網(wǎng)絡空間安全人才培養(yǎng)的實踐教學探索

摘要：針對網(wǎng)絡空間安全人才培養(yǎng)的實踐教學特點，分析網(wǎng)絡空間安全實踐教學內(nèi)容的選??；針對所選取的教學內(nèi)容搭建相應的實踐教學環(huán)境，為網(wǎng)絡空間安全人才培養(yǎng)提供課程理論與實踐動手相聯(lián)系的實踐教學方法，從而為網(wǎng)絡空間安全人才培養(yǎng)的相應課程建設提供新的參考。

關鍵詞：網(wǎng)絡空間安全；信息安全人才培養(yǎng)；實踐教學

l 背景

隨著人類個體和社會活動的線上與線下部分通過物聯(lián)網(wǎng)和互聯(lián)網(wǎng)的融合互通，人們已經(jīng)越來越難以區(qū)分線下實體行為與線上網(wǎng)絡活動的邊界。確切地說，網(wǎng)絡空間（cyber space）是由人類利用計算機和通信設備所構(gòu)建的一切通信網(wǎng)絡中的信息形成的空間，在實際中往往包括互聯(lián)網(wǎng)、物聯(lián)網(wǎng)以及網(wǎng)絡中所處理、傳輸和存儲的一切信息數(shù)據(jù)。網(wǎng)絡空間安全（cyber security）是研究在有攻擊者的前提條件下，網(wǎng)絡空間中各種數(shù)據(jù)、網(wǎng)絡和系統(tǒng)在采集、處理、傳輸、存儲等環(huán)節(jié)所面臨的安全威脅，進而研究相對應的抵御安全威脅的防護方法與手段。從廣義上來看，網(wǎng)絡空間安全除了傳統(tǒng)信息與網(wǎng)絡安全所包括的保密性、完整性、認證性和可用性，還應包括組成網(wǎng)絡空間的鏈路與系統(tǒng)的可靠性、可信性和安全陛。

在我國，截至2014年，教育部批準全國共116所高校設置信息安全類相關本科專業(yè)，其中信息安全專業(yè)87個，信息對抗專業(yè)17個，保密管理專業(yè)12個，已經(jīng)培養(yǎng)信息安全類專業(yè)本科畢業(yè)生約10000人/年。作為國家信息安全保障體系建設的人力資源基礎，網(wǎng)絡空間安全人才培養(yǎng)的時效性和實用性成為網(wǎng)絡空間安全相應課程教學的主要需求。由于網(wǎng)絡空間安全涉及信息系統(tǒng)安全、網(wǎng)絡安全、物聯(lián)網(wǎng)安全、云計算安全等新一代網(wǎng)絡應用的各個方面，需要面向?qū)嶋H分析安全威脅并提出跨領域的安全保護措施與解決方案，因此網(wǎng)絡空間安全人才培養(yǎng)的實踐教學方法尤為關鍵。由于網(wǎng)絡空間安全隨著信息系統(tǒng)、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等計算機科學新技術和新應用不斷進化，因此就要求網(wǎng)絡空間安全課程的教學和實驗內(nèi)容應該與網(wǎng)絡空間應用技術同步衍化、融合與發(fā)展。針對各種新技術以及應用場景對于網(wǎng)絡空間安全所提出的新要求，教師需要對學生進行實例化和直觀化的講解。

