面向应用的信息安全及实践课程建设与改革

李红灵

（云南大学 信息学院，云南 昆明 650091）

面向应用的信息安全及实践课程建设与改革

李红灵

（云南大学 信息学院，云南 昆明 650091）

分析目前信息安全领域存在应用开发中信息安全被重视程度不够、系统管理员缺乏安全意识、教学以理论讲授为主3个方面的问题，提出面向应用的信息安全及实践课程建设与改革目标和解决的主要问题，探讨从教学模式、教学内容、教学环节、教学平台的改革和调整4个方面开展研究和实施教学，以满足社会对高校信息安全人才培养的要求。

面向应用；信息安全及实践；教学建设；教学改革

0 引 言

在网络深刻影响着人们生活的同时，带给人们的安全问题也如噩梦般挥之不去。2013年爆出的“棱镜门”事件，更让人们清楚地知道，网络中毫无隐私可言[1]。国内的软件开发多侧重软件功能的实现，与之相适应的高校教学计划也大多围绕软件系统的功能设计和实现来展开，因此随着软件系统在各个领域的应用，系统漏洞、病毒、恶意攻击层出不穷。系统管理员缺乏安全意识导致操作不当、信息被泄露和非授权访问时有发生，由于网络协议安全体制缺陷加上很多成熟的攻击工具，这使得当前的各种系统安全雪上加霜。从2001年开始，国内大部分高校开设信息安全的相关课程[1]，主要以理论讲授为主，相应的教材也以理论叙述为主，这样培养的学生只会纸上谈兵，面向实际问题无从下手，进入社会后根本不能满足企事业单位安全岗位的需求。

1 课程建设与改革目标

1.1 信息安全的理论学习

在学生已有计算机网络等相关专业课程知识的基础上，通过信息安全及实践课程的理论教学，让学生学习并掌握安全领域中所涉及的密码编码工具、用户认证、访问控制、数据库安全、入侵检测、恶意软件、拒绝服务攻击、防火墙与入侵防护系统、可信计算等核心理论和技术[2]。

1.2 信息安全的实践活动

结合理论学习，通过实验训练，让学生熟悉并掌握实验环境搭建、加密解密应用、口令攻防、访问控制、数据库安全、扫描与嗅探、主机漏洞扫描与安全加固、恶意软件检测、网络安全与攻防、应用安全、系统及数据安全[2]等12类28个真正面向实际和应用的攻击手段和防御手法，有利于计算机类学生直接向普通安全测试人员迈进。

1.3 信息安全的意识培养

培养学生在软件开发、系统设计和实现、系统管理中的安全意识，使得学生将来在系统开发中不仅能满足于系统功能的实现，而且把系统的安全性能的实现放在重要的位置加以考虑，使得系统的功能性、安全性、可靠性、健壮性同时得到保障。

2 解决的主要问题

2.1 理论内容的合理组织和安排

安全不仅涉及计算机安全、网络安全、信息安全，而且还涉及物理的安全、人的安全和管理的安全，因此是一门集计算机、网络、信息、数学、社会学、法律、道德等多门学科的综合性学科。正因其具有的特殊性，信息安全这一领域的技术发展快、更新快，知识内容繁杂、涉及面广，理论教学如何从这一知识体系中抽取核心的理论和技术，同时兼顾技术的发展、更新和其他的非技术问题，必须经过反复学习、不断实践、认真思考和总结才能解决好。

2.2 实验内容的难易、取舍、时序和实验环境的配合

实验的安排不仅要考虑知识的时序性，同时要把握实现的难易程度，既要让学生能在短时间内完成，又要不断吸引他们的学习兴趣，内容的取舍也就非常关键。实验中最难解决的问题是实验环境的配合，为了完成一些攻防实验，所使用的软件及系统本身就必须有漏洞、病毒、木马等，而这些恶意软件对系统的破坏程度往往是很难预见的，因此几乎每个实验都必须有应急方案，在保证达到实验目的和效果的同时，还必须保证事后公共机房设备环境和系统的正确还原，这需要经过大量的反复实验才能很好地解决。

2.3 如何保持学习兴趣的持续性？保证安全意识的培养和能力的提升

由于知识面广、涉及技术多，学生开始学习时面临的困难多，容易产生放弃的念头。在后期的深入学习中很难找到合适的切入点，加上国内合适的参考资料不多，碰到困难时也很难找到合适的解决办法，容易丧失深入研究的兴趣。这一现象在笔者带过的本科生中尤其突出，最后他们宁可选择容易实现的系统完成论文撰写，而研究生中也为数不少，因此如何保持学生的学习兴趣，使其不断扩大视野，积累经验，深入研究，这是教师必须思考的问题。

