0 引 言
针对世界范围内高速增长的新一轮科技革命和产业变革,网络空间安全学科作为核心学科之一,需发挥学科综合优势,以引领未来新技术和新产业发展为目标,推动应用理科向工科延伸,引导学科交叉融合和跨界整合,迸发新思想,产生新技术,培养厚基础、强工程、高素质的复合型人才,掌握我国未来网络空间安全技术和产业发展主动权。
Web安全是网络及信息服务安全的基础,是网络空间安全学科研究生需要掌握的核心知识。深入理解Web安全问题,Web攻击与防御核心理论、关键技术、前沿进展对完备安全知识体系,提高安全思维与实践能力,强化安全科研素养非常重要[1]。
1 国内外课程建设现状与问题
国外已有多所知名高校开设了类似课程,如斯坦佛大学(课程编号:CS253)、约翰霍普金斯大学(课程编号:695.622)、纽约州立大学石溪分校(课程编号:CSE361)、新加坡国立大学(课程编号:CS5331)等。由于课程具有很强的专业应用与前沿实践特点,因此Web安全已经成为网络空间安全学科研究生应用实践与创新能力培养的重要课程之一。
国内高校中,Web安全方向课程目前开设较少,大多是嵌入网络安全的课程中,偏向于基础理论课,亦缺乏配套实验内容。当前国内高校的安全课程中设置有“恶意代码分析”“计算机网络安全技术”“下一代互联网及其安全”“互联网体系结构及其安全基础”等课程,这些课程基础性强,实验教学环节有待强化;而随着Web攻击在网络安全中愈发突出,Web安全在网络空间安全专业课程体系中的内容比重也在不断加大。为了更好地强化Web攻击与防御核心理论与关键技术的教学,亟待系统化梳理Web安全课程内容体系。
此外,由于Web安全课程具有知识点更新快、前沿性强等特点,在突出国际化视野培养方面,Web安全课程的讲授与建设不能只是类似多数现有双语课程那样,仅停留在外语讲授层面,而应该借鉴欧美的学科教学理念:凝练与国际接轨的 Web 安全教学知识点,结合本学科科研最新案例,在辨析问题、凝练前沿方向、表达论述等方面得到全面国际化培养。这部分虽然在课程中已经践行建设,但是还需一段时间进行进一步调试、改进,这部分内容也是Web安全课程建设的重点改革方向之一。
2 层次化Web安全课程内容体系设计
2.1 课程建设目标
围绕网络空间安全人才培养目标,需要立足国内,借鉴国际先进理念和标准,培养具有国际视野的创新型工程技术人才。针对网络空间安全专业学生,进行核心素养的全面培养,强化家国情怀、全球视野、法治意识;培养设计思维、工程思维、批判性思维和数字化思维;提升创新创业、跨学科交叉融合、自主终身学习、沟通协商能力和工程领导力[2]。
Web安全课程建设过程中,要始终围绕着“延拓国际视野”“理论与实践并举”“强化前沿创新”的网络空间安全研究生培养与课程建设核心问题,着眼如何为研究生Web安全课程学习和研究创造具有国际化视野、激励前沿创新的教学—实践条件,培养研究生的国际化视角与创新实践能力。
2.2 课程内容体系
Web安全课程建立在多学科基础之上,涉及密码学、计算机网络、操作系统等多领域的知识交叉融合,因此课程内容在总体上的特点是既深入理论,又有很强的技术性和实践性特点,建设的首要任务是对课程内容体系进行梳理。秉承“厚基础精前沿、重理论强实践”的课程建设理念,以Web安全问题在Web架构中的攻击面为线索,可将Web安全课程内容系统性切分为Web会话安全、客户端攻击、服务端攻击、服务端安全问题、浏览器安全问题、Web认证与授权、UI与口令安全等8个Web安全主题,其中设置51个知识单元:密码学基础、安全协议、同源策略、数据库安全策略、浏览器安全策略等18个基础理论单元;CSRF攻击、XXS攻击、SQL注入攻击、命令注入攻击等21个应用技术单元;证书透明化、侧信道攻击、SQL注入攻击、mXXS攻击等12个前沿研究单元,在此基础上形成“基础+应用+前沿”的层次化课程内容体系(见表1)。
课程开展过程中,通过“密码学基础、安全协议、同源策略、数据库安全策略、浏览器安全策略”等基础理论学习,明确Web安全基本原理;以DNS欺骗攻击、Sammy蠕虫等经典安全案例分析为引导,通过“CSRF攻击、XXS攻击、SQL注入攻击、命令注入攻击”等攻防技术探索,强化实践应用与创新能力;融合“透明证书、Web侧信道攻击、缓存注入攻击、mXXS攻击”等Web安全前沿研究进展与经典攻击案例,强化国际前沿创新思维。
同时,深入挖掘专业课思政价值,将思政教育融入教学内容,通过设置思政主题探讨,发挥育人功能。通过“网络安全伦理”“网络安全法律法规”“杰出中国密码学家”“自主安全系统”等主题,引导学生坚守安全伦理、不忘学习初心,知法、懂法、守法,以前辈学者为榜样,解决卡脖子技术,为国家网络安全建设事业求实创新。
