关键词:高职;网络安全技术;教学改革;微课
中图分类号:G424 文献标识码:A 文章编号:1009-3044(2015)19-0105-01
随着计算机网络安全技术的广泛应用,导致网络不安全的因素越来越多,网络面临前所未有的安全威胁,社会对网络安全技术应用型人才的需求量不断增加,根据社会需求,培养网络安全技术人才成为高职院校的重要任务。本课程应理论联系实际应用技术,着重强调实用性和操作性。
1课程特点
网络安全技术涉及硬件平台、软件系统、基础协议等方方面面的问题,复杂多变。在高职教学中主要有如下一些突出特点。
1)知识面广。网络安全技术课程内容包含网络安全的基本,理论、网络安全技术、软件配置及使用、服务器配置与应用和网络安全维护等知识,如:网络安全的基本概念,加密技术,数字签名和认证技术,防火墙技术,入侵检测技术,端口扫描和嗅探技术,黑客攻击和防范技术等,该课程涉及知识点多而杂。
2)先修课程多。网络安全技术课程是计算机网络技术专业的核心课程,它需要的先修课程有:计算机网络基础、操作系统、网络设备配置等。学生需要掌握以上课程知识,才能更好地学习本门课程。
3)网络攻击手段变化快。随着网络安全技术的广泛应用,由于各种原因,网络攻击手段越来越复杂,与防范技术不断较量。因此,网络安全课程教学内容也需要不断地更新。
4)突出实用性。学习本课程的最终目的是能解决网络安全问题,因此学生必须能动手解决实际问题。本课程需要学生学会的内容有:windows操作系统的安全设置、使用sniffer等抓包软件进行数据分析、使用X-Scan等软件扫描系统漏洞、提升Guest用户权限、WinRoute过滤规则、用PGP加密软件发送邮件、使用sessionwall等入侵检测软件对网络进行实时监视、用ISA防火墙软件设置网络过滤规则、远程桌面连接、灰鸽子的内网上线配置、Snake跳板、EasyRecovery的数据恢复等,通过以上实训,学生能掌握网络安全的基本防护。
2网络安全技术课程教学改革与实践
高职院校以培养技术型人才为主要目标,使学生具备必要的基础理论知识,重视实务知识的学习,知识的讲授是以能用为度,侧重相关知识的实际综合运用,强化职业技能的训练。
1)教学内容改革
网络安全课程教学内容多而杂、且更新速度快,在64学时内不可能将网络安全的相关知识全部学完,这就需要教师精心挑选典型的内容,重点突出当前最紧急最重要的网络攻防内容。本课程按照网络安全防护过程划分为如下三个部分。
事前预防:本部分主要是对网络安全相关知识的介绍,包括网络安全概述、操作系统安全常识、病毒知识介绍。通过这部分的学习,学生应了解网络安全面临了哪些威胁;理解网络出现安全威胁的原因;掌握操作系统有哪些安全漏洞;掌握操作系统的安全策略如何实现;掌握网络病毒及其防治。
事中检测与治理:第二部分主要内容是关于网络运行过程中的相关安全技术,包括加密技术、防火墙技术、黑客攻击与入侵检测、虚拟专用网、网络通信安全和Web的安全。这部分内容是网络安全课程的重难点及疑点,学生学起来比较费劲,教师应在这部分内容做精心的准备。
事后恢复:最后一部分主要内容是关于在网络安全事故发生后如何恢复的技术,包括数据备份技术和安全恢复技术。
2)教学方案的改革
网络安全课程的实验环境要求复杂,需要交换机、路由器、防火墙等网络硬件设备;还需要扫描、抓包、网络监控、加密等软件工具。目前各大高职院校都存在设备不足且落后的局面,因此需要教师充分利用已经拥有的硬件设备和软件工具,并针对各自的情况制定严密的教学方案。
微课教学法。微课是指以视频为主要载体记录教师围绕某个知识点或技能点开展的简短、完整的教学活动。由于《网络安全技术》这门课程难点疑点较多,且动手操作点较多,学生在学习的过程中常常会感到非常吃力。教师录制的微课则很好地解决了这一问题,课后学生可以随时随地反复观看,还能动手反复操作,做到轻车熟路。
理论与实践一体化教学。本课程的教学过程是:教师简单介绍完理论知识后,马上动手演示网络安全攻防过程,学生跟着教师动手操作实验,即边学边做。因此把上课地点安排在多媒体实训机房。多媒体实训机房包含的设备有:投影仪、麦克风、手写白板;60台安装了若干网络安全防护软件的计算机;10组交换机、10组路由器、10组防火墙、10组入侵检测系统等。
案例教学法。本课程内容复杂但也非常精彩和引人入胜,可以用非常有趣的例子作为项目引导学生。如:熊猫烧香病毒、特洛伊木马的电影、QQ被盗、密码破解、网络抓包监控等有趣案例来吸引学生主动解决实际生活中的问题。
3)考核方式的改革。
传统的形成性考核包括了学生的期末笔试部分、出勤、平时表现等组成,这种无法体现职业岗位需求。本文提出采用以证代考的方式来考核学生,参与工业与信息化部全国网络与信息技术培训考试项目(NTC)。NTC考试侧重于实用性,考试内容涵盖实际工作内容,考试内容充分体现技术应用的特点,能真正反映应试者的真实工作技能。以NTC考试来提升教师教学水平,增强学生的职业竞争能力,使学生能与将来的工作岗位零距离对接。
