林南，陳霓

（福建省郵電學(xué)校，福建 福州 350008）

0 引言

在人工智能、互聯(lián)網(wǎng)+等戰(zhàn)略背景和當(dāng)前復(fù)雜的國(guó)際局勢(shì)下，網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻，網(wǎng)絡(luò)空間安全已上升為國(guó)家戰(zhàn)略，網(wǎng)絡(luò)安全技術(shù)在維護(hù)國(guó)家安全、支撐產(chǎn)業(yè)轉(zhuǎn)型、服務(wù)社會(huì)發(fā)展、保護(hù)公眾利益等方面的重要作用愈加凸顯。中共中央在“十四五”發(fā)展規(guī)劃建議中首次把統(tǒng)籌發(fā)展和安全納入指導(dǎo)思想并作出戰(zhàn)略部署，要求把安全發(fā)展貫穿國(guó)家發(fā)展各領(lǐng)域和全過(guò)程，全面加強(qiáng)網(wǎng)絡(luò)安全保障體系和能力建設(shè)。新形勢(shì)下，對(duì)網(wǎng)絡(luò)安全產(chǎn)業(yè)鏈人才的需求呈現(xiàn)高速增長(zhǎng)態(tài)勢(shì)，但市場(chǎng)供給相對(duì)疲軟，人才緊缺指數(shù)較高，其中又以網(wǎng)絡(luò)安全運(yùn)維崗位的人才需求占比率最高[1]。

隨著移動(dòng)辦公、政務(wù)上云、智能物聯(lián)等應(yīng)用的普及，Web網(wǎng)站作為當(dāng)下移動(dòng)互聯(lián)網(wǎng)的主要技術(shù)載體，其安全性面臨著嚴(yán)峻的挑戰(zhàn)。此外APP和各種小程序作為新興的流量入口快速崛起，在提高移動(dòng)應(yīng)用便捷性的同時(shí)也帶來(lái)了更復(fù)雜的安全隱患。網(wǎng)站運(yùn)維與網(wǎng)站開(kāi)發(fā)作為Web網(wǎng)站生命周期中的兩個(gè)重要環(huán)節(jié)，其面臨的安全問(wèn)題不容忽視。對(duì)于網(wǎng)站運(yùn)維，除對(duì)服務(wù)器、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)等做好安全配置與漏洞防護(hù)外，還需注意虛擬化、容器化、微服務(wù)等新型模式帶來(lái)的新的安全問(wèn)題。對(duì)于網(wǎng)站開(kāi)發(fā)，網(wǎng)站代碼漏洞導(dǎo)致的SQL注入、XSS、CSRF、CC等攻擊以及各類(lèi)新爆出的中間件和開(kāi)發(fā)框架漏洞等無(wú)時(shí)無(wú)刻不在考驗(yàn)著Web應(yīng)用開(kāi)發(fā)方案的健壯性、靈活性和開(kāi)發(fā)團(tuán)隊(duì)的快速反應(yīng)能力。

1 課程現(xiàn)狀

《動(dòng)態(tài)網(wǎng)站建設(shè)》課程作為中職計(jì)算機(jī)網(wǎng)絡(luò)專(zhuān)業(yè)群的專(zhuān)業(yè)核心課程，主要培養(yǎng)對(duì)小中型Web網(wǎng)站和應(yīng)用進(jìn)行運(yùn)維和開(kāi)發(fā)的能力。一方面，它以靜態(tài)網(wǎng)頁(yè)設(shè)計(jì)、程序設(shè)計(jì)基礎(chǔ)、數(shù)據(jù)庫(kù)應(yīng)用、網(wǎng)絡(luò)操作系統(tǒng)等專(zhuān)業(yè)課程為基礎(chǔ)，在專(zhuān)業(yè)課程體系中處于頂端位置，是一門(mén)綜合性、實(shí)踐性、項(xiàng)目性較強(qiáng)的課程。另一方面，它又作為中高本銜接過(guò)程中上述專(zhuān)業(yè)對(duì)接高職軟件工程、移動(dòng)應(yīng)用開(kāi)發(fā)等專(zhuān)業(yè)的必備課程，對(duì)中高職銜接過(guò)程中的知識(shí)體系過(guò)渡具有承前啟后的重要作用。

