高校网络渗透测试教学改革与探索

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的1篇高校网络渗透测试教学改革与探索，期待它们能激发您的灵感。

1“网络渗透测试”教学改革存在的问题

针对“网络渗透测试”课程的整体教学情况，安排2020-2021年学年学习该课程的172名学生进行了问卷调查，共收到169份有效问卷。在学习这门课遇到的难点这一项调查中，82%的学生认为“不知道学这个以后如何应用在工作中”；在教学方式上，大多数学生更喜欢角色扮演和案例分析法；在知识学习方式的选择上，86.7%的学生希望使用“企业项目实践”的方式。

根据问卷调查的结果，结合专业人才培养方案和课程标准，发现在教学内容、教学实施、教学评价等方面，虽取得了一些明显的改革成效，但受到主客观等方面的因素影响与制约，目前仍存在一些主要问题，主要体现在以下三个方面。

1.1课程内容与岗位需求脱节

课程的教学内容包含了渗透测试过程中的各个技能点，从渗透测试的基础知识介绍、渗透测试原理、渗透测试环境[2]，到信息收集和漏洞扫描及利用，再到权限提升等高级渗透测试技术，但整体侧重于渗透测试技术，没有覆盖真实环境下企业渗透测试项目管理的相关内容。

1.2教学实施跟不上课程教学目标的需求

为达成课程教学目标，在教学策略、教学评价等方面进行了课程改革，虽然取得了一定的成效，但还存在以下问题。

第一，对理论教学缺乏重视，师生之间和生生之间的互动性不足。虽然也采用了分组讨论、案例分析等教学方法，但实施效果欠佳。分组讨论往往流于形式，教学案例往往已经过时，缺少典型性。基于上述情况，学生对理论知识学习缺乏兴趣，很难去深入思考，对渗透测试的基本思路梳理不清，限制了课程教学目标的达成。

第二，在实践训练过程中，教师常常让学生只是模拟测试各个服务项，并没有将整个项目流程完整实现，造成学生到企业后面临真正的渗透测试项目时，整体环节掌握薄弱的现象，难以达成培养网络安全攻防实战型的教学目标。

第三，学情分析流于形式，学情分析内容不够全面，教师对学生的知识储备、学习兴趣、学生个体的差异化等方面，并没有充分了解，也很难根据学情分析去优化教学设计，达成教学效果。

1.3思政元素挖掘不够

信息安全关乎国家安全，信息安全技术应用专业的人才培养尤其要重视课程思政教育。经过课程改革后，教师在授课过程中，也融入了一些与信息安全相关的思政案例，但往往只是机械地移植进课堂，并没有将思政教育和课程内容有效融合。教师还是会把精力更多地放在对学生渗透测试技能的培养上，忽视课程中育人元素的挖掘，主要表现为两个方面：第一，没有从教学内容、教学方法等方面出发，将思政元素，尤其是技术伦理理念，有效地融入和贯穿课程教育的全过程，充分地引导学生深刻理解网络渗透测试技术发展的社会背景和技术责任；第二，在增强法治观念，培养学生树立正确的价值观、职业道德观方面力度还不够。我国已经颁布了《中华人民共和国网络安全法》[3]、《中华人民共和国数据安全法》[4]等相关的法律法规，教师在授课过程中，也会讲解其中的一些法律条文，但是往往是单向的灌输，很少结合典型案例引导学生自发的思考，难以给学生留下深刻印象。

2应用型高校“网络渗透测试”教学改革存在问题原因分析

2.1教材选用与人才培养目标不符

目前市场上的网络渗透测试教材分为“重管理，轻实践”和“重实践，轻管理”这两种类型，几乎没有教材从渗透测试项目流程出发，将渗透测试项目管理和实践有效地结合起来，无法满足应用型高校培养网络安全攻防实战型人才的需求。

2.2专业师资力量不足

网络渗透测试课程内容和渗透测试工程师岗位要求是相互对应的。随着信息安全“双师型”教师队伍的建设，教师越来越多地进入企业挂职，由于时间问题，但很少能接触到项目的全过程和核心技术，缺少项目实践能力和项目管理能力长期的积累和迭代，和真正在企业工作的工程师相比较，还是有很大差距。多数任课教师教学重点放在讲解渗透测试的相关技能点上，很少考虑将这些技能点有机地耦合在一起，引导学生去梳理渗透测试的思路，并加以实践。

