開篇：寫作不僅是一種記錄，更是一種創造，它讓我們能夠捕捉那些稍縱即逝的靈感，將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全職業技能，希望這些內容能成為您創作過程中的良師益友，陪伴您不斷探索和進步。

第1篇

關鍵詞:慕課;信息安全;建設思考

中圖分類號:G642．0 文獻標志碼:A 文章編號:2095－9214(2016)04－0104－01

一、引言

慕課(MOOCs，OpenOnlineCourse)是一種面向全社會所有人群的在線學習系統，旨在打破傳統教育中的優質教育資源過于集中、難以共享的缺點，利用現代信息網絡技術，為人們提供更加高效開放的學習平臺。慕課起源于美國，一經推出，便受到廣泛關注和歡迎。國內高校和業界也迅速跟進，紛紛加入到慕課平臺建設中，并涌現出慕課網、北大慕課、超星慕課等一大批優秀的慕課平臺。慕課突破了傳統的教學理念和教學形式，給人們帶來了一種全新的學習體驗，當然也給傳統教育帶了巨大的挑戰。在當前慕課浪潮中，有必要深入研究如何利用好慕課這種新的教學理念和平臺，改進傳統信息安全課程教學方式，為社會培養更多高質量的信息安全人才。

二、信息安全課程教學現狀

(一)教學方式比較單一

信息安全雖然是一門實踐性較強的學科，但信息安全與計算機其它基礎課程如計算機組成原理、匯編語言、操作系統、編譯原理、計算機網絡、軟件工程等有著非常緊密的聯系，為了能夠更加系統的教授信息安全相關課程，大部分教師采用的是重理論輕實踐教學方法，這種教學的帶來的結果是雖然課程內容體系較為全面，但學生在課堂上接受起來較難，而課后缺乏具體指導，所以總體教學效果不甚理想。

(二)教學過程無法重現

信息安全專業課程對于初學者難度較大，以密碼學為例，不僅涉及到群論，離散數學等抽象的數學內容，又涉及到信息論等信息技術相關內容，很多學生雖然在課堂上能夠跟上教師的授課節奏，但由于每個學生在每周要學習多門不同課程，無法及時鞏固課堂內容，所以在課后復習時無法回憶起教師的授課細節，遇到問題后不知道如何解決。而教學大綱安排的內容是連貫的，這就導致學生會不斷累積問題，導致無法順利跟進課程的教學進度。

(三)職業技能缺乏訓練

按照目前的課程設置，一個信息安全專業的畢業生理應掌握了密碼學、網絡安全、系統安全、信息安全工程等信息安全需要的專業技能，但現實情況卻不盡人意。很多信息安全專業畢業生對各種信息安全技能僅限于理論知識，有的學生甚至不知道防火墻如何配置，當然更談不上如何做滲透測試、逆向分析等。造成這種現象一方面是教師在教學時缺乏對實踐技能的指導，更重要的是缺乏職業技能平臺，由于信息安全很多訓練具有一定的攻擊性，處理不當容易造成不良后果。

三、信息安全課程建設改革

(一)教學內容模塊化

慕課的最大優勢就是教學過程的可重復性，因此，在課程內容設計時盡可能的以某一個知識點或者技能點如SQL注入攻擊來構建一個教學模塊，在時間設置上可以根據難易程度或者內容多少加以靈活調整，并且根據本系教師對不同技術的熟練程度分配相應模塊;這樣一方面可以提高教師的備課質量和效率，另一方面可以提高學生的學習效率。同時，模塊化還可以讓學生自主選擇，從自己最感興趣或者容易入手的模塊入手，例如對匯編掌握較好的學生可以選擇逆向工程相關模塊，而對于Web技術較為熟悉的學生則可以選擇XSS，CSRF等Web安全模塊學習，通過這種形式，學習的興趣和效率得以大力提升。

(二)實訓平臺虛擬化

實驗教學是信息安全課程教學的重要環節，是提升學生信息安全職業技能的關鍵手段。傳統的實踐教學是基于硬件實體的實訓，如基于物理防火墻和路由器以及服務器搭建網絡安全訓練平臺，這種方式因為實體資源嚴重受限，在提升學生整體實踐能力方面收效甚微。在慕課環境下，可以結合云計算技術，將虛擬化的實訓平臺融合到慕課平臺中，學生只需要利用一個瀏覽器，即可一邊聽課，一邊實驗;因為實訓平臺是虛擬的，所以很容易實現多人并發，并且實驗環境相互獨立，互不影響。

(三)綜合訓練項目化

學生完成信息安全相關基礎課程和專業課程之后，掌握了基本的理論知識和基本技能，但這并不意味著已經成為一名社會的信息安全專業人才，因為很多學生獲得的僅是單個的知識點，在實際工作中往往不知道如何綜合應用這些知識和技能，為此，必須讓學生通過綜合訓練走完信息安全基本職業技能的最后一公里。可以基于之前的虛擬平臺，構建一個信息安全綜合訓練項目，如安全評估，讓學生組成實際的項目小組，按照信息安全工程要求，完成該項目的各項任務。通過實際項目訓練，為將來在信息安全行業發展奠定基礎。

