随着信息技术的发展,特别是互联网的迅速普及和广泛应用,信息安全的地位越来越重要。信息安全关系到国家安全、经济发展和社会稳定等各个方面。提高信息安全水平的关键在信息安全人才的培养,把握信息安全人才培养需要,明确信息安全人才培养思路,构建合理的信息安全专业课程体系,是每一个信息安全专业的教育工作者义不容辞的责任。
1信息安全人才需求
自上世纪八十年代以来,人们对信息安全的认识经历了通信安全(COMSEC)、信息安全(INFOSEC)和信息保障(IA)三个阶段。通信安全重点考虑信息的机密性,信息安全通过机密性、可靠性、可用性和不可否认性等来全面刻画安全的属性,而信息保障则通过保护、检测、响应和恢复四个环节强调安全应当是一个过程,而非单一的技术或产品。人们对信息安全的认识逐渐深入、全面。与此同时,密码理论与技术、安全协议理论与技术、可信计算理论与技术等信息安全相关理论与技术的研究不断深入,防火墙、入侵检测、VPN等各种安全产品不断发展成熟。
然而,信息安全形势依然严峻。互联网上的恶意活动肆虐,网络钓鱼、垃圾邮件、僵尸网络、特洛伊木马和零日威胁与日俱增。不同的威胁和方法相互贯通,互相利用,如恶意代码可能利用系统及应用程序漏洞来安装后门,然后下载并安装 bot 软件,这些 bot随后用来分发垃圾邮件、建立网络钓鱼站点或发起分布式服务拒绝攻击。利用黑客/病毒技术的“产业链”逐步形成,攻击者利用黑客/病毒技术或窃取机密信息、虚拟财产,变卖牟利,或组建僵尸网络,敲诈勒索。
在信息安全理论技术研究和信息安全实践之间似乎存在着一条鸿沟,无论信息安全理论与技术如何发展,总无法解决信息安全问题,信息安全问题不但没有改善,似乎还有恶化的趋势。事实上,“安全性是一条链,其可靠程度取决于链中最薄弱的环节”。在信息安全链条上,最薄弱的环节并不在于缺少系统的安全理论或成熟的安全技术,而在于严重缺少运用这些理论技术来保障信息安全的人才。信息安全专业人才的匮乏,已经成为信息安全发展的瓶颈。
信息安全作为一项复杂的系统工程,对信息安全人才的需求也是多方面多层次的。根据所从事的工作性质划分,信息安全人才可以分为以下三类:
(1) 从事应用型工作的专门人才。他们主要在政府、各企事业单位从事信息系统安全防护体系的建设、管理,安全事件的处置、恢复等技术工作,以及在生产安全产品的企业中担负系统集成、安全服务的技术工作。对应用型人才的基本要求是具备信息安全理论基础和知识体系、能够从技术上实施信息系统安全防护体系的构建与管理。
(2) 从事工程型工作的专门人才。他们主要在生产信息安全产品的企业中从事安全产品软、硬件的开发、实现与测试等工作。对工程型人才的基本要求是具备较为坚实的信息安全理论基础、系统的信息安全知识,能够熟练应用(包括创造性应用)安全原理与知识、具有较强的工程实践能力和良好的团队精神,等。
(3) 从事研究型工作的专门人才。他们通常是在攻读更高的学位后,在信息安全科研机构从事信息安全理论、信息安全核心技术的研究工作,或在生产信息安全产品的企业中从事安全技术研究和安全产品的设计工作。对研究型人才的基本要求是要具有深厚的信息安全基础理论、丰富的信息安全知识、创新意识、创新能力,等。
信息安全对人才的需求呈金字塔型结构,信息安全需要大量的应用型人才、适量的工程型人才以及少量的研究型人才。造成当前信息安全理论技术研究和信息安全实践之间存在鸿沟的原因是金字塔型结构的底部——信息安全应用型人才的大量缺失。与信息安全人才需求的金字塔型结构相匹配,信息安全人才培养也应当是金字塔型,只有这样才能满足信息安全的实际需求,降低用人单位和人才自身的再培养成本。
信息安全专业的本科阶段固然是高层次人才培养的打基础阶段,但大部分本科生的培养应当是符合信息安全需求的实用性人才。
