李致远，毕俊蕾，宋香梅

（1.江苏大学 计算机科学与通信工程学院，江苏 镇江 212013；2.江苏大学 信息化中心，江苏 镇江 212013）

0 引言

近年来，随着工程教育认证深入高等学校，成果导向教育（outcome-based education,OBE）[1]的理念日益融入我国高等教育的课程改革。OBE亦称能力导向教育、目标导向教育或需求导向教育。自1981年由Spady等人提出后，OBE理念和方法被公认为是追求卓越教育的有效方法，受到世界各国著名大学的推崇。作为国际化程度最高、体系最完整的本科工程教育国际互认协议，即《华盛顿协议》(Washington Accord)，全面接受了OBE理念并将其融入工程教育专业认证中。2013年6月中国加入《华盛顿协议》，2016年6月中国成为《华盛顿协议》正式成员，这意味着中国工程教育认证结果将在《华盛顿协议》正式签约国和地区实现互认。

OBE理念下的Web应用安全教学模式，即三位一体教学模式，三位是指正确的安全世界观、扎实的Web应用安全理论知识和熟练的攻防实践能力。通过三位一体的教学培养模式，旨在为国家和社会主义现代化建设培养有国家安全意识、严格遵守国家安全法且具有坚实的Web应用安全理论知识及相应实践操作能力的信息安全专业人才。

1 Web安全课程教学现状

近年来，国内外大学信息安全专业对Web安全课程的教学和实践教学环节进行了较深入的研究和探讨，公布了相关的教学大纲，发表了相应的教改论文[2-5]。

其中，文献[2]从信息收集技术、攻击技术和防御技术出发，给出了网络嗅探、漏洞扫描、拒绝服务攻击、缓冲区溢出攻击、SQL 注入攻击、跨站脚本攻击、ARP 欺骗网页劫持攻击、恶意代码攻击、防火墙和入侵检测系统相关实验项目。文献[3]提出利用开源项目资源搭建Web安全实验平台，作者提出了4个实验项目，包括HTTP/HTTPS 数据流分析、HTTP 响应分割攻击、XSS/CSRF及SQL 注入攻击、Web 安全防护工具的配置与使用。文献[4]围绕开放式Web应用程序安全项目组织（open web application security project，OWASP）提出的十大安全威胁，给出了课程实验的组织方式和组织流程，不足的是目前尚停留在想法阶段，未能给出Web安全实验的具体实施方法。

从文献[2—3]提供的效果来看，学生能够很好地完成技术原理并实现较为简单的实验，如信息收集实验；对于技术原理复杂且带有工程实践的实验项目，如跨站脚本攻击中的XSS 钓鱼攻击和恶意代码攻击中的IPC 漏洞攻击，完成效果不太理想；对流程步骤繁琐、规则较多的防御类型实验完成效果一般，如Snort入侵检测系统的配置和规则更新。

国外著名的斯坦福大学则采用了Web编程与安全课程[5]相结合的授课方法，在实验环节由高校提供硬件环境，让学生通过实际网站或自建网站方式构建Web平台，并自行设计和实现Web安全检测与防御实验。

综上所述，国内Web应用安全课程的教学环节仍然存在“填鸭式”的灌输课堂。知识主宰着课堂，教师成了知识的权威，学生成了知识的“容器”，教学过程成了“复制”知识的过程。此外，教学环节缺乏学生的反馈，教师无法掌握学生对Web应用安全理论知识的实际掌握情况。部分高校将Web应用安全课程设置为理论讲述课程，导致理论和实践环节脱节。这些就是目前我国信息安全专业学生的培养没有达到预期的根本原因。尽管国外的Web安全课程体系较为先进，但与我国信息安全专业课程建设的实际情况不符。首先，由于课程体系和课时数的限制，我国部分高校的信息安全专业没有开设Web 编程课程，有些高校即便开设了Web 编程课程，但与Web应用安全课程不在同一个学期上，无法做到实际意义上结合。其次，信息安全专业的建设经费有限，不太可能为了某一门课程专门购置实验用的硬件环境。最后，就是我国现有大学生更适应验证性实验，对于创新型实验缺乏独立完成的能力。

2 OBE理念下的Web应用安全教学模式

首先，给出OBE理念下面向信息安全专业的Web应用安全课程三位一体教学模式的组织结构，见图1。这套Web应用安全三位一体教学模式让学生从正确的安全世界观出发，学习和掌握扎实的Web安全理论并具备一定的攻防实践能力。这套教学模式培养的人才主要面向经济活跃的长三角地区。目前，长三角地区的信息共享、社交、娱乐及大宗和批量小额交易都是基于Web应用平台的。为此，长三角地区的网络空间安全成为我国网络空间安全防御的最前沿，急需大量具有正确的安全世界观、专业技术娴熟且动手能力强的Web应用安全专业技术人才。

