互聯(lián)網(wǎng)+時(shí)代民辦高職網(wǎng)絡(luò)攻防技術(shù)課程實(shí)踐教學(xué)體系設(shè)計(jì)與實(shí)施

彭光彬，張永志

（重慶機(jī)電職業(yè)技術(shù)學(xué)院 信息工程學(xué)院，重慶 402760）

1 互聯(lián)網(wǎng)+時(shí)代網(wǎng)絡(luò)攻防技術(shù)課程實(shí)踐教學(xué)面臨的挑戰(zhàn)

1）實(shí)踐教學(xué)內(nèi)容陳舊。

進(jìn)入21世紀(jì)以來，IT技術(shù)得到迅猛發(fā)展，一些在網(wǎng)絡(luò)安全上造成重大影響的安全漏洞陸續(xù)被修復(fù)，而另一些新的安全漏洞也被陸續(xù)挖掘出來，同時(shí)黑客技術(shù)或網(wǎng)絡(luò)攻擊方法也在不斷演進(jìn)，但是當(dāng)前許多網(wǎng)絡(luò)攻防技術(shù)教材仍然在教授Windows XP時(shí)代或以前的一些網(wǎng)絡(luò)攻防技術(shù)，很少或幾乎沒有涉及最近2年內(nèi)的一些安全漏洞或網(wǎng)絡(luò)攻擊方法。另外，由于教材開發(fā)周期一般比較長，導(dǎo)致教材在某些內(nèi)容上仍然跟不上技術(shù)的發(fā)展，很難做到與時(shí)俱進(jìn)，因時(shí)而變，因此，實(shí)踐內(nèi)容的陳舊是當(dāng)前互聯(lián)網(wǎng)+時(shí)代網(wǎng)絡(luò)攻防技術(shù)課程實(shí)踐教學(xué)面臨的一個(gè)巨大挑戰(zhàn)。

2）教授與學(xué)習(xí)難度大。

網(wǎng)絡(luò)攻防技術(shù)課程是一門綜合性、實(shí)踐性很強(qiáng)的課程，涉及的前導(dǎo)課程多達(dá)6～10門（如圖1所示），涵蓋信息安全與管理專業(yè)的大部分專業(yè)課程。教師在課上除了要講授網(wǎng)絡(luò)攻防技術(shù)外，還需復(fù)習(xí)、展開、深化以前講過的知識(shí)，使學(xué)生對(duì)相關(guān)原理融會(huì)貫通、舉一反三，這要求教師必須對(duì)這些內(nèi)容信手拈來、爛熟于胸，并加大授課難度。如果授課方法不當(dāng)，對(duì)內(nèi)容不熟悉，就會(huì)使學(xué)生失去學(xué)習(xí)的信心和興趣。

網(wǎng)絡(luò)攻防技術(shù)課程涉及面廣，實(shí)驗(yàn)比較多，每個(gè)實(shí)驗(yàn)環(huán)境基本都不一樣。實(shí)驗(yàn)環(huán)境的準(zhǔn)備是一個(gè)很大的挑戰(zhàn)，一般的微機(jī)管理員或?qū)嶒?yàn)員很難正確部署，而對(duì)于一般民辦高職院校，購買動(dòng)輒幾十萬的實(shí)驗(yàn)設(shè)備和實(shí)訓(xùn)軟件，也是一件比較困難的事情，因此要上好網(wǎng)絡(luò)攻防技術(shù)課程，無論對(duì)教師還是學(xué)生，都要付出極大的努力才行。

圖1 網(wǎng)絡(luò)攻防技術(shù)課程前導(dǎo)課程示意圖

2 民辦高職網(wǎng)絡(luò)攻防技術(shù)課程實(shí)踐體系的設(shè)計(jì)與實(shí)施

2.1 根據(jù)人才培養(yǎng)目標(biāo)確定課程側(cè)重點(diǎn)

