林南，陈霓

（福建省邮电学校，福建 福州 350008）

0 引言

在人工智能、互联网+等战略背景和当前复杂的国际局势下，网络安全形势日益严峻，网络空间安全已上升为国家战略，网络安全技术在维护国家安全、支撑产业转型、服务社会发展、保护公众利益等方面的重要作用愈加凸显。中共中央在“十四五”发展规划建议中首次把统筹发展和安全纳入指导思想并作出战略部署，要求把安全发展贯穿国家发展各领域和全过程，全面加强网络安全保障体系和能力建设。新形势下，对网络安全产业链人才的需求呈现高速增长态势，但市场供给相对疲软，人才紧缺指数较高，其中又以网络安全运维岗位的人才需求占比率最高[1]。

随着移动办公、政务上云、智能物联等应用的普及，Web网站作为当下移动互联网的主要技术载体，其安全性面临着严峻的挑战。此外APP和各种小程序作为新兴的流量入口快速崛起，在提高移动应用便捷性的同时也带来了更复杂的安全隐患。网站运维与网站开发作为Web网站生命周期中的两个重要环节，其面临的安全问题不容忽视。对于网站运维，除对服务器、数据库、应用系统等做好安全配置与漏洞防护外，还需注意虚拟化、容器化、微服务等新型模式带来的新的安全问题。对于网站开发，网站代码漏洞导致的SQL注入、XSS、CSRF、CC等攻击以及各类新爆出的中间件和开发框架漏洞等无时无刻不在考验着Web应用开发方案的健壮性、灵活性和开发团队的快速反应能力。

1 课程现状

《动态网站建设》课程作为中职计算机网络专业群的专业核心课程，主要培养对小中型Web网站和应用进行运维和开发的能力。一方面，它以静态网页设计、程序设计基础、数据库应用、网络操作系统等专业课程为基础，在专业课程体系中处于顶端位置，是一门综合性、实践性、项目性较强的课程。另一方面，它又作为中高本衔接过程中上述专业对接高职软件工程、移动应用开发等专业的必备课程，对中高职衔接过程中的知识体系过渡具有承前启后的重要作用。

目前课程主要的知识体系以LANMP技术栈为主，设置有网站运维和网站开发两大模块，网站运维涉及网站操作系统、应用服务器、数据库以及应用程序的部署与管理，是网站管理员、网站运维工程师等相关岗位的必备职业技能；网站开发主要涉及Web网站应用系统的设计与开发，属于网站程序员、Web开发工程师等相关岗位的必备职业技能。在网络安全国家战略的大背景下，网站运维与网站开发均与网络安全有着密不可分的关系，然而课程中涉及网站安全的相关知识却寥寥无几，无法满足当下企业对网站建设相关岗位在网络安全方面的知识技能需求。

2 解决方案

针对课程存在的问题，实施对《动态网站建设》课程模块优化，在产教融合、工学结合的理念下，创新课程网站安全教学模块。教学内容要能体现相关岗位在网站运维与网站开发的工作过程中所面临的典型安全问题与处理对策，不仅能反映当前网站安全技术的新知识、新技能、新规范，而且能与课程原有的内容体系相互衔接。

“1+X证书”制度在19年国务院印发的《国家职业教育改革实施方案》中被首次提出，在职业院校启动“学历证书+若干职业技能等级证书”制度试点工作，鼓励学生在取得学历证书“1”之外，同时取得其它职业等级证书“X”。“1+X证书”制度用以解决多年来存在的产教融合、校企合作、工学结合的问题，从而提高技能型人才培养的灵活性、适应性、针对性，真正意义上实现职业教育服务社会经济发展的本质要求。

“网络安全运维”作为“1+X证书”制度下网络安全方向的职业技能等级证书，重点培养与评价面向企业、政府等单位的信息安全部门中实施安全运维相关工作岗位的人才，证书分为初、中、高三个等级，主要包括安全策略部署、系统安全管理、系统安全加固、系统渗透测试、安全项目集成、安全方案咨询、安全风险评估等方面的内容，共计13大模块、131个技能点，全面覆盖了网络安全运维的新技术、新技能、新规范[2]。

“网络安全运维”作为1+X证书制度下安全运维产业人才培养与评价的职业技能等级证书，具备一定的先进性，符合课程网站安全模块优化的要求。本研究将基于“网络安全运维”职业技能等级证书，抽取证书中与网站安全方向相关的知识点和技能点，在教学内容、教学模式、评价模式等方面融入证书相关要素，以实践网络安全教学在课程中的贯穿与融合。优化后课程体系不仅能传授网站安全方面的知识技能，也将锻炼学生在渗透测试、漏洞分析等方面的思考与分析能力，树立网站安全意识，培养团队协作、自主学习、自主探究等职业能力与素养[3]。

