高職院?！秝eb網(wǎng)站安全》課程立體化開發(fā)探究

王坤 朱紋玉

摘 要：本文根據(jù)“崗位-能力-知識(shí)-教學(xué)”的研究思路，通過精確定位就業(yè)崗位，明確崗位能力要求和相關(guān)知識(shí)組成，結(jié)合高職院校信息安全專業(yè)現(xiàn)有的人才培養(yǎng)方案、課程體系和實(shí)驗(yàn)實(shí)訓(xùn)環(huán)境，進(jìn)行《Web網(wǎng)站安全》課程立體化開發(fā)的研究，制定出切實(shí)可行，且能夠使信息安全專業(yè)學(xué)生深入掌握web網(wǎng)站安全技術(shù)的理論知識(shí)、實(shí)踐技能和創(chuàng)新能力的教學(xué)方案。提出以崗位能力需求為驅(qū)動(dòng)的縱向迭代開發(fā)與安全區(qū)域劃分為基礎(chǔ)的平行開發(fā)相結(jié)合的課程開發(fā)方法，以職業(yè)能力為基礎(chǔ)確定課程培養(yǎng)目標(biāo)，通過理論與實(shí)踐相結(jié)合的教學(xué)方法來完成教學(xué)過程，將Web網(wǎng)站重要的安全技術(shù)通過立體化的剖析讓學(xué)生理解掌握。

關(guān)鍵詞：服務(wù)器虛擬化；應(yīng)用；安全

中圖分類號(hào)：TP 文獻(xiàn)標(biāo)識(shí)碼：A

隨著計(jì)算機(jī)網(wǎng)絡(luò)在我們的工作、學(xué)習(xí)和生活中應(yīng)用的深入，信息安全問題也日益突出，網(wǎng)絡(luò)空間安全被提升到一個(gè)新的高度。web網(wǎng)站作為網(wǎng)絡(luò)信息發(fā)布的重要載體，其安全技術(shù)的發(fā)展對(duì)整個(gè)信息安全領(lǐng)域舉足輕重，是信息安全體系中必不可少的重要組成部分。同時(shí)，因?yàn)閃eb網(wǎng)站應(yīng)用廣泛，網(wǎng)站安全也是信息安全行業(yè)人才缺口比較大的一個(gè)方向，擁有大批的就業(yè)崗位。社會(huì)人才需求是職業(yè)教育改革發(fā)展的根本驅(qū)動(dòng)，為培養(yǎng)大量能夠從事web網(wǎng)站開發(fā)與管理，具有網(wǎng)站安全防護(hù)能力的優(yōu)秀人才，在高職院校在計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)或信息安全專業(yè)中開設(shè)“Web網(wǎng)站安全技術(shù)”課程是非常有必要的。

本文從“以用促學(xué)，學(xué)以致用”的視角出發(fā)，根據(jù)“崗位-能力-知識(shí)-教學(xué)”的研究思路，提出立體化開發(fā)方案，將Web網(wǎng)站重要的安全技術(shù)通過立體化的分析讓學(xué)生理解掌握。本文從以上幾個(gè)方面來簡要說明一下課程開發(fā)的思路和開發(fā)結(jié)果。

1 課程開發(fā)立體化架構(gòu)設(shè)計(jì)

1.1 縱向架構(gòu)

根據(jù)本文研究思路，整個(gè)課程開發(fā)建立“崗位-能力-知識(shí)-教學(xué)”的過程中，各環(huán)節(jié)的開發(fā)結(jié)果依次為下一環(huán)節(jié)的開發(fā)依據(jù)，因此在縱向?qū)用嫘纬闪艘粋€(gè)“崗位-技能-知識(shí)-教學(xué)”的開發(fā)結(jié)構(gòu)，如圖1-1所示。

