《信息安全测评与风险评估》课程教案(共9页).docx

《《信息安全测评与风险评估》课程教案(共9页).docx》由会员分享，可在线阅读，更多相关《《信息安全测评与风险评估》课程教案(共9页).docx（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上信息安全测评与风险评估教学大纲一、 课程性质信息安全测评与风险评估是计算机应用专业的核心课程之一，属于必修课程。通过对本课程的学习，使学生了解信息的泄露、篡改、假冒、重传、黑客如期、非法访问、计算机病毒传播等对信息网络化已构成的重大威胁；掌握应对、解决各种信息安全问题的基本理论、基本方法、基本技术等内容；使学生受到系统科学地分析问题和解决问题的训练，提高运用理论知识解决实际问题的能力，为今后走向工作岗位进行信息安全理论、技术研究，解决与预防信息安全问题打下坚实的基础。本课程的先行课为计算机操作系统、数据库系统、面向对象程序设计、高级语言程序设计、计算机网络等；后序课程

2、为电子商务等。二、 教学目的 信息安全测评与风险评估是解决信息安全问题的主要技术手段。通过本课程的学习，使学生系统地了解信息安全技术体系，掌握各项信息安全技术的基本原理、方法以及各项技术之间的关系，能够选取适当的安全技术解决应用中的安全问题。三、 教学内容本课程内容包含：信息安全测评思想，主要介绍：信息安全测评的科学精神、信息安全测评的科学方法、信息安全测评的贯标思想、信息安全标准组织；信息安全测评方法，主要介绍：为何测评、何时测评、测评什么、谁来测评、如何准备测评、怎样测评；数据安全测评技术：数据安全测评的诸方面、数据安全测评的实施；主机安全测评技术：主机安全测评的诸方面、主机安全测评的实施

3、；网络安全测评技术：网络安全测评的诸方面、网络安全测评的实施；应用安全测评技术：应用安全测评的诸方面、应用安全测评的实施；资产识别：风险概述、资产识别的诸方面、资产识别案例分析；威胁识别：威胁概述、威胁识别的诸方面、威胁识别案例分析；脆弱性识别：脆弱性概述、脆弱性识别的诸方面、脆弱性识别案例分析；风险分析：风险分析概述、风险计算、风险定级、风险控制、残余风险、风险评估案例分析；应急响应：应急响应概述、应急响应计划、应急响应计划案例分析；法律和法规：计算机犯罪概述、信息安全法律和法规简介；信息安全管理体系：ISMS概述、ISMS主要内容；信息安全测评新领域：信息安全测评新领域概述、工业控制系统安

4、全测评、美国国家网络靶场一览。四、 教学课时及其分配总学时：32课时内容学时第1章 信息安全测评思想1第2章信息安全测评方法2第3章数据安全测评技术2第4章主机安全测评技术2第5章网络安全测评技术3第6章应用安全测评技术2第7章资产识别2第8章威胁识别3第9章脆弱性识别3第10章风险分析4第11章应急响应2第12章法律和法规2第13章信息安全管理体系2第14章信息安全测评新领域2总学时32五、 教学方式 本课程的教学环节包含：课堂讲授、课堂讨论、习题课、批改作业、课外辅导等教学手段。通过本课程各个教学环节的教学，重点培养学生的自学能力、分析问题解决问题的能力。教学方法：开发信息安全多媒体课件，

5、将枯燥难懂的部分编写为多媒体课件，综合利用多媒体展现授课内容，提高学习兴趣。重点和难点内容采用和传统板书教学相结合的方式，吸引学生的注意力，反复强调，加强理解。合理安排了习题课，精选例题与习题进行分析，进一步加强了对理论知识的理解。教师用心总结专业知识的认知规律，用不断刷新的内容扩大同学们的眼界，激发学习的欲望和兴趣，用精心设计又联系实际的例子启发同学的创造性思维，使难讲难学难理解的信息安全测评与风险评估教学变得内容丰富又生动形象，既富有逻辑性又有趣味性。教学手段：开展电子教案、研制多媒体教学系统。考试形式：期末考查与平时考核相结合，可查占70%，平时占30%。平时考核包含考勤、作业。期末考查

6、以随堂试卷（开卷）形式进行。第1章 信息安全测评思想教学要点：本章主要是对信息安全测评思想的介绍，主要介绍信息安全测评的科学精神；信息安全测评的科学方法；信息安全测评的贯标思想；信息安全标准化组织：国际标准化组织，国外标准化组织，国内标准化组织。教学时数：1学时教学内容：1.1 信息安全测评的科学精神1.2 信息安全测评的科方法1.3 信息安全测评的贯标思想1.4 信息安全标准化组织考核要求：1.识记：中国从事信息安全测评的机构名称。2.领会：在从事信息系统安全测评工作中，一个信息系统当初的建设方案是否也应该纳入测评过程之中。第2章 信息安全测评方法教学要点：本章主要是信息安全测评方法的介绍，

7、主要介绍为何测评：信息系统安全等级保护标准与TCSEC,中国的计算机安全等级保护标准，安全域；何时测评；测评什么：外网测评特点，内网测评特点；谁来测评；如何准备测评；怎样测评：测评案例“天网”工程，启动“天网”测评。教学时数：2学时教学内容：2.1为何测评2.2何时测评2.3测评什么2.4谁来测评2.5如何准备测评2.6怎样测评考核要求：1.识记：中国有关信息系统和安全产品的标准，如关于操作系统、防火墙等相关的安全标准。2.领会：中国国家标准中关于信息系统定级的出发点是什么。第3章 数据库安全测评技术教学要点：本章主要是对数据库安全测评技术的介绍，主要介绍数据库安全测评的诸方面；数据安全测评的

8、实施：数据安全访谈调研，数据安全现场检查，数据安全测试。教学时数：2学时教学内容：3.1数据库安全测评的诸方面3.2数据安全测评的实施考核要求：1.识记：访谈、检查和测试这三个环节之间的互相关系是什么。2.领会：现场检查工作中的手动检查与测试工作的异同何在。第4章 主机安全测评技术教学要点：本章主要是对主机安全测评技术的介绍，主要介绍主机安全测评的诸方面；主机安全测评的实施：主机安全访谈调研，主机安全现场检查，主机测试。教学时数：2学时4.1主机安全测评的诸方面4.2主机安全测考核要求：1.识记：主机安全测评与数据安全测评有什么相同和不同之处。2.领会：设计一个实验来检查主机对重要文件访问权限

9、是否进行了控制。第5章 网络安全测评技术教学要点：本章主要是对网络安全测评技术的介绍，主要介绍网络安全测评的诸方面；网络安全测评的实施：网络安全访谈调研，网络安全现场检查，网络安全测试。教学时数：2学时教学内容：5.1网络安全测评的诸方面5.2网络安全测评的实施考核要求：1.识记：网络安全测评与主机安全测评有什么相同之处和不同之处。2.领会：完成“网络设备防护测试”，并出具测试报告。第6章 应用安全测评技术教学要点：本章主要是对应用安全测评技术的介绍，主要介绍应用安全测评的诸方面；应用安全测评的实施：应用安全访谈调研，应用安全现场检查，应用安全测试。教学时数：2学时教学内容：6.1应用安全测评

10、的诸方面6.2应用安全测评的实施考核要求：1.识记：操作系统的安全测评属于应用安全测评的范围吗。2.领会：应用安全测评与“数据安全”、“主机安全”和“网络安全”等测评有什么相同和不同之处。第7章 资产识别教学要点：本章主要是对资产识别的介绍，主要介绍风险概述；资产识别的诸方面：资产分类，资产赋值；资产识别案例分析：模拟案例背景简介；资产分类；资产赋值；资产识别输出报告。教学时数：3学时教学内容：7.1风险概述7.2资产识别的诸方面7.3资产识别案例分析考核要求：1.识记：什么是Abraham Maslow层次需求理论。2.领会：试分析你所在单位的业务战略，如数字化校园的业务战略是什么。第8章

11、威胁识别教学要点：本章主要是对威胁识别的介绍，主要介绍威胁概述；威胁识别的诸方面：威胁分类植树和剪枝，威胁赋值统计；威胁识别案例分析：“数字兰曦”威胁识别。教学时数：3学时教学内容：8.1威胁概述8.2威胁识别的诸方面8.3威胁识别案例分析考核要求：1.识记：举例说明哪些威胁时显示社会具有的，但它们却不是目前信息安全威胁识别的重点。2.领会：打开计算机查看近一周的安全日志或系统日志，分析你所面临的安全威胁频率。第9章 脆弱性识别教学要点：本章主要是对脆弱性识别的介绍，主要介绍脆弱性概述；脆弱性识别的诸方面：脆弱性发现，脆弱性分类，脆弱性验证，脆弱性赋值。教学时数：3学时教学内容：9.1脆弱性概

12、述9.2脆弱性识别的诸方面考核要求：1.识记：脆弱性赋值和资产赋值的关系是什么。2.领会：为什么脆弱性识别过程中需要进行脆弱性验证。第10章 风险分析教学要点：本章主要是对风险分析的介绍，主要介绍风险分析概述；风险计算：相乘法原理，风险值计算示例；风险定级；风险控制；残余风险；风险评估案例分析：信息环境风险计算，人员资产风险计算，管理制度风险计算，机房风险计算，信息环境风险统计，公用信息载体风险计算，专用信息及信息载体的风险计算，风险计算报告，风险控制示例，风险控制计划。教学时数：4学时教学内容：10.1风险分析概述10.2风险计算10.3风险定级10.4风险控制10.5残余风险10.6风险评

13、估案例分析考核要求：1.识记：风险定级与信息系统的安全定级是什么关系。2.领会：风险等级高的系统一定对应于高安全等级的系统吗，为什么。第11章 应急响应教学要点：本章主要是对应急响应的介绍，主要介绍应急响应概述；应急响应计划：应急响应计划的准备，应急响应计划制定中应注意的问题，应急响应计划的制定，应急响应计划的培训、演练和更新；应急响应计划案例分析。教学时数：2学时教学内容：11.1应急响应概述11.2应急响应计划11.3应急响应计划案例分析考核要求：1.识记：风险分析与业务影响分析是什么关系。2.领会：试分析中国CNCERT/CC与世界其他国家CERT组织的异同。第12章 法律和法规教学要点

14、：本章主要是对法律和法规的介绍，主要介绍计算机犯罪概述；信息安全法律和法规简介：美国有关法律，中国信息安全法律和法规的历史沿革。 教学时数：2学时教学内容：12.1计算机犯罪概述12.2信息安全法律和法规简介考核要求：1.识记：查阅并统计世界各国对利用网络钓鱼技术进行犯罪活动的诉讼案例。2.领会：统计、整理和分析近年来发生在中国的计算机犯罪的类型、技术特点和审批依据。第13章 信息安全管理体系教学要点：本章主要是对信息安全管理体系的介绍，主要介绍ISMS概述；ISMS主要内容：计划（Plan），实施（Do），检查（Check），处置（Act）。 教学时数：2学时教学内容：13.1ISMS概述1

15、3.2 ISMS主要内容考核要求：1.识记：在中国ISMS与信息安全等级保护和风险评估的互相关系是什么。2.领会：如果你是一家大型IT企业的CEO，请你制定一个该企业通过ISMS认证的计划。第14章 信息安全测评新领域教学要点：本章主要是对信息安全测评新领域的介绍，主要介绍信息安全测评新领域概述；工业控制系统安全测评：ICS简介，ICS安全与IT安全，ICS安全防护技术简介，ICS系统安全评估；美国国家网络靶场一览。教学时数：2学时教学内容：14.1信息安全测评新领域概述14.2工业控制系统安全测评14.3美国国家网络靶场一览六、参考书目1. 许国志，等.系统科学.上海：上海科技教育出版社，20002. 许国志，等.系统科学与工程研究. 上海科技教育出版社，20003. 王文华，钱学森实录.四川：四川文艺出版社，20014. 关义章，等.信息系统安全工程学.北京：电子工业出版社，20025. GB 178591999 计算机信息系统安全保护等级划分准则6. GB 202712006 信息安全技术 信息系统通用安全技术要求7. 信息安全技术 信息系统安全等级保护基本要求（报批稿）8. 信息安全技术 信息系统安全等级保护实施指南（报批稿）9. 信息安全技术 信息系统安全保护等级定级指南（报批稿）10. 国信办200525号：电子政务信息安全等级保护实施指南（试行）专心-专注-专业