网络安全呼唤更多“白帽黑客”
高校每年培养不足万人行业缺口竟达四五十万
每年高校培养的网络安全人才不足万人,与行业四五十万的人才需求相差甚远。昨日,在南京举办的“白帽子”网络安全技术论坛,传递出这一信息。业内人士、高校专家均表示,“互联网+”时代,网络安全人才缺口亟需补上。
“白帽子”,又称“白帽子黑客”,指维护网络安全、不做坏事的黑客。由中国网络空间安全协会竞评演练工作组主办的全国网络安全技术对抗联赛(XCTF联赛)在南京进行总决赛后,为黑客、准黑客们举办了一场研讨网络安全技术的“白帽子”论坛。
论坛上,XCTF联赛组委会副主任委员、清华大学副研究员诸葛建伟告诉记者,网络安全从业人员,以“信息安全”专业毕业生为主,也有其他理工类专业的。国内开设“信息安全”专业的高校仅100所左右,确实培养人才有限。阿里安全部技术副总裁杜跃进直截了当地表示,网络安全人员培养跟不上行业需求,有的高校毕业生,企业觉得不太好用。为何出现这种“落差”?他分析,客观上网络信息技术发展非常快,今天要解决的安全问题早已不是防护一个硬盘、一台计算机,而是处于互联网中的整个业务系统。同时,网络安全是有极强对抗性的工作——攻击者会寻找一切薄弱点来达到自己的目的。因此,这个职业对从业者要求非常高。另外,网络安全人才有科班培养、社会培养两条线。科班培养,存在教师、教材、教学资源和环境如何跟上网络技术发展的问题。“人人都说未来安全在于大数据,但大数据在哪里?高校里有吗?有条件计算吗?令人遗憾的是,太多真实的网络安全场景,高校里没有机会去接触。”至于社会培养,圈子里的确有一些非科班出身的牛人,但总体来说,非科班的人成长起来非常困难。
对网络安全人才需求较大的,主要是专业安全企业、其他互联网企业及政府机关等。腾讯公司安全云部负责人李旭阳透露,公司内部从事网络安全的有数千人,除了公司层面的安全队伍,QQ、微信等各个业务条线也都有专门的安全部门。简单说,涉及社交,就要防用户账号被盗、垃圾信息等,涉及支付,就要防盗刷。“每天,我们有上百亿的网址查询数据、千万次用户举报数据、上亿次通讯行为数据。”他说,“网络黑色产业链上的不法分子,一般会通过短信、邮件、微博、搜索引擎、QQ、微信等,把他们做的东西散播出去,诱人上当。每个环节有什么特点,我们都要分别分析,还要把发现的诈骗情况告知警方。”
李旭阳打了个比方,网民是茫茫草原上的羊,网络安全人员是牧羊犬,让羊群免遭狼口。然而,随着人们生活日渐网络化、智能化,以及“牧羊犬”缺乏,网络安全形势也渐趋严峻。网络安全业内将利用受害者的信任、好奇心和贪婪等心理弱点,以冒充熟人或博取同情等社会工程学方式进行网络诈骗的行为,称为“社工诈骗”。“社工诈骗”有的广撒网,也有的不择手段获取受害者个人信息,然后进行定点诈骗。去年,全国“社工诈骗”给网民造成的损失约150亿元。可见,尽快补上网络安全人才缺口,对保护网民的合法利益,对维护国家网络安全极其重要。
记者了解到,为了发现更多网络安全人才、激发年轻人钻研网络安全技术的兴趣,业内、高校近年来主打“以赛代练”。2011年起,国际主流的网络安全赛制——CTF赛制进入国内。此后,一些互联网企业先后办起规模不等的CTF比赛。以高校学生为主的参赛团队,也以在比赛中打出好积分、进而参加国际级的DEFCON CTF比赛为荣。去年11月开始的XCTF联赛,吸引了3847队次、超过1万人次参赛,成为国内规模最大的CTF赛事。在XCTF联赛获得个人优胜奖的东南大学数学专业学生印明亮,告诉记者,他对网络安全十分感兴趣,希望以后能从事网络安全工作。
国家网络安全指导部门十分支持高校、企业通过比赛发掘人才,培养具备攻防对抗实战能力的技术高手。据透露,赞助XCTF联赛的腾讯公司,已经“圈定”赛中90%的优秀选手。比赛结束后,他们将获得腾讯多条业务线安全部门的实习及工作机会。
在高校,网络安全人才培养也会大步前进。诸葛建伟介绍了一个利好消息,不久前国务院学位委员会、教育部决定在“工学”门类下增设“网络空间安全”一级学科,这相当于原有“信息安全”专业的“升级版”。在他看来,“网络空间安全”一级学科的出现,充分体现了国家对网络安全的重视程度,对网络安全人才的培养会产生较大的推动力。