張紅瑞 ,張玉松 ,呂延崗 ,田曉玲

(石家莊職業(yè)技術(shù)學(xué)院a.信息工程系;b.教務(wù)處;c.軟件工程系,河北 石家莊 050081)

0 引言

2019年,《國家職業(yè)教育改革實施方案》提出在職業(yè)院校、應(yīng)用型本科高校啟動“學(xué)歷證書+若干職業(yè)技能等級證書”制度(以下稱“1+X 證書制度”)試點工作[1].教育部先后組織遴選了4批次共447種“X”證書,有5 500余所院校參與了1+X 證書制度的試點工作,覆蓋了中職、高職(專科)和應(yīng)用型本科等不同類型的院校[2].通過1+X 證書制度,將行業(yè)企業(yè)崗位的工作任務(wù)和職業(yè)技能要求引入到了職業(yè)院校的人才培養(yǎng)環(huán)節(jié),對提高人才培養(yǎng)質(zhì)量,促進教育教學(xué)改革有重要的指導(dǎo)作用.《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標(biāo)綱要》指出,要加強網(wǎng)絡(luò)安全保護,加強網(wǎng)絡(luò)安全宣傳教育和人才培養(yǎng)[3].網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展需求與人才供給已經(jīng)形成了結(jié)構(gòu)性短缺的矛盾[4].如何做好“書證融通”工作,培養(yǎng)一大批素質(zhì)好、水平高并且符合網(wǎng)絡(luò)安全行業(yè)企業(yè)發(fā)展需要的高素質(zhì)技術(shù)技能人才,是高職院校網(wǎng)絡(luò)安全專業(yè)教學(xué)過程中必須面對和亟需解決的問題.本文以網(wǎng)絡(luò)安全相關(guān)的“X”證書的標(biāo)準(zhǔn)要求為依據(jù),研究網(wǎng)絡(luò)安全攻防實驗教學(xué)改革,以期為培養(yǎng)高質(zhì)量的網(wǎng)絡(luò)安全專業(yè)人才提供借鑒.

1 網(wǎng)絡(luò)安全“X”證書標(biāo)準(zhǔn)分析

在國家職業(yè)技能等級證書信息管理服務(wù)平臺以“網(wǎng)絡(luò)安全”為關(guān)鍵詞進行證書信息搜索,共有8個培訓(xùn)評價組織,包括中科軟科技股份有限公司、三六零數(shù)字安全科技集團有限公司、深信服科技股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、奇安信科技集團股份有限公司、啟明星辰信息技術(shù)集團股份有限公司、北京神州綠盟科技有限公司等7家行業(yè)企業(yè)及上海海盾安全技術(shù)培訓(xùn)中心等,開發(fā)了網(wǎng)絡(luò)安全運維、網(wǎng)絡(luò)安全評估、網(wǎng)絡(luò)安全運營平臺管理、網(wǎng)絡(luò)安全滲透測試、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)、網(wǎng)絡(luò)安全風(fēng)險管理、網(wǎng)絡(luò)安全服務(wù)、企業(yè)網(wǎng)絡(luò)安全防護等多種“X”證書.各培訓(xùn)評價組織根據(jù)教育部發(fā)布的《職業(yè)技能等級標(biāo)準(zhǔn)開發(fā)指南(試行)》制定了相應(yīng)的“X”證書職業(yè)等級標(biāo)準(zhǔn),分為初級、中級和高級三種,分別對應(yīng)中職、高職(?？?和本科三個不同層次.本文主要針對高職(專科)對應(yīng)的中級證書標(biāo)準(zhǔn)進行討論.

