信息安全專業論文模板(10篇)
時間:2023-03-20 16:26:23
導言:作為寫作愛好者,不可錯過為您精心挑選的10篇信息安全專業論文,它們將為您的寫作提供全新的視角,我們衷心期待您的閱讀,并希望這些內容能為您提供靈感和參考。
篇1
作者簡介:王勇(1973-),男,河南確山人,上海電力學院計算機科學技術學院信息安全系,教授;周林(1968-),男,浙江寧波人,上海電力學院計算機科學與技術學院信息安全系,副教授。(上海 200090)
基金項目:本文系上海電力學院重點教改基金項目(項目編號:20121307)的研究成果。
中圖分類號:G642 文獻標識碼:A 文章編號:1007-0079(2014)09-0024-02
信息安全專業的創新能力培養是國內相關高校新開專業所面臨的重要問題。根據各個學校的自身特點,創新特色各有不同,上海電力學院的信息安全專業要在具有電力特色的基礎上培養具有普適專業知識的應用型人才。[1]公安系統高校在培養信息安全人才的時候要強調該專業知識在取證和偵破領域的特色應用。[2,3]創新的基礎要培養實踐能力,特別是工程技術人才,只有在實踐中才能對技術有深刻的認識,學習知識,發現問題,提出新問題,解決問題,初步具有創新能力。[4-6]
然而當前信息安全專業學生普遍具有行業背景特殊不明顯,自學能力、創新能力、論文撰寫能力比較薄弱的狀態。根據上海電力學院信息安全專業特點,我們在實踐中總結了創新能力培養的模式。
一、存在的問題
1.電力特色不明顯
我們的專業定位是培養具有電力特色的信息安全應用型人才。雖然本專業建設了電力網絡安全實驗室,配置了電力專用網絡安全設備,但是在教學大概上對電力特色的信息安全課程涉及不多。需在認知實踐、科創、畢業設計環節中增加電力信息安全的相關內容。
2.自學能力薄弱
由于信息安全專業知識更新速度非常快,就需要老師和學生不斷更新知識。而獲取知識最快捷的途徑就是自學。但是大學生從高中階段轉變過來后,還不適應大學教育。很多上課認真聽課,課下不預習和自學的學生,發現很多知識都聽不懂。這是因為信息安全領域知識面很寬,知識量較大,沒有課前預習僅依靠上課的短暫時間是不夠的。
但是當前學生學習主動性比較差,自學能力較低。這種現象在信息安全專業里面尤其突出。也不排除有些對信息安全有濃厚興趣的學生,他們會主動學習新的知識,具有較強的自學能力。這樣的學生在一個班級里面,處于金字塔的頂端,平均每個班級大概占10%左右。剩余的學生在自學能力方面均需要提高。
3.缺乏創新意識
在缺乏自學能力的情況下,掌握多學科交叉的信息安全專業知識就比較困難。在學習過程中會遇到很多需要解決的新問題,尋求解決新問題的創新思路就更顯得薄弱。自學是要求學生能夠主動學習課堂要求的預習任務,而創新意識是要求學生能發現新問題,網絡搜索解決方案,并在實踐中驗證這些技術。
自學能力是創新意識的基礎,而提高學習興趣是解決這兩個方面缺失的關鍵措施。
4.論文撰寫能力差
在撰寫實驗報告過程中,發現工科學生的語言表達能力普遍較低,很多有口語化的表述,而且存在條例不清晰,邏輯不緊密,摘要內容與論文無關,實驗結果分析不足等諸多問題。這是由于在高中階段沒有要求學生撰寫過科技論文,也沒有進行過相關培訓。在大學期間,由于自學能力和創新能力的薄弱,導致實驗無法獨立完成,這樣更加沒有信心撰寫實驗報告,對于科技論文就更沒有興趣。
總之,信心安全專業所面臨的創新人才培養存在的難題,主要表現在自學能力薄弱、缺乏創新意識、論文撰寫不規范等。這三個問題是具有相互連貫性的。自學能力薄弱導致掌握新知識能力差,就缺乏發現問題、解決新問題的能力,自然無法完成論文的撰寫工作,更沒有心思關心論文格式方面的要求。
二、問題存在的原因
在查找根源的時候,不要把所有責任都推到學生身上,要從專業特點、學校的專業定位、培養方案、就業形勢等諸多方面進行綜合考慮。
1.電力特色的專業定位
上海電力學院的信息安全專業依托電力行業為背景,培養具有信息安全一般技能的專業技術人才。電力行業雖然對信息安全有很高要求,但是該行業內,對信息安全的崗位需求缺很少,電力系統的安全保障技術,基本上做運營維護,技術開發的工作集中在電力科學研究院。因為電力行業需求不高,所以還需要全面教授信息安全技術。
在這樣的專業定位的基礎上,培養方案中就需要涉及很多專業科目,并且針對不同的就業需要引導學生自學掌握更多特殊技能。
2.多學科融合的專業
信息安全專業是計算機科學與技術、信息與通信工程、數學等多學科的交叉學科,該專業屬于多學科融合,因此要求學生不能偏科,需要學生有很強的數學基礎、編程能力,甚至會涉及到通信技術。這樣的學科對學生綜合能力有很高要求。
該專業還具有很強的實效性。工程技術類比理論技術更新更快。有的新技術出現后,不到半年就被淘汰。這導致教程嚴重滯后當前最新技術,需要教師不斷更新專業知識,而且也需要學生具有自學能力和創新意識。
該專業的多學科交叉和知識的快速更新,給教和學都帶來了很大壓力,對學生自學能力、創新能力就有更高的要求。
3.突出技術的理學培養方案
因為上海電力學院的專業規劃的需要,信息安全專業定位成理學專業,這樣需要更加突出理論知識的學學分。理論課的增加自然相對減少了課程實驗內容。現有的信息安全培養方案中,課時數相對比較很多,留給學生自學的時間較少。雖然集中實踐課程達到32學分,640學時,但是專業課的上課與上機實踐比例基本上是2∶1,學生實踐機會還是低于聽課時間。這樣在上機的時候,就會有很多學生動手能力比較差。
4.不同地域生源
信息安全專業不屬于上海電力學院電力特色的專業,因此在招生的時候,對學生的吸引力不如其他特色專業。招生面向全國招生,外地生源考分在當地一般都超過一本分數線,上海屬于二本。外地生源學生入校后,難免會有心理落差,但是學習還是比較用功的。上海生源計算機基礎一般較好,但在最近計算機普及率增大的情況下,上海生源的計算機優勢就不太明顯了。
生源的特點決定了信息安全專業學生在班級里面兩極分化嚴重。想學的學生主要是對信息安全有濃厚興趣,或者打算考驗或者考證。一般考研的學生在研究生考試的壓力下,專業技術能力又不會特別突出。
5.就業形勢帶來的機遇與挑戰
信息安全專業2013年是第一年畢業,正趕上我國設立國家安全委員會,對信息安全的重視程度上升到國家安全層面。這在宏觀上促進了就業。信息安全的運營維護需求在知名企事業單位中有重要需求,但是由于這樣的崗位流動性不強,崗位數量并不多,在客觀上說明市場并不大。
信息安全技術開發類工作集中在國內很少的幾家信息安全企業,或者是大型企業的研發部門,對信息安全的編程技術和理論水平均有較高要求。在當前就業形勢下,上海電力學院培養的信息安全專業人才的就業將會面臨考驗。有機遇也有挑戰,而且就業的好壞會直接影響到信息安全招生工作。
三、信息安全專業創新人才培養模式
當前信息安全專業創新人才培養還面臨許多難題,這些難題存在有其客觀的外部因素,也有學生自身原因,在當前機遇和挑戰并存的形式下,我們探索了一套信息安全專業創新人才培養模式。
1.優化實踐教學體系
上海電力學院2014年了建立實踐教學體系的通知,讓我們這兩年努力做的實踐教學工作有了更大的發展空間。其中包括“打破集中實踐教學的固定期末兩周的限制,實現集中實踐教學貫穿全學期。以本專業主干課程鏈內容為依托的,結合理論教學和現場實際的6-8周的大型綜合課程設計”。
現階段集中實踐是32學分,平時大學生科創工作并沒有計算學生的學分。但是信息安全系把科創題目作為畢業設計題目,很大程度上提高了學生參加科創的積極性。
專業比較突出的學生有的開始有創業打算。有的是因為家庭的創業經歷,或是被當前創業政策的吸引。為了促進就業,我們在日常科創指導中,鼓勵有潛力的學生申請專利,申請創業啟動資金,開創公司。但是學生對于創業還有諸多顧慮,還有學分和考勤方面的約束,真正創業的學生卻很少。不過這樣的思想傳輸給了學生,對于其將來畢業就業會產生積極影響。
2.電力特色實踐培養
在電力特色的專業定位下開展了電力特色實踐培養。利用電力信息安全實驗室的軟硬件環境,讓學生對電力系統通信安全設備有了初步認識。在科創和畢業設計環境增加了電力信息安全的相關內容,在大學生暑假實習期間,教師推薦動手能力強的學生到電力公司從事電力信息安全設備的安裝和配置工作,讓學生對電力信息安全有深刻的現場經驗。由于電力信息安全還設計到許多工業控制系統安全內容,根據我校特點,在科創和畢業設計環節中也增加了工業控制系統安全的相關內容,讓部分學生了解了工業控制系統中基本的西門子PLC控制系統的設計方法,了解了Stuxnet工業控制病毒的工作原理和防御措施。
3.自學能力培養方法
增加一定數量考查課的大作業的比例,要求學生每個學期完成一份綜合性報告,根據老師的大作業要求,查閱文獻,學習知識,分析問題,解決問題。增加平時作業中的需要查閱資料才能解決的內容,讓學生不僅學會利用課堂知識解決問題,而且還需要到圖書館和網絡上查找資料,相互討論后才能解決,通過這樣的過程鍛煉學生的自學能力。
4.創新能力培養方法
在實驗過程中,要求學生實驗報告中,必須有實驗總結內容。這樣可以記錄驗證類的實驗過程中出現的問題及解決的問題過程,為論文中實驗結果的分析奠定基礎。增加英文論文摘要撰寫的基本要求,培養學生寫好英語摘要,理解摘要主要內容包括論文的研究意義、采用的方法、解決的問題、結論的分析等內容。
在畢業設計環節中,對學生論文撰寫能力提出更高要求,要求嚴格按照上海電力學院論文格式規范撰寫論文,對論文中的圖表編號、參考文獻的引用格式、綜述的撰寫、方案的描述、實驗結果的分析等諸多方面進行規范要求。
四、結果與分析
通過創新人才培養模式中的諸多措施,在提高學生創新能力方面產生了積極影響,不僅將理論緊密聯系實際,更培養了學生的創新精神和實踐能力。有8人次參加了ACM程序設計大賽并獲得二等獎和三等獎。學生潘佳亮在中國核心期刊(遴選)《現代計算機》《較高安全性能信息系統的構建》,陳正卿的論文《HTTP拆分攻擊及相關組合攻擊》已被中文核心期刊《計算機應用研究》錄用。李中平的論文《Android手機遠程控制關鍵技術分析》在中文核心期刊《計算機應用與軟件》上發表。
雖然創新人才培養模式取得了一定的成績,但是還沒有孵化出一個科技型企業,學生英文論文水平還有待進一步提升。
五、結語
通過對信息安全專業的創新人才培養教改,提高了信息安全專業學生自學能力、創新能力、論文撰寫能力。在取得一定成績的同時,也發現創新人才培養,不僅是教育方式的改革,傳統學習方式的改變,更需要從教學體系上促進以創新教育為目的實踐教學體系建設。
參考文獻:
[1]李紅嬌,魏為民,王勇,等.電力特色信息安全專業學生實踐能力培養的探索[A].第九屆中國通信學會學術年會論文集[C].中國通信學會,2012:5.
