高職院校信息安全評估課程建設與討論

摘要：信息安全風險評估，是指從風險管理的角度出發(fā)，運用技術手段對信息系統(tǒng)所面臨的風險進行科學分析，制定風險規(guī)避策略，減少風險損失的一種綜合性技術測評過程。在當前日益復雜的國際國內網(wǎng)絡環(huán)境下，信息安全評估在我國有著廣泛的應用。本文以四川郵電職業(yè)技術學院為例，介紹了信息安全評估課程開設的背景、目標、以及相應的考核評價方式。意在探索在高職院校中開設信息安全評估課程的方式和可能存在的問題，探討改進措施，為課程的開設提供一種思路。

關鍵詞：信息安全;風險評估;課程建設

2014年2月27日，習近平總書記在中央網(wǎng)絡安全和信息化領導小組第一次會議上指出：“網(wǎng)絡安全和信息化是事關國家安全和國家發(fā)展、事關廣大人民群眾工作生活的重大戰(zhàn)略問題”[1]。這說明我國已經(jīng)把網(wǎng)絡空間安全提升到了一個國家戰(zhàn)略的高度。同時對于信息安全產(chǎn)業(yè)來說，這也意味著前所未有的發(fā)展機遇。因此在高校中開設信息安全評估課程，有著重要的現(xiàn)實意義。

1 課程開設目標

在當前復雜的網(wǎng)絡環(huán)境下，掌握基本的信息安全技能，能夠識別和處理簡單的網(wǎng)絡安全風險，對個人，甚至整個國家都有著舉足輕重的作用。通過開設信息安全評估相關課程，一方面可以使信息安全、網(wǎng)絡空間安全、或者計算機網(wǎng)絡等方向的學生具備從事專業(yè)工作所必需的基礎知識和技能，拓寬學生的就業(yè)面，爭強學生的競爭力;另一方面對于企業(yè)來說，也迫切需要大量信息安全評估人才來實現(xiàn)對自身信息系統(tǒng)的安全保障和風險控制。

本課程授課內容的開設，結合了信息安全專業(yè)特點和高等職業(yè)教育規(guī)律，采用理論課時和實踐課時相結合的教學方式。突出職業(yè)教育理念，注重學生的實踐能力，讓學生在實踐活動的基礎上掌握知識。本課程的教學目標主要分為3個：思政目標、知識目標和能力目標。

1.1思政目標

習近平總書記在全國高校思想政治工作會議上指出：“要堅持把立德樹人作為中心環(huán)節(jié)，把思想政治工作貫穿教育教學全過程”[2]。本課程以思想品德和素質教育為核心、信息安全素養(yǎng)為重點，通過課程的學習，讓學生具備正確的人生觀和價值觀。同時通過專業(yè)課程的教學，讓學生具備基本的網(wǎng)絡安全素養(yǎng)，能夠自覺維護自身和國家的信息安全，適應當前信息時代的發(fā)展要求。

1.2 知識目標

通過理論課時的學習，讓學生理解信息安全等級保護的基本概念和主要內容，了解信息安全等級保護的主要流程。能夠對信息安全評估總體流程有自己的認知，能夠根據(jù)需求設計規(guī)劃評估流程。

1.3 能力目標

通過實踐課時的教學，讓學生能夠理解安全風險評估辦法、標準和流程，讓學生具備運用網(wǎng)絡及安全掃描工具，對目標信息系統(tǒng)進行漏洞掃描和進行安全風險評估的能力。

2 課程開設內容

針對高職院校人才培養(yǎng)的特點和本院的人才培養(yǎng)方案要求，本門課程授課采用理論+實踐的方式，強調學生的動手實操能力。

在理論課時中，根據(jù)信息安全評估的知識體系架構，分為三個模塊：基本知識、信息安全風險評估體系和信息安全管理體系。在基本知識部分，主要向學生講授信息安全風險評估的基礎理論，包括信息安全管理體系模型、國內外信息安全管理相關標準、風險評估基礎模型等相關理論知識。在信息安全風險評估模塊，重點讓學生了解信息安全風險評估實施流程，讓學生掌握如何利用測評工具對信息系統(tǒng)進行安全測評，讓學生掌握如何編寫風險評估報告。在信息安全管理部分，需要讓學生了解信息安全管理系統(tǒng)的工作流程和信息安全等級保護標準體系結構。

在信息安全評估的相關實踐課程中，需要購置信息安全評估測評設備來配合進行實驗項目的開展。本學院使用明鑒信息安全等級保護檢查工具箱，開設了主機病毒檢查、系統(tǒng)漏洞掃描、弱口令掃描等實驗項目。讓學生具備利用測評工具進行系統(tǒng)安全掃描和安全分析的能力。

3 考核和評價方式

高職院校的目標是培養(yǎng)高等技術應用型專業(yè)人才，教學方式應以理論教學為基礎，重點培養(yǎng)學生處理、解決問題的能力。因此本門課程的考核評價方式在兼顧理論知識考查的同時，側重對學生實踐能力的考核。理論部分的考核，考題應該靈活多樣，加重客觀題的比重，盡量減少純理論內容的題目，讓學生有更多自我發(fā)揮的空間。在實踐考核部分，重點考察學生解決實際問題的能力，考題應更多的貼合實際。比如可以在實驗室內部署一臺有安全漏洞的服務器，讓學生運用相關測評工具對服務器進行漏洞掃描，撰寫風險評估報告，教師可以根據(jù)編寫的風險評估報告來對學生的實踐操作進行考核。考核方式可以采用分組考核、組內互評等多種方式，靈活進行。

4 存在的問題和改進方法

通過自身的任課經(jīng)歷和上課學生的反饋，信息安全評估課程在本學院開設中存在如下問題：

4.1 課程理論性太強，學生缺少興趣

信息安全評估課程相對來說，需要學生具備一定的信息安全和網(wǎng)絡安全知識基礎，理論性概念較多。學生普遍反映課程枯燥難懂，缺少實際聯(lián)系，學習興趣不足。

4.2 實驗設備昂貴，學生參與度較弱

本學院使用明鑒信息安全等級保護檢查工具箱進行相關風險評估測試。在實驗課程中，采用的是分組實驗的方式，減少對實驗硬件設備數(shù)量的需求。因此在有限的課堂教學時間內，很難保證每位同學都能夠動手操作設備。

信息安全評估課程的開設，一方面需要學校領導的重視，認識到當前社會信息安全的重要性，加大投入力度，完善實驗室的建設。同時，該課程作為一門專業(yè)課，開設的學期最好在大三階段，讓學生在具備一定信息安全基礎知識的階段進行學習。對我們任課教師來說，也要求我們在教學過程當中，盡量采用多種教學方式來調動學生學習的積極性。努力讓學生學有所成，增強學生的競爭力。

參考文獻：

[1]習近平.總體布局統(tǒng)籌各方創(chuàng)新發(fā)展，努力把我國建設成為網(wǎng)絡強國[N].人民日報，2014-02-28.

[2]習近平.把思想政治工作貫穿教育教學全過程[N].新華社，2016-12-08.

[3]何治樂.《網(wǎng)絡安全法》有效性評估及提升路徑[J].中國信息安全，2018（7）.

[4]劉明月.新形勢下高校信息安全的管理策略研究[J].山東工業(yè)技術，2018（5）.

科研項目：四川郵電職業(yè)技術學院2018年校級科研項目（YDXJKY201849）。

作者簡介：景旭（1986-），男，四川眉山人，碩士，助教。研究方向：計算機網(wǎng)絡和網(wǎng)絡安全。