安全人才厚度严重不足?看腾讯人才培养最佳实践
作者:星期四, 七月 26, 20180

网络安全人才缺口大,要重视人才的培养,是全球整个网络安全行业近些年都在喊的“口号”。那么,网络安全人才对企业到底有多重要?或者,我们先反过来看这个问题:如果安全人才匮乏,企业会面临怎样的境况?

安全人才匮乏可直接导致更多安全事件发生

近期,企业战略集团(ESG)和信息系统安全协会(ISSA)最新的一项调研表明,对非技术人员的安全培训匮乏、企业网络安全团队人手不足、公司对安全的漠视,是导致安全事件发生的三大重要原因。参与调查的343位网络安全从业者,有近22%的人认为,公司现有网络安全团队的规模,无法跟上公司整体员工数量的激增。并且在事件响应方面,企业不得已要一定程度上牺牲计划和安全策略的部署演练,这直接导致了更多安全事件的发生。

威胁检测、事件响应是人员密集型的过程,且需要具备技术和实践经验的安全人才支撑,这部分人员的严重短缺,不难想见,会对公司未来的安全态势造成深远影响。尤其是在《通用数据保护条例》(GDPR)、《网络安全等级保护条例(征求意见稿)》等重大政府驱动的强制合规要求正式发布、实施的今天,无论是享受着数字化转型所带来丰厚回报的,还是在数字化转型这条道路上苦苦摸索的企业,任何一家,无一例外,都需要为安全事件的发生提前做好打算。诸如Equifax、雅虎、脸书等前车之鉴告诉我们,无论是合规性惩罚、或是失去客户的公司的信任,打击可能都会是“毁灭性的”

如何减少安全事件的发生?这个问题的答案肯定是非常复杂的,甚至至今仍在不断变化和补充;但是,高校、第三方培训机构、企业能够为整个行业选拔和培养更多不同层级的安全人才,让企业在选拔时有更多的选择空间,能够以合理的成本,组建与公司自身规模和业务现状相匹配的安全团队,这无疑是标准答案的部分内容。

落回中国,在网络强国、智能制造2025的政策大背景下,无论是设有相关学科,以人才培养为核心使命的高校,还是安全厂商的内部用人的招聘需求,第三方培训机构的目标客户,亦或是急于建设或补充安全团队的甲方安全团队负责人(有些企业可能到了CIO或CISO的高度),他们对“安全人才培养”这一话题的重视,不言而喻。

但是,重视之于,中国安全人才培养现状如何?以腾讯,这一兼具甲、乙方双重身份(各业务部门都对安全有强烈需求,同时也对外提供安全服务),同时坐拥7大安全联合实验室(拥有大量业内最顶尖安全技术人才储备)的互联网企业为例,腾讯安全在人才培养上有怎样的实践?

人才厚度严重不足的现状 需要多维度的校企合作来弥补

上月末,在北京航天航空大学,腾讯与北航就网络安全人才培养正式达成战略合作,通过共建网络生态安全联合实验室、设立奖学金、提供学生实习和教师企业挂职锻炼的机会等方式,进一步布局网络安全人才培养生态,落地产学研结合(校企合作)的网络安全人才培养和选拔模式。

对于中国网络安全人才培养现状,腾讯高级副总裁丁珂在会上表示,以比赛为核心的安全人才培养模式是有瓶颈的。现在整个行业面临的最大挑战,是工程师级的安全人才严重不足。

安全人才的厚度不足,已成为整个行业的人才现状。(安全)不应是贵族产业,而要成为和各行各业的发展并生的基础性产业。

对于此次和北航的合作,丁珂还表示,此次以共建网络生态安全联合实验室为核心的合作,腾讯看中的不只是北航网络空间安全学院在网络安全领域的的高精尖人才和技术,还希望和高校共同开发课程,推动更偏向实操类基础安全人才的培养,“以更创新的方式帮助整个行业度过平台期”。

北航网络空间安全学院刘建伟院长则表示,作为入围全国首批一流网络空间安全学院建设示范项目的7所高校之一,相对于企业,北航等高校对人才培养优势在于创新性,以及面向学生未来的发展潜力系统性的培养,但在许多实践环节,也确实有和企业一线需求有一定程度的脱节。校企合作的模式可以达到很好的优势互补,人才不仅要在创新的氛围中培养,同时学生和老师也要更接地气——和企业安全攻防的真实需求结合。

