互聯(lián)網(wǎng)+時代民辦高職網(wǎng)絡(luò)攻防技術(shù)課程實踐教學(xué)體系設(shè)計與實施

彭光彬，張永志

（重慶機電職業(yè)技術(shù)學(xué)院 信息工程學(xué)院，重慶 402760）

1 互聯(lián)網(wǎng)+時代網(wǎng)絡(luò)攻防技術(shù)課程實踐教學(xué)面臨的挑戰(zhàn)

1）實踐教學(xué)內(nèi)容陳舊。

進(jìn)入21世紀(jì)以來，IT技術(shù)得到迅猛發(fā)展，一些在網(wǎng)絡(luò)安全上造成重大影響的安全漏洞陸續(xù)被修復(fù)，而另一些新的安全漏洞也被陸續(xù)挖掘出來，同時黑客技術(shù)或網(wǎng)絡(luò)攻擊方法也在不斷演進(jìn)，但是當(dāng)前許多網(wǎng)絡(luò)攻防技術(shù)教材仍然在教授Windows XP時代或以前的一些網(wǎng)絡(luò)攻防技術(shù)，很少或幾乎沒有涉及最近2年內(nèi)的一些安全漏洞或網(wǎng)絡(luò)攻擊方法。另外，由于教材開發(fā)周期一般比較長，導(dǎo)致教材在某些內(nèi)容上仍然跟不上技術(shù)的發(fā)展，很難做到與時俱進(jìn)，因時而變，因此，實踐內(nèi)容的陳舊是當(dāng)前互聯(lián)網(wǎng)+時代網(wǎng)絡(luò)攻防技術(shù)課程實踐教學(xué)面臨的一個巨大挑戰(zhàn)。

2）教授與學(xué)習(xí)難度大。

網(wǎng)絡(luò)攻防技術(shù)課程是一門綜合性、實踐性很強的課程，涉及的前導(dǎo)課程多達(dá)6～10門（如圖1所示），涵蓋信息安全與管理專業(yè)的大部分專業(yè)課程。教師在課上除了要講授網(wǎng)絡(luò)攻防技術(shù)外，還需復(fù)習(xí)、展開、深化以前講過的知識，使學(xué)生對相關(guān)原理融會貫通、舉一反三，這要求教師必須對這些內(nèi)容信手拈來、爛熟于胸，并加大授課難度。如果授課方法不當(dāng)，對內(nèi)容不熟悉，就會使學(xué)生失去學(xué)習(xí)的信心和興趣。

網(wǎng)絡(luò)攻防技術(shù)課程涉及面廣，實驗比較多，每個實驗環(huán)境基本都不一樣。實驗環(huán)境的準(zhǔn)備是一個很大的挑戰(zhàn)，一般的微機管理員或?qū)嶒瀱T很難正確部署，而對于一般民辦高職院校，購買動輒幾十萬的實驗設(shè)備和實訓(xùn)軟件，也是一件比較困難的事情，因此要上好網(wǎng)絡(luò)攻防技術(shù)課程，無論對教師還是學(xué)生，都要付出極大的努力才行。

圖1 網(wǎng)絡(luò)攻防技術(shù)課程前導(dǎo)課程示意圖

2 民辦高職網(wǎng)絡(luò)攻防技術(shù)課程實踐體系的設(shè)計與實施

2.1 根據(jù)人才培養(yǎng)目標(biāo)確定課程側(cè)重點

信息安全與管理專業(yè)的培養(yǎng)目標(biāo)是培養(yǎng)德、智、體、美等全面發(fā)展的，具有與本專業(yè)相適應(yīng)的文化水平、良好的職業(yè)道德和創(chuàng)新精神，掌握計算機網(wǎng)絡(luò)與信息安全基本理論和專業(yè)知識，具有網(wǎng)絡(luò)系統(tǒng)建設(shè)與管理、信息系統(tǒng)安全測評、安全方案制訂及實施、安全產(chǎn)品銷售等技能，能夠從事信息安全管理、信息安全設(shè)計、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)工程設(shè)計、施工及技術(shù)支持等方面工作的高素質(zhì)技術(shù)技能型專門人才。

