信息安全實驗教學研究與實踐

◆苗 華 李紅梅 茍光磊

信息安全實驗教學研究與實踐

◆苗 華 李紅梅 茍光磊

(重慶理工大學計算機學院 重慶 400054)

針對信息安全課程引入的實驗教學環節，本文介紹了課程采用的實驗教學環境、實驗內容以及實驗教學方法，提出了信息安全實驗教學的改革思路，最后根據實際教學情況進行了總結和分析。

信息安全；實驗教學；教學改革

0 引言

《信息安全》作為一門全新的綜合性、實踐性和交叉性很強的專業課程，相比傳統計算機課程而言，在各方面都還不太成熟存在較多問題。目前，各學校都在積極探索當中，其教學內容和方法也各不相同[1,2,3]。

從課程的教學實踐和其他學校的反饋來看，學生對這門課程往往是一開始很感興趣，但在隨后不久的學習中，由于涉及知識的復雜性以及需要較多先修知識，便慢慢喪失了熱情。更嚴重的是，學生無法感受到理論知識與現實信息安全問題的聯系，學習態度由積極變為消極，教學效果不夠理想。

新的教學計劃對本課程做出了調整，在總課時不變的前提下，引入8學時實驗，理論學時縮減至24課時，共計32學時。實驗教學與實踐環節的引入給課程注入了活力，如何以實驗環節為切入點，上活、上好信息安全課程是我們當前面臨的一個挑戰。

下面，筆者從幾個方面介紹我們在實驗教學方面的一些思路、經驗和教訓。

1 信息安全實驗課程環境

信息安全實驗教學與實踐需要較復雜的實驗環境和平臺，實驗通常具有破壞性，伴隨著對主機、軟件系統和網絡環境不同程度的破壞和影響。理想情況下，應當在信息安全專業實驗室或專業實驗系統平臺上進行。然而由于資金、場地等因素的影響，目前信息安全課程主要使用的是綜合實驗室，其軟硬環境無法完全滿足本課程的需要。

為了解決這一矛盾，我們采用了成熟的虛擬技術和產品。通過在一臺計算機（宿主機）上虛擬創建多個擁有獨立IP、異構或同構的操作系統以及相應服務的主機，進而構建出開發或者隔離的網絡，以滿足實驗的環境要求。典型課程實驗環境如圖1所示。

圖1 課程虛擬實驗環境

在宿主機A上虛擬出兩臺虛擬機B、C，并將其連接起來構成微型實驗網絡。可根據實驗需要將該其設置成開放的或者隔離的網絡。通常在虛擬機B、C中選中一臺作為攻擊機而另一臺則作為靶機，原則上宿主機A不參與有破壞性的操作。

2 信息安全實驗內容設計和教學方法

由于實驗課時較少，而理論涉及內容又廣，因此不可能面面俱到。只有以“點”帶“面”，通過精煉的四個課堂基本實驗讓學生把握到信息安全的主要脈絡，掌握信息安全最重要、最基本和最實用的概念原理和方法。

從安全的矛盾性和雙刃性方面，實驗可分為攻擊和防御兩大類。由于理論教學圍繞著信道安全和系統安全兩個模型[4]展開，因此我們設計了如圖2四個實驗模塊。

圖2 實驗模塊體系

每個模塊下設多個實驗，其中一個為課堂必做基本實驗，其余為課后擴展選作實驗。課堂必做基本實驗多為驗證型實驗，課后擴展選作實驗包含驗證型、設計提高型、綜合型、創新探索型四類。

2.1 信道攻擊模塊

本模塊的實驗目的是為了讓學生對OSI安全框架中定義的安全攻擊有直觀認識，理解信道可能會遭到的威脅，明確后續理論學習的意義。

基本實驗：使用Sniffer軟件完成廣播環境的窺探，進一步加深對網絡協議的認識，認識明文傳輸口令等敏感信息的危害。在交換環境下，借助Sniffer軟件認識ARP協議的工作原理，并通過手工構造和發送ARP應答包完成簡單的ARP單向欺騙，讓學生掌握ARP欺騙的過程和危害。為了降低實驗難度，我們編寫了一個ARP欺騙工具，通過該工具的使用，學生可以發起較復雜的雙向欺騙實現對收發雙方的偽裝，并在此基礎上完成篡改、重放等攻擊。學生可以借助Sniffer軟件了解攻擊的過程并驗證攻擊的效果。

擴展實驗：提供了如拒絕服務攻擊、IP欺騙、DNS欺騙、路由欺騙、網絡釣魚等一系列驗證型或探索型實驗；公布了ARP欺騙工具的絕大部分源代碼，供學生補充和完善相應功能。

