网络安全防护技术.docx
《网络安全防护技术.docx》由会员分享,可在线阅读,更多相关《网络安全防护技术.docx(26页珍藏版)》请在冰点文库上搜索。
网络安全防护技术
《网络安全防护技术》课程标准
一、课程基本信息
课程名称
网络安全防护技术
先修课
计算机组网技术、网络操作系统、网络管理
学分
4
学时建议
68学时
授课对象
网络专业三年级学生
后续课
攻防对抗、网络安全检测与评估
课程性质
专业核心课
二、课程定位
计算机网络技术专业从“组网、管网、用网”三个方向分别设置课程,《网络安全防护技术》则是其中承上启下,为这三个专业方向提供支撑,是计算机网络技术专业的核心课程。
《网络安全防护技术》课程通过三大应用情境的12个典型工作任务的学习,帮助学生学会正确使用各娄安全技术:
加密、身份认证、资源权限管理、操作系统加固、病毒防范、链路加密、漏洞修补、安全检测等,能实施包括防水墙、入侵检测等安全产品配置,更能根据不同应用网络环境规划安全方案及应急响应策略。
从内容上看,它涵盖了个人主机、办公网络和企业网络在安全防范中最常用的技术,也是网络安全工程师NCSE一、二级职业资格考试的重要内容,在整个课程体系中具有重要的作用。
学生学习了这门课程,既有助于学生深化前导的《网络操作系统》、《网络管理》、《计算机组网技术》等专业课程,又能辅助学生学习后续的《攻防对抗》、《网络安全检测与评估》的理解,提高学生的网络安全管理能力,培养更适应计算机网络相关岗位的合格从业人员。
三、课程设计(参照信息产业部NCSE一、二级证书的考试大纲)
1、课程目标设计
(1)能力目标
能够解决不同的网络应用环境中遇到的信息安全问题,成为具备基本安全知识和技能的安全应用型人才。
能正确配置网络安全产品、实施应用安全技术、熟练掌握各类安全工具的使用方法,并能规划不同应用网络环境中的安全方案及应急响应策略。
(2)知识目标
掌握网络安全技术的概念与相关知识,了解网络安全相关标准,对于各类网络环境所使用的各类防护技术原理有正确的认识。
(3)态度目标
遵守国家关于信息安全的相关法律法规,不利用所掌握的技术进行入侵攻击方面的活动;正确认识攻击事件,有应急处理维护和恢复信息系统的意识。
(4)终极目标
培养掌握较全面的网络安全防护技能,同时具备较高的安全素养,能够从事企事业单位的网络安全与管理的合格从业人员。
2、课程内容设计
与中国信息安全测评中心华中分中心共同开发设计课程,严格依据公安部信息系统安全标准化技术委员会的等级保护实施办法,从应用信息系统安全需求入手,对信息资产进行评估,制定安全策略,并实施安全技术和配置安全产品。
充分发挥信息安全企业的技术优势,校企合作制定基于网络安全工程师岗位工作过程的课程标准,并进行内容的整合和序化,形成适宜教学的工作任务,突出职业能力的培养,并体现出职业能力的递进。
本课程针对网络安全工程师岗位,同时整合了网络工程师和网络管理员在安全防护能力方面的要求,结合信息安全维护岗位最典型的工作任务设计了三大应用情境。
一是个人主机安全防护,包括:
个人主机安全策略设置、个人主机数据安全、个人主机上网安全、个人主机安全维护四个主要任务,在任务学习结束后,提供个人主机安全防护综合实训以锻炼学生在个人主机安全防护情境中主要安全技术的综合应用能力;
二是办公网络安全防护,包括:
办公网络安全规划部署、办公网络应用安全、办公网络安全检测、办公网络安全维护,在任务学习结束后,提供办公网络安全防护综合实训以锻炼学生在办公网络安全防护情境中主要安全技术的综合应用能力;
三是企业网络安全防护,包括:
企业网络边界安全规划、企业网络应用安全、企业网络安全预警、企业网络安全维护,在任务学习结束后,提供企业网络安全防护综合实训以锻炼学生在企业网络安全防护情境中主要安全技术的综合应用能力。
