网络空间安全通识教育课程的思考与课程设计
2021-03-06郭穗鸣
◆郭穗鸣
网络空间安全通识教育课程的思考与课程设计
◆郭穗鸣
(暨南大学信息科学技术学院 广东 510632)
本文主要讨论了在高校的非网络空间安全专业的大学生中开展网络空间安全通识教育课程的思考及其课程设计问题。本文简要介绍了在高校中引入网络空间安全通识教育的必要性,结合学科特点、学生特点及教学实践给出了两类不同的教学方式及案例,并说明了不同教学方式的效果和对提高学生网络安全意识的作用。
网络空间安全;通识教育
随着互联网与各行业、各学科的紧密结合,互联网在人们的生产、生活、教学、科研、娱乐等方面都发挥了非常重要的作用。因此,互联网的安全性受到了越来越多的关注。互联网安全包括多方面的内涵,如计算机安全、信息安全、网络空间安全等。以网络空间安全为例,网络空间是人类共同的活动空间,需要保障其安全和促进有序发展,而网络空间安全学科则是事关国家安全的战略性新兴学科,我国政府对网络空间安全学科高度重视,并于2016年6月发布了《关于加强网络安全学科建设和人才培养的意见》[1],这也是新中国成立以来国家六部委首次就一个学科的学科建设问题联合发文。
仅仅在网络空间安全专业或计算机科学相关专业中进行网络空间安全的专业教育是不够的,当前我们需要在高校全体学生中(尤其是人文、社科专业的学生)通过网络空间安全的通识教育课程普及关于网络空间安全的基础知识。一方面,学生群体是中国网民的主要组成部分之一,而互联网和生产生活各方面的紧密结合使得几乎所有专业的学生都不可避免地和网络空间产生关联。另一方面,调查显示,虽然大学生总体上已经具有良好的网络安全意识,但仍缺乏系统性,个人信息保护意识也较弱,亟须整体上系统性地提高网络安全意识[2]。因此,非常有必要在全体大学生中进行多角度、不同程度的网络空间安全通识教育,给大学生补上互联网时代的关键一课。本文探讨了网络空间安全课程的必要性和重要性,结合学科特点、学生特点及教学实践给出了两类不同的教学方式及具体案例,并尝试说明了不同教学方式的效果和对提高学生网络安全意识的作用。
1 网络空间安全课程的必要性和重要性
本节从互联网的重要性和网络空间安全的重要性两方面对网络空间安全课程的必要性和重要性进行探讨。
互联网在人们的生产、生活、教学、科研、娱乐等方面都发挥了非常重要的作用。第45次《中国互联网络发展状况统计报告》指出,截至2020年3月,我国网民规模已达9.04亿,互联网普及率达64.5%,这其中使用手机上网的比例高达99.3%[3]。具体到互联网应用,网络购物、在线教学、视频会议、网络视频等应用的用户规模均稳步上升,截至2020年3月,我国即时通信、网络新闻、网络购物、网络支付、网络视频等应用的用户规模均超过了7.10亿。2020年初新冠肺炎期间,全国大中小学推迟开学,2.65亿在校生普遍转向在线课程,多个在线教育应用的日活跃用户数均达到千万以上。
互联网对大学生的作用和影响则更明显:高校大学生的娱乐、学习、科研、工作都与互联网息息相关,如果对网络安全缺乏了解,则容易受骗或遭受损失。数据显示,20~29岁的网民占全体网民的21.5%,而学生是网民群体中占比最大的人群,占比为26.9%[3]。大学生遭遇网络诈骗事件、勒索病毒(如WannaCry病毒)事件、黑客攻击事件等都是常见的互联网安全案例[4]。
大学生虽然具有相对较高的网络安全意识,但仍缺乏系统的、整体性的网络安全知识,个人信息保护意识仍较为薄弱。有调查显示[5]],大部分大学生都会使用杀毒软件,在网络购物时都会仔细核对网站的安全性和正规性,但工科类大学生对网络安全防范技能的掌握情况明显好于文科、理科类大学生。另外,在调查中仅有约8.7%的学生表示会“经常”主动学习网络安全知识,学习积极性和自主性都仍有欠缺[5]。大部分高校都尚未开设与网络安全相关的公共选修课程,即使现在网络空间安全学科发展较快,仍缺乏由合适的专业教师开设的、面向全体大学生的网络安全课程。
