肖新光：人才培養(yǎng)應回歸教學本質

文/本刊記者 王左利 傅宇凡

《中國教育網絡》：目前的信息安全趨勢如何？有什么新的發(fā)展趨勢？

肖新光：目前網絡安全的現狀是利空與利好并存。如個人操作系統(tǒng)的安全性從攻防面的能力在不斷增強，但隱私面的威脅不斷增加。網絡帶寬、計算和存儲能力的大發(fā)展、應用的大繁榮，既帶來新的安全威脅，也帶來了安全方法的變革和安全分析能力的傾向。而智能家居、可穿戴硬件等外延環(huán)節(jié)則又帶來新的安全挑戰(zhàn)。總之，信息技術發(fā)展到哪里，信息威脅就到哪里。但安全的基本規(guī)律依然是一脈相承的。

Gartner認為，新型技術的發(fā)展是曲線式的，包括技術觸發(fā)器、預期膨脹高峰期、幻滅低谷期、回升期和穩(wěn)定的生產力期。而其安全特質也是周期性的，開始不考慮安全問題而迅速發(fā)芽，而后遇到一些概念性的安全問題而被置疑，之后進入幻滅低谷期時，則往往又會被安全忽略，之后在回升中進入與威脅的長期博弈，并到達基本平衡。

肖新光安天實驗室（Antiy Labs）首席技術架構師

在過去較長一段時間，多數入侵攻擊事件是由于攻擊者“追名”“逐利”引發(fā)的，但逐利是主要的。但今天的攻擊，呈現出兩個鮮明的層次。更難以應對的是，國家和政經集團發(fā)起的APT攻擊，而更普遍的，依然是以圖利為目的的攻擊，但攻擊面之廣，是過去難以想象的。

《中國教育網絡》：從企業(yè)的角度來看，您認為目前國內信息安全人才培養(yǎng)狀況如何？不足之處是什么？

肖新光：整體上看，美國高校畢業(yè)生的整體能力是高于我們的，比如反映在一些安全公司招聘上，其初級崗位的能力要求都比國內嚴格與綜合。

目前高校在網絡安全人才培養(yǎng)方面的不足突出體現在兩個方面，第一，興趣培養(yǎng)不足；第二，能力培養(yǎng)不足。

信息安全人才培養(yǎng)面臨的問題可以劃分成三類，第一是根本無解的，第二是可以中長期解決的；第三是，可以短期看到效果的。比如對課程和教材進行小幅度的調整，我認為就能快速看到效果。在類似C/C++、操作系統(tǒng)、數據結構等教材選擇上，我們希望能給高校一些建議。

從未來看，增加批判性思維、逆向思維的課程，對信息安全專業(yè)是必要的。整體上來看，國內的教育導向以小孩要聽話、大人要尊重權威為主，獨立思考能力的培養(yǎng)不夠，但網絡安全職業(yè)素養(yǎng)本身就要對這種服從式思維方式提出挑戰(zhàn)。學校應當提供一種環(huán)境，讓學生充分解放思想，善于發(fā)現問題，能夠尋找

素材，充分推理，提出自己的創(chuàng)見。目前來看，這方面的訓練十分不夠。

關于目前國內大學在信息安全方面的課程設計，我個人感覺：第一，過于傳統(tǒng)、死板；第二，對安全總體的、宏觀的認知沒有建立起來。比如過分夸大了一些單因素（比如密碼學）的重要性；第三，在興趣與技能的培養(yǎng)上，尚有不足，對于安全這樣特殊的課程來說，興趣極其重要。

我想，我們需要做的一個功課是，對比中國大學和美國大學計算機和安全專業(yè)的課程表，先從課程設置、教材選用等方面進行分析。同時對入學的學生就要開始網絡安全興趣的引導，提出創(chuàng)新、獨立思考的要求提供一些資源和實驗環(huán)境。

