发布时间:2023-10-12 17:42:06
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇信息安全概论范例,将为您的写作提供有力的支持和灵感!
中图分类号:G642 文献标识码:B
文章编号:1672-5913 (2007) 23-0026-03
信息安全是计算机学科下的二级学科,是一门新兴的学科。它涉及通信学、计算机科学、信息学和数学等多个学科,主要研究范围涉及计算机及网络安全的各个方面。“信息安全概论”课程是信息安全专业的专业基础课程,也是提高学生计算机水平的重要组成部分。其教学内容主要包括:信息安全概述、密码学基础、密钥分配与管理技术、访问控制、防火墙技术、入侵检测技术、信息安全应用软件、企业与个人信息安全、Web的安全性、网络安全,它是一门综合性很强的课程。它的作用主要是让学生掌握信息安全的基本原理、基本概念;了解信息安全系统的设计方法;且要求学生能够进行一些信息安全实践,提高动手能力。学时分配为:理论教学32学时,实践教学24学时。由于这门课程理论性强、信息量大且抽象,而授课对象是低年级学生,专业知识尚不丰富,因此,如何在教学过程中提高学生的学习兴趣?如何开展实践教学?如何更好地将理论教学的知识点有机地融入到具体的实验中去?使学生不仅能够通过实验理解和掌握理论教学的内容,还能通过实验了解和掌握一定的工程技术知识,培养和锻炼学生的分析能力、综合解决问题的能力和实际动手能力,就成为我们在教学研究中需要解决的主要问题。
1目前教学中存在的问题
(1) 教学媒体使用不当。传统的教学方法主要是把学生集中起来,现在虽然有多媒体教室,对教学起到了一定的积极作用,但课件多是对书本内容的罗列,对启发式、讨论式的教学方法采用比较少。而课程内容较多且抽象,被动接受知识的方式无法有效提高学生的学习兴趣,学生普遍反映应难以跟上教学进度。
(2) 教学内容与数学课程脱节。信息安全概论这门课程涉及到大量的算法和协议,如密码学涉及到大数大因数分解问题、离散对数问题、椭圆曲线离散对数问题,等,这体现了信息安全专业与数学基础学科结合的紧密性。而在课程开设中,往往认为该课程是入门课程,而忽视了对数学课程的讲解,导致学生学习相关内容时感觉较难掌握。
(3) 重理论,轻实践。“信息安全概论”是信息安全学科的一门基础课,主要为信息安全及计算机相关专业的低年级本科生开设,因此,该课程旨在对学生讲解信息安全的基本理论,让学生对信息安全学科有个较为全面的认识,以利于后续课程的开展。信息安全主要讲解内容包括信息安全基本理论、安全协议及安全技术等几个部分。在开设课程过程中,由于片面注重理论的重要性,往往造成以课堂讲授为主,形成一种“灌输式”的教学。然而,由于该课程是为低年级学生开设,很多同学在听课过程中,感觉内容比较抽象,无法正确理解课程内容。如:RSA大数分解等内容,如果学生只是被动记忆公式和算法,而不借助实践性环节,如创新性实验、课程学习讨论、课程设计环节,等,将导致学生学习兴趣不高,教学质量没有保证,不利于学生创新能力的培养。
2课堂教学的改进
针对上述问题,教学组对以下几个方面作出了改进。
2.1课件的改进
板书与课件相结合的方式可提高教学效果,但其中最关键的是课件的制作。课件的内容不能仅是课程内容的罗列,而是要对课程内容跨章节地组织起来,形成一个整体,当然也包括与其他课程之间的关联。如在讲解密码学、访问控制、防火墙技术等章节后,学生具备了信息安全的基础知识,但是知识点比较分散,对信息安全的综合应用能力较弱。教学组在课程讲授过程中安排综合应用实例讲解。如以电子商务安全综合应用实例,该综合实例讲解安排在讲授完各个章节内容以后,共2学时。内容是设计典型企业网络拓扑;运用对称密码学,如DES算法为基本加密手段对电子交易进行加密,利用非对称密码学,如RSA算法;采用数字信封方式,对DES会话密钥进行加密分发;采用防火墙对企业网络进行防护;交易过程采用SET协议保障安全。这样,学生就能将各个章节的内容联系起来,巩固所学知识,提高综合运用的能力。
将信息安全中理论性强、极其抽象的内容制作成 Flash 动画。例如在讲述DDoS攻击时,学生对攻击者侵入傀儡机,并利用傀儡机攻击的过程很难理解。可用 Flash 动画来演示,以便在课上形象讲解黑客是如何对傀儡机进行控制,并对受害网络进行入侵的。特别将洪泛攻击的特点用动画方式,一步步展现给学生,使学生轻松接受知识。这种课件也便于学生在课下自主复习。
2.2重视数学基础
信息安全涉及大量的基础协议,如密码学中的RSA算法就涉及近世代数的基础知识。因此,需要为学生开设相关的数学基础课程,同时,在讲授该算法之前,先对数学知识进行复习,复习时以要点讲解为主,如:欧拉函数的定义,逆元的求解方法,等。对于逆元的求解,可以以具体的RSA实例进行讲解。另外,让学生进行实际的上机练习,利用数学基础进行编程实验,加深对密码学基础知识的理解,如为学生布置这样一道上机题:若有明文public key encryptions,请设计RSA加密算法对该明文进行加密,编程实现密钥的生成。学生就能通过上机实践,熟悉RSA算法的原理,并理解每个步骤的计算过程。
3改进实验方法
课堂讲授之外,还要对实验课进行合理安排。实验主要包括信息安全协议实验和信息安全综合实验两个部分。如表1所示。
表1 课程配套实验内容
其中,信息安全协议实验目标是使学生系统掌握安全协议及算法,了解安全协议的应用范围。掌握根据系统的安全要求(包括机密性、完整性、访问控制、鉴别、审计、追踪、可用性、抗抵赖等方面),综合运用安全协议的能力。信息安全综合实验目的是将系统的安全要求(包括机密性、完整性、访问控制、鉴别、审计、追踪、可用性、抗抵赖等方面),在OSI或者TCP/IP模型的各个层次予以考虑,并且结合安全管理策略在网络安全方案中予以保障,从而构成实际应用中的一个完整的信息系统安全方案。
实验课程中,教师先利用原型系统对实验效果进行演示,特别对网络攻防相关内容,进行实际操作演示,提高学生学习兴趣。
实验内容有针对性,以便于学生结合课堂上的实例讲解,理解信息安全的抽象内容。要求学生对实验结果进行分析、讨论,鼓励学生组成讨论小组,并写课程小论文,以加强学生之间的交流。如对于数字签名的实验,可让学生分成两组,在一台实验机器上完成信息的生成、签名、发送,在另一台机器上,对网络上接收到的信息进行解析、完整性校验。
为了更好地培养和锻炼学生的独立工作能力和创造性思维能力,对于信息安全综合实验,我们为学生设计了一个模拟的安全需求,具体如下:设计一在线考试系统,并从以下几方面保证系统的安全性:
服务器的安全防护,提供访问控制、安全审计、信息加密等功能,从保密性、可用性、可控性等几方面保证服务器的安全运行。
提供客户机、服务器的认证功能,保证考试过程的有效性。
提供客户机、服务器通信加密功能,保证通信内容的机密性。
恶意代码、蠕虫、病毒防御功能。
数字证书体制设计。
这一用户需求巧妙地将实践教学的知识点隐藏了起来,给学生提供了一个综合分析问题的空间。学生只有通过认真的需求分析,反刍所学的理论知识,才能正确地确定采用何种安全技术,从而培养和锻炼了学生的分析能力。
4结束语
本文提出的关于信息安全概论的教学方法将原本抽象、难以理解的数学基础知识、安全协议,形象、实例地配合实验进行讲解从而变得易于理解。学生通过实验进一步加深理解,较之传统的教学模式明显提高了学生对课程内容的理解及掌握。此方法在我们的本科教学过程中取得了明显的效果。
参考文献
[1] 王昭顺.信息安全本科专业人才培养的研究[J].计算机教育,2006,(10):30-32.
