基于信息安全等级保护的信息安全综合实训教学研究

张文勇++李维华++唐作其

摘要：信息安全等级保护是我国保障信息系统安全的根本制度，为了培养学生基本信息安全技术操作技能，使其具备运用信息安全等级保护知识分析信息系统安全风险和编制符合信息安全等级保护要求的解决方案的能力，将信息安全等级保护内容纳入信息安全综合实训教学，按信息安全等级保护标准体系构建了信息安全专业综合实训教学体系，并给出了具体的实施流程和方法。

关键词：信息安全；等级保护；等级测评；实践教学；综合实训

DOIDOI：10.11907/rjdk.161717

中图分类号：G434

文献标识码：A文章编号文章编号：16727800（2016）009017303

基金项目基金项目：贵州省科技厅社发攻关项目（黔科合SY字2012-3050号）；贵州大学自然科学青年基金项目（贵大自青合字2010-026号）；贵州大学教育教学改革研究项目（JG2013097）

作者简介作者简介：张文勇（1973-），男，贵州台江人，硕士，贵州大学计算机科学与技术学院讲师，研究方向为网络与信息安全；李维华（1961-），男，贵州贵阳人，贵州大学计算机科学与技术学院高级实验师，研究方向为网络与信息安全；唐作其（1980-），男，贵州兴义人，硕士，贵州大学计算机科学与技术学院副教授，研究方向为信息安全保障体系。

0引言

信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法，开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。信息安全学科要求学生不仅要具备很强的理论知识，更应具备较强的实践能力。现阶段很多高校在理论教学上有较好的培养方法和模式，学生具备良好的理论基础，但在实践教学中由于各课程的衔接和关联较少，尽管部分学校开设了信息安全实训或信息安全攻防实践等课程，但基本都是做一些单元实验，仅局限于某一方面的技能训练，没有从全局、系统的角度去培养学生综合运用各种信息安全知识解决实际问题的能力[15]。从贵州大学信息安全专业毕业生就业情况调查反馈信息来看，绝大多数毕业生主要从事企事业单位的信息安全管理、信息安全专业服务等工作，少数毕业生从事信息安全产品研发，或继续硕士博士深造，从事信息安全理论研究。用人单位普遍反映学生的基本理论掌握相对较好，但实际操作技能、综合分析能力欠缺。为了解决目前这种状况，笔者根据长期从事信息安全等级保护项目实施工作实践，提出在信息安全专业的实践教学环节中引入信息安全等级保护相关内容。

1信息安全等级保护对学生能力培养的作用

信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查5个阶段，信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护的知识体系完善，信息安全等级保护测评人员的技术要求涵盖多个方面，包括物理环境、主机、操作系统、应用安全、安全设备等，因此国家对于信息安全等级保护人员的技术要求十分综合和全面[3]。如参照信息安全等级保护专业人员的技术要求对学生开展信息安全综合实训将满足社会对信息安全专业人员的技能和知识结构要求，主要体现在以下4个方面：①培养学生了解国家关于非涉密信息系统保护的基本方针、政策、标准；②培养学生掌握各种基本信息安全技术操作技能，熟悉各种信息系统构成对象的基本操作，为将来快速融入到信息安全保护实践工作奠定基础；③培养学生具备从综合、全面的角度去规划、设计、构建符合国家信息安全保障体系要求的信息安全防护方案能力；④培养学生建立信息安全等级保护的基本意识，在工作实践中自觉按国家信息安全等级保护要求开展工作，有利于促进国家信息安全等级保护政策实施。

2实训教学知识体系

信息安全等级保护的相关政策和标准是信息安全实训教学体系建立的基本依据，GB/T 22239-2008《信息安全等级保护基本要求》在信息安全等级保护标准体系中起基础性作用。信息安全等级保护基本要求充分体现了“全面防御，纵深防御”的理念，遵循了“技术和管理并重”的基本原则，而不同级别的业务信息系统在控制点要求项上的区别体现了“适度安全”的根本原则[6]。信息安全保护测评是信息安全等级保护的一项重要基础性工作，GB/T 28449-2012《信息安全等级保护测评过程指南》是对等级测评的活动、工作任务以及每项任务的工作内容作出了详细建议，等级测评中的单元测评、整体测评、风险分析、问题处置及建议环节体现了测评工程师对等保项目基本安全保障情况的综合分析能力[610]。信息安全等级保护知识体系庞大，不可能兼顾所有方面，因而在信息安全实训教学知识体系制订中采用兼顾全局、突出重点的基本原则；在实训教学知识体系的构成中重点以《信息安全等级保护基本要求》和《信息安全等级保护测评过程指南》为基础，包括基本理论培训、基本技能实训、安全管理培训、能力提高实训四大模块；在实际操作中将重点放在基本技能实训和能力提高实训上。各实训模块构成及关系如图1所示。

