信息安全專業(yè)實踐教學方法初探

姚罡

【摘 要】信息安全課程內(nèi)容涉及大量概念、理論體系、算法和協(xié)議，教學過程中應(yīng)考量如何將理論與實踐結(jié)合，實現(xiàn)理論到實踐應(yīng)用的自然過渡，由單純知識傳授轉(zhuǎn)移到重視能力培養(yǎng)上來。本文圍繞該問題討論了可行的實踐教學方法和改革實踐，達到提高學生學習自主性和創(chuàng)新能力的目的。

【關(guān)鍵詞】信息安全;實踐教學;奪旗賽

中圖分類號： TP309-4 文獻標識碼： A文章編號： 2095-2457（2019）21-0123-002

DOI：10.19694/j.cnki.issn2095-2457.2019.21.055

Research on the Practice Teaching Methods of Information Security

YAO Gang

（Department of Computer Science and Information security，Guilin University of Electronic Technology，

Guilin Guangxi 541004，China）

【Abstract】The information security course covers a large number of concepts，theoretical systems，algorithms and protocols.In the teaching process，the educators should consider how to combine theory with practice，and help students transiting from theory learning to practical application naturally，it is necessary to focus on develop students' ability，not just on knowledge teaching.In order to develop students' active learning and innovation ability，this paper discusses feasible teaching methods and reform practices in information security area.

【Key words】Information security;Practice teaching;Capture the flag

0 引言

信息安全課程涉及的知識點非常廣泛，如計算機體系結(jié)構(gòu)、操作系統(tǒng)、計算機網(wǎng)絡(luò)、數(shù)據(jù)庫、密碼學、計算機病毒、網(wǎng)絡(luò)攻擊等，這些內(nèi)容涵蓋成熟的理論及技術(shù)，又要動態(tài)地應(yīng)對日新月異的實際安全問題，而實踐教學是鞏固理論知識和加深對理論認識的有效途徑，那么對信息安全專業(yè)實踐教學進行改革并付諸實踐，培養(yǎng)符合社會需求的信息安全人才是很有必要的。

1 信息安全專業(yè)實踐教學方法應(yīng)用

信息安全專業(yè)與計算機科學與技術(shù)專業(yè)的課程體系相近，增加了信息安全相關(guān)的課程，這些課程的教學內(nèi)容與達成目標具有特殊性，實踐環(huán)節(jié)的實施也對教學方法提出了新的要求。結(jié)合實際教學中的應(yīng)用，本文總結(jié)了信息安全專業(yè)實踐教學過程中有益的嘗試。

1.1 傳統(tǒng)教學方法

傳統(tǒng)教學方法在信息安全課堂教學中具有主導(dǎo)地位，應(yīng)用于信息安全專業(yè)理論教學中，如信息安全概論、密碼學及數(shù)學基礎(chǔ)、網(wǎng)絡(luò)協(xié)議分析、計算機病毒原理等，重點在于提高學生的基礎(chǔ)理論知識和通用技能，讓學生明晰不同課程知識點之間的貫通性，從更寬泛的角度去學習，具有安全研究素養(yǎng)，為日后的高層次學習和實踐能力培養(yǎng)打下堅實基礎(chǔ)。

傳統(tǒng)教學方法注重教師課堂理論講解，在常規(guī)的理論和實驗教學中，學生往往處于被動地位，因而需加強學生學習的主動性。理論課程核心內(nèi)容應(yīng)涉及信息安全主流知識點，通過將這些知識點與具體案例結(jié)合，雖然學生的學習方式、學習進度各不相同，但課后可以重復(fù)教師課堂理論授課的案例，進一步理解并掌握該知識點，培養(yǎng)學生的學習主動性。

為激發(fā)學生興趣，教學中并不完全遵循先理論后實踐的方式，比如密碼學，可以先讓學生嘗試破譯密文、閱讀有意思的密碼歷史故事、分析勒索蠕蟲的工作機制，學生在理解密碼學的意義后，逐步主動把學習重點放在數(shù)學理論的證明和密碼算法的應(yīng)用上。信息安全理論教學內(nèi)容應(yīng)圍繞一個或多個實踐案例開展，直接描述出課程的實用性和應(yīng)用實例，實現(xiàn)理論到實際應(yīng)用的自然過渡。

嘗試改變課后作業(yè)模式，大多數(shù)信息安全專業(yè)課程實踐操作性強，如果仍然以交作業(yè)本的形式來做一些提問、問答的題目，顯然不適合動手能力的培養(yǎng)，同時不可避免部分學生抄襲作業(yè)，所以可以加大作業(yè)內(nèi)容中實踐項目操作比重，從“重理論”轉(zhuǎn)換到實踐項目實施呈現(xiàn)，由淺入深，并與課內(nèi)實驗項目銜接，作業(yè)的批改采用實踐操作驗收方式，師生互動強。

1.2 項目融合法

大學生創(chuàng)新訓(xùn)練項目和科教協(xié)同項目實施過程要求學生理論與實踐相結(jié)合，主要內(nèi)容最終體現(xiàn)在實際應(yīng)用上。因為項目的實施主體是學生，對于其他學生而言，這些項目的實現(xiàn)并不是遙不可及，那么教師可以將實施效果較好的項目引入到教學實踐中，針對項目的不同功能模塊，總結(jié)其中涉及到專業(yè)知識點及其實現(xiàn)技術(shù)，從而貫穿于理論教學。在實踐教學方面，對項目進行合理分解，按難易程度或以知識點為分類依據(jù)設(shè)計成多個實驗，將課程教學落到實踐環(huán)節(jié)，教師在實驗教學中可以復(fù)制指導(dǎo)項目的模式，針對學生在實驗中出現(xiàn)的問題，采用提示和設(shè)疑的方法讓學生運用所學的知識，查閱資料，解決問題，培養(yǎng)學生學習的自主性和創(chuàng)新能力。

