前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇信息安全專業(yè)范文，相信會為您的寫作帶來幫助，發(fā)現更多的寫作思路和靈感。

信息安全專業(yè)范文第1篇

北京郵電大學(以下簡稱北郵)是2001年教育部批準設立信息安全本科專業(yè)的18所高校之一。北郵信息安全本科專業(yè)從2002年起招生，目前在校本科生規(guī)模360人。

北郵從1993年開始招收密碼學碩士生，1998年設立密碼學博士點，2003年同時設立信息安全碩士點和博士點，2004年密碼學博士后流動站正式獲得批準。此前，從1981年開始，北郵就以“信號與信息處理”學科為基地，培養(yǎng)信息安全類專業(yè)的碩士生和博士生。目前，北郵以信息安全為研究方向的在校研究生規(guī)模略大于在校本科生規(guī)模。

在信息安全類專業(yè)人才培養(yǎng)方面，北郵的策略是：以研究生培養(yǎng)帶動本科生培養(yǎng)，以科研促進教學，形成產、學、研、用之間的良性互動。北郵信息安全類本科專業(yè)和研究生學科的培養(yǎng)均以“北京郵電大學信息安全中心”(信息產業(yè)部重點實驗室)為依托。

下面結合北郵多年來在信息安全類專業(yè)建設和人才培養(yǎng)方面的經驗和教訓，比較全面地介紹我們自己的體會，希望有助于國內兄弟院校更好地承辦信息安全類專業(yè)，有助于互相學習，整體提高我國信息安全類專業(yè)的教育水平。

體會1：良好的生源是確保高水平教育質量的基礎。由于我國信息行業(yè)的強勁發(fā)展勢頭，使得北郵的整體生源情況很好，北郵的高考錄取線始終處于全國前列。但是，信息安全專業(yè)并不是北郵的主流專業(yè)，因此，作為一個新興專業(yè)，“信息安全”要想在北郵占據生源相對優(yōu)勢必須面對十分艱巨的競爭。為此，我們在校內主打“特色牌”和“綜合牌”：把信息的獲取、傳遞、存儲、處理、控制、管理、應用與安全結合起來，特別側重網絡與信息安全、通信系統(tǒng)安全、現代密碼學、數字內容安全的理論與應用。形象地說，我們把北郵的信息安全專業(yè)辦成了所有其他主流專業(yè)的不可缺少的核心技術支撐專業(yè)，不但使其他專業(yè)的畢業(yè)生以畢業(yè)后能進入信息安全專業(yè)讀研究生為榮，而且還吸引了不少其他專業(yè)的尖子生利用在學期間的轉專業(yè)機會擠進信息安全專業(yè)。

從最近兩年的統(tǒng)計數據看，北郵信息安全本科專業(yè)在全國的招生錄取線一般都超過當地重點錄取線的70-100分以上，在大部分省市超過北郵的平均錄取分。

體會2：明確的培養(yǎng)目標是全體師生齊心協力的關鍵。北郵信息安全本科專業(yè)的培養(yǎng)目標始終鎖定在培養(yǎng)掌握信息安全的基本理論與方法，具備系統(tǒng)工程、計算機技術和網絡技術等方面的專業(yè)知識，運用所學知識與技能去分析和解決相關的實際問題，具有較高的綜合業(yè)務素質、較強的創(chuàng)新與實踐能力，可在信息產業(yè)以及其他國民經濟部門從事各類信息安全系統(tǒng)、計算機安全系統(tǒng)的設計、開發(fā)、研究、教學等工作的高級工程技術人才。

為了實現該培養(yǎng)目標，我們采取了許多非常規(guī)的措施，比如，以個性化培養(yǎng)模式來培養(yǎng)杰出學生(北郵信息安全專業(yè)對學有余力的本科生采用3＋1模式，即最后一年除了開設專業(yè)選修課之外，開始進行畢業(yè)設計，使得學生有更多的時間在指導老師的帶領下，鍛煉其發(fā)現問題和解決問題的能力，進行創(chuàng)新能力培養(yǎng))；安排優(yōu)秀學生盡早加入到研究生的研究課題之中，體會“學”與“研”結合的真諦(個別大學生早在一年級時就成為了研究生的科研助手)；跨學科培養(yǎng)，逐步形成核心課程體系，鼓勵開設特色課程；鼓勵學生大膽創(chuàng)新，積極參加各類課外活動。

事實證明，到目前為止，北郵信息安全專業(yè)的培養(yǎng)目標已經達到，而且培養(yǎng)效果令人滿意。北郵信息安全專業(yè)的學生思維活躍，創(chuàng)新意識強。由北郵安全專業(yè)的學生為主要成員的北京郵電大學BuptUnited團隊在CSIDC 2006年度國際設計競賽中，取得全球第二名的優(yōu)異成績。(由IEEE計算機協會主辦，微軟公司贊助的CSIDC 2006年第七屆國際計算機設計競賽是世界性的頂級賽事，對于計算機科學和計算機工程領域內的大學生來說，這是一項在世界范圍內最為重要、最為活躍的賽事。其參賽作品：A1 Coal Mine Enhancement System經過初賽、在華盛頓特區(qū)舉行的總決賽的激烈競爭，從全球100多所高校的185支代表隊中脫穎而出，最終取得了全球第二名的優(yōu)異成績，并獲得1.2萬美金的獎勵。這一名次創(chuàng)造了中國大陸大學生在此項賽事中的最佳記錄。)同時，北京郵電大學BuptUnited團隊在微軟舉辦的“WESC 2006年度國際嵌入式開發(fā)大賽”中取得全球第五名的好成績。北郵信息安全專業(yè)的學生積極參加校內的創(chuàng)新競賽活動，在北京郵電大學第六屆學生“創(chuàng)新獎”中獲得一等獎1人次，二等獎2人次，三等獎1人次。

至今，北郵信息安全專業(yè)的畢業(yè)生中大約有2/3的人員繼續(xù)攻讀研究生(其中20%出國深造)，另1/3到國內電信、信息及信息安全的大中型企業(yè)中就業(yè)。

體會3：綜合素質與能力的培養(yǎng)是打造信息安全類專業(yè)學生核心競爭力的法寶。過于注重考試和書本知識的學生不是信息安全類專業(yè)的好學生，“個人英雄主義”也不是信息安全類專業(yè)的學生素質要求，“情商”和“智商”對信息安全類專業(yè)的學生來說同等重要?；谶@些認識，北郵特別重視對信息安全專業(yè)學生的以下四個素質和三項能力的培養(yǎng)：

* 思想道德素質：政治素質、思想素質和道德品質好，法制意識、誠信意識和團體意識強。

*文化素質：具有一定的文化素養(yǎng)、文學藝術修養(yǎng)、現代意識和人際交往意識。

*專業(yè)素質：掌握科學的思維方法和研究方法，求實創(chuàng)新意識、工程意識和效益意識較強，有很好的科學素養(yǎng)、綜合分析素養(yǎng)和創(chuàng)新精神。

*身心素質：身體素質和心理素質好，能夠在激烈的信息安全智力競爭中始終保持積極的心態(tài)，即使是受到失敗的打擊。

*獲取知識的能力：具有一定的表達能力和社交能力，具有較強的計算機及信息通信技術應用能力，自學能力較強，具有跟蹤掌握該領域新理論、新知識、新技術的能力。

*應用知識的能力：具有一定的綜合應用知識解決問題的能力和綜合實驗能力，較強的工程實踐能力和工程綜合能力。

*創(chuàng)新能力：具有一定的創(chuàng)造思維能力、創(chuàng)新實驗能力、技術開發(fā)能力和科研能力，甚至具有一定的創(chuàng)業(yè)意識。

體會4：強大的師資隊伍是培養(yǎng)高質量學生的根本保障。北郵信息安全專業(yè)的師資主要來自于北京郵電大學信息安全中心。師資隊伍中有包括長江學者特聘教授、博士導師、教授、副教授等近三十人。在學生的培養(yǎng)過程中，我們隨時都感受到師資力量的嚴重不足。信息安全類專業(yè)需要如下各種類型師資的和諧搭配。

