对信息安全的理解范文

对信息安全的理解篇1

关键词：信息安全；等级保护；等级测评；实践教学；综合实训

DOIDOI：10.11907/rjdk.161717

中图分类号：G434

文献标识码：A文章编号文章编号：16727800（2016）009017303

基金项目基金项目：贵州省科技厅社发攻关项目（黔科合SY字2012-3050号）；贵州大学自然科学青年基金项目（贵大自青合字2010-026号）；贵州大学教育教学改革研究项目（JG2013097）

作者简介作者简介：张文勇（1973-），男，贵州台江人，硕士，贵州大学计算机科学与技术学院讲师，研究方向为网络与信息安全；李维华（1961-），男，贵州贵阳人，贵州大学计算机科学与技术学院高级实验师，研究方向为网络与信息安全；唐作其（1980-），男，贵州兴义人，硕士，贵州大学计算机科学与技术学院副教授，研究方向为信息安全保障体系。

0引言

信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法，开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。信息安全学科要求学生不仅要具备很强的理论知识，更应具备较强的实践能力。现阶段很多高校在理论教学上有较好的培养方法和模式，学生具备良好的理论基础，但在实践教学中由于各课程的衔接和关联较少，尽管部分学校开设了信息安全实训或信息安全攻防实践等课程，但基本都是做一些单元实验，仅局限于某一方面的技能训练，没有从全局、系统的角度去培养学生综合运用各种信息安全知识解决实际问题的能力[15]。从贵州大学信息安全专业毕业生就业情况调查反馈信息来看，绝大多数毕业生主要从事企事业单位的信息安全管理、信息安全专业服务等工作，少数毕业生从事信息安全产品研发，或继续硕士博士深造，从事信息安全理论研究。用人单位普遍反映学生的基本理论掌握相对较好，但实际操作技能、综合分析能力欠缺。为了解决目前这种状况，笔者根据长期从事信息安全等级保护项目实施工作实践，提出在信息安全专业的实践教学环节中引入信息安全等级保护相关内容。

1信息安全等级保护对学生能力培养的作用

信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查5个阶段，信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护的知识体系完善，信息安全等级保护测评人员的技术要求涵盖多个方面，包括物理环境、主机、操作系统、应用安全、安全设备等，因此国家对于信息安全等级保护人员的技术要求十分综合和全面[3]。如参照信息安全等级保护专业人员的技术要求对学生开展信息安全综合实训将满足社会对信息安全专业人员的技能和知识结构要求，主要体现在以下4个方面：①培养学生了解国家关于非信息系统保护的基本方针、政策、标准；②培养学生掌握各种基本信息安全技术操作技能，熟悉各种信息系统构成对象的基本操作，为将来快速融入到信息安全保护实践工作奠定基础；③培养学生具备从综合、全面的角度去规划、设计、构建符合国家信息安全保障体系要求的信息安全防护方案能力；④培养学生建立信息安全等级保护的基本意识，在工作实践中自觉按国家信息安全等级保护要求开展工作，有利于促进国家信息安全等级保护政策实施。

2实训教学知识体系

信息安全等级保护的相关政策和标准是信息安全实训教学体系建立的基本依据，GB/T 22239-2008《信息安全等级保护基本要求》在信息安全等级保护标准体系中起基础性作用。信息安全等级保护基本要求充分体现了“全面防御，纵深防御”的理念，遵循了“技术和管理并重”的基本原则，而不同级别的业务信息系统在控制点要求项上的区别体现了“适度安全”的根本原则[6]。信息安全保护测评是信息安全等级保护的一项重要基础性工作，GB/T 28449-2012《信息安全等级保护测评过程指南》是对等级测评的活动、工作任务以及每项任务的工作内容作出了详细建议，等级测评中的单元测评、整体测评、风险分析、问题处置及建议环节体现了测评工程师对等保项目基本安全保障情况的综合分析能力[610]。信息安全等级保护知识体系庞大，不可能兼顾所有方面，因而在信息安全实训教学知识体系制订中采用兼顾全局、突出重点的基本原则；在实训教学知识体系的构成中重点以《信息安全等级保护基本要求》和《信息安全等级保护测评过程指南》为基础，包括基本理论培训、基本技能实训、安全管理培训、能力提高实训四大模块；在实际操作中将重点放在基本技能实训和能力提高实训上。各实训模块构成及关系如图1所示。

3实训教学实施

教学实施依据实训教学知识体系进行，教学方式采用集中课堂基本理论教学、在信息系统模拟平台实施现场测评数据采集的基本操作实训和以信息安全等级保护测评报告的编写为基础的数据分析、数据整理、安全方案编写实训。

3.1基本理论教学

该环节采用集中课堂教学方式，讲解的主要内容是信息安全等级保护政策和标准。讲解深度上应有所侧重，讲解重点包括：①信息安全等级保护基本要求中层面的划分原则和依据、控制点的构成、控制点中要求项的解读；②信息安全保护过程指南中单元测评、整体测评、风险分析、问题处置和建议等部分的解读。

理论教学在突出重点的同时，兼顾全局，让学生对信息安全等级保护制度和标准有一个完整、清晰的认识。

3.2基本技能实训

基本技能实训环节主要是强化学生各种信息安全技术的基本操作训练。首先，应根据最真实的企业内部环境搭建符合信息安全等级保护要求的模拟信息系统，并编写好对应的信息安全等级保护现场测评指导书；然后，指导学生在模拟系统上进行现场测评实训，实训过程按信息安全等级保护现场测评指导书要求进行，实训内容以获取信息系统安全配置和运行状态等原始数据为基础。基本技能实训模块包括网络安全、主机安全、应用安全、数据备份及恢复、自动化工具扫描这5个层面的训练项目。

（1）网络安全。学生在模拟平台上开展各种主流的网络设备和安全设备的基本操作训练，要求学生理解网络设备和安全设备的安全功能及安全设置，掌握设备的运行状态和信息数据采集方法。

（2）主机安全。学生在模拟平台上开展各种主流系统软件基本操作训练，包括操作系统、数据库系统、中间件等，要求学生理解各种系统软件的安全功能和安全设置。通过本环节的实训，学生应具备系统软件安全配置核查和运行状态信息采集能力。

（3）应用安全。学生在模拟平台上对所安装的主流商用应用软件和自主开发软件进行安全配置核查和安全功能验证训练，要求学生理解应用软件的安全功能设计要求，掌握应用软件的安全配置核查和安全功能验证方法。

（4） 数据备份和回复。通过模拟系统的磁盘冗余阵列进行基本操作训练，让学生了解磁盘冗余阵列的验证方法；通过训练学生在操作系统和数据库管理系统上配置计划备份任务，使其理解系统软件的数据备份安全功能，掌握系统软件的备份操作计划配置和验证方法。

（5）自动化工具扫描。学生利用主流的开源扫描工具和商用的扫描工具对模拟系统上的网络设备、安全设备、服务器主机等进行扫描，获取信息系统主要软硬件的漏洞，并验证系统的脆弱性。本部分获取的原始数据作为（1）、（2）、（3）部分的补充，通过本环节培训学生整理和分析漏洞扫描结果以及初步验证漏洞真实性的能力。

3.3能力提高实训

在学生掌握信息系统安全配置和运行状态数据采集的基本技能后实施能力提高实训，本模块主要培训学生对原始数据的分析、整理，并编写信息安全等级保护测评报告的能力。能力提高实训模块主要包括单元测评、整体测评、风险分析、问题处置和安全建议4个项目，各项目之间的关系流程如图2所示。

（1）通过基本技能实训获取到原始数据后，根据信息安全等级保护测评过程要求整理、分析原始数据，开展单元测评，并给出各单元层面内控制点中检查项的符合性，分析并给出单元测评结果，按信息安全等级保护报告模板编写单元测评报告。

