基于DACUM的高职信息安全实训室设计|实训室信息安全
摘 要:本文以DACUM职业分析方法为依据,以职业岗位的工作任务分析为技术手段,抽取出信息安全行业的典型工作任务,在此基础上制定出一套满足行业对信息安全人才需求的高职信息安全课程实训模块和实训室设计方案。
关键词:DACUM 职业分析 信息安全
中图分类号:G71 文献标识码:A 文章编号:1672-3791(2012)05(a)-0227-03
信息安全是一门实践性很强的学科,高职院校作为实践性人才培养基地,理所当然地承担起培养信息安全人才这一重任。然而,目前大部分高校的信息安全系列课程都偏重于理论教学,而实践教学相对滞后[1]。因此,建立一个符合信息安全专业人才培养方案的信息安全实训室,对于满足社会对信息安全人才的需求有着举足轻重的意义。要使信息安全实训室的建设服务于信息安全行业本身,则必须首先从信息安全行业的职业构成进行分析,归纳出行业实践中的各种信息安全人才的职务类型及技能需求,以此为基准构建出一套能承担相应信息安全类课程实训任务的实用型信息安全实训体系。
1 DACUM职业分析方法简介
职业分析作为一种能够确认、定义和描述各种职业或工作所含任务极其构成要素的科学分析过程[2],可以使我们充分了解到构成任一职业的主要活动内容及支撑该职业的必要条件。因此,我们完全可以把职业分析的结果作为构建高职课程实训室的工作基础和活动依据。在进行职业分析的过程中,选择一套行之有效的方法尤为重要。
DACUM(Developing A Curriculum)是目前广泛应用于许多国家的职教领域的一种有效的职业分析方法。DACUM方法以采取职业分析研讨会为主要形式,主要工作程序有:确定职业名称和内容、分析能力领域、确定单项能力、排序能力领域和单项能力、确定能力操作评定等级、完成能力图表制作等[3]。与其他职业分析方法相比,DAC UM具有分析结果简明扼要、分析周期短、分析成本低、促进职教部门同产业社会联系等优势。
从本质上看,DACUM是一种课程开发方法[4],将此方法应用到实训课程开发中,更能使实训内容的安排贴近于工作中的真实案例,从而给实训室的建设提供了强而有力的依据。
2 利用DACUM进行职业岗位分析
2.1 DACUM的实施条件
DACUM必须在以下四个前提条件都满足的情况下才能实施:(1)必须拥有一定数量的行业专家,他们了解所从事职业的工作过程和工作内容;(2)必须熟悉DACUM方法和过程的DACUM主持人;(3)被分析的职业或工作必须能被分解成独立的工作项目,以便行业专家对其进行描述和定义;(4)作业项目必须包含所有能使从业人员开展工作的知识、技能和态度。
2.2 职业岗位和工作任务分析
信息安全相关专业主要面向各类企事业单位、政府机关以及IT行业,培养德、智、体、美全面发展,具有良好的综合素质和信息安全基本理论知识,掌握网络安全产品的安装与调试、数据库的安全管理、网络的病毒防范、网站的安全管理、防火墙安全策略制定与配置、安全风险评估与检测、IT取证分析等基本技术,能够在各类企事业单位、政府机关从事计算机网络安全管理员、数据恢复工程师、网络管理员、信息安全工程师、电子政务师、电子商务师等岗位的工作,也能在IT企业从事网络安全产品营销和技术服务工作的高素质技能型专门人才。按照DACUM的课程开发流程,首先从信息安全相关企业的工作现场选聘10~12名优秀工作人员组成本行业的DACUM专家委员会;由DACUM会议主持人向委员会各成员介绍DACUM法,使其对该方法有充分的了解;用1~2天时间,在DACUM会议主持人的协调下集中运用头脑风暴法,分析相应岗位所需要的工作任务模块,制定DACUM表,进而对工作任务模块所需要的知识、技能和态度进行分析。经DACUM委员会反复论证和分析得出岗位工作任务分析表(DACUM表)如表1所示。
3 实训模块设计
根据DACUM委员会讨论分析得出的岗位工作任务分析表,从中筛选出信息安全范畴中的典型工作任务,拟定出信息安全专业的实训教学内容,并组织成主机安全、网络攻防、病毒防治、容灾备份、密码技术应用、信息安全产品配置与应用等实训模块。对各模块中的典型工作任务进行分析、细化,转化为如表2所示的实训项目。
