項目化實踐教學在《網絡安全》課程中的應用

◆張 鑫 張 婷

(1.南陽理工學院軟件學院 河南 473000；2.南陽師范學院計算機與信息技術學院 河南 473000)

項目化實踐教學在《網絡安全》課程中的應用

◆張 鑫1張 婷2

(1.南陽理工學院軟件學院 河南 473000；2.南陽師范學院計算機與信息技術學院 河南 473000)

依據《網絡安全》課程的特點和實踐教學存在的問題，提出項目化實踐教學方法，結合真實應用場景，讓學生自主構建網絡安全的知識體系。教學效果表明學生在專業技能方面得到良好的收獲。因此，采用項目化教學法改革《網絡安全》課程實踐教學，能夠培養學生創新能力，提高實踐教學質量。

網絡安全；項目化；實踐教學

0 引言

目前，隨著電子商務和電子政務的發展，信息安全的評估體系已經得到了企業，國家金融機構的高度重視，具有良好的研究和發展空間。在國內外業內的研究中，安全標準的設計、安全模型的選擇、各種安全因素的提取、安全評估方法、安全評估實施、變得越來越重要，對于網絡安全的重視程度越來越高。因此作為計算機專業的學生，需要掌握一定的網絡安全知識，并牢固樹立信息安全意識。

1 課程特點及教學現狀

網絡安全課程的教學實踐表明，學生學習的積極性隨著課程的深入，逐漸減弱。學生難以充分理解課程中相關知識點。在動手實踐過程中，難以結合相關技術解決出現的網絡安全問題[1]。

1.1 多門專業課基礎

由于網絡本身包含面非常廣，既包括網絡設備又包括網絡系統，所以錯綜復雜的環境導致了網絡安全研究是比較難的研究點，需要學生掌握大量的網絡知識。這些知識不僅包括操作系統，網絡架構，網絡協議等計算機知識，還包括密碼學這樣的數學知識[2]。在實踐過程中，還需要有一定的軟件基礎，包括數據庫、數據結構、算法和高級語言。

1.2 課程實踐性質強

網絡安全課程是一門應用性強的綜合性課程，需要將理論知識和實踐操作相結合[3]。教師需要在有限的學時內傳授學生基本原理和常用技能，讓學生能夠解決常見網絡安全問題，成為學以致用的人才。

1.3 實踐教學的內容更新變化快

各種網絡安全問題隨著物聯網和云計算的廣泛應用不斷出現，網絡安全技術也在不斷更新。網絡安全的教學實驗如果僅停留在單一的形式上，缺乏對前沿網絡安全應用以及安全隱患的解決方案的講授，會讓教學環節和實際應用出現脫節[4]。

1.4 學生能動性調動不足

實驗內容多為驗證性，學生在知道實驗結論的情況下，很容易按部就班地完成實驗，不能積極調動起學生的能動性[5]。學生在實踐環節，發現問題和解決問題的能力得不到良好的鍛煉，影響了實踐教學的效果，不利于學生創新思維和創新能力的培養。

2 項目化教學實例

依據《網絡安全》課程的特點及現狀，提出了項目化教學的方法。項目化教學法以項目為載體，學生為主體，將學生和項目緊密配合，面向實戰，強調“做中學”[6]。學生的各種能力的訓練和知識的運用都隨著項目的逐步完成得到鍛煉和提升。筆者結合某職業學院的網絡安全風險評估項目，將《網絡安全》課程中的重要知識點串接起來，讓學生自主構建網絡安全的理論體系，并動手實踐。

2.1 網絡安全風險評估

網絡安全評估是對整個網絡架構，做一個整體的安全評測，通過對數據庫、操作系統、管理制度等多方面的綜合評估，分析出網絡潛在的安全威脅，提出一個針對性的解決方法和對策，在最大的程度上保護評估目標的資產安全。網絡安全評估主要的任務如下：

（1）對漏洞和風險點進行識別，簡述其原理和屬性，統計其出現的頻率。

（2）對具體的漏洞和風險點進行詳情分析。

（3）根據漏洞和風險點的嚴重程度，預估其可能造成的危害。

（4）根據其脆弱性所涉及的系統或者應用的價值，預估其可能造成的損失。

（5）綜合統計預估漏洞和風險發生后，可能產生的影響，規劃風險等級。

2.2 某職業學院的網絡安全風險評估

（1）IP地址檢測

使用ping命令通過發送ICMP數據包進行主機之間的交互，然后回顯數據包，獲取IP地址信息，常用于檢測網絡是否通暢，兩臺主機之間進行連通性測試。

（2）操作系統和服務器類型探測

①作系統探測

a.不同的操作系統其TTL的數值是不同的，使用ping命令看返回的TTL的數值來判斷操作系統類型。

b.使用工具進行探測(namp)，工具探測會分析返回包的特征，據此判斷操作系統的類型，nmap測試結果如圖1所示。

圖1 nmap測試結果

②服務器類型探測

常用的web服務器有IIS，Apache，nginx，測試過程中，確定其web容器非常重要，因為它決定了攻擊手法和攻擊方向。使用工具探測(wwwscan)，測試結果如圖2所示。

圖2 wwwscan掃描結果

（3）端口掃描

通過對目標的端口掃描可以確定其上開放的端口信息，不同的端口對應著不同的服務，主要采用了nmap對端口進行探測，掃描結果如圖3所示。

圖3 nmap掃描結果

結合以上的操作步驟，某職業學院的整體信息統計如表1所示。

表1 整體信息統計

（4）工具掃描探測

①目錄掃描

通過對網站目錄的掃描，可以獲取網站的整體的大概架構信息，使用工具AWVS能很快的爬取到網站的一些目錄，根據其爬取的目錄對目標網站進行分析，查看是否有可疑的URL連接并可做驗證處理，為進一步的滲透測試提供條件。

