发布时间:2023-10-10 10:37:07
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的信息安全概论样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
大学具有不同的信息安全课程开设特点。但在信息安全课程的设置上需要考虑如下几个方面。(1)课程设置要与国际同行接轨;(2)课程设置要分成信息安全和网络安全两个模块;(3)课程设置必须包括实验和实践;(4)课程设置不是一成不变,需要与时俱进;(5)课程设置要结合自身学校特点,并建立课程的跟踪反馈机制。对于信息安全的本科专业,可以将专业课程分成三个模块,即信息安全课程、网络安全课程,及综合实验。信息安全课程包括信息安全体系结构、信息安全标准、信息安全数学基础、密码学原理,和信息隐藏技术。网络安全课程包括计算机网络基础、网络安全防护、、网络设计、无线网络安全、路由与交换技术安全协议、计算机病毒防护、防火墙技术、应用服务器安全等课程。
二、信息安全实训
信息安全专业的实训课程,可分为两种类型:一种是部分课程的实验,以及信息安全综合实验和网络安全综合实验。这种类型实验的目的是让学生通过实验理解知识的本质和原理。第二种是单独开设的实训课程,目的是培养学生综合运用所学多种信息安全技能,提高学生的实际能力、创新能力。为毕业设计、实习、就业打基础。
1、信息安全实训平台
信息安全实训课程是建立在课堂教学的基础上,通过课堂的学习使得学生可以掌握信息安全专业的相关基础。并在此基础上,通过实训课程完成课堂教学的升华。信息安全实训需要搭建平台,包括基础实验平台、综合实训平台,和开放性研究平台。基础实验平台的功能是对学生基本动手能力的训练,帮助学生理解与掌握课堂所学的基本原理和方法。基础实验平台应该包括信息安全体系中常用的密码机、防火墙、隔离网闸、网络监视与扫描系统、智能卡读写器、指纹仪等设备。通过观察这些设备,可以帮助学生更直观地理解其工作原理。同时,可以借助一些软件产品,观察这些设备的实时处理方式和数据。综合实训平台的功能是提高对综合应用知识的运用能力,使得学生能够综合一门或几门课程的知识点进行设计,从而提高综合设计的运用能力,培养其解决工程设计中实际问题的能力。
综合实训平台通常包括网络安全实验实训平台和信息安全综合实训平台。这两个平台包括网络安全和信息安全中最典型的实验和最常见的工具,通过这两个平台的学习和实践,学生能够综合运用所学知识,提高实践能力。开放性研究平台的功能是培养学生的创新能力。教师根据自身的科研课题为学生设计若干个小的项目,让学生参与到课题组,锻炼学生的团队合作能力。同时,学生也可以自己申请一些题目,请教师进行协助和指导。通过这些方式可以调动学生的学习热情,使得学生的创新能力得到很大的提高。除此之外,还可以组织学生参加全国、省级别、校级别的各种信息安全大赛。除了学校搭建的信息安全实训平台外,可以和校外信息安全企业展开合作。让教师和学生参与到真正的安全项目中,了解项目开发的所有流程,积累经验,为日后毕业就业打下坚实的基础。
2、信息安全实训评价系统
信息安全实训评价系统的设计,应该具有如下几个功能:
(1)通过信息安全实训评价系统,学生在实际的操作过程中,可以向教师及时反馈实训过程中存在的问题、意见和建议,便于老师及时掌握学生的学习情况,而不是简单的完成工作任务,教师根据学生反馈,及时调整实训项目内容,提高实训教学质量。
(2)通过信息安全实训评价系统,学生在实训进行过程中,可以查看实训的状态及完成情况,在完成实训时可以查看自己的实训结果。并根据结果来进行判断实训的效果。增加了学生的自主学习能力。
(3)通过信息安全实训评价系统,教师可以查看所有学生的实训完成情况,全面了解实训效果。通过学生的反馈结果,教师可以重新制定实训内容,或者根据不同学生的状况来有针对性地进行实训。
(4)信息安全实训评价系统应该包括教师评价模块、学生自评模块,以及学生间的互评模块。
三、结论
进入二十一世纪以来,信息安全人才的缺乏已经成为全球性问题,而这一点在我国尤为突出。权威数据显示,我国现有的信息化安全专业人才和获得中国信息安全产品测评认证证书的人员屈指可数。在目前的信息安全技术从业者中,能从事技术创新和产品开发的高端人才非常短缺,而能从事信息安全管理和服务的一般性人才同样严重不足。由此可见,我国各类层次的信息安全人才缺口较大。目前,我国的信息安全人才培养大致分为安全知识普及、认证考试短期培训和正规学历教育三个层次。在学历教育层面,我国高校自21年开始培养信息安全专业本科生,目前提供本科层次教育的高校已经有5余所,且大都是有着雄厚办学基础的“985”、“211”重点院校。这些院校着重培养知识面宽广、理论基础扎实的理论研究人才和具有较强工程实践能力的技术人才。然而,这些相对高端的人才并不能完全满足当前各行业对能胜任普通的网络安全设备安装与调试,网络系统漏洞修复,电子商务网站安全运营、安全服务营销等人才的需要。尽管本科层次的人才培养体系日趋完善,然而以培养应用技能型人才为目标的专科培养层次仍处于起步和探索阶段。目前,开设信息安全专科专业的院校较少,尚未形成完善的培养体系,大多是采用了本科培养体系的压缩版或选摘版,既不符合专科学生的知识水平和学习规律,也无法真正实现应用技能型人才的培养目标。因此,对专科层次培养模式的研究是非常迫切和必要的。
2信息安全专科层次人才的培养定位、目标和能力要求
鉴于信息安全管理和服务人才的缺口较大,并结合专科层次人才“应用+技能”的基本培养目标,可以将专科学生的就业岗位目标定位在:网络安全设备维护,网站维护与安全管理,安全产品营销等。信息安全专科人才的培养目标是:培养能够适应社会主义市场经济发展需求的,德、智、体、美全面发展的,熟练掌握信息安全技术的基本理论,掌握防火墙、入侵检测技术及配置方法,掌握主流操作系统的安全机制,掌握网络病毒及网络入侵的基本原理和防范技术。培养人格健全、具有一定的工程实践能力且能胜任信息系统维护、网络安全设备维护、网站维护与安全管理及数据库应用系统管理等技术岗位和信息安全分析、规划与管理岗位的高素质技能型专门人才。信息安全专业的能力要求包括基本素质与技能以及专业能力两个主要方面。在基本素质与技能方面,要求学生具备基本的政治理论素质,思想品德与法律素质,计算机基础应用能力,外语运用能力,逻辑思维与抽象思维能力和良好的身体素质。在专业能力方面,要求学生具备软件系统分析设计能力(掌握算法的设计、分析技术,基本的计算机软件理论体系),微机语言程序设计能力(熟练掌握一到两门编程类语言并能灵活应用,掌握其编程思路及方法),数据库管理与应用能力(掌握数据库的基本原理,掌握数据库设计及网络数据库应用系统的开发方法),信息安全分析、实施和管理能力(掌握信息安全理论体系,了解现代密码学技术,掌握保护计算机网络及典型网络应用系统的安全协议、策略和解决方案),信息系统维护及防御能力(掌握计算机网络基础知识及组网方法,掌握信息安全产品的使用,熟悉信息安全管理规范,掌握黑客攻击手段、分析与防范技术以及病毒防范的方法)。
3信息安全专科层次的课程体系设置