目前課程主要的知識(shí)體系以L(fǎng)ANMP技術(shù)棧為主，設(shè)置有網(wǎng)站運(yùn)維和網(wǎng)站開(kāi)發(fā)兩大模塊，網(wǎng)站運(yùn)維涉及網(wǎng)站操作系統(tǒng)、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)以及應(yīng)用程序的部署與管理，是網(wǎng)站管理員、網(wǎng)站運(yùn)維工程師等相關(guān)崗位的必備職業(yè)技能；網(wǎng)站開(kāi)發(fā)主要涉及Web網(wǎng)站應(yīng)用系統(tǒng)的設(shè)計(jì)與開(kāi)發(fā)，屬于網(wǎng)站程序員、Web開(kāi)發(fā)工程師等相關(guān)崗位的必備職業(yè)技能。在網(wǎng)絡(luò)安全國(guó)家戰(zhàn)略的大背景下，網(wǎng)站運(yùn)維與網(wǎng)站開(kāi)發(fā)均與網(wǎng)絡(luò)安全有著密不可分的關(guān)系，然而課程中涉及網(wǎng)站安全的相關(guān)知識(shí)卻寥寥無(wú)幾，無(wú)法滿(mǎn)足當(dāng)下企業(yè)對(duì)網(wǎng)站建設(shè)相關(guān)崗位在網(wǎng)絡(luò)安全方面的知識(shí)技能需求。

2 解決方案

針對(duì)課程存在的問(wèn)題，實(shí)施對(duì)《動(dòng)態(tài)網(wǎng)站建設(shè)》課程模塊優(yōu)化，在產(chǎn)教融合、工學(xué)結(jié)合的理念下，創(chuàng)新課程網(wǎng)站安全教學(xué)模塊。教學(xué)內(nèi)容要能體現(xiàn)相關(guān)崗位在網(wǎng)站運(yùn)維與網(wǎng)站開(kāi)發(fā)的工作過(guò)程中所面臨的典型安全問(wèn)題與處理對(duì)策，不僅能反映當(dāng)前網(wǎng)站安全技術(shù)的新知識(shí)、新技能、新規(guī)范，而且能與課程原有的內(nèi)容體系相互銜接。

“1+X證書(shū)”制度在19年國(guó)務(wù)院印發(fā)的《國(guó)家職業(yè)教育改革實(shí)施方案》中被首次提出，在職業(yè)院校啟動(dòng)“學(xué)歷證書(shū)+若干職業(yè)技能等級(jí)證書(shū)”制度試點(diǎn)工作，鼓勵(lì)學(xué)生在取得學(xué)歷證書(shū)“1”之外，同時(shí)取得其它職業(yè)等級(jí)證書(shū)“X”?！?+X證書(shū)”制度用以解決多年來(lái)存在的產(chǎn)教融合、校企合作、工學(xué)結(jié)合的問(wèn)題，從而提高技能型人才培養(yǎng)的靈活性、適應(yīng)性、針對(duì)性，真正意義上實(shí)現(xiàn)職業(yè)教育服務(wù)社會(huì)經(jīng)濟(jì)發(fā)展的本質(zhì)要求。

