2022 年國(guó)家網(wǎng)絡(luò)安全宣傳周期間,一份聚焦網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力的報(bào)告——《網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書(shū)》(以下簡(jiǎn)稱“白皮書(shū)”)引起了社會(huì)廣泛關(guān)注。白皮書(shū)基于大量人才實(shí)戰(zhàn)數(shù)據(jù)研究及問(wèn)卷調(diào)研分析,全面呈現(xiàn)了我國(guó)實(shí)戰(zhàn)型人才的供需現(xiàn)狀、培養(yǎng)現(xiàn)狀、評(píng)價(jià)方式及發(fā)展建議。什么是實(shí)戰(zhàn)型網(wǎng)絡(luò)安全人才?如何培養(yǎng)實(shí)戰(zhàn)型網(wǎng)絡(luò)安全人才?本刊采訪了白皮書(shū)主編單位之一的永信至誠(chéng),其高級(jí)副總裁李煒一一回答了上述問(wèn)題。
記者:白皮書(shū)顯示,未來(lái)具備實(shí)戰(zhàn)技能的網(wǎng)絡(luò)安全專家,將成為業(yè)界最為稀缺和搶手的資源。您認(rèn)為該如何定義網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)能力?
李煒:在國(guó)際形勢(shì)日趨復(fù)雜,網(wǎng)絡(luò)空間暗潮洶涌的背景下,面向?qū)崙?zhàn)的網(wǎng)絡(luò)安全人才越發(fā)受到重視。我們將攻防實(shí)戰(zhàn)能力定義為,在真實(shí)業(yè)務(wù)場(chǎng)景中,利用網(wǎng)絡(luò)空間安全技術(shù)和工具開(kāi)展安全監(jiān)測(cè)與分析、風(fēng)險(xiǎn)評(píng)估、滲透測(cè)試事件研判、安全運(yùn)維、應(yīng)急響應(yīng)等工作的能力。但隨著近年來(lái)新技術(shù)、新環(huán)境的發(fā)展變化,網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)能力所涵蓋的范圍逐步向精細(xì)化延伸。然而,業(yè)內(nèi)并未全面啟動(dòng)基于實(shí)際場(chǎng)景的分類分級(jí)工作,給人才培養(yǎng)工作帶來(lái)了困難和復(fù)雜性。例如,滲透測(cè)試工程師需要對(duì)目標(biāo)信息系統(tǒng)、設(shè)施和網(wǎng)絡(luò)進(jìn)行模擬滲透攻擊以檢測(cè)評(píng)估其安全性;安全運(yùn)維工程師需要熟練運(yùn)用網(wǎng)絡(luò)安全設(shè)備分析異常行為以消除或降低安全隱患;代碼審計(jì)工程師需要查找源代碼中存在的安全缺陷與隱患并給出修復(fù)建議。不同行業(yè)、不同用戶面臨的業(yè)務(wù)場(chǎng)景不同,崗位需求不同,不同崗位對(duì)攻防實(shí)戰(zhàn)能力的要求也不盡相同,很難用一套通用的標(biāo)準(zhǔn)去定義和培養(yǎng)攻防實(shí)戰(zhàn)人才。
記者:如何培養(yǎng)面向市場(chǎng)需求的網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)人才?
李煒:對(duì)此我有五個(gè)方面的建議。一是多角色明確培養(yǎng)目標(biāo)。高校是網(wǎng)絡(luò)安全人才培養(yǎng)的主陣地,但在網(wǎng)絡(luò)安全學(xué)科交叉性強(qiáng)、伴生性強(qiáng)、演化快的形勢(shì)下,高校難以迅速地將實(shí)際市場(chǎng)需求的網(wǎng)絡(luò)安全業(yè)務(wù)場(chǎng)景映射到課程體系中,導(dǎo)致所培養(yǎng)的人才存在從習(xí)得到實(shí)踐的差距。建議用人單位、社會(huì)培訓(xùn)機(jī)構(gòu)參與到人才培養(yǎng)環(huán)節(jié)中,與高校協(xié)同合作,明確各自在通識(shí)教育、崗前、崗后教育的責(zé)任分工,開(kāi)展常態(tài)化的校企合作與人才交流,以網(wǎng)絡(luò)安全需要終身學(xué)習(xí)的價(jià)值觀打造人才培養(yǎng)閉環(huán)。二是全場(chǎng)景細(xì)化人才分類。當(dāng)今各行各業(yè)已全面進(jìn)入場(chǎng)景化時(shí)代,人才培養(yǎng)方案只有在對(duì)行業(yè)和用人單位的完整業(yè)務(wù)場(chǎng)景梳理后,融合人才分類分級(jí)機(jī)制,才能在實(shí)際工作中發(fā)揮真正效用。