网络安全国家标准引入信息安全专业人才培养的探索

摘  要：网络安全标准对于促进技术创新、保障国家安全、支持法律政策实施、加强国际竞争力以及提升网络安全能力具有重要意义，党和国家有关机构在相关意见和文件中都高度重视标准化人才队伍建设，在此背景下分析网络安全国家标准在信息安全专业人才培养中的现状，提出将网络安全国家标准引入信息安全专业人才培养过程的实施路径，经初步探索和实践，教师和学生的标准化意识和素养都得到较大提升，既提高信息安全专业人才培养质量也凸显人才培养过程的特色。

关键词：网络安全；国家标准；标准分类；信息安全；人才培养

中图分类号：C961      文献标志码：A          文章编号：2096-000X（2025）02-0170-05

Abstract： Cybersecurity standards play a significant role in promoting technological innovation， ensuring national security， supporting the implementation of laws and policies， enhancing international competitiveness， and improving cybersecurity capabilities. Relevant opinions and documents from the Party and state authorities place great emphasis on the construction of a standardized talent team. Against this backdrop， this paper analyzes the current situation of national cybersecurity standards in the cultivation of information security professionals and proposes an implementation path for incorporating national cybersecurity standards into the training process of information security professionals. Preliminary exploration and practice have yielded positive outcomes.

Keywords： cybersecurity; national standards; standards classification; information security; talent cultivation

网络安全是国家安全的重要组成部分，事关国家长治久安，事关经济社会发展和人民群众福祉。党的十八大以来，在习近平总书记关于网络强国的重要思想指引下，我国网络空间法治化程度不断提高，网络安全保障体系和能力持续提升，网络强国建设迈出新步伐[1]。网络安全标准化是网络安全保障体系建设的重要组成部分，在构建安全的网络空间、推动网络治理体系变革方面发挥着基础性、规范性、引领性作用[2]。

2016年8月，中央网络安全和信息化委员会办公室、国家质量监督检验检疫总局、国家标准化管理委员会联合发布的《关于加强国家网络安全标准化工作的若干意见》（以下简称《意见》），对新时代构建我国网络安全标准体系作出部署。《意见》实施以来，全国网络安全标准化技术委员会（简称“网安标委”，TC260）作为对网络安全和信息安全国家标准进行统一技术归口的部门，累计新制定和修订相关国家标准逾300项，现行及即将实施标准超410部，为网络安全相关法律法规落地实施和行业企业网络安全实践提供了坚实基础和保证。《意见》第12条指出，“将标准宣传实施与网络安全管理工作相结合，促进应用部门、企业、科研院所等机构和人员学标准、懂标准、用标准。”《意见》第16条指出，“选择有条件、有意向的重点院校，设立网络安全标准化相关课程，培养标准化专业人才队伍。鼓励校企合作，支持在校学生到企业实习和企业人员到学校接受标准化培训。”

2021年10月，中共中央、国务院印发的《国家标准化发展纲要》第三十二条“加强标准化人才队伍建设”中明确要求将标准化纳入普通高等教育、职业教育和继续教育，开展专业与标准化教育融合试点[3]。

2024年3月，市场监管总局等18部门联合印发《贯彻实施〈国家标准化发展纲要〉行动计划（2024—2025年）》第三十三条“加强多层次标准化人才队伍建设”中再次明确要求加强标准化普通高等教育，推进标准化技术职业教育等[4]。

可以看出，党中央、国务院和中央网络安全和信息化委员会办公室、国家标准化管理委员会等都高度重视标准化工作和标准化人才队伍建设，相关政策文件中也都明确提出设立网络安全标准化相关课程或者在高等教育中开展专业与标准化教育融合试点。国家标准GB/T 42446—2023《信息安全技术 网络安全从业人员能力基本要求》中将“能理解和应用与组织网络安全目标相关的法律法规、政策和标准”列为网络安全从业人员必备的通用技能要求。因此，信息安全专业作为为国家输送急需的网络空间安全人才的重要来源[5]，在人才培养过程中必须高度重视学生对网络安全相关标准的理解和运用能力的培养，进而为网络安全标准化科研、管理、应用等人才队伍提供坚实储备。

一  网络安全国家标准引入信息安全专业人才培养现状分析

随着信息技术的飞速发展，网络信息安全问题日益凸显。近年来，《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等颁布实施，我国网络安全标准化工作也不断提质增速，相关标准不仅有力支撑了国家网络安全法律法规落地实施，也规范赋能了网络安全产业高质量发展。信息安全专业作为我国网络安全行业从业者来源排名第二的专业[6]，在人才培养过程中不可避免会涉及到部分网络安全标准特别是网络安全等级保护系列标准、信息安全管理体系系列标准等标准的介绍，这些标准相较于总量410多部的网络安全标准体系只能属于极少的一部分，网络安全标准引入专业人才培养和课程建设的力度还远远不足。

（一）  专业课教师对网络安全国家标准体系认识缺乏系统性

信息安全专业课教师往往具备计算机及相关专业学科背景，但对国家标准化理论和知识认识不足，在专业授课过程中很容易仅仅局限于部分章节提及的少量网络安全国家标准而忽视对整个网络安全国家标准体系的深入探索，造成了对网络安全国家标准体系的认识缺乏完整性和系统性。

