信息安全专业规范

第一篇：信息安全专业规范

信息系统安全管理规范

1、 目标

此文档用于规范公司业务系统的安全管理，安全管理所达到的目标如下：

确保业务系统中所有数据及文件的有效保护，未经许可的用户无法访问数据。对用户权限进行合理规划，使系统在安全状态下满足工作的需求。

2、 机房访问控制

机房做为设备的集中地，对于进入有严格的要求。 只有公司指定的系统管理员及数据库管理员才有权限申请进入机房。系统管理员及数据库管理员因工作需要进入机房前必须经过公司书面批准。 严格遵守机房管理制度。

3、 操作系统访问控制

保护系统数据安全的第一道防线是保障网络访问的安全，不允许未经许可的 用户进入到公司网络中。 第二道防线就是要控制存放数据及应用文件的主机系统 不能被未经许可的用户直接访问。 为防止主机系统被不安全访问， 采取以下措施： 操作系统级的超级管理用户口令、数据库管理用户口令、应用管理用户口令 只能由系统管理员设定并经办公室审核，1个月做一次修改，口令要向其他人员 保密。 在应用系统实施阶段，考虑到应用软件提供商需要对自己的产品进行调试， 可以在调试时将应用管理用户口令暂时开放给应用软件提供商; 调试一结束系统 管理员马上更改口令。 对口令设定必需满足以下规范： 最多允许尝试次数 口令最长有效期 口令的最大长度 口令的最小长度 5 30 天 不受限 6 口令的唯一性要求。

4、 系统的安全控制

最近三次所更改的口令不能相同 通过口令控制及对象的安全控制实现。

5、 数据库访问控制

为有效的保障业务数据的安全，采取以下措施：

数据库内具有较高权限的管理用户口令由办公室数据库管理员设定,并由办公室审核，不能向其他人开放。口令必须1个月做一次修改。业务系统后台数据库对象创建用户的口令由办公室数据库管理员设定，由办公室审核。不能向其他人开放。口令必须 1 个月做一次修改。

对口令设定必需满足以下规范：

口令最长有效期 口令的最大长度 口令的最小长度 口令的唯一性要求 30 天 不受限 6 最近三次所更改的口令不能相同 根据操作需求，在数据库中分别建立对业务数据只有“增、删、改”权限的用户;对业务数据只有“查询”权限的用户。不同的操作需求开

放不同权限的用 户。 除办公室门的人员外， 其他部门的任何人员均没有权限从后台数据库直接进行数据的“增、删、改”操作 对于业务必须的后台 job 或批处理，必须由办公室门人员执行。

6、 应用系统访问控制

应用系统访问依靠系统内部定义的操作用户权限来控制,操作用户权限控制到菜单一级，对于操作用户的安全管理有如下规范：

所有应用级的操作用户及初始口令统一由办公室门设定，以个人邮件的形式分别发给各部门的操作人员。各部门操作人员在首次登录时必须修改口令，口令必须1个月做一次修改。

对于口令设定必需满足以下规范：

口令最长有效期 口令的最大长度口令的最小长度口令的唯一性要求 30 天 不受限 6 最近三次所更改的口令不能相同操作人员不能将自己的用户及口令随意告诉他人所有使用者的认可都由系统管理员来逐一分配。必须由部门经理提交访问权认可的申请表，然后由办公室批准。当应用系统中需要加入新的使用者时，首先使用者需要填写“权限申请表” 。 该申请表应该得到部门经理和办公室的共同批准。之后，IT 系统管理员会帮助 应用系统的使用者开通账户，并建立相应的访问等级和权限。 当应用系统需要关闭某位使用者的账户时，首先该部门应该填写“权限申请 表” ，并得到部门经理和办公室的共同批准。之后，IT 系统管理员会帮助应用系 统使用者关闭该账户。 大多数的主文件都会与审查日志一起更新。使用者号码、处理日期以及时间 将写入日志，以备今后查询之用。

7、 个人义务

如果技术上可行， 每一位使用者都应该通过一个唯一的使用者身份号码来识别，该号码设有密码，并不得与任何人共享。 使用者的身份号码意味着不允许存在公共使用。然而，支持网关和服务器的设备是一个例外，例如：互联网服务器等。只有得到 IT 经理的批准，才能使用这些公共使用身份号码。使用者不得与他人共享密码。如果已经告知了他人，那么使用者将对他人利 用密码所做的任何行为的后果负责。 若使用者怀疑他的密码已经被泄露了，那么他应该尽快更换密码。并应该在 第一时间向 IT 系统管理员汇报。 3使用者不应该书面记录下密码，并放在别人可以轻易看到的地方。密码不得设置成特定词汇或其他能被轻易猜到的字词。类似姓名、电话号码、身份证号、 生日等都是不合格的密码。 使用者不得向他人泄漏密码。如果 IT 技术支持人员要求运用使用

