大審計平臺上信息安全實驗課程建設

韓志耕，陳 耿

(南京審計學院信息科學學院，江蘇南京 210029)

0 引言

“信息安全”課程涉及到數學、計算機科學與技術、信息與通信工程等多個領域，具有理論性強、應用廣泛和知識面寬的特點。但是當前的“信息安全”實驗教學存在許多不盡人意的現象，主要表現在:①實驗體系亟待規范，授課模式有待改進;②配套教材雜亂，實用教材匱乏;③專業特色缺失，實驗內容單調;④課程實施放任自流，考核過程缺失標準。上述現象的存在給信息安全人才培養帶來了極大的負面影響。

針對上述現象，本文通過探索我院信息安全實驗課程的建設，給出解決信息安全實驗教學專業特色缺失現象的有效方法，以期為上述共性現象的最終消除提供范例。

1 實驗課程建設概貌

1.1 課程角色定位

大審計平臺是我院依據國家對審計行業需求和學校自身條件所構建的以審計為品牌。它以經濟為基礎，以管理為主體，經、管、法、文、理和工等多學科協同支撐的人才培養框架［2］。作為該平臺服務目標的審計行業是一種行為及數據皆敏感的行業，其對信息安全的關注程度要遠遠高于其它行業。從當前以計算科學和互聯網絡等為技術特征的審計信息化進程來看，一切審計實務的可信性、可控性和可審性均離不開信息安全技術的支撐。基于以上考慮，我院將“信息安全”實驗課程作為大審計平臺的專業主干課程，隸屬于計算機審計特色專業。從圖1中可以看出，信息安全實驗課程的開設對于該平臺內的其它課程具有積極的聯動意義。

圖1 課程角色定位

1.2 課程建設方法

我們以凸顯本課程專業特色為切入點，給出了溶審計實務與信息安全實驗于一體的課程建設方法。具有如下要點。

(1)在實驗體系與教學模式上，采用縱向階梯式實驗體系取代橫向平面式實驗體系，用實驗驅動理論學習的模式取代理論學習拖動實驗的模式，變被動平面吸納為主動縱向研究;

(2)在配套教材與專業特色上，以信息安全技術為基礎，以大審計平臺為框架，以經典審計實務為主線，參考實用的教材自行編制實驗指導書;

(3)在實驗監督與任務考核上，規范監督制度，明確考核模式、考核權重、考核內容及考核程序，確保考核過程的可控性，以及考核結果的可信性;

(4)在實驗環境與配套設施上，基于主流信息安全系統化實驗平臺外加審計服務平臺構建實驗環境，利用主流信息安全軟件和審計實務軟件構建軟平臺，還原所有實驗到真實網絡環境。

2 實驗教學實施模式

2.1 教學體系構建

“信息安全”實驗課程的建設采用了如圖2所示的縱向階梯式實驗教學體系，整個體系涵蓋密碼學及應用、信息系統安全、網絡安全和應用安全及自主設計等多個不同層次的實驗環節。實驗牽涉到影響審計實務的眾多常規安全問題，實驗模塊包括密碼學(信息隱藏)、主機安全、防火墻、VPN、PKI、PMI、入侵檢測、網絡攻防、病毒、安全審計、安全編程以及綜合網絡安全實驗等，同時提供無線安全、生物特征識別等可選實驗模塊。所有模塊均采用從原理、實訓、分析到綜合的階梯式開展。整個體系中各實驗模塊數量及牽涉到的實驗類型劃分見表1。

圖2 縱向階梯式實驗體系

2.2 實驗環境建設

依據實驗教學體系和我院已有硬件條件，在參照武漢大學和吉林大學成功經驗基礎上［3，4］，構建了如圖3所示的信息安全實驗系統，功能層面上包括教學實踐平臺(審計信息安全教學系統)和設備實訓平臺(審計信息安全實訓系統)。拓撲層面上分為服務區和操作區，其中服務區部署實驗教學系統硬件設備，包括管理控制設備、數據服務設備、安全實驗設備、審計實務服務器、交換設備和顯示控制設備等;操作區部署學生機和教師管理機等。

2.3 教學大綱編寫

作為實驗課程實施的綱領，教學大綱對后續的教與學具有嚴格導向作用。依據實驗教學體系，大綱中擬重點講授的幾十個有代表性的實驗涵蓋信息安全技術和網絡安全管理兩大重要領域，涉及到信息安全審計領域中需要的認證、機密性、訪問控制、完整性及不可否認五大安全服務，涵蓋密碼學、計算機系統及網絡安全配置、網絡攻防、網絡安全設備使用，病毒防治和電子商務安全等重要環節。

表1 實驗類型劃分

圖3 實驗教學系統拓撲結構

2.4 配套教材選取

配套教材選取時遵循兩條原則，其一是緊扣教學大綱，這是實現教學大綱預期目標的根本保證;其二是不拘泥于教學大綱，以確保滿足絕大多數學生的同時，能夠幫助一些學有余力的學生拓展知識面。在課程建設初期，我們除選用西普公司提供的實驗指導書作為核心教材外，還選用了兩本輔助教材:《信息安全實驗教程》和《信息安全培訓教程實驗篇》。當然，隨著課程建設的有序展開，符合本實驗教學體系的自編實驗指導書將最終作為核心教材。

2.5 考核方法量化

為確保考核過程可控性和考核結果可信性，我們制定了如下考核方法:①學生須按教學大綱完成全部規定項目，凡缺做1/3實驗者須在考試前補做;②該課程定為考查課程，分兩次考核;③第一次考核包括平時實驗和基礎考試，比例分別為30%和70%。平時實驗評分主要依據實驗前預習、實驗中操作和實驗報告等方面進行［5］。基礎考試，以抽簽方式確定測試題目，評分主要依據實驗工具及設備的使用情況來確定;④第二次考核為期末能力測試，旨在評估學生在綜合性和設計性實驗上呈現出的創新能力。

3 結語

本文探討了富有專業特色的信息安全實驗課程建設模式。該模式一方面融合了信息安全基礎知識的傳授與審計實務的具體應用，特色鮮明;另一方面，理論知識學習與業務實踐活動并行實施，保證了學校封閉課堂與社會開放需求的無縫對接，便于引導學生從被動吸納轉變為主動探索。

我們下一步工作擬從兩方面展開:在課程建設方面，實施模式細化、教學實踐、效果調查及模式優化等后期建設工作，力爭打造審計類精品課程;在模式推廣方面，實施模式實用性、開放性、通用性及標準化方面的工作，以服務于其它相關課程的建設。

［1］ 張少敏等.“重實踐”指導下的信息安全專業實驗教學改革研究，昆明:中外教育研究［J］，2012(2):17-18

［2］ 王家新，尹平.依托行業優勢構建大審計平臺培養高素質人才［J］.北京:中國大學教學，2007(4):57-59，89

［3］ 杜瑞穎等.武漢大學信息安全專業實踐教學體系的探索與研究［J］.北京:計算機教育，2007(10):22-27

［4］ 唐海濤等.網絡與信息安全實驗教學平臺的構建［J］，北京:實驗技術與管理，2010(9):118-120

［5］ 吳慧玲，吳偉，韓志耕.游戲教育中一種有效的學生行為控制機制［J］.北京:中國電化教育，2008(9):97-100