定义一个新域
作者Jon Kuiperij - 2022年5月19日
加拿大第一个网络安全学位背后的故事
如今,我们大多数人在使用信用卡进行网上购物、在云端存储重要文件或在智能手机上进行私人对话时,都会毫不犹豫地使用信用卡。
但在互联网的早期,情况远没有这么安全,当时登录网络就像在危险的土路上超速行驶,不系安全带,处处充满危险。当公司和个人开始将有价值的数据存储从纸质转向数字化时,犯罪分子也没落后多少。仅在2008年,身份盗窃就影响了近10%的加拿大人口,使消费者、银行、信用卡公司和零售商店损失高达72亿美元。
早在身份盗窃和其他网络犯罪爆发之前,维克多·拉列维奇(Victor Ralevich)博士就已经看到了地平线上的乌云。虽然Ralevich最初被聘为Sheridan计算机科学文凭课程的教师,但他的专长是密码学,即使用算法和密钥将纯文本转换为不可破译的代码(反之亦然)的艺术,以确保数据只有发送者和预期的接收者可读。在来到Sheridan之前,Ralevich已经在加拿大、美国和以色列的几家大公司做了6年的首席科学家、信息系统安全顾问、首席安全官和信息技术(IT)经理。
“维克托意识到工业中正在出现的安全威胁,他也知道防御这些威胁所需的技能。”
——Sheridan应用计算学院的长期管理员Mark Orlando
Sheridan计算机科学协调员Dragana Martinovic博士比任何人都更了解Ralevich的背景——这对已婚夫妇曾共同撰写并提交了大量的研究论文,主张加强教育和医疗数据的安全性——但Sheridan应用计算学院的其他人也认可Ralevich的专业知识。“维克托意识到工业界正在出现的安全威胁,”长期任职于应用计算学院的管理员马克·奥兰多回忆道,“他也了解防御这些威胁所需的技能集:密码学、入侵检测、渗透测试、安全审计、道德黑客等等。他知道如何培养一名全面的网络安全专业人士。”
虽然Ralevich和Martinovic都认为计算机科学文凭课程应该教授安全概念,但他们也意识到,三年时间不足以向网络安全专家灌输所有的高等数学、网络和其他能力。但是,当高等教育选择和卓越法案该法案于2000年通过,使得安大略大学能够提供应用学位,Ralevich很快就提议Sheridan成为加拿大第一个提供网络安全本科学位的高等教育机构。“我知道这将是一个挑战,”加里·克洛松(Gary Closson)说,他从1996年到2007年担任谢里丹应用计算与工程服务学院院长,“但我喜欢这个想法——特别是因为我们已经有了这么强大的计算机科学项目。”
开创了网络安全和计算机科学的独特融合
在Sheridan领导的全力支持下,Ralevich在接下来的两年时间里制定了一套独特的课程,将网络安全概念嵌入到基础计算机科学中。第一个课程图包括数据库安全、网络安全、编写安全程序、伦理和伦理黑客、信息系统安全立法、计算机取证、物理安全、操作安全和通信安全等课程。Ralevich还寻找信息系统安全经理和行业专业人士来服务于项目的专业咨询委员会(PAC),该委员会通过进一步提供课程信息、担任嘉宾演讲者、捐赠硬件和软件、为优秀学生提供资助机会以及在项目的第三和第四年之间提供8个月的带薪实习机会来支持项目的发展。
克洛松回忆说:“高等教育质量评估委员会(PEQAB)对大学学位的要求非常严格。“他们坚持认为我们没有复制任何大学提供的学位,这就是我们把这个项目称为‘应用信息科学学士-信息系统安全’的原因。”’即使在那时,也有大学教授在审查这个项目,以确保它真的是独一无二的。”PEQAB还要求该项目的教员要么拥有丰富的行业经验(在一个新兴领域很难找到),要么拥有博士或硕士等高级学术证书。
“在意识到(数字取证)是一个需要学习的重要领域方面,谢里登并不比警方落后太多。”
-前数字取证教授约瑟夫·科尔森
