文 | 北京長(zhǎng)亭科技有限公司 楊坤 余慧英 袁勝

習(xí)近平總書記指出，“網(wǎng)絡(luò)空間的競(jìng)爭(zhēng)，歸根結(jié)底是人才競(jìng)爭(zhēng)”。面對(duì)當(dāng)前日益嚴(yán)峻的網(wǎng)絡(luò)空間安全態(tài)勢(shì)，高水平高質(zhì)量的專業(yè)網(wǎng)絡(luò)安全人才隊(duì)伍，將是捍衛(wèi)我國(guó)網(wǎng)絡(luò)空間安全的中堅(jiān)力量。其中，一線的網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)人才尤為稀缺。正如習(xí)近平總書記所說，“網(wǎng)絡(luò)安全的本質(zhì)在對(duì)抗，對(duì)抗的本質(zhì)在攻防兩端能力較量”。有效的網(wǎng)絡(luò)安全防御需要高水平實(shí)戰(zhàn)攻防人才的關(guān)鍵支撐，加快培養(yǎng)專業(yè)的網(wǎng)絡(luò)安全攻防人才隊(duì)伍，已刻不容緩。

一、嚴(yán)峻的漏洞態(tài)勢(shì)催生實(shí)戰(zhàn)人才培養(yǎng)需求

漏洞研究與風(fēng)險(xiǎn)消控能力，是實(shí)戰(zhàn)攻防能力建設(shè)中重要的一環(huán)。在數(shù)字化、智能化日益普及的今天，漏洞已經(jīng)成為網(wǎng)絡(luò)安全的核心問題之一。它們是網(wǎng)絡(luò)攻擊者入侵系統(tǒng)的主要突破口。無(wú)論是重大的“零日漏洞”，還是廣泛被利用的“在野漏洞”，都可能導(dǎo)致數(shù)據(jù)泄露、系統(tǒng)癱瘓等嚴(yán)重后果，不僅威脅著企事業(yè)單位的業(yè)務(wù)運(yùn)轉(zhuǎn)，甚至對(duì)國(guó)家、社會(huì)和經(jīng)濟(jì)產(chǎn)生深遠(yuǎn)影響。同時(shí)，漏洞更是網(wǎng)絡(luò)空間安全的重要戰(zhàn)略資源，是實(shí)戰(zhàn)攻防“軍火庫(kù)”的主要來源。

根據(jù)工業(yè)和信息化部電子第五研究所發(fā)布的《2024 上半年網(wǎng)絡(luò)安全漏洞態(tài)勢(shì)報(bào)告》，2024 年上半年，全球共計(jì)披露漏洞數(shù)量達(dá)到 20548 個(gè)，同比增長(zhǎng) 46.16%。不僅漏洞數(shù)量在持續(xù)增長(zhǎng)，高危漏洞占比不斷增加，漏洞利用難度也在持續(xù)降低。除了傳統(tǒng)的系統(tǒng)和應(yīng)用漏洞，云計(jì)算、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、人工智能等新興技術(shù)領(lǐng)域的漏洞也層出不窮。這些都增加了漏洞管理和防御的難度，漏洞所帶來的網(wǎng)絡(luò)安全挑戰(zhàn)日益嚴(yán)峻。

完善有效的漏洞管理可以及時(shí)發(fā)現(xiàn)和修復(fù)潛在的安全隱患，提高信息系統(tǒng)的安全防護(hù)能力，保障數(shù)據(jù)安全和業(yè)務(wù)連續(xù)性，提升國(guó)家網(wǎng)絡(luò)安全的整體防御水平。人才是漏洞管理的核心要素，為此，需要培養(yǎng)、建設(shè)一支高水平的實(shí)戰(zhàn)攻防人才隊(duì)伍，以應(yīng)對(duì)漏洞所帶來的安全挑戰(zhàn)。

漏洞的挖掘、管理、應(yīng)急響應(yīng)是一項(xiàng)高度技術(shù)性的工作，要求從業(yè)者具備多方面的能力和素質(zhì)，例如 Web 漏洞利用與挖掘、系統(tǒng)層漏洞利用與挖掘等技術(shù)能力，各種安全工具的使用能力，編程開發(fā)能力、滲透測(cè)試能力等。這些能力需要在日常的實(shí)戰(zhàn)攻防中積累和提升，加強(qiáng)網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)人才的培養(yǎng)已成為行業(yè)趨勢(shì)。

