编程语言AI算法
网络安全人才供需严重失衡,预计 2027 年缺口将扩大到 300 万人
我国网络安全市场规模高速增长,但人才供需严重失衡,累计缺口超 140 万,预计 2027 年达 300 万。行业本质是攻防对抗,当前人才结构底部过大顶部过小,缺乏懂业务懂管理的高端综合型人才及首席安全官(CSO)。解决之道在于加强顶层设计,推动高校与企业协同培养,重视实战经验与逆向思维,并建立从救火队员向战略专家进阶的职业路径。
我国网络安全市场规模高速增长,但人才供需严重失衡,累计缺口超 140 万,预计 2027 年达 300 万。行业本质是攻防对抗,当前人才结构底部过大顶部过小,缺乏懂业务懂管理的高端综合型人才及首席安全官(CSO)。解决之道在于加强顶层设计,推动高校与企业协同培养,重视实战经验与逆向思维,并建立从救火队员向战略专家进阶的职业路径。
网络安全法正式实施 5 年了。这 5 年,是网络安全法治化体系化日趋完善的 5 年,也是我国网络安全产业黄金发展的 5 年。
赛迪顾问数据显示,2016 年,我国网络安全市场规模为 336.2 亿元;而 2021 年,市场规模达到 900 多亿元。然而,在这 5 年近 3 倍的高速增长背后,却是网络安全行业人才供需失衡——如今,国内网络安全专业人才累计缺口超 140 万人,首席安全官(CSO)更是整个网络安全行业中的极度稀缺人才。
在大多数人眼中,网络攻击似乎是个遥远的词汇。但事实上,近年来针对民生领域的网络攻击时有发生,尤其关键基础设施成为首要攻击目标。
4 月 28 日,北京健康宝在使用高峰期间就曾遭受到'境外网络攻击'。事后据 360 网络安全研究院披露,这是一起典型的网络拒绝服务攻击(DDoS 攻击)事件,攻击者利用大量被入侵的网络设备,比如个人电脑、服务器等,向被攻击对象服务器发送海量的网络流量,影响其正常服务。为北京健康宝提供网络安全服务的是北京东方棱镜科技有限公司。该公司保障团队进行了及时有效应对,受攻击期间北京健康宝相关服务未受影响。
北京东方棱镜科技有限公司董事长何华,全国工商联大数据(网络安全)委员会委员,涉足网安行业已近 30 年。何华对媒体记者回忆,1992 年,他进入网安行业时,国内还没有单独的网络安全行业,市面上只有杀毒软件,包括公安部出的 kill 软件、江民出的 kv 系列软件等。那时整个信息化软件行业都刚刚开始,软件还是 DOS 时代,硬盘、内存还是按兆计算的,每个人都可以创造创新,都可以独立改变时代,高手都用汇编语言写程序,软件逆向破解很有市场。何华就是从软件逆向破解、编写杀毒软件入行的。因为有了网络安全相关的法律法规要求,当前软件破解行为成了敏感内容。
1997 年,何华发现微软 Foxpro 软件漏洞并汇报给微软,当年开始独立创业。之后在启明星辰公司担任研发负责人、专家团专家直到 2014 年,然后就创办了现在的棱镜科技公司。1999 年,美国轰炸中国驻南联盟大使馆事件,民族情绪激增,促使中美红客网络大战,何华也是主要参与者之一。2000 年以后,我国也开始重视网络安全行业了,2004 年 9 月,公安部联合国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室共同发布了公通字【2004】66 号文《关于信息安全等级保护工作的实施意见》,这份法规文件的发布标志着等级保护工作在我们国家已开始正式推动实施。
时代滚滚向前,30 年后的网络发展,已非 30 年前所能想象。'如今,世界大国都将网络作为谋求战略优势的新手段,对内不断加强顶层设计、能力建设和安全审查,对外抢抓网络空间控制权、规则制定权和话语权。'中国网络空间安全协会人才培养专家组常务副组长、国科华盾(北京)科技有限公司高级副总裁潘彭丹表示。
