一、信息安全人才需求
据51JOB、中华英才网等人力资源网站统计,近年人才市场对网络安全工程师的需求量骤增,企业需要精通网络安全的网管人员。截止到2010年,网络安全行业的就业需求将以年均14%的速度递增。到2012年,网络安全行业的就业总人数将由目前的160万上升到300万。
信息安全不仅是一个专业方向,还是一个IT从业者的基本技能。
可以将信息安全专业人才的培养需求分为四类:
人才类型 |
工作面向 |
培养要求 |
培养方法 |
“知道了解”型 |
此类人才是信息系统的使用维护人员,承担着保障信息系统安全稳定运行的基础工作,从而保障各行业信息系统健康运行、业务正常开展 |
对于此类人才的培养,就要求要了解具有信息安全防护意识,对信息安全的重要性有所认知,熟悉信息安全的基本概念、知识和保障信息安全的方法与手段,并具有一定的业务应用的知识 |
此类人才可通过社会或专业机构的信息安全培训的方式进行培养 |
“操作维护”型 |
此类人是信息系统、网络系统的操作维护人员,负责解决系统运行维护过程中所面临的各种类信息安全问题,根据安全需求利用技术手段提升系统的安全防护能力,保障系统的稳定运行,确保系统具有符合需求的安全防护能力 |
对于此类人才的培养,就要求要懂得操作系统、数据库系统、网络系统等信息安全技术的原理与方法,能够正确、合理的配置和利用系统与设备自身的安全机制与安全策略,优化各类配置参数的设置,能够构建安全的信息系统,了解系统的安全防护需求,具有基本的安全程序设计能力。对信息安全体系框架具有一定的认识 |
此类人才需完成大专或本科的专业课程,通过系统化的课程体系教学实践来培养 |
“研发创新”型 |
此类人才熟悉信息技术和信息安全技术,具有较强的自主研发能力,是构建创新型国家和建立具有自主知识产权的信息安全产业的中坚力量 |
此类人才需要全面掌握构建安全的信息系统的理论和技术知识,具有安全系统的设计和实现能力,具有较强的理论研究和技术开发能力 |
此类人才需要在扎实的理论基础知识学习的基础上作进一步的科研研发工作,可以通过研究生的科研创新性研究培养而得 |
“复合管理”型 |
此类人才具有较好的信息安全大局观,能够从宏观的层面看待一个行业、一个单位所面临的信息安全问题,具有较强的规划、布局能力,需要具备政策、经济、管理、信息安全、行业知识等各个方面的知识和能力,是综合性、高素质、高学历人才,除了雄厚的理论知识外,还需要具有丰富的实践管理经验 |
此类人才只有通过实际工作中的实战操作以及持续性教育、进修的培养磨练才能具有所需的战略眼光、技术背景和管理经验 |
高校如何能够完成对具有扎实专业基础又具备可持续发展能力的信息安全人才培养。
二、实验教学环节
2.1必要教学环节
目前,在信息安全领域对人才需求方面,主要有以下几个特点:
(1)强调信息安全意识、理念、法制的教育培养
(2)要求具有广泛的信息安全专业知识基础
(3)要求具有较强的知识更新、自学能力,具有敏感的行业安全感知能力
(4)要求具有较强的实践动手能力,具有丰富的实践操作经验
(5)强调对信息安全知识持续性教育
目前大多数已经开设信息安全专业的高等院校,大多将信息安全专业设为二级学科,从属于计算机科学与技术或者信息与通信工程这类型的一级学科之下,每年所招收的信息安全专业学生数量也较少。因此,学校在基础辅助实验环境和设施建设方面投入的资源比例就相对较少,从而在一定程度上阻碍了该专业的快速发展。所以,对目前大多数高校来说,为信息安全专业创建良好的实践环境,为教学提供强有力的辅助力量,是一个关注的重点。
2.2教学现状分析
对比信息安全专业与计算机科学专业两个专业在人才培养上存在很多的差异性。传统的计算机专业在培养人才时注重的是理论基础知识的培养,在实践教学环节有所欠缺,而信息安全专业在培养人才是必须要注重实践教学,如果仅仅关注于理论知识的教授,那么学生在毕业后很难将所学的知识用于解决工作中的实际问题,还需要花费大量的时间与经历继续学习。此外,由于信息安全是一个整体的概念,而现在很多高校开设的信息安全实践课程较为孤立,各门实验课程之间的关联关系没有建立起来,缺少涵盖各门课程知识的综合性实验,因此学生掌握的理论知识缺乏体系化,看问题的角度往往较为片面,缺乏独立分析、解决在工作中遇到的信息安全问题的能力和自主创新的能力。
