专题·网安人才培养 | 从实战视角看网络安全人才培养实践
2024-5-21 18:0:55 Author: mp.weixin.qq.com(查看原文) 阅读量:6 收藏

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线:010-82341063

文 | 北京长亭科技有限公司 杨坤 余慧英 袁胜
数字时代,新技术的突飞猛进是把双刃剑,既给经济民生带来发展福祉,同时也带来了更为严峻的网络安全态势。在新技术的加持下,网络攻击手段“与时俱进”,网络攻击事件愈演愈烈,网络安全问题已上升为全球性的挑战。

一、严峻的网络安全形势呼唤攻防实战型人才

解决网络安全问题,不仅需要完善的管理和先进的技术,最关键的是要有真正能解决问题的人才。习近平总书记多次强调“实施人才强国战略”,只有具备了充足的、能征善战的网络安全人才队伍,才能顺利实现网络强国和数字中国战略。在网络攻击日益成为常态化的今天,网络安全已经走向合规和实战运营双轮驱动,各重要行业和关基单位都在加紧建设能打善战的专业团队,对具备专业技能和实战经验的网络安全人才的渴求比以往任何时期都更加强烈。

实战化运营,其根本目的是确保安全防线真正有用、好用。其中,一支具备充分理论知识、熟练掌握技能的实战化网络安全人才队伍是确保安全防线发挥应有效能的关键要素,但现实中网络安全实战人才面临严重的短缺。
从需求侧来看,当前用人单位在招聘时最关注的是网络安全实战能力,如渗透测试、漏洞发现与利用以及逆向分析方向,但此类人才较为匮乏。根据工信部人才交流中心发布的《网络安全产业人才发展报告(2023 年版)》显示,我国网络安全产业人才整体呈现供需失衡状态,尤其是实战型人才短缺。正如习近平总书记指出的,“网络空间的竞争,归根结底是人才竞争”,具备实战能力的高水平网络安全人才将成为未来行业中最为稀缺的资源,加强网络安全实战型人才的培养已时不我待。

二、从实战中来,到实战中去

随着 2015 年“网络空间安全”一级学科的设立,以及 2016 年开始的一流网络安全学院建设示范项目的深入开展,我国高校的网络安全人才培养工作效果显著。学校赋予了网络安全人才的基础知识和技能,但仍在一定程度上与当前用人单位的实战需求脱节。同时,在产业侧,面对复杂多变的网络安全态势,诸多行业的网络安全从业人员也急需提升自身能力。

