习近平总书记指出:“网络空间的竞争,归根结底是人才竞争,人才是网络安全第一资源。建设网络强国,没有一支优秀的人才队伍,没有人才创造力迸发、活力涌流,是难以成功的。”近年来,为响应总书记的号召,为实施网络强国战略、维护国家网络安全提供强大的人才保障,各高校纷纷加快网络安全人才培养的步伐。本文主要介绍深圳大学学生网络安全团队建设历程及本人的相关思考,以期为高校学生网络安全团队建设提供参考,共同提升高校学生网络安全人才培养水平。
Aurora的诞生
2016年3月,出于学校网络安全工作需要,深圳大学通过学校公文通招聘了两名学生安全网管,在教师指导下做一些学校网络安全外围的检查工作。为了更好地将对网络安全感兴趣的同学吸引进来,培养更多信息网络安全人才,解决学校自身网络安全人手不足的问题,同时也为了减少学生引发的网络安全风险,为学校的信息安全保障发挥作用,我们决定以这两名学生为基础,在校内组建一支学生网络安全团队,为学校网络安全建设提供支持。
我们在团队组建初始,不仅为团队配备了由信息中心从事一线网络安全攻防工作的教师担任指导老师,还专门明确了团队的文化,对团队的愿景、使命、价值观进行了清晰描述。即团队的愿景是为国家、社会、学校网络安全事业贡献力量,团队的使命是学习网络安全技术、宣传网络安全文化、致力保护网络安全、成为网络安全中坚,并提炼出团队的价值观为“身处黑暗,心往光明”,这个价值观包含了指导老师对团队的期望:无论是学习网络安全技术还是将来从事网络安全行业,要时刻牢记要将掌握的“黑客”技术用于正途,为国家、社会的网络安全建设贡献自己的力量。为了更好地体现团队的价值观,我们为团队取了一个特别的队名Aurora,Aurora是罗马神话中掌管黎明的女神名字,她行走在黑暗中,为黑夜中的世界带来曙光。同时还专门设计了队标,如图1所示,其中A的变化形态既充分体现了团队的价值观,又表达了向上进取的学习精神。
图1 学生网络安全团队队名图标
Aurora成立后,发展迅速,团队成员日益增多,参与了多项国内外CTF安全赛事,在国内网络安全竞赛中的比赛名次和成绩稳定提高,在国内高校网络安全团队中知名度逐渐增大,目前已经成为国内高校学生网络安全团队中的佼佼者。近年来先后获得第三届广东省 “强网杯”网络安全大赛线下赛决赛三等奖、全国高校网安联赛(X-NUCA) 总决赛团队二等奖及个人赛一等奖、第十二届全国大学生信息安全竞赛创新实践能力赛全国一等奖及广东赛区特等奖等重大赛事的奖项。2018年,我们以Aurora学生网络安全团队为依托,在学校正式发起成立了深圳大学信息网络安全协会(简称“信安协会”)学生社团,还专门为协会提供了专门的活动场地,更好地吸引了全校各个学院对网络安全感兴趣的学生加入,目前有来自学校计算机软件、信息工程、物理、经济、建筑与设计等多个学院约66名学生加入了协会,将全校对网络安全感兴趣的同学凝聚起来,共同学习和研究信息网络安全技术,协会成为一个同学们热爱的学习、交流、成长的重要平台。
此外,我们还依托学校信息工程学院在电子与信息工程一级学科中增设了“网络安全大数据方向”专业方向,由信息中心与网络安全企业的导师联合培养网络安全人才,目前共有24名研究生进行了相关专业方向的学习,明年第一批毕业生就会走向社会。同时,我们还鼓励对网络安全创业创新感兴趣的同学依托学校的创业学院,将网络安全知识与创业创新结合起来,以产学研结合形式,在网络安全成果转化方面也取得了一定成果。
八点体会
近年在,在学生网络安全团队建设过程中,对学生网络安全人才培养有了更多的认识与理解,下面结合自己的实践谈几点思考。
