案例教学在信息安全课程的运用

摘要：为了解决当前信息安全课程中以教师讲解为主、重理论轻实践的问题，文章将当前流行的案例教学方法融入到信息安全日常教学中，提出根据不同的知识点，搜集涵盖面广、形式丰富多样的新案例素材，在此基础上将案例集与专业知识巧妙地结合起来，设计并实施案例教学过程，使学生通过对案例的分析、思考、讨论和交流牢固地掌握专业知识，提高学生学习信息安全热情和积极性，改进教学质量。

关键词：信息安全；案例教学；讲授法；讨论法

近年来，如“Wannacry”勒索病毒、Facebook信息泄露、棱镜门事件等安全问题频发，信息安全问题日显突出，信息安全已经受到了各方的广泛关注。对个人而言，网上购物、社交软件、智能家居等均需要信息安全知识保驾护航；对公司和政府而言，机密信息、网络配置、软件系统等离不开信息安全技术；对国家而言，国际上各个国家将网络空间视为继海、陆、空、天之后的“第五空间”，且都希望争夺网络空间的制高点，而占据网络空间制高点的重中之重即是保证网络空间中信息的产生、存储、传输、处理等环节的安全。因此，信息安全俨然成为当今各个领域都关心和研究的热点，它关系到国家安全、社会稳定、经济发展、人民生活等重大战略问题。因而培养创新型的信息安全人才十分重要。近年来，高校信息安全、计算机、网络工程、软件工程等相关专业均开设了信息安全课程，其教学目标是使学生利用所掌握信息安全知识和技能，解决现实中的信息安全问题，增强学生在实际工作中的信息安全意识，把学生培养成具有较强创新实践能力和自主创新意识的信息安全专业人才。信息安全涉及到计算机、网络通信、数学等专业的知识，教学内容广，理论知识抽象难学。而传统的教学方法以教师为主导，填鸭式地讲授理论和实践知识，这样不能很好地激发学生的学习兴趣，学生动手能力差，在未来工作中很难解决实际问题。案例教学是教师以具有鲜明代表性的案例为学生创设问题情境，引导学生通过对案例进行分析讨论，在情境中掌握理论知识并总结规律，创造性地将知识与实践相结合，找到更多的实际生活范例或提出解决实际问题的思路与方法[1-2]。当前，已经有学者给出了在信息安全课程中开展案例教学的方法[3-5]。作者总结自身在高校从事信息安全专业课的教学经验，根据信息安全知识和技能选取恰当的案例，巧妙地结合讲授法、讨论法、分组演讲、翻转课堂等教学方法，将案例教学法运用到信息安全课堂中，最后通过期末考核等手段评估案例教学在信息安全课程中的运用效果。

1案例教学法简介

当前的案例教学最早是由美国哈佛法学院前院长克里斯托弗•哥伦布•朗代尔于1870年提出并运用到法学教育中，后被用于管理学、医学、社会学等学科教学中，是颇受学生欢迎的一种成功的教学方法。案例教学法是指教师根据教学目标和教学内容，选择恰当的案例，组织学生对案例进行调查、思考、分析、讨论和交流等活动，并引导学生自主探索，理论联系实际，建构新的知识架构，掌握本专业相关的知识、理论和技能，培养学生分析和解决问题的综合能力。20世纪80年代，案例教学引入我国，但发展一直比较缓慢。近年来，由于国家全面提倡创新教育，案例教学被越来越多地运用到日常教学中。

2信息安全本科课程特点

信息安全是一门计算机科学与技术、网络通讯、数学、社会学和法律等交叉学科，概念多、涉及面广、知识抽象。主要内容包括信息安全概况、信息安全数学基础、密码学基础、访问控制、恶意代码、安全协议、网络安全及防御技术、操作系统安全、安全评价标准等[6]。其中信息安全概况一般从信息安全事件引出信息安全的定义以及基本性质；信息安全数学基础和密码学的内容比较理论且难学，是学生掌握比较困难的一部分；访问控制、恶意代码、网络安全及防御技术、操作系统安全等与实际结合紧密，可以培养和锻炼学生的实践和动手能力。但是目前很多高校的信息安全教学主要存在着如下问题：第一，课堂主要以教师为主导，学生被动学习，缺乏自主学习的意识；第二，教学方法以讲授法为主，缺少新颖活泼的教学方法的运用；第三，侧重理论知识传授，忽视实践动手能力培养。而将案例教学引入信息安全课程教学中将从一定程度上解决上述问题，改进现有的教学效果。

