基于“岗课赛证”的网络攻防技术课程改革探索
2022-10-10刘书伦李俊雅
刘书伦,李俊雅
(济源职业技术学院 a.人工智能学院 b.教务处,河南 济源 459000)
教育部发布2022年工作要点,明确强调要增强职业教育适应性,其中着重提到要“推进岗课赛证综合育人”。“岗课赛证”即岗位、课程、竞赛、证书。它们既是职业学校着力提升人才培养质量的重要抓手,也是社会各界尤其是企业积极参与现代职业教育的重要载体,更是学生提升职业技能的有效途径[1]。近年来国内很多企业在技能型岗位输出、岗位培训、课程研发、职业技能竞赛组织、职业技能证书认证等方面进行了深入探索,取得了一定的成效。很多学生在参加证书认证、职业技能竞赛过程中强化了职业技能实训,不仅掌握了更多的实操技能,而且也获得了更多的权威证明,为今后求职就业奠定了坚实的基础。这些探索为我们专业建设和课程改革指明了方向。
网络攻防技术是高职院校面向计算机网络技术(网络空间安全方向)与信息安全技术应用专业学生的一门专业核心课程,课程组围绕立德树人根本任务,基于CBE(Competence-Based Education 以能力培养为中心的教育教学体系)教学理念,对接网络安全运维服务等职业岗位,以岗位能力培养为核心,以职业标准和技能大赛为引导[2],进行“岗课赛证”深度融合。
一、整体设计
(一)岗证对接,重构“模块化、递进式”教学内容
网络攻防技术是计算机网络技术(网络空间安全方向)专业的专业核心课程。课程对接网络安全运维服务等职业岗位,以岗位能力培养为核心,对接网络安全风险管理与网络安全应急管理1+X证书标准,以《信息安全技术 网络安全等级保护测试评估技术指南》与全国职业院校技能大赛“信息安全管理与评估”赛项竞赛规程为引导[3],进行“岗课赛证”深度融合[4]。围绕构建网络安全技术防护体系,将课程内容重构为网络攻防技术导论、设备安全与防范、系统安全与防范、应用安全与防范、数据安全与防范、攻防实战演习六个模块化递进式教学内容。第一模块从网络攻防技术导论开始,帮助学生建立基本概念;第二至第五模块从设备安全与防范、系统安全与防范、应用安全与防范、数据安全与防范四个维度,帮助学生掌握网络安全防护相关的技术。教学团队遵循“精技修身,守法卫国”的教学理念,深挖课程教学内容和教学方式中蕴含的思想政治教育资源,以树立正确的网络安全观为核心,将法治意识、家国情怀、工匠精神、劳动精神等思政元素柔性植入课堂教学,达到润物无声的育人效果,强化对网络安全人才的思政教育。
本文以第六个模块——攻防实战演习为例,展示基于“岗课赛证”模块化递进式课程改革教学思路,根据本模块对应核心职业能力,借鉴国内护网行动中成熟的网络攻防实战演习模式,引入典型案例,把网络安全攻防过程设计为有备无患——攻防战前准备、大海捞针——目标主机识别、明察秋毫——网络流量分析、百折不挠——社工钓鱼、暴力破解——弱口令获权限、正面突破——系统漏洞利用、迂回曲折——应用漏洞突破、滴水不漏——网络安全防护 8 个递进式的教学任务,共计 16 学时,各子任务之间遵循从简单到复杂,从分散到综合,层层渗透。模块化递进式教学安排如图1所示。
图1 模块化递进式教学安排
(二)因材施教,实施“六环节、六步法”教学策略
通过知识测试、技能测试、调查问卷等方式进行学情分析,详细了解到学生已经具备网络攻防技术的知识基础,熟悉工具使用,但不善于灵活运用攻防技术,应在本模块相关任务中重温练习;学生已经掌握虚拟机、网络设备配置方法,喜欢动手操作,对网络安全事件和黑客攻击感兴趣,需要加以正面引导;学生对角色扮演教学法感兴趣,课堂互动活跃,但对理论知识学习存在畏惧心理,思考和分析问题的广度不够,职业标准和操作规范需要强化,部分学生沉溺于刷抖音、快手,可以引导学生进行碎片化学习。
