网安视界 | 网络安全人才现状&需求全扫描

中国网络空间安全协会竞评演练工作委员会副主任委员李舟军上月在TCTF发布会上表示，“我国网络安全专业人才的缺口高达70万，并以每年1.5万人的速度递增。” 高校学历教育培养的网络安全人才只有寥寥几万人，远远跟不上网络安全需求。

同样，ISACA董事会主席兼INTRALOT集团信息安全主任Christos Dimitriadis,在一份声明中表示。“虽然网络安全领域才刚刚起步，但是需求却不断攀升，在未来几年内还会持续增长，” “随着企业投入更多的资源用来保护数据安全，他们面临的挑战是需要寻找具备这项技能的顶级网络安全从业人员。网络安全职位的空缺是一个定时炸弹，这个职位的空缺会使企业面临更高的安全风险，甚至遭受到网络安全攻击，”Dimitriadis说。

当然，即使安全人员配备齐全，IT安全团队还是会面临一些严峻的挑战。今年的RSA大会上英特尔安全也发布了一个新的报告——《建立可信任的云空间：云应用的采用》，报告描述了一幅网络安全人员在当今的云环境下面临的不安局面。公司调查的2000名IT专业人士中的大多数(65%)表示，安全问题阻碍了他们获得云计算的能力。此外，超过一半(52%)云应用程序遭到恶意软件感染。安全问题导致49%的企业放缓采用云计算的速度。

“‘云第一’的战略现在已经真正的出现在世界各地企业的组织架构当中，渴望迅速走向云计算似乎是大多数企业议程中必不可缺的一部分” ，“受访者认为他们的IT预算中云计算占了80%，部署的平均时间为15个月，这表明 ‘云第一’对于很多公司来说已然成为目标，发展前景依旧可观”。EMEA首席技术官Raj Samani在一份英特尔的安全声明中表示。

尽管存在上述挑战，IT行业似乎仍在朝着云计算全速前进，这让安全专业人员别无选择，只能适应时代发展。

2016年7月的波耐蒙研究所的研究的调查涵盖了1000名北美和英国的IT及IT安全从业者，揭示了威胁数据被认可的价值，以及公司企业无力应用的现状。数据显示：虽然77%的受访者称威胁情报对公司的整体安全任务非常有价值，却只有不到一半的人称在决策响应时用到了威胁数据。而且，仅27%的受访者称自家公司在利用威胁数据锁定网络威胁上是有效的。

未能将威胁情报价值最大化的两大原因是：数据太多，复杂性太高(70%)；以及员工专业技能缺乏(69%)。

而近期发布的2017年ISACA网络安全状态报告从另一角度揭示，网络安全技能的差距可以使一个企业遭受到不同程度的攻击和破坏。调查显示，超过一半以上(55%)受访企业表示，他们需要花费至少三个月的时间，才能填补网络安全职位的空缺；近三分之一(32%)的组织表示寻找人才需要至少6个月甚至更长的时间。

申请安全职位的人非常难找，而合格的人更是凤毛麟角。只有13%的公司收到过20个或更多关于安全职位申请，59%的公司只收到五个或更多的职位申请；相比之下，大多数公司的其他职位空缺往往都有60-250的数量申请。更糟糕的是，37%的受访者表示：每四名候选人中只有不到一人合格。

近日，安全漏洞平台HackerOne决定将其专业服务免费提供给开源项目，通过项目可以免费访问HackerOne的专业版平台，并允许在这个平台上运行自己的安全程序。HackerOne的这一举动不仅帮助互联网变得更安全，同时也将使它在简单、高效运行安全程序方面得到尽可能多的支持。

3月5日，人大代表、指挥自动化工作站高级工程师尚雅琴表示，关注网络安全，技术的背后是人才。针对当前网络安全专业人才数量不足、结构失衡、高端创新型人才缺少、发现和培养体系不完善等问题，尚雅琴建议，可以创新校企合作、产学研相结合的育人模式，通过鼓励企业参与人才培养、完善学历培养体系、学生参与创新创业等方式，打造网络安全“人才+产业”的高地。

对于人才发现和职业培训，一方面，要不拘一格降人才，通过开展竞赛、设立基金等方法挖掘和甄选这一领域的专才；另一方面，要完善职业培训体系，通过建立在职培训制度、制订岗位分类标准、完善专业认证机制等方式，让从业人员不断学习掌握前沿知识、提升安全技能。