信息安全管理安全教育中制定信息安全课程

制定信息安全课程

业已出现的混合型信息技术／安全项目的一个原因是要弥补因缺乏正规指导而造成的缺陷。如计算机机械联合会(ACM)、电气及电子工程协会(IEEE)、工程技术鉴定部( ABErr)就没有正式的信息安全课程模式。然而，国家科学基金会( NSF)和美国社区大学协会等两年制教育机构在2002年发起了一个研讨会，拟订了一篇名为《社区大学在计算机安全教育方面的任务》的行动方针，这篇报导成为了社区大学制定该领域内课程的起点。四年制教育机构的类似努力正在进行当中，但还处在萌芽阶段。

任何教育机构在设计信息安全的正式课程时必须仔细绘制遵循有一定目标的课程学习计划示意图，以建立要传授的知识主体。该示意图能够帮助学生评估信息安全学科项目、确定该项目毕业生获得的技能和知识群。研究生水平的项目更复杂而且事实上可能更需要管理，这有赖于不同的项目。对于大学本科水平， 学科项目制定者要检查毕业生期望工作的区域，然后确定需要的技能和知识。

所建立的知识示意图可以不同，因为许多学术机构没有意识到信息安全领域内存在许多分支学科，每一学科都可能有不同的知识需求。例如，关注管理的学生想在政策、计划、个人管理和别的方面得到培养；比较而言，兴趣侧重在技术方面的学生可能需要在诸如Windows网络安全、防火墙、IDS、远程访问和身份鉴定等特定领域方面的课程。

许多机构没有一个特定领域所需要的技能和知识的参考结构，因而他们颁发的是该领域相关的资格证书（将在第10章讨论）。一个注重管理的项目要检查像CISSP、CISM或GISO -样的资格证书；一个更注重技术的项目要检查特定的GlIAC十安全十资格证书。

图5 -12显示了描绘信息安全中所要执行任务以及相应的核心技术需要，然后再从任务所需要的知识范围反过来描绘这些任务。例如，CISO可能需要实际了解所有的知识领域，而防火墙管理员只需要有1 -2个区域的实际技能。通过学习目标分类或者采用类似“理解一完成一熟练一精通”的过程，知识的深度就得到了说明。

知识领域一旦确定，公共知识领域就可融会到教学范围之中，从中就可以建立单独的课程。课程设计应当使学生获得所需要的知识和技能。例如，对防火墙管理员来说，绪论课（提供理解）后是技术安全课（具体操作），随后就是防火墙管理员课（熟练和精通）。

最后就是确定每一课程的必备知识，图5 -13根据知识领域和必修课程的要求提供了课程示例。