1. 引言

CTF竞赛起源于1996年DEFCON全球黑客大会，是一种以实战为导向的网络安全技能竞赛形式，内容包括Web安全、逆向工程、密码学、漏洞利用、物联网安全等多个领域。近年来，CTF竞赛逐渐成为国内外高校网络安全人才培养的重要手段。

已有研究多侧重于普通本科院校的进一步推进或高职院校实践技能训练教学环节，形成的CTF教学模式大概分为两类：一类以知识完备为目标的“学科竞赛型”，以系统理论知识与解题能力为训练内容；另一类以岗位技能速成为目标的“实战强化型”，以工具使用与漏洞突破为训练内容。以上两种教学模式都无法契合职业本科院校培养人才的目标定位，不同于普通本科院校的理论知识深度，也不同于高职院校的单一化技能诉求。职业本科院校的生源、课程结构及培养目标均具有特殊性，CTF教学模式应当建立在满足技术理论基础和综合技能基础、支撑服务“高层次技术技能型专门应用型人才”的新的教学模式之上。

本文基于我校校情学情和CTF竞赛特征，提出“课程教学改革–校内实训竞赛–校企合作实训”的“以赛促教、以赛促学、赛教融合”的人才培养三级递进模式，具有理论创新性和现实针对性，并通过第22届全国大学生信息安全与对抗技术竞赛(ISCC2025)实践检验其成效。

2. 竞赛分析

2.1. 竞赛模式

CTF竞赛的共有三种模式：解题模式(Jeopardy)、攻防模式(Attack-Defense)和混合模式(Mix)，其中解题模式(Jeopardy)是最原始的CTF比赛的模式，赛方提供相同平台，让比赛队伍解题得分数。这是一种线上答题模式，选手必须掌握各个领域的知识才能得分，表1为解题模式主要题型。

攻防模式(Attack-Defense)模拟真实网络环境。攻防模式要求队伍需保护己方服务器，并攻击对方服务器。攻防模式属于真实网络环境，需要真实的场景，它偏重于真实对抗，要求参赛队伍必须能够保护自己的服务器，必须拥有真正的漏洞，真正的利用。

混合模式(Mix)则综合了以上两种模式的特点，在比赛中既有解题环节，又有攻防对抗，全面考察选手的知识储备、技术应用和实战能力。这种模式更能锻炼学生的综合安全能力和团队协作精神。

Table 1. Main question types involved in CTF competitions

表1. CTF比赛涉及的主要题型

2.2. 竞赛价值

CTF竞赛不仅能够培养学生的学习兴趣，还可以训练学生发现问题、分析问题、解决问题的思维，模拟真实世界的打网、攻防过程，在模拟实战的过程中强化理论知识、积累实战经验，满足职业本科“应用型、技能型”的培养定位[1]。

从教育价值角度分析，CTF竞赛具有多方面优势。首先在知识整合方面，CTF竞赛题目涵盖网络安全多个领域，学生需要综合运用操作系统、网络协议、编程语言等多方面知识，促进知识的融会贯通。其次在实战导向方面，CTF竞赛模拟真实攻防场景，使学生能够接触到最新的网络安全威胁和防御技术，缩小理论与实践的差距。最后是在技能进阶方面，竞赛设置不同难度的题目，能够满足不同水平学生的学习需求，形成由浅入深的能力培养路径[2]。

3. 现状与问题

3.1. 现状分析

目前，不少职业本科院校已开始尝试将CTF竞赛引入教学实践，如开设CTF相关课程、组织校内竞赛、组建竞赛团队等。部分院校还在省级、国家级CTF竞赛中取得了良好成绩，初步形成了“以赛促学、以赛促教”的良好氛围。

上海中侨职业技术大学信息工程学院已认识到CTF竞赛在人才培养中的重要性，并开始初步实践。笔者所在物联网专业教学团队，自2024年开始系统性地将CTF训练纳入课程实训环节，组织学生成立了网络安全兴趣小组，并依托BUUCTF、攻防世界等在线平台进行常态化训练。在2025年举行的全国大学生信息安全与对抗技术竞赛(ISCC2025)中，笔者指导的学生团队经过数月的备赛，最终获得了两项全国二等奖的优异成绩，实现了在该项赛事上的突破。

3.2. 存在的问题

尽管取得了初步成果，但在实践过程中，我们依然面临诸多职业本科院校普遍存在的挑战：

3.2.1. 学生基础薄弱且差异大

学生计算机基础参差不齐，网络安全相关知识几乎为零，需要从最基础的概念和工具讲起，教学起点低、难度大。首先，部分学生缺乏Linux操作系统使用经验，对命令行操作不熟悉，甚至连基本的编程能力也较弱；其次，班级内学生能力差异明显，少数学生自学能力强、进步快，而大多数学生需要更多的指导和实践机会。这种学情差异使教学难以把握适当的难度，需要在照顾大多数学生的接受能力和优秀学生的提升需求之间找到平衡。

