網絡空間安全人才培養的實踐教學探索

摘要：針對網絡空間安全人才培養的實踐教學特點，分析網絡空間安全實踐教學內容的選??；針對所選取的教學內容搭建相應的實踐教學環境，為網絡空間安全人才培養提供課程理論與實踐動手相聯系的實踐教學方法，從而為網絡空間安全人才培養的相應課程建設提供新的參考。

關鍵詞：網絡空間安全；信息安全人才培養；實踐教學

l 背景

隨著人類個體和社會活動的線上與線下部分通過物聯網和互聯網的融合互通，人們已經越來越難以區分線下實體行為與線上網絡活動的邊界。確切地說，網絡空間（cyber space）是由人類利用計算機和通信設備所構建的一切通信網絡中的信息形成的空間，在實際中往往包括互聯網、物聯網以及網絡中所處理、傳輸和存儲的一切信息數據。網絡空間安全（cyber security）是研究在有攻擊者的前提條件下，網絡空間中各種數據、網絡和系統在采集、處理、傳輸、存儲等環節所面臨的安全威脅，進而研究相對應的抵御安全威脅的防護方法與手段。從廣義上來看，網絡空間安全除了傳統信息與網絡安全所包括的保密性、完整性、認證性和可用性，還應包括組成網絡空間的鏈路與系統的可靠性、可信性和安全陛。

在我國，截至2014年，教育部批準全國共116所高校設置信息安全類相關本科專業，其中信息安全專業87個，信息對抗專業17個，保密管理專業12個，已經培養信息安全類專業本科畢業生約10000人/年。作為國家信息安全保障體系建設的人力資源基礎，網絡空間安全人才培養的時效性和實用性成為網絡空間安全相應課程教學的主要需求。由于網絡空間安全涉及信息系統安全、網絡安全、物聯網安全、云計算安全等新一代網絡應用的各個方面，需要面向實際分析安全威脅并提出跨領域的安全保護措施與解決方案，因此網絡空間安全人才培養的實踐教學方法尤為關鍵。由于網絡空間安全隨著信息系統、物聯網、云計算、大數據等計算機科學新技術和新應用不斷進化，因此就要求網絡空間安全課程的教學和實驗內容應該與網絡空間應用技術同步衍化、融合與發展。針對各種新技術以及應用場景對于網絡空間安全所提出的新要求，教師需要對學生進行實例化和直觀化的講解。

2 網絡空間安全人才培養的特殊性

隨著互聯網在社會各個領域的普及，網絡空間安全問題日益突出，社會對于網絡安全人才培養的需求也在不斷增加，同時對人才培養的時效性和實用性要求也在不斷提高。目前的網絡空間中，往往包括由互聯網或各種專用網絡組成的云計算系統、PC終端、移動智能終端和物聯網設備及其涉及的軟件、硬件和數據信息。從定義上來看，網絡空間安全與傳統信息系統安全有所不同。網絡空間中涉及的實體與數據沒有固定邊界，互聯網去中心性和分布式的特點使得在網絡空間中對于實體和數據也難以做到集中管控。由于信息安全攻防技術的不斷發展與改進，用戶在網絡空間中的數據和系統軟硬件本身的安全性面對著極大的挑戰。網絡空間安全人才的實踐教學必須包含信息系統安全、物聯網安全、云計算安全、大數據安全等方面的內容，才能令學生理解并掌握網絡空間中實際用戶所面臨的安全威脅及其防護方法。

網絡空間安全涵蓋計算機與網絡技術的方方面面，在教學中，如果教師僅僅突出某一方向上的理論理解，那么學生對于網絡空間安全的整體性就得不到充分的認識。以近年來發生的網絡用戶口令泄漏為例，事件本身是由于網站存在SQL注入攻擊，導致黑客獲得熱門網站的數據庫訪問權限，從而導出用戶口令資料。從網絡空間安全的整體上來看，網站存在SQL注入攻擊僅僅是導火索，導致該事件造成最終危害的原因還應包括：①網站用戶口令認證協議不符合互聯網環境下的安全需求，不應存儲用戶口令明文；②不同的網站應用中，用戶往往采用相同的用戶名和口令進行登錄，這恰恰是網絡空間安全環境下需要重視的；③某些網站雖然采用散列函數對用戶口令進行保護，但是由于存儲在網站數據庫中的散列值并沒有進行加鹽（salt）處理，因此黑客很容易通過字典或彩虹表破解的方式，恢復出某些用戶所采用的短長度口令。上述3個安全漏洞均需要安全管理員對于網絡空間安全的整體性和復雜性加以充分認識。因此，在網絡空間安全人才培養的實踐教學上，教師必須注重教學內容的時效性和實例性，讓學生能理解并掌握現有和未來可能發生的黑客威脅和攻擊方式，通過實踐掌握相應的安全保護技術，才能真正培養出符合實際應用需要的網絡空間安全人才。

