基金项目:国防科技大学本科教育教学研究课题“面向专业核心能力提升的网络安全系列金课建设探索与实践”(U2019101)。
第一作者简介:施江勇,男,讲师,研究方向为计算机系统、网络安全,*********************。
0 引 言
习近平总书记对于网络安全高度重视,强调“没有网络安全就没有国家安全”“网络空间的竞争,归根结底是人才竞争”。信息安全专业人才的培养,对于提高我国在网络空间安全领域的话语权,保障国家安全具有重要作用。新的国际形势和飞速发展的网络安全技术也对信息安全人才培养提出了新的要求,为了落实新工科建设中关于加强实践教学的要求[1],培养卓越的信息安全专业人才,有必要改革现有的实验教学实施方法。
当前的线上线下混合式教学多数是采用MOOC+SPOC 方式进行的[2],更适合于理论教学。信息安全类
课程具备实践性强的特点,此类混合式教学方式不太适用。2020年新冠疫情期间,学生不在校、实验室远程访问困难,导致线下实验也难以组织。针对该问题,我们以计算机系统安全课程为例,探索信息安全类课程线上线下混合式实验教学的一般方法。
1 计算机系统安全课程的特点
涉及面广:计算机系统安全课程内容涉及计
算机安全理论与模型、计算机安全策略与机制、身份认证、访问控制、可信计算、安全审计、安全评估和管理、操作系统安全、数据库安全、浏览器安全、云安全、固件安全等,可分为安全理论基础、基本安全机制、系统安全应用、系统安全前沿4部分。
综合性高:计算机系统安全课程需要综合学生之前所学的计算机组成原理、操作系统、密码学、网络安全等课程的知识,通过融会贯通构建系统安全思维,掌握系统安全设计的一般方法;要求学生既熟悉各类计算机系统的基本安全原理,又熟练掌握计算机系统的安全编程方法。
理论性强:计算机系统安全课程通过分析总结各类计算机系统的一般安全原则和方法,帮助学生培养系统安全思维和系统安全设计能力,因此会将安全基础理论和安全设计原则的内容贯穿到具体安全机制讲解的整个过程中。安全理论需要在具体计算机系统中应用才能更好地理解,并以此指导新的实践。
正因为上述特点,计算机系统安全课程迫切需要设计合理的系列实验,将枯燥的理论具象化,将众多的知识点串联起来,将课程所学转变为实践能力。
基于线上线下混合的计算机系统安全课程实验
教学设计
施江勇,刘 强,解培岱,赵文涛,王勇军
(国防科技大学 计算机学院,湖南 长沙 410072)
摘 要:针对疫情期间计算机系统安全课程实验教学面临学生不在校、实验室难以远程访问的难题,提出调整实验教学的设计,充分利用云实验平台和学生自建实验环境相结合的方式开展线上线下混合式实验教学,并通过教学实例说明该实验教学设计能够有效提高课程的实验教学效率和效果。关键词:系统安全;线上线下混合式教学;实验教学
实验教学如何在疫情期间高效开展,实现既能检验所学理论知识,又具备高阶性、创新性与挑战度,保质保量实现“停课不停学”,是摆在计算机系统安全课程实验教学过程中的一大难题。在实际的教学过程中,计算机系统安全课程的实验教学面临着以下问题。
(1)实验平台的构建上面临困难。当前的实验平台大致分为3类:①学生利用自己电脑搭建,最为灵活,然而存在费时且环境不统一的缺点;②教学实验室,环境相对统一,但是由于属于内部环境,疫情期间学生访问困难;③公有云平台,如各类在线实验网站,然而免费实验较少且实验时长受限,实验过程和结果不便保存。
(2)实验内容的选择上面临限制。课时数有限且大量理论需要讲授,课堂实验课时受限,而授课对象为大三学生,学期课程任务重,自主学习时间也有限,因此选择哪些内容安排课堂实程的区别,也是实验内容选择上需要考虑的。