3 优化过程

3.1 教学内容优化

参考1+X“网络安全运维”技能等级证书标准，在原有课程体系的基础上新增网站安全教学模块，考虑到网站运维与网站开发在工作过程中所面临安全问题的差异性，将教学模块再划分为网站运维安全和网站开发安全两个教学情境[4-5]，共计20课时。

表1 为优化后的课程模块

筛选出证书标准中与网站安全相关的技能点，重点抽取与课程原有知识体系LANMP技术栈相关度较高的内容，基于工作过程导向以项目引领、任务驱动的方式形成教学情境下的项目任务[6]，表2显示了网站安全模块下网站运维安全和网站开发安全两大情境下的项目任务、融入的证书标准、对应证书等级等。其中，网站运维安全设置了5个任务，融入8个证书技能点，重点包括Linux操作系统、Apache应用服务器、MySQL数据库等的安全配置以及网站漏洞的验证及加固，主要融入初中级证书的相关内容。网站开发安全设置5个任务，融入5个证书技能点，主要包含Web渗透测试及工具、Web中间件安全、Web应用程序安全、PHP代码审计等方面，主要融入中高级证书的相关内容。

表2 网站安全模块学习情境描述

3.2 教学模式优化

1+X职业技能等级证书的最终目的在于提升学生的实际工作能力，使其技能与素养能与企业当前的需求相接轨，这与基于工作过程导向的教学模式的宗旨相吻合。使用工作过程导向实施教学更有利于将证书的技能点内化到实际工作过程中，有利于培养学生对网站安全知识技能的综合运用，因此网站安全模块采用基于工作过程导向的教学模式进行教学设计，借鉴工作过程导向的六步教学法，将教学过程划分为情境导入、任务分析、任务实施与测试、任务评价四个环节。

表3展示了“网站开发安全”情境中任务一:“网站安全渗透测试工具”的简化教学设计，重点突出基于工作过程导向的教学环节，采用项目引领、任务驱动的方式，综合运用职业角色扮演、团队沟通协作、虚拟仿真实验等多种教学手段实施混合式教学，呈现出项目任务的典型工作过程，不仅锻炼学生的职业技能，同时培养学生的职业素养。在本案例中，以企业网站安全渗透测试项目为情境，学生以网站运维工程师的角色融入其中，通过工作组对渗透方案的讨论与撰写，进而实施信息收集、漏洞扫描、漏洞利用、权限测试等真实的网站渗透测试流程，使用Metasploit发现并利用网站的PHP文件包含漏洞并最终获得系统权限，从而让学生了解网站渗透测试的总体思路和工作流程，掌握渗透测试工具Metasploit的使用。

表3 “Web安全渗透测试工具使用”简化版教学设计

图1 Metasploit网站渗透测试工作过程关键步骤

3.3 评价模式优化

采用基于工作过程导向的评价模式，如表4所示的是网站运维安全任务五的任务评价表。在评价指标上，使用职业技能评价与职业素养评价相结合的方式，其中职业技能评价重点针对学生项目完成的具体情况，依据工作过程将其评价指标进行细分，属于结果性评价；职业素养评价重点针对学生项目完成过程中的职业表现，依据职业能力评价指标进行细分，属于过程性评价，两者综合能真实反映出学生对证书技能点的掌握水平和相应的职业水平。在评价方式上，参考企业工作考核方式，使用员工评价、工作小组评价、部门评价的多元化评价方式，从而调动学生参与评价的积极性，提高学生对评价结果的重视度。

表4 “Web安全渗透测试工具使用”任务评价表

4 教学分析

将优化后的《动态网站建设》课程进行教学实践。截至目前，已覆盖我校计算机网络专业群19级的4个专业教学班。图2显示了课程期末总评的统计结果。从左图的“专业分数比对表”可以看出，动态网站建设课程在不同模块和不同专业的得分都较平均，均值在80分以上，说明优化后的“网站安全”教学模块的总体难度适宜且具备普适性。从右图的“网站安全模块成绩比对表”可以看出，模块中各个子任务的得分也较为合理与均衡，得分都在70分以上。综上所述，在网络安全视域下基于1+X“网络安全运维”职业技能等级证书对《动态网站建设》课程的网站安全教学模块进行优化的方式是可行的、有效的。

图2 教学效果比对图

5 结语

在信息与网络安全形势日趋严峻的今天，网络安全已成为许多计算机相关岗位的必备知识，因此在职业教育的计算机专业核心课程中融入安全教学有着重要意义。另一方面，1+X职业技能等级证书作为职业技能水平评价的新标杆，是课程模块优化的有效途径。本研究不仅探索和实践了《动态网站建设》网站安全教学模块建设，而且为职业院校计算机类专业群相关课程融入网络安全教学提供了思路与案例。