基于项目管理方式的信息安全实验教学方法探讨

摘要:本文探讨一种研究性的实验教学方法以培养学生在课程学习中的主动分析和解决问题的实践能力。基于项目管理方式的教学方式使学生能够将所学之有关安全的理论知识尽快地应用到工程应用实践中去,让学生体验与了解企业和公司的项目运作方式,培养学生在项目运作过程中的相互协作能力和团队精神。此外,这种教学方式还有助于学生尽早加入到信息安全课题的研究。

关键词:实验教学;项目管理方式;信息安全

中图分类号:G642 文献标识码:B

1相关背景

1.1信息安全行业人才需求分析

在IT专业人员列出的将对他们的企业产生最大影响的技术清单中,安全排在第一位,CIO越来越关注安全技术。在经济危机的影响下,一个节省成本的方法就是把错误降到最低,减小因安全问题而带来的损失。对于金融企业来说,安全从未像现在这样重要,谁也不愿意在“银行卡密码被盗”的银行里开户。越是经济危机,企业对于数据、信息保密更为重视。随着3G技术的普及与应用,移动设备真正成为运行各类新应用的“平台”,移动安全问题很快就会出现。

调查显示,从2003到2008年,网络安全行业的就业需求将以年均14%的速度递增。无论是职业前景、受重视程度、提升空间还是薪酬基数、薪酬增长预期等,网络安全职业较IT其他职业都更为优越。这从侧面说明了网络安全重要性的日益增强,“整个企业领域逐渐认识到网络安全的重要性”。

从目前国内各企事业单位的IT技术人员需求来看,信息安全技术人员十分匮乏。专业的反病毒工程师还是国内IT人才架构中的一个空白。随着信息安全受到社会各界越来越多的关注,以及电脑病毒危害的频频发生,从反病毒软件的安装、调试、维护到日常使用,都需要具备一定安全技能的技术人员来实施。

1.2高校信息安全专业分析

信息安全已经发展成为一个综合、交叉的学科领域,它需要综合利用计算机、通信、微电子、数学、物理和生化技术等诸多学科的长期知识积累和最新研究成果。信息安全也是一个复杂的系统工程,它涉及到信息基础建设、网络与系统的构造、信息系统与业务应用系统的开发、信息安全的法律法规、安全管理体系等,信息安全技术涉及到信息技术的各个层面。由此而形成的信息安全学,是研究信息、信息系统及信息应用领域的信息安全防护问题的一门新兴的应用学科。该学科交叉性、边缘性强,应用领域面宽,是一个庞大的学科群体系。信息安全学科建设,不同于其他传统学科的建设,该学科群体系由核心学科群、支撑学科群和应用学科群三部分构成,是一个“以信息安全学为核心,以信息技术学、信息工程学和信息管理学为支撑,以国家和社会各领域信息安全防护为应用方向”的跨学科的交叉性学科群体系。当前,信息安全学科的主要研究领域涉及密码理论和技术、安全协议理论和技术、安全体系结构理论和技术、信息分析和监控理论和技术、信息安全系统、信息对抗理论和技术等方面,各部分都提供应用功能,相互间协同工作形成有机整体。

目前我国只有20余所高等院校开设了本科层次的信息安全专业,而且由于信息安全学科体系的建设还没有建立起来,尚未形成完整的信息安全人才培养教育体系,所以大部分培养的人才仍停留在技术防护的层面,不能涵盖信息安全的主要内容,这不仅造成金融、商业、公安部门、军事部门和政府部门对信息安全人才很大缺口,而且不可能培养出全面担负维护国家和社会信息安全防护重任的人才。所以,大力推动信息安全本科教育,进一步完善信息安全学科人才培养的教育体系,满足社会需求迫在眉睫。

2信息安全教学现状分析

我国现有的信息安全人才培养的教学模式还主要是以授课为主、实验为辅。

具体有以下特点:

(1) 偏重理论知识的传授,不太强调实践能力的培养。信息安全教育不仅要求教学实践能够提高学生对于理论的认识,而且也强调学生的实践能力。虽然信息安全的基础是各种信息技术,但在这个领域中,工程应用占了相当的分量。因此,信息安全教育需要培养大量直接面向工程应用的人才。相应地,信息安全实验教学强调实践操作能力的培养。

(2) 实验内容单一并且没有有机组织这些单一实验形成综合性、大规模的实验。虽然这能够满足传统学科解决特定问题或者强调特定知识的教学需要,但信息安全是一个跨学科、跨领域、多技术的特殊学科,信息安全专业技术人员经常需要解决综合性问题,这就需要他们具有综合的安全技能。因此在培养上,就应当以综合性、整体性强的实验为主。

(3) 实验环境简单,无法模拟真实环境下复杂的系统。信息安全技术在实际应用中需要许多高技术含量、价格昂贵的专用设备,包括防火墙、IDS、IPS、安全网关、存储设备、网络测试仪,等等,这些设备少则几万,动辄几十万,而且对于教学来说,仅仅一两套设备也满足不了学生的需要。这也直接导致信息安全实验环境脱离真实环境。

