文│浙江大学 任奎 韩劲松 单珏慧
当今世界,网络空间的安全问题日益成为国际焦点。构建牢固的网络空间安全体系,一方面要尽快培养专业的网络安全人才,另一方面也需要提高全民的网络安全意识和防护技能,形成专业引领、全民参与、共同保障的新局面。近年来,我国陆续颁布多项网络安全相关法律法规、配套制度及有关标准,开展国家网络安全宣传周等活动,逐步形成“网络安全为人民,网络安全靠人民”的良好氛围。然而,当前大众的网络安全防护基础还比较薄弱,网络安全意识尚有不足等问题仍较为明显,专业网络安全人才的缺口还比较大,如何构建一种高效快速和影响广泛的网络空间安全教育宣传体系显得尤为重要。
大学生是国家优秀人才的生力军,高校肩负着人才培养、科学研究、社会服务、文化传承创新等多项重要使命。因此,充分发挥高校在高精尖人才培养和网络安全意识教育的高地优势,对建设我国网络空间安全体系有着重要意义。浙江大学在多年的教学改革和发展中,构建了以信息安全竞赛为驱动、学生社团和俱乐部为载体、拔尖安全人才培养和大众科普相融合的网络空间安全教育模式。
一、以赛促建,在攻防演练中锻造专业化人才队伍
正如演习是最高层次的军事训练一样,信息安全竞赛作为一种最贴近实战化的高强度攻防演练和安全技能训练形式,已经成为发现和培养网络安全人才的重要途径,同时也是网络安全从业者经验交流、技术交流的重要平台。发达国家早在 20 世纪 90 年代就开始举办各类信息安全竞赛,有较为悠久的历史和成熟的经验,通过竞赛也涌现了大批的安全精英和专业人才。起源于 1996 年的夺旗赛(Capture The Flag,CTF)信息安全竞赛久负盛名,该赛事每年由全球顶级的安全会议全球黑客大会(DEFCON)举办,代替了之前黑客间的真实攻击,汇集全球最顶尖的安全竞赛团队,通过进行攻防对抗、程序分析等形式,决出最后的优胜者。
我国也高度重视信息安全竞赛的作用,举办了多项重量级的高水平赛事。例如,由中央网信办指导的“强网杯”全国网络安全挑战赛,已成为我国网络安全标杆级赛事,是国内网络安全竞赛中规格最高、参与人数最多、难度最大的比赛之一,也是促进技术分享、人才培养、技术创新及产业发展的交流平台。每年“强网杯”吸引了全国几千支战队、数万名选手报名参赛,竞赛质量效益不断提升,有效聚集了一大批来自一流高校、网安和互联网企业、国家关键信息基础设施单位、重要行业部门、科研机构等各行业的网络安全从业者和爱好者,成为网络安全人才展示自我、磨砺技能、交流技术的平台。
全国大学生信息安全竞赛是我国网络空间安全学科领域的奥林匹克竞赛,由教育部高等学校网络空间安全专业教学指导委员会发起并主办。该竞赛旨在通过“以赛带练、以练促学”的网络安全人才培养模式,培养、选拔、推荐优秀信息安全专业人才。这些竞赛不但发掘了大量的信息安全人才,也普及了信息安全知识,促进了高校信息安全专业课程体系、教学内容和方法的改革。
浙江大学历来重视发挥学科竞赛在人才培养方面的重要作用,并把学科竞赛作为学科建设的核心内容。在建设网络空间安全一流学科的过程中,浙江大学以网络空间安全研究中心为主体,确立了数据安全与隐私、软硬件系统安全、人工智能安全、通信与网络安全的特色研究方向,形成了一流的科研和教学队伍。借助学科优势,浙江大学打造了一支国内外顶尖的信息安全战队——天青刺客联盟(Azure Assassin Alliance ,AAA)战队。该战队创立于 2012 年,是由浙江大学信息安全爱好者自发组织,浙江大学网络与空间安全学院和计算机科学与技术学院支持建立的信息安全战队。队伍中的每一位成员都高度热爱信息安全竞赛,在强网杯、腾讯信息安全争霸赛(TCTF)、全国高校网安联赛(X-NUCA)等国内外一系列大赛上获得了优异的战绩。经过多年发展,AAA 战队现已成为浙江大学输出卓越安全人才的重要基地,战队的主力成员已经分布在腾讯、华为、阿里等各大企业和安全机构,成为我国网络安全领域的中坚力量和中流砥柱。在选才、训练、比赛和人才输出上,浙江大学在组织信息安全类竞赛方面取得了丰富的成果和经验。
