制定信息安全課程

業(yè)已出現(xiàn)的混合型信息技術(shù)／安全項目的一個原因是要彌補因缺乏正規(guī)指導而造成的缺陷。如計算機機械聯(lián)合會(ACM)、電氣及電子工程協(xié)會(IEEE)、工程技術(shù)鑒定部( ABErr)就沒有正式的信息安全課程模式。然而，國家科學基金會( NSF)和美國社區(qū)大學協(xié)會等兩年制教育機構(gòu)在2002年發(fā)起了一個研討會，擬訂了一篇名為《社區(qū)大學在計算機安全教育方面的任務》的行動方針，這篇報導成為了社區(qū)大學制定該領(lǐng)域內(nèi)課程的起點。四年制教育機構(gòu)的類似努力正在進行當中，但還處在萌芽階段。

任何教育機構(gòu)在設(shè)計信息安全的正式課程時必須仔細繪制遵循有一定目標的課程學習計劃示意圖，以建立要傳授的知識主體。該示意圖能夠幫助學生評估信息安全學科項目、確定該項目畢業(yè)生獲得的技能和知識群。研究生水平的項目更復雜而且事實上可能更需要管理，這有賴于不同的項目。對于大學本科水平， 學科項目制定者要檢查畢業(yè)生期望工作的區(qū)域，然后確定需要的技能和知識。

所建立的知識示意圖可以不同，因為許多學術(shù)機構(gòu)沒有意識到信息安全領(lǐng)域內(nèi)存在許多分支學科，每一學科都可能有不同的知識需求。例如，關(guān)注管理的學生想在政策、計劃、個人管理和別的方面得到培養(yǎng)；比較而言，興趣側(cè)重在技術(shù)方面的學生可能需要在諸如Windows網(wǎng)絡(luò)安全、防火墻、IDS、遠程訪問和身份鑒定等特定領(lǐng)域方面的課程。

許多機構(gòu)沒有一個特定領(lǐng)域所需要的技能和知識的參考結(jié)構(gòu)，因而他們頒發(fā)的是該領(lǐng)域相關(guān)的資格證書（將在第10章討論）。一個注重管理的項目要檢查像CISSP、CISM或GISO -樣的資格證書；一個更注重技術(shù)的項目要檢查特定的GlIAC十安全十資格證書。

圖5 -12顯示了描繪信息安全中所要執(zhí)行任務以及相應的核心技術(shù)需要，然后再從任務所需要的知識范圍反過來描繪這些任務。例如，CISO可能需要實際了解所有的知識領(lǐng)域，而防火墻管理員只需要有1 -2個區(qū)域的實際技能。通過學習目標分類或者采用類似“理解一完成一熟練一精通”的過程，知識的深度就得到了說明。

知識領(lǐng)域一旦確定，公共知識領(lǐng)域就可融會到教學范圍之中，從中就可以建立單獨的課程。課程設(shè)計應當使學生獲得所需要的知識和技能。例如，對防火墻管理員來說，緒論課（提供理解）后是技術(shù)安全課（具體操作），隨后就是防火墻管理員課（熟練和精通）。

最后就是確定每一課程的必備知識，圖5 -13根據(jù)知識領(lǐng)域和必修課程的要求提供了課程示例。