本文转自:【中国信息安全】
文丨永信至诚高级副总裁李炜
接受中国信息安全采访
文丨永信至诚高级副总裁李炜
接受中国信息安全采访
2022 年国家网络安全宣传周期间,一份聚焦网络安全人才实战能力的报告——《网络安全人才实战能力白皮书》(以下简称“白皮书”)引起了社会广泛关注。白皮书基于大量人才实战数据研究及问卷调研分析,全面呈现了我国实战型人才的供需现状、培养现状、评价方式及发展建议。什么是实战型网络安全人才?如何培养实战型网络安全人才?本刊采访了白皮书主编单位之一的永信至诚,其高级副总裁李炜一一回答了上述问题。
记者
白皮书显示,未来具备实战技能的网络安全专家,将成为业界最为稀缺和抢手的资源。您认为该如何定义网络安全攻防实战能力?
李炜
在国际形势日趋复杂,网络空间暗潮汹涌的背景下,面向实战的网络安全人才越发受到重视。我们将攻防实战能力定义为,在真实业务场景中,利用网络空间安全技术和工具开展安全监测与分析、风险评估、渗透测试事件研判、安全运维、应急响应等工作的能力。但随着近年来新技术、新环境的发展变化,网络安全攻防实战能力所涵盖的范围逐步向精细化延伸。然而,业内并未全面启动基于实际场景的分类分级工作,给人才培养工作带来了困难和复杂性。例如,渗透测试工程师需要对目标信息系统、设施和网络进行模拟渗透攻击以检测评估其安全性;安全运维工程师需要熟练运用网络安全设备分析异常行为以消除或降低安全隐患;代码审计工程师需要查找源代码中存在的安全缺陷与隐患并给出修复建议。不同行业、不同用户面临的业务场景不同,岗位需求不同,不同岗位对攻防实战能力的要求也不尽相同,很难用一套通用的标准去定义和培养攻防实战人才。
记者
如何培养面向市场需求的网络安全攻防实战人才?
李炜
对此我有五个方面的建议。一是多角色明确培养目标。高校是网络安全人才培养的主阵地,但在网络安全学科交叉性强、伴生性强、演化快的形势下,高校难以迅速地将实际市场需求的网络安全业务场景映射到课程体系中,导致所培养的人才存在从习得到实践的差距。建议用人单位、社会培训机构参与到人才培养环节中,与高校协同合作,明确各自在通识教育、岗前、岗后教育的责任分工,开展常态化的校企合作与人才交流,以网络安全需要终身学习的价值观打造人才培养闭环。二是全场景细化人才分类。当今各行各业已全面进入场景化时代,人才培养方案只有在对行业和用人单位的完整业务场景梳理后,融合人才分类分级机制,才能在实际工作中发挥真正效用。例如,数字时代,数据安全涉及的场景与传统网络安全差异较大,除数据泄露外还延伸到数据管控、数据使用等,数据安全人才岗位还涉及数据安全合规、数据安全治理、数据安全运营等多个方向。建议高校、社会培训机构、用人单位共同协作,对业务场景形成统一的认知,对所需岗位进行细致的刻画,做好所需人才的分类分级。三是分层级建立人才梯队。对用人单位而言,网络安全攻防实战人才培养的最终目标是建立人才梯队。没有人才梯队,就谈不上网络安全体系建设。只有明确清晰的岗位层级,分层级建立人才梯队机制,才能发挥所有人才的潜能,建设一支能打硬仗的队伍。具体可通过摸清网络安全人员底数,通过岗位分级机制,把不同层级的人才应用到不同的业务场景中,最大化实现用人单位人才资源的盘活。同时,适当发挥拔尖人才的示范引领作用,以优质的人才梯队为网络安全保驾护航。四是建立多维度人才培养通道。和信息化人才梯队类似,网络安全人才梯队,应涵盖管理岗、技术岗、学术岗,以保持人才队伍能力的整体先进性。