北京航空航天大學：2022網絡安全人才實戰能力白皮書-攻防實戰能力篇（91頁）.pdf

《北京航空航天大學：2022網絡安全人才實戰能力白皮書-攻防實戰能力篇（91頁）.pdf》由會員分享，可在線閱讀，更多相關《北京航空航天大學：2022網絡安全人才實戰能力白皮書-攻防實戰能力篇（91頁）.pdf（91頁珍藏版）》請在三個皮匠報告上搜索。

1、攻防實戰能力篇網絡安全人才實戰能力白皮書 網絡空間的競爭，歸根結底是人才的競爭。網絡安全人才，賦能千行百業，是數字經濟安全發展的基石。網絡與信息安全發展，人才隊伍建設是關鍵。在網絡強國戰略深入推進的同時，網絡安全人才缺口巨大成為了網絡安全產業面臨的主要問題之一，尤其是實戰人才更是嚴重缺失。數據顯示，到年，我國網絡安全人員缺口將達萬，而高校人才培養規模僅為萬/年。在我國，真正具有實戰能力，了解攻擊手段和攻擊路徑的網絡安全人才嚴重缺乏。一方面，僅有%的企業信息部門、安全部門負責人認為自身團隊“各方面攻防實戰能力均不欠缺”；另一方面，我國高校人才培養最為現實的問題就是“實習實踐”。網絡安全人才實戰能

2、力建設已經成為亟需解決的時代新命題。網絡安全人才實戰能力白皮書（以下簡稱“白皮書”）是業內首份聚焦網絡安全人才實戰能力的白皮書，基于場、抽取條網絡安全競賽信息，份調研問卷，結合實戰人才供給側及用人單位需求側情況，全面呈現我國實戰型人才的供需現狀、培養現狀、評價方式及發展建議。白皮書 面向黨政機關、央企機構、企事業單位及高校等單位，希望能夠通過努力為各單位人才戰略制定提供詳實參考。白皮書 主要有以下特色：（）基本概念清晰，方法論明確。首次定義了網絡安全人才實戰能力、網絡安全人才攻防實戰能力，提出了網絡安全人才實戰能力“+模型”、網絡安全人才培養“ASK-P模型”，為網絡安全人才實戰能力的分類與評

3、價樹立了標準。（）內容全面，深入淺出。全面對比了國內外網絡安全人才發展環境、網絡安全人才實戰能力供需，全國各地域各行業網絡安全人才實戰能力，形成大量結論。作者盡量避免使用晦澀難懂的語言描述深奧的理論和技術知識，而是借助大量圖表進行表述。（）專家力作，內容先進。作者堅守高校的教學和網絡安全一線工作多年，在長期的工作中積累了深厚造詣，多位作者還榮獲過網絡安全優秀教師獎、網絡安全優秀人才獎，以及國家技術發明一等獎、北京市科學技術獎一等獎等。他們將深厚的教學理念與實踐經驗融入了 白皮書。白皮書 由教育部高等學校網絡空間安全專業教學指導委員會指導，北京航空航天大學、中國科學技術大學及永信至誠擔任主編單位

4、，西安電子科技大學、東南大學、武漢大學、華中科技大學、上海交通大學擔任副主編單位，北京電子科技學院、山東大學、四川大學、北京郵電大學參編。本 白皮書 聚焦攻防實戰能力，為 網絡安全人才實戰能力白皮書 系列之一，未來將陸續對漏洞挖掘能力、工程開發能力、戰效評估能力三部分進行發布。由于作者水平有限，加之時間倉促，難免存在疏漏及不妥之處，敬請批評斧正。前言網絡安全人才實戰能力白皮書目錄第一章 網絡安全產業人才狀況分析.宏觀政策環境 .國際情況 .國內情況.人才發展環境 .院校培養環境 .單位使用環境.網絡安全人才實戰能力類別 .網絡安全人才實戰能力定義 .網絡安全人才實戰能力模型 第二章 網絡安全人

5、才攻防實戰能力分析.網絡安全攻防實戰人才現狀 .性別、年齡及學歷情況 .地域及行業情況.網絡安全攻防實戰能力現狀 .網絡安全攻防實戰能力技術 .網絡安全攻防實戰能力情況.網絡安全攻防實戰經驗分析 .網絡安全競賽人員參與情況 .網絡安全競賽經驗成果 C O N T E N T SIV第三章 用人單位網絡安全人才實戰能力需求分析.用人單位的特點及人才需求分析 .按地域維度分析 .按行業維度分析 .按企業性質/規模維度分析.崗位需求 .崗位基本要求 .崗位基本需求.崗位與能力匹配分析 .崗位人才分布 .崗位能力需求 .能力提升需求.人員來源分析 第四章 網絡安全人才攻防實戰能力提升分析.網絡空間安全

6、實戰攻防人才培養現狀 .院校網絡安全相關專業建設現狀 .社會培訓機構發展現狀 .企業內部從業人員培訓現狀網絡安全人才實戰能力白皮書 .社會培訓機構培養方式分析 .企業內部培養方式分析.人才培養效果分析 .院校培養效果分析 .培訓機構培養效果分析 .企業培養效果分析 第五章 網絡安全人才攻防實戰能力評價分析.網絡安全人才攻防實戰能力評價現狀 .主流評價方式 .有效評價方式 .存在問題.網絡安全人才攻防實戰能力評價分級 .能力分級說明 .能力評價內容 .評價標準.網絡安全人才攻防實戰能力提升與評價方式 .安全競賽.人才培養方式分析 .院校培養方式分析 目錄C O N T E N T SVI第六章

7、總結和建議.院校人才培養體系建設建議 .理論教學體系建設 .實踐教學體系建設 .企業單位人才培養建設建議.政府扶持政策建議 .安全會議 .培訓認證 .安全眾測 .攻防演練.網絡安全人才攻防實戰能力提升路徑 .統一的網絡安全攻防實戰能力框架 .網絡安全攻防實戰能力課程/培訓認可 .常態化攻防人才成長通道 網絡安全人才實戰能力白皮書網絡安全產業人才狀況分析第一章目前，美國是網絡空間最強國，網絡空間安全人才培養數量和質量優于其他國家，其完備的人才培養體系值得我國借鑒，同時英、法、德、日、韓、俄、以等網絡空間強國依托自身國家實際情況培育網絡空間安全人才。在戰略層面上，美國先后發布了 網絡空間人才計劃（

8、）、美國網絡空間安全教育計劃（）、美國網絡安全教育計劃戰略規劃：構建數字美國（）、聯邦網絡安全人才戰略（）、網絡安全人才行政令（）等多個網絡安全戰略，詳盡地規定了從高等院校教育、尖端科技企業培訓到社會人才發掘、高中生尖子選拔，再到網絡空間安全人才“掐尖”（即以豐厚的條件吸引全球網絡空間安全人才），多層培養網絡空間安全人才。歐盟于年月發布 網絡安全戰略，要求各成員國展開網絡與信息安全教育。年英國發布 網絡安全國家戰略，強調要“加強網絡安全技能教育”，德國發布 德國網絡安全戰略，強調“提高公眾對互聯網風險的認識，加強專 業人才培養”，法國發布信息系統防御與安全：法國戰略，提出建立網絡防御研究中心，

9、從事專業人才的培訓，增加年輕信息安全人才的比重。歐洲各國普遍重視碩士和博士學歷教育，并建立了針對在校高學歷人才的專業評估授權認證。在專業人才認證方面，建立了CCT和CCP專業認證項目，確定具有專業技能的網絡空間安全人才等級并給予相應待遇。隨著新的計算技術、網絡技術、通信技術的快速演進，網絡空間成為繼陸、海、空、天之后的第五大主權爭奪空間。網絡安全關系到國家安全、社會穩定、經濟發展、人民生活等各個方面，為了國家安定與繁榮發展，必須確保我國的網絡空間安全，要建設國家網絡空間安全保障體系，保護政府、部隊、企業等重要部門，以及金融、能源等重要基礎設施的網絡安全。習近平總書記明確指出，人才是第一資源；網

10、絡空間的競爭，歸根結底是人才競爭。網絡空間安全的核心競爭力在于專業人才，只有培養足夠優秀的網絡專業技術人才，才能保證國家在未來的網絡空間戰爭中獲得優勢。因此，世界各國紛紛將網絡空間人才培養工作提升到國家戰略層次，投入巨量財力物力，建設完備的網絡空間安全人才培養體系。1.1 宏觀政策環境網絡安全產業人才狀況分析日本自年起每年支出約一億日元用于網絡安全人才培養，包括向國外大學輸送人才，進入信息安全相關機構進修，參加日美IT論壇。年 月出臺的 日本賽博安全戰略 提出培養、發掘掌握創新方法和技術的網絡空間安全優秀人才的基本路線。俄羅斯發布數版 信息安全學說，指導推進信息安全建設和人才培養工作。信息學是

11、俄羅斯中學階段的一門核心課程，其內容包括信息技術、網絡技術、算法和編程語言，據統計，每年有萬中學生注冊參加AP計算機科學考試，為俄羅斯培育了超 萬計算機相關技術人才，這其中就包括了大量的世界知名的黑客。俄羅斯在部隊系統內大力培養網絡空間安全人才，年，國防部設立了IT技術武備學校，用于培養專門的網絡部隊后備人才。另外，美、英、韓、俄、以等網絡空間安全人才的培養也依托于部隊和地方機構的協同合作。美國海軍、陸軍、空軍向大學和研究機構撥付大量資金進行網絡攻防技術研發，并將空軍研究實驗室向后備軍官和普通大學生開放；韓國國防部與忠清大學在 年設立專業系，為韓國網軍培育網絡空間安全人才；日本年預算七千萬日元

12、，用于委托美軍進行信息系統人才培養；以色列的網絡戰部隊部隊更是擁有優先在高中生中招收人才的權利。1.1.1 國際情況年，美國國家安全局（National Security Agency,NSA）推出了信息保障教育學術卓越中心（CAE in information assurance education,CAE-IAE）計劃。年，該計劃首批認證了七所大學。年，NSA與美國國土安全部（Department of Homeland Security,DHS）合作，開展CAE-IAE認證計劃。年，CAE計劃增加了創新和卓越中心研究（Center of Academic Excellence in Cy

13、ber Research,CAE-R）認證。年，網絡空間防御（Center of Academic Excellence in Cyber Defense,CAE-CD）項目啟動，面向研究中心、技術學校、政府培訓機構，包含三個項目的認證：四年制學士/碩士教育、兩年制預科教育和研究中心項目認證。年月，美國前總統奧巴馬啟動“國家網絡空間安全教育計劃(National Initia-tive of Cyber security Education,NICE)”，期望通過國家的整體布局和行動，在信息安全常識普及、正規學歷教育、職業化培訓和認證等三個方面開展系統化、規范化的強化工作，來全面提高美國的信息

14、安全能力。年，網絡空間操作（Center of Academic Excellence in Cyber Operations,CAE-CO）項目啟動，作為NICE框架的一部分，CAE-CO項目是對CAE-CD的補充，特別強調網絡操作專業技術。CAE-CO認證面向四年制本科和研究生院校，參與認證的院校必須是已建立計算機科學（Computer Science,CS），電子工程（Electrical Engineering,EE）或計算機工程（Computer Engineering,CE）專業的院系，或擁有同等技術水平的專業院系，或在兩個或兩個以上的專業之間有所協作的院系。年，CAE-IAE指定

15、名稱改為網絡空間防御教育（Center of Academic Excellence in Cyber Defense Education,CAE-CDE）。年月，CAE-CD項目并入CAE-CO項目。同年，CAE決定強化學術成果產出在評定中的占比，并同時結合其他因素。截至年月日，全美共有所機構獲得CAE認證，所社區學院提供副學士學位課程和學位；所機構同時擁有CAE-CDE和CAE-R認證；所機構同時擁有CAE-CDE和CAE-CO認證；所機構擁有CAE-R和CAE-CO認證；所機構擁有三種認證。NCAE項目得到了很多政府相關部門的支持，包括但不限于國防部（DoD），教育部（DoE），國土安全

