葛昕 马立新

[摘 要]网络安全课程涉及多门课程。传统教学以理论为基础，相互孤立，缺乏统一的指导关联，学生在解决实际网络安全问题时缺乏动手能力。而CTF竞赛考查的是分析问题和解决问题的能力，将其引入网络安全教学体系，可以提高学生学习兴趣，激发学生潜能，提升学生解决实际问题的动手能力，利于培养网络安全专业学生的综合素质。

[关键词]CTF;网络安全;课程体系;教学改革

[基金项目]上海理工大学教师教学发展研究项目“基于CTF竞赛的网络安全课程教学研究”（CFTD203064）

[作者简介]葛 昕（1976—），男，安徽淮南人，硕士，上海理工大学信息办技术中心主任，工程师，主要从事网络安全研究。

[中图分类号] G642[文献标识码] A[文章编号] 1674-9324（2020）46-0-03[收稿日期] 2020-10-06

一、引言

习近平总书记指出：“网络空间的竞争，归根结底是人才竞争”。我国网络安全人才数量缺口较大，能力素质不高，结构不尽合理，这与维护国家网络安全、建设网络强国的要求不相适应。我国信息安全学科起步较晚，根据教育部学位与研究生教育发展中心的数据，我国共有168所大学开设计算机科学与技术学科，其中109所开设了信息安全专业。2001年，武汉大学成为第一个开设信息安全本科专业的大学，2015年我国建立了网络空间安全的一级学科。

国家在网络安全教育上不断加大建设力度，但网络人才培养能力与社会需求仍严重不符，传统教育模式下培养的学生综合素质欠缺，解决实际问题能力不足[1]。随着网络安全日益受到重视，网络安全竞赛也层出不穷。CTF（Capture The Flag）在网络安全圈近年来非常流行，每年CTF比赛已近百场，从无差别组到专门面向高中生的比赛，众多的互联网企业也通过比赛网罗人才。上海理工大学正在筹建网络安全专业，本教学改革面向光电与计算机工程学院的网络工程专业，通过将CTF试题分解融入日常教学，采用学生分组参与，闯关拿分的形式，增加学习的趣味性和挑战性，启发学生思考，增强学生学习热情。教改项目由一线从事网络安全的工程师和计算机专业教师共同负责，同时引入社会资源，以充实完善课程体系。

二、网络安全课程体系现状

传统网络安全教学以理论为基础，涉及面广，知识更新快，应用复杂，是一门综合性很强的学科[2，3]，教学课程独立开展。由于课程相对枯燥，学生兴趣不高，遇到问题不会综合运用所学知识，动手解决实际问题的综合能力欠缺。很多学生没有实践经验，对立足社会缺乏自信，这是网络安全专业普遍存在的问题。

1.专业课程缺少体系化、层次化设计。目前本科网络安全专业，以理论基础为主，课程独立，相互间缺乏联系。学生只是在不同年级完成不同课程，整个学科缺乏系统化的主线将课本知识进行网络安全层次化的融会贯通，无法培养学生全局性的安全思维，实践能力也缺乏扩展性和创造性。

2.考核形式陈旧。目前的学习和考核方式，以是否掌握课本上知识点为主，而网络安全学科更注重于解决实际问题，偏向于培养和考查学生思考能力和动手能力。这种能力应该在基础知识学习阶段就有意识的同步培养，学生早接触实际问题，就可以早开启成长模式。在考核方式上，传统的卷面答题无法检验学生在实践中解决问题的能力。而那些在各种比赛中取得过成绩的学生，动手能力很强，往往比成绩单上排名靠前的学生更容易获得用人单位的青睐。

3.实践课程缺乏系统设计考量。网络安全课程对学生的实践能力要求很高，部分学校已经调整实践课时在整体课程中的比重，但实践课程仍存在和实际问题结合融入的问题，只是在线上完成了相关内容的学习，缺乏针对性和设计性，很多实践课程集中在学期末进行，单个课程知识点之间缺乏整体串联融合，而不同课程之间更是没有可体现关联性的实践环节。在面对一些复杂的问题时，学生无法综合思考，缺乏关联分析、快速反应的素质。

4.授课与学习场景单一。网络安全授课内容以基础理论为主，相对固定和陈旧，而网络安全实际上是不断变化演进的。培养综合素质的人才，对教师个人素质和配套实验环境提出了更高的要求。授课老师自身未能深入接触过网络安全设备，没有参与过网络安全博弈，通常无法准确生动地向学生传递网络安全所特有的信息。常规的实验只能进行一些简单的操作，如练习一些网络命令等，无法让学生真正体会网络安全的内涵。