(一)选优培良
为广选英才,AAA 战队建设了面向全体浙大同 学 的 CTF 练 习 平 台 ——School-Bus (zjusec.com)和战队官方网站。该平台涵盖了常见类型的竞赛题目,资源丰富且持续更新。按照优中选优的原则,队员人数并不固定,一般保持在 15 人左右。AAA战队通过校内训练平台,以及开展的校赛进行择优纳新,选择总分较高或者某一方向较为专精的选手,保证了队员的专业性、竞技性和高水平。
随着在 DEFCON CTF、强网杯等国内外顶级赛事中屡创佳绩,AAA 战队在安全圈内的影响力进一步增大,战队也开始接纳来自兄弟院校的同学,逐渐形成以浙江大学引领的高校安全竞赛辐射圈,通过开放交流、技术探讨、分享前沿,推动高校间网络空间安全人才培养交流体系的发展。
(二)注重实战
AAA 战队的训练一直秉持着“注重实战,以赛促练”的理念,创设真实的比赛场景和赛题,让队员在实战化环境下熟练运用平时学、练所掌握的知识和技能。战队官方网站 School-Bus 大量的训练题目,都来源于最新的信息安全竞赛或实际环境中出现的安全类问题,题目更新速度快,贴近实际且效果明显。在 School-Bus 上刷题是 AAA 战队每个队员的必经之路。战队鼓励队员借助 School-Bus平台互相出题,在学习新知识新技能的同时,积累了队内成员攻坚克难的经验,加深了队内成员并肩作战的默契和情谊。在 AAA 战队准备的专门训练中,队员们可以学习课本之外的安全实战技术,以及在实战攻防中所需的技能。除此之外,AAA 战队有专门对校内打造的训练赛,在周五晚 8 点放出少量不同类型的赛题,限时 48 小时求解。赛后比赛组织者将根据解题时间来对选手进行排名,并在网站和公众号上公布名次。热身赛的解题分数还会按一定比例的加成到个人积分上,大大增加同学们的参与积极性。在重要赛事之前,AAA 战队通常会进行有针对性的实战训练,按照比赛的设置,开展模拟攻防演练,进一步加强了队员们应对各种复杂赛事的能力。
(三)屡创佳绩
AAA 战队注重培养新鲜血液,不断营造协同配合的良好比赛氛围。战队在确定参赛队员时,会结合之前的参赛情况,优先考虑选用新人,让新队员积累宝贵的参赛经验,快速成长。每次参加大赛,队员之间会明确分工,并经过反复训练,形成默契配合。在正式比赛中一旦发现有可以利用或攻击的漏洞,队员之间会在第一时间通知队友,实现态势的迅速分享,协同修复或利用漏洞。
在 2020 年 DEFCON CTF 赛事中,包括浙江大学 AAA 战队在内的腾讯 A*0*E 联合战队获得了全球总冠军。这是 DEFCON CTF 创办 20 多年来,首个由中国战队拿下的冠军。此次比赛并非一帆风顺,在开局不利的情况下,队员们迅速调整好心态投入到比赛中。得益于赛前的周密准备,战队发挥团队合作的优势,逆转了不利局面,并克服了夺冠道路上一个又一个困难,最终荣获冠军。
在 2021 年第五届强网杯全国网络安全挑战赛的备战中,浙江大学网络空间安全研究中心和战队十分重视,认真准备,开展了大量的针对性训练,并在开赛前确立了比赛策略,为最后的成功打下了坚实的基础。在比赛过程中,战队不断灵活调整策略,以应对出现的各种复杂局面。经过队员们为期两天的不懈奋战,AAA 战队荣获本次比赛的季军,在所有高校参赛队伍中排名第一,创下战队在强网杯线下赛的最好成绩。
