信息安全教育與人才培養

信息安全教育與人才培養

陳克非

杭州師範大學理學院，杭州 [email protected]

摘要

中國內地大學教育已經有近 120 年的歷史，大學的體系與基本狀况如何？本文介紹 了內地大學計算機、信息安全相關學科、專業的設置，信息安全專業的形成發展過程。

以上海交通大學信息安全相關專業爲例，分析討論的信息安全教育的遇到的問題。包括 信息安全專業課程設置、信息安全教育的內容、信息安全人才培養的方式、信息安全教 育與人才培養的一些經驗，以及由此引發的思考。

關鍵詞：信息安全、課程設置、人才培養

壹、中國大學的現狀

中國內地最早的現代意義上的大學是哪一所？一直以來眾說紛紜。有的說是創辦於 1895年的北洋大學堂（現在的天津大學）和1896年的南洋公學（現在的上海交通大學）， 也有的說是北京大學的前身京師大學堂。實際上，1879年由兩所教會學院合併而成的外 國教會大學——上海聖約翰書院，於1905年改名爲聖約翰大學是現代意義最早的中國大 學[1]，只是非常可惜這所完全按照西方大學模式設立的大學後來被強行解體，已經不復 存在。

據不完全統計，中國內地的全日制普通高等學校^*有 2094 所，其中的 4年制本科大 學爲 1145 所[2]。在 20 世紀末期，有關教育主管部門希望中國在 21 世紀能夠建成 100 所左右的一流大學，這就是所謂的“211”工程[3]；爲了更加突出重點使一些基礎好的 儘快趕上並達到國際一流大學的水平，又有了之後的“985”工程，目的是國家加大教育 投入，一些重中之重的大學儘快脫穎而出[4]。正式批准的“211”大學有112所（後由於 個別學校間合併，現在實爲105所），“985”大學是39所。

由於以前受到前蘇聯的影響，相當長一段時間內中國的大學除了歸口教育部的是綜 合性大學外，還有大量的專業性很強的大學歸口不同的工業部門，有代表性的如航空學 院、郵電學院、鋼鐵學院、鐵道學院、紡織學院、礦業學院、地質學院等。在1980年代 以後，隨著高等教育結構調整紛繁複雜的大學隸屬關係得到了改變，目前的大學主要有 兩類，或者隸屬國家教育部，或者歸地方政府主管。另外還有少量的大學隸屬中國科學 院、工業與信息化部、國務院僑辦，以及隸屬軍隊的院校等。隨著中國內地改革開放，

* 普通高等学校是 4 年學制本科大學、學院以及 3 年學制高等專科學校、學院的統稱。全日制高等學校不 包括成人高等學校。

已允許民辦大學、中外合作辦學等多種模式。特別是2013年開學招生的上海紐約大學，

是紐約大學全球教育體系中第三所具有學位授予資格的門戶校園，也是在內地目前僅有 的一所按照西方模式建立的大學。

貳、中國特有的學科建設

在中國內地，不論是隸屬教育部的高等院校還是隸屬地方的高等院校，招生和學生 培養統一要按照教育行政主管部門的“專業目錄”管理規範。例如，本科生的管理規範 是教育部的《普通高等學校本科專業目錄》(教育部2012) [5]；研究生的的管理規範是《學 位授予和人才培養學科目錄》(國務院學位辦、教育部2011) [6]。在這些規範中，大學本 科生教育被分爲12大學科門類（哲學、經濟學、法學、教育學、文學、歷史學、理學、

工學、農學、醫學、管理學、藝術學），92 個學科類（如工學中有電子信息類、計算機 類），506個專業（如計算機類的專業有計算機科學與技術、軟件工程、網絡工程、信息 安全等）；研究生教育則加上了軍事學共分爲 13 大學科門類，110 個一級學科以及若干 二級學科。

一所大學允許開辦哪些專業、是否可以招收培養研究生？需要根據相應學科目錄申 請資質。一般說來，申請在一個本科專業上招生的門檻不算高，只要有必要的師資力量 和相應的辦學條件（如實驗設備、實驗場地等）就可以批准；而申請研究生招生培養資 質，即通常說的獲得研究生（博士生、碩士生）學科點是比較有挑戰的任務，在評審標 準中不只是考察學校的硬件條件，更在於考查相關學科的教師的整體學術水平以及學術 業績，以確保研究生在高水平的學術環境中得到培養。

