劉 坤，庾 佳

（蘇州健雄職業(yè)技術學院 軟件與服務外包學院，江蘇 太倉 215411）

近年來，隨著互聯(lián)網的快速發(fā)展，網絡安全問題日益突出。利用網絡從事犯罪活動的案件也越來越多，使個人利益和國家利益都受到嚴重威脅。因此當前和今后一個時期，國家網絡空間安全工作的戰(zhàn)略任務是堅定捍衛(wèi)網絡空間主權，推進網絡空間和平、安全、開放、合作、有序發(fā)展，實現(xiàn)網絡強國的戰(zhàn)略目標[1]。為了維護網絡正常運行，確保網絡空間安全，需要大量網絡安全人才從事網絡安全技術工作，這就對各類院校培養(yǎng)高素質網絡安全人才提出了更高的要求。本文擬從職業(yè)崗位需求、人才核心素養(yǎng)和職業(yè)技能三個方面對高職院校信息安全技術應用專業(yè)課程體系結構進行深入分析，結合網絡攻防與實踐課程實施提出課程教學改革方法和途徑。

一、信息安全技術應用專業(yè)課程體系構建

信息安全技術應用專業(yè)主要根據“崗位-核心素養(yǎng)-職業(yè)技能”的原則構建課程體系，按照企業(yè)“網絡構建”“安全運維”“滲透測試”“應用服務”等主要崗位能力要求設置課程內容。目前與信息安全專業(yè)密切相關的崗位主要有網絡安全運維工程師、滲透測試工程師、風險評估工程師、安全加固工程師和代碼審計工程師[2]，其中網絡安全運維工程師和滲透測試工程師是大多數初級人才入門崗位，對高職畢業(yè)生需求最為廣泛，適合信息安全技術應用專業(yè)學生就業(yè)。因此明確該專業(yè)的人才培養(yǎng)目標是：具備良好職業(yè)道德，掌握完整的網絡攻防知識體系及漏洞檢測、滲透測試等技能，具備一定的安全攻防實戰(zhàn)經驗，基礎扎實、動手能力強的綜合型、實用型安全技術人才。

網絡攻防與實踐課程作為信息安全技術專業(yè)的核心課程之一，依據人才培養(yǎng)方案，對接崗位需求，圍繞典型網絡安全事件案例，采用“以學生為中心，結合信息時代教與學特征”的設計思路，以網絡黑客、電信網絡詐騙、侵犯公民個人隱私等違法犯罪行為案例為切入點，組織訓練網絡安全專業(yè)技能，涵蓋了網絡協(xié)議分析、網絡掃描、網絡嗅探、數據庫攻擊與加固、Web滲透與加固技術、系統(tǒng)加固等方面要求的知識和技能點，以學生為主體，對課堂教學進行改革。課崗賽證融合教學內容如圖1所示。

圖1 課崗賽證融合教學內容

二、信息安全技術應用專業(yè)課程教學改革措施

為了強化學生的實踐能力，教學團隊自主研發(fā)了網絡攻防與滲透實驗教學平臺，該平臺包含豐富的訓練內容，可以支撐信息安全技術應用專業(yè)課程體系中的多門課程，這里以網絡攻防與實踐課程項目五——“黑客入侵檢測與防范”為例，說明平臺訓練內容對課程教學內容的支撐。課程教學團隊針對企業(yè)網絡安全員崗位需求，以及本地區(qū)網絡安全現(xiàn)狀，對原有教學內容進行了提升和重組，基于課崗賽證融合理念選取課程內容，采用項目任務式架構組織教學內容，立足學情分析實施“基于情境自主探究+案例教學”的教學策略，按照企業(yè)滲透測試規(guī)范和創(chuàng)新要求進行授課[5]，采用PBL（基于項目學習與問題學習）、啟發(fā)式、探究式、討論式等教學模式，將信息安全意識與素養(yǎng)教育、《網絡安全法》等法律法規(guī)意識融入項目任務學習過程，使價值塑造、知識傳授與技能訓練融為一體，對培養(yǎng)德技并修的技能型網絡安全人才起到較好的支撐作用。

（一）依托網絡安全案例，融思政引任務

堅持立德樹人的根本目標，結合網絡安全事件，融思政引任務，如圖2所示。結合網絡黑客、電信網絡詐騙、侵犯公民個人隱私等違法行為案例，融入網絡安全法、個人信息保護法等法律法規(guī)，增強學生的網絡安全防護意識、懂法守法意識；通過學習習近平總書記關于建設網絡強國、網絡空間安全等系列重要講話，激發(fā)學生的愛國情懷，增強學生的責任感和使命感，從而激發(fā)學生的學習動力和熱情，達到預期的學習目標。思政元素的融入有助于學生樹立正確的世界觀、人生觀和價值觀，形成健全人格，實現(xiàn)自身的全面發(fā)展。

