本科信息安全教學研究最新進展綜述

黃達明 仲盛

0 引言

信息技術已經成為日常生活和社會運轉的一部分,移動計算被應用到商業、醫療、軍事和教育等諸多領域,物聯網的廣泛建設也使得我們進入萬物互聯的時代．安全和隱私保護對于所有的信息技術系統和服務都非常關鍵,但是全球不斷出現的有關信息系統和網絡的安全攻擊和脆弱性事件數量不斷上升,提醒我們面臨的信息安全形勢其實非常嚴峻.

在現代人使用信息技術如此普遍的情況下,缺少經過良好信息安全教育和訓練的人員是導致安全問題頻發的主要因素之一,因為信息系統的設計、開發、維護和使用都是由不同角色的人來實施的．應用的多樣化使得對軟件開發者的要求也越來越高,如果開發者沒有受過信息安全方面的訓練,那么他們在防止安全問題例如脆弱性時會面臨困難．而負責運維的專業人員和使用系統終端的用戶如果不具備足夠的安全教育和訓練,也會導致信息系統和自身處于風險之中．因此,目前學術界、工業界、政府部門和軍方對于受過良好教育和訓練的安全人員的需求越來越迫切,而這需要相關高校進行專門投入的信息安全教育才能滿足.

傳統意義上,很多高校都開設了各種層次和不同形式的信息安全課程,但是這很難滿足快速發展的信息安全形勢對信息安全人才的需求．文獻[1]給出了美國佐治亞州大學系統中所提供的網絡安全相關的學位/認證項目情況,包括該州所有大學能提供的網絡安全相關的博士、碩士和學士學位,以及第二學位及證書項目等,并調研了畢業生的情況,調查結果表明即使有這么多學位課程項目存在,仍然不能提供足夠多的網絡安全相關畢業生來滿足網絡安全方面的工作需求.

本文對本科信息安全教學近些年的研究現狀進行了調研和綜述,因為本科信息安全教學是整個信息安全教學體系中最重要的一環,它除了能夠滿足各行各業對安全專業人員以及具備安全技能的人才需求外,也可以為信息安全領域的專業研究提供具有堅實理論和足夠技能的人才基礎.

1 本科信息安全教學的困難和要解決的問題

信息安全教學是計算機科學教學中最具挑戰性的任務,因為需要成功地將抽象概念和實際應用結合起來[2]．信息安全知識的理解和掌握需要很多其他課程甚至學科的理論和實踐基礎,包括程序設計語言、計算機網絡、操作系統、數據庫系統、軟件工程、計算機體系結構、Web程序設計等計算機科學和工程方面的知識,以及數學、概論統計等基礎[3]．此外,因為是由大量動態的因素造成了安全威脅,所以解決安全挑戰所需的認知結構需要不斷地增強和發展[4].

完成信息安全課程的構建和實施有效的信息安全教學,需要考慮和解決以下問題.

1.1 學習者的定位、教學目標的設定和課程體系的確定

課程的學習者群體不同,教學目標的設定不同,面臨的困難也不一樣.

計算機科學和信息技術相關專業的信息安全教學對象往往是具有一定技術基礎的學生,而教學培養目標是信息安全領域未來的科學家、業界的信息安全專家、具有安全思維的信息系統開發者等,因此課程的構建往往不是一門信息安全課程,而是一個課程體系,甚至是學位課程體系.

面向所有專業的普適信息安全教學,學習者可能來自不同的專業,學習的基礎、興趣和主動性以及學習投入都會相差非常大,教學培養目標是具有信息安全技能和素養的各領域人才,課程的構建往往是一門綜合性質的信息安全課程,或者是可以融入其他課程的信息安全教學模塊.

1.2 課程教學內容的構建

如前所述,課程教學內容的建設需要結合學習者定位和教學目標來進行,因此不同的學校需要采取不同的策略.

