“互聯網+”背景下信息安全課程校企合作探究

“互聯網+”背景下信息安全課程校企合作探究賈立偉，李琨，石曉明

（河南醫(yī)學高等?？茖W校，河南鄭州451191）

21世紀以來，計算機技術和通信技術的飛速發(fā)展，給人們帶來各種便利的同時，網絡信息安全問題也變得日益突出。如何確保自己信息的安全性，如何確保信息系統(tǒng)的安全性，已成為社會上普遍關注的問題。我國的信息安全起步較晚，雖然已經形成了產業(yè)鏈，但是和國際上發(fā)達國家相比還處于較為落后的狀態(tài)。而各大高校在開設信息安全課程的時候，也會因為軟硬件問題或師資問題限制課程的順利開展[1]。校企合作可以實現資源共享，優(yōu)勢互補，很好地解決上述問題。

1信息安全行業(yè)的發(fā)展狀況

1.1信息安全威脅日益增大

近年來，各種網絡攻擊事件不斷出現，APT威脅（高級持續(xù)性威脅）日益增大，勒索病毒猖獗、Facebook信息泄露、萬豪酒店數據庫遭黑客入侵、烏克蘭電廠事件、委內瑞拉斷電等等，這些不僅造成了非常嚴重的經濟損失，更是威脅到國家安全。面對日益嚴峻的網絡信息安全威脅，如何建立有效、可信的信息安全環(huán)境已經成為人們關注的焦點，信息安全行業(yè)進入快速發(fā)展階段。

1.2信息安全成為國家戰(zhàn)略

網絡空間承載著國家、企業(yè)與個人大量的信息和數據，已經成為人類生活中無法剝離的重要組成部分。2022年，習近平總書記在中央網絡安全和信息化領導小組第一次會議中指出：“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”[2]；2022年6月1日《中華人民共和國網絡安全法》實施；2022年中央網絡安全和信息化領導小組改名為中國共產黨中央網絡安全和信息化委員會；2022年5月，“等級保護2.0”正式頒布；網絡信息安全已經成為信息化的制高點，上升到了國家戰(zhàn)略層面。

1.3網絡信息安全人才缺口巨大

我國已成為網絡大國，但因為網絡技術基礎薄弱和網絡空間安全人才不足，我國還不是網絡強國。網絡信息安全關系到國家安全、社會穩(wěn)定、經濟發(fā)展、人民生活等多個領域。必須建設國家信息安全保障體系以確保我國的信息安全。政府、軍隊、公安等國家重要部門，以及金融、電力、能源等重要行業(yè)都需要大量信息安全專門人才。

現階段，我國網絡空間安全人才數量缺口高達140萬，預計2022年將超過150萬。2022年6月，教育部批準設立了網絡空間安全一級學科，之后國內掀起了開展網絡空間安全學科建設的熱潮，截至2022年，我國在該領域已有130多所院校開設相關專業(yè)，樂觀估計每年培養(yǎng)規(guī)模也僅在3萬人左右，不足以支撐這百萬量級的人才需求。

1.4國家大力支持高校建設網絡空間安全學院

網絡信息安全的本質是攻、防兩端人與人之間的較量，高校作為我國人才培養(yǎng)的主陣地，需要擔負起網絡空間安全人才培養(yǎng)的重任，正是基于此，大量扶持政策紛紛出臺。

習近平總書記指出：“培養(yǎng)網信人才，要下大功夫、下大本錢，請優(yōu)秀的老師，編優(yōu)秀的教材，招優(yōu)秀的學生，建一流的網絡空間安全學院”[3]。

《中華人民共和國網絡安全法》第二十條明確指出：“國家支持企業(yè)和高等院校、職業(yè)學校等教育培訓機構開展網絡信息安全相關教育與培訓，采取多種方式培養(yǎng)網絡信息安全人才，促進網絡信息安全人才交流”[4]。

《國家職業(yè)教育改革實施方案》中明確指出：“自2022年開始，圍繞戰(zhàn)略性新興產業(yè)，推動職業(yè)院校在10個左右技術技能人才緊缺領域大力開展職業(yè)培訓。按照專業(yè)設置與產業(yè)需求對接完善高等職業(yè)學校設置標準”。

教育部辦公廳在《2022年教育信息化和網絡信息安全工作要點》中明確指出：“引導鼓勵有條件的職業(yè)院校開設網絡安全類專業(yè)，繼續(xù)擴大網絡信息安全相關人才培養(yǎng)規(guī)?！?。

