網(wǎng)絡(luò)安全人才培養(yǎng)實(shí)踐與建議

◎浙江宇視科技有限公司 梁鴿

◎戰(zhàn)略支援部隊(duì)信息工程大學(xué) 秦艷平 孔蘇

隨著信息技術(shù)的發(fā)展與應(yīng)用，信息安全的內(nèi)涵在不斷地延伸，從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認(rèn)性，進(jìn)而又發(fā)展為“攻(攻擊)、防(防范)、測(檢測)、控(控制)、管(管理)、評(評估)”等多方面的基礎(chǔ)理論和實(shí)施技術(shù)。信息安全是一個綜合、交叉學(xué)科領(lǐng)域，它要綜合利用數(shù)學(xué)、物理、通信和計(jì)算機(jī)諸多學(xué)科的長期知識積累和最新發(fā)展成果，進(jìn)行自主創(chuàng)新研究，加強(qiáng)頂層設(shè)計(jì)，提出系統(tǒng)的、完整的、協(xié)同的解決方案。與其他學(xué)科相比，信息安全的研究更強(qiáng)調(diào)自主性和創(chuàng)新性，既可以體現(xiàn)國家主權(quán)，又可以抵抗各種攻擊，適應(yīng)技術(shù)發(fā)展的需求。

網(wǎng)絡(luò)安全是信息安全領(lǐng)域中的重要研究內(nèi)容之一，也是當(dāng)前的研究熱點(diǎn)。研究內(nèi)容包括網(wǎng)絡(luò)安全整體解決方案的設(shè)計(jì)與分析、網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)等。網(wǎng)絡(luò)安全包括物理安全和邏輯安全。物理安全指網(wǎng)絡(luò)系統(tǒng)中各通信、計(jì)算機(jī)設(shè)備及相關(guān)設(shè)施的物理保護(hù)，免于破壞、丟失等。邏輯安全包含信息完整性、保密性、非否認(rèn)性和可用性。它是從物理到內(nèi)容到多層次防護(hù)體系，涉及網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、人員管理等方方面面，必須綜合考慮。

隨著互聯(lián)網(wǎng)、專用網(wǎng)絡(luò)化信息系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的快速發(fā)展，網(wǎng)絡(luò)安全問題更加突出，并已成為關(guān)系到國家政治、國防、社會的重要問題，培養(yǎng)具有信息安全知識和應(yīng)用技能的專業(yè)技術(shù)人才越加急迫，對網(wǎng)絡(luò)安全人才培養(yǎng)建設(shè)也不斷提出新的要求。

一、人才需求與培養(yǎng)現(xiàn)狀

網(wǎng)絡(luò)安全的本質(zhì)在對抗，對抗的本質(zhì)在攻防兩端能力的較量。網(wǎng)絡(luò)安全實(shí)質(zhì)是人與人的對抗，而不是購買和部署一批網(wǎng)絡(luò)安全設(shè)備、安裝一批軟件就能解決問題。就像國家安全有了武器，還要有掌握武器的軍人和警察。網(wǎng)絡(luò)安全更需要專業(yè)安全運(yùn)維人員來做分析、規(guī)劃、態(tài)勢研判、響應(yīng)和處置。在互聯(lián)網(wǎng)時(shí)代，每個政企單位都需要建立自己的網(wǎng)絡(luò)安全技術(shù)團(tuán)隊(duì)或委托專業(yè)安全服務(wù)團(tuán)隊(duì)提供網(wǎng)絡(luò)安保服務(wù)，網(wǎng)絡(luò)安全將成為一個智力密集型的服務(wù)業(yè)，形成巨大的人才需求。

