信息安全專業(yè)
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇信息安全專業(yè)范文,相信會(huì)為您的寫作帶來幫助,發(fā)現(xiàn)更多的寫作思路和靈感。
信息安全專業(yè)范文第1篇
北京郵電大學(xué)(以下簡(jiǎn)稱北郵)是2001年教育部批準(zhǔn)設(shè)立信息安全本科專業(yè)的18所高校之一。北郵信息安全本科專業(yè)從2002年起招生,目前在校本科生規(guī)模360人。
北郵從1993年開始招收密碼學(xué)碩士生,1998年設(shè)立密碼學(xué)博士點(diǎn),2003年同時(shí)設(shè)立信息安全碩士點(diǎn)和博士點(diǎn),2004年密碼學(xué)博士后流動(dòng)站正式獲得批準(zhǔn)。此前,從1981年開始,北郵就以“信號(hào)與信息處理”學(xué)科為基地,培養(yǎng)信息安全類專業(yè)的碩士生和博士生。目前,北郵以信息安全為研究方向的在校研究生規(guī)模略大于在校本科生規(guī)模。
在信息安全類專業(yè)人才培養(yǎng)方面,北郵的策略是:以研究生培養(yǎng)帶動(dòng)本科生培養(yǎng),以科研促進(jìn)教學(xué),形成產(chǎn)、學(xué)、研、用之間的良性互動(dòng)。北郵信息安全類本科專業(yè)和研究生學(xué)科的培養(yǎng)均以“北京郵電大學(xué)信息安全中心”(信息產(chǎn)業(yè)部重點(diǎn)實(shí)驗(yàn)室)為依托。
下面結(jié)合北郵多年來在信息安全類專業(yè)建設(shè)和人才培養(yǎng)方面的經(jīng)驗(yàn)和教訓(xùn),比較全面地介紹我們自己的體會(huì),希望有助于國(guó)內(nèi)兄弟院校更好地承辦信息安全類專業(yè),有助于互相學(xué)習(xí),整體提高我國(guó)信息安全類專業(yè)的教育水平。
體會(huì)1:良好的生源是確保高水平教育質(zhì)量的基礎(chǔ)。由于我國(guó)信息行業(yè)的強(qiáng)勁發(fā)展勢(shì)頭,使得北郵的整體生源情況很好,北郵的高考錄取線始終處于全國(guó)前列。但是,信息安全專業(yè)并不是北郵的主流專業(yè),因此,作為一個(gè)新興專業(yè),“信息安全”要想在北郵占據(jù)生源相對(duì)優(yōu)勢(shì)必須面對(duì)十分艱巨的競(jìng)爭(zhēng)。為此,我們?cè)谛?nèi)主打“特色牌”和“綜合牌”:把信息的獲取、傳遞、存儲(chǔ)、處理、控制、管理、應(yīng)用與安全結(jié)合起來,特別側(cè)重網(wǎng)絡(luò)與信息安全、通信系統(tǒng)安全、現(xiàn)代密碼學(xué)、數(shù)字內(nèi)容安全的理論與應(yīng)用。形象地說,我們把北郵的信息安全專業(yè)辦成了所有其他主流專業(yè)的不可缺少的核心技術(shù)支撐專業(yè),不但使其他專業(yè)的畢業(yè)生以畢業(yè)后能進(jìn)入信息安全專業(yè)讀研究生為榮,而且還吸引了不少其他專業(yè)的尖子生利用在學(xué)期間的轉(zhuǎn)專業(yè)機(jī)會(huì)擠進(jìn)信息安全專業(yè)。
從最近兩年的統(tǒng)計(jì)數(shù)據(jù)看,北郵信息安全本科專業(yè)在全國(guó)的招生錄取線一般都超過當(dāng)?shù)刂攸c(diǎn)錄取線的70-100分以上,在大部分省市超過北郵的平均錄取分。
體會(huì)2:明確的培養(yǎng)目標(biāo)是全體師生齊心協(xié)力的關(guān)鍵。北郵信息安全本科專業(yè)的培養(yǎng)目標(biāo)始終鎖定在培養(yǎng)掌握信息安全的基本理論與方法,具備系統(tǒng)工程、計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)等方面的專業(yè)知識(shí),運(yùn)用所學(xué)知識(shí)與技能去分析和解決相關(guān)的實(shí)際問題,具有較高的綜合業(yè)務(wù)素質(zhì)、較強(qiáng)的創(chuàng)新與實(shí)踐能力,可在信息產(chǎn)業(yè)以及其他國(guó)民經(jīng)濟(jì)部門從事各類信息安全系統(tǒng)、計(jì)算機(jī)安全系統(tǒng)的設(shè)計(jì)、開發(fā)、研究、教學(xué)等工作的高級(jí)工程技術(shù)人才。
為了實(shí)現(xiàn)該培養(yǎng)目標(biāo),我們采取了許多非常規(guī)的措施,比如,以個(gè)性化培養(yǎng)模式來培養(yǎng)杰出學(xué)生(北郵信息安全專業(yè)對(duì)學(xué)有余力的本科生采用3+1模式,即最后一年除了開設(shè)專業(yè)選修課之外,開始進(jìn)行畢業(yè)設(shè)計(jì),使得學(xué)生有更多的時(shí)間在指導(dǎo)老師的帶領(lǐng)下,鍛煉其發(fā)現(xiàn)問題和解決問題的能力,進(jìn)行創(chuàng)新能力培養(yǎng));安排優(yōu)秀學(xué)生盡早加入到研究生的研究課題之中,體會(huì)“學(xué)”與“研”結(jié)合的真諦(個(gè)別大學(xué)生早在一年級(jí)時(shí)就成為了研究生的科研助手);跨學(xué)科培養(yǎng),逐步形成核心課程體系,鼓勵(lì)開設(shè)特色課程;鼓勵(lì)學(xué)生大膽創(chuàng)新,積極參加各類課外活動(dòng)。
事實(shí)證明,到目前為止,北郵信息安全專業(yè)的培養(yǎng)目標(biāo)已經(jīng)達(dá)到,而且培養(yǎng)效果令人滿意。北郵信息安全專業(yè)的學(xué)生思維活躍,創(chuàng)新意識(shí)強(qiáng)。由北郵安全專業(yè)的學(xué)生為主要成員的北京郵電大學(xué)BuptUnited團(tuán)隊(duì)在CSIDC 2006年度國(guó)際設(shè)計(jì)競(jìng)賽中,取得全球第二名的優(yōu)異成績(jī)。(由IEEE計(jì)算機(jī)協(xié)會(huì)主辦,微軟公司贊助的CSIDC 2006年第七屆國(guó)際計(jì)算機(jī)設(shè)計(jì)競(jìng)賽是世界性的頂級(jí)賽事,對(duì)于計(jì)算機(jī)科學(xué)和計(jì)算機(jī)工程領(lǐng)域內(nèi)的大學(xué)生來說,這是一項(xiàng)在世界范圍內(nèi)最為重要、最為活躍的賽事。其參賽作品:A1 Coal Mine Enhancement System經(jīng)過初賽、在華盛頓特區(qū)舉行的總決賽的激烈競(jìng)爭(zhēng),從全球100多所高校的185支代表隊(duì)中脫穎而出,最終取得了全球第二名的優(yōu)異成績(jī),并獲得1.2萬美金的獎(jiǎng)勵(lì)。這一名次創(chuàng)造了中國(guó)大陸大學(xué)生在此項(xiàng)賽事中的最佳記錄。)同時(shí),北京郵電大學(xué)BuptUnited團(tuán)隊(duì)在微軟舉辦的“WESC 2006年度國(guó)際嵌入式開發(fā)大賽”中取得全球第五名的好成績(jī)。北郵信息安全專業(yè)的學(xué)生積極參加校內(nèi)的創(chuàng)新競(jìng)賽活動(dòng),在北京郵電大學(xué)第六屆學(xué)生“創(chuàng)新獎(jiǎng)”中獲得一等獎(jiǎng)1人次,二等獎(jiǎng)2人次,三等獎(jiǎng)1人次。
至今,北郵信息安全專業(yè)的畢業(yè)生中大約有2/3的人員繼續(xù)攻讀研究生(其中20%出國(guó)深造),另1/3到國(guó)內(nèi)電信、信息及信息安全的大中型企業(yè)中就業(yè)。
體會(huì)3:綜合素質(zhì)與能力的培養(yǎng)是打造信息安全類專業(yè)學(xué)生核心競(jìng)爭(zhēng)力的法寶。過于注重考試和書本知識(shí)的學(xué)生不是信息安全類專業(yè)的好學(xué)生,“個(gè)人英雄主義”也不是信息安全類專業(yè)的學(xué)生素質(zhì)要求,“情商”和“智商”對(duì)信息安全類專業(yè)的學(xué)生來說同等重要。基于這些認(rèn)識(shí),北郵特別重視對(duì)信息安全專業(yè)學(xué)生的以下四個(gè)素質(zhì)和三項(xiàng)能力的培養(yǎng):
* 思想道德素質(zhì):政治素質(zhì)、思想素質(zhì)和道德品質(zhì)好,法制意識(shí)、誠(chéng)信意識(shí)和團(tuán)體意識(shí)強(qiáng)。
*文化素質(zhì):具有一定的文化素養(yǎng)、文學(xué)藝術(shù)修養(yǎng)、現(xiàn)代意識(shí)和人際交往意識(shí)。
*專業(yè)素質(zhì):掌握科學(xué)的思維方法和研究方法,求實(shí)創(chuàng)新意識(shí)、工程意識(shí)和效益意識(shí)較強(qiáng),有很好的科學(xué)素養(yǎng)、綜合分析素養(yǎng)和創(chuàng)新精神。
*身心素質(zhì):身體素質(zhì)和心理素質(zhì)好,能夠在激烈的信息安全智力競(jìng)爭(zhēng)中始終保持積極的心態(tài),即使是受到失敗的打擊。
*獲取知識(shí)的能力:具有一定的表達(dá)能力和社交能力,具有較強(qiáng)的計(jì)算機(jī)及信息通信技術(shù)應(yīng)用能力,自學(xué)能力較強(qiáng),具有跟蹤掌握該領(lǐng)域新理論、新知識(shí)、新技術(shù)的能力。
*應(yīng)用知識(shí)的能力:具有一定的綜合應(yīng)用知識(shí)解決問題的能力和綜合實(shí)驗(yàn)?zāi)芰Γ^強(qiáng)的工程實(shí)踐能力和工程綜合能力。
*創(chuàng)新能力:具有一定的創(chuàng)造思維能力、創(chuàng)新實(shí)驗(yàn)?zāi)芰Α⒓夹g(shù)開發(fā)能力和科研能力,甚至具有一定的創(chuàng)業(yè)意識(shí)。
體會(huì)4:強(qiáng)大的師資隊(duì)伍是培養(yǎng)高質(zhì)量學(xué)生的根本保障。北郵信息安全專業(yè)的師資主要來自于北京郵電大學(xué)信息安全中心。師資隊(duì)伍中有包括長(zhǎng)江學(xué)者特聘教授、博士導(dǎo)師、教授、副教授等近三十人。在學(xué)生的培養(yǎng)過程中,我們隨時(shí)都感受到師資力量的嚴(yán)重不足。信息安全類專業(yè)需要如下各種類型師資的和諧搭配。
(1) 科學(xué)家型的師資:信息安全是對(duì)抗性極強(qiáng)的專業(yè),許多科學(xué)難題有待攻克,同時(shí)也需要學(xué)生掌握解決各種新出現(xiàn)的科學(xué)問題的基本思路與能力。北郵虛心向科學(xué)院的相關(guān)專家學(xué)習(xí),聘請(qǐng)他們以多種形式擔(dān)任北郵信息安全專業(yè)的師資。
(2) 工程師型的師資:信息安全面臨大量工程課題,許多工程項(xiàng)目知識(shí)并不能通過簡(jiǎn)單的課堂教學(xué)來傳授,因此,必須聘請(qǐng)有實(shí)際工程經(jīng)驗(yàn)的師資來直接指導(dǎo)學(xué)生。北郵信息安全專業(yè)主要通過在大型企業(yè)中建立本科生教學(xué)實(shí)習(xí)基地等形式來創(chuàng)造本科生與工程師零距離接觸的機(jī)會(huì)。
