計(jì)算機(jī)安全通識(shí)課程的思考與實(shí)踐

楊德全,張 劍

（1．北京理工大學(xué) 網(wǎng)絡(luò)信息技術(shù)中心，北京100081；2． 北京理工大學(xué) 管理與經(jīng)濟(jì)學(xué)院，北京100081）

0 引 言

隨著互聯(lián)網(wǎng)+與各個(gè)傳統(tǒng)行業(yè)的深入結(jié)合,信息化和網(wǎng)絡(luò)已經(jīng)無(wú)聲無(wú)息地走入教學(xué)、科研、生產(chǎn)和生活的各個(gè)方面。人們可以在線上進(jìn)行購(gòu)物、娛樂(lè),處理多種事務(wù),但在享受信息化帶來(lái)便利的同時(shí)也面臨著網(wǎng)絡(luò)安全事件的威脅。在教學(xué)科研領(lǐng)域,信息化也在廣泛普及,各個(gè)學(xué)科對(duì)計(jì)算機(jī)的依賴(lài)性日益增強(qiáng),高校師生的電腦、移動(dòng)端、云端都存儲(chǔ)著重要的科研或者業(yè)務(wù)數(shù)據(jù)。網(wǎng)絡(luò)安全事件帶來(lái)的次生災(zāi)害具有漣漪效應(yīng),2016年,山東臨沂準(zhǔn)女大學(xué)生徐玉玉遭遇電信詐騙,將準(zhǔn)備交學(xué)費(fèi)的9 900元轉(zhuǎn)入騙子賬戶(hù),得知被騙后,因呼吸心臟驟停離世。一些師生在網(wǎng)絡(luò)購(gòu)物的過(guò)程中也遭到了專(zhuān)業(yè)的詐騙,計(jì)算機(jī)系統(tǒng)和云服務(wù)面臨著內(nèi)外攻擊,具有很大的危險(xiǎn)性。如何有效提高師生的計(jì)算安全意識(shí),提出應(yīng)對(duì)措施是迫在眉睫的事情[1]。在高校開(kāi)展多形式、多渠道的網(wǎng)絡(luò)安全通識(shí)教育,從而增強(qiáng)學(xué)生的網(wǎng)絡(luò)安全理論理解能力、思維創(chuàng)新能力和動(dòng)手實(shí)踐能力是落實(shí)“網(wǎng)絡(luò)安全為人民”的一個(gè)重要舉措。

1 國(guó)內(nèi)外計(jì)算機(jī)類(lèi)通識(shí)教育

1.1 國(guó)際國(guó)內(nèi)對(duì)計(jì)算機(jī)類(lèi)通識(shí)教育的戰(zhàn)略規(guī)劃

2016年1月,美國(guó)政府推出“全民計(jì)算機(jī)科學(xué)行動(dòng)計(jì)劃”(computer science for all initiative),斥資40億美元普及計(jì)算機(jī)科學(xué)教育,尤其重視推動(dòng)青少年編程教育,包括培訓(xùn)教師、研發(fā)教材和教學(xué)資源、舉辦競(jìng)賽等。在美國(guó)的刺激下,英國(guó)、法國(guó)、芬蘭等國(guó)家相繼出臺(tái)政策,推動(dòng)計(jì)算機(jī)教育。英國(guó)就業(yè)和技能委員會(huì)(UKCES)發(fā)布的最新報(bào)告顯示,未來(lái)10年,計(jì)算機(jī)人才將成為英國(guó)經(jīng)濟(jì)增長(zhǎng)的重要推動(dòng)力。

2017 年初,我國(guó)國(guó)家教育部、人力資源社會(huì)保障部、工業(yè)和信息化部聯(lián)合印發(fā)《制造業(yè)人才發(fā)展規(guī)劃指南》,預(yù)測(cè)到 2025 年,新一代信息技術(shù)產(chǎn)業(yè)領(lǐng)域和電力裝備領(lǐng)域的人才缺口將超過(guò)900 萬(wàn)人。

