當(dāng)前位置: 首頁 > 走進(jìn)企業(yè) > 高端對話

李煒:持續(xù)開展安全測試評估是建設(shè)網(wǎng)絡(luò)安全人才梯隊(duì)的有力保障

《中國信息安全》發(fā)布時(shí)間:2023-05-25 09:20:34  作者:袁勝

  2022 年國家網(wǎng)絡(luò)安全宣傳周期間,一份聚焦網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力的報(bào)告——《網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書》(以下簡稱“白皮書”)引起了社會廣泛關(guān)注。白皮書基于大量人才實(shí)戰(zhàn)數(shù)據(jù)研究及問卷調(diào)研分析,全面呈現(xiàn)了我國實(shí)戰(zhàn)型人才的供需現(xiàn)狀、培養(yǎng)現(xiàn)狀、評價(jià)方式及發(fā)展建議。什么是實(shí)戰(zhàn)型網(wǎng)絡(luò)安全人才?如何培養(yǎng)實(shí)戰(zhàn)型網(wǎng)絡(luò)安全人才?本刊采訪了白皮書主編單位之一的永信至誠,其高級副總裁李煒一一回答了上述問題。

  記者:白皮書顯示,未來具備實(shí)戰(zhàn)技能的網(wǎng)絡(luò)安全專家,將成為業(yè)界最為稀缺和搶手的資源。您認(rèn)為該如何定義網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)能力?

  李煒:在國際形勢日趨復(fù)雜,網(wǎng)絡(luò)空間暗潮洶涌的背景下,面向?qū)崙?zhàn)的網(wǎng)絡(luò)安全人才越發(fā)受到重視。我們將攻防實(shí)戰(zhàn)能力定義為,在真實(shí)業(yè)務(wù)場景中,利用網(wǎng)絡(luò)空間安全技術(shù)和工具開展安全監(jiān)測與分析、風(fēng)險(xiǎn)評估、滲透測試事件研判、安全運(yùn)維、應(yīng)急響應(yīng)等工作的能力。但隨著近年來新技術(shù)、新環(huán)境的發(fā)展變化,網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)能力所涵蓋的范圍逐步向精細(xì)化延伸。然而,業(yè)內(nèi)并未全面啟動基于實(shí)際場景的分類分級工作,給人才培養(yǎng)工作帶來了困難和復(fù)雜性。例如,滲透測試工程師需要對目標(biāo)信息系統(tǒng)、設(shè)施和網(wǎng)絡(luò)進(jìn)行模擬滲透攻擊以檢測評估其安全性;安全運(yùn)維工程師需要熟練運(yùn)用網(wǎng)絡(luò)安全設(shè)備分析異常行為以消除或降低安全隱患;代碼審計(jì)工程師需要查找源代碼中存在的安全缺陷與隱患并給出修復(fù)建議。不同行業(yè)、不同用戶面臨的業(yè)務(wù)場景不同,崗位需求不同,不同崗位對攻防實(shí)戰(zhàn)能力的要求也不盡相同,很難用一套通用的標(biāo)準(zhǔn)去定義和培養(yǎng)攻防實(shí)戰(zhàn)人才。

  記者:如何培養(yǎng)面向市場需求的網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)人才?

