◆林玉香 劉 巖

（南陽(yáng)理工學(xué)院軟件學(xué)院 河南 473000）

企業(yè)驅(qū)動(dòng)模式下的計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估教學(xué)

◆林玉香 劉 巖

（南陽(yáng)理工學(xué)院軟件學(xué)院 河南 473000）

《計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估》是一門理論與實(shí)踐并重的課程，本文將企業(yè)驅(qū)動(dòng)教學(xué)模式和“OBE”理念引入該課程教學(xué)，以企業(yè)需求為導(dǎo)向，通過(guò)明確能力目標(biāo)、探索教學(xué)方法、嘗試校企協(xié)同育人，設(shè)置多元化考核評(píng)價(jià)體系，進(jìn)行了該課程教學(xué)的改革和大膽創(chuàng)新的嘗試，進(jìn)一步提高教學(xué)效果和人才培養(yǎng)質(zhì)量。

企業(yè)驅(qū)動(dòng)；風(fēng)險(xiǎn)評(píng)估；OBE

0 引言

美國(guó)的“棱鏡門”，烏克蘭的電力攻擊，勒索病毒肆虐全球……世界范圍內(nèi)安全事件頻發(fā)，預(yù)警著信息安全形勢(shì)的嚴(yán)峻性，當(dāng)移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和社交網(wǎng)絡(luò)把所有人、機(jī)構(gòu)和物品連接在一起，昭示著信息已經(jīng)無(wú)處不在，同樣信息安全也無(wú)處不在。在廣泛互聯(lián)化的 IT環(huán)境中，大到國(guó)家和社會(huì)，小到機(jī)構(gòu)和個(gè)人都面臨著一個(gè)共同的問(wèn)題，如何保障自身的信息安全問(wèn)題。信息安全已經(jīng)成為各國(guó)關(guān)注的焦點(diǎn)，不僅關(guān)系到用戶的信息和資產(chǎn)風(fēng)險(xiǎn)，也關(guān)系到國(guó)家安全和社會(huì)穩(wěn)定，世界范圍內(nèi)包括我國(guó)對(duì)信息安全專業(yè)人才的需求將不斷增加。為了應(yīng)對(duì)日益復(fù)雜的信息安全形勢(shì)，企業(yè)需要的信息安全人才不僅具有較強(qiáng)的專業(yè)知識(shí)，面對(duì)實(shí)際問(wèn)題的應(yīng)對(duì)能力，而且具有較強(qiáng)的創(chuàng)新創(chuàng)造能力。但是，從目前情況來(lái)看，我國(guó)部分高校信息安全專業(yè)應(yīng)屆畢業(yè)生的整體素質(zhì)與企業(yè)對(duì)人才期望的標(biāo)準(zhǔn)相差甚遠(yuǎn)，很大一部分學(xué)校重視理論知識(shí)忽略信息安全應(yīng)用技能和創(chuàng)新創(chuàng)造能力的培養(yǎng)，導(dǎo)致信息安全方面的應(yīng)用型專業(yè)人才缺乏、嚴(yán)重供需不平衡。

《計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估》是信息安全專業(yè)網(wǎng)絡(luò)安全與攻防專業(yè)方向的核心課程和主干課程，在整個(gè)專業(yè)方向課程群中具有承上啟下作用，在前導(dǎo)課程《信息安全導(dǎo)論》的基礎(chǔ)上，進(jìn)一步強(qiáng)化滲透測(cè)試和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的實(shí)戰(zhàn)操作，從計(jì)算機(jī)網(wǎng)絡(luò)安全的攻擊與防御學(xué)習(xí)入手，兼顧網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)法規(guī)和實(shí)施流程，為后續(xù)課程《Web安全》和并行課程《TCP/IP協(xié)議分析》的開展打下了良好的基礎(chǔ)。

1 問(wèn)題與反思

當(dāng)前在《計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估》教學(xué)過(guò)程中，主要存在以下問(wèn)題：

