網絡攻防課程建設經驗探討

賈忠田，劉 悅，張 波

（濟南大學 信息科學與工程學院，山東 濟南 250022）

0 引言

近年來，隨著物聯網、人工智能、云計算、大數據等高新技術產業的興起，人類社會正在步入一個萬物互聯的新時代。無論是社會生產還是日常生活都與信息網絡密不可分，網絡安全受到了前所未有的關注與重視。習近平主席指出：“沒有網絡安全，就沒有國家安全。沒有信息化，就沒有現代化[1]。”2015年6月，教育部批準設置了“網絡空間安全”一級學科，為我國培養網絡安全人才提供了有利的條件。網絡攻防課程作為網絡空間安全相關專業的一門核心課程，涉及計算機、通信、數學等多個學科的知識，其知識體系缺乏科學的歸納與提煉，可用的參考教材相對匱乏。因此，怎樣組織網絡攻防課程的授課內容、選用什么樣的教材、課程教學實驗如何設計以及怎樣確保課內學習的技術能夠解決實際的網絡安全問題等，都非常值得我們深入研究與探索。

1 網絡攻防課程教學面臨的挑戰

網絡空間安全是一門全新的學科，一般認為網絡空間安全應該包含密碼學、網絡安全、系統安全、內容安全以及信息對抗等五大方向的知識內容[2]。其中，網絡安全最貼近人們的日常生活，平時在日常生活中見到的網絡釣魚、電信詐騙、QQ盜號、蠕蟲、木馬等技術都屬于網絡安全的范疇。因為這類技術具有較強的實用性和挑戰性，所以網絡攻防類課程成為最受學生歡迎的網絡安全類課程之一。但是，目前該課程的知識體系與理論支撐仍在探索之中，怎樣建設好網絡攻防類課程成為網絡空間安全專業亟待解決的重要問題。

1.1 教學知識結構的設置問題

網絡攻防課程知識結構的設置沒有現成的案例可以參考，它不像傳統的計算機課程那樣具有非常成熟的知識體系。因此，網絡攻防課程需要在課程建設過程中，根據社會對網絡安全技術的需求不斷總結和積累，形成適合本校培養計劃的課程知識體系。通過對國內本科院校相關課程的調查分析發現，網絡攻防課程涉及的知識面大同小異，基本上都包括信息的收集、口令破解、Web安全、網絡欺騙、日志清除、逆向工程、社會工程學等，但是對知識體系要求掌握的程度卻有很大差別。雖然都是網絡攻防課程，但是該課程可能屬于不同專業的不同學期，其培養目標、前導課設置、師資情況也不盡相同，因此，在課程知識結構與學時安排上都有很大的區別。濟南大學暫時沒有網絡空間安全類專業，而是借助網絡工程專業的優勢，在其下設置了網絡安全方向[3-4]，從2005年起就陸續開設了應用密碼學、PKI原理與技術、網絡安全協議、防火墻與入侵檢測、網絡攻防技術入門、網絡信息對抗等相關網絡安全類課程群。其中，應用密碼學、PKI原理與技術、網絡安全協議等課程主要從密碼學應用與工程技術角度組織課程知識點，結合實際的密碼應用系統組織教學過程[5]；防火墻與入侵檢測技術結合網絡規劃與設計、網絡管理等課程進行知識體系的設置；對于涉及跨度廣、實踐性較強的網絡攻防課程，如何根據網絡工程專業自身的特點以及本校的專業積累設計合理的教學內容具有一定的難度。

1.2 教材的選擇問題

教材的選擇是一門藝術，合適的教材不僅能節省教師的精力，而且能夠給廣大學生帶來學習的快樂。以清華大學出版社、機械出版社、人民郵電出版社等出版社為例，每年都有不少網絡安全類教材出版或者再版，教材的名字繁多，諸如計算機網絡安全、網絡信息對抗、網絡攻防技術等，單從名字上看，這些教材基本上能夠滿足不同培養方案里的課程名稱要求。但是如果從教材的內容細分一下，卻不盡然。不同教材的側重點不同，例如，有的教材側重協議分析，有的側重Web滲透，還有的教材側重代碼分析，等等。如何在眾多的教材中選擇適合本校網絡工程專業的網絡攻防教材，培養具有本校特點的網絡安全人才是一個值得研究的問題。

