2015年,是国内网络安全行业发展格外迅猛的一年。在网络安全上升为国家战略高度的背景下,国内各个领域、各类型机关企事业单位无不加速了网络安全建设与网络安全人才的培养步伐。这一年来,在全国各地风起云涌的网络安全大赛,则成为了各个领域检验、培养网络安全人才的主要方式。而在每一次大型网络安全竞赛活动中,几乎都少不了永信至诚的影子。
作为国内领先的网络安全研究与服务商,永信至诚在2015年里担任了数十场网络安全大赛的技术支撑单位。在这一年里,永信至诚对于网络安全竞赛的发展,以大赛发现人才、检验人才、培养人才的理念落实,以及网络安全人才未来的发展方向都有着深刻的理解。对此,笔者特别采访了永信至诚副总裁李炜。
1、是什么契机让您开始关注并深入到了安全竞赛这个独特的领域?
答:从员工的角度,最初是从湖湘杯开始,那次是做安全宣讲,并找一些安全人才,这也是最近几年网络安全越来越热,国家越来越重视,除了传统的宣讲、宣传,现在通过网络安全竞赛的模式,第一个大家会觉得形式活泼一些;第二它也是有实际意义的——发现/寻找人才;第三个确实它影响力和形式会比较容易接受,尤其是学校的学生。我对比赛的大概形式和意义也是从湖湘杯开始的。
我们公司深入到这个方向,也是跟我公司的主营业务方向相关的,我们从2013年开始去做网络安全人才培养,尤其是实用性人才培养方向的,这个战略决策和方向是不变的,用蔡总的话说就是“基因、聚焦、品味、颠覆”,我们有做网络安全的基因,聚焦在网络安全的人才培养的小领域。为什么要做这件事,除了有我们自己的积累、有国家的政策、市场的需求,那个数据大家都耳熟能详,一年缺口一百万,所以这里的商机对我们商家来说是机会,所以我们来了,我们有这个能力、积累与意愿,而且有这个大环境支撑我们这么去做。
网络安全是我们的一个核心的目标,湖湘杯给我们带来了非常正面积极的意义,很多院校和项目知道我们做实训和安全教育的,他们认为我们技术和平台做的不错,所以有需求的院校和企业会来找到我们,从多面来看,这都是一拍而和的。
从2015年4月开始,网络安全竞赛开始井喷,这其中的契机就是由北京市公安局、奇虎360我们永信至诚和其他友商一起来合办的4.29首都网络安全日,它的主旨和湖湘杯的类似,它希望以贴合民众的方式,让每一个人认识到网络安全就在你身边,关乎到每一个人,不仅仅是做网络安全的人IT从业者才重视,而是让民众都重视起来。因此想与传统的竞赛有所不同,最大的亮点是观赏性和实战性都非常强。新的比赛首先是要吸引民众的眼球,不论是组织和宣传都要新颖,而比赛也要吸引眼球,我们的竞赛平台的“蓝莲花”就是那个时候设计出来的。比赛的形式除了教育公众之外,也是要发现好的苗子,这对很多单位、企业还是一个刚需,但是没法找到这样的人才,从院校出来或者社会上的人才有的实际经验不足,达不到他们所期待的水平。因为有这样的供需矛盾,我们希望从比赛中找到这样的人才,所以在赛制上采取AWD(攻守兼备)模式,不仅为了竞赛而竞赛,更是要考验选手的综合能力,并且也成为我们的独特的优势。现在回过头看,AWD的比赛模式已经成为永信至诚的商标,AWD的比赛平台已经成为我们的名片,人才选拔和培养上现在是无可替代的,这也正反应了现在市场需要能在实际中能工作的实战型人才。这是我们深入这个领域的契机,一个是湖湘杯是一个开头,证明了市场的需求是实际存在的。4.29是一个升华的里程碑的事件,这件事告诉了我们网络安全全民需求、市场对实战型人才需求有多大。
2、2015年国内安全赛事比往年多了几倍,是什么原因造就了这种全面开花的行业形势?
答:2015年办了很多网络安全比赛的原因,实话实说是大环境,无论是中国、美国其他国家都在提缺少网络安全人才,这件事已切实关系到国家网络安全。在这样的大环境下,各种机构和行业都发出自己的声音, 所以很多政府机构和民间组织都在推动安全竞赛。目标第一个是用这种最快的方式发出自己的声音;第二,确实是有实际的意义——发现人才,所以今年安全竞赛井喷。据统计,去年我们办了全国比赛的三分之二,从圈内人知道,让从事IT行业的人都知道,甚至圈外的人也知道。
而且比赛传递了良性的示范效益,让更多的院校和企业可以展示自己的实力,输出相应的人才。网络安全人才培养是个长期的综合话题,通过安全竞赛的事情,我发现大家对这件事儿都抱着善意、乐观、正面态度去看,大家都有个共识,安全竞赛对人才的培养、输送,绝对是最直观、也是最有趣的方式之一。比如我们很多自己的比赛,有很多单位表示要给竞赛表现突出的人才发offer,大家对这个AWD形式检验出来的选手的能力是很认可的。
3、除了民间的各类赛事,在2015年可以看到有大量的行业组织、企业、高校和政府单位也进入到了安全竞赛领域中来,是什么驱动着这件事的发展?
