林玉香+刘岩
摘 要:《Web安全技术》实验教学是理论教学的重要补充,论文针对目前国内高校该门课程实验教学的现状,围绕Web 应用及安全防护出现的安全问题,通过优化实验项目、设计实验环境、探索实验教学方法,采用多元化实验考核方式,进行了《Web安全技术》实验课程的改革和大胆创新的尝试。
关键词:Web安全;实验教学;教学方法
中图分类号:G642 文献标识码:A
Abstract: The experimental teaching of Web security technology is an important supplement to theoretical teaching, This paper aims at the current situation of experimental teaching of the course in domestic universities. Refer to the safety problems of Web application and security protection, through optimal design of experiment , setting up experimental environment , exploring experimental teaching methods t, and studying experiment examination ways,carried on the experiment course reform and bold innovation.Key words: web security; experimental teaching; teaching method
1 引言
伴随着互联网技术的飞速发展,Web应用以其高效、易用、及时的特性成为主流的业务应用载体,悄然渗透入人类工作生活的方方面面。尤其是近几年如火如荼的“互联网+”的平稳落地,互联网与传统行业的优势整合,越来越多Web 应用如雨后春笋般冒了出来。然而,Web 应用领域的安全形势却不容乐观,由于Web应用协议Http自身的缺陷以及代码编写过程中的存在的规范性等原因,被恶意攻击者出于各种不良的目的非法利用,对Web 服务器发动攻击,企图获取他人的敏感信息, Web应用层攻击成为了当前信息安全领域的热点问题。
《Web安全技术》是信息安全专业的核心课程和主干课程,也是国内外各高校信息安全相关专业的重点教学内容,具有很强的实践性和应用性,学生要扎实地掌握这些内容,除了基础理论的学习,还需要通过大量的实践操作来加深理解和掌握。
2 问题与反思
目前国内高校信息安全专业方向实验课程之间开设内容界限不分明,大多围绕密码学、网络攻防、操作系统安全等方面,在广度和针对性上,皆不能满足Web 安全技术实验教学的需求。部分已有的Web 安全技术实验设计往往是针对Web 安全技术某个单一知识点的验证,缺乏真实网络背景和系统环境的支持,未考虑现实中Web安全问题的综合性和复杂性特点,与真实安全问题出入过大。另外,Web 技术更新速度飞快,新的Web 安全的威胁不断出现,一成不变的Web安全攻防模式以及受限的环境实验设计缺乏实际应用价值。
因此,我们在设计Web 安全技术实验教学内容时,从实用角度出发,紧跟当前Web安全技术的行业和技术发展态势,围绕当前主流的Web安全问题,以着重培养掌握Web 安全技术实用攻防技能的高级应用人才为目标,设计出符合应用型本科院校信息安全专业学生需求的 Web 安全技术实验教学体系。
3 研究与探索
学生若想真正领悟Web安全技术的精髓,掌握主流的Web安全攻防技术,解决实际的Web安全问题,只有通过大量实践操作,将理论应用于实践之中。本文按照高校应用型人才的培养要求,对Web安全技术实验教学进行研究与探索,以期通过该门课程实验教学的研究探索提高教学质量,优化教学效果,提高学生的实践动手能力,从几个方面进行研究。
3.1 实验项目设计与优化
从教学内容的角度来看,可以将内容分为Web客户端安全、Web 服务器端安全、Web 安全运营三方面。根据教学大纲要求,结合当前Web安全技术的最新发展趋势,精心设计实验项目,以综合性、设计性实验为主。围绕近几年公布的OWASP Top10 Web安全威胁,挖掘并设计针对性强的案例。由于该门课程的综合性比较强,涉及的知识点比较繁杂,要想完全讲授这些内容,仅仅依靠课堂时间是远远不够的,所以需要合理利用课外时间,激发学生的学习热情,巩固和强化课堂所学知识,所以实验项目设置分为课内必做实验和课外选做实验两大部分。