長(zhǎng)亭科技自成立以來，堅(jiān)持網(wǎng)絡(luò)安全攻防兩端的能力建設(shè)，并在國(guó)內(nèi)外網(wǎng)絡(luò)安全競(jìng)賽以及國(guó)家和各地區(qū)各行業(yè)的實(shí)網(wǎng)攻防演練中得到了實(shí)際驗(yàn)證，被評(píng)為“最了解攻擊的防守隊(duì)伍”?；诙嗄暝诰W(wǎng)絡(luò)安全攻防一線，特別是在關(guān)鍵信息基礎(chǔ)設(shè)施單位安全服務(wù)的實(shí)踐，我們對(duì)攻防人才的培養(yǎng)已經(jīng)形成了“內(nèi)外兼修”的完整體系和方法。

二、以戰(zhàn)育人，以學(xué)促戰(zhàn)，建設(shè)規(guī)?；シ滥芰?/span>

提及網(wǎng)絡(luò)安全攻防人才時(shí)，人們首先想到的可能是縱橫于網(wǎng)絡(luò)空間的“極客”。然而，真正的“超級(jí)高手”畢竟是少數(shù)，面對(duì)當(dāng)前無(wú)處不在的網(wǎng)絡(luò)空間以及層出不窮的安全風(fēng)險(xiǎn)，再厲害的高手也奈何力有所不逮。對(duì)于小規(guī)模的安全團(tuán)隊(duì)或許可以依賴個(gè)別明星級(jí)人物維持其能力，但對(duì)于擁有數(shù)百甚至上千人規(guī)模的企業(yè)而言，如何構(gòu)建并保持一致高標(biāo)準(zhǔn)的服務(wù)能力成為一個(gè)難題。對(duì)此，我們認(rèn)為實(shí)戰(zhàn)攻防能力建設(shè)是人員能力、自動(dòng)化平臺(tái)能力和數(shù)據(jù)情報(bào)能力的有效聚合，并從以下四個(gè)方面進(jìn)行了探索實(shí)踐。

