信息技術(shù)-網(wǎng)絡(luò)搭建與信息安全教學設(shè)計 專題10 項目 2　應(yīng)用系統(tǒng)信息安全保護

項目2應(yīng)用系統(tǒng)信息安全保護項目2應(yīng)用系統(tǒng)信息安全保護教學設(shè)計一、教學目標素質(zhì)目標：培養(yǎng)學生嚴慎細實的職業(yè)素養(yǎng)，提升集體意識和團隊合作意識。知識目標：掌握保護應(yīng)用系統(tǒng)信息安全的方法；了解信息系統(tǒng)安全的檢測與安全加固。能力目標：能根據(jù)需求完成企業(yè)安全保護方案的設(shè)計；會利用工具探測系統(tǒng)信息并關(guān)閉非必要端口；能使用賬戶策略、關(guān)閉非必要服務(wù)、映射端口等技術(shù)手段安全加固系統(tǒng)。二、教學重難點教學重點：設(shè)計保護方案；探測系統(tǒng)信息；安全加固系統(tǒng)。教學難點：結(jié)合具體的項目需求制定實施方案，利用技術(shù)探測系統(tǒng)信息并加固安全防護。三、課時安排6課時四、教學策略教法：項目教學法、任務(wù)驅(qū)動法、講授法、演示法學法：自主探究學習法、討論法、小組合作學習法教學資源：多媒體教學設(shè)備、理實一體化實訓室、信息化教學平臺、配套教學課件教學過程教學環(huán)節(jié)教學設(shè)計設(shè)計意圖課前學習1.學習教師布置的課前學習任務(wù)。2.查閱資料，掌握保護應(yīng)用系統(tǒng)信息安全的方法；了解信息系統(tǒng)安全的檢測與安全加固。培養(yǎng)學生自主學習、創(chuàng)新學習能力。項目背景一家小型公司組建了網(wǎng)絡(luò)，并啟用了私有云存儲等應(yīng)用系統(tǒng)，為了保障信息安全，邀請小小所在公司對網(wǎng)絡(luò)進行安全保護，小小所在的項目組承接了該項目。設(shè)置貼近實際的項目，激發(fā)學生學習興趣，引入學習任務(wù)。項目分析一家小型公司組建了網(wǎng)絡(luò)，并啟用了私有云存儲等應(yīng)用系統(tǒng)，為了保障信息安全，邀請小小所在公司對網(wǎng)絡(luò)進行安全保護，小小所在的項目組承接了該項目。分析項目并形成項目結(jié)構(gòu)，培養(yǎng)學生分析歸納梳理信息的能力，培養(yǎng)結(jié)構(gòu)化處理事情的習慣。任務(wù)1設(shè)計保護方案教學過程教學環(huán)節(jié)教學設(shè)計設(shè)計意圖任務(wù)描述在項目中，調(diào)研了解客戶的真實需求，依此制訂出滿足客戶需求的規(guī)劃方案是項目工作的重中之重，本階段需要反復(fù)確認與溝通。直觀描述內(nèi)容，明確教學內(nèi)容，幫助學生抓住重點。任務(wù)分析信息安全保護，首先要確認安全需求;然后有針對性地制訂實施方案;最后為了保障實施方案的順利完成，還需要完善信息安全管理制度。任務(wù)路線如圖10-2-2所示。理清思路，養(yǎng)成學生有條理、合邏輯地開展工作的習慣，培養(yǎng)學生嚴謹細實的職業(yè)素養(yǎng)。任務(wù)實施成員按照擬定的任務(wù)線路實施任務(wù)。1.安全需求確認（1）實地勘察教師情景引入：小小項目組到小型公司實地勘察，了解了網(wǎng)絡(luò)設(shè)備、計算機、服務(wù)器等設(shè)備的部署情況，繪制了網(wǎng)絡(luò)拓撲圖。教師結(jié)合圖“10-2-3網(wǎng)絡(luò)拓撲圖”進行教學。（2）需求確認教師明確公司的功能需求：①外網(wǎng)用戶、內(nèi)網(wǎng)用戶均能訪問私有云存儲服務(wù)器。②保障私有云存儲服務(wù)器的安全。