CTF競賽模式的高職信息安全實踐教學體系

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了CTF競賽模式的高職信息安全實踐教學體系范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：高職院校突出學生實踐、動手能力的培養(yǎng)，傳統(tǒng)的教學方式較難滿足信息安全專業(yè)學生的學習要求。本文從信息安全專業(yè)在實踐教學中存在的問題入手，提出基于“ctf競賽”模式的教學體系，對信息安全專業(yè)建設具有較好的參考價值。

關鍵詞：信息安全;實踐課程;CTF;課程群

2014年2月27日，中央網絡安全和信息化領導小組成立，指出，沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化；建設網絡強國，要有自己的技術，有過硬的技術；要有高素質的網絡安全和信息化人才隊伍。從總體上看，我國網絡安全人才還存在數量缺口較大、能力素質不高、結構不盡合理等問題，與維護國家網絡安全、建設網絡強國的要求不相適應。我國信息安全學科建設剛剛起步，高校作為人才培養(yǎng)的主要基地，近年來在信息安全人才培養(yǎng)方面不斷加大投入力度，完善信息安全知識結構，改進課程體系框架，提升教學質量，培養(yǎng)更為全面、優(yōu)秀的信息安全技術人才。

1高職院校信息安全專業(yè)實踐類課程教學體系存在的問題

高職院校的教育目標在于培養(yǎng)實用型、應用型高技能專門人才。在教育過程中，實踐類課程尤為重要。但目前，高職院校信息安全專業(yè)實踐類課程教學體系普遍存在以下問題。

1.1課程實用性差

部分高職院校在擬定專業(yè)人才培養(yǎng)方案時，雖然在課程設置上將某門課程定義為實踐課，但在教學過程中仍側重理論教學，實踐內容欠缺，實踐時間不足，學生無法將理論知識轉化為實用技能，影響對課程內容的掌握，喪失學習的積極性。

1.2師資力量薄弱

信息安全屬于新興學科，大部分專業(yè)教師都是從計算機應用、網絡工程、軟件工程等專業(yè)轉型而來，真正信息安全專業(yè)教師數量少，并且相應的專業(yè)教師培訓內容和規(guī)模不足，制約著師資隊伍的建設。

1.3教學基礎設施滯后

實訓室是實踐類課程在校期間完成實踐教學的重要場所，但很多高校信息安全實訓室網絡環(huán)境單一，主要由交換機、路由器、防火墻等部分網絡安全設備組成，設備種類有限、設備型號陳舊并缺少各種信息安全軟件實踐平臺，可完成的實訓內容僅包含安全設備的部署、調試等，具有很大的局限性。

1.4教學內容陳舊

信息安全技術發(fā)展迅速，對高校信息安全專業(yè)知識體系提出了更高的要求。很多高校不能及時更新知識技術，甚至不能把握當前社會的主流應用，比如仍然在使用WindowsServer2003和SQLServer2000等漏洞來進行教學等。教學內容、案例的陳舊，嚴重束縛了學生實踐能力的提高。

1.5考核方式落后

各實踐課程考核方式單一，或為純粹筆試、或為筆試加上機實踐操作考試，上機考試時間短并且考試內容固定等，無法突出實踐的特色，缺乏合理、有效、全面的考核方法，不能達到檢驗學生對知識技術掌握程度的目的。

2基于“CTF競賽”模式的實踐教學體系構建

2.1“CTF競賽”模式

CTF（CaptureTheFlag）中文一般譯作奪旗賽，在信息安全領域中指的是信息安全技術人員之間進行技術競技的一種比賽形式。其大致流程是從給出的比賽環(huán)境中找到一串具有一定格式的字符串或其他內容（Flag），并將其提交，從而奪得分數。CTF競賽模式具體分為以下三類：解題模式（Jeopardy）。參賽隊伍在線參與，解決給定的網絡安全技術挑戰(zhàn)題目，通過答題分數和解題時間來排名。攻防模式（Attack-Defense）。參賽隊伍互相進行攻擊和防守，挖掘網絡服務漏洞并攻擊對手服務來得分，修補自身服務漏洞進行防御來避免丟分。混合模式（Mix）。結合了解題模式與攻防模式的特點，參賽隊伍通過解題階段獲取一些初始分數，然后通過攻防對抗進行得分增減的零和博弈，最終以得分高低分出勝負。

