【编者按】随着互联网、移动互联网、物联网的快速发展,网络安全已经深入社会发展和国民生活的各个方面。面对层出不穷的网络安全问题,网络安全人才缺口越来越大,需要国家部委、高校、企业等各种力量联合在一起共同培养出一批政治可靠、业务精湛、有序提升的各层次网络安全人才,保证国民经济的顺利运行。文章基于网络安全人才培养探索实践,提出了一条“校企结合”、“实践出发”、“以赛促建”的新型网络安全人才培养道路。
网络安全人才培养实践与建议
浙江宇视科技有限公司 梁鸽战略支援部队信息工程大学 秦艳平 孔苏
随着信息技术的发展与应用,信息安全的内涵在不断地延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。信息安全是一个综合、交叉学科领域,它要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果,进行自主创新研究,加强顶层设计,提出系统的、完整的、协同的解决方案。与其他学科相比,信息安全的研究更强调自主性和创新性,既可以体现国家主权,又可以抵抗各种攻击,适应技术发展的需求。
网络安全是信息安全领域中的重要研究内容之一,也是当前的研究热点。研究内容包括网络安全整体解决方案的设计与分析、网络安全产品的研发等。网络安全包括物理安全和逻辑安全。物理安全指网络系统中各通信、计算机设备及相关设施的物理保护,免于破坏、丢失等。逻辑安全包含信息完整性、保密性、非否认性和可用性。它是从物理到内容到多层次防护体系,涉及网络、操作系统、数据库、应用系统、人员管理等方方面面,必须综合考虑。
随着互联网、专用网络化信息系统和各种网络应用的快速发展,网络安全问题更加突出,并已成为关系到国家政治、国防、社会的重要问题,培养具有信息安全知识和应用技能的专业技术人才越加急迫,对网络安全人才培养建设也不断提出新的要求。
一、人才需求与培养现状
网络安全的本质在对抗,对抗的本质在攻防两端能力的较量。网络安全实质是人与人的对抗,而不是购买和部署一批网络安全设备、安装一批软件就能解决问题。就像国家安全有了武器,还要有掌握武器的军人和警察。网络安全更需要专业安全运维人员来做分析、规划、态势研判、响应和处置。在互联网时代,每个政企单位都需要建立自己的网络安全技术团队或委托专业安全服务团队提供网络安保服务,网络安全将成为一个智力密集型的服务业,形成巨大的人才需求。
近年来,国家网络安全人才培养取得重要进展。“网络空间安全”被国务院学位委员会和教育部增设为一级学科。2017年8月,中央网信办、教育部印发《一流网络安全学院建设示范项目管理办法》,决定在2017年至2027年实施一流网络安全学院建设示范项目,建成4-6所国内公认、国际上具有影响力和知名度的网络安全学院。2017年9月16日,2017年国家网络安全宣传周在上海开幕,中央网信办、教育部公布了“一流网络安全学院建设示范项目高校”名单。我国网络安全高层次人才培养迈出了重要一步。
尽管如此,这与打造网络强国对人才的需求规模相比还存在较大差距,网络安全人才培养体系亟待完善。
1、人才缺口巨大。据教育部有关机构和专家预测,当前我国网络安全人才缺口达70万,到2020年将急剧增加到140万。近3年来,全国高校网络安全相关专业年均招生1万人左右,主要依靠高校培养网络安全人才的方式远远不能满足网络安全的需要。
2、高校人才培养难以满足网络安全实战需求。一方面由于我国网络安全教育起步较晚,高校网络安全实践型人才储备不足,缺乏精通尖端网络安全技术的专业教师队伍,师资力量亟待加强。另一方面,高校普遍缺乏网络安全实践场景,导致学生普遍理论知识多,实战能力弱,毕业后也很难满足用人单位的要求。
3、网络安全职业培训质量有待提高。目前已经有一些民办网络安全培训机构在积极发挥作用,但在课程设计合理性、课件制作水平、讲师与辅导教师水平、实验环境真实性上都存在较大不足,往往以拿资格证书为目的,忽视实战能力提高和对用人单位实际需求的响应,存在重效益轻能力培养的现象。
4、网络安全从业人员缺乏必要的职业技能鉴定。目前,网络安全尚未纳入国家职业资格目录。网络安全从业人员没有权威的职业技能凭证,不利于提高从业人员素质、促进就业。
二、人才培养思路
网络安全对理论依赖并不是特别多,更多的是“实践性非常强的学科”,比如很多黑客并不是科班出身,更多的是自学成才,只是对手机、计算机系统非常了解,非常热爱这个行业。所以,对于网络安全人才的培养思路需要打破常规、不拘一格,现从以下方面提出建议:
(一)鼓励社会办学,快速填补实战型人才缺口
我国巨大的网络安全人才缺口中,90%以上是防御型人才。与进攻型、研究型人才不同,防御性人才可以通过职业培训形式大批量培养。依靠社会力量开展职业教育,大规模培养,是短期内弥补网络安全人才缺口的有效途径。建议支持网络安全企业和社会力量开办教育培训机构,邀请具有丰富实战经验的技术专家担任讲师,结合网络安全行业的最新需求,在网络安全企业进行实战演练,建立规模化培养实战型网络安全人才的机制。
(二)开展网络安全学科联合建设
为提高网络安全高等教育的实战水平和技术能力,建议鼓励高校和科研院所与优秀网络安全企业联合建设网络安全学院,开办网络安全专业学科。双方共同开发课程、共建实验室,并在企业设立实习基地,实现课堂教学、学生培养、实习实践的有机结合,提升网络安全学科水平和学生就业竞争力。
(三)把网络安全纳入职业技能鉴定体系
