信息安全专业

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇信息安全专业范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

信息安全专业范文第1篇

北京邮电大学(以下简称北邮)是2001年教育部批准设立信息安全本科专业的18所高校之一。北邮信息安全本科专业从2002年起招生，目前在校本科生规模360人。

北邮从1993年开始招收密码学硕士生，1998年设立密码学博士点，2003年同时设立信息安全硕士点和博士点，2004年密码学博士后流动站正式获得批准。此前，从1981年开始，北邮就以“信号与信息处理”学科为基地，培养信息安全类专业的硕士生和博士生。目前，北邮以信息安全为研究方向的在校研究生规模略大于在校本科生规模。

在信息安全类专业人才培养方面，北邮的策略是：以研究生培养带动本科生培养，以科研促进教学，形成产、学、研、用之间的良性互动。北邮信息安全类本科专业和研究生学科的培养均以“北京邮电大学信息安全中心”(信息产业部重点实验室)为依托。

下面结合北邮多年来在信息安全类专业建设和人才培养方面的经验和教训，比较全面地介绍我们自己的体会，希望有助于国内兄弟院校更好地承办信息安全类专业，有助于互相学习，整体提高我国信息安全类专业的教育水平。

体会1：良好的生源是确保高水平教育质量的基础。由于我国信息行业的强劲发展势头，使得北邮的整体生源情况很好，北邮的高考录取线始终处于全国前列。但是，信息安全专业并不是北邮的主流专业，因此，作为一个新兴专业，“信息安全”要想在北邮占据生源相对优势必须面对十分艰巨的竞争。为此，我们在校内主打“特色牌”和“综合牌”：把信息的获取、传递、存储、处理、控制、管理、应用与安全结合起来，特别侧重网络与信息安全、通信系统安全、现代密码学、数字内容安全的理论与应用。形象地说，我们把北邮的信息安全专业办成了所有其他主流专业的不可缺少的核心技术支撑专业，不但使其他专业的毕业生以毕业后能进入信息安全专业读研究生为荣，而且还吸引了不少其他专业的尖子生利用在学期间的转专业机会挤进信息安全专业。

从最近两年的统计数据看，北邮信息安全本科专业在全国的招生录取线一般都超过当地重点录取线的70-100分以上，在大部分省市超过北邮的平均录取分。

体会2：明确的培养目标是全体师生齐心协力的关键。北邮信息安全本科专业的培养目标始终锁定在培养掌握信息安全的基本理论与方法，具备系统工程、计算机技术和网络技术等方面的专业知识，运用所学知识与技能去分析和解决相关的实际问题，具有较高的综合业务素质、较强的创新与实践能力，可在信息产业以及其他国民经济部门从事各类信息安全系统、计算机安全系统的设计、开发、研究、教学等工作的高级工程技术人才。

为了实现该培养目标，我们采取了许多非常规的措施，比如，以个性化培养模式来培养杰出学生(北邮信息安全专业对学有余力的本科生采用3＋1模式，即最后一年除了开设专业选修课之外，开始进行毕业设计，使得学生有更多的时间在指导老师的带领下，锻炼其发现问题和解决问题的能力，进行创新能力培养)；安排优秀学生尽早加入到研究生的研究课题之中，体会“学”与“研”结合的真谛(个别大学生早在一年级时就成为了研究生的科研助手)；跨学科培养，逐步形成核心课程体系，鼓励开设特色课程；鼓励学生大胆创新，积极参加各类课外活动。

事实证明，到目前为止，北邮信息安全专业的培养目标已经达到，而且培养效果令人满意。北邮信息安全专业的学生思维活跃，创新意识强。由北邮安全专业的学生为主要成员的北京邮电大学BuptUnited团队在CSIDC 2006年度国际设计竞赛中，取得全球第二名的优异成绩。(由IEEE计算机协会主办，微软公司赞助的CSIDC 2006年第七届国际计算机设计竞赛是世界性的顶级赛事，对于计算机科学和计算机工程领域内的大学生来说，这是一项在世界范围内最为重要、最为活跃的赛事。其参赛作品：A1 Coal Mine Enhancement System经过初赛、在华盛顿特区举行的总决赛的激烈竞争，从全球100多所高校的185支代表队中脱颖而出，最终取得了全球第二名的优异成绩，并获得1.2万美金的奖励。这一名次创造了中国大陆大学生在此项赛事中的最佳记录。)同时，北京邮电大学BuptUnited团队在微软举办的“WESC 2006年度国际嵌入式开发大赛”中取得全球第五名的好成绩。北邮信息安全专业的学生积极参加校内的创新竞赛活动，在北京邮电大学第六届学生“创新奖”中获得一等奖1人次，二等奖2人次，三等奖1人次。

至今，北邮信息安全专业的毕业生中大约有2/3的人员继续攻读研究生(其中20%出国深造)，另1/3到国内电信、信息及信息安全的大中型企业中就业。

体会3：综合素质与能力的培养是打造信息安全类专业学生核心竞争力的法宝。过于注重考试和书本知识的学生不是信息安全类专业的好学生，“个人英雄主义”也不是信息安全类专业的学生素质要求，“情商”和“智商”对信息安全类专业的学生来说同等重要。基于这些认识，北邮特别重视对信息安全专业学生的以下四个素质和三项能力的培养：

* 思想道德素质：政治素质、思想素质和道德品质好，法制意识、诚信意识和团体意识强。

*文化素质：具有一定的文化素养、文学艺术修养、现代意识和人际交往意识。

*专业素质：掌握科学的思维方法和研究方法，求实创新意识、工程意识和效益意识较强，有很好的科学素养、综合分析素养和创新精神。

*身心素质：身体素质和心理素质好，能够在激烈的信息安全智力竞争中始终保持积极的心态，即使是受到失败的打击。

*获取知识的能力：具有一定的表达能力和社交能力，具有较强的计算机及信息通信技术应用能力，自学能力较强，具有跟踪掌握该领域新理论、新知识、新技术的能力。

*应用知识的能力：具有一定的综合应用知识解决问题的能力和综合实验能力，较强的工程实践能力和工程综合能力。

*创新能力：具有一定的创造思维能力、创新实验能力、技术开发能力和科研能力，甚至具有一定的创业意识。

体会4：强大的师资队伍是培养高质量学生的根本保障。北邮信息安全专业的师资主要来自于北京邮电大学信息安全中心。师资队伍中有包括长江学者特聘教授、博士导师、教授、副教授等近三十人。在学生的培养过程中，我们随时都感受到师资力量的严重不足。信息安全类专业需要如下各种类型师资的和谐搭配。

(1) 科学家型的师资：信息安全是对抗性极强的专业，许多科学难题有待攻克，同时也需要学生掌握解决各种新出现的科学问题的基本思路与能力。北邮虚心向科学院的相关专家学习，聘请他们以多种形式担任北邮信息安全专业的师资。