圍繞課程目標(biāo)，結(jié)合信息安全與管理專業(yè)的課程開設(shè)情況，網(wǎng)絡(luò)攻防技術(shù)課程作為信息安全與管理專業(yè)的專業(yè)核心技術(shù)課程，其重點在于“攻”，但同時也應(yīng)兼顧“防”（同期開設(shè)有網(wǎng)絡(luò)防護(hù)技術(shù)專注于“防”）；以案例為載體，以技能為抓手，強調(diào)網(wǎng)絡(luò)攻防原理的重要性。本課程以網(wǎng)絡(luò)攻防為線索，使學(xué)生在學(xué)習(xí)和實踐過程中融會貫通已學(xué)的網(wǎng)絡(luò)、信息安全、操作系統(tǒng)、數(shù)據(jù)庫、編程語言等相關(guān)知識和技能，熟悉常見漏洞的發(fā)掘方法和網(wǎng)絡(luò)攻擊模式；掌握常用安全工具的使用；針對常見的漏洞和安全缺陷，設(shè)計并實施相關(guān)防護(hù)策略，為將來從事信息安全管理與設(shè)計相關(guān)工作打下堅實基礎(chǔ)。

2.2 設(shè)計互聯(lián)網(wǎng)+時代網(wǎng)絡(luò)攻防技術(shù)課程實踐體系

網(wǎng)絡(luò)攻防技術(shù)課程以網(wǎng)絡(luò)攻擊的過程為主線。教師可根據(jù)信息安全與管理專業(yè)相關(guān)人才培養(yǎng)目標(biāo)，利用互聯(lián)網(wǎng)+相關(guān)技術(shù)[1]（網(wǎng)頁爬取技術(shù)、分詞技術(shù)、數(shù)據(jù)分析技術(shù)等），從相關(guān)招聘網(wǎng)站（如51job、智聯(lián)招聘網(wǎng)等）統(tǒng)計信息安全工程師、滲透測試工程師等職位相關(guān)信息，并結(jié)合用人單位實地走訪情況，從網(wǎng)絡(luò)攻擊者的角度串起整個課程。

在某些實踐內(nèi)容的選取上，充分利用互聯(lián)網(wǎng)內(nèi)容的及時性、海量性，廣泛調(diào)研、綜合權(quán)衡，最終形成如圖2所示的實踐體系綱目。

圖2 網(wǎng)絡(luò)攻防技術(shù)課程知識體系概覽

1）利用開源軟件搭建實驗平臺。

由于網(wǎng)絡(luò)攻防技術(shù)課程涉及眾多系統(tǒng)的多個版本，如Linux、Windows，也不可能使用真實搭建的計算機網(wǎng)絡(luò)，因此該課程某些實驗平臺的搭建必然要用到虛擬化技術(shù)。對于民辦院校來說，VMware虛擬化軟件價格高昂，成本太高，因此可以使用免費、開源的Oracle VirtualBox進(jìn)行虛擬化。VirtualBox功能完善、操作簡單，非常適合實驗教學(xué)。

Web攻防技術(shù)課程的教學(xué)也使用開源軟件DVWA（damn vulnerable Web application）模擬Web攻防。DVWA是RandomStorm的一個開源項目，是一個用來進(jìn)行安全脆弱性鑒定的PHP/MySQL Web應(yīng)用，旨在為安全專業(yè)人員測試自己的專業(yè)技能和工具提供合法的環(huán)境，幫助Web開發(fā)者更好地理解Web應(yīng)用安全防范的過程。對于初學(xué)者來說，DVWA相比其他測試工具更容易理解和掌握。

