地方應用型高校信息安全專業(yè)課程體系構建探索

平源 馬慧

摘? 要 分析信息安全人才培養(yǎng)面臨的挑戰(zhàn)與機遇，依托多維校企合作，基于職業(yè)崗位需求，構建模塊化課程體系，為地方應用型高校信息安全專業(yè)課程體系構建提供參考和借鑒。

關鍵詞 應用型高校;信息安全;職業(yè)崗位;課程體系;新工科;創(chuàng)新創(chuàng)業(yè)教育

中圖分類號：G642.3? ? 文獻標識碼：B

文章編號：1671-489X（2020）07-0084-04

1 引言

近年來，頻發(fā)的信息安全事件使得大眾對隱私、安全的重視程度顯著提升。同時，伴隨著云計算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等新技術的流行，其伴生的問題變得尤為突出，加劇了社會對信息安全人才的需求[1-3]。也正因為如此，地方應用型高校開始布局信息安全人才培養(yǎng)，目前全國開設信息安全或網(wǎng)絡空間安全專業(yè)的有近140所本科高校，其中地方應用型高校有22所。值得注意的是，2019年12月正式實施的“等級保護2.0”[4]，讓大量中小型企業(yè)開始重視信息安全的同時，也意味著地方應用型高校成為信息安全人才培養(yǎng)重要陣地已是大勢所趨。

人才培養(yǎng)質(zhì)量直接決定服務社會的能力。新形勢下，新經(jīng)濟的發(fā)展、新工科的提出，對信息安全人才培養(yǎng)提出新的要求[5]，加之地方應用型高校的自身特點及其差異化發(fā)展需求，信息安全人才培養(yǎng)改革勢在必行。然而，人才培養(yǎng)與市場需求的契合度，由人才培養(yǎng)定位、人才模式和課程體系直接決定。人才培養(yǎng)定位決定人才培養(yǎng)的目標，人才培養(yǎng)模式是方法，課程體系解決了“教什么”的問題，它是教育活動的核心。為此，本文針對信息安全專業(yè)人才培養(yǎng)面臨的問題，結合新工科人才培養(yǎng)需求，對地方應用型本科院校信息安全專業(yè)人才培養(yǎng)定位、課程組織及課程體系進行探索與實踐。

2 信息安全人才培養(yǎng)面臨的挑戰(zhàn)與機遇

目前，全國有95所高校設置了信息安全專業(yè)，有72所高校設置了網(wǎng)絡空間安全專業(yè)（部分高校同時開設兩個專業(yè)），其中以985、211本科院校為主，地方應用型院校正逐步增加。很明顯，不同類型院校的人才培養(yǎng)服務面向、目標定位不應相同。應用型本科院校大多為地方型本科院校，由原來?？粕径鴣?，主要為地方經(jīng)濟發(fā)展培養(yǎng)服務于生產(chǎn)一線的高水平應用型人才。與重點本科教育和普通本科教育相比，應用型本科教育所培養(yǎng)的信息安全人才更強調(diào)實踐能力、實戰(zhàn)能力的培養(yǎng);與專科教育相比，應用型本科教育應具有更寬廣的理論基礎、可供廣泛遷移的知識體系、較強的終身學習能力。

同時，信息安全涉及計算機、通信、數(shù)學、物理等學科知識，具有內(nèi)容多、多學科交叉、實踐性與實戰(zhàn)性強的特點。大多數(shù)高校出于師資、實驗條件考慮，信息安全專業(yè)課程體系和所在院系已有相關專業(yè)的課程體系差別很小，僅在幾門專業(yè)課上有所區(qū)別。例如，一部分高校的信息安全專業(yè)曾是計算機科學與技術或網(wǎng)絡工程專業(yè)的一個方向，多在方向課和部分任選課中體現(xiàn)信息安全人才培養(yǎng)需求而設置相關安全課程。當獲批為獨立的信息安全專業(yè)之后，短時間內(nèi)的課程體系幾乎沿用之前作為專業(yè)方向的課程體系，即通常是原有專業(yè)的延伸，沒有構建獨立的課程體系，如未能及時結合地方需求與既有的專業(yè)群共性支撐特點，更不利于專業(yè)特色的形成。

