姚罡

【摘 要】信息安全課程內(nèi)容涉及大量概念、理論體系、算法和協(xié)議，教學(xué)過程中應(yīng)考量如何將理論與實(shí)踐結(jié)合，實(shí)現(xiàn)理論到實(shí)踐應(yīng)用的自然過渡，由單純知識傳授轉(zhuǎn)移到重視能力培養(yǎng)上來。本文圍繞該問題討論了可行的實(shí)踐教學(xué)方法和改革實(shí)踐，達(dá)到提高學(xué)生學(xué)習(xí)自主性和創(chuàng)新能力的目的。

【關(guān)鍵詞】信息安全;實(shí)踐教學(xué);奪旗賽

中圖分類號： TP309-4 文獻(xiàn)標(biāo)識碼： A文章編號： 2095-2457（2019）21-0123-002

DOI：10.19694/j.cnki.issn2095-2457.2019.21.055

Research on the Practice Teaching Methods of Information Security

YAO Gang

（Department of Computer Science and Information security，Guilin University of Electronic Technology，

Guilin Guangxi 541004，China）

【Abstract】The information security course covers a large number of concepts，theoretical systems，algorithms and protocols.In the teaching process，the educators should consider how to combine theory with practice，and help students transiting from theory learning to practical application naturally，it is necessary to focus on develop students' ability，not just on knowledge teaching.In order to develop students' active learning and innovation ability，this paper discusses feasible teaching methods and reform practices in information security area.

【Key words】Information security;Practice teaching;Capture the flag

0 引言

信息安全課程涉及的知識點(diǎn)非常廣泛，如計(jì)算機(jī)體系結(jié)構(gòu)、操作系統(tǒng)、計(jì)算機(jī)網(wǎng)絡(luò)、數(shù)據(jù)庫、密碼學(xué)、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊等，這些內(nèi)容涵蓋成熟的理論及技術(shù)，又要?jiǎng)討B(tài)地應(yīng)對日新月異的實(shí)際安全問題，而實(shí)踐教學(xué)是鞏固理論知識和加深對理論認(rèn)識的有效途徑，那么對信息安全專業(yè)實(shí)踐教學(xué)進(jìn)行改革并付諸實(shí)踐，培養(yǎng)符合社會需求的信息安全人才是很有必要的。

1 信息安全專業(yè)實(shí)踐教學(xué)方法應(yīng)用

信息安全專業(yè)與計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)的課程體系相近，增加了信息安全相關(guān)的課程，這些課程的教學(xué)內(nèi)容與達(dá)成目標(biāo)具有特殊性，實(shí)踐環(huán)節(jié)的實(shí)施也對教學(xué)方法提出了新的要求。結(jié)合實(shí)際教學(xué)中的應(yīng)用，本文總結(jié)了信息安全專業(yè)實(shí)踐教學(xué)過程中有益的嘗試。

1.1 傳統(tǒng)教學(xué)方法

傳統(tǒng)教學(xué)方法在信息安全課堂教學(xué)中具有主導(dǎo)地位，應(yīng)用于信息安全專業(yè)理論教學(xué)中，如信息安全概論、密碼學(xué)及數(shù)學(xué)基礎(chǔ)、網(wǎng)絡(luò)協(xié)議分析、計(jì)算機(jī)病毒原理等，重點(diǎn)在于提高學(xué)生的基礎(chǔ)理論知識和通用技能，讓學(xué)生明晰不同課程知識點(diǎn)之間的貫通性，從更寬泛的角度去學(xué)習(xí)，具有安全研究素養(yǎng)，為日后的高層次學(xué)習(xí)和實(shí)踐能力培養(yǎng)打下堅(jiān)實(shí)基礎(chǔ)。

傳統(tǒng)教學(xué)方法注重教師課堂理論講解，在常規(guī)的理論和實(shí)驗(yàn)教學(xué)中，學(xué)生往往處于被動(dòng)地位，因而需加強(qiáng)學(xué)生學(xué)習(xí)的主動(dòng)性。理論課程核心內(nèi)容應(yīng)涉及信息安全主流知識點(diǎn)，通過將這些知識點(diǎn)與具體案例結(jié)合，雖然學(xué)生的學(xué)習(xí)方式、學(xué)習(xí)進(jìn)度各不相同，但課后可以重復(fù)教師課堂理論授課的案例，進(jìn)一步理解并掌握該知識點(diǎn)，培養(yǎng)學(xué)生的學(xué)習(xí)主動(dòng)性。

