李晓伟 陈本辉 杨邓奇

摘 要：应用型信息安全人才培养应在掌握专业理论的同时更加注重实际能力的锻炼以及实际问题的解决。以往信息安全人才培养中密码学课程往往偏重密码学数学原理的讲授，密码应用也多停留在理论。这导致学生即使可以实现各种算法，但在应用中仍然不能解决实际问题。以应用型人才培养为主的大理大学为例，探索在信息安全相关专业中进行密码学课程的创新。从密码学课程内容改革以及密码综合素质提升两个角度进行探索，从而实现更为科学、更为合理的应用型信息人才培养的目标。

关键词：应用型信息安全；人才培养；密码学；课程改革

中图分类号：G642 文献标志码：A 文章编号：2096-000X（2019）01-0041-03

Abstract： Application-oriented information security personnel training should pay more attention to practical ability training and practical problem solving while mastering professional theory. In the past， cryptography courses in the training of information security talents tend to emphasize the teaching of cryptography mathematics， and password applications are mostly in theory. It leads to the result that students know the algorithm implementation but they still cannot solve the practical problem. For example， Dali University， which focuses on application-oriented talent development， explores the innovation of cryptography courses in information security-related majors. The exploration is divided into two parts which are the revolutions of the cryptography courses and the improvement of comprehensive in cryptography. The exploration will make a more scientific and more reasonable goal for the applied personal training in information.

Keywords： applied information security； personal training； cryptography； course revolution

一、應用型信息安全专业密码学课程出现的问题

密码学是信息安全相关专业的基础课程，是整个信息安全的基础。密码学提供数据及信息系统的保密性、完整性、认证性以及不可否认性等安全属性[1]。应用型信息安全人才对于密码知识的要求是了解各算法原理，熟悉算法特点以及掌握算法的应用。在以往的密码学课程教学中更加重视密码学中数学原理的讲授以及密码算法的实现。这样的教学内容和方法更加适合于学术型高校，然而对于以应用型人才培养为主的高校，尤其是一些高职高专学校来说则不适合[2，3]。以大理大学为例，通过对学生的调查发现，学生反馈虽然学过各种加密算法、数字签名算法以及Hash算法等，但是在遇到实际问题时仍然感到无从下手。同时，在实际应用中对于密码相关安全问题的产生大都来源于密码策略的使用以及密码管理等问题，对于密码算法的安全问题则较少[4，5]。基于此，尝试以实际应用为出发点及立足点，对密码学课程模式进行创新探索。

二、应用型信息安全专业密码人才培养模式创新探索

1. 密码学课程内容改革——轻理论，重应用。首先对密码学课程模块的划分进行创新。传统密码学课程一般按照以下几个方面进行讲解：加密、数字签名、认证以及安全协议几个方面。这样的分类方式代表了密码学的几个重要方向。然而，对于以应用型为主的学生来说这样的讲授顺序很可能割裂各个知识点，学生掌握了一个知识点可能忘记另一个知识点[6]。基于此，从实际应用出发探索将密码知识从以下几个方面进行讲解：数据存储安全、数据传输安全、数据使用安全以及数据管理安全。以数据为出发点学生更加容易理解，也更容易联想到实际应用场景。其次对密码学实验进行创新。考虑到实际场景往往不要求掌握具体密码算法，更加重视密码算法的应用及注意事项，对密码学实验按照图1所示进行划分。以数据安全为核心的实验体系与以算法实现为核心的实验体系相比更加符合实际应用。

数据存储安全实验分为常用文档密码（口令）破解实验、常用系统及软件密码（口令）破解实验、云环境下数据存储安全实验以及本地数据存储安全实验。常用文档密码破解实验是密码学实验中的第一个实验。我们引入office文档破解、压缩文件破解以及win7操作系统开机密码破解。实际上密码破解实验并非理论意义上的密码学，但是以这样的方式可以让学生对密码学更加感兴趣，学生会觉得这样的实验在现实生活中确实是实用的。从而进一步提升了学生对其他密码学实验的好奇，激发学生的学习动力。云环境下存储数据是目前常用的数据存储方式。然而云平台下存储数据也存在数据泄露、数据丢失等问题。基于此设计云环境下的数据存储安全实验，如利用密码学中的Hash函数等方式实现数据的完整性等安全属性，实现云数据存储安全。整个存储安全的原则是重点讲解不同的场景使用什么样的算法，使用什么样的密钥，通过什么样的方式实现安全存储。

数据传输安全实验分为：Http及Https实验、Ftp实验以及密钥协商实验。数据传输安全实验重点引入实际数据传输协议，在实际网络通信环境下通过wireshark等数据包分析工具对网络传输数据进行抓取分析，使学生切实感受到什么样的场景需要数据传输安全以及怎样保证数据传输安全。以Http传输协议为例，抓取某些网站用户传输的登录账号和口令，学生会发现其中的账号和密码均以明文形式存在。这样使学生切实体会到网络安全协议在数据传输中的重要性，从而进一步导出Https协议。在Https协议中数据在传输过程中则会保持机密性、完整性以及可认证性。数据传输安全实验的总体目的是让学生掌握哪些网络环境传输数据是安全的，哪些网络协议能保证传输安全。

