美国战略和国家研究中心一项报告指出,全球每年因为黑客攻击而损失4000多亿美元,网络安全已变成另一个战场。如何增加自己在网络安全战场里的兵力呢?近日,与军情五处、军情六处并称英国情报机构“三叉戟”的英国政府通讯总部(GCHQ),授权六所英国大学提供训练未来网络安全专家的硕士文凭,培养“黑客捕手”。
教学方式
会有“实战环节”
网络安全硕士,听起来神秘莫测,得到授权的六所大学如何授课呢?
牛津大学的软件和系统安全硕士,采用的是“模块式”教学。牛津大学软件工程项目主任杰瑞米·吉本斯教授介绍说:“4年的时间里,学生只要修完10个模块,再完成1篇论文,就可以得到硕士学位了。”
听起来,学完10个模块好像很容易,但事实上,大部分学生平均1年只能修完3个模块,所以要拿到这个硕士,差不多需要4年时间。
牛津大学提供了14个和安全相关的课程模块,包括安全原理、云安全、数据安全和隐私、手机系统安全、无线网络安全、取证等课程,从其中选择6个,再从软件工程项目提供的其他38门课程中选择4个,就可以完成10个模块了。
该专业硕士项目经理杰基·乔丹介绍,“每个模块持续11周,包括课程前准备4周,上课1周,作业6周。如果能够在上完课后的6周内完成作业,就可以拿到学分。”在1周的上课时间里,学生不仅会学到最新技术,还会有“实战环节。”
是给学生1台感染病毒的电脑,然后让他清理病毒吗?当然没那么简单,吉本斯表示,学生要解决的是“更大规模的问题”:比如如何为整个企业设计架构,来保护数据安全?如何集成敏感的医疗数据,但又不泄露病人的隐私?怎样在你的汽车和密匙卡之间建立无线通讯协议,以抵御攻击?怎样防止自己公司的信息中心免受自然灾害?
吉本斯说,牛津大学的这个硕士项目是专业硕士项目,学生基本上都是在职人员。“我们期望的学生是具有相关的教育背景,再有一些行业经验,最少两年的全职工作经验。”吉本斯还表示,当然相关领域不仅仅限于计算机和网络安全领域,“我们也有不少来自金融界、政府和电信通讯行业的学生,负责安全的管理层,政策制定者等等,都可以申请。”
会教给学生“黑客”技术吗?“当然不!”吉本斯说道,不过他强调,他们会教学生如何去设计一个强有力的可以抵御黑客入侵的系统。
课程设置
黑客课程有道德底线
另一家得到GCHQ认证的大学——兰开斯特大学的网络安全硕士中,黑客课程则是必选课。
“当然,我们绝不是在培养黑客。”兰开斯特大学网络安全研究中心主任阿维斯·拉希德首先澄清说,我们开设的是“道德黑客课程”,也叫渗透测试课程。
在这门课上,学生要扮演黑客的角色,模拟侵入系统,同时也会体验另一方防御者的角色,在两者的模拟中提升保护系统安全的技能。拉希德表示,“我们的目的是希望学生们能够了解,攻击者是如何找到系统的薄弱之处。要是你不知道攻击者如何发动攻击,那么你就没有办法保护自己的系统。”
拉希德同时强调,这样一个敏感的课程,道德规则非常重要。“我们会明确告诉学生,他们学到的技术只能用于帮助他们理解系统的薄弱之处,不能用于任何非法或不道德的行为。”
拉希德表示,“道德黑客课程”是一周密集上课,有时在教室里,有时在实验室里,然后是两周有指导的自学和完成作业。“道德黑客课程”很受学生欢迎,因为他们觉得很受启发,既帮助他们理解黑客是如何攻击系统的,也能指导他们该用什么样的安全策略来击败这些黑客。
除了“道德黑客课程”,兰开斯特大学还开设事故调查课程,教学生应对安全漏洞发生的情况:学生们会被分给一台感染了病毒的机器,然后找出到底哪里出了问题。
兰开斯特大学的网络安全硕士不仅仅关注技术层面。“这是一个技术问题,但却不仅仅是技术问题。”拉希德说:“它还涉及了犯罪学、地缘政治和法律层面。”
作为世界上首个开设信息安全专业硕士课程的大学,伦敦大学皇家霍洛威学院的信息安全硕士也得到了GCHQ的认证。皇家霍洛威也采用模块式教学,课程包括安全管理、密码学和安全机制、网络安全、电子商务的法律和监管问题、数据库安全,网络犯罪、数字取证等。
毕业去向
没有找不到工作的毕业生
对于毕业生而言,读网络安全硕士课程是一个“安全选择”,因为知道如何保护数据免受网络攻击的毕业生非常“抢手”,《卫报》直言道。
皇家霍洛威学院信息安全组主任基思·马丁教授指出,这是一个前景光明的职业。“学生来读我们的硕士,是因为他们在寻找一项职业。他们认为网络安全是易于就业的一个领域。”吉本斯教授说,在牛津大学,开设课程几年来,还没有找不到工作的毕业生。
除了上述3所大学外,得到认证的还有爱丁堡龙比亚大学、克兰菲尔德大学、萨里大学。其中后两所大学将于今秋开始招生。尽管得到了GCHQ的认证,但这些认证的硕士学位和GCHQ的招聘没有直接关系。GCHQ工作人员强调,认证是因为这6家大学达到了最高标准。
这些网络安全硕士也是对网络间谍的正名,是英国国家安全战略中的一部分。英国十分重视网络安全,2009年即出台了首个国家网络安全战略,是最早把网络安全提到国家战略高度的大国之一,而教育则被认为是提升网络安全技术的关键。英国国防部认为,在未来的冲突中,除了传统的海上、陆地和空中行动,还可能同时伴随“网络行动”,因此英国有必要加强这方面的力量。
这些获得GCHQ认证的硕士毕业生中,为企业服务的仍然是绝大多数。英国电信集团总裁马克·修斯表示,网络安全硕士课程将会为电信公司输出具备专业知识和技能的理想员工,这对英国的网络安全发展来说,是显著的进步。
学完课程,就能成为网络安全专家了吗?“当然!”吉本斯信心满满地说。