網(wǎng)絡(luò)空間安全人才培養(yǎng)的實(shí)踐教學(xué)探索

摘要：針對(duì)網(wǎng)絡(luò)空間安全人才培養(yǎng)的實(shí)踐教學(xué)特點(diǎn)，分析網(wǎng)絡(luò)空間安全實(shí)踐教學(xué)內(nèi)容的選取；針對(duì)所選取的教學(xué)內(nèi)容搭建相應(yīng)的實(shí)踐教學(xué)環(huán)境，為網(wǎng)絡(luò)空間安全人才培養(yǎng)提供課程理論與實(shí)踐動(dòng)手相聯(lián)系的實(shí)踐教學(xué)方法，從而為網(wǎng)絡(luò)空間安全人才培養(yǎng)的相應(yīng)課程建設(shè)提供新的參考。

關(guān)鍵詞：網(wǎng)絡(luò)空間安全；信息安全人才培養(yǎng)；實(shí)踐教學(xué)

l 背景

隨著人類(lèi)個(gè)體和社會(huì)活動(dòng)的線上與線下部分通過(guò)物聯(lián)網(wǎng)和互聯(lián)網(wǎng)的融合互通，人們已經(jīng)越來(lái)越難以區(qū)分線下實(shí)體行為與線上網(wǎng)絡(luò)活動(dòng)的邊界。確切地說(shuō)，網(wǎng)絡(luò)空間（cyber space）是由人類(lèi)利用計(jì)算機(jī)和通信設(shè)備所構(gòu)建的一切通信網(wǎng)絡(luò)中的信息形成的空間，在實(shí)際中往往包括互聯(lián)網(wǎng)、物聯(lián)網(wǎng)以及網(wǎng)絡(luò)中所處理、傳輸和存儲(chǔ)的一切信息數(shù)據(jù)。網(wǎng)絡(luò)空間安全（cyber security）是研究在有攻擊者的前提條件下，網(wǎng)絡(luò)空間中各種數(shù)據(jù)、網(wǎng)絡(luò)和系統(tǒng)在采集、處理、傳輸、存儲(chǔ)等環(huán)節(jié)所面臨的安全威脅，進(jìn)而研究相對(duì)應(yīng)的抵御安全威脅的防護(hù)方法與手段。從廣義上來(lái)看，網(wǎng)絡(luò)空間安全除了傳統(tǒng)信息與網(wǎng)絡(luò)安全所包括的保密性、完整性、認(rèn)證性和可用性，還應(yīng)包括組成網(wǎng)絡(luò)空間的鏈路與系統(tǒng)的可靠性、可信性和安全陛。

在我國(guó)，截至2014年，教育部批準(zhǔn)全國(guó)共116所高校設(shè)置信息安全類(lèi)相關(guān)本科專(zhuān)業(yè)，其中信息安全專(zhuān)業(yè)87個(gè)，信息對(duì)抗專(zhuān)業(yè)17個(gè)，保密管理專(zhuān)業(yè)12個(gè)，已經(jīng)培養(yǎng)信息安全類(lèi)專(zhuān)業(yè)本科畢業(yè)生約10000人/年。作為國(guó)家信息安全保障體系建設(shè)的人力資源基礎(chǔ)，網(wǎng)絡(luò)空間安全人才培養(yǎng)的時(shí)效性和實(shí)用性成為網(wǎng)絡(luò)空間安全相應(yīng)課程教學(xué)的主要需求。由于網(wǎng)絡(luò)空間安全涉及信息系統(tǒng)安全、網(wǎng)絡(luò)安全、物聯(lián)網(wǎng)安全、云計(jì)算安全等新一代網(wǎng)絡(luò)應(yīng)用的各個(gè)方面，需要面向?qū)嶋H分析安全威脅并提出跨領(lǐng)域的安全保護(hù)措施與解決方案，因此網(wǎng)絡(luò)空間安全人才培養(yǎng)的實(shí)踐教學(xué)方法尤為關(guān)鍵。由于網(wǎng)絡(luò)空間安全隨著信息系統(tǒng)、物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等計(jì)算機(jī)科學(xué)新技術(shù)和新應(yīng)用不斷進(jìn)化，因此就要求網(wǎng)絡(luò)空間安全課程的教學(xué)和實(shí)驗(yàn)內(nèi)容應(yīng)該與網(wǎng)絡(luò)空間應(yīng)用技術(shù)同步衍化、融合與發(fā)展。針對(duì)各種新技術(shù)以及應(yīng)用場(chǎng)景對(duì)于網(wǎng)絡(luò)空間安全所提出的新要求，教師需要對(duì)學(xué)生進(jìn)行實(shí)例化和直觀化的講解。

