摘要：當前時代背景下，國家提出了關(guān)于新時代教育事業(yè)發(fā)展的新理念。在此指導下，目前國內(nèi)高校都在積極探索人才培養(yǎng)機制、培養(yǎng)模式等方面的改革?！耙再惔賹W”應用于中等職業(yè)學校的教學中．其在培養(yǎng)學生的動手能力、綜合應用能力、激發(fā)學生學習興趣、調(diào)動教師工作積極性等方面都起到了很好的促進作用。文章以“網(wǎng)絡安全攻防技術(shù)”課程為例，研究以培養(yǎng)應用型人才為目的的中職院校如何將“以賽促學”模式引入“網(wǎng)絡安全攻防技術(shù)”課程教學。

關(guān)鍵詞：以賽促學；網(wǎng)絡安全；教學模式

中圖法分類號：TP393 文獻標識碼：A

當前的中職教育按照“職業(yè)標準”與“關(guān)鍵技能”的規(guī)定，將相關(guān)的專業(yè)規(guī)范與專業(yè)能力需求納入培養(yǎng)目標中，對課程進行了設計。通過增加競賽內(nèi)容，結(jié)合學生特點，制訂適合企業(yè)需要的課程內(nèi)容［１］ 。在教學中加入實踐性的內(nèi)容，以滿足學生的個性化學習需要，使每一個人都能獲得知識。通過將教學與技能競賽相結(jié)合，以提高教學質(zhì)量，從而為企業(yè)培養(yǎng)出更多、更好、更專業(yè)以及更適合于企業(yè)發(fā)展需要的計算機網(wǎng)絡專業(yè)人才。同時，計算機網(wǎng)絡產(chǎn)業(yè)正處在快速成長的時期，透過競賽的方式，讓學生能夠及時地掌握產(chǎn)業(yè)動態(tài)與工作動向。本文以“網(wǎng)絡安全攻防技術(shù)”為案例，從實操競賽和理論競賽２ 個方面來進行“以賽促學”教學模式的設計［２］ 。

１ “網(wǎng)絡安全攻防技術(shù)” 課程實操競賽設計

以“網(wǎng)絡安全攻防技術(shù)”課程內(nèi)容中的“ＳＱＬ 注入漏洞利用與防御”任務為例，來進行任務設計。

１．１ 制定教學目標

１．１．１ 知識目標

掌握ＳＱＬ 滲入式攻擊的基礎(chǔ)知識；了解ＳＱＬ 滲入式攻擊的基本原理；掌握ＳＱＬ 滲入式攻擊的具體流程；學習ＳＱＬ 滲入式攻擊的防護技巧。

１．１．２ 能力目標

了解ＳＱＬ 滲入式攻擊的基本思路；掌握通過ＳＱＬ注入滲透式攻擊獲取信息；了解如何預防ＳＱＬ 注入滲透式攻擊網(wǎng)站的對策。

１．１．３ 核心價值觀

加強對信息化建設的掌控；保障網(wǎng)絡安全的攻防能力。

１．２ 設計教學過程

１．２．１ 課題導入

任務場景：通過對企業(yè)網(wǎng)站的安全性檢測，發(fā)現(xiàn)該站點存在ＳＱＬ 注入漏洞，易被黑客入侵，從而造成數(shù)據(jù)庫信息的泄露。為了更好地了解和解決這個問題，使用ＤＶＷＡ 來重現(xiàn)場景。

競賽目標：了解ＳＱＬ 滲入式攻擊的基本原理；掌握ＳＱＬ 滲入式攻擊的具體實施流程；學習ＳＱＬ 滲入式攻擊的防護技巧。

１．２．２ 賽前準備

課堂ＳＱＬ 注入滲透測試和安全防護競賽內(nèi)容。

（１）競賽項目一：知識答辯比賽的主要內(nèi)容有：ＳＱＬ 注入的滲透攻擊；ＳＱＬ注入滲透式攻擊的一般思想；如何阻止ＳＱＬ 注入滲入式攻擊。

比賽規(guī)則：參賽選手按照賽前所準備的３ 個問題，選出１ 個問題，搜集材料，并將其制作成展示報告。評委收集了學生的發(fā)言，然后根據(jù)他們的回答和思考方式，給他們打分。

（２）競賽項目二：基礎(chǔ)實訓比賽項目有：ＤＶＷＡ 滲透示范系統(tǒng)的安裝與部署；把ＤＶＷＡ 滲透展示系統(tǒng)的安全性設為“ Ｌｏｗ（低）”。