2.3实验室建设
实验室建设目标:结合课程教学,实现培养具有扎实专业基础,同时又具备可持续发展能力的信息安全人才培养。
3.1实验整体设计原则
符合专业课程体系与教学大纲安排
截止2011年,国内开设信息安全专业的高校达150所,在专业核心课程安排上,可统计出以下16门课程普遍开设。归类,分为:密码学及应用、主机安全、网络攻防、病毒攻防、冗灾备份、无线安全、身份认证、社会工程学八个方向。因此在实验内容广度上应能够满足针对这16门课程中任意一门的实验教学。
教学体系结构化
相比其它厂商“堆砌式”的实验体系,中软吉大“框架式”实验体系结构设计更为科学合理,出于体系层次需要,实验结构被设计成实验→练习→任务,即实验下设多个练习,练习下包涵多个任务,做到知识内部耦合,知识间松散,实验最终都会有若干不同内容的任务分解支撑。反观其它厂家由于只有“实验”一个级别,知识内部松散,缺乏条理,并且很多实验与中软吉大任务级别相当。
实验内容层次化
实验分为基础验证性实验、设计性实验和综合性实验三个层次,可因人施教、因材施学。
l 基础验证实验
主要是对单门信息安全理论课程中的基本原理进行验证,目的是锻炼学生的基本动手能力,帮助学生加深理解并掌握相关理论知识。在内容上与理论课程内容相衔接配套,且相对固定。
l 设计性实验
主要是要求学生运用一门或多门课程的知识,针对特定问题进行学习、分析、设计,培养学生的设计能力。
l 综合性实验
运用多门课程知识,完成一个相对完整的题目。
典型教学、通用教学
在实践教学内容题材方面,选择信息安全行业/产业典型的、具有领域代表性的应用。确保教学内容及教学效果不偏离。
在实验工具选择方面,依然选择信息安全行业/产业典型的、具有领域通用性的软件工具。确保教学结果与实际应用“无缝”。
在开发语种及开发环境方面,选择通用性较强的工具。如密码学源码开发实验,选择C/C++而非C#,一方面C做为理工类院校必修课程,通用性强,无职业偏差,另一方面C/C++程序代码不依赖目标系统是Windows还是Linux。
专用教学工具
信息安全许多专向技术需要强大的理论支撑,这些理论往往建立在大量抽象、复杂的数学模型及计算机网络基础上,这就要求学生对专业基础课程有着全面、深入地掌握。教学工具所要实现的教学目标就是将抽象、不可见的隐涵内容以形象、可见方式表达出来,再赋予实验者交互操作,能更好地参与到教学当中来,变被动为主动学习。
协议分析器-用于观察、分析正常或异常的网络会话行为。 使用协议分析器捕获网络数据包,并分析常用协议(IPv4和IPv6)。协议分析器能够将网络会话过程以十六进制数据和图形两种方式进行显示。 |
密码工具-对数据进行加/解密操作,并能够演示密码算法加/解密过程。 将密码算法的工作机理图形化方式显示,通过交互操作查看算法内部关键变换的中间结果,对加密、解密过程进行流程跟踪。 |
监控器工具-负责监控本机当前运行进程、系统服务、开放端口、文件操作等信息。 在进行病毒、木马攻防类实验时,监控工具可以协助学生更好地观察程序执行过程及内在机理。 |
Flash动画-针对具体实验内容为学生提供较详细的实验原理,对学生不易理解的实验点,加入了Flash动画演示,可由平台自带的实验动画播放器进行点播。 |
教学内容、教学方案可定制
教师可根据教学需要,自主扩充实验,并使新内容纳入到实验体系中来,满足对实验内容的个性化要求。教师可定制教学方案,实施对不同人员的教学。
易管理、易维护
实验环境(硬件/软件)提供“一键式还原”,可快速到实验前初始状态。
实验管理信息系统根据用户信息进行等级管理,在提供专业的信息管理的同时,减轻实验教师设备管理,排课管理,实验报告管理,考勤管理,成绩管理,用户管理,文件管理等工作。
实验操作合作性
实验任务既有单人独立完成,也有多人(2人、3人或6人)合作完成。在培养学生独立思维能力的同时,注重增强学生的团队合作意识。
3.2方向一 密码学及应用
Ø 教学任务
(1)对密码学领域的基本概念、基本理论和基本应用有全面的理解;
(2)理解密码体制概念和密码学发展沿革;