3 網絡空間安全實踐教學內容

由于網絡空間安全人才培養的特殊性，網絡空間安全實踐教學內容必須做到實踐動手能力培養與理論教學并重。在開展實踐教學之前，教師必須要對當前網絡空間安全的現實情況和熱點問題加以分析，在圍繞安全威脅產生原理進行理論基礎教學的同時，選擇合適的軟硬件重現相應的網絡空間安全應用場景，通過實例化的教學方式確保實踐教學達到預期教學目標，提高教學質量。根據當前網絡空間安全的現實和熱點問題，筆者選擇信息系統安全、物聯網安全、云計算安全和大數據安全4個熱點應用，作為網絡空間安全實踐教學內容的重點。

3.1 信息系統安全

在網絡空間中，各種信息系統承擔著信息輸入輸出和用戶業務處理的功能。伴隨著相關技術的不斷發展，攻擊者對于網絡空間中信息系統的攻擊和破壞方式也在不斷更新。傳統的信息系統安全保護措施大多考慮信息在傳輸過程中的惡意行為，因此往往局限于采用防火墻、漏洞掃描、病毒防護、入侵檢測等網絡安全技術加以防護。在這些技術的保護下，攻擊者入侵系統的難度大大提高。

在實際中，攻擊者往往采用高持續性威脅（advanced persistent threat，APT）的方式攻擊和破壞信息系統的安全防御。針對這種威脅，目前大多采用社會工程學、軟硬件后門、Oday漏洞等常見方式進行防護。因此，在網絡空間安全的人才培養中，教師必須講解最新攻擊方法的原理與實踐知識，讓學生從正反兩方面學習攻防技術所涵蓋的知識點，能夠在未來實際的信息系統開發或安全維護工作中，大大降低上述安全威脅成為實際風險的概率，提高實踐教學的實用性。

3.2 物聯網安全

網絡空間安全必然涉及負責數據感知和采集任務的物聯網的安全。由于物聯網主要依賴各種嵌入式設備如無線傳感器網絡（wireless sensor network，WSN）和無線射頻芯片（radio frequency identifier，RFID）進行數據采集與感知，因此物聯網安全的實踐教學內容必須與傳統網絡安全有所區別。在傳統網絡中強調的數據傳輸和存儲安全威脅，物聯網中仍然存在并且解決方案與傳統網絡區別不大，主要通過采用輕量級的密碼學與信息安全協議加以保護，如采用基于橢圓曲線的公鑰密碼算法和輕量級對稱密碼算法，代替傳統常用的RSA公鑰密碼算法和AES算法對數據進行加密傳輸和存儲。

在物聯網安全的實踐教學中，教師應向學生強調現實中攻擊者往往利用側信道分析等芯片物理攻擊技術，繞過傳統網絡安全保護技術，直接對物聯網硬件進行攻擊，如近年來出現的針對銀行芯片卡或射頻卡的簡單/差分功耗分析（simple/differential power analysis）、針對傳感器微處理器執行信息安全算法的時耗分析（timing analysis）等。上述側信道分析的實踐教學內容在廣泛使用的網絡安全本科教材中體現較少，但直接采用面向專業研究人員的教程又太過深入口，這就需要教學人員針對不同類型的學生（如偏向計算機專業或偏向電子信息專業），有選擇性地對物聯網所需重視的安全威脅和相應保護技術進行實例化講解，從而達到面向實踐的網絡空間安全人才培養目標。

3.3 云計算安全

云計算技術借助互聯網、虛擬化和分布式技術，可以將數據計算和存儲任務分布在由大量計算機構成的資源池上。云計算的優勢對于用戶而言是能夠按照實際所需的計算、存儲和服務加以使用，提高服務的伸縮性和靈活性，簡化資源和服務的管理和維護，因此已經成為未來互聯網與信息系統發展的主流方向。云計算的發展需要解決的核心安全問題可主要分為虛擬機安全和訪問控制安全兩大方向。作為網絡空間應用環境的重要組成部分，云計算安全一方面需要承載計算任務的虛擬機能，以抵抗攻擊者或惡意用戶對計算數據的竊取或破壞；另一方面也需要對云計算環境下數據存儲與程序運行的訪問控制權限進行嚴格保護。

