新时代下高校信息安全教育

随着网络空间安全专业成为一级学科，标志着高校信息安全教育工作进入了新时代，但是一系列问题也随之涌现，例如课程设置不合理、理论教学与实践脱钩等。文章针对这些问题进行了简要分析，并给出了相关的建议。近年来，信息安全事件层出不穷，国际上围绕信息安全的斗争也愈演愈烈，信息安全已成为国家安全的一个重要组成因素。2014年，我国正式成立中央网络安全和信息化领导小组，由总书记担任组长。总书记指出：“信息安全已成为国家安全的重要组成部分，国家重要信息系统和基础设施的建设和维护需要一支具有较高信息安全专业知识的建设和管理队伍。”信息安全专业的人才需求也在近几年呈现上升趋势。为满足我国的信息安全人才需求，教育部以及各大高校展开了一系列的人才培养工作。2001年，武汉大学开设了信息安全专业，开始了信息安全本科专业人才的培养。

目前，共有约122所高校设置信息安全类相关专业，其中有92个信息安全专业，18个信息对抗专业以及成立了12所国家保密学院并设置相关的保密管理专业，每年能够提供约1万人的相关专业毕业生[1]。尽管这些年有众多信息安全专业毕业生或从业人员出现，但是面对国家日益紧迫的需求状况，仍然存在很大的人才缺口。据统计，我国信息安全等级保护重要信息系统已定级的数量在5万个以上，信息安全专业人才的缺口则在百万以上[2]，人才数量上仍难以满足当前的需求。此外，当前我国高校的信息安全教育专业，尚未形成一个标准的、权威的课程体系，只注重学生理论知识学习，对于真正解决问题的能力培养则相对不足，导致人才培养质量不高[1-3]。因此，在当前新的社会环境与需求下，探讨信息安全专业的教育方法是十分有必要的。

一、新时代下的高校信息安全教育

（一）信息安全教育的发展

走在信息安全教育最前列的是美国。早在二十世纪末，美国就制定了《国家信息安全战略框架》，并在其中明确提出了信息安全意识教育，并在近二十年间出台了一系列的政府文件明确信息安全人才培养的战略定位。2000年，美国政府了21世纪初期国家信息安全发展十大计划，其中包含了“培训并雇佣足够数量的信息安全专家”与“提升全美公众网络安全意识”两项与人才培养相关的内容；2003年，美国政府在《网络空间安全国家战略》中，提出了部级网络安全意识和培训计划；2008年，美国《国家网络安全综合计划》中，要求制定一个专门的部级网络安全教育计划；2009年，美国《网络空间政策评估》中要求加强网络安全教育、扩充联邦技术人员队伍；2017年颁布的《加强联邦政府网络与关键基础设施网络安全》要求给出系列网络安全人才发展评估结论和建议报告[4]。美国高等教育信息化协会和国家网络安全联盟的组织机构通过多种活动如开展专项比赛、建立专题网站等对信息安全教育进行宣传推广，同时联合学校、企业乃至家庭等各类互联网用户加大信息安全意识宣传、教育和培训的推广力度。在高校中，通过开设课程、组织研讨等方式提升学生的信息安全意识与能力，多数院校在IT服务部门中设立了信息安全办公室，并开设了相关的信息安全专业[5]。我国的信息安全教育起步相对较晚。2001年，武汉大学成立了全国第一个信息安全本科专业，正式揭开了我国信息安全专业人才培养的序幕；2002年，教育部批准了18所高校设立信息安全专业，预示着信息安全人才培养的大潮来临；2003年，中办出台《关于加强信息安全保障工作的意见》，明确指出把信息安全人才培养作为一项加强国家信息安全保障的重要任务。经过这些年的发展，目前全国已有122所学校设置了信息安全相关专业，同时也有更多的学校开设了信息安全相关课程，为我国信息安全相关行业的人才需求储备了大量人才。

