網(wǎng)絡(luò)安全法正式實(shí)施5年了。這5年，是網(wǎng)絡(luò)安全法治化體系化日趨完善的5年，也是我國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)黃金發(fā)展的5年。賽迪顧問(wèn)數(shù)據(jù)顯示，2016年，我國(guó)網(wǎng)絡(luò)安全市場(chǎng)規(guī)模為336.2億元；而2021年，市場(chǎng)規(guī)模達(dá)到900多億元。

然而，在這5年近3倍的高速增長(zhǎng)背后，卻是網(wǎng)絡(luò)安全行業(yè)人才供需失衡——如今，國(guó)內(nèi)網(wǎng)絡(luò)安全專業(yè)人才累計(jì)缺口超140萬(wàn)人，首席安全官（CSO）更是整個(gè)網(wǎng)絡(luò)安全行業(yè)中的極度稀缺人才。

網(wǎng)絡(luò)攻擊并不遙遠(yuǎn)

在大多數(shù)人眼中，網(wǎng)絡(luò)攻擊似乎是個(gè)遙遠(yuǎn)的詞匯。但事實(shí)上，近年來(lái)針對(duì)民生領(lǐng)域的網(wǎng)絡(luò)攻擊時(shí)有發(fā)生，尤其關(guān)鍵基礎(chǔ)設(shè)施成為首要攻擊目標(biāo)。

4月28日，北京健康寶在使用高峰期間就曾遭受到“境外網(wǎng)絡(luò)攻擊”。

事后據(jù)360網(wǎng)絡(luò)安全研究院披露，這是一起典型的網(wǎng)絡(luò)拒絕服務(wù)攻擊（DDoS攻擊）事件，攻擊者利用大量被入侵的網(wǎng)絡(luò)設(shè)備，比如，個(gè)人電腦、服務(wù)器等，向被攻擊對(duì)象服務(wù)器發(fā)送海量的網(wǎng)絡(luò)流量，影響其正常服務(wù)。

為北京健康寶提供網(wǎng)絡(luò)安全服務(wù)的是北京東方棱鏡科技有限公司。該公司保障團(tuán)隊(duì)進(jìn)行了及時(shí)有效應(yīng)對(duì)，受攻擊期間北京健康寶相關(guān)服務(wù)未受影響。

北京東方棱鏡科技有限公司董事長(zhǎng)何華，全國(guó)工商聯(lián)大數(shù)據(jù)（網(wǎng)絡(luò)安全）委員會(huì)委員，涉足網(wǎng)安行業(yè)已近30年。

何華對(duì)《法治周末》記者回憶，1992年，他進(jìn)入網(wǎng)安行業(yè)時(shí)，國(guó)內(nèi)還沒有單獨(dú)的網(wǎng)絡(luò)安全行業(yè)，市面上只有殺毒軟件，包括公安部出的kill軟件、江民出的kv系列軟件等。

那時(shí)整個(gè)信息化軟件行業(yè)都剛剛開始，軟件還是DOS時(shí)代，硬盤、內(nèi)存還是按兆計(jì)算的，每個(gè)人都可以創(chuàng)造創(chuàng)新，都可以獨(dú)立改變時(shí)代，高手都用匯編語(yǔ)言寫程序，軟件逆向破解很有市場(chǎng)。何華就是從軟件逆向破解、編寫殺毒軟件入行的。因?yàn)橛辛司W(wǎng)絡(luò)安全相關(guān)的法律法規(guī)要求，當(dāng)前軟件破解行為成了敏感內(nèi)容。

1997年，何華發(fā)現(xiàn)微軟Foxpro軟件漏洞并匯報(bào)給微軟，當(dāng)年開始獨(dú)立創(chuàng)業(yè)。之后在啟明星辰(19.730, -0.23, -1.15%)公司擔(dān)任研發(fā)負(fù)責(zé)人、專家團(tuán)專家直到2014年，然后就創(chuàng)辦了現(xiàn)在的棱鏡科技公司。

1999年，美國(guó)轟炸中國(guó)駐南聯(lián)盟大使館事件，民族情緒激增，促使中美紅客網(wǎng)絡(luò)大戰(zhàn)，何華也是主要參與者之一。2000年以后，我國(guó)也開始重視網(wǎng)絡(luò)安全行業(yè)了，2004年9月，公安部聯(lián)合國(guó)家保密局、國(guó)家密碼管理委員會(huì)辦公室、國(guó)務(wù)院信息化工作辦公室共同發(fā)布了公通字【2004】66號(hào)文《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》，這份法規(guī)文件的發(fā)布標(biāo)志著等級(jí)保護(hù)工作在我們國(guó)家已開始正式推動(dòng)實(shí)施。

