高职信息安全技术应用专业课程教学改革探索
——以网络攻防与实践课程为例
2022-12-21刘坤,庾佳
刘 坤,庾 佳
(苏州健雄职业技术学院 软件与服务外包学院,江苏 太仓 215411)
近年来,随着互联网的快速发展,网络安全问题日益突出。利用网络从事犯罪活动的案件也越来越多,使个人利益和国家利益都受到严重威胁。因此当前和今后一个时期,国家网络空间安全工作的战略任务是坚定捍卫网络空间主权,推进网络空间和平、安全、开放、合作、有序发展,实现网络强国的战略目标[1]。为了维护网络正常运行,确保网络空间安全,需要大量网络安全人才从事网络安全技术工作,这就对各类院校培养高素质网络安全人才提出了更高的要求。本文拟从职业岗位需求、人才核心素养和职业技能三个方面对高职院校信息安全技术应用专业课程体系结构进行深入分析,结合网络攻防与实践课程实施提出课程教学改革方法和途径。
一、信息安全技术应用专业课程体系构建
信息安全技术应用专业主要根据“岗位-核心素养-职业技能”的原则构建课程体系,按照企业“网络构建”“安全运维”“渗透测试”“应用服务”等主要岗位能力要求设置课程内容。目前与信息安全专业密切相关的岗位主要有网络安全运维工程师、渗透测试工程师、风险评估工程师、安全加固工程师和代码审计工程师[2],其中网络安全运维工程师和渗透测试工程师是大多数初级人才入门岗位,对高职毕业生需求最为广泛,适合信息安全技术应用专业学生就业。因此明确该专业的人才培养目标是:具备良好职业道德,掌握完整的网络攻防知识体系及漏洞检测、渗透测试等技能,具备一定的安全攻防实战经验,基础扎实、动手能力强的综合型、实用型安全技术人才。
网络攻防与实践课程作为信息安全技术专业的核心课程之一,依据人才培养方案,对接岗位需求,围绕典型网络安全事件案例,采用“以学生为中心,结合信息时代教与学特征”的设计思路,以网络黑客、电信网络诈骗、侵犯公民个人隐私等违法犯罪行为案例为切入点,组织训练网络安全专业技能,涵盖了网络协议分析、网络扫描、网络嗅探、数据库攻击与加固、Web渗透与加固技术、系统加固等方面要求的知识和技能点,以学生为主体,对课堂教学进行改革。课岗赛证融合教学内容如图1所示。
图1 课岗赛证融合教学内容
二、信息安全技术应用专业课程教学改革措施
为了强化学生的实践能力,教学团队自主研发了网络攻防与渗透实验教学平台,该平台包含丰富的训练内容,可以支撑信息安全技术应用专业课程体系中的多门课程,这里以网络攻防与实践课程项目五——“黑客入侵检测与防范”为例,说明平台训练内容对课程教学内容的支撑。课程教学团队针对企业网络安全员岗位需求,以及本地区网络安全现状,对原有教学内容进行了提升和重组,基于课岗赛证融合理念选取课程内容,采用项目任务式架构组织教学内容,立足学情分析实施“基于情境自主探究+案例教学”的教学策略,按照企业渗透测试规范和创新要求进行授课[5],采用PBL(基于项目学习与问题学习)、启发式、探究式、讨论式等教学模式,将信息安全意识与素养教育、《网络安全法》等法律法规意识融入项目任务学习过程,使价值塑造、知识传授与技能训练融为一体,对培养德技并修的技能型网络安全人才起到较好的支撑作用。
(一)依托网络安全案例,融思政引任务
坚持立德树人的根本目标,结合网络安全事件,融思政引任务,如图2所示。结合网络黑客、电信网络诈骗、侵犯公民个人隐私等违法行为案例,融入网络安全法、个人信息保护法等法律法规,增强学生的网络安全防护意识、懂法守法意识;通过学习习近平总书记关于建设网络强国、网络空间安全等系列重要讲话,激发学生的爱国情怀,增强学生的责任感和使命感,从而激发学生的学习动力和热情,达到预期的学习目标。思政元素的融入有助于学生树立正确的世界观、人生观和价值观,形成健全人格,实现自身的全面发展。
图2 结合网络安全案例,融思政引任务
(二)模拟仿真,角色扮演
模拟场景学技能,在课前初步确定攻防方案的基础上,不断完善方案,“做中学”“做中教”,在网络攻防虚拟仿真平台中复原漏洞,分“角色”模拟实现攻击与防范,来验证方案的可行性,通过反复修改方案和攻防实施步骤的过程,帮助学生熟练掌握Web渗透技术和防范方法。针对教学重难点,引导学生自主探究,查找漏洞,分析漏洞存在的原因。利用互联网查找攻击与防范措施,并在虚拟仿真平台实施验证测试,最后分组演示汇报,教师点评总结,从而帮助学生理解Web漏洞原理,学会处置入侵的方法和技术,突破教学难点。
(三)实战训练,任务闯关,激发学习兴趣
在教学过程中,始终坚持以学生为中心,课程团队精心设计任务闯关卡,学生需按照“黑客”攻击步骤拿到数据填写信息后,按照“管理员”的身份处理问题,修补漏洞,加固网站,大大激发了学生学习的主动性和积极性,分析问题、解决问题能力和沟通能力明显增强。对于实战项目,按照企业渗透测试标准编写实训报告模板,利用模拟环境真实再现电子商务网站渗透测试流程,贴近企业渗透测试工程师工作岗位,丰富学生实战经验。
(四)线上线下结合,多元化评价
线上线下活动贯穿“案例分析—虚实结合”的教学方式,扩展了传统课堂教与学的空间,采用虚拟仿真软件、微课、工单任务等信息化手段突出重点内容,通过大数据平台学情分析、动画、案例分析等攻克难点问题,在线课程、移动端APP学习通、班级QQ群等多工具并用,沟通无处不在,重构传统课堂教学,教学过程得以优化,“线上+线下”的多元化评价方式如表1所示。
表1 多元化评价方式
三、信息安全技术应用专业课程教学改革效果分析
(一)学习效果显著提升
通过实施案例教学、情境教学,学生掌握了SQL注入漏洞、XSS漏洞、文件上传漏洞、文件包含漏洞原理知识,提升了漏洞挖掘、漏洞利用、修补漏洞等技能,增强了网络安全意识,具备了良好的职业道德,懂得了网络安全法等法律法规,综合利用网站漏洞入侵与防范能力显著提升。通过课程学习,学生将学习成果进行完善后参加校创新创业比赛获得了二等奖、三等奖,同时获批省实践创新训练项目。通过创新驱动的课程教学,学生的创新意识和能力得到了提升。
(二)教学资源不断丰富
依托课程改革教学团队精心编写了配套教材《网络攻防与实践(第2版)》,并获国家十三五规划教材,以院级优秀在线课程网络攻防与实践为支撑,教师团队制作了动画微课6个,微课视频22个,通过学习通APP推送给学生,引发学生进行探究式自主学习,使网络教学与移动教学得到了广泛应用并覆盖全部内容。通过动画形式展示攻防过程,让学生掌握Web渗透与加固相关知识,以生动形象的方式激发学生学习兴趣,提高教学效率。
(三)特色创新
融合课岗赛证的课程改革针对国家“十三五”期间“互联网+”、电子政务、智慧城镇和教育信息化等领域信息安全岗位人才需求,按照《高等职业教育电子信息类专业指导规范II》中信息安全与管理专业建设标准,通过岗赛证融合丰富完善学习领域课程内容,使人才培养更贴近岗位实际,从而提升专业人才培养服务社会和行业发展的能力。
通过创新项目,师生共同完成具有自主知识产权的网络攻防与渗透训练教学平台。该教学平台提供网络常用攻击方式,同时提供具有多个漏洞的综合网站电子商务网站环境,真实还原复现漏洞场景,学生可以在平台按真实案例实施步骤进行操作,模拟攻击,有效提升实战能力。
创设网络安全案例场景,全面渗透思政育人。教学中通过“今日说法”真实网络安全案例,宣讲普及网络安全法律法规,潜移默化地培养学生树立正确的网络安全观、国家网络安全与网络主权意识,增强学生的爱国情怀、责任感和使命感。以《网络安全法》为导向进行普法教育,培养学生的法律意识和职业道德准则。
为了提高信息安全技术应用专业学生技能水平,贯彻三教改革理念,教学团队自主设计实现了网络攻防与渗透实验教学平台,有效提升了学生的实战能力,结合网络攻防与实践教学实施过程,融入课程思政、信息安全法律法规、1+X考证、职业技能比赛等内容,有效培养了学生的自主学习能力和创新精神,对信息安全技术应用专业其他课程教学改革具有很好的借鉴和推广作用。