信息安全管理工程课程思政在线教学改革

前言：想要写出一篇引人入胜的文章？我们特意为您整理了信息安全管理工程课程思政在线教学改革范文，希望能给你带来灵感和参考，敬请阅读。

摘要：信息安全管理与工程是信息安全专业的主干课程，结合当前网络空间安全问题，把课程核心内容案例化，讲授知识点的发展历程、理论技术、实例分析、防范措施，对在线课堂讨论或在线作业进行教学设计，并把思政分析融入案例其他知识点。采取过程化考核方式，将学生分组，让学生合作完成安全管理与工程案例，以调动学生的主观能动性。学生在学习教师讲授的案例和小组完成案例的过程中，培养解决安全管理与工程科学问题的理论技术和政治素养，掌握分析安全工程、实施步骤规划的能力。该文以安全管理BS7799标准中的访问控制案例为例，展现在线教学过程中的案例化教学设计，探讨该课程在线案例化课程思政的教学改革。

关键词：信息安全管理与工程；案例化；在线教学；课程思政

在党的报告中多次提到“国家安全”“网络安全”“提高基于网络信息体系的联合作战能力”及“加强国家安全教育，增强全党全国人民国家安全意识”，体现了信息安全管理及其教育的重要性。为了更好地开展在线教学，教师在讲授核心知识点时应进行案例化，让学生掌握信息安全管理和信息安全风险评估的技能，把国家安全意识更好地融入在线课堂教学。考核时，采用小组完成案例的方式，检验并提高学生的安全管理与工程综合能力，培养适应国家和企业发展需求的高水平人才。

1核心知识点课程内容案例化

信息安全管理与工程课程讲述信息安全管理的基本方法和原理、构建信息安全管理体系的基本过程与实施过程、进行信息安全风险评估时的常见模型，以及系统安全工程的相关技术及相关知识。主要内容包括：信息安全管理的基本内容、信息安全管理国际标准和国内标准、信息安全管理体系构建过程、BS7799主要内容、信息安全风险评估模型、SSE-CMM、信息系统安全工程实施的方法和步骤等。比如BS7799中的PDCA案例、资产管理案例、访问控制案例、密码学管理案例，以及信息安全风险评估模型中的层次分析法信息安全风险评估案例、模糊分析法信息安全风险评估案例、神经网络法信息安全风险评估案例、支持向量机法信息安全风险评估案例。下面以BS7799中的核心内容访问控制案例为例进行阐述：

1.1发展历程

信息安全管理标准BS7799于1992年由英国标准化协会制定，2000年成为国际标准ISO/IEC17799，2005年进行修订并更名为SO/IEC27000系列标准，2013年再次进行修订。在不断进行修订过程中，访问控制始终占有重要位置。思政分析：20世纪90年代时，中国在计算机相关领域处于落后位置，标准的制定基本由西方发达国家进行。而现在，在科技强国政策的指引下，5G标准和6G技术的研究，均已达到世界领先水平。以此引导学生努力学习，为中国的信息安全领域添砖加瓦。

1.2理论技术

BS7799标准规范了访问控制的管理工程细节。当前对访问控制的研究，主要是基于四大访问控制类型发展而来的类型。在Linux系统中，自主访问控制可以使用命令来决定文件拥有者、组用户和其他用户对该文件的权限，通过命令修改权限体现了自主性。强制访问控制会给主客体上一个标签，根据等级高低依次为高密、机密、秘密。基于角色的访问控制，给主客体分配角色，依据角色决定他们的权限和责任。基于属性的访问控制在实际应用中，可以根据用户的属性决定权限。在这四个访问控制基础上，衍生出许多新概念，如基于任务和角色的访问控制[1]、基于时态和角色的访问控制[2]、零信任安全访问控制。其中零信任模型将网络划分为具有访问区域资源所需的不同信任级别的区域。

1.3实例分析

通过时长2分钟、内容为某企业安全事件的视频进行课程引入。2000年2月23日晚7点，某企业系统发生故障，大量数据被删除，企业股价一路下跌，仅事发当天就蒸发9亿元。犯罪嫌疑人是该公司的一名核心运维人员。首先是删库动机，该核心运维人员由于精神和生活原因做出这一行为，反映出人事管理不当的问题。其次是删库行为，该核心运维人员通过个人VPN登入内网跳板机，执行删库操作，若访问控制中的权限管理合理，就会对删库命令进行限制。再次，在数据库备份上，数据库备份在本地，没有断网的冷备份，导致数据被删除后很难恢复。最后是灾后处理，该企业事先没有准备好合适的应急处理方案，没有考虑过灾后应急措施。思政分析：人、管理、技术三者是有机统一的整体，缺一不可。大学生作为未来信息安全领域的专家，不仅要懂技术、会管理，更要能够自我约束，心中要有一条自觉遵守的红线。近年来，我国颁布了一系列网络空间安全领域的法律，在网络空间安全方面走在了亚洲前列。2017年6月1日，《中华人民共和国网络空间安全法》开始施行；2020年1月1日，《中华人民共和国密码法》正式施行。

1.4防范措施

针对案例进行探讨。全面加固与整改数据安全管理机制，加强运维平台治理，严格进行授权管理，对高危操作进行多次授权，强化运维安全意识。加强灾备体系建设，做到多云异地冷备，建立月、季度级别的定期演练机制和制度。基础设施全力上云，具备数据库跨可用区和异地灾备的能力，全面使用云主机。

1.5在线课堂讨论

设定“访问控制事故分享及相应预防方法”题目，学生积极讨论，分享各自知道的访问控制事故，给出相应的预防方法，在学好安全专业管理和技术的同时，努力增强安全意识和提高思政修养。

2学生制作案例过程化考核

由于在线教学过程中，不能进行面对面指导和交流，为了更好地培养学生的团队精神和过程控制思维，使学生及时完成相关任务，教师制定了严格的任务点完成时间，主要包括以下几个阶段：分组及题目选择、英文参考文献、课程思政自学内容、题目进展汇报、案例考核。除了教师可以在案例讲授过程中融入思政内容，学生也可以自选题目，融入与课程密切相关的思政内容，这样更能调动学生的学习主动性，也可以及时了解学生关心的问题。学生选择的题目有计算机病毒、二维码、密码学、基于智能电网的信息安全风险评估、基于隐私保护的信息安全风险评估模型等，这些题目与课程核心知识点联系紧密，学生会主动查找其中蕴含的课程思政元素，从被动学习转变为主动学习。

3结语

在在线课程授课过程中，结合国内外“国家安全”和“网络安全”现状，发掘课程相关标准和相关风险评估模型知识体系的思政案例。考虑在线教学特点，采取案例化教学和严格过程化考核的方式，将教师讲授与学生自学相结合，培养学生掌握信息安全管理与工程核心知识和实际技能，同时把课程思政贯穿于在线教学全过程，达到“四全育人”的效果。

作者：毕方明 杨文嘉 韩丽霞 单位：中国矿业大学计算机学院