3基于项目管理方式的实验教学模式

3.1项目及项目管理

按照美国项目管理协会(Project Management Institute简称PMI)的定义,项目是为创造特定产品或服务的一项有时限的任务,是一个组织为实现既定的目标,在一定的时间、人员和其他资源的约束条件下,所开展的一种有一定独特性的、一次性工作。不论是盈利性还是非盈利性的专业项目,其内容可以说是千差万别,但都具有目的性、独特性、一次性和制约性等共同特征。一个大项目中可以包括若干个单项项目,每个单项项目中又可以包括若干个子项目。

为了满足或超越项目有关各方对项目的需求与期望而运用各种知识、技能、方法和工具开展各种管理活动,就是项目管理。PMI认为项目管理就是把各种知识、技能、手段和技术应用于项目中,以达到人们的需要和期望。PMI把项目管理的内容划分为9个知识领域:范围管理、时间管理、成本管理、质量管理、人力资源管理、沟通管理、采购管理、风险管理和整体管理。其中项目负责人较为重视的是项目的进度控制、质量控制和成本控制。

当前,现代项目管理理论与方法已经广泛应用到了社会生产与生活的各个方面,从工程项目到科技开发,从组织变革到社会服务等都被看作是项目并按照项目管理的方法去管理与实施。我们近年来在信息安全专业进行项目管理教学模式的探索就是来自现代项目管理的经验。

4教学模式

基于项目管理的教学活动就是通过实施一个完整的项目而进行的教学活动。教师将需要解决的问题或完成的任务以项目的形式交给学生,以项目组工作方式,由学生自己按照企业运作的完整程序,制定项目计划、分角色完成整个项目。学生可以在项目实践过程中,理解和把握课程要求的知识和技能,体验企业管理与经营的艰辛与乐趣,培养分析问题和解决问题的能力及团队合作能力等,熟悉公司运作的方法。教师成功实施项目教学时,学生的学习积极性会被极大地激发,自觉地学习,并高质量地完成项目。也可以让学生在实验环境下,自行选择感兴趣的项目,开拓思维,创新并实践,这也有利于培养学生尽早加入到信息安全课题的研究当中。在项目的教学实施中,要注意把握“三个中心”,即由以教师为中心转变为以学生为中心、由以知识为中心转变为以实践为中心、由以课本为中心转变为以项目为中心。

以下从学习环境设计和创建,团队建设,角色定义,考核机制,课程流程,和项目模拟方面来具体描述基于项目管理的教学活动模式。

4.1学习环境建设

基于项目管理的教学活动需要在合作的环境下进行。实验室的设计考虑到项目教学的学习空间要求。

实验室分为教师区和学生区两大部分。教师区用来讲解、演示和示范等;学生区是进行项目管理模拟主要场所。

4.2团队建设

针对信息安全学科的特殊性,即跨领域、重实践。在教学过程中,不能一味要求学生精通每一项技术,这也是不现实的,在以后的工作学习过程中,更多的时候需要在合作的环境下进行。将学生以团队的形式分组,模拟企业在项目开发当中的各个环节,并以项目管理的方式合理分配人力资源,强调团队合作精神,使项目团队的运行效率达到最大。

在基于项目管理教学的实施中,第一步就是进行团队建设,教学开始前进行分组。图1表示出了一种常用的沙盘式教学方法。

图1项目组的组成

一个班可分为6个项目组,先选出项目经理6人,然后由项目经理选择成员组成团队。最后由团队成员确认队歌和队名。当然每次项目学生组合的方式可以不一样,这样每个人都有充分锻炼的机会。

4.3角色定义

团队建设完毕,各小组成员需要根据项目任务内容进行分工。整个项目成员的角色定位如图2所示。

图2项目团队建设方案

项目经理确保项目目标实现,制定项目阶段性目标和项目总体控制计划。项目总目标一经确定,项目经理的职责之一就是将总目标分解,划分出主要工作内容和工作量,定期组织成员召开会议,商讨如何完成项目。项目工程师指导技术人员按设计规范、操作规程组织施工,并进行质量、进度把关控制。市场部经理职责协调部门内部和其他部门之间的合作关系。文档管理职责负责项目的每次会议记录,项目的重大变更,知识及工具的收集和记录。由此可见各角色定位是不一样的。

4.4考核机制

基于项目管理的教学,如何考核是一个重要课题。本教学方案引入虚拟币的机制作为项目考核。

每个项目组初始分有200块的虚拟币,作为启动资金。每次根据项目完成情况,赚的相应的钱,如果有违规行为,教师罚款。各个项目组之间可以自由交易,最后看哪个项目组赚的钱多,则为优胜。若有的项目组破产的了,就宣布该项目组倒闭。图3示出了项目考核机制。

