杜跃进:破解信息安全人才三难题
2014-08-21杜跃进
杜跃进 国家网络信息安全技术研究所所长
大约六七年前,杜跃进就深感国内懂得安全编程的软件开发人员欠缺,因而鼓动出版界、教育界重视安全编程能力的宣传和培养。就在不久前,杜跃进刚刚跟一些国内的安全公司以及高校的信息安全专业研讨座谈,提出以民间力量推动和建立与市场需求接轨的信息安全人才培养机制。具体想法是:安全企业和高校信息安全专业各自形成联合体,企业通过联合体向高校以及学生表达自己的人才需求、能够提供怎样的实习环境、对实习生的基本技能和实习时间要求等,而高校方通过联合体向企业方提供自己的学生情况、实习意愿等信息,双方通过紧密的沟通与合作,使高校能够更高效更精准地输送大量实习生到企业,从而促进信息安全人才动手能力的培养。
在两年前面向全国信息安全专业教育机构的一次报告中,杜跃进阐述了对于信息安全人才现状的不安:你们从哪里了解真实的网络安全现状和需求?从哪里了解最新的攻防对抗技术和技巧?从哪里了解各种相互关联的现实系统所使用的实际技术、配置策略,以及面临的实际风险?从哪里获得反映真实情况的研究实验环境和数据资源?他进而认为,高校人才培养,目前缺乏与实际的结合,而社会人才培养,缺乏生存环境。
两年后,谈到信息安全专业的人才培养,杜跃进仍然认为,目前高校所培养的毕业生确实在企业或其他用户单位中很难上手。其主要原因在于课程设置的不合理。一方面,信息安全专业是一门极其强调动手与实践能力的学科,需要良好的实验环境和动手环节。在课程设置中,实战性课程应占较大比例。另一方面,对于如此具有实战性的课程而言,实践型的教师必不可少,从而使产业动态与学科建设紧密耦合。不过让人着急的是,目前看来,高校的课程设置不符合社会上的实际要求,在实践环节普遍比较弱,此外,教课的很多老师自身也缺乏实际的动手经验和对产业的深入了解,这导致整个人才队伍的培养与产业界所需存在一定差别。
杜跃进认为,解决办法有几个。首先,课程设置要改变,尽管这一点很难,但是必须去做。信息安全行业是一种技术和趋势变化非常快的学科,课程设置中要适应这种快节奏,迅速地对新技术做出反馈。
其次,安全专业应当成为一级学科,“如同许多其他学科一样,成为一级学科,然后在其中分支出诸如漏洞发现、密码学等。”
那么,如何建立起人才培养的可持续发展道路?杜跃进认为,学校要和企业建立一对一的合作关系,企业把需求告诉高校,高校在授课的时候有的放矢,另外要把高校和企业以一种合理成系统的方式组织起来,实现人才点对点的对接。
杜跃进提出,目前国内对信息安全人才的缺口非常大。“很多优秀人才都出国了。究其原因在于,国内安全产业整体环境不成熟,包括企业以及个人对安全实际上都没有达到一种真正的重视,所以安全企业比起其他互联网企业在生存上处于弱势。”
杜跃进指出,在国外,安全公司活得很好,因为企业都很重视安全问题,一旦发生诸如数据泄漏被盗对于公司来说是致命一击,要付出高昂代价,但在国内,安全企业面临着一种比较窘迫的境况。由于关于企业网络安全的法律缺失,所以客户也不愿意过多投入。
此外,信息安全行业很多高手在民间,如何从民间寻找到人才并且将之很好地引导也是一个很重要的话题。
“信息安全人才有三个问题:发现人才,培养人才,使用人才。目前,在这几个方面做得都很不够。”
对于发现人才这个环节,目前也有不少做法。比如国外的黑帽大会,每年来自全球的黑客汇聚其中,成为安全界的盛会和人才发现之地。