《教育部關于加快建設高水平本科教育全面提高人才培養(yǎng)能力的意見》中明確指出：“構建全方位全過程深融合的協(xié)同育人新機制，主動布局網絡空間安全、云計算、大數據等戰(zhàn)略性新興產業(yè)發(fā)展相關學科專業(yè)”[5]。

2高校信息安全專業(yè)建設面臨的主要難點

隨著國家層面的高度重視，河南省許多高校也紛紛開展網絡空間安全學科建設的籌備或探索，鄭州大學、河南大學、鄭州輕工業(yè)大學、中原工學院、許昌學院等紛紛成立信息安全專業(yè)，部分高職院校也都開設了信息安全與管理專業(yè)，部分高校在傳統(tǒng)的計算機科學、網絡工程、軟件工程等專業(yè)基礎上增設了網絡信息安全的細分方向，絕大多數高校還都建立了網絡信息安全戰(zhàn)隊，積極參與各類競賽活動。盡管專業(yè)申報、籌備、建設如火如荼，但是由于網絡空間安全一級學科設立時間較短，加上網絡信息安全行業(yè)的一些特殊性，很多高校在信息安全類專業(yè)建設過程中面臨諸多難題，主要表現在以下方面。

2.1人才培養(yǎng)方案設計

人才培養(yǎng)方案的設計水平決定了人才培養(yǎng)的質量，網絡信息安全課程的學習所需基礎知識面比較廣，涉及學科比較多，這也使得人才培養(yǎng)方案的設計難度較高，高校不僅要根據自身的情況選擇不同的課程體系，還要考慮師資、實驗室等現實條件的限制，同時還要兼顧產業(yè)崗位的技能需求?，F實中，一些高校信息安全專業(yè)的人才培養(yǎng)方案與傳統(tǒng)的網絡工程、計算機類專業(yè)相似度較高，缺乏必要的專業(yè)核心課程和拓展課程，無法形成完整的知識脈絡，與產業(yè)崗位實際需求相差較多。

2.2實驗環(huán)境搭建

網絡信息安全人才培養(yǎng)的核心是安全能力的傳遞，教學過程中需要靶場做支撐。然而，網絡攻防涉及內容多、環(huán)節(jié)多，每個階段都需要大量的實驗環(huán)境、不同的操作系統(tǒng)、不同的滲透對象、不同的中間件等都需要花費大量的精力去搭建。而且不少掃描、探測工具等對硬件環(huán)境要求較高，當大量學生同時進行實驗時，系統(tǒng)非常容易崩潰。目前，市場上部分安全廠商已經提供了相關的硬化產品，如實訓平臺、靶場、競賽平臺等，但是成本較高，而且質量也良莠不齊，后續(xù)的配套服務難以有效匹配，導致很多高校在實驗室建設階段望而卻步。

2.3教師教學能力

師資是人才培養(yǎng)的核心，是教學工作開展的載體，也是高校開展網絡空間安全人才培養(yǎng)時面對的重要難點。網絡信息安全本身是一個實戰(zhàn)至上的行業(yè)，網絡信息安全工程師技術能力不足，就會給單位帶來很大的安全隱患?，F實中，很多教師的攻防技能水平較低，缺乏對實際業(yè)務場景的了解，也沒有必要的安全項目經驗，無法勝任專業(yè)課程的教學工作，很多教學都演變成了空洞的理論灌輸，無法調動學生學習的積極性，也無法輸出足夠的知識技能給學生。

2.4實習和就業(yè)

實習是檢驗學生理論學習效果的重要環(huán)節(jié)，也是畢業(yè)前全面提升自我的重要手段。網絡信息安全行業(yè)與傳統(tǒng)行業(yè)有著明顯的區(qū)別，例如安全企業(yè)的員工往往需要到甲方單位做駐廠運營維護，不少安全項目涉密，這也使得很多安全企業(yè)無法為應屆生提供大量的實習崗位；另外，很多信息安全專業(yè)的學生實習崗位與所學專業(yè)不符，導致學習到的知識無法與實踐相結合，還有相當大比例學生就業(yè)時未選擇網絡信息安全相關企業(yè)或崗位。