2 網(wǎng)絡空間安全人才培養(yǎng)的特殊性

隨著互聯(lián)網(wǎng)在社會各個領域的普及，網(wǎng)絡空間安全問題日益突出，社會對于網(wǎng)絡安全人才培養(yǎng)的需求也在不斷增加，同時對人才培養(yǎng)的時效性和實用性要求也在不斷提高。目前的網(wǎng)絡空間中，往往包括由互聯(lián)網(wǎng)或各種專用網(wǎng)絡組成的云計算系統(tǒng)、PC終端、移動智能終端和物聯(lián)網(wǎng)設備及其涉及的軟件、硬件和數(shù)據(jù)信息。從定義上來看，網(wǎng)絡空間安全與傳統(tǒng)信息系統(tǒng)安全有所不同。網(wǎng)絡空間中涉及的實體與數(shù)據(jù)沒有固定邊界，互聯(lián)網(wǎng)去中心性和分布式的特點使得在網(wǎng)絡空間中對于實體和數(shù)據(jù)也難以做到集中管控。由于信息安全攻防技術的不斷發(fā)展與改進，用戶在網(wǎng)絡空間中的數(shù)據(jù)和系統(tǒng)軟硬件本身的安全性面對著極大的挑戰(zhàn)。網(wǎng)絡空間安全人才的實踐教學必須包含信息系統(tǒng)安全、物聯(lián)網(wǎng)安全、云計算安全、大數(shù)據(jù)安全等方面的內(nèi)容，才能令學生理解并掌握網(wǎng)絡空間中實際用戶所面臨的安全威脅及其防護方法。

網(wǎng)絡空間安全涵蓋計算機與網(wǎng)絡技術的方方面面，在教學中，如果教師僅僅突出某一方向上的理論理解，那么學生對于網(wǎng)絡空間安全的整體性就得不到充分的認識。以近年來發(fā)生的網(wǎng)絡用戶口令泄漏為例，事件本身是由于網(wǎng)站存在SQL注入攻擊，導致黑客獲得熱門網(wǎng)站的數(shù)據(jù)庫訪問權(quán)限，從而導出用戶口令資料。從網(wǎng)絡空間安全的整體上來看，網(wǎng)站存在SQL注入攻擊僅僅是導火索，導致該事件造成最終危害的原因還應包括：①網(wǎng)站用戶口令認證協(xié)議不符合互聯(lián)網(wǎng)環(huán)境下的安全需求，不應存儲用戶口令明文；②不同的網(wǎng)站應用中，用戶往往采用相同的用戶名和口令進行登錄，這恰恰是網(wǎng)絡空間安全環(huán)境下需要重視的；③某些網(wǎng)站雖然采用散列函數(shù)對用戶口令進行保護，但是由于存儲在網(wǎng)站數(shù)據(jù)庫中的散列值并沒有進行加鹽（salt）處理，因此黑客很容易通過字典或彩虹表破解的方式，恢復出某些用戶所采用的短長度口令。上述3個安全漏洞均需要安全管理員對于網(wǎng)絡空間安全的整體性和復雜性加以充分認識。因此，在網(wǎng)絡空間安全人才培養(yǎng)的實踐教學上，教師必須注重教學內(nèi)容的時效性和實例性，讓學生能理解并掌握現(xiàn)有和未來可能發(fā)生的黑客威脅和攻擊方式，通過實踐掌握相應的安全保護技術，才能真正培養(yǎng)出符合實際應用需要的網(wǎng)絡空間安全人才。

3 網(wǎng)絡空間安全實踐教學內(nèi)容

由于網(wǎng)絡空間安全人才培養(yǎng)的特殊性，網(wǎng)絡空間安全實踐教學內(nèi)容必須做到實踐動手能力培養(yǎng)與理論教學并重。在開展實踐教學之前，教師必須要對當前網(wǎng)絡空間安全的現(xiàn)實情況和熱點問題加以分析，在圍繞安全威脅產(chǎn)生原理進行理論基礎教學的同時，選擇合適的軟硬件重現(xiàn)相應的網(wǎng)絡空間安全應用場景，通過實例化的教學方式確保實踐教學達到預期教學目標，提高教學質(zhì)量。根據(jù)當前網(wǎng)絡空間安全的現(xiàn)實和熱點問題，筆者選擇信息系統(tǒng)安全、物聯(lián)網(wǎng)安全、云計算安全和大數(shù)據(jù)安全4個熱點應用，作為網(wǎng)絡空間安全實踐教學內(nèi)容的重點。

