西北工业大学遭境外网络攻击报告曝光,中国需要怎样的网络安全人才?
"
网络攻击防不胜防,加强人才建设是治本之法。
编辑| Light
出品 | 科技智谷
近日,据人民日报消息,国家计算机病毒应急处理中心又发布了《西北工业大学遭美国NSA网络攻击事件调查报告(之二)》,进一步揭露了美国对西北工业大学组织网络攻击的目的:渗透控制中国基础设施核心设备,窃取中国用户隐私数据。
据悉,此次TAO针对西北工业大学发起的网络攻击采取半自动化攻击流程,单点突破、逐步渗透、长期窃密,这也给我国的网络安全再次敲响了警钟。其实,网络安全问题已成为人类面临的最大的安全问题之一,据相关报告不完全统计,2021年上半年全球就至少发生了1200多起勒索软件发起的攻击事件,接近2020年公布的1420起,其中针对医疗系统和教育行业的攻击增加了45%,平均赎金从2020年的40万美元提高到2021年的80万美元。
面对日益严重的网络安全问题,美国大幅增加关键基础设施安全防护的资金投入,欧盟也在《欧盟安全联盟战略》中将提升关键基础设施的保护和恢复能力作为未来五年网络安全工作的重中之重,我国也于2021年8月出台了《关键信息基础设施安全保护条例》,除了这些常规措施之外,我们发现各国都还在加强对网络安全人才的培养,那么中国需求怎样的网络安全人才呢?
网络安全人才需要具备哪些能力?
网络安全人才是典型的复合型人才,要构建以基本资历结构、知识结构、技能结构和职业素养为主的网络空间安全人才能力结构模型。
网络安全人才需要具备实战能力,即“攻防实战能力”、“漏洞挖掘能力”、“工程开发能力”、“战效评估能力”四种类型。具体来讲,攻防实战能力是指在真实业务环境下利用网络空间安全技术和工具开展安全监测与分析、风险评估、渗透测试事件研判、安全运维、应急响应等工作的能力;漏洞挖掘能力是指综合应用各种技术和工具,发现网络和系统中潜在漏洞的能力;工程开发能力指的是,网络安全产品和工具的研发、网络安全系统的集成能力;战效评估能力则是指具备安全防御体系顶层设计、战略规划,具备突发网络安全事件作战指挥、协调保障,以及对使用网络安全武器装备完成规定任务的作战效能进行评估的能力。
为了更直观的检验网络安全人才的攻防实战能力,通常从技术方向上划分为 “Web安全”、“二进制漏洞挖掘与利用”、“逆向工程”、“密码研究”、“其他类别(也叫杂项)”五个方面。Web安全技术方向主要涉及情报收集、追踪溯源、资产梳理、安全管理、风险评估与发现、应急响应、安全运维、安全开发、中间件安全、数据库安全、静态代码审计等攻防实战技术能力;密码研究技术方向主要涉及可信计算、区块链、加解密算法研究、密码算法实现等攻防实战技术能力。
逆向工程技术方向主要涉及逆向分析、防御加固、安全开发、操作系统安全、病毒与木马分析、移动安全、自动化逆向分析等攻防实战技术能力;二进制漏洞挖掘与利用技术方向主要涉及漏洞发现与利用、安全开发、操作系统安全、IoT安全、防御加固、自动化漏洞挖掘等攻防实战技术能力;其他类别(也叫杂项)技术方向主要涉及情报收集、追踪溯源、资产梳理、电子取证、流量分析、协议分析、5G安全应用、AI安全应用等攻防实战技术能力。
如何培育网络安全人才?
网络空间的竞争,归根结底是人才的竞争。
然而,网络安全人才依然面临严重缺口,很多用人单位的网络空间安全专业岗位设置数量与人员数量还远远不够,甚至大部分用人单位仍然是“兼职干部”挑大梁,很多网络安全岗位职责是由其他信息化相关岗位人员兼任。与安全业务开展不匹配的资源、编制、培训配置也成了用人单位网络安全人才引进的制约因素。不仅如此,用人单位整体攻防实战能力的提高,既依赖高精尖的专业技术人才,也与运维、研发等相关岗位人员安全能力水平息息相关,因此,需要建立完善的人才体系,形成科学合理的人才培养和评价机制迫在眉睫。
其一,院校培养是网络安全人才培育的最普世方法。据统计数据显示,开设网络空间安全课程的51所院校中有战队或实验班的院校达37所,其中计算机网络、离散数学、数据结构、操作系统是开设数量最多的四门课程,不过开设校企合作课程的院校较少,缺乏网络安全实战能力。
其二,通过社会培训机构培训。社会培训机构的培训方式主要分为线上网课、线下面授,线上线下结合三种形式,但无论那种形式形式,社会培训机构培训的课程都包括“理论课程、实操练习、考核评价、社会实践、面试辅导”五个模块,实现了人员从培训到实践到就业管理的闭环。
其三,企业内部培养。为了缓解有效解决网络安全人才不足,网络安全业务能力不够的问题,越来越多的企业意识到对员工进行安全人才培养十分有必要。据统计,在各企业单位中,渗透测试方向、漏洞发现与利用方向以及逆向分析方向的网络实战人员最为紧缺,其次是安全运维方向、情报收集方向与追踪溯源方向。
最后一种方式这是安全众测。安全众测是一种新兴的网络安全测试方法,它依靠网络上的工作者帮助完成测试任务,具有成本低、效果好、速度快的特点。在网络安全众测任务中,厂商或平台将测试目标资产及相应的规则(比如禁止DDoS攻击,禁止修改数据,禁止高强度扫描行为等)在特定的人员和时间范围内进行公示并设立相应的奖项和酬金,公开招募安全人员对其进行安全测试并反馈安全漏洞信息,按照实际的测试效果对安全人员进行激励,这也有利于培养网络安全人才的实战能力。
微信扫码关注该文公众号作者