信息安全方針精選(五篇)

序言：作為思想的載體和知識(shí)的探索者，寫作是一種獨(dú)特的藝術(shù)，我們?yōu)槟鷾?zhǔn)備了不同風(fēng)格的5篇信息安全方針，期待它們能激發(fā)您的靈感。

篇1

關(guān)鍵詞：信息安全；體系建設(shè)；方案

中圖分類號(hào)：TP309.2文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)36-2846-02

The Implementation Program of an Information Security System for an Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: In view of the enterprise information technology becoming more, the issue of business information security has become an important factor in life, an enterprise information security system for the implementation of the program. From the organization, management, construction and technical aspects on the construction of the three. In the specific implementation process, based on the specific circumstances at the same time or step-by-step building-related.

Key words: information security; system construction; program

1 引言

信息安全的體系建設(shè)就是讓企業(yè)建立安全的組織架構(gòu)，同時(shí)建立一套管理規(guī)范來規(guī)范成員的行為，并建立起安全的平臺(tái)為企業(yè)提供安全支撐同時(shí)為企業(yè)創(chuàng)造效益。本文根據(jù)一些企業(yè)現(xiàn)在實(shí)際情況，針對(duì)其信息安全現(xiàn)狀提出總體的實(shí)施步驟。企業(yè)在具體的實(shí)施過程中可參照這些步驟考慮實(shí)施。

下文將根據(jù)組織建設(shè)、管理建設(shè)和技術(shù)建設(shè)三個(gè)方面展開闡述。同時(shí)，在對(duì)技術(shù)建設(shè)闡述時(shí)，將從基礎(chǔ)設(shè)施建設(shè)和系統(tǒng)建設(shè)兩個(gè)方面分開闡述。

2 信息安全體系建設(shè)總體步驟

具體的實(shí)施步驟如圖1所示，具體包括：組織建設(shè)、團(tuán)隊(duì)建設(shè)、管理規(guī)范、基礎(chǔ)環(huán)境、資產(chǎn)定級(jí)和評(píng)估、支撐系統(tǒng)和服務(wù)運(yùn)維。以上組成部分都可歸結(jié)為組織建設(shè)、管理建設(shè)和技術(shù)建設(shè)三個(gè)方面。

圖1 信息安全體系建設(shè)步驟

實(shí)施步驟中有的步驟是可以同時(shí)進(jìn)行的，如圖2所示。但有相對(duì)的優(yōu)先級(jí)，優(yōu)先級(jí)高的環(huán)節(jié)相應(yīng)的應(yīng)該放在優(yōu)先考慮的位置。有些環(huán)節(jié)鑒于完成的周期較長(zhǎng)，建議可以同步進(jìn)行，避免信息安全實(shí)施周期過長(zhǎng)，影響企業(yè)的目標(biāo)達(dá)成。

3 組織建設(shè)

信息安全體系建設(shè)要做好，組織建設(shè)是關(guān)鍵。組織建設(shè)是所有其它建設(shè)的前提。而組織建設(shè)的第一步就是做好組織調(diào)整。組織調(diào)整就是把信息安全運(yùn)營(yíng)管理分為兩個(gè)部門，一個(gè)是生產(chǎn)部門，一個(gè)是管理部門。

3.1 信息安全管理部門

信息安全管理部門有權(quán)對(duì)其它部門進(jìn)行安全考核，同時(shí)信息安全生產(chǎn)部門是由信息安全的管理部門直接管理指揮的。信息安全管理部門的職責(zé)決定其管理部門對(duì)企業(yè)信息安全有著全局的管控能力，負(fù)責(zé)信息安全全局任務(wù)下達(dá)和監(jiān)督，安全戰(zhàn)略目標(biāo)的建議以及政府、公安、司法等安全外聯(lián)。

3.2 信息安全生產(chǎn)部門

信息安全生產(chǎn)的部門，其信息安全生產(chǎn)內(nèi)容包括三個(gè)部分，對(duì)內(nèi)是企業(yè)信息安全的支撐、對(duì)外提供企業(yè)信息安全服務(wù)和公眾信息安全服務(wù)，接受安全管理部門的領(lǐng)導(dǎo)的管理和考核，和其他生產(chǎn)部門屬平級(jí)關(guān)系。

4 管理建設(shè)

4.1 管理制度頒布

對(duì)于管理制度，必須對(duì)管理規(guī)范和流程進(jìn)行規(guī)范定義，在管理制定頒布之前應(yīng)該作以下的事情：由安全管理部門牽頭召開各個(gè)部門參與的管理制定內(nèi)容研究討論會(huì)，收集各方建議；根據(jù)各個(gè)建議對(duì)管理制度進(jìn)行修訂；修訂后管理制度，再次召集各個(gè)部門討論并基本通過；安全管理部門頒布管理制度并確定管理制度的實(shí)施的開始時(shí)間；在制度實(shí)施開始時(shí)間之前，進(jìn)行制度宣灌，組織各個(gè)部門參加學(xué)習(xí)，并進(jìn)行相關(guān)學(xué)習(xí)的考試；管理制度開始實(shí)施。

4.2 管理制度落實(shí)

信息安全管理制度落實(shí)是由信息安全管理部門的管控部執(zhí)行的，管控部包括考核、質(zhì)檢、審計(jì)三個(gè)小組共同組成，考核各個(gè)部門管理制度的落實(shí)情況。如何對(duì)各個(gè)部門的信息安全情況進(jìn)行考核呢？不同時(shí)期有不同的做法，分為兩個(gè)階段：

一是SOC（信息安全運(yùn)維中心）建設(shè)階段。SOC建設(shè)階段由于安全生產(chǎn)組織和安全支撐系統(tǒng)還不夠健全，對(duì)安全的支撐十分有限，因此這個(gè)階段的質(zhì)檢、審計(jì)、考核多以手工為主，信息安全審計(jì)和信息安全質(zhì)檢以部門抽樣檢查為主，無法做到全面的普查。信息安全質(zhì)檢組定期進(jìn)行各個(gè)部門的信息安全檢查，主要工作是定期的信息安全巡檢工作。信息安全審計(jì)組對(duì)各個(gè)部門的工作日志進(jìn)行定期的審計(jì)工作，特別是出現(xiàn)信息安全事件后的審計(jì)工作。信息安全生產(chǎn)部門配合管理部門進(jìn)行信息安全質(zhì)檢工作和審計(jì)工作，同時(shí)信息安全生產(chǎn)部門承擔(dān)著SOC支撐系統(tǒng)建設(shè)的需求分析、項(xiàng)目監(jiān)督、系統(tǒng)驗(yàn)收等工作。

二是SOC運(yùn)維階段。SOC運(yùn)維階段，由于各個(gè)信息安全支撐系統(tǒng)已經(jīng)較為完備，而且人員組織逐漸成熟，對(duì)信息安全的管控能力將實(shí)現(xiàn)一個(gè)質(zhì)的飛越，信息安全質(zhì)檢組可隨時(shí)對(duì)考核部門進(jìn)行信息安全巡檢，巡檢可采用面向全網(wǎng)的信息安全自動(dòng)巡檢，全面系統(tǒng)的分析全網(wǎng)的安全狀況，信息安全審計(jì)可分手工和自動(dòng)相結(jié)合的方式進(jìn)行審計(jì)，根據(jù)不同的業(yè)務(wù)應(yīng)用、訪問控制等進(jìn)行審計(jì)分析，快速高效的進(jìn)行審計(jì)。信息安全管控從抽樣管理到全面管理，從靜態(tài)管理到動(dòng)態(tài)管理，從事后響應(yīng)到事前預(yù)防。

5 基礎(chǔ)設(shè)施建設(shè)及相關(guān)建設(shè)

信息安全基礎(chǔ)設(shè)施建設(shè)的目的主要是實(shí)現(xiàn)對(duì)現(xiàn)有生產(chǎn)網(wǎng)資源的集中和優(yōu)化，提高系統(tǒng)運(yùn)行效率，并同時(shí)進(jìn)行局部的信息安全加固和改進(jìn)，使得在信息安全支持系統(tǒng)尚未建成時(shí)，使現(xiàn)有生產(chǎn)網(wǎng)系統(tǒng)的信息安全性和可用性提高到一個(gè)新的水準(zhǔn)。其內(nèi)容主要包括結(jié)構(gòu)調(diào)整、優(yōu)化整合和安全集成。結(jié)構(gòu)調(diào)整主要是對(duì)信息安全體系存在重大影響的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的調(diào)整；優(yōu)化整合是對(duì)信息安全可用性和保密性的關(guān)鍵因素進(jìn)行改進(jìn)，如操作通道的加密；安全集成是根據(jù)企業(yè)信息安全需要綜合分析后，得出在現(xiàn)有生產(chǎn)網(wǎng)上所要建設(shè)和購(gòu)置的信息安全系統(tǒng)及產(chǎn)品。