3.1 信息系統(tǒng)安全

在網(wǎng)絡空間中，各種信息系統(tǒng)承擔著信息輸入輸出和用戶業(yè)務處理的功能。伴隨著相關技術的不斷發(fā)展，攻擊者對于網(wǎng)絡空間中信息系統(tǒng)的攻擊和破壞方式也在不斷更新。傳統(tǒng)的信息系統(tǒng)安全保護措施大多考慮信息在傳輸過程中的惡意行為，因此往往局限于采用防火墻、漏洞掃描、病毒防護、入侵檢測等網(wǎng)絡安全技術加以防護。在這些技術的保護下，攻擊者入侵系統(tǒng)的難度大大提高。

在實際中，攻擊者往往采用高持續(xù)性威脅（advanced persistent threat，APT）的方式攻擊和破壞信息系統(tǒng)的安全防御。針對這種威脅，目前大多采用社會工程學、軟硬件后門、Oday漏洞等常見方式進行防護。因此，在網(wǎng)絡空間安全的人才培養(yǎng)中，教師必須講解最新攻擊方法的原理與實踐知識，讓學生從正反兩方面學習攻防技術所涵蓋的知識點，能夠在未來實際的信息系統(tǒng)開發(fā)或安全維護工作中，大大降低上述安全威脅成為實際風險的概率，提高實踐教學的實用性。

3.2 物聯(lián)網(wǎng)安全

網(wǎng)絡空間安全必然涉及負責數(shù)據(jù)感知和采集任務的物聯(lián)網(wǎng)的安全。由于物聯(lián)網(wǎng)主要依賴各種嵌入式設備如無線傳感器網(wǎng)絡（wireless sensor network，WSN）和無線射頻芯片（radio frequency identifier，RFID）進行數(shù)據(jù)采集與感知，因此物聯(lián)網(wǎng)安全的實踐教學內(nèi)容必須與傳統(tǒng)網(wǎng)絡安全有所區(qū)別。在傳統(tǒng)網(wǎng)絡中強調(diào)的數(shù)據(jù)傳輸和存儲安全威脅，物聯(lián)網(wǎng)中仍然存在并且解決方案與傳統(tǒng)網(wǎng)絡區(qū)別不大，主要通過采用輕量級的密碼學與信息安全協(xié)議加以保護，如采用基于橢圓曲線的公鑰密碼算法和輕量級對稱密碼算法，代替?zhèn)鹘y(tǒng)常用的RSA公鑰密碼算法和AES算法對數(shù)據(jù)進行加密傳輸和存儲。

在物聯(lián)網(wǎng)安全的實踐教學中，教師應向?qū)W生強調(diào)現(xiàn)實中攻擊者往往利用側(cè)信道分析等芯片物理攻擊技術，繞過傳統(tǒng)網(wǎng)絡安全保護技術，直接對物聯(lián)網(wǎng)硬件進行攻擊，如近年來出現(xiàn)的針對銀行芯片卡或射頻卡的簡單/差分功耗分析（simple/differential power analysis）、針對傳感器微處理器執(zhí)行信息安全算法的時耗分析（timing analysis）等。上述側(cè)信道分析的實踐教學內(nèi)容在廣泛使用的網(wǎng)絡安全本科教材中體現(xiàn)較少，但直接采用面向?qū)I(yè)研究人員的教程又太過深入口，這就需要教學人員針對不同類型的學生（如偏向計算機專業(yè)或偏向電子信息專業(yè)），有選擇性地對物聯(lián)網(wǎng)所需重視的安全威脅和相應保護技術進行實例化講解，從而達到面向?qū)嵺`的網(wǎng)絡空間安全人才培養(yǎng)目標。

3.3 云計算安全

云計算技術借助互聯(lián)網(wǎng)、虛擬化和分布式技術，可以將數(shù)據(jù)計算和存儲任務分布在由大量計算機構(gòu)成的資源池上。云計算的優(yōu)勢對于用戶而言是能夠按照實際所需的計算、存儲和服務加以使用，提高服務的伸縮性和靈活性，簡化資源和服務的管理和維護，因此已經(jīng)成為未來互聯(lián)網(wǎng)與信息系統(tǒng)發(fā)展的主流方向。云計算的發(fā)展需要解決的核心安全問題可主要分為虛擬機安全和訪問控制安全兩大方向。作為網(wǎng)絡空間應用環(huán)境的重要組成部分，云計算安全一方面需要承載計算任務的虛擬機能，以抵抗攻擊者或惡意用戶對計算數(shù)據(jù)的竊取或破壞；另一方面也需要對云計算環(huán)境下數(shù)據(jù)存儲與程序運行的訪問控制權(quán)限進行嚴格保護。

