面對資安人才不足問題,相關人才培育一直是近年產官學界關心重點,從資安教育與培訓來看,包含在職教育與在學學生教育等兩個面向。

以政府與學界而言,針對資安在職教育的計畫,2016年舉辦的亥客書院,以及今年行政院資通安全處籌設的資安學院平臺,都是例子,而資安在高等教育的發展也行之有年,像是教育部與經濟部共同推動的「資訊安全人才培育計畫」,期望結合國內大學校院資安教學能量,藉此培養資安實務應用人才。

關於資安實務教育與培訓的發展狀態,在今年HITCON Pacific大會的一場演講中有相關的介紹。來自交通大學、臺灣大學與臺灣科技大學的教授,揭露他們在新型態資安暑期課程、跨校資安實務課程,以及國際合作的經驗。

關於資安教育的分級現況,交通大學資訊工程系副教授黃俊穎首先從金字塔的四個層級來介紹,最底層是透過本地資安社群與學生社團來發起,往上則是性質較正式的培訓計畫,例如,大學資安實務課程、全國性資安實務課程,以及世界級選手的培育。

對於推動資安人才的培育,政府也在積極策畫,黃俊穎簡介了教育部資安菁英人才培訓計畫的概況。基本上,總計畫主要是由臺灣科技大學教授吳宗成、資訊安全人才培育計畫辦公室主導,當中包含三個子計畫,分別是:資安實務課程與示範教學資源中心推動計畫、資安核心人才培育推動計畫、實務導師制度與資安扎根計畫。

事實上,這項總計畫的項目內容龐大,橫跨競賽、課程,以及平臺、實習與產學合作方面,還有各式配套活動進行,並從入門到進階都包含在內。而AIS3新型態資安暑期課程,就是在子計畫二的資安核心人才培育推動計畫之下。

當然,我們也將關注未來將如何能夠向下扎根,讓中小學生的教材課綱融入社會資訊、資訊科學與資訊道德。

關於AIS3的發展,發展至今已4年,從2015年暑假開始到現在,主要開放給大專院校及高中生參與。黃俊穎表示,這個為期一週的暑期資安實務課程,其實也面臨不少挑戰。例如,雖然基於奪旗(Capture The Flag,CTF)方式的搶旗攻防賽,是能夠讓學生產生興趣的入門管道,但也曾因為課程太偏向CTF,而產生爭議。

對於如何促進學生對資安產生興趣,又要讓他們認識到資安課程的面向不只是CTF,使得主辦方需持續調整,以符合需求。

關於CTF的課程內容,黃俊穎也解釋,這個課程進入的門檻其實也較高,沒有基礎的人員,將不容易跟上講師授課的進度,因此他們從2016年開始,也加入了前測的機制,進一步達到學員篩選的目的。

在課程進行期間,主辦方也會幫學員分級,不僅是要找出適合當攻防競賽選手的人才,並希望讓所有學員都能在此有更多收穫與進步,而最終的評量方式,也就是透過小型的CTF,針對資安攻防的問題來解決。

而在課程內容的規畫上,也相當多元且豐富。黃俊穎舉例,不僅是教導 CTF的技巧,還包括SOC、安全資料分析、APT、SDR、自動化漏洞利用(Automatic Exploit Generation,AEG)、應用程式安全的AI應用,安全軟體開發,車用控制器區域網路(CAN bus)入侵,以及行動、IoT與電信網路方面的安全。

確實,這樣的資安課程活動,已經引起越多越多學生的興趣。根據黃俊穎公布AIS3在前測的相關數據來看,去年有353人參加前試,共有175人通過,錄取率為49%,今年更是有460人參加,有182人通過,錄取率為40%。

而從前試的成績分布來看,每年頂尖的人才佔比是1%左右,大部分解題成績都是落在60%到20%之間。

值得注意的是,他們仍持續觀察前測對於學生的幫助,需確認這麼做是正向或是反向。雖然成績的評量,可讓他們有個依據來區分大家的程度,但對於學員而言,一開始如果遇到艱深的題目,是否也可能因為感到害怕,而擔憂資安很難學。

資安領域面向廣,教育資源有限,跨校資安課程培育也不斷發展茁壯

由於資安的面向非常廣泛,但學校的資源也有限,例如,每個老師都有各自不同專長,因此在各校教育上,也出現了難以針對資安開課的問題。國立臺灣大學資訊工程學系助理教授蕭旭君表示,透過跨校課程來分享資源的平臺,成為解決的一種辦法,從長期的願景來看,就是希望達到資源共享、知識共享,學生也將能更容易認識志同道合的伙伴。

