一、引言

在网络和信息技术迅猛发展的今天，信息系统已成为社会各领域的关键基础设施，它支撑着电子政务、电子商务、科学研究、能源、交通和社会保障等多个方面。然而，信息系统也面临着日益严峻的网络安全威胁，网络攻击手段层出不穷。因此，社会对高素质信息安全人才的需求日益增长，对高校信息安全教育的要求也随之提高。本文强调理论与实践相结合，实验教学涵盖物理安全、操作系统安全、数据库安全、软件安全和Web应用安全技术等多个方面。实验教学不仅有助于学生深化对理论知识的理解，也是培养网络攻防技能和创新能力的关键环节。因此，科学设计实验内容和创新实验教学模式对于培养高素质信息安全人才至关重要。

 

二、传统实验教学存在的问题

在信息系统安全防护的传统实验教学中，教师通常会根据实验内容提供相应的实验平台，例如为Web应用安全实验提供DVWA、sqli-labs等平台，为软件安全实验提供SEEDlabs等平台。这些平台预设了丰富的攻击场景和漏洞，学生通常以独立作业的形式，根据实验任务和要求，利用平台预设的漏洞构建攻击向量，实施攻击，并记录实验过程、分析结果，最终提交实验报告。

传统实验模式在信息系统安全防护教学中存在以下不足：

1．攻防能力不平衡：传统实验模式往往偏重于攻击技能的培养，而忽视了防御能力的培养。理想的信息安全人才应具备攻防兼备的能力。虽然通过攻击实验可以增强学生的安全防护意识，但这种模式并不能有效提升学生的安全防御技能。

2．创新与实战能力受限：基于预设的攻击场景和漏洞进行的实验，虽然能够控制实验进程，但限制了学生对攻击方式和攻击向量的探索。这种模式无法完整模拟实战中的“目标探测→漏洞挖掘→攻击实施”的攻击流程，从而限制了学生创新能力和实战能力的培养。

3．缺乏探索学习动力：流行的实验平台和固定的训练模式，使得网络上充斥着相关的攻击攻略。这导致许多学生在遇到问题时直接查找攻略，而不是自己分析和解决问题。这种做法不利于培养学生的主动探索和问题解决能力。

 

三、攻防对抗式实验教学模式探索

3.1 教学模式概述

为解决信息系统安全防护实验教学中的既有问题，可以借鉴全国大学生信息安全创新实践能力赛的“构建、攻击、修复”（BBF）赛制，引入基于BBF模型的攻防对抗式实验教学模式。该模式旨在实现攻防能力的均衡培养，通过分组对抗的方式，让学生在实战中锻炼和提升。

 

3.2 实施方式

实验实施过程精心划分为以下四个阶段：

（1）系统构建阶段：各小组需根据实验内容和任务要求，独立设计并实现一个功能完备、特性鲜明的系统。在系统设计之初，小组可随机预设一些与知识点相关的漏洞，为后续的攻击渗透阶段埋下伏笔。系统构建完成后，将运行在各小组分配的服务器上，此阶段构建的系统被称为低安全级别系统。

（2）攻击渗透阶段：通过抽签的方式确定攻防对抗的分组，各小组以对方服务器上的系统为攻击目标，深入挖掘其存在的漏洞，并利用这些漏洞构造攻击向量实施攻击，以获取靶标系统的权限。

（3）安全修复阶段：学生需密切监控自己小组服务器的网络流量信息、系统日志数据等，及时发现并分析攻击行为，确定服务器系统存在的安全缺陷和漏洞，并进行针对性的安全修复。通过不断的修复和完善，使系统的安全级别逐渐提升至中安全级别乃至高安全级别。

（4）交流总结阶段：各组公开分享攻击、防御的成果和方法，交流实验心得和体会，实现知识的共享和迭代式学习。其中，攻击渗透和安全修复阶段可以进行多轮对抗，以不断优化和完善安全防护方案。 

攻防对抗式实验教学流程如下图所示。该模式不仅能够提升学生的攻防思维和工程思维，还能有效促进他们的创新能力和实战攻防能力的生成。

 

 

3.2 实施攻防对抗式实验

鉴于当前众多网络信息系统基于Web应用实现，且常见功能如留言板、讨论版等易受XSS攻击影响，本课程特别强化了XSS攻击与防御的教学。XSS攻击是Web应用面临的重大安全威胁之一，也是OWASP公布的十大Web安全风险之一。

为提升学生的XSS攻防能力，课程设计了以下四个阶段的实验任务：

（1）系统构建阶段：此阶段旨在锻炼学生的系统设计能力和初步安全防护技能。学生需根据攻防场景需求，设计一个包含留言板功能的简单Web应用系统作为靶标，并初步实施XSS漏洞的安全防护，如通过过滤<script>标签或使用正则表达式过滤<script>关键字等措施。然而，这些防护措施并非无懈可击，仍留有被突破的空间，为后续的攻击渗透阶段埋下伏笔。