在崗位層里作者通過總結(jié)Web網(wǎng)站涉及網(wǎng)站安全的高職就業(yè)技術(shù)崗位，精確定位技術(shù)崗位。在技能層中，作者展望行業(yè)的發(fā)展方向，明確崗位能力要求；總結(jié)崗位所需的專業(yè)技能；在知識(shí)層中，作者總結(jié)技能所需的專業(yè)知識(shí)，從內(nèi)容和原理上豐富課程內(nèi)容；在教學(xué)層中，作者結(jié)合高職院?，F(xiàn)有的信息安全課程體系，確定“Web網(wǎng)站安全技術(shù)”課程的教學(xué)目標(biāo)和培養(yǎng)方案，完成課程教學(xué)形式的最終開發(fā)。

在此結(jié)構(gòu)中本層根據(jù)其下層的分析結(jié)果為依據(jù)進(jìn)行開發(fā)，彼此透明獨(dú)立，這樣做便于項(xiàng)目的結(jié)構(gòu)化開發(fā)，該分層開發(fā)的方法也可以應(yīng)用到其他課程的開發(fā)過程中。

1.2 橫向架構(gòu)

Web網(wǎng)站從開發(fā)到實(shí)施和應(yīng)用會(huì)經(jīng)歷很多階段，其安全問題也伴隨整個(gè)生命周期，涉及到web網(wǎng)站安全的實(shí)施也呈現(xiàn)多樣化發(fā)展，但根據(jù)其生命周期的過程，本文在橫向上將Web網(wǎng)站安全劃分為三個(gè)安全領(lǐng)域：外圍安全、前臺(tái)安全、后臺(tái)安全。如圖1-2所示。

其中外圍安全主要是指存在與Web網(wǎng)站本身無關(guān)的安全漏洞，而攻擊者利用漏洞可以對(duì)web網(wǎng)站產(chǎn)生威脅的安全領(lǐng)域；前臺(tái)安全主要是指由于web網(wǎng)站在開發(fā)和應(yīng)用過程存在自身安全漏洞，使攻擊者可以通過對(duì)網(wǎng)站前端界面的訪問獲得非法的信息或服務(wù)的安全領(lǐng)域；后臺(tái)安全主要是指由于web網(wǎng)站在開發(fā)和應(yīng)用過程存在自身安全漏洞，使攻擊者可以通過網(wǎng)站后臺(tái)管理系統(tǒng)及數(shù)據(jù)庫獲得非法的信息或服務(wù)的安全領(lǐng)域。

1.3 立體化開發(fā)方案設(shè)計(jì)思路

通過對(duì)開發(fā)項(xiàng)目縱向和橫向的架構(gòu)分析，我們可以得出本課程的開發(fā)總體設(shè)計(jì)，即以橫向的外圍安全、前臺(tái)安全和后臺(tái)安全三個(gè)安全領(lǐng)域?yàn)閱卧ㄟ^分析web網(wǎng)站在各領(lǐng)域內(nèi)的安全威脅。在縱向上，通過安全威脅確認(rèn)該領(lǐng)域內(nèi)的要做的工作，從領(lǐng)域內(nèi)的安全工作出發(fā)，確認(rèn)工作崗位，經(jīng)過四個(gè)層次的迭代開發(fā)，得出最終的課程內(nèi)容和教學(xué)過程等課程開發(fā)結(jié)果。

1.4 教學(xué)條件要求

建議配置50個(gè)臺(tái)位的實(shí)驗(yàn)室，每臺(tái)位配置主流電腦一臺(tái)。考慮到網(wǎng)絡(luò)安全實(shí)驗(yàn)中需要學(xué)生一人同時(shí)操作多臺(tái)計(jì)算機(jī)，為滿足實(shí)驗(yàn)的需求，需要在學(xué)生電腦上使用虛擬機(jī)技術(shù)：安裝vmware軟件，并預(yù)先配置Windows 7以上桌面操作系統(tǒng)一個(gè)，Windows server 2008虛擬操作系統(tǒng)一個(gè)。此外，需要主流配置的靶機(jī)服務(wù)器一臺(tái)，并與實(shí)訓(xùn)室局域網(wǎng)相連，服務(wù)器安裝Windows server 2008操作系統(tǒng)，并預(yù)裝一個(gè)以上可訪問的web網(wǎng)站，網(wǎng)站應(yīng)連接有數(shù)據(jù)庫，并配有完整的網(wǎng)站建設(shè)時(shí)的項(xiàng)目文檔資料。

