信息安全专业人才培养 状况及对策探讨 韩 臻 zhan@bjtu.edu.cn 北京交通大学国家保密学院 2014年10月
提 纲 1、我国信息安全学历教育概况 2、信息安全专业规范介绍 3、北京交大信息安全人才培养情况 4、美国信息安全人才培养措施 5、对策探讨
1、我国信息安全学历教育概况 1999年,西安电子科技大学等4所高校设立“信息对抗技术”本科专业。 2001年,武汉大学设立“信息安全”本科专业。 2008年,南京大学设立“信息管理与信息系统(保密管理)”本科专业。 教育部《普通高等学校本科专业目录(2012年)》 080904K 信息安全(可授工或理或管理学学士学位) 082107 信息对抗技术 083108TK 网络安全与执法 120106TK 保密管理
教育部委托国务院学位委员会第六届学科评议组制订了《学位授予和人才培养一级学科简介》(2013年9月),学科范围(二级学科): 0812 计算机科学与技术 4. 计算机网络与信息安全 0826 兵器科学与技术 3. 信息感知与控制技术 0838 公安技术 2. 网络安全执法技术 1105 军队指挥 6. 军事密码学 99J1(交叉学科)信息安全,或自设相关二级学科。
工信部信息安全协调司和教育部高教司委托信息安全专业教指委普查信息安全专业人才情况* (2013年底): 调查表发放206 所高校,157所返回,其中XXX所开设了信息安全相关专业(含研究生、本科、高职)。 近三年年均招生约X万人,其中本科约XXXX人,研究生约XXXX人,高职约XXXX人。 近三年年均毕业生及比例与招生人数大致相当,就业率:本科约96.2%,研究生约97.0%,高职约96.3%。 开设本科专业的高校XX所,涉及103频次个专业,其中,‘信息安全’XX个,‘信息对抗技术’XX个,‘保密管理’XX个。 * 相关资料和图片引自<信息安全专业人才培养情况普查>课题组的调研报告。
开展信息安全相关方向研究生培养的高校XX所,分别自设在14个不同的一级学科下: 57 41 14 7 6 6 4 * 相关资料和图片引自<信息安全专业人才培养情况普查>课题组的调研报告。
我国在信息安全教育方面已经开展了大量工作。 2003年中办发[2003]27号文《国家信息化领导小组关于 加强信息安全保障工作的意见》,明确强调要“加快信 息安全人才培养,增加全民信息安全意识”。 2005年教育部专门发文教高[2005]7号《教育部关于进 一步加强信息安全学科、专业建设和人才培养工作的意 见》,从加强信息安全学科体系研究、信息安全博士点 硕士点建设、促进交叉学科专业探索多样化培养模式等 十个方面提出了指导性的意见。 2012年国务院[2012]23号文《国务院关于大力推进信息 化发展和切实保障信息安全的若干意见》,提出要“加 强宣传教育和人才培养,支持信息安全与保密学科师资 队伍、专业院系、学科体系、重点实验室建设。”
2014年2月27日,中央网络安全和信息化领导小组成 立,审议通过了《中央网络安全和信息化领导小组 2014年重点工作》。习近平强调: “没有网络安全就没有国家安全,没有信息化就没有 现代化。” “建设网络强国,… ;要有高素质的网络安全和信 息化人才队伍;…。” “建设网络强国,要把人才资源汇聚起来,建设一支 政治强、业务精、作风好的强大队伍。”
2、信息安全专业规范介绍* 教育部高等学校信息安全专业教学指导委员会编制《高等学校信息安全专业指导性专业规范》,清华大学出版社,2014年4月。 2006年教育部给武汉大学下达“信息安全专业指导性专业规范研制” 教学科研项目。 2007年“信息安全类教指委”成立,该项目由教指委组织实施,由张焕国教授负责。 2012年11月,经教育部批准,《专业规范》在天津通过了专家评审。 * 相关资料和图片引自张焕国教授的<信息安全专业指导性专业规范>宣讲材料。
指导性专业规范是国家教学质量标准的一种表现形式。 专业规范概念 指导性专业规范是国家教学质量标准的一种表现形式。 国家对本科教学质量的最低要求。 主要规定本科学生应该学习的基本理论、基本技能和基本应用。 不同层次的学校在这个最低要求基础上增加本校的要求,制订本校的教学质量标准,体现本校的办学定位和办学特色。 10
