时间:2022-11-19 13:28:06
导语:在信息安全专业的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
信息安全是国家安全的基础和关键,在信息安全保障的三大要素(人员、技术、管理)中,管理要素的地位和作用越来越受到重视。面对越来越严重的安全威胁,不单在IT技术领域,各行业的企业组织都越来越意识到信息安全的重要性,但单纯依靠技术方案来并不能解决如何保护企业信息资产的问题,因此这对当前高校的信息安全专业的人才培养也提出了更高的要求。
一、信息安全培训体系概况
信息安全培训作为高校信息安全专业教育的一种重要补充,主要用于解决学历教育和社会实践、社会认证培训的结合、信息安全人才培养不规范等问题。现有培训主要可分为四类。
第一,安全意识培训:其面向机构一般员工、非技术人员以及所有信息系统的用户,目的是提高整个组织普遍的安全意识和人员安全防护能力,使组织员工充分了解既定的安全策略,并能够切实执行。
第二,安全技能培训:其面向机构网络和系统管理员、安全专职人员、技术开发人员等,目的是让其掌握基本的安全攻防技术,提升其安全技术操作水平,培养解决安全问题和杜绝安全隐患的技能。
第三,安全管理培训:其面向组织的管理职能和信息系统、信息安全管理人员,目的是提升组织整体的信息安全管理水平和能力,帮助组织有效建立信息安全管理体系。
第四,认证资质培训:其针对特殊岗位所需的职能人员,包括审核部门、监管部门、信息保障部门等。通过提供国际信息安全相关认证考试的辅导培训,可以帮助人员顺利通过考试获得各类信息安全资质认证培训。
前三类认证主要依托专业的培训机构或安全设备厂商进行。第四类培训是当前培训的主体。
二、信息安全相关资质认证培训情况
资质认证类培训是针对资质认证特点和内容要求设计,依托专业机构进行的。一些认证的培训机构是由资质管理机构专门指定的。当前,信息安全相关资质认证主要分三类:
第一,国内以信息产业部,信息安全评测机构为代表的组织来管理实施的信息安全资格认证(或与国际组织联合颁发);这类的认证培训有:CISP培训、NCSE培训、CISM培训、INSPC培训、CIW认证培训等。
第二,由国外软件、网络产品厂商自己组织管理的产品专家认证(侧重于厂商产品、技术认证);相关的认证培训有:微软Microsoft认证培训、思科安全认证CCSP培训、趋势认证信息安全TCSE培训等。
第三,国际权威信息安全组织、研究部门或培训机构组来管理组织的国际化专业资格认证。相关的认证培训有:信息系统安全认证CISSP培训、信息安全管理体系主任审核员ISO 27001培训、国际注册信息系统审计师认证CISA培训、国际IT运营与服务管理资格认证ITIL培训等。
下面以CISP培训为例,分析其知识体系构建情况。
CISP即“注册信息安全专家”,是国家对信息安全人员资质的最高认可。其经由中国信息安全测评中心实施国家认证。CISP认证和培训赋予如下专业资质和能力:有关信息安全企业、咨询服务机构、测评认证机构、授权测评机构和企事业有关信息系统建设、运行和应用管理的技术部门和标准化部门必备的专业岗位人员。
在整个CISP的知识体系结构中,共包括信息安全保障概述、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规这五个知识类。 CISP知识体系以信息安全保障为主线,全面覆盖信息安全保障工作所需的基础、标准、法规、技术、管理和工程等领域。CISP培训知识体系结构共包含五个知识类,分别为:(1)信息安全保障概述:介绍了信息安全保障的框架、基本原理和实践,它是注册信息安全专业人员首先需要掌握的基础知识。(2)信息安全技术:主要包括密码技术、访问控制、审计监控等安全技术机制,网络、操作系统、数据库和应用软件等方面的基本安全原理和实践,以及信息安全攻防和软件安全开发相关的技术知识和实践。(3)信息安全管理:主要包括信息安全管理体系建设、信息安全风险管理、安全管理措施等相关的管理知识和实践。(4)信息安全工程:主要包括信息安全相关的工程的基本理论和实践方法。(5)信息安全标准法规:主要包括信息安全相关的标准、法律法规、政策和道德规范,是注册信息安全专业人员需要掌握的通用基础知识。
CISP的注册要求如下:
第一,教育与工作经历:硕士研究生以上,具有1年工作经历;或本科毕业,具有2年工作经历;或大专毕业,具有4年工作经历。
第二,专业工作经历:至少具备1年从事信息安全有关的工作经历。
第三,培训资格:在申请注册前,成功地完成了CNITSEC或其授权培训机构组织的注册信息安全专业人员培训课程相应资质所需的分类课程,并取得培训合格证书。
第四,通过由CNITSEC举行的注册信息安全专业人员考试。
三、信息安全专业培训体系构建的建议
1.构建完善的高校信息安全专业人才培训体系
传统的培训体系,比较侧重于知识和技能传授的过程控制,在对知识的共享、隐性知识的转换等方面,已经不能满足当前的要求,高校可以通过借鉴、学习CISP认证和培训体系结构和CISSP认证课程内容设置,从信安全岗位所需的基础、标准、法规、技术、管理和工程等领域来完善信息安 全专业人才培训体系。根据培训对象的不同将课程分为五种类型(层次):操作层面的基本安全意识培训;
技术层面的各项安全技能培训;管理层面的信息安全管理培训;专家级的资质认证培训。当然在培训体系里面信息安全技术方面的培训仍然是重点,为了加强网络基础设施等新兴重点网络安全技术领域的培训,可以参考思科安全认证CCSP培训的模式,对当前使用的防火墙、侵入检测、VPN、身份验证和安全管理等主流网络安全防护装备进行系统性的专题培训。
2.建立逐级培训的信息安全专业人才培训模式
当前信息安全技术的发展日新月异,信息化的网络攻防形式也发生着翻天覆地的变化,因此对于信息安全专业人员的培训,仅靠一两次培训是远远不够的,必须连续、有针对性的接受相应岗位和层次的逐级培训,才能保证知识、能力结构的不断优化和提高。在逐级培训过程中要明确不同职务、技术等级的不同要求,使得逐级培训过程级与级之间层次清晰又衔接有序。如果没有通过低级别的培训、认证,便不能参加后门高级别的培训。同时利用职业资格证、学历证书、执行证书等为牵引,通过多阶段培训、资格培训、升级培训使得知识结构、能力素质、岗位需求同步发展,取得相应的职业证书才能晋升上岗,否则不予任用。
3.通过合理的认证标准来动态更新和完善培训体系的目标任务
只有对培训成果进行合理判断,确定受训人员知识技能水平的提高幅度,才能了解培训项目是否达到原定的目标和要求,从而为进一步改进培训体系提供重要依据。通过对培训人员最终考评成绩的分析以及部队调研,培训学员信息反馈等方式,针对培训内容和教学组织形式听取意见,并及时调整,使得培训效果真正适应培训学员的实际需求,提高培训效果。这样才能在保持相对稳定的情况下对培训内容实施动态更新,不断完善。
1信息安全人才需求
自上世纪八十年代以来,人们对信息安全的认识经历了通信安全(COMSEC)、信息安全(INFOSEC)和信息保障(IA)三个阶段。通信安全重点考虑信息的机密性,信息安全通过机密性、可靠性、可用性和不可否认性等来全面刻画安全的属性,而信息保障则通过保护、检测、响应和恢复四个环节强调安全应当是一个过程,而非单一的技术或产品。人们对信息安全的认识逐渐深入、全面。与此同时,密码理论与技术、安全协议理论与技术、可信计算理论与技术等信息安全相关理论与技术的研究不断深入,防火墙、入侵检测、VPN等各种安全产品不断发展成熟。
然而,信息安全形势依然严峻。互联网上的恶意活动肆虐,网络钓鱼、垃圾邮件、僵尸网络、特洛伊木马和零日威胁与日俱增。不同的威胁和方法相互贯通,互相利用,如恶意代码可能利用系统及应用程序漏洞来安装后门,然后下载并安装 bot 软件,这些 bot随后用来分发垃圾邮件、建立网络钓鱼站点或发起分布式服务拒绝攻击。利用黑客/病毒技术的“产业链”逐步形成,攻击者利用黑客/病毒技术或窃取机密信息、虚拟财产,变卖牟利,或组建僵尸网络,敲诈勒索。
在信息安全理论技术研究和信息安全实践之间似乎存在着一条鸿沟,无论信息安全理论与技术如何发展,总无法解决信息安全问题,信息安全问题不但没有改善,似乎还有恶化的趋势。事实上,“安全性是一条链,其可靠程度取决于链中最薄弱的环节”。在信息安全链条上,最薄弱的环节并不在于缺少系统的安全理论或成熟的安全技术,而在于严重缺少运用这些理论技术来保障信息安全的人才。信息安全专业人才的匮乏,已经成为信息安全发展的瓶颈。
信息安全作为一项复杂的系统工程,对信息安全人才的需求也是多方面多层次的。根据所从事的工作性质划分,信息安全人才可以分为以下三类:
(1) 从事应用型工作的专门人才。他们主要在政府、各企事业单位从事信息系统安全防护体系的建设、管理,安全事件的处置、恢复等技术工作,以及在生产安全产品的企业中担负系统集成、安全服务的技术工作。对应用型人才的基本要求是具备信息安全理论基础和知识体系、能够从技术上实施信息系统安全防护体系的构建与管理。
(2) 从事工程型工作的专门人才。他们主要在生产信息安全产品的企业中从事安全产品软、硬件的开发、实现与测试等工作。对工程型人才的基本要求是具备较为坚实的信息安全理论基础、系统的信息安全知识,能够熟练应用(包括创造性应用)安全原理与知识、具有较强的工程实践能力和良好的团队精神,等。
(3) 从事研究型工作的专门人才。他们通常是在攻读更高的学位后,在信息安全科研机构从事信息安全理论、信息安全核心技术的研究工作,或在生产信息安全产品的企业中从事安全技术研究和安全产品的设计工作。对研究型人才的基本要求是要具有深厚的信息安全基础理论、丰富的信息安全知识、创新意识、创新能力,等。
信息安全对人才的需求呈金字塔型结构,信息安全需要大量的应用型人才、适量的工程型人才以及少量的研究型人才。造成当前信息安全理论技术研究和信息安全实践之间存在鸿沟的原因是金字塔型结构的底部――信息安全应用型人才的大量缺失。与信息安全人才需求的金字塔型结构相匹配,信息安全人才培养也应当是金字塔型,只有这样才能满足信息安全的实际需求,降低用人单位和人才自身的再培养成本。
信息安全专业的本科阶段固然是高层次人才培养的打基础阶段,但大部分本科生的培养应当是符合信息安全需求的实用性人才。
2信息安全人才的知识需求
信息安全学科是一个“以信息安全理论为核心,以信息技术、信息工程和信息安全等理论体系为支撑,以国家和社会各领域信息安全防护为应用方向”的跨学科的交叉性学科群体系。该学科交叉性、边缘性强,应用领域面宽,是一个庞大的学科群体系,涉及计算机科学与技术、通信工程、数学、密码学、电子工程等诸多学科的内容。
2.1基础
在信息安全专业的基础知识中,包含了计算机科学与技术、数学、密码学、通信工程、电子工程等方面的基础知识。
计算机科学与技术在信息安全专业中具有突出的作用和地位,计算机基础知识在信息安全专业基础中比例很大,其中硬件基础知识包括计算机原理、汇编语言,等;软件基础知识包括数据结构与算法分析、操作系统原理、中高级语言、面向对象程序设计、软件工程,等;网络基础知识包括计算机网络、网络协议,等。
就数学工具而言,信息安全涉及的数学领域包括:数论、组合数学、抽象代数、图论、形式语言与自动机、格论、数理逻辑、概率论与数理统计、随机过程等数学分支。
密码学是构建信息安全体系的基础,也是实现信息安全技术的主要手段。信息安全专业的密码学基础包括序列密码、分组密码、公钥密码、Hash函数,等。
通信工程基础包括信号处理、通信原理方面的基础知识,电子工程基础则应包括弱电类专业应掌握的电路与电子技术基础知识。
2.2专业知识
信息安全专业知识的内容非常丰富。按照主要内容和研究角度的不同,信息安全具体包含的知识主要有:
(1) 密码技术。密码技术主要包括两部分,即基于数学的密码技术(包括序列密码、分组密码、公钥密码、Hash函数、认证码、数字签名、身份识别、密钥管理、PKI技术等)和非数学的密码技术(包括信息隐藏,量子密码,基于生物特征的识别理论与技术)。
(2) 安全协议技术。包括各种实用安全协议如IPSec 协议、SHTTP协议,S/MIME协议、电子商务协议等的设计、分析与应用。
(3) 安全体系。包括安全体系模型的建立及其形式化描述与分析,安全策略和机制的研究,检验和评估系统安全性的科学方法和准则的建立,运用这些模型、策略和准则的信息系统(如安全操作系统,安全数据库系统等)的研制。
(4) 信息对抗技术。包括黑客防范体系,信息分析与监控,入侵检测原理与技术,应急响应系统,计算机取证技术,计算机病毒防治,信息隐藏与检测技术,等。
(5) 网络安全与安全产品。包括网络安全整体解决方案的设计与分析,网络安全产品如身份认证产品、CA 和PKI 产品、安全服务器、防火墙、安全路由器、虚拟专用网(VPN)、入侵检测系统(IDS)、漏洞扫描工具、网络审计监控系统、取证系统、蜜罐系统等的设计与应用。
2.3能力要求
根据信息安全学科的特点和信息安全发展的现实要求,信息安全专业人才需要具备以下的能力:
(1) 实践能力。信息安全是工程性很强的学科,信息安全专业的人才应当具备很强的安全管理维护能力和安全工程实现能力,能够综合运用信息安全理论知识管理维护信息系统的安全,能够把自己的想法用现实所需的软硬件形式实现。
(2) 协作能力。信息安全是一项复杂的系统工程,信息安全问题往往需要多方面共同参与解决。这就要求信息安全专业人才具备良好的沟通能力,团结协作,共同解决问题。
(3) 创新能力。信息安全问题复杂多变,会因为应用领域的扩展以及应用场景的变化,呈现出新的形态。只有具有敏锐的眼光和创新的思维,才能从纷繁复杂的表象背后找到问题的实质,找到解决问题的方法。
3主干课程设置
鉴于信息安全学科是一个跨学科的交叉性学科群体系,信息安全的专业知识纷繁复杂,要在本科阶段传授信息安全所涉及的全部理论基础与专业知识是不现实的,必须在主干课程的设置上有所取舍。针对信息安全人才的实际需要,我们认为,信息安全本科专业的人才培养思路应该是“以应用型人才、工程型人才为主要目标,兼顾研究型人才的培养”。在主干课程设置上应瞄准“打牢计算机基础,提高数学素质,构建系统的信息安全知识体系,突出安全管理与安全工程实践能力”。
3.1主干课程
信息安全本科专业的专业主干课程可以按基础平台课、专业基础课和专业课三个层次构架:
基础平台课(包括数学、物理和外语基础)主要培养学生基本的知识素养,形成人才知识和能力金字塔结构的基础。信息安全专业的数学基础课程的设置应区别于计算机、通信专业。根据后续密码课程的需要可设置高等数学、高等代数、概率论与数理统计,等。物理类课程设置大学物理。外语类课程设置大学英语、科技英语。
专业基础课主要培养学生广泛的专业背景知识, 形成良好的背景知识支撑体系,构成知识、能力金字塔结构的主体部分。专业基础包括计算机科学与技术、密码学、通信工程、电子工程等方面。计算机类课程可设置计算机组成原理、离散数学、数据结构、操作系统、数据库系统、计算机网络、汇编语言、C语言程序设计、面向对象程序程序设计、软件工程,等。密码学课程主要设置信息安全数学基础。通信类课程可设置信息论与编码、通信原理、数字信号处理等课程。电子类课程可设置数字技术基础、电路分析基础、现代电子线路。
专业课主要培养学生在相关领域与信息安全相关的系统专业理论、技术和工程知识, 形成自己的专长和特色,完成人才知识、能力金字塔结构的顶端部分。主要专业必修课程包括信息安全导论、网络密码、网络协议分析、操作系统内核分析、网络信息安全、信息安全工程学以及信息安全法律法规,等。在专业课的课程设置上,可以将一些非核心但又比较重要的信息安全知识作为专业选修课开设,如信息隐藏与检测、Windows原理与应用、Linux原理与应用、计算机病毒、无线局域网安全、计算机取证技术,等。
在信息安全知识体系中,计算机科学与技术、密码学两方面的基础最为直接,也最为重要。在设置课程时,可以围绕计算机科学与技术、密码学两条主线展开。这种方法有利于理清课程间的相互关系,有利于对基础课程的讲授内容作出合理的裁剪,在课程随着技术发展而有所增减时也不会迷失方向。
3.2实践环节
信息安全是一个直接面向工程、面向应用的专业领域,在课程设置时必须重视培养学生的安全管理能力和安全工程能力,强化学生的实践环节。
实践环节可分为基础课程实验、专业课程的课程设计和毕业实习三个部分。基础课程实验主要训练学生的科学研究与工程素养,可设置物理基础试验、电路分析基础实验、数字技术基础实验、现代电子线路实验等。专业课程的课程设计以综合性、设计性为主,旨在锻炼综合应用知识、解决实际问题的能力,可设置计算机组成原理课程设计、操作系统课程设计、计算机网络课程设计、网络信息安全课程设计。四年级学生应到用人单位或实习基地进行一个学期的毕业实习,了解实际的安全问题,从事实际的工程工作,提高学生的实践能力。
另外,应鼓励信息安全专业的本科生利用课外时间参加信息安全专业相关的科研课题,承担具体的研究和开发工作。
参考文献
[1] 李晓明,陈平,等.关于计算机人才需求的调研报告[J].计算机教育,2004,(8).
[2] 冯登国. 国内外信息安全研究现状及发展趋势[J].网络安全技术与应用,2001,(1).
[3] 马建峰,李凤华.信息安全学科建设与人才培养现状、问题与对策[J].计算机教育,2005,(1).
