«Дипломированный специалист по информационной безопасности» – данный статус звучит с легким оттенком пафоса. Не смотря на всесторонность подготовки кадров для индустрии ИБ (криминалистические экспертизы, аудит ИБ, криптология и прочее) степень погружения в изучаемую область зачастую не требует акваланга.
Проект, в рамках которого Александр Бондаренко словно проповедник перемещается по ведущим факультетам и кафедрам информационной безопасности страны, лишь доказывает тот факт, что альма-матер «дипломированного ИБ-специалиста» на порядок отстает в плане актуальности преподаваемой информации от истинного положения дел в бизнесе.
Вряд ли классическая процедура получения заветного «Зачет» способна подогреть интерес у рядового студента-безопасника. А вот процедура «захвата» зачета, распределенного в разных углах хитро продуманной инфраструктуры, убила бы сразу двух зайцев:
1) повышение квалификации по ряду дисциплин старших курсов факультетов и кафедр ИБ;
2) инициализация студенческого интереса к этим самым дисциплинам посредством создания условий, в которых студент не ограничивается рамками «выучил-ответил-получил».
Хочешь «Зачет»? Собери флаги, продемонстрируй результат. Не хватает опыта? Консультируйся с преподавателями или собирай команду.
Пусть данный подход требует человекоресурсов для организации инфраструктуры и создания интересной легенды CTF (Capture the Flag, “захват флага”), но что мешает, например, подключить студентов старших курсов или аспирантов в области ИБ с целью проектирования «зачетной недели» для своих «младших» коллег? Считаю, данная идея имеет право на существование, поэтому фиксирую ее здесь и в команде со своими коллегами приступаю к материализации мыслей.
4 comments
Идея интересная, но вряд ли реализуемая (у студентов старших курсов и аспирантов есть и своя сессия).
По собственному опыту более перспективен другой подход:
1. Цель преподавания – не принять зачет/экзамен, а дать базовые навыки и заинтересовать, показать куда и как можно развиваться. Т.е. необходимо сосредотачиваться не на зачетах/экзаменах, а на самом процессе обучения.
2. Обновления состава преподавателей. Некий базовый перечень предметов ведут преподаватели с кафедры, что-то ведут аспиранты, но большую часть профильного (практику) дают привлеченные специалисты (в том числе выпускники кафедры).
3. Дополнительное обучение (в развитие указанного в п.1 “куда и как развиваться”). В том числе лабораторные и практические работы, возможно работа на кафедре (в области ЗИ это не так сложно организовать), возможно вендорное обучение (по крайней мере рассказать какое есть, организовать возможность получения базовых знаний, навыков и сертификатов). Дать всем студентам максимум знаний по всем направлениям ЗИ нереально, в итоге все равно каждый выбирает свою специализацию.
4. Работа совместно с учебой. Курса с 3-4 студент должен работать. Применять полученные теоритические знания, совершенствовать практические навыки. Иначе после 5-6 курса получим того самого выпускника, на которого так любят ругаться в блогах.
Примерно так (за исключением п.3) было организовано обучение у нас (МИФИ, факультет Информационной безопасности).
>> (у студентов старших курсов и аспирантов есть и своя сессия).
Не думаю, что этот факт определяет сложность реализации идеи. К примеру, студенты младших курсов не задумываются об архитектуре и внутреннем устройстве инфраструктуры CTF, берут инструменты в руки и сканируют/сниффают/анализирют. В свою очередь, старшекурсники, занимаяясь разработкой CTF, вникают в тонкости построения площадки для практики. Кстати, на старших курсах есть дисциплина, которая в учебных целях требует моделирования бизнес-процессов и проектирования сети организации. Думаю, нет сильно сдерживающих факторов позволить студенту уйти дальше и уже на практике реализовать концепцию.
>> 1. Цель преподавания – не принять зачет/экзамен, а дать базовые навыки и заинтересовать…
Это как раз и есть один из тех “зайцев”, о которых я говорил. Что касается остальных пунктов, то думаю CTF их приятно дополняет :).
Единственный способ реализовать данную концепцию по моему это только “удаленное обучение” для тех кто действительно хочет учиться.(То есть в институте врядле дадут пропихнуть такую концепцию.Просто потому что не каждый сможет “Захватить” зачет.) Это очень инстерессный способ обучения по моему.Я лично такого или подобного нигде не встречал.Я лично в техникуме пока учился почти не ходил на ИБ по одной причине некомпетентность преподователя.(Дети нечего не делайте мне на вас плевать да и не пригодится вам это в дальнейшем.)Я бы с удовольствием так учился но увы негде.
Процесс обучения профильным дисциплинам иногда предусматривает для талантливых, самоорганизованных и просто инициативных студентов составление семестрового большого домашнего задания, которое обучаемый выполняет в течении семестра по своему желанию и тем самым претендует на “автомат” по экзамену. В качестве альтернативы БДЗ может выступать CTF. И в качестве бонуса CTF может быть построен таким образом, что обучаемый может получить удаленный доступ к инфраструктуре целевой площадки.