(2) 工程师型的师资：信息安全面临大量工程课题，许多工程项目知识并不能通过简单的课堂教学来传授，因此，必须聘请有实际工程经验的师资来直接指导学生。北邮信息安全专业主要通过在大型企业中建立本科生教学实习基地等形式来创造本科生与工程师零距离接触的机会。

(3) 企业家型的师资：如果中国的信息安全企业不强大，那么中国的信息安全事业将永远没有主动权。中国不但需要信息安全的业务骨干，也同样需要信息安全的创业者和企业家。完美的“儒”“商”融合必须从师资开始。北邮的教授们带头创业，并积极鼓励学生创业创新。

为了提高国内信息安全专业类专业的师资水平，考虑到信息安全是一个新办专业，各开办学校需要一个交流的平台，2003年，由北京邮电大学发起，由来自全国各地的六十余所高校，组织成立了“全国信息安全专业师资交流与培训互助组”(简称“互助组”)。如今，“互助组”已经进行了四次全国性的大型活动：全国信息安全专业教学经验交流和师资培训研讨会(2004年10月北京)；全国信息安全专业实验课程教学经验交流研讨会(2005年5月北京)；全国信息安全专业实验课程师资交流与培训研讨会(2005年8月绵阳)；全国高校信息安全实验室建设经验交流研讨会(2006年7月绵阳)。目前，“互助组”还正在筹备全国高校信息安全毕业生与用人单位交流会。

随着教育部信息安全类专业教学指导委员会(以下简称“教指委”)的成立，今后，“互助组”的师资培训与交流活动将以适当的形式纳入到教指委的活动之中，而且“互助组”的成员单位也将以适当的形式参加教指委的更多的活动。

体会5：信息安全类本科专业规范建设刻不容缓。专业规范是本科专业建设的“小宪法”，但是，由于历史的原因，国内信息安全类专业的许多高校都是在没有专业规范的情况下，借助各自在信息安全类专业的研究生培养经验举办富有特色的本科专业。2004年，受教育部相关机构的委托，北京邮电大学牵头，相关大学参与，共同研究制定了“信息安全专业规范(科学技术型)(工程技术型)”。该“专业规范”从课程设置、教材建设、实验条件、毕业实习、工程实践等方面对信息安全专业进行了规范。但是，随着信息安全教指委的正式成立，急需出台更加全面、适应面更广的信息安全专业规范。

体会6：信息安全专业教材与课程建设是核心。信息安全专业建设的规范制定之后，教材和课程建设就必须进入议事日程了，这又是新成立的信息安全教指委的另一项紧急任务。

2004年北京邮电大学组织出版了一套信息安全的专业课系列教材(共六本，《现代密码学基础》、《信息安全概论》、《网络安全》、《入侵检测》、《信息隐藏与数字水印》、《计算机病毒原理与防治》)，该套教材是教育部“普通高等教育‘十五’国家级教材规划”和北京市 “精品教材立项”。目前正根据使用情况以及专业课程的需要对该套教材进行修订和再版。希望教育部信息安全教指委能够组织全国专家，尽快出版更加权威的系列教材，以供相关高校急用。

信息安全专业是一个对实验及实践能力要求比较高的专业，根据专业建设的要求，北邮于2005年出版了《信息安全实验教程》(国防工业出版社)，并组织了全国信息安全专业实验室建设和实验课程教学经验交流研讨会，邀请了北京邮电大学、上海交通大学、武汉大学等信息安全实验室建设及实验教学有特色的学校进行了交流。同时，根据“互助组”相关学校的要求，我们帮助一些学校完成了信息安全专业实验室建设工程(包括湖南大学、南京航空航天大学、中国防灾高高等专科学校等)。北邮将乐于为更多的高校建设合格的信息安全专业实验室。

在本科教学中，精品课和精品教材的建设非常重要。2006年，北京邮电大学信息安全专业基础课“现代密码学”被评为北京市精品课。2007年，该门课程被教育部信息安全教指委推荐申报国家级精品课。如今，北邮正继续建设信息安全的重要专业基础课“信息安全”、“网络安全”等精品课及精品教材。希望在教育部信息安全教指委的指导下，国内有更多信息安全类专业的精品教材和精品课程诞生，这将有助于提高信息安全专业的整体地位，有助于早日将信息安全设立为一级学科。

在信息安全专业本科生培养过程中，实习和实践是非常重要的一环。为了满足信息安全专业建设的需要，北京邮电大学在四川绵阳建设了一个占地面积40亩，设施齐全师资雄厚的开放式“全国信息安全专业本科生毕业实习基地”，目前该基地已接待包括北京邮电大学、西南交通大学、成都理工大学、云南大学、中国传媒大学、绵阳师范学院、东北大学(秦皇岛分校)、中国防灾高等专科学校等学校的信息安全及相关专业学生进行多种模式的实习及实训(长、中、短期模式：“3+1”、3个月、10天)。建议教育部信息安全教指委积极指导信息安全专业的实习实训基地建设，制定统一的基地标准。

体会7：信息安全类专业建设刚刚起步，任重而道远。教育部信息安全教指委的正式成立无疑会大大加速国内信息安全专业的整体建设，但是，当前面临的困难和问题还很多，比如：

*目前信息安全专业学科的设置与国家对信息安全保障及人才培养的重视程度不相符合。“信息安全本科专业”还是目录外专业，可以分别授予工学和理学学士学位；国内各高校根据自己的优势，把信息安全专业放在理学院、计算机学院、通信学院、信息学院，等。

*在研究生层次“信息安全”是一个二级学科，造成了事实上我国信息安全专业设置比较混乱的局面：一些高校的信息安全学科基本上作为计算机科学与技术学科的二级学科；也有一些高校将信息安全学科作为通信与信息系统或者数学学科下的二级学科；与信息安全关系密切的信息对抗学科一般被放在电子工程学科下；作为信息安全的核心学科“密码学”所属的一级学科是“军队指挥学”，这显然与当前的实际情况有很大出入。

*由于专业设置的问题，导致课程体系也有不少问题：多数学校举办的信息安全本科专业都是密码学、计算机科学与技术或信息与通信工程等相近学科课程体系的扩展或延伸，缺少系统观点与方法；现有课程体系基本上是某个相近学科课程体系的扩展或延伸，在课程中注重密码学、防火墙、入侵检测等单纯安全理论与技术知识的传授，缺少系统观点与方法；大多数学校开设的专业课程数量少，且没有规范的专业课教材，学生能够获得的知识体系也有缺陷，还未形成系统、完整的科学研究与人才培养体系。

*信息安全实验教学模式还有待改进，至少需要克服如下问题：偏重理论知识的传授，并不强调实践能力；实验内容单一，而且缺少综合性设计实验；不强调实验环境的真实性而以模拟情景为主。

*实验条件还比较落后：实验手段和条件不具备，绝大部分高校都没有信息安全专业实验室；仅进行简单的加密/解密、防火墙或者入侵检测等实验；对于网络对抗等更深入的实验涉及较少；缺乏相对稳定且符合一定要求的(校外)实习基地。

