李曉偉 陳本輝 楊鄧奇

摘 要：應(yīng)用型信息安全人才培養(yǎng)應(yīng)在掌握專業(yè)理論的同時(shí)更加注重實(shí)際能力的鍛煉以及實(shí)際問題的解決。以往信息安全人才培養(yǎng)中密碼學(xué)課程往往偏重密碼學(xué)數(shù)學(xué)原理的講授，密碼應(yīng)用也多停留在理論。這導(dǎo)致學(xué)生即使可以實(shí)現(xiàn)各種算法，但在應(yīng)用中仍然不能解決實(shí)際問題。以應(yīng)用型人才培養(yǎng)為主的大理大學(xué)為例，探索在信息安全相關(guān)專業(yè)中進(jìn)行密碼學(xué)課程的創(chuàng)新。從密碼學(xué)課程內(nèi)容改革以及密碼綜合素質(zhì)提升兩個(gè)角度進(jìn)行探索，從而實(shí)現(xiàn)更為科學(xué)、更為合理的應(yīng)用型信息人才培養(yǎng)的目標(biāo)。

關(guān)鍵詞：應(yīng)用型信息安全；人才培養(yǎng)；密碼學(xué)；課程改革

中圖分類號(hào)：G642 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：2096-000X（2019）01-0041-03

Abstract： Application-oriented information security personnel training should pay more attention to practical ability training and practical problem solving while mastering professional theory. In the past， cryptography courses in the training of information security talents tend to emphasize the teaching of cryptography mathematics， and password applications are mostly in theory. It leads to the result that students know the algorithm implementation but they still cannot solve the practical problem. For example， Dali University， which focuses on application-oriented talent development， explores the innovation of cryptography courses in information security-related majors. The exploration is divided into two parts which are the revolutions of the cryptography courses and the improvement of comprehensive in cryptography. The exploration will make a more scientific and more reasonable goal for the applied personal training in information.

Keywords： applied information security； personal training； cryptography； course revolution

一、應(yīng)用型信息安全專業(yè)密碼學(xué)課程出現(xiàn)的問題

密碼學(xué)是信息安全相關(guān)專業(yè)的基礎(chǔ)課程，是整個(gè)信息安全的基礎(chǔ)。密碼學(xué)提供數(shù)據(jù)及信息系統(tǒng)的保密性、完整性、認(rèn)證性以及不可否認(rèn)性等安全屬性[1]。應(yīng)用型信息安全人才對(duì)于密碼知識(shí)的要求是了解各算法原理，熟悉算法特點(diǎn)以及掌握算法的應(yīng)用。在以往的密碼學(xué)課程教學(xué)中更加重視密碼學(xué)中數(shù)學(xué)原理的講授以及密碼算法的實(shí)現(xiàn)。這樣的教學(xué)內(nèi)容和方法更加適合于學(xué)術(shù)型高校，然而對(duì)于以應(yīng)用型人才培養(yǎng)為主的高校，尤其是一些高職高專學(xué)校來說則不適合[2，3]。以大理大學(xué)為例，通過對(duì)學(xué)生的調(diào)查發(fā)現(xiàn)，學(xué)生反饋雖然學(xué)過各種加密算法、數(shù)字簽名算法以及Hash算法等，但是在遇到實(shí)際問題時(shí)仍然感到無從下手。同時(shí)，在實(shí)際應(yīng)用中對(duì)于密碼相關(guān)安全問題的產(chǎn)生大都來源于密碼策略的使用以及密碼管理等問題，對(duì)于密碼算法的安全問題則較少[4，5]?；诖耍瑖L試以實(shí)際應(yīng)用為出發(fā)點(diǎn)及立足點(diǎn)，對(duì)密碼學(xué)課程模式進(jìn)行創(chuàng)新探索。

