摘要：本文針對計算機安全類課程實驗教學(xué)，研究設(shè)計了實戰(zhàn)型實驗并付諸實踐，總結(jié)了改革經(jīng)驗與存在的問題，對計算機安全人才培養(yǎng)模式進行了有益探討。

關(guān)鍵詞：計算機安全；實驗教學(xué)；實戰(zhàn)；人才培養(yǎng)

中圖分類號：G64

文獻標(biāo)識碼：B

文章編號：1672-5913(2008)06-0035-02

目前大多數(shù)計算機安全類課程的實驗環(huán)境與真實的計算機使用環(huán)境偏離較大，實驗約束過多，實驗內(nèi)容單一，驗證性成分過大，實驗設(shè)計過于粗糙，綜合性不強，使得學(xué)生動手能力弱，不能解決在計算機實際使用中遇到的安全問題，甚至對比較簡單的安全問題也不能合理高效地處理。而且實驗內(nèi)容的淺輒離散與實驗效果的不明顯，使得學(xué)生對課程缺乏足夠的興趣，直接影響了課程目標(biāo)的達(dá)成。因此，如何提高計算機安全類課程實驗教學(xué)效果成為值得探討的話題。本文對計算機安全類實驗進行了改革嘗試，設(shè)計實施了實戰(zhàn)型實驗。

1實戰(zhàn)型實驗設(shè)計

(1) 設(shè)計思想

實驗環(huán)境的設(shè)置盡可能接近真實的計算機使用環(huán)境。真實的計算機安全環(huán)境是十分復(fù)雜的，實驗環(huán)境的盡量模擬，較少的實驗約束，大大增強了實驗的設(shè)計性與綜合性，實質(zhì)上提升了實驗教學(xué)目標(biāo)；在十分逼真的實驗環(huán)境中，完成實驗任務(wù)具有更大的挑戰(zhàn)性，學(xué)生的學(xué)習(xí)興趣更加濃厚，主觀能動性得到極大發(fā)揮；實驗獲得的經(jīng)驗，容易遷移到真實的計算機使用環(huán)境，方便今后的實際工作與繼續(xù)提高。

(2) 實驗分組

計算機安全技術(shù)實質(zhì)上是在一對矛盾沖突中發(fā)展起來的，即“攻”與“防”兩個方面。將一個標(biāo)準(zhǔn)班對半分為2組，為了便于描述，簡稱A組與B組，分別承擔(dān)“攻”與“防”任務(wù)，并適時進行角色轉(zhuǎn)換，從不同側(cè)面認(rèn)識計算機安全，掌握較全面的計算機安全技術(shù)。兩組之間既有競爭，又有協(xié)作。

(3) 實驗時間安排

實戰(zhàn)實驗集中課程后部，這時候?qū)W生具備了基本的計算機安全知識，掌握了一定的計算機安全技術(shù)，學(xué)時在30學(xué)時左右。由于模擬實戰(zhàn)環(huán)境，課下依然可以進行攻擊與防守訓(xùn)練，學(xué)生在該實驗項目上投入的時間可以遠(yuǎn)遠(yuǎn)超過計劃學(xué)時。

(4) 實驗內(nèi)容與步驟

實戰(zhàn)型實驗選擇網(wǎng)絡(luò)應(yīng)用環(huán)境，符合現(xiàn)實典型計算機應(yīng)用環(huán)境。實驗?zāi)繕?biāo)系統(tǒng)為WWW與FTP服務(wù)器系統(tǒng)，是常見的應(yīng)用系統(tǒng)。目標(biāo)系統(tǒng)置于校園網(wǎng)內(nèi)部，可以從內(nèi)網(wǎng)訪問，也可以通過Internet訪問，增加了安全情況的復(fù)雜性，同時具有了實驗場所與實驗時間上的靈活性。

第一階段，構(gòu)建實驗?zāi)繕?biāo)系統(tǒng)。兩組首先協(xié)作，根據(jù)計算機安全和相關(guān)課程知識，構(gòu)建服務(wù)器，放置學(xué)生制作的課程網(wǎng)站，提供WWW與FTP服務(wù)，并建立防護系統(tǒng)。該階段約持續(xù)2教學(xué)周。

