文 | 北京長亭科技有限公司 楊坤 余慧英 袁勝

習近平總書記指出，“網絡空間的競爭，歸根結底是人才競爭”。面對當前日益嚴峻的網絡空間安全態(tài)勢，高水平高質量的專業(yè)網絡安全人才隊伍，將是捍衛(wèi)我國網絡空間安全的中堅力量。其中，一線的網絡安全攻防實戰(zhàn)人才尤為稀缺。正如習近平總書記所說，“網絡安全的本質在對抗，對抗的本質在攻防兩端能力較量”。有效的網絡安全防御需要高水平實戰(zhàn)攻防人才的關鍵支撐，加快培養(yǎng)專業(yè)的網絡安全攻防人才隊伍，已刻不容緩。

一、嚴峻的漏洞態(tài)勢催生實戰(zhàn)人才培養(yǎng)需求

漏洞研究與風險消控能力，是實戰(zhàn)攻防能力建設中重要的一環(huán)。在數字化、智能化日益普及的今天，漏洞已經成為網絡安全的核心問題之一。它們是網絡攻擊者入侵系統(tǒng)的主要突破口。無論是重大的“零日漏洞”，還是廣泛被利用的“在野漏洞”，都可能導致數據泄露、系統(tǒng)癱瘓等嚴重后果，不僅威脅著企事業(yè)單位的業(yè)務運轉，甚至對國家、社會和經濟產生深遠影響。同時，漏洞更是網絡空間安全的重要戰(zhàn)略資源，是實戰(zhàn)攻防“軍火庫”的主要來源。

根據工業(yè)和信息化部電子第五研究所發(fā)布的《2024 上半年網絡安全漏洞態(tài)勢報告》，2024 年上半年，全球共計披露漏洞數量達到 20548 個，同比增長 46.16%。不僅漏洞數量在持續(xù)增長，高危漏洞占比不斷增加，漏洞利用難度也在持續(xù)降低。除了傳統(tǒng)的系統(tǒng)和應用漏洞，云計算、物聯網、車聯網、人工智能等新興技術領域的漏洞也層出不窮。這些都增加了漏洞管理和防御的難度，漏洞所帶來的網絡安全挑戰(zhàn)日益嚴峻。

完善有效的漏洞管理可以及時發(fā)現和修復潛在的安全隱患，提高信息系統(tǒng)的安全防護能力，保障數據安全和業(yè)務連續(xù)性，提升國家網絡安全的整體防御水平。人才是漏洞管理的核心要素，為此，需要培養(yǎng)、建設一支高水平的實戰(zhàn)攻防人才隊伍，以應對漏洞所帶來的安全挑戰(zhàn)。

漏洞的挖掘、管理、應急響應是一項高度技術性的工作，要求從業(yè)者具備多方面的能力和素質，例如 Web 漏洞利用與挖掘、系統(tǒng)層漏洞利用與挖掘等技術能力，各種安全工具的使用能力，編程開發(fā)能力、滲透測試能力等。這些能力需要在日常的實戰(zhàn)攻防中積累和提升，加強網絡安全攻防實戰(zhàn)人才的培養(yǎng)已成為行業(yè)趨勢。

長亭科技自成立以來，堅持網絡安全攻防兩端的能力建設，并在國內外網絡安全競賽以及國家和各地區(qū)各行業(yè)的實網攻防演練中得到了實際驗證，被評為“最了解攻擊的防守隊伍”。基于多年在網絡安全攻防一線，特別是在關鍵信息基礎設施單位安全服務的實踐，我們對攻防人才的培養(yǎng)已經形成了“內外兼修”的完整體系和方法。

二、以戰(zhàn)育人，以學促戰(zhàn)，建設規(guī)模化攻防能力

提及網絡安全攻防人才時，人們首先想到的可能是縱橫于網絡空間的“極客”。然而，真正的“超級高手”畢竟是少數，面對當前無處不在的網絡空間以及層出不窮的安全風險，再厲害的高手也奈何力有所不逮。對于小規(guī)模的安全團隊或許可以依賴個別明星級人物維持其能力，但對于擁有數百甚至上千人規(guī)模的企業(yè)而言，如何構建并保持一致高標準的服務能力成為一個難題。對此，我們認為實戰(zhàn)攻防能力建設是人員能力、自動化平臺能力和數據情報能力的有效聚合，并從以下四個方面進行了探索實踐。