信息安全專業(yè)具有很強的實踐性、實戰(zhàn)新和創(chuàng)新性。當前重點高校還是信息安全人才培養(yǎng)的主力，受辦學定位與研究型師資為主的影響，部分課程偏重理論教學，與企業(yè)的需求存在一定偏差。反觀地方高校，則受師資不足影響，以轉型為主的師資隊伍帶來的是培養(yǎng)目標龐雜不明確、課程體系化不足、實戰(zhàn)型的師資與環(huán)境均有限，難以匹配中小型企業(yè)的崗位實際需求。同時，從課程層面看，實驗教學大多根據(jù)理論教學內(nèi)容設置驗證性實驗、簡單的設計性和綜合性實驗/實訓，沒有體現(xiàn)技術之間相融合解決實際問題的能力培養(yǎng)。從專業(yè)層面看，缺乏校內(nèi)外相結合、不同課程相融合、課內(nèi)實驗實訓與課外競賽團隊有機結合的實踐教學體系，難以系統(tǒng)培養(yǎng)學生的實踐能力、實戰(zhàn)能力和創(chuàng)新能力。

以新技術、新業(yè)態(tài)、新模式、新產(chǎn)業(yè)為代表的新經(jīng)濟需要培養(yǎng)工程實踐能力強、創(chuàng)新能力強、具備國際競爭力的高素質(zhì)復合型新工科人才，他們不僅能用所學知識解決現(xiàn)實問題，而且具有快速學習能力，能夠解決未來發(fā)展出現(xiàn)的問題[6]。教育部陳寶生部長在新時代全國高等學校本科教育工作會議上強調(diào)：“提升大學生學業(yè)挑戰(zhàn)度，合理增加課程難度、拓展課程深度。應用型高校也要加強一流本科教育。”[7]這給信息安全專業(yè)人才培養(yǎng)帶來新機遇，對其知識結構和能力素質(zhì)提出更高要求。探索如何加強校企合作，根據(jù)企業(yè)、行業(yè)需求，工程人才培養(yǎng)要求重塑、優(yōu)化課程體系，對推動信息安全專業(yè)人才培養(yǎng)質(zhì)量具有現(xiàn)實意義。

3 依托多維校企合作，基于職業(yè)崗位需求，構建模塊化課程體系

許昌學院為典型的地方應用型高校，其信息安全專業(yè)起源于網(wǎng)絡工程專業(yè)（網(wǎng)絡安全方向）。為了推進契合行業(yè)、企業(yè)需求的信息安全人才培養(yǎng)，專業(yè)成立了由高校專家、骨干教師和企業(yè)工程師組成的專業(yè)建設指導委員會。根據(jù)學校地方性、應用型的辦學定位和生源實際情況，結合企業(yè)、行業(yè)需求調(diào)研，就人才培養(yǎng)目標、畢業(yè)要求、課程體系等進行迭代論證，充分發(fā)揮原網(wǎng)絡安全方向師資優(yōu)勢和內(nèi)外部資源積累，圍繞實踐性、實戰(zhàn)性和一定創(chuàng)新性特征的人才培養(yǎng)目標制訂培養(yǎng)方案和構建課程體系。

基于多維校企合作，構建“加強人文修養(yǎng)、融通學科基礎、提高實踐能力、發(fā)展個性特長”的人才培養(yǎng)課程體系框架? 人才培養(yǎng)課程體系框架按階段分為通識教育、學科基礎教育、專業(yè)教育、創(chuàng)新創(chuàng)業(yè)教育與企業(yè)實習五個階段。

通識教育和學科基礎教育主要利用校內(nèi)資源完成，其間，通過到校內(nèi)外實習基地、企業(yè)進行專業(yè)認知實習，培養(yǎng)學生的工程意識、職業(yè)意識與職業(yè)素養(yǎng)。

