基于“CTF競(jìng)賽”模式的高職信息安全與管理專業(yè)課程體系研究

王文莉+劉開茗+王清

摘要：當(dāng)前信息安全人才培養(yǎng)存在專業(yè)定位不準(zhǔn)、學(xué)生興趣不高、學(xué)習(xí)效率低下等問題，本研究以鄭州鐵路職業(yè)技術(shù)學(xué)院信息安全與管理專業(yè)課程體系為例，提出基于“CTF競(jìng)賽”模式的信息安全課程體系建設(shè)方案，通過市場(chǎng)調(diào)研確定專業(yè)特色并將“CTF競(jìng)賽”模式融入教學(xué)過程，對(duì)信息安全專業(yè)人才培養(yǎng)具有較好的參考價(jià)值。

關(guān)鍵詞：高職；信息安全與管理專業(yè)；“CTF競(jìng)賽”教學(xué)模式

一、引言

國家互聯(lián)網(wǎng)應(yīng)急中心的數(shù)據(jù)顯示：2015年，我國近2883萬個(gè)IP地址對(duì)應(yīng)的主機(jī)被木馬或僵尸程序控制，移動(dòng)互聯(lián)網(wǎng)惡意程序樣本147萬個(gè)，被植入后門的網(wǎng)站數(shù)量達(dá)75028個(gè)，其中，政府網(wǎng)站3514個(gè)，仿冒境內(nèi)網(wǎng)站的頁面數(shù)量達(dá)184574個(gè)，數(shù)字較2014年均有50%以上的漲幅。因此，掌握Web安全防御相關(guān)技能的人才在網(wǎng)絡(luò)安全行業(yè)中有著廣泛的需求，其行業(yè)人才缺口巨大。

二、當(dāng)前信息安全人才培養(yǎng)中存在的問題。

（一）專業(yè)定位不夠明確，特色不夠鮮明

據(jù)不完全統(tǒng)計(jì)，目前在開設(shè)信息安全課程的高校中，本科類有94 所、高職類有27所，部分高校在信息安全人才培養(yǎng)方面已經(jīng)形成了鮮明的特色，如以密碼技術(shù)為特色、以網(wǎng)絡(luò)攻防技術(shù)為特色、以數(shù)據(jù)安全為特色的人才培養(yǎng)定位等。但對(duì)于更多的高校來說，信息安全與管理專業(yè)的人才培養(yǎng)缺乏明確的定位，與市場(chǎng)需求脫軌，課程體系雜亂無章。

（二）課程體系缺少實(shí)用性和先進(jìn)性

當(dāng)前，高職類信息安全專業(yè)的課程設(shè)置存在沿襲本科課程體系的痕跡，課程涉及較多的密碼技術(shù)、安全協(xié)議、安全體系等，且課程內(nèi)容重理論輕實(shí)踐；或課程設(shè)置偏重安全設(shè)備的部署，并沒有涉及太多信息安全對(duì)抗、Web安全等內(nèi)容，與當(dāng)前市場(chǎng)需要存在差距。另外，由于信息安全技術(shù)的飛速發(fā)展和新的網(wǎng)絡(luò)攻擊手段不斷出現(xiàn)，新的攻擊手段、新的病毒和木馬出現(xiàn)很短時(shí)間內(nèi)就會(huì)被安全軟件查殺，這使得信息安全專業(yè)課程難以獲得先進(jìn)、實(shí)時(shí)、有效的實(shí)驗(yàn)教學(xué)樣本和素材，也使得教師需要不斷學(xué)習(xí)新的知識(shí)，大大增加了教師教學(xué)的難度。

（三）信息安全的知識(shí)體系決定了學(xué)生較易喪失學(xué)習(xí)積極性

信息安全的知識(shí)結(jié)構(gòu)特點(diǎn)要求學(xué)生在學(xué)習(xí)時(shí)不僅要具備相當(dāng)?shù)挠?jì)算機(jī)基礎(chǔ)，而且要具備較強(qiáng)的逆向思維能力。學(xué)生開始時(shí)對(duì)信息安全課有很大的興趣， 但在解決實(shí)際問題中，很快就喪失了熱情，很多學(xué)生無法理解課堂學(xué)習(xí)的知識(shí)如何與實(shí)際問題相結(jié)合，在實(shí)際中解決問題的能力有待提升。

