網絡安全與管理課程案例教學

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了網絡安全與管理課程案例教學范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：針對案例教學法及網絡安全課程教學的實際特點，提出基于情景引導型、實戰演示型、綜合應用型3種教學案例形成的網絡信息安全本科教學案例體系，并結合WannyCry網絡勒索病毒事件闡述情境引導型教學案例設計過程。

關鍵詞：案例教學；網絡安全；教學改革

0引言

2016年12月，國家互聯網信息辦公室正式《國家網絡空間安全戰略》，從國家層面實施網絡安全人才工程，推動網絡安全教育進教材、進學校、進課堂。在網絡安全教育教學中，案例教學法作為一種有效的方法正逐步得到重視。案例教學法是一種以案例為基礎的教學方法，能夠把理論和實踐有機聯系，提高學生分析問題、解決問題的能力[1]。案例教學的特點是要學生通過自身對所處情景問題的思考，探索掌握分析問題、解決問題的方法，獲得知識與技能，體驗學習知識的樂趣，同時給予學生一定的學習探索空間。因此，教師可以選取發生在實踐過程中的真實案例為教學素材，進行有步驟、有目標的案例教學研究，尋找該案例中涵蓋的知識點及規律，并以此培養學生創造性思維。案例是針對一個真實、具體發生事件的反思、探討、再現與思考。案例教學法的定義為：通過對一個具體教學情境的描述，引導學生對這一特殊情境進行討論，從中引出某些一般性、規律性認識的一種教學法[2]。哈佛大學教授認為案例教學沒有正確的標準答案，只有解決問題的不同方案，案例教學訓練的是一種系統思考問題的方法和采用行動的勇氣與決心。案例教學是極度開發學生潛能的一種教學方法，它能最大限度地調動每一位學生學習的積極性和創造性。國外一些從事案例教學的教師認為更新案例是保持課程內容新鮮度的重要方法[3]。教學案例應選用真實、典型且含有問題的教學事件，教師能創設切合實際的教學實踐情景，把真實的典型問題展現在學生面前，讓學生通過對事件本身和所處環境的分析、討論、交流，做出正確的判斷和決策，進而提高分析問題和解決問題的能力[4]。教學案例的設計必須緊密聯系理論，按照從易到難、由簡單到復雜的過程來設計安排，需要教師具備一定的工程背景或者工程意識[5]，并在案例教學之后能適當總結、擴展與提高。科學的教學案例要具有以下6個基本特點：①典型性，案例要能突出某個理論在實踐中的典型應用、縮短理論知識與實際應用的差距；②時效性，引用的案例應緊跟形勢發展，盡量引進近三年的典型實例，使學生有新鮮感，引發學生興趣；③準確性，引用的案例應真實準確，來源可靠，不宜人為的夸大或縮小；④啟發性，所選案例應引人深思、啟迪思路，能促使學生深入理解知識點；⑤可擴展性，案例內容安排方面有一定的靈活性，留給學生充分的思考空間，有利于學生進行能力拓展；⑥系統性，所選用的案例與理論之間聯系密切，能夠形成知識系統。

1網絡安全與管理課程教學的特點

網絡安全與管理是一門涉及網絡協議、數論與密碼學、通信技術、信息論與編碼、網絡攻擊技術、網絡防御技術、網絡安全法律法規等多門學科知識的交叉課程，它具有知識面廣、知識更新快、多學科交叉、短期難以掌握的特點[6]。網絡安全作為一門講述網絡安全原理、技術及方法的綜合性專業課程，是信息安全專業的必修課，也是網絡工程專業、計算機科學與技術專業、物聯網專業的核心選修課程，對授課教師的綜合能力要求較高，既要熟悉網絡安全知識結構，又要具備一定的實踐能力，引領學生積極參與網絡安全課程理論教學并深入實踐教學環節。通過理論與實踐的綜合運用，使學生深刻理解并掌握網絡安全技術，提升網絡安全技術綜合運用能力，理解網絡安全法律保護范圍，以及對網絡進行合理安全防護方法與策略。