“網(wǎng)絡(luò)安全運(yùn)維”作為“1+X證書(shū)”制度下網(wǎng)絡(luò)安全方向的職業(yè)技能等級(jí)證書(shū)，重點(diǎn)培養(yǎng)與評(píng)價(jià)面向企業(yè)、政府等單位的信息安全部門(mén)中實(shí)施安全運(yùn)維相關(guān)工作崗位的人才，證書(shū)分為初、中、高三個(gè)等級(jí)，主要包括安全策略部署、系統(tǒng)安全管理、系統(tǒng)安全加固、系統(tǒng)滲透測(cè)試、安全項(xiàng)目集成、安全方案咨詢(xún)、安全風(fēng)險(xiǎn)評(píng)估等方面的內(nèi)容，共計(jì)13大模塊、131個(gè)技能點(diǎn)，全面覆蓋了網(wǎng)絡(luò)安全運(yùn)維的新技術(shù)、新技能、新規(guī)范[2]。

“網(wǎng)絡(luò)安全運(yùn)維”作為1+X證書(shū)制度下安全運(yùn)維產(chǎn)業(yè)人才培養(yǎng)與評(píng)價(jià)的職業(yè)技能等級(jí)證書(shū)，具備一定的先進(jìn)性，符合課程網(wǎng)站安全模塊優(yōu)化的要求。本研究將基于“網(wǎng)絡(luò)安全運(yùn)維”職業(yè)技能等級(jí)證書(shū)，抽取證書(shū)中與網(wǎng)站安全方向相關(guān)的知識(shí)點(diǎn)和技能點(diǎn)，在教學(xué)內(nèi)容、教學(xué)模式、評(píng)價(jià)模式等方面融入證書(shū)相關(guān)要素，以實(shí)踐網(wǎng)絡(luò)安全教學(xué)在課程中的貫穿與融合。優(yōu)化后課程體系不僅能傳授網(wǎng)站安全方面的知識(shí)技能，也將鍛煉學(xué)生在滲透測(cè)試、漏洞分析等方面的思考與分析能力，樹(shù)立網(wǎng)站安全意識(shí)，培養(yǎng)團(tuán)隊(duì)協(xié)作、自主學(xué)習(xí)、自主探究等職業(yè)能力與素養(yǎng)[3]。

3 優(yōu)化過(guò)程

3.1 教學(xué)內(nèi)容優(yōu)化

參考1+X“網(wǎng)絡(luò)安全運(yùn)維”技能等級(jí)證書(shū)標(biāo)準(zhǔn)，在原有課程體系的基礎(chǔ)上新增網(wǎng)站安全教學(xué)模塊，考慮到網(wǎng)站運(yùn)維與網(wǎng)站開(kāi)發(fā)在工作過(guò)程中所面臨安全問(wèn)題的差異性，將教學(xué)模塊再劃分為網(wǎng)站運(yùn)維安全和網(wǎng)站開(kāi)發(fā)安全兩個(gè)教學(xué)情境[4-5]，共計(jì)20課時(shí)。

表1 為優(yōu)化后的課程模塊

篩選出證書(shū)標(biāo)準(zhǔn)中與網(wǎng)站安全相關(guān)的技能點(diǎn)，重點(diǎn)抽取與課程原有知識(shí)體系LANMP技術(shù)棧相關(guān)度較高的內(nèi)容，基于工作過(guò)程導(dǎo)向以項(xiàng)目引領(lǐng)、任務(wù)驅(qū)動(dòng)的方式形成教學(xué)情境下的項(xiàng)目任務(wù)[6]，表2顯示了網(wǎng)站安全模塊下網(wǎng)站運(yùn)維安全和網(wǎng)站開(kāi)發(fā)安全兩大情境下的項(xiàng)目任務(wù)、融入的證書(shū)標(biāo)準(zhǔn)、對(duì)應(yīng)證書(shū)等級(jí)等。其中，網(wǎng)站運(yùn)維安全設(shè)置了5個(gè)任務(wù)，融入8個(gè)證書(shū)技能點(diǎn)，重點(diǎn)包括Linux操作系統(tǒng)、Apache應(yīng)用服務(wù)器、MySQL數(shù)據(jù)庫(kù)等的安全配置以及網(wǎng)站漏洞的驗(yàn)證及加固，主要融入初中級(jí)證書(shū)的相關(guān)內(nèi)容。網(wǎng)站開(kāi)發(fā)安全設(shè)置5個(gè)任務(wù)，融入5個(gè)證書(shū)技能點(diǎn)，主要包含Web滲透測(cè)試及工具、Web中間件安全、Web應(yīng)用程序安全、PHP代碼審計(jì)等方面，主要融入中高級(jí)證書(shū)的相關(guān)內(nèi)容。