图1 Web应用安全的三位一体教学模式

2.1 三位一体之正确的安全世界观

在Web应用安全课程的教学过程中，教师向学生讲述树立正确的安全世界观的重要性和必要性，并在课程理论教学和实践教学环节将这一思想贯穿始终。

培养学生正确的安全世界观，首先要让他们了解Web安全简史，包括黑客简史、黑客技术的发展历程；其次是深刻理解“安全问题的本质是信任问题”这句话的含义；最后了解“黑帽子”和“白帽子”的区别，能够深刻理解白帽子兵法，包括黑白名单、最小权限原则、纵深防御原则、数据与代码分离原则和不可预测原则。要培养学生致力于做一名志存高远、谦虚谨慎的“白帽子”专业技术人员，不做危害社会和他人利益的脚本小子。除此之外，还须明白Web应用安全的学习之路是艰苦的，需要始终保持艰苦奋斗的精神，靠短暂的激情和三分钟热度是无法掌握好Web应用安全课程要旨的。

2.2 三位一体之扎实的Web安全理论

在理论教学环节，三位一体教学模式的要点在于“教是为了不教，学是为了会学”，在课堂上实现五大转变。重点要培养学生掌握在工程中解决实际问题所需的基本概念、基础理论和逻辑思维能力。实施策略如下。

1）“1-3:4-2”课堂组织形式。

教和学是辩证统一的，为了实现“教是为了不教，学是为了会学”的目标，要求学生成为教学过程的主体。在此，提出“1-3:4-2”课堂组织形式，这是课堂教学时间的分配，即在该阶段时间内，教师和学生应该共同完成的授课和学习任务。其中，“1”指复习上次课所学内容的时间，并提出本次课要学习的内容和上次课程的关系，以100分钟的授课时间为例，大约就是10分钟。在这段时间里，让学生回忆上节课的学习要点，对于有联系的课程，则引导学生提出新的问题，即本次的授课内容。“3:4”指学生在本次授课过程中要自行阅读的时间和教师上课讲授相关知识和理论的时间比例是3:4，以100分钟的授课时间为例，学生课上自行阅读时间总计为30分钟左右，教师的授课时间约为40分钟左右。增加学生课上自学时间主要是为了让学生能够参与课堂交流，对授课内容产生兴趣，而不是消极被动地接收知识。“2”指学生和教师在课堂上互动交流的时间，主要是教师引导学生对本次课上讲述的知识进行讨论，大约是20分钟。在这20分钟内，学生由输入的角色转变为输出的角色，真正成为课堂教学的主体。

2）综合运用多元授课方式。

针对Web应用安全在不同阶段的不同授课内容，应综合运用多元授课方式，包括实例化教学、启发式教学及任务驱动教学。

（1）实例化教学。

实例化教学源于哈佛大学的案例教学法，其含义是采用与传统教学的“概念—理论—应用”模式相反的教学模式，即“案例—理论—概念”的模式。以浏览器安全为例，由于同源策略描述比较抽象，按照传统的教学方法，初学者学起来常常摸不着头脑，教师从概念出发授课也同样困难。鉴于此，应采用实例化教学方法，首先抛开概念和理论不谈，引入一个日常生活的案例。比如一个恶意网站的页面通过iframe嵌入了银行的登录页面(二者不同源)，如果没有同源限制，恶意网页上的Javascript脚本可以在用户登录网银时获取用户名和密码。之后，通过Javascript编写web1和web2页面，讲述同源策略是如何工作的。

首先在Google Chrome浏览器中执行web1页面，再点击web2页面，由于web1和web2的端口不同，因此两个页面是不同源的。此时根据同源策略，web2页面无法访问，会得到如下错误的提示，Error：Permission denied to access property ‘body’。

由此解决了上述提出的案例问题，即恶意网站通过iframe嵌入银行的登录页面(二者不同源)，当用户单击iframe框时，恶意网页上的Javascript脚本可以捕获用户登录时的用户名和密码。

（2）启发式教学。

启发式教学强调传授知识的同时重视学生能力的培养及非智力因素的发展。它把学生真正置于主动者位置，充分调动学生的积极性，激发学生的内在动力。由于本课程理论和逻辑性较强，概念原理较多，因此充分发挥学生的积极性尤为重要。以点击劫持为例进行说明，首先，在标签＜body>＜/body>内写入嵌入标签＜iframe>＜/iframe>和＜button>＜/button>生成web页面，同时iframe框设置为透明浮动，演示点击后出现被劫持的效果。之后，引导学生自主发现Button点击劫持方式之外的点击劫持攻击方式，如Flash点击劫持、图片覆盖点击劫持、拖拽劫持与数据窃取及当前更加流行的移动智能终端触屏劫持等。引导学生自主发现新的劫持攻击方式，找到技术问题并解决技术问题（即点击劫持防御）的过程，可以让学生主动参与课堂，让学生更加轻松地掌握相关的理论知识和技术。

