肖新光：人才培养应回归教学本质

文/本刊记者 王左利 傅宇凡

《中国教育网络》：目前的信息安全趋势如何？有什么新的发展趋势？

肖新光：目前网络安全的现状是利空与利好并存。如个人操作系统的安全性从攻防面的能力在不断增强，但隐私面的威胁不断增加。网络带宽、计算和存储能力的大发展、应用的大繁荣，既带来新的安全威胁，也带来了安全方法的变革和安全分析能力的倾向。而智能家居、可穿戴硬件等外延环节则又带来新的安全挑战。总之，信息技术发展到哪里，信息威胁就到哪里。但安全的基本规律依然是一脉相承的。

Gartner认为，新型技术的发展是曲线式的，包括技术触发器、预期膨胀高峰期、幻灭低谷期、回升期和稳定的生产力期。而其安全特质也是周期性的，开始不考虑安全问题而迅速发芽，而后遇到一些概念性的安全问题而被置疑，之后进入幻灭低谷期时，则往往又会被安全忽略，之后在回升中进入与威胁的长期博弈，并到达基本平衡。

肖新光安天实验室（Antiy Labs）首席技术架构师

在过去较长一段时间，多数入侵攻击事件是由于攻击者“追名”“逐利”引发的，但逐利是主要的。但今天的攻击，呈现出两个鲜明的层次。更难以应对的是，国家和政经集团发起的APT攻击，而更普遍的，依然是以图利为目的的攻击，但攻击面之广，是过去难以想象的。

《中国教育网络》：从企业的角度来看，您认为目前国内信息安全人才培养状况如何？不足之处是什么？

肖新光：整体上看，美国高校毕业生的整体能力是高于我们的，比如反映在一些安全公司招聘上，其初级岗位的能力要求都比国内严格与综合。

目前高校在网络安全人才培养方面的不足突出体现在两个方面，第一，兴趣培养不足；第二，能力培养不足。

信息安全人才培养面临的问题可以划分成三类，第一是根本无解的，第二是可以中长期解决的；第三是，可以短期看到效果的。比如对课程和教材进行小幅度的调整，我认为就能快速看到效果。在类似C/C++、操作系统、数据结构等教材选择上，我们希望能给高校一些建议。

从未来看，增加批判性思维、逆向思维的课程，对信息安全专业是必要的。整体上来看，国内的教育导向以小孩要听话、大人要尊重权威为主，独立思考能力的培养不够，但网络安全职业素养本身就要对这种服从式思维方式提出挑战。学校应当提供一种环境，让学生充分解放思想，善于发现问题，能够寻找

素材，充分推理，提出自己的创见。目前来看，这方面的训练十分不够。

关于目前国内大学在信息安全方面的课程设计，我个人感觉：第一，过于传统、死板；第二，对安全总体的、宏观的认知没有建立起来。比如过分夸大了一些单因素（比如密码学）的重要性；第三，在兴趣与技能的培养上，尚有不足，对于安全这样特殊的课程来说，兴趣极其重要。

我想，我们需要做的一个功课是，对比中国大学和美国大学计算机和安全专业的课程表，先从课程设置、教材选用等方面进行分析。同时对入学的学生就要开始网络安全兴趣的引导，提出创新、独立思考的要求提供一些资源和实验环境。

《中国教育网络》：要想有好的人才培养体制，您认为学校、学习者本人以及企业分别要扮演什么角色或者说要有什么样的联动？

肖新光：从企业的角度看，潘柱廷博士等业界同仁发起的安全企业高校讲师团已经开始行动了，我也是其中一员，协助高校进行专业课程和教材的设置分析的活动已经举办了三次。

未来将开展的重要活动是安全企业与高校新生和毕业生的互动，向学生介绍产业新趋势，分享最新的全球企业界工程成果以及技术动态。通过新生对话，共同思考学生如何成长；而在课程设计和毕业设计上，也可以提供更多的环境、指导和交流。实践表明，那些与企业互动更多的学校，学生成长得更快。

综合上面这些实践，企业与高校之间的对接，可以从三个层面进行，第一，企业在高校的课程、教材设置方面的互动和参与；第二，企业直接提供工程性较强的一些精品视频课程和配套的大实验，企业工程师可以对实验过程进场指导；第三，实验与实习上，企业可以为高校提供研究的基本条件和资源，为高年级的学生提供实习环境。

《中国教育网络》：您对高校信息安全人才培养整体上有什么建议？

肖新光：去年在计算机大会组织的桌布沙龙上，爆发了高校代表和企业代表关于人才培养的大辩论。回头来看，校企双方都应该多些耐心，教育注定是一个渐进改善的过程。

教育方面我觉得有两个方面要改进，第一，是正本，要引导学生的认知、学习方法，要培养对专业的兴趣，要培养思辨能力；第二，是强身，增加有效压力、提升强度。高校应以教学为本，要向教学回归。国内高校，做科研的比拼论文，做工程的比拼经费，是一个误区。而高校科研也要考虑高校的角色和特点，目前国内一些高校的科研所研发的技术，相当于工程界本世纪初的水平，有的甚至更落后，完全是重新发明轮子。我们认为高校、科研院所应该站在企业工程经验的基础上，更具前瞻性和探索性，重复做一些工程界早已完成的技术实现是没意义的。而且安全本来就是以攻防和实践为主导的技术，国际上，真正顶级的安全学术会议论文都是以创新性、新锐度为标准，我们还在拼命地围绕所谓算法兜圈子。

我们也能感到,目前高校教师、特别是青年教师，面临很多困难，这些困难影响到他们对教学工作的投入。如何使高校的科研教学接到地气，我曾建议过企业不仅可以为学生提供实习基地，也可以为青年教师提供类似的机会。同时企业需要把自己的一些工程师培养的经验、实验设计拿出来，也把一些工程模块提供给高校，让高校的老师同学可以在这个基础上做一些有前瞻性的选题。

《中国教育网络》：安全公司在招聘的时候看重哪些技能呢？

肖新光：安全这个行业我觉得首先看重的不是技能，而是从业者的正直和热爱。最近两年，我发现对网络安全有兴趣的学生在变少，虽然学生总数在变大，但是整体来看，有志于安全技术的学生比例在变小。这是我根据最近两年的招聘面试所得出来的印象。

在安天，我们主要还是看重个人品质与对网络安全的兴趣，这种兴趣不是泛泛的，不是简单觉得好玩，而是你愿不愿意去下功夫。其他的都是可以再培养的。

不同企业不同需求，有些公司还是希望招聘成熟的员工，但这中间具有两面性，成熟的员工必然也带有自身成型的特质，有可能这个成型的特质还是个误区，比如一些技术的理念是不正确的，但却根深蒂固。安天比较侧重于自己培养人才。