(1) 科學家型的師資：信息安全是對抗性極強的專業(yè)，許多科學難題有待攻克，同時也需要學生掌握解決各種新出現的科學問題的基本思路與能力。北郵虛心向科學院的相關專家學習，聘請他們以多種形式擔任北郵信息安全專業(yè)的師資。

(2) 工程師型的師資：信息安全面臨大量工程課題，許多工程項目知識并不能通過簡單的課堂教學來傳授，因此，必須聘請有實際工程經驗的師資來直接指導學生。北郵信息安全專業(yè)主要通過在大型企業(yè)中建立本科生教學實習基地等形式來創(chuàng)造本科生與工程師零距離接觸的機會。

(3) 企業(yè)家型的師資：如果中國的信息安全企業(yè)不強大，那么中國的信息安全事業(yè)將永遠沒有主動權。中國不但需要信息安全的業(yè)務骨干，也同樣需要信息安全的創(chuàng)業(yè)者和企業(yè)家。完美的“儒”“商”融合必須從師資開始。北郵的教授們帶頭創(chuàng)業(yè)，并積極鼓勵學生創(chuàng)業(yè)創(chuàng)新。

為了提高國內信息安全專業(yè)類專業(yè)的師資水平，考慮到信息安全是一個新辦專業(yè)，各開辦學校需要一個交流的平臺，2003年，由北京郵電大學發(fā)起，由來自全國各地的六十余所高校，組織成立了“全國信息安全專業(yè)師資交流與培訓互助組”(簡稱“互助組”)。如今，“互助組”已經進行了四次全國性的大型活動：全國信息安全專業(yè)教學經驗交流和師資培訓研討會(2004年10月北京)；全國信息安全專業(yè)實驗課程教學經驗交流研討會(2005年5月北京)；全國信息安全專業(yè)實驗課程師資交流與培訓研討會(2005年8月綿陽)；全國高校信息安全實驗室建設經驗交流研討會(2006年7月綿陽)。目前，“互助組”還正在籌備全國高校信息安全畢業(yè)生與用人單位交流會。

隨著教育部信息安全類專業(yè)教學指導委員會(以下簡稱“教指委”)的成立，今后，“互助組”的師資培訓與交流活動將以適當的形式納入到教指委的活動之中，而且“互助組”的成員單位也將以適當的形式參加教指委的更多的活動。

體會5：信息安全類本科專業(yè)規(guī)范建設刻不容緩。專業(yè)規(guī)范是本科專業(yè)建設的“小憲法”，但是，由于歷史的原因，國內信息安全類專業(yè)的許多高校都是在沒有專業(yè)規(guī)范的情況下，借助各自在信息安全類專業(yè)的研究生培養(yǎng)經驗舉辦富有特色的本科專業(yè)。2004年，受教育部相關機構的委托，北京郵電大學牽頭，相關大學參與，共同研究制定了“信息安全專業(yè)規(guī)范(科學技術型)(工程技術型)”。該“專業(yè)規(guī)范”從課程設置、教材建設、實驗條件、畢業(yè)實習、工程實踐等方面對信息安全專業(yè)進行了規(guī)范。但是，隨著信息安全教指委的正式成立，急需出臺更加全面、適應面更廣的信息安全專業(yè)規(guī)范。

體會6：信息安全專業(yè)教材與課程建設是核心。信息安全專業(yè)建設的規(guī)范制定之后，教材和課程建設就必須進入議事日程了，這又是新成立的信息安全教指委的另一項緊急任務。

2004年北京郵電大學組織出版了一套信息安全的專業(yè)課系列教材(共六本，《現代密碼學基礎》、《信息安全概論》、《網絡安全》、《入侵檢測》、《信息隱藏與數字水印》、《計算機病毒原理與防治》)，該套教材是教育部“普通高等教育‘十五’國家級教材規(guī)劃”和北京市 “精品教材立項”。目前正根據使用情況以及專業(yè)課程的需要對該套教材進行修訂和再版。希望教育部信息安全教指委能夠組織全國專家，盡快出版更加權威的系列教材，以供相關高校急用。

信息安全專業(yè)是一個對實驗及實踐能力要求比較高的專業(yè)，根據專業(yè)建設的要求，北郵于2005年出版了《信息安全實驗教程》(國防工業(yè)出版社)，并組織了全國信息安全專業(yè)實驗室建設和實驗課程教學經驗交流研討會，邀請了北京郵電大學、上海交通大學、武漢大學等信息安全實驗室建設及實驗教學有特色的學校進行了交流。同時，根據“互助組”相關學校的要求，我們幫助一些學校完成了信息安全專業(yè)實驗室建設工程(包括湖南大學、南京航空航天大學、中國防災高高等?？茖W校等)。北郵將樂于為更多的高校建設合格的信息安全專業(yè)實驗室。

在本科教學中，精品課和精品教材的建設非常重要。2006年，北京郵電大學信息安全專業(yè)基礎課“現代密碼學”被評為北京市精品課。2007年，該門課程被教育部信息安全教指委推薦申報國家級精品課。如今，北郵正繼續(xù)建設信息安全的重要專業(yè)基礎課“信息安全”、“網絡安全”等精品課及精品教材。希望在教育部信息安全教指委的指導下，國內有更多信息安全類專業(yè)的精品教材和精品課程誕生，這將有助于提高信息安全專業(yè)的整體地位，有助于早日將信息安全設立為一級學科。

在信息安全專業(yè)本科生培養(yǎng)過程中，實習和實踐是非常重要的一環(huán)。為了滿足信息安全專業(yè)建設的需要，北京郵電大學在四川綿陽建設了一個占地面積40畝，設施齊全師資雄厚的開放式“全國信息安全專業(yè)本科生畢業(yè)實習基地”，目前該基地已接待包括北京郵電大學、西南交通大學、成都理工大學、云南大學、中國傳媒大學、綿陽師范學院、東北大學(秦皇島分校)、中國防災高等?？茖W校等學校的信息安全及相關專業(yè)學生進行多種模式的實習及實訓(長、中、短期模式：“3+1”、3個月、10天)。建議教育部信息安全教指委積極指導信息安全專業(yè)的實習實訓基地建設，制定統(tǒng)一的基地標準。

體會7：信息安全類專業(yè)建設剛剛起步，任重而道遠。教育部信息安全教指委的正式成立無疑會大大加速國內信息安全專業(yè)的整體建設，但是，當前面臨的困難和問題還很多，比如：

*目前信息安全專業(yè)學科的設置與國家對信息安全保障及人才培養(yǎng)的重視程度不相符合?！靶畔踩究茖I(yè)”還是目錄外專業(yè)，可以分別授予工學和理學學士學位；國內各高校根據自己的優(yōu)勢，把信息安全專業(yè)放在理學院、計算機學院、通信學院、信息學院，等。

*在研究生層次“信息安全”是一個二級學科，造成了事實上我國信息安全專業(yè)設置比較混亂的局面：一些高校的信息安全學科基本上作為計算機科學與技術學科的二級學科；也有一些高校將信息安全學科作為通信與信息系統(tǒng)或者數學學科下的二級學科；與信息安全關系密切的信息對抗學科一般被放在電子工程學科下；作為信息安全的核心學科“密碼學”所屬的一級學科是“軍隊指揮學”，這顯然與當前的實際情況有很大出入。

*由于專業(yè)設置的問題，導致課程體系也有不少問題：多數學校舉辦的信息安全本科專業(yè)都是密碼學、計算機科學與技術或信息與通信工程等相近學科課程體系的擴展或延伸，缺少系統(tǒng)觀點與方法；現有課程體系基本上是某個相近學科課程體系的擴展或延伸，在課程中注重密碼學、防火墻、入侵檢測等單純安全理論與技術知識的傳授，缺少系統(tǒng)觀點與方法；大多數學校開設的專業(yè)課程數量少，且沒有規(guī)范的專業(yè)課教材，學生能夠獲得的知識體系也有缺陷，還未形成系統(tǒng)、完整的科學研究與人才培養(yǎng)體系。

*信息安全實驗教學模式還有待改進，至少需要克服如下問題：偏重理論知識的傳授，并不強調實踐能力；實驗內容單一，而且缺少綜合性設計實驗；不強調實驗環(huán)境的真實性而以模擬情景為主。

