林玉香+劉巖

摘 要：《Web安全技術(shù)》實驗教學是理論教學的重要補充，論文針對目前國內(nèi)高校該門課程實驗教學的現(xiàn)狀，圍繞Web 應(yīng)用及安全防護出現(xiàn)的安全問題，通過優(yōu)化實驗項目、設(shè)計實驗環(huán)境、探索實驗教學方法，采用多元化實驗考核方式，進行了《Web安全技術(shù)》實驗課程的改革和大膽創(chuàng)新的嘗試。

關(guān)鍵詞：Web安全；實驗教學；教學方法

中圖分類號：G642 文獻標識碼：A

Abstract： The experimental teaching of Web security technology is an important supplement to theoretical teaching， This paper aims at the current situation of experimental teaching of the course in domestic universities. Refer to the safety problems of Web application and security protection， through optimal design of experiment ， setting up experimental environment ， exploring experimental teaching methods t， and studying experiment examination ways，carried on the experiment course reform and bold innovation.Key words： web security； experimental teaching； teaching method

1 引言

伴隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，Web應(yīng)用以其高效、易用、及時的特性成為主流的業(yè)務(wù)應(yīng)用載體，悄然滲透入人類工作生活的方方面面。尤其是近幾年如火如荼的“互聯(lián)網(wǎng)+”的平穩(wěn)落地，互聯(lián)網(wǎng)與傳統(tǒng)行業(yè)的優(yōu)勢整合，越來越多Web 應(yīng)用如雨后春筍般冒了出來。然而，Web 應(yīng)用領(lǐng)域的安全形勢卻不容樂觀，由于Web應(yīng)用協(xié)議Http自身的缺陷以及代碼編寫過程中的存在的規(guī)范性等原因，被惡意攻擊者出于各種不良的目的非法利用，對Web 服務(wù)器發(fā)動攻擊，企圖獲取他人的敏感信息， Web應(yīng)用層攻擊成為了當前信息安全領(lǐng)域的熱點問題。

《Web安全技術(shù)》是信息安全專業(yè)的核心課程和主干課程，也是國內(nèi)外各高校信息安全相關(guān)專業(yè)的重點教學內(nèi)容，具有很強的實踐性和應(yīng)用性，學生要扎實地掌握這些內(nèi)容，除了基礎(chǔ)理論的學習，還需要通過大量的實踐操作來加深理解和掌握。

2 問題與反思

目前國內(nèi)高校信息安全專業(yè)方向?qū)嶒炚n程之間開設(shè)內(nèi)容界限不分明，大多圍繞密碼學、網(wǎng)絡(luò)攻防、操作系統(tǒng)安全等方面，在廣度和針對性上，皆不能滿足Web 安全技術(shù)實驗教學的需求。部分已有的Web 安全技術(shù)實驗設(shè)計往往是針對Web 安全技術(shù)某個單一知識點的驗證，缺乏真實網(wǎng)絡(luò)背景和系統(tǒng)環(huán)境的支持，未考慮現(xiàn)實中Web安全問題的綜合性和復雜性特點，與真實安全問題出入過大。另外，Web 技術(shù)更新速度飛快，新的Web 安全的威脅不斷出現(xiàn)，一成不變的Web安全攻防模式以及受限的環(huán)境實驗設(shè)計缺乏實際應(yīng)用價值。

因此，我們在設(shè)計Web 安全技術(shù)實驗教學內(nèi)容時，從實用角度出發(fā)，緊跟當前Web安全技術(shù)的行業(yè)和技術(shù)發(fā)展態(tài)勢，圍繞當前主流的Web安全問題，以著重培養(yǎng)掌握Web 安全技術(shù)實用攻防技能的高級應(yīng)用人才為目標，設(shè)計出符合應(yīng)用型本科院校信息安全專業(yè)學生需求的 Web 安全技術(shù)實驗教學體系。

3 研究與探索

學生若想真正領(lǐng)悟Web安全技術(shù)的精髓，掌握主流的Web安全攻防技術(shù)，解決實際的Web安全問題，只有通過大量實踐操作，將理論應(yīng)用于實踐之中。本文按照高校應(yīng)用型人才的培養(yǎng)要求，對Web安全技術(shù)實驗教學進行研究與探索，以期通過該門課程實驗教學的研究探索提高教學質(zhì)量，優(yōu)化教學效果，提高學生的實踐動手能力，從幾個方面進行研究。

3.1 實驗項目設(shè)計與優(yōu)化

從教學內(nèi)容的角度來看，可以將內(nèi)容分為Web客戶端安全、Web 服務(wù)器端安全、Web 安全運營三方面。根據(jù)教學大綱要求，結(jié)合當前Web安全技術(shù)的最新發(fā)展趨勢，精心設(shè)計實驗項目，以綜合性、設(shè)計性實驗為主。圍繞近幾年公布的OWASP Top10 Web安全威脅，挖掘并設(shè)計針對性強的案例。由于該門課程的綜合性比較強，涉及的知識點比較繁雜，要想完全講授這些內(nèi)容，僅僅依靠課堂時間是遠遠不夠的，所以需要合理利用課外時間，激發(fā)學生的學習熱情，鞏固和強化課堂所學知識，所以實驗項目設(shè)置分為課內(nèi)必做實驗和課外選做實驗兩大部分。

