信息安全专业实践教学方法初探
来源:用户上传
作者:
【摘 要】信息安全课程内容涉及大量概念、理论体系、算法和协议,教学过程中应考量如何将理论与实践结合,实现理论到实践应用的自然过渡,由单纯知识传授转移到重视能力培养上来。本文围绕该问题讨论了可行的实践教学方法和改革实践,达到提高学生学习自主性和创新能力的目的。
【關键词】信息安全;实践教学;夺旗赛
中图分类号: TP309-4 文献标识码: A 文章编号: 2095-2457(2019)21-0123-002
DOI:10.19694/j.cnki.issn2095-2457.2019.21.055
Research on the Practice Teaching Methods of Information Security
YAO Gang
(Department of Computer Science and Information security,Guilin University of Electronic Technology,
Guilin Guangxi 541004,China)
【Abstract】The information security course covers a large number of concepts,theoretical systems,algorithms and protocols.In the teaching process,the educators should consider how to combine theory with practice,and help students transiting from theory learning to practical application naturally,it is necessary to focus on develop students' ability,not just on knowledge teaching.In order to develop students' active learning and innovation ability,this paper discusses feasible teaching methods and reform practices in information security area.
【Key words】Information security;Practice teaching;Capture the flag
0 引言
信息安全课程涉及的知识点非常广泛,如计算机体系结构、操作系统、计算机网络、数据库、密码学、计算机病毒、网络攻击等,这些内容涵盖成熟的理论及技术,又要动态地应对日新月异的实际安全问题,而实践教学是巩固理论知识和加深对理论认识的有效途径,那么对信息安全专业实践教学进行改革并付诸实践,培养符合社会需求的信息安全人才是很有必要的。
1 信息安全专业实践教学方法应用
信息安全专业与计算机科学与技术专业的课程体系相近,增加了信息安全相关的课程,这些课程的教学内容与达成目标具有特殊性,实践环节的实施也对教学方法提出了新的要求。结合实际教学中的应用,本文总结了信息安全专业实践教学过程中有益的尝试。
1.1 传统教学方法
传统教学方法在信息安全课堂教学中具有主导地位,应用于信息安全专业理论教学中,如信息安全概论、密码学及数学基础、网络协议分析、计算机病毒原理等,重点在于提高学生的基础理论知识和通用技能,让学生明晰不同课程知识点之间的贯通性,从更宽泛的角度去学习,具有安全研究素养,为日后的高层次学习和实践能力培养打下坚实基础。
传统教学方法注重教师课堂理论讲解,在常规的理论和实验教学中,学生往往处于被动地位,因而需加强学生学习的主动性。理论课程核心内容应涉及信息安全主流知识点,通过将这些知识点与具体案例结合,虽然学生的学习方式、学习进度各不相同,但课后可以重复教师课堂理论授课的案例,进一步理解并掌握该知识点,培养学生的学习主动性。
为激发学生兴趣,教学中并不完全遵循先理论后实践的方式,比如密码学,可以先让学生尝试破译密文、阅读有意思的密码历史故事、分析勒索蠕虫的工作机制,学生在理解密码学的意义后,逐步主动把学习重点放在数学理论的证明和密码算法的应用上。信息安全理论教学内容应围绕一个或多个实践案例开展,直接描述出课程的实用性和应用实例,实现理论到实际应用的自然过渡。
尝试改变课后作业模式,大多数信息安全专业课程实践操作性强,如果仍然以交作业本的形式来做一些提问、问答的题目,显然不适合动手能力的培养,同时不可避免部分学生抄袭作业,所以可以加大作业内容中实践项目操作比重,从“重理论”转换到实践项目实施呈现,由浅入深,并与课内实验项目衔接,作业的批改采用实践操作验收方式,师生互动强。
