新時代下高校信息安全教育

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了新時代下高校信息安全教育范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：信息安全是國家安全的重要組成部分，維護信息安全需要有一支具有高水平信息安全專業(yè)知識的人才隊伍，這是高校信息安全教育的根本任務。隨著網絡空間安全專業(yè)成為一級學科，標志著高校信息安全教育工作進入了新時代，但是一系列問題也隨之涌現(xiàn)，例如課程設置不合理、理論教學與實踐脫鉤等。文章針對這些問題進行了簡要分析，并給出了相關的建議。

關鍵詞：信息安全教育；網絡空間安全；課程設置

引言

近年來，信息安全事件層出不窮，國際上圍繞信息安全的斗爭也愈演愈烈，信息安全已成為國家安全的一個重要組成因素。2014年，我國正式成立中央網絡安全和信息化領導小組，由擔任組長。指出：“信息安全已成為國家安全的重要組成部分，國家重要信息系統(tǒng)和基礎設施的建設和維護需要一支具有較高信息安全專業(yè)知識的建設和管理隊伍?！毙畔踩珜I(yè)的人才需求也在近幾年呈現(xiàn)上升趨勢。為滿足我國的信息安全人才需求，教育部以及各大高校展開了一系列的人才培養(yǎng)工作。2001年，武漢大學開設了信息安全專業(yè)，開始了信息安全本科專業(yè)人才的培養(yǎng)。目前，共有約122所高校設置信息安全類相關專業(yè)，其中有92個信息安全專業(yè)，18個信息對抗專業(yè)以及成立了12所國家保密學院并設置相關的保密管理專業(yè)，每年能夠提供約1萬人的相關專業(yè)畢業(yè)生[1]。盡管這些年有眾多信息安全專業(yè)畢業(yè)生或從業(yè)人員出現(xiàn)，但是面對國家日益緊迫的需求狀況，仍然存在很大的人才缺口。據統(tǒng)計，我國信息安全等級保護重要信息系統(tǒng)已定級的數量在5萬個以上，信息安全專業(yè)人才的缺口則在百萬以上[2]，人才數量上仍難以滿足當前的需求。此外，當前我國高校的信息安全教育專業(yè)，尚未形成一個標準的、權威的課程體系，只注重學生理論知識學習，對于真正解決問題的能力培養(yǎng)則相對不足，導致人才培養(yǎng)質量不高[1-3]。因此，在當前新的社會環(huán)境與需求下，探討信息安全專業(yè)的教育方法是十分有必要的。

一、新時代下的高校信息安全教育

（一）信息安全教育的發(fā)展

走在信息安全教育最前列的是美國。早在二十世紀末，美國就制定了《國家信息安全戰(zhàn)略框架》，并在其中明確提出了信息安全意識教育，并在近二十年間出臺了一系列的政府文件明確信息安全人才培養(yǎng)的戰(zhàn)略定位。2000年，美國政府了21世紀初期國家信息安全發(fā)展十大計劃，其中包含了“培訓并雇傭足夠數量的信息安全專家”與“提升全美公眾網絡安全意識”兩項與人才培養(yǎng)相關的內容；2003年，美國政府在《網絡空間安全國家戰(zhàn)略》中，提出了國家級網絡安全意識和培訓計劃；2008年，美國《國家網絡安全綜合計劃》中，要求制定一個專門的國家級網絡安全教育計劃；2009年，美國《網絡空間政策評估》中要求加強網絡安全教育、擴充聯(lián)邦技術人員隊伍；2017年頒布的《加強聯(lián)邦政府網絡與關鍵基礎設施網絡安全》要求給出系列網絡安全人才發(fā)展評估結論和建議報告[4]。美國高等教育信息化協(xié)會和國家網絡安全聯(lián)盟的組織機構通過多種活動如開展專項比賽、建立專題網站等對信息安全教育進行宣傳推廣，同時聯(lián)合學校、企業(yè)乃至家庭等各類互聯(lián)網用戶加大信息安全意識宣傳、教育和培訓的推廣力度。在高校中，通過開設課程、組織研討等方式提升學生的信息安全意識與能力，多數院校在IT服務部門中設立了信息安全辦公室，并開設了相關的信息安全專業(yè)[5]。我國的信息安全教育起步相對較晚。2001年，武漢大學成立了全國第一個信息安全本科專業(yè)，正式揭開了我國信息安全專業(yè)人才培養(yǎng)的序幕；2002年，教育部批準了18所高校設立信息安全專業(yè)，預示著信息安全人才培養(yǎng)的大潮來臨；2003年，中辦出臺《關于加強信息安全保障工作的意見》，明確指出把信息安全人才培養(yǎng)作為一項加強國家信息安全保障的重要任務。經過這些年的發(fā)展，目前全國已有122所學校設置了信息安全相關專業(yè)，同時也有更多的學校開設了信息安全相關課程，為我國信息安全相關行業(yè)的人才需求儲備了大量人才。

