项目化实践教学在《网络安全》课程中的应用
2017-12-25◆张鑫张婷
◆张 鑫 张 婷
(1.南阳理工学院软件学院 河南 473000;2.南阳师范学院计算机与信息技术学院 河南 473000)
项目化实践教学在《网络安全》课程中的应用
◆张 鑫1张 婷2
(1.南阳理工学院软件学院 河南 473000;2.南阳师范学院计算机与信息技术学院 河南 473000)
依据《网络安全》课程的特点和实践教学存在的问题,提出项目化实践教学方法,结合真实应用场景,让学生自主构建网络安全的知识体系。教学效果表明学生在专业技能方面得到良好的收获。因此,采用项目化教学法改革《网络安全》课程实践教学,能够培养学生创新能力,提高实践教学质量。
网络安全;项目化;实践教学
0 引言
目前,随着电子商务和电子政务的发展,信息安全的评估体系已经得到了企业,国家金融机构的高度重视,具有良好的研究和发展空间。在国内外业内的研究中,安全标准的设计、安全模型的选择、各种安全因素的提取、安全评估方法、安全评估实施、变得越来越重要,对于网络安全的重视程度越来越高。因此作为计算机专业的学生,需要掌握一定的网络安全知识,并牢固树立信息安全意识。
1 课程特点及教学现状
网络安全课程的教学实践表明,学生学习的积极性随着课程的深入,逐渐减弱。学生难以充分理解课程中相关知识点。在动手实践过程中,难以结合相关技术解决出现的网络安全问题[1]。
1.1 多门专业课基础
由于网络本身包含面非常广,既包括网络设备又包括网络系统,所以错综复杂的环境导致了网络安全研究是比较难的研究点,需要学生掌握大量的网络知识。这些知识不仅包括操作系统,网络架构,网络协议等计算机知识,还包括密码学这样的数学知识[2]。在实践过程中,还需要有一定的软件基础,包括数据库、数据结构、算法和高级语言。
1.2 课程实践性质强
网络安全课程是一门应用性强的综合性课程,需要将理论知识和实践操作相结合[3]。教师需要在有限的学时内传授学生基本原理和常用技能,让学生能够解决常见网络安全问题,成为学以致用的人才。
1.3 实践教学的内容更新变化快
各种网络安全问题随着物联网和云计算的广泛应用不断出现,网络安全技术也在不断更新。网络安全的教学实验如果仅停留在单一的形式上,缺乏对前沿网络安全应用以及安全隐患的解决方案的讲授,会让教学环节和实际应用出现脱节[4]。
1.4 学生能动性调动不足
实验内容多为验证性,学生在知道实验结论的情况下,很容易按部就班地完成实验,不能积极调动起学生的能动性[5]。学生在实践环节,发现问题和解决问题的能力得不到良好的锻炼,影响了实践教学的效果,不利于学生创新思维和创新能力的培养。
2 项目化教学实例
依据《网络安全》课程的特点及现状,提出了项目化教学的方法。项目化教学法以项目为载体,学生为主体,将学生和项目紧密配合,面向实战,强调“做中学”[6]。学生的各种能力的训练和知识的运用都随着项目的逐步完成得到锻炼和提升。笔者结合某职业学院的网络安全风险评估项目,将《网络安全》课程中的重要知识点串接起来,让学生自主构建网络安全的理论体系,并动手实践。
2.1 网络安全风险评估
网络安全评估是对整个网络架构,做一个整体的安全评测,通过对数据库、操作系统、管理制度等多方面的综合评估,分析出网络潜在的安全威胁,提出一个针对性的解决方法和对策,在最大的程度上保护评估目标的资产安全。网络安全评估主要的任务如下:
(1)对漏洞和风险点进行识别,简述其原理和属性,统计其出现的频率。
(2)对具体的漏洞和风险点进行详情分析。
(3)根据漏洞和风险点的严重程度,预估其可能造成的危害。
(4)根据其脆弱性所涉及的系统或者应用的价值,预估其可能造成的损失。
(5)综合统计预估漏洞和风险发生后,可能产生的影响,规划风险等级。
2.2 某职业学院的网络安全风险评估
(1)IP地址检测
使用ping命令通过发送ICMP数据包进行主机之间的交互,然后回显数据包,获取IP地址信息,常用于检测网络是否通畅,两台主机之间进行连通性测试。
(2)操作系统和服务器类型探测
①作系统探测
a.不同的操作系统其TTL的数值是不同的,使用ping命令看返回的TTL的数值来判断操作系统类型。
b.使用工具进行探测(namp),工具探测会分析返回包的特征,据此判断操作系统的类型,nmap测试结果如图1所示。
图1 nmap测试结果
②服务器类型探测
常用的web服务器有IIS,Apache,nginx,测试过程中,确定其web容器非常重要,因为它决定了攻击手法和攻击方向。使用工具探测(wwwscan),测试结果如图2所示。
图2 wwwscan扫描结果
(3)端口扫描
通过对目标的端口扫描可以确定其上开放的端口信息,不同的端口对应着不同的服务,主要采用了nmap对端口进行探测,扫描结果如图3所示。
图3 nmap扫描结果
结合以上的操作步骤,某职业学院的整体信息统计如表1所示。
表1 整体信息统计
(4)工具扫描探测
①目录扫描
