葛昕 馬立新

[摘 要]網(wǎng)絡(luò)安全課程涉及多門課程。傳統(tǒng)教學(xué)以理論為基礎(chǔ)，相互孤立，缺乏統(tǒng)一的指導(dǎo)關(guān)聯(lián)，學(xué)生在解決實際網(wǎng)絡(luò)安全問題時缺乏動手能力。而CTF競賽考查的是分析問題和解決問題的能力，將其引入網(wǎng)絡(luò)安全教學(xué)體系，可以提高學(xué)生學(xué)習(xí)興趣，激發(fā)學(xué)生潛能，提升學(xué)生解決實際問題的動手能力，利于培養(yǎng)網(wǎng)絡(luò)安全專業(yè)學(xué)生的綜合素質(zhì)。

[關(guān)鍵詞]CTF;網(wǎng)絡(luò)安全;課程體系;教學(xué)改革

[基金項目]上海理工大學(xué)教師教學(xué)發(fā)展研究項目“基于CTF競賽的網(wǎng)絡(luò)安全課程教學(xué)研究”（CFTD203064）

[作者簡介]葛 昕（1976—），男，安徽淮南人，碩士，上海理工大學(xué)信息辦技術(shù)中心主任，工程師，主要從事網(wǎng)絡(luò)安全研究。

[中圖分類號] G642[文獻(xiàn)標(biāo)識碼] A[文章編號] 1674-9324（2020）46-0-03[收稿日期] 2020-10-06

一、引言

習(xí)近平總書記指出：“網(wǎng)絡(luò)空間的競爭，歸根結(jié)底是人才競爭”。我國網(wǎng)絡(luò)安全人才數(shù)量缺口較大，能力素質(zhì)不高，結(jié)構(gòu)不盡合理，這與維護國家網(wǎng)絡(luò)安全、建設(shè)網(wǎng)絡(luò)強國的要求不相適應(yīng)。我國信息安全學(xué)科起步較晚，根據(jù)教育部學(xué)位與研究生教育發(fā)展中心的數(shù)據(jù)，我國共有168所大學(xué)開設(shè)計算機科學(xué)與技術(shù)學(xué)科，其中109所開設(shè)了信息安全專業(yè)。2001年，武漢大學(xué)成為第一個開設(shè)信息安全本科專業(yè)的大學(xué)，2015年我國建立了網(wǎng)絡(luò)空間安全的一級學(xué)科。

國家在網(wǎng)絡(luò)安全教育上不斷加大建設(shè)力度，但網(wǎng)絡(luò)人才培養(yǎng)能力與社會需求仍嚴(yán)重不符，傳統(tǒng)教育模式下培養(yǎng)的學(xué)生綜合素質(zhì)欠缺，解決實際問題能力不足[1]。隨著網(wǎng)絡(luò)安全日益受到重視，網(wǎng)絡(luò)安全競賽也層出不窮。CTF（Capture The Flag）在網(wǎng)絡(luò)安全圈近年來非常流行，每年CTF比賽已近百場，從無差別組到專門面向高中生的比賽，眾多的互聯(lián)網(wǎng)企業(yè)也通過比賽網(wǎng)羅人才。上海理工大學(xué)正在籌建網(wǎng)絡(luò)安全專業(yè)，本教學(xué)改革面向光電與計算機工程學(xué)院的網(wǎng)絡(luò)工程專業(yè)，通過將CTF試題分解融入日常教學(xué)，采用學(xué)生分組參與，闖關(guān)拿分的形式，增加學(xué)習(xí)的趣味性和挑戰(zhàn)性，啟發(fā)學(xué)生思考，增強學(xué)生學(xué)習(xí)熱情。教改項目由一線從事網(wǎng)絡(luò)安全的工程師和計算機專業(yè)教師共同負(fù)責(zé)，同時引入社會資源，以充實完善課程體系。