2 網(wǎng)絡(luò)空間安全人才培養(yǎng)的特殊性

隨著互聯(lián)網(wǎng)在社會(huì)各個(gè)領(lǐng)域的普及，網(wǎng)絡(luò)空間安全問(wèn)題日益突出，社會(huì)對(duì)于網(wǎng)絡(luò)安全人才培養(yǎng)的需求也在不斷增加，同時(shí)對(duì)人才培養(yǎng)的時(shí)效性和實(shí)用性要求也在不斷提高。目前的網(wǎng)絡(luò)空間中，往往包括由互聯(lián)網(wǎng)或各種專(zhuān)用網(wǎng)絡(luò)組成的云計(jì)算系統(tǒng)、PC終端、移動(dòng)智能終端和物聯(lián)網(wǎng)設(shè)備及其涉及的軟件、硬件和數(shù)據(jù)信息。從定義上來(lái)看，網(wǎng)絡(luò)空間安全與傳統(tǒng)信息系統(tǒng)安全有所不同。網(wǎng)絡(luò)空間中涉及的實(shí)體與數(shù)據(jù)沒(méi)有固定邊界，互聯(lián)網(wǎng)去中心性和分布式的特點(diǎn)使得在網(wǎng)絡(luò)空間中對(duì)于實(shí)體和數(shù)據(jù)也難以做到集中管控。由于信息安全攻防技術(shù)的不斷發(fā)展與改進(jìn)，用戶(hù)在網(wǎng)絡(luò)空間中的數(shù)據(jù)和系統(tǒng)軟硬件本身的安全性面對(duì)著極大的挑戰(zhàn)。網(wǎng)絡(luò)空間安全人才的實(shí)踐教學(xué)必須包含信息系統(tǒng)安全、物聯(lián)網(wǎng)安全、云計(jì)算安全、大數(shù)據(jù)安全等方面的內(nèi)容，才能令學(xué)生理解并掌握網(wǎng)絡(luò)空間中實(shí)際用戶(hù)所面臨的安全威脅及其防護(hù)方法。

網(wǎng)絡(luò)空間安全涵蓋計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的方方面面，在教學(xué)中，如果教師僅僅突出某一方向上的理論理解，那么學(xué)生對(duì)于網(wǎng)絡(luò)空間安全的整體性就得不到充分的認(rèn)識(shí)。以近年來(lái)發(fā)生的網(wǎng)絡(luò)用戶(hù)口令泄漏為例，事件本身是由于網(wǎng)站存在SQL注入攻擊，導(dǎo)致黑客獲得熱門(mén)網(wǎng)站的數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限，從而導(dǎo)出用戶(hù)口令資料。從網(wǎng)絡(luò)空間安全的整體上來(lái)看，網(wǎng)站存在SQL注入攻擊僅僅是導(dǎo)火索，導(dǎo)致該事件造成最終危害的原因還應(yīng)包括：①網(wǎng)站用戶(hù)口令認(rèn)證協(xié)議不符合互聯(lián)網(wǎng)環(huán)境下的安全需求，不應(yīng)存儲(chǔ)用戶(hù)口令明文；②不同的網(wǎng)站應(yīng)用中，用戶(hù)往往采用相同的用戶(hù)名和口令進(jìn)行登錄，這恰恰是網(wǎng)絡(luò)空間安全環(huán)境下需要重視的；③某些網(wǎng)站雖然采用散列函數(shù)對(duì)用戶(hù)口令進(jìn)行保護(hù)，但是由于存儲(chǔ)在網(wǎng)站數(shù)據(jù)庫(kù)中的散列值并沒(méi)有進(jìn)行加鹽（salt）處理，因此黑客很容易通過(guò)字典或彩虹表破解的方式，恢復(fù)出某些用戶(hù)所采用的短長(zhǎng)度口令。上述3個(gè)安全漏洞均需要安全管理員對(duì)于網(wǎng)絡(luò)空間安全的整體性和復(fù)雜性加以充分認(rèn)識(shí)。因此，在網(wǎng)絡(luò)空間安全人才培養(yǎng)的實(shí)踐教學(xué)上，教師必須注重教學(xué)內(nèi)容的時(shí)效性和實(shí)例性，讓學(xué)生能理解并掌握現(xiàn)有和未來(lái)可能發(fā)生的黑客威脅和攻擊方式，通過(guò)實(shí)踐掌握相應(yīng)的安全保護(hù)技術(shù)，才能真正培養(yǎng)出符合實(shí)際應(yīng)用需要的網(wǎng)絡(luò)空間安全人才。

