大審計(jì)平臺(tái)上信息安全實(shí)驗(yàn)課程建設(shè)

韓志耕，陳 耿

(南京審計(jì)學(xué)院信息科學(xué)學(xué)院，江蘇南京 210029)

0 引言

“信息安全”課程涉及到數(shù)學(xué)、計(jì)算機(jī)科學(xué)與技術(shù)、信息與通信工程等多個(gè)領(lǐng)域，具有理論性強(qiáng)、應(yīng)用廣泛和知識(shí)面寬的特點(diǎn)。但是當(dāng)前的“信息安全”實(shí)驗(yàn)教學(xué)存在許多不盡人意的現(xiàn)象，主要表現(xiàn)在:①實(shí)驗(yàn)體系亟待規(guī)范，授課模式有待改進(jìn);②配套教材雜亂，實(shí)用教材匱乏;③專業(yè)特色缺失，實(shí)驗(yàn)內(nèi)容單調(diào);④課程實(shí)施放任自流，考核過程缺失標(biāo)準(zhǔn)。上述現(xiàn)象的存在給信息安全人才培養(yǎng)帶來了極大的負(fù)面影響。

針對上述現(xiàn)象，本文通過探索我院信息安全實(shí)驗(yàn)課程的建設(shè)，給出解決信息安全實(shí)驗(yàn)教學(xué)專業(yè)特色缺失現(xiàn)象的有效方法，以期為上述共性現(xiàn)象的最終消除提供范例。

1 實(shí)驗(yàn)課程建設(shè)概貌

1.1 課程角色定位

大審計(jì)平臺(tái)是我院依據(jù)國家對審計(jì)行業(yè)需求和學(xué)校自身?xiàng)l件所構(gòu)建的以審計(jì)為品牌。它以經(jīng)濟(jì)為基礎(chǔ)，以管理為主體，經(jīng)、管、法、文、理和工等多學(xué)科協(xié)同支撐的人才培養(yǎng)框架［2］。作為該平臺(tái)服務(wù)目標(biāo)的審計(jì)行業(yè)是一種行為及數(shù)據(jù)皆敏感的行業(yè)，其對信息安全的關(guān)注程度要遠(yuǎn)遠(yuǎn)高于其它行業(yè)。從當(dāng)前以計(jì)算科學(xué)和互聯(lián)網(wǎng)絡(luò)等為技術(shù)特征的審計(jì)信息化進(jìn)程來看，一切審計(jì)實(shí)務(wù)的可信性、可控性和可審性均離不開信息安全技術(shù)的支撐?；谝陨峡紤]，我院將“信息安全”實(shí)驗(yàn)課程作為大審計(jì)平臺(tái)的專業(yè)主干課程，隸屬于計(jì)算機(jī)審計(jì)特色專業(yè)。從圖1中可以看出，信息安全實(shí)驗(yàn)課程的開設(shè)對于該平臺(tái)內(nèi)的其它課程具有積極的聯(lián)動(dòng)意義。

圖1 課程角色定位

1.2 課程建設(shè)方法

我們以凸顯本課程專業(yè)特色為切入點(diǎn)，給出了溶審計(jì)實(shí)務(wù)與信息安全實(shí)驗(yàn)于一體的課程建設(shè)方法。具有如下要點(diǎn)。

(1)在實(shí)驗(yàn)體系與教學(xué)模式上，采用縱向階梯式實(shí)驗(yàn)體系取代橫向平面式實(shí)驗(yàn)體系，用實(shí)驗(yàn)驅(qū)動(dòng)理論學(xué)習(xí)的模式取代理論學(xué)習(xí)拖動(dòng)實(shí)驗(yàn)的模式，變被動(dòng)平面吸納為主動(dòng)縱向研究;

(2)在配套教材與專業(yè)特色上，以信息安全技術(shù)為基礎(chǔ)，以大審計(jì)平臺(tái)為框架，以經(jīng)典審計(jì)實(shí)務(wù)為主線，參考實(shí)用的教材自行編制實(shí)驗(yàn)指導(dǎo)書;

(3)在實(shí)驗(yàn)監(jiān)督與任務(wù)考核上，規(guī)范監(jiān)督制度，明確考核模式、考核權(quán)重、考核內(nèi)容及考核程序，確?？己诉^程的可控性，以及考核結(jié)果的可信性;

