【编者按】大数据时代,随着信息社会网络技术的迅猛发展和应用,作为第五空间的网络空间安全已上升到国家战略的高度,网络空间安全专业作为新设立专业,建立科学完善的人才培养模式,加速培养综合能力强的各层次网络安全人才,已成为维护网络主权、保护网络空间安全亟待解决的问题。为此,必须认清当前网络安全人才培养的紧迫性与机遇,合理借鉴国外发达国家在网络安全人才培养中的主要经验,以培养高素质的创新型网络安全人才为目标,依据最新最权威的CSEC2017网络空间安全学科知识体系,构建科学合理的“层次化+模块化”立体式教学知识体系,通过科研、竞赛、校企结合、持续教育等多种渠道和方式,协同培养新工科建设过程中,能够适应和满足网络空间安全发展需求的创新型网络安全人才。
创新型网络安全人才培养探讨
战略支援部队信息工程大学 秦艳锋 奚琪 彭建山
在当今的信息社会和大数据时代,随着IT技术的发展,网络技术的应用已经渗透进人们生活的各个方面,互联网、物联网、人工智能等新工程技术的发展和应用,使得我们对网络的依赖越来越强,网络空间作为第五维空间,其中的网络攻击、系统安全、数据泄露等问题也变得愈加的突出。为此,我国于2014年成立了“中央网络安全与信息化领导小组”,习总书记亲自担任组长,并且指出“没有网络安全就没有国家安全”,“信息安全已成为国家安全的重要组成部分,国家重要信息系统和基础设施的维护需要一支具有较高信息安全专业知识的建设和管理队伍”。在当前建设网络强国的大环境下,培养网络空间安全人才已被确定为国家的一项中长期发展战略,完善网络安全学科建设,加强创新型网络安全人才培养,已成为亟待完成的一项重要工作。
一、加强网络安全人才培养创新的迫切性
我国网络安全专业起步较晚,网络安全人才的培养无法满足当前应对日益严重的网络威胁问题的需求,因此迫切需要进一步发展并加强网络安全人才培养创新,主要体现在以下三个方面。
第一是国际国内网络空间安全形势日益严峻。2017年,对于全球互联网用户来说无疑是惊心动魄的一年。在这一年里,伴随永恒之蓝出现的勒索病毒席卷全球、美国中情局绝密文件被泄露、乌克兰遭黑客围攻,尤其是Wannacry在全球范围的高调出镜,让人们对网络安全的关注达到前所未有的高度。《世界互联网发展报告2017》中指出,世界范围内非传统安全问题凸显,网络安全日益成为国家安全的重中之重。当前网络安全威胁持续呈高发态势,网络攻击、网络犯罪、隐私泄露等各类安全问题更加突出,网络安全成为事关世界各国和地区安全的重要问题。据美国联邦调查局调查,僵尸网络给美国造成的损失高达90亿美元,全球约为1100亿美元,每年全球大约有5亿台主机受害。2018年3月7日,黑客对币安等数字货币交易所的攻击过程,初步显露了黑客攻击的去中心化态势,更是进一步刷新了人们对网络攻击方法及威胁的认识。我国是世界上网民数量最多的国家,同时也是遭受网络攻击最多的国家,勒索病毒、移动智能终端安全、钓鱼网站、APT攻击等网络安全事件始终处于高发态势,国家安全和网民利益受到严重损害,全面加强网络空间安全已迫在眉睫,而网络安全人才培养显然是其中最为关键的环节。
第二是网络安全人才不足,亟待加强和创新人才培养。据《腾讯安全2017年度互联网安全报告》,截止2017年上半年,我国网络安全人才总需求量超过70万人,相关行业每年还以1.5万人的速度递增,但我国高校教育近年培养的信息安全专业人才仅3万余人,远不能满足网络安全行业的需要。而从网络安全人才培养质量上看,目前国家还需要进一步建立更为行之有效的网络安全高端人才培养体制,加快形成助推高水平网络安全专家、网络科技领域的领军人才脱颖而出的机制。因此,需要全方位创新人才培养模式,凝聚各方共识,共同完善我国网络安全人才培养机制。
第三是国家对网络空间安全问题的高度重视,为网络安全人才培养和学科建设提供了良好的发展机遇。2015年6月11日,为实施国家安全战略,加快网络空间安全高层次人才培养,国务院学位委员会、教育部在“工学”门类下增设“网络空间安全”一级学科,学科代码为“0839”,授予“工学”学位,这无疑是加快我国网络空间安全人培养的一大举措。2016年4月,习总书记在“网络安全和信息化工作座谈会”上指出:“培养网信人才,要下大功夫、下大本钱,请优秀的老师,编优秀的教材,招优秀的学生,建一流的网络空间安全学院。”《网络安全法》第二十条将培养网络安全人才确定为一项基本法律制度:国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。这些,都为我国网络安全人才的培养提供了良好的发展环境和顶层支撑,带来了前所未有的发展机遇。
二、各国网络安全人才培养的主要经验