16、局（DHS），聯邦調查局（FBI），NICE，美國網絡空間安全司令部（US-CYBERCOM）和美國國家科學基金委員The National Science Foundation（NSF）。英國政府通信部于年底，該國第一個國家網絡安全戰略起步階段時啟動了一流網絡空間安全研究學術中心（Academic Centres of Excellence in Cyber Security Research,ACEs-CSR）建設項目，并于起初的所大學發展成為年所大學組成的學術聯盟，將英國大學的網絡空間安全研究體系化。該計劃最初的重要目標是認定英國在網絡空間安全領域的一流研究機構，并認定英國研究成果顯著的

17、技術領域，這也有助于明確需要加強的研究領域。其愿景是實現對政府和企業的支持。它將協助政府和企業與學術機構進行更有效的互動，以深入了解領先的網絡空間安全研究，并利用它為英國創造利益。ACEs-CSR考量的研究領域主要包括以下八大類：密碼學、密鑰管理及相關協議，信息風險管理，系統工程及安全分析，信息保障方法論，操作保障技術，技術和產品的安全性研究，網絡空間安全科學和可信系統的構建。英國工程與物理科學研究委員會和國家網絡安全中心共開展了次ACE-CSR認證工作。在每次認證過程中，可獲認證的機構的數量未做限制。英國政府方面的目標是令所有符合標準的機構都將被邀請加入該計劃。年（第六輪）認證工作后，ACE

18、s-CSR的認證期限為年月日。近年來，在歐盟網絡安全局（The European Union Agency for Cybersecurity,ENISA）的規劃下，歐盟和歐洲自由貿易聯盟國家建立了一個網絡空間安全高等教育數據庫（Cybersecurity Higher Education Database,CyberHEAD），致力于為所有希望在網絡空間安全領域提高知識水平的公民提供參考。這項數據庫令年輕的人才對網絡空間安全高等教育提供的各種可能性有著更清晰的了解，從而做出更明智的選擇。同時，它也幫助大學吸引有志于保障歐洲網絡空間安全的學生。另外，受歐盟地平線計劃（European Unio

19、ns Horizon 2020 Program）資助的歐洲網絡空間安全研究項目（CyberSec4Europe）調研了歐洲大學的網絡空間安全碩士項目。該項目的調研目的之一即為“明確并重視大學教育所需的網絡技能”，以及調查現有網絡空間安全課程。1.1.2國內情況 我國也非常重視網絡空間安全人才的培養，出臺了一系列相關政策和法律法規用以推進網絡空間安全人才的建設。年國務院學位委員會、教育部發布了 關于增設網絡空間安全一級學科的通知，旨在全面提升網絡空間安全學科建設水平。年，中央網信辦發布了 關于加強網絡空間安全學科建設和人才培養的意見，旨在加強網絡空間安全學院學科專業建設和人才培養。年月，國家頒布

20、了 國家網絡空間安全戰略，首次以國家戰略文件形式，要求“實施網絡安全人才工程，加強網絡空間安全學科專業建設”、“形成有利于人才培養和創新創業的生態環境”。在年實施的 中華人民共和國網絡安全法 中強調培養網絡空間安全人才。網絡空間安全學科建設和網絡空間安全人才培養上升到前所未有的高度。各高等院校在進行網絡空間安全相關專業教育過程中，應當以政府政策為支撐點和著力點，加強網絡空間安全學科建設和專業設置，合理規劃網絡空間安全專業課程。國內已有個高校設立網絡空間安全一級學科。年，中央網信辦、教育部共同組織，確定西安電子科技大學、東南大學、武漢大學、北京航空航天大學、四川大學、中國科學技術大學、中國人民解

21、放軍戰略支援部隊信息工程大學等所高校作為首批一流網絡安全學院建設示范項目。年華中科技大學、北京郵電大學、上海交通大學、山東大學所高校入選第二批一流網絡安全學院建設示范項目高校名單。截至年，開設網絡空間安全專業碩士點（）的國內院校共所。1.2 人才發展環境1.2.1院校培養環境我國網絡空間安全人才培養布局較早，但網絡空間安全人才培養環境仍不容樂觀。據教育部網絡空間安全教學指導委員會統計，年我國網絡空間安全的人才缺口在萬到萬之間，而我國網絡安全從業人員約為萬人，人才缺口比率高達%。而我國目前網絡空間安全人才年培養規模在萬左右，遠遠不能滿足我國安全人才的需求。另外，網絡空間安全高端人才相對較少。據專

22、業機構測算，年我國網絡安全從業人員需求數量為萬人，年為萬人。當前培養的網絡安全人才數量遠遠不能滿足需求。目前，我國的網絡空間安全方面的人才培養主要集中在本科教育，碩士生、博士生為主的研究型人才培養相對不足。網絡空間師資力量也不足，由于一級學科成立時間不長，網絡空間安全大部分的教師來自于其他專業。網絡空間安全人才培養具有多學科交叉、涉及面廣等特點，傳統的知識體系已經不適應國家戰略和行業快速發展的需求。相關專業的課程與知識體系分散，學生在知識結構和實踐能力方面存在滯后性?，F有的網絡空間安全方面的培養方案并不完全適用于網絡空間安全本身的發展需求。需要探索基于相關專業知識的網絡空間安全人才培養模式、重

23、構課程與知識體系。網絡空間安全又是一門具有很強實踐性的學科，傳統教學過程對實踐能力培養過程薄弱，缺少適應新需求的實踐與創新平臺，學生工程實踐與創新能力不強。各高校開始普遍重視人才實踐能力的培養，在課程設置、實驗環境、校企合作等方面開展了不少探索。但是目前高校培養出來的人才在實踐能力上缺少足夠的鍛煉，難以滿足社會需要。因此需要加強實驗和實踐教學環節，搭建政、產、學、研、用多元化實踐教育體系與平臺。網絡安全產業人才狀況分析網絡空間安全人才能力評價具有特殊性，傳統人才評價方式偏重于知識考察，網絡空間安全類人才培養質量標準尚未健全。習近平總書記指出：“對待急需緊缺的特殊人才，不要都用一把尺子衡量”。而

24、現在我國對于網絡空間人才的培養與評定，還主要停留在“唯學位”、“唯論文”的階段，對于網絡空間人才的認定過于局限。因此，需要面向網絡安全核心能力，構建多維度評價與持續改進的新機制，保障網絡空間安全人才培養質量。1.2.2單位使用環境近年來，隨著全球范圍內網絡安全事件的日益增加，個人、企業及國家對這一領域的關注程度不斷提升，而政企對網絡空間安全人才的需求也出現了爆發式增長，網絡空間安全人才供不應求，出現結構性短缺。為應對日益嚴峻的網絡安全威脅，網絡安全法 及一系列配套政策法規的逐步落地實施，國內政企機構對網絡空間安全人才的需求也迅速提高。目前從地域上來看，網絡空間安全人才的供給和需求都高度集中，北

25、京市、廣東省、浙江省、上海市、是網絡空間安全人才需求量最大的地域，這四個省市對網絡空間安全人才需求的總量占全國需求總量的%。人才需求數量很大程度上也與國內城市的互聯網發展差異及黨政機關、大型國企和總部和網絡空間安全公司的地域分布有關。據調研統計，當今我國網絡安全產業，具備網絡安全實戰能力的人才，“本科”群體依舊是行業的主力軍，占比為.%，其次是“碩士”，占比.%、“大專/高職”學歷的人群占比為.%，“高中”與“中?！睂W歷的人群占比總和不到%。而從企業角度分析，用人部門在招聘時最關注的是網絡安全實戰能力（%），其次才是網絡安全專業知識（%）。這說明在網絡安全領域，學歷并不是用人企業最為看重的因素

26、，企業需要的是具有實際操作能力，能夠解決實際問題的安全技術人員，而不是只有學術能力，缺乏動手能力的人。據統計，網絡安全領域，求職者期望的平均月薪約為.元，而政企機構提供給相關崗位就職者的平均月薪約為.元，用人單位提供薪資水平實際上明顯低于求職者的期望。但就目前來看，網絡安全市場上有經驗的人才較少，預計未來-年內，具備實戰技能的安全運維人員與高水平的網絡安全專家，將成為網絡安全人才市場中最為稀缺和搶手資源。我國當前網絡空間安全人才供給在量和質這兩方面的缺失。在量的方面，企業要發展壯大，在內部員工培訓的同時，還要不間斷地引進優秀的網絡安全人才。相對于傳統開發人員，網絡安全人才供給明顯不足，即使給出

27、高于行業平均標準的薪資，也難以引進足夠數量的人才。在質的方面，企業需要實用型人才。引進人才缺乏相應的動手和解決問題的能力，需要企業再對其進行深入的實踐培訓才能勝任工作。這樣又會增加企業人才引進成本，也與人才引進的初衷相背離。網絡空間安全人才認定工作思路較窄，需求方在招聘時通常會強調所需要的人才具有網絡空間安全專業背景，甚至部分網絡安全人才認證機構在進行人才認證時也要有專業背景或工作經驗。不過社會當中有很多人是靠自學成為網絡空間安全人才的，所具備的網絡空間安全知識、技能足以應對一部分實際問題。因此，如果一味強調專業背景、從業經表1-1 工作類別及工作任務網絡安全需求分析網絡安全規劃和管理網絡數據

28、安全保護個人信息保護密碼技術應用網絡安全咨詢1網絡安全管理承擔的工作任務工作類別序號驗，很多優秀網絡空間安全人才可能被埋沒。同時某些傳統企業，內部更重視產品生產，對網絡安全重視程度不高，網絡空間安全工作人員很少有再培訓提高的機會，在崗位中加深、拓寬安全知識機會較少，缺少晉升通道。1.3 網絡安全人才實戰能力類別網絡安全人才是典型的復合型人才，要構建以基本資歷結構、知識結構、技能結構和職業素養為主的網絡空間安全人才能力結構模型。1.3.1網絡安全人才實戰能力定義網絡安全人才實戰能力是人才培養的重要目標。從業務場景需求出發，網絡安全人才實戰能力可以歸納為“攻防實戰能力”、“漏洞挖掘能力”、“工程開

29、發能力”、“戰效評估能力”四種類型。.攻防實戰能力指的是，在真實業務環境下利用網絡空間安全技術和工具開展安全監測與分析、風險評估、滲透測試事件研判、安全運維、應急響應等工作的能力。能力高低的決定因素包括攻防業務技術水平、前沿技術和產業動態了解情況、業務模式和服務場景掌握程度等。.漏洞挖掘能力指的是，綜合應用各種技術和工具，發現網絡和系統中潛在漏洞的能力。該能力對安全人員的理論實踐、工具運用、工作經驗和漏洞信息掌握情況有較高要求。.工程開發能力指的是，網絡安全產品和工具的研發、網絡安全系統的集成能力。能力的高低取決于人員自身對業務場景的理解程度、安全知識和工具的掌握應用程度以及產品的工程化能力。

30、.戰效評估能力指的是，具備安全防御體系頂層設計、戰略規劃，具備突發網絡安全事件作戰指揮、協調保障，以及對使用網絡安全武器裝備完成規定任務的作戰效能進行評估的能力。在全國信息安全標準化技術委員會（SAC/TC）提出的 信息安全技術 網絡安全從業人員能力基本要求（征求意見稿）中將網絡安全工作類別分為類，包括：網絡安全管理、網絡安全建設、網絡安全運營、網絡安全審計和評估以及網絡安全科研教育，如表-所示。網絡安全產業人才狀況分析該征求意見稿詳細列出了網絡安全從業人員完成工作任務應具備的通用知識和通用技能，給出了承擔相應工作類別的從業人員應具備的基本專業知識和技能要求。因不同組織對工作角色的劃分存在不同

31、，還給出了工作類別、工作角色與國家網絡安全職業設置的映射關系。網絡安全人才實戰能力貫穿于各個崗位中，不同類型的崗位對實戰能力的要求不同。安全管理崗：具備規劃安全戰略、協調安全資源、設計網絡系統、規劃保障體系、風險管理及預判、設計防御體系、設計應急響應體系能力；安全建設崗：具備設計安全架構、配置部署安全產品、安全基礎測試、調度安全保障資源、設計安全檢測計劃、識別評估安全風險能力；安全運營崗：具備維護網絡設備運行、管理威脅情報、編制預案、組織應急演練、排除監控議程、安全應急響應、入侵溯源追蹤能力；網絡安全研究網絡安全培訓網絡安全審計網絡安全測試網絡安全評估網絡安全認證電子數據取證網絡安全科研教育網