小提示：標準的網(wǎng)絡(luò)安全需求調(diào)研，要求制作需求調(diào)研表，并進行實地訪談，從現(xiàn)行系統(tǒng)、現(xiàn)行需求、未來需求及約束條件等多方面進行了解，最后對結(jié)果進行專業(yè)分析后確定客戶的真實需求，并獲得預(yù)算情況。本項目中做了簡化，有興趣的同學可以查閱相關(guān)資料了解。2.制定實施方案教師講解：通常建議企事業(yè)單位進行等級保護，按照自主定級、自主保護的原則，通過定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查5個階段構(gòu)建立體的防護系統(tǒng)，這需要借助專業(yè)的公司來實現(xiàn)。教師補充：網(wǎng)絡(luò)信息安全項目的實施方案，會根據(jù)公司的情況進行個性化定制，通常分為網(wǎng)絡(luò)安全防護、服務(wù)器安全防護、網(wǎng)絡(luò)與數(shù)據(jù)安全措施保障、規(guī)范管理等幾方面。在本項目中，根據(jù)需求重點采用技術(shù)手段進行應(yīng)用系統(tǒng)的防護，方案的主要防護技術(shù)手段如下：①通過本地掃描、遠程掃描的方式探測私有云存儲服務(wù)器，確定薄弱點，然后關(guān)閉非必要的端口。②采用設(shè)置賬戶策略、關(guān)閉非必要服務(wù)等技術(shù)手段加固私有云存儲服務(wù)器。③將私有云存儲服務(wù)器端口映射到公網(wǎng)，讓外網(wǎng)用戶也能訪問。結(jié)合圖“10-2-4方案效果拓撲圖”和表“10-2-1擬定的設(shè)備配置情況”進行教學。3.完善信息安全管理制度教師明確：因為該小型公司預(yù)算有限，不能購買防火墻、安全網(wǎng)關(guān)、入侵檢測系統(tǒng)等安全硬件設(shè)備，為了在有限的技術(shù)條件下實現(xiàn)更大的安全防護，保障業(yè)務(wù)的正常運行，將原有的網(wǎng)絡(luò)安全管理制度進行完善，完善后的網(wǎng)絡(luò)安全管理制度分3層。第一層為總則，第二層為具體的專項管理制度，第三層為操作手冊和行為規(guī)范。根據(jù)擬定的任務(wù)路線展開任務(wù)實施，教學路線清晰，教學內(nèi)容明確，幫助學生很好地掌握知識，同時鍛煉有條理地處理問題的能力。小提示補充了教學內(nèi)容，拓展學生認知，引導學生延伸課堂知識。引導學生認識信息安全的重要性，增強學生信息安全保護意識。強調(diào)制度化保護信息安全，增強學生的信息安全意識，保護信息安全的同時，也要遵守信息安全管理制度，自覺維護網(wǎng)絡(luò)安全。任務(wù)延伸調(diào)查學校網(wǎng)絡(luò)安全管理制度的相關(guān)類別和內(nèi)容，劃分小組做網(wǎng)絡(luò)調(diào)研，了解相關(guān)法律法規(guī)，制定班級網(wǎng)絡(luò)安全管理制度。啟發(fā)學生思考，培養(yǎng)學生知識運用于遷移的能力。任務(wù)2探測系統(tǒng)信息教學過程教學環(huán)節(jié)教學設(shè)計設(shè)計意圖任務(wù)描述信息安全保護方案設(shè)置好之后，需要進一步確定應(yīng)用服務(wù)器、內(nèi)網(wǎng)計算機等設(shè)備的安全狀況。直觀描述內(nèi)容，明確教學內(nèi)容，幫助學生抓住重點。任務(wù)分析要確定和排查信息安全風險，通常需要進行滲透測試，本任務(wù)中簡化流程，僅進行滲透測試中的信息收集，然后關(guān)閉非必要的端口。任務(wù)路線如圖10-2-5所示。理清思路，養(yǎng)成學生有條理、合邏輯地開展工作的習慣，培養(yǎng)學生嚴謹細實的職業(yè)素養(yǎng)。