高效的信息安全教学模式探索<br/>——与德国高校教学交流后的总结与反思

高效的信息安全教学模式探索
——与德国高校教学交流后的总结与反思

2020-04-03李功丽彭晚红张聪品汤佳梅

计算机教育 2020年3期

李功丽，彭晚红，张聪品，汤佳梅

（1.河南师范大学计算机与信息工程学院，河南新乡 453007；2.教学资源与教育质量评估大数据河南省工程实验室，河南新乡 453007；3 .西藏自治区电化教育馆网络信息中心，西藏拉萨 850006）

0 引言

随着信息时代的到来以及通信技术的快速发展，信息安全已成为信息技术领域的核心问题。根据智研咨询集团《2017—2022 年中国信息安全市场研究与未来发展趋势报告》，2019 年中国信息安全硬件、软件和服务市场的规模将分别达到30.02、8.84 和9.36 亿元[1]。巨大的市场规模使得各个行业对信息安全人才的需求也在急剧增加。在第十届中国信息安全大会上，方滨兴院士援引《2006—2020 年的国家信息化发展战略》，特别指出要壮大信息化人才队伍。为了加速信息安全人才的培养，2018 年4 月，教育部在公布的最新《学位授予和人才培养学科目录》中，新增了“网络空间安全”一级学科。即使如此，信息安全的人才需求与供给之间还是存在巨大的缺口。沈昌祥院士提出：“预计到2020 年，信息安全人才的缺口将达到75 万。”[2]在如此巨大的需求面前，很多学校纷纷开设信息安全专业。根据2016 年的统计结果，我国已有80 多所高校开设信息安全专业[3]。虽然国家出台了一系列促进信息安全人才培养的政策，但是目前的人才培养质量令人担忧。

1 信息安全课程的特点

1.1 内容多且难，理论与实践并存

信息安全课程的教学内容主要包括密码理论和技术、安全协议、系统安全以及应用安全4 个部分[4]。每一部分又包括了众多内容模块，比如密码理论和技术以及安全协议这两部分的内容偏理论，也相对比较抽象、枯燥，还需要学生具有一定的信息安全数学基础；系统安全和应用安全又与实际应用联系比较紧密，需要学生有一定的实践和动手能力；应用安全又包括了信息安全产品、应用开发、信息安全建设、信息安全技术实践等[5]。

1.2 内容交叉性强

信息安全课程中的教学内容不仅多，而且与其他课程内容存在较强的交叉性。例如公钥算法，需要用到数论以及近世代数中的部分内容；应用安全中的VPN 技术又与网络协议有关；代码注入攻击需要学生先熟悉SQL 语言。讲到相关内容时，如果不讲交叉的内容，学生可能无法理解课堂内容；如果交叉内容全部讲解，则会占用大量上课时间，影响课程进度。所以如何把握好两者之间的关系，是在课程设计时必须要解决的问题。

1.3 理论较多，容易弱化应用

因为理论内容太多，所以教师往往把大部分课堂时间都用于讲解理论以及证明推导等，这无形之中会弱化应用。学生学了一个学期之后虽然明白了基本原理，掌握了一些算法，但是无法将所学内容应用到实践中。

2 与法兰克福应用技术大学交流后的总结

德国的应用技术大学产生于第二次世界大战之后，目前已经发展成为德国四大主要高校类型之一（综合性大学、应用技术大学、师范大学、艺术大学）。德国应用技术大学自创建以来培养了大批专业性强、侧重实际应用的高级应用型人才。据统计，德国拥有的工程师在欧洲是最多的，其数量达到160 多万，其中的三分之二都是德国应用技术大学培养的[6]。为了探索德国应用技术大学人才培养的过程并分析研究其在人才培养方面的特色，作者于2019 年5 月赴法兰克福应用技术大学进行了教学交流与访问。通过深度参与对方课堂，总结他们的教学过程特点。

