摘要:以大理大学信息安全专业为案例,对地方院校信息安全专业应用型人才培养模式进行思考和探索。从专业培养目标定位,课程体系设计、师资队伍建设、校企合作及学生创新创业实践活动等多个方面探索信息安全专业应用型人才培养模式。
关键词:信息安全;应用型人才培养;课程体系;校企合作
一、概述
随着网络技术发展和应用,信息安全对国家、社会、企业和个人的重要性越来越凸显。信息安全产业也开始快速成长,智研咨询集团研究报告[1]指出,2016~2020年中国信息安全产品市场规模将保持18.00%以上的增长率,2020年市场规模预计达到761.95亿元。就业市场对信息安全专业人才需求急剧增长,信息安全专业人才缺口继续增大。根据《第十一届网络空间安全学科专业建设与人才培养研讨会》得出的结论,“我国网络空间安全人才年培养规模在3万人左右,已培养的信息安全专业人才总量不足10万人,离当前70万的市场需求差距巨大[2]。与之对应,2014年以来,国内开设信息安全专业的高校数量迅速增长。2013年至2017年全国开设和新增信息安全专业的院校数据如图1所示。统计数据显示,2014年之前开设信息安全专业的院校多为985、211重点院校或者警察军事院校;2014年开始,普通一本、二本、三本院校相继开设该专业。985、211重点院校及警察军事院校信息安全专业经过多年的摸索,积累了丰富的办学经验,建立了成熟的人才培养体系。然而,985、211重点院校具有师资力量雄厚,生源基础扎实、学习能力强、学习自主性高等特点,多数以培养信息安全领域高端人才为目标,重视基础,强化理论,更侧重于培养创新型人才。而警察军事院校以特殊的行业需求为目标,其定向就业岗位所需技能明确,其人才培养具有明显的针对性和倾向性,侧重于培养专门人才。因此,这些院校成功的办学经验和人才培养模式不能直接应用于师资力量和生源基础相对薄弱的普通本科院校。普通院校信息安全专业就业定位面广,就业岗位所需知识和技能相对较杂,师资力量相对薄弱,生源的知识基础、学习能力、学习自主性也具有多样性。大理大学是位于非省会城市的地方院校,信息安全专业属二本招生。本文结合我校多年信息安全人才培养的经验,对信息安全专业应用型人才培养模式进行积极思考和探索。
二、信息安全专业内涵
信息安全专业需要为国家、社会、企业和个人提供安全保障服务人才。应用型人才培养模式下,信息安全专业的培养目标是要求毕业生具有较强的安全管理与法律意识,具备扎实的数学、计算机和通信网络基础,掌握基本的安全知识及原理,具有较强的系统集成、开发及网络与信息系统安全运维管理能力;能提供电子对抗、网络及信息系统安全加固,入侵检测、防御与保护,系统恢复、电子追踪及数字取证等服务。信息安全涉及知识面大、就业范围广,学生不可能掌握全部的信息安全相关知识和技能[3,4]。因此,不同院校在建设该专业时都有不同的倾向性,有些院校侧重于通信、有些院校侧重于密码学、有些院校侧重于软件与网络。各院校应根据自己的学科优势、专业定位及办学条件,形成自己的优势和特色。
三、信息安全专业应用型人才培养模式
(一)专业定位
