《信息安全管理》課程建設初探

孫奕+王文娟+徐建+王魯

摘要：信息安全管理是信息安全專業(yè)的專業(yè)基礎課，是建構信息安全保障專業(yè)知識體系的核心，是信息安全技術、信息安全工程課程的知識延伸課程，是培養(yǎng)學員信息安全管理能力的必修課，為學員從事信息安全管理工作奠定知識和能力基礎。本文主要從課程內容體系建設、課堂教學方法與手段、實驗教學和課程考核方式四個方面對課程建設進行改革探索，激發(fā)了學員的學習興趣和積極性，提高了本校信息安全管理課程的教學效果，為建設《信息安全管理》精品課程提供思路和方法。

關鍵詞：信息安全管理；課程建設；激發(fā)興趣

G642.2

一、引言

信息安全是國家安全的基礎和關鍵，信息安全保障能力已成為21世紀綜合國力、經濟競爭實力和民族生存能力的重要組成部分，尤其在軍事領域，信息安全理論與技術的應用，更加廣泛而深入。隨著信息安全理論與技術的發(fā)展，信息安全保障的概念得以提出并得到一致認可，而在信息安全保障的三大要素（人員、技術、管理）中，管理要素的作用和地位越來越得到重視。為適應新時期軍事斗爭準備的需要，培養(yǎng)適應未來戰(zhàn)爭需要的高素質復合型信息安全技術人才，我校在信息安全專業(yè)開設《信息安全管理》課程。本課程是信息安全專業(yè)的專業(yè)必修課。

二、課程特點

“信息安全管理”課程與其他課程相比較有很明顯的不同，具體說有如下幾點：

（1）信息安全管理是隨著信息和信息安全的發(fā)展而發(fā)展起來的，因此該課程涉及到密碼學、計算機網絡與通信、信息安全技術等多門課程，不存在單一的基礎理論來解釋信息安全管理各部分的內容及關系，要求學員具有一定的密碼學、計算機和信息安全方面的理論知識。

（2）該課程的知識體系與內容既涉及到規(guī)范性的標準、法律、法規(guī)等內容，又涉及到更新速度較快的新技術。因此本課程要處理好較固定的標準和變化快的新技術之間的關系。

（3）本課程教學注重理論性和實踐性相結合。以實踐驅動理論學習，以理論學習指導實踐。能夠擬定簡單的信息安全管理解決方案，應用信息安全管理手段構建簡單的信息安全管理體系，解決實際安全問題。

三、課程建設目標

針對信息安全專業(yè)人才培養(yǎng)需求，結合云計算、大數據、態(tài)勢感知等新技術的發(fā)展趨勢，吸收信息安全管理新型案例、科研成果、國家標準等素材，更新優(yōu)化課程教學內容，修訂課程標準。遵循高等教育教育學規(guī)律，改革教學方法和手段，使之適應本科教學的規(guī)律。分析傳統的考核評價機制，改革課程考核方式，激勵學員學習的積極性和主動性，力爭將本課程建設為校級精品課程。

四、課程建設內容改革與探索

本課程的教學堅持以人為本、以學為主、注重創(chuàng)新意識和綜合素質培養(yǎng)的指導思想，堅持將對知識、能力、素質的培養(yǎng)融為一體，將信息安全管理知識學習與實際應用相結合，提高學員獲取吸收知識的能力、運用知識的能力，以及實踐創(chuàng)新能力。本文主要從教學內容、教學方法、教學實踐、考核方式等方面對信息安全管理課程建設內容進行改革與探索。

（1）基于信息安全管理新技術，加強課程內容體系建設

隨著云計算、大數據、態(tài)勢感知等新技術的快速發(fā)展，對信息安全管理課程提出了許多新的挑戰(zhàn)。本課程教學以信息安全管理基本理論為基礎，以信息安全管理體系為內容框架，介紹信息安全管理體系的各項內容及其實施方法，并緊扣學科發(fā)展前沿，獲取信息安全管理領域的新知識、新信息，將云計算、大數據、網絡態(tài)勢感知等新知識、新技術融入教學內容，不斷更新教學內容。

