陳鐵權(quán)

摘 要：《信息安全綜合實訓(xùn)》課程是信息安全專業(yè)中的一門實驗、實訓(xùn)課程，如何讓學(xué)生真正的愛上這門課，并將課程內(nèi)容融會貫通對任課教師來說是個不小的挑戰(zhàn)，本文將從課程開設(shè)的背景、課程內(nèi)容及性質(zhì)、課程所面臨的問題及對策、課程實驗內(nèi)容的設(shè)計研究四方面對該課程加以論述。

關(guān)鍵詞：信息安全，綜合實訓(xùn)，實驗

一、課程開設(shè)的背景

近幾年，隨著互聯(lián)網(wǎng)技術(shù)、移動應(yīng)用互聯(lián)技術(shù)的不斷飛速發(fā)展，網(wǎng)絡(luò)信息安全被日益關(guān)注，特別是2017年6月1日《中華人民共和國網(wǎng)絡(luò)安全法》的實施更是將網(wǎng)絡(luò)信息安全提到了法律層面和國家層面，而隨著國家教育部對高校計算機專業(yè)的調(diào)整，信息安全專業(yè)單獨成為計算機學(xué)科中的一個新專業(yè)[1]。遼寧金融職業(yè)學(xué)院在2014年開始著手準(zhǔn)備申辦信息安全管理專業(yè)，并對2014級、2015級網(wǎng)絡(luò)管理專業(yè)學(xué)生加開信息安全綜合實訓(xùn)課程，2016年學(xué)院正式開始招收信息安全管理專業(yè)學(xué)生，信息安全綜合實訓(xùn)課程為信息安全管理專業(yè)學(xué)生主干課程之一。

課程開設(shè)之初面臨很多困難，最大的困難是在遼寧省內(nèi)沒有借鑒，截止2017年，遼寧省高職院校開設(shè)信息安全相關(guān)專業(yè)并招生的高職院校只有兩所，而且受學(xué)生培養(yǎng)方向、教學(xué)設(shè)備、師資、授課學(xué)時等多方面影響兩所學(xué)校所做的教學(xué)體系標(biāo)準(zhǔn)和主干課程內(nèi)容完全不同，信息安全綜合實訓(xùn)課程完全是在摸索中逐漸積累經(jīng)驗。為了完善講授內(nèi)容和講授形式，一方面，以參加遼寧省職業(yè)院校技能大賽信息安全管理與評估賽項為契機，對課程內(nèi)容進行優(yōu)化組合，力求突出重點；另一方面，積極與廠商對接，聘請廠商專業(yè)技術(shù)人員為校外專家，根據(jù)企業(yè)實際需求制定課程重點和課程內(nèi)容，力求讓學(xué)生學(xué)以致用，結(jié)合兩方面情況，確定了信息安全綜合實訓(xùn)課程的課時，講授形式和內(nèi)容。

二、課程內(nèi)容及性質(zhì)

信息安全綜合實訓(xùn)課程包含WEB應(yīng)用安全、操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全、滲透測試五方面內(nèi)容，其中WEB應(yīng)用安全包括：SQL注入、CSRF攻擊與防御、WEB滲透等；操作系統(tǒng)安全包括：系統(tǒng)漏洞掃描工具應(yīng)用、WINDOWS服務(wù)器操作系統(tǒng)本地防火墻策略、安全策略組的應(yīng)用及VPN、CA證書、LINUX操作系統(tǒng)加固等應(yīng)用；數(shù)據(jù)庫安全包括：SQL、MYSQL數(shù)據(jù)庫的加固及安全策略應(yīng)用等；網(wǎng)絡(luò)安全包括：ARP攻擊、DDOS攻擊、木馬、病毒等；滲透測試主要是KALI系統(tǒng)的應(yīng)用。

