張文勇++李維華++唐作其

摘要：信息安全等級(jí)保護(hù)是我國保障信息系統(tǒng)安全的根本制度，為了培養(yǎng)學(xué)生基本信息安全技術(shù)操作技能，使其具備運(yùn)用信息安全等級(jí)保護(hù)知識(shí)分析信息系統(tǒng)安全風(fēng)險(xiǎn)和編制符合信息安全等級(jí)保護(hù)要求的解決方案的能力，將信息安全等級(jí)保護(hù)內(nèi)容納入信息安全綜合實(shí)訓(xùn)教學(xué)，按信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系構(gòu)建了信息安全專業(yè)綜合實(shí)訓(xùn)教學(xué)體系，并給出了具體的實(shí)施流程和方法。

關(guān)鍵詞：信息安全；等級(jí)保護(hù)；等級(jí)測(cè)評(píng)；實(shí)踐教學(xué)；綜合實(shí)訓(xùn)

DOIDOI：10.11907/rjdk.161717

中圖分類號(hào)：G434

文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)文章編號(hào)：16727800（2016）009017303

基金項(xiàng)目基金項(xiàng)目：貴州省科技廳社發(fā)攻關(guān)項(xiàng)目（黔科合SY字2012-3050號(hào)）；貴州大學(xué)自然科學(xué)青年基金項(xiàng)目（貴大自青合字2010-026號(hào)）；貴州大學(xué)教育教學(xué)改革研究項(xiàng)目（JG2013097）

作者簡(jiǎn)介作者簡(jiǎn)介：張文勇（1973-），男，貴州臺(tái)江人，碩士，貴州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院講師，研究方向?yàn)榫W(wǎng)絡(luò)與信息安全；李維華（1961-），男，貴州貴陽人，貴州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院高級(jí)實(shí)驗(yàn)師，研究方向?yàn)榫W(wǎng)絡(luò)與信息安全；唐作其（1980-），男，貴州興義人，碩士，貴州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院副教授，研究方向?yàn)樾畔踩Ｕ象w系。

0引言

信息安全等級(jí)保護(hù)是國家信息安全保障工作的基本制度、基本策略、基本方法，開展信息安全等級(jí)保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)國家信息安全的根本保障，是信息安全保障工作中國家意志的體現(xiàn)。信息安全學(xué)科要求學(xué)生不僅要具備很強(qiáng)的理論知識(shí)，更應(yīng)具備較強(qiáng)的實(shí)踐能力?，F(xiàn)階段很多高校在理論教學(xué)上有較好的培養(yǎng)方法和模式，學(xué)生具備良好的理論基礎(chǔ)，但在實(shí)踐教學(xué)中由于各課程的銜接和關(guān)聯(lián)較少，盡管部分學(xué)校開設(shè)了信息安全實(shí)訓(xùn)或信息安全攻防實(shí)踐等課程，但基本都是做一些單元實(shí)驗(yàn)，僅局限于某一方面的技能訓(xùn)練，沒有從全局、系統(tǒng)的角度去培養(yǎng)學(xué)生綜合運(yùn)用各種信息安全知識(shí)解決實(shí)際問題的能力[15]。從貴州大學(xué)信息安全專業(yè)畢業(yè)生就業(yè)情況調(diào)查反饋信息來看，絕大多數(shù)畢業(yè)生主要從事企事業(yè)單位的信息安全管理、信息安全專業(yè)服務(wù)等工作，少數(shù)畢業(yè)生從事信息安全產(chǎn)品研發(fā)，或繼續(xù)碩士博士深造，從事信息安全理論研究。用人單位普遍反映學(xué)生的基本理論掌握相對(duì)較好，但實(shí)際操作技能、綜合分析能力欠缺。為了解決目前這種狀況，筆者根據(jù)長(zhǎng)期從事信息安全等級(jí)保護(hù)項(xiàng)目實(shí)施工作實(shí)踐，提出在信息安全專業(yè)的實(shí)踐教學(xué)環(huán)節(jié)中引入信息安全等級(jí)保護(hù)相關(guān)內(nèi)容。

