邁入2019年，網絡安全風險加劇，網絡安全人才缺口也不斷加大。根據(jù)普華永道的報告，2019年網絡安全人才缺口可能達到150萬。如此龐大的數(shù)量對于企業(yè)而言已經不僅僅是挑戰(zhàn)，甚至快趕上災難了。但是除了焦慮，大家似乎也沒找到有效的方法來解決這個問題。人們往往覺得，人才缺口就是沒有合適的人才導致的。而事實也許并非完全如此。

[[258307]]

網絡安全人才發(fā)展現(xiàn)狀

參照邁克菲針對澳大利亞網絡安全從業(yè)者的調研報告，當前網絡安全人才的發(fā)展呈現(xiàn)出一定的特點和趨勢：

大多數(shù)受訪者對于優(yōu)秀網絡安全從業(yè)者應當具備的素質有著共識。例如：通俗易懂地解釋技術概念;分析能力;團隊協(xié)作能力;良好的溝通交流能力等。但是，27%的受訪者無法列舉出優(yōu)秀網絡安全從業(yè)者必備的某項具體技能。這表明，業(yè)內對于合格或優(yōu)秀網絡安全從業(yè)者的技能定義還不夠明確、對于真正多樣化且優(yōu)秀的網絡安全團隊也缺乏精準定義。這種狀況實際上會影響全面、高效的網絡安全隊伍建設。

此外，大多數(shù)網絡安全從業(yè)者(84%的受訪者)都具備中學以上的教育學歷(其中49%的人是工程或IT專業(yè)、通信或網絡安全專業(yè);而49%的人完全沒有任何網絡安全專業(yè)資質)，僅16%的受訪者表示曾經在其他行業(yè)工作或者從事過與網絡安全無關的工作。網絡安全人才招聘僅限于行業(yè)內部并不利于行業(yè)的多樣性發(fā)展，在科技和行業(yè)都迅速發(fā)展的今天，這樣的招聘模式可能也或帶來潛在的局限性。

大多數(shù)網絡安全從業(yè)者的工作內容是運營或管理，而涉及安全策略、安全教育或安全咨詢的從業(yè)者較少。這樣的結果其實也反映了國內網絡安全從業(yè)人員現(xiàn)狀。《中國信息安全從業(yè)人員現(xiàn)狀調查報告》(2017年度)顯示，當前網絡安全領域最缺乏的就是戰(zhàn)略規(guī)劃、架構設計類人才。34%的受訪者認為自己花費了一半以上的時間處理網絡安全工作;57%的管理者認為招聘員工很困難，其中安全運營的人才最難找。這些數(shù)據(jù)表明，很多從業(yè)者都曲解了網絡安全職責，將其與其他工作內容混雜，甚至會自我設限，導致企業(yè)的應急響應受限。這同樣給企業(yè)敲響了警鐘：應當引進更多的自動化技術產品，將員工從技術和應急響應中解放出來，投入到策略性、整體性的工作中去。

當前形勢下，以網絡安全為專業(yè)或者具備網絡安全從業(yè)經驗的人員數(shù)量的確不足以填補缺口。但對于需求方而言，真正的人才不能僅僅靠經驗或專業(yè)、證書等條件來評判。網絡安全企業(yè)在人才建設過程中，除了單純的招聘與團隊擴充，也可以考慮利用多種方式激發(fā)內部員工潛能，或讓其他行業(yè)有潛力的人才開啟網絡安全職業(yè)生涯，為未來發(fā)展開辟更多道路。

緩解網絡安全人才短缺問題

一、提升招聘成功率

[[258308]]

1.擴展招聘渠道

對于企業(yè)而言，填補人才缺口的首要選擇就是加大招聘力度。但有時候，單純增加職位需求或增加薪酬福利并不能找到理想的人才。有時候，還需要擴展招聘渠道，尋找更多目標群體。除了計算機專業(yè)、科研院所的人才，還可以考慮其他專業(yè)或社群。通俗來說，也就是尋找業(yè)內所說的民間力量。很多白帽子或漏洞獵人通常利用業(yè)余時間涉足網絡安全。他們也許并非從事網絡安全行業(yè)，專業(yè)或職業(yè)背景五花八門，但他們都對網絡安全有濃厚興趣，且自我驅動力強、善于學習。如果能找到這樣一群人并將其轉化為具有豐富經驗的人員，將為網絡安全行業(yè)和企業(yè)帶來新的觀點、經驗與思路，為抵御風險提供更多可能性。

