设计用于网络安全教育的严肃游戏

### 设计用于网络安全教育的严肃游戏 #### 1. 引言 在过去几十年里，计算机安全领域投入大量精力探索新的培训方法。因为安全与各种技术都相关，现代安全专家需要掌握多个不同学科的知识。例如，渗透测试人员既要检查专业Web开发者编写的PHP代码，又要评估系统管理员配置的用户权限。 “实践学习”很快成为一种具有启发性的原则，直接的实践经验是高效的培训方法。但“实践”涉及计算机科学和工程的应用（如二进制代码检查）和理论（如密码学数学）方面，这让想成为安全专家的人面临巨大挑战。 游戏化成为传统培训方法的有效替代方案，特别是夺旗（CTF）竞赛近年来越来越受欢迎。CTF为不同技能水平的人提供了交互式学习环境，但CTF参与者通常是积极性很高的人，对于大多数人来说比较陌生，可能被视为极其复杂的竞赛，这会阻碍大多数人的参与，无法实现向广大受众普及网络安全知识和提高意识的目标。 下面介绍一款名为“A NERD DOGMA”的游戏，它是一款专为初学者设计的类似逃脱密室体验的CTF游戏。其主要目标是为无技能的人提供交互式和沉浸式的游戏体验，让他们在真正的CTF和网络安全领域迈出第一步。该游戏包含四个入门级但现实的挑战，玩家在游戏中学习基础知识来解决这些挑战。所有挑战都是独立的，不需要特定的先前知识。部分挑战需要通过简化的命令行终端解决，目的是让玩家了解如何与实际使用的工具进行交互。 #### 2. 相关工作 游戏化技术可用于多种目的，如提高动力、改善学习成果、促进团队合作以及引导年轻学生学习STEM学科。在计算机科学教育中，已有研究比较了采用游戏化技术的学生群体与传统活动学生群体的表现。 在网络安全教育方面，有很多使用游戏化或类似CTF竞赛的经验。大多数情况下，这些经验涉及参加网络安全课程的大学生，CTF类练习用于培训或评估学生。结果表明，游戏化和竞赛的结合能有效激励学生更努力学习网络安全知识，提高实践技能并促进团队合作。 以下是一些与“A NERD DOGMA”有相似之处的项目： - **设计非专家适用游戏的框架**：提出了设计具有教学目的游戏的框架，包括对目标玩家和可用资源（如时间限制、预算和开发者技术技能）的初步分析，还讨论了经典软件开发步骤，如设计、部署和原型评估。游戏可以在有或没有学习促进者监督的情况下上线，最后需要进行评估阶段以确定游戏是否提高了网络安全意识。 - **基于逃脱密室的学习体验**： - **GenCyber营地**：为美国初高中学生组织的夏季网络安全营地，每个营地主任可以设计不同的学习形式。例如，学生需要访问SPECTRE组织的IT基础设施来找到目标账户的密码。 - **某逃脱密室项目**：将会议室变成物理逃脱密室，组织玩家团队在有限时间内解决多个谜题。后来提出了“Escape the Briefcase”游戏来解决可扩展性问题，该游戏是一个带有密码锁和不同谜题的包，多个团队可以同时玩。游戏前后分别有任务说明和赛后讨论。 - **基于故事的替代现实游戏**：学生在10周内玩一个基于特定故事的替代现实游戏，目的是让参与者理解网络安全的关键概念并提高预防网络攻击的技能。结果显示，课程结束后学生对任务和问题的理解有积极改变。 - **以动物权利为主题的游戏**：学生扮演激进动物权利组织成员，通过破坏动物园网站、删除数据库记录并闯入动物园释放动物的挑战，分为侦察、利用和执行三个阶段，参与者反馈积极。 - **基于Unity引擎的3D逃脱密室**：为网络安全硕士学位学生开发的第一人称3D逃脱密室游戏，计划将学生分数整合到教学用的学习管理系统中，目前正在开发中，尚未进行学生测试。 “A NERD DOGMA”与上述项目不同，它针对的是普通的非专业玩家，而不是大学生，并且采用开源设计，可以在不同环境中实现和使用。 #### 3. 要求和目标 ##### 3.1 挑战的真实性 主要目标是为玩家提供网络安全的第一手体验。以下是不同场景中网络安全的呈现方式： - **N