崔光耀：漫说网络安全人才的热点和难点

网安人才持续高热令人欣喜

网络安全人才问题正在成为当前网安领域最为热门的话题之一。而人才问题之复杂，绝不亚于技术问题之复杂，所以有热，也有难点和痛点。

人们很容易从多个方面真切地感受到，网络安全人才这两年持续不减的高热。国家网络安全宣传周上表彰国家级优秀网络安全人才和优秀教师已成为每年宣传周的惯例，继去年首批公布七所网安示范学校后，每两年遴选“一流网络安全学院建设示范项目高校”也已纳入中央网信办、教育部的工作计划。而在近来接二连三的各种会议上，几乎都标配似地设有网络安全分论坛，当然也包括一些专门性的人才培养建设研讨会。各种安全大赛层出不穷，仅据永信至诚发布的公开数据显示，2018年其一家公司主办的安全竞赛就多达上百场。从上海社科院、麦可思研究院等研究报告也可以看出，信息安全目前已成为高考考生首选的报考专业，同时也是毕业生毕业后收入最高的专业，这一数据已保持了连续三年。除一线城市外，一些地方省会城市如武汉、成都、合肥等均发力网安人才的培养。2016年9月，国家网络安全人才与创新基地获批落户武汉临空港经济技术开发区，规划建设“网络安全学院”、“网络安全人才培训中心”、“网络安全研究院”等6大项目，投资总额216亿，于次年即2017年8月隆重破土动工。武汉市政府2017年还出台《关于支持国家网络安全人才与创新基地发展若干政策的通知》，通过推出人才安居政策、生活住房补贴等加大人才引进培养力度。成都市政府先后出台包括《信息安全专项资金补贴》在内的 10 余项网络安全人才培养支持政策，着力引进培养高层次领军人才和加大高校教育培养支持力度。成都市、合肥市相继在亚信安全、新华三集团助力下，分别提出了网络安全人才万人培养计划。成都、深圳等地方还以政府买单等方式支持职业培训。2017年12月，绵阳市政府与360企业安全集团签署战略合作协议，360企业安全集团将投资10亿元，在绵阳建设全国安全服务运营总部和网络安全人才培养基地，建成后人员规模将达5000人。一些行业也积极行动，如国家能源局发布了《国家能源局关于加强电力行业网络安全工作的指导意见》，要求电力行业尽快设立专门网络安全管理及监督机构，加大网络安全人才培养投入，完善人才激励机制。在企业，安恒信息等先后成立信息安全学院，一些企业与中国信息安全测评中心CISP运营中心联合开展职业培训。据悉，为加速培养选拔优秀网络安全人才，四川大学等高校推出了网安人才高考特招项目，特殊考生最高可在计划录取线下降低上百分入学。

且不说动辄十万、几十万元甚至上百万元的大赛奖励，网络安全行业从事者的薪资收入也步入“高薪”行列。据中国信息安全测评中心即将发布的《2018年度中国信息安全从业人员现状调查》显示，我国信息安全从业人员平均年薪为15.3万元，高于2017年国家统计局发布的IT行业总体薪资水平（13.32万元），其中年薪超过10万元的从业人员达到75.8%，逾一半从业人员的平均年薪为10-20万之间。

网络安全人才走热，是在落实习近平总书记讲话精神，全面推进网络强国建设，网信工作大步迈进的大环境下，在国家政策推动和行业产业发展迫切需求背景下，在各级各地机构的大力支持下的一种必然结果，本身也是网络安全蓬勃兴旺的最为客观的体现。相信这股安全人才热潮，还将持续很长一段时间。

人才难点痛点确需静心深思

一方面，网络安全人才持续高热，另一方面人才高度短缺，且存在结构性失衡和供需矛盾，构成当前网络安全人才状况两大特征。

近期，(ISC)2 发布的2018年网络安全行业调查报告显示，目前全球网络安全行业岗位缺口达到了近300万，其中亚太地区网络安全人才紧缺最为严重，缺口约为214万（北美地区人才需求量约为50万个，拉丁美洲空缺岗位为13.6万个）。

报告认为，岗位空缺加上高薪酬，目前仍然不足以吸引人才进入网络安全领域。根据最新的调查数据，将近一半的用人单位(49%)要求员工有网络安全领域相关的从业经验，47%要求员工具备最新最先进的网络安全知识，43%要求员工有网络安全职业证书，40%要求员工具备多种网络安全技能，39%需要员工有较强的非技术/软技能。除了上述高要求等原因外，还有一个问题有待解决：由于网络攻击的数量和难度一直在不断增加，那些受过全面训练的专业技术人才很可能会被其他组织挖走，也就是人才外流的不可避免性，这对公司和组织来说绝对是一个不小的“打击”。看来，网络安全人才所面临的现实问题，是全球性的共性问题。

