安全人才培养的话题近两年很热，为什么会热？这是因为安全人才培养出了问题。越来越多的人发现人才不够用。

安全对抗就是一部孙子兵法

安全人才的困境原因多种，究其原因是安全的对抗属性。网络安全本身的一个最大特点就是蓄意对抗。我经常开玩笑说，在网络安全领域里最重要的是孙子兵法，因为对方是故意的，情况复杂多变，对方会寻找一切我们的薄弱点来达到目的。这个挑战巨大。体现在：

第一，新技术发展迅速，业务发展迅速，不同的领域、系统越来越复杂。今天的信息系统已经不是过去简单的计算机系统，今天的安全要解决的问题也不是防护某一个硬盘里的一个数据，而是在互联网业务系统的安全，所以客观上看，网络安全越来越复杂。

第二，主观上，我们的对手非常聪明并不断寻找我们的弱点。举个简单的例子，就如同现代医学面临的越来越复杂的病毒变异，是一样的道理。

关于人才认定的问题。很多非常出名的安全工作者，落不了户口，我们寄希望于国企能为安全撑起一片天，但这些人才，并不能进入国家队。甚至连个职称都没有。这是一个很重要的问题，我们如何来衡量安全人才？安全是一个对抗的过程，变化莫测，拳坛上的拳击手今天是世界巅峰，明天可能就一文不值。对人才标准的调整以及认定人才的能力维持，如何保持高的竞技水平都是要考虑的问题。今天来看，认定变成一些机构的金饭碗，那么，认定的方法是什么？有多少拿了证书的人去想维持这个证书的水平？我没有答案。

此外，人才使用的问题，安全人才如果没有用对，本身就是一个浪费，有些用人单位并没有意识到这一点。最后是人才缺口的问题。究竟我们缺哪些人？做安全只需要白帽子吗？这都需要仔细思考。有些人理解偏了，白帽子非常重要，但是对于用人单位来说，安全只有白帽子就走到另外一个错误的方向。我们到底缺哪些人？解答这个问题并不容易，今天所面临的业务环境变化太快，并且是不停在变。

一级学科解决不了现实问题

安全人才培养有客观培养和社会培养两条线。

客观培养，即高校科班培养。这是近几年讨论非常多的一个问题，高等教育培养出来的人才，用人单位总觉得不好用。2004年起，全国很多高校设立了安全专业，到今天信息安全一级学科终于成立，这是否意味着网络空间安全人才培养就没有问题了？不可能。这仅仅意味着这个工作刚刚开始。因为过去存在了许多年的问题，今天依然得不到解决。

简单地说，如果师资、教材以及资源与环境的问题，这三个问题没有得到有效解决，那么，我们和2004年时并没有区别。

首先是师资。2004年很多高校成立了信息安全专业，但是老师在哪里？没有那么多有经验的老师，怎么可能教出好的学生？我们如何培养优秀的信息安全教师？

第二是教材。技术变化非常快，而且非常复杂，主观上对手变化更快，我们的教材如何适应？很多基础学科的教育，其教材甚至是很多年一成不变的，然而安全领域，这是完全不可行的，教材如何跟得上形势变化，非常关键。

第三，资源和环境。今天人人都说未来安全是大数据，但是大数据在哪里？学校里有吗？存得下来吗？有条件计算吗？会计算吗？太多真实的网络信息安全的场景，高校里是没有机会接触到的，这种状况如何能培养出好的学生？

这些问题一直摆在我们面前，如果不能解决，网络空间安全成为一级学科也解决不了困局。

另一个问题是社会培养的问题。众所周知，这个圈子里有很多不是科班出身的人，一切都是兴趣，他们的兴趣得到了健康的成长，在这个过程中得到了能力的培养，但是在今天，环境越来越严苛，像过去那样科班之外的人是很难成长起来的。

对抗赛打造开放真实的环境

安全竞赛有三类，每一种竞赛的立意并不相同。

第一类是挑战赛。这类比赛在于寻找真实系统真实存在的问题，它的价值在于找到真实的问题，想办法去解决它。这个过程中，展现的可能是背后团队的能力，仅在个人身上表现出来。因此，严格地说，这类比赛发现人才只是辅助的价值，主要的价值是发现新问题。

第二类是创意赛。即发现新方法。比较好的创意赛如DAPAR的竞赛，设定一个话题，大家八仙过海，各显其能，方法不限。最佳的创意赛是用客观的方法来评价的。

第三类是对抗赛，我觉得CTF是目前成熟的一种，目的是发现人才，在同等的条件下展现能力，是综合的展现。