賈立偉，李 琨，石曉明

（河南醫(yī)學(xué)高等?？茖W(xué)校，河南 鄭州 451191）

21 世紀以來，計算機技術(shù)和通信技術(shù)的飛速發(fā)展，給人們帶來各種便利的同時，網(wǎng)絡(luò)信息安全問題也變得日益突出。如何確保自己信息的安全性，如何確保信息系統(tǒng)的安全性，已成為社會上普遍關(guān)注的問題。我國的信息安全起步較晚，雖然已經(jīng)形成了產(chǎn)業(yè)鏈，但是和國際上發(fā)達國家相比還處于較為落后的狀態(tài)。而各大高校在開設(shè)信息安全課程的時候，也會因為軟硬件問題或師資問題限制課程的順利開展[1]。校企合作可以實現(xiàn)資源共享，優(yōu)勢互補，很好地解決上述問題。

1 信息安全行業(yè)的發(fā)展狀況

1.1 信息安全威脅日益增大

近年來，各種網(wǎng)絡(luò)攻擊事件不斷出現(xiàn)，APT 威脅（高級持續(xù)性威脅）日益增大，勒索病毒猖獗、Facebook信息泄露、萬豪酒店數(shù)據(jù)庫遭黑客入侵、烏克蘭電廠事件、委內(nèi)瑞拉斷電等等，這些不僅造成了非常嚴重的經(jīng)濟損失，更是威脅到國家安全。面對日益嚴峻的網(wǎng)絡(luò)信息安全威脅，如何建立有效、可信的信息安全環(huán)境已經(jīng)成為人們關(guān)注的焦點，信息安全行業(yè)進入快速發(fā)展階段。

1.2 信息安全成為國家戰(zhàn)略

網(wǎng)絡(luò)空間承載著國家、企業(yè)與個人大量的信息和數(shù)據(jù)，已經(jīng)成為人類生活中無法剝離的重要組成部分。2014 年，習(xí)近平總書記在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議中指出：“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”[2]；2017年6 月1 日 《中華人民共和國網(wǎng)絡(luò)安全法》 實施；2018 年中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組改名為中國共產(chǎn)黨中央網(wǎng)絡(luò)安全和信息化委員會；2019 年5月，“等級保護2.0”正式頒布；網(wǎng)絡(luò)信息安全已經(jīng)成為信息化的制高點，上升到了國家戰(zhàn)略層面。

1.3 網(wǎng)絡(luò)信息安全人才缺口巨大

我國已成為網(wǎng)絡(luò)大國，但因為網(wǎng)絡(luò)技術(shù)基礎(chǔ)薄弱和網(wǎng)絡(luò)空間安全人才不足，我國還不是網(wǎng)絡(luò)強國。網(wǎng)絡(luò)信息安全關(guān)系到國家安全、社會穩(wěn)定、經(jīng)濟發(fā)展、人民生活等多個領(lǐng)域。必須建設(shè)國家信息安全保障體系以確保我國的信息安全。政府、軍隊、公安等國家重要部門，以及金融、電力、能源等重要行業(yè)都需要大量信息安全專門人才。

現(xiàn)階段，我國網(wǎng)絡(luò)空間安全人才數(shù)量缺口高達140 萬，預(yù)計2022 年將超過150 萬。2015 年6 月，教育部批準設(shè)立了網(wǎng)絡(luò)空間安全一級學(xué)科，之后國內(nèi)掀起了開展網(wǎng)絡(luò)空間安全學(xué)科建設(shè)的熱潮，截至2019 年，我國在該領(lǐng)域已有130 多所院校開設(shè)相關(guān)專業(yè)，樂觀估計每年培養(yǎng)規(guī)模也僅在3 萬人左右，不足以支撐這百萬量級的人才需求。

1.4 國家大力支持高校建設(shè)網(wǎng)絡(luò)空間安全學(xué)院

網(wǎng)絡(luò)信息安全的本質(zhì)是攻、防兩端人與人之間的較量，高校作為我國人才培養(yǎng)的主陣地，需要擔(dān)負起網(wǎng)絡(luò)空間安全人才培養(yǎng)的重任，正是基于此，大量扶持政策紛紛出臺。