1.2 高校信息安全教學(xué)環(huán)境研究進(jìn)展

國(guó)外有部分科研項(xiàng)目關(guān)注計(jì)算機(jī)教學(xué)環(huán)境,改變計(jì)算機(jī)教學(xué)環(huán)境(游戲中學(xué)習(xí)、遠(yuǎn)程虛擬環(huán)境授課、虛擬現(xiàn)實(shí)環(huán)境)以期獲取更好的教學(xué)效果,典型的在研項(xiàng)目有2個(gè):①采用基于游戲的課程策略將計(jì)算思維引入中學(xué)(ENGAGE: A Game-based Curricular Strategy for Infusing Computational Thinking into Middle School Science),主持人 James Lester, 北卡羅來(lái)納州立大學(xué),在研時(shí)間 2016.08—2019.07,項(xiàng)目經(jīng)費(fèi) $2,498,862 ;②虛擬現(xiàn)實(shí)系統(tǒng)中的網(wǎng)絡(luò)安全教育研究(Exploring Cyber Security and Forensics of Virtual Reality Systems and Their Impact on Cyber Security Education),主持人 Ibrahim Baggili,紐黑文大學(xué),在研時(shí)間 2017.09—2019.08,項(xiàng)目經(jīng)費(fèi) $17,940,900[2]。

2 計(jì)算機(jī)安全通識(shí)課程大綱及教學(xué)探索

通識(shí)教育是“雙一流”中培養(yǎng)新世紀(jì)復(fù)合型人才的教學(xué)目標(biāo)重要一環(huán)。通識(shí)選修課的教學(xué)實(shí)踐應(yīng)以學(xué)生為主體,以教師為主導(dǎo)。如何在計(jì)算機(jī)安全通識(shí)課程中調(diào)動(dòng)學(xué)生自主學(xué)習(xí)性、提升學(xué)生的實(shí)踐水平是一個(gè)值得思考的命題。在“互聯(lián)網(wǎng)+”時(shí)代背景下,對(duì)于所有學(xué)科包括理工、人文來(lái)說(shuō),信息安全素養(yǎng)與其自身專(zhuān)業(yè)知識(shí)同等重要,此類(lèi)通識(shí)教育能為學(xué)生提供更為寬廣的課程視角,進(jìn)而促進(jìn)其信息安全意識(shí)水平的提升,保障其財(cái)務(wù)、科研數(shù)據(jù)的安全性。

2.1 課程大綱

計(jì)算機(jī)安全通識(shí)課程內(nèi)容包括計(jì)算機(jī)安全必要的基礎(chǔ)知識(shí)和進(jìn)階的網(wǎng)絡(luò)安全知識(shí),具體內(nèi)容包括計(jì)算機(jī)安全概況、網(wǎng)絡(luò)和Internet 基礎(chǔ)知識(shí)、Internet欺騙與網(wǎng)絡(luò)犯罪、安全策略、惡意軟件、黑客技術(shù)、加密基礎(chǔ)、計(jì)算機(jī)安全軟件、社會(huì)工程學(xué)、供應(yīng)鏈安全等,每一部分占用3個(gè)學(xué)時(shí),課程總計(jì)1個(gè)學(xué)分。在講授過(guò)程中,教師應(yīng)以實(shí)際案例為切入點(diǎn),盡可能將抽象的網(wǎng)絡(luò)攻擊和防御行為具體到實(shí)踐過(guò)程,達(dá)到舉一反三的效果。

2.2 教學(xué)探索

網(wǎng)絡(luò)安全理論性較高,選修計(jì)算機(jī)安全通識(shí)課程的學(xué)生來(lái)自不同的專(zhuān)業(yè),動(dòng)手實(shí)踐能力參差不齊,教學(xué)效果難以保證,因此,在計(jì)算機(jī)安全通識(shí)教育中采用實(shí)踐案例法,能較好地滿足不同層次學(xué)生的需求。在實(shí)踐環(huán)節(jié),將開(kāi)源的滲透測(cè)試平臺(tái)Webgoat作為靶機(jī)供學(xué)生練習(xí)。針對(duì)Web應(yīng)用安全,提出網(wǎng)絡(luò)攻防的內(nèi)容體系,并進(jìn)行梳理,構(gòu)建攻防演練實(shí)踐平臺(tái)。通過(guò)動(dòng)態(tài)可視化的操作幫助學(xué)生理解知識(shí)點(diǎn)并培養(yǎng)學(xué)生的獨(dú)立設(shè)計(jì)、獨(dú)立制作、獨(dú)立安裝與調(diào)試等綜合實(shí)驗(yàn)?zāi)芰Α?/p>

在教材教學(xué)方面,需要注意以下3方面。

(1)加強(qiáng)教材建設(shè)。在課程教學(xué)中,不指定單一教材,教學(xué)按專(zhuān)題模塊進(jìn)行,選取國(guó)內(nèi)外優(yōu)秀教材中的精華部分以及SCI數(shù)據(jù)庫(kù)中的最新科研論文作為主要講義,內(nèi)容按照知識(shí)域進(jìn)行編制。

