信息安全人才培养知识体系与课程体系研究课件.ppt

《信息安全人才培养知识体系与课程体系研究课件.ppt》由会员分享，可在线阅读，更多相关《信息安全人才培养知识体系与课程体系研究课件.ppt（22页珍藏版）》请在三一办公上搜索。

1、信息安全人才培养知识体系与课程体系研究,中南大学 王伟平,提纲,信息安全人才需求国内外信息安全人才培养现状高校人才培养资质认证与培训信息安全人才培养的层次化知识体系信息安全专业课程体系,信息安全人才需求,能很好地掌握和使用各类信息安全测试、恢复工具，掌握多种硬件平台、操作系统和应用软件的使用，及时了解安全动态和各种新的攻击防御手段、各种产品的及时更新状况,人才培养的知识体系应当适应社会对人才的需求,能够正确使用、配置、维护常规的信息安全设备，同时能对系统的安全隐患提出建议,良好的信息安全基础知识，具备熟练的设计开发能力，包括良好的规划设计以及软硬件实现能力,了解通用的信息安全标准，包括我国现行

2、的产品安全标准以及国际相关的标准，能够组建企业自身的测试平台,对信息安全的核心技术进行研究与分析，对安全策略的设计与实现有清晰的了解,国内外信息安全人才培养现状,国内高校信息安全人才培养国外高校信息安全人才培养 国内外信息安全资质认证与培训,国内高校信息安全人才培养（1）,存在的问题信息安全本科专业 2000年专业设置来自于不同的学科，如计算机、通信和数学等，在课程设置上也没有统一的指导规范。在课程内容、深浅程度和课程衔接上，存在模糊不清、内容重叠、知识覆盖不全面等现象。教材规划和建设中的问题：内容交叉重复等现象比较普遍，例如关于认证技术、安全协议等内容在信息安全概论、网络安全、网络安全协议标

3、准、电子商务等多种教材中重复出现，内容相似的原理类教材偏多、而信息安全实践、编程和管理类的教材偏少。知识体系的初步制定2007年11月武汉大学，首届信息安全学科建设与人才培养研讨会上，对信息安全类专业知识体系进行了探讨，形成了初步的知识体系。七个领域,国内高校信息安全人才培养（2）,信息科学基础知识领域 离散结构、程序设计基础、算法与复杂性、计算机组织与体系结构、操作系统、网络及其计算、程序设计语言、软件工程、信息管理、通信系统 信息安全基础知识领域 信息安全概论、信息安全数学基础、信息安全法律基础、信息安全管理 信息系统安全知识领域 计算机设备安全、操作系统安全、数据库系统安全、恶意软件密码

4、学知识领域 密码学概论、分组密码、序列密码、hash函数、公钥密码、数字签名、认证、密钥管理 网络安全知识领域 网络安全概论、网络安全体系结构、防火墙、入侵检测、VPN、安全扫描、网络安全防护、Web安全、网络安全整体规划与实现 应用安全知识领域 电子商务安全、电子政务安全 信息隐藏知识领域 信息隐藏、隐写术、数字水印、数字指纹、数字权益管理,国内高校信息安全人才培养（3）,目前国内高校信息安全专业开设的主要课程信息科学基础知识 离散数学、程序设计基础、算法与复杂性理论、计算机组成原理、操作系统、计算机网络、C程序设计语言、软件工程、数据库原理与技术、信号处理基础、现代通信原理信息安全基础知识

5、 信息安全概论、信息安全数学基础、信息安全法律法规 信息系统安全知识 计算机病毒防治、操作系统安全、数据库安全、电子设备防护、智能卡技术、嵌入式系统、电子对抗密码学知识 密码学原理 网络安全知识 Internet安全协议与标准、入侵检测、防火墙技术、网络攻防技术、公钥基础设施(PKI)原理与技术 应用安全知识 电子商务（电子政务技术）信息隐藏知识 信息隐藏,国内高校信息安全人才培养（4）,贡献：知识体系的初步形成对高校信息安全专业的发展起到了很好的指导作用不足：只给出了一个指导性的意见，知识点之间是平面化的关系，并没有对知识点如何进行划分，以及知识点的相互衔接关系给出详细的说明。知识体系本身不

