王坤 朱纹玉

摘 要：本文根据“岗位-能力-知识-教学”的研究思路，通过精确定位就业岗位，明确岗位能力要求和相关知识组成，结合高职院校信息安全专业现有的人才培养方案、课程体系和实验实训环境，进行《Web网站安全》课程立体化开发的研究，制定出切实可行，且能够使信息安全专业学生深入掌握web网站安全技术的理论知识、实践技能和创新能力的教学方案。提出以岗位能力需求为驱动的纵向迭代开发与安全区域划分为基础的平行开发相结合的课程开发方法，以职业能力为基础确定课程培养目标，通过理论与实践相结合的教学方法来完成教学过程，将Web网站重要的安全技术通过立体化的剖析让学生理解掌握。

关键词：服务器虚拟化；应用；安全

中图分类号：TP 文献标识码：A

随着计算机网络在我们的工作、学习和生活中应用的深入，信息安全问题也日益突出，网络空间安全被提升到一个新的高度。web网站作为网络信息发布的重要载体，其安全技术的发展对整个信息安全领域举足轻重，是信息安全体系中必不可少的重要组成部分。同时，因为Web网站应用广泛，网站安全也是信息安全行业人才缺口比较大的一个方向，拥有大批的就业岗位。社会人才需求是职业教育改革发展的根本驱动，为培养大量能够从事web网站开发与管理，具有网站安全防护能力的优秀人才，在高职院校在计算机网络专业或信息安全专业中开设“Web网站安全技术”课程是非常有必要的。

本文从“以用促学，学以致用”的视角出发，根据“岗位-能力-知识-教学”的研究思路，提出立体化开发方案，将Web网站重要的安全技术通过立体化的分析让学生理解掌握。本文从以上几个方面来简要说明一下课程开发的思路和开发结果。

1 课程开发立体化架构设计

1.1 縱向架构

根据本文研究思路，整个课程开发建立“岗位-能力-知识-教学”的过程中，各环节的开发结果依次为下一环节的开发依据，因此在纵向层面形成了一个“岗位-技能-知识-教学”的开发结构，如图1-1所示。

在岗位层里作者通过总结Web网站涉及网站安全的高职就业技术岗位，精确定位技术岗位。在技能层中，作者展望行业的发展方向，明确岗位能力要求；总结岗位所需的专业技能；在知识层中，作者总结技能所需的专业知识，从内容和原理上丰富课程内容；在教学层中，作者结合高职院校现有的信息安全课程体系，确定“Web网站安全技术”课程的教学目标和培养方案，完成课程教学形式的最终开发。

在此结构中本层根据其下层的分析结果为依据进行开发，彼此透明独立，这样做便于项目的结构化开发，该分层开发的方法也可以应用到其他课程的开发过程中。

1.2 横向架构

Web网站从开发到实施和应用会经历很多阶段，其安全问题也伴随整个生命周期，涉及到web网站安全的实施也呈现多样化发展，但根据其生命周期的过程，本文在横向上将Web网站安全划分为三个安全领域：外围安全、前台安全、后台安全。如图1-2所示。

其中外围安全主要是指存在与Web网站本身无关的安全漏洞，而攻击者利用漏洞可以对web网站产生威胁的安全领域；前台安全主要是指由于web网站在开发和应用过程存在自身安全漏洞，使攻击者可以通过对网站前端界面的访问获得非法的信息或服务的安全领域；后台安全主要是指由于web网站在开发和应用过程存在自身安全漏洞，使攻击者可以通过网站后台管理系统及数据库获得非法的信息或服务的安全领域。

1.3 立体化开发方案设计思路

通过对开发项目纵向和横向的架构分析，我们可以得出本课程的开发总体设计，即以横向的外围安全、前台安全和后台安全三个安全领域为单元，通过分析web网站在各领域内的安全威胁。在纵向上，通过安全威胁确认该领域内的要做的工作，从领域内的安全工作出发，确认工作岗位，经过四个层次的迭代开发，得出最终的课程内容和教学过程等课程开发结果。

1.4 教学条件要求

建议配置50个台位的实验室，每台位配置主流电脑一台。考虑到网络安全实验中需要学生一人同时操作多台计算机，为满足实验的需求，需要在学生电脑上使用虚拟机技术：安装vmware软件，并预先配置Windows 7以上桌面操作系统一个，Windows server 2008虚拟操作系统一个。此外，需要主流配置的靶机服务器一台，并与实训室局域网相连，服务器安装Windows server 2008操作系统，并预装一个以上可访问的web网站，网站应连接有数据库，并配有完整的网站建设时的项目文档资料。

