劉亞 姒宏明

摘? 要： 為了解決當(dāng)前信息安全課程中以教師講解為主、重理論輕實踐的問題，文章將當(dāng)前流行的案例教學(xué)方法融入到信息安全日常教學(xué)中，提出根據(jù)不同的知識點，搜集涵蓋面廣、形式豐富多樣的新案例素材，在此基礎(chǔ)上將案例集與專業(yè)知識巧妙地結(jié)合起來，設(shè)計并實施案例教學(xué)過程，使學(xué)生通過對案例的分析、思考、討論和交流牢固地掌握專業(yè)知識，提高學(xué)生學(xué)習(xí)信息安全熱情和積極性，改進(jìn)教學(xué)質(zhì)量。

關(guān)鍵詞： 信息安全; 案例教學(xué); 講授法; 討論法

中圖分類號：G642? ? ? ? ? 文獻(xiàn)標(biāo)志碼：A? ? ?文章編號：1006-8228（2019）02-98-03

Study on the application strategy of case teaching in information security course

Liu Ya， Si Hongming

（School of Optical-Electrical and Computer Engineering， University of Shanghai for Science and Technology， Shanghai 200093， China）

Abstract： In order to solve the problems in information security course teaching that most of professional knowledge is mainly taught by teachers in the class， and they focus on theories and ignore in practice， in this paper， how to apply case teaching in information security course is studied. It is proposed that various new cases are collected according to different knowledge to cover all professional knowledge， on this basis， a case teaching process is designed and implemented by combining cases with professional knowledge. Students master the professional knowledge by analyzing， thinking and discussing the cases， which makes students study with enthusiasm and greatly improve the teaching quality.

Key words： information security; case teaching; expository method; discussion method

0 引言

近年來，如“Wannacry”勒索病毒、Facebook信息泄露、棱鏡門事件等安全問題頻發(fā)，信息安全問題日顯突出，信息安全已經(jīng)受到了各方的廣泛關(guān)注。

對個人而言，網(wǎng)上購物、社交軟件、智能家居等均需要信息安全知識保駕護(hù)航;對公司和政府而言，機(jī)密信息、網(wǎng)絡(luò)配置、軟件系統(tǒng)等離不開信息安全技術(shù);對國家而言，國際上各個國家將網(wǎng)絡(luò)空間視為繼海、陸、空、天之后的“第五空間”，且都希望爭奪網(wǎng)絡(luò)空間的制高點，而占據(jù)網(wǎng)絡(luò)空間制高點的重中之重即是保證網(wǎng)絡(luò)空間中信息的產(chǎn)生、存儲、傳輸、處理等環(huán)節(jié)的安全。因此，信息安全儼然成為當(dāng)今各個領(lǐng)域都關(guān)心和研究的熱點，它關(guān)系到國家安全、社會穩(wěn)定、經(jīng)濟(jì)發(fā)展、人民生活等重大戰(zhàn)略問題。因而培養(yǎng)創(chuàng)新型的信息安全人才十分重要。

近年來，高校信息安全、計算機(jī)、網(wǎng)絡(luò)工程、軟件工程等相關(guān)專業(yè)均開設(shè)了信息安全課程，其教學(xué)目標(biāo)是使學(xué)生利用所掌握信息安全知識和技能，解決現(xiàn)實中的信息安全問題，增強(qiáng)學(xué)生在實際工作中的信息安全意識，把學(xué)生培養(yǎng)成具有較強(qiáng)創(chuàng)新實踐能力和自主創(chuàng)新意識的信息安全專業(yè)人才。

信息安全涉及到計算機(jī)、網(wǎng)絡(luò)通信、數(shù)學(xué)等專業(yè)的知識，教學(xué)內(nèi)容廣，理論知識抽象難學(xué)。而傳統(tǒng)的教學(xué)方法以教師為主導(dǎo)，填鴨式地講授理論和實踐知識，這樣不能很好地激發(fā)學(xué)生的學(xué)習(xí)興趣，學(xué)生動手能力差，在未來工作中很難解決實際問題。

案例教學(xué)是教師以具有鮮明代表性的案例為學(xué)生創(chuàng)設(shè)問題情境，引導(dǎo)學(xué)生通過對案例進(jìn)行分析討論，在情境中掌握理論知識并總結(jié)規(guī)律，創(chuàng)造性地將知識與實踐相結(jié)合，找到更多的實際生活范例或提出解決實際問題的思路與方法[1-2]。當(dāng)前，已經(jīng)有學(xué)者給出了在信息安全課程中開展案例教學(xué)的方法[3-5]。

作者總結(jié)自身在高校從事信息安全專業(yè)課的教學(xué)經(jīng)驗，根據(jù)信息安全知識和技能選取恰當(dāng)?shù)陌咐?，巧妙地結(jié)合講授法、討論法、分組演講、翻轉(zhuǎn)課堂等教學(xué)方法，將案例教學(xué)法運用到信息安全課堂中，最后通過期末考核等手段評估案例教學(xué)在信息安全課程中的運用效果。