3 網(wǎng)絡(luò)空間安全實(shí)踐教學(xué)內(nèi)容

由于網(wǎng)絡(luò)空間安全人才培養(yǎng)的特殊性，網(wǎng)絡(luò)空間安全實(shí)踐教學(xué)內(nèi)容必須做到實(shí)踐動(dòng)手能力培養(yǎng)與理論教學(xué)并重。在開(kāi)展實(shí)踐教學(xué)之前，教師必須要對(duì)當(dāng)前網(wǎng)絡(luò)空間安全的現(xiàn)實(shí)情況和熱點(diǎn)問(wèn)題加以分析，在圍繞安全威脅產(chǎn)生原理進(jìn)行理論基礎(chǔ)教學(xué)的同時(shí)，選擇合適的軟硬件重現(xiàn)相應(yīng)的網(wǎng)絡(luò)空間安全應(yīng)用場(chǎng)景，通過(guò)實(shí)例化的教學(xué)方式確保實(shí)踐教學(xué)達(dá)到預(yù)期教學(xué)目標(biāo)，提高教學(xué)質(zhì)量。根據(jù)當(dāng)前網(wǎng)絡(luò)空間安全的現(xiàn)實(shí)和熱點(diǎn)問(wèn)題，筆者選擇信息系統(tǒng)安全、物聯(lián)網(wǎng)安全、云計(jì)算安全和大數(shù)據(jù)安全4個(gè)熱點(diǎn)應(yīng)用，作為網(wǎng)絡(luò)空間安全實(shí)踐教學(xué)內(nèi)容的重點(diǎn)。

3.1 信息系統(tǒng)安全

在網(wǎng)絡(luò)空間中，各種信息系統(tǒng)承擔(dān)著信息輸入輸出和用戶(hù)業(yè)務(wù)處理的功能。伴隨著相關(guān)技術(shù)的不斷發(fā)展，攻擊者對(duì)于網(wǎng)絡(luò)空間中信息系統(tǒng)的攻擊和破壞方式也在不斷更新。傳統(tǒng)的信息系統(tǒng)安全保護(hù)措施大多考慮信息在傳輸過(guò)程中的惡意行為，因此往往局限于采用防火墻、漏洞掃描、病毒防護(hù)、入侵檢測(cè)等網(wǎng)絡(luò)安全技術(shù)加以防護(hù)。在這些技術(shù)的保護(hù)下，攻擊者入侵系統(tǒng)的難度大大提高。

在實(shí)際中，攻擊者往往采用高持續(xù)性威脅（advanced persistent threat，APT）的方式攻擊和破壞信息系統(tǒng)的安全防御。針對(duì)這種威脅，目前大多采用社會(huì)工程學(xué)、軟硬件后門(mén)、Oday漏洞等常見(jiàn)方式進(jìn)行防護(hù)。因此，在網(wǎng)絡(luò)空間安全的人才培養(yǎng)中，教師必須講解最新攻擊方法的原理與實(shí)踐知識(shí)，讓學(xué)生從正反兩方面學(xué)習(xí)攻防技術(shù)所涵蓋的知識(shí)點(diǎn)，能夠在未來(lái)實(shí)際的信息系統(tǒng)開(kāi)發(fā)或安全維護(hù)工作中，大大降低上述安全威脅成為實(shí)際風(fēng)險(xiǎn)的概率，提高實(shí)踐教學(xué)的實(shí)用性。