專業(yè)教育、創(chuàng)新創(chuàng)業(yè)教育依托校內(nèi)資源的同時引入校企合作元素。依托“雙百工程”、合作企業(yè)，聘請一線工程師入校承擔專業(yè)課程教學、課程實訓與學習效果評價;借助學科專業(yè)競賽、大學生創(chuàng)新創(chuàng)業(yè)項目、產(chǎn)學合作項目，校外工程師與校內(nèi)教師結合，培養(yǎng)學生的創(chuàng)新創(chuàng)業(yè)能力與初步工程能力。

專業(yè)教育包含拓展課程，拓展課程根據(jù)支撐職業(yè)崗位需求，設置對應課程模塊，學生可根據(jù)自身興趣選修相應課程模塊，適應不同類型信息安全人才培養(yǎng)需求，實現(xiàn)學生個性化培養(yǎng)。同時，通過專業(yè)拓展課程，實現(xiàn)專業(yè)交叉融合。

第五個階段依托校內(nèi)外實習基地進入企業(yè)實習，實現(xiàn)預就業(yè)。為了更好地實現(xiàn)校內(nèi)教育與預就業(yè)之間的良好過渡與有效對接，校內(nèi)教育的第三年，通過合作企業(yè)工程師參與專業(yè)課程實訓、專業(yè)綜合實訓，完成“產(chǎn)學對接教育”。對于職業(yè)崗位知識技能掌握不好的學生，通過校內(nèi)外實訓基地進行為期3～5個月的針對某個崗位的實訓，然后進入企業(yè)實現(xiàn)預就業(yè)。

為了使學生早接觸專業(yè)，激發(fā)學習興趣、調(diào)動積極性，遵循知識模塊層次化策略，推動全覆蓋知識分層加部分專業(yè)課程前移，特別是實踐性強的課程前移至第一學年完成。

分析職業(yè)崗位需求，確定人才培養(yǎng)目標和核心能力? 信息安全人才知識技能分類在國際上沒有唯一標準，不同人員、企業(yè)對信息安全崗位理解有所不同，不同企業(yè)對同一崗位需求存在一定的差異，且崗位劃分更加細化?；谛畔踩こ碳夹g人才培養(yǎng)的特殊性，在借鑒Gartner近年發(fā)布的新興技術成熟度曲線和信息安全技術列表[8]、智聯(lián)招聘與360互聯(lián)網(wǎng)安全中心聯(lián)合發(fā)布的《網(wǎng)絡安全人才市場狀況研究報告》[9]的基礎上，結合從業(yè)人員較為認可的職業(yè)定位，可以根據(jù)知識技能進行職業(yè)崗位劃分，將信息安全劃分為Web安全、滲透測試、漏洞挖掘與利用、逆向分析、安全運維、移動與無線安全等，以契合信息安全的實戰(zhàn)型特點。同時，應用型本科的人才培養(yǎng)與專科類不同，企業(yè)要求本科人才不僅能熟練運用攻防工具和手段，還需要準確理解方法及其背后的原理且能熟練運用、維護工具，具有運用所學原理理解甚至提出新方法、研制新工具的潛質(zhì)。

為此，結合筆者所在團隊建議，確立了以“Web安全”與“移動終端安全”職業(yè)崗位核心能力培養(yǎng)為主要面向的人才培養(yǎng)目標，旨在培養(yǎng)德、智、體、美全面發(fā)展，具備自然科學、人文科學、計算機科學與技術基礎知識，信息安全專業(yè)知識與專業(yè)思想，掌握信息安全工程方法和技能，擁有較強的網(wǎng)絡安全、Web安全、移動終端安全實踐能力、創(chuàng)新能力和法律意識，具有良好的人文科學素養(yǎng)、職業(yè)發(fā)展?jié)摿εc國際視野，能在信息技術企業(yè)、其他企事業(yè)單位相關部門從事安全產(chǎn)品研發(fā)、滲透測試、安全運維等工作的高素質(zhì)應用型人才。