1信息安全等級(jí)保護(hù)對(duì)學(xué)生能力培養(yǎng)的作用

信息安全等級(jí)保護(hù)工作包括定級(jí)、備案、安全建設(shè)和整改、信息安全等級(jí)測(cè)評(píng)、信息安全檢查5個(gè)階段，信息系統(tǒng)安全等級(jí)測(cè)評(píng)是驗(yàn)證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級(jí)的評(píng)估過程。信息安全等級(jí)保護(hù)的知識(shí)體系完善，信息安全等級(jí)保護(hù)測(cè)評(píng)人員的技術(shù)要求涵蓋多個(gè)方面，包括物理環(huán)境、主機(jī)、操作系統(tǒng)、應(yīng)用安全、安全設(shè)備等，因此國家對(duì)于信息安全等級(jí)保護(hù)人員的技術(shù)要求十分綜合和全面[3]。如參照信息安全等級(jí)保護(hù)專業(yè)人員的技術(shù)要求對(duì)學(xué)生開展信息安全綜合實(shí)訓(xùn)將滿足社會(huì)對(duì)信息安全專業(yè)人員的技能和知識(shí)結(jié)構(gòu)要求，主要體現(xiàn)在以下4個(gè)方面：①培養(yǎng)學(xué)生了解國家關(guān)于非涉密信息系統(tǒng)保護(hù)的基本方針、政策、標(biāo)準(zhǔn)；②培養(yǎng)學(xué)生掌握各種基本信息安全技術(shù)操作技能，熟悉各種信息系統(tǒng)構(gòu)成對(duì)象的基本操作，為將來快速融入到信息安全保護(hù)實(shí)踐工作奠定基礎(chǔ)；③培養(yǎng)學(xué)生具備從綜合、全面的角度去規(guī)劃、設(shè)計(jì)、構(gòu)建符合國家信息安全保障體系要求的信息安全防護(hù)方案能力；④培養(yǎng)學(xué)生建立信息安全等級(jí)保護(hù)的基本意識(shí)，在工作實(shí)踐中自覺按國家信息安全等級(jí)保護(hù)要求開展工作，有利于促進(jìn)國家信息安全等級(jí)保護(hù)政策實(shí)施。

2實(shí)訓(xùn)教學(xué)知識(shí)體系

信息安全等級(jí)保護(hù)的相關(guān)政策和標(biāo)準(zhǔn)是信息安全實(shí)訓(xùn)教學(xué)體系建立的基本依據(jù)，GB/T 22239-2008《信息安全等級(jí)保護(hù)基本要求》在信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系中起基礎(chǔ)性作用。信息安全等級(jí)保護(hù)基本要求充分體現(xiàn)了“全面防御，縱深防御”的理念，遵循了“技術(shù)和管理并重”的基本原則，而不同級(jí)別的業(yè)務(wù)信息系統(tǒng)在控制點(diǎn)要求項(xiàng)上的區(qū)別體現(xiàn)了“適度安全”的根本原則[6]。信息安全保護(hù)測(cè)評(píng)是信息安全等級(jí)保護(hù)的一項(xiàng)重要基礎(chǔ)性工作，GB/T 28449-2012《信息安全等級(jí)保護(hù)測(cè)評(píng)過程指南》是對(duì)等級(jí)測(cè)評(píng)的活動(dòng)、工作任務(wù)以及每項(xiàng)任務(wù)的工作內(nèi)容作出了詳細(xì)建議，等級(jí)測(cè)評(píng)中的單元測(cè)評(píng)、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析、問題處置及建議環(huán)節(jié)體現(xiàn)了測(cè)評(píng)工程師對(duì)等保項(xiàng)目基本安全保障情況的綜合分析能力[610]。信息安全等級(jí)保護(hù)知識(shí)體系龐大，不可能兼顧所有方面，因而在信息安全實(shí)訓(xùn)教學(xué)知識(shí)體系制訂中采用兼顧全局、突出重點(diǎn)的基本原則；在實(shí)訓(xùn)教學(xué)知識(shí)體系的構(gòu)成中重點(diǎn)以《信息安全等級(jí)保護(hù)基本要求》和《信息安全等級(jí)保護(hù)測(cè)評(píng)過程指南》為基礎(chǔ)，包括基本理論培訓(xùn)、基本技能實(shí)訓(xùn)、安全管理培訓(xùn)、能力提高實(shí)訓(xùn)四大模塊；在實(shí)際操作中將重點(diǎn)放在基本技能實(shí)訓(xùn)和能力提高實(shí)訓(xùn)上。各實(shí)訓(xùn)模塊構(gòu)成及關(guān)系如圖1所示。

