项目化实践教学在《网络安全》课程中的应用

1、项目化实践教学在网络安全课程中 的应用张鑫张婷南阳理工学院软件学院南阳师范学院计算机与信息技术学院摘要：依据网络安全课程的特点和实践教学存在的问题，提出项目化实践教学方法, 结合真实应用场景，让学牛自主构建网络安全的知识体系。教学效果表明学牛在 专业技能方面得到良好的收获。因此，采用项目化教学法改革网络安全课程 实践教学，能够培养学生创新能力，提高实践教学质量。关键词：网络安全;项目化;实践教学;基金：河南省教育厅2016年度教师教育课程改革研究项目：基于微课的中小学教 师信息化教学能力培养策略研究(2016-jsjyyb-080)0引言目前，随着电子商务和电子政务的发展，信息安全的评估体系已

2、经得到了企业， 国家金融机构的高度重视，具有良好的研究和发展空间。在国内外业内的研究中, 安全标准的设计、安全模型的选择、各种安全因素的提取、安全评估方法、安全 评估实施、变得越來越重要，对于网络安全的重视程度越來越高。因此作为计算 机专业的学生，需要掌握一定的网络安全知识，并牢固树立信息安全意识。1课程特点及教学现状网络安全课程的教学实践表明，学生学习的积极性随着课程的深入，逐渐减弱。 学生难以充分理解课程屮相关知识点。在动手实践过程屮，难以结合相关技术解 决出现的网络安全问题1。1.1多门专业课基础 由于网络本身包含面非常广，既包括网络设备乂包括网络系统，所以错综复杂 的环境导致了网络安全

3、研究是比较难的研究点，需要学牛掌握大量的网络知识。 这些知识不仅包括操作系统，网络架构，网络协议等计算机知识，还包括密码 学这样的数学知识図。在实践过程屮，还需要有一定的软件基础，包括数据库、 数据结构、算法和高级语言。1.2课程实践性质强网络安全课程是一门应用性强的综合性课程，需要将理论知识和实践操作相结 合鸟1。教师需要在有限的学吋内传授学生基本原理和常用技能，让学生能够解 决常见网络安全问题，成为学以致用的人才。1.3实践教学的内容更新变化快各种网络安全问题随着物联网和云计算的广泛应用不断出现，网络安全技术也 在不断更新。网络安全的教学实验如果仅停留在单一的形式上，缺乏对前沿网络 安全应

4、用以及安全隐患的解决方案的讲授，会让教学环节和实际应用出现脱节1. 4学生能动性调动不足实验内容多为验证性，学生在知道实验结论的情况下，很容易按部就班地完成 实验，不能积极调动起学牛的能动性固。学牛在实践环节，发现问题和解决问 题的能力得不到良好的锻炼，影响了实践教学的效果，不利于学生创新思维和 创新能力的培养。2项目化教学实例依据网络安全课程的特点及现状，提出了项目化教学的方法。项目化教学法 以项目为载体，学牛为主体，将学牛和项目紧密配合，面向实战，强调“做中 学”回。学生的各种能力的训练和知识的运用都随着项目的逐步完成得到锻炼 和提升。笔者结合某职业学院的网络安全风险评估项冃，将网络安全课

5、程屮 的重要知识点串接起来，让学生自主构建网络安全的理论体系，并动手实践。2.1网络安全风险评估网络安全评估是对整个网络架构，做一个整体的安全评测，通过对数据库、操作 系统、管理制度等多方面的综合评估，分析出网络潜在的安全威胁，提出一个针 对性的解决方法和对策，在最大的程度上保护评估目标的资产安全。网络安全评 估主要的任务如下：(1) 对漏洞和风险点进行识别，简述其原理和属性，统计其出现的频率。(2) 对具体的漏洞和风险点进行详情分析。(3) 根据漏洞和风险点的严重程度，预估其可能造成的危害。(4) 根据其脆弱性所涉及的系统或者应用的价值，预估其可能造成的损失。(5) 综合统计预估漏洞和风险发

6、生后，可能产生的影响，规划风险等级。2.2某职业学院的网络安全风险评估(1) 1p地址检测使用ping命令通过发送icmp数据包进行主机之间的交互，然后回显数据包，获 取ip地址信息，常用于检测网络是否通畅，两台主机之间进行连通性测试。(2) 操作系统和服务器类型探测(1)作系统探测a. 不同的操作系统其ttl的数值是不同的，使用ping命令看返回的ttl的数值 来判断操作系统类型。b. 使用工具进行探测(namp),工具探测会分析返回包的特征，据此判断操作 系统的类型，nmap测试结果如图1所示。图1 nmap测试结果 下载原图(2) 服务器类型探测常用的web服务器有iis, apache

