王坤 朱紋玉

摘 要：本文根據(jù)“崗位-能力-知識-教學”的研究思路，通過精確定位就業(yè)崗位，明確崗位能力要求和相關(guān)知識組成，結(jié)合高職院校信息安全專業(yè)現(xiàn)有的人才培養(yǎng)方案、課程體系和實驗實訓環(huán)境，進行《Web網(wǎng)站安全》課程立體化開發(fā)的研究，制定出切實可行，且能夠使信息安全專業(yè)學生深入掌握web網(wǎng)站安全技術(shù)的理論知識、實踐技能和創(chuàng)新能力的教學方案。提出以崗位能力需求為驅(qū)動的縱向迭代開發(fā)與安全區(qū)域劃分為基礎(chǔ)的平行開發(fā)相結(jié)合的課程開發(fā)方法，以職業(yè)能力為基礎(chǔ)確定課程培養(yǎng)目標，通過理論與實踐相結(jié)合的教學方法來完成教學過程，將Web網(wǎng)站重要的安全技術(shù)通過立體化的剖析讓學生理解掌握。

關(guān)鍵詞：服務器虛擬化；應用；安全

中圖分類號：TP 文獻標識碼：A

隨著計算機網(wǎng)絡在我們的工作、學習和生活中應用的深入，信息安全問題也日益突出，網(wǎng)絡空間安全被提升到一個新的高度。web網(wǎng)站作為網(wǎng)絡信息發(fā)布的重要載體，其安全技術(shù)的發(fā)展對整個信息安全領(lǐng)域舉足輕重，是信息安全體系中必不可少的重要組成部分。同時，因為Web網(wǎng)站應用廣泛，網(wǎng)站安全也是信息安全行業(yè)人才缺口比較大的一個方向，擁有大批的就業(yè)崗位。社會人才需求是職業(yè)教育改革發(fā)展的根本驅(qū)動，為培養(yǎng)大量能夠從事web網(wǎng)站開發(fā)與管理，具有網(wǎng)站安全防護能力的優(yōu)秀人才，在高職院校在計算機網(wǎng)絡專業(yè)或信息安全專業(yè)中開設“Web網(wǎng)站安全技術(shù)”課程是非常有必要的。

本文從“以用促學，學以致用”的視角出發(fā)，根據(jù)“崗位-能力-知識-教學”的研究思路，提出立體化開發(fā)方案，將Web網(wǎng)站重要的安全技術(shù)通過立體化的分析讓學生理解掌握。本文從以上幾個方面來簡要說明一下課程開發(fā)的思路和開發(fā)結(jié)果。

1 課程開發(fā)立體化架構(gòu)設計

1.1 縱向架構(gòu)

根據(jù)本文研究思路，整個課程開發(fā)建立“崗位-能力-知識-教學”的過程中，各環(huán)節(jié)的開發(fā)結(jié)果依次為下一環(huán)節(jié)的開發(fā)依據(jù)，因此在縱向?qū)用嫘纬闪艘粋€“崗位-技能-知識-教學”的開發(fā)結(jié)構(gòu)，如圖1-1所示。

在崗位層里作者通過總結(jié)Web網(wǎng)站涉及網(wǎng)站安全的高職就業(yè)技術(shù)崗位，精確定位技術(shù)崗位。在技能層中，作者展望行業(yè)的發(fā)展方向，明確崗位能力要求；總結(jié)崗位所需的專業(yè)技能；在知識層中，作者總結(jié)技能所需的專業(yè)知識，從內(nèi)容和原理上豐富課程內(nèi)容；在教學層中，作者結(jié)合高職院?，F(xiàn)有的信息安全課程體系，確定“Web網(wǎng)站安全技術(shù)”課程的教學目標和培養(yǎng)方案，完成課程教學形式的最終開發(fā)。

在此結(jié)構(gòu)中本層根據(jù)其下層的分析結(jié)果為依據(jù)進行開發(fā)，彼此透明獨立，這樣做便于項目的結(jié)構(gòu)化開發(fā)，該分層開發(fā)的方法也可以應用到其他課程的開發(fā)過程中。

