林玉香+劉巖

摘 要：《Web安全技術(shù)》實(shí)驗(yàn)教學(xué)是理論教學(xué)的重要補(bǔ)充，論文針對目前國內(nèi)高校該門課程實(shí)驗(yàn)教學(xué)的現(xiàn)狀，圍繞Web 應(yīng)用及安全防護(hù)出現(xiàn)的安全問題，通過優(yōu)化實(shí)驗(yàn)項(xiàng)目、設(shè)計(jì)實(shí)驗(yàn)環(huán)境、探索實(shí)驗(yàn)教學(xué)方法，采用多元化實(shí)驗(yàn)考核方式，進(jìn)行了《Web安全技術(shù)》實(shí)驗(yàn)課程的改革和大膽創(chuàng)新的嘗試。

關(guān)鍵詞：Web安全；實(shí)驗(yàn)教學(xué)；教學(xué)方法

中圖分類號(hào)：G642 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： The experimental teaching of Web security technology is an important supplement to theoretical teaching， This paper aims at the current situation of experimental teaching of the course in domestic universities. Refer to the safety problems of Web application and security protection， through optimal design of experiment ， setting up experimental environment ， exploring experimental teaching methods t， and studying experiment examination ways，carried on the experiment course reform and bold innovation.Key words： web security； experimental teaching； teaching method

1 引言

伴隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，Web應(yīng)用以其高效、易用、及時(shí)的特性成為主流的業(yè)務(wù)應(yīng)用載體，悄然滲透入人類工作生活的方方面面。尤其是近幾年如火如荼的“互聯(lián)網(wǎng)+”的平穩(wěn)落地，互聯(lián)網(wǎng)與傳統(tǒng)行業(yè)的優(yōu)勢整合，越來越多Web 應(yīng)用如雨后春筍般冒了出來。然而，Web 應(yīng)用領(lǐng)域的安全形勢卻不容樂觀，由于Web應(yīng)用協(xié)議Http自身的缺陷以及代碼編寫過程中的存在的規(guī)范性等原因，被惡意攻擊者出于各種不良的目的非法利用，對Web 服務(wù)器發(fā)動(dòng)攻擊，企圖獲取他人的敏感信息， Web應(yīng)用層攻擊成為了當(dāng)前信息安全領(lǐng)域的熱點(diǎn)問題。

《Web安全技術(shù)》是信息安全專業(yè)的核心課程和主干課程，也是國內(nèi)外各高校信息安全相關(guān)專業(yè)的重點(diǎn)教學(xué)內(nèi)容，具有很強(qiáng)的實(shí)踐性和應(yīng)用性，學(xué)生要扎實(shí)地掌握這些內(nèi)容，除了基礎(chǔ)理論的學(xué)習(xí)，還需要通過大量的實(shí)踐操作來加深理解和掌握。

2 問題與反思

目前國內(nèi)高校信息安全專業(yè)方向?qū)嶒?yàn)課程之間開設(shè)內(nèi)容界限不分明，大多圍繞密碼學(xué)、網(wǎng)絡(luò)攻防、操作系統(tǒng)安全等方面，在廣度和針對性上，皆不能滿足Web 安全技術(shù)實(shí)驗(yàn)教學(xué)的需求。部分已有的Web 安全技術(shù)實(shí)驗(yàn)設(shè)計(jì)往往是針對Web 安全技術(shù)某個(gè)單一知識(shí)點(diǎn)的驗(yàn)證，缺乏真實(shí)網(wǎng)絡(luò)背景和系統(tǒng)環(huán)境的支持，未考慮現(xiàn)實(shí)中Web安全問題的綜合性和復(fù)雜性特點(diǎn)，與真實(shí)安全問題出入過大。另外，Web 技術(shù)更新速度飛快，新的Web 安全的威脅不斷出現(xiàn)，一成不變的Web安全攻防模式以及受限的環(huán)境實(shí)驗(yàn)設(shè)計(jì)缺乏實(shí)際應(yīng)用價(jià)值。

因此，我們在設(shè)計(jì)Web 安全技術(shù)實(shí)驗(yàn)教學(xué)內(nèi)容時(shí)，從實(shí)用角度出發(fā)，緊跟當(dāng)前Web安全技術(shù)的行業(yè)和技術(shù)發(fā)展態(tài)勢，圍繞當(dāng)前主流的Web安全問題，以著重培養(yǎng)掌握Web 安全技術(shù)實(shí)用攻防技能的高級應(yīng)用人才為目標(biāo)，設(shè)計(jì)出符合應(yīng)用型本科院校信息安全專業(yè)學(xué)生需求的 Web 安全技術(shù)實(shí)驗(yàn)教學(xué)體系。

