基于信息安全等級保護的信息安全綜合實訓教學研究

張文勇++李維華++唐作其

摘要：信息安全等級保護是我國保障信息系統安全的根本制度，為了培養學生基本信息安全技術操作技能，使其具備運用信息安全等級保護知識分析信息系統安全風險和編制符合信息安全等級保護要求的解決方案的能力，將信息安全等級保護內容納入信息安全綜合實訓教學，按信息安全等級保護標準體系構建了信息安全專業綜合實訓教學體系，并給出了具體的實施流程和方法。

關鍵詞：信息安全；等級保護；等級測評；實踐教學；綜合實訓

DOIDOI：10.11907/rjdk.161717

中圖分類號：G434

文獻標識碼：A文章編號文章編號：16727800（2016）009017303

基金項目基金項目：貴州省科技廳社發攻關項目（黔科合SY字2012-3050號）；貴州大學自然科學青年基金項目（貴大自青合字2010-026號）；貴州大學教育教學改革研究項目（JG2013097）

作者簡介作者簡介：張文勇（1973-），男，貴州臺江人，碩士，貴州大學計算機科學與技術學院講師，研究方向為網絡與信息安全；李維華（1961-），男，貴州貴陽人，貴州大學計算機科學與技術學院高級實驗師，研究方向為網絡與信息安全；唐作其（1980-），男，貴州興義人，碩士，貴州大學計算機科學與技術學院副教授，研究方向為信息安全保障體系。

0引言

信息安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法，開展信息安全等級保護工作是保護信息化發展、維護國家信息安全的根本保障，是信息安全保障工作中國家意志的體現。信息安全學科要求學生不僅要具備很強的理論知識，更應具備較強的實踐能力。現階段很多高校在理論教學上有較好的培養方法和模式，學生具備良好的理論基礎，但在實踐教學中由于各課程的銜接和關聯較少，盡管部分學校開設了信息安全實訓或信息安全攻防實踐等課程，但基本都是做一些單元實驗，僅局限于某一方面的技能訓練，沒有從全局、系統的角度去培養學生綜合運用各種信息安全知識解決實際問題的能力[15]。從貴州大學信息安全專業畢業生就業情況調查反饋信息來看，絕大多數畢業生主要從事企事業單位的信息安全管理、信息安全專業服務等工作，少數畢業生從事信息安全產品研發，或繼續碩士博士深造，從事信息安全理論研究。用人單位普遍反映學生的基本理論掌握相對較好，但實際操作技能、綜合分析能力欠缺。為了解決目前這種狀況，筆者根據長期從事信息安全等級保護項目實施工作實踐，提出在信息安全專業的實踐教學環節中引入信息安全等級保護相關內容。

1信息安全等級保護對學生能力培養的作用

信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查5個階段，信息系統安全等級測評是驗證信息系統是否滿足相應安全保護等級的評估過程。信息安全等級保護的知識體系完善，信息安全等級保護測評人員的技術要求涵蓋多個方面，包括物理環境、主機、操作系統、應用安全、安全設備等，因此國家對于信息安全等級保護人員的技術要求十分綜合和全面[3]。如參照信息安全等級保護專業人員的技術要求對學生開展信息安全綜合實訓將滿足社會對信息安全專業人員的技能和知識結構要求，主要體現在以下4個方面：①培養學生了解國家關于非涉密信息系統保護的基本方針、政策、標準；②培養學生掌握各種基本信息安全技術操作技能，熟悉各種信息系統構成對象的基本操作，為將來快速融入到信息安全保護實踐工作奠定基礎；③培養學生具備從綜合、全面的角度去規劃、設計、構建符合國家信息安全保障體系要求的信息安全防護方案能力；④培養學生建立信息安全等級保護的基本意識，在工作實踐中自覺按國家信息安全等級保護要求開展工作，有利于促進國家信息安全等級保護政策實施。

2實訓教學知識體系

信息安全等級保護的相關政策和標準是信息安全實訓教學體系建立的基本依據，GB/T 22239-2008《信息安全等級保護基本要求》在信息安全等級保護標準體系中起基礎性作用。信息安全等級保護基本要求充分體現了“全面防御，縱深防御”的理念，遵循了“技術和管理并重”的基本原則，而不同級別的業務信息系統在控制點要求項上的區別體現了“適度安全”的根本原則[6]。信息安全保護測評是信息安全等級保護的一項重要基礎性工作，GB/T 28449-2012《信息安全等級保護測評過程指南》是對等級測評的活動、工作任務以及每項任務的工作內容作出了詳細建議，等級測評中的單元測評、整體測評、風險分析、問題處置及建議環節體現了測評工程師對等保項目基本安全保障情況的綜合分析能力[610]。信息安全等級保護知識體系龐大，不可能兼顧所有方面，因而在信息安全實訓教學知識體系制訂中采用兼顧全局、突出重點的基本原則；在實訓教學知識體系的構成中重點以《信息安全等級保護基本要求》和《信息安全等級保護測評過程指南》為基礎，包括基本理論培訓、基本技能實訓、安全管理培訓、能力提高實訓四大模塊；在實際操作中將重點放在基本技能實訓和能力提高實訓上。各實訓模塊構成及關系如圖1所示。