3校企合作信息安全專業(yè)建設賦能方案

3.1人才培養(yǎng)方案賦能

學校的教育帶有滯后性，學習的知識和技能落后于公司和企業(yè)，人才培養(yǎng)方案也不是社會所需，為了使人才培養(yǎng)方案更優(yōu)化，各個地方的高?？梢赃x擇和一些有資質的大公司開展合作，也可以和當地的知名信息安全公司合作。比如河南的高?？梢赃x擇360政企集團、奇安信集團等。公司可以利用自身資源，開展針對在職人員技能提升、畢業(yè)生崗前培訓，結合產業(yè)崗位的實際需求及高校的實際情況，為高校信息安全專業(yè)的人才培養(yǎng)方案提供論證、咨詢、建議服務，使整個人才培養(yǎng)方案更加合理。

3.2實驗環(huán)境支撐賦能

大部分高校的實驗環(huán)境不足以支撐學生學習所需。立足公司網絡攻防實驗室平臺，可以為高校教學工作提供課程資源、實驗環(huán)境在線支撐，教師可以下發(fā)學習任務、下發(fā)實驗、在線測試，學生可以按照老師要求完成學習任務、實驗操作、在線測試。同時公司結合自身實驗室建設經驗為高校信息安全實驗室建設提供論證、咨詢、共建服務，使高校能夠花小錢辦大事，彌補高校實驗室不足的缺點。

3.3師資教學能力賦能

大多數高校教師不具備安全項目經驗，不具備最新的技能。立足高校實際教學的需求，為專業(yè)教師提供攻防技能提升培訓、認證培訓，同時提供實戰(zhàn)項目參與機會，讓一線教師能夠真正了解網絡信息安全實際業(yè)務場景，構建綜合攻防能力體系，進而更好地反哺教學。此外，公司還可以派一線工程師參與高校的核心專業(yè)課程教學，使教學效果能夠得到切實保障。

3.4教學評價標準賦能

現有的教學評價標準還是以考試為主，以書本知識的記憶和背誦作為主要的考核手段。立足公司大量培訓及教學過程管理的經驗，聯合高校開展教學評價標準的制定工作，分別包括教師評價、學生評價、實戰(zhàn)演練，建立相關量化標準，并形成完整的方案。標準的設計可以參照高校目前其他專業(yè)已有標準，結合信息安全相關課程的特點，設計出適合的方案。

3.5學生競賽能力賦能

帶領學生參加一些安全賽事，通過參賽來提高學生的學習能力和動手能力。立足公司參與、承辦多項網絡信息安全賽事，舉辦大量賽事培訓、參與多所高校戰(zhàn)隊運營的經驗，為高校CTF（CaptureTheFlag）奪旗賽戰(zhàn)隊提供系統(tǒng)培訓、指導、聯合參賽服務，提升個人實戰(zhàn)能力、戰(zhàn)隊競賽能力，取得更好的成績。

3.6學生實習實訓賦能

立足公司廣泛的產業(yè)資源優(yōu)勢及多所高校實訓承接經驗，共建校內外實習、實訓基地，通過集中的實習、實訓來彌補學生在校學習期間知識掌握不夠牢固的缺點，理論聯系實際，提升專業(yè)技能和動手能力，完成從學校向職場的華麗轉變。

3.7學生優(yōu)質就業(yè)賦能

立足公司的行業(yè)資源，可以和信息安全企業(yè)建立人才輸送合作關系，當前信息安全企業(yè)每年都有大量的人才需求，通過這樣一個穩(wěn)固的通道，可以向有需求的企業(yè)輸送畢業(yè)生，為高校畢業(yè)生提供就業(yè)崗位無縫對接，保障學生實現專業(yè)內就業(yè)，努力實現優(yōu)質、高薪就業(yè)。

4校企合作信息安全專業(yè)建設賦能亮點

4.1打造競賽戰(zhàn)隊

競賽成績是高校專業(yè)建設水平的重要體現，目前，國內網絡安全競賽數量眾多，每年規(guī)模超過百場，這為高校戰(zhàn)隊參賽提供了廣泛的選擇機會。與此同時，網鼎杯、強網杯、護網杯等高水平的賽事不斷出現，部分比賽打破了高校、企業(yè)、社會團體分組的壁壘，這也對參賽隊伍的綜合能力要求越來越高。借助公司團隊成員的豐富經驗，可以為高校網絡安全戰(zhàn)隊提供訓練、運營指導，為高校網絡安全競賽提供全面服務，助力高校在網絡安全競賽領域取得優(yōu)異成績。

