揭秘:英國高校如何培養“黑客捕手”
責編:admin |2014-08-18 13:39:56美國戰略和國家研究中心一項報告指出,全球每年因為黑客攻擊而損失4000多億美元,網絡安全已變成另一個戰場。如何增加自己在網絡安全戰場里的兵力呢?近日,與軍情五處、軍情六處并稱英國情報機構“三叉戟”的英國政府通訊總部(GCHQ),授權六所英國大學提供訓練未來網絡安全專家的碩士文憑,培養“黑客捕手”。
教學方式
會有“實戰環節”
網絡安全碩士,聽起來神秘莫測,得到授權的六所大學如何授課呢?
牛津大學的軟件和系統安全碩士,采用的是“模塊式”教學。牛津大學軟件工程項目主任杰瑞米·吉本斯教授介紹說:“4年的時間里,學生只要修完10個模塊,再完成1篇論文,就可以得到碩士學位了。”
聽起來,學完10個模塊好像很容易,但事實上,大部分學生平均1年只能修完3個模塊,所以要拿到這個碩士,差不多需要4年時間。
牛津大學提供了14個和安全相關的課程模塊,包括安全原理、云安全、數據安全和隱私、手機系統安全、無線網絡安全、取證等課程,從其中選擇6個,再從軟件工程項目提供的其他38門課程中選擇4個,就可以完成10個模塊了。
該專業碩士項目經理杰基·喬丹介紹,“每個模塊持續11周,包括課程前準備4周,上課1周,作業6周。如果能夠在上完課后的6周內完成作業,就可以拿到學分。”在1周的上課時間里,學生不僅會學到最新技術,還會有“實戰環節。”
是給學生1臺感染病毒的電腦,然后讓他清理病毒嗎?當然沒那么簡單,吉本斯表示,學生要解決的是“更大規模的問題”:比如如何為整個企業設計架構,來保護數據安全?如何集成敏感的醫療數據,但又不泄露病人的隱私?怎樣在你的汽車和密匙卡之間建立無線通訊協議,以抵御攻擊?怎樣防止自己公司的信息中心免受自然災害?
吉本斯說,牛津大學的這個碩士項目是專業碩士項目,學生基本上都是在職人員。“我們期望的學生是具有相關的教育背景,再有一些行業經驗,最少兩年的全職工作經驗。”吉本斯還表示,當然相關領域不僅僅限于計算機和網絡安全領域,“我們也有不少來自金融界、政府和電信通訊行業的學生,負責安全的管理層,政策制定者等等,都可以申請。”
會教給學生“黑客”技術嗎?“當然不!”吉本斯說道,不過他強調,他們會教學生如何去設計一個強有力的可以抵御黑客入侵的系統。
課程設置
黑客課程有道德底線
另一家得到GCHQ認證的大學——蘭開斯特大學的網絡安全碩士中,黑客課程則是必選課。
“當然,我們絕不是在培養黑客。”蘭開斯特大學網絡安全研究中心主任阿維斯·拉希德首先澄清說,我們開設的是“道德黑客課程”,也叫滲透測試課程。
在這門課上,學生要扮演黑客的角色,模擬侵入系統,同時也會體驗另一方防御者的角色,在兩者的模擬中提升保護系統安全的技能。拉希德表示,“我們的目的是希望學生們能夠了解,攻擊者是如何找到系統的薄弱之處。要是你不知道攻擊者如何發動攻擊,那么你就沒有辦法保護自己的系統。”
拉希德同時強調,這樣一個敏感的課程,道德規則非常重要。“我們會明確告訴學生,他們學到的技術只能用于幫助他們理解系統的薄弱之處,不能用于任何非法或不道德的行為。”
拉希德表示,“道德黑客課程”是一周密集上課,有時在教室里,有時在實驗室里,然后是兩周有指導的自學和完成作業。“道德黑客課程”很受學生歡迎,因為他們覺得很受啟發,既幫助他們理解黑客是如何攻擊系統的,也能指導他們該用什么樣的安全策略來擊敗這些黑客。
除了“道德黑客課程”,蘭開斯特大學還開設事故調查課程,教學生應對安全漏洞發生的情況:學生們會被分給一臺感染了病毒的機器,然后找出到底哪里出了問題。
蘭開斯特大學的網絡安全碩士不僅僅關注技術層面。“這是一個技術問題,但卻不僅僅是技術問題。”拉希德說:“它還涉及了犯罪學、地緣政治和法律層面。”
作為世界上首個開設信息安全專業碩士課程的大學,倫敦大學皇家霍洛威學院的信息安全碩士也得到了GCHQ的認證。皇家霍洛威也采用模塊式教學,課程包括安全管理、密碼學和安全機制、網絡安全、電子商務的法律和監管問題、數據庫安全,網絡犯罪、數字取證等。
畢業去向
沒有找不到工作的畢業生
對于畢業生而言,讀網絡安全碩士課程是一個“安全選擇”,因為知道如何保護數據免受網絡攻擊的畢業生非常“搶手”,《衛報》直言道。
皇家霍洛威學院信息安全組主任基思·馬丁教授指出,這是一個前景光明的職業。“學生來讀我們的碩士,是因為他們在尋找一項職業。他們認為網絡安全是易于就業的一個領域。”吉本斯教授說,在牛津大學,開設課程幾年來,還沒有找不到工作的畢業生。
除了上述3所大學外,得到認證的還有愛丁堡龍比亞大學、克蘭菲爾德大學、薩里大學。其中后兩所大學將于今秋開始招生。盡管得到了GCHQ的認證,但這些認證的碩士學位和GCHQ的招聘沒有直接關系。GCHQ工作人員強調,認證是因為這6家大學達到了最高標準。
這些網絡安全碩士也是對網絡間諜的正名,是英國國家安全戰略中的一部分。英國十分重視網絡安全,2009年即出臺了首個國家網絡安全戰略,是最早把網絡安全提到國家戰略高度的大國之一,而教育則被認為是提升網絡安全技術的關鍵。英國國防部認為,在未來的沖突中,除了傳統的海上、陸地和空中行動,還可能同時伴隨“網絡行動”,因此英國有必要加強這方面的力量。
這些獲得GCHQ認證的碩士畢業生中,為企業服務的仍然是絕大多數。英國電信集團總裁馬克·修斯表示,網絡安全碩士課程將會為電信公司輸出具備專業知識和技能的理想員工,這對英國的網絡安全發展來說,是顯著的進步。
學完課程,就能成為網絡安全專家了嗎?“當然!”吉本斯信心滿滿地說。