一是多類型人才能力明確定位，搭建立體攻防技術體系。術業(yè)有專攻，實戰(zhàn)攻防包括了多個專業(yè)技術領域。根據在實際安全服務中反饋的需求信息，我們將攻防人員分為安全研究人才、安全研發(fā)人才、安全服務人才等三種類型。安全研究人才負責漏洞的挖掘與利用、防護對抗技術等方面的深入研究，將研究的成果賦能到攻防知識庫和攻防平臺，做好知識庫的建設和數據情報的維護，為一線人員提供“彈藥”。安全研發(fā)人才負責攻防工具平臺的研發(fā)與完善，提供可靠高效的自動化攻防平臺、技能實訓平臺和知識運營平臺。安全服務人才直接面向一線用戶，依托自動化攻防平臺和知識庫，在實戰(zhàn)場景開展?jié)B透測試、風險發(fā)現、評估驗證、應急響應、托管運營等安全服務，并將需要改進完善的信息反饋給平臺和知識庫。通過精細分工，正向循環(huán)，打磨并建設符合實戰(zhàn)場景需求的攻防人才隊伍，最終形成規(guī)模化、自動化、統(tǒng)一化的高水平安全服務能力。
二是對攻防人才進行分類畫像，實施精細培養(yǎng)。安全研究人才是攻防體系中最基礎、最核心的部分，培養(yǎng)時需要強化其計算機基礎能力，以及廣度和深度兼具的研究能力。例如，軟硬件、應用、內核和通信協議的全方位分析能力，聚焦行業(yè)實際需求，產出高價值的漏洞研究成果。安全研發(fā)人才則首要培養(yǎng)其研發(fā)能力，目標是研發(fā)為先、安全兼修、效果導向，專注打造好用且專業(yè)的工具平臺。安全服務人員則需培養(yǎng)其守正為先、勤奮踏實、善學善思的精神，熟練掌握攻防知識和專業(yè)技能，對突發(fā)情況做到應對自如。
三是打造以戰(zhàn)育人、以學促戰(zhàn)的人才培養(yǎng)體系。有了明確的定位和人才團隊，還需要持續(xù)培養(yǎng)、提升不同人才的專業(yè)能力。善戰(zhàn)之師是在一線實戰(zhàn)中淬煉出來的。對內，建設了實訓平臺，將攻防知識和技能，通過豐富的課程、實操和靶場練習，不斷提升人員的綜合能力，做到以學促戰(zhàn)。對外，通過攻防演練、安全競賽、安全服務等實戰(zhàn)場景，以戰(zhàn)練兵、以戰(zhàn)育人，持續(xù)檢驗和提升攻防團隊在實際場景的攻防能力和整體協同能力。
四是合規(guī)意識教育，將保密意識、國家安全牢記心中，做到“人人有責、人人盡責”。網絡安全不僅是技術問題，更是一項涉及國家安全、社會穩(wěn)定和公民個人權益的重大議題。服務的客戶越多，肩負的國家安全責任就更重大。國家安全已經貫穿于各項業(yè)務的方方面面，內部員工的安全意識是國家安全防線的第一道屏障。長亭科技以“4·15”國家安全教育日、“國家網絡安全宣傳周”等活動為契機，通過組織線上線下全方位的意識宣傳教育、全員考試、講座培訓等方式，讓全體員工了解總體國家安全觀理念，熟悉國家安全、網絡安全、保密、反間諜等相關法律法規(guī)，清楚國家安全與自身工作的內在聯系，知悉工作中可能出現的安全風險和應對方法，切實增強全體員工的國家安全以及合規(guī)意識。同時，在合規(guī)管理方面，我們制定了完善的安全行為準則和應急機制，最終實現在全公司建立安全思維、合規(guī)思維、法治思維，讓每一個員工在日常工作中都能嚴守法律法規(guī)和工作紀律，具備良好的職業(yè)道德，合法合規(guī)開展工作。

在這些措施的努力下，我們形成了多技術領域的先進漏洞研究能力，取得了顯著的成果。一方面，在日常工作和攻防演練中，持續(xù)發(fā)現關鍵和高危漏洞，不僅輸出多類型的國產化軟硬件漏洞成果，協助國家關鍵信息基礎設施單位消除安全風險，同時持續(xù)強化長亭攻防知識庫的能力底座，為更專業(yè)、可靠的安全服務提供支撐。另一方面，以強烈的責任擔當和積極的履責實踐，對國家漏洞管理機構實施高質量技術支持，發(fā)現并報告了多項高危漏洞，為國家信息安全保障事業(yè)做出切實貢獻。例如，我們獲得了中國信息安全國家漏洞庫（CNNVD）的“優(yōu)秀技術支撐單位”“漏洞獎勵一級貢獻獎”“重大漏洞消控優(yōu)秀貢獻獎”等多項榮譽。

三、助力產業(yè)，多途徑、多維度的實戰(zhàn)化人才培養(yǎng)體系

對企業(yè)如何助力網安產業(yè)人才培養(yǎng)，我國的《網絡安全法》第二十條給出了明確的方向，“國家支持企業(yè)和高等學校、職業(yè)學校等教育培訓機構開展網絡安全相關教育與培訓，采取多種方式培養(yǎng)網絡安全人才，促進網絡安全人才交流。”