信息安全专业人才培养方案的设计应首先明确专业定位。信息安全学科是由数学、计算机、通信等多门学科交叉而成综合性学科。不同院校的信息安全专业具有不同的优势与特色,对应用型人才的定义也不尽相同[5,6]。根据信息安全学科发展趋势和人才培养实践经验,可以将信息安全应用型人才分为创新性应用型人才和复合性应用型人才。创新性应用型人才能够综合地运用信息安全理论基础知识,创造性、设计性地解决工作实践中的问题。其对实践问题的解决思路和所使用的工具往往是原创性的,其应用能力取决于学生对信息安全理论知识体系掌握程度、实际动手能力培养效果和创造性思维训练情况。复合性应用型人才则更注重的是灵活、熟练地利用现有技术或既有工具解决问题,其应用能力主要取决于其对信息安全基础知识的理解和对工具使用的熟练程度。从目前各高校的培养方案和课程体系看,985、211等重点院校多数以培养创新性应用型人才为主,地方院校及高职院校则侧重于培养复合性应用型人才。结合实际情况,我校信息安全专业定位是培养复合性应用型人才。
(二)培养目标
人才培养目标决定培养模式。专业培养目标需要结合就业定位、办学条件、生源实际情况和专业特色来设计。我校信息安全专业主要为西南地区提供信息安全领域应用型人才。我校数学与计算机学院设有计算机科学与技术专业、信息与计算科学专业,同时开设了华为网络学院,在计算机软件和网络方面具有较好学科优势和办学条件。生源的知识基础、学习能力和学习自主性呈现多样化。因此,我校信息安全专业培养目标是:培养具有扎实的数学基础、计算机软件基础、计算机网络基础,以及较强的网络系统集成与防护能力、软件开发与漏洞检测能力、信息系统安全测评与系统安全加固能力,能从事网络与信息系统安全运维、系统安全测评、软件开发、漏洞检测等岗位工作的应用型人才。
(三)课题体系设计
国内的信息安全专业起源于密码学,是基于密码学发展起来的,因此,侧重密码学的信息安全专业课程体系已经比较完备,但密码学仅仅只是信息安全的一个分支。作为信息安全重要分支的计算机系统安全及网络安全课程体系的建设相对滞后,尚未形成一个完备的体系[7]。侧重于密码学的信息安全专业更侧重于培养学术性人才,而侧重于通信、软件及网络的院校是应用型人才培养的主要基地。经过多年的发展,各院校信息安全专业课程体系建设均取得了较好的成果,各具特色。但多数院校信息安全专业的课程体系不具备完整性和系统性,课程内容缺乏先进性[8]。表面上看,很多院校信息安全专业均开设了很多安全相关的专业课程,几乎每个领域都所有涉及,学生学习任务繁重而学习效果不佳[9]。要提高学生的应用能力,必须坚持“实用、瘦身”的原则,重视课题体系的系统性和完整性,不片面地追求课程门数,而应尽量将课程形成一个完整的体系,提升学生应用能力,减轻学生的学习负担,激发学生的学习兴趣。我校信息安全专业培养定位是复合性宽口径的应用型人才,以软件和网络为基础,结合信息安全相关理论和技术,培养软件安全测评、安全软件设计与开发、软件漏洞发现与修补、网络及信息系统加固与防护等方面的应用型人才。对于课程体系的设计,我们紧密结合我校学科优势和生源的实际情况,坚持“实用、瘦身”原则。我校信息安全专业课程体系由四大课程基础支撑着两个专业方向,如图2所示。密码学基础主要包括信息安全数学基础、应用密码学两门课程。信息安全数学基础课程知识是密码学算法设计的基础,对理解和设计密码算法具有重要意义。密码学是信息安全的起源,也是信息安全学科的重要基础。信息安全技术诸多安全机制的实现都依赖于密码学相关技术,如机密性、完整性、可认证性和防抵赖等。对于普通二本院校的学生来说,密码学课程应侧重于密码系统的工作原理及具体应用。密码算法的设计对二本院校的大多数学生都是困难的。结合密码学课程的特点及我校信息安全专业学生实际情况,密码学基础要求学生掌握密码学基础知识及主流密码体制的设计原理,但更侧重于要求学生掌握密码系统的具体应用,而不要求学生设计密码算法。网络基础主要包括计算机网络、路由与交换技术两门课程。