第1篇:“信息安全”本科专业人才培养的研究
1引言
随着信息技术的发展和社会信息化进程的推进,信息安全问题已成为信息化社会的热点和关键问题,信息安全人才成为信息社会急需的紧缺人才。为培养信息安全专业人才,武汉大学于2000年成立了全国第一个信息安全本科专业,此后全国相继有40多所高校设立信息安全本科专业。为适应时代的发展,北京科技大学于2003年成功申请了信息安全本科专业,并于2004年开始招生。
在申请信息安全本科专业的过程中,我们开始研究信息安全本科专业的知识体系结构以及对学生的素质要求,借鉴已开设信息安全本科专业高校的经验,制订出北京科技大学的信息安全本科专业培养方案。特别是在北京科技大学2005版教学计划的制订过程中,我们又结合教育部的《信息安全本科专业培养规范》,对信息安全本科专业人才培养问题进行了深入研究。
2信息安全专业人才培养问题分析
2.1信息安全学科特点
信息安全是一门综合性的交叉学科,涉及数学、密码学、计算机科学与技术、通信工程、控制理论、人工智能、安全工程、人文科学等诸多学科。
信息安全也是一项复杂的系统工程,涉及到信息基础设施建设、网络与系统的构造、信息系统与业务应用系统的开发、信息安全的法律法规、信息安全管理体系等。信息安全技术涉及到信息技术的各个层次。
信息安全学科由核心学科群、支撑学科群和应用学科群三部分构成。信息安全学科是一个“以信息安全学为核心,以信息技术学、信息工程学和信息管理学为支撑,以国家和社会各领域信息安全防护为应用方向”的跨学科的交叉性学科群体系,它涉及到信息安全技术学、信息安全工程学和信息安全管理学等。
2.2信息安全人才需求
信息系统的安全体系建设关键在于人,尤其是信息安全专业人才。当前信息安全领域最突出的问题是:信息安全产业发展严重滞后,信息安全科研和教育严重滞后,特别是信息安全人才匮乏。
解决信息安全建设问题的关键是解决信息安全专业人才的匮乏。解决途径当然是大力培养信息安全专业人才,积极建立完善的信息安全教育体系和人才培养规划。
2.3信息安全人才培养的特点
信息安全是一个直接面向工程、面向应用的专业领域。因此信息安全教育是一种工程教育,但我国在工程教育领域处于落后地位。
我国工程教育现状为课堂教学基本保持了传统的优势,但工程实践条件严重不足,很多院校不能为本科生甚至是研究生提供最基本的实践教学环境。工程教育要有配套的工程实践环境,如果能够建立一个工程实践平台,学生能在该平台进行教学内容的实验和实践,对提高学生的动手能力,深化学生对理论技术的认识具有重要的意义。
信息安全是一门新兴学科,也是一门综合交叉学科。而且信息安全涉及的领域也很多,因此除了工程教育共有的特点,信息安全专业人才培养有其独有的特点:
*信息安全领域知识覆盖面宽,涉及到多个不同学科的专业知识;
*信息安全知识更新快;
*信息安全教育更需要注重应用和实践能力的培养,来保护信息系统的安全;
*信息安全教育需要面向多样化、多层次的人才需求,其培养目标不尽相同;
*信息安全教育是一种持续教育。
3国内外信息安全人才培养模式分析
3.1国外信息安全人才培养现状分析
国外在信息安全领域的研究起步较早,对信息安全教育和人才培养都非常重视。在信息安全领域,无论从技术研究发展看,还是从人才培养角度看,美国均走在世界各国的最前列。美国的信息安全教育体系相对比较完善,已经配套了本科教育、研究生教育和博士教育。
本科教育着重拓宽学生的知识面,使他们掌握更多的理论,明白哪些理论是重要的,以及如何应用它们。在计算机科学方面,有关算法,数据库,操作系统,编程语言,计算机体系结构,信息系统等课程给学生们灌输信息系统中的各种安全原理以及它们的应用方法。而政治学和历史课教给学生政府和政治运动中的信息安全理论。
在本科教育基础上,研究生教育通过补充课程论文和考试或者通过课程论文和硕士论文项目使研究生们在信息安全学科的某一个特定领域深入下去。硕士论文通常是开发一种理论到某一个或者一些特定场合的应用;而博士阶段更注重理论分析,对理论进行扩展,改进或者提出新的理论。
