摘 要：安全编码能力应当是信息安全专业学生的必要技能之一，作者进行了多年实践，将学生安全编码能力的培养与程序设计课程群、操作系统、软件工程等课程相结合。介绍了在教学中加强安全编码能力训练的3个主要途径：与相关课程体系如何有机结合；选择哪些合适的教材；安全编程教学实例的介绍。并指出，通过教学实践可以对学生能力的培养做到3个提升：防御性编程到安全性编程的提升；增加安全功能到增加安全的功能的提升；注重软件安全到注重软件质量的提升。实际效果表明，学生的安全编程能力得到了提高，在求职面试及实际工作中有较好的表现。
    关键词：信息安全；程序设计；安全编码；教育

    1 背景介绍

    “信息安全类专业指导性专业规范”项目组提出的《信息安全类专业知识体系》[1]中，将全国70多所设立信息安全专业的高校分成两类，分别制定了各自的专业规范：1）研究型信息安全专业，培养学生以从事信息安全领域的研究开发工作为主；2）应用型信息安全专业，培养学生以从事信息安全领域的应用服务工作为主。
    我们认为，该《知识体系》规定了信息安全专业本科生应当学习的基本理论、基本技能和基本应用，这些内容是信息安全专业学生所应学习的最小集合，给学生自主学习留出了空间，给高校办出特色留出了空间。
    笔者所在的南京师范大学自2005年在计算机学院开设本科信息安全专业方向，我们施行的是偏研究型的专业知识和实践能力教学体系。我们根据信息安全学科的特点和信息安全理论、技术及应用发展的现实要求，在学校“研究性教学示范课程《信息安全》”项目、“计算机专业本科生创新性训练体系建设研究”等项目的支持下，作者在信息安全专业方向学生的安全能力培养等方面做了一些有益的探索和实践。
    信息安全专业人才应当具备应用实践能力、团结协作能力、思维创新能力。其中的应用实践能力包括，保障信息系统安全运行的维护管理能力以及实现安全原理与技术的编程开发能力。对此，不少学者进行了深入的研究[2-4]。
    但是根据笔者的了解，目前高校在学生编程能力的培养上还存在如下两个主要问题：
    1）缺乏安全编码能力的培养。这里所谓的安全编码并不仅仅指编写与安全相关的程序代码，而是指编写出的程序代码无错误少漏洞。
    我们知道，软件系统存在漏洞是信息安全问题的主要根源之一。随着软件系统规模的不断增大，软件组件中的安全漏洞也不可避免的存在。可以说，任何一个软件系统都会因为程序员缺乏安全编码的意识和训练，开发过程中不规范等原因而存在漏洞。
    如何保证程序员能够开发出安全的软件系统呢？作者认为，这需要一个训练有素的工程团队，以及一批熟知基本的安全弱点、常见的安全漏洞类型、基本的安全设计和熟练进行安全测试的程序员。而这又以系统的安全意识、安全技术的培训为前提，可以说高校信息安全专业的教学是提高软件安全性、确保软件质量的基础。
    2）如何进行安全编码能力的培养。安全编码能力并不仅仅意味着只要了解软件的安全特性，还要求能够理解如何创建并应用安全特性。安全编码具有系统性，编写安全的代码绝不是检查程序中的几个错误语句，也不是仅仅使用代码安全检测工具检测一下了事。安全编码也不是事后给软件打补丁，安全编码应当贯穿于软件开发的各个阶段，涉及计算机的硬件、软件、开发环境等多个方面。
    笔者认为，安全编码能力的培养可以与信息安全专业知识系统和实践能力体系相结合，贯穿于程序设计课程群、操作系统、软件工程等课程的教学中。作者对此进行了多年的实践，本文重点介绍了在信息安全教学中加强安全编码能力训练的3个主要途径：如何与程序设计及相关课程体系有机结合；选择哪些合适的教材；安全编码教学实例的介绍。 
    
   2 贯穿于现有课程体系的安全编码能力训练

    安全编码的训练应当从高校一年级程序设计基础课程的教学开始，并且应当与程序设计课程体系相结合，以确保学生在高校的四年学习中安全编码训练不间断。
   

(责任编辑：adminadmin2008)