• 360企业安全集团网络安全部总经理  聂君

前言:笔者作为国内网络安全从业者之一,多年来深耕金融行业网络安全领域,本文从自身视角和经历出发,阐述从业以来观察到的关于国内金融行业网络安全人才培养的现状、存在的问题,以及对未来这一领域的发展提出可行性建议。

一、金融行业网络安全环境和从业趋势变化

(一)金融行业信息安全环境变化

在2010年以前,从事金融行业信息安全岗位的思路普遍还处于监管合规+设备部署的阶段。2010年后,由于网上银行、移动金融的快速发展,以及国内互联网安全环境的进一步恶化,金融行业的安全需求开始发生深刻变化,需要有效解决实际安全问题,对安全攻防、安全运营的需求逐渐增多。安全环境变化的趋势有以下几点:

1. 监管从合规为主,技查为辅,转向合规、技查双轨,不断提升技查比重,以技查促合规落地。银监会、证监会聘请专业的第三方安全公司对商业银行、证券基金期货公司的互联网系统进行远程渗透,甚至直接渗透进办公网和交易网,这将是未来监管科技“新常态”。

2. 安全防护包括应用安全、内网安全、数据安全,从企业安全建设关注度和投入度来看,这三者分别是从高到低。这与攻击者从事应用安全的门槛相对内网安全、数据安全低很多有关,攻击门槛低,攻击从业者多,发现的问题也多,防守方投入也多。

3. 企业安全建设的安全岗位范围从安全设备管理向安全有效性、安全运营扩展。这点体现在越来越多的企业招聘企业安全负责人、安全岗位人员时,都强调有实际安全攻防对抗经验,安全事件分析经验,能够清楚阐述安全价值实现思路。

4. 业务和信息系统不断云化,突破传统网络安全防护边界,传统以IP地址和端口为权限管控转向面向身份ID的管控。

5. 安全防护向自动化、智能化迈进,安全重心向前端和业务靠近。金融行业的网络安全建设不断向互联网行业头部企业学习和靠近。

6. 越来越多的金融企业开始真正重视安全,内部安全团队规模增长率高于IT人员增长率,安全团队定位从小组转向公司二级部门,少数企业安全团队负责人职级职位成为一级部门副总。

总体上这些变化更多的是网络安全形势日益严峻情况下的一种被动应对,缺乏洞察变化后的主动调整和跟进,反映在金融企业内部安全建设上,头痛医头脚痛医脚,整体网络安全组织架构和职责难以适应外部环境变化。网络安全团队和人员,不论是理念意识、知识技能,还是实战经验,和实际需求还存在很大差距,导致近五年网络安全中高端人才供不应求。

(二)金融行业网络安全从业趋势变化

在前述网络安全环境变化趋势下,金融行业网络安全从业趋势变化体现在以下几点:

1. 人的因素还是网络安全工作中最重要的因素。一位靠谱的安全团队成员,远比一两款安全产品、安全设备重要。至少未来五到十年内,对网络安全从业者的需求还是相当大,缺口不仅体现在实战经验丰富,综合能力强的中高端安全岗位,更多还体现在懂企业安全建设实践,能解决某些细分安全领域实际问题的普通安全岗位。

2. 随着网络安全对IT,对企业的重要性不断提升,以及行业监管要求的提升,未来五到十年内,必然会出现重视安全的金融企业设置首席安全官(CSO)岗位。

3. “全栈工程师”和聚焦于某个特定领域的安全专家,都会有不错的发展前景。能够采用各种方式,推动企业安全防护能力不断提升的从业人员将获得更大发展。安全从业获得回报和解决实际问题产生的价值,与该类问题所导致的企业付出的代价相关。

4. 2018年4月13日,网信办和证监会联合印发了《关于推动资本市场服务网络强国建设的指导意见》的通知,支持符合条件的网信企业利用多层次资本市场做大做强。网络安全公司重新站上了创业的风口。不同的是,五年前更多的是乙方安全企业人员出来创业,而近年的趋势是很多甲方企业安全人员出来成立创业公司或加盟创业公司,相信未来将会看到更多此类情景。

二、金融行业网络安全人才培养面临的问题

在网络安全产业再一次站上风口,产业规模不断扩大,市值持续稳定拉升的行业环境下,对专业人才的需求必然呈现指数级增长。教育部信息安全专业教学指导委员会秘书长封化民先生曾指出,截至2014年,我国重要行业信息系统和信息基础设施需要各类网络安全人才70余万人,而六年之后到2020年,这一数字将达140万人。毫无疑问,巨大的人才缺口如今已经成为制约我国信息安全产业发展的关键因素之一。以下,笔者将从金融行业网络安全人才的“选、育、用、留”四个方面,具体阐述人才缺口产生的原因及所面临的困境。

(一)人才的选拔(“选”)

1. 大部分企业机构目前尚未能构建和提供专业化的培训体系及渠道,而高校的课程设计往往更注重理论,学员获得的实操机会较少。同时,网络安全行业中技术更迭十分频繁,学校的理论课程往往与实际出现脱节,学员完成学业后进入企业则感觉所学非所用,难以将理论与实践较好地结合。

2. 近年明显出现的一个问题是大学所学专业为网络安全的人员,在企业实践中业绩表现往往不如自学成才的所谓野路子的安全人员。由于存在较大的价值成就感以及收益差距,从事攻击的岗位相比从事安全防护的岗位更快也更容易出业绩,导致偏攻击型人才往往多于偏安全防护型人才。造成的后果是懂攻不懂防,搞建设的不懂攻击者的手法和攻击路径,彼此形成了围城效应。