時(shí)代滾滾向前，30年后的網(wǎng)絡(luò)發(fā)展，已非30年前所能想象。

“如今，世界大國(guó)都將網(wǎng)絡(luò)作為謀求戰(zhàn)略優(yōu)勢(shì)的新手段，對(duì)內(nèi)不斷加強(qiáng)頂層設(shè)計(jì)、能力建設(shè)和安全審查，對(duì)外搶抓網(wǎng)絡(luò)空間控制權(quán)、規(guī)則制定權(quán)和話語(yǔ)權(quán)。”中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)人才培養(yǎng)專家組常務(wù)副組長(zhǎng)、國(guó)科華盾（北京）科技有限公司高級(jí)副總裁潘彭丹對(duì)《法治周末》記者說(shuō)。

隨著網(wǎng)絡(luò)安全強(qiáng)國(guó)建設(shè)目標(biāo)在國(guó)家戰(zhàn)略層面的高度不斷提升，網(wǎng)絡(luò)安全能力提升成為我國(guó)“十四五”期間的重點(diǎn)工作任務(wù)，網(wǎng)安能力提升將是我國(guó)快速實(shí)現(xiàn)數(shù)字經(jīng)濟(jì)轉(zhuǎn)型的重要能力支撐。

“國(guó)家相繼頒布了網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法、網(wǎng)絡(luò)安全審查辦法等法律法規(guī)和規(guī)范性文件，對(duì)企業(yè)的信息安全能力建設(shè)提出了更高的要求，也進(jìn)一步壓實(shí)了企業(yè)的網(wǎng)絡(luò)安全責(zé)任。”潘彭丹說(shuō)。

人與人之間的攻防對(duì)抗

“網(wǎng)絡(luò)安全行業(yè)的本質(zhì)是人與人之間的攻防對(duì)抗。”河南金盾信安檢測(cè)評(píng)估中心有限公司董事長(zhǎng)、河南省法學(xué)會(huì)網(wǎng)絡(luò)與信息法學(xué)研究會(huì)常務(wù)副會(huì)長(zhǎng)兼學(xué)術(shù)委員會(huì)主任梁宏對(duì)《法治周末》記者說(shuō)，隨著信息技術(shù)的快速發(fā)展，國(guó)家、企業(yè)層面的網(wǎng)絡(luò)安全空間競(jìng)爭(zhēng)越演越烈，歸根到底是人才的競(jìng)爭(zhēng)。人才隊(duì)伍建設(shè)是整個(gè)網(wǎng)絡(luò)安全行業(yè)合規(guī)管理機(jī)制建立健全的核心。

如今的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)不僅包括計(jì)算機(jī)硬件設(shè)備的抑制和防止電磁泄漏（即TEMPEST技術(shù)）、防盜、防自然災(zāi)害等技術(shù)，還包括數(shù)據(jù)加密、智能卡及防火墻技術(shù)等訪問(wèn)控制及信息保密策略設(shè)計(jì)。

梁宏說(shuō)，這意味著，成為一名網(wǎng)絡(luò)安全技術(shù)專家不僅要懂得計(jì)算機(jī)硬件設(shè)備，還需了解各類軟件程序上的漏洞，并要對(duì)潛在的安全隱患進(jìn)行過(guò)濾。

換句話說(shuō)，網(wǎng)絡(luò)安全崗位并非傳統(tǒng)概念上只要略懂計(jì)算機(jī)操作就能勝任的，網(wǎng)絡(luò)安全人才非常稀缺。

何華告訴《法治周末》記者，網(wǎng)絡(luò)安全從業(yè)人員的功力可類比武林高手，有用刀的、有做刀的，也有不用任何現(xiàn)成武器的高手。

在2000年的某次著名對(duì)抗中，由國(guó)內(nèi)網(wǎng)絡(luò)安全人士通過(guò)網(wǎng)絡(luò)自發(fā)形成虛擬戰(zhàn)隊(duì)，何華就是虛擬戰(zhàn)隊(duì)成員之一，屬于提供網(wǎng)絡(luò)武器的角色（做刀的）。虛擬戰(zhàn)隊(duì)攻克對(duì)手國(guó)網(wǎng)站，掛國(guó)旗，宣誓主權(quán)，宣泄對(duì)對(duì)方的憤怒。為了便于伙伴們更迅速地攻城拔寨，何華相繼開發(fā)了利用Solaris系統(tǒng)漏洞的提權(quán)工具、WIN2000系統(tǒng)的漏洞利用工具，破解了DEC小型機(jī)的管理工具等，通過(guò)利用這些工具，戰(zhàn)友才能順利地把國(guó)旗掛在對(duì)方的網(wǎng)站上，宣誓我們的網(wǎng)絡(luò)攻擊成果。

