◆林玉香 劉 巖

（南陽理工學院軟件學院 河南 473000）

企業(yè)驅(qū)動模式下的計算機網(wǎng)絡(luò)安全風險評估教學

◆林玉香 劉 巖

（南陽理工學院軟件學院 河南 473000）

《計算機網(wǎng)絡(luò)安全風險評估》是一門理論與實踐并重的課程，本文將企業(yè)驅(qū)動教學模式和“OBE”理念引入該課程教學，以企業(yè)需求為導向，通過明確能力目標、探索教學方法、嘗試校企協(xié)同育人，設(shè)置多元化考核評價體系，進行了該課程教學的改革和大膽創(chuàng)新的嘗試，進一步提高教學效果和人才培養(yǎng)質(zhì)量。

企業(yè)驅(qū)動；風險評估；OBE

0 引言

美國的“棱鏡門”，烏克蘭的電力攻擊，勒索病毒肆虐全球……世界范圍內(nèi)安全事件頻發(fā)，預警著信息安全形勢的嚴峻性，當移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和社交網(wǎng)絡(luò)把所有人、機構(gòu)和物品連接在一起，昭示著信息已經(jīng)無處不在，同樣信息安全也無處不在。在廣泛互聯(lián)化的 IT環(huán)境中，大到國家和社會，小到機構(gòu)和個人都面臨著一個共同的問題，如何保障自身的信息安全問題。信息安全已經(jīng)成為各國關(guān)注的焦點，不僅關(guān)系到用戶的信息和資產(chǎn)風險，也關(guān)系到國家安全和社會穩(wěn)定，世界范圍內(nèi)包括我國對信息安全專業(yè)人才的需求將不斷增加。為了應對日益復雜的信息安全形勢，企業(yè)需要的信息安全人才不僅具有較強的專業(yè)知識，面對實際問題的應對能力，而且具有較強的創(chuàng)新創(chuàng)造能力。但是，從目前情況來看，我國部分高校信息安全專業(yè)應屆畢業(yè)生的整體素質(zhì)與企業(yè)對人才期望的標準相差甚遠，很大一部分學校重視理論知識忽略信息安全應用技能和創(chuàng)新創(chuàng)造能力的培養(yǎng)，導致信息安全方面的應用型專業(yè)人才缺乏、嚴重供需不平衡。

《計算機網(wǎng)絡(luò)安全風險評估》是信息安全專業(yè)網(wǎng)絡(luò)安全與攻防專業(yè)方向的核心課程和主干課程，在整個專業(yè)方向課程群中具有承上啟下作用，在前導課程《信息安全導論》的基礎(chǔ)上，進一步強化滲透測試和網(wǎng)絡(luò)安全風險評估的實戰(zhàn)操作，從計算機網(wǎng)絡(luò)安全的攻擊與防御學習入手，兼顧網(wǎng)絡(luò)安全風險評估的標準法規(guī)和實施流程，為后續(xù)課程《Web安全》和并行課程《TCP/IP協(xié)議分析》的開展打下了良好的基礎(chǔ)。

1 問題與反思

當前在《計算機網(wǎng)絡(luò)安全風險評估》教學過程中，主要存在以下問題：

（1）該課程包含的知識點繁雜、容量大，一般意義上，該門課程作為專業(yè)基礎(chǔ)課，大綱要求學生既要了解網(wǎng)絡(luò)安全風險評估相關(guān)概念、術(shù)語，現(xiàn)有的標準和評價體系，又要掌握網(wǎng)絡(luò)安全風險評估實施流程和方案設(shè)計，還要掌握其所涉及的網(wǎng)絡(luò)安全攻防技術(shù)和滲透測試技術(shù)，涵蓋的知識點比較全面，傳統(tǒng)教學中，教師試圖在有限課程時間內(nèi)，講解所有知識點，難以保證教學質(zhì)量，學生基本上沒有時間去消化吸收，教師與學生互動交流較少，學生因缺乏有效指導和溝通而產(chǎn)生畏難情緒。