1 案例教學(xué)法簡介

當(dāng)前的案例教學(xué)最早是由美國哈佛法學(xué)院前院長克里斯托弗·哥倫布·朗代爾于1870年提出并運用到法學(xué)教育中，后被用于管理學(xué)、醫(yī)學(xué)、社會學(xué)等學(xué)科教學(xué)中，是頗受學(xué)生歡迎的一種成功的教學(xué)方法。案例教學(xué)法是指教師根據(jù)教學(xué)目標(biāo)和教學(xué)內(nèi)容，選擇恰當(dāng)?shù)陌咐?，組織學(xué)生對案例進(jìn)行調(diào)查、思考、分析、討論和交流等活動，并引導(dǎo)學(xué)生自主探索，理論聯(lián)系實際，建構(gòu)新的知識架構(gòu)，掌握本專業(yè)相關(guān)的知識、理論和技能，培養(yǎng)學(xué)生分析和解決問題的綜合能力。20世紀(jì)80年代，案例教學(xué)引入我國，但發(fā)展一直比較緩慢。近年來，由于國家全面提倡創(chuàng)新教育，案例教學(xué)被越來越多地運用到日常教學(xué)中。

2 信息安全本科課程特點

信息安全是一門計算機(jī)科學(xué)與技術(shù)、網(wǎng)絡(luò)通訊、數(shù)學(xué)、社會學(xué)和法律等交叉學(xué)科，概念多、涉及面廣、知識抽象。主要內(nèi)容包括信息安全概況、信息安全數(shù)學(xué)基礎(chǔ)、密碼學(xué)基礎(chǔ)、訪問控制、惡意代碼、安全協(xié)議、網(wǎng)絡(luò)安全及防御技術(shù)、操作系統(tǒng)安全、安全評價標(biāo)準(zhǔn)等[6]。其中信息安全概況一般從信息安全事件引出信息安全的定義以及基本性質(zhì);信息安全數(shù)學(xué)基礎(chǔ)和密碼學(xué)的內(nèi)容比較理論且難學(xué)，是學(xué)生掌握比較困難的一部分;訪問控制、惡意代碼、網(wǎng)絡(luò)安全及防御技術(shù)、操作系統(tǒng)安全等與實際結(jié)合緊密，可以培養(yǎng)和鍛煉學(xué)生的實踐和動手能力。但是目前很多高校的信息安全教學(xué)主要存在著如下問題：第一，課堂主要以教師為主導(dǎo)，學(xué)生被動學(xué)習(xí)，缺乏自主學(xué)習(xí)的意識;第二，教學(xué)方法以講授法為主，缺少新穎活潑的教學(xué)方法的運用;第三，側(cè)重理論知識傳授，忽視實踐動手能力培養(yǎng)。而將案例教學(xué)引入信息安全課程教學(xué)中將從一定程度上解決上述問題，改進(jìn)現(xiàn)有的教學(xué)效果。

3 案例教學(xué)法在信息安全課程中運用

本小節(jié)將從案例庫構(gòu)建、案例教學(xué)設(shè)計和實施以及案例教學(xué)效果的評價闡述如何在信息安全課程中運用案例教學(xué)。

3.1 案例構(gòu)建

案例搜集、整理是案例教學(xué)實施前的非常重要的環(huán)節(jié)，在信息安全案例搜集的過程中需注意以下幾個方面。

第一，搜集的案例應(yīng)能涵蓋信息安全所有的教學(xué)內(nèi)容，且針對性強(qiáng)。針對信息安全各個章節(jié)的知識點，搜集近年來密切相關(guān)的且產(chǎn)生巨大危害的信息安全案例，且案例分析的難度不應(yīng)太大。

第二，案例應(yīng)與實際系統(tǒng)和問題相關(guān)，這樣可以充分調(diào)動學(xué)生的學(xué)習(xí)熱情，將學(xué)生的被動接受轉(zhuǎn)化為自主學(xué)習(xí)，引導(dǎo)學(xué)生通過案例的分析掌握專業(yè)知識。

第三，案例形式應(yīng)豐富多樣，既可以是文字，也可以是音頻、視頻、圖片等，豐富的案例素材可以豐富教學(xué)方式，提高學(xué)生的學(xué)習(xí)興趣。

第四，近年信息安全事件頻發(fā)，信息安全關(guān)注的熱點也隨著時間推移有所不同，因此，需要及時關(guān)注最新的信息安全事件，篩選出近年來給社會帶來巨大危害且影響廣的案例，及時更新案例集。