由於內地大學的各種評價體系中，大多數指標都是與科研要素相關的，例如論文數、

引用率、經費、獲獎、博士點數、重點學科排名等等，因此大學對科研的重視程度遠遠 高於對本科生教育教學的重視。由於研究生是大學中參與科研的有生力量，要在科研中 有所建樹理所當然要依靠博士生、碩士生；另一方面，在大學教育越來越普及的情况下，

一種觀點認爲研究生才是專業人才，很多政府資源投向研究生教育，大學也可能依據一 名教師是否具有研究生指導資格發放專門的津貼，研究生指導資格還成爲大學教師職稱 (教授、副教授、講師)以外的另一個職務頭銜(博導、碩導)。所以，中國大學的“學科建 設”，其核心就是爭取獲得更多的博士點、碩士點，提升所在學科相關的科研指標，爲 在學科評估中獲得好的名次，進而得到更多的政府投入。

社會上流行的各種學科排名一定程度上適應了大學單純追逐學術GDP的需要，同時 也更加劇“中國式”學科建設的畸形發展，使大學變得過於物質化，而忘記了大學“學 術獨立、開放精神和非功利性”的追求。

參、信息安全與信息安全教育

內地大學在信息安全領域早期開展的學術研究和人才培養開始於 1970－1980 年 代，中國科學院、中國科技大學、北京大學、南開大學以及西安電子科技大學（當時叫 西北電訊工程學院）爲代表的一批學術機構率先開展公開的密碼學研究，並於1984年召 開了第一屆密碼學學術會議。隨著密碼學應用的不斷深入，越來越多的大學開展圍繞著 密碼學的信息安全研究，並籌備成立了中國密碼學會。中國密碼學會包括 3個工作委員 會，即組織工作委員會、學術工作委員會、教育工作委員會，另有 5個專業委員會（密 碼算法、密碼數學理論、量子密碼、密碼芯片、電子認證），截止2013年5月有會員1721 人。

目前國內開展密碼學與信息安全研究教育的機構非常多，像中國科學院（包括信息 工程研究所、軟件研究所、數學研究院）相關研究人員最集中的地方，並擁有“信息安 全國家重點實驗室”，另外西安電子科技大學、清華大學、上海交通大學、山東大學、

武漢大學、中山大學、復旦大學等在學術圈內比較有影響。特別值得一提的是，西安電 子科技大學是內地最有傳統、最具影響力的密碼教育研究基地，有密碼學“黃埔軍校”

的美譽。其中的肖國鎮教授、王育民教授、王新梅等教授堪稱學術大師，在過去30多年 中不但高水平研究成果頻出，還培養了享譽國內外的大批密碼學家，例如在第一屆中國 密碼學會領導機構中，全部的 2 位副理事長、10 位常務理事中的 5 位、35 位理事中的 13位都有“西電”背景[7]；另外第一屆教育部高等學校信息安全類專業教學指導委員會 20人中，7名有“西電”背景[8]。

伴隨計算機網絡發展，人們的關注點著眼於更廣泛的領域。密碼研究優勢單位轉向 網絡安全的實際問題，從事計算機和網絡的優勢單位，同時關注實際系統與應用安全問 題。目前，國內比較有影響力的信息安全教育研究機構有：中國科學院的計算技術研究 所（系統），軟件研究所（軟件理論與密碼），信息工程研究所（密碼與計算機）；以及一 批重點大學，包括清華大學（網絡），北京大學（軟件），西安電子科技大學（密碼與通 信），北京郵電大學（通信），國防科學技術大學（計算機），武漢大學（計算機），上海 交通大學（密碼與通信），哈爾濱工業大學（網絡），東南大學 （移動通信），山東大學

（應用密碼）、北京交通大學，北京理工大學，成都電子科技大學，中國科技大學，等等。

這些機構有一個共同的特點，就是擁有一個強勢的傳統學科，信息安全與相應的學科有 緊密的關聯。

信息安全的概念隨著 Internet的發展廣受關注，2000 年前後信息安全問題也日顯突 出，對信息安全的重視達到高潮。政府有關部門發布政策加大對信息安全的投入，並制 定一系列具體措施保障落實，例如，規定信息安全産品納入政府採購、新建網絡建設項 目中不低於總經費的15%用於安全，同時科技部、信息産業部推出信息安全專項資金支 持自主研發、國家高技術研究發展計劃(863)設立信息安全主題支持關鍵技術攻關、國家 重點基礎研究發展計劃(973)也支持信息安全項目、國家自然科學基金委員會(NSFC)公布

