易诺电子信证系统

信息安全专业建设的

思考与实践陈克非、邱卫东上海交通大学计算机系上海交通大学信息安全工程学院第一页，共十一页。信息安全现状信息技术是二十世纪发展最为迅速的领域计算机日益普及，网络化改变了工作和生活方式随之而来安全性问题日益凸现媒体眼中的计算机、资讯安全网银777万巨款遭窃,xx银行难逃其责黑客利用google挖掘个人隐私，xx部网站备案系统存在隐私外泄问题IE7出新漏洞XP及2003可被远程劫持Firefox出新漏洞，RealPlayer现漏洞病毒泛滥……网友炫耀病毒制造过程熊猫烧香……我们眼中的计算机、资讯安全问题成堆，四面楚歌面对挑战，全力抵御采用密码技术保护、修补安全协议(IPSec,SSL,…)查杀病毒、防火墙、入侵检测、漏洞发现、安全审计、…困扰：缺少对“安全”的认知，缺少专业技术人才第二页，共十一页。媒体描绘的Cyberspace媒体描绘的Cyberspace第三页，共十一页。信息安全国家战略我国对信息安全历来非常重视，并随着信息战概念的升级，逐渐加快了信息安全的建设步伐863设立信息安全专项/主题自然科学基金设立网络与信息安全重大研究计划信息安全产品内容政府采购，网络信息系统建设经费的15%用于安全……《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）在中共中央关于制定十一五规划的建议中提出“健全信息安全保障体系”第四页，共十一页。信息安全人才教育培养早期的专业（密码）人才培养，主要集中在军队院校以及政府机要部门1980年代，以西北电讯工程学院为代表的院校开始大规模的人才（研究生）培养2001年经教育部批准，武汉大学创建了第一个信息安全本科专业2002年批准了上海交通大学等18个信息安全本科专业目前已有70多所大学开办了信息安全本科专业目前，上海交通大学每年招收信息安全专业本科生超过120人随之而来的问题，国内各个学校的专业背景、师资力量、办学条件各不相同，如何保证信息安全人才培养的质量，同时又不失各自的特色？许多高校、出版社组织参与制定课程体系、编写规范教材2005年教育部发文“进一步加强信息安全学科、专业建设和人才培养”（教高[2005]7号）2007年成立信息安全专业教学指导委员会注：我们这里讨论的专业建设只限于学历教育。第五页，共十一页。大学本科培养目标根据我国目前的现状，大学一般被划分为研究型大学教学研究型大学教学型大学每一类大学由于条件不同，在同一专业上也有很大差异，一般都带有鲜明的特色。例如依托计算机系、电子工程系、或数学系，等等各类大学对培养学生的期望（科学家、工程师、技术员、技工、或者其他的？）研究型大学会把培养学生的目标定为，有潜力在本专业前沿进行开创性工作的高端人才其他大学的学生培养目标可能定为，有较好专业背景的实用技术人员还有一些学校的培养目标不甚明确，或许只是接受相关课程教育？第六页，共十一页。信息安全人才培养目标“适应……需要，在……全面发展，具有扎实的数理基础，较好的外语和计算机应用能力，掌握信息安全的基本理论与技术，计算机与网络通信以及信息安全法律法规，能够应用……解决……，具有……素质、创新、实践能力。”一般认为，社会的需求包括：研究型或学术型信息安全专业人才应用型信息安全专业人才技术型或职业型信息安全专业人才复合型信息安全专业人才需要注意的是，在面对科学技术飞速发展的今天，社会对专业“人才”的要求也越来越高基础扎实、自我知识更新、适应面宽、较大的提升空间、综合能力强、团队合作、……面对新的形势，许多学校提出宽口径的培养目标，以大学科为平台的培养学生模式我们目前是信息安全专业培养方式能否达到这个要求？？？第七页，共十一页。高校专业课程设置目前的大学本科教学安排（以上海交通大学为例），在197总学分中公共基础课（人文、社科、经管、自然科学、外语、体育），53%学科基础课，35%专业前沿课，12%任何专业，能够有所作为的课程大概不足93学分其中的69学分为学科基础，剩下24学分与专业相关。作为交叉学科（数学、计算机、电子通信）的信息安全，其学科基础远远不是其他传统学科可以比拟的还有多少时间、精力花在专业前沿上？第八页，共十一页。信息安全实例：缓冲区溢出缓冲区溢出缓冲区是内存中的一个连续块，程序运行时在内存中临时存放数据的地方当程序试图存放的数据块大小超过了程序事先申请到的内存缓冲区大小时就会发生缓冲区溢出缓冲区溢出攻击如果溢出的数据块恰好覆盖与缓冲区相邻的子程序或函数返回地址,而覆盖这一地址的又恰好是一个程序的入口那么这一程序将自动运行攻击者借此精心构造填充数据，让程序转而执行特殊的代码，最终获得系统的控制权或取得其他非法权益缓冲区溢出是最重要的安全漏洞2006年的10大软件漏洞中7个属于缓冲区漏洞；50%以上的系统攻击是由缓冲区溢出攻击引起的。相关的技术基础编程理论与技术、编译、汇编、操作系统、计算机组成、网络协议、虚拟机、密码技术、……一个优秀的安全专家，首先应该是对计算机、通信技术非常精通的计算机专家，同时需要熟悉安全技术（攻/防），有比较丰富的实践经验第九页，共十一页。解决方案：不得已而为之拓宽学科专业面增加课程的门类数，但压缩每门课的时数，精简内容保证一定量的专业方向课程夯实专业基础保证重要基础课程，打好学科专业基础适当减少专业方向课程的时数即保证学科面宽，又要求基础扎实，还要专业特色鲜明老师的声音：难学生的声音：累其他更好的途经？选准定位，不求全面（如：仅计算机安全为特色）还有别的道路？第十页，共十一页。内容总结信息安全专业建设的

思考与实践。Firefox出新漏洞，RealPlayer现漏洞。采用密码技术保护、修补安全协议(IPSec,SSL,。1980年代，以西北电讯工程学院为代表的院校开始大规模的人才（研究生）培养。每一类大学由于条件不同，在同一专业上也有很大差异，一般都带有鲜明的特色。研究型大学会把培养学生的目标定为，有潜力在本专业前沿进行