《信息安全概论》课程大纲

《信息安全概论》教学大纲

一、课程基本信息

1.课程名称：信息安全概论（Introduction to Information Security）

2.课程管理：信息科学学院

3.教学对象：计算机科学与技术专业

4.教学时数：总时数36学时，其中理论教学36学时，实验实训0学时。

5.课程学分：2

6.课程性质：专业必修

7.课程衔接：

（1）先修课程一：计算机网络技术

重要知识点：计算机组成原理，TCP/IP协议，路由和交换设备,网络编程技术，计算机网络操作系统

（2）先修课程二：软件工程

重要知识点：网络编程，面向对象程序设计与开发，数据库技术（3）后续课程：

1）网络安全技术

涉及本课程的知识点：信息安全技术理论，信息系统安全设计原理。

二、课程简介

《信息安全概论》课程是学生在学习网络安全技术课程的前置课程，本课程着力使学生理解信息完全保障方法和技术之间的相互关系,进而使学生掌握信息安全策略的制定与实现手段的关系,为学生后续学习信息防御系统的工程和风险管理决策提供了理论基础。

信息安全是一个快速发展的领域，政府和企业对专业人员的需求量巨大。信息安全也是一个在过去十年中从基于理论的学科转变为基于经验的学科的领域。针对信息安全领域的快速发展，本课程采用的案例教学的方法并启发诱导学生将理论与实践相结合，从身边学起，由浅入深，融会贯通。

有鉴于此，本课程将围绕以下三方面内容开展教学：

1)讲解信息安全领域的方法和技术原理。

2)讲解信息安全策略的制定依据和技术实现手段，防御的逻辑、层级、费效比。

3)讲解新兴信息安全实践标准、技术和案例。

三、教学内容及要求

第一讲：课程导论

（一）教学目标

通过介绍课程内容、课程地位和作用、课程教学体系，使学生掌握课程内容，了解数字信息安全领域涉及的诸多知识要点，以及学习信息安全理论与技术的方法等。

（二）教学内容及要求

第一节课程的基本信息和简介

要点：课程的简介，课程的地位，信息安全的概念，技术发展的特点；

第二节课程的教学体系

要点：课程的学习内容和教学安排。

（三）教学重点与难点

本节重点：信息安全的宏观概念和微观概念，广义安全与狭义安全的关联与区别。

本节难点：广义安全与狭义安全的联系与区别，抽象与具象的关系。

（四）教学方法与手段

课堂讲授。

（五）教学时数 2 学时。

第二讲：信息安全需求调研

（一）教学目标

通过本节课的学习，力求使学生理解：

1）信息安全保障到底是技术问题还是管理问题；

2）组织可能面临的信息安全威胁；

3）信息安全需求调研的目的和方法。

（二）教学内容

本节课，教师带领学生研究信息安全分析设计过程背后的业务驱动因素。通过检查某个特定组织和技术安全需求，提出了一个原则概念是信息安全主要是管理问题还是技术问题？换个问题是：信息安全领域的最佳实践是不是及仅在考虑业务需求后应用安全技术就可以了呢？

本节课还将研究一个组织可能面临的各种网络安全威胁，并介绍该组织在开始安全规划过程时可以使用的威胁排序方法（以便为其分配相对优先级）。本节课还研究这些安全威胁可能导致的攻击类型，以及这些攻击是如何影响组织的信息系统。

本节课将讨论信息安全的关键原则，如：机密性，完整性，可用性，认证和识别，授权，问责制和隐私，并在讨论的基础上总结出信息安全保障的概念和原则，进行安全需求调研的目的和方法。

教学要求：通过这一讲的教学，要求学生掌握

1）信息安全保障工作中的“人防”和“技防”的关系；

2）组织可能面临的信息安全威胁有哪些；

3）信息安全需求调研的目的和方法是如何制定的。

（三）教学重点与难点

本节重点：信息安全的定义，攻击类型和风险。

本节难点：广义与侠义信息安全的关系。

（四）教学方法与手段

演示、课堂讲授、提问研讨、课堂练习、作业点评。

（五）教学时数2学时

第三讲：信息安全领域的法律和道德问题

（一）教学目标

本节课通过向学生讲解信息安全领域的基本法律知识和道德问题，帮助学生获得甄别互联网违法和不道德内容和行为的能力，在设计和管理信息系统时，法律和道德问题同样是重要的考量内容之一，学生应当掌握合理的尺度并具有向权威专业机构获得建议和援助的渠道和能力。

（二）教学内容

法律和道德问题是信息安全领域的敏感和重要的问题，学生应当掌握相关的法律底线和道德标准，这是设计信息安全方案、管理信息系统和采用信息安全技术手段的基本考量点。

这一堂课将着重探讨信息安全领域的几个关键法律，并详细介绍了实施者的计算机伦理安全和道德操守。同时，也需要向学生讲解当今互联网常见的一些法律和道德问题以及促进道德和法律责任的专业权威组织。

教学要求：通过这一堂课的教学，要求学生

1.掌握信息安全相关法律知识和道德层面的焦点；

2.设计和管理信息系统时的法律和道德考量；

3.互联网立法和执法机构以及获得专业建议的渠道。

（三）教学重点与难点

本节重点：信息安全法律和道德问题。

本节难点：区分法律和道德的界限。

（四）教学方法与手段

课堂讲授、案例教学、提问研讨、课堂练习、作业点评。

（五）教学时数2学时

第四讲：信息安全风险防控

（一）教学目标

本节课通过讲解信息安全风险防控方案的制定过程，使学生掌握信息安全风险防控方案的制定步骤，及其包含的策略、方法和技术手段等内容。此外，学生还将掌握信息安全风险分析和趋势研判的方法。

（二）教学内容

调研某一信息化组织的当前状态及其与信息安全的关系是设计信息安全解决方案的前期准备工作。本节课将讲解通过描述进行基础信息安全评估进而确定安全威胁和信息化资产保全的方案，并讲解确定信息安全保障优先级的程序，以及采用哪些控制措施以保护这些信息化资产免受威胁的程序。本节课还将介绍各种类型的风险控制机制并确定执行步骤，以及风险管理在操作层面可被定义为识别，评估和降低风险至可接受水平的三个过程，并采取有效的控制措施以维持该风险水平。本节课最后将讨论风险分析和各种可行性分析的方法。

教学要求：通过这一节的教学，要求学生：

1.掌握信息安全风险防控方案的内容和制定步骤；

2.熟知执行风险防控方案的过程；

3.理解信息安全风险的分析方法；

4.了解信息化资产的定义和范畴，信息安全风险防控的保护对象。