3实训教学实施

教学实施依据实训教学知识体系进行，教学方式采用集中课堂基本理论教学、在信息系统模拟平台实施现场测评数据采集的基本操作实训和以信息安全等级保护测评报告的编写为基础的数据分析、数据整理、安全方案编写实训。

3.1基本理论教学

该环节采用集中课堂教学方式，讲解的主要内容是信息安全等级保护政策和标准。讲解深度上应有所侧重，讲解重点包括：①信息安全等级保护基本要求中层面的划分原则和依据、控制点的构成、控制点中要求项的解读；②信息安全保护过程指南中单元测评、整体测评、风险分析、问题处置和建议等部分的解读。

理论教学在突出重点的同时，兼顾全局，让学生对信息安全等级保护制度和标准有一个完整、清晰的认识。

3.2基本技能实训

基本技能实训环节主要是强化学生各种信息安全技术的基本操作训练。首先，应根据最真实的企业内部环境搭建符合信息安全等级保护要求的模拟信息系统，并编写好对应的信息安全等级保护现场测评指导书；然后，指导学生在模拟系统上进行现场测评实训，实训过程按信息安全等级保护现场测评指导书要求进行，实训内容以获取信息系统安全配置和运行状态等原始数据为基础。基本技能实训模块包括网络安全、主机安全、应用安全、数据备份及恢复、自动化工具扫描这5个层面的训练项目。

（1）网络安全。学生在模拟平台上开展各种主流的网络设备和安全设备的基本操作训练，要求学生理解网络设备和安全设备的安全功能及安全设置，掌握设备的运行状态和信息数据采集方法。

（2）主机安全。学生在模拟平台上开展各种主流系统软件基本操作训练，包括操作系统、数据库系统、中间件等，要求学生理解各种系统软件的安全功能和安全设置。通过本环节的实训，学生应具备系统软件安全配置核查和运行状态信息采集能力。

（3）应用安全。学生在模拟平台上对所安装的主流商用应用软件和自主开发软件进行安全配置核查和安全功能验证训练，要求学生理解应用软件的安全功能设计要求，掌握应用软件的安全配置核查和安全功能验证方法。

（4） 数据备份和回复。通过模拟系统的磁盘冗余阵列进行基本操作训练，让学生了解磁盘冗余阵列的验证方法；通过训练学生在操作系统和数据库管理系统上配置计划备份任务，使其理解系统软件的数据备份安全功能，掌握系统软件的备份操作计划配置和验证方法。

（5）自动化工具扫描。学生利用主流的开源扫描工具和商用的扫描工具对模拟系统上的网络设备、安全设备、服务器主机等进行扫描，获取信息系统主要软硬件的漏洞，并验证系统的脆弱性。本部分获取的原始数据作为（1）、（2）、（3）部分的补充，通过本环节培训学生整理和分析漏洞扫描结果以及初步验证漏洞真实性的能力。

3.3能力提高实训

在学生掌握信息系统安全配置和运行状态数据采集的基本技能后实施能力提高实训，本模块主要培训学生对原始数据的分析、整理，并编写信息安全等级保护测评报告的能力。能力提高实训模块主要包括单元测评、整体测评、风险分析、问题处置和安全建议4个项目，各项目之间的关系流程如图2所示。

（1）通过基本技能实训获取到原始数据后，根据信息安全等级保护测评过程要求整理、分析原始数据，开展单元测评，并给出各单元层面内控制点中检查项的符合性，分析并给出单元测评结果，按信息安全等级保护报告模板编写单元测评报告。

