易諾電子信證系統(tǒng)

信息安全專業(yè)建設的

思考與實踐陳克非、邱衛(wèi)東上海交通大學計算機系上海交通大學信息安全工程學院Kfchen@信息安全現(xiàn)狀信息技術是二十世紀發(fā)展最為迅速的領域計算機日益普及，網(wǎng)絡化改變了工作和生活方式隨之而來安全性問題日益凸現(xiàn)媒體眼中的計算機、資訊安全網(wǎng)銀777萬巨款遭竊,xx銀行難逃其責黑客利用google挖掘個人隱私，xx部網(wǎng)站備案系統(tǒng)存在隱私外泄問題IE7出新漏洞XP及2003可被遠程劫持Firefox出新漏洞，RealPlayer現(xiàn)漏洞病毒泛濫……網(wǎng)友炫耀病毒制造過程熊貓燒香……我們眼中的計算機、資訊安全問題成堆，四面楚歌面對挑戰(zhàn)，全力抵御采用密碼技術保護、修補安全協(xié)議(IPSec,SSL,…)查殺病毒、防火墻、入侵檢測、漏洞發(fā)現(xiàn)、安全審計、…困擾：缺少對“安全”的認知，缺少專業(yè)技術人才媒體描繪的Cyberspace媒體描繪的Cyberspace信息安全國家戰(zhàn)略我國對信息安全歷來非常重視，并隨著信息戰(zhàn)概念的升級，逐漸加快了信息安全的建設步伐863設立信息安全專項/主題自然科學基金設立網(wǎng)絡與信息安全重大研究計劃信息安全產(chǎn)品內(nèi)容政府采購，網(wǎng)絡信息系統(tǒng)建設經(jīng)費的15%用于安全……《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）在中共中央關于制定十一五規(guī)劃的建議中提出“健全信息安全保障體系”信息安全人才教育培養(yǎng)早期的專業(yè)（密碼）人才培養(yǎng)，主要集中在軍隊院校以及政府機要部門1980年代，以西北電訊工程學院為代表的院校開始大規(guī)模的人才（研究生）培養(yǎng)2001年經(jīng)教育部批準，武漢大學創(chuàng)建了第一個信息安全本科專業(yè)2002年批準了上海交通大學等18個信息安全本科專業(yè)目前已有70多所大學開辦了信息安全本科專業(yè)目前，上海交通大學每年招收信息安全專業(yè)本科生超過120人隨之而來的問題，國內(nèi)各個學校的專業(yè)背景、師資力量、辦學條件各不相同，如何保證信息安全人才培養(yǎng)的質(zhì)量，同時又不失各自的特色？許多高校、出版社組織參與制定課程體系、編寫規(guī)范教材2005年教育部發(fā)文“進一步加強信息安全學科、專業(yè)建設和人才培養(yǎng)”（教高[2005]7號）2007年成立信息安全專業(yè)教學指導委員會注：我們這里討論的專業(yè)建設只限于學歷教育。大學本科培養(yǎng)目標根據(jù)我國目前的現(xiàn)狀，大學一般被劃分為研究型大學教學研究型大學教學型大學每一類大學由于條件不同，在同一專業(yè)上也有很大差異，一般都帶有鮮明的特色。例如依托計算機系、電子工程系、或數(shù)學系，等等各類大學對培養(yǎng)學生的期望（科學家、工程師、技術員、技工、或者其他的？）研究型大學會把培養(yǎng)學生的目標定為，有潛力在本專業(yè)前沿進行開創(chuàng)性工作的高端人才其他大學的學生培養(yǎng)目標可能定為，有較好專業(yè)背景的實用技術人員還有一些學校的培養(yǎng)目標不甚明確，或許只是接受相關課程教育？信息安全人才培養(yǎng)目標“適應……需要，在……全面發(fā)展，具有扎實的數(shù)理基礎，較好的外語和計算機應用能力，掌握信息安全的基本理論與技術，計算機與網(wǎng)絡通信以及信息安全法律法規(guī)，能夠應用……解決……，具有……素質(zhì)、創(chuàng)新、實踐能力?！