信息安全专业范文第2篇

【关键词】职业技能；信息安全；“1+X”证书；实训课程；改革探索

高职院校是我国高等教育事业一个重要的组成部分，肩负着为国家、社会、企业培养高素质、高技能型的实用型人才的重任。近年来，随着信息技术的飞速发展，信息安全问题日益突出，人们越来越意识到网络安全的重要性-“没有网络安全，就没有国家安全”。当前，政府部门、企事业单位对信息安全人才求贤若渴，信息安全人才缺口很大。截止到2021年，我国高职院超过2000所，高职院校作为一支人才培养的生力军，在培养实用型信息安全人才方面大有用武之地。目前，我国信息安全人才年培养规模在3万人左右，而信息安全人才总需求则超过70万人，缺口高达95%。在这一背景下，我国高校纷纷开设信息安全专业，加在信息安全专业人才培养力度。据统计，2016-2019年，我国共有45所高校新增信息安全专业，其中2016年新增的有11所，2017年新增15所，2018年新增11所，2019年新增8所。虽然当前信息安全专业成了热门专业，各高校也如火如荼开设相关专业，扩大招生规模，但如何保障人才培养质量，加强学生信息安全实战能力，无缝对接相关企业的岗位技能要求，才是提升信息安全专业人才培养内涵水平的关键。为有效衔接学校教育与职业岗位要求，教育部于2019年推出了“1+X”证书制度：要求在高职院校学生除了获取1个学历证书外，鼓励学生自主选择若干个职业技能证书，以增强学生在择业、就业方面的竞争力。对于信息安全专业人才培养而言，无论是“1+X”证书，还是学校综合实训课程，都是提升其工作实践能力，提升学生理论联系实际、解决具体问题的能力。

一、当前高职信息安全专业实训课程设计与教学现状分析

虽然目前我国众多院校都积极开办信息安全专业，但实职业技能等级认证视域下高职信息安全专业实训课程体系构建研究文|余姜德冷令梁本来【摘要】针对高职院校信息安全专业实训课程设置及实施过程中普遍存在的问题，如：未有效对接职业岗位要求；课程内容陈旧、碎片化现象严重；实验设计验证性有余，而创新性不足；实训室建设受客观条件限制，难以满足教学要求等一系列问题，分析信息安全人才培养能力目标，结合教育部“1+X”证书具体要求，提出了“找准专业特色定位，精心选择职业技能等级证书；合理规划实训内容，突出实践项目创新，虚实平台有效结合”的课程体系构建策略，并积极实践探索，为培养实用型和创新型的信息安全技术人才打下坚实基础。

（一）学校定位不明确，课程特色不鲜明

当前，我国所高校可以分成二大类：一类是普通本科院校，包括综合型、研教型和教学型等不同类型高等学府，这其中既有“双一流”、985、211等知名高校，也有普通地方本科高校，比如我们通常所说的“一本”、“二本”等；另一类是高等职业教育院校，包括高等职业专科和高等职业本科两个层次，其中高等职业本科，往往又被称为应用型本科学校。随着国家人口结构的经济发展内涵式调整，社会对于高等职业院校有了全新的认识，高职院校越来越受到人们的重视，高等职业教育迎来了重大的发展机遇期。无论是本科院校，还是高职院校，一所学校的人才培养目标是与其在社会和教育系统内所处的层次和地位紧密相关的，不同类型和层次的学校，对于人才的培养目标应该是不同的。本科院校，其人才的培养目标主要以研究型、创新型和技术型人才为主，通过基础理论研究、先进系统开发和技术革新促进社会的整体科技进步，强调人才的基础理论扎实牢固、知识体系的全面完整；而高职院校，其人才的培养目标主要以实战型、应用型和工程型人才为主，不要求基础理论宽泛深厚，但一定要在某一领域的应用上比较精通；人才大部分从事于工程项目实践中，要求实践动手能力突出，胆大心细，而且具有“工匠精神”，通过技术应用实践，把科技创新从纸面理论变成实际产品或者实际场景。具体到信息安全人才的培养，本科院校主要培养信息安全研究开发人才，而高职院主要培养信息安全实践应用人才。但目前的现实情况是，高职院校大都有意无意模糊自身的“高职”定位，甚至千方百计寻求摆脱职业教育身份，而往“本科院校”方向转变，从而制定不切实际的人才培养目标，其根本原因就在于自身层次定位和人才培养目标的定位都出现偏差。其次，无论是本科院校还是高职院校，其培养的人才，最终都需要走向就业市场。人才需要通过在工作岗位上的职业能力表现来得到企业和社会的认可。而人才的就业，往往会采取“就近原则”，即学生会一般会优先选择当地的企业去就业，避免“背井离乡”式的四处奔波。因此学校开办的专业应该立足于服务当地企业、当地经济和当地产业，所培养的人才要达到当地用人企业和单位的职业技能要求，要尽可能被当地企业所吸收。从这种意义上来说，不同经济发展区域的信息安全专业人才培养方案的设计应和课程体系应具有不同的地方特色：比如珠三角、长三角的高职院校信息安全专业和中西部经济欠发达地区高职院校的信息安全专业在专业特色上应该有明显的差异。很遗憾，现实情况是，在专业设置和课程设计上，各个高校普通喜欢“追热点”，“大跟风”：什么专业热门，就上什么专业；什么课程热门，就开什么课程。甚至在人才培养目标定位上，普通本科院校照抄照搬综合性、科研性大学；高职大专院校跟风模仿应用型本科院校或职业技术大学，这显然是不科学和不正确的。

（二）实训内容呈碎片化、同质化特征

信息安全是一门综合性的学科，所涉及的知识体系庞杂，涵盖范围非常广泛，有计算机科学与技术、通信工程、数学、密码学、电子工程等诸多学科的内容[3]。但当前信息安全人才培养过程中，所构建的实训课程体系，往往贪多求全，各知识点之间缺乏内在逻辑联系和层次递进关系，实训知识体系结构呈现“碎片化”的形态。知识“碎片化”的低效性在于，学生学习得到的大部分东西都是零碎的、分散的、杂乱的，很多时候只是停留在知道、了解的层面，并没有与原来的知识体系产生深层的联系。没有深层次的理解，自然没有办法灵活地运用，更没有办法转化为个人能力和技能。另一方面，由于各学校之间盲目借鉴或实训室承建厂商有意无意地“互相抄袭”，实训课程内容“同质化”现象严重。实训内容“同质化”一个最显著的特征就是实质内容重复，缺乏独创性和开拓性内容。信息安全专业实训课程内容同质化，导致很多高校信息安全专业的差异化人才培养成为空谈，实际上，信息安全专业人才更应该是“不拘一格降人才”。