習(xí)近平總書記指出：“培養(yǎng)網(wǎng)信人才，要下大功夫、下大本錢，請優(yōu)秀的老師，編優(yōu)秀的教材，招優(yōu)秀的學(xué)生，建一流的網(wǎng)絡(luò)空間安全學(xué)院”[3]。

《中華人民共和國網(wǎng)絡(luò)安全法》第二十條明確指出：“國家支持企業(yè)和高等院校、職業(yè)學(xué)校等教育培訓(xùn)機構(gòu)開展網(wǎng)絡(luò)信息安全相關(guān)教育與培訓(xùn)，采取多種方式培養(yǎng)網(wǎng)絡(luò)信息安全人才，促進網(wǎng)絡(luò)信息安全人才交流”[4]。

《國家職業(yè)教育改革實施方案》中明確指出：“自2019 年開始，圍繞戰(zhàn)略性新興產(chǎn)業(yè)，推動職業(yè)院校在10 個左右技術(shù)技能人才緊缺領(lǐng)域大力開展職業(yè)培訓(xùn)。按照專業(yè)設(shè)置與產(chǎn)業(yè)需求對接完善高等職業(yè)學(xué)校設(shè)置標準”。

教育部辦公廳在《2019 年教育信息化和網(wǎng)絡(luò)信息安全工作要點》中明確指出：“引導(dǎo)鼓勵有條件的職業(yè)院校開設(shè)網(wǎng)絡(luò)安全類專業(yè)，繼續(xù)擴大網(wǎng)絡(luò)信息安全相關(guān)人才培養(yǎng)規(guī)模”。

《教育部關(guān)于加快建設(shè)高水平本科教育全面提高人才培養(yǎng)能力的意見》中明確指出：“構(gòu)建全方位全過程深融合的協(xié)同育人新機制，主動布局網(wǎng)絡(luò)空間安全、云計算、大數(shù)據(jù)等戰(zhàn)略性新興產(chǎn)業(yè)發(fā)展相關(guān)學(xué)科專業(yè)”[5]。

2 高校信息安全專業(yè)建設(shè)面臨的主要難點

隨著國家層面的高度重視，河南省許多高校也紛紛開展網(wǎng)絡(luò)空間安全學(xué)科建設(shè)的籌備或探索，鄭州大學(xué)、河南大學(xué)、鄭州輕工業(yè)大學(xué)、中原工學(xué)院、許昌學(xué)院等紛紛成立信息安全專業(yè)，部分高職院校也都開設(shè)了信息安全與管理專業(yè)，部分高校在傳統(tǒng)的計算機科學(xué)、網(wǎng)絡(luò)工程、軟件工程等專業(yè)基礎(chǔ)上增設(shè)了網(wǎng)絡(luò)信息安全的細分方向，絕大多數(shù)高校還都建立了網(wǎng)絡(luò)信息安全戰(zhàn)隊，積極參與各類競賽活動。盡管專業(yè)申報、籌備、建設(shè)如火如荼，但是由于網(wǎng)絡(luò)空間安全一級學(xué)科設(shè)立時間較短，加上網(wǎng)絡(luò)信息安全行業(yè)的一些特殊性，很多高校在信息安全類專業(yè)建設(shè)過程中面臨諸多難題，主要表現(xiàn)在以下方面。

2.1 人才培養(yǎng)方案設(shè)計

人才培養(yǎng)方案的設(shè)計水平?jīng)Q定了人才培養(yǎng)的質(zhì)量，網(wǎng)絡(luò)信息安全課程的學(xué)習(xí)所需基礎(chǔ)知識面比較廣，涉及學(xué)科比較多，這也使得人才培養(yǎng)方案的設(shè)計難度較高，高校不僅要根據(jù)自身的情況選擇不同的課程體系，還要考慮師資、實驗室等現(xiàn)實條件的限制，同時還要兼顧產(chǎn)業(yè)崗位的技能需求。現(xiàn)實中，一些高校信息安全專業(yè)的人才培養(yǎng)方案與傳統(tǒng)的網(wǎng)絡(luò)工程、計算機類專業(yè)相似度較高，缺乏必要的專業(yè)核心課程和拓展課程，無法形成完整的知識脈絡(luò)，與產(chǎn)業(yè)崗位實際需求相差較多。

