一、引言
在网络和信息技术迅猛发展的今天,信息系统已成为社会各领域的关键基础设施,它支撑着电子政务、电子商务、科学研究、能源、交通和社会保障等多个方面。然而,信息系统也面临着日益严峻的网络安全威胁,网络攻击手段层出不穷。因此,社会对高素质信息安全人才的需求日益增长,对高校信息安全教育的要求也随之提高。本文强调理论与实践相结合,实验教学涵盖物理安全、操作系统安全、数据库安全、软件安全和Web应用安全技术等多个方面。实验教学不仅有助于学生深化对理论知识的理解,也是培养网络攻防技能和创新能力的关键环节。因此,科学设计实验内容和创新实验教学模式对于培养高素质信息安全人才至关重要。
二、传统实验教学存在的问题
在信息系统安全防护的传统实验教学中,教师通常会根据实验内容提供相应的实验平台,例如为Web应用安全实验提供DVWA、sqli-labs等平台,为软件安全实验提供SEEDlabs等平台。这些平台预设了丰富的攻击场景和漏洞,学生通常以独立作业的形式,根据实验任务和要求,利用平台预设的漏洞构建攻击向量,实施攻击,并记录实验过程、分析结果,最终提交实验报告。
传统实验模式在信息系统安全防护教学中存在以下不足:
1.攻防能力不平衡:传统实验模式往往偏重于攻击技能的培养,而忽视了防御能力的培养。理想的信息安全人才应具备攻防兼备的能力。虽然通过攻击实验可以增强学生的安全防护意识,但这种模式并不能有效提升学生的安全防御技能。
2.创新与实战能力受限:基于预设的攻击场景和漏洞进行的实验,虽然能够控制实验进程,但限制了学生对攻击方式和攻击向量的探索。这种模式无法完整模拟实战中的“目标探测→漏洞挖掘→攻击实施”的攻击流程,从而限制了学生创新能力和实战能力的培养。
3.缺乏探索学习动力:流行的实验平台和固定的训练模式,使得网络上充斥着相关的攻击攻略。这导致许多学生在遇到问题时直接查找攻略,而不是自己分析和解决问题。这种做法不利于培养学生的主动探索和问题解决能力。
三、攻防对抗式实验教学模式探索
3.1 教学模式概述
为解决信息系统安全防护实验教学中的既有问题,可以借鉴全国大学生信息安全创新实践能力赛的“构建、攻击、修复”(BBF)赛制,引入基于BBF模型的攻防对抗式实验教学模式。该模式旨在实现攻防能力的均衡培养,通过分组对抗的方式,让学生在实战中锻炼和提升。
3.2 实施方式
实验实施过程精心划分为以下四个阶段:
(1)系统构建阶段:各小组需根据实验内容和任务要求,独立设计并实现一个功能完备、特性鲜明的系统。在系统设计之初,小组可随机预设一些与知识点相关的漏洞,为后续的攻击渗透阶段埋下伏笔。系统构建完成后,将运行在各小组分配的服务器上,此阶段构建的系统被称为低安全级别系统。
(2)攻击渗透阶段:通过抽签的方式确定攻防对抗的分组,各小组以对方服务器上的系统为攻击目标,深入挖掘其存在的漏洞,并利用这些漏洞构造攻击向量实施攻击,以获取靶标系统的权限。
(3)安全修复阶段:学生需密切监控自己小组服务器的网络流量信息、系统日志数据等,及时发现并分析攻击行为,确定服务器系统存在的安全缺陷和漏洞,并进行针对性的安全修复。通过不断的修复和完善,使系统的安全级别逐渐提升至中安全级别乃至高安全级别。
(4)交流总结阶段:各组公开分享攻击、防御的成果和方法,交流实验心得和体会,实现知识的共享和迭代式学习。其中,攻击渗透和安全修复阶段可以进行多轮对抗,以不断优化和完善安全防护方案。
攻防对抗式实验教学流程如下图所示。该模式不仅能够提升学生的攻防思维和工程思维,还能有效促进他们的创新能力和实战攻防能力的生成。
3.2 实施攻防对抗式实验
鉴于当前众多网络信息系统基于Web应用实现,且常见功能如留言板、讨论版等易受XSS攻击影响,本课程特别强化了XSS攻击与防御的教学。XSS攻击是Web应用面临的重大安全威胁之一,也是OWASP公布的十大Web安全风险之一。
为提升学生的XSS攻防能力,课程设计了以下四个阶段的实验任务:
(1)系统构建阶段:此阶段旨在锻炼学生的系统设计能力和初步安全防护技能。学生需根据攻防场景需求,设计一个包含留言板功能的简单Web应用系统作为靶标,并初步实施XSS漏洞的安全防护,如通过过滤标签或使用正则表达式过滤
热门跟贴