3.2.2. 课程体系融合度浅

CTF训练以实训和线上课的形式存在，尚未系统性地反向融入《网络安全基础》《物联网安全》等核心课程的课程标准、教学内容与考核方式中，呈现“两张皮”现象。这导致学生在理论课程中学到的知识与CTF竞赛所需技能之间存在脱节，无法形成知识的良性循环和技能的螺旋上升。从课程设置上看，现有课程中网络安全相关内容占比低，缺乏专门的CTF技术训练课程；从教学内容上看，教材内容更新较慢，难以跟上网络安全技术的快速发展；从考核方式上看，传统的卷面考试难以全面评估学生的实际操作能力和解决问题的创新思维。

3.2.3. 师资实战经验有待加强

指导教师多来源于高校，虽具备扎实理论功底，但缺乏企业一线网络安全攻防实战经验，在指导高水平竞赛时有时会感到力不从心。特别是在面对CTF竞赛中的一些涉及人工智能、区块链等新型攻击手法和漏洞利用技术时，教师自身也需要不断学习和更新知识。教师队伍中真正具备CTF竞赛经验的人员不足，对Web安全、二进制漏洞利用等专业性较强的领域指导能力有限。此外，教师工作量大、教学任务重，难以投入足够时间进行CTF相关技术研究和学生培训指导，制约了CTF竞赛水平的提升。

3.2.4. 可持续的梯队建设困难

学生备赛周期长、投入大，高年级学生面临毕业、就业压力，低年级学生能力尚未跟上，容易造成人才梯队断层。从时间投入看，高水平CTF竞赛需要学生投入大量课余时间进行学习和训练，与学生的学业进度和就业准备形成冲突；从知识积累看，CTF竞赛涉及内容广泛，从入门到能够独立解决中等难度题目通常需要1~2年时间，而职业本科学生在校时间有限；从团队传承看，缺乏有效的知识管理和经验传递机制，优秀选手毕业后，积累的经验和解题思路难以系统性地传递给新队员。这些因素共同导致CTF团队难以持续发展，竞赛成绩波动较大。

3.2.5. 产业赋能有待深化

与网络安全企业的合作欠缺，未能建立稳定的校企联合培养机制，无法将企业的最新技术、实战案例和资源持续引入教学与竞赛中。首先，校企合作形式单一，主要停留在实习和就业环节，缺乏深度的课程共建、实训平台共享和竞赛联合指导；其次，企业参与度不够，对学生培养过程缺乏持续投入，难以形成“理论学习–实践训练–企业实战”的完整链条；再次，缺乏有效的激励机制，企业参与高校人才培养的积极性不高，难以实现校企双方的互利共赢；最后，合作内容与CTF竞赛结合不紧密，企业安全实践经验未能有效转化为竞赛训练资源。这些问题严重制约了职业本科院校网络安全人才培养质量的提升和CTF竞赛水平的提高。

4. 总体思路与培养模式

4.1. 总体思路

职业本科教育是国家高等教育体系的一部分，其培养目标是面向区域经济社会发展需要培养高素质技术技能型人才。教育部在《职业教育提质培优行动计划(2020~2023年)》的通知中指出，需要加强职业本科教育“高层次技术技能型专门应用型人才”培养定位，同时强调“德技并修、工学结合”专门应用型人才的人才培养理念[3]。

CTF竞赛的培养模式以职业本科教育“高层次技术技能型专门应用型人才”的培养目标为基础，通过以赛代练、以赛代教的方式，将理论知识与实践教学相结合，培养大学生动手能力和创新精神。通过CTF竞赛培养模式培养大学生对真实生活中的网络安全问题的研判和发现，培养具备创新思维能力和动手实践能力的应用型专门安全技能型专门应用型人才。

4.2. 培养模式

Figure 1. Overall block diagram of the CTF competition training model

图1. CTF竞赛培养模式总体框图

图1为本研究构建的CTF竞赛培养模式总体框架，该框架采用自下而上的三层递进结构，形成了完整的闭环培养体系。底层为“课程教学改革”层，作为整个培养体系的基础，主要通过“CTF + 课程”教学模式将竞赛元素有机融入专业课程，重构现有课程内容以适应网络安全实践需求，并建立跨专业安全技能培养机制，打破专业壁垒，形成多学科交叉的知识结构[4]。

中层是“校内实训和竞赛”层，以“周训练、月测评、季竞赛”为机制，使学生在不知不觉中进步提高能力；以轻量级CTF环境为学生提供软环境；以不同标准的成长性评价为学生提供个性化。

