安全沒有自己的技術(shù)?
信息安全專業(yè)已經(jīng)成為計算機相關(guān)專業(yè)中一個非常突出的獨特分支。國內(nèi)很多大學都已經(jīng)建立了信息安全專業(yè)或?qū)I(yè)方向。那么,信息安全專業(yè)畢業(yè)的學生有前途嗎?應(yīng)當怎么教?應(yīng)當怎么學?
作為一名在信息安全企業(yè)中從業(yè)超過十五年的老人兒,接觸過不少從高校畢業(yè)的本科畢業(yè)生、碩士畢業(yè)生、博士們。個人的總體感受:目前信息安全專業(yè)本科畢業(yè)生和碩士畢業(yè)生并不特別搶手;而在本碩期間搞網(wǎng)絡(luò)和編程設(shè)計的好手特別受歡迎;在博士期間搞安全研究的會很受歡迎,但絕對不要只沉迷在密碼學的公式中。直白地說,就是有真本事的人會受到歡迎。
我以前曾經(jīng)說過一句很極端的話:“安全沒有自己的技術(shù)”。“網(wǎng)絡(luò)安全”靠的是“網(wǎng)絡(luò)”技術(shù)、“系統(tǒng)安全”靠的是“操作系統(tǒng)”技術(shù)、“應(yīng)用安全”靠的是“應(yīng)用軟件開發(fā)”技術(shù);也許,只有密碼技術(shù)好像才算是信息安全領(lǐng)域獨有的技術(shù)。 再有一句話:“安全是一種思維方式”,比如,風險管理、博弈、逆向等等都是一種安全專屬思維方式。這種安全思維方式與“某某技術(shù)”結(jié)合就成為了“某某安全技術(shù)”。那么,到底安全有沒有自己的特色技術(shù)?有沒有獨特的方法和思維?如果有,應(yīng)該如何教育和培養(yǎng),如何能夠讓信息安全專業(yè)人才具有這樣的技能?
當前信息安全專業(yè)方向本科教學的路線分析
在大學的信息安全專業(yè)培養(yǎng)目標中,常常會有這樣的描述:“??要求學生:掌握現(xiàn)代化信息安全的基本理論和基本方法;具備研究和開發(fā)信息安全系統(tǒng)和產(chǎn)品的基本能力;??”。那么什么是信息安全的基本理論、基本方法?什么是構(gòu)建信息安全系統(tǒng)的基本能力?大學的教授們能講出來嗎?企業(yè)中被稱為專家的高人們能說得清楚嗎?這并不容易,但是我們有責任講清楚。
如果我們對比計算機科學與技術(shù)專業(yè)、計算機軟件專業(yè)、網(wǎng)絡(luò)工程專業(yè)、信息安全專業(yè)的課程體系。很難區(qū)別出這些專業(yè)之間有什么根本性差別,在課程體系設(shè)計和實驗實踐安排上確實非常雷同。
一個典型的大學信息安全專業(yè)相關(guān)的本科課程體系大致可描述為:
1. 公共基礎(chǔ)課:數(shù)學、物理、工學基礎(chǔ)、英語、體育、政治等;
2. 學科基礎(chǔ)課:電路與電子技術(shù)課程、計算機科學概論、專業(yè)數(shù)學課(離散數(shù)學、計算方法)、系統(tǒng)課(數(shù)字邏輯、計算機組成與體系結(jié)構(gòu)、操作系統(tǒng)、計算機網(wǎng)絡(luò)、計算機安全)、程序設(shè)計課(匯編語言程序設(shè)計、數(shù)據(jù)結(jié)構(gòu)、編譯原理、數(shù)據(jù)庫、軟件工程);
3. 專業(yè)領(lǐng)域課:密碼類課(信息安全數(shù)學基礎(chǔ)、密碼學、PKI 原理與技術(shù))、網(wǎng)絡(luò)防御與對抗。
4. 實驗實踐環(huán)節(jié):信息安全課程設(shè)計。
這樣的課程體系很難體現(xiàn)信息安全學科的獨特性。信息安全學科的實質(zhì)內(nèi)涵和信息安全應(yīng)用的實用實踐都體現(xiàn)得不夠充分。
