1+X證書視域下高職網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)教學(xué)探索

張紅瑞 ,張玉松 ,呂延崗 ,田曉玲

(石家莊職業(yè)技術(shù)學(xué)院a.信息工程系;b.教務(wù)處;c.軟件工程系,河北 石家莊 050081)

0 引言

2019年,《國(guó)家職業(yè)教育改革實(shí)施方案》提出在職業(yè)院校、應(yīng)用型本科高校啟動(dòng)“學(xué)歷證書+若干職業(yè)技能等級(jí)證書”制度(以下稱“1+X 證書制度”)試點(diǎn)工作[1].教育部先后組織遴選了4批次共447種“X”證書,有5 500余所院校參與了1+X 證書制度的試點(diǎn)工作,覆蓋了中職、高職(專科)和應(yīng)用型本科等不同類型的院校[2].通過(guò)1+X 證書制度,將行業(yè)企業(yè)崗位的工作任務(wù)和職業(yè)技能要求引入到了職業(yè)院校的人才培養(yǎng)環(huán)節(jié),對(duì)提高人才培養(yǎng)質(zhì)量,促進(jìn)教育教學(xué)改革有重要的指導(dǎo)作用.《中華人民共和國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》指出,要加強(qiáng)網(wǎng)絡(luò)安全保護(hù),加強(qiáng)網(wǎng)絡(luò)安全宣傳教育和人才培養(yǎng)[3].網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展需求與人才供給已經(jīng)形成了結(jié)構(gòu)性短缺的矛盾[4].如何做好“書證融通”工作,培養(yǎng)一大批素質(zhì)好、水平高并且符合網(wǎng)絡(luò)安全行業(yè)企業(yè)發(fā)展需要的高素質(zhì)技術(shù)技能人才,是高職院校網(wǎng)絡(luò)安全專業(yè)教學(xué)過(guò)程中必須面對(duì)和亟需解決的問(wèn)題.本文以網(wǎng)絡(luò)安全相關(guān)的“X”證書的標(biāo)準(zhǔn)要求為依據(jù),研究網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)教學(xué)改革,以期為培養(yǎng)高質(zhì)量的網(wǎng)絡(luò)安全專業(yè)人才提供借鑒.

1 網(wǎng)絡(luò)安全“X”證書標(biāo)準(zhǔn)分析

在國(guó)家職業(yè)技能等級(jí)證書信息管理服務(wù)平臺(tái)以“網(wǎng)絡(luò)安全”為關(guān)鍵詞進(jìn)行證書信息搜索,共有8個(gè)培訓(xùn)評(píng)價(jià)組織,包括中科軟科技股份有限公司、三六零數(shù)字安全科技集團(tuán)有限公司、深信服科技股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、奇安信科技集團(tuán)股份有限公司、啟明星辰信息技術(shù)集團(tuán)股份有限公司、北京神州綠盟科技有限公司等7家行業(yè)企業(yè)及上海海盾安全技術(shù)培訓(xùn)中心等,開發(fā)了網(wǎng)絡(luò)安全運(yùn)維、網(wǎng)絡(luò)安全評(píng)估、網(wǎng)絡(luò)安全運(yùn)營(yíng)平臺(tái)管理、網(wǎng)絡(luò)安全滲透測(cè)試、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)安全服務(wù)、企業(yè)網(wǎng)絡(luò)安全防護(hù)等多種“X”證書.各培訓(xùn)評(píng)價(jià)組織根據(jù)教育部發(fā)布的《職業(yè)技能等級(jí)標(biāo)準(zhǔn)開發(fā)指南(試行)》制定了相應(yīng)的“X”證書職業(yè)等級(jí)標(biāo)準(zhǔn),分為初級(jí)、中級(jí)和高級(jí)三種,分別對(duì)應(yīng)中職、高職(專科)和本科三個(gè)不同層次.本文主要針對(duì)高職(?？?對(duì)應(yīng)的中級(jí)證書標(biāo)準(zhǔn)進(jìn)行討論.

