周兵1),杨欣欣1)
1)河南大学计算机与信息工程学院 河南省开封市 475000
摘要:文章以河南大学信息安全社团为例,详细介绍该信息安全社团建设情况,从社团管理、培养与考核、社团活动平台建设这三方面分析该学生社团发展建设的实践成果和不足,并结合信息安全专业特点,对如何进一步提高高校信息安全社团的建设水平提出发展对策。
关键词:信息安全社团;管理;培养;
中图分类号:G642.0
大学生社团是高等院校中最活跃的学生群体之一。随着我国社会经济的发展,用人单位对人才的要求越来越高,尤其是对人才的综合素质提出更高的要求,高校专业型学生社团应运而生。专业型社团是依托学院某一专业(或专业群)组建形成的,将对某一学科、专业或方向研究有共同爱好的学生根据专业与兴趣自愿组织到一起,他们能够利用这个平台,进行实践、交流、研讨等专业活动。[1]
河南大学信息安全社团的建立初衷是提高同学们信息安全竞赛水平。在2015、2016年参加信息安全竞赛的时候,发现出现了以下问题:临时抱佛脚不仅是成绩不理想,而且不熟悉比赛流程,信息安全专业体系不熟悉,技术性丢分,更有太多学生抱怨,如果有培训我本该可以…在参加省内兄弟院校的比赛时,吸取各方面的经验,寻找合适的活动场所进行社团的建立。在学院的支持下,实验课相关教师在实验课上广而告之招生组建最初的信息安全团队。三年来,梯队逐步形成,有了以下的心得。
1 社团管理
1.1 按照流程招新
学生自主招新、自主考核、自主参与管理的学生社团招新模式。开学初,在所有社团的招新季,信息安全社团也利用招新网站进行招新工作。首先在网站上介绍社团,并公示一些信息安全简单且经典赛题及其解法,看看是否有有兴趣的新生浏览,在公示这些赛题两个星期后公示根据这些赛题出的招新测试题,这些题解法与前面公示的赛题一致,通过测试题得分排序进行新人面试资格公示,在面试人选定好之后,辅导教师和面试的学长一起面试他们的答题情况看看是否是本人真实答题水平,然后决定是否录取。在这个招新流程当中,开发网站、出测试题都是本社团的学长学生全程参与,只有面试环节辅导教师参与其中并给出参考意见,但是学长学生的意见为主,毕竟是他们与未来的新人同处一个开发团队并有可能深度合作。
1.2 科学管理
(1)科学管理的第一步是实现分层管理。
这个团队的大组长也就是领头羊地位的学长学生地位十分重要,这个学生的选择应该德才兼备,并具备为集体服务的精神,年龄一般选择较大的学生。
团队的管理,最开始只有不足10人的时候,制定年龄最大的学长为大组长,20多人的时候,指定定两个年龄较大的学长为大组长。随着信息技术的发展和我院信息安全系的成立,人数拓展到55人,活动地点变成了两组,一组地处物理楼A座1层,这一组都是老学员,另外一组地处计算机大楼五层,这一组是新成员,如何对这两组人员实现管理,并提高整个团队信息安全技术水平呢。河南大学信息安全系按照实际情况进行分层管理。两个学长为大组长,管理日常管理事务,负责与指导教师直接沟通。两个大组长下设6个小组长,每个小组长负责8个同学的直接管理。
(2)制度化管理
向学院申请了固定的办公场所,就要按照准公司制度管理,进行排班。每个学生上交自己的课表,没课的时候,必须来实验室进行学习,如果有事必须向小组长请假。如果超过一个星期无合理理由,将撤销其工位。课余时间,值班的同时,必须巡查实验室有无安全隐患,若有情况必须向管理教师汇报。
每个周末必须参加固定时间的例会,例会必须展示本周所学知识技术或者所做工作。无故不参加例会的将撤销工位,驱逐出社团。例会,必须至少一名辅导教师参加,第一是监控学生所学进度,第二指导同学进行学习,并及时给出解决方案,引导社团健康向上发展。
2 培养与考核
2.1 划分学习方向
