彭光彬,張永志
(重慶機電職業(yè)技術(shù)學(xué)院 信息工程學(xué)院,重慶 402760)
進(jìn)入21世紀(jì)以來,IT技術(shù)得到迅猛發(fā)展,一些在網(wǎng)絡(luò)安全上造成重大影響的安全漏洞陸續(xù)被修復(fù),而另一些新的安全漏洞也被陸續(xù)挖掘出來,同時黑客技術(shù)或網(wǎng)絡(luò)攻擊方法也在不斷演進(jìn),但是當(dāng)前許多網(wǎng)絡(luò)攻防技術(shù)教材仍然在教授Windows XP時代或以前的一些網(wǎng)絡(luò)攻防技術(shù),很少或幾乎沒有涉及最近2年內(nèi)的一些安全漏洞或網(wǎng)絡(luò)攻擊方法。另外,由于教材開發(fā)周期一般比較長,導(dǎo)致教材在某些內(nèi)容上仍然跟不上技術(shù)的發(fā)展,很難做到與時俱進(jìn),因時而變,因此,實踐內(nèi)容的陳舊是當(dāng)前互聯(lián)網(wǎng)+時代網(wǎng)絡(luò)攻防技術(shù)課程實踐教學(xué)面臨的一個巨大挑戰(zhàn)。
網(wǎng)絡(luò)攻防技術(shù)課程是一門綜合性、實踐性很強的課程,涉及的前導(dǎo)課程多達(dá)6~10門(如圖1所示),涵蓋信息安全與管理專業(yè)的大部分專業(yè)課程。教師在課上除了要講授網(wǎng)絡(luò)攻防技術(shù)外,還需復(fù)習(xí)、展開、深化以前講過的知識,使學(xué)生對相關(guān)原理融會貫通、舉一反三,這要求教師必須對這些內(nèi)容信手拈來、爛熟于胸,并加大授課難度。如果授課方法不當(dāng),對內(nèi)容不熟悉,就會使學(xué)生失去學(xué)習(xí)的信心和興趣。
網(wǎng)絡(luò)攻防技術(shù)課程涉及面廣,實驗比較多,每個實驗環(huán)境基本都不一樣。實驗環(huán)境的準(zhǔn)備是一個很大的挑戰(zhàn),一般的微機管理員或?qū)嶒瀱T很難正確部署,而對于一般民辦高職院校,購買動輒幾十萬的實驗設(shè)備和實訓(xùn)軟件,也是一件比較困難的事情,因此要上好網(wǎng)絡(luò)攻防技術(shù)課程,無論對教師還是學(xué)生,都要付出極大的努力才行。
圖1 網(wǎng)絡(luò)攻防技術(shù)課程前導(dǎo)課程示意圖
信息安全與管理專業(yè)的培養(yǎng)目標(biāo)是培養(yǎng)德、智、體、美等全面發(fā)展的,具有與本專業(yè)相適應(yīng)的文化水平、良好的職業(yè)道德和創(chuàng)新精神,掌握計算機網(wǎng)絡(luò)與信息安全基本理論和專業(yè)知識,具有網(wǎng)絡(luò)系統(tǒng)建設(shè)與管理、信息系統(tǒng)安全測評、安全方案制訂及實施、安全產(chǎn)品銷售等技能,能夠從事信息安全管理、信息安全設(shè)計、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)工程設(shè)計、施工及技術(shù)支持等方面工作的高素質(zhì)技術(shù)技能型專門人才。
圍繞課程目標(biāo),結(jié)合信息安全與管理專業(yè)的課程開設(shè)情況,網(wǎng)絡(luò)攻防技術(shù)課程作為信息安全與管理專業(yè)的專業(yè)核心技術(shù)課程,其重點在于“攻”,但同時也應(yīng)兼顧“防”(同期開設(shè)有網(wǎng)絡(luò)防護(hù)技術(shù)專注于“防”);以案例為載體,以技能為抓手,強調(diào)網(wǎng)絡(luò)攻防原理的重要性。本課程以網(wǎng)絡(luò)攻防為線索,使學(xué)生在學(xué)習(xí)和實踐過程中融會貫通已學(xué)的網(wǎng)絡(luò)、信息安全、操作系統(tǒng)、數(shù)據(jù)庫、編程語言等相關(guān)知識和技能,熟悉常見漏洞的發(fā)掘方法和網(wǎng)絡(luò)攻擊模式;掌握常用安全工具的使用;針對常見的漏洞和安全缺陷,設(shè)計并實施相關(guān)防護(hù)策略,為將來從事信息安全管理與設(shè)計相關(guān)工作打下堅實基礎(chǔ)。