首先，从人才缺口看，全球重点在亚太，亚太重点是中国。按国内的说法，至少我们有70万的缺口，占全球的四成、亚太的三成。每年高校万把毕业生不过是杯水车薪，有预测到2020年缺口或将达到140万，可谓任重道远。

其次是招不来、留不住人。在近期举行的一次内部讨论会上，来自一线重要行业的嘉宾表示，现在校招毕业生都很难招到优秀学生，而这些国内排名最靠前的大型企事业单位，过去都是挤破了头往里进的，现在他们更倾向于到BAT、互联网厂商等风口企业，因为他们开出的薪金要高得多。不仅校招受冷，单位现有的网络安全人才也经常跳槽，或被这些高薪企业挖走。在网络安全企业中，这种跳槽挖人的现象也越来越多，面对高出数倍甚至十数倍的优厚条件，仅靠情怀是苍白的，理想很丰满，现实却很骨感。有的单位为了避免被人发现觊觎技术高手，一些比赛都不敢派他们出场。这种状况，目前看不到改善的迹象，可能还会变得更加尖锐。这恐怕也是当前行业最为棘手的难题。至于是否能够通过专业外包等形式来化解这一难题，还有待做深入探讨。

第三，人才结构不够合理。从现有的状况看，网络安全人才的知识技能、实践经验与实际需要还有很大差距，特别是高端人才更是紧缺。有调查显示，37%的单位高管职位空缺，因为招不到技术过硬或者经验丰富的人员。据本次中国信息安全测评中心所做的调查显示，我国信息安全从业人员中从事安全运维、组织管理、开发与集成、审计与评估等工作内容的从业人员占比较高（其中安全运维从业者占比最高，达到22.2%），而从事安全态势分析、战略与法规制定、安全研究、策略规划等工作内容的从业人员占比较低（其中安全态势分析从业者占比最低，为3.8%）。此外，信息安全与网络安全相关专业背景的从业人员占比不高，占比仅22.2%，而逾半数拥有计算机相关专业背景。

第四，人才职业发展状况有待改善。报告提出，近六成受访者表示他们兼职从事非信息安全岗位的工作。就是说，让更少的人做更多的事情。Vactra的副总裁Mike Banic表示：“2017年，Equifax网络威胁中心平均每秒会捕捉到25亿份日志，并同时检测5万多个网络安全事件。不管你雇佣了多少名网络安全专业人员，他们都不可能一直从事这样繁重的体力劳动，但我们的行业却一直要求他们这样‘苦苦挣扎’”。看来，信息安全人才队伍的专业化建设有待提升，职业晋升通道建设上依然存在不足，职称评定尤其是像高级职称进阶时依然无路可循。

第五，培养和教育方式多样化。目前网络安全从业者以本科生为主，大概占比为65.0%，硕士及博士学历从业人员占比为16.2%。随着网络安全一级学科设立，高等学历教育充当着主要的教育培育角色。在此基础上，网络安全职业培训作为有效补充，速度快、针对性强、方式灵活，越来越受到欢迎，近来面向大数据、云计算、工业控制等新技术应用的培训能够快速跟上时代变化的节拍。而且，有培训机构投入资金建立安全攻防模拟靶场，更好地把理论与实践结合起来。高校网络安全目前正在推进一流学科建设，但作为一个新兴学科，面对师资和教材缺乏的问题，如何培养既有理论知识又结合应用的优秀人才，依然是个艰巨的长期任务。近来，网络示范学校在新工科建设背景下，在探索把通才教育和奇才怪才教育有效结合的道路，仍有大量的工作要做。此外，越来越火爆的网络安全大赛力图在快速出人才上有所作为，但也受到一些质疑，有关部门还发文要求审慎对待。

总而言之，成绩很大，问题不少。固然，人才是网络安全的基石，但老话说十年树木、百年树人，网络安全人才培养也像其他领域的人才培养一样，有着其内在的规律和特殊性，应当按规律办事，既要大力推动，又不能一哄而上、只顾眼前，而应突出重点，点面兼顾，快慢相宜，从长计议。

（本文刊登于《中国信息安全》杂志2018年第12期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。