在课程体系的制定过程中,以培养学生具有信息安全系统的维护与管理能力为目标,结合当前信息安全专科学生的就业岗位能力要求,我们引入了多门当前安全行业所必备的专业课程。考虑到知识体系的完备性以及学生毕业后在专业领域的继续发展,我们保留了计算机专业的核心专业基础课。同时,考虑到专科学生与应用型本科学生间的差异,在制定专业基础课的教学计划时强调以“能真正掌握、够用”为原则。具体地,信息安全专科专业的课程体系可分以下四个层次展开:公共基础课的教学目标是培养学生具备良好的人格品质和基本的专业素养。主要课程包括思想道德修养与法律基础、思想和中国特色社会主义理论体系概论(简称概论)、形势与政策、大学英语、大学体育、计算机技术基础、高等数学、职业规划与就业指导。专业基础课的教学目标是帮助学生为进一步学习专业课程打下坚实的基础。主要课程包括信息安全导论、C程序设计、计算机网络技术基础、Java语言与面向对象程序设计、Web编程技术。专业课的教学目标是帮助学生建立完整的知识体系结构,掌握本专业最核心的、支撑性的理论与技术。主要课程包括数据结构、密码学基础、计算机操作系统、SQLServer与数据库应用、信息安全综合实验、Lin-ux操作系统。专业选修课的教学目标是向学生介绍信息安全应用领域的关键性技术。主要课程包括安全电子支付、计算机病毒原理与防治、网络攻击与防御技术、信息系统安全管理等。
4信息安全专科层次培养计划实施过程中的教学、实践改革措施
为了确保信息安全专科人才培养的目标,需要在培养过程中重点加强以下几点:(1)实施双证培养模式(即毕业证+信息安全相关职业资格论证)。为了提升学生就业的竞争力,需要鼓励学生参加国家推出的权威信息安全职业资格认证考试(例如国家信息安全技术水平考试)或者国际认证的安全资格考试。
(
2)以“工学结合”为指导思想,加强实践教学环节培养,推进校企联合、顶岗实习。具体地,在确保理论环节教学质量的同时,加强实训教学环节建设。与企业合作,建立校内的工程实践中心建设。借助学校特有的人才和智力优势,将专业教师与部分优秀的学生编入项目组,承接部分校外的技术开发项目,从而提高学生的动手能力。拓宽渠道,建立校外顶岗实习基地,从而真正地实现工学结合。同时,以开展“订单式”教育为起点,积极探索与企业开展深入合作的新模式。通过上述环节,可以使学生在走上工作岗位前就能熟练地掌握一些在今后工作中所需的专业技能,实现“零距离就业”和与企业的“无缝对接”。使学生成为走出校门就能迅速上岗的应用型人才。 (3)加强对教师的培训。在学校和学院的两级支持下,积极支持骨干专业教师攻读重点高校的信息安全专业学位或进修部分信息安全专业核心课程,定期组织专业教师赴省内外其他高校进行参观考察。同时,选派部分专业教师去合作企业进行技术交流和短期工作,深入了解企业的项目管理模式和技术需求,提升专业教师的“双师”素质。
(4)加强信息安全教学实验室的建设力度。信息安全教学实验室是培养学生动手实践能力的教学场所,是确保培养质量的重要环节。目前,实验室开设的实验内容包括重要网络安全设备的安装与配置,典型密码技术的原理与演示,网络攻防技术等。在此基础上,重点加强综合性实验的实验项目设置和实验教学计划的制定。此外,需要结合现有的实验室环境和设备情况做好对实验指导、讲义的编写工作,从而确保实验教学的顺利进行和学生完全掌握实验步骤的具体细节。
关键词:企业信息化 信息安全管理 作用
1 企业信息化
信息化是指培养、发展以计算机为主的智能化工具为代表的新生力,并使之造福于社会的历史过程。信息化代表了一种信息技术被高度应用,信息资源被高度共享,从而使得人的只能潜力以及社会物质资源潜力被充分发挥,个人行为,组织决策和社会运行趋势于合理化的理想状态。信息化是各企业管理运用中必须强化的一项内容。企业信息化是指企业以业务流程的优化和重构为基础,在一定的深度和广度上利用计算机网络技术数据库技术,控制和集成化管理企业生产经营活动中的各种信息,实现企业内外部信息的共享和有效利用,以提高企业的经济效益和市场竞争力,这将涉及到对企业管理理念的创新。管理团队的重组和管理手段的创新。
2 信息安全管理
2.1信息安全管理的概述
管理是一种基本的社会实践活动,它贯穿于人类社会实践的历史过程。信息安全管理是通过对信息活动相关领域的管理,来实现信息安全管理的目的。信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。从广义上来说,凡是涉及信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是信息安全的研究领域。
2.2信息安全管理的特征
2.2.1基础性
信息安全管理是保障信息安全的基本途径,也是实施信息安全活动的主要依托和必备手段。它既是行驶和保障合法权益的基本手段,也是整个信息社会正常运行的先决条件。信息安全管理的保障能力既是个人素质、企业实力、军队战斗力的重要体现,也是国家和社会安全的重要标志。因此,信息安全管理不仅是任何个人、任何组织、任何行业、任何国家都需要的基本管理活动,而且是其实施信息安全活动的主要依托和必备手段。
2.2.2全局性
信息安全管理是一个庞大、复杂、动态的人机交互系统工程,是由一系列子系统构成的一个有机整体,涉及信息安全管理的人员、资产、技术、设备、环境、体制编制、政策法规、标准规范、管理理论、管理方法、教育训练、政治工作及后勤保障等各方面。各个子系统之间既相互渗透又相互促进,共同构成了信息安全管理的全局。构建信息安全管理体系,进行全面的信息安全管理,其实质在于全面提高整体信息安全管理水平。这就从本质上说明了信息安全管理,都不是真正意义上的信息安全管理,只有在总体战略上完成了信息安全管理的过程,才能称为信息安全管理。因为当今的安全是包括各个领域的大安全,其信息领域的安全尤为重要。
3 动态性
由现代管理学可知,管理既是一种活动,也是一个过程。管理系统是一个运动着的有机体。管理系统内部的联系及其与环境的相互作用都是一种运动。管理系统的功能是时间的函数,因为不论是管理系统要素的状态和功能,还是环境的状态或联系的状态都是在变化的,运动是管理系统的生命。例如在钢铁企业中社会经济系统中的子系统,为了适应外部社会经济的需要,必须不断地完善和改变自己的功能,而钢铁企业内部各子系统的功能及相互关系也必须随之相应的发展变化。
4 安全管理系统对企业信息化的作用
计算机安全管理系统与企业的正常运营有着密不可分的关系。信息安全管理体系主要分为三个要素,第一是资源条件,即组织中的人、财、物、时间、空间、信息、以及信息环境等;二是目标,信息安全管理目标是管理运行的动力和方向;三是管理者与被管理者。对于,企业而言。安全管理系统,系统信息技术的发展不仅改变了企业的外部环境,内部的管理模式也将因此而发生改革。企业信息化程度不断提高。安全管理系统不仅在内部形成网络,做到信息共享,使企业组织整体高效运营,而且企业还与外部网络沟通,形成互联网络。信息技术、信息系统和信息作为一种资源已不再仅仅支撑钢铁企业战略,而且还有助于决定企业战略。企业信息化采用计算机安全管理系统,采用大量的安全信息技术,改进和强化了企业物流资、资金流、人员流及信息流的集成管理,对企业固有的经营思想和管理模式产生了强烈冲击,带来了根本性变革。计算机安全信息技术与企业的发展与融合,使企业竞争战略不断创新,提高了企业竞争力。企业运用安全信息系统管理,不仅提高了企业全体员工的整体素质,建立良好的管理规范和管理流程,构建扎实的企业管理基础,实行科学管理,从而提高了企业的整体管理水平。计算机安全管理系统在企业内部的管理中起着重要性的作用。
