平源 馬慧

摘? 要 分析信息安全人才培養(yǎng)面臨的挑戰(zhàn)與機遇，依托多維校企合作，基于職業(yè)崗位需求，構(gòu)建模塊化課程體系，為地方應(yīng)用型高校信息安全專業(yè)課程體系構(gòu)建提供參考和借鑒。

關(guān)鍵詞 應(yīng)用型高校;信息安全;職業(yè)崗位;課程體系;新工科;創(chuàng)新創(chuàng)業(yè)教育

中圖分類號：G642.3? ? 文獻(xiàn)標(biāo)識碼：B

文章編號：1671-489X（2020）07-0084-04

1 引言

近年來，頻發(fā)的信息安全事件使得大眾對隱私、安全的重視程度顯著提升。同時，伴隨著云計算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等新技術(shù)的流行，其伴生的問題變得尤為突出，加劇了社會對信息安全人才的需求[1-3]。也正因為如此，地方應(yīng)用型高校開始布局信息安全人才培養(yǎng)，目前全國開設(shè)信息安全或網(wǎng)絡(luò)空間安全專業(yè)的有近140所本科高校，其中地方應(yīng)用型高校有22所。值得注意的是，2019年12月正式實施的“等級保護(hù)2.0”[4]，讓大量中小型企業(yè)開始重視信息安全的同時，也意味著地方應(yīng)用型高校成為信息安全人才培養(yǎng)重要陣地已是大勢所趨。

人才培養(yǎng)質(zhì)量直接決定服務(wù)社會的能力。新形勢下，新經(jīng)濟的發(fā)展、新工科的提出，對信息安全人才培養(yǎng)提出新的要求[5]，加之地方應(yīng)用型高校的自身特點及其差異化發(fā)展需求，信息安全人才培養(yǎng)改革勢在必行。然而，人才培養(yǎng)與市場需求的契合度，由人才培養(yǎng)定位、人才模式和課程體系直接決定。人才培養(yǎng)定位決定人才培養(yǎng)的目標(biāo)，人才培養(yǎng)模式是方法，課程體系解決了“教什么”的問題，它是教育活動的核心。為此，本文針對信息安全專業(yè)人才培養(yǎng)面臨的問題，結(jié)合新工科人才培養(yǎng)需求，對地方應(yīng)用型本科院校信息安全專業(yè)人才培養(yǎng)定位、課程組織及課程體系進(jìn)行探索與實踐。

2 信息安全人才培養(yǎng)面臨的挑戰(zhàn)與機遇

目前，全國有95所高校設(shè)置了信息安全專業(yè)，有72所高校設(shè)置了網(wǎng)絡(luò)空間安全專業(yè)（部分高校同時開設(shè)兩個專業(yè)），其中以985、211本科院校為主，地方應(yīng)用型院校正逐步增加。很明顯，不同類型院校的人才培養(yǎng)服務(wù)面向、目標(biāo)定位不應(yīng)相同。應(yīng)用型本科院校大多為地方型本科院校，由原來?？粕径鴣?，主要為地方經(jīng)濟發(fā)展培養(yǎng)服務(wù)于生產(chǎn)一線的高水平應(yīng)用型人才。與重點本科教育和普通本科教育相比，應(yīng)用型本科教育所培養(yǎng)的信息安全人才更強調(diào)實踐能力、實戰(zhàn)能力的培養(yǎng);與專科教育相比，應(yīng)用型本科教育應(yīng)具有更寬廣的理論基礎(chǔ)、可供廣泛遷移的知識體系、較強的終身學(xué)習(xí)能力。

同時，信息安全涉及計算機、通信、數(shù)學(xué)、物理等學(xué)科知識，具有內(nèi)容多、多學(xué)科交叉、實踐性與實戰(zhàn)性強的特點。大多數(shù)高校出于師資、實驗條件考慮，信息安全專業(yè)課程體系和所在院系已有相關(guān)專業(yè)的課程體系差別很小，僅在幾門專業(yè)課上有所區(qū)別。例如，一部分高校的信息安全專業(yè)曾是計算機科學(xué)與技術(shù)或網(wǎng)絡(luò)工程專業(yè)的一個方向，多在方向課和部分任選課中體現(xiàn)信息安全人才培養(yǎng)需求而設(shè)置相關(guān)安全課程。當(dāng)獲批為獨立的信息安全專業(yè)之后，短時間內(nèi)的課程體系幾乎沿用之前作為專業(yè)方向的課程體系，即通常是原有專業(yè)的延伸，沒有構(gòu)建獨立的課程體系，如未能及時結(jié)合地方需求與既有的專業(yè)群共性支撐特點，更不利于專業(yè)特色的形成。

信息安全專業(yè)具有很強的實踐性、實戰(zhàn)新和創(chuàng)新性。當(dāng)前重點高校還是信息安全人才培養(yǎng)的主力，受辦學(xué)定位與研究型師資為主的影響，部分課程偏重理論教學(xué)，與企業(yè)的需求存在一定偏差。反觀地方高校，則受師資不足影響，以轉(zhuǎn)型為主的師資隊伍帶來的是培養(yǎng)目標(biāo)龐雜不明確、課程體系化不足、實戰(zhàn)型的師資與環(huán)境均有限，難以匹配中小型企業(yè)的崗位實際需求。同時，從課程層面看，實驗教學(xué)大多根據(jù)理論教學(xué)內(nèi)容設(shè)置驗證性實驗、簡單的設(shè)計性和綜合性實驗/實訓(xùn)，沒有體現(xiàn)技術(shù)之間相融合解決實際問題的能力培養(yǎng)。從專業(yè)層面看，缺乏校內(nèi)外相結(jié)合、不同課程相融合、課內(nèi)實驗實訓(xùn)與課外競賽團隊有機結(jié)合的實踐教學(xué)體系，難以系統(tǒng)培養(yǎng)學(xué)生的實踐能力、實戰(zhàn)能力和創(chuàng)新能力。

以新技術(shù)、新業(yè)態(tài)、新模式、新產(chǎn)業(yè)為代表的新經(jīng)濟需要培養(yǎng)工程實踐能力強、創(chuàng)新能力強、具備國際競爭力的高素質(zhì)復(fù)合型新工科人才，他們不僅能用所學(xué)知識解決現(xiàn)實問題，而且具有快速學(xué)習(xí)能力，能夠解決未來發(fā)展出現(xiàn)的問題[6]。教育部陳寶生部長在新時代全國高等學(xué)校本科教育工作會議上強調(diào)：“提升大學(xué)生學(xué)業(yè)挑戰(zhàn)度，合理增加課程難度、拓展課程深度。應(yīng)用型高校也要加強一流本科教育?！盵7]這給信息安全專業(yè)人才培養(yǎng)帶來新機遇，對其知識結(jié)構(gòu)和能力素質(zhì)提出更高要求。探索如何加強校企合作，根據(jù)企業(yè)、行業(yè)需求，工程人才培養(yǎng)要求重塑、優(yōu)化課程體系，對推動信息安全專業(yè)人才培養(yǎng)質(zhì)量具有現(xiàn)實意義。

3 依托多維校企合作，基于職業(yè)崗位需求，構(gòu)建模塊化課程體系

許昌學(xué)院為典型的地方應(yīng)用型高校，其信息安全專業(yè)起源于網(wǎng)絡(luò)工程專業(yè)（網(wǎng)絡(luò)安全方向）。為了推進(jìn)契合行業(yè)、企業(yè)需求的信息安全人才培養(yǎng)，專業(yè)成立了由高校專家、骨干教師和企業(yè)工程師組成的專業(yè)建設(shè)指導(dǎo)委員會。根據(jù)學(xué)校地方性、應(yīng)用型的辦學(xué)定位和生源實際情況，結(jié)合企業(yè)、行業(yè)需求調(diào)研，就人才培養(yǎng)目標(biāo)、畢業(yè)要求、課程體系等進(jìn)行迭代論證，充分發(fā)揮原網(wǎng)絡(luò)安全方向師資優(yōu)勢和內(nèi)外部資源積累，圍繞實踐性、實戰(zhàn)性和一定創(chuàng)新性特征的人才培養(yǎng)目標(biāo)制訂培養(yǎng)方案和構(gòu)建課程體系。