（2）在完成单元测评后，由于单元测评参照的信息相对独立，未考虑原始数据间的关联性，而实际信息系统的最终安全防护效力和面临的风险是信息系统安全控制点间、安全层面间、安全区域间各组成要素共同作用的结果，因此在完成单元测评后还应该进行整体测评。整体测评主要是考虑单元测评中的各控制点间、安全层面间、安全区域间存在某种关联性，这种关联会对信息系统整体的安全防护效力、面临的风险具有降低或增加的作用，应从整体角度对信息系统安全的状态进行修正。

（3）风险分析结果是制订信息安全系统防护措施的重要依据，风险分析能力是体现信息安全工程师水平的一项重要指标。在风险分析实训项目中结合单元测评和整体测评结果利用风险分析计算工具对信息系统面临的风险等级大小进行定性或定量的分析计算，并编写风险分析报告。

（4）确定信息系统存在的风险后，接着应分析引起信息系统风险的因素，对不可接受风险因素或不能满足等级保护要求的安全防护项提出完整的问题处置和整改建议。问题处置和整改建议环节要求信息安全工程技术人员具备扎实理论知识的同时还具备相当丰富的实践经验，工程技术人员必须熟悉信息安全的各种防护技术和目前市场上相关的信息安全软硬件安全产品。因此，本实训项目主要是训练并提高学生综合运用信息安全技术解决实际问题的能力。

4结语

在信息安全专业的实践教学中引入信息安全等级保护内容，实训教学知识体系完全参照信息安全等级保护要求来构建，信息安全等级保护知识体系完善，保证了实训内容的广度和深度。通过信息安全等级保护现场测评环节训练学生的信息安全技术基本操作技能，通过信息安全等级保护测评报告的编制训练学生运用信息安全等级保护基本知识、理论和方法去分析信息系统存在的漏洞、面临的安全风险，并编制符合信息安全等级保护要求的安全防护方案，提高学生综合运用信息安全技术解决实际问题的能力，较好地满足了社会对信息安全人才的需求，深受信息安全等级保护技术服务机构和已开展或拟开展信息系统安全等级保护的企事业及机关单位的欢迎，为学生毕业后尽快适应工作要求奠定了基础。

由于实验环境的限制，所制订的基于信息安全等级保护的实训教学知识体系仍存在以下3点不足：①实训教学体系未涉及虚拟化、云计算、物联网安全实训，而这些是当前发展较快且正被广泛运用的信息技术；②由于渗透测试对测试环境搭建和学生基本技能要求较高，因而实训教学体系中并未涉及渗透测试项目；③信息安全管理在信息安全防护工作中是非常重要但却最容易被忽视的工作内容，可以说一个组织的信息安全管理水平高低直接决定其信息系统的安全防护能力。因为安全管理测评基本上采用的是制度类、证据类、记录类文档性资料的核查和访谈，而在实训中难以模拟一个完整的安全管理体系实际案例，所以在实训中安全管理部分更多地是采用课堂教学讲解，没有操作实训。 这些在后续教学实践工作中都有待改进。

参考文献参考文献：

[1]杨冬晓，严晓浪，于慧敏.信息类特色专业建设的若干实践[J].中国电子教育，2010（1）：3945.

[2]田秀霞.创新实践项目驱动的信息安全专业教学改革[J].计算机教育，2015（23）：3033.

[3]张胜生，吕绪银.基于信息安全场景下的等级保护技术人才培养模式研究[C].第二届全国信息安全等级保护测评体系建设会议论文集，2012：8385.

[4]李琳，陈东方，李涛，等.信息安全专业实践教学体系研究[J].电脑知识与技术.2014，10（35）：85148515.

[5]蒋炜.信息安全等级保护培训探讨[J].现代企业研究，2015（2）：64.

[6]公安部信息安全等级保护评估中心.信息安全等级保护政策培训教程[M].北京：电子工业出版社，2015.

[7]公安部信息安全等级保护评估中心.信息安全等级测评师培训教程（中级） [M].北京：电子工业出版社，2015.

[8]公安部信息安全等级保护评估中心.信息安全等级测评师培训教程（初级） [M].北京：电子工业出版社，2015.

[9]国家质量监督检验检疫总局、国家标准化管理委员会. GB/T284882012.信息系统安全等级保护测评要求[S].北京：中国质检出版社，中国标准出版社，2012.

对信息安全的理解篇2

关键词 中小企业 信息安全 技术 认证

在企业的管理信息系统中有众多的企业文件在流转，其中肯定有重要性文件，有的甚至涉及企业的发展前途，如果这些信息在通过网络传送时被竞争对手或不法分子窃听、泄密、篡改或伪造，将会严重威胁企业的发展，所以，中小企业电子信息安全技术的研究具有重要意义。

一、中小企业的信息化建设意义

在这个网络信息时代，企业的信息化进程不断发展，信息成了企业成败的关键，也是管理水平提高的重要途径。如今企业的商务活动，基本上都采用电子商务的形式进行，企业的生产运作、运输和销售各个方面都运用到了信息化技术。如通过网络收集一些关于原材料的质量、价格、出产地等信息来建立一个原材料信息系统，这个信息系统对原材料的采购有很大的作用。通过对数据的分析，可以得到更多地采购建议和对策，实现企业电子信息化水准。有关调查显示，82%的中小企业对网站的应还处于宣传企业形象，产品和服务信息，收集客户资料这一阶段，而电子商务这样关系到交易的应用还不到四分之一，这说明企业还未充分开发和利用商业渠道信息。中小企业信息化时代已经到来，企业应该加快信息化的建设。

二、电子信息安全技术阐述

1.电子信息中的加密技术。加密技术能够使数据的传送更为安全和完整，加密技术分为对称和非对称加密两种。其中对称加密通常通过序列密码或者分组机密来实现，包括明文、密钥、加密算法以及解密算法等五个基本组成成分。非对称加密与对称加密有所不同，非对称加密需要公开密钥和私有密钥两个密钥，公开密钥和私有密钥必须配对使用，用公开密钥进行的加密，只有其对应的私有密匙才能解密。用私有密钥进行的加密，也只有用其相应的公开密钥才能解密。

加密技术对传送的电子信息能够起到保密的作用。在发送电子信息时，发送人用加密密钥或算法对所发的信息加密后将其发出，如果在传输过程中有人窃取信息，他只能得到密文，密文是无法理解的。接受着可以利用解密密钥将密文解密，恢复成明文。

2.防火墙技术。随着网络技术的发展，一些邮件炸弹，病毒木马和网上黑客等对网络的安全也造成了很大的威胁。企业的信息化使其网络也遭到同样的威胁，企业电子信息的安全也难以得到保证。针对网络不安全这种状况，最初采取的一种保护措施就是防火墙。在我们的个人电脑中防火墙也起到了很大的作用，它可以阻止非黑客的入侵，电脑信息的篡改等。

3.认证技术。消息认证和身份认证是认证技术的两种形式，消息认证主要用于确保信息的完整性和抗否认性，用户通过消息认证来确认信息的真假和是否被第三方修改或伪造。身份认证使用与鉴别用户的身份的，包括识别和验证两个步骤。明确和区分访问者身份是识别，确认访问者身份叫验证。用户在访问一些非公开的资源时必须通过身份认证。比如访问高校的查分系统时，必须要经过学号和密码的验证才能访问。高校图书馆的一些资源要校园网才能进行访问，非校园网的不能进入，除非付费申请一个合格的访问身份。

三、中小企业中电子信息的主要安全要素

1.信息的机密性。在今天这个网络时代，信息的机密性工作似乎变得不那么容易了，但信息直接代表着企业的商业机密，如何保护企业信息不被窃取、篡改、滥用以及破坏，如何利用互联网进行信息传递又能确保信息安全性已成为各中小企业必须解决的重要问题。

