【法治周末专栏】金盾信安董事长梁宏就网络安全人才供需现状发表观点

发布时间:2022-06-09 19:11:22    浏览次数:10456     来源:法治日报·法治周末

64010.png

网络安全法正式实施5年了。

这5年,是网络安全法治化体系化日趋完善的5年,也是我国网络安全产业黄金发展的5年。

赛迪顾问数据显示,2016年,我国网络安全市场规模为336.2亿元;而2021年,市场规模达到900多亿元。

然而,在这5年近3倍的高速增长背后,却是网络安全行业人才供需失衡——如今,国内网络安全专业人才累计缺口超140万人,首席安全官(CSO)更是整个网络安全行业中的极度稀缺人才。

网络攻击并不遥远

在大多数人眼中,网络攻击似乎是个遥远的词汇。但事实上,近年来针对民生领域的网络攻击时有发生,尤其关键基础设施成为首要攻击目标。

4月28日,北京健康宝在使用高峰期间就曾遭受到“境外网络攻击”。

事后据360网络安全研究院披露,这是一起典型的网络拒绝服务攻击(DDoS攻击)事件,攻击者利用大量被入侵的网络设备,比如,个人电脑、服务器等,向被攻击对象服务器发送海量的网络流量,影响其正常服务。

为北京健康宝提供网络安全服务的是北京东方棱镜科技有限公司。该公司保障团队进行了及时有效应对,受攻击期间北京健康宝相关服务未受影响。

北京东方棱镜科技有限公司董事长何华,全国工商联大数据(网络安全)委员会委员,涉足网安行业已近30年。

何华对《法治周末》记者回忆,1992年,他进入网安行业时,国内还没有单独的网络安全行业,市面上只有杀毒软件,包括公安部出的kill软件、江民出的kv系列软件等。

那时整个信息化软件行业都刚刚开始,软件还是DOS时代,硬盘、内存还是按兆计算的,每个人都可以创造创新,都可以独立改变时代,高手都用汇编语言写程序,软件逆向破解很有市场。何华就是从软件逆向破解、编写杀毒软件入行的。因为有了网络安全相关的法律法规要求,当前软件破解行为成了敏感内容。

1997年,何华发现微软Foxpro软件漏洞并汇报给微软,当年开始独立创业。之后在启明星辰公司担任研发负责人、专家团专家直到2014年,然后就创办了现在的棱镜科技公司。

1999年,美国轰炸中国驻南联盟大使馆事件,民族情绪激增,促使中美红客网络大战,何华也是主要参与者之一。2000年以后,我国也开始重视网络安全行业了,2004年9月,公安部联合国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室共同发布了公通字【2004】66号文《关于信息安全等级保护工作的实施意见》,这份法规文件的发布标志着等级保护工作在我们国家已开始正式推动实施。

时代滚滚向前,30年后的网络发展,已非30年前所能想象。

“如今,世界大国都将网络作为谋求战略优势的新手段,对内不断加强顶层设计、能力建设和安全审查,对外抢抓网络空间控制权、规则制定权和话语权。”中国网络空间安全协会人才培养专家组常务副组长、国科华盾(北京)科技有限公司高级副总裁潘彭丹对《法治周末》记者说。

随着网络安全强国建设目标在国家战略层面的高度不断提升,网络安全能力提升成为我国“十四五”期间的重点工作任务,网安能力提升将是我国快速实现数字经济转型的重要能力支撑。

“国家相继颁布了网络安全法、数据安全法、个人信息保护法、网络安全审查办法等法律法规和规范性文件,对企业的信息安全能力建设提出了更高的要求,也进一步压实了企业的网络安全责任。”潘彭丹说。

人与人之间的攻防对抗

“网络安全行业的本质是人与人之间的攻防对抗。”河南金盾信安检测评估中心有限公司董事长、河南省法学会网络与信息法学研究会常务副会长兼学术委员会主任梁宏对《法治周末》记者说,随着信息技术的快速发展,国家、企业层面的网络安全空间竞争越演越烈,归根到底是人才的竞争。人才队伍建设是整个网络安全行业合规管理机制建立健全的核心。

如今的计算机网络安全技术不仅包括计算机硬件设备的抑制和防止电磁泄漏(即TEMPEST技术)、防盗、防自然灾害等技术,还包括数据加密、智能卡及防火墙技术等访问控制及信息保密策略设计。