32、絡安全審計和評估網絡安全運維網絡安全監測和分析網絡安全應急管理網絡數據安全保護個人信息保護密碼技術應用網絡安全運營網絡安全需求分析網絡安全架構設計網絡安全開發供應鏈安全管理網絡安全集成實施網絡數據安全保護個人信息保護密碼技術應用網絡安全建設承擔的工作任務工作類別序號本白皮書的后續部分將對網絡安全人才實戰能力中的“攻防實戰能力”做出詳細的分析論述。圖1-1 網絡安全人才實戰能力4+3模型測試評估崗：具備脆弱性滲透測試、數據風險評估、編制網絡安全審核計劃、網絡安全評估及審計、合法合規審查、電子溯源取證能力；科研教育崗：具備前沿技術研究、未知漏洞挖掘、武器庫開發、制定培訓計劃、設計培訓方案、實施培訓

33、考核、評價及改進培訓內容能力。1.3.2網絡安全人才實戰能力模型實踐是檢驗網絡安全實戰能力的有效標準。近年來，我國在網絡安全人才檢驗的模式、體系和機制方面做了很多有益探索。從實踐實訓的模式逐步加強，到引入網絡安全競賽作為技能檢驗評定的一種模式，再到社會各界廣泛參與的實戰演練和眾測活動，都是以“技術應用場景”的模式來檢驗和督促人員進步，現已經取得了顯著成效。綜上所述，圍繞網絡安全人才實戰的四種能力和三種驗證方式，我們推出網絡安全人才實戰能力“+模型”，如圖-。網絡安全產業人才狀況分析網絡安全人才攻防實戰能力分析第二章隨著數字化進程的加速，網絡邊界逐步消失，網絡攻擊暴露面無限擴大，給網絡空間乃至國

34、家安全造成了嚴重威脅，各企事業單位面臨的防御壓力與日俱增，攻防實戰能力作為最直接也是最前線的重要能力成為了企事業單位重點關注的網絡安全人才能力之一，在網絡安全人才缺口嚴峻的背景下，網絡安全攻防實戰人才成為了重點關注對象。網絡安全攻防實戰能力指的是，在真實業務場景中，人才在技術應用、協同配合、應急反應等方面，在網絡攻防對抗條件下實際產生效能的潛力和水平。具體來說，攻防實戰能力需要網絡安全人才掌握各類安全標準的落地實踐經驗，可以熟練使用網絡安全技術和工具，為具體業務開展風險評估，提供安全落地規劃指導和建議。同時，網絡安全人才還應具備一定的調查取證能力，能夠在受到攻擊后收集、處理、保存、分析并呈現計

35、算機攻擊相關證據，為后續的攻擊溯源或案件偵查提供幫助。網絡安全競賽具有強實踐性、創新性、對抗性的特點，經過近些年的蓬勃發展，已成為了全面檢驗和提升攻防實戰能力的重要方式之一，發現、培養、選拔了大量網絡安全一線人才?！耙再惔賹W、以賽代練”理念也已貫徹落實到了各網絡安全實踐工作中，網絡安全競賽參與者在各項網絡安全工作發揮著越來越重要的作用。本章節，將以近三年的條網絡安全競賽數據為樣本，重點對我國網絡安全人才攻防實戰能力做出詳細刻畫。樣本覆蓋全國（港澳臺除外）個?。ㄗ灾螀^、直轄市）及新疆生產建設兵團，通信、交通、金融、醫療衛生、政法、政務、能源、電力、高校/職校、互聯網、網絡安全等重點行業均有覆蓋。

36、2.1 網絡安全攻防實戰人才現狀2.1.1性別、年齡及學歷情況 通過數據分析，目前網絡安全攻防實戰人才在性別比例上懸殊較大，總體呈現“男性群體居多”的分布情況，女性群體僅占%，如圖-。-歲%-歲-歲歲以下歲以上進一步分析數據可知，“-歲”的群體中學生居多，占%如圖-。學生群體越來越大的現象，一方面反映出目前院校及相關專業的培養對攻防實戰的重視度越來越高，途徑更加廣泛；另一方面也可以看到，未來網絡安全行業的儲備力量正在逐漸擴大；年齡區間在“-歲”的群體中“學生”與“從業人員”占比則完全不同，這一區間中基本以從業人員為主，占比高達%，如圖-。數據顯示，網絡安全攻防實戰人才的年齡主要集中在“-歲”這

37、一年齡段，其中，“-歲”的群體占比最高，為%，“-歲”與“-歲”的群體占比較為接近，分別為%和%，“歲以下”的人群也占據了%的比例，如圖-。圖2-2 網絡安全攻防實戰人才年齡分布圖2-1 網絡安全攻防實戰人才性別分布女%男%網絡安全人才攻防實戰能力分析本科%碩士%大專/高職%博士%高中%中專%分析網絡安全攻防實戰人才的學歷現狀可以發現，“本科”群體依舊是行業的主力軍，占比為%，其次是“碩士”，占比%、“大專/高職”學歷的人群占比為%，“高中”與“中?！睂W歷的人群占比總和不到%，如圖-。%-歲-歲學生從業人員2.1.2地域及行業情況圖2-4 網絡安全攻防實戰人才學歷情況圖2-3 不同年齡群體屬性

38、分布北京市廣東省浙江省河南省四川省江蘇省山東省上海市河北省福建省湖南省安徽省湖北省云南省遼寧省陜西省重慶市廣西壯族自治區江西省天津市新疆維吾爾自治區山西省內蒙古自治區貴州省吉林省甘肅省寧夏回族自治區青海省黑龍江省海南省西藏自治區新疆生產建設兵團.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%2-5網絡安全攻防實戰人才地域分布情況整體可以看到，“華東地區”的網絡安全攻防實戰人才占比最高，為.%，“華北地區”占比為.%，“華南地區”、“西南地區”、“華中地區”整體差異較小，網絡安全攻防實

39、戰人才占比分別為.%、.%、.%，如圖-。以地域維度進行人員劃分時可以發現，網絡安全攻防實戰人才在全國（港澳臺除外）個?。ㄗ灾螀^、直轄市）及新疆生產建設兵團均有分布。其中，“北京市”的網絡安全攻防實戰人才占比位居第一，共計.%。其次是“廣東省”占比為.%、“浙江省”占.%，如圖-。網絡安全人才攻防實戰能力分析%高等院校金融通信能源交通互聯網企業社會參賽隊伍政務部門網安企業職業院校其他行業單位國防/政法進一步分析網絡安全攻防實戰人才所處行業數據后可以發現，來自“高等院?！钡木W絡安全人才占比遠高于其他行業，整體占比高達%，可見，學生群體對網絡安全實踐能力提升的參與性與積極性都較高。位于“高等院?！?/p>

40、之后的是以“金融”、“通信”、“能源”、“交通”等為代表的關鍵信息基礎設施行業，各行業的網絡安全攻防實戰人才占比均較為接近，分別是：“金融”%、“通信”%、“能源”%、“交通“%；其中“互聯網企業”的攻防實戰人才占比達到了%，“網絡安全企業”的人才占比也達到了%，如圖-。各行業的人才占比在一定程度上也反映了其對網絡安全攻防實戰人才的需求情況。華東地區華北地區華南地區西南地區華中地區西北地區東北地區.%.%.%.%.%.%.%圖2-7 網絡安全攻防實戰人才行業分布情況圖2-6 網絡安全攻防實戰人才區域分布情況%web安全逆向工程密碼研究二進制漏洞挖掘與利用雜項圖2-8 專業人才能力分布2.2 網

41、絡安全攻防實戰能力現狀2.2.1網絡安全攻防實戰能力技術為了更直觀的檢驗網絡安全人才的攻防實戰能力，通常從技術方向上劃分為“Web安全”、“二進制漏洞挖掘與利用”、“逆向工程”、“密碼研究”、“其他類別（也叫雜項）”五個方面。Web安全技術方向主要涉及情報收集、追蹤溯源、資產梳理、安全管理、風險評估與發現、應急響應、安全運維、安全開發、中間件安全、數據庫安全、靜態代碼審計等攻防實戰技術能力；密碼研究技術方向主要涉及可信計算、區塊鏈、加解密算法研究、密碼算法實現等攻防實戰技術能力；逆向工程技術方向主要涉及逆向分析、防御加固、安全開發、操作系統安全、病毒與木馬分析、移動安全、自動化逆向分析等攻防實

42、戰技術能力；二進制漏洞挖掘與利用技術方向主要涉及漏洞發現與利用、安全開發、操作系統安全、IoT安全、防御加固、自動化漏洞挖掘等攻防實戰技術能力；其他類別（也叫雜項）技術方向主要涉及情報收集、追蹤溯源、資產梳理、電子取證、流量分析、協議分析、G安全應用、AI安全應用等攻防實戰技術能力。2.2.2網絡安全攻防實戰能力情況數據顯示，網絡安全人才按照技術方向專長劃分，呈現不同的分布。在網絡安全攻防實戰人才中，擅長Web安全的人員比例最多，為%，其次是逆向工程，比例為%，雜項占比為%，擅長密碼學領域的人才占比為%，而僅有%的人才在二進制漏洞利用與挖掘方面專長，如圖-。網絡安全人才攻防實戰能力分析%33%

43、高等院校/職業院校能源通信金融其他交通政務網絡安全圖2-11 密碼研究人才行業分布高等院校/職業院校其他通信能源交通政務網絡安全互聯網數據顯示，從各行業維度進行統計分析，網絡安全人才的攻防實戰能力分布如下：（）Web安全人才和密碼研究型人才在行業分布中，以高等院校/職業院校居多，比例為%和%，在通信行業和能源行業的占比均超過了%，如圖-、-。種種種種種%從人才能力專長方向種類來看，%的攻防實戰人才擁有單項專長，%的人才會有兩種專長方向，而擁有種能力特長的多面手則占到了%，種能力均具備的人才僅為%，而擅長所有能力方向的人才更是鳳毛麟角，僅占%，如圖-。圖2-10 Web安全人才行業分布圖2-9實

44、戰攻防人才能力種類覆蓋%高等院校/職業院校交通互聯網能源其他金融通信政務網絡安全（）逆向工程型人才，以高等院校/職業院校居多，比例為%，其次為通信行業，比例為%，第三為政務行業，比例為%，如圖-。圖2-13 二進制漏洞挖掘與利用人才行業分布通信能源金融政務交通網絡安全其他%（）雜項人才行業分布中，以通信行業居多，比例為%，其次為能源行業，比例為%，第三為金融行業，比例為%，如圖-所示。圖2-12 雜項人才行業分布（）二進制漏洞分析與利用型人才，以高等院校/職業院校居多，比例為%，其次為能源行業，比例為%，第三為金融行業，比例為%，如圖-。網絡安全人才攻防實戰能力分析%次以上-次-次-次次次高等

45、院校/職業院校%其他通信政務交通金融其他圖2-15 選手參賽次數圖2-14 逆向工程人才行業分布由此可見，高等院校/職業院校非常重視學生的實戰能力提升，各種維度的實戰競賽均有涉及且廣泛參與，通信、能源等行業在Web安全、密碼研究、逆向工程、雜項等方向積累較多，能源行業和金融行業在二進制漏洞利用與挖掘方向較為重視，政務行業對逆向工程、雜項方向更為看重。2.3 網絡安全攻防實戰經驗分析2.3.1網絡安全競賽人員參與情況基于網絡安全競賽數據統計分析發現：近三年參賽次數超過次的人員中，%的人員參賽次數超過了次，屬于極少數。%的人員參賽次數為-次，參賽次數為-次的人員占比為%，參賽次數為次的人員最多，占