第二階段，攻－防實戰(zhàn)。A組攻擊，B組進行防守。每次服務(wù)器被攻陷，防守方進行修復(fù)；若較長時間不能修復(fù)，則進行雙方研討，攻擊方說明攻擊手段、方法、工具、過程；防守方再次進行修復(fù)；繼續(xù)“攻－防”。該階段約持續(xù)3教學(xué)周。

第三階段，防－攻實戰(zhàn)。A組防守，B組進行攻擊。實驗內(nèi)容與步驟同第二階段。該階段約持續(xù)2教學(xué)周。

第四階段，進行實驗總結(jié)。兩組同學(xué)通過自己的攻擊與防守實踐，總結(jié)出針對實驗?zāi)繕?biāo)系統(tǒng)類型攻擊的慣用技術(shù)手段，以及抵御攻擊的有效方法。個人總結(jié)實驗心得。該階段約持續(xù)1教學(xué)周。

教師作為指導(dǎo)協(xié)調(diào)者，根據(jù)教學(xué)規(guī)律與實驗實施的實際情況，同步指導(dǎo)。

2實驗實施

按照實驗設(shè)計實施實驗，并根據(jù)教學(xué)反饋，進行修正調(diào)整。

第一階段：兩組協(xié)作構(gòu)建目標(biāo)服務(wù)器及防御體系。學(xué)生實驗熱情極高，能如期構(gòu)建好目標(biāo)服務(wù)器與防護系統(tǒng)。服務(wù)器放置學(xué)生自主設(shè)計編制的課程網(wǎng)頁，根據(jù)書本知識及利用網(wǎng)絡(luò)資源，盡量完善安全措施。學(xué)生渴望攻擊與防守實戰(zhàn)，但缺乏計算機安全實踐經(jīng)驗，對即將到來的攻擊及產(chǎn)生的后果沒有清楚的認(rèn)識。此階段實驗綜合性強，內(nèi)容涉及了安全編程、路由器、交換機設(shè)置、網(wǎng)絡(luò)操作系統(tǒng)、安全管理系統(tǒng)、團隊協(xié)作等，學(xué)生表現(xiàn)出的綜合能力、安全視角有限。此間，教師指導(dǎo)主要針對學(xué)生提出的問題，而對學(xué)生未想到的問題不全面主動提出。

第二階段：攻擊—防守訓(xùn)練。攻擊方明顯占優(yōu)勢，系統(tǒng)被攻破的次數(shù)頻繁。這主要是系統(tǒng)建構(gòu)時經(jīng)驗不足，技術(shù)不夠；而攻擊方普遍采用工具，攻擊能力強大。雙方進行研討時，攻擊方基本能敘述清楚攻擊過程、采用的工具和方法，卻不能很清楚地解釋機理。防守方進行修復(fù)與完善，一方面得益于與攻擊方的討論，另一方面得益于網(wǎng)絡(luò)上搜集的信息和教師的指導(dǎo)。該階段還暴露了防守方人員安全管理意識薄弱，忽視安全技術(shù)文檔建設(shè)。此間，教師指導(dǎo)以啟發(fā)性為主，以鍛煉學(xué)生能力，提高實驗效果。

第三階段：防守—攻擊訓(xùn)練。目標(biāo)系統(tǒng)較第二階段明顯可靠。雙方都扮演過對方的角色，對計算機安全認(rèn)識更深刻，安全技術(shù)也有了一定的提高，攻擊與防守的較量在更深技術(shù)層次上進行。雙方對安全編程、攻擊機理等都有了更深的認(rèn)識，并能應(yīng)用于實踐。雙方開始不滿足于實驗范圍限定在教學(xué)目標(biāo)系統(tǒng)，開始尋找外部網(wǎng)站漏洞，并進行攻擊嘗試。此間，教師指導(dǎo)在較高抽象層次，并強調(diào)計算機法規(guī)與網(wǎng)絡(luò)道德。