信息安全綜合實訓(xùn)課程為實驗、實訓(xùn)課程，在機房授課，從課程包含內(nèi)容可知，信息安全綜合實訓(xùn)是一門綜合性課程，多學(xué)科內(nèi)容交叉，需要學(xué)生有良好的理論基礎(chǔ)做為實驗支撐，例如：學(xué)生在做網(wǎng)絡(luò)安全的實驗時需熟練掌握OSI開放系統(tǒng)互連參考模型 的七層結(jié)構(gòu)化技術(shù)，及每一層所實現(xiàn)的具體功能是什么，TCP/IP協(xié)議的原理，與OSI對應(yīng)關(guān)系，TCP三次握手的過程等等，所以說，信息安全綜合實訓(xùn)課程不是一門獨立的，脫離其它課程的課程，它是一門檢驗其它課程學(xué)習(xí)效果的總結(jié)課，該門課程的每一次課，都是有針對性的實驗，課程考察的是學(xué)生對理論轉(zhuǎn)化為實際應(yīng)用的接受能力和領(lǐng)悟能力，更考察學(xué)生實際應(yīng)用的拓展能力[2]。

三、課程所面臨的問題及對策

信息安全綜合實訓(xùn)課程從立課之日起就被定位為實驗課程，高職院校的實驗課程從重視程度上遠低于其他理論課程，這是中國高校的傳統(tǒng)思維，而實驗課程也按照固定模式授課，所以該課程最初的講授方式設(shè)計為講授（演示）、練習(xí)、總結(jié)、提高四個過程，即教師進行實驗演示，學(xué)生進行實際操作練習(xí)，教師總結(jié)，能力拓展四步。具體為：教師實驗演示部分需上課教師提前準(zhǔn)備實驗環(huán)境、實驗軟件，寫好實驗報告，上課時一步一步演示實驗操作，并說明每一步所需達到的實驗效果；學(xué)生根據(jù)教師實驗演示進行實驗操作，教師對不會的學(xué)生進行指導(dǎo)；在學(xué)生做完實驗后，教師對實驗操作過程中出現(xiàn)的問題進行總結(jié)，并帶領(lǐng)學(xué)生做一些更復(fù)雜的操作，這些操作教師可對一些學(xué)習(xí)能力強的同學(xué)進行有針對性的輔導(dǎo)，但不對整體學(xué)生要求掌握。但經(jīng)過實際教學(xué)檢驗，從課堂反饋和學(xué)生課后反饋的情況的看，實際效果并不理想，主要表現(xiàn)為：學(xué)生盲目跟從教師演示，并不知道每一步操作的原因、目的，只是一步一步在模仿；實驗完成，達到實驗結(jié)果，學(xué)生即認(rèn)為課程結(jié)束，忽略了之后的總結(jié)和提高部分。這樣的結(jié)果對這門課程的開設(shè)來說毫無意義，總結(jié)原因，一是學(xué)生沒有真正意義上適應(yīng)和接受實驗課，習(xí)慣了理論課劃重點背定義的學(xué)生不知道應(yīng)該從實驗課上怎么學(xué)，學(xué)到什么；二是學(xué)生理論基礎(chǔ)差，靈活性差，不懂得理論聯(lián)系實際，學(xué)以致用。根據(jù)上述情況，原先制定的四步教學(xué)方法已經(jīng)完全不能適應(yīng)教學(xué)需要，必須根據(jù)學(xué)生的現(xiàn)實情況制定新的教學(xué)方法。在跟學(xué)生座談，專業(yè)實訓(xùn)教師討論之后，授課教師從以下幾個方面對課程進行了改革，一是教學(xué)內(nèi)容方面：將原來多而全的實驗內(nèi)容進行了精簡，每個知識模塊選取兩三個具有代表性的綜合實驗，實驗內(nèi)容由淺至深，實驗操作步驟由簡至繁，在開始實驗課程之前授課教師必須帶領(lǐng)學(xué)生復(fù)習(xí)本節(jié)課實驗所涉及的理論方面內(nèi)容，厘清實驗原理，讓學(xué)生在實驗之前理解實驗要做什么，做完后會有什么樣的結(jié)果，產(chǎn)生這樣結(jié)果的原因是什么，會造成什么樣的危害以及該做什么樣的措施去防護[3]。原來的四步教學(xué)法按照新的授課步驟減為兩步，一是理論復(fù)習(xí)提高，二是實驗，原來的實驗總結(jié)部分放到了理論復(fù)習(xí)里，取消了實驗提高部分，因為從教學(xué)中發(fā)現(xiàn)學(xué)生的能力并沒有想象中的強，大部分學(xué)生如果能接受和消化課堂所受基礎(chǔ)知識，已經(jīng)非常難得，學(xué)生提高部分完全放到課后，教師在課后去指導(dǎo)這部分有興趣和能力的學(xué)生。