此外，在經(jīng)過資產(chǎn)的等級(jí)劃分之后，并進(jìn)行的相關(guān)信息資產(chǎn)的優(yōu)化整合后，全網(wǎng)中大量的信息安全問題和隱患將被排除，但是還會(huì)有許多的薄弱點(diǎn)，這些薄弱點(diǎn)是在優(yōu)化整合后還沒有解決的或疏忽的問題，找出這些薄弱點(diǎn)就需要一次系統(tǒng)的信息安全評(píng)估過程，把目前安全存在的問題進(jìn)行分析。信息安全評(píng)估的是根據(jù)信息資產(chǎn)的本身的所處的網(wǎng)絡(luò)環(huán)境和信息資產(chǎn)價(jià)值有直接的關(guān)系，信息安全評(píng)估的目的不是要求企業(yè)把所有的問題一概而論的解決掉，而是告訴企業(yè)有這些一些問題值得關(guān)注，至于解決的問題的要投入的人力物力是根據(jù)信息資產(chǎn)的本身的價(jià)值而定。

6 系統(tǒng)建設(shè)

信息安全系統(tǒng)建設(shè)也即最后的信息安全體系建設(shè)的最后步驟，是具體實(shí)施的過程。在面上主要表現(xiàn)為依照信息安全體系建設(shè)規(guī)劃方案進(jìn)行采購(gòu)與部署。這里的采購(gòu)對(duì)象包括：產(chǎn)品采購(gòu)類、服務(wù)產(chǎn)品類和研發(fā)產(chǎn)品類。

6.1 產(chǎn)品采購(gòu)類

在建設(shè)信息安全支撐和信息安全服務(wù)系統(tǒng)過程中會(huì)涉及到許多安全產(chǎn)品的采購(gòu)，如防火墻、黑洞、入侵檢測(cè)、安全檢測(cè)工具產(chǎn)品、成熟的安全集成產(chǎn)品等等采購(gòu)，因此我們將這部分不需要太多定制開發(fā)可直接購(gòu)買或集成的產(chǎn)品定義為產(chǎn)品采購(gòu)類。其采用的原則是：

1）安全產(chǎn)品的本身應(yīng)該具備的功能要求；2）安全產(chǎn)品本身應(yīng)該具備的性能要求；3）安全產(chǎn)品本身應(yīng)該具備的安全要求；4）安全產(chǎn)品應(yīng)該具體的管理要求；5）安全產(chǎn)品的可擴(kuò)展性要求。

6.2 服務(wù)產(chǎn)品類

圖2 信息安全體系建設(shè)并行建設(shè)步驟

服務(wù)產(chǎn)品類，主要是針對(duì)對(duì)外安全服務(wù)的產(chǎn)品類，對(duì)外服務(wù)的產(chǎn)品類包括集成產(chǎn)品和服務(wù)內(nèi)容。服務(wù)產(chǎn)品定義主要是根據(jù)市場(chǎng)運(yùn)營(yíng)所推出相應(yīng)服務(wù)而定義。服務(wù)產(chǎn)品的實(shí)施原則如下：

1）產(chǎn)品市場(chǎng)潛力；2）產(chǎn)品的產(chǎn)出比戰(zhàn)略研究；3）產(chǎn)品相關(guān)的信息安全等級(jí)評(píng)估；4）產(chǎn)品相關(guān)的信息安全策略；5）產(chǎn)品相關(guān)的響應(yīng)團(tuán)隊(duì)；6）產(chǎn)品宣傳渠道和策略分析；7）產(chǎn)品相關(guān)的增值服務(wù)；8）產(chǎn)品創(chuàng)造價(jià)值的統(tǒng)計(jì)分析。

6.3 研發(fā)產(chǎn)品類

信息安全支撐系統(tǒng)和信息安全服務(wù)系統(tǒng)建設(shè)中，一定有一些系統(tǒng)需要進(jìn)行定制開發(fā)，這些定制開發(fā)的產(chǎn)品我們定義為研發(fā)類產(chǎn)品。研發(fā)類產(chǎn)品建設(shè)原則如下：

1）產(chǎn)品能夠滿足現(xiàn)有生產(chǎn)的功能要求；2）產(chǎn)品具有良好的可靠性和擴(kuò)展性；3）產(chǎn)品具有一定先進(jìn)性，能滿足3－5年企業(yè)IT發(fā)展要求；4）產(chǎn)品要預(yù)留信息安全管理接口，能對(duì)系統(tǒng)日志進(jìn)行采集和審計(jì)。

7 結(jié)束語(yǔ)

文章針對(duì)在企業(yè)信息化程度越來越高的情況下，信息安全成為關(guān)乎企業(yè)生命的重要因素，提出了一種針對(duì)企業(yè)的信息安全體系建設(shè)實(shí)施方案。在具體的實(shí)施過程中，可以基于具體情況分步驟或者同時(shí)進(jìn)行相關(guān)建設(shè)。此方案對(duì)于指導(dǎo)企業(yè)的信息安全體系建設(shè)有一定的參考意義。

參考文獻(xiàn)：

[1] 周學(xué)廣,劉藝. 信息安全學(xué)[M]. 北京: 機(jī)械工業(yè)出版社,2003.

[2] 韓祖德. 計(jì)算機(jī)信息安全基礎(chǔ)教程[M]. 北京: 人民郵電出版社, 2005.

[3] 陸廣能. 淺析數(shù)字化檔案信息安全問題[J]. 電腦知識(shí)與技術(shù), 2005, (10):30-32.

[4] 李娟. 淺談如何構(gòu)建檔案信息安全防護(hù)體系[J].河南職業(yè)技術(shù)師范學(xué)院學(xué)報(bào), 2004, (4):20-25.

[5] 范開菊. 網(wǎng)絡(luò)環(huán)境下檔案信息安全問題探微[J]. 科技情報(bào)開發(fā)與經(jīng)濟(jì), 2005, (2):47.

篇2

一、活動(dòng)時(shí)間

9月25日至10月15日，全鎮(zhèn)集中開展全員流動(dòng)人口信息再次采集變更工作。

二、工作要求

1、及時(shí)掌握轄區(qū)全員流動(dòng)人口個(gè)案信息。各村要按照本方案，認(rèn)真組織開展全員流動(dòng)人口信息的再次清理摸底和及時(shí)核對(duì)、變更相關(guān)信息。。

2、及時(shí)、準(zhǔn)確、規(guī)范上報(bào)本村新增的外流人口。

三、工作內(nèi)容

（一）、清理對(duì)象

（1）離開戶籍地縣域30日以上流出人口，以工作、生活為目的異地居住的0歲以上人口。

（2）離開戶籍地鄉(xiāng)鎮(zhèn)30日以上流出人口，生活為目的異地居住的已婚育齡婦女。

（3）同城區(qū)間人戶分離人口除外；婚嫁人員除外；因出差、就醫(yī)、旅游、探親、訪友、服軍役、在中等以上專業(yè)學(xué)校就學(xué)等人口除外。

（二）、個(gè)案信息完善內(nèi)容

全員流動(dòng)人口個(gè)案信息項(xiàng)目包括基本信息、家庭戶信息。

（1）基本信息包括：姓名、性別、現(xiàn)居住地地址、戶籍所在地地址、公民身份號(hào)碼、出生日期、文化程度、戶口性質(zhì)、流動(dòng)原因、外出（流入）日期、返回（離開）日期、婚姻狀況等項(xiàng)。

（2）家庭戶信息包括：是否家庭戶流動(dòng)、已婚人口的配偶是否隨同流動(dòng)等信息。

（三）、個(gè)案信息變更

村對(duì)流動(dòng)人口現(xiàn)居住地和婚育情況發(fā)生改變要及時(shí)上報(bào)計(jì)生辦，計(jì)生辦業(yè)務(wù)人在流動(dòng)人口信息系統(tǒng)中對(duì)流出人口管理卡片進(jìn)行及時(shí)變更。

（四）、個(gè)案信息退檔

對(duì)于流動(dòng)人口發(fā)生遷移、死亡、流動(dòng)狀況變化等情況，要以月報(bào)單的形式上報(bào)計(jì)生辦，計(jì)生辦業(yè)務(wù)人員及時(shí)對(duì)流動(dòng)人口信息，在“流動(dòng)人口信息系統(tǒng)”中進(jìn)行退檔處理。

