信息安全人才培养知识体系与课程体系研究-课件.ppt

1、信息安全人才培养知识体系信息安全人才培养知识体系与课程体系研究与课程体系研究 中南大学中南大学 王伟平王伟平提纲提纲信息安全人才需求信息安全人才需求国内外信息安全人才培养现状国内外信息安全人才培养现状高校人才培养高校人才培养资质认证与培训资质认证与培训信息安全人才培养的层次化知识体系信息安全人才培养的层次化知识体系信息安全专业课程体系信息安全专业课程体系信息安全人才需求信息安全人才需求对应岗位对应岗位人才需求类别人才需求类别维护管理类维护管理类安全咨询、应急响应、培训安全咨询、应急响应、培训开发设计类开发设计类产品研发人员、安全分析师产品研发人员、安全分析师产品测评类产品测评类企业、机构测试人

2、员企业、机构测试人员科学研究类科学研究类高校科研机构研究人员高校科研机构研究人员网络和系统管理员、安全审计员网络和系统管理员、安全审计员安全服务类安全服务类能很好地掌握和使用各类能很好地掌握和使用各类信息安全测试、恢复工具信息安全测试、恢复工具，掌握多种硬件平台、操，掌握多种硬件平台、操作系统和应用软件的使用作系统和应用软件的使用，及时了解安全动态和各，及时了解安全动态和各种新的攻击防御手段、各种新的攻击防御手段、各种产品的及时更新状况种产品的及时更新状况人才培养的知识体系应当适应社会对人才的需求人才培养的知识体系应当适应社会对人才的需求能够正确使用、配置、维护常能够正确使用、配置、维护常规的

3、信息安全设备，同时能对规的信息安全设备，同时能对系统的安全系统的安全隐患隐患提出建议提出建议 良好的信息安全基础知识，具良好的信息安全基础知识，具备熟练的设计开发能力，包括备熟练的设计开发能力，包括良好的规划设计以及软硬件实良好的规划设计以及软硬件实现能力现能力 了解通用的信息安全标准，包了解通用的信息安全标准，包括我国现行的产品安全标准以括我国现行的产品安全标准以及国际相关的标准，能够组建及国际相关的标准，能够组建企业自身的测试平台企业自身的测试平台 对信息安全的核心技术进行研对信息安全的核心技术进行研究与分析，对安全策略的设计究与分析，对安全策略的设计与实现有清晰的了解与实现有清晰的了解

4、国内外信息安全人才培养现状国内外信息安全人才培养现状 国内高校信息安全人才培养国内高校信息安全人才培养国外高校信息安全人才培养国外高校信息安全人才培养 国内外信息安全资质认证与培训国内外信息安全资质认证与培训 国内高校信息安全人才培养（国内高校信息安全人才培养（1）存在的问题存在的问题信息安全本科专业信息安全本科专业 2000年专业设置来自于不同的学科，如计算机、通年专业设置来自于不同的学科，如计算机、通信和数学等，在课程设置上也没有统一的指导规范。信和数学等，在课程设置上也没有统一的指导规范。在课程内容、深浅程度和课程衔接上，存在模糊不清、内容重叠、知识在课程内容、深浅程度和课程衔接上，存在

5、模糊不清、内容重叠、知识覆盖不全面等现象。覆盖不全面等现象。教材规划和建设中的问题：内容交叉重复等现象比较普遍，例如关于认教材规划和建设中的问题：内容交叉重复等现象比较普遍，例如关于认证技术、安全协议等内容在信息安全概论、网络安全、网络安全协议标证技术、安全协议等内容在信息安全概论、网络安全、网络安全协议标准、电子商务等多种教材中重复出现，内容相似的原理类教材偏多、而准、电子商务等多种教材中重复出现，内容相似的原理类教材偏多、而信息安全实践、编程和管理类的教材偏少。信息安全实践、编程和管理类的教材偏少。知识体系的初步制定知识体系的初步制定20072007年年1111月武汉大学，首届信息安全学科

6、建设与人才培养研讨会上，对月武汉大学，首届信息安全学科建设与人才培养研讨会上，对信息安全类专业知识体系进行了探讨，形成了初步的知识体系信息安全类专业知识体系进行了探讨，形成了初步的知识体系。七个领域七个领域 国内高校信息安全人才培养（国内高校信息安全人才培养（2）信息科学基础知识领域信息科学基础知识领域 离散结构、程序设计基础、算法与复杂性、计算机组织与体系结构、操作系统、离散结构、程序设计基础、算法与复杂性、计算机组织与体系结构、操作系统、网络及其计算、程序设计语言、软件工程、信息管理、通信系统网络及其计算、程序设计语言、软件工程、信息管理、通信系统 信息安全基础知识领域信息安全基础知识领域

7、 信息安全概论、信息安全数学基础、信息安全法律基础、信息安全管理信息安全概论、信息安全数学基础、信息安全法律基础、信息安全管理 信息系统安全知识领域信息系统安全知识领域 计算机设备安全、操作系统安全、数据库系统安全、恶意软件计算机设备安全、操作系统安全、数据库系统安全、恶意软件密码学知识领域密码学知识领域 密码学概论、分组密码、序列密码、密码学概论、分组密码、序列密码、hashhash函数、公钥密码、数字签名、认证、密函数、公钥密码、数字签名、认证、密钥管理钥管理 网络安全知识领域网络安全知识领域 网络安全概论、网络安全体系结构、防火墙、入侵检测、网络安全概论、网络安全体系结构、防火墙、入侵检

8、测、VPNVPN、安全扫描、网络安、安全扫描、网络安全防护、全防护、WebWeb安全、网络安全整体规划与实现安全、网络安全整体规划与实现 应用安全知识领域应用安全知识领域 电子商务安全、电子政务安全电子商务安全、电子政务安全 信息隐藏知识领域信息隐藏知识领域 信息隐藏、隐写术、数字水印、数字指纹、数字权益管理信息隐藏、隐写术、数字水印、数字指纹、数字权益管理 国内高校信息安全人才培养（国内高校信息安全人才培养（3）目前国内高校信息安全专业开设的主要课程目前国内高校信息安全专业开设的主要课程信息科学基础知识信息科学基础知识 离散数学、程序设计基础、算法与复杂性理论、计算机组成原理、离散数学、程序

9、设计基础、算法与复杂性理论、计算机组成原理、操作系统、计算机网络、操作系统、计算机网络、C程序设计语言、软件工程、数据库原程序设计语言、软件工程、数据库原理与技术、信号处理基础、现代通信原理理与技术、信号处理基础、现代通信原理信息安全基础知识信息安全基础知识 信息安全概论、信息安全数学基础、信息安全法律法规信息安全概论、信息安全数学基础、信息安全法律法规 信息系统安全知识信息系统安全知识 计算机病毒防治、操作系统安全、数据库安全、电子设备防护、计算机病毒防治、操作系统安全、数据库安全、电子设备防护、智能卡技术、嵌入式系统、电子对抗智能卡技术、嵌入式系统、电子对抗密码学知识密码学知识 密码学原理

10、密码学原理 网络安全知识网络安全知识 Internet安全协议与标准、入侵检测、防火墙技术、网络攻防技术、安全协议与标准、入侵检测、防火墙技术、网络攻防技术、公钥基础设施公钥基础设施(PKI)原理与技术原理与技术 应用安全知识应用安全知识 电子商务（电子政务技术）电子商务（电子政务技术）信息隐藏知识信息隐藏知识 信息隐藏信息隐藏 国内高校信息安全人才培养（国内高校信息安全人才培养（4）贡献：贡献：知识体系的初步形成对高校信息安全专业的发展知识体系的初步形成对高校信息安全专业的发展起到了很好的指导作用起到了很好的指导作用 不足：不足：只给出了一个指导性的意见，只给出了一个指导性的意见，知识点之间

11、是平面知识点之间是平面化的关系化的关系，并没有对知识点如何进行划分，以及知识点，并没有对知识点如何进行划分，以及知识点的相互衔接关系给出详细的说明。的相互衔接关系给出详细的说明。知识体系本身不够完善，没有将代码安全性、软件测评知识体系本身不够完善，没有将代码安全性、软件测评技术纳入体系中，同时也没有给出知识体系与人才需求技术纳入体系中，同时也没有给出知识体系与人才需求的直接对应关系。的直接对应关系。国外高校信息安全人才培养国外高校信息安全人才培养(1)美国卡耐基梅隆大学、斯坦福大学、麻省理工学院、伯美国卡耐基梅隆大学、斯坦福大学、麻省理工学院、伯克利大学、康奈尔大学；澳大利亚克利大学、康奈尔大