者的号码 访问，则必须当着使用者的面登录。如果使用者泄漏了密码，则必须尽快更改密 码。如果他们因诱骗而泄漏了密码，则必须尽快向 IT 系统管理员汇报。 如果使用者怀疑我们信息系统的安全性受到威胁，则必须尽快向 IT 系统管 理员汇报。 使用者对他们自己输入系统的数据的精确性负责，同时也对他们指示系统开发下载到我们系统上的数据的精确性负责。他们必须尽力保证数据的准确性。如 果发现错误，并且自己能够修改的话，则应该将其改正。如果自己改正不了，则应该向他们的主管汇报。如果是在源文件发现数据错误，则应该尽快改正这些错误，而不是故意将这些错误输入我们的电脑系统。 使用者在离开终端机器或电脑以前必须下线，这一点应该强制执行。如果是 在使用不带下线功能的单机个人电脑，则必须在离开电脑前终止程序。只有当执 行批处理任务时是例外。 当使用者的工作职责有变动时，他的访问权也应该作相应的变更。部门经 理应该及时递交“权限申请表”以通知 IT 系统管理员。特别是在员工辞职的情 况下，他/她的部门经理以及人事部经理应该及时通知 IT 系统管理员，以保证在 最短的时间内撤销他/她的系统访问权。

8、 局域网和广域网安全

在可能的情况下，我们都应将端口转换到使用者的个人电脑。如果没有足够的转换，已转换的端口将根据以下优先等级来分配：

需要带宽的使用者可以访问机密数据的使用者职务等级，例如：公司领导优先于管理员，管理员优先于经理，依此类推。 所有的访问我们本地网络的端口只有在部门经理指定授权使用者时才可以 开通。因此，在公共区域(例如：会议室)的访问端口只能在使用时开通。 4 交换机位于数据中心，对该中心的物理访问应该控制。 除了授权的 IT 支持人员以外，任何使用者都不得在公司办公地点的个人电脑上安装任何带有数据包监听、端口或地址扫描功能的软件。 IP 地址只能由经授权的 IT 支持人员来分配。 使用者不得自行分配他们的 IP 地址。 所有的交换机、路由器、互联网服务器以及防火墙都应该设置密码，此密码 不得为原厂密码。 交换机、路由器、互联网服务器以及防火墙的所有不同等级的密码都应该记 录在案。IT 经理应该保留一个备份。 所有服务器的管理员密码和主管密码都应该记录在案。IT 经理应该保留一 个备份。 对于交换机、路由器、网络集线器以及服务器的结构等级的访问应该只限授 权的 IT 支持人员。 关于安全的信息以及通往网络的网关的保护机制应该只有授权的 IT 支持人 员知道。 所有的交换机和路由器都应该由非间断电原提供至少 60 分钟的电源供应。 如可能，非间断电源供应机应该轮流由一台备用的发电机来充电。 只有经授权的使用者才允许安装和使用

网络发明和监控工具。

第二篇：公安机关信息安全等级保护检查工作规范

第一条 为规范公安机关公共信息网络安全监察部门开 展信息安全等级保护检查工作，根据《信息安全等级保护管 理办法》(以下简称《管理办法》)，制定本规范。

第二条 公安机关信息安全等级保护检查工作是指公安 机关依据有关规定，会同主管部门对非涉密重要信息系统运 营使用单位等级保护工作开展和落实情况进行检查，督促、 检查其建设安全设施、落实安全措施、建立并落实安全管理 制度、落实安全责任、落实责任部门和人员。

第三条 信息安全等级保护检查工作由市(地)级以上 公安机关公共信息网络安全监察部门负责实施。每年对第三 级信息系统的运营使用单位信息安全等级保护工作检查一 次，每半年对第四级信息系统的运营使用单位信息安全等级 保护工作检查一次。

第四条 公安机关开展检查工作，应当按照“严格依法， 热情服务”的原则，遵守检查纪律，规范检查程序，主动、 热情地为运营使用单位提供服务和指导。

第五条 信息安全等级保护检查工作采取询问情况，查 阅、核对材料，调看记录、资料，现场查验等方式进行。

第六条 检查的主要内容：

(一) 等级保护工作组织开展、实施情况。安全责任落 实情况，信息系统安全岗位和安全管理人员设置情况;

(二) 按照信息安全法律法规、标准规范的要求制定具 体实施方案和落实情况;

(三) 信息系统定级备案情况，信息系统变化及定级备 案变动情况;

(四) 信息安全设施建设情况和信息安全整改情况;

(五) 信息安全管理制度建设和落实情况;

(六) 信息安全保护技术措施建设和落实情况;

(七) 选择使用信息安全产品情况;

(八) 聘请测评机构按规范要求开展技术测评工作情 况，根据测评结果开展整改情况;

(九) 自行定期开展自查情况;