圖2 結合網絡安全案例，融思政引任務

（二）模擬仿真，角色扮演

模擬場景學技能，在課前初步確定攻防方案的基礎上，不斷完善方案，“做中學”“做中教”，在網絡攻防虛擬仿真平臺中復原漏洞，分“角色”模擬實現(xiàn)攻擊與防范，來驗證方案的可行性，通過反復修改方案和攻防實施步驟的過程，幫助學生熟練掌握Web滲透技術和防范方法。針對教學重難點，引導學生自主探究，查找漏洞，分析漏洞存在的原因。利用互聯(lián)網查找攻擊與防范措施，并在虛擬仿真平臺實施驗證測試，最后分組演示匯報，教師點評總結，從而幫助學生理解Web漏洞原理，學會處置入侵的方法和技術，突破教學難點。

（三）實戰(zhàn)訓練，任務闖關，激發(fā)學習興趣

在教學過程中，始終堅持以學生為中心，課程團隊精心設計任務闖關卡，學生需按照“黑客”攻擊步驟拿到數據填寫信息后，按照“管理員”的身份處理問題，修補漏洞，加固網站，大大激發(fā)了學生學習的主動性和積極性，分析問題、解決問題能力和溝通能力明顯增強。對于實戰(zhàn)項目，按照企業(yè)滲透測試標準編寫實訓報告模板，利用模擬環(huán)境真實再現(xiàn)電子商務網站滲透測試流程，貼近企業(yè)滲透測試工程師工作崗位，豐富學生實戰(zhàn)經驗。

（四）線上線下結合，多元化評價

線上線下活動貫穿“案例分析—虛實結合”的教學方式，擴展了傳統(tǒng)課堂教與學的空間，采用虛擬仿真軟件、微課、工單任務等信息化手段突出重點內容，通過大數據平臺學情分析、動畫、案例分析等攻克難點問題，在線課程、移動端APP學習通、班級QQ群等多工具并用，溝通無處不在，重構傳統(tǒng)課堂教學，教學過程得以優(yōu)化，“線上+線下”的多元化評價方式如表1所示。

表1 多元化評價方式

三、信息安全技術應用專業(yè)課程教學改革效果分析

（一）學習效果顯著提升

通過實施案例教學、情境教學，學生掌握了SQL注入漏洞、XSS漏洞、文件上傳漏洞、文件包含漏洞原理知識，提升了漏洞挖掘、漏洞利用、修補漏洞等技能，增強了網絡安全意識，具備了良好的職業(yè)道德，懂得了網絡安全法等法律法規(guī)，綜合利用網站漏洞入侵與防范能力顯著提升。通過課程學習，學生將學習成果進行完善后參加校創(chuàng)新創(chuàng)業(yè)比賽獲得了二等獎、三等獎，同時獲批省實踐創(chuàng)新訓練項目。通過創(chuàng)新驅動的課程教學，學生的創(chuàng)新意識和能力得到了提升。

（二）教學資源不斷豐富

依托課程改革教學團隊精心編寫了配套教材《網絡攻防與實踐（第2版）》，并獲國家十三五規(guī)劃教材，以院級優(yōu)秀在線課程網絡攻防與實踐為支撐，教師團隊制作了動畫微課6個，微課視頻22個，通過學習通APP推送給學生，引發(fā)學生進行探究式自主學習，使網絡教學與移動教學得到了廣泛應用并覆蓋全部內容。通過動畫形式展示攻防過程，讓學生掌握Web滲透與加固相關知識，以生動形象的方式激發(fā)學生學習興趣，提高教學效率。

（三）特色創(chuàng)新

融合課崗賽證的課程改革針對國家“十三五”期間“互聯(lián)網+”、電子政務、智慧城鎮(zhèn)和教育信息化等領域信息安全崗位人才需求，按照《高等職業(yè)教育電子信息類專業(yè)指導規(guī)范II》中信息安全與管理專業(yè)建設標準，通過崗賽證融合豐富完善學習領域課程內容，使人才培養(yǎng)更貼近崗位實際，從而提升專業(yè)人才培養(yǎng)服務社會和行業(yè)發(fā)展的能力。

通過創(chuàng)新項目，師生共同完成具有自主知識產權的網絡攻防與滲透訓練教學平臺。該教學平臺提供網絡常用攻擊方式，同時提供具有多個漏洞的綜合網站電子商務網站環(huán)境，真實還原復現(xiàn)漏洞場景，學生可以在平臺按真實案例實施步驟進行操作，模擬攻擊，有效提升實戰(zhàn)能力。

創(chuàng)設網絡安全案例場景，全面滲透思政育人。教學中通過“今日說法”真實網絡安全案例，宣講普及網絡安全法律法規(guī)，潛移默化地培養(yǎng)學生樹立正確的網絡安全觀、國家網絡安全與網絡主權意識，增強學生的愛國情懷、責任感和使命感。以《網絡安全法》為導向進行普法教育，培養(yǎng)學生的法律意識和職業(yè)道德準則。

為了提高信息安全技術應用專業(yè)學生技能水平，貫徹三教改革理念，教學團隊自主設計實現(xiàn)了網絡攻防與滲透實驗教學平臺，有效提升了學生的實戰(zhàn)能力，結合網絡攻防與實踐教學實施過程，融入課程思政、信息安全法律法規(guī)、1+X考證、職業(yè)技能比賽等內容，有效培養(yǎng)了學生的自主學習能力和創(chuàng)新精神，對信息安全技術應用專業(yè)其他課程教學改革具有很好的借鑒和推廣作用。