摘要:本文提出突破传统的实验教学模式是提高教学质量的关键,将理论性强、比较枯燥、不容易理解的专业课通过“理论-实验-互动”的教学方法提高学生自主学习的积极性,激发和培养有创意的人才。文中以访问控制技术为例阐述实践教学是培养学生创新能力的关键。
关键词:信息安全;访问控制技术;实验教学
中图分类号:G642文献标识码:B
文章编号:1672-5913 (2007) 24-0037-03
信息安全专业的实验教学是本专业教学的一个突出环节,很多课程都是以实验教学为基础。作为实践性强和应用性广泛的专业课程,实验环节显得尤为重要。现代实验教学的主要目的不仅仅是“理论验证和掌握实际技能”,更重要的是培养学生的应变和创意能力,也是学生树立正确人生观和价值观的重要途径。访问控制技术作为网络安全的关键技术,是主流网络安全产品采用的重要技术之一。本文针对信息安全专业的本科生,就在实验教学中如何使学生更好地理解和掌握访问控制技术、调动学习的积极性和主动参与的热情等方面进行探讨。
1定位专业培养目标是社会需求和学科发展的基础
信息安全专业是计算机、通信工程、数学等领域的交叉学科,它是一门理论性强、应用广泛、知识面宽和涉及多领域的新兴学科。对于这一新兴学科的实验教学模式和课程设置,各高校普遍缺乏经验。从根本上讲,我们应该认清专业类型方面的差别,如:计算机工程专业方向和软件工程专业方向是一种工程型培养模式,其培养目标是工程师;信息技术与安全(信息安全)专业方向则是一种应用型培养模式,其培养目标是有创意、设计型人才。这些专业在知识结构、能力要求、工作方法等方面都有较大的差别,要适应新学科的发展和突出信息安全专业的特性,就要在实验教学环节进行改革,突出实验教学的创新特点。实验教学改革应从以下几个方面考虑:
1.1因地制宜定位专业特色
北京工业大学计算机学院如何体现这个新专业的特色?首先,我们必须确定专业方向和培养规格,其特色应该以本学院的优势学科来做支撑点,培养目标应该由与自身相适应的社会人才需求类型来定位(主导类型);将学科优势作为支撑点和主导类型结合在一起,构成该专业的特色。其次,专业的特色还要与办学条件和地域人才需求相关。办学条件主要涉及师资和实验条件,它是人才培养的基础;地域人才需求主要涉及学生的出路,它是人才培养的目标。
1.2社会需求定位专业特色
北京工业大学肩负着为北京市经济发展建设培养和输送方方面面具有创新意识的应用技术型人才的重担,因此,专业教学内容是培养的关键。专业实验教学应该综合现代科技发展的新知识、新技术和新教学方法,选择应用性强、具有先进性、代表性和方向性的实验来激发学生的求知欲,培养学生综合把握和运用学科知识和方法的能力。
2突破传统的实验教学模式是提高教学质量的关键
信息安全学科是理论性强、比较枯燥、不容易理解但又非常实用的学科。如何调动学生学习的积极性和主动性,以实用性强和应用广泛的经典实例为实验教学的基础,加大实验环节显得尤为重要。教师在教学中采取了“理论-实践-互动”开放实验教学的方式,在讲授理论知识的同时将实验内容及时插入到教学中,进一步提高和巩固理论知识。我们以其中一个实验为例来阐述如何在实验教学中培养学生的创新能力。实验内容为访问控制技术,因为随着信息化建设的深入,各种互联网的应用不断增多,安全的需求也日新月异。目前网络访问控制技术主要解决的是网络安全方面的问题(防火墙也是网络安全应用中必不可少的安全设备) ,随着网络技术的发展和网络应用的普及,加强网络安全管理、防范入侵和攻击的同时提出了一个新的课题:如何净化网络空间,更好地运用访问控制技术。因此我们在实验教学内容设计时将网络访问控制技术作为实验教学中的重要内容之一。
2.1实验理论内容
(1) 访问控制策略
访问控制技术是网络安全的关键技术,是实现数据保护的有效手段。在30多年的发展过程中,先后出现了多种重要的访问控制技术策略:如自主访问控制(discretionary access control,简称DAC)、强制访问控制(mandatory access control,简称MAC)和基于角色访问控制(role-based access control,简称RBAC),它们的基本目的都是防止非法用户进入系统和合法用户对系统资源的非法使用,是保证信息安全和数据完整性的关键技术。
