对信息安全的理解篇1
关键词:信息安全管理;课程建设;激发兴趣
G642.2
一、引言
信息安全是国家安全的基础和关键,信息安全保障能力已成为21世纪综合国力、经济竞争实力和民族生存能力的重要组成部分,尤其在军事领域,信息安全理论与技术的应用,更加广泛而深入。随着信息安全理论与技术的发展,信息安全保障的概念得以提出并得到一致认可,而在信息安全保障的三大要素(人员、技术、管理)中,管理要素的作用和地位越来越得到重视。为适应新时期军事斗争准备的需要,培养适应未来战争需要的高素质复合型信息安全技术人才,我校在信息安全专业开设《信息安全管理》课程。本课程是信息安全专业的专业必修课。
二、课程特点
“信息安全管理”课程与其他课程相比较有很明显的不同,具体说有如下几点:
(1)信息安全管理是随着信息和信息安全的发展而发展起来的,因此该课程涉及到密码学、计算机网络与通信、信息安全技术等多门课程,不存在单一的基础理论来解释信息安全管理各部分的内容及关系,要求学员具有一定的密码学、计算机和信息安全方面的理论知识。
(2)该课程的知识体系与内容既涉及到规范性的标准、法律、法规等内容,又涉及到更新速度较快的新技术。因此本课程要处理好较固定的标准和变化快的新技术之间的关系。
(3)本课程教学注重理论性和实践性相结合。以实践驱动理论学习,以理论学习指导实践。能够拟定简单的信息安全管理解决方案,应用信息安全管理手段构建简单的信息安全管理体系,解决实际安全问题。
三、课程建设目标
针对信息安全专业人才培养需求,结合云计算、大数据、态势感知等新技术的发展趋势,吸收信息安全管理新型案例、科研成果、国家标准等素材,更新优化课程教学内容,修订课程标准。遵循高等教育教育学规律,改革教学方法和手段,使之适应本科教学的规律。分析传统的考核评价机制,改革课程考核方式,激励学员学习的积极性和主动性,力争将本课程建设为校级精品课程。
四、课程建设内容改革与探索
本课程的教学坚持以人为本、以学为主、注重创新意识和综合素质培养的指导思想,坚持将对知识、能力、素质的培养融为一体,将信息安全管理知识学习与实际应用相结合,提高学员获取吸收知识的能力、运用知识的能力,以及实践创新能力。本文主要从教学内容、教学方法、教学实践、考核方式等方面对信息安全管理课程建设内容进行改革与探索。
(1)基于信息安全管理新技术,加强课程内容体系建设
随着云计算、大数据、态势感知等新技术的快速发展,对信息安全管理课程提出了许多新的挑战。本课程教学以信息安全管理基本理论为基础,以信息安全管理体系为内容框架,介绍信息安全管理体系的各项内容及其实施方法,并紧扣学科发展前沿,获取信息安全管理领域的新知识、新信息,将云计算、大数据、网络态势感知等新知识、新技术融入教学内容,不断更新教学内容。
本课程教学按照由浅入深,由总体到部分,从信息安全管理的内涵、作用和地位入手,逐步引入信息安全管理体系的基本概念、构建方法及其实施过程,重点阐述信息安全策略管理、信息安全风险管理、系统安全运维、云计算的安全管理等方面的一般管理方法与技术手段。课程实施过程主要包括:信息安全管理体系、信息安全策略管理、信息安全风险管理、信息系统安全运维和云计算信息安全管理五个单元。
信息安全管理体系单元主要包括:信息安全管理模型;基于iSo/ieC27000信息安全管理体系的内容框架、构建过程、审核与认证;基于等级保护的信息安全管理体系标准,等级保护控制关键点,等级保护安全支撑平台构建方法,跨级跨系统等级保护方法等内容。
信息安全策略在整个信息安全管理中的占有重要地位。从信息安全领域中发生的事件来看,信息安全策略的核心地位变得越来越明显。信息安全策略管理单元主要包括:信息安全策略管理的内涵、作用与地位;信息安全策略的分类;信息安全策略的规划与设计、管理与实施的基本思想、技术与方法等内容。
风险是信息安全中的基本概念,只有在正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。因此必须深刻地认识到我们所面临的风险,加强对信息系统的风险评估,采取有效的风险管理从而降低、避免、规避风险,为信息系统的安全建设提供支撑。信息安全风险管理单元主要包括:信息安全风险管理内涵及相关基本概念;信息安全风险管理的内容和过程;信息安全风险评估的目的和意义;信息安全风险评估的实施过程、方法与技术;信息安全风险度量的基本原理;信息安全风险控制的基本原理与方法等内容。
随着信息安全管理体系和技术体系在企业领域的信息安全建设中不断推进,占信息系统生命周期70%-80%的信息安全运维体系的建设已经越来越受到人们的重视。信息安全运维管理单元主要包括:信息安全运维发展历程;信息安全运维定义;信息安全运维体系构建方法;信息安全运维技术等内容。
应对云时代的安全风险,确保数据的安全可靠,规避信息泄露的风险,需遵循信息安全管理体系的基础逻辑,为承载云计算应用的信息系统建立一套完善的云计算信息安全管理体系。云计算信息安全管理单元主要包括:云计算面临的信息安全问题;云计算信息安全管理标准;云计算安全管理方法和模型;云计算风险评估的特点和方式;云计算的风险控制措施;云计算环境的信息安全管理w系构建方法等内容。
(2)采用多模式融合教学模式,逐步改革课堂教学方法与手段
为了贯彻素质教育、创新教育的思想和教为主导、学为主体的思想,《信息安全管理》课程是集理论、技术、工程实践为一体的综合性工科类学科。根据该课程的教学特点,将讲授、案例式、启发式、问题式、任务驱动式、研讨式、微课、微信学习等多种教学模式相结合,形成一种多模式融合的教学方法,充分激发学生学习的积极性和主动性,提高教学质量。
多模式融合教学方法在教学实施过程中分阶段分模式进行,主要分为以下四个阶段:
第一个阶段,启发式和问题式相融合教学阶段。该阶段主要由教员引导学员从需求出发,通过启发式和问题式教学方法,为学员设置问题场景,启发学员找出需要解决的问题,从而使学员明确学习目标,便于后续学习任务的开展。
第二阶段,讲授式和案例式相融合阶段。该阶段教员主要采用讲授式和案例式等教学方法,对课程中存在的各种定义、体系、模型、内涵等知识点进行讲解,由于这些内容具有理论性强、概念抽象等特点,教员在讲授的过程中不仅要准确解释各个基本概念,清晰阐明基本概念的内涵和相互联系。还需结合具体的案例,力求将抽象概念形象化、具体化,以加深学员对信息安全管理基本概念的理解。
第三个阶段,任务驱动式和研讨式相融合教学阶段。该阶段教员结合实际应用部署具体任务,学员以任务为目标,通过分组研讨逐一解决遇到的问题,最终通过完成任务达到主动学习、深刻理解、灵活应用信息安全管理技术和方法的目的。
第四个阶段,微课和微信方式相融合阶段。该阶段教员首先将课程中关键的知识点以微课的形式,录制成小视频。然后以微信的方式建立学习小组微信群,教员可以通过在课前或课后在群中微课视频,布置预习内容,开展群讨论等方式帮助学员进行预习和复习。于此同时,教员还可以通过微信群进行答疑和成果验收。
(3)强化实验教学,进一步完善、丰富实验内容
《信息安全管理》实验教学是巩固信息安全管理基本理论知识、提高学员信息安全技术应用能力、掌握信息安全管理基本方法和手段的有效途径和重要环节,在《信息安全管理》教学中具有重要作用。
实验教学安排遵循“巩固课堂教学知识,突出实践能力培养”的指导思想,坚持技术验证性实验与综合设计性实验相结合的原则。在内容安排上,对原有的实验内容进行适当的调整,结合信息安全管理新理论和新技术,进一步完善和丰富实验内容。实验涵盖等级保护平台搭建、等级保护验证核查、终端安全核查、风险评估、安全运维方案设计和云端数据安全审计等安全管理中具有代表性的实验,实验成果有实验分析报告、程序设计报告、程序代码、环境搭建等多种形式。
通过实验项目,培养学员基本的信息安全管理实验操作技能和实验思维方法,通过实验验证加深对信息安全管理的理解,培养运用所学知识解决信息安全管理问题的能力,扩展实际应用中信息安全管理实施方案的设计能力,提升信息系统综合安全防御的素养。
(4)探索课程考核方式改革,建立全方位考核机制
通过课程考核考察学员掌握知识和具备能力的情况,检查教学效果,改进教学工作,提高教学质量。因此,对课程考核评价方式的改革与探索也是教学方法改革中的一个重要环节。结合《信息安全管理》课程考核要求,在原有笔试考试的基础上,增加实验成绩,阶段性测试和过程性测试,逐步建立全过程、全方位考核机制。在考核时机上,采用平时考核、阶段性考核和课终考核;在考核形式上,采取笔试、课堂问答、论文研讨、小组汇报、实践操作等方式;在成绩总评分上,期末笔试成绩占60%,平时成绩占20%,实验成绩占20%。基本达到了对学生理论知识、应用能力、方案设计、工程实践等全方位的考核。
五、结束语
为了建设好《信息安全管理》课程,教学团队一方面持续跟踪国内外最新的信息安全管理相关技术的最新研究成果,及时消化吸收,转化到教学内容建设中;一方面持续关注相关课程建设的最新研究进展,借鉴吸收先进的教学理念与方法。从而不断改革教学内容、教学方法和教学手段,保持信息安全管理课程建设各个方面的先进性和新鲜性。与此同时,随着mooCs(massiveopenonlineCourse,大规模开放在线课程)教学模式已成为高等教育发展的新趋势,本课程下一步结合《信息安全管理》课程的特点,尝试将mooCs教学模式与现有教学模式相融合,取长补短充分发挥各自的优势,进一步提高《信息安全管理》课程的教学质量和教学效果。
参考文献:
[1]赵刚.“信息安全管理与风险评估”课程建设思考.中国电力教育.2014.