网络空间是人类共同的活动空间,因此,保障网络安全,促进其有序发展十分重要。而网络空间安全则是事关国家安全的战略性新兴学科,我国政府对网络空间安全学科高度重视。2014年,中央网络安全和信息化领导小组成立,网络空间安全上升至国家战略;2015年,增设“网络空间安全”一级学科;2016年中央网信办、教育部、发改委、科技部、工信部、人社部六个部委颁布了《关于加强网络安全学科建设和人才培养的意见》,另外国家还发布了《国家网络空间安全战略》,提出要加强网络安全基础理论和重大问题研究;2017年,颁布了《中华人民共和国网络安全法》,明确网络空间安全的法律地位;近年来,广东省政府也高度重视网络空间安全产业发展,陆续发布了《广东省“互联网+”行动计划(2015-2020年)》、《网络强省规划纲要》等,明确指出要加强网络信息安全保障,研发互联网、物联网、移动物联网等的安全防护技术。
然而,当前网络空间安全学科的人才缺口仍然十分巨大。即使从专业人才的角度来看,截至2018年底,我国已有241所高校设置有网络安全相关专业244个,但网络空间安全人才培养的数量远远无法满足社会需求。目前,每年网络安全学科人才培养数量不足1.5万,当前的人才数量缺口仍高达70万。另外,高校中的网络空间安全专业还存在专业定义不够清晰、高层次专业教师缺乏、教材的数量和质量都还不够高、缺少接触实际网络安全问题等问题。
因此,无论是作为专业教育还是通识教育,网络空间安全都十分重要。对于专业教育而言,保障网络安全十分重要,网络空间安全的专业人才缺口仍十分巨大,因此,网络空间安全作为专业教育的重要性毋庸置疑。另一方面,对于广大的非网络空间安全或信息安全专业的大学生,网络空间安全相关知识也和教学、科研、生活、工作息息相关,学习网络空间安全的通识课程有助于提高学生的网络安全素养、完善知识结构、开阔视野及培养复合型人才。
2 网络空间安全通识教育课程面临的挑战
网络空间安全通识教育课程的目的,是对于所有学科的大学生(包括理科、功课、文科等),希望提供关于网络空间安全的更基础的课程与更多样化的视角,提高学生的网络空间安全意识与基本能力,保障学生在生活、科研、教学、工作中使用网络的安全性。同时,网络空间安全通识教育课程也希望能促进学生形成复合的视角,通过结合网络空间安全的相关知识和学生原本专业的专业知识,做出更好的创新。
网络空间安全的课程本身对计算机相关理论和实践、数学相关理论的要求均较高。当网络空间安全作为通识教育课程时,选修课程的学生来自不同的专业,学生的理论基础和实践能力残次不齐。因此网络空间安全通识教育课程面临着以下几个挑战:
(1)课程设计及教材建设:目前,即使是在网络空间安全专业教育课程中,都面临着教材十分缺失,水平参差不齐的问题;而网络空间安全通识教育的课程教材就更为鲜见。网络空间安全的课程理论性较强,对于通识教育来说,应考虑到非网络空间安全专业学生的专业基础,力求向学生提供更基础的课程和更多样的视角。例如,在缺乏通识教育教材的现状下,可以不选用单一的、固定的教材,而是选取不同的专题向学生讲授课程内容。每个专题内分别选取实际的案例、或最新的技术、或最新的杂志文章及专业论文等,进行讲述。另外,网络空间安全的专业教育课程中,有部分课程是比较基础的课程,这些课程不要求学生有较多的知识储备或掌握数学推导。可以对这类课程进行扩展,并做出适当的修改,使其适合用于通识教育。
(2)网络空间安全知识更新速度快:网络空间安全的知识不仅覆盖数学基础、计算机网络基础、网络攻防基础等方面,更重要的是具体的网络安全威胁以及对应的攻防技术。网络安全威胁及攻防技术的更新换代速度较快,因此学生的知识体系也需要相应地进行更新。因此,和其他通识教育课程强调经典的、不变的知识不同,在网络空间安全通识教育中,需让学生认识到网络空间安全领域知识更新速度快的特点,需要指导学生在具备基础知识后,养成在互联网上自主查阅、学习最新的攻防技术的能力和习惯,培养学生自主学习的意识。
