高职信息安全专业实践教学体系的建设研究

池瑞楠，蔡学军，谢朝海

随着社会经济的迅速发展，信息化在带来巨大发展机遇的同时，也对经济发展、国家安全和社会稳定等方面带来了严峻的挑战。而防止各种信息泄密、黑客攻击等行为的信息安全人才相对于已初步形成的专业信息安全领域以及信息化建设和信息安全产业发展速度而言，却显得非常匮乏。[1]根据我国信息化建设规模的保守估计，全国对各类信息安全人才的需求高达10万人以上，而我国每年培养的各个学历层次的信息安全专业人才仅50 000人左右，供需缺口特别大。[2]解决这个问题的途径是积极构建适合社会需求的信息安全人才培养体系，大力培养信息安全人才，特别是应用型的高等职业技术人才。本文基于工学结合的人才培养理念，探讨如何构建适应企业需求的、以提高学生综合实践应用能力为目标的实践教学体系。

一、高职院校信息安全专业人才培养现状分析

为了适应社会对信息安全人才的需求，武汉大学于2001年在全国率先开始正式招收信息安全普通本科生，北京邮电大学、上海交通大学等高校也相继启动了信息安全专业本科生的培养工作。[3]高职院校信息安全专业的建设起步要晚一些。近年来，很多高职院校在信息安全人才培养上进行了“工学结合”人才培养模式的探讨，取得了一些成效。[4]但在具体实施“工学结合”的过程中，无论从学生学习的角度，还是从学校教师教学的角度，都存在一些共性问题。

首先，从学生学习的角度看，虽然学生在学校学习了相关的课程，也通过了课程考试，甚至取得了相应的职业技能认证考试的证书，但还是出现了一些问题。主要集中在三个方面：（1）对知识的学习零散，缺乏对信息安全的整体概念。虽然学生在课堂上学习了若干信息安全技术和知识，例如防火墙技术、操作系统安全、数据加密技术、数据库安全技术，等等，但对于这些技术在整个信息安全防护体系中的地位，这些知识在整个信息安全课程体系中的作用，往往不是很了解，对信息安全以及课程缺乏一个完整的全局概念；（2）不了解自己所学的知识在企业中用在什么地方、怎么用。学生到了企业后，往往不能将自己在学校所学的知识和企业的应用结合起来，不了解自己所学的知识将用在什么地方、怎么用。体现在招聘面试的时候，只能描述出课程的名字如信息安全基础、数据库安全、操作系统安全，但是不能具体阐述自己所具备的相关能力和企业的要求之间的关系，比如不能谈谈怎么做到数据库安全、数据库安全的措施在企业中如何实现等；（3）综合实践能力偏弱。正是由于学生对课程缺乏一个整体的把握，在学校中缺少对所学的若干信息安全知识点进行综合的演练，导致到了企业后综合实践能力偏弱，对实施一些需要综合信息安全知识的项目比较困难，综合能力还有待进一步提高。

其次，从学校教师教学的角度看，培养实践应用型的信息安全人才已经成为目前很多高职院校的共识。无论是教育部的要求和引导，还是学校本身的培养目标，都需要在课程中嵌入相当比例的实训内容，以培养学生的实践应用技能。但目前绝大多数的院校缺乏成熟的实训方案，这一点在信息安全专业更为突出。[5]目前高等院校实施实训，无非是通过二种方式：一是顶岗实习。这也是实实在在的和效果最好的方式。但在信息安全专业，这种模式完全无法实现规模化。一方面是因为企业不愿意将作为企业核心的信息安全工作交给实习生去做；另一方面，信息安全不是劳动密集型岗位，要想解决整个班、整个年级的实习需要找很多实习合作单位，这实现起来非常困难。[6]二是实训基地。有些院校会通过实训基地的方式来实施实训，但实训基地真正提供信息安全项目实训的少之又少。而且实训课程和企业的实际应用差异较大，无法实现课堂学习内容和职业能力要求的无缝连接。

二、信息安全专业实践教学体系的构建

针对信息安全人才培养普遍存在的适应企业需求的综合实践应用能力不足的问题，笔者在人才培养的过程中通过合理搭建实践环境、精选教学内容、优化教学方法，构建了一个基于企业真实工作环境的信息安全实践教学体系，有效发挥实践教学在人才培养中的作用，实现课程教学和职业能力要求、人才培养和企业实际需求的零距离对接。

（一）搭建贴近企业真实环境的实践教学环境

模拟真实企业的运行环境，设计了一个贴近企业真实环境的系统模型，如图1所示。通过该系统模型，模拟一个中型企业的网络运行环境，学生可以在该模拟环境下完成企业级的应用实训。同时，该模拟环境打破了传统信息安全实践教学中各门课程之间的界限，能训练学生对各个信息安全知识点进行综合运用的能力。

图1 模拟企业真实环境的信息安全实践教学拓扑结构

在学校课堂上，可以充分借助虚拟机技术、模拟仿真技术、云计算等技术搭建实践教学平台。例如，利用VMWare虚拟机技术和Dynamips虚拟路由器技术部署企业级网络防病毒系统、构建VPN和无线接入环境，利用Packet Tracer仿真软件搭建路由交换平台从而进行设备安全配置实训等，利用云计算技术模拟公司总部网络的服务器、进行云安全方面的学习。