信息安全與管理專業(yè)的培養(yǎng)目標(biāo)是培養(yǎng)德、智、體、美等全面發(fā)展的，具有與本專業(yè)相適應(yīng)的文化水平、良好的職業(yè)道德和創(chuàng)新精神，掌握計(jì)算機(jī)網(wǎng)絡(luò)與信息安全基本理論和專業(yè)知識(shí)，具有網(wǎng)絡(luò)系統(tǒng)建設(shè)與管理、信息系統(tǒng)安全測(cè)評(píng)、安全方案制訂及實(shí)施、安全產(chǎn)品銷售等技能，能夠從事信息安全管理、信息安全設(shè)計(jì)、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)工程設(shè)計(jì)、施工及技術(shù)支持等方面工作的高素質(zhì)技術(shù)技能型專門人才。

圍繞課程目標(biāo)，結(jié)合信息安全與管理專業(yè)的課程開設(shè)情況，網(wǎng)絡(luò)攻防技術(shù)課程作為信息安全與管理專業(yè)的專業(yè)核心技術(shù)課程，其重點(diǎn)在于“攻”，但同時(shí)也應(yīng)兼顧“防”（同期開設(shè)有網(wǎng)絡(luò)防護(hù)技術(shù)專注于“防”）；以案例為載體，以技能為抓手，強(qiáng)調(diào)網(wǎng)絡(luò)攻防原理的重要性。本課程以網(wǎng)絡(luò)攻防為線索，使學(xué)生在學(xué)習(xí)和實(shí)踐過程中融會(huì)貫通已學(xué)的網(wǎng)絡(luò)、信息安全、操作系統(tǒng)、數(shù)據(jù)庫、編程語言等相關(guān)知識(shí)和技能，熟悉常見漏洞的發(fā)掘方法和網(wǎng)絡(luò)攻擊模式；掌握常用安全工具的使用；針對(duì)常見的漏洞和安全缺陷，設(shè)計(jì)并實(shí)施相關(guān)防護(hù)策略，為將來從事信息安全管理與設(shè)計(jì)相關(guān)工作打下堅(jiān)實(shí)基礎(chǔ)。

2.2 設(shè)計(jì)互聯(lián)網(wǎng)+時(shí)代網(wǎng)絡(luò)攻防技術(shù)課程實(shí)踐體系

網(wǎng)絡(luò)攻防技術(shù)課程以網(wǎng)絡(luò)攻擊的過程為主線。教師可根據(jù)信息安全與管理專業(yè)相關(guān)人才培養(yǎng)目標(biāo)，利用互聯(lián)網(wǎng)+相關(guān)技術(shù)[1]（網(wǎng)頁爬取技術(shù)、分詞技術(shù)、數(shù)據(jù)分析技術(shù)等），從相關(guān)招聘網(wǎng)站（如51job、智聯(lián)招聘網(wǎng)等）統(tǒng)計(jì)信息安全工程師、滲透測(cè)試工程師等職位相關(guān)信息，并結(jié)合用人單位實(shí)地走訪情況，從網(wǎng)絡(luò)攻擊者的角度串起整個(gè)課程。

在某些實(shí)踐內(nèi)容的選取上，充分利用互聯(lián)網(wǎng)內(nèi)容的及時(shí)性、海量性，廣泛調(diào)研、綜合權(quán)衡，最終形成如圖2所示的實(shí)踐體系綱目。

圖2 網(wǎng)絡(luò)攻防技術(shù)課程知識(shí)體系概覽

1）利用開源軟件搭建實(shí)驗(yàn)平臺(tái)。

由于網(wǎng)絡(luò)攻防技術(shù)課程涉及眾多系統(tǒng)的多個(gè)版本，如Linux、Windows，也不可能使用真實(shí)搭建的計(jì)算機(jī)網(wǎng)絡(luò)，因此該課程某些實(shí)驗(yàn)平臺(tái)的搭建必然要用到虛擬化技術(shù)。對(duì)于民辦院校來說，VMware虛擬化軟件價(jià)格高昂，成本太高，因此可以使用免費(fèi)、開源的Oracle VirtualBox進(jìn)行虛擬化。VirtualBox功能完善、操作簡單，非常適合實(shí)驗(yàn)教學(xué)。