答:院校尤其是二三本、职业的,更关注学生的就业,如果仅凭在学校学习的经验,很难找到工作。院校关注方向在科研,但网络安全更新非常快,学生没办法立马学习到,学生在实际工作中也发现工作能力不完善。院校、企业希望有一种联动模式,提升学生的能力。
当时参加一个论坛的时候,我提出一种说法:企业的需求有很多种,有安全企业对人才的需求、有一般企业对人才的需求、有特殊行业对人才的需求。比如安全企业需要的人才是要懂安全的,具备安全知识和能力,不需要懂运维和业务;一般企业则不需要找技术特别精专的,他们需要懂得安全运维的人才,能把网络安全运维和基础知识在实际中结合起来的人才;但是在特殊行业,则更需要最专业的人才。
每个行业对安全人才的定义和需求是不一样的,所以我们认为网络安全人才培养是一个生态链,不能把职责只压在一方的身上,比如学校。我们参照美国的模式,培养人才应该是立体化的生态圈,学校负责基础知识和基础能力的部分,社会机构负责从学校到工作的过渡、对接,类似于岗前培训,让人才适应企业的需求。第三步,需要在工作中再学习,让人才体现保障业务的价值。最后的结论是:加强学校网络安全专业的老师和企业的互动性,让学校老师、学生可以在企业实习,对学生的帮助很大。
我们在安全竞赛中贴近实战,想去模拟人在真实的工作环境中遇到的问题。比如说,在日常维护的工作中,绝对不可能为了安全停掉自己的业务,所以在我们的安全竞赛中,我们规定虚拟机上有漏洞,但是绝对不允许防守方通过刷脚本和关闭服务的方式阻止攻击,这样是会扣分的。
4、白帽黑客的培养门槛要比黑帽高很多,如何培养高素质的白帽黑客?竞赛在这项工作中的意义又在哪?
答:现在除了法律和道德,对黑帽黑客是没有约束。国外有一种非常著名的道德黑客认证,是FBI发证的,叫CEH。其实从能力上讲,白帽黑客综合能力比较强,最突出、最典型的特点是他要在意识上有一把“锁”,认定有些东西是不能碰的。培养白帽黑客的门槛真的是非常非常高。什么叫白帽黑客?首先,道德上的约束要非常强。人是趋利的动物,对于诱惑力道德约束还不够,之前就需要法律的监管。国家现在提网络安全人才培养、人才缺乏和网络安全是国家安全的事情上,也推出条例性法规的监管,包括现在看到《反恐法》的出台,马上《网络安全法》也要出台,对白帽黑客和黑帽黑客的划分、对黑帽黑客的约束会越来越多,我认为这是对白帽黑客的反向促进。
除了对人才技能方面的培训,更在意识和法律方面有要求,是白帽黑客培养门槛非常高的。有些人不但技术高,在工作中的职位也很高,比如蔡总,是一个典型的白帽黑客,而他也是个综合人才,他需要懂管理、懂演讲、懂法律等各种各样的东西,对这样的人才的培养,门槛是远远高于黑帽黑的。
5、就是说竞赛对白帽们的实际意义会更高一些?
答:以AWD的比赛模式为例,一个攻击、一个防御、一个侦查,和实际生活黑帽中黑客的工作模式很像,但是黑帽的是不想出名的,越低调越好,用比赛出名的方式对他们来说也是无意义的。反过来讲,竞赛的形式有可能将正在走向黑帽的黑客走向白帽的方向,这是有正向意义的方式。尤其是对学生,他们接触到竞赛也会了解到相关单位和法律,这是引导他们走向光明。主办方会教育参赛者,做不好的行为是要付出代价的,不但选拔了人才,也做了意识教育。
6、从目前的行业形势来看,未来几年安全比赛和安全人才培养将会有怎样的发展趋势?
答:在我看来,现在的安全行业需要两类人。第一,实战能力较强的人才,虽然不懂业务,但是这类人是知道在受到网络攻击的时候要怎么去防,他是解决问题的人,所以这种人是特别特别急需的。第二种人是要即懂安全又懂业务的,他的技术能力不如第一种人突出,但是他的知识面广,知道很多案例,对企业业务非常了解,他有能力将基础技术应用到业务和工作当中,这种人不论是中小企业、大型企业、超大型企业都非常缺少的。这两种人才的培养是要未来安全竞赛模式方面体现的,一种是可以是纯攻防的对抗检验选手实际心理、素质能力,另一种是往企业的生产环境、案例场景去靠,模拟实际情况设置相应的题目,让选手在接近于行业特征的房间中,模拟在工作环境中会遇到的挑战,检验他的水平。这两点将是一个趋势。
当然还有一个趋势是我们现在所有的竞赛,都偏技能型和实战型,以后可能和管理、规划的结合起来,可能会出现安全规划竞赛和安全管理竞赛,但具体如何去做还未知。以后安全竞赛可能会百花齐放,在很多方向都会有特别专项的竞赛出来。
可见,这一年来通过全国各地各行各业网络安全竞赛的发展,不仅对发现和培养网络安全人才方面取得了突出成果,更重要的是,也让各个行业、各个领域更清晰的了解了提升网络安全防护能力的工作方向,如内部实战培训机制、对专业人才需求的精准把握、及未来对网络安全从业者工作岗位的合理分配等。同时,对于网络安全人才来说,通过参加形式丰富的网络安全大赛,不仅提升了个人技能和实战经验,对未来的行业需求与个人发展方向有了更清晰的认识,可以更精准的规划个人的学习和发展方向。