（三）实训内容陈旧，实训过程沦为结果验证，缺乏深度思考

信息安全实验的设计，既需要一定的理论知识，也需要动手实际操作，因此具有一定的复杂性，难度相对较高。我们调研了很多学校的网络攻防实训室，对于复杂的实验，其实训平台上的内容安排一般都是列出详细地操作步骤，末尾配上最终的实验结果。只需按照实验指示步骤一步一步进行操作，实训结束，看最后结果与实验指导书的结果是否一致即可。这样的结果是实训过程沦为为实验指导书的结果验证，缺乏深度思考的引导。我们以“MAC地址泛洪攻击”为例，它是一个经典网络安全实训示例，大多数的实训设计是这样的：1.阐明攻击原理；2.给出实验环境搭建说明，而且在实际教学过程中实验环境已经在教学平台上搭建好；3.详细列出攻击步骤，每一步都完整给出实验截图；4.写出实验总结。这样一整个实验学生做下来，除了验让自己每一步操作与实验指导书上有什么不同外，很少有其他收获。我们其实更应该进行深度思考和拓展：1.“MAC地址泛洪攻击”一般在什么情形下发生?2.用软件方法和硬件方法，如何防洪这类攻击？3.抓包和解码后具体分析作用在哪里，如何应用到实战中？可以通过启发式的训练，加强学生具体运用知识和实践创新能力的提升。

（四）实训课时与资源受限，难以满足实际需求

大多数学校实训室建设经费紧张，实训经费申请批复繁难。而信息安全知识迭代更新较快，平均二年左右就出现新的技术热点，而信息安全实训室申报、建成和使用周期一般都在五年以上，想要不断投入建设资金更新换代非常困难。而且从信息安全实训室建设软硬件来看，无论是网络安全硬件设备，诸如防火墙、IDS、各类型服务器，还是攻防综合演练系统，价格都比较昂贵，更新或升级代价很大，因此，信息安全实训资源库的完善成为制约人才培养的一个瓶颈。（五）实训内容与职业岗位脱钩，缺乏实用性许多高职院校在设计信息安全技术应用实训课程内容时，往往没有充分调研职业岗位要求，盲目以课程或者教材中设计的知识点来设计实训大纲。这样做的结果是实训内容与职业岗位脱钩，缺乏实用性，陷入“纸上谈兵”的窘境。企业岗位技能需求是客观真实的，是市场提出的要求，是应该放在第一位，而且信息安全技术发展非常迅速，日新月异，实际工作中的信息安全技能点要求也是最新的，它往往比已经固化定型的实训内容要真实，实战性更强。面对存在的诸多问题，需要理清思路，结合当前国家在职业教育方面大力推行的“1+X”证书制度，找到解决问题的方案。

二、职业资格认证视域下实训课程体系构建与革新

2019年1月国务院印发了《国家职业教育改革实施方案》。把学历证书与职业资格技能等级证书结合起来,探索实施“1+X”证书制度。2019年《政府工作报告》进一步指出,“要加快学历证书与职业技能等级证书的互通衔接”[4]。简单来说，“1+X”中的“1”为学历证书，“X”为若干职业技能证书。学历证书全面反映学校教育的人才培养质量,在国家人力资源开发中起着不可或缺的基础性作用。职业技能等级证书是毕业生、社会成员职业技能水平的凭证,反映职业活动和个人职业生涯发展所需要的综合能力。“1+X”职业资格认证改革的主要目的就是鼓励职业院校学生在获得学历证书的同时，积极取得多类职业技能等级证书，拓展就业创业本领，缓解结构性就业矛盾。

（一）找准专业特色定位，明确职业岗位

构建科学的信息安全专业实践课程体系，首先需要找准专业特色定位。高职院校信息安全技术应用专业，其专业特色定位关键因素在于学校层次、当地经济和产业需求、职业岗位技能要求、课程要求和信息安全技术特色等。高职院校培养信息安全技术应用专业适用人才的正确思路是：在依据学校类型确定人才培养目标基础上，考虑当地信息安全产业链的发展情况，对接区域经济和产业发展，凸显行业特色、专业特色、课程特色、技术特色培养当地经济发展需要的专业人才[4]。我们以中山职业技术学院信息安全技术应用专业为例，当地的信息安全企业不多，知名企业主要有深信服（中山）、广东网安科技、广东凌臣等几家企业，但中山周边的城市，像广州、深圳的信息安全企业就很多，因此我校信息安全技术应用专业特色定位是：依托大湾区信息安全产业，培养立足于中山，面向广州、深圳一线城市的高技能型信息安全服务人才，主要岗位包括：信息安全/安全运维工程师、渗透测试工程师、等级保护测评工程师、安全服务工程师、系统工程师、技术支持工程师等[5]。

（二）精心选择职业技能等级证书，合理规划实践教学内容

当前职业技术等级证书有很多种，如何去确定最适合自己学校和专业的证书呢？主要考虑因素有以下三点[6]：1.证书含金量较高，具有权威性，社会认可度高；2.证书考核难度适宜，适合学生学情基础；3.证书与专业结合紧密，相辅相成。以中山职业技术学院信息安全技术应用专业为例，我们选择了上海海盾网络安全中心的“企业网络安全防护职业技能等级证书（中级）”。该证书是教育部第三批认可的职业资格证书，社会认可度比较高，可以作为企业网络安全从业人员的岗位认证，同时与人才培养方案中的基础专业课程有良好的承接关系。所以我们选择了该证书。确定好职业技能证书之后，我们需要将证书中的岗位技能需求与实践课程对应起来，并对原有的人才培养方案课程体系进行重新构建。

（三）优化设计实践项目案例，突出实践教学项目创新

确定好信息安全技术应用专业综合实训整体框架后，就需要设计优化实践项目。在建设实训室时，建设单位一般会提供整套的实践案例，但这些案例大都是“验证型”的项目，不需要思考就能到最终的结果，这样的实验案例对于锻炼学生的创新思维没有多大的帮助。针对这一现状，一线任课教师往往要积极参与到实训室建设过程中，与建设单位讨论、优化实训项目案例，增加工程实际项目，在实验过程中，加入“应用情境延伸”、“项目拓展”、“创新思考”等思考型环节。而且，实训系统往往都有二次开发接口，学校要充分利用好这个接口，将教师的科研、工程项目转化成实践案例，真正把二次开发落到实处。我们设计的主要综合实践项目案例如下表1所示

（四）虚拟实训平台有效结合，破解实训资源限制瓶颈

由于招生规模的不断扩大，建起来没有多久的实训室往往会出现不够用的情形。为了破解实训资源有限的瓶颈，我们需要积极利用虚拟网络安全实训平台。我们专业目前使用深信服信息安全实训室，能满足一个班50人的实训要求，但我们有两个班需要同时在线实验，为此，我们借助了虚拟网络安全实训平台：使用“合天网安实训室”虚拟平台作为物理实训室的必要补充，购买了100个账号，5年的资源使用权限，这样我们实际上可以完成三个班的实训教学要求。

三、结束语

我校信息安全技术应用专业选择上海海盾“企业网络安全防护职业技能等级（中级）”证书作为职业资格证书，结合人才培养目标，对接职业岗位技能要求，重构了本专业实践课程体系，并依此申请建设了“深信服信息安全实训室”，同时使用了“合天网络安全实训室”虚拟平台作为补充，经过两年的使用实践，不仅满足了学生实训要求，培养了更多实践能力强的人才；也给教师的科研实践提供了有利条件，得到师生的广泛认可，取得很好的效果。

参考文献

[1]翁健，魏林锋，张悦.网络空间安全人才培养探讨[J].网络与信息安全学报，2019（03）：45-46.

