发布时间:2023-10-12 17:40:14
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇信息安全概论,期待它们能激发您的灵感。
中图分类号:G642 文献标识码:B
1引言
信息安全是计算机学科下的二级学科,是一门新兴的学科。它涉及通信学、计算机科学、信息学和数学等多个学科,主要研究范围涉及计算机及网络安全的各个方面。“信息安全概论” 课程是信息安全专业的专业基础课程,也是提高学生计算机水平的重要组成部分。但信息安全概论同时也是学生们认为比较难学的专业课程之一。其原因如下:信息安全概论课程讲述的是计算机资源管理的原理和机制,其中包含了许多抽象的概念和算法,学生学习起来感觉“大而空”。因此,信息安全概论实践教学作为教学辅助环节十分重要,它的作用在于通过动手做实验,帮助学生解决从抽象理论到具体对象的认识问题,培养学生应用知识解决问题的能力。
近年来,我们针对不同的教学对象和教学要求,精心设计了多种方式的实验项目,在信息安全概论实践教学上做了一些有益的探索。本文首先分析信息安全概论实践教学的目标,然后说明如何具体设计实验项目。
2实践教学目标
我们认为,信息安全概论实践教学作为辅助教学环节,有两个主要目标。
(1) 帮助学生理解信息安全概论的基本概念、原理和机制
信息安全概论包含了许多抽象的基本概念如访问控制、安全模型和系统可靠性,也包含了复杂的算法和机制,如对称加密和身份认证。这些知识对于本科学生而言是比较难以理解的,因为他们平时很少也很难窥视到信息安全概论的内部。信息安全概论的实践教学应该让学生了解一个真实信息安全概论的内部实现,从而帮助学生更好地理解信息安全概论的基本概念、原理和机制。
(2) 培养学生应用信息安全概论知识的能力
信息安全概论是计算机系统中的核心软件,从事计算机行业的专业人员都需要信息安全概论的原理知识,但他们担任的角色不同,面临的问题就不同,因而所具备的信息安全概论知识的应用能力也不同。信息安全概论的实践教学必须考虑到不同能力培养的特点,以满足学生未来任职需要。
3实验项目设计
我们在上述的实践教学目标的指导下,设计了多个实验项目,内容从安全技术层面上涵盖了主机安全技术、认证技术、访问控制技术、防火墙技术、入侵检测技术等。从工程技术层面上则涵盖了计算机系统、计算机网络、计算机通信和信息数据库和网站安全等多学科工程技术知识。考虑到学生的知识和经验背景,实验项目的安排从简到难,从依靠指导到自主设计。除必做的实验项目外,还设计了选做的实验项目,为有能力的同学提供更多的学习空间。下面分别介绍我们设计的9个实验项目。其中,前3个实验项目是密码学理论实验项目,使学生掌握如何使用工具实现密码学中的算法;第4、5个实验帮助学生理解网络中设备配置的实现过程;后4个实验项目是攻击性实验,让学生体验信息安全中攻击的全过程。
(1)DES算法实现
该项实验的目的是培养密码算法的设计思想、掌握密码算法的实现技术。实验内容是:通过编写DES算法的实现程序,理解DES算法的原理;分析DES算法的优点和缺点;掌握DES算法设计、实现和分析等阶段的方法。实验中使用的软件资源:Windows 2000操作系统软件和Visual C++应用开发软件等。
(2)RSA加密算法实现
该项实验的目的是深刻理解RSA算法的原理、掌握大整数运算的方法。实验内容是:编程实现RSA算法,并能进行文件的加密和解密。实验中使用的软件资源:Windows 2000操作系统软件、Visual C++应用开发软件和SQL Server数据库软件。
(3)PKI的配置和应用
该项实验的目的是了解PKI在信息安全中的作用。了解在SSL和PGP中应用证书的方法。掌握在局域网中正确配置PKI的方法。学会利用CA管理和发放用户证书和对证书生命期进行管理,并能利用证书实现安全Web访问和安全电子邮件。实验内容是:安装并配置PKI系统;跟据安全策略实现证书发放;利用浏览器查看证书内容;利用证书配置SSL,实现对网站的安全访问;利用证书配置PGP,实现安全的电子邮件。实验中使用的软件资源:Windows 2000操作系统软件和MyPKI应用软件。
(4) 路由器配置
该项实验的目的是了解网络互联原理和所需硬件功能。掌握路由器IP路由功能的配置方法,实现两个局域网之间的相互连接与通信。实验内容:在联想天工路由器上完成以下配置,配置以太口、配置串口、运行动态路由协议RIP、配置网关、加入静态路由、主机配置和测试配置结果。实验中使用的硬件资源:个人计算机、路由器和Console配置线。
(5) 防火墙设计
该项实验的目的是了解防火墙安全技术原理与应用,学会利用路由器的屏蔽功能配置包过滤防火墙的方法,掌握根据不同的安全需求制定安全规则和建立访问控制列表的方法。实验内容:配置包过滤防火墙,将硬件路由器配置成如下功能――内部网络通过Serial0访问Internet,局域网对外提供www、ftp和MS SQL数据库服务;利用扫描软件进行扫描测试,根据测试结果调整规则设置;利用攻击软件进行测试,根据测试结果调整规则设置。实验中使用的软硬件资源:PC一台、路由器一台、Windows 2000操作系统软件和Console配置线。
(6) 口令攻击
该项实验的目的是通过对操作系统口令攻击程序的开发,使学生了解口令作为身份认证机制的脆弱性和口令攻击原理,理解如何增强口令机制的安全性。掌握一种破解口令的程序设计方法。实验内容有:用C++语言(或其他语言)编写一个带操作控制窗口的口令破解程序。实现对本地和远程主机的口令破解。实验中使用的软件资源:Windows 2000操作系统软件和VC++应用开发软件等。
(7) 网页木马攻击
该项实验的目的是通过对网页木马的编写,了解木马的工作原理及功能。掌握利用IE浏览器漏洞进行木马种植的方法,实现修改远程目标机网页标题的木马攻击。实验内容是:拟定木马制作和种植方案;配置测试网站;编写制作一个网页木马,使客户端通过浏览页面感染木马;测试运行,检查并记录实验结果。实验中使用的软硬件资源:Windows 2000操作系统软件和VC++应用开发软件等。
(8) 远程注册表攻击
该项实验的目的是通过对注册表的攻击,了解注册表在Windows系统注册表的结构和在系统安全中的重要性,了解注册表的安全配置方法,掌握实现一种远程注册表入侵的程序设计方法。实验内容有:确定注册表攻击方案,编写一个程序完成如下功能:创建操作控制窗口,通过修改注册表中相应键值改变远程目标机浏览器窗口标题以实现对远程主机注册表的攻击;测试运行。实验中使用的软硬件资源:Windows 2000操作系统软件和VC++应用开发软件等。
(9) 网站攻击
该项实验的目的是通过对Web网站的模拟攻击,了解DOS攻击的原理及危害。掌握DOS攻击的程序设计方法,并利用该程序对Web服务器进行攻击。实验内容有:搭建一个测试网站;拟定网站攻击方案;编写一个程序,完成以下功能:创建操作控制显示窗口,确定被攻击服务器的IP地址并显示在屏幕上;修改被攻击网站的网页标题等。实验中使用的软硬件资源:Windows 2000操作系统软件、VC++应用开发软件和IIS服务器软件。
4结束语
“信息安全概论”是一门实践性很强的课程,建设一个满足信息安全专业教学要求的实验教学体系是培养合格的信息安全人才的关键之一。本文在信息安全概论实践教学中做了一些有益的工作,教学效果也不错,但还存在一些问题有待于进一步研究和探索。例如,如何与课堂教学互补,进一步激发学生学习信息安全概论的兴趣;如何通过构建实验平台将信息安全概论中更多的机制(认证机制、签名机制等)呈现给学生;如何设计更为实用的、学生自主性更强的实验项目等。
参考文献:
[1] 威特曼. 信息安全原理[M]. 齐立博,译. 2版. 北京:清华大学出版社,2006.
[2] 段云所,魏仕民,唐礼勇,等. 信息安全概论[M]. 北京:高等教育出版社,2003.
[3] 王景中,徐小青. 计算机通信信息安全技术[M]. 北京:清华大学出版社,2006.
[4] 张焕国,王丽娜. 信息安全综合实验教程[M]. 武汉:武汉大学出版社,2006.
[5] 龚方红,汤正华,蒋必彪. 试论工程教育中的本科实验教学改革[J]. 中国高教研究,2006(4):86-87.
[6] 卿斯汉,蒋建春.网络功防技术原理与实践[M]. 北京:科学出版社,2004.
关键词:信息安全;课件;理论教学;教学方法
中图分类号:G642 文献标识码:B
文章编号:1672-5913 (2007) 23-0026-03
信息安全是计算机学科下的二级学科,是一门新兴的学科。它涉及通信学、计算机科学、信息学和数学等多个学科,主要研究范围涉及计算机及网络安全的各个方面。“信息安全概论”课程是信息安全专业的专业基础课程,也是提高学生计算机水平的重要组成部分。其教学内容主要包括:信息安全概述、密码学基础、密钥分配与管理技术、访问控制、防火墙技术、入侵检测技术、信息安全应用软件、企业与个人信息安全、Web的安全性、网络安全,它是一门综合性很强的课程。它的作用主要是让学生掌握信息安全的基本原理、基本概念;了解信息安全系统的设计方法;且要求学生能够进行一些信息安全实践,提高动手能力。学时分配为:理论教学32学时,实践教学24学时。由于这门课程理论性强、信息量大且抽象,而授课对象是低年级学生,专业知识尚不丰富,因此,如何在教学过程中提高学生的学习兴趣?如何开展实践教学?如何更好地将理论教学的知识点有机地融入到具体的实验中去?使学生不仅能够通过实验理解和掌握理论教学的内容,还能通过实验了解和掌握一定的工程技术知识,培养和锻炼学生的分析能力、综合解决问题的能力和实际动手能力,就成为我们在教学研究中需要解决的主要问题。
1目前教学中存在的问题
(1) 教学媒体使用不当。传统的教学方法主要是把学生集中起来,现在虽然有多媒体教室,对教学起到了一定的积极作用,但课件多是对书本内容的罗列,对启发式、讨论式的教学方法采用比较少。而课程内容较多且抽象,被动接受知识的方式无法有效提高学生的学习兴趣,学生普遍反映应难以跟上教学进度。
(2) 教学内容与数学课程脱节。信息安全概论这门课程涉及到大量的算法和协议,如密码学涉及到大数大因数分解问题、离散对数问题、椭圆曲线离散对数问题,等,这体现了信息安全专业与数学基础学科结合的紧密性。而在课程开设中,往往认为该课程是入门课程,而忽视了对数学课程的讲解,导致学生学习相关内容时感觉较难掌握。
(3) 重理论,轻实践。“信息安全概论”是信息安全学科的一门基础课,主要为信息安全及计算机相关专业的低年级本科生开设,因此,该课程旨在对学生讲解信息安全的基本理论,让学生对信息安全学科有个较为全面的认识,以利于后续课程的开展。信息安全主要讲解内容包括信息安全基本理论、安全协议及安全技术等几个部分。在开设课程过程中,由于片面注重理论的重要性,往往造成以课堂讲授为主,形成一种“灌输式”的教学。然而,由于该课程是为低年级学生开设,很多同学在听课过程中,感觉内容比较抽象,无法正确理解课程内容。如:RSA大数分解等内容,如果学生只是被动记忆公式和算法,而不借助实践性环节,如创新性实验、课程学习讨论、课程设计环节,等,将导致学生学习兴趣不高,教学质量没有保证,不利于学生创新能力的培养。
2课堂教学的改进
针对上述问题,教学组对以下几个方面作出了改进。
2.1课件的改进
