分析从职业竞技角度进行网络安全课程改革的实践

多年来，笔者承担学校网络操作系统配置与管理网络安全与防护等课程的教学工作，同时，作为指导老师承担多项职业院校技能大赛网络安全相关项目的竞赛辅导工作，并取得了良好的成绩。本文将通过研究全国技能竞赛对参赛选手能力的要求，探讨如何将技能竞赛知识点、考核方法融入课程建设中，同时对近几年进行的课程建设实践进行总结，以期从另一个角度开展课程改革和建设。

一、高职技能竞赛与课程建设互动

2010年全国职业院校技能大赛高职组设立了计算机网络组建与安全维护项目。赛项的目的是适应网络产业快速发展及三网融合的趋势，体现绿色节能理念，促进网络工程项目及产业前沿技术在高职院校中的教学应用，引导高职教育计算机网络专业的教学改革方向，优化课程设置;深化校企合作，推进产学结合人才培养模式改革;促进高职相应专业学生实训实习与就业。

从高职教育技能竞赛与课程建设两者之间的关系来看，后者为前者提供必要的知识、技能、素质准备，前者对后者实施过程中存在的问题进行反馈，并对后者的教育教学结果进行综合应用和实战检验。两者共同服务于高技能型人才的培养过程和培养目标，具有互动性。

传统的网络安全类课程在教学组织上存在着重理论轻实践、重个体轻协作的倾向，按照这种方式培养的学生可以理解一些网络安全的基础理论知识，但无法在现实环境中进行网络安全设备或服务主机的整机联调.或者出现个人能力较强但无法团队协作的问题。以计算机网络组建与安全维护大赛以及后续的信息安全技术应用大赛为代表的职业技能竞赛，非常注重理论知识与综合能力的结合，一般都是以团队协作，解决一个实际的项目任务，重视项目任务的顺利完成，同时，知识点覆盖计算机网络安全课程的大部分内容。这样的一种竞技模式，对传统的网络安全课程形成一种挑战。通过分析网络安全类技能竞赛的技术文件，我们发现，它具有以下特点:(1)项目任务贴近网络安全岗位群要求;(2)注重考察学生的专业能力和创新能力;(3)强调选手的团队协作和职业道德。而这些也是高职学生核心能力的体现，是我们课程建设和改革的方向，因此，从职业竞技角度进行网络安全的课程改革具有可行性。

二、以竞赛为参考，开展教学改革实践

1.相关知识点引入网络安全课程

以2011年全国大学生职业技能竞赛信息安全技术应用赛项为例，它的知识点考核分布在以下两个模块:(1)信息安全网络平台搭建，主要包括IP地址规划，如VLSM、子网划分等;交换机配置与调试，如TRUNI},STP,RSTP,MSTP,MAC地址绑定和端口聚合等配置;路由器的配置与调试，如RIP,OSPF,BGP、单臂路由、认证、策略路由、IP SecVPN,L2TP VPN,PPP,NAPT等配置;安全网关应用，主要包括使用防火墙规则保护内网服务安全，在防火墙上实现路由、IPS ,NAT转换、防DDOS攻击、实现包过滤,URL过滤,P2P流量控制、双机热备、DHCP,VPN实现远程安全接入和站点到站点的IPSec VPN或SSL VPN等;(2)网络安全攻防，主要包括远程服务器攻防演练，如针对未设置防护的服务器发起攻击、渗透、扫描、密码猜测等;服务器安全防护和安全威胁溯源等。

为了确保竞技效果，信息安全技术应用大赛还专门设计了极具展示效果的流程，将比赛分成三个阶段。第一阶段主要是进行网络环境的现场搭建与调试，主要是按照指定的拓扑图进行设备连线，完成各设备的基础配置，并进行连通性测试，以考察选手的组网能力。第二阶段针对特定安全攻防平台中的预设场景进行网络攻击渗透测试，获得目标主机中预设的标识文件，利用漏洞进行网络内全方位安全测试，同时对自身网络系统中不安全的因素进行修正和加固。第三阶段就是直接进行参赛队之间的对抗，可充分利用弱口令暴力破解、抓包嗅探、ARP欺骗、主机远程访问、IIS服务器配置、WEB安全漏洞认识、HTTP报文安全性认识、搭建CA证书服务器、SQL注入与加固、Linux漏洞利用与加固、垃圾邮件防范、SSL加密、缓冲区溢出、基线安全工具使用、远程木马控制等手段进行网络的攻击，同时防御来自其它参赛队的网络入侵。