（二）精选教学内容

信息安全所面向的工作岗位很多，所要求的能力也有很大的不同，既包括从事信息安全防护体系的建设、管理和安全服务的应用能力，也包括从事信息安全软硬件产品开发、实现和测试的开发能力，还包括从事信息安全理论、信息安全核心技术研究的科研能力。笔者认为，在高职院校的信息安全人才培养过程中，不能把所有的岗位能力要求都作为专业的教学内容，而应该将培养适合企事业单位一线的信息安全建设、管理和服务类应用型人才作为其培养目标，通过深入行业、企业调研，分析职业岗位能力需求及其典型工作任务和工作过程，在此基础上开发以职业能力需求为导向，以实际工作过程为载体，以提高学生实践技能为目标的实践课程体系。在教学内容的选择上，以服务于上述培养目标为准则，精心挑选设计，切忌盲目求大求全。

结合图1所设计的系统模型，将信息安全的相关教学内容进行合理编排。在图1中，公司总部的网络可以看成基础网络部分，其中包括多个服务器，如数据库服务器、文件服务器、邮件服务器等，也包含有多个客户端计算机，这些机器通过一个或者多个交换机连接形成一个简单的网络。在这个基础网络中，不管是服务器端还是客户端，都涉及到操作系统的安全。因此，在教学内容设计上，针对服务器端的操作系统，可以安排操作系统自身安全、账户安全管理、文件系统安全、操作系统审计等内容；而针对客户端的操作系统，可以安排Windows系统的安全更新、防病毒软件的安装配置等相关内容。另外，对于基础网络中的文件服务器，可以安排数据备份与灾难恢复的内容；对于数据库服务器，可以结合数据库的相关知识，进行有关数据库安全方面的演练。

在基础网络的基础上，我们对系统模型进行扩展，在图1的分支1中增加了路由器、更多的交换机和无线接入设备，可以进行交换机和路由器的安全配置、网络流量控制、无线网络安全接入以及网络安全审计等方面的实践教学。

当前面的网络连接到了Internet以后，系统模型就更加复杂了，图1中增加了防火墙和Web服务器。显然，通过该部分的系统模型，可以完成防火墙的安全配置以及Web服务安全配置等方面的综合实训。

最后，我们在系统模型中加入了更多的分支机构以及移动用户（如图1的分支2所示），和前面讲过的分支1不同，分支2和移动用户是直接连接到Internet的，然后再通过VPN，远程连接到公司内网。因此，常用VPN系统的安装和配置、无线接入的安全配置等内容自然融入到实践教学体系中。

通过对教学内容的精选和合理编排，学生可以将所学习的信息安全知识放到整个企业模拟环境中，从而提高了整体上的把握和综合应用能力，能更好地适应职业岗位要求。

（三）有效利用各种教学方法

充分考虑信息安全应用型人才培养的重实践、重应用、重动手能力特点，在教学方法的使用上，应多采用任务驱动教学法，通过对一个个具体任务的引入、分析、解决、拓展、总结等过程，将知识的学习和技能的锻炼融入其中，将传统教学中“以教师为中心、以教材为中心、满堂灌、填鸭式”的教学模式改变为“以学生为中心、以能力为目标、学生主动参与、自主协作、探索创新”的教学模式，培养学生的综合应用实践能力。同时，结合学生平时在使用计算机和网络过程中所遇到的各种信息安全问题，实例牵引，有效提升学生的学习兴趣。[7]在课程网站上，提供工作任务实施的教学屏幕录像等课程共享资源，引导学生自主学习。实现分层次教学，满足不同层次学生的需求。通过多种教学方法和教学手段的灵活运用，让学生积极参与到实践教学中。

本文所构建的基于企业真实工作环境的信息安全实践教学体系，在深圳职业技术学院得到了广泛的实践应用，效果优良。近几届学生经过在学校的实践教学训练，毕业后能很快胜任信息安全建设与管理、安全审核、安全服务等相关岗位的工作。由笔者开发的CIW网络安全认证体系中的《网络安全企业级应用实践》课程，也是基于本文所构建的实践教学体系所设置的。

[1]迟恩宇.高职高专网络安全与防护课程教学探索与实践[J].职业技术教育,2010（5）：46-47.

[2]唐海涛.网络与信息安全实验教学平台的构建[J].实验技术与管理,2010（9）:118-120.

[3]石淑华,池瑞楠.计算机网络安全技术[M].北京:人民邮电出版社，2012:1-16.

[4]迟恩宇.网络安全与防护[M].北京：电子工业出版社，2009:1-20.

[5]余姜德,冷令.基于提升学生就业能力的网络安全专业课程实践教学改革[J].职业技术,2011（7）:31-32.

[6]蒋文保,李忱高.高校信息安全专业应用型人才培养模式探讨[J].信息安全与通信保密，2007（9）:172-175.

[7]彭迎春.高职信息安全专业课程体系建设的实践[J].职业技术教育,2007（17）:15-16.