賈忠田,劉 悅,張 波
(濟(jì)南大學(xué) 信息科學(xué)與工程學(xué)院,山東 濟(jì)南 250022)
近年來,隨著物聯(lián)網(wǎng)、人工智能、云計(jì)算、大數(shù)據(jù)等高新技術(shù)產(chǎn)業(yè)的興起,人類社會正在步入一個萬物互聯(lián)的新時代。無論是社會生產(chǎn)還是日常生活都與信息網(wǎng)絡(luò)密不可分,網(wǎng)絡(luò)安全受到了前所未有的關(guān)注與重視。習(xí)近平主席指出:“沒有網(wǎng)絡(luò)安全,就沒有國家安全。沒有信息化,就沒有現(xiàn)代化[1]?!?015年6月,教育部批準(zhǔn)設(shè)置了“網(wǎng)絡(luò)空間安全”一級學(xué)科,為我國培養(yǎng)網(wǎng)絡(luò)安全人才提供了有利的條件。網(wǎng)絡(luò)攻防課程作為網(wǎng)絡(luò)空間安全相關(guān)專業(yè)的一門核心課程,涉及計(jì)算機(jī)、通信、數(shù)學(xué)等多個學(xué)科的知識,其知識體系缺乏科學(xué)的歸納與提煉,可用的參考教材相對匱乏。因此,怎樣組織網(wǎng)絡(luò)攻防課程的授課內(nèi)容、選用什么樣的教材、課程教學(xué)實(shí)驗(yàn)如何設(shè)計(jì)以及怎樣確保課內(nèi)學(xué)習(xí)的技術(shù)能夠解決實(shí)際的網(wǎng)絡(luò)安全問題等,都非常值得我們深入研究與探索。
網(wǎng)絡(luò)空間安全是一門全新的學(xué)科,一般認(rèn)為網(wǎng)絡(luò)空間安全應(yīng)該包含密碼學(xué)、網(wǎng)絡(luò)安全、系統(tǒng)安全、內(nèi)容安全以及信息對抗等五大方向的知識內(nèi)容[2]。其中,網(wǎng)絡(luò)安全最貼近人們的日常生活,平時在日常生活中見到的網(wǎng)絡(luò)釣魚、電信詐騙、QQ盜號、蠕蟲、木馬等技術(shù)都屬于網(wǎng)絡(luò)安全的范疇。因?yàn)檫@類技術(shù)具有較強(qiáng)的實(shí)用性和挑戰(zhàn)性,所以網(wǎng)絡(luò)攻防類課程成為最受學(xué)生歡迎的網(wǎng)絡(luò)安全類課程之一。但是,目前該課程的知識體系與理論支撐仍在探索之中,怎樣建設(shè)好網(wǎng)絡(luò)攻防類課程成為網(wǎng)絡(luò)空間安全專業(yè)亟待解決的重要問題。
網(wǎng)絡(luò)攻防課程知識結(jié)構(gòu)的設(shè)置沒有現(xiàn)成的案例可以參考,它不像傳統(tǒng)的計(jì)算機(jī)課程那樣具有非常成熟的知識體系。因此,網(wǎng)絡(luò)攻防課程需要在課程建設(shè)過程中,根據(jù)社會對網(wǎng)絡(luò)安全技術(shù)的需求不斷總結(jié)和積累,形成適合本校培養(yǎng)計(jì)劃的課程知識體系。通過對國內(nèi)本科院校相關(guān)課程的調(diào)查分析發(fā)現(xiàn),網(wǎng)絡(luò)攻防課程涉及的知識面大同小異,基本上都包括信息的收集、口令破解、Web安全、網(wǎng)絡(luò)欺騙、日志清除、逆向工程、社會工程學(xué)等,但是對知識體系要求掌握的程度卻有很大差別。雖然都是網(wǎng)絡(luò)攻防課程,但是該課程可能屬于不同專業(yè)的不同學(xué)期,其培養(yǎng)目標(biāo)、前導(dǎo)課設(shè)置、師資情況也不盡相同,因此,在課程知識結(jié)構(gòu)與學(xué)時安排上都有很大的區(qū)別。