前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的信息安全专业主题范文,仅供参考,欢迎阅读并收藏。
信息安全专业主要课程 学生除学习理工专业公共基础课外,学习的专业基础和专业课主要有:高等数学、线性代数、计算方法、概率论与数理统计、计算机与算法初步、C++语言程序设计、数据结构与算法、计算机原理与汇编语言、数据库原理、操作系统、大学物理、集合与图论、代数与逻辑、密码学原理、编码理论、信息论基础、信息安全体系结构、软件工程、数字逻辑、计算机网络等。
信息安全专业就业前景 本专业是计算机、通信、数学、物理、法律、管理等学科的交叉学科,主要研究确保信息安全的科学与技术。培养能够从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。进入21世纪,随着信息技术的不断发展,信息安全问题也日显突出。如何确保信息系统的安全已成为全社会关注的问题。
目前我国在信息安全技术方面的起点还较低,国内只有极少数高等院校开设“信息安全”专业,信息安全技术人才奇缺。本专业毕业生可在政府机关、国家安全部门、银行、金融、证券、通信领域从事各类信息安全系统、计算机安全系统的研究、设计、开发和管理工作,也可在IT领域从事计算机应用工作。我们应充分认识信息安全在网络信息时代的重要性和其具有的极其广阔的市场前景,适应时代,抓住机遇!
信息安全专业就业方向 本专业学生毕业后可在政府机关、国家安全部门、银行、金融、证券、通信领域从事各类信息安全系统、计算机安全系统的研究、设计、开发和管理工作,也可在IT领域从事计算机应用工作。
从事行业:
毕业后主要在新能源、互联网、计算机软件等行业工作,大致如下:
1 新能源;
2 互联网/电子商务;
3 计算机软件;
4 房地产;
5 贸易/进出口。
从事岗位:
毕业后主要从事项目经理、网络工程师、网络管理员等工作,大致如下:
1 项目经理;
2 网络工程师;
3 网络管理员;
4 销售经理;
关键词:信息安全专业;本科;人才培养
中图分类号:G642 文献标志码:A 文章编号:1674-9324(2013)52-0006-03
作为我院2010年第一批升本的专业之一,信息安全专业具有多年的专科办学基础。2002年我院开办了信息安全技术专科专业,经过近十年的办学实践,积累了一定的专业办学经验。但是作为新设立的本科专业,信息安全专业如何完成从专科到本科的转变,则是摆在我们面前的一个紧迫的课题,为此,几年来我们一直在进行着有效的探索。
一、准确定位人才培养目标
人才培养目标的定位是专业建设中需解决的首要问题。定位是否准确,关系到专业建设的方向是否正确,教学方方面面的工作是否能顺利开展,人才培养的任务是否能顺利完成。要做到既区别于以前的专科,又区别于老牌的兄弟院校;既继承本专业过去的优秀办学特色,又符合学院当前及未来阶段发展的实际要求。我们在人才培养目标的确定上主要综合考虑了以下几个方面的因素。
1.符合学院当前的整体定位。学院申本伊始,也有一个从专科向本科过渡、转变的过程,也需要有一个整体定位的问题。作为一所刚刚申本成功的学院,在相当长一段时间内的整体定位是办教学型本科,培养应用型高级专门人才。这就决定了专业培养目标中应注重对学生应用能力、动手能力、操作能力、开发能力的培养,培养应用型即工程师类专门人才。
2.适合生源的整体素质水平。学院申本后,信息安全专业的招生进入二本序列,录取时的平均成绩在二本分数段处于中下水平,生源整体素质水平不是很高。我们分析,大部分学生毕业后的去向以就业为主,少部分可能攻读硕士学位继续深造,从近期学生的意向调查看,基本情况也确实如此。因此,专业培养目标的定位应主要符合就业导向的需求,培养社会需要的应用型、技能型人才。
3.突出本专业的就业特色。信息安全专业区别于其他计算机专业的就业特点,一是从事的工作领域主要集中在通信、电子信息、电子商务、电子金融、电子政务、网络安全监察等领域;二是从事的工作主要是与信息安全相关的应用、开发、管理、服务和研究工作。
4.体现本科与专科的差别。在继续强调应用能力、动手能力、操作能力、开发能力的培养基础上,适当增强基础理论和系统的专业知识的学习,以扩大学生的知识面,奠定学生开展专业研究的能力基础,进一步提升学生深造的空间。
在综合以上几个方面的基础上,目前我们把信息安全专业的人才培养目标较准确地定位为:本专业培养系统掌握信息安全的基础理论与方法,具备系统工程、计算机技术和网络技术等方面的专业知识和综合能力,能够从事计算机、通信、电子信息、电子商务、电子金融、电子政务、网络安全监察等领域的信息安全应用、开发、管理、服务、研究等方面工作的应用型高级专门人才。
二、认真细化人才培养规格
根据专业人才培养目标,我们对人才培养规格进行了认真细化,从知识、能力、素质等三个方面进行了详细的规定,力求明确具体,主要内容如下。
1.毕业生应重点掌握以下知识:①专业必需的基础理论知识,包括高等数学、大学语文、大学英语、大学物理、线性代数与概率统计等;②计算机科学与技术方面的专业基础知识,包括计算机科学导论、计算机组成原理、离散数学、数据结构、C语言程序设计、面向对象程序设计、数据库原理及应用、操作系统原理、计算机网络、网络程序设计、软件工程等;③信息安全专业方向的理论知识,包括网络安全基础、应用密码学、操作系统安全、入侵检测技术、数据库安全、电子商务安全、防火墙原理与技术、数据备份与灾难恢复、计算机病毒原理与防范、安全认证技术、安全扫描技术、计算机取证技术、安全审核与风险分析等;④具有本专业先进的和面向现代人才市场需求所需要的科学知识。
2.毕业生应具备以下能力:(1)基本能力:①具备运用辩证唯物主义的基本观点和方法去认识、分析和解决问题的能力;②具备较强的语言及文字表达能力;③具备运用外语进行简单会话的能力,能够阅读本专业外文资料,并具有一定的听、说、读、写、译能力;④具备利用计算机常用应用软件进行文字及其他信息处理的能力;⑤具备撰写专业科技文档和软件文档写作的基本能力;⑥具有掌握新知识、新技术的自学和继续学习的能力;⑦具有较强的人际交往及组织管理能力。(2)专业能力:①具备根据实际应用需求进行一般信息系统的规划、设计与开发,系统调试、系统集成的能力;②具备各种信息安全技术的应用以及提供信息安全技术服务的能力;③具有信息安全产品性能分析、应用选择、管理维护、故障检测及排除、设计信息安全实验等能力;④具有较强的信息安全系统分析、规划、设计与开发、工程设计、系统调试、综合集成和操作管理能力;⑤具有较强的信息系统安全策略设计及设置、信息系统数据备份及恢复、信息系统数据保护等专业技能能力;⑥具有较强信息安全管理能力;⑦职业技能或岗位资格水平达到国家有关部门规定的相应职业资格认证的要求或通过计算机技术与软件专业技术资格(水平)考试。(3)综合能力:①具有从事本专业相关职业活动所需要的方法能力、社会行为能力和创新能力;②具备获取新知识、不断开发自身潜能和适应知识经济、技术进步及岗位要求变更的能力;③具有较强的组织、协调能力;④具备将自身技能与群体技能融合的团队合作能力;⑤具有积极探索、开拓进取、勇于创新、自主创业的能力。
3.毕业生应具备以下素质:①具备自尊、自爱、自律、自强的优良品格;②具备良好的行为习惯和道德素养;③具备大学层次相应的文化素养、法律素养和思想素养;④具备创新、实践、创业的专业技术开发素质;⑤具备竞争意识、合作精神、坚强毅力;⑥具有健康的体魄、良好的体能和适应岗位工作的身体素质和心理素质;⑦具有安心于生产第一线,严格认真、求实守纪的敬业精神。
三、合理设置课程体系
科学合理的课程体系的设置是实现人才培养目标和使学生达到预设的培养规格的最重要的保障。为此,我们借鉴了十几所兄弟院校信息安全专业的课程体系设置,结合我校的实际情况,设置了具有我校特色的课程体系,除公共基础必修课以外的专业基础和专业课程(必修课)设置情况(含课程名称、总课时)大致如下:计算机科学导论48、高等数学140、大学物理60、C语言程序设计72、数字电路48、计算机网络56、线性代数与概率统计60、数据结构72、离散数学68、面向对象程序设计72、操作系统原理48、计算机组成原理56、数据库原理及应用56、算法设计与分析64、网络程序设计72、信息安全标准与法律法规30、网络安全基础64、应用密码学56、软件工程60、入侵检测技术40、数据库安全40、电子商务安全40、防火墙原理与技术40、计算机病毒原理与防范48、操作系统安全48、安全审核与风险分析40、安全扫描技术40、安全认证技术40、计算机取证技术56、数据备份与灾难恢复56、信息安全综合设计与实践26、毕业实习360、毕业论文120。此外,针对该专业还开设了办公自动化、信息安全数学基础、网页设计与网站建设、.net编程、文献检索、网络协议、网络设计与工程、考研辅导、数学建模、防身术等五十多门选修课程供学生选择。在设置该课程体系时,我们主要综合考虑了以下几个方面的需求。
1.和原专科信息安全技术专业的课程体系相比,适当增加了高等数学、线性代数、概率统计等基础理论课程的比重,目的是要在一定程度上夯实学生的专业基础理论,提高学生未来开展专业研究的能力和提升学生进一步深造的空间。
2.继承了原专科信息安全技术专业课程体系中相当一部分偏重实践能力培养,具有应用型特色的专业课程,这些课程在相当长一段时间内都符合本专业的培养目标定位和人才培养规格的要求。
3.课程体系整体体现了注重实践能力培养的要求,在必修课中的专业基础和专业课中实践教学的比重占到了46.9%。
4.精选了五十多门选修课供本专业学生选修。这些选修课中,有与专业密切相关的用于扩展专业知识面和专业技能的课程;有用于陶冶情操、培育学生情商的人文素质课程;也有具有警院特点,注重增强学生体质,培养各种社会技能的特色课程。学生可以根据自身的兴趣、爱好、志向、专业发展需求和社会发展需求自主选修,以保证学生个性的充分发展和综合能力的培养提高。
四、加强实践教学体系的建设
作为刚升本的工科专业,保证和提高实践教学的质量是我们教学工作的重要任务,它直接决定人才培养目标的实现。为此,我们通过几年的努力,逐步建立起一个较为完整的科学的实践教学体系,为专业人才培养创造了一个较好的平台。
1.科学规范地制订了各门课程的教学大纲。大纲中不仅包含了理论内容,而且详尽地制订了实践教学的具体要求,规范且全面,使实践教学有章可循,不流于形式。
2.加强和完善了常规基础实验条件的建设。2010年学院投入80余万元更新了两个普通机房,充分保证了专业基础课和部分专业课的常规上机的需要。
3.科学规划设计,构建了综合性的专业实验平台。2012年学院获得中央财政支持地方高校实验室专项建设经费150万元,通过科学规划和设计,建设了一个高效的综合性的信息安全实验室。该实验室采用软硬件相结合的方式,将全部专业课程的实验集成在一个平台中完成。利用这个综合性的实验平台,师生不仅可以完成大纲所规定的所有专业课程的全部实验任务,还可以根据教学需要,自主设计实验,进一步拓宽了实践教学的渠道,同时也激发了学生学习的主动性。
4.充分利用现有教学资源,建设开放性的校内实训基地。学院长期以来实行院局合作和校企合作,在校内建设有多个产学研基地,加上综合性信息安全实验平台的开放,学生在校内可充分利用这些资源,进行校内实训,另外在协助教师进行教学、科研、办案、社会服务中也使学生得到实际锻炼,增长知识和技能。
5.积极开发、联合,建设符合需求规模的校外实习基地群。学院在省内外建设有三十多个稳定的校外实习基地,信息安全专业目前也在长沙和厦门等地建立了四个稳定的校外实习基地,其规模和软硬件条件均能充分满足学生进行专业实习的需要。
五、加强师资队伍的建设
师资队伍的强大与否是人才培养目标能否顺利实现的基础,也是关键。几年来,为保证信息安全专业建设的顺利进行,在师资队伍的建设方面,院系两级均下了很大的功夫,各方面均有了较大的提升。
1.保证数量,优化师资结构。几年来,通过实施引进、鼓励读研、政策向高学历高职称人员倾斜等措施,专业教师绝对数量得到了保证,且逐步增加,师资结构也得到进一步的优化。目前信息技术系共有专兼职教师32人,完全能够满足课程开设的需要,教师中高级职称、硕士博士研究生的比例逐年增大,职称结构、学历结构得到较大优化,师资队伍的整体素质稳步提高。
2.加强培养,提高教学水平。通过对内加强师德师风教育、纪律整顿教育和各种优胜评比,对外选派教师进行挂职、调研、实习、进修等多种形式,对教师进行专业理论、专业技能、教改能力、教学理念、职业修养等多方面的培养,逐步提高教师的教学能力和教学水平,以尽快适应本科教育教学的需要。
3.以学科建设促师资队伍建设。2012年学院启动了重点学科建设工作,2013年计算机应用技术学科被确定为院级重点建设学科,学院每年均投入一定的资金对重点学科进行支持,这样不仅为学科专业的建设发展提供了更好的条件,而且大大地提高了教师对科研工作和教学工作的热情,再通过几年的积累,必然大大地提高教师的科研和教学水平,从而促进师资队伍的整体素质再上一个台阶。
摘要:本文介绍了一些常见的误用密码协议的例子,进而探讨了信息安全专业密码学教学中的一些可行性方法。
关键词:信息系统;密码;协议;教学
中图分类号:G642
文献标识码:B
1简介
由于使用了数学中的有限域和数论理论,因此密码学课程一直被视为是非常数学的。诚然,数学基础对现代密码方案设计和算法理解是至关重要的,但是对于密码系统开发和评估人员来说,一般不需要考虑底层的密码算法,而是需要分析高层密码协议(如密钥分配协议,身份认证协议)的安全性。因此,过分强调数学在密码学中的作用而忽视一般密码知识的重要性,就导致出现了很多有缺陷的密码系统,而这些缺陷一般都不是因为底层密码算法的瑕疵而引起的。故此,如何使信息安全的思想和方法更有效地被系统开发者理解,引起了国内外政府、大学、科研机构的高度关注。我国于本世纪初在一些大学先后开设了信息安全专业,但是如何将密码学从纯粹数学研究或者科学研究领域转变为非数学和科研工作者应用的开发工具,是一个严峻的挑战,而分析和总结非数学专业密码学课程的教学是一项有意义的工作。
2一些例子
本节介绍一些有缺陷的密码系统,从中可以看出缺乏对必要的密码协议的理解将带来的安全隐患。
2.1商场支付卡系统
商家的支付可系统通常用一个PIN码簿加密客户的PIN码。由于系统的敏感性,PIN码簿应周期性地更新。而在早先的装置中,这些系统使用主密钥管理系统,这就需要信用卡认证主机定期下载一个新的会话密钥充当PIN码簿。但不幸的是,商家终端和信用卡认证主机之间通信协议的设计者没有意识到这个问题,在通信协议中不提供对更新会话密钥的下载,因此大多数情况下,会话密钥没有更新。
2.2IBM 4758处理器
一些银行的ATM机利用了IBM 4758密码处理器,但在执行库设计上存在着一个缺陷,这就使得某个心怀叵测的银行职员可以获得设备使用的密钥。
2.3等价保密
为了达到与有线通信等价的保密性,无线通信协议标准IEEE 802.11b利用RC4密码算法实现加密。而为了防止RC4密码算法被破解,密钥不能重复使用,但在IEEE 802.11b标准中并未提及这点,因此在许多依据此标准构造的安全体系中,密钥可以重复使用,导致系统很容易受到攻击。
2.4Microsoft护照
Microsoft Passport系统主要是为了提供.NET服务而引入的,使用的协议是Kerberos协议的一个变体。Passport不需要每个用户拥有一个私钥,这样用户的认证就得不到保证,攻击者就可以通过其他方式获取Passport,而在线商家并不能检验出来。
3一个概念
大多数学生会认为密码系统就是那些密码算法。实际上密码系统还有两个重要的组成部分:一个是密钥管理,定义密钥的选择和交换;另一个是密码使用,定义数据保密策略。
上节例子可以看出,缺陷的产生源于对密钥的选择或密码使用不当,而不是因为没有很好地理解有限域和数论理论。事实上,如果缺乏相应的数学基础,真正能够攻击底层密码算法的攻击者很少,大量的安全问题出自于对密码不恰当的使用和对密钥管理的疏忽。因此,对于信息安全专业的学生,密码学课程的重点应该集中在基于密码算法之上的信息安全系统的理解,强调密码管理和应用方面的理解和技术实现。
4课程要点
密码课程内容从密码基本原理与信息系统相结合进行选材,包含对有缺陷系统的剖析。在实验中,尽可能将一些开发密码系统的工具介绍给学生,使学生在解决问题中体会密码系统可能产生的问题。从而强化学生对密码基本原理的理解以及对密码管理和应用的思考。
针对学生在工程设计中可能出现的问题,集中讨论以下问题:
1) 理解密码算法的基本要求以及不同算法相互之间的关系。如讨论RC4密码算法为什么要求使用不可重复的随机密钥。讨论DES的不同操作模式应用场景。
2) 讨论密钥更新的时间和方法。