对照国家《高等职业学校专业教学标准》、信息安全技术——网络安全等级保护测试评估技术行业标准和“1+X”职业技能等级证书标准,确定教学目标,即素质目标、知识目标与能力目标,突出以学生为中心,依据学情分析和教学目标,预判本课程模块的教学重难点和教学方法[5]。以CBE教学理念为引领,充分发挥学生的主体作用和教师的主导作用。将课前、课中、课后总体设计为领任务、定方案、练技术、演实战、评结果、拓能力六个环节,学生通过自主学、探究学、赛中学提高理论水平,经过指导做、对抗做、展示做培养综合素养和职业技能,以做促学,以学帮做,“三学三做”实现教学目标,“六环节、六步法”教学策略如图2所示。
图2 “六环节、六步法”教学策略
(三)校企共建,开发“四平台、两环境”教学资源
充分运用新一代信息技术,在企业微信搭建智慧课堂教学平台,实时发布任务、资源,开展各类教学活动。借助智慧职教平台共享国家专业教学资源库等优质教学资源,方便课程教学和学生自主学习。与奇安信、启明星辰、云智信安等知名网络安全企业深度合作,校企联合搭建网络攻防竞技平台和云上攻防平台,虚实结合,线上线下攻克网络攻防实训中学生理论难理解、动手难操作的问题。四平台联动、两环境协同,架构起具有高效、实施交互的教学环境,全过程记录学生学习数据。“四平台、两环境”教学资源如图3所示。
图3 “四平台、两环境”教学资源
(四)标准引领,形成“六要素、五主体”评价体系
实施“平台、学生、任课教师、项目导师、网警”五元主体评价,在课前、课中、课后三个阶段,重点考核学生课前测试、签到考勤、课堂表现、课堂活动、课中测试、拓展实践六个评价要素,遵循 1+X 证书职业技能等级标准、信息网络安全技术等级保护标准、职业技能大赛标准,综合评价学生的素质、知识和能力[6],如表1所示。
表1 “六要素、五主体”课程评价体系表
(五)柔性植入,渗透“一核心、四支点”思政元素
为了培养靠得住、本领强、打得赢的网络安全专业人才,教学团队遵循“精技修身,守法卫国”的教学理念,深挖课程教学内容和教学方式中蕴含的思想政治教育资源,以树立正确的网络安全观为核心,将法治意识、家国情怀、工匠精神、劳动精神等思政元素柔性植入课堂教学,达到润物无声的育人效果,强化对网络安全专业人才的思政教育[7]。“一核心、四支点”课程思政教育如图4所示。
图4 “一核心、四支点”课程思政教育
二、实施过程
(一)围绕“三阶段、六环节”组织教学
借鉴国家军事实战演习思路,探索实践网络攻防实战化的红蓝对抗课堂教学模式。采用小组探究法、情景导入法、任务驱动法、角色扮演法、翻转课堂法等教学方法,运用四平台、两环境等教学资源与手段,采用攻防对抗、角色扮演等教学组织形式,将课堂分为课前准备、课中演习、课后拓展三个阶段,领任务、定方案、练技术、演实战、评结果、拓能力六个环节。课堂教学通过课前预习、难点示范、技术热身等步骤进行专项技能训练,通过重点授业、小组复盘等步骤深化复合能力,通过攻防演习、课后拓展等步骤提升综合能力。
(二)实施“场景化、对抗式”实战训练
将国家“护网行动”网络攻防实战演习任务工作内容转化为本模块 8 个教学任务,将网络攻防演习场景虚拟化为课堂实景教学资源。
1.战前组队
学生根据分组要求,组建红蓝两队,各推荐一名队长(负责组织、联络和协调),队长按队员意愿和技术专长,以 3 人一组成立作战小队。各小组既相互配合,又独立行动。
