当前位置:安全行业动态 → 正文

杜跃进:网络安全对抗赛是人才培养的未来

责任编辑:editor005 |来源:企业网D1Net  2015-08-21 13:39:54 本文摘自:www.0532dsw.com

安全人才培养的话题近两年很热,为什么会热?这是因为安全人才培养出了问题。越来越多的人发现人才不够用。

安全对抗就是一部孙子兵法

安全人才的困境原因多种,究其原因是安全的对抗属性。网络安全本身的一个最大特点就是蓄意对抗。我经常开玩笑说,在网络安全领域里最重要的是孙子兵法,因为对方是故意的,情况复杂多变,对方会寻找一切我们的薄弱点来达到目的。这个挑战巨大。体现在:

第一,新技术发展迅速,业务发展迅速,不同的领域、系统越来越复杂。今天的信息系统已经不是过去简单的计算机系统,今天的安全要解决的问题也不是防护某一个硬盘里的一个数据,而是在互联网业务系统的安全,所以客观上看,网络安全越来越复杂。

第二,主观上,我们的对手非常聪明并不断寻找我们的弱点。举个简单的例子,就如同现代医学面临的越来越复杂的病毒变异,是一样的道理。

关于人才认定的问题。很多非常出名的安全工作者,落不了户口,我们寄希望于国企能为安全撑起一片天,但这些人才,并不能进入国家队。甚至连个职称都没有。这是一个很重要的问题,我们如何来衡量安全人才?安全是一个对抗的过程,变化莫测,拳坛上的拳击手今天是世界巅峰,明天可能就一文不值。对人才标准的调整以及认定人才的能力维持,如何保持高的竞技水平都是要考虑的问题。今天来看,认定变成一些机构的金饭碗,那么,认定的方法是什么?有多少拿了证书的人去想维持这个证书的水平?我没有答案。

此外,人才使用的问题,安全人才如果没有用对,本身就是一个浪费,有些用人单位并没有意识到这一点。最后是人才缺口的问题。究竟我们缺哪些人?做安全只需要白帽子吗?这都需要仔细思考。有些人理解偏了,白帽子非常重要,但是对于用人单位来说,安全只有白帽子就走到另外一个错误的方向。我们到底缺哪些人?解答这个问题并不容易,今天所面临的业务环境变化太快,并且是不停在变。

一级学科解决不了现实问题

安全人才培养有客观培养和社会培养两条线。

客观培养,即高校科班培养。这是近几年讨论非常多的一个问题,高等教育培养出来的人才,用人单位总觉得不好用。2004年起,全国很多高校设立了安全专业,到今天信息安全一级学科终于成立,这是否意味着网络空间安全人才培养就没有问题了?不可能。这仅仅意味着这个工作刚刚开始。因为过去存在了许多年的问题,今天依然得不到解决。

简单地说,如果师资、教材以及资源与环境的问题,这三个问题没有得到有效解决,那么,我们和2004年时并没有区别。

首先是师资。2004年很多高校成立了信息安全专业,但是老师在哪里?没有那么多有经验的老师,怎么可能教出好的学生?我们如何培养优秀的信息安全教师?

第二是教材。技术变化非常快,而且非常复杂,主观上对手变化更快,我们的教材如何适应?很多基础学科的教育,其教材甚至是很多年一成不变的,然而安全领域,这是完全不可行的,教材如何跟得上形势变化,非常关键。

第三,资源和环境。今天人人都说未来安全是大数据,但是大数据在哪里?学校里有吗?存得下来吗?有条件计算吗?会计算吗?太多真实的网络信息安全的场景,高校里是没有机会接触到的,这种状况如何能培养出好的学生?

这些问题一直摆在我们面前,如果不能解决,网络空间安全成为一级学科也解决不了困局。

另一个问题是社会培养的问题。众所周知,这个圈子里有很多不是科班出身的人,一切都是兴趣,他们的兴趣得到了健康的成长,在这个过程中得到了能力的培养,但是在今天,环境越来越严苛,像过去那样科班之外的人是很难成长起来的。

对抗赛打造开放真实的环境

安全竞赛有三类,每一种竞赛的立意并不相同。

第一类是挑战赛。这类比赛在于寻找真实系统真实存在的问题,它的价值在于找到真实的问题,想办法去解决它。这个过程中,展现的可能是背后团队的能力,仅在个人身上表现出来。因此,严格地说,这类比赛发现人才只是辅助的价值,主要的价值是发现新问题。

