基于CTF競賽的網絡安全課程教學研究

葛昕 馬立新

[摘 要]網絡安全課程涉及多門課程。傳統教學以理論為基礎，相互孤立，缺乏統一的指導關聯，學生在解決實際網絡安全問題時缺乏動手能力。而CTF競賽考查的是分析問題和解決問題的能力，將其引入網絡安全教學體系，可以提高學生學習興趣，激發學生潛能，提升學生解決實際問題的動手能力，利于培養網絡安全專業學生的綜合素質。

[關鍵詞]CTF;網絡安全;課程體系;教學改革

[基金項目]上海理工大學教師教學發展研究項目“基于CTF競賽的網絡安全課程教學研究”（CFTD203064）

[作者簡介]葛 昕（1976—），男，安徽淮南人，碩士，上海理工大學信息辦技術中心主任，工程師，主要從事網絡安全研究。

[中圖分類號] G642[文獻標識碼] A[文章編號] 1674-9324（2020）46-0-03[收稿日期] 2020-10-06

一、引言

習近平總書記指出：“網絡空間的競爭，歸根結底是人才競爭”。我國網絡安全人才數量缺口較大，能力素質不高，結構不盡合理，這與維護國家網絡安全、建設網絡強國的要求不相適應。我國信息安全學科起步較晚，根據教育部學位與研究生教育發展中心的數據，我國共有168所大學開設計算機科學與技術學科，其中109所開設了信息安全專業。2001年，武漢大學成為第一個開設信息安全本科專業的大學，2015年我國建立了網絡空間安全的一級學科。

國家在網絡安全教育上不斷加大建設力度，但網絡人才培養能力與社會需求仍嚴重不符，傳統教育模式下培養的學生綜合素質欠缺，解決實際問題能力不足[1]。隨著網絡安全日益受到重視，網絡安全競賽也層出不窮。CTF（Capture The Flag）在網絡安全圈近年來非常流行，每年CTF比賽已近百場，從無差別組到專門面向高中生的比賽，眾多的互聯網企業也通過比賽網羅人才。上海理工大學正在籌建網絡安全專業，本教學改革面向光電與計算機工程學院的網絡工程專業，通過將CTF試題分解融入日常教學，采用學生分組參與，闖關拿分的形式，增加學習的趣味性和挑戰性，啟發學生思考，增強學生學習熱情。教改項目由一線從事網絡安全的工程師和計算機專業教師共同負責，同時引入社會資源，以充實完善課程體系。

二、網絡安全課程體系現狀

傳統網絡安全教學以理論為基礎，涉及面廣，知識更新快，應用復雜，是一門綜合性很強的學科[2，3]，教學課程獨立開展。由于課程相對枯燥，學生興趣不高，遇到問題不會綜合運用所學知識，動手解決實際問題的綜合能力欠缺。很多學生沒有實踐經驗，對立足社會缺乏自信，這是網絡安全專業普遍存在的問題。

1.專業課程缺少體系化、層次化設計。目前本科網絡安全專業，以理論基礎為主，課程獨立，相互間缺乏聯系。學生只是在不同年級完成不同課程，整個學科缺乏系統化的主線將課本知識進行網絡安全層次化的融會貫通，無法培養學生全局性的安全思維，實踐能力也缺乏擴展性和創造性。

2.考核形式陳舊。目前的學習和考核方式，以是否掌握課本上知識點為主，而網絡安全學科更注重于解決實際問題，偏向于培養和考查學生思考能力和動手能力。這種能力應該在基礎知識學習階段就有意識的同步培養，學生早接觸實際問題，就可以早開啟成長模式。在考核方式上，傳統的卷面答題無法檢驗學生在實踐中解決問題的能力。而那些在各種比賽中取得過成績的學生，動手能力很強，往往比成績單上排名靠前的學生更容易獲得用人單位的青睞。

3.實踐課程缺乏系統設計考量。網絡安全課程對學生的實踐能力要求很高，部分學校已經調整實踐課時在整體課程中的比重，但實踐課程仍存在和實際問題結合融入的問題，只是在線上完成了相關內容的學習，缺乏針對性和設計性，很多實踐課程集中在學期末進行，單個課程知識點之間缺乏整體串聯融合，而不同課程之間更是沒有可體現關聯性的實踐環節。在面對一些復雜的問題時，學生無法綜合思考，缺乏關聯分析、快速反應的素質。

4.授課與學習場景單一。網絡安全授課內容以基礎理論為主，相對固定和陳舊，而網絡安全實際上是不斷變化演進的。培養綜合素質的人才，對教師個人素質和配套實驗環境提出了更高的要求。授課老師自身未能深入接觸過網絡安全設備，沒有參與過網絡安全博弈，通常無法準確生動地向學生傳遞網絡安全所特有的信息。常規的實驗只能進行一些簡單的操作，如練習一些網絡命令等，無法讓學生真正體會網絡安全的內涵。

