时间:2023-06-07 09:33:12
论文摘要:信息安全问题持续受到高度重视,网络经济则不断受到再创新低的打击,信息安全市场硝烟四起,信息安全行业的市场、竞争与合作等关键问题,成为业界、投资者共同关心的话题,本文就此谈一点个人看法。
市场——“热中看冷”“冷中看热”
今年国内的信息安全市场形势,大致可用两句话来概括,那就是:“热中看冷”、“冷中看热”。热中看冷,是针对信息安全问题持续高温而言的,信息安全炙手可热,主要表现在四个方面,首先是各级政府的高度重视,近年来从国家领导到各部委、部门,尤其是执法部门和应用部门对信息安全问题均表现出极大的关注,不仅有大量具体、明确的指示,而且开始有相应的措施来推动;其次是全社会对信息安全的接受程度有较大提高,不象以前空谈信息安全,而是在经历了Y2K、病毒、黑客等安全事件后都有了切身的体会;第三是信息安全事件的频繁发生,尤其是最近的中美黑客大战,更使信息安全成为非常现实的问题。在一个多月的时间里,美国黑客黑了我们一千多个网站,5.1期间中国黑客也黑了美方一千多个网站。这一事件,给政府的网络管理、信息安全行业发展以及信息技术的使用都提出了很多现实的问题,虽然黑一个网站,把页面修改一下,没有多大的实际经济影响,但如拒绝服务等攻击所带来的后续损失可能就相当大,而且一些组织还有可能利用这个机会从事其它活动。所以中美政府都很关注这一事情,从另一个角度看这一事件对信息安全产业而言也是一个推动;第四方面是资本的投人。现在信息安全行业成为资本市场的新宠,强力介入信息安全行业的资本,主要有两类:一是工T界以外的公司,即上市公司想做信息安全行业;二是原IT行业的大公司介人到信息安全行业。据目前掌握的情况,截止今年底,直接介人到信息安全行业的资金预计可达20个亿。其中有一半来自国外,今年秋天将会有较大的信息安全公司在香港创业板挂牌上市,另一半来自国内,原国内上市公司也会采用收购、参股、并购等方式介人该行业。以上四个方面是信息安全“热”的一面。所谓热中看冷。就是指在这么热的形式下,黑客攻击这么多,信息安全企业却不好出来表态,是有其难言之隐。信息安全的防线构成是多方面的,与技术与管理与使用都可能有关,而黑客的攻击是破坏性的,我们不可能为了应付所有攻击而做一个天衣无缝的完善系统。信息安全不能高估也不能低估,这是一个需要强调的观点,尤其是对于业界,近几年,关于信息安全的舆论炒作和市场炒作都比较多,然而回过头来看,真正的安全需求解决了多少?许多时候大家关注的是商业式的安全需求,关注的是美国版的安全需求,而我们国家的政府信息化、金融电子化、企业信息化真正面临的安全需求并没有得到很好解决。所以我们要冷静地看,要解决很多现实的问题。这既是市场上一个良好的商机,也是行业界一个严峻的任务。要有效保证政府、金融、网络文化等方面信息系统的安全,我们现有的产品还远远不够。我们对多个政府网络的测试结果表明,大量现实的安全需求并没有被满足。这说明,我们的信息安全产业不能离开我国的实际去研究单纯的技术和产品,而应使技术和应用结合起来。国外产品所以在我国占有如此大的市场,其中一个重要的因素,就是它和应用结合得非常紧,大量的应用都是国外开发的。而我们的信息化应用如政务系统、商务系统,还找不到一个完整的很好和应用结合起来的解决方案。热中看冷就是要冷静地看待这些问题。否则,在时兴市场炒作的年代,刚刚兴起的信息安全产业就会有“虚热”之虞。
冷中看热,是针对当前网络经济的不景气而言的,当COM公司不再景气,特别是纳斯达克一落千丈时,如何看待信息安全产业?它是否也会一路下跌?我的回答基本上是否定的,因为发展和安全是一对矛盾,信息安全比信息化要略为滞后一些。.COM公司发展很快即信息化进程很快的时候,人们构建了大量的网络,同时也产生了很多的问题。现在网络界反思的时候就是信息安全界该做贡献的时候。网络界的反思不仅是投人的问题,关键是带动了很多新的应用,这些应用暴露出很多问题。客观上需要解决,基于此,信息安全产业不会下跌,反而会因此上涨。据调研,今年信息安全市场形势和去年相比又有很大的不同,最大的特点是国家的各个部门,都做了信息安全的经费计划,今年的财政预算里包含了信息安全设备的采购费用,这是信息安全市场的真正启动。这与过去该行业那种“有行无市”、“行大市小”的形势有很大的区别。去年大家还在说服、在宣传、在做市场,今年市场的购买力加大了,可以做销售了。从目前趋势看,今年的信息安全行业市场保守估计也在50亿左右。信息化尤其是电子商务的启动对信息安全的需求还会更大。在这之中,密码产品、防火墙产品、人侵检测、漏洞扫描、电子商务产品、防病毒产品和安全服务将占据主要地位。去年国外产品占领了我国市场三分之二的份额,今年我们可以高兴的看到国内产品将与国外产品平分秋色,这就是冷风中的热潮。没有这股热潮,瞰瞰待哺的信息安全行业就可能在网络经济的秋风落叶中“感冒”。竞争——“异中求同”“同中存异”
我国的信息安全行业是近10年突然发展起来的,速度之快,令人咋舌,10年前,我国的信息安全企业只有五家,主要为政府和军队服务。五年前包括商密企业也不超过10家,而到去年,信息安全公司就达350多家,到今年夏天,据工商部门统计全国登记注册的公司中与信息安全有哭的已超过1300家。这么多的企业一举进军信息安全这个新兴的行业,犹若千军万马过独木桥。竞争之激烈,前景之悲壮,不难预料。
从去年下半年开始,混乱的竞争局面已现端倪:从产品上看,仅防火墙产品一项,厂家数十,商家过百,仔细分析一下这些产品,一半以上是低水平重复,产品质量不是后来居上,而是每况愈下。政府的有限投人又不可能完全按照市场经济的规律去支持强者,相反国家投人的文化底蕴往往又特别倾情于那些市场上的小子、晚辈,结果市场博杀,最有力的筹码就只剩下了价格一种,而这种武器往往又是后来跟进者和质量难保者的最爱。到今年夏天,防火墙市场、扫描器市场等领域的价格战已近肉博,长此下去,不出半年,至少有三分之一的企业会壮烈牺牲。怎样竞争?已经是事关我国信息安全产业发展的重大问题,对此,我们的看法是:“异中求同、同中求异”。
所谓“异中求同”:是指大家共同营造信息安全产业。各企业经营的是不同的产品。但满足的一定是我们国家共同的需求。从商业上讲,任何企业都需要谋求它的利益。但如何谋利却大有文章可做。国外许多大公司的经验和做法很值得借鉴,这些不同的企业在市场利益上总是团结得很紧,形成市场上的一个联盟、一个团队。各公司尽管产品不一样,但在市场利益上却是一致的。他们不仅推销彼此的产品,而且要分享对方产品的增值。这都是值得国内企业学习的。现在需要不要盲目跟风,一窝蜂上一种产品,做重复劳动。而是整个行业界要向产业分工尤其是水平分工发展,各具特色,优势互补,共同将信息安全市场做大做好。
“同中求异”:指面向快速发展的国家信息化需求开发出不同的产品。我国的信息安全应该是一道长城,然而目前的现状却是一路纵队。政府各部门是这样,行业各厂商更是如此大家追逐同一种工作或产品,其他工作或产品却无人问津。对攻击者而言,就意味着其它方面毫无防卫,是很好的攻击机会。所以,我们产业能否成长得好,关键要看能否形成一道防线。即使我们在某一方面有一两支强军也不行,长城不是有两个碉堡就够了,它必须是一道完整的防线。其中有分工有协作,八仙过海,各显神通,应是我们市场竞争的理想境界。
合作——“以大带小”“以小集大”
所谓的档案信息化就是指在实际的档案管理工作中,采用信息化的技术和手段,实现信息的共享,为档案应用着提供便利。同时做好档案的开发和整理工作也是现如今社会发展的重要趋势。网络的高度发达成为档案信息化建设的前提和条件,实现档案管理的信息化和网络化符合社会可持续发展的需求,同时还能够提升社会服务的意识,加强服务力度。在进行档案信息化的过程中需要对相应的制度,管理方式等进行高度重视,同时做好档案安全的防御工作也是一种企业或者是事业单位风险评估的重要表现。保证档案信息的真实性和准确性时提升企业信誉程度,树立形象的重要因素。可见,在现如今的社会中,实现档案管理的信息化,加强保证意识具有一定的重要意义,也具有一定的必然性和可行性。
2档案信息化发展的技术环境和政策环境
2.1档案信息化发展的技术环境
从档案信息化的进程上看,其技术环境主要是包括计算机网络的普及以及各种办公方式的优化,做好档案信息的收集、整理以及存储和利用工作是实现档案信息管理的重要环节,在各个关节中都需要将先进的信息技术应用到其中。所以说,各种技术设备和方式的共同作用逐渐完善了档案信息化的进程。另外,还需要提供良好的硬件设施,实现档案信息的资源共享工作,同时保证档案信息传递的快速和便捷。
2.2档案信息化发展的政策环境
由于档案管理的信息化实现给档案管理工作带来较多的便利,因此,国家对这一问题加强了重视。在相关的法律法规中提到了关于档案信息化建设的重要内容。这些举措都是为档案信息化创设一个相对比较公平且开放的环境,使得档案信息能够发挥自身的优势作用,实现全国性和规范性的特点。另外,档案信息的真实性和准确性特点也需要科学的政策环境作为背景,各级单位或者是机关等都应该充分应用网络的相关资源实现档案管理的高效性。不得不提到的是,档案信息的检索功能越来越受到人们的高度重视,在实际的应用中,需要保证应用的快捷性。
3电子档案信息管理存在的安全问题
档案管理的安全问题直接影响到档案管理机构的机密或者是相应工作的进展。因此,保证档案管理工作的安全性,做好安全保证工作,能够有效的解决电子档案信息管理工作中出现的众多问题。虽然档案管理工作人员众多,但是工作中出现的问题比较严重,其中包括以下几个方面。
3.1物理安全问题
物理安全问题是档案信息化中最为主要的问题,所谓的物理安全主要是指档案信息存放的条件以及环境,档案信息多以电子形式保存,因此,保存的温度和湿度等都需要控制在相应的范围内。尽量避免出现消磁,毁坏会这是盗窃的问题。从目前电子档案的管理工作上看,出现破坏的可能性主要有表现在两个方面,第一是计算机自身的软件和硬件方面的问题,另一方面则是人为因素。可见保护电子档案的安全性需要做好辐射的防护,提升工作人员的操作技能等等。
3.2软件安全
软件是计算机系统的重要组成部分,只有保证软件的安全问题才能实现档案信息的正常运行,提升利用程度。软件和硬件都是比较重要的两个方面,要在运行的过程中严格按照相应的标准以及规定来进行,同时对软件的使用权限进行控制,同时还需要对电子档案进行归档和整理,避免黑客对档案信息进行拷贝和篡改。
3.3数据安全问题
数据安全才是档案信息安全的基本,电子信息的保护就是要保证信息不被泄露。同时在电子档案的软硬件共同作用的前提下,需要更加注重对数据安全问题的重视。为了保证安全问题,需要将档案信息进行备份处理。通过科学的介质来进行传递,提高其利用程度。还可以根据档案信息的使用频率来设置权限,这样才能保证档案信息的数据安全问题。
3.4网络安全问题