信息安全领域以美国普渡大学(PurdueUniversity)最为著名,其COAST(ComputerOperations,Audit,andSecurityTechnology)项目是该校计算机科学系从事计算机安全研究的多项目、多投资的实验室,它促使政府机构、大公司的研究人员和工程师紧密合作。如今COAST已经是世界上最大的专职的、学术的计算机安全研究群体之一,培养了许多优秀的信息安全专业人才。
美国约翰霍普金斯大学JHU(JohnsHopkinsUniversity)于2000年12月成立了信息安全学院(JHUISI),来寻求全面解决信息安全所包含的许多问题。它们突破了传统的面向一个相对集中的学术研究模式,与学术圈以外的政府和商业机构进行合作研究。在教育方面,它们重视研究生教育,开设了广泛的课程以适应不同的社会需求。该学院在信息安全办学方面正在作有益的探索。
卡内基·梅隆大学CMU(CarnegieMellonUniversity)在信息安全方面也发挥了重要作用。CMU认为将培养人才的手段仅仅关注于技术传授上已经缺乏新意,因而决定结合管理学院和技术学院,跳出信息安全的技术层面,把信息安全放在国家安全的大视野、大格局中去认识和定位。这种信息安全教育的大局观和人才观,非常值得研究学习,其培养工作非常值得仿效、借鉴和移植。
在美国还有专门针对IT领域直接向总统提供专家建议的机构PITAC,PITAC成员都是IT工业和学术领域的领导者,他们每三个月开一次会,将委员会形成共识的决议经所有委员签字后提交总统。总统看到的是一个共同的呼吁,而不是分散的几十个不同的意见。
2005年初,PITAC提交了关于计算机安全领域的研究报告,针对以往美国对军用信息安全技术的注重,报告中指出应该加大对民用信息安全技术的投入,提高全民信息安全意识,并基于此提出了一些建议:
*加大对全民信息安全技术研究的投入;
*扩大信息安全研究团体;
*加速信息安全研究成果向产品的转化;
*信息安全技术研究和产品开发并重。
3.2我国信息安全人才培养现状分析
我国在信息安全方面的研究和培训教育起步较晚,但大学始终起到主力军和先锋队的作用。信息安全专业教学体系的设计是以博为基础的专,在专的指引下的博,专与博相辅相成。
由于信息安全技术越来越受到人们的重视,而信息安全领域的专业人才又很紧缺。很多高校开始越来越重视信息安全专业动态,一些普通高等院校也尝试开设相关专业来培养专业的技术人员。虽然已经经过一定时间的发展,但与国外比较仍有较大的差距:
*专业人才,特别是高水平的专业人才严重缺乏;
*信息安全人才培养缺乏系统性和规范性,信息安全专业课程体系不完善,教学计划不够科学;
*授课方式缺乏多样性,一般是教师在讲,学生边听边记笔记,而很少去考虑将授课的内容换一种方式来展示和传播;
*不注重理论的应用,实验环节的教学非常缺乏,导致学生难以将所学的知识用于解决工作中的实际问题。
3.3我国信息安全人才培养的模式分析
我国现有的信息安全人才培养的教学模式还主要是以授课为主,并辅以ppt等形式给以简单演示,或者利用一些简单工具进行演示。现有教学模式特点如下:
(1)偏重理论知识的传授,不太强调实践能力的培养
信息安全教育不仅要求教学实践能够提高学生对于理论的认识,而且也强调学生的实践能力。虽然信息安全的基础是各种信息技术,但在这个领域中,工程应用占了相当的分量。因此,信息安全教育需要培养大量直接面向工程应用的人才。相应地,信息安全实验教学强调实践操作能力的培养。
(2)实验内容单一而且彼此相对独立
支持传统教学的实验内容通常都非常单一,不同的实验之间相对独立,这能够满足传统学科解决特定问题或者强调特定知识的教学需要。但信息安全是一个整体概念,因此信息安全教育必须培养专业技术人员的整体安全意识。同时在信息安全领域,专业技术人员经常需要解决综合性问题,这就需要他们具有综合的安全技能。因此,综合性实验更符合信息安全教学的需求。
(3)不强调实验环境的真实性