46、比為%，如圖-所示。2.3.2網絡安全競賽經驗成果經過三十余年的發展，網絡安全競賽已風靡全球并在中國得到了蓬勃發展。國際上知名的賽事有以DEF CON為代表的CTF大賽，以PwnOwn為代表的破解賽，參與者不乏我國知名戰隊。在我國，各部委、各行業、各地域均舉辦了很多網絡安全賽事，為網絡安全人員實戰能力的選拔、評價、提升提供了舞臺。比如全球最大規模的國家級賽事“網鼎杯”、中央網信辦指導的國家級網絡安全賽事“強網杯”等國家級綜合大賽；國參賽超過次參賽次數-次%院校其他企業/單位企業/單位%院校%其他%在所有參賽次數為兩次及以上的人員中，超過半數來自院校（%），如圖-所示。圖2-17 參賽選手所在單

47、位（2-5次、5次以上）圖2-16 參賽選手所在單位（2次及以上）參加次以上的人員仍然以高校居多，占比達到%，來自企業/單位的人員占%；參賽次數在-次區間中，各大企業/單位職工占比上為%，如圖-所示?？梢?，學生群體相比其他的企事業單位職工而言，在各大賽事中均有較高的參與度與積極性。網絡安全人才攻防實戰能力分析第三，對于參賽次數超過次的人員為基礎進行統計發現，網絡安全競賽的人員流動性較大，參加多次競賽的“老玩家”較少，且多為院校學生。通過問卷調查發現，這與網絡安全競賽的技術門檻較高、對新手不是足夠友好是有一定關聯的。第四，從行業維度上看，高水平網絡安全攻防實戰人才分布較為集中：通過對各個技術專項

48、能力TOP人才合并統計分析，我們發現網絡安全行業人才占比最高，為%，其次為高等院校/職業院校，比例為%，通信為第三，比例為%，能源、政務、交通、互聯網分別為%、%、%、%?？梢姀膫€體分析，網絡安全行業、高等院校/職業院校、通信均涌現了一批高水平人才，如圖-所示。網絡安全企業%高校戰隊%聯合戰隊%內最大規模工業互聯網網絡安全大練兵的“護網杯”、國家衛健委主辦聚焦醫療行業的“衛生健康行業網絡安全技能大賽”、聚焦數據安全領域的國家級賽事“全國數據安全大賽”、面向全國高等院校的高規格賽事“大學生信息安全競賽創新能力實踐賽”、面向全國警院學生的高水平網絡安全賽事“藍帽杯”等行業品牌賽；全國首個“以防為主

49、”國家級網絡安全賽事“隴劍杯”、全國首個城市級靶場演習的“巔峰極客”、聚焦華南地區的“紅帽杯”、東北地區的“祥云杯”、京津冀地區的“長城杯”等區域品牌賽。從技術切磋到技能訓練，網絡安全大賽正在走進各行業，走向全國各省市，持續提升網絡安全人才攻防實戰能力。國家可以以此來選拔人才，各個戰隊所屬組織間也能通過技術切磋進行交流，而參賽選手們也通過競賽可以學到很多新技巧，掌握新技術，對個人發展起到積極作用。然而通過參賽數據分析，還發現了一些潛在問題：第一，多數參賽選手來自于院校，企業/單位雖人員基數較大，但參賽人數和次數并不多，參與程度有待加強。這其實是與院校相關專業的人才培養目標以及宣傳力度與覆蓋方向

50、是密切相關的。許多院校會將一些競賽與學生個人考核評優指標關聯起來，因此院校的領導教師們也會對其學生進行競賽等活動的宣傳。第二，多數排名靠前的戰隊來自于高校，近三年來兩次排名進入前的戰隊，高校占比為%，其次是聯合戰隊，占比為%，第三為網絡安全企業，占比為%，如圖-所示。2-18兩次排名進入前十的戰隊所在行業%高院校/職業院校等能源其他網絡安全通信金融互聯網 國防政法交通政務對各專項技術能力方向TOP人才分析，所在行業分布呈現以下現狀：Web安全技術方向，%的頂尖人才分布在高等院校/職業院校，其次為能源行業，比例為%，第三為網絡安全，比例為%，如圖-所示。網絡安全高等職業院校/職業院校通信能源政務

51、交通其他互聯網金融科技科研政法國防圖2-20 Web安全TOP100人才行業分布圖2-19 TOP100人才行業分布%網絡安全人才攻防實戰能力分析密碼研究技術方向，%的頂尖人才分布在網絡安全行業，其次為通信行業，比例為%，第三為高等院校/職業院校，比例為%，如圖-所示。雜項技術方向，%的頂尖人才分布在網絡安全行業，其次為高等院校/職業院校，比例為%，第三為互聯網，比例為%，如圖-所示。網絡安全通信高等職業院校/職業院校政務其他互聯網能源交通網絡安全高等職業院校/職業院校其他互聯網能源政務科技科研通信政法交通金融圖2-22 密碼研究TOP100人才行業分布圖2-21 雜項TOP100人才行業分布

52、%通過統計分析，不難得出人才的攻防實戰能力的基本特征:首先從基本信息、實戰技能、領域需求三個維度刻畫了網絡安全實戰人才分布現狀。從基本信息維度分析，我們發現網絡安全人才以年輕人作為主體，其中學生居多且持續政務通信能源交通其他網絡安全金融 互聯網國防政法%圖2-24 逆向工程TOP100人才行業分布高等職業院校/職業院?；ヂ摼W政務交通網絡安全通信其他科技科研圖2-23 二進制漏洞挖掘與利用TOP100人才行業分布二進制漏洞挖掘與利用技術方向，%的頂尖人才分布在網絡安全行業，其次為通信行業，比例為%，第三為高等院校/職業院校，比例為%，如圖-所示。%逆向工程技術方向，政務行業與通信行業的頂尖人才最

53、多，比例均為%，其次是能源行業，比例為%，如圖-所示。網絡安全人才攻防實戰能力分析性增長，這與高校等科研機構的教育投入，以及學生本人的專業選擇是密不可分的。其次，網絡安全人才的性別比例是顯著不均衡的，整個人才群體以男性居多。未來可考慮吸引更多女性群體加入網絡安全相關的工作。另外，在地域分布上，網絡安全人才在全國分布較廣，其中北京市和廣東省人才占比名列前茅。在區域分布上，華東華北地區明顯更受網絡安全人才的偏愛，這顯然與技術先進性以及經濟優越性是有一定關系的。從實戰技能維度分析，擅長Web安全及逆向工程的人員比例最大。以后應加強對其余三個方向尤其是二進制漏洞利用與挖掘方面人才的培養。不同方向的人才

54、分布存在一定差異，整體而言各方向大多以高等院校/職業院校人才占比居多，一定程度上反映出高等院校/職業院校非常重視學生的實戰能力提升，各種維度的實戰競賽均有涉及且廣泛參與，社會行業大多專注于特定領域。從領域需求維度分析，整體上網絡安全攻防實戰人才呈短缺態勢，其中高水平人才短板明顯，且大多分布在網絡安全行業和高等院校/職業院校。對于不同實戰方向，頂尖人才集中分布較為不同。值得注意的是，大部分網絡安全攻防實戰人才僅擁有單項專長，全項人才十分短缺。這提醒我們未來應強化多維度高水平人才培養，關注網絡安全實戰人才的全面發展。習近平總書記反復強調，沒有網絡安全就沒有國家安全。網絡安全人才作為國家人民軍隊之外

55、的另一道防線，其實戰能力的重要性不言而喻。在飛速發展的當今社會，網絡安全實戰能力的形成與強化也愈發重要。路靠人開，鋼用鐵煉，從有到優的實戰能力，也需要通過各界的共同努力逐漸錘煉出來。唯有革故鼎新的魄力、銳意進取的決心，我們才能在這個千帆競渡的時代挺立潮頭，牢牢立于不敗之地。用人單位網絡安全人才實戰能力需求分析用人單位網絡安全人才實戰能力需求分析第三章當前，隨著數字經濟的加速發展，數字化技術更加深入的應用到企業生產經營的方方面面，隨之帶來更為復雜、隱蔽的網絡安全風險，因此，各行業新場景、新技術也對網絡安全防御提出了新的要求。網絡安全法、關鍵信息基礎設施安全保護條例、數據安全法 等法律、法規密集發

56、布，網絡安全作為國家安全的重要部分，被提升到國家戰略的高度?！熬W絡空間的競爭，歸根結底是人才的競爭”，人是安全的核心已成為各行業、單位的共識。特別是對于正處在數字化轉型關鍵時期的政企單位來說，人才匱乏成為迫切需要解決的難題，尤其是實戰型人才短缺的問題，正在成為掣肘政企單位網絡安全能力和水平提升的一大瓶頸。關鍵信息基礎設施安全保護條例 要求，“鼓勵網絡安全專門人才從事關鍵信息基礎設施安全保護工作；將運營者安全管理人員、安全技術人員培訓納入國家繼續教育體系?！标P于進一步加強中央企業網絡安全工作的通知（國資廳發綜合號）中要求：“加大人才培養力度，改進人才培養機制，加強工作人員的技能培訓和考核，開展網

57、絡安全關鍵崗位人員資格認證，提高網絡安全人才的配置能力?！薄笆奈濉币巹澲袕娬{，“國家支持企業和高等學校、職業學校等教育培訓機構開展網絡安全相關教育與培訓，采取多種方式培養網絡安全人才，促進網絡安全人才交流?！痹趪蚁嚓P法律法規的指引下，各行業在網絡安全人才培養模式、體系方面都做了很多有益探索，網絡安全人才培養工作加速推進，積極建立網絡安全人才培養機制，從實踐實訓的模式逐步加強，到引入網絡安全競賽作為技能檢驗評定的一種模式，再到社會各界廣泛參與的實戰演練和眾測活動，都對網絡安全人才攻防實戰能力提升有著重要的促進作用，并取得了顯著成效。然而，網絡安全人才依然面臨嚴重缺口。從用人單位角度來講，很多

58、用人單位的網絡空間安全專業崗位設置數量與人員數量還遠遠不夠，甚至大部分用人單位仍然是“兼職干部”挑大梁，很多網絡安全崗位職責是由其他信息化相關崗位人員兼任。與安全業務開展不匹配的資源、編制、培訓配置也成了用人單位網絡安全人才引進的制約因素。不僅如此，用人單位整體攻防實戰能力的提高，既依賴高精尖的專業技術人才，也與運維、研發等相關崗位人員安全能力水平息息相關，因此，如何有效建立完善的人才體系，形成科學合理的人才培養和評價機制是促進企業持續、穩定開展生產經營的重要支撐。同時，用人單位的人才應用機制在一定程度上限制了網絡安全領域專才、奇才的涌現，這也是用北京.%.%.%.%.%.%.%.%.%.%.

