吳月文 宋光信 葉偉

基金項目：2023年度校級教學改革研究項目“數字化時代背景下網絡安全實戰(zhàn)化人才培養(yǎng)路徑的研究”（項目編號：JG202311）；2023年溫州市哲學社會科學規(guī)劃年度課題“人工智能時代溫州信息產業(yè)高質量發(fā)展的路徑與對策研究”（課題編號：23WSK205YB）；工信行指委2022—2023年度科研課題“信息安全實戰(zhàn)化人才培養(yǎng)模式探索與實踐”（課題編號：GXHZWZ20914）。

【摘? 要】 數字時代，網絡技術已廣泛應用于各行業(yè)，而伴隨而來的網絡安全問題日益凸顯。網絡安全已成為國家安全戰(zhàn)略中的重要議題。為了建設網絡強國并保護網絡空間安全，國家需要擁有高素質的專業(yè)人才和網絡安全團隊。文章梳理了數字時代網絡安全背景、面臨的安全威脅和挑戰(zhàn)以及高?，F階段在培養(yǎng)網絡安全專業(yè)人才方面存在的問題，并提出了培養(yǎng)具備實戰(zhàn)能力的網絡安全專業(yè)人才的培養(yǎng)目標。最后在高校專業(yè)教育培養(yǎng)、學生參與行業(yè)實踐、高校和企業(yè)共建實訓室三個方面開展網絡安全專業(yè)人才的培養(yǎng)路徑研究。

【關鍵詞】 數字時代；網絡安全；人才培養(yǎng)

一、數字時代網絡安全背景

在當前數字時代，數字經濟已成為全球科技革命和產業(yè)變革的引擎，數字安全的重要性也日益凸顯。隨著全社會數字化進程的加速，數字安全問題愈發(fā)引人擔憂。數字經濟雖然促進了市場效率，但也帶來了信息安全隱患，維護國家數據安全和保護個人信息、商業(yè)機密面臨巨大挑戰(zhàn)。網絡攻擊日益普遍，網絡安全已升級為數字安全。數字時代面臨的安全威脅對個人、企業(yè)和社會都帶來了嚴重的風險。網絡安全已成為數字時代個人和組織安全不可或缺的一部分，需要不斷的技術創(chuàng)新和合作來抵御不斷進化的威脅。同時，在數字時代，對網絡安全人才的需求呈現出迅速增長的趨勢，尤其對于掌握高級技能的專業(yè)人員的需求更甚。

隨著網絡安全技術的快速發(fā)展，網絡安全領域取得了巨大的突破，但相應的人才供應與需求之間存在嚴重的不平衡。根據ISC2（國際信息系統(tǒng)安全認證聯盟）的數據，在受調查的14個國家中，自疫情前至今，美國的網絡安全人才增長了50%，日本的增長速度超過了美國，德國是需求增長最快的發(fā)達國家。另外，在全球范圍內，據ISC2的調查，網絡安全人才需求增長最快的國家是印度，達到了600%。以上調查報告同時提供了目前全球網絡安全人才的缺口接近340萬人。這意味著網絡安全領域的需求遠遠超過可供應的人才數量。然而，網絡安全職位的技能要求較高，需要更多具備實戰(zhàn)能力的專業(yè)人才，這可能是造成其短缺的一個原因。

數字時代網絡安全人才的培養(yǎng)尤其需要實戰(zhàn)型的人才。近年來，隨著國家對網絡安全的高度重視以及法律法規(guī)的不斷完善，實戰(zhàn)型網絡安全人才的需求日益增長。根據教育部《網絡安全人才實戰(zhàn)能力白皮書》數據顯示，高達92%的企業(yè)認為自己缺乏網絡安全實戰(zhàn)人才。預計到2027年，我國網絡安全人員缺口將達到327萬，而高校每年培養(yǎng)的網絡安全人才規(guī)模僅為3萬人，這導致許多行業(yè)面臨網絡安全人才缺失的困境。在這種情況下，必須打造高水平的網絡安全管理團隊，滿足當前網絡安全的發(fā)展趨勢，構建實戰(zhàn)型的網絡安全管理機制。