3實(shí)訓(xùn)教學(xué)實(shí)施

教學(xué)實(shí)施依據(jù)實(shí)訓(xùn)教學(xué)知識(shí)體系進(jìn)行，教學(xué)方式采用集中課堂基本理論教學(xué)、在信息系統(tǒng)模擬平臺(tái)實(shí)施現(xiàn)場(chǎng)測(cè)評(píng)數(shù)據(jù)采集的基本操作實(shí)訓(xùn)和以信息安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告的編寫為基礎(chǔ)的數(shù)據(jù)分析、數(shù)據(jù)整理、安全方案編寫實(shí)訓(xùn)。

3.1基本理論教學(xué)

該環(huán)節(jié)采用集中課堂教學(xué)方式，講解的主要內(nèi)容是信息安全等級(jí)保護(hù)政策和標(biāo)準(zhǔn)。講解深度上應(yīng)有所側(cè)重，講解重點(diǎn)包括：①信息安全等級(jí)保護(hù)基本要求中層面的劃分原則和依據(jù)、控制點(diǎn)的構(gòu)成、控制點(diǎn)中要求項(xiàng)的解讀；②信息安全保護(hù)過程指南中單元測(cè)評(píng)、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析、問題處置和建議等部分的解讀。

理論教學(xué)在突出重點(diǎn)的同時(shí)，兼顧全局，讓學(xué)生對(duì)信息安全等級(jí)保護(hù)制度和標(biāo)準(zhǔn)有一個(gè)完整、清晰的認(rèn)識(shí)。

3.2基本技能實(shí)訓(xùn)

基本技能實(shí)訓(xùn)環(huán)節(jié)主要是強(qiáng)化學(xué)生各種信息安全技術(shù)的基本操作訓(xùn)練。首先，應(yīng)根據(jù)最真實(shí)的企業(yè)內(nèi)部環(huán)境搭建符合信息安全等級(jí)保護(hù)要求的模擬信息系統(tǒng)，并編寫好對(duì)應(yīng)的信息安全等級(jí)保護(hù)現(xiàn)場(chǎng)測(cè)評(píng)指導(dǎo)書；然后，指導(dǎo)學(xué)生在模擬系統(tǒng)上進(jìn)行現(xiàn)場(chǎng)測(cè)評(píng)實(shí)訓(xùn)，實(shí)訓(xùn)過程按信息安全等級(jí)保護(hù)現(xiàn)場(chǎng)測(cè)評(píng)指導(dǎo)書要求進(jìn)行，實(shí)訓(xùn)內(nèi)容以獲取信息系統(tǒng)安全配置和運(yùn)行狀態(tài)等原始數(shù)據(jù)為基礎(chǔ)?；炯寄軐?shí)訓(xùn)模塊包括網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)備份及恢復(fù)、自動(dòng)化工具掃描這5個(gè)層面的訓(xùn)練項(xiàng)目。

