色综合a怡红院怡红院,夜夜澡人人爽人人喊

　　2022 年國家網(wǎng)絡安全宣傳周期間，一份聚焦網(wǎng)絡安全人才實戰(zhàn)能力的報告——《網(wǎng)絡安全人才實戰(zhàn)能力白皮書》(以下簡稱“白皮書”)引起了社會廣泛關(guān)注。白皮書基于大量人才實戰(zhàn)數(shù)據(jù)研究及問卷調(diào)研分析，全面呈現(xiàn)了我國實戰(zhàn)型人才的供需現(xiàn)狀、培養(yǎng)現(xiàn)狀、評價方式及發(fā)展建議。什么是實戰(zhàn)型網(wǎng)絡安全人才?如何培養(yǎng)實戰(zhàn)型網(wǎng)絡安全人才?本刊采訪了白皮書主編單位之一的永信至誠，其高級副總裁李煒一一回答了上述問題。

　　記者：白皮書顯示，未來具備實戰(zhàn)技能的網(wǎng)絡安全專家，將成為業(yè)界最為稀缺和搶手的資源。您認為該如何定義網(wǎng)絡安全攻防實戰(zhàn)能力?

　　李煒：在國際形勢日趨復雜，網(wǎng)絡空間暗潮洶涌的背景下，面向?qū)崙?zhàn)的網(wǎng)絡安全人才越發(fā)受到重視。我們將攻防實戰(zhàn)能力定義為，在真實業(yè)務場景中，利用網(wǎng)絡空間安全技術(shù)和工具開展安全監(jiān)測與分析、風險評估、滲透測試事件研判、安全運維、應急響應等工作的能力。但隨著近年來新技術(shù)、新環(huán)境的發(fā)展變化，網(wǎng)絡安全攻防實戰(zhàn)能力所涵蓋的范圍逐步向精細化延伸。然而，業(yè)內(nèi)并未全面啟動基于實際場景的分類分級工作，給人才培養(yǎng)工作帶來了困難和復雜性。例如，滲透測試工程師需要對目標信息系統(tǒng)、設(shè)施和網(wǎng)絡進行模擬滲透攻擊以檢測評估其安全性;安全運維工程師需要熟練運用網(wǎng)絡安全設(shè)備分析異常行為以消除或降低安全隱患;代碼審計工程師需要查找源代碼中存在的安全缺陷與隱患并給出修復建議。不同行業(yè)、不同用戶面臨的業(yè)務場景不同，崗位需求不同，不同崗位對攻防實戰(zhàn)能力的要求也不盡相同，很難用一套通用的標準去定義和培養(yǎng)攻防實戰(zhàn)人才。

　　記者：如何培養(yǎng)面向市場需求的網(wǎng)絡安全攻防實戰(zhàn)人才?

　　李煒：對此我有五個方面的建議。一是多角色明確培養(yǎng)目標。高校是網(wǎng)絡安全人才培養(yǎng)的主陣地，但在網(wǎng)絡安全學科交叉性強、伴生性強、演化快的形勢下，高校難以迅速地將實際市場需求的網(wǎng)絡安全業(yè)務場景映射到課程體系中，導致所培養(yǎng)的人才存在從習得到實踐的差距。建議用人單位、社會培訓機構(gòu)參與到人才培養(yǎng)環(huán)節(jié)中，與高校協(xié)同合作，明確各自在通識教育、崗前、崗后教育的責任分工，開展常態(tài)化的校企合作與人才交流，以網(wǎng)絡安全需要終身學習的價值觀打造人才培養(yǎng)閉環(huán)。二是全場景細化人才分類。當今各行各業(yè)已全面進入場景化時代，人才培養(yǎng)方案只有在對行業(yè)和用人單位的完整業(yè)務場景梳理后，融合人才分類分級機制，才能在實際工作中發(fā)揮真正效用。例如，數(shù)字時代，數(shù)據(jù)安全涉及的場景與傳統(tǒng)網(wǎng)絡安全差異較大，除數(shù)據(jù)泄露外還延伸到數(shù)據(jù)管控、數(shù)據(jù)使用等，數(shù)據(jù)安全人才崗位還涉及數(shù)據(jù)安全合規(guī)、數(shù)據(jù)安全治理、數(shù)據(jù)安全運營等多個方向。建議高校、社會培訓機構(gòu)、用人單位共同協(xié)作，對業(yè)務場景形成統(tǒng)一的認知，對所需崗位進行細致的刻畫，做好所需人才的分類分級。三是分層級建立人才梯隊。對用人單位而言，網(wǎng)絡安全攻防實戰(zhàn)人才培養(yǎng)的最終目標是建立人才梯隊。沒有人才梯隊，就談不上網(wǎng)絡安全體系建設(shè)。只有明確清晰的崗位層級，分層級建立人才梯隊機制，才能發(fā)揮所有人才的潛能，建設(shè)一支能打硬仗的隊伍。具體可通過摸清網(wǎng)絡安全人員底數(shù)，通過崗位分級機制，把不同層級的人才應用到不同的業(yè)務場景中，最大化實現(xiàn)用人單位人才資源的盤活。同時，適當發(fā)揮拔尖人才的示范引領(lǐng)作用，以優(yōu)質(zhì)的人才梯隊為網(wǎng)絡安全保駕護航。四是建立多維度人才培養(yǎng)通道。和信息化人才梯隊類似，網(wǎng)絡安全人才梯隊，應涵蓋管理崗、技術(shù)崗、學術(shù)崗，以保持人才隊伍能力的整體先進性。一方面，用人單位應設(shè)置學術(shù)、技術(shù)，管理三個方向的人才培養(yǎng)通道，并設(shè)置明確的晉升機制;另一方面，以員工的個人意愿和組織發(fā)展需求為導向，引導人才靈活在各個通道間切換，亦可通過相應的內(nèi)部競聘上崗和職業(yè)技能培訓滿足在不同通道間切換的崗位技能需求。五是搭建人才培養(yǎng)場景化裝備。隨著新場景與新威脅的相互疊加，用人單位對實戰(zhàn)化人才求賢若渴，但很多行業(yè)的業(yè)務連續(xù)性要求較高，人才難以在實際場景中得到技能鍛煉，限制了其成長空間。在此背景下，網(wǎng)絡靶場作為一種基于場景的人才培養(yǎng)、人才能力測試評估基礎(chǔ)設(shè)施，通過模擬實際業(yè)務場景，收到了不錯的成效。例如，在“首屆數(shù)據(jù)安全大賽”上，來自國家關(guān)鍵信息基礎(chǔ)設(shè)施單位、重要行業(yè)、科研機構(gòu)、院校、網(wǎng)絡安全企業(yè)、互聯(lián)網(wǎng)企業(yè)的攻防人才在數(shù)據(jù)安全靶場中，持續(xù)接受數(shù)據(jù)安全場景、數(shù)據(jù)分析場景、數(shù)據(jù)算法場景和數(shù)據(jù)實踐場景的多重考驗，極大地增進了在實際工作中的應用能力。再比如，在某央企舉辦的數(shù)據(jù)安全攻防演練中，參賽人員在數(shù)據(jù)安全靶場構(gòu)建的跨境數(shù)據(jù)流動、數(shù)據(jù)非法使用和利用等場景中，不僅能夠?qū)崿F(xiàn)對戰(zhàn)術(shù)、技術(shù)、裝備、流程等各層面展開全方位的測試評估，通過演練形成的多維度數(shù)據(jù)還能為人才梯隊的建設(shè)提供重要參考依據(jù)。

