陶槊 陈滨
摘要:计算机网络安全课程作为各高校信息专业的核心课程一直以来备受关注,同时在教学方法和效果上也存在诸多问题,特别在高职专科类院校,师生普遍反映内容抽象,理解困难,实践性不足。因此为更好地促进网络与信息安全课程建设,必须首先将问题分解,做好前期社会调研,明确教育定位与教学目标;不断对教材进行优化与完善,从教学方法与手段、应用实践创新等多个层面进行改进。实践证明,在目前某些高校课程改革试点中,通过对培养目标,教材调整,教学手法更新与强化应用几个方面的革新,已取得了一定的成效。
关键词:信息安全课;教学方法研究;课程改革
中图分类号:G424 文献标识码:A 文章编号:1009-3044(2019)02-0094-03
The Research of Teaching Status and Progress for Computer Network Security Course in Vocational Colleges
TAO Shuo, CHEN Bin
(Hefei Science and Technology College, Hefei 231201, China )
Abstract: It is compulsory for Computer Network Security course in information specialties of most colleges, therefore, it gives rise to extensive attentions. At same manner, there have appeared varieties of problems during the teaching procession and effect, especially for vocational colleges, where faculties and students had responded mainly it was too hard and abstract to be understood easily, lacking of practical applications. For the sake of status, it is supposed to separate the whole event in different aspects to solve, including social inspection, confirming educational location & teaching targets, optimization in teaching book, renovation in methods & modes, as well as melioration in experiments & experiences. At present, it has gotten extent achievements during the curriculum reform of several colleges by the ways of training mode re-location, material adjustment, upgrade & enhancement of teaching skills.
Key words: information security course; teaching method research; course reform
《计算机网络安全》作为高校核心课程,一直以来都被各高校信息专业所重视[1],区别在于根据不同的教育层次和专业,对知识内容传授重点有所不同。作为我国职业类院校,受限于各种主客观条件限制,学生普遍对该课程反映理论过多,实践有限,影响学习兴趣。造成以上情况有主客观多种因素,包括课程内容设定,教师讲解方式,学生自身对课程理解水平或在应用层次上的需求差异等。但鉴于目前中国社会严峻的网络安全局势,社会对信息安全人才数量连年递增,对从业人员的安全认知能力要求不断提高,高校必须将信息安全课程作为必修课程坚定不移的深入开展下去。
因此,本文通过对课程的理论知识点进行研究学习,结合职业院校学生特点,对课程设置、培养模式、教学方法进行探讨,寻找学生在该课程学习中遇到的障碍和想法,根据这些问题进行逐一化解,同时依靠最新的学习模式和教育理念,摸索出有效的教育模式或教学方法,帮助学生提高学习成绩,培养合格的信息化人才。
1 信息安全课程问题分析
1.1 学前知识准备不足
计算机网络安全涉及各种科学理论和应用技术,包括信息论、图论、密码学、通信学、多媒体技术、社会工程学,操作系统,数据库、微机原理、编译原理、算法等,作为一般职业技术类院校受学制限制,无法系统性的展开上述课程,导致学生在本课程学习过程中,因缺乏必要的知识准备,理解困难,对该课程知识点普遍掌握不足,学习缺乏主动性和深入性。
1.2 课程内容的适用性问题
1) 课程内容安排的合理性
根据职业高校培养应用型技能型人才办学要求,主流做法是将高一级院校信息安全教材理论部分做适当删减,但在教学实践中发现,使用经过精简后的教材,往往更容易让学生更多的疑问,甚至是误解。
2) 知识结构表达的完整性