何華認(rèn)為，網(wǎng)絡(luò)安全行業(yè)更是年輕人的天下，年輕時(shí)容易培養(yǎng)逆向思維，網(wǎng)絡(luò)安全工作很多方面需要在攻防、對(duì)抗角度去思考問(wèn)題。

這與近幾年發(fā)布的《網(wǎng)絡(luò)安全產(chǎn)業(yè)人才發(fā)展報(bào)告》統(tǒng)計(jì)數(shù)據(jù)相吻合。數(shù)據(jù)顯示，近兩年來(lái)八成以上的網(wǎng)絡(luò)安全從業(yè)人員集中于25歲至40歲之間的中青年，過(guò)半都是35歲以下的，年齡在30歲至35歲之間的占比最高，約為35%。

結(jié)合工作年限來(lái)看，從業(yè)5年至10年的人數(shù)最多，為34.58%，10年至15年和不到5年的從業(yè)人數(shù)占比次之，分別為27.16%和18.5%，反映了網(wǎng)絡(luò)安全領(lǐng)域從業(yè)人群的年輕化現(xiàn)象。

“這說(shuō)明網(wǎng)絡(luò)安全領(lǐng)域?qū)η嗄耆瞬糯嬖谳^高的吸引力，但資深人才儲(chǔ)備不足，以及新人培養(yǎng)和留育難度大，將成為企業(yè)普遍面臨的挑戰(zhàn)。”潘彭丹說(shuō)。

在何華看來(lái)，現(xiàn)在很多年輕人不愛當(dāng)碼農(nóng)，但喜歡安服崗位，因?yàn)橛刑魬?zhàn)，工作新奇，道高一尺，魔高一丈，網(wǎng)絡(luò)安全態(tài)勢(shì)日新月異，攻防、滲透工作每天都有新東西，與網(wǎng)絡(luò)對(duì)端看不見的陌生人對(duì)抗，經(jīng)過(guò)4年至5年的歷練，一般可以獨(dú)立作戰(zhàn)了。

“網(wǎng)絡(luò)安全行業(yè)的魅力在于與看不見的對(duì)手斗爭(zhēng)，你來(lái)我往，就像帶兵打仗一樣。”何華理解，這才是網(wǎng)絡(luò)安全行業(yè)從業(yè)人員的核心工作。

在網(wǎng)絡(luò)安全攻防滲透方面，博士不一定就是高手，初/高中生也不一定就不行，有的初/高中生安服攻防滲透能力遠(yuǎn)超本科、碩士、博士。“天分，悟性，逆向思維，經(jīng)驗(yàn)積累，機(jī)遇無(wú)處不在。”何華說(shuō)。

何華表示，網(wǎng)絡(luò)安全行業(yè)比較敏感，可以亦魔亦道。有的人在國(guó)家隊(duì)為國(guó)家各行業(yè)單位網(wǎng)絡(luò)安全保駕護(hù)航，有的人進(jìn)入上市企業(yè)成為正規(guī)部隊(duì)，有的在創(chuàng)業(yè)企業(yè)摸爬滾打，但也有大量黑灰產(chǎn)業(yè)鏈上的從業(yè)者。而黑灰產(chǎn)業(yè)從業(yè)人員是需要當(dāng)今網(wǎng)絡(luò)安全行業(yè)主管部門重點(diǎn)整治的。

網(wǎng)安人才供給“青黃不接”

隨著國(guó)家從立法層面和政策指導(dǎo)層面持續(xù)提升對(duì)網(wǎng)絡(luò)安全的重視程度，我國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)迎來(lái)快速發(fā)展。據(jù)中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟（CCIA）數(shù)據(jù)統(tǒng)計(jì)，2021年上半年，我國(guó)共有4525家公司開展網(wǎng)絡(luò)安全業(yè)務(wù)，相比上一年增長(zhǎng)27%。

值得關(guān)注的是，雖然2021年我國(guó)網(wǎng)絡(luò)安全市場(chǎng)規(guī)模實(shí)現(xiàn)了20%以上的高速增長(zhǎng)，但網(wǎng)絡(luò)安全人才供給卻并未保持同步增長(zhǎng)。官方數(shù)據(jù)顯示，2021年，網(wǎng)絡(luò)安全人才缺口達(dá)140萬(wàn)人，預(yù)計(jì)2027年缺口將進(jìn)一步擴(kuò)大到300萬(wàn)人。

