高職院校信息安全評(píng)估課程建設(shè)與討論

摘要：信息安全風(fēng)險(xiǎn)評(píng)估，是指從風(fēng)險(xiǎn)管理的角度出發(fā)，運(yùn)用技術(shù)手段對(duì)信息系統(tǒng)所面臨的風(fēng)險(xiǎn)進(jìn)行科學(xué)分析，制定風(fēng)險(xiǎn)規(guī)避策略，減少風(fēng)險(xiǎn)損失的一種綜合性技術(shù)測(cè)評(píng)過(guò)程。在當(dāng)前日益復(fù)雜的國(guó)際國(guó)內(nèi)網(wǎng)絡(luò)環(huán)境下，信息安全評(píng)估在我國(guó)有著廣泛的應(yīng)用。本文以四川郵電職業(yè)技術(shù)學(xué)院為例，介紹了信息安全評(píng)估課程開設(shè)的背景、目標(biāo)、以及相應(yīng)的考核評(píng)價(jià)方式。意在探索在高職院校中開設(shè)信息安全評(píng)估課程的方式和可能存在的問(wèn)題，探討改進(jìn)措施，為課程的開設(shè)提供一種思路。

關(guān)鍵詞：信息安全;風(fēng)險(xiǎn)評(píng)估;課程建設(shè)

2014年2月27日，習(xí)近平總書記在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議上指出：“網(wǎng)絡(luò)安全和信息化是事關(guān)國(guó)家安全和國(guó)家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問(wèn)題”[1]。這說(shuō)明我國(guó)已經(jīng)把網(wǎng)絡(luò)空間安全提升到了一個(gè)國(guó)家戰(zhàn)略的高度。同時(shí)對(duì)于信息安全產(chǎn)業(yè)來(lái)說(shuō)，這也意味著前所未有的發(fā)展機(jī)遇。因此在高校中開設(shè)信息安全評(píng)估課程，有著重要的現(xiàn)實(shí)意義。

1 課程開設(shè)目標(biāo)

在當(dāng)前復(fù)雜的網(wǎng)絡(luò)環(huán)境下，掌握基本的信息安全技能，能夠識(shí)別和處理簡(jiǎn)單的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，對(duì)個(gè)人，甚至整個(gè)國(guó)家都有著舉足輕重的作用。通過(guò)開設(shè)信息安全評(píng)估相關(guān)課程，一方面可以使信息安全、網(wǎng)絡(luò)空間安全、或者計(jì)算機(jī)網(wǎng)絡(luò)等方向的學(xué)生具備從事專業(yè)工作所必需的基礎(chǔ)知識(shí)和技能，拓寬學(xué)生的就業(yè)面，爭(zhēng)強(qiáng)學(xué)生的競(jìng)爭(zhēng)力;另一方面對(duì)于企業(yè)來(lái)說(shuō)，也迫切需要大量信息安全評(píng)估人才來(lái)實(shí)現(xiàn)對(duì)自身信息系統(tǒng)的安全保障和風(fēng)險(xiǎn)控制。

本課程授課內(nèi)容的開設(shè)，結(jié)合了信息安全專業(yè)特點(diǎn)和高等職業(yè)教育規(guī)律，采用理論課時(shí)和實(shí)踐課時(shí)相結(jié)合的教學(xué)方式。突出職業(yè)教育理念，注重學(xué)生的實(shí)踐能力，讓學(xué)生在實(shí)踐活動(dòng)的基礎(chǔ)上掌握知識(shí)。本課程的教學(xué)目標(biāo)主要分為3個(gè)：思政目標(biāo)、知識(shí)目標(biāo)和能力目標(biāo)。

1.1思政目標(biāo)

習(xí)近平總書記在全國(guó)高校思想政治工作會(huì)議上指出：“要堅(jiān)持把立德樹人作為中心環(huán)節(jié)，把思想政治工作貫穿教育教學(xué)全過(guò)程”[2]。本課程以思想品德和素質(zhì)教育為核心、信息安全素養(yǎng)為重點(diǎn)，通過(guò)課程的學(xué)習(xí)，讓學(xué)生具備正確的人生觀和價(jià)值觀。同時(shí)通過(guò)專業(yè)課程的教學(xué)，讓學(xué)生具備基本的網(wǎng)絡(luò)安全素養(yǎng)，能夠自覺維護(hù)自身和國(guó)家的信息安全，適應(yīng)當(dāng)前信息時(shí)代的發(fā)展要求。

