计算机网络课程中网络安全内容的教学探索

摘要：网络空间安全已经被国家提升到国家战略的层面，但是现有的计算机网络的教材并没有过多地涉及网络安全的内容。如何在计算机网络课程中融入网络空间安全的知识对培养学生的国家安全观、提升学生网络安全技能起着重要的作用，因此在传统的计算机网络课程中加入网络协议的安全分析成为一个教学内容改革的探索课题。教学内容上做到网络协议学习与网络协议安全分析紧密结合，理论学习和实践紧密结合，在实践环节为学生提供以虚拟机技术搭建的网络安全实验平台。做到学中练，练中学，极大地激发了学生的学习热情，加深了学生对计算机网络及网络安全知识的理解。

关键词：网络空间安全；网络协议；协议安全分析；虚拟机；实验平台

中图分类号：G642

1概述

自网络空间安全被提升到国家战略安全层面后，高校积极培养网络空间安全人才，加强网络安全专业的建设和教学，培养具有国家安全观、掌握扎实的网络安全理论知识、具有实践操作能力的网络安全人才成为网络安全方向的培养目标。

计算机网络作为计算机专业的四大专业基础课，其重要性不言而喻，但是目前计算机网络课程通常注重网络协议、网络拓扑、传输层协议等方面的内容，但对于网络安全的深入讲解较为薄弱，缺乏网络协议安全缺陷而引起的网络攻击、威胁、和与之相对应的防御技术等方面的介绍。网络安全领域的技术和威胁不断发展和变化，但计算机网络课程没有及时更新教材内容，无法涵盖最新的网络安全技术和趋势，导致学生对当前网络安全形势的了解不足，也导致学生在学习其他网络安全知识时，对网络攻击的原理不甚理解，往往还是停留在会使用黑客工具的层面上，无助于他们在安全领域的进一步提升。

基于上述的原因，结合国家的网络安全的战略需要，为了解决这些问题，计算机网络课程要增加网络安全相关内容，加强实践性教学，及时更新教材，培养学生的网络安全意识和技能，以应对不断变化的网络安全挑战。

2计算机网络课程面临的一些问题

2.1课程内容缺乏网络协议安全分析

课程缺乏对常见网络协议的安全漏洞分析，缺少深入讲解常见的网络协议（如TCP/IP、HTTP、DNS等）存在的安全漏洞和攻击方式，以及相应的防御措施。缺乏对协议分析工具和技术的介绍，课程没有引入常用的协议分析工具和技术，如Wireshark、Nmap等，无法让学生学习和使用这些工具进行网络协议安全分析。

2.2网络协议理论抽象难理解

网络协议大多是定性的，逻辑描述的推理比较繁杂，是用表述性的方法来介绍的。学生在学习复杂的协议规范时对协议的交互过程和详细的协议细节理解起来比较困难，难以理解抽象的网络层次结构，对层次之间的功能和交互关系难以理解。因此学生在学习理论时普遍有为难情绪，主动学习积极性不高。

2.3课程缺乏网络安全实践

企业对应用型网络人才的要求不仅仅只是具备网络的基本技能，更重要的是具有综合实践能力与项目实施能力［1］。而传统的教学方法和实践资源显的不足：传统的计算机网络课程往往采用传统的教学方法，如课堂讲授和实验室实践。然而，这种教学方法可能无法满足学生对于实际应用和场景的需求，课程缺乏对真实网络安全案例的分析和讨论，学生无法从实际案例中学习到网络安全攻击和防御的策略和经验。课程没有提供模拟演练的机会，学生无法通过模拟实际网络环境中的攻击和防御情景，提升网络安全实践能力。