從學科基礎(chǔ)課的安排和實踐看,這樣的課程體系延續(xù)了舊有體系的通病:在學習基礎(chǔ)課的時候,不知道為什么學?不知道怎么和專業(yè)有機結(jié)合?比如,網(wǎng)絡(luò)工程專業(yè)的學生,在學離散數(shù)學中圖論的時候,并不知道“圖論是網(wǎng)絡(luò)靜態(tài)結(jié)構(gòu)的基礎(chǔ)理論”;再比如,信息安全專業(yè)的學生,在學操作系統(tǒng)時,沒有反向思考如何入侵和防御;在學編譯原理時,不知道需要同步探索“注入攻擊”;學習軟件工程時,不知道要同時養(yǎng)成“安全開發(fā)生命周期”的良好習慣。
從專業(yè)領(lǐng)域課的安排看,密碼類的課程容易讓學生感到枯燥難懂,而難于把握其基于密碼算法、安全協(xié)議、邏輯關(guān)聯(lián)和信任體系的結(jié)構(gòu)性安全實質(zhì);網(wǎng)絡(luò)攻防課程則主要介紹一些浮于表面的安全產(chǎn)品功能性和應(yīng)用性介紹(如防火墻、入侵檢測、防病毒等等),而這類產(chǎn)品在實際市場和使用環(huán)境中已經(jīng)快速變化很多代了。
從實驗實踐環(huán)節(jié)的安排看:很多學校都遇到了一個很大的尷尬,就是網(wǎng)絡(luò)攻防實踐課“不會上、不好上、不敢上”。不會上,就是我們能夠教學生的攻防方法和技術(shù)很可能已經(jīng)過時了;不好上,學生在網(wǎng)絡(luò)上自己搜索學到的鳳羽龍爪,很可能就讓老師不知如何對付;不敢上,在實驗環(huán)節(jié)教給學生如何攻擊系統(tǒng),會給老師、學校、學生自己帶來意想不到的麻煩,甚至法律糾紛。如果拿醫(yī)學教學來做比喻,網(wǎng)絡(luò)攻防課就如同是醫(yī)學院在教學生怎么殺人,這就麻煩大了。
信息安全用人機構(gòu)需要什么樣的人才
如果我們再跳躍到學科專業(yè)教學的出口處看看。簡單劃分一下,本科教學階段過后,信息安全專業(yè)方向畢業(yè)生大概會有的幾個走向:
1. 成為安全科研型人才Researcher:在院校讀碩士甚至博士繼續(xù)進修(個別人或可進入企業(yè)研究院從事專門研究);
2. 成為安全專業(yè)型人才Practitioner:進入安全企業(yè)從事安全產(chǎn)品開發(fā)、安全服務(wù)實施等;或者進入IT應(yīng)用機構(gòu)從事安全建設(shè)和應(yīng)用;或者進入相關(guān)主管或第三方機構(gòu)從事安全治理和第三方活動;
3. 轉(zhuǎn)向其他IT 方向;
4. 轉(zhuǎn)向非IT 方向。
本文主要討論的是如何培養(yǎng)第二類“安全專業(yè)型人才”,同時也為第一類“安全科研型人才”發(fā)展打基礎(chǔ)。從用人機構(gòu)的角度,總結(jié)一個安全人才能力表。展現(xiàn)出需要哪些不同類型的信息安全專業(yè)人士,并且羅列出來他們的哪些能力會被特別看重。
在安全人才能力表中,將能力分為A、B、C 三類:
A類能力就是分析能力Analyzing。分析可以將觀察、情報、了解、理解等類似語義都涵蓋在內(nèi)。分析可能是攻擊者對于被攻擊對象的分析,也可能是防御者對被保護者的分析和對攻擊者的分析。
B類能力就是拆構(gòu)能力Breaking。所謂拆構(gòu),就是破壞、攻擊。所謂攻擊可以是攻擊者對被保護目標的攻擊,也可以是防御者對于攻擊者行為的破壞和阻斷。
拆構(gòu)是一個更強調(diào)攻防執(zhí)行階段的動態(tài)活動。