（二）信息安全教育的新形态

1.网络空间安全

网络空间安全这一概念最早由美国提出，美国国家标准技术研究所在《增强关键技术设施网络空间安全框架》中给出了网络空间安全的定义：通过预防、检测和响应攻击，保护信息的过程[6]。网络空间安全可以认为是信息安全的一个关键部分，但同时又包含了一定独特的内容，是信息安全的新形态。2010年，美国启动了国家网络空间安全教育计划（NICE），该计划由美国国家标准技术研究所（NIST）牵头，由国土安全部（DHS）、国防部（DoD）、劳工部（DoL）、教育部（DoED）、司法部（DoI）、国家安全局（NSA）、国家科学基金会（NSF）、国家情报总监办公室（ODNI）、人力资源办公室（OPM）以及小企业管理局（SBA）等部门共同负责。该计划旨在期望通过国家的整体布局和行动，在信息安全常识普及、正规学历教育、职业化培训和认证等三个方面开展系统化、规范化的强化工作，来全面提高美国的信息安全能力[7，8]。国家网络空间安全教育计划的推出象征美国的信息安全教育进入了一个新的时代，也标示着信息安全教育的新形态的形成。2011年，美国国家标准技术研究所了《NICE战略计划》，包括三个目标：（1）提高对网络在线活动的风险意识；（2）扩大能够支撑网络安全国家的专业人员储备；（3）发展和维护一支具有全球竞争力的网络空间安全队伍。其中目标（2）主要着力于正规教育，旨在增加具有网络空间安全技能的人员数量来满足国家网络空间安全的需求，包括基础教育、高中教育和高等教育（本科生和研究生）以及在高等教育的网络空间安全研究与开发中发掘优秀人才四部分任务。鉴于本文的出发点，在此仅对高等教育简要讨论：NICE要求在高等教育的学位培养过程中，应当提高网络空间安全课程的数量和质量，为相关专业的本科生增加安全相关综合性课程的比例，同时，增加相关专业研究生的招生比例以培养更多的专业人才，并给予学生更多的机会去攻读博士学位，并鼓励研究生提高研究开发的数量和质量，建设一个面向政府、学术界和私营企业的开放性论坛，以更好的明确需要研究的问题等。随着网络空间安全这一概念的飞速发展，我国也出台了相应的政策。2014年，中央网络安全和信息化领导小组成立，总书记在小组第一次会议上指出：没有网络安全就没有国家安全，没有信息化就没有现代化；2015年7月，我国实施了新国家安全法，在其中首次明确了“网络空间主权”的概念，提出要“维护国家网络空间主权”[9]。2015年6月，经教育部批准，网络空间安全专业增补为国家一级学科，结束了信息安全专业始终没有国家一级学科的尴尬局面，进而将信息安全人才培养的方向进一步明确，培养力量更加集中，体现了国家对网络安全、信息安全人才培养的关注，也标志着我国信息安全教育进入了新的时代。

2.网络安全竞赛

近年来信息安全教育的另一个新形态是涌现的众多网络安全竞赛。网络安全竞赛具有多种形式，如夺旗类竞赛（CTF）、破解赛、青少年网络安全竞赛等[10]，其中最常见、受众面最广的是CTF竞赛。CTF竞赛在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式，起源于1996年的DEFCON黑客大会，其英文名可直译为“夺得Flag”，也可意译为“夺旗赛”。其大致流程是，参赛团队之间通过进行攻防对抗、程序分析等形式，率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容（即所谓的Flag），并将其提交给主办方，从而夺得分数[11]。常见的CTF竞赛主要有三种比赛形式[10]：（1）解题模式：题目涵盖信息安全的多个方面，包括漏洞挖掘和利用、逆向工程、Web渗透、密码学、隐写等，参数者通过解答题目，发现题目中隐藏的Flag来获取分数；（2）攻防模式，参赛者在竞赛主办方提供的网络环境中通过挖掘漏洞、攻击对手或者发现自身漏洞并修补来获取分数；（3）混合模式，混合了解题模式和攻防模式的特点，采取综合计算分数的方法。现在常见的CTF比赛中，往往以解题模式作为初赛，攻防模式或混合模式作为复赛，旨在提供公平、有效的竞赛环境。现在著名的CTF比赛包括历史最悠久的DEF－CONCTF、UCSBiCTF、欧洲的XXC3CTF、我国主办的XCTF、北京理工大学主办的ISCC、西安电子科技大学主办的XDCTF、中国网络空间安全协会主办的“强网杯”等。

