文 | 北京長亭科技有限公司 楊坤 余慧英 袁勝

習(xí)近平總書記指出，“網(wǎng)絡(luò)空間的競爭，歸根結(jié)底是人才競爭”。面對當前日益嚴峻的網(wǎng)絡(luò)空間安全態(tài)勢，高水平高質(zhì)量的專業(yè)網(wǎng)絡(luò)安全人才隊伍，將是捍衛(wèi)我國網(wǎng)絡(luò)空間安全的中堅力量。其中，一線的網(wǎng)絡(luò)安全攻防實戰(zhàn)人才尤為稀缺。正如習(xí)近平總書記所說，“網(wǎng)絡(luò)安全的本質(zhì)在對抗，對抗的本質(zhì)在攻防兩端能力較量”。有效的網(wǎng)絡(luò)安全防御需要高水平實戰(zhàn)攻防人才的關(guān)鍵支撐，加快培養(yǎng)專業(yè)的網(wǎng)絡(luò)安全攻防人才隊伍，已刻不容緩。

一、嚴峻的漏洞態(tài)勢催生實戰(zhàn)人才培養(yǎng)需求

漏洞研究與風(fēng)險消控能力，是實戰(zhàn)攻防能力建設(shè)中重要的一環(huán)。在數(shù)字化、智能化日益普及的今天，漏洞已經(jīng)成為網(wǎng)絡(luò)安全的核心問題之一。它們是網(wǎng)絡(luò)攻擊者入侵系統(tǒng)的主要突破口。無論是重大的“零日漏洞”，還是廣泛被利用的“在野漏洞”，都可能導(dǎo)致數(shù)據(jù)泄露、系統(tǒng)癱瘓等嚴重后果，不僅威脅著企事業(yè)單位的業(yè)務(wù)運轉(zhuǎn)，甚至對國家、社會和經(jīng)濟產(chǎn)生深遠影響。同時，漏洞更是網(wǎng)絡(luò)空間安全的重要戰(zhàn)略資源，是實戰(zhàn)攻防“軍火庫”的主要來源。

根據(jù)工業(yè)和信息化部電子第五研究所發(fā)布的《2024 上半年網(wǎng)絡(luò)安全漏洞態(tài)勢報告》，2024 年上半年，全球共計披露漏洞數(shù)量達到 20548 個，同比增長 46.16%。不僅漏洞數(shù)量在持續(xù)增長，高危漏洞占比不斷增加，漏洞利用難度也在持續(xù)降低。除了傳統(tǒng)的系統(tǒng)和應(yīng)用漏洞，云計算、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、人工智能等新興技術(shù)領(lǐng)域的漏洞也層出不窮。這些都增加了漏洞管理和防御的難度，漏洞所帶來的網(wǎng)絡(luò)安全挑戰(zhàn)日益嚴峻。

完善有效的漏洞管理可以及時發(fā)現(xiàn)和修復(fù)潛在的安全隱患，提高信息系統(tǒng)的安全防護能力，保障數(shù)據(jù)安全和業(yè)務(wù)連續(xù)性，提升國家網(wǎng)絡(luò)安全的整體防御水平。人才是漏洞管理的核心要素，為此，需要培養(yǎng)、建設(shè)一支高水平的實戰(zhàn)攻防人才隊伍，以應(yīng)對漏洞所帶來的安全挑戰(zhàn)。

漏洞的挖掘、管理、應(yīng)急響應(yīng)是一項高度技術(shù)性的工作，要求從業(yè)者具備多方面的能力和素質(zhì)，例如 Web 漏洞利用與挖掘、系統(tǒng)層漏洞利用與挖掘等技術(shù)能力，各種安全工具的使用能力，編程開發(fā)能力、滲透測試能力等。這些能力需要在日常的實戰(zhàn)攻防中積累和提升，加強網(wǎng)絡(luò)安全攻防實戰(zhàn)人才的培養(yǎng)已成為行業(yè)趨勢。

長亭科技自成立以來，堅持網(wǎng)絡(luò)安全攻防兩端的能力建設(shè)，并在國內(nèi)外網(wǎng)絡(luò)安全競賽以及國家和各地區(qū)各行業(yè)的實網(wǎng)攻防演練中得到了實際驗證，被評為“最了解攻擊的防守隊伍”?；诙嗄暝诰W(wǎng)絡(luò)安全攻防一線，特別是在關(guān)鍵信息基礎(chǔ)設(shè)施單位安全服務(wù)的實踐，我們對攻防人才的培養(yǎng)已經(jīng)形成了“內(nèi)外兼修”的完整體系和方法。

