信息网络安全事件总以一种出其不意的节奏冲击着世界。2013 年的斯诺登事件让人震惊，也让人清醒：伴随信息技术的发展，安全与隐私一去不返。可也回不去了，只能往前走。谈及斯诺登事件，清华大学教授李星分析认为：斯诺登事件暴露出的另外一个问题是，培养人才尤其是跨学科的人才成为一件极为紧迫的事。

　　随之而来的是今年4 月份爆出的心脏流血漏洞，与以往的漏洞爆出不一样的是，这次突发事件触发了人们的深层次思考。漏洞出现在人们认为很“安全”的系统上，就像跟世界开了一个玩笑，人们充满疑问：这个漏洞是系统设计和开发的失误吗？如果是，它太低级了，专业的安全系统开发团队不应该出现这样的问题；如果不是，它太高明了，开放源代码都能隐藏着这样的后门。但正如相关人士所说的那样：人们认为开源更安全是因为所有技术人员都可以帮助发现漏洞，但事实上，有人可以帮和真的有人帮是完全不同的两件事。

　　斯诺登事件以及此次心脏流血漏洞，最终的归宿都指向网络安全的人才领域。在一个生产、生活高度网络化的今天，拥有一批专业网络安全队伍的紧迫性无需多言。

　　那么，互联网信息安全人才供给目前是什么状况？中国的信息安全专业人才培养情况又是如何？

　　激烈争论的背后

　　即便是在全球人才最富裕的美国，IT 安全人员仍然是缺乏的。数据表明，在美国，尽管信息安全专业人士的平均年薪较其他IT 职业高出1.5 万美元，但招聘平均有效期却比一般IT 职业多出9 天。诸如金融、保险和医疗行业是全美对IT 安全职业需求最旺盛的领域。

　　考虑到美国几乎聚集了全球的人才，包括中国信息安全专业一些非常优秀的毕业生都选择了在美国发展，尽管如此其安全人才仍然缺乏，情况在中国就更加不乐观。相关报道表明，目前我国信息安全人才的市场缺口大致为50 万人，社会各行业目前需求量大约每年增加1.2 万人左右。需求较大的行业为金融、证券、交通、能源、海关、税务、工业、科技等重点行业。

　　尽管信息安全专业已经存在10 多年历史了，目前大概有100 多所高校开设了信息安全专业，但在信息安全人才培养领域，世界各国并没有一套系统权威的教育体系。作为一门重要的课程，我国相关人员也一直在呼吁，能将信息安全变成一级学科，在此基础上细分领域。

　　企业界与高校在信息安全人才培养方式上有截然不同的认识。2013 年，在计算机大会组织的桌布沙龙上，来自行业专家以及高校教授就此问题展开讨论。开始的友好气氛开始很快演变为一场激烈的争论。来自产业界的尖锐批评认为，高校人才培养方式不合理，课程设置不科学，导致培养出的毕业生与公司所需人才之间相去甚远，企业几乎需要从头培育。

　　但是，作为被指责的一方，高校教师对高校中的人才培养如何看？

　　解放军理工大学教授陈鸣针对目前高校在此方面的人才培养方式评价说：“信息安全专业存在着重课程设置，轻教学内容，重概念方法、轻动手实践等问题。”并非只有陈鸣认识到了这一现实，实际上，许多高校教师都对人才培养中的一些不合理做法有清醒认识。

　　但是既有的现实是，一方面，各高校普遍重视与追逐科研，以发表论文的考核机制对教师进行考核，教师长期沉浸于一种论文与科研的文化中，思维很难突破。安全领域人士徐震接触过许多安全专业的毕业生，他曾尖锐地指出，“现在的培养机制是老师以写Paper 为主，决定所带的硕士、博士都是一种风格，到社会上都需要公司和学生自己很大程度的适应。”对于身处其中的教师来说，这似乎上升到了一个哲学问题：选择当下还是选择未来？

　　此外，与其他学科完全不同的是，信息安全技术和态势变化极快。清华大学计算机系段海新教授说，有一位老师曾经跟他说，要上好课，只要找对一本好教材就可以了。但在信息安全领域，这几乎是天方夜谈，IT 技术变幻莫测，安全问题每时每刻都在改变，道高一尺魔高一丈，现在的好教材没多久之后就会过时。也因为此，高校的信息安全专业面临各种挑战，要系统地上好这门课，本身就是一大挑战。

　　各种原因和做法汇聚在一起的结果是：高校在信息安全领域的人才培养与市场的实际需求相去甚远。那么，如何改变这种状况？大而化之地说，对于目前无解的问题只有先抛开，但对于有解的问题要全身心投入。

　　国外的人才培养

　　尽管美国的安全人才缺口也不少，但由于其课程体系的完整性以及对学生能力的充分培养，被普遍视为一种成功典范。

　　蒋旭宪现在在国内的一家知名安全公司任资深安全研究员，在此之前他在美国北卡罗来纳州计算机系教授过多年的计算机安全课程。

　　他很肯定地认为，国内高校在信息网络安全方面的人才培养力度与美国相差较大。他介绍说，在全球来看，信息网络安全岗位是一个非常核心、重要的岗位。在国外，一家安全企业中的80% 技术人员来自高校，他们经过专业和系统的训练，拥有很强的安全意识和动手能力。

