信息安全专业论文模板(10篇)

时间:2023-03-20 16:26:23

导言:作为写作爱好者,不可错过为您精心挑选的10篇信息安全专业论文,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。

信息安全专业论文

篇1

作者简介:王勇(1973-),男,河南确山人,上海电力学院计算机科学技术学院信息安全系,教授;周林(1968-),男,浙江宁波人,上海电力学院计算机科学与技术学院信息安全系,副教授。(上海 200090)

基金项目:本文系上海电力学院重点教改基金项目(项目编号:20121307)的研究成果。

中图分类号:G642 文献标识码:A 文章编号:1007-0079(2014)09-0024-02

信息安全专业的创新能力培养是国内相关高校新开专业所面临的重要问题。根据各个学校的自身特点,创新特色各有不同,上海电力学院的信息安全专业要在具有电力特色的基础上培养具有普适专业知识的应用型人才。[1]公安系统高校在培养信息安全人才的时候要强调该专业知识在取证和侦破领域的特色应用。[2,3]创新的基础要培养实践能力,特别是工程技术人才,只有在实践中才能对技术有深刻的认识,学习知识,发现问题,提出新问题,解决问题,初步具有创新能力。[4-6]

然而当前信息安全专业学生普遍具有行业背景特殊不明显,自学能力、创新能力、论文撰写能力比较薄弱的状态。根据上海电力学院信息安全专业特点,我们在实践中总结了创新能力培养的模式。

一、存在的问题

1.电力特色不明显

我们的专业定位是培养具有电力特色的信息安全应用型人才。虽然本专业建设了电力网络安全实验室,配置了电力专用网络安全设备,但是在教学大概上对电力特色的信息安全课程涉及不多。需在认知实践、科创、毕业设计环节中增加电力信息安全的相关内容。

2.自学能力薄弱

由于信息安全专业知识更新速度非常快,就需要老师和学生不断更新知识。而获取知识最快捷的途径就是自学。但是大学生从高中阶段转变过来后,还不适应大学教育。很多上课认真听课,课下不预习和自学的学生,发现很多知识都听不懂。这是因为信息安全领域知识面很宽,知识量较大,没有课前预习仅依靠上课的短暂时间是不够的。

但是当前学生学习主动性比较差,自学能力较低。这种现象在信息安全专业里面尤其突出。也不排除有些对信息安全有浓厚兴趣的学生,他们会主动学习新的知识,具有较强的自学能力。这样的学生在一个班级里面,处于金字塔的顶端,平均每个班级大概占10%左右。剩余的学生在自学能力方面均需要提高。

3.缺乏创新意识

在缺乏自学能力的情况下,掌握多学科交叉的信息安全专业知识就比较困难。在学习过程中会遇到很多需要解决的新问题,寻求解决新问题的创新思路就更显得薄弱。自学是要求学生能够主动学习课堂要求的预习任务,而创新意识是要求学生能发现新问题,网络搜索解决方案,并在实践中验证这些技术。

自学能力是创新意识的基础,而提高学习兴趣是解决这两个方面缺失的关键措施。

4.论文撰写能力差

在撰写实验报告过程中,发现工科学生的语言表达能力普遍较低,很多有口语化的表述,而且存在条例不清晰,逻辑不紧密,摘要内容与论文无关,实验结果分析不足等诸多问题。这是由于在高中阶段没有要求学生撰写过科技论文,也没有进行过相关培训。在大学期间,由于自学能力和创新能力的薄弱,导致实验无法独立完成,这样更加没有信心撰写实验报告,对于科技论文就更没有兴趣。

总之,信心安全专业所面临的创新人才培养存在的难题,主要表现在自学能力薄弱、缺乏创新意识、论文撰写不规范等。这三个问题是具有相互连贯性的。自学能力薄弱导致掌握新知识能力差,就缺乏发现问题、解决新问题的能力,自然无法完成论文的撰写工作,更没有心思关心论文格式方面的要求。

二、问题存在的原因

在查找根源的时候,不要把所有责任都推到学生身上,要从专业特点、学校的专业定位、培养方案、就业形势等诸多方面进行综合考虑。

1.电力特色的专业定位

上海电力学院的信息安全专业依托电力行业为背景,培养具有信息安全一般技能的专业技术人才。电力行业虽然对信息安全有很高要求,但是该行业内,对信息安全的岗位需求缺很少,电力系统的安全保障技术,基本上做运营维护,技术开发的工作集中在电力科学研究院。因为电力行业需求不高,所以还需要全面教授信息安全技术。

在这样的专业定位的基础上,培养方案中就需要涉及很多专业科目,并且针对不同的就业需要引导学生自学掌握更多特殊技能。

2.多学科融合的专业

信息安全专业是计算机科学与技术、信息与通信工程、数学等多学科的交叉学科,该专业属于多学科融合,因此要求学生不能偏科,需要学生有很强的数学基础、编程能力,甚至会涉及到通信技术。这样的学科对学生综合能力有很高要求。

该专业还具有很强的实效性。工程技术类比理论技术更新更快。有的新技术出现后,不到半年就被淘汰。这导致教程严重滞后当前最新技术,需要教师不断更新专业知识,而且也需要学生具有自学能力和创新意识。

该专业的多学科交叉和知识的快速更新,给教和学都带来了很大压力,对学生自学能力、创新能力就有更高的要求。

3.突出技术的理学培养方案

因为上海电力学院的专业规划的需要,信息安全专业定位成理学专业,这样需要更加突出理论知识的学学分。理论课的增加自然相对减少了课程实验内容。现有的信息安全培养方案中,课时数相对比较很多,留给学生自学的时间较少。虽然集中实践课程达到32学分,640学时,但是专业课的上课与上机实践比例基本上是2∶1,学生实践机会还是低于听课时间。这样在上机的时候,就会有很多学生动手能力比较差。

4.不同地域生源

信息安全专业不属于上海电力学院电力特色的专业,因此在招生的时候,对学生的吸引力不如其他特色专业。招生面向全国招生,外地生源考分在当地一般都超过一本分数线,上海属于二本。外地生源学生入校后,难免会有心理落差,但是学习还是比较用功的。上海生源计算机基础一般较好,但在最近计算机普及率增大的情况下,上海生源的计算机优势就不太明显了。

生源的特点决定了信息安全专业学生在班级里面两极分化严重。想学的学生主要是对信息安全有浓厚兴趣,或者打算考验或者考证。一般考研的学生在研究生考试的压力下,专业技术能力又不会特别突出。

5.就业形势带来的机遇与挑战

信息安全专业2013年是第一年毕业,正赶上我国设立国家安全委员会,对信息安全的重视程度上升到国家安全层面。这在宏观上促进了就业。信息安全的运营维护需求在知名企事业单位中有重要需求,但是由于这样的岗位流动性不强,岗位数量并不多,在客观上说明市场并不大。

信息安全技术开发类工作集中在国内很少的几家信息安全企业,或者是大型企业的研发部门,对信息安全的编程技术和理论水平均有较高要求。在当前就业形势下,上海电力学院培养的信息安全专业人才的就业将会面临考验。有机遇也有挑战,而且就业的好坏会直接影响到信息安全招生工作。

三、信息安全专业创新人才培养模式

当前信息安全专业创新人才培养还面临许多难题,这些难题存在有其客观的外部因素,也有学生自身原因,在当前机遇和挑战并存的形式下,我们探索了一套信息安全专业创新人才培养模式。

1.优化实践教学体系

上海电力学院2014年了建立实践教学体系的通知,让我们这两年努力做的实践教学工作有了更大的发展空间。其中包括“打破集中实践教学的固定期末两周的限制,实现集中实践教学贯穿全学期。以本专业主干课程链内容为依托的,结合理论教学和现场实际的6-8周的大型综合课程设计”。

现阶段集中实践是32学分,平时大学生科创工作并没有计算学生的学分。但是信息安全系把科创题目作为毕业设计题目,很大程度上提高了学生参加科创的积极性。

专业比较突出的学生有的开始有创业打算。有的是因为家庭的创业经历,或是被当前创业政策的吸引。为了促进就业,我们在日常科创指导中,鼓励有潜力的学生申请专利,申请创业启动资金,开创公司。但是学生对于创业还有诸多顾虑,还有学分和考勤方面的约束,真正创业的学生却很少。不过这样的思想传输给了学生,对于其将来毕业就业会产生积极影响。

2.电力特色实践培养

在电力特色的专业定位下开展了电力特色实践培养。利用电力信息安全实验室的软硬件环境,让学生对电力系统通信安全设备有了初步认识。在科创和毕业设计环境增加了电力信息安全的相关内容,在大学生暑假实习期间,教师推荐动手能力强的学生到电力公司从事电力信息安全设备的安装和配置工作,让学生对电力信息安全有深刻的现场经验。由于电力信息安全还设计到许多工业控制系统安全内容,根据我校特点,在科创和毕业设计环节中也增加了工业控制系统安全的相关内容,让部分学生了解了工业控制系统中基本的西门子PLC控制系统的设计方法,了解了Stuxnet工业控制病毒的工作原理和防御措施。

3.自学能力培养方法

增加一定数量考查课的大作业的比例,要求学生每个学期完成一份综合性报告,根据老师的大作业要求,查阅文献,学习知识,分析问题,解决问题。增加平时作业中的需要查阅资料才能解决的内容,让学生不仅学会利用课堂知识解决问题,而且还需要到图书馆和网络上查找资料,相互讨论后才能解决,通过这样的过程锻炼学生的自学能力。

4.创新能力培养方法

在实验过程中,要求学生实验报告中,必须有实验总结内容。这样可以记录验证类的实验过程中出现的问题及解决的问题过程,为论文中实验结果的分析奠定基础。增加英文论文摘要撰写的基本要求,培养学生写好英语摘要,理解摘要主要内容包括论文的研究意义、采用的方法、解决的问题、结论的分析等内容。

在毕业设计环节中,对学生论文撰写能力提出更高要求,要求严格按照上海电力学院论文格式规范撰写论文,对论文中的图表编号、参考文献的引用格式、综述的撰写、方案的描述、实验结果的分析等诸多方面进行规范要求。

四、结果与分析

通过创新人才培养模式中的诸多措施,在提高学生创新能力方面产生了积极影响,不仅将理论紧密联系实际,更培养了学生的创新精神和实践能力。有8人次参加了ACM程序设计大赛并获得二等奖和三等奖。学生潘佳亮在中国核心期刊(遴选)《现代计算机》《较高安全性能信息系统的构建》,陈正卿的论文《HTTP拆分攻击及相关组合攻击》已被中文核心期刊《计算机应用研究》录用。李中平的论文《Android手机远程控制关键技术分析》在中文核心期刊《计算机应用与软件》上发表。

虽然创新人才培养模式取得了一定的成绩,但是还没有孵化出一个科技型企业,学生英文论文水平还有待进一步提升。

五、结语

通过对信息安全专业的创新人才培养教改,提高了信息安全专业学生自学能力、创新能力、论文撰写能力。在取得一定成绩的同时,也发现创新人才培养,不仅是教育方式的改革,传统学习方式的改变,更需要从教学体系上促进以创新教育为目的实践教学体系建设。

参考文献:

[1]李红娇,魏为民,王勇,等.电力特色信息安全专业学生实践能力培养的探索[A].第九届中国通信学会学术年会论文集[C].中国通信学会,2012:5.