3.2 物聯(lián)網(wǎng)安全

網(wǎng)絡(luò)空間安全必然涉及負(fù)責(zé)數(shù)據(jù)感知和采集任務(wù)的物聯(lián)網(wǎng)的安全。由于物聯(lián)網(wǎng)主要依賴(lài)各種嵌入式設(shè)備如無(wú)線傳感器網(wǎng)絡(luò)（wireless sensor network，WSN）和無(wú)線射頻芯片（radio frequency identifier，RFID）進(jìn)行數(shù)據(jù)采集與感知，因此物聯(lián)網(wǎng)安全的實(shí)踐教學(xué)內(nèi)容必須與傳統(tǒng)網(wǎng)絡(luò)安全有所區(qū)別。在傳統(tǒng)網(wǎng)絡(luò)中強(qiáng)調(diào)的數(shù)據(jù)傳輸和存儲(chǔ)安全威脅，物聯(lián)網(wǎng)中仍然存在并且解決方案與傳統(tǒng)網(wǎng)絡(luò)區(qū)別不大，主要通過(guò)采用輕量級(jí)的密碼學(xué)與信息安全協(xié)議加以保護(hù)，如采用基于橢圓曲線的公鑰密碼算法和輕量級(jí)對(duì)稱(chēng)密碼算法，代替?zhèn)鹘y(tǒng)常用的RSA公鑰密碼算法和AES算法對(duì)數(shù)據(jù)進(jìn)行加密傳輸和存儲(chǔ)。

在物聯(lián)網(wǎng)安全的實(shí)踐教學(xué)中，教師應(yīng)向?qū)W生強(qiáng)調(diào)現(xiàn)實(shí)中攻擊者往往利用側(cè)信道分析等芯片物理攻擊技術(shù)，繞過(guò)傳統(tǒng)網(wǎng)絡(luò)安全保護(hù)技術(shù)，直接對(duì)物聯(lián)網(wǎng)硬件進(jìn)行攻擊，如近年來(lái)出現(xiàn)的針對(duì)銀行芯片卡或射頻卡的簡(jiǎn)單/差分功耗分析（simple/differential power analysis）、針對(duì)傳感器微處理器執(zhí)行信息安全算法的時(shí)耗分析（timing analysis）等。上述側(cè)信道分析的實(shí)踐教學(xué)內(nèi)容在廣泛使用的網(wǎng)絡(luò)安全本科教材中體現(xiàn)較少，但直接采用面向?qū)I(yè)研究人員的教程又太過(guò)深入口，這就需要教學(xué)人員針對(duì)不同類(lèi)型的學(xué)生（如偏向計(jì)算機(jī)專(zhuān)業(yè)或偏向電子信息專(zhuān)業(yè)），有選擇性地對(duì)物聯(lián)網(wǎng)所需重視的安全威脅和相應(yīng)保護(hù)技術(shù)進(jìn)行實(shí)例化講解，從而達(dá)到面向?qū)嵺`的網(wǎng)絡(luò)空間安全人才培養(yǎng)目標(biāo)。

3.3 云計(jì)算安全

云計(jì)算技術(shù)借助互聯(lián)網(wǎng)、虛擬化和分布式技術(shù)，可以將數(shù)據(jù)計(jì)算和存儲(chǔ)任務(wù)分布在由大量計(jì)算機(jī)構(gòu)成的資源池上。云計(jì)算的優(yōu)勢(shì)對(duì)于用戶(hù)而言是能夠按照實(shí)際所需的計(jì)算、存儲(chǔ)和服務(wù)加以使用，提高服務(wù)的伸縮性和靈活性，簡(jiǎn)化資源和服務(wù)的管理和維護(hù)，因此已經(jīng)成為未來(lái)互聯(lián)網(wǎng)與信息系統(tǒng)發(fā)展的主流方向。云計(jì)算的發(fā)展需要解決的核心安全問(wèn)題可主要分為虛擬機(jī)安全和訪問(wèn)控制安全兩大方向。作為網(wǎng)絡(luò)空間應(yīng)用環(huán)境的重要組成部分，云計(jì)算安全一方面需要承載計(jì)算任務(wù)的虛擬機(jī)能，以抵抗攻擊者或惡意用戶(hù)對(duì)計(jì)算數(shù)據(jù)的竊取或破壞；另一方面也需要對(duì)云計(jì)算環(huán)境下數(shù)據(jù)存儲(chǔ)與程序運(yùn)行的訪問(wèn)控制權(quán)限進(jìn)行嚴(yán)格保護(hù)。