[关键词]信息安全 项目 教学改革
[中图分类号] G642 [文献标识码] A [文章编号] 2095-3437(2013)09-0009-03
一、引言
积极为地方经济服务,在服务中求生存与发展,对于地方高校,特别是新建本科院校的生存和发展,具有很强的现实意义。例如,梧州学院的办学目标是成为广西与粤港澳科技文化教育交流与合作的桥梁,成为一所适应梧州市和泛珠三角经济区、中国-东盟自由贸易区支柱产业发展需要,特色和优势鲜明,充满活力的综合性、实用性本科院校。因此,在人才的知识结构和能力体系培养方面,应强调培养理论基础扎实、知识结构合理、动手能力强、具有创新精神的应用型人才。
二、梧州学院2012年大学生学风建设的调研对实践教学改革的启示
2012年10月-11月,学生工作部共发放问卷1200份,回收有效问卷1084份,问卷回收率为90.33%。其中,学生代表共753人,包括本科、专科,覆盖一、二、三、四年级,每个年级所发数目均等。问卷的主要内容是学习状态、学习动力、学习困难、学习习惯、读书、自习、学风中需要改进的问题。其中与实践教学有关的调研结果如下:
(一)你认为我校学风方面目前存在的最主要的问题是(多选)
A.缺乏学习动力,厌学,为考试而学。(选择A项的占总数的45.95%)
B.没有学习、学术气氛。(选择B项的占总数的26.56%)
C.迷恋上网游戏。(选择C项的占总数的8.63%)
D.学习纪律意识差,迟到旷课现象严重。(选择D项的占总数的11.42%)
E.浮躁不踏实,考试突击。(选择E项的占总数的9.56%)
F.满于现状,进取心不强。(选择F项的占总数的8.23%)
G.创新性不强,缺乏实践能力。(选择G项的占总数的15.14%)
H.考试作弊。(选择H项的占总数的5.71%)
I.其他(为文字填充项)。(选择I项的占总数的3.19%)
(二)你认为目前学习中最大的问题(此项为多选)
A.不喜欢所学专业,负担太重。(选择A项的占总数的13.15%)
B.学习方法不科学,效率不高。(选择B项的占总数的30.68%)
C.所学内容过于枯燥、陈旧,学习兴趣不浓。(选择C项的占总数的20.19%)
D.只掌握了书本知识、缺乏实践能力。(选择D项的占总数的28.82%)
E.没有明确目标,很迷茫,不知道未来在哪里。(选择E项的占总数的18.33%)
从结果中可以看到,为考试而学、缺乏学习气氛、缺乏实践能力会极大影响学生的学习积极性。而学习方法不科学、学习内容枯燥、缺乏实践能力是目前学习中遇到的主要问题。所以,在信息安全专业教学中,提高信息安全实践性教学比例,加强培养学生的实践动手能力,对专业教学效果的提升会有明显作用。
三、地方高校信息安全专业实践教学需要解决的关键问题
(一)实践教学基础较为薄弱
对信息安全专业实践教学要求认知不足,早期教学计划中实践环节内容覆盖不够全面,多数信息安全实践教学依托软件工程等传统的计算机专业教学环境。例如开设汇编语言、Java语言等课程时有相应的实验教学。而在网络安全编程、入侵检测、专业安全防御软件实践能力培养方面的实践性教学比例偏低。另外,受实验设备等客观条件限制,信息安全硬件开发设计方面的教学在地方高校中缺少实践教学环节;对常用网络安全设备安装与配置等网络安全实践教学,也由于缺少专门的信息安全设备很难进行。
(二)实验室教学人员和任课教师需要提高专业技术水平
在地方高校由于缺乏足够的培训和对外交流,以及对实验室教学人员在高校中的地位和作用缺乏足够认识,一般实验室教学人员不具备实践教学所需的管理能力,工作积极性也不高,对特殊实验中使用的仪器设备了解很少,无法对实验设备进行有效管理和充分利用,比如某些病毒、木马实验根本无法完成。实验室教学人员要课前与任课教师做好充分沟通与测试评估,做好实验环境规划与安全防范措施。
(三)缺少实验仪器设备以及未能对现有设备有效维护
梧州学院计算机教学实验室配置的主要设备有台式电脑、曙光服务器等。随着信息安全技术的快速发展,对信息安全专业实践教学要求的不断提升,需要更复杂的软硬件环境,不仅需要计算机、三层交换机、二层高性能交换机、路由器等网络平台设施,还需要防火墙、IDS等在实际商用环境中常见的专用信息安全设备系统。而作为地方高校的财力投入,未能一步到位购置最新的完整软硬件实践教学平台是正常情况,这对培养应用型人才有一定制约作用。另外在设备出现故障时,经常遇到本地设备提供商快速响应能力不足、维修技术有限,导致售后不能进行及时有效的维修,造成一些精密仪器设备破损。
(四)实践教学体系不够完善
早期制定的信息安全专业培养计划侧重于理论教学,实践教学的内容是作为理论教学的辅助和补充,没有结合自身办学特点建立有针对性的信息安全专业实践教学体系。实践教学内容只是单一地围绕课程知识点进行验证性实验,缺少专门的实验课程和增强性的实践环节。由于实验内容偏重于验证,结论已知,学生只是按照课本所示得到最终结果,没有自主发挥的地方,造成学生的学习兴趣下降,容易敷衍完成。这样的实践教学不容易培养学生的创新能力、动手能力和解决实际问题的能力,缺乏师生之间的互动,不利于教师了解教学效果,改进教学方法。
四、依托科研项目建立科学合理的信息安全专业实践教学体系
在信息安全本科专业应用型人才培养中,强调理论与实践的结合,要求培养的人才具有宽阔的知识面、较强的实践动手能力、快速的知识更新能力。[5]因此,基于实践能力培养的规律性,按强化基础、循序渐进、重视创新的原则,根据梧州学院人才培养目标是为地方经济建设培养高级应用型人才的特点,依托学院与政府部门和企事业单位签订的大量科技开发项目,我们研究探索了依托科研项目来建设信息安全专业实践教学体系。主要包含以下三个部分。
(一)项目团队建设与实验室建设并重
2010年以来信息安全专业分别引进博士,从中国移动公司引进有丰富实践经验的高级工程师,参与实践教学环节,充实了实践教学的一线教师队伍。
同时,学院还设立网络与信息安全研究所,给予一定启动经费,资助年轻教师依托各级科研项目和本地科技开发项目锻炼团队,有效提升了教师队伍解决实际问题,进行科技攻关的能力,为实践教学提供很多真实案例和经验。而且在项目开发过程当中,需要针对客户需要,构建出各种适合业务要求的网络与硬件测试运营环境,通过沟通,实验室教学人员从中可得到很好的综合型实验思路,有效完成对相关知识的更新,进一步推动了实验室教员自身素质的提高。
(二)课程实验与项目产品研发配合
基本课程实验依据具体课程设立,要求学生必须完成。综合实验面向高年级本科生开设,需要综合运用多门专业课知识。部分综合实验由任课教师融入项目产品的测试环节,将产品测试流程、测试技术与测试工具使用说明编入实践教学内容,利用教学实验平台,锻炼学生的专业实践能力,让学生实际参与项目产品的测试。
为了满足信息安全专业实践教学工作需求,要建立信息安全实验环境。考虑到应该优先利用现有硬件条件,在学院网络中心进行服务器虚拟化操作,建立集中且易于管理的资源池给原来分散的学院各个业务系统使用,然后把剩余的服务器,跟软件实验室组成封闭的网络。因为网络信息安全专业课程实验具有一定破坏性,建立封闭的实验环境很有必要,这样实验时不会对其他网络系统带来影响。信息安全实验环境所需要的软件平台,学院给予教学改革项目立项,由专业课程任课教师承担,根据专业课程要求,指导学生开发各门课程的实验软件,这个过程能够加强学生理解专业知识。利用上述方法建成的信息安全专业基础实验平台,主要承担密码学、入侵检测技术、计算机病毒原理等课程中的基础验证项目,如密码学实验中的DES、AES、RSA密码、数字签名、计算机文件加密、通信加密等实验项目,计算机病毒原理及软件安全实验中的软件漏洞机理分析、软件漏洞利用实例分析、安全防护工具分析等实验项目。
(三)推进项目研发成果产业化与本地网络安全服务外包
为了培养学生的实践能力和创新意识,利用学过的知识及积累经验,针对各级业余科研项目、校内外科研竞赛项目、校外实践基地项目、信息安全应用领域科研子课题,鼓励学生以团队方式提出有创意的设计方案并加以实现,从而提高实践创新能力,培养团队合作与协作能力。这些项目研发成果的产业化过程,为学生自主创业提供了动力。
除了利用各级科研项目,学生还能依靠梧州学院校内实践平台――大学生综合发展中心,通过课程体系、模训体系、实践体系和行动体系进行教育实践活动,承接本地企事业单位的网络安全服务外包项目,在实践中得到更大的成长空间。
五、结束语
针对学院信息安全专业实践教学方面存在的不足之处,通过将项目团队建设与实验室建设并重,课程实验与项目产品研发配合,推进项目研发成果产业化与本地网络安全服务外包等措施,推动为项目服务的实践教学改革,提高信息安全专业实践性教学比例。
[ 参 考 文 献 ]
[1] 顾纯祥,徐洪,郑永辉.信息安全专业实践教学方法探讨[J].Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security,2011,(1).
[2] 王小军,刘顺兰,黄骞儒.信息安全专业实践教学体系的构建与探索[J].杭州电子科技大学学报(社会科学版),
2011,(7):66-68
[3] 延霞,关于高职信息安全技术专业实践教学体系建设的思考[J].职业教育研究,2011,(10):116-117
关键词:网络信息安全,社会需求,人才培养模式
一、引言
当前,随着信息技术的发展和网络的普及,网络与信息成为了越来越重要的战略资源,围绕网络的信息安全斗争也日趋激烈,网络信息安全已成为事关国家政治、社会和经济稳定的全局性问题。我国反黑客专家许榕生说:信息网络的攻与守完全是高素质人才的对抗。然而,我国在网络信息安全人才的系统培养和全民信息安全教育工作目前尚处于起步阶段,网络安全专业人才供需存在较大缺口,高级战略人才和专业技术人才尤其匮乏,不能适应当前社会信息化的发展和要求。因此,高素质的网络信息安全人才的培养问题已经迫在眉睫。同时,除了军队、公安等部门需要高级网络安全人才外,电子商务、电子政务和电子金融等互联网新型业务的发展,也对信息安全人才的培养提出了更高的要求,仅仅懂得如何配置防火墙的网络管理人员已经无法满足社会的需要。因此,如何培养高素质的专业的网络信息安全人才队伍,提高全民信息安全意识,已成为我国信息化事业的一个具有长期性、全局性和战略性的问题。
二、网络信息安全专业人才培养现状及存在问题
网络信息安全是一门以计算机技术为核心,涉及网络技术、密码技术、通信技术、应用数学等多种学科的综合性学科。网络信息安全专门人才必须经过系统培养才能满足社会的实际需要。国外在网络信息安全领域的研究起步较早,对信息安全教育和人才培养都非常重视。无论从技术研究发展看,还是从人才培养角度看,美国均走在世界各国的最前列,其信息安全教育体系相对比较完善,已经形成了配套的本科教育、研究生教育和博士教育培养体系。比如,美国普渡大学、约翰霍普金斯大学、卡内基梅隆大学已经建立了独立的信息安全人才培养体系,培养了许多优秀信息安全专业人才。
