蒲曉川

摘? ?要：討論在新工科視域下的“網(wǎng)絡(luò)攻防技術(shù)”課程教學(xué)模式改革，需著眼于新型技術(shù)、新型產(chǎn)業(yè)、新型業(yè)態(tài)、新型模式，以期提高人才培養(yǎng)質(zhì)量。新工科以計算機、人工智能等為重點，與“互聯(lián)網(wǎng)+”時代大背景緊密結(jié)合，引入人工智能、仿真技術(shù)等，強調(diào)實踐性、多元性、跨專業(yè)性。因此，設(shè)計了引入仿真技術(shù)和實際案例相結(jié)合的教學(xué)模式，并且讓學(xué)生（產(chǎn)品）在高水平競技比賽中進行檢驗，所得到的成果（獲獎）作為教學(xué)質(zhì)量的檢驗標(biāo)準(zhǔn)。

關(guān)鍵詞：仿真技術(shù);網(wǎng)絡(luò)攻防技術(shù);課程改革

“網(wǎng)絡(luò)攻防技術(shù)”課程是遵義師范學(xué)院專業(yè)課程，作為遵義師范學(xué)院網(wǎng)絡(luò)工程專業(yè)任選課程，首先，需要把該門課程的位置擺正，在新工科背景下，對該門課程又有了新的要求，該門課程在遵義師范學(xué)院是網(wǎng)絡(luò)工程專業(yè)的專業(yè)提升課程，基本開設(shè)在大學(xué)三年級，隨著“程序設(shè)計基礎(chǔ)”“數(shù)據(jù)庫原理”“計算機網(wǎng)絡(luò)”等基礎(chǔ)專業(yè)課程的修完，專業(yè)核心課程“網(wǎng)絡(luò)信息安全”也學(xué)習(xí)完畢，可以按學(xué)生的學(xué)習(xí)興趣開展專業(yè)提升或?qū)嵺`性較強的課程，所以該門課程有其開設(shè)的合理性。隨著中國互聯(lián)網(wǎng)的迅速發(fā)展，網(wǎng)絡(luò)安全也越來越受到政府和企業(yè)的重視，為了吸引更多對網(wǎng)絡(luò)安全有興趣的人才參與到網(wǎng)絡(luò)安全工作中來，政府投入也逐漸增多，組織更多相關(guān)比賽，在這個背景下，開設(shè)該門課程為即將參加工作的學(xué)生增加核心競爭力、提高專業(yè)素養(yǎng)起到很好的作用。作為專業(yè)提升課程，需要融入國內(nèi)外優(yōu)秀的技術(shù)競賽內(nèi)容，以更好體現(xiàn)課程的定位。

1? ? 網(wǎng)絡(luò)攻防課程特點

1.1? 教材的選用

“網(wǎng)絡(luò)攻防技術(shù)”課程學(xué)習(xí)需要結(jié)合實際背景，所以在這門課程中，筆者選用的是擁有阿里巴巴背景的中國資深安全行業(yè)領(lǐng)軍人物吳翰清所著的教材《白帽子講Web安全》，該教材著眼于實際，除了技術(shù)層面的描述，教材中還引入了“安全運營”等管理學(xué)思想，與教師想傳達(dá)給學(xué)生網(wǎng)絡(luò)安全專業(yè)是交叉學(xué)科的思想不謀而合。

1.2? 涉及范圍廣

“網(wǎng)絡(luò)攻防技術(shù)”課程內(nèi)容主要從資深網(wǎng)絡(luò)安全人員的網(wǎng)絡(luò)安全觀入手，使學(xué)生身臨其境地感受網(wǎng)絡(luò)安防前輩的防御與攻擊思路。然后從企業(yè)及部門的角度分析客戶端、服務(wù)端的安全問題，把分散的安全技術(shù)問題集中為網(wǎng)絡(luò)“進”和“出”的問題，更簡單直白、容易理解。當(dāng)然，該課程還是遇到了相關(guān)技術(shù)點的問題，包括同源策略、跨站腳本攻擊（Cross Site Scripting，XSS）、結(jié)構(gòu)化查詢語言（Structured Query Language，SQL）注入、加密算法與隨機數(shù)、Web框架問題等內(nèi)容，可見內(nèi)容涉獵之廣[1]。