(3)实验方案的设计上要求较高。实验方案和指南设计过于详细(如列举出每一步的详细操作步骤),难以调动学生的积极性,不利于发挥学生的创造力,且在考评时千篇一律,难以体现差异。实验方案和指南设计过于粗糙(如只给出实验要求),可能打击部分基础较差的学生,使其无从下手。
3 基于线上线下混合的实验教学设计
为了应对疫情期间的实验教学难题并以此促进教学改革,我们提出了“云实验平台+学生自建环境”相结合的实验设计方案,并根据实验类型和能力目标的不同采用不同的实验形式、指导方式和考核方式。线上线下混合式实验教学模式的两种实验形式列于表1中。
表1 线上线下实验形式的区别
形式实验类型时间环境实验指导能力目标考核方式
线上工具体验类
安全配置类
功能验证类
课堂云实验平台详细实验指南配置与应用计算机系统安全功能的能力线上答题
屏幕分享
线下
分析类
设计类
开发类
课后学生自建实验任务书
发现、分析、验证计算机系统安全问题以
及对计算机系统安全功能进行编码开发的
能力
实验报告
课堂汇报课堂以安全工具体验、安全配置和验证类实
验为主,如安全策略配置、数据库安全、浏览器安全等,旨在培养学生配置与应用计算机系统安全功能的能力。该类实验相对简单,使用线上云实验平台进行,通过预置的虚拟机镜像快速在线部署实验环境,免去学生搭建环境的步骤,还能解决部分学生在家无法自建环境的问题,此外由于环境统一,可提供较为详细的实验指南,使学生可以在较短的时间内完成。通过该类实验可以给学生建立直观的
认识,增强其信心,提高学生进一步探索的兴趣,此外在线云实验可通过在线答题和随机共享屏幕的方式实现过程性考核。
课后则以设计类和开发类实验为主,如安全策略编程、访问控制机制编程、基于主机的入侵检测系统开发等,在直观理解课堂实验的基础上,适当增加实验的挑战度,培养学生发现、分析、验证计算机系统安全问题以及对计算机系统安全功能进行编码开发的能力。该类实验由于涉及计算机系统底层的修改和配置,不便于在公有云平台上开展,可以使用线下学生自己搭建实验环境的方案,只提供实验任务书,主要明确实验目的、实验任务并提供参考资料。实验任务采取阶梯式方案,包括必做部分和选做部分,必做部分通过学习参考资料基本能完成,选做部分需要学生自行探索,培养学生的创新能力。
针对实验内容选择上的限制,重点为实践性强、应用广泛的知识单元设计配套实验。对于某个具体的理论知识单元,采样递进式的混合式实验教学方案,通过课堂线上实验和课后线下实验的组合方式,实现对所学知识点从理论了解、直观认识到设计开发的能力提升,具体实验内容设计见表2。
计算机安全概述网络安全事件虚拟仿真安全事件场景分析计算机安全策略Windows 安全策略配置Windows 安全策略编程身份认证模型操作系统口令和凭证安全验证Kerberos 远程认证协议分析访问控制模型操作系统访问控制机制验证操作系统访问控制机制编程
数据库安全数据库安全配置和验证Sql 注入攻击和防护应用服务安全
浏览器安全配置和验证
基于主机的入侵检测系统开发
图1 操作系统访问控制编程实验的学生得分情况(横轴为学生编号,纵轴为得分)
针对其他知识单元,安全理论基础部分的知识贯穿于以上两类实验过程中,系统安全前沿部分内容主要以讲座方式进行,并同步发布创新创业项目题目,从而引导学有余力的学生进一步探索实践。
4 典型案例剖析
1)操作系统访问控制编程实验。
实验要求:该实验要求编程验证不同的操作系统访问控制机制,如自主访问控制、强制访问控制,选做基于角的访问控制机制、基于属性的访问控制机制。
