张红瑞 ,张玉松 ,吕延岗 ,田晓玲

(石家庄职业技术学院a.信息工程系;b.教务处;c.软件工程系,河北 石家庄 050081)

0 引言

2019年,《国家职业教育改革实施方案》提出在职业院校、应用型本科高校启动“学历证书+若干职业技能等级证书”制度(以下称“1+X 证书制度”)试点工作[1].教育部先后组织遴选了4批次共447种“X”证书,有5 500余所院校参与了1+X 证书制度的试点工作,覆盖了中职、高职(专科)和应用型本科等不同类型的院校[2].通过1+X 证书制度,将行业企业岗位的工作任务和职业技能要求引入到了职业院校的人才培养环节,对提高人才培养质量,促进教育教学改革有重要的指导作用.《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》指出,要加强网络安全保护,加强网络安全宣传教育和人才培养[3].网络安全产业的发展需求与人才供给已经形成了结构性短缺的矛盾[4].如何做好“书证融通”工作,培养一大批素质好、水平高并且符合网络安全行业企业发展需要的高素质技术技能人才,是高职院校网络安全专业教学过程中必须面对和亟需解决的问题.本文以网络安全相关的“X”证书的标准要求为依据,研究网络安全攻防实验教学改革,以期为培养高质量的网络安全专业人才提供借鉴.

1 网络安全“X”证书标准分析

在国家职业技能等级证书信息管理服务平台以“网络安全”为关键词进行证书信息搜索,共有8个培训评价组织,包括中科软科技股份有限公司、三六零数字安全科技集团有限公司、深信服科技股份有限公司、北京天融信网络安全技术有限公司、奇安信科技集团股份有限公司、启明星辰信息技术集团股份有限公司、北京神州绿盟科技有限公司等7家行业企业及上海海盾安全技术培训中心等,开发了网络安全运维、网络安全评估、网络安全运营平台管理、网络安全渗透测试、网络安全应急响应、网络安全风险管理、网络安全服务、企业网络安全防护等多种“X”证书.各培训评价组织根据教育部发布的《职业技能等级标准开发指南(试行)》制定了相应的“X”证书职业等级标准,分为初级、中级和高级三种,分别对应中职、高职(专科)和本科三个不同层次.本文主要针对高职(专科)对应的中级证书标准进行讨论.

1.1 专业核心课程特征分析

教育部在《职业教育专业简介》(2022年修订)中将高职(专科)的信息安全技术应用专业培养目标定位为:能够从事网络安全管理、网络安全运维等工作的高素质技术技能人才.其对应的“X”证书包括Web安全测试、网络安全运维、网络安全评估等[5],核心课程包括操作系统安全、信息安全产品配置与应用、Web应用安全与防护、信息安全风险评估等.信息安全技术应用专业的相关技术发展具有“快、广、多、高”等特点,主要体现在4个方面.(1)行业发展快.各种系统和应用漏洞、病毒木马层出不穷,安全事件时有发生,行业知识和内容持续更新.(2)知识传播广.各类安全知识和技术可以在很短的时间内通过互联网传播到世界的各个角落.(3)方法变化多.漏洞利用、注入攻击、零日攻击等各种攻击手段和方法不断发生变化.(4)实践要求高.新漏洞、新技术、新攻击手段的出现都要求在模拟或真实场景下完成攻防演练或实践.

1.2 “X”证书标准词云图分析

证书标准蕴含了行业企业需求的典型工作任务和职业技能要求[6].将网络安全中级“X”证书的工作任务和职业技能要求等内容进行文本提取和分解,使用大数据技术将其中的关键词绘制成词云图进行分析,以期为高职网络安全攻防实验教学改革指明方向.

首先,提取“X”证书标准中的工作任务和技能要求.在国家职业技能等级证书信息管理服务平台上的等级标准栏目下载网络安全所有相关的8 项“X”证书标准,按行提取中级证书标准的工作任务和职业技能要求,将相应的编号进行删减,保留文本内容,共提取到工作任务条目86项、职业技能要求条目389项,将工作任务和技能要求条目合并后另存为UTF-8格式文本.

其次,使用Python进行文本分词并过滤.分词技术是指利用计算机算法对文本内容按照一定规则进行词语切分,从而识别出文本中的重点内容和关键词语的技术[7].本文采用Python语言自带的jieba分词库精确模式对网络安全“X”证书(中级)标准文本进行分词,并对分词结果进行内容过滤,排除“根据、进行、能够、的、和、对”等非关键词内容.

