基于核心能力培养的信息安全专业综合实践课程教学改革探析

关键词：核心能力培养；综合实践课；渗透测试；多元化评价；考核标准

1 现状分析

随着工程教育专业认证工作的不断发展与深入，以产出导向学生为本、以学生为中心和持续改进的基本理念已经成为课程教学改革的重要内容。天津理工大学信息安全专业2017年首开嵌入式安全系统综合设计实践课程，课程目的是在学生有一定信息安全专业知识的基础上，利用实验设计将安全知识移植到嵌入式系统。学生在熟练使用嵌入式实验平台的基础上，利用安全工具完成基于嵌入式设备的网络状态监控、防火墙配置、远程端口扫描、无线网络扫描攻击、恶意软件检测等实验项目。

教学实施过程中出现的问题：（1） 学生缺乏基础知识储备、动手能力有限。课程对硬件实验环境、操作系统及多种技术工具有一定的要求，学生需要花费一定的时间熟悉工具的使用。（2） 课程涉及知识范围较宽，综合实验任务有一定难度，课上教学时间紧张，这些因素导致学生学习效率低，甚至选择放弃。（3） 团队合作分工不明确，考核成绩难以区分，有的学生工作偷懒、过分依赖他人，不能调动学习的积极性。（4） 综合实践课一般考核依据模糊，没有明确的考核标准，缺乏有效的考核机制。

2 完善课程体系满足学习成果的达成

2.1 教学过程设计

灵活的学习过程要以学生为中心， 实践教学要以学生为本，能力的提高要经历长期实践训练，课程希望能采用多种教学方式教会学生发现问题、解决问题的方法，这些经验和方法将使学生终身受益。教学团队根据教学效果，不断改变教学策略，针对学生不熟悉嵌入式开发板（Beagle Bone Black，BBB） 、课上集中学时有限的问题，要求学生2人组成团队，以团队为单位将开发板带出课堂完成实验，增加课下学习的时间，受到学生的欢迎，教学效果显著提升；同时建立完善设备管理手续，找到开发板系统更新的有效方法，解除学生因实验过程中破坏系统而畏惧创新操作的问题。另一方面调整实验内容，对嵌入式开发板基本操作部分给出详细完整的实验指导，增加实验完成的可能性，加大教师与学生互动时间的投入，通过线上线下演示、讨论等形式与学生沟通，让学生少走弯路；由于学生缺乏前期的知识储备，课程改变传统教学思路，将硬件知识结合专业特性设计教学案例，采用情景模拟方法，增加外设模块，完成真实场景任务，使开发板“活”起来，让学生逐渐对嵌入式系统产生兴趣，引导学生将所学知识运用到真实的物联网安全的场景。

2.2 教学内容模块化

考虑学生的感受，重构课程设计方案。课堂教学的目标不仅在于传递知识、锻炼技能，更重要的是把学生培养成更好的学习者。在教学过程中形成内容模块化教学理念，以解决复杂工程问题作为实验课程设计实施的基本思viwH9WzJiWDPg8lFTKeoeKqXajWEg9bt4MiUaA8mPvo=路[1]，根据知识体系进行模块分类，内容上层层递进，前后对应，由浅入深，让学生在遇到困难时有自信解决问题，表1为2023年修订的按照模块划分的实验教学内容。依据教学效果每年都会在已有教学模块的基础上更新、完善实验项目，教学过程中不断产生新思路，在发现教学具体问题的基础上进行改进，对现有知识体系、实验体系重构和优化。修订模块的基本原则：

（1） 设计模块内容时充分考虑到学生的能力及提升空间，让学生能够运用一定的工程原理，经过分析解决实践问题。

（2） 与时俱进，促进教学内容适应学科专业的发展要求。实验项目具有相对较高的综合性，包含多个相互关联的子模块，帮助学生建立融会贯通的知识体系。

（3） 能力要求的可衡量性，支持评判标准和扩展。

2021 年针对实际操作遇到的问题，课程更新Debian Linux系统为更适合安全专业的Kali Linux系统，升级后的平台将更多安全专业工具从Windows移植的嵌入式系统中，既促进实验项目能持续有效得到更新和完善，也使便携式设备进行渗透测试的目标成为可能。图1展示更新系统后实验平台加入了无线局域网实验环境，教学模块同步增加了嵌入式设备的无线网络配置，在无线局域网内部署多个嵌入式开发板，使用nmap 扫描局域网中存活的IP 地址，探测目标主机；在此基础上针对目标机增加DoS攻击、中间人（MITM）侦察攻击等多个无线局域网实验内容。无线局域网实验模块更贴近现实生活的应用场景，学生可以在实验室、宿舍等具备无线网络的环境下完成实验，提高了实验成功的概率。

2.3 多元化考核模式改革

课程以学生核心能力培养为导向，开展了多元化考核[2]模式改革，针对专业特色和支撑达成度的指标点，尝试多种评价方式。考核以能力和素质为核心内容，加强实验过程性考核。

（1） 考核内容要有明确的评分标准

在教学内容模块化的基础上，量化考核标准[3-4]，将考核内容细化，保障实践课程成绩评定的标准化，公正成绩的评判，激发学生按照需求完成任务；提出需求加分项，加权量化考核评分，表2展示了部分模块的量化评分标准。课程将必须完成的项目视为基础模块（如嵌入式开发板的学习），这些模块的标定分数相对不高；有些模块（如基于BBB的物联网架构的三个模块）属于同一知识点，形式上学生可根据自身能力对模块进行选择；有些模块与学科专业紧密相关，完成难度大或者需要学生自主设计，其标定分数会高于其他模块。同理，同一模块有基本需求任务和提高需求任务，可根据难度设置得分系数，学生完成提高需求任务就会得到高系数，而能力有限的学生如能高水平完成常规模块成绩也不会低，提高学生整体实践能力，始终是教学追求的目标之一。