关键词:交换机端口安全;VLAN;单臂路由;ACL;Nat
1 园区网的实际意义
网络的发展为人类带来了无可比拟的便捷生活,网络已经成为社会上每个企业或组织在办公中必不可少的一部分。一般企业或组织使用的网络都是局域网,大致分为小型局域网和大型局域网,其中,大型局域网就是通常所说的园区网。园区网通常是指大学的校园网及企业的内部网(Intranet)。其主要特征是:网络特别是路由结构完全由一个机构来管理,但是接入设备的数量巨大,业务需求种类较多。在实际中园区网应用非常广泛,在分析配置和实施的过程中必须考虑到网络整体的使用性、安全性、可扩展性等因素。
2 典型园区网的实际需求及初步拓扑
2、1 实际需求
现在我们以一个学院为例,模拟一个典型园区网。
学院目前有三栋大楼,其中两栋教学楼,一栋院部楼。每栋教学楼中既有教师办公室,也有学生教室。院部楼既有教师办公室,还有信息中心。平均每栋大楼5层高,每层有10个房间,每个房间10个接入点。
对于整个园区网,学院作以下规定:学生之间只能在本教室内通信,教室与教室之间不能通信,但是学生可以浏览学院的内部网站;教师之间可以相互通信、信息共享,并且除了可以浏览学院的内部网站外,也可以无限制浏览外部网站。
2、2 初步拓扑(如图)
3 设备选型及采用技术
3、1 分层网络设计
首先我们将拓扑划分出层的概念。一个园区网拓扑中的层通常分为三类,即接入层、汇聚层和核心层。
接入层通常指网络中直接面向用户连接或访问的部分。接入层的目的是允许终端用户连接到网络,因此,接入层交换机具有低成本和高端口密度特性,是最常见的接入层设备,大都提供多个具有10M/100M/1000M自适应能力的端口。
汇聚层是楼群或小区的信息汇聚点,是连接接入层和核心层的网络设备,为接入层提供数据的汇聚、传输、管理、分发处理以及基于策略的连接,如地址合并、协议过滤、路由服务、认证管理等。通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层,保证核心层的安全和稳定。汇聚层设计为连接本地的逻辑中心需要较高的性能和比较丰富的功能。
核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是可靠性和高速传输。网络的控制功能最好尽量少在核心层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格。
3、2 拓扑分析
根据初步确定的拓扑图,从底层向上,由接入层向核心层来一层一层分析。
接入层即D类设备,是每个房间的交换机,每台设备连接10个接入点;同时,在网络安全方面,考虑到整个园区网一共有1500个接入点,必须防止教师、学生或外来人士有可能随意接入个人电脑,对网络进行破坏,所以必须在接入层的交换机上进行端口安全设置。
汇聚层中的C类设备,是每个楼层的交换机,每台设备连接10个D类设备;在网络性能方面,考虑到整个园区网中的接入层一共有150台交换机、1500个接入点,整个园区网处于一个广播域中,一旦整个网络泛洪,网络性能将急剧下降,同时也是为了方便管理,所以,应该在C类设备中配置VLAN。
汇聚层中的B类设备,是每栋楼的设备,每台设备连接5个C类设备,考虑到VLAN间的通信以及实际的性能需要,所以,应该选用三层路由交换机。同时,在B类设备中配置单臂路由,B类设备间配置trunk。而由于需要对学生浏览外网有限制,所以,应该在B类设备连接A类设备一端配置ACL,使得学生所在处的VLAN只能最高访问B类设备,而无法访问A类设备。之所以在B类设备一端配置ACL而不是在A类设备一端配置,主要是考虑到节省B类设备与A类设备之间的带宽,提高整个网络的性能。这里应当提出,整个园区网的server farm也应该连接在汇聚层而不是核心层,这主要是考虑到每层的功能不同,应该尽量让核心层以内外数据交换为主。
核心层即A类设备,是整个园区网的边缘设备,每台设备连接3个接入点,考虑到核心层以内外数据交换的功能为主以及实际的操作和性能需要,所以,应该选用三层路由交换机,同时在A类设备中配置NAT。
3、3 设备选型
D类设备和C类设备,都选用思科WS-C2960-24TT-L。B类设备,选用思科WS-C3560G-24TS-S。A类设备,选用思科WS-C3750G-24TS-S1U。
3、4 采用技术
(1) 交换机端口安全
交换机端口安全是以限制接入MAC地址的目的的一种技术,violation有三个参数分别是shutdown、protect、restrict。
其典型配置如下:
Switch(config-if-range)switchport port-security
