吴月文 宋光信 叶伟
基金项目:2023年度校级教学改革研究项目“数字化时代背景下网络安全实战化人才培养路径的研究”(项目编号:JG202311);2023年温州市哲学社会科学规划年度课题“人工智能时代温州信息产业高质量发展的路径与对策研究”(课题编号:23WSK205YB);工信行指委2022—2023年度科研课题“信息安全实战化人才培养模式探索与实践”(课题编号:GXHZWZ20914)。
【摘 要】 数字时代,网络技术已广泛应用于各行业,而伴随而来的网络安全问题日益凸显。网络安全已成为国家安全战略中的重要议题。为了建设网络强国并保护网络空间安全,国家需要拥有高素质的专业人才和网络安全团队。文章梳理了数字时代网络安全背景、面临的安全威胁和挑战以及高校现阶段在培养网络安全专业人才方面存在的问题,并提出了培养具备实战能力的网络安全专业人才的培养目标。最后在高校专业教育培养、学生参与行业实践、高校和企业共建实训室三个方面开展网络安全专业人才的培养路径研究。
【关键词】 数字时代;网络安全;人才培养
一、数字时代网络安全背景
在当前数字时代,数字经济已成为全球科技革命和产业变革的引擎,数字安全的重要性也日益凸显。随着全社会数字化进程的加速,数字安全问题愈发引人担忧。数字经济虽然促进了市场效率,但也带来了信息安全隐患,维护国家数据安全和保护个人信息、商业机密面临巨大挑战。网络攻击日益普遍,网络安全已升级为数字安全。数字时代面临的安全威胁对个人、企业和社会都带来了严重的风险。网络安全已成为数字时代个人和组织安全不可或缺的一部分,需要不断的技术创新和合作来抵御不断进化的威胁。同时,在数字时代,对网络安全人才的需求呈现出迅速增长的趋势,尤其对于掌握高级技能的专业人员的需求更甚。
随着网络安全技术的快速发展,网络安全领域取得了巨大的突破,但相应的人才供应与需求之间存在严重的不平衡。根据ISC2(国际信息系统安全认证联盟)的数据,在受调查的14个国家中,自疫情前至今,美国的网络安全人才增长了50%,日本的增长速度超过了美国,德国是需求增长最快的发达国家。另外,在全球范围内,据ISC2的调查,网络安全人才需求增长最快的国家是印度,达到了600%。以上调查报告同时提供了目前全球网络安全人才的缺口接近340万人。这意味着网络安全领域的需求远远超过可供应的人才数量。然而,网络安全职位的技能要求较高,需要更多具备实战能力的专业人才,这可能是造成其短缺的一个原因。
數字时代网络安全人才的培养尤其需要实战型的人才。近年来,随着国家对网络安全的高度重视以及法律法规的不断完善,实战型网络安全人才的需求日益增长。根据教育部《网络安全人才实战能力白皮书》数据显示,高达92%的企业认为自己缺乏网络安全实战人才。预计到2027年,我国网络安全人员缺口将达到327万,而高校每年培养的网络安全人才规模仅为3万人,这导致许多行业面临网络安全人才缺失的困境。在这种情况下,必须打造高水平的网络安全管理团队,满足当前网络安全的发展趋势,构建实战型的网络安全管理机制。
二、高校网络安全实战人才培养存在的问题
近年来,网络安全的形势愈加严峻,社会上对网络安全人才的需求不断增加,薪酬待遇也不断提高。国家从2015年开始在高校增设了网络空间安全一级学科,对传统的人才培养计划和课程内容进行了不同程度的改造和优化。然而,与网络强国战略相比,目前的培养机制仍然存在许多问题,尤其是在实战化方面与实际情况之间存在很大的差距,培养的人才还远远不能满足实际需求。目前我国尖端网络安全技术人才缺失严重,人才培养工作未能得到有效落实。部分培训机构在培训内容、课程体系和实训环境都存在一定的缺陷,网络安全人才培养的效果较差。
三、网络安全实战人才培养的目标