一是多類型人才能力明確定位，搭建立體攻防技術(shù)體系。術(shù)業(yè)有專攻，實(shí)戰(zhàn)攻防包括了多個(gè)專業(yè)技術(shù)領(lǐng)域。根據(jù)在實(shí)際安全服務(wù)中反饋的需求信息，我們將攻防人員分為安全研究人才、安全研發(fā)人才、安全服務(wù)人才等三種類型。安全研究人才負(fù)責(zé)漏洞的挖掘與利用、防護(hù)對(duì)抗技術(shù)等方面的深入研究，將研究的成果賦能到攻防知識(shí)庫(kù)和攻防平臺(tái)，做好知識(shí)庫(kù)的建設(shè)和數(shù)據(jù)情報(bào)的維護(hù)，為一線人員提供“彈藥”。安全研發(fā)人才負(fù)責(zé)攻防工具平臺(tái)的研發(fā)與完善，提供可靠高效的自動(dòng)化攻防平臺(tái)、技能實(shí)訓(xùn)平臺(tái)和知識(shí)運(yùn)營(yíng)平臺(tái)。安全服務(wù)人才直接面向一線用戶，依托自動(dòng)化攻防平臺(tái)和知識(shí)庫(kù)，在實(shí)戰(zhàn)場(chǎng)景開展?jié)B透測(cè)試、風(fēng)險(xiǎn)發(fā)現(xiàn)、評(píng)估驗(yàn)證、應(yīng)急響應(yīng)、托管運(yùn)營(yíng)等安全服務(wù)，并將需要改進(jìn)完善的信息反饋給平臺(tái)和知識(shí)庫(kù)。通過精細(xì)分工，正向循環(huán)，打磨并建設(shè)符合實(shí)戰(zhàn)場(chǎng)景需求的攻防人才隊(duì)伍，最終形成規(guī)?；?、自動(dòng)化、統(tǒng)一化的高水平安全服務(wù)能力。
二是對(duì)攻防人才進(jìn)行分類畫像，實(shí)施精細(xì)培養(yǎng)。安全研究人才是攻防體系中最基礎(chǔ)、最核心的部分，培養(yǎng)時(shí)需要強(qiáng)化其計(jì)算機(jī)基礎(chǔ)能力，以及廣度和深度兼具的研究能力。例如，軟硬件、應(yīng)用、內(nèi)核和通信協(xié)議的全方位分析能力，聚焦行業(yè)實(shí)際需求，產(chǎn)出高價(jià)值的漏洞研究成果。安全研發(fā)人才則首要培養(yǎng)其研發(fā)能力，目標(biāo)是研發(fā)為先、安全兼修、效果導(dǎo)向，專注打造好用且專業(yè)的工具平臺(tái)。安全服務(wù)人員則需培養(yǎng)其守正為先、勤奮踏實(shí)、善學(xué)善思的精神，熟練掌握攻防知識(shí)和專業(yè)技能，對(duì)突發(fā)情況做到應(yīng)對(duì)自如。
三是打造以戰(zhàn)育人、以學(xué)促戰(zhàn)的人才培養(yǎng)體系。有了明確的定位和人才團(tuán)隊(duì)，還需要持續(xù)培養(yǎng)、提升不同人才的專業(yè)能力。善戰(zhàn)之師是在一線實(shí)戰(zhàn)中淬煉出來的。對(duì)內(nèi)，建設(shè)了實(shí)訓(xùn)平臺(tái)，將攻防知識(shí)和技能，通過豐富的課程、實(shí)操和靶場(chǎng)練習(xí)，不斷提升人員的綜合能力，做到以學(xué)促戰(zhàn)。對(duì)外，通過攻防演練、安全競(jìng)賽、安全服務(wù)等實(shí)戰(zhàn)場(chǎng)景，以戰(zhàn)練兵、以戰(zhàn)育人，持續(xù)檢驗(yàn)和提升攻防團(tuán)隊(duì)在實(shí)際場(chǎng)景的攻防能力和整體協(xié)同能力。
四是合規(guī)意識(shí)教育，將保密意識(shí)、國(guó)家安全牢記心中，做到“人人有責(zé)、人人盡責(zé)”。網(wǎng)絡(luò)安全不僅是技術(shù)問題，更是一項(xiàng)涉及國(guó)家安全、社會(huì)穩(wěn)定和公民個(gè)人權(quán)益的重大議題。服務(wù)的客戶越多，肩負(fù)的國(guó)家安全責(zé)任就更重大。國(guó)家安全已經(jīng)貫穿于各項(xiàng)業(yè)務(wù)的方方面面，內(nèi)部員工的安全意識(shí)是國(guó)家安全防線的第一道屏障。長(zhǎng)亭科技以“4·15”國(guó)家安全教育日、“國(guó)家網(wǎng)絡(luò)安全宣傳周”等活動(dòng)為契機(jī)，通過組織線上線下全方位的意識(shí)宣傳教育、全員考試、講座培訓(xùn)等方式，讓全體員工了解總體國(guó)家安全觀理念，熟悉國(guó)家安全、網(wǎng)絡(luò)安全、保密、反間諜等相關(guān)法律法規(guī)，清楚國(guó)家安全與自身工作的內(nèi)在聯(lián)系，知悉工作中可能出現(xiàn)的安全風(fēng)險(xiǎn)和應(yīng)對(duì)方法，切實(shí)增強(qiáng)全體員工的國(guó)家安全以及合規(guī)意識(shí)。同時(shí)，在合規(guī)管理方面，我們制定了完善的安全行為準(zhǔn)則和應(yīng)急機(jī)制，最終實(shí)現(xiàn)在全公司建立安全思維、合規(guī)思維、法治思維，讓每一個(gè)員工在日常工作中都能嚴(yán)守法律法規(guī)和工作紀(jì)律，具備良好的職業(yè)道德，合法合規(guī)開展工作。

在這些措施的努力下，我們形成了多技術(shù)領(lǐng)域的先進(jìn)漏洞研究能力，取得了顯著的成果。一方面，在日常工作和攻防演練中，持續(xù)發(fā)現(xiàn)關(guān)鍵和高危漏洞，不僅輸出多類型的國(guó)產(chǎn)化軟硬件漏洞成果，協(xié)助國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施單位消除安全風(fēng)險(xiǎn)，同時(shí)持續(xù)強(qiáng)化長(zhǎng)亭攻防知識(shí)庫(kù)的能力底座，為更專業(yè)、可靠的安全服務(wù)提供支撐。另一方面，以強(qiáng)烈的責(zé)任擔(dān)當(dāng)和積極的履責(zé)實(shí)踐，對(duì)國(guó)家漏洞管理機(jī)構(gòu)實(shí)施高質(zhì)量技術(shù)支持，發(fā)現(xiàn)并報(bào)告了多項(xiàng)高危漏洞，為國(guó)家信息安全保障事業(yè)做出切實(shí)貢獻(xiàn)。例如，我們獲得了中國(guó)信息安全國(guó)家漏洞庫(kù)（CNNVD）的“優(yōu)秀技術(shù)支撐單位”“漏洞獎(jiǎng)勵(lì)一級(jí)貢獻(xiàn)獎(jiǎng)”“重大漏洞消控優(yōu)秀貢獻(xiàn)獎(jiǎng)”等多項(xiàng)榮譽(yù)。

