9月10日,国内首个聚焦“安全测试评估”的白皮书——《网络安全人才实战能力白皮书-安全测试评估篇》(以下简称白皮书)在国家网络安全宣传周正式发布。
《网络安全人才实战能力白皮书》系列已在国家网络安全宣传周成功发布“攻防实战能力篇”和“人才评价篇”。作为《网络安全人才实战能力白皮书》的第三篇章,本次白皮书聚焦“安全测试评估”主题,由国务院学位委员会学科评议组(网络空间安全组)、教育部高等学校网络空间安全专业教学指导委员会指导,北京航空航天大学、中国科学技术大学、永信至诚科技集团股份有限公司担任主编单位,华中科技大学、西安电子科技大学、上海交通大学、山东大学、北京邮电大学、东南大学、暨南大学、武汉大学、北京理工大学、湖南大学、哈尔滨工业大学、西北工业大学、天津大学、战略支援部队信息工程大学、北京电子科技学院、四川大学、中国信息安全测评中心、《网络空间安全科学学报》、中国联合网络通信集团有限公司、中通服华信咨询设计研究院、华为技术有限公司、蚂蚁科技集团股份有限公司、南方电网数字电网集团信息通信科技有限公司、福建师范大学、中国刑事警察学院、中国烟草总公司福建省公司担任副主编单位。
图:报告编委会
图:国家网安周现场 教指委副主任委员、中科大网络安全学院执行院长俞能海发布报告
白皮书通过大量一线网络安全从业人员、网络安全相关专业在校学生问卷调研数据及网络安全人才测评演练数据分析,呈现供给侧、需求侧安全测试评估人才的基本情况、培养情况和岗位实践。
结合专家实战精髓,白皮书以理论与实践相结合的方式创新提出了一套立体化综合评价安全测评人才能力的——GPE方法,为数字中国建设中的安全测试评估人才培养和评价提供可行方案,以此为抓手为网络强国建设、数字化建设构筑安全基石。
注:白皮书定义的安全测评人才,即具备风险发现、风险验证能力的网络安全实战人才,能够利用现有安全工具及相关技术,独立开展并完成安全测试评估工作,通过客观、可信的安全测评报告,指导组织和机构完成风险发现、风险验证、风险收敛的闭环。
面向数字化全场景开展安全测试评估
“安全测试评估”实战人才培养重要性凸显
随着人工智能、5G、物联网、区块链等技术的发展和进步,数字化设备数量及数据量急剧增加,数据安全威胁持续放大,已成为事关国家安全与经济社会发展的重大问题。数字化浪潮下,数以百亿的设施设备在数字世界中重构,未知的漏洞和风险也与日俱增,对数字化设备开展常态化安全测试评估,成为了发现和处置安全隐患的必要手段以及检验数字安全屏障可靠性的重要方式。
《网络安全法》《数据安全法》《关键信息基础设施保护条例》也都提出,要求关键信息基础设施的运营者、重要数据的处理者定期开展检测评估,以暴露其网络和系统中可能存在的风险。
根据白皮书调研数据,当前我国网络安全测评人才整体呈短缺的态势,从业人员规模总量不足,大量工作以“非专职”的方式完成,各类安全工作角色存在供需不平衡的现象。由于高水平、充分理解业务场景的安全测试评估人员不足,测试评估工作形式化问题逐渐显现,测试评估结果的有效性也难以得到保障。
在此背景下,培养和发现具备风险发现、风险验证能力的人才,对数字化进程中的全要素、全场景开展全生命周期测试评估,对于保障国家安全、促进经济发展、维护社会稳定具有深远的意义。
立足供需双重视角深入剖析
梳理安全测评人才培养面临的现状与挑战
白皮书通过大量一线网络安全从业人员、网络安全相关专业在校学生调研问卷及网络安全人才测评演练数据,分析呈现供给侧、需求侧安全测试评估人才的基本情况、培养情况和岗位实践,系统的梳理了当前我国网络安全测试评估人才建设现状与面临的现实挑战。
用人单位安全测评人员队伍规模亟需补充
实战型网络安全人才安全测评能力不足
