信息網絡安全事件總以一種出其不意的節奏沖擊著世界。2013 年的斯諾登事件讓人震驚,也讓人清醒:伴隨信息技術的發展,安全與隱私一去不返。可也回不去了,只能往前走。談及斯諾登事件,清華大學教授李星分析認為:斯諾登事件暴露出的另外一個問題是,培養人才尤其是跨學科的人才成為一件極為緊迫的事。
隨之而來的是今年4 月份爆出的心臟流血漏洞,與以往的漏洞爆出不一樣的是,這次突發事件觸發了人們的深層次思考。漏洞出現在人們認為很“安全”的系統上,就像跟世界開了一個玩笑,人們充滿疑問:這個漏洞是系統設計和開發的失誤嗎?如果是,它太低級了,專業的安全系統開發團隊不應該出現這樣的問題;如果不是,它太高明了,開放源代碼都能隱藏著這樣的后門。但正如相關人士所說的那樣:人們認為開源更安全是因為所有技術人員都可以幫助發現漏洞,但事實上,有人可以幫和真的有人幫是完全不同的兩件事。
斯諾登事件以及此次心臟流血漏洞,最終的歸宿都指向網絡安全的人才領域。在一個生產、生活高度網絡化的今天,擁有一批專業網絡安全隊伍的緊迫性無需多言。
那么,互聯網信息安全人才供給目前是什么狀況?中國的信息安全專業人才培養情況又是如何?
激烈爭論的背后
即便是在全球人才最富裕的美國,IT 安全人員仍然是缺乏的。數據表明,在美國,盡管信息安全專業人士的平均年薪較其他IT 職業高出1.5 萬美元,但招聘平均有效期卻比一般IT 職業多出9 天。諸如金融、保險和醫療行業是全美對IT 安全職業需求最旺盛的領域。
考慮到美國幾乎聚集了全球的人才,包括中國信息安全專業一些非常優秀的畢業生都選擇了在美國發展,盡管如此其安全人才仍然缺乏,情況在中國就更加不樂觀。相關報道表明,目前我國信息安全人才的市場缺口大致為50 萬人,社會各行業目前需求量大約每年增加1.2 萬人左右。需求較大的行業為金融、證券、交通、能源、海關、稅務、工業、科技等重點行業。
盡管信息安全專業已經存在10 多年歷史了,目前大概有100 多所高校開設了信息安全專業,但在信息安全人才培養領域,世界各國并沒有一套系統權威的教育體系。作為一門重要的課程,我國相關人員也一直在呼吁,能將信息安全變成一級學科,在此基礎上細分領域。
企業界與高校在信息安全人才培養方式上有截然不同的認識。2013 年,在計算機大會組織的桌布沙龍上,來自行業專家以及高校教授就此問題展開討論。開始的友好氣氛開始很快演變為一場激烈的爭論。來自產業界的尖銳批評認為,高校人才培養方式不合理,課程設置不科學,導致培養出的畢業生與公司所需人才之間相去甚遠,企業幾乎需要從頭培育。
但是,作為被指責的一方,高校教師對高校中的人才培養如何看?
解放軍理工大學教授陳鳴針對目前高校在此方面的人才培養方式評價說:“信息安全專業存在著重課程設置,輕教學內容,重概念方法、輕動手實踐等問題。”并非只有陳鳴認識到了這一現實,實際上,許多高校教師都對人才培養中的一些不合理做法有清醒認識。
但是既有的現實是,一方面,各高校普遍重視與追逐科研,以發表論文的考核機制對教師進行考核,教師長期沉浸于一種論文與科研的文化中,思維很難突破。安全領域人士徐震接觸過許多安全專業的畢業生,他曾尖銳地指出,“現在的培養機制是老師以寫Paper 為主,決定所帶的碩士、博士都是一種風格,到社會上都需要公司和學生自己很大程度的適應。”對于身處其中的教師來說,這似乎上升到了一個哲學問題:選擇當下還是選擇未來?
