高职院校信息安全与管理专业技能抽测考核方案研究

刘亚 肖瑶星

摘  要 以信息安全与管理专业人才培养方案为依据，以课程体系为向导，针对高职全日制在籍毕业年级学生，探究该专业的技能抽测考核方案，希望通过该方案的实施能切实提高学生的专业技能，增强就业竞争力，为社会培养优秀的应用型技能人才。

关键词 高职院校;信息安全与管理专业;人才培养方案;技能抽测考核方案;职业素养

中图分类号：G712    文献标识码：B

文章编号：1671-489X（2021）15-0063-03

1  考核目标设定

依据高职院校信息安全与管理专业人才培养方案[1]，适应网络工程师、Web应用安全技术员、网络安全运维工程师、渗透测试工程师岗位等要求，通过网络设备配置与调试、服务器系统管理与安全加固、网络安全设备配置、系统安全攻防及运维安全管控四大考核模块，测试学生的局域网系统设计、安装、调试、维护、运行与管理，服务器及网络配置、安全管理、维护，网络安全设备配置，网络安全规划管理、网络安全协议分析，系统安全管理，加密技术应用，Web渗透測试与防御、数据库安全、项目管理，信息安全规划与设计方案文档的撰写与阅读等职业能力，考查学生从事信息安全技术工作的团队协作、成本控制、质量效益、安全规范、信息素养、工匠精神、践行社会主义核心价值观、社会责任感、社会参与意识等职业素养，促进专业不断完善教学基本条件，深化教育教学改革，强化实践教学环节，增强学生的创新创业能力，促进学生个性化发展，提升专业建设水平，增强课程教学的有效性，培养适应信息时代发展需要的计算机网络技术行业高素质技术技能人才。

2  考核内容设计

2.1  网络设备配置与调试模块考核内容设计[2]

网络设备配置与调试模块以企事业单位网络设备互联项目为背景，主要运用局域网的组网技术，完成小型企业局域网网络设备简单部署、基本配置、运行监控和简单故障排除等工作内容。本模块基本涵盖网络管理员岗位从事网络设备配置与运行维护工作所需的基本技能。

2.2  服务器系统管理与安全加固模块考核内容设计

服务器系统管理与安全加固模块以企事业单位系统安全构建与管理项目为背景，主要运用加密技术、主机安全技术、网络协议安全技术、系统安全加固技术、服务器系统安全技术和Linux系统管理与维护技术，完成网络安全信息分析和系统安全检测、服务器安全管理等工作内容。本模块基本涵盖安全运维人员、信息安全风险评估师岗位从事运行维护、评估工作所需基本技能。

2.3  网络安全设备配置模块考核内容设计

网络安全设备配置模块以企业网络建设项目为背景，主要运用防火墙及VPN等技术，以完成安全网络的规划管理、网络加密技术的应用等工作内容和任务。本模块基本涵盖网络安全运维人员从事网络安全规划、配置与管理所需的核心技能。

2.4  系统安全攻防及运维安全管控模块考核内容设计

系统安全攻防及运维安全管控模块以企事业单位网络系统安全构建与管理项目为背景，主要运用网络渗透测试与漏洞利用、Web渗透测试与防御知识、Web安全评估知识、操作系统渗透测试与漏洞利用，完成Web应用安全加固、数据库安全维护、操作系统安全加固、网络安全加固等工作内容。本模块基本涵盖渗透测试工程师岗位从事系统渗透测试、推动企业安全漏洞整改工作所需岗位技能。

3  实施方法设计

3.1  网络设备配置与调试模块考核实施方法设计

网络设备配置与调试模块具体考查完成交换机设备配置与维护、路由设备配置与维护两个项目，每个项目包含三套试题，考查的技能包括：网络设备连接正确，端口选择正确，连接线缆选用正确;交换机部署合理，运行状态监控操作正确;交换机端口参数、主机名、用户名、密码等基本参数设置正确;交换机本地和远程管理操作正确;VLAN划分配置正确，实现合理的端口隔离;生成树配置正确，实现链路的冗余;路由器部署合理，运行状态监控操作正确;路由器端口参数、主机名、用户名、密码等基本参数设置正确;路由器本地和远程管理操作正确;静态路由、动态路由设计合理、配置正确，能实现数据正确转发，实现三层网络互通;地址转换配置正确，可以实现内网访问。

