◆張 鑫 張 婷

(1.南陽理工學(xué)院軟件學(xué)院 河南 473000；2.南陽師范學(xué)院計算機與信息技術(shù)學(xué)院 河南 473000)

項目化實踐教學(xué)在《網(wǎng)絡(luò)安全》課程中的應(yīng)用

◆張 鑫1張 婷2

(1.南陽理工學(xué)院軟件學(xué)院 河南 473000；2.南陽師范學(xué)院計算機與信息技術(shù)學(xué)院 河南 473000)

依據(jù)《網(wǎng)絡(luò)安全》課程的特點和實踐教學(xué)存在的問題，提出項目化實踐教學(xué)方法，結(jié)合真實應(yīng)用場景，讓學(xué)生自主構(gòu)建網(wǎng)絡(luò)安全的知識體系。教學(xué)效果表明學(xué)生在專業(yè)技能方面得到良好的收獲。因此，采用項目化教學(xué)法改革《網(wǎng)絡(luò)安全》課程實踐教學(xué)，能夠培養(yǎng)學(xué)生創(chuàng)新能力，提高實踐教學(xué)質(zhì)量。

網(wǎng)絡(luò)安全；項目化；實踐教學(xué)

0 引言

目前，隨著電子商務(wù)和電子政務(wù)的發(fā)展，信息安全的評估體系已經(jīng)得到了企業(yè)，國家金融機構(gòu)的高度重視，具有良好的研究和發(fā)展空間。在國內(nèi)外業(yè)內(nèi)的研究中，安全標準的設(shè)計、安全模型的選擇、各種安全因素的提取、安全評估方法、安全評估實施、變得越來越重要，對于網(wǎng)絡(luò)安全的重視程度越來越高。因此作為計算機專業(yè)的學(xué)生，需要掌握一定的網(wǎng)絡(luò)安全知識，并牢固樹立信息安全意識。

1 課程特點及教學(xué)現(xiàn)狀

網(wǎng)絡(luò)安全課程的教學(xué)實踐表明，學(xué)生學(xué)習(xí)的積極性隨著課程的深入，逐漸減弱。學(xué)生難以充分理解課程中相關(guān)知識點。在動手實踐過程中，難以結(jié)合相關(guān)技術(shù)解決出現(xiàn)的網(wǎng)絡(luò)安全問題[1]。

1.1 多門專業(yè)課基礎(chǔ)

由于網(wǎng)絡(luò)本身包含面非常廣，既包括網(wǎng)絡(luò)設(shè)備又包括網(wǎng)絡(luò)系統(tǒng)，所以錯綜復(fù)雜的環(huán)境導(dǎo)致了網(wǎng)絡(luò)安全研究是比較難的研究點，需要學(xué)生掌握大量的網(wǎng)絡(luò)知識。這些知識不僅包括操作系統(tǒng)，網(wǎng)絡(luò)架構(gòu)，網(wǎng)絡(luò)協(xié)議等計算機知識，還包括密碼學(xué)這樣的數(shù)學(xué)知識[2]。在實踐過程中，還需要有一定的軟件基礎(chǔ)，包括數(shù)據(jù)庫、數(shù)據(jù)結(jié)構(gòu)、算法和高級語言。

1.2 課程實踐性質(zhì)強

網(wǎng)絡(luò)安全課程是一門應(yīng)用性強的綜合性課程，需要將理論知識和實踐操作相結(jié)合[3]。教師需要在有限的學(xué)時內(nèi)傳授學(xué)生基本原理和常用技能，讓學(xué)生能夠解決常見網(wǎng)絡(luò)安全問題，成為學(xué)以致用的人才。

1.3 實踐教學(xué)的內(nèi)容更新變化快

各種網(wǎng)絡(luò)安全問題隨著物聯(lián)網(wǎng)和云計算的廣泛應(yīng)用不斷出現(xiàn)，網(wǎng)絡(luò)安全技術(shù)也在不斷更新。網(wǎng)絡(luò)安全的教學(xué)實驗如果僅停留在單一的形式上，缺乏對前沿網(wǎng)絡(luò)安全應(yīng)用以及安全隱患的解決方案的講授，會讓教學(xué)環(huán)節(jié)和實際應(yīng)用出現(xiàn)脫節(jié)[4]。

