分析從職業競技角度進行網絡安全課程改革的實踐論文

多年來，筆者承擔學校“網絡操作系統配置與管理”“網絡安全與防護”等課程的教學工作，同時，作為指導老師承擔多項職業院校技能大賽網絡安全相關項目的競賽輔導工作，並取得了良好的成績。本文將通過研究全國技能競賽對參賽選手能力的要求，探討如何將技能競賽知識點、考核方法融入課程建設中，同時對近幾年進行的課程建設實踐進行總結，以期從另一個角度開展課程改革和建設。

一、高職技能競賽與課程建設互動

2010年全國職業院校技能大賽高職組設立了“計算機網絡組建與安全維護”項目。賽項的目的是適應網絡產業快速發展及“三網融合”的趨勢，體現綠色節能理念，促進網絡工程項目及產業前沿技術在高職院校中的教學應用，引導高職教育計算機網絡專業的教學改革方向，優化課程設置;深化校企合作，推進產學結合人才培養模式改革;促進高職相應專業學生實訓實習與就業。

從高職教育技能競賽與課程建設兩者之間的關係來看，後者為前者提供必要的知識、技能、素質準備，前者對後者實施過程中存在的問題進行反饋，並對後者的教育教學結果進行綜合應用和實戰檢驗。兩者共同服務於高技能型人才的培養過程和培養目標，具有互動性。

傳統的網絡安全類課程在教學組織上存在着“重理論輕實踐、重個體輕協作”的傾向，按照這種方式培養的學生可以理解一些網絡安全的基礎理論知識，但無法在現實環境中進行網絡安全設備或服務主機的整機聯調.或者出現個人能力較強但無法團隊協作的問題。以“計算機網絡組建與安全維護”大賽以及後續的“信息安全技術應用”大賽為代表的職業技能競賽，非常注重理論知識與綜合能力的結合，一般都是以團隊協作，解決一個實際的項目任務，重視項目任務的順利完成，同時，知識點覆蓋計算機網絡安全課程的大部分內容。這樣的'一種競技模式，對傳統的網絡安全課程形成一種挑戰。通過分析網絡安全類技能競賽的技術文件，我們發現，它具有以下特點:(1)項目任務貼近網絡安全崗位羣要求;(2)注重考察學生的專業能力和創新能力;(3)強調選手的團隊協作和職業道德。而這些也是高職學生核心能力的體現，是我們課程建設和改革的方向，因此，從職業競技角度進行網絡安全的課程改革具有可行性。

二、以競賽為參考，開展教學改革實踐

1.相關知識點引入網絡安全課程

以2011年全國大學生職業技能競賽“信息安全技術應用”賽項為例，它的知識點考核分佈在以下兩個模塊:(1)信息安全網絡平台搭建，主要包括IP地址規劃，如VLSM、子網劃分等;交換機配置與調試，如TRUNI},STP,RSTP,MSTP,MAC地址綁定和端口聚合等配置;路由器的配置與調試，如RIP,OSPF,BGP、單臂路由、認證、策略路由、IP SecVPN,L2TP VPN,PPP,NAPT等配置;安全網關應用，主要包括使用防火牆規則保護內網服務安全，在防火牆上實現路由、IPS ,NAT轉換、防DDOS攻擊、實現包過濾,URL過濾,P2P流量控制、雙機熱備、DHCP,VPN實現遠程安全接入和站點到站點的IPSec VPN或SSL VPN等;(2)網絡安全攻防，主要包括遠程服務器攻防演練，如針對未設置防護的服務器發起攻擊、滲透、掃描、密碼猜測等;服務器安全防護和安全威脅溯源等。

為了確保競技效果，“信息安全技術應用”大賽還專門設計了極具展示效果的流程，將比賽分成三個階段。第一階段主要是進行網絡環境的現場搭建與調試，主要是按照指定的拓撲圖進行設備連線，完成各設備的基礎配置，並進行連通性測試，以考察選手的組網能力。第二階段針對特定安全攻防平台中的預設場景進行網絡攻擊滲透測試，獲得目標主機中預設的標識文件，利用漏洞進行網絡內全方位安全測試，同時對自身網絡系統中不安全的因素進行修正和加固。第三階段就是直接進行參賽隊之間的對抗，可充分利用弱口令暴力破解、抓包嗅探、ARP欺騙、主機遠程訪問、IIS服務器配置、WEB安全漏洞認識、HTTP報文安全性認識、搭建CA證書服務器、SQL注入與加固、Linux漏洞利用與加固、垃圾郵件防範、SSL加密、緩衝區溢出、基線安全工具使用、遠程木馬控制等手段進行網絡的攻擊，同時防禦來自其它參賽隊的網絡入侵。

