網絡安全人才培養實踐與建議

◎浙江宇視科技有限公司 梁鴿

◎戰略支援部隊信息工程大學 秦艷平 孔蘇

隨著信息技術的發展與應用，信息安全的內涵在不斷地延伸，從最初的信息保密性發展到信息的完整性、可用性、可控性和不可否認性，進而又發展為“攻(攻擊)、防(防范)、測(檢測)、控(控制)、管(管理)、評(評估)”等多方面的基礎理論和實施技術。信息安全是一個綜合、交叉學科領域，它要綜合利用數學、物理、通信和計算機諸多學科的長期知識積累和最新發展成果，進行自主創新研究，加強頂層設計，提出系統的、完整的、協同的解決方案。與其他學科相比，信息安全的研究更強調自主性和創新性，既可以體現國家主權，又可以抵抗各種攻擊，適應技術發展的需求。

網絡安全是信息安全領域中的重要研究內容之一，也是當前的研究熱點。研究內容包括網絡安全整體解決方案的設計與分析、網絡安全產品的研發等。網絡安全包括物理安全和邏輯安全。物理安全指網絡系統中各通信、計算機設備及相關設施的物理保護，免于破壞、丟失等。邏輯安全包含信息完整性、保密性、非否認性和可用性。它是從物理到內容到多層次防護體系，涉及網絡、操作系統、數據庫、應用系統、人員管理等方方面面，必須綜合考慮。

隨著互聯網、專用網絡化信息系統和各種網絡應用的快速發展，網絡安全問題更加突出，并已成為關系到國家政治、國防、社會的重要問題，培養具有信息安全知識和應用技能的專業技術人才越加急迫，對網絡安全人才培養建設也不斷提出新的要求。

一、人才需求與培養現狀

網絡安全的本質在對抗，對抗的本質在攻防兩端能力的較量。網絡安全實質是人與人的對抗，而不是購買和部署一批網絡安全設備、安裝一批軟件就能解決問題。就像國家安全有了武器，還要有掌握武器的軍人和警察。網絡安全更需要專業安全運維人員來做分析、規劃、態勢研判、響應和處置。在互聯網時代，每個政企單位都需要建立自己的網絡安全技術團隊或委托專業安全服務團隊提供網絡安保服務，網絡安全將成為一個智力密集型的服務業，形成巨大的人才需求。

近年來，國家網絡安全人才培養取得重要進展。“網絡空間安全”被國務院學位委員會和教育部增設為一級學科。2017年8月，中央網信辦、教育部印發《一流網絡安全學院建設示范項目管理辦法》，決定在2017年至2027年實施一流網絡安全學院建設示范項目，建成4-6所國內公認、國際上具有影響力和知名度的網絡安全學院。2017年9月16日，2017年國家網絡安全宣傳周在上海開幕，中央網信辦、教育部公布了“一流網絡安全學院建設示范項目高校”名單。我國網絡安全高層次人才培養邁出了重要一步。

盡管如此，這與打造網絡強國對人才的需求規模相比還存在較大差距，網絡安全人才培養體系亟待完善。

1、人才缺口巨大。據教育部有關機構和專家預測，當前我國網絡安全人才缺口達70萬，到2020年將急劇增加到140萬。近3年來，全國高校網絡安全相關專業年均招生1萬人左右，主要依靠高校培養網絡安全人才的方式遠遠不能滿足網絡安全的需要。

2、高校人才培養難以滿足網絡安全實戰需求。一方面由于我國網絡安全教育起步較晚，高校網絡安全實踐型人才儲備不足，缺乏精通尖端網絡安全技術的專業教師隊伍，師資力量亟待加強。另一方面，高校普遍缺乏網絡安全實踐場景，導致學生普遍理論知識多，實戰能力弱，畢業后也很難滿足用人單位的要求。

