武汉大学：信息安全人才培养现状与问题

文/张焕国 杜瑞颖

武汉大学：信息安全人才培养现状与问题

文/张焕国 杜瑞颖

虽然我国已经建立80多个信息安全专业，但是这些专业也都是依托在其他学科下设立的。由于依托学科基础不同，方向各异，内容混乱，相互挚肘，导致培养人才的知识和能力结构不合理，很难保证培养质量。

没有信息化就没有国家现代化，没有信息安全就没有国家安全。发展我国信息技术与产业，建设网络强国，确保国家信息安全，是我国的重大战略目标。实现这一战略目标，关键是人才。而谈到人才培养，教育是基础。

2001年武汉大学创建了我国第一个信息安全本科专业。如今，全国已有80多所高校建立了信息安全专业。因此，总结交流信息安全人才培养的经验和教训，对于提高人才培养质量，实现国家现代化和确保国家安全是十分有益的。

信息安全专业人才培养实践

人才培养基本情况

2001年武汉大学创建了我国第一个信息安全本科专业，至今已有14年的办学历史。在这期间武汉大学信息安全专业的招生和毕业生就业情况一直非常好，办学质量受到社会的广泛好评。表1给出了2005年至2011年武汉大学信息安全专业毕业生的就业情况。

课程体系的特色

自2001年我们探索性地制定了全国第一套信息安全本科专业培养方案以来，在11年的办学过程中，根据信息技术的发展和社会对信息安全专业人才知识和实践能力结构的需求变化，对培养计划作了4次修订，最近两次修订分别是在2009年和2013年完成的。从最初只包含3门必修课和3门选修课的信息安全专业课程体系，发展到目前的包含7门必修课和11门选修课的信息安全专业课程体系。这一课程体系在课程设置和课程内容上，具有以下几个特点：

1.符合《高等学校信息安全专业指导性专业规范》的要求。所设置课程覆盖了信息安全专业四大研究领域：密码学，网络安全、信息系统安全、信息内容安全。覆盖了《高等学校信息安全专业指导性专业规范》规定的所有必修内容和部分选修内容，并根据武汉大学信息安全学科的优势适当扩充了部分内容。达到了教育部关于根据专业规范统一基本内容，同时又办出自己特色的要求。

信息系统安全领域的专业课程有：操作系统原理及安全（必修）、数据库原理及安全（必修）、软件安全（必修）、嵌入式系统安全（必修）、信息系统安全导论（选修）、可信计算技术（选修）、程序分析（选修）、云计算及安全（选修）、计算机取证（选修）。

网络安全领域的专业课程有：网络安全（必修）、无线网络安全（选修）、网络程序设计（选修）、网络管理（选修）、电子商务和电子政务安全（选修）。

密码学领域的专业课程有：密码学（必修）、信息安全数学基础（必修）。

内容安全领域的专业课程有：信息内容安全（选修）、信息隐藏（选修）。

2.突出武汉大学信息安全专业的办学特色。武汉大学在演化密码、可信计算、软件安全和信息隐藏等方面具有自己的优势和特色。据此，我们在“密码学”课程中增加了演化密码的知识，加强了密码应用方面的内容，如增加了密码技术在可信计算中的应用。在实践课程中设置了“密码学课程设计”。在信息系统系统领域设置了“可信计算技术”特色课程。在“软件安全”课程中增加了可信软件的内容，通过可信编译等技术来增强软件的安全性。开设了“程序分析”课程，培养学生掌握软件逆向工程的技术和能力。

表1 2005年至2011年武汉大学信息安全专业毕业生就业情况

3.体现信息安全学科的自身规律。学校开设了“操作系统原理及安全”课程。这是在以往的“操作系统原理”基础上增加了18个课时的安全内容形成的，目的是把操作系统原理和安全的内容紧密结合起来，以完整展现该内容的自身规律。这门课程在本科阶段开设。之所以开设这门课程是因为操作系统安全属于信息系统安全的基础，应该让学生完整学习这方面的知识。以前的做法是把“操作系统原理”和“操作系统安全”两门课程分开开设，这样做的不足之处是操作系统原理的内容和操作系统安全的内容彼此脱节，而且所花的课时数也较多。类似的课程还有数据库原理及安全（必修）。