比賽規(guī)則：考生自行完成比賽，完成比賽的成績將以截屏的形式保存到考卷中。評委會根據(jù)評分表格來給他們打分。

１．２．３ 團隊商討

團隊成員比賽的預備程序：學習ＳＱＬ 注入攻擊的歷史，形成原因，了解ＳＱＬ 注入漏洞的危害；理解ＳＱＬ注入攻擊的一般思路，以及如何利用ＳＱＬ 注入的弱點進行攻擊；掌握ＳＱＬ 注入攻擊的基本思想和方法，以達到防范ＳＱＬ 注入攻擊的目的；構(gòu)建ＤＶＷＡ 滲透展示系統(tǒng)，并應用該系統(tǒng)對ＳＱＬ 滲透注入進行試驗；把ＤＶＷＡ 滲透式展示系統(tǒng)的安全性設置為“低”，這樣就可以使用ＳＱＬ 注入式滲透測試來獲取目前的連接；通過ＤＶＷＡ 系統(tǒng)，可以獲取當前的用戶權(quán)限，獲取當前數(shù)據(jù)庫的版本信息，獲?。模郑祝?數(shù)據(jù)庫中的表格，查看用戶表中的列，獲取數(shù)據(jù)庫中的所有賬戶和密碼；對級別為“Ｌｏｗ （低）”的ＤＶＷＡ 網(wǎng)站源代碼進行分析，并對其產(chǎn)生的ＳＱＬ 注入問題進行分析；解決競賽中的問題，為班級競賽做好準備。

１．２．４ 成果展示與競賽

每位學生按照“知識答辯”模塊所選內(nèi)容，分別進行現(xiàn)場答辯，每名答辯時間為３ ～５ 分鐘；按照“基礎(chǔ)實訓”模塊的要求，每位學生建立ＤＶＷＡ 滲透示范系統(tǒng)，并設定了“Ｌｏｗ （低）”的安全等級；每１ 個小組，都會根據(jù)比賽中的“團隊合作”單元，進行分工，在“團體合作”模塊中，共同完成６ 道題，并根據(jù)競賽規(guī)則，將競賽成績提交；競賽結(jié)束后，根據(jù)評分系統(tǒng)對競賽的結(jié)果進行評估，并給出各小組和個人的得分，并獎勵優(yōu)秀的團隊和個人。

１．２．５ 課后總結(jié)

ＳＱＬ 注入的思想是：對ＳＱＬ 注入點的發(fā)現(xiàn)；定義企業(yè)服務器的分類和后臺管理數(shù)據(jù)庫的分類； ＳＱＬ 注入攻擊根據(jù)服務器特點和數(shù)據(jù)庫技術(shù)特點來進行。

ＳＱＬ 注入是當今ＰＨＰ 應用軟件中最為普遍的一個問題。若開發(fā)人員同時犯２ 次錯誤，則會導致ＳＱＬ注入攻擊：未過濾輸入數(shù)據(jù)；未將傳送至資料庫的數(shù)據(jù)轉(zhuǎn)義（轉(zhuǎn)義輸出）。這２ 個重要的錯誤都是必須要注意的，這可以降低ＳＱＬ 注入攻擊程序中的缺陷。

為了防止ＰＨＰ 站點出現(xiàn)ＳＱＬ 注入的問題，可以采取以下幾種方法。

更改接收方法：更改接收模式，采用Ｃｏｏｋｉｅ 和Ｐｏｓｔ 兩種提交模式，Ｃｏｏｋｉｅ 和Ｐｏｓｔ 都是在數(shù)據(jù)庫中提交，不允許黑客進入，從而避免ＳＱＬ 語句的惡意查詢；使用ｍｙｓｑｌｉ 的ｐｒｅｐａｒｅ 語句，使用１ 個參數(shù)化的查詢語句，將這些ＳＱＬ 語句從數(shù)據(jù)庫服務器中分離出來，從而使攻擊者無法向ＳＱＬ 中輸入惡意ＳＱＬ；使用ＰＤＯ來解決ＳＱＬ 注入， 在ｐｈｐ５． ３． ６ 以后， ＰＤＯ 不會向ｍｙｓｑｌｓｅｒｖｅｒ 發(fā)送本地ＳＱＬ 程序及語句，也不會在本地進行轉(zhuǎn)義。