[2]刘何秀,邵长臣,穆建平,陈腾.开发数据采集职业技能等级标准的必要性研究[J].信息技术与信息化.2020,(06)：37-40.

[3]刘杨,王佰玲.面向网络空间安全新工科的密码学教学研究[J].高教学刊,2018(12):13-15.

[4]陈丽婷,李寿冰.1+X证书制度实施的意义与现实问题分析[J].职业技术教育2020,(27).13-18.

[5]余姜德.高职信息安全专业实训课程与实训平台构建探索[J].广东职业技术教育与研究，2018（4）：162-163.

信息安全专业范文第3篇

（二）推进现代学徒制试点班独立运行

目前，学院在信息安全与管理专业的基础上与相关企业合作，成立了“信息安全与管理专业现代学徒制试点实验班”。将试点班招生计划纳入到学院的年度招生计划统一管理，并将这一举措向社会、考生公布，大力宣传。校企共同研究、制定招生与招工方案，并将试点专业、学制、培养目标、教学内容、教学形式、就业方式、退出机制等信息告知学生和家长。校企共同制定试点工作实验班学生的遴选办法，制订学生、企业、学校三方相关协议。按照遴选办法对专业新生进行选拔，学生、企业、学校三方之间签订协议，以确保各方权益，在明确分组划分后，师徒之间签订培养协议。对签订协议的学生组建“信息安全与管理专业现代学徒制试点实验班”独立运行。

（三）实行校企“双导师”

培养制度落实“双导师”制，对试点工作实验班的学生进行有效的分组，为每组分配一名学院师傅和企业师傅作为学生的导师，建立学徒与导师的沟通平台，以便于定期沟通。在试点工作实验班成功运作的基础上，逐步过渡至招生录取、培养和企业用工一体化，真正实现“招生与招工一体化”。

（四）建立体现现代学徒制特点的管理制度

科学合理的教学管理与运行机制是现代学徒制试点工作的重要保障。因此，我们要创新考核评价与督查制度。做到学生自我评价、教师评价、师傅评价、企业评价、社会评价有机结合。建立定期检查、反馈等形式的教学质量监控机制。学徒在企业顶岗实习，校内导师可以跟随下厂指导，可以随时对学徒的学习成果检查。企业的人力资源部门定期做师傅与学生的互相评价，对学徒进行阶段性考核，发现问题立即整改。校企共同制定学徒管理办法，保障学徒权益，根据教学需要，科学安排学徒岗位、分配工作任务，保证学徒合理报酬。落实学徒的责任保险、工伤保险负责部门，确保学生在学徒过程中不出现人身安全。

信息安全专业范文第4篇

关键词：信息安全；电子商务安全；教学方法

中图分类号：G642.4 文献标识码：A 文章编号：1674-9324（2012）07-0193-02

电子商务是以互联网为基础而产生的网络虚拟市场，这是一个具有全球性、数字化、跨时空等特点的飞速增长和潜力巨大的新兴市场。面对这样一个自身在不断变化着的全新的网络虚拟市场，安全问题一直是电子商务用户特别关注的主题，是关系到电子商务能否顺利发展的关键问题。因此，《电子商务安全》一直是经济类专业的主要课程。开展电子商务活动，需要在互联网上传输消费者和商家的一些机密信息，而这些信息正是网络非法入侵者或黑客的攻击目标，所谓电子商务安全，实质上就是这些信息的安全。因此说，“电子商务安全”是“信息安全”的重要应用。基于此，信息安全专业开设《电子商务安全》课程是非常必要的。然而，与经济类专业开设的同名课程相比，由于专业背景不同，在教学目标、教学重点、教学内容、教学方法上有着很大差别，因此，深入开展教学研究，对提高教学效果具有十分重要的意义。

一、重视创新能力的培养

电子商务的核心是应用信息技术提高企业事务处理的信息流效率，改善企业的组织和管理。电子商务的信息安全是实施电子商务的第一要务，它要求电子商务系统在实现为客户服务的同时有效防止泄密，并且具有强大的抵御攻击能力，避免非法入侵带来的损失。由此可见，《电子商务安全》课程的教学目标，首先应当是让学生“懂”电子商务安全。也就是说，要让学生掌握电子商务安全的基本理论，具备安全技术实际操作的能力。在此基础上，要能使学生会应用这些理论和技术为具体的商务活动的实现提供安全保障。考虑到信息安全专业的学生数理基础较好，且学过《密码学》、《计算机网络》等课程，所以《电子商务安全》课程的教学应有更高的目标，要努力培养他们的创新精神，使他们具备发现电子商务实施过程中安全隐患的能力，并能为解决问题提供有价值的方案。信息安全专业毕业生的就业面是宽广的，如能在《电子商务安全》课程的教学中切实达到“懂、用、创”三个目标，必将为学生今后从事电子商务领域的工作打下扎实的基础。

二、把重点放在应用上

《电子商务安全》课程的理论性与实践性都很强，课程内容综合度高，且理论部分较为抽象，对于经济类专业来说，由于学生文理兼收，且专业偏文，所以，在教学中让学生真正理解电子商务安全的实现机理是有相当难度的，从而不得不在基本理论上花费较多时间。

然而，对于信息安全专业来说，情况有所不同，学生数理基础较好，且不少基本理论知识已在《密码学》、《计算机网络》等课程中学过，所以教学《电子商务安全》课程要把重点放在应用上。这就是说，教学各部分内容都要从在电子商务中应用的角度来考虑，即使像密码技术这样的抽象理论亦是如此。比如公钥加密技术是保障电子商务安全的核心技术，学生已在《密码学》课程中学过基本理论，教学时，应当在梳理基本理论的基础上着力解决如下实际操作问题：（1）如何生成密钥对？（2）如何导出自己的公钥，导入别人的公钥？（3）如何进行加密文件的操作？（4）如何进行解密文件的操作？上述这些操作问题不解决，利用公钥密码体制保障电子商务安全就不过是纸上谈兵。

三、精选实用的教学内容

《电子商务安全》课程的突出问题是学习内容多，课时少，在有限的学时内不可能详细讲解所有内容。所以，精心设计教学内容是十分重要的。对于信息安全专业来说，由于《电子商务安全》课程的不少理论知识，学生已经在《密码学》、《计算机网络》等课程中学过，所以，教学内容的设计要从电子商务的需要出发，结合学生实际合理安排。以下三大技术是设计内容时必须考虑的。