在计算机系统应用的过程中,可能会受到网络节点的制约,形成一定的破坏性,直接影响到计算机网络的安全性,对于档案信息的安全程度也会产生严重的影响。而且网络问题的出现也会造成其他问题的产生,所以需要根据电子信息档案的相关内容以及应用的特点来设置相应的防火墙结构,做好安全技术的推广,对网络安全问题进行严格地控制。在此过程中需要将网络监管工作落到实处,选择专业的工作人员来进行这一工作。
3.4.1单位的安全防范意识要加强
改进服务的方式增加新的举措,提高创新性,在共享电子档案信息资源的前提下,要加强安全性防范,在共享电子档案信息的同时注意信息流失,除了给计算机各类用户提供计算机网络提供优质服务的同时,在技术时上要加强管理,最终做到信息服务的最优化。
3.4.2重视基础设施的建设提高应用系统的维护
在提供了高效便捷的服务下,我们还要重视基础设施的建设提高应用系统的维护。对那些突发性的灾难,在安全上要有积极的应对措施,并最终达到综合性和智能化的电子档案管理。
4结束语
1)加强病毒防范
病毒的入侵是因为计算机系统本身存在着一些漏洞,因此需要定时地对计算机的漏洞进行检测并修复,从而有效及时地防范病毒的攻击。我们只需要一款好的杀毒软件便可以解决此问题。杀毒软件不仅具有杀毒的功能,还能对计算机进行实时的监控,因此用户必须要安装一款杀毒软件,并及时地对病毒库进行更新,增强计算机病毒防范的能力。
2)防火墙技术
防火墙技术可以有效地避免外界网络对计算机的非法入侵,保障网络的安全性。它是一道隔离本地网络和外界网络的防御系统,能够有效地隔离风险区合安全区的连接,是一种高效的网络安全模型,因此用户要提高防火墙的等级。
3)加强访问控制技术
访问控制技术是指制定相应的网络访问规则,部分网络允许被访问,而部分网络禁止被访问。通过访问控制技术能够降低网络被攻击的概率,从而在一定程度上提高了网络的安全性。访问控制策略的制定包括入网访问控制环节、网络权限划分环节、客户端防护策略制定三部分组成。其中入网访问控制是网络的第一道关口,一般都是通过验证用户账号和口令来控制。因此,为了提高计算机使用的安全性,用户应尽量使账号和口令复杂化,并定时对其进行更改,防止他人盗窃。
4)建立安全实施防御和恢复系统
众所周知,计算机本身具有一定的漏洞控制能力,但是不能长时间地确保网络信息的安全性,因而当发现网络信息被破坏的时候,应该及时地做出一些补救方案,使丢失的信息或者资料能够尽快恢复,减小损失。为了保障网络系统的安全性,就需要建立安全实施防御和恢复系统,包括安全检测预警机制、安全反应机制、入侵检测机制以及安全恢复机制。
5)采用信息加密和认证技术
当前受大众欢迎的电子商务就是依靠加密技术作为保障的。信息加密是阻止他人恶意地盗取或者破坏信息,能有效地保障信息的机密性。而认证技术可以确保信息的完整性,使信息不被他人恶意更改,在开放式计算机网络环境的安全防御方面扮演了重要的角色。因此,为了保障计算机内数据、文件、口令等重要信息不被他人盗取,就需要对信息流通过程中要传输的数据进行加密和认证处理。常见的信息加密方法有三种,即链路加密、端点加密以及节点加密。
2计算机网络与信息安全系统的关键技术
1)设置密码技术
为了保障计算机网络信息的安全性,最常用的方法就是设置密码,这是保证信息安全的最基本的方法。首先,对需要保护的信息进行加密处理,可以防止信息被非授权用户所访问。其次,密码技术的采用使得网络信息多了一层保护壳,即使信息被不法分子盗取,但是却很难破解其中的内容,有效地防止了信息的外泄。
2)访问控制技术
访问控制技术能够有效地对网络进行安全防范和保护,主要是防止用户对资源越权使用现象的出现。使用访问控制技术时,用户在使用某些特定的网络资源的时候需要进行身份验证,从而确定用户是否具有使用权。该技术在某种程度上限制了访问网络的行为,减小了网络信息被侵犯的可能性。
3)病毒防范技术和防火墙技术
Keywords:Archives safety system; Archives conservation; Disaster management; Risk management; Information security
1 引言
2010年以?恚?从档案安全体系建设的提出到《关于加强和改进新形势下档案工作的意见》《全国档案事业发展“十三五”规划纲要》《关于进一步加强档案安全工作的意见》等文件的出台说明:档案安全体系建设已成为档案事业发展战略中不可或缺的一部分,得到了党和国家的充分肯定,一个全方位、多角度、深层次的档案安全体系建设“顶层设计”已经形成。反思我国档案安全体系建设快速推进的深层次原因,离不开学界多年来对档案安全问题的不断研究。从最初对档案安全保管、档案安全保护的研究到如今从档案安全体系的层面展开对各类档案安全问题的系统研究,档案界人士充分汲取相关学科的思想源流,并将其融入档案安全问题的研究当中,取得了重大进展。时至今日,我国档案安全领域已经积累了大量的研究成果。但值得注意的是,当前研究当中缺乏对档案安全体系理论的系统归纳和科学提炼。因此,厘清档案安全体系研究的理论源泉,对于促进档案安全体系的深入研究,以及具有中国特色的档案安全理论体系的形成意义重大。
2 档案安全体系研究的主要理论阐释
2.1 档案保护与档案管理理论。形成于20世纪60年代的档案保护技术学是研究档案制成材料损坏规律及科学保护档案技术方法的一门学科,它的任务是最大限度地延长档案的寿命。档案安全的理论最初就体现在档案保护之中。几十年的发展历程中,档案保护研究逐渐从各个层面展开,尤其是在信息技术的推动下,学界不仅对档案保护技术学科赖以存在与发展的知识基础和理论框架进行了全面的总结和梳理,还将目光转移到新材料、新技术、新设备的研究当中。我国档案保护技术学所形成的核心思想和理论方法,是以纸质档案为核心构建起来的知识体系,例如档案修复技术方法、档案馆建筑与设备、档案害虫与微生物的防治等,它们在我国传统档案保护工作以及“国家重点档案抢救与保护”工作中扮演着重要的理论角色。然而,随着数字时代的到来,档案保护的范围逐渐拓展到电子文件(档案)的安全保护、备份与长期保存等领域,而这些领域同样也是档案安全体系建设中的核心内容之一。档案安全体系建设下,档案安全保护是档案安全体系建设的重要组成[1]。总之,在档案安全体系理论建构当中,档案保护领域的理论方法不可或缺。
档案管理理论是围绕档案收集、整理等工作流程形成的一整套理论、原则和方法。科学的档案管理对于维护档案的完整与安全意义重大。从这个角度看,档案安全体系理论的构建离不开档案管理理论的指导。首先,要确保电子文件的安全,除了探讨电子文件信息的安全保密技术与方法外,电子文件的归档、电子文件的长期保存同样是档案安全体系建设中需要关注的重大问题。一方面,电子邮件、政府网站、政务新媒体等新型“文件”的出现,如何确定归档范围,如何鉴定其价值、划定保管期限,如何完整捕获文件内容及其结构和元数据信息都是值得研究的问题。另一方面,电子文件的长期保存和维护,尤其是新型电子文件的长期保存策略方法也是需要涉足的重要问题。其次,从文件生命周期的角度来看,文件(电子文件)从形成到销毁或永久保存的整个周期都存在安全问题,因此,对文件整个生命周期进行安全管理,既要防止重要文件由于没有归档或归档信息不完整造成的丢失,也要防止保管当中的篡改、泄密,以及注意防火、防盗等,当然,还有利用过程的原件保护、信息保密、隐私保护甚至销毁阶段的安全等。
2.2 风险社会理论。德国著名的社会学家乌尔里希?贝克在1986年出版的《风险社会》一书中,首次提出了“风险社会”的理论命题。此后,英国学者斯科特?拉什、安东尼?吉登斯、沃特?阿赫特贝格等人对风险的概念、风险社会理论进行了进一步探讨。风险社会理论对风险、风险社会进行了完整描述,对如何规避和应对风险作了阐释,是开展风险管理的理论与思想源泉。风险社会理论提出之后,风险的经济学、心理学、政治学、文化学等多维度视角也为关注风险社会问题提供了多种理论分析路径。此外,风险社会背景下,风险社会理论已经对政府管理、企业管理、社会治理等领域产生显著影响,基于风险社会视角展开的安全问题研究层出不穷。
对于档案界而言,对档案安全问题的认识通常有两种视角:一是从档案的存在形态、固有特性以及档案保管的场所、方式、管理体制、运行机制等方面着手,力图从内部发现档案安全风险因素;二是从档案安全所面临的外在环境,包括各种自然灾害以及政治、经济和社会等方面着手,力图从外部分析档案安全风险因素。风险社会理论为理解和思考档案安全体系建设面临的诸多问题提供了一个重要的理论视角,为档案安全风险的防范、规避与管理提供重要思路。
总之,探索风险社会理论对档案安全问题研究的理论价值和现实意义,对认识现阶段我国面临的档案安全问题提供理论借鉴。从风险社会理论视角切入对档案安全体系建设进行透视和反思,剖析产生安全问题的深层原因,这对于档案界树立风险意识、培育风险文化有导向作用。此外,有利于档案机构明确风险社会中档案安全的责任担当,从宏观和微观的双重视角展开,树立“大安全观”,建立安全防范机制、制定安全应对策略与相应的政策引导和制度保障机制。
2.3 风险管理理论。风险具有不确定性与客观存在性,它由潜在的损失、损失的大小、潜在损失发生的不确定性三种因素构成。为了避免事件发生的不良后果,减少事件造成的各种损失,即降低风险成本,人们引用管理科学的原理和方法来规避风险,于是风险管理(risk management)便应运而生。
风险管理是一种有目的的管理活动,常被视为一种保险,一个缓解不确定性的缓冲区,最终目标是以最小的成本获取最大的安全保障。因此,在进行风险管理的时候,管理主体通常致力于通过风险的识别、评估等一系列流程?矸治瞿谕獠看嬖诘姆缦找蛩兀?并制定一系列方案、措施来应对风险,以达到风险管理的目标。目前,风险管理理论已经在企业管理、工程项目管理、医疗护理管理等领域得到了极其深入的应用与理论拓展,并逐步运用到政府管理、信息管理、IT项目管理、自然灾害管理等领域中。
2000年,王健等人翻译了戴维?比尔曼的著作《电子证据――当代机构文件管理战略》,比尔曼认为,在电子文件管理中应导入风险概念,进行风险管理。之后,电子文件的风险管理开始引起国内学者的关注,其中中国人民大学的“电子政务系统中文件管理风险防范与对策研究”课题组进行了系统研究,探索了电子文件管理风险及其产生原因[2][3]、电子文件风险管理的必要性和可行性[4]、电子文件的风险管理流程与方法等[5][6],并于2008年出版了专著《电子文件风险管理》。
总的来说,在文件与档案管理当中引入风险管理理论是十分必要且可行的[7],在数字时代,文件与档案管理活动中面临的风险越来越多,这些风险不仅出现在收集阶段,还出现在整理、利用等各个阶段,尤其是档案信息化(数字化)建设阶段[8]以及档案数字化项目外包当中[9]。在文件与档案管理中引入风险管理理论,已成为我国档案安全管理的重要思想。