《网络安全法》第二十条提出“国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。”网络安全企业常年处于攻防一线,在实战型人才培养方面具有得天独厚的优势。长亭科技创始人团队来自国际知名 CTF 战队清华蓝莲花,自创立之时就拥有优秀的网络攻防基因。从世界级 DEF CON CTF 总决赛到国家级网络安全赛事“网鼎杯”“强网杯”,一直到国家、行业和地区的实网攻防演练,长亭科技都是其中的优胜者。面对当前实战型人才匮乏的局面,长亭科技坚决履行网络安全企业的社会责任,积极探索并实践多途径、多维度的实战型人才培养体系,将自身的优势能力转化为育人资源,助力各行业和院校培养符合产业需求的实用型网络安全人才,赋能我国整体网络安全实战能力的建设,守护数字时代的安全。
对一线网络安全企业如何助力国家实战人才培养,长亭科技基于多年实践,提出了以下三方面的可行性建议。
一是通过建立专业、系统的实战型人才培养体系,帮助重要行业及关基单位提升安全队伍的实战能力。例如,长亭科技通过在实战中积累的知识经验,形成了面向企业的《网络安全攻防能力成熟度评估模型》,再结合《网络空间安全人才框架》(NIST SP800-181),从企业实际的网络安全运营角度出发,对网络安全各类岗位的知识、技能和任务进行了梳理。根据能力等级知识树,针对不同层次、不同场景的实战型人才需求,推出“珂兰寺”“安道场”“小灶课”等专业人才培训服务和对应的人才评估体系,帮助企业实现网络安全实战型人才梯队建设的目标。
具体而言,“珂兰寺”是针对新入职安全专业人员的全脱产式线下集中培训。通过以实际工作场景为导向,以实际环境为基础的靶场训练,以实际问题为蓝本的作业考核,使学员内外兼修,学有所成。课程内容包括 Linux 系统基础、Web安全基础、内网渗透、移动安全测试、安全加固、应急响应等。“安道场”是为企业进行长线攻防人才培养的线上直播课,主要内容为企业红蓝军进阶能力培养,包括“巧攻之法”蓝军道场,“据守之道”红军道场,“纵横武经”竞赛道场。“小灶课”则是针对特定目标的定制强化培训,传授红蓝军高阶技能,包括 CTF 实战、代码审计、智能合约攻防、安全攻防、安全加固培训等。
以上所有培训全部以网络实战为核心,通过课堂课后练习、模拟情景演练、实网演练,加深学员对知识的认知力,加强学员的实战技能应用能力和对实际工作目标的胜任力。通过名师授课、系统学习、场景实践等精心设计的系统化培训,长亭科技将自身积累的实战攻防能力和经验赋予一个个网络安全“生手”,将他们变成“精兵强将”,向国家金融、能源、制造等重要行业,以及网络安全产业输送了近千名高水平复合型实战型人才,在各自岗位上为我国整体网络安全防线建设发挥着重要作用。
二是通过组织网络安全竞赛和攻防演练,为用人单位进一步提升、淬炼网络安全队伍的实战能力。竞赛和演练既可以提升人才的实战技术水平和协作能力,又能检验评估安全团队在实际场景中的技能水平,是当前网络安全人才培养的主要措施之一。在具体实践上,长亭科技通过数百场的赛事和攻防演练,积累了丰富的赛事资源、知识和经验,并加以创新,协助国家、行业和地方举办网络安全竞赛和攻防演练。截至目前,长亭科技支持了“数字中国”“数信杯”等国家级赛事,并协助金融、通信、能源等大型行业举办了数十场安全竞赛和攻防演练,帮助用人单位有效提升安全团队的实战技能。
同时,长亭科技还连续举办了 6 届“Real World CTF 国际网络安全大赛”,广邀国内外知名网络安全战队,共同在模拟真实场景的数字世界中竞技、切磋。通过打造国际前沿网络安全技术交流平台,为我国的网络安全人才提供高水平的历练环境和国际化视野。
三是通过校企合作、用户共建等方式定向培养实战型人才。当前高校仍是培养网络安全人才的主力,但设立的课程体系与高速发展的安全技术存在滞后性,工程实践体系方面的建设仍需加强。同时,用人单位安全团队的技战术能力也需要与时俱进,才能应对日新月异的网络安全挑战。
对此,长亭科技通过和企业用户共建联合安全实验室、和院校共建人才联合培养基地,以产业需求为导向,通过各类实际训练达到理论与实践的有效结合。对院校学生,帮助他们充分感受网络安全实战环境,搭建人才成长的第一级阶梯,提升院校培养的人才质量;对企业用户,助力提升安全团队的综合素质和实战能力,实现高水平的安全运营。
“积力之所举,则无不胜也”,网络安全实战型人才培养需要汇聚行业主管部门、院校、一线企业、用人单位等各方优势,共同建设以人为中心、以关键信息基础设施单位为重点保护对象、以数据安全为保护目标的联合培养体系,为数字经济的安全稳定发展提供重要的人才支撑。

(本文刊登于《中国信息安全》杂志2024年第3期

分享网络安全知识 强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号

《中国信息安全》杂志倾力推荐

“企业成长计划”

点击下图 了解详情


文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664213656&idx=2&sn=18e3c17aac1a95079476d9138503620e&chksm=8b59ae61bc2e2777a232a3a598dffb357858874f398393215eb2d2af75392499e0f0406f1072&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh