信息安全專業實踐教學方法初探

姚罡

【摘 要】信息安全課程內容涉及大量概念、理論體系、算法和協議，教學過程中應考量如何將理論與實踐結合，實現理論到實踐應用的自然過渡，由單純知識傳授轉移到重視能力培養上來。本文圍繞該問題討論了可行的實踐教學方法和改革實踐，達到提高學生學習自主性和創新能力的目的。

【關鍵詞】信息安全;實踐教學;奪旗賽

中圖分類號： TP309-4 文獻標識碼： A文章編號： 2095-2457（2019）21-0123-002

DOI：10.19694/j.cnki.issn2095-2457.2019.21.055

Research on the Practice Teaching Methods of Information Security

YAO Gang

（Department of Computer Science and Information security，Guilin University of Electronic Technology，

Guilin Guangxi 541004，China）

【Abstract】The information security course covers a large number of concepts，theoretical systems，algorithms and protocols.In the teaching process，the educators should consider how to combine theory with practice，and help students transiting from theory learning to practical application naturally，it is necessary to focus on develop students' ability，not just on knowledge teaching.In order to develop students' active learning and innovation ability，this paper discusses feasible teaching methods and reform practices in information security area.

【Key words】Information security;Practice teaching;Capture the flag

0 引言

信息安全課程涉及的知識點非常廣泛，如計算機體系結構、操作系統、計算機網絡、數據庫、密碼學、計算機病毒、網絡攻擊等，這些內容涵蓋成熟的理論及技術，又要動態地應對日新月異的實際安全問題，而實踐教學是鞏固理論知識和加深對理論認識的有效途徑，那么對信息安全專業實踐教學進行改革并付諸實踐，培養符合社會需求的信息安全人才是很有必要的。

1 信息安全專業實踐教學方法應用

信息安全專業與計算機科學與技術專業的課程體系相近，增加了信息安全相關的課程，這些課程的教學內容與達成目標具有特殊性，實踐環節的實施也對教學方法提出了新的要求。結合實際教學中的應用，本文總結了信息安全專業實踐教學過程中有益的嘗試。

1.1 傳統教學方法

傳統教學方法在信息安全課堂教學中具有主導地位，應用于信息安全專業理論教學中，如信息安全概論、密碼學及數學基礎、網絡協議分析、計算機病毒原理等，重點在于提高學生的基礎理論知識和通用技能，讓學生明晰不同課程知識點之間的貫通性，從更寬泛的角度去學習，具有安全研究素養，為日后的高層次學習和實踐能力培養打下堅實基礎。

傳統教學方法注重教師課堂理論講解，在常規的理論和實驗教學中，學生往往處于被動地位，因而需加強學生學習的主動性。理論課程核心內容應涉及信息安全主流知識點，通過將這些知識點與具體案例結合，雖然學生的學習方式、學習進度各不相同，但課后可以重復教師課堂理論授課的案例，進一步理解并掌握該知識點，培養學生的學習主動性。

為激發學生興趣，教學中并不完全遵循先理論后實踐的方式，比如密碼學，可以先讓學生嘗試破譯密文、閱讀有意思的密碼歷史故事、分析勒索蠕蟲的工作機制，學生在理解密碼學的意義后，逐步主動把學習重點放在數學理論的證明和密碼算法的應用上。信息安全理論教學內容應圍繞一個或多個實踐案例開展，直接描述出課程的實用性和應用實例，實現理論到實際應用的自然過渡。

嘗試改變課后作業模式，大多數信息安全專業課程實踐操作性強，如果仍然以交作業本的形式來做一些提問、問答的題目，顯然不適合動手能力的培養，同時不可避免部分學生抄襲作業，所以可以加大作業內容中實踐項目操作比重，從“重理論”轉換到實踐項目實施呈現，由淺入深，并與課內實驗項目銜接，作業的批改采用實踐操作驗收方式，師生互動強。

1.2 項目融合法

大學生創新訓練項目和科教協同項目實施過程要求學生理論與實踐相結合，主要內容最終體現在實際應用上。因為項目的實施主體是學生，對于其他學生而言，這些項目的實現并不是遙不可及，那么教師可以將實施效果較好的項目引入到教學實踐中，針對項目的不同功能模塊，總結其中涉及到專業知識點及其實現技術，從而貫穿于理論教學。在實踐教學方面，對項目進行合理分解，按難易程度或以知識點為分類依據設計成多個實驗，將課程教學落到實踐環節，教師在實驗教學中可以復制指導項目的模式，針對學生在實驗中出現的問題，采用提示和設疑的方法讓學生運用所學的知識，查閱資料，解決問題，培養學生學習的自主性和創新能力。