[2]曾剛.公安院校實踐創新能力培養模式研究――以信息安全專業為例[J].遼寧警專學報,2012,(5):93-97.
[3]黃鳳林,張天長,李佟鴻.信息安全專業創新性實踐教學體系建設研究[J].湖北警官學院學報,2013,(12):198-200.
篇2
中圖分類號:G647 文獻標志碼:A 文章編號:1674-9324(2015)48-0087-02
財經應用領域的一個重要特征是實現了業務電子化,信息的獲取、傳遞、處理等經濟管理行為通過信息系統來完成。信息系統如同國民經濟活動的大腦和神經中樞,財經應用領域對信息技術越來越依賴,其信息安全保障工作的難度也不斷加大,信用風險、市場風險、流動性風險、操作風險、法律風險等傳統風險在信息化過程中發生了重要變化。因此信息安全教育對財經管理專業人才培養尤為重要,提高財經管理專業人才的信息安全能力和意識迫在眉睫。
國內公開發表的文獻涵蓋信息安全專業人才培養、信息安全課程改革、信息安全實驗平臺建設等方向,但鮮見面向財經管理創新型人才培養的信息安全教學體系研究。
中央財經大學從2004年起開設信息安全相關課程,是國內最早為財經管理類專業開設信息安全課程的高校。十余年來,先后為電子商務、信息管理等專業本科生開設《電子商務安全》、《信息系統安全》課程(包括雙語教學),為全校本科生開設大學生文化素質課《信息安全概論》,為經濟類碩士研究生開設《信息安全》課程。學校從教學內容選擇、講授方法凝練、教學環境建設、評價體系完善、師資力量培養等方面不斷研究探索,逐步形成了面向財經管理創新型人才培養的信息安全教學體系,取得了良好的教學效果。
一、4-3-3多維教學體系
面向財經管理創新型人才培養的信息安全4-3-3多維教學體系包括:四維教學內容(密碼學、網絡安全、信息系統安全、財經應用安全)、三種教學手段(課堂教學、實驗教學、網絡互動教學)、三類自主學習方案(金融信息安全案例分析、科研項目驅動、學術論文研究),很好地解決了在基礎不夠(不具備數學、密碼學基礎)、技術不強(沒有網絡技術)、時間不多(只開一門課)的情況下,開展信息安全教育的問題。在教學過程中,理論教學與實驗教學相互印證,相輔相成;實驗內容與實驗手段有機銜接,注重培養創新意識和綜合能力的考核方式。
二、教學改革方面
采用多媒體教學,制作了包含音視頻的課件,建立了完善的網絡教學資源。通過網絡課程可以獲得更多的信息,運用網絡課程復習、討論成為不少學生課后輔助學習的有效手段。
1.修訂和完善了信息安全教學體系的教學大綱。根據學校教學計劃和國家培養面向新世紀人才的要求,教學團隊參照教育部擬定的普通高等學校有關課程的教學大綱,并結合我校特色,根據本科生和研究生的不同層次,分別組織編寫了詳細的教學大綱,每年根據課程內容和實際需要及時調整和修改教學大綱,制訂教學計劃,使之符合信息安全教學體系的課程特點。同時,進一步完善教學總結及教學輔助材料。
2.科學合理選擇高水平的教材。課程選用了國內知名專家編寫的中文教材,在雙語課程開設之后,選擇相對權威的國外主流信息安全教材,積極引進原著和原版書目;后期,在完善教學內容及方法的同時,課程教學團隊通過深入調研發現,目前國內外尚無完善的針對財經信息安全的高等教育教材。因此,教學團隊組織編寫并出版了適用于財經類院校的《電子商務安全》教材,著眼于信息安全在電子商務中的實際應用,突出案例豐富的特色,為學生學習提供充足、適宜的參考資料。
3.積極推進案例教學。信息安全是一門發展的學科,也是一門致用之學。如何使該門課程在實現它基礎性作用的同時,還能夠體現先進性和可操作性,已成為這門課程的方向。對于信息安全算法協議的描述,采用業內優秀的信息安全模擬軟件CrypTool實現具體案例的演示,將重要的密碼體制逐一展示成直觀形象、易于理解的動態演示過程,加深學生的理解程度。此外,信息安全密碼機制的創立以及應用場景問題對學生來說都比較陌生,在知識點講解中適當引入視頻來縮短與學生學習生活的距離,可以更好地啟發學生思考及動手操作能力。
4.創新教學方法。把傳統的課堂講授作為教學方法的基礎,積極開展啟發式教學、案例教學、論壇式教學、學生自學、實踐教學以及學術講座等多種教學形式,注重學生思維方式和實踐能力的提高。教學團隊經常定期開展教研活動,集體備課,商討教學中出現的一些問題,改善教學方式或教學手段;積極參加國內高水平的學術交流,并邀請國內知名教授開辦教學手段和教學方法的講座。
5.完善考試制度。規范信息安全教學體系的教考分離制度,完善試題庫的建設。本課程采取平時考核與期末考試相結合的方式,即平時通過課堂提問、開卷小論文、測驗等多種途徑了解學生學習情況,重在考察學生分析、研究問題的能力;期末考試采取教考分離的方式,重在考察學生對基本理論、基本概念、基本觀點的把握。試題覆蓋面占講授內容的90%以上,難易程度比較適宜,客觀評卷,學生成績公正,考試后有試卷分析及總結。
6.建設實驗教學體系。中央財經大學計算機網絡與信息安全實驗室、金融網絡與信息安全實驗室為信息安全教學提供了實驗環境。SimpleISES新一代信息安全實驗教學系統將行業內主流的安全軟件移植和轉化為實驗教學項目,該系統由一系列軟、硬件設備構成,其最大的優勢在于可隨時根據技術的發展而不斷更新實驗模塊,并且具備較高的知識系統性。該系統是基于真實網絡、信息安全及安全設備等環境下搭建的一套信息安全綜合實驗平臺,在這個平臺中,學生通過獨立操作或者分組合作,進行信息安全各個知識領域的學習和配套實驗操作,這與未來實際工作中所用到的基本一致。
金融網絡與信息安全實驗室集成了多家銀行的核心信息系統,通過具體的金融信息安全案例實現對金融信息安全的實驗教學。實驗室的“銀行網絡與信息化研究試驗平臺”被評為教育部首批“互聯網應用創新開放平臺示范基地”。
三、教學創新方面
堅持信息安全經典理論與學術前沿并重,強調方法論與實際案例分析相結合,注重研究型人才、應用型人才與復合型人才等多類型培養模式,教學改革與創新富有特色,成效顯著。
1.采用啟發引導、鼓勵學生參與課堂討論的教學方法。為了改變傳統的灌輸式教學方法,在教學過程中積極引導學生結合財經信息安全實際應用參與討論,不僅加深學生對信息安全理論的理解,而且大大地提高了學習積極性,鍛煉了學生的綜合素質和能力,活躍了課堂氣氛,增進了老師和學生之間的平等交流,收到了良好的教學效果。這種啟發引導式的教學方法促使一線教學教師理論聯系實際,迫使老師在備課過程中不斷地思考問題、提出問題,并引導學生思考和討論,在課堂上注意把握學生討論的范圍和對學生討論的總結和評述,起到了以教學帶動科研、科研促進教學的作用,大大提高了教師的業務水平和教學質量。
2.采取案例教學的教學方式。為了使學生能更好地運用所學的信息安全理論來分析和解釋現實電子商務活動中的安全風險及保護手段,鼓勵任課教師在教學過程中選擇與信息安全原理密切相關的案例,組織案例教學,要求在案例教學的過程中,學生聯系信息安全理論對實際案例進行理論層面的分析與探討,并寫出案例分析報告,并以此作為學生平時成績的重要依據。
3.開設同步在線課程網站。2010年開設了“信息安全課程體系”網站,網站包含了教學大綱、多媒體教學課件、課程習題及答案、課外參考材料等資源。學生既可以通過網站預習、復習課程內容,又可以以網站提供的課外參考材料作為向導,自主獨立開展學習和科研創新活動。本課程網站在借鑒同類站點特色的基礎上,特別增設了BBS論壇一項,以供師生之間積極互動,以加強學生與老師之間的交流。師生間的討論交流記錄均可以以帖子的形式保存在BBS論壇中,以供其他同學或者后面即將學習該課程的低年級同學查看。同時,教學團隊也可以從學生發帖的內容來判斷學生對知識點的掌握情況,以對課程的難度和進度及時做出調整。
四、實踐教學方面
1.學生科研環節的設計。通過課堂教學和學生自學,引導學生學會分析信息安全的風險,找到成因,提出解決方案,鼓勵學生發表一定水平的科研論文,積極參加大學生科技類比賽項目。
2.教學實踐環節的設計。一是組織和引導學生利用假期進行社會調查和實踐,并撰寫調研報告,既增強了學生對社會生產活動中信息安全問題和現象的感性認識,又鍛煉了學生的社會實踐能力,進而增進了學生對所學信息安全理論的進一步理解。二是支持學生組成學術社團,引導學生自覺開展學術活動。三是邀請國內外信息安全領域的著名專家學者到我校講學,介紹當前國內外最新科研成果和學術動態,使學術氛圍更加濃厚。
五、結語
面向財經管理創新型人才培養的信息安全4-3-3多維教學體系,探索出了一條財經類專業學習信息安全知識的有效途徑,促進了財經管理創新型人才培養模式改革和人才培養質量的提高,取得了良好的教學效果和成果。但隨著“互聯網+”時代的到來,及MOOC、翻轉課堂等的出現,在教學內容、教學方法和教學手段上仍需不斷完善。
篇3
1 概述
目前,在我國很多高校開設了網絡信息安課程,該課程是信息安全專業的一門基礎課,也是網絡工程專業的一門必修課。網絡信息安全課程理論性強,實踐性強,并且教學內容隨著信息技術的發展也在不斷地變化,這給教學工作帶來很大挑戰。由于專業性質不同,為了使網絡信息安全課程的教學符合網絡工程專業的特點,并且跟上信息技術瞬息萬變的步伐,達到培養人才的目標,我們在多年教學實踐的基礎上,不斷地進行總結和探索。
2 網絡工程專業特點
網絡工程是將計算機技術和通信技術緊密結合而形成的新興的技術領域,尤其在當今互聯網技術以及互聯網經濟迅速發展的環境下,網絡工程技術已經成為計算機乃至信息技術界關注的重要領域之一,也是在現代信息社會中迅速發展并且應用廣泛的一門綜合性學科。網絡工程專業自從上世紀90年代起,陸續在我國很多本科高校中都有開設。
網絡工程專業的培養目標是:掌握常用操作系統的使用、網絡設備的配置,深入了解網絡的安全問題,具有綜合性的網絡管理能力,可以勝任中小企業的網絡管理工作,并具備發展成為網絡工程設計專家的能力[1]。以商丘學院(以下簡稱“我校”)為例,該專業是我校重點建設的專業之一,計算機網絡課程現已成為校級精品課程,所屬計算機網絡實驗室被評為河南省級重點實驗室。在校學生一二年級主要學好程序設計、網絡原理、操作系統等專業基礎課,三四年級主要學習網絡設備管理、綜合布線、網絡組建、網絡信息安全等專業核心課程。在學生學習的時間安排上留有余地,引導學生擴大知識面,關注學科前沿,鼓勵學生利用好實驗室來培養自己的實踐能力和創新能力。因此,網絡信息安全成為我校高年級學生的一門必修課。結合網絡工程專業特色,網絡信息安全課程多年來在我校網絡工程專業一直開設并收到很好的效果。
3 網絡信息安全課程開設現狀
網絡信息安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。信息安全是國家重點發展的新興交叉學科,具有廣闊的發展前景。由于我國在信息安全技術方面的起點還較低,國內只有少數高等院校開設“信息安全”專業,信息安全技術人才奇缺。網絡信息安全課程在信息安全專業是必不可少的核心課程。
目前,我校網絡工程專業網絡信息安全課程的開設還是以理論教學為主,實踐教學為輔的教學模式。在學時分配上我們采用“34學時理論+18學時上機”的模式。在考核方式上采用“20%平時表現+80%理論考試”來計算總成績。結合信息安全技術發展迅速的特點,在教材的選用上我們不斷更新教材,以求跟上時代和技術的潮流。我校先后選用吳煜煜[2]、周明全[3]、石志國[4]、袁津生[5]等人主編的教材,這樣教師也在不斷地學習最新知識和專業技能。由于該課程是一門交叉性綜合性學科,學好這門課程要求學生必須具備良好的程序設計能力,過硬的數學、操作系統和網絡知識。該課程的先修課程為:高級程序設計(C、C++、Java)、計算機網絡(TCP/IP)、操作系統(Unix和Windows)、數據庫系統。該課程教學內容主要包括:網絡安全的基本概念、加密與解密、公鑰體系、TCP/IP協議安全、應用層安全、攻擊與防御、網絡站點的安全、操作系統系統與數據庫的安全。
