案例教學在信息安全課程的運用

導語：案例教學在信息安全課程的運用一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：為了解決當前信息安全課程中以教師講解為主、重理論輕實踐的問題，文章將當前流行的案例教學方法融入到信息安全日常教學中，提出根據不同的知識點，搜集涵蓋面廣、形式豐富多樣的新案例素材，在此基礎上將案例集與專業知識巧妙地結合起來，設計并實施案例教學過程，使學生通過對案例的分析、思考、討論和交流牢固地掌握專業知識，提高學生學習信息安全熱情和積極性，改進教學質量。

關鍵詞：信息安全；案例教學；講授法；討論法

近年來，如“Wannacry”勒索病毒、Facebook信息泄露、棱鏡門事件等安全問題頻發，信息安全問題日顯突出，信息安全已經受到了各方的廣泛關注。對個人而言，網上購物、社交軟件、智能家居等均需要信息安全知識保駕護航；對公司和政府而言，機密信息、網絡配置、軟件系統等離不開信息安全技術；對國家而言，國際上各個國家將網絡空間視為繼海、陸、空、天之后的“第五空間”，且都希望爭奪網絡空間的制高點，而占據網絡空間制高點的重中之重即是保證網絡空間中信息的產生、存儲、傳輸、處理等環節的安全。因此，信息安全儼然成為當今各個領域都關心和研究的熱點，它關系到國家安全、社會穩定、經濟發展、人民生活等重大戰略問題。因而培養創新型的信息安全人才十分重要。近年來，高校信息安全、計算機、網絡工程、軟件工程等相關專業均開設了信息安全課程，其教學目標是使學生利用所掌握信息安全知識和技能，解決現實中的信息安全問題，增強學生在實際工作中的信息安全意識，把學生培養成具有較強創新實踐能力和自主創新意識的信息安全專業人才。信息安全涉及到計算機、網絡通信、數學等專業的知識，教學內容廣，理論知識抽象難學。而傳統的教學方法以教師為主導，填鴨式地講授理論和實踐知識，這樣不能很好地激發學生的學習興趣，學生動手能力差，在未來工作中很難解決實際問題。案例教學是教師以具有鮮明代表性的案例為學生創設問題情境，引導學生通過對案例進行分析討論，在情境中掌握理論知識并總結規律，創造性地將知識與實踐相結合，找到更多的實際生活范例或提出解決實際問題的思路與方法[1-2]。當前，已經有學者給出了在信息安全課程中開展案例教學的方法[3-5]。作者總結自身在高校從事信息安全專業課的教學經驗，根據信息安全知識和技能選取恰當的案例，巧妙地結合講授法、討論法、分組演講、翻轉課堂等教學方法，將案例教學法運用到信息安全課堂中，最后通過期末考核等手段評估案例教學在信息安全課程中的運用效果。

1案例教學法簡介

當前的案例教學最早是由美國哈佛法學院前院長克里斯托弗•哥倫布•朗代爾于1870年提出并運用到法學教育中，后被用于管理學、醫學、社會學等學科教學中，是頗受學生歡迎的一種成功的教學方法。案例教學法是指教師根據教學目標和教學內容，選擇恰當的案例，組織學生對案例進行調查、思考、分析、討論和交流等活動，并引導學生自主探索，理論聯系實際，建構新的知識架構，掌握本專業相關的知識、理論和技能，培養學生分析和解決問題的綜合能力。20世紀80年代，案例教學引入我國，但發展一直比較緩慢。近年來，由于國家全面提倡創新教育，案例教學被越來越多地運用到日常教學中。

2信息安全本科課程特點

信息安全是一門計算機科學與技術、網絡通訊、數學、社會學和法律等交叉學科，概念多、涉及面廣、知識抽象。主要內容包括信息安全概況、信息安全數學基礎、密碼學基礎、訪問控制、惡意代碼、安全協議、網絡安全及防御技術、操作系統安全、安全評價標準等[6]。其中信息安全概況一般從信息安全事件引出信息安全的定義以及基本性質；信息安全數學基礎和密碼學的內容比較理論且難學，是學生掌握比較困難的一部分；訪問控制、惡意代碼、網絡安全及防御技術、操作系統安全等與實際結合緊密，可以培養和鍛煉學生的實踐和動手能力。但是目前很多高校的信息安全教學主要存在著如下問題：第一，課堂主要以教師為主導，學生被動學習，缺乏自主學習的意識；第二，教學方法以講授法為主，缺少新穎活潑的教學方法的運用；第三，側重理論知識傳授，忽視實踐動手能力培養。而將案例教學引入信息安全課程教學中將從一定程度上解決上述問題，改進現有的教學效果。