C 類能力就是建構(gòu)能力Constructing。建構(gòu)常常指在實際攻防交鋒發(fā)生之前的預(yù)設(shè)部署。不管是攻擊體系還是防御體系,都有一個預(yù)先籌備部署的相對靜態(tài)階段。
在A、B、C三類能力中,分析能力是基礎(chǔ)。拆構(gòu)的前提是對拆構(gòu)對象的了解,建構(gòu)的前提是對于建構(gòu)資源和環(huán)境的了解以及對于拆構(gòu)場景的預(yù)判。這就如同在醫(yī)學中,診斷是所有后續(xù)治療手段的前提,保健預(yù)防當然也要基于診斷展開。
安全人才能力表中的這些能力,在當前的大學教育中基本上沒有特別針對性的培養(yǎng)措施。而這些能力要么靠學生自己自學,要么靠企業(yè)在招聘后的培訓(xùn)和鍛煉。這樣教育缺口就導(dǎo)致了很多信息安全專業(yè)的畢業(yè)生被認為能力不實用,不如學網(wǎng)絡(luò)和做編程的人。
本科教育專家們一定要深入研究用人機構(gòu)對相關(guān)專業(yè)人才的細粒度能力頻譜需求;同時,用人機構(gòu)的行業(yè)協(xié)會和權(quán)威專家們也要有高度責任感去認真地影響教育機構(gòu),引導(dǎo)本領(lǐng)域后續(xù)人才的培養(yǎng)。
信息安全分析如同醫(yī)學中的解剖學
我們把安全人才能力表中出現(xiàn)的A 類分析能力羅列一下:系統(tǒng)結(jié)構(gòu)分析、( 二進制) 代碼分析、被攻目標系統(tǒng)和體系的分析和了解、分析代碼安全性、分析程序的設(shè)計安全性、業(yè)務(wù)安全需求分析、系統(tǒng)安全需求分析、宏觀態(tài)勢感知和分析、安全監(jiān)控和事件發(fā)現(xiàn)、產(chǎn)業(yè)分析、行業(yè)和領(lǐng)域態(tài)勢分析。
所謂分析都是對某種對象的深入觀察。而分析對象可以分類為:
1. 數(shù)據(jù)體(靜態(tài)數(shù)據(jù)體、數(shù)據(jù)流、程序體、密文等)
2. 結(jié)構(gòu)(網(wǎng)絡(luò)結(jié)構(gòu)、體系結(jié)構(gòu)、信任結(jié)構(gòu)等)
3. 過程(流的思維、協(xié)議等)
4. 人或人集合體(動機、能力、習慣等)
如果把一個IT 系統(tǒng)比喻為人體,數(shù)據(jù)體和結(jié)構(gòu)的安全分析認識,就如同醫(yī)學中的解剖。是基礎(chǔ)中的基礎(chǔ)!而對于IT 過程和系統(tǒng)中人的分析認識,就如同神經(jīng)醫(yī)學、精神醫(yī)學和心理學中的診斷活動。
由于有了解剖學的存在,讓現(xiàn)代西方醫(yī)學有了根基。同樣,中醫(yī)的基礎(chǔ)同樣是診斷。這些解剖、分析診斷技能再加上治病的目的和手段,讓醫(yī)學徹底區(qū)別于生物學而成為一個獨立的大學科。同樣,有了IT 系統(tǒng)的深度分析能力,再加上系統(tǒng)拆構(gòu)和建構(gòu)能力,將讓信息安全學科清晰地區(qū)別于其他計算機和IT 相關(guān)學科。也讓信息安全產(chǎn)業(yè)更加清晰地意識到自己到底需要哪些專業(yè)人才。
換一種直白的說法:“對于數(shù)據(jù)和結(jié)構(gòu)的安全分析認識,是信息安全學科的基本理論和基本方法的根基。”
我們想象一下醫(yī)學院的畢業(yè)生:是希望培養(yǎng)很多能夠操作CT 設(shè)備或驗血設(shè)備的操作人員呢,還是那些能夠?qū)τ谌梭w解剖結(jié)構(gòu)了然于胸的西醫(yī)大夫呢?我們是希望招聘很多能夠照方抓藥的中藥店伙計,還是那些能夠通過望聞問切明斷病癥的中醫(yī)新人呢?