2.信息的有效性。随着电子信息技术的发展，各中小企业都利用电子形式进行信息传递，信息的有效性直接关系的企业的经济利益，也是个企业贸易顺利进行的前提条件。所以要排除各种网络故障、硬件故障，对这些网络故障带来的潜在威胁加以控制和预防，从而确保传递信息的有效性。

3.信息的完整性。企业交易各方的经营策略严重受到交易方的信息的完整性影响，所以保持交易各方的信息的完整性是非常重要对交易各方都是非常重要的。在对信息的处理过程中要预防对信息的随意生成、修改，在传送过程中要防止信息的丢失，保持信息的完整性是企业之间进行交易的基础。

四、解决中小企业中电子信息安全问题的策略

1.构建中小企业电子信息安全管理体制。解决信息安全问题除了使用安全技术以外，还应该建立一套完善的电子信息安全管理制度，以确保信息安全管理的顺利进行。在一般中小企业中，最初建立的相关信息管理制度在很大程度上制约着一个信息系统的安全。如果安全管理制度出了问题，那么围绕着这一制度来选择和使用安全管理技术及手段将无法正常进行，信息的安全性就得不到保证。完善，严格的电子信息安全管理制度对信息系统的安全影响很大。在企业信息系统中，如果没有严格完善的信息安全管理制度，电子信息安全技术和相关的安全工具是不可能发挥应有的作用的。

2.利用企业的网络条件来提供信息安全服务。很多企业的多个二级单位都在系统内通过广域网被联通， 局域网在各单位都全部建成，企业应该利用这种良好的网络条件来为企业提供良好的信息安全服务。通过企业这一网络平台技术标准，安全公告和安全法规，提供信息安全软件下载，安全设备选型，提供在线信息安全教育和培训，同时为企业员工提供一个交流经验的场所。

3.定期对安全防护软件系统进行评估、改进。随着企业的发展，企业的信息化应用和信息技术也不断发展，人们对信息安全问题的认识是随着技术的发展而不断提高的，在电子信息安全问题不断被发现的同时，解决信息安全问题的安全防护软件系统也应该不断的改进，定期对系统进行评估。

总之，各中小企业电子星系安全技术包含着技术和管理以及制度等因素，随着信息技术的不断发展，不仅中小企业办公室逐渐趋向办公自动化，而且还确保了企业电子信息安全。

参考文献

[1]温正卫.信息安全技术在电子政务系统中的应用[J].软件导刊，2010.

[2]闫兵.企业信息安全概述及防范[J].科学咨讯，2010.

[3]江文.浅谈电子商务的信息安全及技术研究现状与趋势[J].经济与社会发展，2010.

对信息安全的理解篇3

论文摘要：随着我国信息技术的不断发展，对中小企业电子信息安全的保护问题也成为人们关注的焦点。本文以电子信息安全为主体，介绍中小企业信息化建设，对电子信息安全技术进行概述，提出主要的安全要素，找出解决中小企业中电子信息安全问题的策略。

在企业的管理信息系统中有众多的企业文件在流转，其中肯定有重要性文件，有的甚至涉及到企业的发展前途，如果这些信息在通用过网络传送时被竞争对手或不法分子窃听、泄密、篡改或伪造，将会严重威胁企业的发展，所以，中小企业电子信息安全技术的研究具有重要意义。

一、中小企业的信息化建设意义

在这个网络信息时代，企业的信息化进程不断发展，信息成了企业成败的关键，也是管理水平提高的重要途径。如今企业的商务活动，基本上都采用电子商务的形式进行，企业的生产运作、运输和销售各个方面都运用到了信息化技术。如通过网络收集一些关于原材料的质量，价格，出产地等信息来建立一个原材料信息系统，这个信息系统对原材料的采购有很大的作用。通过对数据的分析，可以得到跟多的采购建议和对策，实现企业电子信息化水准。有关调查显示，百分之八十二的中小企业对网站的应还处于宣传企业形象，产品和服务信息，收集客户资料这一阶段，而电子商务这样关系到交易的应用还不到四分之一，这说明企业还未充分开发和利用商业渠道信息。中小企业信息化时代已经到来，企业应该加快信息化的建设。

二、电子信息安全技术阐述

1、电子信息中的加密技术

加密技术能够使数据的传送更为安全和完整，加密技术分为对称和非对称加密两种。其中对称加密通常通过序列密码或者分组机密来实现，包括明文、密钥、加密算法以及解密算法等五个基本组成成分。非对称加密与对称加密有所不同，非对称加密需要公开密钥和私有密钥两个密钥，公开密钥和私有密钥必须配对使用，用公开密钥进行的加密，只有其对应的私有密匙才能解密。用私有密钥进行的加密，也只有用其相应的公开密钥才能解密。

加密技术对传送的电子信息能够起到保密的作用。在发送电子信息时，发送人用加密密钥或算法对所发的信息加密后将其发出，如果在传输过程中有人窃取信息，他只能得到密文，密文是无法理解的。接受着可以利用解密密钥将密文解密，恢复成明文。

2、防火墙技术

随着网络技术的发展，一些邮件炸弹，病毒木马和网上黑客等对网络的安全也造成了很大的威胁。企业的信息化使其网络也遭到同样的威胁，企业电子信息的安全也难以得到保证。针对网络不安全这种状况，最初采取的一种保护措施就是防火墙。在我们的个人电脑中防火墙也起到了很大的作用，它可以阻止非黑客的入侵，电脑信息的篡改等。

3、认证技术

消息认证和身份认证是认证技术的两种形式，消息认证主要用于确保信息的完整性和抗否认性，用户通过消息认证来确认信息的真假和是否被第三方修改或伪造。身份认证使用与鉴别用户的身份的，包括识别和验证两个步骤。明确和区分访问者身份是识别，确认访问者身份叫验证。用户在访问一些非公开的资源时必须通过身份认证。比如访问高校的查分系统时，必须要经过学号和密码的验证才能访问。高校图书馆的一些资源要校园网才能进行访问，非校园网的不能进入，除非付费申请一个合格的访问身份。

三、中小企业中电子信息的主要安全要素

1、信息的机密性

在今天这个网络时代，信息的机密性工作似乎变得不那么容易了，但信息直接代表着企业的商业机密，如何保护企业信息不被窃取，篡改，滥用以及破坏，如何利用互联网进行信息传递又能确保信息安全性已成为各中小企业必须解决的重要问题。

2、信息的有效性

随着电子信息技术的发展，各中小企业都利用电子形式进行信息传递，信息的有效性直接关系的企业的经济利益，也是个企业贸易顺利进行的前提条件。所以要排除各种网络故障、硬件故障，对这些网络故障带来的潜在威胁加以控制和预防，从而确保传递信息的有效性。

3、信息的完整性

企业交易各方的经营策略严重受到交易方的信息的完整性影响，所以保持交易各方的信息的完整性是非常重要对交易各方都是非常重要的。在对信息的处理过程中要预防对信息的随意生成、修改，在传送过程中要防止信息的丢失，保持信息的完整性是企业之间进行交易的基础。

四、解决中小企业中电子信息安全问题的策略

1、构建中小企业电子信息安全管理体制

解决信息安全问题除了使用安全技术以外，还应该建立一套完善的电子信息安全管理制度，以确保信息安全管理的顺利进行。在一般中小企业中，最初建立的相关信息管理制度在很大程度上制约着一个信息系统的安全。如果安全管理制度出了问题，那么围绕着这一制度来选择和使用安全管理技术及手段将无法正常进行，信息的安全性就得不到保证。完善，严格的电子信息安全管理制度对信息系统的安全影响很大。在企业信息系统中，如果没有严格完善的信息安全管理制度，电子信息安全技术和相关的安全工具是不可能发挥应有的作用的。