5 结语
计算机安全管理系统在企业中的运用是建立国家信息安全保障体系的物质基础。信息管理安全体系与企业管理是信息安全管理的重要组成部分。近年来,我国计算机信息安全技术研究与信息化取得了积极进展,但整体上还比较落后,关键是技术和产品受制于人,计算机信息安全系统是信息安全保障的关键,也是企业有效运行的重要条件。为使我国各企业经济更好地发展。必须加强信息安全科学技术研究。要健全技术创新体系,提高我国信息安全自主创新能力,使计算机安全管理系统更进一步。有效地服务于各行各业中。
参考文献:
[1]科飞管理咨询公司.信息安全管理概论—BS7799理解与实施[M].北京:机械工业出版社,2002.
[2]戴宗坤,罗万伯.信息系统安全.北京:电子工业出版社,2002:170-172
[3]沈昌祥.风险管理与应急体系.网络安全技术与应用,2006(6):6-7
关键词:数字图书馆 信息安全 防护策略
一、相关概念
(一)信息安全
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不因偶然或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,使信息服务不中断。也可以说,所谓信息安全,一般是指在信息采集、存储、处理、传播和运用过程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。
(二)数字图书馆
数字图书馆,就是具有内容丰富的数字化信息资源、利用先进的计算机技术、网络通信技术、数字化技术,能为用户提供集成化的信息服务和知识服务,满足用户深层次的信息需求的服务机构,它是网络环境下图书馆进入高级发展阶段的新的形态。所以,数字图书馆信息安全是指其各系统不因偶然或者恶意的原因而遭到破坏、更改、泄露、丢失,确保信息资源的自由性、秘密性、完整性、准确性、共享性,为读者提供正常的检索和查阅服务。
二、数字图书馆信息安全存在的问题
(一)环境问题
数字图书馆的机房是各类信息的中枢,放置有各类服务器、磁盘阵列、交换机、防火墙、UPS 不间断电源、机房空调、除湿机等重要设备,机房设计与施工的优劣直接关系到机房内整个信息系统是否能稳定可靠地运行,是否能保证各类信息通讯畅通无阻。所以机房环境要能防水、防火、防震、防雷、防盗,对温度、湿度、洁净度、电磁场强度、噪音干扰都有很高的要求,相应的就要配备机房温湿度监控系统、机房温度报警器、浸水报警器、通风系统等来保障机房的安全。因而机房环境存在很多安全隐患。
(二)硬件问题
数字图书馆各类服务器、磁盘阵列、交换机、防火墙、UPS 不间断电源、空调、除湿机等设备都是7×24小时运行,工作负荷过大,其使用寿命缩短,容易造成硬件故障,导致部分设备损坏,或者是工作人员在操作过程中导致的设备损坏等。如常见的有磁盘、电源等。
(三)软件问题
软件包括系统软件和各种应用软件。这些软件在研发过程中,由于编程语言的局限性,设计时结构体系本身的缺陷,开发人员能力所限及疏忽等原因,这些软件本身就存在许多安全漏洞。黑客就可以利用这些漏洞,绕过安全机制,进行网络攻击,破坏和窃取数据资料,甚至破坏整个系统,导致数据丢失和系统瘫痪。
(四)人为问题
目前,国内数字图书馆系统管理员大多数都是高校毕业后就到图书馆工作,没有受过系统、科学的实战技术和安全管理培训,专业技术不精,缺乏专业的信息安全素养,在工作过程中容易操作失误,面对各种复杂的安全问题常常束手无策,对安全防范容易疏忽等。
其次,数字图书馆信息安全管理制度不健全,缺乏严格、细致、有效的安全管理规定,重技术,轻管理,岗位职责不明确,安全管理滞后于技术发展,导致事故频繁发生。
(五)病毒及黑客问题
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,具有破坏性、复制性、隐蔽性和传染性。数字图书馆的资源依赖于计算机技术、网络通信技术和数字技术,为网上成千上万的用户共享,用户可远程访问、获得所需的珍贵资料。因此,也为计算机病毒的传播提供了便利条件。
随着计算机技术和网络通信技术的发展,黑客攻击活动日益猖獗,数字化图书馆的开放式、共享性及网络化环境,加上软件自身存在的安全漏洞,系统管理员的疏于防范等,成为黑客屡屡攻击得手的原因。
三、数字图书馆信息安全防护策略
(一)制定严格有效的安全管理制度
在数字图书馆信息安全的建设过程中,技术与制度二者是相辅相成的,技术是一种硬手段,是基础;制度是一种规范性的软手段,是保障。
制定严格、细致、有效的安全管理制度,明确岗位职责,规范工作行为,健全信息安全监督审查机制,对工作人员进行常态化安全教育培训,增强制度执行力。只有这样,才能确保安全管理制度不流于形式,信息安全监督审查落到实处。
(二)良好的机房环境
机房的建设要按国家现行有关标准、规范实施,机房应铺设抗静电活动地板,地板支架要接地,预留排水口。必须满足计算机等各种微机电子设备和工作人员对温度、湿度、洁净度、电磁场强度、噪音干扰、防水、防火、防震、防雷、防盗、防漏和接地等的要求。要配齐供配电系统、浸水报警器、应急照明、UPS不间断电源系统、空调系统、新风换气系统、气体式灭火器、消防报警系统、防盗报警系统、防雷接地系统等。
(三)防火墙技术
防火墙指的是在内部网和外部网之间、专用网与公共网之间构造的一个由软件和硬件设备组合而成的保护屏障。它能实现内网与外网、内网与内网之间风险的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响,是抵御黑客入侵和防止未授权访问的有效手段之一。
(四)入侵检测或流量分析技术
入侵检测系统(IDS)通过对网络或系统中的不同关键点收集信息,分析信息,主动发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,发出警报或采取防御措施。入侵检测系统是防火墙的重要补充,是积极主动的安全防御防御技术,提供对内部攻击、外部攻击和误操作的实时保护。
(五)数据加密及身份认证技术
数据加密就是对需要保护的信息经过加密钥匙(Encryption key)及加密函数转换,实现信息隐藏,从而起到保护信息安全。常采用的方法有链路加密、节点加密和端到端加密。身份认证就是对网络中各种应用的相关权限进行鉴别,阻止非法用户访问系统。
(六)数据备份技术
数据备份是容灾的基础,是为防止无法预料的结果导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。数据备份包括系统和数据备份,常见的备份策略有:完全备份、增量备份和差分备份。按操作方式又可分为离线备份和在线备份。图书馆应按照数据的价值划分类别,对不同类别的数据进行不同等级的备份。
四、结束语
数字图书馆信息安全是其向读者提供稳定、持续服务的重要保证,随着计算机技术、网络通信技术的飞速发展,信息安全问题越来越突出,各种病毒泛滥,网络攻击常态化等。因此,图书馆工作人员必须提升自身技术水平,提高安全防范意识,健全安全保障机制,才能为读者提供一个安全、稳定的学习环境。
参考文献:
[1]郝玉洁.信息安全概论[M].成都:电子科技大学出版社.2007:2.