二、網(wǎng)絡(luò)安全課程體系現(xiàn)狀

傳統(tǒng)網(wǎng)絡(luò)安全教學(xué)以理論為基礎(chǔ)，涉及面廣，知識更新快，應(yīng)用復(fù)雜，是一門綜合性很強的學(xué)科[2，3]，教學(xué)課程獨立開展。由于課程相對枯燥，學(xué)生興趣不高，遇到問題不會綜合運用所學(xué)知識，動手解決實際問題的綜合能力欠缺。很多學(xué)生沒有實踐經(jīng)驗，對立足社會缺乏自信，這是網(wǎng)絡(luò)安全專業(yè)普遍存在的問題。

1.專業(yè)課程缺少體系化、層次化設(shè)計。目前本科網(wǎng)絡(luò)安全專業(yè)，以理論基礎(chǔ)為主，課程獨立，相互間缺乏聯(lián)系。學(xué)生只是在不同年級完成不同課程，整個學(xué)科缺乏系統(tǒng)化的主線將課本知識進行網(wǎng)絡(luò)安全層次化的融會貫通，無法培養(yǎng)學(xué)生全局性的安全思維，實踐能力也缺乏擴展性和創(chuàng)造性。

2.考核形式陳舊。目前的學(xué)習(xí)和考核方式，以是否掌握課本上知識點為主，而網(wǎng)絡(luò)安全學(xué)科更注重于解決實際問題，偏向于培養(yǎng)和考查學(xué)生思考能力和動手能力。這種能力應(yīng)該在基礎(chǔ)知識學(xué)習(xí)階段就有意識的同步培養(yǎng)，學(xué)生早接觸實際問題，就可以早開啟成長模式。在考核方式上，傳統(tǒng)的卷面答題無法檢驗學(xué)生在實踐中解決問題的能力。而那些在各種比賽中取得過成績的學(xué)生，動手能力很強，往往比成績單上排名靠前的學(xué)生更容易獲得用人單位的青睞。

3.實踐課程缺乏系統(tǒng)設(shè)計考量。網(wǎng)絡(luò)安全課程對學(xué)生的實踐能力要求很高，部分學(xué)校已經(jīng)調(diào)整實踐課時在整體課程中的比重，但實踐課程仍存在和實際問題結(jié)合融入的問題，只是在線上完成了相關(guān)內(nèi)容的學(xué)習(xí)，缺乏針對性和設(shè)計性，很多實踐課程集中在學(xué)期末進行，單個課程知識點之間缺乏整體串聯(lián)融合，而不同課程之間更是沒有可體現(xiàn)關(guān)聯(lián)性的實踐環(huán)節(jié)。在面對一些復(fù)雜的問題時，學(xué)生無法綜合思考，缺乏關(guān)聯(lián)分析、快速反應(yīng)的素質(zhì)。

4.授課與學(xué)習(xí)場景單一。網(wǎng)絡(luò)安全授課內(nèi)容以基礎(chǔ)理論為主，相對固定和陳舊，而網(wǎng)絡(luò)安全實際上是不斷變化演進的。培養(yǎng)綜合素質(zhì)的人才，對教師個人素質(zhì)和配套實驗環(huán)境提出了更高的要求。授課老師自身未能深入接觸過網(wǎng)絡(luò)安全設(shè)備，沒有參與過網(wǎng)絡(luò)安全博弈，通常無法準(zhǔn)確生動地向?qū)W生傳遞網(wǎng)絡(luò)安全所特有的信息。常規(guī)的實驗只能進行一些簡單的操作，如練習(xí)一些網(wǎng)絡(luò)命令等，無法讓學(xué)生真正體會網(wǎng)絡(luò)安全的內(nèi)涵。

三、CTF競賽模式

CTF奪旗賽，指的是網(wǎng)絡(luò)安全技術(shù)人員之間進行技術(shù)競技的一種比賽，已經(jīng)成為全球范圍網(wǎng)絡(luò)安全圈非常流行的競賽形式。其流程是參賽團隊之間通過進行攻防對抗、程序分析等形式，率先從主辦方給出的比賽環(huán)境中得到一串具有一定格式的字符串，從而奪得分?jǐn)?shù)。

