定义新域
作者Jon Kuiperij——2022年5月19日
加拿大首个网络安全学位背后的故事
今天,我们大多数人在使用信用卡进行网上购物、在云端存储重要文件或在智能手机上进行私人对话时都不会犹豫。
但在互联网的早期,事情就没有这么安全了,当时登录网络就像在危险的土路上加速而不系安全带,到处都是危险。当公司和个人开始将有价值的数据存储从纸张转换为数字存储时,犯罪分子也不甘落后。仅2008年一年,身份盗窃就影响了加拿大近10%的人口,给消费者、银行、信用卡公司和零售商店造成了高达72亿美元的损失。
早在身份盗窃和其他网络犯罪爆发之前,维克多·拉列维奇(Victor Ralevich)博士就已经看到了地平线上的乌云。虽然拉列维奇最初是被雇来教授谢里登大学计算机科学文凭课程的,但他的专长是密码学,这是一门使用算法和密钥将纯文本转换为无法破译的代码(反之亦然)的艺术,以确保数据只有发送者和预期接收者才能读到。在来Sheridan之前,Ralevich在加拿大、美国和以色列的几家大公司担任了六年的首席科学家、信息系统安全顾问、首席安全官和信息技术(IT)经理。
“维克多意识到工业中出现的安全威胁,他也了解防御这些威胁所需的技能。”
-谢里丹应用计算学院的长期管理员马克·奥兰多
Sheridan计算机科学协调员Dragana Martinovic博士比任何人都更了解Ralevich的背景——这对已婚夫妇共同撰写并发表了许多研究论文,倡导加强教育和医疗数据的安全性——但是Sheridan应用计算学院的其他人也认可Ralevich的专业知识。“维克多意识到工业中出现的安全威胁,”应用计算学院的长期管理员马克·奥兰多回忆说,“他也了解防御这些威胁所需的技能:密码学、入侵检测、渗透测试、安全审计、道德黑客等等。他知道如何培养一个全面发展的网络安全专业人士。”
虽然拉列维奇和马蒂诺维奇都认为计算机科学文凭课程应该教授安全概念,但他们也意识到,三年的时间不足以灌输网络安全专家所需的所有高等数学、网络和其他能力。但2000年《高等教育选择与卓越法案》(Post-secondary Education Choice and Excellence Act)通过后,安大略省的大学有可能提供应用学位,拉列维奇很快建议谢里丹成为加拿大第一所提供本科网络安全学位的高等教育机构。“我知道这将是一个挑战,”Gary Closson说,他曾在1996年至2007年担任谢里登大学应用计算与工程服务学院院长,“但我喜欢这个想法——尤其是因为我们已经有了如此强大的计算机科学项目。”
开创了网络安全和计算机科学的独特融合
在谢里登领导的全力支持下,拉列维奇在接下来的两年里制定了一套独特的课程,将网络安全概念融入基础计算机科学。第一个课程图包括数据库安全、网络安全、编写安全程序、道德与道德黑客、信息系统安全立法、计算机取证、物理安全、操作安全和通信安全等课程。Ralevich还寻找信息系统安全管理人员和行业专业人士为该计划的专业咨询委员会(PAC)服务,该委员会通过进一步为课程提供信息、担任演讲嘉宾、捐赠硬件和软件、为优秀学生提供资助机会以及在该计划的第三至第四年提供8个月的带薪实习机会等方式支持该计划的发展。
“PEQAB(高等教育质量评估委员会)对大学学位的要求非常严格,”克洛森回忆说。“他们坚持说,我们没有复制任何大学提供的任何学位,这就是我们把这个项目称为‘应用信息科学学士——信息系统安全’的原因。’即使在那时,也有大学教授审查这个项目,以确保它确实是独一无二的。”PEQAB还要求该项目的教员要么拥有丰富的行业经验(在新兴领域很难找到),要么拥有博士或硕士等高级学术证书。
“谢里丹在意识到(数字取证)是一个需要学习的重要领域方面并不落后于警方。”
-前数字取证教授约瑟夫·科尔特森