三、助力產(chǎn)業(yè)，多途徑、多維度的實(shí)戰(zhàn)化人才培養(yǎng)體系

對(duì)企業(yè)如何助力網(wǎng)安產(chǎn)業(yè)人才培養(yǎng)，我國(guó)的《網(wǎng)絡(luò)安全法》第二十條給出了明確的方向，“國(guó)家支持企業(yè)和高等學(xué)校、職業(yè)學(xué)校等教育培訓(xùn)機(jī)構(gòu)開展網(wǎng)絡(luò)安全相關(guān)教育與培訓(xùn)，采取多種方式培養(yǎng)網(wǎng)絡(luò)安全人才，促進(jìn)網(wǎng)絡(luò)安全人才交流。”

當(dāng)前，我國(guó)嚴(yán)重缺乏實(shí)戰(zhàn)攻防人才?；谧陨淼木W(wǎng)絡(luò)安全攻防和實(shí)踐對(duì)抗經(jīng)驗(yàn)，我們探索并實(shí)踐多途徑、多維度的實(shí)戰(zhàn)化人才培養(yǎng)體系，助力我國(guó)重要行業(yè)和關(guān)鍵信息基礎(chǔ)設(shè)施單位培養(yǎng)產(chǎn)業(yè)急需的實(shí)用型網(wǎng)絡(luò)安全攻防人才，賦能我國(guó)整體網(wǎng)絡(luò)安全攻防能力的建設(shè)。

