首部《網路安全人才實戰能力白皮書》網安周釋出
中安線上 中安新聞客戶端訊 9月6日,國內首部聚焦網路安全人才實戰能力的白皮書——《網路安全人才實戰能力白皮書》(以下簡稱“白皮書”)在國家網路安全宣傳週上正式釋出。
據白皮書主要撰稿人之一,教育部高等學校網路空間安全專業教學指導委員會副主任委員、中國科學技術大學網路安全學院執行院長俞能海介紹,白皮書聚焦實戰,著重從網路安全人才實戰能力方面展開研究,由教育部高等學校網路空間安全專業教學指導委員會指導,北京航空航天大學、中國科學技術大學及永信至誠擔任主編單位,西安電子科技大學、東南大學、武漢大學、華中科技大學、上海交通大學擔任副主編單位,北京電子科技學院、山東大學、四川大學、北京郵電大學參編。
這是我國首次聚焦網路安全實戰能力做的全面調研和分析。有別於常規報告以主觀調查為主的形式,本白皮書另一個特點是基於大量的客觀實踐資料,並聯合了十所示範性一流網路安全學院及北京電子科技學院進行科學分析並得出大量結論。白皮書共分六大部分,分別從當前國內網路安全人才狀況、人才的攻防實戰能力、用人單位的實戰能力需求、如何提升人才的攻防實戰能力、如何評價提升人才的攻防實戰能力、“政、企、學、研”如何共同培養實戰人才等方面,透過翔實的資料和麵向不同群體的調研,以及各領域專家學者的認真編撰,為黨政機關、重要行業、企事業單位及高校等單位的人才建設戰略提供重要參考。
網空競爭加劇 人才是第一資源
當前,網路空間安全面臨的形勢複雜多變,對抗趨勢越發凸顯。以竊取敏感資料、破壞關鍵資訊科技設施為目標的有組織網路攻擊愈演愈烈,零日漏洞、供應鏈攻擊、資料洩露等重大安全事件層出不窮。我國正在迎來數字經濟的發展浪潮,千行百業的數字化轉型,都需要有網路安全的堅實保障。近年來國家不斷完善網路空間安全頂層設計,《網路安全法》《資料安全法》《密碼法》《關鍵資訊基礎設施安全保護條例》等法律法規的出臺,對各行業都提出了明確的網路安全合規要求。
面對新形勢,網路安全的戰略地位和重要性已經得到全社會的認可。網路空間的競爭,歸根結底是人才的競爭。但當前我國網路安全人才缺口巨大,已經成為制約我國產業發展的主要瓶頸。據白皮書資料,到2027年,我國網路安全人員缺口將達327萬,而高校人才培養規模僅為3萬/年。
同時,網路安全是一個非常特殊的領域,其主要工作就是在網路空間這個數字“戰場”裡進行實打實的攻防對抗,發現和解決安全風險。但在網路安全人才缺口中,實戰型人才缺乏的問題更為突出。 白皮書調查資料顯示,有高達92%的企業認為自己缺乏網路安全實戰人才,這也成為整個數字化轉型過程中急需解決的重要命題。
攻防實戰人才成為行業“剛需”
白皮書基於420餘場不同領域的專業網路安全賽事中超過85000條實戰資料,889份調研問卷,從實戰人才的供給側及用人單位的需求側,全面呈現我國實戰型人才的供需現狀、培養現狀、評價方式及發展建議。大量實戰資料為依據,讓白皮書的報告更加飽滿、客觀。
何為“實戰”能力?白皮書從業務需求出發,將網路安全人才實戰能力歸納為“攻防實戰能力”“漏洞挖掘能力”“工程開發能力”“戰效評估能力”四種類型。
其中,本次白皮書將重點聚焦的攻防實戰能力定義為,在真實業務場景中,利用網路空間安全技術和工具開展安全監測與分析、風險評估、滲透測試事件研判、安全運維、應急響應等工作的能力。這需要網路安全人才掌握各類安全標準的落地實踐經驗,可以熟練使用網路安全技術和工具,為具體業務開展風險評估,提供安全落地規劃指導和建議。同時,網路安全人才還應具備一定的調查取證能力,能夠在受到攻擊後收集、處理、儲存、分析並呈現計算機攻擊相關證據,為後續的攻擊溯源或案件偵查提供幫助。