1.加强网络安全意识形态的正确引导
网络安全技术可正可邪,一个掌握了网络安全技术但意识不正的人不仅对社会是危险的,也会把本人引上歧途最后毁害了自己。因此从一开始,就需要牢牢把握学生正确意识形态教育这一关键,对于学生网络安全团队的成员,指导老师要定期与其座谈交流,端正其学习态度,予以正确引导,以国家相关法律法规为依据,对网络安全过程中不能逾越的边界进行明示,强调网络安全学习的意义是为学校、社会、国家服务,并鼓励学生通过网络安全学习找准个人职业生涯发展的定位,树立起将来为安全事业作出自己贡献的大局意识。
2.建立多层次网络安全人才培养机制
网络安全人才培养上,各高校可根据自身特色,在不同的教育阶段根据不同的侧重点对学生进行引导,通过开展网络空间安全专业或相关学科建设,探索本科、专科、研究生教育、非专业教育等多层次人才培养机制。例如,在本科、高职教育阶段,重点培养掌握网络安全基础领域知识,具备基本网络攻防对抗知识,能解决一般性工程问题的能力,成为安全领域通用人才,强调网络安全知识学习的广度。在研究生、博士教育阶段,可以将侧重点放在网络攻防某一领域的深入学习与研究上,还可以进一步开展网络安全高水平科学研究,成为安全领域专业人才,强调网络安全知识学习的深度。对于非网络安全相关专业的学生,可以通过社团的形式组织他们学习网络安全知识,通过教师的指导与引导,发现他们的安全天赋和能力,可以鼓励他们在校阶段积极参与创新创业。通过以上多层次人才培养机制,可以从不同的维度培养社会所需的网络安全人才,形成人才培养、技术创新、产业发展的良性生态链。
3.重视网络安全人才攻防能力培养
网络攻防人才培养是网络安全人才培养的关键环节。“未知攻,焉知防”,网络安全体系建设中的网络安全策略、网络安全架构设计、网络安全管理制度、网络安全运维、以及网络安全运营都依赖于整个网络安全团队的攻防技术水平。一个只懂得强调“三分技术,七分管理”的团队很容易陷于“纸上谈兵”的误区,目前互联网上的网络攻防对抗形式日益严峻,重视网络攻防人才培养是落实国家网络安全战略的重要环节,作为高校应当主动承担起这一职责。
4.适当提前网络安全人才培养时间
除了高校学生网络空间安全人才的培养,还可以尝试探索网络空间安全教育时间的提前,如从中学阶段就开始在青少年学生中开设相关课程,让对网络安全有兴趣的青少年更早接触到网络安全教育。当然,仅依靠中学从事计算机类课程教学的师资可能无法满足此需求,这就需要充分利用高校的教育优势,例如我们尝试通过与中学合作,以创客教育形式,率先在中学中选拔培养一批网络安全的好苗子,将正确的网络安全意识和专业的网络安全技能传播给青少年,在网络安全人才培养的土壤播种下优良种子。
5.创新选拔网络安全师资人才
高校教师的工作职责以教学与科研为主,目前在招聘时一般会对应聘者的学历、科研经历设置准入门槛,但网络安全教学对实践动手能力要求较高,高校除了引进网络空间安全领域研究型人才,还应当适当引进富有网络安全工作经验的实战型人才,补充到教学师资队伍中来。比如,可以探索打破体制界限,不唯学历、不唯论文、不唯资历,引进政治素质好、业务能力强、创新意识强的网络安全师资队伍,或聘请其成为兼职教师,定期到高校授课。此外,高等院校还可以邀请企业参与到网络空间安全人才培养工作中来,从培养目标、课程设置、教材编制、实验室建设、实践教学、课题研究及联合培养基地等各个方面加强产学研合作,创造更多的校外培训、进修、交流机会,培养具有全局视野的人才。
6.通过网络安全比赛激励人才培养