從課程內容來說,需要從眾多的信息安全研究主題中選擇出符合教學目標的信息安全主題子集,并構建成具有清晰內部邏輯聯系的有機整體,這項工作對課程構建者具有較高的要求．此外,現有的一些課程中,由于各方面的限制,課程內容的具體性和實踐性可能都不夠,例如文獻[5]指出,雖然隱私基礎知識的重要性在顯著增長,但是在此領域的教學研究前期并沒有提供具體的內容,因此需要完善、細化和充實具體的主題內容.

當努力構建信息安全課程后,面臨的困難還包括課程內容很容易過時的問題．因為新的攻擊方法和相應的應對技術在對抗中不斷快速向前發展,因此信息安全教學還需要考慮提供好的方法或者工具,來幫助學生在課程學習結束后,能夠通過積極主動的努力自學跟上新的網絡安全形勢.

1.3 教學形式和方法的選擇

如果想達到良好的教學效果,需要根據教學培養目標、課程內容和學習者情況采取合適的教學形式,例如是面對面教室教學還是MOOC這樣的遠程教學.

當確定教學方式后,需要根據教學內容選擇能盡量幫助學生快速掌握相關內容,同時又具有較高知識保留度的教學方法．教學方法的選擇還需要盡可能地考慮到學生個體的不同,讓學生主動以研究者角色投入學習．可以考慮根據信息安全教學的特點,結合其他學科的研究結果來選擇和構造教學方法.

教學方法對于激發學生的學習動機非常重要[6]．在信息安全知識學習中,一方面是現實世界中安全形勢對學習者帶來的迫切壓力,另一方面是信息安全學習對于堅實理論基礎的要求和未來實踐對于實際技能的掌握要求所形成的困難．對于學習者來說,動機的提升在整個學習中的重要性是無容置疑的.

此外,教學方式和教學方法的選擇還與學校、院系和教師個人所能夠獲得的資源有很大關系.

1.4 課程實驗的建設

傳統的信息安全課程實驗主要目標是使得學生不僅能夠理解遇到的信息安全問題背后所蘊含和涉及的理論和技術,還需要具有應用這些理論知識的能力,從而能夠進行設計、開發和實現創新解決方案,這種能力可以體現在不同粒度和層次的信息安全問題解決上．課程實驗的建設分為兩個子問題:實驗環境的構建和實驗作業的構造.

文獻[7]給出了網絡安全實驗室的理想構造指南,具體的建議包括:1)實驗室計算機必須連接到因特網從而可以下載所需的工具和訪問在線信息;2)實驗室計算機必須和校園網隔離;3)實驗室網絡環境應該盡可能符合實際,從而能夠開展絕大多數流行和已知的信息安全練習;4)實驗室必須以方便進行管理、分配以及從復雜性不一的不同作業進行擴展的方式來建設;5)實驗室應該有足夠的IT教師和技術人員來提供維護和解決問題;6)實驗室應該能夠使得本地和遠程學生都方便使用.

對于專業教學來說,因為有足夠的軟硬件資源、經費和教師的支持,因此構建這樣的實驗室環境是一個建設目標．但是對于非專業教學來說,資源不足以構建這樣高要求的環境,因此需要結合教學目標和教學內容,構建安全程度足夠同時又有助于學生動手實踐的教學環境.

實驗作業需要結合每個教學主題精心構造,應該包括指南資料、作業和評估方法等,作業設計應該考慮讓絕大多數學生都可以動手實踐但是又具有一定的挑戰性,同時需要防止作弊．實驗作業的構建需要耗費教師非常多的精力,因此在后續的內容中可以看到有一些結合實際情況有效利用現有資源的構造方法.

1.5 教師的角色和作用

信息安全教學對教師的要求也很高,除了克服課程構建中的重重困難外,在教學過程中,教師還需要能夠在不同的教學階段承擔不同的任務,例如文獻[3]所提到的很好的示范:

1)在課程準備階段,教師設計和修改教學方案和課件;

2)在課程講授階段,教師以引人入勝的方式講解必備的理論知識,演示傳授相關的安全技能;

3)在課程實踐執行階段,教師扮演教練和引導者的角色,為學生提供指導建議和技術支持;

4)教師也扮演研究者角色,觀察、記錄每個學生的行為和貢獻,同時使用量化指標來評估每個學生的學習效果和產出,并及時反饋以改進學生的學習路徑.