*實驗條件還比較落后：實驗手段和條件不具備，絕大部分高校都沒有信息安全專業(yè)實驗室；僅進行簡單的加密/解密、防火墻或者入侵檢測等實驗；對于網絡對抗等更深入的實驗涉及較少；缺乏相對穩(wěn)定且符合一定要求的(校外)實習基地。

信息安全專業(yè)范文第2篇

【關鍵詞】職業(yè)技能；信息安全；“1+X”證書；實訓課程；改革探索

高職院校是我國高等教育事業(yè)一個重要的組成部分，肩負著為國家、社會、企業(yè)培養(yǎng)高素質、高技能型的實用型人才的重任。近年來，隨著信息技術的飛速發(fā)展，信息安全問題日益突出，人們越來越意識到網絡安全的重要性-“沒有網絡安全，就沒有國家安全”。當前，政府部門、企事業(yè)單位對信息安全人才求賢若渴，信息安全人才缺口很大。截止到2021年，我國高職院超過2000所，高職院校作為一支人才培養(yǎng)的生力軍，在培養(yǎng)實用型信息安全人才方面大有用武之地。目前，我國信息安全人才年培養(yǎng)規(guī)模在3萬人左右，而信息安全人才總需求則超過70萬人，缺口高達95%。在這一背景下，我國高校紛紛開設信息安全專業(yè)，加在信息安全專業(yè)人才培養(yǎng)力度。據統(tǒng)計，2016-2019年，我國共有45所高校新增信息安全專業(yè)，其中2016年新增的有11所，2017年新增15所，2018年新增11所，2019年新增8所。雖然當前信息安全專業(yè)成了熱門專業(yè)，各高校也如火如荼開設相關專業(yè)，擴大招生規(guī)模，但如何保障人才培養(yǎng)質量，加強學生信息安全實戰(zhàn)能力，無縫對接相關企業(yè)的崗位技能要求，才是提升信息安全專業(yè)人才培養(yǎng)內涵水平的關鍵。為有效銜接學校教育與職業(yè)崗位要求，教育部于2019年推出了“1+X”證書制度：要求在高職院校學生除了獲取1個學歷證書外，鼓勵學生自主選擇若干個職業(yè)技能證書，以增強學生在擇業(yè)、就業(yè)方面的競爭力。對于信息安全專業(yè)人才培養(yǎng)而言，無論是“1+X”證書，還是學校綜合實訓課程，都是提升其工作實踐能力，提升學生理論聯系實際、解決具體問題的能力。

一、當前高職信息安全專業(yè)實訓課程設計與教學現狀分析

雖然目前我國眾多院校都積極開辦信息安全專業(yè)，但實職業(yè)技能等級認證視域下高職信息安全專業(yè)實訓課程體系構建研究文|余姜德冷令梁本來【摘要】針對高職院校信息安全專業(yè)實訓課程設置及實施過程中普遍存在的問題，如：未有效對接職業(yè)崗位要求；課程內容陳舊、碎片化現象嚴重；實驗設計驗證性有余，而創(chuàng)新性不足；實訓室建設受客觀條件限制，難以滿足教學要求等一系列問題，分析信息安全人才培養(yǎng)能力目標，結合教育部“1+X”證書具體要求，提出了“找準專業(yè)特色定位，精心選擇職業(yè)技能等級證書；合理規(guī)劃實訓內容，突出實踐項目創(chuàng)新，虛實平臺有效結合”的課程體系構建策略，并積極實踐探索，為培養(yǎng)實用型和創(chuàng)新型的信息安全技術人才打下堅實基礎。

（一）學校定位不明確，課程特色不鮮明

當前，我國所高?？梢苑殖啥箢悾阂活愂瞧胀ū究圃盒?，包括綜合型、研教型和教學型等不同類型高等學府，這其中既有“雙一流”、985、211等知名高校，也有普通地方本科高校，比如我們通常所說的“一本”、“二本”等；另一類是高等職業(yè)教育院校，包括高等職業(yè)?？坪透叩嚷殬I(yè)本科兩個層次，其中高等職業(yè)本科，往往又被稱為應用型本科學校。隨著國家人口結構的經濟發(fā)展內涵式調整，社會對于高等職業(yè)院校有了全新的認識，高職院校越來越受到人們的重視，高等職業(yè)教育迎來了重大的發(fā)展機遇期。無論是本科院校，還是高職院校，一所學校的人才培養(yǎng)目標是與其在社會和教育系統(tǒng)內所處的層次和地位緊密相關的，不同類型和層次的學校，對于人才的培養(yǎng)目標應該是不同的。本科院校，其人才的培養(yǎng)目標主要以研究型、創(chuàng)新型和技術型人才為主，通過基礎理論研究、先進系統(tǒng)開發(fā)和技術革新促進社會的整體科技進步，強調人才的基礎理論扎實牢固、知識體系的全面完整；而高職院校，其人才的培養(yǎng)目標主要以實戰(zhàn)型、應用型和工程型人才為主，不要求基礎理論寬泛深厚，但一定要在某一領域的應用上比較精通；人才大部分從事于工程項目實踐中，要求實踐動手能力突出，膽大心細，而且具有“工匠精神”，通過技術應用實踐，把科技創(chuàng)新從紙面理論變成實際產品或者實際場景。具體到信息安全人才的培養(yǎng)，本科院校主要培養(yǎng)信息安全研究開發(fā)人才，而高職院主要培養(yǎng)信息安全實踐應用人才。但目前的現實情況是，高職院校大都有意無意模糊自身的“高職”定位，甚至千方百計尋求擺脫職業(yè)教育身份，而往“本科院?！狈较蜣D變，從而制定不切實際的人才培養(yǎng)目標，其根本原因就在于自身層次定位和人才培養(yǎng)目標的定位都出現偏差。其次，無論是本科院校還是高職院校，其培養(yǎng)的人才，最終都需要走向就業(yè)市場。人才需要通過在工作崗位上的職業(yè)能力表現來得到企業(yè)和社會的認可。而人才的就業(yè)，往往會采取“就近原則”，即學生會一般會優(yōu)先選擇當地的企業(yè)去就業(yè)，避免“背井離鄉(xiāng)”式的四處奔波。因此學校開辦的專業(yè)應該立足于服務當地企業(yè)、當地經濟和當地產業(yè)，所培養(yǎng)的人才要達到當地用人企業(yè)和單位的職業(yè)技能要求，要盡可能被當地企業(yè)所吸收。從這種意義上來說，不同經濟發(fā)展區(qū)域的信息安全專業(yè)人才培養(yǎng)方案的設計應和課程體系應具有不同的地方特色：比如珠三角、長三角的高職院校信息安全專業(yè)和中西部經濟欠發(fā)達地區(qū)高職院校的信息安全專業(yè)在專業(yè)特色上應該有明顯的差異。很遺憾，現實情況是，在專業(yè)設置和課程設計上，各個高校普通喜歡“追熱點”，“大跟風”：什么專業(yè)熱門，就上什么專業(yè)；什么課程熱門，就開什么課程。甚至在人才培養(yǎng)目標定位上，普通本科院校照抄照搬綜合性、科研性大學；高職大專院校跟風模仿應用型本科院?；蚵殬I(yè)技術大學，這顯然是不科學和不正確的。

（二）實訓內容呈碎片化、同質化特征

信息安全是一門綜合性的學科，所涉及的知識體系龐雜，涵蓋范圍非常廣泛，有計算機科學與技術、通信工程、數學、密碼學、電子工程等諸多學科的內容[3]。但當前信息安全人才培養(yǎng)過程中，所構建的實訓課程體系，往往貪多求全，各知識點之間缺乏內在邏輯聯系和層次遞進關系，實訓知識體系結構呈現“碎片化”的形態(tài)。知識“碎片化”的低效性在于，學生學習得到的大部分東西都是零碎的、分散的、雜亂的，很多時候只是停留在知道、了解的層面，并沒有與原來的知識體系產生深層的聯系。沒有深層次的理解，自然沒有辦法靈活地運用，更沒有辦法轉化為個人能力和技能。另一方面，由于各學校之間盲目借鑒或實訓室承建廠商有意無意地“互相抄襲”，實訓課程內容“同質化”現象嚴重。實訓內容“同質化”一個最顯著的特征就是實質內容重復，缺乏獨創(chuàng)性和開拓性內容。信息安全專業(yè)實訓課程內容同質化，導致很多高校信息安全專業(yè)的差異化人才培養(yǎng)成為空談，實際上，信息安全專業(yè)人才更應該是“不拘一格降人才”。