这里真实性指的是和现实环境相同或相似。基于前述的原因,传统学科的教学不强调实验环境的真实性。信息安全领域的工程应用性很强,同时也很特殊。因此,信息安全教育必须强调安全意识的培养。
信息安全教育所培养的人才更多是安全技术人员,他们需要维护各种信息系统环境的安全。而现实的信息系统环境不允许专业技术人员出现失误,但传统的实验环境允许出现一些失误。显然,这种真实的实验环境将有助于培养学生的安全意识。
现有的信息安全人才培养模式存在的主要问题有:
*目前很多高校信息安全教学不具备实验环境和条件;
*缺乏基础课程实验室,以致不能开设课程体系中各课程所要求的实验;
*缺乏相对稳定且符合一定要求的实习基地;
*实践环节的教学薄弱,没有完整的实践性环节教学体系;
*没有针对专科、本科的多层次的培养规范,人才培养缺乏针对性;
*缺乏专用的固定实验教学场所,难以实现远程教学。
4信息安全专业人才培养方案
4.1信息安全专业人才应具备的能力
根据信息安全学科的特点,信息安全专业人才应具备以下能力:
*具备及时发现问题,深入分析问题和独立解决问题的能力。信息安全问题复杂且隐蔽性很强,一般难以被人发现。作为信息安全专业的学生应该具有敏锐的眼光和清晰的思路,能够从纷繁复杂的表象背后找到问题的实质,然后针对问题进行分析,找到解决问题的方法并及时解决。
*具备良好的科研素质和团队精神,善于与别人沟通。网络安全问题往往不是一个人能解决的,需要大家共同参与解决,这就需要学生具备团队合作精神,共同解决问题。参与讨论的人越多,问题解决的速度越快,漏洞也会越少,甚至还会激发更多人的奇思妙想,产生新的效应。
*具备宽广的知识面和扎实的基础。信息安全问题非常复杂,要想成功地发现网络安全隐患并解决,需要广博深厚的知识。
*具备较强的实践能力。信息安全是工程性很强的学科,信息安全专业的学生应当具备很强的动手能力和实践能力,能把自己的想法用算法描述或用编程语言实现。
4.2信息安全专业人才的专业知识体系
信息安全学科是计算机科学与技术、通信工程、数学等多学科的交叉。因此,信息安全专业人才培养应以计算机专业为基础,兼顾通信与数学基础,在此基础上设置专业课程。其专业知识体系如图1所示。
信息安全专业的第一门专业课程是信息安全导论,简介信息安全学科所涉及的各方面知识,使学生建立起信息安全学科的整体概貌。
信息安全学科的核心是密码学,当然这需要很好的数学基础,如组合数学、概率统计等。在此基础上结合计算机技术和通信技术,可以介绍信息安全领域所涉及的信息安全技术及其应用。
此外,在信息安全领域,信息安全管理和相应的法律法规也非常重要,需要培养学生的信息安全意识等方面的知识,这些知识包含在信息安全管理这门课程中。
5结束语
随着对信息安全人才培养体系的不断研究与实践,我们结合北京科技大学的学科特色,在人才培养目标、信息安全专业人才素质要求、信息安全专业课程设置等方面提出了具体措施,努力为社会培养出优秀的信息安全专业人才。
作者:王昭顺
第2篇:信息安全竞赛与本科生科研创新实践能力培养
全国大学生信息安全竞赛由教育部高教司和工信部信息安全协调司指导,由教育部高等学校信息安全类专业教学指导委员会主办,其目的在于宣传信息安全知识,培养大学生的创新精神、团队合作意识,扩大大学生的科学视野,提高大学生的创新设计能力、综合设计能力和信息安全意识,促进高等学校信息安全专业课程体系、教学内容和方法的改革,吸引广大大学生踊跃参加课外科技活动,为培养、选拔、推荐优秀信息安全专业人才创造条件。
该竞赛侧重考查参赛学生的创新能力,内容应既有理论性,又有工程实用性,从而可以全面检验和促进学生的信息安全理论素养和实际动手能力。目前,该竞赛已经举办了3届,第一届“全国大学生信息安全竞赛”决赛于2008年10月在成都电子科技大学成功举行,第二届决赛于2009年8月在北京邮电大学举行,第三届决赛于2010年8月在哈尔滨工业大学举行。从目前3届的参赛情况来看,3所部队院校的表现格外突出[2]。
