文/本刊記者 王左利 傅宇凡

《中國教育網(wǎng)絡(luò)》：目前的信息安全趨勢如何？有什么新的發(fā)展趨勢？

肖新光：目前網(wǎng)絡(luò)安全的現(xiàn)狀是利空與利好并存。如個人操作系統(tǒng)的安全性從攻防面的能力在不斷增強，但隱私面的威脅不斷增加。網(wǎng)絡(luò)帶寬、計算和存儲能力的大發(fā)展、應(yīng)用的大繁榮，既帶來新的安全威脅，也帶來了安全方法的變革和安全分析能力的傾向。而智能家居、可穿戴硬件等外延環(huán)節(jié)則又帶來新的安全挑戰(zhàn)。總之，信息技術(shù)發(fā)展到哪里，信息威脅就到哪里。但安全的基本規(guī)律依然是一脈相承的。

Gartner認(rèn)為，新型技術(shù)的發(fā)展是曲線式的，包括技術(shù)觸發(fā)器、預(yù)期膨脹高峰期、幻滅低谷期、回升期和穩(wěn)定的生產(chǎn)力期。而其安全特質(zhì)也是周期性的，開始不考慮安全問題而迅速發(fā)芽，而后遇到一些概念性的安全問題而被置疑，之后進入幻滅低谷期時，則往往又會被安全忽略，之后在回升中進入與威脅的長期博弈，并到達基本平衡。

肖新光安天實驗室（Antiy Labs）首席技術(shù)架構(gòu)師

在過去較長一段時間，多數(shù)入侵攻擊事件是由于攻擊者“追名”“逐利”引發(fā)的，但逐利是主要的。但今天的攻擊，呈現(xiàn)出兩個鮮明的層次。更難以應(yīng)對的是，國家和政經(jīng)集團發(fā)起的APT攻擊，而更普遍的，依然是以圖利為目的的攻擊，但攻擊面之廣，是過去難以想象的。

《中國教育網(wǎng)絡(luò)》：從企業(yè)的角度來看，您認(rèn)為目前國內(nèi)信息安全人才培養(yǎng)狀況如何？不足之處是什么？

肖新光：整體上看，美國高校畢業(yè)生的整體能力是高于我們的，比如反映在一些安全公司招聘上，其初級崗位的能力要求都比國內(nèi)嚴(yán)格與綜合。

目前高校在網(wǎng)絡(luò)安全人才培養(yǎng)方面的不足突出體現(xiàn)在兩個方面，第一，興趣培養(yǎng)不足；第二，能力培養(yǎng)不足。

信息安全人才培養(yǎng)面臨的問題可以劃分成三類，第一是根本無解的，第二是可以中長期解決的；第三是，可以短期看到效果的。比如對課程和教材進行小幅度的調(diào)整，我認(rèn)為就能快速看到效果。在類似C/C++、操作系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)等教材選擇上，我們希望能給高校一些建議。

從未來看，增加批判性思維、逆向思維的課程，對信息安全專業(yè)是必要的。整體上來看，國內(nèi)的教育導(dǎo)向以小孩要聽話、大人要尊重權(quán)威為主，獨立思考能力的培養(yǎng)不夠，但網(wǎng)絡(luò)安全職業(yè)素養(yǎng)本身就要對這種服從式思維方式提出挑戰(zhàn)。學(xué)校應(yīng)當(dāng)提供一種環(huán)境，讓學(xué)生充分解放思想，善于發(fā)現(xiàn)問題，能夠?qū)ふ?/p>

素材，充分推理，提出自己的創(chuàng)見。目前來看，這方面的訓(xùn)練十分不夠。

關(guān)于目前國內(nèi)大學(xué)在信息安全方面的課程設(shè)計，我個人感覺：第一，過于傳統(tǒng)、死板；第二，對安全總體的、宏觀的認(rèn)知沒有建立起來。比如過分夸大了一些單因素（比如密碼學(xué)）的重要性；第三，在興趣與技能的培養(yǎng)上，尚有不足，對于安全這樣特殊的課程來說，興趣極其重要。

我想，我們需要做的一個功課是，對比中國大學(xué)和美國大學(xué)計算機和安全專業(yè)的課程表，先從課程設(shè)置、教材選用等方面進行分析。同時對入學(xué)的學(xué)生就要開始網(wǎng)絡(luò)安全興趣的引導(dǎo)，提出創(chuàng)新、獨立思考的要求提供一些資源和實驗環(huán)境。

《中國教育網(wǎng)絡(luò)》：要想有好的人才培養(yǎng)體制，您認(rèn)為學(xué)校、學(xué)習(xí)者本人以及企業(yè)分別要扮演什么角色或者說要有什么樣的聯(lián)動？