图3项目考核机制

除了虚拟币考核,项目管理模拟中还引入例会制度。要求学生记录和呈现学习成果进行,输出文档为会议记录、资金流向表、项目任务书,等等。这些材料将成为考核成绩的部分依据。

4.5课程流程

我们的教学活动基本流程如下(从18:00到20:25):

(1) 团队组建、角色定义。(30分钟)

(2) 教师宣布此次项目任务,由项目经理来领取项目文档要求,并由全体项目成员分析讨论,确定此次项目如何实施,并于20分钟后由各个项目组讲解。(25分钟)

(3) 各个项目组讲解每个项目完成的思路和方法,每组3分钟,共18分钟,项目中需要体现出攻击与防御的思想和方法。(20分钟)

(4) 各个项目组完成自己的项目任务。教师参与期间的解答和协调工作。(45分钟)

(5) 各项目组互相沟通和交流。(10分钟)

(6) 教师作最后的全面点评,各个项目组文档的整理和归档。(5分钟)

4.6项目模拟

项目的设计和选用是基于项目管理的教学能否成功的重要环节。总的来说,本改革设计两大类项目:一是按照实际企业情况进行办公系统、业务系统、商务系统等进行安全平台的项目模拟,给学生用以了解企业实际安全状况,并学会如何进行安全设计、安全需求分析等。二是按照实际公司情况进行目标公司网络设计和网络设备配置项目实施、网络安全评估、网络安全分析等项目模拟。

项目类实验设计主要让学生了解现代企业的运作模式,不同行业客户的安全情况是怎样的?如何评估客户的安全需求(软件、硬件)?如何配置安全软硬件?等等。项目类实验设计也让学生了解现代企业的网络安全环境,不同的客户从给你一个房间开始,让你根据需求进行设计不同的网络拓扑、安全配置、进行布线等完成一个网络安全工程。

总之,项目类实验能切入到现代企业实际环境中去,模拟不同企业安全环境的搭建,安全系统的设计等,让学生了解如何运用自己所学知识,为企业服务。让学生了解到课本知识和实际运用之间的关系,拉近理与实践的距离。

一般说来,网络安全项目可分为攻击类,安全防御类和综合类。

(1) 攻击类项目

攻击类项目的设计主要是为了学生直观的了解现代病毒、黑客技术的情况,通过实验的操作可以知道病毒、黑客入侵的状态,并对这些技术的低层代码进行研究,从而寻找一些可以克制他们发生的方式方法。

(2) 安全防御类项目

安全防御类项目的设计主要是为了学生了解现代的安全防御设备的操作方法和工作原理,通过对它们的实验学习,可以了解它们是如何对黑客攻击、病毒入侵等进行防范的。

(3) 综合类项目

综合类项目主要是模拟现代企业在遭受网络攻击时,我们如何进行现代企业的网络安全防御。模拟现代企业的网络拓扑情况,进行网络拓扑的安全分析,进行安全评估,自行设计企业的网络拓扑进行安全规划和设计。

以上从各个环节介绍了基于项目管理的信息安全实验教学方式。基于项目管理的教学效果取决于处理好以上环节和流程。

5总结

本文探讨了应用项目管理模式到信息安全实验教学之中的理论和经验。通过大连理工大学软件学院信息安全的实践教学评估,这种教学方法获到了很好的效果。本教改的基本思想是让学生不仅能学到实验的基本知识,还要通过该实验来获得项目管理知识,学到团队的协作能力。课程不再是普遍理论的复制而是特定的个人的事情,也不再是一成不变的结果而更多地是一种过程。特别是,由于职业化教育的多样性导致所面临所要解决的问题具有不一致、不确定、不稳定和独特性的特点,只有情境化、具体化,才能运用直觉和相关知识让学习者融于具体的情景之中,从而较好地将学习者从“混沌”状态解脱出来。项目管理模式下的信息安全教学就是这种融合了教学内容、教学手段和方法、实训三位一体的教学理念。以学生为中心,老师为辅导进行引导教学,把老师从繁重教学任务中解放出来,在整个教学过程中起到监督课程进行、对学生学习过程进行评价的作用。基于工作过程的课程开发思想,进行角色扮演性学习,增强了学生团队合作的能力,了解企业项目管理的方式,并通过项目深入了解信息安全学科的特点及知识,让学生更能够对所学的理论知识进行实践应用,让其在学习的过程中就进行了职业习惯的训练,从而为今后的工作、学习起到启发与推动作用。

参考文献:

[1] 王昭顺.“信息安全”本科专业人才培养的研究[J]. 计算机教育,2006(10):73-75.

[2] 王伟平,杨路明. 信息安全人才需求与专业知识体系、课程体系的研究[J]. 北京电子科技学院学报,2006,14(1):47-49.

[3] PMI. 项目管理知识体系指南[M]. 北京: 电子工业出版社,2004.

[4] 王世安.虚拟公司项目管理式教学模式的探讨[J],职业与教育,2007(11):70-71.