聚焦实战型安全测评人才培养,《网络安全人才实战能力白皮书——安全测试评估篇》发布

光明网

2024-09-10 19:30发布于北京光明网官方账号

  9月10日,国内首个聚焦“安全测试评估”的白皮书——《网络安全人才实战能力白皮书-安全测试评估篇》(以下简称白皮书)在国家网络安全宣传周发布。
  白皮书由国务院学位委员会学科评议组(网络空间安全组)、教育部高等学校网络空间安全专业教学指导委员会指导,北京航空航天大学、中国科学技术大学、永信至诚科技集团股份有限公司担任主编单位,华中科技大学、西安电子科技大学、上海交通大学、山东大学、北京邮电大学、东南大学、暨南大学、武汉大学、北京理工大学、湖南大学、哈尔滨工业大学、西北工业大学、天津大学、战略支援部队信息工程大学、北京电子科技学院、四川大学、中国信息安全测评中心、《网络空间安全科学学报》、中国联合网络通信集团有限公司、中通服华信咨询设计研究院、华为技术有限公司、蚂蚁科技集团股份有限公司、南方电网数字电网集团信息通信科技有限公司、福建师范大学、中国刑事警察学院、中国烟草总公司福建省公司担任副主编单位。
图片
教指委副主任委员、中科大网络安全学院执行院长俞能海发布报告
  白皮书通过大量一线网络安全从业人员、网络安全相关专业在校学生问卷调研数据及网络安全人才测评演练数据分析,呈现供给侧、需求侧安全测试评估人才的基本情况、培养情况和岗位实践。
  结合专家实战精髓,白皮书以理论与实践相结合的方式创新提出了一套立体化综合评价安全测评人才能力的——GPE方法。白皮书定义的安全测评人才,即具备风险发现、风险验证能力的网络安全实战人才,能够利用现有安全工具及相关技术,独立开展并完成安全测试评估工作,通过客观、可信的安全测评报告,指导组织和机构完成风险发现、风险验证、风险收敛的闭环。
  根据白皮书调研数据,当前我国网络安全测评人才整体呈短缺的态势,从业人员规模总量不足,大量工作以“非专职”的方式完成,各类安全工作角色存在供需不平衡的现象。由于高水平、充分理解业务场景的安全测试评估人员不足,测试评估工作形式化问题逐渐显现,测试评估结果的有效性也难以得到保障。
  白皮书通过大量一线网络安全从业人员、网络安全相关专业在校学生调研问卷及网络安全人才测评演练数据,分析呈现供给侧、需求侧安全测试评估人才的基本情况、培养情况和岗位实践,系统的梳理了当前我国网络安全测试评估人才建设现状与面临的现实挑战。
  其中,用人单位安全测评人员队伍规模亟需补充,实战型网络安全人才安全测评能力不足。在需求侧,从用人单位安全测评人才所在地域来看,北京、广东、上海排名前三,分别占13.0%、12.3%、9.0%。数据表明,北上广表现出了人才集聚优势;其他省市安全测评人才分布则相对平衡,产业规模和人才需求在全国分布趋于均匀。
图片
用人单位安全测评人才地域分布
  作为常态化安全检查、发现漏洞和隐患、有效预防和避免网络安全事件的主力军,安全测评人员在数字化建设中的关键作用日益凸显。但限于我国实战型网络安全人才欠缺、实战型网络安全人才安全测评能力不足,用人单位安全测评人员队伍规模较小成为普遍现象。
  实战教师占比偏低、教材缺乏,成为高校安全测评人才培养限制因素。在供给侧,我国院校中,有意向从业安全测评工作的在读学生,就读专业占比最高的是信息安全和网络空间安全,分别为26%、25%;其次是计算机科学与技术专业、网络工程专业和软件工程专业。这说明我国院校非常重视安全测评人才的培养,在加强网络安全专业安全测评教学的同时,也积极打破学科界限,拓展跨学科教学,促进人才走向相关岗位。
图片
意向从业安全测评工作的在校学生所读专业情况
  整体而言,目前,网络安全相关专业的学生对安全测评认知度有待提升,相关专业的教学中对安全测评相关的教材使用不多可能是导致这一现象的原因之一;市面上重点针对安全测评的书籍总体数量较少,缺乏专为高校教学编写的教材;安全测评相关教材的编写出版大多围绕安全测评相关知识展开,且不同方向数量分布不均。
  建立科学的安全测评人才能力评价方法,是破解供需矛盾的关键。白皮书创新提出了一套立体化综合评价安全测评人才能力的GPE方法。
  围绕通用能力(GeneralAbility)、专业能力(Professional Ability)和评价等级(Evaluation Level)三个方面,形成了一种综合性框架,为安全测评人才的培养和选拔提供系统化的指导。GPE方法不仅有助于系统评价安全测评人才的整体素质,也是安全测评人才选拔的标准,同时也可以作为安全测评人才招聘的参考依据。
图片
安全测评人才能力评价GPE方法
  GPE方法为安全测评岗位人才分类分级的评价提供了思路,提出安全测评人才岗位分类分层方式,针对渗透测试工程师、安全攻防工程师、等级保护测评师、安全产品测评工程师等最典型的安全测评岗位,精准描述不同岗位、不同层级的评价要求及方式,将每个岗位划分为不同层级,根据实际情况合理定义不同岗位不同层级应具备的通用能力和专业能力,从而建立一个安全测评人才岗位评价要求表。
  基于GPE评价模型,可以对人才能力、水平进行多方位评估,细致、全面了解人才的综合能力,为用人单位选拨人才、培养人才、构建和优化人才梯队提供参考。同时,也可以帮助人才在职业发展中清晰地了解自己的现状和未来发展方向。(记者 李政葳 孔繁鑫 曾震宇)
来源:光明网
查看原图 136K