文 | 北京长亭科技有限公司 杨坤 余慧英 袁胜
习近平总书记指出,“网络空间的竞争,归根结底是人才竞争”。面对当前日益严峻的网络空间安全态势,高水平高质量的专业网络安全人才队伍,将是捍卫我国网络空间安全的中坚力量。其中,一线的网络安全攻防实战人才尤为稀缺。正如习近平总书记所说,“网络安全的本质在对抗,对抗的本质在攻防两端能力较量”。有效的网络安全防御需要高水平实战攻防人才的关键支撑,加快培养专业的网络安全攻防人才队伍,已刻不容缓。
一、严峻的漏洞态势催生实战人才培养需求
漏洞研究与风险消控能力,是实战攻防能力建设中重要的一环。在数字化、智能化日益普及的今天,漏洞已经成为网络安全的核心问题之一。它们是网络攻击者入侵系统的主要突破口。无论是重大的“零日漏洞”,还是广泛被利用的“在野漏洞”,都可能导致数据泄露、系统瘫痪等严重后果,不仅威胁着企事业单位的业务运转,甚至对国家、社会和经济产生深远影响。同时,漏洞更是网络空间安全的重要战略资源,是实战攻防“军火库”的主要来源。
根据工业和信息化部电子第五研究所发布的《2024 上半年网络安全漏洞态势报告》,2024 年上半年,全球共计披露漏洞数量达到 20548 个,同比增长 46.16%。不仅漏洞数量在持续增长,高危漏洞占比不断增加,漏洞利用难度也在持续降低。除了传统的系统和应用漏洞,云计算、物联网、车联网、人工智能等新兴技术领域的漏洞也层出不穷。这些都增加了漏洞管理和防御的难度,漏洞所带来的网络安全挑战日益严峻。
完善有效的漏洞管理可以及时发现和修复潜在的安全隐患,提高信息系统的安全防护能力,保障数据安全和业务连续性,提升国家网络安全的整体防御水平。人才是漏洞管理的核心要素,为此,需要培养、建设一支高水平的实战攻防人才队伍,以应对漏洞所带来的安全挑战。
漏洞的挖掘、管理、应急响应是一项高度技术性的工作,要求从业者具备多方面的能力和素质,例如 Web 漏洞利用与挖掘、系统层漏洞利用与挖掘等技术能力,各种安全工具的使用能力,编程开发能力、渗透测试能力等。这些能力需要在日常的实战攻防中积累和提升,加强网络安全攻防实战人才的培养已成为行业趋势。
长亭科技自成立以来,坚持网络安全攻防两端的能力建设,并在国内外网络安全竞赛以及国家和各地区各行业的实网攻防演练中得到了实际验证,被评为“最了解攻击的防守队伍”。基于多年在网络安全攻防一线,特别是在关键信息基础设施单位安全服务的实践,我们对攻防人才的培养已经形成了“内外兼修”的完整体系和方法。
二、以战育人,以学促战,建设规模化攻防能力
提及网络安全攻防人才时,人们首先想到的可能是纵横于网络空间的“极客”。然而,真正的“超级高手”毕竟是少数,面对当前无处不在的网络空间以及层出不穷的安全风险,再厉害的高手也奈何力有所不逮。对于小规模的安全团队或许可以依赖个别明星级人物维持其能力,但对于拥有数百甚至上千人规模的企业而言,如何构建并保持一致高标准的服务能力成为一个难题。对此,我们认为实战攻防能力建设是人员能力、自动化平台能力和数据情报能力的有效聚合,并从以下四个方面进行了探索实践。