(2)采用案例教學(xué)法。在模擬環(huán)境中,展示信息系統(tǒng)的脆弱性,將攻擊行為可視化,使學(xué)生能夠直觀地感覺(jué)到網(wǎng)絡(luò)安全的全方位威脅,讓學(xué)生更好地理解網(wǎng)絡(luò)攻擊和防御的內(nèi)涵,認(rèn)識(shí)到網(wǎng)絡(luò)安全防御的能力和面臨威脅的直觀態(tài)勢(shì),提升信息安全基本素養(yǎng),在后續(xù)的學(xué)習(xí)和工作中學(xué)以致用。

(3)及時(shí)更新授課內(nèi)容。網(wǎng)絡(luò)攻防技術(shù)的更新速度較快,攻防雙方道高一尺魔高一丈,此消彼長(zhǎng),漏洞也在不斷地被發(fā)現(xiàn)和修補(bǔ),因此,在授課過(guò)程中,需要介紹漏洞生命周期管理的概念,授課內(nèi)容需要及時(shí)更新,主要通過(guò)翻轉(zhuǎn)課堂的形式,指定命題讓學(xué)生分組自主查閱相關(guān)資料,及時(shí)收集國(guó)際國(guó)內(nèi)熱點(diǎn)安全事件在課程中分享。

通過(guò)本課程的學(xué)習(xí),非計(jì)算機(jī)專(zhuān)業(yè)的學(xué)生可以了解計(jì)算機(jī)安全的基本態(tài)勢(shì),有部分網(wǎng)絡(luò)安全基礎(chǔ)的學(xué)生可以滿足自身對(duì)一些更高階的網(wǎng)絡(luò)安全攻擊防御理論方法與實(shí)踐的訴求?？紤]到選課學(xué)生的專(zhuān)業(yè)背景差異,課程初期通過(guò)設(shè)計(jì)不同難度的攻防實(shí)驗(yàn)將學(xué)生選課初期的水平分為3類(lèi),即精通、熟悉和了解;以此為基礎(chǔ),設(shè)計(jì)不同級(jí)別的實(shí)驗(yàn)難度,讓每一個(gè)選課的學(xué)生都有收獲,讓每一大類(lèi)的學(xué)生均有可達(dá)到的學(xué)習(xí)目標(biāo),最終希望網(wǎng)絡(luò)安全的學(xué)習(xí)不因課程的結(jié)束而截止。學(xué)有余力的學(xué)生可以繼續(xù)學(xué)習(xí)網(wǎng)絡(luò)攻防知識(shí),參加CTF大賽,進(jìn)一步成為網(wǎng)絡(luò)安全人才。

3 計(jì)算機(jī)安全通識(shí)選修課的課程體系建設(shè)

3.1 網(wǎng)絡(luò)安全知識(shí)域

文獻(xiàn)[3]通過(guò)調(diào)研部分院校,提出高校信息安全專(zhuān)業(yè)人才培養(yǎng)應(yīng)以就業(yè)為導(dǎo)向、著力提升領(lǐng)域內(nèi)職業(yè)能力的方式設(shè)置課程體系,主要舉措包括增加信息安全概論課程、壓縮并整合部分網(wǎng)絡(luò)協(xié)議課程、增加面向開(kāi)發(fā)的課程等。國(guó)內(nèi)國(guó)際產(chǎn)業(yè)界認(rèn)可的信息安全知識(shí)域以CISSP(注冊(cè)信息系統(tǒng)安全專(zhuān)家)為代表,其考核的網(wǎng)絡(luò)安全知識(shí)域如圖1所示。

文獻(xiàn)[4—5]針對(duì)不同專(zhuān)業(yè)計(jì)算機(jī)網(wǎng)絡(luò)課程的教學(xué)內(nèi)容和需求差異,設(shè)計(jì)了由一般要求、基本要求、較高要求和專(zhuān)業(yè)要求組成的分層次課程體系。根據(jù)學(xué)生的實(shí)際應(yīng)用需求設(shè)置具有不同側(cè)重的教學(xué)體系,可以幫助學(xué)生快速掌握所需安全知識(shí),提高學(xué)生持續(xù)學(xué)習(xí)的興趣。

圖1 國(guó)際信息系統(tǒng)安全認(rèn)證知識(shí)域

3.2 攻防實(shí)踐案例環(huán)境體系架構(gòu)

3.2.1 選修課的實(shí)踐模塊

進(jìn)行網(wǎng)絡(luò)安全攻擊和防御實(shí)踐前,必須了解相關(guān)的基礎(chǔ)概念,包括計(jì)算機(jī)網(wǎng)絡(luò)、TCP、UDP、IPv4協(xié) 議、IPv6協(xié) 議、SMTP、POP3、HTTP、HTTPs、FTP、SSH、RDP、FIREWALL、IDS、IPS,以及1～2門(mén)編程語(yǔ)言。課程實(shí)踐模塊見(jiàn)表1。

