計算機(jī)安全通識課程的思考與實踐

楊德全,張 劍

（1．北京理工大學(xué) 網(wǎng)絡(luò)信息技術(shù)中心，北京100081；2． 北京理工大學(xué) 管理與經(jīng)濟(jì)學(xué)院，北京100081）

0 引 言

隨著互聯(lián)網(wǎng)+與各個傳統(tǒng)行業(yè)的深入結(jié)合,信息化和網(wǎng)絡(luò)已經(jīng)無聲無息地走入教學(xué)、科研、生產(chǎn)和生活的各個方面。人們可以在線上進(jìn)行購物、娛樂,處理多種事務(wù),但在享受信息化帶來便利的同時也面臨著網(wǎng)絡(luò)安全事件的威脅。在教學(xué)科研領(lǐng)域,信息化也在廣泛普及,各個學(xué)科對計算機(jī)的依賴性日益增強(qiáng),高校師生的電腦、移動端、云端都存儲著重要的科研或者業(yè)務(wù)數(shù)據(jù)。網(wǎng)絡(luò)安全事件帶來的次生災(zāi)害具有漣漪效應(yīng),2016年,山東臨沂準(zhǔn)女大學(xué)生徐玉玉遭遇電信詐騙,將準(zhǔn)備交學(xué)費的9 900元轉(zhuǎn)入騙子賬戶,得知被騙后,因呼吸心臟驟停離世。一些師生在網(wǎng)絡(luò)購物的過程中也遭到了專業(yè)的詐騙,計算機(jī)系統(tǒng)和云服務(wù)面臨著內(nèi)外攻擊,具有很大的危險性。如何有效提高師生的計算安全意識,提出應(yīng)對措施是迫在眉睫的事情[1]。在高校開展多形式、多渠道的網(wǎng)絡(luò)安全通識教育,從而增強(qiáng)學(xué)生的網(wǎng)絡(luò)安全理論理解能力、思維創(chuàng)新能力和動手實踐能力是落實“網(wǎng)絡(luò)安全為人民”的一個重要舉措。

1 國內(nèi)外計算機(jī)類通識教育

1.1 國際國內(nèi)對計算機(jī)類通識教育的戰(zhàn)略規(guī)劃

2016年1月,美國政府推出“全民計算機(jī)科學(xué)行動計劃”(computer science for all initiative),斥資40億美元普及計算機(jī)科學(xué)教育,尤其重視推動青少年編程教育,包括培訓(xùn)教師、研發(fā)教材和教學(xué)資源、舉辦競賽等。在美國的刺激下,英國、法國、芬蘭等國家相繼出臺政策,推動計算機(jī)教育。英國就業(yè)和技能委員會(UKCES)發(fā)布的最新報告顯示,未來10年,計算機(jī)人才將成為英國經(jīng)濟(jì)增長的重要推動力。

2017 年初,我國國家教育部、人力資源社會保障部、工業(yè)和信息化部聯(lián)合印發(fā)《制造業(yè)人才發(fā)展規(guī)劃指南》,預(yù)測到 2025 年,新一代信息技術(shù)產(chǎn)業(yè)領(lǐng)域和電力裝備領(lǐng)域的人才缺口將超過900 萬人。

1.2 高校信息安全教學(xué)環(huán)境研究進(jìn)展

國外有部分科研項目關(guān)注計算機(jī)教學(xué)環(huán)境,改變計算機(jī)教學(xué)環(huán)境(游戲中學(xué)習(xí)、遠(yuǎn)程虛擬環(huán)境授課、虛擬現(xiàn)實環(huán)境)以期獲取更好的教學(xué)效果,典型的在研項目有2個:①采用基于游戲的課程策略將計算思維引入中學(xué)(ENGAGE: A Game-based Curricular Strategy for Infusing Computational Thinking into Middle School Science),主持人 James Lester, 北卡羅來納州立大學(xué),在研時間 2016.08—2019.07,項目經(jīng)費 $2,498,862 ;②虛擬現(xiàn)實系統(tǒng)中的網(wǎng)絡(luò)安全教育研究(Exploring Cyber Security and Forensics of Virtual Reality Systems and Their Impact on Cyber Security Education),主持人 Ibrahim Baggili,紐黑文大學(xué),在研時間 2017.09—2019.08,項目經(jīng)費 $17,940,900[2]。

