臺灣高等教育在資安培力，強化暑期與跨校課程，積極與國際接軌

面對資安人才不足問題，相關人才培育一直是近年產官學界關心重點，從資安教育與培訓來看，包含在職教育與在學學生教育等兩個面向。

以政府與學界而言，針對資安在職教育的計畫，2016年舉辦的亥客書院，以及今年行政院資通安全處籌設的資安學院平臺，都是例子，而資安在高等教育的發展也行之有年，像是教育部與經濟部共同推動的「資訊安全人才培育計畫」，期望結合國內大學院校資安教學能量，藉此培養資安實務應用人才。

關於資安實務教育與培訓的發展狀態，在今年HITCON Pacific大會的一場演講中有相關的介紹。來自交通大學、臺灣大學與臺灣科技大學的教授，揭露他們在新型態資安暑期課程、跨校資安實務課程，以及國際合作的經驗。

關於資安教育的分級現況，交通大學資訊工程系副教授黃俊穎首先從金字塔的四個層級來介紹，最底層是透過本地資安社群與學生社團來發起，往上則是性質較正式的培訓計畫，例如，大學資安實務課程、全國性資安實務課程，以及世界級選手的培育。

對於推動資安人才的培育，政府也在積極策畫，黃俊穎簡介了教育部資安菁英人才培訓計畫的概況。基本上，總計畫主要是由臺灣科技大學教授吳宗成、資訊安全人才培育計畫辦公室主導，當中包含三個子計畫，分別是：資安實務課程與示範教學資源中心推動計畫、資安核心人才培育推動計畫、實務導師制度與資安扎根計畫。

事實上，這項總計畫的項目內容龐大，橫跨競賽、課程，以及平臺、實習與產學合作方面，還有各式配套活動進行，並從入門到進階都包含在內。而AIS3新型態資安暑期課程，就是在子計畫二的資安核心人才培育推動計畫之下。

當然，我們也將關注未來將如何能夠向下扎根，讓中小學生的教材課綱融入社會資訊、資訊科學與資訊道德。

關於AIS3的發展，發展至今已4年，從2015年暑假開始到現在，主要開放給大專院校及高中生參與。黃俊穎表示，這個為期一週的暑期資安實務課程，其實也面臨不少挑戰。例如，雖然基於奪旗（Capture The Flag，CTF）方式的搶旗攻防賽，是能夠讓學生產生興趣的入門管道，但也曾因為課程太偏向CTF，而產生爭議。

對於如何促進學生對資安產生興趣，又要讓他們認識到資安課程的面向不只是CTF，使得主辦方需持續調整，以符合需求。

關於CTF的課程內容，黃俊穎也解釋，這個課程進入的門檻其實也較高，沒有基礎的人員，將不容易跟上講師授課的進度，因此他們從2016年開始，也加入了前測的機制，進一步達到學員篩選的目的。

在課程進行期間，主辦方也會幫學員分級，不僅是要找出適合當攻防競賽選手的人才，並希望讓所有學員都能在此有更多收穫與進步，而最終的評量方式，也就是透過小型的CTF，針對資安攻防的問題來解決。

而在課程內容的規畫上，也相當多元且豐富。黃俊穎舉例，不僅是教導 CTF的技巧，還包括SOC、安全資料分析、APT、SDR、自動化漏洞利用（Automatic Exploit Generation，AEG）、應用程式安全的AI應用，安全軟體開發，車用控制器區域網路（CAN bus）入侵，以及行動、IoT與電信網路方面的安全。

確實，這樣的資安課程活動，已經引起越多越多學生的興趣。根據黃俊穎公布AIS3在前測的相關數據來看，去年有353人參加前試，共有175人通過，錄取率為49%，今年更是有460人參加，有182人通過，錄取率為40%。

而從前試的成績分布來看，每年頂尖的人才佔比是1%左右，大部分解題成績都是落在60%到20%之間。

值得注意的是，他們仍持續觀察前測對於學生的幫助，需確認這麼做是正向或是反向。雖然成績的評量，可讓他們有個依據來區分大家的程度，但對於學員而言，一開始如果遇到艱深的題目，是否也可能因為感到害怕，而擔憂資安很難學。

資安領域面向廣，教育資源有限，跨校資安課程培育也不斷發展茁壯

由於資安的面向非常廣泛，但學校的資源也有限，例如，每個老師都有各自不同專長，因此在各校教育上，也出現了難以針對資安開課的問題。國立臺灣大學資訊工程學系助理教授蕭旭君表示，透過跨校課程來分享資源的平臺，成為解決的一種辦法，從長期的願景來看，就是希望達到資源共享、知識共享，學生也將能更容易認識志同道合的伙伴。