表2 網(wǎng)站安全模塊學(xué)習(xí)情境描述

3.2 教學(xué)模式優(yōu)化

1+X職業(yè)技能等級(jí)證書(shū)的最終目的在于提升學(xué)生的實(shí)際工作能力，使其技能與素養(yǎng)能與企業(yè)當(dāng)前的需求相接軌，這與基于工作過(guò)程導(dǎo)向的教學(xué)模式的宗旨相吻合。使用工作過(guò)程導(dǎo)向?qū)嵤┙虒W(xué)更有利于將證書(shū)的技能點(diǎn)內(nèi)化到實(shí)際工作過(guò)程中，有利于培養(yǎng)學(xué)生對(duì)網(wǎng)站安全知識(shí)技能的綜合運(yùn)用，因此網(wǎng)站安全模塊采用基于工作過(guò)程導(dǎo)向的教學(xué)模式進(jìn)行教學(xué)設(shè)計(jì)，借鑒工作過(guò)程導(dǎo)向的六步教學(xué)法，將教學(xué)過(guò)程劃分為情境導(dǎo)入、任務(wù)分析、任務(wù)實(shí)施與測(cè)試、任務(wù)評(píng)價(jià)四個(gè)環(huán)節(jié)。

表3展示了“網(wǎng)站開(kāi)發(fā)安全”情境中任務(wù)一:“網(wǎng)站安全滲透測(cè)試工具”的簡(jiǎn)化教學(xué)設(shè)計(jì)，重點(diǎn)突出基于工作過(guò)程導(dǎo)向的教學(xué)環(huán)節(jié)，采用項(xiàng)目引領(lǐng)、任務(wù)驅(qū)動(dòng)的方式，綜合運(yùn)用職業(yè)角色扮演、團(tuán)隊(duì)溝通協(xié)作、虛擬仿真實(shí)驗(yàn)等多種教學(xué)手段實(shí)施混合式教學(xué)，呈現(xiàn)出項(xiàng)目任務(wù)的典型工作過(guò)程，不僅鍛煉學(xué)生的職業(yè)技能，同時(shí)培養(yǎng)學(xué)生的職業(yè)素養(yǎng)。在本案例中，以企業(yè)網(wǎng)站安全滲透測(cè)試項(xiàng)目為情境，學(xué)生以網(wǎng)站運(yùn)維工程師的角色融入其中，通過(guò)工作組對(duì)滲透方案的討論與撰寫(xiě)，進(jìn)而實(shí)施信息收集、漏洞掃描、漏洞利用、權(quán)限測(cè)試等真實(shí)的網(wǎng)站滲透測(cè)試流程，使用Metasploit發(fā)現(xiàn)并利用網(wǎng)站的PHP文件包含漏洞并最終獲得系統(tǒng)權(quán)限，從而讓學(xué)生了解網(wǎng)站滲透測(cè)試的總體思路和工作流程，掌握滲透測(cè)試工具M(jìn)etasploit的使用。

表3 “Web安全滲透測(cè)試工具使用”簡(jiǎn)化版教學(xué)設(shè)計(jì)