（3）任务驱动教学。

任务驱动就是将要学习的新知识隐含在一个或几个任务中，学生通过分析、讨论，明确涉及的知识，并找出新知识，然后在教师的帮助下找出解决问题的方法，在完成任务的同时培养学生分析问题、解决问题的能力。在“应用层拒绝服务攻击（distributed denial of service，DDoS）防御”章节的讲述中，采用任务驱动教学。首先是发现和分析问题，应用层DDoS不同于网络层DDoS，发起攻击的IP地址都是真实的；现有的商业DDoS防御设备只在对抗网络层DDoS时效果较好，而对应用层DDoS攻击缺乏有效的防御手段。然后，教师讲述现有的应用层攻击案例，比如CC(Challenge Collapasar)攻击、低速HTTP攻击Slowloris和HTTP POST D.O.S.攻击。最后，针对这些案例，引导学生找到对应的防御策略，比如限制客户端的请求频率，但是如何进行人机识别是实施该策略的关键。对于此任务，可以通过学生自学课本的相关内容后讨论的方式让学生成为课堂的主体，让学生感受到学习的快乐和解决问题的成就感。

2.3 三位一体之熟练的Web攻防实践能力培养

实践是Web应用安全课程教学的重点，是培养工科专业学生动手能力的重要环节。江苏大学信息安全专业主要通过与企业合作的方式研发了一套用于信息安全及网络攻防实战的综合实训平台。该平台通过OpenStack系统搭建了小型云平台，在该平台上部署相关的Web应用安全相关课程，比如XSS跨站脚本攻击、SQL注入漏洞攻击、Web应用服务和框架攻击、文件上传利用漏洞攻击等。学生可以在实验室或者教学区域使用一台带有Chrome浏览器的终端访问该实训平台。以XSS跨站脚本攻击实验为例，全部课程包括XSS平台搭建实验、XSS反射型攻击实验、XSS存储型攻击实验、XSS获取cookie攻击实验和XSS跨站脚本攻击实验。学生只要点击相应的实验模块，就可以看到实验目的、实验原理、实验步骤等信息，一步步操作下来即可理解和掌握XSS跨站脚本攻击的流程步骤和相关理论方法。熟练操作后即可达到三位一体中“熟练的攻防实践能力”的目标。

3 教学改革成效

笔者对2016级信息安全专业本科学生运用了三位一体教学法，在课程结束后，让58名学生在网上进行了匿名的教学质量评价。结果表明，三位一体教学法教学效果明显好于之前的教学方法。表1从授课内容条理清晰、重点突出、课堂气氛活跃、教学内容充实、能够激发学生兴趣、启迪学生思维、授课内容能够实现理论联系实际、培养学生综合能力等方面进行了教学效果对比分析。表1中数据来源于江苏大学教务管理系统。

表1 教学改革成效

通过对表1数据的对比分析可知，三位一体教学模式在各方面都明显优于之前的教学模式，在培养学生理论联系实际方面和工程实践能力方面94.8%以上的学生表示满意；在激发兴趣、启迪学生思维方面98.3%以上的学生表示满意。

表2为Web应用安全课程的达成度分析，其中毕业要求1为具有正确的安全世界观和道德准则，毕业要求2为具有扎实的Web应用安全理论知识，毕业要求3为具备熟练运用安全理论知识进行Web攻防的实践动手能力。课程目标1：熟知网络安全法，能在工程实践中理解并遵守职业道德规范，具备安全、保密和服务意识；课程目标2为系统地掌握Web应用安全的知识体系结构、基本概念和基础理论；课程目标3：了解Web应用面临的常见安全威胁，并掌握常规的防御方法；课程目标4：掌握发起各类Web攻击的常用工具、具备编写漏洞利用代码的能力并具备相应的Web攻击防御能力。

表2 Web应用安全课程达成度分析

从该课程指标点达成效果来看，达成度超过70%，说明该级学生达到了三位一体教学的培养要求。

4 结语

在OBE教育理念的引导下，以Web应用安全课程为研究对象，三位一体教学实践新模式重在将学生在课堂上的角色从被动客体转为教学主体；重在课堂上培养学生正确的安全世界观和职业操守、激发学生的学习兴趣，培养学生思考和解决问题的能力、理论联系实际的能力及加强其动手实践的能力。学生反映在面对实际安全问题时，不再有手足无措的感觉，总能游刃有余地找到解决问题的方法。江苏大学信息安全系网络攻防课程群的其他教师在其课程中采用三位一体教学模式后也普遍反映教学质量和教学效果得到了明显提升。