我国信息安全人才培养新思路：以赛促学

文/姜开达 许文

信息安全漏洞智慧的对抗

我国已成为网络大国，但还不是网络强国，在网络安全领域面临着来自多方的严峻挑战。今年以来，国家对网络安全和信息化工作作了整体布局，成立了中央网络安全和信息化领导小组，从顶层部署加快人才队伍建设，提升全社会的网络安全意识，坚持分领域、分类型、分层次加快人才培养。

国内已有一百多所高校开设了信息安全专业，每年培养的毕业生数以万计。但是仍然无法满足社会各行业对信息安全人才的实际需求，人才匮乏的现象将长期存在。

企业和单位在每年应届生校招时，往往发现符合期望的优秀信息安全类学生难找。产学研存在脱节，是学校的培养模式出了问题？还是用人单位的眼光太高？

从学科设置上看，信息安全专业属于计算机类。在校期间，本科生要学习理工专业公共基础课和少量信息安全相关专业课，研究生阶段会接触到更多的计算机和信息安全体系课程。培养目标是努力使学生既有扎实的理论基础，又有较强的应用能力；既可以承担实际系统的开发，又可进行科学研究，具有分析并动手解决复杂实际问题的能力。

信息安全领域的特点是技术更新换代速度快，同时实践性要求很强，强调人与人之间的智慧对抗。如果高校延守十几年来一贯的课程设置，不与时俱进增加补充新的符合时代发展的内容，并且在实践环节中有所脱节，不能给学生提供充分的动手锻炼的机会，那么培养的学生不被社会认可也是预料之中。

表1 近四年上海交通大学信息安全专业本科学生毕业走向

表2 近四年上海交通大学信息安全学院硕士研究生毕业走向

姜开达带队上海交通大学0ops队参加BCTF“百度杯”全国网络安全技术对抗赛，获第二名。

上海交通大学信息安全人才走向

上海交通大学针对信息安全专业人才的培养，在2000年成立了信息安全工程学院，培养包括本科生、研究生不同学历层次的高级信息安全专业人才。从历年本科招生情况来看，信息安全专业的生源质量一直稳居全校前列。表1是近四年信安本科学生的毕业走向，可以看出一个趋势，真正直接走向就业市场的本科毕业生并不多，大部分都继续选择在国内或去国外深造。本科毕竟还是处于基础培养阶段，如果要在安全领域能够有深入发展，进一步的学习是不可或缺的。

与此对比，表2是经过两年半的研究生阶段专业学习之后，信安学院近四年硕士研究生的毕业走向分布。可以看出除了一部分去国外，大部分都直接就业。国内继续攻博的人数是少之又少，这也许同信息安全至今不是一级学科，没有博士学位授予权不无关系。另外从近四年的趋势看，毕业后漂洋过海去国外的人数也在持续增长，虽然从尊重个人选择的角度无可厚非，但是从国家信息安全战略的角度看，优秀人才的流失还是心中之痛。

国内信息安全行业从业人员中，相当比例是半路出家，但其中很多都做得非常出色。这是一个很特殊的行业，科班出身的人如果没有在实践中摸爬滚打过，对安全本质的理解始终有限。而在一线工作的安全人员每天都在不断应付新的挑战，只要有一定计算机基础又勤奋好学，工作实践中的成长速度会特别快。高校已经拥有了最好的信息安全生源，如果能充分了解市场需求和国家需要，通过校企合作，联合共建等方式引入外部资源力量，制定科学的培养方案，追踪当前主流安全技术的同时打好相关计算机领域基础，并注重实践环节的能力提升，激发学生们的兴趣和主观能动性，在信息安全专业人才培养方面是具有天然优势的。

表3 信息安全竞赛

国内外安全竞赛盘点

在大学生的兴趣培养和安全学习导向方面，各种层面的信息安全竞赛起到了积极推动作用。最近一年国内具有一定影响力，且大学生参加较多的信息安全竞赛简单罗列如表3。

国内今年举办的信息安全类比赛相对往年有显著增加，比赛形式和内容也明显与国际通行的CTF（Capture The Flag）夺旗赛模式接轨，主办的学校也从信息安全有特长的学校扩展到了综合性大学，而且这种情况有每年延续下去的趋势，这是非常好的现象。国外举办的CTF赛事就更多了，具体列表可以查询https://ctftime.org/网站获取，不过目前国内高校学生团队参赛战绩还不错的是清华的蓝莲花（blue-lotus）和上海交通大学的0ops两支战队。从整体上来看，国内的信息安全竞赛水平相对国际一流水平还有非常大的差距。在这些竞赛中，来自高校的安全团队拥有明显的优势，例如今年百度杯BCTF进入决赛圈的8支队伍中6支队伍都来自高校战队，国际上的很多老牌CTF强队也都是来自著名高校的战队。

表4 国内外信息安全竞赛的对比

国内传统的信息安全竞赛考核的内容比较单一，大量内容偏重对网络攻击渗透能力的考察，现在已经有所转变，考察范围向多元化方向发展。参赛人员的实战经验以及对各类工具的熟练使用程度也在相当程度上决定了其最终比赛成绩。而国外的安全竞赛考题则灵活的多，侧重于考察学习思考能力，是在一个限定时间段内分析并解决复杂问题的能力和综合安全素质的较量。

国内信息安全竞赛传统还是考察单兵作战，突出选拔个人。而国外信息安全竞赛大都是以小团队形式参加，团队成员各有专长，互相配合。我们的散兵游勇对战国外的专业化团队，胜负一目了然，这也是目前国际CTF比赛我国总体成绩不佳的一个重要原因。

表4为国内外信息安全竞赛的一些简单对比，差异还是比较明显。

对CTF类型的安全竞赛，高校学生还是很感兴趣，但是由于其有一定门槛，需要有组织地将其领进门，让他们充分享受其中的乐趣。前面已经提到，这种国内外比赛是非常频繁的，一旦进入其中，兴趣就是最好的老师。在参加比赛的过程中，学生认识到自己知识结构的不足，就会主动地去系统补充相应领域的知识，在实践中快速学习成长起来，最终成为多个安全领域的专家。虽然很多竞赛题目设计得非常复杂，在真实场景下不会出现，但是一旦掌握了快速解决复杂问题的思路和能力，那么当学生遇到实际环境中的问题时，就能应对自如了。以赛代练，以赛促学，这也是安全专业人才培养的一种新型思路。

高校信息安全专业人才培养有很多条不同路径，但是殊途同归，既需要培养一批高级安全专家，又需要培养为数庞大的在基层从事信息网络安全工作的人员。各所高校在人才培养方面都有自己的宝贵经验，究竟效果如何？关键还是看学生毕业后的人生发展过程中，学校教育起到了多大的帮助作用，在此与各位老师共勉。