2 WEB網(wǎng)站外圍安全課程開發(fā)

外圍安全領(lǐng)域的安全漏洞不是由于web網(wǎng)站造成的，但攻擊結(jié)果會(huì)威脅到網(wǎng)站，因此該安全領(lǐng)域web網(wǎng)站開發(fā)相關(guān)度不高，所以通常的工作方式是盡可能全面的發(fā)現(xiàn)安全漏洞，然后彌補(bǔ)漏洞，確保網(wǎng)站安全。

2.1 外圍安全威脅分析

該領(lǐng)域面對(duì)的安全威脅有以下幾種：（1）由于服務(wù)器配置漏洞造成的威脅，[1]包括：因服務(wù)器配置原因造成信息泄露、因中間件配置不當(dāng)引起的問題、因操作系統(tǒng)或中間件文件解析引起的問題；（2）由于網(wǎng)絡(luò)漏洞造成的威脅，包括：PHP引起的問題、端口探測、網(wǎng)絡(luò)爬蟲。（3）因系統(tǒng)口令漏洞造成的威脅，包括：口令泄露、撞庫進(jìn)后臺(tái)。

根據(jù)安全威脅分析，該領(lǐng)域內(nèi)的工作主要是WEB服務(wù)器安全、網(wǎng)絡(luò)安全和口令安全，這些工作主要由網(wǎng)站運(yùn)維人員和后期安全加固人員來完成，因此在崗位層，由該領(lǐng)域涉及職業(yè)崗位包括：Web網(wǎng)站安全加固工程師和Web網(wǎng)站運(yùn)維工程師。

2.2 立體化開發(fā)過程

根據(jù)立體化開發(fā)方案，該單元的開發(fā)過程表2-1所示：

通過靶機(jī)實(shí)驗(yàn)向?qū)W生演示攻擊和加固過程，引起學(xué)生學(xué)習(xí)的興趣，再逐步解析其原理，引導(dǎo)學(xué)生總結(jié)此類平臺(tái)配置過程中的關(guān)鍵點(diǎn)。[3]

利用對(duì)靶機(jī)網(wǎng)站管理員登陸口令的暴力破解實(shí)驗(yàn)向?qū)W生展示暴力破解攻擊引發(fā)的web網(wǎng)站危機(jī)，并通過不同的口令策略破解時(shí)間的不同，引導(dǎo)學(xué)生總結(jié)口令的制定原則。

2.3 單元課程培養(yǎng)目標(biāo)

經(jīng)過以上的課程開發(fā)，WEB外圍安全的主要教學(xué)內(nèi)容和教學(xué)方法基本確定，通過本單元課程的學(xué)習(xí)，可以使學(xué)生全面了解與web網(wǎng)站相關(guān)的系統(tǒng)平臺(tái)、中間件、網(wǎng)絡(luò)協(xié)議等對(duì)網(wǎng)站安全的影響；.理解網(wǎng)絡(luò)攻擊對(duì)web網(wǎng)站威脅的原理，掌握防御工具的使用方法了解常見的web網(wǎng)站安全漏洞，掌握應(yīng)對(duì)的加固策略；了解暴力破解的攻擊原理和方法，掌握強(qiáng)口令的制定策略。掌握該領(lǐng)域內(nèi)主流web網(wǎng)站信息安全策略的應(yīng)用，進(jìn)而適應(yīng)相關(guān)的信息安全崗位。