通過(guò)實(shí)踐模塊,學(xué)生基本可以了解常見(jiàn)的網(wǎng)絡(luò)安全攻擊方法,可以切實(shí)了解網(wǎng)絡(luò)攻擊行為帶來(lái)的危害,基本掌握常見(jiàn)網(wǎng)絡(luò)攻擊行為的防范技巧。

3.2.2 項(xiàng)目學(xué)習(xí)的過(guò)程實(shí)踐

研究項(xiàng)目學(xué)習(xí)活動(dòng)包括獲取任務(wù)、知識(shí)輸入、知識(shí)內(nèi)化和知識(shí)輸出4個(gè)步驟。網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)需要大量的時(shí)間投入,搭建一個(gè)實(shí)際操作的環(huán)境可以擴(kuò)展學(xué)習(xí)的時(shí)間維度和空間維度,使學(xué)習(xí)行為可以不局限于課堂和教師,從而使學(xué)生在一個(gè)學(xué)期的時(shí)間內(nèi)盡可能多練習(xí)、多實(shí)踐。以WiFi攻擊為例,項(xiàng)目學(xué)習(xí)的實(shí)踐過(guò)程如下。

獲取任務(wù)階段主要是將學(xué)生分組引入實(shí)驗(yàn)環(huán)境,完成任務(wù)感知,設(shè)計(jì)題目為搭建一個(gè)高仿校園SSID,收集連入該SSID的電腦或者移動(dòng)端流量信息。

知識(shí)輸入階段以網(wǎng)絡(luò)資源、圖書(shū)館資源為主,學(xué)生在教師的指導(dǎo)下進(jìn)行實(shí)驗(yàn)軟件的準(zhǔn)備。在該項(xiàng)目中,實(shí)驗(yàn)準(zhǔn)備僅需要下載一個(gè)可提供熱點(diǎn)服務(wù)的第三方軟件,并將SSID名稱(chēng)設(shè)置為與現(xiàn)有SSID高度相似的名稱(chēng),并開(kāi)始服務(wù)。

表1 課程實(shí)踐模塊

知識(shí)內(nèi)化階段包括若干個(gè)子任務(wù),包括無(wú)線網(wǎng)絡(luò)基本概念、網(wǎng)絡(luò)IP地址基礎(chǔ)知識(shí)、熱點(diǎn)的實(shí)現(xiàn)機(jī)制、SSID、無(wú)線加密、無(wú)線認(rèn)證等在案例中使用的知識(shí)的學(xué)習(xí),每一個(gè)小組成員均分擔(dān)項(xiàng)目組的不同任務(wù),學(xué)生在團(tuán)隊(duì)實(shí)踐中互相學(xué)習(xí),從而大體掌握該項(xiàng)目所涉及的基礎(chǔ)知識(shí)。在實(shí)踐的過(guò)程中,學(xué)生可以直觀地觀察到“蹭網(wǎng)”的危險(xiǎn)性,并從原理上理解“蹭網(wǎng)”可能帶來(lái)的損失。

知識(shí)輸出階段要求學(xué)生在掌握了實(shí)踐過(guò)程后,按照操作步驟寫(xiě)出整體的實(shí)驗(yàn)報(bào)告。整個(gè)項(xiàng)目式教學(xué)能將基礎(chǔ)知識(shí)融于實(shí)踐操作中,有助于學(xué)生的理解和掌握。通過(guò)該案例的教學(xué),學(xué)生基本可以做到不“蹭網(wǎng)”,消除安全隱患。

3.3 部分教學(xué)案例模塊

3.3.1 法律教育

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》由全國(guó)人民代表大會(huì)常務(wù)委員會(huì)于2016年11月7日發(fā)布,自2017年6月1日起施行。該部分重點(diǎn)在普法教育,讓學(xué)生有法律意識(shí),能保護(hù)自己,避免觸及紅線。

3.3.2 SQL注入

SQL注入是攻擊常用的手段之一。了解攻擊原理可以有效防范類(lèi)似攻擊。一些信息系統(tǒng)的登錄模塊不設(shè)置有效驗(yàn)證。在登錄頁(yè)面輸入特殊意義的字符串即可以進(jìn)入系統(tǒng),非法獲取數(shù)據(jù)庫(kù)權(quán)限,并可以進(jìn)行增、刪、改、查等操作。對(duì)學(xué)生而言,成績(jī)管理模塊尤其能獲得關(guān)注,能更有效地引導(dǎo)學(xué)生掌握該知識(shí)點(diǎn)。實(shí)驗(yàn)原理如下:

