信息化觀察網(wǎng)

邁入2019年，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)加劇，網(wǎng)絡(luò)安全人才缺口也不斷加大。根據(jù)普華永道的報(bào)告，2019年網(wǎng)絡(luò)安全人才缺口可能達(dá)到150萬。如此龐大的數(shù)量對(duì)于企業(yè)而言已經(jīng)不僅僅是挑戰(zhàn)，甚至快趕上災(zāi)難了。但是除了焦慮，大家似乎也沒找到有效的方法來解決這個(gè)問題。人們往往覺得，人才缺口就是沒有合適的人才導(dǎo)致的。而事實(shí)也許并非完全如此。

網(wǎng)絡(luò)安全人才發(fā)展現(xiàn)狀

參照邁克菲針對(duì)澳大利亞網(wǎng)絡(luò)安全從業(yè)者的調(diào)研報(bào)告，當(dāng)前網(wǎng)絡(luò)安全人才的發(fā)展呈現(xiàn)出一定的特點(diǎn)和趨勢(shì)：

大多數(shù)受訪者對(duì)于優(yōu)秀網(wǎng)絡(luò)安全從業(yè)者應(yīng)當(dāng)具備的素質(zhì)有著共識(shí)。例如：通俗易懂地解釋技術(shù)概念；分析能力；團(tuán)隊(duì)協(xié)作能力；良好的溝通交流能力等。但是，27%的受訪者無法列舉出優(yōu)秀網(wǎng)絡(luò)安全從業(yè)者必備的某項(xiàng)具體技能。這表明，業(yè)內(nèi)對(duì)于合格或優(yōu)秀網(wǎng)絡(luò)安全從業(yè)者的技能定義還不夠明確、對(duì)于真正多樣化且優(yōu)秀的網(wǎng)絡(luò)安全團(tuán)隊(duì)也缺乏精準(zhǔn)定義。這種狀況實(shí)際上會(huì)影響全面、高效的網(wǎng)絡(luò)安全隊(duì)伍建設(shè)。

此外，大多數(shù)網(wǎng)絡(luò)安全從業(yè)者（84%的受訪者）都具備中學(xué)以上的教育學(xué)歷（其中49%的人是工程或IT專業(yè)、通信或網(wǎng)絡(luò)安全專業(yè)；而49%的人完全沒有任何網(wǎng)絡(luò)安全專業(yè)資質(zhì)），僅16%的受訪者表示曾經(jīng)在其他行業(yè)工作或者從事過與網(wǎng)絡(luò)安全無關(guān)的工作。網(wǎng)絡(luò)安全人才招聘僅限于行業(yè)內(nèi)部并不利于行業(yè)的多樣性發(fā)展，在科技和行業(yè)都迅速發(fā)展的今天，這樣的招聘模式可能也或帶來潛在的局限性。

大多數(shù)網(wǎng)絡(luò)安全從業(yè)者的工作內(nèi)容是運(yùn)營或管理，而涉及安全策略、安全教育或安全咨詢的從業(yè)者較少。這樣的結(jié)果其實(shí)也反映了國內(nèi)網(wǎng)絡(luò)安全從業(yè)人員現(xiàn)狀。《中國信息安全從業(yè)人員現(xiàn)狀調(diào)查報(bào)告》（2017年度）顯示，當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域最缺乏的就是戰(zhàn)略規(guī)劃、架構(gòu)設(shè)計(jì)類人才。34%的受訪者認(rèn)為自己花費(fèi)了一半以上的時(shí)間處理網(wǎng)絡(luò)安全工作；57%的管理者認(rèn)為招聘員工很困難，其中安全運(yùn)營的人才最難找。這些數(shù)據(jù)表明，很多從業(yè)者都曲解了網(wǎng)絡(luò)安全職責(zé)，將其與其他工作內(nèi)容混雜，甚至?xí)晕以O(shè)限，導(dǎo)致企業(yè)的應(yīng)急響應(yīng)受限。這同樣給企業(yè)敲響了警鐘：應(yīng)當(dāng)引進(jìn)更多的自動(dòng)化技術(shù)產(chǎn)品，將員工從技術(shù)和應(yīng)急響應(yīng)中解放出來，投入到策略性、整體性的工作中去。