梁宏说,这意味着,成为一名网络安全技术专家不仅要懂得计算机硬件设备,还需了解各类软件程序上的漏洞,并要对潜在的安全隐患进行过滤。

换句话说,网络安全岗位并非传统概念上只要略懂计算机操作就能胜任的,网络安全人才非常稀缺。

何华告诉《法治周末》记者,网络安全从业人员的功力可类比武林高手,有用刀的、有做刀的,也有不用任何现成武器的高手。

在2000年的某次著名对抗中,由国内网络安全人士通过网络自发形成虚拟战队,何华就是虚拟战队成员之一,属于提供网络武器的角色(做刀的)。虚拟战队攻克对手国网站,挂国旗,宣誓主权,宣泄对对方的愤怒。为了便于伙伴们更迅速地攻城拔寨,何华相继开发了利用Solaris系统漏洞的提权工具、WIN2000系统的漏洞利用工具,破解了DEC小型机的管理工具等,通过利用这些工具,战友才能顺利地把国旗挂在对方的网站上,宣誓我们的网络攻击成果。

何华认为,网络安全行业更是年轻人的天下,年轻时容易培养逆向思维,网络安全工作很多方面需要在攻防、对抗角度去思考问题。

这与近几年发布的《网络安全产业人才发展报告》统计数据相吻合。数据显示,近两年来八成以上的网络安全从业人员集中于25岁至40岁之间的中青年,过半都是35岁以下的,年龄在30岁至35岁之间的占比最高,约为35%。

结合工作年限来看,从业5年至10年的人数最多,为34.58%,10年至15年和不到5年的从业人数占比次之,分别为27.16%和18.5%,反映了网络安全领域从业人群的年轻化现象。

“这说明网络安全领域对青年人才存在较高的吸引力,但资深人才储备不足,以及新人培养和留育难度大,将成为企业普遍面临的挑战。”潘彭丹说。

在何华看来,现在很多年轻人不爱当码农,但喜欢安服岗位,因为有挑战,工作新奇,道高一尺,魔高一丈,网络安全态势日新月异,攻防、渗透工作每天都有新东西,与网络对端看不见的陌生人对抗,经过4年至5年的历练,一般可以独立作战了。

“网络安全行业的魅力在于与看不见的对手斗争,你来我往,就像带兵打仗一样。”何华理解,这才是网络安全行业从业人员的核心工作。

在网络安全攻防渗透方面,博士不一定就是高手,初/高中生也不一定就不行,有的初/高中生安服攻防渗透能力远超本科、硕士、博士。“天分,悟性,逆向思维,经验积累,机遇无处不在。”何华说。

何华表示,网络安全行业比较敏感,可以亦魔亦道。有的人在国家队为国家各行业单位网络安全保驾护航,有的人进入上市企业成为正规部队,有的在创业企业摸爬滚打,但也有大量黑灰产业链上的从业者。而黑灰产业从业人员是需要当今网络安全行业主管部门重点整治的。

网安人才供给“青黄不接”

随着国家从立法层面和政策指导层面持续提升对网络安全的重视程度,我国网络安全产业迎来快速发展。据中国网络安全产业联盟(CCIA)数据统计,2021年上半年,我国共有4525家公司开展网络安全业务,相比上一年增长27%。

值得关注的是,虽然2021年我国网络安全市场规模实现了20%以上的高速增长,但网络安全人才供给却并未保持同步增长。官方数据显示,2021年,网络安全人才缺口达140万人,预计2027年缺口将进一步扩大到300万人。

潘彭丹指出,网络安全人才十分稀缺,而每年网络安全相关专业的高校毕业生规模仅两万余人,由此可见,我国网络安全人才供给存在“青黄不接”的情况,人才成长和培养速度显著落后于技术与社会变革的整体速度。

“网络安全人才供需严重失衡,不仅体现在数量,更体现在不同类型人才供给和需求之间的错位。”潘彭丹说。

现阶段由于行业发展特点,人才队伍呈现底部过大,顶部过小的结构,即从事运营与维护、技术支持、风险评估与测试的人员相对较多,从事战略规划、架构设计的人员相对较少,尤其缺乏既懂业务懂政策、又懂技术懂管理的高端综合型人才。

