Web服务渗透虚拟仿真实验教学设计与实践

0 引 言

全球网络安全对抗态势面临重定义、占先机、多举措等新形势需求，网络空间安全作为信息环境中的特殊域，已上升到国家安全的战略高度，被称为“陆、海、空、天”之后的第五维空间[1]，由独立且互相依存的信息基础设施和网络构成，包括互联网、移动网络、物联网和计算机网络及之上承载的应用、服务和数据等，构成一个复杂而巨大的“空天地一体化网络”，集计算机、通信、电子、数学、物理、法律、管理等学科为一体的新兴交叉学科。由于网络安全防范技术和攻击手段，具有非常强的实践性和攻防对抗性的特点，网络空间安全人才培养需要在实践中学习和应用，培养解决复杂工程问题能力的创新型人才[2]，但是与之难以匹配的是传统实验教学培养方案上仍然存在着不足。首先，普遍存在着重理论、轻实践的现象，缺少对学生攻防实战能力的培养；其次，在理论与实践教学中缺少完整攻击链的实例，攻防逻辑性思辨能力的培养不足，尤其是在真实网络环境中开展病毒注入、漏洞扫描、网络攻击等破坏性实验，会严重威胁他人及网络环境的信息安全，甚至酿成灾难性法律后果。网络空间安全作为网络空间与物理空间紧密结合强调实践创新的学科，传统实验教学在学生综合创新型能力培养方面，难以培养出高质量的核心技术攻关型和高端战略型人才，难以适应国家对网络空间安全人才培养的需求。

1 Web服务渗透虚拟仿真实验原理

针对传统网络空间安全实践教学中存在的知识体系分散、内容分割独立、完整攻击链缺失等问题，学生学习兴趣不足和学习效果难以评估，以“能实不虚，以虚补实”为原则，将虚拟仿真技术引入网络空间安全实验教学[3-4]，采用Docker+Kubernetes（k8s）微服务容器化架构，搭建Web服务渗透虚拟仿真实验平台，如图1所示，不仅能够解决网络空间安全实验搭建环境复杂、实验成本高、规避潜在安全风险等难题，还能够实现理论与实践教学内容的一体化，提高学生的学习兴趣，实现知识掌握与实践能力的同步提升。因此，在网络空间安全专业的实践教学中引入虚拟仿真实验技术是十分必要的，也是网络空间安全实验教学发展的必然趋势[3]。

1.1 采用虚实结合有效补充与拓展网络空间安全专业理论教学

以攻促防实战化演练是网络安全人才培养的重要手段，基于计算资源和网络资源虚拟化技术开展Web 服务渗透虚拟仿真实验，使学生了解攻击技术和防御技术之间的相互转化关系和影响，理解对抗中对于攻防双方的意义与价值，掌握Web服务渗透关键技术的基本理论、知识和技能以及攻击技术的使用边界与操作规范，增强法律与道德意识，培养学生解决复杂工程问题的综合能力、高级思维和专业素养，实现“德才兼备”一流人才的培养目标[6]。

1.2 解决真实环境中建设成本高、环境配置复杂、安全隐患大问题

实验将虚拟化仿真技术引入网络空间安全实验教学，采用场景化的案例式实验教学设计，为每个学生生成一套独立的、相互隔离的攻防实验环境，包含一个高逼真的虚拟化服务器靶标和一个集成化攻击主机。学生可从探测、分析、攻击和持久化等环节逐步递进完成对Web服务器的一整套完整攻击链演练，不仅解决网络安全实验搭建环境复杂、实验成本高、规避潜在安全风险等难题，而且实现理论与实践教学内容的一体化。

1.3 践行网络安全人才“育、用、管”三位一体的德育思政培养模式

坚持德育为先、能力为重、全面发展，“德智体美劳”五育并举，推动实验课程思政，落实“三全育人”方针政策，践行网络安全人才“育、用、管”三位一体的德育思政培养模式[7]。要求学生在该实验中了解攻击技术和防御技术之间的相互转化关系和影响，以及开设内容在对抗中对于攻防双方的意义与价值。促使学生掌握攻击技术的使用边界与操作规范，提升专业素养，增强法律与道德意识，着力培养网络安全领域“德才兼备”的一流人才。