本課程教學按照由淺入深，由總體到部分，從信息安全管理的內涵、作用和地位入手，逐步引入信息安全管理體系的基本概念、構建方法及其實施過程，重點闡述信息安全策略管理、信息安全風險管理、系統安全運維、云計算的安全管理等方面的一般管理方法與技術手段。課程實施過程主要包括：信息安全管理體系、信息安全策略管理、信息安全風險管理、信息系統安全運維和云計算信息安全管理五個單元。

信息安全管理體系單元主要包括：信息安全管理模型；基于ISO/IEC 27000信息安全管理體系的內容框架、構建過程、審核與認證；基于等級保護的信息安全管理體系標準，等級保護控制關鍵點，等級保護安全支撐平臺構建方法，跨級跨系統等級保護方法等內容。

信息安全策略在整個信息安全管理中的占有重要地位。從信息安全領域中發(fā)生的事件來看，信息安全策略的核心地位變得越來越明顯。信息安全策略管理單元主要包括：信息安全策略管理的內涵、作用與地位；信息安全策略的分類；信息安全策略的規(guī)劃與設計、管理與實施的基本思想、技術與方法等內容。

風險是信息安全中的基本概念，只有在正確、全面地了解和理解安全風險后，才能決定如何處理安全風險，從而在信息安全的投資、信息安全措施的選擇、信息安全保障體系的建設等問題中做出合理的決策。因此必須深刻地認識到我們所面臨的風險，加強對信息系統的風險評估，采取有效的風險管理從而降低、避免、規(guī)避風險，為信息系統的安全建設提供支撐。信息安全風險管理單元主要包括：信息安全風險管理內涵及相關基本概念；信息安全風險管理的內容和過程；信息安全風險評估的目的和意義；信息安全風險評估的實施過程、方法與技術；信息安全風險度量的基本原理；信息安全風險控制的基本原理與方法等內容。

隨著信息安全管理體系和技術體系在企業(yè)領域的信息安全建設中不斷推進，占信息系統生命周期70%-80%的信息安全運維體系的建設已經越來越受到人們的重視。信息安全運維管理單元主要包括：信息安全運維發(fā)展歷程；信息安全運維定義；信息安全運維體系構建方法；信息安全運維技術等內容。

應對云時代的安全風險，確保數據的安全可靠，規(guī)避信息泄露的風險，需遵循信息安全管理體系的基礎邏輯，為承載云計算應用的信息系統建立一套完善的云計算信息安全管理體系。云計算信息安全管理單元主要包括：云計算面臨的信息安全問題；云計算信息安全管理標準；云計算安全管理方法和模型；云計算風險評估的特點和方式；云計算的風險控制措施；云計算環(huán)境的信息安全管理體系構建方法等內容。

（2）采用多模式融合教學模式，逐步改革課堂教學方法與手段

為了貫徹素質教育、創(chuàng)新教育的思想和教為主導、學為主體的思想，《信息安全管理》課程是集理論、技術、工程實踐為一體的綜合性工科類學科。根據該課程的教學特點，將講授、案例式、啟發(fā)式、問題式、任務驅動式、研討式、微課、微信學習等多種教學模式相結合，形成一種多模式融合的教學方法，充分激發(fā)學生學習的積極性和主動性，提高教學質量。

多模式融合教學方法在教學實施過程中分階段分模式進行，主要分為以下四個階段：

第一個階段，啟發(fā)式和問題式相融合教學階段。該階段主要由教員引導學員從需求出發(fā)，通過啟發(fā)式和問題式教學方法，為學員設置問題場景，啟發(fā)學員找出需要解決的問題，從而使學員明確學習目標，便于后續(xù)學習任務的開展。

第二階段，講授式和案例式相融合階段。該階段教員主要采用講授式和案例式等教學方法，對課程中存在的各種定義、體系、模型、內涵等知識點進行講解，由于這些內容具有理論性強、概念抽象等特點，教員在講授的過程中不僅要準確解釋各個基本概念，清晰闡明基本概念的內涵和相互聯系。還需結合具體的案例，力求將抽象概念形象化、具體化，以加深學員對信息安全管理基本概念的理解。