2、利用企业的网络条件来提供信息安全服务

很多企业的多个二级单位都在系统内通过广域网被联通， 局域网在各单位都全部建成，企业应该利用这种良好的网络条件来为企业提供良好的信息安全服务。通过企业这一网络平台技术标准，安全公告和安全法规，提供信息安全软件下载，安全设备选型，提供在线信息安全教育和培训，同时为企业员工提供一个交流经验的场所。

3、定期对安全防护软件系统进行评估、改进

随着企业的发展，企业的信息化应用和信息技术也不断发展，人们对信息安全问题的认识是随着技术的发展而不断提高的，在电子信息安全问题不断被发现的同时，解决信息安全问题的安全防护软件系统也应该不断的改进，定期对系统进行评估。

总之，各中小企业电子星系安全技术包含着技术和管理，以及制度等因素，随着信息技术的不断发展，不仅中小企业办公室逐渐趋向办公自动化，而且还确保了企业电子信息安全。

参考文献：

[1]温正卫；信息安全技术在电子政务系统中的应用[J]；软件导刊，2010

[2]闫兵；企业信息安全概述及防范[J]；科学咨讯，2010

[3]江文；浅谈电子商务的信息安全及技术研究现状与趋势[J]；经济与社会发展，2010

对信息安全的理解篇4

关键词：计算机教育；中职学生；信息安全教学；教学策略

我国的各个中职院校都已经开设了计算机教育课程，其中不管有计算机的简单应用，更包括计算机应用技术、计算机软件、网络以及信息安全技术等相关专业。但是在计算机相关课程上，并没有在教学中过多涉及到信息安全教学，除了专业的信息安全技术课程外，其他课程有在信息安全教育上有所欠缺，这也是中职院校计算机教学中的一个漏洞。在中职计算机教育中，有效开设信息安全课程，能够让中职学生对网络信息安全方面有较多的了解，让明确信息安全知识体系的情况下，可以更多地了解信息安全基本技术和相关理论，也能为我国信息安全培养更多的专业人才。

1中职院校信息安全教学简述

从我国中职计算机教育特点来看，其教学过程中并没有涉及到信息安全类教学内容，也很少有中职院校开设《信息技术基础》课程，这是不符合我国教育部所规定的计算机教学要求的。再从中职计算机教师看，也不会在计算机教学中讲述信息安全教育相关知识。不管是不是开设的信息安全教育课程，计算机教师都应该在计算机课程教学中有效融入信息安全知识，让学生在信息安全素养方面有所提升，有应的互联网安全意识，这是中职计算机教学中应该具有的基础教学知识。同时，从现在的社会来看，如果在计算机教学中没有涉及到信息安全知识，学生将会在日常生活中有所损失，对互联网安全不了解，就容易陷入网络信息安全困境中，造成不必要的损失。所以，在中职计算机教学中，应该有效开展信息安全教学，加强学生网络信息安全方面的意识，让计算机教学更有意义。

2中职信息的安全教学中应注意的问题

在中职院校开展信息安全教学，不光要重视理论性知识，更要重视教学中的实践环节，让信息安全教学更具有效性，让学生从多个角度对信息安全的含义有所掌握，所以在实际教学中应该注意安全技术的实际应用和创景化模拟教学。例如，在进行操作系统教学的时候，教师可以准备相关课件，内容涉及到操作系统的漏洞原理、信息病毒的传播、防范未见涉及，以及计算机系统安全保护原理等相关内容。教师还要通过实际讲解，让学生对计算机防毒软件的安装、系统补丁升级、系统病毒查杀以及文件保护等内容有所掌握，对计算机操作系统的维护技能有所了解，从而形成维护系统安全的习惯。同时，中职院校在进行网络相关课程教学时，教师应该和网络的应用情况相结合，对网络协议等安全性问题进行重点讲述，让学生对证书应用、防火墙配置等专业技能有所掌握，从而更好的防护网络安全。此外，还应在注意其他方面的信息安全教学优化，让信息安全教学更加全面化。首先，对教学知识性和趣味性的并重教学。从中职学生心理特点看，要对教学内容进行优化，让学生乐于接受，教师选择相对合理的知识切入点，并进行实际教学演练，让学生更直观的接受信息安全知识。比如，针对局域网上的ARP病毒，可以在课堂进行延时，能够在被攻击的机器上显示一些特定的能够让学生感兴趣的内容，通过点击链接，实现垃圾信息的传递等。由于这方面的攻击形式较为有趣，学生在上网浏览中经常见到，容易激发兴趣。其次，教学内容应该体现出一定的实用性。应该在具体的课堂中，进行必要的基本信息安全知识以及操作技能的传授。针对校园所用的Windows系统，应该保证学生掌握操作系统所涉及到的关键技术要点，培养良好的及时系统打补丁，防范主机病毒等习惯，并能针对重要文件进行定期备份。通过学习，应该能更深刻理解利用操作系统漏洞的部分计算机病毒，利用病毒特征，还可以反过来了解操作系统存在的问题，这样能够更好找到解决病毒的方法，通过安装特定的补丁或者服务禁用等，能够体现出学习中的较强实用性，了解相应的计算机攻击手段和方法。再次，在教学实践环节中，应该从学生的知识水平及接受能力出发。应该结合学生的实际掌握计算机能力的基础上，结合具体教学内容，不断激发在信息安全内容学习的兴趣，保证能够掌握必要的安全攻击防范内容，并没有要求掌握多种多样的攻击技能和特定技术，应该掌握必要的计算机应用技能即可，如需后续的开发需求，可以自行进行摄入学习，重点介绍先进的安全防范工具，既让学生能够理解必要的安全防护内容，又能掌握必要的安全防范工具的应用。比如，相关的网络防火墙、防病毒、木马软件等。对于基础较好的学生，还可以推荐开展内网管理软件的学习。最后，充分利用好现有的实现设备，能够将信息安全教育融入到计算机课程教学中。在进行信息安全知识教学中，应该利用引导式教学方法，通过结合实际的情境创设方式，不断激发学习兴趣，保证学生思路得到进一步的拓展。这里通过计算机课程中的“Win-dows操作系统”的教学实践为例进行说明，重点分析相关的信息安全教育的教学问题。

3注重信息安全法律法规的学习

在中职计算机教育中，还要注重信息安全职业道德教育。调查显示大部分威胁信息安全的因素是人们对信息安全法律法规淡薄和忽视。很多技术人员由于好奇或为了表现自己的才能进行信息犯罪。因此需要把信息安全的法律法规作为必须学习的内容，使学生明白哪些行为是信息犯罪，要承担相应的法律责任，从而自觉地遵守有关法律法规。

4结论

中职计算机教学中，有效加入信息安全教学有助于学生对计算机信息安全进行积极探索，让学生对网络信息安全有更多的了解，同时也能够满足社会信息化发展的需要。在中职计算机教学中，教师应该对信息安全知识进行不断的探索和总结，向学生传递更多有价值的学科知识，这也对教学能力有着更高的要求，有利于计算机教师时刻保持与时俱进的教学态度，有助于学生在计算机信息安全学习上学到更多的前沿知识，更有助于计算机信息安全教学方法的进一步创新和优化，让中职学生具备更高的信息安全素养。

参考文献

[1]教材编写委员会.信息安全职业技能培训教程[M].科学出版社，2016.

[2]白永祥.高职院校计算机相关专业开设信息安全课程的探讨[J].电脑知识与技术，2010（3）：838-839.

[3]郝彦军.论大学非信息安全专业信息安全公选课的开设[J].广东工业大学学报，2010（10）：26-28.

[4]刘益和.基于我院非信息安全专业的信息安全课程设置探讨[J].科教文汇，2010（3）：47-49.

[5]郭岗.计算机专业信息安全课程教学内容研究[J].洛阳师范学院学报，2011（8）：88-90.

