摘要:针对网络空间安全人才培养的实践教学特点,分析网络空间安全实践教学内容的选取;针对所选取的教学内容搭建相应的实践教学环境,为网络空间安全人才培养提供课程理论与实践动手相联系的实践教学方法,从而为网络空间安全人才培养的相应课程建设提供新的参考。
关键词:网络空间安全;信息安全人才培养;实践教学
DOI:10.16512/j.cnki.jsjjy.2016.02.027
1背景
随着人类个体和社会活动的线上与线下部分通过物联网和互联网的融合互通,人们已经越来越难以区分线下实体行为与线上网络活动的边界。确切地说,网络空间(cyberspace)是由人类利用计算机和通信设备所构建的一切通信网络中的信息形成的空间,在实际中往往包括互联网、物联网以及网络中所处理、传输和存储的一切信息数据。网络空间安全(cybersecurity)是研究在有攻击者的前提条件下,网络空间中各种数据、网络和系统在采集、处理、传输、存储等环节所面临的安全威胁,进而研究相对应的抵御安全威胁的防护方法与手段。从广义上来看,网络空间安全除了传统信息与网络安全所包括的保密性、完整性、认证性和可用性,还应包括组成网络空间的链路与系统的可靠性、可信性和安全性。在我国,截至2014年,教育部批准全国共116所高校设置信息安全类相关本科专业,其中信息安全专业87个,信息对抗专业17个,保密管理专业12个,已经培养信息安全类专业本科毕业生约10000人/年[1]。作为国家信息安全保障体系建设的人力资源基础,网络空间安全人才培养的时效性和实用性成为网络空间安全相应课程教学的主要需求。由于网络空间安全涉及信息系统安全、网络安全、物联网安全、云计算安全等新一代网络应用的各个方面,需要面向实际分析安全威胁并提出跨领域的安全保护措施与解决方案,因此网络空间安全人才培养的实践教学方法尤为关键。由于网络空间安全随着信息系统、物联网、云计算、大数据等计算机科学新技术和新应用不断进化,因此就要求网络空间安全课程的教学和实验内容应该与网络空间应用技术同步衍化、融合与发展。针对各种新技术以及应用场景对于网络空间安全所提出的新要求,教师需要对学生进行实例化和直观化的讲解。
2网络空间安全人才培养的特殊性
随着互联网在社会各个领域的普及,网络空间安全问题日益突出,社会对于网络安全人才培养的需求也在不断增加,同时对人才培养的时效性和实用性要求也在不断提高。目前的网络空间中,往往包括由互联网或各种专用网络组成的云计算系统、PC终端、移动智能终端和物联网设备及其涉及的软件、硬件和数据信息。从定义上来看,网络空间安全与传统信息系统安全有所不同。网络空间中涉及的实体与数据没有固定边界,互联网去中心性和分布式的特点使得在网络空间中对于实体和数据也难以做到集中管控。由于信息安全攻防技术的不断发展与改进,用户在网络空间中的数据和系统软硬件本身的安全性面对着极大的挑战。网络空间安全人才的实践教学必须包含信息系统安全、物联网安全、云计算安全、大数据安全等方面的内容,才能令学生理解并掌握网络空间中实际用户所面临的安全威胁及其防护方法。网络空间安全涵盖计算机与网络技术的方方面面,在教学中,如果教师仅仅突出某一方向上的理论理解,那么学生对于网络空间安全的整体性就得不到充分的认识。以近年来发生的网络用户口令泄漏为例,事件本身是由于网站存在SQL注入攻击,导致黑客获得热门网站的数据库访问权限,从而导出用户口令资料。从网络空间安全的整体上来看,网站存在SQL注入攻击仅仅是导火索,导致该事件造成最终危害的原因还应包括:①网站用户口令认证协议不符合互联网环境下的安全需求,不应存储用户口令明文;②不同的网站应用中,用户往往采用相同的用户名和口令进行登录,这恰恰是网络空间安全环境下需要重视的;③某些网站虽然采用散列函数对用户口令进行保护,但是由于存储在网站数据库中的散列值并没有进行加盐(salt)处理,因此黑客很容易通过字典或彩虹表破解的方式,恢复出某些用户所采用的短长度口令。上述3个安全漏洞均需要安全管理员对于网络空间安全的整体性和复杂性加以充分认识。因此,在网络空间安全人才培养的实践教学上,教师必须注重教学内容的时效性和实例性,让学生能理解并掌握现有和未来可能发生的黑客威胁和攻击方式,通过实践掌握相应的安全保护技术,才能真正培养出符合实际应用需要的网络空间安全人才。
3网络空间安全实践教学内容
