摘要:信息安全管理是信息安全专业的专业基础课,是建构信息安全保障专业知识体系的核心,是信息安全技术、信息安全工程课程的知识延伸课程,是培养学员信息安全管理能力的必修课,为学员从事信息安全管理工作奠定知识和能力基础。本文主要从课程内容体系建设、课堂教学方法与手段、实验教学和课程考核方式四个方面对课程建设进行改革探索,激发了学员的学习兴趣和积极性,提高了本校信息安全管理课程的教学效果,为建设《信息安全管理》精品课程提供思路和方法。
关键词:信息安全管理;课程建设;激发兴趣
G642.2
一、引言
信息安全是国家安全的基础和关键,信息安全保障能力已成为21世纪综合国力、经济竞争实力和民族生存能力的重要组成部分,尤其在军事领域,信息安全理论与技术的应用,更加广泛而深入。随着信息安全理论与技术的发展,信息安全保障的概念得以提出并得到一致认可,而在信息安全保障的三大要素(人员、技术、管理)中,管理要素的作用和地位越来越得到重视。为适应新时期军事斗争准备的需要,培养适应未来战争需要的高素质复合型信息安全技术人才,我校在信息安全专业开设《信息安全管理》课程。本课程是信息安全专业的专业必修课。
二、课程特点
“信息安全管理”课程与其他课程相比较有很明显的不同,具体说有如下几点:
(1)信息安全管理是随着信息和信息安全的发展而发展起来的,因此该课程涉及到密码学、计算机网络与通信、信息安全技术等多门课程,不存在单一的基础理论来解释信息安全管理各部分的内容及关系,要求学员具有一定的密码学、计算机和信息安全方面的理论知识。
(2)该课程的知识体系与内容既涉及到规范性的标准、法律、法规等内容,又涉及到更新速度较快的新技术。因此本课程要处理好较固定的标准和变化快的新技术之间的关系。
(3)本课程教学注重理论性和实践性相结合。以实践驱动理论学习,以理论学习指导实践。能够拟定简单的信息安全管理解决方案,应用信息安全管理手段构建简单的信息安全管理体系,解决实际安全问题。
三、课程建设目标
针对信息安全专业人才培养需求,结合云计算、大数据、态势感知等新技术的发展趋势,吸收信息安全管理新型案例、科研成果、国家标准等素材,更新优化课程教学内容,修订课程标准。遵循高等教育教育学规律,改革教学方法和手段,使之适应本科教学的规律。分析传统的考核评价机制,改革课程考核方式,激励学员学习的积极性和主动性,力争将本课程建设为校级精品课程。
四、课程建设内容改革与探索
本课程的教学坚持以人为本、以学为主、注重创新意识和综合素质培养的指导思想,坚持将对知识、能力、素质的培养融为一体,将信息安全管理知识学习与实际应用相结合,提高学员获取吸收知识的能力、运用知识的能力,以及实践创新能力。本文主要从教学内容、教学方法、教学实践、考核方式等方面对信息安全管理课程建设内容进行改革与探索。
(1)基于信息安全管理新技术,加强课程内容体系建设
随着云计算、大数据、态势感知等新技术的快速发展,对信息安全管理课程提出了许多新的挑战。本课程教学以信息安全管理基本理论为基础,以信息安全管理体系为内容框架,介绍信息安全管理体系的各项内容及其实施方法,并紧扣学科发展前沿,获取信息安全管理领域的新知识、新信息,将云计算、大数据、网络态势感知等新知识、新技术融入教学内容,不断更新教学内容。
本课程教学按照由浅入深,由总体到部分,从信息安全管理的内涵、作用和地位入手,逐步引入信息安全管理体系的基本概念、构建方法及其实施过程,重点阐述信息安全策略管理、信息安全风险管理、系统安全运维、云计算的安全管理等方面的一般管理方法与技术手段。课程实施过程主要包括:信息安全管理体系、信息安全策略管理、信息安全风险管理、信息系统安全运维和云计算信息安全管理五个单元。
信息安全管理体系单元主要包括:信息安全管理模型;基于ISO/IEC 27000信息安全管理体系的内容框架、构建过程、审核与认证;基于等级保护的信息安全管理体系标准,等级保护控制关键点,等级保护安全支撑平台构建方法,跨级跨系统等级保护方法等内容。
信息安全策略在整个信息安全管理中的占有重要地位。从信息安全领域中发生的事件来看,信息安全策略的核心地位变得越来越明显。信息安全策略管理单元主要包括:信息安全策略管理的内涵、作用与地位;信息安全策略的分类;信息安全策略的规划与设计、管理与实施的基本思想、技术与方法等内容。
风险是信息安全中的基本概念,只有在正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。因此必须深刻地认识到我们所面临的风险,加强对信息系统的风险评估,采取有效的风险管理从而降低、避免、规避风险,为信息系统的安全建设提供支撑。信息安全风险管理单元主要包括:信息安全风险管理内涵及相关基本概念;信息安全风险管理的内容和过程;信息安全风险评估的目的和意义;信息安全风险评估的实施过程、方法与技术;信息安全风险度量的基本原理;信息安全风险控制的基本原理与方法等内容。
随着信息安全管理体系和技术体系在企业领域的信息安全建设中不断推进,占信息系统生命周期70%-80%的信息安全运维体系的建设已经越来越受到人们的重视。信息安全运维管理单元主要包括:信息安全运维发展历程;信息安全运维定义;信息安全运维体系构建方法;信息安全运维技术等内容。