通过对多版高专类的教材對比发现,不同的教材各有优点,但同时都只对各类问题各有侧重,如果希望学生可以在通过本课程的学习后,能够建立一个大致明晰的网络安全模型,理解项目安全内容,应当围绕网络分层模型或安全体系架构模型加以展开。
3) 知识点的关联性与准确性
对如何处理网络系统表述更多侧重于每个章节问题的描述,而众所周知,网络是一项系统性工程,不仅要通过各种工具,更需要通过系统性防范,包括系统管理、编程设计、测试应用等等,这些一般无法在章节中得以系统说明。同时,在有些概念表达准确性上还需要进一步完善;受限于篇幅,对准备知识论述不充分,导致对有些网络安全框架结构展示显得突兀。
1.3 实验、实践条件的不足
应当承认,就信息安全课程内提到的许多攻击手段对院校在用的系统都存在危险性,如果在实践过程中处理不慎,不仅会影响正常的教学秩序,还会造成不可估量的经济损失和社会影响。因此目前通常的做法是教师通过课堂讲解或独自演示的方法进行知识点传授,这样使学生很难对具体攻击产生切实体会。有些院校依托雄厚的教学基础设置及软件平台,可以搭建一个的独立的虚拟实践环境,有效地规避这一威胁,但是也存在实验设定死板,实践内容枯燥的情况。
1.4 教学手段的不足
目前,网络安全或信息安全课程主要还是以课堂理论传授,平面媒体辅助的模式,课程的实践也基本由教师预设应用环境,学生按照既定流程实施的过程,造成学生缺少独立思考,单独解决问题的能力。
教学智能化应用水平还远没有像其他课程获得深入展开,特别是在线下还缺乏丰富的学习资源。
1.5 课程内容更新速度不够
1) 知识内容与职业的契合度不够:课程内容与现代网络安全实际威胁还是存在较大差异,对社会安全人才需求项目存在脱节情况。在企业应用环境中,尤其是未来网站开发基本突出跨平台应用,受学时限制,现在的教材主要针对Windows、Linux系统,J2EE、Android安全技术很少有系统性介绍,而随着电子商务、移动通信、智能应用的不断发展,而以上幾种技术架构所占有市场份额将会超出微软架构。
2) 教育水平未跟上时代要求:目前高职专科类信息安全教材内容偏旧,对近年来出现的主流的网络攻击手段,如勒索病毒、蹭网等涉及较少,或是介绍的手段已经过时。
3) 介绍内容偏差:根据教纲要求,只是让学生了解基本的网络攻击形式,而缺少具体的攻击步骤,造成学生对现代黑客攻击手法理解不深。
通过以上分析可知,目前在该课程教育主要表现问题为理论多实践少,知识系统性不足,教学手段落后,新技术引入滞后。但在信息技术的安全重要性已经获得整个社会的共识情况下,特别是2017年6月颁布的《网络安全法》对单位和个人对网络从业人员的安全意识和水平提出了更多、更高的要求,但以现在网络信息安全课程教育模式,将给企业增加了培养成本和培训周期,更不利于学生未来就业。
2 网络安全课程教学研究
通过我们对课程研究与教学实践总结,要在职业院校达到对网络信息安全课程发展要求,必须从以下几个方面着手:根据培养层次和教纲要求,重新确定教学目标,补充完善教材,借助新的信息化发展成果强化网络安全课堂教学。
2.1 就业市场调研
应用型专业的设置与研究都不能脱离社会需求,尤其对于职业专科院校,必须紧跟市场需要,同时又要求有前瞻性眼光,特别在IT就业市场,对技术需求变化快,不能让教材仅限于传统技术框架。企业普遍希望员工在上岗后在能尽快适应操作型岗位要求,具备对一般突发状况自主应对的能力。这些需要我们在教材设置时,随时关注网络流行的安全威胁及技术,在适当保留原课程章节的前提下,对课程内容做出调整,特别是应当补充企业主流系统的安全架构内容的学习。在这一领域需要参照欧美西方发达国家的“双元制”的CBE(Competency-based Education)和MES(Modules of Employable Skills)模式[3]共同实施网络安全课程建设。
通过我们的调研可知,我国网络市场安全环境相当严峻,特别是在新兴的智能应用、移动上网、共享服务、电子商务领域各种安全问题层出不穷,国内外企事业单位在相关领域的安全应用也有许多成果 [4],可以借鉴吸收。同时在这些领域,对基础人才需求巨大,我们应当在课程建设中及时跟进。
2.2 课程的定位与教学目标的确定
根据定位,应更关注理论对实践的指导与应用,因此可以考虑放开思路,对课程结构做出调整,重点以应用操作为导向编制教材,而无须局限于对高一级教育层次教材亦步亦趋。
2.3 课程知识内容的优化
1) 课程表述方式变化:建议对课程章节做出调整,对有些细节变换表述方式,如对数据加密技术的实现过程太过数学化,让缺乏知识准备的普通学生难以理解,意思明白了又没有深入案例,学习效果有限。应多采用图解、动画、平叙的形式,而不是单纯用数学语言的表达。
2) 内容调整:鉴于我国中小学基本普及了电脑教育,大部分学生家庭也配有电脑的现状,无须再让大众化安全常识(如Windows单机与上网安全等)过多占用宝贵的课时,对高校教材有些部分可做出删减,将一些章节内容作为课后内容补充,这样更便于完整性和深入性表达。
3) 趣味性知识增加:增加安全相关历史事件的处理介绍,易于让学生体会知识点,如果让没有密码知识准备的学生一开始就接触DES、RSA算法[5],特别是面对DES加密过程的流程图,除死记外,不能真正理解DES对称算法过程,如教材或老师能对Enigma[6]的工作原理深入介绍,学生就能很快进入状态。