[2]曾刚.公安院校实践创新能力培养模式研究――以信息安全专业为例[J].辽宁警专学报,2012,(5):93-97.

[3]黄凤林,张天长,李佟鸿.信息安全专业创新性实践教学体系建设研究[J].湖北警官学院学报,2013,(12):198-200.

篇2

中图分类号:G647 文献标志码:A 文章编号:1674-9324(2015)48-0087-02

财经应用领域的一个重要特征是实现了业务电子化,信息的获取、传递、处理等经济管理行为通过信息系统来完成。信息系统如同国民经济活动的大脑和神经中枢,财经应用领域对信息技术越来越依赖,其信息安全保障工作的难度也不断加大,信用风险、市场风险、流动性风险、操作风险、法律风险等传统风险在信息化过程中发生了重要变化。因此信息安全教育对财经管理专业人才培养尤为重要,提高财经管理专业人才的信息安全能力和意识迫在眉睫。

国内公开发表的文献涵盖信息安全专业人才培养、信息安全课程改革、信息安全实验平台建设等方向,但鲜见面向财经管理创新型人才培养的信息安全教学体系研究。

中央财经大学从2004年起开设信息安全相关课程,是国内最早为财经管理类专业开设信息安全课程的高校。十余年来,先后为电子商务、信息管理等专业本科生开设《电子商务安全》、《信息系统安全》课程(包括双语教学),为全校本科生开设大学生文化素质课《信息安全概论》,为经济类硕士研究生开设《信息安全》课程。学校从教学内容选择、讲授方法凝练、教学环境建设、评价体系完善、师资力量培养等方面不断研究探索,逐步形成了面向财经管理创新型人才培养的信息安全教学体系,取得了良好的教学效果。

一、4-3-3多维教学体系

面向财经管理创新型人才培养的信息安全4-3-3多维教学体系包括:四维教学内容(密码学、网络安全、信息系统安全、财经应用安全)、三种教学手段(课堂教学、实验教学、网络互动教学)、三类自主学习方案(金融信息安全案例分析、科研项目驱动、学术论文研究),很好地解决了在基础不够(不具备数学、密码学基础)、技术不强(没有网络技术)、时间不多(只开一门课)的情况下,开展信息安全教育的问题。在教学过程中,理论教学与实验教学相互印证,相辅相成;实验内容与实验手段有机衔接,注重培养创新意识和综合能力的考核方式。

二、教学改革方面

采用多媒体教学,制作了包含音视频的课件,建立了完善的网络教学资源。通过网络课程可以获得更多的信息,运用网络课程复习、讨论成为不少学生课后辅助学习的有效手段。

1.修订和完善了信息安全教学体系的教学大纲。根据学校教学计划和国家培养面向新世纪人才的要求,教学团队参照教育部拟定的普通高等学校有关课程的教学大纲,并结合我校特色,根据本科生和研究生的不同层次,分别组织编写了详细的教学大纲,每年根据课程内容和实际需要及时调整和修改教学大纲,制订教学计划,使之符合信息安全教学体系的课程特点。同时,进一步完善教学总结及教学辅助材料。

2.科学合理选择高水平的教材。课程选用了国内知名专家编写的中文教材,在双语课程开设之后,选择相对权威的国外主流信息安全教材,积极引进原著和原版书目;后期,在完善教学内容及方法的同时,课程教学团队通过深入调研发现,目前国内外尚无完善的针对财经信息安全的高等教育教材。因此,教学团队组织编写并出版了适用于财经类院校的《电子商务安全》教材,着眼于信息安全在电子商务中的实际应用,突出案例丰富的特色,为学生学习提供充足、适宜的参考资料。

3.积极推进案例教学。信息安全是一门发展的学科,也是一门致用之学。如何使该门课程在实现它基础性作用的同时,还能够体现先进性和可操作性,已成为这门课程的方向。对于信息安全算法协议的描述,采用业内优秀的信息安全模拟软件CrypTool实现具体案例的演示,将重要的密码体制逐一展示成直观形象、易于理解的动态演示过程,加深学生的理解程度。此外,信息安全密码机制的创立以及应用场景问题对学生来说都比较陌生,在知识点讲解中适当引入视频来缩短与学生学习生活的距离,可以更好地启发学生思考及动手操作能力。

4.创新教学方法。把传统的课堂讲授作为教学方法的基础,积极开展启发式教学、案例教学、论坛式教学、学生自学、实践教学以及学术讲座等多种教学形式,注重学生思维方式和实践能力的提高。教学团队经常定期开展教研活动,集体备课,商讨教学中出现的一些问题,改善教学方式或教学手段;积极参加国内高水平的学术交流,并邀请国内知名教授开办教学手段和教学方法的讲座。

5.完善考试制度。规范信息安全教学体系的教考分离制度,完善试题库的建设。本课程采取平时考核与期末考试相结合的方式,即平时通过课堂提问、开卷小论文、测验等多种途径了解学生学习情况,重在考察学生分析、研究问题的能力;期末考试采取教考分离的方式,重在考察学生对基本理论、基本概念、基本观点的把握。试题覆盖面占讲授内容的90%以上,难易程度比较适宜,客观评卷,学生成绩公正,考试后有试卷分析及总结。

6.建设实验教学体系。中央财经大学计算机网络与信息安全实验室、金融网络与信息安全实验室为信息安全教学提供了实验环境。SimpleISES新一代信息安全实验教学系统将行业内主流的安全软件移植和转化为实验教学项目,该系统由一系列软、硬件设备构成,其最大的优势在于可随时根据技术的发展而不断更新实验模块,并且具备较高的知识系统性。该系统是基于真实网络、信息安全及安全设备等环境下搭建的一套信息安全综合实验平台,在这个平台中,学生通过独立操作或者分组合作,进行信息安全各个知识领域的学习和配套实验操作,这与未来实际工作中所用到的基本一致。

金融网络与信息安全实验室集成了多家银行的核心信息系统,通过具体的金融信息安全案例实现对金融信息安全的实验教学。实验室的“银行网络与信息化研究试验平台”被评为教育部首批“互联网应用创新开放平台示范基地”。

三、教学创新方面

坚持信息安全经典理论与学术前沿并重,强调方法论与实际案例分析相结合,注重研究型人才、应用型人才与复合型人才等多类型培养模式,教学改革与创新富有特色,成效显著。

1.采用启发引导、鼓励学生参与课堂讨论的教学方法。为了改变传统的灌输式教学方法,在教学过程中积极引导学生结合财经信息安全实际应用参与讨论,不仅加深学生对信息安全理论的理解,而且大大地提高了学习积极性,锻炼了学生的综合素质和能力,活跃了课堂气氛,增进了老师和学生之间的平等交流,收到了良好的教学效果。这种启发引导式的教学方法促使一线教学教师理论联系实际,迫使老师在备课过程中不断地思考问题、提出问题,并引导学生思考和讨论,在课堂上注意把握学生讨论的范围和对学生讨论的总结和评述,起到了以教学带动科研、科研促进教学的作用,大大提高了教师的业务水平和教学质量。

2.采取案例教学的教学方式。为了使学生能更好地运用所学的信息安全理论来分析和解释现实电子商务活动中的安全风险及保护手段,鼓励任课教师在教学过程中选择与信息安全原理密切相关的案例,组织案例教学,要求在案例教学的过程中,学生联系信息安全理论对实际案例进行理论层面的分析与探讨,并写出案例分析报告,并以此作为学生平时成绩的重要依据。

3.开设同步在线课程网站。2010年开设了“信息安全课程体系”网站,网站包含了教学大纲、多媒体教学课件、课程习题及答案、课外参考材料等资源。学生既可以通过网站预习、复习课程内容,又可以以网站提供的课外参考材料作为向导,自主独立开展学习和科研创新活动。本课程网站在借鉴同类站点特色的基础上,特别增设了BBS论坛一项,以供师生之间积极互动,以加强学生与老师之间的交流。师生间的讨论交流记录均可以以帖子的形式保存在BBS论坛中,以供其他同学或者后面即将学习该课程的低年级同学查看。同时,教学团队也可以从学生发帖的内容来判断学生对知识点的掌握情况,以对课程的难度和进度及时做出调整。

四、实践教学方面

1.学生科研环节的设计。通过课堂教学和学生自学,引导学生学会分析信息安全的风险,找到成因,提出解决方案,鼓励学生发表一定水平的科研论文,积极参加大学生科技类比赛项目。

2.教学实践环节的设计。一是组织和引导学生利用假期进行社会调查和实践,并撰写调研报告,既增强了学生对社会生产活动中信息安全问题和现象的感性认识,又锻炼了学生的社会实践能力,进而增进了学生对所学信息安全理论的进一步理解。二是支持学生组成学术社团,引导学生自觉开展学术活动。三是邀请国内外信息安全领域的著名专家学者到我校讲学,介绍当前国内外最新科研成果和学术动态,使学术氛围更加浓厚。

五、结语

面向财经管理创新型人才培养的信息安全4-3-3多维教学体系,探索出了一条财经类专业学习信息安全知识的有效途径,促进了财经管理创新型人才培养模式改革和人才培养质量的提高,取得了良好的教学效果和成果。但随着“互联网+”时代的到来,及MOOC、翻转课堂等的出现,在教学内容、教学方法和教学手段上仍需不断完善。

篇3

1 概述

 

目前,在我国很多高校开设了网络信息安课程,该课程是信息安全专业的一门基础课,也是网络工程专业的一门必修课。网络信息安全课程理论性强,实践性强,并且教学内容随着信息技术的发展也在不断地变化,这给教学工作带来很大挑战。由于专业性质不同,为了使网络信息安全课程的教学符合网络工程专业的特点,并且跟上信息技术瞬息万变的步伐,达到培养人才的目标,我们在多年教学实践的基础上,不断地进行总结和探索。

 

2 网络工程专业特点

 

网络工程是将计算机技术和通信技术紧密结合而形成的新兴的技术领域,尤其在当今互联网技术以及互联网经济迅速发展的环境下,网络工程技术已经成为计算机乃至信息技术界关注的重要领域之一,也是在现代信息社会中迅速发展并且应用广泛的一门综合性学科。网络工程专业自从上世纪90年代起,陆续在我国很多本科高校中都有开设。

 

