胡龍平 譚雯 蔡晨

（湖南信息職業(yè)技術(shù)學(xué)院，湖南 長沙 410000）

一、概述

《web 應(yīng)用安全技術(shù)》課程作為計算機應(yīng)用相關(guān)專業(yè)的專業(yè)核心課程[4],課程開設(shè)于2020 年9 月,該課程的前修課程為《web 前端技術(shù)》《MYSQL數(shù)據(jù)庫基礎(chǔ)》《PYTHON 編程基礎(chǔ)》,后修課程為《代碼安全》;《Web 應(yīng)用安全技術(shù)》課程是前端安全技術(shù)員、前端開發(fā)工程師等職業(yè)崗位所要求掌握的專業(yè)技能課程,培養(yǎng)學(xué)生在實際開發(fā)過程中解決Web 應(yīng)用系統(tǒng)潛在的安全漏洞風(fēng)險,提高Web 應(yīng)用系統(tǒng)抵抗網(wǎng)絡(luò)攻擊的安全能力。本文以《web 應(yīng)用安全技術(shù)》課程為例,探索如何在《web 安全應(yīng)用技術(shù)》中融入課程思政。

二、《web 應(yīng)用安全技術(shù)》的課程目標

（一）授課對象:計算機應(yīng)用技術(shù)二年級學(xué)生(第一學(xué)期)

（二）課程課時及特點:3 學(xué)分(60 課時);專業(yè)核心課程,課程內(nèi)容豐富,范圍廣,難度適中,部分章節(jié)學(xué)生對邏輯能力要求較強,課程具有一定的條件開展課程思政教育。

（三）學(xué)情分析:計算機應(yīng)用專業(yè)學(xué)生第一門關(guān)于安全的專業(yè)課程,在引導(dǎo)學(xué)生進行專業(yè)知識學(xué)習(xí)的同時,引導(dǎo)學(xué)生學(xué)習(xí)及踐行社會主義核心價值觀,體現(xiàn)教師立德樹人的價值。

三、《web 應(yīng)用安全技術(shù)》的思政目標

通過對本課程進行隱性的"課程思政"元素設(shè)計,以"立德樹人"為根本,課程教學(xué)中實現(xiàn)四個層面的正面引導(dǎo)教育。

（一）愛國主義教育,培養(yǎng)學(xué)生正確的世界觀、人生觀和價值觀。

（二）普法宣傳教育,增強學(xué)生對安全法的了解、運用與認同。

（三）創(chuàng)新思維教育,提升學(xué)生的創(chuàng)新能力,增強核心競爭力。

（四）職業(yè)道德教育,培養(yǎng)學(xué)生良好的職業(yè)道德,提升職業(yè)素養(yǎng)。

四、《web 應(yīng)用安全技術(shù)》中的課程思政

課程的開展主要分10 周開展,以下列舉了課程的教學(xué)內(nèi)容選擇與安排:

（一）1-2 周,授課知識為Web 安全基礎(chǔ)和XSS 攻擊;課程案例為:提升防范意識,打擊web 網(wǎng)絡(luò)違法犯罪

課程思政的融入點為:web 安全關(guān)系到每個公民的切身利益;web 安全關(guān)乎國家信息安全,落實社會主義核心價值觀社會層面;通過描述知名企業(yè)web 安全事故帶來的嚴重影響,web 網(wǎng)站建設(shè)要融入安全設(shè)計;根據(jù)《網(wǎng)絡(luò)安全法》要求,知法守法;主要培養(yǎng)學(xué)生對《網(wǎng)絡(luò)安全法》深入了解,遵守安全法;提高文檔撰寫能力與口頭表達能力;學(xué)會團隊協(xié)作,具有大局意識,提升職業(yè)綜合素養(yǎng)。

（二）3-6周,授課知識為請求偽造漏洞與防護和SQL注入;課程案例為:用高科技捍衛(wèi)web 安全

課程思政的融入點為:CSRF 攻擊,保護個人信息,保護他人隱私;分析網(wǎng)絡(luò)釣魚的表現(xiàn)形式,防止個人信息泄露;SQL 盲注測試過程復(fù)雜、枯燥,需要耐心、細致的態(tài)度及鉆研精神;SSRF內(nèi)網(wǎng)探測,拓展云服務(wù)器的重要性,要放寬視野,積極學(xué)習(xí)先進技術(shù);主要培養(yǎng)學(xué)生嚴謹務(wù)實的工作態(tài)度,在網(wǎng)站訪問及網(wǎng)絡(luò)信息傳遞時,要把信息安全放在首位,保護好個人隱私；了解新時代IT 工匠精神的內(nèi)涵,并將這種精神運用到學(xué)習(xí)中和工作中；

（三）7-8周,授課知識為文件上傳攻擊和Web木馬的原理;課程案例為:哪些“隱性殺手”威脅web 安全

課程思政的融入點為:文件上傳攻擊管理員權(quán)限問題,培養(yǎng)職業(yè)素養(yǎng);文件上傳實現(xiàn)復(fù)雜業(yè)務(wù)流程,團隊協(xié)作的重要性,培養(yǎng)集體榮譽感；知名的web 木馬攻擊防護案例,扎實的web 安全檢測和防護技能；主要使學(xué)生了解團隊合作運作模式,具有良好的團隊合作意識；了解web 安全工程師的學(xué)習(xí)內(nèi)容、工作內(nèi)容,提高學(xué)習(xí)積極性和自主性;熱愛web 安全技術(shù),熱愛運動,會學(xué)習(xí)會生活,能夠合理安排日常生活與學(xué)習(xí)。

（四）9-10 周,授課知識為文件包含攻擊和命令執(zhí)行攻擊與防御;課程案例為:web 應(yīng)用安全-一場沒有硝煙的戰(zhàn)爭

課程思政的融入點為:完成文件攻擊流程,理論學(xué)習(xí)與實踐相結(jié)合,腳踏實地的學(xué)習(xí)精神;課后搜索了解近幾年的web 攻擊事件,培養(yǎng)愛國精神和科學(xué)精神;高危漏洞層出不窮,培養(yǎng)自學(xué)能力和探索精神及解決問題的能力;培養(yǎng)學(xué)生良好的心理素質(zhì)和敬業(yè)精神,遵守職業(yè)道德;有強烈的愛國主義和創(chuàng)新精神;有良好的個人品德修養(yǎng)。

五、總結(jié)

本文以《web 應(yīng)用安全技術(shù)》課程為例,簡述了課程思政在計算機類課程中的應(yīng)用,通過對計算機應(yīng)用專業(yè)6 個班的學(xué)生進行授課,得到學(xué)生的反饋良好,大部分同學(xué)表示,通過課程的學(xué)習(xí)無論是課程知識的掌握還是個人觀念的影響都十分有效。