数据使用安全实验分为：数据完整性篡改检测实验、多场景、多因素、多安全等级身份认证实验、电子商务数据安全模拟实验以及邮件、票据的抗否认实验。数据的安全使用涉及到完整性、认证性以及不可否认性。基于此，在实际场景中引入这三种安全属性。数据完整性实验，主要以Hash函数和消息认证码（Message Authentication Code， MAC）实验为主。在实际场景中利用Hash函数保护本地文档的完整性。针对Hash函数只提供弱完整性保护的缺点，继续深入实现第二个完整性保护实验，即带密钥的Hash函数也就是利用MAC的形式保证数据完整性。数据认证方面，随着验证方式的日益增多，出现了基于智能卡和生物特征的多因素认证。基于此，设计多场景认证实验，多角度让学生了解数据及身份的认证性。不可否认实验中同大多数安全实验类似，采用数字签名来实现该性质。不同的是不再侧重编程实现，而是以利用为主。具体而言，通过各种编程语言调用相应的密码库，对数据进行签名，对软件进行签名。让学生真正体会到现实当中是如何使用数字签名。

数据管理安全实验分为：数据安全等级划分及保护实验、密钥管理实验以及证书管理实验。密码学在实际使用过程中更多的是在于密码的管理能力。现实中很多安全问题出现在密码管理上的漏洞，如密钥存储、密钥选取、密钥处理以及数字证书管理。密钥的管理主要分为主密钥（长期密钥）的管理以及分级密钥的管理。例如主密钥如何产生，主密钥存储，主密钥如何吊销等。而分级密钥如每次会话往往都是由主密钥产生。那么分级密钥的管理方式就跟主密鑰有很大不同。学生往往掌握了密钥的多种形式，但是具体如何操作，什么样的环境使用那些密钥，密钥丢失时如何处理则不是很清楚。基于此设计密钥管理实验，将实际通信过程中的密钥产生、存储、使用、恢复以及吊销等过程都呈现给学生，让学生清晰的了解到密钥的整个生命周期，避免实际使用过程中出现错误。另一方面，数字证书是未来信息安全的重要媒介，无论是公钥加密还是数字签名都离不开数字证书。然而以往的数字证书的讲解中，重点讲授的是数字证书的功能。但是对于实际中如何使用数字证书则较少提及，甚至有的学生在学完数字证书之后还不知道数字证书的格式。在实验部分加入现实数字证书的使用，避免了学生仅知道数字证书的原理但是不会使用数字证书的弊端。以此为出发点进一步提升信息安全人才在密码管理中的能力，从而解决实际问题。

2. 密码综合素质提升——引竞赛，重模拟。表1列出了密码综合素质提升的模块设置。从表中可以看出密码综合素质的提升更加注重实际中密码使用的问题以及实际场景的模拟。

目前虽然有很多密码相关竞赛，但大都以书本知识为主。对于信息安全人才的综合素质提升也多以CTF（Capture The Flag）竞赛为主。这样的方式确实可以提升安全人才对于实际应用中的安全问题的解决能力。然而现有的CTF竞赛也多以web安全为主，缺少实用型密码安全题目。尝试引入实际机要部门各种竞赛题目以及大型企业招聘密码相关题目，以实用密码知识问答等形式提升学生密码实际使用能力。如机要保密工作人员职责，选人用人原则；机要文件保密原则，机要文件等级划分；机要文件查阅等级原则，文件销毁原则等。这样的方式更加符合社会对于密码人才的要求[7，8]。

设置角色，模拟实际场景制定密码安全策略，提升实际应用能力。密码学对于大多数学生来说都觉得较难理解，枯燥。根本原因在于学生被动的接触知识，没有参与感。基于此，提出基于模拟场景的密码学教学。将学生分组，每组分配不同的角色，如某组是电力行业的安全人员，该组如何通过密码方式保护电力数据及信息安全。学生需要制定相关安全策略并部署相关安全机制后由其他组对该组进行攻击。攻击以实际情况出发，不限定方法，可以为技术攻击也可以为社会工程学等攻击。同时可以结合多种网络安全和密码学知识，从综合的角度去挖掘密码系统的问题[9，10]。这样在模拟的实际场景中，既可以激发学生的学习乐趣，又可让学生从中体会到密码学的重要性并学会如何处理实际问题。

三、结束语

密码学是信息安全中的基础模块，支撑整个信息安全的体系，密码技术应用的好坏直接关系到信息安全的好坏。对于应用型信息安全人才更为重要的是培养学生实际应用能力。对密码学课程的创新探索有利于应用型信息安全人才的培养，从而解决信息安全人才能力与社会需求之间不匹配的矛盾。

参考文献：

[1]王鹤鸣.从信息化发展历程看密码学发展——专访西安电子科技大学通信工程学院王育民教授[J].信息安全与通信保密，2011，12： 13-15.

[2]侍伟敏，等.信息安全专业密码学课程体系的建设[J].计算机教育，2018，3：124-127.

[3]邓先春，吴蓓.高职院校计算机信息安全类专业实训教学开展情况调研[J].软件导刊教育技术，2016，15（8）：49-52.

[4]郑彦斌，周星辰.密码学课程的教学探索[J].大众科技，2017，19（210）：88-89.

[5]邱婧，王世君，段鑫磊.信息安全专业PKI原理与技术课程建设探索[J].工业和信息化教育，2017，4：52-55.

[6]杨小东，麻婷春.信息安全专业人才培养模式的研究[J].教育教学论坛，2018，8：110-111.

[7]林玉香.网络安全法下信息安全专业课程群建设初探[J].福建电脑，2017，33（7）：152-152.

[8]崔艳荣.面向应用型人才培养的《密码学》教学探讨[J].长江大学学报（自然科学版），2012，9（05）：173-175.

[9]谢绒娜，等.密码学课程实践教学体系探索[A].中国通信学会.第九届中国通信学会学术年会论文集[C].2013：472-475.

[10]王志伟.密码学实践教学中培养学生创新能力研究[J].信息与电脑（理论版），2016（07）：221-222.