摘要:当前时代背景下,国家提出了关于新时代教育事业发展的新理念。在此指导下,目前国内高校都在积极探索人才培养机制、培养模式等方面的改革。“以赛促学”应用于中等职业学校的教学中.其在培养学生的动手能力、综合应用能力、激发学生学习兴趣、调动教师工作积极性等方面都起到了很好的促进作用。文章以“网络安全攻防技术”课程为例,研究以培养应用型人才为目的的中职院校如何将“以赛促学”模式引入“网络安全攻防技术”课程教学。
关键词:以赛促学;网络安全;教学模式
中图法分类号:TP393 文献标识码:A
当前的中职教育按照“职业标准”与“关键技能”的规定,将相关的专业规范与专业能力需求纳入培养目标中,对课程进行了设计。通过增加竞赛内容,结合学生特点,制订适合企业需要的课程内容[1] 。在教学中加入实践性的内容,以满足学生的个性化学习需要,使每一个人都能获得知识。通过将教学与技能竞赛相结合,以提高教学质量,从而为企业培养出更多、更好、更专业以及更适合于企业发展需要的计算机网络专业人才。同时,计算机网络产业正处在快速成长的时期,透过竞赛的方式,让学生能够及时地掌握产业动态与工作动向。本文以“网络安全攻防技术”为案例,从实操竞赛和理论竞赛2 个方面来进行“以赛促学”教学模式的设计[2] 。
1 “网络安全攻防技术” 课程实操竞赛设计
以“网络安全攻防技术”课程内容中的“SQL 注入漏洞利用与防御”任务为例,来进行任务设计。
1.1 制定教学目标
1.1.1 知识目标
掌握SQL 渗入式攻击的基础知识;了解SQL 渗入式攻击的基本原理;掌握SQL 渗入式攻击的具体流程;学习SQL 渗入式攻击的防护技巧。
1.1.2 能力目标
了解SQL 渗入式攻击的基本思路;掌握通过SQL注入渗透式攻击获取信息;了解如何预防SQL 注入渗透式攻击网站的对策。
1.1.3 核心价值观
加强对信息化建设的掌控;保障网络安全的攻防能力。
1.2 设计教学过程
1.2.1 课题导入
任务场景:通过对企业网站的安全性检测,发现该站点存在SQL 注入漏洞,易被黑客入侵,从而造成数据库信息的泄露。为了更好地了解和解决这个问题,使用DVWA 来重现场景。
竞赛目标:了解SQL 渗入式攻击的基本原理;掌握SQL 渗入式攻击的具体实施流程;学习SQL 渗入式攻击的防护技巧。
1.2.2 赛前准备
课堂SQL 注入渗透测试和安全防护竞赛内容。
(1)竞赛项目一:知识答辩比赛的主要内容有:SQL 注入的渗透攻击;SQL注入渗透式攻击的一般思想;如何阻止SQL 注入渗入式攻击。
比赛规则:参赛选手按照赛前所准备的3 个问题,选出1 个问题,搜集材料,并将其制作成展示报告。评委收集了学生的发言,然后根据他们的回答和思考方式,给他们打分。
(2)竞赛项目二:基础实训比赛项目有:DVWA 渗透示范系统的安装与部署;把DVWA 渗透展示系统的安全性设为“ Low(低)”。
比赛规则:考生自行完成比赛,完成比赛的成绩将以截屏的形式保存到考卷中。评委会根据评分表格来给他们打分。
1.2.3 团队商讨
团队成员比赛的预备程序:学习SQL 注入攻击的历史,形成原因,了解SQL 注入漏洞的危害;理解SQL注入攻击的一般思路,以及如何利用SQL 注入的弱点进行攻击;掌握SQL 注入攻击的基本思想和方法,以达到防范SQL 注入攻击的目的;構建DVWA 渗透展示系统,并应用该系统对SQL 渗透注入进行试验;把DVWA 渗透式展示系统的安全性设置为“低”,这样就可以使用SQL 注入式渗透测试来获取目前的连接;通过DVWA 系统,可以获取当前的用户权限,获取当前数据库的版本信息,获取DVWA 数据库中的表格,查看用户表中的列,获取数据库中的所有账户和密码;对级别为“Low (低)”的DVWA 网站源代码进行分析,并对其产生的SQL 注入问题进行分析;解决竞赛中的问题,为班级竞赛做好准备。
1.2.4 成果展示与竞赛
