《信息安全风险评估》课程教学探讨

bb20920d · 发表于 2020-7-30 02:39:42

摘要：信息安全风险评估是构建信息安全保障体系的重要手段，通过该课程的教学能培养学生分析信息系统，评估其面临的安全威胁及安全风险的能力，进而采取相应的安全措施。从信息安全风险评估课程的教学现状出发，分析了课程特点，对该课程的教学从多个方面进行了探讨。
【关键词】：信息安全；风险评估；教学
　　
　　信息安全风险评估是进行信息安全管理的重要依据，通过对信息系统进行系统的风险分析和评估，发现存在的安全问题并提出相应的措施，这对于保护和管理信息系统至关重要。目前国内外都高度重视信息安全风险评估工作。美国政府2002年颁布《联邦信息安全管理法》，对信息安全风险评估提出了具体的要求；欧盟国家也把开展信息安全风险评估作为提高信息安全保障水平的重要手段；2003年1月23日，国家信息中心组建成立“信息安全风险评估课题组”，提出了我国开展信息安全风险评估的对策和办法。2004年，国务院信息办研究制订了《信息安全风险评估指南》和《信息安全风险管理指南》两个风险评估的标准；200 年又起草了《关于开展信息安全风险评估工作的意见》[1]。这些工作都对信息安全人才的培养提出了更高的要求，同时也为《信息安全风险评估》课程的开设和讲授提供了必要的基础和条件。《信息安全风险评估》课程教学，是信息安全专业一门重要的专业课程，能全面培养学生综合运用专业知识，评估并解决信息系统安全问题的能力，是培养符合国家和社会需要的信息安全专业人才的重要课程之一。《信息安全风险评估》课程本身的理论性与实践性都很强，课程发展十分迅速，涉及的学科范围也较广，传统的教学的模式不能使该课程的特点很好地展示出来，雅法适应社会经济发展对信息安全从业人员的新要求，教学改革势在必行。
　　一、现状与存在的问题
　　信息安全风险评估是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的安全威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。它涉及信息系统的社会行为、管理行为、物理行为、逻辑行为等的保密性、完整性和可用性检测。风险评估的结果可以作为信息安全风险管理的指南，用来确定合适的管理方针和选择相应的控制措施来保护信息资产，全面提高信息安全保障能力[2]。自2001年信息安全专业建立以来，高校在制订本科专业教学培养目标和教学计划时，侧重于具体安全理论和技术的教学和讲授，特别是重点强调了密码学、防火墙、入侵检测、网络安全等安全理论与技术的传授。从目前高校的教学内容看，多数侧重于对“信息风险管理”、“风险识别”、“风险评估”和“风险控制”等基本内容的介绍上，而且教学课时数也较少，只有十个学时。当前从《信息安全风险评估》课程的教学情况来看，该课程在信息安全教育教学过程中地位有待提高，实践教学的建设与研究迫切需要深化。
　　当前该课程的教学实践中普遍存在以下几个方面的问题，严重制约了《信息安全风险评估》课程教学质量的提高：
　　1.本科教学大都以理论内容为主体，实验和课程设计的学时安排较少。一般高校的《信息安全风险评估》课程主要以理论内容的讲授为主，实验和课程设计的学时较少，实验内容也大多属于验证性质，缺少具有研究和探索性质的信息安全风险评估实践内容和课程设计；
　　2.教学方法单一，缺乏激励学生求知欲的教学方法和手段。当前开设《信息安全风险评估》课程的高校还较少，师资力量相对薄弱，教学经验也比较缺乏，仍以主要由教师讲述的传统教学方式为主，学生进行具体实践和操作的课时较少，缺乏创新性的教学和研究，基本没有具有探索性和创新性特点的教学内容，不利于发挥学生主观能动性，提高其创新能力；
　　3.实验环境雅法满足教学需求，缺乏专业的信息安全风险评估师资。我国信息安全风险评估的研究和教学工作起步晚，缺乏相关的实验设备；而且受到资金和专业发展等多方面因素的制约，难以设立专门的信息安全风险评估实验室。此外，信息安全风险评估是以计算机技术为核心，涉及管理科学、安全技术、通信和信息工程等多个学科，对于理论和实践要求都很高。这就要求教师既要学习好各学科的基本知识，又要加强实践训练。
　　二、教学改革与探索
　　高校计算机相关专业开设《信息安全风险评估》课程，不是培养网络信息安全方面的全才或战略人才，而是培养在实际生活和工作中确实能解决某些具体安全问题的实用型人才。针对《信息安全风险评估》课程的特点和教学中存在的不足，我们从以下几个方面对该课程的教学改革进行了探索：
