网络安全基础课程教学中批判性思维能力的培养

李 伟

（新疆大学 信息科学与工程学院，新疆 乌鲁木齐 830046）

关于批判性思维，目前认知心理学对其定义是深思熟虑和建设性的思维过程以及对证据的评价。这一定义实际上包含了两层含义，一是对知识和经验的评价，即任何现成的知识体系都不是一成不变的，其次是关于人的作用，指的是人并不是被动的知识接受者，而是具有主观能动性的主体。

根据批判性思维的内涵，我们就不应该局限于已有知识的束缚，而是要勇于打破常规，去开拓思想的新领域。批判性思维对科学的发展起到了巨大的推动作用，这方面的例子不胜枚举。伽利略正是敢于挑战亚里士多德的权威思想，才创立的自由落体定律，哥白尼敢于对传统宗教的宇宙观进行质疑而提出了宇宙是无限的思想，爱因斯坦敢于对经典力学定律发起挑战，才使其创立了相对论，拓展了人类对自然界的认识。从某种意义上来说，科学发展史就是人们不断挑战权威、打破常规而去创造创新的历史。批判性思维对于一个国家的发展进步也是直观重要的，一个国家和民族不能仅仅局限于其过去的成就，而是必须要不断审视过去开拓进取，为未来去寻找新的发展空间。

虽然批评性思维的重要性不容置疑，但是在实际的课堂教学当中却很难受到重视，学生在基础教育阶段学习的重要目的之一就是为了应对考试，而考试试题的评分是以所谓的标准化答案为依据的，学生为了取得好的成绩就必须要进行大量知识巩固和模仿训练，教师在教学当中也很少去培养学生在评价、质疑和创造方面的能力。进入大学之后虽然情况有所好转，但是应对期末考试仍然是学生的重要任务，考试不及格意味着补考（重修）甚至拿不到学位，毋庸置疑，这样的教学方式对于学生巩固知识、打下牢固的基础是非常有帮助的，但是其负面作用也不容忽视，特别是其严重挫伤了学生学习的主动性，影响了其批判性和创造性思维能力的培养。作者曾经对所在高校的很多大学生学习方式进行过调查，发现很大一部分同学仍然是采用了简单的记忆、背诵等被动的学习方式，而能够主动地问“为什么”的同学比例不多。在此举一个极端的例子，作者曾经教过的一门课程，当时教材上有一处明显的印刷错误，在讲到这部分内容时作者曾经让同学们先阅读教材内容然后思考有什么问题，令人惊讶的是当时全班同学竟然无一人指出教材上的错误。

一、网络安全基础课程的性质和教学中存在的问题

网络安全基础是作者所供职高校信息安全、网络工程本科生的必修课程，其主要目的是让学生系统的掌握当前的网络安全体系结构，熟悉实用的网络安全协议，在此基础上培养学生分析和解决实际问题的能力。课程教学由64学时的理论教学和32学时的实验教学组成，本课程在专业课程体系当中占据重要地位（占据了5个学分）。另外据作者了解，很多计算机、电子、通信等专业的同学也通过各种方式（选修、自学等）学习过本课程。

该课程所选用的教材是由William Stallings所编著的《网络安全基础：应用与标准》，当前所用版本是第五版，本书是网络安全领域的经典教材，系统介绍了密码学基础、网络安全应用以及系统安全方面的基础知识，教材内容丰富，讲述风格清晰，适合课堂教学和学生自学。近几年作者所供职高校的网络安全基础课程一直由本人和另外一名教师来承担，在教学实践当中我们发现，虽然大多数同学通过课程的学习系统了解了网络安全的基本原理和主流技术，但是存在的一些突出问题也不容忽视，主要表现如下。

首先，很多同学仍然采用传统的记忆、模仿等学习方式来学习网络安全知识，甚至有很多同学去记忆网络认证协议的每一个交互步骤，这些学习方式在诸如高等数学、政治、历史等课程的学习中或许能起到一些作用（但作者也不提倡），但是由于网络安全技术的发展非常迅速，利用这样的学习方法来学习网络安全显然是不合适的；

其次，很多同学主要是侧重课本基础知识的学习，而很少有同学在学习课本基础知识后去关注当前网络安全的前沿技术动态；

最后，大多数同学仅仅满足于学会网络安全防御中用的主流技术，能够用现有的工具来部署安全应用的程度，而很少去从深层次审视当前技术的局限性，进而提出更好的实现方案。

笔者认为，造成上述问题的一个重要原因是当前高等学校在教学过程中对学生批判性思维能力的培养不足，如果我们在课堂教学中注重培养学生这方面的能力，试想如果在学完一个安全协议后让同学们去试着分析该协议的不足，这样学生就不可能再去死记硬背课本知识，并积极地去关注技术的最新进展，从而就会自觉地增强学习的积极性和主动性，使教学工作达到事半功倍的效果。

二、网络安全基础课程教学中批判性思维培养的必要性

在传统教育中，学生一直被老师教导要认真学好课本知识，久而久之学生就会形成一种思维定势，那就是课本上的知识就是权威，很少去对课本的知识进行怀疑。大学中大多数的课程也是如此，如高等数学等基础课程，学生的任务就是把基本定理、公式搞明白，然后加以灵活运用，而这些定理、公式是经过严格证明的，其正确性是毫无疑问的，其它课程情况类似。