第四階段：實驗總結(jié)。形成較全面、準(zhǔn)確的分組實驗總結(jié)，記錄實驗過程，從技術(shù)與管理層面，歸納出針對實驗?zāi)繕?biāo)系統(tǒng)類型攻擊的常用手法和有效對策；個人總結(jié)出實驗心得，從個人貢獻、實驗過程、方法手段、工具、技術(shù)提高等方面進行總結(jié)；將實驗過程中發(fā)現(xiàn)的校園網(wǎng)等實驗?zāi)繕?biāo)系統(tǒng)以外系統(tǒng)的安全隱患通告相關(guān)單位部門。此間，教師在文檔的種類、內(nèi)容的全面性、邏輯性等方面加強指導(dǎo)。

3實驗分析與總結(jié)

實戰(zhàn)型實驗形式極大提高了學(xué)生的學(xué)習(xí)興趣；實驗者搜集、選擇、使用安全工具的能力得到極大提高；實驗者對某種類型應(yīng)用系統(tǒng)攻擊與防守的主要技術(shù)都有了相當(dāng)掌握；實驗者對團隊協(xié)作、文檔建設(shè)、人員安全、安全法規(guī)有了一定認(rèn)識。

從技術(shù)上講，教學(xué)效果甚至出乎意料。本來目標(biāo)系統(tǒng)是建立在Windows操作系統(tǒng)之上的，但有些同學(xué)成功地在UNIX游戲私服上放置了模擬木馬文件；有的同學(xué)利用匯編語言知識成功地編制了具有隱蔽與自我傳播能力的類病毒；有的同學(xué)侵入了校外的服務(wù)器。

但實驗實施中也暴露了一些問題。在團隊組織上，每組人數(shù)過多，學(xué)生團隊協(xié)作經(jīng)驗不足，實驗任務(wù)分配不均衡，主要工作往往是由技術(shù)水平較高的同學(xué)承擔(dān)，從而技能訓(xùn)練所得差距較大，技術(shù)水平越高的同學(xué)進步越大。如何分組和分配實驗任務(wù)，以便所有同學(xué)都學(xué)有所得，需要進一步研究。

計算機安全是系統(tǒng)工程，涉及的實驗內(nèi)容過于龐大，而實戰(zhàn)型實驗又不好限定攻擊手段和方向。隨著實驗的進展，實驗任務(wù)量不可避免地劇增，因此實驗內(nèi)容限定需要進一步研究、規(guī)范。

學(xué)生遵守計算機法律法規(guī)及網(wǎng)絡(luò)道德的意識淡薄。雖然教師有意強調(diào)，還是有許多同學(xué)攻擊目標(biāo)超出實驗范圍，帶來了社會危害風(fēng)險。攻擊效果要求可以驗證即可，但有學(xué)生還是在好奇心與成就感的驅(qū)使下，有網(wǎng)頁篡改等非善意行為。

學(xué)生技術(shù)文檔意識淡薄，寫作能力低下，往往不能準(zhǔn)確重現(xiàn)攻擊—防守過程，即使安全體系完善也往往缺乏配置文檔資料，這方面在最后總結(jié)階段表現(xiàn)得十分突出。

4實驗對安全人才培養(yǎng)模式的啟示

實戰(zhàn)訓(xùn)練得到的一個明顯的經(jīng)驗是：實驗環(huán)境越寬松，對攻擊約束越少，訓(xùn)練效果越好，然而這樣也越容易造成社會危害，觸及法律和道德。以中國計算機安全受教育者之眾，反觀出名的黑客數(shù)量是極為不成比例的。出名的黑客都是計算機安全某一領(lǐng)域的高手，但之所以出名，往往是造成了較大的危害影響。從學(xué)校、教師的角度講，循規(guī)蹈矩進行計算機安全人才培養(yǎng)是穩(wěn)妥和可以理解的，但從世界范圍內(nèi)的競爭和國家安全的角度看，卻未必是好事。那么應(yīng)該營造怎樣的計算機安全人才培養(yǎng)環(huán)境？這應(yīng)該是一個值得探討的話題。