1.1 專業(yè)核心課程特征分析

教育部在《職業(yè)教育專業(yè)簡介》(2022年修訂)中將高職(?？?的信息安全技術(shù)應(yīng)用專業(yè)培養(yǎng)目標(biāo)定位為:能夠從事網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全運維等工作的高素質(zhì)技術(shù)技能人才.其對應(yīng)的“X”證書包括Web安全測試、網(wǎng)絡(luò)安全運維、網(wǎng)絡(luò)安全評估等[5],核心課程包括操作系統(tǒng)安全、信息安全產(chǎn)品配置與應(yīng)用、Web應(yīng)用安全與防護、信息安全風(fēng)險評估等.信息安全技術(shù)應(yīng)用專業(yè)的相關(guān)技術(shù)發(fā)展具有“快、廣、多、高”等特點,主要體現(xiàn)在4個方面.(1)行業(yè)發(fā)展快.各種系統(tǒng)和應(yīng)用漏洞、病毒木馬層出不窮,安全事件時有發(fā)生,行業(yè)知識和內(nèi)容持續(xù)更新.(2)知識傳播廣.各類安全知識和技術(shù)可以在很短的時間內(nèi)通過互聯(lián)網(wǎng)傳播到世界的各個角落.(3)方法變化多.漏洞利用、注入攻擊、零日攻擊等各種攻擊手段和方法不斷發(fā)生變化.(4)實踐要求高.新漏洞、新技術(shù)、新攻擊手段的出現(xiàn)都要求在模擬或真實場景下完成攻防演練或?qū)嵺`.

1.2 “X”證書標(biāo)準(zhǔn)詞云圖分析

證書標(biāo)準(zhǔn)蘊含了行業(yè)企業(yè)需求的典型工作任務(wù)和職業(yè)技能要求[6].將網(wǎng)絡(luò)安全中級“X”證書的工作任務(wù)和職業(yè)技能要求等內(nèi)容進行文本提取和分解,使用大數(shù)據(jù)技術(shù)將其中的關(guān)鍵詞繪制成詞云圖進行分析,以期為高職網(wǎng)絡(luò)安全攻防實驗教學(xué)改革指明方向.

首先,提取“X”證書標(biāo)準(zhǔn)中的工作任務(wù)和技能要求.在國家職業(yè)技能等級證書信息管理服務(wù)平臺上的等級標(biāo)準(zhǔn)欄目下載網(wǎng)絡(luò)安全所有相關(guān)的8 項“X”證書標(biāo)準(zhǔn),按行提取中級證書標(biāo)準(zhǔn)的工作任務(wù)和職業(yè)技能要求,將相應(yīng)的編號進行刪減,保留文本內(nèi)容,共提取到工作任務(wù)條目86項、職業(yè)技能要求條目389項,將工作任務(wù)和技能要求條目合并后另存為UTF-8格式文本.

其次,使用Python進行文本分詞并過濾.分詞技術(shù)是指利用計算機算法對文本內(nèi)容按照一定規(guī)則進行詞語切分,從而識別出文本中的重點內(nèi)容和關(guān)鍵詞語的技術(shù)[7].本文采用Python語言自帶的jieba分詞庫精確模式對網(wǎng)絡(luò)安全“X”證書(中級)標(biāo)準(zhǔn)文本進行分詞,并對分詞結(jié)果進行內(nèi)容過濾,排除“根據(jù)、進行、能夠、的、和、對”等非關(guān)鍵詞內(nèi)容.

再次,使用Python 對分詞后的文本進行大數(shù)據(jù)統(tǒng)計分析并繪制詞云圖,使用可視圖像展示網(wǎng)絡(luò)安全“X”證書(中級)標(biāo)準(zhǔn)文本的重要關(guān)鍵詞.采用Python語言自帶的wordcloud庫,生成和顯示詞云圖,將分詞結(jié)果的前200個關(guān)鍵詞進行頻次統(tǒng)計并自動配置字號大小,出現(xiàn)的頻次越高,字號越大.繪制的網(wǎng)絡(luò)安全“X”證書(中級)標(biāo)準(zhǔn)文本詞云圖見圖1.