1.2 橫向架構(gòu)

Web網(wǎng)站從開發(fā)到實施和應用會經(jīng)歷很多階段，其安全問題也伴隨整個生命周期，涉及到web網(wǎng)站安全的實施也呈現(xiàn)多樣化發(fā)展，但根據(jù)其生命周期的過程，本文在橫向上將Web網(wǎng)站安全劃分為三個安全領(lǐng)域：外圍安全、前臺安全、后臺安全。如圖1-2所示。

其中外圍安全主要是指存在與Web網(wǎng)站本身無關(guān)的安全漏洞，而攻擊者利用漏洞可以對web網(wǎng)站產(chǎn)生威脅的安全領(lǐng)域；前臺安全主要是指由于web網(wǎng)站在開發(fā)和應用過程存在自身安全漏洞，使攻擊者可以通過對網(wǎng)站前端界面的訪問獲得非法的信息或服務的安全領(lǐng)域；后臺安全主要是指由于web網(wǎng)站在開發(fā)和應用過程存在自身安全漏洞，使攻擊者可以通過網(wǎng)站后臺管理系統(tǒng)及數(shù)據(jù)庫獲得非法的信息或服務的安全領(lǐng)域。

1.3 立體化開發(fā)方案設計思路

通過對開發(fā)項目縱向和橫向的架構(gòu)分析，我們可以得出本課程的開發(fā)總體設計，即以橫向的外圍安全、前臺安全和后臺安全三個安全領(lǐng)域為單元，通過分析web網(wǎng)站在各領(lǐng)域內(nèi)的安全威脅。在縱向上，通過安全威脅確認該領(lǐng)域內(nèi)的要做的工作，從領(lǐng)域內(nèi)的安全工作出發(fā)，確認工作崗位，經(jīng)過四個層次的迭代開發(fā)，得出最終的課程內(nèi)容和教學過程等課程開發(fā)結(jié)果。

1.4 教學條件要求

建議配置50個臺位的實驗室，每臺位配置主流電腦一臺?？紤]到網(wǎng)絡安全實驗中需要學生一人同時操作多臺計算機，為滿足實驗的需求，需要在學生電腦上使用虛擬機技術(shù)：安裝vmware軟件，并預先配置Windows 7以上桌面操作系統(tǒng)一個，Windows server 2008虛擬操作系統(tǒng)一個。此外，需要主流配置的靶機服務器一臺，并與實訓室局域網(wǎng)相連，服務器安裝Windows server 2008操作系統(tǒng)，并預裝一個以上可訪問的web網(wǎng)站，網(wǎng)站應連接有數(shù)據(jù)庫，并配有完整的網(wǎng)站建設時的項目文檔資料。

2 WEB網(wǎng)站外圍安全課程開發(fā)

外圍安全領(lǐng)域的安全漏洞不是由于web網(wǎng)站造成的，但攻擊結(jié)果會威脅到網(wǎng)站，因此該安全領(lǐng)域web網(wǎng)站開發(fā)相關(guān)度不高，所以通常的工作方式是盡可能全面的發(fā)現(xiàn)安全漏洞，然后彌補漏洞，確保網(wǎng)站安全。

2.1 外圍安全威脅分析

該領(lǐng)域面對的安全威脅有以下幾種：（1）由于服務器配置漏洞造成的威脅，[1]包括：因服務器配置原因造成信息泄露、因中間件配置不當引起的問題、因操作系統(tǒng)或中間件文件解析引起的問題；（2）由于網(wǎng)絡漏洞造成的威脅，包括：PHP引起的問題、端口探測、網(wǎng)絡爬蟲。（3）因系統(tǒng)口令漏洞造成的威脅，包括：口令泄露、撞庫進后臺。

