高職院?！秝eb網站安全》課程立體化開發探究

王坤 朱紋玉

摘 要：本文根據“崗位-能力-知識-教學”的研究思路，通過精確定位就業崗位，明確崗位能力要求和相關知識組成，結合高職院校信息安全專業現有的人才培養方案、課程體系和實驗實訓環境，進行《Web網站安全》課程立體化開發的研究，制定出切實可行，且能夠使信息安全專業學生深入掌握web網站安全技術的理論知識、實踐技能和創新能力的教學方案。提出以崗位能力需求為驅動的縱向迭代開發與安全區域劃分為基礎的平行開發相結合的課程開發方法，以職業能力為基礎確定課程培養目標，通過理論與實踐相結合的教學方法來完成教學過程，將Web網站重要的安全技術通過立體化的剖析讓學生理解掌握。

關鍵詞：服務器虛擬化；應用；安全

中圖分類號：TP 文獻標識碼：A

隨著計算機網絡在我們的工作、學習和生活中應用的深入，信息安全問題也日益突出，網絡空間安全被提升到一個新的高度。web網站作為網絡信息發布的重要載體，其安全技術的發展對整個信息安全領域舉足輕重，是信息安全體系中必不可少的重要組成部分。同時，因為Web網站應用廣泛，網站安全也是信息安全行業人才缺口比較大的一個方向，擁有大批的就業崗位。社會人才需求是職業教育改革發展的根本驅動，為培養大量能夠從事web網站開發與管理，具有網站安全防護能力的優秀人才，在高職院校在計算機網絡專業或信息安全專業中開設“Web網站安全技術”課程是非常有必要的。

本文從“以用促學，學以致用”的視角出發，根據“崗位-能力-知識-教學”的研究思路，提出立體化開發方案，將Web網站重要的安全技術通過立體化的分析讓學生理解掌握。本文從以上幾個方面來簡要說明一下課程開發的思路和開發結果。

1 課程開發立體化架構設計

1.1 縱向架構

根據本文研究思路，整個課程開發建立“崗位-能力-知識-教學”的過程中，各環節的開發結果依次為下一環節的開發依據，因此在縱向層面形成了一個“崗位-技能-知識-教學”的開發結構，如圖1-1所示。

在崗位層里作者通過總結Web網站涉及網站安全的高職就業技術崗位，精確定位技術崗位。在技能層中，作者展望行業的發展方向，明確崗位能力要求；總結崗位所需的專業技能；在知識層中，作者總結技能所需的專業知識，從內容和原理上豐富課程內容；在教學層中，作者結合高職院校現有的信息安全課程體系，確定“Web網站安全技術”課程的教學目標和培養方案，完成課程教學形式的最終開發。

在此結構中本層根據其下層的分析結果為依據進行開發，彼此透明獨立，這樣做便于項目的結構化開發，該分層開發的方法也可以應用到其他課程的開發過程中。

1.2 橫向架構

Web網站從開發到實施和應用會經歷很多階段，其安全問題也伴隨整個生命周期，涉及到web網站安全的實施也呈現多樣化發展，但根據其生命周期的過程，本文在橫向上將Web網站安全劃分為三個安全領域：外圍安全、前臺安全、后臺安全。如圖1-2所示。

其中外圍安全主要是指存在與Web網站本身無關的安全漏洞，而攻擊者利用漏洞可以對web網站產生威脅的安全領域；前臺安全主要是指由于web網站在開發和應用過程存在自身安全漏洞，使攻擊者可以通過對網站前端界面的訪問獲得非法的信息或服務的安全領域；后臺安全主要是指由于web網站在開發和應用過程存在自身安全漏洞，使攻擊者可以通過網站后臺管理系統及數據庫獲得非法的信息或服務的安全領域。

1.3 立體化開發方案設計思路

通過對開發項目縱向和橫向的架構分析，我們可以得出本課程的開發總體設計，即以橫向的外圍安全、前臺安全和后臺安全三個安全領域為單元，通過分析web網站在各領域內的安全威脅。在縱向上，通過安全威脅確認該領域內的要做的工作，從領域內的安全工作出發，確認工作崗位，經過四個層次的迭代開發，得出最終的課程內容和教學過程等課程開發結果。

1.4 教學條件要求

建議配置50個臺位的實驗室，每臺位配置主流電腦一臺?？紤]到網絡安全實驗中需要學生一人同時操作多臺計算機，為滿足實驗的需求，需要在學生電腦上使用虛擬機技術：安裝vmware軟件，并預先配置Windows 7以上桌面操作系統一個，Windows server 2008虛擬操作系統一個。此外，需要主流配置的靶機服務器一臺，并與實訓室局域網相連，服務器安裝Windows server 2008操作系統，并預裝一個以上可訪問的web網站，網站應連接有數據庫，并配有完整的網站建設時的項目文檔資料。