59、%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%廣東浙江上海江蘇天津安徽四川福建山東廣西吉林河北重慶甘肅云南山西湖北內蒙湖南陜西遼寧江西海南貴州其他黑龍江圖3-1用人單位區域分布統計人單位對于實戰型人才需求的困惑點。針對以上背景和現狀，用人單位已經開始在根據自身業務特點，積極組織力量培養實戰型網絡安全人才。接下來，本章節圍繞用人單位的性質特點、崗位需求等維度進行了相關梳理、統計與分析，力求客觀呈現用人單位在網絡安全人才攻防實戰能力需求方面的真實情況。3.1 用人單位的特點及人才需求分析3.1.1按地域維度分析通過對不同地域劃分的用人

60、單位網絡安全人才特點及情況進行分析，各?。ㄗ灾螀^、直轄市）及新疆生產建設兵團的用人單位人才需求統計如圖-所示。從地域分布上來看，目前網絡安全人才的需求量高度集中在北上廣等一線省市，其中北京對網絡安全人才需求量達全國需求量的%，廣東緊隨其后，需求量占比為.%，浙江對網絡安全人才的需求量為.%，相比較起來，上海對網絡安全人才的需求量有所降低，位列第四。北京、上海、廣東、浙江網絡安全人才需求之和接近全國需求量的一半，這也跟這幾個地區是大型政企機構的聚集地有關，同時網絡安全企業總部也大多在一線省市。逆向分析病毒與木馬分析珠三角中間件安全操作系統安全數據庫安全安全開發加解密算法研究代碼審計追蹤溯源電子取

61、證工程開發安全管理安全研究云、G、AI、區塊鏈等Web安全漏洞挖掘、分析和利用滲透測試.%.%.%.%.%長三角京津翼%滲透測試方向逆向分析方向漏洞發現與利用方向追蹤溯源方向安全研究風險評估與發現方向安全運維方向情報收集方向各方向均不緊缺資產梳理方向應急響應方向工程開發安全管理防御加固方向在對北上廣浙地區用人單位的網絡安全人才技術能力需求分析發現，滲透測試方向人才的需求最為明顯，占比達%。其次是逆向分析方向、漏洞發現與利用方向，占比分別為%、%。同時，我們發現，近年來隨著各行業對網絡安全攻防實戰的重視，安全運維成為了一個獨立的崗位，正在從網絡運維工程師中分離出來，并且影響力越來越大。如圖-所示

62、。圖3-3 三大區域人才能力需求占比情況圖3-2北上廣浙人才需求方向占比情況從整體上看，長三角、珠三角、京津冀等一線地區對于人才需求既有共性，又各具特點。如下圖-所示，各地區對滲透測試、漏洞挖掘、分析和利用及逆向分析方向網絡安全人才均有較大需求，其次是對病毒與木馬分析、Web安全；京津冀對于Web安全方向人才需求較高；珠三角相較于其他地區而言，更需要具備追蹤溯源能力，及云、G、AI、區塊鏈等新興安全領域能力的人才。用人單位網絡安全人才實戰能力需求分析金融、能源、電力、通信、交通、醫療衛生等作為關鍵信息基礎設施，是經濟社會運行的神經中樞，是網絡安全的重中之重，同時，作為經濟實力較強，對于業務連續

63、性要求高的行業領域，已在多年前開始建設網絡安全人才梯隊。在滿足用人單位自身安全工作需求的同時，以體系化的規模參加安全競賽、攻防演練、風險評估等工作，激發、帶動行業安全人才的培養。以下以金融、通信、醫療衛生、教育、互聯網五個行業為例，分別對其人才能力需求進行分析。（）金融行業人才需求根據調查數據分析，金融行業對滲透測試方向、逆向分析方向網絡安全能力需求最為明顯，占比均達%，對Web安全、代碼審計、漏洞挖掘、分析和利用方向網絡安全能力也有較高需求，如圖-所示。通信政法金融能源交通政務部門其他行業單位網安企業醫療衛生教育化工國防科研機構科技企業互聯網企業%3.1.2按行業維度分析無論是宏觀背景下，國

64、家對網絡安全各項政策的導向指引，還是微觀背景下，以個體為單位的每一位公民，其潛在安全意識的提升，都在很大程度上體現了網絡安全的重要性與必要性。于企業而言，對網絡安全人才的實際需求也因其所處行業領域、單位性質以及人員規模的不同而有所差異。通過現有數據對各行業的網絡安全人才需求進行分析后發現，能源行業的需求量位列第一，在細分行業中其人才需求占比為%，其次是通信、政法、金融、交通，網絡安全人才需求量占比分別為%、%、%、%。值得注意的是，網安企業與醫療衛生的人才需求占比也進入了前，均為%。而對教育行業（此處不包括學生群體）的網絡 安全從業者進行篩選分析后，數據顯示其對網絡安全人才的需求占比仍有%，如

65、圖-所示。圖3-4行業需求分布逆向分析代碼審計云、G、AI、區塊鏈等新興安全領域病毒與木馬分析Web安全滲透測試操作系統安全加解密算法研究漏洞挖掘、分析和利用安全管理安全開發數據庫安全中間件安全追蹤溯源電子取證工程開發安全研究%（）通信行業人才需求根據調查數據分析，通信行業對逆向分析能力需求最為明顯，占比%；對代碼審計、病毒與木馬分析能力需求占比均超過了%，同時對云、G、AI、區塊鏈等新興安全領域網絡安全能力有較高需求，如圖-所示。逆向分析滲透測試Web安全漏洞挖掘、分析和利用代碼審計云、G、AI、區塊鏈等新興安全領域追蹤溯源操作系統安全安全開發安全研究工程開發數據庫安全中間件安全病毒與木馬分

66、析其他.%.%.%.%.%.%.%.%圖3-6通信行業人才能力需求占比情況圖3-5金融行業人才能力需求占比情況用人單位網絡安全人才實戰能力需求分析Web安全代碼審計云、G、AI、區塊鏈等新興安全領域安全開發病毒與木馬分析逆向分析漏洞挖掘、分析和利用滲透測試操作系統安全安全管理電子取證數據庫安全加解密算法研究中間件安全追蹤溯源安全研究工程開發%（）教育行業人才需求根據調查數據分析，教育行業對病毒與木馬分析、滲透測試方向網絡安全能力需求最為明顯，均占比%，對漏洞挖掘、分析和利用，逆向分析，Web安全方向網絡安全能力也有較高需求，占比均超過了%，如圖-所示。（）醫療衛生行業人才需求根據調查數據分析，

67、醫療衛生行業%的單位對滲透測試方向網絡安全能力需求最為明顯，逆向分析方向、Web安全方向、數據庫安全方向網絡安全能力也有較高需求，如圖-所示。.%.%.%.%.%.%.%圖3-8 教育行業人才能力需求占比情況圖3-7醫療衛生行業人才能力需求占比情況逆向分析云、G、AI、區塊鏈等新興安全領域病毒與木馬分析Web安全滲透測試操作系統安全漏洞挖掘、分析和利用安全管理數據庫安全中間件安全追蹤溯源電子取證病毒與木馬分析操作系統安全加解密算法研究代碼審計Web安全電子取證安全開發工程開發安全研究中間件安全追蹤溯源安全管理%逆向分析滲透測試數據庫安全漏洞挖掘、分析和利用云、G、AI、區塊鏈等新興安全領域根據

68、調查數據，可以看到金融、醫療衛生、教育等行業均在網絡安全滲透測試方向有明顯需求，對Web安全方向能力、逆向分析能力等均有較高需求，這也與當前APT攻擊持續走高導致這幾個行業成數據泄露重災區有關；通信行業、互聯網行業的網絡安全實戰能力需求則主要體現在逆向分析方向，這與通信網絡、互聯網面臨的網絡對抗、信息泄露、數據完整性破壞、非授權使用和抵賴等安全需求有關。此外，相較于其他行業而言，通信行業對代碼審計方向，云、G、AI、區塊鏈等新興安全領域方向，病毒與木馬分析方向能力提出了較高需求。3.1.3按企業性質/規模維度分析從企業性質維度來看不難發現，“民營企業”對網絡安全人才的需求量占比最高，為%，“央

69、企/國有企業”占比為%，緊隨其后的是“國家行政機關”、“事業單位”、“高校/科研院所”，其網絡安全人才需求占比均為%，如圖-所示。圖3-9互聯網行業人才能力需求占比情況（）互聯網行業人才需求根據調查數據分析，互聯網行業%的單位逆向分析方向網絡安全能力需求最為明顯，滲透測試方向緊跟其后，占比%，如圖-所示。用人單位網絡安全人才實戰能力需求分析-人-人-人-人-人 人以上%同時，進一步分析企業人員規模對網絡安全人才需求的變化時可以發現，人員規模在“人以上”的企業對網絡安全人才的需求量最大，占比為%，其次是“-人”的中小企業，其網絡安全人才需求占比為%，人員規模在“-人”與“-人”的企業對網絡安全人

70、才需求相差不大，分別為%、%，如圖-所示。民營企業%民營企業%其他%高校/科研院所%事業單位%國家行政機關%央企/國有企業%圖3-11企業規模統計情況圖3-10企業性質統計情況歲以下-歲-歲-歲%從網絡安全攻防實戰人才的學歷需求分布情況看，本科占比.%。表明現階段本科學歷是大多數用人單位招聘攻防實戰人員的基本要求，對于攻防實戰人才更注重攻防工具、方法的應用。用人單位將對攻防實戰人才的網絡安全能力提出更高要求，未來一段時間，用人單位對于具備對抗博弈理論、戰略戰術研究方面人員需求將會有所上升，隨之網絡安全教育會進一步深入，為用人單位提供更多高學歷的人才，如圖-所示。3.2 崗位需求3.2.1崗位基

71、本要求從網絡安全攻防實戰人才的年齡需求分布情況看，歲以下（含歲）人員占比為%，表明從事網絡攻防實戰的人員以年輕力量為主。根據統計分析可知，-歲這一年齡段的人員更具挑戰精神，抗壓能力和學習能力更強，更受用人單位的青睞，同時也說明國家培養了更多的網絡安全新生力量，如圖-所示。圖3-12網絡安全人才年齡分布用人單位網絡安全人才實戰能力需求分析-年%年以上%-年%-年%-年%.%.%.%碩士研究生大專本科中專其他博士研究生高中高職從網絡安全攻防實戰人才工作年限需求分布情況看，擁有-年經驗人才需求量最大，占比為%。其次工作年限為-年和-年的人才，占比為%。工作年限年以上的占%。工作年限年以內的占比%。上

72、述數據說明，用人單位對于-年的實戰經驗的人才更為青睞。由于從事網絡安全攻防工作-年的人員，對網絡安全有深入的理解，同時具有豐富的攻防實戰經驗，熟練使用滲透測試工具、密碼算法以及逆向分析工具，更能滿足用人單位的用人需求，如圖-所示。圖3-14網絡安全人才工作年限情況 圖3-13網絡安全人才學歷情況.%.%.%.%.%無專職崗位編制，其他崗位兼任崗位編制嚴重欠缺，員工普遍一人多職崗位編制嚴重欠缺，存在一人多職情況崗位編制合理，但人員招募困難崗位編制符合實際情況，員工各司其職%圖3-16崗位編制情況3.2.2崗位基本需求對用人單位網絡安全人員編制情況分析，%的用人單位設置了網絡安全專職崗位。只是在這

73、些用人單位中，崗位編 制符合實際情況、員工各司其職的占比僅為%，大部分單位的人員還是不能滿足需求的，其中有安排編制，但人員招募困難的占比%；編制不足，存在一人多職情況的占比%；編制嚴重欠缺，員工普遍一人多職的占比也達到了%。分析上述數據發現，在關基保護和等保.的安全防護要求下，用人單位更加重視信息系統的安全建設與維護，更多的用人單位傾向于設置專職安全崗位負責業務系統安全保障。同時，在后疫情時期，為了個人能力的持續沉淀積累，網絡安全人才更傾向于長期、穩定的專職崗位，如圖-所示。網絡安全實戰能力網絡安全專業知識網絡安全從業經驗學歷與教育背景網絡安全資質證書團隊協作能力工作抗壓能力其他%從網絡安全攻

74、防實戰人才技能需求分布情況看，滲透測試方向的技能與能力更受用人單位青睞，而這與滲透測試能力可以較為全面的體現人才的綜合實戰能力緊密相關。該類人才不僅在重大活動保障、重大項目技術推進、攻防演練、應急處置，還是在日常安全測試等方面都能夠發揮作用，對于提升整體安全防護的各方面都能發揮作用。此外，網絡安全領域權威證書作為網絡安全攻防實戰人才能力的認證，證明網絡安全人才具備系統化信息安全知識和一定的實操能力，%的用人單位在遴選優秀人才的時候會作為標準之一。取得網絡安全領域權威證書的人員，更有機會從眾多候選人中脫穎而出。同時表明用人單位對安全人員學習能力、綜合運用以及實戰化方面提出了更高要求，如圖-所示。

75、圖3-15 用人單位招聘網絡安全人員看重的方面用人單位網絡安全人才實戰能力需求分析%從總體用人單位專職人員隊伍規模來看，安全團隊規模兩級分化比較明顯，在人的占比最高，達%，以上規模的占比也達到了%，中間規模的團隊占比比較集中，在%左右，如圖-所示。從關鍵信息基礎設施單位的專職人員隊伍規模來看，%的關鍵信息基礎設施單位，網絡安全隊伍規模不足人。其中%的單位無專職人員，%的單位在人，%的單位在人，如圖-所示。無專職人員-人-人-人-人 從用人單位最緊缺的網絡安全攻防實戰人員調查情況看，滲透測試、漏洞發現與利用和逆向分析技能缺口較大，分別占比%、%和%，如圖-所示。具備上述技能的人才對用人單位來說炙