武汉大学从第一届全国大学生信息安全竞赛开始组队参加比赛。为有效提升我校本科生科研创新实践能力和参赛成绩,武汉大学自2008年底成立了信息安全竞赛教练组,本文第一作者作为武汉大学信息安全竞赛教练组总教练,全程参与了2009、2010年全国大学生信息安全竞赛的各项组织管理和参赛工作。在2010年全国大学生信息安全竞赛中,我校获得2项一等奖,3项二等奖,5项三等奖,2位指导教师获优秀指导教师奖,以总成绩第一获得优秀组织奖。在2009、2010年竞赛中,由本文第一作者作为指导教师指导的队伍获1项一等奖,3项二等奖[3]。
1参赛环节剖析
全国大学生信息安全竞赛每年举行一次,该比赛分初赛阶段和决赛阶段。通常每年4月份由各高校组织学生自愿报名参加比赛,6月底提交作品的初赛文档,每个作品由组委会组织多位网评专家评审,最终择优挑选高质量的参赛作品进入决赛,8月初公布决赛队伍名单,8月中旬进行决赛和颁奖。
根据该竞赛的参赛特点,我们将全国大学生信息安全竞赛分为如下7个环节:
1)选题征集与修订。全国大学生信息安全竞赛偏重于考察作品的创新性与实用性,因此参赛选题是参赛队伍能否获得好成绩的最关键因素。如何策划最好的选题是每一个参赛学校都必须重视的问题。
2)组队。每个参赛队由1名指导教师及最多4名参赛学生组成,每组设置一名学生为组长。各高校可以根据实际情况择优选拔参赛学生和队伍。
3)学生选拔及参赛前期工作。人员的选拔过程可能是需要经历较长时间的,在选拔队伍成员时,必须以确保选题能够被最终成功完成为依据。组长的选择至关重要,其应当具备较强的管理与协调组织能力,每个参赛队应当至少有1名编程能力较强的同学,同时还应该考虑学生的总结归纳及文档能力,作品表现能力及演讲水平等。根据最近几届的获奖情况来看,建议以大二和大三的学生为主来组建队伍。这个阶段的学生已经具备了一定的专业基础知识,且急需专业引导,有效的指导和完整的参赛经历能够有效地提升他们的科研创新实践能力。
在报名之前,各个竞赛小组还可以不断地调整竞赛选题以使其更具有创新性和实用性。
4)报名。竞赛报名工作通常开始于每年4月初,截止于4月20日左右。各小组必须填写报名表提交到组委会,并需填写500字左右的参赛作品介绍,内容包括作品的背景、意义、研究内容、创新点等。
在报名表提交之前,各参赛小组必须对参赛选题有足够深入的认识,否则最终实现的作品与最初的选题计划不符,影响参赛成绩。
5)初赛。组委会公布参赛队伍名单的时间通常是5月初。初赛竞赛作品报告文档的提交截止时间为每年6月30日。在初赛阶段,各参赛队积极设计参赛作品,在初赛文档提交之前,应当基本完成作品的设计和测试工作。
初赛文档是衡量一个参赛队伍前期作品完善程度和质量的核心依据。其竞赛作品报告模板包括了摘要、作品介绍、实现方案、性能测试、创新性和总结等几个部分。组委会并没有对竞赛作品报告的篇幅进行限制。从近几年的竞赛作品报告情况来看,篇幅最少的作品竞赛报告不到10页,篇幅最多的作品竞赛报告多达180页。通过参赛实践,我们认为30~40页的篇幅是比较合适的。
近几年,各大高校也普遍出现过一些作品实现进度较好的队伍最终无法进入决赛的情况,究其原因,除了选题本身不被专家充分认可之外,学生文档撰写能力较差、没能有效展现出自身作品优势是一个绝对不可忽视的重要原因。
6)决赛准备。在最近两届比赛中,初赛竞赛作品报告文档的提交截止时间是当年6月30日,决赛名单公布时间是当年8月初,决赛时间为当年8月中旬。决赛准备时间有一个半月左右。
在决赛准备阶段,各参赛队应不断完善参赛作品,并针对决赛答辩要求做好各项参赛准备。充足的准备时间是任何一支队伍获得最好成绩必不可少的保障。一支队伍的最终决赛成绩,很大程度上取决于初赛文档提交之后、决赛正式开始之前的近一个半月的黄金时间。
7)决赛。每届竞赛的决赛地点和环境都不一样,组委会将安排时间供各竞赛小组提前观看竞赛场地。各小组提前观看竞赛场地时需要确定如下几个问题:
(1)播放PPT,确保实际投影效果符合预期要求。如果需要用到自带的额外投影设备,需要寻找合适的投影地点。