（三）實訓內容陳舊，實訓過程淪為結果驗證，缺乏深度思考

信息安全實驗的設計，既需要一定的理論知識，也需要動手實際操作，因此具有一定的復雜性，難度相對較高。我們調研了很多學校的網絡攻防實訓室，對于復雜的實驗，其實訓平臺上的內容安排一般都是列出詳細地操作步驟，末尾配上最終的實驗結果。只需按照實驗指示步驟一步一步進行操作，實訓結束，看最后結果與實驗指導書的結果是否一致即可。這樣的結果是實訓過程淪為為實驗指導書的結果驗證，缺乏深度思考的引導。我們以“MAC地址泛洪攻擊”為例，它是一個經典網絡安全實訓示例，大多數的實訓設計是這樣的：1.闡明攻擊原理；2.給出實驗環(huán)境搭建說明，而且在實際教學過程中實驗環(huán)境已經在教學平臺上搭建好；3.詳細列出攻擊步驟，每一步都完整給出實驗截圖；4.寫出實驗總結。這樣一整個實驗學生做下來，除了驗讓自己每一步操作與實驗指導書上有什么不同外，很少有其他收獲。我們其實更應該進行深度思考和拓展：1.“MAC地址泛洪攻擊”一般在什么情形下發(fā)生?2.用軟件方法和硬件方法，如何防洪這類攻擊？3.抓包和解碼后具體分析作用在哪里，如何應用到實戰(zhàn)中？可以通過啟發(fā)式的訓練，加強學生具體運用知識和實踐創(chuàng)新能力的提升。

（四）實訓課時與資源受限，難以滿足實際需求

大多數學校實訓室建設經費緊張，實訓經費申請批復繁難。而信息安全知識迭代更新較快，平均二年左右就出現新的技術熱點，而信息安全實訓室申報、建成和使用周期一般都在五年以上，想要不斷投入建設資金更新換代非常困難。而且從信息安全實訓室建設軟硬件來看，無論是網絡安全硬件設備，諸如防火墻、IDS、各類型服務器，還是攻防綜合演練系統(tǒng)，價格都比較昂貴，更新或升級代價很大，因此，信息安全實訓資源庫的完善成為制約人才培養(yǎng)的一個瓶頸。（五）實訓內容與職業(yè)崗位脫鉤，缺乏實用性許多高職院校在設計信息安全技術應用實訓課程內容時，往往沒有充分調研職業(yè)崗位要求，盲目以課程或者教材中設計的知識點來設計實訓大綱。這樣做的結果是實訓內容與職業(yè)崗位脫鉤，缺乏實用性，陷入“紙上談兵”的窘境。企業(yè)崗位技能需求是客觀真實的，是市場提出的要求，是應該放在第一位，而且信息安全技術發(fā)展非常迅速，日新月異，實際工作中的信息安全技能點要求也是最新的，它往往比已經固化定型的實訓內容要真實，實戰(zhàn)性更強。面對存在的諸多問題，需要理清思路，結合當前國家在職業(yè)教育方面大力推行的“1+X”證書制度，找到解決問題的方案。

二、職業(yè)資格認證視域下實訓課程體系構建與革新

2019年1月國務院印發(fā)了《國家職業(yè)教育改革實施方案》。把學歷證書與職業(yè)資格技能等級證書結合起來,探索實施“1+X”證書制度。2019年《政府工作報告》進一步指出,“要加快學歷證書與職業(yè)技能等級證書的互通銜接”[4]。簡單來說，“1+X”中的“1”為學歷證書，“X”為若干職業(yè)技能證書。學歷證書全面反映學校教育的人才培養(yǎng)質量,在國家人力資源開發(fā)中起著不可或缺的基礎性作用。職業(yè)技能等級證書是畢業(yè)生、社會成員職業(yè)技能水平的憑證,反映職業(yè)活動和個人職業(yè)生涯發(fā)展所需要的綜合能力?！?+X”職業(yè)資格認證改革的主要目的就是鼓勵職業(yè)院校學生在獲得學歷證書的同時，積極取得多類職業(yè)技能等級證書，拓展就業(yè)創(chuàng)業(yè)本領，緩解結構性就業(yè)矛盾。

（一）找準專業(yè)特色定位，明確職業(yè)崗位

構建科學的信息安全專業(yè)實踐課程體系，首先需要找準專業(yè)特色定位。高職院校信息安全技術應用專業(yè)，其專業(yè)特色定位關鍵因素在于學校層次、當地經濟和產業(yè)需求、職業(yè)崗位技能要求、課程要求和信息安全技術特色等。高職院校培養(yǎng)信息安全技術應用專業(yè)適用人才的正確思路是：在依據學校類型確定人才培養(yǎng)目標基礎上，考慮當地信息安全產業(yè)鏈的發(fā)展情況，對接區(qū)域經濟和產業(yè)發(fā)展，凸顯行業(yè)特色、專業(yè)特色、課程特色、技術特色培養(yǎng)當地經濟發(fā)展需要的專業(yè)人才[4]。我們以中山職業(yè)技術學院信息安全技術應用專業(yè)為例，當地的信息安全企業(yè)不多，知名企業(yè)主要有深信服（中山）、廣東網安科技、廣東凌臣等幾家企業(yè)，但中山周邊的城市，像廣州、深圳的信息安全企業(yè)就很多，因此我校信息安全技術應用專業(yè)特色定位是：依托大灣區(qū)信息安全產業(yè)，培養(yǎng)立足于中山，面向廣州、深圳一線城市的高技能型信息安全服務人才，主要崗位包括：信息安全/安全運維工程師、滲透測試工程師、等級保護測評工程師、安全服務工程師、系統(tǒng)工程師、技術支持工程師等[5]。

（二）精心選擇職業(yè)技能等級證書，合理規(guī)劃實踐教學內容

當前職業(yè)技術等級證書有很多種，如何去確定最適合自己學校和專業(yè)的證書呢？主要考慮因素有以下三點[6]：1.證書含金量較高，具有權威性，社會認可度高；2.證書考核難度適宜，適合學生學情基礎；3.證書與專業(yè)結合緊密，相輔相成。以中山職業(yè)技術學院信息安全技術應用專業(yè)為例，我們選擇了上海海盾網絡安全中心的“企業(yè)網絡安全防護職業(yè)技能等級證書（中級）”。該證書是教育部第三批認可的職業(yè)資格證書，社會認可度比較高，可以作為企業(yè)網絡安全從業(yè)人員的崗位認證，同時與人才培養(yǎng)方案中的基礎專業(yè)課程有良好的承接關系。所以我們選擇了該證書。確定好職業(yè)技能證書之后，我們需要將證書中的崗位技能需求與實踐課程對應起來，并對原有的人才培養(yǎng)方案課程體系進行重新構建。

（三）優(yōu)化設計實踐項目案例，突出實踐教學項目創(chuàng)新

確定好信息安全技術應用專業(yè)綜合實訓整體框架后，就需要設計優(yōu)化實踐項目。在建設實訓室時，建設單位一般會提供整套的實踐案例，但這些案例大都是“驗證型”的項目，不需要思考就能到最終的結果，這樣的實驗案例對于鍛煉學生的創(chuàng)新思維沒有多大的幫助。針對這一現狀，一線任課教師往往要積極參與到實訓室建設過程中，與建設單位討論、優(yōu)化實訓項目案例，增加工程實際項目，在實驗過程中，加入“應用情境延伸”、“項目拓展”、“創(chuàng)新思考”等思考型環(huán)節(jié)。而且，實訓系統(tǒng)往往都有二次開發(fā)接口，學校要充分利用好這個接口，將教師的科研、工程項目轉化成實踐案例，真正把二次開發(fā)落到實處。我們設計的主要綜合實踐項目案例如下表1所示