網(wǎng)絡(luò)攻防技術(shù)課程以網(wǎng)絡(luò)攻擊的過程為主線。教師可根據(jù)信息安全與管理專業(yè)相關(guān)人才培養(yǎng)目標(biāo),利用互聯(lián)網(wǎng)+相關(guān)技術(shù)[1](網(wǎng)頁爬取技術(shù)、分詞技術(shù)、數(shù)據(jù)分析技術(shù)等),從相關(guān)招聘網(wǎng)站(如51job、智聯(lián)招聘網(wǎng)等)統(tǒng)計信息安全工程師、滲透測試工程師等職位相關(guān)信息,并結(jié)合用人單位實地走訪情況,從網(wǎng)絡(luò)攻擊者的角度串起整個課程。
在某些實踐內(nèi)容的選取上,充分利用互聯(lián)網(wǎng)內(nèi)容的及時性、海量性,廣泛調(diào)研、綜合權(quán)衡,最終形成如圖2所示的實踐體系綱目。
圖2 網(wǎng)絡(luò)攻防技術(shù)課程知識體系概覽
1)利用開源軟件搭建實驗平臺。
由于網(wǎng)絡(luò)攻防技術(shù)課程涉及眾多系統(tǒng)的多個版本,如Linux、Windows,也不可能使用真實搭建的計算機網(wǎng)絡(luò),因此該課程某些實驗平臺的搭建必然要用到虛擬化技術(shù)。對于民辦院校來說,VMware虛擬化軟件價格高昂,成本太高,因此可以使用免費、開源的Oracle VirtualBox進(jìn)行虛擬化。VirtualBox功能完善、操作簡單,非常適合實驗教學(xué)。
Web攻防技術(shù)課程的教學(xué)也使用開源軟件DVWA(damn vulnerable Web application)模擬Web攻防。DVWA是RandomStorm的一個開源項目,是一個用來進(jìn)行安全脆弱性鑒定的PHP/MySQL Web應(yīng)用,旨在為安全專業(yè)人員測試自己的專業(yè)技能和工具提供合法的環(huán)境,幫助Web開發(fā)者更好地理解Web應(yīng)用安全防范的過程。對于初學(xué)者來說,DVWA相比其他測試工具更容易理解和掌握。
除此之外,互聯(lián)網(wǎng)上還有其他的一些開源軟件和專門的靶機ISO文件,使用虛擬機軟件直接就可以運行起來,無需再安裝配置。
2)利用MOOC資源實施理實一體化教學(xué)。
網(wǎng)絡(luò)攻防技術(shù)課程是一門實踐性很強的課程,但實踐離不開理論的支撐,缺乏理論推導(dǎo)的實踐通常都會走一些冤枉路。此外,實踐也可以驗證理論,有利于加深對理論知識的理解。在教學(xué)過程中,應(yīng)做到既強化實踐教學(xué),又高度重視理論教學(xué),在“做”中參悟理論,在“學(xué)”中推導(dǎo)實踐,邊做邊學(xué),邊學(xué)邊做,真正實現(xiàn)教、學(xué)、做的融合,如在“NSR模式植入代碼”的教學(xué)過程中,在花2 min左右時間講授其原理后,立即讓學(xué)生進(jìn)行Shellcode代碼植入的實驗,并讓學(xué)生在實驗過程中思考Shellcode代碼為什么能被執(zhí)行;在大多數(shù)學(xué)生完成實驗后,讓部分學(xué)生思考為什么實驗會失敗。經(jīng)過這樣一個教、學(xué)、做的過程,絕大部分學(xué)生會對實驗的原理及方法印象深刻。
在實施理實一體化教學(xué)過程中,任課教師除了自己制作一些微課外,還可以利用互聯(lián)網(wǎng)中一些成熟的MOOC(大型開放式網(wǎng)絡(luò)課程)資源或視頻資源輔助教學(xué),這可大大緩解師資緊張的民辦院校教師的備課壓力。目前,互聯(lián)網(wǎng)上的免費MOOC課程比較多,有關(guān)網(wǎng)絡(luò)安全或網(wǎng)絡(luò)攻防的課程也有一些,尤其在一些專注網(wǎng)絡(luò)安全的站點上,這些網(wǎng)絡(luò)課程大多數(shù)質(zhì)量不錯,技術(shù)較新,教師可以有針對性地選擇部分視頻或片段解決網(wǎng)絡(luò)攻防技術(shù)課程的重難點及新技術(shù)問題。以“TCP/IP協(xié)議棧攻防技術(shù)”的教學(xué)為例,教師首先讓學(xué)生觀看騰訊課堂的MOOC“網(wǎng)絡(luò)安全攻防實戰(zhàn)課”[2]中的“TCP/IP協(xié)議棧”視頻,然后有針對性地提一些典型問題,有效解決TCP/IP攻防原理難理解、實驗難做的問題;在“逆向工程:惡意代碼分析技術(shù)”的教學(xué)中,教師可利用合天網(wǎng)安實驗室的MOOC視頻“CTF-REVERSE練習(xí)之算法分析1”[3]很好地解決逆向分析技術(shù)過程復(fù)雜、分析難度大的問題。