谢里登计算机科学文凭课程的几位教授已经获得了后者,但他们仍然通过获得认证信息系统安全专业人员(CISSP),全球信息保障认证(GIAC)和信息系统审计与控制协会(ISACA)认证来升级他们的教育,以加强新课程的建议。为了充实师资队伍,拉列维奇利用了他的行业人脉,还寻找了在相关领域有经验的合格安全专业人员。
约瑟夫·科尔特森(Joseph Coltson)在2002年高科技犯罪调查协会的一次会议上找到了他,邀请他设计并教授该项目第二年的数字取证课程。科尔特森是皮尔地区警察局的一名长期侦探。科尔特森说:“几年前,我在安大略省警察学院和加拿大警察学院接受培训,学习了数字取证,所以谢里丹并不落后于警察,意识到这是一个重要的学习领域。”科尔特森现在是专业服务公司普华永道加拿大国家取证市场负责人的合伙人。“我围绕我的个人经历开设了这门课程,并保持了非常介绍性的内容,这将允许学生在了解调查过程的同时玩一些工具。我试着让他们的生活更加真实。”
尽管做出了所有这些努力,谢里丹第一次申请PEQAB批准新学位的申请被拒绝了,因为课程地图建议第四年的学习完全在线进行——安大略省教育部认为这种新颖的方法对学位水平的学习不可行。“教育部当时的逻辑现在已经没有意义了,”时任谢里丹应用计算与信息管理学院副院长的莱诺·埃德蒙兹(Lenore Edmunds)说。“由于我们的学生将在第三和第四年期间进入行业进行为期八个月的实习,我们认为他们可以去工作,建立一些联系,然后能够在最后一年完成他们的工作。这是个好主意。”
“当这个学位最终取得进展时,主要是因为维克多。他对自己所做的事情充满了激情,并且全身心地投入其中。真是难以置信。”
-前应用计算与信息管理学院副院长Lenore Edmunds
谢里丹没有被吓倒,第二年再次申请,这次获得了PEQAB的批准。“当第一份提案被拒绝时,莫林·卡拉汉(当时谢里登大学负责学术的副校长)说,‘别担心,我们会再提交的,’”埃德蒙兹说,“我们的第二份提案确保强调我们现有的所有质量保证措施,比如我们的地方学术委员会。但说实话,当这个学位最终取得进展时,主要是因为维克多。他对自己所做的事情充满了激情,并且全身心地投入其中。真是难以置信。”
一般的,但利基的方法打开了机会之门
BAISc第一届毕业班的成员包括(后排从左至右)Jeff Bates, Jesse Mukundi, Mike williams - yegers, Joel Bowers,(前排从左至右)Michael Perklin和Joshua MacDougall
创建一个前所未有的项目是一回事,找到学生来完成是另一回事。第一组只有35名学生:28名高中毕业生,3名大学毕业生,2名大学毕业生和2名国际学生。“由于一些原因,报名人数约为我们最初预期的三分之二,”马丁诺维奇说。几年前,信息技术行业开始持续低迷,合格的学生和家长也不确定安大略省大学学位毕业生的职业潜力和进一步教育机会。该项目最初被标榜为‘应用学位’,而且最初获得批准的期限只有五年,这造成了更多的困惑和担忧。”
拉列维奇和马丁诺维奇在新学位推出之前就通知了他们的计算机科学文凭学生,从而引起了人们的兴奋和意识,但该项目的一些第一批学生要么是偶然发现了应用信息科学学士学位(BAISc),要么是在追求其他兴趣之后才加入的。尼克·约翰斯顿回忆道:“我们是一群混混,无意中进入了这个项目,然后意识到,‘这太棒了’。”他刚刚从谢里登的计算机编程文凭项目毕业,在拿成绩单的时候,他看到了一本宣传新学位的小册子。他的同学乔尔·鲍尔斯(Joel Bowers)在完成了谢里登大学计算机科学技术文凭课程的一年后转到了北京计算机科学中心,他渴望学习新的概念,并希望四年的文凭能给他一个更好的机会成为一名系统管理员。杰西·穆库迪(Jesse Mukundi)是一名来自肯尼亚的国际学生,他来到谢里登大学时没有任何编程经验,在转到新学位之前,他上了一天的计算机科学课程,因为管理人员认为这将为他提供更好的职业机会。约书亚·麦克杜格尔原本计划在谢里登学习电信,但在一次开放日活动中,他走错了房间,得知BAISc接受高中计算机科学学分作为科学学分。
