网络安全与管理课程案例教学
摘要:针对案例教学法及网络安全课程教学的实际特点,提出基于情景引导型、实战演示型、综合应用型3种教学案例形成的网络信息安全本科教学案例体系,并结合WannyCry网络勒索病毒事件阐述情境引导型教学案例设计过程。
关键词:案例教学;网络安全;教学改革
0引言
2016年12月,国家互联网信息办公室正式发布《国家网络空间安全战略》,从国家层面实施网络安全人才工程,推动网络安全教育进教材、进学校、进课堂。在网络安全教育教学中,案例教学法作为一种有效的方法正逐步得到重视。案例教学法是一种以案例为基础的教学方法,能够把理论和实践有机联系,提高学生分析问题、解决问题的能力[1]。案例教学的特点是要学生通过自身对所处情景问题的思考,探索掌握分析问题、解决问题的方法,获得知识与技能,体验学习知识的乐趣,同时给予学生一定的学习探索空间。因此,教师可以选取发生在实践过程中的真实案例为教学素材,进行有步骤、有目标的案例教学研究,寻找该案例中涵盖的知识点及规律,并以此培养学生创造性思维。案例是针对一个真实、具体发生事件的反思、探讨、再现与思考。案例教学法的定义为:通过对一个具体教学情境的描述,引导学生对这一特殊情境进行讨论,从中引出某些一般性、规律性认识的一种教学法[2]。哈佛大学教授认为案例教学没有正确的标准答案,只有解决问题的不同方案,案例教学训练的是一种系统思考问题的方法和采用行动的勇气与决心。案例教学是极度开发学生潜能的一种教学方法,它能最大限度地调动每一位学生学习的积极性和创造性。国外一些从事案例教学的教师认为更新案例是保持课程内容新鲜度的重要方法[3]。教学案例应选用真实、典型且含有问题的教学事件,教师能创设切合实际的教学实践情景,把真实的典型问题展现在学生面前,让学生通过对事件本身和所处环境的分析、讨论、交流,做出正确的判断和决策,进而提高分析问题和解决问题的能力[4]。教学案例的设计必须紧密联系理论,按照从易到难、由简单到复杂的过程来设计安排,需要教师具备一定的工程背景或者工程意识[5],并在案例教学之后能适当总结、扩展与提高。科学的教学案例要具有以下6个基本特点:①典型性,案例要能突出某个理论在实践中的典型应用、缩短理论知识与实际应用的差距;②时效性,引用的案例应紧跟形势发展,尽量引进近三年的典型实例,使学生有新鲜感,引发学生兴趣;③准确性,引用的案例应真实准确,来源可靠,不宜人为的夸大或缩小;④启发性,所选案例应引人深思、启迪思路,能促使学生深入理解知识点;⑤可扩展性,案例内容安排方面有一定的灵活性,留给学生充分的思考空间,有利于学生进行能力拓展;⑥系统性,所选用的案例与理论之间联系密切,能够形成知识系统。
1网络安全与管理课程教学的特点
网络安全与管理是一门涉及网络协议、数论与密码学、通信技术、信息论与编码、网络攻击技术、网络防御技术、网络安全法律法规等多门学科知识的交叉课程,它具有知识面广、知识更新快、多学科交叉、短期难以掌握的特点[6]。网络安全作为一门讲述网络安全原理、技术及方法的综合性专业课程,是信息安全专业的必修课,也是网络工程专业、计算机科学与技术专业、物联网专业的核心选修课程,对授课教师的综合能力要求较高,既要熟悉网络安全知识结构,又要具备一定的实践能力,引领学生积极参与网络安全课程理论教学并深入实践教学环节。通过理论与实践的综合运用,使学生深刻理解并掌握网络安全技术,提升网络安全技术综合运用能力,理解网络安全法律保护范围,以及对网络进行合理安全防护方法与策略。
2网络安全与管理课程教学案例设计
由以上分析可知,网络安全与管理课程最显著的一个特点是应用性、时效性强,与实践联系密切[7],非常适合采用案例教学法进行教学研究与改革。教学案例的设计既可以提高教师的教学研究能力及教学水平,也可以提高学生的综合素质与能力。在网络安全与管理课程教学中,本研究充分运用网络安全典型案例及实验资源,以案例为导向,提高学生学习兴趣、建构学生学习能力、培养学生科研素养。通过“教中做”加强教师与学生交流互动,通过“做中学”培养学生的自主学习能力,增强学生通过实践探索知识的能力,是案例教学方式探索实践的目标。在网络安全课程案例教学设计过程中,要注重涵盖网络安全与管理中的关键知识点,同时注重案例的模块化、层次化[8]。针对网络安全与管理课程教学改革设计3种不同类型的教学案例(情景引导型案例、实战演示型案例、综合应用型案例),形成教学案例体系。