新工科视域下“网络攻防技术”课程改革探究
2019-09-10蒲晓川
蒲晓川
摘 要:讨论在新工科视域下的“网络攻防技术”课程教学模式改革,需着眼于新型技术、新型产业、新型业态、新型模式,以期提高人才培养质量。新工科以计算机、人工智能等为重点,与“互联网+”时代大背景紧密结合,引入人工智能、仿真技术等,强调实践性、多元性、跨专业性。因此,设计了引入仿真技术和实际案例相结合的教学模式,并且让学生(产品)在高水平竞技比赛中进行检验,所得到的成果(获奖)作为教学质量的检验标准。
关键词:仿真技术;网络攻防技术;课程改革
“网络攻防技术”课程是遵义师范学院专业课程,作为遵义师范学院网络工程专业任选课程,首先,需要把该门课程的位置摆正,在新工科背景下,对该门课程又有了新的要求,该门课程在遵义师范学院是网络工程专业的专业提升课程,基本开设在大学三年级,随着“程序设计基础”“数据库原理”“计算機网络”等基础专业课程的修完,专业核心课程“网络信息安全”也学习完毕,可以按学生的学习兴趣开展专业提升或实践性较强的课程,所以该门课程有其开设的合理性。随着中国互联网的迅速发展,网络安全也越来越受到政府和企业的重视,为了吸引更多对网络安全有兴趣的人才参与到网络安全工作中来,政府投入也逐渐增多,组织更多相关比赛,在这个背景下,开设该门课程为即将参加工作的学生增加核心竞争力、提高专业素养起到很好的作用。作为专业提升课程,需要融入国内外优秀的技术竞赛内容,以更好体现课程的定位。
1 网络攻防课程特点
1.1 教材的选用
“网络攻防技术”课程学习需要结合实际背景,所以在这门课程中,笔者选用的是拥有阿里巴巴背景的中国资深安全行业领军人物吴翰清所著的教材《白帽子讲Web安全》,该教材着眼于实际,除了技术层面的描述,教材中还引入了“安全运营”等管理学思想,与教师想传达给学生网络安全专业是交叉学科的思想不谋而合。
1.2 涉及范围广
“网络攻防技术”课程内容主要从资深网络安全人员的网络安全观入手,使学生身临其境地感受网络安防前辈的防御与攻击思路。然后从企业及部门的角度分析客户端、服务端的安全问题,把分散的安全技术问题集中为网络“进”和“出”的问题,更简单直白、容易理解。当然,该课程还是遇到了相关技术点的问题,包括同源策略、跨站脚本攻击(Cross Site Scripting,XSS)、结构化查询语言(Structured Query Language,SQL)注入、加密算法与随机数、Web框架问题等内容,可见内容涉猎之广[1]。
1.3 课程地位与培养目标
首先,从人才培养目标入手,“网络攻防技术”课程的主要目标是使学生了解网络攻防技术的基础知识并具备网络安全管理的工作能力,能胜任系统管理、网络管理、网络安全工程师等一线岗位,从遵义师范学院网络工程专业人才培养方案(见图1)中可以看出,本课程在整个人才培养体系中的地位及所需基本能力。和前置课程“网络信息安全技术”不同,“网络攻防技术”强调实践能力,不再赘述理论知识,强化网络攻防相关技术及专业网络安全服务理念,所以要求学生的理论功底要深厚,否则无法了解攻防原理与攻防思路,也没办法实现有效的网络安全防御。
1.4 打造学生安全运营理念
强调“三分技术,七分管理”的安全运营理念,让学生注重网络安全管理及管理制度,以适应未来工作中的网络安全挑战。
2 新工科视域下教学模式改革初探
所谓新工科视域下的教学改革,着眼于新型技术、新型产业、新型业态、新型模式,以期提高人才培养质量。新工科以计算机、人工智能等为重点,与“互联网+”时代大背景紧密结合,引入人工智能、仿真技术等,强调实践性、多元性、跨专业性。因此,本文设计了引入仿真技术和实际案例相结合的教学模式,并且让学生(产品)在高水平竞技比赛中进行检验,所得到的成果(获奖)作为教学质量的检验标准。
首先,从该课程的特点入手,由于涉及范围广,在选择相应教学案例时,就要围绕该特点进行教学,如在讲解渗透攻击中的SQL注入环节,必须辅助讲解SQL语句的教学,并适当讲解Web框架构成等,使学生在学习过程中感受到该门课程的特点。其次,该门课程所涉猎的技术都比较新,要求任课教师必须时常了解某些技术的前沿动态,所以,本文提出了引入企业力量的方案,让一线的科研人员进入教学环节中,弥补高校教师实践不足的情况,但也发现一线人员的精力有限,不会在教学中投入过多时间,所以任课教师就要在其中做好的桥梁作用。
本文以遵义师范学院15、16级网络工程专业学生为例,引入新的教学模式。相对高年级网络工程专业学生来说,由于这部分学生已经完成了前置课程的学习,尤其是“网络信息安全技术”等课程的学习,在网络安全技术上已经有了一个好的基础,因此,选择高年级学生作为教学模式改革的试点,主要是考虑到这些学生的理论知识较丰富,但操作能力较差,由于从未接触过攻防实战,学生在实践方面比较薄弱,有的学生理论基础较好,有一定的代码阅读能力,但在真实案例中往往不知从何下手,很难在实践中取得好成绩,没有机会发挥本身的能力。为克服该问题,应从实战思路下手,多看、多练、多应用,团队除了在教学模式改革中注重实操能力提升之外,也必须深入了解理论知识,尽量平衡学生掌握知识的水平。
