賈忠田，劉 悅，張 波

（濟(jì)南大學(xué) 信息科學(xué)與工程學(xué)院，山東 濟(jì)南 250022）

0 引言

近年來，隨著物聯(lián)網(wǎng)、人工智能、云計(jì)算、大數(shù)據(jù)等高新技術(shù)產(chǎn)業(yè)的興起，人類社會正在步入一個萬物互聯(lián)的新時代。無論是社會生產(chǎn)還是日常生活都與信息網(wǎng)絡(luò)密不可分，網(wǎng)絡(luò)安全受到了前所未有的關(guān)注與重視。習(xí)近平主席指出：“沒有網(wǎng)絡(luò)安全，就沒有國家安全。沒有信息化，就沒有現(xiàn)代化[1]?！?015年6月，教育部批準(zhǔn)設(shè)置了“網(wǎng)絡(luò)空間安全”一級學(xué)科，為我國培養(yǎng)網(wǎng)絡(luò)安全人才提供了有利的條件。網(wǎng)絡(luò)攻防課程作為網(wǎng)絡(luò)空間安全相關(guān)專業(yè)的一門核心課程，涉及計(jì)算機(jī)、通信、數(shù)學(xué)等多個學(xué)科的知識，其知識體系缺乏科學(xué)的歸納與提煉，可用的參考教材相對匱乏。因此，怎樣組織網(wǎng)絡(luò)攻防課程的授課內(nèi)容、選用什么樣的教材、課程教學(xué)實(shí)驗(yàn)如何設(shè)計(jì)以及怎樣確保課內(nèi)學(xué)習(xí)的技術(shù)能夠解決實(shí)際的網(wǎng)絡(luò)安全問題等，都非常值得我們深入研究與探索。

1 網(wǎng)絡(luò)攻防課程教學(xué)面臨的挑戰(zhàn)

網(wǎng)絡(luò)空間安全是一門全新的學(xué)科，一般認(rèn)為網(wǎng)絡(luò)空間安全應(yīng)該包含密碼學(xué)、網(wǎng)絡(luò)安全、系統(tǒng)安全、內(nèi)容安全以及信息對抗等五大方向的知識內(nèi)容[2]。其中，網(wǎng)絡(luò)安全最貼近人們的日常生活，平時在日常生活中見到的網(wǎng)絡(luò)釣魚、電信詐騙、QQ盜號、蠕蟲、木馬等技術(shù)都屬于網(wǎng)絡(luò)安全的范疇。因?yàn)檫@類技術(shù)具有較強(qiáng)的實(shí)用性和挑戰(zhàn)性，所以網(wǎng)絡(luò)攻防類課程成為最受學(xué)生歡迎的網(wǎng)絡(luò)安全類課程之一。但是，目前該課程的知識體系與理論支撐仍在探索之中，怎樣建設(shè)好網(wǎng)絡(luò)攻防類課程成為網(wǎng)絡(luò)空間安全專業(yè)亟待解決的重要問題。

