网络安全人才匮乏早已是全球各国的共同挑战。与国外积极大胆招募全球安全人才相比,我国政府、军方以及关基行业在利用白帽黑客、提升安全防护能力上仍相对保守,以致于造成这样的行业怪象:体制内机构普遍面临人才匮乏挑战,而同时社会上大量“白帽黑客”却苦于缺乏机会展示个人价值。

法律缺乏、管理机制不健全,以及“白帽黑客”自身能力问题成为制约“公私”合作的三大挑战。

近几年,在我国军方、政府部门以及基础设施领域中,越来越多的自动化设备与互联系统得到了广泛应用,在提高效率的同时也带来了更高的安全威胁,这对我们整体的网络安全实力、安全架构都是极大的考验。

同样,美国政府也面临这一问题。在过去20余年间美国政府采取了引进社会“黑客”力量的方式,对军方以及政府部门进行广泛的安全测试,同时运用“公共-私营合作联盟”的方式,推动提高了美国的整体网络安全水平。但是同样的方法并没有在我国得到有效推广,我认为其主要原因集中在以下三个方面:

首先,中国在网络安全领域缺乏健全的法律保障。

早在1996年,克林顿发布《对关键基础设施保护的政策》时,就已经拉开了美国以关键基础设施保护为重点的网络安全工作历史大幕,而我国的网络安全立法起步较晚。这意味着,相比之下我国的网络安全相关立法经历的历史检验不足,尤其在如何运用、管理“白帽黑客”力量的问题上,缺乏健全的监管。如何定义黑客行为,如何划分法律边界,这些问题在一定程度上导致了目前国内“白帽黑客”群体力量的不可控。

其次,我国目前针对“白帽黑客”缺乏成熟的人员管理机制与统一的管理机构。

这造成了社会上的“白帽黑客”鱼龙混杂,我们既无法客观评判“白帽黑客”的技术能力,同时对于“白帽黑客”的履历、职业操守等也缺乏客观评价标准。从另外一个层面来讲,“白帽黑客”的学习路径长、门槛高,如果欠缺正规的机构教育、管理和扶持,也会造成很大一部分人才流失,不利于人才储备。

最后一个相对重要的原因是,军方与政府机构的网络安全建设区别于一般网络,涉及到的网络架构、协议以及硬件系统更加复杂,测试门槛较高,并且涉及到机密数据的防护与保密工作。目前社会上的“白帽黑客”年龄普遍较小、欠缺网络安全法规意识与相关经验,草率启用可能会在测试过程中造成破坏重要功能、泄露涉密信息等严重后果。

要实现充分利用“白帽黑客”力量提升网络安全防护实力的目标,就要通过健全的法律法规、恰当的管理机制、以及一系列技术手段,来保证“白帽黑客”的能力是安全、可控的。

一方面是要深入行业,增加针对网络安全领域的高位阶立法尤其是对一些网络安全防护要求高的重要领域进行规范性立法。根据网络社会快速发展的现状,对物联网、5G等新兴领域的网络安全立法应当更快速的进行规范;在兼顾建设、安全、秩序与管理的同时,应当对创新型的网络安全研究、应用予以政策支持和保障;健全信息安全教育培训制度,将培育“白帽黑客”的任务搬到台面上来。

另一方面建立健全管理机制,建立国家网络安全人才储备库,或者以行业协会的方式统一管理。对参与测试的“白帽黑客”进行充分的“背调”,加强相关法律观念的普及和教育,防止因为欠缺相关经验、知识而触碰法律风险。建立统一的培训与晋升机制,对“白帽黑客”能力资质进行监管与培育,使这项能力成为社会统一认可的技能标签,与此同时,建立相应的激励、保障政策,加强对关键人才的补贴奖励举措,也是促进行业健康发展的关键步骤。

第三个方面,要加强政府部门与企业之间的协同,扩大人才招募,拓宽人才培养路径。网络安全相关企业是网络安全社会力量的重要组成部分,企业及时上报网络攻击事件、建立良好快速的沟通机制、建立恰当的应急处置与风险评估机制,都是国家应对网络威胁,提高网络安全防护水平的重要途径。

政府与企业间的协作对于弥补网络安全人才空缺也具有十分重要的意义。从企业中筛选具有丰富实战经验的技术专家担任讲师,结合网络安全行业的最新需求,在网络安全企业进行实战演练,建立快速、规模化培养实战型网络安全人才的机制,是在短期内弥补网络安全人才缺口的有效途径。

同时,要加强建设一流网络安全学院,以实战为目标进行网络安全人才培养,政府针对企业培训在办学资质审批、资金、场地、税收等方面提供一定的便利和优惠政策,也能进一步扩大网络安全人才供给。

最后则是增加技术成本投入,为关键基础设施的测试工作提供安全环境,要更加注重涉密数据的脱敏,网络靶场、仿真技术的应用等等,运用相关的技术手段,在实际操作层面降低测试所带来的风险。

以上是我在针对国内如何引入“白帽黑客”与社会力量加强网络安全建设的几个观点与建议。

事实上,网络安全并不是我们的最终目的,促进互联网发展,使网络为创新发展、市场繁荣和生活改善做出贡献才是我们从事这项工作的责任与义务。

如今,数字化已经融入我们生活的方方面面,相信如何减轻、改善乃至屏蔽网络安全威胁将会成为历久弥坚的社会话题。

借用一段奥巴马的演讲词作为结尾:“互联网自身并不会创造一个国际合作的新时代,但是,我们可以共同努力去建设一个开放的、互操作性强的、安全可靠的未来网络空间。”

关于作者

王英键,虎符智库专家,北京未来安全信息技术有限公司CEO。XCon、安全焦点(XFocus)创始人,资深信息安全研究员。创办包括XCon信息安全技术峰会、XPwn未来安全探索盛会、XKungfoo信息安全交流大会等多个国内外技术交流平台等。

本文系虎符智库、安全内参联合北京网络安全大会(BCS)组织的“大咖说安全”系列文章,往期精彩:

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。