网络安全离不开人才的支撑,网络对抗说到底也是人才的对抗。如何培养网络安全人才,对人才的评价是至关重要的,建立一个合理的人才评价体系,对于培养网络安全人才的重要性是不言而喻的。从人才评价体系的必要性、重要性及科学性等方面阐述了自己的观点:指出了网络安全需要一个建立数学基础上的完备的理论体系;需要对人才进行分类、分级。并给出了人才评价的标准和方法的思路。还提出一些新的观点:安全是没有受到威胁的状态。

任何事业的成功都需要大量的人才,网络安全更是如此。“没有网络安全就没有国家安全”,网络安全人才的重要性更是不言而喻的。什么样的人算是网络安全的“人才”呢?高学历、高职称?高学位?当然,这些是人才,但是还有一些人,学历不高、学位当然也不高,但是对安全理解却并不低,并且有的还有一些特别的技术和技能,这些能说他们不是人才吗?在我们网络安全圈里,有那么几位,虽然学历达到了本科,可他们原来所学的与计算机、网络、网络安全等完全是不相关的。什么临床医疗的、什么语言文学的,等等。他们也是人才。目前,国家还没有一个权威的人才评价体系,我说的权威并不一定是官方的,不论是哪一方的,只要科学,经过他们评价的人才,用人方认可才真正能体现出“权威“来。

建立网络安全人才评价体系的必要性

人才是靠培养出来的,当然自己对自己的培养也要算在内。可什么样的方法才能更有效地培养出网络安全人才呢?

应当说,就我们国内来说,网络安全人才的培养,还处在一个不断探索和完善的阶段,还没有形成科学的人才培养体系。虽然我们的高等院校开办 了网络安全人才专业,并设置为一级学科,各类培训机构也不算少。但是,我们的网络安全人才培养体系,还不能说是真正的建立起来了。

问题1.  还没有将网络安全的学术理论准确地进行抽象。一个好的学术理论,必然会用数学建立其完善的模型,并用数学语言准确地进行表达。马克思说过,世界上任何一门学科如果没有发展到能与数学紧密联系在一起的程度,那就说明该学科还未发展成熟。紧密联系,而不是仅用到了数学。牛顿力学,就是那3个定律,都是用数学描述的,F=ma,是多么美妙啊。同样,麦克斯韦方程组,把电磁学也完美地表达了出来,还预示了电磁波的存在。而在我们的网络安全学方面,还没有这样的表达。

问题2. 这个问题与上一个问题是1个问题的2 个方面,目前网络安全还停留在“术”的这个层面,还没有上升到“道”的层面。只停留在术的层面,就很难对网络安全有整体的、完备的理解。

正是因为如此,相应的教材体系也不完备,一些人一说到网络安全,就是密码技术,还有些人一 说到网络安全就是防火墙。

产生不安全的根本原因是“威胁”,是能够对某些目标构成侵害的因素。所以笔者将安全定义为:安全是没有受到威胁的状态。

从这个意义出发,网络空间安全(更准确的应该是赛博空间安全)应该包含两大方面:一个是由于他人威胁所导致的(人祸);另一大类则是由于自然和自身的因素所导致的(天灾)。而我们在计算机网络中更关注的是人祸(Security),对于Security 问题,笔者认为核心的任务是:“保证授权行为的正确性”或者是“保证正确的授权行为”。

“行为”是“主体”对“客体”的操作,而在网络中,数据则是最根本的客体集合;另一个客体的集合是网络实现的功能。保证行为的正确授权,就是对数据和网络的功能进行保护。

这个定义有3层意思:一是行为是经过授权的,当然包括那些并不构成对其他合法主体侵害的缺省 授权;二是授权必须是正确的(不构成对其他合法 主体的侵害,符合任务和安全需求的最小授权、相应的强度要求、时效性要求和相应的监督机制等); 三是这个正确的授权机制是有有效保证的。不会被绕过,也不会因为其他的原因而失效。如系统中的漏洞,就可能导致这种机制失效。

“道”是对网络安全的本质性的总体认识,而目前关注的人还太少太少。“术”则是解决网络安全问题的方法,现在的关注点基本都在这里。

正是由于这样的一个原因,就有了第3个方面的问题 :

问题3.  许多人对网络(空间)安全的本质认识并不清楚,甚至一些大学的名教授,还会将网络安全的目标说成是:主机安全、网络安全、应用安全、管理安全、内容安全等等。从研究方向上来说,谈这些安全并没有错误。但是,如果把这些也当成网络安全的目标,就存在很严重的偏差了。对于网络安全来说,真正要保护的目标只有2个:数据和系统的服务功能。其他的,都是对它们的支撑,而非保护目标。

问题4.  也正是因为对网络安全的认识不够明确,所以目前的网络人才培养还是比较乱的,目前有这样的一些基本现象 :

● 以密码学为主体的(学校)教学体系 ;     

● 以网络防护为主体的(学校与社会)教学体系;