12、学；澳大利亚RMIT大学；加拿大的大学；加拿大的UTM大学；英国金斯顿大学、谢菲尔德哈勒姆大学；香大学；英国金斯顿大学、谢菲尔德哈勒姆大学；香港城市大学港城市大学9所大学的所大学的IT人才培养课程人才培养课程 信息安全教学信息安全教学在高年级课程的教学内容中增加相关安全内容的讲授；在高年级课程的教学内容中增加相关安全内容的讲授；操作系统操作系统 应用开发技术应用开发技术 存储技术存储技术 分布式计算分布式计算在本科高年级课程和研究生课程中增设有关信息安全的课程。在本科高年级课程和研究生课程中增设有关信息安全的课程。密码学导论密码学导论 网络安全网络安全 安全软件安全软件 政策与道德政策与道德

13、国外高校信息安全人才培养国外高校信息安全人才培养(2)卡耐基梅隆大学卡耐基梅隆大学信息战信息战 安全威胁、攻击手段、系统脆弱性安全威胁、攻击手段、系统脆弱性应用密码学导论应用密码学导论 密码学基础密码学基础 方法方法 安全与政策导论安全与政策导论 面向管理和开发人员的安全与政策教育面向管理和开发人员的安全与政策教育计算机安全导论计算机安全导论 系统、网络安全的综述和基本方法系统、网络安全的综述和基本方法安全软件系统安全软件系统 面向程序开发人员，安全编程环境、过程、语面向程序开发人员，安全编程环境、过程、语言的选择言的选择故障捕获故障捕获-自动程序验证和测试自动程序验证和测试 查找和防止逻辑错

14、误的工查找和防止逻辑错误的工具，包括自动理论验证、状态勘查技术、静态程序分析工具等。具，包括自动理论验证、状态勘查技术、静态程序分析工具等。面向程序开发人员和检测人员面向程序开发人员和检测人员 国外高校信息安全人才培养国外高校信息安全人才培养(3)澳大利亚澳大利亚RMIT大学大学信息安全中的代数信息安全中的代数 数学基础数学基础加密术与安全加密术与安全 数据通信私密性、完整性的典型和现代加密系数据通信私密性、完整性的典型和现代加密系统统信息安全导论信息安全导论 系统、网络安全的综述和基本方法系统、网络安全的综述和基本方法安全编程环境安全编程环境 软件开发安全软件开发安全安全电子商务安全电子商务

15、 Web应用开发安全应用开发安全实践安全实践安全 安全意识、计算机应急响应、计算机取证术、安全安全意识、计算机应急响应、计算机取证术、安全测试方法测试方法 智能卡加密系统智能卡加密系统 信息安全案例研究信息安全案例研究 政策与法律政策与法律信息系统的风险信息系统的风险 包括安全威胁、风险评估包括安全威胁、风险评估 国内外信息安全资质认证与培训（国内外信息安全资质认证与培训（1）目前国际信息安全培训认证市场中非厂商认证培训已经目前国际信息安全培训认证市场中非厂商认证培训已经超过超过60家。家。典型的基础类入门级典型的基础类入门级CompTIA的的 Security+SANS(美国系统网络安全协会

16、美国系统网络安全协会)的的GSEC（GIAC Security Essentials Certification）ISC2(国际信息系统安全认证协会国际信息系统安全认证协会)的的SSCP(System Security Certified Professional)典型的全球知名的高级别典型的全球知名的高级别IT安全认证培训安全认证培训ISC2的的CISSP(Certified Information Systems Security Profe-ssional SANS的的GIAC(Global Information Assurance Certification)ASIS(美国工业安全协

17、会美国工业安全协会)的的 CPP(Certified Protection Professional)(需要通过考试的人需要需要通过考试的人需要5-9年的信息安全工作经验。通过这些认证培训的年的信息安全工作经验。通过这些认证培训的个人数量基本在个人数量基本在5000到到20000之间之间)国内外信息安全资质认证与培训（国内外信息安全资质认证与培训（2）国内信息安全资质认证与培训国内信息安全资质认证与培训中国信息安全产品测评认证中心中国信息安全产品测评认证中心注册信息安全专业人员（注册信息安全专业人员（CISP）注册资质（）注册资质（2002年）年）是我国对信息安全从业人员资质的最高认可。是我国