(十) 开展信息安全知识和技能培训情况。 第七条 检查项目：

(一)等级保护工作部署和组织实施情况

1.下发开展信息安全等级保护工作的文件，出台有关 工作意见或方案，组织开展信息安全等级保护工作情况。

2.建立或明确安全管理机构，落实信息安全责任，落 实安全管理岗位和人员。 3.依据国家信息安全法律法规、标准规范等要求制定 具体信息安全工作规划或实施方案。

4.制定本行业、本部门信息安全等级保护行业标准规 范并组织实施。

(二)信息系统安全等级保护定级备案情况

1.了解未定级、备案信息系统情况以及第一级信息系 统有关情况，对定级不准的提出调整建议。

2.现场查看备案的信息系统，核对备案材料，备案单 位提交的备案材料与实际情况相符合情况。

3.补充提交《信息系统安全等级保护备案登记表》表 四中有关备案材料。

4.信息系统所承载的业务、服务范围、安全需求等发 生变化情况，以及信息系统安全保护等级变更情况。

5.新建信息系统在规划、设计阶段确定安全保护等级 并备案情况。

(三)信息安全设施建设情况和信息安全整改情况

1.部署和组织开展信息安全建设整改工作。

2.制定信息安全建设规划、信息系统安全建设整改方 案。 3.按照国家标准或行业标准建设安全设施，落实安全 措施。

(四)信息安全管理制度建立和落实情况 1.建立基本安全管理制度，包括机房安全管理、网络 安全管理、系统运行维护管理、系统安全风险管理、资产和 设备管理、数据及信息安全管理、用户管理、备份与恢复、 密码管理等制度。

2.建立安全责任制，系统管理员、网络管理员、安全 管理员、安全审计员是否与本单位签订信息安全责任书。

3.建立安全审计管理制度、岗位和人员管理制度。

4.建立技术测评管理制度，信息安全产品采购、使用 管理制度。 5.建立安全事件报告和处置管理制度，制定信息系统 安全应急处置预案，定期组织开展应急处置演练。

6.建立教育培训制度，定期开展信息安全知识和技能 培训。

(五)信息安全产品选择和使用情况

1.按照《管理办法》要求的条件选择使用信息安全产 品。

2.要求产品研制、生产单位提供相关材料。包括营业 执照，产品的版权或专利证书，提供的声明、证明材料，计 算机信息系统安全专用产品销售许可证等。

3.采用国外信息安全产品的，经主管部门批准，并请 有关单位对产品进行专门技术检测。

(六)聘请测评机构开展技术测评工作情况

1.按照《管理办法》的要求部署开展技术测评工作。 对第三级信息系统每年开展一次技术测评，对第四级信息系 统每半年开展一次技术测评。 2.按照《管理办法》规定的条件选择技术测评机构。

3.要求技术测评机构提供相关材料。包括营业执照、 声明、证明及资质材料等。

4.与测评机构签订保密协议。 5.要求测评机构制定技术检测方案。

6.对技术检测过程进行监督，采取了哪些监督措施。

7.出具技术检测报告，检测报告是否规范、完整，检 查结果是否客观、公正。

8.根据技术检测结果，对不符合安全标准要求的，进 一步进行安全整改。

(七)定期自查情况

1.定期对信息系统安全状况、安全保护制度及安全技 术措施的落实情况进行自查。第三级信息系统是否每年进行 一次自查，第四级信息系统是否每半年进行一次自查。

2.经自查，信息系统安全状况未达到安全保护等级要 求的，运营、使用单位进一步进行安全建设整改。

第八条 各级公安机关按照“谁受理备案，谁负责检查” 的原则开展检查工作。具体要求是：

对跨省或者全国联网运行、跨市或者全省联网运行等跨 地域的信息系统，由部、省、市级公安机关分别对所受理备 案的信息系统进行检查。 对辖区内独自运行的信息系统，由受理备案的公安机关 独自进行检查。

第九条 对跨省或者全国联网运行的信息系统进行检查 时，需要会同其主管部门。因故无法会同的，公安机关可以 自行开展检查。

第十条 公安机关开展检查前，应当提前通知被检查单 位，并发送《信息安全等级保护监督检查通知书》。

第十一条 检查时，检查民警不得少于两人，并应当向 被检查单位负责人或其他有关人员出示工作证件。

第十二条 检查中应当填写《信息系统安全等级保护监 督检查记录》(以下简称《监督检查记录》)。检查完毕后，《监 督检查记录》应当交被检查单位主管人员阅后签字;对记录 有异议或者拒绝签名的，监督、检查人员应当注明情况。《监 督检查记录》应当存档备查。

第十三条 检查时，发现不符合信息安全等级保护有关 管理规范和技术标准要求，具有下列情形之一的，应当通知 其运营使用单位限期整改，并发送《信息系统安全等级保护 限期整改通知书》(以下简称《整改通知》)。逾期不改正的， 给予警告，并向其上级主管部门通报：

