摘要：以大理大學信息安全專業為案例，對地方院校信息安全專業應用型人才培養模式進行思考和探索。從專業培養目標定位，課程體系設計、師資隊伍建設、校企合作及學生創新創業實踐活動等多個方面探索信息安全專業應用型人才培養模式。

關鍵詞：信息安全；應用型人才培養；課程體系；校企合作

一、概述

　　隨著網絡技術發展和應用，信息安全對國家、社會、企業和個人的重要性越來越凸顯。信息安全產業也開始快速成長，智研咨詢集團研究報告[1]指出，2016～2020年中國信息安全產品市場規模將保持18.00%以上的增長率，2020年市場規模預計達到761.95億元。就業市場對信息安全專業人才需求急劇增長，信息安全專業人才缺口繼續增大。根據《第十一屆網絡空間安全學科專業建設與人才培養研討會》得出的結論，“我國網絡空間安全人才年培養規模在3萬人左右，已培養的信息安全專業人才總量不足10萬人，離當前70萬的市場需求差距巨大[2]。與之對應，2014年以來，國內開設信息安全專業的高校數量迅速增長。2013年至2017年全國開設和新增信息安全專業的院校數據如圖1所示。統計數據顯示，2014年之前開設信息安全專業的院校多為985、211重點院校或者警察軍事院校；2014年開始，普通一本、二本、三本院校相繼開設該專業。985、211重點院校及警察軍事院校信息安全專業經過多年的摸索，積累了豐富的辦學經驗，建立了成熟的人才培養體系。然而，985、211重點院校具有師資力量雄厚，生源基礎扎實、學習能力強、學習自主性高等特點，多數以培養信息安全領域高端人才為目標，重視基礎，強化理論，更側重于培養創新型人才。而警察軍事院校以特殊的行業需求為目標，其定向就業崗位所需技能明確，其人才培養具有明顯的針對性和傾向性，側重于培養專門人才。因此，這些院校成功的辦學經驗和人才培養模式不能直接應用于師資力量和生源基礎相對薄弱的普通本科院校。普通院校信息安全專業就業定位面廣，就業崗位所需知識和技能相對較雜，師資力量相對薄弱，生源的知識基礎、學習能力、學習自主性也具有多樣性。大理大學是位于非省會城市的地方院校，信息安全專業屬二本招生。本文結合我校多年信息安全人才培養的經驗，對信息安全專業應用型人才培養模式進行積極思考和探索。

二、信息安全專業內涵

　　信息安全專業需要為國家、社會、企業和個人提供安全保障服務人才。應用型人才培養模式下，信息安全專業的培養目標是要求畢業生具有較強的安全管理與法律意識，具備扎實的數學、計算機和通信網絡基礎，掌握基本的安全知識及原理，具有較強的系統集成、開發及網絡與信息系統安全運維管理能力；能提供電子對抗、網絡及信息系統安全加固，入侵檢測、防御與保護，系統恢復、電子追蹤及數字取證等服務。信息安全涉及知識面大、就業范圍廣，學生不可能掌握全部的信息安全相關知識和技能[3，4]。因此，不同院校在建設該專業時都有不同的傾向性，有些院校側重于通信、有些院校側重于密碼學、有些院校側重于軟件與網絡。各院校應根據自己的學科優勢、專業定位及辦學條件，形成自己的優勢和特色。

三、信息安全專業應用型人才培養模式

　?。ㄒ唬I定位

　　信息安全專業人才培養方案的設計應首先明確專業定位。信息安全學科是由數學、計算機、通信等多門學科交叉而成綜合性學科。不同院校的信息安全專業具有不同的優勢與特色，對應用型人才的定義也不盡相同[5，6]。根據信息安全學科發展趨勢和人才培養實踐經驗，可以將信息安全應用型人才分為創新性應用型人才和復合性應用型人才。創新性應用型人才能夠綜合地運用信息安全理論基礎知識，創造性、設計性地解決工作實踐中的問題。其對實踐問題的解決思路和所使用的工具往往是原創性的，其應用能力取決于學生對信息安全理論知識體系掌握程度、實際動手能力培養效果和創造性思維訓練情況。復合性應用型人才則更注重的是靈活、熟練地利用現有技術或既有工具解決問題，其應用能力主要取決于其對信息安全基礎知識的理解和對工具使用的熟練程度。從目前各高校的培養方案和課程體系看，985、211等重點院校多數以培養創新性應用型人才為主，地方院校及高職院校則側重于培養復合性應用型人才。結合實際情況，我校信息安全專業定位是培養復合性應用型人才。