白皮書從年齡、學歷、地區、行業等多個維度對網路安全攻防實戰人才分佈現狀做了分析。其中,在行業分佈上,高等院校佔比28%,金融、通訊、能源、交通等關鍵資訊基礎設施行業佔比近40%,一方面反映出,隨著“網路空間安全”一級學科的設立,和一流網路安全學院建設示範專案的開展,高校在網路安全人才培養上的力度不斷加大,另一方面反映出,各大行業對網路安全工作的重視程度越來越強,正在加快建設一支能打善戰的專業隊伍。
從人才的需求側來看,網路安全攻防實戰人才面臨嚴重缺口。以往很多用人單位不僅專業崗位人員配置不足,還有很多崗位是“兼職人員”,實戰能力嚴重匱乏。 白皮書資料顯示,當前對網路安全人才的需求,能源行業的需求量位列第一,在細分行業中佔比為21%,其次是通訊、政法、金融、交通、醫療衛生、網安企業等行業。
同時,用人部門在招聘時最關注的是網路安全實戰能力(60%),其次才是網路安全專業知識(45%);其中,滲透測試、漏洞發現與利用和逆向分析方向,是用人單位最緊缺的攻防實戰技能方向,分別佔比40%、33%和32%。這說明作為國家關鍵資訊基礎設施,不僅更為重視自身業務安全、資料安全的保障工作,同時更加需要能夠解決實際問題的安全專業人員。預計未來3-5年內,具備實戰技能的安全運維人員與高水平網路安全專家,將成為網路安全人才市場中最為稀缺和搶手的資源,加強網路安全攻防實戰人才的培養已成為行業共識。
用人單位緊缺的實戰人員技能方向
科學規劃網安實戰人才培養路徑
白皮書給出了明確的網路安全攻防實戰人才的培養路徑。圍繞網路安全人才實戰的四種能力和三種驗證方式,白皮書提出網路安全人才實戰能力的“4+3模型”。
從實踐中來,往實戰中去。網路安全人才培養具有特殊性,要求從業人員不能只停留在理論上,還要掌握實踐操作的技能。白皮書指出,實踐是檢驗網路安全實戰能力的最佳標準,網路安全競賽、實網攻防演練、眾測與應急響應,都是近年來我國廣泛開展的網路安全實踐模式。作為支撐了國內眾多網路安全大賽的運營單位,永信至誠副總裁張麗表示,網路安全競賽具有強實踐性、創新性、對抗性的特點,經過近些年的蓬勃發展,已成為全面檢驗和提升攻防實戰能力的重要方式之一,不僅發現、培養、選拔了大量網路安全一線人才,“以賽促學、以賽代練”理念也隨之貫徹落實到網路安全實踐工作中,幫助一線人員擺脫“紙上談兵”的困境,在實際工作場景中更加得心應手。白皮書還指出,近年來國內持續開展的實網攻防演練,以及方興未艾的安全眾測,都對攻防實戰人才的培養髮揮了重要作用。
對如何科學系統地培養攻防實戰人才,白皮書建議,首先建立統一的網路安全攻防實戰能力框架,同時透過“競賽選拔、分類提高、職業引導”的方式,將競賽、眾測、攻防演練、技術分享等方式相結合,形成常態化的攻防人才成長通道。同時,網路安全是一門綜合性學科,借鑑國外經驗,白皮書提出ASK-P模型,將網路安全人才培養分為意識(Awareness)、技能(Skill)、知識(Knowledge)、實踐(Practice)四個維度,旨在培養多學科融會貫通,具備綜合實戰能力的複合型人才。
白皮書還面向網安實戰人才培養,從學校課程教學體系最佳化、產教融合、政策扶持等方面提出了諸多可行建議。(記者 張毅璞 汪喬)