高職信息安全技術(shù)應(yīng)用專業(yè)課程教學(xué)改革探索
——以網(wǎng)絡(luò)攻防與實(shí)踐課程為例

劉 坤，庾 佳

（蘇州健雄職業(yè)技術(shù)學(xué)院 軟件與服務(wù)外包學(xué)院，江蘇 太倉(cāng) 215411）

近年來(lái)，隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日益突出。利用網(wǎng)絡(luò)從事犯罪活動(dòng)的案件也越來(lái)越多，使個(gè)人利益和國(guó)家利益都受到嚴(yán)重威脅。因此當(dāng)前和今后一個(gè)時(shí)期，國(guó)家網(wǎng)絡(luò)空間安全工作的戰(zhàn)略任務(wù)是堅(jiān)定捍衛(wèi)網(wǎng)絡(luò)空間主權(quán)，推進(jìn)網(wǎng)絡(luò)空間和平、安全、開放、合作、有序發(fā)展，實(shí)現(xiàn)網(wǎng)絡(luò)強(qiáng)國(guó)的戰(zhàn)略目標(biāo)[1]。為了維護(hù)網(wǎng)絡(luò)正常運(yùn)行，確保網(wǎng)絡(luò)空間安全，需要大量網(wǎng)絡(luò)安全人才從事網(wǎng)絡(luò)安全技術(shù)工作，這就對(duì)各類院校培養(yǎng)高素質(zhì)網(wǎng)絡(luò)安全人才提出了更高的要求。本文擬從職業(yè)崗位需求、人才核心素養(yǎng)和職業(yè)技能三個(gè)方面對(duì)高職院校信息安全技術(shù)應(yīng)用專業(yè)課程體系結(jié)構(gòu)進(jìn)行深入分析，結(jié)合網(wǎng)絡(luò)攻防與實(shí)踐課程實(shí)施提出課程教學(xué)改革方法和途徑。

一、信息安全技術(shù)應(yīng)用專業(yè)課程體系構(gòu)建

信息安全技術(shù)應(yīng)用專業(yè)主要根據(jù)“崗位-核心素養(yǎng)-職業(yè)技能”的原則構(gòu)建課程體系，按照企業(yè)“網(wǎng)絡(luò)構(gòu)建”“安全運(yùn)維”“滲透測(cè)試”“應(yīng)用服務(wù)”等主要崗位能力要求設(shè)置課程內(nèi)容。目前與信息安全專業(yè)密切相關(guān)的崗位主要有網(wǎng)絡(luò)安全運(yùn)維工程師、滲透測(cè)試工程師、風(fēng)險(xiǎn)評(píng)估工程師、安全加固工程師和代碼審計(jì)工程師[2]，其中網(wǎng)絡(luò)安全運(yùn)維工程師和滲透測(cè)試工程師是大多數(shù)初級(jí)人才入門崗位，對(duì)高職畢業(yè)生需求最為廣泛，適合信息安全技術(shù)應(yīng)用專業(yè)學(xué)生就業(yè)。因此明確該專業(yè)的人才培養(yǎng)目標(biāo)是：具備良好職業(yè)道德，掌握完整的網(wǎng)絡(luò)攻防知識(shí)體系及漏洞檢測(cè)、滲透測(cè)試等技能，具備一定的安全攻防實(shí)戰(zhàn)經(jīng)驗(yàn)，基礎(chǔ)扎實(shí)、動(dòng)手能力強(qiáng)的綜合型、實(shí)用型安全技術(shù)人才。

網(wǎng)絡(luò)攻防與實(shí)踐課程作為信息安全技術(shù)專業(yè)的核心課程之一，依據(jù)人才培養(yǎng)方案，對(duì)接崗位需求，圍繞典型網(wǎng)絡(luò)安全事件案例，采用“以學(xué)生為中心，結(jié)合信息時(shí)代教與學(xué)特征”的設(shè)計(jì)思路，以網(wǎng)絡(luò)黑客、電信網(wǎng)絡(luò)詐騙、侵犯公民個(gè)人隱私等違法犯罪行為案例為切入點(diǎn)，組織訓(xùn)練網(wǎng)絡(luò)安全專業(yè)技能，涵蓋了網(wǎng)絡(luò)協(xié)議分析、網(wǎng)絡(luò)掃描、網(wǎng)絡(luò)嗅探、數(shù)據(jù)庫(kù)攻擊與加固、Web滲透與加固技術(shù)、系統(tǒng)加固等方面要求的知識(shí)和技能點(diǎn)，以學(xué)生為主體，對(duì)課堂教學(xué)進(jìn)行改革。課崗賽證融合教學(xué)內(nèi)容如圖1所示。

