計算機安全類課程實戰型實驗研究

摘要：本文針對計算機安全類課程實驗教學，研究設計了實戰型實驗并付諸實踐，總結了改革經驗與存在的問題，對計算機安全人才培養模式進行了有益探討。

關鍵詞：計算機安全；實驗教學；實戰；人才培養

中圖分類號：G64

文獻標識碼：B

文章編號：1672-5913(2008)06-0035-02

目前大多數計算機安全類課程的實驗環境與真實的計算機使用環境偏離較大，實驗約束過多，實驗內容單一，驗證性成分過大，實驗設計過于粗糙，綜合性不強，使得學生動手能力弱，不能解決在計算機實際使用中遇到的安全問題，甚至對比較簡單的安全問題也不能合理高效地處理。而且實驗內容的淺輒離散與實驗效果的不明顯，使得學生對課程缺乏足夠的興趣，直接影響了課程目標的達成。因此，如何提高計算機安全類課程實驗教學效果成為值得探討的話題。本文對計算機安全類實驗進行了改革嘗試，設計實施了實戰型實驗。

1實戰型實驗設計

(1) 設計思想

實驗環境的設置盡可能接近真實的計算機使用環境。真實的計算機安全環境是十分復雜的，實驗環境的盡量模擬，較少的實驗約束，大大增強了實驗的設計性與綜合性，實質上提升了實驗教學目標；在十分逼真的實驗環境中，完成實驗任務具有更大的挑戰性，學生的學習興趣更加濃厚，主觀能動性得到極大發揮；實驗獲得的經驗，容易遷移到真實的計算機使用環境，方便今后的實際工作與繼續提高。

(2) 實驗分組

計算機安全技術實質上是在一對矛盾沖突中發展起來的，即“攻”與“防”兩個方面。將一個標準班對半分為2組，為了便于描述，簡稱A組與B組，分別承擔“攻”與“防”任務，并適時進行角色轉換，從不同側面認識計算機安全，掌握較全面的計算機安全技術。兩組之間既有競爭，又有協作。

(3) 實驗時間安排

實戰實驗集中課程后部，這時候學生具備了基本的計算機安全知識，掌握了一定的計算機安全技術，學時在30學時左右。由于模擬實戰環境，課下依然可以進行攻擊與防守訓練，學生在該實驗項目上投入的時間可以遠遠超過計劃學時。

(4) 實驗內容與步驟

實戰型實驗選擇網絡應用環境，符合現實典型計算機應用環境。實驗目標系統為WWW與FTP服務器系統，是常見的應用系統。目標系統置于校園網內部，可以從內網訪問，也可以通過Internet訪問，增加了安全情況的復雜性，同時具有了實驗場所與實驗時間上的靈活性。

第一階段，構建實驗目標系統。兩組首先協作，根據計算機安全和相關課程知識，構建服務器，放置學生制作的課程網站，提供WWW與FTP服務，并建立防護系統。該階段約持續2教學周。

第二階段，攻－防實戰。A組攻擊，B組進行防守。每次服務器被攻陷，防守方進行修復；若較長時間不能修復，則進行雙方研討，攻擊方說明攻擊手段、方法、工具、過程；防守方再次進行修復；繼續“攻－防”。該階段約持續3教學周。

第三階段，防－攻實戰。A組防守，B組進行攻擊。實驗內容與步驟同第二階段。該階段約持續2教學周。

第四階段，進行實驗總結。兩組同學通過自己的攻擊與防守實踐，總結出針對實驗目標系統類型攻擊的慣用技術手段，以及抵御攻擊的有效方法。個人總結實驗心得。該階段約持續1教學周。

教師作為指導協調者，根據教學規律與實驗實施的實際情況，同步指導。

2實驗實施

按照實驗設計實施實驗，并根據教學反饋，進行修正調整。

第一階段：兩組協作構建目標服務器及防御體系。學生實驗熱情極高，能如期構建好目標服務器與防護系統。服務器放置學生自主設計編制的課程網頁，根據書本知識及利用網絡資源，盡量完善安全措施。學生渴望攻擊與防守實戰，但缺乏計算機安全實踐經驗，對即將到來的攻擊及產生的后果沒有清楚的認識。此階段實驗綜合性強，內容涉及了安全編程、路由器、交換機設置、網絡操作系統、安全管理系統、團隊協作等，學生表現出的綜合能力、安全視角有限。此間，教師指導主要針對學生提出的問題，而對學生未想到的問題不全面主動提出。