板书与课件相结合的方式可提高教学效果,但其中最关键的是课件的制作。课件的内容不能仅是课程内容的罗列,而是要对课程内容跨章节地组织起来,形成一个整体,当然也包括与其他课程之间的关联。如在讲解密码学、访问控制、防火墙技术等章节后,学生具备了信息安全的基础知识,但是知识点比较分散,对信息安全的综合应用能力较弱。教学组在课程讲授过程中安排综合应用实例讲解。如以电子商务安全综合应用实例,该综合实例讲解安排在讲授完各个章节内容以后,共2学时。内容是设计典型企业网络拓扑;运用对称密码学,如DES算法为基本加密手段对电子交易进行加密,利用非对称密码学,如RSA算法;采用数字信封方式,对DES会话密钥进行加密分发;采用防火墙对企业网络进行防护;交易过程采用SET协议保障安全。这样,学生就能将各个章节的内容联系起来,巩固所学知识,提高综合运用的能力。
将信息安全中理论性强、极其抽象的内容制作成 Flash 动画。例如在讲述DDoS攻击时,学生对攻击者侵入傀儡机,并利用傀儡机攻击的过程很难理解。可用 Flash 动画来演示,以便在课上形象讲解黑客是如何对傀儡机进行控制,并对受害网络进行入侵的。特别将洪泛攻击的特点用动画方式,一步步展现给学生,使学生轻松接受知识。这种课件也便于学生在课下自主复习。
2.2重视数学基础
信息安全涉及大量的基础协议,如密码学中的RSA算法就涉及近世代数的基础知识。因此,需要为学生开设相关的数学基础课程,同时,在讲授该算法之前,先对数学知识进行复习,复习时以要点讲解为主,如:欧拉函数的定义,逆元的求解方法,等。对于逆元的求解,可以以具体的RSA实例进行讲解。另外,让学生进行实际的上机练习,利用数学基础进行编程实验,加深对密码学基础知识的理解,如为学生布置这样一道上机题:若有明文public key encryptions,请设计RSA加密算法对该明文进行加密,编程实现密钥的生成。学生就能通过上机实践,熟悉RSA算法的原理,并理解每个步骤的计算过程。
3改进实验方法
课堂讲授之外,还要对实验课进行合理安排。实验主要包括信息安全协议实验和信息安全综合实验两个部分。如表1所示。
表1 课程配套实验内容
其中,信息安全协议实验目标是使学生系统掌握安全协议及算法,了解安全协议的应用范围。掌握根据系统的安全要求(包括机密性、完整性、访问控制、鉴别、审计、追踪、可用性、抗抵赖等方面),综合运用安全协议的能力。信息安全综合实验目的是将系统的安全要求(包括机密性、完整性、访问控制、鉴别、审计、追踪、可用性、抗抵赖等方面),在OSI或者TCP/IP模型的各个层次予以考虑,并且结合安全管理策略在网络安全方案中予以保障,从而构成实际应用中的一个完整的信息系统安全方案。
实验课程中,教师先利用原型系统对实验效果进行演示,特别对网络攻防相关内容,进行实际操作演示,提高学生学习兴趣。
实验内容有针对性,以便于学生结合课堂上的实例讲解,理解信息安全的抽象内容。要求学生对实验结果进行分析、讨论,鼓励学生组成讨论小组,并写课程小论文,以加强学生之间的交流。如对于数字签名的实验,可让学生分成两组,在一台实验机器上完成信息的生成、签名、发送,在另一台机器上,对网络上接收到的信息进行解析、完整性校验。
为了更好地培养和锻炼学生的独立工作能力和创造性思维能力,对于信息安全综合实验,我们为学生设计了一个模拟的安全需求,具体如下:设计一在线考试系统,并从以下几方面保证系统的安全性:
服务器的安全防护,提供访问控制、安全审计、信息加密等功能,从保密性、可用性、可控性等几方面保证服务器的安全运行。
提供客户机、服务器的认证功能,保证考试过程的有效性。
提供客户机、服务器通信加密功能,保证通信内容的机密性。
恶意代码、蠕虫、病毒防御功能。
数字证书体制设计。
这一用户需求巧妙地将实践教学的知识点隐藏了起来,给学生提供了一个综合分析问题的空间。学生只有通过认真的需求分析,反刍所学的理论知识,才能正确地确定采用何种安全技术,从而培养和锻炼了学生的分析能力。
4结束语
本文提出的关于信息安全概论的教学方法将原本抽象、难以理解的数学基础知识、安全协议,形象、实例地配合实验进行讲解从而变得易于理解。学生通过实验进一步加深理解,较之传统的教学模式明显提高了学生对课程内容的理解及掌握。此方法在我们的本科教学过程中取得了明显的效果。
参考文献
[1] 王昭顺.信息安全本科专业人才培养的研究[J].计算机教育,2006,(10):30-32.
[2] 刘传才,陈国龙,密码学课程的探索与实践[J].高等理科教育,2002,(05).
关键词:蓝牙密钥DES算法安全机制
蓝牙作为一种新兴的短距离无线通信技术已经在各个领域得到广泛应用,它提供低成本、低功耗、近距离的无线通信,构成固定与移动设备通信环境中的个人网络,使得近距离内各种信息设备能够实现无缝资源共享。
由于蓝牙通信标准是以无线电波作为媒介,第三方可能轻易截获信息,所以蓝牙技术必须采取一定的安全保护机制,尤其在电子交易应用时。为了提供使用的安全性和信息的可信度,系统必须在应用层和链路层提供安全措施。
本文重点讨论了蓝牙信息安全机制的构成原理及相关算法,并指出其在安全性方面存在的不足与问题。因为对于大多数需要将保密放在首位来考虑的应用来说,蓝牙现行标准所提供的数据安全性是不够的。蓝牙现行规范采用的128位密钥长度的序列的加密在某些情况下可以被破解。本文同时提出了一种蓝牙安全机制的改进方案,即采用DES加密体制构建强健的加钥算法,能够在计算上证明此加密算法是安全可靠的。
1蓝牙的安全机制
蓝牙采取的安全机制适用于对等通信情况,即双方以相同方式实现认证与加密规程。链路层使用4个实体提供安全性:一个公开的蓝牙设备地址,长度为48bit;认证密钥,长度为128bit;加密密钥,长度为8~128bit;随机数,长度为128bit。以下重点讨论蓝牙安全机制的组成及相关算法。
1.1随机数发生器
随机数发生器在蓝牙标准中有重要应用,例如在生成认证密钥和加密密钥中以及查询-应答方案中等。产生随机数的理想方法是使用具有随机物理特性的真实随机数·发生器,例如某些电子器件的热噪声等,但是在实际应用中通常利用基于软件实现的伪随机数发生器。蓝牙系统对于随机数的要求是“随机生成”和“非重复性”。“随机生成”是指不可能以明显大于零的概率(对于长度为L位的蓝牙加密密钥,概率大于1/2L)估计出随机数值。
目前在众多类型的伪随机数发生器中,线性同余发生器(LinearCongruentialGenerator)被最广泛地研究与使用。其表达式为:
Xn+1=αXn+c(modm)n≥0。
式中α和c为常量,m为模数,均为正整数。αXn+c对m作模运算后得到Xn+1。开始时以某种方式给出一个种子数X0;然后使用前一个随机整数Xn生成下一个随机整数Xn+1,由此产生整数随机数列{Xn}。
1.2密钥管理
蓝牙单元密钥长度不能由单元制造者预置,不能由用户设置。蓝牙基带标准规定不接收由高层软件给出的加密密钥以防止使用者完全控制密钥长度。
1.2.1密钥类型
链路密钥是一个128位随机数,为通信双方或多方共享的临时性或半永久性密钥。半永久性链路密钥可以用于共享链路单元之间的几个相继认证过程中。临时密钥的典型应用是:在点对多点通信情况下,同一信息需要安全地发往多个接收端,这时采用主单元密钥取代当前链路密钥。蓝牙标准定义了四种链路密钥:①联合密钥KAB;②单元密钥KA;③临时密钥Kmoster;④初始化密钥Kinit。此外还定义了加密密钥Kc,由当前链路密钥生成。对蓝牙单元来说,单元密钥KA在单元A中生成,依赖于该单元,很少改变。联合密钥KAB。由单元A、B方共同生成。临时密钥Kmoster仅在当前会话中使用,也称主单元密钥。初始化密钥Kinit是蓝牙初始化过程中使用的链路密钥。该密钥由一个随机数、一个通常为十进制的PIN码以及发起单元的蓝牙设备地址BD_ADDR生成。PIN码可由用户选择也可以是随蓝牙一起提供的固定数。目前大多数应用中PIN码为4位的10进制数,无法提供较高的安全性。蓝牙基带标准要求PIN码长度为1~16位,因此建议尽量使用较长的PIN码以增强安全性。
1.2.2密钥生成与初始化
每一对要实现认证与加密的蓝牙单元都要执行初始化过程,其过程由以下几部分组成:
(1)生成初始化密钥Kinit:为初始化过程中临时使用的链路密钥。该密钥由E22算法及相关参数生成,其生成原理图见图1。E22输出的128位初始化密钥Kinit用于链路密钥的交换分配过程。如果申请者与证实者没有交换过链路密钥,则Kinit用于认证过程,否则不再使用。该过程必须保证能够抵御一定的攻击,例如攻击者使用大量的假蓝牙地址BD_ADDR来测试大量PIN等,如果设备地址固定则每次测试PIN码等待间隔应按指数增加。
(2)认证:如果两个单元没有发生过通信联系,则使用初始化密钥作为链路密钥。每次执行认证规程,均新随机参数AU_RANDA。在相互认证中,首先在一个方向执行认证规程,成功后再反向执行认证。认证成功将得到一个辅助参数ACO,即认证加密偏移量。它将用于生成加密密钥。
(3)生成单元密钥:单元密钥在蓝牙单元首次运行时生成,根据E21算法生成并几乎不改变。初始化时,通信双方通常选用一个内存容量较少的单元中的密钥作为链路密钥。
图3
(4)生成联合密钥:联合密钥是分别在A单元与B单元中生成的两个数字的组合。生成过程是:每个单元生成随机数LK_RANDA与Lk_RANDB,采用E21算法与各自的随机数、蓝牙地址分别生成另一个随机数LK_KA与LK_KB,并通过其他操作后两个单元得出联合密钥。然后开始互相认证过程以确认交互过程成功。联合密钥交换分配成功后将放弃使用原链路密钥。
(5)生成加密密钥:加密密钥Kc根据E3算法,由当前链路密钥、96bit“加密偏移数”COF和一个128bit随机数导出。
(6)点对多点配置情况:实际上,主单元通知几个从单元使用一个公共链路密钥广播加密消息,在多数应用中这个公共链路密钥是临时密钥,记为Kmoster。Kmoster被从单元接收后便可用它替代原链路密钥Kmoster的产生过程为:首先由2个128bit的随机数RAND1与RAND2生成新链路密钥Kmoster:Kmoster=E22(RAND1,RAND2,16)。然后将第3个随机数RANO发往从单元,主、从单元根据E22、当前链路密钥及RAND计算出128bit扰乱码overlay,主单元将overlay与新链路密钥按位“异或”结果发送给从单元,再计算出Kmoster。在后面的认证过程中计算出一个新ACO值。
1.3加密规程
对有效载荷加密通过流密码算法实现,流密码与有效载荷同步,加密原理图如图2所示。流密码系统由三部分组成:执行初始化、生成密钥流比特、执行加密或解密。有效载荷密钥生成器将输入比特流以恰当顺序进行组合并移人密钥流生成器使用的4个线性反馈移位寄存器LFSR。第二部分是主要部分,密钥流比特根据Massey与Rueppel提出的方法生成,该方法经过一定的分析与研究,证明具有较高的加密性能,但此法可能受到相关攻击,其改进方法在本文后面详细描述。
1.3.1商定加密密钥长度与加密模式
实现基带标准的蓝牙设备需要定义最大允许密钥字节长度Lmax,1≤Lmax≤16。在生成加密密钥前,有关单元必须商定密钥实际长度。主单元将建议值L(M)sug发送给从单元。如果L(S)min≤L(M)min并且从单元支持建议值,从单元对此给予确认,L(M)min成为本链路加密密钥长度值。如果不满足上述条件,从单元将向主单元发送新的建议值L(S)min〈L(M)sug,主单元对此建议评估。重复此规程直至达成协议或一方放弃商谈。
1.3.2加密算法
加密规程使用流密码加密。加密系统使用线性反馈移位寄存器(LFSRs),寄存器系统输出由具有16状态的有限状态机进行组合,状态机输出或是密钥流序列,或是初始化阶段的随机初始值。加密算法需要提供加密密钥、48bit蓝牙地址、主单元时钟比特与128bit随机数RAND,加密算法原理如图3所示。