對于虛擬機安全，教師在實踐教學過程中可以通過對Virtualbox、VMWare等典型虛擬機系統(tǒng)進行系統(tǒng)化教學，讓學生掌握虛擬化技術下計算資源的分配與隔離等虛擬機安全關鍵技術；在訪問控制安全上，在實踐教學過程中除了講解基礎的自主/強制訪問控制、基于角色的訪問控制等基本訪問控制技術外，還需要引入近年來在云計算安全中提出的各種新型訪問控制模型，如IRBAC2000模型、基于信任的動態(tài)RBAC模型、基于同態(tài)密碼學方案的可搜索加密模型等。只有在充分理解虛擬機安全和訪問控制安全的前提下，才能充分理解云計算安全在網(wǎng)絡空間安全中所起的重要作用。

3.4 大數(shù)據(jù)安全

隨著互聯(lián)網(wǎng)技術日益深人人們的日常生活，人們生活中的各種信息從線下往線上發(fā)展。根據(jù)相關統(tǒng)計，近兩年互聯(lián)網(wǎng)中新產(chǎn)生的網(wǎng)絡日志、音頻視頻、地理信息等數(shù)據(jù)就占到全球數(shù)量總量的90%。各種大數(shù)據(jù)應用中，往往需要將用戶輸入或存儲在已有數(shù)據(jù)庫中的結(jié)構(gòu)化數(shù)據(jù)轉(zhuǎn)換為非結(jié)構(gòu)化的數(shù)據(jù)轉(zhuǎn)換與存儲，對轉(zhuǎn)換和存儲過程中的數(shù)據(jù)訪問也需要有效地加以管控。大數(shù)據(jù)應用中的數(shù)據(jù)安全既是安全技術問題，又是隱私保護問題。如果在大數(shù)據(jù)分析中特別是數(shù)據(jù)在不同系統(tǒng)中處理流轉(zhuǎn)不當時，造成用戶數(shù)據(jù)的泄漏，由于大數(shù)據(jù)系統(tǒng)的海量數(shù)據(jù)性，往往就將導致大量用戶的個人信息甚至隱私泄漏，所造成的后果比某個信息系統(tǒng)數(shù)據(jù)泄漏要嚴重。

在實際中，大數(shù)據(jù)安全主要包括存儲大數(shù)據(jù)的文件系統(tǒng)或數(shù)據(jù)庫的安全性，以及對于大數(shù)據(jù)進行處理的數(shù)據(jù)處理算法和系統(tǒng)的安全性。在實踐教學內(nèi)容中，教師可以通過創(chuàng)建大數(shù)據(jù)系統(tǒng)實例的形式，讓學生理解并掌握大數(shù)據(jù)應用中文件系統(tǒng)和數(shù)據(jù)庫安全所起的作用；同時對于大數(shù)據(jù)處理中用戶隱私信息的盲化技術加以講解，如基于同態(tài)密碼學算法的外包計算技術等，加強學生對大數(shù)據(jù)安全領域安全威脅和保護方式的掌握。