篇3

關(guān)鍵詞：信息安全技術(shù)；仿真；實(shí)踐教學(xué)；創(chuàng)新能力

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)文章編號(hào)：16727800（2014）001014202

作者簡(jiǎn)介作者簡(jiǎn)介：李畢祥（1981-），男， 碩士，武漢科技大學(xué)城市學(xué)院信息工程學(xué)部信息工程系講師，研究方向?yàn)樾畔踩还缴?946-），男，武漢科技大學(xué)城市學(xué)院信息工程學(xué)部副教授，研究方向?yàn)閿?shù)據(jù)庫(kù)。

0 引言

信息安全技術(shù)是從事信息安全應(yīng)用與信息技術(shù)研究的專業(yè)技術(shù)人員必須掌握的知識(shí)和技能。本課程需要理論和實(shí)踐緊密結(jié)合，學(xué)生在掌握信息安全技術(shù)基本概念和基本理論之后，還要掌握網(wǎng)絡(luò)管理和網(wǎng)絡(luò)信息安全保障知識(shí)，深入理解網(wǎng)絡(luò)信息安全的各項(xiàng)工作，并能理論聯(lián)系實(shí)際，進(jìn)一步應(yīng)用信息安全技術(shù)。

為了充分提高學(xué)生的信息安全技術(shù)實(shí)踐能力，迫切需要相應(yīng)的硬件平臺(tái)和軟件平臺(tái)作為實(shí)踐支撐環(huán)境，但相關(guān)的硬件成本非常高，很難配備齊全，所以很多高校的信息安全技術(shù)試驗(yàn)都是傳統(tǒng)的演示實(shí)驗(yàn)，很難提高學(xué)生學(xué)習(xí)信息安全技術(shù)的興趣。本文設(shè)計(jì)的信息安全技術(shù)實(shí)驗(yàn)仿真平臺(tái)可以充分模擬高校、企業(yè)和銀行等網(wǎng)絡(luò)環(huán)境，使用模擬軟件進(jìn)行仿真，繪制詳細(xì)的網(wǎng)絡(luò)拓?fù)鋱D，分析網(wǎng)絡(luò)流量，捕獲數(shù)據(jù)包，分析信息安全，并提供信息安全解決方案。此仿真平臺(tái)充分利用各種仿真軟件的優(yōu)勢(shì)和特點(diǎn)，一方面能讓教師合理實(shí)施實(shí)踐教學(xué)任務(wù)，改革傳統(tǒng)的實(shí)踐教學(xué)模式，在改革中提高教師的教學(xué)能力和水平；另一方面，能讓學(xué)生身臨其境，自己繪制網(wǎng)絡(luò)拓?fù)鋱D，分析信息安全問題，充分調(diào)動(dòng)學(xué)生的學(xué)習(xí)積極性，全面提高學(xué)生的自主創(chuàng)新能力，為就業(yè)打下堅(jiān)實(shí)的基礎(chǔ)。

1 研究?jī)?nèi)容和目標(biāo)

1.1 研究?jī)?nèi)容

（1）建設(shè)信息安全實(shí)驗(yàn)室，加強(qiáng)信息安全虛擬平臺(tái)建設(shè)。信息安全實(shí)驗(yàn)室是信息安全技術(shù)教學(xué)的實(shí)踐場(chǎng)所，目前很多大學(xué)的實(shí)驗(yàn)中心還沒有建成專門的信息安全實(shí)驗(yàn)室。由于信息安全實(shí)驗(yàn)室建設(shè)投入較大，建設(shè)周期長(zhǎng)，在目前教學(xué)任務(wù)緊迫的情況下，唯有加強(qiáng)信息安全虛擬平臺(tái)建設(shè)才能滿足實(shí)驗(yàn)教學(xué)要求。虛擬實(shí)驗(yàn)平臺(tái)主要依賴于軟件和較少的配套硬件，使實(shí)驗(yàn)室的維護(hù)費(fèi)用和工作量大大降低。在虛擬實(shí)驗(yàn)平臺(tái)Boson、Opnet、Sniffer和Matlab上可以開展豐富的模擬實(shí)驗(yàn)，包括網(wǎng)絡(luò)虛擬仿真、防火墻配置和基于SNMP的信息安全管理等。

（2）改革實(shí)驗(yàn)教學(xué)模式，創(chuàng)造自主學(xué)習(xí)模式，提高實(shí)驗(yàn)教學(xué)質(zhì)量。對(duì)于信息安全的管理和實(shí)現(xiàn)，設(shè)定任務(wù)情境，對(duì)實(shí)驗(yàn)任務(wù)的選擇可以具有梯度，更貼近工程應(yīng)用。教師制定學(xué)習(xí)目標(biāo)，學(xué)生可以自己設(shè)定任務(wù)情境，根據(jù)實(shí)際情況完成。例如，在信息安全管理實(shí)驗(yàn)中，學(xué)生可以自主設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，進(jìn)行設(shè)備選型、配置和管理，以提高學(xué)生興趣和實(shí)踐動(dòng)手能力為導(dǎo)向，鼓勵(lì)學(xué)生自主學(xué)習(xí)。

（3）完善教學(xué)實(shí)驗(yàn)指導(dǎo)書，增加實(shí)驗(yàn)項(xiàng)目。

1.2 項(xiàng)目目標(biāo)

（1）通過信息安全虛擬平臺(tái)建設(shè)，強(qiáng)化學(xué)生的信息安全理論修養(yǎng)和實(shí)踐能力，學(xué)以致用，通過實(shí)踐來真正掌握信息安全技術(shù)的應(yīng)用。

（2）通過信息安全虛擬平臺(tái)的使用，增強(qiáng)學(xué)生之間的學(xué)術(shù)交流氛圍。教學(xué)任務(wù)設(shè)定和日常信息安全技術(shù)應(yīng)用，讓學(xué)生不僅在課堂，在課余時(shí)間也有進(jìn)行信息安全知識(shí)鉆研的意識(shí)和環(huán)境。

（3）積極尋求相關(guān)途徑進(jìn)行校企合作，為進(jìn)一步提高學(xué)生實(shí)踐動(dòng)手能力創(chuàng)造條件。

（4）建立結(jié)構(gòu)合理的教學(xué)隊(duì)伍，制定適應(yīng)社會(huì)需求的教學(xué)內(nèi)容，培養(yǎng)教師的科研能力，完成信息安全技術(shù)課程群梯隊(duì)建設(shè)，形成一些具有較高水平的教學(xué)研究成果。

2 仿真實(shí)驗(yàn)項(xiàng)目解決的關(guān)鍵問題

（1）改革過于模式化的傳統(tǒng)實(shí)驗(yàn)，培養(yǎng)學(xué)生的創(chuàng)造性思維。

信息安全技術(shù)傳統(tǒng)實(shí)驗(yàn)內(nèi)容大多局限于實(shí)驗(yàn)環(huán)境，脫離工程實(shí)際，實(shí)驗(yàn)效果不好，難以培養(yǎng)學(xué)生創(chuàng)新能力。學(xué)生畢業(yè)后從事信息安全工程實(shí)踐時(shí)，很難將實(shí)驗(yàn)功底轉(zhuǎn)化為從業(yè)能力。

（2）完善信息安全虛擬平臺(tái)，進(jìn)行優(yōu)化和合理的實(shí)驗(yàn)設(shè)計(jì)。

信息安全虛擬實(shí)驗(yàn)平臺(tái)是在能夠進(jìn)行網(wǎng)絡(luò)通信的基礎(chǔ)之上將計(jì)算機(jī)網(wǎng)絡(luò)上虛擬的各種計(jì)算機(jī)、通信設(shè)備按實(shí)驗(yàn)要求組建成一個(gè)完整的虛擬實(shí)驗(yàn)網(wǎng)絡(luò)，模擬實(shí)現(xiàn)各種計(jì)算機(jī)網(wǎng)絡(luò)試驗(yàn)和測(cè)試，并能演示實(shí)驗(yàn)過程和信息安全管理的配置過程。使用已有網(wǎng)絡(luò)虛擬平臺(tái)Boson、Opnet、Sniffer和Matlab

