互联网+时代民办高职网络攻防技术课程实践教学体系设计与实施

2019-04-01彭光彬张永志

计算机教育 2019年3期

彭光彬，张永志

（重庆机电职业技术学院信息工程学院，重庆 402760）

1 互联网+时代网络攻防技术课程实践教学面临的挑战

1）实践教学内容陈旧。

进入21世纪以来，IT技术得到迅猛发展，一些在网络安全上造成重大影响的安全漏洞陆续被修复，而另一些新的安全漏洞也被陆续挖掘出来，同时黑客技术或网络攻击方法也在不断演进，但是当前许多网络攻防技术教材仍然在教授Windows XP时代或以前的一些网络攻防技术，很少或几乎没有涉及最近2年内的一些安全漏洞或网络攻击方法。另外，由于教材开发周期一般比较长，导致教材在某些内容上仍然跟不上技术的发展，很难做到与时俱进，因时而变，因此，实践内容的陈旧是当前互联网+时代网络攻防技术课程实践教学面临的一个巨大挑战。

2）教授与学习难度大。

网络攻防技术课程是一门综合性、实践性很强的课程，涉及的前导课程多达6～10门（如图1所示），涵盖信息安全与管理专业的大部分专业课程。教师在课上除了要讲授网络攻防技术外，还需复习、展开、深化以前讲过的知识，使学生对相关原理融会贯通、举一反三，这要求教师必须对这些内容信手拈来、烂熟于胸，并加大授课难度。如果授课方法不当，对内容不熟悉，就会使学生失去学习的信心和兴趣。

网络攻防技术课程涉及面广，实验比较多，每个实验环境基本都不一样。实验环境的准备是一个很大的挑战，一般的微机管理员或实验员很难正确部署，而对于一般民办高职院校，购买动辄几十万的实验设备和实训软件，也是一件比较困难的事情，因此要上好网络攻防技术课程，无论对教师还是学生，都要付出极大的努力才行。

图1 网络攻防技术课程前导课程示意图

2 民办高职网络攻防技术课程实践体系的设计与实施

2.1 根据人才培养目标确定课程侧重点

信息安全与管理专业的培养目标是培养德、智、体、美等全面发展的，具有与本专业相适应的文化水平、良好的职业道德和创新精神，掌握计算机网络与信息安全基本理论和专业知识，具有网络系统建设与管理、信息系统安全测评、安全方案制订及实施、安全产品销售等技能，能够从事信息安全管理、信息安全设计、网络管理、网络工程设计、施工及技术支持等方面工作的高素质技术技能型专门人才。

围绕课程目标，结合信息安全与管理专业的课程开设情况，网络攻防技术课程作为信息安全与管理专业的专业核心技术课程，其重点在于“攻”，但同时也应兼顾“防”（同期开设有网络防护技术专注于“防”）；以案例为载体，以技能为抓手，强调网络攻防原理的重要性。本课程以网络攻防为线索，使学生在学习和实践过程中融会贯通已学的网络、信息安全、操作系统、数据库、编程语言等相关知识和技能，熟悉常见漏洞的发掘方法和网络攻击模式；掌握常用安全工具的使用；针对常见的漏洞和安全缺陷，设计并实施相关防护策略，为将来从事信息安全管理与设计相关工作打下坚实基础。

2.2 设计互联网+时代网络攻防技术课程实践体系

网络攻防技术课程以网络攻击的过程为主线。教师可根据信息安全与管理专业相关人才培养目标，利用互联网+相关技术[1]（网页爬取技术、分词技术、数据分析技术等），从相关招聘网站（如51job、智联招聘网等）统计信息安全工程师、渗透测试工程师等职位相关信息，并结合用人单位实地走访情况，从网络攻击者的角度串起整个课程。

在某些实践内容的选取上，充分利用互联网内容的及时性、海量性，广泛调研、综合权衡，最终形成如图2所示的实践体系纲目。

图2 网络攻防技术课程知识体系概览

1）利用开源软件搭建实验平台。

由于网络攻防技术课程涉及众多系统的多个版本，如Linux、Windows，也不可能使用真实搭建的计算机网络，因此该课程某些实验平台的搭建必然要用到虚拟化技术。对于民办院校来说，VMware虚拟化软件价格高昂，成本太高，因此可以使用免费、开源的Oracle VirtualBox进行虚拟化。VirtualBox功能完善、操作简单，非常适合实验教学。