（2）能力目標不清晰，缺乏實際項目的實踐操作支持。該課程大綱要求重點培養(yǎng)學生的動手實踐和解決實際問題能力，能夠在課程學習結(jié)束后，參與解決實際的網(wǎng)絡(luò)安全風險評估方案，但在實際課堂教學中，過多偏重于概念和理論，多以傳統(tǒng)性的灌輸教學為主，與實踐應用聯(lián)系較少，學生在學習過程中感覺乏味。

（3）教學內(nèi)容滯后，與企業(yè)實際需求脫節(jié)，跟不上行業(yè)內(nèi)技術(shù)的發(fā)展。物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等新技術(shù)發(fā)展迅速，對于信息安全行業(yè)是新的挑戰(zhàn)和機遇，對于信息安全專業(yè)人才提出了更高的要求。而傳統(tǒng)的教學以教學大綱和課本為導向，往往滯后于當前行業(yè)發(fā)展，沒有和目前的新興技術(shù)進行很好的銜接，這樣就造成畢業(yè)生進入工作崗位后，缺乏對新技術(shù)的了解，不能迅速地適應自己的角色。

（4）評價考核方式單一，主要以學期結(jié)束考核為主，沒有將實踐考核和平時能力考核納入到學生的評價體系中，難以真實反映學生的學習水平和能力水平，降低了學生的學習主動性。

2 企業(yè)驅(qū)動在《計算機網(wǎng)絡(luò)安全風險評估》課程中的應用

目前我國共有50多萬家大中型企事業(yè)單位約3500萬臺計算機聯(lián)入網(wǎng)絡(luò)，按照每家單位需要一至兩名信息安全管理人員計算，我國目前需要的信息安全專業(yè)人才至少是80萬。實際上，這僅包括網(wǎng)絡(luò)運維工程師和部分信息安全工程師，而對信息安全專業(yè)知識要求比較高的安全評估、滲透測試、網(wǎng)絡(luò)安全開發(fā)工程師等專職人員都不包括在內(nèi)。

為了滿足當前社會對信息安全專業(yè)人才的需求，深入探索“產(chǎn)教融合”的教學模式，參照 OBE教育模式，將創(chuàng)新型人才培養(yǎng)和企業(yè)驅(qū)動融合在一起，優(yōu)化課程內(nèi)容，通過 OBE理念在教學過程中的具體實施，以企業(yè)驅(qū)動為導向，與企業(yè)需求和行業(yè)發(fā)展動態(tài)接軌，杜絕閉門造車，明確學生在課程學習結(jié)束后應達到的能力目標，提高學生的實踐能力和動手能力。

（1）根據(jù)企業(yè)需求，明確能力目標

學生需要達到何種專業(yè)能力并不是憑空臆想出來的，需要有力的事實依據(jù)，要求對學生能力的培養(yǎng)更加貼近企業(yè)實際需要，在教學過程中更加注重對于學生實踐能力的培養(yǎng)。在前程無憂網(wǎng)、智聯(lián)招聘和中華英才網(wǎng)站上對多家招聘網(wǎng)絡(luò)安全人才的單位進行了統(tǒng)計，并且對綠盟科技、啟明星辰等國內(nèi)多家安全公司也進行了調(diào)研，結(jié)果顯示企業(yè)對信息安全方向人才的需求不僅要具備理論知識，更看重學生在日常學習過程中的實踐經(jīng)驗和動手操作能力。根據(jù)調(diào)研，行業(yè)內(nèi)與網(wǎng)絡(luò)安全風險評估知識相關(guān)聯(lián)的的崗位有網(wǎng)絡(luò)安全風險評估師，Web滲透工程師，信息安全研究員，網(wǎng)絡(luò)安全測評師等，匯總分析這些崗位相關(guān)能力要求為：了解國家信息安全相關(guān)政策標準，了解信息安全風險評估流程、等級保護管理體系、信息安全管理體系；熟悉網(wǎng)絡(luò)安全架構(gòu)，熟悉滲透測試流程、方法，掌握常見滲透測試工具，了解常見漏洞、漏洞利用方法；熟悉常見網(wǎng)絡(luò)安全攻擊和防御辦法。