②網站漏洞掃描

使用butpsuite對網站進行漏洞掃描測試，掃描結果如圖4所示。

圖4 burp掃描結果

結果分析：通過工具可以發現網站的一些安全問題，但是由于網路或者防火墻的影響，可能造成誤報，所以還需要進行手工的漏洞挖掘和探測驗證。

（5）手工驗證測試

①sql注入漏洞檢測

使用sqlmap自動化sql注入工具進行驗證，能夠精確的識別sql注入，如圖5所示。

圖5 sqlmap驗證圖解

結果分析：目標某子站存在嚴重的sql注入漏洞，危害網站數據安全。

②XSS漏洞檢測

構造paylaod進行測試，常用的xss payload如下：

結果分析：目標站點某子站存在反射型XSS，通過構造閉合可成功彈窗，惡意攻擊者可構造特殊的連接，盜取其他用戶的cookies等重要敏感信息。

③信息明文傳送漏洞檢測

多數網站采用http協議，http協議并未采取加密傳輸，所以在操作敏感數據的時候可通過中間人獲取相關的敏感信息，測試結果如圖6所示。

圖6 數據包截取分析

結果分析：目標主站并未采用https加密協議，傳輸數據皆為明文，可通過中間人攻擊獲取敏感信息。

④命令執行漏洞檢測

現在大多數網站都會采用一些框架開發，簡單快捷，但是網站框架或者是中間件出現漏洞時，就會危害網站的安全。常用的中間件和開發框架有：structs，weblogic，tomcat等。

結果分析：目標服務器某子站開放7001端口，經探測是開放的weblogic服務，存在weblogic命令執行漏洞，當前用戶為管理員權限，可執行任意系統命令，危害系統的安全。

⑤弱口令漏洞檢測

網站管理前臺/管理后臺登錄存在弱口令（默認口令、測試賬號、口令設置過于簡單或口令設置與網站本身特性有關），經過簡單猜解用戶名密碼，可進入網站管理前臺/后臺。目標主站某子站（認證系統）使用burp對登錄處進行爆破，爆破結果如圖7所示。

圖7 burp爆破結果

結果分析：目標站點某子站存在弱口令漏洞，可通過爆破成功登錄，操作目標服務器上的眾多系統。

⑥CSRF漏洞檢測

CSEF漏洞又稱為跨站點請求偽造漏洞。測試方法如下：

a.設置代理，對修改個人信息時提交的參數進行分析。

b.抓取數據包，分析數據包結構。

c.將referer字段刪除后，還可以繼續進行提交，且所有參數可預見，存在CSRF漏洞。

結果分析：目標存在csrf漏洞，構造csrf漏洞利用代碼如圖8所示，可通過該漏洞修改任意注冊用戶信息。

圖8 CSRF漏洞利用

3 項目化教學效果

3.1 網絡安全技術的掌握

通過信息搜集、端口掃描、漏洞掃描、敏感文件探測等多種測試方法對某職業學院整體網絡架構進行了網絡安全風險評估。學生在完成項目的過程中學習風險評估的方法以及常見漏洞的原理和危害，學生自己構建網絡安全的知識體系，調動了學生的能動性，學生對相關知識的理解更加深入。

3.2 學生的實踐創新能力

在進行網絡安全風險評估的過程中，教師介紹滲透測試常用的工具，滲透測試的方法和常見的滲透測試點。采用項目化實踐教學，學生進入到真實的應用情景中，運用以上知識對目標網站進行滲透測試發現漏洞并進行漏洞原理分析。學生在設計實驗的過程中，綜合運用滲透測試工具，解決實際的問題，有利于實踐能力和創新能力的培養。

4 結論

針對《網絡安全》課程的特點和實踐教學存在的問題，在實踐教學采用項目化的教學方法，面向實戰，結合大量的項目實踐給學生帶來了明顯的幫助，學生在專業技能方面得到良好的收獲。學生的學習興趣、自主學習時間、代碼量和知識點的掌握情況得到了一定的提升。因此，采用項目化教學法改革《網絡安全》課程實踐教學，達到了培養學生創新能力，提高實踐教學質量的目的。

[1]歐慶于，朱婷婷，張昌宏．關于信息安全實驗教學的幾點思考[J]．計算機教育，2010．

[2]宋瑋． “信息安全概論”課程教學的思考[J]．社會工作與管理，2008．

[3]蘇庭波．網絡工程專業網絡信息安全課程教學改革探索[J]．電腦知識與技術，2014．

[4]李悅，夏小玲，王高麗等．信息安全課程的工程實踐與創新教育模式研究[J]．計算機教育，2014．

[5]王小軍，劉順蘭，黃騫儒．信息安全專業實踐教學體系的構建與探索[J]．杭州電子科技大學學報：社會科學版， 2011．

[6]徐新愛，習愛民，萬里勇．“信息安全概論”課程案例化教學改革的研究[C]// National Teaching Seminar on Cryptography and Information Security，2011．

河南省教育廳2016年度教師教育課程改革研究項目： 基于微課的中小學教師信息化教學能力培養策略研究(2016-JSJYYB-080)；南陽師范學院校級項目：Web應用運行時監控框架的設計與實現(QN2017064)。