圖1 課崗賽證融合教學(xué)內(nèi)容

二、信息安全技術(shù)應(yīng)用專業(yè)課程教學(xué)改革措施

為了強(qiáng)化學(xué)生的實(shí)踐能力，教學(xué)團(tuán)隊(duì)自主研發(fā)了網(wǎng)絡(luò)攻防與滲透實(shí)驗(yàn)教學(xué)平臺(tái)，該平臺(tái)包含豐富的訓(xùn)練內(nèi)容，可以支撐信息安全技術(shù)應(yīng)用專業(yè)課程體系中的多門課程，這里以網(wǎng)絡(luò)攻防與實(shí)踐課程項(xiàng)目五——“黑客入侵檢測(cè)與防范”為例，說(shuō)明平臺(tái)訓(xùn)練內(nèi)容對(duì)課程教學(xué)內(nèi)容的支撐。課程教學(xué)團(tuán)隊(duì)針對(duì)企業(yè)網(wǎng)絡(luò)安全員崗位需求，以及本地區(qū)網(wǎng)絡(luò)安全現(xiàn)狀，對(duì)原有教學(xué)內(nèi)容進(jìn)行了提升和重組，基于課崗賽證融合理念選取課程內(nèi)容，采用項(xiàng)目任務(wù)式架構(gòu)組織教學(xué)內(nèi)容，立足學(xué)情分析實(shí)施“基于情境自主探究+案例教學(xué)”的教學(xué)策略，按照企業(yè)滲透測(cè)試規(guī)范和創(chuàng)新要求進(jìn)行授課[5]，采用PBL（基于項(xiàng)目學(xué)習(xí)與問(wèn)題學(xué)習(xí)）、啟發(fā)式、探究式、討論式等教學(xué)模式，將信息安全意識(shí)與素養(yǎng)教育、《網(wǎng)絡(luò)安全法》等法律法規(guī)意識(shí)融入項(xiàng)目任務(wù)學(xué)習(xí)過(guò)程，使價(jià)值塑造、知識(shí)傳授與技能訓(xùn)練融為一體，對(duì)培養(yǎng)德技并修的技能型網(wǎng)絡(luò)安全人才起到較好的支撐作用。

（一）依托網(wǎng)絡(luò)安全案例，融思政引任務(wù)

堅(jiān)持立德樹人的根本目標(biāo)，結(jié)合網(wǎng)絡(luò)安全事件，融思政引任務(wù)，如圖2所示。結(jié)合網(wǎng)絡(luò)黑客、電信網(wǎng)絡(luò)詐騙、侵犯公民個(gè)人隱私等違法行為案例，融入網(wǎng)絡(luò)安全法、個(gè)人信息保護(hù)法等法律法規(guī)，增強(qiáng)學(xué)生的網(wǎng)絡(luò)安全防護(hù)意識(shí)、懂法守法意識(shí)；通過(guò)學(xué)習(xí)習(xí)近平總書記關(guān)于建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)、網(wǎng)絡(luò)空間安全等系列重要講話，激發(fā)學(xué)生的愛(ài)國(guó)情懷，增強(qiáng)學(xué)生的責(zé)任感和使命感，從而激發(fā)學(xué)生的學(xué)習(xí)動(dòng)力和熱情，達(dá)到預(yù)期的學(xué)習(xí)目標(biāo)。思政元素的融入有助于學(xué)生樹立正確的世界觀、人生觀和價(jià)值觀，形成健全人格，實(shí)現(xiàn)自身的全面發(fā)展。

圖2 結(jié)合網(wǎng)絡(luò)安全案例，融思政引任務(wù)

