摘要：結(jié)合武漢大學信息安全專業(yè)的辦學特色，探討在《信息安全專業(yè)指導性專業(yè)規(guī)范》指導下，制定信息安全專業(yè)主干課程內(nèi)容及課程體系的方法。
　　關(guān)鍵詞：信息安全 課程體系 行業(yè)標準
　　文章編號：1672-5913(2011)18-0001-03 中圖分類號：G642 文獻標識碼：A
　　基金項目：教育部高等學校信息安全類專業(yè)教學指導委員會信息安全類專業(yè)建設(shè)和人才培養(yǎng)項目“信息安全專業(yè)規(guī)范的實施方案研究”(JZW201014)；湖北省高等學校省級教學研究項目“信息安全專業(yè)課程體系改革試點基地”(20102017)；武漢大學教學研究項目“信息安全專業(yè)課程體系改革試點基地”(KG2010006)。
　　伴隨著信息科學的繁榮，信息安全越來越受到人們的關(guān)注。自2001年武漢大學創(chuàng)辦我國第一個信息安全本科專業(yè)以來，據(jù)教育部高教司統(tǒng)計，截至2010年，教育部共批準了78所高校設(shè)置了信息安全本科專業(yè)，17所高校設(shè)置了信息對抗技術(shù)專業(yè)。經(jīng)過10年的專業(yè)建設(shè)，我國已經(jīng)形成了信息安全人才培養(yǎng)的完整體系，20多所高校具有信息安全本科、碩士點、博士點和博士后站[1]。
　　在人才培養(yǎng)過程中，培養(yǎng)計劃是指揮棒，而培養(yǎng)計劃又是由課程體系和能力體系來具體體現(xiàn)的，因此一個科學合理的課程體系和能力體系對人才培養(yǎng)非常重要。
　　經(jīng)過10年的辦學和發(fā)展，信息安全學科日漸成熟，已經(jīng)形成了自己的學科內(nèi)容[2]。教育部信息安全專業(yè)教學指導委員會于2010年制定出了《信息安全專業(yè)指導性專業(yè)規(guī)范》(以下簡稱《規(guī)范》)。研究制定符合《規(guī)范》的課程體系是非常必要的。
　　1 信息安全專業(yè)知識體系結(jié)構(gòu)
　　《規(guī)范》對專業(yè)的學科基礎(chǔ)、專業(yè)的知識體系、專業(yè)的能力體系[3-4]等做了詳細的規(guī)定和說明。
　　
　　信息科學基礎(chǔ)知識領(lǐng)域主要根據(jù)信息安全專業(yè)所依托的學科和辦學特色自己來確定。武漢大學主要是以計算機科學與技術(shù)學科的部分主干專業(yè)基礎(chǔ)課和專業(yè)課為依托。
　　信息安全基礎(chǔ)主要介紹信息安全的基本概念、信息安全面臨的威脅和確保信息安全的措施等基本知識；信息安全數(shù)學是信息安全學的理論基礎(chǔ)之一；信息安全法律基礎(chǔ)介紹信息安全領(lǐng)域中的一些基本法律知識；信息安全管理基礎(chǔ)介紹信息安全領(lǐng)域中的一些基本管理知識。信息安全法律和信息安全管理知識則是對整個信息安全系統(tǒng)的設(shè)計、實現(xiàn)與應用都有指導性作用的[2]。
　　密碼技術(shù)是信息安全領(lǐng)域的關(guān)鍵技術(shù)，已經(jīng)廣泛應用于通信保密、信息系統(tǒng)安全和網(wǎng)絡(luò)安全等許多信息安全的重要領(lǐng)域中。密碼學的知識單元主要包括：密碼學概念、分組密碼、流密碼、Hash函數(shù)、公鑰密碼、數(shù)字簽名、認證和密鑰管理等[2]。
　　通過學習網(wǎng)絡(luò)安全，學生將可以了解網(wǎng)絡(luò)安全的威脅，掌握入侵檢測技術(shù)、安全防護技術(shù)以及應急響應機制等基本安全技術(shù)，可以為信息系統(tǒng)的設(shè)計和實現(xiàn)提供網(wǎng)絡(luò)安全防御機制，從系統(tǒng)的整個生命周期考慮網(wǎng)絡(luò)安全問題。網(wǎng)絡(luò)安全的知識單元包括：網(wǎng)絡(luò)安全概念、防火墻、入侵檢測系統(tǒng)(IDS)、虛擬專用網(wǎng)(VPN)、網(wǎng)絡(luò)協(xié)議安全、網(wǎng)絡(luò)安全漏洞檢測與防護、Web安全和通信網(wǎng)安全等[2]。