我国在信息安全研究和人才培养方面起步较晚,其中大学始终发挥着主力军和先锋队的作用。西安电子科技大学、解放军信息工程学院、北京邮电大学已拥有了密码学博士点和硕士点,自2000年开始先后有40多所高校设立了信息安全本科专业。这几年,我国信息安全已初步形成从本科、硕士到博士的人才培养体系,很多高校在网络信息安全人才培养方面进行了有益的探索,培养了一大批信息安全方面的专业人才。但是,我国信息安全理论研究落后于信息化应用和安全技术开发,在信息安全领域进行具有自主知识产权的应用研究和产品研发,建立国家网络信息安全保障体系方面十分被动。其原因之一就是我国尚未建立起一支知识结构合理的多层次专业人才队伍。。由于网络信息安全专业涉及知识面宽、知识点多、知识体系庞大,需要的基础知识很多,所以在本科或在本科层次以下培养信息安全方面的专门人才绝非易事,同时这也决定了该专业本科阶段的教育层次不可能很高。因此,有些人认为更应该注重加大研究生的培养规模和力度,以满足社会对高级安全人才的需求。
随着网络应用的爆炸式增长,我国网络信息安全人才在数量和层次结构上越来越不能满足实际需求。现行培养模式培养出来的网络信息安全人才也还有很多不足,不能满足社会和行业的实际需要。。目前,我国网络信息安全人才培养方面的不足主要表现在以下几方面:
专业知识结构不够科学:教学计划、课程体系没有体现网络信息安全学科本身的特点,课程设置和教学内容过散,难以形成专业知识结构。当前网络信息安全专业的课程体系基本上是某个相近学科课程体系的翻版或延伸,在课程中仅仅增加了密码学、防火墙、入侵检测等单纯安全理论与技术知识的教学,课程设置中缺少系统的观点与方法,对于如何设计与实现安全的信息系统等重要问题很少涉及。
对实践能力的培养重视不够:网络信息安全专业不仅具有很强的理论性,同时也具有非常强的实践性,许多安全技术与手段需要在实践中去认识、去体会。我国传统培养模式不注重理论的应用,很多网络信息安全专业院校的实验条件还相当落后,很多实验和实践环节不能正常开设。这样培养出来的人才缺少实践能力的锻炼,难以满足社会需要,很多人走上工作岗位后,也就不能将所学的知识用于解决工作中的实际问题,导致无法胜任工作或在很长一段时间内不能胜任工作。
实验内容不实用:网络信息安全是一个整体概念,并且在实际生活中专业技术人员经常需要解决综合性问题,因此需要培养学生综合的应用技能。而支持传统教学的实验内容通常都非常单一,不同实验之间相对独立,缺少综合性实验。
鉴于以上我国网络信息安全人才培养方面的不足,有必要对现有网络信息安全人才培养中的一些关键问题进行研究和探讨,寻求适合我国国情和社会需求的网络信息安全人才培养模式。
三、网络信息安全专业人才培养模式关键问题探讨
由于我国网络信息安全专业刚刚起步,前期的启动和准备工作都比较匆忙,加上该专业是信息领域的新专业,又是一个典型的综合性很强的学科,因此,该专业不仅有许多跨学科和跨专业的衔接问题需要解决,课程设置、实验设计等也有许多要做的工作。要提高我国网络信息安全人才的培养质量,我们认为应从以下几个环节做好工作。
1.确立科学的人才培养目标
目前,社会对网络信息安全人才的需求可分为四类,即信息安全技术人才、信息安全管理人才、公共信息安全人才、信息安全专业技术教育人才。随着网络的普及和使用,几乎各行各业都需要网络信息安全方面的人才,但由于行业特点不同,不同行业对该专业的需求重点也会有所不同。因此,应该对我国重要行业对网络信息安全人才的需求进行调研,制定出面向社会需求的网络信息安全人才培养目标。
2.建立合理的课程体系
网络信息安全专业是一个综合、交叉的学科领域,涉及数学、物理、通信、法律和计算机诸多学科领域的知识和最新发展成果,同时该专业也是一个实践性很强的专业。因此,应以社会需求为导向建立科学的课程体系,课程体系中应理论基础与工程实践并重,注重学生综合素质和自学能力的培养,加强数学、英语和实践课程的训练;确立核心课程,并在保证网络信息安全专业教育的基础性、全面性的同时,确定除核心课程外的专业必修课,并按照其内容联系、应用需求等划分成若干个课程模块,让学生根据自己的兴趣来选择不同模块进行学习,使学生能够在掌握本专业核心理论的基础上,结合自身兴趣和实际需要进行学习,充分发挥自己的潜力和特长,并促进个性化发展。另外,把握好各门课程的先后顺序,尤其是专业课程的先修和后修关系,将直接影响着学生对专业知识的接受程度。
3.采取形式多样的教学模式,做好实验环节设计
教学设计在整个人才培养中起着至关重要的作用。教学设计应该以培养目标为导向。所以应根据培养目标有针对性地设计网络信息安全专业的课堂教学模式和实验环节。
在课堂教学中可引入案例教学法,通过提出问题、解决问题、拓展问题、再解决问题,对解决问题的方法进行评价、优化等环节,调动学生的参与性,从而拓展学生的思维视角,强化思辨能力。由于该专业发展快、综合性强、应用性强等特点,教学中还应注意把网络信息安全专业的最新动态以各种形式及时补充到教学内容中,并适时地将行业知识、经济管理知识以及社会常识引入课堂;充分利用网络平台来强化教学和辅导工作,加强师生之间的交流,促进学生学习的兴趣和积极性。此外,学生参与教学法也是调动学生学习积极性的有效方法。对于专业课程的一些主要内容,可以给学生留几个课堂讨论的主题,作为作业由学生在课下准备,并采取课堂发言和提交报告的形式进行检查。通过这种形式不仅可以有效地调动学生的思维,而且激发了学生的创新能力。。
在实践教学中,首先应科学合理地设计编排专业课实验内容和实验方案,编写制定提升学生创新能力的实践教学指导书。在设备不足的情况下,可采用基于虚拟机环境的实践教学法,让学生在有限的资源环境中得到更为真实充分的实践锻炼;也可以建立工程实践平台,比如,上海交通大学信息安全工程实践培训与应用实验室建立了国内信息安全领域最大规模的工程实践实验平台,该平台可全方位支持信息安全教学、培训、科研及测试等信息安全服务,实现了基于“网站――实验支撑系统――实验课件”互动的网络化交互式的新一代工程实践教学和培训环境。在该环境下,可演示和运行各种平台的实验系统,开展各种安全实验,大大节省了硬件资源,为网络信息安全专业的日常教学活动提供了良好的环境支持。
4.加强实验室建设
网络信息安全专业是一个实践性很强的专业,对实验室建设、实验设备等的要求较高。如何设计出科学、合理的网络信息安全实验室建设方案,加强理论与实践的结合,将直接影响着专业课内容的消化和吸收,影响着科研工作的顺利开展。目前,比较有名的信息安全实验室是中科院信息安全国家重点实验室,中科院高能物理所、软件所、计算所等单位也都具有良好的网络安全实验设备或实验中心,中国科技大学、北京电子科技学院、上海交通大学等院校也建立了各自的信息安全研究中心或实验室。
5.建立稳定的实践基地,实现产学研的紧密结合
网络信息安全专业有着广泛的社会需求。因此,应当同社会相关行业进行广泛的联系,建立稳定的实践和实习基地。首先,应制定出面向行业的、有针对性的实践方案和实习计划;其次,应加强与企业和科研院所的合作,找出与研究机构、企业合作的有效途径,提高人才竞争力。要实现产学研紧密结合,不仅应加强与企业和科研院所的合作、加强实践教学,还可通过编写适应产学研的教材以及相应的教学来提高学生的实践能力、自学能力、创新能力和适应新环境的能力,使学生顺利适应产学研结合的培养模式。
四、结束语
当然,任何新生事物在成长过程中都不是一帆风顺的。网络信息安全人才的培养将是一项艰巨的任务,任重道远,许多高校进行了有益的尝试,并取得了一定的经验和成绩。随着我国信息化进程的加快,国家对信息安全问题的高度重视,我国信息安全产业将迎来新的发展机遇,政府部门和企事业单位对信息安全人才的需求将会越来越多,这反过来也会极大地推动高校人才培养的教学改革,同时,高校还可以充分利用企事业单位作为教学实践基地,把产学研有机地整合起来,为社会输送高质量的人才。
参考文献:
[1] 马建峰、李凤华,信息安全学科建设与人才培养现状、问题与对策,计算机教育,2005(1):11-14
[2] 单来祥,信息安全专业学生应具备哪些知识和能力,计算机教育,2005(1):18
[3] 吕欣,关于信息安全人才培养的建议,计算机安全,2006.2
关键词:信息安全专业;特色建设;高等教育教学
中图分类号:G642 文献标识码:B
1引言
目前我国信息安全技术与世界先进水平有较大差距,我国政府已将信息安全列为今后十年优先发展领域。我国过去只有少数高等院校开设信息安全课程,而且不能涵盖信息安全的主要内容,因此信息安全方面的人才很少,而金融、商业、公安、军事和政府部门对信息安全人才的需求是很大的。根据现阶段国家信息化建设的规模测算,比较保守地估计高级信息安全人才的需求在3万人左右,一般人才的需求是15万。而现有信息安全专业人才不到1万人,这样就造成了在企业和机关工作的信息安全专业人才远远不能满足需求。要解决供需矛盾,必须加快信息安全人才的培养,以满足社会对信息安全人才的需求。近年来信息安全专业在高等院校中得到了充分重视与快速发展,2001年武汉大学计算机学院新开设了信息安全专业,招收了第一届信息安全专业本科班。随后的几年里,上海交大、北邮、南邮等70多所高等院校也先后开设了信息安全专业。
信息安全专业是一个新兴的专业,学科建设中存在着诸多需要解决的问题,其中如何建设有特色的信息安全专业是众多高校面临的难题。由于信息安全学科是一个跨学科的交叉性学科群体系,涉及到计算机科学与技术、通信工程、数学、密码学,电子工程等诸多学科的内容。不是每个学校都能建立大而全的信息安全专业,进行全方面的人才培养。进行信息安全专业特色建设一定要有特色,要利用学校的优势,发挥学校的长处。有些高校因为定位不明确,信息安全专业没有得到很好发展,目前已经停止招生。沈昌祥院士指出“由于我国系统培养信息安全人才的工作刚起步不久,存在着学科体系不完善、教材及实验室建设的基础条件不足、师资队伍缺乏等一些薄弱环节。高等院校应该根据国际上信息安全技术的发展趋势和我国信息化建设需求,结合本校学科专业结构特点,充分利用现有学科条件和优势,积极促进学科交叉和融合。培养具有自主知识产权开发能力、掌握核心技术的信息安全专业人才。”南京邮电大学在信息安全专业建设的过程中发挥学校优势,坚持“有所为有所不为”的建设理念,重点发展有特色的计算机网络与通信安全,电子取证,嵌入式系统安全这三个主要学科建设方向,在实践中形成了自己的教学体系。