3 WEB網(wǎng)站前臺(tái)安全課程開發(fā)

Web網(wǎng)站前臺(tái)安全是web網(wǎng)站安全的主戰(zhàn)場，因?yàn)閣eb網(wǎng)站以及應(yīng)用的對(duì)外信息接口都集中在前臺(tái)，即網(wǎng)頁上。[2]這些接口對(duì)大多數(shù)的訪問者是公開的，攻擊者很容易從這些接口入侵web網(wǎng)站，造成信息泄露或網(wǎng)站危機(jī)。因此該領(lǐng)域的安全與web網(wǎng)站開發(fā)相關(guān)度非常高，通常的工作方式是在網(wǎng)站開發(fā)的過程中避免開發(fā)漏洞或有針對(duì)性的加固網(wǎng)站對(duì)外接口，從而確保網(wǎng)站安全。

3.1 前臺(tái)安全威脅分析

該領(lǐng)域面對(duì)的安全威脅種類繁多，目前沒有完全的統(tǒng)計(jì)，常見的攻擊有[1]：（1）注入攻擊，包括：頁面調(diào)用時(shí)的SQL注入、萬能密碼類的注入、旁注等，注入攻擊主要是針對(duì)網(wǎng)站內(nèi)部信息的，如用戶注冊(cè)信息；（2）跨站腳本攻擊（XSS），包括：存儲(chǔ)型XSS、反射型XSS，XSS攻擊主要是針對(duì)網(wǎng)站其他用戶的；（3）上傳攻擊，包括：webshell上傳、一句話木馬等。

根據(jù)安全威脅分析，該領(lǐng)域內(nèi)的安全工作主要是WEB網(wǎng)頁安全開發(fā)、WEB應(yīng)用安全開發(fā)，網(wǎng)絡(luò)安全、網(wǎng)站數(shù)據(jù)庫安全，這些工作主要由網(wǎng)站開發(fā)人員和后期安全加固人員來完成，因此在崗位層，由該領(lǐng)域涉及職業(yè)崗位包括：Web網(wǎng)站安全加固工程師、Web網(wǎng)站前端開發(fā)工程師、web網(wǎng)站架構(gòu)師。

3.2 立體化開發(fā)過程

根據(jù)立體化開發(fā)方案，該單元的開發(fā)過程表3-1所示：

通過靶機(jī)實(shí)驗(yàn)向?qū)W生演示SQL注入攻擊的攻擊和加固過程，引起學(xué)生學(xué)習(xí)的興趣，再逐步解析其原理，引導(dǎo)學(xué)生總結(jié)針對(duì)注入攻擊的檢測和加固策略。

1.Web網(wǎng)站安全加固工程師

2.Web網(wǎng)站前端開發(fā)工程師3.web網(wǎng)站架構(gòu)師

3.網(wǎng)站XSS漏洞檢測技術(shù)；

4.XSS防護(hù)技術(shù)；

4.XSS攻擊的原理；

5.XSS攻擊的過程；

6.開發(fā)或加固過程中針對(duì)XSS攻擊的防御策略

利用靶機(jī)網(wǎng)站上XSS攻擊實(shí)驗(yàn)向?qū)W生展示XSS對(duì)網(wǎng)站訪問者的攻擊結(jié)果，講解網(wǎng)站中XSS漏洞形成的原因和防護(hù)原理，引導(dǎo)學(xué)生總結(jié)此類攻擊的漏洞檢測和防御辦法。

1.Web網(wǎng)站安全加固工程師

2.Web網(wǎng)站前端開發(fā)工程師

3.web網(wǎng)站架構(gòu)師

5.網(wǎng)站上傳點(diǎn)漏洞檢測技術(shù)；

6.上傳攻擊防護(hù)技術(shù)；

7.上傳攻擊的原理；

8.上傳攻擊的過程；

9.設(shè)計(jì)、開發(fā)和加固過程中針對(duì)上傳攻擊的防御策略

利用對(duì)靶機(jī)網(wǎng)站前端上傳攻擊實(shí)驗(yàn)向?qū)W生展示上傳攻擊引發(fā)的web網(wǎng)站危機(jī)，講解網(wǎng)站上傳點(diǎn)設(shè)計(jì)和統(tǒng)計(jì)方法以及加固策略，引導(dǎo)學(xué)生總結(jié)上傳攻擊防御策略