其中,有4个LFSR(LFSR1,…,LFSR4),比特长度分别为L1=25,L2=31,L3=33,L4=39,反馈多项式(抽头多项式,特征多项式)。4个寄存器长度之和是128bit。
这些多项式都是本原多项式,汉明重量都为5,可以兼顾生成序列具有良好的统计特性与减少硬件实现所需要的异或门数两方面的要求。
令xit表示LFSRit时刻输出状态比特,由四元组(x1t,…,x4t)得Yt为:
,式中Yt为整数,取值为0,1,2,3或4。加法生成器输出由下述方程给出:
式中,T1[.]与T2[.]是GF(4)上两个不同的线性双射。
密钥流生成器工作前需要为4个LFSR(总共128bit)装载初始值并且确定C0与C-14bit值,这些132bit初始值使用密钥流生成器由规定的输入量导出,输入量分别为密钥Kc、48bit蓝牙地址和26bit主单元时钟CLK26-1。加密算法初始化过程:(1)由128bit加密密钥Kc生成有效加密密钥,记为K'c,令L(1≤L≤16)为用8bit组数目表示的有效密钥长度,则K'c(x)=g2(L)(x)(Kc(x)modg1(L)(x))。(2)将K'c、蓝牙地址、时钟以及6bit常数111001移入LFSR。加密算法初始化完成后,从加法组合器输出密钥流用于加密/解密。
1.3.2认证
蓝牙技术认证实体使用所谓查验-应答方案。通过“两步”协议,申请者是否知道秘密密钥使用对称密钥进行证实。这意味着,一个正确的申请者/证实者对,在查验-应答方案中将共享相同密钥Kc,证实者对于申请者是否能够认证算法K1认证随机数AU_RANDA,并返回认证结果SERS,进行查验。其认证及加密密钥生成函数可以参考相关资料,此处略。
2蓝牙安全机制的方案改进
现有蓝牙安全机制主要存在两个主要问题。一个是单元密钥的使用问题:在鉴权和加密过程中,由于单元密钥没有改变,第三方利用此密钥来窃取信息。128位密钥长度的E0序列加密在某些情况下可通过不是很复杂的方法破解。另一个是蓝牙单元提供的个人识别码(PIN码)的不安全问题:由于大多数应用中PIN码是由4位十进制数组成,所以采用穷举法很容易攻击成功。
克服这些安全性问题的解决方法除了增加PIN码长度外,关键是要采取更为强健的加密算法,如用数字加密标准DES代替序列加密算法。DES是一种块加密方法,加密过程是针对一个个数据块进行的。在DES算法中,原始信息被分为64位的固定长度数据块,然后利用56位的加密密钥通过置换和组合方法生成64位的加密信息。与蓝牙序列的加密算法不同,数学上可以证明块加密算法是完全安全的。DES块密码是高度随机和非线性的,其产生的密文和明文与密钥的每一位都相关。DES的可用加密密钥数量非常庞大,应用于每一位明文信息的密钥都是从这个庞大数量的密钥中随机产生的。DES算法已经被广泛采用并认为非常可靠。采用DES加密算法的蓝牙技术可以将蓝牙应用到安全性较高的应用中去,例如电子金融交易、ATM等。
2.1DES算法
1977年美国国家标准局公布了联邦数据加密标准DES。由于DES算法保密性强,迄今尚无切实可行的破译方法,所以DES得到了广泛地应用。DES是一种分组密码体制,它将明文按64位一组分成若干组,密钥长为56位。其基本思想是采用变换的组合与迭代,将明文中的各组变为密文组。
在DES系统中,乘积变换是加密过程的核心,连续进行16次操作,每次更新一组密钥。移位变换B是移位变换A的逆变换。图4为DES体制加密流程,图的右侧表示DES系统的密钥生成过程。初始密钥是一串64bit的随机序列。经过反复移位变换,产生16组子密钥(K1~K16),每组子密钥用于一次乘积变换。所谓初始重排(IP)就是打乱输入分组内比特原有排列次序,重新排列,排列方式是固定的。
DES的一次乘积变换运算步骤为:(1)把64bit输入码分成左右两组,每组32位比特,分别用Li-1和Ri-1代表。其中i代表第i次乘积变换,i=1~16。(2)把该次乘积变换输入分组的右组32位比特变为输出分组的左组32位比特,即Li=Ri-1。(3)输入分组右组32位比特经过扩展操作变为48位比特码组。(4)扩展变换输出的48位比特与子密钥Ki的48位比特按模2相加,输出的48位比特分为8组,每组6位。(5)把每组6位比特进行密表(S-盒)替代,产生4位比特。输入的6位比特的第1、6两位决定密表内所要选择的行数,其余4位决定密表内的列数。(6)把8组密表输出合并为32位比特,然后与本次乘积变换输入左组Ci-1按位模2相加,即可得到第i次乘积变换的右32位输出Ri。
2.2DES算法的特点
DES算法具有以下特点:
(1)DES的保密性仅仅取决于对密钥的保密,算法公开。
(2)在目前水平下,不知道密钥而在一定的时间内要破译(即解析出密钥K或明文)是不可能的,至少要建立256或264个项的表,这是现有资源无法实现的。
(3)由于“雪崩效应”,无法分而破之,一位的变化将引起若干位同时变化。
综上所述,由DES算法构建的蓝牙安全机制是可靠的,采用穷举方式攻击是不现实的。假设有一台每秒完成一次DES加密的机器要用将近1000年的时间才能破译这个密码。
关键词:建构主义理论;C++课程群;教学模式
0 引言
与计算机领域其他专业不同,信息安全专业需要更加注重实践教学,而且在实践内容设置上具有一定的特殊性。一方面它涉及数学、密码学、网络安全协议等理论性、抽象性很强的专业教学;另一方面作为一门应用学科,在人才培养模式方面更注重应用性、工程性和实践性。C++课程群(见图1)是指C++程序设计以及基于C++程序进行实践教学课程的统称,在信息安全专业中主要包括高级程序设计C++、密码学基础、应用密码学、网络安全编程及课程设计、信息安全综合实践、计算机病毒原理与防治等课程构成的课程群。C++课程群是信息安全专业教学实践环节的核心和支撑课程,贯穿信息安全专业整个教学过程,它们实践的好坏直接反映了信息安全专业的人才培养质量。
然而,在多年的C++课程群教学过程中发现,大部分学生由于在大学一年级没有很好地理解和掌握C++编程,导致后继C++课程群的实践环节难以有效展开,造成在课程群实践环节和毕业设计综合实践环节中拼凑、雷同、抄袭的现象较为严重。因此,针对目前C++课程群教学现状,我们提出基于建构主义理论的信息安全专业C++课程群教学模式,改变传统的以教师为主的灌输教育,而以学生为主体,通过将建构主义理论中的理念和机制灵活应用于教学过程,充分发挥学生的主观能动性,将抽象理论知识学习和动手实践能力培养相结合,有效改进C++课程群的教学效果,培养学生分析问题和解决问题的能力,增强学生的团队合作能力和社会竞争力。
1 基于建构主义理论的教学模式
1)基于建构主义理论的总体框架。
基于建构主义理论的教学模式(见图2),我们把该模式有效地应用于C++课程群中不同课程的教学实践中,即将“项目演示主动认知团队实践团队讨论认知统一项目构建”的教学模式以适合的形式贯穿于课程教学始终,使学生能够积极主动地深人学习C++课程群中的每门课程和实践环节。这个模式贯穿C++课程群的不同阶段,而且根据课程性质的不同可以具有不同的实现形式。
“项目演示主动认知团队实践团队讨论认知统一项目构建”是一个循序渐进而又相互渗透的过程。通过项目演示激发学生的探究兴趣,调动学生的主动认知学习本能;通过团队实践和团队讨论验证团队成员主动搜集和挖掘知识的能力,使团队成员达到新的认知统一;然后基于统一的认知进行项目构建;最后项目构建的成果又作用于项目演示,从而使团队成员的知识得到不断丰富和提高。
例如,从低年级开始强化C++程序设计、数据结构(基于C++)等专业基础课程的实验实践,主要采用基于ACM程序设计大赛的形式构建“项目演示主动认知团队实践团队讨论认知统一项目构建”的教学模式。信息安全专业的核心技术是密码技术和网络安全协议。因此,实践教学必须也围绕这两个核心技术展开。但是,不管是密码技术还是网络安全协议,其理论和技术均有较高的门槛。要开始这类课程和实验,学生必须具备密码理论与实现、网络协议分析和较强的网络编程能力。同时,信息安全的实验通常是涉及网络威胁和防护多个方面的综合实验,一个完整的实验内容多、工作量大,对学生的综合能力也提出较高的要求。因此在讲授信息安全专业课程时,主要采用安全竞赛和项目驱动的方式构建“项目演示主动认知团队实践团队讨论认知统一项目构建”的教学模式。在进行毕业设计和综合实践实训时采用项目驱动的方式构建“项目演示主动认知团队实践团队讨论认知统一项目构建”的教学模式。
2)基于协作式学习的教学组织过程。
建构主义理论要求以学生为中心,强调学生对知识的主动探索、主动发现和对所学知识意义的主动构建,因此我们采用了基于协作式学习的教学组织过程。协作式学习是指通过团队的形式组织学生进行协同学习,如模式中的团队实践和团队讨论,团队成员共同学习、讨论和解决问题以达到教学目标。优势之一在于团队成员可以有效共享彼此通过不同途径(如网络、图书馆等)主动收集、挖掘的信息以及根据实践总结的资料和实验结果等;优势之二在于可以进一步通过班级PPT讲解或讨论与其他团队共享搜集资料和实验结果,加深对不同知识点的理解和升华。在此过程中,教师总体负责教学和实验的组织、进展和引导,以保证教学以及实验目标的有效实现和协作学习成果的有效共享。
例如,在应用密码学教学过程中,我们首先通过相应的与安全相关的项目演示,激发学生的兴趣,然后根据内容将学生随机分组,每组4-5名学生,在规定的时间内(一般为一周)协作完成PPT制作(组长负责任务分解和协调)、PPT讲解(推荐组内同学)、密码理论研究、算法实现和演示、安全与攻击等教学和实验内容。组内成员可以采用不同方式对研究问题进行分析和讨论,由组长和成员共同讨论决定。每个组内成员根据自己的子任务进行资料收集和整理。组内成员的成绩直接影响小组的成绩,同时也影响自己的最终成绩。这种方式充分调动了每个组内成员的学习积极性,有效克服了个别成员的畏难和偷懒情绪,最重要的是学生的团队合作精神和集体荣誉感增强,而且面对面的相互交流也使得每个成员的学习效率最大化。组与组之间以班级的形式共同讨论,教师和各组成员互相点评成果质量、思路完善程度、材料搜索和总结完备程度,从而达到激发竞争力、相互学习和促进的效果。
通过C++课程群中的教学实践,如基于ACM竞赛的高级程序设计C++教学模式、基于攻击与防御情景模拟的网络攻击与防御教学模式以及基于创新实践项目的安全综合实践等证明,这种教学模式有效地调动了学生的参与积极性、主动学习兴趣,激发了学生的潜在学习能力,课堂气氛明显活跃,甚至一些平时不爱学习,只靠考试最后几天突击学习的学生,也不得不在平时积极准备以便充分展示自己,以达到最终的考评要求。
3)基于竞赛或项目驱动的实践能力培养和社会竞争力提升。
建构主义理论要求通过实物或项目演示激发学生的初始认知兴趣,进而引发学生的主动探索和认知潜能,因此我们在C++课程群教学中通过引入合适的竞赛和实践项目来激发学生的学习兴趣和主动学习欲望,进一步培养学生的自主创新实践和社会实践能力,以有效提升学生的社会竞争力。
例如,我们在C++课程群教学中主要采用两条路线进行。一是设计符合实际需求的创新实践题目,如企业团体邮件安全分发的异常检测、基于挑战应答机制的身份验证系统、恶意软件的内核级程序设计、数码照片的来源盲鉴定等,由感兴趣的学生分组合作申请或参加各类大学生实践创新项目和应用比赛,如中国机器人RoboCup公开赛、ACM程序设计大赛、上海市大学生科创项目、上海高校信息安全竞赛、Google Android应用开发中国大学生挑战赛、上海市大学生计算机应用能力大赛等。二是校企联合实践项目。通过让学生参与企业项目,来迎合市场实际需求,培养学生社会实践技能,增强学生社会适应能力,提高学生社会竞争力。采用的方法是学生通过小组讨论、问题分析与解决、与指导教师或企业实训教师讨论等多个环节的锻炼,有效地培养学生独立思考和解决问题的能力,更重要的是增强了团队合作精神,提升了社会竞争力。