信息安全专业指导性专业规范的组成 (1)本专业的学科基础 (2)本专业的培养目标 (3)本专业的培养规格 (4)本专业的教学内容 (知识体系,实践能力体系) (5)本专业的课程体系 (6)本专业的实践教学体系 11
本专业的培养目标 本专业培养素质、知识、能力全面发展,具有自然科学、人文科学和信息科学基础知识,掌握信息安全领域的基本理论、基本技术和应用知识,具备信息安全科学研究、技术开发和应用服务工作能力的信息安全专业人才。 本专业的培养规格 信息安全专业的学制一般为4年,合格毕业生授予工学、或理学、或管理学学士学位。 素质要求:思想品德、身心、文化、专业素质。 知识要求:人文社会科学、自然科学、专业知识。 能力要求:学习、分析和解决问题、创新能力。 12
专业知识要求 具有扎实的信息安全数学基础、信息科学基础、信息安全基础知识。具有系统扎实的密码学、网络安全、信息系统安全,信息内容安全等领域的专业知识,并在某一方面有所侧重。 专业知识体系结构 信息科学基础 知识领域 专业知识体系 信息安全基础 ISB 信息系统安全 ISS 密码学 CRYPT 网络安全 NS 信息内容安全 ICS 13
规范提供两套方案进行分类指导 方案一:培养学生以从事信息安全领域的研究开发工作为主; 方案二:培养学生以从事信息安全领域的应用服务工作为主; 方案一的理论知识要求比方案二稍高; 方案二的实践能力要求比方案一稍高; 两套方案没有高低之分,各学校自主选择、自主更换; 各学校要增加自己的特色内容,办出自己的特色。 14
方案一的知识体系 ① 信息安全基础知识领域 信息安全基础知识领域 信息安全 概念 数学基础 法律基础 管理基础 数论 知识 单元 代数 结构 计算 复杂 性 逻辑 学 信息 论 编码 组合 数学 15
② 密码学知识领域 流 密 码 密码学知识领域 Hash 函 数 认 证 公 钥 字 签 名 管 理 分 组 学 概 念 密码协议概念 16
③ 网络安全知识领域 入 侵 检 测 网络安全知识领域 虚 拟 专 网 WEB 安 全 络 协 议 防 护 无线 安全 火 墙 概 念 17
④ 信息系统安全知识领域 信息系统安全知识领域 信息 系统 安 全 概 念 系统设备 可靠性技术 访问控制 操作系统安全 数据库系统安全 嵌入式系统安全 数字取证技术 电子政务安全 电子商务安全 软件安全 18
⑤ 信息内容安全知识领域 信息内容安全知识领域 信息 内容 的 分析 识别 多媒体信息隐藏 管控 网络 数据 捕获 安全 概念 隐私保护 19
方案一课程体系举例 20
实践能力体系的组成 实践能力体系 软件系统实践能力领域 硬件系统实践能力领域 密码学 实践能力领域 网络安全 实践能力领域 信息内容安全 SWSPA 硬件系统实践能力领域 HWSPA 密码学 实践能力领域 CRYPTPA 网络安全 实践能力领域 NSPA 信息内容安全 实践能力 领域 ICSPA 创新 实践 能力 领域 CPA 21
方案一的实践能力体系 ① 软件系统实践能力领域 编程基础实践能力 软件系统实践能力 网络编程实践能力 基础软件 实践能力 小型应用软件 恶意 代码 处理 能力 22
可编程集成电路应用 能力 硬件系统实践能力 模拟电路与数字电路应用 PC机组配 嵌入式系统应用开发能力 ② 硬件系统实践能力领域 可编程集成电路应用 能力 硬件系统实践能力 模拟电路与数字电路应用 PC机组配 嵌入式系统应用开发能力 23
标准算法的软件实现与应用 能力 密码学实践能力 常用密码函数库及软件工具的应用 ③ 密码学实践能力领域 标准算法的软件实现与应用 能力 密码学实践能力 常用密码函数库及软件工具的应用 24
常用网络安全设备安装与配置能力 网络安全实践能力 网络安全防护 能力 Web 安全 实践 服务器环境搭建与安全配置 网络安全整体解决方案设计 ④ 网络安全实践能力领域 常用网络安全设备安装与配置能力 网络安全实践能力 网络安全防护 能力 Web 安全 实践 服务器环境搭建与安全配置 网络安全整体解决方案设计 25