1.2 项目融合法
大学生创新训练项目和科教协同项目实施过程要求学生理论与实践相结合,主要内容最终体现在实际应用上。因为项目的实施主体是学生,对于其他学生而言,这些项目的实现并不是遥不可及,那么教师可以将实施效果较好的项目引入到教学实践中,针对项目的不同功能模块,总结其中涉及到专业知识点及其实现技术,从而贯穿于理论教学。在实践教学方面,对项目进行合理分解,按难易程度或以知识点为分类依据设计成多个实验,将课程教学落到实践环节,教师在实验教学中可以复制指导项目的模式,针对学生在实验中出现的问题,采用提示和设疑的方法让学生运用所学的知识,查阅资料,解决问题,培养学生学习的自主性和创新能力。
通过将完成的大创项目进行分解,设计了局域网嗅探及其防范实验项目,实验内容遵循基础性、综合设计性、创新性三层次模型,基础性内容重点完成符合实验要求的网络环境搭建,涵盖交换机、路由器、Web服务器、DHCP服务器配置等内容,熟悉命令行及常用扫描工具使用,掌握利用网络协议分析工具(如Wireshark)进行ARP、HTTP等网络协议的分析。综合设计性部分要求学生设计思路,通过构造和发送ARP假冒报文等方法完成交换网络下的嗅探,然后分析、掌握该攻击工作原理,给出合理、针对性的防范措施,在此基础上,进一步研究无线局域网的中间人攻击,试图通过热点伪造、路由器入侵等方法控制内网,并分析可行的防范措施。创新性内容针对能力较高的学生,可以留在课后进行,旨在培养提高学生综合设计开发能力,通过TCP/IP协议编程,特别是基于Winpcap编程的学习,指导学生自主设计实验过程中用到的软件,如网络数据报文构造、发送器、扫描器、入侵检测与防范系统等,并可以扩展为课程设计、毕业设计课题,促进学生在某个知识点的深入学习和实践。 1.3 攻防实战教学法
CTF(夺旗)比赛是目前信息安全业界最受欢迎的活动,是攻防实战教学的有效实施方案,参赛学生可以充分展示他们的专业技能。教师担当指导工作,帮助学生参加或组织CTF比赛。通过完成关卡任务,学生接触到信息安全领域的现实问题,基于对抗性比赛的学习方法以学生为中心,学生们专注于某个具体的安全问题并找到解决方案,促进解决问题的技能和认知能力,CTF比赛是一个非常好的辅助教学手段。
CTF比赛涉及内容广,解题模式CTF中,任务通常涉及各种信息安全专业知识点,如隐写,逆向工程,密码学,二进制分析等,攻防模式则需要参赛者足够的知识储备和经验,挖掘并利用漏洞,同时也要能够修补漏洞。学生知识面侧重点各有不同,赛前学生要整合不同技能的成员组队参赛以最大发挥各自的长处,赛中要共享信息和讨论解决方案,携手共进退,赛后进行总结得失,指出知识薄弱环节和进一步想学习的思路,所以CTF比赛是培养学生的自主学习、团队协作学习能力的有效途径。
课外实践开展CTF比赛具有开放性,比赛层次可高可低,不需要太多的审批手续,不用遵循教学计划或进度,比赛关卡无需局限于教学内容,比赛组织者可以是老师,也可以是有一定参赛、组织比赛经验的学生,极具灵活性和可操作性。首先,协调本专业专任教师在各自授课过程中引入CTF赛点,讲解原理和解题方法。其次,要求学生高低年级搭配组队,以老带新,赛后教师、学生对赛点及利用的工具和解题思路进行分析、讲解,寓教于賽,促进学生提高网络攻防水平。
2 结论
通过以上几种教学方法结合改进信息专业实践教学是非常有益的,但考虑到教学实践过程有攻有防,具有一定的攻击性,因而教学过程中必须加强学生信息安全法律法规与伦理教育,为社会培养德才兼备的信息安全专业人才。
【参考文献】
[1]Yurcik W,Doss D.Different Approaches in the Teaching of Information Systems Security[C]//2001:32-33.
[2]Mirkovic J,Peterson P A H.Class Capture-the-Flag Exercises[J].2014.
[3]王瑞錦,周世杰,秦志光,等.基于虚拟化技术的信息安全实验教学体系建设[J].实验科学与技术,2015.
[4]Mansurov A.A CTF-Based Approach in Information Security Education:An Extracurricular Activity in Teaching Students at Altai State University,Russia[J].Modern Applied Science,2016,10(11):159.
转载注明来源:https://www.xzbu.com/8/view-15007729.htm
