文/張煥國 杜瑞穎

武漢大學(xué)：信息安全人才培養(yǎng)現(xiàn)狀與問題

文/張煥國 杜瑞穎

雖然我國已經(jīng)建立80多個(gè)信息安全專業(yè)，但是這些專業(yè)也都是依托在其他學(xué)科下設(shè)立的。由于依托學(xué)科基礎(chǔ)不同，方向各異，內(nèi)容混亂，相互摯肘，導(dǎo)致培養(yǎng)人才的知識(shí)和能力結(jié)構(gòu)不合理，很難保證培養(yǎng)質(zhì)量。

沒有信息化就沒有國家現(xiàn)代化，沒有信息安全就沒有國家安全。發(fā)展我國信息技術(shù)與產(chǎn)業(yè)，建設(shè)網(wǎng)絡(luò)強(qiáng)國，確保國家信息安全，是我國的重大戰(zhàn)略目標(biāo)。實(shí)現(xiàn)這一戰(zhàn)略目標(biāo)，關(guān)鍵是人才。而談到人才培養(yǎng)，教育是基礎(chǔ)。

2001年武漢大學(xué)創(chuàng)建了我國第一個(gè)信息安全本科專業(yè)。如今，全國已有80多所高校建立了信息安全專業(yè)。因此，總結(jié)交流信息安全人才培養(yǎng)的經(jīng)驗(yàn)和教訓(xùn)，對(duì)于提高人才培養(yǎng)質(zhì)量，實(shí)現(xiàn)國家現(xiàn)代化和確保國家安全是十分有益的。

信息安全專業(yè)人才培養(yǎng)實(shí)踐

人才培養(yǎng)基本情況

2001年武漢大學(xué)創(chuàng)建了我國第一個(gè)信息安全本科專業(yè)，至今已有14年的辦學(xué)歷史。在這期間武漢大學(xué)信息安全專業(yè)的招生和畢業(yè)生就業(yè)情況一直非常好，辦學(xué)質(zhì)量受到社會(huì)的廣泛好評(píng)。表1給出了2005年至2011年武漢大學(xué)信息安全專業(yè)畢業(yè)生的就業(yè)情況。

課程體系的特色

自2001年我們探索性地制定了全國第一套信息安全本科專業(yè)培養(yǎng)方案以來，在11年的辦學(xué)過程中，根據(jù)信息技術(shù)的發(fā)展和社會(huì)對(duì)信息安全專業(yè)人才知識(shí)和實(shí)踐能力結(jié)構(gòu)的需求變化，對(duì)培養(yǎng)計(jì)劃作了4次修訂，最近兩次修訂分別是在2009年和2013年完成的。從最初只包含3門必修課和3門選修課的信息安全專業(yè)課程體系，發(fā)展到目前的包含7門必修課和11門選修課的信息安全專業(yè)課程體系。這一課程體系在課程設(shè)置和課程內(nèi)容上，具有以下幾個(gè)特點(diǎn)：

1.符合《高等學(xué)校信息安全專業(yè)指導(dǎo)性專業(yè)規(guī)范》的要求。所設(shè)置課程覆蓋了信息安全專業(yè)四大研究領(lǐng)域：密碼學(xué)，網(wǎng)絡(luò)安全、信息系統(tǒng)安全、信息內(nèi)容安全。覆蓋了《高等學(xué)校信息安全專業(yè)指導(dǎo)性專業(yè)規(guī)范》規(guī)定的所有必修內(nèi)容和部分選修內(nèi)容，并根據(jù)武漢大學(xué)信息安全學(xué)科的優(yōu)勢(shì)適當(dāng)擴(kuò)充了部分內(nèi)容。達(dá)到了教育部關(guān)于根據(jù)專業(yè)規(guī)范統(tǒng)一基本內(nèi)容，同時(shí)又辦出自己特色的要求。

信息系統(tǒng)安全領(lǐng)域的專業(yè)課程有：操作系統(tǒng)原理及安全（必修）、數(shù)據(jù)庫原理及安全（必修）、軟件安全（必修）、嵌入式系統(tǒng)安全（必修）、信息系統(tǒng)安全導(dǎo)論（選修）、可信計(jì)算技術(shù)（選修）、程序分析（選修）、云計(jì)算及安全（選修）、計(jì)算機(jī)取證（選修）。

