1%2BX证书视域下高职网络安全攻防实验教学探索.pdf

1、No.4Vol.35Journal of ShijiazhuangUniversity of Applied Technology第3 5 卷第4 期Aug.20232023年8 月石家庄职业技术学院学报文章编号：1 0 0 9-4 8 7 3（2 0 2 3)0 4-0 0 6 6-0 51十X证书视域下高职网络安全攻防实验教学探索张红瑞，引张玉松，吕延岗，田晓玲（石家庄职业技术学院a.信息工程系；b.教务处；c.软件工程系，河北石家庄050081)摘要：1 十X证书标准是行业企业岗位典型工作任务和职业技能要求的具体化.提取了8 种网络安全相关“X”证书（中级）标准要求的文本数据，使用Pyt

2、hon语言进行了文本分词并绘制了词云图.结合词云图中的安全漏洞核心关键词，以网络安全运维“X”证书标准要求的中间件安全漏洞为例，讨论漏洞产生的原因及攻击、利用和修复漏洞的过程，增强学生对网络安全攻防实验的认知。可通过重构课程教学体系，强化实验攻防演练来加大高职网络安全攻防实验课证融合育人的力度。关键词：1 十X证书；网络安全；安全漏洞；攻防实验；教学改革中图分类号：G718.5文献标志码：A0引言2019年，国家职业教育改革实施方案提出在职业院校、应用型本科高校启动“学历证书十若干职业技能等级证书”制度（以下称“1 十X证书制度”）试点工作 1.教育部先后组织避选了4 批次共4 4 7 种“X

3、证书，有5 5 0 0 余所院校参与了1+X证书制度的试点工作，覆盖了中职、高职（专科）和应用型本科等不同类型的院校 2 .通过1 十X证书制度，将行业企业岗位的工作任务和职业技能要求引人到了职业院校的人才培养环节，对提高人才培养质量，促进教育教学改革有重要的指导作用.中华人民共和国国民经济和社会发展第十四个五年规划和2 0 3 5 年远景目标纲要指出，要加强网络安全保护，加强网络安全宣传教育和人才培养 3 .网络安全产业的发展需求与人才供给已经形成了结构性短缺的矛盾 。如何做好“书证融通”工作，培养一大批素质好、水平高并且符合网络安全行业企业发展需要的高素质技术技能人才，是高职院校网络安全专

4、业教学过程中必须面对和呕需解决的问题.本文以网络安全相关的“X”证书的标准要求为依据，研究网络安全攻防实验教学改革，以期为培养高质量的网络安全专业人才提供借鉴.1网络安全“X证书标准分析在国家职业技能等级证书信息管理服务平台以“网络安全”为关键词进行证书信息搜索，共有8个培训评价组织，包括中科软科技股份有限公司、三六零数字安全科技集团有限公司、深信服科技股份有限公司、北京天融信网络安全技术有限公司、奇安信科技集团股份有限公司、启明星辰信息技术集团股份有限公司、北京神州绿盟科技有限公司等7 家行业企业及上海海盾安全技术培训中心等，开发了网络安全运维、网络安全评估、网络安全运营平台管理、网络安全渗

5、透测试、网络安全应急响应、网络安全风险管理、网络安全服务、企业网络安全防护等多种“X”证书.各培训评价组织根据教育部发布的职业技能等级标准开发指南（试行）制定了相应的“X”证书职业等级标准，分为初级、中级和高级三种，分别对应中职、高职（专科）和本科三个不同层次.本文主要针对高职（专科）对应的中级证书标准进行讨论。1.1专业核心课程特征分析教育部在职业教育专业简介（2 0 2 2 年修订）收稿日期：2 0 2 3-0 6-0 6基金项目：河北省社会科学基金项目“高职院校产学研创赛协同育人模式理论与实践研究”（HB22JY016）作者简介：张红瑞（1 9 7 8-），女，石家庄职业技术学院副教授，

