玄世昌 王巍 苘大鵬 呂繼光 楊武

摘? 要：滲透測試實(shí)踐教學(xué)是為信息安全相關(guān)專業(yè)學(xué)生開設(shè)的少數(shù)攻擊類課程，是必不可少的教學(xué)環(huán)節(jié)。隨著《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī)的不斷完善，滲透測試教學(xué)的實(shí)踐模式需要不斷創(chuàng)新。針對(duì)實(shí)踐教學(xué)中資源和時(shí)間方面的難題，設(shè)計(jì)并實(shí)現(xiàn)基于OpenStack的虛擬靶場系統(tǒng)，從教學(xué)過程、教學(xué)方法、考核方式等角度分別提出開放式線上線下混合教學(xué)、引導(dǎo)式基礎(chǔ)實(shí)驗(yàn)過程、賽學(xué)融合的考核方式等具體改革方法，探索滲透測試實(shí)踐教學(xué)的新機(jī)制。

關(guān)鍵詞：滲透測試；教學(xué)改革；實(shí)踐教學(xué)；網(wǎng)絡(luò)靶場；賽學(xué)融合

中圖分類號(hào)：G642? ? ? ? 文獻(xiàn)標(biāo)志碼：A? ? ? ? ? 文章編號(hào)：2096-000X（2024）02-0029-04

Abstract： Penetration testing practical teaching is one of the few offensive courses offered to students majoring in information security and is an essential part of their education. With the continuous improvement of laws and regulations such as the "The Cybersecurity Law of the People's Republic of China"， the practical teaching mode of penetration testing needs constant innovation. To address the challenges of resources and time in practical teaching， we have designed and implemented a virtual range system based on OpenStack. We have proposed specific reform methods from the perspectives of teaching process， teaching methods， and assessment methods. These methods encompass open online and offline blended teaching， guided basic experimental processes， integration of competition and learning， and various other reform methods. Through these specific reforms， we have explored new mechanisms in penetration testing practical teaching.

Keywords： penetration testing; transformation of education; practical teaching; network range; integration of competition and learning

網(wǎng)絡(luò)空間是繼陸、海、空、天之后的“第五維空間”[1]，是人類命運(yùn)共同體非常重要的一部分。習(xí)近平總書記提出“沒有網(wǎng)絡(luò)安全就沒有國家安全”[2]。網(wǎng)絡(luò)安全問題已成為關(guān)乎國家安全和穩(wěn)定的重大問題。2017年6月起，《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）正式實(shí)施[3]?！毒W(wǎng)絡(luò)安全法》作為國家層面網(wǎng)絡(luò)空間安全保障的統(tǒng)領(lǐng)性“基本法”，明確要求需要通過網(wǎng)絡(luò)安全評(píng)測、風(fēng)險(xiǎn)評(píng)估等方法保障網(wǎng)絡(luò)空間，同時(shí)又專門明確了“任何個(gè)人和組織不得從事非法侵入他人網(wǎng)絡(luò)、干擾他人網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活動(dòng)”[4]?！毒W(wǎng)絡(luò)安全法》的出臺(tái)引發(fā)了對(duì)網(wǎng)絡(luò)安全的高度關(guān)注，但也帶來了一個(gè)新的挑戰(zhàn)，即網(wǎng)絡(luò)安全人才的嚴(yán)重缺失[5-7]。網(wǎng)絡(luò)滲透是網(wǎng)絡(luò)空間安全的核心內(nèi)容之一[8]。通過網(wǎng)絡(luò)滲透測試實(shí)踐教學(xué)，學(xué)生可以通過真實(shí)場景的模擬來深入了解網(wǎng)絡(luò)威脅，并學(xué)習(xí)如何評(píng)估和保護(hù)網(wǎng)絡(luò)空間。這種教學(xué)方法使學(xué)生能夠直接參與并體驗(yàn)網(wǎng)絡(luò)滲透測試的過程，提高他們?cè)诰W(wǎng)絡(luò)安全領(lǐng)域的技能和知識(shí)水平。

