到ARP请求后,会进行应答。同时,根据请求发送者的IP地址和MAC地址的对应关系建立ARP表项。3)发起请求的主机或者网络设备接收到应答后,同样会将应答报文中发送者的IP地址和MAC地址的映射关系记录下来,生成ARP表项。从ARP工作机制可以看出,ARP协议简单易用,但是却没有任何安全机制,攻击者可以发送伪造ARP报文对网络进行攻击。伪造ARP报文具有如下特点:伪造的ARP报文中源MAC地址/目的MAC地址和以太网帧封装中的源MAC地址/目的MAC地址不一致;伪造的ARP报文中源IP地址和源MAC地址的映射关系不是合法用户真实的映射关系。目前主要的ARP攻击方式有如下几类:仿冒网关攻击、仿冒用户攻击(欺骗网关或者其他主机)、泛洪攻击。
3 问题情境设计
教学情境是课堂教学的基本要素,有价值的教学情境一定是内含问题的情境,它能有效地引发学生的思考。问题情境的创设,对于学生学习兴趣的激发起着决定作用。因此,如何设计具有一定情绪色彩的、以形象为主体的生动具体的场景,以激发学生一定的情感,就成为教学之初需要考虑的问题。
在一个没有防御的园区网中爆发的ARP病毒会造成网络丢包、不能访问网关、IP地址冲突等问题,实验室所有主机分配的是同一网段IP地址,接入交换机,预先在教师机上开启Sniffer嗅探者软件,运行数据包发生器,修改后的ARP广播报文会持续被发送到当前局域网中,为学生建立一个真实园区网面临的问题情境,接下来引导学生按照“发现问题-分析问题-解决问题”的顺序完成实验内容,提升自己的安全意识和实践能力。
4 实施过程
4.1 实验环境
实验室所有主机处于同一网段,类似如下所示的拓扑图环境:
4.2 问题情境的构造
教师机IP地址为172.16.75.105,在本实验中充当攻击者身份。首先构造用于攻击的ARP欺骗报文,在Sniffer软件上定义好过滤器后,开始捕获报文,首先将教师机的ARP缓存清空,尝试PING网关,停止捕获并显示结果如下图所示,
发送当前的帧之前做如下修改:(1)更改源IP地址为网关IP地址;(2)更改源MAC地址为伪造的MAC 地址11-22-33-44-55-66;(3)更改目的IP地址为任一同网段主机IP地址;(4)更改目的MAC地址为全F值。设置为连续不断地发送帧,启动数据帧发生器,此时当前网段会充斥着此类ARP广播报文。
4.3 问题情境的呈现
以4-5人为一组,以真实的网络管理员遇到的企业局域网故障为案例,向学生说明经常受到的网络攻击来自于网络内部,表现为访问互联网时断时续,打开网页或下载文件的速度明显变慢,甚至无法访问公司的Web服务器等资源,严重影响了企业办公业务的正常运行,公司领导对此很不满意,要求立刻彻底解决问题。要求在实验报告上完成每步测试内容并填写检查结果。此环节注重引入职业教育理念,既要注重技能锻炼,又要注意素质培养。立足本职岗位,敢于承担责任,从工作中发现问题是什么,为什么到怎么做,同时培养学生的团队意识。
4.4发现问题
此环节旨在让学生运用已掌握的网络维护技能发现当前局域网存在的问题,通过观察学生在测试环节中采用的方法,可以了解到学生能否快速有效地定位网络中的故障,在不投入新的设备情况下解决问题。
通过观察,多数学生会按照如下测试步骤检测网络状况:1)检查本机网络连接情况及IP地址是否有效;2)检查与同一网段内其余主机连接情况;3)检查与网关连接情况;4)检查与DNS服务器连接情况;5)检查与Web服务器连接情况。这一过程旨在帮助学生基于收集到的测试数据判断问题症结点的能力,只有在充分调查研究的基础上具体问题具体分析,才能把存在的问题症结点找准、找实、找透,才能开对方子,做到对症下药。
