实战型安全人才培养框架设计

启明星辰网络空间安全学院以为国家网信事业提供有力的人才支撑为使命。依托启明星辰集团在网络安全方面的积累，形成了安全运维课程体系、安全攻防课程体系、安全管理课程体系、安全技术课程体系、新技术安全课程体系、认证类课程体系、软件安全开发类课程体系、源代码安全审计课程体系八大课程体系近60门课程。每一门课程都经过细致的打磨，结合新技术和针对行业用户的教学反馈，不断优化课程内容及教学方法，累计已为政府及各大行业组织提供安全培训千余次；参与组织重大安全竞赛近百次；培训行业安全竞赛获奖人员近500名；累计培养安全技术及安全管理人才近2.5万名，被国内外合作伙伴誉为“中国极具实力的高质量培训机构”。启明星辰一直积极支持网络安全人才体系的构建，提升信息安全技术及能力教育培训，参与了CISP体系的建设，并获得首批CISP培训机构授权；联合开发CISD课程体系，并成为CISD运营中心。此外，还是ISC2官方授权CISSP培训机构；NSACE项目战略合作伙伴。除国内外的权威认证外，启明星辰还结合用户需求，推出了启明星辰认证产品工程师等自有认证培训课程。专注于实战型信息安全人才培养，为国家培养更多符合实际岗位要求的安全人才。

1 我国网络安全人才现状

对于国内信息安全专业人才培养，传统模式知识体系偏理论化，知识相对陈旧，无法面对复杂的真实信息化环境。而实战型安全人才培养方案则是基于多年行业专家的实战积累，贴近真实业务应用，自行制定学习计划，应变能力强，适合培养出“全栈”型信息安全管理与技术人才。

1.1 供小于需

2018年，随着全球范围内网络安全事件的日益增加，《中华人民共和国网络安全法》[1]及一系列配套政策法规的逐步落地实施，国内机构对网络安全人才的需求出现爆发式增长。

在线招聘网站智联招聘最新发布的1份《网络安全人才市场状况研究报告》[2]显示，国内网络安全人才市场在数量上呈现出整体的短缺状态。由于用人单位重技能而不重学历，在网络安全领域，本科毕业生的供给略显结构性过剩，而大专毕业生的供给则明显的相对不足。

图1示出以半年为周期统计的国内网络安全人才需求规模指数变化情况。其中，半年指数为其间6个月指数之和。从图1中可以看出，2018年上半年，网络安全人才需求规模指数较2017年上半年同比增长了44.9%，与2017年下半年相比环比增长了9.4%。

图1 政企安全岗位人才规模增长情况

1.2 重技能不重学历

在网络安全领域，学历并不是用人企业最为看重的因素。报告显示，由于亟需具有实际操作能力的人才，用人单位对大专毕业生的需求与本科毕业生相差无几，分别是48.9%和47.0%。

此外，用人单位对于硕士和博士毕业生的需求占比也非常之低，仅为2.3%和0.2%，也大大低于该学历人才的供给量占比，结构性过剩更加明显。

如图2所示，2017年，用人单位对本科毕业生的需求占比与对大专毕业生的需求占比相差不大，均接近50%；而2018年，用人单位加大了对学历的要求。无论是一般企业还是安全企业，对本科生的需求占比均有了明显的增大。此外，用人单位对于硕士和博士毕业生的需求占比仍然非常之低，安全企业为1.4%和0.1%，政企机构为3.7和0.2%。

图2 安全人才与招聘学历要求对比

1.3 行业安全岗位需求(以电信为例)

根据从事的网络安全工作内容，网络安全人才分为以下6类：

1) 监管治理。为机构有效实施网络安全工作提供领导、管理、指导和建议[3]。

2) 安全规划。负责信息系统的安全规划、设计和实施，包括系统和网络的开发[4]。

3) 运行维护。提供必要的支持、管理和维护，确保信息系统的运行效率和安全[5]。

4) 保护防御。识别、分析并消减信息系统和网络面临的风险[6]。

5) 调查取证。调查网络安全事件或网络违法犯罪涉及的相关信息系统与网络，并获取电子证据[7]。

6) 收集分析。制定并收集网络情报信息，综合多来源情报分析目标对象与安全威胁[8-9]。

电信行业对网络安全人才队伍建设的要求：

1) 网络安全人才队伍专业化。优化信息安全人才培养战略，进一步明确培养目标、发展路线与具体举措。加快构建全方位的信息安全人才培养体系，努力打造跨学科、跨领域的复合型人才。

2) 落实人才队伍和安全培训体系化。强化各级单位的安全专业队伍建设，实现安全专业人员数量增加。

3) 建成大规模的高水平、梯队式安全专业队伍。建立安全线条人员到技术的精细化管理运营机制，加强对网络安全法的宣贯理解认识，通过网安法的指导落实精细化管理。

用人单位对安全专业技能的要求如图3所示：

图3 用人单位对安全专业技能的要求

2 网络安全人才培养：体系化建设

我们需要构建多元化网络安全人才培养创新体系，包含人才培养发展战略、分层人才培养体系、人才发现体系、多层次综合实践平台等元素，如图4所示[10]。

图4 网络安全人才培训体系

2.1 建设完善的培训体系

培训体系具有完备的培训教材、实验环境、实验手册、试题库，全面覆盖安全领域各项知识点，尤其是与电信运营商业务相关的安全技能。

2.2 课件与题库建设

制定统一的标准化培训课件，背景、字体、颜色、大小等格式制定统一标准。

制定在线培训计划，强制要求在线学习，将视频课件上传至上线学习平台。

2.3 建设多层次综合实践平台

信息安全领域很看重人才的实操能力，也就是要动手解决信息资产所面临的安全威胁，尤其是面临应急和灾难恢复等特殊场景时，我们通过对真实业务环境的虚拟化仿真，模拟真实安全事件与案例，类似军事上的红蓝演习，让学员掌握真正实用的安全技能。具体实现如图5所示。

