摘要：當(dāng)前時(shí)代背景下，國(guó)家提出了關(guān)于新時(shí)代教育事業(yè)發(fā)展的新理念。在此指導(dǎo)下，目前國(guó)內(nèi)高校都在積極探索人才培養(yǎng)機(jī)制、培養(yǎng)模式等方面的改革。“以賽促學(xué)”應(yīng)用于中等職業(yè)學(xué)校的教學(xué)中．其在培養(yǎng)學(xué)生的動(dòng)手能力、綜合應(yīng)用能力、激發(fā)學(xué)生學(xué)習(xí)興趣、調(diào)動(dòng)教師工作積極性等方面都起到了很好的促進(jìn)作用。文章以“網(wǎng)絡(luò)安全攻防技術(shù)”課程為例，研究以培養(yǎng)應(yīng)用型人才為目的的中職院校如何將“以賽促學(xué)”模式引入“網(wǎng)絡(luò)安全攻防技術(shù)”課程教學(xué)。

關(guān)鍵詞：以賽促學(xué)；網(wǎng)絡(luò)安全；教學(xué)模式

中圖法分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

當(dāng)前的中職教育按照“職業(yè)標(biāo)準(zhǔn)”與“關(guān)鍵技能”的規(guī)定，將相關(guān)的專業(yè)規(guī)范與專業(yè)能力需求納入培養(yǎng)目標(biāo)中，對(duì)課程進(jìn)行了設(shè)計(jì)。通過(guò)增加競(jìng)賽內(nèi)容，結(jié)合學(xué)生特點(diǎn)，制訂適合企業(yè)需要的課程內(nèi)容［１］ 。在教學(xué)中加入實(shí)踐性的內(nèi)容，以滿足學(xué)生的個(gè)性化學(xué)習(xí)需要，使每一個(gè)人都能獲得知識(shí)。通過(guò)將教學(xué)與技能競(jìng)賽相結(jié)合，以提高教學(xué)質(zhì)量，從而為企業(yè)培養(yǎng)出更多、更好、更專業(yè)以及更適合于企業(yè)發(fā)展需要的計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)人才。同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)產(chǎn)業(yè)正處在快速成長(zhǎng)的時(shí)期，透過(guò)競(jìng)賽的方式，讓學(xué)生能夠及時(shí)地掌握產(chǎn)業(yè)動(dòng)態(tài)與工作動(dòng)向。本文以“網(wǎng)絡(luò)安全攻防技術(shù)”為案例，從實(shí)操競(jìng)賽和理論競(jìng)賽２ 個(gè)方面來(lái)進(jìn)行“以賽促學(xué)”教學(xué)模式的設(shè)計(jì)［２］ 。

１ “網(wǎng)絡(luò)安全攻防技術(shù)” 課程實(shí)操競(jìng)賽設(shè)計(jì)

以“網(wǎng)絡(luò)安全攻防技術(shù)”課程內(nèi)容中的“ＳＱＬ 注入漏洞利用與防御”任務(wù)為例，來(lái)進(jìn)行任務(wù)設(shè)計(jì)。

１．１ 制定教學(xué)目標(biāo)

１．１．１ 知識(shí)目標(biāo)

掌握ＳＱＬ 滲入式攻擊的基礎(chǔ)知識(shí)；了解ＳＱＬ 滲入式攻擊的基本原理；掌握ＳＱＬ 滲入式攻擊的具體流程；學(xué)習(xí)ＳＱＬ 滲入式攻擊的防護(hù)技巧。

１．１．２ 能力目標(biāo)

了解ＳＱＬ 滲入式攻擊的基本思路；掌握通過(guò)ＳＱＬ注入滲透式攻擊獲取信息；了解如何預(yù)防ＳＱＬ 注入滲透式攻擊網(wǎng)站的對(duì)策。

１．１．３ 核心價(jià)值觀

加強(qiáng)對(duì)信息化建設(shè)的掌控；保障網(wǎng)絡(luò)安全的攻防能力。

１．２ 設(shè)計(jì)教學(xué)過(guò)程

１．２．１ 課題導(dǎo)入

任務(wù)場(chǎng)景：通過(guò)對(duì)企業(yè)網(wǎng)站的安全性檢測(cè)，發(fā)現(xiàn)該站點(diǎn)存在ＳＱＬ 注入漏洞，易被黑客入侵，從而造成數(shù)據(jù)庫(kù)信息的泄露。為了更好地了解和解決這個(gè)問(wèn)題，使用ＤＶＷＡ 來(lái)重現(xiàn)場(chǎng)景。