任務(wù)準備1.滲透測試教師講解：滲透測試是通過模擬惡意黑客攻擊的方法，來評估計算機網(wǎng)絡(luò)系統(tǒng)安全的一種評估方法。在滲透測試前應(yīng)該認真閱讀《中華人民共和國網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)，通常滲透測試的步驟有獲得授權(quán)、明確目標、信息收集、漏洞探測、漏洞驗證、信息分析、獲取所需、信息整理、形成報告。2.信息收集教師講解：信息收集是滲透測試的初期環(huán)節(jié)，目的是充分了解被滲透對象的信息，它分為被動信息收集、主動信息收集和主動掃描。信息收集常用工具有nmap、Zenmap、X-scan、Nessus流光等工具，其中Zenmap是nmap的圖形界面版本。任務(wù)準備環(huán)節(jié)幫助學生梳理后續(xù)教學需要的基礎(chǔ)知識，推動教學的有序開展。任務(wù)實施成員按照擬定的任務(wù)線路實施任務(wù)。1.部署服務(wù)器環(huán)境教師講解：按照任務(wù)1中的表10-2-1擬定的設(shè)備情況安裝內(nèi)網(wǎng)用戶計算機，并參考專題8項目2網(wǎng)絡(luò)云應(yīng)用系統(tǒng)搭建、部署私有云存儲服務(wù)器。2.收集系統(tǒng)信息（1）下載安裝Zenmap教師結(jié)合圖“10-2-6下載Zenmap”教學詳細的操作步驟。（2）掃描服務(wù)器教師結(jié)合圖“10-2-7掃描結(jié)果”和圖“10-2-8查看服務(wù)器開放的端口”教學詳細的操作步驟。3.關(guān)閉非必要的端口（1）分析開放端口結(jié)合表“10-2-2開放端口分析”教學詳細的操作步驟。（2）關(guān)閉端口結(jié)合圖“10-2-9打開‘高級安全WindowsDetender防火墻’對話框”、圖“10-2-10新建入站規(guī)則”和圖“10-2-11創(chuàng)建入站規(guī)則”教學關(guān)閉端口的操作步驟。（3）掃描服務(wù)器教師講解：在內(nèi)網(wǎng)用戶計算機上，先測試私有云存儲服務(wù)器的功能，確認能正常使用后，再次使用Zenmap掃描私有云存儲服務(wù)器，結(jié)果如圖10-2-12所示，關(guān)閉端口成功。教師詳細講解操作步驟，直觀演示操作過程，幫助學生學會實際操作，提升學生理論聯(lián)系實際的能力。教師講解與圖示教學相結(jié)合，直觀展示操作界面，讓學生真正學會操作。任務(wù)延伸1.想辦法使用高級安全WindowsDefender防火墻中的入站規(guī)則及出站規(guī)則，禁止QQ訪問網(wǎng)絡(luò)。⒉學習信息收集工具的相關(guān)知識，對網(wǎng)絡(luò)內(nèi)的其他計算機進行信息收集，理解端口與服務(wù)的對應(yīng)關(guān)系，同時分析可能產(chǎn)生的網(wǎng)絡(luò)信息安全風險，并在班上做交流。啟發(fā)學生思考，培養(yǎng)學生知識運用于遷移的能力。任務(wù)3安全加固系統(tǒng)教學過程教學環(huán)節(jié)教學設(shè)計設(shè)計意圖任務(wù)描述私有云存儲系統(tǒng)關(guān)閉了非必要的端口，減少了網(wǎng)絡(luò)信息安全風險，還需要進一步加固系統(tǒng),并讓外網(wǎng)用戶能使用。直觀描述內(nèi)容，明確教學內(nèi)容，幫助學生抓住重點。任務(wù)分析加固應(yīng)用系統(tǒng)的方法很多，從技術(shù)面上主要應(yīng)該設(shè)置賬戶策略，關(guān)閉非必要的協(xié)議及服務(wù)，最后根據(jù)需求將私有云存儲服務(wù)器映射到外網(wǎng)。