Switch(config-if-range)switchport port-security maximum 1
Switch(config-if-range)switchport port-security violation shu
tdown
(2) VLAN
VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术,对实际使用而言具有广播风暴防范、增强网络安全、简化项目管理或应用管理等优点。案例中,可以将所有教师所在办公室按照所处科室的不同划分不同的VLAN,而学生教室按照地域的不同划分不同的VLAN,每个VLAN内部是同一广播域,可以相互通信。
其典型配置如下:
switch(config)#vlan 110
switch(config-vlan)#name wulijiaoyanshi
(3) 单臂路由
单臂路由是一种连接不同VLAN之间相互通信的技术,在案例中,为了保证教师之间可以相互通信,必须配置单臂路由。
其典型配置如下:
Router(config)#interface fa0/0
Router(config-if)#no shutdown
Router(config-if)#interface fa0/0、1
Router(config-subif)#ip address 192、168、2、1
Router(config-subif)#encapsulation dot1q 2
(4) ACL
访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包,其目的是为了对某种访问进行控制。由于案例中要求学生不能访问外网,所以必须设置ACL。
其典型配置如下:
R1(config)#access-list 1 deny 192、168、1、0 0、0、0、255
R1(config)#access-list 1 permit any
R1(config)#interface s0/0
R1(config-if)#ip access-group 1 out
(5) NAT
NAT是一种将私有(保留)地址转化为公用IP的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。NAT不仅完美地解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。其配置需要与ACL配合使用。
4 总结
通过对案例的分析,对拓扑中设备的配置现已基本达到了园区网的要求。当然,作为拓展,可以在A类设备和B类设备上做冗余配置,防止某一设备突然出现故障造成的不必要的损失,这会涉及到生成树的一些技术,在这里不做一一陈述。
参考文献
关键词:非编网络安全;机器的安全性;共享硬盘的安全性;服务器的数据安全服务器的数据安全;播出的安全
随着广播电视技术的不断发展,各电视台纷纷建立起非编网络,大大提高了后期制作的效率,数字化带来的优越性是不言而喻的。可靠稳定的网络系统是我们所期待。
温州电视台在网络结构设计上采用了先进的4Gb光纤+千兆以太网的网络结构设计模式。整个网络由新闻业务制作区、新闻演播室、制作业务区、核心服务器和存储模块组成。
如图所示为温州电视台新闻综合频道新闻制作系统的网络拓扑图,在网络结构设计上采用了IPSAN单网的网络结构设计模式,整个网络由新闻业务制作区、新闻演播室、制作业务区、核心服务器和存储模块组成,整个新闻综合频道新闻业务制作区站点由新闻包装工作站、上下载精编工作站、无卡网编工作站、移动编辑工作站、配音工作站、新闻审核工作站组成、新闻演播室区由新闻审查上传工作站,新闻播出控制工作站,新闻播出服务器组成、制作业务站点由包装工作站、上下载精编工作站和无卡网编工作站组成。网络整体系统采用了单千兆网的网络结构系统设计。系统由核心服务器、中心存储体、以太交换机做为系统核心硬件平台,在其上实现节目上下载、节目编辑制作、字幕特技叠加、音频处理、新闻节目制作、新闻演播室播出等多种应用。
系统在设计中充分考虑系统的安全性和扩展性。在安全性方面所有的核心模块都采取冗余备份的措施,如千兆以太交换机、新闻中心存储体,MDC服务器、数据库服务器、演播室播出服务器,同时存储体内部磁盘采用Raid技术,保证存储数据安全,在服务器上也采用相应的Raid技术,保证服务器上系统和数据的安全。主要设备安全设计描述如下:
中心存储系统采用双控制器,提供热备和校验硬盘,同时提供冷备磁盘
中心存储体采用Raid数据保护
中心存储体采用冗余电源、冗余风扇的全面冗余保护
新闻业务配置主备存储体,保障新闻节目的顺利制作播出
核心服务器都集成RAID控制器,系统硬盘和数据硬盘都采用RAID方式
服务器都采用冗余电源、冗余风扇的设计模式
MDC服务器和数据库服务器采用主备工作方式
系统有卡工作站采用工控机箱和专业后面板,并进行散热的优化设计