競(jìng)賽目標(biāo)：了解ＳＱＬ 滲入式攻擊的基本原理；掌握ＳＱＬ 滲入式攻擊的具體實(shí)施流程；學(xué)習(xí)ＳＱＬ 滲入式攻擊的防護(hù)技巧。

１．２．２ 賽前準(zhǔn)備

課堂ＳＱＬ 注入滲透測(cè)試和安全防護(hù)競(jìng)賽內(nèi)容。

（１）競(jìng)賽項(xiàng)目一：知識(shí)答辯比賽的主要內(nèi)容有：ＳＱＬ 注入的滲透攻擊；ＳＱＬ注入滲透式攻擊的一般思想；如何阻止ＳＱＬ 注入滲入式攻擊。

比賽規(guī)則：參賽選手按照賽前所準(zhǔn)備的３ 個(gè)問(wèn)題，選出１ 個(gè)問(wèn)題，搜集材料，并將其制作成展示報(bào)告。評(píng)委收集了學(xué)生的發(fā)言，然后根據(jù)他們的回答和思考方式，給他們打分。

（２）競(jìng)賽項(xiàng)目二：基礎(chǔ)實(shí)訓(xùn)比賽項(xiàng)目有：ＤＶＷＡ 滲透示范系統(tǒng)的安裝與部署；把ＤＶＷＡ 滲透展示系統(tǒng)的安全性設(shè)為“ Ｌｏｗ（低）”。

比賽規(guī)則：考生自行完成比賽，完成比賽的成績(jī)將以截屏的形式保存到考卷中。評(píng)委會(huì)根據(jù)評(píng)分表格來(lái)給他們打分。

１．２．３ 團(tuán)隊(duì)商討

團(tuán)隊(duì)成員比賽的預(yù)備程序：學(xué)習(xí)ＳＱＬ 注入攻擊的歷史，形成原因，了解ＳＱＬ 注入漏洞的危害；理解ＳＱＬ注入攻擊的一般思路，以及如何利用ＳＱＬ 注入的弱點(diǎn)進(jìn)行攻擊；掌握ＳＱＬ 注入攻擊的基本思想和方法，以達(dá)到防范ＳＱＬ 注入攻擊的目的；構(gòu)建ＤＶＷＡ 滲透展示系統(tǒng)，并應(yīng)用該系統(tǒng)對(duì)ＳＱＬ 滲透注入進(jìn)行試驗(yàn)；把ＤＶＷＡ 滲透式展示系統(tǒng)的安全性設(shè)置為“低”，這樣就可以使用ＳＱＬ 注入式滲透測(cè)試來(lái)獲取目前的連接；通過(guò)ＤＶＷＡ 系統(tǒng)，可以獲取當(dāng)前的用戶權(quán)限，獲取當(dāng)前數(shù)據(jù)庫(kù)的版本信息，獲?。模郑祝?數(shù)據(jù)庫(kù)中的表格，查看用戶表中的列，獲取數(shù)據(jù)庫(kù)中的所有賬戶和密碼；對(duì)級(jí)別為“Ｌｏｗ （低）”的ＤＶＷＡ 網(wǎng)站源代碼進(jìn)行分析，并對(duì)其產(chǎn)生的ＳＱＬ 注入問(wèn)題進(jìn)行分析；解決競(jìng)賽中的問(wèn)題，為班級(jí)競(jìng)賽做好準(zhǔn)備。