（二）模擬仿真，角色扮演

模擬場(chǎng)景學(xué)技能，在課前初步確定攻防方案的基礎(chǔ)上，不斷完善方案，“做中學(xué)”“做中教”，在網(wǎng)絡(luò)攻防虛擬仿真平臺(tái)中復(fù)原漏洞，分“角色”模擬實(shí)現(xiàn)攻擊與防范，來(lái)驗(yàn)證方案的可行性，通過(guò)反復(fù)修改方案和攻防實(shí)施步驟的過(guò)程，幫助學(xué)生熟練掌握Web滲透技術(shù)和防范方法。針對(duì)教學(xué)重難點(diǎn)，引導(dǎo)學(xué)生自主探究，查找漏洞，分析漏洞存在的原因。利用互聯(lián)網(wǎng)查找攻擊與防范措施，并在虛擬仿真平臺(tái)實(shí)施驗(yàn)證測(cè)試，最后分組演示匯報(bào)，教師點(diǎn)評(píng)總結(jié)，從而幫助學(xué)生理解Web漏洞原理，學(xué)會(huì)處置入侵的方法和技術(shù)，突破教學(xué)難點(diǎn)。

（三）實(shí)戰(zhàn)訓(xùn)練，任務(wù)闖關(guān)，激發(fā)學(xué)習(xí)興趣

在教學(xué)過(guò)程中，始終堅(jiān)持以學(xué)生為中心，課程團(tuán)隊(duì)精心設(shè)計(jì)任務(wù)闖關(guān)卡，學(xué)生需按照“黑客”攻擊步驟拿到數(shù)據(jù)填寫信息后，按照“管理員”的身份處理問(wèn)題，修補(bǔ)漏洞，加固網(wǎng)站，大大激發(fā)了學(xué)生學(xué)習(xí)的主動(dòng)性和積極性，分析問(wèn)題、解決問(wèn)題能力和溝通能力明顯增強(qiáng)。對(duì)于實(shí)戰(zhàn)項(xiàng)目，按照企業(yè)滲透測(cè)試標(biāo)準(zhǔn)編寫實(shí)訓(xùn)報(bào)告模板，利用模擬環(huán)境真實(shí)再現(xiàn)電子商務(wù)網(wǎng)站滲透測(cè)試流程，貼近企業(yè)滲透測(cè)試工程師工作崗位，豐富學(xué)生實(shí)戰(zhàn)經(jīng)驗(yàn)。

（四）線上線下結(jié)合，多元化評(píng)價(jià)

線上線下活動(dòng)貫穿“案例分析—虛實(shí)結(jié)合”的教學(xué)方式，擴(kuò)展了傳統(tǒng)課堂教與學(xué)的空間，采用虛擬仿真軟件、微課、工單任務(wù)等信息化手段突出重點(diǎn)內(nèi)容，通過(guò)大數(shù)據(jù)平臺(tái)學(xué)情分析、動(dòng)畫、案例分析等攻克難點(diǎn)問(wèn)題，在線課程、移動(dòng)端APP學(xué)習(xí)通、班級(jí)QQ群等多工具并用，溝通無(wú)處不在，重構(gòu)傳統(tǒng)課堂教學(xué)，教學(xué)過(guò)程得以優(yōu)化，“線上+線下”的多元化評(píng)價(jià)方式如表1所示。

表1 多元化評(píng)價(jià)方式

三、信息安全技術(shù)應(yīng)用專業(yè)課程教學(xué)改革效果分析

（一）學(xué)習(xí)效果顯著提升

通過(guò)實(shí)施案例教學(xué)、情境教學(xué)，學(xué)生掌握了SQL注入漏洞、XSS漏洞、文件上傳漏洞、文件包含漏洞原理知識(shí)，提升了漏洞挖掘、漏洞利用、修補(bǔ)漏洞等技能，增強(qiáng)了網(wǎng)絡(luò)安全意識(shí)，具備了良好的職業(yè)道德，懂得了網(wǎng)絡(luò)安全法等法律法規(guī)，綜合利用網(wǎng)站漏洞入侵與防范能力顯著提升。通過(guò)課程學(xué)習(xí)，學(xué)生將學(xué)習(xí)成果進(jìn)行完善后參加校創(chuàng)新創(chuàng)業(yè)比賽獲得了二等獎(jiǎng)、三等獎(jiǎng)，同時(shí)獲批省實(shí)踐創(chuàng)新訓(xùn)練項(xiàng)目。通過(guò)創(chuàng)新驅(qū)動(dòng)的課程教學(xué)，學(xué)生的創(chuàng)新意識(shí)和能力得到了提升。