3、網絡安全職業培訓質量有待提高。目前已經有一些民辦網絡安全培訓機構在積極發揮作用，但在課程設計合理性、課件制作水平、講師與輔導教師水平、實驗環境真實性上都存在較大不足，往往以拿資格證書為目的，忽視實戰能力提高和對用人單位實際需求的響應，存在重效益輕能力培養的現象。

4、網絡安全從業人員缺乏必要的職業技能鑒定。目前，網絡安全尚未納入國家職業資格目錄。網絡安全從業人員沒有權威的職業技能憑證，不利于提高從業人員素質、促進就業。

二、人才培養思路

網絡安全對理論依賴并不是特別多，更多的是“實踐性非常強的學科”，比如很多黑客并不是科班出身，更多的是自學成才，只是對手機、計算機系統非常了解，非常熱愛這個行業。所以，對于網絡安全人才的培養思路需要打破常規、不拘一格，現從以下方面提出建議：

（一）鼓勵社會辦學，快速填補實戰型人才缺口

我國巨大的網絡安全人才缺口中，90%以上是防御型人才。與進攻型、研究型人才不同，防御性人才可以通過職業培訓形式大批量培養。依靠社會力量開展職業教育，大規模培養，是短期內彌補網絡安全人才缺口的有效途徑。建議支持網絡安全企業和社會力量開辦教育培訓機構，邀請具有豐富實戰經驗的技術專家擔任講師，結合網絡安全行業的最新需求，在網絡安全企業進行實戰演練，建立規模化培養實戰型網絡安全人才的機制。

（二）開展網絡安全學科聯合建設

為提高網絡安全高等教育的實戰水平和技術能力，建議鼓勵高校和科研院所與優秀網絡安全企業聯合建設網絡安全學院，開辦網絡安全專業學科。雙方共同開發課程、共建實驗室，并在企業設立實習基地，實現課堂教學、學生培養、實習實踐的有機結合，提升網絡安全學科水平和學生就業競爭力。

（三）把網絡安全納入職業技能鑒定體系

建議政府部門與優秀網絡安全企業聯合制定網絡安全職業技能標準，對網絡安全從業人員進行必要的水平評價，滿足行業人才需求。經主管部門認可的相關機構職業培訓后，向網絡安全從業人員頒發初級、中級、高級認證證書，規范網絡安全就業環境，為網絡安全人才創造良好的就業機會。

三、人才培養措施

為盡快彌補網絡安全人才缺口，滿足建設網絡強國的需要，推薦采用官方和民間、學院和社會相結合的人才培養方式，可預見未來幾年能給中國培養出上百萬的網絡安全服務人員。現就此給出一些具體培養措施建議，如下：

（一）校企聯合開展網絡安全學科建設，制定行業標準

為提高網絡安全高等教育的實戰水平和技術能力，高校與相關優秀公司企業可以嘗試合作，開展網絡安全學科聯合建設，比如聯合建設網絡安全學院，開辦網絡安全專業學科。雙方共同開發課程、制定行業標準。

宇視科技高度重視產品和解決方案的系統安全，始終把建立穩定可靠、可持續的安全保障體系放于最高位置，在網絡安全建設方面的主要做法包括以下幾個層面。

系統層面：建立U-IPD安全開發體系和三權分立機制，保障產品質量和安全特性，將系統軟件安全集成在需求分析、設計、編碼、測試和部署維護的各環節。系統的安全性和可靠性設計是日常產品開發的必要環節和產品鑒定測試的重要部分；建立物理層、網絡層、系統層、應用層、數據層五層立體防護安全體系架構，以應對視頻監控不同子系統的適應性，兼顧整體安全性。

產品及方案層面：業內首家通過CMMI5等級，為軟件開發規范性和嚴謹性要求的最高等級，以穩定可靠的軟件系統為安全防護設置第一道關卡；基于宇視自身網絡基因和對視頻監控業務的理解，針對安防系統的特點進行定制開發與深入優化，推出并應用了一系列業內領先技術與解決方案。