１．２．４ 成果展示與競(jìng)賽

每位學(xué)生按照“知識(shí)答辯”模塊所選內(nèi)容，分別進(jìn)行現(xiàn)場(chǎng)答辯，每名答辯時(shí)間為３ ～５ 分鐘；按照“基礎(chǔ)實(shí)訓(xùn)”模塊的要求，每位學(xué)生建立ＤＶＷＡ 滲透示范系統(tǒng)，并設(shè)定了“Ｌｏｗ （低）”的安全等級(jí)；每１ 個(gè)小組，都會(huì)根據(jù)比賽中的“團(tuán)隊(duì)合作”單元，進(jìn)行分工，在“團(tuán)體合作”模塊中，共同完成６ 道題，并根據(jù)競(jìng)賽規(guī)則，將競(jìng)賽成績(jī)提交；競(jìng)賽結(jié)束后，根據(jù)評(píng)分系統(tǒng)對(duì)競(jìng)賽的結(jié)果進(jìn)行評(píng)估，并給出各小組和個(gè)人的得分，并獎(jiǎng)勵(lì)優(yōu)秀的團(tuán)隊(duì)和個(gè)人。

１．２．５ 課后總結(jié)

ＳＱＬ 注入的思想是：對(duì)ＳＱＬ 注入點(diǎn)的發(fā)現(xiàn)；定義企業(yè)服務(wù)器的分類和后臺(tái)管理數(shù)據(jù)庫(kù)的分類； ＳＱＬ 注入攻擊根據(jù)服務(wù)器特點(diǎn)和數(shù)據(jù)庫(kù)技術(shù)特點(diǎn)來(lái)進(jìn)行。

ＳＱＬ 注入是當(dāng)今ＰＨＰ 應(yīng)用軟件中最為普遍的一個(gè)問(wèn)題。若開(kāi)發(fā)人員同時(shí)犯２ 次錯(cuò)誤，則會(huì)導(dǎo)致ＳＱＬ注入攻擊：未過(guò)濾輸入數(shù)據(jù)；未將傳送至資料庫(kù)的數(shù)據(jù)轉(zhuǎn)義（轉(zhuǎn)義輸出）。這２ 個(gè)重要的錯(cuò)誤都是必須要注意的，這可以降低ＳＱＬ 注入攻擊程序中的缺陷。

為了防止ＰＨＰ 站點(diǎn)出現(xiàn)ＳＱＬ 注入的問(wèn)題，可以采取以下幾種方法。

更改接收方法：更改接收模式，采用Ｃｏｏｋｉｅ 和Ｐｏｓｔ 兩種提交模式，Ｃｏｏｋｉｅ 和Ｐｏｓｔ 都是在數(shù)據(jù)庫(kù)中提交，不允許黑客進(jìn)入，從而避免ＳＱＬ 語(yǔ)句的惡意查詢；使用ｍｙｓｑｌｉ 的ｐｒｅｐａｒｅ 語(yǔ)句，使用１ 個(gè)參數(shù)化的查詢語(yǔ)句，將這些ＳＱＬ 語(yǔ)句從數(shù)據(jù)庫(kù)服務(wù)器中分離出來(lái)，從而使攻擊者無(wú)法向ＳＱＬ 中輸入惡意ＳＱＬ；使用ＰＤＯ來(lái)解決ＳＱＬ 注入， 在ｐｈｐ５． ３． ６ 以后， ＰＤＯ 不會(huì)向ｍｙｓｑｌｓｅｒｖｅｒ 發(fā)送本地ＳＱＬ 程序及語(yǔ)句，也不會(huì)在本地進(jìn)行轉(zhuǎn)義。

１．２．６ 項(xiàng)目鞏固與提高練習(xí)

主要包括：在“安全級(jí)別”為“Ｈｉｇｈ （高）”的情況下，查看當(dāng)前連接的數(shù)據(jù)庫(kù)名稱、用戶權(quán)限、版本信息，查看ｄｖｗａ 數(shù)據(jù)庫(kù)里面的表，獲得該網(wǎng)站數(shù)據(jù)庫(kù)中的全部賬號(hào)與密碼。