目前,大多数企业只设置了1至2人负责公司网络安全工作,而且大部分都是IT技术人员兼着相关网络安全工作,这些人员尽管有一定的技术基础,但是缺少对网络安全、数据安全的专业、系统性知识和技能储备。“重产品、轻服务、重技术、轻管理”的现象仍很普遍,导致人才的供需矛盾不断加深。

潘彭丹认为,网络安全负责人一直都是数字化业务的关键推动者,要时刻把企业安全和企业业务相融合,明确帮助公司或高级管理层实现战略目标或保障其利益,确保帮助业务,并制定基于业务、可量化、可衡量的工作目标,而不是单一依靠相关软件或设备来对本单位的网络安全进行风险应对和管理。

梁宏也指出,针对网络安全的管理,多数企业都是被动式的应急和管理,缺少对本单位整体网络安全、数据安全的顶层设计和长远规划,从而导致本单位时常遭到外部网络攻击,造成公司及客户信息泄露、设备无法正常运转等现象时有发生,给企业正常生产经营造成重大影响和损失。

没有人才梯队储备,一切都是空谈

随着企业对网络安全的战略定位升级,对具有战略思维、高精尖网安技术、丰富实战经验的复合型网络安全人才需求迫切,例如,首席安全官正是为企业培育打造的网络安全专业复合型人才。

国际上,1995年,一名黑客闯入了花旗银行的计算机系统,窃取了超过1000万美元的资金。随后,信息安全专家斯蒂夫·凯茨(Steve Katz)加入花旗银行,并被任命为首席信息安全官,被公认为全球第一个首席信息安全官。1999年,美国通过“格雷姆-里奇-比利雷法案”,即金融现代化法案,要求金融企业的董事会任命一名首席信息安全官,并每年让首席信息安全官向董事会报告安全状况。这一法案再次推动了首席信息安全官的设立与普及。

据调查,2018年至2019年期间,拥有首席安全官的全球机构数量增加了6%。Gartner数据预计,到2025年,40%的公司将拥有一个由董事会成员监督的专门网络安全委员会。而根据Forrester公司2020年的研究报告,已有13%的首席安全官被认为是最高层管理人员,这一数字远远高于几年前的5%或6%。

我国首席安全官制度于2015年在上海率先推行,提出了通过聘请具有丰富网络安全管理经验的人士担任首席安全官。

潘彭丹认为,未来社会对网络安全从业人员的需求定位已不再是扮演“救火队员”的角色,更多地是希望员工向网络安全专家(如首席安全官)的角色发展。“救火队员”向首席安全官的转化,是阶梯式的能力进阶。

然而,一个尴尬的事实是,供给端的不足导致人才难寻。据《法治周末》记者了解,曾有游戏公司以年薪300万元聘请首席安全官,却没能招揽来。

“没有人才梯队储备,一切都是空谈。”何华对《法治周末》记者表示,网络安全行业将来面临应用领域拓展、场景化应用爆发,人才储备将更加捉襟见肘。

何华指出,我们整个网络安全行业普遍缺乏对客户业务的理解,这个是通病,也是后面网络行业迟早要解决的事情,当然也与我们的人才储备和培养导向有关系。

随着数字化转型的深入,首席安全官目前正面临一大关键时刻:如果能够支撑数字化转型,首席安全官将真正成为企业发展战略的重要推动者。《安永2021年首席执行官研究报告》显示,68%的首席执行官正规划未来12个月内在数据和技术方面进行重大投资,这也将刺激对首席安全官等高端岗位的需求快速增长。

与此相对应的是,近年来,随着国家网络安全强国建设的大力推进,各地政府及各行业的企业也开始重视对网络安全人才的培养,首席安全官、首席数据官等职业发展迅速。当前,上海、浙江、江苏等地已陆续开展首席安全官培训和首席安全官高峰论坛等活动。

2021年年底,中国网络空间安全协会在北京举办了全国性的首期首席安全官高级研修班,邀请了业内知名专家作为讲师,学员大部分为中信、国家电网等央企的网络安全负责人及网络安全公司的CTO、COO等,效果明显,在业内也产生了一定影响力。

潘彭丹相信,首席安全官绝对不是网络安全从业人员的职业“天花板”,未来网安人员的发展空间潜力无限。

关键字: 网络安全