2 信息安全重要性與信息安全教育地位的不足

盡管信息安全的重要性在世界各國政府的最新政策中都能清晰無誤地體現,但是在各個學校的實際教學體系中并沒有得到與之相稱的地位,這是因為信息安全在信息系統服務于社會的整個生命周期中往往是作為反思存在的.

Zatko[8]重新思考了信息安全在本科教育中的地位和角色．一門科目是如何被教學的,將影響學生如何進行思考,盡管信息安全已經被納入幾乎所有的計算機科學課程體系,但是現階段信息安全教學中體現的仍然是“安全也是一種反思”．因此程序員在設計和開發過程中不會一開始就將安全納入考慮,最終會導致具有脆弱性的系統;運維人員和用戶也是在發生安全問題的時候才會想到應用信息安全知識和技能．Zatko[8]為了分析信息安全教學在美國各大學計算機學科教學中的地位,通過郵件調查的方式,希望通過由系主任們打分來判斷信息安全在計算機科學所有課程中的地位、信息安全課程到底是理論性的還是應用性的,以及目前的教學形式是獨立課程進行還是集成到其他課程中進行．根據最終收到的33個不同大學的系主任們的回復,Zatko[8]得出的結論是:在系主任們的認知中,信息安全的重要性與絕大多數計算機科學課程相比排名處于比較低的位置,如圖1所示(每個系主任選出自己認為最重要的5門課程,33人中只有6人選擇了信息安全)．同時,和其他科目相比,系主任們認為信息安全是理論性最強的科目之一,當然，算法和數據結構理論性更強一些．但是信息安全是對理論投入實踐的要求其實非常高,否則是不能滿足學生們未來職業生涯中保障信息安全的實踐能力需求的．此外,還有一個問題是,并不是所有的計算機科學教授都能理解他們領域的安全問題.

這樣的情況顯然是不能與目前嚴峻的信息安全形勢和整個社會對信息安全專業人士的需求相匹配的．Zatko[8]希望可以通過立法來促使教育領域將信息安全納入計算機科學各個領域的教學.

在現代信息社會中,人們幾乎在任何時刻任何地點以不同的方式在使用著信息技術．在導致信息安全問題的因素中,最主要的是沒有能夠對使用信息系統的人進行正確和足夠的信息安全教育．因此,信息安全教育不僅僅是信息技術相關專業需要進行,其他所有專業都應該給予足夠的重視．和計算思維教育的推進一樣,信息安全教育的目標應該是讓學習者最終形成“安全思維”[4]．這包括深入的技術思考能力、識別復雜和緊急行為并做出反應的能力、掌握使用抽象和原則的能力、評估風險和掌控不確定性的能力、問題求解和推理能力以及反向思考的能力.

3 課程建設和教學內容研究

信息安全課程的建設需要由各個學校根據自己對學生的培養目標、現有的課程體系和社會對學校的需求綜合指定,所以可以是一個完整的學位課程體系,也可以是若干門課程構成的課程群,以及一門概論性質的獨立課程,或者以模塊化的方式融入計算機科學教學體系的其他課程中．下面分類介紹近期主要的一些代表性的工作及其教學研究思路.

3.1 信息安全學位課程體系的建設

德國呂貝克大學建立了一個新的信息技術安全學位程序[9]．這個學位程序依托大學和研究所的信息安全研究領域的力量,可以滿足德國國內和國際上對安全專家培養的需求．該學位程序的信息安全教學目標包括:使學生獲得相關的專業技能,從而能夠使用合適的工具分析和解決security、safety和可靠性方面的問題．學生要具備深厚的信息安全專業知識,能夠理解安全威脅,并可以在信息系統的不同層次上對抗和消除安全威脅,并使得學生能夠在系統設計中就考慮和集成安全．學生還應該具備足夠的基礎理論知識,從而可以理解和處理未來的安全挑戰.