1.2 知識(shí)目標(biāo)

通過(guò)理論課時(shí)的學(xué)習(xí)，讓學(xué)生理解信息安全等級(jí)保護(hù)的基本概念和主要內(nèi)容，了解信息安全等級(jí)保護(hù)的主要流程。能夠?qū)π畔踩u(píng)估總體流程有自己的認(rèn)知，能夠根據(jù)需求設(shè)計(jì)規(guī)劃評(píng)估流程。

1.3 能力目標(biāo)

通過(guò)實(shí)踐課時(shí)的教學(xué)，讓學(xué)生能夠理解安全風(fēng)險(xiǎn)評(píng)估辦法、標(biāo)準(zhǔn)和流程，讓學(xué)生具備運(yùn)用網(wǎng)絡(luò)及安全掃描工具，對(duì)目標(biāo)信息系統(tǒng)進(jìn)行漏洞掃描和進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的能力。

2 課程開設(shè)內(nèi)容

針對(duì)高職院校人才培養(yǎng)的特點(diǎn)和本院的人才培養(yǎng)方案要求，本門課程授課采用理論+實(shí)踐的方式，強(qiáng)調(diào)學(xué)生的動(dòng)手實(shí)操能力。

在理論課時(shí)中，根據(jù)信息安全評(píng)估的知識(shí)體系架構(gòu)，分為三個(gè)模塊：基本知識(shí)、信息安全風(fēng)險(xiǎn)評(píng)估體系和信息安全管理體系。在基本知識(shí)部分，主要向?qū)W生講授信息安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)理論，包括信息安全管理體系模型、國(guó)內(nèi)外信息安全管理相關(guān)標(biāo)準(zhǔn)、風(fēng)險(xiǎn)評(píng)估基礎(chǔ)模型等相關(guān)理論知識(shí)。在信息安全風(fēng)險(xiǎn)評(píng)估模塊，重點(diǎn)讓學(xué)生了解信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施流程，讓學(xué)生掌握如何利用測(cè)評(píng)工具對(duì)信息系統(tǒng)進(jìn)行安全測(cè)評(píng)，讓學(xué)生掌握如何編寫風(fēng)險(xiǎn)評(píng)估報(bào)告。在信息安全管理部分，需要讓學(xué)生了解信息安全管理系統(tǒng)的工作流程和信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系結(jié)構(gòu)。

在信息安全評(píng)估的相關(guān)實(shí)踐課程中，需要購(gòu)置信息安全評(píng)估測(cè)評(píng)設(shè)備來(lái)配合進(jìn)行實(shí)驗(yàn)項(xiàng)目的開展。本學(xué)院使用明鑒信息安全等級(jí)保護(hù)檢查工具箱，開設(shè)了主機(jī)病毒檢查、系統(tǒng)漏洞掃描、弱口令掃描等實(shí)驗(yàn)項(xiàng)目。讓學(xué)生具備利用測(cè)評(píng)工具進(jìn)行系統(tǒng)安全掃描和安全分析的能力。

