企业驱动模式下的计算机网络安全风险评估教学

2017-03-10林玉香

网络安全技术与应用 2017年11期

关键词：信息安全网络安全驱动

◆林玉香刘岩

（南阳理工学院软件学院河南 473000）

企业驱动模式下的计算机网络安全风险评估教学

◆林玉香刘岩

（南阳理工学院软件学院河南 473000）

《计算机网络安全风险评估》是一门理论与实践并重的课程，本文将企业驱动教学模式和“OBE”理念引入该课程教学，以企业需求为导向，通过明确能力目标、探索教学方法、尝试校企协同育人，设置多元化考核评价体系，进行了该课程教学的改革和大胆创新的尝试，进一步提高教学效果和人才培养质量。

企业驱动；风险评估；OBE

0 引言

美国的“棱镜门”，乌克兰的电力攻击，勒索病毒肆虐全球……世界范围内安全事件频发，预警着信息安全形势的严峻性，当移动互联网、物联网和社交网络把所有人、机构和物品连接在一起，昭示着信息已经无处不在，同样信息安全也无处不在。在广泛互联化的 IT环境中，大到国家和社会，小到机构和个人都面临着一个共同的问题，如何保障自身的信息安全问题。信息安全已经成为各国关注的焦点，不仅关系到用户的信息和资产风险，也关系到国家安全和社会稳定，世界范围内包括我国对信息安全专业人才的需求将不断增加。为了应对日益复杂的信息安全形势，企业需要的信息安全人才不仅具有较强的专业知识，面对实际问题的应对能力，而且具有较强的创新创造能力。但是，从目前情况来看，我国部分高校信息安全专业应届毕业生的整体素质与企业对人才期望的标准相差甚远，很大一部分学校重视理论知识忽略信息安全应用技能和创新创造能力的培养，导致信息安全方面的应用型专业人才缺乏、严重供需不平衡。

《计算机网络安全风险评估》是信息安全专业网络安全与攻防专业方向的核心课程和主干课程，在整个专业方向课程群中具有承上启下作用，在前导课程《信息安全导论》的基础上，进一步强化渗透测试和网络安全风险评估的实战操作，从计算机网络安全的攻击与防御学习入手，兼顾网络安全风险评估的标准法规和实施流程，为后续课程《Web安全》和并行课程《TCP/IP协议分析》的开展打下了良好的基础。

1 问题与反思

当前在《计算机网络安全风险评估》教学过程中，主要存在以下问题：

（1）该课程包含的知识点繁杂、容量大，一般意义上，该门课程作为专业基础课，大纲要求学生既要了解网络安全风险评估相关概念、术语，现有的标准和评价体系，又要掌握网络安全风险评估实施流程和方案设计，还要掌握其所涉及的网络安全攻防技术和渗透测试技术，涵盖的知识点比较全面，传统教学中，教师试图在有限课程时间内，讲解所有知识点，难以保证教学质量，学生基本上没有时间去消化吸收，教师与学生互动交流较少，学生因缺乏有效指导和沟通而产生畏难情绪。

（2）能力目标不清晰，缺乏实际项目的实践操作支持。该课程大纲要求重点培养学生的动手实践和解决实际问题能力，能够在课程学习结束后，参与解决实际的网络安全风险评估方案，但在实际课堂教学中，过多偏重于概念和理论，多以传统性的灌输教学为主，与实践应用联系较少，学生在学习过程中感觉乏味。

（3）教学内容滞后，与企业实际需求脱节，跟不上行业内技术的发展。物联网、云计算、大数据等新技术发展迅速，对于信息安全行业是新的挑战和机遇，对于信息安全专业人才提出了更高的要求。而传统的教学以教学大纲和课本为导向，往往滞后于当前行业发展，没有和目前的新兴技术进行很好的衔接，这样就造成毕业生进入工作岗位后，缺乏对新技术的了解，不能迅速地适应自己的角色。

（4）评价考核方式单一，主要以学期结束考核为主，没有将实践考核和平时能力考核纳入到学生的评价体系中，难以真实反映学生的学习水平和能力水平，降低了学生的学习主动性。