在《網(wǎng)絡(luò)安全法》實(shí)施的新形勢下，亟需探索和改革如何合法合規(guī)地為學(xué)生提供實(shí)踐教學(xué)環(huán)境，以切實(shí)培養(yǎng)和鍛煉他們的實(shí)踐動(dòng)手能力[8-9]。目前的相關(guān)研究工作主要集中在傳授式教學(xué)場景，借助實(shí)驗(yàn)系統(tǒng)輔助實(shí)現(xiàn)對(duì)特定知識(shí)點(diǎn)的教學(xué)目標(biāo)。然而，這種方式未能充分關(guān)注滲透測試所需的廣泛專業(yè)知識(shí)、多樣化的技術(shù)手段以及逆向思維突破困難等特點(diǎn)。尤其是自《網(wǎng)絡(luò)安全法》實(shí)施以來，學(xué)生在課后學(xué)習(xí)和練習(xí)方面受到嚴(yán)重限制的問題得到了充分關(guān)注。

因此，在《網(wǎng)絡(luò)安全法》新形勢下，研究滲透測試實(shí)踐教學(xué)的新模式具有重要的理論和實(shí)踐價(jià)值，可以有效提高信息安全專業(yè)以及計(jì)算機(jī)類相關(guān)專業(yè)學(xué)生的滲透實(shí)踐動(dòng)手能力。

一? 滲透測試實(shí)踐教學(xué)存在的難題

滲透測試實(shí)踐教學(xué)不同于信息安全、計(jì)算機(jī)科學(xué)與技術(shù)等相關(guān)專業(yè)的其他實(shí)踐環(huán)節(jié)，需要學(xué)生回顧的理論知識(shí)部分涵蓋范圍廣、掌握的專用工具多，并且理論與實(shí)踐的結(jié)合難度較高。在課程教學(xué)過程中，發(fā)現(xiàn)存在以下難題。

（一）? 實(shí)踐資源難以集中利用

滲透測試作為一個(gè)綜合性極強(qiáng)的實(shí)戰(zhàn)環(huán)節(jié)，需要掌握對(duì)測試目標(biāo)從操作系統(tǒng)、基礎(chǔ)軟件、應(yīng)用軟件等多個(gè)維度進(jìn)行滲透的技術(shù)。目前，已經(jīng)形成了如DVWA、mutillidae、vulnhub等比較豐富的網(wǎng)絡(luò)滲透技術(shù)學(xué)習(xí)資源。但是，相關(guān)資源一般為針對(duì)某一特定領(lǐng)域或技術(shù)的學(xué)習(xí)環(huán)境，無法滿足課程體系的全面教學(xué)要求。同時(shí)，各種資源所依賴的平臺(tái)系統(tǒng)與使用方法均存在較大的不同。學(xué)生在利用網(wǎng)絡(luò)資源進(jìn)行學(xué)習(xí)時(shí)，面臨一些問題。首先，系統(tǒng)性不強(qiáng)，缺乏結(jié)構(gòu)化的學(xué)習(xí)路徑和教學(xué)指導(dǎo)。其次，學(xué)習(xí)資源的部署和使用成本較高，使學(xué)生學(xué)習(xí)的積極性迅速消退，并且學(xué)習(xí)效果不理想。

（二）? 實(shí)踐教學(xué)課時(shí)過于集中

信息安全相關(guān)專業(yè)在理論課程與實(shí)踐課程中一般都極少包含攻擊類的內(nèi)容。滲透過程除需要較全面的理論基礎(chǔ)知識(shí)，還需要使用較多的專用工具使用。學(xué)生普遍未接觸過相關(guān)工具，需要較多的時(shí)間來了解和掌握工具的使用方式。然而，實(shí)踐類課程通常會(huì)在有限的時(shí)間內(nèi)集中進(jìn)行，這導(dǎo)致學(xué)生為了趕進(jìn)度而無法充分掌握工具的使用。因此，學(xué)生在有限的時(shí)間內(nèi)只能匆忙地完成實(shí)踐任務(wù)，而無法達(dá)到對(duì)工具的熟練應(yīng)用。