18、对信息安全从业人员资质的最高认可。认证知识覆盖包括信息安全理论；信息安全技术；安全认证知识覆盖包括信息安全理论；信息安全技术；安全工程及管理；安全标准和法规。工程及管理；安全标准和法规。注册信息安全员（注册信息安全员（CISM）注册资质（）注册资质（2005年）年）覆盖了技术、管理、工程、标准和法律法规覆盖了技术、管理、工程、标准和法律法规国内外信息安全资质认证与培训（国内外信息安全资质认证与培训（3）SANS的认证体系和知识覆盖分析的认证体系和知识覆盖分析GIAC(Global Information Assurance Certification)成立于成立于1999年，目的是为计算机软件

19、信息安全的年，目的是为计算机软件信息安全的关键领域的从业者提供具备信息安全专业技能的保证。关键领域的从业者提供具备信息安全专业技能的保证。GIAC 认证具有很好的信誉，美国的许多公司和政府认证具有很好的信誉，美国的许多公司和政府机构都信任机构都信任GIAC。GIAC是唯一提供覆盖高级技术主题领域的信息安全认是唯一提供覆盖高级技术主题领域的信息安全认证。证。共有安全管理员、软件安全、审计、法律和管理共有安全管理员、软件安全、审计、法律和管理5大类别大类别23种认证。种认证。国内外信息安全资质认证与培训（国内外信息安全资质认证与培训（4）安全管理员类别的认证安全管理员类别的认证 Informati

20、on Security Fundamentals(GISF)信息安全基础信息安全基础 Security Essentials Certification(GSEC)安全基础安全基础 Certified Firewall Analyst(GCFW)防火墙分析师防火墙分析师 Certified Intrusion Analyst(GCIA)入侵检测分析师入侵检测分析师 Certified Incident Handler(GCIH)应急事件处理认证应急事件处理认证 Certified Forensics Analyst(GCFA)取证分析师取证分析师 Certified Windows Secur

21、ity Administrator(GCWN）Windows安全管理员安全管理员 Certified UNIX Security Administrator(GCUX)UNIX安全管理员安全管理员 Securing Oracle Certification(GSOC)Oracle安全认证安全认证 Certified Penetration Tester(GPEN)渗透测试认证渗透测试认证 Reverse Engineering Malware(GREM)恶意软件反向工程恶意软件反向工程 Assessing Wireless Networks(GAWN)无线网络安全无线网络安全 GIAC.Net

22、(GNET).NET 安全安全国内外信息安全资质认证与培训（国内外信息安全资质认证与培训（5）软件安全类的认证软件安全类的认证GIAC Secure Software Programmer C（安全软件程序员（安全软件程序员-C）GIAC Secure Software Programmer Java（安全软件程序员（安全软件程序员-Java）审计类认证审计类认证Security Audit Essentials(GSAE)安全审计基础安全审计基础ISO-17799 Specialist(G7799)ISO-17799安全标准安全标准Systems and Network Auditor(GS

23、NA)系统和网络审计员系统和网络审计员 法律类法律类GIAC Legal Issues(GLEG)法律问题法律问题 管理类管理类 Information Security Professional(GISP)Certified Project Manager Certification(GCPM)项目管理者认证项目管理者认证 Security Leadership Certification(GSLC)安全领导人安全领导人Certified Incident Manager(GCIM)紧急事件管理者紧急事件管理者信息安全人才培养的层次化知识体系信息安全人才培养的层次化知识体系 通过研究各课程内

24、容之间的关系，构成了层次化通过研究各课程内容之间的关系，构成了层次化知识体系，增加了原体系中软件安全部分的内容。知识体系，增加了原体系中软件安全部分的内容。4个层次个层次 基础层次、关键技术层次、系统与软件安全基础层次、关键技术层次、系统与软件安全层次、应用安全层次层次、应用安全层次信息安全人才培养的层次化知识体系信息安全人才培养的层次化知识体系 数学基础数学基础数论、离散结构数论、离散结构密码学相关的数密码学相关的数学基础学基础计算机软件基础计算机软件基础程序设计基础程序设计基础算法算法软件设计与过程软件设计与过程系统结构基础系统结构基础计算机组成与体系结构计算机组成与体系结构计算机网络基础

