計算機網絡安全課程體系建設探索

周藝華 侍偉敏 馬偉 張博

摘? 要 針對研究生專業基礎不同、研究方向不同、創新性要求不同等問題，分析國內外高校的課程規劃，根據研究生計算機網絡安全課程的特點，設計研究生計算機網絡安全課程體系，細化模塊設計，弱化基礎知識模塊，強化學科前沿，提高學生的學習興趣，體現網絡安全的魅力，優化教學效果。

關鍵詞 網絡空間安全專業;計算機網絡安全課程;課程體系;研究生

中圖分類號：G434? ? 文獻標識碼：B

文章編號：1671-489X（2021）07-0055-03

1 計算機網絡安全課程建設現狀分析

計算機網絡安全課程是網絡空間安全一級學科的核心專業課程。中共中央總書記、國家主席、中央軍委主席、中央網絡安全和信息化領導小組組長習近平指出：沒有網絡安全就沒有國家安全。網絡空間已經成為繼陸、海、空、天之后的第五空間，網絡空間安全成為新形勢下維護國家安全的重要領域之一，網絡空間安全關系國家安全的命脈。然而，由于我國網絡安全研究起步較晚，技術較為落后，造成我國高端網絡安全人才奇缺，如何培養、造就一批具有創新能力的網絡安全高端人才，成為信息安全領域亟待解決的核心問題。為此，2015年6月11日，國務院學位委員會和教育部在“工學”門類下特批增設網絡空間安全一級學科[1]。2017年9月16日，中央網信辦、教育部公布了武漢大學、北京航空航天大學等七所首批一流網絡空間安全學院建設示范項目。

對國內外著名高校的網絡空間安全研究生課程開設情況進行調研，發現所有的高校均開設有網絡安全相關課程，只是課程名稱略有不同。例如：斯坦福大學在其核心課程中開設了信息安全課程，佐治亞理工大學在其核心課程中開設了網絡安全課程，清華大學在學科專業課程中開設了計算機網絡安全技術課程，北京航空航天大學及北京理工大學在專業理論課中開設了網絡與信息安全課程。由此可見高等院校網絡空間安全專業對計算機網絡安全課程的高度重視。建設好計算機網絡安全課程，對網絡空間安全一級學科的發展，對提升信息學科的核心競爭力，具有顯著的作用。

計算機網絡安全課程作為網絡空間安全專業研究生的核心課程，擔負著培養信息安全高端人才的重要責任，網絡安全課程教學質量的好壞直接影響到研究生的培養。但由于受到研究生群體在本科階段所學專業的差別、研究生階段研究方向的差別的影響，很難選取一部適合所有研究生的計算機網絡安全教材，各高校都是根據教師的研究方向組織教學材料，往往不能滿足所有學生的需求，因此，非常有必要對研究生計算機網絡安全的課程體系建設進行探索。

2 計算機網絡安全課程總體設計

本科生計算機網絡安全課程側重于對基礎知識的傳授。以網絡空間安全重點規劃叢書《網絡安全技術與實踐》為例[2]，該書主要包括網絡安全基礎、密碼學基礎、網絡安全技術與應用三部分，覆蓋的知識點較多，但相對比較基礎。對本科生來講，這是一部難得的課程教科書;但由于沒有涉及太多的學科前沿，對于研究生教學來講，它還需要擴充必要的學科前沿、研究熱點探討、創新性網絡安全技術等知識模塊。為此，重新設計計算機網絡安全的課程體系，壓縮基礎知識的講解，不以基礎知識之間的關系為主線，而從網絡層次的角度重新對課程體系進行規劃。