[2]张晓峰.信息安全课程教学方法探索.电脑知识与技术.2014
[3]姚利民,段文.高校教学方法改革探讨.中国科学大学.2013
[4]徐东华,封化民.信息安全管理的概念与内容体系探究.2008
对信息安全的理解篇2
【关键词】培养模式信息安全人才分层培养分类培养
【中图分类号】G647【文献标识码】a【文章编号】2095-3089(2014)08-0195-01
1.目前信息安全面临的形势
目前,我国网络安全问题日益突出,主要体现在:
(1)计算机系统遭受病毒感染和破坏的情况严重
据20012年调查,我国约95%的计算机用户曾感染病毒,其中,被病毒破坏全部数据的占54%,破坏部分数据的占87%。
(2)电脑黑客活动已形成重要威胁
从国内情况来看,目前我国97%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
(3)网络政治颠覆活动频繁,网络犯罪日渐猖獗
近年来,国内外反动势力利用互联网组党结社,进行针对我国党和政府的非法组织和串联活动。尤其是一些非法组织通过网络渠道,宣传异教邪说,扰乱社会秩序。
(4)云计算带来的新挑战
云计算模式下,所有业务处理都将在服务器端完成,服务器一旦出现问题,将导致所有用户的应用无法运行。
(5)新型网络带来现有安全产品难以应对的新问题
无线网络改变了网络的物理边界形态,使得网络物理边界与安全边界出现了分离,内部主机可能与外部不可信系统共享程序和其它计算机资源,对内部安全造成重大威胁。
2.社会信息化对信息安全人才的需求
社会信息化涉及到电子、通信、计算机、信息等多个学科,信息安全涉及到安全技术、安全服务、安全管理以及公共信息安全等各个方面,社会信息化对信息安全人才的需求主要包括:
(1)“知道了解”型信息安全应用人才
了解信息安全的基本概念、知识和保障信息安全的方法与手段,能够在工作中重视信息安全问题。
(2)“操作维护”型人才
懂得网络信息安全技术的原理与方法,能够正确地配置和利用网络信息系统和设备的安全机制。
(3)“复合管理”型人才
具备政策、经济、信息安全、公共管理等各个方面的知识和能力,综合性强。
(4)“研发创新”型人才
要求全面掌握信息安全学科的基础理论知识和专业知识,具有安全信息系统的设计与实现。
3.信息安全人才培养目标
从信息安全学的学科体系建设入手,以培养多层次、多规格的信息安全人才。未来培养的信息安全人才应具备以下能力:
(1)具备及时发现问题、深入分析问题和独立解决问题的能力
信息安全是一个复杂的、隐蔽性很强的问题,作为信息安全专业的学生应该具有敏锐的眼光和清晰的思路,能够从纷繁复杂的表面现象背后找到实质问题并及时解决。
(2)具备良好的科研素质和团队精神
信息安全专业的学生应当具备与别人进行沟通的能力。另外,网络安全方面的问题往往不是一个人能够解决的,而需要大家一同参与,这就需要团队精神。
(3)具备宽广的知识面和扎实的基础
信息安全问题非常复杂,要想成功地发现网络安全隐患并解决,需要广博深厚的知识。
(4)应具备较强的实践能力
信息安全是工程性很强的一门学科,信息安全专业的学生应当具备很强的动手能力和实践能力,信息安全专业的学生还应当精通一门编程语言,这样才能顺利正确的把自己的想法付诸实现。
(5)具备清晰坚定的法纪观念
国家和各级管理部门了一系列关于网络安全的法律法规,作为这方面未来的从业人员,应带头学习和模范执行包括网络管理在内的信息安全法律法规,并做好宣传工作。
4.信息安全人才培养模式的思考
针对新形势下信息安全面临的挑战,笔者认为坚持分层培养、分类培养,坚持学历教育与培训相结合的培养模式,较适合当今信息安全人才需求特点。
4.1分层培养
(1)信息安全基础层人才培养
课程力图改变企业员工对信息安全的态度,使操作人员知晓信息安全的重要性、企业安全规章制度的含义及其职责范围内需要注意的安全问题。
培养的具体目标包括:①建立对信息安全的正确认识;②掌握信息安全的基本原则和惯例;③清楚可能面临的威胁和风险;④养成良好的安全习惯。
(2)安全技术层人才培养
面向一般的信息安全技术人员,目的是为学员讲授基本的安全技术和理论知识,为掌握全面的信息安全技能打好基础。
培养的具体目标包括:①熟悉基本的安全攻防理论;②掌握基本的安全攻防技术;③提升其安全技术操作水平;④掌握解决安全问题和杜绝安全隐患的技能。
(3)安全管理层人才培养
面向管理职能和信息系统、信息安全管理人员,目的是提升企业整体的信息安全管理水平和能力,帮助企业有效建立信息安全管理体系。
4.2分类培养
学历教育和在职人员培训相结合。
4.2.1学历信息安全人才培养
学历教育在层次上包括从专科、本科、硕士到博士研究生的培养,培养内容具有知识的专业性、理论性和系统性,培养方式以全日制为主,辅以其它学分制教学。
学历信息安全人才培养方式主要有以下几种:
(1)“知道了解”型信息安全应用人才
了解信息安全的基本概念、知识和保障信息安全的方法与手段,能够在今后的工作中重视信息安全问题。
(2)“操作维护”型人才
此类人才主要是指单位网络系统的安全管理员。其要求是懂得网络信息安全技术的原理与方法,能构建安全的网络信息系统,具有基本的安全程序设计能力。
(3)“研发创新”型人才
此类人才熟悉信息技术和信息安全技术。要求全面掌握安全信息系统的理论与技术的知识,具备一定的组织与指导能力。
4.2.2非学历信息安全人才培养
非学历教育培养目标在培养高质量、高水平的信息安全专业技术和行业管理人才的同时,兼顾信息安全知识的普及和信息安全意识的提高。
非学历教育培养可分为信息安全普及教育型、一般技能培训型、安全管理型和信息安全专题研究型。
开展信息安全专业人才非学历教育和人员培训,有助于提升全民信息安全能力和水平。
5.结束语
信息安全威胁日趋严重,信息安全人才培养迫在眉睫。本文分析了当前我国信息安全面临的挑战,阐述了新形势下社会信息化对信息安全人才的需求和培养目标,提出了分层培养、分类培养,坚持学历教育与培训相结合的信息安全人才培养模式,为信息安全人才的培养提供了有益的借鉴。
参考文献:
[1]单来祥,信息安全专业学生应具备哪些知识和能力,计算机教育,2005(1)
对信息安全的理解篇3
论文摘要:随着我国信息技术的不断发展,对中小企业电子信息安全的保护问题也成为人们关注的焦点。本文以电子信息安全为主体,介绍中小企业信息化建设,对电子信息安全技术进行概述,提出主要的安全要素,找出解决中小企业中电子信息安全问题的策略。
在企业的管理信息系统中有众多的企业文件在流转,其中肯定有重要性文件,有的甚至涉及到企业的发展前途,如果这些信息在通用过网络传送时被竞争对手或不法分子窃听、泄密、篡改或伪造,将会严重威胁企业的发展,所以,中小企业电子信息安全技术的研究具有重要意义。
一、中小企业的信息化建设意义
在这个网络信息时代,企业的信息化进程不断发展,信息成了企业成败的关键,也是管理水平提高的重要途径。如今企业的商务活动,基本上都采用电子商务的形式进行,企业的生产运作、运输和销售各个方面都运用到了信息化技术。如通过网络收集一些关于原材料的质量,价格,出产地等信息来建立一个原材料信息系统,这个信息系统对原材料的采购有很大的作用。通过对数据的分析,可以得到跟多的采购建议和对策,实现企业电子信息化水准。有关调查显示,百分之八十二的中小企业对网站的应还处于宣传企业形象,产品和服务信息,收集客户资料这一阶段,而电子商务这样关系到交易的应用还不到四分之一,这说明企业还未充分开发和利用商业渠道信息。中小企业信息化时代已经到来,企业应该加快信息化的建设。
二、电子信息安全技术阐述
1、电子信息中的加密技术
加密技术能够使数据的传送更为安全和完整,加密技术分为对称和非对称加密两种。其中对称加密通常通过序列密码或者分组机密来实现,包括明文、密钥、加密算法以及解密算法等五个基本组成成分。非对称加密与对称加密有所不同,非对称加密需要公开密钥和私有密钥两个密钥,公开密钥和私有密钥必须配对使用,用公开密钥进行的加密,只有其对应的私有密匙才能解密。用私有密钥进行的加密,也只有用其相应的公开密钥才能解密。
加密技术对传送的电子信息能够起到保密的作用。在发送电子信息时,发送人用加密密钥或算法对所发的信息加密后将其发出,如果在传输过程中有人窃取信息,他只能得到密文,密文是无法理解的。接受着可以利用解密密钥将密文解密,恢复成明文。
2、防火墙技术
随着网络技术的发展,一些邮件炸弹,病毒木马和网上黑客等对网络的安全也造成了很大的威胁。企业的信息化使其网络也遭到同样的威胁,企业电子信息的安全也难以得到保证。针对网络不安全这种状况,最初采取的一种保护措施就是防火墙。在我们的个人电脑中防火墙也起到了很大的作用,它可以阻止非黑客的入侵,电脑信息的篡改等。
3、认证技术
消息认证和身份认证是认证技术的两种形式,消息认证主要用于确保信息的完整性和抗否认性,用户通过消息认证来确认信息的真假和是否被第三方修改或伪造。身份认证使用与鉴别用户的身份的,包括识别和验证两个步骤。明确和区分访问者身份是识别,确认访问者身份叫验证。用户在访问一些非公开的资源时必须通过身份认证。比如访问高校的查分系统时,必须要经过学号和密码的验证才能访问。高校图书馆的一些资源要校园网才能进行访问,非校园网的不能进入,除非付费申请一个合格的访问身份。
三、中小企业中电子信息的主要安全要素
1、信息的机密性
在今天这个网络时代,信息的机密性工作似乎变得不那么容易了,但信息直接代表着企业的商业机密,如何保护企业信息不被窃取,篡改,滥用以及破坏,如何利用互联网进行信息传递又能确保信息安全性已成为各中小企业必须解决的重要问题。
2、信息的有效性