3 课题总体设计

3.1 研究思路

3.1.1 教学模式

抛弃大部分高校信息安全相关课程以理论讲授为主的教学模式，实现面向应用的以理论知识学习为基础、以实验项目操作为目的的理论结合实际的课程教学。在保证核心理论和技术学习的同时，兼顾新知识和新技术的学习，这样既能激发学生兴趣，又具有很强的实用性。

3.1.2 教学内容

在核心理论学习的同时，配合12类28个真正面向实际的安全攻防实践，采用虚拟技术和实际环境共同搭建信息安全攻防实训平台，为学生提供多种多样的安全攻防实验，体验不同的角色，培养学生探究问题的能力，同时解决高校教师的业务能力与行业需求存在较大差距的问题。

3.1.3 教学环节

通过核心理论学习和实验室各种攻防实训，增加到网络与信息中心等地实习的环节，让学生有机会接触工作实际，让他们在理论学习、虚拟攻防实训和工作实际中不断积累经验，帮助计算机类的学生直接向普通安全测试人员迈进。

3.1.4 教学平台

采用虚拟技术与实际环境结合等多种形式为学生提供多种攻防实验平台。在每个教学环节中，引入新技术、新知识的学习和应用，开阔学生视野、积累经验，激发学生学习的兴趣和深入探究知识的欲望，使学生的学习从被动接受变为主动探究。

3.2 教学实施

3.2.1 理论教学

调整、充实和完善前期讲授的理论知识。在前期讲授的核心理论和技术的基础上，根据需要补充软件安全、P2P网络安全、物联网完全、移动互联网与个人信息安全、互联网+时代的信息安全5个方面的内容。

3.2.2 实训安排

利用虚拟技术和实际环境组织和安排完成12类28个实际攻防实验，包括VMWare虚拟机、靶机中建立VPN、攻击机BackTrack5、协议分析工具Wireshark、加密解密PGP的使用、口令攻击、社会工程学字典工具CUPP的使用、自主和基于角色的访问控制实践、Oracle 数据库安全实践、MD5加密敏感信息、X-Scan扫描主机隐患、主机加固、Shadow Security Scanner系统安全扫描、nmap系统安全扫描、轻量级入侵检测Snort、360安全卫士、木马攻防技术、IPtables防火墙配置与使用、傲盾DDOS防火墙配置与使用、WIFI攻防、ARP欺骗攻击与防御、网站脚本入侵与防范、QQ账号与电子邮件安全、网络支付工具的安全防护、系统和数据的备份与恢复[35]等近60学时的课内外攻防实验。

3.2.3 环境搭建

充分利用学院、网络与信息中心已有的防火墙、防病毒系统、邮件过滤网关、负载均衡器、协议分析仪等各种安全设备开展教学。培养部分对信息安全感兴趣的学生继续开展各种攻防实践的探索、信息安全软件开发或研究，为当今和将来储备信息安全类人才。

4 结 语

如今，互联网+正以跨界融合、创新驱动、开放生态、连接一切等特性影响和改变所有行业的管理模式、运行模式。互联网+时代的信息安全正面临着各种挑战和机遇，也正与各个行业融合：安全加电子商务叫电商安全，安全加物联网叫物联网安全，安全加云计算叫云计算安全[1]。因此，高校必须积极应对这些挑战，才能为学生获得更多机遇。面向应用的信息安全及实践课程建设与改革就是在这样的时代背景下的一种改革尝试，希望通过这样的改革，缩短教师的业务能力与行业需求之间的差距，使学生在经过一段时间的系统开发训练后完成软件开发人员向系统分析、系统架构、安全分析和测试人员的华丽转身。

[1] 刘旸, 韩瑜,孙亮编.信息安全攻防实用教程[M]. 北京: 机械工业出版社, 2014: 前言.

[2] William S, Lawrie B.计算机安全原理与实践[M]. 贾春福, 刘春波, 高敏芬, 等译. 北京: 机械工业出版社, 2008: 4-232.

[3] 诸葛建伟. 网络攻防技术与实践[M]. 北京: 电子工业出版社, 2013: 47-509.

[4] Chris S. Wireshark数据包分析实战[M]. 诸葛建伟, 陈霖, 许伟林, 译. 北京: 人民邮电出版社, 2013: 1-256.

[5] 王叶编. 黑客攻防大全[M]. 北京: 机械工业出版社, 2015.

（编辑：郭田珍）

1672-5913(2017)02-0022-03

G642

李红灵，女，副教授，研究方向为计算机网络、信息安全，Honglingli66@126.com。