圖1 網(wǎng)絡(luò)安全相關(guān)“X”證書(中級)標(biāo)準(zhǔn)文本詞云圖

從圖1可以看出,網(wǎng)絡(luò)安全“X”證書(中級)標(biāo)準(zhǔn)文本詞云圖中的重要關(guān)鍵詞包括安全、漏洞、需求、配置、加固、使用和驗證等,其中,安全、漏洞、需求為出現(xiàn)頻率較高的關(guān)鍵詞.安全漏洞是指信息系統(tǒng)在設(shè)計、編碼、配置、運行和管理過程中出現(xiàn)的錯誤或缺陷,包括系統(tǒng)漏洞、應(yīng)用漏洞、網(wǎng)絡(luò)漏洞、硬件漏洞等.中國信息安全測評中心在其發(fā)布的《2022上半年網(wǎng)絡(luò)安全漏洞態(tài)勢觀察》報告中指出,網(wǎng)絡(luò)安全的高危漏洞數(shù)量不斷增長,漏洞利用和實戰(zhàn)化趨勢明顯,漏洞威脅嚴(yán)重并影響持久[8].因此,網(wǎng)絡(luò)安全漏洞的分析、驗證與加固是網(wǎng)絡(luò)攻防實驗的重中之重,本文以中間件安全漏洞的攻擊與修復(fù)為例,通過現(xiàn)有的實踐環(huán)境重構(gòu)和再現(xiàn)高度仿真的網(wǎng)絡(luò)安全攻防實驗,以提高學(xué)生攻防技術(shù)水平.

2 中間件安全漏洞的攻擊與修復(fù)

筆者所在單位選擇了中科軟科技股份有限公司開發(fā)的網(wǎng)絡(luò)安全運維“X”證書(中級)作為信息安全技術(shù)應(yīng)用專業(yè)對應(yīng)的職業(yè)技能證書,其對應(yīng)的專業(yè)課程包括網(wǎng)絡(luò)攻擊與防御、Web應(yīng)用與安全防護、數(shù)據(jù)庫安全、操作系統(tǒng)安全等.網(wǎng)絡(luò)安全運維“X”證書(中級)等級標(biāo)準(zhǔn)要求的工作領(lǐng)域包括網(wǎng)絡(luò)安全設(shè)備部署調(diào)試、操作系統(tǒng)安全加固、系統(tǒng)安全滲透測試、Python安全應(yīng)用、數(shù)據(jù)庫安全配置與管理等5個方面.在操作系統(tǒng)安全加固工作領(lǐng)域中設(shè)計了Windows操作系統(tǒng)、Linux操作系統(tǒng)、中間件漏洞驗證及加固等3種不同類型的典型工作任務(wù)[9].本文以網(wǎng)絡(luò)安全運維“X”證書要求的CVE-2017-12617中間件安全漏洞為例進行分析,安全漏洞的利用、修復(fù)過程見圖2.首先,根據(jù)漏洞編號在CVE平臺(國際通用漏洞披露平臺)/CNVD 平臺(國家信息安全漏洞共享平臺)查詢漏洞的描述、原因及修復(fù)方案;其次,部署VMware平臺和KALI攻擊機,根據(jù)漏洞所需的系統(tǒng)和軟件模擬靶機環(huán)境并進行漏洞探測;再次,利用工具/方法攻擊漏洞并執(zhí)行相關(guān)命令,漏洞驗證完成后,修復(fù)漏洞;最后,將漏洞攻擊及修復(fù)方案與CVE/CNVD 平臺提供的漏洞原理進行對比分析.

圖2 安全漏洞的利用及修復(fù)過程示意圖

2.1 CVE-2017-12617漏洞分析

在CVE 或CNVD 平臺按照漏洞編號CVE-2017-12617或CNVD-2017-27472進行漏洞定位并查詢漏洞產(chǎn)生的原因.當(dāng)Tomcat運行在Windows操作系統(tǒng)且啟用HTTP PUT 請求方法時,攻擊者可以通過構(gòu)造或修改攻擊請求數(shù)據(jù)包向服務(wù)器上傳JSP文件,當(dāng)JSP文件中的惡意代碼被服務(wù)器執(zhí)行后將導(dǎo)致服務(wù)器上的數(shù)據(jù)泄露或權(quán)限獲取,存在高安全風(fēng)險.如果Tomcat配置了默認(rèn)的servlet,其參數(shù)readonly設(shè)置為false或者參數(shù)readonly設(shè)置啟用Web DAV servlet false,則此配置將允許任何未經(jīng)身份驗證的用戶上傳文件,包括9.0.0.M1到9.0.0,8.5.0到8.5.22,8.0.0.RC1到8.0.46及7.0.0到7.0.81等版本都包含遠程執(zhí)行代碼安全漏洞.

