蔡?hào)|蛟 洪志農(nóng)

【摘要】? ? 介紹等保2.0背景情況，分析等保2.0對(duì)信安專業(yè)課程體系的影響，以等保三級(jí)建設(shè)工作為例，采用學(xué)習(xí)領(lǐng)域課程開發(fā)基本路徑，召開實(shí)踐專家研討會(huì)，提煉職業(yè)崗位典型工作任務(wù)，確定學(xué)習(xí)領(lǐng)域課程，設(shè)計(jì)學(xué)習(xí)情境和學(xué)習(xí)任務(wù)，完成等級(jí)保護(hù)專業(yè)課程開發(fā)。

【關(guān)鍵詞】? ? 等級(jí)保護(hù)? ? 專業(yè)課程? ? 學(xué)習(xí)領(lǐng)域? ? 學(xué)習(xí)情境

引言：

互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)無(wú)處不在，網(wǎng)絡(luò)安全已成為與國(guó)家、社會(huì)、個(gè)人息息相關(guān)的問(wèn)題，并上升到國(guó)家安全層面。2017年實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》明確“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”。2019年12月，《網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0》系列標(biāo)準(zhǔn)落地，總體來(lái)說(shuō)，等級(jí)保護(hù)的基本要求、測(cè)評(píng)要求和設(shè)計(jì)技術(shù)要求框架統(tǒng)一，即：安全管理中心支持下的三重防護(hù)結(jié)構(gòu)框架。此外，通用安全要求+新型應(yīng)用安全擴(kuò)展要求，將云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等納入了標(biāo)準(zhǔn)規(guī)范。2020年7月，公安部在《貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見(jiàn)》中要求：堅(jiān)持積極防御、綜合防護(hù)。同時(shí)要求加強(qiáng)人才培養(yǎng)，建設(shè)人才庫(kù)，建立健全人才發(fā)現(xiàn)、培養(yǎng)、選拔和使用機(jī)制，為做好網(wǎng)絡(luò)安全工作提供人才保障。

從等保2.0的實(shí)施和指導(dǎo)意見(jiàn)中我們看到，隨著信息技術(shù)的發(fā)展，我國(guó)等級(jí)保護(hù)制度已經(jīng)越來(lái)越完善。首先，網(wǎng)絡(luò)運(yùn)營(yíng)者落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)成為一項(xiàng)義務(wù)，其次等保2.0和等保1.0對(duì)照，除了安全通用要求外，增加了云計(jì)算安全、移動(dòng)互聯(lián)安全、物聯(lián)網(wǎng)安全、工業(yè)控制系統(tǒng)安全等擴(kuò)展要求，這對(duì)等級(jí)保護(hù)制度提出了新的要求;再者等級(jí)保護(hù)的基本原則不再僅僅只是依照標(biāo)準(zhǔn)自行保護(hù)，而是要積極防御、綜合防護(hù)。

因此，在等保2.0背景下，網(wǎng)絡(luò)運(yùn)營(yíng)者在落實(shí)等級(jí)保護(hù)制度的過(guò)程中，不僅在思想上需要重新審視網(wǎng)絡(luò)安全的重要性，在實(shí)際工作中也需要加強(qiáng)對(duì)等保2.0涉及的新標(biāo)準(zhǔn)、新領(lǐng)域、新技術(shù)的學(xué)習(xí)和應(yīng)用。

一、信安專業(yè)課程體系分析

等保2.0的實(shí)施對(duì)高職信安專業(yè)的人才培養(yǎng)也提出了新要求。第一，在教學(xué)過(guò)程中需要加強(qiáng)網(wǎng)絡(luò)安全法的宣導(dǎo)，同時(shí)也需要明確作為網(wǎng)絡(luò)運(yùn)營(yíng)者需要履行的責(zé)任和義務(wù);第二，學(xué)生職業(yè)能力的培養(yǎng)也需要結(jié)合等保2.0的能力要求。因此，在等保2.0背景下信安專業(yè)的課程體系也要緊跟等保2.0的變化作出相應(yīng)調(diào)整。