近年來，國家網(wǎng)絡(luò)安全人才培養(yǎng)取得重要進(jìn)展。“網(wǎng)絡(luò)空間安全”被國務(wù)院學(xué)位委員會和教育部增設(shè)為一級學(xué)科。2017年8月，中央網(wǎng)信辦、教育部印發(fā)《一流網(wǎng)絡(luò)安全學(xué)院建設(shè)示范項(xiàng)目管理辦法》，決定在2017年至2027年實(shí)施一流網(wǎng)絡(luò)安全學(xué)院建設(shè)示范項(xiàng)目，建成4-6所國內(nèi)公認(rèn)、國際上具有影響力和知名度的網(wǎng)絡(luò)安全學(xué)院。2017年9月16日，2017年國家網(wǎng)絡(luò)安全宣傳周在上海開幕，中央網(wǎng)信辦、教育部公布了“一流網(wǎng)絡(luò)安全學(xué)院建設(shè)示范項(xiàng)目高?！泵麊?。我國網(wǎng)絡(luò)安全高層次人才培養(yǎng)邁出了重要一步。

盡管如此，這與打造網(wǎng)絡(luò)強(qiáng)國對人才的需求規(guī)模相比還存在較大差距，網(wǎng)絡(luò)安全人才培養(yǎng)體系亟待完善。

1、人才缺口巨大。據(jù)教育部有關(guān)機(jī)構(gòu)和專家預(yù)測，當(dāng)前我國網(wǎng)絡(luò)安全人才缺口達(dá)70萬，到2020年將急劇增加到140萬。近3年來，全國高校網(wǎng)絡(luò)安全相關(guān)專業(yè)年均招生1萬人左右，主要依靠高校培養(yǎng)網(wǎng)絡(luò)安全人才的方式遠(yuǎn)遠(yuǎn)不能滿足網(wǎng)絡(luò)安全的需要。

2、高校人才培養(yǎng)難以滿足網(wǎng)絡(luò)安全實(shí)戰(zhàn)需求。一方面由于我國網(wǎng)絡(luò)安全教育起步較晚，高校網(wǎng)絡(luò)安全實(shí)踐型人才儲備不足，缺乏精通尖端網(wǎng)絡(luò)安全技術(shù)的專業(yè)教師隊(duì)伍，師資力量亟待加強(qiáng)。另一方面，高校普遍缺乏網(wǎng)絡(luò)安全實(shí)踐場景，導(dǎo)致學(xué)生普遍理論知識多，實(shí)戰(zhàn)能力弱，畢業(yè)后也很難滿足用人單位的要求。

3、網(wǎng)絡(luò)安全職業(yè)培訓(xùn)質(zhì)量有待提高。目前已經(jīng)有一些民辦網(wǎng)絡(luò)安全培訓(xùn)機(jī)構(gòu)在積極發(fā)揮作用，但在課程設(shè)計(jì)合理性、課件制作水平、講師與輔導(dǎo)教師水平、實(shí)驗(yàn)環(huán)境真實(shí)性上都存在較大不足，往往以拿資格證書為目的，忽視實(shí)戰(zhàn)能力提高和對用人單位實(shí)際需求的響應(yīng)，存在重效益輕能力培養(yǎng)的現(xiàn)象。

4、網(wǎng)絡(luò)安全從業(yè)人員缺乏必要的職業(yè)技能鑒定。目前，網(wǎng)絡(luò)安全尚未納入國家職業(yè)資格目錄。網(wǎng)絡(luò)安全從業(yè)人員沒有權(quán)威的職業(yè)技能憑證，不利于提高從業(yè)人員素質(zhì)、促進(jìn)就業(yè)。

二、人才培養(yǎng)思路

網(wǎng)絡(luò)安全對理論依賴并不是特別多，更多的是“實(shí)踐性非常強(qiáng)的學(xué)科”，比如很多黑客并不是科班出身，更多的是自學(xué)成才，只是對手機(jī)、計(jì)算機(jī)系統(tǒng)非常了解，非常熱愛這個行業(yè)。所以，對于網(wǎng)絡(luò)安全人才的培養(yǎng)思路需要打破常規(guī)、不拘一格，現(xiàn)從以下方面提出建議：