3课程内容创新探索

3.1从操作系统内核函数的角度去理解协议

如何引入网络协议安全分析的关键，是要让学生正确理解什么是网络协议，计算机网络的主要内容是关于5层体系中针对协议的学习，但是网络协议大多是由描述性推理语言说明的，不如数理公式推导容易理解，并且由于学生初次接触网络设备和协议，因此缺乏对网络协议的直观认识。虽然在教学中一直提及和学习网络协议，但是学生在理论学习中反映协议学习太抽象，即使对协议的概念有了理解，但是学生还是对协议存在什么地方，协议是如何实现的，协议是如何被应用的等问题充满了困惑。协议源代码是理解网络协议原理的最好实例［2］，在教学中尝试从操作系统内核函数的角度理解协议，帮助学生深入理解协议的实现原理和工作机制。通过对操作系统网络栈的介绍，让学生了解操作系统中的网络栈是如何工作的。通过对协议栈的结构介绍，了解各个层次的功能和职责，这样就能和五层体系结构对应起来，学生可以研究操作系统内核中网络协议的实现方式，包括协议的数据结构、算法和处理过程。例如，在讲解TCP的三次握手时，可以用Socket的connect函数来讲解，connect函数触发了TCP的三次握手，并且在三次握手过程中初始化了发送和接收缓存，从而使学生对协议是如何被应用的有了直观的认识。

通过以上的教学方法，实际教学效果表明学生对协议有了更加直观的理解。在对协议有了较好的理解后，针对每一层的协议不仅要学习协议在正常使用情况下的原理，同时也要让学生探索每个协议可能存在的安全问题。

3.2网络协议理论同网络协议安全分析相结合

网络安全涉及很多网络协议，这些网络协议在设计之初没有考虑到安全的因素，是基于信任机制基础上的。如果这些先天就有安全缺陷的协议被恶意应用，会产生众多的网络安全隐患和问题。计算机网络课程主要的内容就是学习网络协议，但是当前的计算机网络教学内容局限在这些协议是以正确应用为前提的理论学习，并没有考虑到这些协议的安全问题，因此要扩展协议的教学内容，在学习网络协议的基本概念、目的和原理、基础上加上网络协议安全性的分析，引导学生去发掘和理解网络协议中的安全问题，思考应对措施。要求学生熟悉计算机网络原理，还需要了解网络协议的弱点与防御办法［3］。

在教学过程中要强调网络安全的基本概念、原理和技术。在讲解网络协议时，重点介绍常见的安全漏洞和攻击方式。通过分析协议的安全漏洞，让学生了解协议设计中的安全性问题，以及可能导致的网络攻击威胁。从数据链路层到应用层的网络安全分析见表1。

在讲解ARP协议原理后，会让学生以小组形式讨论这个协议的工作方式有没有安全隐患，启发学生：ARP协议对做出ARP请求应答的设备有没有做身份验证？是不是只要接收到ARP应答包就会更新自己缓存里的目标主机的MAC与IP映射关系？理论上只有IP地址匹配的主机会处理这个ARP请求，如果局域网的其他网络设备开启了网卡的混杂模式的话会不会也处理这个ARP请求，会不会伪造一个ARP应答包？逐步引导学生得出ARP欺骗攻击的工作原理，即ARP请求是通过广播来获取目标设备的MAC地址，目标设备收到该请求后，会回复一个ARP应答，告诉请求设备的MAC地址，攻击者利用ARP工作原理，会发送一个伪造的ARP应答包，把自己伪装成网关或其他网络设备，被攻击的目标设备不会检查应答是否正确，都会接收并更新自己的ARP高速缓存，将攻击者的MAC地址映射到目标主机IP地址上，这样后续数据包被发送到攻击设备上，攻击原理示意图见下图。

ARP攻击原理图

3.3理论学习与实践相结合的教学模式探索

网络协议的理论学习和网络安全实践相结合，理论上学习协议的安全漏洞的同时，要让学生通过实践来验证和加深对安全漏洞的理解。为此建设网络安全实验平台，利用虚拟机技术搭建了网络攻防实验环境，使其与物理网络隔离开。让学生亲自操作和实践网络协议的安全性分析。通过实验，学生可以深入了解协议的实际工作原理，并掌握分析协议安全性的方法和工具。引导学生使用网络安全工具进行协议分析和安全评估。例如，引导学生学习使用Wireshark等网络分析工具，对网络协议进行抓包分析。Wireshark是目前全世界最广泛的网络协议分析软件之一，能捕获进出网卡的数据帧，并具备强大的协议解析能力［4］。组织模拟演练活动，让学生扮演攻击者和防御者的角色，模拟网络攻击和防御的过程。通过模拟演练，学生可以实际体验网络协议的安全性问题，并学习相应的防御策略和技巧。