由于网络空间安全人才培养的特殊性,网络空间安全实践教学内容必须做到实践动手能力培养与理论教学并重。在开展实践教学之前,教师必须要对当前网络空间安全的现实情况和热点问题加以分析,在围绕安全威胁产生原理进行理论基础教学的同时,选择合适的软硬件重现相应的网络空间安全应用场景,通过实例化的教学方式确保实践教学达到预期教学目标,提高教学质量。根据当前网络空间安全的现实和热点问题,笔者选择信息系统安全、物联网安全、云计算安全和大数据安全4个热点应用,作为网络空间安全实践教学内容的重点。
3.1信息系统安全
在网络空间中,各种信息系统承担着信息输入输出和用户业务处理的功能。伴随着相关技术的不断发展,攻击者对于网络空间中信息系统的攻击和破坏方式也在不断更新。传统的信息系统安全保护措施大多考虑信息在传输过程中的恶意行为,因此往往局限于采用防火墙、漏洞扫描、病毒防护、入侵检测等网络安全技术加以防护。在这些技术的保护下,攻击者入侵系统的难度大大提高。在实际中,攻击者往往采用高持续性威胁(advancedpersistentthreat,APT)的方式攻击和破坏信息系统的安全防御。针对这种威胁,目前大多采用社会工程学、软硬件后门、0day漏洞等常见方式进行防护。因此,在网络空间安全的人才培养中,教师必须讲解最新攻击方法的原理与实践知识,让学生从正反两方面学习攻防技术所涵盖的知识点,能够在未来实际的信息系统开发或安全维护工作中,大大降低上述安全威胁成为实际风险的概率,提高实践教学的实用性。
3.2物联网安全
网络空间安全必然涉及负责数据感知和采集任务的物联网的安全。由于物联网主要依赖各种嵌入式设备如无线传感器网络(wirelesssensornetwork,WSN)和无线射频芯片(radiofrequencyidentifier,RFID)进行数据采集与感知,因此物联网安全的实践教学内容必须与传统网络安全有所区别。在传统网络中强调的数据传输和存储安全威胁,物联网中仍然存在并且解决方案与传统网络区别不大,主要通过采用轻量级的密码学与信息安全协议加以保护,如采用基于椭圆曲线的公钥密码算法和轻量级对称密码算法,代替传统常用的RSA公钥密码算法和AES算法对数据进行加密传输和存储。在物联网安全的实践教学中,教师应向学生强调现实中攻击者往往利用侧信道分析等芯片物理攻击技术,绕过传统网络安全保护技术,直接对物联网硬件进行攻击,如近年来出现的针对银行芯片卡或射频卡的简单/差分功耗分析(simple/differentialpoweranalysis)、针对传感器微处理器执行信息安全算法的时耗分析(timinganalysis)等。上述侧信道分析的实践教学内容在广泛使用的网络安全本科教材中体现较少[2],但直接采用面向专业研究人员的教程又太过深入[3],这就需要教学人员针对不同类型的学生(如偏向计算机专业或偏向电子信息专业),有选择性地对物联网所需重视的安全威胁和相应保护技术进行实例化讲解,从而达到面向实践的网络空间安全人才培养目标。
3.3云计算安全
云计算技术借助互联网、虚拟化和分布式技术,可以将数据计算和存储任务分布在由大量计算机构成的资源池上。云计算的优势对于用户而言是能够按照实际所需的计算、存储和服务加以使用,提高服务的伸缩性和灵活性,简化资源和服务的管理和维护,因此已经成为未来互联网与信息系统发展的主流方向。云计算的发展需要解决的核心安全问题可主要分为虚拟机安全和访问控制安全两大方向。作为网络空间应用环境的重要组成部分,云计算安全一方面需要承载计算任务的虚拟机能,以抵抗攻击者或恶意用户对计算数据的窃取或破坏;另一方面也需要对云计算环境下数据存储与程序运行的访问控制权限进行严格保护。对于虚拟机安全,教师在实践教学过程中可以通过对Virtualbox、VMWare等典型虚拟机系统进行系统化教学,让学生掌握虚拟化技术下计算资源的分配与隔离等虚拟机安全关键技术;在访问控制安全上,在实践教学过程中除了讲解基础的自主/强制访问控制、基于角色的访问控制等基本访问控制技术外,还需要引入近年来在云计算安全中提出的各种新型访问控制模型,如IRBAC2000模型、基于信任的动态RBAC模型[4]、基于同态密码学方案的可搜索加密模型等[5]。只有在充分理解虚拟机安全和访问控制安全的前提下,才能充分理解云计算安全在网络空间安全中所起的重要作用。