濟(jì)南大學(xué)暫時沒有網(wǎng)絡(luò)空間安全類專業(yè),而是借助網(wǎng)絡(luò)工程專業(yè)的優(yōu)勢,在其下設(shè)置了網(wǎng)絡(luò)安全方向[3-4],從2005年起就陸續(xù)開設(shè)了應(yīng)用密碼學(xué)、PKI原理與技術(shù)、網(wǎng)絡(luò)安全協(xié)議、防火墻與入侵檢測、網(wǎng)絡(luò)攻防技術(shù)入門、網(wǎng)絡(luò)信息對抗等相關(guān)網(wǎng)絡(luò)安全類課程群。其中,應(yīng)用密碼學(xué)、PKI原理與技術(shù)、網(wǎng)絡(luò)安全協(xié)議等課程主要從密碼學(xué)應(yīng)用與工程技術(shù)角度組織課程知識點(diǎn),結(jié)合實(shí)際的密碼應(yīng)用系統(tǒng)組織教學(xué)過程[5];防火墻與入侵檢測技術(shù)結(jié)合網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)、網(wǎng)絡(luò)管理等課程進(jìn)行知識體系的設(shè)置;對于涉及跨度廣、實(shí)踐性較強(qiáng)的網(wǎng)絡(luò)攻防課程,如何根據(jù)網(wǎng)絡(luò)工程專業(yè)自身的特點(diǎn)以及本校的專業(yè)積累設(shè)計(jì)合理的教學(xué)內(nèi)容具有一定的難度。
教材的選擇是一門藝術(shù),合適的教材不僅能節(jié)省教師的精力,而且能夠給廣大學(xué)生帶來學(xué)習(xí)的快樂。以清華大學(xué)出版社、機(jī)械出版社、人民郵電出版社等出版社為例,每年都有不少網(wǎng)絡(luò)安全類教材出版或者再版,教材的名字繁多,諸如計(jì)算機(jī)網(wǎng)絡(luò)安全、網(wǎng)絡(luò)信息對抗、網(wǎng)絡(luò)攻防技術(shù)等,單從名字上看,這些教材基本上能夠滿足不同培養(yǎng)方案里的課程名稱要求。但是如果從教材的內(nèi)容細(xì)分一下,卻不盡然。不同教材的側(cè)重點(diǎn)不同,例如,有的教材側(cè)重協(xié)議分析,有的側(cè)重Web滲透,還有的教材側(cè)重代碼分析,等等。如何在眾多的教材中選擇適合本校網(wǎng)絡(luò)工程專業(yè)的網(wǎng)絡(luò)攻防教材,培養(yǎng)具有本校特點(diǎn)的網(wǎng)絡(luò)安全人才是一個值得研究的問題。
網(wǎng)絡(luò)攻防課程實(shí)驗(yàn)操作性強(qiáng)、難度大,具有一定的破壞性。如果全部按照相關(guān)教材上給出的實(shí)驗(yàn)方法,搭設(shè)網(wǎng)絡(luò)攻防實(shí)驗(yàn)存在一定的困難與不確定性。實(shí)驗(yàn)對系統(tǒng)的環(huán)境要求比較敏感,按照教材上給出的方法與步驟不一定能夠搭建成功,即使搭建成功,也不一定能夠得出預(yù)期的實(shí)驗(yàn)效果。當(dāng)然,市面上有不少網(wǎng)絡(luò)安全教學(xué)實(shí)驗(yàn)平臺可以選擇,但是這些平臺最大的問題是與教材的契合度較低。一方面,課程涉及到的理論問題,無法在實(shí)驗(yàn)平臺上得到有效的驗(yàn)證,另一方面,實(shí)驗(yàn)平臺上提供的實(shí)驗(yàn)缺少合適的理論支撐。因此,如何根據(jù)網(wǎng)絡(luò)工程專業(yè)學(xué)生的基礎(chǔ)設(shè)置切實(shí)可行的實(shí)驗(yàn)方案,是另一個非常值得研究的問題。