如圖1所示，研究生計算機網絡安全課程體系主要包括基礎安全知識模塊、物聯網安全技術、無線網絡安全技術、互聯網絡安全技術、云計算安全技術及創新性主動防御技術六大模塊。其中，基礎安全知識模塊的密碼學基礎由學生自學完成，協議安全基礎中的高層協議安全部分因為涉及各種不同的協議，不具有統一性，也作為學生自學部分;然后由下層至高層分別講授和探討物聯網安全技術、無線網絡安全技術和互聯網安全技術;之所以加入云計算安全模塊，是因為云計算是一種一對多的服務機制，而云中心又采用分布式機制，改變了傳統的互聯網安全架構，具有非常強的典型性;最后介紹當前的網絡空間安全研究前沿技術，包括智能驅動的網絡安全技術、可信計算技術及網絡空間安全擬態防御技術。因為可信計算技術已有單獨的課程開設，本課程該模塊作為選修模塊由學生自學。通過對課程體系進行重新設計，滿足研究生不同的專業基礎、不同的研究方向和不同學術創新的特殊需求。

3 計算機網絡安全模塊化設計

針對研究生網絡安全課程的特點，結合學生的知識基礎，對各知識模塊進行細化設計，強化基礎，優化創新，突出學科前沿。

基礎知識模塊? 計算機網絡安全課程涉及的安全基礎知識包括密碼學基礎和協議安全基礎。其中，密碼學基礎包括DES、RSA、MD5、SHA、ElGamal、密鑰建立、秘密共享協議及密鑰分配和廣播協議等。由于有些研究生在本科階段學習了這方面的知識，而有些研究生沒有接觸到這些知識，而沒有這些知識是不能完成后續學習任務的，因此，在課上對密碼學的基本架構、解決的主要問題、采用的主要思想及機制進行闡述，并制作密碼學基礎知識及知識點、難點答疑視頻供學生線上學習，解決學生知識差異和學時不足帶來的問題。

協議安全基礎中的低層協議安全性包括IP協議、ARP協議、TCP協議、ICMP協議、路由協議、DHCP協議、IPv6協議安全等，這部分是設計復雜網絡安全協議的基礎，將作為重點模塊進行闡述和交流探討。協議安全基礎中的高層協議安全模塊包括各種應用層協議安全，如DNS協議、SMTP協議、SNMP協議等，可以說有多少應用，就會有多少應用協議安全需要分析。本部分只以DNS協議安全為例進行分析，其余部分由學生采用分組討論或自學的方式進行學習。

物聯網安全技術模塊? 物聯網安全技術模塊包括物聯網面臨的威脅、RFID安全技術[3]、輕量級密碼協議、復雜巨系統網絡安全、網絡整體強健性、可生存能力以及工業控制互聯網安全技術等。由于物聯網涉及的知識點非常多，本課程以RFID為例，講解RFID的基本組成、RFID的工作原理、RFID的物理保護機制及安全協議保護機制等。通過本模塊的學習，學生明確物聯網存在巨大的安全威脅，比如隱私泄露、物理破壞、拒絕服務攻擊等問題。要保證物聯網的應用落地，必須采用有效的網絡安全保護措施，比如物理機制的靜電屏蔽、可分離標簽以及密碼協議中的Hash

鏈協議等。對于工業互聯網安全模塊，首先闡述工業互聯網的發展，讓學生清楚地認識到：之所以工業互聯網存在巨大的安全問題，是因為工業控制系統由封閉式架構發展到以互聯網為基礎的互聯架構造成的。工業控制互聯網不同于傳統互聯網安全的機密性、完整性、可用性要求，而是可用性、完整性、機密性要求，以及工控系統的主要安全機制等。

無線網絡安全技術模塊? 無線網絡安全技術是本課程的重點和難點，主要包括無線和移動網絡安全威脅、無線局域網絡安全技術、2G/3G/4G/5G網絡安全技術、無線自組網絡安全技術等。在無線個域網及無線局域網的分析中，讓學生了解無線網絡存在的安全隱患，比如無線網卡、無線攝像頭、無線鍵盤、無線耳機、無線藍牙、電源輻射、屏幕輻射等均可泄露用戶信息，從而激發學生極大的學習興趣。學生感慨聽了這門課后，感覺什么都不安全，這就需要學習計算機網絡安全知識，進而講授相應的安全防護理論與技術。在無線蜂窩網絡技術中，著重闡述3G→4G→5G的演進過程，讓學生了解為什么2G存在偽基站，移動通信為什么一般采用對稱密碼算法，而不用非對稱的公鑰密碼算法等，從根本上厘清無線網絡安全的原理架構。無線自組網技術主要闡述基于對稱密碼技術的無線傳感網絡及可采用非對稱技術的車聯網等，使學生明確各自的應用領域及采用的主要安全技術。