3.4大数据安全
随着互联网技术日益深入人们的日常生活,人们生活中的各种信息从线下往线上发展。根据相关统计,近两年互联网中新产生的网络日志、音频视频、地理信息等数据就占到全球数量总量的90%[6]。各种大数据应用中,往往需要将用户输入或存储在已有数据库中的结构化数据转换为非结构化的数据转换与存储,对转换和存储过程中的数据访问也需要有效地加以管控。大数据应用中的数据安全既是安全技术问题,又是隐私保护问题。如果在大数据分析中特别是数据在不同系统中处理流转不当时,造成用户数据的泄漏,由于大数据系统的海量数据性,往往就将导致大量用户的个人信息甚至隐私泄漏,所造成的后果比某个信息系统数据泄漏要严重[7]。在实际中,大数据安全主要包括存储大数据的文件系统或数据库的安全性,以及对于大数据进行处理的数据处理算法和系统的安全性。在实践教学内容中,教师可以通过创建大数据系统实例的形式,让学生理解并掌握大数据应用中文件系统和数据库安全所起的作用;同时对于大数据处理中用户隐私信息的盲化技术加以讲解,如基于同态密码学算法的外包计算技术等,加强学生对大数据安全领域安全威胁和保护方式的掌握。
4网络空间安全实践教学环境搭建
网络空间安全是近年来新提出的概念,知识体系和内容仍然处在成长期。从目前来看,网络空间安全整体上还没有在实践教学中广泛使用的实验平台。虽然从信息系统安全和网络安全的角度,目前已经有比较成熟的实践教学实验平台和相关信息安全实验器材,但是由于网络空间技术的高速发展,如物联网、云计算、大数据等新技术的出现,如果网络空间安全实践教学环境仅仅只是延用旧有的信息系统、密码学或网络安全实验平台,那么将大大影响学生对网络空间安全的实际理解与掌握。因此,教师有必要针对上一小节提出的实践教学内容以及信息系统安全、物联网安全、云计算安全和大数据安全,设计相应的网络空间安全实验内容,最终为网络空间安全人才培养搭建时效性强和实用性好的实践教学方案。
4.1信息系统安全实践教学环境
在信息系统安全的实践教学中,教师可围绕高持续性威胁所涉及的社会工程学、软硬件后门、0day漏洞等方式,基于操作系统和数据库这两大信息系统基础性软件工具,进行安全攻防技术的实践教学。在操作系统方面,教师可首先比较Linux和SELinux操作系统,使学生理解操作系统的访问控制原理是如何在防御非法访问和远程攻击提权上起到保护作用,并通过Linux操作系统用户登录口令的验证和存储,了解信息系统如何通过加盐、散列等方式抵抗字典攻击和暴力破解;再基于Windows系统,讲述操作系统定期对漏洞进行补丁升级的必要性和重要性,通过虚拟机运行旧版本Windows操作系统感染0day病毒或木马的形式,帮助学生对0day漏洞的风险和危害产生直观的认识。在数据库安全方面,教师可通过采用开源数据库MySQL作为实例,讲述数据库安全中的用户管理和权限分配,帮助学生熟练掌握信息系统所访问的数据库和相关数据表的访问权限设置;同时针对远程数据库访问常见的注入攻击进行实例化讲解,通过开源仿真环境WebGoat模拟攻击者对数据库进行注入攻击,窃取无访问权限的其他数据表甚至提升数据库root权限的过程。在熟练掌握上述操作系统和数据库安全技术的情况下,学生可以充分理解信息系统安全在实际中存在的威胁,为将来开发和维护工作中会出现的安全问题做好准备。
4.2物联网安全实践教学环境
利用目前学术界已提出的轻量级密码学算法如已成为国际标准候选算法的PRESENT和CLEFFIA,在基于ATtiny系列微处理器的无线传感器(MICAz、IRIS、TelosB等,也可选择采用相同处理器的国产无线传感器,实验方式差别不大)上,基于AVRStudio进行AVRC或ASM语言程序开发,可以完成物联网环境下的数据加解密、散列和认证操作相关实验。在RFID安全性上,可以基于符合EPC-Global标准的RFID开发平台,测试RFID芯片与阅读器之间的数据安全保护机制;在侧信道安全性分析上,可以基于Risecure公司的能耗、时间、故障分析平台,对WSN和RFID所使用的芯片进行侧信道安全实践教学。虽然Risecure公司的分析平台实用性较好,得到物联网安全业界的广泛认可,但是售价较高。在实践教学中如果条件受限,可采用示波器+探针+稳定直流电源的方式搭建简易分析平台,也可达到相应的实践教学效果。