CTF競賽模式一般分為三類。一是解題模式。在解題模式賽制中，參賽隊伍可以通過互聯(lián)網(wǎng)或者現(xiàn)場網(wǎng)絡(luò)參與，這種模式的CTF競賽與ACM編程競賽等類似，以解決網(wǎng)絡(luò)安全技術(shù)挑戰(zhàn)題目的分值和時間來排名，通常用于在線選拔賽。二是攻防模式。參賽隊伍在網(wǎng)絡(luò)空間互相進行攻擊和防守，挖掘網(wǎng)絡(luò)服務(wù)漏洞并攻擊對手服務(wù)來得分，修補自身服務(wù)漏洞進行防御來避免丟分。攻防模式賽制可以實時通過得分反映出比賽情況，最終也以得分高低分出勝負(fù)，具有很強的觀賞性和高度的透明性，比拼的是參賽隊員智力、技術(shù)、體力以及團隊之間的分工協(xié)作與配合。三是混合模式。結(jié)合了解題模式與攻防模式，參賽隊伍通過解題獲取一些初始分?jǐn)?shù)，然后通過攻防對抗進行得分增減，最終以得分高低分出勝負(fù)。

CTF的賽題范圍涉及面寬廣，主要包括Web網(wǎng)絡(luò)攻防、逆向工程、Pwn二進制漏洞利用、Crypto密碼攻擊、Mobile移動安全以及Misc安全雜項等。圖1為CTF比賽涉及的專業(yè)技術(shù)與相互關(guān)系。

四、課程體系建設(shè)

通過網(wǎng)絡(luò)安全課程和CTF競賽在形式和內(nèi)容上進行結(jié)合，建立一套側(cè)重于實踐的教學(xué)體系，從教學(xué)計劃、教學(xué)方法、考核形式、師資隊伍、配套平臺等方面進行改革，培養(yǎng)既具有扎實理論基礎(chǔ)，又能動手解決實際問題的學(xué)生成為網(wǎng)絡(luò)安全教學(xué)改革的目標(biāo)。這種形式不但可以培養(yǎng)學(xué)生的興趣，同時也可以促使專業(yè)教師不斷地進行學(xué)習(xí)，提高自身的業(yè)務(wù)能力，很好地解決目前網(wǎng)絡(luò)安全教學(xué)中存在的知識點分散、課程內(nèi)容過于獨立、學(xué)生動手能力不足等問題。上海理工大學(xué)的網(wǎng)絡(luò)工程專業(yè)嘗試在五個方面進行了改革。

1.課程體系調(diào)整，與CTF深度融合。結(jié)合CTF考查的內(nèi)容，在培養(yǎng)方案和教學(xué)課程上進行一定的調(diào)整，在課程基礎(chǔ)素質(zhì)和專業(yè)基礎(chǔ)領(lǐng)域不變的情況下，加強特定崗位能力和職業(yè)技能的培養(yǎng)。在日常課程教學(xué)中，將CTF需要掌握的技能按照必修課程進行歸類（圖2）。授課教師對CTF的賽題進行解析后，需平滑地將考題分解融入基礎(chǔ)理論課的知識點。為了能夠取得更好的教學(xué)效果，授課教師需要研讀大量的Writeup（CTF的解題思路文檔），刷大量的CTF試題，構(gòu)建海量的CTF題庫，以便在授課過程中更全面的覆蓋課程內(nèi)容。

2.調(diào)整考核方式，側(cè)重實踐能力的培養(yǎng)。以筆試成績?yōu)閷?dǎo)向的教學(xué)方式培養(yǎng)出來的學(xué)生通常缺乏動手解決實際問題的能力，因此調(diào)整考核形式，加大實踐環(huán)節(jié)的比重，同時將實踐環(huán)節(jié)設(shè)置于課程教學(xué)的全過程中。通過巧妙的設(shè)置操作題目，可以促進學(xué)生對基礎(chǔ)知識的掌握，讓理論與實踐在學(xué)習(xí)中結(jié)合起來?？己丝梢圆捎闷綍r成績和期末考核各占50%的形式，平時成績主要來自實踐。期末考核增加綜合CTF題目，學(xué)生提交Writeup作為成績依據(jù)之一。為了避免分?jǐn)?shù)差距較大，可以將學(xué)生進行分組，部分考核內(nèi)容可以在實踐課程中以分組對抗形式完成，激發(fā)學(xué)生的學(xué)習(xí)動力，加強學(xué)生之間的團隊協(xié)作。