2南京邮电大学信息安全专业建设基本情况
南京邮电大学计算机学院在2001年申报信息安全专业获得批准,2002年在江苏省内高校中首次设置信息安全专业,拥有本、硕、博的人才培养体系。2007年被教育部评定为国家特色专业,是全国信息安全专业首批十五个特色专业建设点之一。信息安全专业结合我校的传统优势领域,确定该专业的特色为网络通信安全。信息安全专业从2002年起招生,每届招3个小班100人左右,2006年7月,该专业有了第一届毕业生,目前在校学生达399人。
“信息安全”是一个工科专业,所培养学生除必须具备扎实的理论基础和较宽的专业知识面外,还要具备从事科学研究和技术开发的基本能力。经过近两年的努力,已初步完成由中央与地方财政下拨专款360万元的实验室硬件和软件环境建设,实验室设立在南京邮电大学仙林校区教二号楼西侧和三牌楼校区的无线楼,面积共达800平米,实验室建设以专业基础课实验教学为主,兼顾专业课实验与科研的需要,结合专业方向,注重专业原理,加强设计和综合实验。目前有多个信息安全实验平台供教学与科研使用,如网络攻防综合实验平台,计算机病毒综合实验平 台,网络管理综合实验平台,电子证据取证综合实验平台,无线安全综合实验平台,嵌入式系统综合实验平台等。
3特色专业建设的思路与措施
专业建设的特色在于结合南京邮电大学在通信与信息工程方面的优势,将信息安全的理论技术和计算机通信与网络紧密结合在一起,注重科技成果转化以及为社会服务的职能,利用与电信运营商之间长期稳定的合作关系,直接为我国电信事业建设和发展所需要的信息安全保障提供科学依据,同时根据目前和国家机关(部队、公安)的良好合作关系和科研计划,挑选政治合格、思想过硬的优秀学生进行反计算机犯罪和信息对抗的人才培养。
在专业建设中,确定重点建设“计算机网络与通信安全,电子取证,嵌入式系统安全”三个学科建设方向。本文将从人才培养、课程建设、师资培养、校企合作方面介绍南京邮电大学在特色专业建设方面的一些工作。
3.1人才培养
(1) 建立完备的人才培养体系。南京邮电大学作为江苏省第一批设置信息安全专业的两所高校之一,从2002年起正式招生,每届招收学生100人左右,学校还设置有信息安全专业硕士和博士点,形成了信息安全专业本、硕、博的全面培养体系。这对于有进一步学习深造意愿的优秀学生,提供了优良的条件。通过教学实践,深刻感受到在本科层次培养信息安全方面的专门人才绝非易事,同时这也决定了信息安全学科本科阶段的教育不可能贪高贪全。在本科人才培养时要讲究务实,要注意抛弃旧的、烦琐的、脱离实际的教学内容,不断跟踪新技术,并把最新的技术充实到教学内容中,并要强调实践环节。
(2) 实施模块化教学。模块化教学和实践基地教学两者相结合为目前较为理想的教学模式。从目前人才市场对信息安全人才的需求情况来看,市场对信息安全人才的要求不单只是要求他们具有坚实的理论基础,还要求他们具有较强的社会实践能力和创新能力。因此在借鉴以上两种模式的基础上,应结合当前实际情况,采用“模块化教学+实践基地教学”的模式。教学过程中借鉴国外经验,确立核心课程模块,保证信息安全教育的基础性、全面性,同时对教学大纲中规定的除核心课程外的专业必修课依其内容联系、应用需求等划分成三大课程模块:计算机与通信网安全,嵌入式信息安全技术和电子取证,供学生根据自己的兴趣选择不同的主修方向。计算机与通信网安全注重计算机网络与通信网络的信息安全理论与技术,侧重网络知识的学习;嵌入式信息安全偏向于硬件安全与嵌入式系统开发技术;电子取证以操作系统分析为基础,侧重电子取证技术,为国家部门(军队、公安、安全)输送专门的反计算机犯罪和信息对抗人才。在经过大一的基础课学习后,在大二、大三学生中建立兴趣小组,根据模块化教学的思想,由老师对不同兴趣组的学生进行引导,由学生自由挑选三个模块中的一个方向进行选课与学习,这种建立在自身兴趣基础上的发展选择有利于学生主动性的发挥。见表1。
3.2课程建设
(1) 课程体系和内容的建设保证基础、突出特色,一方面保证开设教育部高教司所编“普通高等学校本科专业目录和专业介绍”所列的全部课程,另一方面在基础课设置上,考虑到学校通信的传统特色和优势,增加通信学科基础课程。同时增加双语教学专业课程内容,以培养学生直接查阅英文文献和使用专业词汇的能力。注重更新教学内容,优化课程体系,打破学科课程间的壁垒,加强课程与课程体系间在逻辑和结构上的联系与综合。在专业方向课程部分,注意“宽、新、浅”相结合。“宽”指知识面宽,“新”指知识更新快,“浅”指知识讲解能做到深入浅出,符合本科教学特点。在实验课程建设中,要重点研究各类综合性实验与设计性实验的设置,使这些实验能真正提高学生的实际动手能力与综合知识的能力。
(2) 强调课程的实践性。从对信息安全人才的需求来看,无论是信息安全技术人员,还是信息安全管理维护人员,实际动手能力是非常重要的,因此,一是强调程序设计能力,使其达到一定的水平,二是要求学生熟练掌握信息安全产品的配置和使用技能。在主干课程的教学中,特别注重实践过程的训练并保证质量。南京邮电大学在2006年新修订的培养计划中90%以上的专业课程设有实验环节,要求学生完成设计性或综合性实验。南京邮电大学已完成由中央财政与地方在2005年共同投资360多万元的“信息安全综合实验室”建设,并建设了多个专业实验平台,目前已经具有优良的硬件环境,但还需要进一步完善实验软环境,进一步探索信息安全实验室建设的新方法。
(3) 专业教材的建设,精选经典教材,结合自编教材,不断充实反映科学技术和社会发展的最新成果,注意把体现当代学科发展特征的、多学科间的知识交叉与渗透反映到教学内容中来。现有的涉及信息安全的书籍多是技术类和专业理论的图书,如黑客攻防、密码学理论等,这样的书并不完全适合用作大学生的普及应用型教材,因此需要及时建设和更新教材内容,需要联合相关专家来编撰适合信息安全专业需要的教材。实验教材方面,目前绝大部分高校的专业实验仍然停留在一些简单的加密/解密、防火墙或者入侵检测等方面的实验,而对于网络攻防等更进一步的实验没有涉及,无法完成这些复杂的信息安全实验。准备利用“信息安全综合实验室”,研究具备一定规模、难度,示范性强的组合实验系统,并编制相应的教材。
(4) 加强实验室软环境建设,软环境包括实验平台建设与大型复杂实验设置。目前南京邮电大学已经具有硬件条件良好的信息安全实验室,在实验软环境建设中,已经初步完成了多个实验平台的建设。在今后要加强实验室软环境建设,以网络环境为基础,对外连接因特网,内部设置几个相对独立的网络群,安装一些常见的信息安全系统和设备,并根据普遍存在的网络和信息安全现象,组成模拟信息安全实验环境。要能满足完成网络攻防、反向追踪、电子取证等复杂的信息安全实验。设立创新实验室,多形式延长开放实验室,让学生有较多的动手机会,创新机会。
3.3师资培养
强大的师资队伍是培养高质量学生的基本保障,南京邮电大学信息安全专业的师资主要来自计算机学院信息安全系,师资队伍中包括博士生导师、教授、副教授等二十多人,但在学科建设中依然感受到师资力量的不足,迫切感受到师资队伍建设的紧迫性,南京邮电大学从以下三个方面加强师资培养。
(1) 新教师的引进和培养,一方面吸纳信息安全专业毕业的硕士生、博士生,一方面引入知名学者和安全公司的高级人才,学校提供优惠的条件来吸引这批人才,他们拥有最新的信息安全知识、较强的信息安全技能和合理的知识结构,对于专业建设是有力的新鲜补充。
(2) 在师资队伍建设过程中,制定政策鼓励教师交流与学习,设有专用的经费,保障教师参加学习与培训,参加会议等学术交流活动。对现有的信息安全教学人员进行定期培训,将现有的教学人员就近分批送到各地信息安全培训中心进行短期进修,如进行CISP、NCSE或CISSP等相应的信息安全认证的培训,鼓励教师取得信息安全认证资格。聘请信息安全领域的知名学者、专家作为顾问,这样不但可以直接培养高级信息安全人才,还可以指导青年教师,定期举办一些有关信息安全的讲座也可以使广大师生对信息安全增加了解。
(3) 强调教师的科研工作。教学和科研是高校两大任务,做好教学、搞好科研是对教师的基本要求,信息安全方向的科研工作可以加强理论学习的广度和深度,是教学质量的保障,学校制定了完备的科研政策和管理制度,鼓励和督促教师参见各种科研工作。
3.4校企合作
高等教育不仅要给学生传输知识,更要培养学生掌握应用知识的方法和能力,信息安全专业更是一门对实践要求很高的学科,我们要培养学生的社会实践能力和创新能力,必须加强校企合作,推进实践基地的建设,实现实践基地培养模式。实践基地培养模式主要有三个方面的内容:一要保证实践时间,信息安全专业的学生应花1个学期左右的时间具体到某一实践基地去实习信息安全应用的方方面面。二要保证实践基地,使学生有固定的实践地点,南京邮电大学将与更多的信息安全企业和事业单位合作,签订协议保证学生有更多的实习基地的选择,重点遴选若干技术力量雄厚、专业特征相符、适合大学生创新实习的友好企业作为长期合作的实习基地和科技研发伙伴。从提供实践基地场所的企业来说,去实习的学生,为企业提供更好更多的人才选择机会。
在计算机与通信网安全方面,南京邮电大学已经和绿盟、瑞星等知名专业安全公司签订了合作协议,定期交流,开办讲座,了解新技术和新产品,开阔学生的视野。在港湾网络有限公司、江苏电信、南京电信和江苏网通公司建立了实习基地,已签订了合作协议的实习基地已达8家。在嵌入式信息安全技术方面,已经和上海双实科技公司合作成立了教学实习基地,除了常年在学校里面设有实验室,每年还有一部分学生直接去上海双实公司进行实习。在电子取证方面,每年均有部分学生参与政府安全、公安部门的信息安全工作,在毕业后通过公务员考试,进入政府部门工作。三要保证实习师资力量,在实习基地应保证有固定的老师指导学生实习,可聘请实习单位经验丰富之士为学生作现身说法,现场讲授、现场演示。同时加强对本专业老师的实习培训,以便让其对学生的指导能有的放矢。
4结束语
信息安全专业是一个新兴而充满潜力的交叉学科,但由于其发展刚起步,各高等院校在学科建设的过程中遇到了不同的困难。对于多数高校而言,无法建立大而全的信息安全人才培养体系,各高校需要依据学校自身优势,明确专业建设目标,形成具有特色的信息安全专业体系,这才能有助于改善我国信息安全专业人才匮乏的现状。本文从人才培养、课程建设、师资培养、校企合作方面介绍南京邮电大学在特色专业建设方面的一些工作,我们的工作有成功之处,也有不足之处,还需要针对存在的问题,从教学内容和教学模式方面进一步提炼,使得信息安全专业特色建设的质量继续提高。
参考文献:
[1] 沈昌祥. 加强信息安全学科专业建设和人才培养[J]. 计算机教育,2007,(19):6.