二、高校網絡安全實戰(zhàn)人才培養(yǎng)存在的問題

近年來，網絡安全的形勢愈加嚴峻，社會上對網絡安全人才的需求不斷增加，薪酬待遇也不斷提高。國家從2015年開始在高校增設了網絡空間安全一級學科，對傳統(tǒng)的人才培養(yǎng)計劃和課程內容進行了不同程度的改造和優(yōu)化。然而，與網絡強國戰(zhàn)略相比，目前的培養(yǎng)機制仍然存在許多問題，尤其是在實戰(zhàn)化方面與實際情況之間存在很大的差距，培養(yǎng)的人才還遠遠不能滿足實際需求。目前我國尖端網絡安全技術人才缺失嚴重，人才培養(yǎng)工作未能得到有效落實。部分培訓機構在培訓內容、課程體系和實訓環(huán)境都存在一定的缺陷，網絡安全人才培養(yǎng)的效果較差。

三、網絡安全實戰(zhàn)人才培養(yǎng)的目標

網絡安全實戰(zhàn)人才的培養(yǎng)目標旨在培養(yǎng)具備實際應用能力的網絡安全專業(yè)人員，以應對不斷增加的網絡安全威脅和風險。根據《網絡安全人才實戰(zhàn)能力白皮書》的內容，網絡安全專業(yè)人才實戰(zhàn)能力是培養(yǎng)的關鍵，特別是攻防實戰(zhàn)能力、漏洞挖掘能力、工程開發(fā)能力和成效評估能力等。其中攻防實戰(zhàn)能力是主要關注點。在真實業(yè)務場景中，網絡安全人才應該具備使用網絡空間安全技術和工具開展各種任務的能力，包括安全監(jiān)測與分析、風險評估、滲透測試事件研判、安全運維和應急響應等。這需要網絡安全專業(yè)人員具備實際安全標準的應用經驗，能夠熟練使用各種網絡安全技術和工具，為實際業(yè)務提供風險評估、安全規(guī)劃和建議。此外，網絡安全人才還應具備調查取證的能力，能夠在受到攻擊后有效地收集、處理、保存、分析和呈現計算機攻擊相關證據，以便進行攻擊溯源或案件偵查。

四、網絡安全實戰(zhàn)人才培養(yǎng)路徑

在數字時代，培養(yǎng)網絡安全實戰(zhàn)人才的路徑至關重要，以應對不斷增加的網絡安全威脅和風險。高校網絡安全實戰(zhàn)人才培養(yǎng)是滿足行業(yè)和企業(yè)需求的重要基地。首先，高校要針對目前網絡安全教學所存在的問題，以提升學生實戰(zhàn)能力為根本出發(fā)點，結合網絡安全崗位實際需求，明確人才培養(yǎng)方案，提升教學內容的針對性。其次，高校要結合行業(yè)實踐和實習，通過學生參與行業(yè)實踐，深入了解實際工作環(huán)境，鍛煉實際應用能力，有助于將理論知識轉化為實際技能。再次，高校開展與企業(yè)合作，共建實驗室，參與企業(yè)實際項目，使學生能夠接觸真實的安全挑戰(zhàn)，從而培養(yǎng)實際應用能力。同時，人才的培養(yǎng)是綜合能力素質培養(yǎng)，培養(yǎng)實戰(zhàn)人才不僅需要技術能力，還需要具備綜合素質，如溝通能力、團隊協(xié)作能力和問題解決能力。綜合素質的培養(yǎng)有助于以后在實際工作中更好地應對復雜情況。

（一）專業(yè)的教學培養(yǎng)