網(wǎng)絡(luò)安全領(lǐng)域的專業(yè)課程有：網(wǎng)絡(luò)安全（必修）、無線網(wǎng)絡(luò)安全（選修）、網(wǎng)絡(luò)程序設(shè)計(jì)（選修）、網(wǎng)絡(luò)管理（選修）、電子商務(wù)和電子政務(wù)安全（選修）。

密碼學(xué)領(lǐng)域的專業(yè)課程有：密碼學(xué)（必修）、信息安全數(shù)學(xué)基礎(chǔ)（必修）。

內(nèi)容安全領(lǐng)域的專業(yè)課程有：信息內(nèi)容安全（選修）、信息隱藏（選修）。

2.突出武漢大學(xué)信息安全專業(yè)的辦學(xué)特色。武漢大學(xué)在演化密碼、可信計(jì)算、軟件安全和信息隱藏等方面具有自己的優(yōu)勢(shì)和特色。據(jù)此，我們?cè)凇懊艽a學(xué)”課程中增加了演化密碼的知識(shí)，加強(qiáng)了密碼應(yīng)用方面的內(nèi)容，如增加了密碼技術(shù)在可信計(jì)算中的應(yīng)用。在實(shí)踐課程中設(shè)置了“密碼學(xué)課程設(shè)計(jì)”。在信息系統(tǒng)系統(tǒng)領(lǐng)域設(shè)置了“可信計(jì)算技術(shù)”特色課程。在“軟件安全”課程中增加了可信軟件的內(nèi)容，通過可信編譯等技術(shù)來增強(qiáng)軟件的安全性。開設(shè)了“程序分析”課程，培養(yǎng)學(xué)生掌握軟件逆向工程的技術(shù)和能力。

表1 2005年至2011年武漢大學(xué)信息安全專業(yè)畢業(yè)生就業(yè)情況

3.體現(xiàn)信息安全學(xué)科的自身規(guī)律。學(xué)校開設(shè)了“操作系統(tǒng)原理及安全”課程。這是在以往的“操作系統(tǒng)原理”基礎(chǔ)上增加了18個(gè)課時(shí)的安全內(nèi)容形成的，目的是把操作系統(tǒng)原理和安全的內(nèi)容緊密結(jié)合起來，以完整展現(xiàn)該內(nèi)容的自身規(guī)律。這門課程在本科階段開設(shè)。之所以開設(shè)這門課程是因?yàn)椴僮飨到y(tǒng)安全屬于信息系統(tǒng)安全的基礎(chǔ)，應(yīng)該讓學(xué)生完整學(xué)習(xí)這方面的知識(shí)。以前的做法是把“操作系統(tǒng)原理”和“操作系統(tǒng)安全”兩門課程分開開設(shè)，這樣做的不足之處是操作系統(tǒng)原理的內(nèi)容和操作系統(tǒng)安全的內(nèi)容彼此脫節(jié)，而且所花的課時(shí)數(shù)也較多。類似的課程還有數(shù)據(jù)庫原理及安全（必修）。

另外，近年來工業(yè)控制系統(tǒng)的安全問題日益突出。ICS CERT的統(tǒng)計(jì)表明85.7%的工業(yè)控制系統(tǒng)存在安全漏洞。從2010年到2013年上半年就發(fā)生580多起工業(yè)控制系統(tǒng)安全事件。為此，我們?cè)谧罱淮闻囵B(yǎng)方案調(diào)整時(shí)，在必修課程中增設(shè)了“嵌入式系統(tǒng)安全”及其實(shí)驗(yàn)課程。

4.加大實(shí)踐環(huán)節(jié)，提高學(xué)生的實(shí)踐動(dòng)手能力。實(shí)踐動(dòng)手能力是學(xué)生培養(yǎng)質(zhì)量的重要組成部分。在2013版教學(xué)計(jì)劃中，我們將原來6.5個(gè)學(xué)分的實(shí)踐課程加強(qiáng)到9個(gè)學(xué)分。除了“信息安全數(shù)學(xué)基礎(chǔ)”之外，每門專業(yè)必修課都配套設(shè)置了必修實(shí)踐課程，實(shí)踐課程的形式包括實(shí)驗(yàn)課、課間實(shí)驗(yàn)、課程設(shè)計(jì)、科研實(shí)踐和社會(huì)實(shí)習(xí)等多種方式。

