李煒：持續(xù)開展安全測試評估是建設網絡安全人才梯隊的有力保障

　　2022 年國家網絡安全宣傳周期間，一份聚焦網絡安全人才實戰(zhàn)能力的報告——《網絡安全人才實戰(zhàn)能力白皮書》(以下簡稱“白皮書”)引起了社會廣泛關注。白皮書基于大量人才實戰(zhàn)數據研究及問卷調研分析，全面呈現(xiàn)了我國實戰(zhàn)型人才的供需現(xiàn)狀、培養(yǎng)現(xiàn)狀、評價方式及發(fā)展建議。什么是實戰(zhàn)型網絡安全人才?如何培養(yǎng)實戰(zhàn)型網絡安全人才?本刊采訪了白皮書主編單位之一的永信至誠，其高級副總裁李煒一一回答了上述問題。

　　記者：白皮書顯示，未來具備實戰(zhàn)技能的網絡安全專家，將成為業(yè)界最為稀缺和搶手的資源。您認為該如何定義網絡安全攻防實戰(zhàn)能力?

　　李煒：在國際形勢日趨復雜，網絡空間暗潮洶涌的背景下，面向實戰(zhàn)的網絡安全人才越發(fā)受到重視。我們將攻防實戰(zhàn)能力定義為，在真實業(yè)務場景中，利用網絡空間安全技術和工具開展安全監(jiān)測與分析、風險評估、滲透測試事件研判、安全運維、應急響應等工作的能力。但隨著近年來新技術、新環(huán)境的發(fā)展變化，網絡安全攻防實戰(zhàn)能力所涵蓋的范圍逐步向精細化延伸。然而，業(yè)內并未全面啟動基于實際場景的分類分級工作，給人才培養(yǎng)工作帶來了困難和復雜性。例如，滲透測試工程師需要對目標信息系統(tǒng)、設施和網絡進行模擬滲透攻擊以檢測評估其安全性;安全運維工程師需要熟練運用網絡安全設備分析異常行為以消除或降低安全隱患;代碼審計工程師需要查找源代碼中存在的安全缺陷與隱患并給出修復建議。不同行業(yè)、不同用戶面臨的業(yè)務場景不同，崗位需求不同，不同崗位對攻防實戰(zhàn)能力的要求也不盡相同，很難用一套通用的標準去定義和培養(yǎng)攻防實戰(zhàn)人才。

　　記者：如何培養(yǎng)面向市場需求的網絡安全攻防實戰(zhàn)人才?

　　李煒：對此我有五個方面的建議。一是多角色明確培養(yǎng)目標。高校是網絡安全人才培養(yǎng)的主陣地，但在網絡安全學科交叉性強、伴生性強、演化快的形勢下，高校難以迅速地將實際市場需求的網絡安全業(yè)務場景映射到課程體系中，導致所培養(yǎng)的人才存在從習得到實踐的差距。建議用人單位、社會培訓機構參與到人才培養(yǎng)環(huán)節(jié)中，與高校協(xié)同合作，明確各自在通識教育、崗前、崗后教育的責任分工，開展常態(tài)化的校企合作與人才交流，以網絡安全需要終身學習的價值觀打造人才培養(yǎng)閉環(huán)。二是全場景細化人才分類。當今各行各業(yè)已全面進入場景化時代，人才培養(yǎng)方案只有在對行業(yè)和用人單位的完整業(yè)務場景梳理后，融合人才分類分級機制，才能在實際工作中發(fā)揮真正效用。例如，數字時代，數據安全涉及的場景與傳統(tǒng)網絡安全差異較大，除數據泄露外還延伸到數據管控、數據使用等，數據安全人才崗位還涉及數據安全合規(guī)、數據安全治理、數據安全運營等多個方向。建議高校、社會培訓機構、用人單位共同協(xié)作，對業(yè)務場景形成統(tǒng)一的認知，對所需崗位進行細致的刻畫，做好所需人才的分類分級。三是分層級建立人才梯隊。對用人單位而言，網絡安全攻防實戰(zhàn)人才培養(yǎng)的最終目標是建立人才梯隊。沒有人才梯隊，就談不上網絡安全體系建設。只有明確清晰的崗位層級，分層級建立人才梯隊機制，才能發(fā)揮所有人才的潛能，建設一支能打硬仗的隊伍。具體可通過摸清網絡安全人員底數，通過崗位分級機制，把不同層級的人才應用到不同的業(yè)務場景中，最大化實現(xiàn)用人單位人才資源的盤活。同時，適當發(fā)揮拔尖人才的示范引領作用，以優(yōu)質的人才梯隊為網絡安全保駕護航。四是建立多維度人才培養(yǎng)通道。和信息化人才梯隊類似，網絡安全人才梯隊，應涵蓋管理崗、技術崗、學術崗，以保持人才隊伍能力的整體先進性。一方面，用人單位應設置學術、技術，管理三個方向的人才培養(yǎng)通道，并設置明確的晉升機制;另一方面，以員工的個人意愿和組織發(fā)展需求為導向，引導人才靈活在各個通道間切換，亦可通過相應的內部競聘上崗和職業(yè)技能培訓滿足在不同通道間切換的崗位技能需求。五是搭建人才培養(yǎng)場景化裝備。隨著新場景與新威脅的相互疊加，用人單位對實戰(zhàn)化人才求賢若渴，但很多行業(yè)的業(yè)務連續(xù)性要求較高，人才難以在實際場景中得到技能鍛煉，限制了其成長空間。在此背景下，網絡靶場作為一種基于場景的人才培養(yǎng)、人才能力測試評估基礎設施，通過模擬實際業(yè)務場景，收到了不錯的成效。例如，在“首屆數據安全大賽”上，來自國家關鍵信息基礎設施單位、重要行業(yè)、科研機構、院校、網絡安全企業(yè)、互聯(lián)網企業(yè)的攻防人才在數據安全靶場中，持續(xù)接受數據安全場景、數據分析場景、數據算法場景和數據實踐場景的多重考驗，極大地增進了在實際工作中的應用能力。再比如，在某央企舉辦的數據安全攻防演練中，參賽人員在數據安全靶場構建的跨境數據流動、數據非法使用和利用等場景中，不僅能夠實現(xiàn)對戰(zhàn)術、技術、裝備、流程等各層面展開全方位的測試評估，通過演練形成的多維度數據還能為人才梯隊的建設提供重要參考依據。