(3)教学方法要求多样化:网络空间安全通识教育对教学方法的要求主要来源于两个原因。第一个原因是通识教育课程所面向的学生群体是非本专业的大学生,因此需要考虑学生的专业基础和知识储备。第二个原因则是上述网络空间安全课程本身的特点,例如理论性较强、更新速度快等,因此需要考虑向学生讲授课程内容的具体方式。基于这两个原因,网络空间安全通识教育课程中可以选择多种教学方法,此处举例如下:
案例式教学:为了培养非网络空间安全专业学生的基本网络安全意识,可通过多样化的攻防案例来加深学生的了解。这种教学方法更形象,也比通过数学推导、技术分析等方式来讲解攻防案例、技术、算法更易懂。
理论结合实践式教学:网络空间安全的课程本身理论性较强,但同时也是强调实践的学科。在教学过程中,应强调通过实践的方法培养学生的兴趣,并增进学生对相关技术、知识点的掌握。另外,作为通识教育课程,通过实际操作、验证的方法,也更直接、形象,能帮助非网络空间安全专业的学生更好地掌握知识点。在实际教学中,可以基于仿真教学实验平台、虚拟机等工具,让学生亲自实践简化的攻防案例。
翻转课堂式教学:网络空间安全的知识更新速度很快,因此需要养成学生自主学习的意识和能力,鼓励学生在互联网上查阅最新的关于漏洞、攻防技术等的信息。在实际教学中,可以通过翻转课堂的教学形式,鼓励学生自行查阅相关资料和文献,并进行技术分享、案例分享等多种形式的课堂教学活动[6]。
3 网络空间安全通识教育课程设计
本节讨论网络空间安全通识教育课程的课程设计,并对“案例式教学”和“理论结合实践式教学”两种课程设计方案分别给出了一门具体课程作为示例。值得注意的是,当前多数高校均尚未引入网络空间安全通识教育课程,为了方便和加速课程体系建设,此处讨论的课程示例均为将已有的、合适的网络空间安全的专业教育课程修改并扩展为通识教育课程。此外,本文还希望通过这个扩展的过程,具体阐述不同教学方式的内容和效果。
3.1 “案例式教学”课程设计
“案例式教学”这种方式比较适合讲授入门理论和技术的通识教育课程,例如向学生形象地展示网络空间中的各种漏洞(包括原理、攻击方法、防御技术等)、展示各种最新的攻防技术、展示学科的最新发展趋势等。这种教学方法不需要要求学生有太多的理论基础(如数学、计算机的基础知识等),而是通过挑选和学生平时生活、学习、科研相关的漏洞和技术,进行定性或半定量的分析和讲授,并不涉及详细的数学推导和证明,力求用直观的方式让学生掌握课程内容。
“案例式教学”课程一般采用分专题教学的模式。课程由多个独立性较强但有内在联系的专题构成。每个专题的讲授占用1至2次课的时间(可灵活根据专题内涵的深入程度进行调整、安排)。每个专题包括预习、课堂、课后、习题等环节。其中预习环节可以采用线上形式进行,通过发给学生参考资料、文献、课件等材料,让学生先自行熟悉、预习专题的内容;课堂环节主要采用线下讲授的方式;课后环节则主要通过线上形式进行,包括查阅资料,鼓励学生应用发散思维寻找新问题等;习题环节则主要通过简单的作业对预习、课堂、课后中的知识点进行总结,帮助学生掌握。最后,在课程的所有专题讲授完毕后,要求学生在所有专题之中自选题目进行深入的思考和探究,可以通过小论文、小组分享等形式进行。
对于“案例式教学”,此处以“网络空间安全案例分析”课程为例,具体说明该课程的课程设计。“网络空间安全案例分析”是一门入门课程,主要面向大一学生开设。课程的主要目的是让学生对网络空间的常见研究领域、每个领域常见的安全问题和解决方案、以及如何防御每个领域常见的网络攻击等问题有初步的了解。这门课程是一个典型的适合采用案例式教学的例子,因其并不包含过多的数学推导,也并不要求学生有足够的计算机、网络方面的基础知识。另外,该课程更重视知识的广度,希望学生能对常见的网络空间领域及其安全问题都有一个初步的了解。