4 網(wǎng)絡空間安全實踐教學環(huán)境搭建

網(wǎng)絡空間安全是近年來新提出的概念，知識體系和內(nèi)容仍然處在成長期。從目前來看，網(wǎng)絡空間安全整體上還沒有在實踐教學中廣泛使用的實驗平臺。雖然從信息系統(tǒng)安全和網(wǎng)絡安全的角度，目前已經(jīng)有比較成熟的實踐教學實驗平臺和相關信息安全實驗器材，但是由于網(wǎng)絡空間技術的高速發(fā)展，如物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等新技術的出現(xiàn)，如果網(wǎng)絡空間安全實踐教學環(huán)境僅僅只是延用舊有的信息系統(tǒng)、密碼學或網(wǎng)絡安全實驗平臺，那么將大大影響學生對網(wǎng)絡空間安全的實際理解與掌握。因此，教師有必要針對上一小節(jié)提出的實踐教學內(nèi)容以及信息系統(tǒng)安全、物聯(lián)網(wǎng)安全、云計算安全和大數(shù)據(jù)安全，設計相應的網(wǎng)絡空間安全實驗內(nèi)容，最終為網(wǎng)絡空間安全人才培養(yǎng)搭建時效性強和實用性好的實踐教學方案。

4.1 信息系統(tǒng)安全實踐教學環(huán)境

在信息系統(tǒng)安全的實踐教學中，教師可圍繞高持續(xù)性威脅所涉及的社會工程學、軟硬件后門、Oday漏洞等方式，基于操作系統(tǒng)和數(shù)據(jù)庫這兩大信息系統(tǒng)基礎性軟件工具，進行安全攻防技術的實踐教學。

在操作系統(tǒng)方面，教師可首先比較Linux和SELinux操作系統(tǒng)，使學生理解操作系統(tǒng)的訪問控制原理是如何在防御非法訪問和遠程攻擊提權(quán)上起到保護作用，并通過Linux操作系統(tǒng)用戶登錄口令的驗證和存儲，了解信息系統(tǒng)如何通過加鹽、散列等方式抵抗字典攻擊和暴力破解；再基于Windows系統(tǒng)，講述操作系統(tǒng)定期對漏洞進行補丁升級的必要性和重要性，通過虛擬機運行舊版本W(wǎng)indows操作系統(tǒng)感染Oday病毒或木馬的形式，幫助學生對Oday漏洞的風險和危害產(chǎn)生直觀的認識。

在數(shù)據(jù)庫安全方面，教師可通過采用開源數(shù)據(jù)庫MySQL作為實例，講述數(shù)據(jù)庫安全中的用戶管理和權(quán)限分配，幫助學生熟練掌握信息系統(tǒng)所訪問的數(shù)據(jù)庫和相關數(shù)據(jù)表的訪問權(quán)限設置；同時針對遠程數(shù)據(jù)庫訪問常見的注入攻擊進行實例化講解，通過開源仿真環(huán)境WebGoat模擬攻擊者對數(shù)據(jù)庫進行注入攻擊，竊取無訪問權(quán)限的其他數(shù)據(jù)表甚至提升數(shù)據(jù)庫root權(quán)限的過程。在熟練掌握上述操作系統(tǒng)和數(shù)據(jù)庫安全技術的情況下，學生可以充分理解信息系統(tǒng)安全在實際中存在的威脅，為將來開發(fā)和維護工作中會出現(xiàn)的安全問題做好準備。

4.2 物聯(lián)網(wǎng)安全實踐教學環(huán)境

利用目前學術界已提出的輕量級密碼學算法如已成為國際標準候選算法的PRESENT和CLEFFIA，在基于ATtiny系列微處理器的無線傳感器（MICAz、IRIS、TelosB等，也可選擇采用相同處理器的國產(chǎn)無線傳感器，實驗方式差別不大）上，基于AVR Studio進行AVR C或ASM語言程序開發(fā)，可以完成物聯(lián)網(wǎng)環(huán)境下的數(shù)據(jù)加解密、散列和認證操作相關實驗。在RFID安全性上，可以基于符合EPC-Global標準的RFID開發(fā)平臺，測試RFID芯片與閱讀器之間的數(shù)據(jù)安全保護機制；在側(cè)信道安全性分析上，可以基于Risecure公司的能耗、時間、故障分析平臺，對WSN和RFID所使用的芯片進行側(cè)信道安全實踐教學。雖然Risecure公司的分析平臺實用性較好，得到物聯(lián)網(wǎng)安全業(yè)界的廣泛認可，但是售價較高。在實踐教學中如果條件受限，可采用示波器+探針+穩(wěn)定直流電源的方式搭建簡易分析平臺，也可達到相應的實踐教學效果。

