信息安全課程中競賽驅(qū)動項目式教學

李景濤，趙衛(wèi)東

（1.復旦大學 軟件學院，上海 201203；2.上海市智能信息處理重點實驗室，上海 200433）

0 引 言

信息安全課程作為軟件工程及計算機類本科生的專業(yè)課，受到各國政府的高度重視，如美國國家標準與技術(shù)局的國家網(wǎng)絡安全教育計劃等[1]。ACM（Association for Computing Machinery）教育委員會在面向網(wǎng)際空間安全的教育研討會報告中對所有計算機類本科專業(yè)教育指出，學生動手實踐是掌握信息安全知識和技能的必要途徑[2]。因此，在信息安全課程中鍛煉學生動手實踐能力成為當前研究的課題之一。

1 競賽驅(qū)動項目式教學

在軟件工程專業(yè)課程的教學中，項目式（Project-based）教學是一種能夠促進學生動手實踐能力提高的有效方法，通過配合課堂講授內(nèi)容，讓學生自學和動手，將課堂中學到的知識運用到實際的軟件開發(fā)中，進而完成規(guī)定的項目主題和目標。這種方法可以讓學生在有限的時間內(nèi)理解課堂介紹的內(nèi)容，并對這些內(nèi)容進行有效地應用，進而深刻地思考課堂所學，從而真正掌握軟件工程專業(yè)技術(shù)，促進軟件工程專業(yè)教學適應行業(yè)對人才的要求。項目式教學在實施過程中仍面臨諸多問題：①如何激發(fā)學生參與項目式學習的動力，提高學習的興趣和熱情；②項目式教學有多種具體的實現(xiàn)方法，如何面向特定的專業(yè)課程進行必要的定制與創(chuàng)新。

競賽驅(qū)動項目式教學引入競爭來激發(fā)學生的學習動力，用榮譽感驅(qū)動學生積極主動學習、探索和培養(yǎng)合作意識，能夠解決項目式教學中的動力問題[3-4]。筆者在面向軟件工程專業(yè)本科生的信息安全課程中實踐了競賽驅(qū)動項目式教學。

2 競賽驅(qū)動項目式教學的特點

競賽驅(qū)動項目式教學本質(zhì)是基于問題的教學：①學習具有挑戰(zhàn)性、開放式，需要由不明確的以及結(jié)構(gòu)模糊的問題來引導。②學生往往是以合作小組形式進行學習。合作小組面對的是實際應用問題或模擬的網(wǎng)絡實戰(zhàn)環(huán)境，既要求簡單的決策和執(zhí)行，又要根據(jù)團隊確定的優(yōu)先級進行復雜的協(xié)作決策。學生可以在比賽中互動，通過整合團隊成員的課堂學習、參賽經(jīng)驗確定他們的行動計劃。③學生是以“學習者”的角色學習，教師是以“引導者”的角色組織學習。競賽驅(qū)動項目式教學可看作基于問題的教學方式演化以及在信息安全教學領(lǐng)域的應用。

競賽驅(qū)動項目式教學在培養(yǎng)學生各種能力方面尤為突出，特別是對提高學生的自主學習能力、主動應用知識的能力和綜合能力有較大的促進作用，對學生將來職業(yè)的發(fā)展具有重要的提升作用。

（1）調(diào)動學生學習的主動性。信息安全課程具有很強的實踐性，學生只有親自動手，參與到實際的應用，才能夠真正掌握必要的知識和技能。項目競賽中的求勝心理驅(qū)使學生主動學習，學習的主動性越高，能夠獲得的知識也就越多，形成一種良性循環(huán)。

（2）推動學生主動應用知識。根據(jù)Edgar Dale的“學習金字塔（cone of learning）”理論，對于一個知識點，主動動手學習的學生在兩周之后能夠掌握90%的知識，而只是上課聽講的學生僅能夠記住20%的知識。顯然，與課堂知識相配套的項目會“逼迫”學生親自動手學習，并取得好的學習效果。如果學生參加奪旗實戰(zhàn)或課外項目，就更有可能主動應用這些知識，解決技術(shù)難題或?qū)嶋H問題。

（3）提升學生綜合能力。學生在課程項目的整個過程中，會遇到許多問題，包括所學知識的選擇和應用、新的知識獲取、合作交流方式、知識的創(chuàng)新應用等。在經(jīng)歷完整的項目后，學生的各種能力，包括自學能力、合作能力、應用能力以及創(chuàng)新能力等綜合能力，都會有比較大的提升。

研究表明，通過對“基于競賽的項目學習”和傳統(tǒng)教學在講解信息安全類課程時產(chǎn)生的效果進行比較，“基于項目學習”的教學方法會比傳統(tǒng)教學方法更有效激發(fā)學生的學習熱情與創(chuàng)新能力[4]。