1.4 學(xué)生能動性調(diào)動不足

實驗內(nèi)容多為驗證性，學(xué)生在知道實驗結(jié)論的情況下，很容易按部就班地完成實驗，不能積極調(diào)動起學(xué)生的能動性[5]。學(xué)生在實踐環(huán)節(jié)，發(fā)現(xiàn)問題和解決問題的能力得不到良好的鍛煉，影響了實踐教學(xué)的效果，不利于學(xué)生創(chuàng)新思維和創(chuàng)新能力的培養(yǎng)。

2 項目化教學(xué)實例

依據(jù)《網(wǎng)絡(luò)安全》課程的特點及現(xiàn)狀，提出了項目化教學(xué)的方法。項目化教學(xué)法以項目為載體，學(xué)生為主體，將學(xué)生和項目緊密配合，面向?qū)崙?zhàn)，強調(diào)“做中學(xué)”[6]。學(xué)生的各種能力的訓(xùn)練和知識的運用都隨著項目的逐步完成得到鍛煉和提升。筆者結(jié)合某職業(yè)學(xué)院的網(wǎng)絡(luò)安全風(fēng)險評估項目，將《網(wǎng)絡(luò)安全》課程中的重要知識點串接起來，讓學(xué)生自主構(gòu)建網(wǎng)絡(luò)安全的理論體系，并動手實踐。

2.1 網(wǎng)絡(luò)安全風(fēng)險評估

網(wǎng)絡(luò)安全評估是對整個網(wǎng)絡(luò)架構(gòu)，做一個整體的安全評測，通過對數(shù)據(jù)庫、操作系統(tǒng)、管理制度等多方面的綜合評估，分析出網(wǎng)絡(luò)潛在的安全威脅，提出一個針對性的解決方法和對策，在最大的程度上保護評估目標的資產(chǎn)安全。網(wǎng)絡(luò)安全評估主要的任務(wù)如下：

（1）對漏洞和風(fēng)險點進行識別，簡述其原理和屬性，統(tǒng)計其出現(xiàn)的頻率。

（2）對具體的漏洞和風(fēng)險點進行詳情分析。

（3）根據(jù)漏洞和風(fēng)險點的嚴重程度，預(yù)估其可能造成的危害。

（4）根據(jù)其脆弱性所涉及的系統(tǒng)或者應(yīng)用的價值，預(yù)估其可能造成的損失。

（5）綜合統(tǒng)計預(yù)估漏洞和風(fēng)險發(fā)生后，可能產(chǎn)生的影響，規(guī)劃風(fēng)險等級。

2.2 某職業(yè)學(xué)院的網(wǎng)絡(luò)安全風(fēng)險評估

（1）IP地址檢測

使用ping命令通過發(fā)送ICMP數(shù)據(jù)包進行主機之間的交互，然后回顯數(shù)據(jù)包，獲取IP地址信息，常用于檢測網(wǎng)絡(luò)是否通暢，兩臺主機之間進行連通性測試。

（2）操作系統(tǒng)和服務(wù)器類型探測

①作系統(tǒng)探測

a.不同的操作系統(tǒng)其TTL的數(shù)值是不同的，使用ping命令看返回的TTL的數(shù)值來判斷操作系統(tǒng)類型。

b.使用工具進行探測(namp)，工具探測會分析返回包的特征，據(jù)此判斷操作系統(tǒng)的類型，nmap測試結(jié)果如圖1所示。

圖1 nmap測試結(jié)果

②服務(wù)器類型探測

常用的web服務(wù)器有IIS，Apache，nginx，測試過程中，確定其web容器非常重要，因為它決定了攻擊手法和攻擊方向。使用工具探測(wwwscan)，測試結(jié)果如圖2所示。