開發(fā)信安專業(yè)學(xué)習(xí)領(lǐng)域課程體系，首先，需要通過(guò)人才市場(chǎng)需求調(diào)研和行業(yè)企業(yè)調(diào)研，召開由網(wǎng)絡(luò)信息安全行業(yè)實(shí)踐專家、課程開發(fā)專家和信安專業(yè)課教師共同參加的實(shí)踐專家訪談會(huì)，研討信安專業(yè)人才培養(yǎng)目標(biāo)和職業(yè)崗位群，剖析網(wǎng)絡(luò)信息安全行業(yè)里“安全與信息安全管理員”、“安全服務(wù)工程師”、“安全銷售工程師”、“安全售前工程師”、“產(chǎn)品技術(shù)支持工程師”、“安全技術(shù)工程師”、“滲透工程師”、“安全運(yùn)維工程師”等職業(yè)崗位的工作職責(zé)和工作任務(wù)，進(jìn)一步分析并確定典型工作任務(wù)，根據(jù)能力復(fù)雜程度整合典型工作任務(wù)形成綜合能力領(lǐng)域，再由課程專家和專業(yè)教師根據(jù)教學(xué)的規(guī)律及要求把綜合能力領(lǐng)域轉(zhuǎn)化為學(xué)習(xí)領(lǐng)域課程體系，由此推導(dǎo)出的專業(yè)核心課程包括了《信息安全產(chǎn)品配置與應(yīng)用》、《數(shù)據(jù)備份與恢復(fù)》、《滲透測(cè)試與攻防技術(shù)》、《網(wǎng)絡(luò)安全防護(hù)與運(yùn)維》、《等級(jí)保護(hù)基礎(chǔ)與實(shí)踐》、《信息安全代碼審計(jì)》、《網(wǎng)絡(luò)安全編程（Python）》等課程。

在該學(xué)習(xí)領(lǐng)域課程體系中，《等級(jí)保護(hù)基礎(chǔ)與實(shí)踐》是專業(yè)職業(yè)能力培養(yǎng)的主要核心課程之一，本課程先行課程有《信息安全產(chǎn)品配置與應(yīng)用》、《滲透測(cè)試與攻防技術(shù)》等，后續(xù)課程有《網(wǎng)絡(luò)安全編程（Python）》、《崗前技能綜合實(shí)訓(xùn)》等。

二、《等級(jí)保護(hù)基礎(chǔ)與實(shí)踐》課程開發(fā)

等保課程培養(yǎng)的是學(xué)生開展等保2.0相關(guān)建設(shè)工作及利用等保2.0對(duì)網(wǎng)絡(luò)進(jìn)行安全評(píng)估的綜合職業(yè)能力。在先行課程學(xué)習(xí)基礎(chǔ)上，通過(guò)本課程學(xué)習(xí)，理解等保2.0工作的責(zé)任與義務(wù)，了解等級(jí)保護(hù)制度及相關(guān)法律法規(guī)，熟悉等保2.0系列標(biāo)準(zhǔn)，掌握等保建設(shè)和評(píng)估中網(wǎng)絡(luò)設(shè)備、信息安全產(chǎn)品、服務(wù)器、防火墻、入侵檢測(cè)設(shè)備、漏洞掃描設(shè)備、等保工具箱等產(chǎn)品工具的使用，能根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的標(biāo)準(zhǔn)要求開展不同等級(jí)等保安全體系建設(shè)。

2.1開發(fā)思路

采用工作過(guò)程導(dǎo)向開發(fā)《等級(jí)保護(hù)基礎(chǔ)與實(shí)踐》學(xué)習(xí)領(lǐng)域課程，整個(gè)課程內(nèi)容學(xué)習(xí)過(guò)程模擬了企業(yè)中網(wǎng)絡(luò)安全體系從無(wú)到有的構(gòu)建并進(jìn)行管理的完整工作過(guò)程，課程開發(fā)過(guò)程如圖1所示。

首先，對(duì)職業(yè)崗位做工作任務(wù)分析，在此基礎(chǔ)上，提煉典型工作任務(wù)，確定學(xué)習(xí)領(lǐng)域課程，設(shè)計(jì)學(xué)習(xí)情境和學(xué)習(xí)任務(wù)，完成等級(jí)保護(hù)專業(yè)課程開發(fā)，基于行動(dòng)導(dǎo)向的教學(xué)方式，做好課程的實(shí)施及評(píng)價(jià)[1-3]。

2.2典型工作任務(wù)分析與學(xué)習(xí)情境設(shè)計(jì)

經(jīng)過(guò)與網(wǎng)絡(luò)安全從業(yè)人員交流，目前工作中主要以二級(jí)和三級(jí)的等級(jí)保護(hù)建設(shè)項(xiàng)目居多。

三級(jí)標(biāo)準(zhǔn)高于二級(jí)，在此參照建設(shè)等級(jí)保護(hù)三級(jí)網(wǎng)絡(luò)安全防護(hù)體系的工作過(guò)程來(lái)開發(fā)《網(wǎng)絡(luò)安全等級(jí)保護(hù)基礎(chǔ)與實(shí)踐》課程。