2.2 CVE-2017-12617漏洞利用

首先,搭建漏洞測試環(huán)境.在VMware Workstation平臺創(chuàng)建靶機Windows 2008,然后在靶機上安裝JDK 和XAMPP ControlPanel.配置靶機IP地址為192.168.1.3,子網(wǎng)掩碼為255.255.255.0,啟動并驗證Tomcat 服務(wù)是否正常,測試訪問http://192.168.1.3:8080是否正常.

其次,利用KALI進行漏洞探測.在VMware Workstation平臺創(chuàng)建攻擊機KALI系統(tǒng),配置IP地址為192.168.1.10,子網(wǎng)掩碼為255.255.255.0.使用nmap-n-T5-s V 192.168.1.3命令掃描靶機服務(wù)器版本信息,發(fā)現(xiàn)靶機Tomcat服務(wù)的8009和8080 端口開啟.使用nikto-h 192.168.1.3:8080命令對靶機服務(wù)器進行漏洞掃描,發(fā)現(xiàn)OSVDB-397和OSVDB-5646 安全漏洞,靶機服務(wù)的HTTP method允許客戶端PUT 和DELETE 文件到靶機.

再次,攔截并修改數(shù)據(jù)包.設(shè)置攻擊機Firefox瀏覽器本地代理地址為127.0.0.1,端口為8080.啟動Burpsuite工具,設(shè)置Proxy為本地代理地址并開啟攔截抓包.當(dāng)Firefox 瀏覽器訪問靶機地址http://192.168.1.3:8080時,使用Burpsuite攔截數(shù)據(jù)包并將GET 參數(shù)修改為PUT,填寫上傳文件的相關(guān)信息,點擊Forward,查看返回的數(shù)據(jù)包狀態(tài).如狀態(tài)為201,說明文件上傳成功.

最后,利用漏洞執(zhí)行命令.在上傳的文件訪問地址后邊加上要執(zhí)行的命令,如http://192.168.1.3:8080/test.jsp? pwd=023&cmd=whoami,就可以看到遠程命令成功執(zhí)行.

2.3 CVE-2017-12617漏洞修復(fù)

如果修復(fù)該漏洞,可以在靶機上打開Tomcat服務(wù)的web.xml文件,找到＜servlet＞……＜/servlet＞所在位置,將readonly 參數(shù)部分的字段false修改為true.重啟Tomcat服務(wù),再次訪問http://192.168.1.3:8080,使用Burpsuite抓包并修改上傳惡意文件,再查看返回的數(shù)據(jù)包狀態(tài),顯示403錯誤,說明文件上傳失敗,漏洞修復(fù)成功.

網(wǎng)絡(luò)安全運維“X”證書中共設(shè)計了6個涉及到中間件的安全漏洞,包括CVE-2017-9791,CVE-2017-12617,CVE-2017-15715,CVE-2018-12613等,涉及到系統(tǒng)配置、遠程代碼執(zhí)行和JAVA 序列化漏洞等內(nèi)容.2021年,CVE-2021-44228(Apache Log4j 2)安全漏洞因其攻擊難度低、利用工具多、影響系統(tǒng)廣等特點,給眾多中間件的服務(wù)安全帶來了深遠影響.中間件程序作為在系統(tǒng)軟件和不同應(yīng)用程序之間提供合作通信、資源共享和數(shù)據(jù)交換等服務(wù)功能的類型軟件,應(yīng)按照最小權(quán)限原則進行合理配置,盡可能關(guān)閉存在安全隱患的功能和服務(wù).

3 課證融合育人的實踐路徑

為推進1+X 證書與人才培養(yǎng)過程的深度融合,可以將證書標(biāo)準(zhǔn)要求充分融入到課程體系、實驗教學(xué)和考核評價等環(huán)節(jié),推進課證融合育人工作,既有利于提升學(xué)生技術(shù)技能水平,又可為行業(yè)企業(yè)提供能力識別的依據(jù)[10],降低企業(yè)人力資源的篩選和培養(yǎng)成本.