1.3? 課程地位與培養(yǎng)目標(biāo)

首先，從人才培養(yǎng)目標(biāo)入手，“網(wǎng)絡(luò)攻防技術(shù)”課程的主要目標(biāo)是使學(xué)生了解網(wǎng)絡(luò)攻防技術(shù)的基礎(chǔ)知識并具備網(wǎng)絡(luò)安全管理的工作能力，能勝任系統(tǒng)管理、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全工程師等一線崗位，從遵義師范學(xué)院網(wǎng)絡(luò)工程專業(yè)人才培養(yǎng)方案（見圖1）中可以看出，本課程在整個人才培養(yǎng)體系中的地位及所需基本能力。和前置課程“網(wǎng)絡(luò)信息安全技術(shù)”不同，“網(wǎng)絡(luò)攻防技術(shù)”強調(diào)實踐能力，不再贅述理論知識，強化網(wǎng)絡(luò)攻防相關(guān)技術(shù)及專業(yè)網(wǎng)絡(luò)安全服務(wù)理念，所以要求學(xué)生的理論功底要深厚，否則無法了解攻防原理與攻防思路，也沒辦法實現(xiàn)有效的網(wǎng)絡(luò)安全防御。

1.4? 打造學(xué)生安全運營理念

強調(diào)“三分技術(shù)，七分管理”的安全運營理念，讓學(xué)生注重網(wǎng)絡(luò)安全管理及管理制度，以適應(yīng)未來工作中的網(wǎng)絡(luò)安全挑戰(zhàn)。

2? ? 新工科視域下教學(xué)模式改革初探

所謂新工科視域下的教學(xué)改革，著眼于新型技術(shù)、新型產(chǎn)業(yè)、新型業(yè)態(tài)、新型模式，以期提高人才培養(yǎng)質(zhì)量。新工科以計算機、人工智能等為重點，與“互聯(lián)網(wǎng)+”時代大背景緊密結(jié)合，引入人工智能、仿真技術(shù)等，強調(diào)實踐性、多元性、跨專業(yè)性。因此，本文設(shè)計了引入仿真技術(shù)和實際案例相結(jié)合的教學(xué)模式，并且讓學(xué)生（產(chǎn)品）在高水平競技比賽中進行檢驗，所得到的成果（獲獎）作為教學(xué)質(zhì)量的檢驗標(biāo)準(zhǔn)。

首先，從該課程的特點入手，由于涉及范圍廣，在選擇相應(yīng)教學(xué)案例時，就要圍繞該特點進行教學(xué)，如在講解滲透攻擊中的SQL注入環(huán)節(jié)，必須輔助講解SQL語句的教學(xué)，并適當(dāng)講解Web框架構(gòu)成等，使學(xué)生在學(xué)習(xí)過程中感受到該門課程的特點。其次，該門課程所涉獵的技術(shù)都比較新，要求任課教師必須時常了解某些技術(shù)的前沿動態(tài)，所以，本文提出了引入企業(yè)力量的方案，讓一線的科研人員進入教學(xué)環(huán)節(jié)中，彌補高校教師實踐不足的情況，但也發(fā)現(xiàn)一線人員的精力有限，不會在教學(xué)中投入過多時間，所以任課教師就要在其中做好的橋梁作用。