  李煒:對此我有五個(gè)方面的建議。一是多角色明確培養(yǎng)目標(biāo)。高校是網(wǎng)絡(luò)安全人才培養(yǎng)的主陣地,但在網(wǎng)絡(luò)安全學(xué)科交叉性強(qiáng)、伴生性強(qiáng)、演化快的形勢下,高校難以迅速地將實(shí)際市場需求的網(wǎng)絡(luò)安全業(yè)務(wù)場景映射到課程體系中,導(dǎo)致所培養(yǎng)的人才存在從習(xí)得到實(shí)踐的差距。建議用人單位、社會培訓(xùn)機(jī)構(gòu)參與到人才培養(yǎng)環(huán)節(jié)中,與高校協(xié)同合作,明確各自在通識教育、崗前、崗后教育的責(zé)任分工,開展常態(tài)化的校企合作與人才交流,以網(wǎng)絡(luò)安全需要終身學(xué)習(xí)的價(jià)值觀打造人才培養(yǎng)閉環(huán)。二是全場景細(xì)化人才分類。當(dāng)今各行各業(yè)已全面進(jìn)入場景化時(shí)代,人才培養(yǎng)方案只有在對行業(yè)和用人單位的完整業(yè)務(wù)場景梳理后,融合人才分類分級機(jī)制,才能在實(shí)際工作中發(fā)揮真正效用。例如,數(shù)字時(shí)代,數(shù)據(jù)安全涉及的場景與傳統(tǒng)網(wǎng)絡(luò)安全差異較大,除數(shù)據(jù)泄露外還延伸到數(shù)據(jù)管控、數(shù)據(jù)使用等,數(shù)據(jù)安全人才崗位還涉及數(shù)據(jù)安全合規(guī)、數(shù)據(jù)安全治理、數(shù)據(jù)安全運(yùn)營等多個(gè)方向。建議高校、社會培訓(xùn)機(jī)構(gòu)、用人單位共同協(xié)作,對業(yè)務(wù)場景形成統(tǒng)一的認(rèn)知,對所需崗位進(jìn)行細(xì)致的刻畫,做好所需人才的分類分級。三是分層級建立人才梯隊(duì)。對用人單位而言,網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)人才培養(yǎng)的最終目標(biāo)是建立人才梯隊(duì)。沒有人才梯隊(duì),就談不上網(wǎng)絡(luò)安全體系建設(shè)。只有明確清晰的崗位層級,分層級建立人才梯隊(duì)機(jī)制,才能發(fā)揮所有人才的潛能,建設(shè)一支能打硬仗的隊(duì)伍。具體可通過摸清網(wǎng)絡(luò)安全人員底數(shù),通過崗位分級機(jī)制,把不同層級的人才應(yīng)用到不同的業(yè)務(wù)場景中,最大化實(shí)現(xiàn)用人單位人才資源的盤活。同時(shí),適當(dāng)發(fā)揮拔尖人才的示范引領(lǐng)作用,以優(yōu)質(zhì)的人才梯隊(duì)為網(wǎng)絡(luò)安全保駕護(hù)航。四是建立多維度人才培養(yǎng)通道。和信息化人才梯隊(duì)類似,網(wǎng)絡(luò)安全人才梯隊(duì),應(yīng)涵蓋管理崗、技術(shù)崗、學(xué)術(shù)崗,以保持人才隊(duì)伍能力的整體先進(jìn)性。一方面,用人單位應(yīng)設(shè)置學(xué)術(shù)、技術(shù),管理三個(gè)方向的人才培養(yǎng)通道,并設(shè)置明確的晉升機(jī)制;另一方面,以員工的個(gè)人意愿和組織發(fā)展需求為導(dǎo)向,引導(dǎo)人才靈活在各個(gè)通道間切換,亦可通過相應(yīng)的內(nèi)部競聘上崗和職業(yè)技能培訓(xùn)滿足在不同通道間切換的崗位技能需求。五是搭建人才培養(yǎng)場景化裝備。隨著新場景與新威脅的相互疊加,用人單位對實(shí)戰(zhàn)化人才求賢若渴,但很多行業(yè)的業(yè)務(wù)連續(xù)性要求較高,人才難以在實(shí)際場景中得到技能鍛煉,限制了其成長空間。在此背景下,網(wǎng)絡(luò)靶場作為一種基于場景的人才培養(yǎng)、人才能力測試評估基礎(chǔ)設(shè)施,通過模擬實(shí)際業(yè)務(wù)場景,收到了不錯(cuò)的成效。例如,在“首屆數(shù)據(jù)安全大賽”上,來自國家關(guān)鍵信息基礎(chǔ)設(shè)施單位、重要行業(yè)、科研機(jī)構(gòu)、院校、網(wǎng)絡(luò)安全企業(yè)、互聯(lián)網(wǎng)企業(yè)的攻防人才在數(shù)據(jù)安全靶場中,持續(xù)接受數(shù)據(jù)安全場景、數(shù)據(jù)分析場景、數(shù)據(jù)算法場景和數(shù)據(jù)實(shí)踐場景的多重考驗(yàn),極大地增進(jìn)了在實(shí)際工作中的應(yīng)用能力。再比如,在某央企舉辦的數(shù)據(jù)安全攻防演練中,參賽人員在數(shù)據(jù)安全靶場構(gòu)建的跨境數(shù)據(jù)流動、數(shù)據(jù)非法使用和利用等場景中,不僅能夠?qū)崿F(xiàn)對戰(zhàn)術(shù)、技術(shù)、裝備、流程等各層面展開全方位的測試評估,通過演練形成的多維度數(shù)據(jù)還能為人才梯隊(duì)的建設(shè)提供重要參考依據(jù)。