１．３ 課程項(xiàng)目評(píng)價(jià)體系

根據(jù)競(jìng)賽知識(shí)點(diǎn)、競(jìng)賽規(guī)則、評(píng)分規(guī)則等，結(jié)合技術(shù)規(guī)程、評(píng)分細(xì)則等，對(duì)課堂進(jìn)行評(píng)估［３］ ，主要內(nèi)容有前期準(zhǔn)備、賽項(xiàng)完成情況、團(tuán)隊(duì)合作情況、產(chǎn)品展示等。同時(shí)，作為裁判的學(xué)員，根據(jù)裁判員的規(guī)則進(jìn)行評(píng)分。參加評(píng)判員的學(xué)生從裁判的視角，觀察到其他學(xué)生的工作情況，并指出哪些方面有待提高。根據(jù)學(xué)生在課堂競(jìng)爭(zhēng)中的表現(xiàn)，結(jié)合課堂教學(xué)各個(gè)方面的因素，設(shè)計(jì)出一套適合自己的班級(jí)評(píng)估系統(tǒng)。

１．４ 項(xiàng)目設(shè)計(jì)要點(diǎn)

１．４．１ 明確教學(xué)任務(wù)和教學(xué)要求在教學(xué)全過(guò)程中，采用“以賽促學(xué)”的教學(xué)方式，在課題導(dǎo)入、賽前準(zhǔn)備、團(tuán)隊(duì)討論等環(huán)節(jié)，指導(dǎo)學(xué)生有針對(duì)性、系統(tǒng)地學(xué)習(xí)，所以在設(shè)計(jì)教學(xué)開(kāi)始時(shí)應(yīng)從教學(xué)目標(biāo)、教學(xué)內(nèi)容等方面進(jìn)行明確。

在準(zhǔn)備“ＳＱＬ 注入滲入式測(cè)試與安全保護(hù)”的競(jìng)賽中，教師首先對(duì)ＳＱＬ 注入漏洞的危害、ＳＱＬ 注入的安全性，以及造成的負(fù)面影響進(jìn)行簡(jiǎn)要的講解，使學(xué)生能夠大致理解ＳＱＬ 注入的漏洞，并將其引入教學(xué)中。

在比賽前的準(zhǔn)備與小組討論階段，教師會(huì)把比賽的題目發(fā)給學(xué)生，同時(shí)會(huì)給他們提供一些基礎(chǔ)的學(xué)習(xí)材料，推薦一些學(xué)習(xí)方法。在學(xué)習(xí)過(guò)程中，學(xué)生能夠自主探究，小組合作解決問(wèn)題。

在知識(shí)答辯環(huán)節(jié)，每位學(xué)生都要做好準(zhǔn)備，回答評(píng)委的提問(wèn)。在此階段，學(xué)員不但要學(xué)習(xí)所學(xué)的知識(shí)與內(nèi)容，更要將所學(xué)的知識(shí)與內(nèi)容加以歸納、總結(jié)，從中提煉出最有用、最重要的部分，再以最恰當(dāng)?shù)姆绞较蛟u(píng)委解釋，這是一個(gè)非常好的練習(xí)方式。

在競(jìng)賽階段，學(xué)員要按照自己所掌握的專業(yè)知識(shí)來(lái)完成作業(yè)，在競(jìng)賽中要合理地安排競(jìng)賽時(shí)間，在小組協(xié)作中，要協(xié)調(diào)小組成員，分工協(xié)作，以最大限度地提高工作效率。

在教師的總結(jié)部分，教師歸納大賽中的重點(diǎn)和難點(diǎn)，并就賽前準(zhǔn)備、團(tuán)隊(duì)協(xié)商、成功展示等各個(gè)階段的問(wèn)題進(jìn)行剖析，以及在各個(gè)階段中的突出表現(xiàn)。同時(shí)，還會(huì)公布比賽的成績(jī)，讓學(xué)生在比賽中分享自己的經(jīng)驗(yàn)。

１．４．２ 充分發(fā)揮教師的指導(dǎo)作用

不管什么教學(xué)模式、教學(xué)方法，都以提高學(xué)生的學(xué)習(xí)效率為首要目標(biāo)。將課堂還給學(xué)生，讓學(xué)生真正地成為課堂的主體，教師將課堂教學(xué)轉(zhuǎn)化為課堂教學(xué)，通過(guò)課題導(dǎo)入、課堂競(jìng)賽、指導(dǎo)學(xué)生做好賽前準(zhǔn)備、指導(dǎo)學(xué)生協(xié)調(diào)小組成員之間的關(guān)系、分配小組成員的工作、做好課堂競(jìng)賽的準(zhǔn)備、保證學(xué)生的學(xué)習(xí)。