3案例教学法在信息安全课程中运用

本小节将从案例库构建、案例教学设计和实施以及案例教学效果的评价阐述如何在信息安全课程中运用案例教学。3.1案例构建案例搜集、整理是案例教学实施前的非常重要的环节，在信息安全案例搜集的过程中需注意以下几个方面。第一，搜集的案例应能涵盖信息安全所有的教学内容，且针对性强。针对信息安全各个章节的知识点，搜集近年来密切相关的且产生巨大危害的信息安全案例，且案例分析的难度不应太大。第二，案例应与实际系统和问题相关，这样可以充分调动学生的学习热情，将学生的被动接受转化为自主学习，引导学生通过案例的分析掌握专业知识。第三，案例形式应丰富多样，既可以是文字，也可以是音频、视频、图片等，丰富的案例素材可以丰富教学方式，提高学生的学习兴趣。第四，近年信息安全事件频发，信息安全关注的热点也随着时间推移有所不同，因此，需要及时关注最新的信息安全事件，筛选出近年来给社会带来巨大危害且影响广的案例，及时更新案例集。基于以上原则，搜集近年来部分的信息安全事件运用到课堂教学中，包括勒索病毒Wannacry、棱镜门计划、心脏出血HeartBleed、3GSIM卡破解、密码破译者——布莱切利庄园幕后的英雄(BBC纪录片)、Wifi破解等。这些案例形式多样，且均是近期的或经典的安全事件，给国家、社会和个人都带来了巨大的损失。3.2案例教学设计和实施根据信息安全教学的基本内容和搜集到的案例信息，将案例巧妙地融入到信息安全知识的讲解中，具体设计和实施过程如下。⑴信息安全概述中案例教学在信息安全概述中，讲解近年来带来巨大危害的信息安全事件或学生身边的信息安全事件，引入信息安全的重要性，进而介绍信息安全的概念，以及信息的保密性、完整性和可用性等安全的基本性质。在此知识点讲解中，运用的案例包括：Facebook信息泄露、QQ被盗、学生入侵教务系统修改考试成绩、钓鱼网站、网购、上海车牌拍牌网站瘫痪等，其中Facebook信息泄露体现了未能保证数据的保密性，学生入侵教务系统修改成绩涵盖了入侵、数据完整性被破坏，上海车牌拍牌网站瘫痪说明系统可用性被破坏。这些案例涵盖了信息安全定义以及基本性质。在此小节的介绍中，可以利用讲授法、讨论法等教学方法让学生对信息安全有所了解。⑵信息安全数学基础和密码学基本原理中案例教学信息安全数学基础和密码学基本原理是信息安全中非常难的一部分内容，这部分知识枯燥、难懂、不容易掌握。为了提高学生学习这部分理论知识的兴趣，可以在课堂上播放英国广播公司的纪录片密码破译者——布莱切利庄园幕后的英雄，让学生了解第二次世界大战时期密码破译对战争局势影响，调动学生学习的热情，改进学习效果。此外，这部分密码算法可以跟实际相结合，让学生在课后研究一些现实中的软件和硬件是如何使用密码算法保证信息的安全性，并在接下来的课堂中让学生报告。⑶恶意代码中案例教学恶意代码是与实际联系非常紧密的内容，这部分内容也是学生非常感兴趣的。在此部分讲解时，运用的案例是2017年5月12日爆发的Wannacry勒索蠕虫式病毒，黑客利用美国国安局泄露的微软视图系统的漏洞“永恒之蓝”，感染了大量的计算机。该病毒会加密电脑上重要文件形成扩展名为“.WNCRY”的加密文件。若需要解密该文件，则需要支付价值相当于300美元的比特币才可以解锁。