（二）信息安全教育的新形態(tài)

1.網絡空間安全

網絡空間安全這一概念最早由美國提出，美國國家標準技術研究所在《增強關鍵技術設施網絡空間安全框架》中給出了網絡空間安全的定義：通過預防、檢測和響應攻擊，保護信息的過程[6]。網絡空間安全可以認為是信息安全的一個關鍵部分，但同時又包含了一定獨特的內容，是信息安全的新形態(tài)。2010年，美國啟動了國家網絡空間安全教育計劃（NICE），該計劃由美國國家標準技術研究所（NIST）牽頭，由國土安全部（DHS）、國防部（DoD）、勞工部（DoL）、教育部（DoED）、司法部（DoI）、國家安全局（NSA）、國家科學基金會（NSF）、國家情報總監(jiān)辦公室（ODNI）、人力資源辦公室（OPM）以及小企業(yè)管理局（SBA）等部門共同負責。該計劃旨在期望通過國家的整體布局和行動，在信息安全常識普及、正規(guī)學歷教育、職業(yè)化培訓和認證等三個方面開展系統(tǒng)化、規(guī)范化的強化工作，來全面提高美國的信息安全能力[7，8]。國家網絡空間安全教育計劃的推出象征美國的信息安全教育進入了一個新的時代，也標示著信息安全教育的新形態(tài)的形成。2011年，美國國家標準技術研究所了《NICE戰(zhàn)略計劃》，包括三個目標：（1）提高對網絡在線活動的風險意識；（2）擴大能夠支撐網絡安全國家的專業(yè)人員儲備；（3）發(fā)展和維護一支具有全球競爭力的網絡空間安全隊伍。其中目標（2）主要著力于正規(guī)教育，旨在增加具有網絡空間安全技能的人員數量來滿足國家網絡空間安全的需求，包括基礎教育、高中教育和高等教育（本科生和研究生）以及在高等教育的網絡空間安全研究與開發(fā)中發(fā)掘優(yōu)秀人才四部分任務。鑒于本文的出發(fā)點，在此僅對高等教育簡要討論：NICE要求在高等教育的學位培養(yǎng)過程中，應當提高網絡空間安全課程的數量和質量，為相關專業(yè)的本科生增加安全相關綜合性課程的比例，同時，增加相關專業(yè)研究生的招生比例以培養(yǎng)更多的專業(yè)人才，并給予學生更多的機會去攻讀博士學位，并鼓勵研究生提高研究開發(fā)的數量和質量，建設一個面向政府、學術界和私營企業(yè)的開放性論壇，以更好的明確需要研究的問題等。隨著網絡空間安全這一概念的飛速發(fā)展，我國也出臺了相應的政策。2014年，中央網絡安全和信息化領導小組成立，在小組第一次會議上指出：沒有網絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化；2015年7月，我國實施了新國家安全法，在其中首次明確了“網絡空間主權”的概念，提出要“維護國家網絡空間主權”[9]。2015年6月，經教育部批準，網絡空間安全專業(yè)增補為國家一級學科，結束了信息安全專業(yè)始終沒有國家一級學科的尷尬局面，進而將信息安全人才培養(yǎng)的方向進一步明確，培養(yǎng)力量更加集中，體現(xiàn)了國家對網絡安全、信息安全人才培養(yǎng)的關注，也標志著我國信息安全教育進入了新的時代。