3 考核和評(píng)價(jià)方式

高職院校的目標(biāo)是培養(yǎng)高等技術(shù)應(yīng)用型專業(yè)人才，教學(xué)方式應(yīng)以理論教學(xué)為基礎(chǔ)，重點(diǎn)培養(yǎng)學(xué)生處理、解決問(wèn)題的能力。因此本門課程的考核評(píng)價(jià)方式在兼顧理論知識(shí)考查的同時(shí)，側(cè)重對(duì)學(xué)生實(shí)踐能力的考核。理論部分的考核，考題應(yīng)該靈活多樣，加重客觀題的比重，盡量減少純理論內(nèi)容的題目，讓學(xué)生有更多自我發(fā)揮的空間。在實(shí)踐考核部分，重點(diǎn)考察學(xué)生解決實(shí)際問(wèn)題的能力，考題應(yīng)更多的貼合實(shí)際。比如可以在實(shí)驗(yàn)室內(nèi)部署一臺(tái)有安全漏洞的服務(wù)器，讓學(xué)生運(yùn)用相關(guān)測(cè)評(píng)工具對(duì)服務(wù)器進(jìn)行漏洞掃描，撰寫風(fēng)險(xiǎn)評(píng)估報(bào)告，教師可以根據(jù)編寫的風(fēng)險(xiǎn)評(píng)估報(bào)告來(lái)對(duì)學(xué)生的實(shí)踐操作進(jìn)行考核。考核方式可以采用分組考核、組內(nèi)互評(píng)等多種方式，靈活進(jìn)行。

4 存在的問(wèn)題和改進(jìn)方法

通過(guò)自身的任課經(jīng)歷和上課學(xué)生的反饋，信息安全評(píng)估課程在本學(xué)院開設(shè)中存在如下問(wèn)題：

4.1 課程理論性太強(qiáng)，學(xué)生缺少興趣

信息安全評(píng)估課程相對(duì)來(lái)說(shuō)，需要學(xué)生具備一定的信息安全和網(wǎng)絡(luò)安全知識(shí)基礎(chǔ)，理論性概念較多。學(xué)生普遍反映課程枯燥難懂，缺少實(shí)際聯(lián)系，學(xué)習(xí)興趣不足。

4.2 實(shí)驗(yàn)設(shè)備昂貴，學(xué)生參與度較弱

本學(xué)院使用明鑒信息安全等級(jí)保護(hù)檢查工具箱進(jìn)行相關(guān)風(fēng)險(xiǎn)評(píng)估測(cè)試。在實(shí)驗(yàn)課程中，采用的是分組實(shí)驗(yàn)的方式，減少對(duì)實(shí)驗(yàn)硬件設(shè)備數(shù)量的需求。因此在有限的課堂教學(xué)時(shí)間內(nèi)，很難保證每位同學(xué)都能夠動(dòng)手操作設(shè)備。

信息安全評(píng)估課程的開設(shè)，一方面需要學(xué)校領(lǐng)導(dǎo)的重視，認(rèn)識(shí)到當(dāng)前社會(huì)信息安全的重要性，加大投入力度，完善實(shí)驗(yàn)室的建設(shè)。同時(shí)，該課程作為一門專業(yè)課，開設(shè)的學(xué)期最好在大三階段，讓學(xué)生在具備一定信息安全基礎(chǔ)知識(shí)的階段進(jìn)行學(xué)習(xí)。對(duì)我們?nèi)握n教師來(lái)說(shuō)，也要求我們?cè)诮虒W(xué)過(guò)程當(dāng)中，盡量采用多種教學(xué)方式來(lái)調(diào)動(dòng)學(xué)生學(xué)習(xí)的積極性。努力讓學(xué)生學(xué)有所成，增強(qiáng)學(xué)生的競(jìng)爭(zhēng)力。

參考文獻(xiàn)：

[1]習(xí)近平.總體布局統(tǒng)籌各方創(chuàng)新發(fā)展，努力把我國(guó)建設(shè)成為網(wǎng)絡(luò)強(qiáng)國(guó)[N].人民日?qǐng)?bào)，2014-02-28.

[2]習(xí)近平.把思想政治工作貫穿教育教學(xué)全過(guò)程[N].新華社，2016-12-08.

[3]何治樂.《網(wǎng)絡(luò)安全法》有效性評(píng)估及提升路徑[J].中國(guó)信息安全，2018（7）.

[4]劉明月.新形勢(shì)下高校信息安全的管理策略研究[J].山東工業(yè)技術(shù)，2018（5）.

科研項(xiàng)目：四川郵電職業(yè)技術(shù)學(xué)院2018年校級(jí)科研項(xiàng)目（YDXJKY201849）。

作者簡(jiǎn)介：景旭（1986-），男，四川眉山人，碩士，助教。研究方向：計(jì)算機(jī)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全。