進(jìn)行合理的實(shí)驗(yàn)設(shè)計(jì)，達(dá)到提高學(xué)生實(shí)踐能力的目的。

在繪制企業(yè)網(wǎng)絡(luò)拓?fù)鋱D，以及配置網(wǎng)絡(luò)設(shè)備，例如交換機(jī)、路由器和防火墻時(shí)，選用Boson軟件來完成拓?fù)鋱D的繪制和網(wǎng)絡(luò)設(shè)備的模擬配置。實(shí)驗(yàn)效果描述如下：在捕獲和分析網(wǎng)絡(luò)中的數(shù)據(jù)包時(shí)，選用sniffer軟件來完成；在分析網(wǎng)絡(luò)的流量和網(wǎng)絡(luò)參數(shù)時(shí)，選用openet軟件來完成；在分析相關(guān)的數(shù)據(jù)和結(jié)果時(shí)，選用Matlab仿真軟件來完成。可以充分結(jié)合以上各種模擬軟件的特點(diǎn)和優(yōu)勢(shì)，完成復(fù)雜的信息安全實(shí)驗(yàn)項(xiàng)目。

（3）培養(yǎng)學(xué)生之間的合作精神，讓學(xué)生體驗(yàn)團(tuán)隊(duì)協(xié)作。

在傳統(tǒng)的教學(xué)過程中，雖然在實(shí)驗(yàn)環(huán)節(jié)也采用了分組進(jìn)行的模式，但在具體操作過程中部分學(xué)生并沒有真正參與，也就談不上團(tuán)隊(duì)意識(shí)和協(xié)作學(xué)習(xí)，信息安全虛擬實(shí)驗(yàn)平臺(tái)可以拓展和改善學(xué)習(xí)環(huán)境和氛圍。

（4）傳統(tǒng)課程考核模式陳舊，需要借助信息安全虛擬實(shí)驗(yàn)平臺(tái)進(jìn)行改革。

傳統(tǒng)的考核模式，內(nèi)容局限于教材中的基本理論和基本知識(shí)，缺乏對(duì)學(xué)生知識(shí)、能力與素質(zhì)的綜合考察，不利于學(xué)生應(yīng)用能力的培養(yǎng)和創(chuàng)新精神的形成。另外，考試形式單一，在課程總評(píng)成績(jī)的計(jì)算中實(shí)踐部分所占比重很小，制約了學(xué)生實(shí)踐能力的培養(yǎng)。

（5）積極尋求相關(guān)途徑進(jìn)行校企合作，讓學(xué)生進(jìn)入企業(yè)實(shí)習(xí)和工作，為進(jìn)一步提高學(xué)生實(shí)踐動(dòng)手能力創(chuàng)造條件。

3 教學(xué)方法

教學(xué)方法的改革，目的是使學(xué)生在實(shí)際應(yīng)用時(shí)能夠靈活地將理論與實(shí)踐相結(jié)合，培養(yǎng)學(xué)生運(yùn)用知識(shí)分析問題解、決問題的能力。除了傳統(tǒng)的行之有效的教學(xué)方法之外，還應(yīng)該采用一些有專業(yè)特色的教學(xué)方法，與時(shí)俱進(jìn)。主要采取如下方法：

（1）在信息安全技術(shù)虛擬平臺(tái)上，將傳統(tǒng)的實(shí)驗(yàn)題目改編為自主型實(shí)驗(yàn)題目。針對(duì)設(shè)計(jì)型實(shí)驗(yàn)的內(nèi)容和要求，根據(jù)機(jī)房環(huán)境和信息安全技術(shù)虛擬平臺(tái)，精心設(shè)計(jì)相關(guān)題目和題目的梯度任務(wù)，或?qū)⒃袑?shí)驗(yàn)題目進(jìn)行改造，形成與實(shí)驗(yàn)要求相對(duì)應(yīng)的自主型實(shí)驗(yàn)題目系列。將實(shí)驗(yàn)教學(xué)中傳統(tǒng)的特定環(huán)境實(shí)驗(yàn)題目改為以問題為主線的任務(wù)情境，使學(xué)生自主選擇合理的任務(wù)并進(jìn)行自主設(shè)計(jì)，培養(yǎng)學(xué)生創(chuàng)新能力。

（2）實(shí)驗(yàn)教學(xué)中增強(qiáng)學(xué)生團(tuán)隊(duì)意識(shí)。利用信息安全技術(shù)虛擬實(shí)驗(yàn)平臺(tái)拓展和改善學(xué)習(xí)環(huán)境和氛圍。在傳統(tǒng)的分組模式基礎(chǔ)上，在具體操作過程中根據(jù)學(xué)生水平結(jié)合自愿原則分組，鼓勵(lì)學(xué)生制定不同梯度的任務(wù)作為目標(biāo)，適時(shí)引導(dǎo)和有效監(jiān)督，讓學(xué)生體會(huì)到團(tuán)隊(duì)合作的重要性，培養(yǎng)竭誠(chéng)合作的精神。此時(shí)，教師的引導(dǎo)作用很重要。

（3）利用信息安全虛擬實(shí)驗(yàn)平臺(tái)，改革實(shí)踐課程考核體系。實(shí)驗(yàn)考核中，學(xué)生要在規(guī)定時(shí)間內(nèi)獨(dú)立解決問題，確保實(shí)踐考核的實(shí)時(shí)性、公開性和準(zhǔn)確性。這樣的學(xué)習(xí)考核方式，使學(xué)生學(xué)習(xí)有目標(biāo)、有壓力，學(xué)生在課前會(huì)認(rèn)真做好準(zhǔn)備，課后強(qiáng)化相關(guān)的信息安全的設(shè)計(jì)和應(yīng)用，調(diào)動(dòng)了學(xué)生的學(xué)習(xí)興趣，從而達(dá)到了提高學(xué)生解決實(shí)踐問題能力的教學(xué)目的。

（4）尋求校企合作，鼓勵(lì)學(xué)生到相關(guān)企業(yè)實(shí)習(xí)和工作。讓學(xué)生了解企業(yè)信息安全人才需求，努力讓學(xué)生密切聯(lián)系實(shí)際，鼓勵(lì)學(xué)生到相關(guān)企業(yè)實(shí)習(xí)和工作。在學(xué)校有限的實(shí)驗(yàn)條件下，積極尋求校企合作，鼓勵(lì)學(xué)生去企業(yè)實(shí)習(xí)，為畢業(yè)生順利就業(yè)和后續(xù)擴(kuò)大專業(yè)招生打下良好的基礎(chǔ)。

參考文獻(xiàn)：

[1] RONGFENG， DENGGUO . A detailed implement and analysis of MPLS VPN based on IPSec proceedings of 2008 international conference on machine learning and cybernetics[R]，2008.

[2] FRIEND.Robert making the gigabit IPSec VPN architecture secure source[J].Computer， v37， June， 2009.

[3] CHIUANHUNG LIN， YINGDAR LIN， YUANCHEN LAI. VPN gateways over network processors：implementation and evaluation；real time and embedded technology and applications symposium[J].RTAS 2005.11th IEEE 0710 March 2009.

[4] ZHAO DAYUAN， JIANG YIXIN， LIN CHUANG，et al.Implementation and performance evaluation of IPSec VPN based on netfilter[J].Wuhan University Journal of Natural Sciences，v10，January，2009.

[5] 張劍，寇應(yīng)展，蔣炎，等. IPSecVPN技術(shù)及其安全性[J].福建電腦， 2007（11）.

[6] 李超.Linux下IPSec協(xié)議的實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用，2008 （6）.

篇4

一、引言

 

信息安全學(xué)科是在信息技術(shù)及其應(yīng)用的快速發(fā)展中逐漸形成的，它針對(duì)信息生成、存儲(chǔ)、傳輸、處理和交互的各個(gè)環(huán)節(jié)，用數(shù)學(xué)方法刻畫和描述其變換的過程和狀態(tài)，建立安全控制與管理模型，進(jìn)而保障信息及信息系統(tǒng)的高安全性、高可信性和高可用性。在當(dāng)前信息化和經(jīng)濟(jì)全球化的時(shí)代背景下，做好民族高校信息安全領(lǐng)域的教學(xué)研究工作，為國(guó)家儲(chǔ)備適應(yīng)全球形勢(shì)變化的復(fù)合型信息安全人才越發(fā)重要。

 

中南民族大學(xué)在信息安全人才培養(yǎng)方面做了很多工作。其計(jì)算機(jī)科學(xué)學(xué)院、數(shù)學(xué)與統(tǒng)計(jì)學(xué)學(xué)院在本科階段開設(shè)了信息安全方面的課程，計(jì)算機(jī)科學(xué)學(xué)院的信息安全專業(yè)碩士點(diǎn)于2012年開始招生。其中計(jì)算機(jī)科學(xué)學(xué)院從2006年開設(shè)《信息安全》雙語(yǔ)課程。信息安全教學(xué)研究方面還有長(zhǎng)足的發(fā)展提升空間。

 