标准化的评价体系需要在实践中反复验证、不断修正，标定得分和得分系数的确定不仅要考虑模块的重要性和实现难度，还要在实施中考虑学生因素，需要不断总结修订。

（2） 加强实验过程考核评价

在学习过程中发现很多学生按照指导书完成实验效果还不错，但缺乏独立思考创新的能力，实验报告或千篇一律或逻辑混乱，将实验结果和数据进行堆积，忽略过程，不善总结。针对这一问题，课程要求学生在指定实验模块中录制视频展示实验过程，学生在演示实验的同时要讲解实验目的、原理、操作细节、呈现结果，此举旨在培养学生凝练知识点、总结实验效果的能力。在完成课程后能够回答出“学了什么”“为什么要学”基础问题，同时培养学生有效的表达沟通能力。

在教学过程中会出现个性和共性的问题，许多涉及硬件的问题可能是之前从未出现过的，学生操作流程的错误也会导致出现非常规的错误结果。课程组鼓励学生记录错误现象并寻找解决途径，问题解决后作为教学资源共享给其他同学，并以加分的形式鼓励教学的参与。

（3） 增加团队协作能力的考核

综合实践类课程一般时间紧，完成任务有一定的难度，多数都会以学生分组共同完成的形式进行教学，团队的协作能力直接影响学习效果[5]。课程要求以小组形式完成实验，提交报告中必须注明成员明确分工，在过程检查时分别对组员进行质询，督促学生从实验的开始就确立目标、计划任务并努力实现目标，旨在加强团队合作的凝聚力，进而达到小组成员能够在团队中有效工作，创造协作和包容的环境。

2.4 做好课程评价，为课程教学改革提供依据

采用多种途径挖掘课程评价，课程评价可以包括直接评价和间接评价。直接评价包含报告、视频作业、过程检查等，记录学生经历课程的过程；课程组采用匿名问卷调查的形式推进间接评价，问卷内容涉及知识掌握情况、学习效果、学习过程体验、团队合作体验等20多个有针对性的问题；每一年根据教学情况问卷内容略有不同，近三年共有257名同学参与问卷调查，参与比例接近70%。

调查显示接近90%的学生认为能够熟悉嵌入式开发板，掌握常用网络工具，理解在嵌入式系统利用漏洞技术的目的。近96%的学生能够独立或和同学合作完成实验报告，解决实验过程出现的问题。97% 的同学认为自己在面对问题和困难时能够寻求多种途径解决，具有不断学习和适应发展的能力。95%的学生认为通过课程实践，在学习、工程实践的能力（专注力、成就感自信心、独立性、反思性）有所提高。

通过问卷调查发现学生在课程学习中遇到的问题，例如80%的学生认为课程学习的最大困难是“知识积淀不够，操作不熟练”，20%的学生自认缺乏“网络基础知识、嵌入式基础知识、Linux基本练习、网络安全等基本知识的储备”，近90%的同学主要从指导书中获得知识来源。这些反馈为课程后续教学改进提供了宝贵的依据，2023年问卷增加课程给学生带来负担的问题，91%的学生对本课程的学习负担持正常或可以接受的态度，但仍有接近10%学生认为负担大，这个反馈符合了最终成绩评价结果，有部分同学在平时表现和提交报告水平都与大多数同学有一定差距，这也督促课程组在今后教学中更多关注这部分学生群体。

2023年的问卷调查增加了学生对团队合作的体验和对视频作业的意见，90%以上的同学对合作组员较满意，并且认为自身对团队做出了贡献；有55.43% 的人选择录制实验过程视频能帮助他们总结、提炼课程知识，36.96%的人认为录制实验过程视频有一定帮助，只有7.61%的人表示录制实验过程视频对他们没有帮助，总体来看录制课程视频可以认为是一种有效的学习辅助手段。

学生在最后问答题留言：“虽然实验过程有些难，因为第一次接触开发板的各种实验，所以有问题也是正常的”“通过这次课程让我对开发板的各个方向的应用有了认识了解，之后在课下我会深入研究掌握，课程很好，指导老师也很负责”“可以多一些内核级的实验，虽然肯定会有难度，但是能自己做下来，肯定提升很多，可以少一些网络的实验，和联网时随机出现的突发性报错的浪费的时间比，学习内核时思考花的时间更值”…… 课程组关注学生在学习过程的感受，这些问题能让教师掌握学生课程前的基础知识储备情况、学习动态、关注点及问题所在等，对于课程的设计和教学方式的选择都有一定的指导意义。

3 结束语

课程按照专业要求完成课程目标达成情况报告，作为工程实践类课程的代表，选入信息安全自评报告，经历专家入校考核，天津理工大学信息安全专业顺利完成工程认证考核任务。课程下一步目标是利用知识图谱实现碎片化教学资源的关联，将碎片式的教育数据要素链接成为关联网络，向学生针对性地推荐学习素材或实验案例，以强化学生对薄弱知识点的掌握，让因材施教有更为具体的发力点。