2 WEB網站外圍安全課程開發

外圍安全領域的安全漏洞不是由于web網站造成的，但攻擊結果會威脅到網站，因此該安全領域web網站開發相關度不高，所以通常的工作方式是盡可能全面的發現安全漏洞，然后彌補漏洞，確保網站安全。

2.1 外圍安全威脅分析

該領域面對的安全威脅有以下幾種：（1）由于服務器配置漏洞造成的威脅，[1]包括：因服務器配置原因造成信息泄露、因中間件配置不當引起的問題、因操作系統或中間件文件解析引起的問題；（2）由于網絡漏洞造成的威脅，包括：PHP引起的問題、端口探測、網絡爬蟲。（3）因系統口令漏洞造成的威脅，包括：口令泄露、撞庫進后臺。

根據安全威脅分析，該領域內的工作主要是WEB服務器安全、網絡安全和口令安全，這些工作主要由網站運維人員和后期安全加固人員來完成，因此在崗位層，由該領域涉及職業崗位包括：Web網站安全加固工程師和Web網站運維工程師。

2.2 立體化開發過程

根據立體化開發方案，該單元的開發過程表2-1所示：

通過靶機實驗向學生演示攻擊和加固過程，引起學生學習的興趣，再逐步解析其原理，引導學生總結此類平臺配置過程中的關鍵點。[3]

利用對靶機網站管理員登陸口令的暴力破解實驗向學生展示暴力破解攻擊引發的web網站危機，并通過不同的口令策略破解時間的不同，引導學生總結口令的制定原則。

2.3 單元課程培養目標

經過以上的課程開發，WEB外圍安全的主要教學內容和教學方法基本確定，通過本單元課程的學習，可以使學生全面了解與web網站相關的系統平臺、中間件、網絡協議等對網站安全的影響；.理解網絡攻擊對web網站威脅的原理，掌握防御工具的使用方法了解常見的web網站安全漏洞，掌握應對的加固策略；了解暴力破解的攻擊原理和方法，掌握強口令的制定策略。掌握該領域內主流web網站信息安全策略的應用，進而適應相關的信息安全崗位。

3 WEB網站前臺安全課程開發

Web網站前臺安全是web網站安全的主戰場，因為web網站以及應用的對外信息接口都集中在前臺，即網頁上。[2]這些接口對大多數的訪問者是公開的，攻擊者很容易從這些接口入侵web網站，造成信息泄露或網站危機。因此該領域的安全與web網站開發相關度非常高，通常的工作方式是在網站開發的過程中避免開發漏洞或有針對性的加固網站對外接口，從而確保網站安全。

3.1 前臺安全威脅分析

該領域面對的安全威脅種類繁多，目前沒有完全的統計，常見的攻擊有[1]：（1）注入攻擊，包括：頁面調用時的SQL注入、萬能密碼類的注入、旁注等，注入攻擊主要是針對網站內部信息的，如用戶注冊信息；（2）跨站腳本攻擊（XSS），包括：存儲型XSS、反射型XSS，XSS攻擊主要是針對網站其他用戶的；（3）上傳攻擊，包括：webshell上傳、一句話木馬等。

根據安全威脅分析，該領域內的安全工作主要是WEB網頁安全開發、WEB應用安全開發，網絡安全、網站數據庫安全，這些工作主要由網站開發人員和后期安全加固人員來完成，因此在崗位層，由該領域涉及職業崗位包括：Web網站安全加固工程師、Web網站前端開發工程師、web網站架構師。