三、CTF競賽模式

CTF奪旗賽，指的是網絡安全技術人員之間進行技術競技的一種比賽，已經成為全球范圍網絡安全圈非常流行的競賽形式。其流程是參賽團隊之間通過進行攻防對抗、程序分析等形式，率先從主辦方給出的比賽環境中得到一串具有一定格式的字符串，從而奪得分數。

CTF競賽模式一般分為三類。一是解題模式。在解題模式賽制中，參賽隊伍可以通過互聯網或者現場網絡參與，這種模式的CTF競賽與ACM編程競賽等類似，以解決網絡安全技術挑戰題目的分值和時間來排名，通常用于在線選拔賽。二是攻防模式。參賽隊伍在網絡空間互相進行攻擊和防守，挖掘網絡服務漏洞并攻擊對手服務來得分，修補自身服務漏洞進行防御來避免丟分。攻防模式賽制可以實時通過得分反映出比賽情況，最終也以得分高低分出勝負，具有很強的觀賞性和高度的透明性，比拼的是參賽隊員智力、技術、體力以及團隊之間的分工協作與配合。三是混合模式。結合了解題模式與攻防模式，參賽隊伍通過解題獲取一些初始分數，然后通過攻防對抗進行得分增減，最終以得分高低分出勝負。

CTF的賽題范圍涉及面寬廣，主要包括Web網絡攻防、逆向工程、Pwn二進制漏洞利用、Crypto密碼攻擊、Mobile移動安全以及Misc安全雜項等。圖1為CTF比賽涉及的專業技術與相互關系。

四、課程體系建設

通過網絡安全課程和CTF競賽在形式和內容上進行結合，建立一套側重于實踐的教學體系，從教學計劃、教學方法、考核形式、師資隊伍、配套平臺等方面進行改革，培養既具有扎實理論基礎，又能動手解決實際問題的學生成為網絡安全教學改革的目標。這種形式不但可以培養學生的興趣，同時也可以促使專業教師不斷地進行學習，提高自身的業務能力，很好地解決目前網絡安全教學中存在的知識點分散、課程內容過于獨立、學生動手能力不足等問題。上海理工大學的網絡工程專業嘗試在五個方面進行了改革。

1.課程體系調整，與CTF深度融合。結合CTF考查的內容，在培養方案和教學課程上進行一定的調整，在課程基礎素質和專業基礎領域不變的情況下，加強特定崗位能力和職業技能的培養。在日常課程教學中，將CTF需要掌握的技能按照必修課程進行歸類（圖2）。授課教師對CTF的賽題進行解析后，需平滑地將考題分解融入基礎理論課的知識點。為了能夠取得更好的教學效果，授課教師需要研讀大量的Writeup（CTF的解題思路文檔），刷大量的CTF試題，構建海量的CTF題庫，以便在授課過程中更全面的覆蓋課程內容。

2.調整考核方式，側重實踐能力的培養。以筆試成績為導向的教學方式培養出來的學生通常缺乏動手解決實際問題的能力，因此調整考核形式，加大實踐環節的比重，同時將實踐環節設置于課程教學的全過程中。通過巧妙的設置操作題目，可以促進學生對基礎知識的掌握，讓理論與實踐在學習中結合起來?？己丝梢圆捎闷綍r成績和期末考核各占50%的形式，平時成績主要來自實踐。期末考核增加綜合CTF題目，學生提交Writeup作為成績依據之一。為了避免分數差距較大，可以將學生進行分組，部分考核內容可以在實踐課程中以分組對抗形式完成，激發學生的學習動力，加強學生之間的團隊協作。

3.豐富授課人員，多元化覆蓋知識盲區。對于更加注重實際操作的網絡安全課程，授課人員的素質直接影響著授課的效果，教師的知識面也間接影響著學生對知識掌握是否全面。可以采用請進來和送出去的方式，將更多的授課人員引入課堂。本項目負責人在信息化辦公室從事網絡安全工作多年，與眾多網絡安全企業有互動，企業也積極配合學校的需求，在安全教育上傾力合作。公司不但有各種護網行動的經驗，解決過眾多網絡安全事件，很多安全企業自身也是CTF比賽的?？汀Ｆ髽I工程師的短期課程教學通常更有針對性，可以將主流的技術和市場的需求傳遞給學生，生動鮮活的實例更容易讓學生掌握知識點。學校與企業的合作，除了科研教學，還可以共建全實驗室，如網絡安全實訓平臺等。學校的產學研項目，可以幫助更多的教師走入企業，拓展思維，為教所用。此外，邀請上海交通大學等在CTF中屢獲佳績的學生團隊來到課堂，讓優秀的CTF參賽者以學生的身分與學生互動教學，分享比賽經歷，可以更好地激發大家的學習熱情。