第三個階段，任務驅動式和研討式相融合教學階段。該階段教員結合實際應用部署具體任務，學員以任務為目標，通過分組研討逐一解決遇到的問題，最終通過完成任務達到主動學習、深刻理解、靈活應用信息安全管理技術和方法的目的。

第四個階段，微課和微信方式相融合階段。該階段教員首先將課程中關鍵的知識點以微課的形式，錄制成小視頻。然后以微信的方式建立學習小組微信群，教員可以通過在課前或課后在群中發(fā)布微課視頻，布置預習內容，開展群討論等方式幫助學員進行預習和復習。于此同時，教員還可以通過微信群進行答疑和成果驗收。

（3）強化實驗教學，進一步完善、豐富實驗內容

《信息安全管理》實驗教學是鞏固信息安全管理基本理論知識、提高學員信息安全技術應用能力、掌握信息安全管理基本方法和手段的有效途徑和重要環(huán)節(jié)，在《信息安全管理》教學中具有重要作用。

實驗教學安排遵循“鞏固課堂教學知識，突出實踐能力培養(yǎng)”的指導思想，堅持技術驗證性實驗與綜合設計性實驗相結合的原則。在內容安排上，對原有的實驗內容進行適當的調整，結合信息安全管理新理論和新技術，進一步完善和豐富實驗內容。實驗涵蓋等級保護平臺搭建、等級保護驗證核查、終端安全核查、風險評估、安全運維方案設計和云端數據安全審計等安全管理中具有代表性的實驗，實驗成果有實驗分析報告、程序設計報告、程序代碼、環(huán)境搭建等多種形式。

通過實驗項目，培養(yǎng)學員基本的信息安全管理實驗操作技能和實驗思維方法，通過實驗驗證加深對信息安全管理的理解，培養(yǎng)運用所學知識解決信息安全管理問題的能力，擴展實際應用中信息安全管理實施方案的設計能力，提升信息系統綜合安全防御的素養(yǎng)。

（4）探索課程考核方式改革，建立全方位考核機制

通過課程考核考察學員掌握知識和具備能力的情況，檢查教學效果，改進教學工作，提高教學質量。因此，對課程考核評價方式的改革與探索也是教學方法改革中的一個重要環(huán)節(jié)。結合《信息安全管理》課程考核要求，在原有筆試考試的基礎上，增加實驗成績，階段性測試和過程性測試，逐步建立全過程、全方位考核機制。在考核時機上，采用平時考核、階段性考核和課終考核；在考核形式上，采取筆試、課堂問答、論文研討、小組匯報、實踐操作等方式；在成績總評分上，期末筆試成績占60%，平時成績占20%，實驗成績占20%?；具_到了對學生理論知識、應用能力、方案設計、工程實踐等全方位的考核。

五、結束語

為了建設好《信息安全管理》課程，教學團隊一方面持續(xù)跟蹤國內外最新的信息安全管理相關技術的最新研究成果，及時消化吸收，轉化到教學內容建設中；一方面持續(xù)關注相關課程建設的最新研究進展，借鑒吸收先進的教學理念與方法。從而不斷改革教學內容、教學方法和教學手段，保持信息安全管理課程建設各個方面的先進性和新鮮性。與此同時，隨著MOOCs（MassiveOpen Online Course，大規(guī)模開放在線課程）教學模式已成為高等教育發(fā)展的新趨勢，本課程下一步結合《信息安全管理》課程的特點，嘗試將MOOCs教學模式與現有教學模式相融合，取長補短充分發(fā)揮各自的優(yōu)勢，進一步提高《信息安全管理》課程的教學質量和教學效果。

參考文獻：

[1]趙剛.“信息安全管理與風險評估”課程建設思考.中國電力教育.2014.

[2]張曉峰.信息安全課程教學方法探索.電腦知識與技術.2014

[3]姚利民，段文彧.高校教學方法改革探討.中國科學大學.2013

[4]徐東華，封化民.信息安全管理的概念與內容體系探究.2008

[5]程鵬，陳云，李賢勇等.信息安全管理淺析.科技創(chuàng)新導報.2009.

作者簡介：孫奕（1979年10月）女、解放軍信息工程大學、河南鄭州、博士、講師、研究方向為信息安全。