光明網合肥9月6日電(記者 李政葳 劉昊)在2022年國家網絡安全宣傳周期間,網絡安全人才實戰能力的白皮書——《網絡安全人才實戰能力白皮書》(簡稱“白皮書”)發布。白皮書著重從網絡安全人才實戰能力方面展開研究,由教育部高等學校網絡空間安全專業教學指導委員會指導,北京航空航天大學、中國科學技術大學及永信至誠擔任主編單位,西安電子科技大學、東南大學、武漢大學、華中科技大學、上海交通大學擔任副主編單位,北京電子科技學院、山東大學、四川大學、北京郵電大學參編。

 白皮書共分六大部分,分別從當前國內網絡安全人才狀況、人才的攻防實戰能力、用人單位的實戰能力需求、如何提升人才的攻防實戰能力、如何評價提升人才的攻防實戰能力、“政、企、學、研”如何共同培養實戰人才等方面,通過翔實數據和面向不同群體調研,以及各領域專家學者的認真編撰,為黨政機關、重要行業、企事業單位及高校等單位的人才建設戰略提供重要參考。

 當前,網絡空間安全面臨的形勢復雜多變,對抗趨勢越發凸顯。以竊取敏感數據、破壞關鍵信息技術設施為目標的有組織網絡攻擊愈演愈烈,零日漏洞、供應鏈攻擊、數據泄露等重大安全事件層出不窮。我國正在迎來數字經濟的發展浪潮,千行百業的數字化轉型,都需要有網絡安全的堅實保障。

 網絡空間的競爭,歸根結底是人才的競爭。白皮書數據顯示,到2027年,我國網絡安全人員缺口將達327萬,而高校人才培養規模僅為3萬/年。在網絡安全人才缺口中,實戰型人才缺乏的問題更為突出。有高達92%的企業認為,自己缺乏網絡安全實戰人才,這也成為整個數字化轉型過程中急需解決的重要命題。

 何為“實戰”能力?白皮書從業務需求出發,將網絡安全人才實戰能力歸納為“攻防實戰能力”“漏洞挖掘能力”“工程開發能力”“戰效評估能力”四種類型。

 其中,本次白皮書將重點聚焦的攻防實戰能力定義為,在真實業務場景中,利用網絡空間安全技術和工具開展安全監測與分析、風險評估、滲透測試事件研判、安全運維、應急響應等工作的能力。這需要網絡安全人才掌握各類安全標準的落地實踐經驗,可以熟練使用網絡安全技術和工具,為具體業務開展風險評估,提供安全落地規劃指導和建議。同時,網絡安全人才還應具備一定的調查取證能力,能夠在受到攻擊后收集、處理、保存、分析并呈現計算機攻擊相關證據,為后續的攻擊溯源或案件偵查提供幫助。

 白皮書從年齡、學歷、地區、行業等多個維度對網絡安全攻防實戰人才分布現狀做了分析。其中,在行業分布上,高等院校占比28%,金融、通信、能源、交通等關鍵信息基礎設施行業占比近40%,一方面反映出,隨著“網絡空間安全”一級學科的設立,和一流網絡安全學院建設示范項目的開展,高校在網絡安全人才培養上的力度不斷加大,另一方面反映出,各大行業對網絡安全工作的重視程度越來越強,正在加快建設一支能打善戰的專業隊伍。

 從人才的需求側來看,網絡安全攻防實戰人才面臨嚴重缺口。以往很多用人單位不僅專業崗位人員配置不足,還有很多崗位是“兼職人員”,實戰能力嚴重匱乏。白皮書數據顯示,當前對網絡安全人才的需求,能源行業的需求量位列第一,在細分行業中占比為21%,其次是通信、政法、金融、交通、醫療衛生、網安企業等行業。

 同時,用人部門在招聘時最關注的是網絡安全實戰能力(60%),其次才是網絡安全專業知識(45%);其中,滲透測試、漏洞發現與利用和逆向分析方向,是用人單位最緊缺的攻防實戰技能方向,分別占比40%、33%和32%。這說明,作為國家關鍵信息基礎設施,不僅更為重視自身業務安全、數據安全的保障工作,同時更加需要能夠解決實際問題的安全專業人員。預計未來3-5年內,具備實戰技能的安全運維人員與高水平網絡安全專家,將成為網絡安全人才市場中最為稀缺和搶手的資源,加強網絡安全攻防實戰人才的培養已成為行業共識。

 從實踐中來,往實戰中去。白皮書指出,網絡安全競賽、實網攻防演練、眾測與應急響應,都是近年來我國廣泛開展的網絡安全實踐模式。作為支撐了國內眾多網絡安全大賽的運營單位,永信至誠副總裁張麗表示,網絡安全競賽具有強實踐性、創新性、對抗性的特點,經過近些年的蓬勃發展,已成為全面檢驗和提升攻防實戰能力的重要方式之一,“以賽促學、以賽代練”理念也隨之貫徹落實到網絡安全實踐工作中,幫助一線人員擺脫“紙上談兵”的困境,在實際工作場景中更加得心應手。

 對如何科學系統地培養攻防實戰人才,白皮書建議,首先建立統一的網絡安全攻防實戰能力框架,同時通過“競賽選拔、分類提高、職業引導”的方式,將競賽、眾測、攻防演練、技術分享等方式相結合,形成常態化的攻防人才成長通道。同時,網絡安全是一門綜合性學科,借鑒國外經驗,白皮書提出ASK-P模型,將網絡安全人才培養分為意識(Awareness)、技能(Skill)、知識(Knowledge)、實踐(Practice)四個維度,旨在培養多學科融會貫通,具備綜合實戰能力的復合型人才。