“信息安全”爲優先資助領域，例如 NSFC中的計算機學科、電子學科以及數學學科都 支持信息安全類項目，其中計算機學科年度支持項目中一度有近30%的項目與信息安全 相關，另外還推出“網絡與信息安全”，“可信計算”等重大研究計劃，組織集團優勢 力量重點攻關。

要使信息安全能夠得到保障，說到底還需要一大批專業的信息安全人才支撑。西安 電子科技大學是內地最早培養信息安全類人才的大學，在1979年就開始招收編碼方向碩 士研究生(應用數學)，1988年獲准設立密碼學碩士點，1993年首批獲准設立密碼學博士 點。2000年由教育部、科技部、上海市政府共同發起成立上海交通大學信息安全工程學 院，重點培養信息安全專業的本科生、研究生、博士生，爲社會輸送不同層次的專業人 才。

經教育部批准，2001 年武漢大學率先建立信息安全本科專業，至 2011 年內地已經

有 84所高校開設信息安全本科專業[9]；更多學校把信息安全作爲本科生培養特色(不需 教育部授權)。國家信息化領導小組提出關於加強信息安全保障工作的意見，要求採取措 施“加快信息安全人才培養，增加全民信息安全意識”。教育部關於進一步加強信息安 全學科、專業建設和人才培養工作的意見也指出，專門爲加強信息安全學科建設和人才 培養工作做了部署，要求進行：學科體系研究、博士點和碩士點建設、穩定本科專業設 置、建立繼續教育制度等。

在中國大學的教育體系中，人才培養是按照“學科”進行的，信息安全並沒有在傳

統的學科目錄中，因此信息安全方面的教育與人才培養一般是放在相關、相近的學科中。

例如，西安電子科技大學信息安全相關研究生的培養開始是放在應用數學和密碼學科，

因爲密碼技術被公認爲信息安全的核心技術基礎，同時密碼學也是官方認可的“二級學 科”，而密碼學的基礎又是數學，所以作爲一級學科的數學自然也就成爲可以依托的學 科。伴隨著通信和計算機網絡發展，信息安全問題應運而生，因此大批開展信息安全研 究、人才培養是集中在通信工程和計算機科學與技術這些一級學科。

信息安全的一個特點表現在“依附性”，一方面信息安全的形成源自數學、密碼、

通信和計算機，另一方面信息安全的問題出在計算機、通信系統中，而非獨立存在，針 對這些問題的解决方案也要依賴系統本身，需要將安全技術手段植入系統之中。事實上，

除了數據加密之外，與系統無關的通用安全解决方案幾乎是不存在的。

信息安全一方面與其他傳統學科緊密聯繫，另一方面信息安全在任何一個傳統學科

中又屬非主流，這樣在現行的學科結構和管理評估體系下，造成許多不利於信息安全教 育科研發展的人爲障礙。例如，數學等傳統學科對學術成果的認定基本上是限於期刊論 文，特別是這些年只看重論文的SCI檢索（有人戲稱SCI爲Stupid Chinese Idea），造成 追逐數量指標的傾向；而計算機學科一個普遍的學術認同是頂級會議論文，那是反映信 息技術日新月異、引領學術潮流的東西。在中國這樣一個學術評估行政化的體制下，密 碼學與信息安全就處在一個比較尷尬的境地，與數學類的成果相比，信息安全類的學術 期刊較少，因此也不可能有多少高檔次的SCI論文；作爲計算機、信息技術學科的一部

分，信息安全所關心的大多是如何爲信息技術增加保障，所以信息安全往往是非主流處 於的依附地位，雖然大家都認同安全性的重要性，但是在很多人心目中信息安全只是爲 計算機、爲網絡服務的技術。