(3)理解公钥密码体制的设计思想;
(4)掌握常用的密码体制的设计机制;
(5)掌握对称密码体制的设计和分析特点;
(6)掌握非对称密码体制的设计和分析特点;
(7)掌握认证体系相关知识,包括数字签名、PKI和消息认证等;
(8)掌握信息隐藏与数字水印机制。
Ø 实验任务
实验 |
练习 |
实验点 |
古典密码算法 |
Caesar密码 |
代替密码编码方法、单表代替密码分析 |
单表置换密码 |
置换密码学编码方法、古典密码统计分析 | |
仿射密码 |
仿射密码编码方法 | |
维吉尼亚密码 |
维吉尼亚密码编码方法 | |
对称密码算法 |
DES算法 |
分组密码、DES算法加解密过程、子密钥产生过程 |
3DES算法 |
3DES加密算法原理 | |
AES算法 |
AES基本变换、算法加解密过程、密钥膨胀理论 | |
IDEA算法 |
IDEA算法原理、加解密过程 | |
RC4算法 |
序列密码、RC4算法加解密过程 | |
SMS4算法 |
SMS4算法原理、加解密过程 | |
非对称密码算法 |
RSA算法 |
非对称密码体制、RSA算法加解密过程 |
ELGamal算法 |
ELGamal算法加解密过程、签名验证机制 | |
DSA算法 |
DSA算法加解密过程、签名验证机制 | |
大整数运算 |
大整数表示法、大整数四则运算 | |
ECC算法 |
椭圆曲线算法原理、加解密过程 | |
Hash算法 |
MD5算法 |
哈希函数、MD5算法原理 |
SHA1算法 |
SHA1算法原理 | |
密码应用 |
文件安全传输 |
数字签名、利用对称密码实现数据加密、利用非对称密码实现数字签名、利用Hash函数实现数据完整性 |
PGP应用 |
PGP安全通信 | |
加密编程(一) |
利用BouncyCastleAPI接口实现基本的加密编程 | |
加密编程(二) |
利用CryptoAPI接口实现基本的加密编程 | |
基于USBKey的软件授权编程 |
密码算法在USBKey软件授权中的应用 | |
PKI技术 |
证书应用 |
身份认证、证书申请与颁发、使用数字证书配置安全站点、使用数字证书发送签名邮件 |
证书管理 |
CA的备份与还原、发布CRL | |
信任模型 |
常见PKI信任模型 | |
PKI应用 |
PKI体系模型 | |
PMI应用 |
PMI体系模型 | |
信息隐藏 |
信息隐藏位图法 |
BMP图像编码方式、使用位图法嵌入和提取信息 |
LSB水印算法 |
数字水印、LSB算法、LSB水印嵌入与提取 | |
DCT水印算法 |
DCT信息嵌入与提取、DCT图形变换基本步骤 | |
主动水印攻击 |
水印算法鲁棒性验证、水印攻击与防范 |
Ø 设3.3方向二 主机安全
Ø 教学任务
(1)掌握Windows、Linux系统基本安全要素;
(2)掌握口令破解攻击原理与防范方法;
(3)掌握Web安全加固方法;
(4)掌握常用数据库安全配置方法、防范SQL注入方法;
(5)理解软件质量安全体系;
(6)了解常用安全协议、理解安全协议工作原理、学会利用安全协议传输信息。
Ø 实验任务
实验 |
练习 |
实验点 |
系统安全 |
Windows2003系统安全 |
任务一 用户权限管理 |
任务二 审核策略设置 | ||
任务三 注册表安全设置 | ||
任务四 TCP/IP筛选 | ||
任务五 主机安全加固 | ||
Linux FC5系统安全 |
任务一 权限模型 | |
任务二 安全访问 | ||
任务三 SELinux | ||
任务四 安全审计 | ||
任务五 配置Linux系统进行主动防御 | ||
主机审计 |
审计跟踪、主机监管 | |
口令安全 |
Windows口令破解 |
口令破解定义、穷举口令破解、字典口令破解、口令强度比较 |
Linux 口令破解 |
Linux用户口令加密机制与保护措施、阴影口令、Shadow文件、Crypt函数 | |
Web安全 |
Web脚本攻击 |
任务一 认识XSS 任务二 盗取Cookie 任务三 脚本攻击 任务四 DOM-Based XSS挖掘 |
Web服务器安全设置 |