（四）虛擬實訓平臺有效結合，破解實訓資源限制瓶頸

由于招生規(guī)模的不斷擴大，建起來沒有多久的實訓室往往會出現不夠用的情形。為了破解實訓資源有限的瓶頸，我們需要積極利用虛擬網絡安全實訓平臺。我們專業(yè)目前使用深信服信息安全實訓室，能滿足一個班50人的實訓要求，但我們有兩個班需要同時在線實驗，為此，我們借助了虛擬網絡安全實訓平臺：使用“合天網安實訓室”虛擬平臺作為物理實訓室的必要補充，購買了100個賬號，5年的資源使用權限，這樣我們實際上可以完成三個班的實訓教學要求。

三、結束語

我校信息安全技術應用專業(yè)選擇上海海盾“企業(yè)網絡安全防護職業(yè)技能等級（中級）”證書作為職業(yè)資格證書，結合人才培養(yǎng)目標，對接職業(yè)崗位技能要求，重構了本專業(yè)實踐課程體系，并依此申請建設了“深信服信息安全實訓室”，同時使用了“合天網絡安全實訓室”虛擬平臺作為補充，經過兩年的使用實踐，不僅滿足了學生實訓要求，培養(yǎng)了更多實踐能力強的人才；也給教師的科研實踐提供了有利條件，得到師生的廣泛認可，取得很好的效果。

參考文獻

[1]翁健，魏林鋒，張悅.網絡空間安全人才培養(yǎng)探討[J].網絡與信息安全學報，2019（03）：45-46.

[2]劉何秀,邵長臣,穆建平,陳騰.開發(fā)數據采集職業(yè)技能等級標準的必要性研究[J].信息技術與信息化.2020,(06)：37-40.

[3]劉楊,王佰玲.面向網絡空間安全新工科的密碼學教學研究[J].高教學刊,2018(12):13-15.

[4]陳麗婷,李壽冰.1+X證書制度實施的意義與現實問題分析[J].職業(yè)技術教育2020,(27).13-18.

[5]余姜德.高職信息安全專業(yè)實訓課程與實訓平臺構建探索[J].廣東職業(yè)技術教育與研究，2018（4）：162-163.

信息安全專業(yè)范文第3篇

（二）推進現代學徒制試點班獨立運行

目前，學院在信息安全與管理專業(yè)的基礎上與相關企業(yè)合作，成立了“信息安全與管理專業(yè)現代學徒制試點實驗班”。將試點班招生計劃納入到學院的年度招生計劃統(tǒng)一管理，并將這一舉措向社會、考生公布，大力宣傳。校企共同研究、制定招生與招工方案，并將試點專業(yè)、學制、培養(yǎng)目標、教學內容、教學形式、就業(yè)方式、退出機制等信息告知學生和家長。校企共同制定試點工作實驗班學生的遴選辦法，制訂學生、企業(yè)、學校三方相關協議。按照遴選辦法對專業(yè)新生進行選拔，學生、企業(yè)、學校三方之間簽訂協議，以確保各方權益，在明確分組劃分后，師徒之間簽訂培養(yǎng)協議。對簽訂協議的學生組建“信息安全與管理專業(yè)現代學徒制試點實驗班”獨立運行。

（三）實行校企“雙導師”

培養(yǎng)制度落實“雙導師”制，對試點工作實驗班的學生進行有效的分組，為每組分配一名學院師傅和企業(yè)師傅作為學生的導師，建立學徒與導師的溝通平臺，以便于定期溝通。在試點工作實驗班成功運作的基礎上，逐步過渡至招生錄取、培養(yǎng)和企業(yè)用工一體化，真正實現“招生與招工一體化”。

（四）建立體現現代學徒制特點的管理制度

科學合理的教學管理與運行機制是現代學徒制試點工作的重要保障。因此，我們要創(chuàng)新考核評價與督查制度。做到學生自我評價、教師評價、師傅評價、企業(yè)評價、社會評價有機結合。建立定期檢查、反饋等形式的教學質量監(jiān)控機制。學徒在企業(yè)頂崗實習，校內導師可以跟隨下廠指導，可以隨時對學徒的學習成果檢查。企業(yè)的人力資源部門定期做師傅與學生的互相評價，對學徒進行階段性考核，發(fā)現問題立即整改。校企共同制定學徒管理辦法，保障學徒權益，根據教學需要，科學安排學徒崗位、分配工作任務，保證學徒合理報酬。落實學徒的責任保險、工傷保險負責部門，確保學生在學徒過程中不出現人身安全。

信息安全專業(yè)范文第4篇

關鍵詞：信息安全；電子商務安全；教學方法

中圖分類號：G642.4 文獻標識碼：A 文章編號：1674-9324（2012）07-0193-02

電子商務是以互聯網為基礎而產生的網絡虛擬市場，這是一個具有全球性、數字化、跨時空等特點的飛速增長和潛力巨大的新興市場。面對這樣一個自身在不斷變化著的全新的網絡虛擬市場，安全問題一直是電子商務用戶特別關注的主題，是關系到電子商務能否順利發(fā)展的關鍵問題。因此，《電子商務安全》一直是經濟類專業(yè)的主要課程。開展電子商務活動，需要在互聯網上傳輸消費者和商家的一些機密信息，而這些信息正是網絡非法入侵者或黑客的攻擊目標，所謂電子商務安全，實質上就是這些信息的安全。因此說，“電子商務安全”是“信息安全”的重要應用?；诖耍畔踩珜I(yè)開設《電子商務安全》課程是非常必要的。然而，與經濟類專業(yè)開設的同名課程相比，由于專業(yè)背景不同，在教學目標、教學重點、教學內容、教學方法上有著很大差別，因此，深入開展教學研究，對提高教學效果具有十分重要的意義。

一、重視創(chuàng)新能力的培養(yǎng)

電子商務的核心是應用信息技術提高企業(yè)事務處理的信息流效率，改善企業(yè)的組織和管理。電子商務的信息安全是實施電子商務的第一要務，它要求電子商務系統(tǒng)在實現為客戶服務的同時有效防止泄密，并且具有強大的抵御攻擊能力，避免非法入侵帶來的損失。由此可見，《電子商務安全》課程的教學目標，首先應當是讓學生“懂”電子商務安全。也就是說，要讓學生掌握電子商務安全的基本理論，具備安全技術實際操作的能力。在此基礎上，要能使學生會應用這些理論和技術為具體的商務活動的實現提供安全保障?？紤]到信息安全專業(yè)的學生數理基礎較好，且學過《密碼學》、《計算機網絡》等課程，所以《電子商務安全》課程的教學應有更高的目標，要努力培養(yǎng)他們的創(chuàng)新精神，使他們具備發(fā)現電子商務實施過程中安全隱患的能力，并能為解決問題提供有價值的方案。信息安全專業(yè)畢業(yè)生的就業(yè)面是寬廣的，如能在《電子商務安全》課程的教學中切實達到“懂、用、創(chuàng)”三個目標，必將為學生今后從事電子商務領域的工作打下扎實的基礎。

二、把重點放在應用上

《電子商務安全》課程的理論性與實踐性都很強，課程內容綜合度高，且理論部分較為抽象，對于經濟類專業(yè)來說，由于學生文理兼收，且專業(yè)偏文，所以，在教學中讓學生真正理解電子商務安全的實現機理是有相當難度的，從而不得不在基本理論上花費較多時間。

然而，對于信息安全專業(yè)來說，情況有所不同，學生數理基礎較好，且不少基本理論知識已在《密碼學》、《計算機網絡》等課程中學過，所以教學《電子商務安全》課程要把重點放在應用上。這就是說，教學各部分內容都要從在電子商務中應用的角度來考慮，即使像密碼技術這樣的抽象理論亦是如此。比如公鑰加密技術是保障電子商務安全的核心技術，學生已在《密碼學》課程中學過基本理論，教學時，應當在梳理基本理論的基礎上著力解決如下實際操作問題：（1）如何生成密鑰對？（2）如何導出自己的公鑰，導入別人的公鑰？（3）如何進行加密文件的操作？（4）如何進行解密文件的操作？上述這些操作問題不解決，利用公鑰密碼體制保障電子商務安全就不過是紙上談兵。