(一) 未按照《管理办法》开展信息系统定级工作的;

(二) 信息系统安全保护等级定级不准确的;

(三) 未按《管理办法》规定备案的;

(四)备案材料与备案单位、备案系统不符合的;

(五)未按要求及时提交《信息系统安全等级保护备案 登记表》表四的有关内容的;

(六)系统发生变化，安全保护等级未及时进行调整并 重新备案的;

(七)未按《管理办法》规定落实安全管理制度、技术 措施的;

(八)未按《管理办法》规定开展安全建设整改和安全 技术测评的;

(九)未按《管理办法》规定选择使用信息安全产品和 测评机构的;

(十)未定期开展自查的;

(十一)违反《管理办法》其他规定的。

第十四条 检查发现需要限期整改的，应当出具《整改 通知》，自检查完毕之日起10个工作日内送达被检查单位。

第十五条 信息系统运营使用单位整改完成后，应当将 整改情况报公安机关，公安机关应当对整改情况进行检查。

第十六条 公安机关实施信息安全等级保护监督检查的 法律文书和记录，应当统一存档备查。

第十七条 受理备案的公安机关应该配备必要的警力， 专门负责信息安全等级保护监督、检查和指导。从事检查工 作的民警应当经过省级以上公安机关组织的信息安全等级 保护监督检查岗位培训。 第十八条 公安机关对检查工作中涉及的国家秘密、工 作秘密、商业秘密和个人隐私等应当予以保密。

第十九条 公安机关进行安全检查时不得收取任何费 用。 第二十条 本规范所称“以上”包含本数(级)。 第二十一条 本规范自发布之日起实施。

第三篇：信息安全等级保护测评工作管理规范

(试行)

第一条 为加强信息安全等级保护测评机构建设和管理，规范等级测评活动，保障信息安全等级保护测评工作(以下简称“等级测评工作”)的顺利开展，根据《信息安全等级保护管理办法》等有关规定，制订本规范。

第二条 本规范适用于等级测评机构和人员及其测评活动的管理。

第三条 等级测评工作，是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

等级测评机构，是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐，从事等级测评工作的机构。

第四条 省级以上等保办负责等级测评机构的审核和推荐工作。

公安部信息安全等级保护评估中心(以下简称“评估中心”)负责测评机构的能力评估和培训工作。

第五条 等级测评机构应当具备以下基本条件：

(一)在中华人民共和国境内注册成立(港澳台地区除

外);

(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);

(三)产权关系明晰，注册资金100万元以上;

(四)从事信息系统检测评估相关工作两年以上，无违法记录;

(五)工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录;

(六)具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人;

(七)具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求;

(八)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;

(九)对国家安全、社会秩序、公共利益不构成威胁;

(十)应当具备的其他条件。

第六条 测评机构及其测评人员应当严格执行有关管理规范和技术标准，开展客观、公正、安全的测评服务。

测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改、信息安全等级保护宣传教育等工作的技术支持。不得从事下列活动：

(一)影响被测评信息系统正常运行，危害被测评信息系统安全;

(二)泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密;

(三)故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假，未如实出具等级测评报告;

(四)未按规定格式出具等级测评报告;

(五)非授权占有、使用等级测评相关资料及数据文件;

(六)分包或转包等级测评项目;

(七)信息安全产品开发、销售和信息系统安全集成;

(八)限定被测评单位购买、使用其指定的信息安全产品;

(九)其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。

第七条 申请成为等级测评机构的单位(以下简称“申请单位”)应当向省级以上等保办申请。

国家信息安全等级保护工作协调小组办公室负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请。省级等保办负责受理本省(区、直辖市)申请单位提出的申请。