3案例教學法在信息安全課程中運用

本小節將從案例庫構建、案例教學設計和實施以及案例教學效果的評價闡述如何在信息安全課程中運用案例教學。3.1案例構建案例搜集、整理是案例教學實施前的非常重要的環節，在信息安全案例搜集的過程中需注意以下幾個方面。第一，搜集的案例應能涵蓋信息安全所有的教學內容，且針對性強。針對信息安全各個章節的知識點，搜集近年來密切相關的且產生巨大危害的信息安全案例，且案例分析的難度不應太大。第二，案例應與實際系統和問題相關，這樣可以充分調動學生的學習熱情，將學生的被動接受轉化為自主學習，引導學生通過案例的分析掌握專業知識。第三，案例形式應豐富多樣，既可以是文字，也可以是音頻、視頻、圖片等，豐富的案例素材可以豐富教學方式，提高學生的學習興趣。第四，近年信息安全事件頻發，信息安全關注的熱點也隨著時間推移有所不同，因此，需要及時關注最新的信息安全事件，篩選出近年來給社會帶來巨大危害且影響廣的案例，及時更新案例集?；谝陨显瓌t，搜集近年來部分的信息安全事件運用到課堂教學中，包括勒索病毒Wannacry、棱鏡門計劃、心臟出血HeartBleed、3GSIM卡破解、密碼破譯者——布萊切利莊園幕后的英雄(BBC紀錄片)、Wifi破解等。這些案例形式多樣，且均是近期的或經典的安全事件，給國家、社會和個人都帶來了巨大的損失。3.2案例教學設計和實施根據信息安全教學的基本內容和搜集到的案例信息，將案例巧妙地融入到信息安全知識的講解中，具體設計和實施過程如下。⑴信息安全概述中案例教學在信息安全概述中，講解近年來帶來巨大危害的信息安全事件或學生身邊的信息安全事件，引入信息安全的重要性，進而介紹信息安全的概念，以及信息的保密性、完整性和可用性等安全的基本性質。在此知識點講解中，運用的案例包括：Facebook信息泄露、QQ被盜、學生入侵教務系統修改考試成績、釣魚網站、網購、上海車牌拍牌網站癱瘓等，其中Facebook信息泄露體現了未能保證數據的保密性，學生入侵教務系統修改成績涵蓋了入侵、數據完整性被破壞，上海車牌拍牌網站癱瘓說明系統可用性被破壞。這些案例涵蓋了信息安全定義以及基本性質。在此小節的介紹中，可以利用講授法、討論法等教學方法讓學生對信息安全有所了解。⑵信息安全數學基礎和密碼學基本原理中案例教學信息安全數學基礎和密碼學基本原理是信息安全中非常難的一部分內容，這部分知識枯燥、難懂、不容易掌握。為了提高學生學習這部分理論知識的興趣，可以在課堂上播放英國廣播公司的紀錄片密碼破譯者——布萊切利莊園幕后的英雄，讓學生了解第二次世界大戰時期密碼破譯對戰爭局勢影響，調動學生學習的熱情，改進學習效果。此外，這部分密碼算法可以跟實際相結合，讓學生在課后研究一些現實中的軟件和硬件是如何使用密碼算法保證信息的安全性，并在接下來的課堂中讓學生報告。⑶惡意代碼中案例教學惡意代碼是與實際聯系非常緊密的內容，這部分內容也是學生非常感興趣的。在此部分講解時，運用的案例是2017年5月12日爆發的Wannacry勒索蠕蟲式病毒，黑客利用美國國安局泄露的微軟視圖系統的漏洞“永恒之藍”，感染了大量的計算機。該病毒會加密電腦上重要文件形成擴展名為“.WNCRY”的加密文件。若需要解密該文件，則需要支付價值相當于300美元的比特幣才可以解鎖。