四、課程實驗內(nèi)容的設(shè)計研究

信息安全綜合實訓(xùn)課程重點是實驗，實驗內(nèi)容設(shè)計的好壞關(guān)系到整個課程的質(zhì)量和上課的效果，實驗內(nèi)容的設(shè)計也凸顯授課教師對理論體系的掌握深度和實際操作能力。信息安全綜合實訓(xùn)課程既要實訓(xùn)又要突出綜合，還要考慮實驗知識層面的深淺和學(xué)生對實驗的接受能力，這對授課教師要求很高，不同于傳統(tǒng)的理論課教學(xué)，理論課教師教材相對固定，講授內(nèi)容、知識點固定，知識更新也較慢，教師做一次課件，整理一次教案往往可以幾年不做大的變動，只需改進細(xì)節(jié)改善授課效果即可。信息安全的實訓(xùn)課，單就軟件和各種系統(tǒng)的漏洞來說，各種漏洞每天都在推陳出新，關(guān)于實驗的軟件和漏洞的利用方法每天都在變，更新速度極快，即使教師每天都在學(xué)習(xí)也無法跟上技術(shù)的更新，這就要求信息安全綜合實訓(xùn)課程教師所設(shè)計的實驗不能默守陳規(guī)，如果一年沒有更新、變化，所授知識便不能跟上信息安全形勢的需要，學(xué)生所學(xué)知識也會變得陳舊落后，毫無用處，例如：現(xiàn)在個人電腦大部分都在用WINDOWS 7/10操作系統(tǒng)，而教師現(xiàn)在如果還在將教學(xué)重點放在教學(xué)生如何去利用WINDOWS XP的系統(tǒng)漏洞，這樣的實驗必定是無用的是不成功的，是在浪費時間。

信息安全綜合實訓(xùn)課程的教師既要熟悉理論體系又要熟悉實驗操作，還要有一定的學(xué)習(xí)能力，能不斷的去更新自身的知識儲備，所設(shè)計的實驗課要滿足以下的要求：

（一）實驗內(nèi)容要與理論內(nèi)容相互輝映，要有層次性和階段性。設(shè)計的實驗內(nèi)容不能是獨立的，必須要與理論部分相對應(yīng)，理論加實驗是才是完整的課程，實訓(xùn)課絕不僅僅只有實驗而忽略理論支撐，理論和實驗永遠是相輔相成的，是同等重要的。實驗內(nèi)容要由淺至深，不能一味平鋪直敘，理論知識從來都不是相互獨立的，都是相互關(guān)聯(lián)，逐漸深入，實驗內(nèi)容的難度和深度要隨著知識的深入逐漸增加，每節(jié)課的實驗內(nèi)容不僅要和理論要相互關(guān)聯(lián)，使知識體系和實驗體系合二為一，每一階段的實驗內(nèi)容也要相互關(guān)聯(lián)，形成一個完整的實驗體系。

（二）將項目化教學(xué)引入到實驗課中。項目化教學(xué)側(cè)重培養(yǎng)學(xué)生的實踐能力，用任務(wù)模塊發(fā)展其能力模塊，這與實驗課的目的不謀而合，將信息安全綜合實訓(xùn)課程項目化將是這門實驗課未來發(fā)展和研究的重點。將項目化教學(xué)引入到實驗課中，可將圍繞實驗的多知識點進行有機組合，形成特定知識點的教學(xué)單元，將知識點量化是項目化教學(xué)的主要特點，老師通過量化的知識點去考核學(xué)生的學(xué)習(xí)效果，考核結(jié)果對學(xué)生和老師來說都是透明的，老師可以看到每個學(xué)生而每個學(xué)生可以看到他自己每個項目中每個知識量化點的掌握情況，這不僅可以讓老師掌握學(xué)生掌握知識點的真實情況，也可以讓學(xué)生正視自己的不足，從而有的放矢的去學(xué)習(xí)。