6、够完善，没有将代码安全性、软件测评技术纳入体系中，同时也没有给出知识体系与人才需求的直接对应关系。,国外高校信息安全人才培养(1),美国卡耐基梅隆大学、斯坦福大学、麻省理工学院、伯克利大学、康奈尔大学；澳大利亚RMIT大学；加拿大的UTM大学；英国金斯顿大学、谢菲尔德哈勒姆大学；香港城市大学9所大学的IT人才培养课程 信息安全教学在高年级课程的教学内容中增加相关安全内容的讲授；操作系统 应用开发技术 存储技术 分布式计算在本科高年级课程和研究生课程中增设有关信息安全的课程。密码学导论 网络安全 安全软件 政策与道德,国外高校信息安全人才培养(2),卡耐基梅隆大学信息战 安全威胁、攻击手段、系统

7、脆弱性应用密码学导论 密码学基础 方法 安全与政策导论 面向管理和开发人员的安全与政策教育计算机安全导论 系统、网络安全的综述和基本方法安全软件系统 面向程序开发人员，安全编程环境、过程、语言的选择故障捕获-自动程序验证和测试 查找和防止逻辑错误的工具，包括自动理论验证、状态勘查技术、静态程序分析工具等。面向程序开发人员和检测人员,国外高校信息安全人才培养(3),澳大利亚RMIT大学信息安全中的代数 数学基础加密术与安全 数据通信私密性、完整性的典型和现代加密系统信息安全导论 系统、网络安全的综述和基本方法安全编程环境 软件开发安全安全电子商务 Web应用开发安全实践安全 安全意识、计算机应急

8、响应、计算机取证术、安全测试方法 智能卡加密系统 信息安全案例研究 政策与法律信息系统的风险 包括安全威胁、风险评估,国内外信息安全资质认证与培训（1）,目前国际信息安全培训认证市场中非厂商认证培训已经超过60家。典型的基础类入门级CompTIA的 Security+SANS(美国系统网络安全协会)的GSEC（GIAC Security Essentials Certification）ISC2(国际信息系统安全认证协会)的SSCP(System Security Certified Professional)典型的全球知名的高级别IT安全认证培训ISC2的CISSP(Certified In

9、formation Systems Security Profe-ssional SANS的GIAC(Global Information Assurance Certification)ASIS(美国工业安全协会)的 CPP(Certified Protection Professional)(需要通过考试的人需要5-9年的信息安全工作经验。通过这些认证培训的个人数量基本在5000到20000之间),国内外信息安全资质认证与培训（2）,国内信息安全资质认证与培训中国信息安全产品测评认证中心注册信息安全专业人员（CISP）注册资质（2002年）是我国对信息安全从业人员资质的最高认可。认证知识覆

10、盖包括信息安全理论；信息安全技术；安全工程及管理；安全标准和法规。注册信息安全员（CISM）注册资质（2005年）覆盖了技术、管理、工程、标准和法律法规,国内外信息安全资质认证与培训（3）,SANS的认证体系和知识覆盖分析GIAC(Global Information Assurance Certification)成立于1999年，目的是为计算机软件信息安全的关键领域的从业者提供具备信息安全专业技能的保证。GIAC 认证具有很好的信誉，美国的许多公司和政府机构都信任GIAC。GIAC是唯一提供覆盖高级技术主题领域的信息安全认证。共有安全管理员、软件安全、审计、法律和管理5大类别23种认证。,

11、国内外信息安全资质认证与培训（4）,安全管理员类别的认证Information Security Fundamentals(GISF)信息安全基础Security Essentials Certification(GSEC)安全基础Certified Firewall Analyst(GCFW)防火墙分析师Certified Intrusion Analyst(GCIA)入侵检测分析师 Certified Incident Handler(GCIH)应急事件处理认证Certified Forensics Analyst(GCFA)取证分析师Certified Windows Security