濟(jì)南大學(xué)在2011年秋季學(xué)期首次在網(wǎng)絡(luò)工程專業(yè)的大三上學(xué)期開設(shè)網(wǎng)絡(luò)攻防課程,計(jì)劃總學(xué)時48學(xué)時,其中理論課32學(xué)時,實(shí)驗(yàn)課16學(xué)時。教學(xué)知識內(nèi)容包括:網(wǎng)絡(luò)協(xié)議、安全風(fēng)險(xiǎn)與評估、Web安全、網(wǎng)絡(luò)欺騙、蜜罐技術(shù)、安全策略、安全網(wǎng)絡(luò)設(shè)計(jì)等知識點(diǎn)。經(jīng)過3屆學(xué)生的學(xué)習(xí)與探索,發(fā)現(xiàn)網(wǎng)絡(luò)協(xié)議部分與其他課程重復(fù)度較高,網(wǎng)絡(luò)風(fēng)險(xiǎn)與評估部分可操作性較差,安全網(wǎng)絡(luò)設(shè)計(jì)部分缺少可驗(yàn)證性的實(shí)驗(yàn)支撐。因此,筆者于2014年對教學(xué)大綱進(jìn)行了調(diào)整,去掉網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)風(fēng)險(xiǎn)與評估、安全網(wǎng)絡(luò)設(shè)計(jì)等教學(xué)內(nèi)容,增加Web攻擊與防護(hù),重點(diǎn)講授SQL注入、PHP注入、XSS攻擊等相關(guān)理論與技術(shù),增加緩沖區(qū)溢出攻擊與逆向工程,計(jì)劃學(xué)時調(diào)整為64學(xué)時,其中理論學(xué)時與實(shí)驗(yàn)各占32學(xué)時。這種教學(xué)內(nèi)容經(jīng)過兩屆學(xué)生的實(shí)踐,發(fā)現(xiàn)突出的問題是教學(xué)內(nèi)容與課程實(shí)踐平臺脫節(jié),因?yàn)檫@個階段學(xué)校引進(jìn)了商業(yè)版本的網(wǎng)絡(luò)攻防實(shí)踐平臺,實(shí)踐內(nèi)容比較豐富,但是很多實(shí)驗(yàn)缺少理論鋪墊,學(xué)生無法應(yīng)對實(shí)踐問題的變化,而且重點(diǎn)不突出。針對這個問題,我們于2016年對教學(xué)內(nèi)容和教學(xué)過程做了大幅調(diào)整。一方面,根據(jù)網(wǎng)絡(luò)安全生態(tài)中對Web安全與逆向工程的剛性需求,增加了Web安全與逆向工程的學(xué)時。同時帶領(lǐng)學(xué)生開展課后實(shí)踐,組織學(xué)生參加各種網(wǎng)絡(luò)安全技能比賽,參與各種網(wǎng)絡(luò)滲透測試實(shí)踐,組織網(wǎng)絡(luò)安全技術(shù)沙龍,進(jìn)行網(wǎng)絡(luò)安全技術(shù)大討論。另一方面,結(jié)合學(xué)校商業(yè)版本的網(wǎng)絡(luò)安全實(shí)踐教學(xué)平臺,編寫相應(yīng)的理論內(nèi)容,使每一個實(shí)踐操作模塊都具有相應(yīng)的理論支撐,解決了網(wǎng)絡(luò)攻防類課程理論教學(xué)與實(shí)踐教學(xué)脫節(jié)的問題。在授課過程中,充分利用網(wǎng)絡(luò)安全專業(yè)實(shí)驗(yàn)室的硬件條件,理論課與實(shí)踐課交叉進(jìn)行,先講授一節(jié)理論課,接著進(jìn)行實(shí)踐操作,做到了理論與實(shí)踐的有效結(jié)合,產(chǎn)生了較好的教學(xué)效果。上述3次教學(xué)內(nèi)容改革的詳細(xì)情況見表1。
