攻防實(shí)戰(zhàn)導(dǎo)向的網(wǎng)絡(luò)攻擊原理與防范技術(shù)課程內(nèi)容建設(shè)探索

郭 春 蔣朝惠 申國偉

（貴州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，貴州 貴陽 550025）

0 引言

隨著信息時(shí)代的到來，網(wǎng)絡(luò)安全的重要性日益凸顯。2014年，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立，標(biāo)志著我國已將網(wǎng)絡(luò)空間安全提升到國家戰(zhàn)略高度。在此背景下，2015年“網(wǎng)絡(luò)空間安全”成為國家一級學(xué)科，2016年《關(guān)于加強(qiáng)網(wǎng)絡(luò)安全學(xué)科建設(shè)和人才培養(yǎng)的意見》《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》的相繼出臺，標(biāo)志著我國已將實(shí)施網(wǎng)絡(luò)安全人才工程明確列為夯實(shí)網(wǎng)絡(luò)安全基礎(chǔ)的一項(xiàng)戰(zhàn)略任務(wù)。近年來我國高校培養(yǎng)的信息安全人才僅3萬余人，相對于我國信息安全人才70萬人的總需求量缺口高達(dá)95%[1]，加快“高精尖”信息安全人才培養(yǎng)刻不容緩。

網(wǎng)絡(luò)安全的本質(zhì)在對抗，而對抗的本質(zhì)在攻防兩端能力較量。國內(nèi)外高校信息安全/網(wǎng)絡(luò)空間安全專業(yè)均將“網(wǎng)絡(luò)攻擊與防范”（注：課程名在各高校中略有不同）課程列為其培養(yǎng)方案中重要的專業(yè)課程之一，在培養(yǎng)和提升學(xué)生的網(wǎng)絡(luò)攻擊與防范能力方面起到非常重要的作用。與此相應(yīng)地，貴州大學(xué)近幾版信息安全專業(yè)培養(yǎng)方案中均包含“網(wǎng)絡(luò)攻擊原理與防范技術(shù)”課程，課程目標(biāo)是培養(yǎng)學(xué)生樹立良好的網(wǎng)絡(luò)安全防范意識和掌握常見的網(wǎng)絡(luò)攻防技術(shù)。在國家及社會對信息安全/網(wǎng)絡(luò)空間安全專業(yè)學(xué)生的信息安全實(shí)踐能力要求不斷提升的背景下，如何組織網(wǎng)絡(luò)攻擊與防范課程的理論與實(shí)驗(yàn)內(nèi)容，以確保實(shí)現(xiàn)本課程的課程目標(biāo)，是值得人們進(jìn)行深入研究與探索的問題。

1 課程內(nèi)容建設(shè)存在的挑戰(zhàn)

與傳統(tǒng)計(jì)算機(jī)課程具有非常成熟的知識體系不同，網(wǎng)絡(luò)攻擊與防范課程的知識結(jié)構(gòu)體系與理論支撐目前仍處于探索階段[2]?？傮w來說，當(dāng)前網(wǎng)絡(luò)攻擊與防范課程在內(nèi)容組織上主要存在以下問題：

（1）課程內(nèi)容中思政元素融入較少。本課程的教學(xué)內(nèi)容圍繞網(wǎng)絡(luò)攻防技術(shù)展開，在授課時(shí)容易出現(xiàn)“重攻防知識與技術(shù)講解而輕與之相應(yīng)的信息道德教育”的情況，即在課程的各內(nèi)容模塊中融入思政元素（如各攻防技術(shù)涉及的法律法規(guī)、信息道德等）較少。

（2）課程知識內(nèi)容更新速度滯后于網(wǎng)絡(luò)攻防技術(shù)發(fā)展速度。網(wǎng)絡(luò)攻防的不斷博弈使得網(wǎng)絡(luò)攻防技術(shù)更新迭代迅速，致使網(wǎng)絡(luò)攻擊與防范課程涉及的知識內(nèi)容龐雜且發(fā)展迅速。當(dāng)前開設(shè)本課程的國內(nèi)高校所選用的教材內(nèi)容普遍存在滯后于網(wǎng)絡(luò)攻防技術(shù)發(fā)展的情況，其內(nèi)容大多是信息收集、網(wǎng)絡(luò)嗅探、網(wǎng)絡(luò)欺騙、口令破解、Web攻擊、安全防范體系等模塊的理論知識及基本技術(shù)，對各模塊中新型的網(wǎng)絡(luò)攻防知識與技術(shù)涉及較少。

