新闻快讯
< >

网络安全探秘:为何顶级黑客多来自俄罗斯?

E安全6月29日 布莱恩·克雷布斯本周提出了一个有趣的议题,即“为什么那么多极具才华的黑客(无论其是黑、灰或白的身份)皆来自俄罗斯以及各前苏联国家?”在他看来,结论似乎非常直观,因为这些国家拥有类似的教育制度。

战斗民族的孩子为什么这么“野性”?

事实上,克雷布斯的报告只是直接比较了美国与俄罗斯如何教育十二年制学生掌握编码与计算机方面的知识,特别是计算机科学,而没有考察社会经济层面的原因。调查显示,俄罗斯人在过去三十年中一直在坚持向孩子们传授计算机科学知识,并由小学到高中不断对这些知识进行测试。另外,克雷布斯的报告还探讨了美国与俄罗斯的孩子们各自通过怎样的测试以考核其应当学到的东西。

报道称,俄罗斯在今年的计算机编程“奥赛”中排名第一,这也是其六年来第四次取得胜利。“前14名选手中,有9名被来自俄罗斯或中国的学校占据。”而在前20名当中只有两所美国学校,分别为佛罗里达大学(第13名)与麻省理工学院(第20名)。

网络安全探秘:为何顶级黑客多来自俄罗斯?-E安全

根据传统经验,之所以众多黑客皆来自俄罗斯以及其它前苏联国家,部分原因在于这些国家的教育机构相较于西方世界更重视中学及高中的信息技术教育。尽管如此,这些国家仍然缺乏像美国硅谷这样的晋升通道,能够帮助有才华的IT专家将其出色技能转化为与其工作能力匹配的高薪工作。今天的文章将通过广泛的开源数据对这一假设进行初步探讨。

首先,以上传统认知似乎得到了美国与俄罗斯教育数据分析结论的有力支持,事实证明美国学生与各东欧国家在IT科目的教学与测试方面存在着多项明显且重要的差异。

与美国相比,俄罗斯有相当一部分高中生会选择专门投身于信息技术课题。为了便于比较,这里主要以选择参加计算机科学高级考试的美、俄两国高中生的具体数据作分析。

美、俄两国计算机教育情况对比

根据美国高校理事会进行的分析,在2005年到2016年的十年之间,美国共有27万名高中生选择参加国家计算机科学考试,即“计算机科学大学预修课程考试”。

俄罗斯方面,由彼尔姆国立研究大学进行的2014年计算机科学(俄罗斯将其称为‘信息学’)研究结果显示,每年约有6万名俄罗斯学生登记参加该国组织的“国家统一考试”。十年以来,每年6万的参与考生数量,意味着在高中阶段参与计算机科学考试的俄罗斯学生数量10年就达到美国的两倍以上。

微软公司发布的深度分析报告《国家人才战略》当中,研究人员对信息技术领域的职业前景进行了分析,结果显示,美国拥有42000所高中,截至2011年,只有2100所获得了大学预科计算机科学课程认证。尽管计算机科学仅在少数美国高中当中得到高度重视,但其实际重要程度正愈发高涨。

从娃娃抓起

俄罗斯之所以拥有较美国更多决定在高中阶段参加计算机科学考试的生源,可能是由于俄罗斯学生的入学年龄相对较小。俄罗斯的联邦教育标准(简称FES)规定,各中学必须开设信息学课程,且任何学校都只可以自由选择将其纳入基础或者高级高中课程范畴。

彼尔姆大学发布的研究论文指出,“在小学,信息学要素通过‘数学’与‘技术’两门核心科目进行教授。另外,每所小学皆有权将‘信息学’课程直接作为其课程的一部分。”

FES信息学为俄罗斯中学设置的核心课业内容包括:

  1. 理论基础

  2. 计算机功能原理

  3. 信息技术

  4. 网络技术

  5. 算法学

  6. 编程语言与方法

  7. 建模

  8. 信息学与社交

中学阶段

在美俄两国之间,计算机科学/信息学以及考试人员在各自考试当中表现出的熟练程度也存在着明显的差异。

这里我们再次着眼于彼尔姆大学给出的俄罗斯信息学考试考验目标,以下为此项考试需要考核的具体内容:

  • 第一部分:“信息学数学基础”

  • 第二部分:“算法学与编程”

  • 第三部分:“信息与计算机技术”

而测试资料则囊括以下三个部分。

  • 第一部分为包含四个给定选项的多项选择题,其内容涵盖以上三大内容分类。为这部分试题预留的完成时间相对较短。

  • 第二部分包含一系列基础、中等以及高复杂性题目。考生需要为其给出简短解答,包括提供正确的计算数字或者发现序列特征。

  • 第三部分中包含一系列复杂性更高的题目。这些题目通常要求考生以主观形式撰写详细答案。

根据彼尔姆大学的研究结果,“在2012年的试卷当中,第一部分包含13道题目,第二部分包含15道题目,而第三部分则包含4道题目。此次考试涵盖了信息学教学大纲中的各项主要内容。拥有详尽答案的题目需要考生进行大量运算并投入较多解答时间,其中包括算法分析、绘制计算机程序以及其它多种考核形式。相关答案由当地教育委员会的专家们根据评估标准进行检查并给出得分。”

网络安全探秘:为何顶级黑客多来自俄罗斯?-E安全

图片来源:俄罗斯彼尔姆国立研究大学。

在美国,大学预修计算机科学考试的内容则如美国高校理事会文件所述。

美国考试内容范畴:

计算思维实践(部分)

  • 第一部分:连接计算

  • 第二部分:创建计算结果

  • 第三部分:抽象化

  • 第四部分:分析问题及结果

  • 第五部分:沟通

  • 第六部分:协作

概念纲要:

  • 总体思路一:创造性

  • 总体思路二:抽象

  • 总体思路三:数据与信息

  • 总体思路四:算法

  • 总体思路五:编程

  • 总体思路六:互联网

  • 总体思路七:全球影响

美、俄两国关于教育测试的比较

那么这两项测试之间应如何进行比较?信息安全教育与培训协会(简称SANS Institute,为一家信息安全教育与培训机构)研究主任艾伦·帕协表示,以上提到的俄罗斯信息学课程内第2、3、4与6条主题属于建立网络安全技能的“基础”知识,且这部分课业早在中学阶段即向俄罗斯学生们传授。

帕勒解释称,“在美国,几乎没有多少中学会教授此类课程。总体来讲,我们在课业中并不涉及这些主题,且绝对不会将其纳入考试。而俄罗斯人在过去三十年中一直在坚持相关教育。在这样的情况,还有哪个国家能比俄罗斯产出更多高水平网络安全人才!”

帕勒同时指出,俄罗斯的课程设置能够基本确保孩子们在计算机编程与问题解决领域拥有更为丰富的实践经验。举例来说,美国的预修考试当中并没有指定具体编程语言,其学习目标设定为:

  • “程序是如何被开发出来以帮助个人与组织的?”

  • “程序如何被用于实现创造性表达?”

  • “计算机程序是如何实现算法的?”

  • “抽象机制如何令计算机程序的开发成为可能?”

  • “人们是如何开发并测试计算机程序的?”

  • “编程以哪些数学与逻辑概念作为实现基础?”

美国的课程当中几乎不要求学生进行实际编程,帕勒认为,学生们至少应当自己或者与其他学生们协作编写一款程序。目前的情况是,教育部门似乎只是要求学生单纯的对编程知识进行欣赏,而无需学习。以至于大多数学生在走出校园之后几乎未能掌握任何实用性技能,不得不说是网络教育工作的失败。

未来IT从业人员将现巨大缺口

有迹象表明,尽管美国计算机教育存在不足,但计算机科学亦成为美国高中生群体当中的人气焦点。根据美国高校理事会发布的最新预修考试报告显示,去年有近58000名美国学生参加了计算机科学考试,这一数字远高于2015年的49000人。

然而,计算机科学的人气仍远远不如美国设置的大多数其它预修考试科目。2016年,有超过50万学生选择了预修英文考试,英文文学考试吸引到40万5千名学生、28万3千名选择政治学预修考试,而15万9千名学生则选择了“人文地理”预修考试。

网络安全探秘:为何顶级黑客多来自俄罗斯?-E安全

美国2016年与2015年各预修考试专业科目选报人数比较。数据来源:美国高校委员会。

考虑到各企业雇主已然很难找到合格的网络安全专业人才,作为非营利性信息安全倡导组织,ISACA预计到2019年全球范围内将存在高达200万网络安全专业人员供应缺口。而一份由Frost & Sullivan与(ISC)2共同发布的预测报告则认为,到2020年网络安全相关职位的空缺数量将超过150万个。

美企业引进外来人才或受限

事实上,IT招聘难题对于美国各企业而言表现得尤为严重。由于无法在美国本土雇用到符合网络安全专业技能要求的人才,企业需要越来越多依赖于雇用具备特定技能的外国人员。

令情况进一步雪上加霜的是,今年4月特朗普政府当局下令全面审查美国的高端技术移民签证计划,未来美国可能出台新的规定以限制企业雇用外籍专业人员。目前已经有一部分硅谷技术巨头向立法者们提出申诉,要求对方采取更具前瞻性的战略以解决美国国内网络安全技能领域存在的供应空缺。在《国家人才战略》报告当中,微软公司表示其将全球研发预算总额中的83%投入到美国本土中来。微软在报告中指出,“如果人才供应问题仍得不到解决,这一行业中的企业将无法继续推动国内研发工作。这部分空缺工作岗位将在全球化经济趋势的带动下逐渐被拥有大量高水平毕业生的国家占据,且人数将不断递增。”

微软公司正在敦促美国立法者建立全国性计划,旨在通过招聘与培训更多教师的方式强化十二年教育阶段内的年轻人才培养工作。软件巨头同时表示,美国政府应当投入更多资金以扩展高中阶段的计算机科学课程。微软强调称,美国学生的计算机科学学习起点应进一步提前。微软公司警告称,“从短期来看,这将给美国的就业增长带来更多机遇。而从长远角度出发,这亦有可能刺激美国在这一领域建立起开创性的经济竞争优势。”

对国内教育的启示

根据美、俄两国的计算机教育情况分析,学习计算机技术得从娃娃抓起。目前,我们中国的较为全面的计算机教育普遍是从大学才开展的,尽管从初中开始,就有计算机课程,但也仅仅是停留在“认识认识就好”的阶段。国内一线城市(如北京、上海等)已经在将计算机技术课程提前,但由于受到教育水平、地域、经济条件等多重制约,计算机教育水平呈现差异较大的情况,整体有待进一步提高。

相关阅读:

Google推出教育计划“互联网真棒”,帮助孩子更安全的利用网络
如何在学校进行黑客技术教学和开放教育
科技部办公厅党支部组织开展国家安全教育活动
美国高校的网络安全教育难跟时代步伐

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。