具体地,在教学实践中,该课程包括以下的专题内容:二维码的攻击与防御、密码系统的攻击、多媒体篡改与取证、Web用户密码泄露分析与防范、VR/AR信息安全案例分析、网上支付安全及案例分析、DDoS攻击与防御、近距离通信安全与攻击案例、存储设备上的数据安全及案例分析、LBS中的隐私安全问题、WannaCry勒索病毒攻击案例、鱼叉式钓鱼攻击、低功耗蓝牙的攻击与防御、密码应用安全案例分析等等。这里我们以“LBS中的隐私安全问题”专题为例,具体说明课程专题的内容:
(1)预习环节:教师将课件和参考阅读材料发布在在线平台(如QQ群、微信群、雨课堂等),供学生预先熟悉课程相关内容;
(2)课堂环节:课堂上对课件内容进行详细讲授。课件的主要内容包括:LBS(基于位置的服务)的定义及常见的LBS服务、LBS服务中常见的安全威胁、LBS服务中的隐私安全案例及分析、对LBS隐私泄露问题的防御方法等。
(3)课后和习题环节:通过线上形式进行,要求学生在网络上查阅更多的相关资料(例如,LBS常见隐私泄露案例、理论原理等),并对感兴趣的内容进行深入学习。在习题环节中,可要求学生回顾LBS中隐私安全威胁的主要来源,并对一些主要问题做出解释。
3.2 “理论结合实践式教学”课程设计
在网络空间安全通识教育课程的教学中采用“理论结合实践”的方式,主要有两个原因。第一,网络空间安全本身是强调实践的学科,即使作为通识教育课程,也应该让学生在实践中加深对网络空间安全漏洞、缺陷、攻防技术的了解和掌握;第二,部分网络空间安全的专业课程理论性较强,对于非网络空间安全专业的学生可能较为困难,而通过理论结合实践的教学,可以帮助学生理解、掌握知识点,更加直接、形象,帮助学生掌握定性和半定量的知识。
实践教学可以基于仿真教学实验平台或虚拟机平台进行。通常,仿真教学实验平台都支持多课程、多实验综合使用,因此,在部署(可以通过引进已有的、成熟的系统,也可以通过自行研发)仿真教学实验平台时应综合考虑多门课程、多实验专题的需要。例如,计算机网络课程的仿真教学实验平台一般既可以支持计算机网络课程的实验教学,也可以支持入侵检测或简单的网络攻防的课程的实验教学。另外,也可以在虚拟机平台上通过软件系统实现实践教学,或者给学生布置简单的、相关的程序编写任务等。
与案例式教学课程可以采用分专题教学的模式不同,理论结合实践式课程的内容往往是一个有机的整体。因此,这类课程的教学往往不是通过专题来进行,而是理论、实践交叉进行。具体地,课程分为由浅入深的若干章节。一般来说,前面的章节是概述、入门等内容,讲授课程理论即可。而后面的章节是进一步深入的内容,会包含一些具体的、和理论或相关技术关联的内容。这些章节往往包含对应的实验,可能是每个章节对应一个或多个相应的实验,也有可能是多个章节共同配置一个实验。下面对不同的章节的教学形式进行阐述:
(1)对于纯理论的章节,教学环节主要包括预习、课堂、课后等环节。预习环节采用线上形式进行,通过发给学生参考资料、文献、课件等材料,让学生先自行熟悉、预习章节的内容;课堂环节采用线下讲授的方式;课后环节则主要采用线上的方式,包括阅读论文、完成习题、开展讨论等。
(2)对于理论和实践综合的章节,教学环节主要包括预习、课堂、实验、课后等环节。预习环节为线上形式,除了发给学生参考资料、文献、课件等材料,还需下发实验指导教程,让学生提前接触实验的意义、目的和原理。课堂环节则除了讲授理论内容外,还需讲授实验的基础内容、实验步骤等。在实验环节中,根据实验平台的性质,既可以采用线上形式,也可以采用线下形式,内容则主要是让学生在仿真实验平台、虚拟机等平台上根据实验指导和实验步骤进行实验,并复习理论知识点,另外,需要鼓励学生应用发散思维,开展创造性实验。课后环节则主要采用线上的方式,包括完成习题、完成实验报告、对比理论知识和实验结果并开展讨论等。