對(duì)于虛擬機(jī)安全，教師在實(shí)踐教學(xué)過(guò)程中可以通過(guò)對(duì)Virtualbox、VMWare等典型虛擬機(jī)系統(tǒng)進(jìn)行系統(tǒng)化教學(xué)，讓學(xué)生掌握虛擬化技術(shù)下計(jì)算資源的分配與隔離等虛擬機(jī)安全關(guān)鍵技術(shù)；在訪問(wèn)控制安全上，在實(shí)踐教學(xué)過(guò)程中除了講解基礎(chǔ)的自主/強(qiáng)制訪問(wèn)控制、基于角色的訪問(wèn)控制等基本訪問(wèn)控制技術(shù)外，還需要引入近年來(lái)在云計(jì)算安全中提出的各種新型訪問(wèn)控制模型，如IRBAC2000模型、基于信任的動(dòng)態(tài)RBAC模型、基于同態(tài)密碼學(xué)方案的可搜索加密模型等。只有在充分理解虛擬機(jī)安全和訪問(wèn)控制安全的前提下，才能充分理解云計(jì)算安全在網(wǎng)絡(luò)空間安全中所起的重要作用。

3.4 大數(shù)據(jù)安全

隨著互聯(lián)網(wǎng)技術(shù)日益深人人們的日常生活，人們生活中的各種信息從線下往線上發(fā)展。根據(jù)相關(guān)統(tǒng)計(jì)，近兩年互聯(lián)網(wǎng)中新產(chǎn)生的網(wǎng)絡(luò)日志、音頻視頻、地理信息等數(shù)據(jù)就占到全球數(shù)量總量的90%。各種大數(shù)據(jù)應(yīng)用中，往往需要將用戶(hù)輸入或存儲(chǔ)在已有數(shù)據(jù)庫(kù)中的結(jié)構(gòu)化數(shù)據(jù)轉(zhuǎn)換為非結(jié)構(gòu)化的數(shù)據(jù)轉(zhuǎn)換與存儲(chǔ)，對(duì)轉(zhuǎn)換和存儲(chǔ)過(guò)程中的數(shù)據(jù)訪問(wèn)也需要有效地加以管控。大數(shù)據(jù)應(yīng)用中的數(shù)據(jù)安全既是安全技術(shù)問(wèn)題，又是隱私保護(hù)問(wèn)題。如果在大數(shù)據(jù)分析中特別是數(shù)據(jù)在不同系統(tǒng)中處理流轉(zhuǎn)不當(dāng)時(shí)，造成用戶(hù)數(shù)據(jù)的泄漏，由于大數(shù)據(jù)系統(tǒng)的海量數(shù)據(jù)性，往往就將導(dǎo)致大量用戶(hù)的個(gè)人信息甚至隱私泄漏，所造成的后果比某個(gè)信息系統(tǒng)數(shù)據(jù)泄漏要嚴(yán)重。

在實(shí)際中，大數(shù)據(jù)安全主要包括存儲(chǔ)大數(shù)據(jù)的文件系統(tǒng)或數(shù)據(jù)庫(kù)的安全性，以及對(duì)于大數(shù)據(jù)進(jìn)行處理的數(shù)據(jù)處理算法和系統(tǒng)的安全性。在實(shí)踐教學(xué)內(nèi)容中，教師可以通過(guò)創(chuàng)建大數(shù)據(jù)系統(tǒng)實(shí)例的形式，讓學(xué)生理解并掌握大數(shù)據(jù)應(yīng)用中文件系統(tǒng)和數(shù)據(jù)庫(kù)安全所起的作用；同時(shí)對(duì)于大數(shù)據(jù)處理中用戶(hù)隱私信息的盲化技術(shù)加以講解，如基于同態(tài)密碼學(xué)算法的外包計(jì)算技術(shù)等，加強(qiáng)學(xué)生對(duì)大數(shù)據(jù)安全領(lǐng)域安全威脅和保護(hù)方式的掌握。

