高职院校信息安全评估课程建设与讨论

摘要：信息安全风险评估，是指从风险管理的角度出发，运用技术手段对信息系统所面临的风险进行科学分析，制定风险规避策略，减少风险损失的一种综合性技术测评过程。在当前日益复杂的国际国内网络环境下，信息安全评估在我国有着广泛的应用。本文以四川邮电职业技术学院为例，介绍了信息安全评估课程开设的背景、目标、以及相应的考核评价方式。意在探索在高职院校中开设信息安全评估课程的方式和可能存在的问题，探讨改进措施，为课程的开设提供一种思路。

关键词：信息安全;风险评估;课程建设

2014年2月27日，习近平总书记在中央网络安全和信息化领导小组第一次会议上指出：“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题”[1]。这说明我国已经把网络空间安全提升到了一个国家战略的高度。同时对于信息安全产业来说，这也意味着前所未有的发展机遇。因此在高校中开设信息安全评估课程，有着重要的现实意义。

1 课程开设目标

在当前复杂的网络环境下，掌握基本的信息安全技能，能够识别和处理简单的网络安全风险，对个人，甚至整个国家都有着举足轻重的作用。通过开设信息安全评估相关课程，一方面可以使信息安全、网络空间安全、或者计算机网络等方向的学生具备从事专业工作所必需的基础知识和技能，拓宽学生的就业面，争强学生的竞争力;另一方面对于企业来说，也迫切需要大量信息安全评估人才来实现对自身信息系统的安全保障和风险控制。

本课程授课内容的开设，结合了信息安全专业特点和高等职业教育规律，采用理论课时和实践课时相结合的教学方式。突出职业教育理念，注重学生的实践能力，让学生在实践活动的基础上掌握知识。本课程的教学目标主要分为3个：思政目标、知识目标和能力目标。

1.1思政目标

习近平总书记在全国高校思想政治工作会议上指出：“要坚持把立德树人作为中心环节，把思想政治工作贯穿教育教学全过程”[2]。本课程以思想品德和素质教育为核心、信息安全素养为重点，通过课程的学习，让学生具备正确的人生观和价值观。同时通过专业课程的教学，让学生具备基本的网络安全素养，能够自觉维护自身和国家的信息安全，适应当前信息时代的发展要求。

1.2 知识目标

通过理论课时的学习，让学生理解信息安全等級保护的基本概念和主要内容，了解信息安全等级保护的主要流程。能够对信息安全评估总体流程有自己的认知，能够根据需求设计规划评估流程。

1.3 能力目标

通过实践课时的教学，让学生能够理解安全风险评估办法、标准和流程，让学生具备运用网络及安全扫描工具，对目标信息系统进行漏洞扫描和进行安全风险评估的能力。

2 课程开设内容

针对高职院校人才培养的特点和本院的人才培养方案要求，本门课程授课采用理论+实践的方式，强调学生的动手实操能力。

在理论课时中，根据信息安全评估的知识体系架构，分为三个模块：基本知识、信息安全风险评估体系和信息安全管理体系。在基本知识部分，主要向学生讲授信息安全风险评估的基础理论，包括信息安全管理体系模型、国内外信息安全管理相关标准、风险评估基础模型等相关理论知识。在信息安全风险评估模块，重点让学生了解信息安全风险评估实施流程，让学生掌握如何利用测评工具对信息系统进行安全测评，让学生掌握如何编写风险评估报告。在信息安全管理部分，需要让学生了解信息安全管理系统的工作流程和信息安全等级保护标准体系结构。

在信息安全评估的相关实践课程中，需要购置信息安全评估测评设备来配合进行实验项目的开展。本学院使用明鉴信息安全等级保护检查工具箱，开设了主机病毒检查、系统漏洞扫描、弱口令扫描等实验项目。让学生具备利用测评工具进行系统安全扫描和安全分析的能力。

3 考核和评价方式

高职院校的目标是培养高等技术应用型专业人才，教学方式应以理论教学为基础，重点培养学生处理、解决问题的能力。因此本门课程的考核评价方式在兼顾理论知识考查的同时，侧重对学生实践能力的考核。理论部分的考核，考题应该灵活多样，加重客观题的比重，尽量减少纯理论内容的题目，让学生有更多自我发挥的空间。在实践考核部分，重点考察学生解决实际问题的能力，考题应更多的贴合实际。比如可以在实验室内部署一台有安全漏洞的服务器，让学生运用相关测评工具对服务器进行漏洞扫描，撰写风险评估报告，教师可以根据编写的风险评估报告来对学生的实践操作进行考核。考核方式可以采用分组考核、组内互评等多种方式，灵活进行。

4 存在的问题和改进方法

通过自身的任课经历和上课学生的反馈，信息安全评估课程在本学院开设中存在如下问题：

4.1 课程理论性太强，学生缺少兴趣

信息安全评估课程相对来说，需要学生具备一定的信息安全和网络安全知识基础，理论性概念较多。学生普遍反映课程枯燥难懂，缺少实际联系，学习兴趣不足。

4.2 实验设备昂贵，学生参与度较弱

本学院使用明鉴信息安全等级保护检查工具箱进行相关风险评估测试。在实验课程中，采用的是分组实验的方式，减少对实验硬件设备数量的需求。因此在有限的课堂教学时间内，很难保证每位同学都能够动手操作设备。

信息安全评估课程的开设，一方面需要学校领导的重视，认识到当前社会信息安全的重要性，加大投入力度，完善实验室的建设。同时，该课程作为一门专业课，开设的学期最好在大三阶段，让学生在具备一定信息安全基础知识的阶段进行学习。对我们任课教师来说，也要求我们在教学过程当中，尽量采用多种教学方式来调动学生学习的积极性。努力让学生学有所成，增强学生的竞争力。

参考文献：

[1]习近平.总体布局统筹各方创新发展，努力把我国建设成为网络强国[N].人民日报，2014-02-28.

[2]习近平.把思想政治工作贯穿教育教学全过程[N].新华社，2016-12-08.

[3]何治乐.《网络安全法》有效性评估及提升路径[J].中国信息安全，2018（7）.

[4]刘明月.新形势下高校信息安全的管理策略研究[J].山东工业技术，2018（5）.

科研项目：四川邮电职业技术学院2018年校级科研项目（YDXJKY201849）。

作者简介：景旭（1986-），男，四川眉山人，硕士，助教。研究方向：计算机网络和网络安全。