　　記者：作為一種行之有效的實戰(zhàn)能力培養(yǎng)及測試評估平臺，網絡靶場正在被越來越多的機構關注和認可。在網絡靶場的建設和使用上，您有何建議?

　　李煒：當前，很多政府和企業(yè)用戶都開展了線下網絡靶場的建設，但在建設過程中，往往暴露出靶場的資源和適配存在局限性，以及內部交流氛圍不足的問題。例如，很多單位雖然用網絡靶場開展競賽演練活動，但有能力有資格參與網絡靶場使用和運營的人才有限，人才之間的交流也不夠豐富。對此，不僅要加強人才梯隊建設，還要有一個良好的交流平臺。在此背景下，永信至誠打造了春秋云境 .com 云上靶場平臺，設置了漏洞靶標和仿真場景兩大體系，通過在線的模式、開放的社區(qū)環(huán)境，為人才提供實戰(zhàn)化的滲透測試體驗，操作簡便，容易上手。即使用人單位人才僅有個位數，內部缺乏交流環(huán)境，也可以在春秋云境 .com 中和成千上萬的高水平人才共同切磋、進步。

　　記者：用人單位如何評估網絡安全人才的實戰(zhàn)能力?

　　李煒：網絡安全人才測試評估最大的挑戰(zhàn)是評價模式單一、評價維度單一、評價持續(xù)性不強。首先，當前網絡安全人才能力測試評估的方式包含考試、職稱評定、等級認證、攻防大賽等，但是各種模式下的評價標準不同，用人單位很難以此形成人才能力畫像進行參考。其次，網絡安全作為綜合型、實戰(zhàn)型學科，對人才的評價不能僅限于知識、技能、工作成效的單一層面，應該針對不同層級階段的人員，搭建不同的人才評價框架，針對其知識水平、技術積累、工作成效、在競賽演練中的成績，甚至是態(tài)度意識、防御協(xié)同表現(xiàn)，做出綜合評定。再次，網絡安全人才需要不斷更新知識技能，因此對人才的測試評估也無法一錘定音，應保持持續(xù)性。所以，用人單位要以技術性、客觀性為前提，持續(xù)性地開展人才測試評估工作。例如，某央企應用“數字風洞”，搭建了完整的網絡安全人才綜合評價體系，構建了專用的人才綜合評價靶場模塊，開展了“一周一訓練、一月一競賽、一季一演練、一年一協(xié)同(應急演練)”的系列活動，并通過應急演練所得到的大量數據指標，加以統(tǒng)計分析，客觀地對總公司、分公司相關人才隊伍的防御實踐協(xié)同能力進行評估。這種持續(xù)性測試評估活動，對用人單位的人才分類、分級形成了詳細的參考指引，助力建設一支能戰(zhàn)善戰(zhàn)的網絡安全人才梯隊。

　　(本文刊登于《中國信息安全》雜志2023年第3期 作者袁勝)