為激發(fā)學(xué)生興趣，教學(xué)中并不完全遵循先理論后實(shí)踐的方式，比如密碼學(xué)，可以先讓學(xué)生嘗試破譯密文、閱讀有意思的密碼歷史故事、分析勒索蠕蟲的工作機(jī)制，學(xué)生在理解密碼學(xué)的意義后，逐步主動(dòng)把學(xué)習(xí)重點(diǎn)放在數(shù)學(xué)理論的證明和密碼算法的應(yīng)用上。信息安全理論教學(xué)內(nèi)容應(yīng)圍繞一個(gè)或多個(gè)實(shí)踐案例開展，直接描述出課程的實(shí)用性和應(yīng)用實(shí)例，實(shí)現(xiàn)理論到實(shí)際應(yīng)用的自然過渡。

嘗試改變課后作業(yè)模式，大多數(shù)信息安全專業(yè)課程實(shí)踐操作性強(qiáng)，如果仍然以交作業(yè)本的形式來做一些提問、問答的題目，顯然不適合動(dòng)手能力的培養(yǎng)，同時(shí)不可避免部分學(xué)生抄襲作業(yè)，所以可以加大作業(yè)內(nèi)容中實(shí)踐項(xiàng)目操作比重，從“重理論”轉(zhuǎn)換到實(shí)踐項(xiàng)目實(shí)施呈現(xiàn)，由淺入深，并與課內(nèi)實(shí)驗(yàn)項(xiàng)目銜接，作業(yè)的批改采用實(shí)踐操作驗(yàn)收方式，師生互動(dòng)強(qiáng)。

1.2 項(xiàng)目融合法

大學(xué)生創(chuàng)新訓(xùn)練項(xiàng)目和科教協(xié)同項(xiàng)目實(shí)施過程要求學(xué)生理論與實(shí)踐相結(jié)合，主要內(nèi)容最終體現(xiàn)在實(shí)際應(yīng)用上。因?yàn)轫?xiàng)目的實(shí)施主體是學(xué)生，對于其他學(xué)生而言，這些項(xiàng)目的實(shí)現(xiàn)并不是遙不可及，那么教師可以將實(shí)施效果較好的項(xiàng)目引入到教學(xué)實(shí)踐中，針對項(xiàng)目的不同功能模塊，總結(jié)其中涉及到專業(yè)知識點(diǎn)及其實(shí)現(xiàn)技術(shù)，從而貫穿于理論教學(xué)。在實(shí)踐教學(xué)方面，對項(xiàng)目進(jìn)行合理分解，按難易程度或以知識點(diǎn)為分類依據(jù)設(shè)計(jì)成多個(gè)實(shí)驗(yàn)，將課程教學(xué)落到實(shí)踐環(huán)節(jié)，教師在實(shí)驗(yàn)教學(xué)中可以復(fù)制指導(dǎo)項(xiàng)目的模式，針對學(xué)生在實(shí)驗(yàn)中出現(xiàn)的問題，采用提示和設(shè)疑的方法讓學(xué)生運(yùn)用所學(xué)的知識，查閱資料，解決問題，培養(yǎng)學(xué)生學(xué)習(xí)的自主性和創(chuàng)新能力。

通過將完成的大創(chuàng)項(xiàng)目進(jìn)行分解，設(shè)計(jì)了局域網(wǎng)嗅探及其防范實(shí)驗(yàn)項(xiàng)目，實(shí)驗(yàn)內(nèi)容遵循基礎(chǔ)性、綜合設(shè)計(jì)性、創(chuàng)新性三層次模型，基礎(chǔ)性內(nèi)容重點(diǎn)完成符合實(shí)驗(yàn)要求的網(wǎng)絡(luò)環(huán)境搭建，涵蓋交換機(jī)、路由器、Web服務(wù)器、DHCP服務(wù)器配置等內(nèi)容，熟悉命令行及常用掃描工具使用，掌握利用網(wǎng)絡(luò)協(xié)議分析工具（如Wireshark）進(jìn)行ARP、HTTP等網(wǎng)絡(luò)協(xié)議的分析。綜合設(shè)計(jì)性部分要求學(xué)生設(shè)計(jì)思路，通過構(gòu)造和發(fā)送ARP假冒報(bào)文等方法完成交換網(wǎng)絡(luò)下的嗅探，然后分析、掌握該攻擊工作原理，給出合理、針對性的防范措施，在此基礎(chǔ)上，進(jìn)一步研究無線局域網(wǎng)的中間人攻擊，試圖通過熱點(diǎn)偽造、路由器入侵等方法控制內(nèi)網(wǎng)，并分析可行的防范措施。創(chuàng)新性內(nèi)容針對能力較高的學(xué)生，可以留在課后進(jìn)行，旨在培養(yǎng)提高學(xué)生綜合設(shè)計(jì)開發(fā)能力，通過TCP/IP協(xié)議編程，特別是基于Winpcap編程的學(xué)習(xí)，指導(dǎo)學(xué)生自主設(shè)計(jì)實(shí)驗(yàn)過程中用到的軟件，如網(wǎng)絡(luò)數(shù)據(jù)報(bào)文構(gòu)造、發(fā)送器、掃描器、入侵檢測與防范系統(tǒng)等，并可以擴(kuò)展為課程設(shè)計(jì)、畢業(yè)設(shè)計(jì)課題，促進(jìn)學(xué)生在某個(gè)知識點(diǎn)的深入學(xué)習(xí)和實(shí)踐。