(3) 企業(yè)家型的師資:如果中國(guó)的信息安全企業(yè)不強(qiáng)大,那么中國(guó)的信息安全事業(yè)將永遠(yuǎn)沒有主動(dòng)權(quán)。中國(guó)不但需要信息安全的業(yè)務(wù)骨干,也同樣需要信息安全的創(chuàng)業(yè)者和企業(yè)家。完美的“儒”“商”融合必須從師資開始。北郵的教授們帶頭創(chuàng)業(yè),并積極鼓勵(lì)學(xué)生創(chuàng)業(yè)創(chuàng)新。
為了提高國(guó)內(nèi)信息安全專業(yè)類專業(yè)的師資水平,考慮到信息安全是一個(gè)新辦專業(yè),各開辦學(xué)校需要一個(gè)交流的平臺(tái),2003年,由北京郵電大學(xué)發(fā)起,由來自全國(guó)各地的六十余所高校,組織成立了“全國(guó)信息安全專業(yè)師資交流與培訓(xùn)互助組”(簡(jiǎn)稱“互助組”)。如今,“互助組”已經(jīng)進(jìn)行了四次全國(guó)性的大型活動(dòng):全國(guó)信息安全專業(yè)教學(xué)經(jīng)驗(yàn)交流和師資培訓(xùn)研討會(huì)(2004年10月北京);全國(guó)信息安全專業(yè)實(shí)驗(yàn)課程教學(xué)經(jīng)驗(yàn)交流研討會(huì)(2005年5月北京);全國(guó)信息安全專業(yè)實(shí)驗(yàn)課程師資交流與培訓(xùn)研討會(huì)(2005年8月綿陽);全國(guó)高校信息安全實(shí)驗(yàn)室建設(shè)經(jīng)驗(yàn)交流研討會(huì)(2006年7月綿陽)。目前,“互助組”還正在籌備全國(guó)高校信息安全畢業(yè)生與用人單位交流會(huì)。
隨著教育部信息安全類專業(yè)教學(xué)指導(dǎo)委員會(huì)(以下簡(jiǎn)稱“教指委”)的成立,今后,“互助組”的師資培訓(xùn)與交流活動(dòng)將以適當(dāng)?shù)男问郊{入到教指委的活動(dòng)之中,而且“互助組”的成員單位也將以適當(dāng)?shù)男问絽⒓咏讨肝母嗟幕顒?dòng)。
體會(huì)5:信息安全類本科專業(yè)規(guī)范建設(shè)刻不容緩。專業(yè)規(guī)范是本科專業(yè)建設(shè)的“小憲法”,但是,由于歷史的原因,國(guó)內(nèi)信息安全類專業(yè)的許多高校都是在沒有專業(yè)規(guī)范的情況下,借助各自在信息安全類專業(yè)的研究生培養(yǎng)經(jīng)驗(yàn)舉辦富有特色的本科專業(yè)。2004年,受教育部相關(guān)機(jī)構(gòu)的委托,北京郵電大學(xué)牽頭,相關(guān)大學(xué)參與,共同研究制定了“信息安全專業(yè)規(guī)范(科學(xué)技術(shù)型)(工程技術(shù)型)”。該“專業(yè)規(guī)范”從課程設(shè)置、教材建設(shè)、實(shí)驗(yàn)條件、畢業(yè)實(shí)習(xí)、工程實(shí)踐等方面對(duì)信息安全專業(yè)進(jìn)行了規(guī)范。但是,隨著信息安全教指委的正式成立,急需出臺(tái)更加全面、適應(yīng)面更廣的信息安全專業(yè)規(guī)范。
體會(huì)6:信息安全專業(yè)教材與課程建設(shè)是核心。信息安全專業(yè)建設(shè)的規(guī)范制定之后,教材和課程建設(shè)就必須進(jìn)入議事日程了,這又是新成立的信息安全教指委的另一項(xiàng)緊急任務(wù)。
2004年北京郵電大學(xué)組織出版了一套信息安全的專業(yè)課系列教材(共六本,《現(xiàn)代密碼學(xué)基礎(chǔ)》、《信息安全概論》、《網(wǎng)絡(luò)安全》、《入侵檢測(cè)》、《信息隱藏與數(shù)字水印》、《計(jì)算機(jī)病毒原理與防治》),該套教材是教育部“普通高等教育‘十五’國(guó)家級(jí)教材規(guī)劃”和北京市 “精品教材立項(xiàng)”。目前正根據(jù)使用情況以及專業(yè)課程的需要對(duì)該套教材進(jìn)行修訂和再版。希望教育部信息安全教指委能夠組織全國(guó)專家,盡快出版更加權(quán)威的系列教材,以供相關(guān)高校急用。
信息安全專業(yè)是一個(gè)對(duì)實(shí)驗(yàn)及實(shí)踐能力要求比較高的專業(yè),根據(jù)專業(yè)建設(shè)的要求,北郵于2005年出版了《信息安全實(shí)驗(yàn)教程》(國(guó)防工業(yè)出版社),并組織了全國(guó)信息安全專業(yè)實(shí)驗(yàn)室建設(shè)和實(shí)驗(yàn)課程教學(xué)經(jīng)驗(yàn)交流研討會(huì),邀請(qǐng)了北京郵電大學(xué)、上海交通大學(xué)、武漢大學(xué)等信息安全實(shí)驗(yàn)室建設(shè)及實(shí)驗(yàn)教學(xué)有特色的學(xué)校進(jìn)行了交流。同時(shí),根據(jù)“互助組”相關(guān)學(xué)校的要求,我們幫助一些學(xué)校完成了信息安全專業(yè)實(shí)驗(yàn)室建設(shè)工程(包括湖南大學(xué)、南京航空航天大學(xué)、中國(guó)防災(zāi)高高等專科學(xué)校等)。北郵將樂于為更多的高校建設(shè)合格的信息安全專業(yè)實(shí)驗(yàn)室。
在本科教學(xué)中,精品課和精品教材的建設(shè)非常重要。2006年,北京郵電大學(xué)信息安全專業(yè)基礎(chǔ)課“現(xiàn)代密碼學(xué)”被評(píng)為北京市精品課。2007年,該門課程被教育部信息安全教指委推薦申報(bào)國(guó)家級(jí)精品課。如今,北郵正繼續(xù)建設(shè)信息安全的重要專業(yè)基礎(chǔ)課“信息安全”、“網(wǎng)絡(luò)安全”等精品課及精品教材。希望在教育部信息安全教指委的指導(dǎo)下,國(guó)內(nèi)有更多信息安全類專業(yè)的精品教材和精品課程誕生,這將有助于提高信息安全專業(yè)的整體地位,有助于早日將信息安全設(shè)立為一級(jí)學(xué)科。
在信息安全專業(yè)本科生培養(yǎng)過程中,實(shí)習(xí)和實(shí)踐是非常重要的一環(huán)。為了滿足信息安全專業(yè)建設(shè)的需要,北京郵電大學(xué)在四川綿陽建設(shè)了一個(gè)占地面積40畝,設(shè)施齊全師資雄厚的開放式“全國(guó)信息安全專業(yè)本科生畢業(yè)實(shí)習(xí)基地”,目前該基地已接待包括北京郵電大學(xué)、西南交通大學(xué)、成都理工大學(xué)、云南大學(xué)、中國(guó)傳媒大學(xué)、綿陽師范學(xué)院、東北大學(xué)(秦皇島分校)、中國(guó)防災(zāi)高等專科學(xué)校等學(xué)校的信息安全及相關(guān)專業(yè)學(xué)生進(jìn)行多種模式的實(shí)習(xí)及實(shí)訓(xùn)(長(zhǎng)、中、短期模式:“3+1”、3個(gè)月、10天)。建議教育部信息安全教指委積極指導(dǎo)信息安全專業(yè)的實(shí)習(xí)實(shí)訓(xùn)基地建設(shè),制定統(tǒng)一的基地標(biāo)準(zhǔn)。
體會(huì)7:信息安全類專業(yè)建設(shè)剛剛起步,任重而道遠(yuǎn)。教育部信息安全教指委的正式成立無疑會(huì)大大加速國(guó)內(nèi)信息安全專業(yè)的整體建設(shè),但是,當(dāng)前面臨的困難和問題還很多,比如:
*目前信息安全專業(yè)學(xué)科的設(shè)置與國(guó)家對(duì)信息安全保障及人才培養(yǎng)的重視程度不相符合。“信息安全本科專業(yè)”還是目錄外專業(yè),可以分別授予工學(xué)和理學(xué)學(xué)士學(xué)位;國(guó)內(nèi)各高校根據(jù)自己的優(yōu)勢(shì),把信息安全專業(yè)放在理學(xué)院、計(jì)算機(jī)學(xué)院、通信學(xué)院、信息學(xué)院,等。
*在研究生層次“信息安全”是一個(gè)二級(jí)學(xué)科,造成了事實(shí)上我國(guó)信息安全專業(yè)設(shè)置比較混亂的局面:一些高校的信息安全學(xué)科基本上作為計(jì)算機(jī)科學(xué)與技術(shù)學(xué)科的二級(jí)學(xué)科;也有一些高校將信息安全學(xué)科作為通信與信息系統(tǒng)或者數(shù)學(xué)學(xué)科下的二級(jí)學(xué)科;與信息安全關(guān)系密切的信息對(duì)抗學(xué)科一般被放在電子工程學(xué)科下;作為信息安全的核心學(xué)科“密碼學(xué)”所屬的一級(jí)學(xué)科是“軍隊(duì)指揮學(xué)”,這顯然與當(dāng)前的實(shí)際情況有很大出入。
*由于專業(yè)設(shè)置的問題,導(dǎo)致課程體系也有不少問題:多數(shù)學(xué)校舉辦的信息安全本科專業(yè)都是密碼學(xué)、計(jì)算機(jī)科學(xué)與技術(shù)或信息與通信工程等相近學(xué)科課程體系的擴(kuò)展或延伸,缺少系統(tǒng)觀點(diǎn)與方法;現(xiàn)有課程體系基本上是某個(gè)相近學(xué)科課程體系的擴(kuò)展或延伸,在課程中注重密碼學(xué)、防火墻、入侵檢測(cè)等單純安全理論與技術(shù)知識(shí)的傳授,缺少系統(tǒng)觀點(diǎn)與方法;大多數(shù)學(xué)校開設(shè)的專業(yè)課程數(shù)量少,且沒有規(guī)范的專業(yè)課教材,學(xué)生能夠獲得的知識(shí)體系也有缺陷,還未形成系統(tǒng)、完整的科學(xué)研究與人才培養(yǎng)體系。
*信息安全實(shí)驗(yàn)教學(xué)模式還有待改進(jìn),至少需要克服如下問題:偏重理論知識(shí)的傳授,并不強(qiáng)調(diào)實(shí)踐能力;實(shí)驗(yàn)內(nèi)容單一,而且缺少綜合性設(shè)計(jì)實(shí)驗(yàn);不強(qiáng)調(diào)實(shí)驗(yàn)環(huán)境的真實(shí)性而以模擬情景為主。
*實(shí)驗(yàn)條件還比較落后:實(shí)驗(yàn)手段和條件不具備,絕大部分高校都沒有信息安全專業(yè)實(shí)驗(yàn)室;僅進(jìn)行簡(jiǎn)單的加密/解密、防火墻或者入侵檢測(cè)等實(shí)驗(yàn);對(duì)于網(wǎng)絡(luò)對(duì)抗等更深入的實(shí)驗(yàn)涉及較少;缺乏相對(duì)穩(wěn)定且符合一定要求的(校外)實(shí)習(xí)基地。
信息安全專業(yè)范文第2篇
【關(guān)鍵詞】職業(yè)技能;信息安全;“1+X”證書;實(shí)訓(xùn)課程;改革探索