[2]孟朝辉.论数字图书馆的知识管理[D].[硕士学位论文].湖南:湘潭大学,管理学院,2003.
【关键词】计算机网络;信息安全;黑客;网络入侵;防护
1.计算机信息安全的概念
信息安全是一个十分复杂的系统性问题,它涉及到计算机网络系统中硬件、软件、运行环境、计算机系统管理、计算机病毒、计算机犯罪及计算机安全响应等一系列问题。像硬件损坏、软件错误、通讯故障、病毒感染、电磁辐射、非法访问、管理不当、自然灾害、恶意入侵等情况都可能威胁到计算机信息安全。信息安全经过了二十多年的发展,己经发展成为一门跨多个学科的综合性科学,它包括:通信技术,网络技术,计算机软件、硬件设计技术,密码学等多个学科。
1.1物理安全:确保整个计算机网络系统正常、安全运作的首要条件是计算机主机及网络设备等关键性网络资源的物理安全,确保其可用性。这包括机房的防雷击、电磁屏蔽、抗自然灾害、安全警卫等各个方面,要求整个网络系统从系统设计、施工、运行、管理等方面加强对物理安全的控制与管理。
1.2网络安全:网络安全是指网络系统的硬件、软件及系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露:系统连续可靠地运行,网络服务不中断。
1.3计算机安全:对计算机安全概念的描述因人而异,但其核心思想是一致的。国际标准化委员会的定义是“为数据处理系统而采取的技术的和管理的安全保护,保护计机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。”
2.计算机信息安全问题的成因
2.1计算机信息安全的技术成因
2.1.1电磁信号的辐射
目前网络通信中常用的传输电缆以及计算机、网络设备都会因为电磁屏蔽不完善而通过电磁辐射向外泄露,因此只需要简单的仪器设备便可在通信双方毫不察觉的情况下监听通信的内容。
2.1.2网络协议的安全性
Internet所采用的 TCPIIP协议族构架主要是面向信息资源的共享的,因此其中相当部分的协议存在安全漏洞,这实际上是目前网络及信安全问题最主要的一个根源。比较典型的如 Te1net, FTP,SMTP等应用协议中,用户的口令信息是以明文形式在网络中传输的,而这些协议底层所依赖的 TCP协议本身也并不能确保传输信号的安全性。
2.1.3工作环境的安全漏洞
现有的操作系统和数据库系统等典型的企业用户工作环境自身存在许多安全漏洞,包括自身的体系结构问题、对特定网络协议实现的错误以及系统开发过程中遗留的后门和陷门,这些底层安全漏洞的不确定性往往会使用户精心构建的应用系统毁于一旦。
2.1.4安全产品自身的问题
对于用户网络内部己经采用的网络及信息安全产品,其自身实现过程中的安全漏洞或错误都将导致用户内部网络安全防范机制的失效。同时,即使安全产品自身的安全漏洞可以忽略,在产品的实际使用过程中由于用户的配置或使用不当也可能造成产品安全性能的降低或丧失。
2.1.5缺乏总体的安全规划
目前的各种网络及信息安全技术和产品一般都基于不同的原理和安全模型工作,虽然从各自的角度来看都是相当不错的产品,但当所有这些产品应用到同一个用户网络系统中时,由于相互之间的互操作性以及兼容性问题往往无法得到保证,也会形成许多新的安全问题。
2.2计算机信息安全的管理成因
2.2.1互联网缺乏有效的管理。
2.2.2配套的管理体制尚未建立。
2.2.3观念上的重视不够。
3.计算机信息安全目标
信息安全(Information security)就是指为保证信息的安全所需的全面管理、规程和控制。其 H标就是保护信息系统不受破坏,表现在信息的可用性、可靠性、保密性、完整性、可控性和不可抵赖性等方面。
可用性:设计和运行计算机信息系统的目标就是向用户提供服务,可用性就是在用户需要的时候,系统能以用户需要的形式向用户提供数据或服务。
可靠性:可靠性是指计算机信息系统能够在规定的条件下完成预定功能的特性,是系统安全的基本要求之一。
保密性:指为信息数据提供保护状态及保护等级的一种特性,信息只能被授权用户所使用,常用的保密手段如信息加密等。
完整性:完整性是指信息在存储和传输的过程中保持不被修改、破坏和丢失。保证信息的完整性是信息安全的基本要求,而破坏信息完整性则是对信息系统发动攻击的主要目的之一。
可控性:即信息只能被授权用户访问使用的特性。
4.计算机信息系统安全防护对策
针对上面提及的计算机信息系统所面临的威胁及存在的安全缺陷,可以采取以下几个主要对策。
4.1加强对网络信息安全的重视
国家有关部门建立相应的机构,有关法规,以加强对网络信息安全的管理。2000年 1月,国家保密局的《计算机信息系统国际联网保密管理规定》已开始实施;2000年 3月,中国国家信息安全测评认证中心计算机测评中心宣告成立;2O03年 4月,公安部发《计算机病毒防治管理办法》,等等。这一切都反映出我国对计算机网与信息安全的高度重视,以及努力推动我国信息安全产业发展、提高我国信息安全技术水平的决心。
4.2强化信息网络安全保障体系建设
党的十六大指出,信息化是我国加快实现工业化和现代化的必然选择,坚持以信息化带动工业化,以工业化促进信息化,走出一条科技含量高的路子,大力推进信息化。中央保密委员会、最高人民检察也多次发文要求做好信息保密工作,切实防范外来的侵害和网络化带来的业务泄密,明确规定“计算机信息系统不得与公网、国际互联网直接或间接地连接”,“必须采取物理如要相连, 隔离的保密防范措施”。
4.3建立网络安全长效机制的重要手段
建立规范的网络秩序,需要不断完善法制,探索网络空间所体现的求和原则,为规范网络空问秩序确定法律框架;建立规范的网络秩序,还要在道德和文化层面确定每个使用网络者的义务,每个人必须对其网络行为承担法律和道德责任是规范网络秩序的一个重要准则;建立规范的网络秩序,需要在法制基础上建立打击各类网络犯罪的有效机制和手段。
4.4保障信息安全任重道远
我国目前网络安全的推进重点,已开始由物理层面的防毒向文化、思想、精神层面的防毒转变,倡导网络文明和净化网络环境内容。只有各方尽责,构筑一个长效机制,网络安全才有可能得到根本改善。
参考文献:
[1]闫宏生 王雪莉 杨军《计算机网络安全与防护》编著.
