5月12日晚,WannaCry勒索病毒在全球多个国家蔓延,国内多所高校的网络遭受到勒索病毒的攻击,大量学生毕业论文等重要资料被病毒加密,还有相当一部分企事业单位的电脑也同样中招。
如今,网络安全已变成另一个“战场”。勒索病毒爆发后,世界各国工程师纷纷奔赴“战场”,一位英国网络工程师用顺手注册的域名拦截了病毒的蔓延,但勒索病毒随即升级变种,这种“治毒方法”也已失效。
美国战略和国家研究中心的一项报告指出,全球每年因为黑客攻击而损失4000多亿美元。在网络安全这个战场里,人才是网络安全的核心,各国高校纷纷开设相关专业,学生摇身一变成为“黑客捕手”或“网络忍者”,他们在网络空间里秉持良好的职业道德,用精湛的技艺与黑客进行PK,保卫网络空间的安全。
魔高一尺,道高一丈,网络安全这个没有硝烟的战场,需要更多的“捕手”和“忍者”守护!
美国
大学设“黑客班”,学生争当“网络忍者”
1998年,美国塔尔萨大学教授素基特·谢诺伊在信息安全学院创办了“网络军团项目”,如今,该项目专门训练学生做黑客课程,这个班也被称为“黑客班”。“黑客”课程学制两年,通过课堂理论和实际操作,学生需要熟练掌握跟踪技巧、从垃圾中收集情报、编写病毒程序、借助一系列电子设备破解网络密码、攻击网站、恢复数据等。
依照塔尔萨大学信息安全学院官网介绍,学院招收“对计算机科学、计算机工程学、电子工程学、化学工程学、机械工程学、应用物理学、工程物理学或数学有强烈兴趣”的大学本科生、硕士生、博士生。根据谢诺伊教授的介绍,就读塔尔萨大学信息安全学院的学生年龄从17岁至63岁,需是安全级别至少为“高度机密”的美国公民——事实上,学生需有一定军方背景,且在攻读计算机科学、工程学、法律或商科等学位并希望开拓第二职业。
“黑客班”的每名学生被指定参加一个警方犯罪实验室,锻炼“黑客”技能,学习使用新技术,从被损毁的智能手机、带全球定位系统的装置和其他电子设备中恢复数据。谢诺伊教授在接受美国《洛杉矶时报》采访时说,学生不仅要具备“黑客”技能,控制并阻止电脑病毒大规模传播,有时也要冒充儿童,在网上收集恋童癖者的违法证据。2003年,学生们还攻破一个电子邮件账户,协助美国特工处破获一起三连环凶杀案。谢诺伊教授说:“我把学生抛入深渊,然后他们变得无所畏惧。”
正因如此,谢诺伊教授称他的学生们为“网络忍者”,毕业时,这些“网络忍者”可获得网络操作证书的文凭,他们倾向于进入美国安全机构工作,如中央情报局、国家安全局和特工处工作,学生们戏称中情局为“姐妹会”、国安局为“兄弟会”。据统计,自2003年至今,学院260多名毕业生中,85%进入这两个机构。
现今,“网络军团项目”课程得到了推广,继塔尔萨大学后,美国东北大学、海军研究生院、达科他州立大学等20所院校皆设立了相关课程,塔尔萨大学更是被国家安全局授予“精英中心”称号。国家安全局高级官员尼尔·齐林曾访问塔尔萨大学信息安全学院,他感慨:“塔尔萨的学生向国家安全局展示了许多获得好评的实际操作,在参与执法部门、行业或政府机构的行动方面,很少有学校能做到像塔尔萨大学这样。”
年年举办国家网络安全意识月
美国在每年10月份都会举办国家网络安全意识月,由国土安全部主办,国家网络安全联盟协办,它致力于面向公共及私营行业,宣传共同加强工作场所及家庭的网络生活安全。2016年,美国国家网络安全意识月的主题是“培养下一代网络安全专业人员”,各路专家认为,要提高网络安全教育水平,就应将精力集中在给教育工作者提供与教育主题相关的背景信息,以及有关行业技术的发展前景和网络安全的基础知识。目前所做的一切都还不够,安全需与隐私齐头并进地发展,专家们期待下一代能够建立比当今更安全可靠的世界。
网络安全教育要从娃娃抓起
百通公司网络安全主管曼迪·胡特将网络安全比作消防事业:“当我上小学时,每个月都会有消防演习,每个人都会迅速疏散,并在指定地点重新集合。”他认为,学校不能等到真正遇到火灾,才告诉学生如何在紧急情况下采取行动,对于下一代进行网络安全教育的最好方式,就是将类似的演习也运用在网络安全领域,尤其是在早期教育计划中渗透安全意识,启发学生随着年龄增长在个人发展历程中走上信息安全之路,“比如,学校在幼儿园时期教会孩子们打字,也可以用网络钓鱼、社会工程来考验他们,还可以教他们安全地进行网上浏览。”
