信息安全專業應用型人才培養模式論文

摘要：以大理大學信息安全專業為案例，對地方院校信息安全專業應用型人才培養模式進行思考和探索。從專業培養目標定位，課程體系設計、師資隊伍建設、校企合作及學生創新創業實踐活動等多個方面探索信息安全專業應用型人才培養模式。

關鍵詞：信息安全；應用型人才培養；課程體系；校企合作

一、概述

隨着網絡技術發展和應用，信息安全對國家、社會、企業和個人的重要性越來越凸顯。信息安全產業也開始快速成長，智研諮詢集團研究報告[1]指出，2016～2020年中國信息安全產品市場規模將保持18.00%以上的增長率，2020年市場規模預計達到761.95億元。就業市場對信息安全專業人才需求急劇增長，信息安全專業人才缺口繼續增大。根據《第十一屆網絡空間安全學科專業建設與人才培養研討會》得出的結論，“我國網絡空間安全人才年培養規模在3萬人左右，已培養的信息安全專業人才總量不足10萬人，離當前70萬的市場需求差距巨大[2]。與之對應，2014年以來，國內開設信息安全專業的高校數量迅速增長。2013年至2017年全國開設和新增信息安全專業的院校數據如圖1所示。統計數據顯示，2014年之前開設信息安全專業的院校多為985、211重點院校或者警察軍事院校；2014年開始，普通一本、二本、三本院校相繼開設該專業。985、211重點院校及警察軍事院校信息安全專業經過多年的摸索，積累了豐富的辦學經驗，建立了成熟的人才培養體系。然而，985、211重點院校具有師資力量雄厚，生源基礎紮實、學習能力強、學習自主性高等特點，多數以培養信息安全領域高端人才為目標，重視基礎，強化理論，更側重於培養創新型人才。而警察軍事院校以特殊的行業需求為目標，其定向就業崗位所需技能明確，其人才培養具有明顯的針對性和傾向性，側重於培養專門人才。因此，這些院校成功的辦學經驗和人才培養模式不能直接應用於師資力量和生源基礎相對薄弱的普通本科院校。普通院校信息安全專業就業定位面廣，就業崗位所需知識和技能相對較雜，師資力量相對薄弱，生源的知識基礎、學習能力、學習自主性也具有多樣性。大理大學是位於非省會城市的地方院校，信息安全專業屬二本招生。本文結合我校多年信息安全人才培養的經驗，對信息安全專業應用型人才培養模式進行積極思考和探索。

二、信息安全專業內涵

信息安全專業需要為國家、社會、企業和個人提供安全保障服務人才。應用型人才培養模式下，信息安全專業的培養目標是要求畢業生具有較強的安全管理與法律意識，具備紮實的數學、計算機和通信網絡基礎，掌握基本的安全知識及原理，具有較強的系統集成、開發及網絡與信息系統安全運維管理能力；能提供電子對抗、網絡及信息系統安全加固，入侵檢測、防禦與保護，系統恢復、電子追蹤及數字取證等服務。信息安全涉及知識面大、就業範圍廣，學生不可能掌握全部的信息安全相關知識和技能[3，4]。因此，不同院校在建設該專業時都有不同的傾向性，有些院校側重於通信、有些院校側重於密碼學、有些院校側重於軟件與網絡。各院校應根據自己的學科優勢、專業定位及辦學條件，形成自己的優勢和特色。

三、信息安全專業應用型人才培養模式

（一）專業定位

信息安全專業人才培養方案的設計應首先明確專業定位。信息安全學科是由數學、計算機、通信等多門學科交叉而成綜合性學科。不同院校的信息安全專業具有不同的優勢與特色，對應用型人才的定義也不盡相同[5，6]。根據信息安全學科發展趨勢和人才培養實踐經驗，可以將信息安全應用型人才分為創新性應用型人才和複合性應用型人才。創新性應用型人才能夠綜合地運用信息安全理論基礎知識，創造性、設計性地解決工作實踐中的問題。其對實踐問題的解決思路和所使用的工具往往是原創性的，其應用能力取決於學生對信息安全理論知識體系掌握程度、實際動手能力培養效果和創造性思維訓練情況。複合性應用型人才則更注重的是靈活、熟練地利用現有技術或既有工具解決問題，其應用能力主要取決於其對信息安全基礎知識的理解和對工具使用的熟練程度。從目前各高校的培養方案和課程體系看，985、211等重點院校多數以培養創新性應用型人才為主，地方院校及高職院校則側重於培養複合性應用型人才。結合實際情況，我校信息安全專業定位是培養複合性應用型人才。