二、高校信息安全教育现状分析

（一）高校信息安全教育存在的问题

尽管随着时展，高校信息安全教育也取得了突飞猛进的进步，但是在新时代下，面对新形态，仍存在一定问题，下面展开简要分析：

1.课程设置仍存在不合理之处

高校的信息安全专业多数挂靠在计算机科学与技术、信息与通信工程、电子科学与技术等一级学科下，也有少部分挂靠于其他相关性较差的一级学科如商学院、管理学院等[9]。随之而来的是课程设置上的一些问题。信息安全并非一个孤立的专业，而是一个典型的交叉学科专业，除典型的计算机、通信知识外，还涉及管理学、社会科学等多个学科的相关内容，因此在课程开设上应当给予足够的考虑。例如文献[5]指出，美国的西康涅狄格州立大学在开设信息安全专业时，即将其定位为一门独立的跨学科性质专业，包含了15门通识教育课、11门商科必修课以及8门专业必修课。而我国信息安全专业在发展初期由于挂靠在其他一级学科下，因此课程开设往往与所挂靠的一级学科关联性更大。例如挂靠在计算机科学与技术一级学科下的信息安全专业的课程设置与计算机科学与技术极为相似，而挂靠在通信工程下的信息安全专业课程则又与通信工程课程极为相似。作为我国信息安全本科教育先驱的武汉大学，在专业设置初期也是以计算机科学技术相关课程为主，兼学通信、数学和物理知识。尽管我国的信息安全专业在发展过程中，一些诸如信息安全法律法规、信息安全工程学等课程被逐步加入课程体系，但是仍然难以满足信息安全专业对交叉知识的需求。

2.网络安全竞赛功利化

广泛开展的网络安全竞赛在提升高校信息安全专业学生学习兴趣、发掘人才、培养人才等方面发挥了巨大作用，但是近年来，网络安全竞赛，尤其是CTF竞赛，逐渐产生了从“少而精”向“泛而不实”发展的趋势。竞赛题目的高重复率、从信息安全基本知识的考察转向奇技淫巧的钻研，使得网络安全竞赛这一学习形式逐步平面化，竞赛目的逐渐“为了竞赛而竞赛”，偏离了通过竞赛培养安全意识、磨练安全技术的初衷。这一点通过竞赛数量的飙升而有所体现，据统计，某技术支持公司从2014年成立以来至2018年，已经承办了超过500场CTF比赛，而具有比赛承办资质的技术公司数量亦不在少数。这一形式使得网络安全竞赛变得功利化，同时也降低了网络安全竞赛奖项的含金量。因此，国家网信办在2018年6月了《关于规范促进网络安全竞赛活动的通知》，指出网络安全竞赛出现了“过度商业化、赛制单一化、选手逐利化等无序发展的现象”，并给出了七条指导意见。尽管网络安全竞赛为高校的信息安全教育工作带来了很多帮助，但仍需注意的是不能舍本逐末，为了竞赛而忽视基础工作的建设。

3.理论学习与实际需求脱节

信息安全是一个直接面向工程应用，侧重工程实践的学科，并且有时具有“工业界率先发现问题，学术界进一步跟进”这种独有的特征。而高校信息安全教育中，尽管能够在课堂上学习足够的理论知识，但是面对真实世界中的各种具体问题，仍存在力不从心、无从下手的情况。在针对信息安全专业课程设置的研究中，实践环节被认为是一项重要因素，例如核心课程的课程实验、课程设计、毕业实习以及毕业设计等，有些学校也通过组织内部小规模的CTF比赛来培养和加强学生的实践动手能力。但是课程实验和课程设计往往较为陈旧，与真实的社会需求不符；毕业设计和毕业实习由于时间问题和需要社会其他力量配合，难以在不同情况下一视同仁。因此，如何架起从理论教学到满足社会实际需求之间的桥梁，仍是信息安全教育中的一个关键问题。

（二）高校信息安全教育的几点建议

针对上述问题，笔者在有限的教学生涯中，做出了以下几点相关建议：

1.以网络安全竞赛为引领

网络安全竞赛的兴趣培养能力、人才发掘能力是不容忽视的。因此，如何借助网络安全竞赛平台培养学生的兴趣，激发学生的潜能，是高校信息安全教育的第一步。笔者建议，首先，对于信息安全专业的学生，可以在人才培养过程中通过组织网络安全竞赛激发学生学习的积极性和主动性，从而提升教学质量。例如组织学生在基础课程学习结束，专业学习尚未开始时，观摩、参加CTF比赛或进行相关培训，让学生在正式进行专业学习之前了解相关知识，从点到面，使得学生学习过程、教师授课过程事半功倍；此外，对于非信息安全专业学生而言，也可以通过组织与网络安全竞赛相关的社团、学生活动等，发现具有信息安全教育潜质学生，同时也有利于信息安全教育在高校内的宣传与知识的普及。