互聯網絡安全技術模塊? 互聯網絡安全技術主要包括防病毒技術、防火墻技術、入侵檢測技術三大主流安全技術，還包括這三種技術失效之后的入侵容忍技術。因為防病毒技術屬于比較基礎的網絡安全防護技術，很多學生都有學習和防護基礎，所以此部分只是簡單引導，由學生自學完成，并制作圖文并茂的Flash供學生自學使用。防火墻技術及入侵檢測技術在講解傳統的防護技術之后加以必要的引導，引出和討論當前熱點領域的入侵檢測方案，比如基于AI技術的入侵檢測技術、分布式入侵檢測技術及計算機免疫技術等。本模塊的講授重點是系統在遭受成功攻擊條件下的生存能力，即被入侵后如何屏蔽和遏制入侵行為，這是公認的第三代網絡安全技術——通過多樣化的冗余技術構建基于攻擊屏蔽和基于攻擊響應的入侵容忍系統。在具體算法設計部分主要闡述各種同構/異構冗余技術、表決機制、拜占庭一致性協商機制及秘密共享機制等。

云計算安全技術模塊? 云計算安全技術主要包括云計算安全體系、云存儲安全、計算虛擬化安全技術等。本模塊首先介紹云計算的三種服務形式，即SaaS、PaaS和IaaS，進而分析云計算模式存在的安全威脅、采用的安全架構及技術等。在云存儲安全部分側重于啟發式教學，比如密文情況下的訪問控制問題、數據保密性問題、完整性問題、數據檢索問題等，進而引入相應的安全技術，包括基于屬性的加密、代理重加密技術、同態加密技術，以及不同技術的研究現狀、前沿熱點等。計算虛擬化技術主要闡述虛擬機引起的系統結構、運行形態改變帶來的新的安全問題，因而必須有相應的安全策略，比如虛擬機的可復制問題、虛擬機保存問題、虛擬機的交互問題、虛擬機共享問題、虛擬機隔離措施等，并介紹主要解決方案。

創新性主動防御技術? 創新性主動防御技術包括智能驅動的網絡安全技術、可信計算安全技術及網絡空間安全擬態防御技術等。這類安全技術具有架構的融合性，既可以整合已有的成熟防御技術，也便于引入大數據、人工智能等最新技術形成協同防御能力;在技術機理上具有革命性的突破，如具備內生的安全防御能力。創新型主動防御技術往往采用交叉學科的知識或不同的軟、硬件模塊知識，非常適合不同類型研究生的互助合作機制研究。比如典型的擬態防御技術，在非相似冗余架構的基礎上，實現基于池化資源的可重構、可重組、可重建、可重定義、虛擬化的異構服務集合，可以由側重理論的學生設計算法，由側重工程實現的學生實現算法，有效地滿足學碩和專碩的培養目標要求。

4 小結

本文針對研究生群體的專業基礎差別、研究方向差別等，結合研究生計算機網絡安全課程的特點，對研究生計算機網絡安全課程體系進行探索，優化網絡安全課程體系，細化模塊設計，弱化基礎模塊教學，強化前沿知識教學，激發學生的學習興趣，體現創新，提高學生解決復雜問題的能力。■

參考文獻

[1]教育部高等學校信息安全專業指導委員會.高等學校信息安全專業指導性專業規范[S].北京：清華大學出版社，

2014：4-8.

[2]劉建偉，王育民.網絡安全技術與實踐[M].3版.北京：清華大學出版社，2017：7-19.

[3]李聯寧.物聯網安全導論[M].北京：清華大學出版社，

2013：83-104.

[4]陳福才，扈紅超，劉文彥，等.網絡空間主動防御技術[M].北京：科學出版社，2018：207-229.

[5]段立娟，周藝華.網絡安全課程教學研究與探討[J].計算機教育，2008（10）：74-75.