三、精選實用的教學內容

《電子商務安全》課程的突出問題是學習內容多，課時少，在有限的學時內不可能詳細講解所有內容。所以，精心設計教學內容是十分重要的。對于信息安全專業(yè)來說，由于《電子商務安全》課程的不少理論知識，學生已經在《密碼學》、《計算機網絡》等課程中學過，所以，教學內容的設計要從電子商務的需要出發(fā)，結合學生實際合理安排。以下三大技術是設計內容時必須考慮的。

1.密碼技術。現代社會對信息安全的需求大部分可以通過密碼技術來實現。密碼技術是信息安全的核心技術。利用密碼技術可以達到對電子商務安全的需求，保證商務交易的機密性、完整性、真實性和不可否認性。考慮到實際情況，對學生熟悉的知識，一般梳理清楚，但要選擇電子商務中經常用到的知識，比如公鑰密碼體制，結合電子商務實例講深講透，讓他們能搞清理論，掌握實際操作技能，并能理解它的優(yōu)點和不足。

2.網絡安全技術。電子商務系統(tǒng)是依賴網絡實現的商務系統(tǒng)，網絡服務提供信息傳送的載體和用戶接入的手段，是各種電子商務應用系統(tǒng)的基礎。所以，應在學生已有網絡知識的基礎上，結合電子商務實例強化網絡安全技術的教學，使他們掌握基本的網絡安全攻防體系、防火墻、入侵檢測系統(tǒng)等網絡安全的主要技術和解決方案。

3.PKI（公鑰基礎設施）技術。公鑰基礎設施是普適性的安全基礎設施，是利用公鑰算法原理和技術為網上通信提供安全服務的基礎設施。它為電子商務提供一整套安全基礎平臺。教學時，要特別注意讓學生掌握數字證書和認證機構的有關知識，因為數字證書的應用是安全開展電子商務的前提，而電子商務的深入開展離不開數字證書技術和認證機構的督導。此外，教學中還應注意流行技術和新技術的講解。比如，電子支付是相對于電子商務環(huán)境而言的一種支付形式，是在傳統(tǒng)支付基礎上發(fā)展而來的，安全的電子支付是保障電子商務順利開展的關鍵。教學中要適當講解，并引導學生根據自己的興趣進一步跟蹤和探索。

四、采用互動的教學方法

根據信息安全專業(yè)學生的具體情況，《電子商務安全》課程的教學宜采用師生互動、注重實驗的方法。所謂師生互動就是在教學過程中教師負責提出問題，然后引導學生共同探討，在相互學習中使學生理解和掌握知識的互動形式。具體的做法是，教師選擇恰當的電子商務實例，借助多媒體課件設置問題，讓學生帶著任務進入學習狀態(tài)，然后組織學生分組討論，或者師生共同討論，教師對學生提出的各種見解從分析步驟的恰當性、結論推斷過程的邏輯性、思維的創(chuàng)新性諸方面進行綜合評定，最后總結、歸納出相應的知識點。實驗教學是為學生理解課程內容而設計的，通過實驗教學可以使學生掌握電子商務安全技術的操作方法。實驗設計應強調基礎，通過實驗要使學生理解相應的知識點并會加以利用，從而培養(yǎng)解決問題的能力。在校園網絡環(huán)境中建立基于B/S結構的電子商務安全實驗教學平臺，在這個平臺上絕大多數實驗都基于瀏覽器完成，客戶端不要安裝額外的軟件，沒有特定的實驗環(huán)境限制，操作自由方便，結果直觀。比如說，利用這個實驗平臺進行數字信封的實驗可以按如下步驟進行：（1）甲用DES算法對需要傳輸的文本內容進行加密，得到密文。甲用乙的RSA公鑰對DES密鑰進行加密。（2）甲將密文以及經過加密的DES密鑰傳輸給乙。（3）乙用自己的私鑰解密得到DES密鑰，乙用DES密鑰對文本內容密文進行解密得到明文。完成實驗。

上述數字信封實驗的每一步都可以在實驗教學平臺上完成，學生根據實驗指導書完成相應的操作，抽象的理論在實驗中得到闡釋，輕松而有趣。幾年來，我們將上述對《電子商務安全》課程的研究成果付諸教學實踐，收到良好的教學效果。

參考文獻：

[1]肖德琴.電子商務安全保密技術與應用（第二版）[M].廣州：華南理工大學出版社，2008.

[2]管有慶，等.電子商務安全技術（第二版）[M].北京郵電大學出版社，2009.

[3]邱衛(wèi)東，陳克非.信息安全數學教學的新型互動模式[J].計算機教育，2007（10）：19-21.

[4]段旭良等.體驗式電子商務安全實驗平臺的探索與應用[J].中國教育現代化，2010，（11）：79-81.

信息安全專業(yè)范文第5篇

關鍵詞：自主研學；第三方支付；客戶端安全；瀏覽器劫持

我國的高等院校信息安全專業(yè)本科的建立和發(fā)展至今尚不足8年。這些年來，有關專業(yè)人士就如何發(fā)展和完善信息安全專業(yè)建設進行了廣泛的研究和探討，比如，如何結合學校特色加強信息安全專業(yè)的建設、信息安全專業(yè)人才培養(yǎng)存在的若干問題、信息安全專業(yè)人才培養(yǎng)模式的探討、信息安全課程體系和實驗體系的建設、信息安全專業(yè)應用型人才的培養(yǎng)，等等[1-2]。國外大學關于信息安全專業(yè)教育方面的研究也不少，特別在信息安全實驗教學方面有許多很具體的研究和探索[3-4]。北京信息科技大學信息安全專業(yè)成立于2004年，近些年來，本專業(yè)特別注重結合學校具體情況，為培養(yǎng)信息安全應用型人才進行積極的探索，無論在專業(yè)建設和學科建設方面都取得了一定成效。筆者在“入侵檢測技術”這門課程的實驗教學方面進行過積極探索[5]，采用課內實驗與課外實驗相結合的方式增加學生動手的機會，使學生在實踐中學習，在實踐中增強各種能力。但是無論從學校方面，還是從教師方面做再多的努力，都難以回避一個不爭的事實：大多數學生玩游戲上癮，自主研學的習慣和精神嚴重缺乏。因此，無論進行什么樣的教學模式創(chuàng)新與改革，無論提供什么樣的教學和實驗環(huán)境，其效果都會大打折扣。這是我們必須要面對，同時也要盡快解決的現實問題。筆者從事多年的信息安全專業(yè)的教學，同時又長期兼任信息安全專業(yè)班級的班主任，即站在專業(yè)教學的第一線，也站在學生管理的第一線，有更多的時間和機會在如何引導學生自主研學方面進行廣泛和深入的探索。

1發(fā)現和提出問題

隨著互聯網上各種應用和服務不斷增多，信息安全問題越來越受到人們的關注。目前，網絡銀行和第三方支付系統(tǒng)在各種網上應用和服務中扮演極其重要的角色，而它的安全問題一直受到有關各方的重視，但沒有得到根本上的解決，這將嚴重影響未來網上服務和應用的進一步發(fā)展。筆者通過一個真實的案例，吸引學生的興趣，引導他們結合所學的知識去分析問題和解決問題。案例的具體內容涉及一個用戶利用第三方支付系統(tǒng)還房貸而遭受較大的資金損失。筆者在這個事件發(fā)生后，親歷了此案例的調查，事件發(fā)生的過程如下：一個用戶看到某第三方支付商提供的廣告后，進行了信用卡還款操作。圖1是用戶在操作時輸入的重要信息。