3)利用博客等資源設(shè)計實驗。
CSDN、博客園等網(wǎng)站上有許多優(yōu)秀的IT博客作者,一些專業(yè)的網(wǎng)絡(luò)安全網(wǎng)站也采用博客的形式傳播網(wǎng)絡(luò)安全技術(shù)。學(xué)生和教師可以充分利用博客、社區(qū)(如論壇)、社群(如QQ群、微信群)等發(fā)掘優(yōu)秀的教學(xué)案例,借此解決一些疑難問題。教師在講解Windows系統(tǒng)攻防技術(shù)實驗時,可以時下最流行(也是招聘單位要求較多的工具)的滲透測試工具M(jìn)etasploit作為學(xué)生學(xué)習(xí)的主工具,讓學(xué)生充分掌握該工具的使用,在一篇博客[4]的基礎(chǔ)上設(shè)計“利用Metasploit生成木馬滲透Windows 7”的實驗;講解Linux系統(tǒng)攻防技術(shù)實驗時,在翻閱多個網(wǎng)站、博客的基礎(chǔ)上,利用Kali Linux下的Metasploit軟件,選取當(dāng)下影響比較大的漏洞,設(shè)計“Metasploit下利用is_known_pipename漏洞滲透CentOS 6.9”的實驗(該漏洞即CVE-2017-7494);講解Web攻防實驗時,直接可以使用FREEBUFF站點上的DVWA全級別新手指南教程[5](站點以博客的形式傳播)作為實驗手冊。
4)利用MOOE資源設(shè)計或?qū)嵤嶒灐?/p>
隨著云計算等技術(shù)的發(fā)展,MOOE(massive open online experiments)即大規(guī)模在線開放實驗室,很好地解決了網(wǎng)絡(luò)攻防技術(shù)課程實驗環(huán)境搭建的煩惱。MOOE具有大規(guī)模、開放性和在線支持的特點[6],既可以滿足學(xué)生不受時空約束的自我學(xué)習(xí)需要,又可以讓教師擺脫實驗室的束縛,從多種維度觀察和評測學(xué)生的學(xué)習(xí)效果。目前在安全領(lǐng)域做得比較好的MOOE是合天網(wǎng)安實驗室,民辦院校一方面可以借鑒其實驗設(shè)計自己的實驗,如上文中提到的逆向工程算法分析實驗,另一方面教師也可以挑選部分實驗(可分成必做、選做兩部分),鼓勵學(xué)生在其平臺上完成實驗。除了合天網(wǎng)安實驗室,實驗吧也做得不錯,可以參照其模式(奪旗模式)、內(nèi)容設(shè)計部分實驗。
5)利用移動設(shè)備、網(wǎng)絡(luò)教學(xué)平臺等輔助教學(xué)。
隨著移動互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,智能手機等移動設(shè)備在學(xué)生中已經(jīng)相當(dāng)普及。一些在線考試系統(tǒng)對教師推出免費服務(wù),如“考試酷”“藍(lán)墨云”“雨課堂”等就有考試服務(wù)(測試活動)。利用移動互聯(lián)網(wǎng)技術(shù)實現(xiàn)實時課堂測評成為可能,有利于教師及時掌握學(xué)生的學(xué)習(xí)效果,督促學(xué)生學(xué)習(xí)。除此之外,清華大學(xué)開發(fā)的免費軟件“雨課堂”還有考勤、視頻播放等功能,學(xué)生只要用手機掃描PPT上的課堂二維碼,輸入課堂驗證碼就可實現(xiàn)考勤;在放映幻燈片時,可把一些互聯(lián)網(wǎng)上的視頻資源、測評題目推送到學(xué)生手機上。
互聯(lián)網(wǎng)+時代網(wǎng)絡(luò)攻防技術(shù)課程實踐體系解決方案如圖3所示,教師可據(jù)此設(shè)計相應(yīng)實踐課程體系,以實現(xiàn)其新穎性、易操作性以及便于考查教學(xué)效果等目的。
