网络安全讲究的是拆构,而现在,是到了重构信息安全专业人才培养体系的时刻了。
2014年初,中央网络安全和信息化领导小组成立并召开了第一次会议。领导小组组长是总书记习近平,他在会议中强调“没有网络安全,就没有国家安全;没有信息化,就没有现代化。”这传递了一个很重要的信息:信息安全已成为国家战略的一个重要组成。
自2010年以后,事关国家层面的网络安全事件在全球频频发生,网络安全正在变得越来越复杂。在一种危机感中,世界各国对网络安全的战略纷纷进行重新审视,进而引发了网络安全整体格局的变化。与过去不同的是,在新的网络安全形势下,主角是各个国家。
在这种背景下,各国的网络安全人才培养变得至关重要起来。网络安全讲究的是智慧的对抗,细数在2010年后发生的各种APT攻击,如若背后没有强有力的网络安全人才是无法达到技术上的登峰造极的。
那么,我国的网络安全人才状况如何?许多业内人士惊呼:“我们的许多人才都跑到美国去了。许多湾区有名的安全公司的骨干都是从国内过去的。”不过,即便是在全球人才最富裕的美国,IT安全人员仍然是缺乏的。据统计,人力资源花在招聘网络安全人员上的时间比一般IT职业平均多出9天。具体到我国,情况变得更加严重。
令人不安的是,业界认为,我国高校所培养出的专业人才并不能真正适应市场的需求,往往进入公司之后要二度培养。人们把最主要的问题归因于大学的课程设计。“一是过于传统和死板,二是对安全总体的、宏观的认知没有建立起来。三是在兴趣和技能的培养上,尚有不足。”
实际上这种认知在高校本身也存在。高校也不再回避这个问题。那么,接下来的问题便是:如何对这门专业重新进行课程设计?
当我们分析信息安全专业的特殊性时,发现与计算机的其他方向相比,它真的非常特别。首先,它很重视逆向思维。如果说许多专业是要建构体系,而它,是对已有体系进行拆构,也就是破坏。这与我们一直以来的思维几乎是反着来。习惯了建构思维的人再去学习拆够,其挑战性不言而喻。
其次,它非常强调动手能力,信息安全讲究的是人与人的对抗。这种安全能力与思维能力必须经过长期的针对性的实践才可以一点一滴建立起来。其中,网络安全攻防赛在世界各国一直广受重视。在过去,我们往往缺乏各种对抗的平台。但是在2014年,这方面的比赛逐渐增多,并且比赛的内容和项目也开始与国际接轨。更值得一提的是,在这个过程中,一些实力强大的团队涌现了出来。2014年,来自上海交通大学的0ops团队以及清华大学的蓝莲花团队都在大范围的安全比赛中取得了很好的成绩。并在10月份,XCTF全国网络安全技术对抗联赛启动,这个民间自发的活动聚集了很多业内资深的安全人士,他们对培养高校中的信息网络安全人才非常有热情。
在2011年,网络安全专家杜跃进阐述了对于信息安全人才现状的不安:你们从哪里了解真实的网络安全现状和需求?从哪里了解最新的攻防对抗技术和技巧?从哪里了解各种相互关联的现实系统所使用的实际技术、配置策略、以及面临的实际风险?从哪里获得反应真实情况的研究实验环境和数据资源?诸多疑问都指向信息网络安全专业课程的设置。也许,当我们解决了这些问题的同时,便是网络安全人才培养理顺的时候了。