网络基础模块是通信网络安全的基础,是网络服务可用性、可靠性、网络攻击追踪和溯源等技术的知识基础。随着网络技术的广泛应用,通信网络安全已经成为信息安全专业知识体系的重要内容。网络基础模块中计算机网络要求学生掌握网络系统工作原理与基础知识;路由与交换技术以华为网络学院HCNA和HCNP内容为基础,对当前TCP/IP网络体系下主流网络协议的工作原理和实现细节进行深入讲解,培养毕业生网络系统的设计、配置、维护与管理相关的应用能力。网络基础模块为网络系统安全防护与加固、计算机取证和攻击溯源提供知识基础。操作系统基础主要包括计算机系统配置维护、操作系统和网络应用服务器配置三门课程。操作系统是计算机学科重要的基础课程之一。操作系统是计算机系统软硬件资源的管理者,理解和掌握操作系统相关知识对加强计算机科学的理解具有基础意义。操作系统安全是计算机信息系统安全的基础,诸多信息安全问题的引发均是因为操作系统漏洞造成的,如勒索病毒的爆发等。*客入侵往往也是利用操作系统的漏洞或后门。因此,理解和掌握操作系统工作原理对信息安全学科具有基础性意义。操作系统基础模块覆盖面从计算机软硬件安装维护到操作系统工作原理,再到主流网络应用服务器的配置与部署。操作系统模块为软件安全技术和网络系统防护与加固提供知识基础。程序设计基础包括汇编语言、C++程序设计、Java程序设计、数据结构与算法和数据库原理五门课程,主要培养学生计算思维和程序设计能力,是信息安全专业毕业生从事漏洞挖掘、后门检测、设计和开发网络安全测评、系统防护、追踪溯源、电子取证等相关工具的基础,也是软件安全的重要基础。网络安全方向包括网络安全技术、网络系统集成与安全加固、计算机取证、网络攻防、入侵检测与防火墙技术和安全协议分析六门课程。网络安全技术主要讲授网络安全技术相关的基础知识,对网络安全涉及的技术进行全面介绍。网络系统集成与加固重点讲授通信网络设计、集成与管理以及网络系统防护相关技术。计算机取证主要介绍电子取证相关知识,为网络犯罪行为的追踪、溯源和取证提供相关技术。网络攻防课程主要包括当前主流的网络攻击方法和手段,为网络系统防御提供知识基础。入侵检测与防火墙技术是传统的网络安全内容,为用户的网络行为进行管控与监测。安全协议分析主要以TCP/IP网络体系为基础,讲授各层所提供的安全服务和安全机制,是网络系统防护的知识基础。该方向主要培养毕业生从事网络系统集成与安全加固、网络系统安全管理与测评、网络攻防等就业岗位所需的应用能力。软件安全方向包括编译原理、Android程序设计、网络程序设计、软件安全与漏洞、Web安全技术、软件安全管理与测评六门课程。编译原理是软件逆向工程的基础,是软件安全的重要内容之一。Android程序设计主要讲授基于Android的移动app设计、开发及app安全检测相关技术,是移动客户端软件安全的基础。网络程序设计主要讲授基于TCP/IP的网络编程技术,是软件安全与漏洞的基础。软件安全与漏洞主要讲授软件安全的基本知识及软件漏洞挖掘技术。Web安全技术主要讲授Web环境应用安全防护技术,防止网页篡改、SQL注入等攻击,保证网站内容的完整性和数据安全。软件安全测评与管理主要介绍软件安全测评标准和相关技术,培养学生安全评估与管理能力。该方向主要培养软件安全测试、软件开发、漏洞检测、信息系统安全管理与测评、系统安全加固等就业岗位所需的应用能力。
(四)师资队伍建设