（1）該課程包含的知識(shí)點(diǎn)繁雜、容量大，一般意義上，該門課程作為專業(yè)基礎(chǔ)課，大綱要求學(xué)生既要了解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估相關(guān)概念、術(shù)語(yǔ)，現(xiàn)有的標(biāo)準(zhǔn)和評(píng)價(jià)體系，又要掌握網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估實(shí)施流程和方案設(shè)計(jì)，還要掌握其所涉及的網(wǎng)絡(luò)安全攻防技術(shù)和滲透測(cè)試技術(shù)，涵蓋的知識(shí)點(diǎn)比較全面，傳統(tǒng)教學(xué)中，教師試圖在有限課程時(shí)間內(nèi)，講解所有知識(shí)點(diǎn)，難以保證教學(xué)質(zhì)量，學(xué)生基本上沒(méi)有時(shí)間去消化吸收，教師與學(xué)生互動(dòng)交流較少，學(xué)生因缺乏有效指導(dǎo)和溝通而產(chǎn)生畏難情緒。

（2）能力目標(biāo)不清晰，缺乏實(shí)際項(xiàng)目的實(shí)踐操作支持。該課程大綱要求重點(diǎn)培養(yǎng)學(xué)生的動(dòng)手實(shí)踐和解決實(shí)際問(wèn)題能力，能夠在課程學(xué)習(xí)結(jié)束后，參與解決實(shí)際的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方案，但在實(shí)際課堂教學(xué)中，過(guò)多偏重于概念和理論，多以傳統(tǒng)性的灌輸教學(xué)為主，與實(shí)踐應(yīng)用聯(lián)系較少，學(xué)生在學(xué)習(xí)過(guò)程中感覺(jué)乏味。

（3）教學(xué)內(nèi)容滯后，與企業(yè)實(shí)際需求脫節(jié)，跟不上行業(yè)內(nèi)技術(shù)的發(fā)展。物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等新技術(shù)發(fā)展迅速，對(duì)于信息安全行業(yè)是新的挑戰(zhàn)和機(jī)遇，對(duì)于信息安全專業(yè)人才提出了更高的要求。而傳統(tǒng)的教學(xué)以教學(xué)大綱和課本為導(dǎo)向，往往滯后于當(dāng)前行業(yè)發(fā)展，沒(méi)有和目前的新興技術(shù)進(jìn)行很好的銜接，這樣就造成畢業(yè)生進(jìn)入工作崗位后，缺乏對(duì)新技術(shù)的了解，不能迅速地適應(yīng)自己的角色。

（4）評(píng)價(jià)考核方式單一，主要以學(xué)期結(jié)束考核為主，沒(méi)有將實(shí)踐考核和平時(shí)能力考核納入到學(xué)生的評(píng)價(jià)體系中，難以真實(shí)反映學(xué)生的學(xué)習(xí)水平和能力水平，降低了學(xué)生的學(xué)習(xí)主動(dòng)性。

2 企業(yè)驅(qū)動(dòng)在《計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估》課程中的應(yīng)用

目前我國(guó)共有50多萬(wàn)家大中型企事業(yè)單位約3500萬(wàn)臺(tái)計(jì)算機(jī)聯(lián)入網(wǎng)絡(luò)，按照每家單位需要一至兩名信息安全管理人員計(jì)算，我國(guó)目前需要的信息安全專業(yè)人才至少是80萬(wàn)。實(shí)際上，這僅包括網(wǎng)絡(luò)運(yùn)維工程師和部分信息安全工程師，而對(duì)信息安全專業(yè)知識(shí)要求比較高的安全評(píng)估、滲透測(cè)試、網(wǎng)絡(luò)安全開發(fā)工程師等專職人員都不包括在內(nèi)。

為了滿足當(dāng)前社會(huì)對(duì)信息安全專業(yè)人才的需求，深入探索“產(chǎn)教融合”的教學(xué)模式，參照 OBE教育模式，將創(chuàng)新型人才培養(yǎng)和企業(yè)驅(qū)動(dòng)融合在一起，優(yōu)化課程內(nèi)容，通過(guò) OBE理念在教學(xué)過(guò)程中的具體實(shí)施，以企業(yè)驅(qū)動(dòng)為導(dǎo)向，與企業(yè)需求和行業(yè)發(fā)展動(dòng)態(tài)接軌，杜絕閉門造車，明確學(xué)生在課程學(xué)習(xí)結(jié)束后應(yīng)達(dá)到的能力目標(biāo)，提高學(xué)生的實(shí)踐能力和動(dòng)手能力。