左窗口是要求用戶輸入接收方的信用卡卡號、用戶名及還款金額；右窗口是付款方的借記卡所屬銀行、個人電子郵件和手機號碼。完成各項填寫后，按確認鍵，進入所選銀行的付款頁面，該頁面顯示商城名稱、訂單號、訂單金額、商品名稱等提示信息，并要求輸入支付卡的卡號和口令，接下來用戶只要插上自己的有效的安全U盾，輸入正確的PIN碼后就可以完成付款。本案例中的用戶共進行了二次支付，共計支付了8萬多元錢。過了幾天，所支付的錢依然沒有到達接收卡賬戶上。用戶查詢后發(fā)現，這二筆錢通過另一家支付系統(tǒng)分別轉入了某地二個不同的賬戶，而他所選用的第三方支付商根本沒有接受這二筆交易。

筆者將上述真實的案例告訴學生，首先是讓他們了解該安全事件的具體表現。接下來給學生提出更多的問題，比如：通過第三方的支付過程涉及哪些主體？這些主體各自應該承擔的安全責任和應當采取的安全機制是什么？上述案例中存在的安全漏洞到底在哪？這樣的安全漏洞能夠解決嗎？采用什么安全機制能防范或制止這種安全漏洞？為了讓學生更快地進入角色，筆者給他們提出一些建議：

1) 通過第三方支付系統(tǒng)完成一次網上的實際轉賬過程；

2) 上中國金融認證中心網站，了解網上支付過程及相關安全知識；

3) 了解客戶端及IE瀏覽器存在的安全漏洞。

2描述和理解問題

學生們帶著對上述案例的興趣及若干問題去查找相關資料，經過一段時間的學習和討論以后，他們能夠與老師討論這個案例，并能完成對相關問題的描述和理解。

首先，了解到第三方支付系統(tǒng)的支付過程，涉及支付用戶、收款用戶、第三方支付系統(tǒng)、網上銀行、認證中心(CA)，以及網上通信。若存在購物交易，還應包括商家。本案例中用戶的在線支付，不是為了完成購物而是為了還款，實質上就是利用第三方支付系統(tǒng)進行轉賬。這種轉賬方式，是在網上銀行與用戶方之間增加了第三方支付商，增加了這樣一個支付環(huán)節(jié)，很有可能會給用戶帶來了額外的風險。若從技術層面上來考慮，這種支付過程，涉及到客戶端、第三方支付系統(tǒng)的服務器端、網銀系統(tǒng)的服務器端、認證系統(tǒng)服務器、互聯網通信等多個方面。一旦出現安全事件，每一個相關方面都有可能成為安全事件起因。當然，事件的確切原因需要具體問題具體分析。

第二，所涉及到的各方都會采用相應安全機制來保證系統(tǒng)的安全，其中認證中心、銀行采用的安全機制最強、在安全方面投入也更高；第三方支付系統(tǒng)相對弱一些；用戶端存在的安全隱患相對更多一些。目前，國內銀行的認證還是由各銀行自行完成，以后這方面的工作應該由中國金融認證中心來完成。到目前為止有關網銀安全事件的發(fā)生原因，都與網銀的服務器端沒有直接原因，主要由于客戶端存在病毒、或用戶操作不當造成的。相比較而言，第三方支付系統(tǒng)存在的安全隱患更大，其中包括監(jiān)管和技術二方面的原因。但是就目前所發(fā)生的有關安全事件來看，第三方支付系統(tǒng)的服務器端出現技術或人為安全問題的可能性不大，因為若是服務器端出現問題，其造成資金的損失，一定會是以億計，而且會涉及大量的用戶。與其他主體相比，客戶端存在的安全問題相對比較多，比如，操作系統(tǒng)和IE沒有及時升級、沒有安裝殺毒軟件或沒有對殺毒軟件的病毒庫及時更新，等等。本案例中用戶所用的Window系統(tǒng)版本較早且未及時打補丁，所用IE版本較低。筆者用諾頓殺毒軟件對案中用戶所用U盤進行過檢測，出現了Spyware.Keylogger報警。經查詢，這是一個間諜軟件，在2007年2月升級，可以截屏，可以記錄擊鍵信息。該軟件可能來自網站、電子郵件、即時消息及直接文件共享連接，此外用戶在接受某個軟件程序的最終用戶許可協議時，可能會在毫無察覺的情況下收到該間諜軟件。

第三，在網絡通信方面，目前網上交易大都采用SSL、SET等安全協議，所用安全協議的安全功能包括身份認證服務、機密性保護服務、數據完整、不可否認等，從這些年的實踐上來看，SSL和SET二個安全協議尚未有明顯易攻擊的安全漏洞 [6]。

最終，通過認真分析交易環(huán)節(jié)、上網查詢相似案例的報道、以及檢查用戶交易所用的筆計本電腦，確認這是一起典型的發(fā)生在客戶端的中間人攻擊事件，利用了客戶端與第三方交易系統(tǒng)存在的漏洞。這里所說的第三方交易系統(tǒng)存在安全漏洞，主要是指三方面的內容，其一，如圖1所示，當用戶在左窗口中輸入賬戶信息時，所輸數據極易被鍵盤截獲木馬所截獲；其二，沒有采用適當的安全控件，防范一些常見攻擊；其三，第三方支付系統(tǒng)存在更易被利用的弱點。下面重點分析本案例中的客戶端的安全問題，這是目前最常見的，也是難于解決的問題。

圖2是客戶端的涉及IE瀏覽器、鍵盤和安全U盾三個實體的數據流圖。

就本文所提案例而言，用戶進入第三方支付系統(tǒng)A網站后，首先在圖1左端窗口輸入接收卡信息，在右端窗口選擇支付銀行及個人Email和手機信息，正常情況下，這些信息通過IE內置SSL模塊，建立SSL連接，將信息安全傳送至第三方支付系統(tǒng)A服務器端；然后再依據用戶所選擇的支付銀行，鏈接銀行支付頁面進行支付，支付時要求輸入用戶銀行卡號、用戶銀行卡密碼及付款金額，提示用戶插入安全U盾，輸入PIN碼。該過程用戶所輸入的信息通過IE傳遞給安全U盾，進行簽名和加密運算以后，再返回IE傳送至網銀支付網關，網銀系統(tǒng)的服務器端對數據進行認證和解密后，將資金從用戶支付卡上轉至第三方支付系統(tǒng)。延遲一段時間后，資金才由第三方支付系統(tǒng)轉入用戶所輸入的接收卡中。

在本文的案例中，用戶的資金通過另一個第三支付系統(tǒng)B轉入非用戶指定的接收卡賬戶。這顯然是一種瀏覽器劫持行為，此行為發(fā)生在調用網銀支付頁面以前，它更改了接收卡信息，同時由另一第三方支付系統(tǒng)B，代替了用戶所選擇的第三方支付系統(tǒng)A，因此網銀支付頁面是由第三方支付系統(tǒng)B提供的鏈接。在接下來的支付過程中，無論是用戶方、第三方支付系統(tǒng)A、第三方支付系統(tǒng)B，還是銀行方均不會發(fā)現任何異常情況。

分析了整個入侵過程以后，教師自然引入以下幾個問題：

1) 非法者為何要選擇在此操作環(huán)節(jié)進行IE劫持？這種IE劫持是如何實現的？

2) 非法者為何要選擇第三方支付系統(tǒng)B作為他們的支付平臺？該平臺是否有漏洞更容易被利用？

3) 若該用戶直接進入網銀界面進行類似的轉賬操作會有資金會發(fā)生資金損失嗎？

4) 能否防范此類IE劫持行為？如何防范？

3分析和實踐

前面描述了如何引導學生去發(fā)現和理解問題。接下來是組織學生進一步分析問題，并著手尋找解決問題的方法和途徑。筆者通過與學生們討論，將接下來所要進行的工作分成四大部分。第一、明確和掌握文中所提案例的攻擊原理；第二、通過分析和模擬攻擊行為，進一步理解和掌握相關攻擊原理和實現方法；第三、設計并實現新的安全機制，防范相關攻擊；第四、驗證新的安全防范機制的有效性。

3.1瀏覽器劫持技術的原理

從目前的資料來看，“瀏覽器劫持”攻擊的滲透途徑有很多，其中最常見的方式有通過BHO DLL插件、Hook技術達到對用戶的瀏覽器進行篡改的目的。這些載體可以直接寄生于瀏覽器的模塊里，成為瀏覽器的一部分，進而直接操縱瀏覽器的行為。