　?。ǘ┡囵B目標

　　人才培養目標決定培養模式。專業培養目標需要結合就業定位、辦學條件、生源實際情況和專業特色來設計。我校信息安全專業主要為西南地區提供信息安全領域應用型人才。我校數學與計算機學院設有計算機科學與技術專業、信息與計算科學專業，同時開設了華為網絡學院，在計算機軟件和網絡方面具有較好學科優勢和辦學條件。生源的知識基礎、學習能力和學習自主性呈現多樣化。因此，我校信息安全專業培養目標是：培養具有扎實的數學基礎、計算機軟件基礎、計算機網絡基礎，以及較強的網絡系統集成與防護能力、軟件開發與漏洞檢測能力、信息系統安全測評與系統安全加固能力，能從事網絡與信息系統安全運維、系統安全測評、軟件開發、漏洞檢測等崗位工作的應用型人才。

　　（三）課題體系設計

　　國內的信息安全專業起源于密碼學，是基于密碼學發展起來的，因此，側重密碼學的信息安全專業課程體系已經比較完備，但密碼學僅僅只是信息安全的一個分支。作為信息安全重要分支的計算機系統安全及網絡安全課程體系的建設相對滯后，尚未形成一個完備的體系[7]。側重于密碼學的信息安全專業更側重于培養學術性人才，而側重于通信、軟件及網絡的院校是應用型人才培養的主要基地。經過多年的發展，各院校信息安全專業課程體系建設均取得了較好的成果，各具特色。但多數院校信息安全專業的課程體系不具備完整性和系統性，課程內容缺乏先進性[8]。表面上看，很多院校信息安全專業均開設了很多安全相關的專業課程，幾乎每個領域都所有涉及，學生學習任務繁重而學習效果不佳[9]。要提高學生的應用能力，必須堅持“實用、瘦身”的原則，重視課題體系的系統性和完整性，不片面地追求課程門數，而應盡量將課程形成一個完整的體系，提升學生應用能力，減輕學生的學習負擔，激發學生的學習興趣。我校信息安全專業培養定位是復合性寬口徑的應用型人才，以軟件和網絡為基礎，結合信息安全相關理論和技術，培養軟件安全測評、安全軟件設計與開發、軟件漏洞發現與修補、網絡及信息系統加固與防護等方面的應用型人才。對于課程體系的設計，我們緊密結合我校學科優勢和生源的實際情況，堅持“實用、瘦身”原則。我校信息安全專業課程體系由四大課程基礎支撐著兩個專業方向，如圖2所示。密碼學基礎主要包括信息安全數學基礎、應用密碼學兩門課程。信息安全數學基礎課程知識是密碼學算法設計的基礎，對理解和設計密碼算法具有重要意義。密碼學是信息安全的起源，也是信息安全學科的'重要基礎。信息安全技術諸多安全機制的實現都依賴于密碼學相關技術，如機密性、完整性、可認證性和防抵賴等。對于普通二本院校的學生來說，密碼學課程應側重于密碼系統的工作原理及具體應用。密碼算法的設計對二本院校的大多數學生都是困難的。結合密碼學課程的特點及我校信息安全專業學生實際情況，密碼學基礎要求學生掌握密碼學基礎知識及主流密碼體制的設計原理，但更側重于要求學生掌握密碼系統的具體應用，而不要求學生設計密碼算法。網絡基礎主要包括計算機網絡、路由與交換技術兩門課程。網絡基礎模塊是通信網絡安全的基礎，是網絡服務可用性、可靠性、網絡攻擊追蹤和溯源等技術的知識基礎。隨著網絡技術的廣泛應用，通信網絡安全已經成為信息安全專業知識體系的重要內容。