網絡信息安全這門課程是一門理論和實踐相結合,應用性很強的交叉性綜合性課程。理論知識涉及面廣且抽象,實踐問題規模難度大。這樣的特點不僅要求教師具備過硬的專業技能和授課水平,而且要求學生具備扎實的理論功底和和較強的實踐能力。該課程在我校是網絡工程專業開設的一門必修課程,它既不能像信息安全專業開設的專業課那么詳盡和深入,也不能像普及網絡安全知識一樣成為公共選修課那樣淺嘗輒止。這就要求教師必須在有限的學時內將網絡信息安全課程最基本的原理、最常用的技能傳授給學生,使學生能夠解決最常見的網絡安全問題,成為能夠學以致用,能夠解決實際問題的人才。因此,必須結合網絡工程專業特色和我校學生水平進行教學,才能使教和學的效果都達到最優化,達到培養人才的目標。
目前,現有的教學模式仍然停留在重理論、輕實踐的層次上。學生在課堂上與老師的互動性不強,特別是學生的學習積極性不高,對信息安全課程學習的興趣不持久,實踐能力不強,而且現有的考核方式已不適應課程的發展。通過近幾年的教學實踐,結合目前網絡工程專業開設的網絡信息安全課程在教學中存在的問題,從培養應用型、創新型信息技術人才的角度來出發,我們嘗試對網絡信息安全課程進行改革和探索。
4 教學改革與探索
4.1 翻轉式教學模式
互聯網的普及和計算機技術在教育領域的應用,使“翻轉課堂式”教學模式[6]變得可行和現實。學生可以通過互聯網去使用優質的教育資源,不再單純地依賴授課老師去教授知識。在課堂上,學生和老師的角色則發生了變化。老師更多的責任是去理解學生的問題和引導學生去運用知識。我們在課堂教學的組織中參考林地公園高中的經驗:一、創建教學視頻。我們根據上課的內容和教學目標,使用錄屏軟件將課件和講課聲音錄制下來,然后將課件或視頻通過網絡分發給學生。讓學生在上課前進行先行學習并收集好學生反饋的問題。二、組織課堂教學。教學內容在課外傳遞給學生后,課堂內更需要高質量的學習活動,讓學生有機會在具體環境中應用所學內容。這樣學生先自我學習或通過討論來掌握知識點,結合學生反饋的問題,在課堂上再由教師主導開展關鍵問題的研討,安排相應的課程實踐。該方法在國防科學技術大學徐明的論文[7]中提到,可以作為改革教學模式的一種方法來學習使用。
4.2 理論與實踐相結合的教學模式
理論授課均在多媒體教室進行,理論授課要與上機實踐相結合,網絡安全實驗均在我校計算機網絡實驗室完成,學生上機操作并提交實驗報告。計算機網絡實驗室是我校網絡工程專業的專業實驗室,實驗室采用圓桌模式分為8組,每組8位同學,能同時滿足64位學生做實驗。我們結合近幾年的教學經驗,參考袁津生[5]等教材,安排了如下實驗:①VMware虛擬機與網絡分析器的使用;②RSA加密算法的分析與實現;③加解密算法的分析與實現(DES、AES等);④Hash算法MD5;⑤剖析特洛伊木馬;⑥使用PGP實現電子郵件安全;⑦X-SCANNER掃描工具;⑧用SSL協議實現安全的FTP數據傳輸。除了正常安排的16個上機學時之外,增加實驗室開放時間,為對網絡安全有興趣的學生提供更多的實踐機會。通過在計算機網絡實驗室的學習和實踐,使學生加深對網絡信息安全原理和技術的認識,提高網絡技能和實踐能力,增加他們在將來的就業競爭中的優勢。另外,工學結合,引進第二課堂,創建實訓基地,爭取在網絡安全相關的企業和公司建立實訓基地,加強合作,讓學生有實踐的機會,提高實踐能力和就業能力,這是我們以后也要逐步探索的教學方式之一。
4.3 教學方法的一些改進
興趣是最好的老師。多講一些實例,可以采用任務驅動的方式培養學生的興趣。比如上課前提出一個問題再開始講課。例如:假如你是一個公司新任的網絡管理員,需要對某臺路由器進行相應的配置,但是你不知道該路由器的enable密碼,該怎么辦?這樣就能驅動學生主動思考完成任務的方法,主動學習。一定要結合學生實際,避免“填鴨式”教學方法,做好師生互動。另外授課要盡可能地生動、幽默。
課堂知識、搜索引擎、論壇和專業站點、期刊論文(CNKI),這些都是學好網絡信息安全的重要資源。在教學過程中,一定要利用好搜索引擎、論壇、期刊論文等,關注前沿的信息安全領域發展動向。
增加先驅課程知識的講解。網絡信息安全涉及到的數學知識我們參考裴定一教材[8]。例如,數據加密與認證技術的內容涉及到模運算、矩陣置換等數學知識,在講解相應的數據加密知識時一定要將涉及到的先驅課程知識講解清楚。
以就業為導向,鼓勵學生積極參加網絡信息安全工程師認證考試。鼓勵對網絡安全有興趣的同學進行更加深入、更加專業的學習。
4.4 加大投入、完善網絡信息安全專業實驗設施
完善的網絡信息安全實驗平臺[9]應該以網絡為基礎,將網絡原理、網絡程序設計、信息安全技術和網絡實踐類等課程集成在同一平臺上,采用群組動態交互式實驗方法,利用共享網絡墻形成公共實驗載體,實現網絡實驗從單設備組網到不斷疊加和擴展,使學生從規模化的網絡中理解路由協議和網絡效率。在這樣的實驗平臺下,利用共用服務器,各個群組組成網絡攻防、信息戰等實際場景,根據現場不斷變化的信息實時設計技術方案,靈活應對網絡的動態變化,做出快速的反應與調整,以培養學生高度的應變設計能力。
4.5 改革課時分配和考核權重
網絡信息安全是一門理論與實踐并重的課程,在今后的教學中,要逐漸增加實踐課程的教學。為了增加學生對實踐能力的重視,要合理分配理論考試和實踐考試的權重,在現有考核模式的基礎上逐步增加實踐成績的權重。在考核的形式上,綜合卷面成績和平時表現成績,平時表現的成績注重關注實驗小組討論的表現,個人實踐的表現等。
5 結論
篇4
【中圖分類號】G64 【文獻標識碼】A 【文章編號】2095-3089(2012)12-0024-02
隨著計算機網絡的廣泛應用,信息已成為社會發展的重要戰略資源。信息安全在信息社會中已經體現其重要作用,它會直接關系到國家安全、企業經營、人們的日常生活,因此信息安全這一學科也被確立并得以迅速發展。信息安全是集計算機、通信、數學、電子等眾多領域的一門綜合、交叉的學科,信息安全可分為系統安全(包括操作系統的安全、數據庫系統的安全等)、數據安全(包括數據的安全存儲、安全傳輸)和內容安全(包括病毒的防護、不良內容的過濾等)三個層次,而密碼技術是保障數據安全的重要的關鍵技術。
一、密碼學課程在信息安全本科專業課程體系中的地位及作用
為應對社會對信息安全人才的大量及不斷增加的需求,教育部繼2001年批準在武漢大學開設信息安全本科專業之后,又批準了多所高等院校設立信息安全本科專業。密碼學是高校信息安全本科專業學生的一門專業基礎課,為學生學習后續課程——網絡安全協議與標準、信息系統安全技術及應用等課程奠定了基礎。沒有密碼技術,數據的安全存儲和安全傳輸就得不到保障,從而信息安全也就無從實現。因此密碼學課程是信息安全本科專業中非常重要的專業必修課。
二、密碼學課程的特點
密碼學這門課和其他工科專業基礎課相比,具有學科跨度大,難度大,理論性和應用性強的三個特點。
1.學科跨度大
2.難度大
3.理論性和應用性強
三、密碼學課程教學理念
1.面向信息安全專業本科生的密碼學課程教學
現今許多高校中數學、計算機、通信等相關專業的高年級本科生和碩士生的選修課或必修課都開設了密碼學這門課程,這些相關專業的高年級本科生和碩士生在某一個專業或兩個專業已經具備一定的基礎知識,因此學習密碼學課程,和信息安全專業本科學生相比來說,困難程度就會降低一些。面對信息安全專業本科生的這一教學對象,密碼學課程的教學應該具體怎么去組織和開展,這必然和相關專業的高年級本科生和碩士生的密碼學課程的教學是不一樣的。信息安全專業本科生和其他相關專業本科生一樣,在大一學年要學學英語、線性代數、高等數學等基礎課程,到了大二下學期或大三上學期會接觸到信息安全學科的專業基礎課,這些專業基礎課中包括密碼學,因為密碼學具有前面所述的三大特點,信息安全專業本科生會感覺到學習密碼學課程的困難性,而且隨著課程內容的逐步深入,他們的畏難情緒會越來越重,所以應根據信息安全專業本科生的特點,進行課程教學。
2.注重培養學生正確的密碼學思維方式
密碼學課程的思想內涵豐富,并不是各種密碼算法的簡單堆砌,所以在講授密碼學課程內容時,不能為講授理論而講授理論,要在講理論的同時,把理論中體現的密碼學思想,給學生剖析清楚,這樣,學生在思考和解答密碼學問題時潛移默化地形成了正確的密碼學思維方式。
四、密碼學課程教學方法
1.注重通過例題演算理解密碼算法
將經典算法或其重要步驟和例題演算結合起來,促進學生理解經典算法。
講到公鑰密碼體制的經典算法——RSA算法時,在向學生講授RSA算法的加解密原理后,和學生一起完成用RSA算法對消息的加解密過程的例題演算,目的是讓學生對此算法有一個感性的認識。
2.注重各章內容的關聯,“由淺入深”展開教學
密碼學課程中的古典密碼,流密碼,分組密碼,公鑰密碼在知識層面上是由淺入深的,古典密碼、流密碼、分組密碼是存在著內在的聯系的,公鑰密碼和前面三種密碼是完全不同的,從理解的難度上來看,公鑰密碼理解起來也比前三種密碼要困難。在教學實踐中,按照古典密碼,流密碼,分組密碼,公鑰密碼這四部分順序進行有助于學生的學習和理解。密鑰管理與密鑰分配、消息認證碼與雜湊函數、數字簽名與認證協議更體現密碼學的應用性,不管采用何種密碼體制,都離不開密鑰,密鑰管理與密鑰分配是密碼算法在實際應用中要解決的瓶頸問題,消息認證與數字簽名是密碼學認證應用的重要方法和技術手段,和分組密碼及公鑰密碼有密切的聯系。
3.注重課堂和課后與學生互動
密碼學課程以老師講授為主,注重與學生互動,特別是將重要的知識點和日常生活中學生經常接觸到的信息安全問題結合起來,激發學生的學習興趣,由被動聽課變為主動思考。課后互動主要是閱讀學生的課程論文并給出意見,課程論文即學生根據密碼學課程中的一個或多個知識點出發,體現自己有關密碼學的觀點。
4.注重密碼算法的應用演示
講授密碼算法時,利用開源軟件和開源代碼向學生演示密碼算法的重要步驟,解釋每步的結果的由來,或演示一些密碼算法在后續過程中的應用。
5.注重經典密碼算法關鍵步驟的編程實現
密碼學課程就是由一個個的密碼算法組成的,教師提供一些復雜的經典密碼算法的開源代碼給學生,讓學生分析代碼,算法的關鍵步驟讓學生去完成,通過程序的編寫,幫助學生理解和分析經典密碼算法,為今后密碼的應用實踐奠定基礎。
以上是筆者對信息安全本科專業密碼學課程的教學理念和教學方法的一些拙見,由于這門課程的特點,還有很多方面都需要改進和充實。比如由于實踐課時有限和前置課程的設置,密碼算法的工程應用(數字簽名、身份認證、數字通信、電子商務和電子現金交易的應用)目前在實踐教學中還較少涉及,若加入這部分內容,不僅能糾正學生“密碼學是紙上談兵”的錯誤認識,而且能調動學生學習算法原理的主動性。
參考文獻:
篇5
論文關鍵詞:高師計算機專業;信息安全;法律法規課程
人類進入21世紀,現代信息技術迅猛發展,特別是網絡技術的快速發展,互聯網正以其強大的生命力和巨大的信息提供能力和檢索能力風靡全球.