对信息安全的理解篇5

关键词：信息安全；风险评估；脆弱性；威胁

一、前言

随着信息技术的飞速发展，信息系统依赖程度日益增强，采用风险管理的理念去识别安全风险，解决信息安全问题得到了广泛的认识和应用。信息系统主要分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以防范和化解风险。

二、网络信息安全的内容和主要因素分析

“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全，而从广义的角度考虑，还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。网络信息安全具有如下5个特征：

1、保密性：即信息不泄露给非授权的个人或实体。

2、完整性：即信息未经授权不能被修改、破坏。

3、可用性：即能保证合法的用户正常访问相关的信息。

4、可控性：即信息的内容及传播过程能够被有效地合法控制。

5、可审查性：即信息的使用过程都有相关的记录可供事后查询核对。

网络信息安全的研究内容非常广泛，根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。而通过有效的网络信息安全风险因素分析，就能够为此复杂问题的解决找到一个考虑问题的立足点，能够将复杂的问题量化，同时，也为能通过其他方法如人工智能网络方法解决问题提供依据和基础，网络信息安全的风险因素主要有以下6大类：

1、自然界因素，如地震、火灾、风灾、水灾、雷电等；

2、社会因素，主要是人类社会的各种活动，如暴力、战争、盗窃等；

3、网络硬件的因素，如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响；

4、软件的因素，包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等；

5、人为的因素，主要包括网络信息使用者和参与者的各种行为带来的影响因素，如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等；

6、其他因素，包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。

三、目前网络信息安全风险评估工作中急需解决的问题

信息系统涉及社会经济方方面面，在政务和商务领域发挥了重要作用，信息安全问题不单是一个局部性和技术性问题，而是一个跨领域、跨行业、跨部门的综合性安全问题。据统计，某省会城市各大机关、企事业单位中，有10%的单位出现过信息系统不稳定运行情况；有30%的单位出现过来自网络、非法入侵等方面的攻击；出现过信息安全问题的单位比例高达86%！缺少信息安全建设专项资金，信息安全专业人才缺乏，应急响应体系和信息安全测评机构尚未组建，存在着“重建设、轻管理，重应用、轻安全”的现象，已成为亟待解决的问题。

各部门对信息系统风险评估的重视程度与其信息化水平呈现正比，即信息化水平越高，对风险评估越重视。然而，由于地区差异和行业发展不平衡，各部门重视风险评估的一个重要原因是“安全事件驱动”，即“不出事不重视”，真正做到“未雨绸缪”的少之又少。目前我国信息安全体系还未健全和完善，真正意义上的信息系统风险评估尚待成熟。有的部门对信息系统风险评估还停留在传达一下文件、出具一个报告、安排一场测试，由于评估单位在评估资质、评估标准、评估方法等方面还不够规范和统一，甚至出现对同一个信息系统，不同评估单位得出不同评估结论的案例。

四、信息系统风险评估解决措施

1、确诊风险，对症下药

信息系统风险是客观存在的，也是可以被感知和认识从而进行科学管理的。信息系统面临的风险是什么、有多大，应该采取什么样的措施去减少、化解和规避风险？就像人的躯体有健康和疾病，设备状况有正常和故障，粮食质量有营养和变质，如何确认信息系统的状态和发现信息系统存在的风险和面临的威胁，就需要进行风险评估。

2、夯实安全根基，巩固信息大厦

信息系统建设之初就存在安全问题，好比高楼大厦建在流沙之上，地基不固，楼建的越高倒塌的风险就越大。风险评估是信息系统这座高楼大厦的安全根基，它可以帮助信息系统管理者了解潜在威胁，合理利用现有资源开展规划建设，让信息系统安全“赢在起跑线上”。风险评估还可以为信息系统建设者节省信息系统建设总体投资，达到“以最小成本获得最大安全保障”的效果。

3、寻求适度安全和建设成本的最佳平衡点

安全是相对的，成本是有限的。在市场经济高度发达的今天，信息系统建设要达到预期经济效益和社会效益，就不能脱离实际地追求“零风险”和绝对安全。风险评估为管理者算了一笔经济账，让我们认清信息系统面临的威胁和风险，在此基础上决定哪些风险必须规避，哪些风险可以容忍，以便在潜在风险损失与建设管理成本之间寻求一个最佳平衡点，力求达到预期效益的最大化。

4、既要借鉴先进经验，又要重视预警防范

没有网络安全就没有国家安全，没有信息化就没有现代化。建设网络强国，要有自己的技术，有过硬的技术。风险评估是信息化发达国家的重要经验。目前我们的信息化在某些关键技术、关键设备上还受制于人。“他山之石”可为我所用，亦须知其锋芒与瑕疵，加强预警防范与借鉴先进技术同样重要。

五、结束语

综上所述，本文主要对信息安全风险评估进行了分析和探究，在今天高速的信息化环境中，信息的安全性越发显示出其重要性，风险评估可以明确信息系统的安全状况和主要安全风险基础，通过风险评估及早发现安全隐患并采取相应的加固方案。所以要加强信息安全风险评估工作。

参考文献：

[1]中国国家标准化管理委员会，信息安全技术一信息安全风险评估规范，2007年

[2]付沙.加强信息安全风险评估工作的研究[J].微型电脑应用，2010.

对信息安全的理解篇6

关键词：电力；信息安全；解决方案；技术手段

一、电力信息化应用和发展

目前，电力企业信息化建设硬件环境已经基本构建完成，硬件设备数量和网络建设状况良好，无论是在生产、调度还是营业等部门都已实现了信息化，企业信息化已经成为新世纪开局阶段的潮流。在网络硬件方面，基本上已经实现千兆骨干网；百兆到桌面，三层交换；VLAN，MPLS等技术也普及使用。在软件方面，各应用十要包括调度自动化系统、生产管理信息系统、营销信息系统、负荷监控系统及各专业相关的应用子系统等。计算机及信息网络系统在电力生产、建设、经营、管理、科研、设计等各个领域有着十分广泛的应用，安全生产、节能消耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的社会效益和经济效益，同时也逐步健全和完善了信息化管理机制，培养和建立了一支强有力的技术队伍，有利促进了电力工业的发展。

二、电力信息网安全现状分析

结合电力生产特点，从电力信息系统和电力运行实时控制系统2个方面，分析电力系统信息安全存在的问题。电力信息系统已经初步建立其安全体系，将电力信息网络和电力运行实时控制网络进行隔离，网络间设置了防火墙，购买了网络防病毒软件，有了数据备份设备。但电力信息网络的安全是不平衡的，很多单位没有网络防火墙，没有数据备份的概念，更没有对网络安全做统一，长远的规划，网络中有许多的安全隐患。**供电公司严格按照省公司的要求，对网络安全进行了全方位的保护，防火墙、防病毒、入侵检测、网管软件的安装、VerJtas备份系统的使用，确保了信息的安全，为生产、营业提供了有效的技术支持。但有些方面还不是很完善，管理起来还是很吃力，给网络的安全埋伏了很多的不利因素。这些都是将在以后急需解决的问题。

三、电力信息网安全风险分析

计算机及信息网络安全意识亟待提高。电力系统各种计算机应用对信息安全的认识距离实际需要差距较大，对新出现的信息安全问题认识不足。

缺乏统一的信息安全管理规范。电力系统虽然对计算机安全一+直非常重视，但由于各种原因，目前还没有一套统一、完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范。

急需建立同电力行业特点相适应的计算机信息安全体系。相对来说，在计算机安全策略、安全技术和安全措施投入较少。为保证电力系统安全、稳定、高效运行，应建立一套结合电力计算机应用特点的计算机信息安全体系。

计算机网络化使过去孤立的局域网在联成广域网后，面临巨大的外部安全攻击。电力系统较早的计算机系统一般都是内部的局域网，并没有同外界连接。所以，早期的计算机安全只是防止外部破坏或者对内部人员的安全控制就可以了，但现在就必须要面对国际互联网上各种安全攻击，如网络病毒、木马和电脑黑客等。