2.合理描述職位需求

很多企業(yè)招聘時，對于一個崗位的要求太多太嚴格，會讓應聘者望而生畏。還有一些企業(yè)只注重要求而沒有展示企業(yè)能給員工帶來的成長與收獲，很容易會流失一些優(yōu)秀種子。一般來說，可以找專業(yè)寫手撰寫招聘文章，好的文案就是成功招聘的一半。一般來說，職位名稱要準確、職位描述要精簡且突出重點，還要突出企業(yè)優(yōu)勢與福利，才能吸引到人才。

3.建設包容性、多樣化的企業(yè)文化

曾有報告顯示，在網絡安全從業(yè)者中，女性僅占11%。此外，外行對于網絡安全職業(yè)的不理解以及行業(yè)內部存在的一些種族不平等、學歷不對等、薪酬差距等問題，也是網絡安全人才培養(yǎng)所面臨的一大挑戰(zhàn)。

當然，這些大環(huán)境因素的影響并非個別企業(yè)憑借自身之力就能應對。但是，企業(yè)可以通過增加環(huán)境和文化的多樣性，來緩解短缺的問題：

A.與附近的高等教育機構合作推進培訓項目，引進新鮮血液;

B.設立內部政策，解決企業(yè)內部存在的問題;消除偏見、促進平等也很重要;

C.必要時候可以通過當?shù)氐恼衅笝C構，專門從女性群體或少數(shù)群體中尋找人才;

D.在公司網站中專門設立頁面，展示公司的包容性與多樣性，例如成功的招聘案例、員工的發(fā)展與成長、公司為行業(yè)發(fā)展做出的貢獻等。

對比國內外網絡安全行業(yè)的企業(yè)官網，可以看出國內外網絡安全企業(yè)在文化層面以及行業(yè)發(fā)展層面都存在一些不同。一方面，國外企業(yè)普遍注重企業(yè)文化建設，在官網通常都會專門設置頁面展示企業(yè)文化、員工發(fā)展建設活動與案例，以促進人才招聘與培養(yǎng)，樹立良好的企業(yè)形象。很多網絡安全公司也是如此。而國內只有部分大企業(yè)注意到了這一點。另一方面，與國外相比，國內網絡安全公司起步與發(fā)展都較晚，較為注重技術、產品等核心業(yè)務，尚無暇體系化地建設企業(yè)文化、樹立企業(yè)形象。這一步通常要在企業(yè)發(fā)展成熟之后考慮，但如果日常業(yè)務中有意識地逐步建設，則有助于吸引人才、培養(yǎng)人才。而隨著網絡安全行業(yè)不斷發(fā)展成熟，整個行業(yè)的包容性與多樣性(包括減少歧視、促進平等)也會不斷增強。

二、加強網絡安全教育與培訓

普通企業(yè)的安全需求一般分為網絡安全、終端安全、惡意軟件分析、加密等四大類。此外還有威脅溯源、應急響應(包括網絡流量分析、惡意軟件逆向、終端檢測等)等多種技能要求。這些技能并非一朝一夕可以掌握，但在院校多年培養(yǎng)的有經驗的人才數(shù)量不足的情況下，普通員工通過項目培訓、考證以及在職工作積累和學習，也能逐漸勝任一些基礎的網絡安全工作。

具體說來，可以從以下三個方面加強網絡安全教育與培訓，緩解網絡安全人才短缺問題：

1.校企合作加強網絡安全人才教育

企業(yè)可以與高等院校合作，結合實際情況，參與課程設置，建立實踐基地，進行項目合作、培訓認證、學習實踐、培訓及推廣交流等。從多個方面培養(yǎng)具備理論知識和實踐經驗的網絡安全人才。