3 競賽驅(qū)動項目式教學的實施

3.1 實施模式

作為軟件工程專業(yè)信息安全類課程的基礎(chǔ)課，信息安全課程涵蓋密碼學、Web應用安全、網(wǎng)絡攻防安全、代碼安全等廣泛的領(lǐng)域課題，其目標是通過學習要掌握信息安全領(lǐng)域的基本概念和原理，能夠分析常見的軟件和信息系統(tǒng)的安全性問題，并運用軟件技術(shù)設(shè)計實現(xiàn)合理的解決方案。面向信息安全課程的競賽驅(qū)動項目式教學方案的總體架構(gòu)如圖1所示。

圖1 項目式教學方案總體架構(gòu)

針對理論性強、具有一定應用性的密碼學與Web應用安全部分，除了強化課堂授課，在項目教學環(huán)節(jié)采取團隊間競爭、團隊內(nèi)合作的應用型項目式教學。要求學生組成項目團隊，綜合課堂所學的知識，必要時自學新知識、新的工具和開發(fā)技能，合作完成滿足一定應用需求的軟件作品或安全協(xié)議。應用型項目的設(shè)計與實現(xiàn)過程中，學生加深了對基本概念和理論的理解，提高了靈活應用能力。例如，為確保移動聊天應用的保密性與完整性，并實現(xiàn)雙向身份認證，學生會加深對加密和解密的不同方法（對稱和非對稱）、MAC（報文鑒別碼）和簽名驗證等概念和技術(shù)的理解，并能運用這些技術(shù)解決實際問題。

針對理論性與實戰(zhàn)性兼?zhèn)涞拿艽a分析部分，采取奪旗（capture the flag，CTF）競賽中的解題模式（jeopardy）。將多組密文素材提供給學生項目團隊，學生運用學習過的密碼攻擊方法展開密碼破譯競爭，按解題的分值和時間進行成績排名。通過設(shè)置密碼破譯懸案，激發(fā)學生的好奇心與求勝心理，使得學生對密碼分析方法的學習興趣盎然。這種模式作為一種新型的競賽驅(qū)動項目式教學手段，豐富了傳統(tǒng)的項目式教學方法。

網(wǎng)絡攻防安全與代碼安全部分有很強的實戰(zhàn)性，采用類似奪旗CTF競賽中的攻防模式，通過組織學生比賽的環(huán)節(jié)，引入競爭來激發(fā)學生的學習動力。網(wǎng)絡攻防競賽在教育環(huán)境中的應用可以追溯到美國軍事學院的CDX（Cyber Defense eXercise），這是美國軍事學院信息保證教育項目中的頂級課程[5]。網(wǎng)絡攻防模式教學具有很強的競爭性與趣味性，學生團隊通過挖掘網(wǎng)絡服務漏洞并攻擊對手服務漏洞得分，修補自身服務漏洞進行防御避免丟分。攻防模式作為傳統(tǒng)項目式教學的重要補充，是一種可行的新的項目式教學方法。

競賽驅(qū)動項目式教學形式多樣，另一種可行的模式是軟件公司贊助的項目或競賽，更強調(diào)運用所學解決現(xiàn)實的應用問題。課外競賽作為一種有效的項目式教學輔助方法，為越來越多的人重視。未來對軟件人才的動手能力和應用能力要求越來越高，國家主管部門、行業(yè)公司、高校針對計算機類專業(yè)的學生，不定期地舉辦軟件編程、開發(fā)等課外比賽，試圖激發(fā)學生的興趣，并從中發(fā)現(xiàn)人才。這些比賽不同于目前常用的項目，采用實際應用中出現(xiàn)的關(guān)鍵技術(shù)問題，更加貼近現(xiàn)實應用，更強調(diào)應用的創(chuàng)新性。

3.2 實施步驟

實施競賽驅(qū)動的項目式教學，包括以下步驟。

（1）項目式教學的主題設(shè)計。項目主題的選擇非常重要，主題應難易適中，且不宜太寬廣，還要考慮如何設(shè)計以激發(fā)學生的參與熱情等問題。此外，項目最好安排在與之相對應內(nèi)容的課堂講解之后，學生可以在項目中運用課堂所學知識，同時也可以在課堂上分享項目中的經(jīng)驗，這些都需要在教學實踐中摸索。如圖1所示，在密碼學基礎(chǔ)的課堂授課之后，安排密碼分析的解題模式項目，讓學生理解和掌握密碼分析的基本方法。在Web應用安全授課之后，設(shè)計了兩個應用型項目：一個是密碼學技術(shù)實現(xiàn)移動聊天應用（Secure Chat），實現(xiàn)通信保密、數(shù)據(jù)完整性保護、密鑰交換、數(shù)字簽名等功能；另一個是簡化版的Kerberos協(xié)議實現(xiàn)。在網(wǎng)絡攻防與代碼安全授課之后，在虛擬的小型企業(yè)網(wǎng)絡環(huán)境中，安排攻防模式的實訓項目教學。