网络安全领域需要的不仅是技术
独立信息安全咨询机构发言人克劳斯·豪曼表示,获得证书是进入网络安全行业的极佳切入点,但证书只是学习的开始,应被视为敲门砖,除此之外,要考虑拥有一份通用的凭证,如注册信息系统安全师,然后再在安全领域继续锻炼自己的技术专长。“安全领域需要的不仅是技术,还需要如会计、经济、刑事司法、行为心理学、公共关系等技能。一旦安全专家找到了自己的位置,就可以利用自身优势,以持久的努力和奉献精神,深化职业道路。”
日本
政府举办“黑客大赛”,警方代表体验攻击者角色
由于日本企业与政府机关服务器常遭到不明身份的黑客攻击,登录网页的用户私密信息被盗,为此,日本政府决定培养一批人才,专门对付黑客攻击,因此每年都会举办一场日本最大规模的“黑客技术大赛”,大赛的主办方是日本网络安全部门。
2016年的预选赛在横滨举行,负责企业及政府机关服务器受到攻击案件的警方工作人员野本警官也参加了本次比赛,野本警官称,这是他首次参加此类大赛。除了野本警官,还有5名选手来自警察局,他们平日负责网络病毒的解析和破解,前来参赛也是为了测试自己的水平。其他参赛人员包括科技公司的员工以及对网络安全感兴趣的学生,参赛人数超过百人。
比赛内容分为5项,只要选手在5个项目中的任一项目能够进入前8名,就有可能争夺最后的冠军。其中一项比赛为“SQL注入挑战”,限时5分钟,选手需要在5分钟内找到安全漏洞,并从虚构的主页中获得个人信息。主办方称,这项技术是目前在网上最常见的盗取个人信息的手段,因此为了找出其破绽,必须要了解并掌握这项技术。
遗憾的是,野本警官在规定时间内只完成了4道程序破解,还剩1道,没能进入复赛。比赛后,野本警官说:“虽然没有进入复赛,但通过比赛,我学会了从攻击方的角度考虑问题,今后为了能够应对更多的问题,我会努力做出一套系统来。”
英国
2014年,英国情报机构“三叉戟”之一的英国政府通讯总部授权六所英国大学,允许他们提供训练来培养未来的网络安全专家,即“黑客捕手”,这六所大学分别是牛津大学、兰开斯特大学、伦敦大学皇家霍洛威学院、爱丁堡龙比亚大学、克兰菲尔德大学和萨里大学。
牛津大学:名校培养“黑客捕手” 历时4年方获硕士学位
牛津大学该专业名为“软件和系统安全硕士”,专业采用模块式教学,学生需要修完10个模块,再完成1篇论文,才能获得硕士学位。项目宗旨是将学生培养成“黑客捕手”,独立设计强有力的系统,抵御黑客入侵。
牛津大学提供了14个和安全相关的课程模块,包括安全原理、云安全、数据安全和隐私、手机系统安全、无线网络安全、取证等课程,学生需从其中选择6个,再从软件工程项目提供的其他38门课程中选择4个,这就是每位学生必修的10个模块。
“大部分学生平均1年只能修完3个模块,所以要拿到硕士学位,差不多需要4年时间。”该项目主任杰瑞米·吉本斯介绍,“每个模块持续11周,在这段时间里,学生要学最新技术,还要参与实战环节,比如如何为整个企业设计架构,来保护数据安全;如何集成敏感的医疗数据,但又不泄露病人的隐私;怎样在汽车和密钥卡之间建立无线通讯协议,来抵御攻击等等。”
牛津大学的硕士项目是专业硕士项目,学生多为在职人员。吉本斯表示:“我们期望的学生是具有相关的教育背景,再有一些行业经验,最少有两年的全职工作经验,当然不仅局限于计算机和网络安全领域,金融界、政府和电信通讯行业的学生同样可以申请该项目。”
兰开斯特大学:黑客课程是必选课
兰开斯特大学的网络安全硕士课程中,黑客课程是必选课,当然,学校不是在培养黑客,而是让学生参加“道德黑客课程”,即渗透测试课程。
课上,学生要扮演黑客的角色,模拟侵入系统,同时也体验另一方防御角色,在两者的模拟中提升保护系统安全的技能。兰开斯特大学网络安全研究中心主任阿维斯·拉希德说:“我们的目的是希望学生能够了解攻击者,并找到薄弱之处,如果不知道攻击者如何发动攻击,你也没有办法保护自己的系统。”由于这门课程很敏感,所以老师会明确告诉学生,所学的技术只能用于理解系统的薄弱之处,不能用于任何非法或不道德的行为。
“道德黑客课程”在教室和实验室交替进行,课后,学生要自学相关知识并完成作业。这门课程十分受欢迎,学生觉得模拟黑客角色这种形式具有启发性,2015级的谢尔利同学有感而发:“我理解了黑客是如何攻击系统的,我也能用相关的安全策略击败黑客,这门课让我进步飞速!”
