面向技管双强的信息安全专业及课程体系研究
- 来源:网络空间安全 smarty:if $article.tag?>
- 关键字:网络空间,信息安全,技管双强 smarty:/if?>
- 发布时间:2020-07-26 09:06
摘 要:文章首先对“没有网络安全,就没有国家安全”理念的国防背景、技术渊源和网络安全概念进行了演义,完善了网络空间进行了定义。其次,结合北京信息科技大学的特点,以学生为中心,以成果为导向,反向设计了培养目标和毕业要求。同时,提出了面向“技管双强”的信息安全专业的课程体系,构建了两条主线“技术+管理”和一条干线(编程能力不断线)的课程体系,并向社会输出“实基础、精专业、强实战、重创新、懂管理”“技管双强”的高素质网络空间安全专门人才。最后,通过毕业要求达成情况评价机制,验证了面向“技管双强”的信息安全专业及课程体系的有效性。
关键词:网络空间;信息安全;技管双强;课程体系;人才培养
中图分类号: G42;G420 文献标识码:C
1 引言
从广义方面讲,信息安全关系到在未来信息化战争的胜负。从狭义方面讲,信息安全关系到一个人信息是否能够得到安全保障。2014年2月27日,国家领导提出“没有网络安全,就没有国家安全”的理念有着怎样的国防背景、技术渊源和网络安全概念的演义。
网络安全概念的演义[1,2]为:通信加密时代(1940 -1981年)→计算机安全时代(1982-2002年)→信息安全时代(2003 -2013年)→网络空间安全时代(2014年至今)→数据安全时代(未来时代)。
网络安全的前身:通信加密时代(1940-1981年)。以著名科学家图灵为代表的英国密码专家破译了德军的“英格码”密码算法,帮助盟军制服了德国潜艇,从而直接影响了二战的结果。敌我双方在电子通信信号上展开攻防博弈,当时主要的技术手段就是密码技术。在计算机网络普及之前,通信的加密属于国家安全的一部分。从这一点上可以看出,“没有网络安全,就没有国家安全”理念的提出,有着深厚的国防背景和技术渊源。
网络安全萌芽期:计算机安全时代(1982-2002年)。这个时代安全的关注重点在计算机设备本身,包括硬件和操作系统以及存储其上的电子数据。
网络安全成长期:信息安全时代(2003-2013年)。这个时代是我国信息安全专业的快速发展期,2001年,武汉大学建立了我国第一个信息安全本科专业,我国从此开始培养信息安全本科专业人才。
网络安全加速期:网络空间安全时代(2014年开始)。2013 年 “棱镜门”事件的曝光,引起了世界各国政府对网络安全的重视,网络空间安全 (Cybersecurity)的概念,得到更多人的认可和接受。网络安全时代是我国网络空间安全学科的快速发展期。2013年12月,中央成立了网络安全与信息化领导小组,统一领导我国的网络安全与信息化工作。2015年6月11日,国务院学位委员会和教育部增设网络空间安全为一级学科。2016年3月,国务院学位委员会和教育部批准29所大学建立网络空间安全一级学科博士点。2017年,中央网信办和教育部批准西安电子科技大学、东南大学、武汉大学、北京航空航天大学、四川大学、中国科学技术大学、战略支援部队信息工程大学入围首批一流网络安全学院建设示范项目。2019年,批准华中科技大学、北京邮电大学、上海交通大学、山东大学入围一流网络安全学院建设示范项目。至此,全国共有11所大学入围一流网络安全学院建设示范项目。
数据安全时代(即将到来)。数据既是计算机执行人类指令的手段,也是连接不同设备之间的“信息”桥梁。今天人类已处在“数据海洋”的时代,然而,数据间的关联度愈发增强,人类的安全保障反而愈发“脆弱”。一旦单个数据发生泄露,就很可能是一场“多米诺骨牌”式的连锁危机。2018年爆发的“脸书数据泄露门”引发了全球舆论的关注。因此预言网络空间安全时代之后,是数据安全时代的来临。