与此同时,我们将这种竞赛或项目驱动机制引入到实验实践教学中,通过模拟正规比赛规则评判学生实验实践质量。我们设计了各种竞争和激励机制,如综合排名、日冠军、周冠军等,给学生的学习带来了更多乐趣和挑战。将其与绩点、各种计算机类竞赛的参赛资格等挂钩,激发学生的竞争意识,调动其学习欲望和主动性,以形成你争我赶的良性互动局面。
4)创新课程考核和评价机制。
考核和评价机制的设置应该能够充分反映一个学生各个方面的能力体现,如资料收集、课件展示、问题回答、作品展示等。然而,目前存在的考试考核方法单一,一般采用期末试卷或者大作业形式,如平时成绩×30%+期末成绩×70%。这种考试考核方法在与实际结合紧密的信息安全专业C++课程群教学中日益显露出弊端,不能有效反映学生的实践能力和资料收集整理、总结能力。试卷将学生的学习目标定位于做题,极易导致高分低能现象。大作业要求学生提交程序或报告,由教师按照一定的评判标准根据代码或书面报告给出成绩,评判标准有局限性,学生也难以展示创新思想和创新观点,导致大量雷同报告的产生。另外,考核多集中于期末,导致学生平时的参与积极性不高。
在我们提出的基于建构主义理论的教学模式中,考核方式采用多层次的评价体系,更注重学生自主学习能力和创新能力的考核,实行平时分组讨论表现和期末考核相结合的方法。将学生分组,每组人数可以根据课程不同调整,对学生的资料收集能力、PPT准备情况、自制团队教学录像情况、表达能力、协同学习能力等进行考核。
根据C++课程群的教学实践表明,这种评价体系不仅有效体现了公平、合理,且鼓励创新,更加有效地调动了学生的主观能动性和积极性,激发学生的表现力和创造力,形成活跃的学习氛围,并能较好地体现出学生不同方面的创新水平,达到团队成员优势互补,如在PPT制作中涌现出大量优秀作品,部分学生因此获得了市级奖项,部分学生发现了自己的演讲天赋和现场表现力等。
2 基于建构主义理论教学模式下的教学实践效果
1)学生参与科创的主动性提高。
在基于建构主义理论的教学模式指导下,构建了完善的学科实验实践教学平台,为学生进行形式多样的科创活动打下坚实的基础。通过相关课程的内涵建设,加强了实践教学。课题组成员通过贯彻理论与实践相结合的讲课原则,提高了教师的业务能力和实践指导水平。在教师指导下,学生可以参加形式多样的科创活动,而且近几年本专业参加科创的学生人数逐年递增,获得资助的科创项目数量迅速增长,从2008年的7项增至2011年的30项,平均每年有8组40名左右学生参与教师科研项目。
2)工程实践能力提高。
在基于建构主义理论的教学模式指导下,学生的工程实践能力显著提高,充分利用创新应用实验平台和企业联合实践平台,激发学生潜能,培养学生实践能力和创新思维,极大地丰富了学生的科技创新活动和社会实践活动,培养了学生创新实践能力和创新思维,取得了一定的成果。目前我们建设有机器人协会、微软俱乐部、ACM协会等学生社团以及十多家产学研企业实践实习基地。
信息安全专业培养要求
1.具有扎实的数理基础,熟练掌握一门外语并具有一定的译、听、说和初步的写作能 力;具有国际视野和一定的跨文化的交流、竞争与合作能力;
2.掌握模拟和数字电子线路的基本原理、分析方法、实验技能与方法;
3.掌握通信、计算机网络和信息系统的基本理论和专业知识,掌握密码、信息安全以 及信息安全管理的基本理论与方法;
4.具备在信息、信息过程和信息系统等方面进行信息安全与保 密关键技术的分析、 设计、研究、开发的初步能力以及安全设备与软件的应用、信息系统安全集成与管理的 能力;
5.了解国家有关信息安全方面的政策和法规以及有关国际法律、法规;了解信息安全 技术领域的理论前沿、应用前景和发展动态;
6.掌握计算机的基本原理与技术,具有初步的软、硬件的开发能力;
7.掌握文献检索、资料查询的基本方法,具有一定的科学研究和实际工作能力。
信息安全专业就业方向
本专业学生毕业后可在政府机关、国家安全部门、银行、金融、证券、通信领域从事各类信息安全系统、计算机安全系统的研究、设计、开发和管理工作,也可在IT领域从事计算机应用工作。
从事行业:
毕业后主要在新能源、互联网、计算机软件等行业工作,大致如下:
1 新能源;
2 互联网/电子商务;
3 计算机软件;
4 房地产;
5 贸易/进出口。
从事岗位:
毕业后主要从事项目经理、网络工程师、网络管理员等工作,大致如下:
1 项目经理;
2 网络工程师;
3 网络管理员;
4 销售经理;
5 行政助理。
信息安全专业主要课程
专业基础和专业课主要有:高等数学、线性代数、计算方法、概率论与数理统计、计算机与算法初步、C++语言程序设计、数据结构与算法、计算机原理与汇编语言、数据库原理、操作系统、大学物理、集合与图论、代数与逻辑、密码学原理、编码理论、信息论基础、信息安全体系结构、软件工程、数字逻辑、计算机网络等。
1 课程学习能力自我测评的设计
一个好的教学评价方式要有利于激发学生的学习积极性,提高学生的学习兴趣,要能够把学生的能力、潜质等特征性的东西描述出来,并予以引导,鼓励其发展自己的特长。
教学测评的多元化尝试从多方面、多角度来开展评价活动,要求评价既体现共性,更关注个性;既关注结果,更关注过程。评价的多角度,注重的是学习的主动性、创造性和积极性,关注的是学生在学习过程中的表现,包括使命感、责任感、自信心、进取心、意志、毅力、气质等方面的自我认识和自我发展。评价学习不再仅仅依靠考试成绩,还包括对学习的态度、行为等方面的考查。一句话,就是以多维视角的评价内容和结果,综合衡量学习的发展状况。
在教学改革的创新实践中,我们为专业课程的教学测评设计了“课程学习能力学生自我测评”环节,要求学生根据自己在本课程中的学习情况,客观地为自己做一个能力测评。
2“信息安全技术”学生测评分析
我们为“信息安全技术”课程编写了以实验实践为主线开展教学的教材1,全书通过一系列在因特网环境下学习和实验练习,把信息安全技术的概念、理论知识与技术融入到了实践当中,从而加深了学生对该课程的认识和理解。教学内容和实验练习包含了信息安全技术知识的各个方面,涉及信息安全技术、数据备份技术、加密与认证技术、防火墙与网络隔离技术、安全检测技术、访问控制与审计技术、病毒防范技术、虚拟专用网络技术、信息安全管理与灾难恢复、信息安全技术应用等内容。全书共设计了可选择的25个实验、1个实验总结和1个课程设计。
“信息安全技术”课程的教学测评方案是:
课程成绩= n×实验成绩(70%)+课程设计成绩(30%)-平时缺勤/迟到扣分。
其中,在公共选修课中开设此课程时,一般减掉课程设计环节。
在学期末,我们要求学生结合实验总结,根据自己学习本课程的实际情况,客观地填写学习能力测评表,即在表1“测评结果”栏中选择合适的项打“P”。
3 “数字艺术设计”学生测评分析
“数字艺术设计”(又称“艺术设计概论”)一般是为计算机专业数字媒体方向的学生,或者是动漫、游戏设计等方向的学生开设的专业选修课。我们为该课程设计了一系列在网络环境下学习的实验练习(共17个实验、1个课程实验总结和1个课程实践)2。实验练习内容涉及熟悉数字艺术设计,基本要素、美学原则与文字图案设计,二维静画图形艺术设计,网页艺术设计与Fireworks Web图像制作,二维动画图形艺术设计,三维图形艺术设计等数字艺术设计知识的各个方面。
该课程的教学测评方案是:
课程成绩= n×实验成绩(90%)+课程实践成绩(10%)-平时缺勤/迟到扣分。
本课程学生学习能力测评的分析内容以及两轮课程自测表中各项指标的平均分值见表3。
4“电子商务概论”学生测评设计
为“电子商务概论”课程设计的教学内容和实验练习涉及电子商务和电子政务基础、电子商务的技术基础、电子商务与现代企业管理、网络银行与电子支付、网络建设与解决方案、移动电子商务和电子商务系统管理等电子商务知识的各个方面,包括21个实验和一组可供选择的课程设计。3
为《电子商务概论》课程设计的学生课程学习能力测评表如表5所示。
5 测评数据的方差分析
如前所述,一方面,教师主要根据教学过程中得到的实验和实践(例如课程设计等)成绩求和得到学生课程成绩,另一方面,学生根据自身学习状况,通过表格量化处理得到该课程学习能力的自我测评数据,我们利用Excel软件对这两组数据进行单因素方差分析(One-way ANOVA)。
教育统计中的方差分析主要用于检验两个或多个总体间是否有显著差异。根据分析因素的数目可分为单因素方差分析、双因素方差分析和多因素方差分析。
例1:2006/2007学年“数字艺术设计”公选课数据,得到的分析结果如图1所示。
图1 06/07“数字艺术设计”公选课学生自测方差分析
假设两组数据无显著差别,显著水平α取0.05。由图1可知,P-value值为0.922722 ,F统计量为0.009449,远小于F0=3.91755,表明假设成立,教师与学生两组数据无显著差别。
例2:2007/2008学年“艺术设计概论”专业选修课数据,得到的分析结果如图2所示。
图2 07/08“艺术设计概论”专选课学生自测方差分析
假设教师与学生两组数据无显著差别,显著水平α取0.05。由图2可知,P-value值为0.78886,F统计量为0.072264,远小于F0=3.977779,表明假设成立。
例3:2006/2007学年“计算机安全技术”专业选修课数据,得到的分析结果如图3所示。
假设教师与学生两组数据无显著差别,显著水平α取0.05。由图3可知,P-value值为0.263693,F统计量为1.260845,小于F0=3.915138,表明假设成立。
例4:2007/2008学年“信息安全技术”公选课数据,得到的分析结果如图4所示。
假设教师与学生两组数据无显著差别,显著水平α取0.05。由图4可知,P-value值为0.528862,F统计量为0.398359,远小于F0=3.901761,表明假设成立。
图306/07“计算机安全技术”专选课学生自测方差分析
图407/08“信息安全技术”公选课学生自测方差分析
可见,绝大多数学生都能够根据自己的学习状况对该课程进行学习能力测评,学生自我测评和教师主观打分的平均结果相当一致。
6分析与体会
除上述课程外,课程学习能力的学生自我测评还体现在诸如操作系统原理、软件工程、汇编语言程序设计、数据结构与算法、网络管理技术、网页设计与网站建设、人机界面设计、信息资源管理等课程(这些课程均有相关的具有实验实践特色的课程主教材或实验教材)。
实践证明,在教学测评环节中引入学生自我测评,为实现教学的多元评价增加了积极的评价因素,有利于促进学生自觉地审视自我学习状况,提高对课程学习和复习的积极性,提高学生学习兴趣和自我管理的能力;也有利于教师通过学生评价数据来修正和调整自己的教学安排和评价尺度 (尤其当教师评价数据与学生自测数据有较大出入时),分析学生由此反映的教学意见。
同时,通过教育统计的方差分析等手段,也可以指导教师参考学生自我测评数据,来调整教学测评的结果。这样的课程测评设计在多门课程的教学改革与教学实践中受到学生的广泛欢迎,取得了很好的效果。
参考文献
[1] 周苏. 专业课程教学测评的创新实践. 北京: 计算机教育. 2008,(4).
[2] 周苏. 从公选课随堂问卷调查得到的启迪. 北京: 计算机教育. 2008,(3).