Web攻防技术课程的教学也使用开源软件DVWA（damn vulnerable Web application）模拟Web攻防。DVWA是RandomStorm的一个开源项目，是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用，旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助Web开发者更好地理解Web应用安全防范的过程。对于初学者来说，DVWA相比其他测试工具更容易理解和掌握。

除此之外，互联网上还有其他的一些开源软件和专门的靶机ISO文件，使用虚拟机软件直接就可以运行起来，无需再安装配置。

2）利用MOOC资源实施理实一体化教学。

网络攻防技术课程是一门实践性很强的课程，但实践离不开理论的支撑，缺乏理论推导的实践通常都会走一些冤枉路。此外，实践也可以验证理论，有利于加深对理论知识的理解。在教学过程中，应做到既强化实践教学，又高度重视理论教学，在“做”中参悟理论，在“学”中推导实践，边做边学，边学边做，真正实现教、学、做的融合，如在“NSR模式植入代码”的教学过程中，在花2 min左右时间讲授其原理后，立即让学生进行Shellcode代码植入的实验，并让学生在实验过程中思考Shellcode代码为什么能被执行；在大多数学生完成实验后，让部分学生思考为什么实验会失败。经过这样一个教、学、做的过程，绝大部分学生会对实验的原理及方法印象深刻。

在实施理实一体化教学过程中，任课教师除了自己制作一些微课外，还可以利用互联网中一些成熟的MOOC（大型开放式网络课程）资源或视频资源辅助教学，这可大大缓解师资紧张的民办院校教师的备课压力。目前，互联网上的免费MOOC课程比较多，有关网络安全或网络攻防的课程也有一些，尤其在一些专注网络安全的站点上，这些网络课程大多数质量不错，技术较新，教师可以有针对性地选择部分视频或片段解决网络攻防技术课程的重难点及新技术问题。以“TCP/IP协议栈攻防技术”的教学为例，教师首先让学生观看腾讯课堂的MOOC“网络安全攻防实战课”[2]中的“TCP/IP协议栈”视频，然后有针对性地提一些典型问题，有效解决TCP/IP攻防原理难理解、实验难做的问题；在“逆向工程：恶意代码分析技术”的教学中，教师可利用合天网安实验室的MOOC视频“CTF-REVERSE练习之算法分析1”[3]很好地解决逆向分析技术过程复杂、分析难度大的问题。

3）利用博客等资源设计实验。

CSDN、博客园等网站上有许多优秀的IT博客作者，一些专业的网络安全网站也采用博客的形式传播网络安全技术。学生和教师可以充分利用博客、社区（如论坛）、社群（如QQ群、微信群）等发掘优秀的教学案例，借此解决一些疑难问题。教师在讲解Windows系统攻防技术实验时，可以时下最流行（也是招聘单位要求较多的工具）的渗透测试工具Metasploit作为学生学习的主工具，让学生充分掌握该工具的使用，在一篇博客[4]的基础上设计“利用Metasploit生成木马渗透Windows 7”的实验；讲解Linux系统攻防技术实验时，在翻阅多个网站、博客的基础上，利用Kali Linux下的Metasploit软件，选取当下影响比较大的漏洞，设计“Metasploit下利用is_known_pipename漏洞渗透CentOS 6.9”的实验（该漏洞即CVE-2017-7494）；讲解Web攻防实验时，直接可以使用FREEBUFF站点上的DVWA全级别新手指南教程[5]（站点以博客的形式传播）作为实验手册。