（1）網(wǎng)絡(luò)安全。學(xué)生在模擬平臺(tái)上開展各種主流的網(wǎng)絡(luò)設(shè)備和安全設(shè)備的基本操作訓(xùn)練，要求學(xué)生理解網(wǎng)絡(luò)設(shè)備和安全設(shè)備的安全功能及安全設(shè)置，掌握設(shè)備的運(yùn)行狀態(tài)和信息數(shù)據(jù)采集方法。

（2）主機(jī)安全。學(xué)生在模擬平臺(tái)上開展各種主流系統(tǒng)軟件基本操作訓(xùn)練，包括操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件等，要求學(xué)生理解各種系統(tǒng)軟件的安全功能和安全設(shè)置。通過本環(huán)節(jié)的實(shí)訓(xùn)，學(xué)生應(yīng)具備系統(tǒng)軟件安全配置核查和運(yùn)行狀態(tài)信息采集能力。

（3）應(yīng)用安全。學(xué)生在模擬平臺(tái)上對(duì)所安裝的主流商用應(yīng)用軟件和自主開發(fā)軟件進(jìn)行安全配置核查和安全功能驗(yàn)證訓(xùn)練，要求學(xué)生理解應(yīng)用軟件的安全功能設(shè)計(jì)要求，掌握應(yīng)用軟件的安全配置核查和安全功能驗(yàn)證方法。

（4） 數(shù)據(jù)備份和回復(fù)。通過模擬系統(tǒng)的磁盤冗余陣列進(jìn)行基本操作訓(xùn)練，讓學(xué)生了解磁盤冗余陣列的驗(yàn)證方法；通過訓(xùn)練學(xué)生在操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)上配置計(jì)劃備份任務(wù)，使其理解系統(tǒng)軟件的數(shù)據(jù)備份安全功能，掌握系統(tǒng)軟件的備份操作計(jì)劃配置和驗(yàn)證方法。

（5）自動(dòng)化工具掃描。學(xué)生利用主流的開源掃描工具和商用的掃描工具對(duì)模擬系統(tǒng)上的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器主機(jī)等進(jìn)行掃描，獲取信息系統(tǒng)主要軟硬件的漏洞，并驗(yàn)證系統(tǒng)的脆弱性。本部分獲取的原始數(shù)據(jù)作為（1）、（2）、（3）部分的補(bǔ)充，通過本環(huán)節(jié)培訓(xùn)學(xué)生整理和分析漏洞掃描結(jié)果以及初步驗(yàn)證漏洞真實(shí)性的能力。

3.3能力提高實(shí)訓(xùn)

在學(xué)生掌握信息系統(tǒng)安全配置和運(yùn)行狀態(tài)數(shù)據(jù)采集的基本技能后實(shí)施能力提高實(shí)訓(xùn)，本模塊主要培訓(xùn)學(xué)生對(duì)原始數(shù)據(jù)的分析、整理，并編寫信息安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告的能力。能力提高實(shí)訓(xùn)模塊主要包括單元測(cè)評(píng)、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析、問題處置和安全建議4個(gè)項(xiàng)目，各項(xiàng)目之間的關(guān)系流程如圖2所示。

（1）通過基本技能實(shí)訓(xùn)獲取到原始數(shù)據(jù)后，根據(jù)信息安全等級(jí)保護(hù)測(cè)評(píng)過程要求整理、分析原始數(shù)據(jù)，開展單元測(cè)評(píng)，并給出各單元層面內(nèi)控制點(diǎn)中檢查項(xiàng)的符合性，分析并給出單元測(cè)評(píng)結(jié)果，按信息安全等級(jí)保護(hù)報(bào)告模板編寫單元測(cè)評(píng)報(bào)告。

