“以赛促学”模式在“网络安全攻防技术”课程教学中的应用

摘要：当前时代背景下，国家提出了关于新时代教育事业发展的新理念。在此指导下，目前国内高校都在积极探索人才培养机制、培养模式等方面的改革。“以赛促学”应用于中等职业学校的教学中．其在培养学生的动手能力、综合应用能力、激发学生学习兴趣、调动教师工作积极性等方面都起到了很好的促进作用。文章以“网络安全攻防技术”课程为例，研究以培养应用型人才为目的的中职院校如何将“以赛促学”模式引入“网络安全攻防技术”课程教学。

关键词：以赛促学；网络安全；教学模式

中图法分类号：TP393 文献标识码：A

当前的中职教育按照“职业标准”与“关键技能”的规定，将相关的专业规范与专业能力需求纳入培养目标中，对课程进行了设计。通过增加竞赛内容，结合学生特点，制订适合企业需要的课程内容［１］ 。在教学中加入实践性的内容，以满足学生的个性化学习需要，使每一个人都能获得知识。通过将教学与技能竞赛相结合，以提高教学质量，从而为企业培养出更多、更好、更专业以及更适合于企业发展需要的计算机网络专业人才。同时，计算机网络产业正处在快速成长的时期，透过竞赛的方式，让学生能够及时地掌握产业动态与工作动向。本文以“网络安全攻防技术”为案例，从实操竞赛和理论竞赛２ 个方面来进行“以赛促学”教学模式的设计［２］ 。

１ “网络安全攻防技术” 课程实操竞赛设计

以“网络安全攻防技术”课程内容中的“ＳＱＬ 注入漏洞利用与防御”任务为例，来进行任务设计。

１．１ 制定教学目标

１．１．１ 知识目标

掌握ＳＱＬ 渗入式攻击的基础知识；了解ＳＱＬ 渗入式攻击的基本原理；掌握ＳＱＬ 渗入式攻击的具体流程；学习ＳＱＬ 渗入式攻击的防护技巧。

１．１．２ 能力目标

了解ＳＱＬ 渗入式攻击的基本思路；掌握通过ＳＱＬ注入渗透式攻击获取信息；了解如何预防ＳＱＬ 注入渗透式攻击网站的对策。

１．１．３ 核心价值观

加强对信息化建设的掌控；保障网络安全的攻防能力。

１．２ 设计教学过程

１．２．１ 课题导入

任务场景：通过对企业网站的安全性检测，发现该站点存在ＳＱＬ 注入漏洞，易被黑客入侵，从而造成数据库信息的泄露。为了更好地了解和解决这个问题，使用ＤＶＷＡ 来重现场景。

竞赛目标：了解ＳＱＬ 渗入式攻击的基本原理；掌握ＳＱＬ 渗入式攻击的具体实施流程；学习ＳＱＬ 渗入式攻击的防护技巧。

１．２．２ 赛前准备

课堂ＳＱＬ 注入渗透测试和安全防护竞赛内容。

（１）竞赛项目一：知识答辩比赛的主要内容有：ＳＱＬ 注入的渗透攻击；ＳＱＬ注入渗透式攻击的一般思想；如何阻止ＳＱＬ 注入渗入式攻击。

比赛规则：参赛选手按照赛前所准备的３ 个问题，选出１ 个问题，搜集材料，并将其制作成展示报告。评委收集了学生的发言，然后根据他们的回答和思考方式，给他们打分。

（２）竞赛项目二：基础实训比赛项目有：ＤＶＷＡ 渗透示范系统的安装与部署；把ＤＶＷＡ 渗透展示系统的安全性设为“ Ｌｏｗ（低）”。

比赛规则：考生自行完成比赛，完成比赛的成绩将以截屏的形式保存到考卷中。评委会根据评分表格来给他们打分。

１．２．３ 团队商讨

团队成员比赛的预备程序：学习ＳＱＬ 注入攻击的历史，形成原因，了解ＳＱＬ 注入漏洞的危害；理解ＳＱＬ注入攻击的一般思路，以及如何利用ＳＱＬ 注入的弱点进行攻击；掌握ＳＱＬ 注入攻击的基本思想和方法，以达到防范ＳＱＬ 注入攻击的目的；構建ＤＶＷＡ 渗透展示系统，并应用该系统对ＳＱＬ 渗透注入进行试验；把ＤＶＷＡ 渗透式展示系统的安全性设置为“低”，这样就可以使用ＳＱＬ 注入式渗透测试来获取目前的连接；通过ＤＶＷＡ 系统，可以获取当前的用户权限，获取当前数据库的版本信息，获取ＤＶＷＡ 数据库中的表格，查看用户表中的列，获取数据库中的所有账户和密码；对级别为“Ｌｏｗ （低）”的ＤＶＷＡ 网站源代码进行分析，并对其产生的ＳＱＬ 注入问题进行分析；解决竞赛中的问题，为班级竞赛做好准备。