（2）以企業(yè)驅(qū)動為導向，選擇多樣化的授課方法

由于計算機網(wǎng)絡(luò)安全風險評估課程包含知識比較多，學生知識儲備和學習接受能力參差不齊，選擇合適的授課方法尤為重要，一旦選擇不當，學生很容易產(chǎn)生畏難情緒和厭學心理，因此，采取了多種授課方法相結(jié)合，根據(jù)教學內(nèi)容的不同，靈活運用。

對于操作性比較強的內(nèi)容可采取模塊化教學和“任務驅(qū)動”教學法配合使用，首先將相應內(nèi)容按照知識關(guān)聯(lián)程度劃分為相應的專題模塊，然后根據(jù)具體模塊內(nèi)容，把綜合性知識點分成若干個關(guān)聯(lián)的小知識點，也就是小任務，以這些小任務為載體，教學內(nèi)容巧妙地隱含在每個任務之中，由學生發(fā)現(xiàn)問題，分析問題，教師點撥啟發(fā)，進而解決問題。對于理論性比較強的內(nèi)容，可以選擇情景化教學和案例教學相結(jié)合的方式，挖掘并設(shè)計和教學內(nèi)容關(guān)聯(lián)性比較強的案例，進行實例教學，盡可能將晦澀難懂的理論知識，以通俗易懂比較直觀的方式展示出來，讓學生更易理解和接受。

（3）以企業(yè)驅(qū)動為導向，建立企業(yè)導師制

打破傳統(tǒng)的課程教學時間和地方的局限性，重構(gòu)基于實際工作崗位能力需求的教學體系，實現(xiàn)課程內(nèi)容與企業(yè)接軌。同時積極吸納企業(yè)專業(yè)技術(shù)人員共同進行實踐課程和實訓課程的教學，采用項目模塊化教學，將課堂延伸到企業(yè)，將工程實踐項目引入課堂，實現(xiàn)校企協(xié)同育人，進一步調(diào)動學生主動學習的熱情。

（4）以企業(yè)驅(qū)動為導向，制定合理的考核評價體系

對學生考核要體現(xiàn)科學性，通過層次化的管理，使教師能夠更好地實施教學計劃，學生能夠在有序而又活躍的教學環(huán)境中學習。對學生考核方式可以采取過程考核和目標考核兩種，建立多樣化的課程考核辦法，根據(jù)不同教學內(nèi)容特點，采取不同的考核辦法。

考核方式要體現(xiàn)科學性和公平性，必須要多樣化，基于企業(yè)驅(qū)動的教學模式將部分學習任務放在了課余時間，以參與項目的形式來學習，以小組協(xié)作學習和教師答疑解惑為主，強調(diào)學生的能力培養(yǎng)和課堂的參與度，所以傳統(tǒng)單一的考核方式不能采用，應該把學生的積極配合，課堂表現(xiàn)，解決實際問題能力和創(chuàng)新能力加入考核的要素，引入多元的過程化的考核體系來綜合反映學生的能力。

3 結(jié)語

以企業(yè)需求為導向，讓處于一線的企業(yè)專家工程師參與學生培養(yǎng)，通過大量的實際項目和案例，使學生能夠真正體驗到“做中學”的樂趣，對本專業(yè)實訓實踐教學活動的開展具有極大的促進作用，提升了學生的崗位實踐能力和就業(yè)競爭力，培養(yǎng)了學生的獨立思考和創(chuàng)新能力，更有利于實現(xiàn)應用型高校人才培養(yǎng)與企業(yè)需求的無縫對接。

[1] 邱劍鋒，朱二周，周勇，仲紅．OBE 教育模式下的操作系統(tǒng)課程教學改革[J]．計算機教育，2015．

[2] 王莉莉，陳德運，唐遠新．計算機程序設(shè)計課程翻轉(zhuǎn)課堂的探索與實踐[J]．計算機教育，2015．

[3] 李燕君．翻轉(zhuǎn)課堂模式下的計算機網(wǎng)絡(luò)課程教學[J]．計算機教育，2014．

[4] 田秀霞，彭源．創(chuàng)新實踐項目驅(qū)動的信息安全專業(yè)教學改革[J]．計算機教育，2015．

[5] 張博，南淑萍．基于主動式學習的信息安全專業(yè)工程實踐課程改革研究[J]．新余學院學報，2015．