１．２．６ 項目鞏固與提高練習

主要包括：在“安全級別”為“Ｈｉｇｈ （高）”的情況下，查看當前連接的數(shù)據(jù)庫名稱、用戶權(quán)限、版本信息，查看ｄｖｗａ 數(shù)據(jù)庫里面的表，獲得該網(wǎng)站數(shù)據(jù)庫中的全部賬號與密碼。

１．３ 課程項目評價體系

根據(jù)競賽知識點、競賽規(guī)則、評分規(guī)則等，結(jié)合技術(shù)規(guī)程、評分細則等，對課堂進行評估［３］ ，主要內(nèi)容有前期準備、賽項完成情況、團隊合作情況、產(chǎn)品展示等。同時，作為裁判的學員，根據(jù)裁判員的規(guī)則進行評分。參加評判員的學生從裁判的視角，觀察到其他學生的工作情況，并指出哪些方面有待提高。根據(jù)學生在課堂競爭中的表現(xiàn)，結(jié)合課堂教學各個方面的因素，設計出一套適合自己的班級評估系統(tǒng)。

１．４ 項目設計要點

１．４．１ 明確教學任務和教學要求在教學全過程中，采用“以賽促學”的教學方式，在課題導入、賽前準備、團隊討論等環(huán)節(jié)，指導學生有針對性、系統(tǒng)地學習，所以在設計教學開始時應從教學目標、教學內(nèi)容等方面進行明確。

在準備“ＳＱＬ 注入滲入式測試與安全保護”的競賽中，教師首先對ＳＱＬ 注入漏洞的危害、ＳＱＬ 注入的安全性，以及造成的負面影響進行簡要的講解，使學生能夠大致理解ＳＱＬ 注入的漏洞，并將其引入教學中。

在比賽前的準備與小組討論階段，教師會把比賽的題目發(fā)給學生，同時會給他們提供一些基礎(chǔ)的學習材料，推薦一些學習方法。在學習過程中，學生能夠自主探究，小組合作解決問題。

在知識答辯環(huán)節(jié)，每位學生都要做好準備，回答評委的提問。在此階段，學員不但要學習所學的知識與內(nèi)容，更要將所學的知識與內(nèi)容加以歸納、總結(jié)，從中提煉出最有用、最重要的部分，再以最恰當?shù)姆绞较蛟u委解釋，這是一個非常好的練習方式。

在競賽階段，學員要按照自己所掌握的專業(yè)知識來完成作業(yè)，在競賽中要合理地安排競賽時間，在小組協(xié)作中，要協(xié)調(diào)小組成員，分工協(xié)作，以最大限度地提高工作效率。

在教師的總結(jié)部分，教師歸納大賽中的重點和難點，并就賽前準備、團隊協(xié)商、成功展示等各個階段的問題進行剖析，以及在各個階段中的突出表現(xiàn)。同時，還會公布比賽的成績，讓學生在比賽中分享自己的經(jīng)驗。

１．４．２ 充分發(fā)揮教師的指導作用

不管什么教學模式、教學方法，都以提高學生的學習效率為首要目標。將課堂還給學生，讓學生真正地成為課堂的主體，教師將課堂教學轉(zhuǎn)化為課堂教學，通過課題導入、課堂競賽、指導學生做好賽前準備、指導學生協(xié)調(diào)小組成員之間的關(guān)系、分配小組成員的工作、做好課堂競賽的準備、保證學生的學習。

在學生碰到問題時，適時提出問題的解法，并鼓勵他們自己去做，遇到特別難的問題時，教師會帶領(lǐng)學生共同討論和解決。

在設計競賽題目時，要注重題目的難度，要針對學生的學習狀況、學習能力和教學目的，設計出合適的競賽題目，使學生能夠在比賽中應用自己的能力和團隊精神來解決問題。

２ “網(wǎng)絡安全攻防技術(shù)” 課程理論競賽設計

“網(wǎng)絡安全攻防技術(shù)”是一門實踐性較強的專業(yè)課程，在各章節(jié)的教學設計與教學實踐中，要使競賽項目與課程的教學目標和內(nèi)容相結(jié)合，并以實踐為指導。但是，由于該方法并不能很好地反映出學生的理論水平，因此，在教學設計中增加了“理論競賽”的概念和設計。

２．１ 制定教學目標

２．１．１ 知識目標

了解網(wǎng)絡安全的基本知識；了解滲透測試的定義、分類，以及滲透的基本過程；熟悉網(wǎng)絡滲透測試常用術(shù)語、常用的網(wǎng)絡滲透測試工具；了解ＳＱＬ 注入的歷史，形成原因，使用方法，以及ＳＱＬ 注入的危害；了解跨站腳本漏洞的發(fā)展歷史，形成原因，利用方式，以及ＸＳＳ 漏洞的危害。