[2]屈云波.电子商务[M].北京:企业管理出版社,1999.
我国的税务信息化从建设到普及已经逐渐地得到了人们的认可和应用。税务信息化在带给人们方便快捷的同时,它的安全问题也令人关注。随着计算机和网络的发展普及,重要信息变得非常容易被获取,网络攻击也变得越来越便利。电子税务系统作为一个典型的广域网系统,开放共享的特点使其面临着各种各样的威胁和攻击。因此建立一个电子税务信息安全管理体系,采取综合防范的措施,确保系统安全、可靠、畅通地运行是非常有必要的。
一、信息安全的概念
信息安全是指确保以电磁信号为主要形式的、在计算机网络化(开放互连)系统中进行自动通信、处理和利用的信息内容,在各个物理位置、逻辑区域、存储和传输介质中,处于动态和静态过程中的机密性、完整性、可用性、可审查性和抗抵赖性,与人、网络、环境有关的技术安全、结构安全和管理安全的总和。人指的是信息系统的主题,包括各类用户、支持人员,以及技术管理和行政管理人员。网络则指以计算机、网络互连设备、传输介质、信息内容及其操作系统、通信协议和应用程序所构成的物理的与逻辑的完整体系。环境则是系统稳定和可靠运行所需要的保障体系,包括建筑物、机房、动力保障与备份,以及应急与恢复体系。
二、电子税务系统面临的信息安全威胁
(一)物理安全隐患
各种突发灾害、运行环境或硬件本身及相关元器件的缺陷会对电子税务系统信息安全构成威胁。随着技术的进步,各种免费工具及代码的出现,网络设备的漏洞很容易被发现和利用,现在针对防火墙、交换机和路由器等网络连接设备的攻击越来越多。通信线路也会受到窃听、拨号进入,还有冒名顶替等的威胁,电磁辐射泄露也会导致信息失密。
(二)网络平台面临的安全威胁
电子税务系统通过网络平台连接外网后,一方面面临来自外网节点的越权访问、恶意攻击和病毒入侵,另一方面面临来自税务系统同级、上级和下级节点的越权访问、恶意攻击和病毒入侵。
(三)应用系统数据面临的威胁
数据库弱口令及默认用户名易被破解:操作系统的安全级别低,缺乏对关键业务主机操作系统用户权限的严格控制;数据库管理方式和管理流程编制不得当,不能实时监控数据库系统的运行情况;黑客利用已知漏洞攻击系统等。
(四)人为因素及管理的缺陷
来自电子税务系统内部用户的安全威胁同样是不容忽视的一部分。税务部门内部员工对本单位网络结构以及系统软件的应用比较熟悉,自己攻击或泄露重要信息,都会对系统的安全造成很大的威胁。此外,缺少信息安全管理的技术规范,缺少定期的安全测试与检查,更缺少安全监控,也是对系统安全的很大威胁。
三、电子税务系统信息安全的防护措施
(一)物理安全措施
作为电子税务系统的硬件基础,物理安全是信息安全的第一道防线。物理安全包括环境、设备及线路的安全,主要是指防盗、防火、防静电、防雷击以及防电磁泄漏。要根据接入网络设备的数量、功耗和负载等及时地对设备进行扩容扩充,并做好冗余备份工作。加强设备管理和维护工作,建立报警系统,以确保所有设备处于最佳运行状态。
(二)网络安全措施
网络层面安全防御的重点主要是阻断外部用户的恶意攻击和非法访问。可以探讨有关下述方面的安全策略来抵御不断发展的安全威胁。
1.合理布局网络结构。网络结构布局的合理与否,也会影响网络的安全性。对税务系统业务网、办公网、与外单位互联的接口网络之间必须按各自的应用范围、技术指标、安全保密程度等进行合理分布,统一整合外联网络,可以在内外网的边界建立隔离区(DMZ),以免局部安全性较低的网络系统造成的威胁,传播到整个网络系统。
2.访问控制。网络需要防范非法用户的非法访问和合法用户的非授权访问。非法用户的非法访问也就是黑客或间谍的攻击行为。访问控制是网络安全防范和保护的主要策略和重要手段。访问控制策略主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制以及防火墙控制。
3.病毒防护。配备从服务器到单机的整套防病毒软件,和一些防恶意程序软件并做到及时升级,防止病毒入侵主机并扩散到全网,实现全网的病毒安全防护,以确保整个电子税务系统的业务数据不受到病毒的破坏,日常工作不受病毒的侵扰。
4.主动防御。防火墙可以对所有的访问进行严格控制(允许、禁止、报警),但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其他攻击。所以,为确保网络更加安全,必须配备入侵检测系统,对透过防火墙的攻击进行检测,并做相应的反应(记录、报警、阻断)。
(三)数据安全
数据安全包括数据传输安全、数据存储安全以及数据的备份和恢复三个方面。数据传输安全是指在传输过程中保护数据信息的机密性和完整性,以防被他人截获、修改,具体可通过数据加密技术、数字签名及VPN等技术来实现。数据存储安全是指要保证存储在服务器或终端上的数据的安全,对于要求保密的重要数据,如纳税人的交易密码,需加密后再存储。数据备份和恢复可以确保存系统遭到攻击或因自然因素导致数据不可用时,利用备份的数据进行恢复。对重要数据信息可以采取上级税务机关代为备份和本级税务机关异地备份的双重备份方式,最大限度的保证数据信息的可恢复性。通过制订可靠的数据备份与恢复策略,保证税务业务系统提供服务的及时性、连续性。
(四)电子税务系统的信息安全管理
对于电子税务系统建立一套集中管理的机制和设备,即安全管理中心。它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。
建立健全信息安全管理和防范制度,不断完善系统的操作规程,严格规范工作人员的操作行为和水平。
四、结束语
电子税务系统的信息安全是一项长期、系统的工程,不仅仅是通过技术手段来建立信息安全的多层防护策略,还要通过建立健全信息安全管理机制、提高工作人员的安全意识,才能确保电子税务系统的安全、稳定、高效运行。
参考文献
[1]方美琪.电子商务概论[M].北京:清华大学出版社,2000.