《中國教育網絡》：要想有好的人才培養(yǎng)體制，您認為學校、學習者本人以及企業(yè)分別要扮演什么角色或者說要有什么樣的聯(lián)動？

肖新光：從企業(yè)的角度看，潘柱廷博士等業(yè)界同仁發(fā)起的安全企業(yè)高校講師團已經開始行動了，我也是其中一員，協(xié)助高校進行專業(yè)課程和教材的設置分析的活動已經舉辦了三次。

未來將開展的重要活動是安全企業(yè)與高校新生和畢業(yè)生的互動，向學生介紹產業(yè)新趨勢，分享最新的全球企業(yè)界工程成果以及技術動態(tài)。通過新生對話，共同思考學生如何成長；而在課程設計和畢業(yè)設計上，也可以提供更多的環(huán)境、指導和交流。實踐表明，那些與企業(yè)互動更多的學校，學生成長得更快。

綜合上面這些實踐，企業(yè)與高校之間的對接，可以從三個層面進行，第一，企業(yè)在高校的課程、教材設置方面的互動和參與；第二，企業(yè)直接提供工程性較強的一些精品視頻課程和配套的大實驗，企業(yè)工程師可以對實驗過程進場指導；第三，實驗與實習上，企業(yè)可以為高校提供研究的基本條件和資源，為高年級的學生提供實習環(huán)境。

《中國教育網絡》：您對高校信息安全人才培養(yǎng)整體上有什么建議？

肖新光：去年在計算機大會組織的桌布沙龍上，爆發(fā)了高校代表和企業(yè)代表關于人才培養(yǎng)的大辯論。回頭來看，校企雙方都應該多些耐心，教育注定是一個漸進改善的過程。

教育方面我覺得有兩個方面要改進，第一，是正本，要引導學生的認知、學習方法，要培養(yǎng)對專業(yè)的興趣，要培養(yǎng)思辨能力；第二，是強身，增加有效壓力、提升強度。高校應以教學為本，要向教學回歸。國內高校，做科研的比拼論文，做工程的比拼經費，是一個誤區(qū)。而高校科研也要考慮高校的角色和特點，目前國內一些高校的科研所研發(fā)的技術，相當于工程界本世紀初的水平，有的甚至更落后，完全是重新發(fā)明輪子。我們認為高校、科研院所應該站在企業(yè)工程經驗的基礎上，更具前瞻性和探索性，重復做一些工程界早已完成的技術實現是沒意義的。而且安全本來就是以攻防和實踐為主導的技術，國際上，真正頂級的安全學術會議論文都是以創(chuàng)新性、新銳度為標準，我們還在拼命地圍繞所謂算法兜圈子。

我們也能感到,目前高校教師、特別是青年教師，面臨很多困難，這些困難影響到他們對教學工作的投入。如何使高校的科研教學接到地氣，我曾建議過企業(yè)不僅可以為學生提供實習基地，也可以為青年教師提供類似的機會。同時企業(yè)需要把自己的一些工程師培養(yǎng)的經驗、實驗設計拿出來，也把一些工程模塊提供給高校，讓高校的老師同學可以在這個基礎上做一些有前瞻性的選題。

《中國教育網絡》：安全公司在招聘的時候看重哪些技能呢？

肖新光：安全這個行業(yè)我覺得首先看重的不是技能，而是從業(yè)者的正直和熱愛。最近兩年，我發(fā)現對網絡安全有興趣的學生在變少，雖然學生總數在變大，但是整體來看，有志于安全技術的學生比例在變小。這是我根據最近兩年的招聘面試所得出來的印象。

在安天，我們主要還是看重個人品質與對網絡安全的興趣，這種興趣不是泛泛的，不是簡單覺得好玩，而是你愿不愿意去下功夫。其他的都是可以再培養(yǎng)的。

不同企業(yè)不同需求，有些公司還是希望招聘成熟的員工，但這中間具有兩面性，成熟的員工必然也帶有自身成型的特質，有可能這個成型的特質還是個誤區(qū)，比如一些技術的理念是不正確的，但卻根深蒂固。安天比較側重于自己培養(yǎng)人才。