2.2 信道防御模塊

本模塊的實驗目的是為了讓學生在理論學習的基礎上，理解和使用基本的對稱密碼算法、公鑰密碼算法和Hash算法，并嘗試綜合運用這些安全變換防御安全攻擊，實現對信道通信的保護。完成本模塊實驗后，學生應當較深刻地理解安全攻擊、安全服務、安全機制三者之間的關系，明確后續網絡協議理論學習的意義。

基本實驗：使用Openssl命令行工具完成對稱密碼加、解密操作；散列函數的比較和使用；公鑰密碼的加密、解密以及簽名和驗證操作。通過這些操作，加深學生對密碼學部分理論知識的認識。比如對稱密碼的工作模式一直是理論教學中的難點和重點，通過對密文進行簡單分析比對、篡改密文的解密、固定小數據分組的加密等實驗要求，引導學生分析現象和結果，從而理解不同工作模式的特性以及適用的環境。初次接觸公鑰密碼的學生往往對其原理和概念認識較模糊，通過兩人一組分別實現保密通信、認證通信和保密兼認證的通信，既活躍了學習氛圍又讓學生對公鑰密碼有了清晰的認識。

在掌握了基本密碼工具的基礎上，實驗提供了諸如“電話擲硬幣游戲”[5]、共享會話密鑰、第三方環境下的安全公鑰發布等有趣的小游戲，通過該環節既能讓學生綜合應用各種密碼工具又為后面的網絡協議理論教學打下了基礎。

擴展實驗：此模塊的擴展實驗內容較豐富，其中涉及不少后續理論學習中用到的實驗。目前該模塊的擴展實驗主要有：加/解密編程實驗、EFS文件加密系統案例分析、PGP軟件應用、CA的配置及證書的使用、文件保險箱、安全報文系統、基于SSL通信的服務器端和客戶端設計與分析。

2.3 系統攻擊模塊

本模塊的實驗目的是讓學生理解攻擊者網絡入侵的流程及概念，掌握安全掃描工具的原理和使用方法。側重理解和掌握基于認證和基于漏洞的入侵方式，出于實驗總體設計的考慮將基于第三方程序（木馬）放入了系統防御模塊。

基本實驗：使用X-Scan或Nessus等掃描器對靶機（Windows 2000 SP0）進行安全掃描完成信息收集的過程。根據掃描的弱口令報告，通過IPC方式實施基于認證的入侵；根據掃描到的系統漏洞，使用相應的漏洞利用軟件實現基于漏洞的入侵。在成功入侵系統后，使用Getadmin等提權工具將當前賬戶提升至管理員權限完成權限提升過程。在完全控制靶機后，清除系統日志、建立隱蔽賬號完成“留后門清腳印”的過程。通過這一系列實驗環節向學生展示了典型入侵的全過程，消除其神秘感，增強了學生的安全意識同時也使得其安全防范更有針對性。

擴展實驗：主要以XP系統加固實驗為主，圍繞賬戶管理、權限管理、端口管理、系統漏洞檢測、注冊表維護、系統安全策略等幾個方面展開，其目的是讓學生能夠有針對性地抵御系統攻擊。其他擴展實驗包括MS WORD漏洞挖掘案例分析、掃描技術案例分析、TCP connect掃描編程等。

2.4 系統防御模塊

為了與學生現實中遇到的安全問題緊密聯系，本模塊將側重于惡意軟件的清除。通過實驗讓學生理解病毒的感染機制和木馬、蠕蟲的工作原理，由于病毒手工清除的要求較高，實驗將集中在對木馬和蠕蟲的手工清除上兼顧其他系統防御手段如防火墻等。

基本實驗：在攻擊機上使用流行的木馬軟件如灰鴿子、廣外男生進行木馬服務端配置，配置完成后將其種植到靶機。攻擊機對靶機進行上線管理從而完全控制靶機。通過該過程讓學生了解到基于第三方程序（木馬）的入侵方式及其危害。由于蠕蟲的查殺與木馬類似，我們提出了“兩階段法”用于其實際的手工清除，包括正向分析和逆向分析兩個階段。正向分析是指通過比對安裝惡意程序前后系統的狀態來分析其對系統的影響，為后面的逆向查殺提供線索和縮小排查范圍。在正向分析的基礎上，通過檢查網絡連接、進程活動排查出可疑進程，進而通過對可疑進程的分析確定其保護措施以及啟動文件、注冊表啟動項等關鍵信息。通過上述兩個階段的分析，通過一些安全軟件，按照“先進程，后文件”的原則就能夠清除絕大多數頑固木馬或者蠕蟲程序。

擴展實驗：主要以相關惡意軟件樣本分析為主，以增加學生經驗以及動手解決系統問題的能力。同時還包括PE文件型病毒分析與清除、防火墻的配置、入侵檢測系統的部署與使用等實驗。