2網絡安全與管理課程教學案例設計

由以上分析可知，網絡安全與管理課程最顯著的一個特點是應用性、時效性強，與實踐聯系密切[7]，非常適合采用案例教學法進行教學研究與改革。教學案例的設計既可以提高教師的教學研究能力及教學水平，也可以提高學生的綜合素質與能力。在網絡安全與管理課程教學中，本研究充分運用網絡安全典型案例及實驗資源，以案例為導向，提高學生學習興趣、建構學生學習能力、培養學生科研素養。通過“教中做”加強教師與學生交流互動，通過“做中學”培養學生的自主學習能力，增強學生通過實踐探索知識的能力，是案例教學方式探索實踐的目標。在網絡安全課程案例教學設計過程中，要注重涵蓋網絡安全與管理中的關鍵知識點，同時注重案例的模塊化、層次化[8]。針對網絡安全與管理課程教學改革設計3種不同類型的教學案例（情景引導型案例、實戰演示型案例、綜合應用型案例），形成教學案例體系。網絡安全與管理教學案例體系包括3種不同類型的案例，每種案例從不同的角度來調動學生主動參與學習的積極性：情景引導型案例設置典型案例場景，通過場景中問題導入、各主體及關系說明、事件發展過程的分析還原、網絡安全知識點導入等環節，激發學生對網絡安全課程的學習興趣、達到學以致用的目的；實戰演示型案例由教師選擇典型的網絡安全實驗教學系統，通過教師演示使用KaliLinux安全專用操作系統中典型實驗工具解決網絡安全問題的具體操作過程，使學生深刻理解KaliLinux安全專用操作系統中集成的網絡安全工具的功能和使用場景，形成身臨其境般的學習體驗，并通過課下的跟蹤與擴展實驗進一步理解掌握典型實驗工具的使用；綜合應用型案例是由教師選取典型的綜合性實驗環境及實驗內容，讓學生通過自己搭建實驗環境、完成一定綜合性實驗任務來進一步理解掌握網絡安全知識，形成網絡安全綜合應用能力。這些案例由淺入深、逐步深入，形成了網絡安全教學案例體系，由教師與學生共同參與教學過程，促進學生創新及綜合能力的發展。

3網絡安全與管理課程教學案例實施

網絡安全與管理案例教學改革需要解決如何從實際中選取典型案例、如何將課堂教授的知識應用到實際中去這兩大突出問題。因此，教學案例的選擇很大程度上關系到案例式教學效果的好壞，選擇恰當的網絡安全案例是案例教學設計中的關鍵一步。筆者選取情景引導型案例和綜合應用型案例實施說明實施過程，實戰演示型案例不再贅述。

3.1情景引導型案例實施

一堂課的開始部分至關重要，這是吸引學生學習興趣、調動學生學習積極性的關鍵時間段，而情景導入是在課堂的開始部分引入知識點的關鍵環節。現實生活中有豐富的網絡安全案例，需要選擇其中有代表性、普適性、又能夠吸引學生興趣的案例，通過講授實際案例，并圍繞該案例從專業角度提出問題，突顯要講授知識的重要性，從而引導學生帶著問題來學習與思考，教師開始相關知識點的講授。案例教學設計：WannyCry網絡勒索病毒在全球范圍突然大規模爆發案例。案例背景及過程：2017年5月12日，WannyCry網絡勒索病毒在全球大規模傳播，通過該病毒全球傳播熱點圖展示的全球傳播態勢，該病毒由不法分子利用高危漏洞“EternalBlue”（永恒之藍）進行傳播，該病毒會加密感染計算機上的文件，誘導用戶支付比特幣贖金，換取被加密文件的解密密鑰。WannaCry勒索病毒導致至少150個國家、30萬名用戶的計算機被攻擊，造成損失達80億美元，影響金融、醫療、能源等眾多行業，造成嚴重的全球性網絡安全與管理問題。卡巴斯基實驗室在2017年5月15日檢測到WannaCry攻擊數量與2017年5月12日相比下降了6倍，表明該攻擊已逐漸得到控制。教師創設問題：WannaCry是利用什么漏洞進行網絡攻擊的？網絡攻擊者的目的是什么？攻擊者為什么選用比特幣作為勒索支付貨幣？如何有效運用網絡安全技術防范該類攻擊？引導學生分析問題：學生對該案例場景印象深刻，課堂討論氛圍濃厚，大多數學生了解該漏洞是利用了微軟操作系統WindowsSMB協議遠程提權漏洞；部分學生認為攻擊者的目的是為了勒索贖金，也有學生認為攻擊者的目的是為了測試該漏洞利用工具的威力；甚至有學生認為攻擊者的目的是變相為比特幣打廣告，原因是攻擊者通過比特幣進行勒索，攻擊發生后幾個月內全球比特幣價格大漲。在攻擊者為什么選用比特幣作為勒索支付貨幣問題上，學生認為是比特幣支付的匿名特性。在運用網絡安全技術防范該類攻擊問題上，教師引導學生從多個方面對該類攻擊進行防護，例如可以通過網絡防火墻封鎖445端口防止SMB協議通信，也可以通過升級Windows安全補丁包從根本上解決該安全漏洞；也可以通過主機防火墻關閉445端口，防止外部的SMB協議通信及連接；也可以通過骨干網安全設備檢測WannaCry的C2連接流量，并進行實時阻斷。教師歸納總結評價：WannaCry勒索病毒涉及的安全漏洞包括多個WindowsSMB服務漏洞（CVE-2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0148），該安全漏洞本質是微軟操作系統SMB某函數處理參數時邏輯不正確導致越界拷貝，對應微軟漏洞公告編號為MS17-010。攻擊者利用該安全漏洞可以在受影響的計算機上遠程執行任意代碼。WannaCry勒索病毒在主機執行的操作是惡意加密，黑客之所以要求以比特幣進行贖金支付，是因為比特幣在支付轉賬時具有的全球化、去中心化和匿名性等特性，便于黑客隱藏真實身份。此外，由于比特幣不受地域限制，可以在全球范圍收款、轉賬，具有較好的貨幣流動性。在網絡安全防范技術方面，可以從蠕蟲病毒的感染源、傳播途徑、破壞后果等不同維度對該網絡蠕蟲病毒進行有效防范。教師通過對案例背景介紹、創設問題、引導學生積極思考并討論問題、歸納總結評價學生回答情況，使課堂討論過程熱烈，所設案例內容備受學生歡迎。由教師給出全面合理的總結，使得學生深刻理解WannaCry勒索病毒傳播特點，并為開展后續的網絡安全加密、特定攻擊防護技術等教學做好鋪墊，激發學生對網絡安全知識的學習興趣。