2.網絡安全競賽

近年來信息安全教育的另一個新形態(tài)是涌現(xiàn)的眾多網絡安全競賽。網絡安全競賽具有多種形式，如奪旗類競賽（CTF）、破解賽、青少年網絡安全競賽等[10]，其中最常見、受眾面最廣的是CTF競賽。CTF競賽在網絡安全領域中指的是網絡安全技術人員之間進行技術競技的一種比賽形式，起源于1996年的DEFCON黑客大會，其英文名可直譯為“奪得Flag”，也可意譯為“奪旗賽”。其大致流程是，參賽團隊之間通過進行攻防對抗、程序分析等形式，率先從主辦方給出的比賽環(huán)境中得到一串具有一定格式的字符串或其他內容（即所謂的Flag），并將其提交給主辦方，從而奪得分數[11]。常見的CTF競賽主要有三種比賽形式[10]：（1）解題模式：題目涵蓋信息安全的多個方面，包括漏洞挖掘和利用、逆向工程、Web滲透、密碼學、隱寫等，參數者通過解答題目，發(fā)現(xiàn)題目中隱藏的Flag來獲取分數；（2）攻防模式，參賽者在競賽主辦方提供的網絡環(huán)境中通過挖掘漏洞、攻擊對手或者發(fā)現(xiàn)自身漏洞并修補來獲取分數；（3）混合模式，混合了解題模式和攻防模式的特點，采取綜合計算分數的方法。現(xiàn)在常見的CTF比賽中，往往以解題模式作為初賽，攻防模式或混合模式作為復賽，旨在提供公平、有效的競賽環(huán)境?，F(xiàn)在著名的CTF比賽包括歷史最悠久的DEF－CONCTF、UCSBiCTF、歐洲的XXC3CTF、我國主辦的XCTF、北京理工大學主辦的ISCC、西安電子科技大學主辦的XDCTF、中國網絡空間安全協(xié)會主辦的“強網杯”等。

二、高校信息安全教育現(xiàn)狀分析

（一）高校信息安全教育存在的問題

盡管隨著時展，高校信息安全教育也取得了突飛猛進的進步，但是在新時代下，面對新形態(tài)，仍存在一定問題，下面展開簡要分析：

1.課程設置仍存在不合理之處

高校的信息安全專業(yè)多數掛靠在計算機科學與技術、信息與通信工程、電子科學與技術等一級學科下，也有少部分掛靠于其他相關性較差的一級學科如商學院、管理學院等[9]。隨之而來的是課程設置上的一些問題。信息安全并非一個孤立的專業(yè)，而是一個典型的交叉學科專業(yè)，除典型的計算機、通信知識外，還涉及管理學、社會科學等多個學科的相關內容，因此在課程開設上應當給予足夠的考慮。例如文獻[5]指出，美國的西康涅狄格州立大學在開設信息安全專業(yè)時，即將其定位為一門獨立的跨學科性質專業(yè)，包含了15門通識教育課、11門商科必修課以及8門專業(yè)必修課。而我國信息安全專業(yè)在發(fā)展初期由于掛靠在其他一級學科下，因此課程開設往往與所掛靠的一級學科關聯(lián)性更大。例如掛靠在計算機科學與技術一級學科下的信息安全專業(yè)的課程設置與計算機科學與技術極為相似，而掛靠在通信工程下的信息安全專業(yè)課程則又與通信工程課程極為相似。作為我國信息安全本科教育先驅的武漢大學，在專業(yè)設置初期也是以計算機科學技術相關課程為主，兼學通信、數學和物理知識。盡管我國的信息安全專業(yè)在發(fā)展過程中，一些諸如信息安全法律法規(guī)、信息安全工程學等課程被逐步加入課程體系，但是仍然難以滿足信息安全專業(yè)對交叉知識的需求。