(四)输送英才
近年来,浙江大学聚焦国防军工等国家急需板块,积极引导以 AAA 队员为代表的优秀毕业生服务国家战略,致力于将学生输送至国家急需的重点领域和岗位,让越来越多的同学运用所学的网络安全技术投身国防军工事业,历届毕业生中涌现出了一批毅然舍弃头部企业优厚待遇,选择投身祖国国防科研事业、国家安全核心部门的网络空间安全精英人才。
同时,浙江大学不断鼓励引导优秀网安人才创新创业,推动我国相关安全领域的全面发展提升,形成良好的安全人才培养生态。AAA 战队的创始成员之一陈宇森,曾带领战队出战美国 iCTF 国际黑客竞赛,拿到全球 50 名。之后,陈宇森加入蓝莲花战队,参加了 DEFCON CTF,获得了全球第11 名的成绩。毕业后陈宇森开始创业之路,26 岁成为“长亭科技”CEO,对推动国内网络信息安全技术的发展做出了贡献。AAA 战队的另一位成员向昶宇,创办了木链科技,致力于工业信息安全,向母校回馈了大量的资源,帮助战队培养更多愿意投身信息安全领域的学生,也为他们走上创业道路提供有力支持。
二、以点带面,发挥专业化优势辐射大众化普及
浙江大学充分发挥 AAA 战队的引领作用,结合自身专业优势,优化整合内部资源,开展了广泛持续的网络安全教育。
(一)战队引领
浙江大学通过战队宣传、校内竞赛、专业报告、科普讲座等活动,不断在广大青年学生中普及网络安全知识,提高大学生的网络安全防护能力和水平,并吸引有潜质的优秀苗子进入战队培养。以 AAA战队作为平台基础,浙江大学每年设置校内竞赛,吸引众多对安全类竞赛感兴趣的学生参加,促进学生的专业技能、团队协作和创新能力。除了较为专业的校内竞赛之外,AAA 战队也带动了校内信息安全俱乐部的发展。俱乐部每月举办信息安全类知识讲座和实验室参观,在每年浙江大学的“电脑节”期间开展网络安全常识比赛,吸引全校学生参加,从而认识网络安全威胁,提高网络安全防范意识。同时,俱乐部定期制作并巡展信息知识类海报,扩大宣传辐射面。除此之外,俱乐部还邀请企业专家举办讲座、培训,聚焦一线安全前沿话题,采取直播或录播的形式展开讨论,面向全校学生进行网络安全技术的广泛宣传,树立大学生的网络安全意识。俱乐部也会组织学生去华为、蚂蚁金服、阿里巴巴等企业参观,实地感受网络安全的重要性,搭建学生和产业界沟通交流的桥梁。
(二)课堂普及
近年来,浙江大学在开设的通识课和专业课中不断强化网络安全意识培养,使网络安全教育科学化、系统化、体系化。《网络空间安全导论》是一门面向一年级本科生的基础课程,由网络空间安全学院院长任奎教授进行授课,分门别类地介绍信息安全前沿技术和研究方法论,深入浅出地分析当前信息安全研究的发展方向和技术趋势,让学生掌握信息安全的基本知识技能,为进一步开展信息安全研究与应用打下坚实基础。浙江大学 AAA 战队教练白洪欢老师长期面向全校同学教授《汇编语言程序设计基础》通识课和《软件保护技术》等专业课,从黑客的攻击过程入手,介绍常见的网络攻击原理、手段和方法,引导学生使用安全工具对资源进行网络安全分析与预测。在培养学生兴趣、吸引越来越多的学生加入 AAA 战队的同时,也切实在同学中树立起网络安全观和网络安全意识。浙大 AAA 战队教练、网安中心常瑞老师担任《计算机系统 II》这门专业基础课的授课教师,在授课过程中普及网络安全知识,引入信息安全竞赛类的技能,让学生更好地掌握安全技术,提升对网络安全威胁的认知,提高安全防范意识。