（一）鼓勵社會辦學(xué)，快速填補(bǔ)實(shí)戰(zhàn)型人才缺口

我國巨大的網(wǎng)絡(luò)安全人才缺口中，90%以上是防御型人才。與進(jìn)攻型、研究型人才不同，防御性人才可以通過職業(yè)培訓(xùn)形式大批量培養(yǎng)。依靠社會力量開展職業(yè)教育，大規(guī)模培養(yǎng)，是短期內(nèi)彌補(bǔ)網(wǎng)絡(luò)安全人才缺口的有效途徑。建議支持網(wǎng)絡(luò)安全企業(yè)和社會力量開辦教育培訓(xùn)機(jī)構(gòu)，邀請具有豐富實(shí)戰(zhàn)經(jīng)驗(yàn)的技術(shù)專家擔(dān)任講師，結(jié)合網(wǎng)絡(luò)安全行業(yè)的最新需求，在網(wǎng)絡(luò)安全企業(yè)進(jìn)行實(shí)戰(zhàn)演練，建立規(guī)?；囵B(yǎng)實(shí)戰(zhàn)型網(wǎng)絡(luò)安全人才的機(jī)制。

（二）開展網(wǎng)絡(luò)安全學(xué)科聯(lián)合建設(shè)

為提高網(wǎng)絡(luò)安全高等教育的實(shí)戰(zhàn)水平和技術(shù)能力，建議鼓勵高校和科研院所與優(yōu)秀網(wǎng)絡(luò)安全企業(yè)聯(lián)合建設(shè)網(wǎng)絡(luò)安全學(xué)院，開辦網(wǎng)絡(luò)安全專業(yè)學(xué)科。雙方共同開發(fā)課程、共建實(shí)驗(yàn)室，并在企業(yè)設(shè)立實(shí)習(xí)基地，實(shí)現(xiàn)課堂教學(xué)、學(xué)生培養(yǎng)、實(shí)習(xí)實(shí)踐的有機(jī)結(jié)合，提升網(wǎng)絡(luò)安全學(xué)科水平和學(xué)生就業(yè)競爭力。

（三）把網(wǎng)絡(luò)安全納入職業(yè)技能鑒定體系

建議政府部門與優(yōu)秀網(wǎng)絡(luò)安全企業(yè)聯(lián)合制定網(wǎng)絡(luò)安全職業(yè)技能標(biāo)準(zhǔn)，對網(wǎng)絡(luò)安全從業(yè)人員進(jìn)行必要的水平評價(jià)，滿足行業(yè)人才需求。經(jīng)主管部門認(rèn)可的相關(guān)機(jī)構(gòu)職業(yè)培訓(xùn)后，向網(wǎng)絡(luò)安全從業(yè)人員頒發(fā)初級、中級、高級認(rèn)證證書，規(guī)范網(wǎng)絡(luò)安全就業(yè)環(huán)境，為網(wǎng)絡(luò)安全人才創(chuàng)造良好的就業(yè)機(jī)會。

三、人才培養(yǎng)措施

為盡快彌補(bǔ)網(wǎng)絡(luò)安全人才缺口，滿足建設(shè)網(wǎng)絡(luò)強(qiáng)國的需要，推薦采用官方和民間、學(xué)院和社會相結(jié)合的人才培養(yǎng)方式，可預(yù)見未來幾年能給中國培養(yǎng)出上百萬的網(wǎng)絡(luò)安全服務(wù)人員?，F(xiàn)就此給出一些具體培養(yǎng)措施建議，如下：

（一）校企聯(lián)合開展網(wǎng)絡(luò)安全學(xué)科建設(shè)，制定行業(yè)標(biāo)準(zhǔn)

為提高網(wǎng)絡(luò)安全高等教育的實(shí)戰(zhàn)水平和技術(shù)能力，高校與相關(guān)優(yōu)秀公司企業(yè)可以嘗試合作，開展網(wǎng)絡(luò)安全學(xué)科聯(lián)合建設(shè)，比如聯(lián)合建設(shè)網(wǎng)絡(luò)安全學(xué)院，開辦網(wǎng)絡(luò)安全專業(yè)學(xué)科。雙方共同開發(fā)課程、制定行業(yè)標(biāo)準(zhǔn)。

