Tel :010-50866166

新闻报道

网络安全人才培养的“三步走”策略

永信至诚李炜:从“怎么做”,到“怎么用”,再到“在哪用”——网络安全人才培养的“三步走”策略
以下文章来源于中国信息安全 ,作者李炜
 
网安人才培养面临的主要挑战
 
随着国家网络安全相关配套法律、法规和标准、规范的逐步完善,党政机关和企事业单位对于网络安全工作的重视与日俱增。“网络空间的竞争,归根结底是人才竞争”,人是安全的核心已成为各行业、单位的共识
 
网络空间安全作为“新工科”类别下的新兴学科,有着注重实践、注重应用、注重知识更新的显著特点,在网络安全人才培养方面,所有单位和个体都面临知识更新、实践应用和场景沉淀三大挑战。
 
网络空间安全作为一个伴生性的学科,随着信息化技术的发展而发展,必须确保有一种知识敏捷迭代的机制,让人们将最新的知识用合适的模式应用在恰当的范围,将知识、技能和应用范围以及效果沉淀下来,形成立体化的知识场景,确保人才培养的效率和效果。
 
近年来,我国在网络安全人才培养的模式、体系和机制方面做了很多有益探索。从实践实训的模式逐步加强,到引入安全竞赛作为技能检验评定的一种模式,再到社会各界广泛参与的实战演练和众测活动,都是以“技术应用场景”的模式来检验和督促人员进步,都已经取得了显著成效。
 
然而,我们也不能回避在当前仍然存在困扰人才供需双方的一些尖锐矛盾:供给侧对于技术技能与岗位职责之间的理解偏差,需求方对于岗位要求与实际工作场景的对应位差,技术支撑方对于供给侧和人才需求方对于培养模式认知的落差,造成了大量的供需错配和资源浪费。
 
作为网安人才培养的民间力量和技术支撑方,笔者回顾了近年来一些经验,站在供给侧,梳理我们开展人才培养的一条“技术路线”。
 

网安人才培养的“三步走”策略
 
抛开不同用人单位的个性需求,简单来说,网络安全的技术人才,必须要经历“怎么做”到“怎么用”,再到“在哪用”的演变历程,才可能具备符合需求方基本要求的能力。我们将之称为“三步走”策略。
 
 
怎么做-从技术实践中来
 
各界对于网络安全的技术人才定义十分模糊,顶级专家,技术骨干是网安人才,但我们也不应忽略大量的从事基础安全运维,乃至IT运维的工作人员,他们也是国家和用人单位需要的网安技术人才,只有充足的基层人才基数和完备的人才梯队机制,才能支撑源源不断地培养出高端的顶级人才。安全人口”基数是解决网络安全人才问题的重中之重,实践教育是扩大“人口基数”的核心
 
我们可以看到,近年来供需双方都在强调培养环节中的实践能力提升,我们也了解到,一些单位的基层安全岗位人员多数是兼职,并且不具备基础的攻防知识和操作能力,由于其工作性质侧重在运维和防御,一度在质疑是否有必要了解攻防知识掌握基础技能。但作为一个工程性学科,从知识体系上讲,网络安全没有也不应该进行“攻”和“防”人为界定和生硬划分,为了使基层人才具备优秀的基础和更好的成长空间,人才供给侧在基础教育中必定要尊重“从技术实践中来”的客观规律,不能让受训基层人员从意识和技能层面进行自我“分割”,我们要有明确的认知:技能不分攻防,岗位才分
 
所以,回顾近年来备受瞩目和争议的一种技能评定方式:网安竞赛,它已经成为网安人才培养的一种“现象”,虽然由于竞赛水平、商业化等问题存在一定争议,但经典的CTF从不同的技能方向来选拔和评定人员对相关技能的掌握程度,这是符合网络安全客观科学规律的,应作为一种常态化的评定模式发展下去。当然,网安竞赛也必须逐步适应不同人群和岗位的需求,进行竞赛模式和赛制的自我迭代升级。
 
 
怎么用-往岗位实际中去
如果说,了解和掌握基础的知识和技能,是成为人才的第一步,那么,如何在实际工作中应用和发挥作用,就是供需双方都面临的共性问题。
 
这里有一个典型的“瓶颈”:供给侧很难掌握需求方的岗位特点和工作要求,因此,对于岗位所需技能的传递很难全面和准确;需求方由于自身对网络安全认知的局限,对于岗位技能的定义在专业性上可能存在偏差(如只要求“防御”技能),很长时间以来都形成了一种“供需错配”,导致的结果是用人单位找不到人,留不住人。比如,我们经常可以从用人单位听到抱怨:新招的工程师XX技术好像还不错,但整天埋头钻研技术,我们又不要他天天去内部检测渗透,由于文案能力匮乏,日常的巡检和报警监测报告完成情况一般,过了半年,就离职了。
 
把学到的技能在工作中用起来,需要社会各界共同参与:网安教育是终身和持续性的,也要分不同层级,从学校教育-岗前培训-在职培训-专业进修等不同阶段,可以看到教育供给方是不同主体在承担,必须找准站位,开展协作。我们短期内不能指望有一种模式,从校园开始就培养出完全符合岗位需求的人员,在人才进入工作岗位之后无需适应就可以立刻以完美状态开展工作。但我们也确实发现,利用“场景”的模式教学,贯穿于不同层级的网安教育环节,能极大地提升学员技能应用能力,与岗位工作中的一些典型工作场景匹配,能让供需双方提升人才的综合能力,减轻后续再教育的成本。
 