在登錄用戶(hù)名處提交“’or 1=1--”,則在后臺(tái)驗(yàn)證SQL查詢(xún)語(yǔ)句代碼如下:

select cout(*) from user where username=‘’or 1=1--and password=‘’

這種情況where語(yǔ)句就成為重言式,數(shù)據(jù)庫(kù)僅返回?cái)?shù)據(jù),從而避開(kāi)驗(yàn)證[6]。該部分內(nèi)容注重原理的講解,數(shù)據(jù)庫(kù)的知識(shí)點(diǎn)是該內(nèi)容的必要基礎(chǔ)知識(shí)點(diǎn)。

3.3.3 弱口令

常見(jiàn)的弱口令包括admin、123456、123qwe、1qa2ws等,在互聯(lián)網(wǎng)上仍有不少的重要系統(tǒng)采用默認(rèn)的口令。在課堂上展示黑客具有的密碼字典,并作現(xiàn)場(chǎng)破解演練,在實(shí)踐環(huán)境中讓學(xué)生進(jìn)一步明確弱密碼帶來(lái)的危害,盡量不在不同的信息系統(tǒng)中采用同一套用戶(hù)名和口令,設(shè)置帶有數(shù)字、字母、下劃線等特殊字符的密碼。

3.3.4 在線攻防

在教學(xué)環(huán)境中架設(shè)帶有漏洞的服務(wù)器靶機(jī)系統(tǒng),供學(xué)生實(shí)踐。靶機(jī)系統(tǒng)具有一些已知的CVE漏洞,這個(gè)模塊考查學(xué)生利用已有工具進(jìn)行滲透測(cè)試的能力。使用一個(gè)簡(jiǎn)版的CTF攻防大賽的系統(tǒng)讓學(xué)生嘗試解題,可以通過(guò)這樣的方式彌補(bǔ)學(xué)生的知識(shí)短板。

3.3.5 DDoS攻擊

拒絕服務(wù)攻擊對(duì)于一些商業(yè)網(wǎng)站來(lái)說(shuō)是無(wú)法抵御的,抵御DDoS攻擊只有“兵來(lái)將擋,水來(lái)土掩”,不斷提高服務(wù)器的響應(yīng)能力以及封禁非法請(qǐng)求的源地址,及早發(fā)現(xiàn)疑似攻擊并阻斷攻擊源。在教學(xué)過(guò)程中,可以采用原理講解、模擬操作的方式讓學(xué)生理解該攻擊的危害性。

3.3.6 攻擊數(shù)據(jù)挖掘

該部分內(nèi)容是高階內(nèi)容,課程提供一段時(shí)期的安全設(shè)備日志,供有余力的學(xué)生基于該日志作數(shù)據(jù)挖掘和趨勢(shì)預(yù)測(cè),本部分內(nèi)容屬于選修部分。數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)是當(dāng)今的研究熱點(diǎn),有部分學(xué)生具有機(jī)器學(xué)習(xí)的背景知識(shí),這樣就可將網(wǎng)絡(luò)安全和機(jī)器學(xué)習(xí)對(duì)應(yīng)起來(lái),拓展網(wǎng)絡(luò)安全的研究視角。

4 結(jié) 語(yǔ)

計(jì)算機(jī)安全和網(wǎng)絡(luò)安全知識(shí)對(duì)于非計(jì)算機(jī)學(xué)科類(lèi)的學(xué)生尤為重要,不經(jīng)意的個(gè)人信息或者關(guān)鍵科研信息的泄露會(huì)造成重大損失。增強(qiáng)高校師生的網(wǎng)絡(luò)安全通識(shí)教育,開(kāi)展安全案例實(shí)踐教學(xué),引導(dǎo)學(xué)生強(qiáng)化網(wǎng)絡(luò)安全意識(shí)等,對(duì)高校畢業(yè)生理性就業(yè)和高質(zhì)量就業(yè)有著重要的現(xiàn)實(shí)意義。本科生的網(wǎng)絡(luò)安全教育要常抓不懈,在以后的科研活動(dòng)或者生產(chǎn)工作中,信息安全意識(shí)往往會(huì)有重大的影響。將信息安全置于通識(shí)教育中意義非凡,有利于提高國(guó)民整體的信息安全水平,所謂網(wǎng)絡(luò)安全為人民,網(wǎng)絡(luò)安全靠人民。