数据库数据和文件的明文存储。电力系统计算机网络中的信息一般存储在由数据库管理系统维护的数据库中或操作系统文件中。以明文形式存储的信息存在泄漏的可能，拿到存储介质的人可以读出这些信息；黑客可以饶过操作系统，数据库管理系统的控制获取这些信息；系统后门使软硬件系统制造商很容易得到这些信息。弱身份认证。电力行业应用系统基本上基于商业软硬件系统设计和开发，用户身份认证基本上采用口令的鉴别模式，而这种模式很容易被攻破。有的应用系统还使用白己的用户鉴别方法，将用户名、口令以及一些安全控制信息以明文的形式记录在数据库或文件中，这种脆弱的安全控制措施在操作人员计算机应用水平不断提高、信息敏感性不断增强的今天不能再使用了。没有完善的数据备份措施。很多单位只是选择一台工作站备份一下数据就了事，没有完善的数据备份设备、没有数据备份策略、没有备份的管理制度，没有对数据备份的介质进行妥善保管。

四、电力信息网安全防护方案

4．1加强电力信息网安全教育

安全意识和相关技能的教育是企业安全管理中重要的内容，其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证安全的成功和有效，高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训。所有的企业人员必须了解并严格执行企业安全策略。在安全教育具体实施过程中应该有一定的层次性和普遍性。

主管信息安全工作的高级负责人或各级管理人员，重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部¨的建立和管理制度的制定等。负责信息安全运行管理及维护的技术人员，重点是充分理解信息安全管理策略，掌握安全评估的基本方法，对安全操作和维护技术的合理运用等。

信息用户，重点是学习各种安全操作流程，了解和掌握与其相关的安全策略，包括自身应该承担的安全职责等。当然，对于特定的人员要进行特定的安全培训。安全教育应当定期的、持续的进行。在企业中建立安全文化并纳入整个企业文化体系中才是最根本的解决办法。

4．2电力信息髓安全防护技术措旌

(1)网络防火墙：防火墙是企业局域网到外网的唯一出口，所有的访问都将通过防火墙进行，不允许任何饶过防火墙的连接。DMZ区放置了企业对外提供各项服务的服务器，既能够保证提供正常的服务，又能够有效地保护服务器不受攻击。设置防火墙的访问策略，遵循“缺省全部关闭，按需求开通的原则”，拒绝除明确许可证外的任何服务。

(2)物理隔离装置：主要用于电力信息网的不同区之间的隔离，物理隔离装置实际上是专用的防火墙，由于其不公开性，使得更难被黑客攻击。

(3)入侵检测系统：部署先进的分布式入侵检测构架，最大限度地、全天候地实施监控，提供企业级的安全检测手段。在事后分析的时候，可以清楚地界定责任人和责任时间，为网络管理人员提供强有力的保障。入侵检测系统采用攻击防卫技术，具有高可靠性、高识别率、规则更新迅速等特点。

(4)网络隐患扫描系统：网络隐患扫描系统能够扫描网络范围内的所有支持TCP／IP协议的设备，扫描的对象包括扫描多种操作系统，扫描网络设备包括：服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时，可以从网络中不同的位置对网络设备进行扫描。

扫描结束后生成详细的安全评估报告，采用报表和图形的形式对扫描结果进行分析，可以方便直观地对用户进行安全性能评估和检查。

(5)网络防病毒：为保护电力信息网络受病毒侵害，保证网络系统中信息的可用性，应构建从主机到服务器的完善的防病毒体系。以服务器作为网络的核心，对整个网络部署查、杀毒，服务器通Internet从免疫中心实时获取最新的病毒码信息，及时更新病毒代码库。同时，选择的网络防病毒软件应能够适应各种系统平台、各种数据库平台、各种应用软件。

(6)数据加密及传输安全：通过文件加密、信息摘要和访问控制等安全措施，来实现文件存储和传输的保密和完整性要求，实现对文件访问的控制。对通信安全，采用数据加密，信息摘要和数字签名等安全措施对通信过程中的信息进行保护，实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全，通过VPN技术，提高实时的信息传播中的保密性和安全性。

(7)数据备份：对于企业来说，最珍贵的是存储在存储介质中的数据信息。数据备份和容错方案是必不可少的，必须建立集中和分散相结合的数据备份设施及切合实际的数据备份策略。

(8)数据库安全：通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性，并实现数据库数据的访问安全。

4．3电力信息网安全防护管理措施

技术是安全的主体，管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中，网络安全的长期性和稳定性才能有所保证。

(1)要加强信息人员的安全教育，保持信息人员特别是网络管理人员和安全管理人员的相对稳定，防止网路机密泄露，特别是注意人员调离时的网络机密的泄露。

(2)对各类密码要妥善管理，杜绝默认密码，出厂密码，无密码，不要使用容易猜测的密码。密码要及时更新，特别是有人员调离时密码一定要更新。

(3)技术管理，主要是指各种网络设备，网络安全设备的安全策略，如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。

(4)数据的备份策略要合理，备份要及时，备份介质保管要安全，要注意备份介质的异地保存。

(5)加强信息设备的物理安全，注意服务器、计算机、交换机、路由器、存储介质等设备的防火、防盗、防水、防潮、防尘、防静电等。

(6)注意信息介质的安全管理，备份的介质要防止丢失和被盗。报废的介质要及时清除和销毁，特别要注意送出修理的设备上存储的信息的安全。

五、电力信息网络安全工作应注意的问题

(1)理顺技术与管理的关系。

解决信息安全问题不能仅仅只从技术上考虑，要防止重技术轻管理的倾向，加强对人员的管理和培训。

(2)解决安全和经济合理的关系。安全方案要能适应长远的发展和今后的局部调整，防止不断改造，不断投入。

(3)要进行有效的安全管理，必须建立起一套系统全面的信息安全管理体系，可以参照国际上通行的一些标准来实现。

(4)网络安全是一个系统的、全局的管理问题，网络上的任何一个漏洞，都会导致全网的安全问题，应该用系统工程的观点、方法，分析网络的安全及具体措施。

六、结语

对信息安全的理解篇7

关键词 信息安全 课程体系 解析能力培养

中图分类号：G642 文献标识码：A DOI：10.16400/ki.kjdkx.2016.01.018

On Army Information Security Course System Setting

LIU Aizhen， GAO Xiufeng， WANG Shuai， QU Chuanbing

（Department of Information Engineering， Ordnance Engineering College， Shijiazhuang， Hebei 050003）

Abstract Based on pointing out the disjointing situation between current demand of the military information security talents and its curriculum training system， the types on talents were summarized. And the main problems of the curriculum training system were discussed. In the final， the modularization curriculum training system focusing on analytical and solving ability cultivation was proposed， and an instance system on foundation courses was designed.