二、應(yīng)用型信息安全專業(yè)密碼人才培養(yǎng)模式創(chuàng)新探索

1. 密碼學(xué)課程內(nèi)容改革——輕理論，重應(yīng)用。首先對(duì)密碼學(xué)課程模塊的劃分進(jìn)行創(chuàng)新。傳統(tǒng)密碼學(xué)課程一般按照以下幾個(gè)方面進(jìn)行講解：加密、數(shù)字簽名、認(rèn)證以及安全協(xié)議幾個(gè)方面。這樣的分類方式代表了密碼學(xué)的幾個(gè)重要方向。然而，對(duì)于以應(yīng)用型為主的學(xué)生來說這樣的講授順序很可能割裂各個(gè)知識(shí)點(diǎn)，學(xué)生掌握了一個(gè)知識(shí)點(diǎn)可能忘記另一個(gè)知識(shí)點(diǎn)[6]。基于此，從實(shí)際應(yīng)用出發(fā)探索將密碼知識(shí)從以下幾個(gè)方面進(jìn)行講解：數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)使用安全以及數(shù)據(jù)管理安全。以數(shù)據(jù)為出發(fā)點(diǎn)學(xué)生更加容易理解，也更容易聯(lián)想到實(shí)際應(yīng)用場景。其次對(duì)密碼學(xué)實(shí)驗(yàn)進(jìn)行創(chuàng)新?？紤]到實(shí)際場景往往不要求掌握具體密碼算法，更加重視密碼算法的應(yīng)用及注意事項(xiàng)，對(duì)密碼學(xué)實(shí)驗(yàn)按照?qǐng)D1所示進(jìn)行劃分。以數(shù)據(jù)安全為核心的實(shí)驗(yàn)體系與以算法實(shí)現(xiàn)為核心的實(shí)驗(yàn)體系相比更加符合實(shí)際應(yīng)用。

數(shù)據(jù)存儲(chǔ)安全實(shí)驗(yàn)分為常用文檔密碼（口令）破解實(shí)驗(yàn)、常用系統(tǒng)及軟件密碼（口令）破解實(shí)驗(yàn)、云環(huán)境下數(shù)據(jù)存儲(chǔ)安全實(shí)驗(yàn)以及本地?cái)?shù)據(jù)存儲(chǔ)安全實(shí)驗(yàn)。常用文檔密碼破解實(shí)驗(yàn)是密碼學(xué)實(shí)驗(yàn)中的第一個(gè)實(shí)驗(yàn)。我們引入office文檔破解、壓縮文件破解以及win7操作系統(tǒng)開機(jī)密碼破解。實(shí)際上密碼破解實(shí)驗(yàn)并非理論意義上的密碼學(xué)，但是以這樣的方式可以讓學(xué)生對(duì)密碼學(xué)更加感興趣，學(xué)生會(huì)覺得這樣的實(shí)驗(yàn)在現(xiàn)實(shí)生活中確實(shí)是實(shí)用的。從而進(jìn)一步提升了學(xué)生對(duì)其他密碼學(xué)實(shí)驗(yàn)的好奇，激發(fā)學(xué)生的學(xué)習(xí)動(dòng)力。云環(huán)境下存儲(chǔ)數(shù)據(jù)是目前常用的數(shù)據(jù)存儲(chǔ)方式。然而云平臺(tái)下存儲(chǔ)數(shù)據(jù)也存在數(shù)據(jù)泄露、數(shù)據(jù)丟失等問題?；诖嗽O(shè)計(jì)云環(huán)境下的數(shù)據(jù)存儲(chǔ)安全實(shí)驗(yàn)，如利用密碼學(xué)中的Hash函數(shù)等方式實(shí)現(xiàn)數(shù)據(jù)的完整性等安全屬性，實(shí)現(xiàn)云數(shù)據(jù)存儲(chǔ)安全。整個(gè)存儲(chǔ)安全的原則是重點(diǎn)講解不同的場景使用什么樣的算法，使用什么樣的密鑰，通過什么樣的方式實(shí)現(xiàn)安全存儲(chǔ)。