一是多类型人才能力明确定位,搭建立体攻防技术体系。术业有专攻,实战攻防包括了多个专业技术领域。根据在实际安全服务中反馈的需求信息,我们将攻防人员分为安全研究人才、安全研发人才、安全服务人才等三种类型。安全研究人才负责漏洞的挖掘与利用、防护对抗技术等方面的深入研究,将研究的成果赋能到攻防知识库和攻防平台,做好知识库的建设和数据情报的维护,为一线人员提供“弹药”。安全研发人才负责攻防工具平台的研发与完善,提供可靠高效的自动化攻防平台、技能实训平台和知识运营平台。安全服务人才直接面向一线用户,依托自动化攻防平台和知识库,在实战场景开展渗透测试、风险发现、评估验证、应急响应、托管运营等安全服务,并将需要改进完善的信息反馈给平台和知识库。通过精细分工,正向循环,打磨并建设符合实战场景需求的攻防人才队伍,最终形成规模化、自动化、统一化的高水平安全服务能力。
二是对攻防人才进行分类画像,实施精细培养。安全研究人才是攻防体系中最基础、最核心的部分,培养时需要强化其计算机基础能力,以及广度和深度兼具的研究能力。例如,软硬件、应用、内核和通信协议的全方位分析能力,聚焦行业实际需求,产出高价值的漏洞研究成果。安全研发人才则首要培养其研发能力,目标是研发为先、安全兼修、效果导向,专注打造好用且专业的工具平台。安全服务人员则需培养其守正为先、勤奋踏实、善学善思的精神,熟练掌握攻防知识和专业技能,对突发情况做到应对自如。
三是打造以战育人、以学促战的人才培养体系。有了明确的定位和人才团队,还需要持续培养、提升不同人才的专业能力。善战之师是在一线实战中淬炼出来的。对内,建设了实训平台,将攻防知识和技能,通过丰富的课程、实操和靶场练习,不断提升人员的综合能力,做到以学促战。对外,通过攻防演练、安全竞赛、安全服务等实战场景,以战练兵、以战育人,持续检验和提升攻防团队在实际场景的攻防能力和整体协同能力。
四是合规意识教育,将保密意识、国家安全牢记心中,做到“人人有责、人人尽责”。网络安全不仅是技术问题,更是一项涉及国家安全、社会稳定和公民个人权益的重大议题。服务的客户越多,肩负的国家安全责任就更重大。国家安全已经贯穿于各项业务的方方面面,内部员工的安全意识是国家安全防线的第一道屏障。长亭科技以“4·15”国家安全教育日、“国家网络安全宣传周”等活动为契机,通过组织线上线下全方位的意识宣传教育、全员考试、讲座培训等方式,让全体员工了解总体国家安全观理念,熟悉国家安全、网络安全、保密、反间谍等相关法律法规,清楚国家安全与自身工作的内在联系,知悉工作中可能出现的安全风险和应对方法,切实增强全体员工的国家安全以及合规意识。同时,在合规管理方面,我们制定了完善的安全行为准则和应急机制,最终实现在全公司建立安全思维、合规思维、法治思维,让每一个员工在日常工作中都能严守法律法规和工作纪律,具备良好的职业道德,合法合规开展工作。
在这些措施的努力下,我们形成了多技术领域的先进漏洞研究能力,取得了显著的成果。一方面,在日常工作和攻防演练中,持续发现关键和高危漏洞,不仅输出多类型的国产化软硬件漏洞成果,协助国家关键信息基础设施单位消除安全风险,同时持续强化长亭攻防知识库的能力底座,为更专业、可靠的安全服务提供支撑。另一方面,以强烈的责任担当和积极的履责实践,对国家漏洞管理机构实施高质量技术支持,发现并报告了多项高危漏洞,为国家信息安全保障事业做出切实贡献。例如,我们获得了中国信息安全国家漏洞库(CNNVD)的“优秀技术支撑单位”“漏洞奖励一级贡献奖”“重大漏洞消控优秀贡献奖”等多项荣誉。
三、助力产业,多途径、多维度的实战化人才培养体系
对企业如何助力网安产业人才培养,我国的《网络安全法》第二十条给出了明确的方向,“国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。”