（3）課程實(shí)驗(yàn)實(shí)戰(zhàn)性不強(qiáng)。網(wǎng)絡(luò)攻防實(shí)驗(yàn)通常需要搭建具有特定漏洞的靶機(jī)和部署相應(yīng)的滲透工具，因此本課程的實(shí)驗(yàn)存在實(shí)驗(yàn)環(huán)境搭建困難以及操作難度大等問題。鑒于搭建網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境存在一定的困難和不確定性，本課程在實(shí)際實(shí)施中通常以容易搭建實(shí)驗(yàn)環(huán)境的驗(yàn)證性、單元性實(shí)驗(yàn)為主，導(dǎo)致實(shí)驗(yàn)課程的實(shí)戰(zhàn)性不強(qiáng)。

針對以上問題，國內(nèi)外一些高校對網(wǎng)絡(luò)攻擊與防范相關(guān)課程的教學(xué)內(nèi)容進(jìn)行了一些改革，改革內(nèi)容包括課程內(nèi)容建設(shè)[2-4]、運(yùn)用開源平臺或商業(yè)教學(xué)平臺開展課程實(shí)驗(yàn)[5]等，取得了一定的效果。然而，當(dāng)前網(wǎng)絡(luò)攻擊與防范課程在教學(xué)實(shí)踐中仍然存在著思政元素的融入較少、課程內(nèi)容與近幾年新型網(wǎng)絡(luò)攻防技術(shù)結(jié)合度不高等問題，需要進(jìn)一步探討及實(shí)踐。

2 網(wǎng)絡(luò)攻防實(shí)戰(zhàn)能力導(dǎo)向的課程內(nèi)容建設(shè)需求

在網(wǎng)絡(luò)安全已經(jīng)上升到國家安全、教育部深入推進(jìn)“新工科”建設(shè)的背景下，教育部高等學(xué)校網(wǎng)絡(luò)空間安全類專業(yè)教學(xué)指導(dǎo)委員會（后簡稱網(wǎng)安教指委）對信息安全/網(wǎng)絡(luò)空間安全專業(yè)學(xué)生網(wǎng)絡(luò)攻防實(shí)戰(zhàn)能力的培養(yǎng)要求也在不斷提升。一個(gè)比較明顯的標(biāo)志是從2016年起，由網(wǎng)安教指委主辦的全國大學(xué)生信息安全競賽在原有作品賽的基礎(chǔ)上，增加了采用CTF（Capture The Flag）模式和線下攻防賽模式的創(chuàng)新實(shí)踐能力賽。從網(wǎng)絡(luò)攻防實(shí)戰(zhàn)能力培養(yǎng)的角度看，本課程的內(nèi)容建設(shè)主要有以下需求。

（1）重視學(xué)生法律意識和信息道德的培養(yǎng)。本課程的所教授的網(wǎng)絡(luò)攻防技術(shù)是一把雙刃劍，即可用于提升信息系統(tǒng)的安全性，也可能被濫用于影響信息系統(tǒng)的正常運(yùn)行。這就要求課程內(nèi)容必須包含相關(guān)法律法規(guī)、信息道德的相關(guān)內(nèi)容，以使學(xué)生加強(qiáng)網(wǎng)絡(luò)安全法律意識以及養(yǎng)成正確的信息道德觀念。

（2）課程內(nèi)容需要與時(shí)俱進(jìn)。本課程以網(wǎng)絡(luò)攻防技術(shù)為授課內(nèi)容，而網(wǎng)絡(luò)攻防技術(shù)在攻防雙方的對抗博弈中不斷發(fā)展。這就要求課程內(nèi)容具有新穎性，能夠及時(shí)吸納與課程模塊相關(guān)的近年來新型網(wǎng)絡(luò)攻防知識與技術(shù)來替代過時(shí)的內(nèi)容。