2.1 教师引导、学生为主体

在德国的大学课堂，教师更多的是作为引导者，引导学生进行自主讨论和思考。例如我们参与的几次课程，都是在课程开始时，由教师介绍本节课的主要内容，大概十分钟左右，然后就是按提前布置的任务，各组学生根据自己在课后查阅的资料进行讨论，讨论结束后分组阐述讨论成果。阐述的时候不仅仅是语言介绍，有时还要配上板书，甚至还要现场做思维导图，这都是对学生自主学习成果的检验。最后教师会对讨论的内容进行总结，并布置下一节课的任务。整个教学过程，教师只是一个引导者，知识的获取主要是通过学生在课前查阅资料、课上的讨论与汇报以及课后作业，真正实现了以学生为主体的教学目标。这个过程不仅提升了学生的自主学习能力，而且结论是基于学生讨论的结果自然得出的，所以学生对于相关理论更容易理解，印象也更深刻。同时，学生对于知识的掌握也不再限于表面，而是通过讨论向纵深方向发展。当然如何设计讨论的主题、引导讨论的方向并把握好讨论的节奏，这对任课教师提出了更高的要求。

2.2 教学形式多样，学生参与度高

德国高校的教学形式不仅有小组讨论式学习，还有E-Learning、翻转课堂等灵活多变的教学形式，让学生能够积极融入到课堂中来。在我们参与的一次课堂中，教授现场问了一个问题：你了解的Web 应用有哪些？虽然我只是旁听，对这样一个问题都忍不住跃跃欲试。甚至在课堂上，教师会根据学生的表现，给予一些小奖励，有时是在学生的板书上画个笑脸，有时甚至是糖果、巧克力等，课堂气氛非常活跃。德国应用技术大学的教授一般都要求有从事本专业至少两年以上的实践工作经历，所以教师通过所在行业的实践工作积累了丰富的案例素材，也更易灵活组织教学形式。比如与我们交流的Jung 教授，在进入法兰克福应用技术大学前，曾在DHL 公司工作过多年，具有丰富的专业领域实践经验。

2.3 考核严格，淘汰率高

德国大学执行宽进严出的制度，考核非常严格。期末测试时，考核的是学生应用所学知识解决问题的能力，学生要想通过考试，必须能够对知识融会贯通，单纯靠考前突击很难通过。最终的课程成绩，教师还会参考学生平时参与课堂讨论和完成作业的情况，只有考试成绩和平时表现成绩都合格，才能通过课程考试。严格的考核制作使得德国高校部分课程的通过率低于50%甚至30%。据统计，德国应用技术大学的淘汰率大约在30%左右，而一些综合性大学的淘汰率高达70%[6]。这种严格的考核机制，让学生有了学习的压力，可能这也是促使学生在课堂上积极参与讨论的重要原因。

虽然德国应用技术大学在人才培养上有诸多优点，但是我们绝不能照搬，一是两国高等教育的客观情况存在差别，例如德国大部分是小班制，一个班的人数大多不超过30 人，而国内因为高校扩招，一个班级的人数往往在50～80 人之间，有的班级甚至达到了一百多人，这种情况下，在讨论时如何组织以及纪律维持都是个难题；另一方面是这种培养模式也存在它自己的不足，如这种培养模式是以实践为导向，对于学科知识的系统性和抽象性方面相对较弱。所以如何针对信息安全课程的特点与需求，借鉴德国应用技术大学在人才培养方面的优势，提升教学效率以及人才培养的成果，是我们下面要探索的问题。

3 高效的信息安全教学模式

3.1 激发学生的兴趣——让学生想学

因为信息安全课程中理论内容较多，且具有“难”“新”“抽象”的特点，所以教师要通过各种方法激发学生的学习兴趣，让学生从心底里真正想学这门程。在每次课程内容开始之前，教师可以通过多种方式进行课题导入。

1）采用形式多样的案例故事，激起学生对所学内容的兴趣。

例如可以使用西蒙· 辛格的《密码故事》中的案例，或是像《密码破译者——布莱切利庄园幕后的英雄》这类纪录片。通过不同的背景故事，让学生融入到课堂中，从而也激起学生对故事的主角——密码的好奇心。