2.4 灾害管理理论。灾害是由自然原因、人为原因或两者兼而有之的原因而形成的、发生于自然界的或突发或缓慢发生的能给人类造成各种损害的事件。灾害与防灾、减灾是人类生存与可持续发展所面临的永恒主题。因此,灾害管理(disaster management)逐渐成为应对灾害的重要活动,它通过对灾害的研究、预测、减灾措施实施和灾后恢复等活动,以预防灾害的发生或减少灾害造成的损失。现代灾害管理理论主要有危机管理理论、风险管理理论和GCSP 管理理论。危机管理理论侧重于灾害的防治,风险管理理论更侧重于灾害预防,GCSP管理理论则是综合危机管理和风险管理理论,侧重于灾害的管理方法。
我国自然灾害频繁,档案面临着各种潜在的威胁。国家档案局对自然灾害的防治非常重视,每年都要专门发文强调汛期档案安全,此外还出台了《档案馆防治灾害工作指南》,其目的就在于进一步强化档案工作者的灾难风险意识和防范意识,为各级档案馆和档案工作者在制定灾害管理政策和战略过程中提供必要指导,以便进一步增强档案馆抵御各种灾害的能力,确保档案的安全保管和妥善处置,把各种灾害对档案馆的影响减少到最低程度[10]。针对档案以及档案馆所面临的灾害威胁,灾害管理领域的理论方法(诸如灾害恢复、灾害风险评估、灾害损失预测与评估、灾害分类与等级划分、防灾减灾对策、灾害应急管理、灾害风险管理、灾害危机管理等)对档案安全管理有重要参考借鉴价值。因此,近些年来,有学者对档案灾害预警机制[11]、档案部门灾害事件应急准备能力[12]、档案灾害管理体系[13]、档案防灾减灾体系建设[14]、数字档案灾害[15]等问题进行了探索,还有学者对“档案灾害学”进行了深入研究[16][17]。
2.5 信息安全理论。信息安全是信息时代永恒的需求。可以说信息安全是信息的影子,哪里有信息哪里就存在信息安全问题。当前,信息科学技术空前繁荣,可危害信息安全的事件也不断发生,敌对势力的破坏、恶意软件的入侵、黑客攻击、利用计算机犯罪等,对信息安全构成了极大威胁,信息安全的形势是严峻的。信息安全已成为影响国家安全、社会稳定和经济发展的决定性因素之一。一般而言,信息安全主要包括设备安全、数据安全、内容安全和行为安全4个层面的内容,而信息安全学科就是研究信息获取、信息存储、信息传输和信息处理领域中如何保障这四个层面安全问题的一门新兴学科。在信息安全理论当中,技术被认为是信息安全保障最重要的手段,在发展过程中出现了数字水印技术、网络防火墙技术、入侵检测技术、访问控制技术、信息加密技术、可信计算技术、RFID技术等安全保护技术。
进入21世纪以来,档案信息安全受到了高度重视。学者们纷纷针对档案信息安全的因素以及档案信息安全管理存在的问题,从技术、管理以及保障体系等层面阐述应对策略。研究中不难发现,档案信息安全研究不能脱离信息安全领域的理论与技术方法的指导,信息安全领域的诸如网络安全机制、隐私保护、设备安全、信息系统安全、信息安全风险评估、信息安全技术、PKI安全认证体系、可信计算技术等理念、技术和方法对档案信息安全研究有重要参考价值。
2.6 安全文化与管理理论。安全问题是伴随人类的出现而产生的,防御灾害、事件和保障安全是人类生存和发展的基本需求之一。安全科学的研究对象就是与“天灾”和“人祸”相关的安全问题。“天灾”包括地震、台风、洪水、旱灾等。“人祸”就包括战争、环境破坏、恐怖活动、网络黑客事件、大面积停电、交通事故、公共安全等。安全科学的基本任务是揭示安全现象中的安全规律,安全科学原理就是安全规律的核心内容。这些原理当中:安全文化原理、安全伦理原理、安全教育原理、安全法律法规原理等社会科学方面的原理对于档案安全体系建设以及档案安全观的形成研究颇有参考价值。此外,从安全管理的层面来看,安全生产管理当中的一些经验教训、体制机制以及管理理念、管理策略方法等同样可以作为档案安全管理的参考。
ICICS 2013将为国内外信息安全学者与专家齐聚一堂,提供探讨国际信息安全前沿技术的难得机会。作为国际公认的第一流国际会议,ICICS 2013将进一步促进国内外的学术交流,促进我国信息安全学科的发展。本次学术会议将由中国科学院软件研究所、北京大学软件与微电子学院和中国科学院信息工程研究所信息安全国家重点实验室主办,并得到国家自然基金委员会的大力支持。
会议论文集均由德国Springer出版社作为LNCS系列出版。ICICS2013欢迎来自全世界所有未发表过和未投递过的原始论文,内容包括访问控制、计算机病毒与蠕虫对抗、认证与授权、应用密码学、生物安全、数据与系统安全、数据库安全、分布式系统安全、电子商务安全、欺骗控制、网格安全、信息隐藏与水印、知识版权保护、入侵检测、密钥管理与密钥恢复、基于语言的安全性、操作系统安全、网络安全、风险评估与安全认证、云安全、无线安全、安全模型、安全协议、可信计算、可信赖计算、智能电话安全、计算机取证等,但又不局限于此内容。
作者提交的论文,必须是未经发表或未并行地提交给其他学术会议或学报的原始论文。所有提交的论文都必须是匿名的,没有作者名字、单位名称、致谢或其他明显透露身份的内容。论文必须用英文,并以 PDF 或 PS 格式以电子方式提交。排版的字体大小为11pt,并且论文不能超过12页(A4纸)。所有提交的论文必须在无附录的情形下是可理解的,因为不要求程序委员阅读论文的附录。如果提交的论文未遵守上述投稿须知,论文作者将自己承担论文未通过形式审查而拒绝接受论文的风险。审稿将由3位程序委员匿名评审,评审结果为:以论文形式接受;以短文形式接受;拒绝接受。
ICICS2013会议论文集可在会议其间获取。凡接受论文的作者中,至少有1位必须参加会议,并在会议上报告论文成果。
投稿截止时间:2013年6月5日 通知接受时间:2013年7月24日 发表稿提交截止时间:2013年8月14日
会议主席:林东岱 中国科学院信息工程研究所 研究员
程序委员会主席:卿斯汉 中国科学院软件研究所、北京大学软件与微电子学院 教授
Jianying ZHOU博士 Institute for Infocomm Research,新加坡
程序委员会:由国际和国内知名学者组成(参看网站 http://icsd.i2r.a-star.edu.sg/icics2013/)
关键词:信息安全管理;课程建设;激发兴趣
G642.2
一、引言
信息安全是国家安全的基础和关键,信息安全保障能力已成为21世纪综合国力、经济竞争实力和民族生存能力的重要组成部分,尤其在军事领域,信息安全理论与技术的应用,更加广泛而深入。随着信息安全理论与技术的发展,信息安全保障的概念得以提出并得到一致认可,而在信息安全保障的三大要素(人员、技术、管理)中,管理要素的作用和地位越来越得到重视。为适应新时期军事斗争准备的需要,培养适应未来战争需要的高素质复合型信息安全技术人才,我校在信息安全专业开设《信息安全管理》课程。本课程是信息安全专业的专业必修课。
二、课程特点
“信息安全管理”课程与其他课程相比较有很明显的不同,具体说有如下几点:
(1)信息安全管理是随着信息和信息安全的发展而发展起来的,因此该课程涉及到密码学、计算机网络与通信、信息安全技术等多门课程,不存在单一的基础理论来解释信息安全管理各部分的内容及关系,要求学员具有一定的密码学、计算机和信息安全方面的理论知识。
(2)该课程的知识体系与内容既涉及到规范性的标准、法律、法规等内容,又涉及到更新速度较快的新技术。因此本课程要处理好较固定的标准和变化快的新技术之间的关系。
(3)本课程教学注重理论性和实践性相结合。以实践驱动理论学习,以理论学习指导实践。能够拟定简单的信息安全管理解决方案,应用信息安全管理手段构建简单的信息安全管理体系,解决实际安全问题。
三、课程建设目标
针对信息安全专业人才培养需求,结合云计算、大数据、态势感知等新技术的发展趋势,吸收信息安全管理新型案例、科研成果、国家标准等素材,更新优化课程教学内容,修订课程标准。遵循高等教育教育学规律,改革教学方法和手段,使之适应本科教学的规律。分析传统的考核评价机制,改革课程考核方式,激励学员学习的积极性和主动性,力争将本课程建设为校级精品课程。
四、课程建设内容改革与探索
本课程的教学坚持以人为本、以学为主、注重创新意识和综合素质培养的指导思想,坚持将对知识、能力、素质的培养融为一体,将信息安全管理知识学习与实际应用相结合,提高学员获取吸收知识的能力、运用知识的能力,以及实践创新能力。本文主要从教学内容、教学方法、教学实践、考核方式等方面对信息安全管理课程建设内容进行改革与探索。
(1)基于信息安全管理新技术,加强课程内容体系建设
随着云计算、大数据、态势感知等新技术的快速发展,对信息安全管理课程提出了许多新的挑战。本课程教学以信息安全管理基本理论为基础,以信息安全管理体系为内容框架,介绍信息安全管理体系的各项内容及其实施方法,并紧扣学科发展前沿,获取信息安全管理领域的新知识、新信息,将云计算、大数据、网络态势感知等新知识、新技术融入教学内容,不断更新教学内容。
本课程教学按照由浅入深,由总体到部分,从信息安全管理的内涵、作用和地位入手,逐步引入信息安全管理体系的基本概念、构建方法及其实施过程,重点阐述信息安全策略管理、信息安全风险管理、系统安全运维、云计算的安全管理等方面的一般管理方法与技术手段。课程实施过程主要包括:信息安全管理体系、信息安全策略管理、信息安全风险管理、信息系统安全运维和云计算信息安全管理五个单元。
信息安全管理体系单元主要包括:信息安全管理模型;基于ISO/IEC 27000信息安全管理体系的内容框架、构建过程、审核与认证;基于等级保护的信息安全管理体系标准,等级保护控制关键点,等级保护安全支撑平台构建方法,跨级跨系统等级保护方法等内容。
信息安全策略在整个信息安全管理中的占有重要地位。从信息安全领域中发生的事件来看,信息安全策略的核心地位变得越来越明显。信息安全策略管理单元主要包括:信息安全策略管理的内涵、作用与地位;信息安全策略的分类;信息安全策略的规划与设计、管理与实施的基本思想、技术与方法等内容。
风险是信息安全中的基本概念,只有在正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。因此必须深刻地认识到我们所面临的风险,加强对信息系统的风险评估,采取有效的风险管理从而降低、避免、规避风险,为信息系统的安全建设提供支撑。信息安全风险管理单元主要包括:信息安全风险管理内涵及相关基本概念;信息安全风险管理的内容和过程;信息安全风险评估的目的和意义;信息安全风险评估的实施过程、方法与技术;信息安全风险度量的基本原理;信息安全风险控制的基本原理与方法等内容。
随着信息安全管理体系和技术体系在企业领域的信息安全建设中不断推进,占信息系统生命周期70%-80%的信息安全运维体系的建设已经越来越受到人们的重视。信息安全运维管理单元主要包括:信息安全运维发展历程;信息安全运维定义;信息安全运维体系构建方法;信息安全运维技术等内容。