申请单位申请时，等保办应当告知测评机构的条件、从事的业务范围以及禁止行为等内容，使申请单位清楚了解测评机构的责任和义务。

第八条 知悉有关规定并愿意成为测评机构的申请单位，可以向省级以上等保办提出书面申请，如实填写《信息安全等级保护测评机构申请表》。

申请单位的人员应当如实填写人员基本情况表，并承诺对信息的真实性和有效性负责。

省级以上等保办对申请单位进行初审，初审通过的，应当告知申请单位到评估中心进行测评能力评估。

第九条 评估中心按照有关标准规范，在30个工作日内完成对申请单位的材料审查和现场核查工作。

测评人员参加由评估中心举办的专门培训、考试并取得评估中心颁发的《等级测评师证书》(等级测评师分为初级、中级和高级)。等级测评人员需持等级测评师证上岗。

评估中心综合评估申请单位的测评能力，测评能力评估合格的，出具评估报告。

第十条 省级以上等保办组织专家对测评能力评估合格的申请单位及其测评人员进行审核。

第十一条 通过审核的，由省级以上等保办向申请单位颁发信息安全等级保护测评机构推荐证书，并向社会公布测评机构推荐目录。

省级等保办将测评机构推荐目录报国家信息安全等级保护工作协调小组办公室，国家信息安全等级保护工作协调小组办公室汇总公布《全国信息安全等级保护测评机构推荐目录》。

第十二条 测评机构应按照公安部统一制订的《信息系统安全等级测评报告模版(试行)》格式出具测评报告，根据信息系统规模和所投入的成本，合理收取测评服务费用。

第十三条 省级以上等保办每年对所推荐的测评机构进行检查。检查时，测评机构应提交《信息安全等级保护测评机构检查表》。

第十四条 测评机构名称、法人等事项发生变化的，或者其等级测评师变动的，测评机构应在30日内到受理申请的省级以上等保办办理变更手续。

第十五条 测评机构应当严格遵循申诉、投诉及争议处理制度，妥善处理争议事件，及时采取纠正和改进措施。

第十六条 测评机构或者其测评人员违反本规范第六条规定之一或检查未通过的，由省级以上等保办责令其限期改正;逾期不改正的，给予警告，直至取消测评机构的推荐证书或等级测评师证书，并向社会公告;造成严重损害的，由相关部门依照有关法律、法规予以处理。

第十七条 测评机构或者测评人员违反本规范的规定，给被测评单位造成损失的，应当依法承担法律责任。

第十八条 本规范由国家信息安全等级保护工作协调小组办公室负责解释。

第十九条 本规范中省级以上含省级。

第二十条 本规范自发布之日起施行。

第四篇：中南大学信息安全专业

竞争压力小。因为是小专业，人数少，整体成绩没有其他专业高，所以在评奖评优方面较其它专业有优势。但是学风较差，想要学好需要一定的自制力。不过最近两届信安的整体情况要好很多，没有“传说”中的那么差。

信息安全属于计科类专业的一个分支，主要学科跟计科差不多，只是多一门密码学的专业课。

我们学校属于开设信安专业较早的重点院校之一。目前全国重点院校开设信安专业的只有20多所，我们学校的专业实力属中等。工作前景很好，但就业如何还是要看自己学的怎么样了(貌似什么专业都是这样...)。 目前做信息安全工作的一般都是从事计科工作数年后改行的，所以社会需求量很大。大家可以去各大网站(网易、搜狐、腾讯等)的校园招聘专栏看一看，基本每个网站都会招聘网络安全方面的应届生，对学生的学识要求也都有写。这只是一方面，信安也可以专从系统安全，防火墙等方向。

就业方向(摘自百度百科)

信息是社会发展的重要战略资源。国际上围绕信息的获取、使用和控制的斗争愈演愈烈，信息安全成为维护国家安全和社会稳定的一个焦点，各国都给以极大的关注和投入。网络信息安全已成为亟待解决、影响国家大局和长远利益的重大关键问题，它不但是发挥信息革命带来的高效率、高效益的有力保证，而且是抵御信息侵略的重要屏障，信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分，是世纪之交世界各国都在奋力攀登的制高点。信息安全问题全方位地影响我国的政治、军事、经济、文化、社会生活的各个方面，如果解决不好将使国家处于信息战和高度经济金融风险的威胁之中。

总之，在网络信息技术高速发展的今天，信息安全已变得至关重要，信息安全已成为信息科学的热点课题。目前我国在信息安全技术方面的起点还较低，国内只有极少数高等院校开设“信息安全”专业，信息安全技术人才奇缺。本专业毕业生可在政府机关、国家安全部门、银行、金融、证券、通信领域从事各类信息安全系统、计算机安全系统的研究、设计、开发和管理工作，也可在IT领域从事计算机应用工作。我们应充分认识信息安全在网络信息时代的重要性和其具有的极其广阔的市场前景，适应时代，抓住机遇!

第五篇：信息安全专业应用型人才培养模式论文

摘要：以大理大学信息安全专业为案例，对地方院校信息安全专业应用型人才培养模式进行思考和探索。从专业培养目标定位，课程体系设计、师资队伍建设、校企合作及学生创新创业实践活动等多个方面探索信息安全专业应用型人才培养模式。关键词：信息安全;应用型人才培养;课程体系;校企合作

一、概述

随着网络技术发展和应用，信息安全对国家、社会、企业和个人的重要性越来越凸显。信息安全产业也开始快速成长，智研咨询集团研究报告[1]指出，2016～2020年中国信息安全产品市场规模将保持18.00%以上的增长率，2020年市场规模预计达到761.95亿元。就业市场对信息安全专业人才需求急剧增长，信息安全专业人才缺口继续增大。根据《第十一届网络空间安全学科专业建设与人才培养研讨会》得出的结论，“我国网络空间安全人才年培养规模在3万人左右，已培养的信息安全专业人才总量不足10万人，离当前70万的市场需求差距巨大[2]。与之对应，2014年以来，国内开设信息安全专业的高校数量迅速增长。2013年至2017年全国开设和新增信息安全专业的院校数据如图1所示。统计数据显示，2014年之前开设信息安全专业的院校多为98