高職院校是我國(guó)高等教育事業(yè)一個(gè)重要的組成部分,肩負(fù)著為國(guó)家、社會(huì)、企業(yè)培養(yǎng)高素質(zhì)、高技能型的實(shí)用型人才的重任。近年來,隨著信息技術(shù)的飛速發(fā)展,信息安全問題日益突出,人們?cè)絹碓揭庾R(shí)到網(wǎng)絡(luò)安全的重要性-“沒有網(wǎng)絡(luò)安全,就沒有國(guó)家安全”。當(dāng)前,政府部門、企事業(yè)單位對(duì)信息安全人才求賢若渴,信息安全人才缺口很大。截止到2021年,我國(guó)高職院超過2000所,高職院校作為一支人才培養(yǎng)的生力軍,在培養(yǎng)實(shí)用型信息安全人才方面大有用武之地。目前,我國(guó)信息安全人才年培養(yǎng)規(guī)模在3萬人左右,而信息安全人才總需求則超過70萬人,缺口高達(dá)95%。在這一背景下,我國(guó)高校紛紛開設(shè)信息安全專業(yè),加在信息安全專業(yè)人才培養(yǎng)力度。據(jù)統(tǒng)計(jì),2016-2019年,我國(guó)共有45所高校新增信息安全專業(yè),其中2016年新增的有11所,2017年新增15所,2018年新增11所,2019年新增8所。雖然當(dāng)前信息安全專業(yè)成了熱門專業(yè),各高校也如火如荼開設(shè)相關(guān)專業(yè),擴(kuò)大招生規(guī)模,但如何保障人才培養(yǎng)質(zhì)量,加強(qiáng)學(xué)生信息安全實(shí)戰(zhàn)能力,無縫對(duì)接相關(guān)企業(yè)的崗位技能要求,才是提升信息安全專業(yè)人才培養(yǎng)內(nèi)涵水平的關(guān)鍵。為有效銜接學(xué)校教育與職業(yè)崗位要求,教育部于2019年推出了“1+X”證書制度:要求在高職院校學(xué)生除了獲取1個(gè)學(xué)歷證書外,鼓勵(lì)學(xué)生自主選擇若干個(gè)職業(yè)技能證書,以增強(qiáng)學(xué)生在擇業(yè)、就業(yè)方面的競(jìng)爭(zhēng)力。對(duì)于信息安全專業(yè)人才培養(yǎng)而言,無論是“1+X”證書,還是學(xué)校綜合實(shí)訓(xùn)課程,都是提升其工作實(shí)踐能力,提升學(xué)生理論聯(lián)系實(shí)際、解決具體問題的能力。
一、當(dāng)前高職信息安全專業(yè)實(shí)訓(xùn)課程設(shè)計(jì)與教學(xué)現(xiàn)狀分析
雖然目前我國(guó)眾多院校都積極開辦信息安全專業(yè),但實(shí)職業(yè)技能等級(jí)認(rèn)證視域下高職信息安全專業(yè)實(shí)訓(xùn)課程體系構(gòu)建研究文|余姜德冷令梁本來【摘要】針對(duì)高職院校信息安全專業(yè)實(shí)訓(xùn)課程設(shè)置及實(shí)施過程中普遍存在的問題,如:未有效對(duì)接職業(yè)崗位要求;課程內(nèi)容陳舊、碎片化現(xiàn)象嚴(yán)重;實(shí)驗(yàn)設(shè)計(jì)驗(yàn)證性有余,而創(chuàng)新性不足;實(shí)訓(xùn)室建設(shè)受客觀條件限制,難以滿足教學(xué)要求等一系列問題,分析信息安全人才培養(yǎng)能力目標(biāo),結(jié)合教育部“1+X”證書具體要求,提出了“找準(zhǔn)專業(yè)特色定位,精心選擇職業(yè)技能等級(jí)證書;合理規(guī)劃實(shí)訓(xùn)內(nèi)容,突出實(shí)踐項(xiàng)目創(chuàng)新,虛實(shí)平臺(tái)有效結(jié)合”的課程體系構(gòu)建策略,并積極實(shí)踐探索,為培養(yǎng)實(shí)用型和創(chuàng)新型的信息安全技術(shù)人才打下堅(jiān)實(shí)基礎(chǔ)。
(一)學(xué)校定位不明確,課程特色不鮮明
當(dāng)前,我國(guó)所高校可以分成二大類:一類是普通本科院校,包括綜合型、研教型和教學(xué)型等不同類型高等學(xué)府,這其中既有“雙一流”、985、211等知名高校,也有普通地方本科高校,比如我們通常所說的“一本”、“二本”等;另一類是高等職業(yè)教育院校,包括高等職業(yè)專科和高等職業(yè)本科兩個(gè)層次,其中高等職業(yè)本科,往往又被稱為應(yīng)用型本科學(xué)校。隨著國(guó)家人口結(jié)構(gòu)的經(jīng)濟(jì)發(fā)展內(nèi)涵式調(diào)整,社會(huì)對(duì)于高等職業(yè)院校有了全新的認(rèn)識(shí),高職院校越來越受到人們的重視,高等職業(yè)教育迎來了重大的發(fā)展機(jī)遇期。無論是本科院校,還是高職院校,一所學(xué)校的人才培養(yǎng)目標(biāo)是與其在社會(huì)和教育系統(tǒng)內(nèi)所處的層次和地位緊密相關(guān)的,不同類型和層次的學(xué)校,對(duì)于人才的培養(yǎng)目標(biāo)應(yīng)該是不同的。本科院校,其人才的培養(yǎng)目標(biāo)主要以研究型、創(chuàng)新型和技術(shù)型人才為主,通過基礎(chǔ)理論研究、先進(jìn)系統(tǒng)開發(fā)和技術(shù)革新促進(jìn)社會(huì)的整體科技進(jìn)步,強(qiáng)調(diào)人才的基礎(chǔ)理論扎實(shí)牢固、知識(shí)體系的全面完整;而高職院校,其人才的培養(yǎng)目標(biāo)主要以實(shí)戰(zhàn)型、應(yīng)用型和工程型人才為主,不要求基礎(chǔ)理論寬泛深厚,但一定要在某一領(lǐng)域的應(yīng)用上比較精通;人才大部分從事于工程項(xiàng)目實(shí)踐中,要求實(shí)踐動(dòng)手能力突出,膽大心細(xì),而且具有“工匠精神”,通過技術(shù)應(yīng)用實(shí)踐,把科技創(chuàng)新從紙面理論變成實(shí)際產(chǎn)品或者實(shí)際場(chǎng)景。具體到信息安全人才的培養(yǎng),本科院校主要培養(yǎng)信息安全研究開發(fā)人才,而高職院主要培養(yǎng)信息安全實(shí)踐應(yīng)用人才。但目前的現(xiàn)實(shí)情況是,高職院校大都有意無意模糊自身的“高職”定位,甚至千方百計(jì)尋求擺脫職業(yè)教育身份,而往“本科院校”方向轉(zhuǎn)變,從而制定不切實(shí)際的人才培養(yǎng)目標(biāo),其根本原因就在于自身層次定位和人才培養(yǎng)目標(biāo)的定位都出現(xiàn)偏差。其次,無論是本科院校還是高職院校,其培養(yǎng)的人才,最終都需要走向就業(yè)市場(chǎng)。人才需要通過在工作崗位上的職業(yè)能力表現(xiàn)來得到企業(yè)和社會(huì)的認(rèn)可。而人才的就業(yè),往往會(huì)采取“就近原則”,即學(xué)生會(huì)一般會(huì)優(yōu)先選擇當(dāng)?shù)氐钠髽I(yè)去就業(yè),避免“背井離鄉(xiāng)”式的四處奔波。因此學(xué)校開辦的專業(yè)應(yīng)該立足于服務(wù)當(dāng)?shù)仄髽I(yè)、當(dāng)?shù)亟?jīng)濟(jì)和當(dāng)?shù)禺a(chǎn)業(yè),所培養(yǎng)的人才要達(dá)到當(dāng)?shù)赜萌似髽I(yè)和單位的職業(yè)技能要求,要盡可能被當(dāng)?shù)仄髽I(yè)所吸收。從這種意義上來說,不同經(jīng)濟(jì)發(fā)展區(qū)域的信息安全專業(yè)人才培養(yǎng)方案的設(shè)計(jì)應(yīng)和課程體系應(yīng)具有不同的地方特色:比如珠三角、長(zhǎng)三角的高職院校信息安全專業(yè)和中西部經(jīng)濟(jì)欠發(fā)達(dá)地區(qū)高職院校的信息安全專業(yè)在專業(yè)特色上應(yīng)該有明顯的差異。很遺憾,現(xiàn)實(shí)情況是,在專業(yè)設(shè)置和課程設(shè)計(jì)上,各個(gè)高校普通喜歡“追熱點(diǎn)”,“大跟風(fēng)”:什么專業(yè)熱門,就上什么專業(yè);什么課程熱門,就開什么課程。甚至在人才培養(yǎng)目標(biāo)定位上,普通本科院校照抄照搬綜合性、科研性大學(xué);高職大專院校跟風(fēng)模仿應(yīng)用型本科院校或職業(yè)技術(shù)大學(xué),這顯然是不科學(xué)和不正確的。
(二)實(shí)訓(xùn)內(nèi)容呈碎片化、同質(zhì)化特征
信息安全是一門綜合性的學(xué)科,所涉及的知識(shí)體系龐雜,涵蓋范圍非常廣泛,有計(jì)算機(jī)科學(xué)與技術(shù)、通信工程、數(shù)學(xué)、密碼學(xué)、電子工程等諸多學(xué)科的內(nèi)容[3]。但當(dāng)前信息安全人才培養(yǎng)過程中,所構(gòu)建的實(shí)訓(xùn)課程體系,往往貪多求全,各知識(shí)點(diǎn)之間缺乏內(nèi)在邏輯聯(lián)系和層次遞進(jìn)關(guān)系,實(shí)訓(xùn)知識(shí)體系結(jié)構(gòu)呈現(xiàn)“碎片化”的形態(tài)。知識(shí)“碎片化”的低效性在于,學(xué)生學(xué)習(xí)得到的大部分東西都是零碎的、分散的、雜亂的,很多時(shí)候只是停留在知道、了解的層面,并沒有與原來的知識(shí)體系產(chǎn)生深層的聯(lián)系。沒有深層次的理解,自然沒有辦法靈活地運(yùn)用,更沒有辦法轉(zhuǎn)化為個(gè)人能力和技能。另一方面,由于各學(xué)校之間盲目借鑒或?qū)嵱?xùn)室承建廠商有意無意地“互相抄襲”,實(shí)訓(xùn)課程內(nèi)容“同質(zhì)化”現(xiàn)象嚴(yán)重。實(shí)訓(xùn)內(nèi)容“同質(zhì)化”一個(gè)最顯著的特征就是實(shí)質(zhì)內(nèi)容重復(fù),缺乏獨(dú)創(chuàng)性和開拓性內(nèi)容。信息安全專業(yè)實(shí)訓(xùn)課程內(nèi)容同質(zhì)化,導(dǎo)致很多高校信息安全專業(yè)的差異化人才培養(yǎng)成為空談,實(shí)際上,信息安全專業(yè)人才更應(yīng)該是“不拘一格降人才”。
(三)實(shí)訓(xùn)內(nèi)容陳舊,實(shí)訓(xùn)過程淪為結(jié)果驗(yàn)證,缺乏深度思考
信息安全實(shí)驗(yàn)的設(shè)計(jì),既需要一定的理論知識(shí),也需要?jiǎng)邮謱?shí)際操作,因此具有一定的復(fù)雜性,難度相對(duì)較高。我們調(diào)研了很多學(xué)校的網(wǎng)絡(luò)攻防實(shí)訓(xùn)室,對(duì)于復(fù)雜的實(shí)驗(yàn),其實(shí)訓(xùn)平臺(tái)上的內(nèi)容安排一般都是列出詳細(xì)地操作步驟,末尾配上最終的實(shí)驗(yàn)結(jié)果。只需按照實(shí)驗(yàn)指示步驟一步一步進(jìn)行操作,實(shí)訓(xùn)結(jié)束,看最后結(jié)果與實(shí)驗(yàn)指導(dǎo)書的結(jié)果是否一致即可。這樣的結(jié)果是實(shí)訓(xùn)過程淪為為實(shí)驗(yàn)指導(dǎo)書的結(jié)果驗(yàn)證,缺乏深度思考的引導(dǎo)。我們以“MAC地址泛洪攻擊”為例,它是一個(gè)經(jīng)典網(wǎng)絡(luò)安全實(shí)訓(xùn)示例,大多數(shù)的實(shí)訓(xùn)設(shè)計(jì)是這樣的:1.闡明攻擊原理;2.給出實(shí)驗(yàn)環(huán)境搭建說明,而且在實(shí)際教學(xué)過程中實(shí)驗(yàn)環(huán)境已經(jīng)在教學(xué)平臺(tái)上搭建好;3.詳細(xì)列出攻擊步驟,每一步都完整給出實(shí)驗(yàn)截圖;4.寫出實(shí)驗(yàn)總結(jié)。這樣一整個(gè)實(shí)驗(yàn)學(xué)生做下來,除了驗(yàn)讓自己每一步操作與實(shí)驗(yàn)指導(dǎo)書上有什么不同外,很少有其他收獲。我們其實(shí)更應(yīng)該進(jìn)行深度思考和拓展:1.“MAC地址泛洪攻擊”一般在什么情形下發(fā)生?2.用軟件方法和硬件方法,如何防洪這類攻擊?3.抓包和解碼后具體分析作用在哪里,如何應(yīng)用到實(shí)戰(zhàn)中?可以通過啟發(fā)式的訓(xùn)練,加強(qiáng)學(xué)生具體運(yùn)用知識(shí)和實(shí)踐創(chuàng)新能力的提升。
