APP下载

基于“ 课岗证赛融通” 的“ Web安全渗透测试”课程重构实践研究

2022-04-29应秋红

计算机应用文摘 2022年12期

应秋红

关键词 课岗证赛融通 安全渗透测试 课程重构

随着国家工业体系的日益完善,传统制造業和新兴产业快速发展,高技能人才和技术创新获得了社会的广泛关注,这对职业教育有了更高的定位和要求。职业教育不但能够让学生掌握在社会立足的一技之长,还承担着为国家输出应用型人才的重任。而现阶段职业教育还存在“教学与生产脱节”、课堂教学与企业岗位联系不紧密、高职院校培养的学生无法很好地适应生产一线的工作等问题。为了更好地适应社会的产业结构改革,培养出大量的行业技能型人才,职业教育需抓住机遇创新教学模式和课程体系。

“岗课赛证融通”育人是高职教育教学多元化改革、提升教学质量的重要模式之一[1] 。其中,“岗”是与课程相关的工作岗位,“课”是专业课程,“赛”是职业技能比赛,“证”是技能等级证书,而专业课程是“岗课赛证融通”的主要载体。“Web 安全渗透测试”是信息技术应用专业的核心课程,其课程标准是根据渗透测试工程师、安全测试工程师等岗位要求建立,旨在培养学生信息收集、Web 渗透测试、操作系统渗透测试、内网渗透测试的能力,极大提升学生的Web 安全知识水平,以及动手实践能力。因此,本文将“Web安全渗透测试”课程设置作为教学改革的核心,开展基于“课岗证赛融通”下的课程体系重构实践研究。

1“Web 安全渗透测试” 课程在教学过程中存在的问题

(1)无法充分整合和利用企业资源

由于“Web 安全渗透测试”课程内容与渗透测试工程师、安全测试工程师的岗位技能要求紧密结合,注重学生的实践能力培养。因此,课堂教学中需要大量存在安全漏洞的网站或者系统作为“靶场”,为学生提供攻防技能、渗透测试技能的练习平台。而《网络安全法》中明确禁止网络运营者在未获得书面授权之前,对互联网中的Web 应用系统进行渗透测试。这就需要教师通过各种代码复现出真实业务系统中出现的安全漏洞,让学生在教师模拟的环境中掌握Web 攻防技能。而由于与企业联系不够紧密,教师接触真实业务系统的安全漏洞的机会不多,导致可用的实验资源少以及网络安全专业教师、实训基地等资源紧缺问题,因此课堂教学质量不佳。

(2)课程体系针对性不强

“Web 安全渗透测试”课程涉及的知识点广,需要学生掌握操作系统、网络基础、编程语言、常见Web 安全漏洞等方面的理论知识。如果所设置的课程未侧重于Web 安全方向,则需要学生掌握数十门计算机相关课程知识,这对学生的学习时间和学习能力都带来了巨大的挑战,不利于学生掌握信息安全相关知识和技能。此外,在原有的课程体系中,更加注重培养学生的动手操作能力,而忽视了理论知识的讲解,导致学生对新技术的敏感度和知识迁移能力都无法得到有效培养。

2基于“ 课岗证赛融通” 的“ Web 安全渗透测试”课程重构的必要性

2.1企业人才需求大,职业教育发展态势良好

在国家安全战略大背景下,多部与数据安全、网络安全相关的法律相继颁布,信息安全领域逐渐成为国家战略性新兴行业。以增强网络空间安全、推进网络强国建设为目标,各行各业对网络安全人才的需求日益增加,这给网络安全人才培养带来前所未有的挑战和机遇。

近年来,浙江省深入落实“互联网+”活动,大力推广“数字改革”,计划将互联网、大数据、人工智能深度融合,并应用到实际生产与生活中[2] 。这使得高职院校的信息安全技术应用专业在浙江省发展较好,具备良好的教学条件和物质基础。加之相关网络安全企业需求层次的明确性和突出性,使得职业教育课程体系与教学标准的建立具有了广泛的基础,使其切实可行。

2.2“岗课赛证融通” 赋能信息安全高技能人才培养

目前,高职院校的信息安全技术应用专业普遍存在培养目标不明确、培养质量较低等问题。随着网络强国建设面临新形势、新机遇、新要求,与网络安全相关的企业迅猛发展,为信息安全高技能人才培养模式改革注入新的能量。

首先,国家政策加持和网络安全事件频发,不少企业开始重视自身应用系统的安全性,更加明确安全类岗位的技能要求。这为高职院校的信息安全技术应用专业树立了人才培养目标。其次,各类各级网络安全比赛如火如荼,不仅比赛的数量在不断增多,形式也日益丰富。不少高职院校都花费大量人力、物力建立竞赛指导团队以及组织赛前集训等。将比赛的项目和内容适当改造后,融入课程教学内容中,既可以丰富课程教学素材,也可以有效提高学生的网络安全对抗能力和防护水平。最后,相关职业证书则明确了学生所需要掌握的知识和技能。职业证书的要求对课堂讲授的知识体系起着检验的作用。