1.1 教學(xué)知識結(jié)構(gòu)的設(shè)置問題

網(wǎng)絡(luò)攻防課程知識結(jié)構(gòu)的設(shè)置沒有現(xiàn)成的案例可以參考，它不像傳統(tǒng)的計(jì)算機(jī)課程那樣具有非常成熟的知識體系。因此，網(wǎng)絡(luò)攻防課程需要在課程建設(shè)過程中，根據(jù)社會對網(wǎng)絡(luò)安全技術(shù)的需求不斷總結(jié)和積累，形成適合本校培養(yǎng)計(jì)劃的課程知識體系。通過對國內(nèi)本科院校相關(guān)課程的調(diào)查分析發(fā)現(xiàn)，網(wǎng)絡(luò)攻防課程涉及的知識面大同小異，基本上都包括信息的收集、口令破解、Web安全、網(wǎng)絡(luò)欺騙、日志清除、逆向工程、社會工程學(xué)等，但是對知識體系要求掌握的程度卻有很大差別。雖然都是網(wǎng)絡(luò)攻防課程，但是該課程可能屬于不同專業(yè)的不同學(xué)期，其培養(yǎng)目標(biāo)、前導(dǎo)課設(shè)置、師資情況也不盡相同，因此，在課程知識結(jié)構(gòu)與學(xué)時安排上都有很大的區(qū)別。濟(jì)南大學(xué)暫時沒有網(wǎng)絡(luò)空間安全類專業(yè)，而是借助網(wǎng)絡(luò)工程專業(yè)的優(yōu)勢，在其下設(shè)置了網(wǎng)絡(luò)安全方向[3-4]，從2005年起就陸續(xù)開設(shè)了應(yīng)用密碼學(xué)、PKI原理與技術(shù)、網(wǎng)絡(luò)安全協(xié)議、防火墻與入侵檢測、網(wǎng)絡(luò)攻防技術(shù)入門、網(wǎng)絡(luò)信息對抗等相關(guān)網(wǎng)絡(luò)安全類課程群。其中，應(yīng)用密碼學(xué)、PKI原理與技術(shù)、網(wǎng)絡(luò)安全協(xié)議等課程主要從密碼學(xué)應(yīng)用與工程技術(shù)角度組織課程知識點(diǎn)，結(jié)合實(shí)際的密碼應(yīng)用系統(tǒng)組織教學(xué)過程[5]；防火墻與入侵檢測技術(shù)結(jié)合網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)、網(wǎng)絡(luò)管理等課程進(jìn)行知識體系的設(shè)置；對于涉及跨度廣、實(shí)踐性較強(qiáng)的網(wǎng)絡(luò)攻防課程，如何根據(jù)網(wǎng)絡(luò)工程專業(yè)自身的特點(diǎn)以及本校的專業(yè)積累設(shè)計(jì)合理的教學(xué)內(nèi)容具有一定的難度。

1.2 教材的選擇問題

教材的選擇是一門藝術(shù)，合適的教材不僅能節(jié)省教師的精力，而且能夠給廣大學(xué)生帶來學(xué)習(xí)的快樂。以清華大學(xué)出版社、機(jī)械出版社、人民郵電出版社等出版社為例，每年都有不少網(wǎng)絡(luò)安全類教材出版或者再版，教材的名字繁多，諸如計(jì)算機(jī)網(wǎng)絡(luò)安全、網(wǎng)絡(luò)信息對抗、網(wǎng)絡(luò)攻防技術(shù)等，單從名字上看，這些教材基本上能夠滿足不同培養(yǎng)方案里的課程名稱要求。但是如果從教材的內(nèi)容細(xì)分一下，卻不盡然。不同教材的側(cè)重點(diǎn)不同，例如，有的教材側(cè)重協(xié)議分析，有的側(cè)重Web滲透，還有的教材側(cè)重代碼分析，等等。如何在眾多的教材中選擇適合本校網(wǎng)絡(luò)工程專業(yè)的網(wǎng)絡(luò)攻防教材，培養(yǎng)具有本校特點(diǎn)的網(wǎng)絡(luò)安全人才是一個值得研究的問題。

1.3 課程實(shí)驗(yàn)的組織問題

網(wǎng)絡(luò)攻防課程實(shí)驗(yàn)操作性強(qiáng)、難度大，具有一定的破壞性。如果全部按照相關(guān)教材上給出的實(shí)驗(yàn)方法，搭設(shè)網(wǎng)絡(luò)攻防實(shí)驗(yàn)存在一定的困難與不確定性。實(shí)驗(yàn)對系統(tǒng)的環(huán)境要求比較敏感，按照教材上給出的方法與步驟不一定能夠搭建成功，即使搭建成功，也不一定能夠得出預(yù)期的實(shí)驗(yàn)效果。當(dāng)然，市面上有不少網(wǎng)絡(luò)安全教學(xué)實(shí)驗(yàn)平臺可以選擇，但是這些平臺最大的問題是與教材的契合度較低。一方面，課程涉及到的理論問題，無法在實(shí)驗(yàn)平臺上得到有效的驗(yàn)證，另一方面，實(shí)驗(yàn)平臺上提供的實(shí)驗(yàn)缺少合適的理論支撐。因此，如何根據(jù)網(wǎng)絡(luò)工程專業(yè)學(xué)生的基礎(chǔ)設(shè)置切實(shí)可行的實(shí)驗(yàn)方案，是另一個非常值得研究的問題。