4.5分析问题
根据课堂反映来看,绝大多数学生在实施到第3步时发现PING网关IP地址不通,并且重启机器后症状依旧,没过多久又会产生丢包现象。不少学生通过使用ARP -a命令发现学习到的网关MAC地址是伪造的11-22-33-44-55-66,进而判断出问题在于网关MAC地址被篡改,通过使用Sniffer软件,可以嗅探到局域网内充斥着大量的ARP报文,并且通过抓包分析,发现源IP地址为172.16.75.254的网关的MAC地址为11-22-33-44-55-66。此时需要引导学生去思考两个问题:一是为什么主机会无条件更新,二是如何防范此类错误。结合课本上提到的TCP/IP协议栈的脆弱性,部分同学会得出主机并不对收到的ARP报文进行检查,从而导致PC主机更新本机ARP缓存里的网关MAC地址的结论。
这个分析问题的过程注重培养学生遇到问题的应变能力,这种能力的训练对于今后可能从事的网络运维岗位而言,是非常有必要的。
4.6 解决问题
明白了问题的原因,如何解决问题就是一个水到渠成的过程。通过几分钟分组讨论的形式,最后总结了几组的意见,归纳出两种解决思路:一是主机对于收到的ARP伪造报文不进行更新操作,二是限制此类ARP广播报文在局域网内的泛洪。此时,结合实训指导书内容,教师提出两种解决方案让学生选择,一是在局域网内各台主机上静态绑定正确的网关MAC地址,这样即使主机收到了虚假MAC地址也不予以更新;二是在交换机各端口上设置单位时间内允许通过的ARP报文数量的阈值,超过阈值则关闭端口。同时让学生分组讨论,对这两种方案的优缺点进行比较,最终得出如下的结论,方案一因为要在局域网内每台主机上配置命令,工作量较大,网关MAC地址一旦改变又得重新配置,而且治标不治本,不能有效遏制网段内ARP报文造成的广播风暴,网络传输性能较低;方案二只需在交换机端口上进行配置,与网关MAC地址无关,如果再在端口上划分好VLAN,将会进一步限制广播报文的传输范围。
4.7 实验总结
总结既是自己对于实验的理解归纳,也是对整个实验过程的回放,既要总结有所收获的地方,也要归纳出不足之处。通过将实验全过程中涉及现象、情境及步骤列成问题清单,让每位学生都能从实验中总结出得与失。最后借鉴翻转课堂的思想,邀请一位学生就实验目的、方法、步骤进行口头陈述,由其余学生进行补充,从而获得更深层次的理解。
5 结语
通过网络安全实验课程的教学尝试,以及学生的反映来看,收到了一定成效。总结起来达到了三个目的,一是探索网络安全意识、网络安全技能并重的新型网络安全实验教学方法,二是引导学生进入实际问题情境中,深入角色,积极主动地去发现、分析及解决问题,三是将个人责任感、团队合作等职业化素质理念融入到教学过程当中,培养主人公意识。在教学过程中需要注意对于课堂进度以及时间的把握,如学生遇到难点应及时进行引导,推动进程。
参考文献:
[1] 迟恩宇,刘天飞,杨建毅,王东.网络安全与防护[M].电子工业出版社,2009.
[2] 叶成绪.校园网中基于ARP协议的欺骗及其预防[J].青海大学学报: 自然科学版,2007(3):59-61.
[3] 秦丰林,段海新,郭汝廷.ARP欺骗的监测与防范技术综述[J].计算机应用研究,2009(1):30-33.
[4] 孟令健.计算机网络安全ARP攻击行为的防范研究[J].齐齐哈尔大学学报: 自然科学版,2013(3):9-11.
[5] 郭会茹,杨斌,牛立全.ARP攻击原理分析及其安全防范措施[J].网络安全技术与应用,2015(6):5-6.
[6] 刘名卓,赵娜.网络教学设计样式的研究与实践[J].远程教育杂志,2013(3):79-86.