三、CTF竞赛模式

CTF夺旗赛，指的是网络安全技术人员之间进行技术竞技的一种比赛，已经成为全球范围网络安全圈非常流行的竞赛形式。其流程是参赛团队之间通过进行攻防对抗、程序分析等形式，率先从主办方给出的比赛环境中得到一串具有一定格式的字符串，从而夺得分数。

CTF竞赛模式一般分为三类。一是解题模式。在解题模式赛制中，参赛队伍可以通过互联网或者现场网络参与，这种模式的CTF竞赛与ACM编程竞赛等类似，以解决网络安全技术挑战题目的分值和时间来排名，通常用于在线选拔赛。二是攻防模式。参赛队伍在网络空间互相进行攻击和防守，挖掘网络服务漏洞并攻击对手服务来得分，修补自身服务漏洞进行防御来避免丢分。攻防模式赛制可以实时通过得分反映出比赛情况，最终也以得分高低分出胜负，具有很强的观赏性和高度的透明性，比拼的是参赛队员智力、技术、体力以及团队之间的分工协作与配合。三是混合模式。结合了解题模式与攻防模式，参赛队伍通过解题获取一些初始分数，然后通过攻防对抗进行得分增减，最终以得分高低分出胜负。

CTF的赛题范围涉及面宽广，主要包括Web网络攻防、逆向工程、Pwn二进制漏洞利用、Crypto密码攻击、Mobile移动安全以及Misc安全杂项等。图1为CTF比赛涉及的专业技术与相互关系。

四、课程体系建设

通过网络安全课程和CTF竞赛在形式和内容上进行结合，建立一套侧重于实践的教学体系，从教学计划、教学方法、考核形式、师资队伍、配套平台等方面进行改革，培养既具有扎实理论基础，又能动手解决实际问题的学生成为网络安全教学改革的目标。这种形式不但可以培养學生的兴趣，同时也可以促使专业教师不断地进行学习，提高自身的业务能力，很好地解决目前网络安全教学中存在的知识点分散、课程内容过于独立、学生动手能力不足等问题。上海理工大学的网络工程专业尝试在五个方面进行了改革。

1.课程体系调整，与CTF深度融合。结合CTF考查的内容，在培养方案和教学课程上进行一定的调整，在课程基础素质和专业基础领域不变的情况下，加强特定岗位能力和职业技能的培养。在日常课程教学中，将CTF需要掌握的技能按照必修课程进行归类（图2）。授课教师对CTF的赛题进行解析后，需平滑地将考题分解融入基础理论课的知识点。为了能够取得更好的教学效果，授课教师需要研读大量的Writeup（CTF的解题思路文档），刷大量的CTF试题，构建海量的CTF题库，以便在授课过程中更全面的覆盖课程内容。

2.调整考核方式，侧重实践能力的培养。以笔试成绩为导向的教学方式培养出来的学生通常缺乏动手解决实际问题的能力，因此调整考核形式，加大实践环节的比重，同时将实践环节设置于课程教学的全过程中。通过巧妙的设置操作题目，可以促进学生对基礎知识的掌握，让理论与实践在学习中结合起来。考核可以采用平时成绩和期末考核各占50%的形式，平时成绩主要来自实践。期末考核增加综合CTF题目，学生提交Writeup作为成绩依据之一。为了避免分数差距较大，可以将学生进行分组，部分考核内容可以在实践课程中以分组对抗形式完成，激发学生的学习动力，加强学生之间的团队协作。

3.丰富授课人员，多元化覆盖知识盲区。对于更加注重实际操作的网络安全课程，授课人员的素质直接影响着授课的效果，教师的知识面也间接影响着学生对知识掌握是否全面。可以采用请进来和送出去的方式，将更多的授课人员引入课堂。本项目负责人在信息化办公室从事网络安全工作多年，与众多网络安全企业有互动，企业也积极配合学校的需求，在安全教育上倾力合作。公司不但有各种护网行动的经验，解决过众多网络安全事件，很多安全企业自身也是CTF比赛的常客。企业工程师的短期课程教学通常更有针对性，可以将主流的技术和市场的需求传递给学生，生动鲜活的实例更容易让学生掌握知识点。学校与企业的合作，除了科研教学，还可以共建全实验室，如网络安全实训平台等。学校的产学研项目，可以帮助更多的教师走入企业，拓展思维，为教所用。此外，邀请上海交通大学等在CTF中屡获佳绩的学生团队来到课堂，让优秀的CTF参赛者以学生的身分与学生互动教学，分享比赛经历，可以更好地激发大家的学习热情。