应对云时代的安全风险,确保数据的安全可靠,规避信息泄露的风险,需遵循信息安全管理体系的基础逻辑,为承载云计算应用的信息系统建立一套完善的云计算信息安全管理体系。云计算信息安全管理单元主要包括:云计算面临的信息安全问题;云计算信息安全管理标准;云计算安全管理方法和模型;云计算风险评估的特点和方式;云计算的风险控制措施;云计算环境的信息安全管理w系构建方法等内容。
(2)采用多模式融合教学模式,逐步改革课堂教学方法与手段
为了贯彻素质教育、创新教育的思想和教为主导、学为主体的思想,《信息安全管理》课程是集理论、技术、工程实践为一体的综合性工科类学科。根据该课程的教学特点,将讲授、案例式、启发式、问题式、任务驱动式、研讨式、微课、微信学习等多种教学模式相结合,形成一种多模式融合的教学方法,充分激发学生学习的积极性和主动性,提高教学质量。
多模式融合教学方法在教学实施过程中分阶段分模式进行,主要分为以下四个阶段:
第一个阶段,启发式和问题式相融合教学阶段。该阶段主要由教员引导学员从需求出发,通过启发式和问题式教学方法,为学员设置问题场景,启发学员找出需要解决的问题,从而使学员明确学习目标,便于后续学习任务的开展。
第二阶段,讲授式和案例式相融合阶段。该阶段教员主要采用讲授式和案例式等教学方法,对课程中存在的各种定义、体系、模型、内涵等知识点进行讲解,由于这些内容具有理论性强、概念抽象等特点,教员在讲授的过程中不仅要准确解释各个基本概念,清晰阐明基本概念的内涵和相互联系。还需结合具体的案例,力求将抽象概念形象化、具体化,以加深学员对信息安全管理基本概念的理解。
第三个阶段,任务驱动式和研讨式相融合教学阶段。该阶段教员结合实际应用部署具体任务,学员以任务为目标,通过分组研讨逐一解决遇到的问题,最终通过完成任务达到主动学习、深刻理解、灵活应用信息安全管理技术和方法的目的。
第四个阶段,微课和微信方式相融合阶段。该阶段教员首先将课程中关键的知识点以微课的形式,录制成小视频。然后以微信的方式建立学习小组微信群,教员可以通过在课前或课后在群中微课视频,布置预习内容,开展群讨论等方式帮助学员进行预习和复习。于此同时,教员还可以通过微信群进行答疑和成果验收。
(3)强化实验教学,进一步完善、丰富实验内容
《信息安全管理》实验教学是巩固信息安全管理基本理论知识、提高学员信息安全技术应用能力、掌握信息安全管理基本方法和手段的有效途径和重要环节,在《信息安全管理》教学中具有重要作用。
实验教学安排遵循“巩固课堂教学知识,突出实践能力培养”的指导思想,坚持技术验证性实验与综合设计性实验相结合的原则。在内容安排上,对原有的实验内容进行适当的调整,结合信息安全管理新理论和新技术,进一步完善和丰富实验内容。实验涵盖等级保护平台搭建、等级保护验证核查、终端安全核查、风险评估、安全运维方案设计和云端数据安全审计等安全管理中具有代表性的实验,实验成果有实验分析报告、程序设计报告、程序代码、环境搭建等多种形式。
通过实验项目,培养学员基本的信息安全管理实验操作技能和实验思维方法,通过实验验证加深对信息安全管理的理解,培养运用所学知识解决信息安全管理问题的能力,扩展实际应用中信息安全管理实施方案的设计能力,提升信息系统综合安全防御的素养。
(4)探索课程考核方式改革,建立全方位考核机制
通过课程考核考察学员掌握知识和具备能力的情况,检查教学效果,改进教学工作,提高教学质量。因此,对课程考核评价方式的改革与探索也是教学方法改革中的一个重要环节。结合《信息安全管理》课程考核要求,在原有笔试考试的基础上,增加实验成绩,阶段性测试和过程性测试,逐步建立全过程、全方位考核机制。在考核时机上,采用平时考核、阶段性考核和课终考核;在考核形式上,采取笔试、课堂问答、论文研讨、小组汇报、实践操作等方式;在成绩总评分上,期末笔试成绩占60%,平时成绩占20%,实验成绩占20%。基本达到了对学生理论知识、应用能力、方案设计、工程实践等全方位的考核。
五、结束语
为了建设好《信息安全管理》课程,教学团队一方面持续跟踪国内外最新的信息安全管理相关技术的最新研究成果,及时消化吸收,转化到教学内容建设中;一方面持续关注相关课程建设的最新研究进展,借鉴吸收先进的教学理念与方法。从而不断改革教学内容、教学方法和教学手段,保持信息安全管理课程建设各个方面的先进性和新鲜性。与此同时,随着MOOCs(MassiveOpen Online Course,大规模开放在线课程)教学模式已成为高等教育发展的新趋势,本课程下一步结合《信息安全管理》课程的特点,尝试将MOOCs教学模式与现有教学模式相融合,取长补短充分发挥各自的优势,进一步提高《信息安全管理》课程的教学质量和教学效果。
参考文献:
[1]赵刚.“信息安全管理与风险评估”课程建设思考.中国电力教育.2014.
[2]张晓峰.信息安全课程教学方法探索.电脑知识与技术.2014
[3]姚利民,段文.高校教学方法改革探讨.中国科学大学.2013
[4]徐东华,封化民.信息安全管理的概念与内容体系探究.2008
届时,大会将设立 “信息系统整体安全保护的有效途径”和“电子认证服务的解决之道” 两个分论坛,并集纳各界经典名篇、学术成果、研究课题、应用经验,编辑出版《2012中国信息安全技术展望学术论文集》,其中优秀论文将择优在《信息安全与技术》杂志(部级刊物)上刊登,并全文收录于《中国学术期刊网络出版总库》及CNKI系列数据库、《中文核心期刊(遴选)数据库》、《中文科技期刊数据库》。
征文内容如下:
1.计算机安全、下一代网络安全技术;
2.网络安全与网络管理、密码学、软件安全;
3.信息系统等级安全保护、重要信息系统安全;
4.云计算与云安全、物联网的安全;
5.移动互联网的安全信息安全保障体系、移动计算平台安全性研究;
6.信息内容安全、通信安全、网络攻防渗透测试技术;
7.可信计算;
8.关键基础设施安全;
9.系统与网络协议安全分析;
10.系统架构安全分析;
11.面向业务应用的整体安全保护方案;
12.信息安全漏洞态势研究;
13.新技术新应用信息安全态势研究;
14.Web应用安全;
15.计算机系统安全等级保护标准的实施与发展现状;
16.国内外电子认证服务相关政策与标准研究;
17.电子认证服务最新技术和产品;
18.电子认证服务应用创新;
19.电子认证服务行业研究和热点事件解析;
20.可靠电子签名与数据电文的认定程序/技术规范/应用规范/应用案例分析;
21.数字证书交叉认证技术规范/应用规范/应用案例分析;
【关键词】新形势;计算机信息系统安全;安全技术;教学
【中图分类号】G20
1.引言----计算机信息系统安全技术教学的重要性
随着互联网时代的到来,计算机也以其独特的增长模式进入千千万万老百姓家里,并迅速成为了其日常生活中必不可少的一部分。据数据显示,截至2012年底,中国内地家庭宽带普及率已超过30%。同时越来越多的企事业单位通过计算机建立起了属于自己的一套业务信息管理系统,因此计算机信息系统安全问题已逐渐映入人们的视野。根据调查统计:仅2012年一年内,国内一级域名的网站被篡改就有28405个,其中教育类网站被篡改数为314个。而这还仅仅只是被人们发现的数据,仍有许多黑客是处于隐蔽性级高的状态,让人们根本无从发觉。据某大型企业管理人员反映,其公司内部网络在管理员未曾察觉的情况下,曾被黑客入侵并控制时间长达几个月之久。同样在国际上也曾有过类似事件:全球计算机信息发展最为突出的美国也曾有10多家著名的互联网站因受黑网站攻击,导致直接经济损失高达12亿美元;而亚洲地区经济最为发达的日本,其最高法院也曾在3天内遭受到3000多次黑黑客攻击。因此如何提高计算机信息系统安全技术成为了全球性战略高度的问题。
2.计算机信息系统安全的主要技术
计算机信息安全技术和计算机信息技术两者的发展与应用是互相呼应的,随着全球政治经济的飞速发展,计算机信息技术的地位也日益提高,了解和掌握计算机信息安全相关知识及技术成为了当代青年学者的基础技能之一。就计算机信息系统安全技术而言,其可简单分为五大类:
2.1 数字签名以及认证技术:所谓数字签名及认证技术指的是创作者将数字编码信息用接收者的公钥进行加密后,与原文一同发送给接收者。而接收者则只可用自己的私钥方能解开被加密的数字编码信息,然后需用函数HASH对接收到的信息生成一个数字编码信息,与解密的数字编码信息对比。如结果相同,则说明此次传输过程安全没有被篡改,信息为完整的,反之则表明此次信息传输被修改过,故数字签名能验证数字编码信息的完整性。因此数字签名为加密过程,而数字签名认证则为解密过程
2.2 防火墙技术:防火墙是指一种将公众网络与计算机内部网络分离开来的一道屏障,以此来实现用日常网络安全,将潜在的攻击性入侵尽最大可能隔绝开来,实际上它就是隔离技术的一种。
2.3 信息加密技术:信息加密技术主要包含数据的传输加密与存储加密两大方面。其中数据传输加密时主要加密对象为正在传输途中的数据流,而常用的方式有三种:节点加密、端到端加密和链路加密。而加密系统则分为:未加密报文(明文);加密后报文(密文);加密及解密设备;加密及解密密钥四部分组成。
2.4 入侵检测技术:入侵检测主要依靠IDS入侵检测系统来完成,其作用是对防火墙不足的一个合理补充,主要帮助系统应对来自网络黑客的攻击,增强系统安全管理能力,提高信息安全整体结构的完整性。而入侵检测大致可分为两种实时入侵检测与事后入侵检测。
2.5 访问控制:计算机信息系统安全之中最为关键的技术――访问控制。按类型分可分为两大类自主访问控制以及强制访问控制。它所指的是按用户身份或其所属的某项定义来限制用户访问或使用某些信息项的权限,主要适用于系统管理员控制用户对其服务器、目录和文件等资源在网络上访问权限。
3.目前计算机信息系统安全课程的教学现状
计算机信息系统安全课程涉及到的学科纷繁复杂,主要是为了培养学生了解目前主流网络系统中的安全设置、安全漏洞和安全协议,掌握计算机信息系统可能会存在的一般安全问题及防御策略,全面提高学生计算机信息系统安全防护意识和安全防护能力。就目前各大高校学习情况来看,学生对课程知识的掌情况并不理想,尚未达到开设课程时预期效果,现综合近几年的教学情况分析得出以下存在的几个问题:
3.1 课程涉及知识面较广且知识体系更新快
计算机信息系统安全课程涉及到的学科纷繁复杂,其主要包括信息安全技术、密码技术、网络技术、计算机科学、通信技术、数论、应用数学和信息论等多种学科。它是一门经合性学科,涵盖内容非常广泛,不仅需掌握基本的原理知识,同时也要具备一定的应用技术及方案设计技能。总而言之,其课程教学内容包括以下几个方面:信息系统安全、信息安全概述、密钥分配及管理技术、密码学基础、网络安全、访问控制、安全管理、安全审计等,属于大学时期综合性极强的一门课程。因此对于学习此课程的学生有着极高的基础知识要求,但由于2005年教育部了《教育部关于进一步加强信息安全学科、专业建设和人才培养工作的意见》①以及2007年成立了“高等学校信息安全类专业教学指导委员会”②,致使各大高校内与计算机相关的专业纷纷开设信息安全类课程以及组建信息安全专业,而学校并未针对不同类型以及不同层次的学生为其定位,导致有的学校原本应该出现在大三下期或大四的课程提前向学生展开,使得学生学习难度及学习压力大大提升,且学习兴趣也随之下降。