在學(xué)生碰到問(wèn)題時(shí)，適時(shí)提出問(wèn)題的解法，并鼓勵(lì)他們自己去做，遇到特別難的問(wèn)題時(shí)，教師會(huì)帶領(lǐng)學(xué)生共同討論和解決。

在設(shè)計(jì)競(jìng)賽題目時(shí)，要注重題目的難度，要針對(duì)學(xué)生的學(xué)習(xí)狀況、學(xué)習(xí)能力和教學(xué)目的，設(shè)計(jì)出合適的競(jìng)賽題目，使學(xué)生能夠在比賽中應(yīng)用自己的能力和團(tuán)隊(duì)精神來(lái)解決問(wèn)題。

２ “網(wǎng)絡(luò)安全攻防技術(shù)” 課程理論競(jìng)賽設(shè)計(jì)

“網(wǎng)絡(luò)安全攻防技術(shù)”是一門實(shí)踐性較強(qiáng)的專業(yè)課程，在各章節(jié)的教學(xué)設(shè)計(jì)與教學(xué)實(shí)踐中，要使競(jìng)賽項(xiàng)目與課程的教學(xué)目標(biāo)和內(nèi)容相結(jié)合，并以實(shí)踐為指導(dǎo)。但是，由于該方法并不能很好地反映出學(xué)生的理論水平，因此，在教學(xué)設(shè)計(jì)中增加了“理論競(jìng)賽”的概念和設(shè)計(jì)。

２．１ 制定教學(xué)目標(biāo)

２．１．１ 知識(shí)目標(biāo)

了解網(wǎng)絡(luò)安全的基本知識(shí)；了解滲透測(cè)試的定義、分類，以及滲透的基本過(guò)程；熟悉網(wǎng)絡(luò)滲透測(cè)試常用術(shù)語(yǔ)、常用的網(wǎng)絡(luò)滲透測(cè)試工具；了解ＳＱＬ 注入的歷史，形成原因，使用方法，以及ＳＱＬ 注入的危害；了解跨站腳本漏洞的發(fā)展歷史，形成原因，利用方式，以及ＸＳＳ 漏洞的危害。

２．１．２ 能力目標(biāo)

了解網(wǎng)絡(luò)入侵的一般思路；掌握網(wǎng)絡(luò)入侵的方法；了解如何預(yù)防滲透入侵網(wǎng)站漏洞。

２．１．３ 核心價(jià)值觀

加強(qiáng)對(duì)信息化建設(shè)的掌控；保障網(wǎng)絡(luò)安全的攻防能力。

２．２ 設(shè)計(jì)教學(xué)過(guò)程

２．２．１ 賽前準(zhǔn)備

“網(wǎng)絡(luò)安全攻防技術(shù)”理論競(jìng)賽內(nèi)容如下。

（１）競(jìng)賽項(xiàng)目一：理論知識(shí)搶答競(jìng)賽內(nèi)容舉例（隨機(jī)抽取的１０ 個(gè)題目）：題目１：什么是網(wǎng)絡(luò)安全？ 什么是滲透測(cè)試？ 題目２：滲透測(cè)試的分類， 以及它們的區(qū)別； 題目３： 什么叫ＷｅｂＳｈｅｌｌ？ 題目３：……

２．２．２ 團(tuán)隊(duì)商討

小組隊(duì)員比賽的預(yù)備階段：依據(jù)比賽的知識(shí)點(diǎn)，找出與比賽有關(guān)的知識(shí)，并能有效地總結(jié)和掌握有關(guān)知識(shí)；小組成員按照本課程的題庫(kù)體系，共同對(duì)相關(guān)知識(shí)進(jìn)行整理；在“理論知識(shí)競(jìng)賽”項(xiàng)目之前，確定答題人選，并組織小組成員進(jìn)行排練。