【关键词】多元化 网络信息安全 课程
【中图分类号】G642 【文献标识码】A 【文章编号】1006-9682(2012)02-0012-02
一、现状分析
目前,网络信息系统在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用。而随之产生的互联网和网络信息的安全问题,也已成为研究热点。全世界每年由于信息系统的脆弱性而导致的经济损失逐年上升,安全问题日益严重。
华北电力大学顺应社会发展,预见到了社会对安全方面人才的需求,在2008年计算机系的培养方案修订中,在计算机系计算机科学与技术、网络工程、信息安全、软件工程等专业都开设了“网络信息安全”课程,在研究生中也开设了该课程,这使我校在相关专业建设方面走在了前列。
二、多元化、多层次教学改革的需要
计算机系各专业开设的“网络信息安全”课程,由于开设给不同层次、不同专业的学生,且有不同的课程性质,因此对课程内容提出了不同的要求。如果对各专业、各层次学生情况没有细致的内容区分,会造成有的专业前后续课内容重复,有的专业基础不够听不懂。下面对课程按具体情况进行分类。
1.本科生的“网络信息安全”课程
该课程在本科生中可进行以下分类:
(1)按必修课、选修课性质分类
第一,必修课。网络工程专业的“网络信息安全”课程。
第二,选修课。计算机科学与技术、软件工程、信息安全等专业的“网络信息安全”课程。
虽然都是选修课,但是因为所处的专业不同,而“网络信息安全”课程是高年级(第六学期)的课程,前续课程差异很大,特别是信息安全专业,前续课程已修过了“计算机密码学”、“信息论与编码”、“信息安全基础”、“信息安全实验课程”等与安全相关的课程,而其他两个专业没有。所以,同类性质的课程教学大纲与授课内容在不同的专业应不同。
(2)按授课方式分类
第一,双语授课。网络工程专业“网络信息安全”课程。
第二,汉语授课。计算机科学与技术、软件工程、信息安全等专业的“网络信息安全”课程。
双语授课可选用的教材比中文教材种类少,再充分考虑到各专业授课要求,因此要仔细规划好各专业的教学大纲内容。双语授课和汉语授课的授课内容,见表1、表2。
2.研究生的“网络信息安全”课程
计算机系从2004年起在研究生中开设了“网络信息安全”课程,所以有多年实施的培养方案。但随着2008版教学计划的执行,对研究生“网络信息安全”课程教学提出了新的要求,因为计算机系各专业本科都开设了“网络信息安全”课程,那么,研究生的“网络信息安全”课程该怎么讲?为此需要对课程体系进行重新设计。
设计时考虑的因素,既要照顾本校直升研究生的同学,又要考虑到外校考来的学生,使他们都能了解“网络信息安全”的精髓。研究生的授课内容如表3所示。
三、结 论
针对该课题,课题组成员对计算机系本科专业的各自特点进行了广泛调研,合理布局各专业“网络信息安全”课程授课内容,条理更清楚。同时,结合我校计算机系网络信息安全实验室的具体情况,对课程内容进行了进一步整合。在此基础上规划了研究生“网络信息安全”课程授课内容。目标是使课程更有的放矢,使毕业生能更好地服务于社会。
参考文献
1 华北电力大学信息安全专业培养计划[M].保定:华北电力大学,2008
2 牛少彰.信息安全概论[M].北京:北京邮电大学出版社,2004
随着计算机与网络技术的飞速发展和广泛应用,人们对计算机安全知识和技能的关注程度与日俱增。为了满足教育中人们对计算机安全
>> 计算机安全:原理与实践 计算机原理教学改革研究与实践 计算机安全技术与防护 计算机信息安全与对策 浅析计算机安全与维护 浅谈《计算机信息安全》的建设与实践 计算机系统安全与计算机网络安全 计算机病毒与计算机网络安全 计算机安全与计算机病毒防御 计算机网络安全与计算机病毒防范综述 计算机网络安全与计算机病毒防范研究 计算机网络病毒与计算机网络防范安全 计算机安全与计算机病毒的预防分析研究 计算机安全与计算机病毒的预防探究 计算机网络安全与计算机病毒的防范 计算机网络安全与计算机应用问题初探 计算机安全与计算机病毒的预防 探讨计算机网络安全与计算机病毒防范 计算机组成原理教学与实践的探讨 关于《计算机组成原理》课程的教学改革的研究与实践 常见问题解答 当前所在位置:l提供了非常有用的Web站点、书中的插图和表格、依章节的教学幻灯片以及课后习题参考答案等,这些便于读者阅读学习时参考。如果通过精选本书的内容作为教材使用,这些资源更为教师组织教学、编写课件提供了全方位的支持。
本书可以作为计算机及相关专业计算机安全课程的教材、信息安全专业信息安全概论等课程的教材或参考资料,本书同时也是信息安全专业技术人员、管理人员和学术研究人员非常理想的有重要价值的参考书。
在该书翻译过程中,译者改正了书中存在的一些错误与排版错误;译者和编辑们就某些网络术语的中文标准译法或更准确的译法进行了讨论,力求做到技术内涵的准确无误以及专业术语的规范统一。另外,机械工业出版社对此书高度重视,正在考虑出版本书的缩编版,使其更好地满足国内计算机安全课程在内容和课时等方面的教学要求,目标是造就一本权威、经典和适用的高校教材。
关键词:信息安全技术;教学模式;课堂教学;创新实践
信息安全技术是面向计算机科学与技术本科专业开设的专业必修课,其教学内容主要包括信息安全概论、密码学基础与PKI、病毒防护与网络攻防、防火墙与入侵检测等,是一门技术综合性较强的课程[1]。笔者将从信息安全类课程教学与实践两大环节中的共性问题入手,探索信息安全类课程中一般共性、有效的教学与实践方法。
1信息安全类课程现状分析
目前,在课程教与学活动中存在一些突出的共性问题和难题,主要表现在以下几个方面:
1) 如何进一步保持学生的课程学习兴趣。
信息安全课程与其他课程最大的不同是,学生一旦获知该课程名称时便有极大的兴趣,其原因来自于对从事信息安全工作的神秘感,以及目前日益出现的网络安全问题也使得学生急切地想成为一名网络与信息安全的攻防“高手”。但这样的热情随着信息安全基础理论――密码学的展开,以及对代数论和编码理论知识掌握的前提要求,使得大多数学生在该课程的开始阶段就进入了抽象理论理解的困境,致使学生早期的学习兴趣荡然无存。如何使他们保持一个良好的学习兴趣和动力,是我们在教程安排与实际教学实施上需要首先考虑和关注。
2) 如何开展“点”与“面”结合的教学与实践活动。
信息安全技术自身的内容非常广泛,包括信息安全基本概念、程序安全知识、密码学知识、网络安全与设计、系统安全知识以及安全产品设计基础。然而信息安全技术课程目前仅仅是一个入门级的课程,但是上述基本知识点在课程教学和实践环节都需要被涵盖。如何在有限的理论学时和实验学时中,将知识的“点”与“面”完美的结合,值得我们进一步探索。
3) 如何将理论教学与学生解决实际问题相结合。
面对目前频繁出现的网络安全问题,如何运用课堂所学知识解决实际问题是计算机应用型人才培养过程中的瓶颈问题。目前一些兄弟院校在课程实验环节上,通常将理论教学中的各知识点独立进行实验,这往往造成学生知识的孤立性和片面性,直接导致了理论教学与实践的严重脱节,使他们将来无法面对较为复杂的网络与信息安全系统分析、设计与实现。因此,探索一种更为有效的信息安全课程实验方法也迫在眉睫。
4) 缺少综合化的学生创新实践与教学平台。
通过河南省内高校及我校两个专业的两届学生课程学习情况来看,学生具有浓厚的信息安全学习兴趣和求知欲望。然而,一般学生对安全技术的概貌了解不够广泛,对共性技术本质的理解还不够深入,这些阻碍了学生进一步自主、独立地开展课外实践和技术应用,并且部分兴趣强烈并学有余力的学生,由于找不到合适的、开放的综合实验平台,故不能较好地完成、实现和验证自己的安全方案[2]。这对开展学生创新实践和大学生信息安全竞赛活动是不利的,亟需改进和弥补。
5) 缺乏合理、完善的实践教学环节安排。
传统的计算机类专业课程主要以实验教学训练、培养和加强学生独立分析问题、思考问题和解决问题的能力,并且通常以2学时或4学时为一个模块单元完成一次验证型、设计型或综合型实验。然而,对于信息安全类课程的实验教学而言,模块化的实验环节安排是无法较好地完成一个相对完整的基础理论知识与技术单元,从而造成学生只能草草结束,缺乏积极思考问题和技术分析,不利于课堂的知识巩固和有益补充[3-4]。
6) 缺乏信息安全技术认知水平评价体系。
信息安全作为综合性、应用性与实践性较强的专业技术,若单纯依赖传统的课程实验报告、中期测试和期末考核,已无法有效、及时地掌握学生的真实认知水平和能力,从而不能适时、及时地调整授课内容和侧重点,最终只能以分数评价教与学活动开展的优劣和成绩。
基于上述现状分析,教学课程安排不够合理,缺乏综合化的学生创新实践与教学平台,以及信息安全类课程的学生认知评价体系等,已成为普通高校在信息安全技术类课程教学活动中出现的共性难点问题。
2知行合一教学模式
“知行合一”思想由明朝思想家王阳明所提出,“知”是指科学知识,“行”是指人的实践,认识自然界客观规律与行动实践应当合二为一、密不可分。在信息安全技术教与学活动中,知行合一的教学模式内涵是指在培养信息安全工程、技术与应用人才的过程中,将认知、掌握信息安全理论、技术、方法的课堂教学活动,和安全技术实验教学、课外实践与学生竞赛活动有机结合,达到互为补充、相辅相成的目的。
2.1点面结合的课堂教学方法
1) 合理规划信息安全教程。
合理地安排教程、内容与学时,在不影响主要信息安全知识点讲解的同时,尽可能把与计算机专业学生在本课程前已掌握的课程知识,如计算机网络、软件工程等相关的信息安全知识点放在前面的章节讲解,使他们在巩固先前知识的同时,又能由浅入深地学习信息安全技术。
2) 点面结合的信息安全课程新教法。
信息安全课程涉及广泛的多领域知识,如计算机科学、通信与编码、基础代数等,涉及了计算机与网络安全的方方面面。如何让学生从总体上了解和把握信息安全知识的基础体系框架,需要把握该课程的“面”,同时对于计算机应用型人才培养中的信息安全应用关键技术知识理论和工程实验方法,又需要我们深入剖析该课程涵盖哪些“点”。此外,在把握了点与面之后,应进一步探索在课程教学中如何将两者统一起来、融合起来,使得学生在学习过程中从“面”到“点”的系统掌握应用技术,再由“点”及“面”的进一步深入体会信息安全系统工程的总体架构及其合理性,从而获取系统、全面的课程知识,为进一步的工程实验环节奠定扎实的理论知识基础。
2.2实验教学与开源实践方法
1) 从信息安全系统工程角度开展针对性课程实践。
这里虽然最有效方法就是要学生参与相关的、实际的安全项目开发,但是从我国高校的本科生教学情况来看,这种方法复杂而且耗时,对教师和学生的要求都很高,不适合初次接触信息安全的学生的教学实践。而且信息安全类的项目本身具有严格的保密级别,也不是轻而易举就可以参与的。这个方法不具有广泛适用性。因此有必要探索一条新的理论与实践相结合的方案,即建立信息安全课程综合实验平台,通过平台建设和实施,使得学生在此基础上完成信息安全课程基本、重要知识点的学习、掌握和熟练运用。
2) 合理规划实验教学环节和步骤。
将规划的基础知识(能力)单元,依据知识关联度和前导性等原则,凝练出4~6个较为综合的实验项目,其中验证型项目课内外总学时不少于6学时,综合型/设计型项目课内外总学时不少于10学时。学生在课内外可利用建立的创新实践平立完成实验和开展课外实践及竞赛培训,主讲或实验教师也可基于该平台对学生的实验作业或竞赛作品进行检查和考核,从而对课程教学与实践活动建立一个正确的评价机制。
3) 搭建综合化创新实践教学平台。
基于认知水平评价体系,明确列出权重值倾向于技能与应用培养的教学与实践单元。进而发掘、收集和建立对应的开源软件或中间件创新实践库。例如,用于网络攻击技能认知的Sniffer开源软件包、Wireshark网络协议分析软件包、X-Scan/SuperScan应用软件包等,用于安全防御的Snort开源软件包,以及单点登录、基于角色的授权管理等模块化的安全应用软件组件、中间件或服务。此外,在日常教学实践活动中,往届学生在课程设计、毕业设计和信息安全类竞赛活动中优秀的Demo系统、原型系统和实际应用系统,也可以纳入创新平台体系建设中,使得日后教学实践活动可以在此之上验证基础知识单元、设计与实现新的安全方案与创新思路和测试基础能力单元,如表1所示。最终建立一个以现代网络技术为基础的,较为完整、开放、综合化的创新能力实践与教学平台。
2.3知识能力认知评价方法
1) 构建信息安全技术学生认知评价体系。
首先,明确本科学生必须认知和掌握的信息安全技术基础知识(能力)单元,即规划认知评价的内容,例如,密码学基础理论单元、密码学相关的PKI基础应用单元、网络攻击基本技能单元、防病毒与入侵防御基本应用单元、信息安全新技术基础认知单元等。其次,规划建立较为完备的三级评价指标体系,其中包括基础安全理论(技术)认知水平(Basic Theory & Technology, BTT)、基本安全技能认知(熟练)水平(Basic Skill Proficiency, BSP)和基本安全方案认知(构建)水平(Basic Scheme Construction, BSC)。上述每一个知识(能力)单元都将涵盖三级指标体系的每个层面。最后,将每一个单元按照三级评价指标体系给出具体的指标子项,例如,密码学理论单元在安全理论认知水平指标项中可包含基本密码体制和基础密码算法两个指标子项,而密码应用协议、密钥管理与安全属于基本安全技能认知指标子项,基于密码学的应用安全与保护列为基本安全方案认知(构建)水平指标子项,如表2所示。此外,依据长期的教学实践经验,给出每一个子项的权重值,并且该值也可针对实际的学生学习和接受情况,加以实时调整[5]。
3教学实践效果
我校计算机科学与技术专业学生学习信息安全技术课程约120人/年;在电子信息工程、信息管理与信息系统等其他相关专业,学习该课程的学生约300人/年。通过知行合一、点面结合教学模式的实施,有效地满足了信息技术类工科人才培养中厚基础、重实践的基本要求,并较好地完成课程的教学活动。
4结语
信息安全技术类课程是计算机科学与技术本科专业,以及电子信息工程、信息工程等相关专业所开设的专业必修或选修课程,具有较强综合性、应用性和实践性。关于课程教育教学方法和手段改革的探索与实践,对于面向计算机工程与应用型人才培养的专业课程体系建设和培养方案制定具有重要的实际意义和借鉴参考价值。
参考文献:
[1] 陈昕,蒋文保. 信息安全专业应用型人才培养模式探索[J]. 计算机教育,2009(21):105-107.