這是一個根植于計算機科學的學士學位課程體系,學分分配上大約40%的課程學分是核心計算機科學課程,16%是數學課程,37%是安全相關課程,7%是自由選擇課程．計算機科學與數學課程的教學目標是讓學生具備足夠的抽象分析、結構化和形式化刻畫問題的能力．同時堅實的軟件開發技能在保證系統安全可靠方面和理論知識一樣重要.

3.2 數門課程構建的信息安全課程群

斯洛文尼亞馬里博爾大學電子工程和計算機科學的教師們在其博洛尼亞學習程序中構建了由幾門信息安全相關的課程組成的課程群[10]．在博洛尼亞程序第一層次,構建的課程是“信息和通信技術安全”,對學生介紹網絡安全的概貌以及對于信息技術的重要性．在博洛尼亞程序第二層次,以模塊化的方式構建“信息系統安全和安全管理”課程系列,包括“高級信息安全”、“數據保護”和“信息系統的可靠性和測試”三門課程.

3.3 單獨一門課程的信息安全概論課程建設

印度加爾各答的賈達沃普爾大學給出了有關建設“信息安全”課程的工作[11]．該課程的受眾是本科生和一年級研究生,課程提供了對于進一步學習信息安全以及在此領域內進行研究所需的基本知識的細節化概述．主要的模塊包括:1)信息安全的定義和概念;2)安全策略和保障;3)安全訪問控制;4)信息安全缺口和漏洞分析;5)信息安全最佳實踐(各種安全標準);6)信息安全度量;7)信息安全風險管理;8)密碼學原理;9)信息安全技術.

3.4 將信息安全模塊化融入計算機科學課程教學體系

美國德州農機大學的工作將信息安全內容按照網絡安全概念和方法構造成獨立的模塊化的方式,可以被使用在不同級別的課程中,包括大學本科的各個年級、社區學院的聯合學位,甚至高中課程中[12]．每個模塊都可以被獨立使用,包括模塊描述和解釋、幻燈片、實驗室練習、實驗室解答以及評估練習．這使得外部的教師可以不需要額外準備就在自己的課程中使用這些模塊.

該課程內容建設的主要目標包括:1)為8門計算機科學課程開發信息安全模塊的課程大綱和教學材料模塊,從計算機科學的第一門課程開始,直到高級水平的課程;2)開發相應的能實際動手操作的代碼模塊系列,從最簡單的概念開始,直到高級概念,保證學生能夠通過實際編碼實現對信息安全概念的理解、測試代碼以及回答練習問題來獲得對概念的深入理解.

最終41個不同的信息安全主題模塊在該項目中被開發出來,這種新型的跨越課程大綱的信息安全教學方法可以滿足美國對于受過教育的網絡安全專業人士的培養需求.

3.5 結合MOOC的大規模信息安全教育工作

美國北卡羅萊納州立大學的研究者進行了一個校園版本的信息安全課程的MOOC化建設實踐,從以下課程元素進行了兩者的對比:面對面講座、在線視頻講座、其他在線內容、具有自動反饋的在線測驗、小組項目、動手作業和練習、作業互評、面對面討論和問題回答、在線討論和問題回答、學生自我控制．進而通過比較學習者統計信息、學習動機以及學生學習產出等因素,最終目標是實現面向大規模教育的軟件安全課程構建[13].

3.6 結合信息安全認證的課程體系建設

美國La Salle大學的研究者覺得工作市場對于信息安全證書看得很重,因此證書需要緊密地和信息安全課程綁定在一起,該工作為本科生設計了一個新的信息安全課程[14]．首先,該課程以安全視野將覆蓋的話題組織起來并實現理論和實踐之間的平衡;其次,引入一些內嵌的模塊來主動保持所覆蓋的話題能夠跟上最新的發展;然后,開發了同等重要的強調攻擊和防御技能的一組實驗,從而可以提升學生的興趣并激勵學生關鍵性的思考,同時解決相關的法律和道德問題;最后,將信息安全等級認證中關鍵的知識集加入課程中從而幫助學生獲得安全證書.

3.7 信息安全獨立子方向的課程建設

美國加州大學伯克利分校的研究者為了對公眾進行在線隱私問題教育花費2年時間構建了隱私教學項目課程[5]．課程目標是使得學生具有足夠的信息來指導他們做出有關在線隱私的明智選擇.