任務(wù)路線如圖10-2-13所示。理清思路，養(yǎng)成學生有條理、合邏輯地開展工作的習慣，培養(yǎng)學生嚴謹細實的職業(yè)素養(yǎng)。任務(wù)準備1.安全加固教師講解：安全加固是指根據(jù)專業(yè)安全評估結(jié)果，制訂相應(yīng)的系統(tǒng)加固方案，通過打補丁、修改安全配置、增加安全機制等方法進行安全性加強。安全加固的對象有操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備策略、網(wǎng)絡(luò)架構(gòu)、數(shù)據(jù)庫、應(yīng)用軟件等。2.端口映射教師講解：端口映射可以將內(nèi)網(wǎng)的地址翻譯成外網(wǎng)地址，當內(nèi)網(wǎng)的服務(wù)器需要對外網(wǎng)提供服務(wù)或接收數(shù)據(jù)時，都需要端口映射。外網(wǎng)通過訪問這個翻譯出來的外網(wǎng)地址再訪問內(nèi)網(wǎng)的服務(wù)器，能保障內(nèi)網(wǎng)服務(wù)器的安全。任務(wù)準備環(huán)節(jié)幫助學生梳理后續(xù)教學需要的基礎(chǔ)知識，推動教學的有序開展。任務(wù)實施成員按照擬定的任務(wù)線路實施任務(wù)。1.設(shè)置賬戶策略（1）定期清理賬戶教師結(jié)合圖“10-2-14禁用賬戶”教學定期清理賬戶的具體操作步驟。（2）賬戶密碼策略教師結(jié)合圖“10-2-15設(shè)置密碼策略”講解具體操作步驟。（3）賬戶登錄策略教師結(jié)合圖“10-2-16設(shè)置賬戶鎖定策略”進行教學。2.關(guān)閉非必要的協(xié)議及服務(wù)（1）關(guān)閉協(xié)議教師講解：禁用TCP/IP上的NetBIOS協(xié)議，可以關(guān)閉監(jiān)聽的UDP137、UDP138以及TCP139端口。雙擊“Internet協(xié)議版本4（TCP/IPv4)”，然后選擇“高級”選項卡，最后在“WINS”卡式菜單中進行如圖10-2-17所示的設(shè)置。（2）關(guān)閉服務(wù)教師講解：在任務(wù)欄搜索框中輸入關(guān)鍵字“服務(wù)”，在服務(wù)列表中右擊“TCP/IPNetBIOSHelper”服務(wù)，在彈出的快捷中選擇“停止”選項，如圖10-2-18所示。教師補充：其他還可以禁用的服務(wù)建議，結(jié)合表“10-2-3可禁用的服務(wù)建議”進行教學。3.映射端口教師講解：在主流的路由器、防火墻上均具有端口映射的功能，各個品牌的操作界面不同，但功能類似。登錄無線路由器，在“高級”選項卡中找到“端口映射”，這里將私有云存儲服務(wù)器的訪問端口8000，映射為外網(wǎng)的8001端口。結(jié)合圖“10-2-19設(shè)置路由器端口映射”進行教學。教師講解操作步驟，并以圖片的形式展示操作內(nèi)容，加深學生對教學內(nèi)容的理解。鍛煉學生的實際操作能力，提高學生的職業(yè)崗位水平。詳細的步驟教學讓學生真正學會操作。拓展延伸學習安全加固相關(guān)技術(shù)，嘗試從賬戶策略、文件權(quán)限、安全選項等多方面對自己的計算機進行安全加固，最后整理一套個人計算機安全加固策略，到班上進行分享。項目分享方案1：各工作團隊展示交流項目，談?wù)勛约旱男牡皿w會，并選派代表分享交流。方案2：由學生代表與指導教師組成項目評審組，各工作團隊制作匯報材料并進行答辯。團隊協(xié)作交流、分享自己的體會，增強學生的團隊精神。項目評價請根據(jù)項目完成情況填涂表10-2-4完成項目