应用情境及能力训练任务
学时
个人主机安全防护
个人主机安全策略设置
4
个人主机数据安全
6
个人主机上网安全防护
8
个人主机系统维护
8
个人主机安全防护综合实训
个人主机安全加固
课外
合计
26
办公网络安全防护
办公网络安全规划部署
2
办公网络应用安全
6
办公网络安全检测
4
办公网络安全维护
8
办公网络安全防护综合实训
办公网络安全综合防护
课外(机房、图书馆机房等办公网络)
合计
20
企业网络安全防护
企业网络边界安全规划
6
企业网络应用安全
6
企业网络安全预警
6
企业网络安全维护
4
企业网络安全防护综合实训
企业网络安全综合防护
课外(校园网管理中心及校外实训基地)
合计
22
说明:
根据本学期的时间安排,内容及学时调整为68
3、教学方法设计
结合计算机网络专业学生特点,基于行动导向,根据每个任务的内容特点,以真实案例进行引导,综合运用基于工作过程的任务驱动法、案例分析法、分组讨论法、角色扮演法等教学方法开展教学。
1、案例分析法:
是以真实发生的安全事件(攻击案例)为背景,引导学生分析事件中存在的风险及风险造成的影响,制订安全防护计划,选择安全防护技术。
如个人主机数据安全讲从个人信息泄露入手,讲解应采取的安全防护计划,并实施相关的安全防护技术(如加密技术和访问控制技术)。
教师讲授和学生操作融入任务中,在教学中多数采用案例分析法开展教学,教师在任务阶段集中传授知识和技能,学生集中实践,运用所学知识和技能完成任务。
2、师生互动讨论法、分组实施法:
为了降低学习难度,对于难度较大的任务,先由师生互动对任务进行讨论,以引导学生正确认识安全风险及相关的安全防护技术,之后采用分组实施法开展协作学习,学生强弱搭配,两人一组。
一人操作,一人在旁边给出参考意见,并定期进行角色互换,最后教师总结。
以此提高学生的学习积极性和参与意识,降低学习的难度,培养学生的合作精神和团队意识。
3、角色扮演法:
网络安全教学任务的实施多是需要不同的角色,多方共同参与的,以体验防护技术的实施效果。
比如在加密保护与传输数据中,我们需要在发件人和收件人间传递秘钥,以加、解密邮件内容,将分组进行角色扮演。
实践结果的可观测与可检验性调动了学生的学习兴趣,活跃了课程气氛。
4、现场教学:
为了让学生体验真实的工作场景,在进行企业网络安全预警和企业数据维护(群集和动态磁盘)等任务学习时,我们安排学生到学院的校园网管理中心顶岗,并分组进入校外实习基地进行顶岗。
5、以赛促学:
主要以参加校内外的各级各类网络安全知识竞赛、网络攻防大赛等方式进行。
4、能力训练步骤设计
(每个能力训练步骤完成后都需要完成一份自评报告)
任务名称
能力训练步骤名称
拟实现的能力目标
训练方式手段
1个人主机安全策略设置
1.1加固操作系统
设置操作系统的安全项目以加固操作系统
1、设置WINDOWS防火墙安全
2、设置WINDOWS系统安全策略
2个人数据安全
2.1恢复数据
个人重要数据的修复能力
1、使用个人PC数据恢复工具EasyRecovery
2、使用FinalData恢复丢失文件
2.2加密保护与传输数据
保护本地存储的重要数据,并防止传输过程中泄露信息的能力
1、PGP数据文件加密
2、PGP本地硬盘加密
3、PGP用于邮件加密
3个人主机上网安全防护
3.1设置ADSL路由器安全
正确设置ADSL路由器的安全项目
安装、设置ADSL路由器
3.2设置浏览器安全
设置IE浏览器的相关选项,保护上网浏览的安全
1、IE安全设置
2、IE证书的申请与使用
3.3对抗病毒木马攻击
对恶意病毒木马进行查杀和对于恶意入侵的防护对抗能力
1、安装设置360安全卫士
4个人主机系统维护
4.1检测个人主机安全并修复系统漏洞
发现可疑进程、启动项、服务和系统漏洞的能力
1、检测进程
2、管理系统服务
3、辅助安全工具检测
4.2备份与恢复系统
操作系统崩溃后的快速恢复能力
1、Windows系统还原
2、使用GHOST备份还原软件
5办公网络安全规划部署
5.1规划设计办公网络安全
分析设计办公网络安全系统能力
1、办公网络的功能分区,各区的安全要求
2、办公网络安全设计
5.2设置办公网络路由器安全
1、安全功能项设置
2、入口流量控制能力
1、包过滤ACL
2、远程限制
3、IPSEC配置
5.3设置办公网络交换机安全
1、安全功能项设置
2、网络地址安全管理能力
1、ACL安全列表
2、SNMP禁用
3、SSH远程管理
4、VLAN使用
6办公网络应用安全
6.1设置共享资源安全
保护办公网共享资源安全的能力
1、关闭默认共享
2、建立安全共享(包括用户和权限等)
6.2数据安全备份
通过网络备份保护数据安全能力
1、利用FTP网络异地备份数据
7办公网络安全检测
7.1扫描办公网络系统安全漏洞
主动发现未知风险、评估网络脆弱性能力
1、天锐扫描器安装
2、使用扫描器来扫描局域网安全
7.2检查、发现、清除网络病毒木马
网络病毒木马预警、防护、保障能力(以瑞星为例)
1、网络杀毒软件安装(系统中心服务器的安装、设置防毒策略、服务器安装)
2、客户端查杀
3、病毒实时监控
4、升级
8办公网络安全维护
8.1恢复与还原系统
利用办公网络快速(远程)恢复系统的能力
1、安装软件GHOST7.5企业版
2、安装3Comdabs
3、构建DHCP服务器
4、生成启动所需的镜像文件
5、建立PXE目录启动文件
6、设置TFTP SERVER
7、运行网络Ghost
8.2补丁分发
利用办公网络快速更新修复网络内主机系统的能力
1、在服务器上安装WSUS
2、配置WSUS
3、下载并审批补丁
4、客户端设置
9企业网络边界安全规划
9.1规划设计企业网络
主要侧重于外网接入与DMZ区的安全规划
企业信息网络安全分析规划
9.2设置边界防火墙安全
对边界防火墙安全设置能力
边界防火墙安全设置管理
10企业网络应用安全
10.1服务器操作系统安全设置
配置服务器操作系统的安全策略
1、WINDOWSSERVER2003安全设置
2、Linux安全配置
10.2设置应用服务器安全
对应用服务器进行安全设置的能力
1、WEB服务相关安全设置
2、FTP服务相关安全设置
3、数据库服务相关安全设置
10.3安装配置VPN服务器
VPN安装使用能力
1、VPN服务器设置
2、配置客户机通过VPN拔号访问
3、检测效果
11企业网络安全预警
11.1入侵检测的部署、安装及配置
能对IDS设备的各类控制和连接端口进行连接和配置,能正确设置IDS在网络中的位置部署,并进行规则设置
1、IDS的部署
2、IDS的物理安装
3、IDS的软件安装
4、IDS探测器超级终端配置
5、IDS探测器系统配置
6、控制台系统配置
7、IDS数据库系统的配置
8、配置探头
9、策略配置
11.2防火墙与入侵检测联动预警
入侵检测系统与防火墙的联动配置方法
1、生成防火墙和IDS的通讯密钥
2、联想网御IDS与防火墙联动证书上传防火墙
3、网御IDS与防火墙联动IDS端配置
12企业网络安全维护
12.1群集服务器的搭建
能搭建应用服务器群集
1、预配置
2、配置第一个节点
3、安装第二个节点
4、验证
12.2动态磁盘的管理
建立并管理动态磁盘阵列
1、WindowsServer2003磁盘管理方式
2、基本磁盘和动态磁盘的转换
3、创建简单卷
4、创建镜像卷(对应RAID1)
5、创建跨区卷
6、创建带区卷(对应RAID0)
7、创建RAID-5卷
5、进度表设计
任务名称
学时
教学目标
主要教学内容
1个人主机安全策略设置
4
1、知道操作系统的安全项目设置策略
