基干信息安全等级保护信息安全综合实训教学探讨.docVIP

基于信息安全等级保护的信息安全综合实训教学研究 　　摘要：信息安全等级保护是我国保障信息系统安全的根本制度，为了培养学生基本信息安全技术操作技能，使其具备运用信息安全等级保护知识分析信息系统安全风险和编制符合信息安全等级保护要求的解决方案的能力，将信息安全等级保护内容纳入信息安全综合实训教学，按信息安全等级保护标准体系构建了信息安全专业综合实训教学体系，并给出了具体的实施流程和方法 关键词：信息安全；等级保护；等级测评；实践教学；综合实训 DOIDOI：10.11907/rjdk.161717 中图分类号：G434 文献标识码：A文章编号文章编号2016）009017303 基金项目基金项目：贵州省科技厅社发攻关项目（黔科合SY字2012-3050号）；贵州大学自然科学青年基金项目（贵大自青合字2010-026号）；贵州大学教育教学改革研究项目（JG2013097） 作者简介作者简介：张文勇（1973-），男，贵州台江人，硕士，贵州大学计算机科学与技术学院讲师，研究方向为网络与信息安全；李维华（1961-），男，贵州贵阳人，贵州大学计算机科学与技术学院高级实验师，研究方向为网络与信息安全；唐作其（1980-），男，贵州兴义人，硕士，贵州大学计算机科学与技术学院副教授，研究方向为信息安全保障体系 0引言 信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法，开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。信息安全学科要求学生不仅要具备很强的理论知识，更应具备较强的实践能力。现阶段很多高校在理论教学上有较好的培养方法和模式，学生具备良好的理论基础，但在实践教学中由于各课程的衔接和关联较少，尽管部分学校开设了信息安全实训或信息安全攻防实践等课程，但基本都是做一些单元实验，仅局限于某一方面的技能训练，没有从全局、系统的角度去培养学生综合运用各种信息安全知识解决实际问题的能力[15]。从贵州大学信息安全专业毕业生就业情况调查反馈信息来看，绝大多数毕业生主要从事企事业单位的信息安全管理、信息安全专业服务等工作，少数毕业生从事信息安全产品研发，或继续硕士博士深造，从事信息安全理论研究。用人单位普遍反映学生的基本理论掌握相对较好，但实际操作技能、综合分析能力欠缺。为了解决目前这种状况，笔者根据长期从事信息安全等级保护项目实施工作实践，提出在信息安全专业的实践教学环节中引入信息安全等级保护相关内容 1信息安全等级保护对学生能力培养的作用 信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查5个阶段，信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护的知识体系完善，信息安全等级保护测评人员的技术要求涵盖多个方面，包括物理环境、主机、操作系统、应用安全、安全设备等，因此国家对于信息安全等级保护人员的技术要求十分综合和全面[3]。如参照信息安全等级保护专业人员的技术要求对学生开展信息安全综合实训将满足社会对信息安全专业人员的技能和知识结构要求，主要体现在以下4个方面：①培养学生了解国家关于非涉密信息系统保护的基本方针、政策、标准；②培养学生掌握各种基本信息安全技术操作技能，熟悉各种信息系统构成对象的基本操作，为将来快速融入到信息安全保护实践工作奠定基础；③培养学生具备从综合、全面的角度去规划、设计、构建符合国家信息安全保障体系要求的信息安全防护方案能力；④培养学生建立信息安全等级保护的基本意识，在工作实践中自觉按国家信息安全等级保护要求开展工作，有利于促进国家信息安全等级保护政策实施 2实训教学知识体系 信息安全等级保护的相关政策和标准是信息安全实训教学体系建立的基本依据，GB/T 22239-2008《信息安全等级保护基本要求》在信息安全等级保护标准体系中起基础性作用。信息安全等级保护基本要求充分体现了“全面防御，纵深防御”的理念，遵循了“技术和管理并重”的基本原则，而不同级别的业务信息系统在控制点要求项上的区别体现了“适度安全”的根本原则[6]。信息安全保护测评是信息安全等级保护的一项重要基础性工作，GB/T 28449-2012《信息安全等级保护测评过程指南》是对等级测评的活动、工作任务以及每项任务的工作内容作出了详细建议，等级测评中的单元测评、整体测评、风险分析、问题处置及建议环节体现了测评工程师对等保项目基本安全保障情况的综合分析能力[610]。信息安全等级保护知识体系庞大，不可能兼顾所有方面，因而在信息安全实训教学知识体系制订中采用兼顾全局、突出重点的基本原则；在实训教学知识体系的构成中重点以《信息安全等级保护基本要求