至少150個國家、30萬名用戶感染了該病毒，造成損失達80億美元，在國內中石油的部分加油站、教育網受影響。結合案例讓學生掌握病毒、蠕蟲、木馬的概念、區別和聯系，以及近年來活躍且帶來巨大危害的病毒，同時利用討論授課法讓學生討論如何防御惡意代碼。此外，在實驗課上讓學生嘗試編寫一個小型病毒程序，從而加深對惡意代碼的掌握。⑷安全協議中案例教學安全協議主要介紹TCP/IP協議安全、Kerberos協議、安全套接層SSL、HTTPS等。在介紹SSL時，將2014年爆出的利用OpenSSL的心臟出血Heartbleed漏洞來介紹，黑客利用該漏洞可以每次讀取內存64k的內容，多次讀取，將會泄露內存的內容，給系統帶來嚴重危害。結合這一案例介紹SSL協議中消息記錄格式，以及在該協議中使用的加密算法、消息認證碼、公鑰證書和認證等知識點。而HTTPS即為HTTP和SSL的結合，當前淘寶、京東等網購平臺均利用該協議來增加平臺的安全性，在講解HTTPS時，利用一些購物支付網站介紹HTTPS協議。結合實際案例，使學生更加深入了解安全相關協議不是空洞虛無的，而是跟人們的生活息息相關的。案例教學方法的使用使得學生更加牢固地掌握安全協議的內容。⑸網絡安全及防御技術中案例教學網絡安全及防御技術部分，主要講解無線網絡安全、移動通信安全、傳感網絡等內容，這部分知識點涉及到現在非常熱門的移動通信安全、物聯網安全、智慧城市等。本章節將利用“Wifi破解”、“3GSIM卡的破解”兩個案例，分別講解無線網絡協議WEP、WPA、WPA2以及移動通信中2G、3G、4G的安全。其中Wifi破解涉及到無線通信協議WEP、WPA、WPA2以及WPAI的內容，讓學生們利用一些開源的軟件，嗅探無線熱點，并掃描出這些熱點所使用的無線通信的協議，從而選用合適的破解軟件，嘗試攻擊；在講解案例3GSIM卡破解時，讓學生從中了解移動通信的發展歷程，再結合3GSIM卡的破解講解2G、3G、4G等移動通信標準，包括加密算法、認證協議以及交互方式等內容。通過這兩個案例的講解和實驗展示，讓學生掌握網絡安全及防御的內容，并嘗試實施實際攻擊。⑹Web安全中案例教學基于Web的應用越來越廣泛，因此黑客利用操作系統的漏洞和Web應用的不完備，開展包括SQL注入、XSS跨站腳本等攻擊，可以給用戶帶來巨大的危害。在講解本部分內容時，先讓學生在課前預習SQL注入和XSS跨站腳本的基本原理，然后在此基礎上，讓學生對于具體的Web應用嘗試SQL注入攻擊，并從實際攻擊的案例中，掌握Web安全問題以及有效的防御技術。3.3案例教學效果評價通過比較傳統教學方法和案例教學方法在信息安全課程中使用后學生期末考試成績，發現卷面分數在90分以上的學生比例增加了10%，卷面分數在70分以下比例減少了5%，結果表明案例教學的效果更佳。此外，在日常的課堂提問中，學生對專業知識的掌握情況得到明顯改善。

4結束語

在信息安全課程中開展案例教學方法，必須首先根據講解的專業知識搜集案例，在此基礎上設計案例教學過程，在具體的實施中增加學生的參與度，擴大實踐課的比例，充分調動學生學習的熱情和主動性。但目前信息安全的案例比較多，如何選擇合適的案例，合理分配案例的分析討論和知識點講解時間，有效地引導學生將案例和專業知識結合起來等方面，仍有許多問題值得更進一步研究。

作者:劉亞 姒宏明 單位:上海理工大學光電信息與計算機工程學院