（三）實驗課應(yīng)從多方面入手鍛煉學(xué)生實際操作能力[4]。實驗課的主要目的是理論用于實際，教師在上課前往往都會將實驗流程步驟一一實踐一遍，力求上課不出差錯，而這種毫無錯誤的行云流水似的實驗課對學(xué)生來說往往印象不會太深刻，現(xiàn)實中的實際操作往往會出現(xiàn)這樣那樣的問題，而解決這些問題的能力和方法，卻往往被我們忽略了，而學(xué)生卻更愿意將注意力和記憶力放在我們實驗課出問題的地方，這說明我們實驗課講授的關(guān)注點出了偏差，我們不應(yīng)將實驗的重點放在預(yù)期的實驗效果上，而應(yīng)該放在實驗的過程中，從最開始拋出實驗要解決的問題到最后解決問題的方法和步驟，教師在這一過程中不應(yīng)一味的填鴨式的演示，更多的應(yīng)該提出問題讓學(xué)生去自行查找解決問題的方式方法，然后教師對方式方法進行驗證演示從而將學(xué)生帶到預(yù)先設(shè)計好的實驗環(huán)境中來，而對于實驗中出現(xiàn)的各種問題，教師不應(yīng)該完全幫助解決，應(yīng)鼓勵學(xué)生自行解決，對鍥而不舍最先得出解決方法的學(xué)生應(yīng)給予獎勵，鼓勵學(xué)生討論問題、解決問題。

（四）實驗課內(nèi)容應(yīng)切合學(xué)生實際，不斷適應(yīng)形勢需要。每一屆學(xué)生對信息安全綜合實訓(xùn)課的實驗內(nèi)容所接受的程度是不一樣的，這跟學(xué)生素質(zhì)、學(xué)生基礎(chǔ)課掌握情況都有關(guān)系，所以應(yīng)根據(jù)學(xué)生情況，靈活的因地制宜的修改課程內(nèi)容，如果學(xué)生掌握的慢，那就多增加基礎(chǔ)實驗，如果掌握的快，則可以適當(dāng)?shù)脑黾訑U展內(nèi)容，要做到人是活的，課也要是活的，要因人定課，靈活授課。課程實驗體系的更新要在授課過程中交叉進行，既不能因新方法的出現(xiàn)全盤否定原來的實驗，也不能固守陳規(guī)對新知識充耳不聞，應(yīng)根據(jù)形勢的需要將老方法做基礎(chǔ)新方法做擴展逐步更新知識體系，但對于那些陳舊的無實用價值的知識應(yīng)下決心徹底摒棄。

五、結(jié)語

信息安全綜合實訓(xùn)課程做為信息安全管理專業(yè)的一門實驗課程其內(nèi)容正在被不斷的被改進和完善，如何實現(xiàn)使之靈活的適應(yīng)各種形式下的教學(xué)需要，如何真正的成為信息安全專業(yè)學(xué)生的技能實踐必修課并成為就業(yè)技能，這些將是我們以后研究的重點。

參考文獻：

[1] 吉星， 王秉政. 網(wǎng)絡(luò)信息安全課程教學(xué)的改革與探索[J]. 教育與職業(yè)， 2010（18）：137-138.

[2] 李悅， 夏小玲， 王高麗，等. 信息安全課程的工程實踐與創(chuàng)新教育模式研究[J]. 計算機教育， 2014（1）：53-56.

[3] 張曉峰. 信息安全課程教學(xué)方法探索[J]. 電腦知識與技術(shù)， 2014（25）：5935-5936.

[4] 白永祥. 高職院校計算機相關(guān)專業(yè)開設(shè)信息安全課程的探討[J]. 電腦知識與技術(shù)：學(xué)術(shù)交流， 2007， 1（3）：256-257.