什么是BHO DLL插件、Hook技術？它們的作用是什么？它們是如何被合法和不法利用的？“瀏覽器劫持”攻擊是如何利用這些技術從事了非法或非授權行為的？

首先了解BHO技術[7]。BHO是微軟早在1999年推出的作為瀏覽器對第三方程序員開放交互接口的業(yè)界標準。BHO可以獲知和實現瀏覽器的大部分事件和功能，也就是說，它可以利用少量的代碼控制瀏覽器行為。程序員可以設計出一個BHO控制瀏覽器跳轉到他想讓用戶去的頁面，這就所謂的“瀏覽器劫持”――BHO劫持。

其次，引入Hook(鉤子)技術。Hook[8]是Windows消息處理機制的一個平臺，應用程序可以在上面設置子程序以監(jiān)視指定窗口的某種消息，并且當消息到達后，在目標窗口處理函數之前處理它。Hook機制允許應用程序截獲處理Window消息或特定事件。把Hook技術應用到瀏覽器上面，就成了另一種控制瀏覽器行為的方法，稱為IE鉤子。IE鉤子程序載入進程后便能獲知所有的消息類型、API和內容，一旦發(fā)現某個符合要求的消息，如IE執(zhí)行了某個事件，或者用戶輸入了特定內容，鉤子的處理代碼就開始工作了，它先攔截系統(tǒng)發(fā)送給IE的消息，然后分析消息內容，根據不同消息內容作出修改后再發(fā)給IE，就完成了一次Hook篡改過程。

接下來的問題就是：案例中的攻擊者是如何使攻擊得逞的呢？攻擊者能夠得逞需要具備哪些條件？

3.2第三方支付系統(tǒng)的弱點

本案例有一個值得關注的地方，就是詐騙者利用了另一家B支付系統(tǒng)將客戶資金進行了非法轉移。這個B支付系統(tǒng)有什么更易被利用的弱點嗎？筆者對B支付系統(tǒng)進行考察后發(fā)現，該支付系統(tǒng)給商家提供了信用支付功能，通過該功能，商家可以通過一個鏈接讓買家通過網銀進行支付。該支付系統(tǒng)為注冊商家和非注冊商家都提供了一個這樣的功能，也就是說任意一個人，都可以不經任何審查過程，實現這樣一個功能。

如圖3所示，要完成信用支付，任何一個注冊或非注冊用戶第一步要做的是輸入工行的信用卡號及其它相關信息。輸入完成后，再進行確認。最后生成一個支付鏈接。

如圖4所示。所生成的支付鏈接中的最后二項，一個是“money=xxxxx”，另一個是“payUrl=xxxx”等號后面的內容。前者是支付金額，后者是商品鏈接。等號后面的內容允許商戶根據需要進行修改。正是這個鏈接為網上開店的商戶完成商品的支付功能，提供了很大方便，但同時，也為攻擊者進行網上詐騙大開方便之門。

3.3模擬運行環(huán)境及攻擊行為

通過對攻擊行為的模擬，可以使學生更好地理解攻擊行為的原理、作用及局限，同時也能夠大大增強學生的編程能力。

第一，利用鉤子技術實現對鍵盤的記錄[9]。由于鍵盤記錄器需要監(jiān)控鍵盤的所有輸入，因此必須安裝為全局的鉤子，該鉤子函數應當寫入一個DLL文件內。該DLL由VC編寫，相應參考資料很多。

第二，利用BHO技術實現URL的攔截[10]。該BHO插件在VC6.0下開發(fā)。基本實現過程：①ATL Object到該項目中。②實現IObjectWithSite的接口方法。③實現IDispatch接口方法。④修改注冊表文件，追加BHO的注冊信息。

第三，網上支付系統(tǒng)[11]保證客戶端資金安全的最核心的機制是采用安全U盾。為了使學生充分掌握和了解安全U盾的應用，給學生提供了堅石誠信科技公司的安全U盾產品ET199，能夠使用MS CryptoAPI接口開發(fā)ET199的應用。

3.4建立新的安全防范機制

分析和模擬的目的是為了能夠有更好的思路和手段來實現新的安全防范機制，避免類似的攻擊案例的發(fā)生。

從對文中案例的分析情況來看，第三方支付系統(tǒng)顯然存在弱點，需要企業(yè)本身和相關監(jiān)管部門進一步完善業(yè)務流程和監(jiān)管手段。作為用戶一方，如何保證客戶端不被非法程序所侵害，也應引起足夠的重視。目前，所能采取的技術手段是利用系統(tǒng)監(jiān)控技術，監(jiān)控文件目錄的變動、注冊表的修改、進程的創(chuàng)建等[9]。

1) 文件監(jiān)控技術。Windows SDK提供了兩種API進行文件監(jiān)控。FindChange- Notification系列函數和ReadDirectory- ChangesW()函數。

2) 注冊表監(jiān)控技術。Windows SDK提供了一個函數：RegNotifyChangeKeyValue()，可以完成對指定注冊表路徑項的監(jiān)視。

3) 進程監(jiān)控技術。進程監(jiān)控的有多種方法。最好的方法是采用API Hook。API Hook的主要思路是攔截基于操作系統(tǒng)提供的API函數，使其在執(zhí)行這些函數前首先運行自己的代碼，可以使用這種方法來記錄系統(tǒng)中的一些關鍵操作。

4結語

當前，學生自主研學能力的缺乏具有一定的普遍

性，特別是在與我校同檔次的高校中，情況更為普遍。因此，無論從學校層面還是從專業(yè)教學層面上都在積極采取辦法提高學生自主研學能力，如鼓勵成立學生社團、舉辦課外專業(yè)競賽、提供學校學生基金項目、創(chuàng)新理論教學和實驗教學，等等。本文探討了一種新的方法和途徑：以學生感興趣的應用型項目為依托，積極引導學生自主研學。只有當學生提高了自主研學的能力和興趣以后，他們才能夠在大學所提供的各種教育活動中，更有效地提高自身的實踐能力、溝通能力、團隊合作能力和知識應用能力。

參考文獻：

[1] 李暉,馬建峰. 結合學校特色加強信息安全專業(yè)建設的幾點體會[J]. 北京電子科技學院學報,2006(3):3-4.

[2] 譚云松,王海暉,伍慶華,等. 信息安全專業(yè)實踐教學體系研究[J]. 高教論壇,2006(5):82-84.

[3] Du Wenliang,Teng Zhouxuan,Wang Ronghua. SEED:a suite of instructional laboratories for computer security education[C]. SIGCSE’07 Proceedings of the 38th SIGCSE technical symposium on computer science education, March,2007:486-490.

[4] Hu J,Meinel C,Schmitt M.Tele-Lab IT Security: An Architecture for Interactive Lessons for Security Education[C]. SIGCSE’04 Proceedings of the 35th SIGCSE technical symposium on computer science education,March,2004:412-416.

[5] 劉凱. 入侵檢測技術實驗教學的設計與研究[J]. 計算機教育,2009(4):139-142.

[6] Rolf Oppliger,Ruedi Rytz,Thomas Holderegger. Internet Banking: Client-Side Attacks and Protection Mechanisms [J]. IEEE Computer,2009,42(6):27-33.

[7] Microsoft Corporation. IObjectWithSite Interface [EB/OL]. [2010-11-16]. /en-us/

library/Aa768220.aspx.

[8] Microsoft Corporation. Hooks [EB/OL]. [2010-11-16]. /en-us/library/ms632589(VS.85).

aspx.

[9] 裴要強,孟波. Windows 黑客技術揭密與攻防1：C語言篇[M]. 北京:中國鐵道出版社,2010:243-252.

[10] Scott Pobert. Intertnet Explore 5程序設計[M]. 北京博彥科技發(fā)展有限責任公司,譯. 北京:清華大學出版社,2001:429-440.

[11] 堅實誠信科技有限公司. ET199超級多功能鎖資料下載[EB/OL]. [2010-11-16]. .cn/et199/download_

authentication.php.

Effective Case of Guiding Undergraduate on Information Security Speciality in Independent Study

LIU Kai, CHEN Xin

(Department of Information Security, Beijing Information Sci. &Tech Univ., Beijing 100101,China)