76、手可熱。由于具有豐富滲透測試經驗的人員擅長全面檢驗信息系統，發現信息系統的脆弱點；具有豐富逆向分析經驗的人員可通過反編譯手段分析程序的執行邏輯，挖掘應用程序存在的邏輯缺陷；有豐富漏洞發現與利用經驗的人員可全面評估信息系統面臨的安全風險，以及在遭受攻擊時產生的后果及代價。人以上-人圖3-18網絡安全專職隊伍規模圖3-17關鍵信息基礎設施單位安全隊伍建設規模占比%無專職人員-人-人-人-人-人人以上%我國的網絡安全發展與攻防實戰人才培養的速度仍然存在較大差距。同時攻防人才發展存在明顯的專業傾向性，從長遠來看，復合型人才將占據更大比重，復合型攻防人才將是未來人才培養的重要方向。3.3 崗位與能力匹配

77、分析3.3.1崗位人才分布從統計數據上來看，網絡安全崗位類別主要分為安全管理崗、安全建設崗、安全運營崗、測試評估崗、科研教育崗五種類型，具備網絡安全人才攻防實戰能力的人群以安全運營崗與測試評估崗居多，其余三種從人數上來看相對較少，如圖-所示。安全運營測試與評估教育科研安全建設與開發安全管理 其他圖3-20崗位類型分布圖3-19用人單位緊缺的實戰人員技能方向漏洞發現和利用方向%滲透測試方向逆向分析方向工程開發其他各方向均不緊缺安全管理防御加固方向資產梳理方向風險評估與發現方向應急響應方向安全研究情報收集方向安全運維方向追蹤溯源方向%用人單位網絡安全人才實戰能力需求分析.%.%.%.%.%.%.%

78、運維工程師安全服務工程師安全運營工程師滲透測試工程師安全管理方向崗位Web安全工程師其他科研教育方向崗位監管執法方向崗位安全攻防研究員安全建設與開發方向崗位代碼審計工程師%從統計數據來看，網絡安全行業崗位名稱很多，各用人單位會根據自身情況有不同的叫法，歸納整理來看，具備攻防實戰能力的崗位主要集中在運維工程師、安全服務工程師、安全運營工程師、滲透測試工程師等。其中，運維工程師數量最多，占比達%，排名第二的是安全服務工程師，緊隨其后的是安全運營工程師，如圖-所示。圖3-22主要實戰方向圖3-21崗位分布滲透測試漏洞發現與利用安全運維應急響應風險評估與發現資產梳理追蹤溯源情報收集安全研究防御加固逆向

79、分析其他3.3.2崗位能力需求根據調查數據分析，在崗員工主要的安全實戰能力方向體現在：滲透測試、漏洞發現與利用、安全運維、應急響應、風險評估與發現、資產梳理、追蹤溯源、情報收集、安全研究、防御加固、逆向分析等，如圖-所示。其中，Web安全工程師更為看重滲透測試方向網絡安全能力，其次是逆向分析能力、Web安全能力。Web安全工程師崗位目前亟需提升的網絡安全能力中，滲透測試能力占比%，逆向分析能力占比%，Web安全能力占比%，如圖-所示。滲透測試工程師更為看重滲透測試方向網絡安全能力，其次是代碼審計和逆向分析，對云、G、AI、區塊鏈等新興安全領域方向網絡安全能力也有較高需求。滲透測試工程師崗位目前

80、亟需提升的網絡安全能力中，滲透測試能力占比%，代碼審計能力占比%，逆向分析能力占比%，云、G、AI、區塊鏈等新興安全領域能力占比%，如圖-所示。運維工程師對滲透測試、Web安全、安全管理方向網絡安全能力需求最為明顯。運維工程師崗位目前亟需提升的網絡安全能力中，滲透測試能力占比%，Web安全能力占比%，安全管理能力占比%，如圖-所示。安全服務工程師崗位對滲透測試方向網絡安全能力需求最為明顯，對漏洞挖掘、分析和利用，病毒與木馬分析，Web安全方向網絡安全能力也有較高需求。安全服務工程師崗位目前亟需提升的網絡安全能力中，滲透測試能力占比%，漏洞挖掘、分析和利用，病毒與木馬分析，Web安全能力均占比%

81、，如圖-所示。安全運維工程師崗位對漏洞挖掘、分析和利用方向網絡安全能力需求最為明顯，對滲透測試，云、G、AI、區塊鏈等新興安全領域方向網絡安全能力也有較高需求。安全運維工程師崗位目前亟需提升的網絡安全能力中，漏洞挖掘、分析和利用能力，滲透測試能力均占比%；云、G、AI、區塊鏈等新興安全領域能力占比%，如圖-所示。安全運營工程師對滲透測試方向網絡安全能力需求最為明顯。安全運營工程師崗位目前亟需提升的網絡安全能力中，滲透測試能力占比%。安全攻防研究員崗位對漏洞挖掘、分析和利用方向網絡安全能力需求最為明顯，對病毒與木馬分析、中間件安全方向網絡安全能力也有較高需求，如圖-所示。安全攻防研究員崗位目前亟

82、需提升的網絡安全能力中，漏洞挖掘、分析和利用能力占比%，病毒與木馬分析能力占比%，中間件安全能力占比%，如圖-所示。安全管理方向崗位對安全管理方向網絡安全能力需求最為明顯，對滲透測試、安全研究方向網絡安全能力也有較高需求。安全管理方向崗位人才目前亟需提升的網絡安全能力中，安全管理能力占比%，滲透測試能力占比%，安全研究能力占比%。監管執法方向崗位對逆向分析方向網絡安全能力需求最為明顯，對滲透測試、病毒與木馬分析安全研究方向網絡安全能力也有較高需求。監管執法方向崗位人才認為目前亟需提升的網絡安全能力中，逆向分析能力占比%，滲透測試能力、病毒與木馬分析能力均占比%，如圖-所示?？蒲薪逃较驆徫粚δ?/p>

83、向分析，操作系統安全，數據庫安全，云、G、AI、區塊鏈等新興安全領域方向網絡安全能力需求最為明顯?？蒲薪逃较驆徫蝗瞬耪J為目前亟需提升的網絡安全能力中，逆向分析，操作系統安全，數據庫安全，云、G、AI、區塊鏈等新興安全領域方向能力均占比%，如圖-所示。用人單位網絡安全人才實戰能力需求分析Web安全工程師滲透測試工程師運維工程師安全服務工程師安全運維工程師安全運營工程師安全攻防研究員安全管理方向監督執法方向科研教育方向工程開發安全開發代碼審計電子取證加密算法研究中間件安全滲透測試逆向分析Web安全病毒木馬分析云、G、AI、區塊鏈等新興安全領域漏洞挖掘、分析和利用操作系統安全數據庫安全追蹤溯源安全

84、管理安全研究圖3-23各崗位專業能力需求情況根據調查數據，可以看到Web安全工程師、安全服務工程師、安全運營工程師、滲透測試工程師均對滲透測試方向網絡安全能力需求最為明顯；安全攻防研究員、安全運維工程師均對漏洞挖掘、分析和利用方向能力需求最為明顯；安全管理方向崗位、運維工程師均對安全管理方向網絡安全能力需求最為明顯；監管執法方向、科研教育方向崗位均對逆向分析方向網絡安全能力需求最為明顯。%逆向分析%滲透測試漏洞挖掘、分析和利用病毒與木馬分析Web安全云、G、AI、區塊鏈等新興安全領域代碼審計操作系統安全數據庫安全加解密算法研究安全開發中間件安全安全管理追蹤溯源電子取證安全研究各方向均不欠缺工程

85、開發其他圖3-24用人單位普遍欠缺的業務能力此外，Web安全工程師、滲透測試方向崗位均對逆向分析有較高需求；安全管理方向崗位、安全運維工程師、監管執法方向崗位均對滲透測試方向網絡安全能力有較高需求；Web安全工程師、安全服務工程師、運維工程師均對Web安全方向網絡安全能力有較高需求；安全服務工程師、安全攻防研究員、監管執法方向崗位均對病毒與木馬分析方向網絡安全能力有較高需求；安全運維工程師、科研教育方向崗位、滲透測試方向崗位均對云、G、AI、區塊鏈等新興安全領域方向網絡安全能力有較高需求。相較于其他崗位而言，安全攻防研究員崗位對中間件安全方向網絡安全能力有較高需求；安全管理方向崗位對安全研究方

86、向網絡安全能力有較高需求；科研教育方向崗位對操作系統安全，數據庫安全方向網絡安全能力需求有較高需求；滲透測試方向崗位對代碼審計方向網絡安全能力有較高需求。3.3.3能力提升需求根據調查數據分析，僅%的企業認為集團內部網絡安全人員隊伍整體較為完善，人員能力也比較綜合、全面，暫無需要提升的地方。而大部分用人單位普遍欠缺的業務能力中，逆向分析能力占比%，其次是滲透測試能力，漏洞挖掘、分析和利用能力，病毒與木馬分析能力，分別占比%、%、%，如圖-所示。用人單位網絡安全人才實戰能力需求分析逆向分析%滲透測試漏洞挖掘、分析和利用病毒與木馬分析Web安全云、G、AI、區塊鏈等新興安全領域代碼審計操作系統安全

87、數據庫安全加解密算法研究安全開發中間件安全安全管理追蹤溯源電子取證安全研究各方向均不欠缺工程開發同時，各行業網絡安全人才顯然也意識到了自己在工作中存在的能力短板，以下仍以金融、通信、醫療衛生、教育、互聯網等五個行業為例，分別對其人才能力提升需求進行分析。（）金融行業人才能力提升需求根據調查數據分析，金融行業人才認為目前亟需提升的網絡安全專業能力中，滲透測試能力占比%，Web安全能力占比%，逆向分析能力占比%，如圖-所示。（）通信行業人才能力提升需求根據調查數據分析，通信行業人才認為目前亟需提升的網絡安全專業能力中，漏洞挖掘、分析和利用能力占比%，逆向分析、病毒與木馬分析能力均占比%，云、G、A

88、I、區塊鏈等新興安全領域方向、滲透測試能力均占比%，如圖-所示。圖3-25金融行業人才能力提升需求情況%漏洞挖掘、分析和利用病毒與木馬分析Web安全云、G、AI、區塊鏈等新興安全領域代碼審計操作系統安全加解密算法研究安全開發安全研究中間件安全安全管理追蹤溯源電子取證工程開發（）醫療衛生行業人才能力提升需求根據調查數據分析，醫療衛生行業人才認為目前亟需提升的網絡安全專業能力中，滲透測試能力占比%，逆向分析、數據庫安全能力均占比%，如圖-所示。逆向分析%滲透測試漏洞挖掘、分析和利用病毒與木馬分析Web安全云、G、AI、區塊鏈等新興安全領域代碼審計操作系統安全數據庫安全加解密算法研究安全開發安全研究

89、中間件安全安全管理追蹤溯源電子取證工程開發圖3-27醫療衛生行業人才能力提升需求情況圖3-26通信行業人才能力提升需求占比情況用人單位網絡安全人才實戰能力需求分析（）教育行業人才能力提升需求根據調查數據分析，教育行業人才認為目前亟需提升的網絡安全專業能力中，滲透測試能力占比%，Web安全和操作系統安全能力均占比%，如圖-所示。圖3-28教育行業人才能力提升需求情況圖3-29互聯網行業人才能力提升需求情況逆向分析%滲透測試漏洞挖掘、分析和利用病毒與木馬分析Web安全云、G、AI、區塊鏈等新興安全領域代碼審計操作系統安全數據庫安全加解密算法研究安全開發中間件安全安全管理追蹤溯源電子取證安全研究工程