二? 實(shí)踐教學(xué)機(jī)制改革的思路

針對(duì)課程教學(xué)環(huán)節(jié)發(fā)現(xiàn)的難題，自主研發(fā)虛擬網(wǎng)絡(luò)靶場系統(tǒng)，從教學(xué)形式、教學(xué)內(nèi)容、考核方式等角度全面開展實(shí)踐教學(xué)的改革。實(shí)踐教學(xué)機(jī)制改革的總體思路如圖1所示。

圖1? 實(shí)踐教學(xué)機(jī)制改革思路

（一）? 開放式線上線下混合教學(xué)

相較于較短的課時(shí)安排，難以實(shí)現(xiàn)全面、系統(tǒng)的講授式教學(xué)。因此，通過研發(fā)在線學(xué)習(xí)平臺(tái)來為學(xué)生提供充分的學(xué)習(xí)資源，并進(jìn)一步研究線上、線下教學(xué)內(nèi)容的分配和銜接機(jī)制。在線學(xué)習(xí)平臺(tái)上建立滲透測試的課程資源，提供視頻課程、實(shí)驗(yàn)指導(dǎo)、技術(shù)討論等，以方便學(xué)生在自己的時(shí)間里進(jìn)行學(xué)習(xí)和實(shí)踐。同時(shí)，需要對(duì)線上、線下教學(xué)內(nèi)容進(jìn)行更精細(xì)化的分配和銜接，避免重復(fù)、缺失和沖突的情況出現(xiàn)。

（二）? 引導(dǎo)式基礎(chǔ)實(shí)驗(yàn)過程

滲透測試技術(shù)涉及到較多的理論知識(shí)點(diǎn)和工具使用方法，但是學(xué)生基礎(chǔ)情況差異較大，單一的教學(xué)內(nèi)容安排難以滿足不同層次學(xué)生需求。根據(jù)滲透測試的典型步驟，從信息收集、漏洞掃描、漏洞利用和提權(quán)攻擊等不同方面設(shè)計(jì)經(jīng)典的網(wǎng)絡(luò)掃描、暴力破解、操作系統(tǒng)漏洞利用、SQL注入、WEB滲透和本機(jī)提權(quán)等基礎(chǔ)實(shí)驗(yàn)環(huán)節(jié)。將實(shí)驗(yàn)指導(dǎo)書設(shè)計(jì)為基礎(chǔ)版本和詳細(xì)版本，在實(shí)驗(yàn)開放前期通過基礎(chǔ)版本的實(shí)驗(yàn)指導(dǎo)書引導(dǎo)學(xué)生針對(duì)實(shí)驗(yàn)?zāi)繕?biāo)進(jìn)行自學(xué)，在實(shí)驗(yàn)后期再給出詳細(xì)版本的實(shí)驗(yàn)指導(dǎo)書，供自學(xué)存在困難的同學(xué)參照學(xué)習(xí)。在引導(dǎo)學(xué)生主動(dòng)學(xué)習(xí)的同時(shí)，也為學(xué)生的考核提供了區(qū)分度。通過這種教學(xué)方式，學(xué)生可以在自主學(xué)習(xí)的同時(shí)掌握滲透測試的基礎(chǔ)知識(shí)和技能，并在實(shí)踐中逐步提高。