4.2打造就業(yè)明星

就業(yè)明星是專業(yè)建設質量的結果體現，目前不少高校信息安全專業(yè)畢業(yè)生轉行較多，而且就業(yè)質量不高，從事技術崗位的少之又少。借助公司擁有大量一線信息安全企業(yè)資源，熟悉產業(yè)需求，對于各大企業(yè)的發(fā)展都有較為深入的了解，因此，專業(yè)建設賦能的目標之一就是打造一批能夠入職一線信息安全企業(yè)的就業(yè)明星，形成帶動效應，具體可以從以下幾個方面開展。

4.2.1實習實訓

借助公司已經完善的實訓課程體系，能夠全面提升學生的信息安全攻防素養(yǎng)及技能。實訓是教學的有效延伸，在學生畢業(yè)前進行專門、專業(yè)的實訓，可以極大提升專業(yè)素養(yǎng)，提升就業(yè)能力。除此之外，公司也可以聯合大量合作伙伴為學生提供實習崗位，通過接觸真實的業(yè)務場景，對理論知識進行升華，能夠進一步提升攻防技能，為入職優(yōu)秀企業(yè)增加砝碼。

4.2.2就業(yè)指導

大學生畢業(yè)求職，考察的是一個學生的綜合能力，除了大學期間所學的專業(yè)知識外，還包括溝通、表達等為人處世的能力。從企業(yè)招聘的流程來說，簡歷投遞、筆試、面試環(huán)節(jié)的表現就至關重要，公司可以聯合信息安全企業(yè)的人力資源部門對學生開展全面的就業(yè)指導，包括簡歷制作、技術面試常見問題、綜合面試技巧等，讓學生能夠在求職中更好地表達自我。

4.2.3名企內推

對于部分基礎知識扎實、攻防滲透技術良好、綜合素質較高的學生，尤其是戰(zhàn)隊當中取得優(yōu)異成績的成員，公司可以借助自身資源直接內推大量知名網絡安全企業(yè)，減少求職的盲目性，提高通過率。

4.2.4崗前培訓

對于部分基礎知識不夠牢固，攻防技能掌握較為欠缺的學生，公司可以提供系統(tǒng)的崗前培訓，涵蓋操作系統(tǒng)、計算機網絡、數據庫、中間件等基礎課程，信息收集、中間件漏洞、SQL注入、XSS攻擊、文件上傳、命令執(zhí)行、文件包含、CSRF攻擊、提權、Metasploit等Web滲透課程，風險評估、等級保護、基線加固、應急響應等應急防御課程，培訓結束后無縫對接用人單位，從而實現優(yōu)質就業(yè)。

4.3打造教學特色

網絡安全相關課程的教學對于高校來說是一個挑戰(zhàn)，而相關的信息安全公司擁有強大的講師團隊和大量的實戰(zhàn)、培訓經驗，可以融入高校課程教學過程當中，通過教學創(chuàng)新，形成教學特色。

4.3.1教學方案

高校在教學方案設計時受到諸多限制因素，總體來說，可以劃分為通用課程、專業(yè)基礎課、專業(yè)核心課、專業(yè)選修課。高校應該打破師資、理念等限制，加強調研，與企業(yè)崗位需求相適應。信息安全公司可以協(xié)助高校開展人才培養(yǎng)方案的論證、設計，同時，也可以協(xié)助高校完善教學過程。協(xié)助高校增加實訓環(huán)節(jié)，每門課程講授完畢增加課程實訓，在每個學期專業(yè)課程講授結束后增加綜合實訓，協(xié)助高校增加專業(yè)選修課數量，選修課的設計可以結合產業(yè)不同崗位的能力要求進行，方便學生就業(yè)時的分流。

4.3.2師資團隊

當前很多高校信息安全核心課程師資能力不足，不得不減少核心課程的數量，甚至完全照搬計算機科學、網絡工程等課程體系。信息安全公司擁有良好的師資儲備，可以與高校師資進行整合互通，共同打造專家講師團隊。一方面，公司可以派講師參與高校信息安全核心課程的講授，也可以協(xié)助引進省內名校講師資源；另一方面，高校講師也可以到公司掛職參與一些實戰(zhàn)項目，形成良好的師資互通，優(yōu)勢互補。

4.3.3精品課程

場景的輸出是網絡安全教學的難點，沒有授權前提下對正在運行的網絡或業(yè)務系統(tǒng)進行攻防滲透容易構成違法犯罪，因此，教學過程要注重對安全場景問題的解決。第一，公司可以依托攻防實訓平臺，提供場景式教學的支撐環(huán)境，大量實驗都是基于現實中的業(yè)務抽象，能夠加深學生對