（二）培養目標

人才培養目標決定培養模式。專業培養目標需要結合就業定位、辦學條件、生源實際情況和專業特色來設計。我校信息安全專業主要為西南地區提供信息安全領域應用型人才。我校數學與計算機學院設有計算機科學與技術專業、信息與計算科學專業，同時開設了華為網絡學院，在計算機軟件和網絡方面具有較好學科優勢和辦學條件。生源的知識基礎、學習能力和學習自主性呈現多樣化。因此，我校信息安全專業培養目標是：培養具有紮實的數學基礎、計算機軟件基礎、計算機網絡基礎，以及較強的網絡系統集成與防護能力、軟件開發與漏洞檢測能力、信息系統安全測評與系統安全加固能力，能從事網絡與信息系統安全運維、系統安全測評、軟件開發、漏洞檢測等崗位工作的應用型人才。

（三）課題體系設計

國內的信息安全專業起源於密碼學，是基於密碼學發展起來的，因此，側重密碼學的信息安全專業課程體系已經比較完備，但密碼學僅僅只是信息安全的一個分支。作為信息安全重要分支的計算機系統安全及網絡安全課程體系的建設相對滯後，尚未形成一個完備的體系[7]。側重於密碼學的信息安全專業更側重於培養學術性人才，而側重於通信、軟件及網絡的院校是應用型人才培養的主要基地。經過多年的發展，各院校信息安全專業課程體系建設均取得了較好的成果，各具特色。但多數院校信息安全專業的課程體系不具備完整性和系統性，課程內容缺乏先進性[8]。表面上看，很多院校信息安全專業均開設了很多安全相關的專業課程，幾乎每個領域都所有涉及，學生學習任務繁重而學習效果不佳[9]。要提高學生的應用能力，必須堅持“實用、瘦身”的原則，重視課題體系的系統性和完整性，不片面地追求課程門數，而應儘量將課程形成一個完整的體系，提升學生應用能力，減輕學生的學習負擔，激發學生的學習興趣。我校信息安全專業培養定位是複合性寬口徑的應用型人才，以軟件和網絡為基礎，結合信息安全相關理論和技術，培養軟件安全測評、安全軟件設計與開發、軟件漏洞發現與修補、網絡及信息系統加固與防護等方面的應用型人才。對於課程體系的設計，我們緊密結合我校學科優勢和生源的實際情況，堅持“實用、瘦身”原則。我校信息安全專業課程體系由四大課程基礎支撐着兩個專業方向，如圖2所示。密碼學基礎主要包括信息安全數學基礎、應用密碼學兩門課程。信息安全數學基礎課程知識是密碼學算法設計的.基礎，對理解和設計密碼算法具有重要意義。密碼學是信息安全的起源，也是信息安全學科的重要基礎。信息安全技術諸多安全機制的實現都依賴於密碼學相關技術，如機密性、完整性、可認證性和防抵賴等。對於普通二本院校的學生來説，密碼學課程應側重於密碼系統的工作原理及具體應用。密碼算法的設計對二本院校的大多數學生都是困難的。結合密碼學課程的特點及我校信息安全專業學生實際情況，密碼學基礎要求學生掌握密碼學基礎知識及主流密碼體制的設計原理，但更側重於要求學生掌握密碼系統的具體應用，而不要求學生設計密碼算法。網絡基礎主要包括計算機網絡、路由與交換技術兩門課程。網絡基礎模塊是通信網絡安全的基礎，是網絡服務可用性、可靠性、網絡攻擊追蹤和溯源等技術的知識基礎。隨着網絡技術的廣泛應用，通信網絡安全已經成為信息安全專業知識體系的重要內容。