圖1 Metasploit網(wǎng)站滲透測(cè)試工作過(guò)程關(guān)鍵步驟

3.3 評(píng)價(jià)模式優(yōu)化

采用基于工作過(guò)程導(dǎo)向的評(píng)價(jià)模式，如表4所示的是網(wǎng)站運(yùn)維安全任務(wù)五的任務(wù)評(píng)價(jià)表。在評(píng)價(jià)指標(biāo)上，使用職業(yè)技能評(píng)價(jià)與職業(yè)素養(yǎng)評(píng)價(jià)相結(jié)合的方式，其中職業(yè)技能評(píng)價(jià)重點(diǎn)針對(duì)學(xué)生項(xiàng)目完成的具體情況，依據(jù)工作過(guò)程將其評(píng)價(jià)指標(biāo)進(jìn)行細(xì)分，屬于結(jié)果性評(píng)價(jià)；職業(yè)素養(yǎng)評(píng)價(jià)重點(diǎn)針對(duì)學(xué)生項(xiàng)目完成過(guò)程中的職業(yè)表現(xiàn)，依據(jù)職業(yè)能力評(píng)價(jià)指標(biāo)進(jìn)行細(xì)分，屬于過(guò)程性評(píng)價(jià)，兩者綜合能真實(shí)反映出學(xué)生對(duì)證書(shū)技能點(diǎn)的掌握水平和相應(yīng)的職業(yè)水平。在評(píng)價(jià)方式上，參考企業(yè)工作考核方式，使用員工評(píng)價(jià)、工作小組評(píng)價(jià)、部門(mén)評(píng)價(jià)的多元化評(píng)價(jià)方式，從而調(diào)動(dòng)學(xué)生參與評(píng)價(jià)的積極性，提高學(xué)生對(duì)評(píng)價(jià)結(jié)果的重視度。

表4 “Web安全滲透測(cè)試工具使用”任務(wù)評(píng)價(jià)表

4 教學(xué)分析

將優(yōu)化后的《動(dòng)態(tài)網(wǎng)站建設(shè)》課程進(jìn)行教學(xué)實(shí)踐。截至目前，已覆蓋我校計(jì)算機(jī)網(wǎng)絡(luò)專(zhuān)業(yè)群19級(jí)的4個(gè)專(zhuān)業(yè)教學(xué)班。圖2顯示了課程期末總評(píng)的統(tǒng)計(jì)結(jié)果。從左圖的“專(zhuān)業(yè)分?jǐn)?shù)比對(duì)表”可以看出，動(dòng)態(tài)網(wǎng)站建設(shè)課程在不同模塊和不同專(zhuān)業(yè)的得分都較平均，均值在80分以上，說(shuō)明優(yōu)化后的“網(wǎng)站安全”教學(xué)模塊的總體難度適宜且具備普適性。從右圖的“網(wǎng)站安全模塊成績(jī)比對(duì)表”可以看出，模塊中各個(gè)子任務(wù)的得分也較為合理與均衡，得分都在70分以上。綜上所述，在網(wǎng)絡(luò)安全視域下基于1+X“網(wǎng)絡(luò)安全運(yùn)維”職業(yè)技能等級(jí)證書(shū)對(duì)《動(dòng)態(tài)網(wǎng)站建設(shè)》課程的網(wǎng)站安全教學(xué)模塊進(jìn)行優(yōu)化的方式是可行的、有效的。

圖2 教學(xué)效果比對(duì)圖

5 結(jié)語(yǔ)

在信息與網(wǎng)絡(luò)安全形勢(shì)日趨嚴(yán)峻的今天，網(wǎng)絡(luò)安全已成為許多計(jì)算機(jī)相關(guān)崗位的必備知識(shí)，因此在職業(yè)教育的計(jì)算機(jī)專(zhuān)業(yè)核心課程中融入安全教學(xué)有著重要意義。另一方面，1+X職業(yè)技能等級(jí)證書(shū)作為職業(yè)技能水平評(píng)價(jià)的新標(biāo)桿，是課程模塊優(yōu)化的有效途徑。本研究不僅探索和實(shí)踐了《動(dòng)態(tài)網(wǎng)站建設(shè)》網(wǎng)站安全教學(xué)模塊建設(shè)，而且為職業(yè)院校計(jì)算機(jī)類(lèi)專(zhuān)業(yè)群相關(guān)課程融入網(wǎng)絡(luò)安全教學(xué)提供了思路與案例。