3.3 單元課程培養(yǎng)目標(biāo)

經(jīng)過以上的課程開發(fā)，WEB前臺(tái)安全以防御常見類型攻擊為主要教學(xué)內(nèi)容，以實(shí)踐實(shí)驗(yàn)和原理講解為教學(xué)方法的課程開發(fā)基本完成，通過本單元課程的學(xué)習(xí)，可以使學(xué)生全面了解web網(wǎng)站開發(fā)及后期安全加固過程中需要防御的常見攻擊及其原理；理解網(wǎng)站設(shè)計(jì)、開發(fā)過程中需要安全開發(fā)的重要安全點(diǎn)；掌握常見的web網(wǎng)站安全漏洞的檢測技術(shù)和對(duì)應(yīng)的加固策略。進(jìn)而適應(yīng)相關(guān)的職業(yè)崗位。

4 WEB后臺(tái)安全課程開發(fā)

WEB后臺(tái)安全領(lǐng)域的安全漏洞主要是由網(wǎng)站后臺(tái)管理系統(tǒng)或數(shù)據(jù)庫開發(fā)過程中不嚴(yán)謹(jǐn)造成的，攻擊者利用漏洞可以非法獲取管理員權(quán)限或植入木馬，從而獲取網(wǎng)站信息或控制網(wǎng)站，因此該安全領(lǐng)域與web網(wǎng)站開發(fā)相關(guān)度非常高，同時(shí)與網(wǎng)站應(yīng)用過程中的管理策略也關(guān)系很大。所以通常的工作方式是在架構(gòu)設(shè)計(jì)、管理系統(tǒng)設(shè)計(jì)與開發(fā)、數(shù)據(jù)庫設(shè)計(jì)與開發(fā)過程中，在關(guān)鍵的安全點(diǎn)上盡可能安全開發(fā)，在后期網(wǎng)站投入使用后制定科學(xué)合理的安全管理策略。[3]

4.1 WEB網(wǎng)站后臺(tái)安全威脅分析

該領(lǐng)域面對(duì)的安全威脅有以下幾種[1]：（1）后臺(tái)上傳攻擊，原理與前臺(tái)上傳攻擊相同，主要針對(duì)管理頁面；（2）木馬攻擊，包括：一句話木馬；（3）數(shù)據(jù)庫默認(rèn)屬性設(shè)置；（4）非法管理員權(quán)限，包括：口令泄露、故意行為。

根據(jù)安全威脅分析，該領(lǐng)域內(nèi)的工作主要是WEB網(wǎng)站安全開發(fā)、WEB網(wǎng)站管理系統(tǒng)管理與加固，這些工作主要由網(wǎng)站開發(fā)人員、網(wǎng)站運(yùn)維人員和后期安全加固人員來完成，因此在崗位層，由該領(lǐng)域涉及職業(yè)崗位包括：Web網(wǎng)站后臺(tái)開發(fā)工程師、Web網(wǎng)站安全加固工程師和Web網(wǎng)站運(yùn)維工程師。

4.2 立體化開發(fā)過程

根據(jù)立體化開發(fā)方案，該單元的開發(fā)過程表4-1所示：

1.通過對(duì)靶機(jī)網(wǎng)站后臺(tái)管理員權(quán)限的分權(quán)、提權(quán)設(shè)置，演示分權(quán)后的后臺(tái)管理即時(shí)被攻破也可保護(hù)網(wǎng)站。引導(dǎo)學(xué)生總結(jié)后臺(tái)管理員的分權(quán)、提權(quán)設(shè)置策略。

