“互聯網+”背景下信息安全課程校企合作探究

賈立偉，李 琨，石曉明

（河南醫學高等專科學校，河南 鄭州 451191）

21 世紀以來，計算機技術和通信技術的飛速發展，給人們帶來各種便利的同時，網絡信息安全問題也變得日益突出。如何確保自己信息的安全性，如何確保信息系統的安全性，已成為社會上普遍關注的問題。我國的信息安全起步較晚，雖然已經形成了產業鏈，但是和國際上發達國家相比還處于較為落后的狀態。而各大高校在開設信息安全課程的時候，也會因為軟硬件問題或師資問題限制課程的順利開展[1]。校企合作可以實現資源共享，優勢互補，很好地解決上述問題。

1 信息安全行業的發展狀況

1.1 信息安全威脅日益增大

近年來，各種網絡攻擊事件不斷出現，APT 威脅（高級持續性威脅）日益增大，勒索病毒猖獗、Facebook信息泄露、萬豪酒店數據庫遭黑客入侵、烏克蘭電廠事件、委內瑞拉斷電等等，這些不僅造成了非常嚴重的經濟損失，更是威脅到國家安全。面對日益嚴峻的網絡信息安全威脅，如何建立有效、可信的信息安全環境已經成為人們關注的焦點，信息安全行業進入快速發展階段。

1.2 信息安全成為國家戰略

網絡空間承載著國家、企業與個人大量的信息和數據，已經成為人類生活中無法剝離的重要組成部分。2014 年，習近平總書記在中央網絡安全和信息化領導小組第一次會議中指出：“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”[2]；2017年6 月1 日 《中華人民共和國網絡安全法》 實施；2018 年中央網絡安全和信息化領導小組改名為中國共產黨中央網絡安全和信息化委員會；2019 年5月，“等級保護2.0”正式頒布；網絡信息安全已經成為信息化的制高點，上升到了國家戰略層面。

1.3 網絡信息安全人才缺口巨大

我國已成為網絡大國，但因為網絡技術基礎薄弱和網絡空間安全人才不足，我國還不是網絡強國。網絡信息安全關系到國家安全、社會穩定、經濟發展、人民生活等多個領域。必須建設國家信息安全保障體系以確保我國的信息安全。政府、軍隊、公安等國家重要部門，以及金融、電力、能源等重要行業都需要大量信息安全專門人才。

現階段，我國網絡空間安全人才數量缺口高達140 萬，預計2022 年將超過150 萬。2015 年6 月，教育部批準設立了網絡空間安全一級學科，之后國內掀起了開展網絡空間安全學科建設的熱潮，截至2019 年，我國在該領域已有130 多所院校開設相關專業，樂觀估計每年培養規模也僅在3 萬人左右，不足以支撐這百萬量級的人才需求。

1.4 國家大力支持高校建設網絡空間安全學院

網絡信息安全的本質是攻、防兩端人與人之間的較量，高校作為我國人才培養的主陣地，需要擔負起網絡空間安全人才培養的重任，正是基于此，大量扶持政策紛紛出臺。

習近平總書記指出：“培養網信人才，要下大功夫、下大本錢，請優秀的老師，編優秀的教材，招優秀的學生，建一流的網絡空間安全學院”[3]。

《中華人民共和國網絡安全法》第二十條明確指出：“國家支持企業和高等院校、職業學校等教育培訓機構開展網絡信息安全相關教育與培訓，采取多種方式培養網絡信息安全人才，促進網絡信息安全人才交流”[4]。

《國家職業教育改革實施方案》中明確指出：“自2019 年開始，圍繞戰略性新興產業，推動職業院校在10 個左右技術技能人才緊缺領域大力開展職業培訓。按照專業設置與產業需求對接完善高等職業學校設置標準”。

教育部辦公廳在《2019 年教育信息化和網絡信息安全工作要點》中明確指出：“引導鼓勵有條件的職業院校開設網絡安全類專業，繼續擴大網絡信息安全相關人才培養規模”。

《教育部關于加快建設高水平本科教育全面提高人才培養能力的意見》中明確指出：“構建全方位全過程深融合的協同育人新機制，主動布局網絡空間安全、云計算、大數據等戰略性新興產業發展相關學科專業”[5]。