每位学生按照“知识答辩”模块所选内容,分别进行现场答辩,每名答辩时间为3 ~5 分钟;按照“基础实训”模块的要求,每位学生建立DVWA 渗透示范系统,并设定了“Low (低)”的安全等级;每1 个小组,都会根据比赛中的“团队合作”单元,进行分工,在“团体合作”模块中,共同完成6 道题,并根据竞赛规则,将竞赛成绩提交;竞赛结束后,根据评分系统对竞赛的结果进行评估,并给出各小组和个人的得分,并奖励优秀的团队和个人。
1.2.5 课后总结
SQL 注入的思想是:对SQL 注入点的发现;定义企业服务器的分类和后台管理数据库的分类; SQL 注入攻击根据服务器特点和数据库技术特点来进行。
SQL 注入是当今PHP 应用软件中最为普遍的一个问题。若开发人员同时犯2 次错误,则会导致SQL注入攻击:未过滤输入数据;未将传送至资料库的数据转义(转义输出)。这2 个重要的错误都是必须要注意的,这可以降低SQL 注入攻击程序中的缺陷。
为了防止PHP 站点出现SQL 注入的问题,可以采取以下几种方法。
更改接收方法:更改接收模式,采用Cookie 和Post 两种提交模式,Cookie 和Post 都是在数据库中提交,不允许黑客进入,从而避免SQL 语句的恶意查询;使用mysqli 的prepare 语句,使用1 个参数化的查询语句,将这些SQL 语句从数据库服务器中分离出来,从而使攻击者无法向SQL 中输入恶意SQL;使用PDO来解决SQL 注入, 在php5. 3. 6 以后, PDO 不会向mysqlserver 发送本地SQL 程序及语句,也不会在本地进行转义。
1.2.6 项目巩固与提高练习
主要包括:在“安全级别”为“High (高)”的情况下,查看当前连接的数据库名称、用户权限、版本信息,查看dvwa 数据库里面的表,获得该网站数据库中的全部账号与密码。
1.3 课程项目评价体系
根据竞赛知识点、竞赛规则、评分规则等,结合技术规程、评分细则等,对课堂进行评估[3] ,主要内容有前期准备、赛项完成情况、团队合作情况、产品展示等。同时,作为裁判的学员,根据裁判员的规则进行评分。参加评判员的学生从裁判的视角,观察到其他学生的工作情况,并指出哪些方面有待提高。根据学生在课堂竞争中的表现,结合课堂教学各个方面的因素,设计出一套适合自己的班级评估系统。
1.4 项目设计要点
1.4.1 明确教学任务和教学要求在教学全过程中,采用“以赛促学”的教学方式,在课题导入、赛前准备、团队讨论等环节,指导学生有针对性、系统地学习,所以在设计教学开始时应从教学目标、教学内容等方面进行明确。
在准备“SQL 注入渗入式测试与安全保护”的竞赛中,教师首先对SQL 注入漏洞的危害、SQL 注入的安全性,以及造成的负面影响进行简要的讲解,使学生能够大致理解SQL 注入的漏洞,并将其引入教学中。
在比赛前的准备与小组讨论阶段,教师会把比赛的题目发给学生,同时会给他们提供一些基础的学习材料,推荐一些学习方法。在学习过程中,学生能够自主探究,小组合作解决问题。
在知识答辩环节,每位学生都要做好准备,回答评委的提问。在此阶段,学员不但要学习所学的知识与内容,更要将所学的知识与内容加以归纳、总结,从中提炼出最有用、最重要的部分,再以最恰当的方式向评委解释,这是一个非常好的练习方式。
在竞赛阶段,学员要按照自己所掌握的专业知识来完成作业,在竞赛中要合理地安排竞赛时间,在小组协作中,要协调小组成员,分工协作,以最大限度地提高工作效率。
在教师的总结部分,教师归纳大赛中的重点和难点,并就赛前准备、团队协商、成功展示等各个阶段的问题进行剖析,以及在各个阶段中的突出表现。同时,还会公布比赛的成绩,让学生在比赛中分享自己的经验。
1.4.2 充分发挥教师的指导作用
不管什么教学模式、教学方法,都以提高学生的学习效率为首要目标。将课堂还给学生,让学生真正地成为课堂的主体,教师将课堂教学转化为课堂教学,通过课题导入、课堂竞赛、指导学生做好赛前准备、指导学生协调小组成员之间的关系、分配小组成员的工作、做好课堂竞赛的准备、保证学生的学习。
