文 | 北京启明星辰信息安全技术有限公司 温志宇 陈博随着网络强国战略的深入推进,网络安全人才短缺已成为安全产业面临的主要问题之一。伴随网络空间安全一级学科的设立和试点示范工作的推进,我国高等教育机构在网络安全人才培养方面已步入快车道。然而,这些机构培养的人才往往“重理论”而“轻实践”,并不能很好地适应当前严峻复杂、对抗激烈的网络安全形势。因此,缺乏能够应对艰难挑战的实战型人才的问题日益凸显。无论从用人单位的角度还是院校培养人才的角度来看,高效地培养大量具备实战能力的网络安全人才,以及确保所培养的人才能够更好地满足安全行业的市场需求,已经成为当前人才培养体系建设的首要任务。
据教育部 2022 年发布的《网络安全人才实战能力白皮书》显示,到 2027 年,网络安全人员缺口将达 327 万,许多行业面临网络安全人才缺失的困境。当前不仅人才缺口巨大,由于缺乏统一的网络安全人才评价体系以及用人单位网络安全年度预算不均衡,用人单位在安全人才培养和投入方面的重视程度需要进一步加强。
在中国人民政治协商会议第十四届全国委员会第二次会议上,众多政协委员、人大代表以及来自各行各业的专家、学者和企业大咖纷纷为网络安全建设建言献策,并提议将网络安全素养教育纳入中小学课程体系。他们建议以法律法规为指导,落实新课标要求,鼓励社会各界积极参与,加快完善全面、系统的中小学网络安全教育体系,并配置专职网络安全教师,开展试点先行、整体推进的网络安全课程教育工作。同时,建议设立专项资金,用于搭建市级网络安全统一在线教育平台。
一是网络安全实战型人才培养的课程设置与行业需求对接至关重要。为了培养符合行业实际需求的人才,我们需要不断深入了解网络安全行业的现状和未来发展趋势,掌握行业所需的核心技能和知识,并据此来调整和优化课程设置。
首先,要实现课程与需求的有效对接,需要加强与网络安全行业的专家和企业之间的紧密合作,了解市场对应聘者的具体要求和期望,包括技术能力、实践经验、团队协作和沟通能力等。通过定期与行业内专家和企业的交流,可以获得最新的行业动态和技术趋势,从而确保课程设置能够与时俱进。其次,根据行业的需求调整和优化课程体系,包括增加与网络安全相关的课程,如网络攻击与防御、数据加密与解密等。同时,还需要注重课程的实践性和应用性,通过案例分析和实战演练等方式,提高学生的实际操作和问题解决能力。再次,必须持续更新和优化课程内容,以适应网络安全行业的快速变化。随着技术的不断发展,网络安全行业也在持续演变。因此,我们需要时刻关注行业的最新动态和技术趋势,及时调整和优化课程内容,确保学生能掌握最新的技能和知识。最后,还需注重课程之间的衔接和融合。网络安全实战型人才的培养需要涉及多个学科领域的知识和技能,如计算机科学、数学、法律等。因此,应注重不同课程之间的衔接和融合,确保学生能形成整体的知识体系和技能体系。二是实战化教学,这在网络安全人才培养中具有不可替代的重要性。鉴于网络安全领域高度依赖实践操作和经验积累,传统的理论教学远远不够。为了提升学生掌握网络安全技能的能力,我们必须强调实战化教学,通过模拟真实场景、案例分析、攻防演练等方式,增强学生的实际操作能力和问题解决能力。模拟真实场景是实战化教学的关键一环。构建与实际网络环境相似的模拟场景,可以让学生参与网络安全的实际操作,掌握基本流程和技能。这样的模拟环境不仅有助于学生理解网络安全的基本原理,还能培养他们的实际操作能力和应急反应能力。案例分析同样是实战化教学中的重要环节。通过分析真实的网络安全事件和案例,可以让学生深入了解网络攻击的手法、特点和规律,学习有效识别和应对各种网络威胁。同时,案例分析还有助于培养学生的逻辑思维和问题解决能力,提高他们应对实际工作挑战的能力。攻防演练也是实战化教学的一个重要手段。组织学生进行攻防演练,可以让他们在实际的操作中了解网络安全的漏洞和弱点,学习如何进行有效的防御和攻击。攻防演练不仅能提高学生的实战能力,也能培养他们的团队协作精神和沟通能力。
启明星辰不断创新,结合行业特色,构建了完善的人才体系和生态循环,主要包含以下三个重点方向。
一是课程设计横纵延伸、因材施教。在培养实战型人才的过程中,我们强调拓展从业人员的知识面,鼓励他们多角度思考问题。例如,渗透测试人员除了需要具备编写小型工具或理解其原理的能力外,还应提高代码编写技能。在参与大型攻防演练项目时,面对企业日益复杂的网络架构,实战型人才也需要深入掌握计算机网络知识,了解当前主流网络架构及相关路由设计。此外,随着目前网络上的漏洞挖掘难度不断提升,实战型人才还需要提升代码审计能力。启明星辰在培养实战型人才方面提倡针对不同岗位人员进行个性化培训,并提出了三个方向的安全课程:一是安全运营课程,涉及计算机网络、安全设备、企业架构优化、应急响应等,主要针对一线工作人员提升工作能力;二是网络安全攻防课程,包括 Web 安全攻防、操作系统、数据库、中间件等多个方向的漏洞挖掘和安全防护,主要针对提升相关专业团队能力;三是安全竞赛课程,用于验证实战型人才相关能力以及为安全研究人员提供能力验证。二是网络安全实战型人才运营。一方面,实战型人才面临长周期的培养;另一方面,许多企业无法承担高额薪资,因此在某些特定时间或问题上采用临时招募顾问的方式。人才运营旨在解决此问题,采用企业发布项目需求、运营平台匹配合适的人才来接单的运作模式。在实战型人才培养的过程中,通过人才运营平台为学员提供更多的实战机会。三是实习与实训。实习与实训为学生提供了在真实工作环境中应用所学知识和技能的机会,有助于培养学生的实战能力和职业素养。通过实习,学生可以体验网络安全工作的实际流程,与业内专家进行互动,深入了解行业需求和趋势。这种实践经验不仅有助于学生将理论知识与实际操作相结合,还能帮助他们构建职业人脉,为未来的职业发展打下基础。在专业导师的指导下,学生可以进行实际操作和解决问题,提高个人的技能水平和实战能力。同时,实训还能帮助学生了解行业规范和职业道德,培养他们的专业素养和责任感。
(本文刊登于《中国信息安全》杂志2024年第3期)
|