1.3 攻防實(shí)戰(zhàn)教學(xué)法

CTF（奪旗）比賽是目前信息安全業(yè)界最受歡迎的活動(dòng)，是攻防實(shí)戰(zhàn)教學(xué)的有效實(shí)施方案，參賽學(xué)生可以充分展示他們的專業(yè)技能。教師擔(dān)當(dāng)指導(dǎo)工作，幫助學(xué)生參加或組織CTF比賽。通過完成關(guān)卡任務(wù)，學(xué)生接觸到信息安全領(lǐng)域的現(xiàn)實(shí)問題，基于對抗性比賽的學(xué)習(xí)方法以學(xué)生為中心，學(xué)生們專注于某個(gè)具體的安全問題并找到解決方案，促進(jìn)解決問題的技能和認(rèn)知能力，CTF比賽是一個(gè)非常好的輔助教學(xué)手段。

CTF比賽涉及內(nèi)容廣，解題模式CTF中，任務(wù)通常涉及各種信息安全專業(yè)知識點(diǎn)，如隱寫，逆向工程，密碼學(xué)，二進(jìn)制分析等，攻防模式則需要參賽者足夠的知識儲備和經(jīng)驗(yàn)，挖掘并利用漏洞，同時(shí)也要能夠修補(bǔ)漏洞。學(xué)生知識面?zhèn)戎攸c(diǎn)各有不同，賽前學(xué)生要整合不同技能的成員組隊(duì)參賽以最大發(fā)揮各自的長處，賽中要共享信息和討論解決方案，攜手共進(jìn)退，賽后進(jìn)行總結(jié)得失，指出知識薄弱環(huán)節(jié)和進(jìn)一步想學(xué)習(xí)的思路，所以CTF比賽是培養(yǎng)學(xué)生的自主學(xué)習(xí)、團(tuán)隊(duì)協(xié)作學(xué)習(xí)能力的有效途徑。

課外實(shí)踐開展CTF比賽具有開放性，比賽層次可高可低，不需要太多的審批手續(xù)，不用遵循教學(xué)計(jì)劃或進(jìn)度，比賽關(guān)卡無需局限于教學(xué)內(nèi)容，比賽組織者可以是老師，也可以是有一定參賽、組織比賽經(jīng)驗(yàn)的學(xué)生，極具靈活性和可操作性。首先，協(xié)調(diào)本專業(yè)專任教師在各自授課過程中引入CTF賽點(diǎn)，講解原理和解題方法。其次，要求學(xué)生高低年級搭配組隊(duì)，以老帶新，賽后教師、學(xué)生對賽點(diǎn)及利用的工具和解題思路進(jìn)行分析、講解，寓教于賽，促進(jìn)學(xué)生提高網(wǎng)絡(luò)攻防水平。

2 結(jié)論

通過以上幾種教學(xué)方法結(jié)合改進(jìn)信息專業(yè)實(shí)踐教學(xué)是非常有益的，但考慮到教學(xué)實(shí)踐過程有攻有防，具有一定的攻擊性，因而教學(xué)過程中必須加強(qiáng)學(xué)生信息安全法律法規(guī)與倫理教育，為社會培養(yǎng)德才兼?zhèn)涞男畔踩珜I(yè)人才。

【參考文獻(xiàn)】

[1]Yurcik W，Doss D.Different Approaches in the Teaching of Information Systems Security[C]//2001：32-33.

[2]Mirkovic J，Peterson P A H.Class Capture-the-Flag Exercises[J].2014.

[3]王瑞錦，周世杰，秦志光，等.基于虛擬化技術(shù)的信息安全實(shí)驗(yàn)教學(xué)體系建設(shè)[J].實(shí)驗(yàn)科學(xué)與技術(shù)，2015.

[4]Mansurov A.A CTF-Based Approach in Information Security Education：An Extracurricular Activity in Teaching Students at Altai State University，Russia[J].Modern Applied Science，2016，10（11）：159.