張文勇++李維華++唐作其

摘要：信息安全等級保護是我國保障信息系統(tǒng)安全的根本制度，為了培養(yǎng)學(xué)生基本信息安全技術(shù)操作技能，使其具備運用信息安全等級保護知識分析信息系統(tǒng)安全風(fēng)險和編制符合信息安全等級保護要求的解決方案的能力，將信息安全等級保護內(nèi)容納入信息安全綜合實訓(xùn)教學(xué)，按信息安全等級保護標(biāo)準(zhǔn)體系構(gòu)建了信息安全專業(yè)綜合實訓(xùn)教學(xué)體系，并給出了具體的實施流程和方法。

關(guān)鍵詞：信息安全；等級保護；等級測評；實踐教學(xué)；綜合實訓(xùn)

DOIDOI：10.11907/rjdk.161717

中圖分類號：G434

文獻標(biāo)識碼：A文章編號文章編號：16727800（2016）009017303

基金項目基金項目：貴州省科技廳社發(fā)攻關(guān)項目（黔科合SY字2012-3050號）；貴州大學(xué)自然科學(xué)青年基金項目（貴大自青合字2010-026號）；貴州大學(xué)教育教學(xué)改革研究項目（JG2013097）

作者簡介作者簡介：張文勇（1973-），男，貴州臺江人，碩士，貴州大學(xué)計算機科學(xué)與技術(shù)學(xué)院講師，研究方向為網(wǎng)絡(luò)與信息安全；李維華（1961-），男，貴州貴陽人，貴州大學(xué)計算機科學(xué)與技術(shù)學(xué)院高級實驗師，研究方向為網(wǎng)絡(luò)與信息安全；唐作其（1980-），男，貴州興義人，碩士，貴州大學(xué)計算機科學(xué)與技術(shù)學(xué)院副教授，研究方向為信息安全保障體系。

0引言

信息安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法，開展信息安全等級保護工作是保護信息化發(fā)展、維護國家信息安全的根本保障，是信息安全保障工作中國家意志的體現(xiàn)。信息安全學(xué)科要求學(xué)生不僅要具備很強的理論知識，更應(yīng)具備較強的實踐能力。現(xiàn)階段很多高校在理論教學(xué)上有較好的培養(yǎng)方法和模式，學(xué)生具備良好的理論基礎(chǔ)，但在實踐教學(xué)中由于各課程的銜接和關(guān)聯(lián)較少，盡管部分學(xué)校開設(shè)了信息安全實訓(xùn)或信息安全攻防實踐等課程，但基本都是做一些單元實驗，僅局限于某一方面的技能訓(xùn)練，沒有從全局、系統(tǒng)的角度去培養(yǎng)學(xué)生綜合運用各種信息安全知識解決實際問題的能力[15]。從貴州大學(xué)信息安全專業(yè)畢業(yè)生就業(yè)情況調(diào)查反饋信息來看，絕大多數(shù)畢業(yè)生主要從事企事業(yè)單位的信息安全管理、信息安全專業(yè)服務(wù)等工作，少數(shù)畢業(yè)生從事信息安全產(chǎn)品研發(fā)，或繼續(xù)碩士博士深造，從事信息安全理論研究。用人單位普遍反映學(xué)生的基本理論掌握相對較好，但實際操作技能、綜合分析能力欠缺。為了解決目前這種狀況，筆者根據(jù)長期從事信息安全等級保護項目實施工作實踐，提出在信息安全專業(yè)的實踐教學(xué)環(huán)節(jié)中引入信息安全等級保護相關(guān)內(nèi)容。

1信息安全等級保護對學(xué)生能力培養(yǎng)的作用

信息安全等級保護工作包括定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查5個階段，信息系統(tǒng)安全等級測評是驗證信息系統(tǒng)是否滿足相應(yīng)安全保護等級的評估過程。信息安全等級保護的知識體系完善，信息安全等級保護測評人員的技術(shù)要求涵蓋多個方面，包括物理環(huán)境、主機、操作系統(tǒng)、應(yīng)用安全、安全設(shè)備等，因此國家對于信息安全等級保護人員的技術(shù)要求十分綜合和全面[3]。如參照信息安全等級保護專業(yè)人員的技術(shù)要求對學(xué)生開展信息安全綜合實訓(xùn)將滿足社會對信息安全專業(yè)人員的技能和知識結(jié)構(gòu)要求，主要體現(xiàn)在以下4個方面：①培養(yǎng)學(xué)生了解國家關(guān)于非涉密信息系統(tǒng)保護的基本方針、政策、標(biāo)準(zhǔn)；②培養(yǎng)學(xué)生掌握各種基本信息安全技術(shù)操作技能，熟悉各種信息系統(tǒng)構(gòu)成對象的基本操作，為將來快速融入到信息安全保護實踐工作奠定基礎(chǔ)；③培養(yǎng)學(xué)生具備從綜合、全面的角度去規(guī)劃、設(shè)計、構(gòu)建符合國家信息安全保障體系要求的信息安全防護方案能力；④培養(yǎng)學(xué)生建立信息安全等級保護的基本意識，在工作實踐中自覺按國家信息安全等級保護要求開展工作，有利于促進國家信息安全等級保護政策實施。