在學術期刊和重要學術會議的評價中，數學有數學圈子認可的的標準，計算機有計

算機圈子認可的標準，當然信息安全也有自己認可的期刊和學術會議。只是，在學術評 價行政化的體制下，對密碼和信息安全研究成果要由其隸屬的“學科”來評價，國內的 信息安全方向不論落在數學學科還是落在計算機學科，要想得到客觀公正的評價都不容 易。

基於上述背景，國內擁有信息安全專業的大學發起了爭取“一級學科”的活動，即

希望“信息安全”從計算機等現有的一級學科中分離出來，成爲一個與數學、計算機等 學科並列的獨立一級學科。按照通常的理解，一級學科至少應該有個基本標準：即有明 確的研究對象，有自己的知識結構和完整的理論體系。很顯然，密碼學基本具備獨立學 科的特徵，只是研究的範圍較窄；而信息安全的情况比較複雜，因爲信息安全的問題與 計算機、通信等學科水乳交融，很難劃出一條清晰的界限。因此，反對信息安全獨立成 爲一級學科的意見就認爲，信息安全缺乏清晰特有的問題和研究對象，沒有自己獨特的 知識結構和理論體系。

在中國高校中，與信息安全情况有些類似的是軟件工程專業。2001年教育部批准35

所重點高等學校試辦示範性軟件學院，允許其“吸引社會資金投入”並“參照股份制模 式運行”，對招生規模、錄取考試、授課形式及教材、合資方背景、辦學模式等採取了 不加限定、不加統一的“開放式”原則。軟件學院在經營上風生水起，但作爲大學中的 一個獨立的教學單位，也非常渴望有一個不依賴於計算機系的“學科”作爲支撑。 2011 年國務院學位辦對學位授權點和相應的學科進行調整和增加，參加角逐新增一級學科的 有“信息安全”和“軟件工程”，最終軟件工程幸運勝出成爲新的一級學科，而信息安 全則幾經波折鎩羽而歸。也許，僅就單純學術、學科而言，信息安全獨立成一級學科沒 有多少道理，但是更沒有道理的軟件工程竟然一帆風順從計算機中脫離出來成爲一級學 科。只能說，在中國的大學體系中，非學術的行政力量和利益制衡的力量超乎尋常的強 大。

肆、信息安全專業人才培養案例分析

上海交通大學創建於1896年，是教育部直屬理工科爲特色的大學，可以算作中國最 好的5所大學之一。信息安全方向一直是通信、計算機專業的重要內容，2000年抽調了 計算機和通信的部分骨幹教師成立上海交通大學信息安全工程學院，在過去的10多年時 間信息安全本科專業一直是上海交大最爲熱門的專業。

在建立信息安全專業之初，很重要的工作是制定教學大綱和專業培養計劃。事實上

，在內地的大學中，除了上海交通大學還有不少學校也相繼建立了信息安全本科專業。

各個學校的專業背景、師資力量、辦學條件各不相同，如何保證信息安全人才培養的質 量，同時又不失各自的特色？爲了有效地規範信息安全專業的有序發展，許多高校、出 版社組織參與制定課程體系、編寫規範教材，2007年教育部更是成立信息安全類專業教 學指導委員會，從宏觀層面協調全國的信息安全專業建設。

因爲上海交通大學信息安全專業是依托計算機和通信學科建立的，所以針對信息安 全專業學生的培養方案中有著較爲濃厚的計算機和通信的痕跡。信息安全人才培養目標 中明確提出信息安全的畢業生需要“具有扎實的數理基礎，較好的外語和計算機應用能力

，掌握信息安全的基本理論與技術，掌握計算機與網絡通信以及信息安全法律法規，……

”等等，也就是說，信息安全專業的畢業生首先是一名計算機（或通信）專業的合格學 生，同時在信息安全方面又受到良好的訓練。從這個定位可以看到，信息安全專業開設 的課程會在內容和時數上都會高於任何一個傳統的專業。

按照中國教育部主管部門的規定，內地大學本科教學總學分要求基本一致。例如上 海交通大學要求的總學分爲 197，包括公共基礎課（人文、社科、經管、自然科學、外 語、體育），占總學分的 53%；學科基礎課，占總學分的 35%；以及專業前沿課，占總