再次,使用Python 对分词后的文本进行大数据统计分析并绘制词云图,使用可视图像展示网络安全“X”证书(中级)标准文本的重要关键词.采用Python语言自带的wordcloud库,生成和显示词云图,将分词结果的前200个关键词进行频次统计并自动配置字号大小,出现的频次越高,字号越大.绘制的网络安全“X”证书(中级)标准文本词云图见图1.

图1 网络安全相关“X”证书(中级)标准文本词云图

从图1可以看出,网络安全“X”证书(中级)标准文本词云图中的重要关键词包括安全、漏洞、需求、配置、加固、使用和验证等,其中,安全、漏洞、需求为出现频率较高的关键词.安全漏洞是指信息系统在设计、编码、配置、运行和管理过程中出现的错误或缺陷,包括系统漏洞、应用漏洞、网络漏洞、硬件漏洞等.中国信息安全测评中心在其发布的《2022上半年网络安全漏洞态势观察》报告中指出,网络安全的高危漏洞数量不断增长,漏洞利用和实战化趋势明显,漏洞威胁严重并影响持久[8].因此,网络安全漏洞的分析、验证与加固是网络攻防实验的重中之重,本文以中间件安全漏洞的攻击与修复为例,通过现有的实践环境重构和再现高度仿真的网络安全攻防实验,以提高学生攻防技术水平.

2 中间件安全漏洞的攻击与修复

笔者所在单位选择了中科软科技股份有限公司开发的网络安全运维“X”证书(中级)作为信息安全技术应用专业对应的职业技能证书,其对应的专业课程包括网络攻击与防御、Web应用与安全防护、数据库安全、操作系统安全等.网络安全运维“X”证书(中级)等级标准要求的工作领域包括网络安全设备部署调试、操作系统安全加固、系统安全渗透测试、Python安全应用、数据库安全配置与管理等5个方面.在操作系统安全加固工作领域中设计了Windows操作系统、Linux操作系统、中间件漏洞验证及加固等3种不同类型的典型工作任务[9].本文以网络安全运维“X”证书要求的CVE-2017-12617中间件安全漏洞为例进行分析,安全漏洞的利用、修复过程见图2.首先,根据漏洞编号在CVE平台(国际通用漏洞披露平台)/CNVD 平台(国家信息安全漏洞共享平台)查询漏洞的描述、原因及修复方案;其次,部署VMware平台和KALI攻击机,根据漏洞所需的系统和软件模拟靶机环境并进行漏洞探测;再次,利用工具/方法攻击漏洞并执行相关命令,漏洞验证完成后,修复漏洞;最后,将漏洞攻击及修复方案与CVE/CNVD 平台提供的漏洞原理进行对比分析.

图2 安全漏洞的利用及修复过程示意图

2.1 CVE-2017-12617漏洞分析

在CVE 或CNVD 平台按照漏洞编号CVE-2017-12617或CNVD-2017-27472进行漏洞定位并查询漏洞产生的原因.当Tomcat运行在Windows操作系统且启用HTTP PUT 请求方法时,攻击者可以通过构造或修改攻击请求数据包向服务器上传JSP文件,当JSP文件中的恶意代码被服务器执行后将导致服务器上的数据泄露或权限获取,存在高安全风险.如果Tomcat配置了默认的servlet,其参数readonly设置为false或者参数readonly设置启用Web DAV servlet false,则此配置将允许任何未经身份验证的用户上传文件,包括9.0.0.M1到9.0.0,8.5.0到8.5.22,8.0.0.RC1到8.0.46及7.0.0到7.0.81等版本都包含远程执行代码安全漏洞.

2.2 CVE-2017-12617漏洞利用

首先,搭建漏洞测试环境.在VMware Workstation平台创建靶机Windows 2008,然后在靶机上安装JDK 和XAMPP ControlPanel.配置靶机IP地址为192.168.1.3,子网掩码为255.255.255.0,启动并验证Tomcat 服务是否正常,测试访问http://192.168.1.3:8080是否正常.

其次,利用KALI进行漏洞探测.在VMware Workstation平台创建攻击机KALI系统,配置IP地址为192.168.1.10,子网掩码为255.255.255.0.使用nmap-n-T5-s V 192.168.1.3命令扫描靶机服务器版本信息,发现靶机Tomcat服务的8009和8080 端口开启.使用nikto-h 192.168.1.3:8080命令对靶机服务器进行漏洞扫描,发现OSVDB-397和OSVDB-5646 安全漏洞,靶机服务的HTTP method允许客户端PUT 和DELETE 文件到靶机.