网络安全与管理教学案例体系包括3种不同类型的案例,每种案例从不同的角度来调动学生主动参与学习的积极性:情景引导型案例设置典型案例场景,通过场景中问题导入、各主体及关系说明、事件发展过程的分析还原、网络安全知识点导入等环节,激发学生对网络安全课程的学习兴趣、达到学以致用的目的;实战演示型案例由教师选择典型的网络安全实验教学系统,通过教师演示使用KaliLinux安全专用操作系统中典型实验工具解决网络安全问题的具体操作过程,使学生深刻理解KaliLinux安全专用操作系统中集成的网络安全工具的功能和使用场景,形成身临其境般的学习体验,并通过课下的跟踪与扩展实验进一步理解掌握典型实验工具的使用;综合应用型案例是由教师选取典型的综合性实验环境及实验内容,让学生通过自己搭建实验环境、完成一定综合性实验任务来进一步理解掌握网络安全知识,形成网络安全综合应用能力。这些案例由浅入深、逐步深入,形成了网络安全教学案例体系,由教师与学生共同参与教学过程,促进学生创新及综合能力的发展。
3网络安全与管理课程教学案例实施
网络安全与管理案例教学改革需要解决如何从实际中选取典型案例、如何将课堂教授的知识应用到实际中去这两大突出问题。因此,教学案例的选择很大程度上关系到案例式教学效果的好坏,选择恰当的网络安全案例是案例教学设计中的关键一步。笔者选取情景引导型案例和综合应用型案例实施说明实施过程,实战演示型案例不再赘述。
3.1情景引导型案例实施
一堂课的开始部分至关重要,这是吸引学生学习兴趣、调动学生学习积极性的关键时间段,而情景导入是在课堂的开始部分引入知识点的关键环节。现实生活中有丰富的网络安全案例,需要选择其中有代表性、普适性、又能够吸引学生兴趣的案例,通过讲授实际案例,并围绕该案例从专业角度提出问题,突显要讲授知识的重要性,从而引导学生带着问题来学习与思考,教师开始相关知识点的讲授。案例教学设计:WannyCry网络勒索病毒在全球范围突然大规模爆发案例。案例背景及过程:2017年5月12日,WannyCry网络勒索病毒在全球大规模传播,通过该病毒全球传播热点图展示的全球传播态势,该病毒由不法分子利用高危漏洞“EternalBlue”(永恒之蓝)进行传播,该病毒会加密感染计算机上的文件,诱导用户支付比特币赎金,换取被加密文件的解密密钥。WannaCry勒索病毒导致至少150个国家、30万名用户的计算机被攻击,造成损失达80亿美元,影响金融、医疗、能源等众多行业,造成严重的全球性网络安全与管理问题。卡巴斯基实验室在2017年5月15日检测到WannaCry攻击数量与2017年5月12日相比下降了6倍,表明该攻击已逐渐得到控制。教师创设问题:WannaCry是利用什么漏洞进行网络攻击的?网络攻击者的目的是什么?攻击者为什么选用比特币作为勒索支付货币?如何有效运用网络安全技术防范该类攻击?引导学生分析问题:学生对该案例场景印象深刻,课堂讨论氛围浓厚,大多数学生了解该漏洞是利用了微软操作系统WindowsSMB协议远程提权漏洞;部分学生认为攻击者的目的是为了勒索赎金,也有学生认为攻击者的目的是为了测试该漏洞利用工具的威力;甚至有学生认为攻击者的目的是变相为比特币打广告,原因是攻击者通过比特币进行勒索,攻击发生后几个月内全球比特币价格大涨。在攻击者为什么选用比特币作为勒索支付货币问题上,学生认为是比特币支付的匿名特性。在运用网络安全技术防范该类攻击问题上,教师引导学生从多个方面对该类攻击进行防护,例如可以通过网络防火墙封锁445端口防止SMB协议通信,也可以通过升级Windows安全补丁包从根本上解决该安全漏洞;也可以通过主机防火墙关闭445端口,防止外部的SMB协议通信及连接;也可以通过骨干网安全设备检测WannaCry的C2连接流量,并进行实时阻断。教师归纳总结评价:WannaCry勒索病毒涉及的安全漏洞包括多个WindowsSMB服务漏洞(CVE-2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0148),该安全漏洞本质是微软操作系统SMB某函数处理参数时逻辑不正确导致越界拷贝,对应微软漏洞公告编号为MS17-010。攻击者利用该安全漏洞可以在受影响的计算机上远程执行任意代码。WannaCry勒索病毒在主机执行的操作是恶意加密,黑客之所以要求以比特币进行赎金支付,是因为比特币在支付转账时具有的全球化、去中心化和匿名性等特性,便于黑客隐藏真实身份。此外,由于比特币不受地域限制,可以在全球范围收款、转账,具有较好的货币流动性。在网络安全防范技术方面,可以从蠕虫病毒的感染源、传播途径、破坏后果等不同维度对该网络蠕虫病毒进行有效防范。教师通过对案例背景介绍、创设问题、引导学生积极思考并讨论问题、归纳总结评价学生回答情况,使课堂讨论过程热烈,所设案例内容备受学生欢迎。由教师给出全面合理的总结,使得学生深刻理解WannaCry勒索病毒传播特点,并为开展后续的网络安全加密、特定攻击防护技术等教学做好铺垫,激发学生对网络安全知识的学习兴趣。