网络工程专业的培养目标是:掌握常用操作系统的使用、网络设备的配置,深入了解网络的安全问题,具有综合性的网络管理能力,可以胜任中小企业的网络管理工作,并具备发展成为网络工程设计专家的能力[1]。以商丘学院(以下简称“我校”)为例,该专业是我校重点建设的专业之一,计算机网络课程现已成为校级精品课程,所属计算机网络实验室被评为河南省级重点实验室。在校学生一二年级主要学好程序设计、网络原理、操作系统等专业基础课,三四年级主要学习网络设备管理、综合布线、网络组建、网络信息安全等专业核心课程。在学生学习的时间安排上留有余地,引导学生扩大知识面,关注学科前沿,鼓励学生利用好实验室来培养自己的实践能力和创新能力。因此,网络信息安全成为我校高年级学生的一门必修课。结合网络工程专业特色,网络信息安全课程多年来在我校网络工程专业一直开设并收到很好的效果。

 

3 网络信息安全课程开设现状

 

网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。信息安全是国家重点发展的新兴交叉学科,具有广阔的发展前景。由于我国在信息安全技术方面的起点还较低,国内只有少数高等院校开设“信息安全”专业,信息安全技术人才奇缺。网络信息安全课程在信息安全专业是必不可少的核心课程。

 

目前,我校网络工程专业网络信息安全课程的开设还是以理论教学为主,实践教学为辅的教学模式。在学时分配上我们采用“34学时理论+18学时上机”的模式。在考核方式上采用“20%平时表现+80%理论考试”来计算总成绩。结合信息安全技术发展迅速的特点,在教材的选用上我们不断更新教材,以求跟上时代和技术的潮流。我校先后选用吴煜煜[2]、周明全[3]、石志国[4]、袁津生[5]等人主编的教材,这样教师也在不断地学习最新知识和专业技能。由于该课程是一门交叉性综合性学科,学好这门课程要求学生必须具备良好的程序设计能力,过硬的数学、操作系统和网络知识。该课程的先修课程为:高级程序设计(C、C++、Java)、计算机网络(TCP/IP)、操作系统(Unix和Windows)、数据库系统。该课程教学内容主要包括:网络安全的基本概念、加密与解密、公钥体系、TCP/IP协议安全、应用层安全、攻击与防御、网络站点的安全、操作系统系统与数据库的安全。

 

网络信息安全这门课程是一门理论和实践相结合,应用性很强的交叉性综合性课程。理论知识涉及面广且抽象,实践问题规模难度大。这样的特点不仅要求教师具备过硬的专业技能和授课水平,而且要求学生具备扎实的理论功底和和较强的实践能力。该课程在我校是网络工程专业开设的一门必修课程,它既不能像信息安全专业开设的专业课那么详尽和深入,也不能像普及网络安全知识一样成为公共选修课那样浅尝辄止。这就要求教师必须在有限的学时内将网络信息安全课程最基本的原理、最常用的技能传授给学生,使学生能够解决最常见的网络安全问题,成为能够学以致用,能够解决实际问题的人才。因此,必须结合网络工程专业特色和我校学生水平进行教学,才能使教和学的效果都达到最优化,达到培养人才的目标。

 

目前,现有的教学模式仍然停留在重理论、轻实践的层次上。学生在课堂上与老师的互动性不强,特别是学生的学习积极性不高,对信息安全课程学习的兴趣不持久,实践能力不强,而且现有的考核方式已不适应课程的发展。通过近几年的教学实践,结合目前网络工程专业开设的网络信息安全课程在教学中存在的问题,从培养应用型、创新型信息技术人才的角度来出发,我们尝试对网络信息安全课程进行改革和探索。

 

4 教学改革与探索

 

4.1 翻转式教学模式

 

互联网的普及和计算机技术在教育领域的应用,使“翻转课堂式”教学模式[6]变得可行和现实。学生可以通过互联网去使用优质的教育资源,不再单纯地依赖授课老师去教授知识。在课堂上,学生和老师的角色则发生了变化。老师更多的责任是去理解学生的问题和引导学生去运用知识。我们在课堂教学的组织中参考林地公园高中的经验:一、创建教学视频。我们根据上课的内容和教学目标,使用录屏软件将课件和讲课声音录制下来,然后将课件或视频通过网络分发给学生。让学生在上课前进行先行学习并收集好学生反馈的问题。二、组织课堂教学。教学内容在课外传递给学生后,课堂内更需要高质量的学习活动,让学生有机会在具体环境中应用所学内容。这样学生先自我学习或通过讨论来掌握知识点,结合学生反馈的问题,在课堂上再由教师主导开展关键问题的研讨,安排相应的课程实践。该方法在国防科学技术大学徐明的论文[7]中提到,可以作为改革教学模式的一种方法来学习使用。

 

4.2 理论与实践相结合的教学模式

 

理论授课均在多媒体教室进行,理论授课要与上机实践相结合,网络安全实验均在我校计算机网络实验室完成,学生上机操作并提交实验报告。计算机网络实验室是我校网络工程专业的专业实验室,实验室采用圆桌模式分为8组,每组8位同学,能同时满足64位学生做实验。我们结合近几年的教学经验,参考袁津生[5]等教材,安排了如下实验:①VMware虚拟机与网络分析器的使用;②RSA加密算法的分析与实现;③加解密算法的分析与实现(DES、AES等);④Hash算法MD5;⑤剖析特洛伊木马;⑥使用PGP实现电子邮件安全;⑦X-SCANNER扫描工具;⑧用SSL协议实现安全的FTP数据传输。除了正常安排的16个上机学时之外,增加实验室开放时间,为对网络安全有兴趣的学生提供更多的实践机会。通过在计算机网络实验室的学习和实践,使学生加深对网络信息安全原理和技术的认识,提高网络技能和实践能力,增加他们在将来的就业竞争中的优势。另外,工学结合,引进第二课堂,创建实训基地,争取在网络安全相关的企业和公司建立实训基地,加强合作,让学生有实践的机会,提高实践能力和就业能力,这是我们以后也要逐步探索的教学方式之一。

 

4.3 教学方法的一些改进

 

兴趣是最好的老师。多讲一些实例,可以采用任务驱动的方式培养学生的兴趣。比如上课前提出一个问题再开始讲课。例如:假如你是一个公司新任的网络管理员,需要对某台路由器进行相应的配置,但是你不知道该路由器的enable密码,该怎么办?这样就能驱动学生主动思考完成任务的方法,主动学习。一定要结合学生实际,避免“填鸭式”教学方法,做好师生互动。另外授课要尽可能地生动、幽默。

 

课堂知识、搜索引擎、论坛和专业站点、期刊论文(CNKI),这些都是学好网络信息安全的重要资源。在教学过程中,一定要利用好搜索引擎、论坛、期刊论文等,关注前沿的信息安全领域发展动向。

 

增加先驱课程知识的讲解。网络信息安全涉及到的数学知识我们参考裴定一教材[8]。例如,数据加密与认证技术的内容涉及到模运算、矩阵置换等数学知识,在讲解相应的数据加密知识时一定要将涉及到的先驱课程知识讲解清楚。

 

以就业为导向,鼓励学生积极参加网络信息安全工程师认证考试。鼓励对网络安全有兴趣的同学进行更加深入、更加专业的学习。

 

4.4 加大投入、完善网络信息安全专业实验设施

 

完善的网络信息安全实验平台[9]应该以网络为基础,将网络原理、网络程序设计、信息安全技术和网络实践类等课程集成在同一平台上,采用群组动态交互式实验方法,利用共享网络墙形成公共实验载体,实现网络实验从单设备组网到不断叠加和扩展,使学生从规模化的网络中理解路由协议和网络效率。在这样的实验平台下,利用共用服务器,各个群组组成网络攻防、信息战等实际场景,根据现场不断变化的信息实时设计技术方案,灵活应对网络的动态变化,做出快速的反应与调整,以培养学生高度的应变设计能力。

 

4.5 改革课时分配和考核权重

 

网络信息安全是一门理论与实践并重的课程,在今后的教学中,要逐渐增加实践课程的教学。为了增加学生对实践能力的重视,要合理分配理论考试和实践考试的权重,在现有考核模式的基础上逐步增加实践成绩的权重。在考核的形式上,综合卷面成绩和平时表现成绩,平时表现的成绩注重关注实验小组讨论的表现,个人实践的表现等。

 

5 结论

 

篇4

【中图分类号】G64 【文献标识码】A 【文章编号】2095-3089(2012)12-0024-02

随着计算机网络的广泛应用,信息已成为社会发展的重要战略资源。信息安全在信息社会中已经体现其重要作用,它会直接关系到国家安全、企业经营、人们的日常生活,因此信息安全这一学科也被确立并得以迅速发展。信息安全是集计算机、通信、数学、电子等众多领域的一门综合、交叉的学科,信息安全可分为系统安全(包括操作系统的安全、数据库系统的安全等)、数据安全(包括数据的安全存储、安全传输)和内容安全(包括病毒的防护、不良内容的过滤等)三个层次,而密码技术是保障数据安全的重要的关键技术。

一、密码学课程在信息安全本科专业课程体系中的地位及作用

为应对社会对信息安全人才的大量及不断增加的需求,教育部继2001年批准在武汉大学开设信息安全本科专业之后,又批准了多所高等院校设立信息安全本科专业。密码学是高校信息安全本科专业学生的一门专业基础课,为学生学习后续课程——网络安全协议与标准、信息系统安全技术及应用等课程奠定了基础。没有密码技术,数据的安全存储和安全传输就得不到保障,从而信息安全也就无从实现。因此密码学课程是信息安全本科专业中非常重要的专业必修课。

二、密码学课程的特点

密码学这门课和其他工科专业基础课相比,具有学科跨度大,难度大,理论性和应用性强的三个特点。

1.学科跨度大

2.难度大

3.理论性和应用性强

三、密码学课程教学理念

1.面向信息安全专业本科生的密码学课程教学

现今许多高校中数学、计算机、通信等相关专业的高年级本科生和硕士生的选修课或必修课都开设了密码学这门课程,这些相关专业的高年级本科生和硕士生在某一个专业或两个专业已经具备一定的基础知识,因此学习密码学课程,和信息安全专业本科学生相比来说,困难程度就会降低一些。面对信息安全专业本科生的这一教学对象,密码学课程的教学应该具体怎么去组织和开展,这必然和相关专业的高年级本科生和硕士生的密码学课程的教学是不一样的。信息安全专业本科生和其他相关专业本科生一样,在大一学年要学学英语、线性代数、高等数学等基础课程,到了大二下学期或大三上学期会接触到信息安全学科的专业基础课,这些专业基础课中包括密码学,因为密码学具有前面所述的三大特点,信息安全专业本科生会感觉到学习密码学课程的困难性,而且随着课程内容的逐步深入,他们的畏难情绪会越来越重,所以应根据信息安全专业本科生的特点,进行课程教学。

2.注重培养学生正确的密码学思维方式

密码学课程的思想内涵丰富,并不是各种密码算法的简单堆砌,所以在讲授密码学课程内容时,不能为讲授理论而讲授理论,要在讲理论的同时,把理论中体现的密码学思想,给学生剖析清楚,这样,学生在思考和解答密码学问题时潜移默化地形成了正确的密码学思维方式。