圖2 wwwscan掃描結(jié)果

（3）端口掃描

通過對目標的端口掃描可以確定其上開放的端口信息，不同的端口對應(yīng)著不同的服務(wù)，主要采用了nmap對端口進行探測，掃描結(jié)果如圖3所示。

圖3 nmap掃描結(jié)果

結(jié)合以上的操作步驟，某職業(yè)學(xué)院的整體信息統(tǒng)計如表1所示。

表1 整體信息統(tǒng)計

（4）工具掃描探測

①目錄掃描

通過對網(wǎng)站目錄的掃描，可以獲取網(wǎng)站的整體的大概架構(gòu)信息，使用工具AWVS能很快的爬取到網(wǎng)站的一些目錄，根據(jù)其爬取的目錄對目標網(wǎng)站進行分析，查看是否有可疑的URL連接并可做驗證處理，為進一步的滲透測試提供條件。

②網(wǎng)站漏洞掃描

使用butpsuite對網(wǎng)站進行漏洞掃描測試，掃描結(jié)果如圖4所示。

圖4 burp掃描結(jié)果

結(jié)果分析：通過工具可以發(fā)現(xiàn)網(wǎng)站的一些安全問題，但是由于網(wǎng)路或者防火墻的影響，可能造成誤報，所以還需要進行手工的漏洞挖掘和探測驗證。

（5）手工驗證測試

①sql注入漏洞檢測

使用sqlmap自動化sql注入工具進行驗證，能夠精確的識別sql注入，如圖5所示。

圖5 sqlmap驗證圖解

結(jié)果分析：目標某子站存在嚴重的sql注入漏洞，危害網(wǎng)站數(shù)據(jù)安全。

②XSS漏洞檢測

構(gòu)造paylaod進行測試，常用的xss payload如下：

結(jié)果分析：目標站點某子站存在反射型XSS，通過構(gòu)造閉合可成功彈窗，惡意攻擊者可構(gòu)造特殊的連接，盜取其他用戶的cookies等重要敏感信息。

③信息明文傳送漏洞檢測

多數(shù)網(wǎng)站采用http協(xié)議，http協(xié)議并未采取加密傳輸，所以在操作敏感數(shù)據(jù)的時候可通過中間人獲取相關(guān)的敏感信息，測試結(jié)果如圖6所示。

圖6 數(shù)據(jù)包截取分析

結(jié)果分析：目標主站并未采用https加密協(xié)議，傳輸數(shù)據(jù)皆為明文，可通過中間人攻擊獲取敏感信息。

④命令執(zhí)行漏洞檢測

現(xiàn)在大多數(shù)網(wǎng)站都會采用一些框架開發(fā)，簡單快捷，但是網(wǎng)站框架或者是中間件出現(xiàn)漏洞時，就會危害網(wǎng)站的安全。常用的中間件和開發(fā)框架有：structs，weblogic，tomcat等。

結(jié)果分析：目標服務(wù)器某子站開放7001端口，經(jīng)探測是開放的weblogic服務(wù)，存在weblogic命令執(zhí)行漏洞，當前用戶為管理員權(quán)限，可執(zhí)行任意系統(tǒng)命令，危害系統(tǒng)的安全。

⑤弱口令漏洞檢測

網(wǎng)站管理前臺/管理后臺登錄存在弱口令（默認口令、測試賬號、口令設(shè)置過于簡單或口令設(shè)置與網(wǎng)站本身特性有關(guān)），經(jīng)過簡單猜解用戶名密碼，可進入網(wǎng)站管理前臺/后臺。目標主站某子站（認證系統(tǒng)）使用burp對登錄處進行爆破，爆破結(jié)果如圖7所示。

