关于信息安全教育与网络防护技术实例的探讨

　　2013年6月，美国《卫报》和《华盛顿邮报》对于棱镜门事件的报道使世界哗然。美国政府通过监听、监视民众的通话记录和网络活动掌握重要信息。这起事件背后不得不让人深思，也说明我国网络安全受制于人的严重困局。从网络诈骗，获取银行密码，盗取信用卡钱款等，再到斯诺登的棱镜门事件，导致国家和人民的利益深受侵害，这种种行为都归结于信息在传送和存储的过程中没有得到安全保障。不管从国家和人民的利益，还是从道德与法律的层面出发，对于信息安全的防范和保护都显得尤为重要。
　　信息安全专业是在网络高速发展，安全事情日益增多，安全问题越来越重要的情况下发展起来的，是由数学、计算机科学及技术和通信工程等学科交叉而成的一门综合性学科。自2001年武汉大学创办我国第一个信息安全本科专业以来，据教育部高教司统计，截至2010年，教育部共批准了78所高校设置了信息安全本科专业。在本专业的课程体系、教学内容以及全部教学实践活动的环节中，应从基础理论教学着手，把提高工程实践应用和增强学生创新能力应用及设计开发应用作为导向，重点培养学生实践动手能力。
　　本文在对信息安全专业培养课程研究的基础上，从理论切入到实验教学，结合以防火墙为例的网络防护技术，调查分析教学效果，提高学生的实践动手能力和学习积极性。
　　1 信息安全课程体系结构
　　信息安全学科不仅具有很强的理论性，同时也具有非常强的实践性，许多安全技术与手段需要在实践过程中去认识、去体会。[4]在本专业的全部教学实践活动中，应从基础理论着手，把提高工程实践应用和增强学生创新能力应用及设计开发应用作为导向，重点培养学生实践动手能力。
　　1.1课程内容设计
　　鉴于信息安全专业是交叉性综合学科的特点，本专业的理论课程设置分为两类。即基础理论课程和核心理论课程。如表1。
　　基础课程可以让学生初步认识到计算机的工作原理、软硬件系统等相关应用，对于学生学习密码学、信息论等核心课程有一定的促进作用，而且有利于学生下一步学习与深造。核心课程的设计是对本专业学习的综合提高，使学生在一定的基础之上更高层次的掌握本专业的顶层内容。这种课程体系的设置保证了学生可以适应信息安全领域、通信工程方面的相关工作，从而更好的满足社会发展和国家需要，缓解学生未来的发展和就业压力，规避行业风险。
　　1.2理论与实践相结合实践培养
　　建构主义学习理论认为，知识不是通过教师传授得到，而是学习者在一定的情境下，借助于他人（包括教师和学习伙伴）的帮助，利用必要的学习资料、媒体，通过意义建构的方式而获得。实践教学是实用性高级信息安全人才培养的重要环节，直接影响人才的培养质量。[4] 在实验过程中，学生以理论知识作为基础，通过分析、判断，运用理论知识解决问题。[5]实践教学是培养学生工程能力和解决问题能力的一种重要方法和途径。借鉴传统教学方法中的优点，采用“上课+上机操作”的传统教学模式，积极利用实验室现有设备和资源，重组理论与实验教学体系，建设基础—综合—创新的三级实验教学模式，增强学习过程中的自主性与合作性。实验教学不仅承担了对基础理论知识的验证，传送实验技能的任务，而且对于培养学生勇于探索、自主创新能力的提升也有所帮助。
　　2 网络安全防护技术实例
　　实践教学作为信息安全专业教育的重要内容，不仅对帮助学生理解信息安全专业的基本概念、原理和机制具有重要作用，也是培养学生实践动手能力和应用型工程人才的关键环节。该文提出把提高学生学习的主动性和参与性作为重点教学内容，进行教学活动的设计与实施。网络防护技术是安全防护技术之一，加固防火墙是实现网络防护的基本手段。该文以两人实验小组为依托，组织对抗性攻防实验，通过学生具体参与操作，增强学生的探索创新能力，充分发挥学生竞争意识，实行组内加分，组间互助的考核策略，最终达到能够合作设计完成综合实验的教学目的。具体实验教学模式如图1。该文以配置SMART-V防火墙实验为例，通过课堂实例来具体阐述本文的教学模式与理念。
　　2.1防火墙技术简介