1. 師資能力的培養(yǎng)和引入

網絡安全人才的培養(yǎng)，需要具備實戰(zhàn)能力的師資力量，高校應選派優(yōu)秀的青年骨干教師參加企業(yè)的培訓和實戰(zhàn)練習，讓網絡安全專業(yè)的教師接觸企業(yè)實際的需求，提高教師的專業(yè)能力。同時讓網絡安全領域的知名企業(yè)骨干專家到高校開課，實現產學研模式的構建，提升網絡安全人才培養(yǎng)的效果。

2. 加入實戰(zhàn)靶場訓練環(huán)境

高校應堅持將開源的網絡安全訓練靶場融入實訓項目中，與理論教學相結合，讓學生在學習理論的同時進行實操的練習，特別是web安全常見的OWASP TOP10的漏洞，如DVWA靶場環(huán)境。DVWA（Damn Vulnerable Web Application）是一個用PHP編寫的Web應用程序，能夠幫助學生學習和練習Web應用程序安全測試的技能，通過讓學生手動測試和攻擊自己的Web應用程序來提高對Web應用程序安全的理解。該應用程序提供了10類安全漏洞，包括SQL注入、XSS攻擊、CSRF漏洞等。并且包含四級的漏洞難度級別，讓學生逐步提高應對不同安全威脅的能力。

網絡安全信息技術快速更新，安全漏洞層出不窮，對于重要的網絡安全漏洞進行復現是實操練習的重要環(huán)節(jié)。在日常的實踐訓練中可引入另一個重要的開源環(huán)境Vulhub。Vulhub是一個面向廣大用戶的開源漏洞靶場，無須了解Docker知識，只需簡單執(zhí)行兩條命令，即可編譯并運行一個完整的漏洞靶場鏡像，旨在讓漏洞復現變得更加簡單，讓學生能更加專注于漏洞原理本身。此環(huán)境也是開源的環(huán)境，一直在開源社區(qū)進行維護，包含大量的歷史經典的漏洞環(huán)境可以供學生進行復現學習。

3. 自主搭建競賽訓練資源平臺

高校應自主搭建建設網絡安全競賽訓練資源。教師通過開源的CTFd框架搭建競賽訓練平臺，為學生提供訓練環(huán)境。此平臺采用B/S模式，并提供Web在線管理模式，為學生提供更加輕松和便捷的訪問模式。此平臺提供的賽題資源由教師通過公開的資源和以前的賽題進行整理和匯總。CTFd的賽題資源分類包含Web、Pwn、Misc、Reverse、Crypto等主流方向。

（二）深化學生實習實踐

高校教育是培養(yǎng)數字安全人才的主要途徑之一。許多高校設立了數字安全相關專業(yè)，通過與企業(yè)的合作課程建設、實踐教學以及產學研項目等方式，提供全面系統(tǒng)的數字安全人才培養(yǎng)方案。校企合作涵蓋了科研共創(chuàng)、社會服務、教研項目、產業(yè)班等內容，也涵蓋了人才培養(yǎng)基礎和實踐體系建設，旨在培養(yǎng)實戰(zhàn)型、創(chuàng)新型高素質網絡安全人才。不同類型的高校在校企合作中有不同的側重，例如研究型大學注重研究生培養(yǎng)，而應用型本科高校和高職院校更注重結合教育資源和企業(yè)實踐資源，提供實踐性教育和培訓，培養(yǎng)符合市場需求的數字安全人才。

高校應深化產教融合，建設產業(yè)學院。校企合作共同培育適應和引領現代產業(yè)發(fā)展的高素質應用型人才、復合型人才和創(chuàng)新型人才。教育部和工業(yè)和信息化部在2020年發(fā)布了《產業(yè)學院建設指南（試行）》，鼓勵高校與地方政府、行業(yè)企業(yè)等多方合作，共建、共管、共享產業(yè)學院。這種合作模式能夠更好地滿足產業(yè)的需求，推動現代職業(yè)教育體系的建設。產業(yè)學院的建設通常需要高校、企業(yè)和政府多方共同參與，高校提供教學資源和師資力量，企業(yè)提供實踐平臺和行業(yè)資源，政府提供政策支持和監(jiān)管保障。