对于“理论结合实践式教学”,此处以“网络入侵检测”课程为例,具体说明该课程的课程设计。“网络入侵检测”课程往往在网络空间安全专业或者计算机科学专业中作为入门课程开设。根据不同高校的专业设置,可能作为专业基础课、专业必修课、专业选修课等,也可能作为某些课程的组成部分(例如,作为“计算机网络”课程的一个章节)。总体上,该课程的专业知识要求不高,讲授的内容也不多,这些特点使其非常适合扩展为通识教育课程,面向非网络空间安全专业的本科生开设。该课程能让学生总体地、全面地了解网络中的漏洞、攻击、检测、防御等方面的相关知识,同时,该课程可设立丰富的实验环节,通过实际操作让学生对网络中的攻防过程有进一步的了解。
具体地,理论部分该课程包括以下的内容:入侵检测概述、网络入侵的方法与手段、入侵检测系统基础、入侵检测流程、基于主机的入侵检测技术、基于网络的入侵检测技术、基于存储的入侵检测技术、研究案例(基于海量日志的入侵检测技术)、入侵检测系统的标准与评估等。实验部分则包括以下的内容:基于Snort的入侵检测防御、基于主机的入侵检测技术攻防实践、基于网络的入侵检测技术攻防实践、实现简单的网络入侵检测防御系统等。这些实验都可以通过仿真教学实验平台、虚拟机或者开源软件等方法实现。理论、实验部分紧密配合,相辅相成,且交叉进行,力求最大程度上促进学生掌握课程知识点。
4 结语
互联网在现今的生产、生活、教学、科研、娱乐等方面都发挥了非常重要的作用,而互联网对大学生的作用和影响更加明显:如果对网络安全缺乏了解,容易受骗或遭到损失。基于当前网络空间安全专业的发展与现状,本文提出应对非网络空间安全专业的全体大学生开设网络空间安全通识教育课程,普及关于网络空间安全的基础知识。本文首先探讨了网络空间安全课程的必要性和重要性,并指出了开设网络空间安全通识教育课程所面临的课程设计及教材建设、知识更新速度快、教学方法要求多样化等挑战。最后,本文讨论了网络空间安全通识教育课程的课程设计,并以具体例子详细阐述了“案例式教学”及“理论结合实践式教学”这两种教学方法。希望本文能促进网络空间安全通识教育课程的设置和教学实践,只有提高全体大学生的网络空间安全意识和基础知识,才能真正做到“网络安全为人民,网络安全靠人民”。
[1]中央网络安全和信息化领导小组办公室,国家发展和改革委员会,教育部,科学技术部,工业和信息化部,人力资源和社会保障部. 关于加强网络安全学科建设和人才培养的意见[EB/OL]. http://www.cac.gov.cn/2016-07/08/c_1119184879.htm,2016-06-06.
[2]赖启财. 大学生网络安全教育的现状、存在的问题及对策[J]. 成都航空职业技术学院学报,2016(2):18-19.
[3]中共中央网络安全和信息化委员会办公室,中华人民共和国国家互联网信息办公室,中国互联网络信息中心. 第45次中国互联网络发展状况统计报告[EB/OL]. http://www.cac.gov.cn/2020-04/27/c_1589535470378587.htm, 2020-04-28.
[4]杨德全,张剑. 计算机安全通识课程的思考与实践[J]. 计算机教育,2019(7):62-65.
[5]谭玉,王子瑶,秦丽璇. 大学生网络安全通识教育的现状与路径选择[J]. 中共乐山市委党校学报(新论),2019(1):105-112.
[6]徐明,龙军. 基于MOOC理念的网络信息安全系列课程教学改革[J]. 高等教育研究学报,2013(3):16-19.
国家自然科学基金项目“以动态定价为核心的智能移动出行服务中的关键技术研究”(62002135)阶段性成果。