信息内容安全实践能力 信息内容的管控 能力 信息内容的分析与识别能力 多媒体信息隐藏 实践能力 网络数据捕获 隐私保护实践 ⑤ 信息内容安全实践能力领域 信息内容安全实践能力 信息内容的管控 能力 信息内容的分析与识别能力 多媒体信息隐藏 实践能力 网络数据捕获 隐私保护实践 26
⑥ 创新实践能力领域 自主 命题 创新实践能力 设计 实现 自主分析 有一定新意 有一定应用价值 27
实践能力教学体系举例 28
3、北京交大信息安全人才培养情况 2001年成立信息安全体系结构研究中心。 2003年自主设立信息安全二级学科,招收信息安全博士、硕士研究生。 2007年与国家保密局保密科学技术研究所成立研究生联合培养基地。 2008年,经教育部批准,设立信息安全本科专业(保密特色) 。 2011年,成立国家保密学院,增设招收信息安全(保密技术)、保密管理2个专业本科生。 29
3个专业方向:信息安全,信息安全(保密技术),保密管理;每届各1个班,每年级共约80人。 信息安全本科专业就业情况 年级 人数 深造率 就业率 国家机关就业 12届 25 56% 100% 55% 13届 51 61% 45% 14届 49 63% 98% 40% 在校生情况 3个专业方向:信息安全,信息安全(保密技术),保密管理;每届各1个班,每年级共约80人。 30
信息安全(保密技术)课程设置 专业基础必修(36学分): 计算机类专业导论 信息安全专业导论 离散数学I、II 高级语言程序设计 数据结构 模拟与数字电子技术 计算机组成原理 计算机网络原理 操作系统 数据库系统原理 31
专业基础选修(选修10学分): 初等数论 计算方法 面向对象程序设计与C++ JAVA语言程序设计 Web程序设计 程序设计专题训练I、II、III 算法分析与设计 汇编与接口技术 计算机系统结构 信号与系统(C) 数字信号处理(B) 模式识别 专业研究方法论与创新教育 IT职业英语 32
专业必修(15学分): 保密学概论 信息安全概论 保密行政管理 密码学 保密技术原理 保密法学 专业实习 33
专业选修(选修14学分): 计算机技术与实践 信息安全(保密技术) Linux管理与实践 Linux操作系统分析与实践 专业实践与训练Ⅰ、 Ⅱ 信息安全综合实践Ⅰ、 Ⅱ 程序设计模式 系统编程 软件测试 信息安全(保密技术) 计算机与网络安全 恶意代码防范 入侵检测 智能卡安全技术 无线通信安全 计算机取证 信息论与编码 信息隐藏技术 保密技术检查 电磁信息泄漏与防护 涉密信息系统工程 34
保密管理与法学 定密理论与实务 保密认证与实务 保密史 外国保密制度 行政法学 组织行为学 公文写作 电子文件与档案管理 商业秘密保护 35
信息安全(保密技术)专业课程结构图 36
4、美国信息安全人才培养措施* 制定全面的国家战略计划实施信息安全教育 2008年1月,美国《国家网络空间安全综合计划(CNCI)》中强调要加强信息安全教育。 2009年5月,美国《网络空间政策评估报告》提出了“发起全国性的公众常识普及和教育运动来加强网络空间安全”,“扩大支持重点教育和研发项目以确保国家在信息时代经济的持续竞争能力”和“制定战略来壮大和培训网络空间安全队伍,包括联邦政府吸引和雇佣网络空间安全专家”等行动计划。 为落实这些战略布局,美国于2010年4月专门启动了“国家网络空间安全教育计划(NICE)”项目。 * 《保密科学技术》2014年第7期,4-9。
美国于2011年发布了《NICE战略计划(草案)》并公 开征集意见,于2012年9月正式发布了《NICE战略计 划》,分别针对普通公众、在校学生、网络空间安全 专业人员的教育培训开展工作: 提高全民网络空间安全的风险意识,由国土安全部(DHS) 牵头负责; 扩充网络空间安全人才储备,由国家科学基金会(NSF)和 教育部(DoED)牵头负责; 培养具有全球竞争力的网络空间安全专业队伍: 国土安全部和人力资源办公室(OPM)牵头负责“网络空间 安全队伍结构”的制定工作,包括岗位需求和职位要求; 国土安全部、国防部(DoD)和国家情报总监办公室(ODNI) 牵头负责“网络空间安全队伍培训和职业发展”工作。