三、基于“CTF競(jìng)賽”模式的信息安全與管理專業(yè)課程體系的構(gòu)建

（一）“CTF競(jìng)賽”模式

CTF（capture the flag）即奪旗競(jìng)賽，是全球信息安全圈流行的競(jìng)賽形式。奪旗競(jìng)賽可以增加比賽的趣味性和競(jìng)爭(zhēng)性，因此將其借鑒到信息安全專業(yè)教學(xué)過程中，可以提高學(xué)生對(duì)該課程的學(xué)習(xí)興趣，使學(xué)生在游戲中學(xué)習(xí)，在競(jìng)賽中提高。

CTF 競(jìng)賽主要包括三種競(jìng)賽模式。第一，解題模式。該模式以解決挑戰(zhàn)題目的分值和時(shí)間排名，通常用于在線選拔賽。第二，攻防模式。參賽者互相攻防，通過挖掘漏洞、攻擊對(duì)手服務(wù)得分，通過修補(bǔ)自身漏洞避免丟分，是一種競(jìng)爭(zhēng)激烈、具有強(qiáng)觀賞性和高透明性的網(wǎng)絡(luò)空間安全賽制。第三，混合模式。該模式同時(shí)結(jié)合了解題模式與攻防模式，如參賽者通過解題獲取一些初始分?jǐn)?shù)，通過攻防對(duì)抗進(jìn)行得分增減，最終以得分高低分出勝負(fù)。

（二）課程體系的構(gòu)建

1.整體思路

根據(jù)“崗位→職業(yè)能力→課程體系”的建設(shè)原則設(shè)定課程體系和教學(xué)內(nèi)容，按照企業(yè)“網(wǎng)絡(luò)構(gòu)建”“安全運(yùn)維”“滲透測(cè)試”和“數(shù)據(jù)安全”主要崗位的能力要求，融入基于“CTF競(jìng)賽”的教學(xué)模式，構(gòu)建“基礎(chǔ)素質(zhì)平臺(tái)+專業(yè)基礎(chǔ)平臺(tái)+崗位能力平臺(tái)”三大平臺(tái)的“基于CTF競(jìng)賽教學(xué)模式”的課程體系。

2.課程體系的構(gòu)建

（1）崗位分析

鄭州鐵路職業(yè)技術(shù)學(xué)院信息安全專業(yè)教師團(tuán)隊(duì)深入安恒信息技術(shù)公司、藍(lán)盾信息安全技術(shù)公司、紅亞華宇科技等知名企業(yè)，針對(duì)信息安全相關(guān)就業(yè)崗位技能需求進(jìn)行調(diào)研，并結(jié)合信息安全人才市場(chǎng)需求的調(diào)研結(jié)果，得出五個(gè)需求量最大的信息安全職業(yè)類別，分別是：安全運(yùn)維工程師、滲透測(cè)試工程師、風(fēng)險(xiǎn)評(píng)估工程師、安全加固工程師和代碼審計(jì)工程師。安全運(yùn)維工程師和滲透測(cè)試工程師是大多數(shù)初級(jí)人才的入門崗位，并且對(duì)高職學(xué)歷學(xué)生也有著最為廣泛的需求，因此我們應(yīng)該培養(yǎng)具備完整的攻防知識(shí)體系，掌握漏洞檢測(cè)、滲透測(cè)試、入侵痕跡檢查及取證等技能，具備一定的安全攻防實(shí)戰(zhàn)經(jīng)驗(yàn)、基礎(chǔ)扎實(shí)、動(dòng)手能力強(qiáng)的綜合型、實(shí)用型的安全技術(shù)人才。

