網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)平臺(tái)建設(shè)與實(shí)踐

柴璐璐 許艷萍 仇建

摘要：本文分析了網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力的需求現(xiàn)狀和網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)的不足，闡述了建設(shè)一個(gè)網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)平臺(tái)的必要性，并從平臺(tái)建設(shè)、應(yīng)用與共享、教學(xué)實(shí)踐等角度，介紹了網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)平臺(tái)的建設(shè)過程。實(shí)踐表明，該實(shí)驗(yàn)平臺(tái)能夠突出以培養(yǎng)網(wǎng)絡(luò)安全實(shí)戰(zhàn)型人才為目標(biāo)的改革理念，促進(jìn)了學(xué)生創(chuàng)新和實(shí)踐能力培養(yǎng)。

關(guān)鍵詞：實(shí)戰(zhàn)化；網(wǎng)絡(luò)攻防；實(shí)驗(yàn)教學(xué)平臺(tái)

中圖分類號(hào)：G434? 文獻(xiàn)標(biāo)識(shí)碼：A? 論文編號(hào)：1674-2117（2023）08-0104-03

引言

2022年9月6日發(fā)布的《網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書》中的數(shù)據(jù)顯示，到2027年，我國網(wǎng)絡(luò)安全人員缺口將達(dá)到327萬，而高校每年的人才培養(yǎng)規(guī)模僅為3萬左右，網(wǎng)絡(luò)安全人才存在供需失衡現(xiàn)象。在我國網(wǎng)絡(luò)安全人才缺口中，真正具有實(shí)戰(zhàn)能力、了解攻擊手段和攻擊路徑的網(wǎng)絡(luò)安全人才更加匱乏，有高達(dá)92%的企業(yè)認(rèn)為自身缺少網(wǎng)絡(luò)安全實(shí)戰(zhàn)人才，而網(wǎng)絡(luò)安全人才培養(yǎng)過程中最為突出的環(huán)節(jié)就是“實(shí)習(xí)實(shí)踐”。所以，網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力建設(shè)已經(jīng)成為新時(shí)代急需解決的重要命題。因此，對(duì)于高校來說，在現(xiàn)階段的網(wǎng)絡(luò)安全人才培養(yǎng)過程中，應(yīng)該從服務(wù)實(shí)戰(zhàn)的角度出發(fā)，針對(duì)性地開展課程內(nèi)容的設(shè)計(jì)，同時(shí)優(yōu)化教學(xué)內(nèi)容與方式，為學(xué)生提供更多的實(shí)踐機(jī)會(huì)。

網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)的不足

1.設(shè)備條件與網(wǎng)絡(luò)硬件限制了學(xué)生動(dòng)手操作的機(jī)會(huì)

傳統(tǒng)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)課堂教學(xué)更多停留在基本能力與基礎(chǔ)知識(shí)方面，以教師演示為主的理論教學(xué)模式展開，學(xué)生在實(shí)踐能力上缺少足夠的鍛煉。同時(shí)，傳統(tǒng)教學(xué)缺少適應(yīng)新需求的實(shí)驗(yàn)平臺(tái)，對(duì)網(wǎng)絡(luò)攻防的最新技術(shù)涉獵不多，學(xué)生綜合實(shí)踐資源不夠充分。

2.實(shí)驗(yàn)的安全風(fēng)險(xiǎn)限制了部分實(shí)驗(yàn)的開展

由于網(wǎng)絡(luò)攻防相關(guān)實(shí)驗(yàn)涉及病毒注入、網(wǎng)絡(luò)攻擊等內(nèi)容，其本身具有一定的破壞性，因而增加了實(shí)驗(yàn)操作過程中的安全風(fēng)險(xiǎn)。例如，對(duì)真實(shí)目標(biāo)開展攻防操作違背法律法規(guī)，不僅破壞教學(xué)秩序，還會(huì)產(chǎn)生負(fù)面影響；在真實(shí)網(wǎng)絡(luò)環(huán)境中開展病毒注入實(shí)驗(yàn)，將威脅實(shí)驗(yàn)室中的設(shè)備安全和網(wǎng)絡(luò)安全，操作不當(dāng)將造成病毒實(shí)驗(yàn)樣本泄漏到公共網(wǎng)絡(luò)，產(chǎn)生不可估量的后果。