信息安全导论(信息安全概论)课程是信息安全专业的专业基础课程,也是计算机学科相关专业的重要选修课程。其主要作用是让学生掌握信息安全的基本原理、基本技术;了解信息系统安全的设计方法;而且要求学生能够进行一些信息安全实践,具有一定的分析问题、综合解决问题的能力和动手能力。由于这门课程理论性强、信息量大且抽象,而授课对象多是专业知识尚不丰富的中低年级大学生,因此,如何在教学过程中提高学生的学习兴趣,合理地教学重要知识点,如何更好地将理论知识融入到具体的实验中去,高效地达到教学目的,就成为我们在教学研究中需要解决的主要问题。
1 信息安全导论课程教学现状分析
1.1 课程特点
信息安全导论与其他课程相比具有显著的特点,具体表现为以下几个方面。
1)知识涉及面广内容多。该课程是一门综合性课程,涉及数学、计算机、通信、管理学等多个学科领域的知识内容,涵盖内容广泛。其教学内容主要包括:信息安全概念与技术体系、信息保密技术、信息认证技术、访问控制技术、密钥管理技术、计算机系统安全、网络安全技术、信息安全管理等内容,是一门综合性实践性很强的课程。
2)部分内容更新快。随着计算机和网络技术的迅速发展,操作系统和各种应用软件的版本不断更新,使得攻击方式和防范手段日新月异、“水涨船高”,一些新的信息安全技术不断产生。因此,课程教学内容需要紧跟信息技术发展趋势,不断更新。
3)对先修课程要求高。在学习本课程之前,要求学生必须具备一些如数论、汇编语言、计算机网络甚至数据库系统等基础知识。这样才能较好地理解本课程涉及的密码学基础和应用、网络攻击与防范、恶意代码分析等内容。如果学生没有学习网络协议、SQL,对学习和理解利用各种协议和数据包的攻击、网络抓包、文件调试,对系统注入攻击等会显得比较困难。
4)实践性强。本课程涉及的许多知识需要学生在实践中加深理解,并在实际中具体应用。例如在学习Sniffer嗅探抓包、加密软件PGP等内容时,如果不安排学生上机实际操作,亲自体会实际应用,很难真正理解它们的原理。
1.2 课程教学中存在的问题
1)信息安全的丰富内容与课堂学习时间较少的矛盾。
信息安全导论需要大量的前修知识。如信息安全数学基础,是密码学部分的支撑内容;软件知识基础,包括数据结构、算法、C语言、汇编语言等;系统结构基础,包括计算机组成原理、操作系统和计算机网络等。另一方面信息安全导论自身的内容却非常广泛,包括信息安全基本概念、程序软件安全、密码学、网络安全、计算机系统安全、信息隐藏以及安全产品设计等。而安排的理论课时较少(32~40学时),如何全面讲授内容并将知识的“点”与“面”完美的结合是教学要权衡的问题。
2)学生的学习积极性与课程章节顺序的矛盾。
通过课堂观察和课后谈话调查,发现学生学习积极性随教学内容有不同的起伏。原因主要有以下两点:①学好本课程需要一定的数学知识。在讲授密码学知识时,由于前期的数学知识基础不扎实,很多学生只是盲目被动地听课,学习积极性较差;如果密码学安排在第2次课开始,对学生的初始积极性有较大打击。②如果本课程作为入门课程安排在低年级,学习就需要大量的后续知识支撑。如在讲授抓包或VPN时如果不懂网络和协议、在讲授注入攻击时不懂SQL语言,就没法讲了;还有PE文件的跟踪调试需要汇编、WEB安全需要Internet编程知识等。
3)信息安全内容及其相关产品的快速更新与教材内容相对陈旧的矛盾。
信息安全内容从PKI到PMI、入侵检测到入侵防御都有一定的发展;网络攻击的手段都有提高,而现在教学的内容很多实例都是Windows2000操作系统下的,在当前多用XP或者windows7的条件下,虽然有的兼容,但大多已不能成为安全威胁,因此教学示范性较差。
4)部分内容与后续专业课程内容相互交叉重复的矛盾。
对于信息安全专业的学生,后面将要开设专门的网络安全、安全协议、计算机病毒分析与防范、PKI技术、信息安全管理等课程,那么导论中网络安全协议、防火墙、VPN、入侵检测、恶意代码、PKI、信息安全标准等要讲多少、讲多深等问题,都成为我们要权衡的重要问题。
5)教学媒体使用与教学手段方法的矛盾。
目前大多高校都已采用多媒体教学,但如何编辑一个效果好的课件成为许多教师的一个心病。制作课件不像传统教学备课,需要耗费大量的时间和精力。有的老师利用出版社的课件讲课,多数不能如愿讲授自己的东西。大多课件是对书本内容的罗列,内容较多且抽象,对启发式、讨论互动式的教学方法采用比较少。因此单一的课件或粉笔的授课模式、单一的课件播放解说模式已不能满足教学需求。
6)实验需求与实验条件和实践教学方法相对落后的矛盾。
在计算机技术飞速发展的今天,没有永远先进的实验器材。实验室中有的计算机配置较低,即使较新的计算机由于不断实验,系统配置改变,难免还有很多木马病毒,使得学生上机首先得花很多时间“摆平”系统;如果硬件防火墙和入侵检测等系统设备少,还得分组甚至排队实验;实验系统也不一定全部满足实验内容需求。另外,实验教学很多采用“保姆”式的方法,即在确定时间内,学生根据实验指导书要求,在教师指导下逐步完成实验,教师“抱着”学生走,学生严重依赖教师,处于被动学习状态;或者干脆采用“自由开放式”,教师除了给出指导书,什么都不管,任凭学生发挥,这样可能造成实验室设备管理混乱,学生虽然有了主动,但处于对实验内容和目的失控状态。
2 信息安全导论理论教学改革
根据信息安全导论课程教学现状的分析,教研室进行了以下的理论教学改进。
2.1 确定教学知识点,合理安排教学内容和课时
针对课程内容多、学时少的问题,以课程标准为指导并结合多年的教学经验,对教学内容和课时进行适当调整,通过确定教学知识点,可以有效减轻学生的学习负担,使学生学有重点。理论教学的主要知识点内容和课时如表1所示。
理论课时安排为40学时,对于教材中提到表1中没有出现的内容,留给学有余力的学生课外学习。
2.2 选用新教材,适当调整教学内容和顺序,保持学生的学习热情
针对信息安全内容快速更新、学生学习积极性、与后续课程内容重复等问题,教研室在选用教材时尽 量选择较新出版的、内容与知识点基本接近的教材。如果教材的知识内容顺序与表1不同,尽量按表1的内容和顺序讲授,并适当协调内容和进度。
表1中将恶意代码分析放在密码学基础之前,就是为了提高并保持学生学习兴趣。学生在学习绪论后只是对信息安全有个大致了解,对具体的威胁和风险表现出强烈的求知渴望,因此将恶意代码提前讲授可以达到提高兴趣、引导深入的目的。表1中的课时和内容也可以视情况进行裁剪调整。对于信息安全专业的学生,如果先期开设了密码学的,这部分内容就可以省去,当然可以适当复习、加深理解;如果后续还有专门课程如网络安全、网络协议、入侵检测、PKI技术、信息安全管理等可以视情况适当减少讲授这些内容,避免太多的内容交叉重复,从而减少课时。
2.3 改革教学方法和手段
信息安全导论课程中涉及的内容繁多,有时需要数学推导,有时需要详细深入讲解,因此传统的教学方法和手段难以适应教学要求。
1)采用多媒体和粉笔(或鼠标涂鸦)相结合的教学模式。摒弃单一的课件播放解说模式,将不易表达及难以理解的内容以手工图画的形式呈现给学生,吸引学生的注意力。尽管多媒体课件可以使用动画生动演示一些复杂的理论或技术操作,但制作这些动画将花费教师大量的时间和精力;如果此类内容太多,个人以为不如将这些时间和精力花在如何备好课讲好课上,这样才能使课堂信息量更大、更生动,而且手工图画教学不仅能使学生对该知识有一个直观认识和加深理解,还增强了学习积极性、互动性。
2)通过教学实例加深理解。比如在学习恶意代码是可以演示对WIN32系统无害的早期DOS病毒,演示一些常用的相关DOS命令,演示加密解密工具的使用过程等,演示系统如何配置审计策略、Kerberos认证、防火墙策略等;让学生从原理到现象有更加感性的认识和理解。这样不仅有利于学生掌握知识点,还培养了学生提出问题并积极主动分析问题的习惯。
3)使用任务驱动教学方法。对于每一需要掌握的重要内容,适当安排课外作业和实验任务,使学生根据任务来加深理解和掌握课堂教学的理论和实践。例如,PGP实验需要预先下载安装合适的版本,并在网络申请自己的密钥对之后再应用,可以先由学生自己课外完成;恶意代码捆绑器或小型病毒木马的编写任务,可以在课外提高学生学习的兴趣;网络攻击实践也可以满足学生的黑客梦。另外还可以组织专题讲座或者新技术报告,让学生了解最新的信息安全动态,掌握国内外发展趋势。
3 信息安全导论实验教学改革