[2]谭荣华,徐夫田,谢波峰.我国税务信息化建设的七大重点[J].涉外税务,2002,10:26-30.
关键词: 高职教育; 应用型人才; 司法信息安全; 人才培养
中图分类号:G710 文献标志码:A 文章编号:1006-8228(2014)10-30-02
Discussion on applied talent cultivation of judicial information security
Huang Shaorong
(Guangdong Justice Police Vocational College, Guangzhou, Guangdong 510520, China)
Abstract: Based on analysis of the social demands for information security talents, the importance of training applied information security talent is pointed out. According to the characteristics of the judicial information security talents of vocational education, some advice is presented in curriculum system, construction of teachers and professional certifications. Its cultured goal is to train higher technology applied talents that are needed, good at theory and application.
Key words: higher vocational education; applied talent; judicial information security; talent cultivation
0 引言
在云计算和大数据技术快速发展的形势下,信息安全问题日显突出,信息安全形势持续恶化,信息安全事故不断发生,信息安全建设已经成为维护国家安全和社会稳定的一个焦点。目前,我国信息安全产业已经取得巨大成果,国家已制定了互联网方面的法律、行政法规、部门规章与地方性法规270多部,对信息和网络安全保护起到一定的作用,但信息安全形势仍然严峻,主要存在的问题包括:信息安全技术发展和相关法律法规制订滞后、信息安全科研和教育落后、信息安全人才存在巨大缺口[1]。信息安全专业人才是当前社会急需的专业人才,在许多领域需要大量掌握直接技能型知识、有更具体实践能力、动手能力强的应用型专业人才。因此,高职院校应加大信息安全人才培养力度,积极培养有良好职业道德和法律意识、有全面信息安全专业知识、能够防范计算机犯罪的专业执法人才和计算机网络应用与安全管理方面的应用型技术人才。
1 司法信息安全专业特点
“七分管理,三分技术”,信息安全不仅是单纯的技术问题,而是法律、管理和技术等问题相结合的产物,法律和管理在司法信息安全专业中发挥着重要作用。在对社会需求、行业需要、就业市场进行广泛调查,明确了人才需求情况的基础上,浙江警官学院、广东司法警官职业学院和北京政法职业学院等警察类高职院校先后开设了司法信息安全专业。
司法信息安全专业主要面向政法机关、行政机关和各类经济管理部门,以及企事业单位的网络管理中心、信息中心和信息安全部门,培养能够从事计算机信息管理与维护、网络管理与维护、信息安全设备维护和数据库系统的开发与维护等技术工作和信息安全管理工作的人才。该专业的学生不仅要有信息安全技术专业知识,而且要有法律法规等多方面的素养,毕业后能够在政府部门、商业、军事等信息安全防范工程应用领域及信息安全防范工程行业的企、事业单位从事网络信息安全工作。
司法信息安全专业的学生通过三年学习,必须具备如下三方面的能力。
⑴ 基本素质 具有较强的思维能力、语言文字表达能力和应变能力;具有良好的沟通、协作和公共关系协调能力;具备一般军事队列指挥、擒拿格斗、防身自卫及机动车驾驶等警体技能;具有较高的英语应用能力。
⑵ 信息安全处理能力 ①计算机操作能力:具有较好的专业理论基础和较强的计算机安全意识,能够操作和维护计算机信息系统。②信息安全和网络安全维护能力:掌握网络的基本原理,熟练应用网络安全防范技术、信息处理技术,能进行网络设备的日常维护、局域网络的设计实施和网络安全的监测及防范工作。③数据处理等能力:具有一定的数学推理和编程能力,能够用数据库解决基层部门的数据统计、管理等问题。
⑶ 法律与警察岗位基本能力 掌握我国有关计算机信息系统安全保护的法律、法规,具有较高的执法能力;掌握计算机与计算机安全犯罪的特点,能够主动采取相应的技术防范措施。
2 课程体系建设
司法信息安全专业培养的是法律与信息安全的复合型、应用型人才,围绕司法信息安全专业的核心目标以及毕业生的能力要求,课程体系设置必须以“强化能力,突出应用”为思想,以就业为导向,以岗位职业能力为主线[2]。我们根据社会需求设计课程体系和教学大纲,及时引入行业的最新技术,突出职业教育的应用实践性。注重法律基础知识,突出信息安全技术的专业性。
司法信息安全技术课程群建设可以从法律和信息安全技术专业的课程上进行外延和拓展,课程体系的设置可分为基本素质课程、职业核心能力课程、专业基础课、专业核心课程和拓展课程等。
⑴ 基本素质课程 包括大学生健康教育、大学英语、大学语文、形式逻辑、思想道德修养与法律基础、思想与理论体系概论、廉政教育、大学生就业指导、形势与政策、普通体育、警用枪械。
⑵ 职业核心能力课程 包括职业沟通、司法口才、礼仪训练、毕业项目设计与论文。
⑶ 专业基础课 包括法理、刑法、宪法、刑事诉讼法、网络信息安全法规、高等数学、计算机导论、数据结构、操作系统、多媒体技术及应用、计算机组装与维护、程序设计、数据库技术与应用、安全防范技术与应用、动态网页设计。
⑷ 专业核心课程 包括计算机网络技术、信息安全技术应用、网络监控、电子取证、加密技术。
⑸ 拓展课程 包括软件工程、网站建设与维护、信息检索技术、警察业务、应用文写作。
这样培养出来的学生即能从事法律方面的工作也能从事信息安全技术方面的工作,为学生提供了更多的就业机会和进一步的发展空间。在教学时间安排上,由于教学内容比较多,课内教学时数中包括有大量的实践性教学,实践课教学时数占总学时数50%以上[3]。
3 实践教学体系建设