(四)實(shí)訓(xùn)課時(shí)與資源受限,難以滿足實(shí)際需求
大多數(shù)學(xué)校實(shí)訓(xùn)室建設(shè)經(jīng)費(fèi)緊張,實(shí)訓(xùn)經(jīng)費(fèi)申請(qǐng)批復(fù)繁難。而信息安全知識(shí)迭代更新較快,平均二年左右就出現(xiàn)新的技術(shù)熱點(diǎn),而信息安全實(shí)訓(xùn)室申報(bào)、建成和使用周期一般都在五年以上,想要不斷投入建設(shè)資金更新?lián)Q代非常困難。而且從信息安全實(shí)訓(xùn)室建設(shè)軟硬件來看,無論是網(wǎng)絡(luò)安全硬件設(shè)備,諸如防火墻、IDS、各類型服務(wù)器,還是攻防綜合演練系統(tǒng),價(jià)格都比較昂貴,更新或升級(jí)代價(jià)很大,因此,信息安全實(shí)訓(xùn)資源庫的完善成為制約人才培養(yǎng)的一個(gè)瓶頸。(五)實(shí)訓(xùn)內(nèi)容與職業(yè)崗位脫鉤,缺乏實(shí)用性許多高職院校在設(shè)計(jì)信息安全技術(shù)應(yīng)用實(shí)訓(xùn)課程內(nèi)容時(shí),往往沒有充分調(diào)研職業(yè)崗位要求,盲目以課程或者教材中設(shè)計(jì)的知識(shí)點(diǎn)來設(shè)計(jì)實(shí)訓(xùn)大綱。這樣做的結(jié)果是實(shí)訓(xùn)內(nèi)容與職業(yè)崗位脫鉤,缺乏實(shí)用性,陷入“紙上談兵”的窘境。企業(yè)崗位技能需求是客觀真實(shí)的,是市場(chǎng)提出的要求,是應(yīng)該放在第一位,而且信息安全技術(shù)發(fā)展非常迅速,日新月異,實(shí)際工作中的信息安全技能點(diǎn)要求也是最新的,它往往比已經(jīng)固化定型的實(shí)訓(xùn)內(nèi)容要真實(shí),實(shí)戰(zhàn)性更強(qiáng)。面對(duì)存在的諸多問題,需要理清思路,結(jié)合當(dāng)前國(guó)家在職業(yè)教育方面大力推行的“1+X”證書制度,找到解決問題的方案。
二、職業(yè)資格認(rèn)證視域下實(shí)訓(xùn)課程體系構(gòu)建與革新
2019年1月國(guó)務(wù)院印發(fā)了《國(guó)家職業(yè)教育改革實(shí)施方案》。把學(xué)歷證書與職業(yè)資格技能等級(jí)證書結(jié)合起來,探索實(shí)施“1+X”證書制度。2019年《政府工作報(bào)告》進(jìn)一步指出,“要加快學(xué)歷證書與職業(yè)技能等級(jí)證書的互通銜接”[4]。簡(jiǎn)單來說,“1+X”中的“1”為學(xué)歷證書,“X”為若干職業(yè)技能證書。學(xué)歷證書全面反映學(xué)校教育的人才培養(yǎng)質(zhì)量,在國(guó)家人力資源開發(fā)中起著不可或缺的基礎(chǔ)性作用。職業(yè)技能等級(jí)證書是畢業(yè)生、社會(huì)成員職業(yè)技能水平的憑證,反映職業(yè)活動(dòng)和個(gè)人職業(yè)生涯發(fā)展所需要的綜合能力。“1+X”職業(yè)資格認(rèn)證改革的主要目的就是鼓勵(lì)職業(yè)院校學(xué)生在獲得學(xué)歷證書的同時(shí),積極取得多類職業(yè)技能等級(jí)證書,拓展就業(yè)創(chuàng)業(yè)本領(lǐng),緩解結(jié)構(gòu)性就業(yè)矛盾。
(一)找準(zhǔn)專業(yè)特色定位,明確職業(yè)崗位
構(gòu)建科學(xué)的信息安全專業(yè)實(shí)踐課程體系,首先需要找準(zhǔn)專業(yè)特色定位。高職院校信息安全技術(shù)應(yīng)用專業(yè),其專業(yè)特色定位關(guān)鍵因素在于學(xué)校層次、當(dāng)?shù)亟?jīng)濟(jì)和產(chǎn)業(yè)需求、職業(yè)崗位技能要求、課程要求和信息安全技術(shù)特色等。高職院校培養(yǎng)信息安全技術(shù)應(yīng)用專業(yè)適用人才的正確思路是:在依據(jù)學(xué)校類型確定人才培養(yǎng)目標(biāo)基礎(chǔ)上,考慮當(dāng)?shù)匦畔踩a(chǎn)業(yè)鏈的發(fā)展情況,對(duì)接區(qū)域經(jīng)濟(jì)和產(chǎn)業(yè)發(fā)展,凸顯行業(yè)特色、專業(yè)特色、課程特色、技術(shù)特色培養(yǎng)當(dāng)?shù)亟?jīng)濟(jì)發(fā)展需要的專業(yè)人才[4]。我們以中山職業(yè)技術(shù)學(xué)院信息安全技術(shù)應(yīng)用專業(yè)為例,當(dāng)?shù)氐男畔踩髽I(yè)不多,知名企業(yè)主要有深信服(中山)、廣東網(wǎng)安科技、廣東凌臣等幾家企業(yè),但中山周邊的城市,像廣州、深圳的信息安全企業(yè)就很多,因此我校信息安全技術(shù)應(yīng)用專業(yè)特色定位是:依托大灣區(qū)信息安全產(chǎn)業(yè),培養(yǎng)立足于中山,面向廣州、深圳一線城市的高技能型信息安全服務(wù)人才,主要崗位包括:信息安全/安全運(yùn)維工程師、滲透測(cè)試工程師、等級(jí)保護(hù)測(cè)評(píng)工程師、安全服務(wù)工程師、系統(tǒng)工程師、技術(shù)支持工程師等[5]。
(二)精心選擇職業(yè)技能等級(jí)證書,合理規(guī)劃實(shí)踐教學(xué)內(nèi)容
當(dāng)前職業(yè)技術(shù)等級(jí)證書有很多種,如何去確定最適合自己學(xué)校和專業(yè)的證書呢?主要考慮因素有以下三點(diǎn)[6]:1.證書含金量較高,具有權(quán)威性,社會(huì)認(rèn)可度高;2.證書考核難度適宜,適合學(xué)生學(xué)情基礎(chǔ);3.證書與專業(yè)結(jié)合緊密,相輔相成。以中山職業(yè)技術(shù)學(xué)院信息安全技術(shù)應(yīng)用專業(yè)為例,我們選擇了上海海盾網(wǎng)絡(luò)安全中心的“企業(yè)網(wǎng)絡(luò)安全防護(hù)職業(yè)技能等級(jí)證書(中級(jí))”。該證書是教育部第三批認(rèn)可的職業(yè)資格證書,社會(huì)認(rèn)可度比較高,可以作為企業(yè)網(wǎng)絡(luò)安全從業(yè)人員的崗位認(rèn)證,同時(shí)與人才培養(yǎng)方案中的基礎(chǔ)專業(yè)課程有良好的承接關(guān)系。所以我們選擇了該證書。確定好職業(yè)技能證書之后,我們需要將證書中的崗位技能需求與實(shí)踐課程對(duì)應(yīng)起來,并對(duì)原有的人才培養(yǎng)方案課程體系進(jìn)行重新構(gòu)建。
(三)優(yōu)化設(shè)計(jì)實(shí)踐項(xiàng)目案例,突出實(shí)踐教學(xué)項(xiàng)目創(chuàng)新
確定好信息安全技術(shù)應(yīng)用專業(yè)綜合實(shí)訓(xùn)整體框架后,就需要設(shè)計(jì)優(yōu)化實(shí)踐項(xiàng)目。在建設(shè)實(shí)訓(xùn)室時(shí),建設(shè)單位一般會(huì)提供整套的實(shí)踐案例,但這些案例大都是“驗(yàn)證型”的項(xiàng)目,不需要思考就能到最終的結(jié)果,這樣的實(shí)驗(yàn)案例對(duì)于鍛煉學(xué)生的創(chuàng)新思維沒有多大的幫助。針對(duì)這一現(xiàn)狀,一線任課教師往往要積極參與到實(shí)訓(xùn)室建設(shè)過程中,與建設(shè)單位討論、優(yōu)化實(shí)訓(xùn)項(xiàng)目案例,增加工程實(shí)際項(xiàng)目,在實(shí)驗(yàn)過程中,加入“應(yīng)用情境延伸”、“項(xiàng)目拓展”、“創(chuàng)新思考”等思考型環(huán)節(jié)。而且,實(shí)訓(xùn)系統(tǒng)往往都有二次開發(fā)接口,學(xué)校要充分利用好這個(gè)接口,將教師的科研、工程項(xiàng)目轉(zhuǎn)化成實(shí)踐案例,真正把二次開發(fā)落到實(shí)處。我們?cè)O(shè)計(jì)的主要綜合實(shí)踐項(xiàng)目案例如下表1所示
(四)虛擬實(shí)訓(xùn)平臺(tái)有效結(jié)合,破解實(shí)訓(xùn)資源限制瓶頸
由于招生規(guī)模的不斷擴(kuò)大,建起來沒有多久的實(shí)訓(xùn)室往往會(huì)出現(xiàn)不夠用的情形。為了破解實(shí)訓(xùn)資源有限的瓶頸,我們需要積極利用虛擬網(wǎng)絡(luò)安全實(shí)訓(xùn)平臺(tái)。我們專業(yè)目前使用深信服信息安全實(shí)訓(xùn)室,能滿足一個(gè)班50人的實(shí)訓(xùn)要求,但我們有兩個(gè)班需要同時(shí)在線實(shí)驗(yàn),為此,我們借助了虛擬網(wǎng)絡(luò)安全實(shí)訓(xùn)平臺(tái):使用“合天網(wǎng)安實(shí)訓(xùn)室”虛擬平臺(tái)作為物理實(shí)訓(xùn)室的必要補(bǔ)充,購(gòu)買了100個(gè)賬號(hào),5年的資源使用權(quán)限,這樣我們實(shí)際上可以完成三個(gè)班的實(shí)訓(xùn)教學(xué)要求。
三、結(jié)束語
我校信息安全技術(shù)應(yīng)用專業(yè)選擇上海海盾“企業(yè)網(wǎng)絡(luò)安全防護(hù)職業(yè)技能等級(jí)(中級(jí))”證書作為職業(yè)資格證書,結(jié)合人才培養(yǎng)目標(biāo),對(duì)接職業(yè)崗位技能要求,重構(gòu)了本專業(yè)實(shí)踐課程體系,并依此申請(qǐng)建設(shè)了“深信服信息安全實(shí)訓(xùn)室”,同時(shí)使用了“合天網(wǎng)絡(luò)安全實(shí)訓(xùn)室”虛擬平臺(tái)作為補(bǔ)充,經(jīng)過兩年的使用實(shí)踐,不僅滿足了學(xué)生實(shí)訓(xùn)要求,培養(yǎng)了更多實(shí)踐能力強(qiáng)的人才;也給教師的科研實(shí)踐提供了有利條件,得到師生的廣泛認(rèn)可,取得很好的效果。
參考文獻(xiàn)
[1]翁健,魏林鋒,張悅.網(wǎng)絡(luò)空間安全人才培養(yǎng)探討[J].網(wǎng)絡(luò)與信息安全學(xué)報(bào),2019(03):45-46.