7、, nginx,测试过程中，确定其web容器非常 重要，因为它决定了攻击手法和攻击方向。使用工具探测(wscan)，测试结 果如图2所不。图2 wwwscan扫描结果下载原图端口扫描通过对目标的端口扫描可以确定其上开放的端口信息，不同的端口对应着不同 的服务，主要采用了 nnrnp对端口进行探测，扫描结果如图3所示。结合以上的操作步骤，某职业学院的整体信息统计如表1所示。表1整体信息统计下载原表(4)工具扫描探测(1) 目录扫描通过对网站目录的扫描，可以获取网站的整体的大概架构信息，使用工具awvs 能很快的爬取到网站的一些目录，根据其爬取的目录对目标网站进行分析，查 看是否有可疑的url连接

8、并可做验证处理，为进一步的渗透测试提供条件。(2) 网站漏洞扫描使用butpsuite对网站进行漏洞扫描测试，扫描结果如图4所示。图4 burp扫描结果下载原图结果分析:通过工具可以发现网站的一些安全问题，但是由于网路或者防火墙的 影响，可能造成误报，所以还需要进行手工的漏洞挖掘和探测验证。(5)手工验证测试(1) sql注入漏洞检测使用sqlmap自动化sql注入工具进行验证，能够精确的识别sql注入，如图5 所示。图5 sqlmap验证图解 下载原图结果分析：目标某子站存在严重的sql注入漏洞，危害网站数据安全。(2) xss漏洞检测构造paylaod进行测试，常用的xss payload

9、如下: 结果分析：目标站点某子站存在反射型xss,通过构造闭合可成功弹窗，恶意攻 击者可构造特殊的连接，盗取其他用户的cookies等重要敏感信息。(3) 信息明文传送漏洞检测多数网站采用http协议，http协议并未采取加密传输，所以在操作敏感数据的 时候可通过中间人获取相关的敏感信息，测试结果如图6所示。图6数据包截取分析下载原图结果分析：目标主站并未采用https加密协议，传输数据皆为明文，可通过中间 人攻击获取敏感信息。(4) 命令执行漏洞检测现在大多数网站都会采用一些框架开发，简单快捷，但是网站框架或者是中间 件出现漏洞时，就会危害网站的安全。常用的屮间件和开发框架有:structs

10、, weblogic, tomcat 等。结果分析：目标服务器某子站开放7001端口，经探测是开放的weblogic服务， 存在weblogic命令执行漏洞，当前用户为管理员权限，可执行任意系统命令， 危害系统的安全。(5) 弱口令漏洞检测网站管理前台/管理后台登录存在弱口令(默认口令、测试账号、口令设置过于 简单或口令设置与网站本身特性有关)，经过简单猜解用户名密码，可进入网 站管理前台/后台。目标主站某子站(认证系统)使用burp对登录处进行爆破, 爆破结果如图7所示。图7 burp爆破结果下载原图 结果分析：目标站点某子站存在弱口令漏洞，可通过爆破成功登录，操作目标服 务器上的众多系统。

11、(6) csrf漏洞检测csef漏洞乂称为跨站点请求伪造漏洞。测试方法如下：a设置代理，对修改个人信息时提交的参数进行分析。b抓取数据包，分析数据包结构。c将rcfcrcr字段删除后，还可以继续进行提交，且所有参数可预见，存在 csrf漏洞。结果分析：目标存在csrf漏洞，构造csrf漏洞利用代码如图8所示，可通过该 漏洞修改任意注册用户信息。图8 csrf漏洞利用下载原图3项目化教学效果3. 1网络安全技术的掌握通过信息搜集、端口扫描、漏洞扫描、敏感文件探测等多种测试方法对某职业学 院整体网络架构进行了网络安全风险评估。学生在完成项冃的过程屮学习风险评 估的方法以及常见漏洞的原理和危害，学生

12、自己构建网络安全的知识体系，调 动了学生的能动性，学牛对相关知识的理解更加深入。3. 2学生的实践创新能力在进行网络安全风险评估的过程中，教师介绍渗透测试常用的工具，渗透测试 的方法和常见的渗透测试点。采用项冃化实践教学，学生进入到真实的应用情景 中，运用以上知识对目标网站进行渗透测试发现漏洞并进行漏洞原理分析。学生 在设计实验的过程中，综合运用渗透测试工具，解决实际的问题，有利于实践 能力和创新能力的培养。4结论针对网络安全课程的特点和实践教学存在的问题，在实践教学采用项冃化的 教学方法，面向实战，结合大量的项目实践给学生带来了明显的帮助，学生在 专业技能方面得到良好的收获。学生的学习兴趣、自主学习时间、代码量和知识 点的掌握情况得到了一定的提升。因此，采用项目化教学法改革网络安全课 程实践教学，达到了培养学生创新能力，提高实践教学质量的目的。参考文献1 欧庆于，朱婷婷，张昌宏关于信息安全实验教学的几点思考j计算机教 育，2010.2 宋玮“信息安全概论”课程教学的思考j社会工作与管理，2008.3 苏庭波.网络工程专业网络信息安全课程教学改革探索j.电脑知识与技术， 2014.4 李悦，夏小玲，王高丽等信息安