关于《信息安全概论》教材建设的两点思考

关于《信息安全概论》教材建设的两点思考
1 《概论》教学中存在的主要问题
我国开设信息安全本科专业的高校有的是依托应用数学，有的是依托计算机科学与技术、通信工程、还有些则是基于电子学等专业背景来发展信息安全专业。

由于植根背景的差异，这些学校所开设的信息安全课程各具特色，内容侧重点也有差异。

如依托应用数学发展的信息安全专业，通常多侧重于密码学理论与应用；而依托计算机科学与技术或计算机应用专业的，则多侧重于网络安全等。

这决定了这些学校的《概论》教学从教材的选择与编写到课堂的授课内容与授课方式等均有较大差别。

通过对当前发行量较大的几种《概论》教材内容体系的分析和对部分高校信息安全专业培养方案的调研，我们认为当前《概论》教学中存在两个突出问题。

1.1 教学缺乏针对性
在各高校的教学实践中，除了信息安全专业，还有其他一些专业也开设了《概论》课程。

目前普遍存在的一个问题是这些来自不同专业的教学班次选用的是相同或类似的教材。

这样就很难在教学中根据不同专业学生预修课程以及他们对信息安全知识需求不尽相同等特点，有针对性地实施教学。

由此导致的问题分析如下：
●对于信息安全专业的学生，现有的《概论》课程内容与其他专业课的内容有大量重复。

以密码学这个知识模块为例，由于密码学在信息安全领域的基础作用，各校在开设信息安全课程时，通常都把密码学作为先修课程。

《概论》课程则通常开设于密码学课程之后、网络安全等其他信息安全专业课之前。

因此，如果在信息安全专业的本科学生中开设这门课，会出现密码学部分内容同之前修的密码学课程重复，防火墙、入侵检测等内容同后续的网络安全等专业课内容重复等问题。

由于课程性质和学时的限制，《概论》对这些内容的介绍必然不如专门的密码学和网络安全课程那么深入和细致。

因此我们认为，现有《概论》教材的内容体系是否适合信息安全本科专业的教学需要是值得商榷的。

●对于电子学、信息技术、计算机应用等非信息安全专业，它们虽然没有明确系统的信息安全培养目标，但实际情况是这些专业的绝大多数毕业生将进入与信息安全息息相关的IT行业，因此这些专业有开设信息安全课程的现实需求。

《概论》课程以导论的形式对信息安全学科中的主要领域进行了全面而适度的介绍，有助于这些专业的学生在较短时间内获得对信息安全基础理论和基本技术的概貌认识。

但是现有《概论》教材中的大部分内容，如果没有预修过信息安全数学基础、计算机网络等课程是很难透彻理解的。

不幸的是，许多非信息安全专业恰恰没有同时开设这些课程，而现有的《概论》教材都没有提供这些必需的预备知识，在内容体系上没有做到自我包容，因此用它们给这些学生授课可能效果不佳。

1.2 课程内容失衡
目前各编者在编写《概论》教材时，对该课程的定位基本上都是对整个信息安全学科所涉及的主要技术、管理方法与标准的导论或概要进行介绍，因此在教材编写过程中编者都尽己所能地把主要的信息安全技术与标准规范编入教材。

由于信息安全学科的内容体系庞杂，涉及的知识面极广，编著者很难熟悉信息安全学科的所有研究方向，从而导致了现有《概论》教材在内容编排上普遍存在失衡的现象，主要体现在：
●在信息安全学科中，密码学因为已经形成了相对比较完整、系统的理论体系，因此在《概论》中占据的篇幅最大。

迄今，在我们所见的所有《概论》教材中，密码学都占了1/3以上的篇幅。

相应地，在《概论》教学过程中，密码学部分占用的课时最多。

我们认为，这样的教学安排是否合理，对不同的教学对象该怎样区分对待是《概论》课程教学实施过程中需要认真考虑的问题。

●编著者倾向于把自己最擅长或最熟悉的技术作为所编《概论》的重点，前面提到的密码学内容编排也能体现这一点。

另外一个能够说明这一点的是网络安全部分的编写，防火墙、入侵检测、计算机病毒防范等几乎成了网络安全的全部，缺乏对其他网络安全主题，特别是近年来发展迅速的新技术新概念的介绍。

●个别主题的内容取材和写作也有值得商榷的地方。

如在介绍信息安全标准时，几乎所有的《信息安全概论》教材都选择了摘抄和罗列标准条款。

而这些内容对那些初涉信息安全以及许多非信息安全专业的学生而言是相当晦涩的。

我们认为，对于信息安全学科中这些比较艰涩的内容，教科书应该把重点放在其导读和解析方面。

2 《概论》教学目标探讨
《概论》的教学目标应该为实现信息安全教育的整体目标服务。

我们通过调研发现，各高校中非信息安全专业的信息安全教育目标主要还是通过开设《概论》课程来实现的。

这就存在一个问题，对不同教学对象应该设定什么样的教学目标，即信息安全专业的《概论》教学目标应该怎么定？计算机科学与技术等信息技术专业的《概论》教学目标该怎么定？其他非信息安全专业的《概论》教学目标该怎么定？
信息安全本科专业学生将来大多数将成为信息安全从业人员，因此要立足把他们培养成信息安全技术的研发与服务人才。

对这部分学生的要求是系统地掌握信息安全学科的基本理论、基本技术、和研究方法。

当前国内的信息安全专业教材体系过于偏重信息安全具体技术，尤其是传统信息安全技术的传授，如防火墙、入侵检测、病毒防范等。

缺乏对安全体系结构、安全策略和安全模型等基础理论的系统化教育以及对信息安全学科最新发展趋势的介绍。

我们以为，信息安全本科专业的《概论》课程应对这方面内容有所侧重。

非信息安全的信息技术专业学生，他们中的大多数人极可能成为政府、基础信息网络、重要信息系统、企事业单位信息系统的开发者或使用者，他们是本系统业务的直接参与者。

他们虽然不从事信息安全的专门工作，但却是保证各个行业信息系统健康运行的基础力量，因此在工作中必然会遇到与信息安全相关的问题并需要加以解决。

这部分学生的信息安全教育目标应该确定为培养信息安全技术应用人才。

我们以为，针对这部分学生的《概论》课程目标应与信息安全专业学生有所区别，应侧重于对主流信息安全技术的全面介绍，扩大他们的知识面，为将来进一步查阅或学习信息安全相关知识奠定基础。

非信息安全专业中的其他学生，特别是一些非理工科专业的选修生，也可能是《概论》的教学对象。

随着宽带上网和各种信息化的消费电子产品的普及，普通民众的个人隐私、财务数据等重要信息所受到的机密性和完整性威胁日益严重。

对这部分学生的《概论》教学目标应定位为信息安全意识的培养和常用信息安全技术的普及，使他们初步具备在信息网络空间中的信息防卫能力。