3) 检查所有协议是否存在中间人攻击方法。了解防止该攻击的消息认证方法。
4) 检验所有协议是否存在重放攻击,了解防止该攻击的时间戳和会话密钥分配方法。
5) 理解信息泄露攻击。不经意的设计会引起信息泄露。一些协议和API库函数都有自己特定的使用方法和范围,应慎重使用。例如诊断请求只需报告系统的正常状态,而不需要提供系统中处于密码保护的信息
6) 新的研究成果的介绍。如新发现的系统缺陷和攻击(防御)技术。
7) 关注信息安全领域的发展,扩展密码原理和技术的应用范围。
5自由选择
学生对于课程的兴趣点会有所不同,有的学生喜欢编写程序,而有些学生对项目管理感兴趣。为了更好的理解密码学原理和应用,以及满足对大部分学生的教学要求,适当给学生布置一些交叉作业,并以相应的难度计分,充分调动学生学习的主动性和积极性。通常给学生一定的自由度,学生可以根据其兴趣和能力选择合适的作业完成。对于在某一方面突出的学生,给他发挥自己特长的条件,引导其了解一些关键的密码系统的设计思想,或者推荐一些研究文献扩展知识面。见下表。
6教材选择
鉴于在教学中的实践和体会,我们选择清华大学出版的《现代密码学》作为学生学习密码基础的主要教程,该教材较简练地给出了密码学中基本原理,相比其他教程,较容易理解,适合非数学专业的学生学习,但对密码应用和安全协议的讨论不足。为此,Wenbo Mao著的《现代密码学理论与实践》可以弥补其不足,该书着重强调了应用密码学研究与开发的原则,可以根据学生的知识结构选择适当的素材开展实验和讨论。
7教学实践
教学实践中,对信息安全专业的大学低年级学生而言,建立信息系统安全的整体概念,了解安全需求,分析安全隐患对于密码学学习尤为重要。主要体现在两方面:一方面,许多密码安全协议后来证明是不安全的。另一方面,密码误用可能出现第二节分析的系统问题。因此,在教学中以密码协议和密码应用为核心开展教学,将密码学基本原理渗透其中,可以得到不错的教学效果。针对具体实际,可以分学期安排教学重点,力求使学生系统而全面的理解、掌握密码学原理和应用。在计算机网路发展日新月异的当今社会,信息安全的价值不可估量,密码学的相关课程的教学应该引起相当的重视。
参考文献
1 概述
自从2000年以来,随着计算机技术的不断发展,信息安全问题日益突出。怎样确保系统的安全性已成为全社会关注的热点问题。与此同时,随着我国对信息安全领域的愈加重视,自2001年起,国内高校也逐步开展了相应的信息安全教学[1]。安徽大学也于近年在计算机科学与技术学院下建立了信息安全专业,为培养合格的信息安全人才,奠定了良好的基础。
信息安全专业是一个跨学科的交叉专业,涉及计算机、通信、数学等诸多学科的内容。其专业目标是培养系统地掌握信息安全基础理论与方法,具备软件工程、计算机技术和网络技术等方面专业知识和综合能力的高级工程技术人才[2]。而软件工程是信息安全专业的一门重要专业课,它集理论性和实践性于一体,其课程目标为:通过该课程的学习,使学生能够了解和掌握软件工程开发的技术和方法,培养学生按照工程化思想来开发软件的能力,为日后成为合格的信息安全工程师奠定坚实的基础[3]。
2 信息安全专业的软件工程实践教学不足
信息安全专业的软件工程既与传统的软件工程课程有相似之处,又存在一定的不同。其最大的区别在于该课程在讲授软件生命开发周期的同时,需处处体现出“信息安全”专业性。其对应的实践教学也要突出上述特点。而现有的面向信息安全专业的软件工程实践教学体系仍多照搬传统的软件工程实践体系,主要存在以下不足:
2.1 实践教学内容无法体现专业性
我院现有信息安全专业的软件工程实践教学内容多直接照搬软件工程专业的实践内容设置,缺少专门面向信息安全专业的教学内容,实践案例与信息安全专业的课程体系关联性不强,无法体现信息安全的专业培养目标。
2.2 实践教学方法单一
虽然当前信息安全专业的软件工程实践教学课时和数目都在增加,但教学方法较为落后,多停留在简单的实验验证层面。从教学方式的角度来看,仍多基于“教师教,学生学”的传统模式,缺乏对新教学方式的考虑和引入,对学生的自主学习和创新能力的培养不足。
2.3 实践考核方式尚不合理
现有面向信息安全专业的软件工程实践考核主要采用检查文档(即规格说明书)和运行系统两种手段,并基于此给出学生的最终实践成绩。这种方式不仅过于简单,而且无法体现软件工程实践的特点。这样给出的成绩自然也无法准确的体现出对学生信息安全能力的培养效果。
2.4 缺乏专业化实践教学团队
现有的软件工程教师多是各自为政,在实践经验和教学方式上缺乏必要的沟通协作,没有形成一个统一的教学团队,且部分教师不具有信息安全专业背景,一线队伍中“双师型”教师人才严重匮乏。
从以上可看出,当前软件工程实践教学无论是内容还是方法等方面都不能满足信息安全专业的培养要求,构建面向信息安全专业新的实践教学体系已成为一个迫切需求。
3 面向信息安全专业的软件工程实践教学改革
针对已有软件工程实践教学的不足,我院自2014年起,在安徽省重点质量工程项目——“信息安全振兴计划专业改造与新专业建设”的资助下,组织了信息安全专业和软件工程专业的教师共同对软件工程实践教学进行会诊和大讨论,重点研究了信息安全专业下的软件工程实践教学改革,为培养具有专业能力的信息安全工程师奠定基础。主要的实践改革包括:
3.1 设计面向信息安全专业的实践教学内容
现有软件工程实践教学内容不够专业化,缺乏对实践教学的统一规划和过程化管理。对此本次改革提出以信息安全专业的培养目标为导向,结合软件工程课程的自身特点,研究设置专业化的实践教学内容。其核心是构造面向信息安全专业的软件案例,并将工程化思想引入实践教学。具体来说,我院由软件工程教师和信息安全教师紧密配合,从实际的安全项目中提炼出若干个典型案例,从软件生命周期的各个阶段出发,整理出对应的工程文档,作为实践教学的内容。
3.2 采用具有信息安全特点的实践教学方法
结合信息安全专业特点,运用满足工程化需要的创新教学方法,重点研究面向问题和案例驱动的实践教学。其中在软件工程实践的前期主要采用面向问题的启发式教学[4],而在软件工程实践的后期随着学生对专业知识掌握的加深,重点采用案例驱动的教学方式[5]。
同时,建立面向信息安全专业的软件工程实践平台,以辅助实践案例的完成。这些平台包括:网络安全实践平台、密码学辅助平台、信息安全辅助平台等。
在以上基础上,将国内外最新的翻转课堂[6]引入实践教学中,变教师教学生学的被动教学方式为学生自主学习为主,教师引导为辅的主动式教学。通过上述方式,重点培养学生的思考问题,分析问题和解决问题能力。
3.3 引入突出能力化的实践考核方式
考核是软件工程实践教学的一个重要组成部分,对于实践教学的最终效果具有直接影响。对此,我院结合软件工程实践教育的特点,以培养学生的信息安全能力为依据,引入基于能力化的实践考核方式。新的考核方式要求对团队成绩和个人贡献两者兼顾,着重实践过程质量和项目最终成果的平衡。具体来说新的考核方式包括:
1)对不同阶段的实践采用不同的考核方式。对于大二下的《软件工程实验》主要采用基于设计型考核,考核内容包括设计方案、实验报告、实验日志以及演示程序。而对于大三下的《软件工程课程设计》采用基于综合型考核方式,内容包括需求分析、软件设计、编码实现、现场演示以及交互式汇报等考核方式。
2)为每个候选案例设定相应的难度系数,鼓励学生根据自身能力选择合适的题目,并在成绩评定时将实验难度直接反映到每位学生的最终成绩上。
3)在注重完成结果的同时,重视项目的过程化管理,在项目中对学生进行不定期检查,随时了解项目的开展情况,并将这些结果体现在学生的最终成绩上。
4)鼓励教师采用不同的有效方法衡量学生的综合能力。如允许教师采用口试、表现考察、学生反映、学生互评、学生自评等手段对学生的能力进行考核;同时对于大型综合型实验进行多教师参与下的答辩式多角度考核。
通过新的考核方式,全面而又准确地掌握学生的系统构建能力、软件开发能力和团队协作能力。
3.4 建立基于信息安全专业的创新型实践教学团队
现有软件工程实践教学中教师各自为政,缺乏统一的实践团队,学院提出建立一支基于信息安全专业的创新性软件工程实践教学团队。主要从以下几个方面展开工作:
1)建立一支实践能力突出、学术能力互补、年龄结构合理的软件工程课程组。课程组主要由信息安全专业和软件工程专业教师组成,通过课程组的团队力量共同撰写实践内容,一起实施培养过程,集体评价培养质量,突出群体化教学优势。