２．２．３ 理論競(jìng)賽評(píng)價(jià)體系

在完成“理論知識(shí)搶答”的這一部分后，教師會(huì)根據(jù)學(xué)生的回答數(shù)量和回答結(jié)果，給予全班學(xué)生一個(gè)統(tǒng)一的得分。每個(gè)學(xué)生在完成了“理論知識(shí)競(jìng)賽”的比賽后，所有學(xué)生都獲得了各自的分?jǐn)?shù)。最后，“理論競(jìng)賽”的分?jǐn)?shù)分為“理論知識(shí)搶答”和“理論知識(shí)競(jìng)賽”２個(gè)環(huán)節(jié)，各占５０％。

２．２．４ 課后總結(jié)

教師根據(jù)“理論知識(shí)搶答”環(huán)節(jié)中出現(xiàn)的錯(cuò)誤進(jìn)行糾正，并對(duì)不正確的問(wèn)題進(jìn)行補(bǔ)充，使學(xué)生能夠更好地理解和掌握這些問(wèn)題。同時(shí)，教師針對(duì)“理論知識(shí)競(jìng)賽”部分出現(xiàn)的錯(cuò)誤率高的問(wèn)題進(jìn)行統(tǒng)一解釋，使學(xué)生能夠更好地理解知識(shí)。

２．３ 課程評(píng)價(jià)體系

“網(wǎng)絡(luò)安全攻防技術(shù)”課程競(jìng)賽，主要包括“ＳＱＬ 注入漏洞的使用與防御”“跨站腳本漏洞的使用和防御”

“其他常見(jiàn)Ｗｅｂ 漏洞的利用與防御”和“Ｗｅｂ 滲透案例”４ 個(gè)方面的內(nèi)容?！耙再惔賹W(xué)”中的理論知識(shí)競(jìng)賽，覆蓋了整個(gè)課程的相關(guān)理論。課程評(píng)估系統(tǒng)是以學(xué)員參加各種實(shí)操競(jìng)賽和理論知識(shí)競(jìng)賽為基礎(chǔ)的。

３ 結(jié)束語(yǔ)在

“以賽促學(xué)”的教學(xué)模式下，一方面通過(guò)以“項(xiàng)目驅(qū)動(dòng)”的形式開(kāi)展培訓(xùn)，組建了專業(yè)導(dǎo)師與得獎(jiǎng)?wù)吖餐瑓f(xié)作的“課程項(xiàng)目培訓(xùn)團(tuán)隊(duì)”，讓學(xué)員自主選擇學(xué)習(xí)的內(nèi)容，并在教師的引導(dǎo)下，使自己的專業(yè)技術(shù)更為“嫻熟”，擁有“一技之長(zhǎng)”，以適應(yīng)市場(chǎng)的需要。同時(shí)，使職業(yè)教師能夠更好地與各種技能競(jìng)賽相結(jié)合，不斷豐富自己的專業(yè)技術(shù)，使其在教學(xué)中更具針對(duì)性、前瞻性，從而能夠指導(dǎo)學(xué)生培養(yǎng)創(chuàng)造性、團(tuán)隊(duì)協(xié)作能力和現(xiàn)場(chǎng)表現(xiàn)能力等，最終實(shí)現(xiàn)“以競(jìng)賽促進(jìn)教育”的目的。

參考文獻(xiàn)：

［１］ 何金鳳，陳蓉，陳善利，等．以賽促學(xué)模式下信息安全技能型人才的培養(yǎng)［Ｊ］．網(wǎng)絡(luò)空間安全，２０２０，１１（３）：８１?８４．

［２］ 原晨冉．基于“以賽促學(xué)”理念的中職計(jì)算機(jī)專業(yè)實(shí)踐教學(xué)研究［Ｄ］．新鄉(xiāng)：河南科技學(xué)院，２０２２．

［３］ 李麗蓉．網(wǎng)絡(luò)安全與執(zhí)法專業(yè)“教學(xué)練戰(zhàn)”一體化教學(xué)模式研究［Ｊ］．山西警察學(xué)院學(xué)報(bào)，２０２２，３０（３）：１０８?１１１．

作者簡(jiǎn)介：王德厚（ １９８２—）， 本科， 高級(jí)講師， 研究方向： 計(jì)算機(jī)技術(shù)。