不管他们是如何找到这个项目的,学生们很快就被它独特的方法所吸引:它足够通用,可以让他们找到一个最吸引他们的网络安全领域,但比提供网络安全专业的大学计算机科学学位更小众。鲍尔斯说:“谢里登的学位绝对MG游戏领先于那个时代。“它是计算机科学,重点是这个正在开发的新领域,它的结构为我们提供了一个很好的样本,让我们可以进入各种选择和领域。”学生们还接受了该项目的队列学习模式,该模式以小班授课和必修核心课程为特色,使教师能够密切监控每个学生的进度并满足他们的需求。
“我们是一群恶棍,偶然发现了这个项目,然后意识到,‘这太棒了。’”
——就职队列成员尼克·约翰斯顿
很快,新计划就走上了正轨。首批毕业生的26名成员都立即在各自的领域找到了工作——这预示着未来的发展——而科尔特森于2007年离开警察部门,成为毕马威咨询服务公司法医技术服务/电子发现副总裁。事实上,正是科尔森给了约翰斯顿、鲍尔斯和麦克杜格尔第一份工作,先是让他们做实习生,后来又让他们成为毕马威的全职员工。奥兰多说:“我们一直觉得对我们的毕业生有需求,但需求之大甚至可能让维克多感到惊讶。”我们都对我们的毕业生能够胜任的工作和职责的广度感到惊讶。”
学生们可能在毕业之前就已经有资格从事这些工作了。虽然这个项目的首字母缩略词读作“basic”,但这个项目的大多数课程都非常苛刻,教授们也不愿意妥协。埃德蒙兹记得,有一天晚上,他走过谢里登动画与新兴技术中心(SCAET)大楼,看到拉列维奇和马蒂诺维奇在课后辅导一门数学课程,大部分学生都不及格。埃德蒙兹说:“在正常的学术环境中,我们可能会扭曲分数,但维克多和德拉加纳坚持认为学生必须理解学科内容——所以他们在晚上重新教授所有内容,确保学生真正理解了所有重要的内容。”2013届毕业生安德鲁·特恩塞克承认:“起初,我们认为维克多是一个工头,因为他的高等数学和繁重的考试。”该项目强大的学生俱乐部的联合创始人他们定期在课外聚会,进一步讨论最新的网络安全趋势和问题,向演讲嘉宾学习,并参加技能竞赛。“但我们最终意识到,他的课程就像军队的训练营,让训练变得困难,让战斗看起来容易。”
由于学生们实际上是在学习如何侵入私人网络,拉列维奇也是网络伦理的强烈倡导者,确保学生了解该行业的道德和社会影响。“我们必须教给学生的第一件事就是知道如何做某事和对它负责之间的区别。我们必须说服他们,他们不是黑客,他们是信息安全专业人士。”Martinovic说。当一年级学生理查德•莱因德斯和麦克杜格尔成功入侵谢里登自己的IT网络时,这种心态表露无遗,他们随后提供了一份详细的报告,说明他们是如何做到的,以及谢里登如何防止这种情况再次发生。“我们的IT人员不得不告诉学生们,他们的行为是不恰当的,”克洛森说,“但学生们确实帮了谢里登的忙,帮助IT部门变得更加安全。”事件发生后不久,后来在雅虎工作的雷因德斯。和其他几家大公司一样,他被谢里登聘为兼职IT研究顾问。
“在谢里登大学读完本科后,(完成我的硕士学位)老实说并不是那么困难。我们在这四年里学到了很多东西。”
——Kroll董事总经理Joel Bowers
许多其他学生在完成课程之前也在工业界工作,其中一些人甚至在8个月的实习结束时获得了全职工作机会。克洛森说:“我们的学生通常最终都能满足他们所在公司的关键需求,所以这些公司很难让他们再回到学校学习一年。”“维克多必须努力说服雇主,如果我们的学生在实习结束后被雇佣,他们将被剥夺学位,”马丁诺维奇补充道。“我们所有的学生在第四年都回来了,这是对这个项目的一个巨大证明。”
当与密歇根州达文波特大学、科罗拉多州丹佛大学、澳大利亚西悉尼大学和格里菲斯大学达成衔接协议时,进一步验证了这一点。鲍尔斯是第一批在达文波特完成信息保障理学硕士学位的BAISc毕业生之一,获得了该项目的高级学位,包括免修密码学课程。“说实话,在谢里登大学完成本科学业后,这并没有那么困难。在这四年里,我们学到了很多东西。”鲍尔斯说。在2018年成为克罗尔加拿大网络风险业务总经理之前,他将在达夫&菲尔普斯加拿大公司担任全球电子取证和法医服务主管近十年。