[2] 李洪伟.“信息安全概论”实践教学的探索[J]. 计算机教育,2009(15):102-103.
[3] 郭凤海,贾春福. 信息安全开放实验探讨[J]. 计算机教育,2010(10):119-122.
[4] 唐海涛,金京姬,孟繁二,等. 浅谈网络与信息安全实验室规划与建设[J]. 中国科教创新导刊,2010(4):173-174.
[5] 郑秋生,王文奇,潘恒,等. 网络安全技术及应用[M]. 北京:电子工业出版社,2009:181-182.
Education Mode of Knowledge and Practice Unity in Information Security Technologies Curriculum
ZHANG Zhiyong, HUANG Tao, ZHANG Lili, NIU Danmei
(Department of Computer Science, Electronics Information Engineering College, Henan University of Science and Technology,
Luoyang 471003, China)
Abstract: The paper starts with the common issues of educational and practical activities for information security class curriculums, and proposes the contents arrangement and student learning evaluation mechanism, based on the practical educations in information security technologies curriculum. The novel mode has the better effect on cultivating the information security engineering and application-typed undergraduate, with a result of achieving the educational goal of the emphasis on fundaments and practices.
原文
引言
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会各方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。
1.防火墙概述:
1.1什么是防火墙
防火墙是建立在两个网络边界上的实现安全策略和网络通信监控的系统或系统集,它强制执行对内部网络(如校园网)和外部网络(如Internet)的访问控制。
......
目录
引言:
1.防火墙概述
1.1什么是防火墙
1.2防火墙的四大功能
2.防火墙的分类
2.1从防火墙的软、硬件形式划分
2.2按照防火墙防御方式划分
2.3按防火墙结构划分
3.防火墙的选择
3.1总拥有成本
3.2防火墙本身是安全的
3.3管理与培训
3.4可扩充性
3.5防火墙的安全性
4.防火墙的发展前景
4.1在包过滤中引入鉴别授权机制
4.2复变包过滤技术
4.3虚拟专用防火墙(VPF)
4.4多级防火墙
结尾语
参考资料
参考文献:
(1)张炯明.安全电子商务使用技术.北京.清华大学出版社.2002.4
(2)吴应良.电子商务概论.广州.华南理工大学出版社.2003.8
(3)游梦良,李冬华.企业电子商务模式.广州.广东人民大学出版社.2001.10
(4)祁明.电子商务安全与保密[M].北京.高等教育出版社.2001.10
(5)王缜,叶林.电子商务中的安全技术.河北工业科技报.第4期.2002
【关键词】信息;网络化;安全
一、引言
由于计算机的普及和网络技术的发展,使得国家间的联系得以加强。由于网络开放性和互联性的特点,它在给用户带来便利的同时,也对信息安全带来极大的隐患,当今社会不断出现个人信息、军事信息甚至是国家重要信息在网上被盗取、破坏等事件,极大的威胁国家的安全和社会稳定。因此,信息网络安全的保障是各个国家研究的重要课题之一。
二、信息安全的意义
2.1以信息化网络为基础的信息化技术已成为国家经济安全的重要组成部分
经济安全是指在经济全球化的环境下,一个国家保持其经济系统运行和国民经济发展不受外来势力根本威胁,国家经济不受分割的状态和能力。其构成主要包括资源安全、金融安全、产业安全、财政安全和信息安全等。
2.2信息网络安全是构成国家经济安全的基础
由于信息化飞速发展和网络技术的迅速普及,经济信息也与网络紧密结合起来,信息化与经济的关系越来越亲密,经济信息化的程度越来越深。当前我国的互联网涉及到了社会经济的各个领域,并直接与世界各国连接。因此互联网既是政治关口,也是国家的经济命脉。而如今,我国各行各业对信息网络系统的依赖程度越来越高,这种高依赖性势必使得社会经济十分脆弱,一旦受到外来势力的打击和破坏,信息网络无法正常运行或陷入瘫痪,随之整个社会陷入动荡甚至崩溃。因此从信息网络安全角度看,信息化程度越高,国家安全、社会安全面临的风险越大。信息的网络安全保护问题已经成为制约我国经济社会发展的关键问题之一,也是构成国家经济安全的基础。
三、信息网络化的安全问题
3.1信息安全产品出现的安全隐患
信息产业已成为社会经济发展的巨大推动力,但由信息产业产生的信息安全产品也给经济安全带来了一些问题。首先,目前我国大部分的网络硬、软件和技术都从国外引进,如果这些设备设计有缺陷或故意留有漏洞,在非和平时期被产品提供国加以利用,则我国的经济安全甚至是国家安全遭到严重的破坏。其次,我国自主研发的防火墙技术、杀毒软件等信息安全产品本身也存在一定的滞后性。一些制造商本身信誉很差,只追求片面和短期的经济利益,而忽视法律法规,自己制作病毒再推出相关产品以取得利益,罔顾人们的利益和国家的信息安全。造成网络经济的混乱,使社会对网络化的信息产生不信任感。
3.2安全意识不高,现行法律制度不完善
计算机网络安全的首要威胁是计算机病毒,当今计算机病毒技术发展非常迅猛,每年出现的病毒数越来越多,危害也越来越大。而我国部分政府网站、商业网站由于缺乏相关专业技术人才,安全防范意识不强,防火墙技术及防病毒技术的使用跟不上,造成信息的泄露,数据的完整性遭到毁灭性的破坏,严重影响信息网络的安全。另一方面,由于法律和道德的约束不力,越来越多的人突破道德底线,利用计算机和网络技术进行经济犯罪,也给国家的经济安全带来极大的危害。
四、加强网络安全,建立信息安全体系
信息安全体系的建立,不是仅仅依靠几种安全设备的简单堆砌,或者一两个人的技术就能够实现的,还要设计管理制度、人员素质的意识、操作流程的规范、组织结构的健全性等众多因素。一套良好的信息安全体系需要综合“人+技术/产品+管理+维护”运用,从而才能建立起一套完备的、高保障的信息安全体系。
4.1强化自主创新意识,开发和使用有自主知识产权的信息安全产品
国家要重视强化自主创新意识的重要性,加大力度做好信息安全标准化建设规划、推动工作,设立专项资金,发挥产学研结合,实现校企合作,及早确立全面的信息安全技术标准、管理规范,同时通过实施信息安全研发、产业化重大专项,增加对信息安全保障体系关键技术研究的资金投入,鼓励企业开创自主开发意识,生产出拥有自主知识产权的信息安全技术和产品,特别是服务器、主机、交换机等主要设备及相关操作系统、数据库软件、安全服务器技术等方面迅速形成突破,提高我国信息安全技术产品水平,以此减低对国外产品和技术的依赖,降低国外对我国经济安全的威胁。
4.2加大专业技术人员培养力度,完善信息安全管理制度
信息安全体系的建立,需要专业技术人才的支持。我国应着重培养具有经济知识的信息安全专业的技术人才,使之在网络信息的维护发挥重要作用。可喜的是现今国内很多高校已经设立了信息安全专业,信息安全学科和人才培养进入热潮阶段。同时,我们也要不断的强化专业技术人才安全意识和提高专业素质,规范和完善信息安全管理制度,保障和维护信息安全,防范内部人员出现信息破坏和犯罪现象发生。
4.3完善相关的法律法规,保障网络信息安全
法律是网络信息安全的重要保障,只有健全的法律法规制度的建立,才能有效保证网络系统安全运行、信息安全传递。随着国家的高度重视和宏观管理,我国关于信息安全的法律日益趋于完善。但是我们必须清楚的认识到,由于信息化产业发展过于迅速以及网络和计算机技术的成熟,目前的法律法规已经不能满足于现实需求,各种利用计算机进行的经济犯罪层出不穷,方式与手段不断变化,甚至达到无孔不入的地步,让人防不胜防,大量的政府信息、军事信息、经济信息等被泄露甚至破坏,严重威胁着国家安全和社会稳定。因此我国应根据信息网络化迅猛犯罪的特点,结合现今存在的现实问题,补充和完善现行的法律法规,日益健全法律体系,进一步维护网络信息系统的安全。
总之,网络化的飞速发展和计算机技术普及的推动,我国的信息化产业显现出蓬勃发展的良好势头。但是,随之而来的信息安全保护问题变得更加严峻。为此,我们应不断研究和探索,建立起一套完善的信息安全保护体系,以拥有自主知识产权的软硬件为基础,培养专业技术人才为关键,进一步完善法律法规和管理制度,努力维护网络信息安全,进而保障我国的经济安全和国家安定。
参考文献
[1]郭秦.试论信息网络安全在国家经济安全中重要性及其维护[J].理论导刊,2007.9
[2]陈爱玲.浅析煤炭营销信息网络安全[J].山东煤炭科技,2006(3)
[3]房劲,庞霞.信息安全的常见问题及对策[J].信息与电脑,2009(11)
【 关键词 】 高校;科研机构;信息安全;对策
Discussion on Scientific Research Institution of Universities in
Information Security Management and Measures
Zhang Jian-hua
(President Office, Beijing University of Aeronautics and Astronautics Beijing 100191)
【 Abstract 】 In the light of the information security management problems of scientific research institution of universities, the measures are put forward to enhance the construction of information security level strategy from management and technology two respects.