NICE于2011年9月公布了《NICE网络空间安全队伍框架(草案)》并在网上公开征求意见,2013年3月发布了v1版,2014年5月发布v2版的草稿。该框架给出了网络空间安全工作的分类法及其通用词汇,并对每种职位的任务、以及所需的“知识、技能、能力(KSAs)”进行了详细的描述,分为7个大类,共包括32种专业岗位: 安全供应(Securely Provision) 运营与维护(Operate and Maintain) 保护与防卫(Protect and Defend) 调查(Investigate)、 监管与指导(Oversee and Govern) 搜集与行动(Collect and Operate) 分析(Analyze)
加大对信息安全教育研究和人才培养的支持力度 2011年12月,美国发布《可信网络空间:联邦网络空间安全研究开发项目战略计划》,给出了三项指导原则: 必须针对基本的网络空间安全缺陷,聚焦于脆弱性/漏洞的根 源。理解和处理网络空间安全问题的起因,而不是仅仅处理 其表征。 必须引导广泛的多学科的集思广益。网络空间安全是一个多 维度的问题,既涉及安全技术的强度,也涉及人类行为的变 化倾向,其解决方案不仅依赖于数学、计算机科学和电子工 程等方面的专业知识,同时也依赖生物学、经济学和其他社 会与行为科学。 需要建立可持久有效的网络空间安全原理,即使技术和威胁 环境发生变化,也能够确保网络处于安全之中。
其中将网络空间安全教育列为七个国家优先支持领域之一,特别要求联邦各部门协同支持网络空间安全教育研究以及活跃网络空间安全研发的社团活动。 优先考虑的四方面研究和发展重点: 创新信息安全研究思路; 发展信息安全科学基础; 最大化信息安全研究的影响力; 其中将网络空间安全教育列为七个国家优先支持领域之一,特别要求联邦各部门协同支持网络空间安全教育研究以及活跃网络空间安全研发的社团活动。 其余六个领域分别是:健康IT、智能电网、金融服务、国防、交通运输中的网络空间安全研究,以及可信身份鉴别的研究。 加速信息安全研究成果的实际应用。
美国国家科学基金(NSF)加大了信息安全领域研究的支持力度。2012年发布了“安全和可信网络空间(Secure and Trustworthy Cyberspace,简称SaTC)”项目指南(NSF 12-596)。2013年继续发布了SaTC项目指南(NSF 13-578),支持2014年度的项目申请。 SaTC项目在2014财年的资助经费总额达到7450万美元,其中240万美元专项资助8项网络空间安全教育项目,每项约30万美元,项目周期为2年。 2014年5月,NSF的“教育与人力资源”部主管和“计算机与信息科学与工程”部主管,联合发出了关于进一步加强网络空间安全教育研究的意向通告信,考虑将通过“NSF早期概念的探索性研究(EAGERs)”项目进一步资助网络空间安全教育研究。
NSF继续加大对“网络军团服务奖学金(CyberCorps- Scholarship for Service)”项目的支持力度。 起始于2000年,专门为培养政府的网络空间安全人才而设置。 据美国《商业周刊》网站2014年4月报道,已有1554名学生 获得该奖学金毕业,另有463名学生在校。 2014年的CyberCorps项目指南(NSF 14-510)发布的2014 财年新增资助经费总额达1967万美元。其中,计划资助学生 奖学金项目10-15个,资助学校能力建设项目10-15个。 奖学金包括:一学年的生活津贴(本科生2万美元、硕士生 2.5万美元、博士生3万美元),学费,保险、书籍和证书、 职业活动等费用(6千美元);3个月的政府部门暑期实习工 资。学校可申请20%的项目管理费。 这类服务奖学金只面向美国公民、并要进行相应的背景调查, 学生毕业后要在政府部门任职与受资助期相等的年限。