[2] 张焕国,黄传河,刘玉珍,王丽娜. 信息安全本科专业的人才培养与课程体系[J]. 高等理科教育,2004,(02).
[3] 杨义先,钮心忻. 信息安全类学科建设―体会与案例[J]. 信息网络安全,2008,(01):19-21.
[4] 张焕国,王丽娜,黄传河,杜瑞颍,傅建明. 武汉大学信息安全学科建设与人才培养的探索与实践[J]. 计算机教育,2007,(23).
[5] 邱卫东,陈克非. 信息安全数学教学的新型互动模式[J]. 计算机教育,2007,(19):19-21.
[6] 王海晖,谭云松,伍庆华,黄文芝. 高等院校信息安全专业人才培养模式的研究[J]. 现代教育科学,2006,(03):143-145.
论文摘要:随着计算机网络的普及以及网络安全事件的不断出现,“网络安全基础”课程被列为信息安全专业学生的必修课。本文讨论了信息安全专业“网络安全基础”课程的一些教学改革措施,从教育观念与教学顺序上的逆向法应用、多种教学手段与方法的协调、最终质量评价依据的多样性方面进行了教学改革探索,从而有利于把人才培养模式从注重知识传授转向知识传授与素质培养并重。
随着我国信息化进程的不断深入,信息安全问题成为政府和企业广泛关注的焦点问题,而信息安全人才成为制约我国信息安全发展的瓶颈。[1]信息安全人才培养离不开信息安全的专业建设和课程建设,也离不开一些课程的教学改革研究。“网络安全基础”就是信息安全专业的一门专业必修课,它在整个专业体系中扮演着越来越重要的角色。因此,如何进行信息安全专业的“网络安全基础”课程教学改革成为当前亟待解决的问题。
网络安全是一门涉及计算机技术、网络技术、通信技术、信息安全技术、信息论与编码、统计学等多门学科的交叉学科,“网络安全基础”是讲解与网络安全有关的最基础的原理、技术及方法,它有着知识更新快、量大、多学科交叉、难以掌握的特点。对于信息安全专业的学生而言,“网络安全基础”的教学学时相对偏少,而且部分内容晦涩难懂,理解起来比较吃力,学生普遍反映比较难学。所以如何在有限的教学学时内,不但将“网络安全基础”这门课的基本理论、基本知识讲深讲透,而且让学生掌握基本的实际网络技能是每个任课教师的一项艰巨任务。[2]因此有必要转变不适应时代要求的过时教育观念与人才培养模式,克服以往在计算机网络课程教学中存在的诸如教学内容偏旧、教学手段单一、知识讲解囫囵吞枣、实验方法落后的缺陷与不足,从转变教育思想、更新教学内容、强化素质教育入手,深入进行教学改革,将人才培养从注重知识传授转变到强调知识传授与创新能力全面发展并重的模式上来,[3]为培养信息化社会所急需的信息安全人才打下良好的基础。
一、 教育观念与教育顺序上的逆向
在网络技术越来越普及的今天,学生每天都在感受网络技术的变革以及给生活带来的影响,我们在这门课程的教学中,应该切实改变教学观念,从以往单纯按照课本知识的填鸭式教学转变到以学生为教学中心上来,在对基本知识、基本理论传授的基础上,更加注重对学生日常接触到的网络技术进行讲述,这样才能充分调动学生的积极性,发掘学生对知识获取的好奇心。反过来,这种教学方法对教师本身提出了更高的要求。在以学生为中心开展的教学活动中,学生由之前的被动受教育者转变成主动的知识获取者。而在教学顺序上,目前的教材一般是以网络七层或者五层体系结构为主干来展开的,而以往的教学也是从体系结构的底层逐层地往上讲解。这样的讲解有它自身的优点,但是有一个很大的缺点就是学生一开始就接触比较抽象的网络底层知识,容易使学生感觉所学知识无用,这样不利于培养学生的积极性和认同感。而我们在教学活动中,采用的是一种自上向下的教学顺序,先从学生平时都经常接触的网络应用讲起,然后层层往下讲解,直至最后将基础理论讲透。这种逆向的教学方式,学生反映良好。
二、多种教学方法与手段的协调采用
良好的教学方法与手段是提高教学质量的重要环节。因此我们对传统的填鸭式教学方法与手段进行了改进,在充分利用传统方法、手段教学的同时,积极采用多种形式的教学方法,如讨论式教学、推演性教学、理论联系实际教学、逆向教学等。而在教学手段上,我们一方面继承传统手段的优势,另一方面注意吸收其他如多媒体教学、网络答疑等教学手段。
第一,引进先进的教学手段。利用多媒体技术,采用观看多媒体课件等教学手段,使抽象的计算机网络理论更加形象化。例如我们将电路交换、分组交换、报文交换制作成动画课件,大大提高了课堂的趣味性,不但加快了教学速度,也能对重点问题、基本理论进行透彻的讲解。
第二,采用课堂讲解与师生讨论的方法。改变沿袭已久的满堂灌、填鸭式授课方式,这样能激活学生的思维,提高学生学习的积极性。对于计算机网络的基本概念,如分层体系结构与TCP/IP协议等,主要以教师讲授为主;而对于IP地址的概念,以学生们熟悉的网络聊天为例,提出问题:如何知道同伴的大致位置?通过引导,学生们可以知道:聊天时由于对方发给你的数据中包含有和你交流时的计算机IP地址,而IP地址是通过中国互联网信息中心根据一定规则分配的,因此根据IP地址就可以知道同伴的大致位置。
第三,在教学中应经常使用归纳、小结。这样做有利于温故而知新、理出头绪。比如介绍交换方式类型时可以归纳:电路交换、分组交换(包括数据报和虚电路)、报文交换三种交换的不同点、优缺点。可以从信道占用方式、排队方式、带宽利用、信道利用、连接方式、协议复杂度、时延大小、传输速率的高低、传输顺序、灵活性等方面进行比较。通过适时的小结与归纳,不但能对基础知识加以巩固,还有助于提高记忆效率,便于迅速地提高知识水平。
第四,鼓励学生上网自主查阅文献资料和使用网络工具。针对部分学生自我学习自觉性不高的特点,提出一些与实际结合比较紧密的问题,让学生通过上网查阅资料的方式去解决,提高学生的学习兴趣和解决实际问题的能力。比如可以让学生查阅常用网络产品的价格、性能、相关技术及应用领域;如果通过普通方式不能看到网友计算机的IP地址,如何才能看见。针对所提的问题,可以给学生一些提示,通过解决这些实际问题,不仅可以加强学生对网络知识的理解,培养学生主动学习的良好习惯,还可以提高学生运用所学知识解决实际问题的能力。
三、评价依据的多样性
对于信息安全专业的学生,应注重实践操作能力与应用能力,传统的考试方式只是让学生苦于死记大量枯燥的网络原理与理论,造成学生“学习为了考试,考试完了全忘”的情况。仅凭卷面考试来确定学生的成绩是不全面的,因此需要完善学生成绩评价措施,使学生理论考试成绩、实践考试成绩和自愿性作品在总评中各占一定的比例。[4]理论考试只考查最基础的网络原理,实践考试主要考查学生应用网络知识的能力。这既让学生重视了基础理论的学习,使他们掌握了一些必备的网络原理和理论,又使他们进行了理论联系实际的操作,掌握了比较重要的操作技能。
在成绩评定过程中,也考虑学生的自主创新意识。也就是鼓励学生在期末自愿提交自己的小作品来进行最终成绩的加分。我们鼓励有创造性的学生通过独立思考,自主查找文献资料与利用网络工具,积极动手设计自己的作品来提高自己最终的课程成绩。这在提高学生的课程综合素质,培养独立思考能力和创造能力方面具有一定的激励作用。
四、结束语
信息安全人才培养是国家建设信息安全保障体系和社会信息化健康发展的重要保证。随着学科的交融以及新技术的不断涌现,传统的教学模式和教学内容日益受到冲击。在这种情况下,如何搞好信息安全专业的“网络安全基础”课程的教学,提高教学质量,为社会培养出既具有丰富的理论知识,又具有较高的分析、设计、开发、管理与应用技能的信息安全人才,是一个迫切的研究课题。
参考文献:
[1]吕欣.关于信息安全人才培养的建议[J].计算机安全,2006,(2):44-46.
[2]张军.非计算机专业“计算机网络”教学改革实践[J].广东工业大学学报,2006,(12):103-104.