2實訓(xùn)教學(xué)知識體系

信息安全等級保護的相關(guān)政策和標(biāo)準(zhǔn)是信息安全實訓(xùn)教學(xué)體系建立的基本依據(jù)，GB/T 22239-2008《信息安全等級保護基本要求》在信息安全等級保護標(biāo)準(zhǔn)體系中起基礎(chǔ)性作用。信息安全等級保護基本要求充分體現(xiàn)了“全面防御，縱深防御”的理念，遵循了“技術(shù)和管理并重”的基本原則，而不同級別的業(yè)務(wù)信息系統(tǒng)在控制點要求項上的區(qū)別體現(xiàn)了“適度安全”的根本原則[6]。信息安全保護測評是信息安全等級保護的一項重要基礎(chǔ)性工作，GB/T 28449-2012《信息安全等級保護測評過程指南》是對等級測評的活動、工作任務(wù)以及每項任務(wù)的工作內(nèi)容作出了詳細(xì)建議，等級測評中的單元測評、整體測評、風(fēng)險分析、問題處置及建議環(huán)節(jié)體現(xiàn)了測評工程師對等保項目基本安全保障情況的綜合分析能力[610]。信息安全等級保護知識體系龐大，不可能兼顧所有方面，因而在信息安全實訓(xùn)教學(xué)知識體系制訂中采用兼顧全局、突出重點的基本原則；在實訓(xùn)教學(xué)知識體系的構(gòu)成中重點以《信息安全等級保護基本要求》和《信息安全等級保護測評過程指南》為基礎(chǔ)，包括基本理論培訓(xùn)、基本技能實訓(xùn)、安全管理培訓(xùn)、能力提高實訓(xùn)四大模塊；在實際操作中將重點放在基本技能實訓(xùn)和能力提高實訓(xùn)上。各實訓(xùn)模塊構(gòu)成及關(guān)系如圖1所示。

3實訓(xùn)教學(xué)實施

教學(xué)實施依據(jù)實訓(xùn)教學(xué)知識體系進行，教學(xué)方式采用集中課堂基本理論教學(xué)、在信息系統(tǒng)模擬平臺實施現(xiàn)場測評數(shù)據(jù)采集的基本操作實訓(xùn)和以信息安全等級保護測評報告的編寫為基礎(chǔ)的數(shù)據(jù)分析、數(shù)據(jù)整理、安全方案編寫實訓(xùn)。

3.1基本理論教學(xué)

該環(huán)節(jié)采用集中課堂教學(xué)方式，講解的主要內(nèi)容是信息安全等級保護政策和標(biāo)準(zhǔn)。講解深度上應(yīng)有所側(cè)重，講解重點包括：①信息安全等級保護基本要求中層面的劃分原則和依據(jù)、控制點的構(gòu)成、控制點中要求項的解讀；②信息安全保護過程指南中單元測評、整體測評、風(fēng)險分析、問題處置和建議等部分的解讀。

理論教學(xué)在突出重點的同時，兼顧全局，讓學(xué)生對信息安全等級保護制度和標(biāo)準(zhǔn)有一個完整、清晰的認(rèn)識。

3.2基本技能實訓(xùn)

基本技能實訓(xùn)環(huán)節(jié)主要是強化學(xué)生各種信息安全技術(shù)的基本操作訓(xùn)練。首先，應(yīng)根據(jù)最真實的企業(yè)內(nèi)部環(huán)境搭建符合信息安全等級保護要求的模擬信息系統(tǒng)，并編寫好對應(yīng)的信息安全等級保護現(xiàn)場測評指導(dǎo)書；然后，指導(dǎo)學(xué)生在模擬系統(tǒng)上進行現(xiàn)場測評實訓(xùn)，實訓(xùn)過程按信息安全等級保護現(xiàn)場測評指導(dǎo)書要求進行，實訓(xùn)內(nèi)容以獲取信息系統(tǒng)安全配置和運行狀態(tài)等原始數(shù)據(jù)為基礎(chǔ)?；炯寄軐嵱?xùn)模塊包括網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)備份及恢復(fù)、自動化工具掃描這5個層面的訓(xùn)練項目。

