面向工作任務分析的信息安全實訓室建設

2012-04-29 18:05游俊慧

電腦知識與技術 2012年26期

游俊慧

摘要：為使信息安全實訓模塊的設計和實訓室建設符合行業(yè)對信息安全人才的需求，利用針對行業(yè)崗位的工作任務分析方法，對工作任務及其職業(yè)知識和技能、職業(yè)素養(yǎng)進行研究討論，經(jīng)反復論證得出崗位工作任務分析表，據(jù)此構建出一套實踐性強、符合行業(yè)要求的信息安全實訓教學體系及實訓室建設方案。

關鍵詞：信息安全實訓室；工作任務分析；實訓教學體系

中圖分類號：G482文獻標識碼：A文章編號：1009-3044(2012)26-6248-05

Construction of Work-Task-Analysis-Oriented Information Security Laboratory

YOU Jun-hui

(Department of Information Engineering, Guangzhou Institute of Technology, Guangzhou 510925, China)

Abstract: To accommodate the design of information security practical modules and the construction of laboratory to the indus? try demand for information security professionals, work-task-analysis method for industry jobs was applied to research the work tasks, the professional knowledge, the skills and the professionalism. Based on the work-task-analysis table drawn according to re? peated demonstration, a strongly practical information security practical teaching architecture and a laboratory building program were established, which satisfy the industry requirement.

Key words: information security laboratory; work task analysis; practical teaching architecture

隨著信息安全問題越來越成為政府和企業(yè)關注的焦點，《關于加強信息安全保障工作的意見》提出了對信息安全工作的總體要求，并明確提出培養(yǎng)信息安全人才是加強國家信息安全保障工作的一項重要任務[1]。高職院校作為實踐性人才培養(yǎng)基地，理所當然地承擔起這一重任。

然而，信息安全是一門實踐性很強的學科，目前大部分高校的信息安全系列課程都偏重于理論教學，而實踐教學相對滯后[2]。因此，建立一個符合信息安全專業(yè)人才培養(yǎng)方案的信息安全實訓室，對于滿足社會對信息安全人才的需求有著舉足輕重的意義。要使信息安全實訓室的建設服務于信息安全行業(yè)本身，則必須首先從信息安全行業(yè)的崗位工作任務進行分析，歸納出行業(yè)實踐中的各種信息安全人才的職務類型及技能需求，以此為基準構建出一套能承擔相應信息安全類課程實訓任務的實用型信息安全實訓平臺。

1 DACUM方法簡介

DACUM（Developing A Curriculum）是一種分析和確定職業(yè)崗位所需能力的職業(yè)分析方法[3]，目前廣泛應用于許多國家的職教領域。DACUM方法以采取職業(yè)分析研討會為主要形式[4]，采用頭腦風暴技術，開展分析工作，并將結果形成行業(yè)工作者職責和任務的圖表，用于課程開發(fā)、教學設計、測驗開發(fā)、工作描述、績效評價、組織開發(fā)和其他目的。國外高職課程研究實踐已經(jīng)證明，任務模式是職業(yè)教育課程門類劃分及開發(fā)的最佳選擇，工作任務分析是其課程開發(fā)的基礎。而在眾多的工作任務分析方法中，DACUM法最為行之有效，其主要優(yōu)勢在與：1）使畢業(yè)生更符合用人單位要求；2）通過校企協(xié)同開發(fā)課程促進校企深度合作；3）課程內容篩選貼近崗位實際需要；4）能經(jīng)濟、合理、快速、高質量地確定學生培養(yǎng)目標，實行工學結合的人才培養(yǎng)模式。

從本質上看，DACUM是一種課程開發(fā)方法[5]，將此方法應用到實訓課程開發(fā)中，更能使實訓內容的安排貼近于工作中的真實案例[6]，從而給實訓室的建設提供了強而有力的依據(jù)。因此，我們完全可以把DACUM法對工作任務分析的結果作為構建高職課程實訓室的工作基礎。