关键词:双导师双主体;引导式;职业技能大赛
中图分类号:G424 文献标识码:A 文章编号:1009-3044(2017)02-0122-02
双导师制是一种目前在工程硕士的培养当中普遍采取的培养模式,但是在高职院校当中应用的相对还是较少。高职院校引入企业导师参与教学实践,目前采取较多的方式是将企业导师作为校内教师的一种补充,完成各种课程,尤其是实践性课程的教学任务。在长期的使用当中,企业导师的使用出现了较多的问题,比较突出的包括以下几点:
1) 教学技能和教学理念的缺失,部分企业导师因为缺少教学培训,虽然技能很强,但是无法以合理的方式传授给学生,也缺少课堂的组织能力,导致课堂当中学生玩手机、玩游戏等情况较为严重。
2) 上课时间无法保障,企业导师由于在企业另有岗位,在本校上课仅仅是兼职活动,因为单位的各种正常工作安排时有发生,导致因公因私的调课率远高于校内教师。
3) 备课时间无法保障,部分企业导师由于工作繁忙,无法保障备课任务,导致上课时照本宣科,影响了学生的学习效果。
根据企业导师的使用当中出现的问题,发现企业导师并不是很适合作为单独的教师使用,最好是搭配校内教师和校外教师互相配合。由校内导师负责知识、技能的传授指导,校外教师负责技能的方向性指导和在企业的顶岗实习指导。
将学生根据职业定位和学习特点分成不同的学习小组,每一个小组搭配企业和学院双导师。在对内的教学组织当中实施双主体模式,教师作为教学引导的主体,负责引导学生进行自主学习;学生作为学习的主体,在教师的引导和组织下开始学习。这样的一种培养模式,本研究暂时称之为:双导师、双主体培养模式。
信息安全技术专业2014级学生总人数57人,专任教师总人数5人,行业兼职教师2人,校内兼课教师3人。生师比接近10:1,学生数量不大,教师数量基本够用,能满足试点时的人力富裕要求。为了实践这一培养模式的可行性,在对学生和教师进行综合考量下,选择在本院信息安全技术专业当中进行试点应用。
1 调研学生的职业定位
信息安全专业人数较少,但是学生在报考本专业的时候,有一定的盲目性,所以首先在2014级信息安全专业当中进行了一次全面的调研,确认每个学生的职业定位和学习方向。通过调研发现,发出调研报告57份,回收50份,其中学生的专业定位数据如表1所示。
2 对学生进行分组
根据表格1数据,同时考虑到本专业教师数量因素,第一期先从中选取参与方向人数最多,并且跟专业的关联度最高,与职业技能大赛结合最紧密的两个方向:渗透测试和网络安全管理方向:这两个方向分别针对了两个职业技能大赛,网络安全攻防大赛和计算C网络应用大赛,所对应的企业岗位分别是web渗透测试和网络安全工程师岗位。而根据历年的毕业生跟踪数据显示,这也是学生入门工资较高的两个职业岗位。
3 选取参与教师,聘任企业导师
导师的选择是项目进行的重点,也是难点之一,不仅仅要选择职业技能最为突出的教师参与,而且要克服经费不足问题,教师要具有较高的奉献精神,尤其是在项目运行当中,有着严格的项目考核机制,如果考核不合格,将不予拨付经费,所以教师的选择尤其困难。
在具体的选拔过程当中,校内教师选择指导大赛经验较为丰富,指导过多次职业技能大赛的两位专业负责人作为校内指导教师,以专业负责人岗位津贴作为教师的项目启动经费。
企业导师的选择选取了与本校合作较多,有较多实验室和校园网建设合作的教师作为企业导师,并且聘任了两位往届优秀毕业生作为企业导师;因为对于部分长期合作的企业,本专业三年以来,累积输送了十人以上作为企业的实习生和员工,企业的合作培养参与度较高,企业领导也较为重视,批准了企业员工参与项目建设。而本专业往届学生参与指导时也较少考虑经费因素,比较有利于在经费较为紧缺的情况下开展项目。
4 确认双方职能,激励学生参与
在整个项目的运行当中,突出双导师指导下的双主体模式,跟以往单纯针对职业技能大赛的短时间培训不同,本项目运行特别突出学生的主体作用,学生才是整个项目的学习主体,教师只是作为引导的主体参与活动。
为了能更有效的激励学生的参与度,安排学生走访了海南省澄迈软件园,实地调研了其中的多家企业,同时邀请了职业技能培训机构对学生进行了就业形式分析;在完成了第一期调研的基础上,邀请往届优秀学生分成创业组和技能组分别和项目组学生进行交流和座谈,引导学生进一步明确自身的职业方向。
企业导师的职业技能很强,但是工作繁忙,指导时间不可能很长,所以在整个项目的运行当中,主要提供方向性的指导,让学生明确职业工作当中需要哪些技能,有哪些需要注意的关键点;而具体的技能传授和学习引导由学校内部教师进行,校内教师作为学生和企业导师的桥梁,帮助企业导师将技能需求明晰化、项目化之后传达给学生;将学生遇到的无法解决的问题、对企业实践经验的需求明确化、提炼之后转达给企业导师。
学生是整个项目运行的重中之重,为了更加有力的提高学生的自身参与度,增强学生的自学能力,最后实现自我学习的目标。在整个的项目运行当中,遵循建构主义的学习思路,将内容变问题,将讲授变研讨,将答案变行动;不再简单地将知识、技能传授给学生(基础技能在课内教育当中已经基本实现),而是在已有知识技能基础上,以项目化推进的形式,引导学生主动深化知识,在内部的交流合作当中,发现新问题,解决新问题,提出新思路,实现新目标;
在具体的培养当中,网络安全管理方向的学生紧紧围绕H3C网络工程师的考核需求,以逐步参与校园网管理的方式增强学生的职业代入感和责任感;web入侵渗透测试方向的学生紧紧围绕CTF大赛的模式,在逐步进行的过关竞赛当中积累技能和信心,寓教于乐。
5 考核管理机制
质量是检验一切的真理,学生的培养当中,是否真的切实学习到了所需要的知识技能,是否真的提升了学生的自我学习能力,是否真的增强了学生的就业竞争力,都需要一个考核认证机制,否则在项目的实施当中,就很容易流于形式,从而影响了项目的成效。
在首先确立了学生职业技能需求的基础上,整个目标管理机制分为过程性检验机制和终结性检验机制。
过程性检验机制包括在线资源记录(图1)、音频视频资料(图2)、在线交流记录(图3)、面对面指导记录;在整个过程中引入CRP平台的导师平台,由学生和教师双向确认辅导记录(图4),确保整个辅导过程可控、可靠、有效。
形成性检验机制只能保证项目的进行是可控可靠的,但是无法从根本上保障质量的落实,所以终结性考核的作用就显得尤为重要,本项目两个实践组的目标非常的明确:大赛和就业,所以在最后的考核当中就包含上述两个方面。
在运行了一个学期之后,目前本项目组成员在海南省各项技能大赛当中收获喜人,获得海南省职业技能竞赛计算机网络应用赛项二等奖一项;中国大学生计算机设计大赛海南赛区一等奖一项,二等奖一项,三等奖一项;软件开发大赛JAVA赛项高职组海南省一等奖一项,二等奖一项,三等奖两项;海南省第一届网络安全大赛,本组成员参与获得初赛排名第七,成功晋级决赛。
6 总结分析
双导师、双主体制培养模式的实施当中,还碰到了很多的问题,学生的参与面不够广,目前本专业教师的数量还不足以满足全部学生的参与,生均培养成本较高,如果项目全面铺开,将带来更大的成本投入;企业导师的参与积极性不高,由于企业教师的工作较为繁忙,并不热衷于⒂牖疃,在项目运行中,企业导师只能满足最多不超过一周一次的活动参与,给学生的指导力度不足,提供的实习岗位有限,限制了学生的实践动手机会;学生的自我学习能力较差,在以问题引导,项目引导的方式开展学习时,学生的知识储备不足,自我学习能力和自我管理能力还有所欠缺,目前主要通过微课、慕课、在线实训平台的方式进行弥补,但是效果还有待进一步加强。
虽然存在诸多的问题,但是在运行了一个学期之后,部分拔优学生的技能水平和自我学习能力已经有了明显的提高,在项目的下一步试点中,准备进一步铺开其他项目之后,应该可以吸引更多的学生参与,给合作企业提供更优质的实习生,给项目导师提供更高的经费支持,从而推动企业的参与积极性,取得更好的实践效果。
参考文献:
[1] 邓艳,林军. 全日制专业学位研究生“双导师”制度实施优化方略――以南京邮电大学为例[J]. 重庆科技学院学报:社会科学版,2012(17).
[2] 黄振中.“双导师制”在法律硕士教学与培养中的完善与推广[J]. 中国大学教学, 2012(2).
[3] 耿有权,彭维娜,彭志越,等.全日制专业学位研究生培养模式运行状况的调查研究――基于全国14所重点高校问卷数据[J]. 现代教育管理, 2012(1).
关键词:计算机犯罪侦查;信息安全;培养方.案;课程体系;
中图分类号:G642 文献标识码:A
1 引言
随着信息化的发展,虚拟空间的计算机犯罪呈快速发展的趋势,严重影响了信息化社会的健康发展,影响了现实社会的社会安定、社会安全和国家安全。为了应对新型的计算机犯罪问题,公安部组建并成立了公共信息网络安全监察局,并拥有覆盖全国的相关机构,以处理不断增多、形式多样的计算机犯罪问题。在和公安部下属的院校、研究所,以及普通科研机构中科院下属的软件研究所和高能物理研究所,北京大学、武汉大学等高等院校也展开了对计算机犯罪问题的研究工作。
信息安全学科是由数学、计算机科学与技术、信息与通信工程等学科交叉形成的一门综合性学科。信息安全专业是一个综合性的专业,它以计算机、通信、数学、法学等专业为基础,主要研究领域涉及现代密码学、计算机系统安全、计算机与通信网络安全、信息系统安全、电子商务/电子政务系统安全、信息隐藏与伪装等。
计算机犯罪侦查专业目前主要在公安院校设立,2004年首先在中国人民公安大学、沈阳刑警学院的计算机科学与技术专业发展而来。本文结合作者在中国人民公安大学信息安全工程系的教学工作,就如何在计算机犯罪侦查专业教学中设置信息安全相关课程进行了探讨,包括课程设置、实践环节设计、实验室建设等内容。
2 课程设置
2.1 课程设置原则
课程设置要符合专业知识体系特点,由于计算机犯罪侦查专业是交叉学科,要求的基础面比较宽,不可能开设所有相关的专业基础课,因此对这些基础课程必须进行一些取舍。专业课程设置可分为专业基础课、专业主干课、专业提高课和专业实验实践课。为了培养多方面多层次的人才,在课程设置上还应注重多层面内容的结合,特别加强了专业实验实践教学来提高学生运用知识的能力。其中在专业提高课中,注重学生的分流,对有深造愿望的一部分学生加强专业理论的学习,对就业的大部分同学加强专业知识的实践运用。专业实验实践课程主要加强在公安实践中的专业知识的运用。
课程方案基于2004年版中国人民公安大学计算机犯罪侦查专业培养方案(以下简称原有方案)的课程体系进行设计,参照了国内外院校信息安全专业课程设置的相关材料,既体现计算机科学与技术学科基础,突出信息安全学科专业方向内容,同时又保持我校公安侦查特色与优势。
