王盛邦,韦宝典
(中山大学 数据科学与计算机学院,广东 广州 510006)
近年来,网络安全问题面临着越来越严峻的考验,一些高校相继开设了相关安全实验课程,并对这些课程的实验教学体系、实验教学模式、实验教学方法、实验教学平台等进行了有效探索和改革,取得了不少成果。主要有基于虚拟机技术的网络安全实验教学研究,以CDIO 为指导进行网络安全实验教学改革,成就驱动法在网络安全实验教学中的应用,基于差异性的网络安全实验教学方法,基于SDN 架构的网络空间安全实验教学设计,基于软件定义网络的安全攻防虚拟仿真实战平台,网络安全在线开放实验实践探索,虚拟技术的计算机网络安全教学探析,任务驱动教学法在信息安全管理课程中的研究与实践,移动终端中个人隐私保护实践教学案例研究与探讨[1-10]等,以及探讨学科竞赛与教学相结合的CTF 竞赛的网络安全课程教学改革[11]。
移动网络安全技术实验是一门新兴课程,既具有有线网络环境网络安全的共性问题,又有其特殊性(例如无线传输的开放性),移动网络面临着越来越多的各种类型的恶意攻击挑战,安全威胁层出不穷。
移动网络安全技术既是一门综合性很强的交叉学科,涉及计算机网络、通信技术、密码学、信息安全、操作系统等(如图1所示);同时,它又是一门对实践能力要求非常强的课程。课程建设的首要任务,就是要先建立一个课程体系,将实践能力的培养放在重要的位置。
图1 移动网络安全技术交叉学科
本研究的移动网络安全技术实验教学体系,以知识学习、问题求解能力提高和创新思维培养为目标,教学内容突出以“问题求解”为中心,并分层设计,主要包括验证型实验、综合型实验、研究型实验和专业型实验;依托在线实验教学平台,灵活采用“任务驱动深度学习法”的实验教学方法,将学科竞赛、实际研究项目融入到实验教学考核环节。目的在于培养“悉攻擅守、攻防兼具”的多层次人才。基于此构建的移动网络安全技术实验教学体系如图2所示。
图2 移动网络安全实验教学体系
(1)实验教学目标分层。实验教学目标分为知识学习、问题求解、创新思维和实战能力4 个层次。知识学习是基础,强调常用网络安全和相关工具的运用;问题求解是核心,强调综合运用移动网络安全技术知识解决问题的能力;创新思维是灵魂,强调发现新问题或发现解决问题的新途径。至于实战能力,是其他3 种能力的集中体现。学习网络安全技术,最终必须能灵活应用于纷繁复杂的网络安全环境中,做到悉攻善防、攻防兼具,能解决实际问题。因此,四者之间循序渐进、有机结合而融会贯通。
(2)实验教学内容分层。实验教学内容分为验证型实验、综合型实验、研究型实验和专业型实验4 个内容层次,依次对应实验教学的4 个目标。难度由简单到复杂,注重发现问题、解决问题的实际运用和兴趣引导。
为了激发主观能动性的学习探索的能力,对于实验任务,布置时一般只做宏观指导,避免因过于细节化而弱化学生自主探索能力。学生在自主完成实验任务的过程中,遇到困难可以寻求教师指导,这种指导能为学生提供解决问题的有关线索;同时,鼓励学生之间、师生之间的讨论和交流,以便丰富、矫正和加深对当前实验问题的解决方案,学生应该更多利用网络资源,阅读相关文献资料,甚至可以参考博客、论坛上的技术文章。具体流程如图3 所示。
图3 任务驱动深度学习的实验教学方法
(4)以在线实验教学平台为支撑。利用在线攻防实验平台,这样可以打破实验教学的时空限制,借助网络,学生可以随时随地进行实验,有利于增强学生参与实验的自主性,保证实验教学的质量。