除此之外，互聯(lián)網(wǎng)上還有其他的一些開源軟件和專門的靶機ISO文件，使用虛擬機軟件直接就可以運行起來，無需再安裝配置。

2）利用MOOC資源實施理實一體化教學(xué)。

網(wǎng)絡(luò)攻防技術(shù)課程是一門實踐性很強的課程，但實踐離不開理論的支撐，缺乏理論推導(dǎo)的實踐通常都會走一些冤枉路。此外，實踐也可以驗證理論，有利于加深對理論知識的理解。在教學(xué)過程中，應(yīng)做到既強化實踐教學(xué)，又高度重視理論教學(xué)，在“做”中參悟理論，在“學(xué)”中推導(dǎo)實踐，邊做邊學(xué)，邊學(xué)邊做，真正實現(xiàn)教、學(xué)、做的融合，如在“NSR模式植入代碼”的教學(xué)過程中，在花2 min左右時間講授其原理后，立即讓學(xué)生進(jìn)行Shellcode代碼植入的實驗，并讓學(xué)生在實驗過程中思考Shellcode代碼為什么能被執(zhí)行；在大多數(shù)學(xué)生完成實驗后，讓部分學(xué)生思考為什么實驗會失敗。經(jīng)過這樣一個教、學(xué)、做的過程，絕大部分學(xué)生會對實驗的原理及方法印象深刻。

在實施理實一體化教學(xué)過程中，任課教師除了自己制作一些微課外，還可以利用互聯(lián)網(wǎng)中一些成熟的MOOC（大型開放式網(wǎng)絡(luò)課程）資源或視頻資源輔助教學(xué)，這可大大緩解師資緊張的民辦院校教師的備課壓力。目前，互聯(lián)網(wǎng)上的免費MOOC課程比較多，有關(guān)網(wǎng)絡(luò)安全或網(wǎng)絡(luò)攻防的課程也有一些，尤其在一些專注網(wǎng)絡(luò)安全的站點上，這些網(wǎng)絡(luò)課程大多數(shù)質(zhì)量不錯，技術(shù)較新，教師可以有針對性地選擇部分視頻或片段解決網(wǎng)絡(luò)攻防技術(shù)課程的重難點及新技術(shù)問題。以“TCP/IP協(xié)議棧攻防技術(shù)”的教學(xué)為例，教師首先讓學(xué)生觀看騰訊課堂的MOOC“網(wǎng)絡(luò)安全攻防實戰(zhàn)課”[2]中的“TCP/IP協(xié)議棧”視頻，然后有針對性地提一些典型問題，有效解決TCP/IP攻防原理難理解、實驗難做的問題；在“逆向工程：惡意代碼分析技術(shù)”的教學(xué)中，教師可利用合天網(wǎng)安實驗室的MOOC視頻“CTF-REVERSE練習(xí)之算法分析1”[3]很好地解決逆向分析技術(shù)過程復(fù)雜、分析難度大的問題。

3）利用博客等資源設(shè)計實驗。

CSDN、博客園等網(wǎng)站上有許多優(yōu)秀的IT博客作者，一些專業(yè)的網(wǎng)絡(luò)安全網(wǎng)站也采用博客的形式傳播網(wǎng)絡(luò)安全技術(shù)。學(xué)生和教師可以充分利用博客、社區(qū)（如論壇）、社群（如QQ群、微信群）等發(fā)掘優(yōu)秀的教學(xué)案例，借此解決一些疑難問題。教師在講解Windows系統(tǒng)攻防技術(shù)實驗時，可以時下最流行（也是招聘單位要求較多的工具）的滲透測試工具M(jìn)etasploit作為學(xué)生學(xué)習(xí)的主工具，讓學(xué)生充分掌握該工具的使用，在一篇博客[4]的基礎(chǔ)上設(shè)計“利用Metasploit生成木馬滲透Windows 7”的實驗；講解Linux系統(tǒng)攻防技術(shù)實驗時，在翻閱多個網(wǎng)站、博客的基礎(chǔ)上，利用Kali Linux下的Metasploit軟件，選取當(dāng)下影響比較大的漏洞，設(shè)計“Metasploit下利用is_known_pipename漏洞滲透CentOS 6.9”的實驗（該漏洞即CVE-2017-7494）；講解Web攻防實驗時，直接可以使用FREEBUFF站點上的DVWA全級別新手指南教程[5]（站點以博客的形式傳播）作為實驗手冊。