　　但在国内的安全企业中，他发现，来自高校信息安全专业的工程师所占比例明显偏低。更多员工来自民间的摸爬滚打。尽管网络信息一直有“高手在民间”的说法，但蒋旭宪认为，信息安全行业要想不断培养出一大批优秀的网络安全人才，高等教育是必不缺少的，也是极为直接有效的方式。如果高校能够改变课程设置，重新依据信息安全信息安全自身的特点，结合市场化的需求全方位培养人才，一定会培养出行业的主力军。

　　那么美国的信息安全专业注重什么？蒋旭宪介绍说，首先，美国的信息安全教育很注重课程与实际场景的结合，注重对学生的兴趣和动手能力的培养，想法设法地与案例结合促进学生的兴趣。他自己本身上的课程是《计算机安全介绍》，上课的时候会把很多日常生活中遇到的问题拿出来讲。在美国大学的信息安全专业里，对安全意识的培养是不遗余力的，这似乎听起来微不足道，但实质上却非常重要，只有在日常教学中一点一点地培养安全意识，才会向一个百密不疏的稳健系统更进一步。

　　其次，在授课的过程中特别注重加强学生的思维训练，尤其是逆向思维训练。网络安全是一种智慧的对抗，有攻有防，讲究的是知己知彼。知道如何攻才能想到如何防。并且攻是一个点，防是一个面。也就是说，攻击讲的是深度，防守讲的是广度。

　　第三，与产业紧密耦合。在美国大学，本科生基本上是以基础课程为主，但到硕士研究生阶段，极提倡独立思考和以及解决问题的能力，注重把一个问题深入挖掘。在博士生阶段，主要专注科研。做科研强调的是发现和解决实际生活中来的问题。比如，他的学生中有的选择的方向是针对浏览器的安全进行研究，他就会努力地送该学生进Google 浏览器小组做实习生，参与到分析和改善谷歌浏览器的安全系统中；有对虚拟机安全技术感兴趣的，就会跟行业里的领头羊VMware 和Microsoft 的HyperV 团队建立合作； 有对手机安全感兴趣的，争取去Google 或Samsung 的相应团队。其实，他对博士生有一个明确的要求：必须有一个暑假待在对口的公司实习。这样不仅有助于增进学生对行业的具体了解，确保科研的内容不跟实际问题脱节，同时也有助于构建学生自己的社交网络，为以后的找工作做好准备。总之，讲的是“从实际中来，到实际中去。”

　　另外，美国的学术界大环境跟工业界没有脱节，从业人员愿意在学校里分享其对安全的理解以及最新的技术，这样学生也能够更好将书本上学的内容真正用起来。

　　更值得一提的是， 美国从国家层面上帮助企业与高校进行联动， 美国网络空间安全教育计划NICE(National Initiative for Cybersecurity Education）中，其中一项重要任务是，帮助各单位雇佣和招聘网络空间安全专业人员，分析各职业领域的雇佣和招聘策略。帮助各单位雇佣和招聘网络空间安全专业人员。

　　“我们现在需要做的一个功课是，对比中国大学和美国大学计算机和安全专业的课程表，先从课程设置、教材选用等方面进行分析。同时对新入学的学生就要开始网络安全兴趣的引导，提出创新、独立思考的要求提供一些资源和实验环境。”安天实验室（Antiy Labs）首席技术架构师肖新光说。

　　信息安全教育的特殊性

　　那么，信息安全行业与其他行业相比，在人才培养方面的特殊性体现在哪里？只有对这个问题进行深入透彻的理解，才会更进一步想明白信息安全的课程设置和人才培养模式。

　　尽管许多专家在信息安全行业待了多年，但都认为这是一个非常值得思考的问题。

　　综合来看，信息安全的特殊性如下：

　　首先，与其他学科相比，思维方式不一样，极具逆向思维。逆向不仅仅是技能更重要的是逆向的思维。安全人才最基础的，也是最核心的能力就是逆向思维能力，再加上各种知识和技能来验证和推演各种破天荒的奇异想法。但逆向思维不是能短期无序培养出来的，需要长期系统性的训练。因此许多公司对入职安全研究团队的考察两点，一为逆向分析能力，二为编程能力。

　　其次，极其强调动手能力。信息安全本身是人和人之间的对抗，强调实战能力的领域。因此，信息安全专业在培养人才时必须要注重实践教学，如果仅仅关注于理论知识地教授，那么学生在毕业后很难将所学的知识用于解决工作中的实际问题，还需要花费大量的时间与精力继续学习。

　　还有一点，但却是很重要的一点是：兴趣。兴趣引导了许多信息安全领域人才的产生，而兴趣的保持和开发也将跟随安全人才培养的全过程。“我甚至认为，应该直接招那些对信息安全充满兴趣和有天分的学生，就如同美术教育一样。”一位网络安全行业的业内人士说。

　　围绕着信息安全行业的特殊性，包括高校和企业界在内的人才的生产者以及人才的接收者都属于这个生态链，只是位置不同而已。但只有企业与高校的紧密合作，搭建起一条人才培养的良性循环之路，才能让信息安全人才培养有着更美好的未来。尽管在去年的计算机大会沙龙上发表了激烈的辩论，肖新光回头来看，理性地认为：“校企双方都应该都多些耐心，教育注定是一个渐进改善的过程。”