随着电子信息技术的发展,各中小企业都利用电子形式进行信息传递,信息的有效性直接关系的企业的经济利益,也是个企业贸易顺利进行的前提条件。所以要排除各种网络故障、硬件故障,对这些网络故障带来的潜在威胁加以控制和预防,从而确保传递信息的有效性。
3、信息的完整性
企业交易各方的经营策略严重受到交易方的信息的完整性影响,所以保持交易各方的信息的完整性是非常重要对交易各方都是非常重要的。在对信息的处理过程中要预防对信息的随意生成、修改,在传送过程中要防止信息的丢失,保持信息的完整性是企业之间进行交易的基础。
四、解决中小企业中电子信息安全问题的策略
1、构建中小企业电子信息安全管理体制
解决信息安全问题除了使用安全技术以外,还应该建立一套完善的电子信息安全管理制度,以确保信息安全管理的顺利进行。在一般中小企业中,最初建立的相关信息管理制度在很大程度上制约着一个信息系统的安全。如果安全管理制度出了问题,那么围绕着这一制度来选择和使用安全管理技术及手段将无法正常进行,信息的安全性就得不到保证。完善,严格的电子信息安全管理制度对信息系统的安全影响很大。在企业信息系统中,如果没有严格完善的信息安全管理制度,电子信息安全技术和相关的安全工具是不可能发挥应有的作用的。
2、利用企业的网络条件来提供信息安全服务
很多企业的多个二级单位都在系统内通过广域网被联通,局域网在各单位都全部建成,企业应该利用这种良好的网络条件来为企业提供良好的信息安全服务。通过企业这一网络平台技术标准,安全公告和安全法规,提供信息安全软件下载,安全设备选型,提供在线信息安全教育和培训,同时为企业员工提供一个交流经验的场所。
3、定期对安全防护软件系统进行评估、改进
随着企业的发展,企业的信息化应用和信息技术也不断发展,人们对信息安全问题的认识是随着技术的发展而不断提高的,在电子信息安全问题不断被发现的同时,解决信息安全问题的安全防护软件系统也应该不断的改进,定期对系统进行评估。
总之,各中小企业电子星系安全技术包含着技术和管理,以及制度等因素,随着信息技术的不断发展,不仅中小企业办公室逐渐趋向办公自动化,而且还确保了企业电子信息安全。
参考文献:
[1]温正卫;信息安全技术在电子政务系统中的应用[J];软件导刊,2010
闫兵;企业信息安全概述及防范[J];科学咨讯,2010
对信息安全的理解篇4
除了黑客的攻击、病毒的蔓延外,以网络为工具的犯罪行为在逐渐增多。网络色情泛滥成灾,严重危害未成年人的身心健康;网络商务备受欺诈的困扰,有的信用卡被盗刷,有的购买的商品石沉大海,有的发出商品却收不回货款;软件、影视、唱片的著作权受到盗版行为的严重侵犯,商家损失之大无可估计;在网络上肆意污辱、诽谤他人成为常态,网络经常沦为进行人身攻击的工具。对计算机相关专业学生进行信息安全与保密课程教学可以有效遏止病毒的蔓延,减少网络犯罪。当前国内各行各业对信息安全人才的需求量特别大,高校信息安全专业培养的信息安全专业人才已远远不能满足社会对信息安全人才的需要,人才的严重短缺,阻碍了我国信息安全事业的快速发展。利用与信息安全有密切关系的计算机相关专业培养信息安全初、中级技术人员是解决我国信息安全人才短缺问题的有效方法之一。目前我国大部分高职院校设置了计算机信息管理、计算机应用技术、计算机网络、计算机软件、信息安全技术等专业,但是,除了信息安全技术专业外,大部分计算机相关专业没有开设信息安全与保密课程。在高职院校计算机类专业中全面开设信息安全课程,可使每一个从事与计算机相关工作的学生都懂得这方面的知识,使学生在扎实的非信息安全知识体系下较为系统地了解信息安全基本理论、技术和方法,从而培养出具有计算机学科特色的复合型信息安全人才,逐步改变我国信息安全专业人才匮乏的现状。
二、高职计算机相关专业开设信息安全与保密课程的必要性
1.社会对信息安全技术人才需求量大。当前国内各行各业对信息安全人才的需求量特别大,高校信息安全专业培养的信息安全专业人才已远远不能满足社会对信息安全人才的需要,人才的严重短缺,阻碍了我国信息安全事业的快速发展。利用与信息安全有密切关系的计算机相关专业培养信息安全初、中级技术人员是解决我国信息安全人才短缺问题的有效方法之一。
2.计算机病毒蔓延,网络犯罪越演越烈。除了黑客的攻击、病毒的蔓延外,以网络为工具的犯罪行为也在逐渐增多。网络色情泛滥成灾,严重危害未成年人的身心健康;网络商务备受欺诈的困扰,有的信用卡被盗刷,有的购买的商品石沉大海,有的发出商品却收不回货款;软件、影视、唱片的著作权受到盗版行为的严重侵犯,商家损失之大无可估计;在网络上肆意污辱、诽谤他人成为常态,网络经常沦为进行人身攻击的工具。
三、高职计算机相关专业信息安全与保密课程教学存在的问题
1.专业教师欠缺,教师对信息安全与保密课程教学认识不足。由于历史原因,大部分高职院校教师不是信息安全技术专业毕业的,或没有系统地学习信息安全的专业知识,同时对高职计算机相关专业进行信息安全与保密课程教学认识不足,造成大部分计算机相关专业没有开设信息安全与保密课程。
2.没有合适的教材,可操作项目案例少。信息安全与保密课程原属于信息安全技术专业的专业基础课程,教材完全是针对信息安全技术专业学生或本科层次学生编写的,大部分非信息安全技术专业学生很难接受现有教材中的知识点。同时缺少可操作的项目案例,很多内容不能实践操作。
3.教学内容多且难学。信息安全与保密课程教学内容有:信息安全概述、密码学基础、密钥分配与管理技术、访问控制、防火墙技术、入侵检测技术、病毒、信息安全应用软件、企业与个人信息安全、web的安全性、网络安全。教学内容多,涉及密码学、信息管理、法律、数学等多方面知识,计算机相关专业学生学习难度大。
四、教学内容设置
1.计算机相关专业的课程体系与信息安全技术专业的课程体系相近,需要增加信息安全与保密课程,讲解如信息安全有关概念、防火墙及病毒等知识,使学生能够胜任信息安全相关工作。
2.内容选择要新颖、实用性强,适应最新技术发展。信息安全与保密课程的内容比较新,没有对应教材适合计算机相关专业,因此这些专业学生学习本课程时所选用教材往往参考信息安全专业。这样造成大多数学生认为该课程内容太抽象,理论性太强,学习难度太大,实用性不强,大部分学生学完本课程后,对计算机出现的一些安全问题仍旧不能解决。因此在教学内容的选取上,以及常用杀毒软件和防火墙的使用,可以适当增加常用加解密软件和数据备份与恢复技术。
3.注重信息安全法律法规的学习,注重信息安全职业道德教育。调查显示大部分威胁信息安全的因素是人们对信息安全法律法规淡薄和忽视。很多技术人员由于好奇或为了表现自己的才能进行信息犯罪。因此需要把信息安全的法律法规作为必须学习的内容,使学生明白哪些行为是信息犯罪,要承担相应的法律责任,从而自觉地遵守有关法律法规。
4.针对课程教学内容,设置不同的信息安全解决方案项目,并根据项目化教学的具体要求和课时的安排分解成若干子项目,使子项目能顺利完成。项目设置如下表所示:
五、教学策略
1.对信息安全与保密课程的知识主要讲解其原理和应用,不需要注重细节和论证。例如,在讲述DeS算法时,我们首先讲述算法的原理框图,然后使用DeS加解密软件,向学生演示数据经DeS算法加密及解密之后的结果,使学生对算法有个感性的认识,促进对加解密算法思想本质的理解,而对于算法如何进行置换、如何进行替代则不作叙述。这样教学,既能活跃课堂气氛,又能充分调动学生的学习积极性。
2.根据高职学生特点,采用项目化教育。
(1)介绍子项目任务及相关理论知识每次课都应先确定教学任务,并对任务子模块的功能进行讲解和演示,使学生明确所要完成的工作,这样能让学生真实地看到目标,激发学生学习理论知识的兴趣,为进一步学习做好准备。
(2)操作演示依据项目特点剖析项目功能模块、关键技术、具体实施方法、步骤等,并进行操作演示。
(3)指导学生完成在教师的指导下,学生在真实的环境中模仿操作完成。同时,学生通过相互讨论、查阅资料等形式搜索与项目相关的知识,提升自学和吸纳补充新知识的能力。
(4)总结提高在完成教学模块的过程中对学生进行针对性总结,尤其在操作步骤、知识掌握程度及探索知识等情况进行详细的点评,使学生巩固所学知识和操作技巧。
对信息安全的理解篇5
关键词:信息安全;课程教学;实践教学
中图分类号:G424 文献标识码:B 文章编号:1673-8454(2012)05-0067-02
一、引言
信息安全人才培养是国家信息安全保障体系建设的基础和先决条件.自2001年至今国内一些高校先后设立了信息安全专业和信息对抗技术专业,已经为社会输送了上万信息安全专业的本科人才。与此同时,为普及信息安全教育,近年来许多高校也面向非信息安全专业学生开设了信息安全类选修课程。
我院自2005年开始就为计算机科学与技术、电子商务和信息管理与信息系统三个专业开设了密码编码学与网络安全、计算机安全技术两门专业选修课程,考虑到教学过程中不同专业在学习信息安全类课程时的不同特点.2007年调整教学计划后为信息管理与信息系统和电子商务专业开设了信息安全技术选修课程,为计算机科学与技术专业开设了网络安全技术课程。
二、教学目标
信息安全类课程具有涉及面广、内容和知识体系更新快、对先修课程要求高、理论与实践联系紧密等特点。并且对于非信息安全专业的学生来说教学重点应该是扩展学生知识面,培养学生的实际动手能力,为将来可能面对的信息安全问题的解决和学习奠定基础。因此我院信息安全类课程的教学目标被定位为培养学生的信息安全意识,普及常用的信息安全技术,使学生具备信息系统中的安全防卫能力和新技术的应用能力。…
三、教学过程中的难点问题
非信息安全专业的信息安全课程大部分都是该专业的专业选修课程,一般都是在大三下学期和大四上学期开设,此时的学生已经具备了一定的专业基础知识,但对信息安全类课程来说如何做到在一门课程中既要覆盖信息安全专业的主要知识领域,同时还要针对不同的专业特点选用相应的教学方法,这些苛刻的教学需求使得该类课程在教学过程中遇到了各种各样的难题,下面将从课堂教学和实践教学两个方面分别阐述在教学工作中遇到的难题和采用的解决办法。