[2]劉何秀,邵長(zhǎng)臣,穆建平,陳騰.開發(fā)數(shù)據(jù)采集職業(yè)技能等級(jí)標(biāo)準(zhǔn)的必要性研究[J].信息技術(shù)與信息化.2020,(06):37-40.
[3]劉楊,王佰玲.面向網(wǎng)絡(luò)空間安全新工科的密碼學(xué)教學(xué)研究[J].高教學(xué)刊,2018(12):13-15.
[4]陳麗婷,李壽冰.1+X證書制度實(shí)施的意義與現(xiàn)實(shí)問題分析[J].職業(yè)技術(shù)教育2020,(27).13-18.
[5]余姜德.高職信息安全專業(yè)實(shí)訓(xùn)課程與實(shí)訓(xùn)平臺(tái)構(gòu)建探索[J].廣東職業(yè)技術(shù)教育與研究,2018(4):162-163.
信息安全專業(yè)范文第3篇
(二)推進(jìn)現(xiàn)代學(xué)徒制試點(diǎn)班獨(dú)立運(yùn)行
目前,學(xué)院在信息安全與管理專業(yè)的基礎(chǔ)上與相關(guān)企業(yè)合作,成立了“信息安全與管理專業(yè)現(xiàn)代學(xué)徒制試點(diǎn)實(shí)驗(yàn)班”。將試點(diǎn)班招生計(jì)劃納入到學(xué)院的年度招生計(jì)劃統(tǒng)一管理,并將這一舉措向社會(huì)、考生公布,大力宣傳。校企共同研究、制定招生與招工方案,并將試點(diǎn)專業(yè)、學(xué)制、培養(yǎng)目標(biāo)、教學(xué)內(nèi)容、教學(xué)形式、就業(yè)方式、退出機(jī)制等信息告知學(xué)生和家長(zhǎng)。校企共同制定試點(diǎn)工作實(shí)驗(yàn)班學(xué)生的遴選辦法,制訂學(xué)生、企業(yè)、學(xué)校三方相關(guān)協(xié)議。按照遴選辦法對(duì)專業(yè)新生進(jìn)行選拔,學(xué)生、企業(yè)、學(xué)校三方之間簽訂協(xié)議,以確保各方權(quán)益,在明確分組劃分后,師徒之間簽訂培養(yǎng)協(xié)議。對(duì)簽訂協(xié)議的學(xué)生組建“信息安全與管理專業(yè)現(xiàn)代學(xué)徒制試點(diǎn)實(shí)驗(yàn)班”獨(dú)立運(yùn)行。
(三)實(shí)行校企“雙導(dǎo)師”
培養(yǎng)制度落實(shí)“雙導(dǎo)師”制,對(duì)試點(diǎn)工作實(shí)驗(yàn)班的學(xué)生進(jìn)行有效的分組,為每組分配一名學(xué)院師傅和企業(yè)師傅作為學(xué)生的導(dǎo)師,建立學(xué)徒與導(dǎo)師的溝通平臺(tái),以便于定期溝通。在試點(diǎn)工作實(shí)驗(yàn)班成功運(yùn)作的基礎(chǔ)上,逐步過渡至招生錄取、培養(yǎng)和企業(yè)用工一體化,真正實(shí)現(xiàn)“招生與招工一體化”。
(四)建立體現(xiàn)現(xiàn)代學(xué)徒制特點(diǎn)的管理制度
科學(xué)合理的教學(xué)管理與運(yùn)行機(jī)制是現(xiàn)代學(xué)徒制試點(diǎn)工作的重要保障。因此,我們要?jiǎng)?chuàng)新考核評(píng)價(jià)與督查制度。做到學(xué)生自我評(píng)價(jià)、教師評(píng)價(jià)、師傅評(píng)價(jià)、企業(yè)評(píng)價(jià)、社會(huì)評(píng)價(jià)有機(jī)結(jié)合。建立定期檢查、反饋等形式的教學(xué)質(zhì)量監(jiān)控機(jī)制。學(xué)徒在企業(yè)頂崗實(shí)習(xí),校內(nèi)導(dǎo)師可以跟隨下廠指導(dǎo),可以隨時(shí)對(duì)學(xué)徒的學(xué)習(xí)成果檢查。企業(yè)的人力資源部門定期做師傅與學(xué)生的互相評(píng)價(jià),對(duì)學(xué)徒進(jìn)行階段性考核,發(fā)現(xiàn)問題立即整改。校企共同制定學(xué)徒管理辦法,保障學(xué)徒權(quán)益,根據(jù)教學(xué)需要,科學(xué)安排學(xué)徒崗位、分配工作任務(wù),保證學(xué)徒合理報(bào)酬。落實(shí)學(xué)徒的責(zé)任保險(xiǎn)、工傷保險(xiǎn)負(fù)責(zé)部門,確保學(xué)生在學(xué)徒過程中不出現(xiàn)人身安全。
信息安全專業(yè)范文第4篇
關(guān)鍵詞:信息安全;電子商務(wù)安全;教學(xué)方法
中圖分類號(hào):G642.4 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-9324(2012)07-0193-02
電子商務(wù)是以互聯(lián)網(wǎng)為基礎(chǔ)而產(chǎn)生的網(wǎng)絡(luò)虛擬市場(chǎng),這是一個(gè)具有全球性、數(shù)字化、跨時(shí)空等特點(diǎn)的飛速增長(zhǎng)和潛力巨大的新興市場(chǎng)。面對(duì)這樣一個(gè)自身在不斷變化著的全新的網(wǎng)絡(luò)虛擬市場(chǎng),安全問題一直是電子商務(wù)用戶特別關(guān)注的主題,是關(guān)系到電子商務(wù)能否順利發(fā)展的關(guān)鍵問題。因此,《電子商務(wù)安全》一直是經(jīng)濟(jì)類專業(yè)的主要課程。開展電子商務(wù)活動(dòng),需要在互聯(lián)網(wǎng)上傳輸消費(fèi)者和商家的一些機(jī)密信息,而這些信息正是網(wǎng)絡(luò)非法入侵者或黑客的攻擊目標(biāo),所謂電子商務(wù)安全,實(shí)質(zhì)上就是這些信息的安全。因此說,“電子商務(wù)安全”是“信息安全”的重要應(yīng)用。基于此,信息安全專業(yè)開設(shè)《電子商務(wù)安全》課程是非常必要的。然而,與經(jīng)濟(jì)類專業(yè)開設(shè)的同名課程相比,由于專業(yè)背景不同,在教學(xué)目標(biāo)、教學(xué)重點(diǎn)、教學(xué)內(nèi)容、教學(xué)方法上有著很大差別,因此,深入開展教學(xué)研究,對(duì)提高教學(xué)效果具有十分重要的意義。
一、重視創(chuàng)新能力的培養(yǎng)
電子商務(wù)的核心是應(yīng)用信息技術(shù)提高企業(yè)事務(wù)處理的信息流效率,改善企業(yè)的組織和管理。電子商務(wù)的信息安全是實(shí)施電子商務(wù)的第一要?jiǎng)?wù),它要求電子商務(wù)系統(tǒng)在實(shí)現(xiàn)為客戶服務(wù)的同時(shí)有效防止泄密,并且具有強(qiáng)大的抵御攻擊能力,避免非法入侵帶來的損失。由此可見,《電子商務(wù)安全》課程的教學(xué)目標(biāo),首先應(yīng)當(dāng)是讓學(xué)生“懂”電子商務(wù)安全。也就是說,要讓學(xué)生掌握電子商務(wù)安全的基本理論,具備安全技術(shù)實(shí)際操作的能力。在此基礎(chǔ)上,要能使學(xué)生會(huì)應(yīng)用這些理論和技術(shù)為具體的商務(wù)活動(dòng)的實(shí)現(xiàn)提供安全保障。考慮到信息安全專業(yè)的學(xué)生數(shù)理基礎(chǔ)較好,且學(xué)過《密碼學(xué)》、《計(jì)算機(jī)網(wǎng)絡(luò)》等課程,所以《電子商務(wù)安全》課程的教學(xué)應(yīng)有更高的目標(biāo),要努力培養(yǎng)他們的創(chuàng)新精神,使他們具備發(fā)現(xiàn)電子商務(wù)實(shí)施過程中安全隱患的能力,并能為解決問題提供有價(jià)值的方案。信息安全專業(yè)畢業(yè)生的就業(yè)面是寬廣的,如能在《電子商務(wù)安全》課程的教學(xué)中切實(shí)達(dá)到“懂、用、創(chuàng)”三個(gè)目標(biāo),必將為學(xué)生今后從事電子商務(wù)領(lǐng)域的工作打下扎實(shí)的基礎(chǔ)。
二、把重點(diǎn)放在應(yīng)用上
《電子商務(wù)安全》課程的理論性與實(shí)踐性都很強(qiáng),課程內(nèi)容綜合度高,且理論部分較為抽象,對(duì)于經(jīng)濟(jì)類專業(yè)來說,由于學(xué)生文理兼收,且專業(yè)偏文,所以,在教學(xué)中讓學(xué)生真正理解電子商務(wù)安全的實(shí)現(xiàn)機(jī)理是有相當(dāng)難度的,從而不得不在基本理論上花費(fèi)較多時(shí)間。
