网络空间的竞争,归根结底是人才的竞争。新一轮科技革命和产业升级进程中,信息技术正在从根本上改变人们生产生活的方式,重塑经济社会发展和国家安全的新格局,信息安全人才将在这一转型发展过程中发挥关键作用。面对新时期的挑战和机遇,推进信息安全人才建设将成为实施网络强国战略至关重要的因素,也是在日益激烈的国际竞争中赢得主动的关键。因此,摸清目前网络空间安全人才的培养现状与发展短板,是培养更多高素质网络空间安全人才的当务之急。

为此,2019年10月15日,编者专访了中国网络空间安全人才教育联盟理事长、广州大学网络空间先进技术研究院名誉院长方滨兴院士,方院士就网络空间安全人才培养现状与存在的主要问题提出了独到的见解。在整个采访过程中,方院士多次提到“目标驱动理论”和“敢于走在无人区理论”。

Q1:造成我国网安人才巨大缺口的主要原因是什么?如何能改善这个供需现状?

方院士:我们过去讨论的安全,基本是从可靠程度上来说的,比如你的软件设计的好不好,系统有没有问题。但是随着当今社会环境的日益复杂,网络攻击者的动机也愈加复杂多样。从个人层面来讲,一些黑客会出于某些私人动机进行攻击;从经济层面来讲,一些犯罪团伙、黑色组织会通过勒索、地理攻击等达成他们的某些意图;从国家层面来讲,网络安全被用作国家间对抗的一种手段。所以这就把传统的“系统是否可靠”的问题,转换成“是否能够抵抗人为攻击”的问题。因此,随着我们的系统面临的安全问题越来越复杂,我们应该更加关注系统是否安全可信,不仅要了解系统本身,还要了解安全。

这对人才复杂度是一种叠加。安全人员不仅要了解宿主技术,还要了解宿主技术之外的安全。例如通信安全人员不仅要了解通信技术,还要了解安全。以此类推,软件安全人员要了解软件技术和安全,应用安全人员要了解应用技术和安全,多元化人才的需求量也因此变大了。

那么如何改善供需现状呢?我们现在的安全教育分成了五个层次。第一层次:培训。就是把人切换到安全领域,在原来的基础上培训安全知识。整个信息技术领域,每年有数百万的人才输出,但安全方向却没有这么多的人才,因此需要用培训的方法把他们拉进安全领域。第二层次:专科院校毕业生。专科院校的毕业生可以有针对性地只学习安全知识,工作岗位需要什么就学什么,学的很具体很扎实,但是广度不够。另外,这类人才培养得比较快,数量也多。第三层次:本科生。要兼顾两个方面:实践和理论。第四层次:工程硕士。工程,即以实践作为主要目标,这类人才在安全上做得特别扎实,因为他们跟着工程应用走。第五层次:学术型硕士或博士。学术型,即从理论上做研究,从理论上探讨怎么做,当然这样的人才比较少。所以更多的实用型人才还是靠迁移,从原本的领域迁移到安全,这样才能更有效地填补安全人才缺口。

Q2:现在比较有影响力的网安大咖很多都不是科班出身,因此社会上出现了“网络安全人才不是培养出来的”说法,对这个观点,您是否认可?

方院士:这就需要提到我经常说的目标驱动理论。走某条路肯定能达到目标,这就叫培养。有人通过爬悬崖也能够达到目标,但我们要知道一万个爬悬崖的可能就只有两个爬上去了,比尔盖茨爬上去了,没有大学毕业证他也很牛,这只是一条路,未必是我们要努力的方向。如果我们也走比尔盖茨那条路却成为途中摔死那个怎么办呢?走培养这条路就不会摔死,你可能没法走的快,但是你肯定是安全的,因此不能靠几个例子就推翻一切。所以通过我的目标驱动理论可以证明道路驱动是安全的,但不是最快的;目标驱动可能是快的,但不一定是安全的。

有一些大咖不是这个圈里的,为什么有这种现象呢?其实这是因为网络安全的特殊性——因为它有攻击的理念,而攻击是科班的人所忌讳,非科班的人所不忌讳的命题,所以非科班的人可以通过攻击走出来。但是现在我们的教育方式改变了,我们要求科班的人也要走攻击的路,因此现在可能不会像过去那样,有更多的非科班的成功了。

Q3:社会培训增多,但真正有影响力、有公信力、真正能吸引网安爱好者来参加的培训却很少,联盟在这方面如何取得突破?

方院士:(编者:方院士用“目标驱动”和“道路驱动”两个理论说明了这个现状。)例如我们要达成“成为网络安全技术人员”这一目标,可能通过在学校或者培训机构中学习来达到这一目标,这就是所谓的目标驱动。所谓道路驱动,就是这条路必须这么走,而那些根据证书来判断一个人是否有能力的,就属于道路驱动的一种情况。虽然我不能确定我招来的人是否真的是我想要的,但至少你走过这条路,我能够知道你经历过向这个目标努力的过程。我们对人才的培养是希望他真的具有解决问题的能力,很多工作是很具体的,对于具体的工作我们要具体看待。每件事情存在就是合理的,我们也不能轻易否定它。