Web攻防技術(shù)課程的教學(xué)也使用開源軟件DVWA（damn vulnerable Web application）模擬Web攻防。DVWA是RandomStorm的一個(gè)開源項(xiàng)目，是一個(gè)用來進(jìn)行安全脆弱性鑒定的PHP/MySQL Web應(yīng)用，旨在為安全專業(yè)人員測(cè)試自己的專業(yè)技能和工具提供合法的環(huán)境，幫助Web開發(fā)者更好地理解Web應(yīng)用安全防范的過程。對(duì)于初學(xué)者來說，DVWA相比其他測(cè)試工具更容易理解和掌握。

除此之外，互聯(lián)網(wǎng)上還有其他的一些開源軟件和專門的靶機(jī)ISO文件，使用虛擬機(jī)軟件直接就可以運(yùn)行起來，無需再安裝配置。

2）利用MOOC資源實(shí)施理實(shí)一體化教學(xué)。

網(wǎng)絡(luò)攻防技術(shù)課程是一門實(shí)踐性很強(qiáng)的課程，但實(shí)踐離不開理論的支撐，缺乏理論推導(dǎo)的實(shí)踐通常都會(huì)走一些冤枉路。此外，實(shí)踐也可以驗(yàn)證理論，有利于加深對(duì)理論知識(shí)的理解。在教學(xué)過程中，應(yīng)做到既強(qiáng)化實(shí)踐教學(xué)，又高度重視理論教學(xué)，在“做”中參悟理論，在“學(xué)”中推導(dǎo)實(shí)踐，邊做邊學(xué)，邊學(xué)邊做，真正實(shí)現(xiàn)教、學(xué)、做的融合，如在“NSR模式植入代碼”的教學(xué)過程中，在花2 min左右時(shí)間講授其原理后，立即讓學(xué)生進(jìn)行Shellcode代碼植入的實(shí)驗(yàn)，并讓學(xué)生在實(shí)驗(yàn)過程中思考Shellcode代碼為什么能被執(zhí)行；在大多數(shù)學(xué)生完成實(shí)驗(yàn)后，讓部分學(xué)生思考為什么實(shí)驗(yàn)會(huì)失敗。經(jīng)過這樣一個(gè)教、學(xué)、做的過程，絕大部分學(xué)生會(huì)對(duì)實(shí)驗(yàn)的原理及方法印象深刻。

在實(shí)施理實(shí)一體化教學(xué)過程中，任課教師除了自己制作一些微課外，還可以利用互聯(lián)網(wǎng)中一些成熟的MOOC（大型開放式網(wǎng)絡(luò)課程）資源或視頻資源輔助教學(xué)，這可大大緩解師資緊張的民辦院校教師的備課壓力。目前，互聯(lián)網(wǎng)上的免費(fèi)MOOC課程比較多，有關(guān)網(wǎng)絡(luò)安全或網(wǎng)絡(luò)攻防的課程也有一些，尤其在一些專注網(wǎng)絡(luò)安全的站點(diǎn)上，這些網(wǎng)絡(luò)課程大多數(shù)質(zhì)量不錯(cuò)，技術(shù)較新，教師可以有針對(duì)性地選擇部分視頻或片段解決網(wǎng)絡(luò)攻防技術(shù)課程的重難點(diǎn)及新技術(shù)問題。以“TCP/IP協(xié)議棧攻防技術(shù)”的教學(xué)為例，教師首先讓學(xué)生觀看騰訊課堂的MOOC“網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)課”[2]中的“TCP/IP協(xié)議?！币曨l，然后有針對(duì)性地提一些典型問題，有效解決TCP/IP攻防原理難理解、實(shí)驗(yàn)難做的問題；在“逆向工程：惡意代碼分析技術(shù)”的教學(xué)中，教師可利用合天網(wǎng)安實(shí)驗(yàn)室的MOOC視頻“CTF-REVERSE練習(xí)之算法分析1”[3]很好地解決逆向分析技術(shù)過程復(fù)雜、分析難度大的問題。