肖新光：從企業(yè)的角度看，潘柱廷博士等業(yè)界同仁發(fā)起的安全企業(yè)高校講師團已經(jīng)開始行動了，我也是其中一員，協(xié)助高校進行專業(yè)課程和教材的設(shè)置分析的活動已經(jīng)舉辦了三次。

未來將開展的重要活動是安全企業(yè)與高校新生和畢業(yè)生的互動，向?qū)W生介紹產(chǎn)業(yè)新趨勢，分享最新的全球企業(yè)界工程成果以及技術(shù)動態(tài)。通過新生對話，共同思考學(xué)生如何成長；而在課程設(shè)計和畢業(yè)設(shè)計上，也可以提供更多的環(huán)境、指導(dǎo)和交流。實踐表明，那些與企業(yè)互動更多的學(xué)校，學(xué)生成長得更快。

綜合上面這些實踐，企業(yè)與高校之間的對接，可以從三個層面進行，第一，企業(yè)在高校的課程、教材設(shè)置方面的互動和參與；第二，企業(yè)直接提供工程性較強的一些精品視頻課程和配套的大實驗，企業(yè)工程師可以對實驗過程進場指導(dǎo)；第三，實驗與實習(xí)上，企業(yè)可以為高校提供研究的基本條件和資源，為高年級的學(xué)生提供實習(xí)環(huán)境。

《中國教育網(wǎng)絡(luò)》：您對高校信息安全人才培養(yǎng)整體上有什么建議？

肖新光：去年在計算機大會組織的桌布沙龍上，爆發(fā)了高校代表和企業(yè)代表關(guān)于人才培養(yǎng)的大辯論?；仡^來看，校企雙方都應(yīng)該多些耐心，教育注定是一個漸進改善的過程。

教育方面我覺得有兩個方面要改進，第一，是正本，要引導(dǎo)學(xué)生的認(rèn)知、學(xué)習(xí)方法，要培養(yǎng)對專業(yè)的興趣，要培養(yǎng)思辨能力；第二，是強身，增加有效壓力、提升強度。高校應(yīng)以教學(xué)為本，要向教學(xué)回歸。國內(nèi)高校，做科研的比拼論文，做工程的比拼經(jīng)費，是一個誤區(qū)。而高?？蒲幸惨紤]高校的角色和特點，目前國內(nèi)一些高校的科研所研發(fā)的技術(shù)，相當(dāng)于工程界本世紀(jì)初的水平，有的甚至更落后，完全是重新發(fā)明輪子。我們認(rèn)為高校、科研院所應(yīng)該站在企業(yè)工程經(jīng)驗的基礎(chǔ)上，更具前瞻性和探索性，重復(fù)做一些工程界早已完成的技術(shù)實現(xiàn)是沒意義的。而且安全本來就是以攻防和實踐為主導(dǎo)的技術(shù)，國際上，真正頂級的安全學(xué)術(shù)會議論文都是以創(chuàng)新性、新銳度為標(biāo)準(zhǔn)，我們還在拼命地圍繞所謂算法兜圈子。

我們也能感到,目前高校教師、特別是青年教師，面臨很多困難，這些困難影響到他們對教學(xué)工作的投入。如何使高校的科研教學(xué)接到地氣，我曾建議過企業(yè)不僅可以為學(xué)生提供實習(xí)基地，也可以為青年教師提供類似的機會。同時企業(yè)需要把自己的一些工程師培養(yǎng)的經(jīng)驗、實驗設(shè)計拿出來，也把一些工程模塊提供給高校，讓高校的老師同學(xué)可以在這個基礎(chǔ)上做一些有前瞻性的選題。

《中國教育網(wǎng)絡(luò)》：安全公司在招聘的時候看重哪些技能呢？

肖新光：安全這個行業(yè)我覺得首先看重的不是技能，而是從業(yè)者的正直和熱愛。最近兩年，我發(fā)現(xiàn)對網(wǎng)絡(luò)安全有興趣的學(xué)生在變少，雖然學(xué)生總數(shù)在變大，但是整體來看，有志于安全技術(shù)的學(xué)生比例在變小。這是我根據(jù)最近兩年的招聘面試所得出來的印象。

在安天，我們主要還是看重個人品質(zhì)與對網(wǎng)絡(luò)安全的興趣，這種興趣不是泛泛的，不是簡單覺得好玩，而是你愿不愿意去下功夫。其他的都是可以再培養(yǎng)的。

不同企業(yè)不同需求，有些公司還是希望招聘成熟的員工，但這中間具有兩面性，成熟的員工必然也帶有自身成型的特質(zhì)，有可能這個成型的特質(zhì)還是個誤區(qū)，比如一些技術(shù)的理念是不正確的，但卻根深蒂固。安天比較側(cè)重于自己培養(yǎng)人才。