3.2 立體化開發過程

根據立體化開發方案，該單元的開發過程表3-1所示：

通過靶機實驗向學生演示SQL注入攻擊的攻擊和加固過程，引起學生學習的興趣，再逐步解析其原理，引導學生總結針對注入攻擊的檢測和加固策略。

1.Web網站安全加固工程師

2.Web網站前端開發工程師3.web網站架構師

3.網站XSS漏洞檢測技術；

4.XSS防護技術；

4.XSS攻擊的原理；

5.XSS攻擊的過程；

6.開發或加固過程中針對XSS攻擊的防御策略

利用靶機網站上XSS攻擊實驗向學生展示XSS對網站訪問者的攻擊結果，講解網站中XSS漏洞形成的原因和防護原理，引導學生總結此類攻擊的漏洞檢測和防御辦法。

1.Web網站安全加固工程師

2.Web網站前端開發工程師

3.web網站架構師

5.網站上傳點漏洞檢測技術；

6.上傳攻擊防護技術；

7.上傳攻擊的原理；

8.上傳攻擊的過程；

9.設計、開發和加固過程中針對上傳攻擊的防御策略

利用對靶機網站前端上傳攻擊實驗向學生展示上傳攻擊引發的web網站危機，講解網站上傳點設計和統計方法以及加固策略，引導學生總結上傳攻擊防御策略

3.3 單元課程培養目標

經過以上的課程開發，WEB前臺安全以防御常見類型攻擊為主要教學內容，以實踐實驗和原理講解為教學方法的課程開發基本完成，通過本單元課程的學習，可以使學生全面了解web網站開發及后期安全加固過程中需要防御的常見攻擊及其原理；理解網站設計、開發過程中需要安全開發的重要安全點；掌握常見的web網站安全漏洞的檢測技術和對應的加固策略。進而適應相關的職業崗位。

4 WEB后臺安全課程開發

WEB后臺安全領域的安全漏洞主要是由網站后臺管理系統或數據庫開發過程中不嚴謹造成的，攻擊者利用漏洞可以非法獲取管理員權限或植入木馬，從而獲取網站信息或控制網站，因此該安全領域與web網站開發相關度非常高，同時與網站應用過程中的管理策略也關系很大。所以通常的工作方式是在架構設計、管理系統設計與開發、數據庫設計與開發過程中，在關鍵的安全點上盡可能安全開發，在后期網站投入使用后制定科學合理的安全管理策略。[3]

4.1 WEB網站后臺安全威脅分析

該領域面對的安全威脅有以下幾種[1]：（1）后臺上傳攻擊，原理與前臺上傳攻擊相同，主要針對管理頁面；（2）木馬攻擊，包括：一句話木馬；（3）數據庫默認屬性設置；（4）非法管理員權限，包括：口令泄露、故意行為。

根據安全威脅分析，該領域內的工作主要是WEB網站安全開發、WEB網站管理系統管理與加固，這些工作主要由網站開發人員、網站運維人員和后期安全加固人員來完成，因此在崗位層，由該領域涉及職業崗位包括：Web網站后臺開發工程師、Web網站安全加固工程師和Web網站運維工程師。

4.2 立體化開發過程

根據立體化開發方案，該單元的開發過程表4-1所示：

1.通過對靶機網站后臺管理員權限的分權、提權設置，演示分權后的后臺管理即時被攻破也可保護網站。引導學生總結后臺管理員的分權、提權設置策略。

2.Web網站安全加固工程師

2.上傳點加固技術；

3.木馬防御技術；

4.后臺上傳攻擊原理和加固策略；

5.木馬攻擊原理和防御策略；

2.利用對靶機網站的后臺上傳攻擊實驗和木馬攻擊實驗向學生展示注入攻擊引發和木馬攻擊過程，引導學生總結針對注入工具和木馬攻擊的原理及加固策略。

3.Web網站后臺開發工程師

4.web網站開發技術；

5.數據庫開發技術；

6.數據庫加固技術。

6.網站管理系統安全開發策略

7.網站數據庫安全開發策略；

3.利用對靶機網站的數據庫攻擊實驗向學生展示數據庫安全的重要性，引導學生總結數據庫安全開發要點。[5]

4.3 單元課程培養目標

經過以上的課程開發，WEB外圍安全的主要教學內容和教學方法基本確定，通過本單元課程的學習，可以使學生了解管理后臺的一般功能和權限分配策略，掌握后臺管理員的分權和提權的策略；理解后臺上傳攻擊的過程原理；掌握針對后臺上傳攻擊的加固策略，理解木馬攻擊的過程原理；掌握針對木馬攻擊的加固策略；掌握該領域內主流web網站數據庫安全策略的應用，進而適應相關的職業崗位。

5 結語

WEB網站安全貫穿網站生命周期，且關系網站及網站用戶的信息安全。從事網站開發及網站安全維護的人員都必須系統學習相關知識，才能在網站實施過程中確保網站安全。本文通過立體化課程開發方案，將WEB網站常用的安全知識和技術統一在了《WEB網站安全》課程中，有助于高職院校開設相關技術的課程教學，培養web安全領域內的合格人才。

參考文獻：

[1]王志華，周序生.多方位WEB網站安全防御系統研究[J].網絡安全技術與應用：學術交流，2014（12）：115-116.

[2]柳華.WEB前端安全問題的分析與對策研究[J].中國高新區，2018（01）.

[3]趙龍.校園網服務器管理與維護[J].數碼世界，2017（06）.

[4]周波.Web網站安全及關鍵技術[J].電子技術與軟件工程，2018（02）.

[5]李斯.網站開發中數據庫安全問題[J].電子技術與軟件工程，2017（15）.

項目：本文由鄭州鐵路職業技術學院2017年度教研項目支持（項目編號2017JKY014）