3）利用博客等資源設(shè)計(jì)實(shí)驗(yàn)。

CSDN、博客園等網(wǎng)站上有許多優(yōu)秀的IT博客作者，一些專業(yè)的網(wǎng)絡(luò)安全網(wǎng)站也采用博客的形式傳播網(wǎng)絡(luò)安全技術(shù)。學(xué)生和教師可以充分利用博客、社區(qū)（如論壇）、社群（如QQ群、微信群）等發(fā)掘優(yōu)秀的教學(xué)案例，借此解決一些疑難問題。教師在講解Windows系統(tǒng)攻防技術(shù)實(shí)驗(yàn)時(shí)，可以時(shí)下最流行（也是招聘單位要求較多的工具）的滲透測(cè)試工具M(jìn)etasploit作為學(xué)生學(xué)習(xí)的主工具，讓學(xué)生充分掌握該工具的使用，在一篇博客[4]的基礎(chǔ)上設(shè)計(jì)“利用Metasploit生成木馬滲透Windows 7”的實(shí)驗(yàn)；講解Linux系統(tǒng)攻防技術(shù)實(shí)驗(yàn)時(shí)，在翻閱多個(gè)網(wǎng)站、博客的基礎(chǔ)上，利用Kali Linux下的Metasploit軟件，選取當(dāng)下影響比較大的漏洞，設(shè)計(jì)“Metasploit下利用is_known_pipename漏洞滲透CentOS 6.9”的實(shí)驗(yàn)（該漏洞即CVE-2017-7494）；講解Web攻防實(shí)驗(yàn)時(shí)，直接可以使用FREEBUFF站點(diǎn)上的DVWA全級(jí)別新手指南教程[5]（站點(diǎn)以博客的形式傳播）作為實(shí)驗(yàn)手冊(cè)。

4）利用MOOE資源設(shè)計(jì)或?qū)嵤?shí)驗(yàn)。

隨著云計(jì)算等技術(shù)的發(fā)展，MOOE（massive open online experiments）即大規(guī)模在線開放實(shí)驗(yàn)室，很好地解決了網(wǎng)絡(luò)攻防技術(shù)課程實(shí)驗(yàn)環(huán)境搭建的煩惱。MOOE具有大規(guī)模、開放性和在線支持的特點(diǎn)[6]，既可以滿足學(xué)生不受時(shí)空約束的自我學(xué)習(xí)需要，又可以讓教師擺脫實(shí)驗(yàn)室的束縛，從多種維度觀察和評(píng)測(cè)學(xué)生的學(xué)習(xí)效果。目前在安全領(lǐng)域做得比較好的MOOE是合天網(wǎng)安實(shí)驗(yàn)室，民辦院校一方面可以借鑒其實(shí)驗(yàn)設(shè)計(jì)自己的實(shí)驗(yàn)，如上文中提到的逆向工程算法分析實(shí)驗(yàn)，另一方面教師也可以挑選部分實(shí)驗(yàn)（可分成必做、選做兩部分），鼓勵(lì)學(xué)生在其平臺(tái)上完成實(shí)驗(yàn)。除了合天網(wǎng)安實(shí)驗(yàn)室，實(shí)驗(yàn)吧也做得不錯(cuò)，可以參照其模式（奪旗模式）、內(nèi)容設(shè)計(jì)部分實(shí)驗(yàn)。