網絡已成為人們尤其是大學生獲取知識、信息的最快途徑.網絡以其數字化、多媒體化以及虛擬性、學習性等特點不僅影響和改變著大學生的學習方式生活方式以及交往方式,而且正影響著他們的人生觀、世界觀、價值取向,甚至利用自己所學的知識進行網絡犯罪,所有這些使得高師學生思想政治工作特別是從事網絡教學、實踐的計算機專業的教育工作者來說,面臨著前所未有的機遇和挑戰,這不僅因為,自己一方面要傳授學生先進的網絡技術,另一方面也要教育學生不要利用這些技術從事違法活動而從技術的角度來看,違法與不違法只是一兩條指令之間的事情,更重要的是高師計算機專業學生將來可能成為老師去影響他的學生,由此可見,在高師計算機專業學生中開設與信息安全有關的法律法規課程有著十分重要的意義.如何抓住機遇,研究和探索網絡環境下的高師計算機專業學生信息安全法律法規教學的新特點、新方法、新途徑、新對策已成為高師計算機專業教育者關心和思考的問題.本文主要結合我校的實際,就如何在高師計算機專業中開設信息安全法律課程作一些探討.
1現有的計算機專業課程特點
根據我校人才培養目標、服務面向定位,按照夯實基礎、拓寬專業口徑、注重素質教育和創新精神、實踐能力培養的人才培養思路,溝通不同學科、不同專業之間的課程聯系.全校整個課程體系分為“通識教育課程、專業課程(含專業基礎課程、專業方向課程)、教師教育課程(非師范除外)、實踐教學課程”四個大類,下面僅就計算機專業課程的特點介紹.
1.1專業基礎課程專業基礎課是按學科門類組織的基礎知識課程模塊,均為必修課.目的是在大學學習的初期階段,按學科進行培養,夯實基礎,拓寬專業口徑.考慮到學科知識體系、學生轉專業等需要,原則上各學科大類所涵蓋的各專業的學科專業基礎課程應該相同.主要內容包括:計算機科學概論、網頁設計與制作、C++程序設計、數據結構、操作系統等.
1.2專業方向課程各專業應圍繞人才培養目標與規格設置主要課程,按照教育部《普通高等學校本科專業目錄》的有關要求,結合學校實際設置必修課程和選修課程.同時可以開設2—3個方向作為限選.學生可以根據自身興趣和自我發展的需要,在任一方向課程組中選擇規定學分的課程修讀.主要內容包括:計算機網絡、匯編語言程序設計、計算機組成原理、數據庫系統、軟件工程導論、軟件工程實訓、計算機系統結構等.
1.3現有計算機專業課程設置的一些不足計算機技術一日千里,對于它的課程設置應該具有前瞻性,考慮到時代的變化,計算機應用專業旨在培養一批適合現代軟件工程、網絡工程發展要求的軟件工程、網絡工程技術人員,現有我校的計算機專業課程是針對這一目標進行設置的,但這一設置主要從技術的角度來考慮問題,沒有充分考慮到:隨著時代的發展,人們更廣泛的使用網絡、更關注信息安全這一事實,作為計算機專業的學生更應該承擔起自覺維護起信息安全的責任,作為高師計算機專業的課程設置里應該考慮到教育學生不得利用自己所學的技術從事不利于網絡安全的事情.
2高師計算機專業學生開設信息安全法律法規的必要性和可行性
2.1必要性信息安全學科群體系由核心學科群、支撐學科群和應用學科群三部分構成,是一個“以信息安全理論為核心,以信息技術、信息工程和信息安全等理論體系為支撐,以國家和社會各領域信息安全防護為應用方向”的跨學科的交叉性學科群體系.該學科交叉性、邊緣性強,應用領域面寬,是一個龐大的學科群體系,涉及的知識點也非常龐雜.
僅就法學而言,信息安全涉及的法學領域就包括:刑法(計算機犯罪,包括非法侵入計算機信息系統罪、故意制作傳播病毒等)、民商法(電子合同、電子支付等)、知識產權法(著作權的侵害、信息網絡傳播權等)等許多法學分支.因此,信息安全教育不是一項單一技術方面的教育,加強相關法律課程設置,是信息安全學科建設過程中健全人才培養體系的重要途徑與任務.
高師計算機專業,雖然沒有開設與信息安全專業一樣多與信息安全的有關技術類課程.但這些專業的學生都有從事網絡工程、軟件工程所需要的基本編程能力、黑客軟件的使用能力,只要具備這些能力且信息安全意識不強的人,都可能有意識或無意識的干出違反法律的事情,例如“YAI”這個比CIH還兇猛的病毒的編寫者為重慶某大學計算機系一名大學生.由此可見,在高師計算機專業的學生中開設相關的法律法規選修課程是必要的.
2.2可行性技術與法律原本并不關聯,但是在信息安全領域,技術與法律卻深深的關聯在一起,在全世界各國都不難發現諸如像數字簽名、PKI應用與法律體系緊密關聯.從本質上講,信息安全對法律的需求,實際上來源于人們在面臨信息技術革命過程中產生的種種新可能的時候,對這些可能性做出選擇揚棄、利益權衡和價值判斷的需要.這也就要求我們跳出技術思維的影響,重視信息安全中的法律范疇.
根據前面對信息安全法律法規內容的特點分析可知:信息安全技術與計算機應用技術有著千絲萬縷的聯系.從事計算機技術的人員很容易轉到從事信息安全技術研究上,加之信息安全技術是當今最熱門技術之一,因此,在高師計算機專業中開設一些基本的信息安全技術選修課程、開設一些與法律體系緊密關聯的信息安全法律法規選修課程學生容易接受,具有可操作性.
3信息安全技術課程特點
信息安全技術課程所涉及的內容眾多,有數學、計算機、通信、電子、管理等學科,既有理論知識,又有實踐知識,理論與實踐聯系十分緊密,新方法、新技術以及新問題不斷涌現,這給信息安全課程設置帶來了很大的難度,為使我校計算機專業學生了解、掌握這一新技術,我們在專業課程模塊中開設《密碼學基礎》、《網絡安全技術》、《入侵檢測技術》等作為專業選修課.我校本課程具有以下特點:
(1)每學期都對知識內容進行更新.
(2)對涉及到的基本知識面,分別采用開設專業課、專業選修課、講座等多種方式,讓學生了解信息安全知識體系,如有操作系統、密碼學基礎、防火墻技術、VPN應用、信息安全標準、網絡安全管理、信息安全法律課程等.
(3)對先修課程提出了較高的要求.學習信息安全技術課程之前,都可設了相應的先行課程讓學生了解、掌握,如開設了計算機網絡基本原理、操作系統、計算機組成原理、程序設計和數論基礎等課程.
(4)注重實踐教學.比如密碼學晦澀難懂的概念,不安排實驗實訓,不讓學生親手去操作,就永遠不能真正理解和運用.防火墻技術只有通過親手配置和測試.才能領會其工作機理.對此我們在相關的課程都對學生作了實踐、實訓的要求.
4涉及到信息安全法律法規內容的特點
信息安全的特點決定了其法律、法規內容多數情況下都涉及到網絡技術、涉及到與網絡有關的法律、法規.
4.1目的多樣性作為信息安全的破壞者,其目的多種多樣,如利用網絡進行經濟詐騙;利用網絡獲取國家政治、經濟、軍事情報;利用網絡顯示自己的才能等.這說明僅就破壞者方面而言的信息安全問題也是復雜多樣的.
4.2涉及領域的廣泛性隨著網絡技術的迅速發展,信息化的浪潮席卷全球,信息化和經濟全球化互相交織,信息在經濟和社會活動中的作用甚至超過資本,成為經濟增長的最活躍、最有潛力的推動力.信息的安全越來越受到人們的關注,大到軍事政治等機密安全,小到防范商業企業機密泄露、青少年對不良信息的瀏覽、個人信息的泄露等信息安全問題涉及到所有國民經濟、政治、軍事等的各個部門、各個領域.
4.3技術的復雜性信息安全不僅涉及到技術問題,也涉及到管理問題,信息安全技術又涉及到網絡、編碼等多門學科,保護信息安全的技術不僅需要法律作支撐,而且研究法律保護同時,又需要考慮其技術性的特征,符合技術上的要求.
4.4信息安全法律優先地位綜上所述,信息安全的法律保護不是靠一部法律所能實現的,而是要靠涉及到信息安全技術各分支的信息安全法律法規體系來實現.因此,信息安全法律在我國法律體系中具有特殊地位,兼具有安全法、網絡法的雙重地位,必須與網絡技術和網絡立法同步建設,因此,具有優先發展的地位.
5高師信息安全技術課程中的法律法規內容教學目標
對于計算機專業或信息安全專業的本科生和研究生,應深入理解和掌握信息安全技術理論和方法,了解所涉到的常見的法律法規,深入理解和掌握網絡安全技術防御技術和安全通信協議.
