關(guān)于網(wǎng)絡(luò)安全專業(yè)開展一體化教學(xué)的探討

摘 要：一體化教學(xué)是以職業(yè)能力為培養(yǎng)目標(biāo)，通過典型工作任務(wù)分析，構(gòu)建課程體系，并以具體工作任務(wù)為學(xué)習(xí)載體，按照工作過程和學(xué)習(xí)者自主學(xué)習(xí)要求設(shè)計(jì)和安排教學(xué)活動(dòng)的課程。本文分析了一體化教學(xué)的特征，探討如何在網(wǎng)絡(luò)安全專業(yè)實(shí)施一體化教學(xué)。

關(guān)鍵詞：網(wǎng)絡(luò)安全技術(shù) 一體化教學(xué) 工作任務(wù)

一、一體化課程規(guī)范開發(fā)流程圖（圖）

二、在網(wǎng)絡(luò)安全技術(shù)課程教學(xué)中一體化教學(xué)的具體實(shí)施

1.教師引入工作任務(wù)——中小企業(yè)網(wǎng)絡(luò)的服務(wù)器安全

教師團(tuán)隊(duì)通過現(xiàn)實(shí)工作中企業(yè)經(jīng)常存在的安全問題，經(jīng)過課程開發(fā)專家、教師團(tuán)隊(duì)、企業(yè)專家等探討、精心設(shè)計(jì)，形成具有啟發(fā)性、典型性的行業(yè)工作任務(wù)。

具體工作任務(wù)描述：某公司在網(wǎng)絡(luò)中已設(shè)有防火墻和入侵檢測(cè)系統(tǒng)，可是最近還是發(fā)生了OA辦公系統(tǒng)首頁被惡意改掉的事件，這嚴(yán)重影響了公司的企業(yè)形象。于是老板要求網(wǎng)絡(luò)管理員立即處理這一事件，并要求以后不能再有類似情況發(fā)生。

2.學(xué)生分組查閱資料、思考、討論得出任務(wù)分析

模擬現(xiàn)實(shí)企業(yè)工作情景，教師創(chuàng)建一企業(yè)網(wǎng)站，然后注入攻擊，學(xué)生真實(shí)體驗(yàn)網(wǎng)站首頁如何被惡意攻擊。教師引導(dǎo)學(xué)生利用網(wǎng)絡(luò)資源、小組團(tuán)隊(duì)精神，進(jìn)行思考分析工作任務(wù)分析結(jié)果。通過各小組交流，教師引導(dǎo)得出該攻擊類型。

學(xué)生經(jīng)過小組討論、上網(wǎng)查閱資料，發(fā)現(xiàn)存在上述問題情況有多種：最常見的是服務(wù)器被人利用SQL注入漏洞攻擊，主要原因是Web應(yīng)用程序存在SQL注入漏洞和服務(wù)器系統(tǒng)本身安全性不強(qiáng)，需要對(duì)服務(wù)器系統(tǒng)安全策略、文件權(quán)限、服務(wù)等進(jìn)行安全配置，修改應(yīng)用程序封堵SQL注入漏洞，并做好服務(wù)器的安全監(jiān)視管理工作。存在問題還有很多種：如利用一些服務(wù)、通過端口攻擊等。

3.結(jié)合課本知識(shí)點(diǎn)，引導(dǎo)學(xué)生完成該任務(wù)

（1）什么是SQL注入攻擊？所謂SQL注入式攻擊，就是攻擊者把SQL命令插入到Web表單的輸入域或頁面請(qǐng)求的查詢字符串，欺騙服務(wù)器執(zhí)行惡意的SQL命令。在某些表單中，用戶輸入的內(nèi)容直接用來構(gòu)造（或者影響）動(dòng)態(tài)SQL命令，或作為存儲(chǔ)過程的輸入?yún)?shù)，這類表單特別容易受到SQL注入式攻擊。

（2）SQL注入攻擊的種類有哪些？SQL注入攻擊類型有下面7種，同學(xué)們通過資料查找分析自己電腦是下面哪種攻擊？①?zèng)]有正確過濾轉(zhuǎn)義字符②Incorrect type handling ③數(shù)據(jù)庫服務(wù)器中的漏洞④盲目SQL注入式攻擊⑤條件響應(yīng)⑥條件性差錯(cuò)⑦時(shí)間延誤。

4.學(xué)生完成該任務(wù)——如何防范SQL注入攻擊操作

通過知識(shí)準(zhǔn)備學(xué)習(xí)，學(xué)生嘗試進(jìn)行下面操作，教師在學(xué)生操作過程中給予學(xué)生指導(dǎo)。