國家重視、校企合作培養(yǎng)信息安全人才

我國政府十分重視信息安全人才培養(yǎng)。目前全國建立信息安全專業(yè)的高校已有80多所，其中一部分高校還建立了信息安全碩士點(diǎn)、博士點(diǎn)和博士后企業(yè)產(chǎn)業(yè)基地。我國已經(jīng)形成信息安全人才培養(yǎng)的完整體系。教育部成立了“高等學(xué)校信息安全專業(yè)教學(xué)指導(dǎo)委員會(huì)”（以下簡稱為教指委）。在教指委的指導(dǎo)下由武漢大學(xué)牽頭，13所大學(xué)參加，歷時(shí)5年，制定出我國第一個(gè)《高等學(xué)校信息安全專業(yè)指導(dǎo)性專業(yè)規(guī)范》，并由清華大學(xué)出版社正式出版發(fā)行。規(guī)范詳細(xì)制定了信息安全專業(yè)學(xué)生所應(yīng)學(xué)習(xí)的知識(shí)體系和所應(yīng)具備的實(shí)踐能力體系。為了適應(yīng)我國信息安全專業(yè)辦學(xué)的是實(shí)際情況，規(guī)范給出了兩套方案，供各高校自主選擇、自主更換。武漢大學(xué)作為制定規(guī)范的牽頭單位，帶頭執(zhí)行規(guī)范。

我國的信息安全企業(yè)十分關(guān)心信息安全人才的培養(yǎng)，這是十分可貴的。企業(yè)根據(jù)自身的工作體會(huì)與需求，積極參與信息安全人才培養(yǎng)的討論，提出了許多中肯的意見和寶貴的建議。例如，企業(yè)提出信息安全課程教學(xué)應(yīng)當(dāng)采用案例教學(xué)。信息安全人才培養(yǎng)應(yīng)當(dāng)重視逆向分析能力的培養(yǎng)。又例如，企業(yè)表示愿意為信息安全專業(yè)的大學(xué)生提供實(shí)習(xí)機(jī)會(huì)，并愿意接納更多的信息安全畢業(yè)生。高校將會(huì)采納這些好的意見和建議，改進(jìn)信息安全人才培養(yǎng)工作，為國家培養(yǎng)出更多更好的信息安全人才。通過討論，企業(yè)也理解了學(xué)校是為全社會(huì)培養(yǎng)信息安全人才，而社會(huì)對(duì)信息安全人才的需求是多樣的，因此不能僅僅考慮某個(gè)企業(yè)的需求。

我國信息安全人才培養(yǎng)現(xiàn)存問題

目前我國信息安全人才培養(yǎng)還存在以下問題和困難。

第一，對(duì)信息安全學(xué)科的管理不順。信息安全學(xué)科是研究信息獲取、信息存儲(chǔ)、信息傳輸和信息處理中的信息安全保障問題的一門新興學(xué)科。它由密碼學(xué)、網(wǎng)絡(luò)安全、信息系統(tǒng)安全、信息內(nèi)容安全和信息對(duì)抗五部分組成。但是，我國現(xiàn)行學(xué)科管理體制卻把密碼學(xué)劃歸軍事指揮學(xué)科，把信息對(duì)抗劃歸武器學(xué)科，其余劃歸計(jì)算機(jī)科學(xué)科。這種管理體制，顯然不符合信息安全學(xué)科的自身規(guī)律，也不利于信息安全學(xué)科的建設(shè)和信息安全人才培養(yǎng)。這是因?yàn)椋?/p>

1.這種管理體制違背了信息安全學(xué)科的自身規(guī)律。信息安全學(xué)科的五個(gè)組成部分是一個(gè)有機(jī)體，它們互相依存、相互作用、共同發(fā)展。因此，不應(yīng)人為地把它們割裂開來。

2.這種管理體制不利于信息安全學(xué)科學(xué)科建設(shè)和人才培養(yǎng)。我國現(xiàn)行學(xué)科管理體系規(guī)定，只有一級(jí)學(xué)科才能建立碩士點(diǎn)、博士點(diǎn)和博士后流動(dòng)站。目前信息安全不是一級(jí)學(xué)科，所以不能設(shè)立碩士點(diǎn)、博士點(diǎn)和博士后流動(dòng)站，從而不能培養(yǎng)碩士、博士、博士后人才。至今，我國還沒有信息安全博士后流動(dòng)站。只有武漢大學(xué)與企業(yè)聯(lián)合設(shè)立了一個(gè)“信息安全企業(yè)博士后產(chǎn)業(yè)基地”。

雖然我國已經(jīng)建立的80多個(gè)信息安全專業(yè)，但是這些專業(yè)也都是依托在其他學(xué)科下設(shè)立的。由于依托學(xué)科基礎(chǔ)不同，方向各異，內(nèi)容混亂，相互摯肘，導(dǎo)致培養(yǎng)人才的知識(shí)和能力結(jié)構(gòu)不合理，很難保證培養(yǎng)質(zhì)量。

總之，如果這種狀況長期下去，將嚴(yán)重制約我國信息安全人才培養(yǎng)，影響我國在信息安全領(lǐng)域的國際競爭力。

第二，許多高校缺少信息安全師資，特別是缺少高水平的信息安全師資。致使一些高校的某些課程不能開設(shè)，影響學(xué)生的培養(yǎng)質(zhì)量。教指委已經(jīng)決定開辦一些信息安全師資培訓(xùn)班，為高校定向培養(yǎng)一些信息安全師資。另外，聘請(qǐng)企業(yè)的信息安全專家到高校擔(dān)任兼職教師，也是一種有效措施。

第三，一些高校缺少必要的信息安全實(shí)驗(yàn)條件。致使一些高校的某些實(shí)踐課程不能開設(shè)，影響學(xué)生的實(shí)踐動(dòng)手能力的培養(yǎng)。高校應(yīng)當(dāng)努力爭取條件解決實(shí)驗(yàn)條件。高校之間互相共享實(shí)驗(yàn)資源，也是一種解決辦法。另外，與企業(yè)聯(lián)合辦學(xué)，利用企業(yè)的實(shí)驗(yàn)條件，也是一種有效的措施。

第四，信息安全專業(yè)規(guī)范實(shí)施不力。雖然我國制定出世界上第一個(gè)信息安全專業(yè)規(guī)范，但是高校對(duì)規(guī)范的貫徹實(shí)施不夠。其原因在于，規(guī)范出版發(fā)行時(shí)間不長，一些學(xué)校和教師還沒有看到規(guī)范。也有一些學(xué)校和教師雖然看到規(guī)范，但并不重視。現(xiàn)有的教材完全符合規(guī)范的不多，也是影響規(guī)范實(shí)施的一個(gè)原因。因此，組織宣講信息安全專業(yè)規(guī)范，編寫符合規(guī)范的教材，是貫徹實(shí)施規(guī)范的有效措施。

（作者單位為武漢大學(xué)計(jì)算機(jī)學(xué)院）

美國網(wǎng)絡(luò)空間安全教育計(jì)劃

美國政府發(fā)布了網(wǎng)絡(luò)空間安全教育計(jì)劃，該計(jì)劃由商務(wù)部NIST研究所牽頭，國土安全部、國防部、教育部、司法部等11個(gè)政府部門共同負(fù)責(zé)。2011年發(fā)布了《NICE戰(zhàn)略計(jì)劃（草案）》，2012年又進(jìn)行了修訂。

美國網(wǎng)絡(luò)空間安全教育計(jì)劃將網(wǎng)絡(luò)空間安全專業(yè)領(lǐng)域劃分為七個(gè)大類，如圖1所示。美國網(wǎng)絡(luò)空間安全教育計(jì)劃制定了三個(gè)具體目標(biāo)：

提高全民網(wǎng)絡(luò)空間安全的風(fēng)險(xiǎn)意識(shí)

任務(wù)1：增進(jìn)對(duì)網(wǎng)絡(luò)空間風(fēng)險(xiǎn)和脆弱性的了解。

任務(wù)2：促進(jìn)網(wǎng)絡(luò)空間安全資源和工具的使用。

擴(kuò)充網(wǎng)絡(luò)空間安全隊(duì)伍后備人才

任務(wù)1：通過加強(qiáng)網(wǎng)絡(luò)空間安全與團(tuán)隊(duì)教育，以及數(shù)學(xué)和計(jì)算思維的作用，增加基礎(chǔ)教育中有關(guān)網(wǎng)絡(luò)空間安全的教學(xué)內(nèi)容。

任務(wù)2：通過增加豐富多彩的課程和研究機(jī)會(huì)，促進(jìn)對(duì)計(jì)算機(jī)科學(xué)和網(wǎng)絡(luò)空間安全的興趣。