大力支持高校设立信息安全教育和研究中心 美国国家安全局于1998年发起、1999 年开始在高校设立“国家信息安全保障教育卓越学术中心(National Centers of Academic Excellence in Information Assurance Education,简称CAE/IAE)”。 首批有8所高校被授予中心资格,2001年增至14所大学。 之后又设立了“国家信息保障研究卓越学术中心(National Centers of Academic Excellence in Information Assurance Research,简称CAE/R)” 。 2010年启动设立CAE/2Y(面向社区大学,两年学制)。 截止到2013年8月已有181所大学被授牌,其中:38所高水平大学具有CAE/IAE和CAE/R,20所高水平大学具有CAE/R,91所大学具有CAE/IAE,32所社区大学具有CAE/2Y。
2011年NSA又专门为培养网络作战人才启动设立“国家网络行动卓越学术中心(National Centers of Academic Excellence for Cyber Operations,简称CAE-Cyber Operation)”,至2013年已有8所老牌的信息安全研究强校入选,其中有卡内基-梅隆大学和海军研究生院等。 CAE/IAE的教学和课程设置要求符合“国家安全系统委员会(简称CNSS)”(原“国家安全电信和信息系统安全委员会(简称NSTISSC)”制定的CNSS课程指南: 信息系统安全专业人员国家培训标准(NSTISSI-4011) 高级系统管理员国家信息保障培训标准(CNSSI-4012) 系统管理员国家信息保障培训标准(CNSSI-4013) 信息系统安全官国家信息保障培训标准(CNSSI-4014) 系统检测认证员国家培训标准(NSTISSI-4015) 风险分析员国家信息保障培训标准(CNSSI-4016)
NSA公布了CAE-Cyber Operation专业课程要求,详细地列出了该专业方向的必修和选修课程设置。 必修课程: 离散数学(微积分,数理统计,算法,自动机) 低级编程语言(C语言编程,汇编语言程序设计) 软件逆向工程 操作系统理论 计算机网络 蜂窝和移动通信 安全性基本原理(Security Fundamental Principles) 网络空间防卫概述(Overview of Cyber Defense) 漏洞分析 相关法规
选修课程(至少覆盖60%): 计算机体系结构 系统编程 虚拟化技术 大规模分布式系统 可编程逻辑语言 微控制器设计 FPGA设计 嵌入式系统 SCADA系统 硬件逆向工程 应用密码学 无线安全 软件安全性分析 安全软件开发 信息系统风险管理 取证和事件响应或介质利用(Media Exploitation) 人机交互/合用性安全 攻击性网络行动(Offensive Cyber Operations)
为相关新兴交叉学科专业提供宽阔的发展空间 美国教育部国家教育统计中心负责发布的“学科专业目录(Classification of Instructional Programs,简称CIP)”2010年版中新增(或更名)的信息安全相关专业类主要有: CIP-11.1003:计算机与信息系统安全/信息保障(Computer and Information Systems Security/Information Assurance)。 该类专业设置在“计算机和信息科学与支持服务(分类号11.)”大类下,“计算机/信息技术行政与管理( … Administration and Management,分类号11.10)”子类中。 常见专业名称包括:信息保障(Information Assurance)、信息技术安全(IT Security)、互联网安全(Internet Security)、网络安全(Network Security)、信息系统安全(Information Systems Security)等。