3實訓教學實施

教學實施依據實訓教學知識體系進行，教學方式采用集中課堂基本理論教學、在信息系統模擬平臺實施現場測評數據采集的基本操作實訓和以信息安全等級保護測評報告的編寫為基礎的數據分析、數據整理、安全方案編寫實訓。

3.1基本理論教學

該環節采用集中課堂教學方式，講解的主要內容是信息安全等級保護政策和標準。講解深度上應有所側重，講解重點包括：①信息安全等級保護基本要求中層面的劃分原則和依據、控制點的構成、控制點中要求項的解讀；②信息安全保護過程指南中單元測評、整體測評、風險分析、問題處置和建議等部分的解讀。

理論教學在突出重點的同時，兼顧全局，讓學生對信息安全等級保護制度和標準有一個完整、清晰的認識。

3.2基本技能實訓

基本技能實訓環節主要是強化學生各種信息安全技術的基本操作訓練。首先，應根據最真實的企業內部環境搭建符合信息安全等級保護要求的模擬信息系統，并編寫好對應的信息安全等級保護現場測評指導書；然后，指導學生在模擬系統上進行現場測評實訓，實訓過程按信息安全等級保護現場測評指導書要求進行，實訓內容以獲取信息系統安全配置和運行狀態等原始數據為基礎。基本技能實訓模塊包括網絡安全、主機安全、應用安全、數據備份及恢復、自動化工具掃描這5個層面的訓練項目。

（1）網絡安全。學生在模擬平臺上開展各種主流的網絡設備和安全設備的基本操作訓練，要求學生理解網絡設備和安全設備的安全功能及安全設置，掌握設備的運行狀態和信息數據采集方法。

（2）主機安全。學生在模擬平臺上開展各種主流系統軟件基本操作訓練，包括操作系統、數據庫系統、中間件等，要求學生理解各種系統軟件的安全功能和安全設置。通過本環節的實訓，學生應具備系統軟件安全配置核查和運行狀態信息采集能力。

（3）應用安全。學生在模擬平臺上對所安裝的主流商用應用軟件和自主開發軟件進行安全配置核查和安全功能驗證訓練，要求學生理解應用軟件的安全功能設計要求，掌握應用軟件的安全配置核查和安全功能驗證方法。

（4） 數據備份和回復。通過模擬系統的磁盤冗余陣列進行基本操作訓練，讓學生了解磁盤冗余陣列的驗證方法；通過訓練學生在操作系統和數據庫管理系統上配置計劃備份任務，使其理解系統軟件的數據備份安全功能，掌握系統軟件的備份操作計劃配置和驗證方法。

（5）自動化工具掃描。學生利用主流的開源掃描工具和商用的掃描工具對模擬系統上的網絡設備、安全設備、服務器主機等進行掃描，獲取信息系統主要軟硬件的漏洞，并驗證系統的脆弱性。本部分獲取的原始數據作為（1）、（2）、（3）部分的補充，通過本環節培訓學生整理和分析漏洞掃描結果以及初步驗證漏洞真實性的能力。

3.3能力提高實訓

在學生掌握信息系統安全配置和運行狀態數據采集的基本技能后實施能力提高實訓，本模塊主要培訓學生對原始數據的分析、整理，并編寫信息安全等級保護測評報告的能力。能力提高實訓模塊主要包括單元測評、整體測評、風險分析、問題處置和安全建議4個項目，各項目之間的關系流程如圖2所示。

（1）通過基本技能實訓獲取到原始數據后，根據信息安全等級保護測評過程要求整理、分析原始數據，開展單元測評，并給出各單元層面內控制點中檢查項的符合性，分析并給出單元測評結果，按信息安全等級保護報告模板編寫單元測評報告。

（2）在完成單元測評后，由于單元測評參照的信息相對獨立，未考慮原始數據間的關聯性，而實際信息系統的最終安全防護效力和面臨的風險是信息系統安全控制點間、安全層面間、安全區域間各組成要素共同作用的結果，因此在完成單元測評后還應該進行整體測評。整體測評主要是考慮單元測評中的各控制點間、安全層面間、安全區域間存在某種關聯性，這種關聯會對信息系統整體的安全防護效力、面臨的風險具有降低或增加的作用，應從整體角度對信息系統安全的狀態進行修正。

（3）風險分析結果是制訂信息安全系統防護措施的重要依據，風險分析能力是體現信息安全工程師水平的一項重要指標。在風險分析實訓項目中結合單元測評和整體測評結果利用風險分析計算工具對信息系統面臨的風險等級大小進行定性或定量的分析計算，并編寫風險分析報告。

（4）確定信息系統存在的風險后，接著應分析引起信息系統風險的因素，對不可接受風險因素或不能滿足等級保護要求的安全防護項提出完整的問題處置和整改建議。問題處置和整改建議環節要求信息安全工程技術人員具備扎實理論知識的同時還具備相當豐富的實踐經驗，工程技術人員必須熟悉信息安全的各種防護技術和目前市場上相關的信息安全軟硬件安全產品。因此，本實訓項目主要是訓練并提高學生綜合運用信息安全技術解決實際問題的能力。

4結語

在信息安全專業的實踐教學中引入信息安全等級保護內容，實訓教學知識體系完全參照信息安全等級保護要求來構建，信息安全等級保護知識體系完善，保證了實訓內容的廣度和深度。通過信息安全等級保護現場測評環節訓練學生的信息安全技術基本操作技能，通過信息安全等級保護測評報告的編制訓練學生運用信息安全等級保護基本知識、理論和方法去分析信息系統存在的漏洞、面臨的安全風險，并編制符合信息安全等級保護要求的安全防護方案，提高學生綜合運用信息安全技術解決實際問題的能力，較好地滿足了社會對信息安全人才的需求，深受信息安全等級保護技術服務機構和已開展或擬開展信息系統安全等級保護的企事業及機關單位的歡迎，為學生畢業后盡快適應工作要求奠定了基礎。

由于實驗環境的限制，所制訂的基于信息安全等級保護的實訓教學知識體系仍存在以下3點不足：①實訓教學體系未涉及虛擬化、云計算、物聯網安全實訓，而這些是當前發展較快且正被廣泛運用的信息技術；②由于滲透測試對測試環境搭建和學生基本技能要求較高，因而實訓教學體系中并未涉及滲透測試項目；③信息安全管理在信息安全防護工作中是非常重要但卻最容易被忽視的工作內容，可以說一個組織的信息安全管理水平高低直接決定其信息系統的安全防護能力。因為安全管理測評基本上采用的是制度類、證據類、記錄類文檔性資料的核查和訪談，而在實訓中難以模擬一個完整的安全管理體系實際案例，所以在實訓中安全管理部分更多地是采用課堂教學講解，沒有操作實訓。 這些在后續教學實踐工作中都有待改進。

參考文獻參考文獻：

[1]楊冬曉，嚴曉浪，于慧敏.信息類特色專業建設的若干實踐[J].中國電子教育，2010（1）：3945.

[2]田秀霞.創新實踐項目驅動的信息安全專業教學改革[J].計算機教育，2015（23）：3033.

[3]張勝生，呂緒銀.基于信息安全場景下的等級保護技術人才培養模式研究[C].第二屆全國信息安全等級保護測評體系建設會議論文集，2012：8385.

[4]李琳，陳東方，李濤，等.信息安全專業實踐教學體系研究[J].電腦知識與技術.2014，10（35）：85148515.

[5]蔣煒.信息安全等級保護培訓探討[J].現代企業研究，2015（2）：64.

[6]公安部信息安全等級保護評估中心.信息安全等級保護政策培訓教程[M].北京：電子工業出版社，2015.

[7]公安部信息安全等級保護評估中心.信息安全等級測評師培訓教程（中級） [M].北京：電子工業出版社，2015.

[8]公安部信息安全等級保護評估中心.信息安全等級測評師培訓教程（初級） [M].北京：電子工業出版社，2015.

[9]國家質量監督檢驗檢疫總局、國家標準化管理委員會. GB/T284882012.信息系統安全等級保護測評要求[S].北京：中國質檢出版社，中國標準出版社，2012.

[10]國家質量監督檢驗檢疫總局，國家標準化管理委員會. GB/T 284492012.信息系統安全等級保護測評過程指南[S].北京：中國標準出版社，2012.

責任編輯（責任編輯：孫娟）