2 計算機(jī)安全通識課程大綱及教學(xué)探索

通識教育是“雙一流”中培養(yǎng)新世紀(jì)復(fù)合型人才的教學(xué)目標(biāo)重要一環(huán)。通識選修課的教學(xué)實踐應(yīng)以學(xué)生為主體,以教師為主導(dǎo)。如何在計算機(jī)安全通識課程中調(diào)動學(xué)生自主學(xué)習(xí)性、提升學(xué)生的實踐水平是一個值得思考的命題。在“互聯(lián)網(wǎng)+”時代背景下,對于所有學(xué)科包括理工、人文來說,信息安全素養(yǎng)與其自身專業(yè)知識同等重要,此類通識教育能為學(xué)生提供更為寬廣的課程視角,進(jìn)而促進(jìn)其信息安全意識水平的提升,保障其財務(wù)、科研數(shù)據(jù)的安全性。

2.1 課程大綱

計算機(jī)安全通識課程內(nèi)容包括計算機(jī)安全必要的基礎(chǔ)知識和進(jìn)階的網(wǎng)絡(luò)安全知識,具體內(nèi)容包括計算機(jī)安全概況、網(wǎng)絡(luò)和Internet 基礎(chǔ)知識、Internet欺騙與網(wǎng)絡(luò)犯罪、安全策略、惡意軟件、黑客技術(shù)、加密基礎(chǔ)、計算機(jī)安全軟件、社會工程學(xué)、供應(yīng)鏈安全等,每一部分占用3個學(xué)時,課程總計1個學(xué)分。在講授過程中,教師應(yīng)以實際案例為切入點,盡可能將抽象的網(wǎng)絡(luò)攻擊和防御行為具體到實踐過程,達(dá)到舉一反三的效果。

2.2 教學(xué)探索

網(wǎng)絡(luò)安全理論性較高,選修計算機(jī)安全通識課程的學(xué)生來自不同的專業(yè),動手實踐能力參差不齊,教學(xué)效果難以保證,因此,在計算機(jī)安全通識教育中采用實踐案例法,能較好地滿足不同層次學(xué)生的需求。在實踐環(huán)節(jié),將開源的滲透測試平臺Webgoat作為靶機(jī)供學(xué)生練習(xí)。針對Web應(yīng)用安全,提出網(wǎng)絡(luò)攻防的內(nèi)容體系,并進(jìn)行梳理,構(gòu)建攻防演練實踐平臺。通過動態(tài)可視化的操作幫助學(xué)生理解知識點并培養(yǎng)學(xué)生的獨立設(shè)計、獨立制作、獨立安裝與調(diào)試等綜合實驗?zāi)芰Α?/p>

在教材教學(xué)方面,需要注意以下3方面。

(1)加強(qiáng)教材建設(shè)。在課程教學(xué)中,不指定單一教材,教學(xué)按專題模塊進(jìn)行,選取國內(nèi)外優(yōu)秀教材中的精華部分以及SCI數(shù)據(jù)庫中的最新科研論文作為主要講義,內(nèi)容按照知識域進(jìn)行編制。

(2)采用案例教學(xué)法。在模擬環(huán)境中,展示信息系統(tǒng)的脆弱性,將攻擊行為可視化,使學(xué)生能夠直觀地感覺到網(wǎng)絡(luò)安全的全方位威脅,讓學(xué)生更好地理解網(wǎng)絡(luò)攻擊和防御的內(nèi)涵,認(rèn)識到網(wǎng)絡(luò)安全防御的能力和面臨威脅的直觀態(tài)勢,提升信息安全基本素養(yǎng),在后續(xù)的學(xué)習(xí)和工作中學(xué)以致用。

(3)及時更新授課內(nèi)容。網(wǎng)絡(luò)攻防技術(shù)的更新速度較快,攻防雙方道高一尺魔高一丈,此消彼長,漏洞也在不斷地被發(fā)現(xiàn)和修補(bǔ),因此,在授課過程中,需要介紹漏洞生命周期管理的概念,授課內(nèi)容需要及時更新,主要通過翻轉(zhuǎn)課堂的形式,指定命題讓學(xué)生分組自主查閱相關(guān)資料,及時收集國際國內(nèi)熱點安全事件在課程中分享。

通過本課程的學(xué)習(xí),非計算機(jī)專業(yè)的學(xué)生可以了解計算機(jī)安全的基本態(tài)勢,有部分網(wǎng)絡(luò)安全基礎(chǔ)的學(xué)生可以滿足自身對一些更高階的網(wǎng)絡(luò)安全攻擊防御理論方法與實踐的訴求。考慮到選課學(xué)生的專業(yè)背景差異,課程初期通過設(shè)計不同難度的攻防實驗將學(xué)生選課初期的水平分為3類,即精通、熟悉和了解;以此為基礎(chǔ),設(shè)計不同級別的實驗難度,讓每一個選課的學(xué)生都有收獲,讓每一大類的學(xué)生均有可達(dá)到的學(xué)習(xí)目標(biāo),最終希望網(wǎng)絡(luò)安全的學(xué)習(xí)不因課程的結(jié)束而截止。學(xué)有余力的學(xué)生可以繼續(xù)學(xué)習(xí)網(wǎng)絡(luò)攻防知識,參加CTF大賽,進(jìn)一步成為網(wǎng)絡(luò)安全人才。