ARP欺骗攻击采用了SEEDProject提供的ARPCachePoisoningAttackLab实验包［5］，SEEDProject是一个教育性的计算机安全实验项目，旨在帮助学生和研究人员学习和理解计算机安全的基本概念和技术。在进行ARP欺骗攻击之前，需要确定目标网络和IP地址，具体信息见表2，执行ARP欺骗攻击。

攻击结果可以通过Wireshark来进行抓包分析，通过抓包软件Wireshark辅助学生理解实际各层协议的数据单元，了解数据包的具体构成。通过实践环节，加深了学生对网络安全的理解和应用。

4探索实践效果分析

4.1学生评价良好

学生的学习积极性被极大地调动起来，学生认为理论学习不再枯燥无味，理论能和实践联系起来，很多理论课上的难点通过实践课程都能得到很好的加深理解，动手能力增强了，对后续课程打下了一个坚实的基础。

4.2提升学生的安全意识

提升学生对网络安全的重视和意识，培养了学生的国家安全观。通过课程内容的设计和案例研究，学生对网络安全影响国家安全、经济活动、日常生活等有了更深刻的理解，能够认识到网络安全的重要性。

4.3增加了就业竞争力

网络安全是一个越来越热门和专业人才紧缺的领域，掌握相关的网络安全知识和技能的学生在就业市场上更具有竞争力。经过网络安全的启蒙，越来越多的学生把网络安全方向作为自己今后的就业方向。学生自觉地在网络安全方向上自学和摸索，为增加个人竞争力，学生也努力通过相关认证考试，例如NISP。

4.4借助虚拟网络实验平台，进行实践能力的提升

用虚拟机搭建的实验平台是对已有的实验平台在网络安全实验上的补充，安全实验平台借用了很多带有丰富的安全工具的虚拟机，例如SEEDLIBS，学生可以在与外部网络完全隔离的虚拟机网络上随意地尝试各种攻击方法。丰富的实验案例让学生不仅能够在理论上了解网络安全的原理，还能够通过实际操作来解决实际问题，提高了实践能力。

结语

教学内容的扩充改革也是同网络安全跨学科融合的一次探索与实践，培养了学生综合能力和跨学科思维能力。如何更好地掌握融合度，合理组织教学内容，合理分配教学时间，还需要进一步在实践中不断探索和实践。

参考文献：

［1］张纯容，施晓秋，吕乐.面向应用型网络人才培养的实践教学改革初探［J］.电子科技大学学报（社科版），2008（04）：6265.

［2］李毅超，曹跃，郭文生，等.信息安全专业计算机网络课程群建设初探［J］.实验科学与技术，2008（03）：9093.

［3］吴黎兵，杜瑞颖，李俊娥，等.面向网安专业的计算机网络课程教学创新探索［J］.计算机教育，2022（04）：8084.

［4］李荣茜，徐辉.Wireshark协议分析技术在计算机网络课程实验中的应用［J］.科技风，2015（17）：100+102.

［5］杜文亮.SEEDLabs2.0［EB/OL］.https：//seedsecuritylabs.org/Labs_20.04/Networking/ARP_Attack/.

基金项目：北京理工大学珠海学院2022年校级一流课程（项目编号：2022014YLKC）；北京理工大学珠海学院教学改革工程项目（项目编号：2021007JXGG）；北京理工大学珠海学院教学改革工程项目（项目编号：2022012JXGG）

作者简介：赵冬耀（1975—），男，汉族，辽宁阜新人，硕士研究生，中级职称，研究方向：网络安全安全；张海燕，女，硕士研究生，讲师，主要研究方向为云计算；邹立仁，男，本科，副教授，主要研究方向为网络安全。