实验环境:由于不同操作系统版本支持的访问控制机制不同,需要安装不同版本的操作系统,部分可能需要编译内核,因此选择学生自建环境的方式。
实验实施:基于攻防对抗方式[3]
,以Linux 系统为例,先通过系统API 编程实现自主访问控制,然后利用系统漏洞实现提权,验证自主访问控制的不足,而后配置SELINUX 模块,再次测试提权漏洞,验证Linux 系统的强制访问控制机制。
效果分析:为鼓励学生挑战和创新,我们在线下设计开发类实验的评价标准中设置“发现、分析、探索和解决新的问题”以及“完成选做内容”两个加分项,同时鼓励学生上台交流。依据该标准的评价结果如图1所示,必做部分完成情况均较
好,而且都获得了一定的加分。学生在实验过程中加深了对不同访问控制机制优缺点及适用范围的理解,掌握了访问控制策略设置和API 编程的基本技能,部分学生通过编程模拟实现了基于角的和基于属性的访问控制机制。
2)数据库安全配置和验证实验。
实验要求:该实验要求对MYSQL 数据库进行安全配置,实现为不同账户配置不同的权限,并通过SQL 注入验证配置的有效性。
实验环境:由于需要配置应用环境且环境相对统一,采用线上云实验的方式,配备详细的实验指导书。
实验实施:基于提供的虚拟机,验证SQL 注入漏洞,之后对MYSQL 数据库的访问控制策略进行设置,通过视图机制限制用户对某些行和列的访问,再次执行SQL 注入,验证访问控制机制是否有效。
效果分析:通过云上实验,学生可以节省搭建环境的时间,同时由于环境统一,实验指南较为详细,
可以快速完成实验,老师也可以实时监
率,可考虑迁移到线上进行,从而在有限的时间内实现课堂实验、课堂反馈、课堂讲评的完整授
课流程。
(2)教学实施上要加强过程监督和指导。线上实验方便进行,但是由于老师和学生没有面对面,容易出现部分学生不做实验或只做部分内容的情况,为此一方面可以设计一些实验过程中的实验答题,另一方面也可以通过屏幕监控的方式进行监督。线下实验则由于相对复杂,
一方面要提供尽可能多的参考资料,另一方面需要加强阶段性验收和检查,及时给予学生必要的指导和反馈。
疫情期间,面对学生不在校、实验室难以远程访问的难题,我们通过调整实验教学的方式,充分利用云实验平台和学生自建实验环境相结合的方式开展线上线下混合式实验教学,有效提高了计算机系统安全课程的实验教学效率和效果。这种教学方式可作为一种常态化教学方式应用于其他信息安全类专业课程,并可考虑通过建设私有云实验室的方式实现两者的统一。
参考文献:
[1] 教育部, 工业和信息化部, 中国工程院. 关于加快建设发展新工科 实施卓越工程师教育培养计划2.0的意见[S]. 教高[2018]3号.[2] 苏小红, 赵玲玲, 叶麟, 等. 基于MOOC+SPOC 的混合式教学的探索与实践[J]. 中国大学教学, 2015(7): 62-67.[3] 陈辰, 张睿,
韩伟力. 信息系统安全教学中的对抗式实验教学设计[J]. 计算机教育, 2020(2): 1-4.
(编辑:宋文婷)中国在线编程
图2 实验实时监控和过程性考核
选择错误较多的题目重点讲解,对错误较多的学生进行重点指导。
5 结 语
针对线上线下混合式实验教学方式,结合计算机系统安全课程的实施,总结经验如下。
(1)线上线下实验的内容选择上要做区分。不是所有实验都适合线上进行,如固件安全和虚拟化安全这类偏向于系统底层的实验,现有的各类云平台都无法向用户提供对于底层硬件和虚拟化软件层的修改和控制;对于系统编程设计类实验,由于完成作业的时长较长且需要保存实验环境,更适合线下进行。部分系统应用层的安全类
发表评论