5、211重点院校或者警察军事院校;2014年开始，普通一本、二本、三本院校相继开设该专业。98

5、211重点院校及警察军事院校信息安全专业经过多年的摸索，积累了丰富的办学经验，建立了成熟的人才培养体系。然而，98

5、211重点院校具有师资力量雄厚，生源基础扎实、学习能力强、学习自主性高等特点，多数以培养信息安全领域高端人才为目标，重视基础，强化理论，更侧重于培养创新型人才。而警察军事院校以特殊的行业需求为目标，其定向就业岗位所需技能明确，其人才培养具有明显的针对性和倾向性，侧重于培养专门人才。因此，这些院校成功的办学经验和人才培养模式不能直接应用于师资力量和生源基础相对薄弱的普通本科院校。普通院校信息安全专业就业定位面广，就业岗位所需知识和技能相对较杂，师资力量相对薄弱，生源的知识基础、学习能力、学习自主性也具有多样性。大理大学是位于非省会城市的地方院校，信息安全专业属二本招生。本文结合我校多年信息安全人才培养的经验，对信息安全专业应用型人才培养模式进行积极思考和探索。

二、信息安全专业内涵

信息安全专业需要为国家、社会、企业和个人提供安全保障服务人才。应用型人才培养模式下，信息安全专业的培养目标是要求毕业生具有较强的安全管理与法律意识，具备扎实的数学、计算机和通信网络基础，掌握基本的安全知识及原理，具有较强的系统集成、开发及网络与信息系统安全运维管理能力;能提供电子对抗、网络及信息系统安全加固，入侵检测、防御与保护，系统恢复、电子追踪及数字取证等服务。信息安全涉及知识面大、就业范围广，学生不可能掌握全部的信息安全相关知识和技能[3，4]。因此，不同院校在建设该专业时都有不同的倾向性，有些院校侧重于通信、有些院校侧重于密码学、有些院校侧重于软件与网络。各院校应根据自己的学科优势、专业定位及办学条件，形成自己的优势和特色。

三、信息安全专业应用型人才培养模式

(一)专业定位

信息安全专业人才培养方案的设计应首先明确专业定位。信息安全学科是由数学、计算机、通信等多门学科交叉而成综合性学科。不同院校的信息安全专业具有不同的优势与特色，对应用型人才的定义也不尽相同[5，6]。根据信息安全学科发展趋势和人才培养实践经验，可以将信息安全应用型人才分为创新性应用型人才和复合性应用型人才。创新性应用型人才能够综合地运用信息安全理论基础知识，创造性、设计性地解决工作实践中的问题。其对实践问题的解决思路和所使用的工具往往是原创性的，其应用能力取决于学生对信息安全理论知识体系掌握程度、实际动手能力培养效果和创造性思维训练情况。复合性应用型人才则更注重的是灵活、熟练地利用现有技术或既有工具解决问题，其应用能力主要取决于其对信息安全基础知识的理解和对工具使用的熟练程度。从目前各高校的培养方案和课程体系看，98

5、211等重点院校多数以培养创新性应用型人才为主，地方院校及高职院校则侧重于培养复合性应用型人才。结合实际情况，我校信息安全专业定位是培养复合性应用型人才。

(二)培养目标

人才培养目标决定培养模式。专业培养目标需要结合就业定位、办学条件、生源实际情况和专业特色来设计。我校信息安全专业主要为西南地区提供信息安全领域应用型人才。我校数学与计算机学院设有计算机科学与技术专业、信息与计算科学专业，同时开设了华为网络学院，在计算机软件和网络方面具有较好学科优势和办学条件。生源的知识基础、学习能力和学习自主性呈现多样化。因此，我校信息安全专业培养目标是：培养具有扎实的数学基础、计算机软件基础、计算机网络基础，以及较强的网络系统集成与防护能力、软件开发与漏洞检测能力、信息系统安全测评与系统安全加固能力，能从事网络与信息系统安全运维、系统安全测评、软件开发、漏洞检测等岗位工作的应用型人才。