● 以攻防方法为主体的(社会)培训体系。

一些作坊式的培训机构,老师就会那么一点漏洞知识,就敢充专家,搞培训。甚至还有不少的老师,自己根本就不懂,真是以其昏昏,让人昭昭。

如果有一个科学、全面的人才评价体系,就可以引导各类办学机构,将自己的培训向这个体系靠拢,逐步将人才培养和培训体系科学化、规范化。

应该建立一个什么样的评价体系才算是科学的呢

1)建立一个科学的网络安全人才分类体系

评价网络安全人才要有不同的角度,不能拿一 个搞渗透的人才与产品开发的人才进行比较。所以首先要对网络安全人才进行分类。

对网络安全人才的分类,取决于网络安全人才所从事的职业和领域,大致分为以下几类:

(1)系统与网络的维护类

网络安全的运行维护人员,这部分人才主要的任务是对在运行的网络系统进行维护,如各个单位的系统的管理员、安全员、审计员等相关的管理干 部等等,还包括情报采集分析与预警、安全分析等。

(2)产品开发类

网络安全产品的开发人员,说到底这部分人是软、硬件的开发人员,要包括架构设计、安全功能设计、产品功能与性能设计,产品管理、产品开发、安全测试、分发与售后等等。

(3)安全服务类

网络安全渗透人员:这部分人主要利用各类软件存在的漏洞和缼欠对相关软件系统进行黑盒测试。

网络安全测评人员:这部分人员主要是从事对网络及系统进行风险评估、等级保护测评,或者其他类的测评人员,如基于CC的测评。

安全咨询类:包括安全需求分析、系统分析、安全策略制定与部署、方案评审、系统与网络的安全检查等。

网络安全的培训教师:这部分人既包括学校的老师队伍,也包括社会从事培训的各类老师。

代码分析人员:从事对软件的代码分析与测试,包括对软件的白盒测试;恶意代码的分析人员;各 类软件的漏洞挖掘人员等。

审计与取证人员:审计和取证有密切关联,但不是一回事,审计是基于日志进行的分析工作,而取证虽然也要大量地查看相关的日志信息,同时还 要分析其他的痕迹,以图重新建立某一过程,并将这些过程用证据的形式进行固定。

(4)理论研究类

网络安全理论研究人员:包括从事网络安全理论的研究和从事网络战研究人员。如密码理论研究、隐藏理论研究等等。

2)人才的分级体系

有了分类作为基础,还要考虑分级,应该制定每一类人员的不同级别要求,如对于一个运维人员来说,就可以分为:初级运维人员、中级运维人员、高级运维人员和专家。而对于一个渗透性测试人员,可以分为:仅能利用某些漏洞和现成的工具进行测试的初级人员;能够利用漏洞链,并且自己制作工具进行渗透的中级人员;不仅可以利用漏洞和工具,还能利用一些合法的行为进行渗透的高级渗透测试人员。对于漏洞挖掘者来说,能够进行逆向和反编译的人员,以及能够从二进制代码中直接分析出漏洞的人员,当然是水平较高的。

3)分类分级与社会实践的目标要一致

分类和分级要与社会实践的目标一致,并且能有对应的岗位级别的限制,低一级的人员不能从事高一级的工作。并且,不同岗位的人员,必须有相应的知识水平、技术技能的最低要求。

4)考核评价标准

要制定一个合适的科学的考评标准,这个标准应该在对现状的摸底调研后,并根据相应的需求进行制定。比如,对于一个从事安全测评的人员来说,如果没有相对完整的安全知识体系,就不可以被评定为相应级别的测评师。如我们推行的网络安全等级保护制度,其核心是基于主客体安全属性的访问控制,而不懂BLP模型、Biba模型并且不理解它们与安全属性之间关系的,就不能成为中级测评师,就不能为三级以上系统进行测评。

5)考核与评价方法

评价方法的科学与否,对于评价结果的准确性是至关重要的。评价方法应该基于理论知识、技术技能两大方面,对于理论知识可以通过考试的方法 来解决,但是考试的题目类型则是非常重要的,不能让应考者只会背条条,或者通过“懵”来获得一 定的分数。除了应考者会背条条外,还要考查其对这些条条的理解能力,可以通过写论文形式和模拟实际系统测评的方式来进行考查。

对于技术和技能,可以通过模拟的环境进行检测和验证。但是这些测试环境的搭建要力求科学,要有一定的难度要求,并且通过这种实测环境,还 可以检验对理论知识的理解程度。

结    语

网络安全人才是小到一个组织大到一个国家的网络安全的根本,必须通过一个科学、全面的人才评价体系对网络安全人才进行评价,并发给相应的证书。看学历,但是不唯学历。通过理论和实际技术与技能的考试与验证给网络安全人才与科学准确的评价,是我国培养网络安全人才必须要有的机制。

文章转自《信息安全研究》2018年第12期

声明:本文来自关键信息基础设施技术创新联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。