易諾電子信證系統(tǒng)

信息安全專業(yè)建設(shè)的

思考與實(shí)踐陳克非、邱衛(wèi)東上海交通大學(xué)計(jì)算機(jī)系上海交通大學(xué)信息安全工程學(xué)院Kfchen@信息安全現(xiàn)狀信息技術(shù)是二十世紀(jì)發(fā)展最為迅速的領(lǐng)域計(jì)算機(jī)日益普及，網(wǎng)絡(luò)化改變了工作和生活方式隨之而來(lái)安全性問(wèn)題日益凸現(xiàn)媒體眼中的計(jì)算機(jī)、資訊安全網(wǎng)銀777萬(wàn)巨款遭竊,xx銀行難逃其責(zé)黑客利用google挖掘個(gè)人隱私，xx部網(wǎng)站備案系統(tǒng)存在隱私外泄問(wèn)題IE7出新漏洞XP及2003可被遠(yuǎn)程劫持Firefox出新漏洞，RealPlayer現(xiàn)漏洞病毒泛濫……網(wǎng)友炫耀病毒制造過(guò)程熊貓燒香……我們眼中的計(jì)算機(jī)、資訊安全問(wèn)題成堆，四面楚歌面對(duì)挑戰(zhàn)，全力抵御采用密碼技術(shù)保護(hù)、修補(bǔ)安全協(xié)議(IPSec,SSL,…)查殺病毒、防火墻、入侵檢測(cè)、漏洞發(fā)現(xiàn)、安全審計(jì)、…困擾：缺少對(duì)“安全”的認(rèn)知，缺少專業(yè)技術(shù)人才媒體描繪的Cyberspace媒體描繪的Cyberspace信息安全國(guó)家戰(zhàn)略我國(guó)對(duì)信息安全歷來(lái)非常重視，并隨著信息戰(zhàn)概念的升級(jí)，逐漸加快了信息安全的建設(shè)步伐863設(shè)立信息安全專項(xiàng)/主題自然科學(xué)基金設(shè)立網(wǎng)絡(luò)與信息安全重大研究計(jì)劃信息安全產(chǎn)品內(nèi)容政府采購(gòu)，網(wǎng)絡(luò)信息系統(tǒng)建設(shè)經(jīng)費(fèi)的15%用于安全……《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）在中共中央關(guān)于制定十一五規(guī)劃的建議中提出“健全信息安全保障體系”信息安全人才教育培養(yǎng)早期的專業(yè)（密碼）人才培養(yǎng)，主要集中在軍隊(duì)院校以及政府機(jī)要部門1980年代，以西北電訊工程學(xué)院為代表的院校開(kāi)始大規(guī)模的人才（研究生）培養(yǎng)2001年經(jīng)教育部批準(zhǔn)，武漢大學(xué)創(chuàng)建了第一個(gè)信息安全本科專業(yè)2002年批準(zhǔn)了上海交通大學(xué)等18個(gè)信息安全本科專業(yè)目前已有70多所大學(xué)開(kāi)辦了信息安全本科專業(yè)目前，上海交通大學(xué)每年招收信息安全專業(yè)本科生超過(guò)120人隨之而來(lái)的問(wèn)題，國(guó)內(nèi)各個(gè)學(xué)校的專業(yè)背景、師資力量、辦學(xué)條件各不相同，如何保證信息安全人才培養(yǎng)的質(zhì)量，同時(shí)又不失各自的特色？許多高校、出版社組織參與制定課程體系、編寫規(guī)范教材2005年教育部發(fā)文“進(jìn)一步加強(qiáng)信息安全學(xué)科、專業(yè)建設(shè)和人才培養(yǎng)”（教高[2005]7號(hào)）2007年成立信息安全專業(yè)教學(xué)指導(dǎo)委員會(huì)注：我們這里討論的專業(yè)建設(shè)只限于學(xué)歷教育。大學(xué)本科培養(yǎng)目標(biāo)根據(jù)我國(guó)目前的現(xiàn)狀，大學(xué)一般被劃分為研究型大學(xué)教學(xué)研究型大學(xué)教學(xué)型大學(xué)每一類大學(xué)由于條件不同，在同一專業(yè)上也有很大差異，一般都帶有鮮明的特色。例如依托計(jì)算機(jī)系、電子工程系、或數(shù)學(xué)系，等等各類大學(xué)對(duì)培養(yǎng)學(xué)生的期望（科學(xué)家、工程師、技術(shù)員、技工、或者其他的？）研究型大學(xué)會(huì)把培養(yǎng)學(xué)生的目標(biāo)定為，有潛力在本專業(yè)前沿進(jìn)行開(kāi)創(chuàng)性工作的高端人才其他大學(xué)的學(xué)生培養(yǎng)目標(biāo)可能定為，有較好專業(yè)背景的實(shí)用技術(shù)人員還有一些學(xué)校的培養(yǎng)目標(biāo)不甚明確，或許只是接受相關(guān)課程教育？信息安全人才培養(yǎng)目標(biāo)“適應(yīng)……需要，在……全面發(fā)展，具有扎實(shí)的數(shù)理基礎(chǔ)，較好的外語(yǔ)和計(jì)算機(jī)應(yīng)用能力，掌握信息安全的基本理論與技術(shù)，計(jì)算機(jī)與網(wǎng)絡(luò)通信以及信息安全法律法規(guī)，能夠應(yīng)用……解決……，具有……素質(zhì)、創(chuàng)新、實(shí)踐能力。”