4.建立完善的學習平臺，個性化學習。實踐是檢驗學習成果最好的方式，同時實踐要在網絡安全和法律法規許可下進行。通常風險評估等安全類操作需要授權才可以進行，合法合規是前提。合適的實踐平臺的建立需要花費大量的時間和精力，是一個長期積累完善的過程。而采用開源軟件搭建內部實踐平臺，可以快速實現個性化的功能，滿足各種操作實踐的需求。本項目利用學校數據中心的虛擬化平臺部署了多套內網學習平臺，這類平臺在學校的網絡安全防護體系之下，還可以通過安全設備捕獲的信息幫助大家理解攻防過程。平臺側重于培養學生對獨立知識點的掌握，例如驗證一些常見的風險點，如SQL注入、XSS跨站、上傳漏洞等。這類平臺最有代表性的是DVWA，集合了常見的網絡攻擊，可以幫助安全專業人員測試他們的技能和工具，更好地了解保護Web應用程序的過程，學習Web應用程序安全性。類似的平臺還有漏洞練習平臺Pikachu。學生對一些獨立的風險點完成驗證后，即可進入CTF平臺進行綜合性的學習與實踐。一般高?？梢圆捎瞄_源平臺建設CTF平臺，如CTFd、fbctf等，也可以使用開放式靶場進行綜合性學習，如藍鯨安全、BUUCTF、BugKu、XCTF攻防世界、南京郵電大學CTF網絡攻防訓練平臺等。

5.培養學生團隊，加強合作意識。CTF比賽需要一定的基礎知識，適合從大二開始進行隊伍創建選拔，盡早分組以方便在日常學習中進行對抗，也可以盡快發現不同學生的特長，明確分工，培養協作精神。40人班級的學生可分為6組，每組選派一名隊長，組員根據喜好特長進行適當分工，如部分同學專注于Web漏洞，部分同學專攻逆向等。實驗平臺里的題目除了來自網上各項賽事，也要求各分組共同參與題目設計，題目打亂后為其他組闖關使用，每組同學分工協作，提交Writeup。這種形式不但可以提高學生的動手能力，還可以激發學生對問題的思考與總結。學生團隊的組建可以讓學生互相激勵，培養集體意識與團隊榮譽感，也為正式比賽選拔人才。

五、結束語

在上海理工大學的網絡安全課程教學改革中，通過在大二、大三學生的課程中引入CTF模式，可以明顯改進學習氛圍，激發學生學習興趣，提升成績，對網絡安全專業建設目標有明顯的促進作用。CTF的實戰形式與內容將傳統教學的知識點變得形象生動，而各種實踐平臺的練習與對抗讓學生掌握了更具價值的經驗與技能。通過教學改革，學生整體素質得到了明顯提高，更加自信，同時還發掘了一批具有潛質的安全人才，他們不但可以為學校系統應用進行挖洞補漏，而且第一次組隊參加全國高校運維挑戰賽就取得了上海市高校第四名的好成績。CTF引入網絡安全教學體系，是對傳統教學形式的一種挑戰，需要各課程教師的支持，不但需要教師自身加強實踐學習，還需要在實踐課程設計與籌劃工作中付出加倍的時間和精力。網絡安全行業與時俱進，在網絡安全人才培養過程中，只有不斷思考探索，改革創新，緊跟社會，才能做到教學與社會需求有效對接，全方位提升學科和學生的綜合能力及行業競爭力。

參考文獻

[1]陳凱，付才，鄒德清，等.網絡空間安全綜合實踐分級通關課程體系構建[J].網絡與信息安全學報，2019（6）：67-74.

[2]劉莞玲，謝伙生，葉福玲.網絡安全與計算機技術虛擬仿真實驗教學平臺建設與探索[J].計算機教育，2019（6）：62-66.

[3]張宏莉，于海寧，翟健宏等.網絡空間安全人才培養的規劃建議[J].網絡與信息安全學報，2016，2（3）：1-9.

Abstract： The Network Security course involves many courses. Traditional teaching is based on theory， isolated from each other， and lacks unified guidance and connection. Students lack practical ability in solving practical network security problems， while CTF competition focuses on the ability to analyze and solve problems. Introducing it into Network Security teaching system can improve students' interest of learning and stimulate their potential， improve the practical ability of students to solve practical problems， which is conducive to the cultivation of the comprehensive quality of students majoring in network security.

Key words： CTF; Network Security; curriculum; teaching reform