4）利用MOOE資源設(shè)計或?qū)嵤嶒灐?/p>

隨著云計算等技術(shù)的發(fā)展，MOOE（massive open online experiments）即大規(guī)模在線開放實驗室，很好地解決了網(wǎng)絡(luò)攻防技術(shù)課程實驗環(huán)境搭建的煩惱。MOOE具有大規(guī)模、開放性和在線支持的特點[6]，既可以滿足學(xué)生不受時空約束的自我學(xué)習(xí)需要，又可以讓教師擺脫實驗室的束縛，從多種維度觀察和評測學(xué)生的學(xué)習(xí)效果。目前在安全領(lǐng)域做得比較好的MOOE是合天網(wǎng)安實驗室，民辦院校一方面可以借鑒其實驗設(shè)計自己的實驗，如上文中提到的逆向工程算法分析實驗，另一方面教師也可以挑選部分實驗（可分成必做、選做兩部分），鼓勵學(xué)生在其平臺上完成實驗。除了合天網(wǎng)安實驗室，實驗吧也做得不錯，可以參照其模式（奪旗模式）、內(nèi)容設(shè)計部分實驗。

5）利用移動設(shè)備、網(wǎng)絡(luò)教學(xué)平臺等輔助教學(xué)。

隨著移動互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，智能手機等移動設(shè)備在學(xué)生中已經(jīng)相當(dāng)普及。一些在線考試系統(tǒng)對教師推出免費服務(wù)，如“考試酷”“藍(lán)墨云”“雨課堂”等就有考試服務(wù)（測試活動）。利用移動互聯(lián)網(wǎng)技術(shù)實現(xiàn)實時課堂測評成為可能，有利于教師及時掌握學(xué)生的學(xué)習(xí)效果，督促學(xué)生學(xué)習(xí)。除此之外，清華大學(xué)開發(fā)的免費軟件“雨課堂”還有考勤、視頻播放等功能，學(xué)生只要用手機掃描PPT上的課堂二維碼，輸入課堂驗證碼就可實現(xiàn)考勤；在放映幻燈片時，可把一些互聯(lián)網(wǎng)上的視頻資源、測評題目推送到學(xué)生手機上。

互聯(lián)網(wǎng)+時代網(wǎng)絡(luò)攻防技術(shù)課程實踐體系解決方案如圖3所示，教師可據(jù)此設(shè)計相應(yīng)實踐課程體系，以實現(xiàn)其新穎性、易操作性以及便于考查教學(xué)效果等目的。

圖3 互聯(lián)網(wǎng)+時代網(wǎng)絡(luò)攻防技術(shù)課程實踐體系解決方案

3 互聯(lián)網(wǎng)+時代網(wǎng)絡(luò)攻防技術(shù)課程實踐教學(xué)的實施

1）教學(xué)模式：理實一體化。

理實一體化的教學(xué)模式非常適合網(wǎng)絡(luò)攻防技術(shù)課程的實踐教學(xué)，由于高職學(xué)生的特性所在，部分學(xué)生對原理性、理論性的知識掌握得并不是很好，但其對動手實驗相當(dāng)感興趣，因此，應(yīng)正確引導(dǎo)這部分學(xué)生，防止學(xué)生成為“腳本小子”，在做完實驗后應(yīng)讓學(xué)生回顧一下實驗原理，讓其不但知其所以然，而且能舉一反三，融會貫通。