任务一 IIS安全设置 | |
任务二 Apache安全设置 | ||
FTP服务器安全配置 |
—— | |
日志审计 |
Windows日志系统、IIS日志格式、W3C扩展日志、自定义消息类型 | |
网络事件审计 |
TCP/IP网络层数据分析、应用层协议分析、状态码分析、异常流量分析 | |
数据库安全 |
SQL注入 |
PHP服务器脚本语言、MYSQL数据库、Web访问数据库模型、SQL语言、SQL注入攻击及防范 |
防范SQL注入 |
SQL注入一般性防御手段 | |
SQL Server安全 |
任务一 SQL Server 2000数据库安全配置 任务二 SQL Server 2000数据库备份与恢复 | |
MySQL数据库安全 |
任务一 MySQL数据库安全配置 任务二 MySQL数据库备份与恢复 | |
软件安全 |
软件漏洞利用 |
软件安全隐患分析、软件漏洞利用 |
协议脆弱性分析 |
SNMP协议脆弱性分析 |
分析SNMP协议脆弱性、SNMP协议漏洞利用 |
安全协议 |
IPSec-IP安全协议 |
安全关联、传输模型和隧道模式、AH协议分析、ESP协议分析、IPSec工作原理 |
SSL-安全套接层协议 |
OpenSSL、Apache+OpenSSL实验实现网络安全通信、SSL会话过程 | |
Kerberos-安全认证协议 |
身份认证、Kerberos身份认证、配置Kerberos身份认证系统 |
3.4方向三 网络攻防
Ø 教学任务
(1)掌握扫描技术,包括网络扫描、主机端口扫描和网络漏洞扫描;
(2)网络监听与防御技术,包括网络监听、各种网络嗅探器设计方法;
(3)理解缓冲区溢出基本原理、攻击步骤、防范方法,掌握典型缓冲区溢出实现方法;
(4)掌握典型拒绝服务攻击与防范技术,掌握拒绝服务攻击技术原理;
(5)掌握欺骗攻击及防御技术,掌握欺骗技术原理;
(6)掌握网络后门攻击及防御技术,掌握网络后门技术原理;
(7)掌握特洛伊木马攻击及防御技术,掌握木马攻击技术原理;
(8)掌握Windows、Linux系统防火墙使用方法;
(9)理解入侵检测理论,学会运用NIDS实施包嗅探、数据包记录、数据包检测,能够自主开发简单的NIDS;
(10)理解VPN理论,掌握主流VPN应用技术;
(11)理解蜜罐蜜网理论,掌握主流蜜罐蜜网解决方案与具体实施方法。
Ø 实验任务
3.5方向四 病毒攻防
Ø 教学任务
(1)了解计算机病毒所涉及的基本编制理论和感染机制;
(2)熟悉和掌握计算机病毒的分析方法;
(3)熟悉和掌握计算机病毒的预防方法;
(4)熟悉和掌握计算机病毒的对抗手段;
(5)掌握汇编语言、C语言、VBA、脚本语言、网络编程技术;
(6)掌握各种流行操作系统(Windows、Linux)文件系统知识。
Ø 实验任务
实验 |
练习 |
实验点 |
引导区病毒 |
DOS引导区病毒 |
系统启动流程、实模式DEBUG命令、引导区病毒原理、修改引导区 |
文件型病毒 |
PE病毒 |
文件型病毒原理、PE文件结构、文件型病毒发现方法、病毒专杀设计 |
DLL注入型病毒 |
DLL注入型病毒传播原理、攻击过程、清除方法 | |
COM病毒 |
COM病毒传播原理、攻击过程、清除方法 | |
宏病毒 |
Word宏病毒 |
Word宏、宏病毒工作原理、宏病毒专杀设计 |
脚本病毒 |
Java脚本病毒 |
Java脚本病毒一般性工作原理、常见感染方式、专杀脚本编写 |
VB脚本病毒 |
VB脚本病毒工作原理、常见感染方式、专杀脚本编写 | |
Linux恶意脚本 |
执行原理、一般恶意脚本攻击方式、恶意脚本防治 | |
批处理脚本 |
批处理命令、简单批处理脚本 | |
邮件型病毒 |
Outlook邮件病毒 |
邮件型病毒传播方式、病毒工作原理、杀毒方法 |
蠕虫病毒 |
蠕虫仿真 |
蠕虫定义、蠕虫攻击原理、蠕虫专杀工具设计 |
病毒行为分析 |
病毒行为分析 |
认识病毒行为、病毒行为分析 |
Linux反病毒 |
ClamAV操作与使用 |
3.6方向五 容灾备份
Ø 教学任务
(1)掌握FAT32文件系统数据恢复;
(2)理解硬件数据恢复原理;