社会经济的迅速发展,计算机技术以及互联网技术也随之日新月异,同样黑客的攻击方式与防范手段也在不断提升。现在社会上不断出现了很多新的网络技术,如的如像无线传感器网络技术、P2P网络技术等,同样许多新的网络计算环境也在不断诞生。在学生刚了解掌握课本知识的同时,社会上又已开始出现新的计算机信息安全知识。因此,在计算机信息系统安全教学中必需紧跟时代信息技术的发展趋势,且仍需随时准备对信息安全技术提出新挑战。
3.2单一化的教学模式以及理论教学与实践能力培养间的矛盾
就计算机信息系统安全课程的内容本身而言,其中有绝大部分原理的描述非常抽象,使得此课程对于学生而言极其来枯燥及难以理解。而目前大多数学校课堂教学主要仍是以传统教学模式为主:课前预习教师讲述学生提问。但在这三个环节中,课前预习是处于一个无法有效检查到的项目,并且学生提问环节也一般少有学生进行提问,因此传统教学模式的弊端显而易见。
据调查发现,计算机信息系统安全课程的教学内容同实际应用的知识有着一定程度上的差距,使得该课程在实际教学过程中遇到了很大的困惑。因为信息系统安全技术是一门新型学科,同时也与实际生活工作学习有着密不可分的关系,有许多学生在课程开始前的生活中已经对其有了初步而又浅显的接触,促使学生在刚触及到这门课程时对其抱有非常大的期望,然而随着教学进度的逐步向前,学生们很快发现他们根本无法将课堂上所学的理论知识同实际生活应用中有效的开展开来,从而学生的学习兴趣也渐渐地下降。而就实践课程开设环节而言,目前仍有许多高校内开设的实践环节项目不能包含所教学的理论内容,原因为其总体数量过少。并且据某高校教师介绍,诸多已开设此类课程的学校仍旧无完善的信息安全实验室以及相关实验设备,很多实验项目均无法进行。因此,如何培养及提高学生实验动手能力教学对于计算机信息系统安全课程的教学成为了迫在眉睫急需解决的问题。
4.新形势下计算机信息系统安全课程的教学对策
4.1 区分专业贴合实际精选内容教学
随着计算机技术飞速的发展,各大高校也逐渐将计算机科学技术人才的培养视为目前的首要任务之一。按现阶段的招生规模来看,计算机信息系统安全课程在各大本科院校内皆已开设,并且其将成为一个大专业。就学生就业需求而论,各大院校在学生进入大三学习阶段后,便将其按不同专业方向分配给予教学。但其计算机信息系统安全课程仍是同步进行,曾有学者提出过是否也可将计算机信息系统安全课程区分不同专业方向进行特色教学。目前而论计算机信息系统安全课程教材大致可分为:理论教材和实践教材两大类,因其理论教材中以密码学知识为主,而实践教材中则以实际操作技能为主,故大多数学生对原理的描述非常抽象的理论教材极为反感,而对实践教材中的实际操作兴趣颇大,教师可根据学生要要多开设实验课程,并就实验课程反推出理论知识的重要性,促进学生理论与实践双项技能的共同发展。
4.2 教学方式的改进――传统教学和现代教学的相互结合与渗透
因“材”施教,同样在面对不同教材时,教师也可根据不同的教学内容来制定教学方法,在利用传统教学方法优势的同时也要适时的引用新型教学方法,有效的将传统教学与现代教学结合起来,求得更为突出的教学效果。以理论课程为例,由于计算机信息系统安全课程中有部分理论知识较为抽象且复杂难以理解,教师则需一改单一的传统教学模式,可多采用现代教学方式中的趣味教学法带动学生学习兴趣活跃课堂气氛,提高学生的主动学习能力,从而方可使教学效果事半功倍。而在实践课程教学时,则需多采用传统教学模式教学,让学生在提前了解学习内容后再进行实验方能使学习效果愈加明显。
注释
①2005年中国教育部于教高〔2005〕7号文件
②2007年中国教育部于教高函〔2007〕1号文件向社会公布成立
参考文献
[1]范迎,范永海:浅析计算机信息安全技术现状与发展前景,大连海事大学出版社[J],2009(05)
[2]任立锋:计算机信息安全技术研究,高新技术发展[J],2011(01)
[3]孙晓彦:信息安全技术课程教学探讨,价值工程[J],2011(02)
关键词: 信息安全; 教学内容; 教学方法; 实践教学
中图分类号:TP309 文献标志码:A 文章编号:1006-8228(2016)11-64-03
New teaching thought for information security
Liu Ya
(School of Optical-Electrical and Computer Engineering, Shanghai Key Lab of Modern Optical System, and Engineering Research Center of Optical Instrument and System, Ministry of Education, University of Shanghai for Science and Technology, Shanghai 200093, China)
Abstract: In this paper, the contents of information security are given. The problems existing in the information security teaching are presented. And four improvement measures are proposed, including arranging teaching contents carefully, adopting various teaching measures, attaching importance to practice and improving students' morals. All of these researches fully mobilize students to study with enthusiasm, stimulate students to initiative, and greatly improve the quality of teaching.
Key words: information security; teaching contents; teaching measures; practical teaching
0 引言
随着信息技术的飞速发展,信息安全问题也日显突出,国际上各个国家之间围绕着信息和网络安全的斗争也越来越激烈,争夺网络空间安全控制权是战略制高点。2013年,美国前中情局职员爱德华・斯诺登爆出了美国国安局的棱镜门计划说明了美国在很早就开始培养信息安全的人才,并在信息安全方面有规划、有计划、成体系的部署和构建攻击力量。
而我国由于技术基础相对薄弱,安全人才储备不足,目前还不是网络空间技术强国。2014年,中央成立网络安全与信息化领导小组,亲自担任组长,并强调指出,“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众生活的重大战略问题。”“没有网络安全就没有国家安全。”因此培养和构建体系化、规模化、系统化的信息安全人才已经是我国非常紧迫的一个需求。
在本世纪初,我国就已经开展了信息安全相关专业人才,在信息安全教学和人才培养方面积累了一定的基础和经验,但相对于发达国家还有一定的差距。2001年,武汉大学成立了国内首个信息安全本科专业,此后许多高校都相继开设了此专业,并得到了飞速发展,例如:上海交通大学,西安电子科技大学,信息工程大学等。截至到2014年,教育部批准全国116所高校设置了信息安全相关的本科专业,为我国培养和输送了大批高质量的信息安全人才。随着网络空间安全一级学科的成立,许多没有信息安全本科专业的学校也加强了对计算机专业学生信息安全知识的教学工作,同时国家对信息安全技术人才的大量需求,信息安全专业的学生就业形势日渐良好,也使得学生对信息安全课程学习的兴趣越来越大,主动性越来越强。当前,许多学者已经对信息安全学科建设和人才培养进行了研究[1-4],也有部分研究者研究了信息安全专业信息安全课程的教学方法改进[5-7]。
本文研究了新形势下面向计算机专业学生信息安全课程教学方法的改进措施。首先,给出了学习信息安全必须先修的课程,并简单介绍了它所涵盖的内容;其次,结合实际情况,分析信息安全教学过程中碰到的问题,指出在新形势下信息安全教学的困难和不足;最后,对存在的问题,结合学生的特点,理论联系实际,采用灵活多样的教学方法,给出有效的教学改进手段和方法,以充分调动学生学习的主动性和积极性,完善教学过程。
1 信息安全本科课程内容
信息安全是一个庞大的主题,涉及了较多的硬件、软件、信息论、密码学、社会学法律等内容,概念多、比较抽象且知识面广,主要内容包括信息安全技术基础、密码理论和技术、网络安全技术、操作系统安全技术、信息安全产品技术、应用开发涉及的安全技术、信息安全建设、信息安全技术实践等[8]。其中信息安全技术基础、信息安全产品技术、信息安全建设、信息安全技术实践等内容是阐述性的,而密码理论和技术则比较理论、深奥、枯燥和难学,需求学生具有一定的信息安全数学基础;网络安全技术、操作系统安全技术等又与实际联系比较紧密,需要学生有一定的实践和动手能力。
2 信息安全课程的教学现状和薄弱环节
随着信息安全技术的不断升级,国家对信息安全人才的需求越来越多,同时对信息安全人才培养也有提出了一些新的要求,而传统的教学方式已经不能完全满足当前的社会需求,教学过程中的一些问题和薄弱环节日渐凸显。
⑴ 知识点多,理论基础知识深奥难懂
如上节所述,信息安全教学涉及内容非常多,而一般的本科院校给这门课仅安排三十二或者三十六个课时,在有限的课时内想把以上的内容都教的透彻是不可能的一件事情,这就要求教师根据当前国家的需求和实际情况,结合学生的特点,适当地选择适合的内容来进行教学,同时将教学内容分一般了解、掌握和重点掌握三个不同等级,有轻有重有主有次分级别来上好这门课。
此外,学习信息安全需要先修数学、信息论、密码学等基础知识,而这些基础知识比较难懂,尤其对部分计算机专业的学生来说是一个短板,这就造成一部分学生知难而退,失去了学习的兴趣和动力,不愿意继续钻研下去。
⑵ 传统的教学方法单一,以教师讲解为主
信息安全每部分内容都各有特点,而目前传统的教学方式主要以理论讲解为主,配有一定课时的实验课程,而学生往往在理论讲解的课上分心,注意力不集中,实验课上往往从网上找一些开源的代码和程序上交应付老师布置的软件编写作业。学生整体的学习的热情不高,上课思想不集中,缺乏兴趣。