总之,根据信息论的基本观点,信息是内涵,系统是载体。因此,计算机安全、网络安全、网络空间安全的核心内涵仍是信息安全,信息安全已成为国家安全的重要组成部分,也是保障信息社会和信息技术可持续发展的核心基础。信息技术的迅猛发展和深度应用必将带来更多难以解决的信息安全问题,只有掌握了信息安全的科学发展规律,才有可能解决人类社会遇到的各种信息安全问题。
网络安全脆弱的本质原因有四点[3]。
(1)计算科学问题:图灵计算原理中缺少攻防理念。图灵发明电子计算机时,为了解决科学计算问题,只考虑能完成计算任务的逻辑组合即可,没考虑有人利用逻辑缺陷进行攻击问题。
(2)体系结构问题:冯·诺依曼体系结构缺少防护部件。
(3)计算模式问题:重大工程应用缺少安全服务。
(4)网络协议(软件)的设计问题:系统设计难以穷尽所有逻辑组合,逻辑缺陷仍不时暴露出来。利用逻辑缺陷挖掘漏洞并进行攻击是网络安全面临的永恒课题。这就是网络安全的本质,相当于人的身体没有免疫系统不能防御病毒入侵一样。
定义1:网络空间是贯穿于陆、海、空、天四大空间及之外的第五空间,是信息时代人们感知和超感知(赖以生存)的信息环境,是所有信息系统的集合。核心在于连接一切,即把所有电子设备通过有线或无线网络连接在一起,以达到通信与控制的目的,從而形成连接陆、海、空、天四大空间及之外的第五空间。
定义2:网络空间安全是保障网络空间中信息存储、传输和处理过程的安全。
2 北京信息科技大学信息安全专业发展及支撑
网络空间安全关系到国家安全、社会稳定、经济发展和公众利益。 必须加快国家网络空间安全保障体系建设,确保我国的网络空间安全,其中人才是关键。因此,网络空间安全人才培养是我国国家网络空间安全保障体系建设的必备基础和先决条件。网络空间安全学科与专业则是网络空间安全人才培养的基础平台。
北京信息科技大学信息安全专业伴随着国家网络安全的发展,在信息安全初期获批。北京信息科技大学信息安全专业开办于2003年,是教育部批准在全国设立信息安全专业的第二批19所院校之一,2004年起全国招收本科生,2009年开始第一批次招生,每年招生规模为60人左右。最早的毕业生毕业于2008年,目前已培养毕业生660余名。本专业2017年申报网络空间安全一级学科,并于2018年获批。本专业把握人才需求,逐步明确了“具有创新意识和实践能力的技管双强的应用型工程技术人才”的专业特色。
目前,学校已面向本专业实验建设投入资金约2263万元,其中,作为重点建设的信息安全实验室,投入资金约778万元。各类实验教学平台和综合实训平台充分满足课程实践内容。拥有校外人才培养基地。目前,力推通过硬件资源重用、复用和虚拟化等方式搭建出镜像业务系统,将多个行业(金融、电力等)的安全隐患测试、安全技术验证和安全加固方案验证等项目经验融于教学之中。
本专业以“实基础、精专业、强实战、重创新、懂管理”为培养思路,培养模式向国际CDIO标准和工程教育认证标准转化,注重教育过程规范化,培养知识、能力、素质并重的应用型工程技术人才。毕业生就业率稳居学校前列,深受用人单位欢迎。
3 面向技管双强的信息安全专业及课程体系
教育是人才培养的基础,高校是人才培养的基地。提高我国高校学生的网络空间安全意识、对网络空间安全风险的认识和基本防护能力,已经成为我国每一所高校必须高度重视的教育问题。其中,如何有效地培养出适应社会需求、多类型、多层次的高素质网络空间安全专门人才,已经成为我国设置信息安全专业或网络空间安全类专业高校的一项重要任务。
北京信息科技大学信息安全专业在教育部高等学校信息安全专业教学指导委员会 《信息安全专业指导性专业规范》的指导下[4],遵照中国工程教育专业认证标准体系思想[5],设计培养目标和毕业要求,如图1所示