2 高校信息安全專業建設面臨的主要難點

隨著國家層面的高度重視，河南省許多高校也紛紛開展網絡空間安全學科建設的籌備或探索，鄭州大學、河南大學、鄭州輕工業大學、中原工學院、許昌學院等紛紛成立信息安全專業，部分高職院校也都開設了信息安全與管理專業，部分高校在傳統的計算機科學、網絡工程、軟件工程等專業基礎上增設了網絡信息安全的細分方向，絕大多數高校還都建立了網絡信息安全戰隊，積極參與各類競賽活動。盡管專業申報、籌備、建設如火如荼，但是由于網絡空間安全一級學科設立時間較短，加上網絡信息安全行業的一些特殊性，很多高校在信息安全類專業建設過程中面臨諸多難題，主要表現在以下方面。

2.1 人才培養方案設計

人才培養方案的設計水平決定了人才培養的質量，網絡信息安全課程的學習所需基礎知識面比較廣，涉及學科比較多，這也使得人才培養方案的設計難度較高，高校不僅要根據自身的情況選擇不同的課程體系，還要考慮師資、實驗室等現實條件的限制，同時還要兼顧產業崗位的技能需求。現實中，一些高校信息安全專業的人才培養方案與傳統的網絡工程、計算機類專業相似度較高，缺乏必要的專業核心課程和拓展課程，無法形成完整的知識脈絡，與產業崗位實際需求相差較多。

2.2 實驗環境搭建

網絡信息安全人才培養的核心是安全能力的傳遞，教學過程中需要靶場做支撐。然而，網絡攻防涉及內容多、環節多，每個階段都需要大量的實驗環境、不同的操作系統、不同的滲透對象、不同的中間件等都需要花費大量的精力去搭建。而且不少掃描、探測工具等對硬件環境要求較高，當大量學生同時進行實驗時，系統非常容易崩潰。目前，市場上部分安全廠商已經提供了相關的硬化產品，如實訓平臺、靶場、競賽平臺等，但是成本較高，而且質量也良莠不齊，后續的配套服務難以有效匹配，導致很多高校在實驗室建設階段望而卻步。

2.3 教師教學能力

師資是人才培養的核心，是教學工作開展的載體，也是高校開展網絡空間安全人才培養時面對的重要難點。網絡信息安全本身是一個實戰至上的行業，網絡信息安全工程師技術能力不足，就會給單位帶來很大的安全隱患。現實中，很多教師的攻防技能水平較低，缺乏對實際業務場景的了解，也沒有必要的安全項目經驗，無法勝任專業課程的教學工作，很多教學都演變成了空洞的理論灌輸，無法調動學生學習的積極性，也無法輸出足夠的知識技能給學生。

2.4 實習和就業

實習是檢驗學生理論學習效果的重要環節，也是畢業前全面提升自我的重要手段。網絡信息安全行業與傳統行業有著明顯的區別，例如安全企業的員工往往需要到甲方單位做駐廠運營維護，不少安全項目涉密，這也使得很多安全企業無法為應屆生提供大量的實習崗位；另外，很多信息安全專業的學生實習崗位與所學專業不符，導致學習到的知識無法與實踐相結合，還有相當大比例學生就業時未選擇網絡信息安全相關企業或崗位。

3 校企合作信息安全專業建設賦能方案

3.1 人才培養方案賦能

學校的教育帶有滯后性，學習的知識和技能落后于公司和企業，人才培養方案也不是社會所需，為了使人才培養方案更優化，各個地方的高校可以選擇和一些有資質的大公司開展合作，也可以和當地的知名信息安全公司合作。比如河南的高校可以選擇360 政企集團、奇安信集團等。公司可以利用自身資源，開展針對在職人員技能提升、畢業生崗前培訓，結合產業崗位的實際需求及高校的實際情況，為高校信息安全專業的人才培養方案提供論證、咨詢、建議服務，使整個人才培養方案更加合理。

