制定信息安全課程

業已出現的混合型信息技術／安全項目的一個原因是要彌補因缺乏正規指導而造成的缺陷。如計算機機械聯合會(ACM)、電氣及電子工程協會(IEEE)、工程技術鑒定部( ABErr)就沒有正式的信息安全課程模式。然而，國家科學基金會( NSF)和美國社區大學協會等兩年制教育機構在2002年發起了一個研討會，擬訂了一篇名為《社區大學在計算機安全教育方面的任務》的行動方針，這篇報導成為了社區大學制定該領域內課程的起點。四年制教育機構的類似努力正在進行當中，但還處在萌芽階段。

任何教育機構在設計信息安全的正式課程時必須仔細繪制遵循有一定目標的課程學習計劃示意圖，以建立要傳授的知識主體。該示意圖能夠幫助學生評估信息安全學科項目、確定該項目畢業生獲得的技能和知識群。研究生水平的項目更復雜而且事實上可能更需要管理，這有賴于不同的項目。對于大學本科水平， 學科項目制定者要檢查畢業生期望工作的區域，然后確定需要的技能和知識。

所建立的知識示意圖可以不同，因為許多學術機構沒有意識到信息安全領域內存在許多分支學科，每一學科都可能有不同的知識需求。例如，關注管理的學生想在政策、計劃、個人管理和別的方面得到培養；比較而言，興趣側重在技術方面的學生可能需要在諸如Windows網絡安全、防火墻、IDS、遠程訪問和身份鑒定等特定領域方面的課程。

許多機構沒有一個特定領域所需要的技能和知識的參考結構，因而他們頒發的是該領域相關的資格證書（將在第10章討論）。一個注重管理的項目要檢查像CISSP、CISM或GISO -樣的資格證書；一個更注重技術的項目要檢查特定的GlIAC十安全十資格證書。

圖5 -12顯示了描繪信息安全中所要執行任務以及相應的核心技術需要，然后再從任務所需要的知識范圍反過來描繪這些任務。例如，CISO可能需要實際了解所有的知識領域，而防火墻管理員只需要有1 -2個區域的實際技能。通過學習目標分類或者采用類似“理解一完成一熟練一精通”的過程，知識的深度就得到了說明。

知識領域一旦確定，公共知識領域就可融會到教學范圍之中，從中就可以建立單獨的課程。課程設計應當使學生獲得所需要的知識和技能。例如，對防火墻管理員來說，緒論課（提供理解）后是技術安全課（具體操作），隨后就是防火墻管理員課（熟練和精通）。

最后就是確定每一課程的必備知識，圖5 -13根據知識領域和必修課程的要求提供了課程示例。