CIP-29.0207:网络/电子行动与战争(Cyber/Electronic Operations and Warfare)。 该专业类设置在“军事技术与应用科学(分类号29.)”大类下“情报、指挥控制和信息行动(分类号29.02)”子类中。 常见专业名称包括:网络行动(Cyberspace Operations)、电子战(Electronic Warfare)、信息战(Information Warfare)等。 CIP-43.0116:网络/计算机取证和反恐(Cyber/Computer Forensics and Counterterrorism)。 该专业类设置在“国土安全、执法、消防和相关防护服务(分类号43.)”大类下“刑事司法与惩治(分类号43.01)”子类中。 常见专业名称有:互联网调查(Internet Investigation)等。 CIP-43.0303:关键基础设施保护(Critical Infrastructure Protection)。 该专业类设置在“国土安全、执法、消防和相关防护服务(分类号43.)”大类下“国土安全(分类号43.03)”子类中。
CIP适用于研究生专业、本科专业、专科专业、职业 技术专业等各层次高等教育。 联邦调查统计数据表明最近3年内至少有3个州的10个以上 高等教育机构授予至少30个该专业的学位; 在联邦调查统计中提出新增专业代码的书面申请; 由该专业领域的权威人士提供证据证实该专业已经存在; 通过分析有关的数据资料证实该专业的发展潜力与可能 性。 CIP适用于研究生专业、本科专业、专科专业、职业 技术专业等各层次高等教育。
5、对策探讨 制定全面的信息安全教育战略 推动网络安全岗位职业化 美国举全国之力,由政府主导、联合公私各个部门,专款专人、分工明确地从国家的高度制定和有效实施全面的信息安全教育战略,是其保持和奠定信息安全强国和网络空间控制权的基础性举措,值得我们借鉴。 信息安全教育战略计划应该经过广泛的讨论,融合各方面的意见,公开发布。 推动网络安全岗位职业化 明确网络和信息系统安全管理的岗位体系和职责要求,提高我国网络空间,特别是关键基础设施和重要信息系统的安全保卫能力。
开展全民网络安全意识教育和常识普及活动 支持网络安全创新研究和教育平台建设 研究制定网络和信息系统安全管理岗位培训标准,开发或改进培训教材。由政府用人单位主导,确定培养方案,包括具体的主要课程和教学内容,准确指导高校为学生提供与实际需求紧密结合的知识体系和能力训练,进一步缩小大学教学与实际应用的间隙。 开展全民网络安全意识教育和常识普及活动 加大网络安全意识和法制的宣传教育,增强公众网络空间的风险意识,普及网络安全保护应用常识。吸引优秀高中生报考信息安全专业。 支持网络安全创新研究和教育平台建设 加大对科研院所网络安全教育和研究能力提升的支持力度,扩大我国网络安全专业人才的培养规模,提高我国网络安全自主可控技术和产品的研发水平。
加强网络安全师资队伍建设 建设信息安全相关多学科交叉融合的创新研究和专业教育平台,鼓励并支撑科研院所建设和发展信息安全/网络安全一级学科。 将信息安全教育教学研究项目等同于科研项目进行支持和管理,强调教育教学研究的重要性,同时也加强对教育教学研究的科学性的高要求。 加强网络安全师资队伍建设 为开展各种层次的网络安全教育和培训提供符合要求的师资队伍。 鼓励开发编写网络安全专业教材,鼓励网络安全专业优秀教师在教学一线发挥作用。
设立网络安全专项奖学金 建立完善的实习生项目环境 设立国家网络安全专项奖学金,制定科学合理的专项奖学金制度,在网络安全相关专业本科生和研究生中,选拔优秀学生给予高额度的奖学金/助学金,学生承诺毕业后优先服务于国家需要。 规范组织开展网络安全领域的学生科技竞赛(包括研究生、本专科生和中学生),选拔优秀学生给予专项奖学金资助,着重予以培养。 建立完善的实习生项目环境 制定党政机关和重要企事业单位提供网络安全实习生工作岗位和培养及就业机制等政策或要求,提供充足的实习生岗位,并保障学生有足够的实习时间,培养和储备忠诚可靠、综合素质强的网络安全专业人才。
敬请大家批评指正! 谢谢!