四、密码学课程教学方法

1.注重通过例题演算理解密码算法

将经典算法或其重要步骤和例题演算结合起来,促进学生理解经典算法。

讲到公钥密码体制的经典算法——RSA算法时,在向学生讲授RSA算法的加解密原理后,和学生一起完成用RSA算法对消息的加解密过程的例题演算,目的是让学生对此算法有一个感性的认识。

2.注重各章内容的关联,“由浅入深”展开教学

密码学课程中的古典密码,流密码,分组密码,公钥密码在知识层面上是由浅入深的,古典密码、流密码、分组密码是存在着内在的联系的,公钥密码和前面三种密码是完全不同的,从理解的难度上来看,公钥密码理解起来也比前三种密码要困难。在教学实践中,按照古典密码,流密码,分组密码,公钥密码这四部分顺序进行有助于学生的学习和理解。密钥管理与密钥分配、消息认证码与杂凑函数、数字签名与认证协议更体现密码学的应用性,不管采用何种密码体制,都离不开密钥,密钥管理与密钥分配是密码算法在实际应用中要解决的瓶颈问题,消息认证与数字签名是密码学认证应用的重要方法和技术手段,和分组密码及公钥密码有密切的联系。

3.注重课堂和课后与学生互动

密码学课程以老师讲授为主,注重与学生互动,特别是将重要的知识点和日常生活中学生经常接触到的信息安全问题结合起来,激发学生的学习兴趣,由被动听课变为主动思考。课后互动主要是阅读学生的课程论文并给出意见,课程论文即学生根据密码学课程中的一个或多个知识点出发,体现自己有关密码学的观点。

4.注重密码算法的应用演示

讲授密码算法时,利用开源软件和开源代码向学生演示密码算法的重要步骤,解释每步的结果的由来,或演示一些密码算法在后续过程中的应用。

5.注重经典密码算法关键步骤的编程实现

密码学课程就是由一个个的密码算法组成的,教师提供一些复杂的经典密码算法的开源代码给学生,让学生分析代码,算法的关键步骤让学生去完成,通过程序的编写,帮助学生理解和分析经典密码算法,为今后密码的应用实践奠定基础。

以上是笔者对信息安全本科专业密码学课程的教学理念和教学方法的一些拙见,由于这门课程的特点,还有很多方面都需要改进和充实。比如由于实践课时有限和前置课程的设置,密码算法的工程应用(数字签名、身份认证、数字通信、电子商务和电子现金交易的应用)目前在实践教学中还较少涉及,若加入这部分内容,不仅能纠正学生“密码学是纸上谈兵”的错误认识,而且能调动学生学习算法原理的主动性。

参考文献:

篇5

论文关键词:高师计算机专业;信息安全;法律法规课程

人类进入21世纪,现代信息技术迅猛发展,特别是网络技术的快速发展,互联网正以其强大的生命力和巨大的信息提供能力和检索能力风靡全球.

网络已成为人们尤其是大学生获取知识、信息的最快途径.网络以其数字化、多媒体化以及虚拟性、学习性等特点不仅影响和改变着大学生的学习方式生活方式以及交往方式,而且正影响着他们的人生观、世界观、价值取向,甚至利用自己所学的知识进行网络犯罪,所有这些使得高师学生思想政治工作特别是从事网络教学、实践的计算机专业的教育工作者来说,面临着前所未有的机遇和挑战,这不仅因为,自己一方面要传授学生先进的网络技术,另一方面也要教育学生不要利用这些技术从事违法活动而从技术的角度来看,违法与不违法只是一两条指令之间的事情,更重要的是高师计算机专业学生将来可能成为老师去影响他的学生,由此可见,在高师计算机专业学生中开设与信息安全有关的法律法规课程有着十分重要的意义.如何抓住机遇,研究和探索网络环境下的高师计算机专业学生信息安全法律法规教学的新特点、新方法、新途径、新对策已成为高师计算机专业教育者关心和思考的问题.本文主要结合我校的实际,就如何在高师计算机专业中开设信息安全法律课程作一些探讨.

1现有的计算机专业课程特点

根据我校人才培养目标、服务面向定位,按照夯实基础、拓宽专业口径、注重素质教育和创新精神、实践能力培养的人才培养思路,沟通不同学科、不同专业之间的课程联系.全校整个课程体系分为“通识教育课程、专业课程(含专业基础课程、专业方向课程)、教师教育课程(非师范除外)、实践教学课程”四个大类,下面仅就计算机专业课程的特点介绍.

1.1专业基础课程专业基础课是按学科门类组织的基础知识课程模块,均为必修课.目的是在大学学习的初期阶段,按学科进行培养,夯实基础,拓宽专业口径.考虑到学科知识体系、学生转专业等需要,原则上各学科大类所涵盖的各专业的学科专业基础课程应该相同.主要内容包括:计算机科学概论、网页设计与制作、C++程序设计、数据结构、操作系统等.

1.2专业方向课程各专业应围绕人才培养目标与规格设置主要课程,按照教育部《普通高等学校本科专业目录》的有关要求,结合学校实际设置必修课程和选修课程.同时可以开设2—3个方向作为限选.学生可以根据自身兴趣和自我发展的需要,在任一方向课程组中选择规定学分的课程修读.主要内容包括:计算机网络、汇编语言程序设计、计算机组成原理、数据库系统、软件工程导论、软件工程实训、计算机系统结构等.

1.3现有计算机专业课程设置的一些不足计算机技术一日千里,对于它的课程设置应该具有前瞻性,考虑到时代的变化,计算机应用专业旨在培养一批适合现代软件工程、网络工程发展要求的软件工程、网络工程技术人员,现有我校的计算机专业课程是针对这一目标进行设置的,但这一设置主要从技术的角度来考虑问题,没有充分考虑到:随着时代的发展,人们更广泛的使用网络、更关注信息安全这一事实,作为计算机专业的学生更应该承担起自觉维护起信息安全的责任,作为高师计算机专业的课程设置里应该考虑到教育学生不得利用自己所学的技术从事不利于网络安全的事情.

2高师计算机专业学生开设信息安全法律法规的必要性和可行性

2.1必要性信息安全学科群体系由核心学科群、支撑学科群和应用学科群三部分构成,是一个“以信息安全理论为核心,以信息技术、信息工程和信息安全等理论体系为支撑,以国家和社会各领域信息安全防护为应用方向”的跨学科的交叉性学科群体系.该学科交叉性、边缘性强,应用领域面宽,是一个庞大的学科群体系,涉及的知识点也非常庞杂.

仅就法学而言,信息安全涉及的法学领域就包括:刑法(计算机犯罪,包括非法侵入计算机信息系统罪、故意制作传播病毒等)、民商法(电子合同、电子支付等)、知识产权法(著作权的侵害、信息网络传播权等)等许多法学分支.因此,信息安全教育不是一项单一技术方面的教育,加强相关法律课程设置,是信息安全学科建设过程中健全人才培养体系的重要途径与任务.

高师计算机专业,虽然没有开设与信息安全专业一样多与信息安全的有关技术类课程.但这些专业的学生都有从事网络工程、软件工程所需要的基本编程能力、黑客软件的使用能力,只要具备这些能力且信息安全意识不强的人,都可能有意识或无意识的干出违反法律的事情,例如“YAI”这个比CIH还凶猛的病毒的编写者为重庆某大学计算机系一名大学生.由此可见,在高师计算机专业的学生中开设相关的法律法规选修课程是必要的.

2.2可行性技术与法律原本并不关联,但是在信息安全领域,技术与法律却深深的关联在一起,在全世界各国都不难发现诸如像数字签名、PKI应用与法律体系紧密关联.从本质上讲,信息安全对法律的需求,实际上来源于人们在面临信息技术革命过程中产生的种种新可能的时候,对这些可能性做出选择扬弃、利益权衡和价值判断的需要.这也就要求我们跳出技术思维的影响,重视信息安全中的法律范畴.

根据前面对信息安全法律法规内容的特点分析可知:信息安全技术与计算机应用技术有着千丝万缕的联系.从事计算机技术的人员很容易转到从事信息安全技术研究上,加之信息安全技术是当今最热门技术之一,因此,在高师计算机专业中开设一些基本的信息安全技术选修课程、开设一些与法律体系紧密关联的信息安全法律法规选修课程学生容易接受,具有可操作性.

3信息安全技术课程特点

信息安全技术课程所涉及的内容众多,有数学、计算机、通信、电子、管理等学科,既有理论知识,又有实践知识,理论与实践联系十分紧密,新方法、新技术以及新问题不断涌现,这给信息安全课程设置带来了很大的难度,为使我校计算机专业学生了解、掌握这一新技术,我们在专业课程模块中开设《密码学基础》、《网络安全技术》、《入侵检测技术》等作为专业选修课.我校本课程具有以下特点:

(1)每学期都对知识内容进行更新.

(2)对涉及到的基本知识面,分别采用开设专业课、专业选修课、讲座等多种方式,让学生了解信息安全知识体系,如有操作系统、密码学基础、防火墙技术、VPN应用、信息安全标准、网络安全管理、信息安全法律课程等.

(3)对先修课程提出了较高的要求.学习信息安全技术课程之前,都可设了相应的先行课程让学生了解、掌握,如开设了计算机网络基本原理、操作系统、计算机组成原理、程序设计和数论基础等课程.

(4)注重实践教学.比如密码学晦涩难懂的概念,不安排实验实训,不让学生亲手去操作,就永远不能真正理解和运用.防火墙技术只有通过亲手配置和测试.才能领会其工作机理.对此我们在相关的课程都对学生作了实践、实训的要求.

4涉及到信息安全法律法规内容的特点

信息安全的特点决定了其法律、法规内容多数情况下都涉及到网络技术、涉及到与网络有关的法律、法规.

4.1目的多样性作为信息安全的破坏者,其目的多种多样,如利用网络进行经济诈骗;利用网络获取国家政治、经济、军事情报;利用网络显示自己的才能等.这说明仅就破坏者方面而言的信息安全问题也是复杂多样的.

4.2涉及领域的广泛性随着网络技术的迅速发展,信息化的浪潮席卷全球,信息化和经济全球化互相交织,信息在经济和社会活动中的作用甚至超过资本,成为经济增长的最活跃、最有潜力的推动力.信息的安全越来越受到人们的关注,大到军事政治等机密安全,小到防范商业企业机密泄露、青少年对不良信息的浏览、个人信息的泄露等信息安全问题涉及到所有国民经济、政治、军事等的各个部门、各个领域.

4.3技术的复杂性信息安全不仅涉及到技术问题,也涉及到管理问题,信息安全技术又涉及到网络、编码等多门学科,保护信息安全的技术不仅需要法律作支撑,而且研究法律保护同时,又需要考虑其技术性的特征,符合技术上的要求.

4.4信息安全法律优先地位综上所述,信息安全的法律保护不是靠一部法律所能实现的,而是要靠涉及到信息安全技术各分支的信息安全法律法规体系来实现.因此,信息安全法律在我国法律体系中具有特殊地位,兼具有安全法、网络法的双重地位,必须与网络技术和网络立法同步建设,因此,具有优先发展的地位.

