文 | 北京長(cháng)亭科技有限公司 楊坤 余慧英 袁勝

習近平總書(shū)記指出，“網(wǎng)絡(luò )空間的競爭，歸根結底是人才競爭”。面對當前日益嚴峻的網(wǎng)絡(luò )空間安全態(tài)勢，高水平高質(zhì)量的專(zhuān)業(yè)網(wǎng)絡(luò )安全人才隊伍，將是捍衛我國網(wǎng)絡(luò )空間安全的中堅力量。其中，一線(xiàn)的網(wǎng)絡(luò )安全攻防實(shí)戰人才尤為稀缺。正如習近平總書(shū)記所說(shuō)，“網(wǎng)絡(luò )安全的本質(zhì)在對抗，對抗的本質(zhì)在攻防兩端能力較量”。有效的網(wǎng)絡(luò )安全防御需要高水平實(shí)戰攻防人才的關(guān)鍵支撐，加快培養專(zhuān)業(yè)的網(wǎng)絡(luò )安全攻防人才隊伍，已刻不容緩。

一、嚴峻的漏洞態(tài)勢催生實(shí)戰人才培養需求

漏洞研究與風(fēng)險消控能力，是實(shí)戰攻防能力建設中重要的一環(huán)。在數字化、智能化日益普及的今天，漏洞已經(jīng)成為網(wǎng)絡(luò )安全的核心問(wèn)題之一。它們是網(wǎng)絡(luò )攻擊者入侵系統的主要突破口。無(wú)論是重大的“零日漏洞”，還是廣泛被利用的“在野漏洞”，都可能導致數據泄露、系統癱瘓等嚴重后果，不僅威脅著(zhù)企事業(yè)單位的業(yè)務(wù)運轉，甚至對國家、社會(huì )和經(jīng)濟產(chǎn)生深遠影響。同時(shí)，漏洞更是網(wǎng)絡(luò )空間安全的重要戰略資源，是實(shí)戰攻防“軍火庫”的主要來(lái)源。

根據工業(yè)和信息化部電子第五研究所發(fā)布的《2024 上半年網(wǎng)絡(luò )安全漏洞態(tài)勢報告》，2024 年上半年，全球共計披露漏洞數量達到 20548 個(gè)，同比增長(cháng) 46.16%。不僅漏洞數量在持續增長(cháng)，高危漏洞占比不斷增加，漏洞利用難度也在持續降低。除了傳統的系統和應用漏洞，云計算、物聯(lián)網(wǎng)、車(chē)聯(lián)網(wǎng)、人工智能等新興技術(shù)領(lǐng)域的漏洞也層出不窮。這些都增加了漏洞管理和防御的難度，漏洞所帶來(lái)的網(wǎng)絡(luò )安全挑戰日益嚴峻。

完善有效的漏洞管理可以及時(shí)發(fā)現和修復潛在的安全隱患，提高信息系統的安全防護能力，保障數據安全和業(yè)務(wù)連續性，提升國家網(wǎng)絡(luò )安全的整體防御水平。人才是漏洞管理的核心要素，為此，需要培養、建設一支高水平的實(shí)戰攻防人才隊伍，以應對漏洞所帶來(lái)的安全挑戰。

漏洞的挖掘、管理、應急響應是一項高度技術(shù)性的工作，要求從業(yè)者具備多方面的能力和素質(zhì)，例如 Web 漏洞利用與挖掘、系統層漏洞利用與挖掘等技術(shù)能力，各種安全工具的使用能力，編程開(kāi)發(fā)能力、滲透測試能力等。這些能力需要在日常的實(shí)戰攻防中積累和提升，加強網(wǎng)絡(luò )安全攻防實(shí)戰人才的培養已成為行業(yè)趨勢。

長(cháng)亭科技自成立以來(lái)，堅持網(wǎng)絡(luò )安全攻防兩端的能力建設，并在國內外網(wǎng)絡(luò )安全競賽以及國家和各地區各行業(yè)的實(shí)網(wǎng)攻防演練中得到了實(shí)際驗證，被評為“最了解攻擊的防守隊伍”?；诙嗄暝诰W(wǎng)絡(luò )安全攻防一線(xiàn)，特別是在關(guān)鍵信息基礎設施單位安全服務(wù)的實(shí)踐，我們對攻防人才的培養已經(jīng)形成了“內外兼修”的完整體系和方法。