基于以上原則，搜集近年來部分的信息安全事件運用到課堂教學(xué)中，包括勒索病毒W(wǎng)annacry、棱鏡門計劃、心臟出血HeartBleed、3G SIM卡破解、密碼破譯者——布萊切利莊園幕后的英雄（BBC紀(jì)錄片）、Wifi破解等。這些案例形式多樣，且均是近期的或經(jīng)典的安全事件，給國家、社會和個人都帶來了巨大的損失。

3.2 案例教學(xué)設(shè)計和實施

根據(jù)信息安全教學(xué)的基本內(nèi)容和搜集到的案例信息，將案例巧妙地融入到信息安全知識的講解中，具體設(shè)計和實施過程如下。

⑴ 信息安全概述中案例教學(xué)

在信息安全概述中，講解近年來帶來巨大危害的信息安全事件或?qū)W生身邊的信息安全事件，引入信息安全的重要性，進(jìn)而介紹信息安全的概念，以及信息的保密性、完整性和可用性等安全的基本性質(zhì)。在此知識點講解中，運用的案例包括：Facebook信息泄露、QQ被盜、學(xué)生入侵教務(wù)系統(tǒng)修改考試成績、釣魚網(wǎng)站、網(wǎng)購、上海車牌拍牌網(wǎng)站癱瘓等，其中Facebook信息泄露體現(xiàn)了未能保證數(shù)據(jù)的保密性，學(xué)生入侵教務(wù)系統(tǒng)修改成績涵蓋了入侵、數(shù)據(jù)完整性被破壞，上海車牌拍牌網(wǎng)站癱瘓說明系統(tǒng)可用性被破壞。這些案例涵蓋了信息安全定義以及基本性質(zhì)。在此小節(jié)的介紹中，可以利用講授法、討論法等教學(xué)方法讓學(xué)生對信息安全有所了解。

⑵ 信息安全數(shù)學(xué)基礎(chǔ)和密碼學(xué)基本原理中案例教學(xué)

信息安全數(shù)學(xué)基礎(chǔ)和密碼學(xué)基本原理是信息安全中非常難的一部分內(nèi)容，這部分知識枯燥、難懂、不容易掌握。為了提高學(xué)生學(xué)習(xí)這部分理論知識的興趣，可以在課堂上播放英國廣播公司的紀(jì)錄片密碼破譯者——布萊切利莊園幕后的英雄，讓學(xué)生了解第二次世界大戰(zhàn)時期密碼破譯對戰(zhàn)爭局勢影響，調(diào)動學(xué)生學(xué)習(xí)的熱情，改進(jìn)學(xué)習(xí)效果。此外，這部分密碼算法可以跟實際相結(jié)合，讓學(xué)生在課后研究一些現(xiàn)實中的軟件和硬件是如何使用密碼算法保證信息的安全性，并在接下來的課堂中讓學(xué)生報告。

⑶ 惡意代碼中案例教學(xué)

惡意代碼是與實際聯(lián)系非常緊密的內(nèi)容，這部分內(nèi)容也是學(xué)生非常感興趣的。在此部分講解時，運用的案例是2017年5月12日爆發(fā)的Wannacry勒索蠕蟲式病毒，黑客利用美國國安局泄露的微軟視圖系統(tǒng)的漏洞“永恒之藍(lán)”，感染了大量的計算機(jī)。該病毒會加密電腦上重要文件形成擴(kuò)展名為“.WNCRY”的加密文件。若需要解密該文件，則需要支付價值相當(dāng)于300美元的比特幣才可以解鎖。至少150個國家、30萬名用戶感染了該病毒，造成損失達(dá)80億美元，在國內(nèi)中石油的部分加油站、教育網(wǎng)受影響。結(jié)合案例讓學(xué)生掌握病毒、蠕蟲、木馬的概念、區(qū)別和聯(lián)系，以及近年來活躍且?guī)砭薮笪：Φ牟《荆瑫r利用討論授課法讓學(xué)生討論如何防御惡意代碼。此外，在實驗課上讓學(xué)生嘗試編寫一個小型病毒程序，從而加深對惡意代碼的掌握。

⑷ 安全協(xié)議中案例教學(xué)

安全協(xié)議主要介紹TCP/IP協(xié)議安全、Kerberos協(xié)議、安全套接層SSL、HTTPS等。在介紹SSL時，將2014年爆出的利用OpenSSL的心臟出血Heartbleed漏洞來介紹，黑客利用該漏洞可以每次讀取內(nèi)存64k的內(nèi)容，多次讀取，將會泄露內(nèi)存的內(nèi)容，給系統(tǒng)帶來嚴(yán)重危害。結(jié)合這一案例介紹SSL協(xié)議中消息記錄格式，以及在該協(xié)議中使用的加密算法、消息認(rèn)證碼、公鑰證書和認(rèn)證等知識點。而HTTPS即為HTTP和SSL的結(jié)合，當(dāng)前淘寶、京東等網(wǎng)購平臺均利用該協(xié)議來增加平臺的安全性，在講解HTTPS時，利用一些購物支付網(wǎng)站介紹HTTPS協(xié)議。結(jié)合實際案例，使學(xué)生更加深入了解安全相關(guān)協(xié)議不是空洞虛無的，而是跟人們的生活息息相關(guān)的。案例教學(xué)方法的使用使得學(xué)生更加牢固地掌握安全協(xié)議的內(nèi)容。