3 實踐教學經驗

3.1 實踐與理論教學緊密聯系

我們發現實驗完成較好的學生通常對理論概念掌握得很好，反過來理論知識沒能掌握的學生實驗進行得通常不順利。因此要圍繞實驗精心安排理論內容，可以在理論教學中將實驗中的一些難點、重點結合理論知識點進行講解，必要時可由教師演示或者讓學生在教師的指導下完成實驗中的一些步驟。通過實驗，深化學生對于已學知識的理解和掌握，同時為后面將要學習的概念、原理奠定直觀的認識和感性的理解。

3.2 合理設置前導練習，控制實驗難度

我們發現合理的實驗難度才能激起學生的學習探索欲望，使他們在實驗中獲益。太簡單的單步驟實驗通常不能給予學生成就感，因此要盡量避免。對于學生難以獨立完成的過分復雜的實驗，則可以將實驗分解成若干子任務并以前導練習的形式布置下去。在學生完成前導練習的過程中，教師可以向學生提供資料以及建議，也可以組織對學生進行集中討論并最后給予總結和評價。通過合理地設置前導練習，既培養了學生獨立分析、解決問題的能力又將課程實驗難度限定在一個可控的水平。

3.3 以后置練習引導主動學習

我們實驗課程的定位是以“點”帶“面”，帶動學生對信息安全的內容進行廣泛而全面的學習。為了實現這一目標，我們在每個實驗模塊設置了大量的相關實驗作為后置練習，并且還在不斷充實其內容。通過這些后置練習引導他們去了解和思考現實中安全問題的解決方案，使學生能夠積極主動地進行探索，獲得最新的技術動態和資訊，在培養學生自學能力的同時激發其創新能力和思維。

3.4 以分組模式提高實驗積極性

在信道防御模塊我們引入了分組合作模式，學生實驗積極性很高，學習氛圍濃厚，從學生反饋來看實驗效果較好。實際上，由于信息安全的矛盾性和雙刃性，我們還可以引入分組對抗模式并將其擴展到其他幾個模塊。分組模式的實行更符合實際環境的需要，學生可以在不斷的犯錯過程中獲得解決問題的途徑，在這個過程中學生通常更容易獲得課程內容以外的信息安全知識。

3.5 合適的評分標準和反饋機制

合適的評分標準有助于促進實驗的有效完成。在實踐中我們堅持重過程而輕結果，除了課堂實驗有相應的評分以外，前置和后置練習也制定了評分標準。對每個實驗均要求學生填寫實驗總結，并計入實驗成績。通過實驗總結中的“實驗評價”、“單元學習能力測評”等表格[6]能及時的掌握學生的實驗情況以及實驗設計存在的問題，同時學生也能對自己的學習情況進行必要的評估。

4 評估及結論

我們為信息安全課程設計了其配套的實驗環境和實驗內容。通過四個基本實驗引出了四個實驗模塊，使得學生在把握信息安全主要脈絡的同時能夠進一步主動、深入地學習。

通過對實施信息安全實驗課程前后的學生進行對比分析，結果顯示實施實驗教學后學生的學習情況有著明顯改善。從課程的考試成績來看，學生整體成績有了較大程度的提高，特別是在綜合應用題型上的得分率和平均分兩個指標有了顯著提高。從學生提交的作業、報告來看，學生學習自主性得到了調動，學生作業、報告提交率大幅提高，作業及報告內容的廣度有了明顯的提升，其質量也有了不小的進步。從理論教學情況來看，學生學習積極性較高，課堂缺勤率有所降低，課堂參與氛圍濃厚，理論教學質量有所提高。

當然，我們的工作也有不足之處。通過調查，學生反映的問題主要集中在實驗相關輔助文檔缺乏以及某些實驗內容難于理解上。在將來的工作中，我們打算在更廣泛的開發擴展實驗的基礎上進行輔助文檔的收集和編寫工作。同時緊密結合理論教學，對實驗內容和實驗方式進行不斷優化。

[1]董仕.新形勢下高校信息安全專業教學體系改革與探討[J].黑龍江教育學院學報，2017.

[2]李席廣，林娜.“網絡安全”課程的教學實踐與改革創新[J].沈陽航空航天大學學報，2017.

[3]付海燕，王波，孔祥維，郭艷卿，李明.信息安全課程在高校教學中的幾點思考[J].實驗室科學，2016.

[4]William Stallings.Cryptography and Network Security Principles and Practices 7thedition[M].Pearson，2016.

[5]Wenbo Mao.Modern Cryptography:Theory and Practice[M].Prentice Hall，2003.

[6]周蘇，王文.信息安全技術（第二版）[M].中國鐵道出版社，2015.

重慶市科委基礎科學與前沿技術研究項目，基于置信優勢關系粗糙集的不完備有序決策研究（cstc2017jcyjAX0144），主持人：茍光磊。