我们需要网络安全人才还是网络安全能力?问题提出,然后我们来分析问题,网络安全人才。正如大家所渲染的我们需要多少网络安全专业岗位,专业人才一样,网络安全人才,具有深厚的网络安全专业知识,并能够通过专业知识解决组织所面临的网络安全问题,比如:恶意人员的入侵,内部舞弊以及恶意破坏等问题,广义的网络安全问题可以定义在《信息安全技术 信息安全事件分类分级指南》GB_Z 20986-2007中所包含但不限于其所定义的7大类;网络安全能力,每个岗位都应该在自己工作职能和技术的基础上所应该具有的相应的网络安全知识的应用水平。两者到底有什么区别呢?我不否认网络安全岗位的必要性,但是想想,真正能够达到网络安全专业人才需要什么样的知识技能?会攻防?能入侵?能抵抗入侵?还是去黑掉卫星?我们可以不停的去问:为什么?我们为什么要这个岗位和这项技能?除了政策性的必须之外,安全能够给组织带来的真正业务价值在哪里?随着法律的不断细化,未来威慑性的体系构建完成,可以有效的遏制犯罪意图,当计算机犯罪降低后,网络安全岗位的需求将何去何从?我们常常把网络安全从业人员比做保安,那么想想,我们用1个保安保护1个组织,可以接受;那么全国假设有500万企业和组织,那么就等于我们至少要500万网络安全从业人员;每个组织系统数量不同。1个保安保护的组织只有10个系统,但是这500万企业和组织会有多少系统,这个就是一个很痛苦的结论了。怎么解决这个痛苦?当安全与业务产生冲突怎么办?我提这个问题有15年之久。这个问题没有正确的答案,原因很简单。这个本身就是一个矛盾,在矛盾中产生的问题是没有答案的。不同的岗位和不同的角色所给出的答案一定是不相同的,即使能够在某个点上达成共识,但是很快会在实施中重燃战火,问题很简单,业务和安全本身就是两个不同范畴的领域。说了这么多废话,到底要表达什么样的思想呢?构建普适的网络安全能力。安全专业岗位是必须的,安全专业能力也是必须的,但是我更希望看到的是我们能够让每个角色都能在他们的专业技能基础上建立本领域的安全认知能力。这种能力可以提供每一个员工建立一种能够符合组织安全文化的共识,同时能够具备与安全专业人员达成沟通的能力。但是这里有个问题,这种能力不是我们所谓的安全宣贯,而是能够在业务角度针对业务安全所形成的专业知识的提供,就相当于,我们给学生讲一门软件开发课的时候,在最后一章给学生们讲讲本开发环境下可能产生的安全问题,以及如何解决或关注这些问题。这样学生每学完一门课就能掌握一个安全领域并且更容易从实战实用角度出发理解安全,而不是简单的攻防对抗。如何构建普适的安全能力呢?这需要组织者能够针对不同行业制定学习计划,培训机构能够针对不同领域(而不是简单的信息部门)制定网络安全课程,比如:针对销售的供应链安全和国家网络安全立法相关知识、针对开发部门的软件安全开发培训、针对人力资源的人力资源安全和《劳动合同法》以及《数据安全法》相关的知识、而财务部门的终端安全和社会工程学攻击的知识是其必然需要掌握的。所以深入组织的业务编制网络安全相关课程比制定所谓的各种认证更有价值。习惯了泼冷水,这次可能又是一瓢泼在网络安全岗位人才热点的冷水,但是,一味的强调网络安全岗位能力,不一定是解决网络安全最好的方案。我们需要的是具有特种作战能力的小而精的网络安全专业团队,而不是大而全的网络安全散兵游勇;我们可以做到出则为兵,入则为民;也就是说一个帅带一堆专业的将军去指挥士兵和特种部队去作战,而不是像无头苍蝇一样,一群四不像到处乱撞。
收起