3 研究與探索

學(xué)生若想真正領(lǐng)悟Web安全技術(shù)的精髓，掌握主流的Web安全攻防技術(shù)，解決實(shí)際的Web安全問題，只有通過大量實(shí)踐操作，將理論應(yīng)用于實(shí)踐之中。本文按照高校應(yīng)用型人才的培養(yǎng)要求，對Web安全技術(shù)實(shí)驗(yàn)教學(xué)進(jìn)行研究與探索，以期通過該門課程實(shí)驗(yàn)教學(xué)的研究探索提高教學(xué)質(zhì)量，優(yōu)化教學(xué)效果，提高學(xué)生的實(shí)踐動(dòng)手能力，從幾個(gè)方面進(jìn)行研究。

3.1 實(shí)驗(yàn)項(xiàng)目設(shè)計(jì)與優(yōu)化

從教學(xué)內(nèi)容的角度來看，可以將內(nèi)容分為Web客戶端安全、Web 服務(wù)器端安全、Web 安全運(yùn)營三方面。根據(jù)教學(xué)大綱要求，結(jié)合當(dāng)前Web安全技術(shù)的最新發(fā)展趨勢，精心設(shè)計(jì)實(shí)驗(yàn)項(xiàng)目，以綜合性、設(shè)計(jì)性實(shí)驗(yàn)為主。圍繞近幾年公布的OWASP Top10 Web安全威脅，挖掘并設(shè)計(jì)針對性強(qiáng)的案例。由于該門課程的綜合性比較強(qiáng)，涉及的知識(shí)點(diǎn)比較繁雜，要想完全講授這些內(nèi)容，僅僅依靠課堂時(shí)間是遠(yuǎn)遠(yuǎn)不夠的，所以需要合理利用課外時(shí)間，激發(fā)學(xué)生的學(xué)習(xí)熱情，鞏固和強(qiáng)化課堂所學(xué)知識(shí)，所以實(shí)驗(yàn)項(xiàng)目設(shè)置分為課內(nèi)必做實(shí)驗(yàn)和課外選做實(shí)驗(yàn)兩大部分。

課內(nèi)必做實(shí)驗(yàn)由端口掃描、SQL注入攻擊及防護(hù)、XSS跨站攻擊及防護(hù)、CSRF跨站請求偽造、Cookie欺騙攻擊與防護(hù)、利用上傳漏洞上傳木馬攻擊與防護(hù)六個(gè)實(shí)驗(yàn)構(gòu)成，其目的是使學(xué)生通過課內(nèi)必做實(shí)驗(yàn)鞏固理論知識(shí)，掌握某一個(gè)Web安全問題的攻擊原理、常用工具和技術(shù)，進(jìn)而掌握其對應(yīng)的防御技術(shù)。

課內(nèi)實(shí)驗(yàn)的設(shè)置圍繞一個(gè)知識(shí)點(diǎn)，比較基礎(chǔ)和單一，而實(shí)際的Web安全問題的出現(xiàn)往往綜合了多方面因素，因此，課外選做實(shí)驗(yàn)題目為綜合性、設(shè)計(jì)性類型，可能涉及多個(gè)安全知識(shí)點(diǎn)，可能覆蓋專業(yè)方向內(nèi)的一門或多門課程教學(xué)內(nèi)容，以此培養(yǎng)學(xué)生綜合運(yùn)用知識(shí)的能力和實(shí)踐創(chuàng)新能力。

3.2 實(shí)驗(yàn)環(huán)境搭建

由于Web安全技術(shù)實(shí)驗(yàn)的特殊性，有可能涉及敏感信息的保護(hù)， 也有可能涉及Web 攻擊的再現(xiàn)以及Web 應(yīng)用系統(tǒng)的漏洞修復(fù)等問題，這些實(shí)驗(yàn)一定程度上具有攻擊性或破壞性，如果在真實(shí)網(wǎng)絡(luò)環(huán)境中進(jìn)行操作，會(huì)對網(wǎng)絡(luò)或系統(tǒng)進(jìn)行破壞，為了教學(xué)的需要，一般情況下，可選擇利用虛擬機(jī)搭建虛擬實(shí)驗(yàn)平臺(tái)。但是，虛擬機(jī)平臺(tái)也存在不足，如難以重現(xiàn)真實(shí)網(wǎng)絡(luò)環(huán)境的復(fù)雜性、硬件配置對實(shí)驗(yàn)效果影響等，因此，如何能夠更好地利用虛擬機(jī)設(shè)計(jì)完善實(shí)驗(yàn)內(nèi)容，還需要不斷探索與研究。endprint

3.3 授課方法探索

由于Web安全技術(shù)實(shí)驗(yàn)課程難度相對比較高，學(xué)生知識(shí)儲(chǔ)備和學(xué)習(xí)接受能力參差不齊，選擇合適的授課方法尤為重要，一旦選擇不當(dāng)，學(xué)生很容易產(chǎn)生畏難情緒和厭學(xué)心理，因此，采取了多種授課方法相結(jié)合，根據(jù)實(shí)驗(yàn)內(nèi)容的不同，靈活運(yùn)用。