4.3云计算安全实践教学环境
在云计算安全教学实际中,可首先通过OpenStack等开源软件自行搭建实验用云平台,帮助学生熟悉云计算环境下用户访问与行为的特点,从而更好地理解云计算中数据安全、网络安全和系统安全所需要达到的不同安全目标。在虚拟机安全教学中,教师可通过Virtualbox这一开源虚拟机软件进行实例化教学;特别是在虚拟机底层安全性方面,Virtualbox可以提供各种不同的插件(USB访问、内存虚拟化等)以及丰富的文档和源代码研究资源,很好地实现虚拟机安全实践教学的目的。在访问控制方面,学生可通过OpenStack平台的相应管理设置,理解不同访问控制机制在云计算环境下的不足之处,再对照最新的面向云计算环境的访问控制机制(如IRBAC2000等)进行实例化开发,从而理解并掌握云计算下访问控制的实现原理。对于基于同态密码学算法的可搜索加密方案,学生可通过OpenSSL开源软件进行相应的方案实现;由于OpenSSL自带各种密码学算法库,因此学生在具体方案实现上仅需要参考相应文档即可。如果教学时间和条件受限,教师也可简单通过OpenShift等开源云计算平台,对学生进行云计算环境下安全问题的实践教学。
4.4大数据安全实践教学环境
在实际中,大数据与云计算往往密不可分,因而在大数据安全实践教学环境的搭建上,可以充分利用上述云计算安全实践教学环境下的现有资源。如果已经基于OpenStack建立相应的云计算安全实验环境,就可以基于该环境搭建基于NoSQL的分布式存储技术构建的大数据存储环境。在支持NoSQL的开源数据库中,MongoDB得到广泛认可,因此可基于MongoDB数据库的访问,设置相应的安全场景,对学生进行体验式教学,让学生从大数据安全管理者的角度,理解并掌握基于NoSQL的MongoDB所需要注意的安全问题。在大数据中的隐私保护问题上,教师可以通过设置SQL到NoSQL的转换、大数据用户信息挖掘等实验场景,设定具体的用户隐私抗泄漏要求,让学生设计相应的用户隐私保护方案,从而达到更好的大数据安全实践教学效果。
5结语作为信息系统安全人才培养核心知识体系未
来发展的重要方向之一,网络空间安全由于其理论体系具有前沿性以及相关实践知识更新速度较快,使得网络空间安全人才培养与课程建设具有很强的时效性与动态性。笔者从网络空间安全人才培养的实效性出发,基于网络空间安全所包含的重点应用选择相应的实践教学内容,从节约资源和可操作性强的角度尽量选择开源软件或平台搭建实验环境。笔者提出的实践教学方案作为网络空间安全人才培养教学过程中的探索,在未来的教学与人才培养过程中还需要进一步加以总结完善,以最终达到网络空间安全人才培养中学生积极性、学习有效性和社会认可度三者统一的实践教学目标。
参考文献:
[1]中共中央网络安全和信息化领导小组办公室,中华人民共和国国家互联网信息办公室.积极构建网络空间安全创新人才培养体系[EB/OL].(2015-06-04)[2015-10-06].
[2]StallingW.密码编码学与网络安全:原理与实践[M].4版.孟庆树,王丽娜,傅建明,等译.北京:电子工业出版社,2006.
[3]MangardS,OswaldE,PoppT.能量分析攻击[M].冯登国,周永彬,刘建业,等译.北京:科学出版社,2010.
[4]马强,艾中良.面向云计算环境的访问控制模型[J].计算机工程与设计,2012(12):4488-4489.
[5]GreenM,HohenbergerS,WatersB,etal.OutsourcingthedecryptionofABEciphertexts[C]//Proceedingsofthe20thUSENIXSecuritySymposium.SanFrancisco:USENIXAssociationPress,2011:1-16.
[6]百度文库.Intentionalassociationsbetweendataandmetadata[EB/OL].(2011-08-25)[2015-10-06].
[7]中国共产党新闻网.邬贺铨:大数据时代光网络的机遇[EB/OL].(2013-02-16)[2015-10-06].
作者:龚征 温雅敏 单位:华南师范大学计算机学院 广东财经大学数学与统计学院