然而在实际运行中,我们充分注意非编网络系统各方面的安全性:
⑴机器的安全性:指网络中工作站点的安全性。一方面,主机本身的稳定性以及与各种板卡使用的兼容性是个很重要的因素,对此在主机或主板的选型方面会进行很严格和长时间的测试;另一方面,工作站点软件的稳定性,针对大洋非线性公司自主开发的编辑软件和网络管理软件,在使用网络功能,如网络文件传输和调用网络素材时,会形成站点安全性的隐患,因此,要求大洋公司在软件设计时,需充分考虑网络突发异常的应急处理。再次,考虑网络攻击的避免,采用正版杀毒软件和防火墙,避免工作站遭受攻击。
⑵ 共享硬盘的安全性:共享素材硬盘是FC网络的核心,共享硬盘的损坏意味着音视频素材的丢失。与共享硬盘阵列安全性相关的因素有阵列的容错功能、阵列控制器的质量、硬盘的质量以及阵列的设工艺包括电源、风扇、机箱工艺、防震特性等。充分考虑了共享硬盘的安全性,我们采取主备双硬盘,做好素材的备份工作。往往在选择硬盘阵列时需根据其场合和资金预算进行综合考虑,如在节目制作网络中,其系统对硬盘的速度、容量要求比较高,可考虑使用非容错硬盘阵列,而在节目播出网络中,考虑更多的是安全性,所以通常会考虑使用容错硬盘阵列。
⑶ 服务器的数据安全性:服务器负责的是网络系统的管理,包括素材、节目、栏目、操作人员权限、生产、文稿等管理以及高压缩比素材存储,所有的数据库都存放在服务器上,所以一旦服务器崩溃,整个系统的管理信息将会丢失。所以,我们服务器必须选用HP EVA8000高性能的存储阵列。
根据物联网系统架构、产业链及关键技术,[2-4]对人才的需求可以分为三大类:电子设备技术和芯片设计技术人才、计算机网络和通讯人才、系统集成和应用人才。其中感知设备方面的人才需要掌握一定的电子设备知识、数字和模拟电子知识、嵌入式开发知识;计算机网络和通讯人才必须具备计算机网络和通讯的相关知识,具有通讯系统运行维护与管理能力,通信设备的安装、调试和规章排除能力;系统集成和应用人才需要兼有IT系统解决方案设计方面的才能和硬件技术相关知识、系统开发和集成的能力。作为电子信息类专业的学生,所学的专业课程涉及到了上述三方面人才所需掌握知识的部分内容,为以后从事这些方面的工作奠定了基础。物联网是在三网融合基础上的延伸和扩展,以IP协议为基础,采用类似于互联网TCP/IP协议的分层网络通信协议为上层的各种应用提供服务。因此,嵌入式开发、通讯设备的管理维护、IT系统开发和集成都需要具有一定的计算机网络基础知识。“计算机网络”课程的教学效果对毕业生的就业具有一定的影响。对掌握网络知识的人才需求可以分为网络设备安装、维护与管理、网络编程、网络安全技术、网络协议分析与设计等几个方面。
教学内容的更新
TCP/IP协议是所有有线和无线网络协议的基础,因此在“计算机网络”课程的教学内容上以TCP/IP协议簇为基础、以Internet为实例,讲解计算机网络的概念、原理和应用。再根据电子信息类专业的特点以及社会对人才的需求方向分为网络设备安装、维护与管理、网络编程、网络安全技术、网络协议分析与设计等。对于网络设备安装、维护与管理的学生,注重加入网络的综合布线、交换机、路由器的工作原理与配置、调试以及对各类服务器的管理等。对于进行网络编程开发的学生,应加入网络编程的基本概念、Socket编程、探测网络的程序的基本原理等知识以及与硬件相关联的TCP/IP软件开发,结合实例进行讲解。对于网络安全技术的学生,讲解协议簇每层的工作原理时加入网络的攻击原理与防御、加密与数字签名等网络安全知识。对于网络协议分析与设计的学生,要注重各类协议的工作原理、数据包的类型等,通过使用网络仿真软件仿真各类协议的工作原理、并使用Sniffer程序捕获网络数据进行分析。
教学方法的改进
教学不仅仅是为了向学生传授某种具体的知识、技能,而是更应该激发学生的创造力。[5]传统的课堂教学是以教师为主、学生为辅、你教我学的灌输方式,为避免这种教学方法的弊端,充分调动学生的积极性,提高学生创新能力和就业能力,必须使用新的教学方法。1、任务驱动式在准备讲解某个知识点时先给学生分配任务。学生通过课前预习查找大量的资料,提炼出自己的思路,带着这些“思路”参与到课堂教学中,才能更好地激发学生的创新能力。如讲到WWW时,可以先要学生通过查看一些网页,总结出目前制作网站需要使用的技术、开发工具、编程语言及如何网站等,在此基础上撰写一个诸如班级主页的设计方案。这样既能引起学生探究的兴趣又能提高学生的自学能力。2、案例方式在教师的指导下,根据教学目的和要求,组织学生通过对案例的调查、阅读、思考、分析、讨论和交流等活动,使学生在教学过程中处于主体地位,激发其学习兴趣,能有效提高学生分析问题和解决问题的能力,加深对基本概念和基本原理的理解,对于培养学生的创新能力和合作能力是极有益处的。