2)深化以实践教学为主的“双师型”教师队伍建设。在团队教师中重视实践能力的培养,积极创造条件,重点培养团队教师的信息安全项目能力和经验。
3)加强同信息安全企业的合作,定期对课程组教师进行企业培训。将组内教师按照教学研究方向选派到合适的单位,使得教师在企业一线获得真正的信息安全项目实战经验。通过以上途径,在让课题组老师了解企业真实需求的同时,也锻炼了自身的信息安全实践能力。
4)引进信息安全企业的高级技术人才,充实到一线实践教师队伍中。引进的人才需具有较强的项目实战经验,能够对现有的实践教学起到补充和改进的作用。而这些高级专业技术人才的加入也为推进我院“双师型”队伍建设,共建一支“产学研”相结合的实践教学队伍奠定了基础。
4 实践教学改革后的效果
自新的软件工程实践教学体系在我院信息安全专业进行试点到现在,总共涉及100多名学生,总体实施效果明显,学生一致反映改革后的专业实践教育确实有效地提高了自身的实际动手能力,并在一定程度上锻炼学生的工程实践能力和创新能力,为培养学生的信息安全素质奠定了坚实的基础。
在此基础上,在2015年第八届全国大学生信息安全竞赛决赛暨首届网络安全人才创新创业论坛上,由我院教师指导,学生组成的三支代表队获得二等奖1项,三等奖2项。其中由安徽大学汤锐、殷清风、曹天娇、纪冬4名同学组成的“Fate”代表队,以作品“面向移动社交平台的安全隐秘通信系统”荣获全国二等奖;由陈雷、张亦明、谢志强、江骐含4名同学组成的“DNA208”代表队,以作品“基于零知识证明和图像识别的认证系统”荣获全国三等奖;由陈火彬、夏彦、曹泽坤、牛雪静4名同学组成的“NewBee”代表队,以作品“基于Android的可信音频通信系统”荣获全国三等奖。
5 结束语
本文以安徽大学信息安全专业的软件工程实践为例,在分析已有实践教学不
足的基础上,提出从多个角度对实践教学体系进行改革。包括设计面向信息安全专业的实践教学内容、采用具有信息安全特点的实践教学方法、引入突出信息安全能力的实践考核方式、建立基于信息安全专业的创新型实践教学团队。后续的试点效果表明:新的实践教学体系提高了学生的工程能力、团队协作能力和沟通能力,为培养具有扎实理论基础、较强分析能力的高素质信息安全创新人才打下了良好的基础。
目前,国内大多数高校的计算机相关专业以及相关的职业培训学校都开设了基于Java的Web程序设计系列课程,课程包括从入门的Servlet和JSP到更高级的Java EE程序设计。各IT企业对Web类开发人员的专业素质和技能都有较高要求,这就要求高校培养的学生既有夯实的理论基础,又具有一定的开发经验与实践技能。但是,目前高校培养的学生还不能很好的满足企业的要求。
一、存在的问题
虽然Java Web类课程也在不断的改革,但目前还是存在着不足:一是在传统的课堂教学模式下,教师在课堂上以课件为蓝本说教式的教学,学生被动的接受知识,没有发挥学生的主观能动性,导致学习效果不佳;二是学生光学习了程序设计的基础知识,但缺乏编程能力训练,无法独立设计与开发应用程序,工程能力不强;三是由于教材的滞后性,学生没有学习和掌握目前主流的开发技术,难以达到企业的用人要求;四是一些计算机相关专业(比如:信息安全、物联网等)的Java Web课的学习内容与计算机和软件专业的对应课程的内容完全一样,没有体现出专业之间的差异,学生不知道如何将信息安全的技术在Java Web程序中应用。如果能解决好这个问题,不仅有利于学生掌握Java Web开发的技能,而且能让学生更加深刻的理解信息安全技术的实践与应用。
针对上述问题,结合笔者这几年给信息安全专业讲授Java Web课程总结的一些经验,提出了一些针对信息安全专业的Java Web课程的教学改革探索,希望能找到更符合信息安全专业要求的Java Web课程教学内容、方式和方法,以培养更加符合专业培养目标和社会需求的学生。
二、教学与实践内容改革探索
Java Web程序设计系列课程的基础是Java,所以在课程体系的设置方面要突出Java课程的重要性,加大Java课程的教学量,并且在Java课程的教学内容中要加入JDK中的Java Security包的内容,重点讲解Java Security API的架构与应用,这是在后续的Java Web课程中引入安全内容的基础。课程的教学与实践内容改革主要有以下几个部分。
1.更新Servlet和JSP的最新版本内容。Servlet是Java Web的基础,随着Java EE版本的更新,最新的Servlet版本已经是3.x,而目前大部分教材还在讲授Servlet 2.x版本的内容。新版本的Servlet在前一版本(Servlet 2.5)的基础上提供了若干新特性用于简化Web应用的开发和部署,这些新的特性包括支持异步处理、支持注解以及可插性等。新的版本必将为Java Web开发提供更好的支持与应用,所以我们讲授的内容也必须随着技术的发展而进行更新,否则会导致学生未学到最新的知识和技术,会和用人单位的需求脱节。
2.设计贯穿全课程的教学项目。引入基于项目驱动的教学内容改革是近年来编程类课程改革的主要方式之一,通过实践证明这种方式也具有不错的效果。与其他编程课程的项目驱动教学不同的是,我们的教学项目按照以下几个要求来设计:①教学项目要按照工程项目的完整流程来进行设计。教学项目不再是按章节设计的程序案例,而是一个实际应用项目贯穿到教学的全过程。项目按照软件开发的基本流程,包含了分析、设计、实现、测试和部署等几个环节,这些环节的内容与教学内容的各个章节对应。按照教学章节讲授了编程知识后,应用编程知识开发实现项目的某项功能,随着教学内容的不断深入,围绕项目开发的功能越来越多,也越来越复杂。在教学结束时,教学项目也就形成了一个相对完整并具有实用性的项目。学生在此过程中也了解到了所学的知识是如何应用的。同时,具体的应用项目让学生不再觉得所学的知识是抽象的,也能触发学生的学习兴趣,引导学生主动学习与实践。②教学项目中应用信息安全技术,符合专业培养目标。针对信息安全专业的培养目标,结合信息安全技术在Web系统中的应用,在教学项目的设计中加入信息安全技术的应用,将学生所学的信息安全专业课知识与本课程的编程开发结合起来,体现信息安全专业知识的应用。比如:学生在密码学课程学习了散列算法,知道了用散列算法计算一串数据的散列值,以用于对数据进行完整性校验。在Web系统应用中,还可以用散列算法计算用户密码的散列码,用散列码替换明文密码能在一定程度上增加密码的安全性。其他的信息安全技术比如:防范SQL注入攻击、基于角色的用户权限控制等,都能在Web项目中得到应用。在教学项目中加入这些技术的实现案例有助于信息安全专业学生理解与掌握相关的知识与应用。表1为教学项目中设计的信息安全局技术应用功能。③教学项目中应用主流技术与框架。由于学生是初学者,所以课堂教学讲授的都是基础知识,比如:Java Web开发基本原理、编程语言基础等,缺乏主流的框架技术的学习与应用。虽然在现阶段学生学习框架技术还有一定的难度,但是一定要在教学项目中加入这些框架技术的应用,并且要将框架技术与课本上的知识进行对应,通过理解基础知识来理解框架技术的应用,这样的教学项目才与实际应用项目更类似,更有利于学生掌握实际应用的开发知识与技能。
三、教学方式方法改革探索
传统的课堂教学方式对于编程类课程而言,存在的不足之处是:学生光学习了理论知识,但没有训练到学生的实践能力,所以本课程在教学方式方法的主要改进方向就是要加强学生的设计与开发能力的训练,最终考察学生对本课程的学习情况,使学生能否独立完成Web系统的设计与开发。
1.项目驱动式现场教学。在课堂教学中就要以教学项目为导向,充分发挥项目式教学方法的作用,充分利用多媒体设备组织教学,采用在实验室机房进行项目式现场教学,将学生推到课堂教学的主置上,在教师引导下师生一起完成教学项目中相关功能的设计与开发工作,让学生享受到学习的乐趣,分享学习成果,实现教与学的共同推进。
2.分组学习与讨论机制。以8~10为限将学生分组,每组由基础较好的学生或助教担任组长。每2~3次课后布置一个题目交由小组下去完成,完成的方式有查阅资料、讨论、设计与开发等,完成后由小组统一提交,并安排小组人员在课堂上讲述题目的完成情况,包括资料汇总、设计方案、程序演示与解答等。这种分组完成题目、课堂答题的方式有利于学生团队精神的培养,也有利于学生表述能力的培养。
