摘要:信息安全专业人才的培养是国之所需,迫在眉睫,举足轻重,紧系未来。近年来,信息安全学科经历了从无到有,从小到大,现已步入快速发展阶段。本文对信息安全学科体系以及当前我国高校信息安全专业设置状况进行了阐述,重点给出应用型信息安全专业的课程设置情况。
关键词:信息安全;信息系统;学科建设
中图分类号:TP309 文献标识码:A 文章编号:1001-828X(2014)06-00-02
信息安全是我国重点发展的新兴交叉学科,与政府、军队、金融、制造、企事业部门和行业息息相关,具有广阔的发展前景。
一、信息安全相关概念
1.信息系统
信息系统是与信息加工、传递、存贮以及利用等有关的系统。由于现代计算机技术与通信技术的发展,使信息系统的处理能力得到飞速提升,所以现在讲信息系统一般指人、机共存的系统。
2.信息安全
从目标保护的角度对信息安全的定义有两种,其一是ISO17799的定义:“信息安全是使信息避免一系列威胁,保障商务的连续性,最大限度地减少商务损失,虽大限度地获取投资和商务回报,涉及的是机密性、完整性、可用性。”其二是国际标准化委员会的定义:“为数据处理系统而采取的技术和管理的安全保护,保护计算机硬件、软件、数据不因偶然或恶意的原因遭到破坏、更改、泄露。”
从作用点的角度对信息安全也有两种定义,一个是国标《计算机信息系统安全保护等级划分准则》:“计算机信息人机系统安全的目标是着力于实体安全、运行安全、信息安全和人员安全维护。安全保护的直接对象是计算机信息系统,实现安全保护的关键是人。”二是部标《计算机信息系统安全专用产品分类原则》:“本标准适用于保护计算机信息系统安全专用产品,涉及实体安全、运行安全和信息安全三个方面。”
在ITU-X.800标准中还给出了信息安全的五个属性:机密性、完整性、可用性、真实性和不可抵赖性。
3.信息安全面临的主要威胁
信息安全面临的威胁来自方方面面,梳理一下,主要有以下几个方面:(1)信息泄露;被保护信息被透漏给非授权实体。(2)破坏完整性;信息被非授权实体做了修改、破坏或删除。(3)拒绝服务;授权实体对信息或资源的合法访问被拒绝。(4)非授权访问;信息或资源被非授权实体,或者以非授权的方式被使用。(5)业务流分析;对系统进行长期监听,分析系统通信频度、信息流向、通信总量的变化等参数,从而发现有价值的信息或规律。(6)授权侵犯;授权实体因其他非授权目的使用系统和资源。(7)计算机病毒;它是在计算机系统运行过程中实施传染和侵害的程序,其行为类似病毒。(8)信息安全法规的不完善;因相关法律还很不完善,这给信息破坏分子以可乘之机。
二、信息安全学科研究重心
信息安全学科无疑是一门新兴的交叉学科,它不仅涉及数学、计算机科学、通信学等自然科学,也涉及法律、心理学等社会科学。信息安全学科涉及领域广泛,其内涵也紧随信息应用领域的扩大而不断丰富。就信息安全技术的发展来看,目前将信息安全技术分为基础安全技术和应用安全技术,所以信息安全学科研究的重心也分别是信息安全基础研究、信息安全应用研究和信息安全管理研究。
1.信息安全基础研究
(1)密码理论。1)数据加解密。数据加密是通过加密算法和加密秘钥将明文转变为密文的过程;解密则是通过解密算法和解密秘钥将密文恢复为明文。通常加密方法有对称秘钥和公开秘钥两种,最著名的对称秘钥算法是DES,当安全性要求更高时,还可采用IDEA或三重DES对称秘钥加密;使用最多的公开秘钥算法是RSA,它的加密强度很高。2)消息摘要。消息摘要一对一地对应一个消息,消息摘要长度固定,是由单向Hash函数对消息或者文本进行运算而得到的。如果原消息或者文本在传递过程中被修改,接受者对接收到的消息做Hash函数将不能得到相同的消息摘要,因此消息摘要可保证消息或者文本的完整性。3)数字签名。数字签名通过公钥加密领域的技术来实现,它类似于纸质的普通物理签名。一套数字签名通常定义两种互补算法,一个用于签名,另一个用于验证签名。