二、以戰育人，以學(xué)促戰，建設規?；シ滥芰?/span>

提及網(wǎng)絡(luò )安全攻防人才時(shí)，人們首先想到的可能是縱橫于網(wǎng)絡(luò )空間的“極客”。然而，真正的“超級高手”畢竟是少數，面對當前無(wú)處不在的網(wǎng)絡(luò )空間以及層出不窮的安全風(fēng)險，再厲害的高手也奈何力有所不逮。對于小規模的安全團隊或許可以依賴(lài)個(gè)別明星級人物維持其能力，但對于擁有數百甚至上千人規模的企業(yè)而言，如何構建并保持一致高標準的服務(wù)能力成為一個(gè)難題。對此，我們認為實(shí)戰攻防能力建設是人員能力、自動(dòng)化平臺能力和數據情報能力的有效聚合，并從以下四個(gè)方面進(jìn)行了探索實(shí)踐。

一是多類(lèi)型人才能力明確定位，搭建立體攻防技術(shù)體系。術(shù)業(yè)有專(zhuān)攻，實(shí)戰攻防包括了多個(gè)專(zhuān)業(yè)技術(shù)領(lǐng)域。根據在實(shí)際安全服務(wù)中反饋的需求信息，我們將攻防人員分為安全研究人才、安全研發(fā)人才、安全服務(wù)人才等三種類(lèi)型。安全研究人才負責漏洞的挖掘與利用、防護對抗技術(shù)等方面的深入研究，將研究的成果賦能到攻防知識庫和攻防平臺，做好知識庫的建設和數據情報的維護，為一線(xiàn)人員提供“彈藥”。安全研發(fā)人才負責攻防工具平臺的研發(fā)與完善，提供可靠高效的自動(dòng)化攻防平臺、技能實(shí)訓平臺和知識運營(yíng)平臺。安全服務(wù)人才直接面向一線(xiàn)用戶(hù)，依托自動(dòng)化攻防平臺和知識庫，在實(shí)戰場(chǎng)景開(kāi)展滲透測試、風(fēng)險發(fā)現、評估驗證、應急響應、托管運營(yíng)等安全服務(wù)，并將需要改進(jìn)完善的信息反饋給平臺和知識庫。通過(guò)精細分工，正向循環(huán)，打磨并建設符合實(shí)戰場(chǎng)景需求的攻防人才隊伍，最終形成規?；?、自動(dòng)化、統一化的高水平安全服務(wù)能力。
二是對攻防人才進(jìn)行分類(lèi)畫(huà)像，實(shí)施精細培養。安全研究人才是攻防體系中最基礎、最核心的部分，培養時(shí)需要強化其計算機基礎能力，以及廣度和深度兼具的研究能力。例如，軟硬件、應用、內核和通信協(xié)議的全方位分析能力，聚焦行業(yè)實(shí)際需求，產(chǎn)出高價(jià)值的漏洞研究成果。安全研發(fā)人才則首要培養其研發(fā)能力，目標是研發(fā)為先、安全兼修、效果導向，專(zhuān)注打造好用且專(zhuān)業(yè)的工具平臺。安全服務(wù)人員則需培養其守正為先、勤奮踏實(shí)、善學(xué)善思的精神，熟練掌握攻防知識和專(zhuān)業(yè)技能，對突發(fā)情況做到應對自如。
三是打造以戰育人、以學(xué)促戰的人才培養體系。有了明確的定位和人才團隊，還需要持續培養、提升不同人才的專(zhuān)業(yè)能力。善戰之師是在一線(xiàn)實(shí)戰中淬煉出來(lái)的。對內，建設了實(shí)訓平臺，將攻防知識和技能，通過(guò)豐富的課程、實(shí)操和靶場(chǎng)練習，不斷提升人員的綜合能力，做到以學(xué)促戰。對外，通過(guò)攻防演練、安全競賽、安全服務(wù)等實(shí)戰場(chǎng)景，以戰練兵、以戰育人，持續檢驗和提升攻防團隊在實(shí)際場(chǎng)景的攻防能力和整體協(xié)同能力。
四是合規意識教育，將保密意識、國家安全牢記心中，做到“人人有責、人人盡責”。網(wǎng)絡(luò )安全不僅是技術(shù)問(wèn)題，更是一項涉及國家安全、社會(huì )穩定和公民個(gè)人權益的重大議題。服務(wù)的客戶(hù)越多，肩負的國家安全責任就更重大。國家安全已經(jīng)貫穿于各項業(yè)務(wù)的方方面面，內部員工的安全意識是國家安全防線(xiàn)的第一道屏障。長(cháng)亭科技以“4·15”國家安全教育日、“國家網(wǎng)絡(luò )安全宣傳周”等活動(dòng)為契機，通過(guò)組織線(xiàn)上線(xiàn)下全方位的意識宣傳教育、全員考試、講座培訓等方式，讓全體員工了解總體國家安全觀(guān)理念，熟悉國家安全、網(wǎng)絡(luò )安全、保密、反間諜等相關(guān)法律法規，清楚國家安全與自身工作的內在聯(lián)系，知悉工作中可能出現的安全風(fēng)險和應對方法，切實(shí)增強全體員工的國家安全以及合規意識。同時(shí)，在合規管理方面，我們制定了完善的安全行為準則和應急機制，最終實(shí)現在全公司建立安全思維、合規思維、法治思維，讓每一個(gè)員工在日常工作中都能?chē)朗胤煞ㄒ幒凸ぷ骷o律，具備良好的職業(yè)道德，合法合規開(kāi)展工作。