3 計算機(jī)安全通識選修課的課程體系建設(shè)

3.1 網(wǎng)絡(luò)安全知識域

文獻(xiàn)[3]通過調(diào)研部分院校,提出高校信息安全專業(yè)人才培養(yǎng)應(yīng)以就業(yè)為導(dǎo)向、著力提升領(lǐng)域內(nèi)職業(yè)能力的方式設(shè)置課程體系,主要舉措包括增加信息安全概論課程、壓縮并整合部分網(wǎng)絡(luò)協(xié)議課程、增加面向開發(fā)的課程等。國內(nèi)國際產(chǎn)業(yè)界認(rèn)可的信息安全知識域以CISSP(注冊信息系統(tǒng)安全專家)為代表,其考核的網(wǎng)絡(luò)安全知識域如圖1所示。

文獻(xiàn)[4—5]針對不同專業(yè)計算機(jī)網(wǎng)絡(luò)課程的教學(xué)內(nèi)容和需求差異,設(shè)計了由一般要求、基本要求、較高要求和專業(yè)要求組成的分層次課程體系。根據(jù)學(xué)生的實際應(yīng)用需求設(shè)置具有不同側(cè)重的教學(xué)體系,可以幫助學(xué)生快速掌握所需安全知識,提高學(xué)生持續(xù)學(xué)習(xí)的興趣。

圖1 國際信息系統(tǒng)安全認(rèn)證知識域

3.2 攻防實踐案例環(huán)境體系架構(gòu)

3.2.1 選修課的實踐模塊

進(jìn)行網(wǎng)絡(luò)安全攻擊和防御實踐前,必須了解相關(guān)的基礎(chǔ)概念,包括計算機(jī)網(wǎng)絡(luò)、TCP、UDP、IPv4協(xié) 議、IPv6協(xié) 議、SMTP、POP3、HTTP、HTTPs、FTP、SSH、RDP、FIREWALL、IDS、IPS,以及1～2門編程語言。課程實踐模塊見表1。

通過實踐模塊,學(xué)生基本可以了解常見的網(wǎng)絡(luò)安全攻擊方法,可以切實了解網(wǎng)絡(luò)攻擊行為帶來的危害,基本掌握常見網(wǎng)絡(luò)攻擊行為的防范技巧。

3.2.2 項目學(xué)習(xí)的過程實踐

研究項目學(xué)習(xí)活動包括獲取任務(wù)、知識輸入、知識內(nèi)化和知識輸出4個步驟。網(wǎng)絡(luò)安全攻防實驗需要大量的時間投入,搭建一個實際操作的環(huán)境可以擴(kuò)展學(xué)習(xí)的時間維度和空間維度,使學(xué)習(xí)行為可以不局限于課堂和教師,從而使學(xué)生在一個學(xué)期的時間內(nèi)盡可能多練習(xí)、多實踐。以WiFi攻擊為例,項目學(xué)習(xí)的實踐過程如下。

獲取任務(wù)階段主要是將學(xué)生分組引入實驗環(huán)境,完成任務(wù)感知,設(shè)計題目為搭建一個高仿校園SSID,收集連入該SSID的電腦或者移動端流量信息。

知識輸入階段以網(wǎng)絡(luò)資源、圖書館資源為主,學(xué)生在教師的指導(dǎo)下進(jìn)行實驗軟件的準(zhǔn)備。在該項目中,實驗準(zhǔn)備僅需要下載一個可提供熱點服務(wù)的第三方軟件,并將SSID名稱設(shè)置為與現(xiàn)有SSID高度相似的名稱,并開始服務(wù)。

表1 課程實踐模塊

知識內(nèi)化階段包括若干個子任務(wù),包括無線網(wǎng)絡(luò)基本概念、網(wǎng)絡(luò)IP地址基礎(chǔ)知識、熱點的實現(xiàn)機(jī)制、SSID、無線加密、無線認(rèn)證等在案例中使用的知識的學(xué)習(xí),每一個小組成員均分擔(dān)項目組的不同任務(wù),學(xué)生在團(tuán)隊實踐中互相學(xué)習(xí),從而大體掌握該項目所涉及的基礎(chǔ)知識。在實踐的過程中,學(xué)生可以直觀地觀察到“蹭網(wǎng)”的危險性,并從原理上理解“蹭網(wǎng)”可能帶來的損失。

知識輸出階段要求學(xué)生在掌握了實踐過程后,按照操作步驟寫出整體的實驗報告。整個項目式教學(xué)能將基礎(chǔ)知識融于實踐操作中,有助于學(xué)生的理解和掌握。通過該案例的教學(xué),學(xué)生基本可以做到不“蹭網(wǎng)”,消除安全隱患。

