[摘要]信息安全风险评估是一门理论性、实践性、跨学科性的综合课程,本文依据高职人才培养特点,从信息安全风险评估课程的教学现状出发,分析该课程特点,从教学大纲和教学内容两个方面进行探索研究,同时又将课程思政的育人理念融入到课程的教学中。
[关键词]信息系统;信息安全;风险评估
“网络安全和信息化对一个国家很多领域都是牵一发而动全身的”,强调,“网络安全和信息化是一体之翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施”。为应对复杂严峻的网络安全形势,我国先后颁布了《中华人民共和国网络安全法》、《中华人民共和国电子商务法》和《国家网络空间安全战略》等一批法律法规,同时加大网络安全人才的培养规模。早在2016年4月19日召开的网络安全和信息化工作座谈会中明确指出:“网络空间的竞争,归根结底是人才竞争。建设网络强国,没有一支优秀的人才队伍,没有人才创造力迸发、活力涌流是难以成功的”。作为信息安全管理的重要依据,信息安全风险评估通过对信息系统进行系统的安全检测,发现潜在的安全问题与风险,并提出相应的解决办法。信息安全风险评估涉及信息系统的社会行为、管理行为、物理行为、逻辑行为等的保密性、完整性和可用性检测[1],因此,信息安全风险评估课程是一门涉及法律与道德规范、管理学、社会工程学、通信工程等多个领域的课程,该课程高度概括了信息安全专业的综合理论与实践,可集中检验学生的全面综合理论知识、实践技能和解决信息安全问题的能力,是培养符合新时代高素质技术技能型人才的重要课程之一。然而传统的教学模式不能兼顾课程的理论性、实践性和跨学科等特点,已经无法满足社会经济发展对信息安全技术技能型人才的要求。
1教学现状
随着信息化程度越来越高,所涉及的信息资源量越来越庞大,而信息所面临的安全风险也变得复杂多变,尤其2017年5月WannaCry勒索病毒的爆发,至少150个国家、30万名用户受到安全威胁,损失高达80亿美元,也被认为是目前最为严重的勒索病毒事件。因此,有效且可靠的监测、预警、转移、分散和规避信息所面临的安全风险,是预防信息安全事件及其减少信息安全事件带来的危害的有效措施,而在此过程中,需要大量高质量的信息安全人才来支撑。
2教学大纲
教学大纲作为一门课程的纲领性文件,在探索《信息安全风险评估》新教学时首先就需要修订课程教学大纲。第一,结合网络安全国家战略与立德树人育人目标将课程思政育人的理念融入教学大纲中,使学生认识到信息安全在国家利益中的重要地位,将国家发展与自我定位相结合,增强学生网络空间法律意识,树立学生正确的网络道德观,并激励学生通过努力学习科技知识服务国家,回馈社会[2]。第二,基于《信息安全风险评估》课程的特点,课程目标侧重培养学生观察、发现、分析和评估信息安全问题等综合能力。信息安全风险评估主要对信息系统面临的风险参照相关评估标准和管理规范进行辨识与分析,对系统中面临的威胁、脆弱性和可能造成的损失进行风险值计算,并针对不同的风险制定相应的安全措施[3]。因此,完成对信息系统的信息安全风险评估,需要具备观察问题、分析问题和评估问题等综合能力。第三,课程目标还要培养学生持续学习、勇于探索创新的能力。随着物联网、5G和大数据时代的到来,云计算、人工智能等技术迅速发展,新的攻击方式和防范手段也日新月异,信息安全测评标准也随之不断更新。因此,教师在授课过程中要注意学习、理解和解释最新的相关技术和行业标准,让学生了解行业的最新相关动态,不断培养和提高学生继续学习的能力。
3教学内容
在理论教学环节,将作为信息系统安全风险的依据和保障的信息安全测评标准和相关法律法规加入其中。在信息安全测评标准方面,可将国家信息安全标准化委员会颁发的《GB/T20984-2007信息安全风险评估规范》、《GB/T22239-2008信息系统安全等级保护基本要求》作为主要的标准进行教学,同时依据《GB/T20984-2007信息安全技术信息安全风险评估规范》、《GB/Z24364-2009信息安全风险管理指南》、《GB/T22080-2008信息安全管理体系要求》、《GB/T22081-2008信息安全管理实用规则》等国家系列标准,按照风险评估测评流程,编制信息系统调查表、检查表和测评文档,让学生体验全方位体验风险评估测评流程。此外,在实践教学环节中还需加强各种测评工具的使用,通过使用风险评估工具,并对系统进行自动化或半自动化分析,可加深学生对信息安全风险评估理论知识的理解,与此同时,也培养了学生动手实践能力和综合知识应用能力。
4结语
本文基于《信息安全风险评估》课程存在的问题进行分析,并针对问题进行探索改革。但由于信息系统安全风险评估是一项长期的、复杂的动态过程,因此,评估标准和评估方案需要不断地进行更新,人才培养方案也要不断地修订,才能满足社会对专业人才的需求[4]。
【参考文献】
[1]李红娇,张凯,彭源.思政教育融入信息安全概论课程教学的探索与实践[J].计算机教育,2020(01):16-19.
[2]王敏杰,鲁恩琼.信息安全风险评估综述[J].通信管理与技术,2019(06):54-55+59.
[3]任勇军,郑关胜,李含光.《信息安全风险评估》课程教学探讨[J].教育教学论坛,2011(35):46-48.
作者:陈秋艳 单位:四川邮电职业技术学院