通过对网站目录的扫描,可以获取网站的整体的大概架构信息,使用工具AWVS能很快的爬取到网站的一些目录,根据其爬取的目录对目标网站进行分析,查看是否有可疑的URL连接并可做验证处理,为进一步的渗透测试提供条件。
②网站漏洞扫描
使用butpsuite对网站进行漏洞扫描测试,扫描结果如图4所示。
图4 burp扫描结果
结果分析:通过工具可以发现网站的一些安全问题,但是由于网路或者防火墙的影响,可能造成误报,所以还需要进行手工的漏洞挖掘和探测验证。
(5)手工验证测试
①sql注入漏洞检测
使用sqlmap自动化sql注入工具进行验证,能够精确的识别sql注入,如图5所示。
图5 sqlmap验证图解
结果分析:目标某子站存在严重的sql注入漏洞,危害网站数据安全。
②XSS漏洞检测
构造paylaod进行测试,常用的xss payload如下:
结果分析:目标站点某子站存在反射型XSS,通过构造闭合可成功弹窗,恶意攻击者可构造特殊的连接,盗取其他用户的cookies等重要敏感信息。
③信息明文传送漏洞检测
多数网站采用http协议,http协议并未采取加密传输,所以在操作敏感数据的时候可通过中间人获取相关的敏感信息,测试结果如图6所示。
图6 数据包截取分析
结果分析:目标主站并未采用https加密协议,传输数据皆为明文,可通过中间人攻击获取敏感信息。
④命令执行漏洞检测
现在大多数网站都会采用一些框架开发,简单快捷,但是网站框架或者是中间件出现漏洞时,就会危害网站的安全。常用的中间件和开发框架有:structs,weblogic,tomcat等。
结果分析:目标服务器某子站开放7001端口,经探测是开放的weblogic服务,存在weblogic命令执行漏洞,当前用户为管理员权限,可执行任意系统命令,危害系统的安全。
⑤弱口令漏洞检测
网站管理前台/管理后台登录存在弱口令(默认口令、测试账号、口令设置过于简单或口令设置与网站本身特性有关),经过简单猜解用户名密码,可进入网站管理前台/后台。目标主站某子站(认证系统)使用burp对登录处进行爆破,爆破结果如图7所示。
图7 burp爆破结果
结果分析:目标站点某子站存在弱口令漏洞,可通过爆破成功登录,操作目标服务器上的众多系统。
⑥CSRF漏洞检测
CSEF漏洞又称为跨站点请求伪造漏洞。测试方法如下:
a.设置代理,对修改个人信息时提交的参数进行分析。
b.抓取数据包,分析数据包结构。
c.将referer字段删除后,还可以继续进行提交,且所有参数可预见,存在CSRF漏洞。
结果分析:目标存在csrf漏洞,构造csrf漏洞利用代码如图8所示,可通过该漏洞修改任意注册用户信息。
图8 CSRF漏洞利用
3 项目化教学效果
3.1 网络安全技术的掌握
通过信息搜集、端口扫描、漏洞扫描、敏感文件探测等多种测试方法对某职业学院整体网络架构进行了网络安全风险评估。学生在完成项目的过程中学习风险评估的方法以及常见漏洞的原理和危害,学生自己构建网络安全的知识体系,调动了学生的能动性,学生对相关知识的理解更加深入。
3.2 学生的实践创新能力
在进行网络安全风险评估的过程中,教师介绍渗透测试常用的工具,渗透测试的方法和常见的渗透测试点。采用项目化实践教学,学生进入到真实的应用情景中,运用以上知识对目标网站进行渗透测试发现漏洞并进行漏洞原理分析。学生在设计实验的过程中,综合运用渗透测试工具,解决实际的问题,有利于实践能力和创新能力的培养。
4 结论
针对《网络安全》课程的特点和实践教学存在的问题,在实践教学采用项目化的教学方法,面向实战,结合大量的项目实践给学生带来了明显的帮助,学生在专业技能方面得到良好的收获。学生的学习兴趣、自主学习时间、代码量和知识点的掌握情况得到了一定的提升。因此,采用项目化教学法改革《网络安全》课程实践教学,达到了培养学生创新能力,提高实践教学质量的目的。
[1]欧庆于,朱婷婷,张昌宏.关于信息安全实验教学的几点思考[J].计算机教育,2010.
[2]宋玮. “信息安全概论”课程教学的思考[J].社会工作与管理,2008.
[3]苏庭波.网络工程专业网络信息安全课程教学改革探索[J].电脑知识与技术,2014.
[4]李悦,夏小玲,王高丽等.信息安全课程的工程实践与创新教育模式研究[J].计算机教育,2014.
[5]王小军,刘顺兰,黄骞儒.信息安全专业实践教学体系的构建与探索[J].杭州电子科技大学学报:社会科学版, 2011.
[6]徐新爱,习爱民,万里勇.“信息安全概论”课程案例化教学改革的研究[C]// National Teaching Seminar on Cryptography and Information Security,2011.
河南省教育厅2016年度教师教育课程改革研究项目: 基于微课的中小学教师信息化教学能力培养策略研究(2016-JSJYYB-080);南阳师范学院校级项目:Web应用运行时监控框架的设计与实现(QN2017064)。