⑶ 重理论教学,轻实践动手能力培养
目前,大部分高校缺乏相应的实验设备和环境,对一些攻防实验,教师一般都是纸上谈兵。他们主要是以信息安全理论知识的讲授为主,不注重学生实际动手能力的培养。然而信息安全的大部分知识都很抽象,只是单调的讲解,学生往往难以接受,且学生毕业后去单位的安全部门工作,不能很快的进入安全方面的相关工作,需要重新培训和锻炼。
⑷ 注重知识的传授,忽视信息安全法律法规的讲解
教师往往只是教授学生信息安全的知识和技术,而忽视了法律法规的介绍,学生在掌握了一些攻防技术后,抱着好奇的心理可能会尝试着做一些恶作剧而带来严重的后果。
3 信息安全教学方法的改进措施
针对上述信息安全教学中存在的问题,结合计算机专业学生信息安全课程目标,总结作者在信息安全教学方面的经验,提出如下一些改进的措施和方法,改进教学效果,提高学生学习的主动性和自觉性。
⑴ 教学内容的选取既要注重基础知识也应符合社会需求
目前,信息安全的教材非常多,不同的教材侧重点各不相同,有的教材强调基础理论知识,有的教材强调实际应用技术,因此,选择一本合适的教材非常重要。此外,信息技术飞速发展、日新月异,信息安全问题也是层出不穷,不断更新。因此教学内容的选择应该贴合实际需求,才可以提高学生学习的兴趣,使得学生在工作中学以致用,而不是学习与现实脱节。
在实际的教学中,我们首先选择一些基础理论知识,譬如:信息安全基本概念,密码技术、认证技术、安全协议等;然后在此基础上选择一些安全保障技术知识,譬如:访问控制技术、网络攻击技术和防范方法一级恶意代码分析技术;最后,在此基础上介绍一些安全协议以及国内信息安全系统的标准。同时,除了讲解书本知识以外,多补充介绍当前出现的国内外重大的安全事件、实际安全问题案例技术分析、国内外重要的安全会议、信息安全竞赛以及国家对信息安全人才培养的一些举措等,调动学生学习的主动性和积极性。
⑵ 教学方法灵活多样
在信息安全教学过程中,不仅可以采用传统的理论讲解和实验教学的方法,还可以采用案例分析、专题报告、小组讨论、汇报演讲等多种教学手段和方法,增加学生在课程学习中参与互动的比例,引导学生从传统的听授式的学习方式转变到研究、拓展和自主的学习模式,从研究和学习中获得成功的喜悦。
对于比较难学的理论基础知识,应多联系实际,让学生觉得这些知识不是空的、不实际的,而是在现实中广泛运用的,从而提高学生的学习兴趣。譬如:在介绍密码算法时,可以介绍一些现实中使用的密码算法的实际场景,例如:智能卡、RFID、智能家居、智慧城市、云、区块链等。
对于实际的安全事件,可以运用案例分析的教学手段,首先介绍安全事件的背景,然后在此基础上运用所学的知识剖析安全问题出现的原因,最后结合所学知识和技术,提出安全事件的解决办法。
对于当前一个技术热点,譬如:区块链,可以采用专题报告的形式,系统地围绕区块链的概念、可以运用的场景以及存在的安全问题等详细介绍。
此外,我们将班级学生分组,以分组的方式让学生完成一个任务。如结合已经学习的知识,选择一个当前的安全事件,进行分析和讨论,最后以汇报演讲的方式展示小组讨论的成果。
⑶ 重视实践教学
信息安全是一门实践性很强的课程,因此在学习理论知识的同时,一定要注重学生动手能力的培养。譬如,在虚拟机环境下,以不破坏系统为前提,让学生进行攻防实验,这样即可以提高学生学习的兴趣,也可以锻炼学生的动手能力。同时,现在开源的算法和软件比较多,可以指导学生测试和分析这些软件的安全性,同时也可以设计和开发一些小的安全软件。
此外,现在国内外信息安全竞赛很多,可以提供给感兴趣的同学更多了解这些竞赛的途径,辅导有能力的学生参加信息安全竞赛。
⑷ 注重学生道德培养
信息安全是一门特殊的课程,学生在掌握相关知识后可以进行一些攻击实验,因此需要加强学生的道德培养,介绍一些法律和道德标准,引导学生正确的运用自己所学的知识。
4 结束语
网络空间安全受到的关注越来越多,信息安全也越来越被重视。本文结合教学实际,分析了当前信息安全的现状和薄弱环节,针对存在的问题,从严选教学内容、采用灵活多样的教学方法、加强实践课程教学和注重学生道德培养四个方面提出改进措施,以充分调动学生学习的主动性和积极性,收到了较好的教学效果。
目前,由于信息安全中密码学部分的学习难度较大,需要一定的数学理论基础,且比较枯燥,如果仅简单引入一些算法实例,还不能完全调动学生学习的积极性,可以考虑寻找一些算法运行的实际场景,创造相应的实验条件,让学生自己动手编程尝试去破解含有算法的系统,从而更加充分地调动学生学习的积极性。
参考文献(References):
[1] 张焕国,黄传河,刘玉珍等信息安全本科专业的人才培养与
课程体系[J].高等理科教育,2004.2:16-20
[2] 王清贤,朱俊虎,陈岩.信息安全专业主干课程设置初探[J].计
算机教育,2007.19:12-14
[3] 王伟平,杨路明.信息安全人才需求与专业知识体系、课程体
系的研究[J].北京电子科技学院学报,2006.1:47-49
[4] 马建峰,李凤华.信息安全学科建设与人才培养现状、问题与
对策[J].计算机教育,2005.1:11-14
[5] 张晓峰.信息安全课程教学方法探索[J].电脑知识与技术,
2014.10(25):5935-59364
[6] 杨军.信息安全教育与数学教学案例的研究[J].宜宾学院学
报,2008.9:118-120
[7] 徐明,龙军.基于MOOC理念的网络信息安全系列课程教学
关键词:认识论 信息安全 理论基础 方法论 课程体系
中图分类号:TP393.03 文献标识码:A 文章编号:1007-3973(2012)012-153-03
1引言
2011年9月20日,国务院《关于加快培育和发展战略性新兴产业的决定》,明确将新一代信息技术产业列为“十二五”规划的新兴产业首位,未来发展空间值得期待。信息安全是国家安全战略的重要组成部分,设置面向市场需求的新兴技术和保障政府、军队、银行、电网、信息服务平台的网络安全技术必修课程,符合高新产业技术的市场需求和教育法规,以其为高新产业迅速发展和控制网络空间安全培养更多的高素质技能型人才。
信息安全学科是数学、物理、生物、通信、电子、计算机、法律、教育和管理等学科交叉融合而形成的一门新型学科。它与这些学科既有紧密的联系,又有本质的不同。信息安全学科已经形成了自己的内涵、理论、技术和应用,并服务于信息社会,从而构成一个独立的学科。本文从认识论的角度,探索信息安全学科的一个重要分支网络安全的课程体系内涵。
认识论,认识是实践基础上主体对客体的能动反映;人作为认识的主体,首先在于人是实践的主体;知识、技术作为认识的客体,首先在于它们是主体能动的实践活动的客体,应该从主体的感性的实践活动去理解,从主体的主观能动方面去理解;实践是认识的直接来源,认识只有在实践的基础上才能发展。人类认识事物的一般规律是从简单到复杂、从具体到抽象、从特殊到一般。
认识信息安全学科,必须遵循认识规律、专业规律。到目前为止,有关信息安全的学科体系和人才培养缤纷凌乱。在此,笔者以武汉大学空天信息安全与可信计算教育部重点实验室研究体系为基础,探讨网络安全的课程体系,以其为课程建设抛砖引玉。
2信息安全的学科体系
信息安全学科是研究信息获取、信息存储、信息传输和信息处理领域中信息安全保障问题的一门新兴学科。
2.1信息安全的理论基础
信息安全学科所涉及的主要研究内容包括:新型密码体制研究、密码编码与密码分析、信息安全风险评估、信息安全管理、入侵检测、灾难备份和应急响应、操作系统安全、数据库安全、身份认证与访问控制、协议安全、可信网络连接、信息隐藏与检测、内容识别与过滤、信息对抗理论、信息对抗技术,以及信息安全工程等。
网络安全以控制论和系统论为其理论基础,通过入侵检测、数据加密等技术实现安全威胁的识别和数据的安全传输,防止非法篡改和泄露保密信息。网络安全的基本思想是在网络的各个范围和层次内采取防护措施,以便检测和发现各种网络攻击威胁,并采取相应的响应措施,确保网络环境的数据安全。网络安全研究网络攻击威胁、网络防御理论、网络安全理论和网络安全工程等。
2.2信息安全的方法论基础
信息安全学科有自己的方法论,既包含分而治之的传统方法论,又包含综合治理的系统工程方法论,而且将这两者有机地融合为一体。具体概括为,理论分析、实验验证、技术实现、逆向分析四个核心内容,这四者既可以独立运用,也可以相互结合,指导解决信息安全问题,推动信息安全学科发展。其中的逆向分析是信息安全学科所特有的方法论。
3现代通信网的技术体系
现代通信网是一个多种异构网络技术融合的综合体系,本文只讨论计算机网络、移动互联网、射频识别网络、无线传感器网络。
3.1计算机网络
以Internet为代表的计算机网络实现了物理世界与信息世界的互联,指明了下一代网络应用的发展趋势。Cisco研究表明,下一代网络(Next Generation Network)基于IP,支持语音、数据、视频和多媒体的统一通信,充分整合面向行业的垂直应用,亦称为IP-NGN。具体地说,就是把社区、企业、机关、医院、交通、航空等元素互联起来,形成一个休闲、工作、学习、娱乐的虚拟社区。计算机网络是一种由多种异构平台组成的多样化技术结构体系,在这个平台中,设备构成主要体现在感知网络、交换路由、服务提供和信息安全等四个方面。
3.2移动互联网
移动互联网是将移动通信和互联网结合起来,以宽带IP为技术核心的,可同时提供话音、传真、数据、图像、多媒体等高品质电信服务的新一代开放的电信基础网络,短消息是移动互联网最早提供的服务。第三代移动通信技术简称3G,是指支持高速数据传输的蜂窝移动通信技术;3G能够在全球范围内更好地实现无线漫游,提供网页浏览、电话会议、电子商务、音乐、视频等多种信息服务,3G必须支持不同的数据传输速度,可根据室内、室外和移动环境中不同应用的需求,分别支持不同的速率。
3.3射频识别网络
RFID系统包括三部分:标签(RFID tags)、阅读器(tag reader)和企业系统。标签是一个微芯片附属于天线系统,芯片包含存储器和逻辑电路,接受和发送阅读器的数据;天线接受和回射阅读器的同频信号;标签作为专用鉴别器,可以应用到一定区域内任何对象(人、动物和物体等),代表对象的电子身份。阅读器发送同频信号触发标签通信,标签发送身份信息给阅读器,完成一次查询操作。企业系统是阅读器连接的计算机信息系统,阅读器提交身份信息由企业系统存储。RFID系统通常用于实时监控对象,可以实现物理世界到虚拟世界的映像。
3.4无线传感器网络
无线传感器网络是由大量静止或移动的传感器节点,以多跳路由和自组织方式构成的无线感知通信网络,其目的是同步地感知、采集、处理和传输网络覆盖地理区域内感知对象的监测信息,并报告给用户。每一个节点具有感知、计算、路由三种功能,某节点感知监测对象的数据,通过其它节点路由到汇聚节点,经其它网络发送给用户。RFID系统和无线传感器网络合作,可以很好的记录物体的状态(位置、温度、位移),加深对环境的认知,扮演物理世界与数字世界的桥梁。