信息安全导论实验教学的主要目的是让学生通过实验能够掌握基本的信息安全防护技能,了解系统存在的安全隐患,树立牢固的安全意识,培养良好的安全习惯,提高信息安全实践操作和应用能力。信息安全导论可以实验的内容很多,而实验课时又较少,因此如何选择实验内容,如何设计实验项目,成为教师经常思考的问题。
3.1 改革实验教学内容
为了达到实验教学目的,教研室设计了以下几个必做的实验项目:1)Sniffer嗅探:学习典型嗅探器Sniffer/Ethereal的使用了解数据包的结构,增强对数据包在网络传输要进行保护的安全意识;利用嗅探工具对报文进行捕获、解码和编写报文,并对协议进行分析。2)软件防火墙:理解防火墙的工作原理,并能根据定义的安全策略配置相应的安全规则;利用防火墙iptables和nmap,进行防火墙配置。3)VPN:通过学习VPN服务器的配置和授权客户访问建立连接来加深VPN概念的理解。4)Snort入侵检测:学习Linux下snort的配置和编译过程,完成实时流量分析和对网络上的IP包登录进行测试等功能,能用来探测多种攻击,加深入侵检测的理解。其他选做实验:简单恶意代码编写、Windows系统安全配置、注册表、PGP加密解密应用、网站攻击、网络协议SSL等实验可以灵活考虑作为课外任务由学生自己完成。
3.2 改善实验教学环境
为了让学生更好地完成实验内容,引进了先进的信息安全实验教学系统。同时更换老旧的计算机设备,对操作系统进行软件备份与恢复,避免了硬件恢复卡一启动就恢复破坏前期实验配置,也避免了上一轮实验的环境改变对本次实验的影响。
3.3 改变实验教学模式
二、信息安全实训
信息安全专业的实训课程,可分为两种类型:一种是部分课程的实验,以及信息安全综合实验和网络安全综合实验。这种类型实验的目的是让学生通过实验理解知识的本质和原理。第二种是单独开设的实训课程,目的是培养学生综合运用所学多种信息安全技能,提高学生的实际能力、创新能力。为毕业设计、实习、就业打基础。
1、信息安全实训平台
信息安全实训课程是建立在课堂教学的基础上,通过课堂的学习使得学生可以掌握信息安全专业的相关基础。并在此基础上,通过实训课程完成课堂教学的升华。信息安全实训需要搭建平台,包括基础实验平台、综合实训平台,和开放性研究平台。基础实验平台的功能是对学生基本动手能力的训练,帮助学生理解与掌握课堂所学的基本原理和方法。基础实验平台应该包括信息安全体系中常用的密码机、防火墙、隔离网闸、网络监视与扫描系统、智能卡读写器、指纹仪等设备。通过观察这些设备,可以帮助学生更直观地理解其工作原理。同时,可以借助一些软件产品,观察这些设备的实时处理方式和数据。综合实训平台的功能是提高对综合应用知识的运用能力,使得学生能够综合一门或几门课程的知识点进行设计,从而提高综合设计的运用能力,培养其解决工程设计中实际问题的能力。
综合实训平台通常包括网络安全实验实训平台和信息安全综合实训平台。这两个平台包括网络安全和信息安全中最典型的实验和最常见的工具,通过这两个平台的学习和实践,学生能够综合运用所学知识,提高实践能力。开放性研究平台的功能是培养学生的创新能力。教师根据自身的科研课题为学生设计若干个小的项目,让学生参与到课题组,锻炼学生的团队合作能力。同时,学生也可以自己申请一些题目,请教师进行协助和指导。通过这些方式可以调动学生的学习热情,使得学生的创新能力得到很大的提高。除此之外,还可以组织学生参加全国、省级别、校级别的各种信息安全大赛。除了学校搭建的信息安全实训平台外,可以和校外信息安全企业展开合作。让教师和学生参与到真正的安全项目中,了解项目开发的所有流程,积累经验,为日后毕业就业打下坚实的基础。
2、信息安全实训评价系统
信息安全实训评价系统的设计,应该具有如下几个功能:
(1)通过信息安全实训评价系统,学生在实际的操作过程中,可以向教师及时反馈实训过程中存在的问题、意见和建议,便于老师及时掌握学生的学习情况,而不是简单的完成工作任务,教师根据学生反馈,及时调整实训项目内容,提高实训教学质量。
(2)通过信息安全实训评价系统,学生在实训进行过程中,可以查看实训的状态及完成情况,在完成实训时可以查看自己的实训结果。并根据结果来进行判断实训的效果。增加了学生的自主学习能力。
(3)通过信息安全实训评价系统,教师可以查看所有学生的实训完成情况,全面了解实训效果。通过学生的反馈结果,教师可以重新制定实训内容,或者根据不同学生的状况来有针对性地进行实训。
(4)信息安全实训评价系统应该包括教师评价模块、学生自评模块,以及学生间的互评模块。
1.具有扎实的数理基础,熟练掌握一门外语并具有一定的译、听、说和初步的写作能 力;具有国际视野和一定的跨文化的交流、竞争与合作能力;
2.掌握模拟和数字电子线路的基本原理、分析方法、实验技能与方法;
3.掌握通信、计算机网络和信息系统的基本理论和专业知识,掌握密码、信息安全以 及信息安全管理的基本理论与方法;
4.具备在信息、信息过程和信息系统等方面进行信息安全与保 密关键技术的分析、 设计、研究、开发的初步能力以及安全设备与软件的应用、信息系统安全集成与管理的 能力;
5.了解国家有关信息安全方面的政策和法规以及有关国际法律、法规;了解信息安全 技术领域的理论前沿、应用前景和发展动态;
6.掌握计算机的基本原理与技术,具有初步的软、硬件的开发能力;
7.掌握文献检索、资料查询的基本方法,具有一定的科学研究和实际工作能力。
信息安全专业就业方向
本专业学生毕业后可在政府机关、国家安全部门、银行、金融、证券、通信领域从事各类信息安全系统、计算机安全系统的研究、设计、开发和管理工作,也可在IT领域从事计算机应用工作。
从事行业:
毕业后主要在新能源、互联网、计算机软件等行业工作,大致如下:
1 新能源;
2 互联网/电子商务;
3 计算机软件;
4 房地产;
5 贸易/进出口。
从事岗位:
毕业后主要从事项目经理、网络工程师、网络管理员等工作,大致如下:
1 项目经理;
2 网络工程师;
3 网络管理员;
4 销售经理;
5 行政助理。
信息安全专业主要课程
中图分类号:G424 文献标识码:B 文章编号:1673-8454(2012)05-0067-02
一、引言
信息安全人才培养是国家信息安全保障体系建设的基础和先决条件.自2001年至今国内一些高校先后设立了信息安全专业和信息对抗技术专业,已经为社会输送了上万信息安全专业的本科人才。与此同时,为普及信息安全教育,近年来许多高校也面向非信息安全专业学生开设了信息安全类选修课程。
我院自2005年开始就为计算机科学与技术、电子商务和信息管理与信息系统三个专业开设了密码编码学与网络安全、计算机安全技术两门专业选修课程,考虑到教学过程中不同专业在学习信息安全类课程时的不同特点.2007年调整教学计划后为信息管理与信息系统和电子商务专业开设了信息安全技术选修课程,为计算机科学与技术专业开设了网络安全技术课程。
二、教学目标
信息安全类课程具有涉及面广、内容和知识体系更新快、对先修课程要求高、理论与实践联系紧密等特点。并且对于非信息安全专业的学生来说教学重点应该是扩展学生知识面,培养学生的实际动手能力,为将来可能面对的信息安全问题的解决和学习奠定基础。因此我院信息安全类课程的教学目标被定位为培养学生的信息安全意识,普及常用的信息安全技术,使学生具备信息系统中的安全防卫能力和新技术的应用能力。…
三、教学过程中的难点问题
非信息安全专业的信息安全课程大部分都是该专业的专业选修课程,一般都是在大三下学期和大四上学期开设,此时的学生已经具备了一定的专业基础知识,但对信息安全类课程来说如何做到在一门课程中既要覆盖信息安全专业的主要知识领域,同时还要针对不同的专业特点选用相应的教学方法,这些苛刻的教学需求使得该类课程在教学过程中遇到了各种各样的难题,下面将从课堂教学和实践教学两个方面分别阐述在教学工作中遇到的难题和采用的解决办法。
1.课堂教学环节
(1)教学内容较多和学时偏少的矛盾
按照各专业的前导课程,遵循培养信息安全意识和普及常用的信息安全技术的原则。制定了如表1所示的教学内容。
其中只有信息系统安全与网络安全技术这两个部分的教学内容和课时分配根据教授专业的不同而有所侧重和区别。总体来说,在课程内容的设置上以培养信息安全技术应用人才为目的,扩大学生的信息安全知识面为导向,教学过程中不过多地纠缠于理论细节,以此来解决课程内容丰富而学时较少的矛盾。
(2)部分教学内容枯燥,影响了学生的学习兴趣