在学生碰到问题时,适时提出问题的解法,并鼓励他们自己去做,遇到特别难的问题时,教师会带领学生共同讨论和解决。
在设计竞赛题目时,要注重题目的难度,要针对学生的学习状况、学习能力和教学目的,设计出合适的竞赛题目,使学生能够在比赛中应用自己的能力和团队精神来解决问题。
2 “网络安全攻防技术” 课程理论竞赛设计
“网络安全攻防技术”是一门实践性较强的专业课程,在各章节的教学设计与教学实践中,要使竞赛项目与课程的教学目标和内容相结合,并以实践为指导。但是,由于该方法并不能很好地反映出学生的理论水平,因此,在教学设计中增加了“理论竞赛”的概念和设计。
2.1 制定教学目标
2.1.1 知识目标
了解网络安全的基本知识;了解渗透测试的定义、分类,以及渗透的基本过程;熟悉网络渗透测试常用术语、常用的网络渗透测试工具;了解SQL 注入的历史,形成原因,使用方法,以及SQL 注入的危害;了解跨站脚本漏洞的发展历史,形成原因,利用方式,以及XSS 漏洞的危害。
2.1.2 能力目标
了解网络入侵的一般思路;掌握网络入侵的方法;了解如何预防渗透入侵网站漏洞。
2.1.3 核心价值观
加强对信息化建设的掌控;保障网络安全的攻防能力。
2.2 设计教学过程
2.2.1 赛前准备
“网络安全攻防技术”理论竞赛内容如下。
(1)竞赛项目一:理论知识抢答竞赛内容举例(随机抽取的10 个题目):题目1:什么是网络安全? 什么是渗透测试? 题目2:滲透测试的分类, 以及它们的区别; 题目3: 什么叫WebShell? 题目3:……
2.2.2 团队商讨
小组队员比赛的预备阶段:依据比赛的知识点,找出与比赛有关的知识,并能有效地总结和掌握有关知识;小组成员按照本课程的题库体系,共同对相关知识进行整理;在“理论知识竞赛”项目之前,确定答题人选,并组织小组成员进行排练。
2.2.3 理论竞赛评价体系
在完成“理论知识抢答”的这一部分后,教师会根据学生的回答数量和回答结果,给予全班学生一个统一的得分。每个学生在完成了“理论知识竞赛”的比赛后,所有学生都获得了各自的分数。最后,“理论竞赛”的分数分为“理论知识抢答”和“理论知识竞赛”2个环节,各占50%。
2.2.4 课后总结
教师根据“理论知识抢答”环节中出现的错误进行纠正,并对不正确的问题进行补充,使学生能够更好地理解和掌握这些问题。同时,教师针对“理论知识竞赛”部分出现的错误率高的问题进行统一解释,使学生能够更好地理解知识。
2.3 课程评价体系
“网络安全攻防技术”课程竞赛,主要包括“SQL 注入漏洞的使用与防御”“跨站脚本漏洞的使用和防御”
“其他常见Web 漏洞的利用与防御”和“Web 渗透案例”4 个方面的内容。“以赛促学”中的理论知识竞赛,覆盖了整个课程的相关理论。课程评估系统是以学员参加各种实操竞赛和理论知识竞赛为基础的。
3 结束语在
“以赛促学”的教学模式下,一方面通过以“项目驱动”的形式开展培训,组建了专业导师与得奖者共同协作的“课程项目培训团队”,让学员自主选择学习的内容,并在教师的引导下,使自己的专业技术更为“娴熟”,拥有“一技之长”,以适应市场的需要。同时,使职业教师能够更好地与各种技能竞赛相结合,不断丰富自己的专业技术,使其在教学中更具针对性、前瞻性,从而能够指导学生培养创造性、团队协作能力和现场表现能力等,最终实现“以竞赛促进教育”的目的。
参考文献:
[1] 何金凤,陈蓉,陈善利,等.以赛促学模式下信息安全技能型人才的培养[J].网络空间安全,2020,11(3):81?84.
[2] 原晨冉.基于“以赛促学”理念的中职计算机专业实践教学研究[D].新乡:河南科技学院,2022.
[3] 李丽蓉.网络安全与执法专业“教学练战”一体化教学模式研究[J].山西警察学院学报,2022,30(3):108?111.
作者简介:王德厚( 1982—), 本科, 高级讲师, 研究方向: 计算机技术。