网络安全实训报告范文第4篇
1、转换观念
传统教学均以学科为体系,强调知识的系统性,完整性,不完全适用于中等职业学生。回想培训期间,有幸邀请到教育部职业技术教育中心师资资源研究室主任邓泽民教授,他给我们上了一次课,收益颇多。
这次课是有关饭店旅游服务业中的一门课,讲如何冲调咖啡。以前的教材,系统的讲解咖啡是什么、原产地在哪、有哪些类型等,学生学完,到酒店实习,要求冲制摩卡咖啡,还是不会,其实并没有达到应有的效果。而目前的教学目标应该是是:简单告知咖啡是一种饮品,具体讲经典单品咖啡、浓缩咖啡、花式咖啡、时尚咖啡等如何调制,这样学生真正掌握了冲调咖啡的技能;比照这种思路,映射到网络专业教学中,是一样的道理,以往我们过多的强调网络体系结构,通信基础知识等,而忽略了学生掌握基本技能,以至于学生总感觉什么也没学到,而老师却感觉该讲的知识都讲了,学生到社会上,真的发现该学的没学到,所以中职学生目前应更多的强调如何去做,怎么做,而不是为什么这么做。
网络学生基本要求:组网,管理网络,维护网络,在教学过程中理论联系实际,针对每一协议,简单讲清它的原理、功能,更应该结合具体的网络设备讲清它们的实际场合,目标就是学生见到同类型的设备知道它是什么、用在什么场合、怎么用,比如要求连接两台计算机,学生知道如何连接、如何通信,或者网络出现故障,学生知道如何能检测到故障,能对常见的故障进行锁定,维护等。
2 、加大试验
本次培训我收获最大的就是系统完整的对华为网络设备进行了各种试验。在这里,首先强调一下老师的重要性,给我们培训的两位老师都是80后的,给我留下的印象非常深刻,他们都是华为资深网络培训师,每年要到北京参加华为设备的继续教育,在讲课过程中思路清晰,专业功底深,在这次做实验时,自己也对平时凌乱的知识点梳理整齐,形成相对完整的知识体系,平时对于有些模糊的地方,在这次听课中问题也得到了解决,我校没有试验设备,所以自己比较重视实验,每一天老师都布置具体任务,然后自己亲自动手实践,我和另一名老师相互配合,协同完成任务,在这个过程中,我们有一个共同的体会,那就是只有亲自动手去做试验,才能真正体会理论的内容,并且才能发现问题。
其实很多知识点理论是理论,真正实践起来还是和理论有差距的。所以结合我校学生,还是要强调实验的重要性,通过实验教学,进一步加深学生对计算机网络原理的理解。例如局域网组建这门课,掌握常用的网络互连设备的主要构造和配置管理方法,增强实际操作能力、要求学生整体认识局域网、广域网中的互连设备,了解路由器、交换机在网络设计中的作用、熟练进行路由器与交换机的基本配置和安全管理、认真记录实验故障现象及解决方法,完成实验报告、根据网络拓扑要求,完成综合实验的设计并能成功实现网络通信的要求,能够进行小型校园网的设计与管理等。
在“计算机网络”课程中要设计一定的实验题目,不能让学生盲目实验实习,对每一次实验都要有明确的要求。由于在实际的网络应用方案中,往往提供多种网络服务且相互配合,因此,今后的教学中要设计一些与现实生活联系比较紧密的实验题目,提高学生学习的积极性,培养学生综合运用所学知识解决实际问题的能力。
另外相应的课程考试形式也可以进行改革。对于非计算机专业的学生,应该注重的是实践操作能力与应用能力,传统的考试方式只是让学生苦于死记大量枯燥的网络原理与理论,造成学生“学习为了考试,考试完了全忘”。针对这种情况,采取理论考试和实践考试相结合的考核办法。理论考试只考察最基础的网络原理(如网络体系结构与数据交换技术等),实践考试主要考察学生应用网络知识的综合能力。这种理论实践并重的操作性人员才是目前社会急需的人才。
3、加大实训环境建设
按照企业要求,建立真实或仿真的学生实训环境。例如应有的网络工程方向实训基地、网络管理与应用方向实训基地、网站建设与维护方向实训基地等,这些实训基地能满足网络工程勘测、网络工程深化设计、网络布线、网络布线测试、网络设备安装、终端安装与测试、系统调试等典型职业活动,以及网络安全攻防、网络融和通信和IPv6技术、局域网组建、服务器配置、广域网接入、网络安全配置与测试、网络监测、系统维护、网络安全防御等典型职业活动。另外软硬件结合还能使学生最终实现网站规划、网站页面制作、网站程序开发、网站测试、网站、网站维护等典型职业活动。
4、师资基本要求
任课教师的实际理论与操作技能决定了学生的起点和水平,计算机网络教师应为本科以上学历,并具有中等职业学校教师任职资格和相应专门化方向对应的中级以上职业资格,具备“双师”素质,承担不同专门化方向的教师应所任教的专门化方向的专业课程有较为全面的了解,有相关的企业工作经验或实践经历,具备行动导向课程的教学设计和实施能力。教师应不断学习,了解行业发展现状,把握技术发展趋势,不断更新自身的知识结构。
5 、引入资格考试认证制度,提高学生就业砝码
目前网络认证方面的机构比较多,相对成熟的也不少,学校教学中可以将各个网络工程师认证考试内容引入课堂,引导学生全面了解各种认证考试的要求,熟练掌握接入层、汇聚层各种网络设备的使用,增强自己的竞争实力。
网络安全实训报告范文第5篇
关键词:网络组件;协调;安全;机制;高效性
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)29-7098-02
The Research of Coordination Utility Mechanism between the Network Components
CHI Li-ying
(Shaoguan Technician College, Shaoguan 512023, China)
Abstract: The effectiveness of coordination between the network for network security and efficiency of significance are large, network components, sometimes is not able to demonstrate co-integration mechanism, so the research collaboration between the network components is necessary, this paper coordination mechanism between the network components have been studied by co-response model and process design to achieve coordination between the network components.