一般認(rèn)為，社會(huì)的需求包括：研究型或?qū)W術(shù)型信息安全專業(yè)人才應(yīng)用型信息安全專業(yè)人才技術(shù)型或職業(yè)型信息安全專業(yè)人才復(fù)合型信息安全專業(yè)人才需要注意的是，在面對(duì)科學(xué)技術(shù)飛速發(fā)展的今天，社會(huì)對(duì)專業(yè)“人才”的要求也越來(lái)越高基礎(chǔ)扎實(shí)、自我知識(shí)更新、適應(yīng)面寬、較大的提升空間、綜合能力強(qiáng)、團(tuán)隊(duì)合作、……面對(duì)新的形勢(shì)，許多學(xué)校提出寬口徑的培養(yǎng)目標(biāo)，以大學(xué)科為平臺(tái)的培養(yǎng)學(xué)生模式我們目前是信息安全專業(yè)培養(yǎng)方式能否達(dá)到這個(gè)要求？？？高校專業(yè)課程設(shè)置目前的大學(xué)本科教學(xué)安排（以上海交通大學(xué)為例），在197總學(xué)分中公共基礎(chǔ)課（人文、社科、經(jīng)管、自然科學(xué)、外語(yǔ)、體育），53%學(xué)科基礎(chǔ)課，35%專業(yè)前沿課，12%任何專業(yè)，能夠有所作為的課程大概不足93學(xué)分其中的69學(xué)分為學(xué)科基礎(chǔ)，剩下24學(xué)分與專業(yè)相關(guān)。作為交叉學(xué)科（數(shù)學(xué)、計(jì)算機(jī)、電子通信）的信息安全，其學(xué)科基礎(chǔ)遠(yuǎn)遠(yuǎn)不是其他傳統(tǒng)學(xué)科可以比擬的還有多少時(shí)間、精力花在專業(yè)前沿上？信息安全實(shí)例：緩沖區(qū)溢出緩沖區(qū)溢出緩沖區(qū)是內(nèi)存中的一個(gè)連續(xù)塊，程序運(yùn)行時(shí)在內(nèi)存中臨時(shí)存放數(shù)據(jù)的地方當(dāng)程序試圖存放的數(shù)據(jù)塊大小超過(guò)了程序事先申請(qǐng)到的內(nèi)存緩沖區(qū)大小時(shí)就會(huì)發(fā)生緩沖區(qū)溢出緩沖區(qū)溢出攻擊如果溢出的數(shù)據(jù)塊恰好覆蓋與緩沖區(qū)相鄰的子程序或函數(shù)返回地址,而覆蓋這一地址的又恰好是一個(gè)程序的入口那么這一程序?qū)⒆詣?dòng)運(yùn)行攻擊者借此精心構(gòu)造填充數(shù)據(jù)，讓程序轉(zhuǎn)而執(zhí)行特殊的代碼，最終獲得系統(tǒng)的控制權(quán)或取得其他非法權(quán)益緩沖區(qū)溢出是最重要的安全漏洞2006年的10大軟件漏洞中7個(gè)屬于緩沖區(qū)漏洞；50%以上的系統(tǒng)攻擊是由緩沖區(qū)溢出攻擊引起的。相關(guān)的技術(shù)基礎(chǔ)編程理論與技術(shù)、編譯、匯編、操作系統(tǒng)、計(jì)算機(jī)組成、網(wǎng)絡(luò)協(xié)議、虛擬機(jī)、密碼技術(shù)、……一個(gè)優(yōu)秀的安全專家，首先應(yīng)該是對(duì)計(jì)算機(jī)、通信技術(shù)非常精通的計(jì)算機(jī)專家，同時(shí)需要熟悉安全技術(shù)（攻/防），有比較豐富的實(shí)踐經(jīng)驗(yàn)解決方案：不得已而為之拓寬學(xué)科專業(yè)面增加課程的門類數(shù)，但壓縮每門課的時(shí)數(shù)，精簡(jiǎn)內(nèi)容保證一定量的專業(yè)方向課程夯實(shí)專業(yè)基礎(chǔ)保證重要基礎(chǔ)課程，打好學(xué)科專業(yè)基礎(chǔ)適當(dāng)減少專業(yè)方向課程的時(shí)數(shù)即保證學(xué)科面寬，又要求基礎(chǔ)扎實(shí)，還要專業(yè)特色鮮明老師的聲音：難學(xué)生的聲音：累其他更好的途經(jīng)？選準(zhǔn)定位，不求全面（如：僅計(jì)算機(jī)安全為特色）還有別的道路？謝謝觀看/歡迎下載BYFAITHIMEANAVISIONOFGOODONECHERISHESANDTHEENTHUSIASMTHATPUSHESONETOSEEKITSFULFILLMENTREGARDLESSOFOBSTACLES.BYFAITHIBYFAITH內(nèi)容總結(jié)信息安全專業(yè)建設(shè)的

思考與實(shí)踐。Kfchen@。Firefox出新漏洞，RealPlayer現(xiàn)漏洞。采用密碼技術(shù)保護(hù)、修補(bǔ)安全協(xié)議(IPSec,SSL,。1980年代，以西北電訊工程學(xué)院為代表的院校開(kāi)始大規(guī)模的人才（研究生）培養(yǎng)。許多高校、出版社組織參與制定課程體系、編寫規(guī)范教材。每一類大學(xué)由于條件不同，在同一專業(yè)上也有很大差異，一般都帶有鮮明的特色。例如依托計(jì)算機(jī)系、電子工程系、或數(shù)學(xué)系，等等。研究型大學(xué)會(huì)把培養(yǎng)學(xué)生的目標(biāo)定為，有潛力在本專業(yè)前沿進(jìn)行開(kāi)創(chuàng)性工作的高端人才。其他大學(xué)的學(xué)生培養(yǎng)