潘彭丹指出，網(wǎng)絡(luò)安全人才十分稀缺，而每年網(wǎng)絡(luò)安全相關(guān)專業(yè)的高校畢業(yè)生規(guī)模僅兩萬(wàn)余人，由此可見，我國(guó)網(wǎng)絡(luò)安全人才供給存在“青黃不接”的情況，人才成長(zhǎng)和培養(yǎng)速度顯著落后于技術(shù)與社會(huì)變革的整體速度。

“網(wǎng)絡(luò)安全人才供需嚴(yán)重失衡，不僅體現(xiàn)在數(shù)量，更體現(xiàn)在不同類型人才供給和需求之間的錯(cuò)位。”潘彭丹說(shuō)。

現(xiàn)階段由于行業(yè)發(fā)展特點(diǎn)，人才隊(duì)伍呈現(xiàn)底部過(guò)大，頂部過(guò)小的結(jié)構(gòu)，即從事運(yùn)營(yíng)與維護(hù)、技術(shù)支持、風(fēng)險(xiǎn)評(píng)估與測(cè)試的人員相對(duì)較多，從事戰(zhàn)略規(guī)劃、架構(gòu)設(shè)計(jì)的人員相對(duì)較少，尤其缺乏既懂業(yè)務(wù)懂政策、又懂技術(shù)懂管理的高端綜合型人才。

目前，大多數(shù)企業(yè)只設(shè)置了1至2人負(fù)責(zé)公司網(wǎng)絡(luò)安全工作，而且大部分都是IT技術(shù)人員兼著相關(guān)網(wǎng)絡(luò)安全工作，這些人員盡管有一定的技術(shù)基礎(chǔ)，但是缺少對(duì)網(wǎng)絡(luò)安全、數(shù)據(jù)安全的專業(yè)、系統(tǒng)性知識(shí)和技能儲(chǔ)備。“重產(chǎn)品、輕服務(wù)、重技術(shù)、輕管理”的現(xiàn)象仍很普遍，導(dǎo)致人才的供需矛盾不斷加深。

潘彭丹認(rèn)為，網(wǎng)絡(luò)安全負(fù)責(zé)人一直都是數(shù)字化業(yè)務(wù)的關(guān)鍵推動(dòng)者，要時(shí)刻把企業(yè)安全和企業(yè)業(yè)務(wù)相融合，明確幫助公司或高級(jí)管理層實(shí)現(xiàn)戰(zhàn)略目標(biāo)或保障其利益，確保幫助業(yè)務(wù)，并制定基于業(yè)務(wù)、可量化、可衡量的工作目標(biāo)，而不是單一依靠相關(guān)軟件或設(shè)備來(lái)對(duì)本單位的網(wǎng)絡(luò)安全進(jìn)行風(fēng)險(xiǎn)應(yīng)對(duì)和管理。

梁宏也指出，針對(duì)網(wǎng)絡(luò)安全的管理，多數(shù)企業(yè)都是被動(dòng)式的應(yīng)急和管理，缺少對(duì)本單位整體網(wǎng)絡(luò)安全、數(shù)據(jù)安全的頂層設(shè)計(jì)和長(zhǎng)遠(yuǎn)規(guī)劃，從而導(dǎo)致本單位時(shí)常遭到外部網(wǎng)絡(luò)攻擊，造成公司及客戶信息泄露、設(shè)備無(wú)法正常運(yùn)轉(zhuǎn)等現(xiàn)象時(shí)有發(fā)生，給企業(yè)正常生產(chǎn)經(jīng)營(yíng)造成重大影響和損失。

沒有人才梯隊(duì)儲(chǔ)備，一切都是空談

隨著企業(yè)對(duì)網(wǎng)絡(luò)安全的戰(zhàn)略定位升級(jí)，對(duì)具有戰(zhàn)略思維、高精尖網(wǎng)安技術(shù)、豐富實(shí)戰(zhàn)經(jīng)驗(yàn)的復(fù)合型網(wǎng)絡(luò)安全人才需求迫切，例如，首席安全官正是為企業(yè)培育打造的網(wǎng)絡(luò)安全專業(yè)復(fù)合型人才。

國(guó)際上，1995年，一名黑客闖入了花旗銀行的計(jì)算機(jī)系統(tǒng)，竊取了超過(guò)1000萬(wàn)美元的資金。隨后，信息安全專家斯蒂夫·凱茨（Steve Katz）加入花旗銀行，并被任命為首席信息安全官，被公認(rèn)為全球第一個(gè)首席信息安全官。1999年，美國(guó)通過(guò)“格雷姆-里奇-比利雷法案”，即金融現(xiàn)代化法案，要求金融企業(yè)的董事會(huì)任命一名首席信息安全官，并每年讓首席信息安全官向董事會(huì)報(bào)告安全狀況。這一法案再次推動(dòng)了首席信息安全官的設(shè)立與普及。