“黑客捕手”绝对抢手
英国《卫报》直言,读网络安全硕士课程是一个“安全选择”,因为知道如何保护数据免受网络攻击的毕业生非常“抢手”。事实也是如此,由英国政府通讯总部授权六所英国大学培养出的网络安全专业毕业生主要为政府和企业服务,如爱丁堡龙比亚大学毕业生进入英国国防部工作,配合海上、陆地和空中行动,实施“网络行动”,而网络安全正是英国国家安全战略的一部分;牛津大学的毕业生在企业里表现亮眼,甚至得到了英国电信集团总裁马克·修斯的赞扬:“我们需要具备专业知识和技能的理想员工,这对企业的网络安全非常重要,牛津大学的课程所培养的人才满足了我们用人的需求。”
韩国
网络安全人才从学生开始培养
韩国历来十分重视网络安全,例如,网络安全竞赛获胜可抵高考成绩,信息安全公司高级技术雇员可免服兵役,如果企业受到黑客攻击,根据法律,被罚的是受害的公司,受害公司必须向服务方进行赔偿。政府认为,人才是网络安全的核心,因此,韩国的网络安全人才培养是从小学生开始,一路延续到大学和研究生院。
韩国军队和位列韩国三所著名高校之一的高丽大学签有协议:让成绩最好的学生去学网络安全,学生将获得全额奖学金,毕业后为军队服务。2000年,高丽大学成立了信息安全研究生院;2012年3月,成立了网络国防学院;2014年以前,高丽大学网络防御专业的课程设置是保密的,如今,公开的课程包括密码学、信息隐藏、网络法、网络心理学、数字取证、信息保障、基本军事学和职业道德教育。
在公立的网络安全人才培养计划中,由韩国信息技术研究所推出的BoB计划最引人瞩目。BoB计划全称是“Best of the Best”,意为“佼佼者”。BoB计划从2012年开始,每年以无上限的经费和资源,培养了超过100名年轻的网络安全参赛者。2015年是培训的第四年,所培养的黑客团队DEFKOR在国际黑客大赛中一举夺得冠军。
DEFKOR黑客团队在2015年的DefCon黑客大会上,击败美国卡耐基梅隆大学的黑客团队PPP,成为首个获得该项赛事冠军的韩国团队。DEFKOR团队所取得的成绩当时震惊世界,团队共13名成员,包括3名大一学生、2名大二学生、1名大三学生、2名大四学生、2名研究生以及3名在信息安全公司工作的人士。所有成员都是从大一开始,接受了网络攻防、漏洞挖掘以及编写程序能力的培训。BoB计划为他们提供了强劲的师资力量,这些成员也进行自我培训,有系统有计划地自学相关课程。
BoB计划的导师全部是国家级的网络安全专家,他们对学生实施一对一甚至多对一的培养计划,实施竞争淘汰制。课程持续8个月,分三个阶段,第一个阶段是学习基本的网络安全知识,第二个阶段是在导师的指导下完成项目,第三个阶段是做更深层的研究。在这个过程中,学生会不断被淘汰,而留到最后的优秀学生即“佼佼者”,这些“佼佼者”会获得约17000美金的奖励,还享受不受限制的研究基金与其他计划的支持。
本文转自d1net(转载)