信息安全管理工程課程思政在線教學改革

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了信息安全管理工程課程思政在線教學改革范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：信息安全管理與工程是信息安全專業的主干課程，結合當前網絡空間安全問題，把課程核心內容案例化，講授知識點的發展歷程、理論技術、實例分析、防范措施，對在線課堂討論或在線作業進行教學設計，并把思政分析融入案例其他知識點。采取過程化考核方式，將學生分組，讓學生合作完成安全管理與工程案例，以調動學生的主觀能動性。學生在學習教師講授的案例和小組完成案例的過程中，培養解決安全管理與工程科學問題的理論技術和政治素養，掌握分析安全工程、實施步驟規劃的能力。該文以安全管理BS7799標準中的訪問控制案例為例，展現在線教學過程中的案例化教學設計，探討該課程在線案例化課程思政的教學改革。

關鍵詞：信息安全管理與工程；案例化；在線教學；課程思政

在黨的報告中多次提到“國家安全”“網絡安全”“提高基于網絡信息體系的聯合作戰能力”及“加強國家安全教育，增強全黨全國人民國家安全意識”，體現了信息安全管理及其教育的重要性。為了更好地開展在線教學，教師在講授核心知識點時應進行案例化，讓學生掌握信息安全管理和信息安全風險評估的技能，把國家安全意識更好地融入在線課堂教學。考核時，采用小組完成案例的方式，檢驗并提高學生的安全管理與工程綜合能力，培養適應國家和企業發展需求的高水平人才。

1核心知識點課程內容案例化

信息安全管理與工程課程講述信息安全管理的基本方法和原理、構建信息安全管理體系的基本過程與實施過程、進行信息安全風險評估時的常見模型，以及系統安全工程的相關技術及相關知識。主要內容包括：信息安全管理的基本內容、信息安全管理國際標準和國內標準、信息安全管理體系構建過程、BS7799主要內容、信息安全風險評估模型、SSE-CMM、信息系統安全工程實施的方法和步驟等。比如BS7799中的PDCA案例、資產管理案例、訪問控制案例、密碼學管理案例，以及信息安全風險評估模型中的層次分析法信息安全風險評估案例、模糊分析法信息安全風險評估案例、神經網絡法信息安全風險評估案例、支持向量機法信息安全風險評估案例。下面以BS7799中的核心內容訪問控制案例為例進行闡述：

1.1發展歷程

信息安全管理標準BS7799于1992年由英國標準化協會制定，2000年成為國際標準ISO/IEC17799，2005年進行修訂并更名為SO/IEC27000系列標準，2013年再次進行修訂。在不斷進行修訂過程中，訪問控制始終占有重要位置。思政分析：20世紀90年代時，中國在計算機相關領域處于落后位置，標準的制定基本由西方發達國家進行。而現在，在科技強國政策的指引下，5G標準和6G技術的研究，均已達到世界領先水平。以此引導學生努力學習，為中國的信息安全領域添磚加瓦。

1.2理論技術

BS7799標準規范了訪問控制的管理工程細節。當前對訪問控制的研究，主要是基于四大訪問控制類型發展而來的類型。在Linux系統中，自主訪問控制可以使用命令來決定文件擁有者、組用戶和其他用戶對該文件的權限，通過命令修改權限體現了自主性。強制訪問控制會給主客體上一個標簽，根據等級高低依次為高密、機密、秘密。基于角色的訪問控制，給主客體分配角色，依據角色決定他們的權限和責任。基于屬性的訪問控制在實際應用中，可以根據用戶的屬性決定權限。在這四個訪問控制基礎上，衍生出許多新概念，如基于任務和角色的訪問控制[1]、基于時態和角色的訪問控制[2]、零信任安全訪問控制。其中零信任模型將網絡劃分為具有訪問區域資源所需的不同信任級別的區域。

1.3實例分析

通過時長2分鐘、內容為某企業安全事件的視頻進行課程引入。2000年2月23日晚7點，某企業系統發生故障，大量數據被刪除，企業股價一路下跌，僅事發當天就蒸發9億元。犯罪嫌疑人是該公司的一名核心運維人員。首先是刪庫動機，該核心運維人員由于精神和生活原因做出這一行為，反映出人事管理不當的問題。其次是刪庫行為，該核心運維人員通過個人VPN登入內網跳板機，執行刪庫操作，若訪問控制中的權限管理合理，就會對刪庫命令進行限制。再次，在數據庫備份上，數據庫備份在本地，沒有斷網的冷備份，導致數據被刪除后很難恢復。最后是災后處理，該企業事先沒有準備好合適的應急處理方案，沒有考慮過災后應急措施。思政分析：人、管理、技術三者是有機統一的整體，缺一不可。大學生作為未來信息安全領域的專家，不僅要懂技術、會管理，更要能夠自我約束，心中要有一條自覺遵守的紅線。近年來，我國頒布了一系列網絡空間安全領域的法律，在網絡空間安全方面走在了亞洲前列。2017年6月1日，《中華人民共和國網絡空間安全法》開始施行；2020年1月1日，《中華人民共和國密碼法》正式施行。

1.4防范措施

針對案例進行探討。全面加固與整改數據安全管理機制，加強運維平臺治理，嚴格進行授權管理，對高危操作進行多次授權，強化運維安全意識。加強災備體系建設，做到多云異地冷備，建立月、季度級別的定期演練機制和制度。基礎設施全力上云，具備數據庫跨可用區和異地災備的能力，全面使用云主機。

1.5在線課堂討論

設定“訪問控制事故分享及相應預防方法”題目，學生積極討論，分享各自知道的訪問控制事故，給出相應的預防方法，在學好安全專業管理和技術的同時，努力增強安全意識和提高思政修養。

2學生制作案例過程化考核

由于在線教學過程中，不能進行面對面指導和交流，為了更好地培養學生的團隊精神和過程控制思維，使學生及時完成相關任務，教師制定了嚴格的任務點完成時間，主要包括以下幾個階段：分組及題目選擇、英文參考文獻、課程思政自學內容、題目進展匯報、案例考核。除了教師可以在案例講授過程中融入思政內容，學生也可以自選題目，融入與課程密切相關的思政內容，這樣更能調動學生的學習主動性，也可以及時了解學生關心的問題。學生選擇的題目有計算機病毒、二維碼、密碼學、基于智能電網的信息安全風險評估、基于隱私保護的信息安全風險評估模型等，這些題目與課程核心知識點聯系緊密，學生會主動查找其中蘊含的課程思政元素，從被動學習轉變為主動學習。

3結語

在在線課程授課過程中，結合國內外“國家安全”和“網絡安全”現狀，發掘課程相關標準和相關風險評估模型知識體系的思政案例。考慮在線教學特點，采取案例化教學和嚴格過程化考核的方式，將教師講授與學生自學相結合，培養學生掌握信息安全管理與工程核心知識和實際技能，同時把課程思政貫穿于在線教學全過程，達到“四全育人”的效果。

作者：畢方明 楊文嘉 韓麗霞 單位：中國礦業大學計算機學院