當前，我國嚴重缺乏實戰(zhàn)攻防人才。基于自身的網絡安全攻防和實踐對抗經驗，我們探索并實踐多途徑、多維度的實戰(zhàn)化人才培養(yǎng)體系，助力我國重要行業(yè)和關鍵信息基礎設施單位培養(yǎng)產業(yè)急需的實用型網絡安全攻防人才，賦能我國整體網絡安全攻防能力的建設。

一是梳理網絡安全實戰(zhàn)攻防人才能力知識樹，通過針對性的人才培養(yǎng)體系，幫助重要行業(yè)及關基單位提升安全隊伍的實戰(zhàn)能力。參考國家已經發(fā)布的《網絡安全產業(yè)人才崗位能力要求》《信息安全技術 網絡安全服務能力要求》（GB/T32914-2023）和《信息安全技術 網絡安全從業(yè)人員能力基本要求》（GB/T 42446-2023）等標準，結合《網絡空間安全人才框架》（NIST SP800-181），以及我們多年在一線實戰(zhàn)的知識經驗得出的《網絡安全攻防能力成熟度評估模型》，針對不同層次的人才需求，推出了“珂蘭寺”“安道場”“小灶課”等專業(yè)人才培訓服務和對應的人才評估體系，從新入職人員，到長線攻防人才培養(yǎng)，再到特定目標的定制化強化培訓，全面幫助企業(yè)進行網絡安全實戰(zhàn)攻防人才梯隊建設。培訓聚焦實戰(zhàn)攻防，通過持續(xù)練習、模擬情景演練、實網演練，加強學員的實戰(zhàn)技能應用能力和對實際工作目標的勝任能力，為國家和行業(yè)培養(yǎng)面向網絡安全實戰(zhàn)攻防需求的“精兵強將”。
二是基于自身豐富的競賽經驗，協助組織網絡安全競賽和攻防演練，為用人單位進一步選拔、提升網絡安全隊伍的實戰(zhàn)攻防能力。競賽和演練可以充分檢驗評估安全團隊在實際攻防場景中的技能水平，提升人才的實戰(zhàn)技能和協作能力。我們支撐了“數字中國”“數信杯”等諸多國家級賽事，并幫助金融、通信、能源等大型行業(yè)舉辦了數十場安全競賽和攻防演練，幫助用人單位有效提升安全團隊的實戰(zhàn)攻防技能。在賽事的創(chuàng)新上，注重緊跟技術發(fā)展趨勢和行業(yè)實際需求。例如，連續(xù)舉辦六屆“Real World CTF 國際網絡安全大賽”，主打在模擬真實場景的數字世界競技切磋、發(fā)現和解決實際問題。近期舉辦的攻防賽事首次引入問津（ChaitinAI）安全大模型在賽事中承擔“專家角色”，不僅幫助選手答疑解惑，更是貼近未來的安全運營智能化發(fā)展趨勢，讓選手熟悉如何在實際工作中充分利用安全大模型“提質增效”的能力，達到“拓寬人才的工作半徑”，實現更高效、更專業(yè)的安全運營。
三是加強產學合作與企業(yè)共建，按需定向培養(yǎng)專業(yè)實戰(zhàn)攻防人才。隨著我國“網絡空間安全”一級學科的設立和一流網絡安全學院建設示范項目的深入開展，高校的網絡安全人才培養(yǎng)工作效果顯著，但網絡安全技術發(fā)展日新月異，高校在實踐體系方面的建設與實際需求存在一定的滯后性。同時，企事業(yè)單位安全團隊的實戰(zhàn)攻防能力也需要與時俱進。對此，我們和中國海洋大學、上海電力大學等院校共同建設人才聯合培養(yǎng)基地，同時和金融、通信等行業(yè)共同建立了聯合安全實驗室，將自身前沿的安全攻防實戰(zhàn)經驗，通過分門別類的實踐訓練，達到理論與實踐的有效結合，提升院校培養(yǎng)的人才質量，提升企業(yè)安全團隊的綜合素質和實戰(zhàn)攻防能力，以更好地應對當前新型安全風險的挑戰(zhàn)。

四、結 語

在信息社會日益數字化、智能化的今天，隨著網絡攻擊日益頻繁和復雜，網絡安全正在加速走向實戰(zhàn)化，對網絡安全服務的需求也更加多樣和專業(yè)，亟需更多優(yōu)秀的實戰(zhàn)攻防人才。高素質的網絡安全漏洞人才乃至實戰(zhàn)攻防人才的培養(yǎng)是一個長期且系統(tǒng)的工程，需要對不同安全能力進行深度應用和有機整合。未來，政府、高校、企業(yè)和社會各界應進一步協同合作，共同努力，通過多層次、多渠道的培養(yǎng)策略，有效提升網絡安全實戰(zhàn)攻防人才的數量和質量，為數字時代國家安全、社會穩(wěn)定和經濟發(fā)展提供強有力的人才支撐。

（本文刊登于《中國信息安全》雜志2024年第11期）