１．２．４ 成果展示与竞赛

每位学生按照“知识答辩”模块所选内容，分别进行现场答辩，每名答辩时间为３ ～５ 分钟；按照“基础实训”模块的要求，每位学生建立ＤＶＷＡ 渗透示范系统，并设定了“Ｌｏｗ （低）”的安全等级；每１ 个小组，都会根据比赛中的“团队合作”单元，进行分工，在“团体合作”模块中，共同完成６ 道题，并根据竞赛规则，将竞赛成绩提交；竞赛结束后，根据评分系统对竞赛的结果进行评估，并给出各小组和个人的得分，并奖励优秀的团队和个人。

１．２．５ 课后总结

ＳＱＬ 注入的思想是：对ＳＱＬ 注入点的发现；定义企业服务器的分类和后台管理数据库的分类； ＳＱＬ 注入攻击根据服务器特点和数据库技术特点来进行。

ＳＱＬ 注入是当今ＰＨＰ 应用软件中最为普遍的一个问题。若开发人员同时犯２ 次错误，则会导致ＳＱＬ注入攻击：未过滤输入数据；未将传送至资料库的数据转义（转义输出）。这２ 个重要的错误都是必须要注意的，这可以降低ＳＱＬ 注入攻击程序中的缺陷。

为了防止ＰＨＰ 站点出现ＳＱＬ 注入的问题，可以采取以下几种方法。

更改接收方法：更改接收模式，采用Ｃｏｏｋｉｅ 和Ｐｏｓｔ 两种提交模式，Ｃｏｏｋｉｅ 和Ｐｏｓｔ 都是在数据库中提交，不允许黑客进入，从而避免ＳＱＬ 语句的恶意查询；使用ｍｙｓｑｌｉ 的ｐｒｅｐａｒｅ 语句，使用１ 个参数化的查询语句，将这些ＳＱＬ 语句从数据库服务器中分离出来，从而使攻击者无法向ＳＱＬ 中输入恶意ＳＱＬ；使用ＰＤＯ来解决ＳＱＬ 注入， 在ｐｈｐ５． ３． ６ 以后， ＰＤＯ 不会向ｍｙｓｑｌｓｅｒｖｅｒ 发送本地ＳＱＬ 程序及语句，也不会在本地进行转义。

１．２．６ 项目巩固与提高练习

主要包括：在“安全级别”为“Ｈｉｇｈ （高）”的情况下，查看当前连接的数据库名称、用户权限、版本信息，查看ｄｖｗａ 数据库里面的表，获得该网站数据库中的全部账号与密码。

１．３ 课程项目评价体系

根据竞赛知识点、竞赛规则、评分规则等，结合技术规程、评分细则等，对课堂进行评估［３］ ，主要内容有前期准备、赛项完成情况、团队合作情况、产品展示等。同时，作为裁判的学员，根据裁判员的规则进行评分。参加评判员的学生从裁判的视角，观察到其他学生的工作情况，并指出哪些方面有待提高。根据学生在课堂竞争中的表现，结合课堂教学各个方面的因素，设计出一套适合自己的班级评估系统。

１．４ 项目设计要点

１．４．１ 明确教学任务和教学要求在教学全过程中，采用“以赛促学”的教学方式，在课题导入、赛前准备、团队讨论等环节，指导学生有针对性、系统地学习，所以在设计教学开始时应从教学目标、教学内容等方面进行明确。

在准备“ＳＱＬ 注入渗入式测试与安全保护”的竞赛中，教师首先对ＳＱＬ 注入漏洞的危害、ＳＱＬ 注入的安全性，以及造成的负面影响进行简要的讲解，使学生能够大致理解ＳＱＬ 注入的漏洞，并将其引入教学中。

在比赛前的准备与小组讨论阶段，教师会把比赛的题目发给学生，同时会给他们提供一些基础的学习材料，推荐一些学习方法。在学习过程中，学生能够自主探究，小组合作解决问题。

在知识答辩环节，每位学生都要做好准备，回答评委的提问。在此阶段，学员不但要学习所学的知识与内容，更要将所学的知识与内容加以归纳、总结，从中提炼出最有用、最重要的部分，再以最恰当的方式向评委解释，这是一个非常好的练习方式。

在竞赛阶段，学员要按照自己所掌握的专业知识来完成作业，在竞赛中要合理地安排竞赛时间，在小组协作中，要协调小组成员，分工协作，以最大限度地提高工作效率。

在教师的总结部分，教师归纳大赛中的重点和难点，并就赛前准备、团队协商、成功展示等各个阶段的问题进行剖析，以及在各个阶段中的突出表现。同时，还会公布比赛的成绩，让学生在比赛中分享自己的经验。