針對(duì)信息安全課程的特點(diǎn)，結(jié)合我們雙語(yǔ)教學(xué)的經(jīng)驗(yàn)和體會(huì)，就《信息安全》雙語(yǔ)課程教學(xué)提出幾點(diǎn)新的和若干建議，其中關(guān)于教材的論述等課程相關(guān)情況見孟博老師的論文[1]。

 

二、信息安全課程特點(diǎn)

 

《信息安全》難教，學(xué)生難懂，實(shí)驗(yàn)難做。我們組成員以信息安全專業(yè)領(lǐng)域?yàn)榻虒W(xué)內(nèi)容，進(jìn)行教學(xué)模式與教學(xué)方法的研究與實(shí)踐。

 

《信息安全》課程特點(diǎn)[1-3]：

 

1.信息安全學(xué)科基礎(chǔ)涉及面廣。信息安全是一門新興的學(xué)科，也是一門綜合性很強(qiáng)的交叉學(xué)科，涉及密碼學(xué)、通信、數(shù)學(xué)、計(jì)算機(jī)等諸多學(xué)科。

 

2.信息安全專業(yè)基礎(chǔ)課程要求多。要想較好地掌握這門課程，需要學(xué)習(xí)數(shù)學(xué)基礎(chǔ)課程、電路基礎(chǔ)課程、密碼學(xué)基礎(chǔ)課程、計(jì)算機(jī)理論基礎(chǔ)課程、網(wǎng)絡(luò)通信基礎(chǔ)課程等。

 

3.信息安全專業(yè)前沿性強(qiáng)，知識(shí)更新快。信息安全專業(yè)是圍繞攻防、對(duì)抗策略和技術(shù)展開研究的，隨著科學(xué)技術(shù)的發(fā)展，該研究領(lǐng)域的知識(shí)創(chuàng)新多且快。

 

我們?cè)谛畔踩n程傳授的過程中面臨的困難如下所示：

 

(1)民族院校的學(xué)生專業(yè)素質(zhì)和英語(yǔ)素質(zhì)高低不齊;

 

(2)信息安全相關(guān)的資源分散;

 

(3)英語(yǔ)語(yǔ)言的教學(xué)與專業(yè)教育的脫節(jié);

 

(4)理論知識(shí)和實(shí)踐知識(shí)結(jié)合不緊密。

 

根據(jù)信息安全課程的特點(diǎn)，只有保持信息安全傳授內(nèi)容理論與實(shí)踐知識(shí)的先進(jìn)性，及時(shí)了解該學(xué)科最新研究發(fā)展動(dòng)態(tài)和前沿，才能培養(yǎng)出具有實(shí)踐和創(chuàng)新能力的高層次高素質(zhì)人才。結(jié)合我們面臨的困難，考慮到兩個(gè)因素：(1)信息安全相關(guān)的前沿知識(shí)的語(yǔ)言載體是主要英語(yǔ);(2)在課堂上嘗試將理論知識(shí)和實(shí)踐知識(shí)有機(jī)的結(jié)合起來，我們研究并實(shí)踐將虛擬仿真實(shí)驗(yàn)和CLIL雙語(yǔ)教學(xué)應(yīng)用到信息安全課程傳授中的模式。

 

三、虛擬仿真實(shí)驗(yàn)的概念及模式

 

虛擬仿真實(shí)驗(yàn)教學(xué)是學(xué)科專業(yè)與信息技術(shù)深度融合的產(chǎn)物，運(yùn)用虛擬現(xiàn)實(shí)技術(shù)模擬實(shí)物實(shí)驗(yàn)的計(jì)算機(jī)輔助教學(xué)軟件。目前的國(guó)內(nèi)外模擬仿真軟件總結(jié)如下。

 

PSPICE[4]是由SPICE(Simulation Program with Integrated Circuit Emphasis)發(fā)展而來的用于微機(jī)系列的通用電子電路功能的仿真，是一個(gè)多功能的電路模擬試驗(yàn)平臺(tái);Tina Pro[5]是歐洲D(zhuǎn)esignSoft公司研發(fā)的一個(gè)電子設(shè)計(jì)自動(dòng)化軟件，它用于模擬與數(shù)字電路的仿真分析和設(shè)計(jì)研究，分析結(jié)果可以很好地展現(xiàn)在圖表或虛擬設(shè)備中;CircuitMaker[6]軟件用于電子電路仿真實(shí)驗(yàn)，是一種用于電路描述與仿真的語(yǔ)言與仿真器軟件，用于檢測(cè)電路的連接和功能的完整性;Proteus[7]軟件是英國(guó)Labcenter electronics公司的EDA軟件，提供仿真單片機(jī)及外圍器件的工具，該軟件將電路仿真軟件、PCB設(shè)計(jì)軟件和虛擬模型仿真軟件三合一的設(shè)計(jì)平臺(tái);Boson NetSim[8]模擬Cisco路由器、交換機(jī)，可自定義網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及連接。

 

根據(jù)《教育信息化十年發(fā)展規(guī)劃(2011-2020年)》，教育部于2013年開始啟動(dòng)了開展了國(guó)家級(jí)虛擬仿真實(shí)驗(yàn)教學(xué)中心建設(shè)工作。北京郵電大學(xué)建設(shè)了國(guó)家級(jí)北郵電子信息虛擬仿真實(shí)驗(yàn)教學(xué)中心，開發(fā)了“開放式虛擬仿真實(shí)驗(yàn)教學(xué)管理平臺(tái)”[9，10]。我們嘗試將該平臺(tái)作為信息安全課堂的輔助教學(xué)，其中一個(gè)教學(xué)內(nèi)容使用虛擬仿真平臺(tái)進(jìn)行的網(wǎng)絡(luò)構(gòu)建，如圖1所示。

 

四、CLIL雙語(yǔ)教學(xué)的概念及模式

 

雙語(yǔ)教學(xué)是在教學(xué)過程中使用除母語(yǔ)以外的一種外語(yǔ)，通過兩種語(yǔ)言作為教學(xué)媒介，并在教學(xué)過程中提高學(xué)生的專業(yè)能力和外語(yǔ)水平。關(guān)于雙語(yǔ)教學(xué)的模式，有多種不同的分類，如美國(guó)的“過渡式”、加拿大等“法語(yǔ)浸入式”等模式。20世紀(jì)20年代，CLIL(Content and Language IntegratedLeaning)[11-13]廣泛應(yīng)用于歐洲的雙語(yǔ)教學(xué)領(lǐng)域。CLIL中文譯為內(nèi)容和語(yǔ)言的融合學(xué)習(xí)，是指將一門或多門外語(yǔ)作為非語(yǔ)言學(xué)科的教學(xué)語(yǔ)言，在此過程中，語(yǔ)言和學(xué)科將共同發(fā)揮作用。以學(xué)科內(nèi)容為核心，使用真實(shí)的語(yǔ)言及語(yǔ)言材料，在課堂教學(xué)中注重學(xué)生的語(yǔ)言、認(rèn)知和情感等因素。CLIL是歐盟在“培養(yǎng)多語(yǔ)言能力公民、促進(jìn)語(yǔ)言教學(xué)的發(fā)展和多樣化”的決議框架下推動(dòng)歐盟各國(guó)開展的一種雙語(yǔ)教學(xué)模式。這種模式相對(duì)于源于北美被全球普遍采納的浸入式雙語(yǔ)教學(xué)，為雙語(yǔ)教學(xué)的理論研究和實(shí)踐教學(xué)都做出了具有革新意義的貢獻(xiàn)。

 

選擇英語(yǔ)作為學(xué)習(xí)信息安全學(xué)科知識(shí)的語(yǔ)言媒介，是因?yàn)橛⒄Z(yǔ)是當(dāng)今國(guó)際各種領(lǐng)域的交流合作中使用頻率最高的語(yǔ)言種類。為了使學(xué)生適應(yīng)國(guó)際化教育、產(chǎn)業(yè)的發(fā)展趨勢(shì)，有效獲得更多、更新的學(xué)科知識(shí)和科技信息，并能夠把我們的科技成果推向世界，高等教育承擔(dān)起培養(yǎng)具有國(guó)際視野、具備國(guó)際競(jìng)爭(zhēng)能力的創(chuàng)新型、復(fù)合型高級(jí)專門人才的責(zé)任，而雙語(yǔ)教學(xué)可以說是承擔(dān)責(zé)任的前提或必要條件。特別是CLIL雙語(yǔ)教學(xué)模式對(duì)于中國(guó)的雙語(yǔ)教學(xué)更具有實(shí)際的借鑒意義。CLIL雙語(yǔ)教學(xué)模式可分為三個(gè)方面的內(nèi)容，如圖2所示。

 

1.內(nèi)容相關(guān)的學(xué)習(xí)(Content-related learning)。在課堂上使用的全英語(yǔ)教學(xué)材料，該材料是否合適教學(xué)，主要看以下幾個(gè)方面：通過本教學(xué)材料的學(xué)習(xí)，學(xué)生可否掌握兩個(gè)以上的知識(shí)點(diǎn);量化掌握知識(shí)的目標(biāo);通過什么策略讓學(xué)生來掌握這些知識(shí)點(diǎn)，比如在學(xué)生已有知識(shí)的層面上通過視覺、或頭腦風(fēng)暴活動(dòng)、以更友好的方式展示知識(shí)點(diǎn)、通過不同的學(xué)習(xí)方式如游戲或者視頻支持、安排有挑戰(zhàn)性的任務(wù)給學(xué)生來完成;

 

2.語(yǔ)言相關(guān)的學(xué)習(xí)(Language-related learning)。解釋可能影響學(xué)生理解文章的單詞;量化和語(yǔ)言相關(guān)的學(xué)習(xí)掌握指標(biāo);寫出讓學(xué)習(xí)者完成目標(biāo)需要用到的策略，如盡量將英文材料通俗易懂、將關(guān)鍵詞標(biāo)下劃線、英文材料提供詞匯表等;

 

3.學(xué)習(xí)技能相關(guān)的學(xué)習(xí)(Learning skills-related learning)。標(biāo)出技能相關(guān)的目標(biāo);量化這些目標(biāo);設(shè)計(jì)好的策略幫助學(xué)習(xí)者完成這些目標(biāo)，比如重新組織知識(shí)點(diǎn)、通過圖表等分析知識(shí)點(diǎn)等。

 

CLIL雙語(yǔ)教學(xué)模式認(rèn)為人的認(rèn)知過程可分為5個(gè)漸進(jìn)過程，即記憶、理解、運(yùn)用、分析、評(píng)價(jià)、創(chuàng)造(Remember，Understand，Apply，Analyse，Evaluate，Create)。其中記憶、理解、運(yùn)用是低層次的思維能力因?yàn)樗麄兏唧w，而分析、評(píng)價(jià)、創(chuàng)造是高層次的思維能力因?yàn)樗麄兏橄蟆?/p>

 

五、課程設(shè)置教學(xué)實(shí)踐方案

 

通過對(duì)現(xiàn)有理論和實(shí)踐經(jīng)驗(yàn)的研究和探索，采用虛擬仿真實(shí)驗(yàn)和CLIL雙語(yǔ)教學(xué)方法應(yīng)用到信息安全的課程教學(xué)實(shí)踐中。課程設(shè)置方案氛圍準(zhǔn)備階段、CLIL教學(xué)階段、虛擬仿真實(shí)驗(yàn)階段，各階段描述如下：

 

1.準(zhǔn)備階段：配發(fā)講義，其內(nèi)容主要與《Cryptography and Network Security Principles and Practice，F(xiàn)ifth Edition》(密碼編碼學(xué)與網(wǎng)絡(luò)安全-原理與實(shí)踐)課程內(nèi)容接近，補(bǔ)充專業(yè)詞匯和常見表達(dá)方式。該階段按照教學(xué)進(jìn)度安排學(xué)生自學(xué)并熟悉專業(yè)詞匯，同時(shí)利用CLIL教學(xué)中針對(duì)詞匯測(cè)試的有趣方法對(duì)學(xué)生進(jìn)行詞匯量的教學(xué)和測(cè)試。

 

2.CLIL教學(xué)階段。教學(xué)過程中給出不同的和密碼算法相關(guān)的英文版本供學(xué)生閱讀、參考和討論。在此基礎(chǔ)上，針對(duì)不同的密碼算法設(shè)計(jì)有特色的相關(guān)的簡(jiǎn)單的任務(wù)，教師講解，學(xué)生組成團(tuán)隊(duì)合作，在給定的時(shí)間內(nèi)呈現(xiàn)設(shè)計(jì)方案并且陳述其方案，交流的過程主要使用英語(yǔ)完成。

 

3.虛擬仿真實(shí)驗(yàn)階段。在教學(xué)過程中，在算法很抽象或者熟悉相關(guān)密碼算法后，老師通過虛擬仿真實(shí)驗(yàn)平臺(tái)展示該算法的原理或?qū)嶋H應(yīng)用，將抽象內(nèi)容形象化和具體化。安排學(xué)生組成團(tuán)隊(duì)利用虛擬仿真實(shí)驗(yàn)平臺(tái)設(shè)計(jì)網(wǎng)絡(luò)安全實(shí)驗(yàn)，進(jìn)一步鞏固、實(shí)踐其所學(xué)習(xí)的密碼理論知識(shí)。

 

六、信息安全雙語(yǔ)課程教學(xué)的心得與體會(huì)

 

將虛擬仿真實(shí)驗(yàn)和基于CLIL的雙語(yǔ)教學(xué)引入到信息安全的課堂教學(xué)中，使得教學(xué)模式和方法多樣化、智能化、規(guī)范化、國(guó)際化，旨在提高學(xué)生專業(yè)英語(yǔ)聽說寫能力;加強(qiáng)創(chuàng)新精神和實(shí)踐能力的培養(yǎng);更生動(dòng)形象傳達(dá)不易理解的知識(shí)。具體意義如圖3描述，總結(jié)如下：

 

1.引入CLIL雙語(yǔ)教學(xué)理論，將語(yǔ)言和學(xué)科融合進(jìn)教學(xué)。學(xué)習(xí)探討國(guó)際上主流的被大家認(rèn)可的雙語(yǔ)教學(xué)理論如CLIL，在此基礎(chǔ)上探索適合民族院校學(xué)生特點(diǎn)的教學(xué)方式方法，在《信息安全》專業(yè)課程的講授過程中將英語(yǔ)的語(yǔ)言能力培養(yǎng)與信息安全的專業(yè)內(nèi)容融合起來一起學(xué)習(xí)，在此過程中，語(yǔ)言和學(xué)科將共同發(fā)揮作用。旨在提高學(xué)生的專業(yè)英語(yǔ)能力、擴(kuò)大學(xué)生的知識(shí)面，為國(guó)家培養(yǎng)高素質(zhì)復(fù)合型專業(yè)人才隊(duì)伍。

 

2.搭建虛擬仿真實(shí)驗(yàn)平臺(tái)，將理論和實(shí)踐融合進(jìn)教學(xué)。在課堂教學(xué)過程將動(dòng)畫模擬、虛擬仿真、遠(yuǎn)程實(shí)驗(yàn)和實(shí)物實(shí)驗(yàn)優(yōu)化組合，探索各類案例的優(yōu)勢(shì)互補(bǔ)，旨在調(diào)動(dòng)學(xué)生學(xué)習(xí)積極性、啟迪思維、激發(fā)潛能。通過虛擬仿真實(shí)驗(yàn)平臺(tái)，整合信息安全的相關(guān)資源，提供智能化的教學(xué)服務(wù)同時(shí)，培養(yǎng)學(xué)生的創(chuàng)新能力和動(dòng)手能力。

 

本論文的探索方法將是鼓勵(lì)課前預(yù)習(xí)、課程參與、課后實(shí)踐。講授方式的選擇將會(huì)優(yōu)化組合教學(xué)模式，激發(fā)學(xué)生學(xué)習(xí)熱情，提高學(xué)習(xí)的主動(dòng)性，提高學(xué)生的上課注意力。通過CLIL模式中各類學(xué)習(xí)技巧，逐步提高學(xué)生的英語(yǔ)能力和專業(yè)素質(zhì)。

 

七、總結(jié)

 

本論文探索將CLIL雙語(yǔ)教學(xué)模式和虛擬仿真實(shí)驗(yàn)應(yīng)用到信息安全的課程教學(xué)過程中。學(xué)習(xí)探討適合信息安全課程特點(diǎn)和民族院校教學(xué)特點(diǎn)的雙語(yǔ)教學(xué)理論如CLIL雙語(yǔ)教學(xué)模式，在《信息安全》專業(yè)課程的講授過程中將英語(yǔ)的語(yǔ)言能力培養(yǎng)與信息安全的專業(yè)內(nèi)容融合起來一起學(xué)習(xí)，語(yǔ)言和學(xué)科將共同發(fā)揮作用;同時(shí)運(yùn)用虛擬仿真實(shí)驗(yàn)等輔助手段，將信息安全的理論知識(shí)和實(shí)踐知識(shí)結(jié)合起來，提高學(xué)生對(duì)信息安全專業(yè)的認(rèn)知程度。我們所做的努力最終的目標(biāo)是讓學(xué)生從記憶、理解、運(yùn)用知識(shí)到能分析、評(píng)價(jià)、創(chuàng)造知識(shí)的轉(zhuǎn)變，為社會(huì)培養(yǎng)大量既有豐富的專業(yè)知識(shí)又精通英語(yǔ)的高素質(zhì)復(fù)合型人才。