网络安全领域的场景,一般包含几大要素:人、IT环境、风险、方法、行动、结果。用传统的说法就是“案例”教学,但区别于之前的模式,当前的“场景”模式,不仅是对这些要素进行描述,二是把他们尽量还原,让他们“活”过来,“动”起来,让学员在其中“角色扮演”,以第一或第二视角体验在具体工作场景中用哪些技能应对哪些状况,这才是将技能应用“往岗位实际中去”的有效方式
 
所以,越来越多的用人单位,在注重自身“红蓝队”梯队建设,在考核评定过程中,对于指标的设定,围绕技能、岗位工作和专项行动效果等不同层面进行考评,在技能考核过程中,针对在岗人员越来越多地采用AWD(攻防兼备)或AWD Plus(升级版)这种与实际工作场景有一定结合的模式,这是非常务实的做法,也呼应了国家对于网络安全工作注重“实效”的导向。
 
 
在哪用-在行业场景中用
 
在人才培养过程中,最复杂的一个问题就是“行业匹配度”,这是人才培养的“深水区”。在普适性的“技能实践”培训后,结合一些典型岗位工作中的“典型应用”能够为基础的人才打下比较牢固的基础。
 
但在实际环境中,不同行业其行业背景、IT环境和行业特点有极大区别,在实际工作中,如果对于行业特点和情况没有了解,必然还会存在人才“水土不服”和高投入,长周期的磨合。很多行业的生产和重点业务区域对于网络安全的风险容错性不高,极难或不允许在实际环境中发现问题和应用技能,这限制了人才在行业中的熟悉和成长空间。比如,在进行等级保护测评工作过程中,某些重要工业生产区域,由于不能接受技术测试带来的风险,往往只能放弃技术测评环节,内部环境和安全风险情况基本是“灯下黑”,既带来了很大的风险,也为行业内人才的成长树立了壁垒。
 
这就要求我们找到一种模式,来零风险,低成本,高效率的进行大规模、深层次、高柔性的还原或模拟一些行业场景。而这种“鲜活”“立体”的具备行业特点的攻防场景,只有在专业的网络靶场中才能快速、高效、零风险的得以搭建、复现,这也是为什么会有越来越多行业、单位开展建设网络靶场或仿真验证环境的原因之一。
 
在人才培养和考评环节中,不同行业和教学主体在采用的模式上存在一定差异。高校和职业院校,在大型赛事中还是以CTF结合AWD Plus为主,但在一些重要行业用人单位中,已经开始采纳专业技能结合行业化的靶场场景进行综合评定,这已经成为一种发展趋势。网络靶场作为重要的基础支撑平台,正发挥越来越重要的作用。
 
近期即将举办的第二届“网鼎杯”网络安全大赛,作为国内覆盖行业最广、参赛人员最多,水平最高的大赛,基本将院校、党政机关、科研机构、国有企业和民营企业全覆盖,涉及了网络安全人才培养的各方。在赛程安排上,通过线上CTF选拔,线下半决赛/决赛AWD Plus结合靶场演练的模式,就是在印证从“怎么做”“怎么用”“在哪用”的人才选拔技术路线,层层选拔,逐步递进,发现和评定各行业人才在实际工作场景中的应用能力,这也预示着网络安全竞赛的一些未来发展趋势和脉络:场景化、智能化、行业化。值得各方高度关注和研究
 
 
网安人才培养的供给侧结构性变革着力点
 
网络安全人才培养模式、框架和方法需要社会各界共同研究和逐步迭代,也需要在不同细分领域进行精细化、精准化的设计和梳理。作为网络安全人才培养的供给侧和支撑方,我们和需求方共同经历和验证了实践实训、对抗评定和持续学习的重要性和有效性。但如前所述,人才培养工作的下一步发展必然走向精细化、行业化和延伸化。立足当前,着眼未来,供给侧应从提供的服务结构性层面进行深耕和拓展:
 
一是要保持专业。持续丰富实训、评定形式,在训练理论、训练方法、训练工具、训练场景等方面进一步投入资源加强研发迭代;
 
二是要分类分级。细分受训对象的类别和层次,要考虑对网安专业人才和网安相关人才的不同培养方式、知识体系和模式,要对网安专业人才基于技能、基于岗位进行能力分级;
 
三是要深入场景。与各方协作,在专业的平台环境中,逐步累积叠加行业和岗位具体工作场景,形成更有针对性的行业人才培养模式、体系和框架;
 
四是要强化运营。人才培养供给侧和支撑方必须改变“小作坊式”的短期授课和售卖平台的简单粗糙的运营理念和模式,着眼长远,要投入大量人力、资源和时间,形成体系化的方法论、框架和一系列专业配套平台及服务,与需求方共同成长,深入运营。
 
在知识体系构建之初,就一定要考虑赋能需求方的知识体系“自我生长”能力,一些行业内的场景和专业领域知识,需要需求方获得一定能力之后结合网络安全能力自我输出,逐步丰富,而不是绑定厂商,封闭空间;在网络靶场规划设计之初,就要考虑长期的运营,要明确建设方、设计方、运营方、使用方各自不同责权,想好长期运营模式,避免建设的盲目性和资源浪费
 
在国家深化网络空间治理背景下,网络安全治理工作正在从单纯事件驱动+合规驱动向主动治理转变。在当前新形势下,各方都需要建设核心能力,加快向“主动式治理”的模式演进。人才培养就是各方“原生”的核心能力,这一使命光荣而艰巨。
 
由于网络空间安全这一新学科自身的“伴生”特性,网络安全的核心能力,某种程度上恰恰不取决于“网络安全”自身,网络安全人才培养需要更多“非网安专业”方共同参与,共同建设,为国家培养更多网络安全专才、怪才、全才。
 
本文刊登于《中国信息安全》杂志2020年第4期