第一问  我们需要什么样的人才？

“百无一用是书生”。这句话虽然是对于当前教育体系所存在问题的夸张描述，不过也确实反映了对于网络安全人才的实战化要求。

作为关键基础设施的运营单位甲方机构，作为网络安全厂商的乙方机构，还有科研机构，大家都到底需要什么样的人才？产学研用的观点能否达成部分的一致呢？

有些话也许能说得直白一点：虽然薪酬不能成为判定人才的唯一标杆，但毕竟是一个标杆，“那什么样的人才是薪酬飙高的人才类型？”

当前的回答也可以简单直白：“能够打通信息安全铁人三项赛的人，就是最被需要的人。”这样的人，就是坐下来能沉静地分析数据（数据分析赛），冲上去可以保护机构的关键基础设施（企业计算环境赛），当然退下来能够保护自己，保护自己的手机，包括自己的家人（个人计算环境赛）。这种能攻善守的人，都是各个工作岗位正在争夺的人才。

第二问  “铁人”能被教出来吗？

目前，参加信息安全铁人三项赛的选手基本上都是学校里面的学生。那么这些铁人是教出来的吗？能被我们现在的学校教出来吗？其实我们大家都心知肚明，同学们也心知肚明，各位老师也心知肚明，各位院长也心知肚明。

这里说的“教”是狭义的教。也就是说用咱们传统的教学方法是教不出“铁人”来的？一本教材、一个老师、一个教室、一些作业，加上一个辅导老师、一个实验室，最后再有一个考试，这样的模式教不出铁人。铁人不是“教”出来的，铁人是“打”出来。到了真实岗位，一个没有真正“打”过的赵括就会带来让40万赵兵被坑杀的惨祸。

如果我们都有这样一个心知肚明的“否”，那为什么不一起做出些深刻的改变呢？借口可以找很多，比如说学校有制度、课时有限制、预算有限制、编制有限制。困难很多借口很多，但是我们还是要改变，还是要去创新，要去想办法培养能“打”的人才。铁三赛就是为这个目标而设计的，在真实环境和真实题目里面“打”起来，而且要力图让“打”融入教学各个环节里。

第三问    到底需要多少专业人才？

最近，大家都听过这么个数——7。我国在未来几年，将需要70万到100万的网络安全专业人才。可当前，满打满算，我国现在的网络安全执业人员算出来也就几万人，不到10万，那么还有几十万的人才缺口。

这个需求数据到底是怎么来的？就这个数据，我们项目组经过简单研究，做了这么一个对比演算：仿照“人口与医护人员的比例关系”，当前我国人口与医护人员比例是600:1左右，美国是500:1左右。我国医护人员高级职称比例虽然比美国低，但总体来说我国医护人员在人口的比例数还是不错的。如果比照着这个指数来规划，我国现在是7亿多网民，如果按照1000:1的比例设定“网民与网安执业人士比例”，那么自然就出来了70万左右这个数。随着网民数量的增加和增速趋缓，那“70万到100万的专业人员需求量”就是一个比较靠谱的数字了。就像医护人员也有医生、护士、制药、医疗器材设计等不同的职业分工，这些专业人员中也是有高、中、低的级别之分，也有分门别类之分。 

当然除了“网民与专业人员的比例数”，还有其他一些指数可帮助预估网安人才需求量。比如，关键技术设施的价值量和防护人员数量的比例；再比如，依据对手人员数量和素质来设定自己对抗人员的数量基数——黑产从业人员数与网络警察专业人才数量的比例等。

总之“70万”这个数量级对我们了解教育需求是一个很重要的基础指标。由此可推演出很多重要推论。

要在几年之内培养出几十万的学生，这样一个数量级的学生输出需求，肯定不能仅仅靠四到六所一流网络空间安全学院达成，而要有一个有梯级分门类的教育体系。

未来几年中培养出几十万优秀的毕业生和执业人员，不仅要有质，还要有量。作为教育界，我们要清晰地认清我们的使命和责任。

第四问   怎么达成铁人需求供给的质和量？

这次信息安全铁人三项赛的总决赛，每个战队最多可以有八位同学上场比赛。这已经是当前国内安全竞赛单个战队参赛人数最多的竞赛了。

有个情况，各位老师和院长都心知肚明。学校能够拉上这种赛场的能有几十人？十几人？还是就这几个人？参赛的各位同学可能是学校最优秀的竞赛选手，但是背后的第二梯队、第三梯队真实存在吗？是否除了到场的参赛人员，其他同学的水平就一落千丈呢？