2）提出问题，带着问题去探索。

例如在讲完了分组密码算法之后，教师可以提出，要使用分组算法，要先有密钥，可是要在公开信道上秘密地传递密钥，又必须要使用分组算法。这好像进入了一个死循环，如何解开这个死循环呢？答案就是公钥。那公钥到底是怎么解决的呢？通过这样一个难题，激起学生对公钥的学习兴趣。

3）激发学生责任心。

通过介绍热点安全事件，让学生意识到信息安全的重要性，同时激发作为一名信息安全学习者的责任心。教师可以筛选出近年来影响广泛的安全案例，例如Facebook 用户信息泄露事件、勒索病毒、心脏出血漏洞以及Wifi 密码破解等，这些案例形式多样，给社会和个人造成了巨大的损失，从而激起学生对于信息安全重要性的认识以及如何解决相关问题的浓厚兴趣。

3.2 以学生为主体——让学生会学

联合国教科文组织在世界首届高等教育大会宣言中提出，高等教育需要转向以学生为中心，要求国际高等教育决策者把学生及其需要作为关注的重点，把学生视为教育改革的主要参与者。如何才能以学生为中心呢？那就需要在教学模式设计与课程的组织时都从学生的实际出发，根据学生学习过程的特点，针对性地实施教学过程。

1）根据注意力曲线，把握教学节奏。

美国西雅图太平洋大学脑应用研究中心主任约翰· 梅迪纳提出了“注意力10 分钟法则”，即学生在听讲时，注意力在10 分钟左右会降到最低点[7]，具体的注意力变化过程如图1 所示。笔者通过与学生的交流，也证实了这一点。学生说每次来上课时都信心满满，但是因为信息安全课程的信息量太大，而且内容相对抽象，听了一会儿后往往不自觉地走神。所以根据学生注意力的规律，教师可以把主要内容的介绍放在课程开始的前10 分钟，这一段时间学生的注意力更集中，对信息的获取率也更高。然后，在注意力达到谷底时，组织学生进行讨论和汇报，让他们转换角色，成为课堂的主角。因为学生面临着讨论之后要进行现场讲解的压力，所以更有利于他们再次集中注意力进行课堂内容的讨论。最后，在即将下课前，教师根据学生汇报的结果，对内容进行总结与升华。在整个教学过程中，教师要以学生为中心，时刻观察学生的注意力变化，基于注意力曲线，把握好教学节奏，通过不同教学形式的灵活转换，让学生对整个教学过程保持高度集中的注意力，提高课堂教学效率。

图1 课堂教学中的学生注意力变化曲线

2）根据学习金字塔原理，让学生主动学习。

埃德加·戴尔通过对学生的学习过程进行追踪，发现对于一个知识点，主动学习的学生在2周之后能够掌握90%的知识，而被动听讲的学生仅能够记住20%的知识，这即是“学习金字塔（cone of learning）”理论[8]。显然，如果能够把只是作为观众的被动学习者“逼迫”为亲自动手学习，那学生的学习效率必将大大提升。在整个学习的过程中，首先由教师提供相关素材并提出问题，学生在课前根据问题先了解相关内容，然后在上课时，教师可以提问学生，检查学生课前自学的情况。针对重点和难点的内容，组织课堂上的分组讨论，讨论结束后，再由学生对讨论结果进行总结。可以看到，无论是讨论，还是最后的总结陈述，都是学生进行主动学习的过程。

3）精心设计教学案例。

精心设计的教学案例可以让教学效果事半功倍。在教学案例设计时，不仅要突出重点，而且需要注意前后内容的联系，让整个课堂变得紧凑。下面以信息安全中AES 分组密码算法为例，介绍课程的具体实施过程。AES 算法是目前使用最为广泛也是最典型的一类分组算法，所以教学目标是掌握AES 的算法流程，掌握每个操作的运算原理并理解每个操作的作用。在实现这个算法时，还需要知道每一轮的子密钥是如何生成的，所以了解AES 轮密钥的生成算法，还可以比较它与加密算法之间操作的关系。在深入掌握了AES 算法之后，进一步讨论它的应用以及它与其他分组算法进行比较，实现对课上内容的扩展。每一部分的具体设计见表1（以45 分钟+45分钟的课堂为例）。