(三)课题体系设计

国内的信息安全专业起源于密码学，是基于密码学发展起来的，因此，侧重密码学的信息安全专业课程体系已经比较完备，但密码学仅仅只是信息安全的一个分支。作为信息安全重要分支的计算机系统安全及网络安全课程体系的建设相对滞后，尚未形成一个完备的体系[7]。侧重于密码学的信息安全专业更侧重于培养学术性人才，而侧重于通信、软件及网络的院校是应用型人才培养的主要基地。经过多年的发展，各院校信息安全专业课程体系建设均取得了较好的成果，各具特色。但多数院校信息安全专业的课程体系不具备完整性和系统性，课程内容缺乏先进性[8]。表面上看，很多院校信息安全专业均开设了很多安全相关的专业课程，几乎每个领域都所有涉及，学生学习任务繁重而学习效果不佳[9]。要提高学生的应用能力，必须坚持“实用、瘦身”的原则，重视课题体系的系统性和完整性，不片面地追求课程门数，而应尽量将课程形成一个完整的体系，提升学生应用能力，减轻学生的学习负担，激发学生的学习兴趣。我校信息安全专业培养定位是复合性宽口径的应用型人才，以软件和网络为基础，结合信息安全相关理论和技术，培养软件安全测评、安全软件设计与开发、软件漏洞发现与修补、网络及信息系统加固与防护等方面的应用型人才。对于课程体系的设计，我们紧密结合我校学科优势和生源的实际情况，坚持“实用、瘦身”原则。我校信息安全专业课程体系由四大课程基础支撑着两个专业方向，如图2所示。密码学基础主要包括信息安全数学基础、应用密码学两门课程。信息安全数学基础课程知识是密码学算法设计的基础，对理解和设计密码算法具有重要意义。密码学是信息安全的起源，也是信息安全学科的重要基础。信息安全技术诸多安全机制的实现都依赖于密码学相关技术，如机密性、完整性、可认证性和防抵赖等。对于普通二本院校的学生来说，密码学课程应侧重于密码系统的工作原理及具体应用。密码算法的设计对二本院校的大多数学生都是困难的。结合密码学课程的特点及我校信息安全专业学生实际情况，密码学基础要求学生掌握密码学基础知识及主流密码体制的设计原理，但更侧重于要求学生掌握密码系统的具体应用，而不要求学生设计密码算法。网络基础主要包括计算机网络、路由与交换技术两门课程。网络基础模块是通信网络安全的基础，是网络服务可用性、可靠性、网络攻击追踪和溯源等技术的知识基础。随着网络技术的广泛应用，通信网络安全已经成为信息安全专业知识体系的重要内容。网络基础模块中计算机网络要求学生掌握网络系统工作原理与基础知识;路由与交换技术以华为网络学院HCNA和HCNP内容为基础，对当前TCP/IP网络体系下主流网络协议的工作原理和实现细节进行深入讲解，培养毕业生网络系统的设计、配置、维护与管理相关的应用能力。网络基础模块为网络系统安全防护与加固、计算机取证和攻击溯源提供知识基础。操作系统基础主要包括计算机系统配置维护、操作系统和网络应用服务器配置三门课程。操作系统是计算机学科重要的基础课程之一。操作系统是计算机系统软硬件资源的管理者，理解和掌握操作系统相关知识对加强计算机科学的理解具有基础意义。操作系统安全是计算机信息系统安全的基础，诸多信息安全问题的引发均是因为操作系统漏洞造成的，如勒索病毒的爆发等。*客入侵往往也是利用操作系统的漏洞或后门。因此，理解和掌握操作系统工作原理对信息安全学科具有基础性意义。操作系统基础模块覆盖面从计算机软硬件安装维护到操作系统工作原理，再到主流网络应用服务器的配置与部署。操作系统模块为软件安全技术和网络系统防护与加固提供知识基础。程序设计基础包括汇编语言、C++程序设计、Java程序设计、数据结构与算法和数据库原理五门课程，主要培养学生计算思维和程序设计能力，是信息安全专业毕业生从事漏洞挖掘、后门检测、设计和开发网络安全测评、系统防护、追踪溯源、电子取证等相关工具的基础，也是软件安全的重要基础。网络安全方向包括网络安全技术、网络系统集成与安全加固、计算机取证、网络攻防、入侵检测与防火墙技术和安全协议分析六门课程。网络安全技术主要讲授网络安全技术相关的基础知识，对网络安全涉及的技术进行全面介绍。网络系统集成与加固重点讲授通信网络设计、集成与管理以及网络系统防护相关技术。计算机取证主要介绍电子取证相关知识，为网络犯罪行为的追踪、溯源和取证提供相关技术。网络攻防课程主要包括当前主流的网络攻击方法和手段，为网络系统防御提供知识基础。入侵检测与防火墙技术是传统的网络安全内容，为用户的网络行为进行管控与监测。安全协议分析主要以TCP/IP网络体系为基础，讲授各层所提供的安全服务和安全机制，是网络系统防护的知识基础。该方向主要培养毕业生从事网络系统集成与安全加固、网络系统安全管理与测评、网络攻防等就业岗位所需的应用能力。软件安全方向包括编译原理、Android程序设计、网络程序设计、软件安全与漏洞、Web安全技术、软件安全管理与测评六门课程。编译原理是软件逆向工程的基础，是软件安全的重要内容之一。Android程序设计主要讲授基于Android的移动app设计、开发及app安全检测相关技术，是移动客户端软件安全的基础。网络程序设计主要讲授基于TCP/IP的网络编程技术，是软件安全与漏洞的基础。软件安全与漏洞主要讲授软件安全的基本知识及软件漏洞挖掘技术。Web安全技术主要讲授Web环境应用安全防护技术，防止网页篡改、SQL注入等攻击，保证网站内容的完整性和数据安全。软件安全测评与管理主要介绍软件安全测评标准和相关技术，培养学生安全评估与管理能力。该方向主要培养软件安全测试、软件开发、漏洞检测、信息系统安全管理与测评、系统安全加固等就业岗位所需的应用能力。