當(dāng)前形勢(shì)下，以網(wǎng)絡(luò)安全為專業(yè)或者具備網(wǎng)絡(luò)安全從業(yè)經(jīng)驗(yàn)的人員數(shù)量的確不足以填補(bǔ)缺口。但對(duì)于需求方而言，真正的人才不能僅僅靠經(jīng)驗(yàn)或?qū)I(yè)、證書等條件來評(píng)判。網(wǎng)絡(luò)安全企業(yè)在人才建設(shè)過程中，除了單純的招聘與團(tuán)隊(duì)擴(kuò)充，也可以考慮利用多種方式激發(fā)內(nèi)部員工潛能，或讓其他行業(yè)有潛力的人才開啟網(wǎng)絡(luò)安全職業(yè)生涯，為未來發(fā)展開辟更多道路。

緩解網(wǎng)絡(luò)安全人才短缺問題 一、提升招聘成功率

1.擴(kuò)展招聘渠道

對(duì)于企業(yè)而言，填補(bǔ)人才缺口的首要選擇就是加大招聘力度。但有時(shí)候，單純?cè)黾勇毼恍枨蠡蛟黾有匠旮＠⒉荒苷业嚼硐氲娜瞬拧Ｓ袝r(shí)候，還需要擴(kuò)展招聘渠道，尋找更多目標(biāo)群體。除了計(jì)算機(jī)專業(yè)、科研院所的人才，還可以考慮其他專業(yè)或社群。通俗來說，也就是尋找業(yè)內(nèi)所說的民間力量。很多白帽子或漏洞獵人通常利用業(yè)余時(shí)間涉足網(wǎng)絡(luò)安全。他們也許并非從事網(wǎng)絡(luò)安全行業(yè)，專業(yè)或職業(yè)背景五花八門，但他們都對(duì)網(wǎng)絡(luò)安全有濃厚興趣，且自我驅(qū)動(dòng)力強(qiáng)、善于學(xué)習(xí)。如果能找到這樣一群人并將其轉(zhuǎn)化為專業(yè)人員，將為網(wǎng)絡(luò)安全行業(yè)和企業(yè)帶來新的觀點(diǎn)、經(jīng)驗(yàn)與思路，為抵御風(fēng)險(xiǎn)、打擊網(wǎng)絡(luò)犯罪分子提供更多可能性。

2.合理描述職位需求

很多企業(yè)招聘時(shí)，對(duì)于一個(gè)崗位的要求太多太嚴(yán)格，會(huì)讓應(yīng)聘者望而生畏。還有一些企業(yè)只注重要求而沒有展示企業(yè)能給員工帶來的成長與收獲，很容易會(huì)流失一些優(yōu)秀種子。一般來說，可以找專業(yè)寫手撰寫招聘文章，好的文案就是成功招聘的一半。一般來說，職位名稱要準(zhǔn)確、職位描述要精簡且突出重點(diǎn)，還要突出企業(yè)優(yōu)勢(shì)與福利，才能吸引到人才。

3.建設(shè)包容性、多樣化的企業(yè)文化

曾有報(bào)告顯示，在網(wǎng)絡(luò)安全從業(yè)者中，女性僅占11%。此外，外行對(duì)于網(wǎng)絡(luò)安全職業(yè)的不理解以及行業(yè)內(nèi)部存在的一些種族不平等、學(xué)歷不對(duì)等、薪酬差距等問題，也是網(wǎng)絡(luò)安全人才培養(yǎng)所面臨的一大挑戰(zhàn)。

當(dāng)然，這些大環(huán)境因素的影響并非個(gè)別企業(yè)憑借自身之力就能應(yīng)對(duì)。但是，企業(yè)可以通過增加環(huán)境和文化的多樣性，來緩解短缺的問題：

A.與附近的高等教育機(jī)構(gòu)合作推進(jìn)培訓(xùn)項(xiàng)目，引進(jìn)新鮮血液；

B.設(shè)立內(nèi)部政策，解決企業(yè)內(nèi)部存在的問題；消除偏見、促進(jìn)平等也很重要；

C.必要時(shí)候可以通過當(dāng)?shù)氐恼衅笝C(jī)構(gòu)，專門從女性群體或少數(shù)群體中尋找人才；

D.在公司網(wǎng)站中專門設(shè)立頁面，展示公司的包容性與多樣性，例如成功的招聘案例、員工的發(fā)展與成長、公司為行業(yè)發(fā)展做出的貢獻(xiàn)等。