“检验高校安全人才的培养是否合格,不只是看他发表了多少篇论文,最终还要看是否能真正打通高校和企业间的人才输送通道,即毕业后更短时间从学生身份切换到一个真正的(安全)从业者。”

联合实验室揭牌

腾讯安全人才培养最佳实践

腾讯玄武实验室负责人TK(于旸)在签约现场,还分享了腾讯这几年在安全人才培养方面的实践。

勒索攻击、数据窃取、网络诈骗等安全事件带给企业的损失,早已不局限在商业层面。全球企业近两年在这一点上几乎达成共识。如果这个威胁能切实延伸到国家的关键基础设施,破坏性后果更是不堪设想。“得到会武术的好人”,是企业和国家共同的需求,也是共同面临的挑战。

TK认为,目前国内面临安全人才困境:人才缺口大、缺乏人才培养和认证体系、能力和意识都有待全面提升;企业和高校的合作,一方面可以让相对滞后的学科建设(内容)紧跟日新月异的一线攻防需求,二是企业可以利用高校天然的人才“质量门槛”,通过共建实验室、提供实习机会等方式,在一定程度上为企业定向输送满足企业最紧迫的用人需求,减少企业招聘和就职后的培训成本。

“产学研合作,目前看来可能是一个较为有效的方法,特别是在安全领域,我们(腾讯)认为这点尤其重要。”

人才培养包括发现、选拔、培养、成果转化等步骤,需要有企业、高校和社会的共同参与。今年5月末,定位于内部安全人才体系培养、校企和生态赋能合作体系的腾讯安全学院正式成立,“百人计划”(从高校理论教育,到企业技能培养,再到国际赛事锻炼的人才培养闭环)也正式发布。围绕“百人计划”,以TCTF、GeekPwn(极棒)、强网杯等比赛为核心,结合腾讯内部各安全联合实验室的科研课题,腾讯的人才培养体系框架已经初见雏形。

在校企合作实践方面,腾讯已经和广州大学、西安电子科技大学、武汉学院以及此次的北京航空航天大学展开了合作,内容涉及科研项目、技术交流、安全赛事合作、实践资源优化、企业/高校导师互聘等。

据了解,此次腾讯将聘请北航教师作为公司的外聘专家或顾问,协助腾讯解决相关安全产品技术问题;同时,北航也将聘请腾讯的相关研究人员、安全专家,作为研究生兼职导师,深入研究生培养工作。同时,北航也将邀请腾讯全程参与课程体系建设和改革,积极开设相关实践课程,不定期开设技术讲座。双方还将联合设立“腾讯奖学金”,为优秀学生提供学业奖励,为优秀教师提供教学奖励。合作期间,北航安全相关专业的优秀本科生和研究生,也将获得到腾讯实习的机会。

北航聘请腾讯五位安全专家为网络空间安全学院客座教授

学校教的是内功 企业培训的是招数

对于此次北航和腾讯围绕“安全人才培养”展开的深度合作,TK认为,这是一件双赢的事情。

“企业招聘是有成本的;老师、学生到企业一线挂职锻炼和实习的机会,对于他们(来讲)也是非常难得的。安全非常讲生态,安全人才培养也是。校企合作就是这个生态中至关重要的一个桥梁。”

企业需要不同层次的安全人才。理论研究型的,具有很强实践能力的,都需要。在学校系统性的学习培养,这点从未来发展潜力角度来看至关重要,像是武侠小说中的内功;但学校的实验环境最多只能算仿真,代替不了真刀真枪的企业一线的真实安全攻防经验,这个才是你行走江湖行时致胜的招数。打通企业和高校,把企业的需求拿到学校,企业是学校师生的实习甚至就业的基地,真正实现人才的输送对接,这无论对企业还是高校都是双赢的。

跳出此次腾讯和北航的合作,整个信息安全行业的人才缺口庞大早已是不争的事实,尤其是具有实践能力的安全人才,在网络安全这个交叉行业一直严重不足。但是社会各界,从政府相关部门,到高校,再到各行各业的企业高层,甚至普通群众都已经愈加重视。这一点的改善效果,现在需要等待时间来证明。但有个不能忽略的问题是,即使企业招到了合适的人才,但如何留住,如提供合适的激励,并进一步帮助其成长,也同样重要,并值得我们从现在就开始思考。

相关阅读

网络安全人才培养最佳实践:打造应届毕业生的10万年薪

信息安全人才培养颠覆模式:创造小白变大牛的神话

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章