Sheridan计算机科学文凭项目的几位教授已经获得了后者,但他们仍然通过获得认证信息系统安全专业人员(CISSP)、全球信息保证认证(GIAC)和信息系统审计与控制协会(ISACA)认证来提高他们的教育水平,以加强新项目的提案。为了充实教员队伍,Ralevich利用了他的行业人脉,并寻找在相关领域有经验的合格安全专业人员。
Joseph Coltson是皮尔地区警察局的一名资深侦探,2002年,Ralevich在高技术犯罪调查协会的一次会议上找到了他,邀请他设计和教授该项目的二年级数字取证课程。“几年前,我通过安大略警察学院和加拿大警察学院的培训学习了数字取证,所以谢里登在意识到这是一个重要的学习领域方面并不比警察落后多少,”科尔森说。科尔森现在是专业服务公司普华永道加拿大分公司的合伙人、国家取证市场负责人。“我围绕我的个人经历开设了这门课程,并保持了非常介绍性的内容,这将允许学生在玩一些工具的同时,建立对调查过程的理解。我努力让他们的生活更加真实。”
尽管做出了所有这些努力,谢里丹向PEQAB申请新学位的第一个申请还是被拒绝了,因为课程图建议第四年的学习完全在网上进行——安大略省教育部认为这种新方法在学位级别的学习中不可行。当时担任谢里丹应用计算与信息管理学院副院长的莱诺•埃德蒙兹(Lenore Edmunds)表示:“教育部当时的逻辑在今天已经说不通了。”“由于我们的学生将在三、四年级期间进入企业进行为期八个月的实习,我们认为他们可以去工作,建立一些人脉,然后在完成最后一年的学习期间留在原来的地方。这是个好主意。”
“当这个学位最终取得进展时,主要是因为维克托。他对他所做的事情有如此的激情,如此的投入。这是难以置信的。”
——前应用计算与信息管理学院副院长Lenore Edmunds
谢里丹没有被吓倒,第二年再次申请,这一次获得了PEQAB的批准。“当第一个提案被拒绝时,Maureen Callahan(当时Sheridan学院负责学术的副总裁)说,‘别担心,我们会再提交一次,”Edmunds说,“我们的第二个提案确保突出了我们现有的所有质量保证措施,比如我们的本地学术委员会。但说实话,当这个学位最终取得进展时,主要还是因为维克多。他对他所做的事情有如此的激情,如此的投入。这是难以置信的。”
一般的,但利基的方法打开了机会之门
BAISc第一届毕业班的成员包括(后排从左到右)杰夫·贝茨,杰西·穆昆迪,迈克·威廉姆斯-耶格斯,乔尔·鲍尔斯,迈克尔·珀克林和约书亚·麦克杜格尔(前排从左到右)
创建一个前所未有的项目是一回事,找到学生来填补是另一回事。第一批只有35名学生:28名高中毕业,3名大学毕业生,2名大学毕业生和2名国际学生。beplay官网下载“由于几个原因,入学人数大约是我们最初预期的三分之二,”马蒂诺维奇说。IT行业在几年前就开始稳步下滑,合格的学生和家长也不确定安大略大学毕业生的职业潜力和进一步的教育机会。该课程最初被标榜为‘应用学位’,而且最初只批准了5年,这造成了更多的困惑和担忧。”
Ralevich和Martinovic通过在新学位启动前告知计算机科学专业的学生,帮助激发了学生的兴趣和意识,但项目的第一批学生要么是偶然发现了应用信息科学学士学位(BAISc),要么是先追求其他兴趣才加入的。“我们是一群偶然进入这个项目的恶棍,然后意识到,‘这太棒了’,”尼克·约翰斯顿回忆说。他刚刚从谢里丹的计算机编程文凭项目毕业,在拿成绩单时看到了宣传这个新学位的小册子。同学乔尔·鲍尔斯(Joel Bowers)在Sheridan的计算机科学技术文凭项目学习了一年之后转到了BAISc,他渴望学习新的概念,并希望四年的文凭能让他有更好的机会成为一名系统管理员。来自肯尼亚的国际学生杰西·穆昆迪(Jesse Mukundi)来到谢里丹时没有任何编程经验,他在转学新学位之前上了一天的计算机科学课程,因为管理人员认为这将为他提供更好的职业机会。乔舒亚·麦克杜格尔原本计划在谢里丹学习电信专业,但在一次开放日活动中走错了房间,得知北航将高中计算机科学学分作为科学学分。