再次,拦截并修改数据包.设置攻击机Firefox浏览器本地代理地址为127.0.0.1,端口为8080.启动Burpsuite工具,设置Proxy为本地代理地址并开启拦截抓包.当Firefox 浏览器访问靶机地址http://192.168.1.3:8080时,使用Burpsuite拦截数据包并将GET 参数修改为PUT,填写上传文件的相关信息,点击Forward,查看返回的数据包状态.如状态为201,说明文件上传成功.

最后,利用漏洞执行命令.在上传的文件访问地址后边加上要执行的命令,如http://192.168.1.3:8080/test.jsp? pwd=023&cmd=whoami,就可以看到远程命令成功执行.

2.3 CVE-2017-12617漏洞修复

如果修复该漏洞,可以在靶机上打开Tomcat服务的web.xml文件,找到＜servlet＞……＜/servlet＞所在位置,将readonly 参数部分的字段false修改为true.重启Tomcat服务,再次访问http://192.168.1.3:8080,使用Burpsuite抓包并修改上传恶意文件,再查看返回的数据包状态,显示403错误,说明文件上传失败,漏洞修复成功.

网络安全运维“X”证书中共设计了6个涉及到中间件的安全漏洞,包括CVE-2017-9791,CVE-2017-12617,CVE-2017-15715,CVE-2018-12613等,涉及到系统配置、远程代码执行和JAVA 序列化漏洞等内容.2021年,CVE-2021-44228(Apache Log4j 2)安全漏洞因其攻击难度低、利用工具多、影响系统广等特点,给众多中间件的服务安全带来了深远影响.中间件程序作为在系统软件和不同应用程序之间提供合作通信、资源共享和数据交换等服务功能的类型软件,应按照最小权限原则进行合理配置,尽可能关闭存在安全隐患的功能和服务.

3 课证融合育人的实践路径

为推进1+X 证书与人才培养过程的深度融合,可以将证书标准要求充分融入到课程体系、实验教学和考核评价等环节,推进课证融合育人工作,既有利于提升学生技术技能水平,又可为行业企业提供能力识别的依据[10],降低企业人力资源的筛选和培养成本.

(1)融合证书标准,重构课程教学体系

根据网络安全运维“X”证书标准积极开展课程标准对接,重新修(制)订信息安全技术应用专业人才培养方案,在教学中增设“X”证书模块课程4门,包含漏洞扫描、漏洞利用、后门管理、密码破解、Python、数据库安全管理、数据库访问控制、Windows操作系统及服务漏洞、Linux服务漏洞、中间件服务漏洞等证书要求的技能培训内容和相关理论知识,重构课程教学体系.在信息安全技术应用专业教学过程中,按照由易到难、分级递进的原则,将“X”证书的职业技能要求分学年、学期融入到模块课程中.对人才培养方案没有覆盖到的工作任务,充分利用现有的网络课程资源,采用“内容自学+教师指导+考前集训”的方式完成.鼓励相关专业的学生积极参加“X”证书考试,并将获得的证书根据人才培养方案置换为相应学分或折合成课程成绩.

(2)分析安全漏洞,强化实验攻防演练网络安全的关键在于攻击与防御的对抗能够识别和处理系统的风险部位和薄弱环节[11].由于网络安全漏洞持续更新并不断变化,这就要求职业技能等级标准能够及时更新或定期修订,而且要加大培养学生标准内容的自主学习能力和自我提升能力,使他们能够在CVE/CNVD 平台通过编码快速地找到漏洞描述、修补信息和解决方案,能够学习行业企业发布的安全公告和漏洞研究报告,并进行安全攻防演练实验.通过实验室安全沙盒平台或VMware平台搭建可管控、可攻防、可重复的网络靶场环境,在网络靶场模拟真实环境中的攻击行为[12].通过在VMware平台上添加KALI攻击机和虚拟靶机镜像的方法,可以快速完成攻防实验环境部署,实现网络安全漏洞和实验项目及时更新.要求学生在实验过程中采用“过程录屏+课程报告”的形式提交实验结果,以强化其实践动手能力.鼓励学生利用开源平台的任务和安全漏洞热点来设计题目[13],不断补充、完善和强化“X”证书要求的技能训练内容.

4 结语

本文以高职院校“书证融通”的实验教学改革为切入点,对网络安全相关“X”证书的职业技能要求进行了大数据分析,针对核心关键词,结合证书技能要求讨论了中间件安全漏洞的复现、利用和修复方法.将网络安全运维“X”证书的职业等级标准用来指导信息安全应用技术的专业建设,既可以利用标准重构专业人才培养方案,又为专业实验教学提供岗位典型工作任务和技能要求,可以提高高职院校网络安全相关专业学生的技术技能水平和人才培养质量.