至少150个国家、30万名用户感染了该病毒，造成损失达80亿美元，在国内中石油的部分加油站、教育网受影响。结合案例让学生掌握病毒、蠕虫、木马的概念、区别和联系，以及近年来活跃且带来巨大危害的病毒，同时利用讨论授课法让学生讨论如何防御恶意代码。此外，在实验课上让学生尝试编写一个小型病毒程序，从而加深对恶意代码的掌握。⑷安全协议中案例教学安全协议主要介绍TCP/IP协议安全、Kerberos协议、安全套接层SSL、HTTPS等。在介绍SSL时，将2014年爆出的利用OpenSSL的心脏出血Heartbleed漏洞来介绍，黑客利用该漏洞可以每次读取内存64k的内容，多次读取，将会泄露内存的内容，给系统带来严重危害。结合这一案例介绍SSL协议中消息记录格式，以及在该协议中使用的加密算法、消息认证码、公钥证书和认证等知识点。而HTTPS即为HTTP和SSL的结合，当前淘宝、京东等网购平台均利用该协议来增加平台的安全性，在讲解HTTPS时，利用一些购物支付网站介绍HTTPS协议。结合实际案例，使学生更加深入了解安全相关协议不是空洞虚无的，而是跟人们的生活息息相关的。案例教学方法的使用使得学生更加牢固地掌握安全协议的内容。⑸网络安全及防御技术中案例教学网络安全及防御技术部分，主要讲解无线网络安全、移动通信安全、传感网络等内容，这部分知识点涉及到现在非常热门的移动通信安全、物联网安全、智慧城市等。本章节将利用“Wifi破解”、“3GSIM卡的破解”两个案例，分别讲解无线网络协议WEP、WPA、WPA2以及移动通信中2G、3G、4G的安全。其中Wifi破解涉及到无线通信协议WEP、WPA、WPA2以及WPAI的内容，让学生们利用一些开源的软件，嗅探无线热点，并扫描出这些热点所使用的无线通信的协议，从而选用合适的破解软件，尝试攻击；在讲解案例3GSIM卡破解时，让学生从中了解移动通信的发展历程，再结合3GSIM卡的破解讲解2G、3G、4G等移动通信标准，包括加密算法、认证协议以及交互方式等内容。通过这两个案例的讲解和实验展示，让学生掌握网络安全及防御的内容，并尝试实施实际攻击。⑹Web安全中案例教学基于Web的应用越来越广泛，因此黑客利用操作系统的漏洞和Web应用的不完备，开展包括SQL注入、XSS跨站脚本等攻击，可以给用户带来巨大的危害。在讲解本部分内容时，先让学生在课前预习SQL注入和XSS跨站脚本的基本原理，然后在此基础上，让学生对于具体的Web应用尝试SQL注入攻击，并从实际攻击的案例中，掌握Web安全问题以及有效的防御技术。3.3案例教学效果评价通过比较传统教学方法和案例教学方法在信息安全课程中使用后学生期末考试成绩，发现卷面分数在90分以上的学生比例增加了10%，卷面分数在70分以下比例减少了5%，结果表明案例教学的效果更佳。此外，在日常的课堂提问中，学生对专业知识的掌握情况得到明显改善。

4结束语

在信息安全课程中开展案例教学方法，必须首先根据讲解的专业知识搜集案例，在此基础上设计案例教学过程，在具体的实施中增加学生的参与度，扩大实践课的比例，充分调动学生学习的热情和主动性。但目前信息安全的案例比较多，如何选择合适的案例，合理分配案例的分析讨论和知识点讲解时间，有效地引导学生将案例和专业知识结合起来等方面，仍有许多问题值得更进一步研究。

作者:刘亚 姒宏明 单位:上海理工大学光电信息与计算机工程学院