6、研究方向：职业教育、计算机技术，X证书视域下高职网络安全攻防实验教学探索张红瑞等：1-第4 期67中将高职（专科）的信息安全技术应用专业培养目标定位为：能够从事网络安全管理、网络安全运维等工作的高素质技术技能人才.其对应的“X”证书包括Web安全测试、网络安全运维、网络安全评估等 5 ，核心课程包括操作系统安全、信息安全产品配置与应用、Web应用安全与防护、信息安全风险评估等.信息安全技术应用专业的相关技术发展具有“快、广、多、高”等特点，主要体现在4 个方面.（1)行业发展快.各种系统和应用漏洞、病毒木马层出不穷，安全事件时有发生，行业知识和内容持续更新.（2）知识传播广，各类安全知识和技术

7、可以在很短的时间内通过互联网传播到世界的各个角落.（3）方法变化多.漏洞利用、注人攻击、零日攻击等各种攻击手段和方法不断发生变化.（4)实践要求高.新漏洞、新技术、新攻击手段的出现都要求在模拟或真实场景下完成攻防演练或实践。1.2“X”证书标准词云图分析证书标准蕴含了行业企业需求的典型工作任务和职业技能要求 6 .将网络安全中级“X”证书的工作任务和职业技能要求等内容进行文本提取和分解，使用大数据技术将其中的关键词绘制成词云图进行分析，以期为高职网络安全攻防实验教学改革指明方向.首先，提取“X”证书标准中的工作任务和技能要求.在国家职业技能等级证书信息管理服务平台上的等级标准栏目下载网络安全所

8、有相关的8 项“X证书标准，按行提取中级证书标准的工作任务和职业技能要求，将相应的编号进行删减，保留文本内容，共提取到工作任务条目8 6 项、职业技能要求条目3 8 9 项，将工作任务和技能要求条目合并后另存为UTF-8格式文本.其次，使用Python进行文本分词并过滤.分词技术是指利用计算机算法对文本内容按照一定规则进行词语切分，从而识别出文本中的重点内容和关键词语的技术 7 .本文采用Python语言自带的jie-ba分词库精确模式对网络安全“X证书（中级）标准文本进行分词，并对分词结果进行内容过滤，排除“根据、进行、能够、的、和、对”等非关键词内容.再次，使用Python对分词后的文本进

9、行大数据统计分析并绘制词云图，使用可视图像展示网络安全“X证书（中级）标准文本的重要关键词.采用Python语言自带的wordcloud库，生成和显示词云图，将分词结果的前2 0 0 个关键词进行频次统计并自动配置字号大小，出现的频次越高，字号越大.绘制的网络安全“X”证书（中级）标准文本词云图见图1.渗透工具实现燕统配完成送营日志美锅注入windows开系统安全应用备份IP安全件糕序中间件利用运维安全策略数据库应结巢管理能力机制结合网站密码服务系统漏洞户上佛婴求各种中文换编写定位方法检测原理Python报告合适提定预案统编制检查并防火安装AK排查运程部薯Linux在挖摄相关设备Beta服务全

10、湘洲任务场景维网基于IDS安全设备VE演练出运数据按照斑入健信息授权风险雨单位玫击文作广鲜参数一具体审计方案接木数据库安全制定4手工事件处置配置分析使功露用防护X5S包插企业编程语家图1网络安全相关“X”证书（中级）标准文本词云图从图1 可以看出，网络安全“X”证书（中级）标准文本词云图中的重要关键词包括安全、漏洞、需求、配置、加固、使用和验证等，其中，安全、漏洞、需求为出现频率较高的关键词.安全漏洞是指信息系统在设计、编码、配置、运行和管理过程中出现的错误或缺陷，包括系统漏洞、应用漏洞、网络漏洞、硬件漏洞等.中国信息安全测评中心在其发布的2 0 2 2上半年网络安全漏洞态势观察报告中指出，网