2基于DACUM的崗位工作任務分析

按照DACUM的課程開發(fā)流程，首先從信息安全相關企業(yè)的工作現(xiàn)場選聘10~12名優(yōu)秀工作人員組成本行業(yè)的DACUM專家委員會；由DACUM會議主持人向委員會各成員介紹DACUM法，使其對該方法有充分的了解；用1~2天時間，在DACUM會議主持人的協(xié)調下集中運用頭腦風暴法，分析相應崗位所需要的工作任務模塊，制定DACUM表，進而對工作任務模塊所需要的知識、技能和態(tài)度進行分析。經(jīng)DACUM委員會反復論證和分析得出崗位工作任務分析表（DACUM表）如表1所示。

表1信息安全專業(yè)崗位工作任務分析表

3實訓模塊及實訓室設計

根據(jù)DACUM委員會討論分析得出的工作任務分析表，擬定出信息安全范疇的實訓教學內容，并組織成以下的實訓模塊及各模塊的實訓項目：

3.1主機安全模塊

主機安全是計算機領域最后，也可以說是最前端的安全節(jié)點。無論是主機本身遭遇攻擊，或病毒破壞造成損失，還是成為傀儡主機對其他機器或網(wǎng)絡造成破壞和影響，并最終形成損失等問題，都是日常網(wǎng)絡安全工作中隨時會遇到的[7]。因此有必要針對各種主機安全問題設立相關的實訓項目如下：Windows訪問權限管理；Windows活動目錄安全；Windows文件系統(tǒng)安全；Windows本地安全策略；系統(tǒng)安全審計；防火墻的安裝與使用；系統(tǒng)服務安全與防御；Linux系統(tǒng)安全防護；Linux文件系統(tǒng)訪問安全；Linux網(wǎng)絡訪問權限安全控制；數(shù)據(jù)庫安全。此模塊的實驗都可以在一到兩臺接入到網(wǎng)絡的計算機上完成，因此適合多人、多組同時進行。

3.2網(wǎng)絡攻防模塊

網(wǎng)絡攻防技術主要用于保障合法用戶正常使用網(wǎng)絡資源，避免受到病毒、拒絕服務、遠程控制和非授權訪問等安全威脅，及時發(fā)現(xiàn)安全漏洞，制止攻擊行為等[8]。將網(wǎng)絡攻防模塊的工作任務細化后，得出如下實訓項目：arp欺騙攻擊與防范；ip源地址欺騙與防范；icmp路由重定向攻擊與防范；拒絕服務攻擊與防御；會話劫持攻擊與防御；漏洞掃描工具實訓；端口掃描技術實訓；網(wǎng)絡嗅探的檢測與防范；網(wǎng)絡協(xié)議分析工具使用；網(wǎng)絡防火墻的使用；Windows下snort入侵檢測系統(tǒng)的使用；Dos/DDos攻擊與防范；緩沖區(qū)溢出攻擊防御；網(wǎng)頁木馬的檢測與防御；網(wǎng)絡釣魚攻擊的防范；惡意代碼分析實訓；sql注入攻擊防范。

根據(jù)實訓模塊及項目的需要，建立網(wǎng)絡攻防實訓室。該實訓室是一個真實的網(wǎng)絡攻擊和防御的環(huán)境，以B/S架構的攻防實訓室系統(tǒng)為基礎。該系統(tǒng)中集成了實訓項目相對應的網(wǎng)絡攻擊和網(wǎng)絡防御的工具，學生能在系統(tǒng)中根據(jù)所學的內容選擇相應的工具來實踐，從而使學生更好理解、學習課程，達到學以致用的目的。出于對審計功能的需求，實訓室設置了RDP監(jiān)控，用于錄制實驗用機在攻擊服務器上的使用情況，便于監(jiān)督者查看實驗機的操作記錄，也方便學生自己復習課程工具的使用。網(wǎng)絡攻防實訓室的架構圖如圖1所示。

圖1網(wǎng)絡攻防實訓室架構

3.3病毒防治模塊

計算機病毒被明確定義為：編制或在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼[9]。在今天，計算機病毒已經(jīng)成為影響信息系統(tǒng)安全最嚴重的因素之一。目前防治病毒的方法除了保證防病毒軟件的及時更新外，還可以從操作系統(tǒng)、微處理器的角度出發(fā)來提高計算機的防病毒能力[10]。因此，該實訓模塊以計算機病毒的基本知識為基礎，以病毒行為分析、病毒源碼分析、病毒清除和病毒防治為主線，設置了如下的實訓項目：病毒傳播技術解析與演示；病毒自啟動技術剖析；病毒破壞行為分析；病毒診斷工具應用（filemon、rootkit、process explorer等工具）；病毒文件分析技術應用；病毒問題常用處理技術應用；病毒防護解決方案綜合構建；反病毒程序實訓。

為適應計算機病毒防護實訓的需求，構建一個安全的計算機病毒防御實訓室，在實訓室教學網(wǎng)絡的關鍵節(jié)點，如中心交換機，須部署防火墻及防病毒網(wǎng)關，此兩者合稱防病毒網(wǎng)墻，以防御來自各網(wǎng)段及外網(wǎng)的病毒攻擊。在實際應用中，防病毒網(wǎng)關的作用在于對監(jiān)控的協(xié)議通訊中所帶文件是否含有特定的病毒特征，其并不能像防火墻一樣阻止攻擊的發(fā)生，也不能防止蠕蟲型病毒的侵擾，相反，防病毒網(wǎng)關本身或所在的系統(tǒng)有可能成為網(wǎng)絡入侵的目標，而這一切的保護，必須由防火墻完成。因此，可以說兩者是互補關系。另外，針對每個網(wǎng)段安裝一個網(wǎng)絡行為審計系統(tǒng)，以監(jiān)控該網(wǎng)段中所有實訓計算機的任何操作信息。為更好地配合實訓教學，建立配套的病毒檢測中心和病毒產(chǎn)品測試中心。計算機病毒防御實訓室網(wǎng)絡如圖2所示。

3.4容災備份模塊

容災和備份是存儲安全領域的兩個極其重要的組成部分，其目的都是保護數(shù)據(jù)。一般情況下，備份多采用磁帶方式，性能和成本都比較低，容災采用磁盤方式，數(shù)據(jù)隨時在線，性能和成本都比較高。容災備份就是通過特定的容災機制，在各種災難損害突然發(fā)生后仍能最大限度地為用戶提供正常應用服務的信息系統(tǒng)。該模塊設置如下實訓項目：Windows系統(tǒng)自帶備份工具的使用；文檔資料的備份與恢；FAT文件系統(tǒng)的文件修復；NTFS文件系統(tǒng)的文件修復；磁盤陣列數(shù)據(jù)恢復；常用數(shù)據(jù)恢復軟件的使用（finaldata、easyRecovery）；注冊表的恢復；系統(tǒng)密碼遺失的處理；數(shù)據(jù)庫的備份與恢復等。該模塊的實訓室建設重點在于能夠面向市場進行數(shù)據(jù)恢復的服務。核心設備包括：PC-3000、硬盤數(shù)據(jù)拷貝機、磁盤陣列系統(tǒng)等。

3.5密碼技術應用模塊

密碼學作為實現(xiàn)網(wǎng)絡信息安全的核心技術，在保障網(wǎng)絡信息安全的應用中具有重要意義[11]。該實訓模塊的目的是使學生在學習密碼學理論知識的同時，能夠通過上機實踐，來驗證、鞏固課堂講授的各種對稱密碼算法、公鑰密碼算法、HASH算法以及密碼學在網(wǎng)絡安全中的應用；掌握利用編程語言實現(xiàn)對文件的加解密；能綜合運用密碼學知識設計實現(xiàn)文件的安全傳輸；能夠運用PGP軟件實現(xiàn)保密性、完整性、認證性和不可否認性等安全服務；掌握Windows下的證書服務的使用。該模塊設置實訓項目如下：古典密碼的編程實現(xiàn)；對稱密碼算法DES和AES的編程實現(xiàn)；非對稱密碼算法RSA的編程實現(xiàn)；Hash算法MD5/SHA的編程實現(xiàn)；文件加解密的編程實現(xiàn)；文件安全傳輸方式的設計與實現(xiàn)；PGP軟件的應用；PKI技術應用（Windows證書服務的設置）。

