Наука к Образование
МГТУ им. Н.Э. Баумана
Сетевое научное издание
ISSN 1994-0408 УДК 378, 519.6
Системный подход к построению курсов программных и аппаратных средств защиты информации при подготовке специалистов по информационной безопасности
Козлов А. Д.1*, Шаповалова М. С.1 ^dfoawfgmaiim
1 Российский государственный гуманитарный университет (РГГУ) , Москва, Россия
В рамках международного научного конгресса "Наука и инженерное образование. SEE-2016", II международная научно-методическая конференция «Управление качеством инженерного образования. Возможности вузов и потребности промышленности» (23-25 июня 2016 г., МГТУ им. Н.Э. Баумана, Москва, Россия).
В данной статье рассмотрены вопросы, посвященные системному подходу при конструировании учебных курсов для подготовки специалистов в области информационной безопасности. В целом, изложены возможности создания учебного плана преподавания программных и аппаратных средств защиты информации для магистратуры. Предложена классификация курсов по группам технологического, проектного и эксплуатационного направления. Обсуждены возможности создания последовательностей учебных курсов для обеспечения комплексной подготовки магистров по информационной безопасности.
Ключевые слова: информационная безопасность, государственный образовательный стандарт, высшее образование, ГОС ВПО, системный подход в обучении
Введение
Перспективы проектирования, функционирования и эксплуатации систем защиты информации требуют углублённой подготовки специалистов с высшим образованием. Такая подготовка должна быть многоаспектной и подкреплённой большим набором изучаемых учебных дисциплин, что следует обеспечить построением учебных планов в соответствии с паспортом специальности и требованиями ФГОС [1].
К сожалению, в настоящее время особенности проектирования образовательных программ как бакалавриата, так и магистратуры подробно не регламентированы. C одной стороны, это означает возможность значительной вариативности при их проектировании, однако, в отсутствие регламентов образовательная программа для магистров может не быть преемственной образовательной программе бакалавриата по одному и тому же направлению подготовки. С другой стороны, как бакалаврская, так и магистерская про-
Наука и Образование. МГТУ им. Н.Э. Баумана. Электрон. журн. 2016. № 07. С. 160-167.
Представлена в редакцию: 07.08.2016 Исправлена: 28.08.2016
© МГТУ им. Н.Э. Баумана
грамма могут не быть целостными или системными. Наполнение такой программы, а также ее качество в настоящее время целиком и полностью зависят от компетентности разрабатывающих ее специалистов. В свою очередь, систематичность подготовки требует не только выстраивания последовательности учебных курсов, но и их взаимосвязанного наполнения. Разумеется, такое требование естественно для системы высшего профессионального образования, однако для специальностей инженерно-технического направления, тем более связанных с обработкой и комплексной защитой информации, оно является краеугольным камнем.
Для магистерских программ в рамках ФГОС наблюдается сокращение аудиторной нагрузки и большое количество часов отводится на самостоятельную работу студента, однако необходимо учитывать, что на магистерские программы могут поступать студенты, закончившие бакалавриат по другому направлению подготовки.
Здесь возникает несколько сложностей: во-первых, возможна ситуация, когда человек, имеющий диплом бакалавра по чисто гуманитарному направлению подготовки (например, по культурологии или психологии) захочет получить магистерскую степень в ИТ-сфере. Возможно и обратное - например, получение степени магистра по психологии специалистом в области защиты информации.
Вторая ситуация выглядит более простой. Получение гуманитарного образования после имеющегося инженерного или естественнонаучного, на наш взгляд, менее трудоёмко, поскольку последнее формирует у студентов логическое и системное мышление, умение выводить формулы, использовать основные физические и математические законы, решать разнотипные задачи, обнаруживать в них ошибки, находить и использовать необходимые ресурсы для решения конкретной задачи в рамках имеющейся системы или предметной области. Имеющиеся пробелы в знаниях относительно легко восполнимы изучением специальной литературу или получением дополнительного образования по выбранной магистерской программе.
В первом же случае всё гораздо сложнее, т.к. у магистранта, получившего гуманитарное образование, обычно нет понятийного аппарата, требующегося для получения новых знаний в ИТ-сфере. Чаще всего такие студенты испытывают откровенную боязнь всего, что связано с логикой и математикой, и зачастую у них не сформировано системное и логическое мышление. Поэтому, на наш взгляд, крайне затруднительно успешное обучение в магистратуре в области информационных технологий лиц, закончивших бакалавриат по гуманитарному направлению подготовки. Более конкретно, например, менеджеру или юристу легче окончить магистратуру по организационно-правовой защите информации, но не в области комплексной защиты информации, прикладной информатики или прикладной математики, которые требуют навыков программирования.
