基于“CTF競賽”模式的高職信息安全與管理專業課程體系研究

王文莉+劉開茗+王清

摘要：當前信息安全人才培養存在專業定位不準、學生興趣不高、學習效率低下等問題，本研究以鄭州鐵路職業技術學院信息安全與管理專業課程體系為例，提出基于“CTF競賽”模式的信息安全課程體系建設方案，通過市場調研確定專業特色并將“CTF競賽”模式融入教學過程，對信息安全專業人才培養具有較好的參考價值。

關鍵詞：高職；信息安全與管理專業；“CTF競賽”教學模式

一、引言

國家互聯網應急中心的數據顯示：2015年，我國近2883萬個IP地址對應的主機被木馬或僵尸程序控制，移動互聯網惡意程序樣本147萬個，被植入后門的網站數量達75028個，其中，政府網站3514個，仿冒境內網站的頁面數量達184574個，數字較2014年均有50%以上的漲幅。因此，掌握Web安全防御相關技能的人才在網絡安全行業中有著廣泛的需求，其行業人才缺口巨大。

二、當前信息安全人才培養中存在的問題。

（一）專業定位不夠明確，特色不夠鮮明

據不完全統計，目前在開設信息安全課程的高校中，本科類有94 所、高職類有27所，部分高校在信息安全人才培養方面已經形成了鮮明的特色，如以密碼技術為特色、以網絡攻防技術為特色、以數據安全為特色的人才培養定位等。但對于更多的高校來說，信息安全與管理專業的人才培養缺乏明確的定位，與市場需求脫軌，課程體系雜亂無章。

（二）課程體系缺少實用性和先進性

當前，高職類信息安全專業的課程設置存在沿襲本科課程體系的痕跡，課程涉及較多的密碼技術、安全協議、安全體系等，且課程內容重理論輕實踐；或課程設置偏重安全設備的部署，并沒有涉及太多信息安全對抗、Web安全等內容，與當前市場需要存在差距。另外，由于信息安全技術的飛速發展和新的網絡攻擊手段不斷出現，新的攻擊手段、新的病毒和木馬出現很短時間內就會被安全軟件查殺，這使得信息安全專業課程難以獲得先進、實時、有效的實驗教學樣本和素材，也使得教師需要不斷學習新的知識，大大增加了教師教學的難度。

（三）信息安全的知識體系決定了學生較易喪失學習積極性

信息安全的知識結構特點要求學生在學習時不僅要具備相當的計算機基礎，而且要具備較強的逆向思維能力。學生開始時對信息安全課有很大的興趣， 但在解決實際問題中，很快就喪失了熱情，很多學生無法理解課堂學習的知識如何與實際問題相結合，在實際中解決問題的能力有待提升。

三、基于“CTF競賽”模式的信息安全與管理專業課程體系的構建

（一）“CTF競賽”模式

CTF（capture the flag）即奪旗競賽，是全球信息安全圈流行的競賽形式。奪旗競賽可以增加比賽的趣味性和競爭性，因此將其借鑒到信息安全專業教學過程中，可以提高學生對該課程的學習興趣，使學生在游戲中學習，在競賽中提高。

CTF 競賽主要包括三種競賽模式。第一，解題模式。該模式以解決挑戰題目的分值和時間排名，通常用于在線選拔賽。第二，攻防模式。參賽者互相攻防，通過挖掘漏洞、攻擊對手服務得分，通過修補自身漏洞避免丟分，是一種競爭激烈、具有強觀賞性和高透明性的網絡空間安全賽制。第三，混合模式。該模式同時結合了解題模式與攻防模式，如參賽者通過解題獲取一些初始分數，通過攻防對抗進行得分增減，最終以得分高低分出勝負。

（二）課程體系的構建

1.整體思路

根據“崗位→職業能力→課程體系”的建設原則設定課程體系和教學內容，按照企業“網絡構建”“安全運維”“滲透測試”和“數據安全”主要崗位的能力要求，融入基于“CTF競賽”的教學模式，構建“基礎素質平臺+專業基礎平臺+崗位能力平臺”三大平臺的“基于CTF競賽教學模式”的課程體系。

2.課程體系的構建

（1）崗位分析

鄭州鐵路職業技術學院信息安全專業教師團隊深入安恒信息技術公司、藍盾信息安全技術公司、紅亞華宇科技等知名企業，針對信息安全相關就業崗位技能需求進行調研，并結合信息安全人才市場需求的調研結果，得出五個需求量最大的信息安全職業類別，分別是：安全運維工程師、滲透測試工程師、風險評估工程師、安全加固工程師和代碼審計工程師。安全運維工程師和滲透測試工程師是大多數初級人才的入門崗位，并且對高職學歷學生也有著最為廣泛的需求，因此我們應該培養具備完整的攻防知識體系，掌握漏洞檢測、滲透測試、入侵痕跡檢查及取證等技能，具備一定的安全攻防實戰經驗、基礎扎實、動手能力強的綜合型、實用型的安全技術人才。

（2）信息安全課程體系框架構建

根據國家對高職層次人才培養的要求，將信息安全與管理專業的課程體系劃分為“基礎素質平臺”“專業基礎平臺”和“崗位能力平臺”三大平臺。其中基礎素質平臺和專業基礎平臺課程由基礎素質課程、專業基礎知識課程組成，進行基本素質和基本技能培養，由政治、體育、大學英語、計算機網絡基礎、C#程序設計、MySQL數據庫應用、PHP程序設計等課程組成；崗位能力平臺旨在滿足崗位核心能力需要，訓練學生崗位職業能力和職業素養。依據“網絡構建”“安全運維”“滲透測試”和“數據安全”四大核心能力類型，制定的崗位能力平臺課程體系如下圖所示。

（3）信息安全實踐教學環節的構建

加大技能型人才培養的力度，增強企業的參與度。在第3、第5學期設有3周校內實踐教學環節，與企業合作、共同指導。在第2、第4學期的假期分別開設了2周的假期專業實踐活動。第2學期的專業實踐活動為專業認識實習，內容為云安全技術體驗，第4學期的專業實踐活動為專業跟崗實習，內容為信息安全攻防技術實戰。在這兩個環節將學生安排到校外企業實習，校內指導教師全程參與監管。通過學生在企業的體驗，拓寬學生的知識面，提高學生綜合素質和工作能力。

（4）基于“CTF競賽”的教學模式

將“CTF競賽”模式引入日常教學過程，讓比賽的每一關引出一個知識點，每一級組成一門專業課程，通過闖關—遇到問題—學習知識—解決問題—闖過關卡的步驟，使學生在賽中學、學中賽，不斷激發學生的學習積極性和求知欲，達到提升教學效果、促進教學改革的目的。

四、結語

基于“CTF競賽”模式的課程體系，旨在激發學生的學習興趣，提高學生的學習效率，促進高職人才培養質量的提高。經過一年實踐，取得了初步成效，鄭州鐵路職業技術學院在全國職業院校技能大賽信息安全賽項中獲得1個二等獎，在第一屆河南省高等學校信息安全與對抗大賽中獲得2個一等獎的好成績。但信息安全專業是一個技術發展迅速、有相當難度的專業，課程體系如何設置、課程界限如何劃分、如何保持課程內容實用性與先進性，還有待進一步研究和實踐。

參考文獻：

[1]賈學明.基于網絡攻防演練場景教學的公安類信息安全人才培養模式改革探討[J].信息與電腦，2016，（9）.

[2]張博，南淑萍.基于主動式學習的信息安全專業工程實踐課程改革研究[J].新余學院學報，2015， （8）.