4 实训室设计
为提高学生实训积极性,实训过程采用小组进行实验,同时利用大量黑客软件、攻击软件进行攻击,利用防火墙、路由器、入侵检测系统、安全扫描系统、监控审计系统、防病毒系统、交换机安全控制等来防御攻击,模拟完成真正的信息安全实战,让学生快速地感受真正的工作环境。
为配合信息安全各实训模块教学的实施,将信息安全实训室划分成3个区域(如图1所示):边界安全及管理区、内网保护区、终端安全区。
4.1 边界安全及管理区
针对实训室的边界安全问题,在实训室网络的边界上需构建边界安全网关。防火墙和入侵检测系统是边界网关中最重要的两类设备。防火墙作为边界网络的第一道防线,可抵御最常见的攻击,它根据计算机内外信息访问协议和连接状态来检测数据包。如果数据包匹配允许进入连接的协议,或者数据包是一个已建立外出连接的一部份,防火墙将允许数据包通过。任何隐藏在一个允许协议和外出连接的恶意代码都将被防火墙检测。除需要设置一系列防火墙规则之外,还需考虑使用入侵检测系统以降低网络被入侵的风险和实现入侵的识别。入侵检测系统根据内置的已知攻击特征码使用一种或3种以上基本技术来检测入侵者:包检测,策略设置和模块分析。同时,在该区域中设置教师机以实现对所有实验机的集中化管理和教学过程的控制。
4.2 内网保护区
在网络边界上部署相应的边界安全设备后,虽然可以从一定程度上防止外界威胁,但不能对内网进行有效监控。对内网安全的需求主要集中以下几个方面:网络资源的非授权使用和授权滥用、终端计算机自身的安全漏洞修补、外设和移动介质的使用导致的信息泄密、外来计算机随意接入增加内网安全的不可控性、内部计算机非法连接互联网可能为外部攻击提供通路等。针对以上需求,在内网保护区部署安全扫描系统和监控审计系统。安全扫描体统与防火墙、入侵检测系统互相配合,能有效提高网络的安全性。通过对网络的扫描,管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级,可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范。监控审计系统实时对使用者访问Internet的行为,如IP访问、Web访问、网页表单、邮件收发、即时通信内容、网络会话、用户即时流量等进行实时监控。管理员可以通过浏览器实时查看用户当前的上网情况,了解网络目前应用状况,对网络出现的异常情况及时控制和调整,保障网络正常运行。
4.3 终端安全区
为开展主机安全及信息安全等级保护相关实训,对各台实验机统一安装移动存储介质安全管理系统及防病毒软件。利用移动存储介质安全管理系统,模拟企业应用中对移动存储介质中敏感信息、秘密数据和档案资料的安全保护工作。该系统提供对移动存储介质从注册、使用到回收整个过程的管理和控制。借助于注册授权、身份验证、密级识别、透明加解密等手段对存储介质实施安全保护。防病毒系统结合相应的存储介质访问控制机制,有效防止通过数据交换感染和传播病毒,从而实现终端的安全保护。
整个实训环境不但能满足目前信息安全技术实验室需要,而且后期可以进行平滑升级,通过添加部分网络设备和模块来组建更为复杂的信息安全实训室,为学生提供更多的实训内容,实现更复杂的信息安全实验。
5 结语
建设一个满足信息安全行业需求的实训教学体系是培养合格信息安全人才的关键之一。本文以DACUM职业分析方法为基础,所讨论的信息安全实训模块设置和实训室设计是对信息安全实训教学和实训室建设的改革和创新的一种尝试。
参考文献
[1] 钟平,王会林.高校网络安全实验室建设探索[J].实验室科学,2010,13:122~124.
[2] 胡苏宁.DACUM—— 职业分析的有效方法[J].职业技术教育,1990,4:44~46.
[3] 鲍洁,高林,赵楠.高职课程开发中职业分析方法研究与实践[J].职教论坛,2010,27:4~7.
[4] 孙洁.高职计算机专业人才培养定位与课程设置柔性管理[J].云南电大学报,2010,12(3):27~28.