В целом же, полагаем, что в магистратуру в области информатики и информационных технологий эффективнее принимать баклавров с родственным направлением подготовки, таким как "Информационная безопасность", "Прикладная информатика", "Прикладная математика", "Робототехника", "Математическое обеспечение и администрирование инфор-
мационных систем", т.е. с образованием по физико-математическим наукам, информационной безопасности, автоматике и управлению, информатике и вычислительной технике.
Построение учебных курсов
Единых требований к формированию учебного плана как для бакалавриата, так и для магистратуры не существует, поэтому процесс его составления отчасти подобен полими-но, т.е. дисциплины могут переставляться между семестрами, комбинироваться между собой и т.д. Однако качество учебного плана (его гармоничность как с точки зрения содержательного наполнения, так и с отражением современных тенденций практической деятельности) зависит, в первую очередь от компетентности его составителя.
Необходимо помнить о том, чтобы процесс преемственности соблюдался не только при проектировании бакалаврских и магистерских программ одного направления подготовки, например, "Информационная безопасность", но и близких направлений подготовки, относящихся к ИТ-сфере, поскольку выпускник может захотеть освоить близкую или смежную специальность, или более углубленно специализироваться уже в рамках того направления подготовки, которое было освоено на уровне бакалавриата.
Учебные курсы, связанные со специализированной подготовкой в области защиты информации (в отличие от общекультурной подготовки) можно разделить на технологические, проектные и эксплуатационные.
К первой группе, с точки зрения обработки информации, следует отнести курсы программистского цикла, такие как
• программирование на языках различной направленности (C++, C#, JAVA и т.д.),
• структуры данных и алгоритмы их обработки,
• алгоритмы поиска информации, проектирование и оценка сложности алгоритмов,
• прикладная теория информации.
Результатом освоения материала этих курсов должно явиться умение специалиста квалифицированно выбирать и конструировать эффективные программные средства защиты информации, в том числе и с использованием современных пакетов прикладных программ [3].
Разумеется, специалисту с высшим образованием необходимы знания и в области аппаратуры, комплектующей системы информационной безопасности. Соответствующие курсы также обязательны в системе подготовки, однако их направленность, как представляется, должна быть скорее описательной, т.к., как правило, специалисты именно по системам информационной безопасности крайне редко занимаются созданием «элементной базы» таких систем. Они должны уметь выбрать нужную аппаратуру из существующих образцов и, что исключительно важно, сформулировать технические требования на новые образцы техники к проектировщикам и конструкторам соответствующих изделий.
Пограничными между этими группами учебных курсов должны служить дисциплины, формирующие знания об аппаратных средствах современной вычислительной техники в соответствии с её предназначением в системах информационной безопасности. Имеются в
виду структуры современных вычислительных средств, их комплексов, систем и сетей. Следует выделить группы компьютерных средств в соответствии с их функциональным назначением, расположением, мобильностью и т.д., т.е. в связи с различными областями и задачами защиты информации. Именно здесь наиболее эффективно «навести мосты» между предметными проблемами защиты информации и возможными подходами к их решению.
Вторая группа учебных курсов должна сформировать у студентов представление о современных методах проектирования систем защиты информации. Для этого, в первую очередь, следует дать студентам знания и навыки анализа предметных областей использования таких систем, выделения конкретных технических проблем, возникающих в связи с потенциальными угрозами в процессе обработки и передачи информации и т.д. По сути, это курс, обеспечивающий подготовку специалистов к деятельности на этапе предпроект-ных исследований в рамках ГОСТ 23501.7-80 [2]. В настоящее время подобный курс в стандартной программе подготовки по информационной безопасности, в отличие от обучения по направлению «Прикладная информатика», отсутствует [1].
Далее, представляется необходимым существование одного достаточно продолжительного курса или даже нескольких, в рамках которых обучающиеся приобретут навыки проектирования систем или объектов информационной безопасности на системном уровне и моделирования функционирования сложных систем. Такой курс не должен сводиться к существующим курсам проектирования информационных систем, а скорее, учитывать возможности построения системы защиты от комплексных угроз для информации в защищаемом объекте, который сам по себе тоже, как правило, не однороден, а представляет собой систему подобъектов.
Особенно важно обучение методам моделирования работы защищаемого объекта как на уровне взаимодействующих подсистем обработки и хранения информации, так и на уровне взаимодействующих параллельных и последовательных процессов. Для решения первой задачи возможно изучение и использование таких программных средств, как AllFusion Process modeler, Aris.
Вторая задача может быть обеспечена рассмотрением случайных процессов c применением аналитических математических моделей и средств программной имитации объектов и процессов. Именно здесь необходимо уделить особое внимание взаимодействию программных и аппаратных средств для построения систем защиты информации.
