《操作系统安全加固》 教案 模块4-任务4 日志排查.docx

PAGE7

授课班级

XXXX

课次

XX

课时

2

教材

操作系统安全加固

教学内容

本课题教学内容选自《操作系统安全加固》

模块二：日志管理

任务4：日志排查

本次课主要教学内容围绕着国家计算机信息系统等级保护条例中对操作系统的通用技术要求的相关管理条例展开：具体包括能导出日志，分析日志，及时发现系统的安全风险，养成良好的安全意识和防护习惯。

学情分析

授课对象是网络信息安全专业二年级学生。

知识水平：

熟悉Windows的日志管理；

熟悉Linux的日志管理；

技能水平：

1.能Windows的日志管理器进行导入、导出、与筛选

2.能使用Linux相关命令对Linux日志进行分析筛选

认知习惯：

1.学生对理论知识理解较慢，但实践操作能力强；

2.学生不善于预习和归纳总结，对理论知识兴趣缺乏，对技术学习缺乏精益求精的精神。

教学

目标

知识目标：

识记Windows日志的操作方法；

识记Linux日志的分析方法；

技能目标：

能分析Windows日志，找出系统异常情况；

能分析Linux日志，找出系统异常情况；

素养目标：

1.提高学生信息安全操作意识；

2.引导学生遵守网络安全法等法律法规；

3.培养学生养成良好的网络安全防护习惯。

教学

重点

日志的分析思路

教学

难点

初步建立日志的分析思路

教学方法

基于企业OKR目标管理、采用任务驱动教学法，以网络系统安全管理员依照国家计算机信息系统等级保护条例的要求开展工作为任务场景，通过学习分析日志，掌握通过日志发现问题、定位问题的方法，做好系统安全加固的网络安全防线。

在教学过程中采用问题引导法和分组讨论法，培养学生思考问题、解决问题的能力并提高学生的学习兴趣。

教学资源及教学环境

教材：《操作系统安全加固》

教学媒体：主流配置计算机35台（置有Centos7虚拟机）；局域网络；极域教学系统软件。

教学场景设计：

教学过程

教学

环节

教学内容及步骤

教师活动

学生活动

设计意图

课前

（预习新知）

1.回顾日志的操作

2.观看日志分析案例

1.发布有关日志分析的案例视频

1.课前观看文件的视频

1.回顾之前的基础知识，为学习新知做准备。

课中

（课中预习小测试）

课前小测试

1.发布测试题

1.学生测试

1．教师掌握学生自主学习的情况，方便课中调整

评价课前预习情况

1．教师展示课前测试情况

2．评价学生情况

1．学生认真听教师小结

1．学生了解自主学习中的不足，建立自信，提升学生的兴趣

课中

情境创设

导入背景

导入任务背景：

公司依据网络等级保护三级对于日志管理的要求：“应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容”。为了记录和查看企业用户操作系统的日志，除了行政管理要求外，管理员还需要掌握对系统日志审计操作，从而及时发现可能存在的异常情况，做好系统的安全防护工作。为此，公司管理员需要完成以下运维工作：

排查Windows日志。

排查Linux日志。

导入任务背景，启发学生思考。

思考下一步的工作任务。

将工作场景转化为教学场景，使学生在教学过程中真实体验并深刻理解等保相关规范，培养学生职业安全素养。

课中

教学活动一：

排查Windows系统日志

根据安全管理要求，提出任务：

公司的WINDOWS服务器前天晚上突然服务有所异常，现经安全运维人员紧急处理，将服务器断网后，经过仔细排查，发现有帐号的登录，将服务器的日志已经导出带回。现要求安全技术人员对系统日志进行审计，要求如下：

攻击者是用什么手段进行渗透入侵？

分析一下攻击者，用什么方式登录到当前主机的

登录后做了什么？

提出任务，启发学生思考

学生思考

解读企业安全管理中的对应用服务的通用安全要求，并提出具体任务，使学生明确任务要求和安全管理关系，培养学生的操作规范意识，提高学生的安全职业素养。

分析任务：

开展讨论，明确任务要求和任务目的：

提出问题：要找出恶意者做了什么，分析日志的步骤是什么？

提问、设疑：

设问：对于一份日志，我们应该是按怎么步骤进行分析

提示：先初步浏览再对问题精细定位

1.回答教师提问；

2.认真听讲，

记录要点，明确要求

通过问题引导式教学法，让学生了解任务单的设计意图，理解应用服务加固的第一要点

组织学生讨论

由学生讨论出:

分析的方法：先粗后细

教师组织学生讨论与展示

学生讨论

通过讨论得到结论

评价1：

评价学生的讨论结果

教师评价

学生互评

增加学生自信，学会在讨论中思考

明确任务步骤：

1.先初步浏览，发现不同的日志区间

2.筛选可疑事件ID

3.确定可疑事件ID出现的时间段

4.按照最后的时间段，继续向下排查

5.定位异常事件

下发任务单，明确任务步骤

打开任务单，思考操作过程

明确任务步