“铁三赛”的体系，就希望努力改善这个问题。铁三赛的根基就是建立“常态化的训练营”，让比赛能够反向影响到学校的教学体系。除了参赛选手，还要求常态化的训练营有一定的学员规模，形成梯次化的培养模式。而且引导学校的训练营与安全企业和用人单位“结对子”，将外部能力带入。

第五问  在一个训练营里面什么问题是最难抓的？

既然训练营是“铁三赛”的根基，是网络安全教育改革的一个突破口。那么在训练营中，在网络安全教育体系中，什么最难？什么是“牛鼻子”？是比赛难组织吗？是出题难吗？是人员还是设备难题？

我认为最难的是“意愿”，是同学们的学习意愿、竞赛意愿。不仅仅是当前训练营里面的同学，而是让更多同学有意愿学习网络安全，有兴趣打比赛，有意愿坚持下去。

意愿真的是非常难的。就像教育，人们常说“教育是一个反人性的东西”，按着你的头来教你，你肯定就没兴趣，也没效果。怎么才能真正把学生的意愿调动起来？怎么样能够让常态化的训练营做到这一点？

让学的人能够有持续的教育参与意愿，说来说去，可能就是一个办法——“反馈”。教育需要反馈，学生需要知道学得如何（从而得到激励），老师需要知道教得如何，用人单位需要知道选拔的人能力如何。传统教学的反馈主要是考试，考试是主要的评价标准；而现在，我们要引入“比赛”这个新型反馈机制，要“以赛带学”，让比赛机制跟考试机制相结合，构建更全面真实的反馈体制。而且，现在不断完善和多样化的比赛，也越来越靠近未来实际工作岗位的需要，更能反映学生是否掌握真实有用的能力，有效地缓解“百无一用是书生”的窘境。

第六问  如何能够让训练营打起来，而且能持久地打起来？

如果参赛的战队中有三年级四年级的同学，这些战队骨干毕业了，战队怎么办？还能保持实力吗？怎么才能把长期的梯队建立起来？怎么才能构建“打起来”的长效机制？

这里推荐成都信息工程大学（简称“成信大”）的办法，可以成为成信大模式。成信大在首届信息安全铁三赛总决赛中获得季军，一个非985非211学校如何做到的？因为铁三的机缘，笔者比较深入地了解到“成信大模式”的整体培养机制，给“成信大模式”起了一个比喻化的新名字“哈利波特的魔法学校模式”。

成信大的信息安全专业学生从大一一进入到学校开始，就要求每个学生必须参加一个战队，“三叶草战队”或者“Dot.Com”战队；然后，两个战队的学生就会一直这样互相“打”下去，一直到大四毕业。这种模式就像《哈利波特》电影里面，新生一入学就要分学院，四个学院一直比试下去，哈利波特就一直为自己学院的荣誉而学而战。成信大的学生也一样，在学校里面，为自己战队的荣誉而战；到了学校外，两个战队单独或者联合出战为成信大而战。“打”是一个常态，做到了以赛带学。

大部分的学生天性喜欢打游戏、喜欢运动、喜欢比拼，这种模式更容易调动学生们的意愿。为什么不把成信大的模式、哈利波特魔法学校模式，引入到主流教学体系中去呢？虽然，改变机制会遇到困难，但笔者认为这个模式符合网络安全教育的自身规律。

前段时间笔者也了解到中科院信工所的NESE战队，也是用类似“魔法学校模式”。他们将学生分成三个战队，每个月一赛。当月赛执行得越来越频繁之后，老师已经没有精力保证出题了；最后变成三个战队，一个战队出题，另两个战队互打；这样持续“打”的模式坚持下来，使得NESE战队在国内CTF比赛的成绩上涨得非常快。

对于“打”，不是今天高兴打就打，明天碰到点困难就不打了；而是构建“魔法学校模式”，长期打下去。

第七问  魔法学校需要什么装备支持？

哈利波特魔法学院模式，可不仅仅是“将学生分分拨儿，让他们自己打起来”那么简单。

要想做到“以赛带学”——用比赛驱动学习，就要让比赛变得容易。如果部署一个学院的内部赛都要准备好几周时间，说“常态化的比赛”就不现实了。所以说，方便快捷、灵活多变的竞赛平台是“魔法学院”的标配。

“以赛带学”是要带动学习。竞赛可以直接带动的就是实验教学、操作性实践性的学习。一个竞赛环境的局部拆解就变成了“安全实验”。课程需要配合实验，实验与竞赛之间不是互相冲突而是可以融合起来的。