司法信息安全是一个实践性非常强的专业,许多安全技术和方法必须在实践过程中才能认识和掌握,实验、实训、实习是实践教学的三个重要环节。在课程体系建设中,为了突出高职教育的应用性,我们开设了大量的实践类课程,包括计算机组装C语言程序设计实践、数据结构实验及课程设计、操作系统课程设计、数据库实验及课程设计、计算机网络技术实验、网络课程设计、网络安全技术仿真实验、网站建设综合实训等[4]。
高职院校的实训中心是组织实践教学、强化技能培养、实现人才培养目标的重要场所。为切实保障实践教学的顺利进行,给信息化人才提供先进的实践场所,必须完善专业核心能力培养所需场地与设施,积极推进实训基地建设,建立信息安全综合实训中心(包括信息安全综合实训室、网络安全攻防实验室、网络应用实训室、数据分析综合实训室、电子物证鉴定设备、电子商务实训室、计算机基础实训室、电子数据取证实训室等)和提高司法能力的实训环境(如三维模拟监控实训室、模拟监所现场、亚伟速录室、模拟法庭、安全监控实训室、刑事照相实验室等),形成系统的实训环境。
对于比较复杂的信息安全实验,需要的设备较多,如果目前的教学条件不能满足大量学生进行并发实验,也可以采用虚拟实验,借助多媒体、仿真和虚拟现实等技术在计算机上营造可辅助、部分替代甚至全部替代传统实验各操作环节的相关软硬件操作环境,学生像在真实环境中一样完成各项实训任务[5]。
加强校内实训的同时还要进行校外实践,学校应积极与企业合作,建设稳固校价企合作关系,联系定点的对口实习机构,或者建立校外实训基地,有计划地安排学生到实习机构或实训基地进行专业实践,配备校外指导人员,对学生实训、实习进行指导和考核,把实践性教学落到实处。同时引导建立司法行政单位、公安机关和企事业单位接收毕业生实习的制度,为学生实现教学与实习结合提供条件,实行“教学实习+顶岗实习”的实习模式,为培养学生的职业素质和职业能力提供了有效的保障。
4 师资队伍建设
教师资源是学校办学资源中最为关键的部分,建设一支双师型的教师队伍是高职教育发展必不可缺的重要条件[6]。信息安全技术快速更新,这就要求专业教师要掌握信息学科的多个领域及物理等学科的知识,而且还要不断跟踪信息安全的最新动态。学校应组建一支结构合理的司法信息安全教学团队,促进校内司法信息安全专业建设,为专业教师提供技术培训和进修学习的机会,及时派送教师进行行业培训以及参加各种学术交流会议,不断提高专业水平,更新知识结构和内容,同时要求教师积极参与科研,倡导教师之间互相学习、集体备课、讨论交流,进一步提高教学能力。为了提高教师的动手能力,学校还要有计划地选派专业教师到企事业单位进行挂职锻炼或顶岗实践。此外,也可邀请企事业单位一线专家、技术人员到学校承担一定的教学任务,指导学生实践操作,定期为学生开设讲座或座谈会,拓宽学生的知识面,提高学生综合素质。
5 引入职业资格认证
由于专业设置的特殊性,要求本专业的毕业生除了掌握信息安全防范技术的专业技能,还需要具有相应的IT行业从业资格。在国家职业大典中,网络信息安全行业的职业资格有网络技术人员、网络管理员、网络工程师、安全防范评估师、信息安全工程师、数据恢复工程师等,国家颁发相应的职业资格证书。高职院校应结合专业,引入适合的职业资格认证,同时跟企业合作,完成订单式人才培养计划,通过职业资格认证+订单培养,充分培养学生的职业能力[7]。
此外,为了提高教学质量,还必须在以下几方面继续改进:
⑴ 改革教学方法,以精品课程、视频公开课教学等方法推动项目驱动教学法、分层教学法、任务实训法、案例教学法和研究性教学法广泛采用,建立视频网站和教学资源库,进行交互教学,与课堂教学形成互补。
⑵ 以工作流导向的实训课程教学体系为基础,建立课程配套教学资源库,并以课程改革推动教材建设,编写基于工作流导向的任务式实训模式教材[8]。
⑶ 鼓励学生参加技能大赛,突出学生的面向应用实践能力,提高学生学习积极性。
⑷ 改进课程考核方式,实现无纸化考试,重点测试学生对知识的应用能力,以职业资格认证代替学科考试。
6 结束语
信息技术的高速发展,需要越来越多的信息安全专业人才,对其岗位能力的要求也越来越高。警察类高职院校必须从发展的角度来审视司法信息安全专业,时刻关注相关专业领域发展趋势和热点,加强高职司法信息安全专业标准订制、课程体系建设、实践教学体系建设、教学模式改革、师资队伍建设和实训基地建设,注重工学结合,与企事业单位形成良性互动,不断改进人才培养模式,提高人才的理论水平和实践技能,培养出真正符合社会需求的理论水平较高、实践能力强的高等技术应用型司法信息安全专业人才。
参考文献:
[1] 刘任熊,李畅.高职院校信息安全专业人才培养初探[J].江苏经贸职
业技术学院学报,2007.2:79-81
[2] 于璐.高职信息安全专业应用型人才培养模式探讨[J].太原城市职业
技术学院学报,2011.6:26-27
[3] 陈晓明.信息类技术专业课程设置分析与实现―以“司法信息技术”
专业建设为例[J].计算机教育,2010.14:56-60
[4] 蒋文保,李忱.高校信息安全专业应用型人才培养模型探讨[J].信息
安全与通信保密,2007.9:172-175
[5] 郑洪英,廖晓峰,李传冬等.设置信息安全专业教学体系的探讨[J].教
育教学论坛,2012.9:114-115
[6] 李振汕.高职信息安全技术专业课程体系的开发和设计[J].职业时
空,2011.7(6):33-35
[7] 沈洋.高职院校信息安全人才能力培养的研究与实践[J].厦门城市职
业学院学报,2012.14(2):13-16
关键词: 《网络信息安全》 课程改革 实践
1.引言
计算机网络的出现和发展,极大地改变了现代人的生产和生活方式,给人类带来全新现代文明的同时也给网络上的信息安全带来了很大威胁,《网络信息安全》应运而生。网络信息安全作为一门新兴的学科,没有严格规范的研究内容,同时又和其他很多学科存在交叉和重复,在高校教学中如何讲授好这门课程,使学生通过学习这门课程,能在日常生活中把在这门课程中学到的知识应用到实践中去,是我们必须思考的一个问题。我们针对《网络信息安全》课程的特点,从多个方面进行了教学思考和实践。
2.网络信息安全教学现状
《网络信息安全》是一门综合性科学,涉及数学、通信技术、密码技术和计算机技术等诸多学科的长期知识积累和最新发展成果,同时还涉及社会问题和法律问题。其涵盖的内容广泛,技术和方法更新速度较快,学习的预备知识要求较高。课程有如下特点:知识更新快,涉及面广;课程的预备知识要求较高,前导专业课程多;实践性强;实验具有破坏性;缺乏系统性。因此,网络信息安全课程要取得很好的教学效果,需要根据时间、学生对象、实验条件等因素,设计相应的教学实施计划。教师在教学过程中能够在教材内容留有的发挥空间中充分展现自己的智慧和才华,即做到教学内容源于教材内容,精于教材内容,为更好地完成教学计划服务。