根據(jù)安全威脅分析，該領(lǐng)域內(nèi)的工作主要是WEB服務器安全、網(wǎng)絡安全和口令安全，這些工作主要由網(wǎng)站運維人員和后期安全加固人員來完成，因此在崗位層，由該領(lǐng)域涉及職業(yè)崗位包括：Web網(wǎng)站安全加固工程師和Web網(wǎng)站運維工程師。

2.2 立體化開發(fā)過程

根據(jù)立體化開發(fā)方案，該單元的開發(fā)過程表2-1所示：

通過靶機實驗向?qū)W生演示攻擊和加固過程，引起學生學習的興趣，再逐步解析其原理，引導學生總結(jié)此類平臺配置過程中的關(guān)鍵點。[3]

利用對靶機網(wǎng)站管理員登陸口令的暴力破解實驗向?qū)W生展示暴力破解攻擊引發(fā)的web網(wǎng)站危機，并通過不同的口令策略破解時間的不同，引導學生總結(jié)口令的制定原則。

2.3 單元課程培養(yǎng)目標

經(jīng)過以上的課程開發(fā)，WEB外圍安全的主要教學內(nèi)容和教學方法基本確定，通過本單元課程的學習，可以使學生全面了解與web網(wǎng)站相關(guān)的系統(tǒng)平臺、中間件、網(wǎng)絡協(xié)議等對網(wǎng)站安全的影響；.理解網(wǎng)絡攻擊對web網(wǎng)站威脅的原理，掌握防御工具的使用方法了解常見的web網(wǎng)站安全漏洞，掌握應對的加固策略；了解暴力破解的攻擊原理和方法，掌握強口令的制定策略。掌握該領(lǐng)域內(nèi)主流web網(wǎng)站信息安全策略的應用，進而適應相關(guān)的信息安全崗位。

3 WEB網(wǎng)站前臺安全課程開發(fā)

Web網(wǎng)站前臺安全是web網(wǎng)站安全的主戰(zhàn)場，因為web網(wǎng)站以及應用的對外信息接口都集中在前臺，即網(wǎng)頁上。[2]這些接口對大多數(shù)的訪問者是公開的，攻擊者很容易從這些接口入侵web網(wǎng)站，造成信息泄露或網(wǎng)站危機。因此該領(lǐng)域的安全與web網(wǎng)站開發(fā)相關(guān)度非常高，通常的工作方式是在網(wǎng)站開發(fā)的過程中避免開發(fā)漏洞或有針對性的加固網(wǎng)站對外接口，從而確保網(wǎng)站安全。

3.1 前臺安全威脅分析

該領(lǐng)域面對的安全威脅種類繁多，目前沒有完全的統(tǒng)計，常見的攻擊有[1]：（1）注入攻擊，包括：頁面調(diào)用時的SQL注入、萬能密碼類的注入、旁注等，注入攻擊主要是針對網(wǎng)站內(nèi)部信息的，如用戶注冊信息；（2）跨站腳本攻擊（XSS），包括：存儲型XSS、反射型XSS，XSS攻擊主要是針對網(wǎng)站其他用戶的；（3）上傳攻擊，包括：webshell上傳、一句話木馬等。

根據(jù)安全威脅分析，該領(lǐng)域內(nèi)的安全工作主要是WEB網(wǎng)頁安全開發(fā)、WEB應用安全開發(fā)，網(wǎng)絡安全、網(wǎng)站數(shù)據(jù)庫安全，這些工作主要由網(wǎng)站開發(fā)人員和后期安全加固人員來完成，因此在崗位層，由該領(lǐng)域涉及職業(yè)崗位包括：Web網(wǎng)站安全加固工程師、Web網(wǎng)站前端開發(fā)工程師、web網(wǎng)站架構(gòu)師。