　　1.重新确立课程培养目标。①重点培养学生分析和评估信息安全问题的能力：《信息安全风险评估》课程是一门理论性和实践性紧密结合的课程，目前开设该课程的高校较少，各学校的教学内容也多种多样。该课程的教学目标即要培养学生发现信息系统存在的安全风险，同时也需要培养他们科学地提出解决安全隐患的方案及能力。如何提高学生分析和评估信息安全问题的能力是该课程教学的首要目标。②培养学生实际操作的能力：信息安全风险评估的关键是对信息系统的资产进行分类，对其风险的识别、估计和评价做出全面的、综合的分析。这就要求学生熟练地掌握目标对象的检测和评估方法，包括使用各种自动化和半自动化的工具，可在模拟实验里，通过不断地训练实现。③培养学生继续学习、勇于探索创新的能力：随着信息化的不断发展，信息系统所面临的安全威胁急剧增加，为此各国政府都不断提出和完善了各类信息安全测评标准。这就要求我们在教学中不断地学习、理解和解释最新的国际、国内以及相关的行业标准，培养和提高学生继续学习的能力。另外，《信息安全风险评估》课程也要求通过课堂教学、课后练习、实验验证和考试、考查等教学环节培养学生独力分析信息系统安全的能力，培养学生对信息安全风险评估领域进行探索和研究的兴趣，最终使学生掌握信息安全风险评估的知识和技能，能够解决具体信息系统的安全问题。
　　2.增加信息安全风险评估理论和相关标准的教学。信息安全测评标准和相关法律法规是进行信息系统安全风险评估的依据和保障。200 年由原国信办发布《关于开展信息安全风险评估工作的意见》（国信办200 年5号文）；同时，随着信息安全等级保护制度的推行，公安部会同有关部门出台了一系列政策文件，主要包括：《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》等；国家信息安全标准化委员会颁发了《信息安全风险评估规范》（GB/T 20984~2001）、《信息系统安全等级保护基本要求》（GB/T 22239-2008）等多个国家标准[3]。为了保证《信息安全风险评估》课程目标的实现，我们在教学过程中，增加了《GB/T20984-2001信息安全技术信息安全风险评估规范》、《GB/Z243 4-2009信息安全风险管理指南》、《GB/T
　　22080-2008信息安全管理体系要求》、《GB/T22081-
　　2008信息安全管理实用规则》、《GB/T202 9-200 信息系统安全管理要求》、《GB/T250 3-2010?摇信息安全技术服务器安全测评要求》、《GB/T 20010-2005信息安全技术包过滤防火墙评估准则》、《GB/T20011-2005信息安全技术路由器安全评估准则》、《GA/T  12-200 信息安全技术终端计算机系统安全等级评估准则》、《GA/T 112-2001信息安全技术应用软件系统安全等级保护通用测试指南》等相关评估标准和指南的学习，并编制相关的调查、检查、测试表，重点强调对脆弱性检测的理论依据的描述，检测方法及其步骤的详细记录。
　　3.利用各种测评工具，提高学生实践能力。在信息安全风险评估过程中，资产赋值、威胁量化分析、安全模型的建立等环节的教学和实践对教师和学生都提出了较高的专业课程要求。我们在《信息安全风险评估》课程实践中通过使用风险评估工具，并对具体的信息系统进行自动化或半自动化的分析，加深了学生信息安全风险评估的理论知识理解，同时注重培养学生动手实践能力和探索新知识的能力。我们增加了主动型风险评估工具Tenable扫描门户网站系统的实践性教学内容。通过评估，该系统的服务器存在感染病毒的症状，其原因是服务器存在特定漏洞。为此我们使用漏洞扫描器对该服务器进行扫描，发现了“远程代码被执行”漏洞，而且该漏洞能被蠕虫病毒利用，形成针对系统的攻击。通过案例特征提供了的信息，培养学生使用测评工具对具体信息系统进行安全风险评估的能力，并进一步使其认识到主动型评估工具是信息安全风险评估中快速了解目标系统安全状况不可或缺的重要手段。
　　笔者结合自己的教学实践体会，论述了当前《信息安全风险评估》课程中存在的问题以及解决对策。《信息安全风险评估》课程教学改革和建设是一个长期的、系统化的工程，需要不断地根据信息系统在新环境下面临的各种威胁，制定新的评估标准和评估方案，并使得学生在有限的时间和环境下掌握相应的知识和技能，以满足社会对信息安全人才的需求。
　　参考文献：
　　[1]付沙.加强信息安全风险评估工作的研究[J].微型电脑应用，2010，2 （8）： -8.
　　[2]杨春晖，张昊，王勇.信息安全风险评估及辅助工具应用[J].信息安全与通信保密，2001，（12）：15-11.
　　[3]潘平，杨平，罗东梅，何朝霞.信息系统安全风险检查评估实践教学探讨[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security（NTS-CIS 2011），2011，（8）.
　　
　　基金项目：本文得到南京信息工程大学第七期重点教改课题（N1885010039）的资助。
　　作者简介：任勇军（1914-），男，河北承德人，博士，南京信息工程大学计算机与软件学院讲师，南京航空航天大学博士后，主要从事信息安全和网络安全的研究。

   转载注明来源:http://www.ybaotk.com