3.2  服务器系统管理与安全加固模块考核实施方法设计

服务器系统管理与安全加固模块具体考查完成Linux系统管理与维护、主机安全技术、加密技术应用、网络协议安全四个项目。其中，Linux系统管理与维护项目包含三套试题，主机安全技术项目包含六套试题，加密技术应用项目包含五套试题，网络协议安全项目包含八套试题，考查的技能包括：正确按照需求在安装系统时进行分区、主机名、根密码等设置，并成功安装系统;正确通过命令、文件等方式设置网卡参数，保证网络正常运行;正确使用命令创建、修改、删除、停用、启用、切换本地用户账户;正确使用命令创建、修改、删除本地组，能进行用户管理;正确使用文件和目录类命令创建、修改、删除、查找、查看、复制、移动、压缩、解压文件和文件夹，查看、修改文件及文件夹权限，设置文件的拥有者，进行文件管理;正确使用命令完成Linux下文件系统的创建、挂载与卸载;正确使用命令查看系统时间、内存使用、硬盘分区及使用、目录硬盘占用等信息;正确使用RPM和YUM的方式安装、管理、卸载软件，正确使用命令对磁盘进行分区，挂载光盘;严格遵守Linux系统安装、测试和管理的工作规范，硬件服务器设备操作符合电子设备安全操作规范;正确安装网络操作系统平台，实现测试环境搭建;综合运用NMAP等网络探测和安全扫描工具对目标网络服务器进行扫描，获取并分析目标系统的端口、服务等信息;使用Wireshark等网络嗅探工具对网络传输数据进行网络监听和数据分析;根据企业需求对主机进行安全测评，根据企业需求对企业产品进行运行维护，进行安全配置巡检、服务器安全巡检;利用PGP加密软件、EPS加密文件系统、BitLocker加密驱动器等加密技术对网络数据和系统文件进行一些常规的加密工作，并实现对磁盘内的文件或者文件夹资源使用权限的控制，使网络数据能够安全地传输;安装Scapy并能成功进入Scapy数据包;建立复合数据包对象成功，正确配置复合数据包各个对象的参数，成功进行BPDU数据包、VLAN协议数据包、以太网数据包、IP数据包、ICMP协议数据包、TCP协议数据包、RIP数据包、DNS协议数据包、HTTP协议数据包的编辑和发送，并能对协议数据包进行抓包分析。

3.3  网络安全设备配置模块考核实施方法设计

网络安全设备配置模块具体考查完成防火墙配置与维护、VPN配置与维护两个项目，每个项目包含六套试题，考查的技能包括：防火墙主机名、IP地址配置，划分区域、安全级别配置，地址池配置，主DNS、域名配置，DHCP配置;防火墙NAT配置，能实现内网与公网的正确访问;VPN软件安装正确，根据需求配置VPN正确，能实现为远程客户机分配IP，能实现使用路由和远程访问对连接请求验证身份;创建VPN用户正确，修改VPN用户属性正确，VPN连接正确;防火墙、VPN技术配置合理，能实现网络的安全配置与管理;在路由器配置GRE隧道、路由協议正确，实现正常通信，查看隧道信息正确。

3.4  系统安全攻防[3]及运维安全管控模块考核实施方法设计

系统安全攻防及运维安全管控模块具体考查完成网络渗透测试与漏洞利用、操作系统渗透测试与漏洞利用、Web应用和数据库渗透测试与漏洞利用三个项目。其中，网络渗透测试与漏洞利用项目包含两套试题，操作系统渗透测试与漏洞利用项目包含三套试题，Web应用和数据库渗透测试与漏洞利用项目包含五套试题，考查的技能包括：创建字典文件正确;启动Metaspoit工具，正确加载ssh_login

模块并设置参数，实现ssh登录用户名和密码破解;正确使用X-Scan工具进行漏洞扫描，正确获得操作系统登录用户名和密码;启动Metaspoit工具，正确加载ms17_010_

psexec模块并设置参数，正确渗透攻击至目标主机;配置测试环境Web网站，正确编写、上传一句话木马，渗透Web服务器正确;配置测试环境Web网站，设置代理，使用Burp Suite工具抓包，实现密码破解;配置测试环境Web网站，设置XSS验证，成功获取站点cookie值;配置测试环境Web网站，设置命令执行漏洞验证，成功判断操作系统。

模块考查的专业素养[4]包括：项目实施过程符合网络安全工程设计网络安全、系统安全、Web应用安全工程、实施、测试的工作规范;服务器、路由器、交换机、防火墙设备操作符合电子设备安全操作规范;文档整洁，表达清晰，排版紧凑，符合要求;举止文明，作业操作紧凑有序，有团队意识。

4  评价标准

信息安全与管理专业技能考核采取过程考核与结果考核相结合、技能考核与职业素养考核相结合。其中，根据考生操作的规范性、熟练程度和用时量等因素评价过程成绩，根据设计作品、运行测试结果和提交文档质量等因素评价结果成绩。

信息安全与管理专业技能考核满分为100分，其中专业技能占80分，项目文档和职业素养各占10分。根据模块中考核项目的不同，重点考核学生对该项目所必须掌握的技能和要求。虽然不同考试题目的技能侧重点有所不同，但完成任务的工作量和难易程度基本相同。

5  总结

通过信息安全与管理专业技能抽测考核方案的实施，希望学生能牢固掌握该专业应该具备的职业技能，在实践中养成精益求精的工匠精神、友善互助的合作精神，认真践行社会主义核心价值观，成为职业素养较高的技能型应用人才。最后，教育者也要时刻关注市场对人才的需求变化，不断改进考核内容和考核方法，让技能考核不只是一种形式，而是一种真正让学生掌握技能的有效途径。

参考文献

[1]肖瑶星.高职信息安全与管理专业人才培养模式探讨[J].中国教育技术装备，2018（23）：115-116，121.

[2]金雨适.浅谈“网络设备配置与调试”课程的项目学习[J].当代教育实践与教学研究，2017（02）：51，53.

[3]肖蕾，胡亚慧，唐晓.网络系统攻防特点与安全策略分析[J].网络安全技术与应用，2018（11）：13-14.

[4]王莉莉，潘丽华.职业院校计算机专业学生核心素养研究[J].科教导刊，2020（8）：181-182.