2信息安全人才的知识需求
信息安全学科是一个“以信息安全理论为核心,以信息技术、信息工程和信息安全等理论体系为支撑,以国家和社会各领域信息安全防护为应用方向”的跨学科的交叉性学科群体系。该学科交叉性、边缘性强,应用领域面宽,是一个庞大的学科群体系,涉及计算机科学与技术、通信工程、数学、密码学、电子工程等诸多学科的内容。
2.1基础
在信息安全专业的基础知识中,包含了计算机科学与技术、数学、密码学、通信工程、电子工程等方面的基础知识。
计算机科学与技术在信息安全专业中具有突出的作用和地位,计算机基础知识在信息安全专业基础中比例很大,其中硬件基础知识包括计算机原理、汇编语言,等;软件基础知识包括数据结构与算法分析、操作系统原理、中高级语言、面向对象程序设计、软件工程,等;网络基础知识包括计算机网络、网络协议,等。
就数学工具而言,信息安全涉及的数学领域包括:数论、组合数学、抽象代数、图论、形式语言与自动机、格论、数理逻辑、概率论与数理统计、随机过程等数学分支。
密码学是构建信息安全体系的基础,也是实现信息安全技术的主要手段。信息安全专业的密码学基础包括序列密码、分组密码、公钥密码、Hash函数,等。
通信工程基础包括信号处理、通信原理方面的基础知识,电子工程基础则应包括弱电类专业应掌握的电路与电子技术基础知识。
2.2专业知识
信息安全专业知识的内容非常丰富。按照主要内容和研究角度的不同,信息安全具体包含的知识主要有:
(1) 密码技术。密码技术主要包括两部分,即基于数学的密码技术(包括序列密码、分组密码、公钥密码、Hash函数、认证码、数字签名、身份识别、密钥管理、PKI技术等)和非数学的密码技术(包括信息隐藏,量子密码,基于生物特征的识别理论与技术)。
(2) 安全协议技术。包括各种实用安全协议如IPSec 协议、SHTTP协议,S/MIME协议、电子商务协议等的设计、分析与应用。
(3) 安全体系。包括安全体系模型的建立及其形式化描述与分析,安全策略和机制的研究,检验和评估系统安全性的科学方法和准则的建立,运用这些模型、策略和准则的信息系统(如安全操作系统,安全数据库系统等)的研制。
(4) 信息对抗技术。包括黑客防范体系,信息分析与监控,入侵检测原理与技术,应急响应系统,计算机取证技术,计算机病毒防治,信息隐藏与检测技术,等。
(5) 网络安全与安全产品。包括网络安全整体解决方案的设计与分析,网络安全产品如身份认证产品、CA 和PKI 产品、安全服务器、防火墙、安全路由器、虚拟专用网(VPN)、入侵检测系统(IDS)、漏洞扫描工具、网络审计监控系统、取证系统、蜜罐系统等的设计与应用。
2.3能力要求
根据信息安全学科的特点和信息安全发展的现实要求,信息安全专业人才需要具备以下的能力:
(1) 实践能力。信息安全是工程性很强的学科,信息安全专业的人才应当具备很强的安全管理维护能力和安全工程实现能力,能够综合运用信息安全理论知识管理维护信息系统的安全,能够把自己的想法用现实所需的软硬件形式实现。
(2) 协作能力。信息安全是一项复杂的系统工程,信息安全问题往往需要多方面共同参与解决。这就要求信息安全专业人才具备良好的沟通能力,团结协作,共同解决问题。
(3) 创新能力。信息安全问题复杂多变,会因为应用领域的扩展以及应用场景的变化,呈现出新的形态。只有具有敏锐的眼光和创新的思维,才能从纷繁复杂的表象背后找到问题的实质,找到解决问题的方法。
3主干课程设置