这个社团成立初衷是按照信息安全竞赛的方式设置的,有web方向的,也有二进制方向的,经过2年的实践,发现学生把所有方向的技术学的很精深,这几乎毫无可能,于是我们按照方向就划分了web方向和二进制方向进行学习。划分成两个方向,也是对学生意向进行初级划分,大四选择就业实习的一般选择WEB方向,而选择考研的选择二进制方向。
(1)web 方向的学习内容
从c/c++和http协议开始,用虚拟机搭建WEB靶场环境熟悉Windows和Linux的命令行操作方式,通过搜索引擎学习渗透工具的使用python的高级应用,最后刷题打比赛。
(2)二进制的学习内容
从c/c++开始学习汇编语言和逆向工程,然后刷题打比赛
2.2校企合作培养
改动教学大纲进行授课是学院所不允许的,也是不符合教育部等主管部门要求的。但是,制定这个社团单独的培养计划还是可以的。企业和社团的指导教师按照教学大纲,共同制定适合本社团的培养计划进行培养,最后然后按照企业的考核要求对成员进行筛选。合格的同学将于大四到企业进行实习。
目前开展的主要的校企合作模式包括:
(1)专业教师外派培训
由教师自行根据专业需要和培训企业情况,在寒暑假期间以不耽误学院学校工作的前提下申请在外进修。学院提供相关经费支持教师修工作的顺利进行。教师进行进修后,根据自己所学把先进内容先行引入到信息安全社团进行学习推广,若取得良好效果再引入课堂,若效果不好,则根据社团学生进行内容改良再考虑推行到课堂教学。
(2)企业工程师引入课堂
由辅导教师申请,利用合理的教学科研经费聘请具备相关资质的企业工程师利用双休日、寒暑假进行学生培训,这个培训,旨在指明学习方向,和企业就业方向,提供参考书籍及相关学习资料,建立校企联合微信或QQ群,后期用于讨论和学习。把学生加入企业赛,让学生亲身体会企业内的信息安全技术竞赛。安恒集团每周、每月都会有内部的企业赛,督促工程师们不断学习,我校和安恒集团建立合作关系也申请了企业内部竞赛,参与其中。然后,不足之处邀请他们的讲师进课堂利用双休日培训。
(3)校内外教师合作
各个学校都有自己的教学特色,在现在这种信息安全技术大发展的情况下,必须相互交流才能发现不足,才能逐步提高教学水平。各个学校的攻防实验室各有特色,可以开放端口,互相利用资源进行学习交流。例如,我校的信息安全社团与天津信息科技职业技术学院合作,利用他们的攻防平台培训我们自己的学生,并定期和他们的学生进行攻防赛进行学习交流。教师之间根据学生的攻防情况进行学习和合作。
2.3赛教结合培养
竞赛驱动项目式教学在培养学生各种能力方面尤为突出,特别是对提高学生的自主学习能力、主动应用知识的能力和综合能力有较大的促进作用,对学生将来职业的发展具有重要的提升作用。[3]
国家和河南省都非常重视大学生学科竞赛,举办了很多高质量的学科竞赛,以赛促学,以赛促教。信息安全方面主要的学科竞赛有:(1)全国大学生信息安全与对抗技术竞赛(中国兵工学会信息安全与对抗专业委员会);(2)河南省高等学校信息安全对抗大赛(河南省教育厅)(3)“安恒杯”河南省第三届信息安全与攻防技术大赛(河南省计算机学会)(4)强网杯”网络安全挑战赛(由中国网络空间安全协会主办的面向信息安全人才的全国性比赛 );(5)信息安全铁人三项赛(国家教育部学校规划建设发展中心)等。
学院以学科竞赛为平台,全面提高学生创业创新能力,从2018年开始,每学年都组织一次学科信息安全学科竞赛,这对学生影响较大,所以参赛学生范围较广。无论校赛还是省赛,大多数学生往往只会参加一次学科竞赛,不能够将竞赛的经验直接传给下一届学生。因此,社团将通过建立“以老带新”的培养体系,每次参赛都充分吸纳来其他年级、其他专业的学生,使学生能够进行跨年级、跨专业进行交流,探讨参赛经验,完善学科竞赛。