2.Web網(wǎng)站安全加固工程師

2.上傳點(diǎn)加固技術(shù)；

3.木馬防御技術(shù)；

4.后臺(tái)上傳攻擊原理和加固策略；

5.木馬攻擊原理和防御策略；

2.利用對(duì)靶機(jī)網(wǎng)站的后臺(tái)上傳攻擊實(shí)驗(yàn)和木馬攻擊實(shí)驗(yàn)向?qū)W生展示注入攻擊引發(fā)和木馬攻擊過程，引導(dǎo)學(xué)生總結(jié)針對(duì)注入工具和木馬攻擊的原理及加固策略。

3.Web網(wǎng)站后臺(tái)開發(fā)工程師

4.web網(wǎng)站開發(fā)技術(shù)；

5.數(shù)據(jù)庫開發(fā)技術(shù)；

6.數(shù)據(jù)庫加固技術(shù)。

6.網(wǎng)站管理系統(tǒng)安全開發(fā)策略

7.網(wǎng)站數(shù)據(jù)庫安全開發(fā)策略；

3.利用對(duì)靶機(jī)網(wǎng)站的數(shù)據(jù)庫攻擊實(shí)驗(yàn)向?qū)W生展示數(shù)據(jù)庫安全的重要性，引導(dǎo)學(xué)生總結(jié)數(shù)據(jù)庫安全開發(fā)要點(diǎn)。[5]

4.3 單元課程培養(yǎng)目標(biāo)

經(jīng)過以上的課程開發(fā)，WEB外圍安全的主要教學(xué)內(nèi)容和教學(xué)方法基本確定，通過本單元課程的學(xué)習(xí)，可以使學(xué)生了解管理后臺(tái)的一般功能和權(quán)限分配策略，掌握后臺(tái)管理員的分權(quán)和提權(quán)的策略；理解后臺(tái)上傳攻擊的過程原理；掌握針對(duì)后臺(tái)上傳攻擊的加固策略，理解木馬攻擊的過程原理；掌握針對(duì)木馬攻擊的加固策略；掌握該領(lǐng)域內(nèi)主流web網(wǎng)站數(shù)據(jù)庫安全策略的應(yīng)用，進(jìn)而適應(yīng)相關(guān)的職業(yè)崗位。

5 結(jié)語

WEB網(wǎng)站安全貫穿網(wǎng)站生命周期，且關(guān)系網(wǎng)站及網(wǎng)站用戶的信息安全。從事網(wǎng)站開發(fā)及網(wǎng)站安全維護(hù)的人員都必須系統(tǒng)學(xué)習(xí)相關(guān)知識(shí)，才能在網(wǎng)站實(shí)施過程中確保網(wǎng)站安全。本文通過立體化課程開發(fā)方案，將WEB網(wǎng)站常用的安全知識(shí)和技術(shù)統(tǒng)一在了《WEB網(wǎng)站安全》課程中，有助于高職院校開設(shè)相關(guān)技術(shù)的課程教學(xué)，培養(yǎng)web安全領(lǐng)域內(nèi)的合格人才。

參考文獻(xiàn)：

[1]王志華，周序生.多方位WEB網(wǎng)站安全防御系統(tǒng)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用：學(xué)術(shù)交流，2014（12）：115-116.

[2]柳華.WEB前端安全問題的分析與對(duì)策研究[J].中國高新區(qū)，2018（01）.

[3]趙龍.校園網(wǎng)服務(wù)器管理與維護(hù)[J].數(shù)碼世界，2017（06）.

[4]周波.Web網(wǎng)站安全及關(guān)鍵技術(shù)[J].電子技術(shù)與軟件工程，2018（02）.

[5]李斯.網(wǎng)站開發(fā)中數(shù)據(jù)庫安全問題[J].電子技術(shù)與軟件工程，2017（15）.

項(xiàng)目：本文由鄭州鐵路職業(yè)技術(shù)學(xué)院2017年度教研項(xiàng)目支持（項(xiàng)目編號(hào)2017JKY014）