另外，近年来工业控制系统的安全问题日益突出。ICS CERT的统计表明85.7%的工业控制系统存在安全漏洞。从2010年到2013年上半年就发生580多起工业控制系统安全事件。为此，我们在最近一次培养方案调整时，在必修课程中增设了“嵌入式系统安全”及其实验课程。

4.加大实践环节，提高学生的实践动手能力。实践动手能力是学生培养质量的重要组成部分。在2013版教学计划中，我们将原来6.5个学分的实践课程加强到9个学分。除了“信息安全数学基础”之外，每门专业必修课都配套设置了必修实践课程，实践课程的形式包括实验课、课间实验、课程设计、科研实践和社会实习等多种方式。

国家重视、校企合作培养信息安全人才

我国政府十分重视信息安全人才培养。目前全国建立信息安全专业的高校已有80多所，其中一部分高校还建立了信息安全硕士点、博士点和博士后企业产业基地。我国已经形成信息安全人才培养的完整体系。教育部成立了“高等学校信息安全专业教学指导委员会”（以下简称为教指委）。在教指委的指导下由武汉大学牵头，13所大学参加，历时5年，制定出我国第一个《高等学校信息安全专业指导性专业规范》，并由清华大学出版社正式出版发行。规范详细制定了信息安全专业学生所应学习的知识体系和所应具备的实践能力体系。为了适应我国信息安全专业办学的是实际情况，规范给出了两套方案，供各高校自主选择、自主更换。武汉大学作为制定规范的牵头单位，带头执行规范。

我国的信息安全企业十分关心信息安全人才的培养，这是十分可贵的。企业根据自身的工作体会与需求，积极参与信息安全人才培养的讨论，提出了许多中肯的意见和宝贵的建议。例如，企业提出信息安全课程教学应当采用案例教学。信息安全人才培养应当重视逆向分析能力的培养。又例如，企业表示愿意为信息安全专业的大学生提供实习机会，并愿意接纳更多的信息安全毕业生。高校将会采纳这些好的意见和建议，改进信息安全人才培养工作，为国家培养出更多更好的信息安全人才。通过讨论，企业也理解了学校是为全社会培养信息安全人才，而社会对信息安全人才的需求是多样的，因此不能仅仅考虑某个企业的需求。

我国信息安全人才培养现存问题

目前我国信息安全人才培养还存在以下问题和困难。

第一，对信息安全学科的管理不顺。信息安全学科是研究信息获取、信息存储、信息传输和信息处理中的信息安全保障问题的一门新兴学科。它由密码学、网络安全、信息系统安全、信息内容安全和信息对抗五部分组成。但是，我国现行学科管理体制却把密码学划归军事指挥学科，把信息对抗划归武器学科，其余划归计算机科学科。这种管理体制，显然不符合信息安全学科的自身规律，也不利于信息安全学科的建设和信息安全人才培养。这是因为：

1.这种管理体制违背了信息安全学科的自身规律。信息安全学科的五个组成部分是一个有机体，它们互相依存、相互作用、共同发展。因此，不应人为地把它们割裂开来。

2.这种管理体制不利于信息安全学科学科建设和人才培养。我国现行学科管理体系规定，只有一级学科才能建立硕士点、博士点和博士后流动站。目前信息安全不是一级学科，所以不能设立硕士点、博士点和博士后流动站，从而不能培养硕士、博士、博士后人才。至今，我国还没有信息安全博士后流动站。只有武汉大学与企业联合设立了一个“信息安全企业博士后产业基地”。

虽然我国已经建立的80多个信息安全专业，但是这些专业也都是依托在其他学科下设立的。由于依托学科基础不同，方向各异，内容混乱，相互挚肘，导致培养人才的知识和能力结构不合理，很难保证培养质量。

总之，如果这种状况长期下去，将严重制约我国信息安全人才培养，影响我国在信息安全领域的国际竞争力。

第二，许多高校缺少信息安全师资，特别是缺少高水平的信息安全师资。致使一些高校的某些课程不能开设，影响学生的培养质量。教指委已经决定开办一些信息安全师资培训班，为高校定向培养一些信息安全师资。另外，聘请企业的信息安全专家到高校担任兼职教师，也是一种有效措施。