例如,數(shù)字時(shí)代,數(shù)據(jù)安全涉及的場(chǎng)景與傳統(tǒng)網(wǎng)絡(luò)安全差異較大,除數(shù)據(jù)泄露外還延伸到數(shù)據(jù)管控、數(shù)據(jù)使用等,數(shù)據(jù)安全人才崗位還涉及數(shù)據(jù)安全合規(guī)、數(shù)據(jù)安全治理、數(shù)據(jù)安全運(yùn)營(yíng)等多個(gè)方向。建議高校、社會(huì)培訓(xùn)機(jī)構(gòu)、用人單位共同協(xié)作,對(duì)業(yè)務(wù)場(chǎng)景形成統(tǒng)一的認(rèn)知,對(duì)所需崗位進(jìn)行細(xì)致的刻畫(huà),做好所需人才的分類分級(jí)。三是分層級(jí)建立人才梯隊(duì)。對(duì)用人單位而言,網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)人才培養(yǎng)的最終目標(biāo)是建立人才梯隊(duì)。沒(méi)有人才梯隊(duì),就談不上網(wǎng)絡(luò)安全體系建設(shè)。只有明確清晰的崗位層級(jí),分層級(jí)建立人才梯隊(duì)機(jī)制,才能發(fā)揮所有人才的潛能,建設(shè)一支能打硬仗的隊(duì)伍。具體可通過(guò)摸清網(wǎng)絡(luò)安全人員底數(shù),通過(guò)崗位分級(jí)機(jī)制,把不同層級(jí)的人才應(yīng)用到不同的業(yè)務(wù)場(chǎng)景中,最大化實(shí)現(xiàn)用人單位人才資源的盤(pán)活。同時(shí),適當(dāng)發(fā)揮拔尖人才的示范引領(lǐng)作用,以優(yōu)質(zhì)的人才梯隊(duì)為網(wǎng)絡(luò)安全保駕護(hù)航。四是建立多維度人才培養(yǎng)通道。和信息化人才梯隊(duì)類似,網(wǎng)絡(luò)安全人才梯隊(duì),應(yīng)涵蓋管理崗、技術(shù)崗、學(xué)術(shù)崗,以保持人才隊(duì)伍能力的整體先進(jìn)性。一方面,用人單位應(yīng)設(shè)置學(xué)術(shù)、技術(shù),管理三個(gè)方向的人才培養(yǎng)通道,并設(shè)置明確的晉升機(jī)制;另一方面,以員工的個(gè)人意愿和組織發(fā)展需求為導(dǎo)向,引導(dǎo)人才靈活在各個(gè)通道間切換,亦可通過(guò)相應(yīng)的內(nèi)部競(jìng)聘上崗和職業(yè)技能培訓(xùn)滿足在不同通道間切換的崗位技能需求。五是搭建人才培養(yǎng)場(chǎng)景化裝備。隨著新場(chǎng)景與新威脅的相互疊加,用人單位對(duì)實(shí)戰(zhàn)化人才求賢若渴,但很多行業(yè)的業(yè)務(wù)連續(xù)性要求較高,人才難以在實(shí)際場(chǎng)景中得到技能鍛煉,限制了其成長(zhǎng)空間。在此背景下,網(wǎng)絡(luò)靶場(chǎng)作為一種基于場(chǎng)景的人才培養(yǎng)、人才能力測(cè)試評(píng)估基礎(chǔ)設(shè)施,通過(guò)模擬實(shí)際業(yè)務(wù)場(chǎng)景,收到了不錯(cuò)的成效。例如,在“首屆數(shù)據(jù)安全大賽”上,來(lái)自國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施單位、重要行業(yè)、科研機(jī)構(gòu)、院校、網(wǎng)絡(luò)安全企業(yè)、互聯(lián)網(wǎng)企業(yè)的攻防人才在數(shù)據(jù)安全靶場(chǎng)中,持續(xù)接受數(shù)據(jù)安全場(chǎng)景、數(shù)據(jù)分析場(chǎng)景、數(shù)據(jù)算法場(chǎng)景和數(shù)據(jù)實(shí)踐場(chǎng)景的多重考驗(yàn),極大地增進(jìn)了在實(shí)際工作中的應(yīng)用能力。再比如,在某央企舉辦的數(shù)據(jù)安全攻防演練中,參賽人員在數(shù)據(jù)安全靶場(chǎng)構(gòu)建的跨境數(shù)據(jù)流動(dòng)、數(shù)據(jù)非法使用和利用等場(chǎng)景中,不僅能夠?qū)崿F(xiàn)對(duì)戰(zhàn)術(shù)、技術(shù)、裝備、流程等各層面展開(kāi)全方位的測(cè)試評(píng)估,通過(guò)演練形成的多維度數(shù)據(jù)還能為人才梯隊(duì)的建設(shè)提供重要參考依據(jù)。
記者:作為一種行之有效的實(shí)戰(zhàn)能力培養(yǎng)及測(cè)試評(píng)估平臺(tái),網(wǎng)絡(luò)靶場(chǎng)正在被越來(lái)越多的機(jī)構(gòu)關(guān)注和認(rèn)可。在網(wǎng)絡(luò)靶場(chǎng)的建設(shè)和使用上,您有何建議?