在這些措施的努力下，我們形成了多技術(shù)領(lǐng)域的先進(jìn)漏洞研究能力，取得了顯著(zhù)的成果。一方面，在日常工作和攻防演練中，持續發(fā)現關(guān)鍵和高危漏洞，不僅輸出多類(lèi)型的國產(chǎn)化軟硬件漏洞成果，協(xié)助國家關(guān)鍵信息基礎設施單位消除安全風(fēng)險，同時(shí)持續強化長(cháng)亭攻防知識庫的能力底座，為更專(zhuān)業(yè)、可靠的安全服務(wù)提供支撐。另一方面，以強烈的責任擔當和積極的履責實(shí)踐，對國家漏洞管理機構實(shí)施高質(zhì)量技術(shù)支持，發(fā)現并報告了多項高危漏洞，為國家信息安全保障事業(yè)做出切實(shí)貢獻。例如，我們獲得了中國信息安全國家漏洞庫（CNNVD）的“優(yōu)秀技術(shù)支撐單位”“漏洞獎勵一級貢獻獎”“重大漏洞消控優(yōu)秀貢獻獎”等多項榮譽(yù)。

三、助力產(chǎn)業(yè)，多途徑、多維度的實(shí)戰化人才培養體系

對企業(yè)如何助力網(wǎng)安產(chǎn)業(yè)人才培養，我國的《網(wǎng)絡(luò )安全法》第二十條給出了明確的方向，“國家支持企業(yè)和高等學(xué)校、職業(yè)學(xué)校等教育培訓機構開(kāi)展網(wǎng)絡(luò )安全相關(guān)教育與培訓，采取多種方式培養網(wǎng)絡(luò )安全人才，促進(jìn)網(wǎng)絡(luò )安全人才交流。”

當前，我國嚴重缺乏實(shí)戰攻防人才?；谧陨淼木W(wǎng)絡(luò )安全攻防和實(shí)踐對抗經(jīng)驗，我們探索并實(shí)踐多途徑、多維度的實(shí)戰化人才培養體系，助力我國重要行業(yè)和關(guān)鍵信息基礎設施單位培養產(chǎn)業(yè)急需的實(shí)用型網(wǎng)絡(luò )安全攻防人才，賦能我國整體網(wǎng)絡(luò )安全攻防能力的建設。