5）利用移動(dòng)設(shè)備、網(wǎng)絡(luò)教學(xué)平臺(tái)等輔助教學(xué)。

隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，智能手機(jī)等移動(dòng)設(shè)備在學(xué)生中已經(jīng)相當(dāng)普及。一些在線考試系統(tǒng)對(duì)教師推出免費(fèi)服務(wù)，如“考試酷”“藍(lán)墨云”“雨課堂”等就有考試服務(wù)（測(cè)試活動(dòng)）。利用移動(dòng)互聯(lián)網(wǎng)技術(shù)實(shí)現(xiàn)實(shí)時(shí)課堂測(cè)評(píng)成為可能，有利于教師及時(shí)掌握學(xué)生的學(xué)習(xí)效果，督促學(xué)生學(xué)習(xí)。除此之外，清華大學(xué)開發(fā)的免費(fèi)軟件“雨課堂”還有考勤、視頻播放等功能，學(xué)生只要用手機(jī)掃描PPT上的課堂二維碼，輸入課堂驗(yàn)證碼就可實(shí)現(xiàn)考勤；在放映幻燈片時(shí)，可把一些互聯(lián)網(wǎng)上的視頻資源、測(cè)評(píng)題目推送到學(xué)生手機(jī)上。

互聯(lián)網(wǎng)+時(shí)代網(wǎng)絡(luò)攻防技術(shù)課程實(shí)踐體系解決方案如圖3所示，教師可據(jù)此設(shè)計(jì)相應(yīng)實(shí)踐課程體系，以實(shí)現(xiàn)其新穎性、易操作性以及便于考查教學(xué)效果等目的。

圖3 互聯(lián)網(wǎng)+時(shí)代網(wǎng)絡(luò)攻防技術(shù)課程實(shí)踐體系解決方案

3 互聯(lián)網(wǎng)+時(shí)代網(wǎng)絡(luò)攻防技術(shù)課程實(shí)踐教學(xué)的實(shí)施

1）教學(xué)模式：理實(shí)一體化。

理實(shí)一體化的教學(xué)模式非常適合網(wǎng)絡(luò)攻防技術(shù)課程的實(shí)踐教學(xué)，由于高職學(xué)生的特性所在，部分學(xué)生對(duì)原理性、理論性的知識(shí)掌握得并不是很好，但其對(duì)動(dòng)手實(shí)驗(yàn)相當(dāng)感興趣，因此，應(yīng)正確引導(dǎo)這部分學(xué)生，防止學(xué)生成為“腳本小子”，在做完實(shí)驗(yàn)后應(yīng)讓學(xué)生回顧一下實(shí)驗(yàn)原理，讓其不但知其所以然，而且能舉一反三，融會(huì)貫通。

2）任務(wù)驅(qū)動(dòng)：小、大任務(wù)模式。

網(wǎng)絡(luò)攻防技術(shù)課程內(nèi)容多而雜，一般來講，一個(gè)章節(jié)一個(gè)任務(wù)，或一個(gè)章節(jié)幾個(gè)任務(wù)（如Web攻防技術(shù)就有5個(gè)任務(wù)，每個(gè)任務(wù)有3個(gè)級(jí)別），這些屬于大任務(wù)，幾乎涵蓋該章節(jié)的所有內(nèi)容。在該章節(jié)開始之前，通過巧妙的方法加以提出，引導(dǎo)學(xué)生逐步實(shí)現(xiàn)這些任務(wù)。