5高师信息安全技术课程中的法律法规内容教学目标

对于计算机专业或信息安全专业的本科生和研究生,应深入理解和掌握信息安全技术理论和方法,了解所涉到的常见的法律法规,深入理解和掌握网络安全技术防御技术和安全通信协议.

而对普通高等师范院校计算机专业学生来说,由于课程时间限制,不能对信息安全知识作较全面的掌握,也不可能过多地研究密码学理论,更不可能从法律专业的角度研究信息安全所涉到的法律法规,为此,开设信息安全法律法规课程内容的教学目标定位为:了解信息安全技术的基本原理基础上,初步掌握涉及网络安全维护和网络安全构建等技术的法律、法规和标准.如:《中华人民共和国信息系统安全保护条例》,《中华人民共和国数字签名法》,《计算机病毒防治管理办法》等.

6高师信息安全技术法律法规课程设置探讨

根据我校计算机专业课程体系结构,信息安全有关的法律法规课程,其中多数涉及信息安全技术层面,主要以选修课、讲座课为主,作为信息安全课程的补充.主要可开设以下选修课课程或讲座课程.

(1)信息安全法律法规基础讲座:本讲座力图改变大家对信息安全的态度,使操作人员知晓信息安全的重要性、企业安全规章制度的含义及其职责范围内需要注意的安全问题,让学生首先从信息安全的非技术层面了解与信息安全有关的法律、法规,主要内容包括:国内信息安全法律法规概貌、我国现有信息安全相关法律法规简介等.

(2)黑客攻击手段与防护策略:通过本课程的学习,可以借此提高自己的安全意识,了解常见的安全漏洞,识别黑客攻击手法,熟悉提高系统抗攻击能力的安全配置方法,最重要的还在于掌握一种学习信息安全知识的正确途径和方法.

篇6

我本人长期从事信息安全专业研究生教育,也开设过多门信息安全专业课程,如“信息安全体系结构”、“计算机通信网络安全”、“现代密码学”,等。本文主要从信息安全专业研究生教育的角度谈谈我个人的一些体会和看法。

 

1信息安全专业研究生教育面临“二次教育”

 

信息安全专业的研究生来自各个专业,知识背景、知识结构都大不一样,一定要因材施教,进行“二次教育”。“二次教育”的目的是要充分利用学生前期教育的知识背景,找到他们的知识储备在信息安全领域的切入点,选择适合每个学生的研究方向,使他们既能获得全面系统的信息安全专业知识又能发挥他们所长。

 

根据我们历年来的信息安全专业研究生培养情况来看,这一专业的研究生主要来自计算机、通信、数学等专业,近几年也逐渐出现了本科就读信息安全专业的学生。

 

来自计算机、通信等工程类专业的学生通常对互联网技术、通信技术以及计算机软硬件知识都有较为全面的了解,动手能力较强,但大部分学生对信息安全专业所必需的密码学、安全协议等方面的知识知之甚少,甚至完全是一片空白。针对这样的情况,我们重点加强了这些学生在理论知识方面的教育培养,要求他们在选择研究生专业基础课时必须在理论课程中有一定数量和宽度的涉猎。同时指导学生阅读学习信息安全相关理论知识的经典教材或著作,培养他们在理论学习上的兴趣,实现课堂教育与学生自学的有机结合、互相助益。

 

相对应地,来自数学等理论性较强的专业的学生通常都有着较为扎实的理论基础,对理论知识的学习方法都有一定的心得,进一步学习与信息安全相关的理论知识时接受得比较快,不过在工程技术知识方面就有一定的欠缺。为此,我们要求这些学生加强学习计算机网络原理和程序开发等方面的知识,加强工程实践,使得他们对理论知识和工程开发都能有较为全面具体的了解,并且合理地选择自己的研究方向。

 

对于越来越多的从本科就开始学习信息安全专业的学生,我认为培养的关键是加强他们的专业知识的深度。这些学生对信息安全专业的相关知识有了初步的了解但不够全面和深入,一旦有机会进行更高层次的深造,往往容易忽略进一步学习专业知识的重要性。针对可能出现的问题,我们的指导教师加强了与学生的交流,指导学生阅读学习高水平的理论著作和技术书籍。同时,根据每个学生的不同情况,为他们推荐一些供他们选择的合适的研究方向,尽量发挥他们在前期学习中积累的优势。

 

2信息安全专业研究生教育需要配套的教材

 

大多数研究生都没有接触过信息安全课程或没有系统的信息安全知识结构,因此,需要统一规划,建立起他们的信息安全知识体系结构。为此,我们信息安全国家重点实验室为研究生培养规划了一套教材,包括《信息安全体系结构》、《现代密码学》、《安全协议理论与方法》、《网络安全原理与技术》、《安全操作系统原理与技术》、《数据库安全》、《网络攻击原理与技术》、《信息系统安全事件响应》、《量子密码学》,等。这些教材陆续由科学出版社和清华出版社出版发行,这些教材也基本涵盖了信息安全的基础知识和目前信息安全领域所涉及的主要研究方向,可为从事信息安全专业的研究生打开一扇通往信息安全学科广阔天地的大门,从而帮助他们选择自己将来的专业发展方向。同时,这些配套教材也为研究生专业课的教学工作提供了坚实的基础,使得我们实验室的研究生培养质量有了进一步的提高。除了系列教材外,我们实验室的科研人员和研究生指导教师近年来还陆续出版了相当数量的涉及其他研究方向或讨论专业学术问题的教材供教学使用。目前,我们实验室仍然在不断补充完善教材体系,已将教材的编制出版工作列为了实验室日常教学科研工作的重要组成部分。我们将继续从专业基础课、专业课和选修课三个层次完善信息安全专业研究生的教材体系。

 

3信息安全专业研究生教育需要系统知识与专业知识的有机结合

 

信息安全专业有着系统的知识体系,同时包含了诸多的研究方向。我们在教学和科研工作中,要求实验室的研究生既要系统地学习信息安全专业知识,又要与自己的专业方向相结合。实验室设置了四个专业方向,即“密码理论与技术”、“安全协议理论与技术”、“信息对抗理论与技术”、“网络与系统安全”,每个方向都有配套的培养方案,侧重点不同。前两个研究方向侧重“密码学”、“安全协议”等信息安全专业中的基础理论研究,我们在培养过程中注意选拔有较强的理论根底和数学基础的学生,培养他们从事理论研究的兴趣,同时强调学生对整个信息安全体系结构的学习和掌握。而对于“信息对抗理论与技术”、“网络与系统安全”这样的侧重于工程技术的研究方向,在系统学习信息安全专业知识的同时,我们加强了学生的工程实践,使教学工作融合于科研项目的研究开发过程中,让学生能够更加生动具体地理解专业知识并加以掌握。在多年来的研究生培养工作中,我们实验室的教师不断总结经验,根据不断变化的本学科发展情况和学生的综合素质改进培养方案,使得研究生培养工作做到与时俱进,研究方案与系统教材紧密结合,研究生培养水平不断提高。

 

4信息安全专业研究生教育需要提升理论高度

 

研究生教育与本科生教育不同,需要培养研究生独立从事科研工作的能力和自主创新的能力,需要提升研究生看问题和提炼问题的理论高度,需要开拓研究生的研究思路,需要锻炼研究生解决实际问题的能力。

 

无论从事哪个专业方向的研究,都不应放松理论研究工作。为了不断提高研究生的理论水平,实验室安排了大量的学习讨论班,针对不同的方向为学生们提供一个交流学习心得、讨论重点难点问题的平台,在这个过程中教师和科研人员也会为他们提供适时的指导。此外,我们还不定期地邀请国内外信息安全研究领域的知名学者来为学生作学术报告,介绍这些专家的研究领域的相关知识以及最前沿的研究进展,进一步培养学生的学习兴趣和提高理论水平的积极性。

 

我们实验室要求学生要高度重视理论研究工作,要注意从科研工作的进展、突破中提炼出理论成果,多出高水平的论文、著作,以科研开发带动理论研究,以理论水平的提高促进科研项目的进一步发展。近年来,我们实验室的研究生已在国内外的专业学术刊物和学术会议上发表了一批较高水平的论文,向国内外信息安全领域的研究者展现了我们实验室的科研成果。

 

5信息安全专业研究生教育要注重理论与工程实践相结合

 

信息安全学科的自身特点要求这一专业的研究生既要掌握坚实的理论知识,系统专业的知识,又要注重工程实践。实践是检验真理的唯一标准,实践也是掌握真理的重要途径。

 

我们实验室要求学生在全面学习专业理论知识的同时,深入了解信息安全技术应用的环境,将所学的知识与实际应用相结合,更加全面深刻地理解专业理论知识。同时,我们利用实验室承担的大量科研项目为学生提供高水平的工程实践机会,由指导教师和科研骨干带领他们参与工程开发,将他们前期积累的专业知识实际应用到科研项目的开发过程中去,让他们学到的知识真正发挥作用、取得实际成果乃至进一步转化为生产力。从多年来的研究生培养经验看,加强学生的工程实践能够大大促进研究生的学习积极性,提高他们的动手能力,开拓学生的眼界,提升他们的研究水平。

 

篇7

中图分类号:G642 文献标识码:B

文章编号:1672-5913 (2007) 22-0154-03

1信息安全专业实践教学存在的主要问题

1.1实践教学资源匮乏

由于专业建设时间短,专门用于信息安全专业的实践教学资源极度匮乏。原因一方面在于各学校资金投入不够,另外一方面也在于对如何建设信息安全专业的实践教学平台,国内外都缺乏参考标准和借鉴依据。即便一些学校在开设信息安全专业之后,也投入了一定的资金用于信息安全专业实验室的建设,但是大都用于购置一些必要的安全设备(如计算机、路由器、防火墙、入侵检测系统等)。相对而言,计算机、通信等专业经过几十年的建设之后,不仅硬件实验平台,而且软件等实践教学资源也非常丰富。

1.2实践教学师资队伍参差不齐

对于信息安全这个非常年轻的专业来说,由于以往没有专门的人才培养机构,其师资队伍建设也存在较大问题。在实践教学师资队伍方面缺少专业的实验指导教师,很多信息安全专业实验指导教师均来自于计算机、通信等传统专业。这些实验指导教师由于自身对专业实验缺乏深刻认识和理解,在指导学生开展有关专业实验时往往或者缺乏深度或者寄托于任课教师参与实验指导。在此条件之下,学生很难完成具有一定深度的设计型实验,而往往是完成一些验证性的实验了事。

1.3实践教学内容单一

由于实践资源和实践教学师资队伍都存在一些问题,目前信息安全专业实验内容不仅单一,而且涉及面窄。例如,防火墙安装与配置、网络扫描、网络窃听、网络攻击、计算机病毒及防治、入侵检测技术等是常见的实验内容。除此之外,很难见到综合性强的设计型实验。造成这一现象的原因,不仅有建设时间短、师资队伍缺乏的原因,也有大家对信息安全所涵盖领域存在认识误区的原因。