近年来,以CTF(Capture The Flag,夺旗赛)为代表的网络安全竞赛在国际国内如火如荼地开展,国内BAT企业、政府机构、高校等也纷纷举办各类网络安全竞赛,各种CTF赛事影响力逐渐扩大。CTF网络安全技术竞赛既有静态的解题模式,又有动态的攻防模式,是目前最接近网络空间安全对抗的比赛形式。开展多种形式的网络安全竞赛能够极大地促进网络安全人才的培养和选拔,从而实现以赛促学、以赛促教、以赛促用的效果。
但要清楚地看到,任何CTF类比赛、攻防对抗赛等只是网络攻防技术的一种外在展现形式,千万不能走入刷题、过度强调比赛应试技巧的误区,对外组织学生参加攻防比赛只是学生攻防能力的一种外在展现形式,对内还是要回到网络安全能力培养及保障学校网络安全建设上来。
7.充分发挥指导老师的作用
学生团队的发展离不开资源的支持,需要指导老师具有较强的协调能力,充分调动校内外各种资源,为学生团队的发展提供技术、资金、场地等各种资源的支持。
技术上,指导老师首先要在学习方向上予以指点,并根据学生的个人情况因材施教,为其指定特定的学习路径。其次,可以将校内从事一线网络安全攻防与网络安全研究的老师组织起来,并邀请安全圈的技术专家一起定期为学生提供技术培训、讲座和相应的指导。最后,要充分利用各类在线学习资源予以学生更广阔的视野,Aurora引入了不同安全厂商的课程提供给学生免费学习,收到了良好的效果。
资金上,指导老师起了最为关键的作用,没有资金的支持,团队的建设发展会遇到极大的阻碍。前期主要通过所在单位的支持,后期待团队具有一定技术实力后,可以通过参与众测、参加比赛获奖、甚至通过参与项目的形式为团队的建设与发展争取经费,从而实现资金的自给自足。
场地上,指导老师要为团队的学习交流、培训活动、公开讲座提供固定的场所,营造良好的学习氛围,提高团队的凝聚力。独乐乐不如众乐乐,网络安全的学习与实践永远不是一个人单打独斗能够实现的,而是要靠整个团队的共同努力。信息中心申报的教育部产学合作协同育人项目“网络安全攻防实验室”,为团队成员提供固定的学习和交流场所,同时也为学生引入了大量优质的网络安全学习资源。
8.推进学生网络安全团队的可持续性发展
学生团队具有的显著特征是具有很强的流动性,往往一个团队的核心主力毕业离校后,就会导致整个团队的一蹶不振,如何避免这个问题,实现学生安全团队的可持续性发展是需要思考的事情。
这就要求我们要在团队成员招募时就有梯队意识,尽可能实现团队成员从研究生到低年级本科生的全路径覆盖,充分发挥以老带新的机制,同时指导老师要有意识地制定后备核心成员培养计划以及关键技术A、B角计划。我们的经验是在适当的时候成立正式的学生社团,通过学生自治的形式实现团队发展的良性循环。
总结与思考
学生网络安全团队建设已在我校取得初步成果,一是通过这种形式将对网络安全感兴趣的学生集合起来后,极大地减少了学校在业务和系统层面因为学生好奇心造成的潜在安全影响,二是在统一组织与授权下,还可以让一部分有强烈动手精神的学生跟随老师一起参与学校的网络安全工作,弥补高校普遍面临的网络安全攻防人手紧缺与经费不足问题。三是为学校、社会和国家培养了一批网络安全人才,目前已毕业的团队成员分布于包括互联网企业、网络安全公司、政府机关等在内的各行各业,形成了一支具有粤港澳大湾区特色的网络安全人才队伍,回归团队初心,共同为国家、社会的网络安全建设贡献着自己的力量。
(本文刊载于《中国教育网络》杂志2020年7月刊,作者:江魁,单位为深圳大学信息中心;责编:郑艺龙)
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。