因为学情分析意识淡薄，对应学情分析的内容不够全面和科学，任课教师对课程的教学方法和教学手段也没有进行有效的探究，在理论教学和实践教学上虽然采取了多样化的教学方法，但是总是流于表面，形式大于内容。比如在分析案例的过程中，教师一般是只从任务的角度出发，拘于单个的知识点进行分析和提问，很少从更宏观的角度出发，如从整个渗透测试项目或渗透测试企业岗位的工作流程等来进行提问，再根据学生反馈进行后续的提问设计。在实践教学时，对学生能力和特点的个体化差异把握不足，实践内容设计和难点往往偏离学生的实际水平。课堂整体教学设计缺乏创新，师生互动少，很难调动学生的积极主动性，限制了学生对技能的掌握和创新精神的培养。

2.3课程评价和考核体系未起到推动作用

任课教师在授课过程中，往往把重点放在教学内容的安排、教学过程的设计、实践环境的搭建上，忽视去建立一个“多角度、多形式、差异化”的完善的教学评价与考核体系，来有效监测教与学的全过程。

教学评价的方式常常随机和单一，如让学生在云课堂平台上进行简单的评分，或者以问卷的形式让学生填写等方式。

课程考核采用的是“平时成绩、实训成绩、期末成绩”的课程考核体系。平时成绩主要看学生的考勤和课堂表现，课堂表现的评定比较主观，没有客观的量化指标；实训成绩主要是结果性考核，只看学生实验最终完成后提交的flag数量和实训报告的内容，缺乏过程性监督和考核。考核体系也没有纳入思政元素，将其作为考核的重要指标予以考量。这样的考核方式偏重于对学生技能的评价，缺乏对学生综合性素质的评价，很难对教学质量的提升起到有效的推动作用。

3“网络渗透测试”教学改革实施方案

基于上述问题，从教学标准、教学内容、教学策略、教学设计、教学评价这五个方面，对“网络渗透测试”的课程教学进行优化改革。

3.1落实“岗课赛证”融通，优化课程标准

基于校企合作共建的网络安全产业学院，创新以“协同育人、平台共享、项目贯穿”为特征的人才培养模式，与企业共同制定人才培养方案和课程标准。“网络渗透测试”课程以渗透测试工程师岗位职责为规范，依据国家信息安全技术应用专业教学标准、专业人才培养方案，结合全国职业技能大赛“信息安全管理与评估”赛项规程和全国大学生网络攻防赛，并将注册渗透测试工程师（CISP-PTE)[5]的职业技能标准融入课程标准，将该证书的评价标准融入课程的评价标准，实现“岗课赛证”融通。

除此之外，还要将课程思政建设融入到课程标准中，让学生能够深刻理解渗透测试技术发展的社会背景和技术责任，以及会渗透测试工程师岗位职责，了解网络安全相关的法律法规，培养学生树立正确的职业道德观，以及精益求精的工匠精神。

课程思政建设与岗课赛证融通二者的协同，有利于培养有坚定的政治信仰、高度的岗位责任感的新时代高素质的渗透测试技能人才。

3.2基于岗位需求，重构教学内容

根据国家信息安全技术应用专业教学标准和专业人才培养方案要求，以“渗透测试工程师岗位工作流程”[6]为主线重构教学内容，如图1所示。

4实施效果总结

教学项目化改造后，学生兴趣高涨，课堂气氛活跃，课后评价及问卷调研统计数据显示，学生对项目实战教学模式认可度高。通过对学生项目实训前后的知识、能力与素质的情况进行评估显示，项目实训后，学生的渗透测试知识更加扎实全面，技能水平明显提高，综合素质明显提升，如图4所示。
课程教学内容对接注册渗透测试工程师认证和1+X“网络安全应急响应”职业技能等级证书考核内容后，学生专业技能水平明显提高，在1+X“网络安全应急响应”职业技能等级证书考试中，学生的考试通过率高达100%，部分学生顺利考取了国家注册渗透测试工程师认证。

作者：戴洁秦 晓彬 王国庆 张晓妹 单位：安徽职业技术学院计算机与信息技术学院