建設(shè)虛擬仿真實(shí)驗(yàn)平臺(tái)的必要性

隨著技術(shù)的不斷發(fā)展，在虛擬化環(huán)境下搭建的網(wǎng)絡(luò)已非常接近真實(shí)網(wǎng)絡(luò)，因此將網(wǎng)絡(luò)攻防環(huán)境遷移到虛擬平臺(tái)，不僅可以克服真實(shí)物理網(wǎng)絡(luò)在安全風(fēng)險(xiǎn)、行為管理上的困難，還可以在實(shí)驗(yàn)過程中收集有效的實(shí)驗(yàn)數(shù)據(jù)信息用于分析與評(píng)估，幫助后續(xù)實(shí)驗(yàn)課程的設(shè)計(jì)，既節(jié)省了資金，也給教學(xué)帶來了靈活性，避免了破壞性。

網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)的建設(shè)與應(yīng)用

1.平臺(tái)構(gòu)建

對(duì)于注重實(shí)戰(zhàn)的網(wǎng)絡(luò)攻防課程而言，實(shí)驗(yàn)教學(xué)除了能夠輔助理論教學(xué)，幫助學(xué)生在實(shí)驗(yàn)中加深對(duì)各種網(wǎng)絡(luò)安全概念、網(wǎng)絡(luò)安全機(jī)制和網(wǎng)絡(luò)安全方法的理解，還是學(xué)習(xí)網(wǎng)絡(luò)攻防技術(shù)的一種重要途徑，對(duì)培養(yǎng)學(xué)生發(fā)現(xiàn)問題、分析問題、解決問題的能力以及創(chuàng)新能力都具有重要作用。因此，筆者所在學(xué)院從國家戰(zhàn)略和產(chǎn)教融合人才培訓(xùn)實(shí)際需求出發(fā)，建立了符合培養(yǎng)實(shí)際情況和需求的網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)平臺(tái)。網(wǎng)絡(luò)拓?fù)浼軜?gòu)如下圖所示。

本平臺(tái)突出以學(xué)生為中心的教學(xué)理念，是一套完整的多層次的攻防技術(shù)能力實(shí)訓(xùn)、攻防技能對(duì)抗競賽、網(wǎng)絡(luò)安全知識(shí)學(xué)習(xí)相結(jié)合的綜合性實(shí)驗(yàn)平臺(tái)。該平臺(tái)除了能構(gòu)建虛擬的網(wǎng)絡(luò)攻防環(huán)境，開展網(wǎng)絡(luò)攻防實(shí)驗(yàn)和競賽，還支持選課、學(xué)生提交報(bào)告、教師批改報(bào)告等，通過不同的系統(tǒng)模塊支撐開展網(wǎng)絡(luò)安全教育與網(wǎng)絡(luò)安全人才培養(yǎng)。

（1）靶場系統(tǒng)

通過虛擬拓?fù)錁?gòu)建、實(shí)物設(shè)備接入、流量行為模擬等方式，可搭建金融、工業(yè)企業(yè)等多行業(yè)真實(shí)生產(chǎn)場景，將真實(shí)場景中的網(wǎng)絡(luò)信息、協(xié)議流量、行為數(shù)據(jù)、實(shí)體設(shè)備等因素進(jìn)行平行仿真建模，因此可以在靶場環(huán)境中開展安全可控的網(wǎng)絡(luò)安全研究、攻防演練等。

（2）競賽系統(tǒng)

本系統(tǒng)以有區(qū)分度的賽題為核心，其中包含競賽運(yùn)維、賽題管理、攻防可視化、考核選拔等多個(gè)功能模塊。通過在線答題、攻防兼?zhèn)?、理論答題三種模式對(duì)競賽人員的單項(xiàng)攻防技術(shù)、綜合滲透能力、防御能力進(jìn)行全面考核及鍛煉。

（3）培訓(xùn)系統(tǒng)

主要涵蓋信息安全知識(shí)體系、無線安全實(shí)驗(yàn)、滲透測試、綜合攻防技術(shù)等，可對(duì)學(xué)生進(jìn)行網(wǎng)絡(luò)安全知識(shí)的基礎(chǔ)培訓(xùn)。另外，系統(tǒng)提供課件制作功能，教師可以進(jìn)行課件錄制和實(shí)驗(yàn)環(huán)境搭建。學(xué)生可以在觀看視頻、指導(dǎo)文檔之后，通過實(shí)操加強(qiáng)學(xué)習(xí)效果，實(shí)現(xiàn)“以練促學(xué)”的目標(biāo)。