1.密码技术。现代社会对信息安全的需求大部分可以通过密码技术来实现。密码技术是信息安全的核心技术。利用密码技术可以达到对电子商务安全的需求，保证商务交易的机密性、完整性、真实性和不可否认性。考虑到实际情况，对学生熟悉的知识，一般梳理清楚，但要选择电子商务中经常用到的知识，比如公钥密码体制，结合电子商务实例讲深讲透，让他们能搞清理论，掌握实际操作技能，并能理解它的优点和不足。

2.网络安全技术。电子商务系统是依赖网络实现的商务系统，网络服务提供信息传送的载体和用户接入的手段，是各种电子商务应用系统的基础。所以，应在学生已有网络知识的基础上，结合电子商务实例强化网络安全技术的教学，使他们掌握基本的网络安全攻防体系、防火墙、入侵检测系统等网络安全的主要技术和解决方案。

3.PKI（公钥基础设施）技术。公钥基础设施是普适性的安全基础设施，是利用公钥算法原理和技术为网上通信提供安全服务的基础设施。它为电子商务提供一整套安全基础平台。教学时，要特别注意让学生掌握数字证书和认证机构的有关知识，因为数字证书的应用是安全开展电子商务的前提，而电子商务的深入开展离不开数字证书技术和认证机构的督导。此外，教学中还应注意流行技术和新技术的讲解。比如，电子支付是相对于电子商务环境而言的一种支付形式，是在传统支付基础上发展而来的，安全的电子支付是保障电子商务顺利开展的关键。教学中要适当讲解，并引导学生根据自己的兴趣进一步跟踪和探索。

四、采用互动的教学方法

根据信息安全专业学生的具体情况，《电子商务安全》课程的教学宜采用师生互动、注重实验的方法。所谓师生互动就是在教学过程中教师负责提出问题，然后引导学生共同探讨，在相互学习中使学生理解和掌握知识的互动形式。具体的做法是，教师选择恰当的电子商务实例，借助多媒体课件设置问题，让学生带着任务进入学习状态，然后组织学生分组讨论，或者师生共同讨论，教师对学生提出的各种见解从分析步骤的恰当性、结论推断过程的逻辑性、思维的创新性诸方面进行综合评定，最后总结、归纳出相应的知识点。实验教学是为学生理解课程内容而设计的，通过实验教学可以使学生掌握电子商务安全技术的操作方法。实验设计应强调基础，通过实验要使学生理解相应的知识点并会加以利用，从而培养解决问题的能力。在校园网络环境中建立基于B/S结构的电子商务安全实验教学平台，在这个平台上绝大多数实验都基于浏览器完成，客户端不要安装额外的软件，没有特定的实验环境限制，操作自由方便，结果直观。比如说，利用这个实验平台进行数字信封的实验可以按如下步骤进行：（1）甲用DES算法对需要传输的文本内容进行加密，得到密文。甲用乙的RSA公钥对DES密钥进行加密。（2）甲将密文以及经过加密的DES密钥传输给乙。（3）乙用自己的私钥解密得到DES密钥，乙用DES密钥对文本内容密文进行解密得到明文。完成实验。

上述数字信封实验的每一步都可以在实验教学平台上完成，学生根据实验指导书完成相应的操作，抽象的理论在实验中得到阐释，轻松而有趣。几年来，我们将上述对《电子商务安全》课程的研究成果付诸教学实践，收到良好的教学效果。

参考文献：

[1]肖德琴.电子商务安全保密技术与应用（第二版）[M].广州：华南理工大学出版社，2008.

[2]管有庆，等.电子商务安全技术（第二版）[M].北京邮电大学出版社，2009.

[3]邱卫东，陈克非.信息安全数学教学的新型互动模式[J].计算机教育，2007（10）：19-21.

[4]段旭良等.体验式电子商务安全实验平台的探索与应用[J].中国教育现代化，2010，（11）：79-81.

信息安全专业范文第5篇

关键词：自主研学；第三方支付；客户端安全；浏览器劫持

我国的高等院校信息安全专业本科的建立和发展至今尚不足8年。这些年来，有关专业人士就如何发展和完善信息安全专业建设进行了广泛的研究和探讨，比如，如何结合学校特色加强信息安全专业的建设、信息安全专业人才培养存在的若干问题、信息安全专业人才培养模式的探讨、信息安全课程体系和实验体系的建设、信息安全专业应用型人才的培养，等等[1-2]。国外大学关于信息安全专业教育方面的研究也不少，特别在信息安全实验教学方面有许多很具体的研究和探索[3-4]。北京信息科技大学信息安全专业成立于2004年，近些年来，本专业特别注重结合学校具体情况，为培养信息安全应用型人才进行积极的探索，无论在专业建设和学科建设方面都取得了一定成效。笔者在“入侵检测技术”这门课程的实验教学方面进行过积极探索[5]，采用课内实验与课外实验相结合的方式增加学生动手的机会，使学生在实践中学习，在实践中增强各种能力。但是无论从学校方面，还是从教师方面做再多的努力，都难以回避一个不争的事实：大多数学生玩游戏上瘾，自主研学的习惯和精神严重缺乏。因此，无论进行什么样的教学模式创新与改革，无论提供什么样的教学和实验环境，其效果都会大打折扣。这是我们必须要面对，同时也要尽快解决的现实问题。笔者从事多年的信息安全专业的教学，同时又长期兼任信息安全专业班级的班主任，即站在专业教学的第一线，也站在学生管理的第一线，有更多的时间和机会在如何引导学生自主研学方面进行广泛和深入的探索。

1发现和提出问题

随着互联网上各种应用和服务不断增多，信息安全问题越来越受到人们的关注。目前，网络银行和第三方支付系统在各种网上应用和服务中扮演极其重要的角色，而它的安全问题一直受到有关各方的重视，但没有得到根本上的解决，这将严重影响未来网上服务和应用的进一步发展。笔者通过一个真实的案例，吸引学生的兴趣，引导他们结合所学的知识去分析问题和解决问题。案例的具体内容涉及一个用户利用第三方支付系统还房贷而遭受较大的资金损失。笔者在这个事件发生后，亲历了此案例的调查，事件发生的过程如下：一个用户看到某第三方支付商提供的广告后，进行了信用卡还款操作。图1是用户在操作时输入的重要信息。

左窗口是要求用户输入接收方的信用卡卡号、用户名及还款金额；右窗口是付款方的借记卡所属银行、个人电子邮件和手机号码。完成各项填写后，按确认键，进入所选银行的付款页面，该页面显示商城名称、订单号、订单金额、商品名称等提示信息，并要求输入支付卡的卡号和口令，接下来用户只要插上自己的有效的安全U盾，输入正确的PIN码后就可以完成付款。本案例中的用户共进行了二次支付，共计支付了8万多元钱。过了几天，所支付的钱依然没有到达接收卡账户上。用户查询后发现，这二笔钱通过另一家支付系统分别转入了某地二个不同的账户，而他所选用的第三方支付商根本没有接受这二笔交易。