本文以遵義師范學(xué)院15、16級網(wǎng)絡(luò)工程專業(yè)學(xué)生為例，引入新的教學(xué)模式。相對高年級網(wǎng)絡(luò)工程專業(yè)學(xué)生來說，由于這部分學(xué)生已經(jīng)完成了前置課程的學(xué)習(xí)，尤其是“網(wǎng)絡(luò)信息安全技術(shù)”等課程的學(xué)習(xí)，在網(wǎng)絡(luò)安全技術(shù)上已經(jīng)有了一個好的基礎(chǔ)，因此，選擇高年級學(xué)生作為教學(xué)模式改革的試點，主要是考慮到這些學(xué)生的理論知識較豐富，但操作能力較差，由于從未接觸過攻防實戰(zhàn)，學(xué)生在實踐方面比較薄弱，有的學(xué)生理論基礎(chǔ)較好，有一定的代碼閱讀能力，但在真實案例中往往不知從何下手，很難在實踐中取得好成績，沒有機會發(fā)揮本身的能力。為克服該問題，應(yīng)從實戰(zhàn)思路下手，多看、多練、多應(yīng)用，團隊除了在教學(xué)模式改革中注重實操能力提升之外，也必須深入了解理論知識，盡量平衡學(xué)生掌握知識的水平。

3? ? 教學(xué)內(nèi)容設(shè)計

（1）丟出問題。每個章節(jié)都會按照問題導(dǎo)向深入教學(xué)，比如“網(wǎng)絡(luò)攻防技術(shù)”課程其中一章會講到跨站腳本攻擊（Cross-Site Scripting，CSS），又稱XSS，教師會分層次地提出問題，比如為什么會有XSS攻擊、XSS攻擊造成什么樣的后果、有沒有知名企業(yè)在XSS攻擊中受損等問題，在這樣的教學(xué)模式下，學(xué)生的積極性會有很大提高，而不是上來直接陳述相關(guān)技術(shù)的概論。最大限度地調(diào)動學(xué)生積極性是該門課程的核心。

（2）解決問題。根據(jù)問題直接提出解決思路與解決方案，還是以XSS為例，問題和后果的提出有兩個部分：①如果是我，該怎么利用該問題也造成同樣后果，如XSSPayload的學(xué)習(xí)、終極武器XSS Worm的使用等。②我該怎么防御該方法，如HttpOnly、輸入檢查、輸出檢查等。但在實際教學(xué)中，教師發(fā)現(xiàn)學(xué)生往往只注重第一個部分，而不關(guān)心第二個部分，這也是教學(xué)的難點所在，必須通過第一部分的學(xué)習(xí)，才能擁有第二部分學(xué)習(xí)的資格，在此，教師利用了企業(yè)教學(xué)的模式，引入知名網(wǎng)絡(luò)安防企業(yè)的師資力量，從就業(yè)的方面進行引導(dǎo)，這種方式從教師得到的反饋上看，取得了較好的效果。

（3）引入競技模式。奪旗賽（Capture The Flag，CTF）模式起源于1996年DEFCON全球黑客大會[2]，以代替之前黑客們通過互相發(fā)起真實攻擊進行技術(shù)比拼的方式。發(fā)展至今，已經(jīng)成為全球范圍網(wǎng)絡(luò)安全圈流行的競賽形式，2018年全球舉辦了超過150場國際性CTF賽事。因此，考慮到CTF奪旗賽已經(jīng)較為知名，并且貴州省也曾組織過相關(guān)賽事，所以怎么把該模式引入相關(guān)教學(xué)環(huán)節(jié)成為重中之重。

學(xué)習(xí)到一定階段后，需要檢驗學(xué)習(xí)的情況，引入競技模式，首先是提高了學(xué)生積極性，其次是檢驗了學(xué)生的學(xué)習(xí)情況。本文結(jié)合學(xué)生的能力情況，在仿真平臺的支持下（見圖2），以學(xué)生自由組合成3人一個隊的形式開展，主要知識涉及網(wǎng)絡(luò)數(shù)據(jù)包抓取與分析、密碼學(xué)、暴力破解、結(jié)構(gòu)化查詢語、SQL注入、XSS基礎(chǔ)、代碼審計、數(shù)據(jù)恢復(fù)等。以XSS為例，設(shè)置相關(guān)靶機，每隊同時進行攻擊，達(dá)到每個攻擊點會取得相應(yīng)積分，最后，分?jǐn)?shù)最高者為勝者[3]。

（4）教學(xué)改革總結(jié)。每完成一階段，需進行階段性的總結(jié)，討論大家的學(xué)習(xí)情況，總結(jié)攻防經(jīng)驗并根據(jù)排名的先后各誕生幾個團隊（3人一隊）代表學(xué)院參加省級各類網(wǎng)絡(luò)攻防比賽。