3. 企业网络安全建设人员除了要懂得网络安全的专业知识,同时还要能深入理解企业的业务需求,与业务部门协作,才能解决具体问题,使安全工作产生的价值,能够被领导和同事认可。然而能兼顾技术与业务,又善于沟通的网络安全人才往往是凤毛麟角。业内有一个共识是三分安全,七分管理,其实很多情况下企业里50%以上的问题不是安全技术的问题,是如何沟通,达成一致,共同推进的问题。

4. 网络安全专业在国内成立时间较短,每年毕业生人数有限,优秀的人才更是少之又少。这直接导致了人才市场上供需关系失衡,供不应求就会给企业带来高昂的雇佣成本,而且网络安全涉及的面广,企业很难维护一整套安全人才队伍。

5. 国内网络安全认证体系不健全,持续认证和教育缺失。目前也没有较为完善综合的人才能力评价标准。人才选拔方式良莠不齐,有些看是否获得专业证书,有些看已经关闭的乌云网站的rank值,这些方式既不全面也不系统。

6. 招聘渠道狭窄,人才来源渠道单一,大多依靠熟人介绍及业内自媒体发文,缺乏可靠稳定的人才输送机制。

(二)人才的培训(“育”和“用”)

1. 企业内部从事网络安全工作的老员工技能更新跟不上行业技术的迅猛发展。安全知识和技能更新太快,老员工去学习肯定不现实。

2. 缺乏网络安全技能实验和训练环境(类似于靶场),虽然少数商业化公司提供技能培训课程,但仍然不够全面和系统。而且企业在网络安全人才培养方面,如实战环境搭建,也很难申请到专项资金的支持。

3. 网络安全从业人员在职场软实力上,如沟通能力、表达汇报能力和价值展现能力,普遍存在短板,往往导致工作业绩和个人价值得不到充分体现,安全团队的价值在企业内部也得不到认可。

4. 目前市场上普遍比较多的是安全理论的书籍和课程培训,安全攻防技术(如黑客技术)、安全工具使用(如kali)的课程和培训,缺乏全面和系统性的企业安全建设的方法论、实践和培训课程,这块企业安全建设从业者迫切需要这方面的知识和培训。

(三)人才的留存(“留”)

金融行业受制于体制,薪酬、晋升通道和对网络安全的投入重视程度,都很难与互联网企业竞争,从而导致人才流失较多。国内网络安全从业人员人数与该行业规模的发展与扩张不相符,专业人才供不应求。

三、金融行业网络安全人才培养建议

(一)给政府、机构和企业的建议

1. 政府可以联合高校、各大网络安全培训企业、安全公司,共同设置企业网络安全培养人才储备基地,同时鼓励大型互联网公司、金融企业的甲方安全负责人,开设企业安全建设实践课程。

2. 政府应当鼓励高校培养网络安全人才,从单纯学术研究型转向理论和实践并举,通过校企合作,开设奖学金,最后一年在企业实习,鼓励企业招收网络安全专业实习生等方式,多培养面向企业的实用型人才。

(二)给网络安全从业者的建议

1. 塑造工作中的个人价值——不可替代性

现代工业的流程化与标准化,在提高了全体社会生产力的同时,催生了细分岗位。细分岗位的出现从不同角度和立场来看实则是一把双刃剑,一方面于生产力发展有益,而另一方面对于从业者来说,由于社会分工的高度细化,大部分劳动力只能固守在流水线前重复着无差别的劳动,因此个体可替代性较强。在职场竞争当中,个体的不可替代性才是自身价值的决定因素。那么如何才能跳出框架主宰自己的职业发展?唯有构建个体的核心竞争力——深耕细分市场,成为某一个领域的专家。

2. 给职业生涯上杠杆

上杠杆的方式主要有以下几种:一、组建团队,团队作战产出更多绩效;二、优化改进现有工作机制避免类似问题再次发生;三、拓宽工作范围承担更多职责;四、合理利用和优化资源配置解决实际问题。如果做深度是1,给职业生涯加杠杆就是1后面的0。

我国信息安全行业孕育了很多传奇人物,这些传奇人物在技术上到达一定巅峰后,转而从事各类“安全生态”建设,推动某个安全领域往前发展,这也是善用团队力量,优化配置资源,从解决单纯的点状问题转向批量彻底解决一类问题。荀子说君子生非异也,善假于物也。安全从业人员,也可以审时度势建设各类“安全生态”,善用团队力量,优化配置资源,从而创造更大价值,那其职业生涯也将取得更大成就。

3. 怀抱着创业心态工作

如果说塑造个人的不可替代性和给职业生涯上杠杆属于战略性职业规划的话,那么像创业那样去打工就属于具体的战术。抱着创业的心态去打工,而个人利益与公司利益一致,那么工作积极性会大大提高,客观上也会为公司创造价值,实现真正的双赢。

4. 守住底线

知乎上问黑客入门第一本书是什么,高票答案是《刑法》。对于安全从业人员来说,守住底线始终是从业第一原则。很多安全从业人员,可能在路上太久,忘记了自己的初心是什么。为了超常规发展晋升,追求财务收益,往往忽视甚至丢弃了很多更宝贵的东西,比如健康、家庭、品德乃至做人的底线和原则。

四、笔者寄语

每一个行业都有其存在的价值和意义,正如我们每个人生来所被赋予的才华。套用龙应台流传很广的一段话:选择安全作为工作方向,考虑职业生涯和发展,通过自己的努力将来拥有选择的权利,选择有意义、有时间的工作,而不是被迫谋生。当你从事的安全工作方向在你心中有意义,你就有成就感,当你的工作给你时间,不剥夺你的生活,你就有尊严。成就感和尊严,给你快乐。

(本文刊登于《中国信息安全》杂志2018年第12期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。