90、開發（）互聯網行業人才能力提升需求根據調查數據分析，互聯網行業人才認為目前亟需提升的網絡安全專業能力中，滲透測試能力占比%，Web安全能力占比%，逆向分析能力占比%，如圖-所示。逆向分析%滲透測試漏洞挖掘、分析和利用病毒與木馬分析Web安全云、G、AI、區塊鏈等新興安全領域代碼審計操作系統安全數據庫安全加解密算法研究安全開發中間件安全安全管理追蹤溯源電子取證安全研究工程開發網絡安全工作是一個系統性工程，根據數據統計分析，如下圖-所示，用人單位在提升整體安全防護水平方面最為看重且最為有效的方式是構建完善的網絡安全人才隊伍，其次是充足的網絡安全設備和覆蓋全員的網絡安全意識，接下來是體系化的網絡安全

91、人才培訓，各個方面統籌布局才能更好的達到安全防御效果。.%.%.%.%.%.%.%.%充足的網絡安全設備強有力的規章制度完善的網絡安全人才隊伍體系化的網絡安全人才培訓覆蓋全員的網絡安全意識常態化的實網演練網絡安全競賽完善的安全策略及安全架構信息資產的梳理與備案其他圖3-31用人單位招聘網絡安全人員時最關注的能力情況3.4人員來源分析超過%的用人單位在招聘網絡安全人員時比較看重網絡安全實戰能力，超過%的單位重視網絡安全從業經驗與網絡安全專業知識，其次是學歷和教育背景、網絡安全資質證書、團隊協作能力和工作抗壓能力等，如圖-所示。其他網絡安全實戰能力網絡安全從業經驗網絡安全專業知識學歷和教育背景網絡

92、安全資質證書團隊協作能力%圖3-30用人單位提升整體防護水平的措施情況用人單位網絡安全人才實戰能力需求分析大部分用人單位的人才渠道對招聘網站及校園招聘還是比較依賴，%的用人單位會通過招聘網站來進行人員招募，%的用人單位會通過校招來進行人員補充。其次企業內部推薦、業內熟人推薦、獵頭推薦等也是常用的人員招募渠道，如圖-所示。圖3-32用人單位招聘渠道情況圖3-33用人單位認為最可靠的招聘渠道情況.%招聘網站校園企業內部推薦業內熟人推薦獵頭推薦培訓機構其他.%.%.%.%.%.%.%用人單位認為最可靠的招聘渠道排名前兩名的是，企業內部推薦、業內熟人推薦渠道；其次是校園招聘、招聘網站和獵頭機構，如下圖

93、-所示。其中人以上的超大型單位更傾向于企業內部推薦、業內熟人推薦；-人的大型單位、-人的中型企業則認為招聘網站及企業內部推薦更為有效。.%.%.%.%.%.%.%.%.%.%.%招聘網站校園企業內部推薦業內熟人推獵頭推薦培訓機構其他4.1 網絡空間安全實戰攻防人才培養現狀4.1.1院校網絡安全相關專業建設現狀信息化時代到來后，網絡應用普及范圍日益廣泛，隨之而來的網絡安全問題也越來越多，并呈現出復雜化、多樣化、不可預測化的新形態，這對我國的網絡安全人才建設提出新的要求?？傮w而言，我國網絡安全人才存在數量缺口較大、能力素質不高、結構不盡合理等問題，有必要完善和優化網絡安全課程建設路徑，加強網絡安全

94、人才建設。從學科屬性看，網絡安全作為一門綜合性新興學科，學科交叉性強，導致專業人才培養難度相對較大，周期也長。許多學校除了專門的網絡安全相關專業外，還開設了與網絡安全相關的一些專業，各專業學科培養側重點有所不同，可看作網絡安全方面的二級專精學科或者交叉學科。針對網絡安全領域專業方向特點和發展熱度，市場上也越來越有了細分專精的趨勢，這也影響了學校的培養方向。經調研，目前我國高校開設的網絡安全相關專業主要分為：網絡空間安全，信息安全，保密技術，密碼科學與技術，區塊鏈工程，網絡安全與執法六類，如圖-所示。圖4-1 網絡空間安全相關課程網絡空間安全人才攻防實戰能力提升分析網絡空間安全人才攻防實戰能力提

95、升分析第四章信息安全網絡空間安全保密技術 密碼科學與技術 區塊鏈工程 網絡安全與執法圖4-2 雙一流院校占比圖4-3 985院校占比圖4-4 211院校占比信息安全是所有網絡安全相關課程中開設數量最多的專業，開設的院校包括中國科學技術大學、浙江大學、上海交通大學等所；其次是網絡空間安全專業，共有電子科技大學、華中科技大學、北京郵電大學等所；開設保密技術的院校數量是所有網絡安全相關數最少的，僅包含復旦大學、北京交通大學、湖南大學所；開設密碼科學與技術的高校有所，全部屬于、雙一流院校，包括華中科技大學、東南大學、北京郵電大學等；區塊鏈工程僅在太原理工大學、齊魯工業大學等所非、雙一流的高校所設。網絡

96、安全與執法僅在所公安院校開設，包含中國人民公安大學、浙江警察學院、中國刑事警察學院等。據統計，在所有開設網絡安全相關專業的高校中，雙一流院校占比約為.%，如圖-所示。院校占比約為.%，如圖-所示。雙一流院校.%非雙一流院校.%院校.%非院校.%在統計結果中，院校占比超過一半，約為.%，如圖-所示。非院校.%院校.%圖4-5 公安院校占比圖4-6 全國高校占比（不含?？疲﹫D4-7 全國高校占比（含?？疲┢渲泄苍盒５恼急惹闆r約為.%，如圖-所示。公安院校%非公安院校.%然而從總體上看，我國普通高等學校共所（本科所、?？扑?，在本科院校中開設網絡安全相關專業的院校占比僅為%，包含?？圃盒：?，占比僅

97、為%。通過以上數據可以得出結論，目前我國開設網絡安全相關課程的高?？倲等匀惠^少，網絡安全的教育需要進一步得到重視，如圖-、-、-所示。開設網絡安全相關課程院校%非開設網絡安全相關課程院校%開設網絡安全相關課程院校%非開設網絡安全相關課程院校%網絡空間安全人才攻防實戰能力提升分析圖4-8 各類高校占比雙一流院校 院校院校公安院校 全國含?？迫珖缓瑢？?.%.%.%.%從院校屬性看，學校的教育更加側重打好理論基礎，構建知識體系，開闊視野格局，提供資源平臺，為國家培養多個層次的網絡安全人才。過去學科初建，對于學生攻防實戰能力的培養，缺乏足夠多的配套資源支持，更多依賴學生自學，算是院校網絡安全相關專

98、業能力建設的短板之一。隨著培養體系的愈發完善，網絡設施更加健全，學習資源的普及，各類比賽增多以及校企結合項目的開展，學生有了越來越多的實戰機會。部分學校開設了專門的攻防課程，傳授實戰經驗；部分學校將網絡安全實驗室升級為網絡安全教學靶場，提供模擬實戰環境；部分學校開放網絡資源，組建CTF戰隊，提供課外的相關技能培訓；部分學校內部舉辦相關網絡安全賽事，并鼓勵學生參加各大校外賽事，磨練學生的實戰技藝；校企合作舉辦的各類講座和項目實踐、暑期實習等活動，也給學生的實戰技能帶來了極大的提升。4.1.2社會培訓機構發展現狀年月，國家市場監督管理總局頒布 信息安全技術網絡安全等級保護基本要求、信息安全技術網絡

99、安全等級保護測評要求 和 信息安全技術網絡安全等級保護安全設計技術要求 三大標準。此后，網絡安全對于很多政企單位來說，從以前的可有可無變成了必選項甚至是強制項。這進一步刺激了國內網絡安全領域的飛速發展。各政企單位紛紛成立單獨的網絡安全部門，為自己的數據和服務保駕護航。根據中國網絡安全產業聯盟（CCIA）發布的 年中國網絡安全市場與企業競爭力分析 報告顯示，年我國網絡安全市場規模約為億元，同比增長率為.%。預計未來三年將保持%+增速，到年市場規模預計將超過億元。圖4-9 2021年我國網絡安全市場規模及增速圖4-10 參加培訓希望實現的目標.%.%.%.%市場規模（億元）增長率EEE-.%-.%

100、-.%.%.%.%.%隨著后疫情時代的復工復產，國內經濟高速回溫，企業對網絡安全人才的需求也持續提升。加上 網絡安全法、數據安全法、個人信息保護法、關鍵信息基礎設施安全保護條例 等法律法規的頒布導致用人單位的人才需求激增，國內網絡安全相關專業人才缺口越來越大。而另一方面，院校培養的學生少有能直接滿足用人單位的實際需求，加上連續多年持續上升的就業壓力，很多人員會選擇專業社會培訓機構進行能力提升，以實現就業或者晉升的目的。根據調查問卷結果，參加社會培訓的群體多數是基于崗位就業、系統學習專業知識、增強實戰技能的目標，占比分別為%、%、%，以考取證書為主要目的人員占比達%，同時也有出于興趣愛好、升職加

101、薪、參加安全競賽等其他目標?？傮w來看，基本都是從事網絡安全領域的人員，希望通過培訓，夯實自身理論基礎，增強實踐操作能力，獲得更好就業機會。%崗位就業考取證書升職加薪興趣愛好其他系統學習專業知識增強實戰技能網絡空間安全人才攻防實戰能力提升分析圖4-11 網絡安全從業人員參與培訓班時長在多方面因素作用下，網絡安全行業的社會培訓機構得到了迅速發展，出現了一批專業的培訓機構，有專注就業方向的定向培訓班，有專注考證方向的專職培訓班，也有結合就業、考證、能力提升等多個維度的綜合型機構，許多人經過中短期的培訓后，即投身進入網絡安全領域。相較于院校教育，社會培訓機構更加注重培養學員的實戰能力，不僅設置了大量基

102、于真實場景的實踐教學課時，還提供模擬實驗室，針對各種漏洞提供真實的模擬環境，并結合網絡安全競賽、SRC眾測服務、滲透測試、攻防演習等實踐活動帶領學員進行實戰訓練，讓學員能夠快速完成理論到實踐的高度轉化。當然，機構培訓的質量也決定了能達到的目標與實現的效果。社會培訓機構根據人員參加培訓的目標及預算設置了不同時長的班型，以保證能夠在有限的時間內達成既定目標。調查問卷數據顯示，網絡安全人員在選擇參加培訓班的時候，個月時長的線下培訓班更受青睞，有%的人群選擇參加；%的人員選擇了培訓時長達到半年的培訓班，%的人員培訓選擇了時長時間只有一個月及以下，在職人員考慮工作原因更多的也會選擇不限期的線上培訓。個月

103、個月天及以下個月其他其他永久其他三個月其他年其他定時更新，不固定時長%從市場需求情況來看，目前社會培訓機構開設的課程中，Web安全類、滲透測試類以及安全運維類等的需求更為旺盛。一方面現實的網絡安全人才缺口較大，這類型課程對應的崗位屬于企業急缺的，學員就業會更容易；另一方面這類型的課程體系化設計較為完善，利于系統掌握對應知識，學員綜合能力提升會更明顯。圖4-12 網絡安全課程項目詞云圖圖4-13 2021年中國IT安全教育與培訓各子市場份額與此同時，隨著網絡安全領域的快速發展，信息安全專業認證已經逐步成為各行業對信息安全人才認定的方式，網絡安全領域從業者持證上崗已經成為大勢所趨。根據IDC 年中

104、國IT安全服務市場跟蹤報告 顯示，在國內安全教育與培訓市場里，安全教育認證培訓（包括認證培訓、認證考試等）的市場份額占據了半壁江山，達到了.%。大量網安從業者認為考取信息安全資質證書有助于提高就業率和專業能力，這主要是因為考取證書的過程同樣是全面學習掌握特定安全領域前沿知識和技術的過程，有助于提升個人在特定安全領域的競爭能力，使個人職業生涯穩步提升。據中國信息安全測評中心發布的 中國信息安全從業人員現狀調研報告 顯示，從網安從業者已考取的信息安全資質證書類型來看，持有注冊信息安全專業人員（CISP）資質證書的占比最高，達.%，其次是注冊信息系統安全專家（CISSP）和國際注冊信息系統審計師（C

