計算機網絡課程中網絡安全內容的教學探索

摘要：網絡空間安全已經被國家提升到國家戰略的層面，但是現有的計算機網絡的教材并沒有過多地涉及網絡安全的內容。如何在計算機網絡課程中融入網絡空間安全的知識對培養學生的國家安全觀、提升學生網絡安全技能起著重要的作用，因此在傳統的計算機網絡課程中加入網絡協議的安全分析成為一個教學內容改革的探索課題。教學內容上做到網絡協議學習與網絡協議安全分析緊密結合，理論學習和實踐緊密結合，在實踐環節為學生提供以虛擬機技術搭建的網絡安全實驗平臺。做到學中練，練中學，極大地激發了學生的學習熱情，加深了學生對計算機網絡及網絡安全知識的理解。

關鍵詞：網絡空間安全；網絡協議；協議安全分析；虛擬機；實驗平臺

中圖分類號：G642

1概述

自網絡空間安全被提升到國家戰略安全層面后，高校積極培養網絡空間安全人才，加強網絡安全專業的建設和教學，培養具有國家安全觀、掌握扎實的網絡安全理論知識、具有實踐操作能力的網絡安全人才成為網絡安全方向的培養目標。

計算機網絡作為計算機專業的四大專業基礎課，其重要性不言而喻，但是目前計算機網絡課程通常注重網絡協議、網絡拓撲、傳輸層協議等方面的內容，但對于網絡安全的深入講解較為薄弱，缺乏網絡協議安全缺陷而引起的網絡攻擊、威脅、和與之相對應的防御技術等方面的介紹。網絡安全領域的技術和威脅不斷發展和變化，但計算機網絡課程沒有及時更新教材內容，無法涵蓋最新的網絡安全技術和趨勢，導致學生對當前網絡安全形勢的了解不足，也導致學生在學習其他網絡安全知識時，對網絡攻擊的原理不甚理解，往往還是停留在會使用黑客工具的層面上，無助于他們在安全領域的進一步提升。

基于上述的原因，結合國家的網絡安全的戰略需要，為了解決這些問題，計算機網絡課程要增加網絡安全相關內容，加強實踐性教學，及時更新教材，培養學生的網絡安全意識和技能，以應對不斷變化的網絡安全挑戰。

2計算機網絡課程面臨的一些問題

2.1課程內容缺乏網絡協議安全分析

課程缺乏對常見網絡協議的安全漏洞分析，缺少深入講解常見的網絡協議（如TCP/IP、HTTP、DNS等）存在的安全漏洞和攻擊方式，以及相應的防御措施。缺乏對協議分析工具和技術的介紹，課程沒有引入常用的協議分析工具和技術，如Wireshark、Nmap等，無法讓學生學習和使用這些工具進行網絡協議安全分析。

2.2網絡協議理論抽象難理解

網絡協議大多是定性的，邏輯描述的推理比較繁雜，是用表述性的方法來介紹的。學生在學習復雜的協議規范時對協議的交互過程和詳細的協議細節理解起來比較困難，難以理解抽象的網絡層次結構，對層次之間的功能和交互關系難以理解。因此學生在學習理論時普遍有為難情緒，主動學習積極性不高。

2.3課程缺乏網絡安全實踐

企業對應用型網絡人才的要求不僅僅只是具備網絡的基本技能，更重要的是具有綜合實踐能力與項目實施能力［1］。而傳統的教學方法和實踐資源顯的不足：傳統的計算機網絡課程往往采用傳統的教學方法，如課堂講授和實驗室實踐。然而，這種教學方法可能無法滿足學生對于實際應用和場景的需求，課程缺乏對真實網絡安全案例的分析和討論，學生無法從實際案例中學習到網絡安全攻擊和防御的策略和經驗。課程沒有提供模擬演練的機會，學生無法通過模擬實際網絡環境中的攻擊和防御情景，提升網絡安全實踐能力。