篇5

論文關(guān)鍵詞:信息安全外包風(fēng)險(xiǎn)管理

論文摘要:文章首先分析了信息安全外包存在的風(fēng)險(xiǎn)，根據(jù)風(fēng)險(xiǎn)提出信息安全外包的管理框架，并以此框架為基礎(chǔ)詳細(xì)探討了信息安全外包風(fēng)險(xiǎn)與管理的具體實(shí)施。文章以期時(shí)信息安全外包的風(fēng)險(xiǎn)進(jìn)行控制，并獲得與外包商合作的最大收益。

1信息安全外包的風(fēng)險(xiǎn)

1.1信任風(fēng)險(xiǎn)

企業(yè)是否能與信息安全服務(wù)的外包商建立良好的工作和信任關(guān)系，仍是決定時(shí)候?qū)踩?wù)外包的一個(gè)重要因素。因?yàn)樾畔踩耐獍炭梢栽L問到企業(yè)的敏感信息，并全面了解其企業(yè)和系統(tǒng)的安全狀況，而這些重要的信息如果被有意或無意地對(duì)公眾散播出去，則會(huì)對(duì)企業(yè)造成巨大的損害。并且，如若企業(yè)無法信任外包商，不對(duì)外包商提供一些關(guān)鍵信息的話，則會(huì)造成外包商在運(yùn)作過程中的信息不完全，從而導(dǎo)致某些環(huán)節(jié)的失效，這也會(huì)對(duì)服務(wù)質(zhì)量造成影響。因此，信任是雙方合作的基礎(chǔ)，也是很大程度上風(fēng)險(xiǎn)規(guī)避的重點(diǎn)內(nèi)容。

1.2依賴風(fēng)險(xiǎn)

企業(yè)很容易對(duì)某個(gè)信息安全服務(wù)的外包商產(chǎn)生依賴性，并受其商業(yè)變化、商業(yè)伙伴和其他企業(yè)的影響，恰當(dāng)?shù)娘L(fēng)險(xiǎn)緩釋方法是將安全服務(wù)外包給多個(gè)服務(wù)外包商，但相應(yīng)地會(huì)加大支出并造成管理上的困難，企業(yè)將失去三種靈活性:第一種是短期靈活性，即企業(yè)重組資源的能力以及在經(jīng)營(yíng)環(huán)境發(fā)生變化時(shí)的應(yīng)變能力;第二種是適應(yīng)能力，即在短期到中期的事件范圍內(nèi)所需的靈活性，這是一種以新的方式處理變革而再造業(yè)務(wù)流程和戰(zhàn)略的能力，再造能力即包括了信息技術(shù);第三種靈活性就是進(jìn)化性，其本質(zhì)是中期到長(zhǎng)期的靈活性，它產(chǎn)生于企業(yè)改造技術(shù)基本設(shè)施以利用新技術(shù)的時(shí)期。進(jìn)化性的獲得需要對(duì)技術(shù)趨勢(shì)、商業(yè)趨勢(shì)的準(zhǔn)確預(yù)測(cè)和確保雙方建立最佳聯(lián)盟的能力。

1.3所有權(quán)風(fēng)險(xiǎn)

不管外包商提供服務(wù)的范圍如何，企業(yè)都對(duì)基礎(chǔ)設(shè)施的安全操作和關(guān)鍵資產(chǎn)的保護(hù)持有所有權(quán)和責(zé)任。企業(yè)必須確定服務(wù)外包商有足夠的能力承擔(dān)職責(zé)，并且其服務(wù)級(jí)別協(xié)議條款支持這一職責(zé)的履行。正確的風(fēng)險(xiǎn)緩釋方法是讓包括員工和管理的各個(gè)級(jí)別的相關(guān)人員意識(shí)到，應(yīng)該將信息安全作為其首要責(zé)任，并進(jìn)行安全培訓(xùn)課程，增強(qiáng)常規(guī)企業(yè)的安全意識(shí)。

1.4共享環(huán)境風(fēng)臉

信息安全服務(wù)的外包商使用的向多個(gè)企業(yè)提供服務(wù)的操作環(huán)境要比單獨(dú)的機(jī)構(gòu)內(nèi)部環(huán)境將包含更多的風(fēng)險(xiǎn)，因?yàn)楣蚕淼牟僮鳝h(huán)境將支持在多企業(yè)之間共享數(shù)據(jù)傳輸(如公共網(wǎng)絡(luò))或處理(如通用服務(wù)器)，這將會(huì)增加一個(gè)企業(yè)訪問另一企業(yè)敏感信息的可能性。這對(duì)企業(yè)而言也是一種風(fēng)險(xiǎn)。

1.5實(shí)施過程風(fēng)險(xiǎn)

啟動(dòng)一個(gè)可管理的安全服務(wù)關(guān)系可能引起企業(yè)到服務(wù)外包商，或者一個(gè)服務(wù)外包商到另一個(gè)外包商之間的人員、過程、硬件、軟件或其他資產(chǎn)的復(fù)雜過渡，這一切都可能引起新的風(fēng)險(xiǎn)。企業(yè)應(yīng)該要求外包商說明其高級(jí)實(shí)施計(jì)劃，并注明完成日期和所用時(shí)間。這樣在某種程度上就對(duì)實(shí)施過程中風(fēng)險(xiǎn)的時(shí)間期限做出了限制。

1.6合作關(guān)系失敗將導(dǎo)致的風(fēng)險(xiǎn)

如果企業(yè)和服務(wù)商的合作關(guān)系失敗，企業(yè)將面臨極大的風(fēng)險(xiǎn)。合作關(guān)系失敗帶來的經(jīng)濟(jì)損失、時(shí)間損失都是不言而喻的，而這種合作關(guān)系的失敗歸根究底來自于企業(yè)和服務(wù)外包商之間的服務(wù)計(jì)劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關(guān)系在任何階段都有可能失敗，如同其他商業(yè)關(guān)系一樣，它需要給予足夠的重視、關(guān)注，同時(shí)還需要合作關(guān)系雙方進(jìn)行頻繁的溝通。

2信息安全外包的管理框架

要進(jìn)行成功的信息安全外包活動(dòng)，就要建立起一個(gè)完善的管理框架，這對(duì)于企業(yè)實(shí)施和管理外包活動(dòng)，協(xié)調(diào)與外包商的關(guān)系，最大可能降低外包風(fēng)險(xiǎn)，從而達(dá)到外包的目的是十分重要的。信息安全外包的管理框架的內(nèi)容分為幾個(gè)主體部分，分別包括企業(yè)協(xié)同信息安全的外包商確定企業(yè)的信息安全的方針以及信息安全外包的安全標(biāo)準(zhǔn)，然后是對(duì)企業(yè)遭受的風(fēng)險(xiǎn)進(jìn)行系統(tǒng)的評(píng)估.并根據(jù)方針和風(fēng)險(xiǎn)程度.決定風(fēng)險(xiǎn)管理的內(nèi)容并確定信息安全外包的流程。之后，雙方共同制定適合企業(yè)的信息安全外包的控制方法，協(xié)調(diào)優(yōu)化企業(yè)的信息安全相關(guān)部門的企業(yè)結(jié)構(gòu)，同時(shí)加強(qiáng)管理與外包商的關(guān)系。

3信息安全外包風(fēng)險(xiǎn)管理的實(shí)施

3.1制定信息安全方針

信息安全方針在很多時(shí)候又稱為信息安全策略，信息安全方針指的是在一個(gè)企業(yè)內(nèi)，指導(dǎo)如何對(duì)資產(chǎn)，包括敏感性信息進(jìn)行管理、保護(hù)和分配的指導(dǎo)或者指示。信息安全的方針定義應(yīng)該包括:(1)信息安全的定義，定義的內(nèi)容包括信息安全的總體目標(biāo)、信息安全具體包括的范圍以及信息安全對(duì)信息共享的重要性;(2)管理層的目的的相關(guān)闡述;(3)信息安全的原則和標(biāo)準(zhǔn)的簡(jiǎn)要說明，以及遵守這些原則和標(biāo)準(zhǔn)對(duì)企業(yè)的重要性;(4)信息安全管理的總體性責(zé)任的定義。在信息安全方針的部分只需要對(duì)企業(yè)的各個(gè)部門的安全職能給出概括性的定義，而具體的信息安全保護(hù)的責(zé)任細(xì)節(jié)將留至服務(wù)標(biāo)準(zhǔn)的部分來闡明。

