专题 | 以色列网络安全人才培养模式及对我国的启示

作者: 黄鹏 于志成     消息来源: 《中国信息安全》杂志2020年第4期         消息类型: 行业新闻         发布日期:2020-06-02

文│ 国家工业信息安全发展研究中心信息政策所所长  黄鹏
       国家工业信息安全发展研究中心产业促进所副所长  于志成
“网络空间的竞争,归根结底是人才竞争”。建设网络强国,提升网络安全水平,必须加快培养高素质网络安全人才。以色列是仅次于美国的全球第二大网络安全产业强国,拥有400多家网络安全企业和50个跨国公司研发中心,而独具特色的人才培养模式是以色列网络安全产业创新发展的重要动力和源泉。

一、以色列网络安全人才培养体系


以色列非常重视教育和人才培养,奉行“教育立国”“没有教育就没有未来”“人才是以色列的主要资源”等理念,每年的教育投入仅次于军费。以色列基础教育注重培养学生的创新意识、思辨精神和动手能力,目标是培养出追求真理的孩子,为以色列高水平网络安全人才培养提供了优质土壤,而大学教育、学院教育和军队教育则构成了以色列网络安全人才培养的科学体系。
(一)大学教育培养高水平行业人才
大学教育的主要目标是培养网络安全领域具有良好道德、积极世界观、扎实技术能力和具有创新思维的高水平行业人才。希伯来大学、特拉维夫大学、海法大学、本·古里安大学、巴伊兰大学、以色列理工大学等在计算机、通信、电子工程、软件工程等学科领域都具有很高水平,近年来积极打造网络安全专业学科,是以色列网络安全人才培养的主力军。以色列国家网络局5年内投入6000万美元支持顶尖大学建成了5个网络安全研究中心。其中,本·古里安大学的网络安全研究中心专注于研究病毒、木马的分析以及网络威胁情报的收集、整合、分析、预警。这些研究中心通过丰富的实践型课程项目提高学生的技术能力,引导学生形成攻防兼备的系统安全观。这些学生毕业后,能够根据工作岗位需求进一步提升专业水平,在较短时间内展现出很好的发展潜力。
(二)学院教育输送高技能职业人才
学院教育是以色列高等教育的重要组成,也是大学教育的重要补充。学院主要提供面向网络安全职业培训的非学历教育,课程设置较为灵活,更能快速适应社会需求变化。霍隆技术学院(HIT)是以色列高等教育委员会认证的研究型学院,在网络安全领域构建了完善的职业技能课程体系,包括计算机架构、操作系统基础、计算机通信基础、通信协议和互联网、网络安全防御、网络安全风险管理、网络通信隔离与区分、防火墙设计、设备安全、通信与信息安全、密码与认证、访问控制、系统信息安全、服务器激活和加固、数据和数据库安全、恶意软件和异常监测、信息泄漏、网络安全事件管理与纪录、网络安全事件应对、云计算与主服务器、虚拟化、组织间的信息交互、渗透测试、法律与道德、数据隐私等。这些课程除了课堂授课外,还提供同等学时的实验课程,注重提升学生的实战能力。
(三)军队培训孕育高素质领军人才
军队培训是以色列网络安全教育的独特方式。以色列绝大多数犹太人需要在高中毕业后服兵役,男性3年,女性2年。8200电子战精英部队是以色列国防军中规模最大的独立军事单位,挑选一批精英人才进行计算机和网络安全方面的系统训练和实战锻炼,被认为是世界上最先进的网络安全部队。这些网络顶尖高手转业后大都成为创业领头羊,以色列很多网络安全企业的核心人员都与8200部队有关。以色列军队还与大学合作培养精英领军人才,国防科技局与希伯来大学合办的“特比昂班”每年选拔50名高中生(智商145以上),2-3年内主攻物理、数学和计算机,重点训练应对复杂问题并找出跨领域解决方案的能力,毕业生到军队服役6年。该项目已有650多名毕业生,他们是8200部队的主力,很多人退役后成为顶尖科学家或优秀企业家,全球知名网络安全企业Check Point的创始人马雷斯就是“特比昂班”的毕业生。