通過將完成的大創(chuàng)項目進行分解，設(shè)計了局域網(wǎng)嗅探及其防范實驗項目，實驗內(nèi)容遵循基礎(chǔ)性、綜合設(shè)計性、創(chuàng)新性三層次模型，基礎(chǔ)性內(nèi)容重點完成符合實驗要求的網(wǎng)絡(luò)環(huán)境搭建，涵蓋交換機、路由器、Web服務(wù)器、DHCP服務(wù)器配置等內(nèi)容，熟悉命令行及常用掃描工具使用，掌握利用網(wǎng)絡(luò)協(xié)議分析工具（如Wireshark）進行ARP、HTTP等網(wǎng)絡(luò)協(xié)議的分析。綜合設(shè)計性部分要求學生設(shè)計思路，通過構(gòu)造和發(fā)送ARP假冒報文等方法完成交換網(wǎng)絡(luò)下的嗅探，然后分析、掌握該攻擊工作原理，給出合理、針對性的防范措施，在此基礎(chǔ)上，進一步研究無線局域網(wǎng)的中間人攻擊，試圖通過熱點偽造、路由器入侵等方法控制內(nèi)網(wǎng)，并分析可行的防范措施。創(chuàng)新性內(nèi)容針對能力較高的學生，可以留在課后進行，旨在培養(yǎng)提高學生綜合設(shè)計開發(fā)能力，通過TCP/IP協(xié)議編程，特別是基于Winpcap編程的學習，指導(dǎo)學生自主設(shè)計實驗過程中用到的軟件，如網(wǎng)絡(luò)數(shù)據(jù)報文構(gòu)造、發(fā)送器、掃描器、入侵檢測與防范系統(tǒng)等，并可以擴展為課程設(shè)計、畢業(yè)設(shè)計課題，促進學生在某個知識點的深入學習和實踐。

1.3 攻防實戰(zhàn)教學法

CTF（奪旗）比賽是目前信息安全業(yè)界最受歡迎的活動，是攻防實戰(zhàn)教學的有效實施方案，參賽學生可以充分展示他們的專業(yè)技能。教師擔當指導(dǎo)工作，幫助學生參加或組織CTF比賽。通過完成關(guān)卡任務(wù)，學生接觸到信息安全領(lǐng)域的現(xiàn)實問題，基于對抗性比賽的學習方法以學生為中心，學生們專注于某個具體的安全問題并找到解決方案，促進解決問題的技能和認知能力，CTF比賽是一個非常好的輔助教學手段。

CTF比賽涉及內(nèi)容廣，解題模式CTF中，任務(wù)通常涉及各種信息安全專業(yè)知識點，如隱寫，逆向工程，密碼學，二進制分析等，攻防模式則需要參賽者足夠的知識儲備和經(jīng)驗，挖掘并利用漏洞，同時也要能夠修補漏洞。學生知識面?zhèn)戎攸c各有不同，賽前學生要整合不同技能的成員組隊參賽以最大發(fā)揮各自的長處，賽中要共享信息和討論解決方案，攜手共進退，賽后進行總結(jié)得失，指出知識薄弱環(huán)節(jié)和進一步想學習的思路，所以CTF比賽是培養(yǎng)學生的自主學習、團隊協(xié)作學習能力的有效途徑。

課外實踐開展CTF比賽具有開放性，比賽層次可高可低，不需要太多的審批手續(xù)，不用遵循教學計劃或進度，比賽關(guān)卡無需局限于教學內(nèi)容，比賽組織者可以是老師，也可以是有一定參賽、組織比賽經(jīng)驗的學生，極具靈活性和可操作性。首先，協(xié)調(diào)本專業(yè)專任教師在各自授課過程中引入CTF賽點，講解原理和解題方法。其次，要求學生高低年級搭配組隊，以老帶新，賽后教師、學生對賽點及利用的工具和解題思路進行分析、講解，寓教于賽，促進學生提高網(wǎng)絡(luò)攻防水平。

2 結(jié)論

通過以上幾種教學方法結(jié)合改進信息專業(yè)實踐教學是非常有益的，但考慮到教學實踐過程有攻有防，具有一定的攻擊性，因而教學過程中必須加強學生信息安全法律法規(guī)與倫理教育，為社會培養(yǎng)德才兼?zhèn)涞男畔踩珜I(yè)人才。

【參考文獻】

[1]Yurcik W，Doss D.Different Approaches in the Teaching of Information Systems Security[C]//2001：32-33.

[2]Mirkovic J，Peterson P A H.Class Capture-the-Flag Exercises[J].2014.

[3]王瑞錦，周世杰，秦志光，等.基于虛擬化技術(shù)的信息安全實驗教學體系建設(shè)[J].實驗科學與技術(shù)，2015.

[4]Mansurov A.A CTF-Based Approach in Information Security Education：An Extracurricular Activity in Teaching Students at Altai State University，Russia[J].Modern Applied Science，2016，10（11）：159.