李煒:當(dāng)前,很多政府和企業(yè)用戶都開(kāi)展了線下網(wǎng)絡(luò)靶場(chǎng)的建設(shè),但在建設(shè)過(guò)程中,往往暴露出靶場(chǎng)的資源和適配存在局限性,以及內(nèi)部交流氛圍不足的問(wèn)題。例如,很多單位雖然用網(wǎng)絡(luò)靶場(chǎng)開(kāi)展競(jìng)賽演練活動(dòng),但有能力有資格參與網(wǎng)絡(luò)靶場(chǎng)使用和運(yùn)營(yíng)的人才有限,人才之間的交流也不夠豐富。對(duì)此,不僅要加強(qiáng)人才梯隊(duì)建設(shè),還要有一個(gè)良好的交流平臺(tái)。在此背景下,永信至誠(chéng)打造了春秋云境 .com 云上靶場(chǎng)平臺(tái),設(shè)置了漏洞靶標(biāo)和仿真場(chǎng)景兩大體系,通過(guò)在線的模式、開(kāi)放的社區(qū)環(huán)境,為人才提供實(shí)戰(zhàn)化的滲透測(cè)試體驗(yàn),操作簡(jiǎn)便,容易上手。即使用人單位人才僅有個(gè)位數(shù),內(nèi)部缺乏交流環(huán)境,也可以在春秋云境 .com 中和成千上萬(wàn)的高水平人才共同切磋、進(jìn)步。
記者:用人單位如何評(píng)估網(wǎng)絡(luò)安全人才的實(shí)戰(zhàn)能力?
李煒:網(wǎng)絡(luò)安全人才測(cè)試評(píng)估最大的挑戰(zhàn)是評(píng)價(jià)模式單一、評(píng)價(jià)維度單一、評(píng)價(jià)持續(xù)性不強(qiáng)。首先,當(dāng)前網(wǎng)絡(luò)安全人才能力測(cè)試評(píng)估的方式包含考試、職稱評(píng)定、等級(jí)認(rèn)證、攻防大賽等,但是各種模式下的評(píng)價(jià)標(biāo)準(zhǔn)不同,用人單位很難以此形成人才能力畫(huà)像進(jìn)行參考。其次,網(wǎng)絡(luò)安全作為綜合型、實(shí)戰(zhàn)型學(xué)科,對(duì)人才的評(píng)價(jià)不能僅限于知識(shí)、技能、工作成效的單一層面,應(yīng)該針對(duì)不同層級(jí)階段的人員,搭建不同的人才評(píng)價(jià)框架,針對(duì)其知識(shí)水平、技術(shù)積累、工作成效、在競(jìng)賽演練中的成績(jī),甚至是態(tài)度意識(shí)、防御協(xié)同表現(xiàn),做出綜合評(píng)定。再次,網(wǎng)絡(luò)安全人才需要不斷更新知識(shí)技能,因此對(duì)人才的測(cè)試評(píng)估也無(wú)法一錘定音,應(yīng)保持持續(xù)性。所以,用人單位要以技術(shù)性、客觀性為前提,持續(xù)性地開(kāi)展人才測(cè)試評(píng)估工作。例如,某央企應(yīng)用“數(shù)字風(fēng)洞”,搭建了完整的網(wǎng)絡(luò)安全人才綜合評(píng)價(jià)體系,構(gòu)建了專用的人才綜合評(píng)價(jià)靶場(chǎng)模塊,開(kāi)展了“一周一訓(xùn)練、一月一競(jìng)賽、一季一演練、一年一協(xié)同(應(yīng)急演練)”的系列活動(dòng),并通過(guò)應(yīng)急演練所得到的大量數(shù)據(jù)指標(biāo),加以統(tǒng)計(jì)分析,客觀地對(duì)總公司、分公司相關(guān)人才隊(duì)伍的防御實(shí)踐協(xié)同能力進(jìn)行評(píng)估。這種持續(xù)性測(cè)試評(píng)估活動(dòng),對(duì)用人單位的人才分類、分級(jí)形成了詳細(xì)的參考指引,助力建設(shè)一支能戰(zhàn)善戰(zhàn)的網(wǎng)絡(luò)安全人才梯隊(duì)。
(本文刊登于《中國(guó)信息安全》雜志2023年第3期 作者袁勝)
評(píng)論