四、結語

慕課是伴隨著網絡與信息技術發展而掀起的新的教學模式，給傳統信息安全教學帶來了新的挑戰和機遇。信息安全被上升為國家安全戰略，對信息安全人才數量和質量提出了更高要求。主動適應慕課帶來的新變化，改革信息安全課程教學，對于提高信息安全人才培養質量將會起到重要作用。

參考文獻:

［1］高地，吳桐．美國“慕課”理論研究與實踐的若干前沿問題［J］．高校教育管理，2014，(4):49－54．

［2］老松楊，江小平，老明瑞．后IT時代MOOC對高等教育的影響［J］．高等教育研究學報，2013，36(3):6－8．

第2篇

 

近年來，隨著信息安全等級保護工作機制的不斷完善，主管部門監督檢查力度的不斷加大，信息系統開展等級測評的數量穩步增長，測評覆蓋率顯著提升。通過統計分析本單位近些年測評的數百個信息系統的數據，可以得出以下結論：一是較早開展等級測評的行業，經過測評和整改建設，測評符合率逐年提高;二是隨著等級測評工作的持續推進，近期才開展首次測評的行業特別是基層單位的信息安全工作基礎較薄弱，測評得分明顯偏低。通過對物理安全、網絡安全、主機安全、應用安全、數據安全、安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理等10個層面的測評結果進行統計，其中網絡安全、主機安全、應用安全、系統運維管理等方面的不符合率相對較高，信息系統的建設、使用、運維階段存在一些較普遍的問題。

 

信息系統安全保護措施落實情況分析

 

整體而言，隨著等級測評工作的持續推進，黨政機關、企事業單位對信息系統安全等級保護的認識和重視程度得到普遍提升，在管理和技術兩方面主要采取了以下安全措施：

 

信息安全管理措施落實情況

 

在信息安全管理方面呈現出兩級分化的特點。一些重點行業的業務信息化程度高、自身信息技術隊伍力量足、信息安全投入經費有保障，其安全管理措施一般也能得到有效落實，在機構、人員、制度、建設管理、運維管理等方面均能較好地符合相關標準的要求。這一類的典型包括銀行、證券、電力等行業主管部門對信息安全監管嚴格的幾大行業。相反，部分對信息系統管控相對松散的單位如大專院校、在信息安全投入方面得不到充分保障的單位如基層政府部門，其信息安全專業人員的配備達不到標準規范的要求，安全責任部門地位偏低權限不足，很難制定并有效貫徹落實結合本單位實際的信息安全管理制度。

 

信息安全技術措施落實情況

 

多數單位通過部署邊界安全設備，強化入侵防范措施來提高網絡的安全性;通過加固操作系統和數據庫的安全策略，啟用安全審計，安裝殺毒軟件等措施，來提高主機安全防護水平;通過開發應用系統的安全模塊，從身份鑒別、訪問控制、日志記錄等方面，強化業務應用的安全性;通過部署數據備份設備、加密措施，加強對數據安全的保護。

 

信息系統常見安全問題分析

 

隨著等級測評工作的覆蓋面進一步擴大，近年來初次測評的單位和基層部門仍發現一些典型問題。

 

信息安全意識有待提高

 

很多單位對當前日趨嚴峻的網絡安全形勢認識不足，將信息安全工作視為被動應付上級檢查、被動應對安全事件的任務來消極對待。一些單位認為取得“基本符合”的測評結論就高枕無憂，完成測評備案就完成了等級保護。由此造成對信息安全合規的落實不夠、資金和人員投入不足、重建設輕運維、有制度無執行、有預案不演練等問題，根源還是安全意識薄弱。

 

信息安全管理有待加強

 

信息安全管理不到位主要表現在安全管理制度、系統建設管理、系統運維管理等方面。

 

信息安全管理制度不完善。基層單位信息安全管理制度不全、人員配備不足、授權審批流于形式、執行記錄缺失等問題較為常見。部分單位的信息安全管理制度照搬模版，未結合本單位實際進行修訂，導致缺乏可操作性。

 

系統建設管理不到位。系統建設過程中落實信息安全“同步建設”原則不到位。在軟件開發階段較普遍未遵循安全編碼規范，導致安全功能缺失、應用層漏洞頻現。在系統驗收階段，很多單位僅注重業務功能驗收，缺乏專門的安全性測試;電子政務類項目較普遍未按規定在項目驗收環節完成“一證兩報告”(即等級測評報告、風險評估報告和系統備案證明)。

 