2.應(yīng)用與共享

在教學(xué)過程中，結(jié)合網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)平臺(tái)進(jìn)行實(shí)操練習(xí)，能夠在很大程度上提高實(shí)驗(yàn)教學(xué)效率。同時(shí)，本平臺(tái)提供多方面的實(shí)驗(yàn)內(nèi)容，涵蓋多層次的實(shí)驗(yàn)操作，以真實(shí)環(huán)境的真實(shí)案例為操作指南，貼近真實(shí)環(huán)境要求。針對(duì)部分由于受客觀條件限制而不能在真實(shí)網(wǎng)絡(luò)中開展的實(shí)驗(yàn)，平臺(tái)起到了很好的補(bǔ)充作用。本平臺(tái)還通過虛擬和云技術(shù)，實(shí)現(xiàn)了將實(shí)驗(yàn)課程擴(kuò)展到課外，學(xué)生能夠利用平臺(tái)的資源進(jìn)行線上線下自主學(xué)習(xí)，參與競賽訓(xùn)練與綜合實(shí)踐項(xiàng)目，為將來進(jìn)一步的實(shí)踐和研究奠定基礎(chǔ)。

此外，平臺(tái)的所有教學(xué)資源，也面向校內(nèi)外開放共享，充分發(fā)揮平臺(tái)效益。借助云技術(shù)的共享優(yōu)勢，平臺(tái)還面向政府部門開放。

教學(xué)實(shí)踐及效果分析

1.實(shí)驗(yàn)教學(xué)內(nèi)容

（1）網(wǎng)絡(luò)攻擊滲透與漏洞利用

實(shí)驗(yàn)原理：攻擊者先主動(dòng)在網(wǎng)絡(luò)內(nèi)探測攻擊目標(biāo)，通過安全掃描技術(shù)發(fā)現(xiàn)其是否存在可利用的漏洞；然后構(gòu)造攻擊載荷，向被攻擊者實(shí)施漏洞利用攻擊，奪取被攻擊方的最高控制權(quán)。

實(shí)驗(yàn)環(huán)境：在一個(gè)局域網(wǎng)內(nèi)，選擇在一臺(tái)主機(jī)上搭建虛擬機(jī)環(huán)境，然后部署存在漏洞的系統(tǒng)，被當(dāng)作被攻擊方；在另一臺(tái)主機(jī)上搭建虛擬機(jī)環(huán)境，安裝Kali系統(tǒng)，被當(dāng)作攻擊方。

基本實(shí)驗(yàn)任務(wù)：在攻擊方系統(tǒng)中選擇Ping掃描、端口掃描、操作系統(tǒng)探測掃描以及已知漏洞掃描技術(shù)探測被攻擊方系統(tǒng)中可利用的漏洞情況。之后，根據(jù)漏洞情況，借助Kali上的Metasploit平臺(tái)中的攻擊模塊構(gòu)造利用漏洞的攻擊載荷，實(shí)現(xiàn)對(duì)目標(biāo)的入侵。

升級(jí)實(shí)驗(yàn)任務(wù)：在攻擊平臺(tái)上，基于Fuzzy技術(shù)構(gòu)造帶有攻擊性的畸形數(shù)據(jù)，以觸發(fā)各種類型的漏洞，實(shí)現(xiàn)對(duì)未知漏洞的挖掘。

（2）Web攻擊與防御

實(shí)驗(yàn)原理：針對(duì)Web的攻擊比較常見的方式是SQL注入攻擊、XSS攻擊、文件上傳攻擊、密碼破解等?；趐hpStudy、DVWA等平臺(tái)搭建Web攻擊實(shí)訓(xùn)平臺(tái)，模擬多種形式的Web攻擊，同時(shí)基于Burp Suite捕獲攻擊流量，發(fā)現(xiàn)攻擊行為，提出有效的防御措施。

實(shí)驗(yàn)環(huán)境：首先在局域網(wǎng)的虛擬機(jī)上安裝Windows10操作系統(tǒng)，然后部署phpStudy、DVWA等環(huán)境。其中，DVWA是一款基于PHP和Mysql開發(fā)的Web靶場練習(xí)平臺(tái)，集成了常見的Web漏洞，如SQL注入、XSS攻擊、密碼破解等。

基本實(shí)驗(yàn)任務(wù)：學(xué)習(xí)DVWA靶場的攻擊案例，構(gòu)造SQL閉合語句，實(shí)施多種形式的SQL攻擊，如竊取數(shù)據(jù)庫中部分?jǐn)?shù)據(jù)，利用盲注法竊取數(shù)據(jù)庫所有數(shù)據(jù)等；比較XSS反射型攻擊與存儲(chǔ)型攻擊，通過XSS攻擊獲取Cookie信息；構(gòu)造密碼字典，對(duì)系統(tǒng)密碼進(jìn)行爆破等。

升級(jí)實(shí)驗(yàn)任務(wù)：在真實(shí)網(wǎng)絡(luò)環(huán)境中，使用已有工具或研發(fā)新的攻擊目標(biāo)掃描工具，確定可攻擊的Web目標(biāo)，并借助已有工具或者自行研發(fā)新的滲透工具，發(fā)現(xiàn)Web網(wǎng)站上潛在的漏洞。