笔者将上述真实的案例告诉学生，首先是让他们了解该安全事件的具体表现。接下来给学生提出更多的问题，比如：通过第三方的支付过程涉及哪些主体？这些主体各自应该承担的安全责任和应当采取的安全机制是什么？上述案例中存在的安全漏洞到底在哪？这样的安全漏洞能够解决吗？采用什么安全机制能防范或制止这种安全漏洞？为了让学生更快地进入角色，笔者给他们提出一些建议：

1) 通过第三方支付系统完成一次网上的实际转账过程；

2) 上中国金融认证中心网站，了解网上支付过程及相关安全知识；

3) 了解客户端及IE浏览器存在的安全漏洞。

2描述和理解问题

学生们带着对上述案例的兴趣及若干问题去查找相关资料，经过一段时间的学习和讨论以后，他们能够与老师讨论这个案例，并能完成对相关问题的描述和理解。

首先，了解到第三方支付系统的支付过程，涉及支付用户、收款用户、第三方支付系统、网上银行、认证中心(CA)，以及网上通信。若存在购物交易，还应包括商家。本案例中用户的在线支付，不是为了完成购物而是为了还款，实质上就是利用第三方支付系统进行转账。这种转账方式，是在网上银行与用户方之间增加了第三方支付商，增加了这样一个支付环节，很有可能会给用户带来了额外的风险。若从技术层面上来考虑，这种支付过程，涉及到客户端、第三方支付系统的服务器端、网银系统的服务器端、认证系统服务器、互联网通信等多个方面。一旦出现安全事件，每一个相关方面都有可能成为安全事件起因。当然，事件的确切原因需要具体问题具体分析。

第二，所涉及到的各方都会采用相应安全机制来保证系统的安全，其中认证中心、银行采用的安全机制最强、在安全方面投入也更高；第三方支付系统相对弱一些；用户端存在的安全隐患相对更多一些。目前，国内银行的认证还是由各银行自行完成，以后这方面的工作应该由中国金融认证中心来完成。到目前为止有关网银安全事件的发生原因，都与网银的服务器端没有直接原因，主要由于客户端存在病毒、或用户操作不当造成的。相比较而言，第三方支付系统存在的安全隐患更大，其中包括监管和技术二方面的原因。但是就目前所发生的有关安全事件来看，第三方支付系统的服务器端出现技术或人为安全问题的可能性不大，因为若是服务器端出现问题，其造成资金的损失，一定会是以亿计，而且会涉及大量的用户。与其他主体相比，客户端存在的安全问题相对比较多，比如，操作系统和IE没有及时升级、没有安装杀毒软件或没有对杀毒软件的病毒库及时更新，等等。本案例中用户所用的Window系统版本较早且未及时打补丁，所用IE版本较低。笔者用诺顿杀毒软件对案中用户所用U盘进行过检测，出现了Spyware.Keylogger报警。经查询，这是一个间谍软件，在2007年2月升级，可以截屏，可以记录击键信息。该软件可能来自网站、电子邮件、即时消息及直接文件共享连接，此外用户在接受某个软件程序的最终用户许可协议时，可能会在毫无察觉的情况下收到该间谍软件。

第三，在网络通信方面，目前网上交易大都采用SSL、SET等安全协议，所用安全协议的安全功能包括身份认证服务、机密性保护服务、数据完整、不可否认等，从这些年的实践上来看，SSL和SET二个安全协议尚未有明显易攻击的安全漏洞 [6]。

最终，通过认真分析交易环节、上网查询相似案例的报道、以及检查用户交易所用的笔计本电脑，确认这是一起典型的发生在客户端的中间人攻击事件，利用了客户端与第三方交易系统存在的漏洞。这里所说的第三方交易系统存在安全漏洞，主要是指三方面的内容，其一，如图1所示，当用户在左窗口中输入账户信息时，所输数据极易被键盘截获木马所截获；其二，没有采用适当的安全控件，防范一些常见攻击；其三，第三方支付系统存在更易被利用的弱点。下面重点分析本案例中的客户端的安全问题，这是目前最常见的，也是难于解决的问题。

图2是客户端的涉及IE浏览器、键盘和安全U盾三个实体的数据流图。

就本文所提案例而言，用户进入第三方支付系统A网站后，首先在图1左端窗口输入接收卡信息，在右端窗口选择支付银行及个人Email和手机信息，正常情况下，这些信息通过IE内置SSL模块，建立SSL连接，将信息安全传送至第三方支付系统A服务器端；然后再依据用户所选择的支付银行，链接银行支付页面进行支付，支付时要求输入用户银行卡号、用户银行卡密码及付款金额，提示用户插入安全U盾，输入PIN码。该过程用户所输入的信息通过IE传递给安全U盾，进行签名和加密运算以后，再返回IE传送至网银支付网关，网银系统的服务器端对数据进行认证和解密后，将资金从用户支付卡上转至第三方支付系统。延迟一段时间后，资金才由第三方支付系统转入用户所输入的接收卡中。

在本文的案例中，用户的资金通过另一个第三支付系统B转入非用户指定的接收卡账户。这显然是一种浏览器劫持行为，此行为发生在调用网银支付页面以前，它更改了接收卡信息，同时由另一第三方支付系统B，代替了用户所选择的第三方支付系统A，因此网银支付页面是由第三方支付系统B提供的链接。在接下来的支付过程中，无论是用户方、第三方支付系统A、第三方支付系统B，还是银行方均不会发现任何异常情况。

分析了整个入侵过程以后，教师自然引入以下几个问题：

1) 非法者为何要选择在此操作环节进行IE劫持？这种IE劫持是如何实现的？

2) 非法者为何要选择第三方支付系统B作为他们的支付平台？该平台是否有漏洞更容易被利用？

3) 若该用户直接进入网银界面进行类似的转账操作会有资金会发生资金损失吗？

4) 能否防范此类IE劫持行为？如何防范？

3分析和实践

前面描述了如何引导学生去发现和理解问题。接下来是组织学生进一步分析问题，并着手寻找解决问题的方法和途径。笔者通过与学生们讨论，将接下来所要进行的工作分成四大部分。第一、明确和掌握文中所提案例的攻击原理；第二、通过分析和模拟攻击行为，进一步理解和掌握相关攻击原理和实现方法；第三、设计并实现新的安全机制，防范相关攻击；第四、验证新的安全防范机制的有效性。

3.1浏览器劫持技术的原理

从目前的资料来看，“浏览器劫持”攻击的渗透途径有很多，其中最常见的方式有通过BHO DLL插件、Hook技术达到对用户的浏览器进行篡改的目的。这些载体可以直接寄生于浏览器的模块里，成为浏览器的一部分，进而直接操纵浏览器的行为。

什么是BHO DLL插件、Hook技术？它们的作用是什么？它们是如何被合法和不法利用的？“浏览器劫持”攻击是如何利用这些技术从事了非法或非授权行为的？

首先了解BHO技术[7]。BHO是微软早在1999年推出的作为浏览器对第三方程序员开放交互接口的业界标准。BHO可以获知和实现浏览器的大部分事件和功能，也就是说，它可以利用少量的代码控制浏览器行为。程序员可以设计出一个BHO控制浏览器跳转到他想让用户去的页面，这就所谓的“浏览器劫持”――BHO劫持。