　　通過信息系統(tǒng)安全類課程的學習，使學生掌握信息系統(tǒng)安全的基本概念、基本理論與基本技術(shù)，結(jié)合實踐鍛煉使學生掌握分析和解決信息系統(tǒng)安全實際問題的基本能力。信息系統(tǒng)安全的知識單元包括：信息系統(tǒng)安全的概念、信息系統(tǒng)設(shè)備物理安全、信息系統(tǒng)可靠性技術(shù)、訪問控制、操作系統(tǒng)安全、數(shù)據(jù)庫安全、軟件安全、電子商務安全、電子政務安全、數(shù)字取證技術(shù)、嵌入式系統(tǒng)安全和信息對抗等[2]。
　　通過學習信息內(nèi)容安全，學生將可以了解信息內(nèi)容安全的威脅，掌握信息內(nèi)容安全的基本概念，熟悉或掌握信息內(nèi)容的獲取、識別和管控以及多媒體信息隱藏的基本知識和基本技術(shù)。信息內(nèi)容安全的知識單元包括：信息內(nèi)容安全的概念，網(wǎng)絡(luò)數(shù)據(jù)的獲取，信息內(nèi)容的分析語識別，信息內(nèi)容的管控，多媒體信息隱藏等[2]。
　　2 信息安全專業(yè)課程體系
　　2.1 課程體系設(shè)置原則
　　《規(guī)范》明確指出，在制定課程體系時，必須符合以下原則[2]：
　　1) 知識體系用課程體系來覆蓋，每一個必修知識點都必須被覆蓋，不準遺漏；
　　2) 重要的知識點允許有一定的重復，重復度可為3左右；
　　3) 課程體系對知識體系的覆蓋可以有多種方法，可以有不同的課程設(shè)置方案；
　　4) 依據(jù)知識點的關(guān)聯(lián)原則，在組成課程體系時，盡量將密切相關(guān)的知識點放在一門課中；
　　5) 在組成課程體系時，要注意知識點之間的前驅(qū)后繼關(guān)系。要根據(jù)知識點之間的前驅(qū)后繼關(guān)系安排課程的前后順序。
　　依據(jù)《規(guī)范》，信息安全專業(yè)的研究內(nèi)容劃分為4個領(lǐng)域：密碼學、網(wǎng)絡(luò)安全、信息系統(tǒng)安全和信息內(nèi)容安全[2]。但《規(guī)范》只規(guī)定各領(lǐng)域知識單元(學習內(nèi)容)的最小集合，各個學校完全可以根據(jù)自己學校的特色添加學習內(nèi)容。另外，在學習最小集合的內(nèi)容的深淺程度上，《規(guī)范》也是取最低標準。因此，在一個領(lǐng)域內(nèi)到底應該設(shè)置幾門課程，不但要符合課程體系的設(shè)置原則，還要依據(jù)本校的辦學特色。若學校偏重于網(wǎng)絡(luò)安全方向，那么還應該開設(shè)網(wǎng)絡(luò)安全、網(wǎng)絡(luò)協(xié)議分析、VPN，無線網(wǎng)絡(luò)安全等課程。依照此原則，結(jié)合武漢大學的特色，筆者給出武漢大學信息安全專業(yè)的專業(yè)主干課程如下：
　　密碼領(lǐng)域：密碼學。
　　網(wǎng)絡(luò)安全領(lǐng)域：網(wǎng)絡(luò)安全、信息安全工程和網(wǎng)絡(luò)管理。
　　信息系統(tǒng)安全領(lǐng)域：軟件安全、操作系統(tǒng)及安全、數(shù)據(jù)庫安全、信息系統(tǒng)安全、電子商務和電子政務安全和智能卡技術(shù)。
　　內(nèi)容安全領(lǐng)域：信息隱藏和信息內(nèi)容安全。
　　2.2 課程的主要內(nèi)容
　　下面是武漢大學信息安全專業(yè)若干專業(yè)主干課程[5]所包含的內(nèi)容。
　　“密碼學”課程的主要教學內(nèi)容：密碼學的概念、分組密碼、流密碼、Hash函數(shù)、公鑰密碼、數(shù)字簽名、認證、密鑰管理、密碼應用。