（二）  专业课程建设中系统引入网络安全国家标准的力度明显不足

网络安全标准涵盖内容广泛，包含基础标准、技术与机制标准、安全管理标准、产品与服务标准、网络与系统标准、数据安全标准、组织管理标准和新技术新应用（云计算、大数据、物联网、移动互联网、人工智能和关键信息基础设施）标准等[7]。信息安全专业核心课程[8-9]如应用密码学、计算机网络安全、信息系统安全、网络攻防技术、可信计算、信息隐藏技术和信息内容安全等课程所涉及的知识单元、知识点等几乎都可以找到与之对应的网络安全相关标准，既往教学中，对与专业知识密切相关的标准介绍、相关国家标准与专业知识的融合运用及标准化相关知识和理论等，在课程教学和人才培养过程中是显著缺失的。

二  网络安全国家标准引入信息安全专业人才培养实施路径

（一）  重塑人才培养目标和专业课程目标

在信息安全专业人才培养过程中引入网络安全国家标准，必须站在专业全局的角度，将标准化相关知识和网络安全国家标准运用能力加入专业人才培养目标，这也在一定程度上突显了专业人才培养特色。另外，《工程教育认证通用标准解读及使用指南（2022版）》中关于12项毕业要求中第6项“工程和社会”的内涵解读中明确提到“了解相关领域的技术标准体系”[10]，将网络安全国家标准引入信息安全专业人才培养也是实施工程教育认证的必须要求。

在专业人才培养目标的指引下，相关专业课程也须重塑课程目标，将与本课程相关的网络安全国家标准的理解和运用纳入课程内容，同时各专业课程必须协同配合、将各自专业知识单元或知识点与网络安全国家标准融合教学达到落实专业人才培养目标的目的。对于通用的国家标准化基础知识和理论，仅选取一门专业课程引入即可，如选取应用密码学或计算机网络安全等较早开设的专业课程进行1～2个学时的介绍，具体涉及的知识点见表1。

（二）  系统搜集网络安全国家标准，建立网络安全国家标准分类图谱和知识库

当前，网络安全国家标准数量及涉及领域众多且在不断丰富增加，为了便于教师和学生快速查询得到与某专业知识相关的一个或系列国家标准，必须在系统搜集网络安全国家标准的基础上，科学地建立网络安全国家标准分类图谱和知识库。网络安全标准数量众多、领域宽泛，网络安全国家标准分类图谱的建立是一项富有挑战的工作，在参考网安标委及行业企业如北京炼石网络技术有限公司分类的基础上，形成了如图1所示的“安全标准之5种定位，安全产业之3大赛道，6大应用属性、29项细分”网络安全国家标准分类图谱。该分类图谱从产业大类、标准定位、应用属性3个维度对网络安全国家标准进行了分类，产业大类和应用属性也一定程度上折射了安全产业图谱，安全产业正在从“网络安全主导、密码技术支撑”向“网络安全、数据安全、密码技术三位一体”转变；教师和学生应用“6大应用属性、29项细分”分类方法可以快速得到与专业知识相关的国家标准。

在建立网络安全国家标准分类图谱的基础上，可利用数据库或者文档管理工具等进一步建立标准知识库，提供给教师和学生使用，方便其快速查询所需的国家标准。

（三）  开展专业知识和相应网络安全国家标准融合教学

为了系统地开展专业知识和相应网络安全国家标准融合教学，各专业课程授课教师团队需要在重塑课程目标的基础上，系统梳理课程知识单元和知识点，对照网络安全国家标准分类图谱，建立知识单元或知识点与相应网络安全国家标准间的对应表，通过已经建立的网络安全国家标准知识库得到相应标准后，对相关标准进行深入分析和解读，将国家标准与原有专业知识进行有机融合重构教学内容、教学方式、考核评价和持续改进等，以确保专业知识和网络安全国家标准融合教学取得预期成效和目标。此处以计算机网络安全课程为例，所建立的专业知识和相应网络安全国家标准间的对应关系见表2。

表2详细展示了计算机网络安全课程中各章节专业知识点和主要网络安全标准之间的对应关系，将国家标准与原有专业知识进行有机融合能够对原有教学内容形成有效补充和深化。如在第1章网络安全基础中引入“网络安全从业人员能力基本要求”标准，结合每年国家网络安全宣传周期间发布的《中国网络安全产业分析报告》《网络安全产业人才发展报告》等解读，相较过去笼统和概括性地介绍网络安全产业发展现状，能够让学生在更加清晰具体地了解产业现状和人才现状的基础上，结合从业人员能力基本要求标准中提出的工作类别、工作任务、工作角色及应具备的知识和技能等选择适合自身特长和兴趣的岗位类别，并依据岗位类别所需知识和技能引导自身的学习目标和努力方向。再比如第8章防火墙技术，传统教学往往只注重介绍防火墙基本概念、分类、技术原理等，结合国家强制标准“网络安全专用产品安全技术要求”及推荐标准“防火墙安全技术要求和测试评价方法”，能够让学生进一步了解掌握防火墙这一极其重要的网络安全产品应该具备的完整功能要求、自身安全要求、性能要求和产品开发测试过程中的安全保障要求，以使学生具备的专业知识更加接近真实的行业现状和需求，为日后从事防火墙及相关网络安全产品的研发、测试、部署等奠定坚实基础。

三  实施效果

通过2020级信息安全专业选取部分课程试点引入网络安全国家标准及2021级信息安全专业人才培养全面引入网络安全国家标准的实践和探索，从专业课教师端来看，专业课教师通过共同学习、集体研讨、教学设计与实施等具体实践，对标准化基本知识及网络安全国家标准体系和框架等有了更加全面、深入的理解，通过专业知识和网络安全国家标准有机融合重构教学内容和教学方法，使课程内容进一步得到充实和深化，并且会在以后科研项目开展过程中注重网络安全国家标准与科研相结合，将科研成果转化成国家标准进行推广应用。