安全科普
专注于网络安全领域研究,为用户提供网络安全服务、
信创应用软件开发和系统集成等专业化服务
安全科普
首页 > 安全科普 > 网络安全资讯 > 首部《网络安全人才实战能力白皮书》发布

首部《网络安全人才实战能力白皮书》发布

发布时间:2022-09-08  /   浏览次数:9,699 次

  9月6日,国内首部聚焦网络安全人才实战能力的白皮书——《网络安全人才实战能力白皮书》(以下简称“白皮书”)在国家网络安全宣传周上正式发布。

  据白皮书主要撰稿人之一,教育部高等学校网络空间安全专业教学指导委员会副主任委员、中国科学技术大学网络安全学院执行院长俞能海介绍,《白皮书》聚焦实战,着重从网络安全人才实战能力方面展开研究,由教育部高等学校网络空间安全专业教学指导委员会指导,北京航空航天大学、中国科学技术大学及永信至诚担任主编单位,西安电子科技大学、东南大学、武汉大学、华中科技大学、上海交通大学担任副主编单位,北京电子科技学院、山东大学、四川大学、北京邮电大学参编。

  白皮书共分六大部分,分别从当前国内网络安全人才状况、人才的攻防实战能力、用人单位的实战能力需求、如何提升人才的攻防实战能力、如何评价提升人才的攻防实战能力、“政、企、学、研”如何共同培养实战人才等方面,通过翔实的数据和面向不同群体的调研,以及各领域专家学者的认真编撰,为党政机关、重要行业、企事业单位及高校等单位的人才建设战略提供重要参考。

网空竞争加剧 人才是第一资源

  当前,网络安全的战略地位和重要性已经得到全社会的认可。网络空间的竞争,归根结底是人才的竞争。但当前我国网络安全人才缺口巨大,已经成为制约我国产业发展的主要瓶颈。据白皮书数据,到2027年,我国网络安全人员缺口将达327万,而高校人才培养规模仅为3万/年。

  同时,网络安全是一个非常特殊的领域,其主要工作就是在网络空间这个数字“战场”里进行实打实的攻防对抗,发现和解决安全风险。但在网络安全人才缺口中,实战型人才缺乏的问题更为突出。据白皮书调查数据显示,有高达92%的企业认为自己缺乏网络安全实战人才,这也成为整个数字化转型过程中急需解决的重要命题。

攻防实战人才成为行业“刚需”

  白皮书基于420余场不同领域的专业网络安全赛事中超过85000条实战数据,889份调研问卷,从实战人才的供给侧及用人单位的需求侧,全面呈现我国实战型人才的供需现状、培养现状、评价方式及发展建议。

  何为“实战”能力?白皮书从业务需求出发,将网络安全人才实战能力归纳为“攻防实战能力”“漏洞挖掘能力”“工程开发能力”“战效评估能力”四种类型。

其中,本次白皮书将重点聚焦的攻防实战能力定义为,在真实业务场景中,利用网络空间安全技术和工具开展安全监测与分析、风险评估、渗透测试事件研判、安全运维、应急响应等工作的能力。这需要网络安全人才掌握各类安全标准的落地实践经验,可以熟练使用网络安全技术和工具,为具体业务开展风险评估,提供安全落地规划指导和建议。同时,网络安全人才还应具备一定的调查取证能力,能够在受到攻击后收集、处理、保存、分析并呈现计算机攻击相关证据,为后续的攻击溯源或案件侦查提供帮助。

白皮书从年龄、学历、地区、行业等多个维度对网络安全攻防实战人才分布现状做了分析。其中,在行业分布上,高等院校占比28%,金融、通信、能源、交通等关键信息基础设施行业占比近40%,一方面反映出,随着“网络空间安全”一级学科的设立,和一流网络安全学院建设示范项目的开展,高校在网络安全人才培养上的力度不断加大,另一方面反映出,各大行业对网络安全工作的重视程度越来越强,正在加快建设一支能打善战的专业队伍。

从人才的需求侧来看,网络安全人攻防实战人才面临严重缺口。以往很多用人单位不仅专业岗位人员配置不足,还有很多岗位是“兼职人员”,实战能力严重匮乏。根据白皮书数据显示,当前对网络安全人才的需求,能源行业的需求量位列第一,在细分行业中占比为21%,其次是通信、政法、金融、交通、医疗卫生、网安企业等行业。

同时,用人部门在招聘时最关注的是网络安全实战能力(60%),其次才是网络安全专业知识(45%);其中,渗透测试、漏洞发现与利用和逆向分析方向,是用人单位最紧缺的攻防实战技能方向,分别占比40%、33%和32%。这说明作为国家关键信息基础设施,不仅更为重视自身业务安全、数据安全的保障工作,同时更加需要能够解决实际问题的安全专业人员。预计未来3-5年内,具备实战技能的安全运维人员与高水平网络安全专家,将成为网络安全人才市场中最为稀缺和抢手的资源,加强网络安全攻防实战人才的培养已成为行业共识。

科学规划网安实战人才培养路径

  白皮书给出了明确的网络安全攻防实战人才的培养路径。围绕网络安全人才实战的四种能力和三种验证方式,白皮书提出网络安全人才实战能力的“4+3模型”。

  从实践中来,往实战中去。网络安全人才培养具有特殊性,要求从业人员不能只停留在理论上,还要掌握实践操作的技能。白皮书指出,实践是检验网络安全实战能力的最佳标准,网络安全竞赛、实网攻防演练、众测与应急响应,都是近年来我国广泛开展的网络安全实践模式。作为支撑了国内众多网络安全大赛的运营单位,永信至诚副总裁张丽表示,网络安全竞赛具有强实践性、创新性、对抗性的特点,已成为全面检验和提升攻防实战能力的重要方式之一,不仅发现、培养、选拔了大量网络安全一线人才,“以赛促学、以赛代练”理念也随之贯彻落实到网络安全实践工作中,帮助一线人员摆脱“纸上谈兵”的困境,在实际工作场景中更加得心应手。白皮书还指出,近年来国内持续开展的实网攻防演练,以及方兴未艾的安全众测,都对攻防实战人才的培养发挥了重要作用。

  对如何科学系统地培养攻防实战人才,白皮书建议,首先建立统一的网络安全攻防实战能力框架,同时通过“竞赛选拔、分类提高、职业引导”的方式,将竞赛、众测、攻防演练、技术分享等方式相结合,形成常态化的攻防人才成长通道。同时,网络安全是一门综合性学科,借鉴国外经验,白皮书提出ASK-P模型,将网络安全人才培养分为意识(Awareness)、技能(Skill)、知识(Knowledge)、实践(Practice)四个维度,旨在培养多学科融会贯通,具备综合实战能力的复合型人才。

  白皮书还面向网安实战人才培养,从学校课程教学体系优化、产教融合、政策扶持等方面提出了诸多可行建议。

  今年的俄乌冲突显示出,网络空间的对抗程度已经不亚于现实空间的战斗,网络空间成为未来数字战场的趋势愈发明显。对此,习近平总书记早已指出,“网络安全的本质在对抗,对抗的本质在攻防两端能力较量。”人才是网络安全攻防对抗的核心所在,白皮书的发布,充分展示了当前我国网安人才尤其是攻防对抗人才的发展态势,并就如何培养攻防对抗人才,从技能知识、实践场景、梯队建设、联合培养等多个角度给出了已经验证的可行性路径,对人才的培养方、需求方都极具参考价值。

来源于:信息安全与通信保密杂志社