1.1 專業(yè)核心課程特征分析

教育部在《職業(yè)教育專業(yè)簡(jiǎn)介》(2022年修訂)中將高職(專科)的信息安全技術(shù)應(yīng)用專業(yè)培養(yǎng)目標(biāo)定位為:能夠從事網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全運(yùn)維等工作的高素質(zhì)技術(shù)技能人才.其對(duì)應(yīng)的“X”證書包括Web安全測(cè)試、網(wǎng)絡(luò)安全運(yùn)維、網(wǎng)絡(luò)安全評(píng)估等[5],核心課程包括操作系統(tǒng)安全、信息安全產(chǎn)品配置與應(yīng)用、Web應(yīng)用安全與防護(hù)、信息安全風(fēng)險(xiǎn)評(píng)估等.信息安全技術(shù)應(yīng)用專業(yè)的相關(guān)技術(shù)發(fā)展具有“快、廣、多、高”等特點(diǎn),主要體現(xiàn)在4個(gè)方面.(1)行業(yè)發(fā)展快.各種系統(tǒng)和應(yīng)用漏洞、病毒木馬層出不窮,安全事件時(shí)有發(fā)生,行業(yè)知識(shí)和內(nèi)容持續(xù)更新.(2)知識(shí)傳播廣.各類安全知識(shí)和技術(shù)可以在很短的時(shí)間內(nèi)通過(guò)互聯(lián)網(wǎng)傳播到世界的各個(gè)角落.(3)方法變化多.漏洞利用、注入攻擊、零日攻擊等各種攻擊手段和方法不斷發(fā)生變化.(4)實(shí)踐要求高.新漏洞、新技術(shù)、新攻擊手段的出現(xiàn)都要求在模擬或真實(shí)場(chǎng)景下完成攻防演練或?qū)嵺`.

1.2 “X”證書標(biāo)準(zhǔn)詞云圖分析

證書標(biāo)準(zhǔn)蘊(yùn)含了行業(yè)企業(yè)需求的典型工作任務(wù)和職業(yè)技能要求[6].將網(wǎng)絡(luò)安全中級(jí)“X”證書的工作任務(wù)和職業(yè)技能要求等內(nèi)容進(jìn)行文本提取和分解,使用大數(shù)據(jù)技術(shù)將其中的關(guān)鍵詞繪制成詞云圖進(jìn)行分析,以期為高職網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)教學(xué)改革指明方向.

首先,提取“X”證書標(biāo)準(zhǔn)中的工作任務(wù)和技能要求.在國(guó)家職業(yè)技能等級(jí)證書信息管理服務(wù)平臺(tái)上的等級(jí)標(biāo)準(zhǔn)欄目下載網(wǎng)絡(luò)安全所有相關(guān)的8 項(xiàng)“X”證書標(biāo)準(zhǔn),按行提取中級(jí)證書標(biāo)準(zhǔn)的工作任務(wù)和職業(yè)技能要求,將相應(yīng)的編號(hào)進(jìn)行刪減,保留文本內(nèi)容,共提取到工作任務(wù)條目86項(xiàng)、職業(yè)技能要求條目389項(xiàng),將工作任務(wù)和技能要求條目合并后另存為UTF-8格式文本.

其次,使用Python進(jìn)行文本分詞并過(guò)濾.分詞技術(shù)是指利用計(jì)算機(jī)算法對(duì)文本內(nèi)容按照一定規(guī)則進(jìn)行詞語(yǔ)切分,從而識(shí)別出文本中的重點(diǎn)內(nèi)容和關(guān)鍵詞語(yǔ)的技術(shù)[7].本文采用Python語(yǔ)言自帶的jieba分詞庫(kù)精確模式對(duì)網(wǎng)絡(luò)安全“X”證書(中級(jí))標(biāo)準(zhǔn)文本進(jìn)行分詞,并對(duì)分詞結(jié)果進(jìn)行內(nèi)容過(guò)濾,排除“根據(jù)、進(jìn)行、能夠、的、和、對(duì)”等非關(guān)鍵詞內(nèi)容.