网络安全课程跟大多数课程不同，课本中所讲述的内容只是当前所使用的主流技术，这些技术在当前没有发现安全问题，但是不代表这些技术就是绝对安全的，事实上很多曾经被认为是非常安全的防御技术最后都被攻破，如二战时期德国军队的密码机、以前网络安全中常用的MD5函数等，这些内容都曾经是教科书上的经典知识。纵观网络安全技术的发展，其基本上是遵循威胁-防御-破译-加固这一主线的，其中破译就是寻找现有技术的不足和漏洞，只有这样才能发展出更加安全的防御技术，很明显在这里面批判性思维起到了决定性的作用。

所以说，学生在网络安全课程的学习当中，绝对不能把教材上讲的内容当成是绝对正确的，要知道在这个领域内没有绝对的权威，一切都在不断地变化。这就要求学生必须要从批判性思维的角度来进行学习，要发扬不唯书、不唯上、只唯实的精神，在学习一项技术时多问几个为什么，试着去分析该技术是否存在安全漏洞或不足之处，那种纯粹的记忆、模仿等被动学习方式是行不通的。

三、网络安全基础课程教学中批判性思维的培养方法

学生批判性思维能力的培养是一项非常复杂的系统工程，不可能通过一门专业课程的学习就能培养起来，在实际教学当中，笔者针对发现的问题，结合课程的性质在培养学生批判性思维能力方面做了一些尝试，现将一些笔者认为有效的方法进行概述。

首先，在网络安全基础的教学方法上，教师通常遵循“从面到点”的指导理念。在一般课程的教学中，教师通常从具体知识点入手，通过对知识点的讲解进而让同学们把握知识体系的全貌，但是笔者认为这种教学方法并不适合网络安全这类课程，特别是不利于学生批判性思维的培养，因为它容易让同学们一开始就陷入具体的细节问题。在教学中，我们针对课程的特点对教学方法进行了改革，每学期第一节课会先把网络安全的整个技术体系进行介绍，而以后教学中在讲述每一章之前会把本章的知识体系及其应用先进行说明，然后讲解具体内容。比如在讲授Kerberos认证协议之前，笔者会让同学们考虑在校园网当中每个老师、同学等用户的个人信息如何得以确认，此时学生会提出一些自己认为可行的协议，然后我们进一步介绍Kerberos协议就是完成这项任务的一项技术标准，在讲解时先将标准的系统流程图说明清楚，最后讲解具体的协议。在具体讲解过程中学生会将自己设计的协议跟标准协议进行对比，这实际上在潜意识当中培养了学生的批判思维能力。

其次，要注重培养学生提出问题的能力。在基础教育阶段，学生学习的重要目的之一是为了应对各种标准化的考试，这样学生锻炼的是解决问题的能力而不是提出问题的能力，但是在实际上提出一个好的问题往往要比解决某个问题更为重要。在这方面笔者在讲课中经常举的一个例子就是缓冲区溢出攻击，笔者会跟同学们说，在C语言程序设计时老师会反复叮嘱大家，数组赋值长度不要超过其设定长度，大多数同学会遵守这一规则，但是有人问万一超过会怎样，于是就有了缓冲区溢出攻击。为了培养学生提出问题的能力，笔者在讲课过程中经常会先讲解某个具体协议，然后补充讲解该协议存在的一些不足（而这部分内容课本上并没有）包括学术界和工业界提出的最新解决方案，这样学生就会逐渐不再盲目的迷信现有的知识体系，而是在看到某些解决方案时多问几个为什么。通过这样的方式可以取得明显的效果，例如在讲解课后习题之前我们会给出每道习题的“标准答案”，在讲解过程中我们发现很多同学并不满足于老师给出的解答，而是根据自己的理解设计了具体的协议，甚至很多同学指出了“标准答案”的一些不足，设计了更加科学高效的协议。

再次，要引导学生系统地学好课本知识。在实际教学当中笔者发现很多同学容易从一个极端走入另一个极端，那就是从盲目地迷信课本知识到认为批判性思维能力就是要彻底抛弃现有的知识体系，因此感觉课本知识不重要。其实这种想法是完全错误的，批判性思维能力的培养是建立在扎实的知识基础之上的，当年爱因斯坦是在对经典物理学的知识彻底领悟的基础上才发现其存在的不足而提出相对论，网络安全领域也不例外，要发现某一协议的漏洞之前就必须要把该协议的原理和细节彻底搞明白，试想如果王小云教授的团队不对MD5算法彻底领悟，他们能提出成功的破译方案吗？因此在讲课和课后讨论中笔者也反复告诫同学们切忌走入极端，批判性思维绝对不等同于怀疑一切，已经证明是科学有效的技术规范我们必须遵守，而课本知识是基础中的基础，必须要学扎实，没有牢固的基础根本谈不上批判性思维。

四、结语

批判性思维能力是创新的重要基础，本文结合网络安全基础课程的教学实践，提出了一些批判性思维能力培养的方法，这些方法是在教学改革过程中的一些初步探索，在今后笔者将对批判性思维能力培养这一问题进行更深入的研究，更好地为教学实践服务。