从大学辍学生,到生物学高材生,从出租车司机,到妇科医生。有着各种身份和不同故事的人正在加入到这个行业里来,或进入企业成为一名信息安全工作者,或以提交漏洞为生成为一名自由职业者,或进入黑色产业当上一个名符其实的“黑”客。
黑客这个原本褒贬之意并不明显的中性词,现在已具备了多重含义。从最初的计算机技术爱好者,到网络犯罪者,再到信息安全工作者。不过无论怎样,兴趣都是他们最好的老师。
“虽然自己在这个方面的原始天赋并不好,好在一直有兴趣并不断在学习。我更多时候是把寻找漏洞当作自己的一项娱乐活动。”--Gainover(乌云核心白帽)
“别人去盖一栋楼很难,但盖起来以后让你去搞破坏,而且是合法的,这就很有意思了。这个行业本身,如果是兴趣使然的话你就可以做得很好”--余弦(知道创宇技术副总)
有一种捷径,能够让你不用通过正常的渠道就能够达到一个目的,这个感觉还是比较舒服的。对我来说兴趣是第一位,它一直驱动着我--冷风(天融信阿尔法实验研究员)
……
光有兴趣是不够的。许多人一定记得,前几年熊猫烧香病毒的肆虐。该病毒作者李俊当年被某企业在其安全报告中称之为“毒王”,各种媒体络绎不绝地找他采访报道。但贵为“毒王”的他出狱之后,想在信息安全行业找一份稳定的工作都举步维艰,难有发展。最终竟重回黑产,于去年6月再度入狱。
是毒王的技术名不符其实?
技术当然是重要的一面。金山的安全工程师曾委婉的表示,李俊在反病毒层面并不高深,尤其是对新的安全发展方向和未来趋势方面更需要提高。
乌云漏洞提交平台运营负责人杨蔚(网名301)向安全牛表示,身边有许许多多对网络安全感兴趣的80后、90后,包括自己都曾经历过令人绝望的求职经历。究其原因,除了正规企业的工作经验、系统的基础理论知识和大学以上的文凭程度以外,用人单位的招聘条件设置是否合理,应聘者研究领域对口与否等,都是设在民间信息安全爱好者面前的重重障碍。大家要么放弃这条道路,要么纯做业余爱好,许多人被生活压力所迫,从而进入黑产。
还有大批的信息安全相关专业的在校生,他们在人才市场上的表现也一样不尽如人意。如,许多企业的招聘条件直接注明要求工作经验,或者在某安全细分领域有一定的成果和实际操作水平,但这些却都是国内学生们的短板。
学校里的信息安全专业学生
许多业内人士已经认识到,我国高校的信息安全专业存在着“重课程设置,轻教学内容,重概念方法、轻动手实践”,以及课程内容严重滞后等问题。一句话,大专院校在信息安全领域的人才培养方面,与市场的实际需求相去甚远。
大部分毕业生或民间黑客之所以无法通过企业面试,或即使通过企业面试也无法保持长期稳定的发展,并不仅仅因为文凭不够或实践经验不够等问题。
京东安全管理部经理朱磊认为,学生除了工作经验不足以外,不了解企业的业务需求,动手能力较差,并对解决安全问题的判断存在一定的认知偏差。而民间黑客过于自由化、自我化,对常规工作和管理要求感到厌烦,没有团队精神和职业素养,缺乏长远的职业发展眼光。
之所以说高手在民间,除了少数绝顶高手不屑优厚稳定的收入,独来独往以外,更多的是不得其门而入的民间黑客、脚本小子。他们基础不扎实,技术有缺陷,眼光短浅,定位不准确,说粗暴点儿,不符合用人单位的要求,因为你不是高手。
安全人才的需求有多火爆?
在近日于上海召开的首届信息安全“人才相亲会”上,中国银行、中国电信、太平洋保险等多家企业争相伸出概览枝。许多企业都公开表示,学校、学历、奖状、证书都不重要,企业更看中人才的技能,只要符合要求当场就能拍板。
而包括百度、腾讯、阿里巴巴、360、京东、小米等知名互联网企业和科技公司无一不存在信息安全人才的巨大缺口,急着招兵买马,力图建设一支强大的安全团队。
一方面是无数的信息安全爱好者无法通过求职门槛,另一方面是机构和企业急缺安全人才。形成了一个求职者抱怨找不到工作,企业抱怨招不到人的矛盾现实。
在上个月底的极棒破解大赛上,原网络安全应急技术国家工程实验室主任杜跃进在接受安全牛采访时表示,将于近期召开的全国网络安全技术对抗联赛(XCTF)的主要目的之一,就是要通过比赛发现人才,尤其是特殊人才,不看文凭、不看出身。另外通过这些活动,来建立更广泛的高校与企业之间的平台合作,为学生与企业提供更好的职业衔接。
面对求职难与人才短缺的两难问题,腾讯玄武安全实验室负责人于旸则表示,这个问题,在很大程度上需要依靠市场自己解决,也许会等数年的时间。但我们可以做一些工作,促进这个问题更好或更快的解决。
从黑客、学生到信息安全人才
谷安天下总经理李华表示,近年来在安全人才培训方面同样感受到了互联网安全人才的极大短缺。一方面很多机构要我们推荐人才,另一方面现有的安全人员能力和经验上并不完全符合互联网安全的特点。作为国内领先的安全人才培训机构,有责任去帮助学员去弥补这方面的能力差距,希望可以为互联网安全人才的培养做点事情。
安全牛认为,要解决互联网安全人才的短缺问题,除了政府层面的教育政策引导以外,求职者本人还要掌握必备的攻防技能,了解和熟悉用人单位的业务特点,要站在甲方的角度熟悉互联网安全运行体系、了解安全工程师的工作任务和职责、掌握安全事件处理的方法。甚至还必须要有编程的技能,能够快速开发一些防护和响应工具和软件。要具备这些技能和知识,除了个人努力以外,必需通过培训和实战去弥补。
据悉,目前谷安正在联合一线互联网公司的安全专家共同设计能力培养课程,希望通过几个月的实战训练,帮助一些基础不错的学员快速提升能力等。这个课程体系设计已经基本完成,并将于近期开始报名。
一入侯门深似海
另一个值得注意的现象是安全人才的退化。乌云联合创始人孟卓曾表示,白帽黑客进入企业后,其研究对象主要为公司内部需求服务,核心技术或价值被内部消化。更甚者有的公司为了战略性扼制对手而去招聘精英,再加上安全技术目前只是众多互联网支撑技术中的一个方面,企业对技术的重视程度也往往会限制安全精英的个人发展。
笔者也曾经在事业单位网络安全部门工作过很长一段时间,亲眼见证过一些名校出身的理论学霸、技术高超的杰出白帽、工作经验与业务水平过硬的中坚力量,自从进入事业单位、国家机关或大公司、大企业之后,满足于轻松舒适的工作环境和稳定的生活及收入,加上受到个人事业上升空间的限制,逐渐地失去了提高个人安全技术的兴趣和动力。这无论对于个人还是安全行业的发展,还是整个国家社会科学技术水平的进步,无疑都是重大的损失。
希望更多的黑客早日成为真正的信息安全人才,希望更多的人才能够成为精英,因为精英才代表着我们整个社会安全行业的发展和未来!
---
要闻、干货、原创、专业
关注“信息安全知识”
我们是安全牛!