（2）攻击渗透阶段：此阶段着重培养学生的系统分析、漏洞挖掘及攻击向量编写能力。学生需深入分析靶标系统特性，挖掘潜在漏洞，并针对性地构建攻击向量实施攻击。由于靶标系统可能存在多种XSS漏洞，学生可尝试不同的攻击向量进行多次攻击，并记录攻击向量及效果作为实验报告的一部分。

（3）安全修复阶段：此阶段旨在培养学生的数据分析、攻击发现及系统安全加固能力。学生需收集并分析服务器中的网络连接、系统日志及数据库数据等信息，以发现攻击行为和特征。例如，通过检查数据库留言板内容是否包含JavaScript恶意代码来识别XSS攻击，并根据攻击向量确定攻击类型。在此基础上，学生需确定系统存在的安全缺陷和漏洞，制定安全策略并进行修复，随后使用收集到的攻击向量进行回归测试。修复完成后，攻防双方可进行一轮或多轮攻防迭代，即重新探测靶机漏洞、设计攻击向量对增强后的系统进行攻击，并分析己方服务器受攻击情况实施进一步加固。

 

（4）交流总结阶段：此阶段鼓励学生总结、汇报并分享攻防经验，实现知识的迭代学习。学生需及时总结实验过程中的攻防技巧、实践经验及心得体会，并进行交流讨论。通过学习其他组的攻防方案、源代码及攻击向量等，学生可以拓宽思路、查漏补缺，实现知识的迭代式学习。同时，通过交流锻炼语言组织和表达能力，获得被他人认同与赞赏的成就感，进一步激发学生的学习探究热情。

 

3.2 攻防对抗式实验教学的优势

相较于传统的实验教学模式，攻防对抗式实验教学展现出了显著的优势：

能力均衡发展：该模式同时锻炼学生的攻击与防御能力，确保学生在攻防两端都能游刃有余。

创新与实战能力提升：通过多轮真实的攻防对抗，学生不仅能在实战中磨砺攻防技能，还能深刻体会攻防技术的不断演进，培养攻防对抗思维，并激发主动发现问题、分析问题、解决问题的创新能力。

团队协作强化：以小组形式进行实验，不仅锻炼了学生的领导力，还促进了团队内部的紧密协作。

学习动力激发：小组间的直接对抗与竞争，有效激发了学生的学习热情和动力，推动他们主动探索攻防方案，形成以学生为中心的教学模式。

 

3.3 攻防对抗式实验教学评价设计

鉴于攻防对抗式实验的开放性和竞争性，为准确评估实验效果并激励学生，我们设计了专门的评价体系。该体系按小组打分，成绩由以下四部分构成：

系统构建分（10%）：学生完成系统构建和基础安全防护即可得分。

攻击渗透分（40%）：从攻击成功的数量、攻击向量设计、攻击脚本编写质量等多角度综合评估。要求至少挖掘2种漏洞实施攻击，鼓励挖掘更多漏洞，超出部分按每种漏洞增加20%的比例额外加分，不设上限。

安全加固分（40%）：根据防御方案和代码质量综合给分。

交流总结分（10%）：根据攻防方案表述的清晰度、演示效果的达成度、总结分享的启发性三个方面衡量。

 

四、攻防对抗式实验教学效果

实验改革前，XSS攻击与防御实验基于DVWA平台实施。虽然学生能完成无安全措施或不完善安全防护下的漏洞利用，但部分学生直接复制网络上的攻击向量，影响了攻击技能的提升。在防御方面，学生虽对XSS漏洞防范有一定认识，但缺乏实践，掌握不深入。

实验改革后，攻击技能培养方面，由于靶标Web系统为学生自建，成为了一个黑匣子，没有现成的攻击攻略。学生需独立完成系统探测、漏洞分析、漏洞利用等整个攻击流程，这促使他们积极探索解决问题的思路和方法，攻击技能得到显著提升，学习兴趣和热情也被激发。

 

五、结语

攻防对抗式实验教学模式在信息系统安全防护课程中展现出显著的优势。它不仅能够均衡地培养学生的攻击与防御能力，还通过真实场景中的多轮攻防演练，有效提升了学生的创新能力和实战技能。此外，这种教学方法还加强了团队协作精神，激发了学生的学习动力，形成了以学习者为中心的积极教育环境。相较于传统的基于固定平台的实验教学，攻防对抗式实验不仅拓宽了学生对XSS攻击及其防御的理解，更促进了他们独立解决问题的能力和安全编程意识的提升。