然而,對(duì)于信息安全專業(yè)來說,情況有所不同,學(xué)生數(shù)理基礎(chǔ)較好,且不少基本理論知識(shí)已在《密碼學(xué)》、《計(jì)算機(jī)網(wǎng)絡(luò)》等課程中學(xué)過,所以教學(xué)《電子商務(wù)安全》課程要把重點(diǎn)放在應(yīng)用上。這就是說,教學(xué)各部分內(nèi)容都要從在電子商務(wù)中應(yīng)用的角度來考慮,即使像密碼技術(shù)這樣的抽象理論亦是如此。比如公鑰加密技術(shù)是保障電子商務(wù)安全的核心技術(shù),學(xué)生已在《密碼學(xué)》課程中學(xué)過基本理論,教學(xué)時(shí),應(yīng)當(dāng)在梳理基本理論的基礎(chǔ)上著力解決如下實(shí)際操作問題:(1)如何生成密鑰對(duì)?(2)如何導(dǎo)出自己的公鑰,導(dǎo)入別人的公鑰?(3)如何進(jìn)行加密文件的操作?(4)如何進(jìn)行解密文件的操作?上述這些操作問題不解決,利用公鑰密碼體制保障電子商務(wù)安全就不過是紙上談兵。
三、精選實(shí)用的教學(xué)內(nèi)容
《電子商務(wù)安全》課程的突出問題是學(xué)習(xí)內(nèi)容多,課時(shí)少,在有限的學(xué)時(shí)內(nèi)不可能詳細(xì)講解所有內(nèi)容。所以,精心設(shè)計(jì)教學(xué)內(nèi)容是十分重要的。對(duì)于信息安全專業(yè)來說,由于《電子商務(wù)安全》課程的不少理論知識(shí),學(xué)生已經(jīng)在《密碼學(xué)》、《計(jì)算機(jī)網(wǎng)絡(luò)》等課程中學(xué)過,所以,教學(xué)內(nèi)容的設(shè)計(jì)要從電子商務(wù)的需要出發(fā),結(jié)合學(xué)生實(shí)際合理安排。以下三大技術(shù)是設(shè)計(jì)內(nèi)容時(shí)必須考慮的。
1.密碼技術(shù)。現(xiàn)代社會(huì)對(duì)信息安全的需求大部分可以通過密碼技術(shù)來實(shí)現(xiàn)。密碼技術(shù)是信息安全的核心技術(shù)。利用密碼技術(shù)可以達(dá)到對(duì)電子商務(wù)安全的需求,保證商務(wù)交易的機(jī)密性、完整性、真實(shí)性和不可否認(rèn)性。考慮到實(shí)際情況,對(duì)學(xué)生熟悉的知識(shí),一般梳理清楚,但要選擇電子商務(wù)中經(jīng)常用到的知識(shí),比如公鑰密碼體制,結(jié)合電子商務(wù)實(shí)例講深講透,讓他們能搞清理論,掌握實(shí)際操作技能,并能理解它的優(yōu)點(diǎn)和不足。
2.網(wǎng)絡(luò)安全技術(shù)。電子商務(wù)系統(tǒng)是依賴網(wǎng)絡(luò)實(shí)現(xiàn)的商務(wù)系統(tǒng),網(wǎng)絡(luò)服務(wù)提供信息傳送的載體和用戶接入的手段,是各種電子商務(wù)應(yīng)用系統(tǒng)的基礎(chǔ)。所以,應(yīng)在學(xué)生已有網(wǎng)絡(luò)知識(shí)的基礎(chǔ)上,結(jié)合電子商務(wù)實(shí)例強(qiáng)化網(wǎng)絡(luò)安全技術(shù)的教學(xué),使他們掌握基本的網(wǎng)絡(luò)安全攻防體系、防火墻、入侵檢測(cè)系統(tǒng)等網(wǎng)絡(luò)安全的主要技術(shù)和解決方案。
3.PKI(公鑰基礎(chǔ)設(shè)施)技術(shù)。公鑰基礎(chǔ)設(shè)施是普適性的安全基礎(chǔ)設(shè)施,是利用公鑰算法原理和技術(shù)為網(wǎng)上通信提供安全服務(wù)的基礎(chǔ)設(shè)施。它為電子商務(wù)提供一整套安全基礎(chǔ)平臺(tái)。教學(xué)時(shí),要特別注意讓學(xué)生掌握數(shù)字證書和認(rèn)證機(jī)構(gòu)的有關(guān)知識(shí),因?yàn)閿?shù)字證書的應(yīng)用是安全開展電子商務(wù)的前提,而電子商務(wù)的深入開展離不開數(shù)字證書技術(shù)和認(rèn)證機(jī)構(gòu)的督導(dǎo)。此外,教學(xué)中還應(yīng)注意流行技術(shù)和新技術(shù)的講解。比如,電子支付是相對(duì)于電子商務(wù)環(huán)境而言的一種支付形式,是在傳統(tǒng)支付基礎(chǔ)上發(fā)展而來的,安全的電子支付是保障電子商務(wù)順利開展的關(guān)鍵。教學(xué)中要適當(dāng)講解,并引導(dǎo)學(xué)生根據(jù)自己的興趣進(jìn)一步跟蹤和探索。
四、采用互動(dòng)的教學(xué)方法
根據(jù)信息安全專業(yè)學(xué)生的具體情況,《電子商務(wù)安全》課程的教學(xué)宜采用師生互動(dòng)、注重實(shí)驗(yàn)的方法。所謂師生互動(dòng)就是在教學(xué)過程中教師負(fù)責(zé)提出問題,然后引導(dǎo)學(xué)生共同探討,在相互學(xué)習(xí)中使學(xué)生理解和掌握知識(shí)的互動(dòng)形式。具體的做法是,教師選擇恰當(dāng)?shù)碾娮由虅?wù)實(shí)例,借助多媒體課件設(shè)置問題,讓學(xué)生帶著任務(wù)進(jìn)入學(xué)習(xí)狀態(tài),然后組織學(xué)生分組討論,或者師生共同討論,教師對(duì)學(xué)生提出的各種見解從分析步驟的恰當(dāng)性、結(jié)論推斷過程的邏輯性、思維的創(chuàng)新性諸方面進(jìn)行綜合評(píng)定,最后總結(jié)、歸納出相應(yīng)的知識(shí)點(diǎn)。實(shí)驗(yàn)教學(xué)是為學(xué)生理解課程內(nèi)容而設(shè)計(jì)的,通過實(shí)驗(yàn)教學(xué)可以使學(xué)生掌握電子商務(wù)安全技術(shù)的操作方法。實(shí)驗(yàn)設(shè)計(jì)應(yīng)強(qiáng)調(diào)基礎(chǔ),通過實(shí)驗(yàn)要使學(xué)生理解相應(yīng)的知識(shí)點(diǎn)并會(huì)加以利用,從而培養(yǎng)解決問題的能力。在校園網(wǎng)絡(luò)環(huán)境中建立基于B/S結(jié)構(gòu)的電子商務(wù)安全實(shí)驗(yàn)教學(xué)平臺(tái),在這個(gè)平臺(tái)上絕大多數(shù)實(shí)驗(yàn)都基于瀏覽器完成,客戶端不要安裝額外的軟件,沒有特定的實(shí)驗(yàn)環(huán)境限制,操作自由方便,結(jié)果直觀。比如說,利用這個(gè)實(shí)驗(yàn)平臺(tái)進(jìn)行數(shù)字信封的實(shí)驗(yàn)可以按如下步驟進(jìn)行:(1)甲用DES算法對(duì)需要傳輸?shù)奈谋緝?nèi)容進(jìn)行加密,得到密文。甲用乙的RSA公鑰對(duì)DES密鑰進(jìn)行加密。(2)甲將密文以及經(jīng)過加密的DES密鑰傳輸給乙。(3)乙用自己的私鑰解密得到DES密鑰,乙用DES密鑰對(duì)文本內(nèi)容密文進(jìn)行解密得到明文。完成實(shí)驗(yàn)。
上述數(shù)字信封實(shí)驗(yàn)的每一步都可以在實(shí)驗(yàn)教學(xué)平臺(tái)上完成,學(xué)生根據(jù)實(shí)驗(yàn)指導(dǎo)書完成相應(yīng)的操作,抽象的理論在實(shí)驗(yàn)中得到闡釋,輕松而有趣。幾年來,我們將上述對(duì)《電子商務(wù)安全》課程的研究成果付諸教學(xué)實(shí)踐,收到良好的教學(xué)效果。
參考文獻(xiàn):
[1]肖德琴.電子商務(wù)安全保密技術(shù)與應(yīng)用(第二版)[M].廣州:華南理工大學(xué)出版社,2008.
[2]管有慶,等.電子商務(wù)安全技術(shù)(第二版)[M].北京郵電大學(xué)出版社,2009.
[3]邱衛(wèi)東,陳克非.信息安全數(shù)學(xué)教學(xué)的新型互動(dòng)模式[J].計(jì)算機(jī)教育,2007(10):19-21.
[4]段旭良等.體驗(yàn)式電子商務(wù)安全實(shí)驗(yàn)平臺(tái)的探索與應(yīng)用[J].中國(guó)教育現(xiàn)代化,2010,(11):79-81.