而對普通高等師范院校計算機專業學生來說,由于課程時間限制,不能對信息安全知識作較全面的掌握,也不可能過多地研究密碼學理論,更不可能從法律專業的角度研究信息安全所涉到的法律法規,為此,開設信息安全法律法規課程內容的教學目標定位為:了解信息安全技術的基本原理基礎上,初步掌握涉及網絡安全維護和網絡安全構建等技術的法律、法規和標準.如:《中華人民共和國信息系統安全保護條例》,《中華人民共和國數字簽名法》,《計算機病毒防治管理辦法》等.
6高師信息安全技術法律法規課程設置探討
根據我校計算機專業課程體系結構,信息安全有關的法律法規課程,其中多數涉及信息安全技術層面,主要以選修課、講座課為主,作為信息安全課程的補充.主要可開設以下選修課課程或講座課程.
(1)信息安全法律法規基礎講座:本講座力圖改變大家對信息安全的態度,使操作人員知曉信息安全的重要性、企業安全規章制度的含義及其職責范圍內需要注意的安全問題,讓學生首先從信息安全的非技術層面了解與信息安全有關的法律、法規,主要內容包括:國內信息安全法律法規概貌、我國現有信息安全相關法律法規簡介等.
(2)黑客攻擊手段與防護策略:通過本課程的學習,可以借此提高自己的安全意識,了解常見的安全漏洞,識別黑客攻擊手法,熟悉提高系統抗攻擊能力的安全配置方法,最重要的還在于掌握一種學習信息安全知識的正確途徑和方法.
篇6
我本人長期從事信息安全專業研究生教育,也開設過多門信息安全專業課程,如“信息安全體系結構”、“計算機通信網絡安全”、“現代密碼學”,等。本文主要從信息安全專業研究生教育的角度談談我個人的一些體會和看法。
1信息安全專業研究生教育面臨“二次教育”
信息安全專業的研究生來自各個專業,知識背景、知識結構都大不一樣,一定要因材施教,進行“二次教育”。“二次教育”的目的是要充分利用學生前期教育的知識背景,找到他們的知識儲備在信息安全領域的切入點,選擇適合每個學生的研究方向,使他們既能獲得全面系統的信息安全專業知識又能發揮他們所長。
根據我們歷年來的信息安全專業研究生培養情況來看,這一專業的研究生主要來自計算機、通信、數學等專業,近幾年也逐漸出現了本科就讀信息安全專業的學生。
來自計算機、通信等工程類專業的學生通常對互聯網技術、通信技術以及計算機軟硬件知識都有較為全面的了解,動手能力較強,但大部分學生對信息安全專業所必需的密碼學、安全協議等方面的知識知之甚少,甚至完全是一片空白。針對這樣的情況,我們重點加強了這些學生在理論知識方面的教育培養,要求他們在選擇研究生專業基礎課時必須在理論課程中有一定數量和寬度的涉獵。同時指導學生閱讀學習信息安全相關理論知識的經典教材或著作,培養他們在理論學習上的興趣,實現課堂教育與學生自學的有機結合、互相助益。
相對應地,來自數學等理論性較強的專業的學生通常都有著較為扎實的理論基礎,對理論知識的學習方法都有一定的心得,進一步學習與信息安全相關的理論知識時接受得比較快,不過在工程技術知識方面就有一定的欠缺。為此,我們要求這些學生加強學習計算機網絡原理和程序開發等方面的知識,加強工程實踐,使得他們對理論知識和工程開發都能有較為全面具體的了解,并且合理地選擇自己的研究方向。
對于越來越多的從本科就開始學習信息安全專業的學生,我認為培養的關鍵是加強他們的專業知識的深度。這些學生對信息安全專業的相關知識有了初步的了解但不夠全面和深入,一旦有機會進行更高層次的深造,往往容易忽略進一步學習專業知識的重要性。針對可能出現的問題,我們的指導教師加強了與學生的交流,指導學生閱讀學習高水平的理論著作和技術書籍。同時,根據每個學生的不同情況,為他們推薦一些供他們選擇的合適的研究方向,盡量發揮他們在前期學習中積累的優勢。
2信息安全專業研究生教育需要配套的教材
大多數研究生都沒有接觸過信息安全課程或沒有系統的信息安全知識結構,因此,需要統一規劃,建立起他們的信息安全知識體系結構。為此,我們信息安全國家重點實驗室為研究生培養規劃了一套教材,包括《信息安全體系結構》、《現代密碼學》、《安全協議理論與方法》、《網絡安全原理與技術》、《安全操作系統原理與技術》、《數據庫安全》、《網絡攻擊原理與技術》、《信息系統安全事件響應》、《量子密碼學》,等。這些教材陸續由科學出版社和清華出版社出版發行,這些教材也基本涵蓋了信息安全的基礎知識和目前信息安全領域所涉及的主要研究方向,可為從事信息安全專業的研究生打開一扇通往信息安全學科廣闊天地的大門,從而幫助他們選擇自己將來的專業發展方向。同時,這些配套教材也為研究生專業課的教學工作提供了堅實的基礎,使得我們實驗室的研究生培養質量有了進一步的提高。除了系列教材外,我們實驗室的科研人員和研究生指導教師近年來還陸續出版了相當數量的涉及其他研究方向或討論專業學術問題的教材供教學使用。目前,我們實驗室仍然在不斷補充完善教材體系,已將教材的編制出版工作列為了實驗室日常教學科研工作的重要組成部分。我們將繼續從專業基礎課、專業課和選修課三個層次完善信息安全專業研究生的教材體系。
3信息安全專業研究生教育需要系統知識與專業知識的有機結合
信息安全專業有著系統的知識體系,同時包含了諸多的研究方向。我們在教學和科研工作中,要求實驗室的研究生既要系統地學習信息安全專業知識,又要與自己的專業方向相結合。實驗室設置了四個專業方向,即“密碼理論與技術”、“安全協議理論與技術”、“信息對抗理論與技術”、“網絡與系統安全”,每個方向都有配套的培養方案,側重點不同。前兩個研究方向側重“密碼學”、“安全協議”等信息安全專業中的基礎理論研究,我們在培養過程中注意選拔有較強的理論根底和數學基礎的學生,培養他們從事理論研究的興趣,同時強調學生對整個信息安全體系結構的學習和掌握。而對于“信息對抗理論與技術”、“網絡與系統安全”這樣的側重于工程技術的研究方向,在系統學習信息安全專業知識的同時,我們加強了學生的工程實踐,使教學工作融合于科研項目的研究開發過程中,讓學生能夠更加生動具體地理解專業知識并加以掌握。在多年來的研究生培養工作中,我們實驗室的教師不斷總結經驗,根據不斷變化的本學科發展情況和學生的綜合素質改進培養方案,使得研究生培養工作做到與時俱進,研究方案與系統教材緊密結合,研究生培養水平不斷提高。
4信息安全專業研究生教育需要提升理論高度
研究生教育與本科生教育不同,需要培養研究生獨立從事科研工作的能力和自主創新的能力,需要提升研究生看問題和提煉問題的理論高度,需要開拓研究生的研究思路,需要鍛煉研究生解決實際問題的能力。
無論從事哪個專業方向的研究,都不應放松理論研究工作。為了不斷提高研究生的理論水平,實驗室安排了大量的學習討論班,針對不同的方向為學生們提供一個交流學習心得、討論重點難點問題的平臺,在這個過程中教師和科研人員也會為他們提供適時的指導。此外,我們還不定期地邀請國內外信息安全研究領域的知名學者來為學生作學術報告,介紹這些專家的研究領域的相關知識以及最前沿的研究進展,進一步培養學生的學習興趣和提高理論水平的積極性。
我們實驗室要求學生要高度重視理論研究工作,要注意從科研工作的進展、突破中提煉出理論成果,多出高水平的論文、著作,以科研開發帶動理論研究,以理論水平的提高促進科研項目的進一步發展。近年來,我們實驗室的研究生已在國內外的專業學術刊物和學術會議上發表了一批較高水平的論文,向國內外信息安全領域的研究者展現了我們實驗室的科研成果。
5信息安全專業研究生教育要注重理論與工程實踐相結合
信息安全學科的自身特點要求這一專業的研究生既要掌握堅實的理論知識,系統專業的知識,又要注重工程實踐。實踐是檢驗真理的唯一標準,實踐也是掌握真理的重要途徑。
我們實驗室要求學生在全面學習專業理論知識的同時,深入了解信息安全技術應用的環境,將所學的知識與實際應用相結合,更加全面深刻地理解專業理論知識。同時,我們利用實驗室承擔的大量科研項目為學生提供高水平的工程實踐機會,由指導教師和科研骨干帶領他們參與工程開發,將他們前期積累的專業知識實際應用到科研項目的開發過程中去,讓他們學到的知識真正發揮作用、取得實際成果乃至進一步轉化為生產力。從多年來的研究生培養經驗看,加強學生的工程實踐能夠大大促進研究生的學習積極性,提高他們的動手能力,開拓學生的眼界,提升他們的研究水平。
篇7
中圖分類號:G642 文獻標識碼:B
文章編號:1672-5913 (2007) 22-0154-03
1信息安全專業實踐教學存在的主要問題
1.1實踐教學資源匱乏
由于專業建設時間短,專門用于信息安全專業的實踐教學資源極度匱乏。原因一方面在于各學校資金投入不夠,另外一方面也在于對如何建設信息安全專業的實踐教學平臺,國內外都缺乏參考標準和借鑒依據。即便一些學校在開設信息安全專業之后,也投入了一定的資金用于信息安全專業實驗室的建設,但是大都用于購置一些必要的安全設備(如計算機、路由器、防火墻、入侵檢測系統等)。相對而言,計算機、通信等專業經過幾十年的建設之后,不僅硬件實驗平臺,而且軟件等實踐教學資源也非常豐富。
1.2實踐教學師資隊伍參差不齊
對于信息安全這個非常年輕的專業來說,由于以往沒有專門的人才培養機構,其師資隊伍建設也存在較大問題。在實踐教學師資隊伍方面缺少專業的實驗指導教師,很多信息安全專業實驗指導教師均來自于計算機、通信等傳統專業。這些實驗指導教師由于自身對專業實驗缺乏深刻認識和理解,在指導學生開展有關專業實驗時往往或者缺乏深度或者寄托于任課教師參與實驗指導。在此條件之下,學生很難完成具有一定深度的設計型實驗,而往往是完成一些驗證性的實驗了事。
1.3實踐教學內容單一
由于實踐資源和實踐教學師資隊伍都存在一些問題,目前信息安全專業實驗內容不僅單一,而且涉及面窄。例如,防火墻安裝與配置、網絡掃描、網絡竊聽、網絡攻擊、計算機病毒及防治、入侵檢測技術等是常見的實驗內容。除此之外,很難見到綜合性強的設計型實驗。造成這一現象的原因,不僅有建設時間短、師資隊伍缺乏的原因,也有大家對信息安全所涵蓋領域存在認識誤區的原因。
1.4實踐教學保障制度有待完善
從某種程度上說,我國目前的高等教育還處于粗放型階段。教育帶有普及性,重在傳授知識,而指導學生解決實際問題的能力比較欠缺。同時從歷史的因素來看,高校長期以來一直從屬于政府管轄,自立意識不強,也使眾多高校缺乏各自特色,辦學模式雷同。對于信息安全專業來說,在辦學定位、經費保障、科研與教學相互保障等方面均存在諸多問題。因此,與其他專業一樣,嶄新的信息安全專業同樣面臨實踐教學保障制度不完善的問題。
