計算機網絡安全課程實驗教學研究與實踐

陳禮青 步山岳

摘要：針對計算機網絡安全實驗教學的現狀及存在的問題，詳細分析從優化實驗教學內容、構建高效實驗平臺、創新實驗教學模式、改進考核評價機制等四個方面進行改革與創新的具體舉措。教學實踐表明，取得良好的實驗教學成效。

關鍵詞：計算機網絡安全;實驗教學;教學改革;教學模式

中圖分類號：G642 文獻標識碼：A 文章編號：1007-0079（2014）33-0108-02

計算機網絡安全是一門涉及計算機科學、網絡、通信技術、密碼學等多個學科的綜合性課程，課程理論性強，涉及知識面廣，對學生的理論與實踐兩方面的要求均較高。課程涉及的內容主要有防火墻、入侵監測、信息加密、惡意代碼防治以及網絡安全協議等[1]。由于課程具有強烈的工程背景，學生在學習和掌握該課程時，常常感覺空洞、抽象，無法與實際相結合。傳統的計算機網絡安全實驗課程仍主要停留在教師演示、學生驗證階段，學生很難深入理解技術原理，且實驗環境要求高，教學效果不理想。因此，如何更充分地將理論與實驗進行有機融合，構建更合適的環境和平臺，使學生理解掌握理論知識，獨立思考，鍛煉分析解決具體問題的能力，為該課程實驗教學研究中的主要問題。本文結合筆者所在課程組多年來的教學實踐，詳細闡述了課程組所做的具體研究與探索。

一、現狀與存在的問題

計算機網絡安全實驗教學的目標旨在培養學生的實際應用能力，學生在掌握各種網絡攻擊技術原理的基礎上，能夠針對不同環境下的網絡應用規劃、設計安全方案，并實施有效的網絡安全管理。而單純利用實驗室組建局域網進行實驗教學無法滿足這一培養目標的要求。概括而言，當前實驗教學過程中存在以下主要問題[2，3]。

1.實驗學時相對偏少。目前大部分高校還是以理論教學為主，實踐教學為輔。以筆者所在學校為例，計算機網絡安全課程48學時中理論教學占40學時，實驗教學僅8學時，教師在設計實驗項目時只能覆蓋相對有限的幾個網絡安全原理，而學生實際遇到的網絡安全問題很可能是多個問題的集合，這也導致了實驗內容零散、實驗項目單一的問題。

2.實驗內容的特殊性。計算機網絡安全實驗很可能會對實驗室中計算機系統的硬件或軟件帶來不可逆轉的破壞。安裝還原保護卡使得需要特定配置的實驗無法正常進行，但如果取消還原保護卡，又可能會導致計算機系統出現運行緩慢、死機、文件被刪除、更改或大量復制等異常現象，甚至導致系統崩潰，從而影響其他課程的實驗教學工作。

3.實驗效果的不確定性。一是實驗的集中進行，容易導致計算機系統的配置被頻繁更改，感染多種惡意代碼，導致實驗失敗。二是實驗需要多臺計算機協同操作，例如分布式拒絕服務攻擊過程實驗，一個班級的學生通常在40人左右，分組以2-4人為宜，則分組數至少為10組，需要大量的物理設備，加重設備的維護成本，實驗效果不明確。

4.實驗過程的模式化。實驗過程大多仍采用傳統的教師演示學生按照實驗指導書的步驟進行操作的方式，學生即使完成試驗，遇到具體問題也不知如何解決。如數據加密軟件實驗，學生能按照軟件的使用步驟，很好地掌握DES、3-DES、IDEA、RSA、MD5以及SHA等密碼學算法的基本原理，但在具體開發Web應用程序時卻仍然不知該如何應用這些算法來加強安全性。可見，實驗沒有達到培養學生發現、分析和解決問題能力的效果。

二、改革與創新的具體舉措

針對上述問題，筆者認為應從優化實驗教學內容、構建高效實驗平臺、創新實驗教學模式、改進考核評價機制等四個方面對計算機網絡安全實驗教學進行改革與創新，以期能有效提高學生的學習興趣，培養學生的自主學習能力和創新實踐能力。

1.優化實驗教學內容

精心選取與優化設置實驗教學內容，是提高實驗教學質量的重要途徑。實驗項目的設計應由淺入深、由易到難、由局部到整體，體現由演示到應用再到設計的進階式過程。具體到網絡安全課程，前期的實驗項目應設置網絡基礎知識和加密技術，讓學生建立起網絡安全的基本概念;然后按照從攻擊到防御的思路，先分析掃描、監聽以及各種攻擊技術，再過渡到對各類安全技術的介紹，包括系統安全、網絡安全和應用安全技術等;最后將各個專項安全技術進行融合，實現網絡安全的整體解決方案，促使學生建立起對網絡安全體系架構的認識。