4 網(wǎng)絡(luò)空間安全實(shí)踐教學(xué)環(huán)境搭建

網(wǎng)絡(luò)空間安全是近年來(lái)新提出的概念，知識(shí)體系和內(nèi)容仍然處在成長(zhǎng)期。從目前來(lái)看，網(wǎng)絡(luò)空間安全整體上還沒(méi)有在實(shí)踐教學(xué)中廣泛使用的實(shí)驗(yàn)平臺(tái)。雖然從信息系統(tǒng)安全和網(wǎng)絡(luò)安全的角度，目前已經(jīng)有比較成熟的實(shí)踐教學(xué)實(shí)驗(yàn)平臺(tái)和相關(guān)信息安全實(shí)驗(yàn)器材，但是由于網(wǎng)絡(luò)空間技術(shù)的高速發(fā)展，如物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等新技術(shù)的出現(xiàn)，如果網(wǎng)絡(luò)空間安全實(shí)踐教學(xué)環(huán)境僅僅只是延用舊有的信息系統(tǒng)、密碼學(xué)或網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)，那么將大大影響學(xué)生對(duì)網(wǎng)絡(luò)空間安全的實(shí)際理解與掌握。因此，教師有必要針對(duì)上一小節(jié)提出的實(shí)踐教學(xué)內(nèi)容以及信息系統(tǒng)安全、物聯(lián)網(wǎng)安全、云計(jì)算安全和大數(shù)據(jù)安全，設(shè)計(jì)相應(yīng)的網(wǎng)絡(luò)空間安全實(shí)驗(yàn)內(nèi)容，最終為網(wǎng)絡(luò)空間安全人才培養(yǎng)搭建時(shí)效性強(qiáng)和實(shí)用性好的實(shí)踐教學(xué)方案。

4.1 信息系統(tǒng)安全實(shí)踐教學(xué)環(huán)境

在信息系統(tǒng)安全的實(shí)踐教學(xué)中，教師可圍繞高持續(xù)性威脅所涉及的社會(huì)工程學(xué)、軟硬件后門(mén)、Oday漏洞等方式，基于操作系統(tǒng)和數(shù)據(jù)庫(kù)這兩大信息系統(tǒng)基礎(chǔ)性軟件工具，進(jìn)行安全攻防技術(shù)的實(shí)踐教學(xué)。

在操作系統(tǒng)方面，教師可首先比較Linux和SELinux操作系統(tǒng)，使學(xué)生理解操作系統(tǒng)的訪問(wèn)控制原理是如何在防御非法訪問(wèn)和遠(yuǎn)程攻擊提權(quán)上起到保護(hù)作用，并通過(guò)Linux操作系統(tǒng)用戶(hù)登錄口令的驗(yàn)證和存儲(chǔ)，了解信息系統(tǒng)如何通過(guò)加鹽、散列等方式抵抗字典攻擊和暴力破解；再基于Windows系統(tǒng)，講述操作系統(tǒng)定期對(duì)漏洞進(jìn)行補(bǔ)丁升級(jí)的必要性和重要性，通過(guò)虛擬機(jī)運(yùn)行舊版本W(wǎng)indows操作系統(tǒng)感染Oday病毒或木馬的形式，幫助學(xué)生對(duì)Oday漏洞的風(fēng)險(xiǎn)和危害產(chǎn)生直觀的認(rèn)識(shí)。