2.2 實驗環(huán)境搭建

網(wǎng)絡(luò)信息安全人才培養(yǎng)的核心是安全能力的傳遞，教學(xué)過程中需要靶場做支撐。然而，網(wǎng)絡(luò)攻防涉及內(nèi)容多、環(huán)節(jié)多，每個階段都需要大量的實驗環(huán)境、不同的操作系統(tǒng)、不同的滲透對象、不同的中間件等都需要花費大量的精力去搭建。而且不少掃描、探測工具等對硬件環(huán)境要求較高，當(dāng)大量學(xué)生同時進行實驗時，系統(tǒng)非常容易崩潰。目前，市場上部分安全廠商已經(jīng)提供了相關(guān)的硬化產(chǎn)品，如實訓(xùn)平臺、靶場、競賽平臺等，但是成本較高，而且質(zhì)量也良莠不齊，后續(xù)的配套服務(wù)難以有效匹配，導(dǎo)致很多高校在實驗室建設(shè)階段望而卻步。

2.3 教師教學(xué)能力

師資是人才培養(yǎng)的核心，是教學(xué)工作開展的載體，也是高校開展網(wǎng)絡(luò)空間安全人才培養(yǎng)時面對的重要難點。網(wǎng)絡(luò)信息安全本身是一個實戰(zhàn)至上的行業(yè)，網(wǎng)絡(luò)信息安全工程師技術(shù)能力不足，就會給單位帶來很大的安全隱患。現(xiàn)實中，很多教師的攻防技能水平較低，缺乏對實際業(yè)務(wù)場景的了解，也沒有必要的安全項目經(jīng)驗，無法勝任專業(yè)課程的教學(xué)工作，很多教學(xué)都演變成了空洞的理論灌輸，無法調(diào)動學(xué)生學(xué)習(xí)的積極性，也無法輸出足夠的知識技能給學(xué)生。

2.4 實習(xí)和就業(yè)

實習(xí)是檢驗學(xué)生理論學(xué)習(xí)效果的重要環(huán)節(jié)，也是畢業(yè)前全面提升自我的重要手段。網(wǎng)絡(luò)信息安全行業(yè)與傳統(tǒng)行業(yè)有著明顯的區(qū)別，例如安全企業(yè)的員工往往需要到甲方單位做駐廠運營維護，不少安全項目涉密，這也使得很多安全企業(yè)無法為應(yīng)屆生提供大量的實習(xí)崗位；另外，很多信息安全專業(yè)的學(xué)生實習(xí)崗位與所學(xué)專業(yè)不符，導(dǎo)致學(xué)習(xí)到的知識無法與實踐相結(jié)合，還有相當(dāng)大比例學(xué)生就業(yè)時未選擇網(wǎng)絡(luò)信息安全相關(guān)企業(yè)或崗位。

3 校企合作信息安全專業(yè)建設(shè)賦能方案

3.1 人才培養(yǎng)方案賦能

學(xué)校的教育帶有滯后性，學(xué)習(xí)的知識和技能落后于公司和企業(yè)，人才培養(yǎng)方案也不是社會所需，為了使人才培養(yǎng)方案更優(yōu)化，各個地方的高?？梢赃x擇和一些有資質(zhì)的大公司開展合作，也可以和當(dāng)?shù)氐闹畔踩竞献?。比如河南的高?？梢赃x擇360 政企集團、奇安信集團等。公司可以利用自身資源，開展針對在職人員技能提升、畢業(yè)生崗前培訓(xùn)，結(jié)合產(chǎn)業(yè)崗位的實際需求及高校的實際情況，為高校信息安全專業(yè)的人才培養(yǎng)方案提供論證、咨詢、建議服務(wù)，使整個人才培養(yǎng)方案更加合理。