网络安全课程主要是为企事业单位网络安全管理员岗位服务，其主要的知识目标包括具备网络协议底层结构与原理的知识与新的协议的学习方法;学习数据加密和VPN技术相关知识以及对新知识的学习方法;学习防火墙技术与原理和对新知识的学习方法;学习入侵检测/防御技术与原理和对新知识的学习方法;学习主机安全防护与病毒防范相关知识与概念和对新知识的学习方法;学习保障网络安全可靠运行的相关技术与知识。其主要的能力目标包括学会协议分析技术，能利用协议分析软件定位协议及流量引发的安全问题，具备实施有效的防护措施的方法与能力;学会数据加密技术与VPN技术为数据提供保护，并能设计规划VPN方案，具备对数据机密性、完整性、合法性保护的方法与能力;学会防火墙在网络中的设计、规划与部署，能对网络访问行为加以控制，具备利用防火墙保护网络的能力;学会利用入侵检测/防御技术对网络行为进行审记与防护，并能部署入侵检测/防御方案;学会对主流操作系统的主机实施全而安全防护措施与病毒防范和病毒处理的方法与能力;学会对网络部署不同层而的安全防护技术，保障网络安全可靠运行的相关技能与方法。

在确保课程主体目标不变的前提下，重点参考2011年全国大学生职业技能竞赛信息安全技术应用赛项知识点和竞技手段，我们对课程的教学内容进行改革，组成了教学模块。

2.以任务为引领，开展课堂教学改革

以网络攻击技术与实践的某次课堂为例，我们通过虚拟机技术，为全班每一位学生搭建具有已知漏洞的堡垒主机，然后，给学生部署以下实践任务。

任务一:服务器A主机信息收集。服务器A的IP地址10.5.7.1xx (x、为工位号)，通过NMAP扫描工具，获取服务器A系统信息，查看端口开放情况和相应的服务(如ftp , 3389远程连接，http服务等)。

任务二:服务器A弱口令猜解。利用攻击工具，猜测服务器A的登录口令，并通过该口令进入服务器A。在服务器A桌而上获得文件名为服务器B.txt的文件，查看文件中的IP地址。

任务三:服务器B的IIS权限探测。利用IIS上传工具，对其进行IIS写权限探测，验证该目录是否可写;若该目录可写，上传help.txt至服务器B，要求可以通过http://服务器B/help.txt访问到上传的文件。

任务四:服务器B的WEB网站SQL注入攻击。访问服务器B的WEB网站，尝试进行手工SQL注入，发现网站可以进行SQL注入攻击，利用注入工具，获取数据库表及用户名、密码等有效数据。接着去探测后台管理登录页而，利用已经猜解到的用户名，密码等成功登录后台。最后建立新的账号，并通过该账号登录服务器B，在服务器B的桌而上获得文件名为服务器C.txt的文件，查看文件中的内容。

任务五:服务器C的MYSQL密码破解。通过服务器C.txt中的内容提示找出服务器C的IP地址，利用攻击工具破解服务器C的MYSQL的ROOT密码。

在实践老师的引导下，学生自行查阅相关资料，从数字教学资源FTP站点中下载对应的工具软件，在学习掌握网络安全工具软件的基础上，可以迅速完成一系列的工作任务，从中获得巨大的成就感和满足感，很好的完成了课堂教学任务。

三、课程改革效果

经过为期三年的课程改革实践，以职业竞技方式进行网络安全课程教学已经成为浙江机电职业技术学院网络技术专业的特色课程，改变了以前以网络安全理论教学辅以安全实验为主的教学方式。从课程一开始就明确了网络安全以攻防竞技为手段的学习模式，学生在分析自身不同优势的前提下，首先明确自己是攻击方还是防御方，然后，通过学习各自领域的专业技术，分阶段进行竞技对抗，极大地调动了学生的学习积极性和主动性，强化了高职学生的核心能力。

在课程教学外，每年还定期举行学校网络安全攻防竞赛，更进一步吸引了其它专业的学生参加该课程的双休日工程和兴趣班。

从职业竞技角度进行网络安全课程改革实践，还需要其它方而的配合。下一步我们将继续进行课程整合，在现有考核方式的基础上，进行课程评价方式的变革，在现有案例题库基础上进行试题库建设，在现有教学录像基础上进行微课案例的编写等。