　　“網(wǎng)絡(luò)安全”課程的主要教學內(nèi)容：網(wǎng)絡(luò)安全概論、網(wǎng)絡(luò)攻擊行徑分析、網(wǎng)絡(luò)偵察技術(shù)、拒絕服務攻擊、緩沖區(qū)溢出攻擊、程序攻擊、欺騙攻擊、利用處理程序錯誤的攻擊、訪問控制技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)、VPN技術(shù)、網(wǎng)絡(luò)病毒防治、無線網(wǎng)絡(luò)安全防護、安全恢復技術(shù)。
　　“信息安全工程”課程的主要教學內(nèi)容：信息安全工程基礎(chǔ)、系統(tǒng)安全工程能力成熟度模型、信息安全工程實施、信息安全風險評估、信息安全策略、信息安全工程與等級保護、數(shù)據(jù)備份與災難恢復、信息安全工程案例、信息安全組織。
　　“軟件安全”課程的主要教學內(nèi)容：軟件安全概述、軟件缺陷與漏洞挖掘利用、惡意軟件機理及其防護、軟件破解與自我保護、軟件安全產(chǎn)品與軟件安全評測。
　　“信息系統(tǒng)安全”課程的主要教學內(nèi)容：信息系統(tǒng)安全的概念、信息系統(tǒng)設(shè)備物理安全、信息系統(tǒng)可靠性技術(shù)、訪問控制、數(shù)字取證技術(shù)、嵌入式系統(tǒng)安全。
　　“電子商務和電子政務安全”課程的主要教學內(nèi)容：電子商務的概念和主要內(nèi)容、電子商務及安全體系結(jié)構(gòu)、電子支付安全協(xié)議、電子商務應用安全協(xié)議、電子商務應用案例、電子政務的基本內(nèi)容、政務信息交換安全、電子商務及電子政務安全的法律制度、電子商務和電子政務的應用安全。
　　“數(shù)據(jù)庫安全”課程的主要教學內(nèi)容：數(shù)據(jù)庫及其應用系統(tǒng)的安全語義、數(shù)據(jù)庫的訪問控制、數(shù)據(jù)庫安全策略、多級安全數(shù)據(jù)庫管理系統(tǒng)、多級安全數(shù)據(jù)庫原型系統(tǒng)和產(chǎn)品、多級安全數(shù)據(jù)庫的推理通道問題、數(shù)據(jù)挖掘及其安全問題、數(shù)據(jù)庫隱私、安全數(shù)據(jù)庫應用系統(tǒng)。
　　
　　“信息隱藏”課程的主要教學內(nèi)容：信息隱藏技術(shù)概論、隱秘技術(shù)與分析、數(shù)字圖像水印原理與技術(shù)、基于混沌特性的小波數(shù)字水印算法C-SVD、一種基于混沌和細胞自動機的數(shù)字水印結(jié)構(gòu)、數(shù)字指紋、數(shù)字水印的攻擊方法和策略、數(shù)字水印的評價理論和測試基準、數(shù)字水印應用協(xié)議、軟件水印、數(shù)字權(quán)益管理、音頻水印、視頻水印。
　　“信息內(nèi)容安全”課程的主要教學內(nèi)容：信息內(nèi)容安全的概念、網(wǎng)絡(luò)數(shù)據(jù)的獲取、信息內(nèi)容的分析與識別、信息內(nèi)容的管控、多媒體信息隱藏。
　　“智能卡技術(shù)”課程的主要教學內(nèi)容：智能卡的基本概念和分類體系、集成電路卡的基本概念和原理、存儲卡和邏輯加密卡的控制和接口設(shè)備、CPU卡的結(jié)構(gòu)和原理、芯片操作系統(tǒng)的原理與設(shè)計方法、智能卡的主要安全技術(shù)、JAVA卡原理與開發(fā)方法、非接觸式智能卡原理、RFID的基本原理與概念、智能卡應用規(guī)范與開發(fā)技術(shù)。
　　
　　3 結(jié)語
　　目前該課程體系已經(jīng)納入武漢大學信息安全2010培養(yǎng)計劃。和以往的培養(yǎng)計劃相比，在新的培養(yǎng)計劃中，信息安全的專業(yè)課程更加系統(tǒng)化，課程設(shè)置更加科學合理。在下一步的工作中我們將結(jié)合本文工作，總結(jié)出《信息安全專業(yè)指導性專業(yè)規(guī)范》的實施方案。
　　參考文獻：
　　[1]