Key words information security; curriculum training system; analytical and solving ability cultivation

0 引言

我们国家已经把信息安全人才培养作为信息安全保障体系的重要支撑部分，培养体系也初具规模。目前，我军在进行信息安全人才培养的方向主要有两个：首先是信息安全，其中包含了计算机安全、网络安全;其次则是密码学，也就是军队指挥学下面设立的一个二级学科。①最近几年，我军经常出现各种信息安全事件，这也直接说明我国信息安全人才的培养无论是数量还是质量都很难满足部队的实际需要，信息安全人才供与求脱节情况严重，因此明确部队对信息安全人才的类型需求，并针对不同类型需求制定科学合理的课程体系，培养出部队真正需要的各类人才意义重大。

1 军队信息安全人才需求分析

一方面，随着信息、网络技术的快速发展，军队信息在获取、传输、处理、存储、利用等各个环节都存在着安全隐患，每个军人必备信息安全及保密素质要求已成为必然。另一方面，信息安全领域和其它领域存在明显不同，信息安全领域的动态性和实践性都非常强，信息安全人才存在“三二一”之说，也就是说，若是博士生毕业三年内、硕士生毕业两年内、本科生毕业一年内，没有很好的进行学习，那么便很容易出现本领域恐慌的情况，甚至可能被时代所淘汰。②所以了解部队对信息安全人才的需求，是建设科学课程体系培养出合适人才的第一步。

根据现代战争形式的转变及部队各项工作需要，无疑军队建设及各项工作的顺利开展需要人人懂安全，人人懂保密，同时还需要部分人专搞安全和（或）保密，部分人精于安全和（或）保密。为此，将部队所需的信息安全人才需求归为如下几类：普通型、应用型、工程型、复合型、研究型和教育型人才③④如下：

（1）普通型信息安全人才：指信息安全意识较强、掌握信息安全技能、具备基本信息安全知识、了解并遵守军队安全和保密的相关法规，知道如何保证所从事工作信息安全的保密型人才。该类人才是做好我军信息安全保密工作的基础，需求量最大。

（2）应用型信息安全人才：指具有信息安全理论基础和知识体系、能够从技术上实施信息安全防护体系的构建与管理、可从事维护管理及安全服务工作的服务型人才。

（3）工程型信息安全人才：指具有良好的信息安全理论基础和知识体系、具备熟练地设计开发能力、了解军队信息安全标准、了解安全动态和各种攻击防御手段、能够从事开发设计和产品测评等工程型工作的专业型人才。

（4）复合型信息安全人才：指需要掌握信息安全和保密的方法和理论，具备网络技术、计算机科学技术以及管理学方面的知识，全面掌握相关的法律和法规，能够充分通过自己学习的知识和技能进行问题的解决，此外，还要求人才的创新能力、综合业务素质以及实践能力比较出色，能够在军队从事保密与信息安全研究、应用、开发、教学、管理等工作的高级工程技术人才。

（5）研究型信息安全人才：指具有深厚的信息安全基础理论、丰富的信息安全知识、综合性地掌握最新安全动态和各种攻击防御手段、实践经验强、创新能力强、能够从事新型信息安全理论、技术、安全产品等研究设计工作的高级人才。

（6）教育型信息安全人才：指熟知教育理论、可运用先进教学理念和教学手段教书育人、信息安全理论实践经验深厚、富有创新精神、德才兼备，可为部队培养各类信息安全人才的专业教师。

2 军队院校普通信息安全人才信息安全类课程体系存在的主要问题

目前，我军院校有关信息安全类的课程体系，尤其是在普通信息安全人才培养课程体系的设置上，普遍存在一些共性问题，主要如下：

（1）军队院校军事人才培养目标中对保密素质目标的培养方式有待进一步明确。由于当前信息安全保密的重要性，全军上下非常重视该项工作，一方面保密教育成为一项经常性工作，另一方面每年依然出现一定的失泄密案例。这反映出我军的保密教育工作没有做到位。部队院校作为培养各类军事人才的摇篮，对大学生的信息安全保密素质的培养有着义不容辞的责任。因此，设置科学合理的课程体系，培养出专业素质过硬的各类军事人才的同时，只对保密素质应达到的目标做出明确要求，从而设置课程体系是远远不够的，更应对课程体系的设置思路是否合理科学，课程衔接是否合适，培养方式方法效果是否满意，是否能激起学生的学习积极性等方面进行归纳梳理，这样才能事半功倍，培养出信息安全保密素质强的各类军事人才。

（2）军队院校信息安全课程体系知识结构不合理，有待合理调整。目前我军大学院校培养出的各类军事人才信息安全素质不高的一个重要原因在于，在进行专业人才培养过程中，课程设置不够合理，有很多课程课时比较少，并且内容比较杂乱，还有些课程设置时过分重视系统完整性，经常出现内容重复的情况，缺少系统深入的科学思维方法及解决实际问题的能力训练，这对学生综合能力的提高非常不利。我军校也根据普通型安全人才的需要进行了信息类课程建立，而这类课程经常存在学时压缩、学科合并、内容交叉的情况，很难进行深入的讲授，这些军队学员还需要进行训练，没有足够的精力和时间深入地学习相关课程，学过后也经常存在一知半解的情况。具体到信息安全知识模块为例，网络应用基础（20学时）、信息技术基础（30学时）、信息安全保密（20学时）等信息类课程虽均有涉及，但该模块所占学时数均在（2～4学时左右），如此少的课时数，教员只能讲授浅显易懂的安全知识（考虑学生对知识的遗忘现象）。因此课程群及涉及到的知识模块有待重新整合与调整。

（3）信息技术类课程解析能力培养方式不科学，有待加强。信息技术具有明显的先进性和创新性，其发展速度非常快，与之对应的信息安全技术在发展的时候，也应该具备先进性和创新性，并进行经验的累积，并形成核心竞争力出色的产品、技术或者方案，这样才能够很好地满足信息技术发展的实际需要。信息安全人才也只有在大学教育过程中不断地提高自身的学习能力，才不会进入到“三二一”怪圈中去。现在各个院校虽然都已经进行了教学方式和课程体系的改革，但是还存在将课程知识传授作为教学核心、教学时还是以教师作为主体的情况，而能够充分激发学生的学习兴趣及其发现问题、分析问题、解决实际问题能力的实践、实验、设计的环节不多，限制了学员解析和创新能力的提升，这些环节亟待加强。

3 构建注重解析能力培养的模块化课程体系的设置思路

现在，军院校学生都存在重视本专业课程学习、重视军事训练、轻其它课程学习的现象。信息安全类课程虽然有的是必修课，有的是选修课，和专业课相比，一般课时较少，学生普遍不怎么重视。针对这种情况，为激发学生学习信息安全类课程的积极性，提升军事人才的信息安全素质，建议构建注重解析能力培养的模块化课程体系结构。该课程体系的特点是，将各课程的知识点从能解决的问题角度进行深度梳理，总结出能由浅入深反映知识结构的系列问题及脉络，形成模块化知识单元，并从学生感兴趣的简单问题（或日常）入手，遵循提出问题，分析问题，解决问题，评估优缺点，提出新问题，再分析……，依此类推，将遇到的问题背后隐含的知识（包括使用问题、产生原理等）以递推的方式，遵循科学的方法由浅入深地源源不断地归纳出来，从而建立起科学的知识体系，对涉及到的各知识单元以链条链接的方式一环套一环地展现出来，必要的话辅以实验环节验证巩固所学所讲，课终以综合设计实验环节融合贯通所学，以参与新问题研究类课题环节提升创新能力。

4 结束语

信息安全技术的发展动态性强，为使学校培养的信息安全人才不会陷入“三二一”怪圈，应首先从课程体系下功夫，培养出高素质的人才，当然课程体系只是整个教育过程的一个环节，成功的教育还需要从教学方式、培养机制等多方面一起努力，相信只要围绕培养学生解析能力这个目的，根据军队的特殊性和信息安全领域的特征，进行进一步的探索，不断改善和健全人才培养模式，确保培养出来的信息安全人才能够很好地满足部队的需要。

注释

① 白洁.解读高素质的信息安全人才培养.信息安全保密与通信保密，2009.12：16-22.

② 赵俊阁，吴晓平.信息安全人才培养体系研究.北京电子科技学院学报，2006.14（1）：27-31.

③ 王志学.未来战争呼唤信息安全人才.安全论坛，2001.11：12-14.