（3）課程實(shí)驗(yàn)內(nèi)容需要貼近實(shí)戰(zhàn)。本課程的課程內(nèi)容具有很強(qiáng)的實(shí)踐性和工程性，這就要求本課程的實(shí)驗(yàn)內(nèi)容能夠在貼合課程的理論內(nèi)容的同時(shí)，還要能夠滿足網(wǎng)絡(luò)攻防實(shí)際應(yīng)用中的實(shí)戰(zhàn)需求，以培養(yǎng)和提升學(xué)生的網(wǎng)絡(luò)攻防實(shí)戰(zhàn)能力。

3 課程內(nèi)容建設(shè)思路與措施

針對當(dāng)前網(wǎng)絡(luò)攻擊與防范課程存在的問題及內(nèi)容建設(shè)需求，圍繞學(xué)生正確信息道德觀念養(yǎng)成及網(wǎng)絡(luò)攻防實(shí)戰(zhàn)能力提升的目標(biāo)，本課程的課程內(nèi)容建設(shè)思路與措施主要包括以下幾個(gè)方面。

3.1 推進(jìn)課程思政開展法律觀念及信息道德教育

本課程通過在課程內(nèi)容中加入《網(wǎng)絡(luò)安全法》、信息道德的相關(guān)內(nèi)容，并進(jìn)一步通過在課程的案例中穿插網(wǎng)絡(luò)安全法和信息道德的內(nèi)容，引導(dǎo)學(xué)生遵守網(wǎng)絡(luò)安全相關(guān)法律法規(guī)和正確的信息道德。具體措施如下：

（1）在課程內(nèi)容中加入與課程內(nèi)容模塊相關(guān)的網(wǎng)絡(luò)安全法律法規(guī)條款介紹，讓學(xué)生知曉濫用網(wǎng)絡(luò)攻擊技術(shù)影響信息系統(tǒng)的正常運(yùn)行將受到的法律制裁，引導(dǎo)學(xué)生在守法的前提下合理運(yùn)用所掌握的網(wǎng)絡(luò)攻擊技術(shù)。

（2）在課程內(nèi)容中加入信息道德的定義、重要性和基本準(zhǔn)則等內(nèi)容，讓學(xué)生了解作為信息技術(shù)的使用者、開發(fā)者和管理者各自應(yīng)該具有的正確信息道德，引導(dǎo)學(xué)生在今后的工作和生活中自覺遵守這些信息道德。

（3）對課程中的案例進(jìn)行重新組織，除包含對案例所涉及的網(wǎng)絡(luò)攻防技術(shù)分析之外，加入從網(wǎng)絡(luò)安全法律及信息道德層面對案例的分析，進(jìn)一步融入網(wǎng)絡(luò)安全法律法規(guī)和信息道德的教育元素。

3.2 引入網(wǎng)絡(luò)安全競賽賽題并更新教學(xué)內(nèi)容

各類網(wǎng)絡(luò)安全競賽作為培養(yǎng)和發(fā)現(xiàn)安全人才的競爭性賽事，其知識大綱能夠反映產(chǎn)業(yè)界和學(xué)術(shù)界對于信息安全人才的最新需求，且賽題具有綜合性強(qiáng)、貼近實(shí)戰(zhàn)等特點(diǎn)。本課程在構(gòu)建課程體系時(shí)參考了國內(nèi)部分知名網(wǎng)絡(luò)安全競賽的知識大綱，并選擇與課程教學(xué)目標(biāo)相符的競賽賽題加入教學(xué)內(nèi)容。

（1）圍繞國家、貴州省大數(shù)據(jù)、網(wǎng)絡(luò)空間安全戰(zhàn)略，從社會需求和新工科要求的角度出發(fā)，緊跟網(wǎng)絡(luò)空間安全學(xué)科發(fā)展前沿，在本專業(yè)前版網(wǎng)絡(luò)攻擊原理與防范技術(shù)課程的知識體系中融入國內(nèi)部分知名網(wǎng)絡(luò)安全競賽（如“信息安全鐵人三項(xiàng)賽”）的知識大綱中部分內(nèi)容，形成新的課程知識體系。

