網(wǎng)絡安全視域下《動態(tài)網(wǎng)站建設》課程模塊優(yōu)化

林南，陳霓

（福建省郵電學校，福建 福州 350008）

0 引言

在人工智能、互聯(lián)網(wǎng)+等戰(zhàn)略背景和當前復雜的國際局勢下，網(wǎng)絡安全形勢日益嚴峻，網(wǎng)絡空間安全已上升為國家戰(zhàn)略，網(wǎng)絡安全技術在維護國家安全、支撐產(chǎn)業(yè)轉(zhuǎn)型、服務社會發(fā)展、保護公眾利益等方面的重要作用愈加凸顯。中共中央在“十四五”發(fā)展規(guī)劃建議中首次把統(tǒng)籌發(fā)展和安全納入指導思想并作出戰(zhàn)略部署，要求把安全發(fā)展貫穿國家發(fā)展各領域和全過程，全面加強網(wǎng)絡安全保障體系和能力建設。新形勢下，對網(wǎng)絡安全產(chǎn)業(yè)鏈人才的需求呈現(xiàn)高速增長態(tài)勢，但市場供給相對疲軟，人才緊缺指數(shù)較高，其中又以網(wǎng)絡安全運維崗位的人才需求占比率最高[1]。

隨著移動辦公、政務上云、智能物聯(lián)等應用的普及，Web網(wǎng)站作為當下移動互聯(lián)網(wǎng)的主要技術載體，其安全性面臨著嚴峻的挑戰(zhàn)。此外APP和各種小程序作為新興的流量入口快速崛起，在提高移動應用便捷性的同時也帶來了更復雜的安全隱患。網(wǎng)站運維與網(wǎng)站開發(fā)作為Web網(wǎng)站生命周期中的兩個重要環(huán)節(jié)，其面臨的安全問題不容忽視。對于網(wǎng)站運維，除對服務器、數(shù)據(jù)庫、應用系統(tǒng)等做好安全配置與漏洞防護外，還需注意虛擬化、容器化、微服務等新型模式帶來的新的安全問題。對于網(wǎng)站開發(fā)，網(wǎng)站代碼漏洞導致的SQL注入、XSS、CSRF、CC等攻擊以及各類新爆出的中間件和開發(fā)框架漏洞等無時無刻不在考驗著Web應用開發(fā)方案的健壯性、靈活性和開發(fā)團隊的快速反應能力。

1 課程現(xiàn)狀

《動態(tài)網(wǎng)站建設》課程作為中職計算機網(wǎng)絡專業(yè)群的專業(yè)核心課程，主要培養(yǎng)對小中型Web網(wǎng)站和應用進行運維和開發(fā)的能力。一方面，它以靜態(tài)網(wǎng)頁設計、程序設計基礎、數(shù)據(jù)庫應用、網(wǎng)絡操作系統(tǒng)等專業(yè)課程為基礎，在專業(yè)課程體系中處于頂端位置，是一門綜合性、實踐性、項目性較強的課程。另一方面，它又作為中高本銜接過程中上述專業(yè)對接高職軟件工程、移動應用開發(fā)等專業(yè)的必備課程，對中高職銜接過程中的知識體系過渡具有承前啟后的重要作用。

目前課程主要的知識體系以LANMP技術棧為主，設置有網(wǎng)站運維和網(wǎng)站開發(fā)兩大模塊，網(wǎng)站運維涉及網(wǎng)站操作系統(tǒng)、應用服務器、數(shù)據(jù)庫以及應用程序的部署與管理，是網(wǎng)站管理員、網(wǎng)站運維工程師等相關崗位的必備職業(yè)技能；網(wǎng)站開發(fā)主要涉及Web網(wǎng)站應用系統(tǒng)的設計與開發(fā)，屬于網(wǎng)站程序員、Web開發(fā)工程師等相關崗位的必備職業(yè)技能。在網(wǎng)絡安全國家戰(zhàn)略的大背景下，網(wǎng)站運維與網(wǎng)站開發(fā)均與網(wǎng)絡安全有著密不可分的關系，然而課程中涉及網(wǎng)站安全的相關知識卻寥寥無幾，無法滿足當下企業(yè)對網(wǎng)站建設相關崗位在網(wǎng)絡安全方面的知識技能需求。