學分的12%。表一、表二、表三和表四是上海交通大學計算機專業和信息安全專業4年

本科期間需要學習的基礎課程和專業課程 [10]。

表一：上海交通大學計算機專業的基礎類課程

表二：上海交通大學計算機專業的專業類課程

表三：上海交通大學信息安全專業的基礎類課程

按照教育部的規定，4年本科學習過程中，跟專業相關的各類課程大概不足93學分

，除去學科基礎的69學分，真正涉及到專業學習的時間只剩下24學分。作爲交叉學科

（數學、計算機、電子通信）的信息安全，其學科基礎遠遠寬於其他傳統學科，從表三 和表四可以看到，信息安全專業的課程基本上覆蓋了計算機（甚至還有通信）專業的主 要課程，之外還安排了一些信息安全專業自身的特色課程。也就是說，專業課程的 24 學分一部分用於計算機的專業課程，留給信息安全的專業學習的教學時數會更加的少，

更別說。還有多少時間、精力花在專業前沿上？

從設置信息安全專業開始的10多年的情况看，信息安全專業的學生如果要想以優良 的成就順利完成學業，他們需要比其它專業的同學付出更多。他們既要達到計算機專業

表四：上海交通大學信息安全專業的專業類課程

對學生的要求（從就業的進度也必須這樣做）還要學習很多通信專業的課程，同時還得

“額外”地學習信息安全課程。在觀察了內地多所大學的信息安全專業的情况，信息安 全專業的畢業生要麽是基礎扎實專業面寬深受市場歡迎的，要麽是看似學了很多東西但 樣樣不精的。事實上，不同學校出來學生，在就業市場有很大反差，我們自己也遇到過 在招收學生的過程中，更願意招收任何一個在有積澱的傳統專業受到良好訓練的人，而 對一些新生的時髦專業的畢業生比較謹慎。

伍、從國外大學的信息安全教育看我們如何改革

當我們對大學是否應該設立信息安全專業進行反思的時候，國外大學已經開始穩步 地推進在計算機等相關專業的展開信息安全的教育。所不同的是，他們不是把信息安全 單列作爲“新”的專業，而是在傳統的計算機專業培養中，將信息安全的概念和內容貫 徹其中，使信息安全的觀念和計算機學科的科學理論成爲一個有機的整體。大家普遍認 同的觀點是，體現缺少安全的系統是殘缺的，背離實際需求的安全是沒有意義的。

2012初年美國公布了由ACM、IEEE組織大學和業界專家起草的計算機科學教學指 導文件Computer Science Curricula 2013（簡稱CS2013）[11]。按照CS2013的劃分，計 算機專業的內容覆蓋了算法與複雜度、體系結構、計算機科學、操作系統、網絡與通信

、軟件工程等 18 個知識領域 KA (Knowledge Areas)，每個 KA 中由一些知識單元（

Knowledge Units）組成，並進一步細化爲許多的知識點（Body of Knowledge）。

信息保障與安全IAS（Information Assurance and Security）是CS2013新增加的一個 KA，與其它KA不同的是，IAS的知識點作爲基礎內容（Core-Tier 1）、專業內容（Core-Tier

2）和選修內容（Elective）的內容充斥在其他KA中（如表伍），這在所有知識領域中是

僅有的特例。這也表明的信息安全與計算機各個領域之間的水乳交融，要硬是人爲地把 有關安全的內容獨立出來是不被認同的。

根據上面的分析，信息安全的內容貫穿到計算機等相關專業本科生培養中是非常必 要的。除了一些相對獨立自成體系的信息安全課程和內容，CS2013的建議更傾向於把大 量信息安全的概念和知識點融入到現有的基礎和專業課程中。顯然，目前這樣做在多數 大學裏是有難度的，因爲不是每個基礎課、專業課教師在信息安全方面也同樣專業；另

表五：CS2013將大部分信息安全的知識點放在其它知識領域中

一方面，現有的專業課程和教材過度到符合CS2013的理念也需要一個過程。

現在內地大學中專門開設信息安全專業的做法似乎需要改變，如果能在現有課程體 系下通過在各個專業（專業基礎）課程環節中加入相應的信息安全的內容，這樣可以從 整體上减少信息安全專業學生的教學時數，一方面减輕了學生的課業負擔，而且是在有 關專業過程中作爲一個環節來討論安全的問題，避免了講授孤立、抽象意義的“安全”

