我國信息安全人才培養新思路：以賽促學

文/姜開達 許文

信息安全漏洞智慧的對抗

我國已成為網絡大國，但還不是網絡強國，在網絡安全領域面臨著來自多方的嚴峻挑戰。今年以來，國家對網絡安全和信息化工作作了整體布局，成立了中央網絡安全和信息化領導小組，從頂層部署加快人才隊伍建設，提升全社會的網絡安全意識，堅持分領域、分類型、分層次加快人才培養。

國內已有一百多所高校開設了信息安全專業，每年培養的畢業生數以萬計。但是仍然無法滿足社會各行業對信息安全人才的實際需求，人才匱乏的現象將長期存在。

企業和單位在每年應屆生校招時，往往發現符合期望的優秀信息安全類學生難找。產學研存在脫節，是學校的培養模式出了問題？還是用人單位的眼光太高？

從學科設置上看，信息安全專業屬于計算機類。在校期間，本科生要學習理工專業公共基礎課和少量信息安全相關專業課，研究生階段會接觸到更多的計算機和信息安全體系課程。培養目標是努力使學生既有扎實的理論基礎，又有較強的應用能力；既可以承擔實際系統的開發，又可進行科學研究，具有分析并動手解決復雜實際問題的能力。

信息安全領域的特點是技術更新換代速度快，同時實踐性要求很強，強調人與人之間的智慧對抗。如果高校延守十幾年來一貫的課程設置，不與時俱進增加補充新的符合時代發展的內容，并且在實踐環節中有所脫節，不能給學生提供充分的動手鍛煉的機會，那么培養的學生不被社會認可也是預料之中。

表1 近四年上海交通大學信息安全專業本科學生畢業走向

表2 近四年上海交通大學信息安全學院碩士研究生畢業走向

姜開達帶隊上海交通大學0ops隊參加BCTF“百度杯”全國網絡安全技術對抗賽，獲第二名。

上海交通大學信息安全人才走向

上海交通大學針對信息安全專業人才的培養，在2000年成立了信息安全工程學院，培養包括本科生、研究生不同學歷層次的高級信息安全專業人才。從歷年本科招生情況來看，信息安全專業的生源質量一直穩居全校前列。表1是近四年信安本科學生的畢業走向，可以看出一個趨勢，真正直接走向就業市場的本科畢業生并不多，大部分都繼續選擇在國內或去國外深造。本科畢竟還是處于基礎培養階段，如果要在安全領域能夠有深入發展，進一步的學習是不可或缺的。

與此對比，表2是經過兩年半的研究生階段專業學習之后，信安學院近四年碩士研究生的畢業走向分布。可以看出除了一部分去國外，大部分都直接就業。國內繼續攻博的人數是少之又少，這也許同信息安全至今不是一級學科，沒有博士學位授予權不無關系。另外從近四年的趨勢看，畢業后漂洋過海去國外的人數也在持續增長，雖然從尊重個人選擇的角度無可厚非，但是從國家信息安全戰略的角度看，優秀人才的流失還是心中之痛。

國內信息安全行業從業人員中，相當比例是半路出家，但其中很多都做得非常出色。這是一個很特殊的行業，科班出身的人如果沒有在實踐中摸爬滾打過，對安全本質的理解始終有限。而在一線工作的安全人員每天都在不斷應付新的挑戰，只要有一定計算機基礎又勤奮好學，工作實踐中的成長速度會特別快。高校已經擁有了最好的信息安全生源，如果能充分了解市場需求和國家需要，通過校企合作，聯合共建等方式引入外部資源力量，制定科學的培養方案，追蹤當前主流安全技術的同時打好相關計算機領域基礎，并注重實踐環節的能力提升，激發學生們的興趣和主觀能動性，在信息安全專業人才培養方面是具有天然優勢的。

表3 信息安全競賽

國內外安全競賽盤點

在大學生的興趣培養和安全學習導向方面，各種層面的信息安全競賽起到了積極推動作用。最近一年國內具有一定影響力，且大學生參加較多的信息安全競賽簡單羅列如表3。

國內今年舉辦的信息安全類比賽相對往年有顯著增加，比賽形式和內容也明顯與國際通行的CTF（Capture The Flag）奪旗賽模式接軌，主辦的學校也從信息安全有特長的學校擴展到了綜合性大學，而且這種情況有每年延續下去的趨勢，這是非常好的現象。國外舉辦的CTF賽事就更多了，具體列表可以查詢https://ctftime.org/網站獲取，不過目前國內高校學生團隊參賽戰績還不錯的是清華的藍蓮花（blue-lotus）和上海交通大學的0ops兩支戰隊。從整體上來看，國內的信息安全競賽水平相對國際一流水平還有非常大的差距。在這些競賽中，來自高校的安全團隊擁有明顯的優勢，例如今年百度杯BCTF進入決賽圈的8支隊伍中6支隊伍都來自高校戰隊，國際上的很多老牌CTF強隊也都是來自著名高校的戰隊。

表4 國內外信息安全競賽的對比

國內傳統的信息安全競賽考核的內容比較單一，大量內容偏重對網絡攻擊滲透能力的考察，現在已經有所轉變，考察范圍向多元化方向發展。參賽人員的實戰經驗以及對各類工具的熟練使用程度也在相當程度上決定了其最終比賽成績。而國外的安全競賽考題則靈活的多，側重于考察學習思考能力，是在一個限定時間段內分析并解決復雜問題的能力和綜合安全素質的較量。

國內信息安全競賽傳統還是考察單兵作戰，突出選拔個人。而國外信息安全競賽大都是以小團隊形式參加，團隊成員各有專長，互相配合。我們的散兵游勇對戰國外的專業化團隊，勝負一目了然，這也是目前國際CTF比賽我國總體成績不佳的一個重要原因。

表4為國內外信息安全競賽的一些簡單對比，差異還是比較明顯。

對CTF類型的安全競賽，高校學生還是很感興趣，但是由于其有一定門檻，需要有組織地將其領進門，讓他們充分享受其中的樂趣。前面已經提到，這種國內外比賽是非常頻繁的，一旦進入其中，興趣就是最好的老師。在參加比賽的過程中，學生認識到自己知識結構的不足，就會主動地去系統補充相應領域的知識，在實踐中快速學習成長起來，最終成為多個安全領域的專家。雖然很多競賽題目設計得非常復雜，在真實場景下不會出現，但是一旦掌握了快速解決復雜問題的思路和能力，那么當學生遇到實際環境中的問題時，就能應對自如了。以賽代練，以賽促學，這也是安全專業人才培養的一種新型思路。

高校信息安全專業人才培養有很多條不同路徑，但是殊途同歸，既需要培養一批高級安全專家，又需要培養為數龐大的在基層從事信息網絡安全工作的人員。各所高校在人才培養方面都有自己的寶貴經驗，究竟效果如何？關鍵還是看學生畢業后的人生發展過程中，學校教育起到了多大的幫助作用，在此與各位老師共勉。