应用型人才培养必须注重教师工程实践能力的提升,要培养学生应用能力,教师首先需要具备工程实践能力。研究表明,各院校信息安全专业师资队伍普遍存在理论知识和科研能力强,但工程实践能力和经验不足的问题[10]。另一方面,数据统计显示[11],当前各院校信息安全教师队伍中本科从信息安全专业毕业的人数很少,占比最多的是计算机专业,其次是数学专业。这既是信息安全专业师资队伍的优势,但也是其不足。多数信息安全专业教师在本科阶段没有接受过系统的信息安全专业知识体系教育和专业技能训练,而在硕士和博士阶段往往重理论科研而轻实践。因此,信息安全专业师资队伍建设应加强培养具有工程实践能力的“双师型”教师,进一步提升教师的工程实践能力和丰富其实践经验,定期安排教师到信息安全相关企业或培训机构进行学习和培训,鼓励教师到企业兼职从事技术性岗位工作,将其所掌握的理论和科研成果应用于工作实践,将工作实践中的专业技能和实践经验反馈回课堂教学。“双师型”教师培养主要以校企合作为主。传统的高等院校办学模式是以专业教师为授课主体,开展课堂教学和课外实践项目相结合的方式。近年来,随着校企合作推进,越来越多高等院校专业开始引入企业力量培养人才。积极推进校企合作是应用型人才培养的必然趋势。信息安全专业技术更新快、知识面广、工作实践中出现的问题多样化,全靠专业教师来跟踪、掌握、传授这些新技术、新知识和实践经验是不可能的。专业教师具有理论水平高、科研能力强的优势,但其工程实践经验不足。企业具有工程实践经验丰富,对信息安全新技术、新问题反应快等优势,但其理论水平与科研能力较弱。积极开展校企合作可以实现学校资源和企业资源的优势互补,对培养新工科应用型人才具有现实意义。
目前开展的主要的校企合作模式包括:
1.专业教师外派培训由学校邀请企业工程师针对若干专业课程对专业教师进行短期集中培训,或派遣专业教师定期到合作企业进行项目合作或短期培训。专任教师掌握相关培训内容后,将其结合到课堂教学中。
2.企业工程师引入课堂由学校邀请企业工程师到学校对学生进行短期实训,实训多以项目的方式开展,实训时间一般是1-2周。通过实训项目,企业工程师将当前主流的技术和工程实践项目经验传授给学生。
3.校内外教师合作校内外教师合作包括:实习基地共建和科研合作两种方式。实习基地共建,即由学校和企业共建实习实训基地,通过校企合作的方式,由学校和企业共同在校内或校外建设实习实训基地,学生毕业设计和毕业实习可以在基地内开展。科研合作,即由企业提出工作实践中的难题并给予一定的资金支持,由学校教师带领学生共同完成,将难题的解决方案提供给企业。积极开展校企合作是应用型人才培养的有效手段,我校信息安全专业已通过专业教师外派培训、企业工程师引入课堂和校内外教师合作等多种方式培养了多位网络和软件开发方面“双师型”教师。下一步将继续派遣教师到国内信息安全知名企业(如360、启明星辰、蓝盾科技等)学习和培训,进一步培养网络安全与软件安全方面的“双师型”教师。
(五)创新创业实践
创新创业实践活动是培养学生知识运用能力有效途径之一。我校信息安全专业创新创业实践课程要求学生在四年中参与教师科研课题、大学生科研课题或信息安全领域相关主题竞赛至少一次,方能获得该课程学分。通过创新创业实践活动促进应用型人才的培养。
四、结束语
信息安全专业长期以来存在人才培养与市场需求相脱节的问题。市场需求信息安全人才,但学校培养的信息安全人才又不能很好满足市场需求的情况是常态。信息安全专业的毕业生也往往更多地选择从事软件开发、网络运维等工作岗位,不能很好的将其所学安全知识应用于工作实践。随着信息安全市场规模扩大,这一矛盾更加突出。如何培养信息安全应用型人才已经是普遍关注的问题。本文结合我校的实际情况,从专业定位、课程体系设计、师资队伍建设和校企
查看全文
false