3 教学方法设计与实践
在教学方式方面,应精心设计课程导入,注重理论教学、互动式教学、范例教学等方式相结合。在教学过程中,采用OBE教学模式[3],结合BOPPPS与PI教学方法,并融合PRIDE[4]教学模式,突出课程前沿性、创新性和综合性,以实践驱动认知,强化自主学习与科研创新能力。课程教学方法见表2。
围绕以上教学方法设计,Web安全课程教学主要可进行以下几个方面建设实践。
(1)以经典案例实操分析导入理论教学。Web安全课程知识点与实际系统结合紧密,整体内容实践性强,仅通过课程PPT讲授系统原理与安全问题,学生难以对系统运行与安全攻击行为与防御技术有直观的理解。课程教学中,应设计实用案例结合演示验证,通过课堂实际示例操作,帮助学生理解跨站点脚本攻击、SQL注入攻击、命令注入攻击等Web安全攻击与防御的核心理论。在实操演示中,进一步剖析系统工作细节,引导同学深入理解Web安全攻击的实现过程与安全防御机制,起到“眼见为实”的学习效果。
(2)以课程实践驱动互动教学,促进合作学习。强化 Web安全的实践性特点,围绕Web安全问题设计具体实验任务与课设题目,其中,实验任务由学生独立完成,对所学的理论与原理进行技术应用与延拓实践,强化课堂学习内容认知,加深理解Web攻击根源、防御核心思想;课程设计由学生组队完成,结合研究前沿,让学生学习并运用Web安全先进技术,培养学生的合作创新意识。教师对课程设计进行全过程跟踪,确保同学对选题的理解无偏差,设计思路正确,鼓励学生对标前沿研究大胆创新。
(3)以专题研读实现课堂翻转,开阔国际化前沿研究视野。紧贴课程知识点,结合Web安全热点,进行前沿研读专题的设计与遴选,是以专题研读实现课堂翻转的关键。紧贴课程内容中的基础知识与应用技术知识点,“浏览器缓存安全”“Web测信道分析”“证书透明化技术”“协议安全漏洞”“浏览器隔离安全”“移动Web应用安全”“Cookie安全”“浏览器扩展安全”“Web认证与授权安全”“新型注入攻击”10个研读专题则是对课程学习的进一步知识延拓。通过遴选最新代表性国际研究进展与产业成果作为研究性教学素材,应用同伴教学思想,通过分组课前阅读,课上研读、问答、论证,可令学生深入理解课程知识向Web系统安全、隐私保护等前沿研究的延伸应用与联系,引导学生构建课程前沿与基础知识的桥梁,启发学生自主学习,开阔前沿视野。
(4)线上教学研究与实践。针对学生因疫情无法返校进行课堂教学的情况,为了贯彻“停课不停学”的方针,需要进一步改进教学模式。重要的举措包括:①全方位利用网络手段,完成翻转课堂与实操课堂教学;②采用“离线预习”“在线讲解+测试+研讨”“离线复习”的线上线下复合式教学模式;③融合微课堂录播、课堂直播与研讨等多种教学手段,强化学生的自主学习效果,具体方式包括:利用微信群进行课程组织、答疑、利用腾讯会议线上授课研讨;利用在线课程教学组织平台(如北航课程中心)进行资源共享;通过在线操作讲解+演示视频录制,充实线上课堂实操演示环节;采用问卷星进行随堂测试,采用“在线课程教学组织平台(如北航课程中心)”+“微软Forms”结合腾讯会议监考模式进行课程测验。
(5)多维化全过程考核评价。Web安全课程教学强调理论与实践并重,同时注重前沿创新思维引导。基于这一教学目标,课程考核采用多样化综合评价方式。结合教学方式,主要的考核评价包括实验大作业、中期考核与随堂测试、前沿研讨、课程设计。考核评价充分考虑学生独立完成分数占比,确保学生成绩的可区分度(见表3)。
4 科研与教学融合
(1)在科研中对课程内容进行进一步延拓。在科研中紧密围绕跨站点请求伪造攻击分析与防御、跨站点脚本攻击分析与防御、Web应用侧信道攻击检测与抑制、UI欺骗攻击检测与防御、浏览器安全,以及Web安全在移动系统与物联网系统中的安全问题等内容进行前沿追踪,结合科研成果夯实前沿研讨内容与各教学主题的最新进展。
(2)坚持科研成果向课程前沿内容与案例转化。将相应的科研成果作为Web安全前沿研究进展与经典攻击案例分析,开展前沿主题热点研讨,让学生深刻理解到课程知识与学术前沿的紧密性、核心知识的场景迁移与演化,强化学生的自主创新意识。
(3)将科研成果引入课程实践环节。融合案例驱动启发式教学的产出式教育模式,将科研成果“浏览器缓存中毒攻击[5]”引入课程实践环节,打破传统灌输式教育模式的局限性,引导学生进行攻击重现并基于理论知识设计防护和解决方案,强化学生的自主创新意识,培养卓越工程科技人才。