2.網絡安全競賽功利化

廣泛開展的網絡安全競賽在提升高校信息安全專業(yè)學生學習興趣、發(fā)掘人才、培養(yǎng)人才等方面發(fā)揮了巨大作用，但是近年來，網絡安全競賽，尤其是CTF競賽，逐漸產生了從“少而精”向“泛而不實”發(fā)展的趨勢。競賽題目的高重復率、從信息安全基本知識的考察轉向奇技淫巧的鉆研，使得網絡安全競賽這一學習形式逐步平面化，競賽目的逐漸“為了競賽而競賽”，偏離了通過競賽培養(yǎng)安全意識、磨練安全技術的初衷。這一點通過競賽數量的飆升而有所體現(xiàn)，據統(tǒng)計，某技術支持公司從2014年成立以來至2018年，已經承辦了超過500場CTF比賽，而具有比賽承辦資質的技術公司數量亦不在少數。這一形式使得網絡安全競賽變得功利化，同時也降低了網絡安全競賽獎項的含金量。因此，國家網信辦在2018年6月了《關于規(guī)范促進網絡安全競賽活動的通知》，指出網絡安全競賽出現(xiàn)了“過度商業(yè)化、賽制單一化、選手逐利化等無序發(fā)展的現(xiàn)象”，并給出了七條指導意見。盡管網絡安全競賽為高校的信息安全教育工作帶來了很多幫助，但仍需注意的是不能舍本逐末，為了競賽而忽視基礎工作的建設。

3.理論學習與實際需求脫節(jié)

信息安全是一個直接面向工程應用，側重工程實踐的學科，并且有時具有“工業(yè)界率先發(fā)現(xiàn)問題，學術界進一步跟進”這種獨有的特征。而高校信息安全教育中，盡管能夠在課堂上學習足夠的理論知識，但是面對真實世界中的各種具體問題，仍存在力不從心、無從下手的情況。在針對信息安全專業(yè)課程設置的研究中，實踐環(huán)節(jié)被認為是一項重要因素，例如核心課程的課程實驗、課程設計、畢業(yè)實習以及畢業(yè)設計等，有些學校也通過組織內部小規(guī)模的CTF比賽來培養(yǎng)和加強學生的實踐動手能力。但是課程實驗和課程設計往往較為陳舊，與真實的社會需求不符；畢業(yè)設計和畢業(yè)實習由于時間問題和需要社會其他力量配合，難以在不同情況下一視同仁。因此，如何架起從理論教學到滿足社會實際需求之間的橋梁，仍是信息安全教育中的一個關鍵問題。

（二）高校信息安全教育的幾點建議針對上述問題，筆者在有限的教學生涯中，做出了以下幾點相關建議：

1.以網絡安全競賽為引領

網絡安全競賽的興趣培養(yǎng)能力、人才發(fā)掘能力是不容忽視的。因此，如何借助網絡安全競賽平臺培養(yǎng)學生的興趣，激發(fā)學生的潛能，是高校信息安全教育的第一步。筆者建議，首先，對于信息安全專業(yè)的學生，可以在人才培養(yǎng)過程中通過組織網絡安全競賽激發(fā)學生學習的積極性和主動性，從而提升教學質量。例如組織學生在基礎課程學習結束，專業(yè)學習尚未開始時，觀摩、參加CTF比賽或進行相關培訓，讓學生在正式進行專業(yè)學習之前了解相關知識，從點到面，使得學生學習過程、教師授課過程事半功倍；此外，對于非信息安全專業(yè)學生而言，也可以通過組織與網絡安全競賽相關的社團、學生活動等，發(fā)現(xiàn)具有信息安全教育潛質學生，同時也有利于信息安全教育在高校內的宣傳與知識的普及。