[6]如:在讲解到ICMP协议的时候可以用网络探测器的程序为例,既涉及到了ICMP协议的功能、数据包的结构、常用网络命令ping的工作原理等知识,又使用到了Socket编程,这样既能扩展学生的知识又能激发学生实践的兴趣。3、项目方式在项目教学过程中,教师只负责项目的概况和相关理论知识的讲解,起到指引和辅导的作用。由学生分工协作成为项目的主体,人人动手,不仅掌握了相关理论知识,而且锻炼了学生的实践能力,同时还培养了学生的团队合作精神,提高了学生的综合素质。如针对网络设备安装、维护与管理的学生,以小组的方式组建一个局域网,首先分配3~5名学生为一小组,并确定一名学生为组长,再在教师的指导下完成。先给学生讲授相关的网络基础知识,学生在实施项目的过程中针对组建过程中出现的问题咨询教师。当学生项目完成后,既具备了制作网站、测试网络等组建网络的实践技能,同时又对网络传输介质、网络拓扑结构和网络协议等相关理论知识加深了理解。为进一步拓宽学生的思维,可在此基础上与所学的其他专业知识相结合,设计智能家居之类的小系统。
考核方式的多元化
为激发学生学习的自主性,鼓励学生的个性发展以及培养其创新意识和创造能力,更有利于适应市场人才需求,可以建立多种类型的考核方式:第一,传统的笔试考核;第二,实践技能考核;第三,项目实施考核;第四,职业资格技能证书考核。学生根据自己的个性发展选择相应的考核方式。传统的笔试考核,考试的试题根据各方向所侧重的知识点来考核。实践技能和项目实施考核,给定一个主题,让学生根据之前所学习的知识收集相关资料,完全自由发挥,体现个性,学以致用。在期末的时候学生提交成果、现场陈述并回答教师或同学所提问题,教师根据成果、陈述和问题回答给出成绩。职业资格技能证书考核,学生通过参加各种与专业相关并被广泛认可的资格认证考试,所获得的证书成绩作为该门课程的成绩。如:中国计算机软件专业技术资格考试和水平考试中的计算机网络专业、全国计算机等级考试中的网络技术及网络工程师、微软认证、思科认证等,这样不但能巩固和加深对计算机网络技术的理解,而且能为学生今后的求职和就业提升竞争力。
师资队伍的建设
由于“计算机网络”课程的特点要求讲授这门课程的教师除具有较扎实的 数学、计算机软硬技术、通信技术基础外,还要求教师要掌握较为丰富的网络工程和网络技术研究经验,而目前部分教师虽然具有较高的理论水平,但实践水平较差;有的青年教师虽具备较强的动手能力,但理论联系实际的能力又有所缺乏,这将导致教师难以领会教材的内容,也无法突出课程的实践性和实用性,难以激发学生的学习兴趣,无法达到预定的教学效果。[7]因此,加强师资队伍的建设、提高教师的个人业务水平非常重要。可以通过以下一些方面来加强和提高:定期对教师进行教学能力的培训,包括课堂内容的设计能力、把握课堂的节奏能力等;增加教师间交流,包括校内同行和校间同行的经验交流;鼓励和支持教师从事计算机网络相关的科研项目研究;加强教师在新技术方面的培训、认证考试和专业知识的更新,给教师提供到企业实践的机会,让教师与社会接轨,成为真正的“双师型”教师;聘请企业的相关人员来讲课等方式来培养出符合社会需要的人才。
【关键词】校园网;信息化;计算机网络应用;网络安全
1、应用需求
在校园网络中,视频、音频、数据集于一身,如果保证不了高带宽、又多种视频、音频、数据流混杂在一起进行传输,就没法对数据流做出最高优先级和次高优先级及底优先级的分类,这样就不能保证重要业务的畅通,造成网络延迟、服务不可用。在园区网络中,存在多样的网络设备及系统应用环境,并且要考虑在用户迅速增长的今天,考虑网络设备的可扩展性。
在校园网络中,安全保障十分重要:校园网的信息点分布很广,与一般企业网比较,校园网用户的流动性大,信息点存在随意接入使用的问题。学生及外来不明身份的用户,在校园网中找到任何一个信息点,就可以进入到校园网,可以肆意干扰和破坏校园网网络平台及应用系统的正常运行。另外校园网的网络安全,还需要考虑与外网及内网不同应用系统之间的安全访问控制。为了发生安全事件后,能够有效、快捷地处理事故,采用上网审计手段是十分有必要的。由于当前类似“冲击波、震荡波病毒”的肆虐,一个健壮的网络应该提供必要的手段,禁止特定病毒的传播以及由于病毒造成的流量拥塞。
2、网络结构分析
2、1骨干层
网络中心节点及其它核心节点作为校园网络系统的心脏,必须提供全线速的数据交换,当网络流量较大时,对关键业务的服务质量提供保障。另外作为整个网络的交换中心,在保证高性能、无阻塞交换的同时,还必须保证稳定可靠的运行。
因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。具体来说核心节点的交换机有两个基本要求:
(1)高密度端口情况下,还能保持各端口的线速转发。
(2)关键模块必须冗余,如管理引擎、电源、风扇。
由于校园网建设最终必将采用万兆级以上技术,因此需要考虑到核心设备对万兆的支持能力。
2、2汇聚层