4网络安全的课程体系
4.1计算机网络安全
计算机网络安全主要依靠防火墙技术、虚拟专用网(VPN)技术和公钥基础设施(PKI)。
(1)防火墙技术。防火墙技术原型采用了包过滤技术,通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态或它们的组合来确定是否允许该数据包通过。在网络层上,防火墙根据IP地址和端口号过滤进出的数据包;在应用层上检查数据包的内容,查看这些内容是否能符合企业网络的安全规则,并且允许受信任的客户机和不受信任的主机建立直接连接,依靠某种算法来识别进出的应用层数据。
(2)虚拟专用网。虚拟专用网是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性。VPN是一种以可靠加密方法来保证传输安全的技术。在智能电网中使用VPN技术,可以在不可信网络上提供一条安全、专用的通道或隧道。各种隧道协议,包括网络协议安全(IPSec)、点对点隧道协议(PPTP)和二层隧道协议(L2TP)都可以与认证协议一起使用。
(3)公钥基础设施。公钥基础设施能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。PKI可以为不同的用户按不同安全需求提供多种安全服务,主要包括认证、数据完整性、数据保密性、不可否认性、公正和时间戳等服务。
4.2移动互联网安全
在移动互联网环境下,由TCP/IP协议族脆弱性、终端操作系统安全漏洞、攻击技术普及等缺陷所导致的传统互联网环境中的安全问题依然存在。
(1)手机病毒。手机病毒是具有攻击性、破坏性的恶意软件代码,一般利用短信、微博、微信、@mail、WAP网站等方式在无线通信网络内传播;同时可利用蓝牙、wifi等方式在智能手机间传播。随着移动智能终端的普及和统一的操作系统平台,手机病毒的传播和爆发会泄露用户空间隐私、时间隐私等危害,并对移动通信网络的安全运行、维护管理和支撑业务造成一定威胁。
(2)隐私信息泄露。移动设备的隐私信息防泄露主要包括三类技术:控制类技术,设置用户的管理权限,集中控制和管理数据中心,实现对关键数据的加密保护和保密传输,并定期审计和检查权限日志,防止隐私数据的非法外泄。加密类技术,操作系统的文件系统加密技术,磁盘设备加密技术,安全芯片加密技术和通信网络的密钥预分发管理技术。过滤类技术,在内网和外网的边界出口,安装协议数据包过滤设备,可以分析通信网络协议HTTP、POP3、FTP、即时通讯的数据包,并对数据包内容分析和过滤隐私信息。
(3)无线局域网安全。无线局域网安全标准主要是IEEE制定的802.11n标准和西安电子科技大学制定的WAPI标准。802.11n采用基于密钥共享的双向身份认证,定义了WPA2/TKIP加密算法;WAPI采用基于数字证书的双向身份认证,定义了我国的首个商用SMS4加密算法。两项标准都要解决用户到AP无线接入的认证和加密问题,中国电信无线局域网是在用户接入AP后进行Web认证,验证用户实体身份。两项标准已在现有的无线局域网和移动智能互联网终端得到实施,并且应用广泛。
4.3射频识别网络安全
由于RFID的成本有严格的限制,因此对安全算法运行的效率要求比较高。目前有效的RFID的认证方式之一是由Hopper和Blum提出的HB协议以及与其相关的一系列改进的协议。HB协议需要RFID和标签进行多轮挑战——应答交互,最终以正确概率判断RFID的合法性,所以这一协议还不能商用。
4.4无线传感器网络安全
无线传感器网络中最常用到的是ZigBee技术。ZigBee技术的物理层和媒体访问控制层(MAC)基于IEEE 802.15.4,网络层和应用层则由ZigBee联盟定义。ZigBee协议在MAC层、网络层和应用层都有安全措施。MAC层使用ABE算法和完整性验证码确保单跳帧的机密性和完整性;而网络层使用帧计数器防止重放攻击,并处理多跳帧;应用层则负责建立安全连接和密钥管理。ZigBee协议在密钥预分发管理中有3种基本密钥,分别是主密钥、链接密钥和网络密钥。主密钥在设备出厂时由公司缺省安装。链接密钥在个域网络(PAN)中被两个设备直接共享,可以通过主密钥建立,也可以在出厂时由公司缺省安装。网络密钥通过CA信任中心配置,也可以在出厂时缺省安装。链接密钥、网络密钥需要循环更新。
5结束语
网络安全技术是一个与时代科技发展同步的新兴领域,这就决定了其课程体系必须嵌入一些无线局域网安全、无线传感器网络安全、射频标签网络安全、云计算安全等新兴技术。因此,在规划其教学内容时,要以学生掌握网络安全技能目标为基础,以当代大学生的认识规律为起点,以现代多媒体教学方法为手段,设计出符合市场需求的、青少年认识规律的、与时代同步的课程体系,才能培养出面向新兴产业发展所需的高素质技能型专门人才。
参考文献:
[1] 陈先达.马克思哲学原理[M].北京:中国人民大学出版社,2010.
[2] 张焕国,赵波,等.可信计算[M].武汉:武汉大学出版社,2011.
[3] Luigi Atzori,Antonio Iera,Giacomo Morabito.The Internet of Things:A survey[J].Computer Networks 54 (2010):2787-2805.
[4] Debasis Bandyopadhyay,Jaydip Sen.Internet of Things:Applications and Challenges in Technology and Standardization[J].Wireless Pers Commun(2011)58:49-69.
[5] 沈昌祥,张焕国,冯登国.等.信息安全综述[J].中国科学(E辑),2007,37(2):129-150.
关键词:网络信息安全,社会需求,人才培养模式
一、引言
当前,随着信息技术的发展和网络的普及,网络与信息成为了越来越重要的战略资源,围绕网络的信息安全斗争也日趋激烈,网络信息安全已成为事关国家政治、社会和经济稳定的全局性问题。我国反黑客专家许榕生说:信息网络的攻与守完全是高素质人才的对抗。然而,我国在网络信息安全人才的系统培养和全民信息安全教育工作目前尚处于起步阶段,网络安全专业人才供需存在较大缺口,高级战略人才和专业技术人才尤其匮乏,不能适应当前社会信息化的发展和要求。因此,高素质的网络信息安全人才的培养问题已经迫在眉睫。同时,除了军队、公安等部门需要高级网络安全人才外,电子商务、电子政务和电子金融等互联网新型业务的发展,也对信息安全人才的培养提出了更高的要求,仅仅懂得如何配置防火墙的网络管理人员已经无法满足社会的需要。因此,如何培养高素质的专业的网络信息安全人才队伍,提高全民信息安全意识,已成为我国信息化事业的一个具有长期性、全局性和战略性的问题。
二、网络信息安全专业人才培养现状及存在问题
网络信息安全是一门以计算机技术为核心,涉及网络技术、密码技术、通信技术、应用数学等多种学科的综合性学科。网络信息安全专门人才必须经过系统培养才能满足社会的实际需要。国外在网络信息安全领域的研究起步较早,对信息安全教育和人才培养都非常重视。无论从技术研究发展看,还是从人才培养角度看,美国均走在世界各国的最前列,其信息安全教育体系相对比较完善,已经形成了配套的本科教育、研究生教育和博士教育培养体系。比如,美国普渡大学、约翰霍普金斯大学、卡内基梅隆大学已经建立了独立的信息安全人才培养体系,培养了许多优秀信息安全专业人才。
我国在信息安全研究和人才培养方面起步较晚,其中大学始终发挥着主力军和先锋队的作用。西安电子科技大学、解放军信息工程学院、北京邮电大学已拥有了密码学博士点和硕士点,自2000年开始先后有40多所高校设立了信息安全本科专业。这几年,我国信息安全已初步形成从本科、硕士到博士的人才培养体系,很多高校在网络信息安全人才培养方面进行了有益的探索,培养了一大批信息安全方面的专业人才。但是,我国信息安全理论研究落后于信息化应用和安全技术开发,在信息安全领域进行具有自主知识产权的应用研究和产品研发,建立国家网络信息安全保障体系方面十分被动。其原因之一就是我国尚未建立起一支知识结构合理的多层次专业人才队伍。。由于网络信息安全专业涉及知识面宽、知识点多、知识体系庞大,需要的基础知识很多,所以在本科或在本科层次以下培养信息安全方面的专门人才绝非易事,同时这也决定了该专业本科阶段的教育层次不可能很高。因此,有些人认为更应该注重加大研究生的培养规模和力度,以满足社会对高级安全人才的需求。
随着网络应用的爆炸式增长,我国网络信息安全人才在数量和层次结构上越来越不能满足实际需求。现行培养模式培养出来的网络信息安全人才也还有很多不足,不能满足社会和行业的实际需要。。目前,我国网络信息安全人才培养方面的不足主要表现在以下几方面:
专业知识结构不够科学:教学计划、课程体系没有体现网络信息安全学科本身的特点,课程设置和教学内容过散,难以形成专业知识结构。当前网络信息安全专业的课程体系基本上是某个相近学科课程体系的翻版或延伸,在课程中仅仅增加了密码学、防火墙、入侵检测等单纯安全理论与技术知识的教学,课程设置中缺少系统的观点与方法,对于如何设计与实现安全的信息系统等重要问题很少涉及。
对实践能力的培养重视不够:网络信息安全专业不仅具有很强的理论性,同时也具有非常强的实践性,许多安全技术与手段需要在实践中去认识、去体会。我国传统培养模式不注重理论的应用,很多网络信息安全专业院校的实验条件还相当落后,很多实验和实践环节不能正常开设。这样培养出来的人才缺少实践能力的锻炼,难以满足社会需要,很多人走上工作岗位后,也就不能将所学的知识用于解决工作中的实际问题,导致无法胜任工作或在很长一段时间内不能胜任工作。
实验内容不实用:网络信息安全是一个整体概念,并且在实际生活中专业技术人员经常需要解决综合性问题,因此需要培养学生综合的应用技能。而支持传统教学的实验内容通常都非常单一,不同实验之间相对独立,缺少综合性实验。
鉴于以上我国网络信息安全人才培养方面的不足,有必要对现有网络信息安全人才培养中的一些关键问题进行研究和探讨,寻求适合我国国情和社会需求的网络信息安全人才培养模式。
三、网络信息安全专业人才培养模式关键问题探讨
由于我国网络信息安全专业刚刚起步,前期的启动和准备工作都比较匆忙,加上该专业是信息领域的新专业,又是一个典型的综合性很强的学科,因此,该专业不仅有许多跨学科和跨专业的衔接问题需要解决,课程设置、实验设计等也有许多要做的工作。要提高我国网络信息安全人才的培养质量,我们认为应从以下几个环节做好工作。
1.确立科学的人才培养目标