(4)在實(shí)驗(yàn)環(huán)境與配套設(shè)施上，基于主流信息安全系統(tǒng)化實(shí)驗(yàn)平臺(tái)外加審計(jì)服務(wù)平臺(tái)構(gòu)建實(shí)驗(yàn)環(huán)境，利用主流信息安全軟件和審計(jì)實(shí)務(wù)軟件構(gòu)建軟平臺(tái)，還原所有實(shí)驗(yàn)到真實(shí)網(wǎng)絡(luò)環(huán)境。

2 實(shí)驗(yàn)教學(xué)實(shí)施模式

2.1 教學(xué)體系構(gòu)建

“信息安全”實(shí)驗(yàn)課程的建設(shè)采用了如圖2所示的縱向階梯式實(shí)驗(yàn)教學(xué)體系，整個(gè)體系涵蓋密碼學(xué)及應(yīng)用、信息系統(tǒng)安全、網(wǎng)絡(luò)安全和應(yīng)用安全及自主設(shè)計(jì)等多個(gè)不同層次的實(shí)驗(yàn)環(huán)節(jié)。實(shí)驗(yàn)牽涉到影響審計(jì)實(shí)務(wù)的眾多常規(guī)安全問題，實(shí)驗(yàn)?zāi)K包括密碼學(xué)(信息隱藏)、主機(jī)安全、防火墻、VPN、PKI、PMI、入侵檢測、網(wǎng)絡(luò)攻防、病毒、安全審計(jì)、安全編程以及綜合網(wǎng)絡(luò)安全實(shí)驗(yàn)等，同時(shí)提供無線安全、生物特征識(shí)別等可選實(shí)驗(yàn)?zāi)K。所有模塊均采用從原理、實(shí)訓(xùn)、分析到綜合的階梯式開展。整個(gè)體系中各實(shí)驗(yàn)?zāi)K數(shù)量及牽涉到的實(shí)驗(yàn)類型劃分見表1。

圖2 縱向階梯式實(shí)驗(yàn)體系

2.2 實(shí)驗(yàn)環(huán)境建設(shè)

依據(jù)實(shí)驗(yàn)教學(xué)體系和我院已有硬件條件，在參照武漢大學(xué)和吉林大學(xué)成功經(jīng)驗(yàn)基礎(chǔ)上［3，4］，構(gòu)建了如圖3所示的信息安全實(shí)驗(yàn)系統(tǒng)，功能層面上包括教學(xué)實(shí)踐平臺(tái)(審計(jì)信息安全教學(xué)系統(tǒng))和設(shè)備實(shí)訓(xùn)平臺(tái)(審計(jì)信息安全實(shí)訓(xùn)系統(tǒng))。拓?fù)鋵用嫔戏譃榉?wù)區(qū)和操作區(qū)，其中服務(wù)區(qū)部署實(shí)驗(yàn)教學(xué)系統(tǒng)硬件設(shè)備，包括管理控制設(shè)備、數(shù)據(jù)服務(wù)設(shè)備、安全實(shí)驗(yàn)設(shè)備、審計(jì)實(shí)務(wù)服務(wù)器、交換設(shè)備和顯示控制設(shè)備等;操作區(qū)部署學(xué)生機(jī)和教師管理機(jī)等。

2.3 教學(xué)大綱編寫

作為實(shí)驗(yàn)課程實(shí)施的綱領(lǐng)，教學(xué)大綱對后續(xù)的教與學(xué)具有嚴(yán)格導(dǎo)向作用。依據(jù)實(shí)驗(yàn)教學(xué)體系，大綱中擬重點(diǎn)講授的幾十個(gè)有代表性的實(shí)驗(yàn)涵蓋信息安全技術(shù)和網(wǎng)絡(luò)安全管理兩大重要領(lǐng)域，涉及到信息安全審計(jì)領(lǐng)域中需要的認(rèn)證、機(jī)密性、訪問控制、完整性及不可否認(rèn)五大安全服務(wù)，涵蓋密碼學(xué)、計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)安全配置、網(wǎng)絡(luò)攻防、網(wǎng)絡(luò)安全設(shè)備使用，病毒防治和電子商務(wù)安全等重要環(huán)節(jié)。