社团积极组织学生参加赛前练习和行业相关培训。信息安全技术也是最近几年才快速发展,而且更新速度快,所以在比赛前要组织学生参加赛前练习和进行相关的行业培训。 前几届的学生曾在合天网安、西普教育实验吧、i 春秋平台进行过一些系统练习,并选拔了优秀的学生。随着我院信息安全系的成立,并购买了安恒攻防平台,并请相关讲师进行赛前培训。
为了方便学生学习,学院特开放了网络布线实验室,购买相关设备用于学生进行网络攻防的练习。 实验项目分类练习,实验项目包括信息探测、漏洞扫描、漏洞利用、密码破解、逆向工程、WEB入侵、后门利用、维持访问、日志清除、手机攻击、靶场实战;并参加安恒公司的的周赛和月赛,了解学生掌握的情况,对薄弱环节加强练习;最后还要在全校范围类组织选拔赛,挑选出优秀的学生参加比赛。
2.4基于团队的信息安全综合实验教学模式
1、群体培训
教师给前面所说的6位小组长和2位大组长排课,在课余时间,每个人必须每月至少完成一次培训新人的课时,并负责检查分配在他们名下同学的进展任务。新团员可以在学长的引导下进行有序学习,而非无人监管的“放羊”,也树立了几位大组长的威信。
2、分层培训
教师根据信息安全产品赛需求或者横向课题要求,还有学生信息技术水平制定制定具体题目,题目,并提供相关参考资料。学生根据自己的水平及兴趣选择参加课题,一旦参加课题组,就必须按照课题组的规定在群内提供相关的进度及作品,遇见问题必须及时和群内教师联系,展示进度和接受建议。参与课题人数较多的时候,教师将按照前面分层机制,让大组长管理小组长,小组长管理下面的同学,监控任务按照进度完成。
大学生创新项目,由组长负责,分配给组员任务,然后按照进度检测各位同学的完成。
3、每周例会监督指导
辅导教师则在每周例会,根据同学们提交的作品及学习记录来得分,比赛前将这些同学的积分进行排序,排序在前面的则可以享受社团提供的资金去参加比赛。参加过一次比赛的,若获奖则增加相应积分,不获奖则减去相应积分,在后续的学习当中积累积分。因为每次信息安全比赛的名额有限,这种积分方法是激励机制也是考核机制。每次因为横向项目获得基金奖励的,组长和辅导教师一起制定分配原则,让同学们获得相应报酬。同时,每周例会时辅导教师检查他们的学习情况、生活情况,防止偏科行为,保证他们全面健康成长。不是信息安全方向的横向课题项目也根据同学们的兴趣进行组队、指导、开发。目的提高同学们的编程能力,因为一个优秀的安全工程师,一定是一位优良的开发者。
2.5 团队文化建设
带领学生团队积极参加校内外的信息安全相关活动,开拓学生的眼界,加强团队的凝聚力。比如带领学生参加“信息安全周”宣传活动,帮助学生一起找材料,一起讨论活动,方案布置宣传点等等。学生们会热情高涨,这不仅普及了信息安全知识,开拓学生眼界更加强了团队的文化建设。
优秀团队的建设离不开辅导教师辛勤的付出,任何优秀社团都有一位愿意付出的辅导教师。这位辅导教师要参与学生社团的招新、考核、参赛的过程,并且比较熟悉信息安全专业领域知识技术,能和学生打成一片又能和其他教师和谐相处,能有效的利用各类优势资源为社团服务,能及时发现问题解决问题引导信息安全社团健康发展。尤其是信息安全技术是双刃剑,更需要教师的教书育人,培养学生健康向上的优秀品质驾驭好信息安全技术。
2.6 考核
多重考核方式并行,CTF比赛与攻防赛相结合,做项目与比赛成绩、计算机网络和信息安全相结合、出勤与成绩相结合的考核方式。
CTF比赛和攻防赛分为校级、企业级、省级、国家级,参加校赛开始积分,校赛成绩优异者参加省赛,省赛成绩优异者参加国赛;有的同学做二进制方向的,参赛机会较少的情况下,融入大学生创新项目和横向课题及产品赛的成绩进行积分;有的同学信息安全赛成绩不够优越难以获得参加省赛的机会,就指导其积极参加计算机网络竞赛,计算机网络竞赛规模广门槛低,基本上认真学习的都能够获得省赛证书。这样多重机制的考核方式并行,按照积分获取免住宿费差旅费福利和推荐优秀毕业生和保研推荐等名额。