1.4实践教学保障制度有待完善

从某种程度上说,我国目前的高等教育还处于粗放型阶段。教育带有普及性,重在传授知识,而指导学生解决实际问题的能力比较欠缺。同时从历史的因素来看,高校长期以来一直从属于政府管辖,自立意识不强,也使众多高校缺乏各自特色,办学模式雷同。对于信息安全专业来说,在办学定位、经费保障、科研与教学相互保障等方面均存在诸多问题。因此,与其他专业一样,崭新的信息安全专业同样面临实践教学保障制度不完善的问题。

2信息安全专业实践教学课程体系

对于一个完整的实践教学体系来说,本文作者认为,信息安全专业的实践教学体系可以从以下几个方面来建设。

2.1改变传统人才培养模式,积极探索具有信息安全特色的人才培养方案

对于具有较强工程实践性的信息安全专业来说,为了建设其实践教学体系,必须改变传统的人才培养模式,探索符合国家安全及行业需求的人才培养方案。为此积极探索“3+1”的信息安全专业人才培养模式是建设其实践教学体系的一种有效方案。所谓“3+1”模式,就是3年完成本科教学内容,1年开展实践教学(如科研实训、企业实习等)。在普通高校的人才培养模式中,一般来说都是采用教学内容贯穿大学四年的培养模式。这种人才培养模式有一定的合理性,但是对于信息安全专业来说,如果缺乏与实际的结合,就会成为真正的“万金油”:知识面广,专业技能差。

式中,学生前三年完成培养方案所规定的教学内容(包括课程、实验、课程设计、综合课程设计、创新学分等)。在第四年中,主要针对实际需要,进行“定制培养”。定制培养的方式可以多种多样,主要方式可概括为“请进来,送出去”,即聘请信息安全相关企业或IT企业结合自己的人才需求,开设有针对性的实践类课程;鼓励学生到企业进行实习或实践。此外也应结合行业需求,为学生开设创新型综合实践课程。

此外,积极探索暑期短期实践与短期授课的人才培养模式,有效利用寒暑假的空闲时间,聘请国外专业教授和企业工程人员为部分学生开设创新型和工程实用型课程,以提高专业技能,训练科技创新思维也是建设信息安全实践教学体系的一种方法。

2.2加强实践教学平台建设,丰富实践教学内容

在实践平台建设方面,首先应建立信息安全综合实验室和信息安全学生创新中心。除了购置必要的安全实验设备之外,必须持之以恒地投入经费,不断完善实验内容和实验环境。此外,学校应积极争取企业资金,设立信息安全专业的学生科技创新中心,进一步丰富本科生参与工程训练的环境。

在实践内容方面,探索课程实验、课程设计、综合课程设计、本科生科研训练、毕业设计等新内容和新形式,以形成一套有效的信息安全专业实验体系。例如,探索信息安全专业本科毕业论文的新模式。例如,电子科技大学信息安全专业自2007开始,积极探索通过课程实验、课程设计、综合课程设计和综合实验课程的有机结合的方式,来替代最终的本科毕业论文。此外,建设信息安全基础综合设计实验、安全协议综合设计实验、网络与信息系统安全综合设计实验、计算机操作系统与网络综合设计实验、程序设计与信息系统开发综合设计实验等。

其次,积极探索校企联合人才培养的新模式,建设校企联合人才培养基地,保证每个学生均能到该基地从事一定时间的实训。除了工程实践外,也可以和企业建立多种联合人才培养模式,例如成立学生创新基金、学生创新团队、学生创业基地等,进一步为本专业的学生提供更加广阔的实践平台。

2.3积极探索新的实践教学方法,提高实践教学的效果

在实践教学方法方面,应结合信息安全特色课程的教学内容,充分反映相关产业和领域的新发展、新要求,减少陈旧内容。例如,专业基础课程与实验结合、专业选修课程与实践结合、专业课程与产品或公司认证结合。即:对于专业基础课程(如信息安全数学基础、密码算法等),开设综合类设计实验,通过实验来加深对基础理论基础知识的理解和掌握;对部分实践性强的专业选修课,积极探索“请进来”的教学方式,邀请安全产品公司的有关人员讲授部分内容;对部分实用性专业选修课,探索与安全产品或公司对安全人员的认证结合起来的教学方式,以提高课程的针对性和实用性。

3信息安全专业实践教学配套及保障条件建设

在实践教学配套及保障条件方面,我们认为实践教材和专职实验指导教师建设是两个非常关键的内容。

3.1实践教材建设

围绕信息安全的专业基础课和专业选修课,应该加强综合实验教程(或教材)的建设工作。例如,《网络攻防综合实验》、《网络与信息安全基础实验》、《网络与信息安全协议实验》、《信息系统安全实验》、《安全编码》等教材的建设,不仅可以涵盖数学基础、安全算法、安全协议和网络与信息系统应用安全等课程的内容,也可以为学生参与工程实践提供必要的条件和奠定良好的基础。

3.2专职实践教学师资队伍建设

在师资队伍建设方面,积极推进“信息安全专业教师博士化和国际化工程”,经过四年建设,应该确保一定比例的实验专职指导教师具有信息安全的专业背景,一定比例的专业教师具有一定时间的企业培训经历。应该完善信息安全专业教师提高自身专业技能和实践技能的机制,完善校内教师到相关产业和领域一线学习交流、相关产业和领域的人员到学校兼职授课的制度和机制。建立教师培训、交流和深造的常规机制,形成一支了解社会需求、教学经验丰富、热爱教学工作的高水平专兼结合的教师队伍。同时,探索科研和教学紧密结合的有效方法,将信息安全专业教师在科研领域的成果和经验转化为教学内容,提高教师自身的专业修养,为信息安全专业的特色建设服务。

参考文献

[1] 张焕国,黄传河,刘玉珍等. 信息安全本科专业的人才培养与课程体系[J]. 高等理科教育, 2004,(02).

[2] 李宁. 我国开展信息安全人才培养工作的必要性[J]. 中国考试(研究版),2006,(10).

[3] 王海晖,谭云松,伍庆华等.高等院校信息安全专业人才培养模式的研究[J]. 现代教育科学, 2006,(05).

[4] 李章兵,刘建勋,廖俊国. 本科信息安全专业建设的实践与探索[J]. 计算机教育,2007,(11).

[5] 赵泽茂,刘顺兰,王小军. 信息安全本科人才培养模式的思考[J]. 杭州电子科技大学学报,2007,(01).

篇8

自由开放的移动网络带来巨大信息量的同时,也给运营商带来了业务运营成本的增加,给信息的监管带来了沉重的压力。同时使用户面临着经济损失、隐私泄露的威胁和通信方面的障碍。移动互联网由于智能终端的多样性,用户的上网模式和使用习惯与固网时代很不相同,使得移动网络的安全跟传统固网安全存在很大的差别,移动互联网的安全威胁要远甚于传统的互联网。

⑴移动互联网业务丰富多样,部分业务还可以由第三方的终端用户直接运营,特别是移动互联网引入了众多手机银行、移动办公、移动定位和视频监控等业务,虽然丰富了手机应用,同时也带来更多安全隐患。应用威胁包括非法访问系统、非法访问数据、拒绝服务攻击、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露、内容版权盗用和不合理的使用等问题。

⑵移动互联网是扁平网络,其核心是IP化,由于IP网络本身存在安全漏洞,IP自身带来的安全威胁也渗透到了移动专业提供论文写作和写作论文的服务,欢迎光临dylw.net互联网。在网络层面,存在进行非法接入网络,对数据进行机密性破坏、完整性破坏;进行拒绝服务攻击,利用各种手段产生数据包造成网络负荷过重等等,还可以利用嗅探工具、系统漏洞、程序漏洞等各种方式进行攻击。

⑶随着通信技术的进步,终端也越来越智能化,内存和芯片处理能力也逐渐增强,终端上也出现了操作系统并逐步开放。随着智能终端的出现,也给我们带来了潜在的威胁:非法篡改信息,非法访问,或者通过操作系统修改终端中存在的信息,产生病毒和恶意代码进行破坏。

综上所述,移动互联网面临来自三部分安全威胁:业务应用的安全威胁、网络的安全威胁和移动终端的安全威胁。

2 移动互联网安全应对策略

2010年1月工业和信息化部了《通信网络安全防护管理办法》第11号政府令,对网络安全管理工作的规范化和制度化提出了明确的要求。客户需求和政策导向成为了移动互联网安全问题的新挑战,运营商需要紧紧围绕“业务”中心,全方位多层次地部署安全策略,并有针对性地进行安全加固,才能打造出绿色、安全、和谐的移动互联网世界。

2.1 业务安全

移动互联网业务可以分为3类:第一类是传统互联网业务在移动互联网上的复制;第二类是移动通信业务在移动互联网上的移植,第三类是移动通信网与互联网相互结合,适配移动互联网终端的创新业务。主要采用如下措施保证业务应用安全:

⑴提升认证授权能力。业务系统应可实现对业务资源的统一管理和权限分配,能够实现用户账号的分级管理和分级授权。针对业务安全要求较高的应用,应提供业务层的安全认证方式,如双因素身份认证,通过动态口令和静态口令结合等方式提升网络资源的安全等级,防止机密数据、核心资源被非法访问。

⑵健全安全审计能力。业务系统应部署安全审计模块,对相关业务管理、网络传输、数据库操作等处理行为进行分析和记录,实施安全设计策略,并提供事后行为回放和多种审计统计报表。

⑶加强漏洞扫描能力。在业务系统中部署漏洞扫描和防病毒系统,定期对主机、服务器、操作系统、应用控件进行漏洞扫描和安全评估,确保拦截来自各方的攻击,保证业务系统可靠运行。

⑷增强对于新业务的检查和控制,尤其是针对于“移动商店”这种运营模式,应尽可能让新业务与安全规划同步,通过SDK和业务上线要求等将安全因素植入。

2.2 网络安全

移动互联网的网络架构包括两部分:接入网和互联网。前者即移动通信网,由终端设备、基站、移动通信网络和网关组成;后者主要涉及路由器、交换机和接入服务器等设备以及相关链路。网络安全也应从以上两方面考虑。

⑴接入网的网络安全。移动互联网的接入方式可分为移动通信网络接入和Wi-Fi接入两种。针对移动通信接入网安全,3G以及未来LTE技术的安全保护机制有比较全面的考虑,3G网络的无线空口接入采用双向认证鉴权,无线空口采用加强型加密机制,增加抵抗恶意攻击的安全特性等机制,大大增强了移动互联网的接入安全能力。针对Wi-Fi接入安全,Wi-Fi的标准化组织IEEE使用安全机制更完善的802.11i标准,用AES算法替专业提供论文写作和写作论文的服务,欢迎光临dylw.net代了原来的RC4,提高了加密鲁棒性,弥补了原有用户认证协议的安全缺陷。针对需重点防护的用户,可以采用VPDN、SSLVPN的方式构建安全网络,实现内网的安全接入。