图5 建设多层次综合实践平台

2.4 师资建设

师者，传道授业解惑也。师资是人才培养的核心，我们要建设一支安全内训师队伍，全面提升教学能力与科研竞争能力，同步推进绩效考核评价机制建设。

3 启明星辰网络空间安全学院介绍

启明星辰作为国内信息安全行业领军企业，自1996年成立时便以创立民族信息安全自主品牌为己任，秉持自主创新的理念，致力于提供完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案。发展至今，持续保持国内入侵检测/入侵防御、统一威胁管理、安全管理平台、运维安全审计、数据审计与防护市场占有率第1位。2010年上市后，启明星辰集团更是积极布局新兴产业，实现了对网络安全、数据安全、应用业务安全等多领域的覆盖，形成了信息安全产业生态圈。

信息安全的特殊性决定了“教育培训”始终处于至关重要的地位，从安全意识的培养、防御技术的创新发展，到业务安全的深入理解等方面，无一不让信息安全教育培训成为重中之重。启明星辰成立初期即主持编著了《网络安全技术系列丛书》，积极推进网络安全技术普及，该书不断再版并成为信息安全教育早期启蒙教材。2017年启明星辰网络空间安全学院正式成立，其前身为启明星辰集团培训认证部，是国内最早的安全培训机构之一。

“不积跬步无以至千里”，伴随着中国信息安全行业的发展，启明星辰成长的20多年持续深入用户业务的需求，始终聆听来自于前线的枪声炮声，拥有了深厚的技术沉淀及行业实践积累，让启明星辰可以一直以深耕实践与攻防前线的安全防护技术为基础，对真正有效的信息安全人才培养体系有着深刻的理解及思考。在此基础上，网络空间安全学院逐步形成安全运维课程体系、安全攻防课程体系、安全管理课程体系、安全技术课程体系、新技术安全课程体系、认证类课程体系、软件安全开发类课程体系、源代码安全审计课程体系八大课程体系近60门课程。每一门课程都经过细致的打磨，结合新技术和针对行业用户的教学反馈，不断优化课程内容及教学方法，累计已为政府及各大行业组织提供安全培训千余次；参与组织重大安全竞赛近百次；培训行业安全竞赛获奖人员近500名；累计培养安全技术及安全管理人才近2.5万名，被国内外合作伙伴誉为“中国极具实力的高质量培训机构”。

启明星辰一直积极支持网络安全人才体系的构建，提升信息安全技术及能力教育培训，参与了CISP体系的建设，并获得首批CISP培训机构授权；联合开发CISD课程体系，并成为CISD运营中心。此外，还是ISC2官方授权CISSP培训机构、NSACE项目战略合作伙伴。除国内外的权威认证外，启明星辰还结合用户需求，推出了启明星辰认证产品工程师等自有认证培训课程。

安全问题不仅仅是技术问题，而是跨界问题。如果网络安全问题仅仅用技术解决，那么网络安全问题将是无解的，所以安全一定是跨界的，因此，信息安全必须和行业化应用业务相结合才能发挥最大效力。启明星辰网络空间安全学院致力于培养对行业信息化业务应用和安全技术都精通的两栖人才，培训讲师既有主持过“八六三”项目等国家级安全课题的安全技术专家，也有参与过上百项安全工程建设的高级工程师和安全咨询顾问，均具有多年丰富的前线技术积累和培训经验，在信息安全的不同领域学有所长。

随着云计算、大数据、人工智能、物联网、移动互联网等技术的日新月异，新的安全问题也不断涌现，网络安全面临更大的挑战。习总书记曾指出：“网络空间的竞争，归根结底是人才竞争。”掌握行业技术、拥有实战经验的网络安全人才成为人才培养的目标和重点。未来，启明星辰网络空间安全学院将继续以国家网络安全事业发展为使命，培养符合网络安全发展需求的专业性人才，为建设网络强国提供有力的人才支撑。

参考文献

[1] 中华人民共和国网络安全法[OL]. (2016-11-07) [2018-08-01]. http://www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.htm.

[2] 2018网络安全人才市场状况研究报告[OL]. (2018-08-29) [2018-10-10]. http://www.hroot.com/d-9380641.hr.

[3] 周学广. 信息安全学[M]. 北京: 机械工业出版社，2003.

[4] ISO/IEC 27001：2013[OL]. [2018-08-01]. https://www.iso.org/standard/54534.html.

[5] 戴秋华，何青. 浅析两种安全运维管理模式[J]. 计算机安全，2007(6)：5558.

[6] 郝晓玲，胡克瑾. 信息安全评估方法与应用研究[J]. 情报杂志，2003(2)：5455.

[7] 于波，涂敏. 计算机取证分析[J]. 计算机与现代化，2006(12)：46，9.

[8] 王培. 中国信息安全市场现状与未来展望［J］. 中国信息安全，2015(3)：7981.

[9] 张晨. 万物互联时代的威胁情报分析实施的探讨[J]. 电信网技术，2017，4(4)：5657.

[10] 汪刚. 信息安全与管理专业人才培养研究与实践[J]. 教育教学论坛，2018(28)：149150.

张镇

资深讲师，启明星辰网络空间安全学院副院长，主要研究方向为网络与信息安全、信息安全人才培养。

Zhangzhen@venustech.com.cn

贺新朋

硕士，主要研究方向为信息安全。

文章转自《信息安全研究》2018年第12期。

声明：本文来自关键信息基础设施技术创新联盟，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。