2信息安全專業實踐教學課程體系
對于一個完整的實踐教學體系來說,本文作者認為,信息安全專業的實踐教學體系可以從以下幾個方面來建設。
2.1改變傳統人才培養模式,積極探索具有信息安全特色的人才培養方案
對于具有較強工程實踐性的信息安全專業來說,為了建設其實踐教學體系,必須改變傳統的人才培養模式,探索符合國家安全及行業需求的人才培養方案。為此積極探索“3+1”的信息安全專業人才培養模式是建設其實踐教學體系的一種有效方案。所謂“3+1”模式,就是3年完成本科教學內容,1年開展實踐教學(如科研實訓、企業實習等)。在普通高校的人才培養模式中,一般來說都是采用教學內容貫穿大學四年的培養模式。這種人才培養模式有一定的合理性,但是對于信息安全專業來說,如果缺乏與實際的結合,就會成為真正的“萬金油”:知識面廣,專業技能差。
式中,學生前三年完成培養方案所規定的教學內容(包括課程、實驗、課程設計、綜合課程設計、創新學分等)。在第四年中,主要針對實際需要,進行“定制培養”。定制培養的方式可以多種多樣,主要方式可概括為“請進來,送出去”,即聘請信息安全相關企業或IT企業結合自己的人才需求,開設有針對性的實踐類課程;鼓勵學生到企業進行實習或實踐。此外也應結合行業需求,為學生開設創新型綜合實踐課程。
此外,積極探索暑期短期實踐與短期授課的人才培養模式,有效利用寒暑假的空閑時間,聘請國外專業教授和企業工程人員為部分學生開設創新型和工程實用型課程,以提高專業技能,訓練科技創新思維也是建設信息安全實踐教學體系的一種方法。
2.2加強實踐教學平臺建設,豐富實踐教學內容
在實踐平臺建設方面,首先應建立信息安全綜合實驗室和信息安全學生創新中心。除了購置必要的安全實驗設備之外,必須持之以恒地投入經費,不斷完善實驗內容和實驗環境。此外,學校應積極爭取企業資金,設立信息安全專業的學生科技創新中心,進一步豐富本科生參與工程訓練的環境。
在實踐內容方面,探索課程實驗、課程設計、綜合課程設計、本科生科研訓練、畢業設計等新內容和新形式,以形成一套有效的信息安全專業實驗體系。例如,探索信息安全專業本科畢業論文的新模式。例如,電子科技大學信息安全專業自2007開始,積極探索通過課程實驗、課程設計、綜合課程設計和綜合實驗課程的有機結合的方式,來替代最終的本科畢業論文。此外,建設信息安全基礎綜合設計實驗、安全協議綜合設計實驗、網絡與信息系統安全綜合設計實驗、計算機操作系統與網絡綜合設計實驗、程序設計與信息系統開發綜合設計實驗等。
其次,積極探索校企聯合人才培養的新模式,建設校企聯合人才培養基地,保證每個學生均能到該基地從事一定時間的實訓。除了工程實踐外,也可以和企業建立多種聯合人才培養模式,例如成立學生創新基金、學生創新團隊、學生創業基地等,進一步為本專業的學生提供更加廣闊的實踐平臺。
2.3積極探索新的實踐教學方法,提高實踐教學的效果
在實踐教學方法方面,應結合信息安全特色課程的教學內容,充分反映相關產業和領域的新發展、新要求,減少陳舊內容。例如,專業基礎課程與實驗結合、專業選修課程與實踐結合、專業課程與產品或公司認證結合。即:對于專業基礎課程(如信息安全數學基礎、密碼算法等),開設綜合類設計實驗,通過實驗來加深對基礎理論基礎知識的理解和掌握;對部分實踐性強的專業選修課,積極探索“請進來”的教學方式,邀請安全產品公司的有關人員講授部分內容;對部分實用性專業選修課,探索與安全產品或公司對安全人員的認證結合起來的教學方式,以提高課程的針對性和實用性。
3信息安全專業實踐教學配套及保障條件建設
在實踐教學配套及保障條件方面,我們認為實踐教材和專職實驗指導教師建設是兩個非常關鍵的內容。
3.1實踐教材建設
圍繞信息安全的專業基礎課和專業選修課,應該加強綜合實驗教程(或教材)的建設工作。例如,《網絡攻防綜合實驗》、《網絡與信息安全基礎實驗》、《網絡與信息安全協議實驗》、《信息系統安全實驗》、《安全編碼》等教材的建設,不僅可以涵蓋數學基礎、安全算法、安全協議和網絡與信息系統應用安全等課程的內容,也可以為學生參與工程實踐提供必要的條件和奠定良好的基礎。
3.2專職實踐教學師資隊伍建設
在師資隊伍建設方面,積極推進“信息安全專業教師博士化和國際化工程”,經過四年建設,應該確保一定比例的實驗專職指導教師具有信息安全的專業背景,一定比例的專業教師具有一定時間的企業培訓經歷。應該完善信息安全專業教師提高自身專業技能和實踐技能的機制,完善校內教師到相關產業和領域一線學習交流、相關產業和領域的人員到學校兼職授課的制度和機制。建立教師培訓、交流和深造的常規機制,形成一支了解社會需求、教學經驗豐富、熱愛教學工作的高水平專兼結合的教師隊伍。同時,探索科研和教學緊密結合的有效方法,將信息安全專業教師在科研領域的成果和經驗轉化為教學內容,提高教師自身的專業修養,為信息安全專業的特色建設服務。
參考文獻
[1] 張煥國,黃傳河,劉玉珍等. 信息安全本科專業的人才培養與課程體系[J]. 高等理科教育, 2004,(02).
[2] 李寧. 我國開展信息安全人才培養工作的必要性[J]. 中國考試(研究版),2006,(10).
[3] 王海暉,譚云松,伍慶華等.高等院校信息安全專業人才培養模式的研究[J]. 現代教育科學, 2006,(05).
[4] 李章兵,劉建勛,廖俊國. 本科信息安全專業建設的實踐與探索[J]. 計算機教育,2007,(11).
[5] 趙澤茂,劉順蘭,王小軍. 信息安全本科人才培養模式的思考[J]. 杭州電子科技大學學報,2007,(01).
篇8
自由開放的移動網絡帶來巨大信息量的同時,也給運營商帶來了業務運營成本的增加,給信息的監管帶來了沉重的壓力。同時使用戶面臨著經濟損失、隱私泄露的威脅和通信方面的障礙。移動互聯網由于智能終端的多樣性,用戶的上網模式和使用習慣與固網時代很不相同,使得移動網絡的安全跟傳統固網安全存在很大的差別,移動互聯網的安全威脅要遠甚于傳統的互聯網。
⑴移動互聯網業務豐富多樣,部分業務還可以由第三方的終端用戶直接運營,特別是移動互聯網引入了眾多手機銀行、移動辦公、移動定位和視頻監控等業務,雖然豐富了手機應用,同時也帶來更多安全隱患。應用威脅包括非法訪問系統、非法訪問數據、拒絕服務攻擊、垃圾信息的泛濫、不良信息的傳播、個人隱私和敏感信息的泄露、內容版權盜用和不合理的使用等問題。
⑵移動互聯網是扁平網絡,其核心是IP化,由于IP網絡本身存在安全漏洞,IP自身帶來的安全威脅也滲透到了移動專業提供論文寫作和寫作論文的服務,歡迎光臨dylw.net互聯網。在網絡層面,存在進行非法接入網絡,對數據進行機密性破壞、完整性破壞;進行拒絕服務攻擊,利用各種手段產生數據包造成網絡負荷過重等等,還可以利用嗅探工具、系統漏洞、程序漏洞等各種方式進行攻擊。
⑶隨著通信技術的進步,終端也越來越智能化,內存和芯片處理能力也逐漸增強,終端上也出現了操作系統并逐步開放。隨著智能終端的出現,也給我們帶來了潛在的威脅:非法篡改信息,非法訪問,或者通過操作系統修改終端中存在的信息,產生病毒和惡意代碼進行破壞。
綜上所述,移動互聯網面臨來自三部分安全威脅:業務應用的安全威脅、網絡的安全威脅和移動終端的安全威脅。
2 移動互聯網安全應對策略
2010年1月工業和信息化部了《通信網絡安全防護管理辦法》第11號政府令,對網絡安全管理工作的規范化和制度化提出了明確的要求。客戶需求和政策導向成為了移動互聯網安全問題的新挑戰,運營商需要緊緊圍繞“業務”中心,全方位多層次地部署安全策略,并有針對性地進行安全加固,才能打造出綠色、安全、和諧的移動互聯網世界。
2.1 業務安全
移動互聯網業務可以分為3類:第一類是傳統互聯網業務在移動互聯網上的復制;第二類是移動通信業務在移動互聯網上的移植,第三類是移動通信網與互聯網相互結合,適配移動互聯網終端的創新業務。主要采用如下措施保證業務應用安全:
⑴提升認證授權能力。業務系統應可實現對業務資源的統一管理和權限分配,能夠實現用戶賬號的分級管理和分級授權。針對業務安全要求較高的應用,應提供業務層的安全認證方式,如雙因素身份認證,通過動態口令和靜態口令結合等方式提升網絡資源的安全等級,防止機密數據、核心資源被非法訪問。
⑵健全安全審計能力。業務系統應部署安全審計模塊,對相關業務管理、網絡傳輸、數據庫操作等處理行為進行分析和記錄,實施安全設計策略,并提供事后行為回放和多種審計統計報表。
⑶加強漏洞掃描能力。在業務系統中部署漏洞掃描和防病毒系統,定期對主機、服務器、操作系統、應用控件進行漏洞掃描和安全評估,確保攔截來自各方的攻擊,保證業務系統可靠運行。
⑷增強對于新業務的檢查和控制,尤其是針對于“移動商店”這種運營模式,應盡可能讓新業務與安全規劃同步,通過SDK和業務上線要求等將安全因素植入。
2.2 網絡安全
移動互聯網的網絡架構包括兩部分:接入網和互聯網。前者即移動通信網,由終端設備、基站、移動通信網絡和網關組成;后者主要涉及路由器、交換機和接入服務器等設備以及相關鏈路。網絡安全也應從以上兩方面考慮。
⑴接入網的網絡安全。移動互聯網的接入方式可分為移動通信網絡接入和Wi-Fi接入兩種。針對移動通信接入網安全,3G以及未來LTE技術的安全保護機制有比較全面的考慮,3G網絡的無線空口接入采用雙向認證鑒權,無線空口采用加強型加密機制,增加抵抗惡意攻擊的安全特性等機制,大大增強了移動互聯網的接入安全能力。針對Wi-Fi接入安全,Wi-Fi的標準化組織IEEE使用安全機制更完善的802.11i標準,用AES算法替專業提供論文寫作和寫作論文的服務,歡迎光臨dylw.net代了原來的RC4,提高了加密魯棒性,彌補了原有用戶認證協議的安全缺陷。針對需重點防護的用戶,可以采用VPDN、SSLVPN的方式構建安全網絡,實現內網的安全接入。