2）任務(wù)驅(qū)動：小、大任務(wù)模式。

網(wǎng)絡(luò)攻防技術(shù)課程內(nèi)容多而雜，一般來講，一個章節(jié)一個任務(wù)，或一個章節(jié)幾個任務(wù)（如Web攻防技術(shù)就有5個任務(wù)，每個任務(wù)有3個級別），這些屬于大任務(wù)，幾乎涵蓋該章節(jié)的所有內(nèi)容。在該章節(jié)開始之前，通過巧妙的方法加以提出，引導(dǎo)學(xué)生逐步實現(xiàn)這些任務(wù)。

在實際教學(xué)過程中，這些大任務(wù)也套著小任務(wù)，如Windows攻防技術(shù)，包括Windows進(jìn)程/線程查看分析、注冊表使用、命令式用戶/組創(chuàng)建、口令破解、安全配置、SQL存儲過程提權(quán)等小任務(wù)，最后以兩個大任務(wù)“利用Metasploit生成木馬滲透Windows 7”“利用MS08-067漏洞攻擊Windows XP SP2”結(jié)束該內(nèi)容；再如惡意代碼及其分析技術(shù)，包括惡意程序識別、文件格式識別、反匯編、反編譯、加殼、脫殼、靜態(tài)分析、動態(tài)分析等小任務(wù)，最后以2個大任務(wù)“CRACKME系列破解分析”“CTF-REVERSE練習(xí)之算法分析”結(jié)束該內(nèi)容。小任務(wù)時間短（不超過5 min）、容易完成，且提高大任務(wù)的總體完成率；大任務(wù)時間長（一節(jié)課及以上時間）、難完成，有一定挑戰(zhàn)性、綜合性，是對各個小節(jié)點內(nèi)容的綜合、復(fù)習(xí)，小、大任務(wù)模式有利于學(xué)生知識、技能的掌握。

4 互聯(lián)網(wǎng)+時代網(wǎng)絡(luò)攻防技術(shù)課程實踐評測體系

根據(jù)網(wǎng)絡(luò)攻防技術(shù)課程的特點，課程的評測應(yīng)盡量避免期末考試一刀切的方法，而應(yīng)注重過程考核，加大學(xué)生平時實驗成績比例；同時還應(yīng)加強課堂測評，以便端正學(xué)生學(xué)習(xí)態(tài)度，培養(yǎng)學(xué)生良好的學(xué)習(xí)習(xí)慣，及時掌握學(xué)生學(xué)習(xí)效果[7]。課程評測比例構(gòu)成見表1。

表1 網(wǎng)絡(luò)攻防技術(shù)課程評測比例構(gòu)成

目前該課程題庫已有400個選擇、判斷題，課堂測評一般安排在每次課的最后5 min。學(xué)生在測試時使用手機作答，題目隨機排序、隨機抽題（至少2倍比例抽題）、隨機編排備選答案，避免學(xué)生抄襲。課堂實驗需完成24個，評分標(biāo)準(zhǔn)見表2（信息安全與管理專業(yè)采取小班化教學(xué)，前5名完成實驗的學(xué)生將協(xié)助教師參與成績評定）。課外實驗主要以合天實驗、實驗吧實驗為主，要求每名學(xué)生注冊賬號，以截圖形式提交，以學(xué)會自主學(xué)習(xí)，明白課內(nèi)學(xué)習(xí)是打基礎(chǔ)，課外學(xué)習(xí)才是提升水平的有效之道。

5 結(jié)語

網(wǎng)絡(luò)攻防技術(shù)課程是一門理論性、實踐性都很強的課程，經(jīng)過實踐改革，教學(xué)效果有所改善。從學(xué)生的反饋看，學(xué)生學(xué)習(xí)興趣濃厚，滿意度較高。當(dāng)然實踐也存在某些不足，如實驗、測評不夠自動化，某些內(nèi)容仍顯陳舊，教學(xué)方式、方法有待進(jìn)一步優(yōu)化等，這些將是下一輪授課時重點改進(jìn)的地方。

表2 實驗成績計分標(biāo)準(zhǔn)