以学生为心,以成果为导向,结合北京信息科技大学的特点反向设计了培养目标:面向国家网络强国的战略部署,紧扣首都信息安全行业发展需求,坚持立德树人,培养具有高度社会责任感、良好的人文社科素养和健全人格,具有扎实的数学、自然科学、工程基础及系统的信息安全专业知识和技能,能够在信息安全及相关领域从事信息安全产品研发与测试、网络与系统安全攻防、安全服务与管理等工作,成为具有较强创新意识和实践能力的高素质应用型工程技术人才。
专业方向侧重于网络与系统安全;专业特色侧重于通过熟练掌握网络对抗技术,从而达到保障和防护信息系统安全的目标。其中,特色是方向的解释,特色的凝炼依靠课程。
同时,制定了支撑培养目标的毕业要求及课程体系,并且保持持续改进状态,真正形成了面向技管双强的信息安全专业的课程体系,如图2所示,从图中的①~⑦表示第1学期~第7学期开的课程。
面向“技管双强”的信息安全专业的课程体系,主要包括两条主线“技术+管理”和一条干线“编程能力不断线”的课程体系。其中,①②③④⑤⑥⑦⑧表示第1学期~第8学期开的课程。
技术主线主要包括专业导论①→网络空间安全概论③→计算机网络④+密码学④+信息安全前沿技术→网络对抗⑤→Linux/Unix应用与实践⑤→编译原理与逆向工程⑤→信息系统安全⑥→恶意代码分析与防护实践⑥→网络安全协议与标准⑥→防火墙与VPN技术分析⑥→信息安全专业综合实习⑦→毕业设计⑧。
管理主线主要包括:专业导论①→信息安全法律基础③→数据结构③→操作系统④→计算机组成原理④→数据库系统⑤→软件工程⑤→数据管理与隐私保护⑥→信息安全管理与风险评估⑦→毕业设计⑧。
编程能力不断线主要包括:C语言程序设计①→面向对象程序设计②→数据结构③→软件设计与方法④→网络程序设计⑤→信息安全软件开发⑥→渗透测试⑦→毕业设计⑧。
信息安全专业依托学科:网络空间安全、计算机科学与技术。专业核心课程:密码学、计算机网络、信息系统安全、网络对抗、恶意代码检测与防护实践、数据结构、操作系统、信息安全管理与风险评估。其中,信息系统安全侧重操作系统安全,网络对抗侧重Web安全,恶意代码检测与防护实践和渗透测试侧重内网安全,从而凝练出北京信息科技大学信息安全专业方向和特色。
专业课程设置(包括课程内容、课时及学分设置等)以是否有利于学生掌握信息安全基础理论和方法,提高工程实践与创新能力为标准。参照教育部高等学校网络空间安全专业教学指导委员会《信息安全专业指导性专业规范》和国内外同类大学的课程体系,既体现了信息安全核心技术和管理的特点,又体现了加强核心课程的学习理解和灵活应用,从而有利于更合理区分课程的边界,分清课程之间的逻辑关系。
课程设置的总体思路:培养“实基础、精专业、强实战、重创新、懂管理”的“技管双强”的高素质网络空间安全专门人才。
实基础:加大主干专业基础课程的课时与学分。例如,信息安全数学基础、信息论基础、数据结构、程序设计类课程等。
精专业:重点设计主干专业课程的内容,突出专业的特点。如计算机网络、信息系统安全、网络对抗、信息安全管理与风险评估。
强实战:具有完备实践教学体系,主要包括课内实验、课外实验、课程设计、信息安全专业综合实习、毕业设计等环节。依据能力培养要求,综合设计能力的实践环节,突出“多练”与“实训”。例如,网络对抗演练、恶意代码分析与防护实践。
重創新:重视实践创新能力和创新思维的培养,例如,信息安全创新实践→就业创业指导。
懂管理:强调信息安全技术与管理并重,擅长管理的培养,如管理作为一条主线,从专业导论→信息安全法律法规→操作系统管理→软件工程管理→数据库管理→数据管理与隐私保护→信息安全管理与风险评估。
4 毕业要求达成情况评价
课题体系的构建是为支撑毕业要求和培养目标服务的,北京信息科技大学信息安全专业的毕业要求达成情况评价机制,如图3所示,专业通过建立健全人才培养质量评价标准,对本科生培养方案进行重构和持续改进,对毕业要求达成度进行周期性评价和分析。结合学校教学督导组、学院教学督导组对本科课堂教学和相关实践教学环节的质量评价、学生对教师课堂教学质量的评价以及应届毕业生对课程和教师教学质量的调查问卷等评价结果,反复分析和论证,持续改进教学环节,使其始终符合毕业要求;通过毕业要求达成度评价结果对毕业要求进行持续改进,充分支撑培养目标;通过课程体系的修订和持续改进,不断调整毕业要求与课程教学内容之间的对应关系。