此外,與其他學科完全不同的是,信息安全技術和態勢變化極快。清華大學計算機系段海新教授說,有一位老師曾經跟他說,要上好課,只要找對一本好教材就可以了。但在信息安全領域,這幾乎是天方夜談,IT 技術變幻莫測,安全問題每時每刻都在改變,道高一尺魔高一丈,現在的好教材沒多久之后就會過時。也因為此,高校的信息安全專業面臨各種挑戰,要系統地上好這門課,本身就是一大挑戰。
各種原因和做法匯聚在一起的結果是:高校在信息安全領域的人才培養與市場的實際需求相去甚遠。那么,如何改變這種狀況?大而化之地說,對于目前無解的問題只有先拋開,但對于有解的問題要全身心投入。
國外的人才培養
盡管美國的安全人才缺口也不少,但由于其課程體系的完整性以及對學生能力的充分培養,被普遍視為一種成功典范。
蔣旭憲現在在國內的一家知名安全公司任資深安全研究員,在此之前他在美國北卡羅來納州計算機系教授過多年的計算機安全課程。
他很肯定地認為,國內高校在信息網絡安全方面的人才培養力度與美國相差較大。他介紹說,在全球來看,信息網絡安全崗位是一個非常核心、重要的崗位。在國外,一家安全企業中的80% 技術人員來自高校,他們經過專業和系統的訓練,擁有很強的安全意識和動手能力。
但在國內的安全企業中,他發現,來自高校信息安全專業的工程師所占比例明顯偏低。更多員工來自民間的摸爬滾打。盡管網絡信息一直有“高手在民間”的說法,但蔣旭憲認為,信息安全行業要想不斷培養出一大批優秀的網絡安全人才,高等教育是必不缺少的,也是極為直接有效的方式。如果高校能夠改變課程設置,重新依據信息安全信息安全自身的特點,結合市場化的需求全方位培養人才,一定會培養出行業的主力軍。
那么美國的信息安全專業注重什么?蔣旭憲介紹說,首先,美國的信息安全教育很注重課程與實際場景的結合,注重對學生的興趣和動手能力的培養,想法設法地與案例結合促進學生的興趣。他自己本身上的課程是《計算機安全介紹》,上課的時候會把很多日常生活中遇到的問題拿出來講。在美國大學的信息安全專業里,對安全意識的培養是不遺余力的,這似乎聽起來微不足道,但實質上卻非常重要,只有在日常教學中一點一點地培養安全意識,才會向一個百密不疏的穩健系統更進一步。
其次,在授課的過程中特別注重加強學生的思維訓練,尤其是逆向思維訓練。網絡安全是一種智慧的對抗,有攻有防,講究的是知己知彼。知道如何攻才能想到如何防。并且攻是一個點,防是一個面。也就是說,攻擊講的是深度,防守講的是廣度。
第三,與產業緊密耦合。在美國大學,本科生基本上是以基礎課程為主,但到碩士研究生階段,極提倡獨立思考和以及解決問題的能力,注重把一個問題深入挖掘。在博士生階段,主要專注科研。做科研強調的是發現和解決實際生活中來的問題。比如,他的學生中有的選擇的方向是針對瀏覽器的安全進行研究,他就會努力地送該學生進Google 瀏覽器小組做實習生,參與到分析和改善谷歌瀏覽器的安全系統中;有對虛擬機安全技術感興趣的,就會跟行業里的領頭羊VMware 和Microsoft 的HyperV 團隊建立合作; 有對手機安全感興趣的,爭取去Google 或Samsung 的相應團隊。其實,他對博士生有一個明確的要求:必須有一個暑假待在對口的公司實習。這樣不僅有助于增進學生對行業的具體了解,確保科研的內容不跟實際問題脫節,同時也有助于構建學生自己的社交網絡,為以后的找工作做好準備。總之,講的是“從實際中來,到實際中去。”
另外,美國的學術界大環境跟工業界沒有脫節,從業人員愿意在學校里分享其對安全的理解以及最新的技術,這樣學生也能夠更好將書本上學的內容真正用起來。
更值得一提的是, 美國從國家層面上幫助企業與高校進行聯動, 美國網絡空間安全教育計劃NICE(National Initiative for Cybersecurity Education)中,其中一項重要任務是,幫助各單位雇傭和招聘網絡空間安全專業人員,分析各職業領域的雇傭和招聘策略。幫助各單位雇傭和招聘網絡空間安全專業人員。
“我們現在需要做的一個功課是,對比中國大學和美國大學計算機和安全專業的課程表,先從課程設置、教材選用等方面進行分析。同時對新入學的學生就要開始網絡安全興趣的引導,提出創新、獨立思考的要求提供一些資源和實驗環境。”安天實驗室(Antiy Labs)首席技術架構師肖新光說。
信息安全教育的特殊性
那么,信息安全行業與其他行業相比,在人才培養方面的特殊性體現在哪里?只有對這個問題進行深入透徹的理解,才會更進一步想明白信息安全的課程設置和人才培養模式。
盡管許多專家在信息安全行業待了多年,但都認為這是一個非常值得思考的問題。
綜合來看,信息安全的特殊性如下:
首先,與其他學科相比,思維方式不一樣,極具逆向思維。逆向不僅僅是技能更重要的是逆向的思維。安全人才最基礎的,也是最核心的能力就是逆向思維能力,再加上各種知識和技能來驗證和推演各種破天荒的奇異想法。但逆向思維不是能短期無序培養出來的,需要長期系統性的訓練。因此許多公司對入職安全研究團隊的考察兩點,一為逆向分析能力,二為編程能力。
其次,極其強調動手能力。信息安全本身是人和人之間的對抗,強調實戰能力的領域。因此,信息安全專業在培養人才時必須要注重實踐教學,如果僅僅關注于理論知識地教授,那么學生在畢業后很難將所學的知識用于解決工作中的實際問題,還需要花費大量的時間與精力繼續學習。
還有一點,但卻是很重要的一點是:興趣。興趣引導了許多信息安全領域人才的產生,而興趣的保持和開發也將跟隨安全人才培養的全過程。“我甚至認為,應該直接招那些對信息安全充滿興趣和有天分的學生,就如同美術教育一樣。”一位網絡安全行業的業內人士說。
圍繞著信息安全行業的特殊性,包括高校和企業界在內的人才的生產者以及人才的接收者都屬于這個生態鏈,只是位置不同而已。但只有企業與高校的緊密合作,搭建起一條人才培養的良性循環之路,才能讓信息安全人才培養有著更美好的未來。盡管在去年的計算機大會沙龍上發表了激烈的辯論,肖新光回頭來看,理性地認為:“校企雙方都應該都多些耐心,教育注定是一個漸進改善的過程。”
京公網安備 11010502049343號