在教學(xué)參考資料的選擇上經(jīng)歷了3個階段,2011年剛開設(shè)網(wǎng)絡(luò)攻防課程時,市面上的教材相對還比較匱乏,主要參考資源是一些“**黑客技術(shù)內(nèi)幕”“**技術(shù)大曝光”等技術(shù)類圖書資料。但是,這些資源作為技術(shù)參考資料尚可,作為大學(xué)生的課程教材還有些欠缺。經(jīng)過對相關(guān)教材的調(diào)研,我們最終選擇了肖軍模主編的《網(wǎng)絡(luò)信息對抗》作為學(xué)生用書,同時選用賀雪晨編寫的《信息對抗與網(wǎng)絡(luò)安全》作為參考教材。經(jīng)過兩年的使用,發(fā)現(xiàn)教材內(nèi)容與我們的培養(yǎng)目標(biāo)存在一些偏差,例如,對于密碼學(xué)部分與網(wǎng)絡(luò)協(xié)議部分,學(xué)生已經(jīng)在其他先導(dǎo)課程里有非常深入的學(xué)習(xí),信息戰(zhàn)與電磁戰(zhàn)部分偏離了我們的培養(yǎng)方向。因此,在2014年秋季學(xué)期,我們選用了諸葛建偉老師編寫的《網(wǎng)絡(luò)攻防技術(shù)與實(shí)踐》作為我們的主要參考教材,主要講解網(wǎng)絡(luò)信息收集、網(wǎng)絡(luò)嗅探、網(wǎng)絡(luò)協(xié)議攻擊、操作系統(tǒng)的安全(口令破解、安全策略)、惡意代碼、緩沖區(qū)溢出、Web安全、逆向分析等。實(shí)踐發(fā)現(xiàn),諸葛建偉老師編寫的《網(wǎng)絡(luò)攻防技術(shù)與實(shí)踐》教材理論扎實(shí),可操作性強(qiáng),與網(wǎng)絡(luò)安全生態(tài)結(jié)合度好。但是,該教材對學(xué)生的計(jì)算機(jī)基礎(chǔ)要求很高,對于地方性本科院校的學(xué)生來說難度偏大。因此,我們參考諸葛建偉老師的教材,結(jié)合學(xué)校商業(yè)版本的實(shí)踐教學(xué)平臺,重新組織了理論課件,課件只講述實(shí)踐教學(xué)平臺中涉及的相關(guān)理論,省略難度較大的部分。同時,突出Web安全與逆向工程,增強(qiáng)所講內(nèi)容的實(shí)用性。
實(shí)驗(yàn)可以幫助學(xué)生加深對課堂理論的理解,幫助學(xué)生掌握所學(xué)的技術(shù),提高學(xué)生的動手能力。對于網(wǎng)絡(luò)攻防課程這樣要求動手能力較強(qiáng)的課程來說更是如此,能否通過實(shí)驗(yàn)掌握課堂講解的攻防技術(shù),直接影響學(xué)生的學(xué)習(xí)興趣和對知識的掌握程度。2011年秋季學(xué)期開設(shè)網(wǎng)絡(luò)攻防課程時,學(xué)校缺少相應(yīng)的實(shí)驗(yàn)條件,對于攻防實(shí)驗(yàn)處于摸索期,選用的實(shí)驗(yàn)環(huán)境是WebGoat。WebGoat是一個免費(fèi)的Web漏洞測試平臺,對于Web安全來說是一個比較理想的實(shí)驗(yàn)環(huán)境[6]。實(shí)踐中,我們主要對XSS腳本攻擊、Web訪問控制、Web的線程安全、隱藏字段、弱會話cookie、Sql盲注、失效的HTML注釋等進(jìn)行實(shí)驗(yàn),訓(xùn)練學(xué)生掌握Web滲透與防護(hù)技術(shù)。