《web應用安全技術(shù)》課程教學反思

胡龍平

摘要：《web應用安全技術(shù)》課程作為計算機應用專業(yè)的專業(yè)核心課程，隨著人才培養(yǎng)方案的修訂，該課程目前已開設(shè)2年，授課專業(yè)包括計算機應用及云計算專業(yè)，本文針對該課程兩年的實施情況進行統(tǒng)計與總結(jié)，并提出后續(xù)課程教學的改進方向。

關(guān)鍵字：web安全;教學反思;教學改革

中圖分類號：G4 文獻標識碼：A

一、課程基本情況

為適應《1+X》證書提出的技術(shù)要點以及人才培養(yǎng)方案的新要求，我院于2020年開始增設(shè)《web應用安全技術(shù)》課程，課程主要面向計算機應用及云計算大二學生，課程開設(shè)于大二第二學期，總共60課時，3學分，前置課程包括《web前端基礎(chǔ)》、《JavaScript》、《MySQL數(shù)據(jù)庫技術(shù)》等，后置課程包括《專業(yè)技能訓練》、《代碼安全》等，該課程在計算機應用專業(yè)課程體系中起承上啟下作用，課程采用理實一體化授課方式。課程主要內(nèi)容包括SQL注入漏洞、XSS漏洞、跨站請求偽造漏洞（CSRF和SSRF）、文件上傳及文件包含漏洞等。課程的主要目標是以常見的web系統(tǒng)中的漏洞為主，使學生了解漏洞產(chǎn)生的原理，熟悉漏洞攻擊步驟，進而根據(jù)漏洞表現(xiàn)形式熟練制定出漏洞防護方法。

二、課程實施情況及問題

課程開設(shè)兩年，授課學生425人，其中包括計算機應用8個班，云計算2個班。課程選用的教材為蔡晶晶的《web安全防護指南-基礎(chǔ)篇》，并結(jié)合超星學習通平臺進行課程教學。在課程具體實施過程中，主要遇到了以下問題：

（1）課程資源不夠完善

課程在開展的過程中所使用的教學案例主要來源于教材，限制了課堂的延伸，學生在操作中接觸實際網(wǎng)絡(luò)攻擊案例有限，課程開展存在局限性。

（2）不同專業(yè)的教學方法沒有區(qū)分

課程的授課對象主要是云計算和計算機應用專業(yè)學生，兩個專業(yè)的學生在前置課程的學習上存在區(qū)別，例如，云計算專業(yè)對于web前端基礎(chǔ)課程掌握的程度不如計算機應用專業(yè)的學生，在授課上，對兩個專業(yè)采用相同的授課方式就會出現(xiàn)問題，例如，在XSS攻擊授課過程中，要求學生根據(jù)表單所處的HTML環(huán)境設(shè)置攻擊代碼，計算機應用專業(yè)學生可以輕易讀懂的代碼并設(shè)計出攻擊代碼，而云計算學生則覺得難度較大。

（3）學生上課積極性不高

課程盡管在實施的過程中采用線上線下相結(jié)合的方式進行，但是在整個課程的實施過程中，學生的積極性不高。部分同學反應課程難度太大，很多時候聽不懂，小部分同學認為基礎(chǔ)太薄弱，導致實驗做不出，在課程學習時，成就感不高。

（4）未體現(xiàn)全方位育人

由于課程屬于新開課程，課程基礎(chǔ)薄弱，因此，前期課程在設(shè)計與實施中，過多的依賴于教材，缺乏對學情的具體分析，且未考慮將課程思政等新的教學理念融入課堂，課程在育人理念方面有所欠缺。

（5）課程考核形式太單一

課程初期的考核方式主要采用學期末的考核進行評判，由于考試題在設(shè)置上并不能綜合所有的知識體系，因此單一的考核方式也具有一點的局限性，且學生發(fā)揮也受其他不可控因素影響，因此，單一的期末考試無法真實的反應課程實施的效果，也不能完全反應學生的學習效果。

三、課程后續(xù)發(fā)展方向

為完善課程教學，針對之前課程所反映出的問題，為后續(xù)課程開展總結(jié)出了以下幾點發(fā)展方向：

（1）加強課程建設(shè)。課程基礎(chǔ)資源建設(shè)是整個課程實施的基礎(chǔ)，加強課程建設(shè)包括完善課程實施方法，實現(xiàn)課程設(shè)計多樣化、課程環(huán)節(jié)規(guī)范化，加強課程題庫建設(shè)。

（2）針對不同專業(yè)制定不同的課程實施方案。由于該課程屬于跨專業(yè)課程，授課對象涉及到兩個專業(yè)，課程在針對不同專業(yè)設(shè)計時，應該考慮到專業(yè)特性，制定符合不同專業(yè)的課程實施方案，不能所有專業(yè)都一趟水。例如，針對云計算專業(yè)，應該更注重于提高學生的安全意識，讓學生能通過網(wǎng)頁的業(yè)務邏輯判斷當前系統(tǒng)可能存在的安全問題，而計算機應用專業(yè)學生應該重點培養(yǎng)漏洞挖掘及防護，不僅要有安全意識，還要能根據(jù)漏洞的表現(xiàn)形式制定相應的防護策略。因此，針對云計算專業(yè)該課程的課程設(shè)計應該側(cè)重于原理的了解與掌握，而計算機應用專業(yè)應該側(cè)重于實際操作能力的鍛煉。

（3）豐富課程環(huán)節(jié)，巧用線上教學工具。針對學生課堂積極性不高的問題，一方面教師應該提升自我能力，提高教學技能，增強專業(yè)素養(yǎng)，用專業(yè)感染學生;另一方面，要學會巧用線上教學工具，豐富課堂教學，例如，使用在線教學工具實現(xiàn)知識搶答等，以小組競爭的方式提高學生的團隊意識及課堂參與度。

（4）優(yōu)化課程考核評價方法。課程的評價不能單靠期末考核，應該將課程的考核融入教學全過程。例如，可以在課前布置一些資料搜索任務，并根據(jù)學生的表現(xiàn)給出一定的評分，并將評分以百分比的方式計入課程考核總成績，另外，在每個章節(jié)設(shè)計相應的章節(jié)小測，以小測的形式進行階段性教學成果檢驗。全方位的教學評價方法對于課程的教學成果檢測更具有現(xiàn)實意義。

四、總結(jié)

本課程基于兩年的教學情況進行分析，指出課程在實施過程中存在的課程資源不夠完善、不同專業(yè)的教學方法沒有區(qū)分、學生上課積極性不高、未體現(xiàn)全方位育人及課程考核形式太單一等問題，提出后續(xù)課程的改進及實施方向，指出后續(xù)課程開展應優(yōu)化教學資源，豐富課程環(huán)節(jié)，巧用線上教學工具、優(yōu)化課程考核評價方法等相關(guān)的教學改進策略。通過課程的總結(jié)與反思，為《web應用安全技術(shù)》課程后續(xù)的實施指明了方向。

參考文獻

[1]姜大源. 職業(yè)教育學基本問題的思考（一）[J]. 職業(yè)技術(shù)教育， 2006， 27（001）：5-10.

[2]張彥， 呂洪君， 于寶證，等. 基于工科青年教師教學技能提升的教學設(shè)計研究[J].? 2021（2014-6）：120-124.