2 企业驱动在《计算机网络安全风险评估》课程中的应用

目前我国共有50多万家大中型企事业单位约3500万台计算机联入网络，按照每家单位需要一至两名信息安全管理人员计算，我国目前需要的信息安全专业人才至少是80万。实际上，这仅包括网络运维工程师和部分信息安全工程师，而对信息安全专业知识要求比较高的安全评估、渗透测试、网络安全开发工程师等专职人员都不包括在内。

为了满足当前社会对信息安全专业人才的需求，深入探索“产教融合”的教学模式，参照 OBE教育模式，将创新型人才培养和企业驱动融合在一起，优化课程内容，通过 OBE理念在教学过程中的具体实施，以企业驱动为导向，与企业需求和行业发展动态接轨，杜绝闭门造车，明确学生在课程学习结束后应达到的能力目标，提高学生的实践能力和动手能力。

（1）根据企业需求，明确能力目标

学生需要达到何种专业能力并不是凭空臆想出来的，需要有力的事实依据，要求对学生能力的培养更加贴近企业实际需要，在教学过程中更加注重对于学生实践能力的培养。在前程无忧网、智联招聘和中华英才网站上对多家招聘网络安全人才的单位进行了统计，并且对绿盟科技、启明星辰等国内多家安全公司也进行了调研，结果显示企业对信息安全方向人才的需求不仅要具备理论知识，更看重学生在日常学习过程中的实践经验和动手操作能力。根据调研，行业内与网络安全风险评估知识相关联的的岗位有网络安全风险评估师，Web渗透工程师，信息安全研究员，网络安全测评师等，汇总分析这些岗位相关能力要求为：了解国家信息安全相关政策标准，了解信息安全风险评估流程、等级保护管理体系、信息安全管理体系；熟悉网络安全架构，熟悉渗透测试流程、方法，掌握常见渗透测试工具，了解常见漏洞、漏洞利用方法；熟悉常见网络安全攻击和防御办法。

（2）以企业驱动为导向，选择多样化的授课方法

由于计算机网络安全风险评估课程包含知识比较多，学生知识储备和学习接受能力参差不齐，选择合适的授课方法尤为重要，一旦选择不当，学生很容易产生畏难情绪和厌学心理，因此，采取了多种授课方法相结合，根据教学内容的不同，灵活运用。

对于操作性比较强的内容可采取模块化教学和“任务驱动”教学法配合使用，首先将相应内容按照知识关联程度划分为相应的专题模块，然后根据具体模块内容，把综合性知识点分成若干个关联的小知识点，也就是小任务，以这些小任务为载体，教学内容巧妙地隐含在每个任务之中，由学生发现问题，分析问题，教师点拨启发，进而解决问题。对于理论性比较强的内容，可以选择情景化教学和案例教学相结合的方式，挖掘并设计和教学内容关联性比较强的案例，进行实例教学，尽可能将晦涩难懂的理论知识，以通俗易懂比较直观的方式展示出来，让学生更易理解和接受。

（3）以企业驱动为导向，建立企业导师制

打破传统的课程教学时间和地方的局限性，重构基于实际工作岗位能力需求的教学体系，实现课程内容与企业接轨。同时积极吸纳企业专业技术人员共同进行实践课程和实训课程的教学，采用项目模块化教学，将课堂延伸到企业，将工程实践项目引入课堂，实现校企协同育人，进一步调动学生主动学习的热情。

（4）以企业驱动为导向，制定合理的考核评价体系

对学生考核要体现科学性，通过层次化的管理，使教师能够更好地实施教学计划，学生能够在有序而又活跃的教学环境中学习。对学生考核方式可以采取过程考核和目标考核两种，建立多样化的课程考核办法，根据不同教学内容特点，采取不同的考核办法。

考核方式要体现科学性和公平性，必须要多样化，基于企业驱动的教学模式将部分学习任务放在了课余时间，以参与项目的形式来学习，以小组协作学习和教师答疑解惑为主，强调学生的能力培养和课堂的参与度，所以传统单一的考核方式不能采用，应该把学生的积极配合，课堂表现，解决实际问题能力和创新能力加入考核的要素，引入多元的过程化的考核体系来综合反映学生的能力。