2 实验教学实践过程

2.1 多维教学目标协同

实验以学生为中心，以问题为导向，凭借本虚拟仿真实验平台，按照工程技术、能力培养、思政设计等多维教学目标维度设置实验内容，如图2所示。从工程技术的角度构建实验任务，完成既定实验基本内容，提出持续化控制优化及防御方案，加强对学生的工程实践训练，注重提升实践能力、创新能力的培养。在能力培养方面，采用基于问题、案例的互动式教学方法，逐步递进完成对Web服务器的一整套完整攻击链演练，启发和引导学生自主学习、探究得出实验结论。在思政设计方面以工程哲学为引领，坚持“人才安全”与“安全人才”并重的网安思政教育新机制，坚持德育为先、能力为重、全面发展，树立从国家安全的角度看待网络安全的视角和高度，重构拔尖创新工程科技人才的培养理念。

2.2 混合教学模式多元互动

构建高逼真的Web服务渗透虚拟仿真实验平台，使Web攻防实验教学内容和过程形象逼真，引入线上线下混合式教学模式，采用多媒体辅助、虚拟仿真和远程教育技术等现代教学手段为线上、线下教学辅导提供支撑，打破传统实验教学集中式统一安排，拓展开放式实验教学时空。混合式教学模式如图3所示，通过构建线上线下融合的引流反馈式机制，以学生为主体、自定步调进行个性化线上实验，根据个人空闲时间自由选择线上实验时间，不受时间和地点的限制。结合线下教学辅导、理论精讲、操作示范，既发挥教师引导、启发、监控实验教学过程的主导作用，又充分体现学生作为学习过程主体的主动性、积极性与创造性，形成从引导学生自主探究至独立思考的闭环综合创新能力培养。

2.3 教学内容知识整合

通过将在研“秦岭靶场”项目最新科研成果转化为研究性创新实践教学内容，从大量真实的网络安全案例中分析汲取10余项典型的关键性的攻击片段，在虚拟化平台中进行有机整合和还原，利用计算机虚拟仿真技术建立关于Web服务渗透的科学、真实、客观的逻辑模型，构建高逼真的脆弱性目标靶标和集成化攻击主机。以教学大纲和教学目标为依据，采用“真实—虚拟—真实”的设计思路，从探测、分析、攻击和持久化控制等整个攻击链包含7个相关知识点，分别为网站弱密码探测、网络数据包抓取、任意文件上传漏洞、任意目录遍历漏洞、WebShell构造与使用、本地提权漏洞和持久化控制权限。通过一整套完整攻击链实战化演练，理论与实践相结合并且融合课程思政的教学设计策略，掌握网络安全管理技术和基础设施安全相关理论与技术，获得设计、维护网络安全及其应用系统的手段、方法和能力。

2.4 通关环节分步赋分

在Web渗透攻击的一整套交互流程的完整攻防链演练过程中，为更好地引导学生自主工程实践，遵循学生学习规律和认知过程，依据自身行动的反馈信息来形成对客观事物认识的哲学原理，采用类似“游戏通关”的实验模式，设置“实验关卡”（见表1）。为了方便教师对学生的实验过程和结果进行考评，根据系统提供关卡目标、通关时长和关卡结果的详细记录，从实验中自动提取评分点，自动匹配评分规则，生成个体实验成绩及整体成绩分布。这种以实战通关的方式考查学生的能力水平，并跟踪学生学习轨迹，通过评分点的合理设置和实验过程的记录与监督，自动统计学生总得分分布，有助于分析整体达成情况和个体差异化学习成效，最终解决复杂工程实践创新能力培养。

2.5 考核环节综合评判

学生根据实验原理、理论知识、实践教学等内容独立完成实验通关环节，结合实验通关环节中渗透思路，鼓励学生对通关环节中的漏洞利用进行优化改进，并站在防御者的角度思考防御方案，提出具体防御方案措施。综上所述，由于实验过程涉及发现问题与解决问题的情况、实验通关环节及结果分析情况、实验漏洞利用以及优化情况、防御方案的新颖和创意，所以实验考核设计采用综合性考核机制。针对学生通关环节赋分、操作熟练程度以及实验报告等情况，并综合漏洞利用优化、防御方案思想和方案的新颖性等要素进行考查，给予综合评分，充分发挥学生学习的主观能动性，准确把握实施过程中涉及的知识、技能的掌握情况，提高学生的创新能力和防御意识。