当前,我国严重缺乏实战攻防人才。基于自身的网络安全攻防和实践对抗经验,我们探索并实践多途径、多维度的实战化人才培养体系,助力我国重要行业和关键信息基础设施单位培养产业急需的实用型网络安全攻防人才,赋能我国整体网络安全攻防能力的建设。
一是梳理网络安全实战攻防人才能力知识树,通过针对性的人才培养体系,帮助重要行业及关基单位提升安全队伍的实战能力。参考国家已经发布的《网络安全产业人才岗位能力要求》《信息安全技术 网络安全服务能力要求》(GB/T32914-2023)和《信息安全技术 网络安全从业人员能力基本要求》(GB/T 42446-2023)等标准,结合《网络空间安全人才框架》(NIST SP800-181),以及我们多年在一线实战的知识经验得出的《网络安全攻防能力成熟度评估模型》,针对不同层次的人才需求,推出了“珂兰寺”“安道场”“小灶课”等专业人才培训服务和对应的人才评估体系,从新入职人员,到长线攻防人才培养,再到特定目标的定制化强化培训,全面帮助企业进行网络安全实战攻防人才梯队建设。培训聚焦实战攻防,通过持续练习、模拟情景演练、实网演练,加强学员的实战技能应用能力和对实际工作目标的胜任能力,为国家和行业培养面向网络安全实战攻防需求的“精兵强将”。
二是基于自身丰富的竞赛经验,协助组织网络安全竞赛和攻防演练,为用人单位进一步选拔、提升网络安全队伍的实战攻防能力。竞赛和演练可以充分检验评估安全团队在实际攻防场景中的技能水平,提升人才的实战技能和协作能力。我们支撑了“数字中国”“数信杯”等诸多国家级赛事,并帮助金融、通信、能源等大型行业举办了数十场安全竞赛和攻防演练,帮助用人单位有效提升安全团队的实战攻防技能。在赛事的创新上,注重紧跟技术发展趋势和行业实际需求。例如,连续举办六届“Real World CTF 国际网络安全大赛”,主打在模拟真实场景的数字世界竞技切磋、发现和解决实际问题。近期举办的攻防赛事首次引入问津(ChaitinAI)安全大模型在赛事中承担“专家角色”,不仅帮助选手答疑解惑,更是贴近未来的安全运营智能化发展趋势,让选手熟悉如何在实际工作中充分利用安全大模型“提质增效”的能力,达到“拓宽人才的工作半径”,实现更高效、更专业的安全运营。
三是加强产学合作与企业共建,按需定向培养专业实战攻防人才。随着我国“网络空间安全”一级学科的设立和一流网络安全学院建设示范项目的深入开展,高校的网络安全人才培养工作效果显著,但网络安全技术发展日新月异,高校在实践体系方面的建设与实际需求存在一定的滞后性。同时,企事业单位安全团队的实战攻防能力也需要与时俱进。对此,我们和中国海洋大学、上海电力大学等院校共同建设人才联合培养基地,同时和金融、通信等行业共同建立了联合安全实验室,将自身前沿的安全攻防实战经验,通过分门别类的实践训练,达到理论与实践的有效结合,提升院校培养的人才质量,提升企业安全团队的综合素质和实战攻防能力,以更好地应对当前新型安全风险的挑战。
四、结 语
在信息社会日益数字化、智能化的今天,随着网络攻击日益频繁和复杂,网络安全正在加速走向实战化,对网络安全服务的需求也更加多样和专业,亟需更多优秀的实战攻防人才。高素质的网络安全漏洞人才乃至实战攻防人才的培养是一个长期且系统的工程,需要对不同安全能力进行深度应用和有机整合。未来,政府、高校、企业和社会各界应进一步协同合作,共同努力,通过多层次、多渠道的培养策略,有效提升网络安全实战攻防人才的数量和质量,为数字时代国家安全、社会稳定和经济发展提供强有力的人才支撑。
(本文刊登于《中国信息安全》杂志2024年第11期)
