信息安全專業建設的

思考與實踐陳克非、邱衛東上海交通大學計算機系上海交通大學信息安全工程學院Kfchen@信息安全現狀信息技術是二十世紀發展最為迅速的領域計算機日益普及，網絡化改變了工作和生活方式隨之而來安全性問題日益凸現媒體眼中的計算機、資訊安全網銀777萬巨款遭竊,xx銀行難逃其責黑客利用google挖掘個人隱私，xx部網站備案系統存在隱私外泄問題IE7出新漏洞XP及2003可被遠程劫持Firefox出新漏洞，RealPlayer現漏洞病毒泛濫……網友炫耀病毒制造過程熊貓燒香……我們眼中的計算機、資訊安全問題成堆，四面楚歌面對挑戰，全力抵御采用密碼技術保護、修補安全協議(IPSec,SSL,…)查殺病毒、防火墻、入侵檢測、漏洞發現、安全審計、…困擾：缺少對“安全”的認知，缺少專業技術人才媒體描繪的Cyberspace媒體描繪的Cyberspace信息安全國家戰略我國對信息安全歷來非常重視，并隨著信息戰概念的升級，逐漸加快了信息安全的建設步伐863設立信息安全專項/主題自然科學基金設立網絡與信息安全重大研究計劃信息安全產品內容政府采購，網絡信息系統建設經費的15%用于安全……《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發[2003]27號）在中共中央關于制定十一五規劃的建議中提出“健全信息安全保障體系”信息安全人才教育培養早期的專業（密碼）人才培養，主要集中在軍隊院校以及政府機要部門1980年代，以西北電訊工程學院為代表的院校開始大規模的人才（研究生）培養2001年經教育部批準，武漢大學創建了第一個信息安全本科專業2002年批準了上海交通大學等18個信息安全本科專業目前已有70多所大學開辦了信息安全本科專業目前，上海交通大學每年招收信息安全專業本科生超過120人隨之而來的問題，國內各個學校的專業背景、師資力量、辦學條件各不相同，如何保證信息安全人才培養的質量，同時又不失各自的特色？許多高校、出版社組織參與制定課程體系、編寫規范教材2005年教育部發文“進一步加強信息安全學科、專業建設和人才培養”（教高[2005]7號）2007年成立信息安全專業教學指導委員會注：我們這里討論的專業建設只限于學歷教育。大學本科培養目標根據我國目前的現狀，大學一般被劃分為研究型大學教學研究型大學教學型大學每一類大學由于條件不同，在同一專業上也有很大差異，一般都帶有鮮明的特色。例如依托計算機系、電子工程系、或數學系，等等各類大學對培養學生的期望（科學家、工程師、技術員、技工、或者其他的？）研究型大學會把培養學生的目標定為，有潛力在本專業前沿進行開創性工作的高端人才其他大學的學生培養目標可能定為，有較好專業背景的實用技術人員還有一些學校的培養目標不甚明確，或許只是接受相關課程教育？信息安全人才培養目標“適應……需要，在……全面發展，具有扎實的數理基礎，較好的外語和計算機應用能力，掌握信息安全的基本理論與技術，計算機與網絡通信以及信息安全法律法規，能夠應用……解決……，具有……素質、創新、實踐能力。”一般認為，社會的需求包括：研究型或學術型信息安全專業人才應用型信息安全專業人才技術型或職業型信息安全專業人才復合型信息安全專業人才需要注意的是，在面對科學技術飛速發展的今天，社會對專業“人才”的要求也越來越高基礎扎實、自我知識更新、適應面寬、較大的提升空間、綜合能力強、團隊合作、……面對新的形勢，許多學校提出寬口徑的培養目標，以大學科為平臺的培養學生模式我們目前是信息安全專業培養方式能否達到這個要求？？？高校專業課程設置目前的大學本科教學安排（以上海交通大學為例），在197總學分中公共基礎課（人文、社科、經管、自然科學、外語、體育），53%學科基礎課，35%專業前沿課，12%任何專業，能夠有所作為的課程大概不足93學分其中的69學分為學科基礎，剩下24學分與專業相關。作為交叉學科（數學、計算機、電子通信）的信息安全，其學科基礎遠遠不是其他傳統學科可以比擬的還有多少時間、精力花在專業前沿上？信息安全實例：緩沖區溢出緩沖區溢出緩沖區是內存中的一個連續塊，程序運行時在內存中臨時存放數據的地方當程序試圖存放的數據塊大小超過了程序事先申請到的內存緩沖區大小時就會發生緩沖區溢出緩沖區溢出攻擊如果溢出的數據塊恰好覆蓋與緩沖區相鄰的子程序或函數返回地址,而覆蓋這一地址的又恰好是一個程序的入口那么這一程序將自動運行攻擊者借此精心構造填充數據，讓程序轉而執行特殊的代碼，最終獲得系統的控制權或取得其他非法權益緩沖區溢出是最重要的安全漏洞2006年的10大軟件漏洞中7個屬于緩沖區漏洞；50%以上的系統攻擊是由緩沖區溢出攻擊引起的。相關的技術基礎編程理論與技術、編譯、匯編、操作系統、計算機組成、網絡協議、虛擬機、密碼技術、……一個優秀的安全專家，首先應該是對計算機、通信技術非常精通的計算機專家，同時需要熟悉安全技術（攻/防），有比較豐富的實踐經驗解決方案：不得已而為之拓寬學科專業面增加課程的門類數，但壓縮每門課的時數，精簡內容保證一定量的專業方向課程夯實專業基礎保證重要基礎課程，打好學科專業基礎適當減少專業方向課程的時數即保證學科面寬，又要求基礎扎實，還要專業特色鮮明老師的聲音：難學生的聲音：累其他更好的途經？選準定位，不求全面（如：僅計算機安全為特色）還有別的道路？謝謝觀看/歡迎下載BYFAITHIMEANAVISIONOFGOODONECHERISHESANDTHEENTHUSIASMTHATPUSHESONETOSEEKITSFULFILLMENTREGARDLESSOFOBSTACLES.BYFAITHIBYFAITH內容總結信息安全專業建設的

思考與實踐。Kfchen@。Firefox出新漏洞，RealPlayer現漏洞。采用密碼技術保護、修補安全協議(IPSec,SSL,。1980年代，以西北電訊工程學院為代表的院校開始大規模的人才（研究生）培養。許多高校、出版社組織參與制定課程體系、編寫規范教材。每一類大學由于條件不同，在同一專業上也有很大差異，一般都帶有鮮明的特色。例如依托計算機系、電子工程系、或數學系，等等。研究型大學會把培養學生的目標定為，有潛力在本專業前沿進行開創性工作的高端人才。其他大學的學生培養