（三）? 賽學(xué)融合的考核方式

考慮到學(xué)生前期基礎(chǔ)較弱、滲透攻防對(duì)抗性強(qiáng)等特點(diǎn)，將滲透測試的實(shí)踐教學(xué)過程分為基礎(chǔ)實(shí)驗(yàn)和綜合對(duì)抗兩個(gè)環(huán)節(jié)。其中，基礎(chǔ)實(shí)驗(yàn)部分選擇典型的滲透對(duì)象、滲透場景和滲透工具為實(shí)驗(yàn)單元，指導(dǎo)學(xué)生熟悉目標(biāo)信息采集、操作系統(tǒng)漏洞利用、數(shù)據(jù)庫注入攻擊、WEB滲透等知識(shí)和工具；綜合對(duì)抗環(huán)節(jié)采用CTF（Capture The Flag，奪旗賽）的形式，由學(xué)生進(jìn)行分組對(duì)抗，綜合檢驗(yàn)學(xué)生的實(shí)踐能力。最終的課程考核成績由基礎(chǔ)實(shí)驗(yàn)成績與綜合實(shí)踐環(huán)節(jié)的對(duì)抗賽成績共同組成，以綜合評(píng)估學(xué)生的學(xué)習(xí)成果。通過分階段的教學(xué)設(shè)計(jì)和實(shí)踐對(duì)抗的形式，學(xué)生能夠獲得更全面、深入的學(xué)習(xí)體驗(yàn)，并在實(shí)踐中培養(yǎng)解決問題的能力和團(tuán)隊(duì)合作精神。

三? 基于網(wǎng)絡(luò)靶場的實(shí)踐教學(xué)平臺(tái)

基于OpenStack開源平臺(tái)，我們搭建了虛擬化網(wǎng)絡(luò)攻防對(duì)抗靶場系統(tǒng)。該靶場系統(tǒng)可以設(shè)置教師管理功能，包括創(chuàng)建課程、分配任務(wù)、監(jiān)控學(xué)生進(jìn)度等，方便教師進(jìn)行教學(xué)管理和評(píng)估學(xué)生的學(xué)習(xí)成果；同時(shí)系統(tǒng)可以設(shè)置自動(dòng)化評(píng)估功能，根據(jù)學(xué)生在系統(tǒng)中完成的任務(wù)和CTF競賽的成績進(jìn)行自動(dòng)化評(píng)估，提高評(píng)估效率和準(zhǔn)確性；此外，該系統(tǒng)還可以設(shè)置積分和排名功能，根據(jù)學(xué)生在系統(tǒng)中完成的任務(wù)和CTF競賽的成績進(jìn)行排名，鼓勵(lì)學(xué)生在系統(tǒng)中進(jìn)行積極主動(dòng)地學(xué)習(xí)。除以上功能之外，該靶場系統(tǒng)集成各類開源靶機(jī)、定制訓(xùn)練靶機(jī)等學(xué)習(xí)資源，將相關(guān)的課程教學(xué)資源與靶場系統(tǒng)進(jìn)行整合，為學(xué)生提供方便的在線學(xué)習(xí)和CTF競賽訓(xùn)練等功能。

（一）? 虛擬網(wǎng)絡(luò)靶場的設(shè)計(jì)

虛擬網(wǎng)絡(luò)攻防對(duì)抗靶場系統(tǒng)由滲透測試教學(xué)和CTF比賽兩個(gè)模塊組成，并分為靶場平臺(tái)系統(tǒng)、滲透測試教學(xué)子系統(tǒng)和CTF比賽子系統(tǒng)三個(gè)子系統(tǒng)。虛擬化網(wǎng)絡(luò)靶場系統(tǒng)能夠基于虛擬化管理工具與OpenStack云計(jì)算管理平臺(tái)，動(dòng)態(tài)生成、管理網(wǎng)絡(luò)靶場環(huán)境，通過OpenStack云平臺(tái)讓參演用戶省去自行搭建環(huán)境和下載靶場的時(shí)間。之后用戶可以通過提供的NoVNC網(wǎng)址，通過操作客戶機(jī)與靶機(jī)高效完成滲透測試演練。演練結(jié)束后，他們可以在平臺(tái)上提交演練結(jié)果，供業(yè)務(wù)管理員批閱。整個(gè)系統(tǒng)被設(shè)計(jì)為一個(gè)一體化的操作平臺(tái)。同時(shí)，業(yè)務(wù)管理員能夠監(jiān)控參演用戶的滲透演練過程，并在參演用戶的演練環(huán)境出現(xiàn)問題時(shí)，重新生成一組實(shí)驗(yàn)環(huán)境，確保系統(tǒng)具備良好的容錯(cuò)性。在基于OpenStack云計(jì)算搭建的平臺(tái)中，學(xué)生在課堂上無需花費(fèi)時(shí)間搭建環(huán)境或下載靶場，因此可以將更多精力投入到各種類型的滲透實(shí)驗(yàn)中。而在課下，學(xué)生可以以團(tuán)隊(duì)形式參與平臺(tái)組織的CTF比賽。這種一體化的學(xué)習(xí)與比賽平臺(tái)真正實(shí)現(xiàn)了學(xué)以致用，為學(xué)生提供長期在線的學(xué)習(xí)和比賽機(jī)會(huì)。