课内必做实验由端口扫描、SQL注入攻击及防护、XSS跨站攻击及防护、CSRF跨站请求伪造、Cookie欺骗攻击与防护、利用上传漏洞上传木马攻击与防护六个实验构成,其目的是使学生通过课内必做实验巩固理论知识,掌握某一个Web安全问题的攻击原理、常用工具和技术,进而掌握其对应的防御技术。
课内实验的设置围绕一个知识点,比较基础和单一,而实际的Web安全问题的出现往往综合了多方面因素,因此,课外选做实验题目为综合性、设计性类型,可能涉及多个安全知识点,可能覆盖专业方向内的一门或多门课程教学内容,以此培养学生综合运用知识的能力和实践创新能力。
3.2 实验环境搭建
由于Web安全技术实验的特殊性,有可能涉及敏感信息的保护, 也有可能涉及Web 攻擊的再现以及Web 应用系统的漏洞修复等问题,这些实验一定程度上具有攻击性或破坏性,如果在真实网络环境中进行操作,会对网络或系统进行破坏,为了教学的需要,一般情况下,可选择利用虚拟机搭建虚拟实验平台。但是,虚拟机平台也存在不足,如难以重现真实网络环境的复杂性、硬件配置对实验效果影响等,因此,如何能够更好地利用虚拟机设计完善实验内容,还需要不断探索与研究。endprint
3.3 授课方法探索
由于Web安全技术实验课程难度相对比较高,学生知识储备和学习接受能力参差不齐,选择合适的授课方法尤为重要,一旦选择不当,学生很容易产生畏难情绪和厌学心理,因此,采取了多种授课方法相结合,根据实验内容的不同,灵活运用。
课内实验主要采用“任务驱动”教学法:在具体实施教学过程中,可根據具体实验内容,把综合性实验分成若干个关联的小任务,以这些小任务为载体,实验内容巧妙地设计在每个任务之中,由学生发现问题,分析问题,教师点拨启发,进而解决问题。比如SQL注入攻击防御实验,可以根据Web网站编程语言(ASP、JSP、PHP)的不同,数据库(SQL Server、MySQL、Access)的不同进行分类组合。在完成任务的同时,学生不仅掌握了课程内容,也培养了如何利用创新性思维去发现问题、思考问题、解决问题。
课外选做实验以学生小组学习为主要形式,教师列出选作实验题目,并提供相应的指导材料,学生可四个人一组,选做某一个系列的实验,学生可参考教师提供的参考资料,也可自己查找资料,下载工具,搭建环境,完成实验,可请教师辅助答疑。课外选做实验主要训练学生综合分析实际安全问题、制定解决方案,运用多种安全技术解决安全问题的能力。
3.4 实验考核方式优化
实验考核的优化设计是实验教学改革中的一个重要组成部分,根据该门课程的教学特点,以充分激发学生学习兴趣、提高学生动手实践能力为目的,以过程考核为主,根据实验阶段的不同以及学生接受程度的不同灵活采取考核办法。实验的不同阶段考查内容不同,评分的侧重点也不同,强调学生独立思考能力和创新实践能力的培养。
4 结束语
结合信息安全相关专业方向的特点,围绕Web安全技术的十大安全问题,结合当前主流的Web 安全攻防技术,本文对Web安全技术实验教学中实验项目设计、实验环境配置,实验授课方法、实验考核等环节进行了一系列改革。以实例为导向组织实验教学内容,课内实验为主,辅以课外实验。注重师生互动,通过多元化的教学方法,最大限度地激发学生的学习热情,培养学生的创新意识和自主学习能力,从而提高教学质量。
参考文献
[1] 王练,陈龙.结合学校特色,提升信息安全专业的几点思考[J].中国校外教.2010(1): 41,109
[2] 唐屹,周权.Web 安全实验课程的教学探讨[J].计算机教育,2014,11:87-90
[3] 琚生根,陈黎,周刚,等.“计算机网络”实验课程的教学探讨[J].实验技术与管理,2013,30(4): 159-161.
[4] OWASP.Category:OWASP Top 10 2013 Project[EB/OL]. [2015-08-30]. http: https://www.owasp.org/index.php/Top_10_2013-Table_of_Contents.
[5] 杜晔,陈贺男,黎妹红,张大伟.Web应用安全实验教学探讨及案例评析[J].计算机教育,2015,5: 17-19.endprint