鉴于信息安全学科是一个跨学科的交叉性学科群体系,信息安全的专业知识纷繁复杂,要在本科阶段传授信息安全所涉及的全部理论基础与专业知识是不现实的,必须在主干课程的设置上有所取舍。针对信息安全人才的实际需要,我们认为,信息安全本科专业的人才培养思路应该是“以应用型人才、工程型人才为主要目标,兼顾研究型人才的培养”。在主干课程设置上应瞄准“打牢计算机基础,提高数学素质,构建系统的信息安全知识体系,突出安全管理与安全工程实践能力”。
3.1主干课程
信息安全本科专业的专业主干课程可以按基础平台课、专业基础课和专业课三个层次构架:
基础平台课(包括数学、物理和外语基础)主要培养学生基本的知识素养,形成人才知识和能力金字塔结构的基础。信息安全专业的数学基础课程的设置应区别于计算机、通信专业。根据后续密码课程的需要可设置高等数学、高等代数、概率论与数理统计,等。物理类课程设置大学物理。外语类课程设置大学英语、科技英语。
专业基础课主要培养学生广泛的专业背景知识, 形成良好的背景知识支撑体系,构成知识、能力金字塔结构的主体部分。专业基础包括计算机科学与技术、密码学、通信工程、电子工程等方面。计算机类课程可设置计算机组成原理、离散数学、数据结构、操作系统、数据库系统、计算机网络、汇编语言、C语言程序设计、面向对象程序程序设计、软件工程,等。密码学课程主要设置信息安全数学基础。通信类课程可设置信息论与编码、通信原理、数字信号处理等课程。电子类课程可设置数字技术基础、电路分析基础、现代电子线路。
专业课主要培养学生在相关领域与信息安全相关的系统专业理论、技术和工程知识, 形成自己的专长和特色,完成人才知识、能力金字塔结构的顶端部分。主要专业必修课程包括信息安全导论、网络密码、网络协议分析、操作系统内核分析、网络信息安全、信息安全工程学以及信息安全法律法规,等。在专业课的课程设置上,可以将一些非核心但又比较重要的信息安全知识作为专业选修课开设,如信息隐藏与检测、Windows原理与应用、Linux原理与应用、计算机病毒、无线局域网安全、计算机取证技术,等。
在信息安全知识体系中,计算机科学与技术、密码学两方面的基础最为直接,也最为重要。在设置课程时,可以围绕计算机科学与技术、密码学两条主线展开。这种方法有利于理清课程间的相互关系,有利于对基础课程的讲授内容作出合理的裁剪,在课程随着技术发展而有所增减时也不会迷失方向。
3.2实践环节
信息安全是一个直接面向工程、面向应用的专业领域,在课程设置时必须重视培养学生的安全管理能力和安全工程能力,强化学生的实践环节。
实践环节可分为基础课程实验、专业课程的课程设计和毕业实习三个部分。基础课程实验主要训练学生的科学研究与工程素养,可设置物理基础试验、电路分析基础实验、数字技术基础实验、现代电子线路实验等。专业课程的课程设计以综合性、设计性为主,旨在锻炼综合应用知识、解决实际问题的能力,可设置计算机组成原理课程设计、操作系统课程设计、计算机网络课程设计、网络信息安全课程设计。四年级学生应到用人单位或实习基地进行一个学期的毕业实习,了解实际的安全问题,从事实际的工程工作,提高学生的实践能力。
另外,应鼓励信息安全专业的本科生利用课外时间参加信息安全专业相关的科研课题,承担具体的研究和开发工作。
参考文献
[1] 李晓明,陈平,等.关于计算机人才需求的调研报告[J].计算机教育,2004,(8).
[2] 冯登国. 国内外信息安全研究现状及发展趋势[J].网络安全技术与应用,2001,(1).
[3] 马建峰,李凤华.信息安全学科建设与人才培养现状、问题与对策[J].计算机教育,2005,(1).
[4] 王伟平,杨路明.信息安全人才需求与专业知识体系、课程体系的研究[J].北京电子科技学院学报,2006,(1).
[5] 赛门铁克互联网安全报告第十一期[EB/OL]. /zh/cn/enterprise/theme.jsp?themeid=threatreport,2007,3.