美國Howard大學的研究者發現很少有人強調對網絡安全事件的學習和分析過程中所涉及的行為問題,引入了一門高年級本科生課程來彌補這方面的不足,稱為“行為化網絡安全”[15]．該課程的目標在于:為了應對誠實用戶的粗心行為,以及黑客的聰明但是惡意的行為,網絡安全專家和學生必須對動機、人格、行為以及其他主要在心理學或行為科學中研究的理論進行一些了解和掌握.

3.8 數據科學融入信息安全教學

近年以來,越來越多的研究者應用數據科學技術來解決安全領域的挑戰,包括使用機器學習、統計學習、數據挖掘和自然語言處理技術來應對入侵檢測、惡意代碼檢測、釣魚和拒絕服務攻擊等復雜的安全挑戰．美國德州休斯敦大學的研究者總結了安全領域對數據科學技術的迫切需求,突出了適合于安全領域的關鍵的數據科學方法及其應用,開設了“安全分析學”課程[16].

該課程以模塊形式組織,具有4個模塊:安全基礎、用于安全的非監督學習技術、用于安全的監督學習技術,以及用于安全的自然語言處理.

1)安全基礎模塊介紹安全的目標和機制、惡意軟件、入侵檢測、Web安全、密碼安全、郵件安全、移動安全以及系統管理基礎．目標是覆蓋基本的安全概念,還包括數據預處理和可視化等內容.

2)非監督學習模塊,將學習關聯規則挖掘和聚類在信息安全事件中的分析應用.

3)監督學習模塊,由安全領域的獨特需求驅動,將強調異常檢測技術、單類別學習、半監督學習、代價敏感學習、在線學習以及這些技術如何用來應對安全挑戰.

4)自然語言處理模塊中,強調提升魯棒性的技術,以及非靜態的HMMs.

文獻[16]也向學生介紹對抗性機器學習,盡管該技術仍然處于幼兒期．每個模塊都設置一個課前測試、課后測試、小測驗以及作業．學生必須完成一個項目,在項目中需要應用和調整至少兩種數據科學技術來解決信息安全問題.

4 教學方法研究

4.1 基于主動式體驗學習的信息安全教學方法

日本九州大學等單位在物聯網安全教育中采用了基于主動式體驗學習的信息安全教學方法[17]．課程基于ADDIE(分析、設計、開發、實現、評估)模型進行設計.

體驗式學習組的教學設計研究接受了學習金字塔理論,圖2給出了這個理論的基本思想,說明每種教學方法在課程結束以后學生的知識保留率,被動式學習方法中講座只有5%,閱讀資料方式為10%,使用音頻視頻資料進行學習為20%,通過演示進行教學則達到30%,參與式主動學習方法中分組討論可以達到50%,實踐練習達到75%,而通過教會其他人的方式則能夠達到90%,因此參與式主動學習方法更加有效[17]．九州大學在教學中采用了分組討論和實踐練習等主動參與式學習方法,通過設置每次課程的前置測試和課后的后置測試,以及每次課程結束后1個月左右的延遲測試,表明主動參與式學習方法在知識保留率上確實是高于對照組的傳統被動式學習教學方法的．因此對于信息安全教學來說,主動式學習方法是一個好的選擇．不過這種方法對于需要投入的教學資源要求也比較高,九州大學的這個教學研究工作因為只有1個教師和1個助教,因此限制學生人數為10人左右.

4.2 基于競賽和對抗的教學方法

希臘空軍學院的研究工作使用基于競賽的學習方案來進行信息安全基本概念的教學[3]．通過將學生分成A(攻擊方)和B(防御方)兩組,每隔一個星期,以兩組角色互換的方式進行基于競賽的教學．課程結束后學生都報告覺得實驗很有趣并且很有挑戰性．基于信息安全本質上就是攻防對抗的科學,因此在信息安全教學中引入競賽和對抗的方法是很自然的選擇,很多教學工作也采取了這種方式[9,18].