2 WEB网站外围安全课程开发

外围安全领域的安全漏洞不是由于web网站造成的，但攻击结果会威胁到网站，因此该安全领域web网站开发相关度不高，所以通常的工作方式是尽可能全面的发现安全漏洞，然后弥补漏洞，确保网站安全。

2.1 外围安全威胁分析

该领域面对的安全威胁有以下几种：（1）由于服务器配置漏洞造成的威胁，[1]包括：因服务器配置原因造成信息泄露、因中间件配置不当引起的问题、因操作系统或中间件文件解析引起的问题；（2）由于网络漏洞造成的威胁，包括：PHP引起的问题、端口探测、网络爬虫。（3）因系统口令漏洞造成的威胁，包括：口令泄露、撞库进后台。

根据安全威胁分析，该领域内的工作主要是WEB服务器安全、网络安全和口令安全，这些工作主要由网站运维人员和后期安全加固人员来完成，因此在岗位层，由该领域涉及职业岗位包括：Web网站安全加固工程师和Web网站运维工程师。

2.2 立体化开发过程

根据立体化开发方案，该单元的开发过程表2-1所示：

通过靶机实验向学生演示攻击和加固过程，引起学生学习的兴趣，再逐步解析其原理，引导学生总结此类平台配置过程中的关键点。[3]

利用对靶机网站管理员登陆口令的暴力破解实验向学生展示暴力破解攻击引发的web网站危机，并通过不同的口令策略破解时间的不同，引导学生总结口令的制定原则。

2.3 单元课程培养目标

经过以上的课程开发，WEB外围安全的主要教学内容和教学方法基本确定，通过本单元课程的学习，可以使学生全面了解与web网站相关的系统平台、中间件、网络协议等对网站安全的影响；.理解网络攻击对web网站威胁的原理，掌握防御工具的使用方法了解常见的web网站安全漏洞，掌握应对的加固策略；了解暴力破解的攻击原理和方法，掌握强口令的制定策略。掌握该领域内主流web网站信息安全策略的应用，进而适应相关的信息安全岗位。

3 WEB网站前台安全课程开发

Web网站前台安全是web网站安全的主战场，因为web网站以及应用的对外信息接口都集中在前台，即网页上。[2]这些接口对大多数的访问者是公开的，攻击者很容易从这些接口入侵web网站，造成信息泄露或网站危机。因此该领域的安全与web网站开发相关度非常高，通常的工作方式是在网站开发的过程中避免开发漏洞或有针对性的加固网站对外接口，从而确保网站安全。

3.1 前台安全威胁分析

该领域面对的安全威胁种类繁多，目前没有完全的统计，常见的攻击有[1]：（1）注入攻击，包括：页面调用时的SQL注入、万能密码类的注入、旁注等，注入攻击主要是针对网站内部信息的，如用户注册信息；（2）跨站脚本攻击（XSS），包括：存储型XSS、反射型XSS，XSS攻击主要是针对网站其他用户的；（3）上传攻击，包括：webshell上传、一句话木马等。

根据安全威胁分析，该领域内的安全工作主要是WEB网页安全开发、WEB应用安全开发，网络安全、网站数据库安全，这些工作主要由网站开发人员和后期安全加固人员来完成，因此在岗位层，由该领域涉及职业岗位包括：Web网站安全加固工程师、Web网站前端开发工程师、web网站架构师。