二、以戰(zhàn)育人，以學(xué)促戰(zhàn)，建設(shè)規(guī)?；シ滥芰?/span>

提及網(wǎng)絡(luò)安全攻防人才時，人們首先想到的可能是縱橫于網(wǎng)絡(luò)空間的“極客”。然而，真正的“超級高手”畢竟是少數(shù)，面對當前無處不在的網(wǎng)絡(luò)空間以及層出不窮的安全風(fēng)險，再厲害的高手也奈何力有所不逮。對于小規(guī)模的安全團隊或許可以依賴個別明星級人物維持其能力，但對于擁有數(shù)百甚至上千人規(guī)模的企業(yè)而言，如何構(gòu)建并保持一致高標準的服務(wù)能力成為一個難題。對此，我們認為實戰(zhàn)攻防能力建設(shè)是人員能力、自動化平臺能力和數(shù)據(jù)情報能力的有效聚合，并從以下四個方面進行了探索實踐。

一是多類型人才能力明確定位，搭建立體攻防技術(shù)體系。術(shù)業(yè)有專攻，實戰(zhàn)攻防包括了多個專業(yè)技術(shù)領(lǐng)域。根據(jù)在實際安全服務(wù)中反饋的需求信息，我們將攻防人員分為安全研究人才、安全研發(fā)人才、安全服務(wù)人才等三種類型。安全研究人才負責漏洞的挖掘與利用、防護對抗技術(shù)等方面的深入研究，將研究的成果賦能到攻防知識庫和攻防平臺，做好知識庫的建設(shè)和數(shù)據(jù)情報的維護，為一線人員提供“彈藥”。安全研發(fā)人才負責攻防工具平臺的研發(fā)與完善，提供可靠高效的自動化攻防平臺、技能實訓(xùn)平臺和知識運營平臺。安全服務(wù)人才直接面向一線用戶，依托自動化攻防平臺和知識庫，在實戰(zhàn)場景開展?jié)B透測試、風(fēng)險發(fā)現(xiàn)、評估驗證、應(yīng)急響應(yīng)、托管運營等安全服務(wù)，并將需要改進完善的信息反饋給平臺和知識庫。通過精細分工，正向循環(huán)，打磨并建設(shè)符合實戰(zhàn)場景需求的攻防人才隊伍，最終形成規(guī)?；?、自動化、統(tǒng)一化的高水平安全服務(wù)能力。
二是對攻防人才進行分類畫像，實施精細培養(yǎng)。安全研究人才是攻防體系中最基礎(chǔ)、最核心的部分，培養(yǎng)時需要強化其計算機基礎(chǔ)能力，以及廣度和深度兼具的研究能力。例如，軟硬件、應(yīng)用、內(nèi)核和通信協(xié)議的全方位分析能力，聚焦行業(yè)實際需求，產(chǎn)出高價值的漏洞研究成果。安全研發(fā)人才則首要培養(yǎng)其研發(fā)能力，目標是研發(fā)為先、安全兼修、效果導(dǎo)向，專注打造好用且專業(yè)的工具平臺。安全服務(wù)人員則需培養(yǎng)其守正為先、勤奮踏實、善學(xué)善思的精神，熟練掌握攻防知識和專業(yè)技能，對突發(fā)情況做到應(yīng)對自如。
三是打造以戰(zhàn)育人、以學(xué)促戰(zhàn)的人才培養(yǎng)體系。有了明確的定位和人才團隊，還需要持續(xù)培養(yǎng)、提升不同人才的專業(yè)能力。善戰(zhàn)之師是在一線實戰(zhàn)中淬煉出來的。對內(nèi)，建設(shè)了實訓(xùn)平臺，將攻防知識和技能，通過豐富的課程、實操和靶場練習(xí)，不斷提升人員的綜合能力，做到以學(xué)促戰(zhàn)。對外，通過攻防演練、安全競賽、安全服務(wù)等實戰(zhàn)場景，以戰(zhàn)練兵、以戰(zhàn)育人，持續(xù)檢驗和提升攻防團隊在實際場景的攻防能力和整體協(xié)同能力。
四是合規(guī)意識教育，將保密意識、國家安全牢記心中，做到“人人有責、人人盡責”。網(wǎng)絡(luò)安全不僅是技術(shù)問題，更是一項涉及國家安全、社會穩(wěn)定和公民個人權(quán)益的重大議題。服務(wù)的客戶越多，肩負的國家安全責任就更重大。國家安全已經(jīng)貫穿于各項業(yè)務(wù)的方方面面，內(nèi)部員工的安全意識是國家安全防線的第一道屏障。長亭科技以“4·15”國家安全教育日、“國家網(wǎng)絡(luò)安全宣傳周”等活動為契機，通過組織線上線下全方位的意識宣傳教育、全員考試、講座培訓(xùn)等方式，讓全體員工了解總體國家安全觀理念，熟悉國家安全、網(wǎng)絡(luò)安全、保密、反間諜等相關(guān)法律法規(guī)，清楚國家安全與自身工作的內(nèi)在聯(lián)系，知悉工作中可能出現(xiàn)的安全風(fēng)險和應(yīng)對方法，切實增強全體員工的國家安全以及合規(guī)意識。同時，在合規(guī)管理方面，我們制定了完善的安全行為準則和應(yīng)急機制，最終實現(xiàn)在全公司建立安全思維、合規(guī)思維、法治思維，讓每一個員工在日常工作中都能嚴守法律法規(guī)和工作紀律，具備良好的職業(yè)道德，合法合規(guī)開展工作。