3 教学内容设计
(1)丢出问题。每个章节都会按照问题导向深入教学,比如“网络攻防技术”课程其中一章会讲到跨站脚本攻击(Cross-Site Scripting,CSS),又称XSS,教师会分层次地提出问题,比如为什么会有XSS攻击、XSS攻击造成什么样的后果、有没有知名企业在XSS攻击中受损等问题,在这样的教学模式下,学生的积极性会有很大提高,而不是上来直接陈述相关技术的概论。最大限度地调动学生积极性是该门课程的核心。
(2)解决问题。根据问题直接提出解决思路与解决方案,还是以XSS为例,问题和后果的提出有两个部分:①如果是我,该怎么利用该问题也造成同样后果,如XSSPayload的学习、终极武器XSS Worm的使用等。②我该怎么防御该方法,如HttpOnly、输入检查、输出检查等。但在实际教学中,教师发现学生往往只注重第一个部分,而不关心第二个部分,这也是教学的难点所在,必须通过第一部分的学习,才能拥有第二部分学习的资格,在此,教师利用了企业教学的模式,引入知名网络安防企业的师资力量,从就业的方面进行引导,这种方式从教师得到的反馈上看,取得了较好的效果。
(3)引入競技模式。夺旗赛(Capture The Flag,CTF)模式起源于1996年DEFCON全球黑客大会[2],以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2018年全球举办了超过150场国际性CTF赛事。因此,考虑到CTF夺旗赛已经较为知名,并且贵州省也曾组织过相关赛事,所以怎么把该模式引入相关教学环节成为重中之重。
学习到一定阶段后,需要检验学习的情况,引入竞技模式,首先是提高了学生积极性,其次是检验了学生的学习情况。本文结合学生的能力情况,在仿真平台的支持下(见图2),以学生自由组合成3人一个队的形式开展,主要知识涉及网络数据包抓取与分析、密码学、暴力破解、结构化查询语、SQL注入、XSS基础、代码审计、数据恢复等。以XSS为例,设置相关靶机,每队同时进行攻击,达到每个攻击点会取得相应积分,最后,分数最高者为胜者[3]。
(4)教学改革总结。每完成一阶段,需进行阶段性的总结,讨论大家的学习情况,总结攻防经验并根据排名的先后各诞生几个团队(3人一队)代表学院参加省级各类网络攻防比赛。
4 教学效果
通过教学模式改革,学生的相关理论知识与实践技能都有明显的提升,特别是学生对网络攻防有了浓厚的兴趣,以往学生都不愿意参加网络攻防的比赛,主要是因为网络攻防是一件很难的事情,甚至觉得完全没可能在比赛中取得好成绩,对网络攻防比赛完全没有信心。通过这次的教学改革,学生都非常想在竞赛平台检验一下自己的知识积累。在一年中,主要组织学生参加了教育部学校规划建设发展中心举办“西普杯”信息安全铁人三项赛、首届遵义师范学院网络攻防大赛。通过这类的大赛,取得了西南赛区二等奖、优胜奖等多个好成绩。这类的比赛吸引了全国很多知名高校,且需要先通过线上比赛才能进入决赛。作为非网络安全专业的学生,能获奖本身就很不容易,且在比赛中比一些知名高校学生更加出色,顺利淘汰掉他们,也很大程度上鼓舞了学生学习的积极性。由此可见,本轮的教学改革取得的教学成果是非常可观的。为了让教学成果具有延续性,每个学期初都会组织参加过比赛的学生参加网络攻防比赛介绍会,让新生充分了解网络攻防比赛,并有信心、有兴趣、主动地参与到教学改革中来[4]。
5 结语
通过新工科视域下的网络攻防技术教学改革,发现学生的学习氛围明显提升,学生的实践能力有所提高。但是由于教学改革的很多阶段需要在课下完成,在遵义师范学院该门课程又在设在大三下学期,学生考研、就业压力较大,对大量的课下实践课时有较大的抵触情绪,常常造成学生抱怨较多的情况,对于任课教师而言,新工科视域下新技术较多,对教师的要求较大,随时需要跟上技术步伐,需要投入较多学习时间,但学校的科研考核压力又相对较大,这必然影响教师在教学改革上投入的主动性。对此,团队会在下一轮的教学改革中充分考虑这些因素,积极申报相关课题,并争取学校及学院的支持并结合企业的投入,探索更加适合遵义师范学院的新工科视域下“网络攻防技术”课程的教学改革模式。
[参考文献]
[1]天极网,安全牛.人工智能快报网络安全攻防人机大战人工智能依旧不敌人类[J].中国教育网络,2016(9):37-38.
[2]高 见,刘 晨,苏鹏冲.基于CTF的网络安全竞赛平台设计[J].计算机教育,2015(17):47-50.
[3]王艳芳.《网络攻防技术》课程教学设计与研究[J].电脑知识与技术,2016(12):158-159.
[4]陆明远,夏文婷.美国高校网络安全专业的发展特点及其启示[J].情报杂志,2019(1):130-138.
