應秋紅

關(guān)鍵詞 課崗證賽融通 安全滲透測試 課程重構(gòu)

隨著國家工業(yè)體系的日益完善，傳統(tǒng)制造業(yè)和新興產(chǎn)業(yè)快速發(fā)展，高技能人才和技術(shù)創(chuàng)新獲得了社會的廣泛關(guān)注，這對職業(yè)教育有了更高的定位和要求。職業(yè)教育不但能夠讓學生掌握在社會立足的一技之長，還承擔著為國家輸出應用型人才的重任。而現(xiàn)階段職業(yè)教育還存在“教學與生產(chǎn)脫節(jié)”、課堂教學與企業(yè)崗位聯(lián)系不緊密、高職院校培養(yǎng)的學生無法很好地適應生產(chǎn)一線的工作等問題。為了更好地適應社會的產(chǎn)業(yè)結(jié)構(gòu)改革，培養(yǎng)出大量的行業(yè)技能型人才，職業(yè)教育需抓住機遇創(chuàng)新教學模式和課程體系。

“崗課賽證融通”育人是高職教育教學多元化改革、提升教學質(zhì)量的重要模式之一[1] 。其中，“崗”是與課程相關(guān)的工作崗位，“課”是專業(yè)課程，“賽”是職業(yè)技能比賽，“證”是技能等級證書，而專業(yè)課程是“崗課賽證融通”的主要載體?！癢eb 安全滲透測試”是信息技術(shù)應用專業(yè)的核心課程，其課程標準是根據(jù)滲透測試工程師、安全測試工程師等崗位要求建立，旨在培養(yǎng)學生信息收集、Web 滲透測試、操作系統(tǒng)滲透測試、內(nèi)網(wǎng)滲透測試的能力，極大提升學生的Web 安全知識水平，以及動手實踐能力。因此，本文將“Web安全滲透測試”課程設置作為教學改革的核心，開展基于“課崗證賽融通”下的課程體系重構(gòu)實踐研究。

1“Web 安全滲透測試” 課程在教學過程中存在的問題

（1）無法充分整合和利用企業(yè)資源

由于“Web 安全滲透測試”課程內(nèi)容與滲透測試工程師、安全測試工程師的崗位技能要求緊密結(jié)合，注重學生的實踐能力培養(yǎng)。因此，課堂教學中需要大量存在安全漏洞的網(wǎng)站或者系統(tǒng)作為“靶場”，為學生提供攻防技能、滲透測試技能的練習平臺。而《網(wǎng)絡安全法》中明確禁止網(wǎng)絡運營者在未獲得書面授權(quán)之前，對互聯(lián)網(wǎng)中的Web 應用系統(tǒng)進行滲透測試。這就需要教師通過各種代碼復現(xiàn)出真實業(yè)務系統(tǒng)中出現(xiàn)的安全漏洞，讓學生在教師模擬的環(huán)境中掌握Web 攻防技能。而由于與企業(yè)聯(lián)系不夠緊密，教師接觸真實業(yè)務系統(tǒng)的安全漏洞的機會不多，導致可用的實驗資源少以及網(wǎng)絡安全專業(yè)教師、實訓基地等資源緊缺問題，因此課堂教學質(zhì)量不佳。

（2）課程體系針對性不強

“Web 安全滲透測試”課程涉及的知識點廣，需要學生掌握操作系統(tǒng)、網(wǎng)絡基礎、編程語言、常見Web 安全漏洞等方面的理論知識。如果所設置的課程未側(cè)重于Web 安全方向，則需要學生掌握數(shù)十門計算機相關(guān)課程知識，這對學生的學習時間和學習能力都帶來了巨大的挑戰(zhàn)，不利于學生掌握信息安全相關(guān)知識和技能。此外，在原有的課程體系中，更加注重培養(yǎng)學生的動手操作能力，而忽視了理論知識的講解，導致學生對新技術(shù)的敏感度和知識遷移能力都無法得到有效培養(yǎng)。

2基于“ 課崗證賽融通” 的“ Web 安全滲透測試”課程重構(gòu)的必要性

2.1企業(yè)人才需求大，職業(yè)教育發(fā)展態(tài)勢良好

在國家安全戰(zhàn)略大背景下，多部與數(shù)據(jù)安全、網(wǎng)絡安全相關(guān)的法律相繼頒布，信息安全領域逐漸成為國家戰(zhàn)略性新興行業(yè)。以增強網(wǎng)絡空間安全、推進網(wǎng)絡強國建設為目標，各行各業(yè)對網(wǎng)絡安全人才的需求日益增加，這給網(wǎng)絡安全人才培養(yǎng)帶來前所未有的挑戰(zhàn)和機遇。