（1）網(wǎng)絡(luò)安全。學(xué)生在模擬平臺上開展各種主流的網(wǎng)絡(luò)設(shè)備和安全設(shè)備的基本操作訓(xùn)練，要求學(xué)生理解網(wǎng)絡(luò)設(shè)備和安全設(shè)備的安全功能及安全設(shè)置，掌握設(shè)備的運行狀態(tài)和信息數(shù)據(jù)采集方法。

（2）主機安全。學(xué)生在模擬平臺上開展各種主流系統(tǒng)軟件基本操作訓(xùn)練，包括操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件等，要求學(xué)生理解各種系統(tǒng)軟件的安全功能和安全設(shè)置。通過本環(huán)節(jié)的實訓(xùn)，學(xué)生應(yīng)具備系統(tǒng)軟件安全配置核查和運行狀態(tài)信息采集能力。

（3）應(yīng)用安全。學(xué)生在模擬平臺上對所安裝的主流商用應(yīng)用軟件和自主開發(fā)軟件進行安全配置核查和安全功能驗證訓(xùn)練，要求學(xué)生理解應(yīng)用軟件的安全功能設(shè)計要求，掌握應(yīng)用軟件的安全配置核查和安全功能驗證方法。

（4） 數(shù)據(jù)備份和回復(fù)。通過模擬系統(tǒng)的磁盤冗余陣列進行基本操作訓(xùn)練，讓學(xué)生了解磁盤冗余陣列的驗證方法；通過訓(xùn)練學(xué)生在操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)上配置計劃備份任務(wù)，使其理解系統(tǒng)軟件的數(shù)據(jù)備份安全功能，掌握系統(tǒng)軟件的備份操作計劃配置和驗證方法。

（5）自動化工具掃描。學(xué)生利用主流的開源掃描工具和商用的掃描工具對模擬系統(tǒng)上的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器主機等進行掃描，獲取信息系統(tǒng)主要軟硬件的漏洞，并驗證系統(tǒng)的脆弱性。本部分獲取的原始數(shù)據(jù)作為（1）、（2）、（3）部分的補充，通過本環(huán)節(jié)培訓(xùn)學(xué)生整理和分析漏洞掃描結(jié)果以及初步驗證漏洞真實性的能力。

3.3能力提高實訓(xùn)

在學(xué)生掌握信息系統(tǒng)安全配置和運行狀態(tài)數(shù)據(jù)采集的基本技能后實施能力提高實訓(xùn)，本模塊主要培訓(xùn)學(xué)生對原始數(shù)據(jù)的分析、整理，并編寫信息安全等級保護測評報告的能力。能力提高實訓(xùn)模塊主要包括單元測評、整體測評、風(fēng)險分析、問題處置和安全建議4個項目，各項目之間的關(guān)系流程如圖2所示。

（1）通過基本技能實訓(xùn)獲取到原始數(shù)據(jù)后，根據(jù)信息安全等級保護測評過程要求整理、分析原始數(shù)據(jù)，開展單元測評，并給出各單元層面內(nèi)控制點中檢查項的符合性，分析并給出單元測評結(jié)果，按信息安全等級保護報告模板編寫單元測評報告。

（2）在完成單元測評后，由于單元測評參照的信息相對獨立，未考慮原始數(shù)據(jù)間的關(guān)聯(lián)性，而實際信息系統(tǒng)的最終安全防護效力和面臨的風(fēng)險是信息系統(tǒng)安全控制點間、安全層面間、安全區(qū)域間各組成要素共同作用的結(jié)果，因此在完成單元測評后還應(yīng)該進行整體測評。整體測評主要是考慮單元測評中的各控制點間、安全層面間、安全區(qū)域間存在某種關(guān)聯(lián)性，這種關(guān)聯(lián)會對信息系統(tǒng)整體的安全防護效力、面臨的風(fēng)險具有降低或增加的作用，應(yīng)從整體角度對信息系統(tǒng)安全的狀態(tài)進行修正。

（3）風(fēng)險分析結(jié)果是制訂信息安全系統(tǒng)防護措施的重要依據(jù)，風(fēng)險分析能力是體現(xiàn)信息安全工程師水平的一項重要指標(biāo)。在風(fēng)險分析實訓(xùn)項目中結(jié)合單元測評和整體測評結(jié)果利用風(fēng)險分析計算工具對信息系統(tǒng)面臨的風(fēng)險等級大小進行定性或定量的分析計算，并編寫風(fēng)險分析報告。

（4）確定信息系統(tǒng)存在的風(fēng)險后，接著應(yīng)分析引起信息系統(tǒng)風(fēng)險的因素，對不可接受風(fēng)險因素或不能滿足等級保護要求的安全防護項提出完整的問題處置和整改建議。問題處置和整改建議環(huán)節(jié)要求信息安全工程技術(shù)人員具備扎實理論知識的同時還具備相當(dāng)豐富的實踐經(jīng)驗，工程技術(shù)人員必須熟悉信息安全的各種防護技術(shù)和目前市場上相關(guān)的信息安全軟硬件安全產(chǎn)品。因此，本實訓(xùn)項目主要是訓(xùn)練并提高學(xué)生綜合運用信息安全技術(shù)解決實際問題的能力。