網絡基礎模塊中計算機網絡要求學生掌握網絡系統工作原理與基礎知識；路由與交換技術以華為網絡學院HCNA和HCNP內容為基礎，對當前TCP/IP網絡體系下主流網絡協議的工作原理和實現細節進行深入講解，培養畢業生網絡系統的設計、配置、維護與管理相關的應用能力。網絡基礎模塊為網絡系統安全防護與加固、計算機取證和攻擊溯源提供知識基礎。操作系統基礎主要包括計算機系統配置維護、操作系統和網絡應用服務器配置三門課程。操作系統是計算機學科重要的基礎課程之一。操作系統是計算機系統軟硬件資源的管理者，理解和掌握操作系統相關知識對加強計算機科學的理解具有基礎意義。操作系統安全是計算機信息系統安全的基礎，諸多信息安全問題的引發均是因為操作系統漏洞造成的，如勒索病毒的爆發等。*客入侵往往也是利用操作系統的漏洞或後門。因此，理解和掌握操作系統工作原理對信息安全學科具有基礎性意義。操作系統基礎模塊覆蓋面從計算機軟硬件安裝維護到操作系統工作原理，再到主流網絡應用服務器的配置與部署。操作系統模塊為軟件安全技術和網絡系統防護與加固提供知識基礎。程序設計基礎包括彙編語言、C++程序設計、Java程序設計、數據結構與算法和數據庫原理五門課程，主要培養學生計算思維和程序設計能力，是信息安全專業畢業生從事漏洞挖掘、後門檢測、設計和開發網絡安全測評、系統防護、追蹤溯源、電子取證等相關工具的基礎，也是軟件安全的重要基礎。網絡安全方向包括網絡安全技術、網絡系統集成與安全加固、計算機取證、網絡攻防、入侵檢測與防火牆技術和安全協議分析六門課程。網絡安全技術主要講授網絡安全技術相關的基礎知識，對網絡安全涉及的技術進行全面介紹。網絡系統集成與加固重點講授通信網絡設計、集成與管理以及網絡系統防護相關技術。計算機取證主要介紹電子取證相關知識，為網絡犯罪行為的追蹤、溯源和取證提供相關技術。網絡攻防課程主要包括當前主流的網絡攻擊方法和手段，為網絡系統防禦提供知識基礎。入侵檢測與防火牆技術是傳統的網絡安全內容，為用户的網絡行為進行管控與監測。安全協議分析主要以TCP/IP網絡體系為基礎，講授各層所提供的安全服務和安全機制，是網絡系統防護的知識基礎。該方向主要培養畢業生從事網絡系統集成與安全加固、網絡系統安全管理與測評、網絡攻防等就業崗位所需的應用能力。軟件安全方向包括編譯原理、Android程序設計、網絡程序設計、軟件安全與漏洞、Web安全技術、軟件安全管理與測評六門課程。編譯原理是軟件逆向工程的基礎，是軟件安全的重要內容之一。Android程序設計主要講授基於Android的移動app設計、開發及app安全檢測相關技術，是移動客户端軟件安全的基礎。網絡程序設計主要講授基於TCP/IP的網絡編程技術，是軟件安全與漏洞的基礎。軟件安全與漏洞主要講授軟件安全的基本知識及軟件漏洞挖掘技術。Web安全技術主要講授Web環境應用安全防護技術，防止網頁篡改、SQL注入等攻擊，保證網站內容的完整性和數據安全。軟件安全測評與管理主要介紹軟件安全測評標準和相關技術，培養學生安全評估與管理能力。該方向主要培養軟件安全測試、軟件開發、漏洞檢測、信息系統安全管理與測評、系統安全加固等就業崗位所需的應用能力。