圖7 burp爆破結(jié)果

結(jié)果分析：目標站點某子站存在弱口令漏洞，可通過爆破成功登錄，操作目標服務(wù)器上的眾多系統(tǒng)。

⑥CSRF漏洞檢測

CSEF漏洞又稱為跨站點請求偽造漏洞。測試方法如下：

a.設(shè)置代理，對修改個人信息時提交的參數(shù)進行分析。

b.抓取數(shù)據(jù)包，分析數(shù)據(jù)包結(jié)構(gòu)。

c.將referer字段刪除后，還可以繼續(xù)進行提交，且所有參數(shù)可預(yù)見，存在CSRF漏洞。

結(jié)果分析：目標存在csrf漏洞，構(gòu)造csrf漏洞利用代碼如圖8所示，可通過該漏洞修改任意注冊用戶信息。

圖8 CSRF漏洞利用

3 項目化教學(xué)效果

3.1 網(wǎng)絡(luò)安全技術(shù)的掌握

通過信息搜集、端口掃描、漏洞掃描、敏感文件探測等多種測試方法對某職業(yè)學(xué)院整體網(wǎng)絡(luò)架構(gòu)進行了網(wǎng)絡(luò)安全風(fēng)險評估。學(xué)生在完成項目的過程中學(xué)習(xí)風(fēng)險評估的方法以及常見漏洞的原理和危害，學(xué)生自己構(gòu)建網(wǎng)絡(luò)安全的知識體系，調(diào)動了學(xué)生的能動性，學(xué)生對相關(guān)知識的理解更加深入。

3.2 學(xué)生的實踐創(chuàng)新能力

在進行網(wǎng)絡(luò)安全風(fēng)險評估的過程中，教師介紹滲透測試常用的工具，滲透測試的方法和常見的滲透測試點。采用項目化實踐教學(xué)，學(xué)生進入到真實的應(yīng)用情景中，運用以上知識對目標網(wǎng)站進行滲透測試發(fā)現(xiàn)漏洞并進行漏洞原理分析。學(xué)生在設(shè)計實驗的過程中，綜合運用滲透測試工具，解決實際的問題，有利于實踐能力和創(chuàng)新能力的培養(yǎng)。

4 結(jié)論

針對《網(wǎng)絡(luò)安全》課程的特點和實踐教學(xué)存在的問題，在實踐教學(xué)采用項目化的教學(xué)方法，面向?qū)崙?zhàn)，結(jié)合大量的項目實踐給學(xué)生帶來了明顯的幫助，學(xué)生在專業(yè)技能方面得到良好的收獲。學(xué)生的學(xué)習(xí)興趣、自主學(xué)習(xí)時間、代碼量和知識點的掌握情況得到了一定的提升。因此，采用項目化教學(xué)法改革《網(wǎng)絡(luò)安全》課程實踐教學(xué)，達到了培養(yǎng)學(xué)生創(chuàng)新能力，提高實踐教學(xué)質(zhì)量的目的。

[1]歐慶于，朱婷婷，張昌宏．關(guān)于信息安全實驗教學(xué)的幾點思考[J]．計算機教育，2010．

[2]宋瑋． “信息安全概論”課程教學(xué)的思考[J]．社會工作與管理，2008．

[3]蘇庭波．網(wǎng)絡(luò)工程專業(yè)網(wǎng)絡(luò)信息安全課程教學(xué)改革探索[J]．電腦知識與技術(shù)，2014．

[4]李悅，夏小玲，王高麗等．信息安全課程的工程實踐與創(chuàng)新教育模式研究[J]．計算機教育，2014．

[5]王小軍，劉順蘭，黃騫儒．信息安全專業(yè)實踐教學(xué)體系的構(gòu)建與探索[J]．杭州電子科技大學(xué)學(xué)報：社會科學(xué)版， 2011．

[6]徐新愛，習(xí)愛民，萬里勇．“信息安全概論”課程案例化教學(xué)改革的研究[C]// National Teaching Seminar on Cryptography and Information Security，2011．

河南省教育廳2016年度教師教育課程改革研究項目： 基于微課的中小學(xué)教師信息化教學(xué)能力培養(yǎng)策略研究(2016-JSJYYB-080)；南陽師范學(xué)院校級項目：Web應(yīng)用運行時監(jiān)控框架的設(shè)計與實現(xiàn)(QN2017064)。