3.豐富授課人員，多元化覆蓋知識盲區(qū)。對于更加注重實際操作的網(wǎng)絡(luò)安全課程，授課人員的素質(zhì)直接影響著授課的效果，教師的知識面也間接影響著學(xué)生對知識掌握是否全面?？梢圆捎谜堖M來和送出去的方式，將更多的授課人員引入課堂。本項目負(fù)責(zé)人在信息化辦公室從事網(wǎng)絡(luò)安全工作多年，與眾多網(wǎng)絡(luò)安全企業(yè)有互動，企業(yè)也積極配合學(xué)校的需求，在安全教育上傾力合作。公司不但有各種護網(wǎng)行動的經(jīng)驗，解決過眾多網(wǎng)絡(luò)安全事件，很多安全企業(yè)自身也是CTF比賽的常客。企業(yè)工程師的短期課程教學(xué)通常更有針對性，可以將主流的技術(shù)和市場的需求傳遞給學(xué)生，生動鮮活的實例更容易讓學(xué)生掌握知識點。學(xué)校與企業(yè)的合作，除了科研教學(xué)，還可以共建全實驗室，如網(wǎng)絡(luò)安全實訓(xùn)平臺等。學(xué)校的產(chǎn)學(xué)研項目，可以幫助更多的教師走入企業(yè)，拓展思維，為教所用。此外，邀請上海交通大學(xué)等在CTF中屢獲佳績的學(xué)生團隊來到課堂，讓優(yōu)秀的CTF參賽者以學(xué)生的身分與學(xué)生互動教學(xué)，分享比賽經(jīng)歷，可以更好地激發(fā)大家的學(xué)習(xí)熱情。

4.建立完善的學(xué)習(xí)平臺，個性化學(xué)習(xí)。實踐是檢驗學(xué)習(xí)成果最好的方式，同時實踐要在網(wǎng)絡(luò)安全和法律法規(guī)許可下進行。通常風(fēng)險評估等安全類操作需要授權(quán)才可以進行，合法合規(guī)是前提。合適的實踐平臺的建立需要花費大量的時間和精力，是一個長期積累完善的過程。而采用開源軟件搭建內(nèi)部實踐平臺，可以快速實現(xiàn)個性化的功能，滿足各種操作實踐的需求。本項目利用學(xué)校數(shù)據(jù)中心的虛擬化平臺部署了多套內(nèi)網(wǎng)學(xué)習(xí)平臺，這類平臺在學(xué)校的網(wǎng)絡(luò)安全防護體系之下，還可以通過安全設(shè)備捕獲的信息幫助大家理解攻防過程。平臺側(cè)重于培養(yǎng)學(xué)生對獨立知識點的掌握，例如驗證一些常見的風(fēng)險點，如SQL注入、XSS跨站、上傳漏洞等。這類平臺最有代表性的是DVWA，集合了常見的網(wǎng)絡(luò)攻擊，可以幫助安全專業(yè)人員測試他們的技能和工具，更好地了解保護Web應(yīng)用程序的過程，學(xué)習(xí)Web應(yīng)用程序安全性。類似的平臺還有漏洞練習(xí)平臺Pikachu。學(xué)生對一些獨立的風(fēng)險點完成驗證后，即可進入CTF平臺進行綜合性的學(xué)習(xí)與實踐。一般高?？梢圆捎瞄_源平臺建設(shè)CTF平臺，如CTFd、fbctf等，也可以使用開放式靶場進行綜合性學(xué)習(xí)，如藍(lán)鯨安全、BUUCTF、BugKu、XCTF攻防世界、南京郵電大學(xué)CTF網(wǎng)絡(luò)攻防訓(xùn)練平臺等。