2.培訓與認證

如今網絡安全相關的網站、文章、課程等層出不窮，為網絡安全知識的培訓與普及提供了豐富資源。At&T、安永、普華永道以及國內的一些網絡安全公司都提供安全培訓和服務。此外，CISSP、CISP等證書認證考試也有完善的教育和培訓過程。這些都有助于培養(yǎng)網絡安全從業(yè)人員。

3.安全意識培訓

對于普通的員工的安全意識培訓也不可或缺。讓員工意識到數(shù)據(jù)安全的重要性，讓員工在密碼設置、訪問認證、內外網連接、郵件收發(fā)、移動辦公等過程中遵守規(guī)則、合理操作，形成企業(yè)內良好的安全氛圍，有助于降低安全風險，減輕安全人員的壓力。這部分具體的內容，我們在另一篇文章中曾有提及，感興趣的讀者可以點擊查看?？ò退够谕瞥隽艘豢畎踩庾R培訓平臺，主打自動化和靈活性，很適合小企業(yè)使用，也可作為一個參考。

通過合適的培訓，甚至還可以將其他行業(yè)的人才發(fā)展為網絡安全人才，如刑偵警察、游戲玩家等……這跟前文提到的擴展招聘渠道可以同步實踐。

網絡安全人才招聘與培養(yǎng)四問四答

本文的結尾，以網絡安全人才招聘與培養(yǎng)四問作結。

1.我們究竟需要什么樣的人才?

根據(jù)《中國信息安全從業(yè)人員現(xiàn)狀調查報告》(2017年度)，我國網絡安全行業(yè)最緊缺的是戰(zhàn)略規(guī)劃、架構設計類人才。根據(jù)《2017 年全球信息安全人員研究報告》，全球網絡安全行業(yè)最緊缺的是運行和安全管理和事件/威脅管理以及取證類人才。

而總體來說，除了具備網絡安全知識、技能，能夠應對安全問題的人才外，有全局觀、能給出企業(yè)級安全解決方案的專家級人才，是整個行業(yè)最渴求的。

2.如何為行業(yè)輸送人才?

在高校的網絡安全教育中，高校教師既要做講師和教練，還做引跑者。在學生學習過程的不同階段，為學生梳理在不同階段需要學習的知識點，同時因材施教。對于網絡安全專業(yè)的學生，可以以需求為導向，支持多層次的競賽工作，以賽促練。同時，還要注重學生與普通民眾的安全通識教育。

企業(yè)在安全崗位建設中，以市場需求為導向，合理設置網絡安全保障工作內容，明確各崗位的能力要求。設置不同從業(yè)資質的指標，建立從業(yè)標準，并與學?；蚺嘤枡C構合作，參考資質要求和標準，共同培養(yǎng)具備相應能力的人才。

3.如何讓整個行業(yè)變得更具有吸引力?

當前形勢下，整個網絡安全行業(yè)前景大好，政府、企業(yè)、全民對網絡 安全的重視程度提高，也在一定程度上促進了整個行業(yè)的影響力。提升企業(yè)內部以及整個行業(yè)對網絡安全的重視程度，才能讓從業(yè)者感受到工作的價值與意義。同時，讓網絡安全員工合理地參與到公司的業(yè)務流程，了解業(yè)務策略、IT架構以及安全架構，有助于安全工作有效進展。此外，尊重在職網絡安全人才的發(fā)展與成長，提供培訓、提供繼續(xù)教育支持、提供明確晉升通道和良好工作、學習氛圍等，不僅能提升員工能力和積極性，也能更好地應對不斷出現(xiàn)的安全威脅。當然，合理的薪酬福利也是提升吸引力的關鍵。

4.是否找對了人?是否用對了人?

在網絡安全行業(yè)，威脅評估、風險管理、運營、分析等不同的工作對應著不同的崗位，也有著不同的技能要求。想找到合適的人才，就要明確各個崗位的職責和要求。例如，要想讓安全運營中心良好運轉，就要找既懂技術也懂應急響應的員工，而不能找只懂風險的員工。因為他們不僅要知道風險的閾值，還要知道可以緩解或增加風險因素，還要知道如何從技術層面控制風險。也就是說，企業(yè)一定要明確自身對網絡安全的具體需求，明確所招聘人才的角色定位，同時在單位內部建立完善的網絡安全管理制度，才能用對人，用好人。