2、能正确按需求对策略进行设置
1、组策略
2、本地安全策略
3、个人防火墙的策略
2个人数据安全
6
1、知道磁盘介质的修复原理
2、能对已丢失的重要数据进行修复
3、利用加密工具对本地重要数据进行保护
4、会对邮件进行加密,并正确认识加密的原理
1、还原的工作原理
2、加密算法及加密工具
3、数字签名
3个人主机上网安全防护
8
1、知道ADSL路由器的安全设置项目,并能正确配置
2、知道IE浏览器的相关选项,并能正确配置安全选项
3、正确使用和维护恶意病毒木马查杀工具
1、个人ADSL路由的工作原理
2、IE选项安全设置的内容
3、PKI及CA相关知识
4、单机版病毒木马查杀软件的工作原理及相关设置
4个人主机系统维护
8
1、能认识可疑进程、非正常启动项、不应开启的服务
2、能利用工具来检测个人主机的漏洞
3、个人操作系统的备份及快速恢复能力
1、系统进程的功能
2、掌握系统服务的检测功能
3、补丁
4、基准安全分析器
5办公网络安全规划部署
2
1、能根据实际的应用需求,分析设计办公网络安全系统
2、知道路由器的安全功能项设置
3、能对路由器的入口流量进行控制
4、安全功能项设置
5、能利用交换机对网络地址进行安全管理
1组网及应用需求分析、设计、测试及设计方案的制定
2、路由器的过滤规则
3、远程管理
4、安全协议
5、交换机的ACL
6、VLAN的作用
6办公网络应用安全
6
1、能对办公网络中需要共享的资源进行安全设置
2、能通过网络备份保护数据安全
1、共享资源概述与管理
2、提高共享资源的安全性
3、FTP的原理及异地备份
7办公网络安全检测
4
1、能主动发现未知风险
2、能够利用专用的扫描器来评估网络脆弱性
3、正确使用网络版病毒木马软件,进行网络的预警、防护、保障能力(以瑞星为例)
1、局域网扫描器的工作原理
2、病毒、木马基础知识与网络版杀毒软件的使用
8办公网络安全维护
6
1、可以正确利用办公网络环境来快速(远程)恢复系统
2、能够利用办公网络快速更新修复网络内主机系统
1、网络版与单机版备份的比较
2、网络版备份软件的比较
3、DHCP及DHCP服务器
4、WSUS概述
5、WSUS3.0补丁分发的实施步骤
9企业网络边界安全规划
6
1、能够正确进行内部网络接受外网接入及DMZ区的安全规划
2、能够正解对边界防火墙进行安全设置
1、了解并发现需求、规划设计
2、边界防火墙功能、安全设置管理
10企业网络应用安全
6
1、知道如何对服务器操作系统进行安全策略的配置
2、能够对不同类型的应用服务器进行安全设置
3、能够正确搭建VPN服务器并安全使用
1、应用服务器种类及存在的安全问题
2、操作系统安全问题
3、网络应用服务安全
4、远程访问
5、VPN工作原理
6、VPN优势
7、VPN适用范围
11企业网络安全预警
6
1、知道入侵检测的作用
2、知道在企业网络中如何部署
3、能够正确配置入侵检测
4、入侵检测系统与防火墙的联动配置方法
1、入侵检测的定义、作用原理
2、入侵检测的部署
3、共享网络
4、墙前监听和墙后监听
5、交换机管理功能(端口镜像)
6、DMZ区
12企业网络安全维护
4
1、知道群集在企业容错容灾体系中的重要作用
2、能搭建应用服务器群集
3、能建立并管理动态磁盘阵列
1、群集技术概述
2、群集技术介绍
3、磁盘阵列类别和管理方法
6、第一节课设计梗概
教学步骤
教学活动设计
时间分配
课程定位
本课程针对网络安全工程师岗位,同时整合了网络工程师和网络管理员在安全防护能力方面的要求,结合信息安全维护岗位最典型的工作任务设计了个人主机安全防护、办公网络安全防护和企业网络安全三大应用情境。
旨在培养掌握较全面的网络安全防护技能,同时具备较高的安全素养,能够从事企事业单位的网络安全与管理的合格从业人员。