4? ? 教學(xué)效果

通過教學(xué)模式改革，學(xué)生的相關(guān)理論知識與實踐技能都有明顯的提升，特別是學(xué)生對網(wǎng)絡(luò)攻防有了濃厚的興趣，以往學(xué)生都不愿意參加網(wǎng)絡(luò)攻防的比賽，主要是因為網(wǎng)絡(luò)攻防是一件很難的事情，甚至覺得完全沒可能在比賽中取得好成績，對網(wǎng)絡(luò)攻防比賽完全沒有信心。通過這次的教學(xué)改革，學(xué)生都非常想在競賽平臺檢驗一下自己的知識積累。在一年中，主要組織學(xué)生參加了教育部學(xué)校規(guī)劃建設(shè)發(fā)展中心舉辦“西普杯”信息安全鐵人三項賽、首屆遵義師范學(xué)院網(wǎng)絡(luò)攻防大賽。通過這類的大賽，取得了西南賽區(qū)二等獎、優(yōu)勝獎等多個好成績。這類的比賽吸引了全國很多知名高校，且需要先通過線上比賽才能進入決賽。作為非網(wǎng)絡(luò)安全專業(yè)的學(xué)生，能獲獎本身就很不容易，且在比賽中比一些知名高校學(xué)生更加出色，順利淘汰掉他們，也很大程度上鼓舞了學(xué)生學(xué)習(xí)的積極性。由此可見，本輪的教學(xué)改革取得的教學(xué)成果是非?？捎^的。為了讓教學(xué)成果具有延續(xù)性，每個學(xué)期初都會組織參加過比賽的學(xué)生參加網(wǎng)絡(luò)攻防比賽介紹會，讓新生充分了解網(wǎng)絡(luò)攻防比賽，并有信心、有興趣、主動地參與到教學(xué)改革中來[4]。

5? ? 結(jié)語

通過新工科視域下的網(wǎng)絡(luò)攻防技術(shù)教學(xué)改革，發(fā)現(xiàn)學(xué)生的學(xué)習(xí)氛圍明顯提升，學(xué)生的實踐能力有所提高。但是由于教學(xué)改革的很多階段需要在課下完成，在遵義師范學(xué)院該門課程又在設(shè)在大三下學(xué)期，學(xué)生考研、就業(yè)壓力較大，對大量的課下實踐課時有較大的抵觸情緒，常常造成學(xué)生抱怨較多的情況，對于任課教師而言，新工科視域下新技術(shù)較多，對教師的要求較大，隨時需要跟上技術(shù)步伐，需要投入較多學(xué)習(xí)時間，但學(xué)校的科研考核壓力又相對較大，這必然影響教師在教學(xué)改革上投入的主動性。對此，團隊會在下一輪的教學(xué)改革中充分考慮這些因素，積極申報相關(guān)課題，并爭取學(xué)校及學(xué)院的支持并結(jié)合企業(yè)的投入，探索更加適合遵義師范學(xué)院的新工科視域下“網(wǎng)絡(luò)攻防技術(shù)”課程的教學(xué)改革模式。

[參考文獻]

[1]天極網(wǎng)，安全牛.人工智能快報網(wǎng)絡(luò)安全攻防人機大戰(zhàn)人工智能依舊不敵人類[J].中國教育網(wǎng)絡(luò)，2016（9）：37-38.

[2]高? ?見，劉? ?晨，蘇鵬沖.基于CTF的網(wǎng)絡(luò)安全競賽平臺設(shè)計[J].計算機教育，2015（17）：47-50.

[3]王艷芳.《網(wǎng)絡(luò)攻防技術(shù)》課程教學(xué)設(shè)計與研究[J].電腦知識與技術(shù)，2016（12）：158-159.

[4]陸明遠(yuǎn)，夏文婷.美國高校網(wǎng)絡(luò)安全專業(yè)的發(fā)展特點及其啟示[J].情報雜志，2019（1）：130-138.