4.建立完善的学习平台，个性化学习。实践是检验学习成果最好的方式，同时实践要在网络安全和法律法规许可下进行。通常风险评估等安全类操作需要授权才可以进行，合法合规是前提。合适的实践平台的建立需要花费大量的时间和精力，是一个长期积累完善的过程。而采用开源软件搭建内部实践平台，可以快速实现个性化的功能，满足各种操作实践的需求。本项目利用学校数据中心的虚拟化平台部署了多套内网学习平台，这类平台在学校的网络安全防护体系之下，还可以通过安全设备捕获的信息帮助大家理解攻防过程。平台侧重于培养学生对独立知识点的掌握，例如验证一些常见的风险点，如SQL注入、XSS跨站、上传漏洞等。这类平台最有代表性的是DVWA，集合了常见的网络攻击，可以帮助安全专业人员测试他们的技能和工具，更好地了解保护Web应用程序的过程，学习Web应用程序安全性。类似的平台还有漏洞练习平台Pikachu。学生对一些独立的风险点完成验证后，即可进入CTF平台进行综合性的学习与实践。一般高校可以采用开源平台建设CTF平台，如CTFd、fbctf等，也可以使用开放式靶场进行综合性学习，如蓝鲸安全、BUUCTF、BugKu、XCTF攻防世界、南京邮电大学CTF网络攻防训练平台等。

5.培养学生团队，加强合作意识。CTF比赛需要一定的基础知识，适合从大二开始进行队伍创建选拔，尽早分组以方便在日常学习中进行对抗，也可以尽快发现不同学生的特长，明确分工，培养协作精神。40人班级的学生可分为6组，每组选派一名队长，组员根据喜好特长进行适当分工，如部分同学专注于Web漏洞，部分同学专攻逆向等。实验平台里的题目除了来自网上各项赛事，也要求各分组共同参与题目设计，题目打乱后为其他组闯关使用，每组同学分工协作，提交Writeup。这种形式不但可以提高学生的动手能力，还可以激发学生对问题的思考与总结。学生团队的组建可以让学生互相激励，培养集体意识与团队荣誉感，也为正式比赛选拔人才。

五、结束语

在上海理工大学的网络安全课程教学改革中，通过在大二、大三学生的课程中引入CTF模式，可以明显改进学习氛围，激发学生学习兴趣，提升成绩，对网络安全专业建设目标有明显的促进作用。CTF的实战形式与内容将传统教学的知识点变得形象生动，而各种实践平台的练习与对抗让学生掌握了更具价值的经验与技能。通过教学改革，学生整体素质得到了明显提高，更加自信，同时还发掘了一批具有潜质的安全人才，他们不但可以为学校系统应用进行挖洞补漏，而且第一次组队参加全国高校运维挑战赛就取得了上海市高校第四名的好成绩。CTF引入网络安全教学体系，是对传统教学形式的一种挑战，需要各课程教师的支持，不但需要教师自身加强实践学习，还需要在实践课程设计与筹划工作中付出加倍的时间和精力。网络安全行业与时俱进，在网络安全人才培养过程中，只有不断思考探索，改革创新，紧跟社会，才能做到教学与社会需求有效对接，全方位提升学科和学生的综合能力及行业竞争力。

参考文献

[1]陈凯，付才，邹德清，等.网络空间安全综合实践分级通关课程体系构建[J].网络与信息安全学报，2019（6）：67-74.

[2]刘莞玲，谢伙生，叶福玲.网络安全与计算机技术虚拟仿真实验教学平台建设与探索[J].计算机教育，2019（6）：62-66.

[3]张宏莉，于海宁，翟健宏等.网络空间安全人才培养的规划建议[J].网络与信息安全学报，2016，2（3）：1-9.

Abstract： The Network Security course involves many courses. Traditional teaching is based on theory， isolated from each other， and lacks unified guidance and connection. Students lack practical ability in solving practical network security problems， while CTF competition focuses on the ability to analyze and solve problems. Introducing it into Network Security teaching system can improve students' interest of learning and stimulate their potential， improve the practical ability of students to solve practical problems， which is conducive to the cultivation of the comprehensive quality of students majoring in network security.

Key words： CTF; Network Security; curriculum; teaching reform