CTF竞赛模式的高职信息安全实践教学体系

摘要：高职院校突出学生实践、动手能力的培养，传统的教学方式较难满足信息安全专业学生的学习要求。本文从信息安全专业在实践教学中存在的问题入手，提出基于“CTF竞赛”模式的教学体系，对信息安全专业建设具有较好的参考价值。

关键词：信息安全;实践课程;CTF;课程群

2014年2月27日，中央网络安全和信息化领导小组成立，指出，没有网络安全就没有国家安全，没有信息化就没有现代化；建设网络强国，要有自己的技术，有过硬的技术；要有高素质的网络安全和信息化人才队伍。从总体上看，我国网络安全人才还存在数量缺口较大、能力素质不高、结构不尽合理等问题，与维护国家网络安全、建设网络强国的要求不相适应。我国信息安全学科建设刚刚起步，高校作为人才培养的主要基地，近年来在信息安全人才培养方面不断加大投入力度，完善信息安全知识结构，改进课程体系框架，提升教学质量，培养更为全面、优秀的信息安全技术人才。

1高职院校信息安全专业实践类课程教学体系存在的问题

高职院校的教育目标在于培养实用型、应用型高技能专门人才。在教育过程中，实践类课程尤为重要。但目前，高职院校信息安全专业实践类课程教学体系普遍存在以下问题。

1.1课程实用性差

部分高职院校在拟定专业人才培养方案时，虽然在课程设置上将某门课程定义为实践课，但在教学过程中仍侧重理论教学，实践内容欠缺，实践时间不足，学生无法将理论知识转化为实用技能，影响对课程内容的掌握，丧失学习的积极性。

1.2师资力量薄弱

信息安全属于新兴学科，大部分专业教师都是从计算机应用、网络工程、软件工程等专业转型而来，真正信息安全专业教师数量少，并且相应的专业教师培训内容和规模不足，制约着师资队伍的建设。

1.3教学基础设施滞后

实训室是实践类课程在校期间完成实践教学的重要场所，但很多高校信息安全实训室网络环境单一，主要由交换机、路由器、防火墙等部分网络安全设备组成，设备种类有限、设备型号陈旧并缺少各种信息安全软件实践平台，可完成的实训内容仅包含安全设备的部署、调试等，具有很大的局限性。

1.4教学内容陈旧

信息安全技术发展迅速，对高校信息安全专业知识体系提出了更高的要求。很多高校不能及时更新知识技术，甚至不能把握当前社会的主流应用，比如仍然在使用WindowsServer2003和SQLServer2000等漏洞来进行教学等。教学内容、案例的陈旧，严重束缚了学生实践能力的提高。

1.5考核方式落后

各实践课程考核方式单一，或为纯粹笔试、或为笔试加上机实践操作考试，上机考试时间短并且考试内容固定等，无法突出实践的特色，缺乏合理、有效、全面的考核方法，不能达到检验学生对知识技术掌握程度的目的。

2基于“CTF竞赛”模式的实践教学体系构建

2.1“CTF竞赛”模式

CTF（CaptureTheFlag）中文一般译作夺旗赛，在信息安全领域中指的是信息安全技术人员之间进行技术竞技的一种比赛形式。其大致流程是从给出的比赛环境中找到一串具有一定格式的字符串或其他内容（Flag），并将其提交，从而夺得分数。CTF竞赛模式具体分为以下三类：解题模式（Jeopardy）。参赛队伍在线参与，解决给定的网络安全技术挑战题目，通过答题分数和解题时间来排名。攻防模式（Attack-Defense）。参赛队伍互相进行攻击和防守，挖掘网络服务漏洞并攻击对手服务来得分，修补自身服务漏洞进行防御来避免丢分。混合模式（Mix）。结合了解题模式与攻防模式的特点，参赛队伍通过解题阶段获取一些初始分数，然后通过攻防对抗进行得分增减的零和博弈，最终以得分高低分出胜负。

2.2构建实践课程体系

CTF竞赛内容主要包含密码分析类、Web安全类、逆向破解类、安全编程类及漏洞发掘利用类等。所以信息安全专业课程建设必须紧扣以上要点，并且可以把内容耦合紧密、存在内在关联、属于同一教学目标的一类课程作为一个课程组或专业方向进行建设，以此打破课程之间的壁垒，从专业培养目标的层次上对课程内容进行分配。具体可将信息安全专业分为网络安全课程群、Web安全课程群、信息安全课程群、软件安全课程群及服务器安全课程群等，每个课程群下包含几门专业课程，其中某些基础课程可能在多个课程群中交叉出现。网络安全课程群主要培养学生网络组建、网络安全设备部署与调试、网络攻防的能力；Web安全课程群对学生Web应用程序开发、Web渗透能力的培养；信息安全课程群对信息加解密等信息隐藏技术的培养；软件安全课程群主要对学生安全编程技术及程序逆向能力的培养；服务器安全课程群的培养目标在于Windows及Linux服务器操作系统的安全运维。

2.3改进实践教学模式

实践教学综合平台在教学过程中起到非常重要的作用，大量课程知识点可在平台上进行学习、实践。利用平台，将“CTF竞赛”教学模式引入教学中来，为每一类专业课程组设置众多专业知识点及测试内容，最终形成完整的知识体系。在教师讲授完相关知识后，学生通过答题、闯关等方式，自我发现问题、自发学习并最终解决问题。解决某问题后，获得相应分数，并以此来计算该门课程的最后考核成绩。学生在赛中学、学中赛，不断激发学生的学习兴趣，达到提升教学效果的目的。

2.4设计实践教学平台

平台设计参照CTF竞赛平台结构，分为信息安全解题平台网站和网络攻防靶机服务器两部分。其中信息安全解题平台网站搭建于真实服务器上，学生或小组注册登录平台后，浏览注意事项，答题并提交writeup，最后平台返回得分情况。不同题目设置不同分值，系统记录学生或小组得分情况并分析，得出该学生或小组对信息知识掌握情况。靶机服务器运行于VMWarevsphereESXi虚拟机下，可快速组建虚拟局域网并保证靶机的稳定性。靶机服务器分为系统漏洞类靶机、系统网络服务漏洞类靶机、网站漏洞类靶机及综合类靶机四种，以实现对上述漏洞知识的考查。同时靶机区分难易程度，分值高低，学生可由易到难一步步开展信息安全内容的学习。

3结语

采用“CTF竞赛”模式的信息安全专业实践课程体系，能够极大的激发学生学习兴趣及创新热情，提供学生学习效率，提高高职院校人才培养质量。但在具体实施中仍存在不少问题，如综合实训平台的稳定性及开发问题、平台实践内容分类、设计等完善的问题、课程内容更新的问题等，以上问题有待进一步研究和实践。只有不断思考探索，才能紧跟社会，才能达到与社会人才需求相一致的目的。

参考文献：

[1]百度百科.CTF(夺旗赛)[EB/OL].

[2]魏为民,杨烁.结合CTF竞赛模式的信息安全课堂教学[J].计算机教育,2017,(6).

[3]闵祥参,范九伦.信息安全专业课程体系设置的几点思考[J].网络与信息安全学报,2016,(7).

作者:王榕 单位:江西外语外贸职业学院