基于職業(yè)崗位需求，逆向設計專業(yè)課程模塊? 我國現(xiàn)行課程體系基于學科本位，按照學科知識的內(nèi)在邏輯組織教學內(nèi)容，強調(diào)學科知識的系統(tǒng)性和內(nèi)在邏輯。這種課程體系與市場對接不夠，不能根據(jù)行業(yè)與職業(yè)需求變化即時調(diào)整課程體系與教學內(nèi)容，不利于卓越人才培養(yǎng)。

新工科要培養(yǎng)適應經(jīng)濟社會發(fā)展需要的高質(zhì)量工程技術人才，課程體系應以能力為本位，以專業(yè)為導向，以職業(yè)或行業(yè)所需的知識、技能為中心，注重理論與實踐的有機融合。能力本位的課程體系圍繞能力需求，按照“由淺入深、相對獨立、相互支撐、理論與實踐相融合”的原則組織教學模塊，當學生修完某一模塊的所有課程后，就應獲得相關方面的能力。模塊化課程結構改變了原有的“哪些內(nèi)容要講授”的以知識輸入為導向的教學理念，強調(diào)“學生要獲得哪些能力”的以能力輸出為導向的教學理念。

因不同高校人才培養(yǎng)目標、師資條件、實驗條件不同，信息安全專業(yè)沒有固定的課程體系標準。在借鑒美國國家信息保障/網(wǎng)絡防御學術卓越中心發(fā)布的基于知識單元的課程體系基礎上，根據(jù)人才培養(yǎng)目標及標準，依托職業(yè)崗位群的任職要求，參照相關職業(yè)標準，按照學習產(chǎn)出教育模式（OBE），構建模塊化專業(yè)課程體系。

信息安全專業(yè)根據(jù)畢業(yè)要求采用逆向課程設計的理念，秉承“專業(yè)與信息安全職業(yè)崗位對接、課程目標與職業(yè)標準對接”的原則，通過對信息安全“Web安全”與“移動終端安全”兩個職業(yè)崗位進行知識技能分析，并對其專業(yè)能力經(jīng)過分解合并解構重構后，形成信息安全兩大核心能力：Web安全與移動終端安全。同時，根據(jù)能力模塊內(nèi)不同階段、不同導向的任務目標，將其分解為邏輯思維、應用開發(fā)、系統(tǒng)部署維護、滲透測試以及代碼層解決漏洞四個子能力。對每個子能力進行能力梳理，得到對應的能力要素。

1）應用開發(fā)對應“編程基礎能力”“Web編程”“移動應用開發(fā)”“安全工具開發(fā)”三個強能力要素與“網(wǎng)絡分析”“模型建立與優(yōu)化”兩個弱能力要素。

2）系統(tǒng)部署維護對應“網(wǎng)絡分析”“腳本編寫”“系統(tǒng)管理”三個強能力要素和“安全基礎”一個弱能力要素。

3）滲透測試對應“網(wǎng)絡分析”“安全基礎”“滲透測試”“安全工具開發(fā)”“腳本編寫”五個強能力要素和“漏洞挖掘與利用”“二進制代碼分析”兩個弱能力要素。

4）代碼層解決漏洞對應“編程基礎能力”“代碼審計”

“漏洞挖掘與利用”“二進制代碼分析”四個強能力要素和“Web編程”“移動應用開發(fā)”兩個弱能力要素。

將這些不同的能力要素組合，形成“工程數(shù)學”“網(wǎng)絡與安全基礎”“程序開發(fā)基礎”“系統(tǒng)管理”“Web安全”與“移動終端安全”六大教學模塊，然后按照“由淺入深、相對獨立、相互支撐”的原則逆向設置各模塊課程。信息安全專業(yè)課程逆向設計過程如圖1所示。