3.2 實驗環境支撐賦能

大部分高校的實驗環境不足以支撐學生學習所需。立足公司網絡攻防實驗室平臺，可以為高校教學工作提供課程資源、實驗環境在線支撐，教師可以下發學習任務、下發實驗、在線測試，學生可以按照老師要求完成學習任務、實驗操作、在線測試。同時公司結合自身實驗室建設經驗為高校信息安全實驗室建設提供論證、咨詢、共建服務，使高校能夠花小錢辦大事，彌補高校實驗室不足的缺點。

3.3 師資教學能力賦能

大多數高校教師不具備安全項目經驗，不具備最新的技能。立足高校實際教學的需求，為專業教師提供攻防技能提升培訓、認證培訓，同時提供實戰項目參與機會，讓一線教師能夠真正了解網絡信息安全實際業務場景，構建綜合攻防能力體系，進而更好地反哺教學。此外，公司還可以派一線工程師參與高校的核心專業課程教學，使教學效果能夠得到切實保障。

3.4 教學評價標準賦能

現有的教學評價標準還是以考試為主，以書本知識的記憶和背誦作為主要的考核手段。立足公司大量培訓及教學過程管理的經驗，聯合高校開展教學評價標準的制定工作，分別包括教師評價、學生評價、實戰演練，建立相關量化標準，并形成完整的方案。標準的設計可以參照高校目前其他專業已有標準，結合信息安全相關課程的特點，設計出適合的方案。

3.5 學生競賽能力賦能

帶領學生參加一些安全賽事，通過參賽來提高學生的學習能力和動手能力。立足公司參與、承辦多項網絡信息安全賽事，舉辦大量賽事培訓、參與多所高校戰隊運營的經驗，為高校CTF（Capture The Flag）奪旗賽戰隊提供系統培訓、指導、聯合參賽服務，提升個人實戰能力、戰隊競賽能力，取得更好的成績。

3.6 學生實習實訓賦能

立足公司廣泛的產業資源優勢及多所高校實訓承接經驗，共建校內外實習、實訓基地，通過集中的實習、實訓來彌補學生在校學習期間知識掌握不夠牢固的缺點，理論聯系實際，提升專業技能和動手能力，完成從學校向職場的華麗轉變。

3.7 學生優質就業賦能

立足公司的行業資源，可以和信息安全企業建立人才輸送合作關系，當前信息安全企業每年都有大量的人才需求，通過這樣一個穩固的通道，可以向有需求的企業輸送畢業生，為高校畢業生提供就業崗位無縫對接，保障學生實現專業內就業，努力實現優質、高薪就業。

4 校企合作信息安全專業建設賦能亮點

4.1 打造競賽戰隊

競賽成績是高校專業建設水平的重要體現，目前，國內網絡安全競賽數量眾多，每年規模超過百場，這為高校戰隊參賽提供了廣泛的選擇機會。與此同時，網鼎杯、強網杯、護網杯等高水平的賽事不斷出現，部分比賽打破了高校、企業、社會團體分組的壁壘，這也對參賽隊伍的綜合能力要求越來越高。借助公司團隊成員的豐富經驗，可以為高校網絡安全戰隊提供訓練、運營指導，為高校網絡安全競賽提供全面服務，助力高校在網絡安全競賽領域取得優異成績。

4.2 打造就業明星

就業明星是專業建設質量的結果體現，目前不少高校信息安全專業畢業生轉行較多，而且就業質量不高，從事技術崗位的少之又少。借助公司擁有大量一線信息安全企業資源，熟悉產業需求，對于各大企業的發展都有較為深入的了解，因此，專業建設賦能的目標之一就是打造一批能夠入職一線信息安全企業的就業明星，形成帶動效應，具體可以從以下幾個方面開展。

4.2.1 實習實訓

借助公司已經完善的實訓課程體系，能夠全面提升學生的信息安全攻防素養及技能。實訓是教學的有效延伸，在學生畢業前進行專門、專業的實訓，可以極大提升專業素養，提升就業能力。除此之外，公司也可以聯合大量合作伙伴為學生提供實習崗位，通過接觸真實的業務場景，對理論知識進行升華，能夠進一步提升攻防技能，為入職優秀企業增加砝碼。