基于多維校企合作，構(gòu)建“加強人文修養(yǎng)、融通學(xué)科基礎(chǔ)、提高實踐能力、發(fā)展個性特長”的人才培養(yǎng)課程體系框架? 人才培養(yǎng)課程體系框架按階段分為通識教育、學(xué)科基礎(chǔ)教育、專業(yè)教育、創(chuàng)新創(chuàng)業(yè)教育與企業(yè)實習(xí)五個階段。

通識教育和學(xué)科基礎(chǔ)教育主要利用校內(nèi)資源完成，其間，通過到校內(nèi)外實習(xí)基地、企業(yè)進(jìn)行專業(yè)認(rèn)知實習(xí)，培養(yǎng)學(xué)生的工程意識、職業(yè)意識與職業(yè)素養(yǎng)。

專業(yè)教育、創(chuàng)新創(chuàng)業(yè)教育依托校內(nèi)資源的同時引入校企合作元素。依托“雙百工程”、合作企業(yè)，聘請一線工程師入校承擔(dān)專業(yè)課程教學(xué)、課程實訓(xùn)與學(xué)習(xí)效果評價;借助學(xué)科專業(yè)競賽、大學(xué)生創(chuàng)新創(chuàng)業(yè)項目、產(chǎn)學(xué)合作項目，校外工程師與校內(nèi)教師結(jié)合，培養(yǎng)學(xué)生的創(chuàng)新創(chuàng)業(yè)能力與初步工程能力。

專業(yè)教育包含拓展課程，拓展課程根據(jù)支撐職業(yè)崗位需求，設(shè)置對應(yīng)課程模塊，學(xué)生可根據(jù)自身興趣選修相應(yīng)課程模塊，適應(yīng)不同類型信息安全人才培養(yǎng)需求，實現(xiàn)學(xué)生個性化培養(yǎng)。同時，通過專業(yè)拓展課程，實現(xiàn)專業(yè)交叉融合。

第五個階段依托校內(nèi)外實習(xí)基地進(jìn)入企業(yè)實習(xí)，實現(xiàn)預(yù)就業(yè)。為了更好地實現(xiàn)校內(nèi)教育與預(yù)就業(yè)之間的良好過渡與有效對接，校內(nèi)教育的第三年，通過合作企業(yè)工程師參與專業(yè)課程實訓(xùn)、專業(yè)綜合實訓(xùn)，完成“產(chǎn)學(xué)對接教育”。對于職業(yè)崗位知識技能掌握不好的學(xué)生，通過校內(nèi)外實訓(xùn)基地進(jìn)行為期3～5個月的針對某個崗位的實訓(xùn)，然后進(jìn)入企業(yè)實現(xiàn)預(yù)就業(yè)。

為了使學(xué)生早接觸專業(yè)，激發(fā)學(xué)習(xí)興趣、調(diào)動積極性，遵循知識模塊層次化策略，推動全覆蓋知識分層加部分專業(yè)課程前移，特別是實踐性強的課程前移至第一學(xué)年完成。