随着网络安全强国建设目标在国家战略层面的高度不断提升,网络安全能力提升成为我国'十四五'期间的重点工作任务,网安能力提升将是我国快速实现数字经济转型的重要能力支撑。'国家相继颁布了网络安全法、数据安全法、个人信息保护法、网络安全审查办法等法律法规和规范性文件,对企业的信息安全能力建设提出了更高的要求,也进一步压实了企业的网络安全责任。'潘彭丹说。
'网络安全行业的本质是人与人之间的攻防对抗。'河南金盾信安检测评估中心有限公司董事长、河南省法学会网络与信息法学研究会常务副会长兼学术委员会主任梁宏表示,随着信息技术的快速发展,国家、企业层面的网络安全空间竞争越演越烈,归根到底是人才的竞争。人才队伍建设是整个网络安全行业合规管理机制建立健全的核心。
如今的计算机网络安全技术不仅包括计算机硬件设备的抑制和防止电磁泄漏(即 TEMPEST 技术)、防盗、防自然灾害等技术,还包括数据加密、智能卡及防火墙技术等访问控制及信息保密策略设计。梁宏说,这意味着,成为一名网络安全技术专家不仅要懂得计算机硬件设备,还需了解各类软件程序上的漏洞,并要对潜在的安全隐患进行过滤。换句话说,网络安全岗位并非传统概念上只要略懂计算机操作就能胜任的,网络安全人才非常稀缺。
何华告诉媒体记者,网络安全从业人员的功力可类比武林高手,有用刀的、有做刀的,也有不用任何现成武器的高手。在 2000 年的某次著名对抗中,由国内网络安全人士通过网络自发形成虚拟战队,何华就是虚拟战队成员之一,属于提供网络武器的角色(做刀的)。虚拟战队攻克对手国网站,挂国旗,宣誓主权,宣泄对对方的愤怒。为了便于伙伴们更迅速地攻城拔寨,何华相继开发了利用 Solaris 系统漏洞的提权工具、WIN2000 系统的漏洞利用工具,破解了 DEC 小型机的管理工具等,通过利用这些工具,战友才能顺利地把国旗挂在对方的网站上,宣誓我们的网络攻击成果。
何华认为,网络安全行业更是年轻人的天下,年轻时容易培养逆向思维,网络安全工作很多方面需要在攻防、对抗角度去思考问题。这与近几年发布的《网络安全产业人才发展报告》统计数据相吻合。数据显示,近两年来八成以上的网络安全从业人员集中于 25 岁至 40 岁之间的中青年,过半都是 35 岁以下的,年龄在 30 岁至 35 岁之间的占比最高,约为 35%。结合工作年限来看,从业 5 年至 10 年的人数最多,为 34.58%,10 年至 15 年和不到 5 年的从业人数占比次之,分别为 27.16% 和 18.5%,反映了网络安全领域从业人群的年轻化现象。
'这说明网络安全领域对青年人才存在较高的吸引力,但资深人才储备不足,以及新人培养和留育难度大,将成为企业普遍面临的挑战。'潘彭丹说。
在何华看来,现在很多年轻人不爱当码农,但喜欢安服岗位,因为有挑战,工作新奇,道高一尺,魔高一丈,网络安全态势日新月异,攻防、渗透工作每天都有新东西,与网络对端看不见的陌生人对抗,经过 4 年至 5 年的历练,一般可以独立作战了。'网络安全行业的魅力在于与看不见的对手斗争,你来我往,就像带兵打仗一样。'何华理解,这才是网络安全行业从业人员的核心工作。
在网络安全攻防渗透方面,博士不一定就是高手,初/高中生也不一定就不行,有的初/高中生安服攻防渗透能力远超本科、硕士、博士。'天分,悟性,逆向思维,经验积累,机遇无处不在。'何华说。
何华表示,网络安全行业比较敏感,可以亦魔亦道。有的人在国家队为国家各行业单位网络安全保驾护航,有的人进入上市企业成为正规部队,有的在创业企业摸爬滚打,但也有大量黑灰产业链上的从业者。而黑灰产业从业人员是需要当今网络安全行业主管部门重点整治的。