2 解決方案

針對課程存在的問題，實施對《動態(tài)網(wǎng)站建設》課程模塊優(yōu)化，在產(chǎn)教融合、工學結(jié)合的理念下，創(chuàng)新課程網(wǎng)站安全教學模塊。教學內(nèi)容要能體現(xiàn)相關崗位在網(wǎng)站運維與網(wǎng)站開發(fā)的工作過程中所面臨的典型安全問題與處理對策，不僅能反映當前網(wǎng)站安全技術的新知識、新技能、新規(guī)范，而且能與課程原有的內(nèi)容體系相互銜接。

“1+X證書”制度在19年國務院印發(fā)的《國家職業(yè)教育改革實施方案》中被首次提出，在職業(yè)院校啟動“學歷證書+若干職業(yè)技能等級證書”制度試點工作，鼓勵學生在取得學歷證書“1”之外，同時取得其它職業(yè)等級證書“X”?！?+X證書”制度用以解決多年來存在的產(chǎn)教融合、校企合作、工學結(jié)合的問題，從而提高技能型人才培養(yǎng)的靈活性、適應性、針對性，真正意義上實現(xiàn)職業(yè)教育服務社會經(jīng)濟發(fā)展的本質(zhì)要求。

“網(wǎng)絡安全運維”作為“1+X證書”制度下網(wǎng)絡安全方向的職業(yè)技能等級證書，重點培養(yǎng)與評價面向企業(yè)、政府等單位的信息安全部門中實施安全運維相關工作崗位的人才，證書分為初、中、高三個等級，主要包括安全策略部署、系統(tǒng)安全管理、系統(tǒng)安全加固、系統(tǒng)滲透測試、安全項目集成、安全方案咨詢、安全風險評估等方面的內(nèi)容，共計13大模塊、131個技能點，全面覆蓋了網(wǎng)絡安全運維的新技術、新技能、新規(guī)范[2]。

“網(wǎng)絡安全運維”作為1+X證書制度下安全運維產(chǎn)業(yè)人才培養(yǎng)與評價的職業(yè)技能等級證書，具備一定的先進性，符合課程網(wǎng)站安全模塊優(yōu)化的要求。本研究將基于“網(wǎng)絡安全運維”職業(yè)技能等級證書，抽取證書中與網(wǎng)站安全方向相關的知識點和技能點，在教學內(nèi)容、教學模式、評價模式等方面融入證書相關要素，以實踐網(wǎng)絡安全教學在課程中的貫穿與融合。優(yōu)化后課程體系不僅能傳授網(wǎng)站安全方面的知識技能，也將鍛煉學生在滲透測試、漏洞分析等方面的思考與分析能力，樹立網(wǎng)站安全意識，培養(yǎng)團隊協(xié)作、自主學習、自主探究等職業(yè)能力與素養(yǎng)[3]。

3 優(yōu)化過程

3.1 教學內(nèi)容優(yōu)化

參考1+X“網(wǎng)絡安全運維”技能等級證書標準，在原有課程體系的基礎上新增網(wǎng)站安全教學模塊，考慮到網(wǎng)站運維與網(wǎng)站開發(fā)在工作過程中所面臨安全問題的差異性，將教學模塊再劃分為網(wǎng)站運維安全和網(wǎng)站開發(fā)安全兩個教學情境[4-5]，共計20課時。

表1 為優(yōu)化后的課程模塊

篩選出證書標準中與網(wǎng)站安全相關的技能點，重點抽取與課程原有知識體系LANMP技術棧相關度較高的內(nèi)容，基于工作過程導向以項目引領、任務驅(qū)動的方式形成教學情境下的項目任務[6]，表2顯示了網(wǎng)站安全模塊下網(wǎng)站運維安全和網(wǎng)站開發(fā)安全兩大情境下的項目任務、融入的證書標準、對應證書等級等。其中，網(wǎng)站運維安全設置了5個任務，融入8個證書技能點，重點包括Linux操作系統(tǒng)、Apache應用服務器、MySQL數(shù)據(jù)庫等的安全配置以及網(wǎng)站漏洞的驗證及加固，主要融入初中級證書的相關內(nèi)容。網(wǎng)站開發(fā)安全設置5個任務，融入5個證書技能點，主要包含Web滲透測試及工具、Web中間件安全、Web應用程序安全、PHP代碼審計等方面，主要融入中高級證書的相關內(nèi)容。