3.2 立體化開發(fā)過程

根據(jù)立體化開發(fā)方案，該單元的開發(fā)過程表3-1所示：

通過靶機實驗向?qū)W生演示SQL注入攻擊的攻擊和加固過程，引起學生學習的興趣，再逐步解析其原理，引導學生總結(jié)針對注入攻擊的檢測和加固策略。

1.Web網(wǎng)站安全加固工程師

2.Web網(wǎng)站前端開發(fā)工程師3.web網(wǎng)站架構(gòu)師

3.網(wǎng)站XSS漏洞檢測技術(shù)；

4.XSS防護技術(shù)；

4.XSS攻擊的原理；

5.XSS攻擊的過程；

6.開發(fā)或加固過程中針對XSS攻擊的防御策略

利用靶機網(wǎng)站上XSS攻擊實驗向?qū)W生展示XSS對網(wǎng)站訪問者的攻擊結(jié)果，講解網(wǎng)站中XSS漏洞形成的原因和防護原理，引導學生總結(jié)此類攻擊的漏洞檢測和防御辦法。

1.Web網(wǎng)站安全加固工程師

2.Web網(wǎng)站前端開發(fā)工程師

3.web網(wǎng)站架構(gòu)師

5.網(wǎng)站上傳點漏洞檢測技術(shù)；

6.上傳攻擊防護技術(shù)；

7.上傳攻擊的原理；

8.上傳攻擊的過程；

9.設計、開發(fā)和加固過程中針對上傳攻擊的防御策略

利用對靶機網(wǎng)站前端上傳攻擊實驗向?qū)W生展示上傳攻擊引發(fā)的web網(wǎng)站危機，講解網(wǎng)站上傳點設計和統(tǒng)計方法以及加固策略，引導學生總結(jié)上傳攻擊防御策略

3.3 單元課程培養(yǎng)目標

經(jīng)過以上的課程開發(fā)，WEB前臺安全以防御常見類型攻擊為主要教學內(nèi)容，以實踐實驗和原理講解為教學方法的課程開發(fā)基本完成，通過本單元課程的學習，可以使學生全面了解web網(wǎng)站開發(fā)及后期安全加固過程中需要防御的常見攻擊及其原理；理解網(wǎng)站設計、開發(fā)過程中需要安全開發(fā)的重要安全點；掌握常見的web網(wǎng)站安全漏洞的檢測技術(shù)和對應的加固策略。進而適應相關(guān)的職業(yè)崗位。

4 WEB后臺安全課程開發(fā)

WEB后臺安全領(lǐng)域的安全漏洞主要是由網(wǎng)站后臺管理系統(tǒng)或數(shù)據(jù)庫開發(fā)過程中不嚴謹造成的，攻擊者利用漏洞可以非法獲取管理員權(quán)限或植入木馬，從而獲取網(wǎng)站信息或控制網(wǎng)站，因此該安全領(lǐng)域與web網(wǎng)站開發(fā)相關(guān)度非常高，同時與網(wǎng)站應用過程中的管理策略也關(guān)系很大。所以通常的工作方式是在架構(gòu)設計、管理系統(tǒng)設計與開發(fā)、數(shù)據(jù)庫設計與開發(fā)過程中，在關(guān)鍵的安全點上盡可能安全開發(fā)，在后期網(wǎng)站投入使用后制定科學合理的安全管理策略。[3]

4.1 WEB網(wǎng)站后臺安全威脅分析

該領(lǐng)域面對的安全威脅有以下幾種[1]：（1）后臺上傳攻擊，原理與前臺上傳攻擊相同，主要針對管理頁面；（2）木馬攻擊，包括：一句話木馬；（3）數(shù)據(jù)庫默認屬性設置；（4）非法管理員權(quán)限，包括：口令泄露、故意行為。

根據(jù)安全威脅分析，該領(lǐng)域內(nèi)的工作主要是WEB網(wǎng)站安全開發(fā)、WEB網(wǎng)站管理系統(tǒng)管理與加固，這些工作主要由網(wǎng)站開發(fā)人員、網(wǎng)站運維人員和后期安全加固人員來完成，因此在崗位層，由該領(lǐng)域涉及職業(yè)崗位包括：Web網(wǎng)站后臺開發(fā)工程師、Web網(wǎng)站安全加固工程師和Web網(wǎng)站運維工程師。