系統(tǒng)實(shí)現(xiàn)框架如圖2所示，系統(tǒng)采用基于B/S架構(gòu)的設(shè)計(jì)。系統(tǒng)由系統(tǒng)前端界面、滲透教學(xué)總控、CTF比賽總控、靶場平臺(tái)后臺(tái)和數(shù)據(jù)庫模塊共同組成。各類用戶如業(yè)務(wù)管理員、觀察員、參演用戶，可以通過系統(tǒng)前端界面進(jìn)行操作。前端頁面分為三個(gè)界面，分別為滲透測試教學(xué)模塊、超級(jí)管理員模塊、CTF比賽模塊。三個(gè)模塊一部分只需要與數(shù)據(jù)庫信息交互，進(jìn)行數(shù)據(jù)庫的增刪改查，另一部分還需要調(diào)用靶場總控模塊。靶場平臺(tái)由靶場總控模塊和靶場代理模塊組成。部分靶場總控模塊負(fù)責(zé)與數(shù)據(jù)庫進(jìn)行交互，同時(shí)響應(yīng)三個(gè)模塊的請(qǐng)求，并返回所需的信息；另一部分靶場總控模塊還需要與靶場代理模塊進(jìn)行通信，向代理發(fā)布指令，使代理運(yùn)行特定程序，并將程序運(yùn)行后所得到的部分信息反饋給總控模塊。

（二）? 虛擬網(wǎng)絡(luò)靶場的實(shí)現(xiàn)

在系統(tǒng)中，管理員用戶通過登錄界面進(jìn)入到管理員首頁，登錄到滲透測試演練系統(tǒng)后，管理員可以通過修改密碼界面修改管理員用戶的密碼，通過組課管理界面，設(shè)置成績組成與擬開展的實(shí)驗(yàn)。通過課程學(xué)生管理界面，導(dǎo)入導(dǎo)出學(xué)生信息，查看編輯學(xué)生信息。在每次實(shí)驗(yàn)課開始前，管理員通過設(shè)置實(shí)驗(yàn)環(huán)境界面對(duì)實(shí)驗(yàn)環(huán)境進(jìn)行設(shè)置，通過虛擬機(jī)信息查看界面查看并管理實(shí)驗(yàn)環(huán)境，通過實(shí)驗(yàn)進(jìn)度跟蹤界面查看每個(gè)學(xué)生的進(jìn)度，實(shí)驗(yàn)報(bào)告管理界面查看每個(gè)學(xué)生的實(shí)驗(yàn)報(bào)告與實(shí)驗(yàn)報(bào)告的打分，課程成績管理界面查看與管理每個(gè)學(xué)生的成績信息。通過系統(tǒng)監(jiān)控界面（圖3），監(jiān)控各個(gè)代理的系統(tǒng)狀態(tài)。管理員可以對(duì)各個(gè)代理的實(shí)驗(yàn)環(huán)境進(jìn)行部署，包括靶機(jī)部署與客戶機(jī)部署。還有管理員對(duì)各個(gè)實(shí)驗(yàn)的實(shí)驗(yàn)詳情與實(shí)驗(yàn)視頻進(jìn)行設(shè)置。