3.2選擇信息安全管理的標(biāo)準(zhǔn)

信息安全管理體系標(biāo)準(zhǔn)BS7799與信息安全管理標(biāo)準(zhǔn)IS013335是目前通用的信息安全管理的標(biāo)準(zhǔn):

(1)BS7799:BS7799標(biāo)準(zhǔn)是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)指定的信息安全管理標(biāo)準(zhǔn)，是國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)，標(biāo)準(zhǔn)包括如下兩部分:BS7799-1;1999《信息安全管理實(shí)施細(xì)則》;BS7799-2:1999((信息安全管理體系規(guī)范》。

(2)IS013335:IS013335《IT安全管理方針》主要是給出如何有效地實(shí)施IT安全管理的建議和指南。該標(biāo)準(zhǔn)目前分為5個(gè)部分，分別是信息技術(shù)安全的概念和模型部分;信息技術(shù)安全的管理和計(jì)劃部分;信息技術(shù)安全的技術(shù)管理部分;防護(hù)和選擇部分以及外部連接的防護(hù)部分。

3.3確定信息安全外包的流程

企業(yè)要根據(jù)企業(yè)的商業(yè)特性、地理位置、資產(chǎn)和技術(shù)來對(duì)信息安全外包的范圍進(jìn)行界定。界定的時(shí)候需要考慮如下兩個(gè)方面:(1)需要保護(hù)的信息系統(tǒng)、資產(chǎn)、技術(shù);(2)實(shí)物場(chǎng)所(地理位置、部門等)。信息安全的外包商應(yīng)該根據(jù)企業(yè)的信息安全方針和所要求的安全程度，識(shí)別所有需要管理和控制的風(fēng)險(xiǎn)的內(nèi)容。企業(yè)需要協(xié)同信息安全的外包商選擇一個(gè)適合其安全要求的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理方案，然后進(jìn)行合乎規(guī)范的評(píng)估，識(shí)別目前面臨的風(fēng)險(xiǎn)。企業(yè)可以定期的選擇對(duì)服務(wù)外包商的站點(diǎn)和服務(wù)進(jìn)行獨(dú)立評(píng)估，或者在年度檢查中進(jìn)行評(píng)估。選擇和使用的獨(dú)立評(píng)估的方案要雙方都要能夠接受。在達(dá)成書面一致后，外包商授予企業(yè)獨(dú)立評(píng)估方評(píng)估權(quán)限，并具體指出評(píng)估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關(guān)于檢查范圍的進(jìn)一步消息和細(xì)節(jié)，以減少任何對(duì)可用性，服務(wù)程度，客戶滿意度等的影響。在評(píng)估執(zhí)行后的一段特殊時(shí)間內(nèi)，與外包商共享結(jié)果二互相討論并決定是否需要解決方案和/或開發(fā)計(jì)劃程序以應(yīng)對(duì)由評(píng)估顯示的任何變化。評(píng)估所需要的相關(guān)材料和文檔在控制過程中都應(yīng)該予以建立和保存，企業(yè)將這些文檔作為評(píng)估的重要工具，對(duì)外包商的服務(wù)績(jī)效進(jìn)行考核。評(píng)估結(jié)束后，對(duì)事件解決方案和優(yōu)先級(jí)的檢查都將記錄在相應(yīng)的文件中，以便今后雙方在服務(wù)和信息安全管理上進(jìn)行改進(jìn)。

3.4制定信息安全外包服務(wù)的控制規(guī)則

依照信息安全外包服務(wù)的控制規(guī)則，主要分為三部分內(nèi)容:第一部分定義了服務(wù)規(guī)則的框架，主要闡明信息安全服務(wù)要如何執(zhí)行，執(zhí)行的通用標(biāo)準(zhǔn)和量度，服務(wù)外包商以及各方的任務(wù)和職責(zé);第二部分是信息安全服務(wù)的相關(guān)要求，這個(gè)部分具體分為高層服務(wù)需求;服務(wù)可用性;服務(wù)體系結(jié)構(gòu);服務(wù)硬件和服務(wù)軟件;服務(wù)度量;服務(wù)級(jí)別;報(bào)告要求，服務(wù)范圍等方面的內(nèi)容;第三部分是安全要求，包括安全策略、程序和規(guī)章制度;連續(xù)計(jì)劃;可操作性和災(zāi)難恢復(fù);物理安全;數(shù)據(jù)控制;鑒定和認(rèn)證;訪問控制;軟件完整性;安全資產(chǎn)配置;備份;監(jiān)控和審計(jì);事故管理等內(nèi)容。

3.5信息安全外包的企業(yè)結(jié)構(gòu)管理具體的優(yōu)化方案如下:

(1)首席安全官:CSO是公司的高層安全執(zhí)行者，他需要直接向高層執(zhí)行者進(jìn)行工作匯報(bào)，主要包括:首席執(zhí)行官、首席運(yùn)營(yíng)官、首席財(cái)務(wù)官、主要管理部門的領(lǐng)導(dǎo)、首席法律顧問。CSO需要監(jiān)督和協(xié)調(diào)各項(xiàng)安全措施在公司的執(zhí)行情況，并確定安全工作的標(biāo)準(zhǔn)和主動(dòng)性，包括信息技術(shù)、人力資源、通信、法律、設(shè)備管理等部門。

(2)安全小組:安全小組的人員組成包括信息安全外包商的專業(yè)人員以及客戶企業(yè)的內(nèi)部IT人員和信息安全專員。這個(gè)小組的任務(wù)主要是依照信息安全服務(wù)的外包商與企業(yè)簽訂的服務(wù)控制規(guī)則來進(jìn)行信息安全的技術(shù)。

(3)管理委員會(huì):這是信息安全服務(wù)外包商和客戶雙方高層解決問題的機(jī)構(gòu)。組成人員包括雙方的首席執(zhí)行官，客戶企業(yè)的CIO和CSO，外包商的項(xiàng)目經(jīng)理等相關(guān)的高層決策人員。這個(gè)委員會(huì)每年召開一次會(huì)議，負(fù)責(zé)審核年度的服務(wù)水平、企業(yè)的適應(yīng)性、評(píng)估結(jié)果、關(guān)系變化等內(nèi)容。

(4)咨詢委員會(huì):咨詢委員會(huì)的會(huì)議主要解決計(jì)劃性問題。如服務(wù)水平的變更，新的技術(shù)手段的應(yīng)用，服務(wù)優(yōu)先等級(jí)的更換以及服務(wù)的財(cái)政問題等，咨詢委員會(huì)的成員包括企業(yè)內(nèi)部的TI’人員和安全專員，還有財(cái)務(wù)部門、人力資源部門、業(yè)務(wù)部門的相關(guān)人員，以及外包商的具體項(xiàng)目的負(fù)責(zé)人。

(6)安全工作組:安全工作組的人員主要負(fù)責(zé)解決信息安全中某些特定的問題，工作組的人員組成也是來自服務(wù)外包商和企業(yè)雙方。工作組與服務(wù)交換中心密切聯(lián)系，將突出的問題組建成項(xiàng)目進(jìn)行解決，并將無法解決的問題提交給咨詢委員會(huì)。

(7)服務(wù)交換中心:服務(wù)交換中心由雙方人員組成，其中主要人員是企業(yè)內(nèi)部的各個(gè)業(yè)務(wù)部門中與信息安全相關(guān)的人員。他們負(fù)責(zé)聯(lián)絡(luò)各個(gè)業(yè)務(wù)部門，發(fā)掘出企業(yè)中潛在的信息安全的問題和漏洞，并將這些問題報(bào)告給安全工作組。

（8）指令問題管理小組:這個(gè)小組的人員組成全部為企業(yè)內(nèi)部人員，包括信息安全專員以及各個(gè)業(yè)務(wù)部門的負(fù)責(zé)人。在安全小組的技術(shù)人員解決了企業(yè)中的安全性技術(shù)問題之后，或者，是當(dāng)CSO了關(guān)于信息安全的企業(yè)改進(jìn)方案之后，這些解決方案都將傳送給指令問題管理小組，這個(gè)小組的人員經(jīng)過學(xué)習(xí)討論后，繼而將其到各個(gè)業(yè)務(wù)部門。

(9)監(jiān)督委員會(huì):這個(gè)委員會(huì)全部由企業(yè)內(nèi)部人員組成。負(fù)責(zé)對(duì)外包商的服務(wù)過程的監(jiān)督。