如果從用人機構(gòu)的角度看,一個大學本科畢業(yè)生,如果能夠熟練地做數(shù)據(jù)體分析,那么很可能就能夠直接進入到病毒分析、惡意代碼樣本分析、網(wǎng)絡(luò)流監(jiān)控分析等核心專業(yè)崗位;如果能夠敏銳地對一個中型網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)進行深入分析,那么很可能就能直接擔負前線技術(shù)的高級安全咨詢和安全工程設(shè)計的責任。
如何設(shè)置和安排信息安全學科的解剖學課程
如果我們看看醫(yī)學院中一個典型的臨床醫(yī)學專業(yè)課程體系設(shè)計,會發(fā)現(xiàn)“人體解剖學”課程一般都安排在大學第一年。而各大學的信息安全專業(yè)課普遍安排在三年級以后;在大學一年級的計算機專業(yè)基礎(chǔ)課都很少,一般只有“高級程序設(shè)計語言”。
筆者主張一定要在大學一年級為信息安全專業(yè)的學生安排兩門信息安全專業(yè)領(lǐng)域課,并調(diào)整一門計算機專業(yè)基礎(chǔ)課:
舉辦一門專業(yè)領(lǐng)域必修講座《信息安全思維》:采用4~6 課時的講座形式,最好邀請產(chǎn)業(yè)界專家和學校教授各講一半。課程主要內(nèi)容是:信息安全產(chǎn)業(yè)和學術(shù)領(lǐng)域概述、信息安全的獨特思維模式和獨特技術(shù)介紹、其他專業(yè)基礎(chǔ)課程的安全視角提示。而《信息安全思維》講座應(yīng)當在大學四年的每個學年中都安排一場,針對每個學年的課程安排,引導(dǎo)學生如何從安全視角去審視。
開設(shè)一門專業(yè)領(lǐng)域必修課《信息安全分析基礎(chǔ)》:在大學一年級第二學期,安排30~40 學時的課程+ 實驗。課程主要內(nèi)容是:介紹安全分析基本思想、IT 系統(tǒng)結(jié)構(gòu)基本分析和認識(結(jié)構(gòu)分析)、Web 訪問數(shù)據(jù)分析(數(shù)據(jù)體分析)等。在后續(xù)的高年級中,再逐步安排《信息安全分析》的高級課程,涉獵不同領(lǐng)域和形態(tài)的安全分析。
調(diào)整一門專業(yè)基礎(chǔ)課程《高級程序設(shè)計語言》的輔導(dǎo)課:這門課程可能會和其他計算機相關(guān)專業(yè)的學生共同上大課。而對這門課的輔導(dǎo)課時和實驗課時中,要增加安全視角的講解和討論。將程序漏洞和安全開發(fā)生命周期等基本概念和思想融合進去。這樣信息安全專業(yè)的學生在學習程序設(shè)計的一開始就同時兼具正向設(shè)計思維和逆向破解思維。
這樣的課程體系改變,就是要在四年中一直抓住這三條線索:第一,每學年都舉辦由大師和專家講授的《信息安全思維》講座系列;第二,每學年不斷升級的《信息安全分析》課程系列;第三,對每年講授的其他專業(yè)課程的輔以安全視角指導(dǎo)。
當然,以《信息安全分析》為基礎(chǔ)和軸心展開的課程體系設(shè)計,并不是要徹底拋棄原有的課程和體系,而是做出具有安全專業(yè)特色的調(diào)整。比如“PKI 和密碼學課程”,也許不要從密碼理論入手,而是按照密碼對抗的發(fā)展脈絡(luò)講解。沿著密碼分析、密碼破解、密碼設(shè)計等形成的ABC 三能力展開,可以讓學生不僅知其然,而且知其所以然。