根据学生的教学意见反馈调查发现,影响学生学习兴趣的教学内容主要集中在密码学基础这一知识领域中。密码学基础是信息安全技术的基础知识,也是学习信息安全技术过程中必不可少的知识组成,因此为了提高学生的学习兴趣,在教学过程中采取了如下教学方法。
首先。将一些相关的数学基础知识整理成自学材料并引导学生自学,以降低学生在课堂上学习密码学知识的枯燥感;其次,在讲授密码学的基础知识时,多穿插一些小故事和影视作品的情节,以此来提高学生对密码学基础知识的学习兴趣。如:以电影《达芬奇密码》中的故事情节为线索,为大家讲解古典密码算法中置换类算法的加密思想以及密码分析中暴力破译法的基本原理:然后,在介绍现代密码算法时,应重点介绍主流算法.并配合一些Flas形象生动地帮助学生理解算法的加密解密原理。此外,还可以推荐一些和密码学相关的小说,如《密码故事――人类智慧的另类较量》,供学生课外阅读。
这些教学方法极大地提高了学生学习密码学知识的兴趣,取得了很好的教学效果,受到学生的一致好评。
(3)如何获取恰当的教学案例带动课堂教学
对于课程中信息系统安全和网络安全部分的知识点,如果在课堂教学过程中只是注重原理的讲解,会使得教学过程显得极为生硬抽象,不利于学生的理解和应用。因此,在授课过程中以案例为驱动,带动基本原理的讲解,是较为合理的教学方法。而如何获取恰当的教学案例,是困扰教师的难点问题。
目前,教学案例的获取方式主要有两种,一种是由教师亲自整理制作;另一种就是参考其他院校相关课程选用的教学案例。因此,在今后的课程建设过程中将重点考虑引入课程教学软件,以进一步解决教学案例匮乏和更新速度慢等问题。
(4)学习方式被动
学生往往只是被动地接受课堂的灌输式教育,如何提高学生的学习积极性,让学生主动地去学习信息安全课程,同样也是教学过程中的难点问题。
因此在课堂教学环节,尝试采取了学生分组的教学形式,并在课堂上组织分组讨论、演讲比赛、分组对抗等多种教学活动,通过多样化教学,充分调动学生的学习主动性和积极性,活跃课堂气氛,尤其是分组进行的演讲比赛,学生们通过自己动手搜集整理演讲材料和赛后讨论,加深了对课程内容的认识和理解。
2.实践教学环节
信息安全是一门较新的学科,同时也是跟实际联系非常密切的技术,因此实践教学环节是教学过程中必不可少的。而如何在教学资源有限的条件下找到既能培养学生的实践动手能力又能调动学生兴趣的实验内容是非信息安全专业信息安全类课程实践教学环节的难点问题。
我院信息安全类课程设置了如表2所示的实验项目。
其中所有的选做实验项目的实验指导书以及相关软件等材料都上传到公共邮箱中,并由教师引导学生利用课余时间来独立完成。实践表明,这些实验项目提高学生的学习兴趣,同时又锻炼了学生的动手能力.为将来在工作中可能遇到的一些安全问题奠定了基础。
四、教学方法的进一步探索与研究
考虑到社会各界对信息安全人才需求的变化,在今后的教学计划调整中准备将所有信息安全类课程合并为一门公共选修课程――信息安全概论,结合这一变化对信息安全概论的教学工作需要做出相应的调整和改进。
2信息安全专科层次人才的培养定位、目标和能力要求
鉴于信息安全管理和服务人才的缺口较大,并结合专科层次人才“应用+技能”的基本培养目标,可以将专科学生的就业岗位目标定位在:网络安全设备维护,网站维护与安全管理,安全产品营销等。信息安全专科人才的培养目标是:培养能够适应社会主义市场经济发展需求的,德、智、体、美全面发展的,熟练掌握信息安全技术的基本理论,掌握防火墙、入侵检测技术及配置方法,掌握主流操作系统的安全机制,掌握网络病毒及网络入侵的基本原理和防范技术。培养人格健全、具有一定的工程实践能力且能胜任信息系统维护、网络安全设备维护、网站维护与安全管理及数据库应用系统管理等技术岗位和信息安全分析、规划与管理岗位的高素质技能型专门人才。信息安全专业的能力要求包括基本素质与技能以及专业能力两个主要方面。在基本素质与技能方面,要求学生具备基本的政治理论素质,思想品德与法律素质,计算机基础应用能力,外语运用能力,逻辑思维与抽象思维能力和良好的身体素质。在专业能力方面,要求学生具备软件系统分析设计能力(掌握算法的设计、分析技术,基本的计算机软件理论体系),微机语言程序设计能力(熟练掌握一到两门编程类语言并能灵活应用,掌握其编程思路及方法),数据库管理与应用能力(掌握数据库的基本原理,掌握数据库设计及网络数据库应用系统的开发方法),信息安全分析、实施和管理能力(掌握信息安全理论体系,了解现代密码学技术,掌握保护计算机网络及典型网络应用系统的安全协议、策略和解决方案),信息系统维护及防御能力(掌握计算机网络基础知识及组网方法,掌握信息安全产品的使用,熟悉信息安全管理规范,掌握黑客攻击手段、分析与防范技术以及病毒防范的方法)。
3信息安全专科层次的课程体系设置
在课程体系的制定过程中,以培养学生具有信息安全系统的维护与管理能力为目标,结合当前信息安全专科学生的就业岗位能力要求,我们引入了多门当前安全行业所必备的专业课程。考虑到知识体系的完备性以及学生毕业后在专业领域的继续发展,我们保留了计算机专业的核心专业基础课。同时,考虑到专科学生与应用型本科学生间的差异,在制定专业基础课的教学计划时强调以“能真正掌握、够用”为原则。具体地,信息安全专科专业的课程体系可分以下四个层次展开:公共基础课的教学目标是培养学生具备良好的人格品质和基本的专业素养。主要课程包括思想道德修养与法律基础、思想和中国特色社会主义理论体系概论(简称概论)、形势与政策、大学英语、大学体育、计算机技术基础、高等数学、职业规划与就业指导。专业基础课的教学目标是帮助学生为进一步学习专业课程打下坚实的基础。主要课程包括信息安全导论、C程序设计、计算机网络技术基础、Java语言与面向对象程序设计、Web编程技术。专业课的教学目标是帮助学生建立完整的知识体系结构,掌握本专业最核心的、支撑性的理论与技术。主要课程包括数据结构、密码学基础、计算机操作系统、SQLServer与数据库应用、信息安全综合实验、Lin-ux操作系统。专业选修课的教学目标是向学生介绍信息安全应用领域的关键性技术。主要课程包括安全电子支付、计算机病毒原理与防治、网络攻击与防御技术、信息系统安全管理等。
4信息安全专科层次培养计划实施过程中的教学、实践改革措施
为了确保信息安全专科人才培养的目标,需要在培养过程中重点加强以下几点:(1)实施双证培养模式(即毕业证+信息安全相关职业资格论证)。为了提升学生就业的竞争力,需要鼓励学生参加国家推出的权威信息安全职业资格认证考试(例如国家信息安全技术水平考试)或者国际认证的安全资格考试。
(
2)以“工学结合”为指导思想,加强实践教学环节培养,推进校企联合、顶岗实习。具体地,在确保理论环节教学质量的同时,加强实训教学环节建设。与企业合作,建立校内的工程实践中心建设。借助学校特有的人才和智力优势,将专业教师与部分优秀的学生编入项目组,承接部分校外的技术开发项目,从而提高学生的动手能力。拓宽渠道,建立校外顶岗实习基地,从而真正地实现工学结合。同时,以开展“订单式”教育为起点,积极探索与企业开展深入合作的新模式。通过上述环节,可以使学生在走上工作岗位前就能熟练地掌握一些在今后工作中所需的专业技能,实现“零距离就业”和与企业的“无缝对接”。使学生成为走出校门就能迅速上岗的应用型人才。 (3)加强对教师的培训。在学校和学院的两级支持下,积极支持骨干专业教师攻读重点高校的信息安全专业学位或进修部分信息安全专业核心课程,定期组织专业教师赴省内外其他高校进行参观考察。同时,选派部分专业教师去合作企业进行技术交流和短期工作,深入了解企业的项目管理模式和技术需求,提升专业教师的“双师”素质。
随着计算机与网络技术的飞速发展和广泛应用,人们对计算机安全知识和技能的关注程度与日俱增。为了满足教育中人们对计算机安全
>> 计算机安全:原理与实践 计算机原理教学改革研究与实践 计算机安全技术与防护 计算机信息安全与对策 浅析计算机安全与维护 浅谈《计算机信息安全》的建设与实践 计算机系统安全与计算机网络安全 计算机病毒与计算机网络安全 计算机安全与计算机病毒防御 计算机网络安全与计算机病毒防范综述 计算机网络安全与计算机病毒防范研究 计算机网络病毒与计算机网络防范安全 计算机安全与计算机病毒的预防分析研究 计算机安全与计算机病毒的预防探究 计算机网络安全与计算机病毒的防范 计算机网络安全与计算机应用问题初探 计算机安全与计算机病毒的预防 探讨计算机网络安全与计算机病毒防范 计算机组成原理教学与实践的探讨 关于《计算机组成原理》课程的教学改革的研究与实践 常见问题解答 当前所在位置:l提供了非常有用的Web站点、书中的插图和表格、依章节的教学幻灯片以及课后习题参考答案等,这些便于读者阅读学习时参考。如果通过精选本书的内容作为教材使用,这些资源更为教师组织教学、编写课件提供了全方位的支持。