11、络安全的高危漏洞数量不断增长，漏洞利用和实战化趋势明显，漏洞威胁严重并影响持久 8 1.因此，网络安全漏洞的分析、验证与加固是网络攻防实验的重中之重，本文以中间件安全漏洞的攻击与修复为例，通过现有的实践环境重构和再现高度仿真的网络安全攻防实验，以提高学生攻防技术水平。2中间件安全漏洞的攻击与修复笔者所在单位选择了中科软科技股份有限公司开发的网络安全运维“X”证书（中级）作为信息安全技术应用专业对应的职业技能证书，其对应的专业课程包括网络攻击与防御、Web应用与安全防护、数据库安全、操作系统安全等.网络安全运维“X”证书（中级）等级标准要求的工作领域包括网络安全设备部署调试、操作系统安全加固、系

12、统安全渗透测试、Python安全应用、数据库安全配置与管理等5个方面.在操作系统安全加固工作领域中设计了Windows操作系统、Linux操作系统、中间件漏洞验证及加固等3 种不同类型的典型工作任务 9 .本文以网络安全运维“X证书要求的CVE-2017-12617中间件安全漏洞为例进行分析，安全漏洞的利用、修复第3 5 卷石家庄职业技术学院学报68过程见图2.首先，根据漏洞编号在CVE平台（国际通用漏洞披露平台）/CNVD平台（国家信息安全漏洞共享平台)查询漏洞的描述、原因及修复方案；其次，部署VMware平台和KALI攻击机，根据漏洞所需的系统和软件模拟靶机环境并进行漏洞探测；再次，利用工

13、具/方法攻击漏洞并执行相关命令，漏洞验证完成后，修复漏洞；最后，将漏洞攻击及修复方案与CVE/CNVD平台提供的漏洞原理进行对比分析.漏洞查询CVE/CNVD漏洞定位查询漏洞描述、原因及修复方案澜洞攻击及修复方案部署VMware平台和KALI系统11111分析原模模拟虚拟靶机及环境拟1因环1境失败漏洞探测成功修复系统执行相关利用工具/方漏洞命令/操作法攻击漏洞1漏洞利用图2安全漏洞的利用及修复过程示意图2.1CVE-2017-12617漏洞分析在CVE或CNVD平台按照漏洞编号CVE-2017-12617或CNVD-2017-27472进行漏洞定位并查询漏洞产生的原因.当Tomcat运行在Wi

14、n-doWs操作系统且启用HTTPPUT请求方法时，攻击者可以通过构造或修改攻击请求数据包向服务器上传JSP文件，当JSP文件中的恶意代码被服务器执行后将导致服务器上的数据泄露或权限获取，存在高安全风险.如果Tomcat配置了默认的servlet，其参数readonly设置为false或者参数readonly设置启用WebDAVservletfalse，则此配置将允许任何未经身份验证的用户上传文件，包括9.0.0.M1到9.0.0，8.5.0 到8.5.2 2，8.0.0.RC1到8.0.4 6及7.0.0 到7.0.8 1 等版本都包含远程执行代码安全漏洞.2.2CVE-2017-12617

15、漏洞利用首先，搭建漏洞测试环境.在VMwareWork-station平台创建靶机Windows2008，然后在靶机上安装JDK和XAMPPControlPanel.配置靶机IP地址为1 9 2.1 6 8.1.3，子网掩码为2 5 5.2 5 5.2 5 5.0，启动并验证Tomcat服务是否正常，测试访问http：/1 9 2.1 6 8.1.3:8 0 8 0 是否正常.其次，利用KALI进行漏洞探测.在VMwareWorkstation平台创建攻击机KALI系统，配置IP地址为1 9 2.1 6 8.1.1 0，子网掩码为2 5 5.2 5 5.2 5 5.0.使用nmap-n-T5-

16、sV192.168.1.3命令扫描靶机服务器版本信息，发现靶机Tomcat服务的8 0 0 9和8 0 8 0 端口开启.使用niktoh 1 9 2.1 6 8.1.3：8080命令对靶机服务器进行漏洞扫描，发现OS-VDB-397和OSVDB-5646安全漏洞，靶机服务的X证书视域下高职网络安全攻防实验教学探索张红瑞等：1-第4 期69HTTPmethod允许客户端PUT和DELETE文件到靶机。再次，拦截并修改数据包.设置攻击机Firefox浏览器本地代理地址为1 2 7.0.0.1，端口为8 0 8 0.启动Burpsuite工具，设置Proxy为本地代理地址并开启拦截抓包.当Fire