对信息安全的理解篇8

关键词：信息安全；课件；理论教学；教学方法

中图分类号：G642 文献标识码：B

文章编号：1672-5913 (2007) 23-0026-03

信息安全是计算机学科下的二级学科，是一门新兴的学科。它涉及通信学、计算机科学、信息学和数学等多个学科，主要研究范围涉及计算机及网络安全的各个方面。“信息安全概论”课程是信息安全专业的专业基础课程，也是提高学生计算机水平的重要组成部分。其教学内容主要包括：信息安全概述、密码学基础、密钥分配与管理技术、访问控制、防火墙技术、入侵检测技术、信息安全应用软件、企业与个人信息安全、Web的安全性、网络安全，它是一门综合性很强的课程。它的作用主要是让学生掌握信息安全的基本原理、基本概念；了解信息安全系统的设计方法；且要求学生能够进行一些信息安全实践，提高动手能力。学时分配为：理论教学32学时，实践教学24学时。由于这门课程理论性强、信息量大且抽象，而授课对象是低年级学生，专业知识尚不丰富，因此，如何在教学过程中提高学生的学习兴趣？如何开展实践教学？如何更好地将理论教学的知识点有机地融入到具体的实验中去？使学生不仅能够通过实验理解和掌握理论教学的内容，还能通过实验了解和掌握一定的工程技术知识，培养和锻炼学生的分析能力、综合解决问题的能力和实际动手能力，就成为我们在教学研究中需要解决的主要问题。

1目前教学中存在的问题

(1) 教学媒体使用不当。传统的教学方法主要是把学生集中起来，现在虽然有多媒体教室，对教学起到了一定的积极作用，但课件多是对书本内容的罗列，对启发式、讨论式的教学方法采用比较少。而课程内容较多且抽象，被动接受知识的方式无法有效提高学生的学习兴趣，学生普遍反映应难以跟上教学进度。

(2) 教学内容与数学课程脱节。信息安全概论这门课程涉及到大量的算法和协议，如密码学涉及到大数大因数分解问题、离散对数问题、椭圆曲线离散对数问题，等，这体现了信息安全专业与数学基础学科结合的紧密性。而在课程开设中，往往认为该课程是入门课程，而忽视了对数学课程的讲解，导致学生学习相关内容时感觉较难掌握。

(3) 重理论，轻实践。“信息安全概论”是信息安全学科的一门基础课，主要为信息安全及计算机相关专业的低年级本科生开设，因此，该课程旨在对学生讲解信息安全的基本理论，让学生对信息安全学科有个较为全面的认识，以利于后续课程的开展。信息安全主要讲解内容包括信息安全基本理论、安全协议及安全技术等几个部分。在开设课程过程中，由于片面注重理论的重要性，往往造成以课堂讲授为主，形成一种“灌输式”的教学。然而，由于该课程是为低年级学生开设，很多同学在听课过程中，感觉内容比较抽象，无法正确理解课程内容。如：RSA大数分解等内容，如果学生只是被动记忆公式和算法，而不借助实践性环节，如创新性实验、课程学习讨论、课程设计环节，等，将导致学生学习兴趣不高，教学质量没有保证，不利于学生创新能力的培养。

2课堂教学的改进

针对上述问题，教学组对以下几个方面作出了改进。

2.1课件的改进

板书与课件相结合的方式可提高教学效果，但其中最关键的是课件的制作。课件的内容不能仅是课程内容的罗列，而是要对课程内容跨章节地组织起来，形成一个整体，当然也包括与其他课程之间的关联。如在讲解密码学、访问控制、防火墙技术等章节后，学生具备了信息安全的基础知识，但是知识点比较分散，对信息安全的综合应用能力较弱。教学组在课程讲授过程中安排综合应用实例讲解。如以电子商务安全综合应用实例，该综合实例讲解安排在讲授完各个章节内容以后，共2学时。内容是设计典型企业网络拓扑；运用对称密码学，如DES算法为基本加密手段对电子交易进行加密，利用非对称密码学，如RSA算法；采用数字信封方式，对DES会话密钥进行加密分发；采用防火墙对企业网络进行防护；交易过程采用SET协议保障安全。这样，学生就能将各个章节的内容联系起来，巩固所学知识，提高综合运用的能力。

将信息安全中理论性强、极其抽象的内容制作成 Flash 动画。例如在讲述DDoS攻击时，学生对攻击者侵入傀儡机，并利用傀儡机攻击的过程很难理解。可用 Flash 动画来演示，以便在课上形象讲解黑客是如何对傀儡机进行控制，并对受害网络进行入侵的。特别将洪泛攻击的特点用动画方式，一步步展现给学生，使学生轻松接受知识。这种课件也便于学生在课下自主复习。

2.2重视数学基础

信息安全涉及大量的基础协议，如密码学中的RSA算法就涉及近世代数的基础知识。因此，需要为学生开设相关的数学基础课程，同时，在讲授该算法之前，先对数学知识进行复习，复习时以要点讲解为主，如：欧拉函数的定义，逆元的求解方法，等。对于逆元的求解，可以以具体的RSA实例进行讲解。另外，让学生进行实际的上机练习，利用数学基础进行编程实验，加深对密码学基础知识的理解，如为学生布置这样一道上机题：若有明文public key encryptions，请设计RSA加密算法对该明文进行加密，编程实现密钥的生成。学生就能通过上机实践，熟悉RSA算法的原理，并理解每个步骤的计算过程。

3改进实验方法

课堂讲授之外，还要对实验课进行合理安排。实验主要包括信息安全协议实验和信息安全综合实验两个部分。如表1所示。

表1 课程配套实验内容

其中，信息安全协议实验目标是使学生系统掌握安全协议及算法，了解安全协议的应用范围。掌握根据系统的安全要求(包括机密性、完整性、访问控制、鉴别、审计、追踪、可用性、抗抵赖等方面)，综合运用安全协议的能力。信息安全综合实验目的是将系统的安全要求(包括机密性、完整性、访问控制、鉴别、审计、追踪、可用性、抗抵赖等方面)，在OSI或者TCP/IP模型的各个层次予以考虑，并且结合安全管理策略在网络安全方案中予以保障，从而构成实际应用中的一个完整的信息系统安全方案。

实验课程中，教师先利用原型系统对实验效果进行演示，特别对网络攻防相关内容，进行实际操作演示，提高学生学习兴趣。

实验内容有针对性，以便于学生结合课堂上的实例讲解，理解信息安全的抽象内容。要求学生对实验结果进行分析、讨论，鼓励学生组成讨论小组，并写课程小论文，以加强学生之间的交流。如对于数字签名的实验，可让学生分成两组，在一台实验机器上完成信息的生成、签名、发送，在另一台机器上，对网络上接收到的信息进行解析、完整性校验。

为了更好地培养和锻炼学生的独立工作能力和创造性思维能力，对于信息安全综合实验，我们为学生设计了一个模拟的安全需求，具体如下：设计一在线考试系统，并从以下几方面保证系统的安全性：

服务器的安全防护，提供访问控制、安全审计、信息加密等功能，从保密性、可用性、可控性等几方面保证服务器的安全运行。

提供客户机、服务器的认证功能，保证考试过程的有效性。

提供客户机、服务器通信加密功能，保证通信内容的机密性。

恶意代码、蠕虫、病毒防御功能。

数字证书体制设计。

这一用户需求巧妙地将实践教学的知识点隐藏了起来，给学生提供了一个综合分析问题的空间。学生只有通过认真的需求分析，反刍所学的理论知识，才能正确地确定采用何种安全技术，从而培养和锻炼了学生的分析能力。

4结束语

本文提出的关于信息安全概论的教学方法将原本抽象、难以理解的数学基础知识、安全协议，形象、实例地配合实验进行讲解从而变得易于理解。学生通过实验进一步加深理解，较之传统的教学模式明显提高了学生对课程内容的理解及掌握。此方法在我们的本科教学过程中取得了明显的效果。

参考文献

[1] 王昭顺．信息安全本科专业人才培养的研究[J]．计算机教育，2006，(10)：30-32．

[2] 刘传才，陈国龙，密码学课程的探索与实践[J].高等理科教育，2002,(05)．

收稿日期：2007-07-16