“我们的学生通常最终都能满足他们所在组织的关键需求,所以这些公司很难让他们再回到学校学习一年。”
-前谢里丹应用计算与工程服务学院院长Gary Closson
约翰斯顿也在达文波特(Davenport)获得了硕士学位,并在毕马威(KPMG)和达夫&菲尔普斯(Duff & Phelps)工作了六年,但他从未完全离开谢里丹。毕业后,他立即成为奥兰多大学聘请的几名校友之一,在该项目中任教。他先是作为应用计算专业的兼职教授,专攻信息安全和数字取证,然后在2011年成为全职网络安全教授。奥兰多说:“我们正在创造自己的专业知识,并为该行业的能力做出贡献,因为我们的毕业生将在该行业找到工作,获得硕士学位,然后回来分享他们学到的东西。”“因为他们已经非常熟悉我们的课程,他们成为了新学生的优秀老师,这成为了一种自我维持的招聘教学人才的模式。”
“这是一个很好的组合,既有像维克多这样更注重学术的教授,也有像尼克或乔这样有实际工作经验的人,”特恩塞克表示赞同。“这种学术和应用的结合提供了你在信息安全领域取得成功所需的一切。”谢里登的学生和管理人员并不是唯一有这种感觉的人。2014年,BAISc庆祝成立十周年,获得加拿大社区学院协会颁发的“加拿大最具创新性和最成功的大学项目金奖”。当时的谢里登总裁兼首席MG游戏官方网站Jeff Zabudsky博士说:“BAISc学位课程证明了大学有能力识别和应对新兴趋势和行业需求。”“在Victor Ralevich博士的领导下,BAISc培养了一批信息系统安全专业人员的核心,他们有能力处理大数据时代广泛的安全问题。”
2014年,BAISc创始人Victor Ralevich博士接受了ACCC(现为加拿大学院和研究所)总裁兼首席MG游戏官方网站Denise Amyot颁发的加拿大社区学院协会金奖
这一荣誉是一个分水岭时刻,不仅是谢里登的学位-仍然是唯一的本科课程在加拿大的时间-但对该领域。“这个奖项对维克多意义重大,”约翰斯顿回忆道。两年后,在拉列维奇去世后,约翰斯顿成为了这个项目的协调员。“我们都认为这是对网络安全重要性的认识。在最初的日子里,维持这个项目有时是一场斗争。这个奖项代表了一个转折点,全世界和整个行业似乎都意识到网络安全是一个需要研究的领域。”
在不断发展的行业中,基本面仍然是成功的关键
谢里登大学可能是加拿大第一个提供网络安全本科学位的大学,但它肯定不再是唯一一个。加拿大全国近75所大专院校现在都有某种形式的网络安全证书,这是有充分理由的:根据加拿大网络安全中心2021年的一份报告,加拿大网络安全专业人员的工作岗位每年增长7%。谢里登还通过其持续与专业研究(CAPS)扩展了其网络安全产品套件,包括网络安全基础和网络安全-法律和道德政策与程序的三门课程;各种课程,如网络安全基础、信息安全原理、中小型企业电子邮件安全、网络安全和操作系统安全- Windows;新的攻防网络安全微证书将于今年秋天推出。
“这是一场永恒的猫捉老鼠游戏。犯罪分子一直在寻找绕过安全措施的方法,所以我们需要不断寻找新的保护方法。”
-信息科学学士(网络安全)协调员Nick Johnston
约翰斯顿表示:“网络安全专业人士将永远供不应求,因为这是一场永恒的猫捉老鼠游戏。”“犯罪分子一直在寻找绕过安全措施的方法,所以我们需要不断寻找新的保护方法。你永远不能静止不动。”然而,尽管不断发展——最近该学位被重新命名为信息科学荣誉学士(网络安全)——BAISc的核心课程与近20年前成立时基本相同,强调数据库和网络安全、安全软件开发、取证、道德和立法方面的基本技能。“如果你在科学和数学方面有良好的背景,你可以轻松地学习所有其他的东西”,这是马蒂诺维奇对拉列维奇的通才哲学的总结,今天对毕业生和雇主来说仍然是正确的。