（2）在完成單元測(cè)評(píng)后，由于單元測(cè)評(píng)參照的信息相對(duì)獨(dú)立，未考慮原始數(shù)據(jù)間的關(guān)聯(lián)性，而實(shí)際信息系統(tǒng)的最終安全防護(hù)效力和面臨的風(fēng)險(xiǎn)是信息系統(tǒng)安全控制點(diǎn)間、安全層面間、安全區(qū)域間各組成要素共同作用的結(jié)果，因此在完成單元測(cè)評(píng)后還應(yīng)該進(jìn)行整體測(cè)評(píng)。整體測(cè)評(píng)主要是考慮單元測(cè)評(píng)中的各控制點(diǎn)間、安全層面間、安全區(qū)域間存在某種關(guān)聯(lián)性，這種關(guān)聯(lián)會(huì)對(duì)信息系統(tǒng)整體的安全防護(hù)效力、面臨的風(fēng)險(xiǎn)具有降低或增加的作用，應(yīng)從整體角度對(duì)信息系統(tǒng)安全的狀態(tài)進(jìn)行修正。

（3）風(fēng)險(xiǎn)分析結(jié)果是制訂信息安全系統(tǒng)防護(hù)措施的重要依據(jù)，風(fēng)險(xiǎn)分析能力是體現(xiàn)信息安全工程師水平的一項(xiàng)重要指標(biāo)。在風(fēng)險(xiǎn)分析實(shí)訓(xùn)項(xiàng)目中結(jié)合單元測(cè)評(píng)和整體測(cè)評(píng)結(jié)果利用風(fēng)險(xiǎn)分析計(jì)算工具對(duì)信息系統(tǒng)面臨的風(fēng)險(xiǎn)等級(jí)大小進(jìn)行定性或定量的分析計(jì)算，并編寫風(fēng)險(xiǎn)分析報(bào)告。

（4）確定信息系統(tǒng)存在的風(fēng)險(xiǎn)后，接著應(yīng)分析引起信息系統(tǒng)風(fēng)險(xiǎn)的因素，對(duì)不可接受風(fēng)險(xiǎn)因素或不能滿足等級(jí)保護(hù)要求的安全防護(hù)項(xiàng)提出完整的問題處置和整改建議。問題處置和整改建議環(huán)節(jié)要求信息安全工程技術(shù)人員具備扎實(shí)理論知識(shí)的同時(shí)還具備相當(dāng)豐富的實(shí)踐經(jīng)驗(yàn)，工程技術(shù)人員必須熟悉信息安全的各種防護(hù)技術(shù)和目前市場(chǎng)上相關(guān)的信息安全軟硬件安全產(chǎn)品。因此，本實(shí)訓(xùn)項(xiàng)目主要是訓(xùn)練并提高學(xué)生綜合運(yùn)用信息安全技術(shù)解決實(shí)際問題的能力。

4結(jié)語

在信息安全專業(yè)的實(shí)踐教學(xué)中引入信息安全等級(jí)保護(hù)內(nèi)容，實(shí)訓(xùn)教學(xué)知識(shí)體系完全參照信息安全等級(jí)保護(hù)要求來構(gòu)建，信息安全等級(jí)保護(hù)知識(shí)體系完善，保證了實(shí)訓(xùn)內(nèi)容的廣度和深度。通過信息安全等級(jí)保護(hù)現(xiàn)場(chǎng)測(cè)評(píng)環(huán)節(jié)訓(xùn)練學(xué)生的信息安全技術(shù)基本操作技能，通過信息安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告的編制訓(xùn)練學(xué)生運(yùn)用信息安全等級(jí)保護(hù)基本知識(shí)、理論和方法去分析信息系統(tǒng)存在的漏洞、面臨的安全風(fēng)險(xiǎn)，并編制符合信息安全等級(jí)保護(hù)要求的安全防護(hù)方案，提高學(xué)生綜合運(yùn)用信息安全技術(shù)解決實(shí)際問題的能力，較好地滿足了社會(huì)對(duì)信息安全人才的需求，深受信息安全等級(jí)保護(hù)技術(shù)服務(wù)機(jī)構(gòu)和已開展或擬開展信息系統(tǒng)安全等級(jí)保護(hù)的企事業(yè)及機(jī)關(guān)單位的歡迎，為學(xué)生畢業(yè)后盡快適應(yīng)工作要求奠定了基礎(chǔ)。