在數(shù)據(jù)庫(kù)安全方面，教師可通過(guò)采用開(kāi)源數(shù)據(jù)庫(kù)MySQL作為實(shí)例，講述數(shù)據(jù)庫(kù)安全中的用戶(hù)管理和權(quán)限分配，幫助學(xué)生熟練掌握信息系統(tǒng)所訪問(wèn)的數(shù)據(jù)庫(kù)和相關(guān)數(shù)據(jù)表的訪問(wèn)權(quán)限設(shè)置；同時(shí)針對(duì)遠(yuǎn)程數(shù)據(jù)庫(kù)訪問(wèn)常見(jiàn)的注入攻擊進(jìn)行實(shí)例化講解，通過(guò)開(kāi)源仿真環(huán)境WebGoat模擬攻擊者對(duì)數(shù)據(jù)庫(kù)進(jìn)行注入攻擊，竊取無(wú)訪問(wèn)權(quán)限的其他數(shù)據(jù)表甚至提升數(shù)據(jù)庫(kù)root權(quán)限的過(guò)程。在熟練掌握上述操作系統(tǒng)和數(shù)據(jù)庫(kù)安全技術(shù)的情況下，學(xué)生可以充分理解信息系統(tǒng)安全在實(shí)際中存在的威脅，為將來(lái)開(kāi)發(fā)和維護(hù)工作中會(huì)出現(xiàn)的安全問(wèn)題做好準(zhǔn)備。

4.2 物聯(lián)網(wǎng)安全實(shí)踐教學(xué)環(huán)境

利用目前學(xué)術(shù)界已提出的輕量級(jí)密碼學(xué)算法如已成為國(guó)際標(biāo)準(zhǔn)候選算法的PRESENT和CLEFFIA，在基于ATtiny系列微處理器的無(wú)線傳感器（MICAz、IRIS、TelosB等，也可選擇采用相同處理器的國(guó)產(chǎn)無(wú)線傳感器，實(shí)驗(yàn)方式差別不大）上，基于AVR Studio進(jìn)行AVR C或ASM語(yǔ)言程序開(kāi)發(fā)，可以完成物聯(lián)網(wǎng)環(huán)境下的數(shù)據(jù)加解密、散列和認(rèn)證操作相關(guān)實(shí)驗(yàn)。在RFID安全性上，可以基于符合EPC-Global標(biāo)準(zhǔn)的RFID開(kāi)發(fā)平臺(tái)，測(cè)試RFID芯片與閱讀器之間的數(shù)據(jù)安全保護(hù)機(jī)制；在側(cè)信道安全性分析上，可以基于Risecure公司的能耗、時(shí)間、故障分析平臺(tái)，對(duì)WSN和RFID所使用的芯片進(jìn)行側(cè)信道安全實(shí)踐教學(xué)。雖然Risecure公司的分析平臺(tái)實(shí)用性較好，得到物聯(lián)網(wǎng)安全業(yè)界的廣泛認(rèn)可，但是售價(jià)較高。在實(shí)踐教學(xué)中如果條件受限，可采用示波器+探針+穩(wěn)定直流電源的方式搭建簡(jiǎn)易分析平臺(tái)，也可達(dá)到相應(yīng)的實(shí)踐教學(xué)效果。

4.3 云計(jì)算安全實(shí)踐教學(xué)環(huán)境

在云計(jì)算安全教學(xué)實(shí)際中，可首先通過(guò)OpenStack等開(kāi)源軟件自行搭建實(shí)驗(yàn)用云平臺(tái)，幫助學(xué)生熟悉云計(jì)算環(huán)境下用戶(hù)訪問(wèn)與行為的特點(diǎn)，從而更好地理解云計(jì)算中數(shù)據(jù)安全、網(wǎng)絡(luò)安全和系統(tǒng)安全所需要達(dá)到的不同安全目標(biāo)。在虛擬機(jī)安全教學(xué)中，教師可通過(guò)Virtualbox這一開(kāi)源虛擬機(jī)軟件進(jìn)行實(shí)例化教學(xué)；特別是在虛擬機(jī)底層安全性方面，Virtualbox可以提供各種不同的插件（USB訪問(wèn)、內(nèi)存虛擬化等）以及豐富的文檔和源代碼研究資源，很好地實(shí)現(xiàn)虛擬機(jī)安全實(shí)踐教學(xué)的目的。