4.2.2 就業指導

大學生畢業求職，考察的是一個學生的綜合能力，除了大學期間所學的專業知識外，還包括溝通、表達等為人處世的能力。從企業招聘的流程來說，簡歷投遞、筆試、面試環節的表現就至關重要，公司可以聯合信息安全企業的人力資源部門對學生開展全面的就業指導，包括簡歷制作、技術面試常見問題、綜合面試技巧等，讓學生能夠在求職中更好地表達自我。

4.2.3 名企內推

對于部分基礎知識扎實、攻防滲透技術良好、綜合素質較高的學生，尤其是戰隊當中取得優異成績的成員，公司可以借助自身資源直接內推大量知名網絡安全企業，減少求職的盲目性，提高通過率。

4.2.4 崗前培訓

對于部分基礎知識不夠牢固，攻防技能掌握較為欠缺的學生，公司可以提供系統的崗前培訓，涵蓋操作系統、計算機網絡、數據庫、中間件等基礎課程，信息收集、中間件漏洞、SQL 注入、XSS 攻擊、文件上傳、命令執行、文件包含、CSRF 攻擊、提權、Metasploit 等Web 滲透課程，風險評估、等級保護、基線加固、應急響應等應急防御課程，培訓結束后無縫對接用人單位，從而實現優質就業。

4.3 打造教學特色

網絡安全相關課程的教學對于高校來說是一個挑戰，而相關的信息安全公司擁有強大的講師團隊和大量的實戰、培訓經驗，可以融入高校課程教學過程當中，通過教學創新，形成教學特色。

4.3.1 教學方案

高校在教學方案設計時受到諸多限制因素，總體來說，可以劃分為通用課程、專業基礎課、專業核心課、專業選修課。高校應該打破師資、理念等限制，加強調研，與企業崗位需求相適應。信息安全公司可以協助高校開展人才培養方案的論證、設計，同時，也可以協助高校完善教學過程。協助高校增加實訓環節，每門課程講授完畢增加課程實訓，在每個學期專業課程講授結束后增加綜合實訓，協助高校增加專業選修課數量，選修課的設計可以結合產業不同崗位的能力要求進行，方便學生就業時的分流。

4.3.2 師資團隊

當前很多高校信息安全核心課程師資能力不足，不得不減少核心課程的數量，甚至完全照搬計算機科學、網絡工程等課程體系。信息安全公司擁有良好的師資儲備，可以與高校師資進行整合互通，共同打造專家講師團隊。一方面，公司可以派講師參與高校信息安全核心課程的講授，也可以協助引進省內名校講師資源；另一方面，高校講師也可以到公司掛職參與一些實戰項目，形成良好的師資互通，優勢互補。

4.3.3 精品課程

場景的輸出是網絡安全教學的難點，沒有授權前提下對正在運行的網絡或業務系統進行攻防滲透容易構成違法犯罪，因此，教學過程要注重對安全場景問題的解決。第一，公司可以依托攻防實訓平臺，提供場景式教學的支撐環境，大量實驗都是基于現實中的業務抽象，能夠加深學生對知識的理解；第二，公司可以與高校聯合開展課程教學方法的研討，設計案例項目、角色扮演、攻防對抗等，增加學生的參與度，形成精品課程。

4.3.4 特色示范專業

通過引入企業資源，在人才培養方案、師資團隊建設，課程教學、學生實習實訓等方面全面發力，在競賽、就業等方面取得重大突破，助力高校品牌特色示范專業建設，打造辦學特色。

5 結束語

通過校企合作的方式共建信息安全課程體系，降低了學校的財政支出和企業崗前培訓成本。在整個人才培養過程中引入企業真實案例，增強了學生的實際動手能力和項目經驗，為企業提供了優質的后備人才。培養的學生能夠滿足企業、社會的需要，實現畢業即可就業，為學生光輝的明天增添了砝碼。