5 基于问卷分析与反馈的教学效果改进提升
教学效果反馈是课程建设的重要环节,也是对后续课程改进、修正、提升的关键[6]。应就教学效果对学生进行问卷调查,通过问卷分析掌握学生对课程内容、课堂教学、课程组织与考核等方面的切身感受、意见和建议,并根据这些有益反馈进行课程适应性调整。调查问卷的具体内容应涵盖课堂教学内容、教材质量、媒体课件、教师授课表现等多方面,学生对相关内容的问题做出分级评价并辅以具体评价说明与建议。课程问卷既是当前轮次课程教学组织实施有效性的分析依据,又是任课教师及时掌握学生对课程组织各环节新需求的重要手段,如是否需要增加前沿拓展方向等。
基于以上教学设计,北京航空航天大学Web安全课程组于2020年进行全课程在线直播讲解,期间设计完成课程实操演示实例共15项,测试问卷6套、课程测验卷1套。这些教学条件有效地保障了选课学生的远程学习效果。在此基础上,2021年采用线上线下混合教学模式进行课程讲授与实践,学生评教中对教学方式与学习效果给予了充分的肯定,课程评价得分为98.75分,教师评价得分为99.06分。
6 结 语
网络空间安全是全新的一级学科,核心必修课程的梳理与建设是培养研究生实践创新能力的基础。以北航Web安全课程建设为例,通过课程内容梳理,引领学生深入理解 Web 安全问题、Web 攻击与防御核心理论与关键技术以及最新研究进展。针对学校面向应用人才培养的实际情况,结合学院的办学定位,融合国际先进授课模式,采取以学生为主体的教学思路令学生充分地融入课堂学习,进行实验内容设计,以实验大作业与课程设计等形式进行多样化实践考核,结合前沿研讨进一步促进学生的国际化视野形成与主动实践创新能力培养。
北京航空航天大学自2018年开设Web安全课程,经过4年的教学设计与实践,开阔了学生的国际化视野,3名研究生完成课程学习后获选赴新加坡国立大学等国外知名高校安全课题组进行Web安全相关方向课题研究。学生研究兴趣得以激发,多名同学以Web安全作为硕、博士毕业论文方向。通过科教融合环节,启发学生主动创新意识,依托课程设计内容完善形成的学术论文获得2019年CCF推荐国际会议最佳论文奖。课程入选北航研究生精品课程建设项目,教师获得2020年北京航空航天大学研究生课程卓越教学奖。
参考文献:
[1] 徐同阁, 刘建伟, 刘连忠, 等. 一流网络安全学院创新人才培养模式初探[J]. 网络与信息安全学报, 2019, 5(3): 19-24.
[2] 天津大学. 新工科建设方案“天大方案”2.0发布[EB/OL]. (2020-06-16)[2022-12-16]. http://www.tju.edu.cn/info/1026/3151. htm.
[3] 刘建伟, 李大伟, 高莹, 等. 面向网络空间安全人才培养的PRIDE教学模式探索与实践[J]. 网络与信息安全学报, 2021, 7(4): 183-189.
[4] 毛剑, 刘建伟, 尚涛, 等. 基于OBE的“网络安全”课程闭环课堂教学方法探索与实践[J]. 工业与信息化教育, 2019(4): 42-47.
[5] Jia Y, Yue C, Dong X, et al. Man-in-the-browser-cache: Persisting HTTPS attacks via browser cache poisoning[J]. Computer and Security, 2015(55): 62-80.
[6] 刘建伟, 毛剑, 尚涛. “网络安全”精品课程建设[J]. 计算机教育, 2012, 4(8): 32-35.
基金项目:北航研究生精品课程建设项目“Web安全”;北航一流本科课程建设项目“网络安全创新实验”;北航教改项目“面向‘双一流’的网络空间安全研究生专业课程建设与国际化视野培养的研究”;教育部产学合作协同育人项目“网络安全实训与竞赛平台建设”(202002054024),“‘网络安全创新实验’实验教学资源开发”(201802088044);北京航空航天大学“双一流”建设专项“信息对抗技术专业建设项目”。
第一作者简介:毛剑,女,北京航空航天大学副教授,研究方向为web安全、物联网安全和智能应用安全,maojian@buaa.edu.cn。
引文格式:毛剑,刘正,刘建伟,等. Web安全研究生精品课程建设初探 [J].计算机教育,2023(2):26-30.
转自:“计算机教育”微信公众号
如有侵权,请联系本站删除!