2.1 课程设置方案
根据原有课程设置方案,计算机犯罪侦查专业课程设置大致分为通识教育内容、专业教育内容和公安学教育内容三个部分,每个部分又包含若干个知识体系。通识教育内容包括:人文社会科学、自然科学、思想教育、外语、计算机信息技术、体育和实践动手能力训练等7个知识体系。专业教育课程大致包括:专业基础课程、专业主干课程、专业提高课程、专业实验实践课程等4个知识体系。公安学教育内容包括刑法学、公安学、侦查学、刑事科学技术、治安学和警体技能等6个知识体系。
参考全国高校本科信息安全专业本科教学规范和相关高校计算机学院信息安全专业的人才培养方案,结合公安业务部门一线需求实践,保留我校计算机犯罪侦查专业的特色和优势,我们可以对原有方案的课程设置做如下调整:
(1)大学通识教育课程和公安学课程类保持不变。
(2)对专业基础课程进行调整,使其涵盖数学、计算机、电子、通信学科的基础内容。在原有方案中,增加“电路与电子技术”、“通信原理”两门课程。同时把“离散数学”改为“信息安全数学基础”,增加数论和群环域等代数内容,侦查学课程只保留侦查学概论(公安学课程类中已讲)、侦查程序内容。
(3)对专业主干课程进行调整。专业特色课程包括原有方案的“现代密码学”、“网络安全”、“信息网络安全监察技术”、“计算机犯罪侦查技术”,以及新增的“信息安全体系结构”和“计算机犯罪取证技术”。
(4)在专业提高课程中,对专业提高课进行了增减,包括原有“数字信号处理”、“嵌入式系统”、“多媒体技术”、“JAVA与面向对象程序设计”、“Linux原理与应用”以及新增的“信息隐藏与数字水印”、“电磁防护与物理安全”、“信息内容安全”、“信息安全新技术讲座”、“电子取证技术”和“网络程序设计”等。调整后的提高课程,增加了信息安全与计算机侦查技术的知识广度,同时加强了学生程序开发能力。专业提高课程是按知识结构进行了简单的分类,而在学生选修课程时可以打破选修方向限制,可根据兴趣同时选修每个方向的每门课程。
(5)专业实验实践课程,在下一节介绍。
表1给出了计算机犯罪侦查专业方向的课程设置方案。
3 计算机犯罪侦查专业实验实践教学的设计
计算机犯罪侦查是一个实践性很强的学科,尤其适应公安网监等部门的业务要求,要求学生有更强的解决实际问题的能力,计算机犯罪侦查专业必须加强实践环节的教学。因此我校特别加强了专业实验实践课,包括独立实验课程、专业课题设计、项目实践、毕业课题、科技创新、公安认知型实践、公安专业业务实习等多种形式。
(1)专业实验课程。包括原有方案中的“密码技术应用实验”、“微机系统与接口实验”、“计算机取证技术训练”和“计算机组成实验”,以及新增的“计算机网络实验”、“信息安全综合实验”、“网络安全实验”等。
(2)专业课程设计。在专业课教学中,由任课教师安排组织学生组成若干项目组,根据教学内容设计题目进行编程开发和系统实现。可进行“嵌入式系统设计”、“计算机网络系统设计”和“信息安全工程系统设计”等一般性课程设计,也可以进行“程序设计综合训练”、“信息安全系统软件”等大型应用软件课程设计。
(3)项目实践。引导有特长的学生参与到系部老师在研的项目中,进行实际项目开发与工程实践。
(4)科技创新。系部资助经费,鼓励学生参加程序设计大赛、电子设计大赛、嵌入式系统大赛、科技创新或发明大赛、创新或创业设计大赛、撰写学术论文等。
(5)毕业课题设计。由指导教师确定题目或结合公安实习单位相关项目,进行技术专题研究或工程设计。
(6)公安认知型实践。主要在大一和大二的暑假,要求学生参与基层派出所工作,初步了解基层公安工作,树立警察意识,培养警察职业的感性认识和适应能力。
(7)公安专业业务实习。大三和毕业实习中,深入了解公安业务,参与到网监部门工作,掌握警察执勤办案程序,并结合所学计算机犯罪侦查专业,参与到实习单位项目开发中,培养独立工作能力。
表2给出了一个计算机犯罪侦查专业的实践教学的安排。
公安大学计算机犯罪侦查实验室结合了公安专业特色,目前建了计算机基础实验室、计算机软件工程实验室、计算机硬件实验室、网络攻防实验室、计算机犯罪侦查实验室和信息安全实验室。我校信息安全工程系和安全防范系合作申请部级“电子证据实验室”,主要以我国公安、司法部门针对计算机犯罪应用的法律和技术方面相关需求为导向,开展面向电子证据取证的技术、标准、检验方法、取证模型等领域的研究。
公安大学计算机基础实验室主要完成全校计算机公共课的实验教学。计算机软件工程实验室主要面向计算机犯罪侦查系专业课学习,可进行软件工程、面向对象语言等教学实验。计算机硬件实验室为“数字逻辑实验”、“微机系统与接口实验”和“计算机组成实验”等实验教学服务。网络攻防实验室主要进行网络攻击与防御技术、计算机病毒原理与防治、入侵检测等实验教学。计算机犯罪侦查实验室主要进行计算机犯罪侦查技术、计算机犯罪取证技术和侦控、监控技术的教学实验。信息安全实验室主要为现代密码学等相关内容的教学实验服务。在申请的“电子证据实验室”将为学生可以提供计算机犯罪侦查和电子取证的综合软硬件的实验实践场所。
【关键词】密码学 教学理念 教学方法 信息安全
【中图分类号】G64 【文献标识码】A 【文章编号】2095-3089(2012)12-0024-02
随着计算机网络的广泛应用,信息已成为社会发展的重要战略资源。信息安全在信息社会中已经体现其重要作用,它会直接关系到国家安全、企业经营、人们的日常生活,因此信息安全这一学科也被确立并得以迅速发展。信息安全是集计算机、通信、数学、电子等众多领域的一门综合、交叉的学科,信息安全可分为系统安全(包括操作系统的安全、数据库系统的安全等)、数据安全(包括数据的安全存储、安全传输)和内容安全(包括病毒的防护、不良内容的过滤等)三个层次,而密码技术是保障数据安全的重要的关键技术。
一、密码学课程在信息安全本科专业课程体系中的地位及作用
为应对社会对信息安全人才的大量及不断增加的需求,教育部继2001年批准在武汉大学开设信息安全本科专业之后,又批准了多所高等院校设立信息安全本科专业。密码学是高校信息安全本科专业学生的一门专业基础课,为学生学习后续课程——网络安全协议与标准、信息系统安全技术及应用等课程奠定了基础。没有密码技术,数据的安全存储和安全传输就得不到保障,从而信息安全也就无从实现。因此密码学课程是信息安全本科专业中非常重要的专业必修课。
二、密码学课程的特点
密码学这门课和其他工科专业基础课相比,具有学科跨度大,难度大,理论性和应用性强的三个特点。
1.学科跨度大
2.难度大
3.理论性和应用性强
三、密码学课程教学理念
1.面向信息安全专业本科生的密码学课程教学
现今许多高校中数学、计算机、通信等相关专业的高年级本科生和硕士生的选修课或必修课都开设了密码学这门课程,这些相关专业的高年级本科生和硕士生在某一个专业或两个专业已经具备一定的基础知识,因此学习密码学课程,和信息安全专业本科学生相比来说,困难程度就会降低一些。面对信息安全专业本科生的这一教学对象,密码学课程的教学应该具体怎么去组织和开展,这必然和相关专业的高年级本科生和硕士生的密码学课程的教学是不一样的。信息安全专业本科生和其他相关专业本科生一样,在大一学年要学学英语、线性代数、高等数学等基础课程,到了大二下学期或大三上学期会接触到信息安全学科的专业基础课,这些专业基础课中包括密码学,因为密码学具有前面所述的三大特点,信息安全专业本科生会感觉到学习密码学课程的困难性,而且随着课程内容的逐步深入,他们的畏难情绪会越来越重,所以应根据信息安全专业本科生的特点,进行课程教学。
2.注重培养学生正确的密码学思维方式
密码学课程的思想内涵丰富,并不是各种密码算法的简单堆砌,所以在讲授密码学课程内容时,不能为讲授理论而讲授理论,要在讲理论的同时,把理论中体现的密码学思想,给学生剖析清楚,这样,学生在思考和解答密码学问题时潜移默化地形成了正确的密码学思维方式。
四、密码学课程教学方法
1.注重通过例题演算理解密码算法
将经典算法或其重要步骤和例题演算结合起来,促进学生理解经典算法。
讲到公钥密码体制的经典算法——RSA算法时,在向学生讲授RSA算法的加解密原理后,和学生一起完成用RSA算法对消息的加解密过程的例题演算,目的是让学生对此算法有一个感性的认识。
2.注重各章内容的关联,“由浅入深”展开教学
密码学课程中的古典密码,流密码,分组密码,公钥密码在知识层面上是由浅入深的,古典密码、流密码、分组密码是存在着内在的联系的,公钥密码和前面三种密码是完全不同的,从理解的难度上来看,公钥密码理解起来也比前三种密码要困难。在教学实践中,按照古典密码,流密码,分组密码,公钥密码这四部分顺序进行有助于学生的学习和理解。密钥管理与密钥分配、消息认证码与杂凑函数、数字签名与认证协议更体现密码学的应用性,不管采用何种密码体制,都离不开密钥,密钥管理与密钥分配是密码算法在实际应用中要解决的瓶颈问题,消息认证与数字签名是密码学认证应用的重要方法和技术手段,和分组密码及公钥密码有密切的联系。
3.注重课堂和课后与学生互动
密码学课程以老师讲授为主,注重与学生互动,特别是将重要的知识点和日常生活中学生经常接触到的信息安全问题结合起来,激发学生的学习兴趣,由被动听课变为主动思考。课后互动主要是阅读学生的课程论文并给出意见,课程论文即学生根据密码学课程中的一个或多个知识点出发,体现自己有关密码学的观点。
4.注重密码算法的应用演示
讲授密码算法时,利用开源软件和开源代码向学生演示密码算法的重要步骤,解释每步的结果的由来,或演示一些密码算法在后续过程中的应用。
5.注重经典密码算法关键步骤的编程实现
密码学课程就是由一个个的密码算法组成的,教师提供一些复杂的经典密码算法的开源代码给学生,让学生分析代码,算法的关键步骤让学生去完成,通过程序的编写,帮助学生理解和分析经典密码算法,为今后密码的应用实践奠定基础。
以上是笔者对信息安全本科专业密码学课程的教学理念和教学方法的一些拙见,由于这门课程的特点,还有很多方面都需要改进和充实。比如由于实践课时有限和前置课程的设置,密码算法的工程应用(数字签名、身份认证、数字通信、电子商务和电子现金交易的应用)目前在实践教学中还较少涉及,若加入这部分内容,不仅能纠正学生“密码学是纸上谈兵”的错误认识,而且能调动学生学习算法原理的主动性。
参考文献:
[1]杨波.现代密码学(第2版)[M].北京:清华大学出版社,2007
购物车(0)