前不久,國內兩大漏洞報告平臺關閉的消息引起軒然大波,也把網絡安全問題再次拉進了人們的視野。
漏洞報告平臺的“漏洞”
漏洞報告平臺(又稱“白帽子”)的功能是幫助客戶“挖”網絡系統的“漏洞”,從而達到預警客戶使其及時修補,以免遭受黑客攻擊造成損失。而就在7月下旬,國內兩大知名漏洞報告平臺“漏洞盒子”和“烏云”相繼出現了無法訪問情況。
由此,網絡安全人士對網絡安全維護者的行為規范甚至是整個網絡生態系統的“游戲規則”進行了一場討論。上海交通大學信息安全工程學院院長、中國互聯網安全大會網絡空間安全人才培養分論壇主席李建華舉了一個簡單的例子:“如果有人闖入你家拿了你的財產,他是不是有罪?”
因為當下“信息是資源,數據是資產”,李建華說。的確,現在網絡已經成為許多人賴以生存的生態系統。截至2014年11月,全球互聯網用戶數量突破30億大關,以互聯網為基礎的信息系統幾乎構成了國家和社會的“中樞神經系統”。
網絡生態系統的安全關乎著國防、公共服務管理體系和每個人的日常生活能否正常運轉。那么,這個新興的生態系統需要什么樣的人來保護?
70%的網絡安全事件都是“人的問題”
目前,我國培養信息安全類專業本科畢業生約每年1萬人,與我國高速發展的互聯網經濟以及信息安全人才實際需求之間存在較大差距。有行業人士預測,近5年,我國信息安全行業每年還需要增加約兩萬人。
繼2001年教育部批準設立信息安全專業后,為實施國家安全戰略,加快網絡空間安全高層次人才培養,2015年6月,國務院學位委員會、教育部決定在“工學”門類下增設“網絡空間安全”一級學科。李建華所在的上海交通大學,是全國第一批被批準建設一級學科的高校之一,對于網絡空間安全專業人才的培養問題,他有自己的見解。
李建華特別強調,大家必須先把網絡空間安全的“內涵”搞清楚。他認為,人們對網絡空間安全的理解需要突破“技術域”,走進“認知域”。通俗來講,即不僅要對互聯網物理設備的安全性、傳遞信息的機密性有所要求,還要對網絡空間信息的內容本身的安全性有界定,以及對網絡空間的社會域特性有界定。
李建華說,網絡安全問題遠非“技術攻防”,業內普遍認為70%的網絡安全事件都是“人的問題”。他解釋說,高級的網絡安全攻擊通常是從技術人員本身“下手”,運用社會工程學、心理學等知識找到人在網絡生態系統中的“弱點”,而后再用技術手段打開突破口。因此他認為,網絡安全人才需要在社會公共管理科學知識、政治、文化等領域有扎實的通識教育基礎,同時需要具備良好的道德和法律素養,而非僅僅是“技術天才”。
具體到網絡安全的相關知識結構上,他鼓勵對學生進行交叉學科的培養,除了要有專項技術能力,還要有社會工程學、法律、創新實踐等領域的相關知識和能力。
培養“高端”網絡空間安全人才
針對種種網絡安全威脅和攻擊,中國高校的網絡空間安全教育者們一直在探索與時俱進的人才培養模式。
提到培養人才,李建華表示師資隊伍建設是首先需要考慮的問題。他提倡高校將網絡空間安全的師資隊伍人員劃歸到獨立院系,并且鼓勵這些院系與行業和產業融合互動,形成“產學研”一體的專業教師隊伍。
在培養模式方面,他認為教育部批準實施的“卓越工程師教育培養計劃”為這一學科的設置提供了可以借鑒的經驗,即課堂、競賽、校企聯動、國際交流相互融合的培養模式。同時,李建華尤其強調了“實踐”的重要性。針對網絡安全領域知識覆蓋面寬、更新快的特點,他在上海交通大學提出要在網絡安全專業學生培養過程中大量增加實踐環節,通過創新平臺的搭建和應用,培養和訓練學生的創新思維,使學生形成“自主思考”、“獨立分析”和“自行解決問題”的習慣。
在培養層次上,李建華認為應該以培養碩士、博士等高端網絡空間安全人才為主。他表示,碩士可以進行網絡空間安全問題領域基礎研究和關鍵系統設計;博士生則可以著重解決前沿問題,甚至進行網絡空間安全的頂層設計。
即將在8月16日舉行的ISC中國互聯網大會上安全人才競技與選拔論壇將通過分享美(Defcon)、韓(BoB計劃)等先進國家的安全人才培養策略、以及國內外各類信息安全競賽的組織與實踐經驗,探討如何建立中國未來的安全人才培養體系。
“網絡安全空間其實是個看不見的戰場。”對李建華這個堅定的網絡空間捍衛者來說,“技術不是唯一的衡量標準,還需要奉獻精神和其他。”
李建華是研究網絡“攻防”技術和信息內容安全管理出身,因積極參與國家信息安全項目,他稱自己為“紅客”。他希望從事網絡空間安全工作的年輕人可以意識到:“技術是中性的,但技術服務的對象是有立場的。”而這種意識的形成,需要國家、社會、高校的多方引導。