4.2 立體化開發(fā)過程

根據(jù)立體化開發(fā)方案，該單元的開發(fā)過程表4-1所示：

1.通過對靶機網(wǎng)站后臺管理員權(quán)限的分權(quán)、提權(quán)設置，演示分權(quán)后的后臺管理即時被攻破也可保護網(wǎng)站。引導學生總結(jié)后臺管理員的分權(quán)、提權(quán)設置策略。

2.Web網(wǎng)站安全加固工程師

2.上傳點加固技術(shù)；

3.木馬防御技術(shù)；

4.后臺上傳攻擊原理和加固策略；

5.木馬攻擊原理和防御策略；

2.利用對靶機網(wǎng)站的后臺上傳攻擊實驗和木馬攻擊實驗向?qū)W生展示注入攻擊引發(fā)和木馬攻擊過程，引導學生總結(jié)針對注入工具和木馬攻擊的原理及加固策略。

3.Web網(wǎng)站后臺開發(fā)工程師

4.web網(wǎng)站開發(fā)技術(shù)；

5.數(shù)據(jù)庫開發(fā)技術(shù)；

6.數(shù)據(jù)庫加固技術(shù)。

6.網(wǎng)站管理系統(tǒng)安全開發(fā)策略

7.網(wǎng)站數(shù)據(jù)庫安全開發(fā)策略；

3.利用對靶機網(wǎng)站的數(shù)據(jù)庫攻擊實驗向?qū)W生展示數(shù)據(jù)庫安全的重要性，引導學生總結(jié)數(shù)據(jù)庫安全開發(fā)要點。[5]

4.3 單元課程培養(yǎng)目標

經(jīng)過以上的課程開發(fā)，WEB外圍安全的主要教學內(nèi)容和教學方法基本確定，通過本單元課程的學習，可以使學生了解管理后臺的一般功能和權(quán)限分配策略，掌握后臺管理員的分權(quán)和提權(quán)的策略；理解后臺上傳攻擊的過程原理；掌握針對后臺上傳攻擊的加固策略，理解木馬攻擊的過程原理；掌握針對木馬攻擊的加固策略；掌握該領(lǐng)域內(nèi)主流web網(wǎng)站數(shù)據(jù)庫安全策略的應用，進而適應相關(guān)的職業(yè)崗位。

5 結(jié)語

WEB網(wǎng)站安全貫穿網(wǎng)站生命周期，且關(guān)系網(wǎng)站及網(wǎng)站用戶的信息安全。從事網(wǎng)站開發(fā)及網(wǎng)站安全維護的人員都必須系統(tǒng)學習相關(guān)知識，才能在網(wǎng)站實施過程中確保網(wǎng)站安全。本文通過立體化課程開發(fā)方案，將WEB網(wǎng)站常用的安全知識和技術(shù)統(tǒng)一在了《WEB網(wǎng)站安全》課程中，有助于高職院校開設相關(guān)技術(shù)的課程教學，培養(yǎng)web安全領(lǐng)域內(nèi)的合格人才。

參考文獻：

[1]王志華，周序生.多方位WEB網(wǎng)站安全防御系統(tǒng)研究[J].網(wǎng)絡安全技術(shù)與應用：學術(shù)交流，2014（12）：115-116.

[2]柳華.WEB前端安全問題的分析與對策研究[J].中國高新區(qū)，2018（01）.

[3]趙龍.校園網(wǎng)服務器管理與維護[J].數(shù)碼世界，2017（06）.

[4]周波.Web網(wǎng)站安全及關(guān)鍵技術(shù)[J].電子技術(shù)與軟件工程，2018（02）.

[5]李斯.網(wǎng)站開發(fā)中數(shù)據(jù)庫安全問題[J].電子技術(shù)與軟件工程，2017（15）.

項目：本文由鄭州鐵路職業(yè)技術(shù)學院2017年度教研項目支持（項目編號2017JKY014）