(2)安全理论。1)身份认证。身份认证分为用户与主机间认证和主机与主机间认证,它是确认操作者身份的过程。用户与主机间的认证方式包括:口令、密码、印章、智能卡、指纹、声音、视网膜、签名、笔迹等。2)授权访问控制。授权时资源拥有者或控制者授予他人访问此资源的权限。这些资源可包括信息资源、计算资源、通信资源和物理资源。当前普遍采用五种访问控制模式:自主访问控制、强制访问控制、基于角色的访问控制、基于任务的访问控制及使用控制。3)审计与追踪。审计与追踪是对系统、应用和用户活动所产生的一系列安全事件进行记录和分析。通常对审计和追踪技术有五个方面的基本要求,一是能自动采集所有与安全箱管的活动信息;二是要采用标准的统一格式记录信息;三是能自动建立和存储审计信息;四是在一定的安全机制下保护审计记录;五是审计与追踪要尽量不影响系统本身运行性能。4)安全协议。通常把国际组织制定的具有安全功能的协议称为安全协议,安全协议区别于其他通信协议的显著特点是采用了密码技术。
2.信息安全应用研究
(1)安全技术。1)防火墙技术。防火墙最初是因为Internet网不安全而采取的保护措施,它是位于计算机和网络间的一套软件或硬件,就是在内外网之间部署一套网络屏障,来阻挡外网的不安全因素。防火墙由服务访问政策、验证工具、包过滤和应用网关四部分组成。2)漏洞扫描技术。漏洞扫描通常采取两种方法对目标系统进行检查,判断是否有漏洞存在。一种是通过对目标主机端口及网络服务的扫描,将扫描结果与漏洞库进行匹配,判断是否存在匹配的漏洞;另一种是模拟黑客攻击的手法,对目标主机进行攻击,若攻击成功,则判断系统存在漏洞。3)入侵检测系统。入侵检测系统对检测目标进行实时监视,一旦发现可疑传输立刻发出警报或采取主动防护措施,是一种积极主动的安全防护技术。4)反恶意代码技术。恶意代码包含的种类很多,主要类型有计算机病毒、网络蠕虫、特洛伊木马、后门、DDos程序、僵尸程序、Rootkit、黑客攻击工具、间谍软件、广告软件、垃圾邮件和弹出窗体程序等。典型的反恶意代码技术有特征码技术、虚拟机技术、启发扫描技术、行为监控技术、主动防御技术和病毒疫苗等。
(2)平台安全。1)物理安全:涉及在物理层面上保护企业资源和敏感信息所遭遇的威胁、所存在的缺陷并采取相应对策。2)网络安全:无论在公用或私有的网络中都要保证信息传送的保密性、完整性、可用性、身份可验证性。3)系统安全:对整个系统和系统全寿命期各个阶段活动,都要保证安全的工程措施和管理措施,以达到消除风险和将风险控制到可接受水平。4)数据安全:存在多个层次的数据安全,如运算安全、技术安全、存储安全、产品和服务安全以及制度安全等。数据安全不仅关系到个人隐私和企业商业秘密,更直接影响国家安全。5)用户安全:包括账户管理、登录模式、访问权限管理等。6)边界安全:主要包括安全边界保护协议和模型、边界安全审计。
3.信息安全管理研究
(1)安全策略研究。信息安全策略是一组规则,定义了要实现的安全目标和途径。信息安全策略分为两个部分,基本策略和功能策略,基本策略描述所关心的安全领域和对这些领域内安全问题的看法。功能策略描述如何解决所关心的问题,包括制定具体硬件和软件配置规格、使用何种策略以及员工的行为策略。