本书可以作为计算机及相关专业计算机安全课程的教材、信息安全专业信息安全概论等课程的教材或参考资料,本书同时也是信息安全专业技术人员、管理人员和学术研究人员非常理想的有重要价值的参考书。
在该书翻译过程中,译者改正了书中存在的一些错误与排版错误;译者和编辑们就某些网络术语的中文标准译法或更准确的译法进行了讨论,力求做到技术内涵的准确无误以及专业术语的规范统一。另外,机械工业出版社对此书高度重视,正在考虑出版本书的缩编版,使其更好地满足国内计算机安全课程在内容和课时等方面的教学要求,目标是造就一本权威、经典和适用的高校教材。
在课程安排上,“信息安全概论”课程首先引入信息安全的基本概念和基本原理,包括消息鉴别与数字签名、身份认证、操作系统安全、数据库安全技术以及数据的备份与恢复等知识点;而“应用密码学”课程则介绍密码学基本概念、基本理论以及主要密码体制的算法与应用;更进一步,“计算机网络管理”课程以协议分析为导向讲授网络管理的相关理论,包括功能域、体系结构、协议规范、信息表示等知识点;“网络防御技术”课程以统一网络安全管理能力作为培养目标,阐述网络攻击的手段和方法以及网络防御的基本原理;在此基础上,“网络性能分析”课程着重讨论网络性能管理的理论与应用;“网络安全编程与实践”课程讨论网络安全编程实现的基本技术
。值得注意的是,网络工程专业的网络管理与安全课程群建设成果,目前正在为面向物联网工程专业的相关课程体系设置与教学方法改革所借鉴。网络管理与安全综合课程设计介于实践教学体系中提高层次到综合层次的过渡阶段,作为网络工程专业与物联网工程专业本科生第四学年实践能力培养的一个重要环节,有利于深入培养相关专业本科生的网络管理与安全综合实践能力。
二、基于项目角色划分的实施方案
为了培养网络工程专业与物联网工程专业本科生的工程实践能力,网络管理与安全综合课程设计实施过程的改革思路是:采用自主团队方式,选择并完成一个网络管理与安全项目。对于相关专业本科生而言,因为是自由组成团队,项目角色划分显得尤为重要。在这一背景下,提出基于项目角色划分的网络管理与安全综合课程设计实施方案。
网络管理与安全综合课程设计并不是要求本科生在短时间内便可以完成一个很大的网络管理与安全项目,主要是希望他们能够利用已有网络管理与安全课程群的知识基础,按照软件工程的思路合作完成一个规模适中的网络管理与安全项目,提高网络管理与安全综合实践能力。
三、网络工程专业与物联网工程专业的协同设计
作为一所地方工科院校,我校自2008年开始面向本科生开设网络工程专业,并于2012年面向本科生开设物联网工程专业,同时已获批“湖北省高等学校战略性新兴(支柱)产业人才培养计划本科项目”。网络工程专业与物联网工程专业虽然是两个不同的专业,却具有一定的关联性,如何保证网络管理与安全综合课程设计的实施方案对于这两个专业的协同设计,是专业改革实践过程中需要考虑的问题。网络工程专业的网络管理与安全综合课程设计的选题主要包括四个方向,即“信息安全与密码学”、“网络防御技术”、“计算机网络管理”与“统一网络安全管理”。
1 企业信息化
信息化是指培养、发展以计算机为主的智能化工具为代表的新生力,并使之造福于社会的历史过程。信息化代表了一种信息技术被高度应用,信息资源被高度共享,从而使得人的只能潜力以及社会物质资源潜力被充分发挥,个人行为,组织决策和社会运行趋势于合理化的理想状态。信息化是各企业管理运用中必须强化的一项内容。企业信息化是指企业以业务流程的优化和重构为基础,在一定的深度和广度上利用计算机网络技术数据库技术,控制和集成化管理企业生产经营活动中的各种信息,实现企业内外部信息的共享和有效利用,以提高企业的经济效益和市场竞争力,这将涉及到对企业管理理念的创新。管理团队的重组和管理手段的创新。
2 信息安全管理
2.1信息安全管理的概述
管理是一种基本的社会实践活动,它贯穿于人类社会实践的历史过程。信息安全管理是通过对信息活动相关领域的管理,来实现信息安全管理的目的。信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。从广义上来说,凡是涉及信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是信息安全的研究领域。
2.2信息安全管理的特征
2.2.1基础性
信息安全管理是保障信息安全的基本途径,也是实施信息安全活动的主要依托和必备手段。它既是行驶和保障合法权益的基本手段,也是整个信息社会正常运行的先决条件。信息安全管理的保障能力既是个人素质、企业实力、军队战斗力的重要体现,也是国家和社会安全的重要标志。因此,信息安全管理不仅是任何个人、任何组织、任何行业、任何国家都需要的基本管理活动,而且是其实施信息安全活动的主要依托和必备手段。
2.2.2全局性
信息安全管理是一个庞大、复杂、动态的人机交互系统工程,是由一系列子系统构成的一个有机整体,涉及信息安全管理的人员、资产、技术、设备、环境、体制编制、政策法规、标准规范、管理理论、管理方法、教育训练、政治工作及后勤保障等各方面。各个子系统之间既相互渗透又相互促进,共同构成了信息安全管理的全局。构建信息安全管理体系,进行全面的信息安全管理,其实质在于全面提高整体信息安全管理水平。这就从本质上说明了信息安全管理,都不是真正意义上的信息安全管理,只有在总体战略上完成了信息安全管理的过程,才能称为信息安全管理。因为当今的安全是包括各个领域的大安全,其信息领域的安全尤为重要。
3 动态性
由现代管理学可知,管理既是一种活动,也是一个过程。管理系统是一个运动着的有机体。管理系统内部的联系及其与环境的相互作用都是一种运动。管理系统的功能是时间的函数,因为不论是管理系统要素的状态和功能,还是环境的状态或联系的状态都是在变化的,运动是管理系统的生命。例如在钢铁企业中社会经济系统中的子系统,为了适应外部社会经济的需要,必须不断地完善和改变自己的功能,而钢铁企业内部各子系统的功能及相互关系也必须随之相应的发展变化。
4 安全管理系统对企业信息化的作用
计算机安全管理系统与企业的正常运营有着密不可分的关系。信息安全管理体系主要分为三个要素,第一是资源条件,即组织中的人、财、物、时间、空间、信息、以及信息环境等;二是目标,信息安全管理目标是管理运行的动力和方向;三是管理者与被管理者。对于,企业而言。安全管理系统,系统信息技术的发展不仅改变了企业的外部环境,内部的管理模式也将因此而发生改革。企业信息化程度不断提高。安全管理系统不仅在内部形成网络,做到信息共享,使企业组织整体高效运营,而且企业还与外部网络沟通,形成互联网络。信息技术、信息系统和信息作为一种资源已不再仅仅支撑钢铁企业战略,而且还有助于决定企业战略。企业信息化采用计算机安全管理系统,采用大量的安全信息技术,改进和强化了企业物流资、资金流、人员流及信息流的集成管理,对企业固有的经营思想和管理模式产生了强烈冲击,带来了根本性变革。计算机安全信息技术与企业的发展与融合,使企业竞争战略不断创新,提高了企业竞争力。企业运用安全信息系统管理,不仅提高了企业全体员工的整体素质,建立良好的管理规范和管理流程,构建扎实的企业管理基础,实行科学管理,从而提高了企业的整体管理水平。计算机安全管理系统在企业内部的管理中起着重要性的作用。
5 结语
计算机安全管理系统在企业中的运用是建立国家信息安全保障体系的物质基础。信息管理安全体系与企业管理是信息安全管理的重要组成部分。近年来,我国计算机信息安全技术研究与信息化取得了积极进展,但整体上还比较落后,关键是技术和产品受制于人,计算机信息安全系统是信息安全保障的关键,也是企业有效运行的重要条件。为使我国各企业经济更好地发展。必须加强信息安全科学技术研究。要健全技术创新体系,提高我国信息安全自主创新能力,使计算机安全管理系统更进一步。有效地服务于各行各业中。
参考文献:
[1]科飞管理咨询公司.信息安全管理概论—BS7799理解与实施[M].北京:机械工业出版社,2002.
