声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
随着互联网行业的迅速发展,网络安全带来的风险不断增加,并不断向着政治、经济、文化、国防等多个领域传导渗透,近几年,国家对网络安全的重视程度也随之不断加强。习总书记讲到”没有网络安全,就没有国家安全”,现已从原有单纯的网络安全,上升到了国家安全。
目前国内的网络安全人才队伍极度稀缺,真正了解安全的人员少之又少,供不应求。那么是什么原因导致如今网络安全人才这么短缺的呢?对此小编总结了以下几点:
(1)国内对网络安全的认知,时间比较晚
(2)传统教育(高中/大学)缺乏网络安全的相关课程;
(3)企业逐利心理,导致不重视网络安全问题;
(4)网络安全的建设需要一定程度上的开销;
在面临网络安全人才短缺的环境下,该如何更好的发挥自身价值呢?对于甲方企业成立了自己的SOC/ISOC团队,负责本公司的安全运营。对于乙方企业则是以多产业链形式为甲方提供安全需求。甲乙双方互利共存。但是,对于研究类型的企业或者机构,部分出现了响亮的口号,不乐观的产出。这又是为什么呢?仔细想了想,企业类型不一样,成果体现也就不同,小编总结了几点:
(1)网络安全做科研成效低,现有的SCI/EI期刊比较少;
(2)可量化成果比较少,例如,对提交的CVE/CNVD漏洞认可度比较低;
(3)安全人员大多不是科班出身,对研究网络安全知识深度不够;
(4)安全面太广,项目/研究课题更换频繁,导致研究不深入等;
除了上述提到的几点导致产出不高以外,对于综合型的研究机构,和部门的划分也有很大的关系。网络安全人员分散在了各个部门,而各研究部门又各自为战,在网络安全人才极度紧缺的情况下,导致很多的不良效果:
(1)增加了企业运作成本问题,各个部门对于攻防人才,各自为战,原有10人成本问题,扩增到了n*10人的成本(n表示研究部门数量),增加了企业的人力成本开销。
(2)如果科研/项目方向不是网络安全方向,则导致网络安全人员和项目匹配程度比较低,如果网络安全人员参与非网络安全方向,则会限制了网络安全人才的发展。对于科研/项目方向,频繁的更换科研/项目方向,同样也不利于网络安全人才队伍的发展。
(3)大大降低了对外的凝聚力,对于外部项目/安全竞赛等,各部门各自为战,“存在内耗”。网络安全人才不能做到“才尽其用”的效果,则会导致缺乏优势互补。
(4)各研究部门1-2个网络安全人员之间的交流学习效果不佳,学习氛围也不容乐观。
(5)网络安全是一个很庞大的体系,没有人能够做到全部精通的地步。如果作为领导者,不能对整个网络安全体系有深入了解的话,很可能会现“南辕北辙”的效果。
对于,研究型企业该如何定位和使用安全攻防人才,小编认为应将网络安全人才队伍进行整合,作为各个研究部门的纽带,为各个研究部门提供技术/咨询类支撑,同时又与各个研究部门相关的科研有力衔接。其次,可以增加网络安全人才队伍的奖励、激励政策,调动网络安全的人才的主观能动性,做到”才尽其用“。
(1)毋庸置疑,网络安全人才队伍整合,最大的一个好处是降低了企业的成本开销问题,由原来的n*10人成本问题,减少到了10个人的成本;
(3)纽带作用,对于不同部门的研究领域安全问题,都有不同的安全人员与之对应支撑,更加方便沟通;
(4)方便调用,协调与安排,根据每年的研究方向,可安排往年临近该方向的安全人员做相关方向的安全支撑,节省很大的时间成本问题;
(5)加强了企业的凝聚力,可以发挥各个安全人员的优势,进行优势互补,对外能够争荣誉,对内能够解决一系列科研问题;
(6)便于验证实验预言的效果以及科研产出的成果,对提出的安全相关科研方法论在实验环境中进行复现,检验方法论的可行性。
以上是小编的一些简单看法,如有不当地方,请及时给我留言,更正!
– 往期推荐 –
系统日志 | Linux系统日志介绍
靶场攻略 | Moriarty Corp靶场攻略
致力于网络安全研究!
betasec公众号
原文始发于微信公众号(betasec):论研究型机构对网络安全人才队伍的定位和使用