2.以课程教学为基础

课堂教学仍然是高校信息安全教育的根本。当前信息安全专业的课程设置与其他相关专业如计算机科学与技术、通信工程等的课程设置之间缺乏差异性，同质化较为明显，而对于其他交叉领域如管理学、法律、社会学等方向的课程开设则有所欠缺，这导致很难培养出综合、全面的跨领域的信息安全人才。因此，笔者建议可以在教学时，为信息安全专业的学生进行不同培养方向的细分，比如安全管理方向、web安全方向、密码学方向、系统安全方向等，同时为不同培养方向设置不同的课程体系，让不同的学生在学习信息安全专业的通选课程之后，再辅修与培养方向相关性更强的课程。例如信息安全相关法规这一课程，对于信息安全管理方向的学生而言，应当设置为必修课，以考试的形式进行考核，而对于其他技术类如web安全等方向的学生而言，则可以设置为选修课，同时以考察的形式进行考核；再例如数论基础这一课程，对于密码学方向的学生，应当作为必修课，并以考试的形式进行考核，而对于信息安全管理方向的学生而言，则可以作为任选课。这种将课程体系进一步细分的方式能够制造差异化教学，实现定向培养专门人才的效果。

3.以学以致用为目标

尽管高校信息安全教育的形式主要是课堂的理论教学，但最终目的仍然是培养能够迅速投身信息安全事业的人才。如何引导学生从理论学习到学以致用一直以来都是一项难题。一般来说，信息安全人才培养可以分为两个方向：应用型人才和科研型人才，前者主要服务于信息安全企业、信息安全公共管理等信息安全相关产业，后者则主要服务于科研院所或进一步深造。因此，笔者建议从这两个方向着手提高学生的实践能力：首先，针对应用型人才的培养，应当加强校企合作，为学生提供参观、访问信息安全相关企业的机会，了解当前社会的真实需求，了解信息安全行业的工作模式等等；进一步，可以和企业联合，通过短期实习、假期实践、毕业实习的形式让学生参与到信息安全企业的工程工作中，深入了解信息安全行业，提升自身能力以满足社会需求；针对科研型人才培养，应当鼓励学生积极参加教师与信息安全相关的科研课题，了解科研工作的模式，承担课题中的研发任务，从而将书本上的知识加以应用，培养科研能力。

三、结束语

信息安全专业经过近二十年的发展，产生了新的形态，现在已经步入了新的时代，但是同时也面临新的问题，如课程设置不合理、网络安全竞赛功利化、理论学习与实际需求脱节等。针对上述问题，应当对症下药，提出相应的解决办法，让高校信息安全教育更适应新的社会环境，为我国信息安全事业培养更多、更可靠的人才。

参考文献：

[1]孙建国，冯光升，夏松竹，等.信息安全专业建设的“语法规则”:新工科实践与探索[J].中国大学教学，2018（7）：36-41.

[2]中国工程院沈昌祥院士:加强信息安全类专业建设为设置一级学科打好基础[J].信息安全与通信保密，2014（05）：31.

[3]王昭顺.“信息安全”本科专业人才培养的研究[J].计算机教育，2006（10）：73-75.

[4]美国网络安全人才政策综述[J].信息安全与通信保密，2018-09-01.

[5]徐越.大数据时代的信息安全教育研究[D].南京邮电大学，2016.

[6]李晖，张宁.网络空间安全学科人才培养之思考[J].网络与信息安全学报，2016，1（1）：18-23.

[7]韩臻，韩磊，马威.美国国家网络空间安全教育计划探析[J].保密科学技术，2012（7）：44-49.

[8]韩臻，王星，黄学臻，等.美国NICE网络空间安全人才队伍框架探析[J].保密科学技术，2012（9）：53-57.

[9]李建华，邱卫东，孟魁，等.网络空间安全一级学科内涵建设和人才培养思考[J].信息安全研究，2015，1（2）：149-154.

[10]余翔湛，张宏莉，于海宁，等.网络空间安全竞赛及人才管理[J].中国工程科学，2016（6）.

[11]百度百科:CTF[EB/OL].https://baike.baidu.com/item/ctf/9548546?fr=aladdin.2018-06-01.

作者:马威 单位:华北水利水电大学