为了更好的应对网络安全威胁,美国、欧盟、俄罗斯、日本等许多国家纷纷采取了多项措施促进网络安全人才的培养。首先,制定顶层的战略规划或政策标准对人才培养进行全过程引导和规范。如美国颁布了40多项与网络空间安全相关的文件,而且在白宫设立了网络安全办公室,防范来自网络空间的安全威胁,协调美国网络安全政策,开展对民众的网络安全教育。日本出台了“网络安全战略”,明确提出以网络安全立国,于2016年正式确定实施网络安全人才培养计划。美国早在2011年就发布《国家网络安全教育计划》(National Initiative of Cybersecurity Education, NICE),由政府、学界和私营部门共同关注和促进网络安全人才的培养和教育,并于2016年4月发布了第二版《NICE战略计划》,其使命为“加强和推动网络安全教育、培训与人才队伍发展网络和生态系统”,目标为“加快学习和技能的开发,培养多样化的学习群体,指导职业发展和人才队伍规划”,与之前相比,其总体目标从网络安全人才的“规模化发展”转向“多样化和可持续化发展”,这也标志着美国的网络安全人才发展工作取得了实质性进展,一个稳定的人才生态正初步成型。
二是是通过高等院校和多方面渠道培养高端网络空间安全人才。高等院校是高端人才的重要来源,因此,各国都采取各种措施通过高校培养各层次尤其是高端网络安全人才。如美国大力加强高校网络安全专业及大型网络安全实验室建设,如卡内基梅隆大学的CyLab实验室,是全美规模最大的网络安全研究和教育中心之一,在网络安全技术、信息保障等领域处于全球领先地位。作为“网络安全战略”的一部分,英国设立了12个网络安全专业的硕士文凭,旨在通过教育提升英国防范黑客和网络欺诈的能力,同时为政府和商业部门培养未来的网络安全专家。同时,各个国家也采取多项措施,从不同途径和渠道发现和网罗人才。如英国政府重视发挥公司、院校、科研机构的优势,培养英国公民的网络安全意识和网络安全专业人才。俄罗斯通过招募“白色黑客”应对网络攻击,美国通过“入侵五角大楼”、“入侵陆军”等网络安全项目,发现自身网络漏洞的同时,发现更多的网络安全人才。
三是通过各类网络安全大赛发现并挖掘网络安全人才。为此,各个国家都举办了各种不同规模的网络安全挑战赛,如美国国防部高级研究局计划署(DARPA)举办的全球性网络安全挑战赛(CGC)、美国五角大楼的网络安全服务商ZDI主办的Pwn2Own黑客大赛等比赛,都在世界范围有较大影响力。英国Cyber First计划通过网络挑战赛发现潜藏在民间的网络人才。日本也举办了多次规模庞大的黑客比赛,以激励和培养更多的高层次网络安全人才。
三、创新网络安全人才培养
(一)培养高素质的创新型网络安全人才
2016年6月,我国发布了《关于加强网络安全学科建设和人才培养的意见》,意见中指出,要在已设立网络空间安全一级学科的基础上,加强学科专业建设,加强实验室等建设,完善本专科、研究生教育和在职培训网络安全人才培养体系。2016年12月,国家互联网信息办公室发布《国家网络空间安全战略》提出,实施网络安全人才工程,加强网络安全学科专业建设。2017年6月1日开始正式实施《网络安全法》,首次以法律条款的形式对网络空间安全领域的人才问题进行规定,这不仅体现出国家对网络人才的重视,更是为国家各机关出台网络安全人才培养的细则提供了顶层的法律依据。
为满足我国网络空间安全事业发展的需求,培养网络空间安全人才的工作已刻不容缓,特别是培养高素质、强能力、创新型、多层次的安全人才已经成为各个国家进行网络空间对抗的人才保障基础。作为网络空间安全领域的安全技术、安全管理及安全战略等各层次人才,首先应该具备正确的道德观和是非观,能够正确运用自己掌握的各类专业知识,自觉维护网络空间中的正常秩序,而不能成为一名“攻击者”。同时,应全面掌握网络空间安全的基础理论知识和技术方法,具备较强的学习能力,这是其不断进步和成长为高层次人才的前提;在此基础上,应不断加深其面向特定应用需求的专业技术核心能力,这是其成为网络安全高端人才的必要条件。为了能够适应并解决实际工作中遇到的各种网络安全威胁和问题,还应该注重对网络安全人才的综合能力的培养,不断提高其综合运用所学专业知识甚至跨学科解决问题的工程实践能力,随着新工科的发展,自主学习并自觉运用新兴学科专业知识,培养出高素质、创新型网络安全人才。
为此,还需要研究并制定科学的、面向特定网络空间安全方向或应用领域的评价指标体系,促进网络安全人才的培养和发掘。
(二)构建科学合理的“层次化+模块化”网络空间安全教学知识体系
