永信至诚董事长蔡晶晶
习总书记在419讲话中强调“网络空间的竞争,归根结底是人才的竞争”。目前我国网络安全人才缺口高达一百四十万,我们的院校不足以支撑这百万级人才的需求,而网络安全学科一个非常重要的点是动手能力,没有十万发子弹训练不出一个神枪手,没有几千个小时飞行训练不出一个优秀的飞行员。就像培养飞行员和神枪手一样,网络安全也只有通过在真实场景中进行规模化训练才能培养出真正的优秀人才。蔡晶晶提到,网络安全人才是一个“初、中、高”的梯队结构,不同的场景有不同的人才培养需求,要场景化解决不同的人才培养门槛问题。
规模化人才培养,支撑金字塔底部构建
批量化、规模化安全人才培养有五大场景需求:第一,门槛需要适中,不能门槛太高进不来;第二,需要完善的知识体系,针对不同岗位和技术方向的课程体系;第三,能够快速成长,借鉴过去十几年业内优秀安全专家建立的大量场景快速学习,学到想学的东西;第四,要紧扣实践,要跟学员未来的从业以及他已经在的岗位相关;第五,要进行能力评价。批量规模化的人才学完以后要能证明能力高低。国内在人才选拔方面已经进入到了批量化、规模化的新兴阶段,批量化的人才培养将金字塔的底部构建起来了。
行业人才培养,历练金字塔中部人才
针对企业行业化的人才培养,比如不同环境的漏洞挖掘、渗透测试、安全管理、物联网、工控等人才需求,蔡晶晶提到,需要有平台提供真实的行业场景演练,以进行多行业多应用条件下的复杂防御,进行不同对抗烈度下的训练等。像一些行业级的靶场,包括物联网、人工智能,还有像TCF国际网络安全大赛、永信至诚与百度合作的BCTF、全国大学生竞赛等,可以让大家去演练。今年9月在公安部郭启全总工主导下举办的网鼎杯大赛,是全球规模最大,影响行业范围最广的安全赛事。这个赛事推动影响中国大量的行业开始在内部进行安全人才、安全管理能力、安全建设的投入。行业级人才训练的靶场和场景,是我们在金字塔中间部分人才培养的重要需求。
城市级安全管理、指挥调度人才培养,选拔顶部人才
习总书记说“三大攻坚战”,其中第一个是防范化解重大风险。城市或企业需要突发事件指挥人才、安全管理人才,以应对大规模网络安全的风险。这类人才需要经历过一些大的赛事或者大的入侵/攻击安全事件,在处理过程中进行能力和经验的积累。蔡晶晶指出,这种能力和经验的积累不能用损失来构建,我们可以通过构建城市级靶场,虚拟一个中小规模的城市,再将城市间的职能虚拟化出来。比如今年在成都举办的巅峰极客就是这样一种平台,它构建了监管单位、关键信息基础设施单位、攻击方、防御方及新闻媒体等不同网络主体的真实攻防场景。这不仅是解决安全漏洞的问题,也不仅是解决某一两个人技术提升的问题,而是当遇到安全事件突发的时候,如何保卫一个城市,管理人员如何调配资源、协调资源的问题。这个平台支撑了我们基础设施接近于实践场景的历练过程,也就是我们为金字塔顶部人才构建的第三类平台——城市级靶场平台。
让错发生在靶场,网络靶场为全场景网络安全人才巩固根基
针对金字塔三种不同纬度角色,永信至诚基于多年在攻防技术领域的深刻理解和把握,提出构建网络空间的“朱日和”。这是针对我们的防御体系,针对我们的测试,针对我们能力的总体提升,构建的一个多维立体化的、由真实场景构成的靶场平台。它为全场景网络安全人才巩固根基。用一句朴素的话来总结,就是让错发生在靶场,不要让错发生在战场上,让错在虚拟的环境中呈现出来,不要让错在真实系统里产生损失。希望有更多人加入网络空间“朱日和”,共同让国家关键信息基础设施和国民生计安全得到保障,保护国家网络空间安全。
据悉,目前永信至诚e春秋网络靶场平台已经在多个项目中成功部署,获得了众多企事业单位的信赖与认可,并荣获CNCERT2018年网络安全创新产品一等奖。