宇視科技高度重視產(chǎn)品和解決方案的系統(tǒng)安全，始終把建立穩(wěn)定可靠、可持續(xù)的安全保障體系放于最高位置，在網(wǎng)絡(luò)安全建設(shè)方面的主要做法包括以下幾個層面。

系統(tǒng)層面：建立U-IPD安全開發(fā)體系和三權(quán)分立機(jī)制，保障產(chǎn)品質(zhì)量和安全特性，將系統(tǒng)軟件安全集成在需求分析、設(shè)計(jì)、編碼、測試和部署維護(hù)的各環(huán)節(jié)。系統(tǒng)的安全性和可靠性設(shè)計(jì)是日常產(chǎn)品開發(fā)的必要環(huán)節(jié)和產(chǎn)品鑒定測試的重要部分；建立物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層五層立體防護(hù)安全體系架構(gòu)，以應(yīng)對視頻監(jiān)控不同子系統(tǒng)的適應(yīng)性，兼顧整體安全性。

產(chǎn)品及方案層面：業(yè)內(nèi)首家通過CMMI5等級，為軟件開發(fā)規(guī)范性和嚴(yán)謹(jǐn)性要求的最高等級，以穩(wěn)定可靠的軟件系統(tǒng)為安全防護(hù)設(shè)置第一道關(guān)卡；基于宇視自身網(wǎng)絡(luò)基因和對視頻監(jiān)控業(yè)務(wù)的理解，針對安防系統(tǒng)的特點(diǎn)進(jìn)行定制開發(fā)與深入優(yōu)化，推出并應(yīng)用了一系列業(yè)內(nèi)領(lǐng)先技術(shù)與解決方案。

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)中心操作流程

監(jiān)測層面：對每個版本都進(jìn)行系統(tǒng)軟件、代碼兩個層面的安全漏洞掃描。截至目前的幾次大規(guī)模安全和漏洞事件，宇視的設(shè)備和軟件產(chǎn)品極少涉及；與先進(jìn)的安全廠商合作，進(jìn)行安全滲透測試，發(fā)現(xiàn)更深層次的問題并提前解決。在日常的巡檢過程中，尤其關(guān)注暴露在公網(wǎng)環(huán)境、行業(yè)網(wǎng)內(nèi)存在風(fēng)險(xiǎn)的設(shè)備，并實(shí)施安全性加固。

項(xiàng)目實(shí)戰(zhàn)層面：在項(xiàng)目實(shí)施和售后服務(wù)上采取針對性措施。一類通過公安與企業(yè)專網(wǎng)傳輸項(xiàng)目，不對外映射地址和端口；二類通過互聯(lián)網(wǎng)傳輸?shù)囊曨l監(jiān)控項(xiàng)目，采用宇視特有的UNP技術(shù)，很難被黑客利用；三類面向個人和小商戶的手機(jī)監(jiān)控，設(shè)備不允許通過互聯(lián)網(wǎng)之間訪問，需要云端平臺協(xié)調(diào)才能訪問。在售后方面建立重大項(xiàng)目定期巡檢制度，一旦發(fā)現(xiàn)客戶系統(tǒng)存在安全隱患，立即通知客戶，并協(xié)助整改。

這些做法已經(jīng)得到客戶和合作伙伴的一致好評，也準(zhǔn)備把這些實(shí)踐經(jīng)驗(yàn)輸出為行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范，促進(jìn)行業(yè)發(fā)展。

（二）通過網(wǎng)絡(luò)安全競賽，加強(qiáng)人才培養(yǎng)

網(wǎng)絡(luò)安全競賽最早起源于“BBS黑客競賽”，它由DEFCON創(chuàng)始人Jeff Moss于1993年發(fā)起。此后，在各界的廣泛參與下，各類網(wǎng)絡(luò)安全競賽開始蓬勃發(fā)展。發(fā)展至今，網(wǎng)絡(luò)安全競賽主要有奪旗賽（CTF）、運(yùn)維賽、取證賽、論文賽等幾個方面的內(nèi)容。網(wǎng)絡(luò)安全競賽的特點(diǎn)主要體現(xiàn)在模擬真實(shí)場景和環(huán)境安全可控兩個方面。模擬真實(shí)場景，能夠有效提升參賽人員的技術(shù)、溝通、領(lǐng)導(dǎo)、協(xié)調(diào)等各方面能力；環(huán)境安全可控，不會造成實(shí)際破壞和損失。