2.对抗演习
学生从智慧课堂领取任务工单,头脑风暴、小组探究确定战术策略,各小组利用网络攻防靶场虚拟的目标系统开展热身训练,利用网络攻防竞技平台开展实战演习任务,智慧课堂、攻防竞技平台全过程记录技能训练和对抗演习数据。
3.挑战拓展
学生登录云上攻防平台,挑战关卡任务,拓宽技术视野,检验学习效果,提升专业兴趣。
(三)进行“过程化、开放式”考核评价
课前,任课教师通过智慧课堂和智慧职教平台查看课前测验结果和课程资源学习进度,评价学生课前自主学习情况。课中,任课教师基于课堂实际情况,以智慧课堂和攻防竞技平台为依托,以网络信息安全等级保护标准和技能大赛网络安全项目技术标准为依据,以课堂互动、技术热身、对抗演习、小组复盘、战后总结等形式对学生进行综合测评,评价学生对教学目标的达成度。项目导师或企业兼职教师和网络警官借助腾讯会议远程指导,评价学生将守法律、遵标准、合规范内化到日常学习、工作中的能力。课后,云上攻防平台记录学生关卡挑战成绩,任课教师和项目导师指导优秀学生训练技能大赛任务,纳入学生综合素质评价。
(四)贯穿“柔性化、植入式”思政教育
以“精技修身,守法卫国”为思政主线,一方面,在贯彻网络安全行业标准、实施攻防对抗演习中,着力培养学生精益求精、求实创新、敢为人先的工匠精神、职业精神和职业素养。另一方面,针对课程教学内容和培养目标的特殊性,通过抖音、快手等大学生喜闻乐见的形式,在知识点讲授过程中,柔性地植入美国“棱镜门”窃听、疫情期间多个黑客组织对我国卫生医疗机构发起网络攻击等案例,激发学生强烈的爱国情怀和卫国意识;在攻防对抗演习各环节,紧跟网络安全违法案例解析、网络安全法律条文警示,警民合作邀请网警加强学生法治教育,坚持职业道德操守。
三、实施效果
(一)攻防演习点燃兴趣
引入国家护网行动中常用的红蓝攻防对抗教学模式,增强了学生实训操作的代入感。线下对抗、线上挑战有效提高了学生学习兴趣,极大地激发了学生积极主动性和创造性思维,提升了学习动力和自信心。
(二)职业素质明显提升
通过网络安全法治教育和案例分析,学生更加理性地看待网络攻击和黑客行为,维护国家网络安全的意识明显增强。项目导师反馈,学生提交的实战演习报告更加专业、逻辑更加清晰。
(三)职业能力显著提高
学生在完成本模块的学习后,对设备安全与防范、系统安全与防范、应用安全与防范、数据安全与防范四个课程模块安全技术的掌握情况均有显著提升,能力目标达成。本专业学生在全国职业院校技能大赛、互联网+创新创业比赛中屡获大奖,表现出较强的专业能力。合作企业反馈,实习学生的专业素养、分析案例、应急处理网络突发安全事件的能力较强,个别学生留在企业成为技术骨干。
四、结语
基于“岗课赛证”的高职网络攻防技术课程教学设计基于CBE以能力培养为中心的教学理念[8],对接网络安全运维服务等职业岗位,以岗位能力培养为核心,以职业标准和技能大赛为引导,进行“岗课赛证”深度融合,职业能力与职业素质得到显著性提高[9]。充分发挥了教师的主导作用和学生的主体作用,强化学生技能的同时,学生专业素养与职业意识明显增强,为后续学生职业能力的提升打下了坚实的基础。
随着大数据、物联网、云计算的快速发展,愈演愈烈的网络攻击行为已经成为国家安全的新挑战,这对课程教学改革提出了新的要求。课程组及时吸收网络安全行业发展的新知识、新技术、新方法,对接岗位工作标准持续更新教学内容。由于教学中网络攻防工具软件大多是英文版,学生独立使用存在一定障碍,今后的教学改革中要完善常用工具软件的操作指导手册,拓展学生专业英语的学习,同时还要进一步完善评价体系,持续开展增值评价。