随着国家从立法层面和政策指导层面持续提升对网络安全的重视程度,我国网络安全产业迎来快速发展。据中国网络安全产业联盟(CCIA)数据统计,2021 年上半年,我国共有 4525 家公司开展网络安全业务,相比上一年增长 27%。值得关注的是,虽然 2021 年我国网络安全市场规模实现了 20% 以上的高速增长,但网络安全人才供给却并未保持同步增长。官方数据显示,2021 年,网络安全人才缺口达 140 万人,预计 2027 年缺口将进一步扩大到 300 万人。
潘彭丹指出,网络安全人才十分稀缺,而每年网络安全相关专业的高校毕业生规模仅两万余人,由此可见,我国网络安全人才供给存在'青黄不接'的情况,人才成长和培养速度显著落后于技术与社会变革的整体速度。'网络安全人才供需严重失衡,不仅体现在数量,更体现在不同类型人才供给和需求之间的错位。'潘彭丹说。
现阶段由于行业发展特点,人才队伍呈现底部过大,顶部过小的结构,即从事运营与维护、技术支持、风险评估与测试的人员相对较多,从事战略规划、架构设计的人员相对较少,尤其缺乏既懂业务懂政策、又懂技术懂管理的高端综合型人才。目前,大多数企业只设置了 1 至 2 人负责公司网络安全工作,而且大部分都是 IT 技术人员兼着相关网络安全工作,这些人员尽管有一定的技术基础,但是缺少对网络安全、数据安全的专业、系统性知识和技能储备。'重产品、轻服务、重技术、轻管理'的现象仍很普遍,导致人才的供需矛盾不断加深。
潘彭丹认为,网络安全负责人一直都是数字化业务的关键推动者,要时刻把企业安全和企业业务相融合,明确帮助公司或高级管理层实现战略目标或保障其利益,确保帮助业务,并制定基于业务、可量化、可衡量的工作目标,而不是单一依靠相关软件或设备来对本单位的网络安全进行风险应对和管理。
梁宏也指出,针对网络安全的管理,多数企业都是被动式的应急和管理,缺少对本单位整体网络安全、数据安全的顶层设计和长远规划,从而导致本单位时常遭到外部网络攻击,造成公司及客户信息泄露、设备无法正常运转等现象时有发生,给企业正常生产经营造成重大影响和损失。
随着企业对网络安全的战略定位升级,对具有战略思维、高精尖网安技术、丰富实战经验的复合型网络安全人才需求迫切,例如,首席安全官正是为企业培育打造的网络安全专业复合型人才。
国际上,1995 年,一名黑客闯入了花旗银行的计算机系统,窃取了超过 1000 万美元的资金。随后,信息安全专家斯蒂夫·凯茨(Steve Katz)加入花旗银行,并被任命为首席信息安全官,被公认为全球第一个首席信息安全官。1999 年,美国通过'格雷姆 - 里奇 - 比利雷法案',即金融现代化法案,要求金融企业的董事会任命一名首席信息安全官,并每年让首席信息安全官向董事会报告安全状况。这一法案再次推动了首席信息安全官的设立与普及。
据调查,2018 年至 2019 年期间,拥有首席安全官的全球机构数量增加了 6%。Gartner 数据预计,到 2025 年,40% 的公司将拥有一个由董事会成员监督的专门网络安全委员会。而根据 Forrester 公司 2020 年的研究报告,已有 13% 的首席安全官被认为是最高层管理人员,这一数字远远高于几年前的 5% 或 6%。
我国首席安全官制度于 2015 年在上海率先推行,提出了通过聘请具有丰富网络安全管理经验的人士担任首席安全官。潘彭丹认为,未来社会对网络安全从业人员的需求定位已不再是扮演'救火队员'的角色,更多地是希望员工向网络安全专家(如首席安全官)的角色发展。'救火队员'向首席安全官的转化,是阶梯式的能力进阶。
然而,一个尴尬的事实是,供给端的不足导致人才难寻。曾有游戏公司以年薪 300 万元聘请首席安全官,却没能招揽来。'没有人才梯队储备,一切都是空谈。'何华对媒体记者表示,网络安全行业将来面临应用领域拓展、场景化应用爆发,人才储备将更加捉襟见肘。