網絡安全課程主要是為企事業單位網絡安全管理員崗位服務，其主要的知識目標包括具備網絡協議底層結構與原理的知識與新的協議的學習方法;學習數據加密和VPN技術相關知識以及對新知識的學習方法;學習防火牆技術與原理和對新知識的學習方法;學習入侵檢測/防禦技術與原理和對新知識的學習方法;學習主機安全防護與病毒防範相關知識與概念和對新知識的學習方法;學習保障網絡安全可靠運行的相關技術與知識。其主要的能力目標包括學會協議分析技術，能利用協議分析軟件定位協議及流量引發的安全問題，具備實施有效的防護措施的方法與能力;學會數據加密技術與VPN技術為數據提供保護，並能設計規劃VPN方案，具備對數據機密性、完整性、合法性保護的方法與能力;學會防火牆在網絡中的設計、規劃與部署，能對網絡訪問行為加以控制，具備利用防火牆保護網絡的能力;學會利用入侵檢測/防禦技術對網絡行為進行審記與防護，並能部署入侵檢測/防禦方案;學會對主流操作系統的主機實施全而安全防護措施與病毒防範和病毒處理的方法與能力;學會對網絡部署不同層而的安全防護技術，保障網絡安全可靠運行的相關技能與方法。

在確保課程主體目標不變的前提下，重點參考2011年全國大學生職業技能競賽“信息安全技術應用”賽項知識點和競技手段，我們對課程的教學內容進行改革，組成了教學模塊。

2.以任務為引領，開展課堂教學改革

以網絡攻擊技術與實踐的某次課堂為例，我們通過虛擬機技術，為全班每一位學生搭建具有已知漏洞的堡壘主機，然後，給學生部署以下實踐任務。

任務一:服務器A主機信息收集。服務器A的IP地址xx (x、為工位號)，通過NMAP掃描工具，獲取服務器A系統信息，查看端口開放情況和相應的服務(如ftp , 3389遠程連接，http服務等)。

任務二:服務器A弱口令猜解。利用攻擊工具，猜測服務器A的登錄口令，並通過該口令進入服務器A。在服務器A桌而上獲得文件名為“服務器”的文件，查看文件中的IP地址。

任務三:服務器B的IIS權限探測。利用IIS上載工具，對其進行IIS寫權限探測，驗證該目錄是否可寫;若該目錄可寫，上載至服務器B，要求可以通過http://服務器B/訪問到上載的文件。

任務四:服務器B的WEB網站SQL注入攻擊。訪問服務器B的WEB網站，嘗試進行手工SQL注入，發現網站可以進行SQL注入攻擊，利用注入工具，獲取數據庫表及用户名、密碼等有效數據。接着去探測後台管理登錄頁而，利用已經猜解到的用户名，密碼等成功登錄後台。最後建立新的賬號，並通過該賬號登錄服務器B，在服務器B的桌而上獲得文件名為“服務器”的文件，查看文件中的內容。

任務五:服務器C的MYSQL密碼破解。通過“服務器”中的內容提示找出服務器C的IP地址，利用攻擊工具破解服務器C的MYSQL的ROOT密碼。

在實踐老師的引導下，學生自行查閲相關資料，從數字教學資源FTP站點中下載對應的工具軟件，在學習掌握網絡安全工具軟件的基礎上，可以迅速完成一系列的工作任務，從中獲得巨大的成就感和滿足感，很好的完成了課堂教學任務。

三、課程改革效果

經過為期三年的課程改革實踐，以職業競技方式進行網絡安全課程教學已經成為浙江機電職業技術學院網絡技術專業的特色課程，改變了以前以網絡安全理論教學輔以安全實驗為主的教學方式。從課程一開始就明確了網絡安全以攻防競技為手段的學習模式，學生在分析自身不同優勢的前提下，首先明確自己是攻擊方還是防禦方，然後，通過學習各自領域的專業技術，分階段進行競技對抗，極大地調動了學生的學習積極性和主動性，強化了高職學生的核心能力。

在課程教學外，每年還定期舉行學校網絡安全攻防競賽，更進一步吸引了其它專業的學生參加該課程的雙休日工程和興趣班。

從職業競技角度進行網絡安全課程改革實踐，還需要其它方而的配合。下一步我們將繼續進行課程整合，在現有考核方式的基礎上，進行課程評價方式的變革，在現有案例題庫基礎上進行試題庫建設，在現有教學錄像基礎上進行微課案例的編寫等。