對于虛擬機安全，教師在實踐教學過程中可以通過對Virtualbox、VMWare等典型虛擬機系統進行系統化教學，讓學生掌握虛擬化技術下計算資源的分配與隔離等虛擬機安全關鍵技術；在訪問控制安全上，在實踐教學過程中除了講解基礎的自主/強制訪問控制、基于角色的訪問控制等基本訪問控制技術外，還需要引入近年來在云計算安全中提出的各種新型訪問控制模型，如IRBAC2000模型、基于信任的動態RBAC模型、基于同態密碼學方案的可搜索加密模型等。只有在充分理解虛擬機安全和訪問控制安全的前提下，才能充分理解云計算安全在網絡空間安全中所起的重要作用。

3.4 大數據安全

隨著互聯網技術日益深人人們的日常生活，人們生活中的各種信息從線下往線上發展。根據相關統計，近兩年互聯網中新產生的網絡日志、音頻視頻、地理信息等數據就占到全球數量總量的90%。各種大數據應用中，往往需要將用戶輸入或存儲在已有數據庫中的結構化數據轉換為非結構化的數據轉換與存儲，對轉換和存儲過程中的數據訪問也需要有效地加以管控。大數據應用中的數據安全既是安全技術問題，又是隱私保護問題。如果在大數據分析中特別是數據在不同系統中處理流轉不當時，造成用戶數據的泄漏，由于大數據系統的海量數據性，往往就將導致大量用戶的個人信息甚至隱私泄漏，所造成的后果比某個信息系統數據泄漏要嚴重。

在實際中，大數據安全主要包括存儲大數據的文件系統或數據庫的安全性，以及對于大數據進行處理的數據處理算法和系統的安全性。在實踐教學內容中，教師可以通過創建大數據系統實例的形式，讓學生理解并掌握大數據應用中文件系統和數據庫安全所起的作用；同時對于大數據處理中用戶隱私信息的盲化技術加以講解，如基于同態密碼學算法的外包計算技術等，加強學生對大數據安全領域安全威脅和保護方式的掌握。

4 網絡空間安全實踐教學環境搭建

網絡空間安全是近年來新提出的概念，知識體系和內容仍然處在成長期。從目前來看，網絡空間安全整體上還沒有在實踐教學中廣泛使用的實驗平臺。雖然從信息系統安全和網絡安全的角度，目前已經有比較成熟的實踐教學實驗平臺和相關信息安全實驗器材，但是由于網絡空間技術的高速發展，如物聯網、云計算、大數據等新技術的出現，如果網絡空間安全實踐教學環境僅僅只是延用舊有的信息系統、密碼學或網絡安全實驗平臺，那么將大大影響學生對網絡空間安全的實際理解與掌握。因此，教師有必要針對上一小節提出的實踐教學內容以及信息系統安全、物聯網安全、云計算安全和大數據安全，設計相應的網絡空間安全實驗內容，最終為網絡空間安全人才培養搭建時效性強和實用性好的實踐教學方案。

4.1 信息系統安全實踐教學環境

在信息系統安全的實踐教學中，教師可圍繞高持續性威脅所涉及的社會工程學、軟硬件后門、Oday漏洞等方式，基于操作系統和數據庫這兩大信息系統基礎性軟件工具，進行安全攻防技術的實踐教學。

在操作系統方面，教師可首先比較Linux和SELinux操作系統，使學生理解操作系統的訪問控制原理是如何在防御非法訪問和遠程攻擊提權上起到保護作用，并通過Linux操作系統用戶登錄口令的驗證和存儲，了解信息系統如何通過加鹽、散列等方式抵抗字典攻擊和暴力破解；再基于Windows系統，講述操作系統定期對漏洞進行補丁升級的必要性和重要性，通過虛擬機運行舊版本Windows操作系統感染Oday病毒或木馬的形式，幫助學生對Oday漏洞的風險和危害產生直觀的認識。

在數據庫安全方面，教師可通過采用開源數據庫MySQL作為實例，講述數據庫安全中的用戶管理和權限分配，幫助學生熟練掌握信息系統所訪問的數據庫和相關數據表的訪問權限設置；同時針對遠程數據庫訪問常見的注入攻擊進行實例化講解，通過開源仿真環境WebGoat模擬攻擊者對數據庫進行注入攻擊，竊取無訪問權限的其他數據表甚至提升數據庫root權限的過程。在熟練掌握上述操作系統和數據庫安全技術的情況下，學生可以充分理解信息系統安全在實際中存在的威脅，為將來開發和維護工作中會出現的安全問題做好準備。