4.3 游戲化教學方法

在信息安全的教學中,游戲化方法是一個增進學生學習動力的好方法．游戲化的目的是提高學生的學習興趣、增加學生的課程參與度,因此需要讓學生能夠玩得起來,這就需要考慮對于參與者的信息安全水平和經驗不能有太多限制,游戲開動的時間、地點也不能限制得太死,還需要能夠不斷“升級”,以將最新的脆弱性、攻擊模式和解決方案等信息更新到游戲中,從而可以讓游戲玩家能夠跟上信息安全形勢的發展.

挪威的研究者開發了一個單人塔防游戲,塔防游戲的概念如防御、基地和敵人等可以與信息安全中的防御、資產和攻擊等直接類比．這個游戲是由數據驅動的,可以周期性地自動從在線安全相關來源提取數據,游戲設計成客戶機-服務器模式,服務器端每24小時更新資產、攻擊模式和防御模式等信息[18].

文獻[6]給出了研究如何使用游戲化方法改進網絡安全管理教學的經驗．課程游戲化教學是通過每天給學生通過郵件發送技術問題,然后根據得分排名來實現的．排名是在線公開的,學生可以查看自己的排位．學生覺得很享受這種方式,覺得每天答題可以幫助他們測試自己對知識的掌握程度,復習并更深入地思考學到的內容．他們期待每天收到問題,通過挑戰的刺激來增強學習的動力,幫助他們更有計劃地學習,而不會將任務留到學期結束,因此可以更有效率地組織學習時間．課后調查表明絕大多數同學認為這可以改進他們的學習習慣.

日本的研究者嘗試使用KIPS(卡巴斯基工業保護模擬)來給大學生進行運營安全教育[19]．KIPS是一個基于游戲化理論的安全訓練游戲,用于在短時間內以快樂的方式幫助學習重要基礎設施中的網絡安全基礎．該工作的結果表明，通過使用像KIPS這樣基于場景的教學材料,個性化教學指南變得容易了,并且對安全教學材料的改進也比較有效率.

4.4 可視化教學手段的使用

美國密歇根理工大學等三所大學的合作研究給出了RBACvisual[20]和UNIXvisual[21]這樣的可視化工具演示訪問控制過程中每一步是如何決策的,幫助信息安全教學．通過可視化工具的幫助,學生無需花費時間學習一門安全規格說明語言就可以實踐安全策略設計,指導教師也可以使用該工具在上課時討論復雜的案例并很容易地演示策略修改后的效果.

4.5 利用學生可以接觸的設備和服務改進信息安全教學

美國佛羅里達農機大學的研究者給出了將移動設備集成到信息安全教學中的方法[22],鼓勵學生關注智能手機惡意代碼和安全話題相關的報刊新聞或技術新聞,并讓學生完成下述類型的作業:1)你為何選擇移動設備的話題?2)你選擇的文章中討論的話題是如何與基本的移動安全目標相關的——機密性、完整性、可用性?3)文章中討論的話題對于全球或社會的影響是怎樣的?課程實踐證明大多數學生都樂于完成這些作業.

美國海軍學院等單位在新生的一門必修網絡安全引論課程中使用校園網中學生經常接觸的消息留言板作為工具來教授網絡安全中的一些重要概念[23],例如:驗證和cookies、跨站腳本攻擊和注入攻擊、公鑰加密中的中間人攻擊、密碼選擇和密碼文件管理等．這個工作有點類似于網絡安全教學中常使用的奪旗練習,從學生學習角度看這個工具效果很好.

4.6 基于案例研究的教學方法

美國威斯康星大學使用一個跨越整個學期的縱向案例研究[24],這樣可以保持整個學習環境的穩定,而不用每周切換．同時,學生能夠看到并理解一個安全的系統中,信息安全是如何由網絡安全、物理安全和事件反應以及其他一些內容構成的．該案例研究可以使用在3學分的信息安全課程,用于高級別的計算機科學和管理信息系統專業本科生和研究生,以及2學分的MBA課程,甚至1學分的歐洲的國際暑期學校短課程.