4結(jié)語

在信息安全專業(yè)的實踐教學(xué)中引入信息安全等級保護內(nèi)容，實訓(xùn)教學(xué)知識體系完全參照信息安全等級保護要求來構(gòu)建，信息安全等級保護知識體系完善，保證了實訓(xùn)內(nèi)容的廣度和深度。通過信息安全等級保護現(xiàn)場測評環(huán)節(jié)訓(xùn)練學(xué)生的信息安全技術(shù)基本操作技能，通過信息安全等級保護測評報告的編制訓(xùn)練學(xué)生運用信息安全等級保護基本知識、理論和方法去分析信息系統(tǒng)存在的漏洞、面臨的安全風(fēng)險，并編制符合信息安全等級保護要求的安全防護方案，提高學(xué)生綜合運用信息安全技術(shù)解決實際問題的能力，較好地滿足了社會對信息安全人才的需求，深受信息安全等級保護技術(shù)服務(wù)機構(gòu)和已開展或擬開展信息系統(tǒng)安全等級保護的企事業(yè)及機關(guān)單位的歡迎，為學(xué)生畢業(yè)后盡快適應(yīng)工作要求奠定了基礎(chǔ)。

由于實驗環(huán)境的限制，所制訂的基于信息安全等級保護的實訓(xùn)教學(xué)知識體系仍存在以下3點不足：①實訓(xùn)教學(xué)體系未涉及虛擬化、云計算、物聯(lián)網(wǎng)安全實訓(xùn)，而這些是當(dāng)前發(fā)展較快且正被廣泛運用的信息技術(shù)；②由于滲透測試對測試環(huán)境搭建和學(xué)生基本技能要求較高，因而實訓(xùn)教學(xué)體系中并未涉及滲透測試項目；③信息安全管理在信息安全防護工作中是非常重要但卻最容易被忽視的工作內(nèi)容，可以說一個組織的信息安全管理水平高低直接決定其信息系統(tǒng)的安全防護能力。因為安全管理測評基本上采用的是制度類、證據(jù)類、記錄類文檔性資料的核查和訪談，而在實訓(xùn)中難以模擬一個完整的安全管理體系實際案例，所以在實訓(xùn)中安全管理部分更多地是采用課堂教學(xué)講解，沒有操作實訓(xùn)。 這些在后續(xù)教學(xué)實踐工作中都有待改進。

參考文獻參考文獻：

[1]楊冬曉，嚴(yán)曉浪，于慧敏.信息類特色專業(yè)建設(shè)的若干實踐[J].中國電子教育，2010（1）：3945.

[2]田秀霞.創(chuàng)新實踐項目驅(qū)動的信息安全專業(yè)教學(xué)改革[J].計算機教育，2015（23）：3033.

[3]張勝生，呂緒銀.基于信息安全場景下的等級保護技術(shù)人才培養(yǎng)模式研究[C].第二屆全國信息安全等級保護測評體系建設(shè)會議論文集，2012：8385.

[4]李琳，陳東方，李濤，等.信息安全專業(yè)實踐教學(xué)體系研究[J].電腦知識與技術(shù).2014，10（35）：85148515.

[5]蔣煒.信息安全等級保護培訓(xùn)探討[J].現(xiàn)代企業(yè)研究，2015（2）：64.

[6]公安部信息安全等級保護評估中心.信息安全等級保護政策培訓(xùn)教程[M].北京：電子工業(yè)出版社，2015.

[7]公安部信息安全等級保護評估中心.信息安全等級測評師培訓(xùn)教程（中級） [M].北京：電子工業(yè)出版社，2015.

[8]公安部信息安全等級保護評估中心.信息安全等級測評師培訓(xùn)教程（初級） [M].北京：電子工業(yè)出版社，2015.

[9]國家質(zhì)量監(jiān)督檢驗檢疫總局、國家標(biāo)準(zhǔn)化管理委員會. GB/T284882012.信息系統(tǒng)安全等級保護測評要求[S].北京：中國質(zhì)檢出版社，中國標(biāo)準(zhǔn)出版社，2012.

[10]國家質(zhì)量監(jiān)督檢驗檢疫總局，國家標(biāo)準(zhǔn)化管理委員會. GB/T 284492012.信息系統(tǒng)安全等級保護測評過程指南[S].北京：中國標(biāo)準(zhǔn)出版社，2012.

責(zé)任編輯（責(zé)任編輯：孫娟）