在《哈利波特》中，霍格沃茨魔法学校学员们的学习一直都在一种场景化环境中。魔法学校随处都是魔法，它是用一种“浸入式”教育模式。当然，如果真的上个厕所前也得破解一个题，挑战可不小，也可认为是一种乐事。给魔法学校模式适当地提供浸入式场景环境，可以提升教学效果。

当学生被竞赛、实验、浸入式环境驱动着向前学习的时候，个人的个性化路径和进度就会丰富起来，就难以用一刀切的教学来跟进。那么线上的自由学习环境和资源就成为必须。

竞赛不是为了冲击教学，竞赛是为了连接教学、提升教学、变革教学。

第八问  需要多少斯内普和麦格？

斯内普和麦格都是霍格沃茨魔法学院的教授，邓布利多是校长。我们的学生肯定梦想着，自己的老师都是斯内普和麦格这样的教授，自己的院长和校长都是邓布利多这样的酷老头。斯内普、麦格、邓布利多除了善于教书育人之外，还有一个特点就是他们都很能“打”。这个要求可不低。

我们到底需要多少像斯内普和麦格这样的老师呢？如果按照几年内要培养70万专业人士的目标要求，可以反推出来，对于优秀教师的需求量至少是“万数量级”。

培养这个数量级的老师，将是一个真正的“大工程”。转岗培训、旋转门机制、引进企业导师、课程教研和导学、教师评价评优等机制都应当用充分包容的姿态容纳进来。

在魔法学院模式下，对于教师能力的要求非常大，教师需要有丰富的线上教学资源和方便的实验竞赛环境来支持。

未来优秀教师至少包含两种，一种是能够运用外部装备把自己变成“钢铁侠”，讲出好的课、带出好的学生，出山可以带队打竞赛，送出一批批被用人单位疯抢的毕业生；另一种优秀教师，就是能够创新摸索出好的教学模式，贡献立体教材资源（教材、PPT、视频、实验指导手册、学生个性评估方法等），在平台支持下为大家提供钢铁侠式的装备。未来的教师队伍，就是《哈利波特》、《钢铁侠》、春秋战国人物等高手云集的一个大师群体。

第九问  魔法学校需要什么样的大机制？铁三教学体系需要什么机制？

教育需要机制的保障。对接和支持魔法学校模式的新教学，需要让它又有效果，又省钱。如果一个机制非常费钱，是绝对不靠谱的。我们要考虑到以下因素：

• 要兼顾尖子生的高度（竞赛选手）和全员的水平底线；

• 学生在学校的教育过程，要超前的融入用人单位中去；用人单位同样可以把学生和技术骨干再反向回炉到学校里面来修炼；

• 旋转门可以让教师队伍在有序的流动中稳定提高；

• 面向教学“实效”的评优导向全面调整，包括对于学生的评估、教师的评估、学院的评估；

• 向中学延展，去超前培养和延揽优秀中学尖子；

这些单项机制上的变革要求，都需要教学的引领者组织者多创新，不断实践。

除了上面难以全面罗列的单项机制变革，还有一些整体性的大体制，值得我们思考。比如：

• “天大模式”。这是天津市软件大学学院的组织模式，以城市为组织单位，组织城市内相关学校建立“联合院校”来达到的一种高效益培养模式。

• “警院模式”。这一次“铁三赛”总决赛中，有三所警察学校入围决赛圈，前十名中有两所警察学校。这些学校具有鲜明的行业特色背景，在教学中也充分利用了行业的支持。

落实到机制上的创新和变革，也许才能具有持续性。教育需要持续的坚持。

第十问  铁三能否包打天下？

十问中的第一个问题，“我们需要什么样的人”，我们给出的回答是“需要能打铁三的人”。

能打铁三的人，是不是就能包打天下？其实也不是。

我们需要铁人，能攻善守的，也就是能分析数据，能逆向，能挖漏洞，能搞防御；可除了铁人这类猛士，还需要有谋士，懂政策、懂管理，会能够调动资源、甚至需要懂经济。还需要有牧师和政委，就是懂人的人，懂心理战，懂管理学、心理学等。还需要有匠人，即懂开发、懂编程、懂硬件软件。还要有钻研者，学术研究、理论研究。

虽然，前面九问说的都是铁人的培养，但我们还需要方方面面的人才。我们的教育怎么能够更好地培养出70万优秀的网络安全专业执业人员，如何担负起这个使命。所以说学校的机制不能完全比照着铁人来，这也是对从事网安教育的老师和院长们的挑战。

（本文刊登于《中国信息安全》杂志2017年第10期，经中国信息安全公众号授权转载。）