近年來，浙江省深入落實“互聯(lián)網(wǎng)+”活動，大力推廣“數(shù)字改革”，計劃將互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能深度融合，并應用到實際生產(chǎn)與生活中[2] 。這使得高職院校的信息安全技術(shù)應用專業(yè)在浙江省發(fā)展較好，具備良好的教學條件和物質(zhì)基礎。加之相關(guān)網(wǎng)絡安全企業(yè)需求層次的明確性和突出性，使得職業(yè)教育課程體系與教學標準的建立具有了廣泛的基礎，使其切實可行。

2.2“崗課賽證融通” 賦能信息安全高技能人才培養(yǎng)

目前，高職院校的信息安全技術(shù)應用專業(yè)普遍存在培養(yǎng)目標不明確、培養(yǎng)質(zhì)量較低等問題。隨著網(wǎng)絡強國建設面臨新形勢、新機遇、新要求，與網(wǎng)絡安全相關(guān)的企業(yè)迅猛發(fā)展，為信息安全高技能人才培養(yǎng)模式改革注入新的能量。

首先，國家政策加持和網(wǎng)絡安全事件頻發(fā)，不少企業(yè)開始重視自身應用系統(tǒng)的安全性，更加明確安全類崗位的技能要求。這為高職院校的信息安全技術(shù)應用專業(yè)樹立了人才培養(yǎng)目標。其次，各類各級網(wǎng)絡安全比賽如火如荼，不僅比賽的數(shù)量在不斷增多，形式也日益豐富。不少高職院校都花費大量人力、物力建立競賽指導團隊以及組織賽前集訓等。將比賽的項目和內(nèi)容適當改造后，融入課程教學內(nèi)容中，既可以豐富課程教學素材，也可以有效提高學生的網(wǎng)絡安全對抗能力和防護水平。最后，相關(guān)職業(yè)證書則明確了學生所需要掌握的知識和技能。職業(yè)證書的要求對課堂講授的知識體系起著檢驗的作用。

3基于“ 課崗證賽融通” 的“ Web 安全滲透測試”課程重構(gòu)實踐研究

本項目主要改革內(nèi)容基于“課崗賽證融通” 的“Web 安全滲透測試”課程重構(gòu)實踐，即將“Web 安全滲透測試”課程設置作為教學改革的核心，課程設置與網(wǎng)絡安全企業(yè)實際崗位能力要求相融通、課程設置與專業(yè)技能競賽能力要求相融通、課程設置與“1+X”網(wǎng)絡安全評估證書考試要求相融通，不斷升級專業(yè)課程、豐富教學內(nèi)容、創(chuàng)新教學方式，以培養(yǎng)學生的專業(yè)技能。

3.1以崗位需求為標準構(gòu)建課程體系

“Web 安全滲透測試”課程體系構(gòu)建在我校信息安全應用技術(shù)專業(yè)2020 級和2021 級人才培養(yǎng)方案的基礎上。通過走訪企業(yè)，邀請相關(guān)崗位的工程師召開專題座談會，針對滲透測試工程師、安全測試工程師這兩個崗位的人才需求進行廣泛而詳細的調(diào)研，結(jié)合企業(yè)在工作中所需要的主要工作技能，以主要工作任務為基礎，通過對典型工作任務的分解，在此基礎上構(gòu)建課程教學體系。例如，在滲透測試工程師、安全測試工程師這兩個崗位的技能要求中，都要求具備一定的滲透測試能力。因此，在課程中將學生滲透測試能力的培養(yǎng)，不僅要求學生掌握常見安全工具的使用方法，還培養(yǎng)學生具備對不同靶場環(huán)境進行手工滲透的能力，以及嚴格按照相關(guān)規(guī)范撰寫滲透測試報告的能力。課程內(nèi)容嚴格對標實際崗位，不僅培養(yǎng)了學生的專業(yè)技能，還在一定程度上引發(fā)學生對未來就業(yè)方向的思考，提前做好職業(yè)規(guī)劃。

