用跨学科思路来的设计信息安全教学的体系.docVIP

用跨学科思路来的设计信息安全教学的体系 　　文章编号：1672-5913（2013）01-0022-03 　　中图分类号：G642 　　信息技术是一个具有跨学科特性的学科，几乎所有的科学领域、技术领域、应用领域都可以和信息技术嫁接产生新的价值。在信息技术领域中，信息安全技术也具有这样的特点，安全几乎可以和信息技术的所有领域产生化学反应，如网络技术对应网络安全、操作系统存在主机安全、电子商务存在交易安全等。因此，在信息安全专业教学时，我们采用“跨学科思路”来设计信息安全的教学体系。 　　1 何謂“跨学科思路”？ 　　所謂跨学科思路就是时刻考虑本学科与其他学科的跨接（跨界）。当然，这种跨接不是凌乱的，可以参考以下几个原则： 　　1）本学科要有贯彻始终的主线。 　　主线就是本学科的一些根本原理、基本原则、基础方法、核心技术、关键目标等等。把握主线能使我们达到跨而不离的效果。 　　2）掌握跨学科的规律。 　　通过研究本学科与其他几个关键学科的跨接模式，总结和提炼出跨学科的规律。从某种程度讲，这就是主线的具体印证，通过把握各种跨接规律，达到博而不散的效果。 　　3）要做到“既可上天，也可入地”。 　　跨学科常常会把理论性、抽象性、形式化的方法与实际应用、操作技能连接起来。这种上下兼顾的安排，能产生高而不虚、深而不呆的效果。 　　4）要包容一些自由的跨接。 　　跨学科是非常有活力的，时常展现出思维的跳跃和灵感，这些都是跨学科的特征所决定的。我们要刻意培养和包容这样奇特的跳跃，即使有些跳跃不合常理。因此，笔者常常把信息安金、身体安全（健康）、企业安全（企业的良性管理和治理）等进行比较研究。 　　笔者从跨学科思路的前三个特性（主线、跨接规律和理论实践），分析信息安全学科的跨学科思路教学。跨学科思路的第四特性，如果要引入到本科教学中目前还很不成熟，有相当的难度，故暂不探讨。 　　2 信息安全的学科主线——信息安全思维 　　笔者常说：“安全没有技术”。这是一个极端的比喻，意思是安全总是依附于其他学科和技术。安全表达的就是一种思想、一种思维方式。我们谈到的安全思维通常包括： 　　1）安全三要素。 　　一般技术门类常常涉及两个方面：需求和需求被满足。安全区别于一般技术种类的一个关键特性是：安全涉及资产、威胁和安全措施三方面，多了一个不受控制的“威胁”一方，从而形成了三方博弈关系。所以，单独谈安全措施是没有意义的，必须要谈这个安全措施是保护什么资产和业务，对抗什么样的威胁和危害。威胁是资产的函数，安全措施是威胁的函数。安全三要素思维其实充分体现了安全的依附性。 　　教学活动要让学生清楚地意识到，谈网络安全要先谈网络；谈云计算安全要先清楚什么是云计算；谈防守前先明白如何攻击。这样，那些网络、操作系统、程序设计等基础课程与信息安全专业方向的关系就清楚了，学习过程就会更有针对性。 　　2）安全是有立场的。 　　安全是有立场的，是一个多方关系的交互博弈。我的安全不意味着你的安全；他的不安全问题，可能正是我期望的。这种博弈关系可能是对抗、合作或支持。在教学活动中，要让学生感受到对抗的魅力。没有掌握对抗和攻防，信息安全就等于白学了。这种对抗的感觉是在演练实操中获得，甚至还可以在更高级的战略对抗中体会。 　　3）不同模式的安全手段。 　　笔者最近常常把信息安全的手段分成三类：基于密码技术的认证加密类、基于攻防技术的检测响应处置类、基于风险管理思想的体系化方法类。教学活动要覆盖这些安全方法，让学生对于安全有比较全面的认识，从而在今后的工作和研究中具有更好的适应性。 　　4）时空观念。 　　信息技术本身具有很强时空感，信息安全则更突出地体现了这种时空观念。典型的空间就是网络的分布和系统的层次，典型的时间就是对象的生命周期以及时序的流转。 　　在教学活动中，对于时空感的建立可以通过用例（Use-Case）来体现，这是借鉴敏捷软件开发中的用例思想。从安全三要素（资产、威胁、措施）出发，分析业务用例、威胁危害场景，最终搞清楚安全措施用例的实际作用。 　　5）知识价值。 　　信息安全是一个对于知识具有极高依赖度的领域。学生在实施攻击时，需要了解被攻击对象的系统形态、时空模式、漏洞、防御方式等；在进行防御时，也需要了解被保护对象，了解潜在攻击者的攻击企图、手法、弱点等；还要了解过往的战例。同时，教师要在不同的教学阶段，提炼出关键的知识聚集点，使学生了解安全的核心价值到底在何处。 　　安全思维丰富多彩，上面谈到的是一些典型的思维线索，通过这些线索，不管信息安全如何跨接到其他学科和技术领域，其主线都是围绕安全展开的。 　　3 掌握信息安全的跨学科规律 　　在信息安全领域中，跨接其他技术领域最主要的载体和技术形态就是“基于