蔡东蛟 洪志农
【摘要】 介绍等保2.0背景情况,分析等保2.0对信安专业课程体系的影响,以等保三级建设工作为例,采用学习领域课程开发基本路径,召开实践专家研讨会,提炼职业岗位典型工作任务,确定学习领域课程,设计学习情境和学习任务,完成等级保护专业课程开发。
【关键词】 等级保护 专业课程 学习领域 学习情境
引言:
互联网的飞速发展,网络无处不在,网络安全已成为与国家、社会、个人息息相关的问题,并上升到国家安全层面。2017年实施的《中华人民共和国网络安全法》明确“国家实行网络安全等级保护制度”。2019年12月,《网络安全等级保护2.0》系列标准落地,总体来说,等级保护的基本要求、测评要求和设计技术要求框架统一,即:安全管理中心支持下的三重防护结构框架。此外,通用安全要求+新型应用安全扩展要求,将云计算、移动互联、物联网、工业控制系统等纳入了标准规范。2020年7月,公安部在《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》中要求:坚持积极防御、综合防护。同时要求加强人才培养,建设人才库,建立健全人才发现、培养、选拔和使用机制,为做好网络安全工作提供人才保障。
从等保2.0的实施和指导意见中我们看到,随着信息技术的发展,我国等级保护制度已经越来越完善。首先,网络运营者落实网络安全等级保护成为一项义务,其次等保2.0和等保1.0对照,除了安全通用要求外,增加了云计算安全、移动互联安全、物联网安全、工业控制系统安全等扩展要求,这对等级保护制度提出了新的要求;再者等级保护的基本原则不再仅仅只是依照标准自行保护,而是要积极防御、综合防护。
因此,在等保2.0背景下,网络运营者在落实等级保护制度的过程中,不仅在思想上需要重新审视网络安全的重要性,在实际工作中也需要加强对等保2.0涉及的新标准、新领域、新技术的学习和应用。
一、信安专业课程体系分析
等保2.0的实施对高职信安专业的人才培养也提出了新要求。第一,在教学过程中需要加强网络安全法的宣导,同时也需要明确作为网络运营者需要履行的责任和义务;第二,学生职业能力的培养也需要结合等保2.0的能力要求。因此,在等保2.0背景下信安专业的课程体系也要紧跟等保2.0的变化作出相应调整。
开发信安专业学习领域课程体系,首先,需要通过人才市场需求调研和行业企业调研,召开由网络信息安全行业实践专家、课程开发专家和信安专业课教师共同参加的实践专家访谈会,研讨信安专业人才培养目标和职业岗位群,剖析网络信息安全行业里“安全与信息安全管理员”、“安全服务工程师”、“安全销售工程师”、“安全售前工程师”、“产品技术支持工程师”、“安全技术工程师”、“渗透工程师”、“安全运维工程师”等职业岗位的工作职责和工作任务,进一步分析并确定典型工作任务,根据能力复杂程度整合典型工作任務形成综合能力领域,再由课程专家和专业教师根据教学的规律及要求把综合能力领域转化为学习领域课程体系,由此推导出的专业核心课程包括了《信息安全产品配置与应用》、《数据备份与恢复》、《渗透测试与攻防技术》、《网络安全防护与运维》、《等级保护基础与实践》、《信息安全代码审计》、《网络安全编程(Python)》等课程。
在该学习领域课程体系中,《等级保护基础与实践》是专业职业能力培养的主要核心课程之一,本课程先行课程有《信息安全产品配置与应用》、《渗透测试与攻防技术》等,后续课程有《网络安全编程(Python)》、《岗前技能综合实训》等。
二、《等级保护基础与实践》课程开发
等保课程培养的是学生开展等保2.0相关建设工作及利用等保2.0对网络进行安全评估的综合职业能力。在先行课程学习基础上,通过本课程学习,理解等保2.0工作的责任与义务,了解等级保护制度及相关法律法规,熟悉等保2.0系列标准,掌握等保建设和评估中网络设备、信息安全产品、服务器、防火墙、入侵检测设备、漏洞扫描设备、等保工具箱等产品工具的使用,能根据《信息安全技术网络安全等级保护基本要求》的标准要求开展不同等级等保安全体系建设。
2.1开发思路
采用工作过程导向开发《等级保护基础与实践》学习领域课程,整个课程内容学习过程模拟了企业中网络安全体系从无到有的构建并进行管理的完整工作过程,课程开发过程如图1所示。
首先,对职业岗位做工作任务分析,在此基础上,提炼典型工作任务,确定学习领域课程,设计学习情境和学习任务,完成等级保护专业课程开发,基于行动导向的教学方式,做好课程的实施及评价[1-3]。
2.2典型工作任务分析与学习情境设计
经过与网络安全从业人员交流,目前工作中主要以二级和三级的等级保护建设项目居多。
三级标准高于二级,在此参照建设等级保护三级网络安全防护体系的工作过程来开发《网络安全等级保护基础与实践》课程。
根据《GB_T 25058-2019 信息安全技术网络安全等级保护实施指南》,等级保护的实施流程如图2所示。
以某单位网站开展等保三级建设工作为例,分析梳理出实际工作过程中典型的工作任务与工作内容,如表1所示,按照学习领域课程开发流程,得出课程对应的学习情境与学习任务,如表2所示。
2.3 课程综合案例分析示例
以某单位网站按照等级保护三级标准要求建设网络安全防护体系为例,如图3所示,该单位网络安全防护体系首先把网络划分为五个安全域,分别是互联网出口域、核心交换域、办公区域、核心业务域和运维管理域。同时在核心业务域与互联网出口域两个重要安全域都采用冗余建设,避免出现单点故障。
各个安全域之间用下一代防火墙进行防护。态势感知系统、入侵检测系统、抗APT攻击系统、终端安全管理系统、网页防篡改系统对网站及其他三级系统进行实际防护与监测。日志审计系统、数据库审计系统、堡垒机系统实现了对内部设备、用户、各系统的内容及行为审计。通过建设达到等级保护三级标准要求。
三、结束语
等保2.0的实施,给信安专业《等级保护基础与实践》课程开发提出了新的要求。一方面,要深刻理解等保2.0系列标准内容和贯彻落实等保的指导意见,另一方面,要结合学习领域课程开发路径做好课程的系统化开发。在课程的实施上,实训实践环节始终是课程的重要组成部分,抓好这一环节对课程的实施及评价效果是比较重要的。
参 考 文 献
[1] 欧盟Asia-Link项目“关于课程开发的课程设计”课题组.职业教育与培训——学习领域课程开发手册(第1版)[M].北京:高等教育出版社,2007.
[2] 姜大源.论高职教育工作过程系统化课程开发[J].徐州建筑职业技术学院学报,2010(3):1-6
[3] 赵志群.职业教育学习领域课程及课程开发[J].徐州建筑职业技术学院学报,2010(6):1-8
蔡东蛟(1967—),男, 浙江苍南,副教授/高级工程师,主要从事网络信息安全研究。
手机:13665067119
通讯地址:福建省福州市晋安区岳峰镇桂溪路298号融信后海小区1座1805房 蔡东蛟 收 邮编:350014
基金项目:福建省2019年省级职业教育专业教学资源库建设项目(闽教职[2019]39号)
蔡东蛟(1967-),男, 汉族,浙江苍南,硕士,副教授,高级工程师,研究方向:网络信息安全;
洪志农(1988-),男, 汉族,福建泉州,本科,工程师,研究方向:网络安全。