17、fox浏览器访问靶机地址http:/192.168.1.3:8080时，使用Burpsuite拦截数据包并将GET参数修改为PUT，填写上传文件的相关信息，点击Forward，查看返回的数据包状态.如状态为2 0 1，说明文件上传成功.最后，利用漏洞执行命令.在上传的文件访问地址后边加上要执行的命令，如http：/1 9 2.1 6 8.1.3：8080/test.jsp?pwd=023&cmd=whoami,就可以看到远程命令成功执行。2.3CVE-2017-12617漏洞修复如果修复该漏洞，可以在靶机上打开Tomcat服务的web.xml文件，找到.所在位置，将readonly参数部分的字

18、段false修改为true.重启Tomcat服务，再次访问ht-tp：/1 9 2.1 6 8.1.3:8 0 8 0，使用Burpsuite抓包并修改上传恶意文件，再查看返回的数据包状态，显示403错误，说明文件上传失败，漏洞修复成功.网络安全运维“X”证书中共设计了6 个涉及到中间件的安全漏洞，包括CVE2 0 1 7 9 7 9 1，C V E-2017-12617,CVE-2017-15715,CVE-2018-12613等，涉及到系统配置、远程代码执行和JAVA序列化漏洞等内容.2 0 2 1 年，CVE2 0 2 1 4 4 2 2 8（A p a c h eLog4j2)安全漏洞

19、因其攻击难度低、利用工具多、影响系统广等特点，给众多中间件的服务安全带来了深远影响.中间件程序作为在系统软件和不同应用程序之间提供合作通信、资源共享和数据交换等服务功能的类型软件，应按照最小权限原则进行合理配置，尽可能关闭存在安全隐患的功能和服务。3课证融合育人的实践路径为推进1 十X证书与人才培养过程的深度融合，可以将证书标准要求充分融人到课程体系、实验教学和考核评价等环节，推进课证融合育人工作，既有利于提升学生技术技能水平，又可为行业企业提供能力识别的依据 1 0 ，降低企业人力资源的筛选和培养成本.（1)融合证书标准，重构课程教学体系根据网络安全运维“X”证书标准积极开展课程标准对接，重

20、新修（制）订信息安全技术应用专业人才培养方案，在教学中增设“X”证书模块课程4 门，包含漏洞扫描、漏洞利用、后门管理、密码破解、Py-thon、数据库安全管理、数据库访问控制、Windows操作系统及服务漏洞、Linux服务漏洞、中间件服务漏洞等证书要求的技能培训内容和相关理论知识，重构课程教学体系.在信息安全技术应用专业教学过程中，按照由易到难、分级递进的原则，将“X”证书的职业技能要求分学年、学期融人到模块课程中。对人才培养方案没有覆盖到的工作任务，充分利用现有的网络课程资源，采用“内容自学十教师指导十考前集训”的方式完成.鼓励相关专业的学生积极参加“X”证书考试，并将获得的证书根据人才培

21、养方案置换为相应学分或折合成课程成绩。（2）分析安全漏洞，强化实验攻防演练网络安全的关键在于攻击与防御的对抗能够识别和处理系统的风险部位和薄弱环节 1 1 .由于网络安全漏洞持续更新并不断变化，这就要求职业技能等级标准能够及时更新或定期修订，而且要加大培养学生标准内容的自主学习能力和自我提升能力，使他们能够在CVE/CNVD平台通过编码快速地找到漏洞描述、修补信息和解决方案，能够学习行业企业发布的安全公告和漏洞研究报告，并进行安全攻防演练实验.通过实验室安全沙盒平台或VMware平台搭建可管控、可攻防、可重复的网络靶场环境，在网络靶场模拟真实环境中的攻击行为 1 2 .通过在VMware平台上

