《信息安全风险评估》课程教学探析.doc

《信息安全风险评估》课程教学探析摘要：信息安全风险评估是构建信息安全保障体系的重要手段，通过该课程的教学能培养学生分析信息系统，评估其面临的安全威胁及安全风险的能力，进而采取相应的安全措施。从信息安全风险评估课程的教学现状出发，分析了课程特点，对该课程的教学从多个方面进行了探讨 关键词：信息安全；风险评估；教学 信息安全风险评估是进行信息安全管理的重要依据，通过对信息系统进行系统的风险分析和评估，发现存在的安全问题并提出相应的措施，这对于保护和管理信息系统至关重要。目前国内外都高度重视信息安全风险评估工作。美国政府2002年颁布《联邦信息安全管理法》，对信息安全风险评估提出了具体的要求；欧盟国家也把开展信息安全风险评估作为提高信息安全保障水平的重要手段；2003年7月23日，国家信息中心组建成立“信息安全风险评估课题组”，提出了我国开展信息安全风险评估的对策和办法。2004年，国务院信息办研究制订了《信息安全风险评估指南》和《信息安全风险管理指南》两个风险评估的标准；2006年又起草了《关于开展信息安全风险评估工作的意见》[1]。这些工作都对信息安全人才的培养提出了更高的要求，同时也为《信息安全风险评估》课程的开设和讲授提供了必要的基础和条件。《信息安全风险评估》课程教学，是信息安全专业一门重要的专业课程，能全面培养学生综合运用专业知识，评估并解决信息系统安全问题的能力，是培养符合国家和社会需要的信息安全专业人才的重要课程之一。《信息安全风险评估》课程本身的理论性与实践性都很强，课程发展十分迅速，涉及的学科范围也较广，传统的教学的模式不能使该课程的特点很好地展示出来，无法适应社会经济发展对信息安全从业人员的新要求，教学改革势在必行 一、现状与存在的问题 信息安全风险评估是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的安全威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。它涉及信息系统的社会行为、管理行为、物理行为、逻辑行为等的保密性、完整性和可用性检测。风险评估的结果可以作为信息安全风险管理的指南，用来确定合适的管理方针和选择相应的控制措施来保护信息资产，全面提高信息安全保障能力[2]。自2001年信息安全专业建立以来，高校在制订本科专业教学培养目标和教学计划时，侧重于具体安全理论和技术的教学和讲授，特别是重点强调了密码学、防火墙、入侵检测、网络安全等安全理论与技术的传授。从目前高校的教学内容看，多数侧重于对“信息风险管理”、“风险识别”、“风险评估”和“风险控制”等基本内容的介绍上，而且教学课时数也较少，只有十个学时。当前从《信息安全风险评估》课程的教学情况来看，该课程在信息安全教育教学过程中地位有待提高，实践教学的建设与研究迫切需要深化 当前该课程的教学实践中普遍存在以下几个方面的问题，严重制约了《信息安全风险评估》课程教学质量的提高： 1.本科教学大都以理论内容为主体，实验和课程设计的学时安排较少。一般高校的《信息安全风险评估》课程主要以理论内容的讲授为主，实验和课程设计的学时较少，实验内容也大多属于验证性质，缺少具有研究和探索性质的信息安全风险评估实践内容和课程设计； 2.教学方法单一，缺乏激励学生求知欲的教学方法和手段。当前开设《信息安全风险评估》课程的高校还较少，师资力量相对薄弱，教学经验也比较缺乏，仍以主要由教师讲述的传统教学方式为主，学生进行具体实践和操作的课时较少，缺乏创新性的教学和研究，基本没有具有探索性和创新性特点的教学内容，不利于发挥学生主观能动性，提高其创新能力； 3.实验环境无法满足教学需求，缺乏专业的信息安全风险评估师资。我国信息安全风险评估的研究和教学工作起步晚，缺乏相关的实验设备；而且受到资金和专业发展等多方面因素的制约，难以设立专门的信息安全风险评估实验室。此外，信息安全风险评估是以计算机技术为核心，涉及管理科学、安全技术、通信和信息工程等多个学科，对于理论和实践要求都很高。这就要求教师既要学习好各学科的基本知识，又要加强实践训练 二、教学改革与探索 高校计算机相关专业开设《信息安全风险评估》课程，不是培养网络信息安全方面的全才或战略人才，而是培养在实际生活和工作中确实能解决某些具体安全问题的实用型人才。针对《信息安全风险评估》课程的特点和教学中存在的不足，我们从以下几个方面对该课程的教学改革进行了探索： 1.重新确立课程培养目标。①重点培养学生分析和评估信息安全问题的能力：《信息安全风险评估》课程是一门理论性和实践性紧密结合的课程，目前开设该课程的高校较少，各学校的教学内容也多种多样。该课程的教学目标即要培养学生发现信息系统存在的安全风险，同时也需要培养他们科