当前的社会要求高校毕业生不仅要具备扎实的理论水平,而且要具有一定的实际动手与解决问题的能力。分析现行的教学模式,我们发现目前该课程存在下列问题:教材内容已经落后于网络的发展,学生丧失了学习的兴趣;重课堂教学,轻实验教学的教学方法与现代教育教学手段不相适应,并且大部分试验还是以演示为主,学生亲自动手实践的机会较少,导致许多新的技术和方法无法得到应用。
3.《网络信息安全》课程改革与创新
针对前面提到的现行教学模式存在的问题,我们在实际教学的过程中对该课程的教学进行了大胆的改革与创新。
3.1精心选择教材,优化教学内容。
选择教材时要根据学生实际情况,根据课程教学大纲的要求,结合培养目标,选择适合自己学生情况的教材,同时在教学过程中还要对其去粗取精,精心设计教学内容。网络信息安全教学内容的安排应该不拘泥于知识体系的完整,更要具有针对性和实用性;紧跟时代,关注网络上的各种安全事件及相应的安全技术;在教学过程中重视培养学生的职业岗位技能和素质,以适应学生毕业后的就业需求,使学生达到学则能用、学则会用的目的。比如关于一些安全的法律法规的问题,可以把《今日说法》栏目的一些关于网络安全事件的案例引用到课堂,让学生感知这些知识离自己很近,就在身边。
3.2激发学习兴趣。
兴趣是最好的老师,目前的学生具有强烈的好奇心。因此,教师必须使用科学的教学方法提高学生的兴趣,培养学生的钻研精神,把被动的“要我学”转换为主动的“我要学”。在课堂教学中,开展课堂讨论,活跃课堂气氛,使学生在良好、互动的教学环境中取得很好的学习效果。比如在讲授密码学时,可以启发学生的思维,以小组讨论的方式来讨论什么密码最安全,并做实际演示,使学生能够建立“密码学”的概念,鼓励学生自己动手编写一个加密小程序,体会建立一个安全密码的重要性。教师应充分利用现在的网络资源,实时地给学生布置一些需要上网查找,求知的作业,扩展学生的知识面。
3.3实例教学和实时演示相结合。
利用网络平台和多媒体手段,在进行计算机网络教学时利用案例进行实时教学。在网络信息安全课程教学实践中,教师边讲边操作,可避免单纯地理论说教,能使学生有豁然开朗的感受。比方说在讲授关于操作系统漏洞的修补时,教师可以实际利用网络上没有给操作系统打安全补丁的计算机进行攻击,成功地使用仿真黑客攻击软件修改该计算机的密码,使学生真正体会网络安全的重要性,从抽象的概念上升到形象上的认识。对于一些不方便演示的实时攻击等内容,可以在备课时制作成教学录像,使理论知识立体化、形象化,提高学生的兴趣,鼓励学生自己把学习的过程记录下来。
3.4搭建网络安全实验平台。
网络信息安全实践性很强,讲授这门课程不能像其它概论课程那样去“灌输”,必须抓好实验、实践教学环节,注重学生实际动手操作能力的培养和训练,按照认识论的观点组织和开展教学。教师可以针对每一理论内容设计单独的实验,也可以将相关章节的内容综合在一起,设计一个综合实验。比如可选实验项目有:漏洞扫描,口令破解,信息截获,密码算法,病毒防范,VPN与密码机的配置,防火墙的配置与使用,入侵检测系统的使用和安全策略的编写,等等。由于综合实验包含了较多的实验内容和较大的工作量,教师可采用分组开设实验的形式,使学生有组织、按计划完成实验。组织和计划的内容包括:确定实验完成的计划进度表;明确每位组员要完成的工作;定期组织组员讨论实验中遇到的问题,并共同确定解决方案;及时与指导老师联系,获得指导,等等。这样可以避免学生在实验过程中的孤立性和被动性,使学生可以通过相互交流讨论开拓视野,提高动手动脑的兴趣,同时能锻炼他们的组织能力、交流能力和协作能力。对于多数学校的实验条件来说,实验室活动能演练小型模拟实验。教师对有兴趣的学生,组织相关方面的课外活动,有利于他们对课堂内容的掌握和深化。这些活动主要有:同网络安全专业公司联系,建立多样化的实习基地;鼓励学生参加网络安全方面的竞赛活动;组织学生对最近发生的网络安全实践进行讨论分析。
熟练使用网络工具、掌握网络管理、测试和网络安全技术在计算机网络专业课程教学中有着非常重要的地位。比如讲授网上购物、电子支付安全时,学生不理解如何进行电子支付,那么可以安排学生从自己的需要出发,亲自完成一次网上安全购物的模拟实训操作;在讲授密码系统的四个组成部分时,学生对其中的概念性内容听起来感到很枯燥,理解也比较困难。为解决这个问题,教师可以通过实训方法让学生用白纸亲自动手制作最简单的10×10的密码卡。由易到难,由简至繁,由浅而深。这样学生不仅能了解密码卡的制作原理,加深对基本概念的理解,而且能起到举一反三的效果,进一步懂得密码系统的原理。帮助学生获得现实网络环境中多点之间关系的直接概念和网络安全现象,完成各种关于网络安全的操作、管理和安全的学习任务,对于学生理解网络信息安全抽象概念,架构整体网络安全方案及网络安全的防范都大有益处。
3.5研究创新实验,丰富教学内容。
研究创新型实验要求学生综合应用多门课程的知识,针对某些有创意的想法,在教师指导下完成设计和实现工作,帮助学生提高创新意识和创造能力。创新提高型实验内容来源于教师的科研项目、学生的自主科研选题、社会实践活动和企事业应用需求,实验内容是不断变化的。如基于图像内容的半易损数字水印的研究与应用、敏感信息过滤系统设计、病毒扫描引擎设计与实现、IPv6环境下的网络信息安全问题的研究等。
3.6大作业任务驱使。
为了充分调动学生的学习主动性和学习能力,激发学生的求知欲望,教师可以在学生了解了基本的网络信息安全概述之后,布置一个大作业(大约在学期中),让学生分组研究,不限制研究内容(只要是和网络信息安全相关的课题都可以去研究)。在以后讲课的过程中,教师可逐渐地把和课程相关的比较有研究价值的知识点传授给学生,这样学生可以根据自己的兴趣收集资料。在学期末拿出一部分时间让学生来讲解自己研究的课题,这样不但能提高学生的求知欲望,扩大知识面,而且能锻炼学生的组织能力、协同合作能力和讲解能力。
4.结语
信息安全是国家信息化健康发展的基础,是国家安全的重要组成部分,这就要求高校能够更好地培养信息安全方面的应用型人才。针对瞬息万变的网络时代,教师对学生的网络信息安全教育,应该注重的不仅仅是传授知识,更应把如何培养学生的综合素质放在首位。如何充分调动学生的主观能动性,使他们具备积极主动的获取知识的能力,这才是我们持续不断的努力方向。
参考文献:
[1]张常有,杨子光,王玉梅.浅议高校网络安全课程的教学与实践[J].太原大学教育学院学报,2007,(3).
[2]俞研,兰少华.计算机网络安全课程教学的探索与研究[J].计算机教育,2008,(18).