3.2 實驗環(huán)境支撐賦能

大部分高校的實驗環(huán)境不足以支撐學(xué)生學(xué)習(xí)所需。立足公司網(wǎng)絡(luò)攻防實驗室平臺，可以為高校教學(xué)工作提供課程資源、實驗環(huán)境在線支撐，教師可以下發(fā)學(xué)習(xí)任務(wù)、下發(fā)實驗、在線測試，學(xué)生可以按照老師要求完成學(xué)習(xí)任務(wù)、實驗操作、在線測試。同時公司結(jié)合自身實驗室建設(shè)經(jīng)驗為高校信息安全實驗室建設(shè)提供論證、咨詢、共建服務(wù)，使高校能夠花小錢辦大事，彌補高校實驗室不足的缺點。

3.3 師資教學(xué)能力賦能

大多數(shù)高校教師不具備安全項目經(jīng)驗，不具備最新的技能。立足高校實際教學(xué)的需求，為專業(yè)教師提供攻防技能提升培訓(xùn)、認證培訓(xùn)，同時提供實戰(zhàn)項目參與機會，讓一線教師能夠真正了解網(wǎng)絡(luò)信息安全實際業(yè)務(wù)場景，構(gòu)建綜合攻防能力體系，進而更好地反哺教學(xué)。此外，公司還可以派一線工程師參與高校的核心專業(yè)課程教學(xué)，使教學(xué)效果能夠得到切實保障。

3.4 教學(xué)評價標準賦能

現(xiàn)有的教學(xué)評價標準還是以考試為主，以書本知識的記憶和背誦作為主要的考核手段。立足公司大量培訓(xùn)及教學(xué)過程管理的經(jīng)驗，聯(lián)合高校開展教學(xué)評價標準的制定工作，分別包括教師評價、學(xué)生評價、實戰(zhàn)演練，建立相關(guān)量化標準，并形成完整的方案。標準的設(shè)計可以參照高校目前其他專業(yè)已有標準，結(jié)合信息安全相關(guān)課程的特點，設(shè)計出適合的方案。

3.5 學(xué)生競賽能力賦能

帶領(lǐng)學(xué)生參加一些安全賽事，通過參賽來提高學(xué)生的學(xué)習(xí)能力和動手能力。立足公司參與、承辦多項網(wǎng)絡(luò)信息安全賽事，舉辦大量賽事培訓(xùn)、參與多所高校戰(zhàn)隊運營的經(jīng)驗，為高校CTF（Capture The Flag）奪旗賽戰(zhàn)隊提供系統(tǒng)培訓(xùn)、指導(dǎo)、聯(lián)合參賽服務(wù)，提升個人實戰(zhàn)能力、戰(zhàn)隊競賽能力，取得更好的成績。

3.6 學(xué)生實習(xí)實訓(xùn)賦能

立足公司廣泛的產(chǎn)業(yè)資源優(yōu)勢及多所高校實訓(xùn)承接經(jīng)驗，共建校內(nèi)外實習(xí)、實訓(xùn)基地，通過集中的實習(xí)、實訓(xùn)來彌補學(xué)生在校學(xué)習(xí)期間知識掌握不夠牢固的缺點，理論聯(lián)系實際，提升專業(yè)技能和動手能力，完成從學(xué)校向職場的華麗轉(zhuǎn)變。

3.7 學(xué)生優(yōu)質(zhì)就業(yè)賦能

立足公司的行業(yè)資源，可以和信息安全企業(yè)建立人才輸送合作關(guān)系，當(dāng)前信息安全企業(yè)每年都有大量的人才需求，通過這樣一個穩(wěn)固的通道，可以向有需求的企業(yè)輸送畢業(yè)生，為高校畢業(yè)生提供就業(yè)崗位無縫對接，保障學(xué)生實現(xiàn)專業(yè)內(nèi)就業(yè)，努力實現(xiàn)優(yōu)質(zhì)、高薪就業(yè)。

