前不久,国内两大漏洞报告平台关闭的消息引起轩然大波,也把网络安全问题再次拉进了人们的视野。
漏洞报告平台的“漏洞”
漏洞报告平台(又称“白帽子”)的功能是帮助客户“挖”网络系统的“漏洞”,从而达到预警客户使其及时修补,以免遭受黑客攻击造成损失。而就在7月下旬,国内两大知名漏洞报告平台“漏洞盒子”和“乌云”相继出现了无法访问情况。
由此,网络安全人士对网络安全维护者的行为规范甚至是整个网络生态系统的“游戏规则”进行了一场讨论。上海交通大学信息安全工程学院院长、中国互联网安全大会网络空间安全人才培养分论坛主席李建华为中国青年报中青在线记者举了一个简单的例子:“如果有人闯入你家拿了你的财产,他是不是有罪?”
因为当下“信息是资源,数据是资产”,李建华说。的确,现在网络已经成为许多人赖以生存的生态系统。截至2014年11月,全球互联网用户数量突破30亿大关,以互联网为基础的信息系统几乎构成了国家和社会的“中枢神经系统”。
网络生态系统的安全关乎着国防、公共服务管理体系和每个人的日常生活能否正常运转。那么,这个新兴的生态系统需要什么样的人来保护?
70%的网络安全事件都是“人的问题”
目前,我国培养信息安全类专业本科毕业生约每年1万人,与我国高速发展的互联网经济以及信息安全人才实际需求之间存在较大差距。有行业人士预测,近5年,我国信息安全行业每年还需要增加约两万人。
继2001年教育部批准设立信息安全专业后,为实施国家安全战略,加快网络空间安全高层次人才培养,2015年6月,国务院学位委员会、教育部决定在“工学”门类下增设“网络空间安全”一级学科。李建华所在的上海交通大学,是全国第一批被批准建设一级学科的高校之一,对于网络空间安全专业人才的培养问题,他有自己的见解。
李建华特别强调,大家必须先把网络空间安全的“内涵”搞清楚。他认为,人们对网络空间安全的理解需要突破“技术域”,走进“认知域”。通俗来讲,即不仅要对互联网物理设备的安全性、传递信息的机密性有所要求,还要对网络空间信息的内容本身的安全性有界定,以及对网络空间的社会域特性有界定。
李建华说,网络安全问题远非“技术攻防”,业内普遍认为70%的网络安全事件都是“人的问题”。他解释说,高级的网络安全攻击通常是从技术人员本身“下手”,运用社会工程学、心理学等知识找到人在网络生态系统中的“弱点”,而后再用技术手段打开突破口。因此他认为,网络安全人才需要在社会公共管理科学知识、政治、文化等领域有扎实的通识教育基础,同时需要具备良好的道德和法律素养,而非仅仅是“技术天才”。
具体到网络安全的相关知识结构上,他鼓励对学生进行交叉学科的培养,除了要有专项技术能力,还要有社会工程学、法律、创新实践等领域的相关知识和能力。
培养“高端”网络空间安全人才
针对种种网络安全威胁和攻击,中国高校的网络空间安全教育者们一直在探索与时俱进的人才培养模式。
提到培养人才,李建华表示师资队伍建设是首先需要考虑的问题。他提倡高校将网络空间安全的师资队伍人员划归到独立院系,并且鼓励这些院系与行业和产业融合互动,形成“产学研”一体的专业教师队伍。
在培养模式方面,他认为教育部批准实施的“卓越工程师教育培养计划”为这一学科的设置提供了可以借鉴的经验,即课堂、竞赛、校企联动、国际交流相互融合的培养模式。同时,李建华尤其强调了“实践”的重要性。针对网络安全领域知识覆盖面宽、更新快的特点,他在上海交通大学提出要在网络安全专业学生培养过程中大量增加实践环节,通过创新平台的搭建和应用,培养和训练学生的创新思维,使学生形成“自主思考”、“独立分析”和“自行解决问题”的习惯。
在培养层次上,李建华认为应该以培养硕士、博士等高端网络空间安全人才为主。他表示,硕士可以进行网络空间安全问题领域基础研究和关键系统设计;博士生则可以着重解决前沿问题,甚至进行网络空间安全的顶层设计。
“网络安全空间其实是个看不见的战场。”对李建华这个坚定的网络空间捍卫者来说,“技术不是唯一的衡量标准,还需要奉献精神和其他。”
李建华是研究网络“攻防”技术和信息内容安全管理出身,因积极参与国家信息安全项目,他称自己为“红客”。他希望从事网络空间安全工作的年轻人可以意识到:“技术是中性的,但技术服务的对象是有立场的。”而这种意识的形成,需要国家、社会、高校的多方引导。