2 網(wǎng)絡(luò)攻防教學(xué)的具體措施

2.1 教學(xué)知識結(jié)構(gòu)的設(shè)置與改進(jìn)

濟(jì)南大學(xué)在2011年秋季學(xué)期首次在網(wǎng)絡(luò)工程專業(yè)的大三上學(xué)期開設(shè)網(wǎng)絡(luò)攻防課程，計(jì)劃總學(xué)時48學(xué)時，其中理論課32學(xué)時，實(shí)驗(yàn)課16學(xué)時。教學(xué)知識內(nèi)容包括：網(wǎng)絡(luò)協(xié)議、安全風(fēng)險(xiǎn)與評估、Web安全、網(wǎng)絡(luò)欺騙、蜜罐技術(shù)、安全策略、安全網(wǎng)絡(luò)設(shè)計(jì)等知識點(diǎn)。經(jīng)過3屆學(xué)生的學(xué)習(xí)與探索，發(fā)現(xiàn)網(wǎng)絡(luò)協(xié)議部分與其他課程重復(fù)度較高，網(wǎng)絡(luò)風(fēng)險(xiǎn)與評估部分可操作性較差，安全網(wǎng)絡(luò)設(shè)計(jì)部分缺少可驗(yàn)證性的實(shí)驗(yàn)支撐。因此，筆者于2014年對教學(xué)大綱進(jìn)行了調(diào)整，去掉網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)風(fēng)險(xiǎn)與評估、安全網(wǎng)絡(luò)設(shè)計(jì)等教學(xué)內(nèi)容，增加Web攻擊與防護(hù)，重點(diǎn)講授SQL注入、PHP注入、XSS攻擊等相關(guān)理論與技術(shù)，增加緩沖區(qū)溢出攻擊與逆向工程，計(jì)劃學(xué)時調(diào)整為64學(xué)時，其中理論學(xué)時與實(shí)驗(yàn)各占32學(xué)時。這種教學(xué)內(nèi)容經(jīng)過兩屆學(xué)生的實(shí)踐，發(fā)現(xiàn)突出的問題是教學(xué)內(nèi)容與課程實(shí)踐平臺脫節(jié)，因?yàn)檫@個階段學(xué)校引進(jìn)了商業(yè)版本的網(wǎng)絡(luò)攻防實(shí)踐平臺，實(shí)踐內(nèi)容比較豐富，但是很多實(shí)驗(yàn)缺少理論鋪墊，學(xué)生無法應(yīng)對實(shí)踐問題的變化,而且重點(diǎn)不突出。針對這個問題，我們于2016年對教學(xué)內(nèi)容和教學(xué)過程做了大幅調(diào)整。一方面，根據(jù)網(wǎng)絡(luò)安全生態(tài)中對Web安全與逆向工程的剛性需求，增加了Web安全與逆向工程的學(xué)時。同時帶領(lǐng)學(xué)生開展課后實(shí)踐，組織學(xué)生參加各種網(wǎng)絡(luò)安全技能比賽，參與各種網(wǎng)絡(luò)滲透測試實(shí)踐，組織網(wǎng)絡(luò)安全技術(shù)沙龍，進(jìn)行網(wǎng)絡(luò)安全技術(shù)大討論。另一方面，結(jié)合學(xué)校商業(yè)版本的網(wǎng)絡(luò)安全實(shí)踐教學(xué)平臺，編寫相應(yīng)的理論內(nèi)容，使每一個實(shí)踐操作模塊都具有相應(yīng)的理論支撐，解決了網(wǎng)絡(luò)攻防類課程理論教學(xué)與實(shí)踐教學(xué)脫節(jié)的問題。在授課過程中，充分利用網(wǎng)絡(luò)安全專業(yè)實(shí)驗(yàn)室的硬件條件，理論課與實(shí)踐課交叉進(jìn)行，先講授一節(jié)理論課，接著進(jìn)行實(shí)踐操作，做到了理論與實(shí)踐的有效結(jié)合，產(chǎn)生了較好的教學(xué)效果。上述3次教學(xué)內(nèi)容改革的詳細(xì)情況見表1。