2.2構建實踐課程體系

CTF競賽內容主要包含密碼分析類、Web安全類、逆向破解類、安全編程類及漏洞發(fā)掘利用類等。所以信息安全專業(yè)課程建設必須緊扣以上要點，并且可以把內容耦合緊密、存在內在關聯、屬于同一教學目標的一類課程作為一個課程組或專業(yè)方向進行建設，以此打破課程之間的壁壘，從專業(yè)培養(yǎng)目標的層次上對課程內容進行分配。具體可將信息安全專業(yè)分為網絡安全課程群、Web安全課程群、信息安全課程群、軟件安全課程群及服務器安全課程群等，每個課程群下包含幾門專業(yè)課程，其中某些基礎課程可能在多個課程群中交叉出現。網絡安全課程群主要培養(yǎng)學生網絡組建、網絡安全設備部署與調試、網絡攻防的能力；Web安全課程群對學生Web應用程序開發(fā)、Web滲透能力的培養(yǎng)；信息安全課程群對信息加解密等信息隱藏技術的培養(yǎng)；軟件安全課程群主要對學生安全編程技術及程序逆向能力的培養(yǎng)；服務器安全課程群的培養(yǎng)目標在于Windows及Linux服務器操作系統(tǒng)的安全運維。

2.3改進實踐教學模式

實踐教學綜合平臺在教學過程中起到非常重要的作用，大量課程知識點可在平臺上進行學習、實踐。利用平臺，將“CTF競賽”教學模式引入教學中來，為每一類專業(yè)課程組設置眾多專業(yè)知識點及測試內容，最終形成完整的知識體系。在教師講授完相關知識后，學生通過答題、闖關等方式，自我發(fā)現問題、自發(fā)學習并最終解決問題。解決某問題后，獲得相應分數，并以此來計算該門課程的最后考核成績。學生在賽中學、學中賽，不斷激發(fā)學生的學習興趣，達到提升教學效果的目的。

2.4設計實踐教學平臺

平臺設計參照CTF競賽平臺結構，分為信息安全解題平臺網站和網絡攻防靶機服務器兩部分。其中信息安全解題平臺網站搭建于真實服務器上，學生或小組注冊登錄平臺后，瀏覽注意事項，答題并提交writeup，最后平臺返回得分情況。不同題目設置不同分值，系統(tǒng)記錄學生或小組得分情況并分析，得出該學生或小組對信息知識掌握情況。靶機服務器運行于VMWarevsphereESXi虛擬機下，可快速組建虛擬局域網并保證靶機的穩(wěn)定性。靶機服務器分為系統(tǒng)漏洞類靶機、系統(tǒng)網絡服務漏洞類靶機、網站漏洞類靶機及綜合類靶機四種，以實現對上述漏洞知識的考查。同時靶機區(qū)分難易程度，分值高低，學生可由易到難一步步開展信息安全內容的學習。

3結語

采用“CTF競賽”模式的信息安全專業(yè)實踐課程體系，能夠極大的激發(fā)學生學習興趣及創(chuàng)新熱情，提供學生學習效率，提高高職院校人才培養(yǎng)質量。但在具體實施中仍存在不少問題，如綜合實訓平臺的穩(wěn)定性及開發(fā)問題、平臺實踐內容分類、設計等完善的問題、課程內容更新的問題等，以上問題有待進一步研究和實踐。只有不斷思考探索，才能緊跟社會，才能達到與社會人才需求相一致的目的。

參考文獻：

[1]百度百科.CTF(奪旗賽)[EB/OL].

[2]魏為民,楊爍.結合CTF競賽模式的信息安全課堂教學[J].計算機教育,2017,(6).

[3]閔祥參,范九倫.信息安全專業(yè)課程體系設置的幾點思考[J].網絡與信息安全學報,2016,(7).

作者:王榕 單位:江西外語外貿職業(yè)學院