設置計算機網絡安全實驗教學的內容應遵循以下幾點原則：

（1）基礎性。理論基礎類實驗主要通過對系統進行基本的安全配置以加強安全防范，從而使學生充分理解和掌握計算機網絡安全涉及的理論知識。

（2）綜合性。將課程中基本原理和方法與實驗內容進行有機融合，設置成綜合的項目式實驗教學內容，各個實驗項目又相對獨立、完整，使學生形成對各種網絡安全問題的感性認識，提高解決實際問題的能力。

（3）典型性。實驗項目應突出某個計算機網絡安全理論在具體實踐中的典型應用過程。當學生在實際工作中遇到類似問題時，可借鑒這些典型實驗項目所體現出的通用解決方法。

（4）真實性。每個實驗項目應從某個具體的網絡安全事件入手，通過文檔、視頻等相關資料的展示對本項目所依托的真實案例進行詳細描述，以激發學生的實驗興趣，并引出實驗目標。還應適當增加有關網絡安全的前沿內容，以幫助學生了解業界的發展動態。

（5）障礙性。應通過對計算機系統、網絡和服務器配置使用多個網絡安全技術加以保護，給學生的實驗過程設置一些人為的障礙，以促使學生思考找出解決障礙的方法和途徑，大大提高實驗教學內容的吸引力，充分鍛煉學生解決實際網絡安全問題的能力。

（6）差異性。可為每個實驗項目設置不同的實驗要求，為實驗內容劃分難易等級梯度，規定必做內容和選做內容，因材施教，使得不同基礎、不同能力的學生都能夠通過自身的努力完成相應的任務，讓學生在實驗中獲得成就感，以激發其學習興趣。

2.構建高效實驗平臺

計算機網絡安全實驗具有綜合性、應用性、攻防性及工程性等特點，對實驗環境有更高的要求。一些攻擊類的實驗還可能會對網絡環境、計算機系統產生破壞或負面的影響。實驗室一般會安裝還原保護卡等設備，當進行安全設置或安裝安全補丁、軟件等原因需要重啟計算機后，系統數據便會恢復，實驗則無法繼續。因此，如何有效地平衡實驗室管理維護和實驗需求這一對矛盾，是構建網絡安全實驗教學環境和平臺需要重點考慮的因素。

一般而言，高效的網絡安全實驗環境和平臺應具備以下三個特點：

（1）實戰性。應在實驗環境和平臺中設置Web服務器、數據庫服務器、郵件服務器、域名服務器等Internet中廣泛應用的信息系統，以模擬出可實戰的網絡環境作為計算機網絡安全攻擊與防御實驗的平臺。

（2）真實性。在網絡攻擊與防御實驗環境和平臺中存在的各種安全漏洞應來源于真實的網絡應用案例，上述的各個服務器系統應設置不同的安全級別，以體現交互式的網絡攻擊和防御過程。

（3）合作性。每個實驗小組由2-4名學生組成，小組內部形成小型局域網，實驗項目由小組成員協作完成，以培養學生獨立思考能力，強化學生的團隊合作意識和溝通交流能力。

虛擬機技術[4]是目前構建網絡安全實驗環境和平臺應用最為廣泛的技術，其通過軟件在物理機器上模擬出獨立的物理環境安裝或運行操作系統，可有效降低實驗成本，減少易耗品的消耗，且不受時間、空間的影響，可充分發揮現有設備的作用，也更適合要求相對苛刻、任務特殊而復雜的實驗。一方面，采用虛擬手段可有效隔離外部網絡環境，減少實驗安全事故的發生，降低對實驗設備造成的損害;另一方面，網絡安全實驗大多比較復雜，需要較多計算機設備，現有教學條件通常很難滿足大量學生同時進行實驗，采用虛擬機技術，可使實驗環境擴展性更好、利用率更高。目前較常見的虛擬機軟件有VMware、Virtual PC、Java虛擬機、UML、Xen和Bochs 等，其中VMware Workstation在實驗教學中應用最為廣泛。

3.創新實驗教學模式

實驗是在教師的指導下以學生為中心獲取技術經驗的學習過程，應重點考查學生的學習效果和實踐能力，教師應由實驗步驟的演示者轉變為實驗過程的引導者，學生則應由被動的接受者轉變為實驗過程的主導者。在教學過程中，應采取開放的態度，教師僅提出實驗項目需要解決的問題和預期效果，不規定具體步驟和方法，不強求進度，不刻意追求實驗結果，由學生獨立思考設計方案、選擇軟件、實施步驟，以培養創新性思維，并鼓勵學生提出不同解決方案，并結合實驗結果進行探討。

筆者所在課程組根據幾年來的實際教學經歷，認為采取分組實驗和對抗實驗的方式，更易于激發學生的實驗興趣，培養學生解決實際問題的能力。分組實驗可擺脫學生在實驗過程中的孤立性和被動性，學生通過交流討論開拓視野，提高動手動腦的興趣，鍛煉了組織、溝通和協作能力。對抗實驗可激發學生的興趣，如可通過監聽QQ程序并公布學生的QQ帳號及其部分聊天內容，從而使學生產生對網絡監聽技術做深入了解的興趣。又如冰河木馬實驗，學生通過控制與反控制的過程，加深對木馬工作原理的理解。