2.網(wǎng)絡(luò)安全實(shí)驗(yàn)?zāi)芰υu(píng)估

為了能夠評(píng)估學(xué)生的實(shí)戰(zhàn)和應(yīng)用能力水平，筆者構(gòu)建了網(wǎng)絡(luò)安全實(shí)驗(yàn)?zāi)芰υu(píng)估模型。模型包含3個(gè)評(píng)價(jià)維度、6個(gè)評(píng)價(jià)要素，對(duì)學(xué)生的實(shí)驗(yàn)過程、結(jié)果進(jìn)行多維度評(píng)價(jià)。

實(shí)驗(yàn)技能：包含基本實(shí)驗(yàn)和升級(jí)實(shí)驗(yàn)兩部分。①基本實(shí)驗(yàn)評(píng)價(jià)?；緦?shí)驗(yàn)難度較低，以安全工具應(yīng)用為主，考查學(xué)生解決網(wǎng)絡(luò)安全基本問題的能力。②升級(jí)實(shí)驗(yàn)評(píng)價(jià)。升級(jí)實(shí)驗(yàn)難度較大，鼓勵(lì)學(xué)生編程研發(fā)安全工具，考查學(xué)生解決復(fù)雜問題的能力。

實(shí)驗(yàn)總結(jié)：包含實(shí)驗(yàn)答辯和實(shí)驗(yàn)報(bào)告兩部分。①實(shí)驗(yàn)答辯評(píng)價(jià)。在實(shí)驗(yàn)完成以后，要求學(xué)生通過答辯的形式，向老師和全班同學(xué)匯報(bào)實(shí)驗(yàn)成果，考查學(xué)生對(duì)實(shí)驗(yàn)整體的表現(xiàn)和組織能力。②實(shí)驗(yàn)報(bào)告評(píng)價(jià)。實(shí)驗(yàn)報(bào)告包含實(shí)驗(yàn)的原理、設(shè)計(jì)、實(shí)施、總結(jié)和反思等方面，考查學(xué)生對(duì)完整實(shí)驗(yàn)過程的表達(dá)能力。

安全應(yīng)用：包含安全理論與安全實(shí)戰(zhàn)兩部分。①安全理論評(píng)價(jià)。在實(shí)驗(yàn)答辯過程中，注重考查學(xué)生對(duì)實(shí)驗(yàn)內(nèi)容對(duì)應(yīng)安全理論的理解能力。②實(shí)戰(zhàn)技能評(píng)價(jià)?？疾閷W(xué)生在實(shí)驗(yàn)過程中解決各種問題的能力。

筆者通過對(duì)一個(gè)班級(jí)35位學(xué)生的實(shí)驗(yàn)成績進(jìn)行統(tǒng)計(jì)分析，得出以下結(jié)論：一是，評(píng)價(jià)維度越精細(xì)，評(píng)價(jià)要素越多，越能細(xì)致地反映出學(xué)生在各個(gè)實(shí)驗(yàn)環(huán)節(jié)中的能力，進(jìn)而精準(zhǔn)發(fā)現(xiàn)學(xué)生的優(yōu)點(diǎn)和不足所在，這不僅為實(shí)驗(yàn)設(shè)計(jì)的后續(xù)改進(jìn)指明了方向，也為學(xué)生定位學(xué)習(xí)弱點(diǎn)提供了支持。二是，評(píng)價(jià)打分項(xiàng)較多，整體上學(xué)生的成績分布較集中，個(gè)體之間的差異被削弱，優(yōu)勢和弱點(diǎn)也被掩蓋，這給教師帶來了思考和啟發(fā)，要想整體優(yōu)異，就需要加強(qiáng)短板訓(xùn)練，注重全面發(fā)展。

結(jié)語

網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)平臺(tái)作為提升網(wǎng)絡(luò)空間安全類專業(yè)學(xué)生實(shí)戰(zhàn)能力、拓寬網(wǎng)絡(luò)空間視野的重要支撐，為國家潛在的網(wǎng)絡(luò)空間力量在網(wǎng)絡(luò)空間重要基礎(chǔ)設(shè)施和關(guān)鍵節(jié)點(diǎn)安全方面發(fā)揮技戰(zhàn)術(shù)能力提供了培養(yǎng)手段。

參考文獻(xiàn)：

張滬寅，陳晶，黃建忠，等.網(wǎng)絡(luò)安全國家級(jí)虛擬仿真實(shí)驗(yàn)教學(xué)中心建設(shè)探索[J].實(shí)驗(yàn)室研究與探索，2019（12）：144-148.

作者簡介：柴璐璐（1993—），女，助理實(shí)驗(yàn)師。