(2)安全标准研究。信息安全标准化是国家信息安全保障体系建设的重要组成部分,对于保证安全设备的正常运转,并能在此基础上保证国民经济和社会管理等领域中信息系统的安全运行和信息自身安全具有重要意义。
(3)安全测评研究。安全测评通常是由具备检测技术能力并被政府授权的权威机构,依照国家标准、行业标准、地方标准或相关技术规范,按严格程序对信息系统的安全保障能力进行科学、公正的综合测试评估活动。具体业务有:信息系统安全等级测评、信息系统安全风险评估、信息系统安全验收测评、信息系统渗透测试、信息系统源代码安全审查、涉密信息系统安全保密测评、政务外网接入测评和综合性能测试等。
三、我国信息安全类专业设置状况
目前,我国近百所高校已经根据自身实际情况设置了信息安全专业,这些信息安全专业分为两类,一类是研究性信息安全专业,主要以培养从事信息安全领域的研究开发工作为主;另一类是应用型信息安全专业,主要以培养从事信息安全领域的应用服务工作为主。以下主要对从事信息安全领域的应用服务工作为主的专业做一阐述。
1.应用型信息安全专业基础知识
(1)信息科学基础知识。包括离散数学、数据结构、程序设计语言、操作系统、计算机网络、数据库管理系统、通信系统和软件工程等。
(2)信息安全基础知识。包括信息安全导论、信息安全数学基础、信息安全法律基础和信息安全管理基础等。
(3)信息系统安全基础知识。包括计算机设备安全、操作系统安全、数据库系统安全、防火墙技术、入侵检测系统、VPN技术、安全扫描技术、Web安全和电子商务安全等。
(4)信息隐藏基础知识。包括隐写术概念、隐写方法、数字水印原理、数字水印算法、数字水印检测和Internet版权与水印。
2.应用型信息安全专业实践能力
(1)编程语言及小型机软件实践能力。包括语言及编程实践能力、编程环境实践能力及小型软件实践能力等。
(2)基础软件实践能力。包括常用操作系统的安全配置和应用能力、常用数据库的安全配置能力和应用等。
(3)计算机安全实践能力。包括计算机组装配置和维护能力、漏洞扫描软件的应用能力和智能卡应用能力等。
(4)密码学实践能力。包括文件的加解密、邮件加密、签名软件和常用信息隐藏软件的应用能力等。
(5)网络安全实践能力。包括常用网络设备的配置与使用、常用网络安全设备的安装与配置、恶意软件的查杀、垃圾邮件的拦截与处理、网络数据包的捕获与分析、网络安全整体规划与实现、PKI及网络安全协议的实现。
四、结语
近年我国信息安全产业发展迅猛,同时,为对庞大的互联网虚拟空间进行有效管理,信息安全专业人才的需求变得极为迫切。尽管当前信息安全专业的学科建设尚不完善,存在不少争义点,但信息安全专业人才的培养国之所需,迫在眉睫,举足轻重,紧系未来,这是所有人的共识。
参考文献:
[1]丁雷.地区级民用领域信息安全人才建设调查分析及对策[J].中国人力资源开发,2013(04).
[2]阎雯.司法警官类院校人才培养探究[J].吕梁教育学院学报,2012(02).
[3]李刚.“科班”制造——信息安全人才培养之道[J].中国信息安全,2010(12).
[4]杨勇,王国胤,陈龙.信息安全专业课程群建设探讨[J].科学咨询,2009(04).
[5]张淑清.对网络安全人才培养模式的几点思考[J].广西警官高等专科学校学报,2009(03).
作者简介:白云波(1970-),女,陕西人,本科,副教授,研究方向为信息安全、数据库、信息系统、网络存储。