(2) 访问控制列表ACL
自主访问控制(DAC)是目前计算机系统中实现最多的访问控制机制,访问控制列表(access control list,简称ACL)是实现自主访问控制最好的方法。ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息,如源地址、目的地址、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。访问控制系统通过检测ACL来决定访问是否被授权或被拒绝。
(3) 标准ACL
ACL分很多种:如标准ACL、扩展ACL和命名ACL。标准ACL最简单,是通过使用IP包中的地址进行过滤,作为控制网络流量的手段,表号范围1~99或1300~1999。
2.2实验内容
A) 本实验按照拓扑图在八台PC机和三台路由器端口上配置IP地址及相应的网关;在三台路由器上配置路由协议并保证各子网间、路由器间的连通性,实验拓扑图如图1所示。
B) 本实验拒绝PC1、PC2、PC3所在网段访问路由器R2,拒绝PC4、PC5、PC6所在网段访问路由器R1,同时允许R1和R2子网的PC能从路由器R3网段的FTP服务器server上下载文件,但不能上传文件,而且不能访问PC7。
C) 网络路由协议采用EIGRP协议。
图1 实验拓扑图
2.3实验目的
学会使用ACL作为控制网络流量的手段,并了解ACL是如何用做安全解决方案的一部分。
2.4实验要求及环境(硬件设备)
A) 4人一组,自己连接实验物理环境;
B) 每组一个实验平台(实验平台内有Cisco 25 系列路由器5台;Cisco T2950-24型交换机2台);集线器一个;568B、568A网线缆若干;PC机数量随意。
2.5实验中的技术要点
A) 访问控制列表表项的检查按自上而下的顺序进行,并且从第一个表项开始,所以必须考虑在访问控制列表中定义语句的次序;
B) 路由器不对自身产生的IP数据包进行过滤;
C) 每一个路由器接口的每一个方向,每一种协议只能创建一个ACL;
D) 当控制一种应用协议时,不能采用标准ACL,而应使用扩展ACL。
在本次实验中采用了“理论—实践—互动”式的教学方式,先由教师讲授ACL的使用方法,标准ACL和扩展ACL的区别等关键点,然后由学生完成实验。这种教学方式激发了学生的学习兴趣,课堂气氛非常活跃,学生自己连接物理实验环境,共同讨论设计方案,按照不同的分工完成自己的一份任务,最后统一调试和验证。如果哪个部分出现了问题,全组的同学一起排查找原因或者与老师讨论请教。教师与学生交流互动的气氛异常活跃和谐。教师下到各个实验小组与学生交流讨论,整个实验过程没有一个闲置的学生。老师与学生、学生与学生、同组与异组之间讨论非常热烈。学生经历了失败和挫折,信心始终不减直到最后圆满完成实验。学生们说“没上安全专业实验之前,从来没见过路由器和交换机,更没有想到能人手一台Cisco路由器,自己连接物理实验环境、自己配置路由器,实验内容既实际又应用广泛,非常贴近现实生活很有意义,更重要的是理论课没有弄明白或模糊的地方通过实践都明白了”。这次实验突破传统的实验教学模式,使教师和学生的距离拉近,更利于教学效果。
3结束语
随着国家信息化步伐的加快高等教育规模不断发展和扩充,信息安全专业实验教学应该综合现代科技发展的新知识、新技术和新实验教学方法,突破传统的实验教学模式是提高教学质量的关键。激发和培养有创意的人才是社会需求和专业发展的动力,适应社会的需求是高校培养人才的根本目标。
参考文献
[1] 林闯,封富君,李俊山. 新型网络环境下的访问控制技术[J]. 软件学报,2007,18(4):955-966.
[2] 石幼生,赖英旭. 计算机网络实验室建设与实验教学的探讨[J]. 中国现代教育装备,2006,(8):29-30.
[3] Cisco安全PIX防火墙(第二版)[M]. 北京:人民邮电出版社.
作者简介
赖英旭(1973-),女,副教授,研究方向为信息安全。
联系方式:北京工业大学计算机学院信息安全系,100022
E-mail:laiyingxu@bjut.edu.cn
TEL:13439195095
北京工业大学教改资助项目(007000514108)