不管学生们对这个课程的看法如何,他们很快就被它独特的教学方法所吸引:足够宽泛,可以让他们找到最吸引他们的网络安全领域,但比提供网络安全专业的大学计算机科学学位更小众。“谢里丹的学位绝对领先于那个时代,”鲍尔斯说。“它是计算机科学,重点是这个正在开发的新领域,它的结构给我们提供了一个非常好的选择和我们可以进入的各种领域的样本。”学生们还接受了该项目的群组学习模式,该模式以小班授课和必修核心课程为特色,使教师能够密切监控每个学生的进步并满足他们的需求。
“我们是一群偶然进入这个项目的恶棍,然后意识到,‘这太棒了。’”
-就职学员尼克·约翰斯顿
很快就可以看出,新计划走上了正确的轨道。第一批毕业的26名学生立即都在自己的领域找到了工作——这预示着未来的发展——科尔森在2007年离开警察部门,成为毕马威咨询服务公司法医技术服务/电子发现副总裁。事实上,正是科尔森给了约翰斯顿、鲍尔斯和麦克杜格尔第一份工作,先是让他们实习,后来又让他们成为毕马威的全职员工。奥兰多说:“我们总是觉得对我们的毕业生会有需求,但需求之大甚至可能让维克多感到惊讶。我们所有人都对我们的毕业生能够胜任的工作和责任的广度感到惊讶。”
学生们可能在毕业之前就已经有资格从事这些工作了。尽管这个项目的首字母缩写发音为“基础”,但该项目中的大多数课程都要求极高,教授们不愿妥协。埃德蒙兹记得,有一天晚上,他走过谢里丹动画和新兴技术中心(set)的大楼,看到拉列维奇和马蒂诺维奇在课后为一门数学课程进行辅导,而班上大部分学生都没有通过这门课。埃德蒙兹说:“在正常的学术环境下,我们可能会扭曲成绩,但维克多和德拉加纳坚持认为,学生必须理解主题,所以他们在晚上重新复习所有内容,以确保学生真正理解所有重要的内容。”2013年毕业的Andrew Turnsek承认:“一开始,我们以为Victor是个工头,因为他的高等数学和繁重的考试。该项目强大的学生俱乐部的联合创始人他们定期在课外举行会议,进一步讨论最新的网络安全趋势和问题,向嘉宾演讲者学习,并参加技能比赛。“但我们最终意识到,他的课程就像军队的新兵训练营,让训练(变得)困难,让战斗看起来很容易。”
由于学生们实际上是在学习如何闯入私人网络,Ralevich也是网络伦理的强烈倡导者,确保学生们了解该行业的道德和社会影响。“我们必须教给学生的第一件事就是知道如何做一件事和对它负责之间的区别。我们必须说服他们,他们不是黑客,而是信息安全专业人士。”当一年级学生理查德·莱因德斯和麦克杜格尔成功侵入谢里登的IT网络时,这种思维就显露出来了,他们提供了一份详细的报告,说明了他们是如何做到的,以及谢里登如何防止此类事件再次发生。克洛松指出:“我们的IT人员不得不告诉学生们,他们的行为是不合适的,但学生们确实帮助了谢里登,帮助IT部门提高了安全性。”事件发生后不久,后来为雅虎工作的Reinders !和其他几家大公司——被谢里丹聘用为兼职IT研究顾问。
“(完成我的硕士学位)老实说,在谢里登完成我的本科学业后并没有那么困难。在这四年里,我们学到了很多东西。”
- Kroll常务董事Joel Bowers
其他许多学生在完成项目前也在行业工作,有些人甚至在完成8个月的实习后获得了全职工作机会。克洛松说:“我们的学生通常最终满足了他们所在组织的真正关键需求,所以那些公司很难让他们再回学校学习一年。”马蒂诺维奇补充说:“维克托必须努力说服雇主,如果我们的学生在实习结束后被雇用,他们就会失去学位。”“我们所有的学生都能回来读第四年,这是对这个项目的巨大证明。”
当与密歇根的达文波特大学、科罗拉多的丹佛大学、澳大利亚的西悉尼大学和格里菲斯大学达成衔接协议时,进一步得到了验证。鲍尔斯是第一批在达文波特完成信息保证理学硕士学位的BAISc毕业生之一,获得了高级资格进入该项目——包括豁免密码学课程。“说实话,在谢里丹读完本科后,这并不难。我们在这四年里学到了很多东西,”鲍尔斯说。在2018年成为Kroll加拿大网络风险业务董事总经理之前,鲍尔斯在达夫菲尔普斯加拿大分公司担任了近10年的全球电子发现和取证服务主管。