3.利用过程化考试平台实施过程化考核。传统的考核方式是“期中考试+期末考试”,这样的考试时间安排往往使得学生放松平时的学习,而在考试之前进行突击复习。这种方式也不利于教师及时掌握学生的学习状况。采用过程化考核机制就是把对知识点考核分散到教学过程中,每2~3周安排一次考试,考核这段时间学习的知识点,及时把握学生的学习状况。过程化考试以考核学生的实践能力为主,为了更好的实施过程化考核机制,本课程设计开发了过程化考试平台,考试平台为学生提供了模拟开发环境,学生在此环境中构架编程项目、编写、调试、运行程序代码,最终由系统对学生提交的项目文件进行自动化评分,保证评分的公平性和高效性。过程化考试平台的应用,将考试分散到平时教学过程中,让学生掌握每个章节的知识点与对应的编程技术;同时,过程化考试平台提供了一个实践编程环境,直接考查学生编写程序的能力,能有效加强对学生编程能力的培养与考核。
四、结语
设计贯穿全课程的教学实践项目、强化信息安全技术在Java Web系统中的应用和实践、采用过程化考试平台实施过程化考核是本文提出的课程改革方案的主要思路,最终的目的是强化对学生工程项目设计与开发的能力培养,以培养符合社会要求的Web开发工程人员。这些面向信息安全专业的Java Web课程改革方案,有一部分措施在笔者所承担的教学课程中已经实施,加大了对学生实践能力的训练强度,也确实取得了明显的教学效果。当然,这些改进方案不一定是放之四海而皆准的方案,因此希望由此起到抛砖引玉的效果,为大家实施Java Web课程改革提供参考。
【关键词】高职 信息安全专业基础课程 专业课程 关系 梳理
【中图分类号】G 【文献标识码】A
【文章编号】0450-9889(2012)09C-0036-03
信息安全专业涉及的知识面非常广,所包含的课程数目也比较多。在信息安全专业课程开设以及课程组织过程中,经常面临着专业课和基础课相互抢占课时的现象。而且专业课和基础课所开设的内容界定也不够清晰,从而导致在实际教学过程中,有些基础课开设的内容对专业课的学习并没有多少实质性的帮助,而有些专业课在学习过程中又反映出学生所掌握的基础课内容不够,甚至有些部分的基础知识缺失,这些现象都严重影响着信息安全专业课程的正常开设以及正常的教学秩序的组织。为了彻底地解决这一问题,需要对信息安全专业的所有课程进行系统的分析,研究每一门课程所涵盖的知识内容和教学要求,分析课程与课程之间的相互依托关系。围绕提高学生掌握信息安全专业核心技术,提高应用信息安全知识能力为目标,对信息安全专业目前所开设的课程进行深入细致的梳理,建立所有课程之间的相互依托关系,使得高职院校在开设信息安全专业课程时有一个明确的指导依据。同时也能够根据所建立的信息安全专业课程之间的相互依托关系,理清信息安全专业知识在不同课程的教学分工,合理安排教学秩序,使得高职院校的学生能够在有限的学习时间内,尽可能多地掌握信息安全专业核心知识和技术,形成比较完善的信息安全专业知识体系。
根据对信息安全专业课程的分析可以发现,信息安全专业所有课程的教学目标主要围绕三条主线来开展:其一,提高信息安全专业学生的网络编程能力。与之对应的将有一系列的相关课程形成版本课程体系。其二,促使学生对网络安全协议的理解认识能力,与之相对应的也会有一个系列的网络安全协议课程体系。其三,提高学生对网络安全知识的掌握分析和应用能力,与之相对应的有网络安全课程体系。当然除此之外,高职院校的学生还会有一些基础文化课程,如数学、英语、体育等,这些课程作为公共课程是保证学生全面发展的一个重要因素。本文在研究过程中重点研究和梳理高职信息安全专业对学生网络编程、安全协议应用、网络安全应用等三个方面能力培养的相关课程界定每一个课程体系的基础课程和专业课程的范围,梳理清楚每个课程体系中基础课程和专业课程之间的相互依托关系。
一、网络编程课程体系
网络编程能力的形成和提高是高职信息安全专业在人才培养过程中对学生的一个最基本的要求,由于信息安全专业的任职岗位当中有很多岗位是要求学生掌握一定的程序开发的基础。因此,学生通过对信息安全专业课程的学习应该具备一定的程序开发和调试的能力。整个网络编程的课程体系也是信息安全专业课程体系中的一个支撑课程体系,其所包含的课程都是信息安全专业中非常核心和重要的课程。针对高职院校学生的基础条件,以及在网络编程过程中可能会应用到的各种技术,本文设计了网络编程课程体系结构图(如图l所示)。在图l之中将所有课程分为了两个层次,分别是基础课程和专业课程,其中基础课程主要包括离散数学、计算机应用技术、计算机组成与原理、数据库系统。这些课程是信息安全专业中学生必须要掌握的基础性的知识和技术,通过对这些课程的学习可以让学生对计算机软硬件系统、计算机应用软件系统以及计算机的工作原理等有一个初步的认识,在此基础上,学生进行相应的一些程序开发过程时,能够更好地理解各种计算机的应用问题,也能够比较顺畅地与其他人员进行沟通和交流。如图1所示,网络编程课程体系的专业课程主要包括面向对象的程序设计、数据结构、汇编语言、网络编程技术,这些课程直接关系到学生应用程序的开发能力。通过对这些课程的学习,可以让学生对网络编程的主流技术进行学习和掌握。需要说明的是,在专业课程体系中放置了汇编语言课程,主要是由于随着信息安全问题的研究越来越深入,很多安全领域中的程序开发越来越朝底层转移,仅仅让学生掌握顶层的一些面向高级语言的程序开发技术和网络编程技术,还不足以满足信息安全领域的开发要求,因此适当地给学生开设一定的汇编语言程序开发的课程,有助于提高学生在不同的应用条件和环境下的程序开发能力。
通过图1所示的课程体系,也可以清晰地看到所有基础课程对专业课程的支撑情况。比如离散数学和计算机应用技术课程主要是为学生提供对计算机基本应用基本概念的理解基础。而计算机组成与原理课程则让学生掌握计算机的工作过程和内部组成结构,这对学生进行各种程序开发,理解程序的运行机制有着重要的促进作用,尤其是对汇编语言的程序开发更是有着直接而重要的支撑作用。而数据库系统课程主要是为学生开拓计算机应用系统的视野范围,而且现在有很多信息安全的程序开发都和数据库有着密切的关联。因此通过图1的结构,将网络编程的课程体系进行了一次全面的梳理。
二、安全协议课程体系
安全协议在信息安全领域扮演着非常重要的角色,安全协议的应用是实现信息系统安全的一门重要技术。因此,在对学生开设信息安全课程体系的时候对安全协议的相关课程的开设有着非常重要的实践价值。从目前高职信息安全专业学生的就业情况统计分析显示,学生毕业之后有相当一部分从事的工作于安全协议有着密切的关联。因此建设好安全协议课程体系同样是对学生的就业情况有着重要的支撑作用。本文通过对安全协议知识的结构以及对这些知识的前后关联情况进行分析之后,建立了如图2所示的安全协议课程体系结构图。同样在图2中也将安全协议的课程体系分成了基础课程和专业课程两部分。其中,基础课程主要包括信息安全数学基础、网络密码、网络通信基础、计算机网络等课程。这些课程所开设的内容各有侧重,信息安全数学基础课程主要给学生介绍信息安全领域所需要用到的各种数学基础知识。由于目前构建信息安全体系过程中,很多安全问题都是依赖于数学的问题,所以为了让学生对各种安全技术有着深刻的理解和掌握,有必要对学生开设与之相关的数学基础课程。网络密码课程主要给学生介绍网络安全协议以及网络应用过程中所使用到的密码技术。密码技术是在数学知识的基础上进行了一定的实现和应用,服务于整个信息安全体系,应用网络密码技术来提高信息系统的安全程度,是目前信息安全领域常用的一种方法和手段。网络通信基础和计算机网络则主要给学生介绍当前的信息安全领域中通信方法和通信技术。通信基础是安全协议应用的前提和条件,各种安全协议在具体实现过程中也需要依托各种网络环境来实现,因此这两门课程也是安全协议课程体系中必不可少的基础课程。
如图2所示,安全协议课程体系专业课程主要包括网络协议分析、VPN原理与应用、IPSec协议进阶。这三门课程主要给学生介绍典型的安全协议及具体的应用方法,如网络协议分析是对目前常用的网络协议工作原理及工作机制进行详细的分析和阐述,帮助学生对于网络环境下各种通信协议建立比较深刻的认识,同时也为学生建立起一些专业安全协议的理解和认识的桥梁。VPN原理与应用课程、IPSec协议课程则完全是为学生介绍当前主流的安全协议,目前在信息安全领域中所使用的安全协议主要是各种VPN协议,其中也包括IPSec协议。因此对这些协议的学习有助于学生掌握一系列当前实用的安全协议,促进学生在就业过程中的竞争力。