對(duì)比國內(nèi)外網(wǎng)絡(luò)安全行業(yè)的企業(yè)官網(wǎng)，可以看出國內(nèi)外網(wǎng)絡(luò)安全企業(yè)在文化層面以及行業(yè)發(fā)展層面都存在一些不同。一方面，國外企業(yè)普遍注重企業(yè)文化建設(shè)，在官網(wǎng)通常都會(huì)專門設(shè)置頁面展示企業(yè)文化、員工發(fā)展建設(shè)活動(dòng)與案例，以促進(jìn)人才招聘與培養(yǎng)，樹立良好的企業(yè)形象。很多網(wǎng)絡(luò)安全公司也是如此。而國內(nèi)只有部分大企業(yè)注意到了這一點(diǎn)。另一方面，與國外相比，國內(nèi)網(wǎng)絡(luò)安全公司起步與發(fā)展都較晚，較為注重技術(shù)、產(chǎn)品等核心業(yè)務(wù)，尚無暇體系化地建設(shè)企業(yè)文化、樹立企業(yè)形象。這一步通常要在企業(yè)發(fā)展成熟之后考慮，但如果日常業(yè)務(wù)中有意識(shí)地逐步建設(shè)，則有助于吸引人才、培養(yǎng)人才。而隨著網(wǎng)絡(luò)安全行業(yè)不斷發(fā)展成熟，整個(gè)行業(yè)的包容性與多樣性（包括減少歧視、促進(jìn)平等）也會(huì)不斷增強(qiáng)。

二、加強(qiáng)網(wǎng)絡(luò)安全教育與培訓(xùn)

普通企業(yè)的安全需求一般分為網(wǎng)絡(luò)安全、終端安全、惡意軟件分析、加密等四大類。此外還有威脅溯源、應(yīng)急響應(yīng)（包括網(wǎng)絡(luò)流量分析、惡意軟件逆向、終端檢測(cè)等）等多種技能要求。這些技能并非一朝一夕可以掌握，但在院校多年培養(yǎng)的專業(yè)人才數(shù)量不足的情況下，普通員工通過項(xiàng)目培訓(xùn)、考證以及在職工作積累和學(xué)習(xí)，也能逐漸勝任一些基礎(chǔ)的網(wǎng)絡(luò)安全工作。

具體說來，可以從以下三個(gè)方面加強(qiáng)網(wǎng)絡(luò)安全教育與培訓(xùn)，緩解網(wǎng)絡(luò)安全人才短缺問題：

1.校企合作加強(qiáng)網(wǎng)絡(luò)安全人才教育

企業(yè)可以與高等院校合作，結(jié)合實(shí)際情況，參與課程設(shè)置，建立實(shí)踐基地，進(jìn)行項(xiàng)目合作、培訓(xùn)認(rèn)證、學(xué)習(xí)實(shí)踐、培訓(xùn)及推廣交流等。從多個(gè)方面培養(yǎng)具備理論知識(shí)和實(shí)踐經(jīng)驗(yàn)的網(wǎng)絡(luò)安全人才。

2.培訓(xùn)與認(rèn)證

如今網(wǎng)絡(luò)安全相關(guān)的網(wǎng)站、文章、課程等層出不窮，為網(wǎng)絡(luò)安全知識(shí)的培訓(xùn)與普及提供了豐富資源。At&T、安永、普華永道以及國內(nèi)的一些網(wǎng)絡(luò)安全公司都提供安全培訓(xùn)和服務(wù)。此外，CISSP、CISP等證書認(rèn)證考試也有完善的教育和培訓(xùn)過程。這些都有助于培養(yǎng)網(wǎng)絡(luò)安全從業(yè)人員。

3.安全意識(shí)培訓(xùn)

對(duì)于普通的員工的安全意識(shí)培訓(xùn)也不可或缺。讓員工意識(shí)到數(shù)據(jù)安全的重要性，讓員工在密碼設(shè)置、訪問認(rèn)證、內(nèi)外網(wǎng)連接、郵件收發(fā)、移動(dòng)辦公等過程中遵守規(guī)則、合理操作，形成企業(yè)內(nèi)良好的安全氛圍，有助于降低安全風(fēng)險(xiǎn)，減輕安全人員的壓力。這部分具體的內(nèi)容，我們?cè)诹硪黄恼轮性刑峒?，感興趣的讀者可以?？ò退够谕瞥隽艘豢畎踩庾R(shí)培訓(xùn)平臺(tái)，主打自動(dòng)化和靈活性，很適合小企業(yè)使用，也可作為一個(gè)參考。

通過合適的培訓(xùn)，甚至還可以將其他行業(yè)的人才發(fā)展為網(wǎng)絡(luò)安全人才，如刑偵警察、游戲玩家等……這跟前文提到的擴(kuò)展招聘渠道可以同步實(shí)踐。