[2]戴宗坤,罗万伯.信息系统安全.北京:电子工业出版社,2002:170-172
一、引言
由于计算机的普及和网络技术的发展,使得国家间的联系得以加强。由于网络开放性和互联性的特点,它在给用户带来便利的同时,也对信息安全带来极大的隐患,当今社会不断出现个人信息、军事信息甚至是国家重要信息在网上被盗取、破坏等事件,极大的威胁国家的安全和社会稳定。因此,信息网络安全的保障是各个国家研究的重要课题之一。
二、信息安全的意义
2.1以信息化网络为基础的信息化技术已成为国家经济安全的重要组成部分
经济安全是指在经济全球化的环境下,一个国家保持其经济系统运行和国民经济发展不受外来势力根本威胁,国家经济不受分割的状态和能力。其构成主要包括资源安全、金融安全、产业安全、财政安全和信息安全等。
2.2信息网络安全是构成国家经济安全的基础
由于信息化飞速发展和网络技术的迅速普及,经济信息也与网络紧密结合起来,信息化与经济的关系越来越亲密,经济信息化的程度越来越深。当前我国的互联网涉及到了社会经济的各个领域,并直接与世界各国连接。因此互联网既是政治关口,也是国家的经济命脉。而如今,我国各行各业对信息网络系统的依赖程度越来越高,这种高依赖性势必使得社会经济十分脆弱,一旦受到外来势力的打击和破坏,信息网络无法正常运行或陷入瘫痪,随之整个社会陷入动荡甚至崩溃。因此从信息网络安全角度看,信息化程度越高,国家安全、社会安全面临的风险越大。信息的网络安全保护问题已经成为制约我国经济社会发展的关键问题之一,也是构成国家经济安全的基础。
三、信息网络化的安全问题
3.1信息安全产品出现的安全隐患
信息产业已成为社会经济发展的巨大推动力,但由信息产业产生的信息安全产品也给经济安全带来了一些问题。首先,目前我国大部分的网络硬、软件和技术都从国外引进,如果这些设备设计有缺陷或故意留有漏洞,在非和平时期被产品提供国加以利用,则我国的经济安全甚至是国家安全遭到严重的破坏。其次,我国自主研发的防火墙技术、杀毒软件等信息安全产品本身也存在一定的滞后性。一些制造商本身信誉很差,只追求片面和短期的经济利益,而忽视法律法规,自己制作病毒再推出相关产品以取得利益,罔顾人们的利益和国家的信息安全。造成网络经济的混乱,使社会对网络化的信息产生不信任感。
3.2安全意识不高,现行法律制度不完善
计算机网络安全的首要威胁是计算机病毒,当今计算机病毒技术发展非常迅猛,每年出现的病毒数越来越多,危害也越来越大。而我国部分政府网站、商业网站由于缺乏相关专业技术人才,安全防范意识不强,防火墙技术及防病毒技术的使用跟不上,造成信息的泄露,数据的完整性遭到毁灭性的破坏,严重影响信息网络的安全。另一方面,由于法律和道德的约束不力,越来越多的人突破道德底线,利用计算机和网络技术进行经济犯罪,也给国家的经济安全带来极大的危害。
四、加强网络安全,建立信息安全体系
信息安全体系的建立,不是仅仅依靠几种安全设备的简单堆砌,或者一两个人的技术就能够实现的,还要设计管理制度、人员素质的意识、操作流程的规范、组织结构的健全性等众多因素。一套良好的信息安全体系需要综合“人+技术/产品+管理+维护”运用,从而才能建立起一套完备的、高保障的信息安全体系。
4.1强化自主创新意识,开发和使用有自主知识产权的信息安全产品
国家要重视强化自主创新意识的重要性,加大力度做好信息安全标准化建设规划、推动工作,设立专项资金,发挥产学研结合,实现校企合作,及早确立全面的信息安全技术标准、管理规范,同时通过实施信息安全研发、产业化重大专项,增加对信息安全保障体系关键技术研究的资金投入,鼓励企业开创自主开发意识,生产出拥有自主知识产权的信息安全技术和产品,特别是服务器、主机、交换机等主要设备及相关操作系统、数据库软件、安全服务器技术等方面迅速形成突破,提高我国信息安全技术产品水平,以此减低对国外产品和技术的依赖,降低国外对我国经济安全的威胁。
4.2加大专业技术人员培养力度,完善信息安全管理制度
信息安全体系的建立,需要专业技术人才的支持。我国应着重培养具有经济知识的信息安全专业的技术人才,使之在网络信息的维护发挥重要作用。可喜的是现今国内很多高校已经设立了信息安全专业,信息安全学科和人才培养进入热潮阶段。同时,我们也要不断的强化专业技术人才安全意识和提高专业素质,规范和完善信息安全管理制度,保障和维护信息安全,防范内部人员出现信息破坏和犯罪现象发生。
4.3完善相关的法律法规,保障网络信息安全
法律是网络信息安全的重要保障,只有健全的法律法规制度的建立,才能有效保证网络系统安全运行、信息安全传递。随着国家的高度重视和宏观管理,我国关于信息安全的法律日益趋于完善。但是我们必须清楚的认识到,由于信息化产业发展过于迅速以及网络和计算机技术的成熟,目前的法律法规已经不能满足于现实需求,各种利用计算机进行的经济犯罪层出不穷,方式与手段不断变化,甚至达到无孔不入的地步,让人防不胜防,大量的政府信息、军事信息、经济信息等被泄露甚至破坏,严重威胁着国家安全和社会稳定。因此我国应根据信息网络化迅猛犯罪的特点,结合现今存在的现实问题,补充和完善现行的法律法规,日益健全法律体系,进一步维护网络信息系统的安全。
总之,网络化的飞速发展和计算机技术普及的推动,我国的信息化产业显现出蓬勃发展的良好势头。但是,随之而来的信息安全保护问题变得更加严峻。为此,我们应不断研究和探索,建立起一套完善的信息安全保护体系,以拥有自主知识产权的软硬件为基础,培养专业技术人才为关键,进一步完善法律法规和管理制度,努力维护网络信息安全,进而保障我国的经济安全和国家安定。
参考文献
[1]郭秦.试论信息网络安全在国家经济安全中重要性及其维护[J].理论导刊,2007.9
[2]陈爱玲.浅析煤炭营销信息网络安全[J].山东煤炭科技,2006(3)
信息技术的发展和网络技术的应用技术普及使计算机在各类经济信息管理系统中应用更加广泛。经济信息量猛增,信息处理也越来越依赖计算机,网络环境下计算机系统的脆弱性更加严重,面临计算机病毒威胁的同时还受到利用计算机进行犯罪窃取团伙的攻击,导致信息系统 安全问题十分严重。本文凭借网络环境安全工作相关经验,对网络环境下的信息安全问题提出了一些看法,期待和相关工作者的经验交流。
一、信息安全
信息的广义概念是我们在适应外部世界并且使这种适应为外部世界感知的过程中通外部世界进行交换的内容的名称。信息广泛存在于客观世界的每一个角落,包括各种文字、指令、数据、信号、图形、图像、声音等。信息安全的概念最早是美国国防部提出的信息保障概念,即通过确保信息和信息系统的可用性、完整性、可验证性、保密性等来保护信息系统的信息作战行动。而英国标准协会编写的信息安全管理体系标准于2000年被国际标准化组织和国际电工委员会联合技术委员会批准为国际组织,对信息安全进行了详细规定,即信息安全是指信息保密性、完整性和可用性的保持。
二、网络环境下的不安全因素
(一)信息污染
网络能够在全球范围内传递声像、图文并茂的多媒体信息,速度快捷使用方便,但是也难以控制。网络信息传递导致文献信息质量泥沙俱下参差不齐。在信息自由的口号声下面掩盖着冗余信息、污秽信息、盗版信息、虚假信息、失真信息、过时信息、错误信息等和正确信息一并存在并且广为流传,在意识形态方面为国家带来了严重的不安定因素,同时严重影响了人们的身心健康。
(二)信息渗透
信息网络已经成为了文化传播的主阵地,于是有些别有用心的政治团体开始通过网络信息进行政治渗透和价值观推销,这对于弱势国家来说是十分严峻的挑战。意大利者葛兰西提出了一种“文化霸权”理论,认为一群人影响下能够形成为当代民众广泛接受的主宰世界观。一些学者提出了信息渗透将导致一种新型国际文化秩序,这将以绝大部分民族文化的消失作为代价。作为网络和计算机技术的发源地和最发达的国家,美国和 以美国为首的西方国家在科技文明、工业文明、商业文明等多方面都优于东方。
(三)信息破坏
信息破坏包括人为和偶然两种,然而无论是哪种都会造成严重的影响和破坏。人为偶然事故存在着不可预知性,信息技术最先进的美国也不能够避免,历史上出现过几次严重的互联网瘫痪事件。
(四)信息侵权
对信息产权的侵害。网络的应用使信息载体传递方式等发生了变化,实现信息共享的同时也带来了传统知识产权的问题。网络信息资源建设过程中往往肆意串改作者名字甚至是内容,忽视著作人的合法权益。
三、网络信息环境下信息安全模型
网络环境下的信息安全系统是指在整体安全策略控制和引导之下综合利用防护工具,利用监测工具了解和评估系统安全状态并进行自我调整。
传统信息安全技术把精力放在系统滋生的稳定性和防护措施的加强。例如采用B级操作系统,在网络系统出口配置防火墙,同时采用加密系统进行信息传输和集中身份认证系统等。但是这种淡出的防护技术并不能满足要求。网络环境对信息安全的要求是能够识别自身状态,拥有检测机制,能够感知自身是否处在危险状态,保证能够第一时间发现漏洞并且能够迅速响应,系统具备防护功能的同时还要拥有应急处理功能。完整的信息安全模型包括安全策略、安全防护、检测、相应等部分,防护和应急响应形成完整的安全保护链条,在安全策略的指导下进行安全防护。
四、信息安全管理标准
信息安全管理原则之一就是规范化 、系统化。落实这一原则需要相应信息安全管理标准。BS7799标准是英国标准协会制定的国际上具有代表性的信息安全标准。这项标准有两个部分:《信息安全管理细则》《信息安全管理体系规范》。这套标准综合了信息安全管理方面的优秀控制措施,能够为信息安全方面提供建议指南,这个标准并不是认证标准,在组织建立信息安全系统时可以借鉴。
网络环境下的信息安全问题不单单是一个技术问题,也不仅仅是一个管理问题 ,而是一种工程,在涉及到物的同时还设计到人。保障网络环境下的信息安全需要依靠严格科学的,先进的安全技术进行技术支撑。信息资源将是21世纪人类的一种战略资源,信息安全将不仅仅关系到企业个人,也将关系到国家安全和利益。但是我国的信息安全管理存在着先天缺陷。
参考文献:
[1]戴宗坤.信息系统安全,北京:电子工业出版社,2012.
