制定信息安全課程

業(yè)已出現(xiàn)的混合型信息技術(shù)／安全項目的一個原因是要彌補因缺乏正規(guī)指導(dǎo)而造成的缺陷。如計算機機械聯(lián)合會(ACM)、電氣及電子工程協(xié)會(IEEE)、工程技術(shù)鑒定部( ABErr)就沒有正式的信息安全課程模式。然而，國家科學(xué)基金會( NSF)和美國社區(qū)大學(xué)協(xié)會等兩年制教育機構(gòu)在2002年發(fā)起了一個研討會，擬訂了一篇名為《社區(qū)大學(xué)在計算機安全教育方面的任務(wù)》的行動方針，這篇報導(dǎo)成為了社區(qū)大學(xué)制定該領(lǐng)域內(nèi)課程的起點。四年制教育機構(gòu)的類似努力正在進行當(dāng)中，但還處在萌芽階段。

任何教育機構(gòu)在設(shè)計信息安全的正式課程時必須仔細(xì)繪制遵循有一定目標(biāo)的課程學(xué)習(xí)計劃示意圖，以建立要傳授的知識主體。該示意圖能夠幫助學(xué)生評估信息安全學(xué)科項目、確定該項目畢業(yè)生獲得的技能和知識群。研究生水平的項目更復(fù)雜而且事實上可能更需要管理，這有賴于不同的項目。對于大學(xué)本科水平， 學(xué)科項目制定者要檢查畢業(yè)生期望工作的區(qū)域，然后確定需要的技能和知識。

所建立的知識示意圖可以不同，因為許多學(xué)術(shù)機構(gòu)沒有意識到信息安全領(lǐng)域內(nèi)存在許多分支學(xué)科，每一學(xué)科都可能有不同的知識需求。例如，關(guān)注管理的學(xué)生想在政策、計劃、個人管理和別的方面得到培養(yǎng)；比較而言，興趣側(cè)重在技術(shù)方面的學(xué)生可能需要在諸如Windows網(wǎng)絡(luò)安全、防火墻、IDS、遠(yuǎn)程訪問和身份鑒定等特定領(lǐng)域方面的課程。

許多機構(gòu)沒有一個特定領(lǐng)域所需要的技能和知識的參考結(jié)構(gòu)，因而他們頒發(fā)的是該領(lǐng)域相關(guān)的資格證書（將在第10章討論）。一個注重管理的項目要檢查像CISSP、CISM或GISO -樣的資格證書；一個更注重技術(shù)的項目要檢查特定的GlIAC十安全十資格證書。

圖5 -12顯示了描繪信息安全中所要執(zhí)行任務(wù)以及相應(yīng)的核心技術(shù)需要，然后再從任務(wù)所需要的知識范圍反過來描繪這些任務(wù)。例如，CISO可能需要實際了解所有的知識領(lǐng)域，而防火墻管理員只需要有1 -2個區(qū)域的實際技能。通過學(xué)習(xí)目標(biāo)分類或者采用類似“理解一完成一熟練一精通”的過程，知識的深度就得到了說明。

知識領(lǐng)域一旦確定，公共知識領(lǐng)域就可融會到教學(xué)范圍之中，從中就可以建立單獨的課程。課程設(shè)計應(yīng)當(dāng)使學(xué)生獲得所需要的知識和技能。例如，對防火墻管理員來說，緒論課（提供理解）后是技術(shù)安全課（具體操作），隨后就是防火墻管理員課（熟練和精通）。

最后就是確定每一課程的必備知識，圖5 -13根據(jù)知識領(lǐng)域和必修課程的要求提供了課程示例。