5.培養(yǎng)學(xué)生團隊，加強合作意識。CTF比賽需要一定的基礎(chǔ)知識，適合從大二開始進行隊伍創(chuàng)建選拔，盡早分組以方便在日常學(xué)習(xí)中進行對抗，也可以盡快發(fā)現(xiàn)不同學(xué)生的特長，明確分工，培養(yǎng)協(xié)作精神。40人班級的學(xué)生可分為6組，每組選派一名隊長，組員根據(jù)喜好特長進行適當(dāng)分工，如部分同學(xué)專注于Web漏洞，部分同學(xué)專攻逆向等。實驗平臺里的題目除了來自網(wǎng)上各項賽事，也要求各分組共同參與題目設(shè)計，題目打亂后為其他組闖關(guān)使用，每組同學(xué)分工協(xié)作，提交Writeup。這種形式不但可以提高學(xué)生的動手能力，還可以激發(fā)學(xué)生對問題的思考與總結(jié)。學(xué)生團隊的組建可以讓學(xué)生互相激勵，培養(yǎng)集體意識與團隊榮譽感，也為正式比賽選拔人才。

五、結(jié)束語

在上海理工大學(xué)的網(wǎng)絡(luò)安全課程教學(xué)改革中，通過在大二、大三學(xué)生的課程中引入CTF模式，可以明顯改進學(xué)習(xí)氛圍，激發(fā)學(xué)生學(xué)習(xí)興趣，提升成績，對網(wǎng)絡(luò)安全專業(yè)建設(shè)目標(biāo)有明顯的促進作用。CTF的實戰(zhàn)形式與內(nèi)容將傳統(tǒng)教學(xué)的知識點變得形象生動，而各種實踐平臺的練習(xí)與對抗讓學(xué)生掌握了更具價值的經(jīng)驗與技能。通過教學(xué)改革，學(xué)生整體素質(zhì)得到了明顯提高，更加自信，同時還發(fā)掘了一批具有潛質(zhì)的安全人才，他們不但可以為學(xué)校系統(tǒng)應(yīng)用進行挖洞補漏，而且第一次組隊參加全國高校運維挑戰(zhàn)賽就取得了上海市高校第四名的好成績。CTF引入網(wǎng)絡(luò)安全教學(xué)體系，是對傳統(tǒng)教學(xué)形式的一種挑戰(zhàn)，需要各課程教師的支持，不但需要教師自身加強實踐學(xué)習(xí)，還需要在實踐課程設(shè)計與籌劃工作中付出加倍的時間和精力。網(wǎng)絡(luò)安全行業(yè)與時俱進，在網(wǎng)絡(luò)安全人才培養(yǎng)過程中，只有不斷思考探索，改革創(chuàng)新，緊跟社會，才能做到教學(xué)與社會需求有效對接，全方位提升學(xué)科和學(xué)生的綜合能力及行業(yè)競爭力。

參考文獻(xiàn)

[1]陳凱，付才，鄒德清，等.網(wǎng)絡(luò)空間安全綜合實踐分級通關(guān)課程體系構(gòu)建[J].網(wǎng)絡(luò)與信息安全學(xué)報，2019（6）：67-74.

[2]劉莞玲，謝伙生，葉福玲.網(wǎng)絡(luò)安全與計算機技術(shù)虛擬仿真實驗教學(xué)平臺建設(shè)與探索[J].計算機教育，2019（6）：62-66.

[3]張宏莉，于海寧，翟健宏等.網(wǎng)絡(luò)空間安全人才培養(yǎng)的規(guī)劃建議[J].網(wǎng)絡(luò)與信息安全學(xué)報，2016，2（3）：1-9.

Abstract： The Network Security course involves many courses. Traditional teaching is based on theory， isolated from each other， and lacks unified guidance and connection. Students lack practical ability in solving practical network security problems， while CTF competition focuses on the ability to analyze and solve problems. Introducing it into Network Security teaching system can improve students' interest of learning and stimulate their potential， improve the practical ability of students to solve practical problems， which is conducive to the cultivation of the comprehensive quality of students majoring in network security.

Key words： CTF; Network Security; curriculum; teaching reform