3.2综合应用型案例实施
综合应用型网络安全教学案例突出网络安全知识综合性与实际应用。由于大学课堂教学学时的压缩趋势、学生学习兴趣及综合能力的差异化等特点,需要教师通过综合应用型网络安全案例充分调动学生课外的学习潜力和时间,一方面弥补课堂学时的不足,另一方面调动学生自主学习的积极性。网络安全综合应用型案例体现在案例所涉及知识点的复合性、操作过程的复杂性、案例构建的层次化等特点。重点培养学生对知识的整合能力、融会贯通和综合运用能力。学生在学习和实践Web安全知识时所面临的一大难点是需要一个安全、合法、有效的Web安全教学研究实验环境。WebGoat项目为Web应用程序安全学习创建了一个生动的交互式教学和体验环境。WebGoat是国际开放Web应用安全工程组织(OWASP,OpenWebApplicationSecurityProject)研制的用于Web漏洞安全实验的教学科研共享平台,WebGoat运行在Java运用环境,提供的实验课程有30多个,主要包括:跨站脚本攻击(XSS)、访问控制缺陷、操作隐藏字段、操纵参数、弱会话Cookie、SQL盲注、数字型SQL命令注入、字符串型SQL命令注入、开放认证失效、危险的HTML注释等。这些实训课程包括一系列操作步骤指导及答题指南,每个学生可根据学习兴趣选择其中一种Web安全漏洞进行攻防实验演练,每种安全漏洞实验按照由易到难编排,有利于学生由浅入深、逐步理解并实施实验内容。教师选择优秀者进行课堂展示与汇报交流,增强学生对网络安全攻防过程的实战体验,通过实操提高学生网络安全攻防技能,培养学生主动学习Web安全的积极性,培养学生创造性思维能力。由于网络安全攻防演练的特殊性[6],在课堂交流过程中,教师要提醒学生Web攻防需要在国家法律授权范围内研究和运用网络安全知识技能,了解Web安全漏洞和攻击的目的是为了更好进行安全防御,只能将所学知识用于安全防御目的,不能用于任何形式的攻击目的,加强学生的法律意识,拒绝黑帽、争做白帽,发扬国际白帽对网络安全技术的探索和共享精神。
4结语
WannaCry教学案例有利于学生对网络安全知识的理解与认识,培养学生对网络安全课程学习兴趣,促进学生对理论知识的深层次思考和理解认知;基于WebGoat网络安全漏洞演练综合实验,增强了学生实践动手能力,提高了理论与实验融合创新能力,使学生充分发挥潜能、由被动接受过渡到主动学习,充分利用课下时间学习Web安全技术,丰富了教学内容和教学方式,促进学生主动思考、参与实践,逐步由被动学习过渡到自主学习状态,取得了良好的教学效果。通过多轮的网络安全课程教学实践和学生反馈证明,基于案例的教学内容改革对于提高网络安全与管理课程教学质量是有效的。
参考文献:
[1]郑金洲.案例教学指南[M].上海:华东师范大学出版社,2000.
[2]方少红,陈传波.互动媒体工具在案例教学活动中的应用[J].计算机教育,2015(14):61-65.
[3]汪诚波,张钢,肖辉,等.基于SMSA计算机专业课程案例法教学的研究与实施[J].计算机教育,2012(8):77-80.
[4]刘晓波.“教学做合一”理论在实变函数课程教学中的实践[J].高等理科教育,2013(4):82-85.
[5]尧刚华.基于应用型人才培养的独立学院计算机网络实验教学改革研究[J].教育现代化,2015(5):32-35.
[6]邬晓钧,郑宁汉,陈永强,等.面向创新人才培养的网络安全软硬件实验体系[J].计算机教育,2018(3):41-45.
[7]陈红松.网络安全与管理[M].北京:清华大学出版社,2010.
[8]陈红松.高校网络管理与安全本科课程的教学改革与实践[J].中国科技论文在线,2010(11):1-7.
作者:陈红松 张冬艳 王小妹 单位:北京科技大学 计算机与通信工程学院
拼音教学论文 高中地理论文 素描教学论文 舞蹈教学论文 教学探究论文 音标教学论文 课程设计论文 教学模式论文 案例教学论文 播音主持论文 音乐教学论文 化学实验论文 政治教学论文 教育学论文 赏识教育论文 高效课堂论文 入学教育论文 实验教学论文 职教论文 外语教学论文 教学研究论文 学科建设论文 开放教育论文 教学设计论文 教学质量论文 教学方法论文 培训论文 教育技术论文 教育思想论文 教师教学论文