二、以色列网络安全人才培养特色


以色列的网络安全人才培养方式具有鲜明特色,尤其是强调跨学科、突出实践性、注重产业化等方面值得借鉴。
(一)强调跨学科
以色列网络安全学科以计算机、通信、电子工程、软件工程等学科为依托,而且认为管理和技术应当并重,重视对风险管理、数据隐私管理、网络监管体系的理解与建设,非常关注网络安全与法律、心理、社会、经济等学科知识的交叉融合。特拉维夫大学与国家网络局合作成立跨学科网络研究中心,开展安全软件、软硬件受攻击情况、密码学、网络协议、操作系统与网络安全,以及网络对国家安全、社会、规则和商业等领域的冲击等跨学科课题研究。此外,以色列网络安全教育要求从黑客角度进行防御和攻击的演练,重视对黑客行为分析、黑客攻击事件或案例研究、攻击武器研究,而社会工程学是针对网络黑客跨学科研究方法,需要基于大量黑客攻击事件或案例,从黑客的技能、行为、立场等多个角度分析其攻击活动。
(二)突出实践性
以色列的网络安全教育特别强调实践的重要性,认为最好的网络安全培训是实践而不是阅读。实践类课程更加侧重以目标和任务为导向进行学习和研究,让学生尽早、尽快、尽可能多地接触现实世界,了解最重要、最棘手、最亟待解决的问题,不仅引导学生发现隐藏的风险、寻找应对方案,还可以发现导致不同后果的关键决策和重要假设,并不断检验自己提出方案的逻辑和效果。实践可以分为基于讨论的实践和基于操作的实践,基于讨论的实践可以有讲座、圆桌讨论等形式,基于操作的实践可以按功能操作、模拟操作和全面操作的方式实现。此外,实践不局限于技术方面的实践,还包括管理方面的实践。以色列很多教育和培训机构都建有网络安全模拟中心或对抗平台,为学习者和从业者提供实践演练,军方的网络安全培养体系则更具对抗性和实战性。
(三)注重产业化
以色列注重推动大学与企业合作开展网络安全人才培训,本·古里安大学与IBM、甲骨文、德意志电信、洛克希德·马丁等跨国公司合作开展网络安全高端人才培训。一些企业为更好地满足自身业务发展需要,直接开展网络安全相关知识和技能培训。例如,Check Point开设了网络安全学院,挑选喜欢计算机和网络技术并具有创新思维能力的人员进行为期3个月的集中培训,学习基本编程、逆向工程、恶意软件分析和漏洞发现等知识,邀请公司内外网络安全领域高级专家授课。以色列正在构建灵活的网络安全师资队伍流通机制。HIT近年来从相关的国防和政府部门引进大批师资,并从企业界和工程界引入实战技术能力强的工程技术人员进一步扩展师资队伍。此外,以色列非常鼓励创业,有500家网络安全初创企业,很多机构愿意为创新型企业提供帮助和支持。这不仅有利于推动科研成果产业化,也为网络安全人才的成长和发展提供了高效顺畅的通道。