這樣的課程規畫，其實是從2014年開始，從學生社團與CTF團隊（217與BambooFox），以及同年的DEF CON CTF的影響，讓臺灣大學與交通大學在秋天開始合作，之後，臺灣科技大學也一同參與，以及CTF團隊BFS的加入。近期，中山大學也將參與線上課程。

基本上，這個跨校資安實務課程，是為期18週有學分的課程，講師、助教也都來自CTF戰隊成員，陣容堅強。

在主要課程規畫上，蕭旭君提到，這個科目存在著第0份作業的內容，也就是在選課前就要繳交，希望學生能在上課前就能感受到此科目的風格與作業量，同時，也將進一步篩選出非三分鐘熱度的同學。

而之所以這麼做，也是因為這門課程很強調學習歷程，需要大量的練習。他們同時鼓勵學生參與資安競賽與漏洞獎勵計畫，可以成為科目加分的依據。

從這幾年的課程來看，其實也在不斷調整內容。蕭旭君表示，今年他們就找了各領域專家，讓上課同學們能接觸到每個領域的資安。包括像是基礎工具與概念、Binary、Pwn、網路協議、惡意程式逆向工程、行動軟體安全檢測、入侵與分析、網站安全、漏洞利用、加密學與軟體測試等。

值得注意的是，課程規畫並不容易，他們每年其實都實施了一些調整。例如，去年他們曾把課程集中在Linux Binary方面，由於課程較難，儘管有些學生認為很棒，但也有很多學生吃不消，因此今年做了明顯的調整。另外，對於作業難度上，他們也在改變，會將題目拆分得比較細，增加學員解題意願。

不過，在這門跨校課程的互動方式中，還是有不小的挑戰要面對。

蕭旭君指出，首先，講師與學生互動的困難就是其中一個因素，例如，網路的問題往往影響到線上直播，儘管以現在的技術來看，這並非問題，但他們還是遇到這樣的問題。而且，同學們之間的互動，需要依靠助教去幫忙留意。

第二、因為線上課程有錄影，對於現在的學生來說，不準時出席，在家觀看過程，也成為可能的學習作法，因此他們現在增加課堂上的練習題，多讓講師帶著同學做一遍，也期望幫助每次上課後的作業練習，提供充分的準備。

第三、雖然他們也提供了線上的討論平臺，讓學生再面對問題時，能有一個溝通的管道，但對於學生而言，可能無法做到較即時的回應，也會讓學習過程受到影響。此外，如何鼓勵學生參與作業與實作練習，也是跨校課程要面臨的考驗。

2019資安人才培育新進展：打造國際性資安人才

不僅是臺灣高等教育的資安人才教育課程規畫，如何與國際接軌也很重要。關於這方面的最新發展，臺灣科技大學資訊工程系副教授鄭欣明表示，將在2019年與亞洲幾個國家合作，舉辦Global Cybersecurity Camp，達成更進一步的跨國合作，以及更高層面的知識分享，並有更多機會，見識到其他國家訓練資安專才的方式。

目前，根據他們的規畫，將由臺灣、韓國、日本與新加坡合辦，發起的組織方面，包括：臺灣AIS3、韓國BoB，以及日本的資安研習營與新加坡的Division Zero社群。

鄭欣明指出，各國將選出8個學生，集中到一個地方訓練，而這個研習營將是為期1週的活動，講師也將由各國分別負責，而由於目標是培育國際性人才，因此，使用者所採行的語言也將以英文為主。甚至，他們也計畫將各國的一位學員，直接住在不同國家的學員宿舍中，讓彼此能有更多機會融入，課程上也不僅是CTF資安競賽，並將涵蓋資安顧問諮詢、資安事件調查等面向，以發展出國際爭搶的資安人才。

無論如何，資訊安全越來越受到重視，但培養國際性的人才也是一個面向，而且，資安不只是技術性的面向，CTF與資安競賽都是讓資安變得更有趣生動，但也只是其中一環，從不同的培訓計畫中，他們認為也要認知到，學習像是資安顧問諮詢、資安事件調查等面向。此外，透過多元的學習管道，以及不斷的學習與練習，期望讓更多有興趣的人，能夠在這條路上走的更長更遠。

當然，國內學院推動的資安課程發展也不僅如此，像是最近我們也注意到中山大學，設立了全臺灣第一個資訊安全研究專門的碩士班，不僅是培育高階資安人才，也希望能配合他們資訊安全研究中心的成立，在高等教育上凝聚及整合更多能量，增進臺灣資安在人才與產業的發展。