（2）結(jié)合近幾年來論文作者對網(wǎng)絡(luò)安全戰(zhàn)隊(duì)（貴州大學(xué)“黔鋒”戰(zhàn)隊(duì)）的參賽及建設(shè)經(jīng)歷，將與本課程教學(xué)目標(biāo)和內(nèi)容模塊相符合、國內(nèi)外網(wǎng)絡(luò)安全競賽近幾年的部分高質(zhì)量賽題以及網(wǎng)絡(luò)攻防方向的部分科研成果加入教學(xué)內(nèi)容，使課程內(nèi)容能夠緊跟當(dāng)前新型的網(wǎng)絡(luò)攻防技術(shù)。

3.3 基于實(shí)踐教學(xué)平臺開展課程實(shí)驗(yàn)

針對本課程實(shí)驗(yàn)具有操作性強(qiáng)、實(shí)驗(yàn)環(huán)境搭建及操作難度大等特點(diǎn)，與國內(nèi)知名信息技術(shù)企業(yè)展開產(chǎn)學(xué)研合作，搭建信息安全實(shí)踐教學(xué)平臺開展課程實(shí)驗(yàn)。

（1）積極運(yùn)用云計(jì)算、大數(shù)據(jù)等技術(shù)開展課程實(shí)驗(yàn)平臺建設(shè)，學(xué)校投入了約100萬元在校內(nèi)搭建“信息安全云實(shí)驗(yàn)平臺”“網(wǎng)絡(luò)攻防競賽平臺”和“無線安全教學(xué)平臺”等平臺，這些平臺集成了包含特定漏洞的靶機(jī)及相應(yīng)的滲透工具并可進(jìn)行攻防對抗實(shí)驗(yàn)，使得學(xué)生能夠方便開展各種信息安全實(shí)驗(yàn)。

（2）根據(jù)本課程的教學(xué)目標(biāo)和內(nèi)容模塊選擇合適的課程實(shí)驗(yàn)，并同平臺建設(shè)方北京西普陽光教育科技股份有限公司持續(xù)開展產(chǎn)學(xué)研合作，確保所搭建的平臺持續(xù)更新實(shí)驗(yàn)內(nèi)容以保障課程實(shí)驗(yàn)?zāi)軌蚯薪W(wǎng)絡(luò)攻防實(shí)戰(zhàn)。

4 實(shí)踐效果、問題與后續(xù)建設(shè)思路

近三年來人們將上述課程建設(shè)思路和舉措進(jìn)行了實(shí)踐，學(xué)生對課程的興趣和自身的網(wǎng)絡(luò)安全法律意識、信息道德水平、網(wǎng)絡(luò)攻防技能得到了有效提升。從課程評價(jià)方面看，2018年、2019年該課程在本校的學(xué)評教中的得分為94.250分、95.390分；在2020年再次更新課程知識體系以及在課程內(nèi)容中融入更多網(wǎng)絡(luò)安全賽題后，獲得了96.613分。從網(wǎng)絡(luò)安全競賽方面看，戰(zhàn)隊(duì)近兩年網(wǎng)絡(luò)安全競賽成績穩(wěn)步提升，2020年獲得了第十三屆全國大學(xué)生信息安全競賽創(chuàng)新實(shí)踐能力賽賽區(qū)特等獎2項(xiàng)、全國三等獎1項(xiàng)等成績。

本課程在實(shí)踐過程中仍然存在一些問題：（1）本課程以線下教學(xué)形式展開，缺少線上課程資源以實(shí)施線上線下混合教學(xué)；（2）部分網(wǎng)絡(luò)安全賽題難度較大導(dǎo)致部分學(xué)生難以完全理解；（3）《網(wǎng)絡(luò)安全法》、信息道德教育內(nèi)容的生動性還需要進(jìn)一步加強(qiáng)等。基于上述問題，將建設(shè)或選擇優(yōu)質(zhì)的線上課程資源，進(jìn)一步篩選更符合課程教學(xué)內(nèi)容和難度的網(wǎng)絡(luò)安全賽題，提升法律法規(guī)和信息道德教育教學(xué)方式生動性，同時(shí)進(jìn)一步借鑒國內(nèi)外高校同類課程的先進(jìn)教學(xué)理念及方法，以進(jìn)一步提升本課程的教學(xué)水平和教學(xué)效果。