表1 AES 算法的案例构建

对于AES 算法，教学的重点是AES 算法的基本流程以及算法如何实现和应用的问题，在整个教学过程中，注意内容前后之间的相互联系，激励学生运用所学知识解决所提出的问题，通过“学习—应用—再学习”的过程，培养学生的创新思维与应用能力。

3.3 利用在线学习平台、慕课、微课等资源——让学生高效地学

在前面的分析中，我们知道这种讨论为主的教学方式可以把被动学习变为主动学习，学习效率更高。但是它更适用于小班制。面对动辄五十甚至上百人的班级，如何有效组织讨论呢？例如有的学生不参与讨论，或者讨论时聊天，教师如何发现？而且讨论结束后要进行总结，如果每个人都发言，有限的课堂时间必然无法满足。面对这些问题，可以借助于先进的手机在线课堂。比如作者所在的河南师范大学计算机与信息工程学院开发了移动教学平台，在课堂上，教师可以提前设置好讨论主题，然后每个学生都可以通过手机端把讨论结果发送给教师。教师可以从中选择部分学生陈述讨论结果。在这种情况下，学生是否认真参与了讨论，教师通过手机端可以全面掌握。同时，教师还可以利用该平台进行课堂测试，教学效果与学生掌握情况可以立刻进行检验。通过这类平台可以让学生在线上与教师充分互动，教师也可以更好地了解和掌握每个学生的学习情况，并对教学过程做出灵活的调整。

目前慕课、微课等在线课程发展迅速[9-10]，各类信息安全课程的在线资源非常丰富，比如哈尔滨工程大学孙建国老师的“信息安全技术”、上海交大陈恭亮老师的“信息安全数学基础”等。教师可以充分利用这些资源，提高课堂效率。比如在讲公钥时，需要用到中国剩余定理，如果在课堂上讲，可能需要一节课甚至更多的时间，但是利用网络上已有的微课资源，只需要十分钟左右，学生就可以快速了解其具体内容。当然这类资源要灵活利用，对于了解而不需要深入讲解的内容，可以借助内容精练的慕课、微课等资源，而对于一些重点内容，则仍然需要通过学生的主动学习来掌握。

3.4 多维度考核机制——让学生不得不学

在高校，考试依然是学生学习的指挥棒，考试内容、形式和评价方法对学生的学习选择有极强的引导作用，不仅直接影响到学生学习方法、学习能力和思维能力，并最终影响学校人才培养目标的发展和方向[11]。教学模式改变后，考核方式必须做出相应的变化，才能激发学生学习方式的根本转变。因为教学过程中是以学生为主体，那么主体在这个阶段的表现必须体现在最终的成绩中，所以提出了面向过程的多维度考核机制。多维考核机制是根据学生在学习过程中不同方面的综合表现，细化考核规则，从多个维度制定评分标准。表2 是本学期信息安全课程的多维评分表格。

表2 中给出的是每个维度的最高分值，根据不同的表现，教师给出相应的成绩。然后在期末时把每个人的积分按照百分制进行量化，并把上述评分与期末成绩按5：5 的比例计算得到本门课程的最终成绩。通过上述多维度的细化评分，将传统的“一考定成绩”的考核方式向全过程考核转变，注重平时每一次的课堂表现，提高学生的课堂参与度，激励学生把功夫下在平时，而不仅是考前突击。同时可以定期公布学生的评分，让他们实时了解自己的表现。当然上述工作需要大量的时间，可以寻找学生助教参与到日常的教学活动中来，这样既可以减轻教师的工作量，同时也能提升学生的能力。