系統運維管理不到位。在系統運維管理方面，部分單位運維和開發崗位不分，職責不清，存在一人身兼數職現象。很多單位在信息資產管理、介質管理、變更管理等方面缺乏操作規程和相關記錄，數據備份策略不明，應急預案不完善并缺乏演練。

 

關鍵技術措施有待落實

 

分析近年來的測評結果，安全技術措施不足問題主要體現在以下幾個方面：

 

在物理安全方面，隨著電子政務集約化建設的推進，大量信息系統已經集中到高規格的專業機房，但仍有部分單位自有機房條件簡陋，位置選擇不規范，出入管理較隨意，防盜防破壞、防雷防火防潮能力較差，環境監控措施不足。

 

在網絡安全方面，常見網絡和安全設備的配置不到位，如未合理劃分區域、未精細配置訪問控制策略、未對重要設備做地址綁定等;較普遍缺少專業審計系統。部分單位設備老舊，安全產品本身存在一定缺陷導致無法滿足等級保護要求。個別單位用于生產控制的重要信息系統在網絡層面未采取必要安全措施的同時，還違規接通互聯網，存在極大的安全隱患。

 

在主機安全方面，部分單位存在弱口令、不啟用登錄失敗處理和安全審計功能、不及時更新補丁、不關閉非必要服務等問題。此外，由于主流操作系統和數據庫很少支持強制訪問控制機制，相關要求普遍未落實。

 

在應用安全方面，很多應用軟件安全功能不足，缺少身份鑒別、審計日志、信息加密等能力。由于很少進行安全掃描、滲透測試，相當一部分系統存在高危風險，如SQL注入、跨站腳本、文件上傳等漏洞，以及弱口令、網頁木馬等問題。

 

在數據安全方面，較常見的是數據保密性和完整性措施薄弱。此外，部分信息系統的備份和恢復措施欠完善，缺乏有效的災難恢復手段。

 

針對新技術的等級保護測評標準有待出臺

 

隨著浙江政務服務網的大力推進，省內各級政務云平臺的建設使用已全面開展，有相當數量的電子政務系統已遷移上云。同時涉及城市公共設施、水電氣等工控系統密集的行業對等級保護工作越來越重視，對云計算、工控系統、移動APP等的測評需求不斷加大。但現有的《GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求》未涉及云計算、工業控制、移動互聯等領域，在測評實踐中已遇到諸多不適應情況。針對這些新技術新應用的等級保護測評標準需求已非常迫切。

 

重要信息系統安全保護對策建議

 

針對上述存在的問題，本文提出以下對策建議，以供參考。

 

提高信息安全意識

 

提高全員信息安全意識是全面提升信息安全保障水平的根本解決之道。要樹立全體人員的安全觀念，加強信息安全培訓。除了通過強化工作考核和安全檢查來督促信息安全工作的深入開展，還應通過多種方式開展信息安全政策解讀和信息安全標準宣貫，強化對全員的安全意識教育和考查。建議結合一些合適的安全職業技能培訓，落實信息安全相關崗位“持證上崗”的要求。

 

加強信息安全管理

 

“三分技術，七分管理”，各單位應轉變觀念，將“信息安全”與“系統穩定、功能正常”同等重視起來，將安全管理要求與自身業務緊密結合，制訂完善的體系化的安全管理制度。

 

在系統建設管理過程中，應要求開發人員遵循安全編碼規范進行開發;在系統驗收環節，應認真做好安全性驗收測試。在電子政務領域應落實國家對電子政務項目管理的制度要求，驗收階段完成等級測評，未通過測評的應不予驗收。

 

在系統運維管理方面，應加強制定信息系統日常管理操作的詳細規范，明確定義工作流程和操作步驟，使日常運行管理制度化、規范化。對信息資產按重要性進行分類梳理，建立完善應急災備措施，定期開展演練，確保備份的有效性。

 

落實關鍵技術措施

 

針對測評發現的問題，各單位應根據系統所定級別，結合自身條件，綜合考慮問題的影響范圍、嚴重程度、整改難度等因素，制定整改計劃，有步驟地落實相關技術措施。對于策略配置類的問題及時糾正;對于整改難度大、需要添置硬件或修改代碼的問題，應在充分測試和試運行的基礎上實施整改。對于強制訪問控制、敏感標記、雙因子鑒別等難點問題，建議國家加強相關產業政策的引導，促進安全廠商研發技術、推出產品，解決市場供應問題。各級主管部門應通過測評、整改、監督檢查、再測評的閉環管理，督促關鍵技術措施的落實。

 

加快新技術的等級保護測評標準編制工作

 

目前公安部信息安全等級保護評估中心在牽頭起草針對云計算安全的等級保護標準，尚處于征求意見階段。其余新技術領域的等級保護標準制定工作進度更晚，隨著智慧城市、云計算、大數據、移動互聯、工業控制等新技術的快速應用，安全標準相對滯后的問題更加突出，應進一步加快相關新標準的制定。