Key words: network components; coordination; security; mechanism; high efficiency
社会正在以信息爆炸的速度高速发展,网络在整个信息化发展中起到了基本的奠基作用,对于整个社会的技术化来说,都起着很重要的作用。但是,目前由于网络组件之间缺乏协同机制,而导致的各个网络组件的优势难以体现的问题已经越来越严重,这个问题的存在,不但影响到网络的工作效率,甚至还会影响到网络安全。因此,研究网络组件之间的协调效用机制有着非常重要的理论意义和现实意义。
1 网络安全组件的协调机制模型分析
一般的,网络安全需要从监测网络安全状况以及解决发现的问题着手,中间会涉及到防火墙、病毒入侵检测、系统漏洞扫描等多个网络组件。但是,上述的网络安全组件中既有硬件也有软件,而且广泛存在诸个网络组件因为开发的情况,这些组件往往只关注于某一个或者几个方面的网络安全防御,而缺乏统一的协调机制,可能单个组件对于某一个或者几个方面的网络安全都有着不错的防御和保护能力,但是在缺乏统一的协调的前提下,这些组件的整体效率反而会降低,无法发挥应有的作用。这也是网络组件之间缺乏协调机制出现问题最集中的领域。
1.1 策略驱动模型
从广义上来看,所谓的策略就是一种对规则和方法的描述,实际上是通过动态的调整手段对控制系统的状态和行为进行调整。网络安全管理的策略是对在发生某个特定事项时系统应该采取的动作或者行为。在各种的安全模型中,策略都是其工作的核心,本文所提到的基于策略的协调机制就是将整个系统是为一个状态机,而将策略是做整个系统状态调整的依据。
策略驱动的模型如图1所示,A为系统的初始状态,B为系统的安全状态,P0是系统的任务策略。该策略包含了多个网络组件的启动计划,以及各个网络组件发生作用的配置参数。
在图1中,通过P0驱动,网络安全系统将建立各种扫描任务,以形成一个系统的安全机制,从最开始系统的初始状态A,经过的P0作用下结束裸机状态,进入一个相对安全的B状态,这个过程本文表示为AP0B。系统处于B状态之后,如果没有任何其他的策略规定的事件发生,系统会一直保持相对稳定的状态,并一直处于B状态,如果发生了策略规定的安全事件Ei,则系统将进入危险状态,即图1中的C状态,这就是系统策略中的事件触发,本文将其表示为BEiCi。在危险状态下,通过策略的作用,使网络组件中的某一项或者几项协同作用,使得系统重新恢复到安全状态B,这个过程称之为策略驱动,本文将其表示为CiPiB,其中Pi是通过策略驱动一种或者几种网络组件联合作用。
1.2 协调效用的过程设计
本文所指的网络安全组件的协调效用机制是通过系统管理中心来实现的。系统管理中心一般包括信息分析模块、作用协同模块以及响应模块等,根据系统对管理中心的不同要求,管理中心包含的功能模块可能也会有一些细微的差异,但是总体上都应该至少包含上述三个模块。
有的具有自动学习能力的系统还能做到将安全组件的执行效果进行反馈,使管理中心能够根据安全组件的反馈对具体策略的优劣进行评价,并根据评价将具体的策略保存在策略库,或者对具体策略进行调整生成新的策略进行保存,以便后续使用。具体的网络安全组件效用协调过程如图2所示。
1.3 策略的格式设计
在本文所涉及的所有网络安全组件效用协调策略中,均是以XML格式作为标准格式描述策略的具体信息。在本次研究的过程中,我们将策略消息细分为策略ID、策略的类型、对策略的描述、策略的触发规则、相应的安全等级、具体策略执行的网络安全组件以及具体的相应动作等等。
2 验证网络组件
传统的描述机制采用静态的策略文件,无法动态更改,也不能保证其安全性。为了能更好地适应网络环境,我们必须对之加以改造和扩充。新的策略描述机制具有以下特点:1) 采用三元组的标志形式为。其中,组指明了所属的组别,这里包括三类:EE组、AA组以及信包组。权限通常是一个的二元组,这里对象指的是实体操作的对象或访问的资源;行为指的是实体对对象进行的操作。2) 对传统的权限集进行了扩充,增加了一些新的权限类型,如对节点路由表操作的权限,EE内并发多线程的权限,信包对AA代码操作的权限等。3) 采用RDBMS形式的策略库,库中的权限信息是可以动态更改的。通过简单地编写SQL语句,就能从策略库里查询或增删改权限信息。除了从策略服务器获得实体的权限,节点用户也可以操作策略库中的权限,当然,只有管理员级别的用户才有这个权利。4) 授权信息存储在RDBMS中,保障了授权信息的安全性,可以防止非授权用户操作本地策略库的授权信息。