1.课堂教学环节
(1)教学内容较多和学时偏少的矛盾
按照各专业的前导课程,遵循培养信息安全意识和普及常用的信息安全技术的原则。制定了如表1所示的教学内容。
其中只有信息系统安全与网络安全技术这两个部分的教学内容和课时分配根据教授专业的不同而有所侧重和区别。总体来说,在课程内容的设置上以培养信息安全技术应用人才为目的,扩大学生的信息安全知识面为导向,教学过程中不过多地纠缠于理论细节,以此来解决课程内容丰富而学时较少的矛盾。
(2)部分教学内容枯燥,影响了学生的学习兴趣
根据学生的教学意见反馈调查发现,影响学生学习兴趣的教学内容主要集中在密码学基础这一知识领域中。密码学基础是信息安全技术的基础知识,也是学习信息安全技术过程中必不可少的知识组成,因此为了提高学生的学习兴趣,在教学过程中采取了如下教学方法。
首先。将一些相关的数学基础知识整理成自学材料并引导学生自学,以降低学生在课堂上学习密码学知识的枯燥感;其次,在讲授密码学的基础知识时,多穿插一些小故事和影视作品的情节,以此来提高学生对密码学基础知识的学习兴趣。如:以电影《达芬奇密码》中的故事情节为线索,为大家讲解古典密码算法中置换类算法的加密思想以及密码分析中暴力破译法的基本原理:然后,在介绍现代密码算法时,应重点介绍主流算法.并配合一些Flas形象生动地帮助学生理解算法的加密解密原理。此外,还可以推荐一些和密码学相关的小说,如《密码故事――人类智慧的另类较量》,供学生课外阅读。
这些教学方法极大地提高了学生学习密码学知识的兴趣,取得了很好的教学效果,受到学生的一致好评。
(3)如何获取恰当的教学案例带动课堂教学
对于课程中信息系统安全和网络安全部分的知识点,如果在课堂教学过程中只是注重原理的讲解,会使得教学过程显得极为生硬抽象,不利于学生的理解和应用。因此,在授课过程中以案例为驱动,带动基本原理的讲解,是较为合理的教学方法。而如何获取恰当的教学案例,是困扰教师的难点问题。
目前,教学案例的获取方式主要有两种,一种是由教师亲自整理制作;另一种就是参考其他院校相关课程选用的教学案例。因此,在今后的课程建设过程中将重点考虑引入课程教学软件,以进一步解决教学案例匮乏和更新速度慢等问题。
(4)学习方式被动
学生往往只是被动地接受课堂的灌输式教育,如何提高学生的学习积极性,让学生主动地去学习信息安全课程,同样也是教学过程中的难点问题。
因此在课堂教学环节,尝试采取了学生分组的教学形式,并在课堂上组织分组讨论、演讲比赛、分组对抗等多种教学活动,通过多样化教学,充分调动学生的学习主动性和积极性,活跃课堂气氛,尤其是分组进行的演讲比赛,学生们通过自己动手搜集整理演讲材料和赛后讨论,加深了对课程内容的认识和理解。
2.实践教学环节
信息安全是一门较新的学科,同时也是跟实际联系非常密切的技术,因此实践教学环节是教学过程中必不可少的。而如何在教学资源有限的条件下找到既能培养学生的实践动手能力又能调动学生兴趣的实验内容是非信息安全专业信息安全类课程实践教学环节的难点问题。
我院信息安全类课程设置了如表2所示的实验项目。
其中所有的选做实验项目的实验指导书以及相关软件等材料都上传到公共邮箱中,并由教师引导学生利用课余时间来独立完成。实践表明,这些实验项目提高学生的学习兴趣,同时又锻炼了学生的动手能力.为将来在工作中可能遇到的一些安全问题奠定了基础。
四、教学方法的进一步探索与研究
考虑到社会各界对信息安全人才需求的变化,在今后的教学计划调整中准备将所有信息安全类课程合并为一门公共选修课程――信息安全概论,结合这一变化对信息安全概论的教学工作需要做出相应的调整和改进。
首先需要为信息安全概论增加前导课程汇编语言程序设计,该课程以win32汇编语言程序设计为主要教学内容,以培养学生熟悉掌握win32汇编程序设计的方法和技巧,并以具备分析win32汇编程序、编制和调试汇编程序的能力为教学目标。
对信息安全的理解篇6
论文摘要:文章首先分析了信息安全外包存在的风险,根据风险提出信息安全外包的管理框架,并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施。文章以期时信息安全外包的风险进行控制,并获得与外包商合作的最大收益。
1信息安全外包的风险
1.1信任风险
企业是否能与信息安全服务的外包商建立良好的工作和信任关系,仍是决定时候将安全服务外包的一个重要因素。因为信息安全的外包商可以访问到企业的敏感信息,并全面了解其企业和系统的安全状况,而这些重要的信息如果被有意或无意地对公众散播出去,则会对企业造成巨大的损害。并且,如若企业无法信任外包商,不对外包商提供一些关键信息的话,则会造成外包商在运作过程中的信息不完全,从而导致某些环节的失效,这也会对服务质量造成影响。因此,信任是双方合作的基础,也是很大程度上风险规避的重点内容。
1.2依赖风险
企业很容易对某个信息安全服务的外包商产生依赖性,并受其商业变化、商业伙伴和其他企业的影响,恰当的风险缓释方法是将安全服务外包给多个服务外包商,但相应地会加大支出并造成管理上的困难,企业将失去三种灵活性:第一种是短期灵活性,即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力,即在短期到中期的事件范围内所需的灵活性,这是一种以新的方式处理变革而再造业务流程和战略的能力,再造能力即包括了信息技术;第三种灵活性就是进化性,其本质是中期到长期的灵活性,它产生于企业改造技术基本设施以利用新技术的时期。进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力。
1.3所有权风险
不管外包商提供服务的范围如何,企业都对基础设施的安全操作和关键资产的保护持有所有权和责任。企业必须确定服务外包商有足够的能力承担职责,并且其服务级别协议条款支持这一职责的履行。正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到,应该将信息安全作为其首要责任,并进行安全培训课程,增强常规企业的安全意识。
1.4共享环境风脸
信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险,因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器),这将会增加一个企业访问另一企业敏感信息的可能性。这对企业而言也是一种风险。
1.5实施过程风险
启动一个可管理的安全服务关系可能引起企业到服务外包商,或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡,这一切都可能引起新的风险。企业应该要求外包商说明其高级实施计划,并注明完成日期和所用时间。这样在某种程度上就对实施过程中风险的时间期限做出了限制。
1.6合作关系失败将导致的风险
如果企业和服务商的合作关系失败,企业将面临极大的风险。合作关系失败带来的经济损失、时间损失都是不言而喻的,而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁。这种合作关系在任何阶段都有可能失败,如同其他商业关系一样,它需要给予足够的重视、关注,同时还需要合作关系双方进行频繁的沟通。
2信息安全外包的管理框架
要进行成功的信息安全外包活动,就要建立起一个完善的管理框架,这对于企业实施和管理外包活动,协调与外包商的关系,最大可能降低外包风险,从而达到外包的目的是十分重要的。信息安全外包的管理框架的内容分为几个主体部分,分别包括企业协同信息安全的外包商确定企业的信息安全的方针以及信息安全外包的安全标准,然后是对企业遭受的风险进行系统的评估.并根据方针和风险程度.决定风险管理的内容并确定信息安全外包的流程。之后,双方共同制定适合企业的信息安全外包的控制方法,协调优化企业的信息安全相关部门的企业结构,同时加强管理与外包商的关系。
3信息安全外包风险管理的实施
3.1制定信息安全方针
信息安全方针在很多时候又称为信息安全策略,信息安全方针指的是在一个企业内,指导如何对资产,包括敏感性信息进行管理、保护和分配的指导或者指示。信息安全的方针定义应该包括:(1)信息安全的定义,定义的内容包括信息安全的总体目标、信息安全具体包括的范围以及信息安全对信息共享的重要性;(2)管理层的目的的相关阐述;(3)信息安全的原则和标准的简要说明,以及遵守这些原则和标准对企业的重要性;(4)信息安全管理的总体性责任的定义。在信息安全方针的部分只需要对企业的各个部门的安全职能给出概括性的定义,而具体的信息安全保护的责任细节将留至服务标准的部分来阐明。
3.2选择信息安全管理的标准
信息安全管理体系标准bs7799与信息安全管理标准is013335是目前通用的信息安全管理的标准:
(1)bs7799:bs7799标准是由英国标准协会指定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,标准包括如下两部分:bs7799-1;1999《信息安全管理实施细则》;bs7799-2:1999((信息安全管理体系规范》。
(2)is013335:is013335《it安全管理方针》主要是给出如何有效地实施it安全管理的建议和指南。该标准目前分为5个部分,分别是信息技术安全的概念和模型部分;信息技术安全的管理和计划部分;信息技术安全的技术管理部分;防护和选择部分以及外部连接的防护部分。
3.3确定信息安全外包的流程