【 Keywords 】 universities; scientific research institution; information security; measures
1 引言
随着信息技术的发展和信息化应用的日趋深入,信息安全建设及其应用正在成为教育科研单位日常教育管理和科研生产不可或缺的一环。高校等科研单位对信息安全管理的认识程度越来越高,研究院等单位的信息系统规模和水平也在不断攀升,然而随着高校各系统建设程度的不断完善,以高校为代表的科研机构的信息安全管理问题也愈加突出。
2 高校科研机构存在的信息安全管理问题
近年来,高校等科研机构逐步认识到信息安全对于自身的重要性,于是不少单位成立了“信息管理部门”来推行统一的管理规范和进行信息安全知识普及,其主要目的是为了从安全技术和管理两个方面来解决高校中科研机构的信息安全问题,充分提高机构人员的信息安全管理意识和保密工作的能力。当下,虽然有一些高校的科研单位在信息安全和管理建设方面已经取得了长足的进步,但其科研单位内部仍然存在着很多问题。
(1)首先,在以往长期封闭的科研环境影响下,相关科研人员目前依然不具备良好的安全意识,对于信息安全的认识水平不高。同时高校等相关管理部门较容易忽视信息安全在其科研系统中的发展战略和计划,这些都间接导致了信息安全管理制度推行力度不够,实施安全教育的硬性条件有限。其次,由于学科建设和专业水平所限,也使得国内技术过硬的信息安全专业人才供应不足,间接影响了相关单位的人才储备水平。
(2)当下许多高校等科研单位在信息系统不断增加的情况下,对以往基础设施配备水平存在着一定的依赖性,不能够很好的适应新环境。在信息系统运作业务的安全风险和意识提升上,又缺乏有效性验证与评估办法。现实中的任何信息系统都是一连串复杂的环节,信息安全措施必须渗透到信息系统的每一个部位,其中一些问题的解决方案,需要信息系统的设计人员、测试人员和使用人员都熟知并能够成为规范来遵守。
(3)不安全因素对于信息系统而言总是存在的,没有任何一个信息管理方法能提供绝对的保障。因此,高校等科研单位在认识和进行信息系统安全管理教育的时候,应该着重加强基层人员的信息安全管理实践教育,应让相关人员充分意识到,虽然信息安全建设并非意在建设一个创收的平台,但它是一个保障科研成果和提升工作效率的平台。管理者有必要做出适合科研单位进行教育实施的信息安全教育发展战略和计划,充分加强信息安全教育在管理实践上的投入,严格有效地执行相应的安全策略、安全措施和安全管理制度,以最大限度避免使用和管理信息系统时的固有风险。
(4)近年来,我国大型科研单位相继出现过不同程度的泄密事件,这些事件的直接后果是不仅导致了科研成果的流失,还造成了较大程度的经济损失和不良的社会影响。虽然各大信息系统工程和信息化程度要求非常高的相关行业,也都出台了对信息安全技术产品的应用标准和规范,但只有建立一个严格的信息安全管理策略,才能全面的保障其安全性。
3 解决高校科研机构存在的信息安全的对策
3.1 技术层面
在技术层面上:高校科研管理系统是以计算机和数据库通信网络为基础的应用管理系统,是一个开放式的互联网络系统,与网络系统连接的任何终端用户都可以进人和访问网络中的资源。作为信息通讯数据平台,其所受到的安全威胁主要存在于信息通信传输、存储和加工的各个阶段。因此在制定技术对策方面就需要制定统一全面的安全策略,同时也注重建设统一认证和授权管理系统,通过硬件接入设备和定制化管理软件的配合部署,加强网络层面和应用层面的安全资源整合,形成覆盖全网的科研信息化安全保障能力,并充分利用自主创新的科研信息化安全技术,不断增强基础运行平台的网络安全能力,为科研信息化基础环境和应用系统提供有力的安全保障。
在保障网络基础设施和重要应用系统的安全方面,一方面需要构建身份认证管理系统、网络安全管理平台、恶意代码防护系统、安全审计平台等面向全网用户的网络安全基础设施,实现实时预警、事件分析、决策支持、资源调度等功能;另一方面需要建立起包括安全咨询、安全规划、安全检测、安全培训等环节在内的安全服务体系,引入除技术体系和管理体系以外的第三方服务支持,实现安全事件的及时发现。
3.2 管理和教育层面
在管理和教育层面上:以企业为参考标度,对高校科研机构工作人员进行信息安全意识以及管理实践知识的普及,将信息安全管理理念提到战略高度来看待。充分遵循信息安全流程制定相应管理制度,除技术保障外,将人员、网络、环境有关的技术和管理规程的有机集合充分纳入其中。充分认识到信息安全管理实践是保障信息实现有效管理与控制的重要途径。所在部门应客观评估实现信息安全管理的需求水平,落实安全的组织和管理人员,明确每个人的角色与职责;制定并开发安全规划和策略,定期开展培训和工作会议;实施风险管理制度,制定业务持续性计划和灾难环境下恢复计划;选择实施安全措施;保证配置、变更的正确与安全;进行安全审计;保证维护支持;进行监控、检查、处理安全事件。针对专业人员的培训和绩效需要有效结合目标管理和信息安全管理两方面来展开。
3.3 管理政策层面
在整个管理策略的制定上:建议采用分级策略,如果高校对于自身科研信息安全风险水平认定为较高,而自身建设能力有限,则可以考虑与相关专业咨询机构合作,引入专家机制来完成相关工作,提升建设效率。
4 结束语
在国家大力推行科教兴国与自主创新发展战略的今天,信息安全建设对于保障科技创新自有成果,确保自主知识产权的创造价值,都有着极其重要的作用。而如何确保其信息安全能够实现自主可控的目标,也是以高校为代表的科研机构行使和保障自身合法权益的重要途径。因此我们必须综合多方因素,系统考量,尽可能提供全面的、多方位的信息安全建设策略和信息安全管理与教育规范,以切实满足高校等科研单位对信息安全保障体系的需求,降低科研成果的安全风险,发挥高效的科研效率,保障科研生产的安全顺利进行。
参考文献
[1] 张广钦.信息管理教程[M].北京:北京大学出版社,2005.
[2] 徐茂智.信息安全概论[M].北京:人民邮电出版社,2007.
[3] 彭盛宏.浅析校园网存在的安全隐患及其对策[J].信息安全与技术,2012,(1).
关键词:信息对抗;人才培养;课程体系
中图号:G642.3 文献标识码:B
文章编号:1672-5913(2007)17-0022-03
1 信息产业的发展需要大批优秀的信息对抗专业的人才
21世纪是信息的时代,信息已成为重要的战略资源,信息从采集获取到生成、记录存贮到表示、传递交换到播发以及作为交易工具等都存在信息安全等问题。信息的安全维系着国家的国防、金融、交通、商贸的安全,维系着企业和个人的安全。信息的获取能力和信息的安全保障能力成为一个国家综合国力的重要组成部分。随着信息安全问题日益突出,在计算机信息系统中,一门以研究计算机信息系统的攻击和防护的技术一计算机信息对抗技术(ComputerInformation Countermeasures,简称CICM)便应运而生了。在社会行将进入网络化、信息化时代之际,无论在电子商务、电子政务等国家的经济生活中,还是在军队、公安、政府、外交等国家重要部门都需要大量掌握信息对抗技术的专业人才。然而,目前我国只有少数大学能够培养信息对抗或者信息安全方向的本科生和研究生,其数量远远不能满足需求。我校的信息对抗专业就是在这种背景下建立起来的。
2 我校信息对抗专业本科人才的办学思路
信息对抗专业是一个系统地掌握信息科学、电子学、计算机科学等学科基本知识和应用技术的宽口径专业,学生接受信息安全、信息攻防以及民用信息安全防护方面的基础理论知识和技术的专业训练,能够在科研、教育、企事业、行政管理等部门从事系统和工程设计、技术开发、操作管理和安全防护等方面工作。
通过调研开设信息对抗及其相关专业的兄弟院校和对信息对抗专业有较大需求的用人单位。我们了解到目前全国有几十个学校开设了信息对抗或其相关专业,但是办学的思路不尽相同。例如,有的学校把信息对抗专业办在计算机系,侧重于传授信息攻防技术系统的安全防护技能、作战运用和监控管理的基本能力;有的学校把信息对抗专业办在电子系,以雷达对抗、电子对抗或通信对抗为教学重点;也有的学校把信息对抗的相关专业一信息安全专业办在数学系,以密码学作为教学的重点;还有的学校把信息安全专业办在商学系,以电子商务安全作为教学的重点。我们认为信息安全专业研究的是信息的安全问题,信息是信息安全的基础,如果没有信息就没有信息安全。因此,学生应该首先学习的是计算机、通信等信息方面的技术,否则就不能深刻理解和掌握信息对抗技术。另一方面,信息对抗技术从专业内涵上看具有多学科交叉特性,它是计算机、通信、电子、数学、物理等多学科交叉的产物,另外信息对抗学科,是一个知识综合性较强、竞争性很强的新型专业,毕业生的知识结构、工作能力的大小直接决定了该专业的生存周期。通过我们走访用人单位发现,用人单位非常强调学习基础理论知识的重要性,他们希望大学教育提供更扎实的专业基础知识教育,以便新毕业生能够更快地适应参加工作后所必须面临的专业技能培训。所以,除了计算机之外,学生还必须学习通信、电子、数学、物理等学科的基本知识。基于以上的分析,我们确定了自己的办学思路:以计算机信息科学技术为主,将网络对抗技术作为教学重点,兼学通信,同时加强数学、物理基础知识,掌握信息对抗的基本理论和基本技能,培养良好的品德素质。希望由此能够保持我校信息对抗专业的特征,力争在该领域中打造出专业特色并最终形成专业优势。
3 信息对抗本科专业课程体系的建立
我院关于信息对抗专业的课程体系体现了我院关于信息对抗专业的办学思路,体现了培养掌握以网络对抗为主的信息对抗的基本理论和基本技能的信息对抗本科人才的基本要求。
3.1 课程体系建设过程
信息对抗专业本科课程体系的制定,是以西安工业大学发展特色鲜明的多科性大学的目标为要求,构建本科人才培养新体系为指导思想,依据教务处关于制定2006级培养计划的指导性意见的相关文件,并参照了05级信息对抗本科教学计划和其他兄弟大学信息对抗专业教学计划,经过了专业教研室全体教师、专业建设骨干的反复讨论、调研、修改制定而成,最后由院学术委员会审核定稿。
3.2 课程体系的基本构成
(1)必修课:公共基础课+专业基础课+专业课;
(2)选修课:公共选修课(6学分)+专业任选课(6学分)。
3.3 学分比例
本专业总共有206学分,其中公共基础课80学分,专业基础课52学分,专业课15学分,专业任选课6学分,公共课6学分,素质教育学分7分。
公共课与专业基础课加专业课(含专业任选课)的学分比例约为50%:50%。
专业基础课和专业课程的学分比例约为70%:30%。
4 课程体系的特色
课程体系制定的基本原则可以概括为“加强基础,优化体系,注重实践,协调发展”。
4.1 强调扎实的基础和宽广的知识面
本科教育是一种基础的学科训练和专业教育,随着现代科学技术的迅速发展,新知识、新技术层出不穷,解决有限的教学学时和不断膨胀的教学内容这一矛盾的唯一出路是进一步提炼基础性教学内容。基础教学内容不仅具有相对稳定、共性强的特点,而且容易内化为学时的科学与文化素质,凭借它可以开辟新的领域,适应新的事业。在教学计划的制定中,科学安排公共基础课和专业课的学分比例(1:1),安排好专业基础课和专业课程的时间比例(70%:30%),为学生学基础课程提供充分的时间。为了培养学生扎实的基础理论知识,强调打牢数学基础,开设的数学课程除了有高等数学、线性代数、概率与数理统计之外,还增加了复变函数与积分变换。
在专业基础课方面,强调计算机、电子方面的基础课程:操作系统、算法与数据结构、离散数学、数据库原理及应用、工科电路分析、电子技术、信号与系统、随机信号分析等课程。
4.2 强调教学计划的整体优化
新教学计划立足于教学全过程和培养目标,妥善处理好基础理论与专业知识、主干学科与相关学科、理论与实践、知识与能力、课内与课外等方面的关系。特别是对于专业基础课程,根据信息科技的发展特点,紧紧抓住其基础理论,科学划分课程系列,确定课程内容。在对兄弟院校同类学科专业进行充分调研的基础上,重点对专业基础课和专业课进行内容调整、课程整合,并着力增强了实践性教学环节。为了体现专业特色,本专业的课程设立主要侧重网络、信息安全、信息对抗三个方面,开设了网络类课程:计算机通信与网络、Internet技术及应用;安全类课程: 信息系统及安全、网络安全技术概论;对抗类课程:信息论与编码理论、信息对抗导论、网络对抗技术、计算机仿真。