上海第二工業大學的研究者將2種無證書簽名模式的安全分析作為教學案例,展示了如何進行安全分析,從而在不需要簽名者私鑰的情況下偽造一個合法的無證書簽名,進而作為改進,給出了一些克服現有問題的簡單思路[25]．通過案例教學,教師可以更加清晰地解釋無證書簽名模式的概念,學生也可以更快和更容易地掌握相關內容.

美國密西根理工大學給出了一個使用新穎的自上而下案例驅動的教學模型來重組網絡安全教學的方法[26]．教學設計中,從現實世界的網絡安全攻擊事件開始,通過向學生從開始到結束完整的分析整個事件,從而以事件驅動的方式讓學生理解這些攻擊是如何進行的．在案例分析的過程中,這些攻擊事件涉及的不同的網絡安全方面的信息安全話題被以自上而下的方式組織起來,通過教師指導下的班級內討論、精心選擇的閱讀材料和動手實踐的實驗作業,從而達到良好的學習效果．這種新的模型可以使用實際生活中的案例吸引學生的注意力和興趣,而興趣是最好的老師．也可以幫助教師從廣泛的范圍內選擇重要而時新的安全話題，進而改進學生的學習產出,特別在于能夠幫助學生獲得網絡安全的整體系統視圖.

4.7 基于反轉課堂的教學方法

解放軍陸軍工程大學的研究者認為信息安全教學面對的學生的基礎水平相差巨大,大多數學生剛離開高中,僅僅具有一些使用簡單的操作系統、Office軟件和常用工具的能力,而另一些學生掌握了編程、數據結構、數據庫等計算機知識．由于基礎不同,學生的學習興趣也不一致．而反轉課堂可以應用于信息系統安全教育,通過將教為中心轉換為學為中心,追求形式和內容之間的交互,以及重構評估方法,學生將從被動的接受者轉為積極的研究者[27].

4.8 學習風格自適應性在遠程信息安全教學中的應用

英國伯明翰大學等單位的研究者開發了一個能夠提供更多個性化和自適應學習的遠程學習系統[2],可以根據學習者個體的學習風格產生個性化順序的學習材料.

學習風格被定義為“作為相當穩定的指示器來說明學習者如何理解學習環境、與學習環境交互以及進行響應的特征識別、影響以及心理行為”．基于信息理解風格的自適應方法可以為感覺型學生和直覺型學生生成不同的學習路徑．感覺型學生首先學習具體的學習目標,然后和抽象的學習目標交互,也就是例子和實踐活動應該首先給出,然后才是概念和數學模型．而直覺型學生是從抽象到具體．如圖3所示[2].

4.9 神經認知研究在信息安全教學中的應用

文獻[4]的工作表明神經認知研究在網絡安全教育領域也很有應用研究機會．研究心理表達和學習產出之間的關系將會是很有價值的貢獻．另一個有趣的方向是模糊性/歧義、神經活動以及創造性之間的交叉．大腦不喜歡不確定性,但是不成熟的決定和不確定性會導致天真和不完全的解決方案．創造性地納入模糊性可以為網絡安全思維做出有價值的貢獻.

5 課程實驗建設

在信息安全的教學中,由于未來工作中對實際安全技能的要求非常高,而信息安全理論只有很好地應用才能發揮實際作用,因此幾乎所有的信息安全課程都需要精心地構建課程實驗讓學生動手實踐,并且這些課程實驗作業一方面要求盡量符合最新的實際信息安全形勢要求,另一方面又需要讓學生能夠順利開展.

5.1 利用計算機專業學生畢業設計項目進行的信息安全課程實驗建設

文獻[28]給出了一個持續多年的計算機專業本科生畢業設計項目,可以為高中和非計算機專業的大學學生提供信息安全課程的動手實踐實驗作業,包括的實驗模塊有跨站腳本、SQL注入、遠程文件包含等．由本科生通過畢業項目構建的包含脆弱性的Web服務器應用,將指導性材料和預裝的虛擬機打包起來,已經被集成到美國軍事學院的一門中級通用教育信息技術課程的多個信息安全模塊中.