再次,使用Python 對(duì)分詞后的文本進(jìn)行大數(shù)據(jù)統(tǒng)計(jì)分析并繪制詞云圖,使用可視圖像展示網(wǎng)絡(luò)安全“X”證書(中級(jí))標(biāo)準(zhǔn)文本的重要關(guān)鍵詞.采用Python語(yǔ)言自帶的wordcloud庫(kù),生成和顯示詞云圖,將分詞結(jié)果的前200個(gè)關(guān)鍵詞進(jìn)行頻次統(tǒng)計(jì)并自動(dòng)配置字號(hào)大小,出現(xiàn)的頻次越高,字號(hào)越大.繪制的網(wǎng)絡(luò)安全“X”證書(中級(jí))標(biāo)準(zhǔn)文本詞云圖見(jiàn)圖1.

圖1 網(wǎng)絡(luò)安全相關(guān)“X”證書(中級(jí))標(biāo)準(zhǔn)文本詞云圖

從圖1可以看出,網(wǎng)絡(luò)安全“X”證書(中級(jí))標(biāo)準(zhǔn)文本詞云圖中的重要關(guān)鍵詞包括安全、漏洞、需求、配置、加固、使用和驗(yàn)證等,其中,安全、漏洞、需求為出現(xiàn)頻率較高的關(guān)鍵詞.安全漏洞是指信息系統(tǒng)在設(shè)計(jì)、編碼、配置、運(yùn)行和管理過(guò)程中出現(xiàn)的錯(cuò)誤或缺陷,包括系統(tǒng)漏洞、應(yīng)用漏洞、網(wǎng)絡(luò)漏洞、硬件漏洞等.中國(guó)信息安全測(cè)評(píng)中心在其發(fā)布的《2022上半年網(wǎng)絡(luò)安全漏洞態(tài)勢(shì)觀察》報(bào)告中指出,網(wǎng)絡(luò)安全的高危漏洞數(shù)量不斷增長(zhǎng),漏洞利用和實(shí)戰(zhàn)化趨勢(shì)明顯,漏洞威脅嚴(yán)重并影響持久[8].因此,網(wǎng)絡(luò)安全漏洞的分析、驗(yàn)證與加固是網(wǎng)絡(luò)攻防實(shí)驗(yàn)的重中之重,本文以中間件安全漏洞的攻擊與修復(fù)為例,通過(guò)現(xiàn)有的實(shí)踐環(huán)境重構(gòu)和再現(xiàn)高度仿真的網(wǎng)絡(luò)安全攻防實(shí)驗(yàn),以提高學(xué)生攻防技術(shù)水平.

2 中間件安全漏洞的攻擊與修復(fù)

筆者所在單位選擇了中科軟科技股份有限公司開發(fā)的網(wǎng)絡(luò)安全運(yùn)維“X”證書(中級(jí))作為信息安全技術(shù)應(yīng)用專業(yè)對(duì)應(yīng)的職業(yè)技能證書,其對(duì)應(yīng)的專業(yè)課程包括網(wǎng)絡(luò)攻擊與防御、Web應(yīng)用與安全防護(hù)、數(shù)據(jù)庫(kù)安全、操作系統(tǒng)安全等.網(wǎng)絡(luò)安全運(yùn)維“X”證書(中級(jí))等級(jí)標(biāo)準(zhǔn)要求的工作領(lǐng)域包括網(wǎng)絡(luò)安全設(shè)備部署調(diào)試、操作系統(tǒng)安全加固、系統(tǒng)安全滲透測(cè)試、Python安全應(yīng)用、數(shù)據(jù)庫(kù)安全配置與管理等5個(gè)方面.在操作系統(tǒng)安全加固工作領(lǐng)域中設(shè)計(jì)了Windows操作系統(tǒng)、Linux操作系統(tǒng)、中間件漏洞驗(yàn)證及加固等3種不同類型的典型工作任務(wù)[9].本文以網(wǎng)絡(luò)安全運(yùn)維“X”證書要求的CVE-2017-12617中間件安全漏洞為例進(jìn)行分析,安全漏洞的利用、修復(fù)過(guò)程見(jiàn)圖2.首先,根據(jù)漏洞編號(hào)在CVE平臺(tái)(國(guó)際通用漏洞披露平臺(tái))/CNVD 平臺(tái)(國(guó)家信息安全漏洞共享平臺(tái))查詢漏洞的描述、原因及修復(fù)方案;其次,部署VMware平臺(tái)和KALI攻擊機(jī),根據(jù)漏洞所需的系統(tǒng)和軟件模擬靶機(jī)環(huán)境并進(jìn)行漏洞探測(cè);再次,利用工具/方法攻擊漏洞并執(zhí)行相關(guān)命令,漏洞驗(yàn)證完成后,修復(fù)漏洞;最后,將漏洞攻擊及修復(fù)方案與CVE/CNVD 平臺(tái)提供的漏洞原理進(jìn)行對(duì)比分析.