⑵承載網網絡及邊界網絡安全。1)實施分域安全管理,根據風險級別和業務差異劃分安全域,在不同的安全邊界,通過實施和部署不同的安全策略和安防系統來完成相應的安全加固。移動互聯網的安全區域可分為Gi域、Gp域、Gn域、Om域等。2)在關鍵安全域內部署人侵檢測和防御系統,監視和記錄用戶出入網絡的相關操作,判別非法進入網絡和破壞系統運行的惡意行為,提供主動化的信息安全保障。在發現違規模式和未授權訪問等惡意操作時,系統會及時作出響應,包括斷開網絡連接、記錄用戶標識和報警等。3)通過協議識別,做好流量監測。依據控制策略控制流量,進行深度檢測識別配合連接模式識別,把客戶流量信息捆綁在安全防護系統上,進行數據篩選過濾之后把沒有病毒的信息再傳輸給用戶。攔截各種威脅流量,可以防止異常大流量沖擊導致網絡設備癱瘓。4)加強網絡和設備管理,在各網絡節點安裝防火墻和殺毒系統實現更嚴格的訪問控制,以防止非法侵人,針對關鍵設備和關鍵路由采用設置4A鑒權、ACL保護等加固措施。
2.3 終端安全
移動互聯網的終端安全包括傳統的終端防護手段、移動終端的保密管理、終端的準入控制等。
⑴加強移動智能終端進網管理。移動通信終端生產企業在申請入網許可時,要對預裝應用軟件及提供者 進行說明,而且生產企業不得在移動終端中預置含有惡意代碼和未經用戶同意擅自收集和修改用戶個人信息的軟件,也不得預置未經用戶同意擅自調動終端通信功能、造成流量耗費、費用損失和信息泄露的軟件。
⑵不斷提高移動互聯網惡意程序的樣本捕獲和監測處置能力,建設完善相關技術平臺。移動通信運營企業應具備覆蓋本企業網內的監測處置能力。
⑶安裝安全客戶端軟件,屏蔽垃圾短信和騷擾電話,監控異常流量。根據軟件提供的備份、刪除功能,將重要數據備份到遠程專用服務器,當用戶的手機丟失時可通過發送短信或其他手段遠程鎖定手機或者遠程刪除通信錄、手機內存卡文件等資料,從而最大限度避免手機用戶的隱私泄露。
⑷借鑒目前定期PC操作系統漏洞的做法,由指定研究機構跟蹤國內外的智能終端操作系統漏洞信息,定期官方的智能終端漏洞信息,建設官方智能終端漏洞庫。向用戶宣傳智能終端安全相關知識,鼓勵安裝移動智能終端安全軟件,在終端廠商的指導下及時升級操作系統、進行安全配置。
3 從產業鏈角度保障移動互聯網安全
對于移動互聯網的安全保障,需要從整體產業鏈的角度來看待,需要立法機關、政府相關監管部門、通信運營商、設備商、軟件提供商、系統集成商等價值鏈各方共同努力來實現。
⑴立法機關要緊跟移動互聯網的發展趨勢,加快立法調研工作,在基于實踐和借鑒他國優秀經驗的基礎上,盡快出臺國家層面的移動互聯網信息安全法律。在法律層面明確界定移動互聯網使用者、接入服務商、業務提供者、監管者的權利和義務,明確規范信息數據的采集、保存和利用行為。同時,要加大執法力度,嚴專業提供論文寫作和寫作論文的服務,歡迎光臨dylw.net厲打擊移動互聯網信息安全違法犯罪行為,保護這一新興產業持續健康發展。
⑵進一步加大移動互聯網信息安全監管力度和處置力度。在國家層面建立一個強有力的移動互聯網監管專門機構,統籌規劃,綜合治理,形成“事前綜合防范、事中有效監測、事后及時溯源”的綜合監管和應急處置工作體系;要在國家層面建立移動互聯網安全認證和準入制度,形成常態化的信息安全評估機制,進行統一規范的信息安全評估、審核和認證;要建立網絡運營商、終端生產商、應用服務商的信息安全保證金制度,以經濟手段促進其改善和彌補網絡運營模式、終端安全模式、業務應用模式等存在的安全性漏洞。
⑶運營商、網絡安全供應商、手機制造商等廠商,要從移動互聯網整體建設的各個層面出發,分析存在的各種安全風險,聯合建立一個科學的、全局的、可擴展的網絡安全體系和框架。綜合利用各種安全防護措施,保護各類軟硬件系統安全、數據安全和內容安全,并對安全產品進行統一的管理,包括配置各相關安全產品的安全策略、維護相關安全產品的系統配置、檢查并調整相關安全產品的系統狀態等。建立安全應急系統,做到防患于未然。移動互聯網的相關設備廠商要加強設備安全性能研究,利用集成防火墻或其他技術保障設備安全。
⑷內容提供商要與運營商合作,為用戶提供加密級業務,并把好內容安全之源,采用多種技術對不合法內容和垃圾信息進行過濾。軟件提供商要根據用戶的需求變化,提供整合的安全技術產品,要提高軟件技術研發水平,由單一功能的產品防護向集中統一管理的產品類型過渡,不斷提高安全防御技術。
⑸普通用戶要提高安全防范意識和技能,加裝手機防護軟件并定期更新,對敏感數據采取防護隔離措施和相關備份策略,不訪問問題站點、不下載不健康內容。
4 結束語
解決移動互聯網安全問題是一個復雜的系統工程,在不斷提高軟、硬件技術水平的同時,應當加快互聯網相關標準、法規建設步伐,加大對互聯網運營監管力度,全社會共同參與進行綜合防范,移動互聯網的安全才會有所保障。
篇9
中圖分類號:G642 文獻標識碼:B
文章編號:1672-5913 (2007) 22-0142-03
2001年,武漢大學創建了全國第一個信息安全專業。信息安全作為一個全新的本科專業和其獨有的特殊性,對學生的實踐創新能力提出了更高要求。武漢大學在信息安全專業本科生實踐創新能力培養上進行了不斷探索和實踐,積累了一些經驗[1-6],包括加強實驗教學改革、配置班級專業導師[4]、組建專業興趣小組、創建學生科研創新團隊、設立大學生科研項目基金、創建校外實習基地、實行“3+1”培養模式[7]等。本文著重從實驗教學的角度來談信息安全專業大學生實踐創新能力的培養。
無疑,實驗教學一直是提高本科生實踐創新能力的重要環節。各大高校均開設了一系列實驗課程,但不少課程的實驗教學效果并不明顯,學生的動手能力并沒有因為實驗課程的開設而明顯得到提高。這其中存在如下幾方面的原因:
1) 實驗設置不合理,可實施性不強或者過于簡單
2) 實驗教師師資力量不夠
3) 實驗過程沒有得到有效實施和監督
4) 對實驗教學沒有明確的考核制度和方法
5) 學生對實驗課程不夠重視,敷衍了事
信息安全作為一個全新的綜合性、實踐性和交叉性極強的新興專業,相比傳統計算機科學專業而言,在各方面都還不大成熟,在各方面表現出的問題也更為突出。造成這些問題的原因是多方面的,而要實際解決這些問題,需要多個方面一起努力。下面,筆者從幾個方面介紹武漢大學在實驗教學方面的一些思路、經驗和教訓。
1循序漸進,精心設計實驗
目前武漢大學信息安全專業采用課程實驗與實驗課程相結合的方法進行實驗教學。其中課程實驗與相應課程同步進行,例如密碼學、信息隱藏和計算機病毒課程分別設置了20、20和36個學時的課程實驗。實驗課程屬于單獨的必修實驗課程,通常為1個學分;實驗課程以綜合性、設計型為主,旨在鍛煉綜合應用所學的安全知識、解決實際安全問題的能力。例如“信息安全綜合實驗”、“網絡安全實驗”以及“程序設計實踐”均為1個學分的實驗課程,三門課程各計36個學時。
每門課程實驗和實驗課程均包括了基礎驗證型、設計型、創新型和綜合型實驗。我們認為,基礎驗證性實驗是必不可少的,該類實驗能夠提高學生最基本的實踐操作能力,同時也可以大大促進他們對課本基礎理論知識的理解,并為后續設計型、創新型和綜合型實驗做準備。在學生具備了最基本實踐操作能力之后,我們逐步提高實驗的難度,然后進行一些較復雜的設計型、創新型和綜合型實驗,這三類實驗如果能夠得到有效實施,則能夠明顯提高學生的實踐創新能力,大大激發學生的科研創新潛力和專業實踐興趣。
針對課程實驗和實驗課程,我們均制訂了具體的實驗教學計劃,在教學計劃中明確了各個實驗的內容、目的和學時。下面以“計算機病毒課程實驗”為例作重點介紹。
“計算機病毒課程實驗”包括9個子實驗,分別是:
(1) 數據恢復
分析FAT32和NTFS磁盤文件系統格式,提取、反匯編并調試分析MBR、DBR代碼,詳細分析實驗室硬盤的具體結構,刪除并手工恢復指定文件,熟悉并比較各款數據恢復工具。課后要求學生對自己的電腦硬盤進行詳細分析,畫出自己電腦硬盤的磁盤結構圖,分析多引導程序工作原理。
(2) PE文件結構分析
對PE文件的整體結構進行分析,詳細分析引入表和引出表的結構和原理,按要求手工修改PE文件以改變PE程序的行為。用16進制編輯器手工制作符合指定條件的最小PE文件。本實驗集創新型、設計型和綜合型于一體。實驗前面部分旨在加深學生對PE文件的理解,后面部分則要求學生充分發揮自己的分析、設計以及綜合能力。本實驗要求學生對匯編、反匯編、靜/動態調試、PE文件結構、操作系統都具有比較深入的理解并能夠綜合運用這些知識。
(3) VBS腳本病毒樣本分析
分析一個實際的VBS腳本病毒樣本,并對其進行解碼和分析。本實驗旨在提高學生的病毒分析能力,提高學生的病毒分析經驗。
(4) PE病毒樣本調試分析
調試分析課本中的一個病毒實例(或者分析一個流行PE病毒樣本),并寫出病毒清除程序。本實驗旨在提高學生的分析、設計能力。
(5) 計算機病毒免查殺技術分析
對常見病毒的特征碼進行定位,并能夠通過修改特征碼來使得病毒逃避各流行殺毒軟件查殺。對各反病毒軟件的病毒檢測原理進行簡單分析。本實驗綜合型較強。
(6) 惡意代碼行為分析及流行病毒專殺軟件設計
利用相關工具對惡意代碼的靜態和動態行為進行分析,并手工清除病毒。編寫可以擴展的流行病毒的專殺軟件。
(7) 網絡蠕蟲取樣分析
對流行蠕蟲進行分析,從網絡數據包中獲得流行蠕蟲樣本,并進行實際功能分析。
(8) 軟件加殼與解殼
對指定程序進行加殼并分析,對給定的加殼程序進行自動和手工脫殼。
(9) 簡易殺毒軟件設計
編寫簡易的殺毒軟件,該軟件需要具備簡易掃描引擎和特征代碼庫。基本具備殺毒軟件的病毒掃描功能,并可以進行升級。
我們對每門課程的每個子實驗、每一個具體實驗環節都進行了精心設計和反復實踐修改,對實驗過程中可能出現和遇到的各種問題都進行了充分的分析和考慮。這些實驗能夠大大提高學生的實踐創新能力。譬如,在進行計算機病毒課程實驗中的各子實驗設計時,我們征求了部分國內著名反病毒公司從事病毒分析的骨干技術人員的建議和意見;學生在認真完成這些實驗之后完全具備從事病毒分析工作的能力。
2合理安排實驗進度和時間
實驗進度和時間安排得是否得當,也將直接影響到實驗效果和學生的實踐創新能力培養,同時也會對學生的就業造成一定的影響。
一方面,專業實驗課程在設置的過程中需要充分考慮到先修課程的安排。專業實驗課程的學習需要學生具備比較好的計算機專業基礎。譬如,計算機病毒課程需要學生先完成匯編語言程序設計、操作系統等方面的課程。而網絡安全課程則需要學生先完成“計算機網絡”、“網絡程序設計”、“數據庫原理”、“操作系統”、“數據結構”、“高級程序設計”等方面的課程。因此,實驗課程的安排不能太靠前。