顶层为“校企合作实战”层，通过引入真实项目参与、护网行动实践等高阶实战环节，使学生接触行业前沿问题；并建立“请进来、走出去”的双向交流机制，促进校企深度融合。

三个层次之间通过上行箭头表示递进关系，右侧的下行箭头则展示了系统的反馈机制：企业需求驱动课程更新迭代，竞赛经验反哺教学内容优化。这种闭环结构确保了培养体系的持续优化和自我完善，有效支撑了高素质网络安全技术技能型人才的培养目标。形成了“理论学习–实践训练–企业实战”的闭环培养模式，不仅提升学生的专业能力，还能产生实际的社会效益和经济效益。这一模式既符合职业本科“应用型、技能型”的人才培养定位，又能有效解决当前CTF竞赛培养中存在的师资力量薄弱、课程体系脱节、实训平台不足、评价机制不完善和校企合作不深等问题[5]。

5. 教学设计

5.1. 课程体系

如表2所示，结合CTF竞赛特点以及职业本科学段的需求，笔者构建了“基础–提高–实战”三阶段递进式的课程结构：基础部分开设“导论(网络安全)”“操作系统安全”“网络安全协议分析”等课程，强化学生基础知识；提高部分开设Web安全、入侵安全、加密安全、应用安全等专业课程；实战部分开设CTF实训、综合渗透能力测试等课程，强化学生实际动手能力[6]。

Table 2. CTF competition curriculum system

表2. CTF竞赛课程体系

5.2. 教学平台

Figure 2. CTF competition teaching platform

图2. CTF竞赛教学平台

图2为竞赛教学平台，该平台由四个子平台构成：

以CTFd为学习引擎核心平台，完成题目发布、分数记录、排行功能，其友好的平台界面及较为成熟的管理机制实现了多类型的题目发布，分数、题目类型的动态获取。

以DVWA (Dynamically Vulnerable Web Application)为学习环境，支持Web安全漏洞场景模拟，其中包含常用的安全漏洞如SQL语句注、XSS、CSRF，并设置易、中、难不同的难度场景，方便学生学习难度循序渐进。

以国产Pikachu为学习环境，其提供的漏洞场景更加贴近中文网站，对DVWA学习环境进行补充，提升课程的迁移能力。

以SQLi-labs学习环境，学习SQL语句注，从初级到高级设置不同的注场景，使学生更加明确数据库安全知识，掌握安全防护技能。这些部分相互结合为职业本科院校的网络信息安全专业实践提供了实践教学的保障[7]。

5.2.1. 平台特点

该教学平台具有以下特点：模块化设计按CTF竞赛分类(Web、Crypto、Pwn、Reverse等)划分模块，使学生可根据兴趣和能力选择学习路径；难度递进设计确保每个模块内题目按难度分级，从入门到高级，满足不同学习阶段需求；实时反馈机制提供即时评分和解题提示，让学生及时了解自己的学习效果；协作功能支持团队协作解题，有效培养学生的团队意识和沟通能力[8]。

5.2.2. 平台应用

在教学实践中，该平台主要应用于以下几个方面：常规课堂教学中作为实验环境，配合理论讲解进行实践操作；学生可在课余时间登录平台，随机选择题练习；定期举办校内CTF竞赛，检验学习成果，选拔优秀人才；为参加省级、国家级CTF竞赛的团队提供专门的训练环境。

6. 实践结果

在实施CTF竞赛培养模式一 年后，我院已取得了初步成果。在ISCC2025 (国际信息安全与对抗技术大赛)中，我院物联网技术专业的本科生团队获得两项二等奖，这是该专业学生首次在国家级网络安全赛事中获奖，标志着我校在网络安全竞赛领域取得的突破性进展。

本研究的实际效果比较明显，我校自编CTF竞赛的培养模式对提升学生网络攻防实战能力具有正向影响。在经过系统性的培养、训练后，不仅学习了技术，还学会了如何去思考问题，如何去分析问题、解决问题，如何与人协作。

7. 讨论和展望

本研究对于CTF竞赛培养模式在职业本科院校应用的初步探索取得了一定成效，但本研究也存在样本单一、研究周期短、资源要求高、学生基础不一等问题，其研究结论不具普遍性，并存在职业本科高校资源不均衡，专业需求不一，校企合作不密切等应用问题。

针对上述挑战，建议从四个方面进行深入探索：扩大试点范围，验证模式的应用；共享资源，降低阻力；深化校地合作，吸纳更多实践经验；建立长效评价机制，进行成果监督。从而推动CTF竞赛模式成为职业本科高校的网络安全人才培养模式，为我国的网络安全事业贡献更多技术技能型人才。

NOTES

^*第一作者。

^#通讯作者。

参考文献