一方面,用人单位应设置学术、技术,管理三个方向的人才培养通道,并设置明确的晋升机制;另一方面,以员工的个人意愿和组织发展需求为导向,引导人才灵活在各个通道间切换,亦可通过相应的内部竞聘上岗和职业技能培训满足在不同通道间切换的岗位技能需求。五是搭建人才培养场景化装备。随着新场景与新威胁的相互叠加,用人单位对实战化人才求贤若渴,但很多行业的业务连续性要求较高,人才难以在实际场景中得到技能锻炼,限制了其成长空间。在此背景下,网络靶场作为一种基于场景的人才培养、人才能力测试评估基础设施,通过模拟实际业务场景,收到了不错的成效。例如,在“首届数据安全大赛”上,来自国家关键信息基础设施单位、重要行业、科研机构、院校、网络安全企业、互联网企业的攻防人才在数据安全靶场中,持续接受数据安全场景、数据分析场景、数据算法场景和数据实践场景的多重考验,极大地增进了在实际工作中的应用能力。再比如,在某央企举办的数据安全攻防演练中,参赛人员在数据安全靶场构建的跨境数据流动、数据非法使用和利用等场景中,不仅能够实现对战术、技术、装备、流程等各层面展开全方位的测试评估,通过演练形成的多维度数据还能为人才梯队的建设提供重要参考依据。
记者
作为一种行之有效的实战能力培养及测试评估平台,网络靶场正在被越来越多的机构关注和认可。在网络靶场的建设和使用上,您有何建议?
李炜
当前,很多政府和企业用户都开展了线下网络靶场的建设,但在建设过程中,往往暴露出靶场的资源和适配存在局限性,以及内部交流氛围不足的问题。例如,很多单位虽然用网络靶场开展竞赛演练活动,但有能力有资格参与网络靶场使用和运营的人才有限,人才之间的交流也不够丰富。对此,不仅要加强人才梯队建设,还要有一个良好的交流平台。在此背景下,永信至诚打造了春秋云境 .com 云上靶场平台,设置了漏洞靶标和仿真场景两大体系,通过在线的模式、开放的社区环境,为人才提供实战化的渗透测试体验,操作简便,容易上手。即使用人单位人才仅有个位数,内部缺乏交流环境,也可以在春秋云境 .com 中和成千上万的高水平人才共同切磋、进步。
记者
用人单位如何评估网络安全人才的实战能力?
李炜
网络安全人才测试评估最大的挑战是评价模式单一、评价维度单一、评价持续性不强。首先,当前网络安全人才能力测试评估的方式包含考试、职称评定、等级认证、攻防大赛等,但是各种模式下的评价标准不同,用人单位很难以此形成人才能力画像进行参考。其次,网络安全作为综合型、实战型学科,对人才的评价不能仅限于知识、技能、工作成效的单一层面,应该针对不同层级阶段的人员,搭建不同的人才评价框架,针对其知识水平、技术积累、工作成效、在竞赛演练中的成绩,甚至是态度意识、防御协同表现,做出综合评定。再次,网络安全人才需要不断更新知识技能,因此对人才的测试评估也无法一锤定音,应保持持续性。所以,用人单位要以技术性、客观性为前提,持续性地开展人才测试评估工作。例如,某央企应用“数字风洞”,搭建了完整的网络安全人才综合评价体系,构建了专用的人才综合评价靶场模块,开展了“一周一训练、一月一竞赛、一季一演练、一年一协同(应急演练)”的系列活动,并通过应急演练所得到的大量数据指标,加以统计分析,客观地对总公司、分公司相关人才队伍的防御实践协同能力进行评估。这种持续性测试评估活动,对用人单位的人才分类、分级形成了详细的参考指引,助力建设一支能战善战的网络安全人才梯队。
(本文刊登于《中国信息安全》杂志2023年第3期)