4 校企合作信息安全專業(yè)建設(shè)賦能亮點

4.1 打造競賽戰(zhàn)隊

競賽成績是高校專業(yè)建設(shè)水平的重要體現(xiàn)，目前，國內(nèi)網(wǎng)絡(luò)安全競賽數(shù)量眾多，每年規(guī)模超過百場，這為高校戰(zhàn)隊參賽提供了廣泛的選擇機會。與此同時，網(wǎng)鼎杯、強網(wǎng)杯、護網(wǎng)杯等高水平的賽事不斷出現(xiàn)，部分比賽打破了高校、企業(yè)、社會團體分組的壁壘，這也對參賽隊伍的綜合能力要求越來越高。借助公司團隊成員的豐富經(jīng)驗，可以為高校網(wǎng)絡(luò)安全戰(zhàn)隊提供訓(xùn)練、運營指導(dǎo)，為高校網(wǎng)絡(luò)安全競賽提供全面服務(wù)，助力高校在網(wǎng)絡(luò)安全競賽領(lǐng)域取得優(yōu)異成績。

4.2 打造就業(yè)明星

就業(yè)明星是專業(yè)建設(shè)質(zhì)量的結(jié)果體現(xiàn)，目前不少高校信息安全專業(yè)畢業(yè)生轉(zhuǎn)行較多，而且就業(yè)質(zhì)量不高，從事技術(shù)崗位的少之又少。借助公司擁有大量一線信息安全企業(yè)資源，熟悉產(chǎn)業(yè)需求，對于各大企業(yè)的發(fā)展都有較為深入的了解，因此，專業(yè)建設(shè)賦能的目標之一就是打造一批能夠入職一線信息安全企業(yè)的就業(yè)明星，形成帶動效應(yīng)，具體可以從以下幾個方面開展。

4.2.1 實習(xí)實訓(xùn)

借助公司已經(jīng)完善的實訓(xùn)課程體系，能夠全面提升學(xué)生的信息安全攻防素養(yǎng)及技能。實訓(xùn)是教學(xué)的有效延伸，在學(xué)生畢業(yè)前進行專門、專業(yè)的實訓(xùn)，可以極大提升專業(yè)素養(yǎng)，提升就業(yè)能力。除此之外，公司也可以聯(lián)合大量合作伙伴為學(xué)生提供實習(xí)崗位，通過接觸真實的業(yè)務(wù)場景，對理論知識進行升華，能夠進一步提升攻防技能，為入職優(yōu)秀企業(yè)增加砝碼。

4.2.2 就業(yè)指導(dǎo)

大學(xué)生畢業(yè)求職，考察的是一個學(xué)生的綜合能力，除了大學(xué)期間所學(xué)的專業(yè)知識外，還包括溝通、表達等為人處世的能力。從企業(yè)招聘的流程來說，簡歷投遞、筆試、面試環(huán)節(jié)的表現(xiàn)就至關(guān)重要，公司可以聯(lián)合信息安全企業(yè)的人力資源部門對學(xué)生開展全面的就業(yè)指導(dǎo)，包括簡歷制作、技術(shù)面試常見問題、綜合面試技巧等，讓學(xué)生能夠在求職中更好地表達自我。

4.2.3 名企內(nèi)推

對于部分基礎(chǔ)知識扎實、攻防滲透技術(shù)良好、綜合素質(zhì)較高的學(xué)生，尤其是戰(zhàn)隊當(dāng)中取得優(yōu)異成績的成員，公司可以借助自身資源直接內(nèi)推大量知名網(wǎng)絡(luò)安全企業(yè)，減少求職的盲目性，提高通過率。

4.2.4 崗前培訓(xùn)

對于部分基礎(chǔ)知識不夠牢固，攻防技能掌握較為欠缺的學(xué)生，公司可以提供系統(tǒng)的崗前培訓(xùn)，涵蓋操作系統(tǒng)、計算機網(wǎng)絡(luò)、數(shù)據(jù)庫、中間件等基礎(chǔ)課程，信息收集、中間件漏洞、SQL 注入、XSS 攻擊、文件上傳、命令執(zhí)行、文件包含、CSRF 攻擊、提權(quán)、Metasploit 等Web 滲透課程，風(fēng)險評估、等級保護、基線加固、應(yīng)急響應(yīng)等應(yīng)急防御課程，培訓(xùn)結(jié)束后無縫對接用人單位，從而實現(xiàn)優(yōu)質(zhì)就業(yè)。

