【51CTO.com快譯】網(wǎng)絡(luò)安全正受到世界各國政府及企業(yè)的高度關(guān)注，其渴望構(gòu)建安全產(chǎn)品并保障敏感數(shù)據(jù)免遭入侵。惟一的難題在于，網(wǎng)絡(luò)安全屬于一類相對較新的技能，且市場上可供選擇的人才還非常有限。

英特爾與美國戰(zhàn)略與國際研究中心(簡稱CSIS)共同調(diào)查了775名IT決策者，其中82%表示其目前正面臨著網(wǎng)絡(luò)安全技能短缺的問題。正因?yàn)槿绱耍绹O(shè)立了國家網(wǎng)絡(luò)安全研究計(jì)劃(簡稱NIC)，旨在通過從中學(xué)階段引入網(wǎng)絡(luò)安全課程的方式解決市場對專業(yè)人才日益增長的需求。

然而我們必須承認(rèn)，網(wǎng)絡(luò)安全的前景呈現(xiàn)出愈發(fā)迅猛的變化態(tài)勢，且復(fù)雜度亦在不斷提高。這意味著“今天學(xué)習(xí)的知識可能無法解決明天出現(xiàn)的問題，”金融服務(wù)行業(yè)技術(shù)供應(yīng)商Sungard公司全球CSO Shawn Burke表示。

實(shí)踐出真知

Rook Security公司應(yīng)用與產(chǎn)品開發(fā)負(fù)責(zé)人Michael Taylor指出，網(wǎng)絡(luò)安全知識并不一定能夠通過本科教育掌握。Taylor曾在普渡大學(xué)與印第安州立大學(xué)擔(dān)任網(wǎng)絡(luò)安全課程導(dǎo)師，其結(jié)合自身經(jīng)歷指出，學(xué)生們普通缺乏實(shí)踐經(jīng)驗(yàn)。

學(xué)生們可能學(xué)會了如何編程及開發(fā)應(yīng)用，但卻很少貫穿整個(gè)開發(fā)流程考慮安全問題。相反，這部分內(nèi)容的引入太過滯后。他建議稱，這種實(shí)踐經(jīng)驗(yàn)的缺失導(dǎo)致學(xué)生無法“在畢業(yè)之后立即為團(tuán)隊(duì)貢獻(xiàn)扎實(shí)可靠的代碼成果。”

他同時(shí)表示，“一般來講，學(xué)生們能夠很好地把握計(jì)算機(jī)科學(xué)中的算法、數(shù)據(jù)結(jié)構(gòu)及其它主題，但卻很難理解如何令程序更經(jīng)久耐用、容錯(cuò)且安全。”

像黑客那樣思考

Taylor表示，學(xué)生們需要學(xué)會“像黑客那樣思考”，從而充分把握構(gòu)建安全應(yīng)用的訣竅。這種思維方式能夠讓學(xué)生們更加了解其需要對抗的目標(biāo)，而企業(yè)正需要這種能力以幫助自身節(jié)約成本。

“在生產(chǎn)環(huán)境下修復(fù)安全漏洞的成本遠(yuǎn)高于立足開發(fā)或者分段環(huán)境時(shí)進(jìn)行解決。教會開發(fā)人員如何以安全方式開發(fā)應(yīng)用，能夠顯著降低解決數(shù)據(jù)泄露以及生產(chǎn)問題的相關(guān)成本，”Taylor指出。

另外，實(shí)現(xiàn)網(wǎng)絡(luò)安全還需要學(xué)生們充分利用各類創(chuàng)造性方法，而非單純著眼于技術(shù)角度。現(xiàn)實(shí)情況是，即使擁有全部正確的“硬技能”，要了解如何防范尚未出現(xiàn)的威脅，我們?nèi)匀恍枰浜习l(fā)散思維。

“盡管某些從業(yè)者可能對于安全技術(shù)與概念擁有深入了解，但他們可能不清楚如何在業(yè)務(wù)背景下應(yīng)用這些安全邏輯。解決方案已經(jīng)變得更為復(fù)雜，所以我們需要更多具有創(chuàng)造性的問題解決能力，”Burke表示。

擁抱軟技能

根據(jù)白帽學(xué)院創(chuàng)始人兼非營利性組織Opportunity@Work CTO Fletcher Heisler的說法，網(wǎng)絡(luò)安全專業(yè)人員還需要良好的溝通及人際關(guān)系處理技巧，而這些顯然是高校教育所無法給予的。

“對于大多數(shù)網(wǎng)絡(luò)安全職位，從業(yè)者需要了解能夠保護(hù)企業(yè)的可行政策，組織社交工程攻擊應(yīng)對培訓(xùn)，同時(shí)使用用戶友好度相對較高的系統(tǒng)，這往往比特定技術(shù)知識更加重要，”Heisler指出。

軟技能對于IT領(lǐng)導(dǎo)者同樣重要，因?yàn)槠湫枰獏f(xié)調(diào)預(yù)算、就威脅狀況進(jìn)行有效溝通并向其他高層管理者傳達(dá)網(wǎng)絡(luò)安全趨勢。這亦意味著對最終用戶抱持同情及理解的心態(tài)，確保始終使用用戶友好型系統(tǒng)，從而順利引導(dǎo)那些并不精通技術(shù)的員工，他解釋稱。

挖掘人才儲備

很明顯，人才培訓(xùn)是一種周期性工作，因此企業(yè)在空檔期內(nèi)需要盡可能挖掘現(xiàn)有人才。一般來講，我們的隊(duì)伍中已經(jīng)擁有理想的人選，企業(yè)方面需要想辦法“為這些人才提供時(shí)間與資金投入，”Heisler表示。

企業(yè)可以考慮鼓勵(lì)員工參加夏令營、研討會、兼職課程以及專業(yè)進(jìn)修課程等活動，以提升自身網(wǎng)絡(luò)安全水平。行業(yè)專家們建議，專項(xiàng)培訓(xùn)計(jì)劃將成為未來網(wǎng)絡(luò)安全教育中的重要組成部分。

斯坦福大學(xué)網(wǎng)絡(luò)倡議項(xiàng)目執(zhí)行董事Allison Berke博士認(rèn)為，學(xué)生們應(yīng)該以項(xiàng)目需求為核心組織學(xué)習(xí)流程。如果他們對機(jī)器學(xué)習(xí)抱有興趣，則應(yīng)允許他們參加相關(guān)研討會、對話以及現(xiàn)場教學(xué)活動。其中一部分需求亦可通過在線培訓(xùn)及認(rèn)證課程形式實(shí)現(xiàn)，從而幫助學(xué)生們像專業(yè)人員那樣選擇特定技能進(jìn)行學(xué)習(xí)及提升。

“去年冬季，美國司法部聯(lián)邦檢察官Kathryn Haun就曾經(jīng)針對Silk Road(某暗網(wǎng)黑市)進(jìn)行了一堂數(shù)字化貨幣與網(wǎng)絡(luò)犯罪應(yīng)對知識教學(xué)。未來的教育工作應(yīng)該以傳統(tǒng)課堂與網(wǎng)絡(luò)教學(xué)、研討會、分組討論以及會議相結(jié)合的形式存在，幫助學(xué)生們與行業(yè)乃至政府機(jī)構(gòu)對接，共同探討目前存在的問題，”她表示。

原文標(biāo)題：Cybersecurity skills aren’t taught in college，作者：Sarah K. White

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】