據(jù)調(diào)查，2018年至2019年期間，擁有首席安全官的全球機(jī)構(gòu)數(shù)量增加了6%。Gartner數(shù)據(jù)預(yù)計(jì)，到2025年，40%的公司將擁有一個(gè)由董事會(huì)成員監(jiān)督的專門網(wǎng)絡(luò)安全委員會(huì)。而根據(jù)Forrester公司2020年的研究報(bào)告，已有13%的首席安全官被認(rèn)為是最高層管理人員，這一數(shù)字遠(yuǎn)遠(yuǎn)高于幾年前的5%或6%。

我國(guó)首席安全官制度于2015年在上海率先推行，提出了通過(guò)聘請(qǐng)具有豐富網(wǎng)絡(luò)安全管理經(jīng)驗(yàn)的人士擔(dān)任首席安全官。

潘彭丹認(rèn)為，未來(lái)社會(huì)對(duì)網(wǎng)絡(luò)安全從業(yè)人員的需求定位已不再是扮演“救火隊(duì)員”的角色，更多地是希望員工向網(wǎng)絡(luò)安全專家（如首席安全官）的角色發(fā)展。“救火隊(duì)員”向首席安全官的轉(zhuǎn)化，是階梯式的能力進(jìn)階。

然而，一個(gè)尷尬的事實(shí)是，供給端的不足導(dǎo)致人才難尋。據(jù)《法治周末》記者了解，曾有游戲公司以年薪300萬(wàn)元聘請(qǐng)首席安全官，卻沒能招攬來(lái)。

“沒有人才梯隊(duì)儲(chǔ)備，一切都是空談。”何華對(duì)《法治周末》記者表示，網(wǎng)絡(luò)安全行業(yè)將來(lái)面臨應(yīng)用領(lǐng)域拓展、場(chǎng)景化應(yīng)用爆發(fā)，人才儲(chǔ)備將更加捉襟見肘。

何華指出，我們整個(gè)網(wǎng)絡(luò)安全行業(yè)普遍缺乏對(duì)客戶業(yè)務(wù)的理解，這個(gè)是通病，也是后面網(wǎng)絡(luò)行業(yè)遲早要解決的事情，當(dāng)然也與我們的人才儲(chǔ)備和培養(yǎng)導(dǎo)向有關(guān)系。

隨著數(shù)字化轉(zhuǎn)型的深入，首席安全官目前正面臨一大關(guān)鍵時(shí)刻：如果能夠支撐數(shù)字化轉(zhuǎn)型，首席安全官將真正成為企業(yè)發(fā)展戰(zhàn)略的重要推動(dòng)者?！栋灿?021年首席執(zhí)行官研究報(bào)告》顯示，68%的首席執(zhí)行官正規(guī)劃未來(lái)12個(gè)月內(nèi)在數(shù)據(jù)和技術(shù)方面進(jìn)行重大投資，這也將刺激對(duì)首席安全官等高端崗位的需求快速增長(zhǎng)。

與此相對(duì)應(yīng)的是，近年來(lái)，隨著國(guó)家網(wǎng)絡(luò)安全強(qiáng)國(guó)建設(shè)的大力推進(jìn)，各地政府及各行業(yè)的企業(yè)也開始重視對(duì)網(wǎng)絡(luò)安全人才的培養(yǎng)，首席安全官、首席數(shù)據(jù)官等職業(yè)發(fā)展迅速。當(dāng)前，上海、浙江、江蘇等地已陸續(xù)開展首席安全官培訓(xùn)和首席安全官高峰論壇等活動(dòng)。

2021年年底，中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)在北京舉辦了全國(guó)性的首期首席安全官高級(jí)研修班，邀請(qǐng)了業(yè)內(nèi)知名專家作為講師，學(xué)員大部分為中信、國(guó)家電網(wǎng)等央企的網(wǎng)絡(luò)安全負(fù)責(zé)人及網(wǎng)絡(luò)安全公司的CTO、COO等，效果明顯，在業(yè)內(nèi)也產(chǎn)生了一定影響力。

潘彭丹相信，首席安全官絕對(duì)不是網(wǎng)絡(luò)安全從業(yè)人員的職業(yè)“天花板”，未來(lái)網(wǎng)安人員的發(fā)展空間潛力無(wú)限。

來(lái)源：信息安全與通訊保密雜志社、《法治周末》