本课程的前续课程为计算机组网技术、网络操作系统、网络管理,后续课程为网络安全检测与评估综合实训。
5分钟
课程设计
计算机网络技术专业在网络管理这个方向上的典型工作岗位即网络安全工程师,这也是目前社会需求的热点。
系统安全、数据安全、网络安全的维护能力、恶意代码病毒防范能力、容错容灾的应急处理能力是这个岗位工作的核心能力。
本课程通过与行业企业合作进行基于网络安全工程师的工作过程进行课程开发与设计,教学内容对这个典型工作岗位的能力培养有直接的支撑作用。
5分钟
内容选取
1、由网络安全工程师这个典型工作岗位,调研得出系统安全维护、数据安全维护、网络安全配置、恶意代码病毒防范、安全设备配置、容错容灾应急处理和安全审计与评估这七个典型工作任务。
其中前六项任务是网络安全工程师的核心能力。
2、从工作任务中找出所需的专业技术能力,找到这些能力和课程的知识、能力的对应。
3、按照学生的认知规律和教学规律,在行业企业专家的指导下,进行教学内容的序化,最终形成3个应用情境12个任务,以任务为单元进行教学。
5分钟
内容组织
1、通过这3个情境的12个任务,将目前主流的网络安全技术体系贯穿其中,包括网络漏洞扫描技术、网络访问控制技术、防火墙技术、入侵检测技术、病毒防治技术、加密技术、数据备份与恢复技术。
这些技术在不同的训练任务中表现出不同的侧重点。
2、任务设计针对风险现象,同时提出解决或对抗这种风险的安全防护技术,之后辅以能力训练任务从不同角度学习安全技术。
3、每个应用情境均从工程管理的角度展开,包括安全需求分析和规划、安全方案实施和安全检测及安全系统维护这四个部分,并且各情境间存在递进关系。
4、每个任务(由多个能力训练步骤组成)均包括任务示范、风险分析、任务课件、任务指导书、支撑知识、任务教学设计、自评报告、习题自测等内容,涵盖了“教学做评考”这五个关键环节。
5、课程评价与信息产业部的NCSE网络安全工程师实行双证融通。
本课程要形成的能力目标和知识目标也均是NCSE考试大纲中的要求。
学生可以在修完本课程后参加NCSE一级和二级证书的考试。
5分钟
表现形式
校企合作编写工学结合特色教材:
为了方便教学,课程组先后开发了《信息安全实训手册》(校本教材)、《网络安全与管理》(省级规划教材)和《网络安全技术》,并制作了较完善的精品课程网站。
课程网站中提供了丰富的教学资源,包括12个任务26个能力训练步骤的任务分析、示范视频、任务指导、教学课件、单元设计、自评报告、习题自测等7个主要任务教学资源、3个综合实训的实训指导书、实训报告和考核方案,全部由课程组自行设计制作完成。
其中任务示范是12个任务26个步骤的操作视频,时长约150分钟;在线测试包括每个任务的单元习题自测,题型与NCSE考试题型完全一致,为学生提供每个任务完成后的自我测评,同进提供NCSE的考前模拟测试及IPAT的实践操作测评,形成由三个层次组成的测评体系,以上内容全部上网实现资源共享。
除基本教学资源外,提供学生自主学习资源,包括系统加固、攻防对抗(包括ARP欺骗、漏洞、病毒、后门、木马在内的8类典型攻击和蜜罐布署等主动对抗技术)、电子商务安全(数学摘要,数字签名、证书与认证、安全协议等)、无线安全(无线安全标准、无线AP、无线桥、无线局域网)四个部分。
课程网站的部分拓展资源包括安全事件、能力测评、职业认证、安全词库、安全标准、安全技巧等内容。
其中攻防案例记录了真实攻防活动的全过程,摄制有7个典型攻防的活动视频;能力测评是与合作企业北京正阳天马共同开发的IPAT能力测评,学生可在课程学习过程完成后,自行测评;职业认证主要体现了课程所针对的NCSE安全工程师的考核,主要指导学生在课程学习的过程中了解职业认证要求,并努力达到NCSE的职业认证标准;安全技巧是三个应用情境所涉及的安全维护小技巧,共16个视频;在安全标准这个栏目中介绍了涉及信息安全的法律法规、国家及国际安全标准,由于部分内容的保密性,每个页面均有授权使用单位的印章;安全词库针对课程所用到的网络安全词条在各类安全标准文件中进行收集整理而来,学生可以像打开一部安全电子词典一样速查,这些栏目是我们的教师是在企业挂职锻炼过程中制作而成。