分析職業(yè)崗位需求，確定人才培養(yǎng)目標(biāo)和核心能力? 信息安全人才知識技能分類在國際上沒有唯一標(biāo)準(zhǔn)，不同人員、企業(yè)對信息安全崗位理解有所不同，不同企業(yè)對同一崗位需求存在一定的差異，且崗位劃分更加細(xì)化?；谛畔踩こ碳夹g(shù)人才培養(yǎng)的特殊性，在借鑒Gartner近年發(fā)布的新興技術(shù)成熟度曲線和信息安全技術(shù)列表[8]、智聯(lián)招聘與360互聯(lián)網(wǎng)安全中心聯(lián)合發(fā)布的《網(wǎng)絡(luò)安全人才市場狀況研究報告》[9]的基礎(chǔ)上，結(jié)合從業(yè)人員較為認(rèn)可的職業(yè)定位，可以根據(jù)知識技能進(jìn)行職業(yè)崗位劃分，將信息安全劃分為Web安全、滲透測試、漏洞挖掘與利用、逆向分析、安全運維、移動與無線安全等，以契合信息安全的實戰(zhàn)型特點。同時，應(yīng)用型本科的人才培養(yǎng)與專科類不同，企業(yè)要求本科人才不僅能熟練運用攻防工具和手段，還需要準(zhǔn)確理解方法及其背后的原理且能熟練運用、維護(hù)工具，具有運用所學(xué)原理理解甚至提出新方法、研制新工具的潛質(zhì)。

為此，結(jié)合筆者所在團隊建議，確立了以“Web安全”與“移動終端安全”職業(yè)崗位核心能力培養(yǎng)為主要面向的人才培養(yǎng)目標(biāo)，旨在培養(yǎng)德、智、體、美全面發(fā)展，具備自然科學(xué)、人文科學(xué)、計算機科學(xué)與技術(shù)基礎(chǔ)知識，信息安全專業(yè)知識與專業(yè)思想，掌握信息安全工程方法和技能，擁有較強的網(wǎng)絡(luò)安全、Web安全、移動終端安全實踐能力、創(chuàng)新能力和法律意識，具有良好的人文科學(xué)素養(yǎng)、職業(yè)發(fā)展?jié)摿εc國際視野，能在信息技術(shù)企業(yè)、其他企事業(yè)單位相關(guān)部門從事安全產(chǎn)品研發(fā)、滲透測試、安全運維等工作的高素質(zhì)應(yīng)用型人才。

基于職業(yè)崗位需求，逆向設(shè)計專業(yè)課程模塊? 我國現(xiàn)行課程體系基于學(xué)科本位，按照學(xué)科知識的內(nèi)在邏輯組織教學(xué)內(nèi)容，強調(diào)學(xué)科知識的系統(tǒng)性和內(nèi)在邏輯。這種課程體系與市場對接不夠，不能根據(jù)行業(yè)與職業(yè)需求變化即時調(diào)整課程體系與教學(xué)內(nèi)容，不利于卓越人才培養(yǎng)。

新工科要培養(yǎng)適應(yīng)經(jīng)濟社會發(fā)展需要的高質(zhì)量工程技術(shù)人才，課程體系應(yīng)以能力為本位，以專業(yè)為導(dǎo)向，以職業(yè)或行業(yè)所需的知識、技能為中心，注重理論與實踐的有機融合。能力本位的課程體系圍繞能力需求，按照“由淺入深、相對獨立、相互支撐、理論與實踐相融合”的原則組織教學(xué)模塊，當(dāng)學(xué)生修完某一模塊的所有課程后，就應(yīng)獲得相關(guān)方面的能力。模塊化課程結(jié)構(gòu)改變了原有的“哪些內(nèi)容要講授”的以知識輸入為導(dǎo)向的教學(xué)理念，強調(diào)“學(xué)生要獲得哪些能力”的以能力輸出為導(dǎo)向的教學(xué)理念。

因不同高校人才培養(yǎng)目標(biāo)、師資條件、實驗條件不同，信息安全專業(yè)沒有固定的課程體系標(biāo)準(zhǔn)。在借鑒美國國家信息保障/網(wǎng)絡(luò)防御學(xué)術(shù)卓越中心發(fā)布的基于知識單元的課程體系基礎(chǔ)上，根據(jù)人才培養(yǎng)目標(biāo)及標(biāo)準(zhǔn)，依托職業(yè)崗位群的任職要求，參照相關(guān)職業(yè)標(biāo)準(zhǔn)，按照學(xué)習(xí)產(chǎn)出教育模式（OBE），構(gòu)建模塊化專業(yè)課程體系。