（2）在完成单元测评后，由于单元测评参照的信息相对独立，未考虑原始数据间的关联性，而实际信息系统的最终安全防护效力和面临的风险是信息系统安全控制点间、安全层面间、安全区域间各组成要素共同作用的结果，因此在完成单元测评后还应该进行整体测评。整体测评主要是考虑单元测评中的各控制点间、安全层面间、安全区域间存在某种关联性，这种关联会对信息系统整体的安全防护效力、面临的风险具有降低或增加的作用，应从整体角度对信息系统安全的状态进行修正。

（3）风险分析结果是制订信息安全系统防护措施的重要依据，风险分析能力是体现信息安全工程师水平的一项重要指标。在风险分析实训项目中结合单元测评和整体测评结果利用风险分析计算工具对信息系统面临的风险等级大小进行定性或定量的分析计算，并编写风险分析报告。

（4）确定信息系统存在的风险后，接着应分析引起信息系统风险的因素，对不可接受风险因素或不能满足等级保护要求的安全防护项提出完整的问题处置和整改建议。问题处置和整改建议环节要求信息安全工程技术人员具备扎实理论知识的同时还具备相当丰富的实践经验，工程技术人员必须熟悉信息安全的各种防护技术和目前市场上相关的信息安全软硬件安全产品。因此，本实训项目主要是训练并提高学生综合运用信息安全技术解决实际问题的能力。

4结语

在信息安全专业的实践教学中引入信息安全等级保护内容，实训教学知识体系完全参照信息安全等级保护要求来构建，信息安全等级保护知识体系完善，保证了实训内容的广度和深度。通过信息安全等级保护现场测评环节训练学生的信息安全技术基本操作技能，通过信息安全等级保护测评报告的编制训练学生运用信息安全等级保护基本知识、理论和方法去分析信息系统存在的漏洞、面临的安全风险，并编制符合信息安全等级保护要求的安全防护方案，提高学生综合运用信息安全技术解决实际问题的能力，较好地满足了社会对信息安全人才的需求，深受信息安全等级保护技术服务机构和已开展或拟开展信息系统安全等级保护的企事业及机关单位的欢迎，为学生毕业后尽快适应工作要求奠定了基础。

由于实验环境的限制，所制订的基于信息安全等级保护的实训教学知识体系仍存在以下3点不足：①实训教学体系未涉及虚拟化、云计算、物联网安全实训，而这些是当前发展较快且正被广泛运用的信息技术；②由于渗透测试对测试环境搭建和学生基本技能要求较高，因而实训教学体系中并未涉及渗透测试项目；③信息安全管理在信息安全防护工作中是非常重要但却最容易被忽视的工作内容，可以说一个组织的信息安全管理水平高低直接决定其信息系统的安全防护能力。因为安全管理测评基本上采用的是制度类、证据类、记录类文档性资料的核查和访谈，而在实训中难以模拟一个完整的安全管理体系实际案例，所以在实训中安全管理部分更多地是采用课堂教学讲解，没有操作实训。 这些在后续教学实践工作中都有待改进。

参考文献参考文献：

[1]杨冬晓，严晓浪，于慧敏.信息类特色专业建设的若干实践[J].中国电子教育，2010（1）：3945.

[2]田秀霞.创新实践项目驱动的信息安全专业教学改革[J].计算机教育，2015（23）：3033.

[3]张胜生，吕绪银.基于信息安全场景下的等级保护技术人才培养模式研究[C].第二届全国信息安全等级保护测评体系建设会议论文集，2012：8385.

[4]李琳，陈东方，李涛，等.信息安全专业实践教学体系研究[J].电脑知识与技术.2014，10（35）：85148515.

[5]蒋炜.信息安全等级保护培训探讨[J].现代企业研究，2015（2）：64.

[6]公安部信息安全等级保护评估中心.信息安全等级保护政策培训教程[M].北京：电子工业出版社，2015.

[7]公安部信息安全等级保护评估中心.信息安全等级测评师培训教程（中级） [M].北京：电子工业出版社，2015.

[8]公安部信息安全等级保护评估中心.信息安全等级测评师培训教程（初级） [M].北京：电子工业出版社，2015.

[9]国家质量监督检验检疫总局、国家标准化管理委员会. GB/T284882012.信息系统安全等级保护测评要求[S].北京：中国质检出版社，中国标准出版社，2012.

[10]国家质量监督检验检疫总局，国家标准化管理委员会. GB/T 284492012.信息系统安全等级保护测评过程指南[S].北京：中国标准出版社，2012.

责任编辑（责任编辑：孙娟）