5分钟
教学模式
本课程以任务驱动教学模式为主线,以网络安全防护的真实工作情境或真实案例为依据,实现课堂内外教学一体化,突出情境性原则与科学性原则并重的职业教育教学理念。
《网络安全防护技术》课程实施任务驱动教学模式的创新点:
1、面向工作岗位,基于工作过程的教学设计思路
针对本专业毕业生的主要就业岗位——网络安全工程师,我们通过调研与研讨,总结了该岗位的典型工作任务,并与行业企业的信息安全工程师共同探讨,通过个人主机安全防护、办公网络安全防护、企业网络安全防护3个网络安全工程师工作中的常见应用情境将教学内容有机地组织起来,按照岗位的工作过程组织教学,使教学活动真正体现岗位的真实工作。
2、任务驱动的教学模式
针对高职学生的认知特点,课程教学紧紧围绕3个应用情境的12个任务,将每个任务的关键步骤分解,引导学生循序渐进地进行学习,同时克服了任务难学生不易把握的难题。
以大的任务作引导,而需要完成的是相对独立的任务步骤,学生跟得上、完得成,容易产生成就感,从而形成任务驱动的教学模式。
8分钟
教学方法及手段
结合计算机网络专业学生特点,基于行动导向,根据每个任务的内容特点,以真实案例进行引导,综合运用基于工作过程的任务驱动法、案例分析法、分组讨论法、角色扮演法等教学方法开展教学。
充分运用现代教育技术,发挥计算机网络专业的技术力量和网络资源的开放性、交互性等优势。
1、充分利用虚拟机技术,构建仿真实训环境。
采用先进的计算机虚拟化技术VMWare建成了高度仿真任务实施的虚拟网络实训环境。
2、发挥网络教学平台优势,延伸学习空间。
3、精心制作多媒体动画,使抽象的知识更加形象化。
我们将比较抽象的网络安全风险及技术都制作成了精美的FLASH动画。
不仅营造轻松活泼的课堂气氛,简化学习难度,同时也让学生快速融入课堂学习过程,加深对课程内容的理解。
4、使用多媒体教学平台,促进“教、学、做、评”充分互动。
教师在教学过程中充分利用多媒体教学平台,通过广播演示任务,示范操作过程,集中学生注意力;再通过学生示范操作传屏,充分调动学生参与的积极性,同时引导学生进行任务的互相评价。
5分钟
教学资源
1、课程网站的特色拓展资源有:
安全事件、安全技巧、能力评测、职业认证、安全标准、安全词库等。
2、课程网站基本教学资源有:
基于任务驱动的课程标准、任务分析、教学课件、示范视频、任务指导、自评报告、在线测试、参考资料等,其中示范视频与任务指导相互配合,学生可参看任务指导书,同时观看示范视频,以全面认识每个任务;在任务分析中学生更能与教师互动,思考每个任务中隐藏的不安全因素(风险)并思考风险造成的影响,或者由风险现象来追朔风险的成因;在线测试内容实现了动态的人机互动效果,能及时反应学生学习效果。
3、课程网站的自主学习资源包括系统加固、攻防对抗(包括ARP欺骗、漏洞、病毒、后门、木马在内的8类典型攻击和蜜罐布署等主动对抗技术)、电子商务安全(数学摘要,数字签名、证书与认证、安全协议等)、无线安全(无线安全标准、无线AP、无线桥、无线局域网)四个部分。
目前这些特色资源、基本教学资源和自主学习资源已经全部上网实现资源共享,全天面向师生开放,网络畅通,师生能及时通过网络进一步学习《网络安全防护技术》课程。
4分钟
考核方式
本课程实施综合考评,不仅理论与技能结合,并且注重学习态度和最终成绩的平衡,以全面综合地评定学生的能力。
过程考核:
能力训练任务的学习过程中,对学生进行分组学习,任务由各
升级会员 