汇聚层是各校区的数据汇聚平台,为全网提供了快速交换支持,是各区域数据、媒体流会聚主节点。汇聚路由交换机需要具备高可靠性、高性能、高端口密度、高安全性、可管理性等要求,并具有网络可扩容升级能力和多种业务支持能力。在完成高速交换的基础上,能够提供稳定可靠的网络基础服务功能并能够支持下层的基础功能、分布服务以及QoS保证。
2、3接入层
接入层网络由楼栋交换节点和楼层交换节点组成,接入层网络应该可以满足各种客户的接入需要,而且能够实现客户化的接入策略,业务QOS保证,用户接入访问控制等等。
2、4外网接入
因为校园网出口采用以太网,所以可以直接采用防火墙,起到如下作用:
(1)防火墙提供强有力的服务器、内网安全保护、同时提供出口路由功能。
(2)数据处理能力强,具有强大的NAT功能。
(3)提供IDS等安全特性。
3、网络构架设计
基于目前学校规模及发展的角度考虑,骨干网络采用单核心双引擎或双核心单引擎的拓扑结构,保证核心的稳定;在两栋实训楼采用万兆的三层汇聚设备,实训楼千兆连接接入交换机,服务器千兆接入到核心交换机上,百兆到桌面。
因为目前校园网出口还没有超过百兆,所以还采用RG-WALL 100防火墙,并将校内的对外服务器与防火墙的DMZ区相连,保证良好的安全性;同时双核心时做VRRP,防火墙双百兆连接核心,单百兆连接外网。
按照核心的架构,或者用双核心单引擎,或者用单引擎双核心,本方案如下:
采用双核心,每个核心采用单引擎,主楼的接入交换机分别连接两台核心上,实现负载均衡;接入交换机也可VRRP连接到双核心上,做负载均衡、冗余备份。
4、未来扩展考虑
备份线路带宽扩展:在未来升级考虑中,可将核心与汇聚间千兆备份线路带宽升级至10G带宽,以提高备份线路的连接带宽。
5、IP地址规划
根据互联网络技术发展的趋势,结合学校网络目前真实IP地址的现实情况,建议IP地址规划遵循如下原则来设计:
(1)服务器区采用私IP地址,NAT远程访问。
(2)与internet 互联设备IP地址采用真实IP地址。
(3)部分内部互连采用私有IP地址。
(4)面向用户的私有IP地址,由统一出口的边缘设备进行地址翻译。
6、网络QoS设计
为确保用户各种关键业务的正常开展,必须采取全面而系统的QoS设计(提供端到端QoS服务),以保证重要的数据流在网络发生拥塞时获得有保证的吞吐量和最低的延时。
7、VLAN划分
根据以往经验和骨干网络建设的实际情况,在骨干网络VLAN划分规划以“灵活划分、方便管理”为基本原则,以不同的使用群体为VLAN范围划分。这样划分VLAN的好处有:
(1)方便管理。
(2)易于实施。
(3)VLAN间路由采用三层交换设备进行VLAN路由。
8、网络路由设计
网络互联互通的关键是路由的畅通,路由的算法、最佳路径的选择最为直接影响到整个网络的性能,选择一个合适的路由协议和合理的规划路由策略至关重要本方案选择动态OSPF路由协议。
9、接入安全
在未来的校园网改造中,可考虑在接入层增加相关安全智能交换机,通过与网管系统安全认证管理系统可满足用户名、IP、MAC、VLAN ID、交换机IP、交换机端口的6元素绑定技术。并且可以实现非法站点访问过滤、非法言论的准确追踪、恶意攻击的实时处理、记录访问日志提供完整审计等安全功能。
10、访问安全
RG-S6800E多业务万兆核心路由交换机支持802、1Q VLAN,可使用VLAN划分隔离用户访问。同时还支持VLAN 隧道技术,可实现跨校区的VLAN功能。并且锐捷RG-S6800E多业务万兆核心路由交换机支持完善的ACL,可以基于MAC、IP、TCP/UDP端口号进行流量控制,以有效的防范和控制网络蠕虫病毒(如冲击波)的传播和危害。
11、病毒攻击防御
提供病毒防御功能,使得某些特定病毒不能任意传播。主要提供以下几个功能:(1)预防PC感染类似“冲击波、震荡波”的病毒;(2)如果某台机器感染病毒,能够实现中毒机器隔离,限制同一网段中病毒的传播。(3)支持防止DDoS攻击,防止IP段恶意扫描等抗攻击特性。
12、网络防病毒
12、1以网为本
防治病毒应该从网络整体考虑,从方便减少管理人员的工作上着手,如利用网络唤醒功能,在夜间对全网的PC机进行扫瞄,检查病毒情况;提供在线报警功能,网络上每一台机器出现故障、病毒侵入,应从管理中心处予以解决。
12、2多层防御
新的防毒手段应将病毒检测、多层数据保护和集中式管理功能集成起来,形成多层防御体系。
12、3重视服务器上防毒
大量的病毒针对网上资源的应用程序进行攻击,这样的病毒存在于信息共享的网络介质上,因而要在网络前端实时杀毒。对于内部病毒,如某一工作站如果通过软盘感染了病毒,势必会在LAN上漫延,若服务器具有防毒功能,那么病毒在从客户机向服务器转移的过程中就会被服务器杀掉。
12、4建立病毒敏感报警系统
让管理人员及时了解病毒入侵节点位置,对网络安全漏洞进行分析和评估,及时清除残留病毒,修补防病毒系统,减少事故风险。