明確各門課程對于實現(xiàn)預期畢業(yè)要求的貢獻及程度，制定課程與畢業(yè)要求關聯(lián)矩陣。根據(jù)人才培養(yǎng)課程體系框架通識教育、學科基礎教育、專業(yè)教育、創(chuàng)新創(chuàng)業(yè)教育與企業(yè)實習五個階段的劃分，將這些課程按照一定的教學規(guī)律，遵循“由淺入深、相對獨立、相互支撐、環(huán)環(huán)相扣”的原則進行排列，構成通識與專業(yè)教育相融合、理論與實踐教育相融合、校內(nèi)與校外教育相融合、課內(nèi)與課外教育相融合的模塊化課程體系。信息安全專業(yè)模塊化課程體系如圖2所示。

為了培養(yǎng)學生的專業(yè)興趣，引導學生盡早接觸專業(yè)，使學生具有較強的實踐能力、實戰(zhàn)能力與創(chuàng)新能力，在信息安全專業(yè)人才培養(yǎng)過程中依托本科生導師制（入校進行導師分配），從大一就開始讓學生接觸參與各種專業(yè)競賽、科技創(chuàng)新活動，使學生在學科競賽、項目實踐中補充知識、鍛煉實戰(zhàn)與創(chuàng)新能力，項目結項或競賽獲獎后，可置換對應課程全部或部分學分。

4 結語

新形勢、新經(jīng)濟發(fā)展在增加信息安全崗位的同時，也不斷驅動著信息安全人才培養(yǎng)需求。地方應用型高校在逐步成為信息安全人才培養(yǎng)主力的同時，其專業(yè)課程體系需要不斷優(yōu)化完善。作為多學科交叉融合的專業(yè)，信息安全涉及知識技能較多，面對的職業(yè)崗位較多，學校應根據(jù)自己的辦學定位、招生對象、優(yōu)勢資源，確定人才培養(yǎng)目標、畢業(yè)要求;根據(jù)職業(yè)崗位需求分析，制定富有特色的課程體系，避免不同院校課程體系的雷同。本文面向地方應用型本科高校，提出基于職業(yè)崗位能力需求逆向設計能力本位的模塊化課程體系，旨在不斷提高學生的實踐能力和實戰(zhàn)能力，培養(yǎng)學生解決復雜工程與崗位問題的能力，以形成具有自身特色的信息安全課程體系。

參考文獻

[1]關于加強網(wǎng)絡安全學科建設和人才培養(yǎng)的意見（中網(wǎng)辦發(fā)文〔2016〕4號）[EB/OL].[2016-06-12].http：//www.moe.gov.cn/srcsite/A08/s7056/201607/t20160707_271098.html.

[2]Tu Y， Rampazzi S， Hao B， et al. Trick or Heat？ Attack on Amplification Circuits to Abuse Critical Temperature Control Systems[M]//London， UK： In Pro-ceedings of ACM Conference on Computer and Communica-tions Security （CCS），2019：2301-2315.

[3]PING Y， HAO B， HEI X， et al. Feature Fusion and?Voiceprint Based Access Control for Wireless Insulin?Pump Systems[J].IEEE Access，2019，7（9）：121286-121302.

[4]國家市場監(jiān)督管理總局中國國家標準化管理委員會.GB/T 22239-2019 信息安全技術：網(wǎng)絡安全等級保護基本要求[S].北京：中國標準出版社，2019.

[5]翁健，馬昌社，古亮.網(wǎng)絡空間安全人才培養(yǎng)探討[J].網(wǎng)絡與信息安全學報，2016，2（2）：1-7.

[6]林健.新工科專業(yè)課程體系改革和課程建設[J].高等工程教育研究，2020（1）：1-13，24.

[7]堅持以本為本 推進四個回歸 建設中國特色、世界水平的一流本科教育[EB/OL].[2018-06-21].http：//www.moe.gov.cn/s78/A08/moe_745/201806/t20180621_340586.html.

[8]Burke B. The Gartner Hype Cycle for Emerging Tech-nologies[EB/OL].https：//www.gartner.com.

[9]奇安信與智聯(lián)招聘聯(lián)合發(fā)布《2019網(wǎng)絡安全人才市場狀況研究報告》[R/OL].[2019-07-29].https：//weibo.com/ttarticle/p/show？id=2309404399463341883787.