(三)校企共建
浙江大学通过系列校企合作平台,持续开展网络安全教育。目前,浙江大学已建立了浙江省区块链与网络空间治理重点实验室、移动终端安全 - 浙江省工程实验室、浙江大学 - 阿里巴巴网络空间安全联合实验室、浙江大学 - 蚂蚁金服金融科技研究中心 - 数据安全与隐私保护实验室、浙江大学 -华为安全技术创新实验室、浙江大学 - 光通天下网络空间安全联合实验室、浙江大学 - 华为安全技术联合实验室等多个产学研协同的研究中心和创新基地,持续不断地产出高水平科研成果,成为支撑科研、教学和实践的重要平台。依托这些平台,浙江大学将学科建设与产业发展紧密结合,把课程内容与职业标准、教学过程与工程流程、实训平台与培训科普相匹配,共同培养网络安全人才,促进区域内的网络安全教育体系成长,持续辐射普及大众的网络安全意识。例如,浙江大学通过校企合作教学,突破软硬件环境局限性,以课程目标的达成为宗旨、以学生能力培养为中心、以产出为导向,充分锻炼学生的工程实践能力,搭建学生和企业沟通交流的桥梁。在 2020-2021 学年夏季学期,浙江大学网络空间安全学院与蚂蚁安全实验室共建的《无线与物联网安全基础》课程全新上线,课程内容覆盖无线电安全、WiFi 安全、蓝牙安全和移动通信安全等基础和前沿领域。蚂蚁安全实验室把领先的技术成果、最佳的实践案例、经验丰富的行业专家输送到高校,与浙江大学教师联合授课,将前沿的无线安全实践引入教学中,吸引了更多同学投身无线与物联网安全相关研究,有利于为产业界培养理论扎实、动手强的复合型安全人才。此外,浙江大学积极举办和参与面向大众的网络安全培训活动,年均举办或参与大型培训活动 20 余场,培训人数场均 100人以上,培训对象主要面向各级网信系统、公检法部门以及工信部门认定的两化融合示范试点企业。
(四)平台推广
线上平台和媒介已成为网络安全教育与普及的主要战场。浙江大学网络空间安全研究中心(以下简称“网安中心”)创建了“浙大网安”微信公众号,定期发布安全类科普文章,开展社会大众的网络安全意识培养和教育推广。网安中心每年举办安全类学术研讨会 100 余次,通过“浙大网安”微信公众号及时发布信息,扩大学术研讨会的宣传力度。同时,在微信公众号上深入浅出地对网安中心举办的各类安全讲座进行科普,介绍给广大群众。浙大网安俱乐部也会定期举办科普活动,面向全校学生介绍各类网络安全知识,并向周边社区居民做科普类的网络安全宣传,积极配合周边社区进行“网络反诈骗”等活动的推广,不断增加宣传力度,让网络安全意识深入人心。
在新冠肺炎疫情期间,网安中心采取举办线上学术研讨会等方式,方便广大学生、学者、同行参与讲座与讨论。除此之外,网安中心还借助哔哩哔哩等媒体平台,对学术研讨会、学术讲座进行直播,场访问量多达千余人次,收获大量关注,增加了网络安全科普宣传的热度,对提升全民网络安全意识、全面普及网络安全知识具有重要意义。
经过多年努力,浙江大学已形成了一套以信息安全竞赛为抓手,通过专业平台和团体辐射大众的网络空间安全宣传教育模式,为培养网络安全专业人才、普及网络安全教育开辟了新途径,为促进我国安全技术交流、创新技术研发、培养高素质网安人才、推广网络安全教育提供了可供借鉴的有效模式。浙江大学网络空间安全学院将不断探索,继续以竞赛为驱动,做好高水平人才的培养工作,让网络安全在更广大范围内持续辐射推广,为我国网络安全意识教育贡献力量。
(本文刊登于《中国信息安全》杂志2022年第1期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