3.2綜合應用型案例實施

綜合應用型網絡安全教學案例突出網絡安全知識綜合性與實際應用。由于大學課堂教學學時的壓縮趨勢、學生學習興趣及綜合能力的差異化等特點，需要教師通過綜合應用型網絡安全案例充分調動學生課外的學習潛力和時間，一方面彌補課堂學時的不足，另一方面調動學生自主學習的積極性。網絡安全綜合應用型案例體現在案例所涉及知識點的復合性、操作過程的復雜性、案例構建的層次化等特點。重點培養學生對知識的整合能力、融會貫通和綜合運用能力。學生在學習和實踐Web安全知識時所面臨的一大難點是需要一個安全、合法、有效的Web安全教學研究實驗環境。WebGoat項目為Web應用程序安全學習創建了一個生動的交互式教學和體驗環境。WebGoat是國際開放Web應用安全工程組織（OWASP，OpenWebApplicationSecurityProject）研制的用于Web漏洞安全實驗的教學科研共享平臺，WebGoat運行在Java運用環境，提供的實驗課程有30多個，主要包括：跨站腳本攻擊（XSS）、訪問控制缺陷、操作隱藏字段、操縱參數、弱會話Cookie、SQL盲注、數字型SQL命令注入、字符串型SQL命令注入、開放認證失效、危險的HTML注釋等。這些實訓課程包括一系列操作步驟指導及答題指南，每個學生可根據學習興趣選擇其中一種Web安全漏洞進行攻防實驗演練，每種安全漏洞實驗按照由易到難編排，有利于學生由淺入深、逐步理解并實施實驗內容。教師選擇優秀者進行課堂展示與匯報交流，增強學生對網絡安全攻防過程的實戰體驗，通過實操提高學生網絡安全攻防技能，培養學生主動學習Web安全的積極性，培養學生創造性思維能力。由于網絡安全攻防演練的特殊性[6]，在課堂交流過程中，教師要提醒學生Web攻防需要在國家法律授權范圍內研究和運用網絡安全知識技能，了解Web安全漏洞和攻擊的目的是為了更好進行安全防御，只能將所學知識用于安全防御目的，不能用于任何形式的攻擊目的，加強學生的法律意識，拒絕黑帽、爭做白帽，發揚國際白帽對網絡安全技術的探索和共享精神。

4結語

WannaCry教學案例有利于學生對網絡安全知識的理解與認識，培養學生對網絡安全課程學習興趣，促進學生對理論知識的深層次思考和理解認知；基于WebGoat網絡安全漏洞演練綜合實驗，增強了學生實踐動手能力，提高了理論與實驗融合創新能力，使學生充分發揮潛能、由被動接受過渡到主動學習，充分利用課下時間學習Web安全技術，豐富了教學內容和教學方式，促進學生主動思考、參與實踐，逐步由被動學習過渡到自主學習狀態，取得了良好的教學效果。通過多輪的網絡安全課程教學實踐和學生反饋證明，基于案例的教學內容改革對于提高網絡安全與管理課程教學質量是有效的。

參考文獻：

[1]鄭金洲.案例教學指南[M].上海:華東師范大學出版社,2000.

[2]方少紅,陳傳波.互動媒體工具在案例教學活動中的應用[J].計算機教育,2015(14):61-65.

[3]汪誠波,張鋼,肖輝,等.基于SMSA計算機專業課程案例法教學的研究與實施[J].計算機教育,2012(8):77-80.

[4]劉曉波.“教學做合一”理論在實變函數課程教學中的實踐[J].高等理科教育,2013(4):82-85.

[5]堯剛華.基于應用型人才培養的獨立學院計算機網絡實驗教學改革研究[J].教育現代化,2015(5):32-35.

[6]鄔曉鈞,鄭寧漢,陳永強,等.面向創新人才培養的網絡安全軟硬件實驗體系[J].計算機教育,2018(3):41-45.

[7]陳紅松.網絡安全與管理[M].北京:清華大學出版社,2010.

[8]陳紅松.高校網絡管理與安全本科課程的教學改革與實踐[J].中國科技論文在線,2010(11):1-7.

作者：陳紅松 張冬艷 王小妹 單位：北京科技大學 計算機與通信工程學院