第三，一些高校缺少必要的信息安全实验条件。致使一些高校的某些实践课程不能开设，影响学生的实践动手能力的培养。高校应当努力争取条件解决实验条件。高校之间互相共享实验资源，也是一种解决办法。另外，与企业联合办学，利用企业的实验条件，也是一种有效的措施。

第四，信息安全专业规范实施不力。虽然我国制定出世界上第一个信息安全专业规范，但是高校对规范的贯彻实施不够。其原因在于，规范出版发行时间不长，一些学校和教师还没有看到规范。也有一些学校和教师虽然看到规范，但并不重视。现有的教材完全符合规范的不多，也是影响规范实施的一个原因。因此，组织宣讲信息安全专业规范，编写符合规范的教材，是贯彻实施规范的有效措施。

（作者单位为武汉大学计算机学院）

美国网络空间安全教育计划

美国政府发布了网络空间安全教育计划，该计划由商务部NIST研究所牵头，国土安全部、国防部、教育部、司法部等11个政府部门共同负责。2011年发布了《NICE战略计划（草案）》，2012年又进行了修订。

美国网络空间安全教育计划将网络空间安全专业领域划分为七个大类，如图1所示。美国网络空间安全教育计划制定了三个具体目标：

提高全民网络空间安全的风险意识

任务1：增进对网络空间风险和脆弱性的了解。

任务2：促进网络空间安全资源和工具的使用。

扩充网络空间安全队伍后备人才

任务1：通过加强网络空间安全与团队教育，以及数学和计算思维的作用，增加基础教育中有关网络空间安全的教学内容。

任务2：通过增加丰富多彩的课程和研究机会，促进对计算机科学和网络空间安全的兴趣。

在高中/大学预科阶段，增加丰富多彩的计算机课程。

在本科和研究生层次，增加丰富多彩的网络安全课程。

开展网络空间安全竞赛。

发展网络空间安全研究和开发的优秀人才。

协调国家网络空间安全虚拟实验室的学习网。

培养一支具有全球竞争力的网络空间安全队伍

任务1：鼓励开发并采用国家网络空间安全计划。

达成共识，制定计划。

开发工具，鼓励和监督联邦机构和社会采用该计划。

任务2：开发网络空间安全队伍人员数量预测工具。

利用计划作指南，评估联邦网络空间安全队伍需求。

任务3：建立网络空间安全培训和职业发展的标准和指南。

制定现行网络空间安全培训的基本要求。

基于熟练程度、职业水平、专业领域，对培训分类。

为各种网络空间安全职位所需的知识和技能提供详细指南。

开发网络空间安全工具，提供培训课程目录。

任务4：分析帮助各单位雇佣和招聘网络空间安全专业人员。

分析各职业领域的雇佣和招聘策略。

帮助各单位雇佣和招聘网络空间安全专业人员。

任务5：评估网络空间安全队伍的职业化。

形成一支网络空间安全职业化队伍。

图1 美国网络空间安全教育计划框架

我国与美国的信息安全教育体系比较

美国：提出信息安全劳动力的概念，把信息安全看成一种职业。面向全民实施信息安全教育，包括基础教育、大学教育和职业教育。制定了一个完整的计划，明确了目标与任务，制定了完整的专业技术领域。由11个政府机构参与，形成了一个信息安全教育社会体系。但是，目前尚缺少具体实施细则。

我国：本科信息安全教育发展很快，制定了信息安全专业规范，信息安全专业标准正在制定中、培养了大量信息安全专业人才。但缺少基础教育中的信息安全教育，缺少面向全社会的信息安全教育体系。

美国除了网络空间安全教育计划之外，ACM/IEEE计算机科学课程体系2013（CS2013），增加了IAS（Information Assurance and Security）内容的课程，并将其作为计算机科学知识体系中的一个知识领域。CS2013认为把IAS纳入课程体系，是因为IAS对于计算机科学教育具有关键作用。

虽然美国ACM/IEEE计算机科学课程体系2013（CS2013）增加了IAS内容的课程，但其在系统性和完整性等方面都不及我国的信息安全专业规范。

中国和美国的信息安全教育各有所长，也各有所短。两国应当互相交流，互相借鉴。