22、添加KALI攻击机和虚拟靶机镜像的方法，可以快速完成攻防实验环境部署，实现网络安全漏洞和实验项目及时更新.要求学生在实验过程中采用“过程录屏十课程报告”的形式提交实验结果，以强化其实践动手能力.鼓励学生利用开源平台的任务和安全漏洞热点来设计题目 1 3 ，不断补充、完善和强化“X”证书要求的技能训练内容.4结语本文以高职院校“书证融通”的实验教学改革为切入点，对网络安全相关“X”证书的职业技能要求进行了大数据分析，针对核心关键词，结合证书技能要求讨论了中间件安全漏洞的复现、利用和修复方法.将网络安全运维“X”证书的职业等级标准用来指导信息安全应用技术的专业建设，既可以利用标准重构专业人才培养方

23、案，又为专业实验教学提供岗位典型工作任务和技能要求，可以提高高职院校网络安全相关专业学生的技术技能水平和人才培养质量.欣责任编辑：金第3 5 卷石家庄职业技术学院学报70参考文献：1孝教育部网.国务院关于印发国家职业教育改革实施方案的通知 EB/OL.（2 0 1 9 0 2 1 3)2 0 2 3-0 6 0 1 .h t t p:/w w 十X证书制度的提升策略研究 J.中国职业技术教育，2 0 2 3（1 2）：9 0-9 63中国政府网.中华人民共和国国民经济和社会发展第十四个五年规划和2 0 3 5 年远景目标纲要EB/OL.（2 0 2 1 一0 3 一13)2023-0601.h

24、ttp:/ 张卓群.中国网络安全产业发展态势及对策研究.北京工业大学学报：社会科学版，2 0 2 2，2 2（3）：7 5-8 5.5教育部.职业教育专业简介（2 0 2 2 年修订）EB/OL.（2 0 2 2 一09-07)2023-06-01.http:/ 蒋珩，朱莹.1 十X证书标准融人职业教育人才培养过程的逻辑、形式和途径J.成人教育，2 0 2 2，4 2（1 2）：6 6-7 2.7祝永志，荆静.基于Python语言的中文分词技术的研究 J.通信技术，2 0 1 9,5 2（7)：1 6 1 2-1 6 1 9.8中国信息安全测评中心.2 0 2 2 上半年网络安全漏洞态势观察

25、EB/OL.（2 0 2 2 0 9-0 2)2 0 2 3 0 6-0 1 .h t t p:/w w 0 2 1 年2.0 版）EB/OL.（2 0 2 2 0 4 2 2）2 0 2 3 0 6 01J.https:/ 0 2 1（2 9）：5 4-5 9.11朱辰，孙斌，金心宇，等.网络空间安全攻防实验教学与实训平台的构建 J.实验室研究与探索，2 0 2 1，4 0（6）：2 6 5-2 6 7.12李馥娟，王群.网络靶场及其关键技术研究 J.计算机工程与应用，2 0 2 2,5 8 5）：1 2-2 2.13王虎，张立江，陈伟，等.开放式的网络与安全实验室建设与教学改革探索 J.实

26、验室研究与探索，2 0 1 8，3 7（9）：3 3 1-3 3 4.Cyber security in vocational colleges from theperspective of 1+X certificateZHANG Hong-rui?,ZHANG Yu-song,LU Yan-gang,TIAN Xiao-linge(a.Department of Information Engineering;b.Department of Teaching Affairs;c.Department of Software Engineering,Shijiazhuang Universi

27、ty of Applied Technology,Shijiazhuang,Hebei 050081,China)Abstract:As 1+X certificate is an embodiment of typical tasks and vocational skill requirements forenterprise posts,this paper selects 8 types of text data required by cyber security related x certificate(intermediate)standards,uses Python lan

28、guage for text segmentation,and draws word cloud graphs.Thekeywords and middleware with vulnerabilities that are required for operation and maintenance are taken forfurther discussion of causes,attacks,utilization and repairs.The purpose is,by restructuring curriculum,to promote the cyber security in vocational education.Key words:1+X certificate;cyber security;vulnerability;cyber attack experiments;teaching reform