本科信息安全專業課程體系研究

　　摘要：結合武漢大學信息安全專業的辦學特色，探討在《信息安全專業指導性專業規范》指導下，制定信息安全專業主干課程內容及課程體系的方法。
　　關鍵詞：信息安全 課程體系 行業標準
　　文章編號：1672-5913(2011)18-0001-03 中圖分類號：G642 文獻標識碼：A
　　基金項目：教育部高等學校信息安全類專業教學指導委員會信息安全類專業建設和人才培養項目“信息安全專業規范的實施方案研究”(JZW201014)；湖北省高等學校省級教學研究項目“信息安全專業課程體系改革試點基地”(20102017)；武漢大學教學研究項目“信息安全專業課程體系改革試點基地”(KG2010006)。
　　伴隨著信息科學的繁榮，信息安全越來越受到人們的關注。自2001年武漢大學創辦我國第一個信息安全本科專業以來，據教育部高教司統計，截至2010年，教育部共批準了78所高校設置了信息安全本科專業，17所高校設置了信息對抗技術專業。經過10年的專業建設，我國已經形成了信息安全人才培養的完整體系，20多所高校具有信息安全本科、碩士點、博士點和博士后站[1]。
　　在人才培養過程中，培養計劃是指揮棒，而培養計劃又是由課程體系和能力體系來具體體現的，因此一個科學合理的課程體系和能力體系對人才培養非常重要。
　　經過10年的辦學和發展，信息安全學科日漸成熟，已經形成了自己的學科內容[2]。教育部信息安全專業教學指導委員會于2010年制定出了《信息安全專業指導性專業規范》(以下簡稱《規范》)。研究制定符合《規范》的課程體系是非常必要的。
　　1 信息安全專業知識體系結構
　　《規范》對專業的學科基礎、專業的知識體系、專業的能力體系[3-4]等做了詳細的規定和說明。
　　
　　信息科學基礎知識領域主要根據信息安全專業所依托的學科和辦學特色自己來確定。武漢大學主要是以計算機科學與技術學科的部分主干專業基礎課和專業課為依托。
　　信息安全基礎主要介紹信息安全的基本概念、信息安全面臨的威脅和確保信息安全的措施等基本知識；信息安全數學是信息安全學的理論基礎之一；信息安全法律基礎介紹信息安全領域中的一些基本法律知識；信息安全管理基礎介紹信息安全領域中的一些基本管理知識。信息安全法律和信息安全管理知識則是對整個信息安全系統的設計、實現與應用都有指導性作用的[2]。
　　密碼技術是信息安全領域的關鍵技術，已經廣泛應用于通信保密、信息系統安全和網絡安全等許多信息安全的重要領域中。密碼學的知識單元主要包括：密碼學概念、分組密碼、流密碼、Hash函數、公鑰密碼、數字簽名、認證和密鑰管理等[2]。
　　通過學習網絡安全，學生將可以了解網絡安全的威脅，掌握入侵檢測技術、安全防護技術以及應急響應機制等基本安全技術，可以為信息系統的設計和實現提供網絡安全防御機制，從系統的整個生命周期考慮網絡安全問題。網絡安全的知識單元包括：網絡安全概念、防火墻、入侵檢測系統(IDS)、虛擬專用網(VPN)、網絡協議安全、網絡安全漏洞檢測與防護、Web安全和通信網安全等[2]。
　　通過信息系統安全類課程的學習，使學生掌握信息系統安全的基本概念、基本理論與基本技術，結合實踐鍛煉使學生掌握分析和解決信息系統安全實際問題的基本能力。信息系統安全的知識單元包括：信息系統安全的概念、信息系統設備物理安全、信息系統可靠性技術、訪問控制、操作系統安全、數據庫安全、軟件安全、電子商務安全、電子政務安全、數字取證技術、嵌入式系統安全和信息對抗等[2]。
　　通過學習信息內容安全，學生將可以了解信息內容安全的威脅，掌握信息內容安全的基本概念，熟悉或掌握信息內容的獲取、識別和管控以及多媒體信息隱藏的基本知識和基本技術。信息內容安全的知識單元包括：信息內容安全的概念，網絡數據的獲取，信息內容的分析語識別，信息內容的管控，多媒體信息隱藏等[2]。
　　2 信息安全專業課程體系
　　2.1 課程體系設置原則
　　《規范》明確指出，在制定課程體系時，必須符合以下原則[2]：
　　1) 知識體系用課程體系來覆蓋，每一個必修知識點都必須被覆蓋，不準遺漏；
　　2) 重要的知識點允許有一定的重復，重復度可為3左右；
