基于“CTF竞赛”模式的高职信息安全与管理专业课程体系研究

王文莉+刘开茗+王清

摘要：当前信息安全人才培养存在专业定位不准、学生兴趣不高、学习效率低下等问题，本研究以郑州铁路职业技术学院信息安全与管理专业课程体系为例，提出基于“CTF竞赛”模式的信息安全课程体系建设方案，通过市场调研确定专业特色并将“CTF竞赛”模式融入教学过程，对信息安全专业人才培养具有较好的参考价值。

关键词：高职；信息安全与管理专业；“CTF竞赛”教学模式

一、引言

国家互联网应急中心的数据显示：2015年，我国近2883万个IP地址对应的主机被木马或僵尸程序控制，移动互联网恶意程序样本147万个，被植入后门的网站数量达75028个，其中，政府网站3514个，仿冒境内网站的页面数量达184574个，数字较2014年均有50%以上的涨幅。因此，掌握Web安全防御相关技能的人才在网络安全行业中有着广泛的需求，其行业人才缺口巨大。

二、当前信息安全人才培养中存在的问题。

（一）专业定位不够明确，特色不够鲜明

据不完全统计，目前在开设信息安全课程的高校中，本科类有94 所、高职类有27所，部分高校在信息安全人才培养方面已經形成了鲜明的特色，如以密码技术为特色、以网络攻防技术为特色、以数据安全为特色的人才培养定位等。但对于更多的高校来说，信息安全与管理专业的人才培养缺乏明确的定位，与市场需求脱轨，课程体系杂乱无章。

（二）课程体系缺少实用性和先进性

当前，高职类信息安全专业的课程设置存在沿袭本科课程体系的痕迹，课程涉及较多的密码技术、安全协议、安全体系等，且课程内容重理论轻实践；或课程设置偏重安全设备的部署，并没有涉及太多信息安全对抗、Web安全等内容，与当前市场需要存在差距。另外，由于信息安全技术的飞速发展和新的网络攻击手段不断出现，新的攻击手段、新的病毒和木马出现很短时间内就会被安全软件查杀，这使得信息安全专业课程难以获得先进、实时、有效的实验教学样本和素材，也使得教师需要不断学习新的知识，大大增加了教师教学的难度。

（三）信息安全的知识体系决定了学生较易丧失学习积极性

信息安全的知识结构特点要求学生在学习时不仅要具备相当的计算机基础，而且要具备较强的逆向思维能力。学生开始时对信息安全课有很大的兴趣， 但在解决实际问题中，很快就丧失了热情，很多学生无法理解课堂学习的知识如何与实际问题相结合，在实际中解决问题的能力有待提升。

三、基于“CTF竞赛”模式的信息安全与管理专业课程体系的构建

（一）“CTF竞赛”模式

CTF（capture the flag）即夺旗竞赛，是全球信息安全圈流行的竞赛形式。夺旗竞赛可以增加比赛的趣味性和竞争性，因此将其借鉴到信息安全专业教学过程中，可以提高学生对该课程的学习兴趣，使学生在游戏中学习，在竞赛中提高。

CTF 竞赛主要包括三种竞赛模式。第一，解题模式。该模式以解决挑战题目的分值和时间排名，通常用于在线选拔赛。第二，攻防模式。参赛者互相攻防，通过挖掘漏洞、攻击对手服务得分，通过修补自身漏洞避免丢分，是一种竞争激烈、具有强观赏性和高透明性的网络空间安全赛制。第三，混合模式。该模式同时结合了解题模式与攻防模式，如参赛者通过解题获取一些初始分数，通过攻防对抗进行得分增减，最终以得分高低分出胜负。

（二）课程体系的构建

1.整体思路

根据“岗位→职业能力→课程体系”的建设原则设定课程体系和教学内容，按照企业“网络构建”“安全运维”“渗透测试”和“数据安全”主要岗位的能力要求，融入基于“CTF竞赛”的教学模式，构建“基础素质平台+专业基础平台+岗位能力平台”三大平台的“基于CTF竞赛教学模式”的课程体系。

2.课程体系的构建

（1）岗位分析

郑州铁路职业技术学院信息安全专业教师团队深入安恒信息技术公司、蓝盾信息安全技术公司、红亚华宇科技等知名企业，针对信息安全相关就业岗位技能需求进行调研，并结合信息安全人才市场需求的调研结果，得出五个需求量最大的信息安全职业类别，分别是：安全运维工程师、渗透测试工程师、风险评估工程师、安全加固工程师和代码审计工程师。安全运维工程师和渗透测试工程师是大多数初级人才的入门岗位，并且对高职学历学生也有着最为广泛的需求，因此我们应该培养具备完整的攻防知识体系，掌握漏洞检测、渗透测试、入侵痕迹检查及取证等技能，具备一定的安全攻防实战经验、基础扎实、动手能力强的综合型、实用型的安全技术人才。

（2）信息安全课程体系框架构建

根据国家对高职层次人才培养的要求，将信息安全与管理专业的课程体系划分为“基础素质平台”“专业基础平台”和“岗位能力平台”三大平台。其中基础素质平台和专业基础平台课程由基础素质课程、专业基础知识课程组成，进行基本素质和基本技能培养，由政治、体育、大学英语、计算机网络基础、C#程序设计、MySQL数据库应用、PHP程序设计等课程组成；岗位能力平台旨在满足岗位核心能力需要，训练学生岗位职业能力和职业素养。依据“网络构建”“安全运维”“渗透测试”和“数据安全”四大核心能力类型，制定的岗位能力平台课程体系如下图所示。

（3）信息安全实践教学环节的构建

加大技能型人才培养的力度，增强企业的参与度。在第3、第5学期设有3周校内实践教学环节，与企业合作、共同指导。在第2、第4学期的假期分别开设了2周的假期专业实践活动。第2学期的专业实践活动为专业认识实习，内容为云安全技术体验，第4学期的专业实践活动为专业跟岗实习，内容为信息安全攻防技术实战。在这两个环节将学生安排到校外企业实习，校内指导教师全程参与监管。通过学生在企业的体验，拓宽学生的知识面，提高学生综合素质和工作能力。

（4）基于“CTF竞赛”的教学模式

将“CTF竞赛”模式引入日常教学过程，让比赛的每一关引出一个知识点，每一级组成一门专业课程，通过闯关—遇到问题—学习知识—解决问题—闯过关卡的步骤，使学生在赛中学、学中赛，不断激发学生的学习积极性和求知欲，达到提升教学效果、促进教学改革的目的。

四、结语

基于“CTF竞赛”模式的课程体系，旨在激发学生的学习兴趣，提高学生的学习效率，促进高职人才培养质量的提高。经过一年实践，取得了初步成效，郑州铁路职业技术学院在全国职业院校技能大赛信息安全赛项中获得1个二等奖，在第一届河南省高等学校信息安全与对抗大赛中获得2个一等奖的好成绩。但信息安全专业是一个技术发展迅速、有相当难度的专业，课程体系如何设置、课程界限如何划分、如何保持课程内容实用性与先进性，还有待进一步研究和实践。

参考文献：

[1]贾学明.基于网络攻防演练场景教学的公安类信息安全人才培养模式改革探讨[J].信息与电脑，2016，（9）.

[2]张博，南淑萍.基于主动式学习的信息安全专业工程实践课程改革研究[J].新余学院学报，2015， （8）.