（2）項目團隊的組成以及執(zhí)行。項目式教學會遇到組隊問題，如何根據(jù)項目需求找到知識、能力全面，且善于合作的隊友非常重要。項目團隊需要將學到的信息安全知識運用到解答該項目中，例如課堂上所學的密碼學基礎(chǔ)理論、手機應用開發(fā)技術(shù)等知識的應用。

（3）項目式教學反哺理論教學。競賽驅(qū)動項目式教學對傳統(tǒng)的理論教學也有促進作用。課程的相關(guān)教師會在項目組的交流過程中發(fā)現(xiàn)學生知識和技能的薄弱點，以此對教學中的問題進行反思。比較好的項目成果也可以作為教學案例，用于將來的課堂教學。競賽驅(qū)動項目式教學不僅對促進學生主動學習具有重要意義，對教師改進教學也有一定的參考價值。

4 實施效果與問題反思

教學實踐發(fā)現(xiàn)，競賽驅(qū)動模式對促進項目式教學中的主動學習起到了積極的作用。首先，學生在學習上投入了大量時間，項目的工作時間主要安排在習題課和課余，學生對項目工作興趣盎然，甚至到廢寢忘食的地步，從項目資料服務器的日志經(jīng)?？梢钥吹剑芏鄬W生是在深夜提交項目報告。其次，從期末獲得學生的反饋表明，大部分學生認為參與課程動手項目較其他教學方法更加有意義，這種方法更能激發(fā)學生的主觀能動性，使其自主參與到學習中來。最后，競賽驅(qū)動項目式教學讓學生自主探索、解決實際問題，真正掌握和運用所學知識，這表現(xiàn)在：一方面學生在項目解答中解決了富有挑戰(zhàn)性的問題，在期末取得了好的成績；另一方面，課程的修讀學生對信息安全競賽產(chǎn)生了濃厚的興趣，代表復旦大學CTF戰(zhàn)隊，入圍了DEFCON CTF總決賽，取得了優(yōu)異成績。

教學實踐的另一個有價值的發(fā)現(xiàn)是：面向綜合性信息安全課程的最佳教學安排是采用混合式教學方法。講義與課堂講解是原理性和基礎(chǔ)類的最佳教學方式：應用型軟件項目將密碼學原理等基本方法應用解決網(wǎng)際空間的實際安全問題；解題模式和攻防模式的項目適合密碼設(shè)計與破譯、網(wǎng)絡攻擊與防御內(nèi)容的教學，每種方式都旨在實現(xiàn)與其相對應的教學目標。

教學實踐中也有一些反思。項目式教學的一個關(guān)鍵點是確定項目的主題范圍，信息安全學界曾經(jīng)就此進行過多次辯論：一方認為，學習攻擊者如何思考和攻擊是學習如何防御的關(guān)鍵；另一方認為信息安全教學應服務于行業(yè)需要，學生畢業(yè)后從事的工作基本上不會包括攻擊性的任務，教學黑客的攻擊手段會帶來爭議。筆者認為，信息安全課程性質(zhì)決定了攻擊與防御兩方面是教學相長的，技術(shù)和思維方式都是完整信息安全教學的重要組成部分，但教師需要對過度的進攻性競賽項目進行把控。雖然進攻型游戲和奪旗賽對學生非常有吸引力，但是將它們作為課程的重點并不恰當，絕大多數(shù)的畢業(yè)生將進入軟件行業(yè)，他們將設(shè)計、開發(fā)、維護企業(yè)級業(yè)務系統(tǒng)與網(wǎng)絡，而不是奪旗游戲。因此，筆者下一步的工作之一是設(shè)計面向企業(yè)實際應用場景的項目主題與測驗平臺。

5 結(jié) 語

競賽驅(qū)動項目式教學方法在復旦大學軟件學院的信息安全課程中得到了成功的應用，對教學班級學生的調(diào)查結(jié)果以及學生修讀課程后的學業(yè)發(fā)展均顯示：這種方法能促進學生的主動學習，大多數(shù)學生比較認同該教學方法的教學理念, 認為這種方法能加深對授課內(nèi)容的理解，提升分析設(shè)計能力、動手實踐能力和團隊合作能力，適合在信息安全類課程中進一步推廣。面向信息安全課程內(nèi)容特點，筆者設(shè)計的解題模式、應用型項目、攻防模式3種教學實施方案，提供了教學實踐環(huán)節(jié)的實際操作方案，使得競賽型項目更具可行性。

下一步，筆者計劃結(jié)合相應知識點，設(shè)計更多貼近企業(yè)級信息安全業(yè)務環(huán)境的競賽型項目，學生將在受控網(wǎng)絡空間實訓信息網(wǎng)絡系統(tǒng)的營運和管理，以期在最大化激發(fā)學生學習主動性的同時，培養(yǎng)適應行業(yè)實際需要的人才。