　　3) 課程體系對知識體系的覆蓋可以有多種方法，可以有不同的課程設置方案；
　　4) 依據知識點的關聯原則，在組成課程體系時，盡量將密切相關的知識點放在一門課中；
　　5) 在組成課程體系時，要注意知識點之間的前驅后繼關系。要根據知識點之間的前驅后繼關系安排課程的前后順序。
　　依據《規范》，信息安全專業的研究內容劃分為4個領域：密碼學、網絡安全、信息系統安全和信息內容安全[2]。但《規范》只規定各領域知識單元(學習內容)的最小集合，各個學校完全可以根據自己學校的特色添加學習內容。另外，在學習最小集合的內容的深淺程度上，《規范》也是取最低標準。因此，在一個領域內到底應該設置幾門課程，不但要符合課程體系的設置原則，還要依據本校的辦學特色。若學校偏重于網絡安全方向，那么還應該開設網絡安全、網絡協議分析、VPN，無線網絡安全等課程。依照此原則，結合武漢大學的特色，筆者給出武漢大學信息安全專業的專業主干課程如下：
　　密碼領域：密碼學。
　　網絡安全領域：網絡安全、信息安全工程和網絡管理。
　　信息系統安全領域：軟件安全、操作系統及安全、數據庫安全、信息系統安全、電子商務和電子政務安全和智能卡技術。
　　內容安全領域：信息隱藏和信息內容安全。
　　2.2 課程的主要內容
　　下面是武漢大學信息安全專業若干專業主干課程[5]所包含的內容。
　　“密碼學”課程的主要教學內容：密碼學的概念、分組密碼、流密碼、Hash函數、公鑰密碼、數字簽名、認證、密鑰管理、密碼應用。
　　“網絡安全”課程的主要教學內容：網絡安全概論、網絡攻擊行徑分析、網絡偵察技術、拒絕服務攻擊、緩沖區溢出攻擊、程序攻擊、欺騙攻擊、利用處理程序錯誤的攻擊、訪問控制技術、防火墻技術、入侵檢測技術、VPN技術、網絡病毒防治、無線網絡安全防護、安全恢復技術。
　　“信息安全工程”課程的主要教學內容：信息安全工程基礎、系統安全工程能力成熟度模型、信息安全工程實施、信息安全風險評估、信息安全策略、信息安全工程與等級保護、數據備份與災難恢復、信息安全工程案例、信息安全組織。
　　“軟件安全”課程的主要教學內容：軟件安全概述、軟件缺陷與漏洞挖掘利用、惡意軟件機理及其防護、軟件破解與自我保護、軟件安全產品與軟件安全評測。
　　“信息系統安全”課程的主要教學內容：信息系統安全的概念、信息系統設備物理安全、信息系統可靠性技術、訪問控制、數字取證技術、嵌入式系統安全。
　　“電子商務和電子政務安全”課程的主要教學內容：電子商務的概念和主要內容、電子商務及安全體系結構、電子支付安全協議、電子商務應用安全協議、電子商務應用案例、電子政務的基本內容、政務信息交換安全、電子商務及電子政務安全的法律制度、電子商務和電子政務的應用安全。
　　“數據庫安全”課程的主要教學內容：數據庫及其應用系統的安全語義、數據庫的訪問控制、數據庫安全策略、多級安全數據庫管理系統、多級安全數據庫原型系統和產品、多級安全數據庫的推理通道問題、數據挖掘及其安全問題、數據庫隱私、安全數據庫應用系統。
　　
　　“信息隱藏”課程的主要教學內容：信息隱藏技術概論、隱秘技術與分析、數字圖像水印原理與技術、基于混沌特性的小波數字水印算法C-SVD、一種基于混沌和細胞自動機的數字水印結構、數字指紋、數字水印的攻擊方法和策略、數字水印的評價理論和測試基準、數字水印應用協議、軟件水印、數字權益管理、音頻水印、視頻水印。
　　“信息內容安全”課程的主要教學內容：信息內容安全的概念、網絡數據的獲取、信息內容的分析與識別、信息內容的管控、多媒體信息隱藏。
　　“智能卡技術”課程的主要教學內容：智能卡的基本概念和分類體系、集成電路卡的基本概念和原理、存儲卡和邏輯加密卡的控制和接口設備、CPU卡的結構和原理、芯片操作系統的原理與設計方法、智能卡的主要安全技術、JAVA卡原理與開發方法、非接觸式智能卡原理、RFID的基本原理與概念、智能卡應用規范與開發技術。
　　
　　3 結語
　　目前該課程體系已經納入武漢大學信息安全2010培養計劃。和以往的培養計劃相比，在新的培養計劃中，信息安全的專業課程更加系統化，課程設置更加科學合理。在下一步的工作中我們將結合本文工作，總結出《信息安全專業指導性專業規范》的實施方案。
　　參考文獻：
　　[1]