網絡基礎模塊中計算機網絡要求學生掌握網絡系統工作原理與基礎知識；路由與交換技術以華為網絡學院HCNA和HCNP內容為基礎，對當前TCP/IP網絡體系下主流網絡協議的工作原理和實現細節進行深入講解，培養畢業生網絡系統的設計、配置、維護與管理相關的應用能力。網絡基礎模塊為網絡系統安全防護與加固、計算機取證和攻擊溯源提供知識基礎。操作系統基礎主要包括計算機系統配置維護、操作系統和網絡應用服務器配置三門課程。操作系統是計算機學科重要的基礎課程之一。操作系統是計算機系統軟硬件資源的管理者，理解和掌握操作系統相關知識對加強計算機科學的理解具有基礎意義。操作系統安全是計算機信息系統安全的基礎，諸多信息安全問題的引發均是因為操作系統漏洞造成的，如勒索病毒的爆發等。*客入侵往往也是利用操作系統的漏洞或后門。因此，理解和掌握操作系統工作原理對信息安全學科具有基礎性意義。操作系統基礎模塊覆蓋面從計算機軟硬件安裝維護到操作系統工作原理，再到主流網絡應用服務器的配置與部署。操作系統模塊為軟件安全技術和網絡系統防護與加固提供知識基礎。程序設計基礎包括匯編語言、C++程序設計、Java程序設計、數據結構與算法和數據庫原理五門課程，主要培養學生計算思維和程序設計能力，是信息安全專業畢業生從事漏洞挖掘、后門檢測、設計和開發網絡安全測評、系統防護、追蹤溯源、電子取證等相關工具的基礎，也是軟件安全的重要基礎。網絡安全方向包括網絡安全技術、網絡系統集成與安全加固、計算機取證、網絡攻防、入侵檢測與防火墻技術和安全協議分析六門課程。網絡安全技術主要講授網絡安全技術相關的基礎知識，對網絡安全涉及的技術進行全面介紹。網絡系統集成與加固重點講授通信網絡設計、集成與管理以及網絡系統防護相關技術。計算機取證主要介紹電子取證相關知識，為網絡犯罪行為的追蹤、溯源和取證提供相關技術。網絡攻防課程主要包括當前主流的網絡攻擊方法和手段，為網絡系統防御提供知識基礎。入侵檢測與防火墻技術是傳統的網絡安全內容，為用戶的網絡行為進行管控與監測。安全協議分析主要以TCP/IP網絡體系為基礎，講授各層所提供的安全服務和安全機制，是網絡系統防護的知識基礎。該方向主要培養畢業生從事網絡系統集成與安全加固、網絡系統安全管理與測評、網絡攻防等就業崗位所需的應用能力。軟件安全方向包括編譯原理、Android程序設計、網絡程序設計、軟件安全與漏洞、Web安全技術、軟件安全管理與測評六門課程。編譯原理是軟件逆向工程的基礎，是軟件安全的重要內容之一。Android程序設計主要講授基于Android的移動app設計、開發及app安全檢測相關技術，是移動客戶端軟件安全的基礎。網絡程序設計主要講授基于TCP/IP的網絡編程技術，是軟件安全與漏洞的基礎。軟件安全與漏洞主要講授軟件安全的基本知識及軟件漏洞挖掘技術。Web安全技術主要講授Web環境應用安全防護技術，防止網頁篡改、SQL注入等攻擊，保證網站內容的完整性和數據安全。軟件安全測評與管理主要介紹軟件安全測評標準和相關技術，培養學生安全評估與管理能力。該方向主要培養軟件安全測試、軟件開發、漏洞檢測、信息系統安全管理與測評、系統安全加固等就業崗位所需的應用能力。