⑵承载网网络及边界网络安全。1)实施分域安全管理,根据风险级别和业务差异划分安全域,在不同的安全边界,通过实施和部署不同的安全策略和安防系统来完成相应的安全加固。移动互联网的安全区域可分为Gi域、Gp域、Gn域、Om域等。2)在关键安全域内部署人侵检测和防御系统,监视和记录用户出入网络的相关操作,判别非法进入网络和破坏系统运行的恶意行为,提供主动化的信息安全保障。在发现违规模式和未授权访问等恶意操作时,系统会及时作出响应,包括断开网络连接、记录用户标识和报警等。3)通过协议识别,做好流量监测。依据控制策略控制流量,进行深度检测识别配合连接模式识别,把客户流量信息捆绑在安全防护系统上,进行数据筛选过滤之后把没有病毒的信息再传输给用户。拦截各种威胁流量,可以防止异常大流量冲击导致网络设备瘫痪。4)加强网络和设备管理,在各网络节点安装防火墙和杀毒系统实现更严格的访问控制,以防止非法侵人,针对关键设备和关键路由采用设置4A鉴权、ACL保护等加固措施。

2.3 终端安全

移动互联网的终端安全包括传统的终端防护手段、移动终端的保密管理、终端的准入控制等。

⑴加强移动智能终端进网管理。移动通信终端生产企业在申请入网许可时,要对预装应用软件及提供者 进行说明,而且生产企业不得在移动终端中预置含有恶意代码和未经用户同意擅自收集和修改用户个人信息的软件,也不得预置未经用户同意擅自调动终端通信功能、造成流量耗费、费用损失和信息泄露的软件。

⑵不断提高移动互联网恶意程序的样本捕获和监测处置能力,建设完善相关技术平台。移动通信运营企业应具备覆盖本企业网内的监测处置能力。

⑶安装安全客户端软件,屏蔽垃圾短信和骚扰电话,监控异常流量。根据软件提供的备份、删除功能,将重要数据备份到远程专用服务器,当用户的手机丢失时可通过发送短信或其他手段远程锁定手机或者远程删除通信录、手机内存卡文件等资料,从而最大限度避免手机用户的隐私泄露。

⑷借鉴目前定期PC操作系统漏洞的做法,由指定研究机构跟踪国内外的智能终端操作系统漏洞信息,定期官方的智能终端漏洞信息,建设官方智能终端漏洞库。向用户宣传智能终端安全相关知识,鼓励安装移动智能终端安全软件,在终端厂商的指导下及时升级操作系统、进行安全配置。

3 从产业链角度保障移动互联网安全

对于移动互联网的安全保障,需要从整体产业链的角度来看待,需要立法机关、政府相关监管部门、通信运营商、设备商、软件提供商、系统集成商等价值链各方共同努力来实现。

⑴立法机关要紧跟移动互联网的发展趋势,加快立法调研工作,在基于实践和借鉴他国优秀经验的基础上,尽快出台国家层面的移动互联网信息安全法律。在法律层面明确界定移动互联网使用者、接入服务商、业务提供者、监管者的权利和义务,明确规范信息数据的采集、保存和利用行为。同时,要加大执法力度,严专业提供论文写作和写作论文的服务,欢迎光临dylw.net厉打击移动互联网信息安全违法犯罪行为,保护这一新兴产业持续健康发展。

⑵进一步加大移动互联网信息安全监管力度和处置力度。在国家层面建立一个强有力的移动互联网监管专门机构,统筹规划,综合治理,形成“事前综合防范、事中有效监测、事后及时溯源”的综合监管和应急处置工作体系;要在国家层面建立移动互联网安全认证和准入制度,形成常态化的信息安全评估机制,进行统一规范的信息安全评估、审核和认证;要建立网络运营商、终端生产商、应用服务商的信息安全保证金制度,以经济手段促进其改善和弥补网络运营模式、终端安全模式、业务应用模式等存在的安全性漏洞。

⑶运营商、网络安全供应商、手机制造商等厂商,要从移动互联网整体建设的各个层面出发,分析存在的各种安全风险,联合建立一个科学的、全局的、可扩展的网络安全体系和框架。综合利用各种安全防护措施,保护各类软硬件系统安全、数据安全和内容安全,并对安全产品进行统一的管理,包括配置各相关安全产品的安全策略、维护相关安全产品的系统配置、检查并调整相关安全产品的系统状态等。建立安全应急系统,做到防患于未然。移动互联网的相关设备厂商要加强设备安全性能研究,利用集成防火墙或其他技术保障设备安全。

⑷内容提供商要与运营商合作,为用户提供加密级业务,并把好内容安全之源,采用多种技术对不合法内容和垃圾信息进行过滤。软件提供商要根据用户的需求变化,提供整合的安全技术产品,要提高软件技术研发水平,由单一功能的产品防护向集中统一管理的产品类型过渡,不断提高安全防御技术。

⑸普通用户要提高安全防范意识和技能,加装手机防护软件并定期更新,对敏感数据采取防护隔离措施和相关备份策略,不访问问题站点、不下载不健康内容。

4 结束语

解决移动互联网安全问题是一个复杂的系统工程,在不断提高软、硬件技术水平的同时,应当加快互联网相关标准、法规建设步伐,加大对互联网运营监管力度,全社会共同参与进行综合防范,移动互联网的安全才会有所保障。

篇9

中图分类号:G642 文献标识码:B

文章编号:1672-5913 (2007) 22-0142-03

2001年,武汉大学创建了全国第一个信息安全专业。信息安全作为一个全新的本科专业和其独有的特殊性,对学生的实践创新能力提出了更高要求。武汉大学在信息安全专业本科生实践创新能力培养上进行了不断探索和实践,积累了一些经验[1-6],包括加强实验教学改革、配置班级专业导师[4]、组建专业兴趣小组、创建学生科研创新团队、设立大学生科研项目基金、创建校外实习基地、实行“3+1”培养模式[7]等。本文着重从实验教学的角度来谈信息安全专业大学生实践创新能力的培养。

无疑,实验教学一直是提高本科生实践创新能力的重要环节。各大高校均开设了一系列实验课程,但不少课程的实验教学效果并不明显,学生的动手能力并没有因为实验课程的开设而明显得到提高。这其中存在如下几方面的原因:

1) 实验设置不合理,可实施性不强或者过于简单

2) 实验教师师资力量不够

3) 实验过程没有得到有效实施和监督

4) 对实验教学没有明确的考核制度和方法

5) 学生对实验课程不够重视,敷衍了事

信息安全作为一个全新的综合性、实践性和交叉性极强的新兴专业,相比传统计算机科学专业而言,在各方面都还不大成熟,在各方面表现出的问题也更为突出。造成这些问题的原因是多方面的,而要实际解决这些问题,需要多个方面一起努力。下面,笔者从几个方面介绍武汉大学在实验教学方面的一些思路、经验和教训。

1循序渐进,精心设计实验

目前武汉大学信息安全专业采用课程实验与实验课程相结合的方法进行实验教学。其中课程实验与相应课程同步进行,例如密码学、信息隐藏和计算机病毒课程分别设置了20、20和36个学时的课程实验。实验课程属于单独的必修实验课程,通常为1个学分;实验课程以综合性、设计型为主,旨在锻炼综合应用所学的安全知识、解决实际安全问题的能力。例如“信息安全综合实验”、“网络安全实验”以及“程序设计实践”均为1个学分的实验课程,三门课程各计36个学时。

每门课程实验和实验课程均包括了基础验证型、设计型、创新型和综合型实验。我们认为,基础验证性实验是必不可少的,该类实验能够提高学生最基本的实践操作能力,同时也可以大大促进他们对课本基础理论知识的理解,并为后续设计型、创新型和综合型实验做准备。在学生具备了最基本实践操作能力之后,我们逐步提高实验的难度,然后进行一些较复杂的设计型、创新型和综合型实验,这三类实验如果能够得到有效实施,则能够明显提高学生的实践创新能力,大大激发学生的科研创新潜力和专业实践兴趣。

针对课程实验和实验课程,我们均制订了具体的实验教学计划,在教学计划中明确了各个实验的内容、目的和学时。下面以“计算机病毒课程实验”为例作重点介绍。

“计算机病毒课程实验”包括9个子实验,分别是:

(1) 数据恢复

分析FAT32和NTFS磁盘文件系统格式,提取、反汇编并调试分析MBR、DBR代码,详细分析实验室硬盘的具体结构,删除并手工恢复指定文件,熟悉并比较各款数据恢复工具。课后要求学生对自己的电脑硬盘进行详细分析,画出自己电脑硬盘的磁盘结构图,分析多引导程序工作原理。

(2) PE文件结构分析

对PE文件的整体结构进行分析,详细分析引入表和引出表的结构和原理,按要求手工修改PE文件以改变PE程序的行为。用16进制编辑器手工制作符合指定条件的最小PE文件。本实验集创新型、设计型和综合型于一体。实验前面部分旨在加深学生对PE文件的理解,后面部分则要求学生充分发挥自己的分析、设计以及综合能力。本实验要求学生对汇编、反汇编、静/动态调试、PE文件结构、操作系统都具有比较深入的理解并能够综合运用这些知识。

(3) VBS脚本病毒样本分析

分析一个实际的VBS脚本病毒样本,并对其进行解码和分析。本实验旨在提高学生的病毒分析能力,提高学生的病毒分析经验。

(4) PE病毒样本调试分析

调试分析课本中的一个病毒实例(或者分析一个流行PE病毒样本),并写出病毒清除程序。本实验旨在提高学生的分析、设计能力。

(5) 计算机病毒免查杀技术分析

对常见病毒的特征码进行定位,并能够通过修改特征码来使得病毒逃避各流行杀毒软件查杀。对各反病毒软件的病毒检测原理进行简单分析。本实验综合型较强。

(6) 恶意代码行为分析及流行病毒专杀软件设计

利用相关工具对恶意代码的静态和动态行为进行分析,并手工清除病毒。编写可以扩展的流行病毒的专杀软件。

(7) 网络蠕虫取样分析

对流行蠕虫进行分析,从网络数据包中获得流行蠕虫样本,并进行实际功能分析。

(8) 软件加壳与解壳

对指定程序进行加壳并分析,对给定的加壳程序进行自动和手工脱壳。

(9) 简易杀毒软件设计

编写简易的杀毒软件,该软件需要具备简易扫描引擎和特征代码库。基本具备杀毒软件的病毒扫描功能,并可以进行升级。

我们对每门课程的每个子实验、每一个具体实验环节都进行了精心设计和反复实践修改,对实验过程中可能出现和遇到的各种问题都进行了充分的分析和考虑。这些实验能够大大提高学生的实践创新能力。譬如,在进行计算机病毒课程实验中的各子实验设计时,我们征求了部分国内著名反病毒公司从事病毒分析的骨干技术人员的建议和意见;学生在认真完成这些实验之后完全具备从事病毒分析工作的能力。