在需求侧,从用人单位安全测评人才所在地域来看,北京、广东、上海排名前三,分别占 13.0%、12.3%、9.0%。北京作为大型政企单位、网络安全企业总部的聚集地,人才占比较高;其次是广东,作为数字经济发展大省,也吸引了大量安全测评人才;排在第三位的是上海,数据表明,北上广表现出了人才集聚优势;其他省市安全测评人才分布则相对平衡,产业规模和人才需求在全国分布趋于均匀。
用人单位安全测评人才地域分布
作为常态化安全检查、发现漏洞和隐患、有效预防和避免网络安全事件的主力军,安全测评人员在数字化建设中的关键作用日益凸显。但限于我国实战型网络安全人才欠缺、实战型网络安全人才安全测评能力不足,用人单位安全测评人员队伍规模较小成为普遍现象。
从用人单位安全测评人员队伍建设情况来看,61%的用人单位安全测评人员不足10人,9%的用人单位没有安全测评人员,开展安全测评工作主要依赖于外部第三方安全服务。预算不足也成为了用人单位发展壮大安全测评队伍、选拔高水平安全测评人才的限制因素,白皮书数据显示,30%的用人单位在安全测评投入方面年均预算不足20万,无预算的单位达14%。
用人单位具有安全测评能力人员的数量
通过调研用人单位对安全测评人员工作满意度发现,安全测评人员整体水平不高,测评结果的公信度不够是当前用人单位的主要关注问题。
统计数据显示,当前我国安全测评从业人员,未考取任何资格证书的人员占比43%,开展测评工作缺乏标准,近六成安全测评从业人员能力欠缺,仅能够使用安全测试工具,但无法独立开展安全测评工作。统计用人单位对安全测评结果满意度情况发现,有10%的用人单位反馈,安全测评报告较为形式化,识别不出有实质影响的弱点、风险和威胁。
用人单位安全测评人才资格认证情况
实战教师占比偏低、教材缺乏
成为高校安全测评人才培养限制因素
在供给侧,我国院校中,有意向从业安全测评工作的在读学生,就读专业占比最高的是信息安全和网络空间安全,分别为26%、25%;其次是计算机科学与技术专业、网络工程专业和软件工程专业。这说明我国院校非常重视安全测评人才的培养,在加强网络安全专业安全测评教学的同时,也积极打破学科界限,拓展跨学科教学,促进人才走向相关岗位。
意向从业安全测评工作的在校学生所读专业情况
但对院校网络安全实战人才的安全测试评估能力进行分析发现,在校学生严重缺乏安全测试评估能力。数据统计显示,41%的院校,具备安全测试评估能力的网络安全实战人才占比不足10%。
院校具备安全测试评估能力的学生占比情况
白皮书分析指出,实战教师占比偏低、教材缺乏是当前院校安全测评人才培养限制因素。在我国院校中网络安全相关专业中,师资类型根据教学体系划分为理论教师和实战教师两种。实战教师通常讲授实验实践类课程、指导网络安全学生竞赛、从事网络安全攻防实战研究工作。调研显示,35%的院校严重缺乏实战教师,师资队伍中实战教师占比不足 10%。
院校师资队伍中实战教师数量情况
整体而言,目前网络安全相关专业的学生对安全测评认知度有待提升,相关专业的教学中对安全测评相关的教材使用不多可能是导致这一现象的原因之一;目前市面上重点针对安全测评的书籍总体数量较少,缺乏专为高校教学编写的教材;安全测评相关教材的编写出版大多围绕安全测评相关知识展开,且不同方向数量分布不均。
建立科学的安全测评人才能力评价方法
是破解供需矛盾的关键
在政治、经济、文化和社会安全等多个领域相互交织影响的背景下,网络安全测评是政府保障国家安全和社会稳定的重要手段之一,当前社会急需网络安全测评人才,防范化解风险提供安全保障。