在這些措施的努力下，我們形成了多技術(shù)領(lǐng)域的先進漏洞研究能力，取得了顯著的成果。一方面，在日常工作和攻防演練中，持續(xù)發(fā)現(xiàn)關(guān)鍵和高危漏洞，不僅輸出多類型的國產(chǎn)化軟硬件漏洞成果，協(xié)助國家關(guān)鍵信息基礎(chǔ)設(shè)施單位消除安全風(fēng)險，同時持續(xù)強化長亭攻防知識庫的能力底座，為更專業(yè)、可靠的安全服務(wù)提供支撐。另一方面，以強烈的責任擔當和積極的履責實踐，對國家漏洞管理機構(gòu)實施高質(zhì)量技術(shù)支持，發(fā)現(xiàn)并報告了多項高危漏洞，為國家信息安全保障事業(yè)做出切實貢獻。例如，我們獲得了中國信息安全國家漏洞庫（CNNVD）的“優(yōu)秀技術(shù)支撐單位”“漏洞獎勵一級貢獻獎”“重大漏洞消控優(yōu)秀貢獻獎”等多項榮譽。

三、助力產(chǎn)業(yè)，多途徑、多維度的實戰(zhàn)化人才培養(yǎng)體系

對企業(yè)如何助力網(wǎng)安產(chǎn)業(yè)人才培養(yǎng)，我國的《網(wǎng)絡(luò)安全法》第二十條給出了明確的方向，“國家支持企業(yè)和高等學(xué)校、職業(yè)學(xué)校等教育培訓(xùn)機構(gòu)開展網(wǎng)絡(luò)安全相關(guān)教育與培訓(xùn)，采取多種方式培養(yǎng)網(wǎng)絡(luò)安全人才，促進網(wǎng)絡(luò)安全人才交流。”

當前，我國嚴重缺乏實戰(zhàn)攻防人才?；谧陨淼木W(wǎng)絡(luò)安全攻防和實踐對抗經(jīng)驗，我們探索并實踐多途徑、多維度的實戰(zhàn)化人才培養(yǎng)體系，助力我國重要行業(yè)和關(guān)鍵信息基礎(chǔ)設(shè)施單位培養(yǎng)產(chǎn)業(yè)急需的實用型網(wǎng)絡(luò)安全攻防人才，賦能我國整體網(wǎng)絡(luò)安全攻防能力的建設(shè)。