3.2以比賽內(nèi)容為課程教學的有效補充

隨著網(wǎng)絡安全逐漸上升到國家戰(zhàn)略，網(wǎng)絡安全行業(yè)面臨新形勢、新機遇、新要求，使得不少企業(yè)和高校都開始著手投入大量人力和財力組織網(wǎng)絡安全相關(guān)的比賽。這類網(wǎng)絡安全比賽通過在初賽中采用CTF形式，對學生的基礎知識和比賽模塊題目的熟悉程度有很高的要求;在決賽中通常采用AWD 攻防形式，要求學生掌握常見Web 漏洞的攻擊和防御方法。網(wǎng)絡安全比賽的部分內(nèi)容與“Web 安全滲透測試”課程內(nèi)容有重合性。因此，在課堂教學中，教師引導學生積極參加相關(guān)比賽，將比賽訓練作為學生鞏固課程內(nèi)容的重要方式之一，激發(fā)學生的學習興趣。在準備比賽的過程中，學生可以將CTF 題或者是其他攻防靶場作為練習基本技能的平臺。在學生參加相關(guān)比賽后，發(fā)現(xiàn)自身知識體系中的不足，為后續(xù)課程學習和能力提升提供了新方向。此外，教師可以充分研究大賽項目，對大賽項目的內(nèi)容進行適當拆分，并將其有機融入課程知識體系和技能目標中，以設置單獨的課程項目來不斷豐富課程內(nèi)容。通過加強“技能比賽”與課程的聯(lián)系，將比賽內(nèi)容作為課堂教學的有效補充，進而充分發(fā)揮“以賽促教”“以賽促學”“以賽促改”的作用。

3.3以行業(yè)標準檢驗學生的綜合能力

“1+X”制度的提出，要求學生在獲得學歷證書的同時，還需要考取以崗位需求為導向的職業(yè)技能證書。鼓勵學生積極考取“1+X”證書，將“1+X 證書”作為學生學習課堂知識后的檢驗方式。在網(wǎng)絡安全領域相關(guān)的“1+X”證書中，如360 公司頒發(fā)的網(wǎng)絡安全評估證書，不僅對學生的理論知識掌握情況有要求，還注重考查學生的動手實操能力。這不僅可以提高學生的學習積極性，還可以提高學生對動手能力的重視。因此，加強“課證”融通，是從另外一個維度將企業(yè)真實工作任務融入課程內(nèi)容中，從而實現(xiàn)以行業(yè)標準檢驗學生綜合能力的目標。學生參與企業(yè)組織的“1+X”證書考取活動后，教師可以通過學生考證成績和通過率等結(jié)果，反思教學中存在的不足，更好地實現(xiàn)反哺教學。

3.4將“崗課賽證融通”進一步應用到課程思政

為了更好地實現(xiàn)“立德樹人”目標，課程思政教育已經(jīng)是專業(yè)課程中必不可少的內(nèi)容。在對“Web 安全滲透測試”課程進行“崗課賽證融通”探索的同時，分別挖掘“崗”“賽”“證”三者中的思政育人元素。在理論知識講解的同時注重學生動手能力的培養(yǎng)，在專業(yè)能力培養(yǎng)的同時注重學生法律意識、道德素養(yǎng)的培養(yǎng)。例如，在將崗位需求與課程體系進行融合的過程中，挖掘“滲透測試工程師”這一崗位所包含的思政育人元素。由于滲透測試工程師要對客戶授權(quán)的Web應用或者系統(tǒng)進行滲透測試，本著對Web 應用或者系統(tǒng)安全負責的態(tài)度，需要滲透測試工程師具備細心、耐心、踏實等特質(zhì)。因此，在課堂教學中引入實際崗位中“愛崗敬業(yè)、工匠精神、就業(yè)精神”等思政元素，可以引導學生成長為網(wǎng)絡空間的忠實守護者。

4總結(jié)

本文對課程現(xiàn)狀和“崗課賽證融通”必要性進行了分析，目的是加強崗位需求、技能比賽、技能證書與課堂教學的融合，以不斷豐富課程內(nèi)容。在探索課程改革的同時，深度挖掘“崗”“證”“賽”等多個方面的思政育人元素，并將其融入課程思政中，旨在培養(yǎng)專業(yè)技能扎實、有強烈法律意識和社會責任感的信息安全人才。實踐表明，在對“Web 安全滲透測試”課程進行基于“崗課賽證融通”的重構(gòu)實踐后，學生對參與網(wǎng)絡安全比賽的興趣明顯提高，“1+X”證書的通過率超過98%。