2022 年國家網(wǎng)絡(luò)安全宣傳周期間,一份聚焦網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力的報告——《網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書》(以下簡稱“白皮書”)引起了社會廣泛關(guān)注。白皮書基于大量人才實(shí)戰(zhàn)數(shù)據(jù)研究及問卷調(diào)研分析,全面呈現(xiàn)了我國實(shí)戰(zhàn)型人才的供需現(xiàn)狀、培養(yǎng)現(xiàn)狀、評價方式及發(fā)展建議。什么是實(shí)戰(zhàn)型網(wǎng)絡(luò)安全人才?如何培養(yǎng)實(shí)戰(zhàn)型網(wǎng)絡(luò)安全人才?本刊采訪了白皮書主編單位之一的永信至誠,其高級副總裁李煒一一回答了上述問題。
記者:白皮書顯示,未來具備實(shí)戰(zhàn)技能的網(wǎng)絡(luò)安全專家,將成為業(yè)界最為稀缺和搶手的資源。您認(rèn)為該如何定義網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)能力?
李煒:在國際形勢日趨復(fù)雜,網(wǎng)絡(luò)空間暗潮洶涌的背景下,面向?qū)崙?zhàn)的網(wǎng)絡(luò)安全人才越發(fā)受到重視。我們將攻防實(shí)戰(zhàn)能力定義為,在真實(shí)業(yè)務(wù)場景中,利用網(wǎng)絡(luò)空間安全技術(shù)和工具開展安全監(jiān)測與分析、風(fēng)險評估、滲透測試事件研判、安全運(yùn)維、應(yīng)急響應(yīng)等工作的能力。但隨著近年來新技術(shù)、新環(huán)境的發(fā)展變化,網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)能力所涵蓋的范圍逐步向精細(xì)化延伸。然而,業(yè)內(nèi)并未全面啟動基于實(shí)際場景的分類分級工作,給人才培養(yǎng)工作帶來了困難和復(fù)雜性。例如,滲透測試工程師需要對目標(biāo)信息系統(tǒng)、設(shè)施和網(wǎng)絡(luò)進(jìn)行模擬滲透攻擊以檢測評估其安全性;安全運(yùn)維工程師需要熟練運(yùn)用網(wǎng)絡(luò)安全設(shè)備分析異常行為以消除或降低安全隱患;代碼審計工程師需要查找源代碼中存在的安全缺陷與隱患并給出修復(fù)建議。不同行業(yè)、不同用戶面臨的業(yè)務(wù)場景不同,崗位需求不同,不同崗位對攻防實(shí)戰(zhàn)能力的要求也不盡相同,很難用一套通用的標(biāo)準(zhǔn)去定義和培養(yǎng)攻防實(shí)戰(zhàn)人才。
記者:如何培養(yǎng)面向市場需求的網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)人才?
李煒:對此我有五個方面的建議。一是多角色明確培養(yǎng)目標(biāo)。高校是網(wǎng)絡(luò)安全人才培養(yǎng)的主陣地,但在網(wǎng)絡(luò)安全學(xué)科交叉性強(qiáng)、伴生性強(qiáng)、演化快的形勢下,高校難以迅速地將實(shí)際市場需求的網(wǎng)絡(luò)安全業(yè)務(wù)場景映射到課程體系中,導(dǎo)致所培養(yǎng)的人才存在從習(xí)得到實(shí)踐的差距。建議用人單位、社會培訓(xùn)機(jī)構(gòu)參與到人才培養(yǎng)環(huán)節(jié)中,與高校協(xié)同合作,明確各自在通識教育、崗前、崗后教育的責(zé)任分工,開展常態(tài)化的校企合作與人才交流,以網(wǎng)絡(luò)安全需要終身學(xué)習(xí)的價值觀打造人才培養(yǎng)閉環(huán)。二是全場景細(xì)化人才分類。當(dāng)今各行各業(yè)已全面進(jìn)入場景化時代,人才培養(yǎng)方案只有在對行業(yè)和用人單位的完整業(yè)務(wù)場景梳理后,融合人才分類分級機(jī)制,才能在實(shí)際工作中發(fā)揮真正效用。