（1）学生在实验过程中能正确使用OWASP、NetCat 等工具，发现并利用网站弱密码、任意文件上传、任意目录访问等漏洞，上传和调用WebShell，并最终获取目标服务器的持久化控制权，判定为合格。

（2）在弱密码探测、漏洞发现、WebShell 构造或持久化环节中做出优化改进，如使用爆破工具自动探测弱密码、发现并利用其他漏洞、构造功能更强大或者隐蔽性更强的WebShell等，判定为良好。

（3）针对实验中的攻击行为提出防御方案，进行可行性论证测试，并在虚拟仿真环境中实现所提防御方案，判定为优秀。

3 教学优势

实验深化实验教学改革数字化转型，采用网络计算资源的虚拟化技术，在实验环境中同一个网段内自动分配两个Docker容器，由平台进行IP 地址的分配和路由转发规则配置，确保同一环境内两个Docker容器虚拟节点间的网络连通性，同时又为不同实验环境之间提供了一定的隔离性。

3.1 灵活调度，按需分配

实验教学实践平台是验证理论知识、培养实用型与创新型专业人才的重要平台，从软硬件、管理平台、课程资源3方面构建完整的实验教学环境。平台资源部署、调度和节点集群间扩展遵循“按需分配”原则，采用Docker+Kubernetes（k8s）微服务容器化架构设计，无需其他特殊外置设备、客户端插件和非操作系统软件，对用户终端软硬件配置依赖降到极低。通过友好的门户系统屏蔽复杂的实验环境部署操作，实现系统精细粒度的资源配给，可动态增加教学规模和教学内容的持续更新。

3.2 沉浸研探，夯实实践

采用虚拟仿真技术手段，解决知识体系分散、内容分割独立、完整攻击链缺失的研究探索型实验设计难的问题，为学生营造高逼真、现实不可及的攻防虚拟实验环境，提升实战式通关过程的沉浸感与真实感。通关式实验内容的设计，以学生自主研探为基本要求，引导学生洞悉、探索学科前沿，不断激发学生创新兴趣，夯实学生融会贯通专业课程、应用相关理论知识，培养学生解决复杂工程问题的综合能力、高阶思维和专业素养，在高校和社会学习者中起到示范引领性作用。

3.3 混合教学，优势融合

通过引入混合式教学模式，Web服务渗透虚拟仿真实验教学平台的构建，拓展开放式实验教学时空，体现了信息技术与教育教学深度融合的教学组织模式，既在教学模式上保持与时俱进，有效运用线上优质资源开展教学改革，深化理论与实践相结合的教学设计策略，又注重提升学生综合创新能力。相比线下实验教学，在教学资源配置、考核评价方式、课程知识体系、通关模式设计等多方面存在优势，有效促进师生间、学生间互动交流和自主协作学习，打造混合式一流国家级 “金课”。

3.4 育训结合，强化思政

面向“培养什么人、怎样培养人、为谁培养人”国家新时代教育改革与发展战略需求，围绕立德树人根本任务，坚持德育为先、能力为重、全面发展，推动思政教育、专业教育与社会服务紧密结合，不断优化教学设计，践行网络安全人才“育、用、管”三位一体的德育思政培养模式，强化理论知识和课程思政的有机融合，培养学生运用所学理论知识认识社会、理解社会、服务社会的能力，实现网络安全领域“德才兼备”的一流人才思政教育培养，提升专业素养，增强法律与道德意识。

3.5 考评规范，科学管理

为充分发挥虚拟仿真实验教学项目资源的功能，实现预期的教学，设计涉及7个相关知识点的实战式10个通关步骤。针对学生在线完成虚拟仿真实验进行不同程度、不同层面的监管，以建立量化考评机制为抓手，全面提高虚拟仿真实验教学规范化、制度化管理水平。采用科学的考核评价标准对虚拟仿真实验情况进行跟踪落实，通过对实时交互实验操作过程中时间、过程、成绩等全要素进行精准量化评价和分析，形成报表统计数据，可视化直观展示实验教学效果反馈作用于持续改进。