3.2 立体化开发过程

根据立体化开发方案，该单元的开发过程表3-1所示：

通过靶机实验向学生演示SQL注入攻击的攻击和加固过程，引起学生学习的兴趣，再逐步解析其原理，引导学生总结针对注入攻击的检测和加固策略。

1.Web网站安全加固工程师

2.Web网站前端开发工程师3.web网站架构师

3.网站XSS漏洞检测技术；

4.XSS防护技术；

4.XSS攻击的原理；

5.XSS攻击的过程；

6.开发或加固过程中针对XSS攻击的防御策略

利用靶机网站上XSS攻击实验向学生展示XSS对网站访问者的攻击结果，讲解网站中XSS漏洞形成的原因和防护原理，引导学生总结此类攻击的漏洞检测和防御办法。

1.Web网站安全加固工程师

2.Web网站前端开发工程师

3.web网站架构师

5.网站上传点漏洞检测技术；

6.上传攻击防护技术；

7.上传攻击的原理；

8.上传攻击的过程；

9.设计、开发和加固过程中针对上传攻击的防御策略

利用对靶机网站前端上传攻击实验向学生展示上传攻击引发的web网站危机，讲解网站上传点设计和统计方法以及加固策略，引导学生总结上传攻击防御策略

3.3 单元课程培养目标

经过以上的课程开发，WEB前台安全以防御常见类型攻击为主要教学内容，以实践实验和原理讲解为教学方法的课程开发基本完成，通过本单元课程的学习，可以使学生全面了解web网站开发及后期安全加固过程中需要防御的常见攻击及其原理；理解网站设计、开发过程中需要安全开发的重要安全点；掌握常见的web网站安全漏洞的检测技术和对应的加固策略。进而适应相关的职业岗位。

4 WEB后台安全课程开发

WEB后台安全领域的安全漏洞主要是由网站后台管理系统或数据库开发过程中不严谨造成的，攻击者利用漏洞可以非法获取管理员权限或植入木马，从而获取网站信息或控制网站，因此该安全领域与web网站开发相关度非常高，同时与网站应用过程中的管理策略也关系很大。所以通常的工作方式是在架构设计、管理系统设计与开发、数据库设计与开发过程中，在关键的安全点上尽可能安全开发，在后期网站投入使用后制定科学合理的安全管理策略。[3]

4.1 WEB网站后台安全威胁分析

该领域面对的安全威胁有以下几种[1]：（1）后台上传攻击，原理与前台上传攻击相同，主要针对管理页面；（2）木马攻击，包括：一句话木马；（3）数据库默认属性设置；（4）非法管理员权限，包括：口令泄露、故意行为。

根据安全威胁分析，该领域内的工作主要是WEB网站安全开发、WEB网站管理系统管理与加固，这些工作主要由网站开发人员、网站运维人员和后期安全加固人员来完成，因此在岗位层，由该领域涉及职业岗位包括：Web网站后台开发工程师、Web网站安全加固工程师和Web网站运维工程师。

4.2 立体化开发过程

根据立体化开发方案，该单元的开发过程表4-1所示：

1.通过对靶机网站后台管理员权限的分权、提权设置，演示分权后的后台管理即时被攻破也可保护网站。引导学生总结后台管理员的分权、提权设置策略。

2.Web网站安全加固工程师

2.上传点加固技术；

3.木马防御技术；

4.后台上传攻击原理和加固策略；

5.木马攻击原理和防御策略；

2.利用对靶机网站的后台上传攻击实验和木马攻击实验向学生展示注入攻击引发和木马攻击过程，引导学生总结针对注入工具和木马攻击的原理及加固策略。

3.Web网站后台开发工程师

4.web網站开发技术；

5.数据库开发技术；

6.数据库加固技术。

6.网站管理系统安全开发策略

7.网站数据库安全开发策略；

3.利用对靶机网站的数据库攻击实验向学生展示数据库安全的重要性，引导学生总结数据库安全开发要点。[5]

4.3 单元课程培养目标

经过以上的课程开发，WEB外围安全的主要教学内容和教学方法基本确定，通过本单元课程的学习，可以使学生了解管理后台的一般功能和权限分配策略，掌握后台管理员的分权和提权的策略；理解后台上传攻击的过程原理；掌握针对后台上传攻击的加固策略，理解木马攻击的过程原理；掌握针对木马攻击的加固策略；掌握该领域内主流web网站数据库安全策略的应用，进而适应相关的职业岗位。

5 结语

WEB网站安全贯穿网站生命周期，且关系网站及网站用户的信息安全。从事网站开发及网站安全维护的人员都必须系统学习相关知识，才能在网站实施过程中确保网站安全。本文通过立体化课程开发方案，将WEB网站常用的安全知识和技术统一在了《WEB网站安全》课程中，有助于高职院校开设相关技术的课程教学，培养web安全领域内的合格人才。

参考文献：

[1]王志华，周序生.多方位WEB网站安全防御系统研究[J].网络安全技术与应用：学术交流，2014（12）：115-116.

[2]柳华.WEB前端安全问题的分析与对策研究[J].中国高新区，2018（01）.

[3]赵龙.校园网服务器管理与维护[J].数码世界，2017（06）.

[4]周波.Web网站安全及关键技术[J].电子技术与软件工程，2018（02）.

[5]李斯.网站开发中数据库安全问题[J].电子技术与软件工程，2017（15）.

项目：本文由郑州铁路职业技术学院2017年度教研项目支持（项目编号2017JKY014）