圖3 互聯(lián)網(wǎng)+時代網(wǎng)絡(luò)攻防技術(shù)課程實踐體系解決方案
理實一體化的教學(xué)模式非常適合網(wǎng)絡(luò)攻防技術(shù)課程的實踐教學(xué),由于高職學(xué)生的特性所在,部分學(xué)生對原理性、理論性的知識掌握得并不是很好,但其對動手實驗相當(dāng)感興趣,因此,應(yīng)正確引導(dǎo)這部分學(xué)生,防止學(xué)生成為“腳本小子”,在做完實驗后應(yīng)讓學(xué)生回顧一下實驗原理,讓其不但知其所以然,而且能舉一反三,融會貫通。
網(wǎng)絡(luò)攻防技術(shù)課程內(nèi)容多而雜,一般來講,一個章節(jié)一個任務(wù),或一個章節(jié)幾個任務(wù)(如Web攻防技術(shù)就有5個任務(wù),每個任務(wù)有3個級別),這些屬于大任務(wù),幾乎涵蓋該章節(jié)的所有內(nèi)容。在該章節(jié)開始之前,通過巧妙的方法加以提出,引導(dǎo)學(xué)生逐步實現(xiàn)這些任務(wù)。
在實際教學(xué)過程中,這些大任務(wù)也套著小任務(wù),如Windows攻防技術(shù),包括Windows進(jìn)程/線程查看分析、注冊表使用、命令式用戶/組創(chuàng)建、口令破解、安全配置、SQL存儲過程提權(quán)等小任務(wù),最后以兩個大任務(wù)“利用Metasploit生成木馬滲透Windows 7”“利用MS08-067漏洞攻擊Windows XP SP2”結(jié)束該內(nèi)容;再如惡意代碼及其分析技術(shù),包括惡意程序識別、文件格式識別、反匯編、反編譯、加殼、脫殼、靜態(tài)分析、動態(tài)分析等小任務(wù),最后以2個大任務(wù)“CRACKME系列破解分析”“CTF-REVERSE練習(xí)之算法分析”結(jié)束該內(nèi)容。小任務(wù)時間短(不超過5 min)、容易完成,且提高大任務(wù)的總體完成率;大任務(wù)時間長(一節(jié)課及以上時間)、難完成,有一定挑戰(zhàn)性、綜合性,是對各個小節(jié)點內(nèi)容的綜合、復(fù)習(xí),小、大任務(wù)模式有利于學(xué)生知識、技能的掌握。
根據(jù)網(wǎng)絡(luò)攻防技術(shù)課程的特點,課程的評測應(yīng)盡量避免期末考試一刀切的方法,而應(yīng)注重過程考核,加大學(xué)生平時實驗成績比例;同時還應(yīng)加強課堂測評,以便端正學(xué)生學(xué)習(xí)態(tài)度,培養(yǎng)學(xué)生良好的學(xué)習(xí)習(xí)慣,及時掌握學(xué)生學(xué)習(xí)效果[7]。課程評測比例構(gòu)成見表1。
表1 網(wǎng)絡(luò)攻防技術(shù)課程評測比例構(gòu)成
目前該課程題庫已有400個選擇、判斷題,課堂測評一般安排在每次課的最后5 min。學(xué)生在測試時使用手機作答,題目隨機排序、隨機抽題(至少2倍比例抽題)、隨機編排備選答案,避免學(xué)生抄襲。課堂實驗需完成24個,評分標(biāo)準(zhǔn)見表2(信息安全與管理專業(yè)采取小班化教學(xué),前5名完成實驗的學(xué)生將協(xié)助教師參與成績評定)。課外實驗主要以合天實驗、實驗吧實驗為主,要求每名學(xué)生注冊賬號,以截圖形式提交,以學(xué)會自主學(xué)習(xí),明白課內(nèi)學(xué)習(xí)是打基礎(chǔ),課外學(xué)習(xí)才是提升水平的有效之道。
網(wǎng)絡(luò)攻防技術(shù)課程是一門理論性、實踐性都很強的課程,經(jīng)過實踐改革,教學(xué)效果有所改善。從學(xué)生的反饋看,學(xué)生學(xué)習(xí)興趣濃厚,滿意度較高。當(dāng)然實踐也存在某些不足,如實驗、測評不夠自動化,某些內(nèi)容仍顯陳舊,教學(xué)方式、方法有待進(jìn)一步優(yōu)化等,這些將是下一輪授課時重點改進(jìn)的地方。
表2 實驗成績計分標(biāo)準(zhǔn)