信息安全專業(yè)范文第5篇
關(guān)鍵詞:自主研學(xué);第三方支付;客戶端安全;瀏覽器劫持
我國(guó)的高等院校信息安全專業(yè)本科的建立和發(fā)展至今尚不足8年。這些年來,有關(guān)專業(yè)人士就如何發(fā)展和完善信息安全專業(yè)建設(shè)進(jìn)行了廣泛的研究和探討,比如,如何結(jié)合學(xué)校特色加強(qiáng)信息安全專業(yè)的建設(shè)、信息安全專業(yè)人才培養(yǎng)存在的若干問題、信息安全專業(yè)人才培養(yǎng)模式的探討、信息安全課程體系和實(shí)驗(yàn)體系的建設(shè)、信息安全專業(yè)應(yīng)用型人才的培養(yǎng),等等[1-2]。國(guó)外大學(xué)關(guān)于信息安全專業(yè)教育方面的研究也不少,特別在信息安全實(shí)驗(yàn)教學(xué)方面有許多很具體的研究和探索[3-4]。北京信息科技大學(xué)信息安全專業(yè)成立于2004年,近些年來,本專業(yè)特別注重結(jié)合學(xué)校具體情況,為培養(yǎng)信息安全應(yīng)用型人才進(jìn)行積極的探索,無論在專業(yè)建設(shè)和學(xué)科建設(shè)方面都取得了一定成效。筆者在“入侵檢測(cè)技術(shù)”這門課程的實(shí)驗(yàn)教學(xué)方面進(jìn)行過積極探索[5],采用課內(nèi)實(shí)驗(yàn)與課外實(shí)驗(yàn)相結(jié)合的方式增加學(xué)生動(dòng)手的機(jī)會(huì),使學(xué)生在實(shí)踐中學(xué)習(xí),在實(shí)踐中增強(qiáng)各種能力。但是無論從學(xué)校方面,還是從教師方面做再多的努力,都難以回避一個(gè)不爭(zhēng)的事實(shí):大多數(shù)學(xué)生玩游戲上癮,自主研學(xué)的習(xí)慣和精神嚴(yán)重缺乏。因此,無論進(jìn)行什么樣的教學(xué)模式創(chuàng)新與改革,無論提供什么樣的教學(xué)和實(shí)驗(yàn)環(huán)境,其效果都會(huì)大打折扣。這是我們必須要面對(duì),同時(shí)也要盡快解決的現(xiàn)實(shí)問題。筆者從事多年的信息安全專業(yè)的教學(xué),同時(shí)又長(zhǎng)期兼任信息安全專業(yè)班級(jí)的班主任,即站在專業(yè)教學(xué)的第一線,也站在學(xué)生管理的第一線,有更多的時(shí)間和機(jī)會(huì)在如何引導(dǎo)學(xué)生自主研學(xué)方面進(jìn)行廣泛和深入的探索。
1發(fā)現(xiàn)和提出問題
隨著互聯(lián)網(wǎng)上各種應(yīng)用和服務(wù)不斷增多,信息安全問題越來越受到人們的關(guān)注。目前,網(wǎng)絡(luò)銀行和第三方支付系統(tǒng)在各種網(wǎng)上應(yīng)用和服務(wù)中扮演極其重要的角色,而它的安全問題一直受到有關(guān)各方的重視,但沒有得到根本上的解決,這將嚴(yán)重影響未來網(wǎng)上服務(wù)和應(yīng)用的進(jìn)一步發(fā)展。筆者通過一個(gè)真實(shí)的案例,吸引學(xué)生的興趣,引導(dǎo)他們結(jié)合所學(xué)的知識(shí)去分析問題和解決問題。案例的具體內(nèi)容涉及一個(gè)用戶利用第三方支付系統(tǒng)還房貸而遭受較大的資金損失。筆者在這個(gè)事件發(fā)生后,親歷了此案例的調(diào)查,事件發(fā)生的過程如下:一個(gè)用戶看到某第三方支付商提供的廣告后,進(jìn)行了信用卡還款操作。圖1是用戶在操作時(shí)輸入的重要信息。
左窗口是要求用戶輸入接收方的信用卡卡號(hào)、用戶名及還款金額;右窗口是付款方的借記卡所屬銀行、個(gè)人電子郵件和手機(jī)號(hào)碼。完成各項(xiàng)填寫后,按確認(rèn)鍵,進(jìn)入所選銀行的付款頁面,該頁面顯示商城名稱、訂單號(hào)、訂單金額、商品名稱等提示信息,并要求輸入支付卡的卡號(hào)和口令,接下來用戶只要插上自己的有效的安全U盾,輸入正確的PIN碼后就可以完成付款。本案例中的用戶共進(jìn)行了二次支付,共計(jì)支付了8萬多元錢。過了幾天,所支付的錢依然沒有到達(dá)接收卡賬戶上。用戶查詢后發(fā)現(xiàn),這二筆錢通過另一家支付系統(tǒng)分別轉(zhuǎn)入了某地二個(gè)不同的賬戶,而他所選用的第三方支付商根本沒有接受這二筆交易。
筆者將上述真實(shí)的案例告訴學(xué)生,首先是讓他們了解該安全事件的具體表現(xiàn)。接下來給學(xué)生提出更多的問題,比如:通過第三方的支付過程涉及哪些主體?這些主體各自應(yīng)該承擔(dān)的安全責(zé)任和應(yīng)當(dāng)采取的安全機(jī)制是什么?上述案例中存在的安全漏洞到底在哪?這樣的安全漏洞能夠解決嗎?采用什么安全機(jī)制能防范或制止這種安全漏洞?為了讓學(xué)生更快地進(jìn)入角色,筆者給他們提出一些建議:
1) 通過第三方支付系統(tǒng)完成一次網(wǎng)上的實(shí)際轉(zhuǎn)賬過程;
2) 上中國(guó)金融認(rèn)證中心網(wǎng)站,了解網(wǎng)上支付過程及相關(guān)安全知識(shí);
3) 了解客戶端及IE瀏覽器存在的安全漏洞。
2描述和理解問題
學(xué)生們帶著對(duì)上述案例的興趣及若干問題去查找相關(guān)資料,經(jīng)過一段時(shí)間的學(xué)習(xí)和討論以后,他們能夠與老師討論這個(gè)案例,并能完成對(duì)相關(guān)問題的描述和理解。
首先,了解到第三方支付系統(tǒng)的支付過程,涉及支付用戶、收款用戶、第三方支付系統(tǒng)、網(wǎng)上銀行、認(rèn)證中心(CA),以及網(wǎng)上通信。若存在購(gòu)物交易,還應(yīng)包括商家。本案例中用戶的在線支付,不是為了完成購(gòu)物而是為了還款,實(shí)質(zhì)上就是利用第三方支付系統(tǒng)進(jìn)行轉(zhuǎn)賬。這種轉(zhuǎn)賬方式,是在網(wǎng)上銀行與用戶方之間增加了第三方支付商,增加了這樣一個(gè)支付環(huán)節(jié),很有可能會(huì)給用戶帶來了額外的風(fēng)險(xiǎn)。若從技術(shù)層面上來考慮,這種支付過程,涉及到客戶端、第三方支付系統(tǒng)的服務(wù)器端、網(wǎng)銀系統(tǒng)的服務(wù)器端、認(rèn)證系統(tǒng)服務(wù)器、互聯(lián)網(wǎng)通信等多個(gè)方面。一旦出現(xiàn)安全事件,每一個(gè)相關(guān)方面都有可能成為安全事件起因。當(dāng)然,事件的確切原因需要具體問題具體分析。
第二,所涉及到的各方都會(huì)采用相應(yīng)安全機(jī)制來保證系統(tǒng)的安全,其中認(rèn)證中心、銀行采用的安全機(jī)制最強(qiáng)、在安全方面投入也更高;第三方支付系統(tǒng)相對(duì)弱一些;用戶端存在的安全隱患相對(duì)更多一些。目前,國(guó)內(nèi)銀行的認(rèn)證還是由各銀行自行完成,以后這方面的工作應(yīng)該由中國(guó)金融認(rèn)證中心來完成。到目前為止有關(guān)網(wǎng)銀安全事件的發(fā)生原因,都與網(wǎng)銀的服務(wù)器端沒有直接原因,主要由于客戶端存在病毒、或用戶操作不當(dāng)造成的。相比較而言,第三方支付系統(tǒng)存在的安全隱患更大,其中包括監(jiān)管和技術(shù)二方面的原因。但是就目前所發(fā)生的有關(guān)安全事件來看,第三方支付系統(tǒng)的服務(wù)器端出現(xiàn)技術(shù)或人為安全問題的可能性不大,因?yàn)槿羰欠?wù)器端出現(xiàn)問題,其造成資金的損失,一定會(huì)是以億計(jì),而且會(huì)涉及大量的用戶。與其他主體相比,客戶端存在的安全問題相對(duì)比較多,比如,操作系統(tǒng)和IE沒有及時(shí)升級(jí)、沒有安裝殺毒軟件或沒有對(duì)殺毒軟件的病毒庫及時(shí)更新,等等。本案例中用戶所用的Window系統(tǒng)版本較早且未及時(shí)打補(bǔ)丁,所用IE版本較低。筆者用諾頓殺毒軟件對(duì)案中用戶所用U盤進(jìn)行過檢測(cè),出現(xiàn)了Spyware.Keylogger報(bào)警。經(jīng)查詢,這是一個(gè)間諜軟件,在2007年2月升級(jí),可以截屏,可以記錄擊鍵信息。該軟件可能來自網(wǎng)站、電子郵件、即時(shí)消息及直接文件共享連接,此外用戶在接受某個(gè)軟件程序的最終用戶許可協(xié)議時(shí),可能會(huì)在毫無察覺的情況下收到該間諜軟件。
第三,在網(wǎng)絡(luò)通信方面,目前網(wǎng)上交易大都采用SSL、SET等安全協(xié)議,所用安全協(xié)議的安全功能包括身份認(rèn)證服務(wù)、機(jī)密性保護(hù)服務(wù)、數(shù)據(jù)完整、不可否認(rèn)等,從這些年的實(shí)踐上來看,SSL和SET二個(gè)安全協(xié)議尚未有明顯易攻擊的安全漏洞 [6]。
最終,通過認(rèn)真分析交易環(huán)節(jié)、上網(wǎng)查詢相似案例的報(bào)道、以及檢查用戶交易所用的筆計(jì)本電腦,確認(rèn)這是一起典型的發(fā)生在客戶端的中間人攻擊事件,利用了客戶端與第三方交易系統(tǒng)存在的漏洞。這里所說的第三方交易系統(tǒng)存在安全漏洞,主要是指三方面的內(nèi)容,其一,如圖1所示,當(dāng)用戶在左窗口中輸入賬戶信息時(shí),所輸數(shù)據(jù)極易被鍵盤截獲木馬所截獲;其二,沒有采用適當(dāng)?shù)陌踩丶婪兑恍┏R姽簦黄淙谌街Ц断到y(tǒng)存在更易被利用的弱點(diǎn)。下面重點(diǎn)分析本案例中的客戶端的安全問題,這是目前最常見的,也是難于解決的問題。
圖2是客戶端的涉及IE瀏覽器、鍵盤和安全U盾三個(gè)實(shí)體的數(shù)據(jù)流圖。
就本文所提案例而言,用戶進(jìn)入第三方支付系統(tǒng)A網(wǎng)站后,首先在圖1左端窗口輸入接收卡信息,在右端窗口選擇支付銀行及個(gè)人Email和手機(jī)信息,正常情況下,這些信息通過IE內(nèi)置SSL模塊,建立SSL連接,將信息安全傳送至第三方支付系統(tǒng)A服務(wù)器端;然后再依據(jù)用戶所選擇的支付銀行,鏈接銀行支付頁面進(jìn)行支付,支付時(shí)要求輸入用戶銀行卡號(hào)、用戶銀行卡密碼及付款金額,提示用戶插入安全U盾,輸入PIN碼。該過程用戶所輸入的信息通過IE傳遞給安全U盾,進(jìn)行簽名和加密運(yùn)算以后,再返回IE傳送至網(wǎng)銀支付網(wǎng)關(guān),網(wǎng)銀系統(tǒng)的服務(wù)器端對(duì)數(shù)據(jù)進(jìn)行認(rèn)證和解密后,將資金從用戶支付卡上轉(zhuǎn)至第三方支付系統(tǒng)。延遲一段時(shí)間后,資金才由第三方支付系統(tǒng)轉(zhuǎn)入用戶所輸入的接收卡中。
在本文的案例中,用戶的資金通過另一個(gè)第三支付系統(tǒng)B轉(zhuǎn)入非用戶指定的接收卡賬戶。這顯然是一種瀏覽器劫持行為,此行為發(fā)生在調(diào)用網(wǎng)銀支付頁面以前,它更改了接收卡信息,同時(shí)由另一第三方支付系統(tǒng)B,代替了用戶所選擇的第三方支付系統(tǒng)A,因此網(wǎng)銀支付頁面是由第三方支付系統(tǒng)B提供的鏈接。在接下來的支付過程中,無論是用戶方、第三方支付系統(tǒng)A、第三方支付系統(tǒng)B,還是銀行方均不會(huì)發(fā)現(xiàn)任何異常情況。
分析了整個(gè)入侵過程以后,教師自然引入以下幾個(gè)問題:
1) 非法者為何要選擇在此操作環(huán)節(jié)進(jìn)行IE劫持?這種IE劫持是如何實(shí)現(xiàn)的?
2) 非法者為何要選擇第三方支付系統(tǒng)B作為他們的支付平臺(tái)?該平臺(tái)是否有漏洞更容易被利用?
3) 若該用戶直接進(jìn)入網(wǎng)銀界面進(jìn)行類似的轉(zhuǎn)賬操作會(huì)有資金會(huì)發(fā)生資金損失嗎?
4) 能否防范此類IE劫持行為?如何防范?