(2)确定演示地点的相关设施齐全,确保演示效果。
(3)检查演示过程可能受到的干扰因素,寻找有效的解决办法。
另外,在决赛期间,针对学生进行有效的组织管理是必不可少的,对学生必须严格要求。
在信息安全竞赛的决赛中,每支队伍抽签进行现场答辩,答辩时间为30分钟,其中包括3个环节:8分钟内容陈述、15分钟作品演示以及7分钟专家提问。
(1)内容陈述。
“8分钟的内容陈述”(PPT讲解)对学生的总结归纳及作品展现能力提出了很高要求。在PPT讲解中,学生应就作品的选题背景和意义、系统架构及关键技术实现、实际测试效果、创新性与实用性等方面进行介绍。
在内容陈述上,本竞赛要求参赛者语言表达简洁、流利、准确,思路清晰,重点突出,逻辑性强,概念清楚,表述论点正确,论据详实,分析归纳合理,结论严谨。
用8分钟时间展现半年多的工作,对学生来说是一个极大的考验。在此环节最关键的因素有3个:最佳的演讲者、美观实用的PPT以及完善的内容陈述方案。三者缺一不可。
(2)作品演示。
“15分钟的作品演示”应重点突出。对于作品演示环节来说,演示方案是至关重要的。前8分钟内容陈述的主要作用是告诉专家“我们做的工作及其特色、意义”,这15分钟的作品演示则是向专家证实“我们确实做了我们所说的那些工作,且其确实具备很好的创新性和实用性”。
在作品演示环节,本竞赛要求参赛者准备充分,实验方法科学,测试结果完成预定的功能指标,作品难易适度,在演示过程中,要求参赛者能简练清楚地阐述作品的核心内容、水平和特色。
此环节最关键的因素有:流畅默契的演示配合、完善的作品演示方案及充足的演示环境准备。
(3)专家提问。
在“7分钟专家提问”阶段,专家将针对作品的相关问题进行提问,以了解参赛者对该作品的具体实现细节或思路,最重要的是要确认参赛者确实是独立完成了相关工作,对相关知识有了深入了解和掌握。
在该环节,要求参赛者回答问题准确、有深度、有理论根据、基本概念清晰,表现出对作品报告内容掌握透彻,同时要求参赛者技术用语准确。
此环节最关键的因素有:自信谦虚的态度及积极冷静的思考。
2经验教训
武汉大学信息安全竞赛教练组成立于2008年底,教练组设置总教练1名,各个参赛队的指导教师为教练组成员。教练组全权负责信息安全竞赛的所有竞赛准备及参赛工作。
在2009年全国大学生信息安全竞赛准备过程中,我们发现了如下一些问题:
问题1:部分参赛学生积极性不高,参赛小组的团队协作能力亟待加强。特别是部分同学在报名之后,不再积极参加竞赛小组活动。
问题2:学生的文档写作能力普遍较差。初赛文档提交时间(6月30日)和学生期末考试时间冲突,以至于很多小组最后的初赛文档写得非常仓促,甚至有小组未能提交初赛文档。
问题3:初赛文档提交之后、决赛名单公布之前的近一个月时间里,大部分竞赛小组没有继续完善竞赛作品,而是在等待竞赛结果,从而浪费了最宝贵的一个月竞赛准备时间。另外,学生的参赛作品展现能力普遍不强。
问题4:部分参赛老师的积极性不高,对学生的引导和实际指导有待加强。
在2010年进行竞赛准备时,针对各个问题,我们采取了相应措施。
针对问题1,我们主要采用了以下方式:
1)建立学生个人奖惩评定机制。教练组制定了“信息安全竞赛学生参赛奖惩办法”,竞赛结束后,教练组及指导教师根据竞赛小组各个成员在竞赛期间的表现对每个成员进行综合评定。评定级别包括A、B、C3个等级。获得A等的同学在进行保研或评优时,可以按照相关政策根据所获竞赛成绩全额享受奖励。B等的同学降级享受奖励。被评为C等的同学不予奖励,同时今后不得参加信息安全竞赛。
2)建立淘汰机制。每个选题在组建竞赛小组时,进行差额选拔。今年绝大部分竞赛小组在最初组队时,报名人数都多于组委会规定的每小组人数上限4人,甚至部分小组报名人数接近20人。这样,每个参赛的学生都存在竞争压力,经过一段时间的小组活动之后,表现良好且能够继续坚持的学生可以保留下来。我校今年竞赛队伍的组队时间是2009年11月,而组委会的报名时间是2010年4月,在这将近半年的时间里,愿意参加竞赛的同学都会尽最大努力去完成竞赛小组的各项工作。甚至部分小组在这段时间内就可以基本完成竞赛作品的主要工作,剩下的时间就可以继续完善作品。在报名开始之前,教练组在3月份进行了一次阶段检查,用以检查各小组进度,及时发现各小组存在的问题,以便于调整小组成员及选题方向。对于进度较差的竞赛小组,直接予以淘汰,取消报名参赛资格。