企业要根据企业的商业特性、地理位置、资产和技术来对信息安全外包的范围进行界定。界定的时候需要考虑如下两个方面:(1)需要保护的信息系统、资产、技术;(2)实物场所(地理位置、部门等)。信息安全的外包商应该根据企业的信息安全方针和所要求的安全程度,识别所有需要管理和控制的风险的内容。企业需要协同信息安全的外包商选择一个适合其安全要求的风险评估和风险管理方案,然后进行合乎规范的评估,识别目前面临的风险。企业可以定期的选择对服务外包商的站点和服务进行独立评估,或者在年度检查中进行评估。选择和使用的独立评估的方案要双方都要能够接受。在达成书面一致后,外包商授予企业独立评估方评估权限,并具体指出评估者不能泄露外包商或客户的任何敏感信息。给外包商提供关于检查范围的进一步消息和细节,以减少任何对可用性,服务程度,客户满意度等的影响。在评估执行后的一段特殊时间内,与外包商共享结果二互相讨论并决定是否需要解决方案和/或开发计划程序以应对由评估显示的任何变化。评估所需要的相关材料和文档在控制过程中都应该予以建立和保存,企业将这些文档作为评估的重要工具,对外包商的服务绩效进行考核。评估结束后,对事件解决方案和优先级的检查都将记录在相应的文件中,以便今后双方在服务和信息安全管理上进行改进。
3.4制定信息安全外包服务的控制规则
依照信息安全外包服务的控制规则,主要分为三部分内容:第一部分定义了服务规则的框架,主要阐明信息安全服务要如何执行,执行的通用标准和量度,服务外包商以及各方的任务和职责;第二部分是信息安全服务的相关要求,这个部分具体分为高层服务需求;服务可用性;服务体系结构;服务硬件和服务软件;服务度量;服务级别;报告要求,服务范围等方面的内容;第三部分是安全要求,包括安全策略、程序和规章制度;连续计划;可操作性和灾难恢复;物理安全;数据控制;鉴定和认证;访问控制;软件完整性;安全资产配置;备份;监控和审计;事故管理等内容。
3.5信息安全外包的企业结构管理具体的优化方案如下:
(1)首席安全官:cso是公司的高层安全执行者,他需要直接向高层执行者进行工作汇报,主要包括:首席执行官、首席运营官、首席财务官、主要管理部门的领导、首席法律顾问。cso需要监督和协调各项安全措施在公司的执行情况,并确定安全工作的标准和主动性,包括信息技术、人力资源、通信、法律、设备管理等部门。
(2)安全小组:安全小组的人员组成包括信息安全外包商的专业人员以及客户企业的内部it人员和信息安全专员。这个小组的任务主要是依照信息安全服务的外包商与企业签订的服务控制规则来进行信息安全的技术性服务。
(3)管理委员会:这是信息安全服务外包商和客户双方高层解决问题的机构。组成人员包括双方的首席执行官,客户企业的cio和cso,外包商的项目经理等相关的高层决策人员。这个委员会每年召开一次会议,负责审核年度的服务水平、企业的适应性、评估结果、关系变化等内容。
(4)咨询委员会:咨询委员会的会议主要解决计划性问题。如服务水平的变更,新的技术手段的应用,服务优先等级的更换以及服务的财政问题等,咨询委员会的成员包括企业内部的ti’人员和安全专员,还有财务部门、人力资源部门、业务部门的相关人员,以及外包商的具体项目的负责人。
(6)安全工作组:安全工作组的人员主要负责解决信息安全中某些特定的问题,工作组的人员组成也是来自服务外包商和企业双方。工作组与服务交换中心密切联系,将突出的问题组建成项目进行解决,并将无法解决的问题提交给咨询委员会。
(7)服务交换中心:服务交换中心由双方人员组成,其中主要人员是企业内部的各个业务部门中与信息安全相关的人员。他们负责联络各个业务部门,发掘出企业中潜在的信息安全的问题和漏洞,并将这些问题报告给安全工作组。
(8)指令问题管理小组:这个小组的人员组成全部为企业内部人员,包括信息安全专员以及各个业务部门的负责人。在安全小组的技术人员解决了企业中的安全性技术问题之后,或者,是当cso了关于信息安全的企业改进方案之后,这些解决方案都将传送给指令问题管理小组,这个小组的人员经过学习讨论后,继而将其到各个业务部门。
(9)监督委员会:这个委员会全部由企业内部人员组成。负责对外包商的服务过程的监督。
对信息安全的理解篇7
摘要:该文对企业信息安全所面临的风险进行了深入探讨,并提出了对应的解决安全问题的思路和方法。
随着计算机信息化建设的飞速发展而信息系统在企业中所处的地位越来越重要。信息安全随着信息技术的不断发展而演变,其重要性日益越来越明显,信息安全所包含的内容、范围也不断的变化。信息安全有三个中心目标。保密性:保证非授权操作不能获取受保护的信息或计算机资源。完整性:保证非授权操作小能修改数据。有效性:保证非授权操作不能破坏信息或计算机资源。信息安全的重点放在了保护信息,确保信息在存储,处理,传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。
1企业信息安全风险分析
计算机信息系统在企业的生产、经营管理等方面发挥的作用越来越重要,如果这些信息系统及网络系统遭到破坏,造成数据损坏,信息泄漏,不能正常运行等问题,则将对企业的生产管理以及经济效益等造成不可估量的损失,信启、技术在提高生产效率和管理水平的同时,也带来了不同以往的安全风险和问题。
信息安全风险和信息化应用情况密切相关,和采用的信息技术也密切相关,公司信息系统面临的主要风险存在于如下几个方面。
计算机病毒的威胁:在业信息安全问题中,计算机病毒发生的频率高,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的。
在目前的局域网建成,广域网联通的条件下,计算机病毒的传播更加迅速,单台计算机感染病毒,在短时间内可以感染到通过网络联通的所有的计算机系统。病毒传播速度,感染和破坏规模与网络尚未联通之时相比,高出几个数量级。
网络安全问题:企业网络的联通为信息传递提供了方便的途径。业有许多应用系统如:办公自动化系统,营销系统,电子商务系统,eRp,CRm,远程教育培训系统等,通过广域网传递数据。目前大部分企业都采用光纤的方式连接到互联网运营商,企业内部职工可以通过互联网方便地浏览网络查阅、获取信息,即时聊天、发送电子邮件等。
如何加强网络的安全防护,保护企业内部网上的信息系统和信息资源的安全,保证对信息网络的合法使用,是目前一个热门的安全课题,也是当前企业面临的一个非常突出的安全问题。
信息传递的安全不容忽视:随着办公自动化,财务管理系统,各个企业相关业务系统等生产,经营方面的重要系统投入在线运行,越来越多的重要数据和机密信息都通过企业的内部局域网来传输。
网络中传输的这些信息面临着各种安全风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。
用户身份认证和信息系统的访问控制急需加强:企业中的信息系统一般为特定范围的用户使用,信息系统中包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计r用户管理功能,在系统中建立用户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定能够程度上加强系统的安全性。但在实际应用中仍然存在一些问题。
一是部分应用系统的用户权限管理功能过于简单,能灵活实现更细的权限控制。二是各应用系统没有一个统一的用户管理,企业的一个员工要使用到好几个系统时,在每个应用系统中都要建立用户账号,口令和设置权限,用户自己都记不住众多的账号和口令,使用起来非常不方便,更不用说账号的有效管理和安全了。
如何为各应用系统提供统一的用户管理和身份认证服务,是我们开发建设应用系统时必须考虑的一个共性的安全问题。
2解决信息安全问题的基本原则
企业要建立完整的信息安全防护体系,必须根据企业实际情况,,结合信息系统建设和应用的步伐,统筹规划,分步实施。
2.1做好安全风险的评估
进行安全系统的建设,首先必须全面进行信息安全风险评估,找出问题,确定需求,制定策略,再来实施,实施完成后还要定期评估和改进。
信息安全系统建设着重点在安全和稳定,应尽量采用成熟的技术和产品,不能过分求全求新。
培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行,才能真正发挥信息安全防护系统和设备的作用。
2.2采用信息安全新技术,建立信息安全防护体系
企业信息安全面临的问题很多,我们可以根据安全需求的轻重缓急,解决相关安全问题的信息安全技术的成熟度综合考虑,分步实施。技术成熟的,能快速见效的安全系统先实施。
2.3根据信息安全策略,出台管理制度,提高安全管理水平
信息安全的管理包括了法律法规的规定,责任的分化,策略的规划,政策的制订,流程的制作,操作的审议等等。虽然信息安全“七分管理,三分技术”的说法不是很精确,但管理的作用可见一斑。
3解决信息安全问题的思路和方法企业的信息安伞管理要从以下几个方面人手,相辅相成、互相配合。
3.1从技术手段入手保证网络的安全
网络安全指由于网络信息系统基于网络运行和网络问的互联互通造成的物理线路和连接的安全、网络系统安全、操作系统安全、应用服务安全、人员管理安全几个方面。网络由于其本身开放性所带来的各个方面的安全问题是事实存在的。我们在正视这一事实的基础上,在承认不可能有绝对安全的网络系统的前提下,努力探讨如何加强网络安全防范性能,如何通过安全系列软件、硬件及相关管理手段提高网络信息系统的安全性能,降低安全风险,及时准确地掌握网络信息系统的安全问题及薄弱环节,及早发现安全漏洞、攻击行为井针对性地做出预防处理。
在攻击发生过程中,尽早发现,及时阻断。在攻击发十后,尽快恢复并找出原因。