3基于“ 课岗证赛融通” 的“ Web 安全渗透测试”课程重构实践研究

本项目主要改革内容基于“课岗赛证融通” 的“Web 安全渗透测试”课程重构实践,即将“Web 安全渗透测试”课程设置作为教学改革的核心,课程设置与网络安全企业实际岗位能力要求相融通、课程设置与专业技能竞赛能力要求相融通、课程设置与“1+X”网络安全评估证书考试要求相融通,不断升级专业课程、丰富教学内容、创新教学方式,以培养学生的专业技能。

3.1以岗位需求为标准构建课程体系

“Web 安全渗透测试”课程体系构建在我校信息安全应用技术专业2020 级和2021 级人才培养方案的基础上。通过走访企业,邀请相关岗位的工程师召开专题座谈会,针对渗透测试工程师、安全测试工程师这两个岗位的人才需求进行广泛而详细的调研,结合企业在工作中所需要的主要工作技能,以主要工作任务为基础,通过对典型工作任务的分解,在此基础上构建课程教学体系。例如,在渗透测试工程师、安全测试工程师这两个岗位的技能要求中,都要求具备一定的渗透测试能力。因此,在课程中将学生渗透测试能力的培养,不仅要求学生掌握常见安全工具的使用方法,还培养学生具备对不同靶场环境进行手工渗透的能力,以及严格按照相关规范撰写渗透测试报告的能力。课程内容严格对标实际岗位,不仅培养了学生的专业技能,还在一定程度上引发学生对未来就业方向的思考,提前做好职业规划。

3.2以比赛内容为课程教学的有效补充

隨着网络安全逐渐上升到国家战略,网络安全行业面临新形势、新机遇、新要求,使得不少企业和高校都开始着手投入大量人力和财力组织网络安全相关的比赛。这类网络安全比赛通过在初赛中采用CTF形式,对学生的基础知识和比赛模块题目的熟悉程度有很高的要求;在决赛中通常采用AWD 攻防形式,要求学生掌握常见Web 漏洞的攻击和防御方法。网络安全比赛的部分内容与“Web 安全渗透测试”课程内容有重合性。因此,在课堂教学中,教师引导学生积极参加相关比赛,将比赛训练作为学生巩固课程内容的重要方式之一,激发学生的学习兴趣。在准备比赛的过程中,学生可以将CTF 题或者是其他攻防靶场作为练习基本技能的平台。在学生参加相关比赛后,发现自身知识体系中的不足,为后续课程学习和能力提升提供了新方向。此外,教师可以充分研究大赛项目,对大赛项目的内容进行适当拆分,并将其有机融入课程知识体系和技能目标中,以设置单独的课程项目来不断丰富课程内容。通过加强“技能比赛”与课程的联系,将比赛内容作为课堂教学的有效补充,进而充分发挥“以赛促教”“以赛促学”“以赛促改”的作用。

3.3以行业标准检验学生的综合能力

“1+X”制度的提出,要求学生在获得学历证书的同时,还需要考取以岗位需求为导向的职业技能证书。鼓励学生积极考取“1+X”证书,将“1+X 证书”作为学生学习课堂知识后的检验方式。在网络安全领域相关的“1+X”证书中,如360 公司颁发的网络安全评估证书,不仅对学生的理论知识掌握情况有要求,还注重考查学生的动手实操能力。这不仅可以提高学生的学习积极性,还可以提高学生对动手能力的重视。因此,加强“课证”融通,是从另外一个维度将企业真实工作任务融入课程内容中,从而实现以行业标准检验学生综合能力的目标。学生参与企业组织的“1+X”证书考取活动后,教师可以通过学生考证成绩和通过率等结果,反思教学中存在的不足,更好地实现反哺教学。

3.4将“岗课赛证融通”进一步应用到课程思政

为了更好地实现“立德树人”目标,课程思政教育已经是专业课程中必不可少的内容。在对“Web 安全渗透测试”课程进行“岗课赛证融通”探索的同时,分别挖掘“岗”“赛”“证”三者中的思政育人元素。在理论知识讲解的同时注重学生动手能力的培养,在专业能力培养的同时注重学生法律意识、道德素养的培养。例如,在将岗位需求与课程体系进行融合的过程中,挖掘“渗透测试工程师”这一岗位所包含的思政育人元素。由于渗透测试工程师要对客户授权的Web应用或者系统进行渗透测试,本着对Web 应用或者系统安全负责的态度,需要渗透测试工程师具备细心、耐心、踏实等特质。因此,在课堂教学中引入实际岗位中“爱岗敬业、工匠精神、就业精神”等思政元素,可以引导学生成长为网络空间的忠实守护者。

4总结

本文对课程现状和“岗课赛证融通”必要性进行了分析,目的是加强岗位需求、技能比赛、技能证书与课堂教学的融合,以不断丰富课程内容。在探索课程改革的同时,深度挖掘“岗”“证”“赛”等多个方面的思政育人元素,并将其融入课程思政中,旨在培养专业技能扎实、有强烈法律意识和社会责任感的信息安全人才。实践表明,在对“Web 安全渗透测试”课程进行基于“岗课赛证融通”的重构实践后,学生对参与网络安全比赛的兴趣明显提高,“1+X”证书的通过率超过98%。