2.4 教学手段的利用
1) 课堂教授模式改革:根据高职学生的学习水平,除了目前时兴的“智慧教室”、MOOC,完善线上个性化辅助,线下联合&自主学习,高效考评技术外,关键需要我们教师从专业角度对课程相关知识点利用动画图解、视频予以强化,当然教材编制单位在教材编制时也应考虑同步实现。
2) 教学方法调整:适当调整学生认知次序,根据课堂效果对“理论—实践—总结”[7]的认知模式做灵活变换。
3) 教学工具选择:各高校应当根据专业特点与软件效用进行综合考虑,技术的飞快进步,很难选择一套广泛适用课堂教具,所以应考虑以一套为主、多种并用的方法加以解决。
4) 利用好课后空间:不应仅孤立地对本课程方法的研究,最好在系部配合IT 专业合作建立兴趣小组,将网络安全意识融入其他开发实践中。多以知识讲座的方式开展课外教学,拓展学生眼界和思维。
但我们认为应当审慎使用全国到地方技能大赛的方式“以赛促教”,无论何种形式大赛基本上都是少数优秀学员的专利,如不能让广大学生参与,特别是当教学资源不当倾斜时,更加不利于培养学生对课程的亲近感。
2.5 实践场景的模拟与创新
1) 实验工具的设定:实践显示,除了通用的扫描与嗅探软件外,让学生接触使用其他黑客工具,容易引起学习兴趣,快速记住攻防步骤及原理。
2) 合理设计与优化实验项目:以黑客攻击作为实验项目展开,让学生有角色代入感。让学生编组,将知识点分以程式化展开,在每一步骤准备一系列问题,不同组间问题应避免相同,否则容易限制学生的自我思考。在实验完成后最好增加全班互评与交流环节。
3) 编制功能代码:以病毒代码为参照,自编非破坏性代码,可以帮助学生迅速理解病毒潜伏、发作机制。
4) 自建模拟环境:利用Cisco Packet Tracer或华为eNSP模拟器搭建虚拟完整网络应用环境,编制脚本,配合VM实现arp欺骗、木马等各类入侵攻防,把握好操练难度。
2.6 新學习模式的定制
如依靠普通院校为这门课程单独开发一套实践演练平台,不仅在费用、寿命和适用范围上难以保证,应用水平参差不齐,对教学质量的评估也不具备客观性。目前的我们以“授—学—用”的思路开展规划。授:不仅是课堂知识的讲解,还包括实践任务的发布与现场指导;学:学生不再被动地接受知识,还要根据任务,学会状况的自主判断[8];用:通过与各大院校、企业合作,将其他高校相关专业研究项目虚拟环境引入,将某些公司的产品研发、实验项目作为本校的实践平台,或在攻防项目成果验证时,作为群众性角色介入,共同推动课题研究,或以校企合作方式引进。
2.7 基于网络安全课程体系的评价
以“培养为职业服务”的理念重建考评体系,即在日常训练过程中让学生确实掌握数种攻防技术与工具;理解代表性问题,懂得安全产品技术特点,应用领域;让学生对网络新应用安全威胁有所接触。
1) 网络安全项目分解与权重的确定:根据网络安全体系架构、各类威胁&漏洞的攻防、安全产品应用、密码技术等技术方面进行划分。后期还准备引入“移动设备安全”测试。
2) 期终考评模式的转换:对平时实验、课后作业注重以任务为导向的安全实践,期末则侧重于理论介绍和过程描述,强化学生对安全知识理解与信息记忆。
3 总结
本文通过对目前高职院校计算机网络安全课程教学现状与存在的问题进行分析,为提高网络安全课程教学水平,分别对教学目标、教材内容、授课方法、实践应用与评估模式进行了全方位的研究与探讨,并根据教学实践与师生提出的建议进行了调整。实践表明,通过对教材的适当调整,利用改进的教学模式与手段,学生的学习兴趣增强,随之在平均成绩与教师满意度方面也有了提高。
但应看到,单靠教师个人教学能力对教学质量的控制是不够的,还需要通过教材完善、教育教学软硬件技术应用、社会认知层次的提高,来促进信息安全教学的总体进步,保证信息安全领域就业人才质量。学校更应当责无旁贷的投入更多人力、物力深化挖掘,开展对该课程讲授、应用实践领域探索研究,,为社会信息化、智能化系统安全提供人力与技术保障。
参考文献:
[1] Kizza J. Guide to computer network security[M]. Springer International Publishing,2017:5-8.
[2] 肖云鹏.移动互联网安全技术解析[M].科学出版社,2015:80-85.
[3] 陈建平.基于工作过程的《计算机网络安全》一体化课程开发及实施研究[D].华中师范大学.2014(5):10-11.
[4] pwn contest [EB/OL].http://2017.geekpwn.org/1024/zh/index.html,2017-10-21.
[5] Jonathan Kat. Introduction to Modern Cryptography[M],2007:63-86.
[6] Enigma machine[EB/OL].https://en.wikipedia.org/wiki/Enigma_machine,2018-04-05.
[7] 李席广.“网络安全”课程的教学实践与改革创新[J].沈阳航空航天大学学报,2017(3):92-95.
[8] 汤朝霞.理论实践一体化教学理念探究[J].教学研究,2007(6):82-83.