[2]科飞管理咨询公司,信息安全管理概论.北京:机械工业出版社,2012.
[3]高丽华.中国信息安全不能居于最低的.第四类01光明日报,2012.
[4]娄策群等.现代信息技术环境中的信息安全问题及其对策[J].中国图书馆学报,2011,(6):32-36.
[5]王志军.防病毒高级策略[J].电脑爱好者,2010,(23):57-58.
[6]中华人民共和国财政部.独立审计具体准则第 9 号――内部控制和审计风险,2010:09-13
一、相关概念
(一)信息安全
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不因偶然或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,使信息服务不中断。也可以说,所谓信息安全,一般是指在信息采集、存储、处理、传播和运用过程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。
(二)数字图书馆
数字图书馆,就是具有内容丰富的数字化信息资源、利用先进的计算机技术、网络通信技术、数字化技术,能为用户提供集成化的信息服务和知识服务,满足用户深层次的信息需求的服务机构,它是网络环境下图书馆进入高级发展阶段的新的形态。所以,数字图书馆信息安全是指其各系统不因偶然或者恶意的原因而遭到破坏、更改、泄露、丢失,确保信息资源的自由性、秘密性、完整性、准确性、共享性,为读者提供正常的检索和查阅服务。
二、数字图书馆信息安全存在的问题
(一)环境问题
数字图书馆的机房是各类信息的中枢,放置有各类服务器、磁盘阵列、交换机、防火墙、UPS 不间断电源、机房空调、除湿机等重要设备,机房设计与施工的优劣直接关系到机房内整个信息系统是否能稳定可靠地运行,是否能保证各类信息通讯畅通无阻。所以机房环境要能防水、防火、防震、防雷、防盗,对温度、湿度、洁净度、电磁场强度、噪音干扰都有很高的要求,相应的就要配备机房温湿度监控系统、机房温度报警器、浸水报警器、通风系统等来保障机房的安全。因而机房环境存在很多安全隐患。
(二)硬件问题
数字图书馆各类服务器、磁盘阵列、交换机、防火墙、UPS 不间断电源、空调、除湿机等设备都是7×24小时运行,工作负荷过大,其使用寿命缩短,容易造成硬件故障,导致部分设备损坏,或者是工作人员在操作过程中导致的设备损坏等。如常见的有磁盘、电源等。
(三)软件问题
软件包括系统软件和各种应用软件。这些软件在研发过程中,由于编程语言的局限性,设计时结构体系本身的缺陷,开发人员能力所限及疏忽等原因,这些软件本身就存在许多安全漏洞。黑客就可以利用这些漏洞,绕过安全机制,进行网络攻击,破坏和窃取数据资料,甚至破坏整个系统,导致数据丢失和系统瘫痪。
(四)人为问题
目前,国内数字图书馆系统管理员大多数都是高校毕业后就到图书馆工作,没有受过系统、科学的实战技术和安全管理培训,专业技术不精,缺乏专业的信息安全素养,在工作过程中容易操作失误,面对各种复杂的安全问题常常束手无策,对安全防范容易疏忽等。
其次,数字图书馆信息安全管理制度不健全,缺乏严格、细致、有效的安全管理规定,重技术,轻管理,岗位职责不明确,安全管理滞后于技术发展,导致事故频繁发生。
(五)病毒及黑客问题
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,具有破坏性、复制性、隐蔽性和传染性。数字图书馆的资源依赖于计算机技术、网络通信技术和数字技术,为网上成千上万的用户共享,用户可远程访问、获得所需的珍贵资料。因此,也为计算机病毒的传播提供了便利条件。
随着计算机技术和网络通信技术的发展,黑客攻击活动日益猖獗,数字化图书馆的开放式、共享性及网络化环境,加上软件自身存在的安全漏洞,系统管理员的疏于防范等,成为黑客屡屡攻击得手的原因。
三、数字图书馆信息安全防护策略
(一)制定严格有效的安全管理制度
在数字图书馆信息安全的建设过程中,技术与制度二者是相辅相成的,技术是一种硬手段,是基础;制度是一种规范性的软手段,是保障。
制定严格、细致、有效的安全管理制度,明确岗位职责,规范工作行为,健全信息安全监督审查机制,对工作人员进行常态化安全教育培训,增强制度执行力。只有这样,才能确保安全管理制度不流于形式,信息安全监督审查落到实处。
(二)良好的机房环境
机房的建设要按国家现行有关标准、规范实施,机房应铺设抗静电活动地板,地板支架要接地,预留排水口。必须满足计算机等各种微机电子设备和工作人员对温度、湿度、洁净度、电磁场强度、噪音干扰、防水、防火、防震、防雷、防盗、防漏和接地等的要求。要配齐供配电系统、浸水报警器、应急照明、UPS不间断电源系统、空调系统、新风换气系统、气体式灭火器、消防报警系统、防盗报警系统、防雷接地系统等。
(三)防火墙技术
防火墙指的是在内部网和外部网之间、专用网与公共网之间构造的一个由软件和硬件设备组合而成的保护屏障。它能实现内网与外网、内网与内网之间风险的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响,是抵御黑客入侵和防止未授权访问的有效手段之一。
(四)入侵检测或流量分析技术
入侵检测系统(IDS)通过对网络或系统中的不同关键点收集信息,分析信息,主动发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,发出警报或采取防御措施。入侵检测系统是防火墙的重要补充,是积极主动的安全防御防御技术,提供对内部攻击、外部攻击和误操作的实时保护。
(五)数据加密及身份认证技术
数据加密就是对需要保护的信息经过加密钥匙(Encryption key)及加密函数转换,实现信息隐藏,从而起到保护信息安全。常采用的方法有链路加密、节点加密和端到端加密。身份认证就是对网络中各种应用的相关权限进行鉴别,阻止非法用户访问系统。
(六)数据备份技术
数据备份是容灾的基础,是为防止无法预料的结果导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。数据备份包括系统和数据备份,常见的备份策略有:完全备份、增量备份和差分备份。按操作方式又可分为离线备份和在线备份。图书馆应按照数据的价值划分类别,对不同类别的数据进行不同等级的备份。
四、结束语
数字图书馆信息安全是其向读者提供稳定、持续服务的重要保证,随着计算机技术、网络通信技术的飞速发展,信息安全问题越来越突出,各种病毒泛滥,网络攻击常态化等。因此,图书馆工作人员必须提升自身技术水平,提高安全防范意识,健全安全保障机制,才能为读者提供一个安全、稳定的学习环境。
参考文献:
[1]郝玉洁.信息安全概论[M].成都:电子科技大学出版社.2007:2.
