搜索
信息安全专业建设的思考与实践陈克非、邱卫东上海交通大学计算机系上海交通大学信息安全工程学院Kfchen@sjtu.edu.cn信息安全现状•信息技术是二十世纪发展最为迅速的领域–计算机日益普及,网络化改变了工作和生活方式–随之而来安全性问题日益凸现•媒体眼中的计算机、资讯安全–网银777万巨款遭窃,xx银行难逃其责–黑客利用google挖掘个人隐私,–xx部网站备案系统存在隐私外泄问题–IE7出新漏洞XP及2003可被远程劫持–Firefox出新漏洞,RealPlayer现漏洞–病毒泛滥……网友炫耀病毒制造过程–熊猫烧香……•我们眼中的计算机、资讯安全–问题成堆,四面楚歌–面对挑战,全力抵御»采用密码技术保护、修补安全协议(IPSec,SSL,…)»查杀病毒、防火墙、入侵检测、漏洞发现、安全审计、…–困扰:缺少对“安全”的认知,缺少专业技术人才媒体描绘的Cyberspace媒体描绘的Cyberspace信息安全国家战略•我国对信息安全历来非常重视,并随着信息战概念的升级,逐渐加快了信息安全的建设步伐–863设立信息安全专项/主题–自然科学基金设立网络与信息安全重大研究计划–信息安全产品内容政府采购,–网络信息系统建设经费的15%用于安全–……•《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)•在中共中央关于制定十一五规划的建议中提出“健全信息安全保障体系”信息安全人才教育培养•早期的专业(密码)人才培养,主要集中在军队院校以及政府机要部门•1980年代,以西北电讯工程学院为代表的院校开始大规模的人才(研究生)培养•2001年经教育部批准,武汉大学创建了第一个信息安全本科专业–2002年批准了上海交通大学等18个信息安全本科专业–目前已有70多所大学开办了信息安全本科专业–目前,上海交通大学每年招收信息安全专业本科生超过120人•随之而来的问题,国内各个学校的专业背景、师资力量、办学条件各不相同,如何保证信息安全人才培养的质量,同时又不失各自的特色?–许多高校、出版社组织参与制定课程体系、编写规范教材–2005年教育部发文“进一步加强信息安全学科、专业建设和人才培养”(教高[2005]7号)–2007年成立信息安全专业教学指导委员会注:我们这里讨论的专业建设只限于学历教育。大学本科培养目标•根据我国目前的现状,大学一般被划分为–研究型大学–教学研究型大学–教学型大学•每一类大学由于条件不同,在同一专业上也有很大差异,一般都带有鲜明的特色。–例如依托计算机系、电子工程系、或数学系,等等•各类大学对培养学生的期望(科学家、工程师、技术员、技工、或者其他的?)–研究型大学会把培养学生的目标定为,有潜力在本专业前沿进行开创性工作的高端人才–其他大学的学生培养目标可能定为,有较好专业背景的实用技术人员–还有一些学校的培养目标不甚明确,或许只是接受相关课程教育?信息安全人才培养目标•“适应……需要,在……全面发展,具有扎实的数理基础,较好的外语和计算机应用能力,掌握信息安全的基本理论与技术,计算机与网络通信以及信息安全法律法规,能够应用……解决……,具有……素质、创新、实践能力。”•一般认为,社会的需求包括:–研究型或学术型信息安全专业人才–应用型信息安全专业人才–技术型或职业型信息安全专业人才–复合型信息安全专业人才•需要注意的是,在面对科学技术飞速发展的今天,社会对专业“人才”的要求也越来越高–基础扎实、自我知识更新、适应面宽、较大的提升空间、综合能力强、团队合作、……•面对新的形势,许多学校提出宽口径的培养目标,以大学科为平台的培养学生模式•我们目前是信息安全专业培养方式能否达到这个要求???高校专业课程设置•目前的大学本科教学安排(以上海交通大学为例),在197总学分中–公共基础课(人文、社科、经管、自然科学、外语、体育),53%–学科基础课,35%–专业前沿课,12%•任何专业,能够有所作为的课程大概不足93学分–其中的69学分为学科基础,–剩下24学分与专业相关。•作为交叉学科(数学、计算机、电子通信)的信息安全,–其学科基础远远不是其他传统学科可以比拟的–还有多少时间、精力花在专业前沿上?信息安全实例:缓冲区溢出•缓冲区溢出–缓冲区是内存中的一个连续块,程序运行时在内存中临时存放数据的地方–当程序试图存放的数据块大小超过了程序事先申请到的内存缓冲区大小时就会发生缓冲区溢出•缓冲区溢出攻击–如果溢出的数据块恰好覆盖与缓冲区相邻的子程序或函数返回地址,而覆盖这一地址的又恰好是一个程序的入口那么这一程序将自动运行–攻击者借此精心构造填充数据,让程序转而执行特殊的代码,最终获得系统的控制权或取得其他非法权益•缓冲区溢出是最重要的安全漏洞–2006年的10大软件漏洞中7个属于缓冲区漏洞;–50%以上的系统攻击是由缓冲区溢出攻击引起的。•相关的技术基础–编程理论与技术、编译、汇编、操作系统、计算机组成、网络协议、虚拟机、密码技术、……–一个优秀的安全专家,首先应该是对计算机、通信技术非常精通的计算机专家,同时需要熟悉安全技术(攻/防),有比较丰富的实践经验解决方案:不得已而为之•拓宽学科专业面–增加课程的门类数,但压缩每门课的时数,精简内容–保证一定量的专业方向课程•夯实专业基础–保证重要基础课程,打好学科专业基础–适当减少专业方向课程的时数•即保证学科面宽,又要求基础扎实,还要专业特色鲜明–老师的声音:难–学生的声音:累•其他更好的途经?–选准定位,不求全面(如:仅计算机安全为特色)–还有别的道路?