4）利用MOOE资源设计或实施实验。

随着云计算等技术的发展，MOOE（massive open online experiments）即大规模在线开放实验室，很好地解决了网络攻防技术课程实验环境搭建的烦恼。MOOE具有大规模、开放性和在线支持的特点[6]，既可以满足学生不受时空约束的自我学习需要，又可以让教师摆脱实验室的束缚，从多种维度观察和评测学生的学习效果。目前在安全领域做得比较好的MOOE是合天网安实验室，民办院校一方面可以借鉴其实验设计自己的实验，如上文中提到的逆向工程算法分析实验，另一方面教师也可以挑选部分实验（可分成必做、选做两部分），鼓励学生在其平台上完成实验。除了合天网安实验室，实验吧也做得不错，可以参照其模式（夺旗模式）、内容设计部分实验。

5）利用移动设备、网络教学平台等辅助教学。

随着移动互联网技术的不断发展，智能手机等移动设备在学生中已经相当普及。一些在线考试系统对教师推出免费服务，如“考试酷”“蓝墨云”“雨课堂”等就有考试服务（测试活动）。利用移动互联网技术实现实时课堂测评成为可能，有利于教师及时掌握学生的学习效果，督促学生学习。除此之外，清华大学开发的免费软件“雨课堂”还有考勤、视频播放等功能，学生只要用手机扫描PPT上的课堂二维码，输入课堂验证码就可实现考勤；在放映幻灯片时，可把一些互联网上的视频资源、测评题目推送到学生手机上。

互联网+时代网络攻防技术课程实践体系解决方案如图3所示，教师可据此设计相应实践课程体系，以实现其新颖性、易操作性以及便于考查教学效果等目的。

图3 互联网+时代网络攻防技术课程实践体系解决方案

3 互联网+时代网络攻防技术课程实践教学的实施

1）教学模式：理实一体化。

理实一体化的教学模式非常适合网络攻防技术课程的实践教学，由于高职学生的特性所在，部分学生对原理性、理论性的知识掌握得并不是很好，但其对动手实验相当感兴趣，因此，应正确引导这部分学生，防止学生成为“脚本小子”，在做完实验后应让学生回顾一下实验原理，让其不但知其所以然，而且能举一反三，融会贯通。

2）任务驱动：小、大任务模式。

网络攻防技术课程内容多而杂，一般来讲，一个章节一个任务，或一个章节几个任务（如Web攻防技术就有5个任务，每个任务有3个级别），这些属于大任务，几乎涵盖该章节的所有内容。在该章节开始之前，通过巧妙的方法加以提出，引导学生逐步实现这些任务。

在实际教学过程中，这些大任务也套着小任务，如Windows攻防技术，包括Windows进程/线程查看分析、注册表使用、命令式用户/组创建、口令破解、安全配置、SQL存储过程提权等小任务，最后以两个大任务“利用Metasploit生成木马渗透Windows 7”“利用MS08-067漏洞攻击Windows XP SP2”结束该内容；再如恶意代码及其分析技术，包括恶意程序识别、文件格式识别、反汇编、反编译、加壳、脱壳、静态分析、动态分析等小任务，最后以2个大任务“CRACKME系列破解分析”“CTF-REVERSE练习之算法分析”结束该内容。小任务时间短（不超过5 min）、容易完成，且提高大任务的总体完成率；大任务时间长（一节课及以上时间）、难完成，有一定挑战性、综合性，是对各个小节点内容的综合、复习，小、大任务模式有利于学生知识、技能的掌握。

4 互联网+时代网络攻防技术课程实践评测体系

根据网络攻防技术课程的特点，课程的评测应尽量避免期末考试一刀切的方法，而应注重过程考核，加大学生平时实验成绩比例；同时还应加强课堂测评，以便端正学生学习态度，培养学生良好的学习习惯，及时掌握学生学习效果[7]。课程评测比例构成见表1。

表1 网络攻防技术课程评测比例构成

目前该课程题库已有400个选择、判断题，课堂测评一般安排在每次课的最后5 min。学生在测试时使用手机作答，题目随机排序、随机抽题（至少2倍比例抽题）、随机编排备选答案，避免学生抄袭。课堂实验需完成24个，评分标准见表2（信息安全与管理专业采取小班化教学，前5名完成实验的学生将协助教师参与成绩评定）。课外实验主要以合天实验、实验吧实验为主，要求每名学生注册账号，以截图形式提交，以学会自主学习，明白课内学习是打基础，课外学习才是提升水平的有效之道。