表1 實(shí)驗(yàn)類型劃分

圖3 實(shí)驗(yàn)教學(xué)系統(tǒng)拓?fù)浣Y(jié)構(gòu)

2.4 配套教材選取

配套教材選取時(shí)遵循兩條原則，其一是緊扣教學(xué)大綱，這是實(shí)現(xiàn)教學(xué)大綱預(yù)期目標(biāo)的根本保證;其二是不拘泥于教學(xué)大綱，以確保滿足絕大多數(shù)學(xué)生的同時(shí)，能夠幫助一些學(xué)有余力的學(xué)生拓展知識(shí)面。在課程建設(shè)初期，我們除選用西普公司提供的實(shí)驗(yàn)指導(dǎo)書作為核心教材外，還選用了兩本輔助教材:《信息安全實(shí)驗(yàn)教程》和《信息安全培訓(xùn)教程實(shí)驗(yàn)篇》。當(dāng)然，隨著課程建設(shè)的有序展開，符合本實(shí)驗(yàn)教學(xué)體系的自編實(shí)驗(yàn)指導(dǎo)書將最終作為核心教材。

2.5 考核方法量化

為確保考核過程可控性和考核結(jié)果可信性，我們制定了如下考核方法:①學(xué)生須按教學(xué)大綱完成全部規(guī)定項(xiàng)目，凡缺做1/3實(shí)驗(yàn)者須在考試前補(bǔ)做;②該課程定為考查課程，分兩次考核;③第一次考核包括平時(shí)實(shí)驗(yàn)和基礎(chǔ)考試，比例分別為30%和70%。平時(shí)實(shí)驗(yàn)評分主要依據(jù)實(shí)驗(yàn)前預(yù)習(xí)、實(shí)驗(yàn)中操作和實(shí)驗(yàn)報(bào)告等方面進(jìn)行［5］?；A(chǔ)考試，以抽簽方式確定測試題目，評分主要依據(jù)實(shí)驗(yàn)工具及設(shè)備的使用情況來確定;④第二次考核為期末能力測試，旨在評估學(xué)生在綜合性和設(shè)計(jì)性實(shí)驗(yàn)上呈現(xiàn)出的創(chuàng)新能力。

3 結(jié)語

本文探討了富有專業(yè)特色的信息安全實(shí)驗(yàn)課程建設(shè)模式。該模式一方面融合了信息安全基礎(chǔ)知識(shí)的傳授與審計(jì)實(shí)務(wù)的具體應(yīng)用，特色鮮明;另一方面，理論知識(shí)學(xué)習(xí)與業(yè)務(wù)實(shí)踐活動(dòng)并行實(shí)施，保證了學(xué)校封閉課堂與社會(huì)開放需求的無縫對接，便于引導(dǎo)學(xué)生從被動(dòng)吸納轉(zhuǎn)變?yōu)橹鲃?dòng)探索。

我們下一步工作擬從兩方面展開:在課程建設(shè)方面，實(shí)施模式細(xì)化、教學(xué)實(shí)踐、效果調(diào)查及模式優(yōu)化等后期建設(shè)工作，力爭打造審計(jì)類精品課程;在模式推廣方面，實(shí)施模式實(shí)用性、開放性、通用性及標(biāo)準(zhǔn)化方面的工作，以服務(wù)于其它相關(guān)課程的建設(shè)。

［1］ 張少敏等.“重實(shí)踐”指導(dǎo)下的信息安全專業(yè)實(shí)驗(yàn)教學(xué)改革研究，昆明:中外教育研究［J］，2012(2):17-18

［2］ 王家新，尹平.依托行業(yè)優(yōu)勢構(gòu)建大審計(jì)平臺(tái)培養(yǎng)高素質(zhì)人才［J］.北京:中國大學(xué)教學(xué)，2007(4):57-59，89

［3］ 杜瑞穎等.武漢大學(xué)信息安全專業(yè)實(shí)踐教學(xué)體系的探索與研究［J］.北京:計(jì)算機(jī)教育，2007(10):22-27

［4］ 唐海濤等.網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)教學(xué)平臺(tái)的構(gòu)建［J］，北京:實(shí)驗(yàn)技術(shù)與管理，2010(9):118-120

［5］ 吳慧玲，吳偉，韓志耕.游戲教育中一種有效的學(xué)生行為控制機(jī)制［J］.北京:中國電化教育，2008(9):97-100