（1）根據(jù)企業(yè)需求，明確能力目標(biāo)

學(xué)生需要達(dá)到何種專業(yè)能力并不是憑空臆想出來(lái)的，需要有力的事實(shí)依據(jù)，要求對(duì)學(xué)生能力的培養(yǎng)更加貼近企業(yè)實(shí)際需要，在教學(xué)過(guò)程中更加注重對(duì)于學(xué)生實(shí)踐能力的培養(yǎng)。在前程無(wú)憂網(wǎng)、智聯(lián)招聘和中華英才網(wǎng)站上對(duì)多家招聘網(wǎng)絡(luò)安全人才的單位進(jìn)行了統(tǒng)計(jì)，并且對(duì)綠盟科技、啟明星辰等國(guó)內(nèi)多家安全公司也進(jìn)行了調(diào)研，結(jié)果顯示企業(yè)對(duì)信息安全方向人才的需求不僅要具備理論知識(shí)，更看重學(xué)生在日常學(xué)習(xí)過(guò)程中的實(shí)踐經(jīng)驗(yàn)和動(dòng)手操作能力。根據(jù)調(diào)研，行業(yè)內(nèi)與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估知識(shí)相關(guān)聯(lián)的的崗位有網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估師，Web滲透工程師，信息安全研究員，網(wǎng)絡(luò)安全測(cè)評(píng)師等，匯總分析這些崗位相關(guān)能力要求為：了解國(guó)家信息安全相關(guān)政策標(biāo)準(zhǔn)，了解信息安全風(fēng)險(xiǎn)評(píng)估流程、等級(jí)保護(hù)管理體系、信息安全管理體系；熟悉網(wǎng)絡(luò)安全架構(gòu)，熟悉滲透測(cè)試流程、方法，掌握常見(jiàn)滲透測(cè)試工具，了解常見(jiàn)漏洞、漏洞利用方法；熟悉常見(jiàn)網(wǎng)絡(luò)安全攻擊和防御辦法。

（2）以企業(yè)驅(qū)動(dòng)為導(dǎo)向，選擇多樣化的授課方法

由于計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估課程包含知識(shí)比較多，學(xué)生知識(shí)儲(chǔ)備和學(xué)習(xí)接受能力參差不齊，選擇合適的授課方法尤為重要，一旦選擇不當(dāng)，學(xué)生很容易產(chǎn)生畏難情緒和厭學(xué)心理，因此，采取了多種授課方法相結(jié)合，根據(jù)教學(xué)內(nèi)容的不同，靈活運(yùn)用。

對(duì)于操作性比較強(qiáng)的內(nèi)容可采取模塊化教學(xué)和“任務(wù)驅(qū)動(dòng)”教學(xué)法配合使用，首先將相應(yīng)內(nèi)容按照知識(shí)關(guān)聯(lián)程度劃分為相應(yīng)的專題模塊，然后根據(jù)具體模塊內(nèi)容，把綜合性知識(shí)點(diǎn)分成若干個(gè)關(guān)聯(lián)的小知識(shí)點(diǎn)，也就是小任務(wù)，以這些小任務(wù)為載體，教學(xué)內(nèi)容巧妙地隱含在每個(gè)任務(wù)之中，由學(xué)生發(fā)現(xiàn)問(wèn)題，分析問(wèn)題，教師點(diǎn)撥啟發(fā)，進(jìn)而解決問(wèn)題。對(duì)于理論性比較強(qiáng)的內(nèi)容，可以選擇情景化教學(xué)和案例教學(xué)相結(jié)合的方式，挖掘并設(shè)計(jì)和教學(xué)內(nèi)容關(guān)聯(lián)性比較強(qiáng)的案例，進(jìn)行實(shí)例教學(xué)，盡可能將晦澀難懂的理論知識(shí)，以通俗易懂比較直觀的方式展示出來(lái)，讓學(xué)生更易理解和接受。