3 社团活动平台的建设
3.1 资料库的建设
在比赛当中发现,发现兄弟院校的队伍特别强,轻而易举攻城略地,最后独占鳌头,在和他们交流期间和自我反思时发现,强队有学长的传承脚本及工具资料库,平时的学习只需要学会这些工具的灵活应用即可,若无工具和脚本资料库,即使个别队员有幸拿到自己私地主机和密码,也会在瞬间遭受新一轮的攻击并毫无还手之力。
在资料库的建设当中,也颇有心得。一般普通的FTP服务器虽然耗费大量人力、精力创建,传承效果并不好。创建社团的论坛的管理系统是最佳选择方案,大鸟们把自己的优势工具和含金量颇高的文章上传上去,上传加分,下载和复制减分。这个系统可以使用免费的服务器,通过校园网和学院网为这个系统做推广。
3.2就业或者考研学长反馈
就业和考研永远是学生最关心的问题,信息安全方向就业和考研的同学未来前景如何,这个社团也做了交流的平台,不仅有毕业学长与大家共享的群,还有学长返回学校与学弟学妹的见面会,他们可以充分交流,吸取经验,为自己规划美好未来。
3.3安全盛宴共享
计算机学院拥有很多大学生创新实验室,如人工智能、WEB开发、移动开发、虚拟现实等,这些实验室的作品都存在安全方面的漏洞,需要信息安全同学进行评估和修补。所以,这个社团的大组长也定期邀请其他创新实验室的大组长进行交流和讲座。
3.4、取得的成果
社团成立后,竞赛的成绩迅速提高,过去最好成绩是省赛二等奖,而现在省赛一等奖似乎已经家常便饭。整个社团的学习梯队形成,基本能够实现自我管理、自我招新、自我推荐就业或考研。社团也有了社会良好口碑,国内的信息安全企业愿意吸收同学们实习和就业。
3.5、不足和教训
一个是竞赛的成绩还有很大的提升空间,国赛还未取得特别好的成绩。还有整个社团的管理还需要提升。在产品赛这方面不足,团员们对CTF和攻防赛特别感兴趣,而产品类比赛被认为,参赛周期长,付出的努力大回报却很少,这方面还需要思考与实践。
4 提升高校信息安全社团建设水平的建议
4.1专业型学生社团离不开专业教师的支持
只有专业的指导教师才能给整个社团提供正确的指导、建议和监督。信息安全社团因为其专业的特殊性也离不开指导教师的管理和指导,社团的所有成员在科学规范的管理下才能实现个体健康成长,拥有最美好的未来。不要让社团成为“放羊”社团。
4.2制度建立与优秀学习传统
建立完善的管理制度,明确规定各个成员的权利和义务,各个活动也有章可循,人员多而不乱,所有的社团活动能够根据制度高效运行。优秀传统、品牌活动、优秀战队名称吸引广大学生积极参与,提高学生学习积极性,促进社团的创新与发展,如此良性循环,使信息专业社团综合实力明显提升。
5 结语
信息安全专业型学生社团作为高等院校建设的重要组成部分,担负着为社会培养信息安全领域需要的德才兼备、具有综合实践能力人才的重任。因此,加强对信息安全社团的打造,使之成为培育学生综合素质与能力的优化平台和成员完善自我、培养能力的有效途径,是专业型学生信息安全社团的发展前景。
参考文献:
[1] 肖骅,王锐淇,姜玉宏等. 高校专业型学生社团建设实践与探索[J]. 教育教学论坛.2019年9月,36期:159-160.
[2] 杨邓奇,陈本辉,李晓伟. 信息安全专业应用型人才培养模式探索[J] . 高教学刊,年,2018年.23期:163-166.
[3] 李景涛,赵卫东. 信息安全课程中竞赛驱动项目式教学[J]. 计算机教育,2018年8月10日, 第8期: 74-76.
[4] 齐保军,谭磊 国际视野 2019年11月 58-60
[5] 朱辉,张卫东,李晖等. 信息安全专业实验创新性探讨[J]. 《第九届中国通信学会学术年会论文集》2012年 556-559.