Наконец, в группу эксплуатационных учебных курсов следует включить дисциплины, описывающие функционирование существующих систем информационной безопасности - как их аппаратуру и структуры, так и, если они используются, математические и программные решения, обеспечивающие защиту информации. Как раз к этой группе можно отнести такие вопросы, как изучение:
• теории и практики построения кодов, обнаруживающих и корректирующих ошибки при передаче информации (помехоустойчивое кодирование);
• криптографических алгоритмов и связанных с ними проблем теории чисел и генерации случайных чисел с различными функциями распределения.
Эти проблемы также можно решать, как на программном, так и, частично, на аппаратном уровне, и студенты должны иметь глубокие знания и представление об обоих подходах.
В то же время наблюдается следующая тенденция: при введении образовательных стандартов нового поколения сокращается число часов, отводимых на аудиторную нагрузку, и с 30% до 50% увеличивается доля от общего числа часов, отводимых на самостоятельную работу студента. Новые образовательные стандарты вводят академический и прикладной бакалавриат, что также предусматривает большее количество практик и самостоятельной работы студента. Разумеется, обучение магистров должно учитывать эту новую базу.
Кроме того, образовательные стандарты сейчас имеют достаточно вариативный характер: нет четких министерских рекомендаций по наполнению образовательной программы и количества часов, отводимых на отдельную дисциплину. В стандартах поколения 3+ выделяется академический и прикладной бакалавриат. При подготовке в рамках академического бакалавриата большее внимание уделяется теоретическому обучению, которое, как правило, составляет примерно 60% от аудиторной нагрузки которая была у специалистов, которых готовили до 2015 г. Основную долю нагрузки прикладного бакалавриата составляет практическое обучение, которое, по мнению авторов стандарта, должно осуществляться в рамках прикрепления к какому-либо предприятию, а доля теоретических занятий оставляет примерно 40% от аудиторной нагрузки специалистов.
Возникают вопросы: эквивалентны ли дипломы бакалавра, которые получали выпускники с 2015 г. и диплом специалиста, которым обладают выпускники прошлых лет? Эквиваленты ли дипломы специалиста и магистра? Очень часто в США и в Западной Европе дипломы специалистов, полученные в России, приравниваются к магистерским дипломам после прохождения процедуры нотарификации.
Вторая группа вопросов: является ли получение бакалавром или специалистом получение магистерского диплома другой специализации своего рода переквалификацией? Соответствует ли новый образовательный стандарт 3+ каким-либо международным требованиям и эквивалентен ли диплом бакалавра, полученный в Европе или США Российскому диплому?
По данным сайтов ВУЗов Европы, США и Канады единых требований для подготовки бакалавров нет, а срок их обучения варьируется в зависимости от страны и от конкретного направления подготовки. Например, в России срок подготовки бакалавров по 1Т-специальностям составляет 4 года, а в США - 5-6 лет. Поэтому вопрос эквивалентности подготовки бакалавров в разных странах остается открытым, и в каждом отдельном случае решение принимает конкретный университет на основании требований государства.
В силу вариативности российского стандарта 3+ университет может самостоятельно разрабатывать образовательные программы, как правило, не имея достаточно четких рамок, в которые его раньше ставили примерные программы Минобразования. С другой стороны, эта вариативность может привести к тому, что подготовка в различных вузах
может иметь отличаться по специфике. Например, вуз с сильной гуманитарной составляющей может добавить в учебный план специалистов в области IT такие дисциплины, как история, философия. Это значит, что разработанный учебный план разных вузов, выполняющих подготовку по Прикладной информатике или Защите информации может достаточно существенно различаться. Остаётся и вопрос наличия базовых дисциплин для различных направлений подготовки с учётом специфики слушателей. Так, базовый курс "Информатика" должен включать в себя в основном работу с текстом и электронными таблицами, но для управленцев и юристов было бы целесообразно включить в этот курс работу со справочно-поисковыми системами; для психологов и социологов - углублённо изложить статистическую обработку данных с помощью табличных процессоров; для историков - поиск информации в библиотечных системах и базах данных.
Для формирования общекультурных компетенций у студента в учебном плане должны присутствовать такие дисциплины, как Русский язык, История, Философия, Иностранный язык. Выделяется важность изучения иностранного языка будущими специалистами, поскольку большинство учебников, техническая документация по программам и международные стандарты прежде всего издаются на "международном" - английском языке. Поэтому и преподавание языка должно прежде всего сводиться к профессиональной составляющей, к техническому английскому.
Новые тенденции проявляются в спецкурсах для студентов начиная с 3 года обучения при хорошем владении навыками программирования, анализа предметной области и проектирования информационных систем, т.е. во второй половине бакалавриата и в магистратуре.