4.3 打造教學(xué)特色

網(wǎng)絡(luò)安全相關(guān)課程的教學(xué)對于高校來說是一個挑戰(zhàn)，而相關(guān)的信息安全公司擁有強大的講師團隊和大量的實戰(zhàn)、培訓(xùn)經(jīng)驗，可以融入高校課程教學(xué)過程當(dāng)中，通過教學(xué)創(chuàng)新，形成教學(xué)特色。

4.3.1 教學(xué)方案

高校在教學(xué)方案設(shè)計時受到諸多限制因素，總體來說，可以劃分為通用課程、專業(yè)基礎(chǔ)課、專業(yè)核心課、專業(yè)選修課。高校應(yīng)該打破師資、理念等限制，加強調(diào)研，與企業(yè)崗位需求相適應(yīng)。信息安全公司可以協(xié)助高校開展人才培養(yǎng)方案的論證、設(shè)計，同時，也可以協(xié)助高校完善教學(xué)過程。協(xié)助高校增加實訓(xùn)環(huán)節(jié)，每門課程講授完畢增加課程實訓(xùn)，在每個學(xué)期專業(yè)課程講授結(jié)束后增加綜合實訓(xùn)，協(xié)助高校增加專業(yè)選修課數(shù)量，選修課的設(shè)計可以結(jié)合產(chǎn)業(yè)不同崗位的能力要求進行，方便學(xué)生就業(yè)時的分流。

4.3.2 師資團隊

當(dāng)前很多高校信息安全核心課程師資能力不足，不得不減少核心課程的數(shù)量，甚至完全照搬計算機科學(xué)、網(wǎng)絡(luò)工程等課程體系。信息安全公司擁有良好的師資儲備，可以與高校師資進行整合互通，共同打造專家講師團隊。一方面，公司可以派講師參與高校信息安全核心課程的講授，也可以協(xié)助引進省內(nèi)名校講師資源；另一方面，高校講師也可以到公司掛職參與一些實戰(zhàn)項目，形成良好的師資互通，優(yōu)勢互補。

4.3.3 精品課程

場景的輸出是網(wǎng)絡(luò)安全教學(xué)的難點，沒有授權(quán)前提下對正在運行的網(wǎng)絡(luò)或業(yè)務(wù)系統(tǒng)進行攻防滲透容易構(gòu)成違法犯罪，因此，教學(xué)過程要注重對安全場景問題的解決。第一，公司可以依托攻防實訓(xùn)平臺，提供場景式教學(xué)的支撐環(huán)境，大量實驗都是基于現(xiàn)實中的業(yè)務(wù)抽象，能夠加深學(xué)生對知識的理解；第二，公司可以與高校聯(lián)合開展課程教學(xué)方法的研討，設(shè)計案例項目、角色扮演、攻防對抗等，增加學(xué)生的參與度，形成精品課程。

4.3.4 特色示范專業(yè)

通過引入企業(yè)資源，在人才培養(yǎng)方案、師資團隊建設(shè)，課程教學(xué)、學(xué)生實習(xí)實訓(xùn)等方面全面發(fā)力，在競賽、就業(yè)等方面取得重大突破，助力高校品牌特色示范專業(yè)建設(shè)，打造辦學(xué)特色。

5 結(jié)束語

通過校企合作的方式共建信息安全課程體系，降低了學(xué)校的財政支出和企業(yè)崗前培訓(xùn)成本。在整個人才培養(yǎng)過程中引入企業(yè)真實案例，增強了學(xué)生的實際動手能力和項目經(jīng)驗，為企業(yè)提供了優(yōu)質(zhì)的后備人才。培養(yǎng)的學(xué)生能夠滿足企業(yè)、社會的需要，實現(xiàn)畢業(yè)即可就業(yè)，為學(xué)生光輝的明天增添了砝碼。