第二类是创意赛。即发现新方法。比较好的创意赛如DAPAR的竞赛,设定一个话题,大家八仙过海,各显其能,方法不限。最佳的创意赛是用客观的方法来评价的。

第三类是对抗赛,我觉得CTF是目前成熟的一种,目的是发现人才,在同等的条件下展现能力,是综合的展现。

关键字:对抗赛人才培养DAPAR

本文摘自:www.0532dsw.com

x 杜跃进:网络安全对抗赛是人才培养的未来 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

杜跃进:网络安全对抗赛是人才培养的未来

责任编辑:editor005 |来源:企业网D1Net  2015-08-21 13:39:54 本文摘自:www.0532dsw.com

安全人才培养的话题近两年很热,为什么会热?这是因为安全人才培养出了问题。越来越多的人发现人才不够用。

安全对抗就是一部孙子兵法

安全人才的困境原因多种,究其原因是安全的对抗属性。网络安全本身的一个最大特点就是蓄意对抗。我经常开玩笑说,在网络安全领域里最重要的是孙子兵法,因为对方是故意的,情况复杂多变,对方会寻找一切我们的薄弱点来达到目的。这个挑战巨大。体现在:

第一,新技术发展迅速,业务发展迅速,不同的领域、系统越来越复杂。今天的信息系统已经不是过去简单的计算机系统,今天的安全要解决的问题也不是防护某一个硬盘里的一个数据,而是在互联网业务系统的安全,所以客观上看,网络安全越来越复杂。

第二,主观上,我们的对手非常聪明并不断寻找我们的弱点。举个简单的例子,就如同现代医学面临的越来越复杂的病毒变异,是一样的道理。

关于人才认定的问题。很多非常出名的安全工作者,落不了户口,我们寄希望于国企能为安全撑起一片天,但这些人才,并不能进入国家队。甚至连个职称都没有。这是一个很重要的问题,我们如何来衡量安全人才?安全是一个对抗的过程,变化莫测,拳坛上的拳击手今天是世界巅峰,明天可能就一文不值。对人才标准的调整以及认定人才的能力维持,如何保持高的竞技水平都是要考虑的问题。今天来看,认定变成一些机构的金饭碗,那么,认定的方法是什么?有多少拿了证书的人去想维持这个证书的水平?我没有答案。

此外,人才使用的问题,安全人才如果没有用对,本身就是一个浪费,有些用人单位并没有意识到这一点。最后是人才缺口的问题。究竟我们缺哪些人?做安全只需要白帽子吗?这都需要仔细思考。有些人理解偏了,白帽子非常重要,但是对于用人单位来说,安全只有白帽子就走到另外一个错误的方向。我们到底缺哪些人?解答这个问题并不容易,今天所面临的业务环境变化太快,并且是不停在变。

一级学科解决不了现实问题

安全人才培养有客观培养和社会培养两条线。

客观培养,即高校科班培养。这是近几年讨论非常多的一个问题,高等教育培养出来的人才,用人单位总觉得不好用。2004年起,全国很多高校设立了安全专业,到今天信息安全一级学科终于成立,这是否意味着网络空间安全人才培养就没有问题了?不可能。这仅仅意味着这个工作刚刚开始。因为过去存在了许多年的问题,今天依然得不到解决。

简单地说,如果师资、教材以及资源与环境的问题,这三个问题没有得到有效解决,那么,我们和2004年时并没有区别。

首先是师资。2004年很多高校成立了信息安全专业,但是老师在哪里?没有那么多有经验的老师,怎么可能教出好的学生?我们如何培养优秀的信息安全教师?

第二是教材。技术变化非常快,而且非常复杂,主观上对手变化更快,我们的教材如何适应?很多基础学科的教育,其教材甚至是很多年一成不变的,然而安全领域,这是完全不可行的,教材如何跟得上形势变化,非常关键。

第三,资源和环境。今天人人都说未来安全是大数据,但是大数据在哪里?学校里有吗?存得下来吗?有条件计算吗?会计算吗?太多真实的网络信息安全的场景,高校里是没有机会接触到的,这种状况如何能培养出好的学生?

这些问题一直摆在我们面前,如果不能解决,网络空间安全成为一级学科也解决不了困局。

另一个问题是社会培养的问题。众所周知,这个圈子里有很多不是科班出身的人,一切都是兴趣,他们的兴趣得到了健康的成长,在这个过程中得到了能力的培养,但是在今天,环境越来越严苛,像过去那样科班之外的人是很难成长起来的。

对抗赛打造开放真实的环境

安全竞赛有三类,每一种竞赛的立意并不相同。

第一类是挑战赛。这类比赛在于寻找真实系统真实存在的问题,它的价值在于找到真实的问题,想办法去解决它。这个过程中,展现的可能是背后团队的能力,仅在个人身上表现出来。因此,严格地说,这类比赛发现人才只是辅助的价值,主要的价值是发现新问题。

第二类是创意赛。即发现新方法。比较好的创意赛如DAPAR的竞赛,设定一个话题,大家八仙过海,各显其能,方法不限。最佳的创意赛是用客观的方法来评价的。

第三类是对抗赛,我觉得CTF是目前成熟的一种,目的是发现人才,在同等的条件下展现能力,是综合的展现。

关键字:对抗赛人才培养DAPAR

本文摘自:www.0532dsw.com

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^