通過將完成的大創項目進行分解，設計了局域網嗅探及其防范實驗項目，實驗內容遵循基礎性、綜合設計性、創新性三層次模型，基礎性內容重點完成符合實驗要求的網絡環境搭建，涵蓋交換機、路由器、Web服務器、DHCP服務器配置等內容，熟悉命令行及常用掃描工具使用，掌握利用網絡協議分析工具（如Wireshark）進行ARP、HTTP等網絡協議的分析。綜合設計性部分要求學生設計思路，通過構造和發送ARP假冒報文等方法完成交換網絡下的嗅探，然后分析、掌握該攻擊工作原理，給出合理、針對性的防范措施，在此基礎上，進一步研究無線局域網的中間人攻擊，試圖通過熱點偽造、路由器入侵等方法控制內網，并分析可行的防范措施。創新性內容針對能力較高的學生，可以留在課后進行，旨在培養提高學生綜合設計開發能力，通過TCP/IP協議編程，特別是基于Winpcap編程的學習，指導學生自主設計實驗過程中用到的軟件，如網絡數據報文構造、發送器、掃描器、入侵檢測與防范系統等，并可以擴展為課程設計、畢業設計課題，促進學生在某個知識點的深入學習和實踐。

1.3 攻防實戰教學法

CTF（奪旗）比賽是目前信息安全業界最受歡迎的活動，是攻防實戰教學的有效實施方案，參賽學生可以充分展示他們的專業技能。教師擔當指導工作，幫助學生參加或組織CTF比賽。通過完成關卡任務，學生接觸到信息安全領域的現實問題，基于對抗性比賽的學習方法以學生為中心，學生們專注于某個具體的安全問題并找到解決方案，促進解決問題的技能和認知能力，CTF比賽是一個非常好的輔助教學手段。

CTF比賽涉及內容廣，解題模式CTF中，任務通常涉及各種信息安全專業知識點，如隱寫，逆向工程，密碼學，二進制分析等，攻防模式則需要參賽者足夠的知識儲備和經驗，挖掘并利用漏洞，同時也要能夠修補漏洞。學生知識面側重點各有不同，賽前學生要整合不同技能的成員組隊參賽以最大發揮各自的長處，賽中要共享信息和討論解決方案，攜手共進退，賽后進行總結得失，指出知識薄弱環節和進一步想學習的思路，所以CTF比賽是培養學生的自主學習、團隊協作學習能力的有效途徑。

課外實踐開展CTF比賽具有開放性，比賽層次可高可低，不需要太多的審批手續，不用遵循教學計劃或進度，比賽關卡無需局限于教學內容，比賽組織者可以是老師，也可以是有一定參賽、組織比賽經驗的學生，極具靈活性和可操作性。首先，協調本專業專任教師在各自授課過程中引入CTF賽點，講解原理和解題方法。其次，要求學生高低年級搭配組隊，以老帶新，賽后教師、學生對賽點及利用的工具和解題思路進行分析、講解，寓教于賽，促進學生提高網絡攻防水平。

2 結論

通過以上幾種教學方法結合改進信息專業實踐教學是非常有益的，但考慮到教學實踐過程有攻有防，具有一定的攻擊性，因而教學過程中必須加強學生信息安全法律法規與倫理教育，為社會培養德才兼備的信息安全專業人才。

【參考文獻】

[1]Yurcik W，Doss D.Different Approaches in the Teaching of Information Systems Security[C]//2001：32-33.

[2]Mirkovic J，Peterson P A H.Class Capture-the-Flag Exercises[J].2014.

[3]王瑞錦，周世杰，秦志光，等.基于虛擬化技術的信息安全實驗教學體系建設[J].實驗科學與技術，2015.

[4]Mansurov A.A CTF-Based Approach in Information Security Education：An Extracurricular Activity in Teaching Students at Altai State University，Russia[J].Modern Applied Science，2016，10（11）：159.