三、启示建议


近年来,我国高度重视网络安全人才培养,尤其是网络安全高等教育学科建设步伐加快,增设“网络空间安全”一级学科,40余所高校成立了网络空间安全学院,实现了网络安全人才从本科到硕士博士的一体化培养。然而,我国网络安全人才培养仍滞后于产业发展需要,存在人才规模供不应求、人才结构不合理、高端领军人才匮乏等问题。结合以色列网络安全人才培养的做法,提出以下启示建议:
(一)完善网络安全人才培养体系
据调查,我国网络安全人才每年培养规模在3万人左右,已培养的网络安全专业人才总量不足10万,而人才需求数量约140万,缺口巨大。应在强化基础教育基础上,构建以高等教育、职业教育为主体,继续教育为补充的人才培养体系,加快培养高水平网络安全人才。一是夯实基础教育。推动加强基础教育阶段的网络安全意识,在中小学推广计算机编程的同时要强化网络安全技能,提升国民网络安全素养。二是强化高等教育。加快推进网络安全领域新工科和一流网络空间安全学院建设,拓展网络安全专业方向,合理确定人才培养规模。依托国家重大工程专项、国家重点实验室等,培养具有世界水平的网络安全领军人才、卓越工程师和创新团队。高校课程设置要更加跨学科、注重实践性、灵活和贴近产业需求。高校应开设网络安全基础公共课程,鼓励非网络安全专业学生学习掌握网络安全知识和技能。三是加强职业教育。鼓励具备网络安全思维和兴趣的人才参加非学历性的网络安全培训,充分利用社会资源推进面向实战的职业教育和技能培训。四是重视继续教育。鼓励网络安全企业组织开展从业人员岗位培训,不断更新知识储备,学习掌握最新技能,跟进前沿发展态势,适应网络安全产业快速迭代的需要。
(二)创新网络安全人才培养方式
我国网络安全人才培养方式与实际需求存在一定脱节,课程设置更新较慢,缺少真实项目开发实践训练。今后应探索更加适合产业和创新发展需要的网络安全人才培养方式,面向现实需求创新课程设置,强化学历教育与实践需求紧密结合,采取特殊方式培养精英人才。一是优化课程设置。建立覆盖理学、工学、法学、管理学、心理学等门类的跨学科网络安全专业课程体系,建设在线课程资源平台和网络攻防演练环境,更加突出实践性和实战性。课程体系设置要树立科学的网络安全观,注重攻防兼备,既重视对设备的控制权也重视对数据的控制权,既重视单点攻防能力也重视体系建设能力,既重视技术问题也重视业务和管理问题。要加强网络安全领域教学资源建设,充分发挥专业智库、科研机构、企业专家在学科建设、课程设置、实践平台等方面的作用。二是加强产教合作。教育机构应深化与企业和科研机构合作,在课程设置、教材编制、实践教学、课题研究等多个环节协同育人。联合建设网络安全领域重点实验室、承担国家重大专项和重点任务,建立实训基地,形成人才培养、技术创新、产业发展的良性生态。创造让人才能够在高校、政府、企业、智库间实现有序顺畅流动的环境,吸引优秀的科研人员或企业人员加入教师队伍或担任兼职教师,网络安全专业教师也可以到企业、科研机构挂职或兼职。鼓励企业支持举办网络安全技能大赛和攻防对抗,激发学生提高攻防技能和开展技术攻关的积极性。鼓励学生创业,提供成果转化、融资担保、市场对接等服务。三是培养精英人才。网络安全人才中很多是天才、奇才、怪才,需要用特殊方式培养。以色列的“未来科学家”计划依托7所研究型大学,每年招收600名超常儿童,进行基础知识和跨学科思维训练,目标是10年内80%的学生成为科学家、工程师和高级研究员,15年内30%的学生开办高新科技企业。我国应鼓励一流网络空间安全学院开设“少年班”“特长班”“实验班”,从智商超常的少年中选取精英,培养成国家急需的网络安全领军人才,开展前沿技术攻关,引领未来产业创新发展。
(三)深化网络安全人才国际合作
网络安全问题是全球共同面临的新挑战,网络安全人才培养也需要具有国际视野。应加强与国外相关机构的合作,不断提高我国网络安全人才资源的全球配置能力。一是引进海外高端人才。构建具有全球竞争力的人才引进制度,吸引全球优秀人才为我所用。招聘国外高水平网络安全领域教师,建设专兼结合的国际化网络安全师资队伍。二是吸引留学人才回国。不断完善网络安全人才评价机制和激励机制等,优化知识产权共享和利益分配机制,在人才入股、技术入股以及税收方面制定专门政策,吸引留学人才回国任教或创业。三是联合培养培训人才。与国外大学、企业、科研机构在网络安全人才培养方面开展深入合作,支持网络安全创新型人才国际合作培养项目、网络安全学科青年骨干教师国际培训进修项目等,不断提升我国网络安全人才的国际竞争力和影响力。
(本文刊登于《中国信息安全》杂志2020年第4期)

服务热线
025-8660 3700

微信公众号