25、计算机网络基础操作系统操作系统 数据库系统数据库系统嵌入式系统嵌入式系统通信与信息基础通信与信息基础信息论基础信息论基础信号处理基础信号处理基础通信原理通信原理密码学原理密码学原理与算法与算法 认证、访问认证、访问控制技术控制技术攻击防御技术攻击防御技术扫描扫描 防火墙防火墙 入侵检测入侵检测信息隐藏技术信息隐藏技术数字水印数字水印 系统安全系统安全操作系统安全操作系统安全数据库安全数据库安全网络安全网络安全威胁威胁 防御防御 安安全协议全协议软件安全软件安全代码安全代码安全恶意软件恶意软件软件测评软件测评应用安全应用安全Web安全安全电子商务电子商务电子政务电子政务网络安全工程网络安全工程安

26、全系统设计安全系统设计风险评估风险评估 安全审计安全审计网络管理网络管理 计算机取证计算机取证应急响应应急响应 信息安全标准信息安全标准 法律法规法律法规信息安全专业课程体系（信息安全专业课程体系（1）依据层次化的知识体系，可以比较容易地构建信息安全人依据层次化的知识体系，可以比较容易地构建信息安全人才培养的课程体系，在各个知识部分，各高校可以依据才培养的课程体系，在各个知识部分，各高校可以依据自己的实际情况，确定自己的课程培养方案。并且在各自己的实际情况，确定自己的课程培养方案。并且在各个层次可以开出不同深度的课程个层次可以开出不同深度的课程,以适应不同的学生学习以适应不同的学生学习.基础层

27、次基础层次软件基础：程序设计基础（软件基础：程序设计基础（C或或C+）、算法设计与分析、面向）、算法设计与分析、面向对象程序设计、软件工程、对象程序设计、软件工程、Web技术等课程。技术等课程。系统结构基础：计算机组成原理、汇编语言、计算机体系结构、系统结构基础：计算机组成原理、汇编语言、计算机体系结构、计算机网络、操作系统、数据库系统、嵌入式系统等。计算机网络、操作系统、数据库系统、嵌入式系统等。通信与信息基础：信息科学导论、信号处理基础、现代通信原理、通信与信息基础：信息科学导论、信号处理基础、现代通信原理、无线通信等课程。无线通信等课程。数学基础：信息安全数学基础、离散数学、组合数学等。

28、数学基础：信息安全数学基础、离散数学、组合数学等。关键技术层次关键技术层次 密码学及其应用、入侵检测与防御技术、信息隐藏、数字水印密码学及其应用、入侵检测与防御技术、信息隐藏、数字水印 信息安全专业课程体系（信息安全专业课程体系（2）系统与软件安全层次系统与软件安全层次系统安全系统安全:操作系统安全（操作系统安全（Windows|Unix）、数据库安全）、数据库安全网络安全网络安全:网络安全、无线网络安全。网络安全、无线网络安全。软件安全软件安全:病毒攻击与防治、安全编程技术、软件安全与测评等课病毒攻击与防治、安全编程技术、软件安全与测评等课程。程。应用安全层次应用安全层次应用安全：电子商务、

29、电子政务、应用安全：电子商务、电子政务、Web安全技术、智能卡加密等安全技术、智能卡加密等课程。课程。网络安全工程、网络安全管理与审计、计算机应急响应、计算机网络安全工程、网络安全管理与审计、计算机应急响应、计算机取证等课程。取证等课程。安全标准、法律、法规安全标准、法律、法规多媒体技术操作系统原理数据库原理与应用技术计算机体系结构信息学科导论信息与编码大学计算机基础程序设计基础信息隐藏病毒攻击与防治入侵检测与防御技术嵌入式系统与单片机信息安全工程软件安全与测评操作系统安全安全编程技术数据结构离散数学现代密码学信息安全数学基础编译原理算法设计与分析面向对象技术信号处理基础通信原理计算机网络网络安全软件工程电子商务与电子政务电路与电子技术数字电路与逻辑设计计算机原理与汇编网络安全电子商务与电子政务谢谢谢谢!