基于CTF竞赛模式高职信息安全与管理专业课程体系研究.docVIP

基于CTF竞赛模式高职信息安全与管理专业课程体系研究 　　摘要：当前信息安全人才培养存在专业定位不准、学生兴趣不高、学习效率低下等问题，本研究以郑州铁路职业技术学院信息安全与管理专业课程体系为例，提出基于“CTF竞赛”模式的信息安全课程体系建设方案，通过市场调研确定专业特色并将“CTF竞赛”模式融入教学过程，对信息安全专业人才培养具有较好的参考价值。 　　关键词：高职；信息安全与管理专业；“CTF竞赛”教学模式 　　一、引言 　　国家互联网应急中心的数据显示：2015年，我国近2883万个IP地址对应的主机被木马或僵尸程序控制，移动互联网恶意程序样本147万个，被植入后门的网站数量达75028个，其中，政府网站3514个，仿冒境内网站的页面数量达184574个，数字较2014年均有50%以上的涨幅。因此，掌握Web安全防御相关技能的人才在网络安全行业中有着广泛的需求，其行业人才缺口巨大。 　　二、当前信息安全人才培养中存在的问题。 　　（一）专业定位不够明确，特色不够鲜明 　　据不完全统计，目前在开设信息安全课程的高校中，本科类有94 所、高职类有27所，部分高校在信息安全人才培养方面已?形成了鲜明的特色，如以密码技术为特色、以网络攻防技术为特色、以数据安全为特色的人才培养定位等。但对于更多的高校来说，信息安全与管理专业的人才培养缺乏明确的定位，与市场需求脱轨，课程体系杂乱无章。 　　（二）课程体系缺少实用性和先进性 　　当前，高职类信息安全专业的课程设置存在沿袭本科课程体系的痕迹，课程涉及较多的密码技术、安全协议、安全体系等，且课程内容重理论轻实践；或课程设置偏重安全设备的部署，并没有涉及太多信息安全对抗、Web安全等内容，与当前市场需要存在差距。另外，由于信息安全技术的飞速发展和新的网络攻击手段不断出现，新的攻击手段、新的病毒和木马出现很短时间内就会被安全软件查杀，这使得信息安全专业课程难以获得先进、实时、有效的实验教学样本和素材，也使得教师需要不断学习新的知识，大大增加了教师教学的难度。 　　（三）信息安全的知识体系决定了学生较易丧失学习积极性 　　信息安全的知识结构特点要求学生在学习时不仅要具备相当的计算机基础，而且要具备较强的逆向思维能力。学生开始时对信息安全课有很大的兴趣， 但在解决实际问题中，很快就丧失了热情，很多学生无法理解课堂学习的知识如何与实际问题相结合，在实际中解决问题的能力有待提升。 　　三、基于“CTF竞赛”模式的信息安全与管理专业课程体系的构建 　　（一）“CTF竞赛”模式 　　CTF（capture the flag）即夺旗竞赛，是全球信息安全圈流行的竞赛形式。夺旗竞赛可以增加比赛的趣味性和竞争性，因此将其借鉴到信息安全专业教学过程中，可以提高学生对该课程的学习兴趣，使学生在游戏中学习，在竞赛中提高。 　　CTF 竞赛主要包括三种竞赛模式。第一，解题模式。该模式以解决挑战题目的分值和时间排名，通常用于在线选拔赛。第二，攻防模式。参赛者互相攻防，通过挖掘漏洞、攻击对手服务得分，通过修补自身漏洞避免丢分，是一种竞争激烈、具有强观赏性和高透明性的网络空间安全赛制。第三，混合模式。该模式同时结合了解题模式与攻防模式，如参赛者通过解题获取一些初始分数，通过攻防对抗进行得分增减，最终以得分高低分出胜负。 　　（二）课程体系的构建 　　1.整体思路 　　根据“岗位→职业能力→课程体系”的建设原则设定课程体系和教学内容，按照企业“网络构建”“安全运维”“渗透测试”和“数据安全”主要岗位的能力要求，融入基于“CTF竞赛”的教学模式，构建“基础素质平台+专业基础平台+岗位能力平台”三大平台的“基于CTF竞赛教学模式”的课程体系。 　　2.课程体系的构建 　　（1）岗位分析 　　郑州铁路职业技术学院信息安全专业教师团队深入安恒信息技术公司、蓝盾信息安全技术公司、红亚华宇科技等知名企业，针对信息安全相关就业岗位技能需求进行调研，并结合信息安全人才市场需求的调研结果，得出五个需求量最大的信息安全职业类别，分别是：安全运维工程师、渗透测试工程师、风险评估工程师、安全加固工程师和代码审计工程师。安全运维工程师和渗透测试工程师是大多数初级人才的入门岗位，并且对高职学历学生也有着最为广泛的需求，因此我们应该培养具备完整的攻防知识体系，掌握漏洞检测、渗透测试、入侵痕迹检查及取证等技能，具备一定的安全攻防实战经验、基础扎实、动手能力强的综合型、实用型的安全技术人才。 　　（2）信息安全课程体系框架构建 　　根据国家对高职层次人才培养的要求，将信息安全与管理专业的课程体系划分为“基础素质平台”“专业基础平台”和“岗位能力平台”三大平台。其中基础素质平台和专业基础平台课程由基础素质课程、专业