4 实验教学效果

虚拟实验平台2019年12月上线，目前已服务本校学生984位，外校学生636位。根据过程评分和结果评分的权重设计综合评判，进行可视化的实验效果考核与评估。该实验从相关专业学生在线虚拟仿真实验通关得分情况得出，各分数段学生成绩分布大致服从正态分布，验证了设置7个相关知识点的实战式10个通关步骤的合理性；利用精细资源共享的教学改革设计，提供给学生良好的沉浸式体验，获得优良的教学效果。鉴于Web服务渗透虚拟仿真实验教学的优势，将根据实际使用需求不断加大投入，对虚拟资源池中的计算和网络资源进行扩展，对实验课程持续投入并更新教学内容，形成体系化的实验课程资源，并与企业协同，共同推进虚拟实验课程资源在其他高校的落地和应用，依托所建设的虚拟仿真实验平台和项目强化培训对象的实践和实战能力，在增强全民网络安全意识的同时，进一步增强社会对网络空间安全理论与技术的理解与掌握，共同促进我国网络空间安全事业的全面发展和进步。

实验利用理论与实践相结合并且融合课程思政的教学设计策略，引入混合式教学模式，让学生在实践中学会运用知识、分析问题、解决问题等高阶逻辑思维，按照三维教学目标维度设计实验内容，设置涉及7个相关知识点的实战式10个通关步骤，深入思考攻击成因以及提出相应的防御方案，启发和引导学生沉浸式研探，并依据过程评分和结果评分相结合的方式进行综合评判，培养学生解决复杂工程问题的综合能力、高阶思维和专业素养，形成科学探究的精神和态度，实现“德才兼备”一流人才的培养目标。

参考文献：

[1] 中共中央网络安全和信息化委员会办公室 中华人民共和国国家互联网信息办公室. 国家网络空间安全战略[EB/OL]. (2016-12-27)[2022-11-02]. http://www.cac.gov.cn/2016-12/27/c_1120195926.htm.

[2] 中国工程教育专业认证协会秘书处. 工程教育认证工作指南(2018年版)[EB/OL]. [2019-12-27]. https://xcl.sdut.edu.cn/_upload/article/files/77/d9/133569ca4d27b790234fd30ed6f8/2840c6f5-11e5-43bc-9c3d-9c2c0e8bc247.pdf.

[3] 虚拟仿真实验教学创新联盟技术工作委员会. 虚拟仿真实验教学课程建设与共享应用规范(试用版 2020)[EB/OL]. [2020-10-30]. https://sysglc.lut.edu.cn/__local/5/D1/E1/DBE760C1A4F129700EEE832E733_A8368819_20E656.pdf.

[4] 虚拟仿真实验教学创新联盟. 虚拟仿真实验教学课程建设指南（2020年版）[M]. 高等教育出版社, 2020: 134-135.

[5] 张沪寅, 陈晶, 黄建忠, 等. 网络安全国家级虚拟仿真实验教学中心建设探索[J]. 实验室研究与探索, 2019, 38(12): 144-148.

[6] 李拓宇, 邓勇新, 叶民. 智能化时代Π型工程科技人才培养模式构建: 基于8个典型案例的扎根研究[J]. 高等工程教育研究, 2021(4): 74-80.

[7] 鱼海涛, 解忧, 刘伟. 工程教育专业认证背景下理工科课程思政系统化设计与实施[J]. 高等工程教育研究, 2021(3): 100-103.

基金项目：教育部第二批新工科研究与实践项目“AI+安全新工科人才培养实践创新平台建设”（E-RGZN20201043）；西安电子科技大学教育教学改革研究项目“校企深度协同的一流网络安全人才培养模式创新研究”（A21012）；国家自然科学基金项目“多维域协作空间调制隐蔽通信技”（62001359）；陕西高等教育教学改革研究项目“网络空间安全人才实践能力培养改革与实践”（21BY023）；西安电子科技大学教育教学改革研究项目“校企深度协同的一流网络安全人才培养模式创新研究”（A21012）。

作者简介：梁琳琳，男，西安电子科技大学讲师，研究方向为无线通信物理层安全，llliang@xidian.edu.cn；李晖（通信作者），男，西安电子科技大学博士生导师，西安电子科技大学网络与信息安全学院执行院长，研究方向为密码信息安全、信息论与编码理论，lihui@mail.xidian.edu.cn。

引文格式: 梁琳琳，张妮娜，黄海燕，等. Web服务渗透虚拟仿真实验教学设计与实践[J]. 计算机教育, 2023(6): 98-102.

转自：“计算机教育”微信公众号

如有侵权，请联系本站删除！