２．１．２ 能力目標

了解網(wǎng)絡入侵的一般思路；掌握網(wǎng)絡入侵的方法；了解如何預防滲透入侵網(wǎng)站漏洞。

２．１．３ 核心價值觀

加強對信息化建設的掌控；保障網(wǎng)絡安全的攻防能力。

２．２ 設計教學過程

２．２．１ 賽前準備

“網(wǎng)絡安全攻防技術(shù)”理論競賽內(nèi)容如下。

（１）競賽項目一：理論知識搶答競賽內(nèi)容舉例（隨機抽取的１０ 個題目）：題目１：什么是網(wǎng)絡安全？ 什么是滲透測試？ 題目２：滲透測試的分類， 以及它們的區(qū)別； 題目３： 什么叫ＷｅｂＳｈｅｌｌ？ 題目３：……

２．２．２ 團隊商討

小組隊員比賽的預備階段：依據(jù)比賽的知識點，找出與比賽有關(guān)的知識，并能有效地總結(jié)和掌握有關(guān)知識；小組成員按照本課程的題庫體系，共同對相關(guān)知識進行整理；在“理論知識競賽”項目之前，確定答題人選，并組織小組成員進行排練。

２．２．３ 理論競賽評價體系

在完成“理論知識搶答”的這一部分后，教師會根據(jù)學生的回答數(shù)量和回答結(jié)果，給予全班學生一個統(tǒng)一的得分。每個學生在完成了“理論知識競賽”的比賽后，所有學生都獲得了各自的分數(shù)。最后，“理論競賽”的分數(shù)分為“理論知識搶答”和“理論知識競賽”２個環(huán)節(jié)，各占５０％。

２．２．４ 課后總結(jié)

教師根據(jù)“理論知識搶答”環(huán)節(jié)中出現(xiàn)的錯誤進行糾正，并對不正確的問題進行補充，使學生能夠更好地理解和掌握這些問題。同時，教師針對“理論知識競賽”部分出現(xiàn)的錯誤率高的問題進行統(tǒng)一解釋，使學生能夠更好地理解知識。

２．３ 課程評價體系

“網(wǎng)絡安全攻防技術(shù)”課程競賽，主要包括“ＳＱＬ 注入漏洞的使用與防御”“跨站腳本漏洞的使用和防御”

“其他常見Ｗｅｂ 漏洞的利用與防御”和“Ｗｅｂ 滲透案例”４ 個方面的內(nèi)容。“以賽促學”中的理論知識競賽，覆蓋了整個課程的相關(guān)理論。課程評估系統(tǒng)是以學員參加各種實操競賽和理論知識競賽為基礎(chǔ)的。

３ 結(jié)束語在

“以賽促學”的教學模式下，一方面通過以“項目驅(qū)動”的形式開展培訓，組建了專業(yè)導師與得獎者共同協(xié)作的“課程項目培訓團隊”，讓學員自主選擇學習的內(nèi)容，并在教師的引導下，使自己的專業(yè)技術(shù)更為“嫻熟”，擁有“一技之長”，以適應市場的需要。同時，使職業(yè)教師能夠更好地與各種技能競賽相結(jié)合，不斷豐富自己的專業(yè)技術(shù)，使其在教學中更具針對性、前瞻性，從而能夠指導學生培養(yǎng)創(chuàng)造性、團隊協(xié)作能力和現(xiàn)場表現(xiàn)能力等，最終實現(xiàn)“以競賽促進教育”的目的。

參考文獻：

［１］ 何金鳳，陳蓉，陳善利，等．以賽促學模式下信息安全技能型人才的培養(yǎng)［Ｊ］．網(wǎng)絡空間安全，２０２０，１１（３）：８１?８４．

［２］ 原晨冉．基于“以賽促學”理念的中職計算機專業(yè)實踐教學研究［Ｄ］．新鄉(xiāng)：河南科技學院，２０２２．

［３］ 李麗蓉．網(wǎng)絡安全與執(zhí)法專業(yè)“教學練戰(zhàn)”一體化教學模式研究［Ｊ］．山西警察學院學報，２０２２，３０（３）：１０８?１１１．

作者簡介：王德厚（ １９８２—）， 本科， 高級講師， 研究方向： 計算機技術(shù)。