从图2中反映的安全协议课程体系可以看出整个安全协议的教学过程应该采用逐步推进的方式,因为所采用的这些课程即使是分为专业课和基础课,实际上课程与课程之间有着相互的依托关系。整个课程体系中网络协议分析是一门承上启下的课程,各种基础课程对网络协议分析有重要的支撑作用,而网络协议分析技术则有助于学生深刻地去理解和掌握各种安全协议工作机制。
三、设计中应注意的问题
各种网络安全技术在信息安全领域有着非常重要的角色,也是当前信息安全领域中最活跃的技术部分,而且在信息安全领域,发展最为迅速,技术更新速度最快的都集中在网络安全技术中。因此,对网络安全课程体系的建设和研究能够直接促进学生对各种具体的网络安全应用技术的掌握程度,提高学生快速有效的解决各种实用的网络安全问题。这一领域的技术发展和变化最为活跃,因此也要求课程体系和课程内容能够紧跟技术的发展趋势,及时地作出调整和变化,以适应社会就业环境的需求。
针对网络安全课程的教学目标以及当前网络安全技术的发展现状,本文建立了如图3所示的网络安全课程体系的结构图。在网络安全课程体系中,处于基础支撑地位的课程有计算机组成与原理、Linux操作系统、操作系统结构分析,这三门课程是网络安全课程体系中的核心基础课程。计算机组成与原理在网络编程课程体系中也是基础课程,由于在该课程中对计算机的工作机制、组成结构进行了深入的阐述,有助于学生理解计算机上各种程序的运行机制和运行过程,对后续的网络安全技术的应用有着重要的支撑作用,因此这门课程也是网络安全课程体系的基础课程,而Linux操作系统、操作系统结构分析两门课程重点给学生介绍目前操作系统内部的结构、工作过程以及操作系统对各种安全问题的关联情况。之所以选择Linux操作系统作为网络安全课程的样本,主要是由于Linux操作系统结构比较清晰,有助于给学生讲解操作系统的内部组成情况。而Windows操作系统虽然是目前主流的操作系统,但是由于这些操作系统是不开源的操作系统,因此不利于给学生把整个操作系统的内部结构讲清讲透。因此,在操作系统结构分析的课程里面将会给学生介绍当前主流的Windows操作系统内部机构以及操作系统在实现过程中所采用的各种安全技术和存在的安全缺陷。
网络安全课程体系的专业课程从图3可知,主要包括防火墙技术、数字水印、木马及病毒分析、入侵检测技术、缓冲区溢出攻击等,这些课程有的是关于网络安全防护及安全提升方面的技术,有的是网络威胁和网络攻击方面的技术。可以说,目前所开设的这几门网络安全专业课程涵盖了当前主流的网络安全实践技术,高职院校学生毕业后所从事的网络安全工作凡是涉及的网络安全操作都主要以这几大类的技术相关联,因此通过对这些课程的开设具有很强的针对性,能够缩短学生毕业后进入工作状态的周期。
由于目前绝大多数的网络安全应用技术都是依赖于操作系统环境的,因此在网络安全课程体系中将计算机组成原理和操作系统的课程作为基础课程是非常科学合理的,有着十分重要的支撑作用。学生通过对这些基础课程的学习和掌握,能够理清操作系统的运行过程和可能存在的安全风险,对各种网络安全应用技术将会有更深刻的理解。比如,木马与病毒分析课程,其中有很多涉及的关键技术都是与操作系统的安全缺陷有直接的关系。缓冲区溢出攻击课程则有一部分的场合也是利用操作系统的漏洞来开展,因此,图3所建立的网络安全课程体系,课程之间的依托关系非常清晰,有助于教学过程中对所设计的相关课程进行科学合理的安排与组织。
【摘要】在信息安全技术专业的专业建设中,课程体系建设是一个非常重要的环节。高职院校在建设信息安全技术专业的课程体系时,应首先对社会需求进行广泛而深入的调研,然后根据调研结果确定职业岗位群并分析各岗位的职业能力,最后根据职业岗位和职业能力的要求构建信息安全技术专业的课程体系。
【关键词】高职院校 信息安全技术 课程体系建设
一、前言
随着计算机网络的迅速普及以及广泛应用,信息安全已经被提到一个非常重要的位置。信息安全的意义从大的方面来说关系到国家的安全、社会的稳定,从小的方面来说关系到公私财物和个人隐私的安全。为了保证计算机网络中的信息安全,必须有专门的人才对计算机系统和网络系统进行管理、使用和维护,目前不少院校相继开设了信息安全技术专业。由于信息安全技术的应用面及涵盖面非常广,因此在课程体系建设中,必须首先对社会需求进行广泛而深入的调研,再根据调研结果开发符合社会实际需求的课程体系。
二、当前高职信息安全技术专业课程体系存在的主要问题
1.课程设置与社会需求脱节
部分高职院校在构建课程体系时,主要考虑学科的系统性和完整性,而对社会的需求不够重视,这样使课程的设置与社会需求脱节,学生毕业以后,不能立即做到学以致用。
2.重理论轻实践
部分高职院校在构建课程体系时,往往重视理论知识的传授,而较少考虑如何培养并提高学生的操作技能,这样培养出来的学生具有较好的理论知识,而实际操作技能较差。
3.未面向职业岗位群,专业口径较窄
部分高职院校在构建课程体系时,往往只按学科的系统性和完整性进行建设,较少面向实际的工作岗位,这样学生毕业后一般无法直接上岗;部分高职院校虽然面向实际的职业岗位构建课程体系,但专业口径较窄,因此也会影响学生的就业。
三、高职信息安全技术专业课程体系建设的基本原则
1.以就业为导向
主要从以下几个方面考虑:第一,根据社会对人才的需求以及社会的当前发展状况来设置课程。第二,面向职业岗位群设置课程,做到“所学即所用”。第三,邀请企业专家参与课程体系建设。
2.以职业能力为目标
分析职业岗位群中各个岗位所需要的职业能力,以职业能力为目标,使学生完成有关的课程学习后,即可具备相应的职业能力。
3.理论知识与实作技能兼顾
课程体系建设要突出应用性和实践性,理论教学要以应用为目的,以“必须和够用”为原则,要突出理论知识的应用和实践能力的培养,专业课程的设置要具有针对性和实用性。
四、高职信息安全技术专业课程体系建设探讨
在构建信息安全技术专业的课程体系之前,应首先根据社会需求确定职业岗位,并根据职业岗位分析职业能力,在此基础上再进行课程体系建设。
1.职业岗位分析
为了使学生能够更好地实现就业,高职信息安全技术专业宜采用“宽专业口径”,即不仅面向信息安全方向,还可以面向网络应用等基础方向,这样学生就可以根据自己的特长和实际水平选择合适的职业岗位。经过对本地区进行社会调研,可确定信息安全技术专业的职业岗位群中包括“信息安全技术工程师”、“网络管理员”、“网络售后技术支持工程师”、“计算机和网络硬件设备及信息安全产品营销”等岗位。
2.职业能力分析
(1)信息安全技术工程师
具有使用防病毒系统、反间谍系统、IPS系统的能力;具有安装网络设备和安全硬件产品的能力;具有全面制定和实施信息安全策略的能力;具有攻击和防御的能力;具有信息安全审计的能力。
(2)网络管理员
具有安装和配置网络终端以及网络设备的能力;具有定位和排除常见网络故障的能力;具有设计和实施网络安全策略的能力。
(3)网络售后技术支持工程师
具有协助安装大中型网络以及协助验收和测试网络的能力;具有排除网络设备或系统故障的能力;具有为客户解决网络技术问题、为客户提供培训并协助客户管理和配置网络设备的能力。
(4)计算机和网络硬件设备及信息安全产品营销
具有组建及维护计算机系统的能力;具有根据网络设计方案选配、安装、调试及维护网络硬件设备的能力;具有使用常用安全产品以及对安全产品进行升级维护的能力。
3.构建信息安全技术专业的课程体系
根据调研结果确定职业岗位群,并完成各岗位的职业能力分析以后,就可以按照“以就业为导向”的原则来构建信息安全技术专业的课程体系。课程体系要突出应用性和实践性,理论教学要以应用为目的,以“必须和够用”为原则,要突出理论知识的应用和实践能力的培养,在教学中采用“教、学、做”一体化的教学方法。课程教学中的实践环节包括课内实验、项目实训、毕业设计及顶岗实习,各主干课程的实践部分一般应达到总课时的50%。信息安全技术专业的主要课程设置如表1所示。表1信息安全技术专业课程设置
在信息安全技术专业的专业建设中,课程体系建设是一个非常重要的环节。高职院校在建设信息安全技术专业的课程体系时,应“以就业为导向”,首先对社会需求进行广泛而深入的调研,然后根据调研结果确定职业岗位群并分析各岗位的职业能力,最后在此基础上开发符合社会实际需求的课程体系,这样才能使不同水平、不同层次的学生都能较好地实现就业。
参考文献:
[1]彭迎春.高职信息安全专业课程体系建设的实践[J].职业技术教育,2007.15.