3)加强日常考核机制。教练组为竞赛申请安排了日常集训场所,并加强日常训练管理。另外,进行了2次中期考核,1次文档预审,3次决赛预答辩,每次中期考核和预答辩均邀请教练组老师和相关专家参加。竞赛小组每月提交进度报告。
针对问题2,我们采取了如下措施:
1)在“信息安全竞赛学生参赛奖惩办法”中规定,不经教练组许可不提交初赛文档的队伍,所有成员最终评定等级为C。
2)增加初赛文档预审环节。教练组要求所有小组必须在组委会初赛文档提交截止日之前10天左右提交初赛文档给教练组,教练组则请有网评经验的相关老师对各组初赛文档进行预审,针对性地提出相关修改意见。这样,各小组在获得教练组返回的初赛文档修改意见后,有充足的时间进一步地完善初赛文档。经历了教练组预审的文档在修改后内容组织更合理,测试方案更有效,创新性和实用性更强,同时大量消除了各类格式错误。
针对问题3,我们采取了如下措施:
1)教练组要求所有竞赛小组暑期必须在校参加竞赛集训,每组每周应提交周报。
2)加强集训期间的考核,在7月底进行一次阶段检查,在该次阶段检查中,要求每组按照最终决赛答辩要求的流程进行决赛预答辩。
3)决赛名单公布之后,进入决赛的队伍继续参加集训,做最后的决赛准备。在这期间,继续按照正式决赛答辩要求进行了两次决赛预答辩,同时我们邀请相关专家作为答辩评委,进一步为各组提出宝贵建议。
针对问题4,我们采取了如下措施:
1)制定“信息安全竞赛教练组职责及奖励办法(暂行)”,明确了教练组指导教师职责,提高了教师的参赛积极性。
2)教练组内部加强沟通与交流,在学生阶段考核表中设置“与指导老师交互度”项,给予指导老师适度的压力,促进其参赛积极性。
3)提高参赛选题与指导教师研究方向的关联度,学生竞赛活动的有效展开也能够对指导教师的科研提供基础,甚至直接带来促进。
目前,我们起草并完善了相关管理办法,并形成了竞赛规范表格:
1)制定了“信息安全竞赛教练组职责及奖励办法(暂行)”。
2)制定了“信息安全竞赛学生参赛奖惩办法(暂行)”。
3)形成了一系列竞赛文件表格,规范了选题策划、学生选拔、阶段检查、暑期集训、决赛预答辩及学生综合评定等环节。
经过2010年的参赛实践,总体上来看,我们建立的这套管理办法是行之有效的。
当然,教练组经过两年的参赛实践,我们也发现了一些目前依然需要继续改善的问题(如选题策划、参赛队伍质量管理等),这将是教练组后续应当不断努力完善的。
3信息安全竞赛对我校本科生科研创新实践能力培养的促进及启示
全国大学生信息安全竞赛对本科生科研创新实践能力培养起到了很大促进作用,主要体现在如下几个方面:
1)学生参赛范围较大,对学生影响广。在组队之初,全院共有150多名学生报名参加,经过选拔淘汰,最终有69名同学获得了参赛资格。参赛学生主要来自大二、大三,同时也包括少量大一和大四的学生。另外,从全国各高校参赛情况来看,参赛队伍的学生通常分布于多个学院和专业,比较集中的有计算机学院、软件学院、电子信息学院等。
2)信息安全竞赛明显提高了本科生的专业兴趣和科研创新能力。目前,很多大学生在专业学习上都处于比较迷茫的状态,而该竞赛能够对学生的专业学习起到很大的专业引导作用,促使他们深入理解专业方向的背景、意义和实用价值,提升他们的科研创新意识。
3)信息安全竞赛能有效提高学生实践动手能力。信息安全竞赛对学生编程水平、团队合作和协调能力、文档写作能力、作品展现能力都提出了很高要求。因此竞赛的有效组织和实施,能大大地锻炼和提高学生的各项能力。