⑸ 網(wǎng)絡(luò)安全及防御技術(shù)中案例教學(xué)

網(wǎng)絡(luò)安全及防御技術(shù)部分，主要講解無線網(wǎng)絡(luò)安全、移動通信安全、傳感網(wǎng)絡(luò)等內(nèi)容，這部分知識點涉及到現(xiàn)在非常熱門的移動通信安全、物聯(lián)網(wǎng)安全、智慧城市等。本章節(jié)將利用“Wifi破解”、“3G SIM卡的破解”兩個案例，分別講解無線網(wǎng)絡(luò)協(xié)議WEP、WPA、WPA2以及移動通信中2G、3G、4G的安全。其中Wifi破解涉及到無線通信協(xié)議WEP、WPA、WPA2以及WPAI的內(nèi)容，讓學(xué)生們利用一些開源的軟件，嗅探無線熱點，并掃描出這些熱點所使用的無線通信的協(xié)議，從而選用合適的破解軟件，嘗試攻擊;在講解案例3G SIM卡破解時，讓學(xué)生從中了解移動通信的發(fā)展歷程，再結(jié)合3G SIM卡的破解講解2G、3G、4G等移動通信標(biāo)準(zhǔn)，包括加密算法、認(rèn)證協(xié)議以及交互方式等內(nèi)容。通過這兩個案例的講解和實驗展示，讓學(xué)生掌握網(wǎng)絡(luò)安全及防御的內(nèi)容，并嘗試實施實際攻擊。

⑹ Web安全中案例教學(xué)

基于Web的應(yīng)用越來越廣泛，因此黑客利用操作系統(tǒng)的漏洞和Web應(yīng)用的不完備，開展包括SQL注入、XSS跨站腳本等攻擊，可以給用戶帶來巨大的危害。在講解本部分內(nèi)容時，先讓學(xué)生在課前預(yù)習(xí)SQL注入和XSS跨站腳本的基本原理，然后在此基礎(chǔ)上，讓學(xué)生對于具體的Web應(yīng)用嘗試SQL注入攻擊，并從實際攻擊的案例中，掌握Web安全問題以及有效的防御技術(shù)。

3.3 案例教學(xué)效果評價

通過比較傳統(tǒng)教學(xué)方法和案例教學(xué)方法在信息安全課程中使用后學(xué)生期末考試成績，發(fā)現(xiàn)卷面分?jǐn)?shù)在90分以上的學(xué)生比例增加了10%，卷面分?jǐn)?shù)在70分以下比例減少了5%，結(jié)果表明案例教學(xué)的效果更佳。此外，在日常的課堂提問中，學(xué)生對專業(yè)知識的掌握情況得到明顯改善。

4 結(jié)束語

在信息安全課程中開展案例教學(xué)方法，必須首先根據(jù)講解的專業(yè)知識搜集案例，在此基礎(chǔ)上設(shè)計案例教學(xué)過程，在具體的實施中增加學(xué)生的參與度，擴(kuò)大實踐課的比例，充分調(diào)動學(xué)生學(xué)習(xí)的熱情和主動性。但目前信息安全的案例比較多，如何選擇合適的案例，合理分配案例的分析討論和知識點講解時間，有效地引導(dǎo)學(xué)生將案例和專業(yè)知識結(jié)合起來等方面，仍有許多問題值得更進(jìn)一步研究。

參考文獻(xiàn)（References）：

[1] 王清梅，趙革.國內(nèi)外案例教學(xué)法研究綜述[J].寧波大學(xué)學(xué)報（教育科學(xué)版），2009.31（3）：7-11

[2] Kowalski T J. Case studies of educational administration [M].New York：Longman，1991：116

[3] 秦艷琳，吳曉平.“信息安全數(shù)學(xué)基礎(chǔ)”案例教學(xué)[J].計算機(jī)教育，2010.1：141-144

[4] 高榮.案例教學(xué)在《信息安全概論》中的應(yīng)用研究[J].信息與電腦，2015.2：104-105

[5] 楊軍.信息安全教育與數(shù)學(xué)教學(xué)案例的研究[J].宜賓學(xué)院學(xué)報，2008.9：118-120

[6] 朱建明，王秀利.信息安全導(dǎo)論[M].清華大學(xué)出版社，2015.