例如,數(shù)字時代,數(shù)據(jù)安全涉及的場景與傳統(tǒng)網(wǎng)絡(luò)安全差異較大,除數(shù)據(jù)泄露外還延伸到數(shù)據(jù)管控、數(shù)據(jù)使用等,數(shù)據(jù)安全人才崗位還涉及數(shù)據(jù)安全合規(guī)、數(shù)據(jù)安全治理、數(shù)據(jù)安全運(yùn)營等多個方向。建議高校、社會培訓(xùn)機(jī)構(gòu)、用人單位共同協(xié)作,對業(yè)務(wù)場景形成統(tǒng)一的認(rèn)知,對所需崗位進(jìn)行細(xì)致的刻畫,做好所需人才的分類分級。三是分層級建立人才梯隊(duì)。對用人單位而言,網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)人才培養(yǎng)的最終目標(biāo)是建立人才梯隊(duì)。沒有人才梯隊(duì),就談不上網(wǎng)絡(luò)安全體系建設(shè)。只有明確清晰的崗位層級,分層級建立人才梯隊(duì)機(jī)制,才能發(fā)揮所有人才的潛能,建設(shè)一支能打硬仗的隊(duì)伍。具體可通過摸清網(wǎng)絡(luò)安全人員底數(shù),通過崗位分級機(jī)制,把不同層級的人才應(yīng)用到不同的業(yè)務(wù)場景中,最大化實(shí)現(xiàn)用人單位人才資源的盤活。同時,適當(dāng)發(fā)揮拔尖人才的示范引領(lǐng)作用,以優(yōu)質(zhì)的人才梯隊(duì)為網(wǎng)絡(luò)安全保駕護(hù)航。四是建立多維度人才培養(yǎng)通道。和信息化人才梯隊(duì)類似,網(wǎng)絡(luò)安全人才梯隊(duì),應(yīng)涵蓋管理崗、技術(shù)崗、學(xué)術(shù)崗,以保持人才隊(duì)伍能力的整體先進(jìn)性。一方面,用人單位應(yīng)設(shè)置學(xué)術(shù)、技術(shù),管理三個方向的人才培養(yǎng)通道,并設(shè)置明確的晉升機(jī)制;另一方面,以員工的個人意愿和組織發(fā)展需求為導(dǎo)向,引導(dǎo)人才靈活在各個通道間切換,亦可通過相應(yīng)的內(nèi)部競聘上崗和職業(yè)技能培訓(xùn)滿足在不同通道間切換的崗位技能需求。五是搭建人才培養(yǎng)場景化裝備。隨著新場景與新威脅的相互疊加,用人單位對實(shí)戰(zhàn)化人才求賢若渴,但很多行業(yè)的業(yè)務(wù)連續(xù)性要求較高,人才難以在實(shí)際場景中得到技能鍛煉,限制了其成長空間。在此背景下,網(wǎng)絡(luò)靶場作為一種基于場景的人才培養(yǎng)、人才能力測試評估基礎(chǔ)設(shè)施,通過模擬實(shí)際業(yè)務(wù)場景,收到了不錯的成效。例如,在“首屆數(shù)據(jù)安全大賽”上,來自國家關(guān)鍵信息基礎(chǔ)設(shè)施單位、重要行業(yè)、科研機(jī)構(gòu)、院校、網(wǎng)絡(luò)安全企業(yè)、互聯(lián)網(wǎng)企業(yè)的攻防人才在數(shù)據(jù)安全靶場中,持續(xù)接受數(shù)據(jù)安全場景、數(shù)據(jù)分析場景、數(shù)據(jù)算法場景和數(shù)據(jù)實(shí)踐場景的多重考驗(yàn),極大地增進(jìn)了在實(shí)際工作中的應(yīng)用能力。再比如,在某央企舉辦的數(shù)據(jù)安全攻防演練中,參賽人員在數(shù)據(jù)安全靶場構(gòu)建的跨境數(shù)據(jù)流動、數(shù)據(jù)非法使用和利用等場景中,不僅能夠?qū)崿F(xiàn)對戰(zhàn)術(shù)、技術(shù)、裝備、流程等各層面展開全方位的測試評估,通過演練形成的多維度數(shù)據(jù)還能為人才梯隊(duì)的建設(shè)提供重要參考依據(jù)。
記者:作為一種行之有效的實(shí)戰(zhàn)能力培養(yǎng)及測試評估平臺,網(wǎng)絡(luò)靶場正在被越來越多的機(jī)構(gòu)關(guān)注和認(rèn)可。在網(wǎng)絡(luò)靶場的建設(shè)和使用上,您有何建議?