“我们的学生通常最终满足了他们所在组织的真正关键需求,所以那些公司很难让他们再回学校学习一年。”
——应用计算和工程服务Sheridan院长Gary Closson
约翰斯顿还在达文波特获得了硕士学位,并在毕马威(KPMG)和达夫菲尔普斯(Duff & Phelps)工作了6年,但他从未完全离开谢里丹。毕业后不久,他就成为奥兰多大学聘请的几名校友之一,开始是应用计算专业的兼职教授,专攻信息安全和数字取证,然后在2011年成为全职网络安全教授。奥兰多说:“我们正在创造自己的专业知识,为行业的能力做出贡献,因为我们的毕业生将在行业中找到工作,获得硕士学位,然后回来分享他们所学到的东西。”“因为他们已经非常熟悉我们的课程,他们成为了新学生的优秀老师,这成为了招聘教学人才的一种自我维持的模式。”
“这是一个很好的组合,有更注重学术的教授,像维克多,也有在工业领域有经验的人,像尼克或乔,”特塞克同意道。“这种学术与应用的结合为你在信息安全领域取得成功提供了一切所需。”谢里丹的学生和管理人员并不是唯一有这种感觉的人。2014年,作为加拿大最具创新性和最成功的大学项目,BAISc获得了加拿大社区学院协会的黄金项目优秀奖,隆重庆祝了其成立十周年。sheridan当时的总裁兼首席执行官Jeff Zabudsky博士说:“BAISc的学位项目证明了大学识别和应对新兴趋势和行业需求的能力。”“在Victor Ralevich博士的领导下,BAISc培养了一批信息系统安全专业人才,他们具备在大数据时代处理广泛安全问题的能力。”
2014年,BAISc创始人Victor Ralevich博士从加拿大社区学院协会(现为加拿大学院和研究院)主席兼首席执行官Denise Amyot手中接过加拿大社区学院协会金奖
这一荣誉是一个分水岭,不仅对谢里丹的学位——当时仍是加拿大唯一的本科项目——而且对该领域也是如此。“那个奖项对维克多意义重大,”约翰斯顿回忆道。两年后,在拉列维奇去世后,他成为了该项目的协调人。“我们都认为这是对网络安全重要性的承认。在早期,维持这个项目的运行有时是很困难的。该奖项代表了一个转折点,当时世界和行业似乎意识到网络安全是一个需要研究的领域。”
在不断发展的行业中,基本面仍然是成功的关键
谢里丹可能是加拿大第一个提供网络安全本科学位的学校,但它肯定不再是唯一一家。加拿大全国近75所高等教育院校现在提供某种形式的网络安全证书,这是有充分理由的:根据一份报告,加拿大网络安全专业人员的就业岗位每年以7%的速度增长加拿大网络安全中心2021年报告.Sheridan还通过其继续与专业学习(CAPS)扩展了其网络安全系列课程,包括三个课程项目网络安全基础而且网络安全-法律和道德政策和程序;各种课程如网络安全基础,资讯保安原则,针对中小型企业的电子邮件安全,网络安全而且操作系统安全—Windows;新的进攻性和防御性网络安全微证书将于今年秋天发布。
“这是一场永远的猫鼠游戏。犯罪分子一直在寻找绕过安全措施的方法,所以我们需要不断寻找新的保护方法。”
-信息科学学士(网络安全)协调员Nick Johnston
约翰斯顿说:“网络安全专业人员将一直很受欢迎,因为这是一场永远的猫鼠游戏。”“犯罪分子一直在寻找绕过安全措施的方法,所以我们需要不断寻找新的保护方法。你永远不能静止不动。”然而,尽管不断的演变,以及最近重新命名的学位信息科学荣誉学士(网络安全)- BAISc的核心课程与近20年前成立时基本相同,强调数据库和网络安全、安全软件开发、取证、伦理和立法方面的基本技能。“如果你在科学和数学方面有良好的背景,你可以很容易地学习所有其他的东西”,这是马蒂诺维奇总结Ralevich的通才哲学时的一句话,这句话今天对毕业生和雇主来说仍然适用。