(四)师资队伍建设

应用型人才培养必须注重教师工程实践能力的提升，要培养学生应用能力，教师首先需要具备工程实践能力。研究表明，各院校信息安全专业师资队伍普遍存在理论知识和科研能力强，但工程实践能力和经验不足的问题[10]。另一方面，数据统计显示[11]，当前各院校信息安全教师队伍中本科从信息安全专业毕业的人数很少，占比最多的是计算机专业，其次是数学专业。这既是信息安全专业师资队伍的优势，但也是其不足。多数信息安全专业教师在本科阶段没有接受过系统的信息安全专业知识体系教育和专业技能训练，而在硕士和博士阶段往往重理论科研而轻实践。因此，信息安全专业师资队伍建设应加强培养具有工程实践能力的“双师型”教师，进一步提升教师的工程实践能力和丰富其实践经验，定期安排教师到信息安全相关企业或培训机构进行学习和培训，鼓励教师到企业兼职从事技术性岗位工作，将其所掌握的理论和科研成果应用于工作实践，将工作实践中的专业技能和实践经验反馈回课堂教学。“双师型”教师培养主要以校企合作为主。传统的高等院校办学模式是以专业教师为授课主体，开展课堂教学和课外实践项目相结合的方式。近年来，随着校企合作推进，越来越多高等院校专业开始引入企业力量培养人才。积极推进校企合作是应用型人才培养的必然趋势。信息安全专业技术更新快、知识面广、工作实践中出现的问题多样化，全靠专业教师来跟踪、掌握、传授这些新技术、新知识和实践经验是不可能的。专业教师具有理论水平高、科研能力强的优势，但其工程实践经验不足。企业具有工程实践经验丰富，对信息安全新技术、新问题反应快等优势，但其理论水平与科研能力较弱。积极开展校企合作可以实现学校资源和企业资源的优势互补，对培养新工科应用型人才具有现实意义。

目前开展的主要的校企合作模式包括：

1.专业教师外派培训由学校邀请企业工程师针对若干专业课程对专业教师进行短期集中培训，或派遣专业教师定期到合作企业进行项目合作或短期培训。专任教师掌握相关培训内容后，将其结合到课堂教学中。

2.企业工程师引入课堂由学校邀请企业工程师到学校对学生进行短期实训，实训多以项目的方式开展，实训时间一般是1-2周。通过实训项目，企业工程师将当前主流的技术和工程实践项目经验传授给学生。

3.校内外教师合作校内外教师合作包括：实习基地共建和科研合作两种方式。实习基地共建，即由学校和企业共建实习实训基地，通过校企合作的方式，由学校和企业共同在校内或校外建设实习实训基地，学生毕业设计和毕业实习可以在基地内开展。科研合作，即由企业提出工作实践中的难题并给予一定的资金支持，由学校教师带领学生共同完成，将难题的解决方案提供给企业。积极开展校企合作是应用型人才培养的有效手段，我校信息安全专业已通过专业教师外派培训、企业工程师引入课堂和校内外教师合作等多种方式培养了多位网络和软件开发方面“双师型”教师。下一步将继续派遣教师到国内信息安全知名企业(如360、启明星辰、蓝盾科技等)学习和培训，进一步培养网络安全与软件安全方面的“双师型”教师。

(五)创新创业实践

创新创业实践活动是培养学生知识运用能力有效途径之一。我校信息安全专业创新创业实践课程要求学生在四年中参与教师科研课题、大学生科研课题或信息安全领域相关主题竞赛至少一次，方能获得该课程学分。通过创新创业实践活动促进应用型人才的培养。

四、结束语

信息安全专业长期以来存在人才培养与市场需求相脱节的问题。市场需求信息安全人才，但学校培养的信息安全人才又不能很好满足市场需求的情况是常态。信息安全专业的毕业生也往往更多地选择从事软件开发、网络运维等工作岗位，不能很好的将其所学安全知识应用于工作实践。随着信息安全市场规模扩大，这一矛盾更加突出。如何培养信息安全应用型人才已经是普遍关注的问题。本文结合我校的实际情况，从专业定位、课程体系设计、师资队伍建设和校企