圖2 安全漏洞的利用及修復(fù)過(guò)程示意圖

2.1 CVE-2017-12617漏洞分析

在CVE 或CNVD 平臺(tái)按照漏洞編號(hào)CVE-2017-12617或CNVD-2017-27472進(jìn)行漏洞定位并查詢漏洞產(chǎn)生的原因.當(dāng)Tomcat運(yùn)行在Windows操作系統(tǒng)且啟用HTTP PUT 請(qǐng)求方法時(shí),攻擊者可以通過(guò)構(gòu)造或修改攻擊請(qǐng)求數(shù)據(jù)包向服務(wù)器上傳JSP文件,當(dāng)JSP文件中的惡意代碼被服務(wù)器執(zhí)行后將導(dǎo)致服務(wù)器上的數(shù)據(jù)泄露或權(quán)限獲取,存在高安全風(fēng)險(xiǎn).如果Tomcat配置了默認(rèn)的servlet,其參數(shù)readonly設(shè)置為false或者參數(shù)readonly設(shè)置啟用Web DAV servlet false,則此配置將允許任何未經(jīng)身份驗(yàn)證的用戶上傳文件,包括9.0.0.M1到9.0.0,8.5.0到8.5.22,8.0.0.RC1到8.0.46及7.0.0到7.0.81等版本都包含遠(yuǎn)程執(zhí)行代碼安全漏洞.

2.2 CVE-2017-12617漏洞利用

首先,搭建漏洞測(cè)試環(huán)境.在VMware Workstation平臺(tái)創(chuàng)建靶機(jī)Windows 2008,然后在靶機(jī)上安裝JDK 和XAMPP ControlPanel.配置靶機(jī)IP地址為192.168.1.3,子網(wǎng)掩碼為255.255.255.0,啟動(dòng)并驗(yàn)證Tomcat 服務(wù)是否正常,測(cè)試訪問(wèn)http://192.168.1.3:8080是否正常.

其次,利用KALI進(jìn)行漏洞探測(cè).在VMware Workstation平臺(tái)創(chuàng)建攻擊機(jī)KALI系統(tǒng),配置IP地址為192.168.1.10,子網(wǎng)掩碼為255.255.255.0.使用nmap-n-T5-s V 192.168.1.3命令掃描靶機(jī)服務(wù)器版本信息,發(fā)現(xiàn)靶機(jī)Tomcat服務(wù)的8009和8080 端口開啟.使用nikto-h 192.168.1.3:8080命令對(duì)靶機(jī)服務(wù)器進(jìn)行漏洞掃描,發(fā)現(xiàn)OSVDB-397和OSVDB-5646 安全漏洞,靶機(jī)服務(wù)的HTTP method允許客戶端PUT 和DELETE 文件到靶機(jī).