網(wǎng)絡(luò)安全競賽既可以提升人才技術(shù)水平，又能提升各方的協(xié)作能力，是網(wǎng)絡(luò)安全人才建設(shè)的主要措施之一。在網(wǎng)絡(luò)空間對抗中“未知攻，焉知防”，了解攻擊者的思維至關(guān)重要，攻防雙方應(yīng)輪流交換位置。這也是網(wǎng)絡(luò)安全競賽較之于傳統(tǒng)教育的優(yōu)勢，它能夠迫使參賽人員使用批判性思維和逆向思維，切換攻防雙方視角，將基礎(chǔ)技能運(yùn)用在實(shí)踐中，這些體驗(yàn)都是在書本或教室中無法得到的。對于企業(yè)來說，可以將網(wǎng)絡(luò)安全競賽整合進(jìn)自己的人力發(fā)展計(jì)劃，成為一項(xiàng)標(biāo)準(zhǔn)流程。如通用電氣（GE）公司的Ghost Red競賽最初只是一項(xiàng)內(nèi)部自發(fā)發(fā)起的奪旗比賽，現(xiàn)在已經(jīng)發(fā)展成為公司人才招聘的正式流程。

（三）搭建全流程實(shí)訓(xùn)平臺

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)中心會嚴(yán)格控制漏洞信息的范圍，將之限制在僅處理漏洞的相關(guān)人員之間傳遞；同時(shí)也要求漏洞上報(bào)者對此漏洞進(jìn)行保密，直到對外公開披露。安全應(yīng)急響應(yīng)中心針對每個安全漏洞根據(jù)通用漏洞評分系統(tǒng)(CVSS)給出基礎(chǔ)評估(Base Metrics)和時(shí)間周期評估(Temporal Metricss)?？蛻粲行枰梢愿鶕?jù)自己的環(huán)境給出環(huán)境評估(Environmental Metrics)，根據(jù)評估結(jié)果，制定相應(yīng)的升級防范流程。

網(wǎng)絡(luò)安全和防護(hù)是系統(tǒng)工程，我們培養(yǎng)的是系統(tǒng)化、全流程的網(wǎng)絡(luò)安全人才，只有在全流程平臺上經(jīng)過從“檢測”、“驗(yàn)證”、“解決”、“披露”、“反饋”五大階段培訓(xùn)之后才是合格的網(wǎng)絡(luò)安全人才，真正做到從實(shí)際出發(fā)，學(xué)以致用。

在人才培養(yǎng)方面，用企業(yè)生產(chǎn)標(biāo)準(zhǔn)來要求學(xué)生，使學(xué)生開始就按照規(guī)范的流程進(jìn)行學(xué)習(xí)、開發(fā)和實(shí)踐。比如企業(yè)的軟件能力成熟度集成模型CMMI認(rèn)證體系，按照該體系培養(yǎng)出來的學(xué)生才是用人單位最歡迎的專業(yè)人才。

（四）搭建合作共享的應(yīng)急響應(yīng)機(jī)制

現(xiàn)在規(guī)模較大的設(shè)備廠家都有自己的安全應(yīng)急響應(yīng)中心，這個中心最初是為了檢測和發(fā)現(xiàn)、升級自家設(shè)備的安全漏洞，現(xiàn)在也會積極同步和驗(yàn)證友商設(shè)備的安全漏洞。互通有無、共同進(jìn)步，整體都安全了才是真正的安全。為了及時(shí)有效的發(fā)現(xiàn)和同步網(wǎng)絡(luò)安全漏洞，倡議搭建合作共享的應(yīng)急響應(yīng)機(jī)制。