文 |陈兴跃
陈兴跃 中国网络安全产业联盟首任秘书长,现任天融信科技集团副总裁。
近年来,我国在网络安全领域取得的一个突出成果是基本完成了国家法律体系和整体规划层面的建设任务。随着《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》以及《网络安全审查办法》《关键信息基础设施安全保护条例》等法律法规的出台和施行,网络安全领域形成了一套相对完善的国家顶层法律框架。在国家顶层法律框架的指导下,相关技术标准、行业规范、行政管理规范等配套文件也在快速发布落实,从而有力地加速推进网络强国战略、促进数字中国建设和数字经济发展,这对网络安全产业是重大发展利好。
网络安全产业主要由网络安全企业和相关专业服务机构构成,它是维护国家网络空间安全、保障信息社会健康发展的基础和重要力量。随着数字经济的发展,网络安全已成为关系国家安全和发展以及广大人民群众切身利益的重大问题,而强大的网络安全技术产业实力更是保障我国网络空间安全的根本基石。
我国网络安全建设起步时间较早,在1994年正式接入国际互联网后,1995年中国首家网络安全企业成立。尽管我国网络安全建设起步时间较早,但对其重视程度和投入却不足,早期开展大规模信息化建设时,对网络安全几乎是“零投入”,即便开展了配套网络安全项目建设,其中大部分采用的是事后打补丁的方式,安全保障能力与实际效果差强人意。因此,我国网络安全建设面对的主要问题之一是历史“欠账”太多。总体而言,由于大量历史“欠账”和不断推陈出新的网络安全能力建设新要求,我国网络安全产业的实力仍相对较弱,目前难以满足数字经济发展的基本要求。我国现在是网络大国,还要向着网络强国迈进。
参照产业生命周期理论和模型,结合网络安全企业的特点,可将网络安全产业生命周期划分为萌芽期、初步发展期、快速成长期、成熟期、衰退期或蜕变发展期五个主要阶段。从纵向(发展历程)和横向(对照以美国为代表的网络安全强国)两个维度,通过对网络安全产业结构与集中度、产品竞争力与创新力、关键技术能力(含漏洞挖掘和APT研究等)、客户成熟度、龙头企业规模和经营情况、网络安全投资强度等多个角度的对比研究,在我看来,美国网络安全产业已处于产业生命周期的“成熟期”阶段,而我国网络安全产业则刚进入“快速成长期”阶段。与国际网络安全第一集团——美国相比,我国产业整体实力较弱、总体规模小、缺乏大型龙头企业、技术创新能力不足、产业发展环境仍需大幅度改进优化,虽然我们在个别细分技术领域正在逼近或达到美国产业的水准,但总体上看,仍处于跟随和追赶状态。
图1 我国网络安全产业所处发展阶段
可以这么讲:维护网络空间主权和国家安全、保障全社会信息化健康发展和全民数字权益的迫切需求,与目前相对较弱的网络安全产业基础和整体实力之间的矛盾,是我国网络安全技术产业发展面临的主要矛盾。
在此背景下,如何提升我国网络安全产业发展质量和整体能力,增强各级管理部门、网络运营者的安全意识和投入力度,培养体系化的网络安全人才队伍成为社会关注焦点。
网络安全的本质是攻防对抗,而攻防对抗的实质是人与人之间心智与技术的全面较量。网络空间的竞争,归根结底是人才竞争。人才是网络安全事业发展的根本。
国务院学位委员会、教育部于2015年6月决定在“工学”门类下增设“网络空间安全”一级学科,学科代码为“0839”,授予“工学”学位,并于2018年对《学位授予和人才培养学科目录》进行了修订,“网络空间安全”正式列入目录。而在此之前,在网络安全方向缺乏体系化的本科、硕士研究生和博士研究生专业培养机制,学科建设严重滞后。大量的网络安全行业从业者是“自学成才”或“半路出家”或“边干边学”,人才队伍建设缺少统筹规划和针对性的投入。根据专项调研数据,我国网络安全人才严重缺乏,目前网络安全人才的缺口总量超100万人,且需求总量以每年1.5万人的速度递增,人才供求很不平衡。
不过,随着一级学科的设立,网络空间安全学科近年来的发展速度很快。2017年8月,中央网信办、教育部印发了《一流网络安全学院建设示范项目管理办法》。中央网信办、教育部共同组织来自各方面的专家和代表,对申办高校进行了评审打分。严格按照专家评分结果,确定7所高校作为首批一流网络安全学院建设示范项目,分别为:西安电子科技大学、东南大学、武汉大学、北京航空航天大学、四川大学、中国科学技术大学、战略支援部队信息工程大学。这7所院校都是中国信息科学方面的顶尖高校,在网络安全学科领域有很强的实力,并且都获得中国首批网络空间安全一级学科博士点。2019年仅有42所高校成立网络空间安全学院或网络空间安全研究院。截止到2021年底,我国已有215所高校设立网络安全类专业287个点,其中,信息安全专业140个,网络空间安全专业81个,网络安全与执法26个,保密管理专业12个,信息对抗专业17个,保密技术专业4个,密码科学与技术专业7个。根据教育部高等学校网络空间安全专业教学指导委员会的数据,2016年高校学历教育培养的网络空间安全相关专业本科、硕士、博士毕业生仅约8000人,同期由职业学院培养的相关专业毕业生基本上为零,而到2021年毕业生总数已经达到了约2.4万人。考虑到,学历教育的培养周期,这个增速是相当可观的。
结合网络空间安全需求和学科特色,我国网络安全人才培养呈现出五大特点:
一是人才结构立体化,以“金字塔”结构形式呈现。最顶端是复合型领军人才和高精尖技术专家,中层是应用创新型人才和实战型攻防人才,底端是安全服务支撑人才和专业运维保障人才,人数从下至上逐渐递减。
二是更新速度快,培养体系庞杂。每当有新的信息技术出现,随之诞生的还有新的安全威胁和安全保障要求,这对教师培养、教材编写、学生学习能力、实验实训环境建设等都提出了较高要求。
三是覆盖面广,网络安全是一个系统性的知识结构和专业体系,知识与技能的跨度很大,一个人不可能把整个领域研究透彻,它会细分为多个相关专业。学科建设与人才培养要突出特色和专长,同时,对于专才和通才要有针对性的区别培养方案。
四是交叉融合。网络安全专业是一个比较典型的交叉性学科,比如某大学的网络空间安全学院中开设了法学专业。同时,该学科与其应用场景的关系也非常紧密,还具有典型的行业特征。以电商业务为例,如果没有支付数据、商品数据、订单物流数据以及用户数据等,业务根本无法开展,此时的数据安全就与业务息息相关。
图2 网络安全人才培养的特点
图3 网络安全人才的金字塔结构
五是注重理论与实践相结合。新网络安全技术不仅要有理论支撑,还要能解决实际问题,因此网络空间安全专业是增设在工学门类下,而非理学。该学科要求学生具备很强的实践动手能力和应用创新能力。
网络安全产业呈现出四大发展趋势:一是国产化——随着我国在核心信息技术上的突破和对关键产业链环节卡位能力的提升,操作系统、CPU、数据库、云平台等基础软硬件、核心部件的国产化程度逐步提升,今后我国网络安全产品和技术的发展将更多基于国产化的核心技术。同时,对国产化软硬件的安全防护也提出了更高要求;二是行业化——随着信息化、网络化、数字化的不断纵深发展,网络安全已经渗透到社会经济的各个方面,网络安全与行业业务必将深度融合,场景化安全解决方案服务于各细分行业的创新发展。应针对工业互联网、车联网、物联网、数据中心、大数据、云服务等新应用场景提供行业化的安全解决方案;三是服务化——网络安全的本质是人与人的对抗,网络安全产品正逐步工具化,整体安全能力的交付向服务化转型,交付服务化有利于提升网络安全效益;四是智能化——人工智能进入到蓬勃发展阶段,智能化在信息化和数字化中逐渐发挥重要作用,人和机器结合的智能化,使网络安全防护效率得到显著提升。在网络安全国产化、行业化、服务化、智能化的“四化”趋势下,随着各行业数字化进程的加速和网络安全产业规模的快速增长,对于“四化”人才需求也非常大。这将是网络安全人才培养的重要方向。
以下是引自国家标准《信息安全技术网络安全从业人员能力基本要求》征求意见稿的网络安全相关工作类别、工作角色和工作任务对应关系表。从关系表中可见,网络安全主要包括网络安全管理、网络安全建设、网络安全运营、网络安全审计和评估、网络安全科研教育5大工作类别,按照工作角色在此5大工作类别下又可划分为17个子类,对于每个工作角色又有对应的主要工作任务。此表也是对网络安全人才的结构和特点的综合呈现。
表1 网络安全相关工作类别、工作角色和工作任务对应关系
考虑到网络安全人才培养的特点,锻造网络安全人才队伍需要采取体系化的培养体制、需要打通人才培养与流动的路线。要疏通和优化“供给人才——培养人才——检验人才——聚集人才——输出人才”为主干的人才培养路线。科研院所和网络安全企业与专业机构是供给人才的主要来源;应届生培养、在职人员培养、师资人才培养是人才培养的主要形式;专业岗位考评、网络安全竞赛、网安职业认证等是选拔和检验人才的主要手段;通过规划建设人才基地和产业园区、重点投入科技型研究院和研发实验室、做强领军企业和扶持创新团队,大力开展新技术新场景下的安全研究和研发新技术新产品,从而聚集高端网安人才;鼓励经检验和选拔的人员在产业中、区域间、部门间的流动,形成良性的人才输出机制。建设好网安人才供给、培养、检验、聚集、输出的培养路线,就让网络安全人才“活”起来,逐步形成人才培养的体系。为满足体系化、规模化、专业化的网安人才队伍紧迫需求,系统的人才培养机制是核心,要坚持学科教育与职业培训相结合、基础理论与企业实践相结合、培养与评价相结合、教学科研与实训竞赛相结合的工作思路和落实措施,努力建设又红又专的网安人才队伍。
网络安全人才培养需要多方参与、相互协同,共同构建具有中国特色的网络安全人才培养新生态。具体而言,由政府主管部门出台网络安全人才培养政策、机制和总体规划,营造人才培养发展大环境;在产业方面,要持续提升从业者的专业能力和提供职业发展平台,企业需保障安全能力输出和人力资源对接,为教育机构提供专业师资、专业课程和实训平台等服务支持;高校要大力建设网络空间安全专业,多方共建网络空间安全学院与研究院,加速人才培养和科研创新;研究机构则应打造网络安全技术研究院,汇聚高端人才,孕育行业技术领军人才;在用户侧,政府机构、企事业单位等应为网络安全人才提供就业与实践支撑,培养大量实战型、实操性网络安全人才;投资机构应积极支持网络空间安全学科建设与人才培养,大力推进网络安全新技术创新孵化和新业务规模化发展,扶持初创团队和加速龙头企业做大做强。
网络安全是是整体的而不是割裂的、是动态的而不是静态的、是开放的而不是封闭的、是相对的而不是绝对的、是共同的而不是孤立的。要做好网络安全人才培养工作也应当本着整体、动态、开放、相对和共同的指导思想,全社会各方共同参与,迅速扭转网络安全人才严重缺乏的不利局面,为建设数字中国、实施网络强国战略提供强有力的网安人才队伍支撑。