验证组件要进行以下工作:
1) 认证信包身份。信包证书、签名的有效性认证;
2) 验证信包完整性。认证上一转发节点证书、签名有效性并检查此证书的拥有节点是否是信包前一节点字段所指的节点;
3) 验证信包内代码的有效性。如果信包包含代码则还应查看该代码标志是否在黑名单中;
通过验证的信包才能被送往上层协议,否则被抛弃。
3 协调效用机制的实现
3.1 入侵检测消息及其扩展
Response消息中包含了对安全事件的相应目标、周期、方式以及其他的信息;Cooperation Request消息包含了请求组件、协同请求、疑似安全事件的具体描述以及管理中心需要的其他信息;Policy Update消息以及Policy消息是当协同策略不能完全有效的解决安全事件时,管理中心根据安全组件反馈的信息,对具体的策略进行更新,当具体的策略更新完成之后,管理中心又会将新的策略发送至各个网络组件,使其能够应对随时变化的网络安全环境。
3.2 IDXP协议
网络组件之间的效用协调机制的具体实现,需要一个通畅的安全组件之间以及安全组建于管理中心之间的通信渠道,以及一个好用的消息传递方式,用以传递报警信息和相应信息。从目前来看,IDXP协议能够完全胜任这一角色,IDXP作为一种入侵检测实体之间交换数据的应用层协议,能够完全胜任IDMEF消息、非结构文本以及二进制数据之间的转换,而且还能够根据系统的具体需要提供面向连接协议的双方认证。因此,从本研究的需要来看,该协议完全能够满足所有的需求,可以作为网络安全组件之间以及网络安全组件与管理中心之间的效用协调机制的通信协议。
3.3 网络安全组件效用协调的实现
实现网络安全组件效用协调的JAVA类型包括实体类以及操作类两种。在实践中,实体类一般包含了报警消息、策略消息以及响应消息模块,而操作类则包含了数据传输、数据解析、数据访问、策略实例创建以及相关的日志记录模块。其中数据传输类由IDXP实现,并通过相应的代码将IDMEF格式数据流传递给数据解析类,由其负责XML数据对象和报警对象的互相转换,并通过调用内置的数据库获得创建好的响应消息,响应生成类根据需要创建一个Response对象,并交网络组件响应,然后日志记录上述整个过程。还可以将组件设计成是独立、动态可部署、易于可配置并可广泛互操作,作为该工作的一部分。
当分析引擎产生侵入报告和警报时,安全性组件将这些报告和警报转发到其它组件,以显示、响应、关联和记录数据日志,这样就提供了网络中当前情况的全局景象。构建这种基于组件的相关引擎,该引擎可以位于网络中的任何位置,并订阅由独立的基于组件的传感器所产生的警报。然后,进一步构建与该信息关联的模块,查询警报内的关系,并通过分析警报流内的属性来发现元问题。通过研究网络安全组件的协调效用机制,我们可以对网络组件的协调效用机制有一个较为明确的了解和掌握。通过策略模型的创建,以及协调过程的具体设计,设计出一个符合具体系统需要的机制,然后根据需要选取适合的技术和协议实现设计的机制。
4 结束语
目前,我国的网络组件间协调效用机制研究还处于起步阶段,各种基础研究还较为落后,但是我们也深信通过我们的不断努力,我国的网络组件协调效用机制的理论研究和实际运用都会有一个美好的前景。
参考文献:
[1] 张新跃,邓炜春,沈树群.策略驱动的网络安全管理模型[J].计算机应用研究,2005(1).
[2] 卢锦泉,苏一丹.网络管理中安全策略与安全信息共享模型研究[J].广西民族学院学报:自然科学版,2005,11(2).
[3] Lowy 组件开发[M].南京:东南大学出版社,2006.
[4] 林涛.计算机网络应用编程技术[M].北京:人民邮电出版社,2006.
[5] 方凤美.网络协同开发环境下的软件构件资源服务系统研究与实现[D].广州:华南师范大学,2002.
[6] 杨叶.一种基于虚拟组织工作流的ITO管理辅助模型[D].北京:中国科学院软件研究所,2001.