(1)评价对象:全体学生。
(2)评价过程。
1)按照可操作性与可评价性原则细化毕业要求,每个毕业要求分解为若干指标点,每个指标点由若干课程支撑。
2)学院依据支撑课程授课内容、教学目标、对应指标点的贡献度及其所占学分比重合理确定其权重,并经学院教学工作委员会讨论审定。
3)学院教学工作委员会判定课程评价材料是否合理,并给出是否合理的明确结论。
4)抽取评价样本,进行课程评价,给出课程对毕业要求达成度评价结果。
5)以支撑课程为依托,进行毕业要求达成度评价,给出评价结论。
6)进行课程的持续改进,并计入年度持续改进报告。
(3)评价周期:两年一次。
(4)评价方法:“课程目标达成支持法”和“应届毕业生调查问卷法”。
通过毕业要求达成情况评价验证了面向技管双强的信息安全专业及课程体系的有效性。
5 结束语
文章结合北京信息科技大学的特点,以学生为中心,以成果为导向,反向设计了培养目标和毕业要求。同时,提出了面向“技管双强”的信息安全专业的课程体系,构建了两条主线“技术+管理”和一条干线(编程能力不断线)的课程体系。北京信息科技大学信息安全专业是用信息技术+安全管理解决信息安全防护与管理问题,是基于北京信息科技大学跨学科交叉融合优势,侧重网络对抗能力的培养,从而达到保障和防护信息系统安全的目的,并向社会输送“实基础、精专业、强实战、重创新、懂管理”“技管双强”的高素质网络空间安全专门人才。强调信息安全技术与管理并重,也是未来安全系统设计、开发、管理等职位的摇篮。
总之,北京信息科技大学信息安全专业通过16年的发展和毕业要求达成情况评价机制,建设并验证了有效、可行的面向“技管双强”的信息安全专业的课程体系。
基金项目:
1.北京信息科技大学2019年教改重点项目(项目编号:2019JGZD04);
2.北京信息科技大学研究生课程建设项目(项目编号:2020YKJ17);
3.教育部人文社科项目(项目编号:20YJAZH046)。
参考文献
[1] 李少鹏.从本质看未来:对网络安全行业的深度思考[EB/OL]. https://www.aqniu.com/news-views/57618.html[2019-11-1]/[2020-4-25].
[2] 方兴东,钟祥铭,彭筱军.全球互联网50年:发展阶段与演进逻辑[J].新闻记者,2019(07):4-25.
[3] 沈昌祥.用主动免疫可信计算筑牢“新基建”网络安全防线[EB/OL]. https://ibook.antpedia.com/x/463870.html[2020-4-21]/[2020-4-25].
[4] 杜瑞颖,张焕国.信息安全专业指导性专业规范(第二版)[M].北京:清华大学出版社,2020.
[5] 中国工程教育专业认证协会.工程教育认证自评报告指导书(2020年版)[EB/OL]. http://www.ceeaa.org.cn/gcjyzyrzxh/xwdt/tzgg56/619954/index.html.[2020-2-20]/[2020-3-25].
[6] 康海燕,孫璇.防火墙与VPN技术分析课程实践教学研究[C].北京:清华大学出版社,2015-10-1: 133-139.
[7] 康海燕,任俊玲,刘晓梅,任亚唯.本科生课外科技创新的有效模式研究与实践[C].北京:清华大学出版社,2015-10-1: 61-65.
[8] 康海燕,蒋文保.信息安全专业创新人才培养模式探讨[J].清华大学教育研究,2012.33(1):28-32.
[9] 康海燕.信息系统基础课程实践教学的改革研究[J].现代远距教育,2013,(6):53-56.
康海燕 孙璇