  記者:作為一種行之有效的實(shí)戰(zhàn)能力培養(yǎng)及測試評估平臺,網(wǎng)絡(luò)靶場正在被越來越多的機(jī)構(gòu)關(guān)注和認(rèn)可。在網(wǎng)絡(luò)靶場的建設(shè)和使用上,您有何建議?

  李煒:當(dāng)前,很多政府和企業(yè)用戶都開展了線下網(wǎng)絡(luò)靶場的建設(shè),但在建設(shè)過程中,往往暴露出靶場的資源和適配存在局限性,以及內(nèi)部交流氛圍不足的問題。例如,很多單位雖然用網(wǎng)絡(luò)靶場開展競賽演練活動,但有能力有資格參與網(wǎng)絡(luò)靶場使用和運(yùn)營的人才有限,人才之間的交流也不夠豐富。對此,不僅要加強(qiáng)人才梯隊(duì)建設(shè),還要有一個(gè)良好的交流平臺。在此背景下,永信至誠打造了春秋云境 .com 云上靶場平臺,設(shè)置了漏洞靶標(biāo)和仿真場景兩大體系,通過在線的模式、開放的社區(qū)環(huán)境,為人才提供實(shí)戰(zhàn)化的滲透測試體驗(yàn),操作簡便,容易上手。即使用人單位人才僅有個(gè)位數(shù),內(nèi)部缺乏交流環(huán)境,也可以在春秋云境 .com 中和成千上萬的高水平人才共同切磋、進(jìn)步。

  記者:用人單位如何評估網(wǎng)絡(luò)安全人才的實(shí)戰(zhàn)能力?

  李煒:網(wǎng)絡(luò)安全人才測試評估最大的挑戰(zhàn)是評價(jià)模式單一、評價(jià)維度單一、評價(jià)持續(xù)性不強(qiáng)。首先,當(dāng)前網(wǎng)絡(luò)安全人才能力測試評估的方式包含考試、職稱評定、等級認(rèn)證、攻防大賽等,但是各種模式下的評價(jià)標(biāo)準(zhǔn)不同,用人單位很難以此形成人才能力畫像進(jìn)行參考。其次,網(wǎng)絡(luò)安全作為綜合型、實(shí)戰(zhàn)型學(xué)科,對人才的評價(jià)不能僅限于知識、技能、工作成效的單一層面,應(yīng)該針對不同層級階段的人員,搭建不同的人才評價(jià)框架,針對其知識水平、技術(shù)積累、工作成效、在競賽演練中的成績,甚至是態(tài)度意識、防御協(xié)同表現(xiàn),做出綜合評定。再次,網(wǎng)絡(luò)安全人才需要不斷更新知識技能,因此對人才的測試評估也無法一錘定音,應(yīng)保持持續(xù)性。所以,用人單位要以技術(shù)性、客觀性為前提,持續(xù)性地開展人才測試評估工作。例如,某央企應(yīng)用“數(shù)字風(fēng)洞”,搭建了完整的網(wǎng)絡(luò)安全人才綜合評價(jià)體系,構(gòu)建了專用的人才綜合評價(jià)靶場模塊,開展了“一周一訓(xùn)練、一月一競賽、一季一演練、一年一協(xié)同(應(yīng)急演練)”的系列活動,并通過應(yīng)急演練所得到的大量數(shù)據(jù)指標(biāo),加以統(tǒng)計(jì)分析,客觀地對總公司、分公司相關(guān)人才隊(duì)伍的防御實(shí)踐協(xié)同能力進(jìn)行評估。這種持續(xù)性測試評估活動,對用人單位的人才分類、分級形成了詳細(xì)的參考指引,助力建設(shè)一支能戰(zhàn)善戰(zhàn)的網(wǎng)絡(luò)安全人才梯隊(duì)。

  (本文刊登于《中國信息安全》雜志2023年第3期 作者袁勝)


評論

用戶名:   匿名發(fā)表  
密碼:  
驗(yàn)證碼:
最新評論0