一是梳理網(wǎng)絡(luò )安全實(shí)戰攻防人才能力知識樹(shù)，通過(guò)針對性的人才培養體系，幫助重要行業(yè)及關(guān)基單位提升安全隊伍的實(shí)戰能力。參考國家已經(jīng)發(fā)布的《網(wǎng)絡(luò )安全產(chǎn)業(yè)人才崗位能力要求》《信息安全技術(shù) 網(wǎng)絡(luò )安全服務(wù)能力要求》（GB/T32914-2023）和《信息安全技術(shù) 網(wǎng)絡(luò )安全從業(yè)人員能力基本要求》（GB/T 42446-2023）等標準，結合《網(wǎng)絡(luò )空間安全人才框架》（NIST SP800-181），以及我們多年在一線(xiàn)實(shí)戰的知識經(jīng)驗得出的《網(wǎng)絡(luò )安全攻防能力成熟度評估模型》，針對不同層次的人才需求，推出了“珂蘭寺”“安道場(chǎng)”“小灶課”等專(zhuān)業(yè)人才培訓服務(wù)和對應的人才評估體系，從新入職人員，到長(cháng)線(xiàn)攻防人才培養，再到特定目標的定制化強化培訓，全面幫助企業(yè)進(jìn)行網(wǎng)絡(luò )安全實(shí)戰攻防人才梯隊建設。培訓聚焦實(shí)戰攻防，通過(guò)持續練習、模擬情景演練、實(shí)網(wǎng)演練，加強學(xué)員的實(shí)戰技能應用能力和對實(shí)際工作目標的勝任能力，為國家和行業(yè)培養面向網(wǎng)絡(luò )安全實(shí)戰攻防需求的“精兵強將”。
二是基于自身豐富的競賽經(jīng)驗，協(xié)助組織網(wǎng)絡(luò )安全競賽和攻防演練，為用人單位進(jìn)一步選拔、提升網(wǎng)絡(luò )安全隊伍的實(shí)戰攻防能力。競賽和演練可以充分檢驗評估安全團隊在實(shí)際攻防場(chǎng)景中的技能水平，提升人才的實(shí)戰技能和協(xié)作能力。我們支撐了“數字中國”“數信杯”等諸多國家級賽事，并幫助金融、通信、能源等大型行業(yè)舉辦了數十場(chǎng)安全競賽和攻防演練，幫助用人單位有效提升安全團隊的實(shí)戰攻防技能。在賽事的創(chuàng )新上，注重緊跟技術(shù)發(fā)展趨勢和行業(yè)實(shí)際需求。例如，連續舉辦六屆“Real World CTF 國際網(wǎng)絡(luò )安全大賽”，主打在模擬真實(shí)場(chǎng)景的數字世界競技切磋、發(fā)現和解決實(shí)際問(wèn)題。近期舉辦的攻防賽事首次引入問(wèn)津（ChaitinAI）安全大模型在賽事中承擔“專(zhuān)家角色”，不僅幫助選手答疑解惑，更是貼近未來(lái)的安全運營(yíng)智能化發(fā)展趨勢，讓選手熟悉如何在實(shí)際工作中充分利用安全大模型“提質(zhì)增效”的能力，達到“拓寬人才的工作半徑”，實(shí)現更高效、更專(zhuān)業(yè)的安全運營(yíng)。
三是加強產(chǎn)學(xué)合作與企業(yè)共建，按需定向培養專(zhuān)業(yè)實(shí)戰攻防人才。隨著(zhù)我國“網(wǎng)絡(luò )空間安全”一級學(xué)科的設立和一流網(wǎng)絡(luò )安全學(xué)院建設示范項目的深入開(kāi)展，高校的網(wǎng)絡(luò )安全人才培養工作效果顯著(zhù)，但網(wǎng)絡(luò )安全技術(shù)發(fā)展日新月異，高校在實(shí)踐體系方面的建設與實(shí)際需求存在一定的滯后性。同時(shí)，企事業(yè)單位安全團隊的實(shí)戰攻防能力也需要與時(shí)俱進(jìn)。對此，我們和中國海洋大學(xué)、上海電力大學(xué)等院校共同建設人才聯(lián)合培養基地，同時(shí)和金融、通信等行業(yè)共同建立了聯(lián)合安全實(shí)驗室，將自身前沿的安全攻防實(shí)戰經(jīng)驗，通過(guò)分門(mén)別類(lèi)的實(shí)踐訓練，達到理論與實(shí)踐的有效結合，提升院校培養的人才質(zhì)量，提升企業(yè)安全團隊的綜合素質(zhì)和實(shí)戰攻防能力，以更好地應對當前新型安全風(fēng)險的挑戰。

四、結 語(yǔ)

在信息社會(huì )日益數字化、智能化的今天，隨著(zhù)網(wǎng)絡(luò )攻擊日益頻繁和復雜，網(wǎng)絡(luò )安全正在加速走向實(shí)戰化，對網(wǎng)絡(luò )安全服務(wù)的需求也更加多樣和專(zhuān)業(yè)，亟需更多優(yōu)秀的實(shí)戰攻防人才。高素質(zhì)的網(wǎng)絡(luò )安全漏洞人才乃至實(shí)戰攻防人才的培養是一個(gè)長(cháng)期且系統的工程，需要對不同安全能力進(jìn)行深度應用和有機整合。未來(lái)，政府、高校、企業(yè)和社會(huì )各界應進(jìn)一步協(xié)同合作，共同努力，通過(guò)多層次、多渠道的培養策略，有效提升網(wǎng)絡(luò )安全實(shí)戰攻防人才的數量和質(zhì)量，為數字時(shí)代國家安全、社會(huì )穩定和經(jīng)濟發(fā)展提供強有力的人才支撐。

（本文刊登于《中國信息安全》雜志2024年第11期）