（1）過濾非法字符。

①過濾非法字符。

檢查輸入的 SQL 語句的內(nèi)容，刪除'， >， <=， ！， -， +， *， /， |， 空格等敏感字符：

學(xué)生通過資料查詢寫出下面語句？

去空格語句：

去單引號(hào)語句：

去分號(hào)語句：

去等號(hào)語句：

去or語句：

去and語句：

去通配符語句：

②將登錄處理模塊程序改為參數(shù)化SQL語句。

③使用存儲(chǔ)過程寫登錄處理模塊語句。

（2）使用參數(shù)化語句。將登錄處理模塊程序改為參數(shù)化SQL語句。

（3）使用存儲(chǔ)過程。最實(shí)用的方法就是多寫存儲(chǔ)過程。它的作用不再僅僅是大家認(rèn)為的那樣起到提供一個(gè)接口，提高執(zhí)行速度等作用，當(dāng)今系統(tǒng)對(duì)性能和安全的要求已上升到主要位置，不用擔(dān)心過多的建立存儲(chǔ)過程會(huì)給服務(wù)器帶來負(fù)擔(dān)，也不要認(rèn)為書寫存儲(chǔ)過程麻煩。當(dāng)一個(gè)龐大的系統(tǒng)把大量的時(shí)間花在SQL語句的維護(hù)與解析和對(duì)系統(tǒng)安全的防范時(shí)，這種麻煩完全是值得的。最明顯的優(yōu)點(diǎn)是當(dāng)你多建一個(gè)存儲(chǔ)過程，少一句前臺(tái)SQL語句時(shí)，便可兼得提高效率與防止SQL注入式攻擊。

5.學(xué)生填寫任務(wù)報(bào)告，撰寫總結(jié)和心得體會(huì)

0.2

總分

教師簽名：

學(xué)生撰寫任務(wù)評(píng)價(jià)表（表），總結(jié)任務(wù)完成步驟，進(jìn)行小組討論和總結(jié)任務(wù)中的工作表現(xiàn)，提出要求。教師給予評(píng)價(jià)，給學(xué)生進(jìn)行點(diǎn)評(píng)和指導(dǎo)。通過這個(gè)過程，學(xué)生能夠體會(huì)到所學(xué)知識(shí)點(diǎn)在實(shí)際工作中的應(yīng)用，從而激發(fā)學(xué)生學(xué)習(xí)積極性，鍛煉學(xué)生的學(xué)習(xí)能力和動(dòng)手能力，使學(xué)生對(duì)未來工作中出現(xiàn)的上述任務(wù)不再恐懼，提高了學(xué)生的自信心和創(chuàng)造能力。

注意：評(píng)價(jià)分值均為百分制，小數(shù)點(diǎn)后保留一位，總分為整分。

三、小結(jié)

一體化教學(xué)最顯著的特點(diǎn)是“以任務(wù)為主線、教師為引導(dǎo)、學(xué)生為主體”，改變了以往“教師講，學(xué)生聽”被動(dòng)的教學(xué)模式，創(chuàng)造了學(xué)生主動(dòng)參與、自主協(xié)作、探索創(chuàng)新的新型教學(xué)模式。在一體化教學(xué)的具體實(shí)踐中，教師的作用主要是一名向?qū)Ш皖檰?，幫助學(xué)生在獨(dú)立研究的道路上迅速前進(jìn)，引導(dǎo)學(xué)生如何在實(shí)踐中發(fā)現(xiàn)新知識(shí)，掌握新內(nèi)容。學(xué)生作為學(xué)習(xí)的主體，通過獨(dú)立完成任務(wù)把理論與實(shí)踐有機(jī)地結(jié)合起來，不僅提高了理論水平和實(shí)操技能，而且又在教師有目的的引導(dǎo)下，培養(yǎng)了合作、解決問題等綜合能力。同時(shí)，對(duì)教師提出了更高的要求，教師要通過下廠實(shí)踐、行業(yè)專家交流，提高自己的專業(yè)視野，了解行業(yè)發(fā)展要求?？梢哉f，一體化教學(xué)是師生結(jié)合企業(yè)制度共同完成任務(wù)，共同取得進(jìn)步的教學(xué)方法。當(dāng)然，一體化教學(xué)對(duì)教師、教學(xué)場(chǎng)地、學(xué)生等都提出了更高的要求，應(yīng)更進(jìn)一步探討和總結(jié)，大力試用推廣。

（作者單位：廣東省高級(jí)技工學(xué)校）