在訪問(wèn)控制方面，學(xué)生可通過(guò)OpenStack平臺(tái)的相應(yīng)管理設(shè)置，理解不同訪問(wèn)控制機(jī)制在云計(jì)算環(huán)境下的不足之處，再對(duì)照最新的面向云計(jì)算環(huán)境的訪問(wèn)控制機(jī)制（如IRBAC2000等）進(jìn)行實(shí)例化開(kāi)發(fā)，從而理解并掌握云計(jì)算下訪問(wèn)控制的實(shí)現(xiàn)原理。對(duì)于基于同態(tài)密碼學(xué)算法的可搜索加密方案，學(xué)生可通過(guò)OpenSSL開(kāi)源軟件進(jìn)行相應(yīng)的方案實(shí)現(xiàn)；由于OpenSSL自帶各種密碼學(xué)算法庫(kù)，因此學(xué)生在具體方案實(shí)現(xiàn)上僅需要參考相應(yīng)文檔即可。如果教學(xué)時(shí)間和條件受限，教師也可簡(jiǎn)單通過(guò)OpenShift等開(kāi)源云計(jì)算平臺(tái)，對(duì)學(xué)生進(jìn)行云計(jì)算環(huán)境下安全問(wèn)題的實(shí)踐教學(xué)。

4.4 大數(shù)據(jù)安全實(shí)踐教學(xué)環(huán)境

在實(shí)際中，大數(shù)據(jù)與云計(jì)算往往密不可分，因而在大數(shù)據(jù)安全實(shí)踐教學(xué)環(huán)境的搭建上，可以充分利用上述云計(jì)算安全實(shí)踐教學(xué)環(huán)境下的現(xiàn)有資源。如果已經(jīng)基于OpenStack建立相應(yīng)的云計(jì)算安全實(shí)驗(yàn)環(huán)境，就可以基于該環(huán)境搭建基于NoSQL的分布式存儲(chǔ)技術(shù)構(gòu)建的大數(shù)據(jù)存儲(chǔ)環(huán)境。在支持NoSQL的開(kāi)源數(shù)據(jù)庫(kù)中，MongoDB得到廣泛認(rèn)可，因此可基于MongoDB數(shù)據(jù)庫(kù)的訪問(wèn)，設(shè)置相應(yīng)的安全場(chǎng)景，對(duì)學(xué)生進(jìn)行體驗(yàn)式教學(xué)，讓學(xué)生從大數(shù)據(jù)安全管理者的角度，理解并掌握基于NoSQL的MongoDB所需要注意的安全問(wèn)題。在大數(shù)據(jù)中的隱私保護(hù)問(wèn)題上，教師可以通過(guò)設(shè)置SQL到NoSQL的轉(zhuǎn)換、大數(shù)據(jù)用戶(hù)信息挖掘等實(shí)驗(yàn)場(chǎng)景，設(shè)定具體的用戶(hù)隱私抗泄漏要求，讓學(xué)生設(shè)計(jì)相應(yīng)的用戶(hù)隱私保護(hù)方案，從而達(dá)到更好的大數(shù)據(jù)安全實(shí)踐教學(xué)效果。

5 結(jié)語(yǔ)

作為信息系統(tǒng)安全人才培養(yǎng)核心知識(shí)體系未來(lái)發(fā)展的重要方向之一，網(wǎng)絡(luò)空間安全由于其理論體系具有前沿性以及相關(guān)實(shí)踐知識(shí)更新速度較快，使得網(wǎng)絡(luò)空間安全人才培養(yǎng)與課程建設(shè)具有很強(qiáng)的時(shí)效性與動(dòng)態(tài)性。筆者從網(wǎng)絡(luò)空間安全人才培養(yǎng)的實(shí)效性出發(fā)，基于網(wǎng)絡(luò)空間安全所包含的重點(diǎn)應(yīng)用選擇相應(yīng)的實(shí)踐教學(xué)內(nèi)容，從節(jié)約資源和可操作性強(qiáng)的角度盡量選擇開(kāi)源軟件或平臺(tái)搭建實(shí)驗(yàn)環(huán)境。筆者提出的實(shí)踐教學(xué)方案作為網(wǎng)絡(luò)空間安全人才培養(yǎng)教學(xué)過(guò)程中的探索，在未來(lái)的教學(xué)與人才培養(yǎng)過(guò)程中還需要進(jìn)一步加以總結(jié)完善，以最終達(dá)到網(wǎng)絡(luò)空間安全人才培養(yǎng)中學(xué)生積極性、學(xué)習(xí)有效性和社會(huì)認(rèn)可度三者統(tǒng)一的實(shí)踐教學(xué)目標(biāo)。