2.2 教學(xué)參考資料的選取

在教學(xué)參考資料的選擇上經(jīng)歷了3個階段，2011年剛開設(shè)網(wǎng)絡(luò)攻防課程時，市面上的教材相對還比較匱乏，主要參考資源是一些“**黑客技術(shù)內(nèi)幕”“**技術(shù)大曝光”等技術(shù)類圖書資料。但是，這些資源作為技術(shù)參考資料尚可，作為大學(xué)生的課程教材還有些欠缺。經(jīng)過對相關(guān)教材的調(diào)研，我們最終選擇了肖軍模主編的《網(wǎng)絡(luò)信息對抗》作為學(xué)生用書，同時選用賀雪晨編寫的《信息對抗與網(wǎng)絡(luò)安全》作為參考教材。經(jīng)過兩年的使用，發(fā)現(xiàn)教材內(nèi)容與我們的培養(yǎng)目標(biāo)存在一些偏差，例如，對于密碼學(xué)部分與網(wǎng)絡(luò)協(xié)議部分，學(xué)生已經(jīng)在其他先導(dǎo)課程里有非常深入的學(xué)習(xí)，信息戰(zhàn)與電磁戰(zhàn)部分偏離了我們的培養(yǎng)方向。因此，在2014年秋季學(xué)期，我們選用了諸葛建偉老師編寫的《網(wǎng)絡(luò)攻防技術(shù)與實(shí)踐》作為我們的主要參考教材，主要講解網(wǎng)絡(luò)信息收集、網(wǎng)絡(luò)嗅探、網(wǎng)絡(luò)協(xié)議攻擊、操作系統(tǒng)的安全（口令破解、安全策略）、惡意代碼、緩沖區(qū)溢出、Web安全、逆向分析等。實(shí)踐發(fā)現(xiàn)，諸葛建偉老師編寫的《網(wǎng)絡(luò)攻防技術(shù)與實(shí)踐》教材理論扎實(shí)，可操作性強(qiáng)，與網(wǎng)絡(luò)安全生態(tài)結(jié)合度好。但是，該教材對學(xué)生的計(jì)算機(jī)基礎(chǔ)要求很高，對于地方性本科院校的學(xué)生來說難度偏大。因此，我們參考諸葛建偉老師的教材，結(jié)合學(xué)校商業(yè)版本的實(shí)踐教學(xué)平臺，重新組織了理論課件，課件只講述實(shí)踐教學(xué)平臺中涉及的相關(guān)理論，省略難度較大的部分。同時，突出Web安全與逆向工程，增強(qiáng)所講內(nèi)容的實(shí)用性。

2.3 課程實(shí)驗(yàn)的不斷改進(jìn)

實(shí)驗(yàn)可以幫助學(xué)生加深對課堂理論的理解，幫助學(xué)生掌握所學(xué)的技術(shù)，提高學(xué)生的動手能力。對于網(wǎng)絡(luò)攻防課程這樣要求動手能力較強(qiáng)的課程來說更是如此，能否通過實(shí)驗(yàn)掌握課堂講解的攻防技術(shù)，直接影響學(xué)生的學(xué)習(xí)興趣和對知識的掌握程度。2011年秋季學(xué)期開設(shè)網(wǎng)絡(luò)攻防課程時，學(xué)校缺少相應(yīng)的實(shí)驗(yàn)條件，對于攻防實(shí)驗(yàn)處于摸索期，選用的實(shí)驗(yàn)環(huán)境是WebGoat。WebGoat是一個免費(fèi)的Web漏洞測試平臺，對于Web安全來說是一個比較理想的實(shí)驗(yàn)環(huán)境[6]。實(shí)踐中，我們主要對XSS腳本攻擊、Web訪問控制、Web的線程安全、隱藏字段、弱會話cookie、Sql盲注、失效的HTML注釋等進(jìn)行實(shí)驗(yàn)，訓(xùn)練學(xué)生掌握Web滲透與防護(hù)技術(shù)。隨著對網(wǎng)絡(luò)攻防課程的不斷建設(shè)，我們在2012的實(shí)驗(yàn)中增加了Back Track（現(xiàn)在已經(jīng)發(fā)展成為一個獨(dú)立的操作系統(tǒng)，稱為Kali Linux）實(shí)驗(yàn)，包括端口掃描、漏洞利用、拒絕服務(wù)攻擊、無線局域網(wǎng)口令破解、緩沖區(qū)溢出等實(shí)驗(yàn)。2013年秋季學(xué)期，學(xué)校引進(jìn)了商業(yè)版本的網(wǎng)絡(luò)信息安全實(shí)踐教學(xué)平臺，實(shí)驗(yàn)內(nèi)容更加豐富，實(shí)驗(yàn)過程更加簡便，這給網(wǎng)絡(luò)安全實(shí)踐教學(xué)帶來了極大的便利。結(jié)合教學(xué)大綱的修訂，課程實(shí)驗(yàn)選用信息收集、口令破解、Web安全、網(wǎng)絡(luò)竊聽、日志分析與清除、安全策略、惡意代碼、緩沖區(qū)溢出、逆向工程等實(shí)驗(yàn)?zāi)K。截至目前，理論教學(xué)與實(shí)踐教學(xué)主要圍繞上述實(shí)驗(yàn)?zāi)K展開，重點(diǎn)培養(yǎng)學(xué)生的Web滲透測試與逆向分析能力。