目前,社会对网络信息安全人才的需求可分为四类,即信息安全技术人才、信息安全管理人才、公共信息安全人才、信息安全专业技术教育人才。随着网络的普及和使用,几乎各行各业都需要网络信息安全方面的人才,但由于行业特点不同,不同行业对该专业的需求重点也会有所不同。因此,应该对我国重要行业对网络信息安全人才的需求进行调研,制定出面向社会需求的网络信息安全人才培养目标。
2.建立合理的课程体系
网络信息安全专业是一个综合、交叉的学科领域,涉及数学、物理、通信、法律和计算机诸多学科领域的知识和最新发展成果,同时该专业也是一个实践性很强的专业。因此,应以社会需求为导向建立科学的课程体系,课程体系中应理论基础与工程实践并重,注重学生综合素质和自学能力的培养,加强数学、英语和实践课程的训练;确立核心课程,并在保证网络信息安全专业教育的基础性、全面性的同时,确定除核心课程外的专业必修课,并按照其内容联系、应用需求等划分成若干个课程模块,让学生根据自己的兴趣来选择不同模块进行学习,使学生能够在掌握本专业核心理论的基础上,结合自身兴趣和实际需要进行学习,充分发挥自己的潜力和特长,并促进个性化发展。另外,把握好各门课程的先后顺序,尤其是专业课程的先修和后修关系,将直接影响着学生对专业知识的接受程度。
3.采取形式多样的教学模式,做好实验环节设计
教学设计在整个人才培养中起着至关重要的作用。教学设计应该以培养目标为导向。所以应根据培养目标有针对性地设计网络信息安全专业的课堂教学模式和实验环节。
在课堂教学中可引入案例教学法,通过提出问题、解决问题、拓展问题、再解决问题,对解决问题的方法进行评价、优化等环节,调动学生的参与性,从而拓展学生的思维视角,强化思辨能力。由于该专业发展快、综合性强、应用性强等特点,教学中还应注意把网络信息安全专业的最新动态以各种形式及时补充到教学内容中,并适时地将行业知识、经济管理知识以及社会常识引入课堂;充分利用网络平台来强化教学和辅导工作,加强师生之间的交流,促进学生学习的兴趣和积极性。此外,学生参与教学法也是调动学生学习积极性的有效方法。对于专业课程的一些主要内容,可以给学生留几个课堂讨论的主题,作为作业由学生在课下准备,并采取课堂发言和提交报告的形式进行检查。通过这种形式不仅可以有效地调动学生的思维,而且激发了学生的创新能力。。
在实践教学中,首先应科学合理地设计编排专业课实验内容和实验方案,编写制定提升学生创新能力的实践教学指导书。在设备不足的情况下,可采用基于虚拟机环境的实践教学法,让学生在有限的资源环境中得到更为真实充分的实践锻炼;也可以建立工程实践平台,比如,上海交通大学信息安全工程实践培训与应用实验室建立了国内信息安全领域最大规模的工程实践实验平台,该平台可全方位支持信息安全教学、培训、科研及测试等信息安全服务,实现了基于“网站――实验支撑系统――实验课件”互动的网络化交互式的新一代工程实践教学和培训环境。在该环境下,可演示和运行各种平台的实验系统,开展各种安全实验,大大节省了硬件资源,为网络信息安全专业的日常教学活动提供了良好的环境支持。
4.加强实验室建设
网络信息安全专业是一个实践性很强的专业,对实验室建设、实验设备等的要求较高。如何设计出科学、合理的网络信息安全实验室建设方案,加强理论与实践的结合,将直接影响着专业课内容的消化和吸收,影响着科研工作的顺利开展。目前,比较有名的信息安全实验室是中科院信息安全国家重点实验室,中科院高能物理所、软件所、计算所等单位也都具有良好的网络安全实验设备或实验中心,中国科技大学、北京电子科技学院、上海交通大学等院校也建立了各自的信息安全研究中心或实验室。
5.建立稳定的实践基地,实现产学研的紧密结合
网络信息安全专业有着广泛的社会需求。因此,应当同社会相关行业进行广泛的联系,建立稳定的实践和实习基地。首先,应制定出面向行业的、有针对性的实践方案和实习计划;其次,应加强与企业和科研院所的合作,找出与研究机构、企业合作的有效途径,提高人才竞争力。要实现产学研紧密结合,不仅应加强与企业和科研院所的合作、加强实践教学,还可通过编写适应产学研的教材以及相应的教学来提高学生的实践能力、自学能力、创新能力和适应新环境的能力,使学生顺利适应产学研结合的培养模式。
四、结束语
当然,任何新生事物在成长过程中都不是一帆风顺的。网络信息安全人才的培养将是一项艰巨的任务,任重道远,许多高校进行了有益的尝试,并取得了一定的经验和成绩。随着我国信息化进程的加快,国家对信息安全问题的高度重视,我国信息安全产业将迎来新的发展机遇,政府部门和企事业单位对信息安全人才的需求将会越来越多,这反过来也会极大地推动高校人才培养的教学改革,同时,高校还可以充分利用企事业单位作为教学实践基地,把产学研有机地整合起来,为社会输送高质量的人才。
参考文献:
[1] 马建峰、李凤华,信息安全学科建设与人才培养现状、问题与对策,计算机教育,2005(1):11-14
[2] 单来祥,信息安全专业学生应具备哪些知识和能力,计算机教育,2005(1):18
[3] 吕欣,关于信息安全人才培养的建议,计算机安全,2006.2
一、信息安全建设的必要性
随着信息技术日新月异的发展,各行业在信息化应用和要求方面也在逐步提高,利用计算机网络技术和各重要业务系统相结合,例如门户网站、办公自动化系统、财务管理系统及生产管理系统等,信息化技术给我们带来了便利,有效提高了工作效率。然而各种网络与信息系统安全问题也给我们带来了众多威胁和隐患,一旦出现安全问题,所有工作都无法正常完成,所以信息安全是各行业信息系统运作的重要保障。
二、高职院校信息安全专业人才培养现状
在这样的情况下,社会对网络信息安全的建设人才、管理人才和运营人才有大量的需求。相对于其他信息安全理论,密码学已经形成了相对比较完整、系统的理论体系,因此,国内在信息安全方面比较突出的高职院校基本上都以密码学领域的人才培养居多。但是可以肯定的是密码学仅仅是信息安全学科的一个重要领域,其他信息安全领域,目前各高职院校尚未形成系统、完整的人才培养体系。目前职业院校计算机信息安全专业的不足主要表现在以下几方面:1、教学形式单一 2、重理论,缺实践3、教学计划不科学4、专业课程的设置不合理5、实验室、实践基地建设滞后。
总体来讲,当前我国信息安全人才相当匮乏,因而导致了我国信息安全领域相对落后,且缺乏有效的国内、外竞争力;与此同时,我国信息安全理论研究远落后于信息化安全技术的应用及开发,在该领域进行研发具有自主知识产权的产品,建立相关行业标准等方面十分不利。
针对上述国内信息安全类人才培养方面的不足,并结合国情及新时期社会对信息安全专业多样化人才的实际需求,本文重点着手对信息安全实训教学模式进行探索,探寻一种较科学、可行的信息安全类人才培养模式。
三、信息安全专业人才的实训教学模式
1、实训课程体系设计思路
从社会对信息安全类人才的实际需求来看,各个领域均要求该类人才需具有较强的解决实际问题的动手能力,因此其实训教学应注重改革实训教学模式并设置合理的实训教学内容。实训课程体系的完善与优化是信息安全专业实训教学的基础和前提,只有建立起优化、合理的实训课程体系才能加快人才培养预定目标的实现。在实训课程体系建设中,应明确专业学科核心实训课程以及专业主干课程外,应紧密围绕信息安全类复合型人才的培养目标,开设大量的实践类课程。因此,在实践课程的设置方面应逐渐建立学生实践能力标准体系。依据培养方案制定相应的具体原则,专门制定信息安全专业实践能力培养标准,并形成正式规范。
在实训内容方面应设计四大部分:一是计算机网络NT、Novell、UNIX的网络的连接;二是微机组装及故障排除;三是电子商务模拟交易及认证模拟训练;四是信息安全实训,主要有加密系统、防火墙技术、病毒的防范、黑客攻击与防范等。
2、实现多元化虚拟实训模式
根据社会对该专业的人才需求,并结合各学校自身的实际情况,将实训教学分为基础网络实训、信息安全综合实训、创新、创业实训、系统安全综合实训、实践基地实训项目以及毕业论文(设计)6个层面内容,搭建这种分层次的体系结构和多元化虚拟实训模式。基础网络实训一般应采用课内实训的方式;信息安全综合设计实训和系统安全综合实训多采用集中实训的方式;创新、创业实训应鼓励学生按照兴趣小组的方式组成课题研究小组去申报一些科研项目,如部级、校级大学生创新、创业项目以及各种大学生竞赛项目,通过这些实训项目可以大大增强学生的实践动手能力,也可以极大程度激发学生的学习兴趣;实践基地实训项目应多采用集中的方式进行,使学生利用假期2~3月的时间到实践基地进行深入、全面的实训锻炼,也可以顶岗锻炼。通过实训锻炼不仅可增强学生的实践动手能力,而且使其明确了自身的专业定位,为今后的就业打下了良好的基础。
3、完善实验室建设
基础网络实训、信息安全综合实训等是可以利用课内实训或集中实训的方式在实验室完成的,专用实验室是进行实践教学的重要场所,是理论与实践相互联系的纽带,因此,需要设计和搭建出科学合理的信息安全实验室,从而确保教学工作的顺利开展。
特别需要说明的是,信息安全实验室与其他基础实验室不同,它需要大量的专用安全设备、服务器、计算机,还需要大量使用各种专用的安全软件,同时需要具备全面的专业素质和能力的专业实验教师,才能使信息安全实验室发挥其作用。
4、加强实训基地建设工作
实训基地的含义可以有两层,一层含义是为完善师资队伍的知识结构而建立的实践场所。信息安全专业的教师大多是非“科班”出身的,几乎是相近学科或专业后转型而来的。这样培养出的学生不仅质量不会太高,而且缺少信息安全系统的观点与方法,不能胜任安全的信息系统的设计与实现等综合性工作。而信息安全专业注重实践的学科特色要求师资队伍既有精湛的学识和理论水平,又有社会实践的经验和能力,故建立一个完善师资队伍知识结构的实践场所,有利于老师把理论与实践融汇贯通,从而很好地指导好学生。
另一层含义是培养学生动手实践能力的基地。该专业所学的大量课程与社会实践密切相关,应多方努力,与实训条件好的各高校、企业单位建立良好的合作伙伴关系,并重点选取一些技术力量雄厚、专业特征相符且适合大学生实践训练的友好单位作为长期合作的实践基地,为学生创造到企事业单位顶岗实习的机会,确保学生能到某一实践基地去全面、系统的实训锻炼。
5、实训教学模式的教学评价和教学保障
信息安全实训课程必须在完成课堂教学的基础上进行,通过课堂教学使学生掌握信息安全专业的相关基础知识,在此基础上,通过实训课程完成相关配套的实训,提高学生综合专业技能水平。因此成熟完善的实训评价系统十分必要。实训教学的评价工作可以帮助提高教学质量,可以及时发现问题,便于师生之间互相交流,及时反馈信息,掌握学生学习情况,解决问题,及时调整实训项目内容,对实训教学效果提供保障。
四、结束语
由于信息安全专业成立时间较短,没有现成的人才培养方案可以借鉴,加上该专业的自身特点,信息安全人才的培养将是一项艰巨的任务,任重道远,在这样的局势下,本文针对对职业院校计算机信息安全实训教学模式,从课程体系建设、实验室建设、实训基地建设、教学评价等方面进行探索,以期新时期社会对信息安全类专业复合型人才的需求作出一定贡献。