网络空间安全是涉及到多种学科的一门综合性交叉学科,包括计算机科学、网络技术、通信技术、电子技术、密码学、数学、物理、法律等。从广义上说,网络空间安全要实现的目标是信息的机密性、完整性、可用性、可靠性、可控性和可审查性,不仅仅是技术安全,还包括法律法规上的安全。网络安全人才应掌握密码和网络空间安全基础理论和技术方法,掌握信息系统安全、网络基础设施安全、信息内容安全和信息对抗等相关专门知识,并具有较高网络空间安全综合专业素质、较强的实践能力和创新能力,能够承担科研院所、企事业单位和行政管理部门网络空间安全方面的科学研究、技术开发及管理工作。
2018年2月,经过两年多的努力,网络空间安全学科知识体系(CSEC2017)在ACM SIGCSE 2018国际会议上正式发布,这是迄今为止国际上最具广泛代表性和权威性的网络空间安全学科知识体系。CSEC2017包含数据安全、软件安全、组件安全、连接安全、系统安全、人员安全、组织安全和社会安全8大知识领域,可以粗略地从四个层面进行考察,由低到高,第一层包含数据安全、软件安全和组件安全,第二层包含连接安全,第三层包含系统安全,第四层包含人员安全、组织安全和社会安全。越低层越基础,越高层越接近现实世界。特别地,数据安全是最基础的知识领域,社会安全是最现实的知识领域。最上层的第四层是人文社科色彩浓厚的知识领域,其余5个主要属于理工科知识。
在网络安全人才培养授课过程中,可根据CSEC2017的知识体系构成,将其各个领域的内容划分为相对独立,耦合度低的多个知识模块,再根据授课对象如本科、硕士、博士、专职培训等的不同,构建并实施“层次化+模块化”的立体式教学知识体系。在前期培养阶段,注重学生对基本知识和能力的全面学习和掌握,体现教学的基础性和专业性。中后期阶段,构建深层次、跨学科的专业方向模块,强调多学科交叉融合,体现学习的拓展性。在后期,紧跟新工科的发展和高新网络安全人才培养的需求,及时动态构建各种新知识新技术模块,如当前新兴的人工智能、区块链等,注重掌握前沿知识和应对新型网络威胁的技术挑战,体现培养的创新性和超前性。在进行设计实施的过程中,保持知识模块的逻辑性、系统性和知识体系的全面性、完整性,并始终贯穿于课程体系建设、教学内容组织、教学形式设计等各个培养环节。
(三)多种方式协同进行网络安全人才培养
通过“层次化+模块化”的教学知识体系,能够较好解决知识的传授和学习问题,然而要培养出高素质的创新型网络安全人才,还需要通过多种方式协同培养。
首先是依托科研课题,促进网络安全人才培养。网络空间安全学科知识体系涵盖了大数据安全、云计算安全、物联网安全、工业基础设施安全等新兴应用领域,优秀的教学团队通过高质量的科研,不仅能够紧跟网络安全前沿,促进教学内容的及时更新和教学科研能力的不断提升,同时也可激励选拔优秀学生参与到相关课题研究,从而辐射促进、锻炼提升学生的综合能力。
其次,以技能竞赛为引导,创新网络安全人才培养新模式。通过举办和参加网络安全竞赛,发现并培养网络空间安全领域的“人才”、“奇才”和“怪才”,因材施教,选拔和培养高水平的网络安全人才。当前大多数网络安全竞赛,如“强网杯”、XCTF等的内容已经包括了Web安全、智能终端安全、密码分析、信息隐藏、编程开发、逆向工程、漏洞挖掘利用、电子取证、云安全等常用技术手段,通过参加比赛进行实践,能够激发学生学习和研究的潜能,大大加强其综合运用理论知识解决问题的能力。
第三,高校与企业合作培养模式。为了弥补传统教育模式中重理论而轻实践,实验环境匮乏、与应用企业或单位需求脱节等弱点,还可通过高校与网络安全研究机构或网络安全人才需求单位合作创新人才培养模式,既解决了新专业实践条件薄弱的问题,同时也加强了高等院校与用人单位之间的现实需求对接,时刻掌握最新的研究动态与业界趋势,从而提升培养的网络安全人才解决实际问题的能力。
第四,建立持续教育的人才培养模式。网络空间安全领域的知识随着I T技术的发展,也在不断的进行扩展,进行长期持续教育是不断提升其能力、适应新变化的必然要求。国内现有的网络安全培训机构日益增多,同时结合高等院校的教育资源,进行网络安全人才的持续教育,是不断提高其整体水平,解决网络安全人才缺口的重要方法和途径。
四、结语
网络空间安全事关国家安全,目前已上升到国家战略的高度,网络空间安全是一个新设立专业,网络安全人才的培养作为其中的关键环节,必须认清其发展的紧迫性和机遇。随着新工科的建设发展,需要依据最新最权威的网络空间安全学科体系,构建和完善授课内容体系,通过科研、竞赛、校企结合、持续教育等多个途径、多种方式协同培养,不断提高网络安全人才的综合素质,培养能够满足需求的一流创新型网络安全人才。
本文刊登于《网信军民融合》杂志2019年4月刊
声明:本文来自网信军民融合,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