這樣的課程規畫,其實是從2014年開始,從學生社團與CTF團隊(217與BambooFox),以及同年的DEF CON CTF的影響,讓臺灣大學與交通大學在秋天開始合作,之後,臺灣科技大學也一同參與,以及CTF團隊BFS的加入。近期,中山大學也將參與線上課程。

基本上,這個跨校資安實務課程,是為期18週有學分的課程,講師、助教也都來自CTF戰隊成員,陣容堅強。

在主要課程規畫上,蕭旭君提到,這個科目存在著第0份作業的內容,也就是在選課前就要繳交,希望學生能在上課前就能感受到此科目的風格與作業量,同時,也將進一步篩選出非三分鐘熱度的同學。

而之所以這麼做,也是因為這門課程很強調學習歷程,需要大量的練習。他們同時鼓勵學生參與資安競賽與漏洞獎勵計畫,可以成為科目加分的依據。

從這幾年的課程來看,其實也在不斷調整內容。蕭旭君表示,今年他們就找了各領域專家,讓上課同學們能接觸到每個領域的資安。包括像是基礎工具與概念、Binary、Pwn、網路協議、惡意程式逆向工程、行動軟體安全檢測、入侵與分析、網站安全、漏洞利用、加密學與軟體測試等。

值得注意的是,課程規畫並不容易,他們每年其實都實施了一些調整。例如,去年他們曾把課程集中在Linux Binary方面,由於課程較難,儘管有些學生認為很棒,但也有很多學生吃不消,因此今年做了明顯的調整。另外,對於作業難度上,他們也在改變,會將題目拆分得比較細,增加學員解題意願。

不過,在這門跨校課程的互動方式中,還是有不小的挑戰要面對。

蕭旭君指出,首先,講師與學生互動的困難就是其中一個因素,例如,網路的問題往往影響到線上直播,儘管以現在的技術來看,這並非問題,但他們還是遇到這樣的問題。而且,同學們之間的互動,需要依靠助教去幫忙留意。

第二、因為線上課程有錄影,對於現在的學生來說,不準時出席,在家觀看過程,也成為可能的學習作法,因此他們現在增加課堂上的練習題,多讓講師帶著同學做一遍,也期望幫助每次上課後的作業練習,提供充分的準備。

第三、雖然他們也提供了線上的討論平臺,讓學生再面對問題時,能有一個溝通的管道,但對於學生而言,可能無法做到較即時的回應,也會讓學習過程受到影響。此外,如何鼓勵學生參與作業與實作練習,也是跨校課程要面臨的考驗。

2019資安人才培育新進展:打造國際性資安人才

不僅是臺灣高等教育的資安人才教育課程規畫,如何與國際接軌也很重要。關於這方面的最新發展,臺灣科技大學資訊工程系副教授鄭欣明表示,將在2019年與亞洲幾個國家合作,舉辦Global Cybersecurity Camp,達成更進一步的跨國合作,以及更高層面的知識分享,並有更多機會,見識到其他國家訓練資安專才的方式。

目前,根據他們的規畫,將由臺灣、韓國、日本與新加坡合辦,發起的組織方面,包括:臺灣AIS3、韓國BoB,以及日本的資安研習營與新加坡的Division Zero社群。

鄭欣明指出,各國將選出8個學生,集中到一個地方訓練,而這個研習營將是為期1週的活動,講師也將由各國分別負責,而由於目標是培育國際性人才,因此,使用者所採行的語言也將以英文為主。甚至,他們也計畫將各國的一位學員,直接住在不同國家的學員宿舍中,讓彼此能有更多機會融入,課程上也不僅是CTF資安競賽,並將涵蓋資安顧問諮詢、資安事件調查等面向,以發展出國際爭搶的資安人才。

無論如何,資訊安全越來越受到重視,但培養國際性的人才也是一個面向,而且,資安不只是技術性的面向,CTF與資安競賽都是讓資安變得更有趣生動,但也只是其中一環,從不同的培訓計畫中,他們認為也要認知到,學習像是資安顧問諮詢、資安事件調查等面向。此外,透過多元的學習管道,以及不斷的學習與練習,期望讓更多有興趣的人,能夠在這條路上走的更長更遠。

當然,國內學院推動的資安課程發展也不僅如此,像是最近我們也注意到中山大學,設立了全臺灣第一個資訊安全研究專門的碩士班,不僅是培育高階資安人才,也希望能配合他們資訊安全研究中心的成立,在高等教育上凝聚及整合更多能量,增進臺灣資安在人才與產業的發展。


Advertisement

更多 iThome相關內容