保证网络安全的技术于段包括:过滤、信息分析临控、安全管理、扫描评估、入侵侦测、实时响应、防病毒保护、存取控制等。其措施有:网络互联级防火墙、网络隔离级防火墙、网络安全漏洞扫描评估系统、操作系统安全漏洞扫描评估系统、信息流捕获分析系统、安全实时监控系统、入侵侦洲与实时响应系统、网络病毒防护系统、强力存取控制系统等。信息安全指数据的保密性、完整性、真实性、可用性、不町否认性及可控性等安全,技术手段包括加密、数字签名、身份认证、安全协议(set、ss1)及ca机制等。文化安全主要指有害信息的传播对我国的政治制度及文化传统的威胁,主要表现在舆论宣传方面。主要柯:黄色、反动信息泛滥,敌对的意识形态信息涌入,瓦联网被利用作为串联工具等。其技术手段包括:信息过滤、设置网关、监测、控管等,同时要强有力的管理措施配合,才可取得良好的效果。
3.2建立、健全企业息安全管理制度
任何一个信息系统的安全,在很大程度上依赖于最初设计时制定的网络信息系统安全策略及相关管理策略。因为所有安全技术和手段,都围绕这一策略来选择和使用,如果在安全管理策略上出了问题,相当于没有安全系统。同时,从大角度来看,网络信息系统安全与严格、完善的管理是密不可分的。在网络信息系统安全领域,技术手段和相关安全工具只是辅助手段,离开完善的管理制度与措施,是没法发挥应有的作用并建设良好的网络信息安全空间的。
国家在信息安全方面了一系列的法律法规和技术标准,对信息网络安全进行了明确的规定,并有专门的部门负责信息安垒的管理和执法。企业首先必须遵守国家的这些法律法规和技术标准,企业也必须依据这些法律法规,来建立自己的管理标准,技术体系,指导信息安全工作。学习信息安全管理国际标准,提升企业信息安全管理水平国际上的信息技术发展和应用比我们先进,在信息安全领域的研究起步比我们更早,取得了很多的成果和经验,我们可以充分利用国际标准来指导我们的工作,提高水平,少走弯路。
信息安全是企业信息化工作中一项重要而且长期的工作,为此必须各单位建立一个信息安全工作的组织体系和常设机构,明确领导,设立专责人长期负责信息安全的管理工作和技术工作,长能保证信息安全工作长期的,有效的开展,才能取得好的成绩。
3.3充分利用企业网络条件,提供全面。及时和快捷的信息安全服务
很多企业通过广域网联通了系统内的多个二级单位,各单位的局域网全部建成,在这种良好的网络条件下,作为总公司一级的信息安全技术管理部门应建立计算机网络应急处理的信息与技术支持平台,安全公告,安全法规和技术标准,提供信息安全设备选型、安全软件下载,搜集安全问题,解答用户疑问,提供在线的信息安全教育培训,并为用户提供一个相互交流经验的场所。网络方式的信息服务突破了时间,空间和地域的限制,是信息安全管理和服务的重要方式。
3.4定期评估,不断的发展,改进,完善
企业的信息化应用是随着企业的发展而不断发展的,信息技术更是日新月异的发展的,安全防护软件系统由于技术复杂,在研制开发过程中不可避免的会出现这样或者那样的问题,这势必决定了安全防护系统和设备不可能百分百的防御各种已知的,未知的信息安全威胁。安全的需求也是逐步变化的,新的安全问题也不断产生,原来建设的防护系统可能不满足新形势下的安全需求,这些都决定了信息安全是一个动态过程,需要定期对信息网络安全状况进行评估,改进安全方案,调整安全策略。
不是所有的信息安全问题可以一次解决,人们对信息安全问题的认识是随着技术和应用的发展而逐步提高的,不可能一次就发现所有的安全问题。信息安全生产厂家所生产的系统和设备,也仅仅是满足某一些方面的安全需求,不是企业有某一方面的信息安全需求,市场上就有对应的成熟产品,因此不是所有的安全问题都可以找到有效的解决方案。
对信息安全的理解篇8
论文关键词:大学生;个人信息;课程内容
信息社会大学生个人信息安全问题凸显,大学生个人信息泄露造成的安全隐患和安全事故也频繁发生,而大学生个人信息安全教育却没有引起足够的重视。大学生安全教育中并没有针对大学生个人信息安全的教育内容,造成事实上的大学生个人信息安全教育缺位,因而不能很有效的防范由此引起的安全事故。从课程角度来说,大学生个人信息安全教育还没有解决“教什么”的问题,即大学生个人信息安全课程应该包括哪些内容。本文拟从课程开发的角度出发,首先提出大学生个人信息管理和使用中存在的主要问题,并针对这些问题提出大学生个人信息安全的课程内容。
一大学生个人信息使用环境及存在的问题
随着信息化社会的发展,电脑、网络日趋普及和移动互联网的成熟应用,大学生的学习和生活与网络息息相关,通过网络进行的信息活动丰富多彩。大学生通过网载影视作品与音乐、网络聊天交流、通过网络看新闻、玩游戏等网络信息活动,电脑、网络已经是高中学生日常生活的重要部分。因而,大学生一方面通过网络获取信息,另一方面他们在网络上交流、寻找、使用信息,同时还生成、创造信息。例如:在网上通过即时聊天工具或emaiL等与人沟通,使用网上银行进行财务处理或通过网上支付的方式进行网络购物等,都涉及到个人信息的创建和使用,一旦这些个人信息泄露,将给大学生生活带来很多麻烦甚至危及到财产或人身安全。网络带给大学生方便快捷生活和学习的同时,也给大学生个人信息安全带来问题。
(一)信息技术基础知识缺乏
信息的传播和使用往往要经历编码、储存、传播或运用、解码等过程,不同级别的信息在每一个过程都有相应的操作方式和关注的问题,这样可以保证信息的安全和有效。大学生缺乏相应的信息技术基础知识,在信息使用和管理过程中不能有效安全地处理个人信息。例如:大学生在日常生活中通常拥有2~3个密码,更有同学的密码多达7—8个。这么多的密码在编码时必须要考虑很多方面的问题,通常要有足够的强度,不容易被破解,同时又要容易识记,这就需要进行合理的编码。大学生在设置密码的时候,通常只考虑一个方面,要么是便于记忆而强度不够,甚至很多大学生所有的密码都是出生年月;这样密码的强度和保密性非常低,起不到应有的保护作用,当事人如果稍有疏忽便会造成重大的损失。还有的同学只考虑密码组合有足够的强度,但是却难以记忆,因而大部分学生都出现过遗忘密码而找不到所需求的信息的情况,这样反倒给他们的学习和生活带来不便。
(二)缺少个人信息安全知识
大学生自身对个人信息保护相关知识的认识不全面,对如何有效地保护自己的信息、个人信息泄露的途径以及个人信息泄露的危害等个人信息相关知识不够了解。一方面大学生没有接受过关于如何避免个人信息泄漏方面的知识教育,同时他们的网络信息活动一般缺乏相应的监督,因而即使大学生个人信息出现安全问题,往往不能及时发现;另一方面当大学生个人信息出现安全问题,他们不知道如何有效地处理和应对。因而一旦大学生个人信息泄密造成安全事故,大学生往往不知道如何处理,不能识破陷阱或骗局,无法进行自我保护以避免不必要的损失。
当前社会、家庭对个人信息保护意识不强,个人信息遭到泄漏,导致不良后果的事时有发生,为了保证社会的安定,提高公民的自我保护能力,加强大学生的个人信息保护意识势在必行。一些家长缺乏信息技术方面的知识,往往对信息不加确认,学生个人信息泄露后,一些不法分子利用家长的爱子心切,导致家长上当受骗。
(三)个人信息法律、法规方面缺失
大学生对个人信息保护的相关法律法规缺乏了解,主要是两个原因:一是信息技术发展迅猛,而相关的法律制订却落后于相应的技术发展。虽然个人信息方面的法律、法规在不断完善中,但个人信息安全产生问题比较复杂,法律法规的制订需要时间。二是大学生、社会机构等对相关法律不够重视,缺少相关的法律知识。社会商业机构甚至是学校对大学生个人信息过度收集或是超权限的收集,这些机构或某些商业单位对大学生个人信息进行超出权限范围的使用,甚至是非法使用,或出于盈利目的而将个人信息非法转让,这些都危及到了大学生个人信息的安全,有可能造成重大的财产损失甚至危及个人安全。
(四)信息伦理道德冲突
我们处在一个信息爆炸时代,科技发展日新月异,信息和人、社会的关系也在不断地发展,在相关的法律、法规对信息和人、社会的关系进行规范的同时,也需要信息伦理从道德的角度来调整和处理信息和人、社会之间的关系,这是对法律法规的有效补充。在大学的教育实践中,往往重视大学生思想政治教育而忽略了德育,大学生对于人、社会、信息的关系缺少认识和了解,大学生无法正确理解和对待信息和人、社会之间的关系,当个人信息与个人利益、公众和社会利益存在矛盾冲突时往往不能有效处理。
二大学生个人信息保护课程的开发
针对上述大学生个人信息安全现状,笔者认为要充分利用学校资源开发大学生个人信息安全课程,通过理论和实践的结合,解决个人信息安全教育“教什么”的问题,通过大学生个人信息安全教育应该让学生了解基本的信息知识、掌握个人信息保护的相关能,并通过实践发展形成良好的道德认知和情感。笔者认为大学生个人信息安全课程应包括两方面的内容:一是关于信息技术、个人信息安全以及个人信息相关的法律知识、伦理道德等相关知识组成的理论板块;二是信息技术技能操作、案例分析等实践环节。
(一)个人信息安全理论知识内容
大学生个人信息安全理论知识的内容,一是个人信息和信息技术相关的基础知识和安全保护知识,二是个人信息安全相关的法律知识。主要由以下内容组成:(1)个人信息保护的相关知识:主要是指一切与个人信息有关的理论、知识与方法,包括个人信息保护的基本概念、个人信息保护的相关法律法规、个人信息保护对生活和学习的影响、以及个人信息保护在社会中的价值等。(2)个人信息保护的技能:是有关个人信息工具、个人信息载体方面的知识和技能掌握,如与个人信息保护相关的计算机基本操作技能等。(3)个人信息保护的综合应用能力:是指在复杂的环境中综合、灵活应用个人信息识的能力,即个人信息技能在具体问题情境中的综合表现。除包含个人信息技能、个人信息知识外,还包括对个人信息控制方面的抽象思维,能正确处理一些个人信息保护相关问题的能力。
综上所述,大学生个人信息安全应掌握关于个人信息保护的知识,学生应了解与个人信息有关的理论、知识与方法,掌握有关个人信息工具、个人信息载体方面的知识和技能,在复杂的环境中综合、灵活应用个人信息保护知识,正确处理个人信息保护问题。