网络安全实战人才的培养目标旨在培养具备实际应用能力的网络安全专业人员,以应对不断增加的网络安全威胁和风险。根据《网络安全人才实战能力白皮书》的内容,网络安全专业人才实战能力是培养的关键,特别是攻防实战能力、漏洞挖掘能力、工程开发能力和成效评估能力等。其中攻防实战能力是主要关注点。在真实业务场景中,网络安全人才应该具备使用网络空间安全技术和工具开展各种任务的能力,包括安全监测与分析、风险评估、渗透测试事件研判、安全运维和应急响应等。这需要网络安全专业人员具备实际安全标准的应用经验,能够熟练使用各种网络安全技术和工具,为实际业务提供风险评估、安全规划和建议。此外,网络安全人才还应具备调查取证的能力,能够在受到攻击后有效地收集、处理、保存、分析和呈现计算机攻击相关证据,以便进行攻击溯源或案件侦查。
四、网络安全实战人才培养路径
在数字时代,培养网络安全实战人才的路径至关重要,以应对不断增加的网络安全威胁和风险。高校网络安全实战人才培养是满足行业和企业需求的重要基地。首先,高校要针对目前网络安全教学所存在的问题,以提升学生实战能力为根本出发点,结合网络安全岗位实际需求,明确人才培养方案,提升教学内容的针对性。其次,高校要结合行业实践和实习,通过学生参与行业实践,深入了解实际工作环境,锻炼实际应用能力,有助于将理论知识转化为实际技能。再次,高校开展与企业合作,共建实验室,参与企业实际项目,使学生能够接触真实的安全挑战,从而培养实际应用能力。同时,人才的培养是综合能力素质培养,培养实战人才不仅需要技术能力,还需要具备综合素质,如沟通能力、团队协作能力和问题解决能力。综合素质的培养有助于以后在实际工作中更好地应对复杂情况。
(一)专业的教学培养
1. 师资能力的培养和引入
网络安全人才的培养,需要具备实战能力的师资力量,高校应选派优秀的青年骨干教师参加企业的培训和实战练习,让网络安全专业的教师接触企业实际的需求,提高教师的专业能力。同时让网络安全领域的知名企业骨干专家到高校开课,实现产学研模式的构建,提升网络安全人才培养的效果。
2. 加入实战靶场训练环境
高校应坚持将开源的网络安全训练靶场融入实训项目中,与理论教学相结合,让学生在学习理论的同时进行实操的练习,特别是web安全常见的OWASP TOP10的漏洞,如DVWA靶场环境。DVWA(Damn Vulnerable Web Application)是一个用PHP编写的Web应用程序,能够帮助学生学习和练习Web应用程序安全测试的技能,通过让学生手动测试和攻击自己的Web应用程序来提高对Web应用程序安全的理解。该应用程序提供了10类安全漏洞,包括SQL注入、XSS攻击、CSRF漏洞等。并且包含四级的漏洞难度级别,让学生逐步提高应对不同安全威胁的能力。
网络安全信息技术快速更新,安全漏洞层出不穷,对于重要的网络安全漏洞进行复现是实操练习的重要环节。在日常的实践训练中可引入另一个重要的开源环境Vulhub。Vulhub是一个面向广大用户的开源漏洞靶场,无须了解Docker知识,只需简单执行两条命令,即可编译并运行一个完整的漏洞靶场镜像,旨在让漏洞复现变得更加简单,让学生能更加专注于漏洞原理本身。此环境也是开源的环境,一直在开源社区进行维护,包含大量的历史经典的漏洞环境可以供学生进行复现学习。
3. 自主搭建竞赛训练资源平台
高校应自主搭建建设网络安全竞赛训练资源。教师通过开源的CTFd框架搭建竞赛训练平台,为学生提供训练环境。此平台采用B/S模式,并提供Web在线管理模式,为学生提供更加轻松和便捷的访问模式。此平台提供的赛题资源由教师通过公开的资源和以前的赛题进行整理和汇总。CTFd的赛题资源分类包含Web、Pwn、Misc、Reverse、Crypto等主流方向。
(二)深化学生实习实践