再次,攔截并修改數(shù)據(jù)包.設(shè)置攻擊機(jī)Firefox瀏覽器本地代理地址為127.0.0.1,端口為8080.啟動(dòng)Burpsuite工具,設(shè)置Proxy為本地代理地址并開啟攔截抓包.當(dāng)Firefox 瀏覽器訪問(wèn)靶機(jī)地址http://192.168.1.3:8080時(shí),使用Burpsuite攔截?cái)?shù)據(jù)包并將GET 參數(shù)修改為PUT,填寫上傳文件的相關(guān)信息,點(diǎn)擊Forward,查看返回的數(shù)據(jù)包狀態(tài).如狀態(tài)為201,說(shuō)明文件上傳成功.

最后,利用漏洞執(zhí)行命令.在上傳的文件訪問(wèn)地址后邊加上要執(zhí)行的命令,如http://192.168.1.3:8080/test.jsp? pwd=023&cmd=whoami,就可以看到遠(yuǎn)程命令成功執(zhí)行.

2.3 CVE-2017-12617漏洞修復(fù)

如果修復(fù)該漏洞,可以在靶機(jī)上打開Tomcat服務(wù)的web.xml文件,找到＜servlet＞……＜/servlet＞所在位置,將readonly 參數(shù)部分的字段false修改為true.重啟Tomcat服務(wù),再次訪問(wèn)http://192.168.1.3:8080,使用Burpsuite抓包并修改上傳惡意文件,再查看返回的數(shù)據(jù)包狀態(tài),顯示403錯(cuò)誤,說(shuō)明文件上傳失敗,漏洞修復(fù)成功.

網(wǎng)絡(luò)安全運(yùn)維“X”證書中共設(shè)計(jì)了6個(gè)涉及到中間件的安全漏洞,包括CVE-2017-9791,CVE-2017-12617,CVE-2017-15715,CVE-2018-12613等,涉及到系統(tǒng)配置、遠(yuǎn)程代碼執(zhí)行和JAVA 序列化漏洞等內(nèi)容.2021年,CVE-2021-44228(Apache Log4j 2)安全漏洞因其攻擊難度低、利用工具多、影響系統(tǒng)廣等特點(diǎn),給眾多中間件的服務(wù)安全帶來(lái)了深遠(yuǎn)影響.中間件程序作為在系統(tǒng)軟件和不同應(yīng)用程序之間提供合作通信、資源共享和數(shù)據(jù)交換等服務(wù)功能的類型軟件,應(yīng)按照最小權(quán)限原則進(jìn)行合理配置,盡可能關(guān)閉存在安全隱患的功能和服務(wù).

3 課證融合育人的實(shí)踐路徑

為推進(jìn)1+X 證書與人才培養(yǎng)過(guò)程的深度融合,可以將證書標(biāo)準(zhǔn)要求充分融入到課程體系、實(shí)驗(yàn)教學(xué)和考核評(píng)價(jià)等環(huán)節(jié),推進(jìn)課證融合育人工作,既有利于提升學(xué)生技術(shù)技能水平,又可為行業(yè)企業(yè)提供能力識(shí)別的依據(jù)[10],降低企業(yè)人力資源的篩選和培養(yǎng)成本.

(1)融合證書標(biāo)準(zhǔn),重構(gòu)課程教學(xué)體系

根據(jù)網(wǎng)絡(luò)安全運(yùn)維“X”證書標(biāo)準(zhǔn)積極開展課程標(biāo)準(zhǔn)對(duì)接,重新修(制)訂信息安全技術(shù)應(yīng)用專業(yè)人才培養(yǎng)方案,在教學(xué)中增設(shè)“X”證書模塊課程4門,包含漏洞掃描、漏洞利用、后門管理、密碼破解、Python、數(shù)據(jù)庫(kù)安全管理、數(shù)據(jù)庫(kù)訪問(wèn)控制、Windows操作系統(tǒng)及服務(wù)漏洞、Linux服務(wù)漏洞、中間件服務(wù)漏洞等證書要求的技能培訓(xùn)內(nèi)容和相關(guān)理論知識(shí),重構(gòu)課程教學(xué)體系.在信息安全技術(shù)應(yīng)用專業(yè)教學(xué)過(guò)程中,按照由易到難、分級(jí)遞進(jìn)的原則,將“X”證書的職業(yè)技能要求分學(xué)年、學(xué)期融入到模塊課程中.對(duì)人才培養(yǎng)方案沒(méi)有覆蓋到的工作任務(wù),充分利用現(xiàn)有的網(wǎng)絡(luò)課程資源,采用“內(nèi)容自學(xué)+教師指導(dǎo)+考前集訓(xùn)”的方式完成.鼓勵(lì)相關(guān)專業(yè)的學(xué)生積極參加“X”證書考試,并將獲得的證書根據(jù)人才培養(yǎng)方案置換為相應(yīng)學(xué)分或折合成課程成績(jī).