根據(jù)《GB_T 25058-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》，等級(jí)保護(hù)的實(shí)施流程如圖2所示。

以某單位網(wǎng)站開展等保三級(jí)建設(shè)工作為例，分析梳理出實(shí)際工作過(guò)程中典型的工作任務(wù)與工作內(nèi)容，如表1所示，按照學(xué)習(xí)領(lǐng)域課程開發(fā)流程，得出課程對(duì)應(yīng)的學(xué)習(xí)情境與學(xué)習(xí)任務(wù)，如表2所示。

2.3 課程綜合案例分析示例

以某單位網(wǎng)站按照等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)要求建設(shè)網(wǎng)絡(luò)安全防護(hù)體系為例，如圖3所示，該單位網(wǎng)絡(luò)安全防護(hù)體系首先把網(wǎng)絡(luò)劃分為五個(gè)安全域，分別是互聯(lián)網(wǎng)出口域、核心交換域、辦公區(qū)域、核心業(yè)務(wù)域和運(yùn)維管理域。同時(shí)在核心業(yè)務(wù)域與互聯(lián)網(wǎng)出口域兩個(gè)重要安全域都采用冗余建設(shè)，避免出現(xiàn)單點(diǎn)故障。

各個(gè)安全域之間用下一代防火墻進(jìn)行防護(hù)。態(tài)勢(shì)感知系統(tǒng)、入侵檢測(cè)系統(tǒng)、抗APT攻擊系統(tǒng)、終端安全管理系統(tǒng)、網(wǎng)頁(yè)防篡改系統(tǒng)對(duì)網(wǎng)站及其他三級(jí)系統(tǒng)進(jìn)行實(shí)際防護(hù)與監(jiān)測(cè)。日志審計(jì)系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、堡壘機(jī)系統(tǒng)實(shí)現(xiàn)了對(duì)內(nèi)部設(shè)備、用戶、各系統(tǒng)的內(nèi)容及行為審計(jì)。通過(guò)建設(shè)達(dá)到等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)要求。

三、結(jié)束語(yǔ)

等保2.0的實(shí)施，給信安專業(yè)《等級(jí)保護(hù)基礎(chǔ)與實(shí)踐》課程開發(fā)提出了新的要求。一方面，要深刻理解等保2.0系列標(biāo)準(zhǔn)內(nèi)容和貫徹落實(shí)等保的指導(dǎo)意見(jiàn)，另一方面，要結(jié)合學(xué)習(xí)領(lǐng)域課程開發(fā)路徑做好課程的系統(tǒng)化開發(fā)。在課程的實(shí)施上，實(shí)訓(xùn)實(shí)踐環(huán)節(jié)始終是課程的重要組成部分，抓好這一環(huán)節(jié)對(duì)課程的實(shí)施及評(píng)價(jià)效果是比較重要的。

參? 考? 文? 獻(xiàn)

[1] 歐盟Asia-Link項(xiàng)目“關(guān)于課程開發(fā)的課程設(shè)計(jì)”課題組.職業(yè)教育與培訓(xùn)——學(xué)習(xí)領(lǐng)域課程開發(fā)手冊(cè)（第1版）[M].北京：高等教育出版社，2007.

[2] 姜大源.論高職教育工作過(guò)程系統(tǒng)化課程開發(fā)[J].徐州建筑職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2010（3）：1-6

[3] 趙志群.職業(yè)教育學(xué)習(xí)領(lǐng)域課程及課程開發(fā)[J].徐州建筑職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2010（6）：1-8

蔡?hào)|蛟（1967—），男， 浙江蒼南，副教授/高級(jí)工程師，主要從事網(wǎng)絡(luò)信息安全研究。

手機(jī)：13665067119

通訊地址：福建省福州市晉安區(qū)岳峰鎮(zhèn)桂溪路298號(hào)融信后海小區(qū)1座1805房? 蔡?hào)|蛟? 收? ? 郵編：350014

基金項(xiàng)目：福建省2019年省級(jí)職業(yè)教育專業(yè)教學(xué)資源庫(kù)建設(shè)項(xiàng)目（閩教職[2019]39號(hào)）

蔡?hào)|蛟（1967-），男， 漢族，浙江蒼南，碩士，副教授，高級(jí)工程師，研究方向：網(wǎng)絡(luò)信息安全;

洪志農(nóng)（1988-），男， 漢族，福建泉州，本科，工程師，研究方向：網(wǎng)絡(luò)安全。