由于實(shí)驗(yàn)環(huán)境的限制，所制訂的基于信息安全等級(jí)保護(hù)的實(shí)訓(xùn)教學(xué)知識(shí)體系仍存在以下3點(diǎn)不足：①實(shí)訓(xùn)教學(xué)體系未涉及虛擬化、云計(jì)算、物聯(lián)網(wǎng)安全實(shí)訓(xùn)，而這些是當(dāng)前發(fā)展較快且正被廣泛運(yùn)用的信息技術(shù)；②由于滲透測(cè)試對(duì)測(cè)試環(huán)境搭建和學(xué)生基本技能要求較高，因而實(shí)訓(xùn)教學(xué)體系中并未涉及滲透測(cè)試項(xiàng)目；③信息安全管理在信息安全防護(hù)工作中是非常重要但卻最容易被忽視的工作內(nèi)容，可以說一個(gè)組織的信息安全管理水平高低直接決定其信息系統(tǒng)的安全防護(hù)能力。因?yàn)榘踩芾頊y(cè)評(píng)基本上采用的是制度類、證據(jù)類、記錄類文檔性資料的核查和訪談，而在實(shí)訓(xùn)中難以模擬一個(gè)完整的安全管理體系實(shí)際案例，所以在實(shí)訓(xùn)中安全管理部分更多地是采用課堂教學(xué)講解，沒有操作實(shí)訓(xùn)。 這些在后續(xù)教學(xué)實(shí)踐工作中都有待改進(jìn)。

參考文獻(xiàn)參考文獻(xiàn)：

[1]楊冬曉，嚴(yán)曉浪，于慧敏.信息類特色專業(yè)建設(shè)的若干實(shí)踐[J].中國電子教育，2010（1）：3945.

[2]田秀霞.創(chuàng)新實(shí)踐項(xiàng)目驅(qū)動(dòng)的信息安全專業(yè)教學(xué)改革[J].計(jì)算機(jī)教育，2015（23）：3033.

[3]張勝生，呂緒銀.基于信息安全場(chǎng)景下的等級(jí)保護(hù)技術(shù)人才培養(yǎng)模式研究[C].第二屆全國信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)會(huì)議論文集，2012：8385.

[4]李琳，陳東方，李濤，等.信息安全專業(yè)實(shí)踐教學(xué)體系研究[J].電腦知識(shí)與技術(shù).2014，10（35）：85148515.

[5]蔣煒.信息安全等級(jí)保護(hù)培訓(xùn)探討[J].現(xiàn)代企業(yè)研究，2015（2）：64.

[6]公安部信息安全等級(jí)保護(hù)評(píng)估中心.信息安全等級(jí)保護(hù)政策培訓(xùn)教程[M].北京：電子工業(yè)出版社，2015.

[7]公安部信息安全等級(jí)保護(hù)評(píng)估中心.信息安全等級(jí)測(cè)評(píng)師培訓(xùn)教程（中級(jí)） [M].北京：電子工業(yè)出版社，2015.

[8]公安部信息安全等級(jí)保護(hù)評(píng)估中心.信息安全等級(jí)測(cè)評(píng)師培訓(xùn)教程（初級(jí)） [M].北京：電子工業(yè)出版社，2015.

[9]國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局、國家標(biāo)準(zhǔn)化管理委員會(huì). GB/T284882012.信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求[S].北京：中國質(zhì)檢出版社，中國標(biāo)準(zhǔn)出版社，2012.

[10]國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，國家標(biāo)準(zhǔn)化管理委員會(huì). GB/T 284492012.信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南[S].北京：中國標(biāo)準(zhǔn)出版社，2012.

責(zé)任編輯（責(zé)任編輯：孫娟）