《Web应用安全技术》课程思政实施设计

胡龙平

摘要：《web应用安全技术》课程主要面向高职高专类计算机应用专业人才，为落实“全方位育人”，本文针对该课程的课程思政实施情况进行分析和总结，制定出合理有效的课程思政实施方案。

关键字：课程思政，web安全，网络安全;

Keywords：curriculum ideological and political，web security， network security

1课程目标

《Web应用安全技术》课程主要面向计算机应用专业学生，该课程的前置课程包括《Web前端技术》、《Java基础》和《MySQL数据库》等，后置课程包括《代码安全》、《专业技能训练》等。课程主要面向计算机应用专业大二学生，通过介绍Web系统相关安全漏洞挖掘技能及Web安全漏洞防护技能，培养学生①Web应用安全风险识别和防范能力;②运用安全知识、工具、技术手段进行Web应用系统安全加固的能力;③提升面向Web应用的安全保障体系设计与实施能力，④培养学生的Web安全意识，提高学生的法律意识、责任意识、创新意识、服务意识及工匠精神。

2课程设计

依据专业人才培养方案、课程标准和web前端工程师（1+X）职业技能等级证书考核标准，立足web安全工程师、web前端工程师职业能力要求，参考国家职业教育web前端系列规划教材，以web应用为载体，基于实际工作任务，在任务中融入思政理念，结合知识、技能和素养目标进行教材重构设计了网络空间安全基础、前端安全、业务逻辑安全、数据库安全及服务器安全5个模块，主要介绍Web系统中常见漏洞的攻击原理、攻击方法及防御手段，本课程以Web安全主题，围绕“法律保安全、专业保安全、行动保安全”为课程实施路径有效融入课程思政元素，总共设计了5个课程思政案例。

课程思政总体设计以真实的网络攻击安全事件为切入点，启发学生思考安全事件产生的主要因素及危害，灌输国家网络安全工作要坚持“网络安全为人民、网络安全靠人民”的安全理念，引導践行总体国家安全观，筑牢网络安全“钢铁长城”。每个思政案例的实施都采用“三段式”进行，先以案例切入学习《网络安全法》的法规内容，以法律约束自身行为，再通过学习专业知识，强化自身素养，以专业手段保护自身及他人的信息安全，最后落足实际，服务社会，为维护网络空间安全贡献自己的一份力量。强调手脑并用、知行合一。

3课程思政教学实施情况

依托学院课程思政项目，Web应用安全课程的课程思政建设已经实施两年，主要课程思政教学实施情况如下：

（1）课程资源

课程主要教学资源包括：课程授课PPT、章节练习题、视频图片资料、实验报告、网络攻防靶场、网络攻防云平台等。通过课程思政的开展与实施对现有教学资源融入思政元素进行优化，其中包含思政案例的PPT有6个、案例视频及图片12个、复现漏洞创建的思政案例靶场5个、网络安全法等相关的练习题200道、具有案例思考的实验报告6个。

（2）教学方法

案例分析法：在每个模块的教学中，都是以一个思政案例贯穿整个模块，教师通过具体的案例给学生讲解知识点的实际应用，让学生对知识点的使用有直观的了解。

任务驱动法：以任务为主导，“子任务”为模块，让学生在接受任务、执行任务及完成任务的过程中深入学习、将所学的理论知识运用于实践，从而提高学生运用知识的能力。

（3）教学手段

课程主要采用线上线下结合方式展开教学，线上采用学习通平台进行案例视频学习及相关话题讨论，课后练习等，线下进行实际靶场练习，答疑及现场展示。通过上述教学手段的实施，有效提高了课程思政的开展效率。

【教学剖析】

以模块四—数据库安全模块课程设计为例，数据库安全模块主要是根据利用数据查询功能漏洞，通过构造SQL语句获取系统数据库中的用户名、密码等关键数据。根据课程内容特点及思政目标，设计以UbuntuOnline网站的SQL注入案例贯穿整个模块内容进行课程设计如下：

在知识点授课之前，利用学习通平台发布资料查询任务，查询UbuntuOnline网站的遭受的重大SQL注入攻击事件。

利用案例导入法，以课前查询的案例为切入点，组织学生以小组形式讨论分析案例资料查询后的心得体会。此次SQL注入攻击造成高达200万用户数据的泄露，攻击者最终获得法律制裁。以此为前提引入介绍《中华人民共和国网络安全法》，并警示学生，作为一名计算机专业人员，要严格以法律约束自己的行为，作为一个网民，要学会利用法律手段保护自己。

通过漏洞复现，进行主要知识点授课，在SQL注入原理学习时，了解到SQL注入主要获取用户关键数据等，提醒学生在平时密码设置上要注意复杂密码的设置以及有意识的对关键文件进行保护和及时的清理。在SQL注入的过程学习中，需要不断的构造攻击代码，可提高学生的耐心。介绍SQL注入漏洞利用环境时，了解到目前96%以上的网站都面临SQL注入漏洞威胁，提醒学生在以后编程过程中，要具有安全意识，严谨细致的代码规范编写行为。模块内容学习结束后，在章节测验题中植入网络安全法相关知识，以及设计思考题，当你在某公司网页进行访问时，发现该系统存在SQL注入漏洞，这个时候你会怎么做？通过学生的回答判断学生是否能主动维护网络空间安全。

4课程特色与创新

（1）践行手脑并用，倡导身体力行，提升家国情怀

在课程实施中，加入社会服务环节，组织学生进社区、进学校进行《网络安全法》的宣传活动，让学生以实际行动保卫信息安全，进而为国家安全奉献自己的一份力量。

（2）三段式课程实施框架

课程在实施过程中每个思政案例的实施都采用“三段式”进行展开，即案例切入安全法学习+专业知识提升素养+践行活动服务社会，最终实现在提高学生知识技能的同时完成育人目标。

（3）有效落实思政评价

课程在实施中落实了思政实施效果的评价，通过同行评价、学生评价及社会评价三个维度对课程思政效果进行评价，尤其在社会评价方面，通过实际的社会活动，检验课堂思政效果。

5总结

本文以《web应用安全技术》课程的实施为例，探索在新技术、新形势下如何实现教学改革。主要对课程建设、丰富教学手段、多维度评价及在课堂中融入思政元素等方面进行阐述，对于有效提升教学质量培养健全型及全能型人才具有重要意义。

参考文献

[1]陈燕萍.新媒体时代高职思政课教学模式创新的实践[J].佳木斯职业学院学报，2021，37（01）：24-25.

[2]沈君.职教改革背景下高职思政教育的转型探究[J].发明与创新（职业教育），2020（12）：9+11.

[3]石红梅.论推进高校课程思政的实施[J].科教文汇（下旬刊），2020（12）：59-60.