（二）教學(xué)資源不斷豐富

依托課程改革教學(xué)團(tuán)隊(duì)精心編寫了配套教材《網(wǎng)絡(luò)攻防與實(shí)踐（第2版）》，并獲國(guó)家十三五規(guī)劃教材，以院級(jí)優(yōu)秀在線課程網(wǎng)絡(luò)攻防與實(shí)踐為支撐，教師團(tuán)隊(duì)制作了動(dòng)畫微課6個(gè)，微課視頻22個(gè)，通過(guò)學(xué)習(xí)通APP推送給學(xué)生，引發(fā)學(xué)生進(jìn)行探究式自主學(xué)習(xí)，使網(wǎng)絡(luò)教學(xué)與移動(dòng)教學(xué)得到了廣泛應(yīng)用并覆蓋全部?jī)?nèi)容。通過(guò)動(dòng)畫形式展示攻防過(guò)程，讓學(xué)生掌握Web滲透與加固相關(guān)知識(shí)，以生動(dòng)形象的方式激發(fā)學(xué)生學(xué)習(xí)興趣，提高教學(xué)效率。

（三）特色創(chuàng)新

融合課崗賽證的課程改革針對(duì)國(guó)家“十三五”期間“互聯(lián)網(wǎng)+”、電子政務(wù)、智慧城鎮(zhèn)和教育信息化等領(lǐng)域信息安全崗位人才需求，按照《高等職業(yè)教育電子信息類專業(yè)指導(dǎo)規(guī)范II》中信息安全與管理專業(yè)建設(shè)標(biāo)準(zhǔn)，通過(guò)崗賽證融合豐富完善學(xué)習(xí)領(lǐng)域課程內(nèi)容，使人才培養(yǎng)更貼近崗位實(shí)際，從而提升專業(yè)人才培養(yǎng)服務(wù)社會(huì)和行業(yè)發(fā)展的能力。

通過(guò)創(chuàng)新項(xiàng)目，師生共同完成具有自主知識(shí)產(chǎn)權(quán)的網(wǎng)絡(luò)攻防與滲透訓(xùn)練教學(xué)平臺(tái)。該教學(xué)平臺(tái)提供網(wǎng)絡(luò)常用攻擊方式，同時(shí)提供具有多個(gè)漏洞的綜合網(wǎng)站電子商務(wù)網(wǎng)站環(huán)境，真實(shí)還原復(fù)現(xiàn)漏洞場(chǎng)景，學(xué)生可以在平臺(tái)按真實(shí)案例實(shí)施步驟進(jìn)行操作，模擬攻擊，有效提升實(shí)戰(zhàn)能力。

創(chuàng)設(shè)網(wǎng)絡(luò)安全案例場(chǎng)景，全面滲透思政育人。教學(xué)中通過(guò)“今日說(shuō)法”真實(shí)網(wǎng)絡(luò)安全案例，宣講普及網(wǎng)絡(luò)安全法律法規(guī)，潛移默化地培養(yǎng)學(xué)生樹立正確的網(wǎng)絡(luò)安全觀、國(guó)家網(wǎng)絡(luò)安全與網(wǎng)絡(luò)主權(quán)意識(shí)，增強(qiáng)學(xué)生的愛(ài)國(guó)情懷、責(zé)任感和使命感。以《網(wǎng)絡(luò)安全法》為導(dǎo)向進(jìn)行普法教育，培養(yǎng)學(xué)生的法律意識(shí)和職業(yè)道德準(zhǔn)則。

為了提高信息安全技術(shù)應(yīng)用專業(yè)學(xué)生技能水平，貫徹三教改革理念，教學(xué)團(tuán)隊(duì)自主設(shè)計(jì)實(shí)現(xiàn)了網(wǎng)絡(luò)攻防與滲透實(shí)驗(yàn)教學(xué)平臺(tái)，有效提升了學(xué)生的實(shí)戰(zhàn)能力，結(jié)合網(wǎng)絡(luò)攻防與實(shí)踐教學(xué)實(shí)施過(guò)程，融入課程思政、信息安全法律法規(guī)、1+X考證、職業(yè)技能比賽等內(nèi)容，有效培養(yǎng)了學(xué)生的自主學(xué)習(xí)能力和創(chuàng)新精神，對(duì)信息安全技術(shù)應(yīng)用專業(yè)其他課程教學(xué)改革具有很好的借鑒和推廣作用。