數(shù)據(jù)傳輸安全實(shí)驗(yàn)分為：Http及Https實(shí)驗(yàn)、Ftp實(shí)驗(yàn)以及密鑰協(xié)商實(shí)驗(yàn)。數(shù)據(jù)傳輸安全實(shí)驗(yàn)重點(diǎn)引入實(shí)際數(shù)據(jù)傳輸協(xié)議，在實(shí)際網(wǎng)絡(luò)通信環(huán)境下通過wireshark等數(shù)據(jù)包分析工具對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行抓取分析，使學(xué)生切實(shí)感受到什么樣的場景需要數(shù)據(jù)傳輸安全以及怎樣保證數(shù)據(jù)傳輸安全。以Http傳輸協(xié)議為例，抓取某些網(wǎng)站用戶傳輸?shù)牡卿涃~號(hào)和口令，學(xué)生會(huì)發(fā)現(xiàn)其中的賬號(hào)和密碼均以明文形式存在。這樣使學(xué)生切實(shí)體會(huì)到網(wǎng)絡(luò)安全協(xié)議在數(shù)據(jù)傳輸中的重要性，從而進(jìn)一步導(dǎo)出Https協(xié)議。在Https協(xié)議中數(shù)據(jù)在傳輸過程中則會(huì)保持機(jī)密性、完整性以及可認(rèn)證性。數(shù)據(jù)傳輸安全實(shí)驗(yàn)的總體目的是讓學(xué)生掌握哪些網(wǎng)絡(luò)環(huán)境傳輸數(shù)據(jù)是安全的，哪些網(wǎng)絡(luò)協(xié)議能保證傳輸安全。

數(shù)據(jù)使用安全實(shí)驗(yàn)分為：數(shù)據(jù)完整性篡改檢測實(shí)驗(yàn)、多場景、多因素、多安全等級(jí)身份認(rèn)證實(shí)驗(yàn)、電子商務(wù)數(shù)據(jù)安全模擬實(shí)驗(yàn)以及郵件、票據(jù)的抗否認(rèn)實(shí)驗(yàn)。數(shù)據(jù)的安全使用涉及到完整性、認(rèn)證性以及不可否認(rèn)性?；诖?，在實(shí)際場景中引入這三種安全屬性。數(shù)據(jù)完整性實(shí)驗(yàn)，主要以Hash函數(shù)和消息認(rèn)證碼（Message Authentication Code， MAC）實(shí)驗(yàn)為主。在實(shí)際場景中利用Hash函數(shù)保護(hù)本地文檔的完整性。針對(duì)Hash函數(shù)只提供弱完整性保護(hù)的缺點(diǎn)，繼續(xù)深入實(shí)現(xiàn)第二個(gè)完整性保護(hù)實(shí)驗(yàn)，即帶密鑰的Hash函數(shù)也就是利用MAC的形式保證數(shù)據(jù)完整性。數(shù)據(jù)認(rèn)證方面，隨著驗(yàn)證方式的日益增多，出現(xiàn)了基于智能卡和生物特征的多因素認(rèn)證?；诖?，設(shè)計(jì)多場景認(rèn)證實(shí)驗(yàn)，多角度讓學(xué)生了解數(shù)據(jù)及身份的認(rèn)證性。不可否認(rèn)實(shí)驗(yàn)中同大多數(shù)安全實(shí)驗(yàn)類似，采用數(shù)字簽名來實(shí)現(xiàn)該性質(zhì)。不同的是不再側(cè)重編程實(shí)現(xiàn)，而是以利用為主。具體而言，通過各種編程語言調(diào)用相應(yīng)的密碼庫，對(duì)數(shù)據(jù)進(jìn)行簽名，對(duì)軟件進(jìn)行簽名。讓學(xué)生真正體會(huì)到現(xiàn)實(shí)當(dāng)中是如何使用數(shù)字簽名。