何华指出,我们整个网络安全行业普遍缺乏对客户业务的理解,这个是通病,也是后面网络行业迟早要解决的事情,当然也与我们的人才储备和培养导向有关系。随着数字化转型的深入,首席安全官目前正面临一大关键时刻:如果能够支撑数字化转型,首席安全官将真正成为企业发展战略的重要推动者。《安永 2021 年首席执行官研究报告》显示,68% 的首席执行官正规划未来 12 个月内在数据和技术方面进行重大投资,这也将刺激对首席安全官等高端岗位的需求快速增长。
与此相对应的是,近年来,随着国家网络安全强国建设的大力推进,各地政府及各行业的企业也开始重视对网络安全人才的培养,首席安全官、首席数据官等职业发展迅速。当前,上海、浙江、江苏等地已陆续开展首席安全官培训和首席安全官高峰论坛等活动。2021 年年底,中国网络空间安全协会在北京举办了全国性的首期首席安全官高级研修班,邀请了业内知名专家作为讲师,学员大部分为中信、国家电网等央企的网络安全负责人及网络安全公司的 CTO、COO 等,效果明显,在业内也产生了一定影响力。
潘彭丹相信,首席安全官绝对不是网络安全从业人员的职业'天花板',未来网安人员的发展空间潜力无限。
面对如此巨大的人才缺口,单纯依靠高校教育已无法满足市场需求,必须构建政府、企业、高校协同的多层次人才培养体系。
高校课程设置往往滞后于技术发展,学生在校期间接触的多为基础理论,缺乏真实的攻防环境演练。建议高校引入更多来自企业的实战导师,建立校企联合实验室,让学生在校期间就能接触到真实的漏洞挖掘、渗透测试案例。同时,鼓励高校举办 CTF(Capture The Flag)竞赛,以赛促学,培养学生的逆向思维和动手能力。
企业不能仅依赖外部招聘,应建立内部的安全人才培养计划。对于初级安全人员,提供系统的技能培训,涵盖网络协议分析、漏洞原理、安全工具使用等;对于中级人员,重点培养其架构设计能力和应急响应能力;对于高级人员,则侧重战略规划和风险管理能力的培养。此外,鼓励员工考取 CISP、NISP 等专业认证,提升持证上岗率,确保知识体系的规范性。
目前网络安全认证种类繁多,标准不一,增加了企业和个人的选择成本。行业协会应推动建立统一的技能评价标准,促进不同认证之间的互认互通。同时,建立网络安全人才数据库,实现人才信息的透明化和共享,降低企业的搜寻成本和求职者的匹配难度。
网络安全不仅仅是技术问题,更是管理问题。未来的安全专家需要具备跨部门沟通能力、风险量化评估能力以及商业洞察力。特别是在向 CSO 转型的过程中,如何将安全投入转化为业务价值,如何向董事会汇报安全状况,都是必备的技能。企业应提供更多轮岗机会,让安全人员了解业务流程,从而更好地制定安全策略。
综上所述,网络安全人才短缺是一个系统性问题,需要长期投入和多方协作。只有通过持续的教育改革、企业实践和行业规范,才能逐步缩小供需差距,为我国网络安全强国建设提供坚实的人才支撑。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
使用加密算法(如AES、TripleDES、Rabbit或RC4)加密和解密文本明文。 在线工具,加密/解密文本在线工具,online
生成新的随机RSA私钥和公钥pem证书。 在线工具,RSA密钥对生成器在线工具,online
基于 Mermaid.js 实时预览流程图、时序图等图表,支持源码编辑与即时渲染。 在线工具,Mermaid 预览与可视化编辑在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online