一是梳理網(wǎng)絡(luò)安全實戰(zhàn)攻防人才能力知識樹，通過針對性的人才培養(yǎng)體系，幫助重要行業(yè)及關(guān)基單位提升安全隊伍的實戰(zhàn)能力。參考國家已經(jīng)發(fā)布的《網(wǎng)絡(luò)安全產(chǎn)業(yè)人才崗位能力要求》《信息安全技術(shù) 網(wǎng)絡(luò)安全服務(wù)能力要求》（GB/T32914-2023）和《信息安全技術(shù) 網(wǎng)絡(luò)安全從業(yè)人員能力基本要求》（GB/T 42446-2023）等標準，結(jié)合《網(wǎng)絡(luò)空間安全人才框架》（NIST SP800-181），以及我們多年在一線實戰(zhàn)的知識經(jīng)驗得出的《網(wǎng)絡(luò)安全攻防能力成熟度評估模型》，針對不同層次的人才需求，推出了“珂蘭寺”“安道場”“小灶課”等專業(yè)人才培訓(xùn)服務(wù)和對應(yīng)的人才評估體系，從新入職人員，到長線攻防人才培養(yǎng)，再到特定目標的定制化強化培訓(xùn)，全面幫助企業(yè)進行網(wǎng)絡(luò)安全實戰(zhàn)攻防人才梯隊建設(shè)。培訓(xùn)聚焦實戰(zhàn)攻防，通過持續(xù)練習(xí)、模擬情景演練、實網(wǎng)演練，加強學(xué)員的實戰(zhàn)技能應(yīng)用能力和對實際工作目標的勝任能力，為國家和行業(yè)培養(yǎng)面向網(wǎng)絡(luò)安全實戰(zhàn)攻防需求的“精兵強將”。
二是基于自身豐富的競賽經(jīng)驗，協(xié)助組織網(wǎng)絡(luò)安全競賽和攻防演練，為用人單位進一步選拔、提升網(wǎng)絡(luò)安全隊伍的實戰(zhàn)攻防能力。競賽和演練可以充分檢驗評估安全團隊在實際攻防場景中的技能水平，提升人才的實戰(zhàn)技能和協(xié)作能力。我們支撐了“數(shù)字中國”“數(shù)信杯”等諸多國家級賽事，并幫助金融、通信、能源等大型行業(yè)舉辦了數(shù)十場安全競賽和攻防演練，幫助用人單位有效提升安全團隊的實戰(zhàn)攻防技能。在賽事的創(chuàng)新上，注重緊跟技術(shù)發(fā)展趨勢和行業(yè)實際需求。例如，連續(xù)舉辦六屆“Real World CTF 國際網(wǎng)絡(luò)安全大賽”，主打在模擬真實場景的數(shù)字世界競技切磋、發(fā)現(xiàn)和解決實際問題。近期舉辦的攻防賽事首次引入問津（ChaitinAI）安全大模型在賽事中承擔“專家角色”，不僅幫助選手答疑解惑，更是貼近未來的安全運營智能化發(fā)展趨勢，讓選手熟悉如何在實際工作中充分利用安全大模型“提質(zhì)增效”的能力，達到“拓寬人才的工作半徑”，實現(xiàn)更高效、更專業(yè)的安全運營。
三是加強產(chǎn)學(xué)合作與企業(yè)共建，按需定向培養(yǎng)專業(yè)實戰(zhàn)攻防人才。隨著我國“網(wǎng)絡(luò)空間安全”一級學(xué)科的設(shè)立和一流網(wǎng)絡(luò)安全學(xué)院建設(shè)示范項目的深入開展，高校的網(wǎng)絡(luò)安全人才培養(yǎng)工作效果顯著，但網(wǎng)絡(luò)安全技術(shù)發(fā)展日新月異，高校在實踐體系方面的建設(shè)與實際需求存在一定的滯后性。同時，企事業(yè)單位安全團隊的實戰(zhàn)攻防能力也需要與時俱進。對此，我們和中國海洋大學(xué)、上海電力大學(xué)等院校共同建設(shè)人才聯(lián)合培養(yǎng)基地，同時和金融、通信等行業(yè)共同建立了聯(lián)合安全實驗室，將自身前沿的安全攻防實戰(zhàn)經(jīng)驗，通過分門別類的實踐訓(xùn)練，達到理論與實踐的有效結(jié)合，提升院校培養(yǎng)的人才質(zhì)量，提升企業(yè)安全團隊的綜合素質(zhì)和實戰(zhàn)攻防能力，以更好地應(yīng)對當前新型安全風(fēng)險的挑戰(zhàn)。

四、結(jié) 語

在信息社會日益數(shù)字化、智能化的今天，隨著網(wǎng)絡(luò)攻擊日益頻繁和復(fù)雜，網(wǎng)絡(luò)安全正在加速走向?qū)崙?zhàn)化，對網(wǎng)絡(luò)安全服務(wù)的需求也更加多樣和專業(yè)，亟需更多優(yōu)秀的實戰(zhàn)攻防人才。高素質(zhì)的網(wǎng)絡(luò)安全漏洞人才乃至實戰(zhàn)攻防人才的培養(yǎng)是一個長期且系統(tǒng)的工程，需要對不同安全能力進行深度應(yīng)用和有機整合。未來，政府、高校、企業(yè)和社會各界應(yīng)進一步協(xié)同合作，共同努力，通過多層次、多渠道的培養(yǎng)策略，有效提升網(wǎng)絡(luò)安全實戰(zhàn)攻防人才的數(shù)量和質(zhì)量，為數(shù)字時代國家安全、社會穩(wěn)定和經(jīng)濟發(fā)展提供強有力的人才支撐。

（本文刊登于《中國信息安全》雜志2024年第11期）