網絡安全應急響應中心操作流程

監測層面：對每個版本都進行系統軟件、代碼兩個層面的安全漏洞掃描。截至目前的幾次大規模安全和漏洞事件，宇視的設備和軟件產品極少涉及；與先進的安全廠商合作，進行安全滲透測試，發現更深層次的問題并提前解決。在日常的巡檢過程中，尤其關注暴露在公網環境、行業網內存在風險的設備，并實施安全性加固。

項目實戰層面：在項目實施和售后服務上采取針對性措施。一類通過公安與企業專網傳輸項目，不對外映射地址和端口；二類通過互聯網傳輸的視頻監控項目，采用宇視特有的UNP技術，很難被黑客利用；三類面向個人和小商戶的手機監控，設備不允許通過互聯網之間訪問，需要云端平臺協調才能訪問。在售后方面建立重大項目定期巡檢制度，一旦發現客戶系統存在安全隱患，立即通知客戶，并協助整改。

這些做法已經得到客戶和合作伙伴的一致好評，也準備把這些實踐經驗輸出為行業標準和技術規范，促進行業發展。

（二）通過網絡安全競賽，加強人才培養

網絡安全競賽最早起源于“BBS黑客競賽”，它由DEFCON創始人Jeff Moss于1993年發起。此后，在各界的廣泛參與下，各類網絡安全競賽開始蓬勃發展。發展至今，網絡安全競賽主要有奪旗賽（CTF）、運維賽、取證賽、論文賽等幾個方面的內容。網絡安全競賽的特點主要體現在模擬真實場景和環境安全可控兩個方面。模擬真實場景，能夠有效提升參賽人員的技術、溝通、領導、協調等各方面能力；環境安全可控，不會造成實際破壞和損失。

網絡安全競賽既可以提升人才技術水平，又能提升各方的協作能力，是網絡安全人才建設的主要措施之一。在網絡空間對抗中“未知攻，焉知防”，了解攻擊者的思維至關重要，攻防雙方應輪流交換位置。這也是網絡安全競賽較之于傳統教育的優勢，它能夠迫使參賽人員使用批判性思維和逆向思維，切換攻防雙方視角，將基礎技能運用在實踐中，這些體驗都是在書本或教室中無法得到的。對于企業來說，可以將網絡安全競賽整合進自己的人力發展計劃，成為一項標準流程。如通用電氣（GE）公司的Ghost Red競賽最初只是一項內部自發發起的奪旗比賽，現在已經發展成為公司人才招聘的正式流程。

（三）搭建全流程實訓平臺

網絡安全應急響應中心會嚴格控制漏洞信息的范圍，將之限制在僅處理漏洞的相關人員之間傳遞；同時也要求漏洞上報者對此漏洞進行保密，直到對外公開披露。安全應急響應中心針對每個安全漏洞根據通用漏洞評分系統(CVSS)給出基礎評估(Base Metrics)和時間周期評估(Temporal Metricss)。客戶有需要可以根據自己的環境給出環境評估(Environmental Metrics)，根據評估結果，制定相應的升級防范流程。

網絡安全和防護是系統工程，我們培養的是系統化、全流程的網絡安全人才，只有在全流程平臺上經過從“檢測”、“驗證”、“解決”、“披露”、“反饋”五大階段培訓之后才是合格的網絡安全人才，真正做到從實際出發，學以致用。

在人才培養方面，用企業生產標準來要求學生，使學生開始就按照規范的流程進行學習、開發和實踐。比如企業的軟件能力成熟度集成模型CMMI認證體系，按照該體系培養出來的學生才是用人單位最歡迎的專業人才。

（四）搭建合作共享的應急響應機制

現在規模較大的設備廠家都有自己的安全應急響應中心，這個中心最初是為了檢測和發現、升級自家設備的安全漏洞，現在也會積極同步和驗證友商設備的安全漏洞。互通有無、共同進步，整體都安全了才是真正的安全。為了及時有效的發現和同步網絡安全漏洞，倡議搭建合作共享的應急響應機制。