(1)融合證書標(biāo)準(zhǔn),重構(gòu)課程教學(xué)體系

根據(jù)網(wǎng)絡(luò)安全運維“X”證書標(biāo)準(zhǔn)積極開展課程標(biāo)準(zhǔn)對接,重新修(制)訂信息安全技術(shù)應(yīng)用專業(yè)人才培養(yǎng)方案,在教學(xué)中增設(shè)“X”證書模塊課程4門,包含漏洞掃描、漏洞利用、后門管理、密碼破解、Python、數(shù)據(jù)庫安全管理、數(shù)據(jù)庫訪問控制、Windows操作系統(tǒng)及服務(wù)漏洞、Linux服務(wù)漏洞、中間件服務(wù)漏洞等證書要求的技能培訓(xùn)內(nèi)容和相關(guān)理論知識,重構(gòu)課程教學(xué)體系.在信息安全技術(shù)應(yīng)用專業(yè)教學(xué)過程中,按照由易到難、分級遞進的原則,將“X”證書的職業(yè)技能要求分學(xué)年、學(xué)期融入到模塊課程中.對人才培養(yǎng)方案沒有覆蓋到的工作任務(wù),充分利用現(xiàn)有的網(wǎng)絡(luò)課程資源,采用“內(nèi)容自學(xué)+教師指導(dǎo)+考前集訓(xùn)”的方式完成.鼓勵相關(guān)專業(yè)的學(xué)生積極參加“X”證書考試,并將獲得的證書根據(jù)人才培養(yǎng)方案置換為相應(yīng)學(xué)分或折合成課程成績.

(2)分析安全漏洞,強化實驗攻防演練網(wǎng)絡(luò)安全的關(guān)鍵在于攻擊與防御的對抗能夠識別和處理系統(tǒng)的風(fēng)險部位和薄弱環(huán)節(jié)[11].由于網(wǎng)絡(luò)安全漏洞持續(xù)更新并不斷變化,這就要求職業(yè)技能等級標(biāo)準(zhǔn)能夠及時更新或定期修訂,而且要加大培養(yǎng)學(xué)生標(biāo)準(zhǔn)內(nèi)容的自主學(xué)習(xí)能力和自我提升能力,使他們能夠在CVE/CNVD 平臺通過編碼快速地找到漏洞描述、修補信息和解決方案,能夠?qū)W習(xí)行業(yè)企業(yè)發(fā)布的安全公告和漏洞研究報告,并進行安全攻防演練實驗.通過實驗室安全沙盒平臺或VMware平臺搭建可管控、可攻防、可重復(fù)的網(wǎng)絡(luò)靶場環(huán)境,在網(wǎng)絡(luò)靶場模擬真實環(huán)境中的攻擊行為[12].通過在VMware平臺上添加KALI攻擊機和虛擬靶機鏡像的方法,可以快速完成攻防實驗環(huán)境部署,實現(xiàn)網(wǎng)絡(luò)安全漏洞和實驗項目及時更新.要求學(xué)生在實驗過程中采用“過程錄屏+課程報告”的形式提交實驗結(jié)果,以強化其實踐動手能力.鼓勵學(xué)生利用開源平臺的任務(wù)和安全漏洞熱點來設(shè)計題目[13],不斷補充、完善和強化“X”證書要求的技能訓(xùn)練內(nèi)容.

4 結(jié)語

本文以高職院?！皶C融通”的實驗教學(xué)改革為切入點,對網(wǎng)絡(luò)安全相關(guān)“X”證書的職業(yè)技能要求進行了大數(shù)據(jù)分析,針對核心關(guān)鍵詞,結(jié)合證書技能要求討論了中間件安全漏洞的復(fù)現(xiàn)、利用和修復(fù)方法.將網(wǎng)絡(luò)安全運維“X”證書的職業(yè)等級標(biāo)準(zhǔn)用來指導(dǎo)信息安全應(yīng)用技術(shù)的專業(yè)建設(shè),既可以利用標(biāo)準(zhǔn)重構(gòu)專業(yè)人才培養(yǎng)方案,又為專業(yè)實驗教學(xué)提供崗位典型工作任務(wù)和技能要求,可以提高高職院校網(wǎng)絡(luò)安全相關(guān)專業(yè)學(xué)生的技術(shù)技能水平和人才培養(yǎng)質(zhì)量.