建议政府部门与优秀网络安全企业联合制定网络安全职业技能标准,对网络安全从业人员进行必要的水平评价,满足行业人才需求。经主管部门认可的相关机构职业培训后,向网络安全从业人员颁发初级、中级、高级认证证书,规范网络安全就业环境,为网络安全人才创造良好的就业机会。
三、人才培养措施
为尽快弥补网络安全人才缺口,满足建设网络强国的需要,推荐采用官方和民间、学院和社会相结合的人才培养方式,可预见未来几年能给中国培养出上百万的网络安全服务人员。现就此给出一些具体培养措施建议,如下:
(一)校企联合开展网络安全学科建设,制定行业标准
为提高网络安全高等教育的实战水平和技术能力,高校与相关优秀公司企业可以尝试合作,开展网络安全学科联合建设,比如联合建设网络安全学院,开办网络安全专业学科。双方共同开发课程、制定行业标准。
宇视科技高度重视产品和解决方案的系统安全,始终把建立稳定可靠、可持续的安全保障体系放于最高位置,在网络安全建设方面的主要做法包括以下几个层面。
系统层面:建立U-IPD安全开发体系和三权分立机制,保障产品质量和安全特性,将系统软件安全集成在需求分析、设计、编码、测试和部署维护的各环节。系统的安全性和可靠性设计是日常产品开发的必要环节和产品鉴定测试的重要部分;建立物理层、网络层、系统层、应用层、数据层五层立体防护安全体系架构,以应对视频监控不同子系统的适应性,兼顾整体安全性。
产品及方案层面:业内首家通过CMMI5等级,为软件开发规范性和严谨性要求的最高等级,以稳定可靠的软件系统为安全防护设置第一道关卡;基于宇视自身网络基因和对视频监控业务的理解,针对安防系统的特点进行定制开发与深入优化,推出并应用了一系列业内领先技术与解决方案。
监测层面:对每个版本都进行系统软件、代码两个层面的安全漏洞扫描。截至目前的几次大规模安全和漏洞事件,宇视的设备和软件产品极少涉及;与先进的安全厂商合作,进行安全渗透测试,发现更深层次的问题并提前解决。在日常的巡检过程中,尤其关注暴露在公网环境、行业网内存在风险的设备,并实施安全性加固。
项目实战层面:在项目实施和售后服务上采取针对性措施。一类通过公安与企业专网传输项目,不对外映射地址和端口;二类通过互联网传输的视频监控项目,采用宇视特有的UNP技术,很难被黑客利用;三类面向个人和小商户的手机监控,设备不允许通过互联网之间访问,需要云端平台协调才能访问。在售后方面建立重大项目定期巡检制度,一旦发现客户系统存在安全隐患,立即通知客户,并协助整改。
这些做法已经得到客户和合作伙伴的一致好评,也准备把这些实践经验输出为行业标准和技术规范,促进行业发展。
(二)通过网络安全竞赛,加强人才培养
网络安全竞赛最早起源于“BBS黑客竞赛”,它由DEFCON创始人Jeff Moss于1993年发起。此后,在各界的广泛参与下,各类网络安全竞赛开始蓬勃发展。发展至今,网络安全竞赛主要有夺旗赛(CTF)、运维赛、取证赛、论文赛等几个方面的内容。网络安全竞赛的特点主要体现在模拟真实场景和环境安全可控两个方面。模拟真实场景,能够有效提升参赛人员的技术、沟通、领导、协调等各方面能力;环境安全可控,不会造成实际破坏和损失。
网络安全竞赛既可以提升人才技术水平,又能提升各方的协作能力,是网络安全人才建设的主要措施之一。在网络空间对抗中“未知攻,焉知防”,了解攻击者的思维至关重要,攻防双方应轮流交换位置。这也是网络安全竞赛较之于传统教育的优势,它能够迫使参赛人员使用批判性思维和逆向思维,切换攻防双方视角,将基础技能运用在实践中,这些体验都是在书本或教室中无法得到的。对于企业来说,可以将网络安全竞赛整合进自己的人力发展计划,成为一项标准流程。如通用电气(GE)公司的Ghost Red竞赛最初只是一项内部自发发起的夺旗比赛,现在已经发展成为公司人才招聘的正式流程。
(三)搭建全流程实训平台
网络安全应急响应中心会严格控制漏洞信息的范围,将之限制在仅处理漏洞的相关人员之间传递;同时也要求漏洞上报者对此漏洞进行保密,直到对外公开披露。安全应急响应中心针对每个安全漏洞根据通用漏洞评分系统(CVSS)给出基础评估(Base Metrics)和时间周期评估(Temporal Metricss)。客户有需要可以根据自己的环境给出环境评估(Environmental Metrics),根据评估结果,制定相应的升级防范流程。
网络安全和防护是系统工程,我们培养的是系统化、全流程的网络安全人才,只有在全流程平台上经过从“检测”、“验证”、“解决”、“披露”、“反馈”五大阶段培训之后才是合格的网络安全人才,真正做到从实际出发,学以致用。
在人才培养方面,用企业生产标准来要求学生,使学生开始就按照规范的流程进行学习、开发和实践。比如企业的软件能力成熟度集成模型CMMI认证体系,按照该体系培养出来的学生才是用人单位最欢迎的专业人才。
网络安全应急响应中心操作流程
(四)搭建合作共享的应急响应机制
现在规模较大的设备厂家都有自己的安全应急响应中心,这个中心最初是为了检测和发现、升级自家设备的安全漏洞,现在也会积极同步和验证友商设备的安全漏洞。互通有无、共同进步,整体都安全了才是真正的安全。为了及时有效的发现和同步网络安全漏洞,倡议搭建合作共享的应急响应机制。
本文刊登于《网信军民融合》杂志2019年4月刊
声明:本文来自网信军民融合,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。