12、5安全管理规范和应急人员配备
为切实加强对全市农村食品药品安全工作的监督管理,规范农村食品药品经营、管理行为,维护农民群众切身利益,推进社会主义新农村建设,经市人民政府同意,自年开始,将农村食品药品安全工作纳入政府目标考核范围。现就有关事项通知如下:
一、考核对象和重点
全市农村食品药品安全检查考核每半年进行一次。由市食品药品安全监督管理工作领导小组负责组织实施(以下简称领导小组)。考核对象为:各乡(镇、办)和市质量技术监督局、市工商局、市卫生局、市农业局、市粮食局、市畜牧局、市水产局、市教育局、市财政局、市公安局、市广播电视局、市物价局、市商务局、市盐务局、市商业联合会、市食品药品监督管理局。
考核重点是:本地本部门食品药品安全组织机构、规章制度建立情况,经费保障情况,人员配备情况,工作开展和日常管理情况,以及《市人民政府办公室关于进一步加强全市农村药品监督网络和供应网络建设工作的通知》(政办发[]35号)落实情况。
二、考核办法
考核采取自查与检查相结合的办法进行。每年7月、12月,各地、各有关部门对照上述考核重点和《老河口市食品安全工作目标考核细则》、《全市农村药品监督网络和供应网络建设考核标准》(由领导小组另行制定),对本地本部门食品药品安全和农村药品监督网络、供应网络建设工作完成情况进行自查评分(满分为100分),形成自查报告,报领导小组办公室(设在市食品药品监督管理局)。领导小组办公室组织人员,深入各地各有关部门,实地检查食品药品安全和农村药品监督网络、供应网络建设工作完成情况,据实打分,形成考核结果,经领导小组审定,并报市人民政府同意后,在一定范围内公开。
现有的课程评价往往只是通过期末的笔试考试对学生学习情况进行评价。这种评价方式不能调动学生的学习积极性,也不能很好地培养学生的实践动手能力。因此,需探索构建一个与职业岗位技能标准相衔接的《网络安全技术》课程标准。
2与职业岗位技能标准相衔接的《网络安全》课程标准构建方法
(1)课程目标与职业岗位对接。课程目标的建立要与职业岗位需求相适应,要从过去全面、完整的知识讲授转变为以职业岗位需求为导向进行知识讲授。(2)课程内容与工作任务对接。课程内容的选取要坚持以职业活动为导向,以工作任务为载体,优化教学内容。将企业的工作任务引入教学过程中,并按照企业工作的实际要求,将企业的工作情景引入课堂中。(3)课程评价与社会评价对接。课程评价要突出职业资格标准的导向作用,重视综合职业能力考核,将行为目标贯穿教学活动始终,以强化学生规范行为的养成[2]。
3与职业岗位技能标准相衔接的《网络安全》课程标准制定
3、1课程定位和目标
为了与职业岗位技能需求相适应,对相关企业进行了调研,分析其岗位技能需求,明确了该课程定位和目标为:本课程是高等职业技术学院计算机应用技术专业的一门专业核心课,属必修课程。课程可安排在第三学期(自主招生)或者第四学期。其培养目标是提高学生网络安全意识,让学生了解网络安全理论,掌握网络安全管理、配置和维护技能。为学生今后从事网络安全管理员工作奠定基础。
3、2课程内容
课程内容的选取要和企业岗位的实际工作内容保持一致。通过对毕业生就业情况的调查,参照国家资格职业考证中网络安全管理员的职业资格要求,确定了网络安全管理员岗位对应的岗位技能要求,并以此设计了8个学习情境,作为课程教学内容,如表1所示。
3、3教学方法和手段
(1)教学方法。网络安全是一门实践性很强的课程,传统教学方法只是强调理论知识的传授,很少注重实践能力培养。因此,该课程教学要改变传统的填鸭式教学,要以学生为主体实行启发式、讨论式教学,提高学生的学习积极性,并以企业实际的工程项目组织教学内容,让学生在实践中学习。理论和实践结合,可激发学生的学习主动性,培养学生的实践能力和创新意识。(2)教学手段。网络安全的实验操作复杂,同时对计算机网络、操作系统等会产生一定破坏作用,因此该课程要利用网络安全综合实训平台进行辅助教学。在综合实训平台上,学生可以进行网络安全的各种实验,而不用担心对实训室设备造成破坏。
3、4考核与评价
网络安全的课程考核打破了传统以笔试成绩为主的考核方式,注重过程考核和多元化评价[3]。过程考核是对学生学习的全过程进行考核,网络安全课程采用基于项目驱动式的教学方式,教学过程中要完成很多实训项目。对每一次实训项目进行考核,不仅可以提高学生的学习积极性,还能巩固学习成果,培养学生的职业技能;多元化评价是从多个方面对学生取得的成绩进行客观、公正的评价。学生每一次实训项目的成绩是由学生自评、学生互评和教师评价3部分组成。
4结语
摘要:本文针对《网络安全技术》课程教学过程中的教学内容、教学方法和考核方法等方面提出了一些建议。从而提高学生的学习效果,培养学生的实践能力。
关键词:网络安全技术 教学改革 虚拟网络
一、前言