3.6信息安全產(chǎn)品配置與應用模塊

信息安全最基本的防護手段是以防火墻、入侵檢測產(chǎn)品為代表的信息安全產(chǎn)品構建的綜合防御體系[12]。信息安全產(chǎn)品已經(jīng)成為政府、金融和其他企事業(yè)單位信息化推進的基本硬件保障，市場對信息安全產(chǎn)品的需求日益增長。與此同時，信息安全廠商、信息系統(tǒng)集成商和信息系統(tǒng)運營商對對信息安全產(chǎn)品工程師（產(chǎn)品銷售工程師、產(chǎn)品維護工程師和產(chǎn)品技術支持工程師）需求也日趨迫切。本模塊以培養(yǎng)信息安全產(chǎn)品技術支持和技術服務的專業(yè)人員為宗旨，以防火墻、入侵檢測等核心信息安全產(chǎn)品應用為載體，培養(yǎng)學生掌握信息安全領域常用產(chǎn)品的配置及應用和產(chǎn)品的部署方案，提高學生的信息安全綜合防御能力。開設以下實訓項目：防火墻產(chǎn)品的部署和設備配置；VPN產(chǎn)品的部署和設備配置；入侵檢測產(chǎn)品的部署和設備配置；網(wǎng)絡隔離產(chǎn)品的部署和設備配置；安全審計產(chǎn)品的部署和配置；存儲系統(tǒng)方案設計及設備配置；數(shù)據(jù)備份軟件的部署與配置；防病毒網(wǎng)關產(chǎn)品的部署和設備配置。

信息安全產(chǎn)品配置與應用實訓室的設計如圖3所示。該實訓室設有教學及實驗機管理區(qū)，以實現(xiàn)對所有實驗機的集中化管理和教學過程的控制；建立10組實訓操作平臺，每組中涵蓋路由器、交換機、防火墻、IDS、VPN等網(wǎng)絡信息安全主流產(chǎn)品，以承擔上述項目的學生實訓。

4結束語

通過工作任務分析及多層次的信息安全實訓室建設，為學生提供了模塊化、開放性、綜合性、實踐性的信息安全實訓教學，使學生理論基礎知識更為扎實，動手實踐能力和創(chuàng)新能力得到提高，同時解決了信息安全實訓教學中遇到的各種問題，在信息安全系列課程的實訓教學中具有廣泛的推廣價值。

參考文獻：

[1]梁志標,梁平枝.高職院校網(wǎng)絡安全實訓室建設探索[J].中國科技信息,2011(6):169-170.

[2]鐘平,王會林.高校網(wǎng)絡安全實驗室建設探索[J].實驗室科學,2010(13):122-124.

[3]海南.基于DACUM法的高職頂崗實習項目課程開發(fā)——以北京政法職業(yè)學院為例[J].北京工業(yè)職業(yè)技術學院學報,2011(7):103-108.

[4]鮑潔,高林,趙楠.高職課程開發(fā)中職業(yè)分析方法研究與實踐[J].職教論壇,2010,27:4-7.

[5]孫潔.高職計算機專業(yè)人才培養(yǎng)定位與課程設置柔性管理[J].云南電大學報,2010,12（3）：27-28.

[6]崔奎勇.用CBE/DACUM開發(fā)微機組裝與維護技能教學的研究[J].電腦知識與技術，2007,8:1464-1465,1476.

[7]唐海濤,孟繁二,孫聰,等.網(wǎng)絡與信息安全實驗教學平臺的構建[J].實驗技術與管理,2010(9):118-120.

[8]科瑞奧.Snort入侵檢測使用解決方案[M].北京：機械工業(yè)出版社,2005.

[9]李治國.計算機病毒防治使用教程[M].北京：機械工業(yè)出版社,2010.