在高中/大學(xué)預(yù)科階段，增加豐富多彩的計(jì)算機(jī)課程。

在本科和研究生層次，增加豐富多彩的網(wǎng)絡(luò)安全課程。

開展網(wǎng)絡(luò)空間安全競賽。

發(fā)展網(wǎng)絡(luò)空間安全研究和開發(fā)的優(yōu)秀人才。

協(xié)調(diào)國家網(wǎng)絡(luò)空間安全虛擬實(shí)驗(yàn)室的學(xué)習(xí)網(wǎng)。

培養(yǎng)一支具有全球競爭力的網(wǎng)絡(luò)空間安全隊(duì)伍

任務(wù)1：鼓勵(lì)開發(fā)并采用國家網(wǎng)絡(luò)空間安全計(jì)劃。

達(dá)成共識(shí)，制定計(jì)劃。

開發(fā)工具，鼓勵(lì)和監(jiān)督聯(lián)邦機(jī)構(gòu)和社會(huì)采用該計(jì)劃。

任務(wù)2：開發(fā)網(wǎng)絡(luò)空間安全隊(duì)伍人員數(shù)量預(yù)測(cè)工具。

利用計(jì)劃作指南，評(píng)估聯(lián)邦網(wǎng)絡(luò)空間安全隊(duì)伍需求。

任務(wù)3：建立網(wǎng)絡(luò)空間安全培訓(xùn)和職業(yè)發(fā)展的標(biāo)準(zhǔn)和指南。

制定現(xiàn)行網(wǎng)絡(luò)空間安全培訓(xùn)的基本要求。

基于熟練程度、職業(yè)水平、專業(yè)領(lǐng)域，對(duì)培訓(xùn)分類。

為各種網(wǎng)絡(luò)空間安全職位所需的知識(shí)和技能提供詳細(xì)指南。

開發(fā)網(wǎng)絡(luò)空間安全工具，提供培訓(xùn)課程目錄。

任務(wù)4：分析幫助各單位雇傭和招聘網(wǎng)絡(luò)空間安全專業(yè)人員。

分析各職業(yè)領(lǐng)域的雇傭和招聘策略。

幫助各單位雇傭和招聘網(wǎng)絡(luò)空間安全專業(yè)人員。

任務(wù)5：評(píng)估網(wǎng)絡(luò)空間安全隊(duì)伍的職業(yè)化。

形成一支網(wǎng)絡(luò)空間安全職業(yè)化隊(duì)伍。

圖1 美國網(wǎng)絡(luò)空間安全教育計(jì)劃框架

我國與美國的信息安全教育體系比較

美國：提出信息安全勞動(dòng)力的概念，把信息安全看成一種職業(yè)。面向全民實(shí)施信息安全教育，包括基礎(chǔ)教育、大學(xué)教育和職業(yè)教育。制定了一個(gè)完整的計(jì)劃，明確了目標(biāo)與任務(wù)，制定了完整的專業(yè)技術(shù)領(lǐng)域。由11個(gè)政府機(jī)構(gòu)參與，形成了一個(gè)信息安全教育社會(huì)體系。但是，目前尚缺少具體實(shí)施細(xì)則。

我國：本科信息安全教育發(fā)展很快，制定了信息安全專業(yè)規(guī)范，信息安全專業(yè)標(biāo)準(zhǔn)正在制定中、培養(yǎng)了大量信息安全專業(yè)人才。但缺少基礎(chǔ)教育中的信息安全教育，缺少面向全社會(huì)的信息安全教育體系。

美國除了網(wǎng)絡(luò)空間安全教育計(jì)劃之外，ACM/IEEE計(jì)算機(jī)科學(xué)課程體系2013（CS2013），增加了IAS（Information Assurance and Security）內(nèi)容的課程，并將其作為計(jì)算機(jī)科學(xué)知識(shí)體系中的一個(gè)知識(shí)領(lǐng)域。CS2013認(rèn)為把IAS納入課程體系，是因?yàn)镮AS對(duì)于計(jì)算機(jī)科學(xué)教育具有關(guān)鍵作用。

雖然美國ACM/IEEE計(jì)算機(jī)科學(xué)課程體系2013（CS2013）增加了IAS內(nèi)容的課程，但其在系統(tǒng)性和完整性等方面都不及我國的信息安全專業(yè)規(guī)范。

中國和美國的信息安全教育各有所長，也各有所短。兩國應(yīng)當(dāng)互相交流，互相借鑒。