应对云时代的安全风险,确保数据的安全可靠,规避信息泄露的风险,需遵循信息安全管理体系的基础逻辑,为承载云计算应用的信息系统建立一套完善的云计算信息安全管理体系。云计算信息安全管理单元主要包括:云计算面临的信息安全问题;云计算信息安全管理标准;云计算安全管理方法和模型;云计算风险评估的特点和方式;云计算的风险控制措施;云计算环境的信息安全管理體系构建方法等内容。
(2)采用多模式融合教学模式,逐步改革课堂教学方法与手段
为了贯彻素质教育、创新教育的思想和教为主导、学为主体的思想,《信息安全管理》课程是集理论、技术、工程实践为一体的综合性工科类学科。根据该课程的教学特点,将讲授、案例式、启发式、问题式、任务驱动式、研讨式、微课、微信学习等多种教学模式相结合,形成一种多模式融合的教学方法,充分激发学生学习的积极性和主动性,提高教学质量。
多模式融合教学方法在教学实施过程中分阶段分模式进行,主要分为以下四个阶段:
第一个阶段,启发式和问题式相融合教学阶段。该阶段主要由教员引导学员从需求出发,通过启发式和问题式教学方法,为学员设置问题场景,启发学员找出需要解决的问题,从而使学员明确学习目标,便于后续学习任务的开展。
第二阶段,讲授式和案例式相融合阶段。该阶段教员主要采用讲授式和案例式等教学方法,对课程中存在的各种定义、体系、模型、内涵等知识点进行讲解,由于这些内容具有理论性强、概念抽象等特点,教员在讲授的过程中不仅要准确解释各个基本概念,清晰阐明基本概念的内涵和相互联系。还需结合具体的案例,力求将抽象概念形象化、具体化,以加深学员对信息安全管理基本概念的理解。
第三个阶段,任务驱动式和研讨式相融合教学阶段。该阶段教员结合实际应用部署具体任务,学员以任务为目标,通过分组研讨逐一解决遇到的问题,最终通过完成任务达到主动学习、深刻理解、灵活应用信息安全管理技术和方法的目的。
第四个阶段,微课和微信方式相融合阶段。该阶段教员首先将课程中关键的知识点以微课的形式,录制成小视频。然后以微信的方式建立学习小组微信群,教员可以通过在课前或课后在群中发布微课视频,布置预习内容,开展群讨论等方式帮助学员进行预习和复习。于此同时,教员还可以通过微信群进行答疑和成果验收。
(3)强化实验教学,进一步完善、丰富实验内容
《信息安全管理》实验教学是巩固信息安全管理基本理论知识、提高学员信息安全技术应用能力、掌握信息安全管理基本方法和手段的有效途径和重要环节,在《信息安全管理》教学中具有重要作用。
实验教学安排遵循“巩固课堂教学知识,突出实践能力培养”的指导思想,坚持技术验证性实验与综合设计性实验相结合的原则。在内容安排上,对原有的实验内容进行适当的调整,结合信息安全管理新理论和新技术,进一步完善和丰富实验内容。实验涵盖等级保护平台搭建、等级保护验证核查、终端安全核查、风险评估、安全运维方案设计和云端数据安全审计等安全管理中具有代表性的实验,实验成果有实验分析报告、程序设计报告、程序代码、环境搭建等多种形式。
通过实验项目,培养学员基本的信息安全管理实验操作技能和实验思维方法,通过实验验证加深对信息安全管理的理解,培养运用所学知识解决信息安全管理问题的能力,扩展实际应用中信息安全管理实施方案的设计能力,提升信息系统综合安全防御的素养。
(4)探索课程考核方式改革,建立全方位考核机制
通过课程考核考察学员掌握知识和具备能力的情况,检查教学效果,改进教学工作,提高教学质量。因此,对课程考核评价方式的改革与探索也是教学方法改革中的一个重要环节。结合《信息安全管理》课程考核要求,在原有笔试考试的基础上,增加实验成绩,阶段性测试和过程性测试,逐步建立全过程、全方位考核机制。在考核时机上,采用平时考核、阶段性考核和课终考核;在考核形式上,采取笔试、课堂问答、论文研讨、小组汇报、实践操作等方式;在成绩总评分上,期末笔试成绩占60%,平时成绩占20%,实验成绩占20%。基本达到了对学生理论知识、应用能力、方案设计、工程实践等全方位的考核。
五、结束语
为了建设好《信息安全管理》课程,教学团队一方面持续跟踪国内外最新的信息安全管理相关技术的最新研究成果,及时消化吸收,转化到教学内容建设中;一方面持续关注相关课程建设的最新研究进展,借鉴吸收先进的教学理念与方法。从而不断改革教学内容、教学方法和教学手段,保持信息安全管理课程建设各个方面的先进性和新鲜性。与此同时,随着MOOCs(MassiveOpen Online Course,大规模开放在线课程)教学模式已成为高等教育发展的新趋势,本课程下一步结合《信息安全管理》课程的特点,尝试将MOOCs教学模式与现有教学模式相融合,取长补短充分发挥各自的优势,进一步提高《信息安全管理》课程的教学质量和教学效果。
参考文献:
[1]赵刚.“信息安全管理与风险评估”课程建设思考.中国电力教育.2014.
[2]张晓峰.信息安全课程教学方法探索.电脑知识与技术.2014
[3]姚利民,段文彧.高校教学方法改革探讨.中国科学大学.2013
[4]徐东华,封化民.信息安全管理的概念与内容体系探究.2008
[5]程鹏,陈云,李贤勇等.信息安全管理浅析.科技创新导报.2009.
作者简介:孙奕(1979年10月)女、解放军信息工程大学、河南郑州、博士、讲师、研究方向為信息安全。