鲍尔斯说:“很多实际工作都是在你进入这个领域之后才学会的。”他估计,他在Kroll的团队中85%的成员都是谢里丹的毕业生。“有了谢里丹所教授的所有通用技能,我知道他们的毕业生将能够带着一些想法进入任何环境。2019届毕业生Alana Staszczyszyn在短短一年后就在该行业找到了第一份工作,在安大略省卫生共享服务公司兼职担任信息安全分析师。Staszczyszyn表示:“我们学到的所有不同的东西,很快就为我们担任许多不同的角色做好了准备。”他目前正在对量子计算潜在的网络安全问题进行独立研究。“在我看来,我在一年后就掌握了足够的知识,在这个领域工作,这是不可思议的。”
在霍尔顿工业教育委员会组织的网络安全训练营中,BAISc协调员尼克·约翰斯顿(左)为当地小企业主领导了一个讲习班。
也许没有哪个谢里丹毕业生比詹姆斯•阿伦(James Arlen)更懂得解决问题的能力在行业中的价值。在BAISc项目成立的10年前,詹姆斯就利用自己在90年代中期媒体艺术专业学习时磨练出来的数字解决问题的能力,开启了他极为成功的网络安全职业生涯。“学术界倾向于培养专家,但在网络安全领域,去专业化实际上会对你有利,”该报告的主要作者之一阿伦表示云安全联盟关于云计算关键重点领域的指南现任首席资讯保安官Aiven,全球云计算解决方案提供商.“当你的视野开阔时,你常常会看到原本看不见的东西。”
阿伦认为,这些通用的解决问题的技能将是解决行业中出现的新挑战的关键,比如制造业日益依赖于互联互通、自动化、机器学习和实时数据。“我们如何建立既能排除不良行为,又能保持灵活性的系统?”我们如何创建动态可重构的生产线,同时确保安全不会被配置出去?如果我可以重写软件使它变得更好,我也可以重写它使它变得更糟。”“很多核电站都有上世纪80年代的控制系统,安全措施在它们的侧面越来越多。建造下一代制造业的人需要以一种本质上安全的方式建造它。”
帮助该地区的制造企业解决这些挑战正迅速成为该计划的一个更大目标。Sheridan是新成立的网络安全创新网络(CSIN)的教育机构合作伙伴,这是一个创新和协作网络,将加强研发,增加商业化,并在加拿大各地培养熟练的网络安全人才,最近在其先进制造和设计技术中心(CAMDT)内建立了工业网络安全创新与研究实验室(LIRIC)。在LIRIC的第一个研究项目中,Johnston和几个学生帮助Brampton软件即服务(SaaS)公司Simplified Automation通过实现多因素身份验证(MFA)和其他协议识别和解决安全控制漏洞。
“当维克多建立这个项目时,他不愿意妥协。从一开始这就是大学的标准,培养了良好的职业道德和优秀的背景知识。”
-前Sheridan教授Dragana Martinovic博士
Dragana Martinovic博士(左)和Victor Ralevich博士
在2019冠状病毒病大流行之前,谢里丹的学生还在由霍尔顿工业教育委员会(HIEC)组织的网络安全训练营与当地小企业主分享了他们的专业知识。HIEC是一家非营利社会企业,旨在促进伙伴关系、导师关系和劳动力发展。“我们的社区关系表明,需要这种类型的支持,特别是小企业,他们往往缺乏时间、资源和专业知识,以跟上所有网络安全的速度,”HIEC运营总监米歇尔·默里(Michelle Murray)说。谢里丹学生为研讨会开发的一些内容后来被HIEC用作另一个社区服务的基础,该社区为老年人提供有关网上银行安全、针对性垃圾邮件和其他互联网危险的建议,并为中小学生举办职业意识研讨会。约翰斯顿说:“我们真的希望通过研究项目和其他计划,我们能够从安全的角度帮助其他人改善生活。”
这正是Ralevich在世纪之交开始着手做的事情,早在这个行业爆发成现在的样子之前很久。
“这是难以置信的。在谈到BAISc从一个最初难以招到学生的项目,发展成为网络安全领域的教育领导者,每年吸引350名学生,而且有很长一段等候名单时,马蒂诺维奇这样说道。“当维克多建立这个项目时,他不愿意妥协。他不愿意接受Sheridan是一所大学,学位不需要是大学标准的想法。从一开始这就是大学的标准,培养了良好的职业道德和优秀的背景知识。
“我们为学生提供的支持帮助我们建立了一个社区,这让我们感到兴奋。”