表2 網(wǎng)站安全模塊學習情境描述

3.2 教學模式優(yōu)化

1+X職業(yè)技能等級證書的最終目的在于提升學生的實際工作能力，使其技能與素養(yǎng)能與企業(yè)當前的需求相接軌，這與基于工作過程導向的教學模式的宗旨相吻合。使用工作過程導向?qū)嵤┙虒W更有利于將證書的技能點內(nèi)化到實際工作過程中，有利于培養(yǎng)學生對網(wǎng)站安全知識技能的綜合運用，因此網(wǎng)站安全模塊采用基于工作過程導向的教學模式進行教學設計，借鑒工作過程導向的六步教學法，將教學過程劃分為情境導入、任務分析、任務實施與測試、任務評價四個環(huán)節(jié)。

表3展示了“網(wǎng)站開發(fā)安全”情境中任務一:“網(wǎng)站安全滲透測試工具”的簡化教學設計，重點突出基于工作過程導向的教學環(huán)節(jié)，采用項目引領、任務驅(qū)動的方式，綜合運用職業(yè)角色扮演、團隊溝通協(xié)作、虛擬仿真實驗等多種教學手段實施混合式教學，呈現(xiàn)出項目任務的典型工作過程，不僅鍛煉學生的職業(yè)技能，同時培養(yǎng)學生的職業(yè)素養(yǎng)。在本案例中，以企業(yè)網(wǎng)站安全滲透測試項目為情境，學生以網(wǎng)站運維工程師的角色融入其中，通過工作組對滲透方案的討論與撰寫，進而實施信息收集、漏洞掃描、漏洞利用、權(quán)限測試等真實的網(wǎng)站滲透測試流程，使用Metasploit發(fā)現(xiàn)并利用網(wǎng)站的PHP文件包含漏洞并最終獲得系統(tǒng)權(quán)限，從而讓學生了解網(wǎng)站滲透測試的總體思路和工作流程，掌握滲透測試工具Metasploit的使用。

表3 “Web安全滲透測試工具使用”簡化版教學設計

圖1 Metasploit網(wǎng)站滲透測試工作過程關鍵步驟

3.3 評價模式優(yōu)化

采用基于工作過程導向的評價模式，如表4所示的是網(wǎng)站運維安全任務五的任務評價表。在評價指標上，使用職業(yè)技能評價與職業(yè)素養(yǎng)評價相結(jié)合的方式，其中職業(yè)技能評價重點針對學生項目完成的具體情況，依據(jù)工作過程將其評價指標進行細分，屬于結(jié)果性評價；職業(yè)素養(yǎng)評價重點針對學生項目完成過程中的職業(yè)表現(xiàn)，依據(jù)職業(yè)能力評價指標進行細分，屬于過程性評價，兩者綜合能真實反映出學生對證書技能點的掌握水平和相應的職業(yè)水平。在評價方式上，參考企業(yè)工作考核方式，使用員工評價、工作小組評價、部門評價的多元化評價方式，從而調(diào)動學生參與評價的積極性，提高學生對評價結(jié)果的重視度。

表4 “Web安全滲透測試工具使用”任務評價表

4 教學分析

將優(yōu)化后的《動態(tài)網(wǎng)站建設》課程進行教學實踐。截至目前，已覆蓋我校計算機網(wǎng)絡專業(yè)群19級的4個專業(yè)教學班。圖2顯示了課程期末總評的統(tǒng)計結(jié)果。從左圖的“專業(yè)分數(shù)比對表”可以看出，動態(tài)網(wǎng)站建設課程在不同模塊和不同專業(yè)的得分都較平均，均值在80分以上，說明優(yōu)化后的“網(wǎng)站安全”教學模塊的總體難度適宜且具備普適性。從右圖的“網(wǎng)站安全模塊成績比對表”可以看出，模塊中各個子任務的得分也較為合理與均衡，得分都在70分以上。綜上所述，在網(wǎng)絡安全視域下基于1+X“網(wǎng)絡安全運維”職業(yè)技能等級證書對《動態(tài)網(wǎng)站建設》課程的網(wǎng)站安全教學模塊進行優(yōu)化的方式是可行的、有效的。

圖2 教學效果比對圖

5 結(jié)語

在信息與網(wǎng)絡安全形勢日趨嚴峻的今天，網(wǎng)絡安全已成為許多計算機相關崗位的必備知識，因此在職業(yè)教育的計算機專業(yè)核心課程中融入安全教學有著重要意義。另一方面，1+X職業(yè)技能等級證書作為職業(yè)技能水平評價的新標桿，是課程模塊優(yōu)化的有效途徑。本研究不僅探索和實踐了《動態(tài)網(wǎng)站建設》網(wǎng)站安全教學模塊建設，而且為職業(yè)院校計算機類專業(yè)群相關課程融入網(wǎng)絡安全教學提供了思路與案例。