課內(nèi)必做實驗由端口掃描、SQL注入攻擊及防護、XSS跨站攻擊及防護、CSRF跨站請求偽造、Cookie欺騙攻擊與防護、利用上傳漏洞上傳木馬攻擊與防護六個實驗構(gòu)成，其目的是使學生通過課內(nèi)必做實驗鞏固理論知識，掌握某一個Web安全問題的攻擊原理、常用工具和技術(shù)，進而掌握其對應(yīng)的防御技術(shù)。

課內(nèi)實驗的設(shè)置圍繞一個知識點，比較基礎(chǔ)和單一，而實際的Web安全問題的出現(xiàn)往往綜合了多方面因素，因此，課外選做實驗題目為綜合性、設(shè)計性類型，可能涉及多個安全知識點，可能覆蓋專業(yè)方向內(nèi)的一門或多門課程教學內(nèi)容，以此培養(yǎng)學生綜合運用知識的能力和實踐創(chuàng)新能力。

3.2 實驗環(huán)境搭建

由于Web安全技術(shù)實驗的特殊性，有可能涉及敏感信息的保護， 也有可能涉及Web 攻擊的再現(xiàn)以及Web 應(yīng)用系統(tǒng)的漏洞修復等問題，這些實驗一定程度上具有攻擊性或破壞性，如果在真實網(wǎng)絡(luò)環(huán)境中進行操作，會對網(wǎng)絡(luò)或系統(tǒng)進行破壞，為了教學的需要，一般情況下，可選擇利用虛擬機搭建虛擬實驗平臺。但是，虛擬機平臺也存在不足，如難以重現(xiàn)真實網(wǎng)絡(luò)環(huán)境的復雜性、硬件配置對實驗效果影響等，因此，如何能夠更好地利用虛擬機設(shè)計完善實驗內(nèi)容，還需要不斷探索與研究。endprint

3.3 授課方法探索

由于Web安全技術(shù)實驗課程難度相對比較高，學生知識儲備和學習接受能力參差不齊，選擇合適的授課方法尤為重要，一旦選擇不當，學生很容易產(chǎn)生畏難情緒和厭學心理，因此，采取了多種授課方法相結(jié)合，根據(jù)實驗內(nèi)容的不同，靈活運用。

課內(nèi)實驗主要采用“任務(wù)驅(qū)動”教學法：在具體實施教學過程中，可根據(jù)具體實驗內(nèi)容，把綜合性實驗分成若干個關(guān)聯(lián)的小任務(wù)，以這些小任務(wù)為載體，實驗內(nèi)容巧妙地設(shè)計在每個任務(wù)之中，由學生發(fā)現(xiàn)問題，分析問題，教師點撥啟發(fā)，進而解決問題。比如SQL注入攻擊防御實驗，可以根據(jù)Web網(wǎng)站編程語言（ASP、JSP、PHP）的不同，數(shù)據(jù)庫（SQL Server、MySQL、Access）的不同進行分類組合。在完成任務(wù)的同時，學生不僅掌握了課程內(nèi)容，也培養(yǎng)了如何利用創(chuàng)新性思維去發(fā)現(xiàn)問題、思考問題、解決問題。

課外選做實驗以學生小組學習為主要形式，教師列出選作實驗題目，并提供相應(yīng)的指導材料，學生可四個人一組，選做某一個系列的實驗，學生可參考教師提供的參考資料，也可自己查找資料，下載工具，搭建環(huán)境，完成實驗，可請教師輔助答疑。課外選做實驗主要訓練學生綜合分析實際安全問題、制定解決方案，運用多種安全技術(shù)解決安全問題的能力。

3.4 實驗考核方式優(yōu)化

實驗考核的優(yōu)化設(shè)計是實驗教學改革中的一個重要組成部分，根據(jù)該門課程的教學特點，以充分激發(fā)學生學習興趣、提高學生動手實踐能力為目的，以過程考核為主，根據(jù)實驗階段的不同以及學生接受程度的不同靈活采取考核辦法。實驗的不同階段考查內(nèi)容不同，評分的側(cè)重點也不同，強調(diào)學生獨立思考能力和創(chuàng)新實踐能力的培養(yǎng)。

4 結(jié)束語

結(jié)合信息安全相關(guān)專業(yè)方向的特點，圍繞Web安全技術(shù)的十大安全問題，結(jié)合當前主流的Web 安全攻防技術(shù)，本文對Web安全技術(shù)實驗教學中實驗項目設(shè)計、實驗環(huán)境配置，實驗授課方法、實驗考核等環(huán)節(jié)進行了一系列改革。以實例為導向組織實驗教學內(nèi)容，課內(nèi)實驗為主，輔以課外實驗。注重師生互動，通過多元化的教學方法，最大限度地激發(fā)學生的學習熱情，培養(yǎng)學生的創(chuàng)新意識和自主學習能力，從而提高教學質(zhì)量。

參考文獻

[1] 王練，陳龍.結(jié)合學校特色，提升信息安全專業(yè)的幾點思考[J].中國校外教.2010（1）： 41，109

[2] 唐屹，周權(quán).Web 安全實驗課程的教學探討[J].計算機教育，2014，11：87-90

[3] 琚生根，陳黎，周剛，等.“計算機網(wǎng)絡(luò)”實驗課程的教學探討[J].實驗技術(shù)與管理，2013，30（4）： 159-161.

[4] OWASP.Category：OWASP Top 10 2013 Project[EB/OL]. [2015-08-30]. http： https：//www.owasp.org/index.php/Top_10_2013-Table_of_Contents.

[5] 杜曄，陳賀男，黎妹紅，張大偉.Web應(yīng)用安全實驗教學探討及案例評析[J].計算機教育，2015，5： 17-19.endprint