李煒:當(dāng)前,很多政府和企業(yè)用戶都開展了線下網(wǎng)絡(luò)靶場的建設(shè),但在建設(shè)過程中,往往暴露出靶場的資源和適配存在局限性,以及內(nèi)部交流氛圍不足的問題。例如,很多單位雖然用網(wǎng)絡(luò)靶場開展競賽演練活動,但有能力有資格參與網(wǎng)絡(luò)靶場使用和運(yùn)營的人才有限,人才之間的交流也不夠豐富。對此,不僅要加強(qiáng)人才梯隊(duì)建設(shè),還要有一個良好的交流平臺。在此背景下,永信至誠打造了春秋云境 .com 云上靶場平臺,設(shè)置了漏洞靶標(biāo)和仿真場景兩大體系,通過在線的模式、開放的社區(qū)環(huán)境,為人才提供實(shí)戰(zhàn)化的滲透測試體驗(yàn),操作簡便,容易上手。即使用人單位人才僅有個位數(shù),內(nèi)部缺乏交流環(huán)境,也可以在春秋云境 .com 中和成千上萬的高水平人才共同切磋、進(jìn)步。
記者:用人單位如何評估網(wǎng)絡(luò)安全人才的實(shí)戰(zhàn)能力?
李煒:網(wǎng)絡(luò)安全人才測試評估最大的挑戰(zhàn)是評價模式單一、評價維度單一、評價持續(xù)性不強(qiáng)。首先,當(dāng)前網(wǎng)絡(luò)安全人才能力測試評估的方式包含考試、職稱評定、等級認(rèn)證、攻防大賽等,但是各種模式下的評價標(biāo)準(zhǔn)不同,用人單位很難以此形成人才能力畫像進(jìn)行參考。其次,網(wǎng)絡(luò)安全作為綜合型、實(shí)戰(zhàn)型學(xué)科,對人才的評價不能僅限于知識、技能、工作成效的單一層面,應(yīng)該針對不同層級階段的人員,搭建不同的人才評價框架,針對其知識水平、技術(shù)積累、工作成效、在競賽演練中的成績,甚至是態(tài)度意識、防御協(xié)同表現(xiàn),做出綜合評定。再次,網(wǎng)絡(luò)安全人才需要不斷更新知識技能,因此對人才的測試評估也無法一錘定音,應(yīng)保持持續(xù)性。所以,用人單位要以技術(shù)性、客觀性為前提,持續(xù)性地開展人才測試評估工作。例如,某央企應(yīng)用“數(shù)字風(fēng)洞”,搭建了完整的網(wǎng)絡(luò)安全人才綜合評價體系,構(gòu)建了專用的人才綜合評價靶場模塊,開展了“一周一訓(xùn)練、一月一競賽、一季一演練、一年一協(xié)同(應(yīng)急演練)”的系列活動,并通過應(yīng)急演練所得到的大量數(shù)據(jù)指標(biāo),加以統(tǒng)計分析,客觀地對總公司、分公司相關(guān)人才隊(duì)伍的防御實(shí)踐協(xié)同能力進(jìn)行評估。這種持續(xù)性測試評估活動,對用人單位的人才分類、分級形成了詳細(xì)的參考指引,助力建設(shè)一支能戰(zhàn)善戰(zhàn)的網(wǎng)絡(luò)安全人才梯隊(duì)。
(本文刊登于《中國信息安全》雜志2023年第3期 作者袁勝)
評論