鲍尔斯说:“很多实际工作都是在你进入工作领域后才学会的。”他估计,他在克罗尔的团队中有85%是由谢里登大学的毕业生组成的。“有了谢里登大学教授的所有一般技能,我知道他们的毕业生将能够带着一些想法进入任何情况。2019届毕业生Alana Staszczyszyn在学习一年后就找到了她在该行业的第一份工作,在安大略省健康共享服务公司兼职担任信息安全分析师。Staszczyszyn说:“我们所学到的所有不同的东西都让我们很快为许多不同的角色做好了准备。”Staszczyszyn现在正在对量子计算潜在的网络安全问题进行独立研究。“在我看来,一年后我就掌握了足够的知识,可以在这个领域工作,这是不可思议的。”
在霍尔顿工业教育委员会组织的网络安全训练营中,BAISc协调员尼克·约翰斯顿(左)为当地小企业主主持研讨会。
在谢里登大学的毕业生中,可能没有人比詹姆斯•阿伦更了解一般问题解决能力在这个行业的价值。上世纪90年代中期,詹姆斯•阿伦作为一名媒体艺术专业的学生,利用他在数字问题解决方面的能力,在BAISc项目成立的十年前,就开始了他极其成功的网络安全事业。“学术界倾向于培养专家,但网络安全是一个去专业化实际上对你有利的领域,”Arlen说,他是《云计算关键领域重点云安全联盟指南》的主要作者,目前是全球云计算解决方案提供商Aiven的首席信息安全官。“当你视野开阔时,你往往会看到原本看不见的东西。”
Arlen认为,这些解决问题的能力将是解决行业新挑战的关键,比如制造业对互联性、自动化、机器学习和实时数据的日益依赖。“我们如何构建既能防止不良行为,又能保持灵活性的系统?我们如何创建可动态重新配置的生产线,同时确保安全不会被配置出来?如果我可以重写软件让它变得更好,我也可以重写它让它变得更糟,”他说。“许多工厂都有上世纪80年代的控制系统,而且安全系统的各个层面都在不断增加。建造下一代制造业的人需要以一种本质上安全的方式来建造它。”
帮助地区制造企业解决这些挑战正迅速成为该计划的一个更大目标。谢里登是新成立的网络安全创新网络(CSIN)的教育机构合作伙伴,这是一个创新和协作网络,将加强研究和开发,增加商业化,并在加拿大培养熟练的网络安全人才,最近在其先进制造和设计技术中心(CAMDT)内建立了工业网络安全创新与研究实验室(LIRIC)。在LIRIC的第一个研究项目中,Johnston和几个学生帮助Brampton软件即服务(SaaS)公司simplify Automation通过实施多因素身份验证(MFA)和其他协议来识别和解决安全控制漏洞。
“当维克多建立这个项目时,他不愿意妥协。这从一开始就是大学的标准,培养良好的职业道德和优秀的背景知识。”
-前谢里登大学教授德拉加纳·马蒂诺维奇博士
Dragana Martinovic博士(左)和Victor Ralevich博士
在COVID-19大流行之前,谢里登的学生还与当地的小企业主分享了他们的专业知识,在网络安全训练营是由霍尔顿工业教育委员会(HIEC)组织的,一个促进伙伴关系,指导和劳动力发展的非营利社会企业。HIEC运营总监Michelle Murray说:“我们的社区联系表明,需要这种类型的支持,特别是小企业,他们往往缺乏时间、资源和专业知识来跟上网络安全的所有事情。”谢里丹学生为研讨会开发的一些内容后来被HIEC用作另一个社区产品的基础,该产品为老年人提供网上银行安全、定向垃圾邮件和其他互联网危险方面的建议,并为中小学生举办职业意识研讨会。约翰斯顿说:“我们真的希望通过研究项目和其他倡议,我们能够从安全的角度帮助其他人改善他们的生活。”
这正是拉列维奇在世纪之交开始做的事情,早在这个行业爆发成现在的样子之前。
“这是难以置信的。马丁诺维奇谈到BAISc从一个最初很难找到学生的项目发展成为网络安全领域的教育领导者,每年吸引350名学生,等待名单很长。“当维克多建立这个项目时,他不愿意妥协。他不愿意接受这样的观点:既然谢里登是一所学院,学位就不需要达到大学的标准。从一开始就是大学标准,培养良好的职业道德和优秀的背景知识。
“我们为学生提供的支持帮助创建了一个社区,这带来了兴奋。”