一是梳理網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防人才能力知識(shí)樹，通過針對(duì)性的人才培養(yǎng)體系，幫助重要行業(yè)及關(guān)基單位提升安全隊(duì)伍的實(shí)戰(zhàn)能力。參考國(guó)家已經(jīng)發(fā)布的《網(wǎng)絡(luò)安全產(chǎn)業(yè)人才崗位能力要求》《信息安全技術(shù) 網(wǎng)絡(luò)安全服務(wù)能力要求》（GB/T32914-2023）和《信息安全技術(shù) 網(wǎng)絡(luò)安全從業(yè)人員能力基本要求》（GB/T 42446-2023）等標(biāo)準(zhǔn)，結(jié)合《網(wǎng)絡(luò)空間安全人才框架》（NIST SP800-181），以及我們多年在一線實(shí)戰(zhàn)的知識(shí)經(jīng)驗(yàn)得出的《網(wǎng)絡(luò)安全攻防能力成熟度評(píng)估模型》，針對(duì)不同層次的人才需求，推出了“珂蘭寺”“安道場(chǎng)”“小灶課”等專業(yè)人才培訓(xùn)服務(wù)和對(duì)應(yīng)的人才評(píng)估體系，從新入職人員，到長(zhǎng)線攻防人才培養(yǎng)，再到特定目標(biāo)的定制化強(qiáng)化培訓(xùn)，全面幫助企業(yè)進(jìn)行網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防人才梯隊(duì)建設(shè)。培訓(xùn)聚焦實(shí)戰(zhàn)攻防，通過持續(xù)練習(xí)、模擬情景演練、實(shí)網(wǎng)演練，加強(qiáng)學(xué)員的實(shí)戰(zhàn)技能應(yīng)用能力和對(duì)實(shí)際工作目標(biāo)的勝任能力，為國(guó)家和行業(yè)培養(yǎng)面向網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防需求的“精兵強(qiáng)將”。
二是基于自身豐富的競(jìng)賽經(jīng)驗(yàn)，協(xié)助組織網(wǎng)絡(luò)安全競(jìng)賽和攻防演練，為用人單位進(jìn)一步選拔、提升網(wǎng)絡(luò)安全隊(duì)伍的實(shí)戰(zhàn)攻防能力。競(jìng)賽和演練可以充分檢驗(yàn)評(píng)估安全團(tuán)隊(duì)在實(shí)際攻防場(chǎng)景中的技能水平，提升人才的實(shí)戰(zhàn)技能和協(xié)作能力。我們支撐了“數(shù)字中國(guó)”“數(shù)信杯”等諸多國(guó)家級(jí)賽事，并幫助金融、通信、能源等大型行業(yè)舉辦了數(shù)十場(chǎng)安全競(jìng)賽和攻防演練，幫助用人單位有效提升安全團(tuán)隊(duì)的實(shí)戰(zhàn)攻防技能。在賽事的創(chuàng)新上，注重緊跟技術(shù)發(fā)展趨勢(shì)和行業(yè)實(shí)際需求。例如，連續(xù)舉辦六屆“Real World CTF 國(guó)際網(wǎng)絡(luò)安全大賽”，主打在模擬真實(shí)場(chǎng)景的數(shù)字世界競(jìng)技切磋、發(fā)現(xiàn)和解決實(shí)際問題。近期舉辦的攻防賽事首次引入問津（ChaitinAI）安全大模型在賽事中承擔(dān)“專家角色”，不僅幫助選手答疑解惑，更是貼近未來的安全運(yùn)營(yíng)智能化發(fā)展趨勢(shì)，讓選手熟悉如何在實(shí)際工作中充分利用安全大模型“提質(zhì)增效”的能力，達(dá)到“拓寬人才的工作半徑”，實(shí)現(xiàn)更高效、更專業(yè)的安全運(yùn)營(yíng)。
三是加強(qiáng)產(chǎn)學(xué)合作與企業(yè)共建，按需定向培養(yǎng)專業(yè)實(shí)戰(zhàn)攻防人才。隨著我國(guó)“網(wǎng)絡(luò)空間安全”一級(jí)學(xué)科的設(shè)立和一流網(wǎng)絡(luò)安全學(xué)院建設(shè)示范項(xiàng)目的深入開展，高校的網(wǎng)絡(luò)安全人才培養(yǎng)工作效果顯著，但網(wǎng)絡(luò)安全技術(shù)發(fā)展日新月異，高校在實(shí)踐體系方面的建設(shè)與實(shí)際需求存在一定的滯后性。同時(shí)，企事業(yè)單位安全團(tuán)隊(duì)的實(shí)戰(zhàn)攻防能力也需要與時(shí)俱進(jìn)。對(duì)此，我們和中國(guó)海洋大學(xué)、上海電力大學(xué)等院校共同建設(shè)人才聯(lián)合培養(yǎng)基地，同時(shí)和金融、通信等行業(yè)共同建立了聯(lián)合安全實(shí)驗(yàn)室，將自身前沿的安全攻防實(shí)戰(zhàn)經(jīng)驗(yàn)，通過分門別類的實(shí)踐訓(xùn)練，達(dá)到理論與實(shí)踐的有效結(jié)合，提升院校培養(yǎng)的人才質(zhì)量，提升企業(yè)安全團(tuán)隊(duì)的綜合素質(zhì)和實(shí)戰(zhàn)攻防能力，以更好地應(yīng)對(duì)當(dāng)前新型安全風(fēng)險(xiǎn)的挑戰(zhàn)。

四、結(jié) 語(yǔ)

在信息社會(huì)日益數(shù)字化、智能化的今天，隨著網(wǎng)絡(luò)攻擊日益頻繁和復(fù)雜，網(wǎng)絡(luò)安全正在加速走向?qū)崙?zhàn)化，對(duì)網(wǎng)絡(luò)安全服務(wù)的需求也更加多樣和專業(yè)，亟需更多優(yōu)秀的實(shí)戰(zhàn)攻防人才。高素質(zhì)的網(wǎng)絡(luò)安全漏洞人才乃至實(shí)戰(zhàn)攻防人才的培養(yǎng)是一個(gè)長(zhǎng)期且系統(tǒng)的工程，需要對(duì)不同安全能力進(jìn)行深度應(yīng)用和有機(jī)整合。未來，政府、高校、企業(yè)和社會(huì)各界應(yīng)進(jìn)一步協(xié)同合作，共同努力，通過多層次、多渠道的培養(yǎng)策略，有效提升網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防人才的數(shù)量和質(zhì)量，為數(shù)字時(shí)代國(guó)家安全、社會(huì)穩(wěn)定和經(jīng)濟(jì)發(fā)展提供強(qiáng)有力的人才支撐。

（本文刊登于《中國(guó)信息安全》雜志2024年第11期）