高校教育是培养数字安全人才的主要途径之一。许多高校设立了数字安全相关专业,通过与企业的合作课程建设、实践教学以及产学研项目等方式,提供全面系统的数字安全人才培养方案。校企合作涵盖了科研共创、社会服务、教研项目、产业班等内容,也涵盖了人才培养基础和实践体系建设,旨在培养实战型、创新型高素质网络安全人才。不同类型的高校在校企合作中有不同的侧重,例如研究型大学注重研究生培养,而应用型本科高校和高职院校更注重结合教育资源和企业实践资源,提供实践性教育和培训,培养符合市场需求的数字安全人才。
高校应深化产教融合,建设产业学院。校企合作共同培育适应和引领现代产业发展的高素质应用型人才、复合型人才和创新型人才。教育部和工業和信息化部在2020年发布了《产业学院建设指南(试行)》,鼓励高校与地方政府、行业企业等多方合作,共建、共管、共享产业学院。这种合作模式能够更好地满足产业的需求,推动现代职业教育体系的建设。产业学院的建设通常需要高校、企业和政府多方共同参与,高校提供教学资源和师资力量,企业提供实践平台和行业资源,政府提供政策支持和监管保障。
数字时代网络安全人才培养的实践和实习方式主要包括高校教育与校企合作,以及产业学院的建设。通过这些途径,可以培养出适应快速变化的网络安全领域需求的高素质人才,为数字安全产业的发展做出贡献。
(三)与企业共建实训室
1. 搭建开放式实践教学体系
在实战化的要求下,高校制订实践教学课程体系应该从实战的角度出发,学校和企业之间合作共同开发课程内容。课程内容设置按照课程内容的难易程度设置四阶梯式的递进模式,按公共基础课程、初级课程、中级课程、高级课程四种不同难度的课程体系,并提供一个系统、全面、完善的网络安全实验与实战的真实环境。学生能够根据需要随时随地进行学习和实践操作。
实践教学体系需要与人才培养计划的培养方向一致,在专业课的设置上根据不同的培养方向配置不同的学习课程。以渗透测试工程师为例,相应的课程安排如下(表1):
课程方向涵盖网络安全攻防入门、渗透测试能力提升、渗透测试综合实践三个方向,同时包含Python开发实战、渗透测试技术实践、Python安全攻防实战、渗透测试实战演练等实战课程。
2. 校企合作引入实战仿真场景
高校应坚持校企合作引入网络安全企业的实战化训练环境,同时采用项目化的教学方式,进行仿真环境的实训环境。浙江安防职业技术学院通过和企业合作引入了一套实训仿真场景,此仿真场景可通过设置虚拟机模板,覆盖主流操作系统、网络设备和安全设备(DB审计、SOC、EDR、APT、WAF、USM),并支持物理设备接入,进行统一管理。支持通过界面化拖拽的方式进行拓扑编辑,支持节点资源的自定义配置,并支持将虚拟设备和物理设备进行连线,形成虚实结合的仿真场景。
五、结语
数字时代,网络安全已经成为社会的热点,随着网络安全形势的日益严峻,网络安全也成了影响到国家安全战略的重要因素,对于网络安全人才的需求也不断高涨。当前,构建以实战化网络安全人才为目标的培养路径和模式,提升学生的实战能力,从而为国家安全输送更多的符合实战需求的专业人才,发挥网络技术在社会发展中的重要作用,是一项具有重要意义的教学改革课题。
参考文献:
[1] 刘奕彬. 基于网络安全人才培养体系构建的培养模式研究[J]. 网信军民融合,2019(04):59-61.
[2] 张冬雯,张光华,张晓明,等. 新工科多方协同育人背景下的网络安全人才培养模式研究[J]. 当代教育实践与教学研究,2020(05):92-94.
[3] 尚蕾. 新工科背景下应用型网络安全人才培养模式研究与实践[J]. 电脑知识与技术,2019,15(13):191-192+194.
[4] 朱富丽,杨磊. 新工科背景下高校多元化网络安全人才培养的探索[J]. 苏盐科技,2020,47(03):146-148.
[5] 李跃忠. 大数据时代背景下数据安全治理专业人才培养的探索与实践[J]. 中国信息安全,2020,124(04):46-47.