數字時代網絡安全人才培養(yǎng)的實踐和實習方式主要包括高校教育與校企合作，以及產業(yè)學院的建設。通過這些途徑，可以培養(yǎng)出適應快速變化的網絡安全領域需求的高素質人才，為數字安全產業(yè)的發(fā)展做出貢獻。

（三）與企業(yè)共建實訓室

1. 搭建開放式實踐教學體系

在實戰(zhàn)化的要求下，高校制訂實踐教學課程體系應該從實戰(zhàn)的角度出發(fā)，學校和企業(yè)之間合作共同開發(fā)課程內容。課程內容設置按照課程內容的難易程度設置四階梯式的遞進模式，按公共基礎課程、初級課程、中級課程、高級課程四種不同難度的課程體系，并提供一個系統(tǒng)、全面、完善的網絡安全實驗與實戰(zhàn)的真實環(huán)境。學生能夠根據需要隨時隨地進行學習和實踐操作。

實踐教學體系需要與人才培養(yǎng)計劃的培養(yǎng)方向一致，在專業(yè)課的設置上根據不同的培養(yǎng)方向配置不同的學習課程。以滲透測試工程師為例，相應的課程安排如下（表1）：

課程方向涵蓋網絡安全攻防入門、滲透測試能力提升、滲透測試綜合實踐三個方向，同時包含Python開發(fā)實戰(zhàn)、滲透測試技術實踐、Python安全攻防實戰(zhàn)、滲透測試實戰(zhàn)演練等實戰(zhàn)課程。

2. 校企合作引入實戰(zhàn)仿真場景

高校應堅持校企合作引入網絡安全企業(yè)的實戰(zhàn)化訓練環(huán)境，同時采用項目化的教學方式，進行仿真環(huán)境的實訓環(huán)境。浙江安防職業(yè)技術學院通過和企業(yè)合作引入了一套實訓仿真場景，此仿真場景可通過設置虛擬機模板，覆蓋主流操作系統(tǒng)、網絡設備和安全設備（DB審計、SOC、EDR、APT、WAF、USM），并支持物理設備接入，進行統(tǒng)一管理。支持通過界面化拖拽的方式進行拓撲編輯，支持節(jié)點資源的自定義配置，并支持將虛擬設備和物理設備進行連線，形成虛實結合的仿真場景。

五、結語

數字時代，網絡安全已經成為社會的熱點，隨著網絡安全形勢的日益嚴峻，網絡安全也成了影響到國家安全戰(zhàn)略的重要因素，對于網絡安全人才的需求也不斷高漲。當前，構建以實戰(zhàn)化網絡安全人才為目標的培養(yǎng)路徑和模式，提升學生的實戰(zhàn)能力，從而為國家安全輸送更多的符合實戰(zhàn)需求的專業(yè)人才，發(fā)揮網絡技術在社會發(fā)展中的重要作用，是一項具有重要意義的教學改革課題。

參考文獻：

［1］ 劉奕彬. 基于網絡安全人才培養(yǎng)體系構建的培養(yǎng)模式研究［J］. 網信軍民融合，2019（04）：59-61.

［2］ 張冬雯，張光華，張曉明，等. 新工科多方協(xié)同育人背景下的網絡安全人才培養(yǎng)模式研究［J］. 當代教育實踐與教學研究，2020（05）：92-94.

［3］ 尚蕾. 新工科背景下應用型網絡安全人才培養(yǎng)模式研究與實踐［J］. 電腦知識與技術，2019，15（13）：191-192+194.

［4］ 朱富麗，楊磊. 新工科背景下高校多元化網絡安全人才培養(yǎng)的探索［J］. 蘇鹽科技，2020，47（03）：146-148.

［5］ 李躍忠. 大數據時代背景下數據安全治理專業(yè)人才培養(yǎng)的探索與實踐［J］. 中國信息安全，2020，124（04）：46-47.