1.3 課程實驗的組織問題

網絡攻防課程實驗操作性強、難度大，具有一定的破壞性。如果全部按照相關教材上給出的實驗方法，搭設網絡攻防實驗存在一定的困難與不確定性。實驗對系統的環境要求比較敏感，按照教材上給出的方法與步驟不一定能夠搭建成功，即使搭建成功，也不一定能夠得出預期的實驗效果。當然，市面上有不少網絡安全教學實驗平臺可以選擇，但是這些平臺最大的問題是與教材的契合度較低。一方面，課程涉及到的理論問題，無法在實驗平臺上得到有效的驗證，另一方面，實驗平臺上提供的實驗缺少合適的理論支撐。因此，如何根據網絡工程專業學生的基礎設置切實可行的實驗方案，是另一個非常值得研究的問題。

2 網絡攻防教學的具體措施

2.1 教學知識結構的設置與改進

濟南大學在2011年秋季學期首次在網絡工程專業的大三上學期開設網絡攻防課程，計劃總學時48學時，其中理論課32學時，實驗課16學時。教學知識內容包括：網絡協議、安全風險與評估、Web安全、網絡欺騙、蜜罐技術、安全策略、安全網絡設計等知識點。經過3屆學生的學習與探索，發現網絡協議部分與其他課程重復度較高，網絡風險與評估部分可操作性較差，安全網絡設計部分缺少可驗證性的實驗支撐。因此，筆者于2014年對教學大綱進行了調整，去掉網絡協議、網絡風險與評估、安全網絡設計等教學內容，增加Web攻擊與防護，重點講授SQL注入、PHP注入、XSS攻擊等相關理論與技術，增加緩沖區溢出攻擊與逆向工程，計劃學時調整為64學時，其中理論學時與實驗各占32學時。這種教學內容經過兩屆學生的實踐，發現突出的問題是教學內容與課程實踐平臺脫節，因為這個階段學校引進了商業版本的網絡攻防實踐平臺，實踐內容比較豐富，但是很多實驗缺少理論鋪墊，學生無法應對實踐問題的變化,而且重點不突出。針對這個問題，我們于2016年對教學內容和教學過程做了大幅調整。一方面，根據網絡安全生態中對Web安全與逆向工程的剛性需求，增加了Web安全與逆向工程的學時。同時帶領學生開展課后實踐，組織學生參加各種網絡安全技能比賽，參與各種網絡滲透測試實踐，組織網絡安全技術沙龍，進行網絡安全技術大討論。另一方面，結合學校商業版本的網絡安全實踐教學平臺，編寫相應的理論內容，使每一個實踐操作模塊都具有相應的理論支撐，解決了網絡攻防類課程理論教學與實踐教學脫節的問題。在授課過程中，充分利用網絡安全專業實驗室的硬件條件，理論課與實踐課交叉進行，先講授一節理論課，接著進行實踐操作，做到了理論與實踐的有效結合，產生了較好的教學效果。上述3次教學內容改革的詳細情況見表1。

2.2 教學參考資料的選取

在教學參考資料的選擇上經歷了3個階段，2011年剛開設網絡攻防課程時，市面上的教材相對還比較匱乏，主要參考資源是一些“**黑客技術內幕”“**技術大曝光”等技術類圖書資料。但是，這些資源作為技術參考資料尚可，作為大學生的課程教材還有些欠缺。經過對相關教材的調研，我們最終選擇了肖軍模主編的《網絡信息對抗》作為學生用書，同時選用賀雪晨編寫的《信息對抗與網絡安全》作為參考教材。經過兩年的使用，發現教材內容與我們的培養目標存在一些偏差，例如，對于密碼學部分與網絡協議部分，學生已經在其他先導課程里有非常深入的學習，信息戰與電磁戰部分偏離了我們的培養方向。因此，在2014年秋季學期，我們選用了諸葛建偉老師編寫的《網絡攻防技術與實踐》作為我們的主要參考教材，主要講解網絡信息收集、網絡嗅探、網絡協議攻擊、操作系統的安全（口令破解、安全策略）、惡意代碼、緩沖區溢出、Web安全、逆向分析等。實踐發現，諸葛建偉老師編寫的《網絡攻防技術與實踐》教材理論扎實，可操作性強，與網絡安全生態結合度好。但是，該教材對學生的計算機基礎要求很高，對于地方性本科院校的學生來說難度偏大。因此，我們參考諸葛建偉老師的教材，結合學校商業版本的實踐教學平臺，重新組織了理論課件，課件只講述實踐教學平臺中涉及的相關理論，省略難度較大的部分。同時，突出Web安全與逆向工程，增強所講內容的實用性。