(二)个人信息安全教育实践内容
个人信息安全教育实践环节的目标是通过实践提高大学生使用个人信息的个人保护能力和技术,同时通过案例的学习和讨论加强学生信息伦理的修养,更深刻地理解信息与人和社会的关系。
个人信息能力的培养应该作为大学生个人信息安全教育的重要内容之一,要提高学生的信息能力必须通过实践环节来进行。而学生信息能力的培养应该通过相应的信息技术课程的实践课程和日常的生活中信息使用过程来进行。
对信息安全的理解篇9
关键词:信息安全风险防范
随着计算机信息化建设的飞速发展而信息系统在企业中所处的地位越来越重要。信息安全随着信息技术的不断发展而演变,其重要性日益越来越明显,信息安全所包含的内容、范围也不断的变化。信息安全有三个中心目标。保密性:保证非授权操作不能获取受保护的信息或计算机资源。完整性:保证非授权操作小能修改数据。有效性:保证非授权操作不能破坏信息或计算机资源。信息安全的重点放在了保护信息,确保信息在存储,处理,传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。
1企业信息安全风险分析
计算机信息系统在企业的生产、经营管理等方面发挥的作用越来越重要,如果这些信息系统及网络系统遭到破坏,造成数据损坏,信息泄漏,不能正常运行等问题,则将对企业的生产管理以及经济效益等造成不可估量的损失,信启、技术在提高生产效率和管理水平的同时,也带来了不同以往的安全风险和问题。
信息安全风险和信息化应用情况密切相关,和采用的信息技术也密切相关,公司信息系统面临的主要风险存在于如下几个方面。
计算机病毒的威胁:在业信息安全问题中,计算机病毒发生的频率高,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的。
在目前的局域网建成,广域网联通的条件下,计算机病毒的传播更加迅速,单台计算机感染病毒,在短时间内可以感染到通过网络联通的所有的计算机系统。病毒传播速度,感染和破坏规模与网络尚未联通之时相比,高出几个数量级。
网络安全问题:企业网络的联通为信息传递提供了方便的途径。业有许多应用系统如:办公自动化系统,营销系统,电子商务系统,eRp,CRm,远程教育培训系统等,通过广域网传递数据。目前大部分企业都采用光纤的方式连接到互联网运营商,企业内部职工可以通过互联网方便地浏览网络查阅、获取信息,即时聊天、发送电子邮件等。
如何加强网络的安全防护,保护企业内部网上的信息系统和信息资源的安全,保证对信息网络的合法使用,是目前一个热门的安全课题,也是当前企业面临的一个非常突出的安全问题。
信息传递的安全不容忽视:随着办公自动化,财务管理系统,各个企业相关业务系统等生产,经营方面的重要系统投入在线运行,越来越多的重要数据和机密信息都通过企业的内部局域网来传输。
网络中传输的这些信息面临着各种安全风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。
用户身份认证和信息系统的访问控制急需加强:企业中的信息系统一般为特定范围的用户使用,信息系统中包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计r用户管理功能,在系统中建立用户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定能够程度上加强系统的安全性。但在实际应用中仍然存在一些问题。
一是部分应用系统的用户权限管理功能过于简单,能灵活实现更细的权限控制。二是各应用系统没有一个统一的用户管理,企业的一个员工要使用到好几个系统时,在每个应用系统中都要建立用户账号,口令和设置权限,用户自己都记不住众多的账号和口令,使用起来非常不方便,更不用说账号的有效管理和安全了。
如何为各应用系统提供统一的用户管理和身份认证服务,是我们开发建设应用系统时必须考虑的一个共性的安全问题。
2解决信息安全问题的基本原则
企业要建立完整的信息安全防护体系,必须根据企业实际情况,,结合信息系统建设和应用的步伐,统筹规划,分步实施。
2.1做好安全风险的评估
进行安全系统的建设,首先必须全面进行信息安全风险评估,找出问题,确定需求,制定策略,再来实施,实施完成后还要定期评估和改进。
信息安全系统建设着重点在安全和稳定,应尽量采用成熟的技术和产品,不能过分求全求新。
培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行,才能真正发挥信息安全防护系统和设备的作用。
2.2采用信息安全新技术,建立信息安全防护体系
企业信息安全面临的问题很多,我们可以根据安全需求的轻重缓急,解决相关安全问题的信息安全技术的成熟度综合考虑,分步实施。技术成熟的,能快速见效的安全系统先实施。
2.3根据信息安全策略,出台管理制度,提高安全管理水平
信息安全的管理包括了法律法规的规定,责任的分化,策略的规划,政策的制订,流程的制作,操作的审议等等。虽然信息安全“七分管理,三分技术”的说法不是很精确,但管理的作用可见一斑。
3解决信息安全问题的思路和方法企业的信息安伞管理要从以下几个方面人手,相辅相成、互相配合。
3.1从技术手段入手保证网络的安全
网络安全指由于网络信息系统基于网络运行和网络问的互联互通造成的物理线路和连接的安全、网络系统安全、操作系统安全、应用服务安全、人员管理安全几个方面。网络由于其本身开放性所带来的各个方面的安全问题是事实存在的。我们在正视这一事实的基础上,在承认不可能有绝对安全的网络系统的前提下,努力探讨如何加强网络安全防范性能,如何通过安全系列软件、硬件及相关管理手段提高网络信息系统的安全性能,降低安全风险,及时准确地掌握网络信息系统的安全问题及薄弱环节,及早发现安全漏洞、攻击行为井针对性地做出预防处理。
在攻击发生过程中,尽早发现,及时阻断。在攻击发十后,尽快恢复并找出原因。
保证网络安全的技术于段包括:过滤、信息分析临控、安全管理、扫描评估、入侵侦测、实时响应、防病毒保护、存取控制等。其措施有:网络互联级防火墙、网络隔离级防火墙、网络安全漏洞扫描评估系统、操作系统安全漏洞扫描评估系统、信息流捕获分析系统、安全实时监控系统、入侵侦洲与实时响应系统、网络病毒防护系统、强力存取控制系统等。信息安全指数据的保密性、完整性、真实性、可用性、不町否认性及可控性等安全,技术手段包括加密、数字签名、身份认证、安全协议(set、ss1)及ca机制等。文化安全主要指有害信息的传播对我国的政治制度及文化传统的威胁,主要表现在舆论宣传方面。主要柯:黄色、反动信息泛滥,敌对的意识形态信息涌入,瓦联网被利用作为串联工具等。其技术手段包括:信息过滤、设置网关、监测、控管等,同时要强有力的管理措施配合,才可取得良好的效果。
3.2建立、健全企业息安全管理制度
任何一个信息系统的安全,在很大程度上依赖于最初设计时制定的网络信息系统安全策略及相关管理策略。因为所有安全技术和手段,都围绕这一策略来选择和使用,如果在安全管理策略上出了问题,相当于没有安全系统。同时,从大角度来看,网络信息系统安全与严格、完善的管理是密不可分的。在网络信息系统安全领域,技术手段和相关安全工具只是辅助手段,离开完善的管理制度与措施,是没法发挥应有的作用并建设良好的网络信息安全空间的。
国家在信息安全方面了一系列的法律法规和技术标准,对信息网络安全进行了明确的规定,并有专门的部门负责信息安垒的管理和执法。企业首先必须遵守国家的这些法律法规和技术标准,企业也必须依据这些法律法规,来建立自己的管理标准,技术体系,指导信息安全工作。学习信息安全管理国际标准,提升企业信息安全管理水平国际上的信息技术发展和应用比我们先进,在信息安全领域的研究起步比我们更早,取得了很多的成果和经验,我们可以充分利用国际标准来指导我们的工作,提高水平,少走弯路。
信息安全是企业信息化工作中一项重要而且长期的工作,为此必须各单位建立一个信息安全工作的组织体系和常设机构,明确领导,设立专责人长期负责信息安全的管理工作和技术工作,长能保证信息安全工作长期的,有效的开展,才能取得好的成绩。
3.3充分利用企业网络条件,提供全面。及时和快捷的信息安全服务
很多企业通过广域网联通了系统内的多个二级单位,各单位的局域网全部建成,在这种良好的网络条件下,作为总公司一级的信息安全技术管理部门应建立计算机网络应急处理的信息与技术支持平台,安全公告,安全法规和技术标准,提供信息安全设备选型、安全软件下载,搜集安全问题,解答用户疑问,提供在线的信息安全教育培训,并为用户提供一个相互交流经验的场所。网络方式的信息服务突破了时间,空间和地域的限制,是信息安全管理和服务的重要方式。
3.4定期评估,不断的发展,改进,完善
企业的信息化应用是随着企业的发展而不断发展的,信息技术更是日新月异的发展的,安全防护软件系统由于技术复杂,在研制开发过程中不可避免的会出现这样或者那样的问题,这势必决定了安全防护系统和设备不可能百分百的防御各种已知的,未知的信息安全威胁。安全的需求也是逐步变化的,新的安全问题也不断产生,原来建设的防护系统可能不满足新形势下的安全需求,这些都决定了信息安全是一个动态过程,需要定期对信息网络安全状况进行评估,改进安全方案,调整安全策略。
不是所有的信息安全问题可以一次解决,人们对信息安全问题的认识是随着技术和应用的发展而逐步提高的,不可能一次就发现所有的安全问题。信息安全生产厂家所生产的系统和设备,也仅仅是满足某一些方面的安全需求,不是企业有某一方面的信息安全需求,市场上就有对应的成熟产品,因此不是所有的安全问题都可以找到有效的解决方案。
对信息安全的理解篇10
关键词:信息安全;实验教学;人才培养