4.2 物聯網安全實踐教學環境

利用目前學術界已提出的輕量級密碼學算法如已成為國際標準候選算法的PRESENT和CLEFFIA，在基于ATtiny系列微處理器的無線傳感器（MICAz、IRIS、TelosB等，也可選擇采用相同處理器的國產無線傳感器，實驗方式差別不大）上，基于AVR Studio進行AVR C或ASM語言程序開發，可以完成物聯網環境下的數據加解密、散列和認證操作相關實驗。在RFID安全性上，可以基于符合EPC-Global標準的RFID開發平臺，測試RFID芯片與閱讀器之間的數據安全保護機制；在側信道安全性分析上，可以基于Risecure公司的能耗、時間、故障分析平臺，對WSN和RFID所使用的芯片進行側信道安全實踐教學。雖然Risecure公司的分析平臺實用性較好，得到物聯網安全業界的廣泛認可，但是售價較高。在實踐教學中如果條件受限，可采用示波器+探針+穩定直流電源的方式搭建簡易分析平臺，也可達到相應的實踐教學效果。

4.3 云計算安全實踐教學環境

在云計算安全教學實際中，可首先通過OpenStack等開源軟件自行搭建實驗用云平臺，幫助學生熟悉云計算環境下用戶訪問與行為的特點，從而更好地理解云計算中數據安全、網絡安全和系統安全所需要達到的不同安全目標。在虛擬機安全教學中，教師可通過Virtualbox這一開源虛擬機軟件進行實例化教學；特別是在虛擬機底層安全性方面，Virtualbox可以提供各種不同的插件（USB訪問、內存虛擬化等）以及豐富的文檔和源代碼研究資源，很好地實現虛擬機安全實踐教學的目的。

在訪問控制方面，學生可通過OpenStack平臺的相應管理設置，理解不同訪問控制機制在云計算環境下的不足之處，再對照最新的面向云計算環境的訪問控制機制（如IRBAC2000等）進行實例化開發，從而理解并掌握云計算下訪問控制的實現原理。對于基于同態密碼學算法的可搜索加密方案，學生可通過OpenSSL開源軟件進行相應的方案實現；由于OpenSSL自帶各種密碼學算法庫，因此學生在具體方案實現上僅需要參考相應文檔即可。如果教學時間和條件受限，教師也可簡單通過OpenShift等開源云計算平臺，對學生進行云計算環境下安全問題的實踐教學。

4.4 大數據安全實踐教學環境

在實際中，大數據與云計算往往密不可分，因而在大數據安全實踐教學環境的搭建上，可以充分利用上述云計算安全實踐教學環境下的現有資源。如果已經基于OpenStack建立相應的云計算安全實驗環境，就可以基于該環境搭建基于NoSQL的分布式存儲技術構建的大數據存儲環境。在支持NoSQL的開源數據庫中，MongoDB得到廣泛認可，因此可基于MongoDB數據庫的訪問，設置相應的安全場景，對學生進行體驗式教學，讓學生從大數據安全管理者的角度，理解并掌握基于NoSQL的MongoDB所需要注意的安全問題。在大數據中的隱私保護問題上，教師可以通過設置SQL到NoSQL的轉換、大數據用戶信息挖掘等實驗場景，設定具體的用戶隱私抗泄漏要求，讓學生設計相應的用戶隱私保護方案，從而達到更好的大數據安全實踐教學效果。

5 結語

作為信息系統安全人才培養核心知識體系未來發展的重要方向之一，網絡空間安全由于其理論體系具有前沿性以及相關實踐知識更新速度較快，使得網絡空間安全人才培養與課程建設具有很強的時效性與動態性。筆者從網絡空間安全人才培養的實效性出發，基于網絡空間安全所包含的重點應用選擇相應的實踐教學內容，從節約資源和可操作性強的角度盡量選擇開源軟件或平臺搭建實驗環境。筆者提出的實踐教學方案作為網絡空間安全人才培養教學過程中的探索，在未來的教學與人才培養過程中還需要進一步加以總結完善，以最終達到網絡空間安全人才培養中學生積極性、學習有效性和社會認可度三者統一的實踐教學目標。