4)该竞赛为学院的本科生科研实践创新能力培养提供了经验。通过参赛实践,我们发现,大学生信息安全竞赛的优秀参赛作品的质量要高于学校和学院的各类本科生科研立项项目,即全国大学生信息安全竞赛的这种竞赛激励机制和流程对参赛学生和指导教师都能带来较大的目标压力,有利于作品质量的保障和提升。目前,我们已经将信安竞赛机制融入到信息安全专业的“信息安全综合实验”课程的改革之中。
在今后,我们将以信息安全竞赛为契机,加强学院和学校本科生科研项目立项和考核质量,进一步合理规划和利用学院教学资源,有效提升全院各类本科生科研项目及本科生科研创新能力的整体水平。
作者:彭国军等
第3篇:本科信息安全专业课程体系研究
伴随着信息科学的繁荣,信息安全越来越受到人们的关注。自2001年武汉大学创办我国第一个信息安全本科专业以来,据教育部高教司统计,截至2010年,教育部共批准了78所高校设置了信息安全本科专业,17所高校设置了信息对抗技术专业。经过10年的专业建设,我国已经形成了信息安全人才培养的完整体系,20多所高校具有信息安全本科、硕士点、博士点和博士后站[1]。
在人才培养过程中,培养计划是指挥棒,而培养计划又是由课程体系和能力体系来具体体现的,因此一个科学合理的课程体系和能力体系对人才培养非常重要。
经过10年的办学和发展,信息安全学科日渐成熟,已经形成了自己的学科内容[2]。教育部信息安全专业教学指导委员会于2010年制定出了《信息安全专业指导性专业规范》(以下简称《规范》)。研究制定符合《规范》的课程体系是非常必要的。
1信息安全专业知识体系结构
《规范》对专业的学科基础、专业的知识体系、专业的能力体系[3-4]等做了详细的规定和说明。
信息科学基础知识领域主要根据信息安全专业所依托的学科和办学特色自己来确定。武汉大学主要是以计算机科学与技术学科的部分主干专业基础课和专业课为依托。
信息安全基础主要介绍信息安全的基本概念、信息安全面临的威胁和确保信息安全的措施等基本知识;信息安全数学是信息安全学的理论基础之一;信息安全法律基础介绍信息安全领域中的一些基本法律知识;信息安全管理基础介绍信息安全领域中的一些基本管理知识。信息安全法律和信息安全管理知识则是对整个信息安全系统的设计、实现与应用都有指导性作用的[2]。
密码技术是信息安全领域的关键技术,已经广泛应用于通信保密、信息系统安全和网络安全等许多信息安全的重要领域中。密码学的知识单元主要包括:密码学概念、分组密码、流密码、Hash函数、公钥密码、数字签名、认证和密钥管理等[2]。
通过学习网络安全,学生将可以了解网络安全的威胁,掌握入侵检测技术、安全防护技术以及应急响应机制等基本安全技术,可以为信息系统的设计和实现提供网络安全防御机制,从系统的整个生命周期考虑网络安全问题。网络安全的知识单元包括:网络安全概念、防火墙、入侵检测系统(IDS)、虚拟专用网(VPN)、网络协议安全、网络安全漏洞检测与防护、Web安全和通信网安全等[2]。
通过信息系统安全类课程的学习,使学生掌握信息系统安全的基本概念、基本理论与基本技术,结合实践锻炼使学生掌握分析和解决信息系统安全实际问题的基本能力。信息系统安全的知识单元包括:信息系统安全的概念、信息系统设备物理安全、信息系统可靠性技术、访问控制、操作系统安全、数据库安全、软件安全、电子商务安全、电子政务安全、数字取证技术、嵌入式系统安全和信息对抗等[2]。
通过学习信息内容安全,学生将可以了解信息内容安全的威胁,掌握信息内容安全的基本概念,熟悉或掌握信息内容的获取、识别和管控以及多媒体信息隐藏的基本知识和基本技术。信息内容安全的知识单元包括:信息内容安全的概念,网络数据的获取,信息内容的分析语识别,信息内容的管控,多媒体信息隐藏等[2]。
2信息安全专业课程体系
2.1课程体系设置原则
《规范》明确指出,在制定课程体系时,必须符合以下原则[2]:
1)知识体系用课程体系来覆盖,每一个必修知识点都必须被覆盖,不准遗漏;
2)重要的知识点允许有一定的重复,重复度可为3左右;
3)课程体系对知识体系的覆盖可以有多种方法,可以有不同的课程设置方案;