(5)分级累加考核,鼓励创新。实验教学的考核方式灵活多样,实行分级累加。主要包括实验报告、实验答辩,以及线上攻防评测和学科竞赛成绩。实验答辩包括了视频展示,主要突出对移动网络安全技术的应用情况、创新思维以及参加实际项目和相关大赛的认定。评价的主要参考依据见表1。
将实验过程拍摄成视频,是一种实验教学尝试。众所周知,网络安全实验有一定的复杂性和神秘性,视频有利于展现这一过程。实验报告文档是静态的,主要是描述实验过程与分析、截图、结果等;反映实验过程的视频则是动态的,能够将情景重现。实验视频并非实验过程的简单重现,也非只是简单录屏,一个优秀的视频必须先写好“剧本”,如何妥善安排情节、完美展示过程大有学问,是对学生能力的拓展。实验视频还有利于挤去实验“水分”,使抄袭无所遁形,提升实验报告的含金量。
表1 考核依据
目前国内有各类全国性与地区性网络安全竞赛,以赛代练、以赛促学已经成为一种培养人才、发现人才的重要途径。竞赛系统通常模拟真实环境,知识覆盖面广,能激发学生的兴趣,是锻炼实战能力的有效途径。我们鼓励有能力的学生组队参赛,指导学生成立“网络安全协会”的社团组织,将能力较为突出、有共同兴趣的学生组织起来,进行实战能力的指导和培训,对获奖学生给予适当加分或减免实验的奖励。
实验教学内容的设计需要紧密联系实际和注重兴趣引导,紧跟学科前沿,时教时新。尤其像移动网络技术,技术日新月异,教学必须做到与时俱进。像备受关注的5G 技术、鸿蒙OS、广为应用的App 安全问题、应用日益普遍的移动支付安全性问题等。力争前沿技术都能有所反映,讲深讲透,辅以相关案例。
只有好的实验内容设计,才能夯实理论基础、提高实践应用水平和学生的参与度。因此,我们结合实验教学目标设计了分层次的实验教学内容,如图4所示。验证型实验、综合型实验、研究型实验和专业型实验由浅入深、循序渐进,做到知识的学习、能力的提高、创新思维和实战能力的培养有机结合、融会贯通。在实验目标和实验层次的规范下,实验内容的数量和质量需要不断增加和提高。
这一次,在《这!就是灌篮》中留着脏辫的林书豪成了年轻人眼中新的综艺偶像。他刚好符合这个时代偶像的一切标准:长相帅气、学习优异、自律谦虚、情商高、懂幽默,更重要的是——永不放弃。
在前期建设中,课程已经推出了一些精心设计的实验,如Wi-Fi 热点安全性综合分析、微信红包综合分析设计、微信聊天安全性分析、穿越网关计费系统实现Wi-Fi 联网实验等。这些案例背景具有趣味性、工程性、实现方法的多样性,密切联系生活实际,接地气,具备浸入性特质;尤其提出拍摄实验视频的要求,涉及知识面广,分析、设计相结合,综合性较高。虽总体上有一定难度,但仍很受学生欢迎。“问题求解”成功所带来的成就感,超越了他们艰辛求解过程所受的煎熬。
图4 移动网络安全技术实验教学内容设计
这些教学案例都采用了哪些“创设情景”的举措呢?以“微信聊天安全性分析”为例。微信是目前国内最大的社交软件,可以实现聊天、传输文件等诸多功能,其安全性备受关注。该案例从技术层面分析其账号,以及聊天、文件传输等功能的安全性,并要求设计一个微信聊天自加密的插件。实际上微信不止是对聊天信息进行了加密,图片(微信头像和公众号图片除外)、其他文件传输也都加密。既然如此,为何还要对聊天信息再加密呢?