數(shù)據(jù)管理安全實(shí)驗(yàn)分為：數(shù)據(jù)安全等級(jí)劃分及保護(hù)實(shí)驗(yàn)、密鑰管理實(shí)驗(yàn)以及證書管理實(shí)驗(yàn)。密碼學(xué)在實(shí)際使用過程中更多的是在于密碼的管理能力?，F(xiàn)實(shí)中很多安全問題出現(xiàn)在密碼管理上的漏洞，如密鑰存儲(chǔ)、密鑰選取、密鑰處理以及數(shù)字證書管理。密鑰的管理主要分為主密鑰（長期密鑰）的管理以及分級(jí)密鑰的管理。例如主密鑰如何產(chǎn)生，主密鑰存儲(chǔ)，主密鑰如何吊銷等。而分級(jí)密鑰如每次會(huì)話往往都是由主密鑰產(chǎn)生。那么分級(jí)密鑰的管理方式就跟主密鑰有很大不同。學(xué)生往往掌握了密鑰的多種形式，但是具體如何操作，什么樣的環(huán)境使用那些密鑰，密鑰丟失時(shí)如何處理則不是很清楚?；诖嗽O(shè)計(jì)密鑰管理實(shí)驗(yàn)，將實(shí)際通信過程中的密鑰產(chǎn)生、存儲(chǔ)、使用、恢復(fù)以及吊銷等過程都呈現(xiàn)給學(xué)生，讓學(xué)生清晰的了解到密鑰的整個(gè)生命周期，避免實(shí)際使用過程中出現(xiàn)錯(cuò)誤。另一方面，數(shù)字證書是未來信息安全的重要媒介，無論是公鑰加密還是數(shù)字簽名都離不開數(shù)字證書。然而以往的數(shù)字證書的講解中，重點(diǎn)講授的是數(shù)字證書的功能。但是對(duì)于實(shí)際中如何使用數(shù)字證書則較少提及，甚至有的學(xué)生在學(xué)完數(shù)字證書之后還不知道數(shù)字證書的格式。在實(shí)驗(yàn)部分加入現(xiàn)實(shí)數(shù)字證書的使用，避免了學(xué)生僅知道數(shù)字證書的原理但是不會(huì)使用數(shù)字證書的弊端。以此為出發(fā)點(diǎn)進(jìn)一步提升信息安全人才在密碼管理中的能力，從而解決實(shí)際問題。

2. 密碼綜合素質(zhì)提升——引競賽，重模擬。表1列出了密碼綜合素質(zhì)提升的模塊設(shè)置。從表中可以看出密碼綜合素質(zhì)的提升更加注重實(shí)際中密碼使用的問題以及實(shí)際場景的模擬。

目前雖然有很多密碼相關(guān)競賽，但大都以書本知識(shí)為主。對(duì)于信息安全人才的綜合素質(zhì)提升也多以CTF（Capture The Flag）競賽為主。這樣的方式確實(shí)可以提升安全人才對(duì)于實(shí)際應(yīng)用中的安全問題的解決能力。然而現(xiàn)有的CTF競賽也多以web安全為主，缺少實(shí)用型密碼安全題目。嘗試引入實(shí)際機(jī)要部門各種競賽題目以及大型企業(yè)招聘密碼相關(guān)題目，以實(shí)用密碼知識(shí)問答等形式提升學(xué)生密碼實(shí)際使用能力。如機(jī)要保密工作人員職責(zé)，選人用人原則；機(jī)要文件保密原則，機(jī)要文件等級(jí)劃分；機(jī)要文件查閱等級(jí)原則，文件銷毀原則等。這樣的方式更加符合社會(huì)對(duì)于密碼人才的要求[7，8]。