2合理安排实验进度和时间

实验进度和时间安排得是否得当,也将直接影响到实验效果和学生的实践创新能力培养,同时也会对学生的就业造成一定的影响。

一方面,专业实验课程在设置的过程中需要充分考虑到先修课程的安排。专业实验课程的学习需要学生具备比较好的计算机专业基础。譬如,计算机病毒课程需要学生先完成汇编语言程序设计、操作系统等方面的课程。而网络安全课程则需要学生先完成“计算机网络”、“网络程序设计”、“数据库原理”、“操作系统”、“数据结构”、“高级程序设计”等方面的课程。因此,实验课程的安排不能太靠前。

另一方面,实验课程的设置还必须考虑到学生大三暑期实习、大四就业、考研的问题,实验课程安排在大四开始之前较合理。

目前瑞星、金山毒霸、安天等反病毒企业每年从武汉大学信息安全专业招聘实习生。为了保证学生的专业素质和实践创新能力,武汉大学信息安全专业实行了“3+1”模式[7],即学生在前三学年修完所有课程,第四学年到单位实习并完成毕业论文,推荐或考上研究生的同学则直接进入导师课题组实习。武汉大学信息安全专业的安全实验课程安排在大三一个学年完成。

3大力培养实验师资

目前大部分高校信息安全专业的实验师资通常来自于两部分:传统的计算机专业实验人员和部分专业教师。前者对计算机类的传统专业实验已经轻车熟路,但在信息安全专业实验上暂时可能还存在一定困难。

信息安全专业的专业教师大多来自传统计算机专业,他们大部分都在信息安全领域进行了较长时间较为深入的理论研究,具有较为扎实的信息安全理论基础,但在信息安全技术实践上可能并没有投入太多精力,并且由于信息安全学科中某些具体方向(如网络攻防以及计算机病毒技术)的自身特点,如果没有专门的科研项目支持,部分专业教师也难以投入太多精力。

作为一个新兴的专业,信息安全中涉及到的各门新建实验课程需要实验指导教师掌握大量的安全理论知识,同时必须在安全技术上具备很强的实践能力。实验师资直接影响到了学生的实践创新能力的培养,目前各大高校实验师资力量普遍不够,各高校均需积极加大专业实验师资的培养力度。

4创造良好实验环境

相对于其他计算机类实验而言,信息安全专业的专业实验对实验环境和实验条件的要求更高。譬如,网络安全实验需要比较好的内部网络环境,其对网络互连设备也有更高的要求;计算机病毒实验则需要提供足够的流行病毒样本、虚拟机、隔离的网络环境以及供测试使用的各类安全软件、硬件设备;信息安全综合实验则需要为学生提供真实的硬件设备[6],譬如武汉大学信息安全实验室购置了硬件防火墙、密码机、隔离网闸、天阗IDS、网络协议分析仪、智能卡开发设备、指纹识别仪、电磁干扰测试接收机、路由器、交换机等设备,投资数百万元。尽管如此,这些实验设备也无法在同一时间满足所有同学的实验需求。为了保证实验环境和条件,实验室需要分多组多次进行实验,学生也可以自己组队预约实验设备,这些都需要实验室提供良好的实验准备并制定相应的实验制度。

目前,武汉大学已经具备比较好的实验环境,为了进一步为学生提供良好的实验环境,我们正在积极研发信息安全专业本科实验实训平台,该平台一方面可以大大减轻实验教师的工作量,另一方面学生也可以随时随地从网络上访问实验平台,获得良好的软件以及模拟的硬件设备实验环境。

5加强实验环节考核与管理

为了促进实验课程的有效实施,有效的激励措施、严格的考核与管理措施是必不可少的。

从实验教师角度来说,首先应该严格要求学生按时完成各项实验任务,并按时严格按照指定格式完成实验报告。对于抄袭现象,实验教师应该严厉制止。另外,实验教师要积极启发学生,同时在试验前做好各项准备,在必要时要指导学生解决实验过程中遇到的一些难以解决的或者意外的问题,以免学生遇到困难之后可能无法进行后续实验,从而影响实验效果。

从学院角度来说,其一方面应该制定有效的激励措施鼓励有能力的老师积极承担信息安全专业实验课程,另外一方面其应该针对实验课程的教学过程制定严格的考核机制。

6结束语

目前武汉大学在实验教学方面积累了一定的经验,但不可否认的是,我们的实验教学也依然存在一些必须解决的问题。目前武汉大学计算机学院正在积极申报省级和国家级的实验教学示范中心,相信在学校和学院的大力重视下,在我们不断的努力和探索中,武汉大学信息安全实验教学将会成为全国信息安全实验教学的一大亮点。

参考文献:

[1] 张焕国等. 信息安全本科专业的人才培养与课程体系[J]. 高等理科教育,2004,(2).

[2] 张焕国等. 信息安全学科建设与人才培养的研究与实践[M]. 计算机系主任(院长)会议论文集. 北京高等教育出版社,2005.

[3] 彭国军,张焕国.浅析专业导师在信息安全本科专业培养中的作用[J]. 第8届全国高等学校计算机系主任(院长)会议论坛论文集,2005.

[4] 彭国军,张焕国.论高校师生信息安全意识培养的必要性[J]. 全国计算机新科技与计算机教育论文集,2006年.

[5] 彭国军,张焕国. 关于计算机病毒教学的几点建议[J]. 计算机教育,2006,(7).

[6] 张焕国,王丽娜. 信息安全综合实验教程,武汉大学出版社,2006,(1).

[7] 武汉大学计算机学院. 武汉大学计算机学院信息安全专业本科培养方案[M]. 2007.

作者简介

篇10

随着信息技术的发展和网络化应用的普遍推广,各机关组织和企事业单位都开展各类管理业务的信息化建立。企业的发展运作离不开信息系统的安全运行。信息安全通过保护企业信息的机密性、完整性和可用性,不仅保护了企业各类信息资产的安全,还能增强企业的核心竞争力,维护企业的形象和信誉。信息安全对企业的生存和发展的是至关重要的,需要从战略的高度对信息安全进行规划和管理。

一、企业中信息安全管理经常存在的问题

日常安全管理中存在的主要问题,首先是用户安全意识和观念薄弱的占58%,第二位的是网络安全管理人员缺乏培训,占39%;其后,依次是保障经费投入不足、缺乏安全信息共享和安全产品不能满足要求。

不仅在日常管理中,在技术管理方面也存在一定的问题。在CSDN泄密门事件中,专业IT博客“月光博客”撰文表示“整个事件最不可思议的地方在于,像CSDN这样的以程序员和开发为核心的大型网站,居然采用明文存储密码”,“稍微懂一点编程的程序员都知道,为了用户的安全,应该在数据库里保存用户密码的加密信息,这样黑客即使下载了数据库,破解用户密码也不是一件容易的事情” 。可见,有些涉及技术方面的问题,也并不是单纯的技术问题,而是与技术人员安全意识不强、责任心不到位有关。

为了了解企业内部员工在信息安全问题上的看法及所做的努力,我们对一家电子商务企业和一家银行的部分工作人员进行了问卷和访谈调查,发现在企业员工中存在如下一些问题:

1.是信息安全意识方面,被调查者认为信息安全对企业和个人都非常重要。但大多数受访者对信息安全的问题了解很少等。

2.很多受访者认为信息安全属于技术人员的事情;与技术人员的交流非常少;忙于业务,没有时间去处理。

3.是用户认为信息安全管理措施效果不好。有些信息安全行为的规范标准虽然挂在网上或贴在墙上,很少有人去关注;公司发动的信息安全的培训活动没有收到好的效果。

二、信息安全问题的根源

通过对调查的结果进行深入分析,发现导致信息安全事件频发、风险损失严重的原因从根本上来说,有以下几个方面:

1.信息安全是一个多维问题,涉及到企业管理的方方面面。企业在信息安全问题上往往涉及多个部门。有些情况下,无法明确责任,使得信息安全得不到应有的重视以及有效的管理。

2.风险平衡理论认为,人会愿意承担一定程度的风险。这与你采用多少的安全防护措施无关。有时即使有条件可以到达绝对安全的状态,由于人性的缘故,也不会那样去做。

3.信息安全与效率和便利性本身是矛盾的。信息安全加强了,受到的约束也就多了,相应地效率也就降低了。比如简单规律地密码,可以不必费力去记;插入U盘时进行杀毒,必然要耽误时间;没有接入网络,不可能受到网络攻击,但也就失去了网上浏览所需信息、网络交流的自由,因此有人半开玩笑地说:“最安全的计算机是拔掉网络的那台计算机”。

4.由于某些缘故,网络中总是存在黑客,专门窃取信息或破坏网络系统。他们的水平都非常专业,一般的用户难以预防。所谓“道高一尺,魔高一丈”,信息安全的水平总是在这种攻击与防守中进步的。

5.信息安全问题的不确定性。信息安全问题的不确定性主要指是否发生风险的不确定性、无法精确地评估当前所面临的风险以及风险发生所带来的损失的难以把握。

所有这一切因素,都使得信息安全无法得到有效的关注和重视,无法采用有效的措施来预防和避免。这也是导致信息安全事件发生频率居高不下,风险损失较大的主要原因。

三、相关的建议和策略

针对企业信息安全的问题,文章运用管理学的理论进行论述。企业管理涉及四个功能:计划、组织、领导、控制 。

1.从计划的角度来看:企业应当确立信息安全的发展战略,从战略的高度来对待和管理信息安全,确保信息安全所引发的风险达到可以接受的范围之内。从全局角度制定信息安全的策略,确立信息安全的目标,以及实现目标需要的行动方案。

2.从组织的角度来看:人力资源的管理的观点认为,企业的组织结构,取决于组织战略 。在许多企业组织结构中,只有技术部门,没有信息安全管理部门。S.H.(basie) von Solms 曾讨论过,技术管理与安全管理两个部门必须设置成为两个独立的部门,否则无法保证安全评估的客观性。因此有必要设置一个专门负责信息安全管理的部门,这个部门并不负责具体的技术,但是要懂技术,主要是开展企业的安全培训工作、日常的安全管理工作、对存在的风险进行评估,最大限度地降低安全风险。

3.从领导的角度来看:根据wilde的风险平衡理论,一个人会愿意承担一定程度的风险。 “风险平衡”观念会让整个机构处于盲目乐观的过度自信状态,不管是企业的员工还是管理者都倾向于追求效率 ,从而忽视信息安全的投入。

在企业的管理过程中,应当加强信息安全、风险意识方面的培训和教育,增进员工与技术人员的面对面的沟通与交流,开展有效的安全意识活动。

4.从控制的角度来看:对风险的控制要求企业对自己的安全状况不断评估,时时防范。这就要求安全管理部门每隔一定时间向上汇报信息安全的进展情况,定期进行风险评估工作。

文章从管理学的角度来分析信息安全风险管理,对信息安全问题做了实地调查,分析了目前信息安全存在的一些问题,并对存在的问题的根源进行了深入的分析,最后文章运用管理学的理论,从计划、组织、领导、控制四个角度出了相应的建议和策略。

参考文献:

[1]Wilde GJS.The theory of risk homeostasis: implications for safety and health. Risk Analysis 1982;2(04):209-25.

[2]秦志华.企业管理[M].大连:东北财经大学出版社,2011,1.