　　記者：作為一種行之有效的實戰(zhàn)能力培養(yǎng)及測試評估平臺，網(wǎng)絡靶場正在被越來越多的機構(gòu)關(guān)注和認可。在網(wǎng)絡靶場的建設(shè)和使用上，您有何建議?

　　李煒：當前，很多政府和企業(yè)用戶都開展了線下網(wǎng)絡靶場的建設(shè)，但在建設(shè)過程中，往往暴露出靶場的資源和適配存在局限性，以及內(nèi)部交流氛圍不足的問題。例如，很多單位雖然用網(wǎng)絡靶場開展競賽演練活動，但有能力有資格參與網(wǎng)絡靶場使用和運營的人才有限，人才之間的交流也不夠豐富。對此，不僅要加強人才梯隊建設(shè)，還要有一個良好的交流平臺。在此背景下，永信至誠打造了春秋云境 .com 云上靶場平臺，設(shè)置了漏洞靶標和仿真場景兩大體系，通過在線的模式、開放的社區(qū)環(huán)境，為人才提供實戰(zhàn)化的滲透測試體驗，操作簡便，容易上手。即使用人單位人才僅有個位數(shù)，內(nèi)部缺乏交流環(huán)境，也可以在春秋云境 .com 中和成千上萬的高水平人才共同切磋、進步。

　　記者：用人單位如何評估網(wǎng)絡安全人才的實戰(zhàn)能力?

　　李煒：網(wǎng)絡安全人才測試評估最大的挑戰(zhàn)是評價模式單一、評價維度單一、評價持續(xù)性不強。首先，當前網(wǎng)絡安全人才能力測試評估的方式包含考試、職稱評定、等級認證、攻防大賽等，但是各種模式下的評價標準不同，用人單位很難以此形成人才能力畫像進行參考。其次，網(wǎng)絡安全作為綜合型、實戰(zhàn)型學科，對人才的評價不能僅限于知識、技能、工作成效的單一層面，應該針對不同層級階段的人員，搭建不同的人才評價框架，針對其知識水平、技術(shù)積累、工作成效、在競賽演練中的成績，甚至是態(tài)度意識、防御協(xié)同表現(xiàn)，做出綜合評定。再次，網(wǎng)絡安全人才需要不斷更新知識技能，因此對人才的測試評估也無法一錘定音，應保持持續(xù)性。所以，用人單位要以技術(shù)性、客觀性為前提，持續(xù)性地開展人才測試評估工作。例如，某央企應用“數(shù)字風洞”，搭建了完整的網(wǎng)絡安全人才綜合評價體系，構(gòu)建了專用的人才綜合評價靶場模塊，開展了“一周一訓練、一月一競賽、一季一演練、一年一協(xié)同(應急演練)”的系列活動，并通過應急演練所得到的大量數(shù)據(jù)指標，加以統(tǒng)計分析，客觀地對總公司、分公司相關(guān)人才隊伍的防御實踐協(xié)同能力進行評估。這種持續(xù)性測試評估活動，對用人單位的人才分類、分級形成了詳細的參考指引，助力建設(shè)一支能戰(zhàn)善戰(zhàn)的網(wǎng)絡安全人才梯隊。

　　(本文刊登于《中國信息安全》雜志2023年第3期作者袁勝)