另一方面,實驗課程的設置還必須考慮到學生大三暑期實習、大四就業、考研的問題,實驗課程安排在大四開始之前較合理。
目前瑞星、金山毒霸、安天等反病毒企業每年從武漢大學信息安全專業招聘實習生。為了保證學生的專業素質和實踐創新能力,武漢大學信息安全專業實行了“3+1”模式[7],即學生在前三學年修完所有課程,第四學年到單位實習并完成畢業論文,推薦或考上研究生的同學則直接進入導師課題組實習。武漢大學信息安全專業的安全實驗課程安排在大三一個學年完成。
3大力培養實驗師資
目前大部分高校信息安全專業的實驗師資通常來自于兩部分:傳統的計算機專業實驗人員和部分專業教師。前者對計算機類的傳統專業實驗已經輕車熟路,但在信息安全專業實驗上暫時可能還存在一定困難。
信息安全專業的專業教師大多來自傳統計算機專業,他們大部分都在信息安全領域進行了較長時間較為深入的理論研究,具有較為扎實的信息安全理論基礎,但在信息安全技術實踐上可能并沒有投入太多精力,并且由于信息安全學科中某些具體方向(如網絡攻防以及計算機病毒技術)的自身特點,如果沒有專門的科研項目支持,部分專業教師也難以投入太多精力。
作為一個新興的專業,信息安全中涉及到的各門新建實驗課程需要實驗指導教師掌握大量的安全理論知識,同時必須在安全技術上具備很強的實踐能力。實驗師資直接影響到了學生的實踐創新能力的培養,目前各大高校實驗師資力量普遍不夠,各高校均需積極加大專業實驗師資的培養力度。
4創造良好實驗環境
相對于其他計算機類實驗而言,信息安全專業的專業實驗對實驗環境和實驗條件的要求更高。譬如,網絡安全實驗需要比較好的內部網絡環境,其對網絡互連設備也有更高的要求;計算機病毒實驗則需要提供足夠的流行病毒樣本、虛擬機、隔離的網絡環境以及供測試使用的各類安全軟件、硬件設備;信息安全綜合實驗則需要為學生提供真實的硬件設備[6],譬如武漢大學信息安全實驗室購置了硬件防火墻、密碼機、隔離網閘、天闐IDS、網絡協議分析儀、智能卡開發設備、指紋識別儀、電磁干擾測試接收機、路由器、交換機等設備,投資數百萬元。盡管如此,這些實驗設備也無法在同一時間滿足所有同學的實驗需求。為了保證實驗環境和條件,實驗室需要分多組多次進行實驗,學生也可以自己組隊預約實驗設備,這些都需要實驗室提供良好的實驗準備并制定相應的實驗制度。
目前,武漢大學已經具備比較好的實驗環境,為了進一步為學生提供良好的實驗環境,我們正在積極研發信息安全專業本科實驗實訓平臺,該平臺一方面可以大大減輕實驗教師的工作量,另一方面學生也可以隨時隨地從網絡上訪問實驗平臺,獲得良好的軟件以及模擬的硬件設備實驗環境。
5加強實驗環節考核與管理
為了促進實驗課程的有效實施,有效的激勵措施、嚴格的考核與管理措施是必不可少的。
從實驗教師角度來說,首先應該嚴格要求學生按時完成各項實驗任務,并按時嚴格按照指定格式完成實驗報告。對于抄襲現象,實驗教師應該嚴厲制止。另外,實驗教師要積極啟發學生,同時在試驗前做好各項準備,在必要時要指導學生解決實驗過程中遇到的一些難以解決的或者意外的問題,以免學生遇到困難之后可能無法進行后續實驗,從而影響實驗效果。
從學院角度來說,其一方面應該制定有效的激勵措施鼓勵有能力的老師積極承擔信息安全專業實驗課程,另外一方面其應該針對實驗課程的教學過程制定嚴格的考核機制。
6結束語
目前武漢大學在實驗教學方面積累了一定的經驗,但不可否認的是,我們的實驗教學也依然存在一些必須解決的問題。目前武漢大學計算機學院正在積極申報省級和國家級的實驗教學示范中心,相信在學校和學院的大力重視下,在我們不斷的努力和探索中,武漢大學信息安全實驗教學將會成為全國信息安全實驗教學的一大亮點。
參考文獻:
[1] 張煥國等. 信息安全本科專業的人才培養與課程體系[J]. 高等理科教育,2004,(2).
[2] 張煥國等. 信息安全學科建設與人才培養的研究與實踐[M]. 計算機系主任(院長)會議論文集. 北京高等教育出版社,2005.
[3] 彭國軍,張煥國.淺析專業導師在信息安全本科專業培養中的作用[J]. 第8屆全國高等學校計算機系主任(院長)會議論壇論文集,2005.
[4] 彭國軍,張煥國.論高校師生信息安全意識培養的必要性[J]. 全國計算機新科技與計算機教育論文集,2006年.
[5] 彭國軍,張煥國. 關于計算機病毒教學的幾點建議[J]. 計算機教育,2006,(7).
[6] 張煥國,王麗娜. 信息安全綜合實驗教程,武漢大學出版社,2006,(1).
[7] 武漢大學計算機學院. 武漢大學計算機學院信息安全專業本科培養方案[M]. 2007.
作者簡介
篇10
隨著信息技術的發展和網絡化應用的普遍推廣,各機關組織和企事業單位都開展各類管理業務的信息化建立。企業的發展運作離不開信息系統的安全運行。信息安全通過保護企業信息的機密性、完整性和可用性,不僅保護了企業各類信息資產的安全,還能增強企業的核心競爭力,維護企業的形象和信譽。信息安全對企業的生存和發展的是至關重要的,需要從戰略的高度對信息安全進行規劃和管理。
一、企業中信息安全管理經常存在的問題
日常安全管理中存在的主要問題,首先是用戶安全意識和觀念薄弱的占58%,第二位的是網絡安全管理人員缺乏培訓,占39%;其后,依次是保障經費投入不足、缺乏安全信息共享和安全產品不能滿足要求。
不僅在日常管理中,在技術管理方面也存在一定的問題。在CSDN泄密門事件中,專業IT博客“月光博客”撰文表示“整個事件最不可思議的地方在于,像CSDN這樣的以程序員和開發為核心的大型網站,居然采用明文存儲密碼”,“稍微懂一點編程的程序員都知道,為了用戶的安全,應該在數據庫里保存用戶密碼的加密信息,這樣黑客即使下載了數據庫,破解用戶密碼也不是一件容易的事情” 。可見,有些涉及技術方面的問題,也并不是單純的技術問題,而是與技術人員安全意識不強、責任心不到位有關。
為了了解企業內部員工在信息安全問題上的看法及所做的努力,我們對一家電子商務企業和一家銀行的部分工作人員進行了問卷和訪談調查,發現在企業員工中存在如下一些問題:
1.是信息安全意識方面,被調查者認為信息安全對企業和個人都非常重要。但大多數受訪者對信息安全的問題了解很少等。
2.很多受訪者認為信息安全屬于技術人員的事情;與技術人員的交流非常少;忙于業務,沒有時間去處理。
3.是用戶認為信息安全管理措施效果不好。有些信息安全行為的規范標準雖然掛在網上或貼在墻上,很少有人去關注;公司發動的信息安全的培訓活動沒有收到好的效果。
二、信息安全問題的根源
通過對調查的結果進行深入分析,發現導致信息安全事件頻發、風險損失嚴重的原因從根本上來說,有以下幾個方面:
1.信息安全是一個多維問題,涉及到企業管理的方方面面。企業在信息安全問題上往往涉及多個部門。有些情況下,無法明確責任,使得信息安全得不到應有的重視以及有效的管理。
2.風險平衡理論認為,人會愿意承擔一定程度的風險。這與你采用多少的安全防護措施無關。有時即使有條件可以到達絕對安全的狀態,由于人性的緣故,也不會那樣去做。
3.信息安全與效率和便利性本身是矛盾的。信息安全加強了,受到的約束也就多了,相應地效率也就降低了。比如簡單規律地密碼,可以不必費力去記;插入U盤時進行殺毒,必然要耽誤時間;沒有接入網絡,不可能受到網絡攻擊,但也就失去了網上瀏覽所需信息、網絡交流的自由,因此有人半開玩笑地說:“最安全的計算機是拔掉網絡的那臺計算機”。
4.由于某些緣故,網絡中總是存在黑客,專門竊取信息或破壞網絡系統。他們的水平都非常專業,一般的用戶難以預防。所謂“道高一尺,魔高一丈”,信息安全的水平總是在這種攻擊與防守中進步的。
5.信息安全問題的不確定性。信息安全問題的不確定性主要指是否發生風險的不確定性、無法精確地評估當前所面臨的風險以及風險發生所帶來的損失的難以把握。
所有這一切因素,都使得信息安全無法得到有效的關注和重視,無法采用有效的措施來預防和避免。這也是導致信息安全事件發生頻率居高不下,風險損失較大的主要原因。
三、相關的建議和策略
針對企業信息安全的問題,文章運用管理學的理論進行論述。企業管理涉及四個功能:計劃、組織、領導、控制 。
1.從計劃的角度來看:企業應當確立信息安全的發展戰略,從戰略的高度來對待和管理信息安全,確保信息安全所引發的風險達到可以接受的范圍之內。從全局角度制定信息安全的策略,確立信息安全的目標,以及實現目標需要的行動方案。
2.從組織的角度來看:人力資源的管理的觀點認為,企業的組織結構,取決于組織戰略 。在許多企業組織結構中,只有技術部門,沒有信息安全管理部門。S.H.(basie) von Solms 曾討論過,技術管理與安全管理兩個部門必須設置成為兩個獨立的部門,否則無法保證安全評估的客觀性。因此有必要設置一個專門負責信息安全管理的部門,這個部門并不負責具體的技術,但是要懂技術,主要是開展企業的安全培訓工作、日常的安全管理工作、對存在的風險進行評估,最大限度地降低安全風險。
3.從領導的角度來看:根據wilde的風險平衡理論,一個人會愿意承擔一定程度的風險。 “風險平衡”觀念會讓整個機構處于盲目樂觀的過度自信狀態,不管是企業的員工還是管理者都傾向于追求效率 ,從而忽視信息安全的投入。
在企業的管理過程中,應當加強信息安全、風險意識方面的培訓和教育,增進員工與技術人員的面對面的溝通與交流,開展有效的安全意識活動。
4.從控制的角度來看:對風險的控制要求企業對自己的安全狀況不斷評估,時時防范。這就要求安全管理部門每隔一定時間向上匯報信息安全的進展情況,定期進行風險評估工作。
文章從管理學的角度來分析信息安全風險管理,對信息安全問題做了實地調查,分析了目前信息安全存在的一些問題,并對存在的問題的根源進行了深入的分析,最后文章運用管理學的理論,從計劃、組織、領導、控制四個角度出了相應的建議和策略。
參考文獻:
[1]Wilde GJS.The theory of risk homeostasis: implications for safety and health. Risk Analysis 1982;2(04):209-25.
[2]秦志華.企業管理[M].大連:東北財經大學出版社,2011,1.