币话阏J為，社會的需求包括：研究型或?qū)W術型信息安全專業(yè)人才應用型信息安全專業(yè)人才技術型或職業(yè)型信息安全專業(yè)人才復合型信息安全專業(yè)人才需要注意的是，在面對科學技術飛速發(fā)展的今天，社會對專業(yè)“人才”的要求也越來越高基礎扎實、自我知識更新、適應面寬、較大的提升空間、綜合能力強、團隊合作、……面對新的形勢，許多學校提出寬口徑的培養(yǎng)目標，以大學科為平臺的培養(yǎng)學生模式我們目前是信息安全專業(yè)培養(yǎng)方式能否達到這個要求？？？高校專業(yè)課程設置目前的大學本科教學安排（以上海交通大學為例），在197總學分中公共基礎課（人文、社科、經(jīng)管、自然科學、外語、體育），53%學科基礎課，35%專業(yè)前沿課，12%任何專業(yè)，能夠有所作為的課程大概不足93學分其中的69學分為學科基礎，剩下24學分與專業(yè)相關。作為交叉學科（數(shù)學、計算機、電子通信）的信息安全，其學科基礎遠遠不是其他傳統(tǒng)學科可以比擬的還有多少時間、精力花在專業(yè)前沿上？信息安全實例：緩沖區(qū)溢出緩沖區(qū)溢出緩沖區(qū)是內(nèi)存中的一個連續(xù)塊，程序運行時在內(nèi)存中臨時存放數(shù)據(jù)的地方當程序試圖存放的數(shù)據(jù)塊大小超過了程序事先申請到的內(nèi)存緩沖區(qū)大小時就會發(fā)生緩沖區(qū)溢出緩沖區(qū)溢出攻擊如果溢出的數(shù)據(jù)塊恰好覆蓋與緩沖區(qū)相鄰的子程序或函數(shù)返回地址,而覆蓋這一地址的又恰好是一個程序的入口那么這一程序?qū)⒆詣舆\行攻擊者借此精心構造填充數(shù)據(jù)，讓程序轉(zhuǎn)而執(zhí)行特殊的代碼，最終獲得系統(tǒng)的控制權或取得其他非法權益緩沖區(qū)溢出是最重要的安全漏洞2006年的10大軟件漏洞中7個屬于緩沖區(qū)漏洞；50%以上的系統(tǒng)攻擊是由緩沖區(qū)溢出攻擊引起的。相關的技術基礎編程理論與技術、編譯、匯編、操作系統(tǒng)、計算機組成、網(wǎng)絡協(xié)議、虛擬機、密碼技術、……一個優(yōu)秀的安全專家，首先應該是對計算機、通信技術非常精通的計算機專家，同時需要熟悉安全技術（攻/防），有比較豐富的實踐經(jīng)驗解決方案：不得已而為之拓寬學科專業(yè)面增加課程的門類數(shù)，但壓縮每門課的時數(shù)，精簡內(nèi)容保證一定量的專業(yè)方向課程夯實專業(yè)基礎保證重要基礎課程，打好學科專業(yè)基礎適當減少專業(yè)方向課程的時數(shù)即保證學科面寬，又要求基礎扎實，還要專業(yè)特色鮮明老師的聲音：難學生的聲音：累其他更好的途經(jīng)？選準定位，不求全面（如：僅計算機安全為特色）還有別的道路？謝謝觀看/歡迎下載BYFAITHIMEANAVISIONOFGOODONECHERISHESANDTHEENTHUSIASMTHATPUSHESONETOSEEKITSFULFILLMENTREGARDLESSOFOBSTACLES.BYFAITHIBYFAITH內(nèi)容總結信息安全專業(yè)建設的

思考與實踐。Kfchen@。Firefox出新漏洞，RealPlayer現(xiàn)漏洞。采用密碼技術保護、修補安全協(xié)議(IPSec,SSL,。1980年代，以西北電訊工程學院為代表的院校開始大規(guī)模的人才（研究生）培養(yǎng)。許多高校、出版社組織參與制定課程體系、編寫規(guī)范教材。每一類大學由于條件不同，在同一專業(yè)上也有很大差異，一般都帶有鮮明的特色。例如依托計算機系、電子工程系、或數(shù)學系，等等。研究型大學會把培養(yǎng)學生的目標定為，有潛力在本專業(yè)前沿進行開創(chuàng)性工作的高端人才。其他大學的學生培養(yǎng)