2.4 以賽促教的評價(jià)模式

信息技術(shù)革命推動了網(wǎng)絡(luò)應(yīng)用的巨大發(fā)展，而網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)需要大量的網(wǎng)絡(luò)安全技術(shù)人才。全國各地逐漸興起了各類網(wǎng)絡(luò)安全技能大賽，以賽促教、以賽促學(xué)的教學(xué)模式日漸成型。限于本校的學(xué)科力量，濟(jì)南大學(xué)主要關(guān)注“山東省大學(xué)生網(wǎng)絡(luò)安全技能大賽”，該賽事由共青團(tuán)山東省委員會、山東省互聯(lián)網(wǎng)信息辦公室、山東省經(jīng)濟(jì)和信息化委員會、山東省教育廳、山東省公安廳、山東省國家安全廳、山東省通信管理局、山東省學(xué)生聯(lián)合會共同發(fā)起，山東省信息化協(xié)會主辦，至今已經(jīng)成功舉辦了6屆。我們從第二屆比賽開始參與，截至目前已經(jīng)連續(xù)參加了5屆，而且在大賽中保持了較好的成績。較好的賽績對于營造良好的教學(xué)氛圍、激發(fā)學(xué)生的學(xué)習(xí)興趣、促進(jìn)學(xué)生的就業(yè)都起到了良好的作用。

3 結(jié)語

網(wǎng)絡(luò)攻防課程作為濟(jì)南大學(xué)網(wǎng)絡(luò)工程專業(yè)網(wǎng)絡(luò)安全方向的核心課程，是網(wǎng)絡(luò)工程專業(yè)的方向必修課。經(jīng)過6年的教學(xué)實(shí)踐，3次教學(xué)大綱的修訂，3次教學(xué)內(nèi)容的改進(jìn)，3次實(shí)驗(yàn)內(nèi)容的改革，逐漸形成了以賽促教、以賽促學(xué)、賽教結(jié)合特色課程。每年有大約10%～15%的畢業(yè)生選擇了網(wǎng)絡(luò)安全工作崗位，進(jìn)入國家相關(guān)部門和網(wǎng)絡(luò)安全公司從事專門的網(wǎng)絡(luò)安全工作。

隨著社會對網(wǎng)絡(luò)安全人才的不斷增加，本校對于網(wǎng)絡(luò)安全專業(yè)建設(shè)的投入也在加大，計(jì)劃在原有網(wǎng)絡(luò)安全課程群建設(shè)的基礎(chǔ)上申請網(wǎng)絡(luò)空間安全專業(yè)，設(shè)置更加豐富的網(wǎng)絡(luò)安全知識體系，培養(yǎng)更多的網(wǎng)絡(luò)安全技術(shù)人才，服務(wù)山東地方經(jīng)濟(jì)發(fā)展。