其次，引入Hook(钩子)技术。Hook[8]是Windows消息处理机制的一个平台，应用程序可以在上面设置子程序以监视指定窗口的某种消息，并且当消息到达后，在目标窗口处理函数之前处理它。Hook机制允许应用程序截获处理Window消息或特定事件。把Hook技术应用到浏览器上面，就成了另一种控制浏览器行为的方法，称为IE钩子。IE钩子程序载入进程后便能获知所有的消息类型、API和内容，一旦发现某个符合要求的消息，如IE执行了某个事件，或者用户输入了特定内容，钩子的处理代码就开始工作了，它先拦截系统发送给IE的消息，然后分析消息内容，根据不同消息内容作出修改后再发给IE，就完成了一次Hook篡改过程。

接下来的问题就是：案例中的攻击者是如何使攻击得逞的呢？攻击者能够得逞需要具备哪些条件？

3.2第三方支付系统的弱点

本案例有一个值得关注的地方，就是诈骗者利用了另一家B支付系统将客户资金进行了非法转移。这个B支付系统有什么更易被利用的弱点吗？笔者对B支付系统进行考察后发现，该支付系统给商家提供了信用支付功能，通过该功能，商家可以通过一个链接让买家通过网银进行支付。该支付系统为注册商家和非注册商家都提供了一个这样的功能，也就是说任意一个人，都可以不经任何审查过程，实现这样一个功能。

如图3所示，要完成信用支付，任何一个注册或非注册用户第一步要做的是输入工行的信用卡号及其它相关信息。输入完成后，再进行确认。最后生成一个支付链接。

如图4所示。所生成的支付链接中的最后二项，一个是“money=xxxxx”，另一个是“payUrl=xxxx”等号后面的内容。前者是支付金额，后者是商品链接。等号后面的内容允许商户根据需要进行修改。正是这个链接为网上开店的商户完成商品的支付功能，提供了很大方便，但同时，也为攻击者进行网上诈骗大开方便之门。

3.3模拟运行环境及攻击行为

通过对攻击行为的模拟，可以使学生更好地理解攻击行为的原理、作用及局限，同时也能够大大增强学生的编程能力。

第一，利用钩子技术实现对键盘的记录[9]。由于键盘记录器需要监控键盘的所有输入，因此必须安装为全局的钩子，该钩子函数应当写入一个DLL文件内。该DLL由VC编写，相应参考资料很多。

第二，利用BHO技术实现URL的拦截[10]。该BHO插件在VC6.0下开发。基本实现过程：①ATL Object到该项目中。②实现IObjectWithSite的接口方法。③实现IDispatch接口方法。④修改注册表文件，追加BHO的注册信息。

第三，网上支付系统[11]保证客户端资金安全的最核心的机制是采用安全U盾。为了使学生充分掌握和了解安全U盾的应用，给学生提供了坚石诚信科技公司的安全U盾产品ET199，能够使用MS CryptoAPI接口开发ET199的应用。

3.4建立新的安全防范机制

分析和模拟的目的是为了能够有更好的思路和手段来实现新的安全防范机制，避免类似的攻击案例的发生。

从对文中案例的分析情况来看，第三方支付系统显然存在弱点，需要企业本身和相关监管部门进一步完善业务流程和监管手段。作为用户一方，如何保证客户端不被非法程序所侵害，也应引起足够的重视。目前，所能采取的技术手段是利用系统监控技术，监控文件目录的变动、注册表的修改、进程的创建等[9]。

1) 文件监控技术。Windows SDK提供了两种API进行文件监控。FindChange- Notification系列函数和ReadDirectory- ChangesW()函数。

2) 注册表监控技术。Windows SDK提供了一个函数：RegNotifyChangeKeyValue()，可以完成对指定注册表路径项的监视。

3) 进程监控技术。进程监控的有多种方法。最好的方法是采用API Hook。API Hook的主要思路是拦截基于操作系统提供的API函数，使其在执行这些函数前首先运行自己的代码，可以使用这种方法来记录系统中的一些关键操作。

4结语

当前，学生自主研学能力的缺乏具有一定的普遍

性，特别是在与我校同档次的高校中，情况更为普遍。因此，无论从学校层面还是从专业教学层面上都在积极采取办法提高学生自主研学能力，如鼓励成立学生社团、举办课外专业竞赛、提供学校学生基金项目、创新理论教学和实验教学，等等。本文探讨了一种新的方法和途径：以学生感兴趣的应用型项目为依托，积极引导学生自主研学。只有当学生提高了自主研学的能力和兴趣以后，他们才能够在大学所提供的各种教育活动中，更有效地提高自身的实践能力、沟通能力、团队合作能力和知识应用能力。

参考文献：

[1] 李晖,马建峰. 结合学校特色加强信息安全专业建设的几点体会[J]. 北京电子科技学院学报,2006(3):3-4.

[2] 谭云松,王海晖,伍庆华,等. 信息安全专业实践教学体系研究[J]. 高教论坛,2006(5):82-84.

[3] Du Wenliang,Teng Zhouxuan,Wang Ronghua. SEED:a suite of instructional laboratories for computer security education[C]. SIGCSE’07 Proceedings of the 38th SIGCSE technical symposium on computer science education, March,2007:486-490.

[4] Hu J,Meinel C,Schmitt M.Tele-Lab IT Security: An Architecture for Interactive Lessons for Security Education[C]. SIGCSE’04 Proceedings of the 35th SIGCSE technical symposium on computer science education,March,2004:412-416.

[5] 刘凯. 入侵检测技术实验教学的设计与研究[J]. 计算机教育,2009(4):139-142.

[6] Rolf Oppliger,Ruedi Rytz,Thomas Holderegger. Internet Banking: Client-Side Attacks and Protection Mechanisms [J]. IEEE Computer,2009,42(6):27-33.

[7] Microsoft Corporation. IObjectWithSite Interface [EB/OL]. [2010-11-16]. /en-us/

library/Aa768220.aspx.

[8] Microsoft Corporation. Hooks [EB/OL]. [2010-11-16]. /en-us/library/ms632589(VS.85).

aspx.

[9] 裴要强,孟波. Windows 黑客技术揭密与攻防1：C语言篇[M]. 北京:中国铁道出版社,2010:243-252.

[10] Scott Pobert. Intertnet Explore 5程序设计[M]. 北京博彦科技发展有限责任公司,译. 北京:清华大学出版社,2001:429-440.

[11] 坚实诚信科技有限公司. ET199超级多功能锁资料下载[EB/OL]. [2010-11-16]. .cn/et199/download_

authentication.php.

Effective Case of Guiding Undergraduate on Information Security Speciality in Independent Study

LIU Kai, CHEN Xin

(Department of Information Security, Beijing Information Sci. &Tech Univ., Beijing 100101,China)