普通用戶通過登錄界面進(jìn)入系統(tǒng)的主頁，成功登錄后可以使用各項(xiàng)功能。他們可以通過修改密碼界面來更改自己的登錄密碼，確保賬戶安全。通過實(shí)驗(yàn)詳情界面，他們可以查看每個(gè)實(shí)驗(yàn)的詳細(xì)說明，了解實(shí)驗(yàn)的目標(biāo)和要求。同時(shí)，通過實(shí)驗(yàn)視頻界面，他們可以觀看與每個(gè)實(shí)驗(yàn)相關(guān)的視頻，進(jìn)一步加深對(duì)實(shí)驗(yàn)內(nèi)容的理解。對(duì)于遠(yuǎn)程登錄實(shí)驗(yàn)環(huán)境，普通用戶可以通過遠(yuǎn)程登錄界面與管理員設(shè)置的實(shí)驗(yàn)環(huán)境進(jìn)行連接，以便進(jìn)行遠(yuǎn)程操作和實(shí)驗(yàn)實(shí)踐。另外，他們還可以通過實(shí)驗(yàn)報(bào)告界面提交自己完成的實(shí)驗(yàn)報(bào)告，并查看已提交的實(shí)驗(yàn)報(bào)告。通過以上功能的提供，系統(tǒng)為普通用戶提供了一個(gè)便捷的學(xué)習(xí)平臺(tái)，他們可以靈活地修改密碼、瀏覽實(shí)驗(yàn)詳情和相關(guān)視頻、遠(yuǎn)程登錄實(shí)驗(yàn)環(huán)境，并提交和查看實(shí)驗(yàn)報(bào)告。

四? 結(jié)束語

滲透測試實(shí)踐教學(xué)由于存在知識(shí)點(diǎn)多且雜、學(xué)生前期技術(shù)儲(chǔ)備較弱等特點(diǎn)，導(dǎo)致傳統(tǒng)的實(shí)踐教學(xué)模式難以有效支撐。然而，引入基于網(wǎng)絡(luò)靶場的實(shí)踐教學(xué)平臺(tái)可以解決這一問題，實(shí)現(xiàn)了開放式線上線下混合教學(xué)和賽學(xué)融合的考核方式，為滲透測試實(shí)踐教學(xué)探索了一個(gè)可行的新機(jī)制，并為《網(wǎng)絡(luò)安全法》新形勢下合法合規(guī)學(xué)習(xí)提供了可行的解決方案

參考文獻(xiàn)：

[1] 王小文.浙江工業(yè)大學(xué)網(wǎng)絡(luò)空間安全研究院 聚焦新技術(shù)衍生安全 誓做新時(shí)代護(hù)網(wǎng)戰(zhàn)士[J].今日科技，2023（4）：67-68.

[2] 習(xí)近平：沒有網(wǎng)絡(luò)安全就沒有國家安全[J].中國建設(shè)信息化，2022（17）：2-3.

[3] 《網(wǎng)絡(luò)安全法》實(shí)施：實(shí)現(xiàn)網(wǎng)絡(luò)安全的法治保障[EB/OL].http：//www.cac.gov.cn/2017-06/02/c_1121073242.htm.

[4] 王興.筑牢網(wǎng)絡(luò)安全之基? 共同創(chuàng)造美好生活——《網(wǎng)絡(luò)安全法》實(shí)施五周年[J].網(wǎng)信軍民融合，2022，56（Z1）：3-5.

[5] 董贊強(qiáng).網(wǎng)絡(luò)安全專業(yè)人才培養(yǎng)問題探析[J].管理工程師，2023，28（2）：36-41.

[6] 周艷秋.新時(shí)代下的高?！队?jì)算機(jī)網(wǎng)絡(luò)安全》課程教學(xué)改革探討[J].中國新通信，2022，24（21）：140-142.

[7] 林家全.基于網(wǎng)絡(luò)安全技術(shù)的攻防一體化教學(xué)設(shè)計(jì)與探究[J].現(xiàn)代信息科技，2023，7（10）：166-170.

[8] 馬文靜，吳建軍，周家慶.“網(wǎng)絡(luò)滲透與防御”混合教學(xué)模式實(shí)踐[J].計(jì)算機(jī)時(shí)代，2021（5）：100-102，106.

[9] 李中和.意識(shí)形態(tài)網(wǎng)絡(luò)滲透背景下我國高校意識(shí)形態(tài)安全建設(shè)探析[J].北方民族大學(xué)學(xué)報(bào)，2022（3）：162-169.