2.3 課程實驗的不斷改進

實驗可以幫助學生加深對課堂理論的理解，幫助學生掌握所學的技術，提高學生的動手能力。對于網絡攻防課程這樣要求動手能力較強的課程來說更是如此，能否通過實驗掌握課堂講解的攻防技術，直接影響學生的學習興趣和對知識的掌握程度。2011年秋季學期開設網絡攻防課程時，學校缺少相應的實驗條件，對于攻防實驗處于摸索期，選用的實驗環境是WebGoat。WebGoat是一個免費的Web漏洞測試平臺，對于Web安全來說是一個比較理想的實驗環境[6]。實踐中，我們主要對XSS腳本攻擊、Web訪問控制、Web的線程安全、隱藏字段、弱會話cookie、Sql盲注、失效的HTML注釋等進行實驗，訓練學生掌握Web滲透與防護技術。隨著對網絡攻防課程的不斷建設，我們在2012的實驗中增加了Back Track（現在已經發展成為一個獨立的操作系統，稱為Kali Linux）實驗，包括端口掃描、漏洞利用、拒絕服務攻擊、無線局域網口令破解、緩沖區溢出等實驗。2013年秋季學期，學校引進了商業版本的網絡信息安全實踐教學平臺，實驗內容更加豐富，實驗過程更加簡便，這給網絡安全實踐教學帶來了極大的便利。結合教學大綱的修訂，課程實驗選用信息收集、口令破解、Web安全、網絡竊聽、日志分析與清除、安全策略、惡意代碼、緩沖區溢出、逆向工程等實驗模塊。截至目前，理論教學與實踐教學主要圍繞上述實驗模塊展開，重點培養學生的Web滲透測試與逆向分析能力。

2.4 以賽促教的評價模式

信息技術革命推動了網絡應用的巨大發展，而網絡應用的正常運轉需要大量的網絡安全技術人才。全國各地逐漸興起了各類網絡安全技能大賽，以賽促教、以賽促學的教學模式日漸成型。限于本校的學科力量，濟南大學主要關注“山東省大學生網絡安全技能大賽”，該賽事由共青團山東省委員會、山東省互聯網信息辦公室、山東省經濟和信息化委員會、山東省教育廳、山東省公安廳、山東省國家安全廳、山東省通信管理局、山東省學生聯合會共同發起，山東省信息化協會主辦，至今已經成功舉辦了6屆。我們從第二屆比賽開始參與，截至目前已經連續參加了5屆，而且在大賽中保持了較好的成績。較好的賽績對于營造良好的教學氛圍、激發學生的學習興趣、促進學生的就業都起到了良好的作用。

3 結語

網絡攻防課程作為濟南大學網絡工程專業網絡安全方向的核心課程，是網絡工程專業的方向必修課。經過6年的教學實踐，3次教學大綱的修訂，3次教學內容的改進，3次實驗內容的改革，逐漸形成了以賽促教、以賽促學、賽教結合特色課程。每年有大約10%～15%的畢業生選擇了網絡安全工作崗位，進入國家相關部門和網絡安全公司從事專門的網絡安全工作。

隨著社會對網絡安全人才的不斷增加，本校對于網絡安全專業建設的投入也在加大，計劃在原有網絡安全課程群建設的基礎上申請網絡空間安全專業，設置更加豐富的網絡安全知識體系，培養更多的網絡安全技術人才，服務山東地方經濟發展。