設(shè)置角色，模擬實(shí)際場景制定密碼安全策略，提升實(shí)際應(yīng)用能力。密碼學(xué)對(duì)于大多數(shù)學(xué)生來說都覺得較難理解，枯燥。根本原因在于學(xué)生被動(dòng)的接觸知識(shí)，沒有參與感?；诖耍岢龌谀M場景的密碼學(xué)教學(xué)。將學(xué)生分組，每組分配不同的角色，如某組是電力行業(yè)的安全人員，該組如何通過密碼方式保護(hù)電力數(shù)據(jù)及信息安全。學(xué)生需要制定相關(guān)安全策略并部署相關(guān)安全機(jī)制后由其他組對(duì)該組進(jìn)行攻擊。攻擊以實(shí)際情況出發(fā)，不限定方法，可以為技術(shù)攻擊也可以為社會(huì)工程學(xué)等攻擊。同時(shí)可以結(jié)合多種網(wǎng)絡(luò)安全和密碼學(xué)知識(shí)，從綜合的角度去挖掘密碼系統(tǒng)的問題[9，10]。這樣在模擬的實(shí)際場景中，既可以激發(fā)學(xué)生的學(xué)習(xí)樂趣，又可讓學(xué)生從中體會(huì)到密碼學(xué)的重要性并學(xué)會(huì)如何處理實(shí)際問題。

三、結(jié)束語

密碼學(xué)是信息安全中的基礎(chǔ)模塊，支撐整個(gè)信息安全的體系，密碼技術(shù)應(yīng)用的好壞直接關(guān)系到信息安全的好壞。對(duì)于應(yīng)用型信息安全人才更為重要的是培養(yǎng)學(xué)生實(shí)際應(yīng)用能力。對(duì)密碼學(xué)課程的創(chuàng)新探索有利于應(yīng)用型信息安全人才的培養(yǎng)，從而解決信息安全人才能力與社會(huì)需求之間不匹配的矛盾。

參考文獻(xiàn)：

[1]王鶴鳴.從信息化發(fā)展歷程看密碼學(xué)發(fā)展——專訪西安電子科技大學(xué)通信工程學(xué)院王育民教授[J].信息安全與通信保密，2011，12： 13-15.

[2]侍偉敏，等.信息安全專業(yè)密碼學(xué)課程體系的建設(shè)[J].計(jì)算機(jī)教育，2018，3：124-127.

[3]鄧先春，吳蓓.高職院校計(jì)算機(jī)信息安全類專業(yè)實(shí)訓(xùn)教學(xué)開展情況調(diào)研[J].軟件導(dǎo)刊教育技術(shù)，2016，15（8）：49-52.

[4]鄭彥斌，周星辰.密碼學(xué)課程的教學(xué)探索[J].大眾科技，2017，19（210）：88-89.

[5]邱婧，王世君，段鑫磊.信息安全專業(yè)PKI原理與技術(shù)課程建設(shè)探索[J].工業(yè)和信息化教育，2017，4：52-55.

[6]楊小東，麻婷春.信息安全專業(yè)人才培養(yǎng)模式的研究[J].教育教學(xué)論壇，2018，8：110-111.

[7]林玉香.網(wǎng)絡(luò)安全法下信息安全專業(yè)課程群建設(shè)初探[J].福建電腦，2017，33（7）：152-152.

[8]崔艷榮.面向應(yīng)用型人才培養(yǎng)的《密碼學(xué)》教學(xué)探討[J].長江大學(xué)學(xué)報(bào)（自然科學(xué)版），2012，9（05）：173-175.

[9]謝絨娜，等.密碼學(xué)課程實(shí)踐教學(xué)體系探索[A].中國通信學(xué)會(huì).第九屆中國通信學(xué)會(huì)學(xué)術(shù)年會(huì)論文集[C].2013：472-475.

[10]王志偉.密碼學(xué)實(shí)踐教學(xué)中培養(yǎng)學(xué)生創(chuàng)新能力研究[J].信息與電腦（理論版），2016（07）：221-222.