12、Administrator(GCWN）Windows安全管理员Certified UNIX Security Administrator(GCUX)UNIX安全管理员Securing Oracle Certification(GSOC)Oracle安全认证Certified Penetration Tester(GPEN)渗透测试认证 Reverse Engineering Malware(GREM)恶意软件反向工程Assessing Wireless Networks(GAWN)无线网络安全GIAC.Net(GNET).NET 安全,国内外信息安全资质认证与培训（5）,软件安全类的认证GIA

13、C Secure Software Programmer C（安全软件程序员-C）GIAC Secure Software Programmer Java（安全软件程序员-Java）审计类认证Security Audit Essentials(GSAE)安全审计基础ISO-17799 Specialist(G7799)ISO-17799安全标准Systems and Network Auditor(GSNA)系统和网络审计员法律类GIAC Legal Issues(GLEG)法律问题管理类 Information Security Professional(GISP)Certified Pro

14、ject Manager Certification(GCPM)项目管理者认证 Security Leadership Certification(GSLC)安全领导人Certified Incident Manager(GCIM)紧急事件管理者,信息安全人才培养的层次化知识体系,通过研究各课程内容之间的关系，构成了层次化知识体系，增加了原体系中软件安全部分的内容。4个层次 基础层次、关键技术层次、系统与软件安全层次、应用安全层次,信息安全人才培养的层次化知识体系,数学基础数论、离散结构密码学相关的数学基础,计算机软件基础程序设计基础算法软件设计与过程,系统结构基础计算机组成与体系结构计算机网

15、络基础操作系统 数据库系统嵌入式系统,通信与信息基础信息论基础信号处理基础通信原理,密码学原理与算法,认证、访问控制技术,攻击防御技术扫描 防火墙 入侵检测,信息隐藏技术数字水印,系统安全操作系统安全数据库安全,网络安全威胁 防御 安全协议,软件安全代码安全恶意软件软件测评,应用安全Web安全电子商务电子政务,网络安全工程安全系统设计风险评估 安全审计网络管理 计算机取证应急响应,信息安全标准 法律法规,信息安全专业课程体系（1）,依据层次化的知识体系，可以比较容易地构建信息安全人才培养的课程体系，在各个知识部分，各高校可以依据自己的实际情况，确定自己的课程培养方案。并且在各个层次可以开出不同

16、深度的课程,以适应不同的学生学习.基础层次软件基础：程序设计基础（C或C+）、算法设计与分析、面向对象程序设计、软件工程、Web技术等课程。系统结构基础：计算机组成原理、汇编语言、计算机体系结构、计算机网络、操作系统、数据库系统、嵌入式系统等。通信与信息基础：信息科学导论、信号处理基础、现代通信原理、无线通信等课程。数学基础：信息安全数学基础、离散数学、组合数学等。关键技术层次 密码学及其应用、入侵检测与防御技术、信息隐藏、数字水印,信息安全专业课程体系（2）,系统与软件安全层次系统安全:操作系统安全（Windows|Unix）、数据库安全网络安全:网络安全、无线网络安全。软件安全:病毒攻击与

17、防治、安全编程技术、软件安全与测评等课程。应用安全层次应用安全：电子商务、电子政务、Web安全技术、智能卡加密等课程。网络安全工程、网络安全管理与审计、计算机应急响应、计算机取证等课程。安全标准、法律、法规,多媒体技术,操作系统原理,数据库原理与应用技术,计算机体系结构,信息学科导论,信息与编码,大学计算机基础,程序设计基础,信息隐藏,病毒攻击与防治,入侵检测与防御技术,嵌入式系统与单片机,信息安全工程,软件安全与测评,操作系统安全,安全编程技术,数据结构,离散数学,现代密码学,信息安全数学基础,编译原理,算法设计与分析,面向对象技术,信号处理基础,通信原理,计算机网络,网络安全,软件工程,电子商务与电子政务,电路与电子技术,数字电路与逻辑设计,计算机原理与汇编,网络安全,电子商务与电子政务,谢谢!,