时间:2023-06-08 11:20:44
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全职业技能,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:慕课;信息安全;建设思考
中图分类号:G642.0 文献标志码:A 文章编号:2095-9214(2016)04-0104-01
一、引言
慕课(MOOCs,OpenOnlineCourse)是一种面向全社会所有人群的在线学习系统,旨在打破传统教育中的优质教育资源过于集中、难以共享的缺点,利用现代信息网络技术,为人们提供更加高效开放的学习平台。慕课起源于美国,一经推出,便受到广泛关注和欢迎。国内高校和业界也迅速跟进,纷纷加入到慕课平台建设中,并涌现出慕课网、北大慕课、超星慕课等一大批优秀的慕课平台。慕课突破了传统的教学理念和教学形式,给人们带来了一种全新的学习体验,当然也给传统教育带了巨大的挑战。在当前慕课浪潮中,有必要深入研究如何利用好慕课这种新的教学理念和平台,改进传统信息安全课程教学方式,为社会培养更多高质量的信息安全人才。
二、信息安全课程教学现状
(一)教学方式比较单一
信息安全虽然是一门实践性较强的学科,但信息安全与计算机其它基础课程如计算机组成原理、汇编语言、操作系统、编译原理、计算机网络、软件工程等有着非常紧密的联系,为了能够更加系统的教授信息安全相关课程,大部分教师采用的是重理论轻实践教学方法,这种教学的带来的结果是虽然课程内容体系较为全面,但学生在课堂上接受起来较难,而课后缺乏具体指导,所以总体教学效果不甚理想。
(二)教学过程无法重现
信息安全专业课程对于初学者难度较大,以密码学为例,不仅涉及到群论,离散数学等抽象的数学内容,又涉及到信息论等信息技术相关内容,很多学生虽然在课堂上能够跟上教师的授课节奏,但由于每个学生在每周要学习多门不同课程,无法及时巩固课堂内容,所以在课后复习时无法回忆起教师的授课细节,遇到问题后不知道如何解决。而教学大纲安排的内容是连贯的,这就导致学生会不断累积问题,导致无法顺利跟进课程的教学进度。
(三)职业技能缺乏训练
按照目前的课程设置,一个信息安全专业的毕业生理应掌握了密码学、网络安全、系统安全、信息安全工程等信息安全需要的专业技能,但现实情况却不尽人意。很多信息安全专业毕业生对各种信息安全技能仅限于理论知识,有的学生甚至不知道防火墙如何配置,当然更谈不上如何做渗透测试、逆向分析等。造成这种现象一方面是教师在教学时缺乏对实践技能的指导,更重要的是缺乏职业技能平台,由于信息安全很多训练具有一定的攻击性,处理不当容易造成不良后果。
三、信息安全课程建设改革
(一)教学内容模块化
慕课的最大优势就是教学过程的可重复性,因此,在课程内容设计时尽可能的以某一个知识点或者技能点如SQL注入攻击来构建一个教学模块,在时间设置上可以根据难易程度或者内容多少加以灵活调整,并且根据本系教师对不同技术的熟练程度分配相应模块;这样一方面可以提高教师的备课质量和效率,另一方面可以提高学生的学习效率。同时,模块化还可以让学生自主选择,从自己最感兴趣或者容易入手的模块入手,例如对汇编掌握较好的学生可以选择逆向工程相关模块,而对于Web技术较为熟悉的学生则可以选择XSS,CSRF等Web安全模块学习,通过这种形式,学习的兴趣和效率得以大力提升。
(二)实训平台虚拟化
实验教学是信息安全课程教学的重要环节,是提升学生信息安全职业技能的关键手段。传统的实践教学是基于硬件实体的实训,如基于物理防火墙和路由器以及服务器搭建网络安全训练平台,这种方式因为实体资源严重受限,在提升学生整体实践能力方面收效甚微。在慕课环境下,可以结合云计算技术,将虚拟化的实训平台融合到慕课平台中,学生只需要利用一个浏览器,即可一边听课,一边实验;因为实训平台是虚拟的,所以很容易实现多人并发,并且实验环境相互独立,互不影响。
(三)综合训练项目化
学生完成信息安全相关基础课程和专业课程之后,掌握了基本的理论知识和基本技能,但这并不意味着已经成为一名社会的信息安全专业人才,因为很多学生获得的仅是单个的知识点,在实际工作中往往不知道如何综合应用这些知识和技能,为此,必须让学生通过综合训练走完信息安全基本职业技能的最后一公里。可以基于之前的虚拟平台,构建一个信息安全综合训练项目,如安全评估,让学生组成实际的项目小组,按照信息安全工程要求,完成该项目的各项任务。通过实际项目训练,为将来在信息安全行业发展奠定基础。
四、结语
慕课是伴随着网络与信息技术发展而掀起的新的教学模式,给传统信息安全教学带来了新的挑战和机遇。信息安全被上升为国家安全战略,对信息安全人才数量和质量提出了更高要求。主动适应慕课带来的新变化,改革信息安全课程教学,对于提高信息安全人才培养质量将会起到重要作用。
参考文献:
[1]高地,吴桐.美国“慕课”理论研究与实践的若干前沿问题[J].高校教育管理,2014,(4):49-54.