联盟要向成员单位学习,不断挖掘和整理,寻找一种普适化的方法。联盟企业在长期运作过程中有自己清晰的需求,有的需求可能过于个性化,可能你需要的技术只适用于你这里,在别的地方派不上用场。所以我们要找到一种普适化的方法,然后让大家都能够借鉴这种方法。比如说华为的方法能让大家都借鉴吗?并非如此,华为的方法强调的是一种整体的力量,可能在里面某个人高度突出了,那么我不能高度依赖你,我必须给你换一个岗位,但是小公司就是靠很多这样的人支撑起来的。包括高校也一样,有的学校可能没有几个牛人但整体氛围特别好,有的高校牛人特别多但整体氛围却没有更好。这就体现了不同的风格,我们要找到一种普适化的方法,所以联盟需要返过来向成员单位学习,不断挖掘和整理一些新的方法,然后再去评价,最后整合全局。

Q4:目前,国内现在还很缺少从人才和市场来说都很权威的网安人才认证,这是一个挑战,也是联盟的机遇。您认为我们应该如何探索网安人才认证工作呢?

方院士:认证就是一种背书,谁拿了你的证,你就替他背书。因此认证就要想清楚,我们背书的这个人是否达到了我们认为的那个状态,是否达到要求。所以提供证书的机构就需要自己研究一个相对可靠的认证方法,只有通过了我们给出的认证方法,我们才能为这样的人背书。这可以有很多种方式,比如课程认证,我只证明了你学过这门课程,这叫背书窄一点,我并没有对他的能力进行一个认证;比如说上的党课,前面学“三个代表”,后面学“科学发展观”,我只是证明你学习了,这个也是背书窄一点;还有一种是验证,这就必须要和真实情况符合,或者说验证要符合人们的期望。比如说一个人防御能力很强,那怎样的验证能证明他的防御能力真的很强?如果说给他发了一个很权威的认证,但实际中有个情况他防御不了,这样是不行的,所以说我们要宽一点。那么宽到什么程度?比如说我们可以说他web防御很强。你做了这样的认证,别人估计也会跟着做。所以说认证的方法必须是科学合理的、是和真实情况相符合的。

Q5:各种网安比赛井喷,同质化严重,可否尝试从联盟角度,对各类竞赛进行评级和分类,来提升国内的竞赛水平?

方院士:比赛多也有比赛多的好处,能够让大家了解攻击对学习攻防的重要性。网安比赛井喷实际上也是一件激励性的事情,大家都热衷于来做这件事情,宣传渗透力度非常强,比天天教育要强得多。但是,比赛需要选手和资金,选手自己会选择参加哪个比赛,当选手认为自己的层次足够高了,他就不太会去参加小比赛了。但有的选手就认为自己的能力还很差,参加大赛每次都排1000名左右,想要去找一个差一点的比赛,拿个好一点的名次来安慰一下自己,让自己有点成就感,因此低水平的比赛也会有人去捧场。这没什么关系,只要达到了宣传教育的目的,而且主办方也能够找到经费来源就可以。这种事情其实是一个自然化的过程,发展到一定程度,就会有一些比赛被淘汰掉,因为它的经费支撑不了了,如果赞助商觉得来的人都挺弱,在这里拿第1,到别的地方总是拿第1000,那还支持什么呢?拿不到这个经费它也组织不起来了,所以这是一个自然化的过程。

在这种情况下,我们联盟确实应该站过来正面支持一下,但不要去否定别人,我们可以高调支持一些比赛。当然,我们的支持也是有选择的。首先,为联盟会员服务,我们会员做的要尽量去支持;其次,希望我们能够更权威。比较重要的比赛我们就要支持,这就是现在我们联盟为什么和教育部的网络空间安全学科教育指导会(网安教指委)联合。因为教指委平台有大量的高校和企业资源,比赛也会很有影响力,所以它做的比赛我们会大力支持,这样我们就可以发挥我们的作用;最后,我们可以强调一些分类:工控类、专项类、CTF类、护网类等等。这也就是引导,所以我们要做大量的引导性工作,我们的引导背后是我们的会员,这些都是非常权威的,所以我们的引导就会变得有权威性,多做些这样的工作,我们的作用就发挥出来了。我们希望在社会上能发挥一些影响力,并能够带动这个社会往前走。

能否从您的大咖养成经历出发,给网安新人们一些宝贵建议?

方院士:我们的学生一定要自信,要敢于说我们走到了无人区,但不能蒙着眼睛说。当我睁着眼睛看,谁也看不见了也要敢于往前走,我们要有这种自信。什么叫创新?创新是哪来的?创新就一定是没人做的,如果我们什么都做,左顾右盼,比较这个比较那个,就会搞不好。我们要有自信,要有创新。美国人科技发展的快就是因为他们高度自信,他们根本不会问别人怎么做,他上来就是要做,让别人跟着他走。华为现在之所以发展那么快,也是认为自己走在无人区,他就敢于这么做。像我们方班的培养模式,我们的研讨厅,我们就认为自己走在了无人区,我们认为这么做好,就去这么做,这就是有了这种自信。所以我们的学生,只要你有了这种信心,不管你的基础是弱是强,你一定会做出成绩来。因为你有这种自信,你就用这种基础去做你的贡献,不同的基础做不同的贡献。所以我们不用在乎过去我们的基础怎样,我们要在乎未来,当未来走在无人区的时候还敢不敢继续往前走。我们看未来,要有信心,要敢于走在无人区。

声明:本文来自网安教盟CEAC,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。