課內(nèi)實(shí)驗(yàn)主要采用“任務(wù)驅(qū)動(dòng)”教學(xué)法：在具體實(shí)施教學(xué)過程中，可根據(jù)具體實(shí)驗(yàn)內(nèi)容，把綜合性實(shí)驗(yàn)分成若干個(gè)關(guān)聯(lián)的小任務(wù)，以這些小任務(wù)為載體，實(shí)驗(yàn)內(nèi)容巧妙地設(shè)計(jì)在每個(gè)任務(wù)之中，由學(xué)生發(fā)現(xiàn)問題，分析問題，教師點(diǎn)撥啟發(fā)，進(jìn)而解決問題。比如SQL注入攻擊防御實(shí)驗(yàn)，可以根據(jù)Web網(wǎng)站編程語言（ASP、JSP、PHP）的不同，數(shù)據(jù)庫（SQL Server、MySQL、Access）的不同進(jìn)行分類組合。在完成任務(wù)的同時(shí)，學(xué)生不僅掌握了課程內(nèi)容，也培養(yǎng)了如何利用創(chuàng)新性思維去發(fā)現(xiàn)問題、思考問題、解決問題。

課外選做實(shí)驗(yàn)以學(xué)生小組學(xué)習(xí)為主要形式，教師列出選作實(shí)驗(yàn)題目，并提供相應(yīng)的指導(dǎo)材料，學(xué)生可四個(gè)人一組，選做某一個(gè)系列的實(shí)驗(yàn)，學(xué)生可參考教師提供的參考資料，也可自己查找資料，下載工具，搭建環(huán)境，完成實(shí)驗(yàn)，可請教師輔助答疑。課外選做實(shí)驗(yàn)主要訓(xùn)練學(xué)生綜合分析實(shí)際安全問題、制定解決方案，運(yùn)用多種安全技術(shù)解決安全問題的能力。

3.4 實(shí)驗(yàn)考核方式優(yōu)化

實(shí)驗(yàn)考核的優(yōu)化設(shè)計(jì)是實(shí)驗(yàn)教學(xué)改革中的一個(gè)重要組成部分，根據(jù)該門課程的教學(xué)特點(diǎn)，以充分激發(fā)學(xué)生學(xué)習(xí)興趣、提高學(xué)生動(dòng)手實(shí)踐能力為目的，以過程考核為主，根據(jù)實(shí)驗(yàn)階段的不同以及學(xué)生接受程度的不同靈活采取考核辦法。實(shí)驗(yàn)的不同階段考查內(nèi)容不同，評分的側(cè)重點(diǎn)也不同，強(qiáng)調(diào)學(xué)生獨(dú)立思考能力和創(chuàng)新實(shí)踐能力的培養(yǎng)。

4 結(jié)束語

結(jié)合信息安全相關(guān)專業(yè)方向的特點(diǎn)，圍繞Web安全技術(shù)的十大安全問題，結(jié)合當(dāng)前主流的Web 安全攻防技術(shù)，本文對Web安全技術(shù)實(shí)驗(yàn)教學(xué)中實(shí)驗(yàn)項(xiàng)目設(shè)計(jì)、實(shí)驗(yàn)環(huán)境配置，實(shí)驗(yàn)授課方法、實(shí)驗(yàn)考核等環(huán)節(jié)進(jìn)行了一系列改革。以實(shí)例為導(dǎo)向組織實(shí)驗(yàn)教學(xué)內(nèi)容，課內(nèi)實(shí)驗(yàn)為主，輔以課外實(shí)驗(yàn)。注重師生互動(dòng)，通過多元化的教學(xué)方法，最大限度地激發(fā)學(xué)生的學(xué)習(xí)熱情，培養(yǎng)學(xué)生的創(chuàng)新意識(shí)和自主學(xué)習(xí)能力，從而提高教學(xué)質(zhì)量。

參考文獻(xiàn)

[1] 王練，陳龍.結(jié)合學(xué)校特色，提升信息安全專業(yè)的幾點(diǎn)思考[J].中國校外教.2010（1）： 41，109

[2] 唐屹，周權(quán).Web 安全實(shí)驗(yàn)課程的教學(xué)探討[J].計(jì)算機(jī)教育，2014，11：87-90

[3] 琚生根，陳黎，周剛，等.“計(jì)算機(jī)網(wǎng)絡(luò)”實(shí)驗(yàn)課程的教學(xué)探討[J].實(shí)驗(yàn)技術(shù)與管理，2013，30（4）： 159-161.

[4] OWASP.Category：OWASP Top 10 2013 Project[EB/OL]. [2015-08-30]. http： https：//www.owasp.org/index.php/Top_10_2013-Table_of_Contents.

[5] 杜曄，陳賀男，黎妹紅，張大偉.Web應(yīng)用安全實(shí)驗(yàn)教學(xué)探討及案例評析[J].計(jì)算機(jī)教育，2015，5： 17-19.endprint