在实践性教学环节,设置了电工电子实验、网络工程训练实验、嵌入式系统开发实验、信号与系统课程设计,另外还专门开设了有关信息对抗的综合性、设计性实验。
另外我们对一些课程的教学大纲、开设学习、开设顺序以及整体学分比例进行了调整,努力实现教学内容和课程体系的整体优化、教学环节的整体优化、教育全过程的整体优化。
4.3 强调学生知识、能力、素质协调发展
为培养学生全面素质,加强了开课广度,既有涉及计算机类的专业基础课程,又有涉及电子、通信方面的课程,如:通信原理概论。在开课深度上,既有侧重计算机类学科的基础课程,又有涉及学科或科技发展前沿的课程,如:网格原理及应用。在开课形式上,除了课内教学,学院还将开设前沿技术介绍类的讲座。另外学院还为学生开设了以下选修课:信息战导论、微波工程基础、计算机软硬件对抗技术、计算机图象处理、模式识别与应用、信息对抗策略、MATLAB语言、电子对抗技术、光电对抗技术、网格原理及应用。
5 结论与展望
通过一年的教学实践,说明我们的办专业思路和课程体系是合适的。但是,我们创办信息对抗专业的时间太短,还没有完成一个完整的教学循环,对信息对抗专业的办学规律还没有全面掌握。因此,还有许多问题尚未解决。存在的问题主要有以下几个方面:
(1)教材建设
教材建设是本专业中一项重要工作。由于该专业的特殊性,教学计划中涉及的一些课程,到目前为止国内外虽然有一些相关内容的书籍,但没有系统的专业教材,这为本专业的一些专业课教材选择带来了极大的困难。从图书市场上看,相关内容的书籍并不少见。但一是知识不系统,二是内容不精练,三是单一书籍组织不全面。我们走访的这些院校一般采用的是根据课程大纲自己编写的教材,是否完全适合我校的教学还需要进一步调查。所以积极调动专业人员组织编写,在2到3年内编写一到两门专业课教材是非常必要的。
(2)实验室建设
各兄弟院校根据自己的专业特点,均建立了和专业课程相关的实验室,而且还在现有基础上进行了二次开发工作,以便为专业综合实践和本科毕业设计、研究生研究提供更好的实验平台。
针对本专业现有的专业方向“计算机网络对抗”的特点,我们需要做的工作分为两个阶段:①首先购置实验设施和仪器,建立信息对抗实验室,同时为实验室的开发创造条件。这一阶段,实验室建设的主要工作目标是建设主干专业课程的课程实验平台。②在此基础上,利用实验室内已有的计算机和网络硬件条件,做一些二次开发工作以初步满足专业综合实践与本科毕业设计服务,发挥出其应有的作用。
(3)师资队伍建设和科研工作的开展
【 关键词 】 信息安全技术;信息安全策略;信息安全发展
1 引言
随着网络信息化时代的到来,信息安全领域面临着新的困难与挑战。国际标准化组织将信息安全定义为:信息的完整性、可用性、保密性。信息的完整性即保护资产准确性和完备性。信息的可用性即已授权实体一旦需要就可访问和使用。信息的保密性即使信息不泄露给未授权的个体、实体、过程或不使信息为其利用。
目前,信息安全涉及诸多范畴,包括攻击、防范、检测、控制、管理、评估等领域的基础理论和实施技术。在信息安全中,密码是核心,协议是桥梁,体系结构是基础,安全集成芯片是关键,安全监控管理是保障,检测攻击与评估是考验。越来越多的国家与组织意识到,信息安全作为信息时代的信息的根本保障,逐渐成为国家安全的基础、经济安全的命脉、国防安全的核心,谁把握了信息安全,谁就把握了信息时代的制高点。
2 信息安全背景
信息安全是研究在特定的应用环境下,依据特定的安全策略,对信息及其系统实施防护、检测和恢复的科学。信息安全的研究涉及数学、计算机、通信、法律等学科,按传统方式可以将信息安全研究领域分为信息安全基础理论研究、信息安全技术研究、信息安全管理策略研究三个部分。
针对信息所发起攻击的信息安全问题有多种,主要形式有几种形式:一是信息截取,即指未经第三方授权以非法的方式从第三方获取信息的行为,这种情况下,信息接收方可能毫无察觉;二是信息伪造,即在未经授权的情况下将伪造信息插入第三方的信息传输系统之中,从而使接收方接收虚假信息;三是信息中断,即利用非法手段使他人的信息传输无法进行;四是信息篡改,即窃取到信息内容后,将原始信息篡改为非法信息后通过传输网络继续传递给接收方。
针对信息安全面临的问题,信息安全研究在不同时代将产生不同的技术与发展。
3 信息安全技术
信息安全技术随着科技时代的发展而不断发展,主要包括一些经典信息安全技术。
3.1 密码技术
密码技术是保证信息安全机密性的核心关键技术。同时对其他安全机制的实现起主导作用或辅助作用。在密码技术体制中,包括信源、信宿、信道、明文、密文、密钥等要素。信源指消息的发送者,信宿指消息的目的地,信道指用来传输的通道,明文指原始待传输数据,密文指加密后消息,密钥为加解密的参数。经典的信息安全加密信源的明文经过加密得到密文,密文通过安全或者不安全通过传递给信宿进行解密后,得到需要的明文。加解密的密钥在传递时需要通过安全信道进行可靠传输。
3.2 数字签名技术
数字签名技术包括两个主要过程:一是签名者对给定的数据单元进行签名;二是接收者验证该签名的合法性。
数字签名的主要实现原理为,报文发送方从报文文本中生成一个一定长度的散列值,并用自己专用密钥对这个散列值进行加密,形成发送方的数字签名。然后,这个数字签名作为报文附件与报文一起发送给报文的接收方,接收方首先从接收到得原始数据中计算出相同长度的散列值,接着用发送方的公丌密钥来对报文附加的数字签名进行解密。比较两个散列值,如果相同则能肯定数字签名的合法性。通过数字签名能够实现原始报文的鉴别和不可抵赖性,保障信息的安全传递。
3.3 软件防护技术
软件防护技术主要采用病毒杀毒软件、恶意代码防护软件等手段。
病毒杀毒软件采用行为防护机制,将计算机系统中的病毒、木马、蠕虫等破坏信息安全的危险源进行安全隔离并删除,保护信息的安全性。恶意代码防护软件是基于操作系统内核级进行完整性保护的安全防护基础平台软件,通过对操作系统完整性保护实现防病毒、防攻击的安全目标。恶意代码防护软件能够提供计算机应用程序完整性保护、防止数据被恶意破坏、移动存储介质安全控制、网络报文安全过滤、安全事件审计等功能,达到防止执行程序型病毒和恶意代码的攻击,提高计算机系统安全性和可用性。
3.4 可信计算技术
可信计算技术是一种可以随时获得的可靠安全的计算,产生使人类信任的计算机的技术。可信计算技术的产生、发展和应用具有变革性的意义。传统的安全防护措施是被动性的,没有从终端源头上解决安全问题,计算机和网络结构上的不安全因素并没有消除。
可信计算的基本思想是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,从节点上建立信息的可信传递模式,保障信息在用户、程序与机器之间的安全传递,通过前移防御关口,有效抵制病毒和黑客针对节点的攻击,从而维护网络和信息安全。
4 信息安全策略
信息安全的规范发展,需要相应的信息安全策略引导。信息安全策略即管理者正式并规范组织在使用计算机系统中如何管理、保护和分发信息资源的一组法律法规、规则、指令和习惯做法。信息安全策略按照关注的层次,可分为信息安全战略,特定信息安全策略和系统配置安全策略。信息安全战略,即组织关于信息安全的总的意图和原则,是组织整体战略的重要组成部分。特定信息安全策略,即针对组织信息全生命周期的各种活动采取的信息安全策略,是为降低信息安全风险,实现信息安全保障。系统配置安全策略,即信息系统根据信息安全目标和特定信息安全策略要求基于系统配置级进行灵活配置保障的安全策略,包括操作系统访问控制策略、防火墙访问控制策略等。
信息安全策略在保障信息安全、规范信息安全发展方向上具有十分重要作用。信息安全策略存在一个使用周期,这个周期一般包括信息安全策略的制定、审批、实施、维护四个阶段,而制定阶段包括获取高层管理者批准、启动项目、确定目标范围、确定安全需求、风险分析评估、撰写六个典型过程。在安全策略使用周期各阶段,有些是关系策略成败的关键,包括制定阶段争取组织高层管理者支持、确定目标和范围以及选择合适的策略粒度,实施阶段确定安全策略实施的方式方法。
5 信息安全发展
随着信息化建设的快速发展,结合目前信息安全面临的问题与挑战,本文提出应该从几个方面思考信息安全发展。
一是应充分认清理论研究的重要性。信息化的高速发展导致知识结构的快速推进,信息安全的攻击、防御理论随着时代的前进而在不断发展,不断出现的新型信息安全威胁因素迫使传统的一些信息安全理论不再有效,如何在新的安全威胁中不断提高信息安全水平,应加强底层的信息安全理论研究,立足于根本并不断适应新的信息安全环境改变,增强信息安全能力。只有扎实的理论基础才能使信息安全地立于不败,走的更远。
二是应在政府支持下建立信息安全产业联盟。信息安全的有效实现是一个庞大的体系工程,贯穿于整个信息化时代,政府应充分发挥其的主持指导重要性,主持建立信息安全产业联盟,实现集体集中攻关,发挥集体智慧推动信息化时代信息安全的建设。
三是应确立正确信息安全防御战略目标。新时期下的信息安全不能仅仅只考虑保障信息安全,应以信息化时代特征为牵引,为保障信息安全实现信息防护,实现信息安全的控制,推动信息安全的主动防御。实现信息安全向任务安全转型。传统的被动防御思维模式正在向主动防御过渡,增强新型信息安全防御战略目标,推动信息安全的跨时展。
四是应把握以人为本的基本方针,建立专业的人才队伍。信息安全的发展应充分认清任何技术的发展根本在于人才,在于组织队伍的建设发展。目前导致信息安全面临更加复杂的一个原因就是缺少高质量的安全专业人才,以及缺少对在职人员信息安全专业培训。
6 结束语
信息安全面临更加广泛的问题,应充分分析其中的难点,结合现有技术以及后续信息安全的发展方向,有针对性地建设信息安全体系。本文首先分析了信息安全面临的问题,以及通常的信息威胁手段,然后分析了部分信息安全技术与信息安全策略,最后给出了对信息安全下一展的看法,为进一步研究信息安全问题给出借鉴参考。
参考文献
[1] 石正喜,张君华.国内外信息安全研究现状及发展趋势研究[J].科技情报开发与经济,2007,17(10):97—98.
[2] BEIGI M S, CALO S, VERMA D. policy transformation techniques in policy-based systems management[J]. Policies for Distributed Systems and Networks,2004(5):13-22.
[3] 冯登国,赵险峰.信息安全技术概论.电子工业出版社,2009,4.
[4] 刘静.Internet环境下信息安全面临的挑战及对策.信息安全与通信保密,2009(12):85-87.
[5] 李晓宾,李淑珍.计算机网络面临的威胁与安全防范[J].煤炭技术,201l(7):198—199.
[6] 曹子建,赵宇峰,容晓峰.网络入侵检测与防火墙联动平台设计[J].信息网络安全,2012,(09):12-14.
[7] 沈昌祥.信息安全导沦[M].北京:电子工业出版社,2009.
[8] TEWFIK A H, SWANSON M. Data hiding for multimedia personalization, interaction, and protection[J], IEEE Signal Processing Magazine,1997,14(4):41-44.
[9] 卢开澄.计算机密码一计算机网络中的数据安全与保密.北京:清华大学出版社,1998,01.
[10] 王孝良,崔保红,李思其.关于工控系统信息安全的思考与建议[J].信息网络安全,2012,(08): 36-37.