然而安全测评人才总量不足,难以覆盖所有的关键业务系统和场景;安全测评人才结构不合理,人才水平参差不齐,导致安全测评的准确性和有效性大打折扣。防范化解风险的前提是在普及安全测评应用,普及安全测评应用的基础是建立一个能力水平过硬的安全测评人才梯队。因此科学、统一、可落地的安全测评人才能力评价方法是破解供需矛盾的关键。
结合调研成果,以及编委专家在人才评价工作方面的实践积累,白皮书创新提出了一套立体化综合评价安全测评人才能力的GPE方法。围绕通用能力(GeneralAbility)、专业能力(Professional Ability)和评价等级(Evaluation Level)三个方面,形成了一种综合性框架,为安全测评人才的培养和选拔提供系统化的指导。GPE方法不仅有助于系统评价安全测评人才的整体素质,也是安全测评人才选拔的标准,同时也可以作为安全测评人才招聘的参考依据。
安全测评人才能力评价GPE方法
通用能力(G):是指在不同岗位和工作环境中都需要具备的基本能力。这些能力可以进一步细分为理论知识、实战技能和思想意识三个维度。
专业能力(P):是指综合思想意识、理论知识、实战技能的能力集合,支撑人才在测试设计、测试实施和测试白皮书的关键环节中高效、准确地完成任务。
评价等级(E):是指对安全测评人才在通用能力和专业能力两个方面进行综合评估后,所给予的等级分类。可以分为初级、中级、高级,每个等级还可以继续分层,反映出安全测评人才能力水平。
GPE方法为安全测评岗位人才分类分级的评价提供了思路,提出安全测评人才岗位分类分层方式,针对渗透测试工程师、安全攻防工程师、等级保护测评师、安全产品测评工程师等最典型的安全测评岗位,精准描述不同岗位、不同层级的评价要求及方式,将每个岗位划分为不同层级,根据实际情况合理定义不同岗位不同层级应具备的通用能力和专业能力,从而建立一个安全测评人才岗位评价要求表。
基于GPE评价模型,可以对人才能力、水平进行多方位评估,细致、全面了解人才的综合能力,为用人单位选拨人才、培养人才、构建和优化人才梯队提供参考。同时,也可以帮助人才在职业发展中清晰地了解自己的现状和未来发展方向。
白皮书最后,还围绕安全测评人员培养与评价,从“加强顶层设计,加快制定安全测评政策法规及标准”“深化政产学研用协同合作,加强测评专门人才培养”“规范测评方法和流程,提高测评结果公信度”“突破安全测评关键技术,实现测评工具自主可控”等方面提出了诸多可行建议。
白皮书的发布,指出了当前我国安全测试评估人才建设面临的诸多现实性问题,同时也为网络安全测评人才的培养指明了可行性路径,弥补了我国在网络安全测评人才现状研究上的空白,为国家制定安全测评政策法规和标准,为供需两侧壮大网络安全测评人才队伍,为建立网络安全测评人才能力评价体系等给出了参考建议和方向。
当前,网络空间成为大国博弈的关键战场,网络对抗与地缘政治博弈深度交织,网信领域的竞争正在全球范围内展开。网络安全风险不断激增,新情况、新问题、新挑战层出不穷,深刻影响着全球经济、利益和安全格局。
习近平总书记强调,“网络空间的竞争,归根结底是人才竞争。”“要聚天下英才而用之,为网信事业发展提供有力人才支撑。”网络强国建设迫切需要打造一支高素质、创新型、复合型、实战型、应用型网络安全人才队伍。作为能够解决实际问题的安全专业人员,安全测试评估人才将在网络强国建设中发挥关键作用。
作为《网络安全人才实战能力白皮书》系列的主编单位之一,永信至诚表示,永信至诚将持续发挥数字安全测试评估赛道领跑者、网络靶场与人才建设领军者优势,秉承“人是安全的核心”主导思想,依托「数字风洞」产品体系,为各行业领域数字化转型提供专业安全测试评估保障及专有人才支持,为政企数字化转型保驾护航,为网络强国、数字中国建设贡献力量。