(2)分析安全漏洞,強(qiáng)化實(shí)驗(yàn)攻防演練網(wǎng)絡(luò)安全的關(guān)鍵在于攻擊與防御的對(duì)抗能夠識(shí)別和處理系統(tǒng)的風(fēng)險(xiǎn)部位和薄弱環(huán)節(jié)[11].由于網(wǎng)絡(luò)安全漏洞持續(xù)更新并不斷變化,這就要求職業(yè)技能等級(jí)標(biāo)準(zhǔn)能夠及時(shí)更新或定期修訂,而且要加大培養(yǎng)學(xué)生標(biāo)準(zhǔn)內(nèi)容的自主學(xué)習(xí)能力和自我提升能力,使他們能夠在CVE/CNVD 平臺(tái)通過(guò)編碼快速地找到漏洞描述、修補(bǔ)信息和解決方案,能夠?qū)W習(xí)行業(yè)企業(yè)發(fā)布的安全公告和漏洞研究報(bào)告,并進(jìn)行安全攻防演練實(shí)驗(yàn).通過(guò)實(shí)驗(yàn)室安全沙盒平臺(tái)或VMware平臺(tái)搭建可管控、可攻防、可重復(fù)的網(wǎng)絡(luò)靶場(chǎng)環(huán)境,在網(wǎng)絡(luò)靶場(chǎng)模擬真實(shí)環(huán)境中的攻擊行為[12].通過(guò)在VMware平臺(tái)上添加KALI攻擊機(jī)和虛擬靶機(jī)鏡像的方法,可以快速完成攻防實(shí)驗(yàn)環(huán)境部署,實(shí)現(xiàn)網(wǎng)絡(luò)安全漏洞和實(shí)驗(yàn)項(xiàng)目及時(shí)更新.要求學(xué)生在實(shí)驗(yàn)過(guò)程中采用“過(guò)程錄屏+課程報(bào)告”的形式提交實(shí)驗(yàn)結(jié)果,以強(qiáng)化其實(shí)踐動(dòng)手能力.鼓勵(lì)學(xué)生利用開源平臺(tái)的任務(wù)和安全漏洞熱點(diǎn)來(lái)設(shè)計(jì)題目[13],不斷補(bǔ)充、完善和強(qiáng)化“X”證書要求的技能訓(xùn)練內(nèi)容.

4 結(jié)語(yǔ)

本文以高職院?！皶C融通”的實(shí)驗(yàn)教學(xué)改革為切入點(diǎn),對(duì)網(wǎng)絡(luò)安全相關(guān)“X”證書的職業(yè)技能要求進(jìn)行了大數(shù)據(jù)分析,針對(duì)核心關(guān)鍵詞,結(jié)合證書技能要求討論了中間件安全漏洞的復(fù)現(xiàn)、利用和修復(fù)方法.將網(wǎng)絡(luò)安全運(yùn)維“X”證書的職業(yè)等級(jí)標(biāo)準(zhǔn)用來(lái)指導(dǎo)信息安全應(yīng)用技術(shù)的專業(yè)建設(shè),既可以利用標(biāo)準(zhǔn)重構(gòu)專業(yè)人才培養(yǎng)方案,又為專業(yè)實(shí)驗(yàn)教學(xué)提供崗位典型工作任務(wù)和技能要求,可以提高高職院校網(wǎng)絡(luò)安全相關(guān)專業(yè)學(xué)生的技術(shù)技能水平和人才培養(yǎng)質(zhì)量.