关键词:密码学实验;降低算法编程难度;实验课程教学
中图分类号:G642 文献标识码:B
1引言
随着计算机网络及应用的飞速发展,确保网络及各种应用系统正常有序运行是目前信息安全领域的主要任务。目前,密码学的理论和技术仍然是面对黑客攻击、病毒、系统本身缺陷等诸多安全问题的主要解决之道:密码学在网络社会当中发挥了保护信息机密性、验证完整性、真实性、抗否认性四大作用。现有的各网络应用系统的安全都离不开密码学的应用,因此,“密码学”是信息安全专业的重要专业基础课。
同时,密码学实验是密码学理论课程的配套实验课程。密码学实验课程首先应该是帮助学生理解密码学理论知识,尤其是算法;其次,密码学实验课程要培养提高学生将理论知识转换为实际成果的能力,主要是将算法编程实现成为可以实际使用的程序;再次,密码学实验课程还应该拓展学生的视野,让学生接触试用常用的密码应用,为将来的工作打下基础。由此,密码学实验课程是信息安全本科专业的一门重要实践课。
2现有实验课程教学的问题与不足
由于信息安全本科专业是一个刚刚创办的专业,密码学实验课也相对比较新,因此存在一些问题。通过对各高校密码学教学的初步了解,我们发现虽然各大高校信息安全专业的密码学实验课程的自身的特点有所不同,但是存在着一些普遍的问题,归纳起来有以下几个方面。
(1) 学时较少,内容相对单薄。有些高校将密码学实验内容直接合并至信息安全实验里,或者单独开设时只给出8学时的实验,实验内容只是包括古典密码和DES密码。大部分的学校实验内容除了上述2个实验以外增加RSA等公钥算法实验,学时也相应增加到17学时。但是就内容上看,依然显得比较单薄。
(2) 算法编程难度大。密码学算法本身的复杂度和难度致使密码学实验当中算法编写难度较大。目前就普遍讲授的DES算法来讲,DES算法针对二进制运算,而且涉及众多的矩阵表的运算,整个算法流程对于初学者来说就已经很庞大的了,将其编程实现难度更大,直接导致了很多同学放弃转而求之网络拷贝。针对RSA算法,编写一个模拟的小素数的程序难度还是不大,但是如果想让学生和真正应用的RSA算法有近距离的接触,直至实现真正应用中的RSA难度就更大了。因此这两个算法的难度大,直接影响绝大部分学生的编程实验兴趣。
(3) 缺少密文分析及密码破译实验。纵观各高校密码学实验内容,可以看到密文分析及密码破译的实验是空缺的。这可能跟目前本科密码学理论课的内容很少或者不涉及这块内容相关,但是现实网络应用当中,密文分析及密码破译是黑客们很重要的一个攻击手段,同时也是算法编写者验证算法安全性的手段,因此,该项内容应该加入到密码学实验中。
(4) 缺少密码应用系统实验。大部分的密码学实验鉴于课时所限,缺乏密码应用系统实验,由此出现了所学理论知识和实际应用之间无法紧密衔接的问题,直接影响学生的积极性和学习兴趣。
由上所述,目前各高校的信息安全本科专业的密码学实验尚处在探索和发展阶段,存在内容少、算法编程难度大,实验形式单一以及缺乏与应用联系等等问题。
3密码学实验课程内容设计和教学方法
分析密码学实验中各高校存在的诸多问题,结合本校的教学培养要求,我们在吸取6年的密码学实验教学经验的基础上,提出了新的密码学实验课程设计和教学方法。
3.1紧扣“学有所用”,提高学生学习兴趣
常言道:“兴趣是学习之母,兴趣是成功之母”。可见,兴趣是学生学习的最强有力的动力源泉。随着我国各大高校扩招,就业形势进一步严峻,一般高校的学生最为关注的就是毕业后的就业问题。绝大部分的学生对将来出去工作需要用到的知识表现出极大的兴趣;特别是作为其专业基础课配套的实验课,学生们往往会对该实验课寄予厚望,希望在该实验课里学到的是直接和社会应用挂钩的知识、技术和能力。
因此,在密码学实验内容的选取上不应局限在算法的理解和编程实现上,而应该拓展到渗透着众多的密码学理念、算法和技术的网络应用上,使学生了解密码学技术是如何应用而成为我们日常工作生活所不能缺少的部分。这里分为两个内容层次,第一,让学生使用现有的密码学应用系统,掌握原理;第二,如果学生学有余力,还可以编写完成一套独立的应用系统。
由此,在对密码学算法的编程实现基础上对当前应用的了解和掌握,学生基本上具备进入相关行业需要的基本技术和行业应用知识,对未来的工作将不再陌生、不再恐惧,达到了“学有所用”的目的,也将激发起学生的浓厚
的学习兴趣。
3.2改革教学方式,降低算法编程难度
在密码学的学习过程当中,算法是最重要的内容。然而,目前社会应用的密码学算法,如DES,3DES,AES,IDEA,RSA,ECC等,普遍存在算法流程冗长、算法理解困难、计算机表示复杂等等特点,初学密码学的学生,面对这样的算法,往往不知道该如何下手;即使个别学生编程能力较强,由于算法本身的工作量庞大而时间有限,编写出来的算法程序也是质量较低,出错很高,最后,学生得到的是完成一件冗长编程程序的“艰苦”感觉,收获不大。因此,如何降低算法编程难度,提高学生完成编程的能力是密码学实验首先要解决的问题。
算法编程实验主要是要让学生学会用计算机语言描述密码算法的能力。我们的学生往往缺乏编程经验,阅读参考别人的代码是提高其编程能力最有效的方法之一。因此,我们提出了一种提供关键代码及说明,让学生将其组装配合成完整的算法程序的一种积极阅读源代码的教学方式,下面以DES算法编程实验为例子说明。
在密码学理论教学当中,DES算法的流程是作为教学的重点,然而教师的详细阐述后,由于算法本身比较复杂,不易于掌握,在实验时先要回顾DES算法流程,如图1所示:
图1DES算法流程图
由图1可见,编写完成DES算法主要存在下面几个关键代码实现:矩阵运算、异或运算、字节与位的转换运算、位循环运算、S盒的选取运算等。因此我们提供给学生上述几个功能模块的详细完整的代码,并给出详细解释,例如矩阵运算代码和说明为:
void MatrixOperation(bool *OutMatrix, bool *InMatrix, const char *TableMatrix, int len)//矩阵运算,IP变换、E变换、P变换等矩阵运算都可以调用此函数,//只是将TableMatrix设为IP变换表、E变换表、P变换表即可。
{
for(int i=0; i
Tmp[i] = InMatrix [ TableMatrix [i]-1 ]; //将矩阵运算的结果先存放在临 //时矩阵当中,
memcpy(OutMatrix, Tmp, len);//最终的运算结果存在OutMatrix里
}
学生阅读该代码,然后将代码添加至自己新建的工程文档中,在需要实现各种变换时调用这个函数。其他的功能函数也是如此给出,因此,学生的工作就是读懂并使用这些函数。
通过这种方式,学生的自主编程工作量明显下降;同时,优秀的编程风格和优秀的代码成为学生提高程序编写能力的最有效的素材;最关键的是,通过这种方式,能够极大地提高学生自主完成算法程序编写的积极性,达到锻炼学生编程能力的目标。
3.3完善实验内容,确保知识体系的完整性
密码学包含密码编码学和密码译码学两部分。由于译码难度大,因此绝大部分的院校在密码学实验当中将译码的相关实验一概不予考虑。我们认为,从锻炼学生的思维和实际能力考虑,密码译码的思想应该在实验中体现。对于古典密码的破译实验相对简单,可以让学生针对特定的加密算法编写破解程序;对于当前的DES、RSA和ECC等复杂度较高的当代加密算法,可以使用现成的破译工具来演示破译实验。同时,为了让学生更加贴近社会应用,很有必要加入“了解当前网络应用系统中的安全措施的使用原理”这一环节,实现书本知识和实际应用的紧密联系。