4.3 云計算安全實踐教學環(huán)境

在云計算安全教學實際中，可首先通過OpenStack等開源軟件自行搭建實驗用云平臺，幫助學生熟悉云計算環(huán)境下用戶訪問與行為的特點，從而更好地理解云計算中數(shù)據(jù)安全、網(wǎng)絡安全和系統(tǒng)安全所需要達到的不同安全目標。在虛擬機安全教學中，教師可通過Virtualbox這一開源虛擬機軟件進行實例化教學；特別是在虛擬機底層安全性方面，Virtualbox可以提供各種不同的插件（USB訪問、內(nèi)存虛擬化等）以及豐富的文檔和源代碼研究資源，很好地實現(xiàn)虛擬機安全實踐教學的目的。

在訪問控制方面，學生可通過OpenStack平臺的相應管理設置，理解不同訪問控制機制在云計算環(huán)境下的不足之處，再對照最新的面向云計算環(huán)境的訪問控制機制（如IRBAC2000等）進行實例化開發(fā)，從而理解并掌握云計算下訪問控制的實現(xiàn)原理。對于基于同態(tài)密碼學算法的可搜索加密方案，學生可通過OpenSSL開源軟件進行相應的方案實現(xiàn)；由于OpenSSL自帶各種密碼學算法庫，因此學生在具體方案實現(xiàn)上僅需要參考相應文檔即可。如果教學時間和條件受限，教師也可簡單通過OpenShift等開源云計算平臺，對學生進行云計算環(huán)境下安全問題的實踐教學。

4.4 大數(shù)據(jù)安全實踐教學環(huán)境

在實際中，大數(shù)據(jù)與云計算往往密不可分，因而在大數(shù)據(jù)安全實踐教學環(huán)境的搭建上，可以充分利用上述云計算安全實踐教學環(huán)境下的現(xiàn)有資源。如果已經(jīng)基于OpenStack建立相應的云計算安全實驗環(huán)境，就可以基于該環(huán)境搭建基于NoSQL的分布式存儲技術構(gòu)建的大數(shù)據(jù)存儲環(huán)境。在支持NoSQL的開源數(shù)據(jù)庫中，MongoDB得到廣泛認可，因此可基于MongoDB數(shù)據(jù)庫的訪問，設置相應的安全場景，對學生進行體驗式教學，讓學生從大數(shù)據(jù)安全管理者的角度，理解并掌握基于NoSQL的MongoDB所需要注意的安全問題。在大數(shù)據(jù)中的隱私保護問題上，教師可以通過設置SQL到NoSQL的轉(zhuǎn)換、大數(shù)據(jù)用戶信息挖掘等實驗場景，設定具體的用戶隱私抗泄漏要求，讓學生設計相應的用戶隱私保護方案，從而達到更好的大數(shù)據(jù)安全實踐教學效果。

5 結(jié)語

作為信息系統(tǒng)安全人才培養(yǎng)核心知識體系未來發(fā)展的重要方向之一，網(wǎng)絡空間安全由于其理論體系具有前沿性以及相關實踐知識更新速度較快，使得網(wǎng)絡空間安全人才培養(yǎng)與課程建設具有很強的時效性與動態(tài)性。筆者從網(wǎng)絡空間安全人才培養(yǎng)的實效性出發(fā)，基于網(wǎng)絡空間安全所包含的重點應用選擇相應的實踐教學內(nèi)容，從節(jié)約資源和可操作性強的角度盡量選擇開源軟件或平臺搭建實驗環(huán)境。筆者提出的實踐教學方案作為網(wǎng)絡空間安全人才培養(yǎng)教學過程中的探索，在未來的教學與人才培養(yǎng)過程中還需要進一步加以總結(jié)完善，以最終達到網(wǎng)絡空間安全人才培養(yǎng)中學生積極性、學習有效性和社會認可度三者統(tǒng)一的實踐教學目標。