3分析和實(shí)踐
前面描述了如何引導(dǎo)學(xué)生去發(fā)現(xiàn)和理解問題。接下來是組織學(xué)生進(jìn)一步分析問題,并著手尋找解決問題的方法和途徑。筆者通過與學(xué)生們討論,將接下來所要進(jìn)行的工作分成四大部分。第一、明確和掌握文中所提案例的攻擊原理;第二、通過分析和模擬攻擊行為,進(jìn)一步理解和掌握相關(guān)攻擊原理和實(shí)現(xiàn)方法;第三、設(shè)計(jì)并實(shí)現(xiàn)新的安全機(jī)制,防范相關(guān)攻擊;第四、驗(yàn)證新的安全防范機(jī)制的有效性。
3.1瀏覽器劫持技術(shù)的原理
從目前的資料來看,“瀏覽器劫持”攻擊的滲透途徑有很多,其中最常見的方式有通過BHO DLL插件、Hook技術(shù)達(dá)到對(duì)用戶的瀏覽器進(jìn)行篡改的目的。這些載體可以直接寄生于瀏覽器的模塊里,成為瀏覽器的一部分,進(jìn)而直接操縱瀏覽器的行為。
什么是BHO DLL插件、Hook技術(shù)?它們的作用是什么?它們是如何被合法和不法利用的?“瀏覽器劫持”攻擊是如何利用這些技術(shù)從事了非法或非授權(quán)行為的?
首先了解BHO技術(shù)[7]。BHO是微軟早在1999年推出的作為瀏覽器對(duì)第三方程序員開放交互接口的業(yè)界標(biāo)準(zhǔn)。BHO可以獲知和實(shí)現(xiàn)瀏覽器的大部分事件和功能,也就是說,它可以利用少量的代碼控制瀏覽器行為。程序員可以設(shè)計(jì)出一個(gè)BHO控制瀏覽器跳轉(zhuǎn)到他想讓用戶去的頁面,這就所謂的“瀏覽器劫持”――BHO劫持。
其次,引入Hook(鉤子)技術(shù)。Hook[8]是Windows消息處理機(jī)制的一個(gè)平臺(tái),應(yīng)用程序可以在上面設(shè)置子程序以監(jiān)視指定窗口的某種消息,并且當(dāng)消息到達(dá)后,在目標(biāo)窗口處理函數(shù)之前處理它。Hook機(jī)制允許應(yīng)用程序截獲處理Window消息或特定事件。把Hook技術(shù)應(yīng)用到瀏覽器上面,就成了另一種控制瀏覽器行為的方法,稱為IE鉤子。IE鉤子程序載入進(jìn)程后便能獲知所有的消息類型、API和內(nèi)容,一旦發(fā)現(xiàn)某個(gè)符合要求的消息,如IE執(zhí)行了某個(gè)事件,或者用戶輸入了特定內(nèi)容,鉤子的處理代碼就開始工作了,它先攔截系統(tǒng)發(fā)送給IE的消息,然后分析消息內(nèi)容,根據(jù)不同消息內(nèi)容作出修改后再發(fā)給IE,就完成了一次Hook篡改過程。
接下來的問題就是:案例中的攻擊者是如何使攻擊得逞的呢?攻擊者能夠得逞需要具備哪些條件?
3.2第三方支付系統(tǒng)的弱點(diǎn)
本案例有一個(gè)值得關(guān)注的地方,就是詐騙者利用了另一家B支付系統(tǒng)將客戶資金進(jìn)行了非法轉(zhuǎn)移。這個(gè)B支付系統(tǒng)有什么更易被利用的弱點(diǎn)嗎?筆者對(duì)B支付系統(tǒng)進(jìn)行考察后發(fā)現(xiàn),該支付系統(tǒng)給商家提供了信用支付功能,通過該功能,商家可以通過一個(gè)鏈接讓買家通過網(wǎng)銀進(jìn)行支付。該支付系統(tǒng)為注冊(cè)商家和非注冊(cè)商家都提供了一個(gè)這樣的功能,也就是說任意一個(gè)人,都可以不經(jīng)任何審查過程,實(shí)現(xiàn)這樣一個(gè)功能。
如圖3所示,要完成信用支付,任何一個(gè)注冊(cè)或非注冊(cè)用戶第一步要做的是輸入工行的信用卡號(hào)及其它相關(guān)信息。輸入完成后,再進(jìn)行確認(rèn)。最后生成一個(gè)支付鏈接。
如圖4所示。所生成的支付鏈接中的最后二項(xiàng),一個(gè)是“money=xxxxx”,另一個(gè)是“payUrl=xxxx”等號(hào)后面的內(nèi)容。前者是支付金額,后者是商品鏈接。等號(hào)后面的內(nèi)容允許商戶根據(jù)需要進(jìn)行修改。正是這個(gè)鏈接為網(wǎng)上開店的商戶完成商品的支付功能,提供了很大方便,但同時(shí),也為攻擊者進(jìn)行網(wǎng)上詐騙大開方便之門。
3.3模擬運(yùn)行環(huán)境及攻擊行為
通過對(duì)攻擊行為的模擬,可以使學(xué)生更好地理解攻擊行為的原理、作用及局限,同時(shí)也能夠大大增強(qiáng)學(xué)生的編程能力。
第一,利用鉤子技術(shù)實(shí)現(xiàn)對(duì)鍵盤的記錄[9]。由于鍵盤記錄器需要監(jiān)控鍵盤的所有輸入,因此必須安裝為全局的鉤子,該鉤子函數(shù)應(yīng)當(dāng)寫入一個(gè)DLL文件內(nèi)。該DLL由VC編寫,相應(yīng)參考資料很多。
第二,利用BHO技術(shù)實(shí)現(xiàn)URL的攔截[10]。該BHO插件在VC6.0下開發(fā)。基本實(shí)現(xiàn)過程:①ATL Object到該項(xiàng)目中。②實(shí)現(xiàn)IObjectWithSite的接口方法。③實(shí)現(xiàn)IDispatch接口方法。④修改注冊(cè)表文件,追加BHO的注冊(cè)信息。
第三,網(wǎng)上支付系統(tǒng)[11]保證客戶端資金安全的最核心的機(jī)制是采用安全U盾。為了使學(xué)生充分掌握和了解安全U盾的應(yīng)用,給學(xué)生提供了堅(jiān)石誠(chéng)信科技公司的安全U盾產(chǎn)品ET199,能夠使用MS CryptoAPI接口開發(fā)ET199的應(yīng)用。
3.4建立新的安全防范機(jī)制
分析和模擬的目的是為了能夠有更好的思路和手段來實(shí)現(xiàn)新的安全防范機(jī)制,避免類似的攻擊案例的發(fā)生。
從對(duì)文中案例的分析情況來看,第三方支付系統(tǒng)顯然存在弱點(diǎn),需要企業(yè)本身和相關(guān)監(jiān)管部門進(jìn)一步完善業(yè)務(wù)流程和監(jiān)管手段。作為用戶一方,如何保證客戶端不被非法程序所侵害,也應(yīng)引起足夠的重視。目前,所能采取的技術(shù)手段是利用系統(tǒng)監(jiān)控技術(shù),監(jiān)控文件目錄的變動(dòng)、注冊(cè)表的修改、進(jìn)程的創(chuàng)建等[9]。
1) 文件監(jiān)控技術(shù)。Windows SDK提供了兩種API進(jìn)行文件監(jiān)控。FindChange- Notification系列函數(shù)和ReadDirectory- ChangesW()函數(shù)。
2) 注冊(cè)表監(jiān)控技術(shù)。Windows SDK提供了一個(gè)函數(shù):RegNotifyChangeKeyValue(),可以完成對(duì)指定注冊(cè)表路徑項(xiàng)的監(jiān)視。
3) 進(jìn)程監(jiān)控技術(shù)。進(jìn)程監(jiān)控的有多種方法。最好的方法是采用API Hook。API Hook的主要思路是攔截基于操作系統(tǒng)提供的API函數(shù),使其在執(zhí)行這些函數(shù)前首先運(yùn)行自己的代碼,可以使用這種方法來記錄系統(tǒng)中的一些關(guān)鍵操作。
4結(jié)語
當(dāng)前,學(xué)生自主研學(xué)能力的缺乏具有一定的普遍
性,特別是在與我校同檔次的高校中,情況更為普遍。因此,無論從學(xué)校層面還是從專業(yè)教學(xué)層面上都在積極采取辦法提高學(xué)生自主研學(xué)能力,如鼓勵(lì)成立學(xué)生社團(tuán)、舉辦課外專業(yè)競(jìng)賽、提供學(xué)校學(xué)生基金項(xiàng)目、創(chuàng)新理論教學(xué)和實(shí)驗(yàn)教學(xué),等等。本文探討了一種新的方法和途徑:以學(xué)生感興趣的應(yīng)用型項(xiàng)目為依托,積極引導(dǎo)學(xué)生自主研學(xué)。只有當(dāng)學(xué)生提高了自主研學(xué)的能力和興趣以后,他們才能夠在大學(xué)所提供的各種教育活動(dòng)中,更有效地提高自身的實(shí)踐能力、溝通能力、團(tuán)隊(duì)合作能力和知識(shí)應(yīng)用能力。
參考文獻(xiàn):
[1] 李暉,馬建峰. 結(jié)合學(xué)校特色加強(qiáng)信息安全專業(yè)建設(shè)的幾點(diǎn)體會(huì)[J]. 北京電子科技學(xué)院學(xué)報(bào),2006(3):3-4.
[2] 譚云松,王海暉,伍慶華,等. 信息安全專業(yè)實(shí)踐教學(xué)體系研究[J]. 高教論壇,2006(5):82-84.
[3] Du Wenliang,Teng Zhouxuan,Wang Ronghua. SEED:a suite of instructional laboratories for computer security education[C]. SIGCSE’07 Proceedings of the 38th SIGCSE technical symposium on computer science education, March,2007:486-490.
[4] Hu J,Meinel C,Schmitt M.Tele-Lab IT Security: An Architecture for Interactive Lessons for Security Education[C]. SIGCSE’04 Proceedings of the 35th SIGCSE technical symposium on computer science education,March,2004:412-416.
[5] 劉凱. 入侵檢測(cè)技術(shù)實(shí)驗(yàn)教學(xué)的設(shè)計(jì)與研究[J]. 計(jì)算機(jī)教育,2009(4):139-142.
[6] Rolf Oppliger,Ruedi Rytz,Thomas Holderegger. Internet Banking: Client-Side Attacks and Protection Mechanisms [J]. IEEE Computer,2009,42(6):27-33.
[7] Microsoft Corporation. IObjectWithSite Interface [EB/OL]. [2010-11-16]. /en-us/
library/Aa768220.aspx.
[8] Microsoft Corporation. Hooks [EB/OL]. [2010-11-16]. /en-us/library/ms632589(VS.85).
aspx.
[9] 裴要強(qiáng),孟波. Windows 黑客技術(shù)揭密與攻防1:C語言篇[M]. 北京:中國(guó)鐵道出版社,2010:243-252.
[10] Scott Pobert. Intertnet Explore 5程序設(shè)計(jì)[M]. 北京博彥科技發(fā)展有限責(zé)任公司,譯. 北京:清華大學(xué)出版社,2001:429-440.
[11] 堅(jiān)實(shí)誠(chéng)信科技有限公司. ET199超級(jí)多功能鎖資料下載[EB/OL]. [2010-11-16]. .cn/et199/download_
authentication.php.
Effective Case of Guiding Undergraduate on Information Security Speciality in Independent Study
LIU Kai, CHEN Xin
(Department of Information Security, Beijing Information Sci. &Tech Univ., Beijing 100101,China)