。如果實施這樣的課程改革，還能利用節省下來的有限教學課時去研討一些比較深入的 專題。當然，更加徹底一點的做法是實行真正意義的學分制，學生沒有必要按照統一的 培養方案在規定的時間裏學習相同的課程，可以根據每個人的情况和興趣愛好把時間和 精力更集中在自己的專業方向上。

與此同時還應該考慮傳統的培養計劃，例如確保那些重要的核心課程，打好學科專 業基礎；另外增加課程的門類數，但壓縮每門課的時數精簡內容，有利用拓寬學生的專 業知識面。作爲理工科類的學生，安排足夠的時間在實踐環節上也是非常必要的，像內 地大學的軟件學院在這方面就取得一些成功的經驗，除了在校內重視課程中的實踐環節(

實驗課、課程實踐)，還專門安排學生去企業實習，這點類似於國外一些大學卓有成效的

Co-op 計劃。形成校內課程學習、課程作業以及校外實踐這樣一個完整的學習、實踐互

動鏈。課內學習重在理解掌握知識點、理論和方法；課程大作業可以培養實踐動手及綜 合能力；校外的專業實踐與工程訓練，一方面瞭解理論和技術在工作中的用途，另一方 面從工作中激發對學習的動力。

陸、結論

現在社會進步的速度遠遠高於以往，社會的深刻變革帶來的各種思潮、各種新技術 學科以及日新月異的變化都對大學固有的秩序帶來衝擊，大學的使命是什麽？接受教育 的目的何在？如何在人才培養課程設置方面進行應變，以適應社會對大學、對大學生的 要求，這是每一個教育工作者不容回避的問題。

信息安全不論被行政化成爲一個“學科”，還是僅僅被認定爲計算機專業的一個部 分，探索信息安全的理論、發展信息安全的技術、培養信息安全的人才、服務於社會的 需要，這些都不會受到任何的影響。信息安全專業是伴隨著通信和計算機技術的發展而 發展的，所以說信息安全是一個開放和與時俱進的技術領域，衡量信息安全理論和技術 成果的標準，從來都不只是論文、引用、經費、獲獎等容易量化的指標，促進技術進步 和滿足社會需求則是對信息安全教育和人才培養的更加重要責任。

大浪淘沙，很多舊有的東西隨著科學和技術的進步必將慢慢退出歷史舞臺，形式和

內容永遠在變化，而探索未知追究卓越的大學精神應該是不變的。

[誌謝]

本文受杭州師範大學高端人才科研啓動專項基金與杭州市重點學科建設專項基金支持。

參考文獻

[1] 百度百科-大學，http://www.baike.com/wiki/大學 [2] 2013年教育統計數據-高等教育學校（機構）數，

http://www.moe.edu.cn/publicfiles/business/htmlfiles/moe/s7567/201309/156873.html [3] 維基百科-211工程，http://zh.wikipedia.org/wiki/211工程

[4] 維基百科-985工程，http://zh.wikipedia.org/wiki/985工程

[5] 教育部網站，教育部關於印發《普通高等學校本科專業目錄（2012年）》的通知，

http://www.moe.edu.cn/publicfiles/business/htmlfiles/moe/s3882/201210/xxgk_143152.ht ml

[6] 教育部網站，教育部關於印發《學位授予和人才培養學科目錄（2011年）》的通知，

http://www.moe.edu.cn/publicfiles/business/htmlfiles/moe/moe_834/201104/116439.html [7] 中國密碼學會網站，中國密碼學會第一藉機構組成人員名單（2007－2011），

http://www.cacrnet.org.cn/templates/H_second/index.aspx?nodeid=17&page=ContentPag e&contentid=468

[8] 教育部關於成立教育部高等學校信息安全類專業教學指導委員會的通知，

http://baike.baidu.com/view/3438752.htm?fromTaglist [9] 沈昌祥，關於信息安全學科與專業設置情况，

http://conf.neu.edu.cn/isdcpt2013/file/scx.pdf

[10] 上海交通大學教務處網站，2013年上海交通大學一專專業、專業類、專業方向一覽

表, http://electsys.sjtu.edu.cn/edu/pyjh/pyjhQueryNew.aspx

[11] Computer Science Curricula 2013，http://ai.stanford.edu/users/sahami/CS2013/