（3）以企業(yè)驅(qū)動(dòng)為導(dǎo)向，建立企業(yè)導(dǎo)師制

打破傳統(tǒng)的課程教學(xué)時(shí)間和地方的局限性，重構(gòu)基于實(shí)際工作崗位能力需求的教學(xué)體系，實(shí)現(xiàn)課程內(nèi)容與企業(yè)接軌。同時(shí)積極吸納企業(yè)專業(yè)技術(shù)人員共同進(jìn)行實(shí)踐課程和實(shí)訓(xùn)課程的教學(xué)，采用項(xiàng)目模塊化教學(xué)，將課堂延伸到企業(yè)，將工程實(shí)踐項(xiàng)目引入課堂，實(shí)現(xiàn)校企協(xié)同育人，進(jìn)一步調(diào)動(dòng)學(xué)生主動(dòng)學(xué)習(xí)的熱情。

（4）以企業(yè)驅(qū)動(dòng)為導(dǎo)向，制定合理的考核評(píng)價(jià)體系

對(duì)學(xué)生考核要體現(xiàn)科學(xué)性，通過(guò)層次化的管理，使教師能夠更好地實(shí)施教學(xué)計(jì)劃，學(xué)生能夠在有序而又活躍的教學(xué)環(huán)境中學(xué)習(xí)。對(duì)學(xué)生考核方式可以采取過(guò)程考核和目標(biāo)考核兩種，建立多樣化的課程考核辦法，根據(jù)不同教學(xué)內(nèi)容特點(diǎn)，采取不同的考核辦法。

考核方式要體現(xiàn)科學(xué)性和公平性，必須要多樣化，基于企業(yè)驅(qū)動(dòng)的教學(xué)模式將部分學(xué)習(xí)任務(wù)放在了課余時(shí)間，以參與項(xiàng)目的形式來(lái)學(xué)習(xí)，以小組協(xié)作學(xué)習(xí)和教師答疑解惑為主，強(qiáng)調(diào)學(xué)生的能力培養(yǎng)和課堂的參與度，所以傳統(tǒng)單一的考核方式不能采用，應(yīng)該把學(xué)生的積極配合，課堂表現(xiàn)，解決實(shí)際問(wèn)題能力和創(chuàng)新能力加入考核的要素，引入多元的過(guò)程化的考核體系來(lái)綜合反映學(xué)生的能力。

3 結(jié)語(yǔ)

以企業(yè)需求為導(dǎo)向，讓處于一線的企業(yè)專家工程師參與學(xué)生培養(yǎng)，通過(guò)大量的實(shí)際項(xiàng)目和案例，使學(xué)生能夠真正體驗(yàn)到“做中學(xué)”的樂(lè)趣，對(duì)本專業(yè)實(shí)訓(xùn)實(shí)踐教學(xué)活動(dòng)的開展具有極大的促進(jìn)作用，提升了學(xué)生的崗位實(shí)踐能力和就業(yè)競(jìng)爭(zhēng)力，培養(yǎng)了學(xué)生的獨(dú)立思考和創(chuàng)新能力，更有利于實(shí)現(xiàn)應(yīng)用型高校人才培養(yǎng)與企業(yè)需求的無(wú)縫對(duì)接。

[1] 邱劍鋒，朱二周，周勇，仲紅．OBE 教育模式下的操作系統(tǒng)課程教學(xué)改革[J]．計(jì)算機(jī)教育，2015．

[2] 王莉莉，陳德運(yùn)，唐遠(yuǎn)新．計(jì)算機(jī)程序設(shè)計(jì)課程翻轉(zhuǎn)課堂的探索與實(shí)踐[J]．計(jì)算機(jī)教育，2015．

[3] 李燕君．翻轉(zhuǎn)課堂模式下的計(jì)算機(jī)網(wǎng)絡(luò)課程教學(xué)[J]．計(jì)算機(jī)教育，2014．

[4] 田秀霞，彭源．創(chuàng)新實(shí)踐項(xiàng)目驅(qū)動(dòng)的信息安全專業(yè)教學(xué)改革[J]．計(jì)算機(jī)教育，2015．

[5] 張博，南淑萍．基于主動(dòng)式學(xué)習(xí)的信息安全專業(yè)工程實(shí)踐課程改革研究[J]．新余學(xué)院學(xué)報(bào)，2015．