　　防火墙是由软件和硬件设备共同组成的，它存在于内部网络与外部网络之间，是能够实施网络访问控制的系统。防火墙的常用技术分为包过滤技术、代理服务技术、网络地址转换技术、虚拟专用网VPN技术、审计技术、信息加密技术。
　　2.2防火墙典型体系结构
　　防火墙体系结构通常分为双重宿主主机体系结构、被屏蔽主机体系结构、被屏蔽子网体系结构。该文主要介绍被屏蔽子网体系结构。学生实验设备为联想网御Smart V系列防火墙，该产品集成防火墙、VPN、交换机功能于一身，满足学生学习应用要求。
　　被屏蔽子网体系结构的最简单的形式为两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络（通常为Internet）之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。如图2所示。
　　2.3配置SMART-V防火墙
　　2.3.1分配任务
　　根据本班人数（32人），划分为16个实验小组，每两人一组，规划网络拓扑进行实验。实验拓扑如图3所示。
　　2.3.2实验过程
　　1） 置防火墙IP地址，保障主机A与B能正常通信。
　　2） 主机A对B主动实施TCP SYN Flood攻击。通过A主机实施攻击，实验小组了解到TCP SYN Flood攻击原理，并对TCP建立三次握手的协议进行了复习和巩固。
　　3） 每组成员共同架设防火墙。
　　4） 测试连通性分析参数。
　　主机A使用相同的方法对B实施TCP SYN FLOOD攻击，B仍可以保持相同的网速继续上网，说明防火墙阻挡了TCP SYN FLOOD攻击。最后撰写实验报告，教师给予小组成员评分。
　　2.3.3教师根据实验情况，总结实验。
　　本次实验共16组成员，其中10组成功完成了防火墙的配置与测试，2组没有配置成功，剩余4组由于时间原因未能完成实验。具体实验情况如图3所示。
　　根据实验进行的结果，62.5%的同学合作完成SMART-V防火墙的配置与测试，巩固了TCP协议的相关知识，了解了TCP SYN Flood攻击的部分手段，对于网络攻防技术的掌握更加具体化。对于未能完成实验的同学根据老师的帮助下查找错误原因，解决问题 。有些同学由于其他原因未能完成实验，也给教师更多启示，教师应该根据具体实验时间与内容做出更加合理的安排。有兴趣的同学还可以在老师的指导下进行进一步的探索与实验，例如教师可以推荐联想网御N3000 IDS基本技术，学生自主完成配置操作，从中学习IDS的基本知识和技术（包括探测器、规则匹配、事件分析等），通过亲自体会与实验，能够进行N3000的基本配置及检测报表分析，并能从中理解IDS在网络安全防护中的重要作用。该实验过程应印证了从基础配置到探索创新的三级实验模式，也是学生自主完成从基础—综合—创新的提高过程。
　　3 结束语
　　信息在传播过程中要保证其可获性、完整性和机密性，还要保障网络传播设备的安全性和传送数据的可恢复性。实验教学过程给学生提供更多的学习和发展平台，增强学生自主创新能力，符合本专业培养方案与目标。信息安全专业提倡学生进行自主实验，把提高实际动手能力作为学习与科研的重要基础环节。教师应提供更多对抗性实验机会，充分发挥学生的竞争意识，多环节使用鼓励加分机制，把提高学生的积极主动性作为教学设计的第一过程。该文结合网络安全防护技术的实际教学案例，充分发挥基础—综合—创新的三级教学模式，最大程度唤起学生在学习过程中的自主性、互助性，并取得良好的效果。希望对于本专业今后的教学提供参照与帮助，成为信息安全专业实验教学模式的具体体现与补充。
　　参考文献：
　　[1] 沈昌祥，张焕国，冯登国，曹珍富，黄继武.信息安全综述[J].中国科学（E辑：信息科学），2007（2）：129-150.
　　[2] 沈利华.高职院校培养信息安全技术人才的可行性研究[J].职业教育研究，2006（3）.
　　[3] 肖华龙.信息安全与网络安全关系辨析[J].电子世界，2012（16）：123-124.
　　[4] 张辉.信息安全本科专业实践教学体系探索[J].办公自动化：综合月刊，2014（2）：46-48.