基于信息安全等级保护的信息安全综合实训教学研究.doc

基于信息安全等级保护信息安全综合实训教学研究 DOIDOI: 基金项目基金项目:贵州省科技厅社发攻关项目(黔科合SY字2012-3050号);贵州大学自然科学青年基金项目(贵大自青合字2010-026号);贵州大学教育教学改革研究项目(JG2013097) 0引言信息安全等级保护是国家信息安全保障工作基本制度、基本策略、基本方法,开展信息安全等级保护工作是保护信息化发展、维护国家信息安全根本保障,是信息安全保障工作中国家意志体现。信息安全学科要求学生不仅要具备很强理论知识,更应具备较强实践能力。现阶段很多高校在理论教学上有较好培养方法与模式,学生具备良好理论基础,但在实践教学中由于各课程衔接与关联较少,尽管部分学校开设了信息安全实训或信息安全攻防实践等课程,但基本都是做一些单元实验,仅局限于某一方面技能训练,没有从全局、系统角度去培养学生综合运用各种信息安全知识解决实际问题能力[15]。从贵州大学信息安全专业毕业生就业情况调查反馈信息来看,绝大多数毕业生主要从事企事业单位信息安全管理、信息安全专业服务等工作,少数毕业生从事信息安全产品研发,或继续硕士博士深造,从事信息安全理论研究。用人单位普遍反映学生基本理论掌握相对较好,但实际操作技能、综合剖析能力欠缺。为了解决目前这种状况,笔者根据长期从事信息安全等级保护项目实施工作实践,提出在信息安全专业实践教学环节中引入信息安全等级保护相关内容。 1信息安全等级保护对学生能力培养作用信息安全等级保护工作包括定级、备案、安全建设与整改、信息安全等级测评、信息安全检查5个阶段,信息系统安全等级测评是验证信息系统是否满足相应安全保护等级评估过程。信息安全等级保护知识体系完善,信息安全等级保护测评人员技术要求涵盖多个方面,包括物理环境、主机、操作系统、应用安全、安全设备等,因此国家对于信息安全等级保护人员技术要求十分综合与全面[3]。如参照信息安全等级保护专业人员技术要求对学生开展信息安全综合实训将满足社会对信息安全专业人员技能与知识结构要求,主要体现在以下4个方面:①培养学生了解国家关于非涉密信息系统保护基本方针、政策、标准;②培养学生掌握各种基本信息安全技术操作技能,熟悉各种信息系统构成对象基本操作,为将来快速融入到信息安全保护实践工作奠定基础;③培养学生具备从综合、全面角度去规划、设计、构建符合国家信息安全保障体系要求信息安全防护方案能力;④培养学生建立信息安全等级保护基本意识,在工作实践中自觉按国家信息安全等级保护要求开展工作,有利于促进国家信息安全等级保护政策实施。 2实训教学知识体系信息安全等级保护相关政策与标准是信息安全实训教学体系建立基本依据,GB/T22239-2008《信息安全等级保护基本要求》在信息安全等级保护标准体系中起基础性作用。信息安全等级保护基本要求充分体现了“全面防御,纵深防御”理念,遵循了“技术与管理并重”基本原则,而不同级别业务信息系统在控制点要求项上区别体现了“适度安全”根本原则[6]。信息安全保护测评是信息安全等级保护一项重要基础性工作,GB/T28449-2012《信息安全等级保护测评过程指南》是对等级测评活动、工作任务以及每项任务工作内容作出了详细建议,等级测评中单元测评、整体测评、风险剖析、问题处置及建议环节体现了测评工程师对等保项