第二階段：攻擊—防守訓練。攻擊方明顯占優勢，系統被攻破的次數頻繁。這主要是系統建構時經驗不足，技術不夠；而攻擊方普遍采用工具，攻擊能力強大。雙方進行研討時，攻擊方基本能敘述清楚攻擊過程、采用的工具和方法，卻不能很清楚地解釋機理。防守方進行修復與完善，一方面得益于與攻擊方的討論，另一方面得益于網絡上搜集的信息和教師的指導。該階段還暴露了防守方人員安全管理意識薄弱，忽視安全技術文檔建設。此間，教師指導以啟發性為主，以鍛煉學生能力，提高實驗效果。

第三階段：防守—攻擊訓練。目標系統較第二階段明顯可靠。雙方都扮演過對方的角色，對計算機安全認識更深刻，安全技術也有了一定的提高，攻擊與防守的較量在更深技術層次上進行。雙方對安全編程、攻擊機理等都有了更深的認識，并能應用于實踐。雙方開始不滿足于實驗范圍限定在教學目標系統，開始尋找外部網站漏洞，并進行攻擊嘗試。此間，教師指導在較高抽象層次，并強調計算機法規與網絡道德。

第四階段：實驗總結。形成較全面、準確的分組實驗總結，記錄實驗過程，從技術與管理層面，歸納出針對實驗目標系統類型攻擊的常用手法和有效對策；個人總結出實驗心得，從個人貢獻、實驗過程、方法手段、工具、技術提高等方面進行總結；將實驗過程中發現的校園網等實驗目標系統以外系統的安全隱患通告相關單位部門。此間，教師在文檔的種類、內容的全面性、邏輯性等方面加強指導。

3實驗分析與總結

實戰型實驗形式極大提高了學生的學習興趣；實驗者搜集、選擇、使用安全工具的能力得到極大提高；實驗者對某種類型應用系統攻擊與防守的主要技術都有了相當掌握；實驗者對團隊協作、文檔建設、人員安全、安全法規有了一定認識。

從技術上講，教學效果甚至出乎意料。本來目標系統是建立在Windows操作系統之上的，但有些同學成功地在UNIX游戲私服上放置了模擬木馬文件；有的同學利用匯編語言知識成功地編制了具有隱蔽與自我傳播能力的類病毒；有的同學侵入了校外的服務器。

但實驗實施中也暴露了一些問題。在團隊組織上，每組人數過多，學生團隊協作經驗不足，實驗任務分配不均衡，主要工作往往是由技術水平較高的同學承擔，從而技能訓練所得差距較大，技術水平越高的同學進步越大。如何分組和分配實驗任務，以便所有同學都學有所得，需要進一步研究。

計算機安全是系統工程，涉及的實驗內容過于龐大，而實戰型實驗又不好限定攻擊手段和方向。隨著實驗的進展，實驗任務量不可避免地劇增，因此實驗內容限定需要進一步研究、規范。

學生遵守計算機法律法規及網絡道德的意識淡薄。雖然教師有意強調，還是有許多同學攻擊目標超出實驗范圍，帶來了社會危害風險。攻擊效果要求可以驗證即可，但有學生還是在好奇心與成就感的驅使下，有網頁篡改等非善意行為。

學生技術文檔意識淡薄，寫作能力低下，往往不能準確重現攻擊—防守過程，即使安全體系完善也往往缺乏配置文檔資料，這方面在最后總結階段表現得十分突出。

4實驗對安全人才培養模式的啟示

實戰訓練得到的一個明顯的經驗是：實驗環境越寬松，對攻擊約束越少，訓練效果越好，然而這樣也越容易造成社會危害，觸及法律和道德。以中國計算機安全受教育者之眾，反觀出名的黑客數量是極為不成比例的。出名的黑客都是計算機安全某一領域的高手，但之所以出名，往往是造成了較大的危害影響。從學校、教師的角度講，循規蹈矩進行計算機安全人才培養是穩妥和可以理解的，但從世界范圍內的競爭和國家安全的角度看，卻未必是好事。那么應該營造怎樣的計算機安全人才培養環境？這應該是一個值得探討的話題。