脆弱性Web服務器系統由高年級本科生利用他們畢業設計時間不斷迭代進行設計和構造．學生通常由3～6人組成一個小組,并且盡可能地讓不同專業領域的學生構成一個小組．每個項目至少具有一個教師作為導師,學生還可以根據需要來尋找不同領域的導師進行指導．雖然這是多年持續的項目開發,但對于每一屆學生來說并不是重復項目,而是不斷地擴展和改進項目．這樣的構建方式既能夠使得每一屆學生都能夠有很好的畢業設計項目可以進行,也使得學生們畢業設計的成果具有實際應用價值,同時還能夠讓信息安全教學具有不斷跟上時代發展的實驗作業環境和內容.

5.2 獨立進行的信息安全課程實驗建設

美國波士頓大學的研究者給出了一個非常簡單但是擴展性很好的信息安全實驗建設配置[29],將學生放到對手的位置思考,強調穿透性測試中的攻擊性技術,構建了可以用于波士頓大學一個學期的網絡安全課程教學的結構化的實驗作業集．課程實驗介紹基礎性的、流行的穿透性工具,對這些工具的實際使用,以及如何減輕和對抗由這些工具所發起的攻擊,具體內容包括:法律和道德、有關虛擬機、操作系統和工具的介紹、搜索引擎入侵和社會工程學、網絡工具和腳本、網絡攻擊、Metasploit開源漏洞檢測工具、口令破解、入侵檢測．雖然該課程面向的學習者是各個不同專業的學生,學生們的背景差別比較大,但是教師通過清晰的選擇練習和設置指導使得絕大多數學生都能夠進行實踐,課后調查顯示大多數學生覺得作業具有挑戰性.

密歇根理工大學等兩所大學的合作工作也設計了覆蓋廣泛的信息安全原理、思想和技術的信息安全實驗作業,配合使用一些成熟的開源工具,經過虛擬環境的測試并在他們的信息安全課程中使用[30].

德國達姆施塔特工業大學給出了一個交互的數字化學習平臺SecLab[31],學生能夠在沙箱Web環境中學習和理解在不同場景下安全脆弱性是如何被利用的,該系統具有110個新穎的交互式安全和隱私任務.

5.3 基于云計算構建信息安全課程實驗

美國卡耐基梅隆大學等三所大學的研究者合作的工作[7]提出云可以為教師和學生(無論本地還是遠程)提供按需的、可伸縮的、專注的、隔離的、虛擬無限的和易于配置的虛擬機,因此,部署基于云的實驗室相比傳統實驗室具有明顯的優點,能夠克服傳統實驗室在面臨學生數量增加時難以擴展的缺點．該工作推動實現了基于云的網絡安全實驗室,包括了能夠在云環境中應用的常用的安全工具、包和軟件.

5.4 基于IP暗區數據進行信息安全實驗構建

奧地利維也納工業大學和美國加州大學圣地亞戈分校的研究者使用來源于加州大學圣地亞戈分校運行的一個大型IP暗區監控所捕獲的數據構建網絡交通異常檢測方法的網絡安全實驗項目[32]．在給出的實驗中,學生學習面對網絡安全挑戰,搜索和分析可疑的異常網絡交通情況,教師鼓勵學生不斷探索來發現數據中的新現象,并且進行表達和解釋他們的發現．學生將不僅能夠獲得安全相關的技能,還能獲得統計數據分析和數據挖掘技術的知識.

6 結語

本文從信息安全教育的迫切需求切入,圍繞信息安全教學的學科地位、課程建設、教學方式和教學方法選擇、課程實驗構建等幾個方面,對近年來最新的信息安全教學研究成果進行了介紹．信息安全是一個不斷在發展的領域,新的技術在不斷浮現,為了滿足信息化時代整個社會對于信息安全的迫切需求,大學必須承擔起本科信息安全教育的重擔,為社會各界源源不斷地培養理論與技能并重的信息安全專業人才和具有安全思維和技能的各領域人才,因此對于信息安全教學方法的研究將繼續發展,未來的研究方向包括將最新的技術領域例如區塊鏈技術納入教學內容體系,同時構造更加適合信息安全的教學方法.