3課程內容創新探索

3.1從操作系統內核函數的角度去理解協議

如何引入網絡協議安全分析的關鍵，是要讓學生正確理解什么是網絡協議，計算機網絡的主要內容是關于5層體系中針對協議的學習，但是網絡協議大多是由描述性推理語言說明的，不如數理公式推導容易理解，并且由于學生初次接觸網絡設備和協議，因此缺乏對網絡協議的直觀認識。雖然在教學中一直提及和學習網絡協議，但是學生在理論學習中反映協議學習太抽象，即使對協議的概念有了理解，但是學生還是對協議存在什么地方，協議是如何實現的，協議是如何被應用的等問題充滿了困惑。協議源代碼是理解網絡協議原理的最好實例［2］，在教學中嘗試從操作系統內核函數的角度理解協議，幫助學生深入理解協議的實現原理和工作機制。通過對操作系統網絡棧的介紹，讓學生了解操作系統中的網絡棧是如何工作的。通過對協議棧的結構介紹，了解各個層次的功能和職責，這樣就能和五層體系結構對應起來，學生可以研究操作系統內核中網絡協議的實現方式，包括協議的數據結構、算法和處理過程。例如，在講解TCP的三次握手時，可以用Socket的connect函數來講解，connect函數觸發了TCP的三次握手，并且在三次握手過程中初始化了發送和接收緩存，從而使學生對協議是如何被應用的有了直觀的認識。

通過以上的教學方法，實際教學效果表明學生對協議有了更加直觀的理解。在對協議有了較好的理解后，針對每一層的協議不僅要學習協議在正常使用情況下的原理，同時也要讓學生探索每個協議可能存在的安全問題。

3.2網絡協議理論同網絡協議安全分析相結合

網絡安全涉及很多網絡協議，這些網絡協議在設計之初沒有考慮到安全的因素，是基于信任機制基礎上的。如果這些先天就有安全缺陷的協議被惡意應用，會產生眾多的網絡安全隱患和問題。計算機網絡課程主要的內容就是學習網絡協議，但是當前的計算機網絡教學內容局限在這些協議是以正確應用為前提的理論學習，并沒有考慮到這些協議的安全問題，因此要擴展協議的教學內容，在學習網絡協議的基本概念、目的和原理、基礎上加上網絡協議安全性的分析，引導學生去發掘和理解網絡協議中的安全問題，思考應對措施。要求學生熟悉計算機網絡原理，還需要了解網絡協議的弱點與防御辦法［3］。

在教學過程中要強調網絡安全的基本概念、原理和技術。在講解網絡協議時，重點介紹常見的安全漏洞和攻擊方式。通過分析協議的安全漏洞，讓學生了解協議設計中的安全性問題，以及可能導致的網絡攻擊威脅。從數據鏈路層到應用層的網絡安全分析見表1。

在講解ARP協議原理后，會讓學生以小組形式討論這個協議的工作方式有沒有安全隱患，啟發學生：ARP協議對做出ARP請求應答的設備有沒有做身份驗證？是不是只要接收到ARP應答包就會更新自己緩存里的目標主機的MAC與IP映射關系？理論上只有IP地址匹配的主機會處理這個ARP請求，如果局域網的其他網絡設備開啟了網卡的混雜模式的話會不會也處理這個ARP請求，會不會偽造一個ARP應答包？逐步引導學生得出ARP欺騙攻擊的工作原理，即ARP請求是通過廣播來獲取目標設備的MAC地址，目標設備收到該請求后，會回復一個ARP應答，告訴請求設備的MAC地址，攻擊者利用ARP工作原理，會發送一個偽造的ARP應答包，把自己偽裝成網關或其他網絡設備，被攻擊的目標設備不會檢查應答是否正確，都會接收并更新自己的ARP高速緩存，將攻擊者的MAC地址映射到目標主機IP地址上，這樣后續數據包被發送到攻擊設備上，攻擊原理示意圖見下圖。

ARP攻擊原理圖

3.3理論學習與實踐相結合的教學模式探索

網絡協議的理論學習和網絡安全實踐相結合，理論上學習協議的安全漏洞的同時，要讓學生通過實踐來驗證和加深對安全漏洞的理解。為此建設網絡安全實驗平臺，利用虛擬機技術搭建了網絡攻防實驗環境，使其與物理網絡隔離開。讓學生親自操作和實踐網絡協議的安全性分析。通過實驗，學生可以深入了解協議的實際工作原理，并掌握分析協議安全性的方法和工具。引導學生使用網絡安全工具進行協議分析和安全評估。例如，引導學生學習使用Wireshark等網絡分析工具，對網絡協議進行抓包分析。Wireshark是目前全世界最廣泛的網絡協議分析軟件之一，能捕獲進出網卡的數據幀，并具備強大的協議解析能力［4］。組織模擬演練活動，讓學生扮演攻擊者和防御者的角色，模擬網絡攻擊和防御的過程。通過模擬演練，學生可以實際體驗網絡協議的安全性問題，并學習相應的防御策略和技巧。