信息安全專業(yè)根據(jù)畢業(yè)要求采用逆向課程設(shè)計的理念，秉承“專業(yè)與信息安全職業(yè)崗位對接、課程目標(biāo)與職業(yè)標(biāo)準(zhǔn)對接”的原則，通過對信息安全“Web安全”與“移動終端安全”兩個職業(yè)崗位進(jìn)行知識技能分析，并對其專業(yè)能力經(jīng)過分解合并解構(gòu)重構(gòu)后，形成信息安全兩大核心能力：Web安全與移動終端安全。同時，根據(jù)能力模塊內(nèi)不同階段、不同導(dǎo)向的任務(wù)目標(biāo)，將其分解為邏輯思維、應(yīng)用開發(fā)、系統(tǒng)部署維護(hù)、滲透測試以及代碼層解決漏洞四個子能力。對每個子能力進(jìn)行能力梳理，得到對應(yīng)的能力要素。

1）應(yīng)用開發(fā)對應(yīng)“編程基礎(chǔ)能力”“Web編程”“移動應(yīng)用開發(fā)”“安全工具開發(fā)”三個強能力要素與“網(wǎng)絡(luò)分析”“模型建立與優(yōu)化”兩個弱能力要素。

2）系統(tǒng)部署維護(hù)對應(yīng)“網(wǎng)絡(luò)分析”“腳本編寫”“系統(tǒng)管理”三個強能力要素和“安全基礎(chǔ)”一個弱能力要素。

3）滲透測試對應(yīng)“網(wǎng)絡(luò)分析”“安全基礎(chǔ)”“滲透測試”“安全工具開發(fā)”“腳本編寫”五個強能力要素和“漏洞挖掘與利用”“二進(jìn)制代碼分析”兩個弱能力要素。

4）代碼層解決漏洞對應(yīng)“編程基礎(chǔ)能力”“代碼審計”

“漏洞挖掘與利用”“二進(jìn)制代碼分析”四個強能力要素和“Web編程”“移動應(yīng)用開發(fā)”兩個弱能力要素。

將這些不同的能力要素組合，形成“工程數(shù)學(xué)”“網(wǎng)絡(luò)與安全基礎(chǔ)”“程序開發(fā)基礎(chǔ)”“系統(tǒng)管理”“Web安全”與“移動終端安全”六大教學(xué)模塊，然后按照“由淺入深、相對獨立、相互支撐”的原則逆向設(shè)置各模塊課程。信息安全專業(yè)課程逆向設(shè)計過程如圖1所示。

明確各門課程對于實現(xiàn)預(yù)期畢業(yè)要求的貢獻(xiàn)及程度，制定課程與畢業(yè)要求關(guān)聯(lián)矩陣。根據(jù)人才培養(yǎng)課程體系框架通識教育、學(xué)科基礎(chǔ)教育、專業(yè)教育、創(chuàng)新創(chuàng)業(yè)教育與企業(yè)實習(xí)五個階段的劃分，將這些課程按照一定的教學(xué)規(guī)律，遵循“由淺入深、相對獨立、相互支撐、環(huán)環(huán)相扣”的原則進(jìn)行排列，構(gòu)成通識與專業(yè)教育相融合、理論與實踐教育相融合、校內(nèi)與校外教育相融合、課內(nèi)與課外教育相融合的模塊化課程體系。信息安全專業(yè)模塊化課程體系如圖2所示。