1 引言
随着网络信息化时代的到来,信息安全领域面临着新的困难与挑战。国际标准化组织将信息安全定义为:信息的完整性、可用性、保密性。信息的完整性即保护资产准确性和完备性。信息的可用性即已授权实体一旦需要就可访问和使用。信息的保密性即使信息不泄露给未授权的个体、实体、过程或不使信息为其利用。
目前,信息安全涉及诸多范畴,包括攻击、防范、检测、控制、管理、评估等领域的基础理论和实施技术。在信息安全中,密码是核心,协议是桥梁,体系结构是基础,安全集成芯片是关键,安全监控管理是保障,检测攻击与评估是考验。越来越多的国家与组织意识到,信息安全作为信息时代的信息的根本保障,逐渐成为国家安全的基础、经济安全的命脉、国防安全的核心,谁把握了信息安全,谁就把握了信息时代的制高点。
2 信息安全背景
信息安全是研究在特定的应用环境下,依据特定的安全策略,对信息及其系统实施防护、检测和恢复的科学。信息安全的研究涉及数学、计算机、通信、法律等学科,按传统方式可以将信息安全研究领域分为信息安全基础理论研究、信息安全技术研究、信息安全管理策略研究三个部分。
针对信息所发起攻击的信息安全问题有多种,主要形式有几种形式:一是信息截取,即指未经第三方授权以非法的方式从第三方获取信息的行为,这种情况下,信息接收方可能毫无察觉;二是信息伪造,即在未经授权的情况下将伪造信息插入第三方的信息传输系统之中,从而使接收方接收虚假信息;三是信息中断,即利用非法手段使他人的信息传输无法进行;四是信息篡改,即窃取到信息内容后,将原始信息篡改为非法信息后通过传输网络继续传递给接收方。
针对信息安全面临的问题,信息安全研究在不同时代将产生不同的技术与发展。
3 信息安全技术
信息安全技术随着科技时代的发展而不断发展,主要包括一些经典信息安全技术。
3.1 密码技术
密码技术是保证信息安全机密性的核心关键技术。同时对其他安全机制的实现起主导作用或辅助作用。在密码技术体制中,包括信源、信宿、信道、明文、密文、密钥等要素。信源指消息的发送者,信宿指消息的目的地,信道指用来传输的通道,明文指原始待传输数据,密文指加密后消息,密钥为加解密的参数。经典的信息安全加密信源的明文经过加密得到密文,密文通过安全或者不安全通过传递给信宿进行解密后,得到需要的明文。加解密的密钥在传递时需要通过安全信道进行可靠传输。
3.2 数字签名技术
数字签名技术包括两个主要过程:一是签名者对给定的数据单元进行签名;二是接收者验证该签名的合法性。
数字签名的主要实现原理为,报文发送方从报文文本中生成一个一定长度的散列值,并用自己专用密钥对这个散列值进行加密,形成发送方的数字签名。然后,这个数字签名作为报文附件与报文一起发送给报文的接收方,接收方首先从接收到得原始数据中计算出相同长度的散列值,接着用发送方的公丌密钥来对报文附加的数字签名进行解密。比较两个散列值,如果相同则能肯定数字签名的合法性。通过数字签名能够实现原始报文的鉴别和不可抵赖性,保障信息的安全传递。
3.3 软件防护技术
软件防护技术主要采用病毒杀毒软件、恶意代码防护软件等手段。
病毒杀毒软件采用行为防护机制,将计算机系统中的病毒、木马、蠕虫等破坏信息安全的危险源进行安全隔离并删除,保护信息的安全性。恶意代码防护软件是基于操作系统内核级进行完整性保护的安全防护基础平台软件,通过对操作系统完整性保护实现防病毒、防攻击的安全目标。恶意代码防护软件能够提供计算机应用程序完整性保护、防止数据被恶意破坏、移动存储介质安全控制、网络报文安全过滤、安全事件审计等功能,达到防止执行程序型病毒和恶意代码的攻击,提高计算机系统安全性和可用性。
3.4 可信计算技术
可信计算技术是一种可以随时获得的可靠安全的计算,产生使人类信任的计算机的技术。可信计算技术的产生、发展和应用具有变革性的意义。传统的安全防护措施是被动性的,没有从终端源头上解决安全问题,计算机和网络结构上的不安全因素并没有消除。
可信计算的基本思想是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,从节点上建立信息的可信传递模式,保障信息在用户、程序与机器之间的安全传递,通过前移防御关口,有效抵制病毒和黑客针对节点的攻击,从而维护网络和信息安全。
4 信息安全策略
信息安全的规范发展,需要相应的信息安全策略引导。信息安全策略即管理者正式并规范组织在使用计算机系统中如何管理、保护和分发信息资源的一组法律法规、规则、指令和习惯做法。信息安全策略按照关注的层次,可分为信息安全战略,特定信息安全策略和系统配置安全策略。信息安全战略,即组织关于信息安全的总的意图和原则,是组织整体战略的重要组成部分。特定信息安全策略,即针对组织信息全生命周期的各种活动采取的信息安全策略,是为降低信息安全风险,实现信息安全保障。系统配置安全策略,即信息系统根据信息安全目标和特定信息安全策略要求基于系统配置级进行灵活配置保障的安全策略,包括操作系统访问控制策略、防火墙访问控制策略等。
信息安全策略在保障信息安全、规范信息安全发展方向上具有十分重要作用。信息安全策略存在一个使用周期,这个周期一般包括信息安全策略的制定、审批、实施、维护四个阶段,而制定阶段包括获取高层管理者批准、启动项目、确定目标范围、确定安全需求、风险分析评估、撰写六个典型过程。在安全策略使用周期各阶段,有些是关系策略成败的关键,包括制定阶段争取组织高层管理者支持、确定目标和范围以及选择合适的策略粒度,实施阶段确定安全策略实施的方式方法。
5 信息安全发展
随着信息化建设的快速发展,结合目前信息安全面临的问题与挑战,本文提出应该从几个方面思考信息安全发展。
一是应充分认清理论研究的重要性。信息化的高速发展导致知识结构的快速推进,信息安全的攻击、防御理论随着时代的前进而在不断发展,不断出现的新型信息安全威胁因素迫使传统的一些信息安全理论不再有效,如何在新的安全威胁中不断提高信息安全水平,应加强底层的信息安全理论研究,立足于根本并不断适应新的信息安全环境改变,增强信息安全能力。只有扎实的理论基础才能使信息安全地立于不败,走的更远。
二是应在政府支持下建立信息安全产业联盟。信息安全的有效实现是一个庞大的体系工程,贯穿于整个信息化时代,政府应充分发挥其的主持指导重要性,主持建立信息安全产业联盟,实现集体集中攻关,发挥集体智慧推动信息化时代信息安全的建设。
三是应确立正确信息安全防御战略目标。新时期下的信息安全不能仅仅只考虑保障信息安全,应以信息化时代特征为牵引,为保障信息安全实现信息防护,实现信息安全的控制,推动信息安全的主动防御。实现信息安全向任务安全转型。传统的被动防御思维模式正在向主动防御过渡,增强新型信息安全防御战略目标,推动信息安全的跨时展。
四是应把握以人为本的基本方针,建立专业的人才队伍。信息安全的发展应充分认清任何技术的发展根本在于人才,在于组织队伍的建设发展。目前导致信息安全面临更加复杂的一个原因就是缺少高质量的安全专业人才,以及缺少对在职人员信息安全专业培训。
6 结束语
信息安全面临更加广泛的问题,应充分分析其中的难点,结合现有技术以及后续信息安全的发展方向,有针对性地建设信息安全体系。本文首先分析了信息安全面临的问题,以及通常的信息威胁手段,然后分析了部分信息安全技术与信息安全策略,最后给出了对信息安全下一展的看法,为进一步研究信息安全问题给出借鉴参考。
参考文献
[1] 石正喜,张君华.国内外信息安全研究现状及发展趋势研究[J].科技情报开发与经济,2007,17(10):97—98.
[2] BEIGI M S, CALO S, VERMA D. policy transformation techniques in policy-based systems management[J]. Policies for Distributed Systems and Networks,2004(5):13-22.
[3] 冯登国,赵险峰.信息安全技术概论.电子工业出版社,2009,4.
[4] 刘静.Internet环境下信息安全面临的挑战及对策.信息安全与通信保密,2009(12):85-87.
[5] 李晓宾,李淑珍.计算机网络面临的威胁与安全防范[J].煤炭技术,201l(7):198—199.
[6] 曹子建,赵宇峰,容晓峰.网络入侵检测与防火墙联动平台设计[J].信息网络安全,2012,(09):12-14.
[7] 沈昌祥.信息安全导沦[M].北京:电子工业出版社,2009.
[8] TEWFIK A H, SWANSON M. Data hiding for multimedia personalization, interaction, and protection[J], IEEE Signal Processing Magazine,1997,14(4):41-44.
[9] 卢开澄.计算机密码一计算机网络中的数据安全与保密.北京:清华大学出版社,1998,01.