ARP欺騙攻擊采用了SEEDProject提供的ARPCachePoisoningAttackLab實驗包［5］，SEEDProject是一個教育性的計算機安全實驗項目，旨在幫助學生和研究人員學習和理解計算機安全的基本概念和技術。在進行ARP欺騙攻擊之前，需要確定目標網絡和IP地址，具體信息見表2，執行ARP欺騙攻擊。

攻擊結果可以通過Wireshark來進行抓包分析，通過抓包軟件Wireshark輔助學生理解實際各層協議的數據單元，了解數據包的具體構成。通過實踐環節，加深了學生對網絡安全的理解和應用。

4探索實踐效果分析

4.1學生評價良好

學生的學習積極性被極大地調動起來，學生認為理論學習不再枯燥無味，理論能和實踐聯系起來，很多理論課上的難點通過實踐課程都能得到很好的加深理解，動手能力增強了，對后續課程打下了一個堅實的基礎。

4.2提升學生的安全意識

提升學生對網絡安全的重視和意識，培養了學生的國家安全觀。通過課程內容的設計和案例研究，學生對網絡安全影響國家安全、經濟活動、日常生活等有了更深刻的理解，能夠認識到網絡安全的重要性。

4.3增加了就業競爭力

網絡安全是一個越來越熱門和專業人才緊缺的領域，掌握相關的網絡安全知識和技能的學生在就業市場上更具有競爭力。經過網絡安全的啟蒙，越來越多的學生把網絡安全方向作為自己今后的就業方向。學生自覺地在網絡安全方向上自學和摸索，為增加個人競爭力，學生也努力通過相關認證考試，例如NISP。

4.4借助虛擬網絡實驗平臺，進行實踐能力的提升

用虛擬機搭建的實驗平臺是對已有的實驗平臺在網絡安全實驗上的補充，安全實驗平臺借用了很多帶有豐富的安全工具的虛擬機，例如SEEDLIBS，學生可以在與外部網絡完全隔離的虛擬機網絡上隨意地嘗試各種攻擊方法。豐富的實驗案例讓學生不僅能夠在理論上了解網絡安全的原理，還能夠通過實際操作來解決實際問題，提高了實踐能力。

結語

教學內容的擴充改革也是同網絡安全跨學科融合的一次探索與實踐，培養了學生綜合能力和跨學科思維能力。如何更好地掌握融合度，合理組織教學內容，合理分配教學時間，還需要進一步在實踐中不斷探索和實踐。

參考文獻：

［1］張純容，施曉秋，呂樂.面向應用型網絡人才培養的實踐教學改革初探［J］.電子科技大學學報（社科版），2008（04）：6265.

［2］李毅超，曹躍，郭文生，等.信息安全專業計算機網絡課程群建設初探［J］.實驗科學與技術，2008（03）：9093.

［3］吳黎兵，杜瑞穎，李俊娥，等.面向網安專業的計算機網絡課程教學創新探索［J］.計算機教育，2022（04）：8084.

［4］李榮茜，徐輝.Wireshark協議分析技術在計算機網絡課程實驗中的應用［J］.科技風，2015（17）：100+102.

［5］杜文亮.SEEDLabs2.0［EB/OL］.https：//seedsecuritylabs.org/Labs_20.04/Networking/ARP_Attack/.

基金項目：北京理工大學珠海學院2022年校級一流課程（項目編號：2022014YLKC）；北京理工大學珠海學院教學改革工程項目（項目編號：2021007JXGG）；北京理工大學珠海學院教學改革工程項目（項目編號：2022012JXGG）

作者簡介：趙冬耀（1975—），男，漢族，遼寧阜新人，碩士研究生，中級職稱，研究方向：網絡安全安全；張海燕，女，碩士研究生，講師，主要研究方向為云計算；鄒立仁，男，本科，副教授，主要研究方向為網絡安全。