為了培養(yǎng)學(xué)生的專業(yè)興趣，引導(dǎo)學(xué)生盡早接觸專業(yè)，使學(xué)生具有較強的實踐能力、實戰(zhàn)能力與創(chuàng)新能力，在信息安全專業(yè)人才培養(yǎng)過程中依托本科生導(dǎo)師制（入校進(jìn)行導(dǎo)師分配），從大一就開始讓學(xué)生接觸參與各種專業(yè)競賽、科技創(chuàng)新活動，使學(xué)生在學(xué)科競賽、項目實踐中補充知識、鍛煉實戰(zhàn)與創(chuàng)新能力，項目結(jié)項或競賽獲獎后，可置換對應(yīng)課程全部或部分學(xué)分。

4 結(jié)語

新形勢、新經(jīng)濟發(fā)展在增加信息安全崗位的同時，也不斷驅(qū)動著信息安全人才培養(yǎng)需求。地方應(yīng)用型高校在逐步成為信息安全人才培養(yǎng)主力的同時，其專業(yè)課程體系需要不斷優(yōu)化完善。作為多學(xué)科交叉融合的專業(yè)，信息安全涉及知識技能較多，面對的職業(yè)崗位較多，學(xué)校應(yīng)根據(jù)自己的辦學(xué)定位、招生對象、優(yōu)勢資源，確定人才培養(yǎng)目標(biāo)、畢業(yè)要求;根據(jù)職業(yè)崗位需求分析，制定富有特色的課程體系，避免不同院校課程體系的雷同。本文面向地方應(yīng)用型本科高校，提出基于職業(yè)崗位能力需求逆向設(shè)計能力本位的模塊化課程體系，旨在不斷提高學(xué)生的實踐能力和實戰(zhàn)能力，培養(yǎng)學(xué)生解決復(fù)雜工程與崗位問題的能力，以形成具有自身特色的信息安全課程體系。

參考文獻(xiàn)

[1]關(guān)于加強網(wǎng)絡(luò)安全學(xué)科建設(shè)和人才培養(yǎng)的意見（中網(wǎng)辦發(fā)文〔2016〕4號）[EB/OL].[2016-06-12].http：//www.moe.gov.cn/srcsite/A08/s7056/201607/t20160707_271098.html.

[2]Tu Y， Rampazzi S， Hao B， et al. Trick or Heat？ Attack on Amplification Circuits to Abuse Critical Temperature Control Systems[M]//London， UK： In Pro-ceedings of ACM Conference on Computer and Communica-tions Security （CCS），2019：2301-2315.

[3]PING Y， HAO B， HEI X， et al. Feature Fusion and?Voiceprint Based Access Control for Wireless Insulin?Pump Systems[J].IEEE Access，2019，7（9）：121286-121302.

[4]國家市場監(jiān)督管理總局中國國家標(biāo)準(zhǔn)化管理委員會.GB/T 22239-2019 信息安全技術(shù)：網(wǎng)絡(luò)安全等級保護(hù)基本要求[S].北京：中國標(biāo)準(zhǔn)出版社，2019.

[5]翁健，馬昌社，古亮.網(wǎng)絡(luò)空間安全人才培養(yǎng)探討[J].網(wǎng)絡(luò)與信息安全學(xué)報，2016，2（2）：1-7.

[6]林健.新工科專業(yè)課程體系改革和課程建設(shè)[J].高等工程教育研究，2020（1）：1-13，24.

[7]堅持以本為本 推進(jìn)四個回歸 建設(shè)中國特色、世界水平的一流本科教育[EB/OL].[2018-06-21].http：//www.moe.gov.cn/s78/A08/moe_745/201806/t20180621_340586.html.

[8]Burke B. The Gartner Hype Cycle for Emerging Tech-nologies[EB/OL].https：//www.gartner.com.

[9]奇安信與智聯(lián)招聘聯(lián)合發(fā)布《2019網(wǎng)絡(luò)安全人才市場狀況研究報告》[R/OL].[2019-07-29].https：//weibo.com/ttarticle/p/show？id=2309404399463341883787.