4)依据知识点的关联原则,在组成课程体系时,尽量将密切相关的知识点放在一门课中;
5)在组成课程体系时,要注意知识点之间的前驱后继关系。要根据知识点之间的前驱后继关系安排课程的前后顺序。
依据《规范》,信息安全专业的研究内容划分为4个领域:密码学、网络安全、信息系统安全和信息内容安全[2]。但《规范》只规定各领域知识单元(学习内容)的最小集合,各个学校完全可以根据自己学校的特色添加学习内容。另外,在学习最小集合的内容的深浅程度上,《规范》也是取最低标准。因此,在一个领域内到底应该设置几门课程,不但要符合课程体系的设置原则,还要依据本校的办学特色。若学校偏重于网络安全方向,那么还应该开设网络安全、网络协议分析、VPN,无线网络安全等课程。依照此原则,结合武汉大学的特色,笔者给出武汉大学信息安全专业的专业主干课程如下:
密码领域:密码学。
网络安全领域:网络安全、信息安全工程和网络管理。
信息系统安全领域:软件安全、操作系统及安全、数据库安全、信息系统安全、电子商务和电子政务安全和智能卡技术。
内容安全领域:信息隐藏和信息内容安全。
2.2课程的主要内容
下面是武汉大学信息安全专业若干专业主干课程[5]所包含的内容。
“密码学”课程的主要教学内容:密码学的概念、分组密码、流密码、Hash函数、公钥密码、数字签名、认证、密钥管理、密码应用。
“网络安全”课程的主要教学内容:网络安全概论、网络攻击行径分析、网络侦察技术、拒绝服务攻击、缓冲区溢出攻击、程序攻击、欺骗攻击、利用处理程序错误的攻击、访问控制技术、防火墙技术、入侵检测技术、VPN技术、网络病毒防治、无线网络安全防护、安全恢复技术。
“信息安全工程”课程的主要教学内容:信息安全工程基础、系统安全工程能力成熟度模型、信息安全工程实施、信息安全风险评估、信息安全策略、信息安全工程与等级保护、数据备份与灾难恢复、信息安全工程案例、信息安全组织。
“软件安全”课程的主要教学内容:软件安全概述、软件缺陷与漏洞挖掘利用、恶意软件机理及其防护、软件破解与自我保护、软件安全产品与软件安全评测。
“信息系统安全”课程的主要教学内容:信息系统安全的概念、信息系统设备物理安全、信息系统可靠性技术、访问控制、数字取证技术、嵌入式系统安全。
“电子商务和电子政务安全”课程的主要教学内容:电子商务的概念和主要内容、电子商务及安全体系结构、电子支付安全协议、电子商务应用安全协议、电子商务应用案例、电子政务的基本内容、政务信息交换安全、电子商务及电子政务安全的法律制度、电子商务和电子政务的应用安全。
“数据库安全”课程的主要教学内容:数据库及其应用系统的安全语义、数据库的访问控制、数据库安全策略、多级安全数据库管理系统、多级安全数据库原型系统和产品、多级安全数据库的推理通道问题、数据挖掘及其安全问题、数据库隐私、安全数据库应用系统。
“信息隐藏”课程的主要教学内容:信息隐藏技术概论、隐秘技术与分析、数字图像水印原理与技术、基于混沌特性的小波数字水印算法C-SVD、一种基于混沌和细胞自动机的数字水印结构、数字指纹、数字水印的攻击方法和策略、数字水印的评价理论和测试基准、数字水印应用协议、软件水印、数字权益管理、音频水印、视频水印。
“信息内容安全”课程的主要教学内容:信息内容安全的概念、网络数据的获取、信息内容的分析与识别、信息内容的管控、多媒体信息隐藏。
“智能卡技术”课程的主要教学内容:智能卡的基本概念和分类体系、集成电路卡的基本概念和原理、存储卡和逻辑加密卡的控制和接口设备、CPU卡的结构和原理、芯片操作系统的原理与设计方法、智能卡的主要安全技术、JAVA卡原理与开发方法、非接触式智能卡原理、RFID的基本原理与概念、智能卡应用规范与开发技术。
3结语
目前该课程体系已经纳入武汉大学信息安全2010培养计划。和以往的培养计划相比,在新的培养计划中,信息安全的专业课程更加系统化,课程设置更加科学合理。在下一步的工作中我们将结合本文工作,总结出《信息安全专业指导性专业规范》的实施方案。
作者:林瑞颖等