實驗教學模式改革與創新，就是要逐步從教師先講實驗原理和步驟，然后學生按照實驗指導書完成實驗的傳統模式，轉變到采用諸如任務驅動教學法、案例教學法、啟發式教學法等更有效的教學手段，調動學生的主觀能動性，提高學生自主學習的能力。具體而言，任務驅動教學法，就是在教師指導下以學生為中心的學習，教師起組織、指導、幫助和促進的作用，利用情境、協助、會話等學習環境要素充分發揮學生的主動性、積極性和創造性，最終達到學生實現對當前所學知識意義建構的目的。案例教學法則以案例為基本教學材料，將學生引入具體的問題情境中積極思考、主動探索，以提高教與學的質量與效果。啟發式教學，可在充分發揮教師主導作用的前提下，激發學生的學習興趣，培養學習主動性。

另外，還可采用多元化的實驗教學模式[5]，將計算機網絡安全實驗內容進一步細化為示教型、任務驅動型、小組協作型、師生互動研究型、開放型以及工程實踐型等多種類型，針對各個類型分別采用不同的教學過程，以達到更好的教學效果。

CDIO（Conceive，Design，Implement，Operate）是當今國際高等工程教育的一種新模式[6]，由美國麻省理工學院和瑞典皇家工學院等四所大學共同倡導。該模式更加注重扎實的工程基礎理論和專業知識的培養，以構思、設計、實施及運作全過程為載體來培養學生的工程實踐能力。CDIO倡導做中學（Learning by Doing）和基于項目教育和學習（Project Based Education and Learning）的新型教學模式，讓學生以主動的、實踐的、課程之間有機聯系的方式學習工程，培養學生的工程能力、職業道德、學術知識、運用知識解決問題的能力、終生學習能力、團隊協作能力、交流能力和大系統掌控能力，從而培養既有過硬專業技能，又有良好職業道德的國際化工程師。顯見，CDIO工程教育模式與計算機網絡安全實驗教學的目標非常契合，采用CDIO工程教育模式來設計計算機網絡安全實驗教學過程是可行的。

4.改進考核評價機制

改進實驗考核評價機制是實驗教學改革與創新的重要組成部分。科學的實驗考核評價機制，不僅考核學生的學習情況，更重考核學生的學習過程，讓教師通過對學生的考核進行自身的教學反思，以及時調整教學內容和教學方法。傳統的實驗考核方式是學生做完實驗后教師根據實驗報告評定成績，有一定的局限性，教師一般很難客觀、準確、全面地評價學生對課程的掌握情況及實踐操作水平，會嚴重挫傷學生的自尊心與積極性。

具體到計算機網絡安全課程的實驗考核環節，可采取“平時成績+操作成績+考試成績”的綜合評價機制進行考核，注重學生平時的表現，同時兼顧學生對基礎知識的掌握情況和實踐動手能力。考核時將學生劃分成不同層次，考核內容、難度不同，對應的權值也不同，學生可根據自身情況選擇不同的難度級別，從而最大程度發揮學生的積極性、主動性和創造性。

三、結語

通過以上措施，可使實驗教學與理論教學聯系更加緊密，拓寬學生的知識面，培養學生的工程素質，提高學生的實踐動手能力和創新能力。近年來，筆者所在的課程組已指導多名學生申請計算機網絡安全相關的各級大學生創新項目多項，參加江蘇省和全國信息與網絡安全技術競賽多次，并獲得較好名次。

計算機網絡安全技術的發展日新月異，許多新的實驗教學理念和實驗教學模式也相繼出現。因此在今后的教學過程中，課程組需要進一步總結、研究、探索、創新和實踐更適合計算機網絡安全實驗教學的新理論、新模式和新方法。另外，打鐵還需自身硬，教師亦需要不斷提高自身的工程素質和實踐能力。

參考文獻：

[1]石志國，薛為民，尹浩.計算機網絡安全教程[M].第2版.北京：清華大學出版社，北方交通大學出版社，2011.

[2]賀惠萍，榮彥，張蘭.虛擬機軟件在網絡安全教學中的應用[J].實驗技術與管理，2011，28（12）：112-115.

[3]廉龍穎，王希斌，陳榮麗，等.網絡安全技術實驗課程P+T+E教學模式研究[J].教學研究，2012，35（6）：100-102.

[4]李馥娟.虛擬機技術在復雜網絡實驗中的應用[J].實驗技術與管理，2009，16（12）：79-83.

[5]聶方彥，汪永琳，榮秋生，等.計算機專業實驗教學多元化教學模式探索與實踐[J].大眾科技，2013，15（3）：122-123.

[6]郭皎，鄢沛，應宏，等.基于CDIO的計算機專業實驗教學改革[J].

實驗技術與管理，2011，28（2）：155-157.

（責任編輯：劉翠枝）