(3)掌握RAID理论与实践方法;
(4)了解双机热备理论。
Ø 实验任务
实验 |
练习 |
实验点 |
文件恢复 |
FAT32文件恢复 |
FAT32文件系统、学会手动恢复被删除的文件 |
Ext2文件恢复 |
Ext2文件系统、学会手动恢复被删除的文件 | |
RAID磁盘阵列 |
RAID基础 |
RAID 0、RAID 1、RAID 0+1、RAID 5、RAID 0+5 |
RAID应用 |
GRUB、Linux系统创建RAID1 | |
热备份 |
双机热备 |
双机热备技术 |
3.7方向六 无线安全
Ø 教学任务
(1)掌握无线网络搭建方法;
(2)无线网络通信基本安全措施;
(3)WEP安全模式分析与仿真实践。
Ø 实验任务
实验 |
练习 |
实验点 |
基础应用 |
WLAN通信 |
IEEE802.11g、WLAN、AP、基础结构模式、点对点模式 |
AP安全措施 |
无线认证 | |
安全方案 |
WEP安全模式 |
WEP数据加密与传送机制 |
3.8方向七 身份认证
Ø 教学任务
(1)了解面部识别原理,熟悉面部识别工作环境与应用;
(2)了解基于动态令牌的身份认证技术,熟悉动态令牌在行业中的应用。
Ø 实验任务
实验 |
练习 |
实验点 |
面部识别 |
面部识别检测 |
面部识别工作机理 |
面部识别登录系统 |
面部识别登录系统原理 | |
动态令牌应用 |
令牌初始化 |
挑战码动态令牌初始化操作 |
令牌基本管理 |
挑战码动态令牌基本操作,日志查看 | |
客户端认证 |
客户端认证过程 | |
用户自助力管理 |
用户自助功能及基本操作 | |
电子支付业务 |
动态令牌在电子支付业务中的应用流程 | |
转账汇款业务 |
动态令牌在转账汇款业务中的应用流程 | |
编程实验 |
对已有接口程序进行调用,并编写测试程序 |
著名黑客Kevin Mitnick在上世纪90年代让“黑客社会工程学”这个术语流行了起来,不过这个简单的概念本身(引诱某人去做某事,或者泄露敏感信息)却早有年头了。专家们认为,如今的黑客仍在继续采用黑客社会工程学的新老伎俩盗窃密码、安装恶意软件或者攫取利益。
实验 |
练习 |
实验点 |
敏感信息搜集 |
敏感信息搜集 |
社会工程学、信息搜集方法、如何保护个人敏感信息 |
钓鱼式攻击手法 |
钓鱼式攻击手法 |
钓鱼攻击原理、防范网络钓鱼 |
密码心理学攻击 |
密码心理学攻击 |
密码心理学概念、密码特征分析、密码猜解 |
安全细节问题 |
安全细节问题 |
信息安全中的细节问题、制定和实施企业安全计划 |
3.10课题类实验
Ø 教学任务
课题紧密围绕信息安全知识类实验内容,是对已有实验知识点的综合应用,以提高学生独立思维能力和创新能力为目标每个课题内容均能够保证20-40学时开课需要。
Ø 实验任务
课题 |
知识技能点 |
安全的信息传输工具 |
DES密码算法、RSA密码算法、MD5哈希函数算法、Diffie-Hellman密钥交换算法、密钥协商原理、文件安全传输、Windows MFC CSocket、CSocketFile类、Winsock网络编程 |
主动防御安全网关的架设 |
Iptables及其应用、Snort及其应用、snortsam及其应用、SSL安全套接层协议、Webmin的配置及应用、基于Webmin管理snort、Snortsnarf配置及应用 |
4.1教学安排
大学二、三、四年级信息安全课程实验。
4.2实验组织
每6名学生为一实验组,实验角色A~F,实验有1人、2人、3人进行。
4.3实验环境
主控中心平台
为构建信息安全实践操作环境提供硬件与软件支撑。该平台保证了系统用户数的有效扩展,同时为系统设备的实时管理提供支撑,并为学生机与实验系统通信提供服务。
管理信息系统
提供管理教师、授课教师和学生三种不同权限的用户,可以对实验室设备、实验内容、实验报告、考勤、成绩等进行管理,还可以自主扩充实验内容、灵活制定实验方案。
|
4.4实验指导
从理论与实践相互融合的角度出发,将原来在课堂上进行的授课内容移植到实验室中进行,实验操作与理论学习同步进行同步完成理论与实践的融会贯通。可独立授课。