2.以課程教學為基礎

課堂教學仍然是高校信息安全教育的根本。當前信息安全專業(yè)的課程設置與其他相關專業(yè)如計算機科學與技術、通信工程等的課程設置之間缺乏差異性，同質化較為明顯，而對于其他交叉領域如管理學、法律、社會學等方向的課程開設則有所欠缺，這導致很難培養(yǎng)出綜合、全面的跨領域的信息安全人才。因此，筆者建議可以在教學時，為信息安全專業(yè)的學生進行不同培養(yǎng)方向的細分，比如安全管理方向、web安全方向、密碼學方向、系統(tǒng)安全方向等，同時為不同培養(yǎng)方向設置不同的課程體系，讓不同的學生在學習信息安全專業(yè)的通選課程之后，再輔修與培養(yǎng)方向相關性更強的課程。例如信息安全相關法規(guī)這一課程，對于信息安全管理方向的學生而言，應當設置為必修課，以考試的形式進行考核，而對于其他技術類如web安全等方向的學生而言，則可以設置為選修課，同時以考察的形式進行考核；再例如數論基礎這一課程，對于密碼學方向的學生，應當作為必修課，并以考試的形式進行考核，而對于信息安全管理方向的學生而言，則可以作為任選課。這種將課程體系進一步細分的方式能夠制造差異化教學，實現(xiàn)定向培養(yǎng)專門人才的效果。

3.以學以致用為目標

盡管高校信息安全教育的形式主要是課堂的理論教學，但最終目的仍然是培養(yǎng)能夠迅速投身信息安全事業(yè)的人才。如何引導學生從理論學習到學以致用一直以來都是一項難題。一般來說，信息安全人才培養(yǎng)可以分為兩個方向：應用型人才和科研型人才，前者主要服務于信息安全企業(yè)、信息安全公共管理等信息安全相關產業(yè)，后者則主要服務于科研院所或進一步深造。因此，筆者建議從這兩個方向著手提高學生的實踐能力：首先，針對應用型人才的培養(yǎng)，應當加強校企合作，為學生提供參觀、訪問信息安全相關企業(yè)的機會，了解當前社會的真實需求，了解信息安全行業(yè)的工作模式等等；進一步，可以和企業(yè)聯(lián)合，通過短期實習、假期實踐、畢業(yè)實習的形式讓學生參與到信息安全企業(yè)的工程工作中，深入了解信息安全行業(yè)，提升自身能力以滿足社會需求；針對科研型人才培養(yǎng)，應當鼓勵學生積極參加教師與信息安全相關的科研課題，了解科研工作的模式，承擔課題中的研發(fā)任務，從而將書本上的知識加以應用，培養(yǎng)科研能力。

三、結束語

信息安全專業(yè)經過近二十年的發(fā)展，產生了新的形態(tài)，現(xiàn)在已經步入了新的時代，但是同時也面臨新的問題，如課程設置不合理、網絡安全競賽功利化、理論學習與實際需求脫節(jié)等。針對上述問題，應當對癥下藥，提出相應的解決辦法，讓高校信息安全教育更適應新的社會環(huán)境，為我國信息安全事業(yè)培養(yǎng)更多、更可靠的人才。

參考文獻：

[1]孫建國，馮光升，夏松竹，等.信息安全專業(yè)建設的“語法規(guī)則”:新工科實踐與探索[J].中國大學教學，2018（7）：36-41.

[2]中國工程院沈昌祥院士:加強信息安全類專業(yè)建設為設置一級學科打好基礎[J].信息安全與通信保密，2014（05）：31.

[3]王昭順.“信息安全”本科專業(yè)人才培養(yǎng)的研究[J].計算機教育，2006（10）：73-75.

[4]美國網絡安全人才政策綜述[J].信息安全與通信保密，2018-09-01.

[5]徐越.大數據時代的信息安全教育研究[D].南京郵電大學，2016.

作者：馬威 單位：華北水利水電大學