１．４．２ 充分发挥教师的指导作用

不管什么教学模式、教学方法，都以提高学生的学习效率为首要目标。将课堂还给学生，让学生真正地成为课堂的主体，教师将课堂教学转化为课堂教学，通过课题导入、课堂竞赛、指导学生做好赛前准备、指导学生协调小组成员之间的关系、分配小组成员的工作、做好课堂竞赛的准备、保证学生的学习。

在学生碰到问题时，适时提出问题的解法，并鼓励他们自己去做，遇到特别难的问题时，教师会带领学生共同讨论和解决。

在设计竞赛题目时，要注重题目的难度，要针对学生的学习状况、学习能力和教学目的，设计出合适的竞赛题目，使学生能够在比赛中应用自己的能力和团队精神来解决问题。

２ “网络安全攻防技术” 课程理论竞赛设计

“网络安全攻防技术”是一门实践性较强的专业课程，在各章节的教学设计与教学实践中，要使竞赛项目与课程的教学目标和内容相结合，并以实践为指导。但是，由于该方法并不能很好地反映出学生的理论水平，因此，在教学设计中增加了“理论竞赛”的概念和设计。

２．１ 制定教学目标

２．１．１ 知识目标

了解网络安全的基本知识；了解渗透测试的定义、分类，以及渗透的基本过程；熟悉网络渗透测试常用术语、常用的网络渗透测试工具；了解ＳＱＬ 注入的历史，形成原因，使用方法，以及ＳＱＬ 注入的危害；了解跨站脚本漏洞的发展历史，形成原因，利用方式，以及ＸＳＳ 漏洞的危害。

２．１．２ 能力目标

了解网络入侵的一般思路；掌握网络入侵的方法；了解如何预防渗透入侵网站漏洞。

２．１．３ 核心价值观

加强对信息化建设的掌控；保障网络安全的攻防能力。

２．２ 设计教学过程

２．２．１ 赛前准备

“网络安全攻防技术”理论竞赛内容如下。

（１）竞赛项目一：理论知识抢答竞赛内容举例（随机抽取的１０ 个题目）：题目１：什么是网络安全？ 什么是渗透测试？ 题目２：滲透测试的分类， 以及它们的区别； 题目３： 什么叫ＷｅｂＳｈｅｌｌ？ 题目３：……

２．２．２ 团队商讨

小组队员比赛的预备阶段：依据比赛的知识点，找出与比赛有关的知识，并能有效地总结和掌握有关知识；小组成员按照本课程的题库体系，共同对相关知识进行整理；在“理论知识竞赛”项目之前，确定答题人选，并组织小组成员进行排练。

２．２．３ 理论竞赛评价体系

在完成“理论知识抢答”的这一部分后，教师会根据学生的回答数量和回答结果，给予全班学生一个统一的得分。每个学生在完成了“理论知识竞赛”的比赛后，所有学生都获得了各自的分数。最后，“理论竞赛”的分数分为“理论知识抢答”和“理论知识竞赛”２个环节，各占５０％。

２．２．４ 课后总结

教师根据“理论知识抢答”环节中出现的错误进行纠正，并对不正确的问题进行补充，使学生能够更好地理解和掌握这些问题。同时，教师针对“理论知识竞赛”部分出现的错误率高的问题进行统一解释，使学生能够更好地理解知识。

２．３ 课程评价体系

“网络安全攻防技术”课程竞赛，主要包括“ＳＱＬ 注入漏洞的使用与防御”“跨站脚本漏洞的使用和防御”

“其他常见Ｗｅｂ 漏洞的利用与防御”和“Ｗｅｂ 渗透案例”４ 个方面的内容。“以赛促学”中的理论知识竞赛，覆盖了整个课程的相关理论。课程评估系统是以学员参加各种实操竞赛和理论知识竞赛为基础的。

３ 结束语在

“以赛促学”的教学模式下，一方面通过以“项目驱动”的形式开展培训，组建了专业导师与得奖者共同协作的“课程项目培训团队”，让学员自主选择学习的内容，并在教师的引导下，使自己的专业技术更为“娴熟”，拥有“一技之长”，以适应市场的需要。同时，使职业教师能够更好地与各种技能竞赛相结合，不断丰富自己的专业技术，使其在教学中更具针对性、前瞻性，从而能够指导学生培养创造性、团队协作能力和现场表现能力等，最终实现“以竞赛促进教育”的目的。

参考文献：

［１］ 何金凤，陈蓉，陈善利，等．以赛促学模式下信息安全技能型人才的培养［Ｊ］．网络空间安全，２０２０，１１（３）：８１?８４．

［２］ 原晨冉．基于“以赛促学”理念的中职计算机专业实践教学研究［Ｄ］．新乡：河南科技学院，２０２２．

［３］ 李丽蓉．网络安全与执法专业“教学练战”一体化教学模式研究［Ｊ］．山西警察学院学报，２０２２，３０（３）：１０８?１１１．

作者简介：王德厚（ １９８２—）， 本科， 高级讲师， 研究方向： 计算机技术。