[2]老松杨,江小平,老明瑞.后IT时代MOOC对高等教育的影响[J].高等教育研究学报,2013,36(3):6-8.
近年来,随着信息安全等级保护工作机制的不断完善,主管部门监督检查力度的不断加大,信息系统开展等级测评的数量稳步增长,测评覆盖率显著提升。通过统计分析本单位近些年测评的数百个信息系统的数据,可以得出以下结论:一是较早开展等级测评的行业,经过测评和整改建设,测评符合率逐年提高;二是随着等级测评工作的持续推进,近期才开展首次测评的行业特别是基层单位的信息安全工作基础较薄弱,测评得分明显偏低。通过对物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等10个层面的测评结果进行统计,其中网络安全、主机安全、应用安全、系统运维管理等方面的不符合率相对较高,信息系统的建设、使用、运维阶段存在一些较普遍的问题。
信息系统安全保护措施落实情况分析
整体而言,随着等级测评工作的持续推进,党政机关、企事业单位对信息系统安全等级保护的认识和重视程度得到普遍提升,在管理和技术两方面主要采取了以下安全措施:
信息安全管理措施落实情况
在信息安全管理方面呈现出两级分化的特点。一些重点行业的业务信息化程度高、自身信息技术队伍力量足、信息安全投入经费有保障,其安全管理措施一般也能得到有效落实,在机构、人员、制度、建设管理、运维管理等方面均能较好地符合相关标准的要求。这一类的典型包括银行、证券、电力等行业主管部门对信息安全监管严格的几大行业。相反,部分对信息系统管控相对松散的单位如大专院校、在信息安全投入方面得不到充分保障的单位如基层政府部门,其信息安全专业人员的配备达不到标准规范的要求,安全责任部门地位偏低权限不足,很难制定并有效贯彻落实结合本单位实际的信息安全管理制度。
信息安全技术措施落实情况
多数单位通过部署边界安全设备,强化入侵防范措施来提高网络的安全性;通过加固操作系统和数据库的安全策略,启用安全审计,安装杀毒软件等措施,来提高主机安全防护水平;通过开发应用系统的安全模块,从身份鉴别、访问控制、日志记录等方面,强化业务应用的安全性;通过部署数据备份设备、加密措施,加强对数据安全的保护。
信息系统常见安全问题分析
随着等级测评工作的覆盖面进一步扩大,近年来初次测评的单位和基层部门仍发现一些典型问题。
信息安全意识有待提高
很多单位对当前日趋严峻的网络安全形势认识不足,将信息安全工作视为被动应付上级检查、被动应对安全事件的任务来消极对待。一些单位认为取得“基本符合”的测评结论就高枕无忧,完成测评备案就完成了等级保护。由此造成对信息安全合规的落实不够、资金和人员投入不足、重建设轻运维、有制度无执行、有预案不演练等问题,根源还是安全意识薄弱。
信息安全管理有待加强
信息安全管理不到位主要表现在安全管理制度、系统建设管理、系统运维管理等方面。
信息安全管理制度不完善。基层单位信息安全管理制度不全、人员配备不足、授权审批流于形式、执行记录缺失等问题较为常见。部分单位的信息安全管理制度照搬模版,未结合本单位实际进行修订,导致缺乏可操作性。
系统建设管理不到位。系统建设过程中落实信息安全“同步建设”原则不到位。在软件开发阶段较普遍未遵循安全编码规范,导致安全功能缺失、应用层漏洞频现。在系统验收阶段,很多单位仅注重业务功能验收,缺乏专门的安全性测试;电子政务类项目较普遍未按规定在项目验收环节完成“一证两报告”(即等级测评报告、风险评估报告和系统备案证明)。
系统运维管理不到位。在系统运维管理方面,部分单位运维和开发岗位不分,职责不清,存在一人身兼数职现象。很多单位在信息资产管理、介质管理、变更管理等方面缺乏操作规程和相关记录,数据备份策略不明,应急预案不完善并缺乏演练。
关键技术措施有待落实
分析近年来的测评结果,安全技术措施不足问题主要体现在以下几个方面:
在物理安全方面,随着电子政务集约化建设的推进,大量信息系统已经集中到高规格的专业机房,但仍有部分单位自有机房条件简陋,位置选择不规范,出入管理较随意,防盗防破坏、防雷防火防潮能力较差,环境监控措施不足。
在网络安全方面,常见网络和安全设备的配置不到位,如未合理划分区域、未精细配置访问控制策略、未对重要设备做地址绑定等;较普遍缺少专业审计系统。部分单位设备老旧,安全产品本身存在一定缺陷导致无法满足等级保护要求。个别单位用于生产控制的重要信息系统在网络层面未采取必要安全措施的同时,还违规接通互联网,存在极大的安全隐患。
在主机安全方面,部分单位存在弱口令、不启用登录失败处理和安全审计功能、不及时更新补丁、不关闭非必要服务等问题。此外,由于主流操作系统和数据库很少支持强制访问控制机制,相关要求普遍未落实。
在应用安全方面,很多应用软件安全功能不足,缺少身份鉴别、审计日志、信息加密等能力。由于很少进行安全扫描、渗透测试,相当一部分系统存在高危风险,如SQL注入、跨站脚本、文件上传等漏洞,以及弱口令、网页木马等问题。
在数据安全方面,较常见的是数据保密性和完整性措施薄弱。此外,部分信息系统的备份和恢复措施欠完善,缺乏有效的灾难恢复手段。
针对新技术的等级保护测评标准有待出台
随着浙江政务服务网的大力推进,省内各级政务云平台的建设使用已全面开展,有相当数量的电子政务系统已迁移上云。同时涉及城市公共设施、水电气等工控系统密集的行业对等级保护工作越来越重视,对云计算、工控系统、移动APP等的测评需求不断加大。但现有的《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》未涉及云计算、工业控制、移动互联等领域,在测评实践中已遇到诸多不适应情况。针对这些新技术新应用的等级保护测评标准需求已非常迫切。
重要信息系统安全保护对策建议
针对上述存在的问题,本文提出以下对策建议,以供参考。
提高信息安全意识
提高全员信息安全意识是全面提升信息安全保障水平的根本解决之道。要树立全体人员的安全观念,加强信息安全培训。除了通过强化工作考核和安全检查来督促信息安全工作的深入开展,还应通过多种方式开展信息安全政策解读和信息安全标准宣贯,强化对全员的安全意识教育和考查。建议结合一些合适的安全职业技能培训,落实信息安全相关岗位“持证上岗”的要求。
加强信息安全管理
“三分技术,七分管理”,各单位应转变观念,将“信息安全”与“系统稳定、功能正常”同等重视起来,将安全管理要求与自身业务紧密结合,制订完善的体系化的安全管理制度。
在系统建设管理过程中,应要求开发人员遵循安全编码规范进行开发;在系统验收环节,应认真做好安全性验收测试。在电子政务领域应落实国家对电子政务项目管理的制度要求,验收阶段完成等级测评,未通过测评的应不予验收。
在系统运维管理方面,应加强制定信息系统日常管理操作的详细规范,明确定义工作流程和操作步骤,使日常运行管理制度化、规范化。对信息资产按重要性进行分类梳理,建立完善应急灾备措施,定期开展演练,确保备份的有效性。
落实关键技术措施
针对测评发现的问题,各单位应根据系统所定级别,结合自身条件,综合考虑问题的影响范围、严重程度、整改难度等因素,制定整改计划,有步骤地落实相关技术措施。对于策略配置类的问题及时纠正;对于整改难度大、需要添置硬件或修改代码的问题,应在充分测试和试运行的基础上实施整改。对于强制访问控制、敏感标记、双因子鉴别等难点问题,建议国家加强相关产业政策的引导,促进安全厂商研发技术、推出产品,解决市场供应问题。各级主管部门应通过测评、整改、监督检查、再测评的闭环管理,督促关键技术措施的落实。
加快新技术的等级保护测评标准编制工作
目前公安部信息安全等级保护评估中心在牵头起草针对云计算安全的等级保护标准,尚处于征求意见阶段。其余新技术领域的等级保护标准制定工作进度更晚,随着智慧城市、云计算、大数据、移动互联、工业控制等新技术的快速应用,安全标准相对滞后的问题更加突出,应进一步加快相关新标准的制定。