（四）師資隊伍建設

應用型人才培養必須注重教師工程實踐能力的提升，要培養學生應用能力，教師首先需要具備工程實踐能力。研究表明，各院校信息安全專業師資隊伍普遍存在理論知識和科研能力強，但工程實踐能力和經驗不足的問題[10]。另一方面，數據統計顯示[11]，當前各院校信息安全教師隊伍中本科從信息安全專業畢業的人數很少，佔比最多的是計算機專業，其次是數學專業。這既是信息安全專業師資隊伍的優勢，但也是其不足。多數信息安全專業教師在本科階段沒有接受過系統的信息安全專業知識體系教育和專業技能訓練，而在碩士和博士階段往往重理論科研而輕實踐。因此，信息安全專業師資隊伍建設應加強培養具有工程實踐能力的“雙師型”教師，進一步提升教師的工程實踐能力和豐富其實踐經驗，定期安排教師到信息安全相關企業或培訓機構進行學習和培訓，鼓勵教師到企業兼職從事技術性崗位工作，將其所掌握的理論和科研成果應用於工作實踐，將工作實踐中的專業技能和實踐經驗反饋回課堂教學。“雙師型”教師培養主要以校企合作為主。傳統的高等院校辦學模式是以專業教師為授課主體，開展課堂教學和課外實踐項目相結合的方式。近年來，隨着校企合作推進，越來越多高等院校專業開始引入企業力量培養人才。積極推進校企合作是應用型人才培養的必然趨勢。信息安全專業技術更新快、知識面廣、工作實踐中出現的問題多樣化，全靠專業教師來跟蹤、掌握、傳授這些新技術、新知識和實踐經驗是不可能的。專業教師具有理論水平高、科研能力強的優勢，但其工程實踐經驗不足。企業具有工程實踐經驗豐富，對信息安全新技術、新問題反應快等優勢，但其理論水平與科研能力較弱。積極開展校企合作可以實現學校資源和企業資源的優勢互補，對培養新工科應用型人才具有現實意義。

目前開展的主要的校企合作模式包括：

1.專業教師外派培訓由學校邀請企業工程師針對若干專業課程對專業教師進行短期集中培訓，或派遣專業教師定期到合作企業進行項目合作或短期培訓。專任教師掌握相關培訓內容後，將其結合到課堂教學中。

2.企業工程師引入課堂由學校邀請企業工程師到學校對學生進行短期實訓，實訓多以項目的方式開展，實訓時間一般是1-2周。通過實訓項目，企業工程師將當前主流的技術和工程實踐項目經驗傳授給學生。

3.校內外教師合作校內外教師合作包括：實習基地共建和科研合作兩種方式。實習基地共建，即由學校和企業共建實習實訓基地，通過校企合作的方式，由學校和企業共同在校內或校外建設實習實訓基地，學生畢業設計和畢業實習可以在基地內開展。科研合作，即由企業提出工作實踐中的難題並給予一定的資金支持，由學校教師帶領學生共同完成，將難題的解決方案提供給企業。積極開展校企合作是應用型人才培養的有效手段，我校信息安全專業已通過專業教師外派培訓、企業工程師引入課堂和校內外教師合作等多種方式培養了多位網絡和軟件開發方面“雙師型”教師。下一步將繼續派遣教師到國內信息安全知名企業（如360、啟明星辰、藍盾科技等）學習和培訓，進一步培養網絡安全與軟件安全方面的“雙師型”教師。

（五）創新創業實踐

創新創業實踐活動是培養學生知識運用能力有效途徑之一。我校信息安全專業創新創業實踐課程要求學生在四年中參與教師科研課題、大學生科研課題或信息安全領域相關主題競賽至少一次，方能獲得該課程學分。通過創新創業實踐活動促進應用型人才的培養。

四、結束語

信息安全專業長期以來存在人才培養與市場需求相脱節的問題。市場需求信息安全人才，但學校培養的信息安全人才又不能很好滿足市場需求的情況是常態。信息安全專業的畢業生也往往更多地選擇從事軟件開發、網絡運維等工作崗位，不能很好的將其所學安全知識應用於工作實踐。隨着信息安全市場規模擴大，這一矛盾更加突出。如何培養信息安全應用型人才已經是普遍關注的問題。本文結合我校的實際情況，從專業定位、課程體系設計、師資隊伍建設和校企