（2）信息安全課程體系框架構(gòu)建

根據(jù)國家對(duì)高職層次人才培養(yǎng)的要求，將信息安全與管理專業(yè)的課程體系劃分為“基礎(chǔ)素質(zhì)平臺(tái)”“專業(yè)基礎(chǔ)平臺(tái)”和“崗位能力平臺(tái)”三大平臺(tái)。其中基礎(chǔ)素質(zhì)平臺(tái)和專業(yè)基礎(chǔ)平臺(tái)課程由基礎(chǔ)素質(zhì)課程、專業(yè)基礎(chǔ)知識(shí)課程組成，進(jìn)行基本素質(zhì)和基本技能培養(yǎng)，由政治、體育、大學(xué)英語、計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)、C#程序設(shè)計(jì)、MySQL數(shù)據(jù)庫應(yīng)用、PHP程序設(shè)計(jì)等課程組成；崗位能力平臺(tái)旨在滿足崗位核心能力需要，訓(xùn)練學(xué)生崗位職業(yè)能力和職業(yè)素養(yǎng)。依據(jù)“網(wǎng)絡(luò)構(gòu)建”“安全運(yùn)維”“滲透測(cè)試”和“數(shù)據(jù)安全”四大核心能力類型，制定的崗位能力平臺(tái)課程體系如下圖所示。

（3）信息安全實(shí)踐教學(xué)環(huán)節(jié)的構(gòu)建

加大技能型人才培養(yǎng)的力度，增強(qiáng)企業(yè)的參與度。在第3、第5學(xué)期設(shè)有3周校內(nèi)實(shí)踐教學(xué)環(huán)節(jié)，與企業(yè)合作、共同指導(dǎo)。在第2、第4學(xué)期的假期分別開設(shè)了2周的假期專業(yè)實(shí)踐活動(dòng)。第2學(xué)期的專業(yè)實(shí)踐活動(dòng)為專業(yè)認(rèn)識(shí)實(shí)習(xí)，內(nèi)容為云安全技術(shù)體驗(yàn)，第4學(xué)期的專業(yè)實(shí)踐活動(dòng)為專業(yè)跟崗實(shí)習(xí)，內(nèi)容為信息安全攻防技術(shù)實(shí)戰(zhàn)。在這兩個(gè)環(huán)節(jié)將學(xué)生安排到校外企業(yè)實(shí)習(xí)，校內(nèi)指導(dǎo)教師全程參與監(jiān)管。通過學(xué)生在企業(yè)的體驗(yàn)，拓寬學(xué)生的知識(shí)面，提高學(xué)生綜合素質(zhì)和工作能力。

（4）基于“CTF競(jìng)賽”的教學(xué)模式

將“CTF競(jìng)賽”模式引入日常教學(xué)過程，讓比賽的每一關(guān)引出一個(gè)知識(shí)點(diǎn)，每一級(jí)組成一門專業(yè)課程，通過闖關(guān)—遇到問題—學(xué)習(xí)知識(shí)—解決問題—闖過關(guān)卡的步驟，使學(xué)生在賽中學(xué)、學(xué)中賽，不斷激發(fā)學(xué)生的學(xué)習(xí)積極性和求知欲，達(dá)到提升教學(xué)效果、促進(jìn)教學(xué)改革的目的。

四、結(jié)語

基于“CTF競(jìng)賽”模式的課程體系，旨在激發(fā)學(xué)生的學(xué)習(xí)興趣，提高學(xué)生的學(xué)習(xí)效率，促進(jìn)高職人才培養(yǎng)質(zhì)量的提高。經(jīng)過一年實(shí)踐，取得了初步成效，鄭州鐵路職業(yè)技術(shù)學(xué)院在全國職業(yè)院校技能大賽信息安全賽項(xiàng)中獲得1個(gè)二等獎(jiǎng)，在第一屆河南省高等學(xué)校信息安全與對(duì)抗大賽中獲得2個(gè)一等獎(jiǎng)的好成績(jī)。但信息安全專業(yè)是一個(gè)技術(shù)發(fā)展迅速、有相當(dāng)難度的專業(yè)，課程體系如何設(shè)置、課程界限如何劃分、如何保持課程內(nèi)容實(shí)用性與先進(jìn)性，還有待進(jìn)一步研究和實(shí)踐。

參考文獻(xiàn)：

[1]賈學(xué)明.基于網(wǎng)絡(luò)攻防演練場(chǎng)景教學(xué)的公安類信息安全人才培養(yǎng)模式改革探討[J].信息與電腦，2016，（9）.

[2]張博，南淑萍.基于主動(dòng)式學(xué)習(xí)的信息安全專業(yè)工程實(shí)踐課程改革研究[J].新余學(xué)院學(xué)報(bào)，2015， （8）.