При квалифицированной подготовке программиста или системного аналитика необходимы такие курсы, как "Методы анализа предметных областей", "Проектирование информационных систем", "Разработка и стандартизация программного обеспечения". Это нужно для анализа предметной области, моделирования процессов в информационной системе, интеграции в готовую систему новых программных продуктов и аппаратуры, реинжиниринга систем, а также пользоваться имеющейся документацией (стандартами, регламентами), а также создавать собственную техническую документацию на инженерные разработки.
В программе подготовки совершенно необходимы курсы по изучению баз данных, но надо решить, какую СУБД лучше выбрать для изучения. Чаще всего в качестве первой СУБД выбирается MS Access, поскольку он входит в состав MS Office и не требует дополнительных затрат на покупку программного обеспечения, с другой стороны его интерфейс является более простым и понятным для работы, чем интерфейс MS SQL Sever или Oracle. Однако MS Access не даёт хорошей реализации работы с удалённой базой данных, почти не имеет возможности разграничения прав различных пользователей для доступа к базе, не поддерживает работу триггеров и хранимых процедур и имеет неудобный для пользователя диалект MS SQL. Поэтому СУБД MS Access лучше использовать в курсе "Информатика", а полноценный курс "Базы данных" читать с использованием Oracle, Intebase, MySQL или MS SQL Server [4].
Полноценные курсовые работы могут быть сделаны, начиная с 3 курса, но студентов надо готовить к этой деятельности с использованием проектных методик. Одним из главных условий возможности применения таких методик является "посильность" проекта, т.е. соответствие сложности проекта уровню подготовки студента и степени детализации плана проекта. Сначала лучше всего предложить студенту не просто тему проекта, но и детально проработанный план его выполнения. В дальнейшем детальность задания должна уменьшаться, чтобы к концу обучения план учебного проекта совпадал с документацией, прилагающейся к работе над дипломным проектом. Для инженерных специальностей -это тема работы, её оглавление, включая названия подразделов, а также техническое задание на проект. В литературе, посвященной проектированию информационных систем, нет четкого определения технического задания, однако существует ГОСТ 34.602-89 Техническое задание на создание автоматизированной системы [5,6]. Курсовые работы должны быть составными частями будущего диплома.
Заключение
Построение взаимопроникающих и взаимодействующих учебных курсов, обеспечивающих подготовку специалистов в области программных и аппаратных средств защиты информации, следует рассматривать как системную задачу именно в рамках магистерских программ высшего специального образования., поскольку учебная программа, построенная таким образом будет системной и целостной, что позволит профессионально самоопределиться выпускнику магистратуры за счет того, что он будет иметь понятие о смежных сферах деятельности и возможности интеграции в них. Кроме этого, у такого выпускника будет возможность работать не только по узкой специальности, например, специалиста по защите информации, но и в качестве программиста или системного аналитика, что будет обеспечивать его конкурентоспособность на рынке труда.
Список литературы
[1]. ГОСТ 23501.7-80. Системы автоматизированного проектирования. Предпроектные исследования. Введ. 1981-01-01. Оконч. 1986-07-01. М.: Изд-во стандартов. 1980. 28 с. Режим доступа: http://meganorm.rU/Index2/1/4294741/4294741934.htm (дата обращения: 5.08.2016)
[2]. Козлов А.Д., Шаповалова М.С. Особенности подготовки специалистов по защите информации в области программирования. // Сборник материалов Международной научно-практической конференции «Современные проблемы и задачи обеспечения информационной безопасности» (СИБ-2015). (09 апреля 2015 года, г. Москва, МФЮА). М.: МФЮА. 2015. С. 65-70
[3]. ГОСТ 52653-2006. Информационно-коммуникационные технологии в образовании. Термины и определения. Введ.12008-07-01. М.: Стандартинформ. 2007. 7 с. Режим доступа: http://www.ifap.ru/library/gost/526532006.pdf (дата обращения: 5.08.2016)
[4]. ГОСТ 34.321-96. Информационные технологии. Система стандартов по базам данных. Эталонная модель управления данными. Введ. 2001-07-01. М.: ИПК Изд-во стандартов. 2001. 24 с. Режим доступа: http://tdocs.su/11212 (дата обращения: 5.08.2016)
[5]. ФГОС ВПО третьего поколения по направлению подготовки 230700 Прикладная информатика. Приложение. [Электронный ресурс]. Режим доступа: http://www.edu.ru/db/mo/Data/d_09/prm783-1.pdf (дата обращения: 5.08.2016)
[6]. Федеральные государственные образовательные стандарты высшего образования (ФГОС ВО) нового поколения. // Федеральный портал: Российское образование. Режим доступа: http://www.edu.rU/abitur/act.7/fgos.010400/st.1/index.php (дата обращения: 5.08.2016)