3.4多种实验方式,提高实验的生动性
密码学本身是一门以数学为主的相对比较深奥和枯燥的课程,因此,密码学实验的目标除了帮助学生理解密码理论的同时,还有一个很重要的任务是尽量提起学生的学习兴趣。那么,密码学实验必须采取多种实验方式,提高实验的生动性,从而避免枯燥的机械式的学习,提高理论课和实验课教学效果。归纳起来,我们可以采用如下几种实验方式:
(1) 算法完整编程。是目前高校普遍采用的实验方式。这种方式旨在提高学生的密码学的理解能力和编程能力,要求学生具备较高的编程水平,花费较多的时间,而且还要具有一定的细心和耐心,是锻炼学生各项能力的方式,但是算法复杂度加大时,学生完成的难度较大,效果很不理想。因此,这种实验方式比较适合算法相对简单的古典密码算法的编程和破译程序编写的实验。
(2) 算法部分编程。如上所示,算法复杂度加大,学生完成的难度较大时,算法完整编程会迫使很多学生转而求之于网络下载,达不到实验的目标。因此,提供关键代码给学生让其拼接成完整的程序的实验方式可以降低实验难度,激发学生的编程积极性,从而提高教学效果。例如DES和RSA的算法部分编程能达到很好的效果。
(3) 密码学相关工具的使用。这种实验方式主要是选取诸如哈希摘要值生成工具、穷举法破译工具等密码学相关工具给学生使用,培养学生操作、使用该类工具的能力。
(4) 密码学相关应用系统的应用。这种实验方式主要是让学生试用诸如安全邮件系统、网络银行的安全登录、特定站点的安全VPN等等现实中的应用系统,并思考其中原理,达到拉近书本理论与实际的距离,强调“学以致用”的目的。
(5) 密码学前沿知识的网络搜索。这种实验方式是教师给定相关的命题或者方向,让学生到网络中搜索,完成一份综合报告,难度较低,学生易于接受。这种方式主要的目标是拓宽学生的知识面,为将来的研究学习打下基础。
4结束语
密码学实验课程是信息安全本科专业的一门重要实践课。但是,目前各高校的密码学实验课存在学时较少,内容单薄;算法编程难度大;缺少密文分析及密码破译实验;缺少密码应用系统实验等问题,因此结合我校的实际情况和以往的教学经验,提出了实验内容紧扣“学有所用”;降低算法编程难度;完善实验知识体系;采用多种实验方式的新的密码学实验课程设计和教学方法,以期提高培养学生的实践能力的教学效果。
众所周知,高职院校的学生与本科生不同,本科生注重的更多的是知识的吸收和应用,而高职院校的学生更加注重的能力的获得,所以在高职院校中实践教学是特别重要的。其次,身处在信息时代,网络早已走入了千家万户,那么信息安全方面就是大家考虑得重中之重,所以当今时代信息安全专业的人才是缺失的。为培养更多的信息专业方面的人才,众多高职院校都开设了信息安全专业。那在教学过程中是否可以提高学生们的实践能力培养出真正的信息安全专业的人才,才是我们想看到的结果。所以高职院校运用了卓越绩效模式便可以很有效的提高信息安全专业人才培养的质量。
二、当前信息安全专业实践教学中存在的问题
1.高职院校缺乏完善的体系
由于信息行业的迅猛发展,所以信息安全行业缺乏大量的人才,许多高职院校只是一味的提高本校内的生源便开设了这一专业,但是对其的教学并没有采用不同与其他专业教学的模式,导致学生们不仅理论知识缺乏,甚至连实践的能力都不够好。所以国内目前的高职院校并不是很可以将信息安全专业把控的很好,没有对信息安全专业建立完善的实践课程管理体系,以至于信息安全专业仍然缺乏大量的人才。
2.高职院校实践教学未能与最新技术相融合
当今网络技术发展的日新月异,信息讲究的就是时效性。过期的信息就不存在任何价值。而高职院校中的大多数院校,他们即使想到应该加重学生们的实践能力,在这方面加大功夫,但是学校的设备等一系列可能还是很久的东西不能跟上现代化的发展,让学生们学到的东西无法与现在这个飞速发展的社会相融合。所以如何在实践教学的过程中将市场上主流的信息安全的新技术引入课堂,让学生们学到的技术可以与社会的发展相融合也是一重大的问题。
3.实践教学太过于形式化
在高职院校的教学中,由于学校的管理制度、管理方法、管理理念,导致大多数高职院校都太过于形式化,只是走流程一样。学生们对于实践不当回事,只是盲目的去完成老师的要求而已,并没有走心。而老师们也并没有强调实践能力的重要性,可能其本身也只是认为就是形式化的东西,于是在实践教学的过程中,老师们只是注意强调纪律等等方面的东西,却忽略了教学质量、忽略了最重要的东西。
三、卓越绩效模式在信息安全专业实践教学的应用
为何要在信息安全专业上运用卓越绩效模式,是因为卓越绩效模式是当前国际上广泛认同的一种组织综合绩效管理的有效方法和工具,该模式源自美国波多里奇奖评审标准。它不是目标而是提供一种评价方法。所以卓越绩效模式在信息安全专业实践教学中的应用,可以很有效的提高实践教学的质量,培养出大量的信息安全专业的人才。
1.强化实践教学的管理制度
卓越绩效模式在众多高职院校中的信息安全实践教学中的应用可以对原有的实践教学的制度进行强化。在高职院校中运用卓越绩效模式可以将实践教学的各个环节落实到实处,可以有效的把控着实践教学中所进行的实践教学的进度、制度以及管理方法等等。让实践教学不再是只游走于形式,让实践教学发挥它真正的用处,同时也可以通过这种卓越绩效模式来引起学生们对实践教学的重视能够更加认真的学习、实践,将技能真正的掌控在手中。
2.营造卓越绩效模式的氛围
想要真正的将卓越绩效模式运用于众多高职院校中的信息安全专业或者是其他的专业的实践教学中,首先要让老师、学生们真正的认识到卓越绩效的模式好,好在哪里,必须对老师和同学们有一定的信服度,不然即使拥有这样的模式照样可以只游走于形式化的教学。所以要在信息安全专业的老师和同学们之间大力宣传,让大家开始了解和认识卓越绩效模式,让大家在心中认为卓越绩效模式是不同于以往的实践教学模式,它更有助于实践教学,让大家心中竖起这样一种信念。我们更可以在高职院校中,先开启卓越绩效模式的实验班,让师生们先看成效。让师生们深刻认识到高职院校中是必须要提高学生们的实践能力的,而卓越绩效模式便可以有效的提高学生们的实践能力。
五、结语
实践教学是高职院校不同于本科院校的重要之处,也是实践能力的强大让高职院校的学生可以与本科院校的学生或者是其他人去进行竞争。所以高职院校中必须重视实践教学的重要性,而信息安全专业又是大多数高职院校新开设的专业,同时信息安全专业领域专业人才的大量缺失,又使得高职院校不得不更加重视信息安全专业的实践教学。那卓越绩效模式便可以很有效的运用在信息安全专业的实践教学当中,它会让教师们的实践教学的积极性提高,可以将实践教学的每一个环节都落实到实处,可以让学生们真正的重视实践教学并同时让他们感觉学有所成、有成就感。高职院校将卓越绩效模式应用在信息安全专业,可以将实践教学的目标、管理、评价等等都无缝连接,可以形成一套完善的实践教学的体系,可以提高信息安全专业人才培养的教学质量,可以为社会信息安全领域输送大量的人才。
参考文献:
[1]徐点,孙龙.基于绩效技术的信息化教学设计与应用研究[J].软件导刊(教育技术),2014(4):13-15.
[2]叶少明,谢讯.高职院校教学质量管理卓越绩效模式的研究与实践[J].当代经济,2013(1)84-86.