網(wǎng)絡(luò)安全人才招聘與培養(yǎng)四問四答

本文的最后，以網(wǎng)絡(luò)安全人才招聘與培養(yǎng)四問作結(jié)。

1.我們究竟需要什么樣的人才？

根據(jù)《中國信息安全從業(yè)人員現(xiàn)狀調(diào)查報(bào)告》（2017年度），我國網(wǎng)絡(luò)安全行業(yè)最緊缺的是戰(zhàn)略規(guī)劃、架構(gòu)設(shè)計(jì)類人才。根據(jù)《2017 年全球信息安全人員研究報(bào)告》，全球網(wǎng)絡(luò)安全行業(yè)最緊缺的是運(yùn)行和安全管理和事件/威脅管理以及取證類人才。

而總體來說，除了具備網(wǎng)絡(luò)安全知識(shí)、技能，能夠應(yīng)對(duì)安全問題的人才外，有全局觀、能給出企業(yè)級(jí)安全解決方案的專家級(jí)人才，是整個(gè)行業(yè)最渴求的。

2.如何為行業(yè)輸送人才？

在高校的網(wǎng)絡(luò)安全教育中，高校教師既要做講師和教練，還做領(lǐng)航者。在學(xué)生學(xué)習(xí)過程的不同階段，為學(xué)生梳理在不同階段需要學(xué)習(xí)的知識(shí)點(diǎn)，同時(shí)因材施教。對(duì)于網(wǎng)絡(luò)安全專業(yè)的學(xué)生，可以以需求為導(dǎo)向，支持多層次的競(jìng)賽工作，以賽促練。同時(shí)，還要注重學(xué)生與普通民眾的安全通識(shí)教育。

企業(yè)在安全崗位建設(shè)中，以市場(chǎng)需求為導(dǎo)向，合理設(shè)置網(wǎng)絡(luò)安全保障工作內(nèi)容，明確各崗位的能力要求。設(shè)置不同從業(yè)資質(zhì)的指標(biāo)，建立從業(yè)標(biāo)準(zhǔn)，并與學(xué)校或培訓(xùn)機(jī)構(gòu)合作，參考資質(zhì)要求和標(biāo)準(zhǔn)，共同培養(yǎng)具備相應(yīng)能力的人才。

3.如何讓整個(gè)行業(yè)變得更具有吸引力？

當(dāng)前形勢(shì)下，整個(gè)網(wǎng)絡(luò)安全行業(yè)前景大好，政府、企業(yè)、全民對(duì)網(wǎng)絡(luò) 安全的重視程度提高，也在一定程度上促進(jìn)了整個(gè)行業(yè)的影響力。提升企業(yè)內(nèi)部以及整個(gè)行業(yè)對(duì)網(wǎng)絡(luò)安全的重視程度，才能讓從業(yè)者感受到工作的價(jià)值與意義。同時(shí)，讓網(wǎng)絡(luò)安全員工合理地參與到公司的業(yè)務(wù)流程，了解業(yè)務(wù)策略、IT架構(gòu)以及安全架構(gòu)，有助于安全工作有效進(jìn)展。此外，尊重在職網(wǎng)絡(luò)安全人才的發(fā)展與成長，提供培訓(xùn)、提供繼續(xù)教育支持、提供明確晉升通道和良好工作、學(xué)習(xí)氛圍等，不僅能提升員工能力和積極性，也能更好地應(yīng)對(duì)不斷出現(xiàn)的安全威脅。當(dāng)然，合理的薪酬福利也是提升吸引力的關(guān)鍵。

4.是否找對(duì)了人？是否用對(duì)了人？

在網(wǎng)絡(luò)安全行業(yè)，威脅評(píng)估、風(fēng)險(xiǎn)管理、運(yùn)營、分析等不同的工作對(duì)應(yīng)著不同的崗位，也有著不同的技能要求。想找到合適的人才，就要明確各個(gè)崗位的職責(zé)和要求。例如，要想讓安全運(yùn)營中心良好運(yùn)轉(zhuǎn)，就要找既懂技術(shù)也懂應(yīng)急響應(yīng)的員工，而不能找只懂風(fēng)險(xiǎn)的員工。因?yàn)樗麄儾粌H要知道風(fēng)險(xiǎn)的閾值，還要知道可以緩解或增加風(fēng)險(xiǎn)因素，還要知道如何從技術(shù)層面控制風(fēng)險(xiǎn)。也就是說，企業(yè)一定要明確自身對(duì)網(wǎng)絡(luò)安全的具體需求，明確所招聘人才的角色定位，同時(shí)在單位內(nèi)部建立完善的網(wǎng)絡(luò)安全管理制度，才能用對(duì)人，用好人。