信息安全专业所包含的课程种类较多,要求学生充分理解信息安全的基本概念,掌握各种信息安全应用的基本技术及方法,并牢固树立信息安全意识[1]。通过长期的教学实践,笔者发现信息安全相关课程实践性较强,单纯地通过课堂讲授难以使学生充分理解相关的知识点及相关技术。因此,非常有必要根据专业的培养目的,有针对性地开设信息安全实验课程,让学生通过动手实践,发现问题并解决问题,最终达到深入理解信息安全知识内容,掌握相关安全技术、培养良好的安全习惯的目的。同时,也充分培养学生发现问题、分析问题、解决问题的能力。
目前,信息安全实验课程的开设不存在统一的标准,仍处于探索阶段,概括起来主要存在以下两方面的问题:(1)依附理论课程开展实验教学,尚未形成相对独立的合理的实验教学体系,实验课程教学针对性不强;(2)实验形式单一、层次不高,学生感觉枯燥。本文针对以上问题进行了研究探讨,对信息安全实验课程的教学及组织方法进行了研究与实践。
1多层次实验组织
实验是实践教学的重要环节[2]。在教学大纲中明确提出,学生通过实验应可以加深对抽象理论知识的理解,提高学生动手能力、分析问题和解决问题的能力,同时还能够培养学生正确的思维方法和严谨科学的工作作风。针对以往以基础实验为主的实验教学方式,我们通过增加综合性实验、自主研究性实验及创新性实践的比例,将信息安全实验划分为基础性实
验、综合性实验、自主研究性实验和创新性实践四大类,其组织层次结构如图1所示。
图1实验组织层次
其中,基础性实验作为配合理论课程开设的实验环节,其主要目的在于帮助学生理解、掌握课程中所讲授的基本知识点,为后期的深入学习奠定一定的基础。因此,基础性实验以验证性实验为主,如各类密码算法的原理性实验(包括程序设计实验及使用实验)、对称/公钥密码体制下简单的密钥协商过程的实现等。通过基础性实验,使得学生能够验证所学知识的准确性、深入理解相关原理。此外,基础性实验还包括一些应用性较强的实验,如防火墙的规则配置、杀毒软件及手动杀毒方法的使用等,以培养学生对信息安全课程学习的兴趣。
基于基础性实验而开设的综合性实验,其主要目的是培养学生对信息安全课程中所讲授的各基础知识点综合运用的能力[3]。与基础性实验不同,综合性
作者简介:欧庆于(1978-),男,讲师,硕士,研究方向为信息安全。
实验要求学生在具备一定实验基础知识和基本操作技能的基础上,运用某一门或多门相关课程的知识点完成复合性实验,以对其实验能力和实验方法进行综合训练,如综合运用对称密码及公钥密码构建端端传输加密模型、运用移位寄存器理论及硬件描述语言(如VHDL、Verilog等)设计简单的线性反馈移位寄存器等。
自主研究性实验针对某些普遍的、敏感的信息安全问题和事件,由学生运用所学的知识,提出解决方法和方案,并尝试进行实现。其主要目的是考察学生对所学知识的理解、掌握和灵活应用的程度及与现实相关联的能力,培养学生运用信息安全知识解决实际问题的能力。此外,自主研究性实验可以与学生的社会实践相结合,选题主要源于社会实践活动和企事业应用需求,内容涉及安全需求分析、安全产品的选择与部署、安全评估、安全管理等。如依据所给设备和局域网安全现状构建网络防御平台。
创新实践则是从更高层次上对学生综合能力的提升[4]。在创新实践的实施过程中,我们将其与信息安全竞赛相结合,让学生运用所学的知识参与选题、方案制定、作品设计及其后期的文档撰写,并组织专家对作品进行评分和点评。通过创新实践,学生能够掌握进行科研活动的基本步骤、方法,并培养其运用科学的方法对未知流域进行探索的能力[5]。此外,通过分组讨论及专家点评环节,锻炼了学生的思辨能力,提升了学生的综合素质。
2多元化实验内容
信息安全课程内容丰富,涉及的知识点较多,并且各个知识点之间往往存在着关联。因此,如何合理的划分实验内容及各实验的顺序,直接影响到实验教学的最终效果。
在选择实验内容时,可根据信息安全课程的内容将实验内容划分为六大模块,分别是:密码学基础应用实验、密码学高级应用实验、安全协议基础实验、安全协议高级应用实验、系统安全实验、信息安全新技术实验。
2.1密码学基础应用实验
密码学基础应用实验主要针对信息安全本科专业,主要包括各类密码算法的编程实现,重点针对DeS、aeS及RSa算法的实现进行考查,使学生能够掌握对称密码算法及公钥密码算法实现过程中的核心技术,如:S盒的实现、迭代结构的优化实现、大素数的产生方法及模幂/模乘算法的设计等。
2.2密码学高级应用实验
密码学高级应用实验主要针对信息安全本科专业及研究生专业,主要包括各类密码算法的硬件实现(与信息安全实验平台相结合)、伪随机序列的产生、密码算法实现过程中的并行优化(如3-DeS算法的实现)及密码算法安全性分析(如借助工具实现对各种密码算法的唯密文攻击、差分攻击、旁路攻击)。
2.3安全协议基础实验
安全协议基础实验主要针对信息安全本科专业,其开设的前提是学生已经完成了密码学基础及高级应用实验,充分理解密码学相关概念,并掌握了密码学应用的各种方法及技能。其主要内容包括:基于对称/公钥密码体制的密钥协商协议的设计、端端加密传输协议、数字签名协议及身份认证协议等。
2.4安全协议高级应用实验
安全协议高级应用实验主要针对信息安全研究生专业,其目的在于提高学生利用安全协议知识解决实际问题的能力。其主要内容包括:基于Ca的密码管理协议实现、基于质询/响应动态口令的认证协议设计、基于时间口令的认证协议设计、密码协议安全性分析等。
2.5系统安全实验
系统安全基础实验主要针对信息安全本科专业,主要针对系统的安全防护、系统的安全配置及简单的安全设计等内容,具体实施的实验包括:防火墙配置实验、入侵检测系统的使用、windows系统安全增强实验、Linux系统安全增强实验、安全程序设计实验等。其中部分内容,如:操作系统内核增强实验、安全程序设计实验等也可作为针对研究生的实验内容。
2.6信息安全新技术实验
信息安全新技术实验的主要目的是将当前在信息安全领域所出现的新技术、新方法及时地增加至实验教学中,增强学生对新技术、新方法的理解及应用能力,其目前在于对信息安全竞赛进行人才选拔,并为其积累相关的预备知识。目前,我们在信息安全新技术实验中主要开设了病毒检测新技术应用、控制流安全防护设计、信息隐藏技术应用等方面的自主型实验。
在以上六大模块中,密码学基础应用实验及密码协议基础实验主要在于培养学生的基本技能及信息安全素养,针对各种经典理论/技术进行验证,因此其内容相对来说应比较固定。对于密码学高级应用实验、安全协议高级应用实验及系统安全实验,一方面,由于其具体的实验内容往往与现实问题相关,因此应注意适时的吸收当前较新的,并比较成熟各种信息安全新技术、新方法,以方式实验内容过于陈旧,与现实脱节的问题;另一方面,新增实验内容往往需要对各种方法/技术进行简化,提取其本质,并制定合理的实验步骤及最终的实验结果。同时,过于频繁的变更实验内容也不利于教师对于实验的掌握。因此,密码学高级应用实验、安全协议高级应用实验及系统安全实验一般应以4―5年为一个周期进行部分更新;信息安全新技术实验由于主要面向信息安全竞赛,因此实验内容要求较为新颖,内容可由实验课任课老师、竞赛指导老师及研究生导师共同协商后确定,更新周期为两年。六大模块间以及与培养对象之间的关系如图2所示。
3综合化实验考核与评估
目前,在实验课程中往往存在不注重实验过程,单纯通过实验结果进行实验考评的现象。这样往往会造成学生过于注重实验结果,忽略了很多宝贵的实验细节,无法培养学生严谨的思维能力和扎实的工作作风。因此,必须建立严格、全面的考评标准,不放松任何培养学生能力的环节。对于实验,应该从学习态度、理论水平、实验技能等方面充分考核学生的能
注:实线表示模块间的依赖关系,虚线表示模块与培养对象的对应关系。
图2实验模块关联关系
力[6]。其中,学习态度考核主要通过学生上课的到课率、遵守实验室规定及课堂纪律、爱护实验设备等方面进行考评;实验技能主要包括实验操作能力、实验数据处理能力、步骤完成的准确性、实验数据的真实性和准确性进行考核;理论水平主要从课前预习、课后实验分析等方面进行考评。
4结论
通过近5年信息安全实验课程的实施,我们对课改前后的2006级和2007级信息安全专业本科学生,共138人进行了调查。从专业课程的考试成绩来看,改进实验教学后,学生对于相关理论及知识点理解较充分,成绩有较大程度的提高。从随堂实验情况和实验报告完成情况看,学生对课程的学习兴趣和发现问题、分析问题、解决问题的能力都有所提高。因此,通过对信息安全实验教学的改革,达到了调动了学生的学习积极性、培养学生的创新意识、提高教学质量的目的。
参考文献:
[1]彭国军,张焕国,刘丹.实验教学与信息安全本科生实践创新能力培养[J].计算机教育,2007(22):142-144.
[2]程红蓉,周世杰,秦志光.信息安全专业教学初探[J].实验科学与技术,2008,6(5):86-87.
[3]张艳伶,黄声烈,高艳华.网络信息安全教学实验系统平台的构建[J].实验技术与管理,2008,25(10):66-68.
[4]冯向东,成金华.实验室创新与人才培养[m].武汉:武汉大学出版社,2003:73-75.
[5]张小林,周美华,李茂康.综合性、设计性实验教学改革探索与实践[J].实验技术与管理,2007,24(7):94-96.
[6]郭艾侠,万艳春,潘春华.网络与信息安全课程综合性设计性实验建设的探讨[J].农业教育研究,2009,1(58):1-5.
ResearchontheinformationSecurityexperimentCourse
oUQing-yu,ZHUting-ting,ZHanGChang-hong
(Dept.ofinformationSecurity,navalUniversityofengineering,wuhan430033,China)