在實(shí)際教學(xué)過程中，這些大任務(wù)也套著小任務(wù)，如Windows攻防技術(shù)，包括Windows進(jìn)程/線程查看分析、注冊(cè)表使用、命令式用戶/組創(chuàng)建、口令破解、安全配置、SQL存儲(chǔ)過程提權(quán)等小任務(wù)，最后以兩個(gè)大任務(wù)“利用Metasploit生成木馬滲透Windows 7”“利用MS08-067漏洞攻擊Windows XP SP2”結(jié)束該內(nèi)容；再如惡意代碼及其分析技術(shù)，包括惡意程序識(shí)別、文件格式識(shí)別、反匯編、反編譯、加殼、脫殼、靜態(tài)分析、動(dòng)態(tài)分析等小任務(wù)，最后以2個(gè)大任務(wù)“CRACKME系列破解分析”“CTF-REVERSE練習(xí)之算法分析”結(jié)束該內(nèi)容。小任務(wù)時(shí)間短（不超過5 min）、容易完成，且提高大任務(wù)的總體完成率；大任務(wù)時(shí)間長（一節(jié)課及以上時(shí)間）、難完成，有一定挑戰(zhàn)性、綜合性，是對(duì)各個(gè)小節(jié)點(diǎn)內(nèi)容的綜合、復(fù)習(xí)，小、大任務(wù)模式有利于學(xué)生知識(shí)、技能的掌握。

4 互聯(lián)網(wǎng)+時(shí)代網(wǎng)絡(luò)攻防技術(shù)課程實(shí)踐評(píng)測(cè)體系

根據(jù)網(wǎng)絡(luò)攻防技術(shù)課程的特點(diǎn)，課程的評(píng)測(cè)應(yīng)盡量避免期末考試一刀切的方法，而應(yīng)注重過程考核，加大學(xué)生平時(shí)實(shí)驗(yàn)成績比例；同時(shí)還應(yīng)加強(qiáng)課堂測(cè)評(píng)，以便端正學(xué)生學(xué)習(xí)態(tài)度，培養(yǎng)學(xué)生良好的學(xué)習(xí)習(xí)慣，及時(shí)掌握學(xué)生學(xué)習(xí)效果[7]。課程評(píng)測(cè)比例構(gòu)成見表1。

表1 網(wǎng)絡(luò)攻防技術(shù)課程評(píng)測(cè)比例構(gòu)成

目前該課程題庫已有400個(gè)選擇、判斷題，課堂測(cè)評(píng)一般安排在每次課的最后5 min。學(xué)生在測(cè)試時(shí)使用手機(jī)作答，題目隨機(jī)排序、隨機(jī)抽題（至少2倍比例抽題）、隨機(jī)編排備選答案，避免學(xué)生抄襲。課堂實(shí)驗(yàn)需完成24個(gè)，評(píng)分標(biāo)準(zhǔn)見表2（信息安全與管理專業(yè)采取小班化教學(xué)，前5名完成實(shí)驗(yàn)的學(xué)生將協(xié)助教師參與成績?cè)u(píng)定）。課外實(shí)驗(yàn)主要以合天實(shí)驗(yàn)、實(shí)驗(yàn)吧實(shí)驗(yàn)為主，要求每名學(xué)生注冊(cè)賬號(hào)，以截圖形式提交，以學(xué)會(huì)自主學(xué)習(xí)，明白課內(nèi)學(xué)習(xí)是打基礎(chǔ)，課外學(xué)習(xí)才是提升水平的有效之道。

5 結(jié)語

網(wǎng)絡(luò)攻防技術(shù)課程是一門理論性、實(shí)踐性都很強(qiáng)的課程，經(jīng)過實(shí)踐改革，教學(xué)效果有所改善。從學(xué)生的反饋看，學(xué)生學(xué)習(xí)興趣濃厚，滿意度較高。當(dāng)然實(shí)踐也存在某些不足，如實(shí)驗(yàn)、測(cè)評(píng)不夠自動(dòng)化，某些內(nèi)容仍顯陳舊，教學(xué)方式、方法有待進(jìn)一步優(yōu)化等，這些將是下一輪授課時(shí)重點(diǎn)改進(jìn)的地方。

表2 實(shí)驗(yàn)成績計(jì)分標(biāo)準(zhǔn)