网络安全技术主要包括主机安全技术、认证技术、访问控制技术、密码与加解密技术、安全审计技术、防火墙技术、入侵检测技术等。从学科的角度又涵盖了计算机系统、计算机网络、计算机通信、密码学、数据库等多学科的相关知识[1]。它是计算机、电子、通信专业的一门专业选修程,是一门理论性、实践性、综合性很强的课程。但因资金及学校发展计划等多方面因素,我校仍没有专业实验室,无法进行综合性、实践性的实验。这些严重影响了该课程的教学质量及教学效果。
二、教学内容改革
教学内容改革从以下两个方面入手。
(1)教材的选用。
从教材方面来说,《网络安全技术》课程长久以来存在着以下的问题:课程教材老化,现如今随着计算机网络的发展网络安全的知识日新月异,更新速度相当的快。而众多的教材还是换汤不换药,徒有印刷精美的外表,内容却一尘不变,不成体系,一些旧的知识更无法提起学生的兴趣。过于偏重理论轻实践,并且缺乏好的实验教材。为了解决这些问题我们可以结合实际的需要自制教材和相关的实验指导书。如果在条件许可的情况下,不要仅局限于某一本教材。而是选择多本,轮换作为教材,还可以选择一些实战性较强的书作为参考资料来辅助《网络安全技术》课程的学习。
(2)教学内容选取。
《网络安全技术》课程是一门综合了几乎所有计算机知识的课程,网上的信息每12个月就会翻一番。而我国现行的高等教育专业课程体系落后,课程内容陈旧,教材更新缓慢,导致学生在校学习的知识早已落后于时展的需要,根本不具备实用价值,使得许多学生在走向社会后不得不在重新学习或培训后才能走向工作岗位。为此,我们必须科学组织教学内容,充分关注计算机网络安全的发展现状,并把这些信息及时补充到相关知识模块中,同时,不断地研究探讨计算机网络安全在发展过程中遇到的问题并加以提炼和总结,适时调整教学内容。
《网络安全技术》课程的教学能否顺利开展在一定程度上还依赖于众多前序课程的学习,如果前序的课程没有设置好的话,学生学起来有很大的困难。所以,教学内容调整的同时,还应该重新设置人才培养方案,合理配置教学计划。
三、考核方式改革
传统的纯理论考核方式目前已不能满足网络安全的教学形势,现行的考核方式更注重理论与实验相结合,侧重实验的考核,强调学生的自主学习,注重知识的综合运用。
该课程的考核是一项全面的综合考核,应该包含平时考核、实验考核、期末考试等多方面。在该课程的考核形式上采用期末试卷成绩占60%、实验和实验报告占10%、作业和平时考勤占10%的方式考核。该考核方式的改进使学生不拘泥于理论知识的死记硬背,激励学生独立思考、探索创新,发挥自己的潜能,激发其学习的主动性与积极性。
四、教学方法和手段改革
教学方法和手段改革从以下几个方面入手。
(1)采用随机进入教学方法。随机进入的理论核心是:学习者可以随意通不同途径、不同方式、不同角度、不同角色进入同样教内容的学习,从而获得对同一事物或同一问题的多方面认识与理解[2]。在教学过程中,运用随机进入教学法将引导学生从不同的角度对网络安全知识进行思考,这也将有利于实现课程教学的目标。
(2)加大教师培训,提高教师素质。增加教师的培训机会,将教师外派到重点大学的相关专业进行学习,鼓励教师参加各种前沿会议和讲座以提高教师的教学水平。这样培养出来的学生也能更快地适应毕业后的真实工作,更快的上手。
(3)改进教学手段,提高学生兴趣。引进现代化的教学设备,不仅能够提高学生参与课堂的积极性,而且大大提高了教学效率。教师在《网络安全技术》课程中运用多媒体演示教学,增加学生参与交流和讨论的机会。还可以借鉴网络演示视频或者自行制作演示视频,使实验步骤讲解过程更加生动形象。
(4)通过实验教学,提高学生的实践能力。实验教学是课堂理论教学的重要补充,通过实验,学生能够更好地理解课程中的基本原理,同时通过动手体验,提高学生的实践能力和创新能力。
现今很多学校受资金等各方面因素的影响、教学设备的硬件建设相对欠缺和滞后。如果我们能在网络安全的实验中充分利用虚拟机技术,在虚拟的环境下进行大量的实验而不会对计算机产生破坏。将虚拟机引入到实验教学中能够利用有限的资源扩充实验内容,让学生参与到教学活动之中,大大调动学生的积级性[3]。同时,在进行网络安全攻防实验中,通过分组讨论、共同规划设计等全新的实验实现方法,还可以提高团队意识,培养合作精神。
五、结语
本文是我们在《网络安全技术》教学过程中,根据三表院校学生的实际情况,针对教学内容、教学方法提出了一些心得体会。通过调整教材和教学内容,理论结合实验等方法,培养出具有较强综合能力的的应用型人才。
参考文献:
[1]谌黔燕、综合性、设计性实验的开发与探索—网络攻防实验模型的设计与实现[J]、实验科学与技术,2005,(10)、
[2]倪玉华, 闰丽华,陈海、“随机进入教学”在计算机基础教学案例组织中的应用[J]、本科专业课程建设,2008,(8)、
[3]陈瑞志,王丽,付世风、虚拟网络与安全实验的研究与应用[J]、科技向导,2010,(7)、