3.3 部分教學(xué)案例模塊

3.3.1 法律教育

《中華人民共和國網(wǎng)絡(luò)安全法》由全國人民代表大會常務(wù)委員會于2016年11月7日發(fā)布,自2017年6月1日起施行。該部分重點在普法教育,讓學(xué)生有法律意識,能保護(hù)自己,避免觸及紅線。

3.3.2 SQL注入

SQL注入是攻擊常用的手段之一。了解攻擊原理可以有效防范類似攻擊。一些信息系統(tǒng)的登錄模塊不設(shè)置有效驗證。在登錄頁面輸入特殊意義的字符串即可以進(jìn)入系統(tǒng),非法獲取數(shù)據(jù)庫權(quán)限,并可以進(jìn)行增、刪、改、查等操作。對學(xué)生而言,成績管理模塊尤其能獲得關(guān)注,能更有效地引導(dǎo)學(xué)生掌握該知識點。實驗原理如下:

在登錄用戶名處提交“’or 1=1--”,則在后臺驗證SQL查詢語句代碼如下:

select cout(*) from user where username=‘’or 1=1--and password=‘’

這種情況where語句就成為重言式,數(shù)據(jù)庫僅返回數(shù)據(jù),從而避開驗證[6]。該部分內(nèi)容注重原理的講解,數(shù)據(jù)庫的知識點是該內(nèi)容的必要基礎(chǔ)知識點。

3.3.3 弱口令

常見的弱口令包括admin、123456、123qwe、1qa2ws等,在互聯(lián)網(wǎng)上仍有不少的重要系統(tǒng)采用默認(rèn)的口令。在課堂上展示黑客具有的密碼字典,并作現(xiàn)場破解演練,在實踐環(huán)境中讓學(xué)生進(jìn)一步明確弱密碼帶來的危害,盡量不在不同的信息系統(tǒng)中采用同一套用戶名和口令,設(shè)置帶有數(shù)字、字母、下劃線等特殊字符的密碼。

3.3.4 在線攻防

在教學(xué)環(huán)境中架設(shè)帶有漏洞的服務(wù)器靶機(jī)系統(tǒng),供學(xué)生實踐。靶機(jī)系統(tǒng)具有一些已知的CVE漏洞,這個模塊考查學(xué)生利用已有工具進(jìn)行滲透測試的能力。使用一個簡版的CTF攻防大賽的系統(tǒng)讓學(xué)生嘗試解題,可以通過這樣的方式彌補(bǔ)學(xué)生的知識短板。

3.3.5 DDoS攻擊

拒絕服務(wù)攻擊對于一些商業(yè)網(wǎng)站來說是無法抵御的,抵御DDoS攻擊只有“兵來將擋,水來土掩”,不斷提高服務(wù)器的響應(yīng)能力以及封禁非法請求的源地址,及早發(fā)現(xiàn)疑似攻擊并阻斷攻擊源。在教學(xué)過程中,可以采用原理講解、模擬操作的方式讓學(xué)生理解該攻擊的危害性。

3.3.6 攻擊數(shù)據(jù)挖掘

該部分內(nèi)容是高階內(nèi)容,課程提供一段時期的安全設(shè)備日志,供有余力的學(xué)生基于該日志作數(shù)據(jù)挖掘和趨勢預(yù)測,本部分內(nèi)容屬于選修部分。數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)是當(dāng)今的研究熱點,有部分學(xué)生具有機(jī)器學(xué)習(xí)的背景知識,這樣就可將網(wǎng)絡(luò)安全和機(jī)器學(xué)習(xí)對應(yīng)起來,拓展網(wǎng)絡(luò)安全的研究視角。

4 結(jié) 語

計算機(jī)安全和網(wǎng)絡(luò)安全知識對于非計算機(jī)學(xué)科類的學(xué)生尤為重要,不經(jīng)意的個人信息或者關(guān)鍵科研信息的泄露會造成重大損失。增強(qiáng)高校師生的網(wǎng)絡(luò)安全通識教育,開展安全案例實踐教學(xué),引導(dǎo)學(xué)生強(qiáng)化網(wǎng)絡(luò)安全意識等,對高校畢業(yè)生理性就業(yè)和高質(zhì)量就業(yè)有著重要的現(xiàn)實意義。本科生的網(wǎng)絡(luò)安全教育要常抓不懈,在以后的科研活動或者生產(chǎn)工作中,信息安全意識往往會有重大的影響。將信息安全置于通識教育中意義非凡,有利于提高國民整體的信息安全水平,所謂網(wǎng)絡(luò)安全為人民,網(wǎng)絡(luò)安全靠人民。