为了引入需求场景,我们注意到媒体关于“李书福炮轰微信”的报道。
报道说,2018 年元旦,吉利董事长李书福在公开场合说:“马化腾肯定天天在看我们的微信。”李书福担心的是自家的商业机密。实际上,微信为了能够加密微信通信,同时使用到了RSA公钥加密算法和AES 对称加密算法,该案例前部分实验也证实了这一点。根据非对称加密算法的原理,使用公钥加密,私钥解密。如果得到了私钥,就可以从通信过程中截取数据包,利用私钥分析出加密的通信内容。运营者本身拥有私钥,理论上可以解密所有加密的通信内容。所以李书福的担忧是否会成真,完全取决于运营者的道德水准。
为了解决“李书福们”的担忧,我们唯有自行对微信聊天信息进行加密/解密。这样一来,微信运营者就不拥有我们加密的私钥,从而保证微信聊天信息的安全性。“李书福们”就可以放心与生意伙伴通过微信谈生意,而“马化腾们”则不能获知聊天内容。
这样的情景来自真实的社会需求,学生由此明白,微信已经对聊天信息加密,我们还要对加密信息进行再加密的原因。
针对移动网络安全技术实验教学的网络开放性不足、评判自动化水平低、缺乏实践场景等问题,我们利用了优质的、开放的在线网络攻防实验教学平台,该平台包括了移动网络安全教学内容。
平台架构如图5 所示,其实现了实验内容与习题发布、在线评测成绩管理、统计分析、题库管理等功能。可以进行考试、解题练习、闯关练习、攻防练习。对于考试,可以自定义生成试卷进行考核管理。题目类型包含选择题及操作题,通过试卷考查学生理论基础知识的掌握情况,自动评分。通过题库管理功能,还可以将自行设计开发的题目导入习题系统或竞赛系统,自由把控题目的难度和考核点。
图5 在线攻防实验教学平台架构
平台贯穿了实验教学体系的多个环节。平台是开放的,通过虚拟化场景的方式,提供了一个高度仿真的信息安全攻防实战演练环境。演练有CTF 解题和A&D 攻防两种模式,通过后台自动化部署攻防赛题,支持理论赛、解题赛、CTF赛等多种竞赛模式。其中包括了多类CTF 题目,如Crypto、Reverse、Web、Pwn、Mobile、Misc、Code 等,具有丰富的攻防工具集,覆盖漏洞探测、漏洞扫描、渗透测试、逆向工程、密码破解等类型。这些题目思路新颖,综合性强,其中不乏实战中会遇到的环境,对个人能力的提升非常重要,对学生未来的工作和学习有非常积极的作用。
本课程从2017 年春季学期单独设课(36 课时),通过对移动信息工程、信息安全、软件工程等多个专业约740 人的移动网络安全实验教学的试点应用,经分析得出表2 的统计数据。
表2 教学改革效果统计
可以看出实验的参与度、完成度和实验层次的难易程度比较适配,在线实验方式也深受欢迎,学生对累加式的考核方式也持肯定态度。对于拍摄实验视频的要求,我们是经过试点,取得经验后才推广。但一般须完成实验后才能进行拍摄,相当于作一次总结。视频是录屏、外拍相结合(外拍介入比较简短,根据情景需要,借助手机拍摄功能完成),但后期裁剪、合成、录音和字幕制作等比较花时间,因而一些学生颇有微词。但多数学生认为,在完成实验之余,视频制作拓展了能力,对培养全局观很有帮助,能获得意想不到的效果。该课程还进入广州大学城互选课程,广州中医药大学、华南师范大学、广州大学、广东外语外贸大学、广东工业大学的学生选修了本课程。
在学生参加网络安全竞赛方面,我校学生共有约90 人次获得全国赛及省级赛特等奖2 项、一等奖3 项、二等奖9 项、三等奖12 项(含1项国际赛)。值得一提的是,在2019 年7 月底举行的第十二届全国大学生信息安全竞赛创新实践能力赛总决赛上,我校学生组成的战队在全国排第6 名,获得一等奖,并在Buildit 环节勇夺“网络安全创新单项奖”。
在课程实验教学内容设计方面,我们所创设的案例还获得全国计算机类实验教学案例一等奖、二等奖各一项。微信红包综合分析设计实验还被拍成微课,获省级二等奖。真正做到教学相长。
综上所述,课程改革基本上达到了让能力一般的学生有所提升、能力突出的学生更加出类拔萃的效果。
我们提出的实验教学体系兼顾知识学习、能力提高,又可以引领创新,教学内容紧跟学科前沿,与时俱进。通过改革考核方式鼓励创新,建立在线实验平台拓展创新空间,提升开展实验自由度。实验内容设计由浅入深,层层深入,使学生对各种移动网络安全知识的理解水平随着实验的进行而提高,问题求解能力和创新思维也随着知识的贯通而形成,并形成一定的实战能力,实验的自主性得到很大提高。
改革后,整体教学效果颇为显著,学生对课程知识的把握更加系统,并能应用于实际问题的解决,使学科视野得到开阔,这对培养创新型、实战型人才具有实际意义。