這樣的課程體系改變,將大大緩解和解決了前面分析得出的當前課程體系的問題:
各個基礎(chǔ)課與信息安全專業(yè)的關(guān)系,會在《信息安全思維》講座和專業(yè)課程輔導(dǎo)中讓學生了解;
學生能夠通過每年不斷更新的《信息安全思維》講座了解和跟進最新的技術(shù)和產(chǎn)業(yè)變化;
學生不需從枯燥的密碼學開始接觸信息安全,而是從活生生的攻防對抗中感受真實的信息安全;
可以回避對于網(wǎng)絡(luò)攻防實踐課程講授的尷尬。大學課程中教授給學生的不是如何殺死一個系統(tǒng),而是如何解剖一個系統(tǒng)。
想象一下,一群系統(tǒng)性地學習了四年《信息安全分析》課程、系統(tǒng)性地跟蹤了四年信息安全產(chǎn)業(yè)動態(tài)、不斷修煉了四年信息安全思維的畢業(yè)生們,會徹底改變信息安全專業(yè)畢業(yè)生的能力結(jié)構(gòu)和層次。
信息安全教育須要產(chǎn)學緊密協(xié)同
從來沒有開過解剖學課程的醫(yī)學院怎么才能開設(shè)起來這門如此關(guān)鍵的基礎(chǔ)課呢?
當我們放眼看看國內(nèi)的醫(yī)學院,會發(fā)現(xiàn)所有的醫(yī)學院都與大醫(yī)院有極度密切的關(guān)系。
那么在大學的計算機學院中開設(shè)《信息安全分析》這樣的IT 系統(tǒng)解剖課怎么能夠脫離信息安全企業(yè)和信息安全大用戶呢?大學信息安全專業(yè)教育體系的發(fā)展必須走產(chǎn)學緊密互動的道路。雖然信息安全的從業(yè)資格認證沒有從醫(yī)資質(zhì)那么嚴苛(所有執(zhí)業(yè)醫(yī)師必須是醫(yī)學院正規(guī)畢業(yè)和實習合格者),這樣的“醫(yī)學院+醫(yī)院的一體化模式”卻很值得借鑒。
而且這種產(chǎn)學互動,不是一個公司與一個院校的個體互動,而是“群群互動模式”。所謂的群群互動就是信息安全產(chǎn)業(yè)群體(企業(yè)群體和用戶群體)和信息安全專業(yè)教育群體(大學學院群體)這兩個群體的協(xié)同互動。在這樣的互動中,新的教材、課程大綱、實驗和實驗環(huán)境、教師培養(yǎng)、實訓(xùn)基地就會逐步成熟起來。
在信息安全專業(yè)教育體系的調(diào)整變革中,要遵循教育的規(guī)律,不適宜做顛覆性革命。課程的改進、課程體系的調(diào)整要循序漸進。而這個變革的第一步就是從信息安全專業(yè)的解剖學課程《信息安全分析基礎(chǔ)》開始。
我們期望通過穩(wěn)扎穩(wěn)打的循序漸進式調(diào)整變革,通過產(chǎn)業(yè)界和教育界的群群互動,用5~10 年的時間最終真正實現(xiàn)信息安全專業(yè)教育的根本變革和高層次建設(shè)。這樣的改變一定會改變整個信息安全產(chǎn)業(yè)的人力資源結(jié)構(gòu),進而為整個信息安全產(chǎn)業(yè)跨越式發(fā)展準備足夠多的高素質(zhì)工程人才、研究人才、管理人才。這樣的未來非常值得我們期待,并值得為之共同努力!
京公網(wǎng)安備 11010502049343號