隨著對網(wǎng)絡(luò)攻防課程的不斷建設(shè),我們在2012的實(shí)驗(yàn)中增加了Back Track(現(xiàn)在已經(jīng)發(fā)展成為一個獨(dú)立的操作系統(tǒng),稱為Kali Linux)實(shí)驗(yàn),包括端口掃描、漏洞利用、拒絕服務(wù)攻擊、無線局域網(wǎng)口令破解、緩沖區(qū)溢出等實(shí)驗(yàn)。2013年秋季學(xué)期,學(xué)校引進(jìn)了商業(yè)版本的網(wǎng)絡(luò)信息安全實(shí)踐教學(xué)平臺,實(shí)驗(yàn)內(nèi)容更加豐富,實(shí)驗(yàn)過程更加簡便,這給網(wǎng)絡(luò)安全實(shí)踐教學(xué)帶來了極大的便利。結(jié)合教學(xué)大綱的修訂,課程實(shí)驗(yàn)選用信息收集、口令破解、Web安全、網(wǎng)絡(luò)竊聽、日志分析與清除、安全策略、惡意代碼、緩沖區(qū)溢出、逆向工程等實(shí)驗(yàn)?zāi)K。截至目前,理論教學(xué)與實(shí)踐教學(xué)主要圍繞上述實(shí)驗(yàn)?zāi)K展開,重點(diǎn)培養(yǎng)學(xué)生的Web滲透測試與逆向分析能力。
信息技術(shù)革命推動了網(wǎng)絡(luò)應(yīng)用的巨大發(fā)展,而網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)需要大量的網(wǎng)絡(luò)安全技術(shù)人才。全國各地逐漸興起了各類網(wǎng)絡(luò)安全技能大賽,以賽促教、以賽促學(xué)的教學(xué)模式日漸成型。限于本校的學(xué)科力量,濟(jì)南大學(xué)主要關(guān)注“山東省大學(xué)生網(wǎng)絡(luò)安全技能大賽”,該賽事由共青團(tuán)山東省委員會、山東省互聯(lián)網(wǎng)信息辦公室、山東省經(jīng)濟(jì)和信息化委員會、山東省教育廳、山東省公安廳、山東省國家安全廳、山東省通信管理局、山東省學(xué)生聯(lián)合會共同發(fā)起,山東省信息化協(xié)會主辦,至今已經(jīng)成功舉辦了6屆。我們從第二屆比賽開始參與,截至目前已經(jīng)連續(xù)參加了5屆,而且在大賽中保持了較好的成績。較好的賽績對于營造良好的教學(xué)氛圍、激發(fā)學(xué)生的學(xué)習(xí)興趣、促進(jìn)學(xué)生的就業(yè)都起到了良好的作用。
網(wǎng)絡(luò)攻防課程作為濟(jì)南大學(xué)網(wǎng)絡(luò)工程專業(yè)網(wǎng)絡(luò)安全方向的核心課程,是網(wǎng)絡(luò)工程專業(yè)的方向必修課。經(jīng)過6年的教學(xué)實(shí)踐,3次教學(xué)大綱的修訂,3次教學(xué)內(nèi)容的改進(jìn),3次實(shí)驗(yàn)內(nèi)容的改革,逐漸形成了以賽促教、以賽促學(xué)、賽教結(jié)合特色課程。每年有大約10%~15%的畢業(yè)生選擇了網(wǎng)絡(luò)安全工作崗位,進(jìn)入國家相關(guān)部門和網(wǎng)絡(luò)安全公司從事專門的網(wǎng)絡(luò)安全工作。
隨著社會對網(wǎng)絡(luò)安全人才的不斷增加,本校對于網(wǎng)絡(luò)安全專業(yè)建設(shè)的投入也在加大,計(jì)劃在原有網(wǎng)絡(luò)安全課程群建設(shè)的基礎(chǔ)上申請網(wǎng)絡(luò)空間安全專業(yè),設(shè)置更加豐富的網(wǎng)絡(luò)安全知識體系,培養(yǎng)更多的網(wǎng)絡(luò)安全技術(shù)人才,服務(wù)山東地方經(jīng)濟(jì)發(fā)展。