105、ISA），占網絡空間安全人才攻防實戰能力提升分析比均超過%。相較而言，其他幾類證書考取人數較少，這主要是受資質證書的權威性、認可程度及受眾范圍等因素的影響。圖4-14網絡安全從業人員資質持證類型表4-1 企業安全從業人員崗位列表.%.%.%.%.%.%.%.%.%.%.%.%注冊信息安全專業人員（CISP）注冊信息系統安全專家（CISSP）國際注冊信息系統審計師（CISA）信息安全保障從業人員認證（CISAW）網絡安全攻防實踐工程師（CSPE）其他注冊云安全系統認證專家（CCSP）重要信息系統安全保護人員（CIIPT）國家注冊信息安全管理體系（ISMS）審核員國際注冊信息安全經理認證（CISM

106、）網絡信息安全工程師（NSACE）中國信息安全等級保護測評師4.1.3企業內部從業人員培訓現狀隨著信息技術的飛速發展和網絡邊界的逐漸模糊，關鍵信息基礎設施、重要數據和個人隱私都面臨新的威脅和風險。網絡安全問題的日益凸顯，也讓企業對多元化、多樣性、高質量的網絡安全人才需求急劇上升，尤其是掌握核心技術的實戰型、實用型人才。不少企業已經在內部采取措施，設置相應的網絡安全崗位，對安全從業人員進行培訓。經過對網絡安全、互聯網、金融、交通、化工、電力、政法以及醫療衛生等數十個行業的企業進行調研，可以發現，隨著網絡在各行業的“滲透”，各企業也越來越重視網絡安全問題，并設置了諸多的安全崗位、聘請專業人員以提供

107、保障。目前，企業內部的安全崗位主要有Web安全工程師、安全服務工程師、安全攻防研究員、安全管理崗、安全建設與開發崗和安全運營崗等，如表-所示。崗位序號Web安全工程師安全服務工程師安全管理方向崗位安全建設與開發方向崗位安全運維工程師安全運營工程師代碼審計工程師監管執法方向崗位科研教育方向崗位滲透測試工程師運維工程師針對網絡空間軟硬件的生命周期，不同崗位的安全從業人員需要負責不同階段的安全職責。從安全實戰方向看，主要的安全崗位職責包括資產梳理、安全研究、工程開發、防御加固、滲透測試、安全管理、安全運維、情報收集、漏洞發現與利用、風險評估與發現、應急響應、追蹤溯源、逆向分析等，如圖-所示。其中，滲

108、透測試、漏洞發現與利用、安全運維、應急響應、風險評估與發現以及安全管理尤其受到企業的重視，大部分企業在這些方向設置的崗位較多。然而，伴隨著網絡攻防的對抗與互相促進，面對越來越復雜多樣的網絡攻擊，能夠熟練掌握并運用滲透測試、逆向分析、Web安全以及漏洞挖掘等專業能力的從業人員卻十分匱乏，從業人員亟需提升這些能力。同時，由于專業從業人員不足以及部分企業缺乏系統的安全管理經驗等問題，有相當比例的企業存在崗位編制不合理導致員工身兼數職或崗位編制合理但人員招募困難的情況，甚至存在專職人員嚴重缺口多達人以上的?？梢园l現，以上種種均使得多數企業存在較為嚴重的網絡安全隱患。如圖-、-、-所示。圖4-15從業人

109、員就職崗位負責的安全實戰方向圖4-16 從業人員亟需提升的網絡安全專業能力%安全管理安全研究安全運維防御加固風險評估與發現工程開發漏洞發現與漏洞逆向分析其他（網絡運維等）情報收集滲透測試應急響應追蹤溯源資產梳理%其他%安全開發工程開發加解密算法研究安全研究電子取證中間件安全追蹤溯源安全管理數據庫安全操作系統安全代碼審計云、G、AI、區塊鏈等新興安全領域病毒與木馬分析漏洞挖掘、分析和利用逆向分析Web安全滲透測試網絡空間安全人才攻防實戰能力提升分析圖4-17 各單位的網絡安全專職人員數量能否滿足業務需要圖4-18 各單位的網絡安全專職人員缺口%崗位編制嚴重欠缺，員工普遍一人多職崗位編制稍顯欠缺，

110、存在一人多職情況無專職崗位編制，其他崗位兼任崗位編制合理，但人員招募困難崗位編制符合實際情況，員工各司其職%-人人以上-人-人-人%4.2 人才培養方式分析4.2.1院校培養方式分析據統計數據顯示，開設網絡空間安全課程的所院校中有戰隊或實驗班的院校達所，其中競賽獲獎情況最具有代表性的是西安電子科技大學和東南大學。西安電子科技大學獲全國密碼技術競賽特等獎、全國大學生信息安全競賽一等獎等各類獎項共計 余項；東南大學學生各類網安競賽獲獎超過項。在所有開設網絡安全相關實踐類課程的院校中，根據各院校培養方案統計，實踐類課程主要分布在第至學期，如圖-所示。圖4-19 戰隊/實驗班比重圖4-20 實踐課時間

111、分布%有戰隊/實驗班無戰隊/實驗班第一學期第二學期第三學期第四學期第五學期第六學期第七學期第八學期%在校企合作課程方面，能查閱到的信息較少，僅有黑龍江大學開設門，桂林電子科技大學門，吉林大學門。在校企合作方面，有所院校與企業進行合作，有所院校與企業無合作，有所合作信息無法獲得。各院校與企業合作的數量也不一樣，其中南昌大學與企業合作數量遠超其他院校，多達家企業，如圖-所示。網絡空間安全人才攻防實戰能力提升分析圖4-21 與企業合作數圖4-22 課程詞云南昌大學東南大學華中科技大學北京航空航天大學天津大學濟南大學西安電子科技大學對開設網絡空間安全課程的所院校進行相關課程統計，可以發現，計算機網絡、

112、離散數學、數據結構、操作系統是開設數量最多的四門課程。其課程詞云如圖-所示。圖4-23 參與網絡安全培訓人員參加培訓的形式根據以上數據可以看出，擁有戰隊或實驗班、競賽獎項多的院校多數為雙一流、院校；各學校都頗為注重實踐課程的設置，且開設的專業課都符合人才培養的需求；但是開設校企合作課程的院校很少。將來或可多開設此類課程，讓社會上的知識技術走入學生課堂，更好的培養學生個人能力。整體而言，學校秉承課內課外結合、線上線下融合、校內校外混合的實踐能力養成體系，通過理論授課、案例研討、實驗操作、模擬對抗、比賽競技、項目課題實習等多個方面對學生的能力進行培養。除去上文提及課程設置、比賽獎項、校企合作方面外

113、，學校還廣泛采取講座培訓、夏令營、社團俱樂部以及社會活動等方式，來豐富學生的培養途徑，采取建設攻防靶場、提供學習資料與實現工具、參加攻防演練行動以及參與實際項目等方式，增加學生的實踐渠道。這些活動普遍設置豐厚的獎品獎金，并與學分、各項榮譽甚至工作推薦等方面結合，激勵更多的學生積極參與，鍛煉個人和團隊的實踐能力。4.2.2社會培訓機構培養方式分析社會培訓機構的培訓方式主要分為線上網課、線下面授，線上線下結合三種形式。受疫情影響，近年來有不少線下課程轉為線上形式。從數據統計來看，%的人員會選擇通過線下面授的方式進行學習，僅%的參訓人員傾向于選擇線上網課。大多數人員如果不考慮疫情影響，都傾向于選擇線

114、下面授的培訓方式，可能是因為線下培訓教學能構建良好的學習環境，面對面的交流也使得溝通更為順暢，方便及時解決學習中的各種問題。線上網課則更受學業、工作繁忙的群體的歡迎，使得他們能夠利用碎片時間參與培訓，也是提高自己理論知識與實踐操作水平的一種選擇，如圖-所示。線下面授線上線下結合線上網課疫情原因，線下轉線上%網絡空間安全人才攻防實戰能力提升分析圖4-24社會培訓機構模塊設置情況占比如何有效提升人員攻防實戰水平，培養出能夠應對真實網絡安全威脅、解決實際安全問題的安全人才至關重要。為提高網絡安全人才建設，國內網絡安全培訓機構積極制定各自人才選拔與培養方案，結合理論學習與實戰訓練多個維度，構建高質量水

115、平的實戰攻防訓練靶場和配套的整體培訓體系，建立、健全網絡安全人才的選拔與培養體系。在課程設置方面，服務比較完善的社會培訓機構會包括“理論課程、實操練習、考核評價、社會實踐、面試輔導”五個模塊，實現了人員從培訓到實踐到就業管理的閉環，占比%。具備四個模塊能力的機構占比%，只具備其中三個模塊的機構占比達到了%，還有一些機構只專注理論課程+實操練習的培訓上。有%的機構會提供面試輔導，以幫助學員更好的完成就業面試，找到心儀工作。同時%以上機構在社會實踐方面的資源比較有優勢，能夠提供專項實踐模塊為學員提供從理論到實踐的立體化提升服務，如圖-所示。%理論+實操+考核+社會實踐+面試輔導理論+實操+考核理論

116、+實操理論+實操+面試輔導理論+實操+考核+社會實踐理論+實操+考核+面試輔導理論理論+實操+社會實踐根據問卷調查結果，培訓機構的課程方向通常涵蓋安全領域多個具體方向，例如安全軟件、安全運維、安全集成、工控網絡安全、應急服務、滲透測試、電子數據取證、網絡輿情分析與處理和風險管理等。其中Web安全、滲透測試最為常見，幾乎是每位參訓學員的必修課程，其次是應急服務、安全運維與安全集成，其余方向培訓機構會參照參訓人員的具體需求進行安排，如圖-所示。圖4-25 網絡安全培訓課程設計方向圖4-26 主流培訓機構常見培訓方式其他網絡輿情分析與處置電子數據取證工控網絡安全安全軟件安全運維應急服務風險管理安全集

117、成滲透測試Web安全.%.%.%.%.%.%.%.%.%.%.%依據i春秋、賽寧網安、合天智匯、谷安天下、易霖博及湖南網安基地多個業內知名網絡安全培養機構人才培養方案來看，培訓機構通常采用學、賽、演、評、攻、防等多維度結合的培養方式對安全人才進行選拔培養。例如以邀請領域專家線下授課或線上公開課的形式進行專業理論知識教學；搭建高質量水平的實戰攻防訓練靶場，提供線下實習實訓場所；組織參與各類網絡安全競賽，培養實操實戰能力；委派專門導師進行每日學習任務的安排與輔導，講解行業發展形勢，給予就業規劃指導；針對特定需求，如標準化就業、校企合作或認證考核培訓，定制化培訓方案等，如圖-所示。理論知識授課實操演

118、訓靶場線下實習實訓職業規劃指導導師制度企業認知學習網絡安全競賽校企合作培訓外聘講師教學證書考核培訓定制化專項培訓線上課程學習能力評估體系%網絡空間安全人才攻防實戰能力提升分析圖4-27 各單位最緊缺的網絡安全實戰人員方向各大培訓機構結合理論教學、動手實踐、導師引導、定制培訓多個維度，秉承“人是安全的核心”主導思想，積極研發全面、專業、完善的網絡安全人才培訓方式，致力于提升網安人才專業技能，選拔培養更多網絡空間安全人才。4.2.3企業內部培養方式分析為了緩解有效解決網絡安全人才不足，網絡安全業務能力不夠的問題，越來越多的企業意識到對員工進行安全人才培養十分有必要。據統計，在各企業單位中，滲透測試

119、方向、漏洞發現與利用方向以及逆向分析方向的網絡實戰人員最為緊缺，其次是安全運維方向、情報收集方向與追蹤溯源方向。下圖-顯示了各單位最緊缺的網絡安全實戰人員方向的情況。安全研究應急響應方向 風險評估與發現方向 資產梳理方向 防御加固方向 安全管理 各方均不緊缺 其他 工程開發%追蹤溯源方向安全運維方向情報搜集方向漏洞挖掘、分析和利用方向滲透測試方向逆向分析方向40%33%32%18%17%16%10%9%8%8%7%7%7%6%5%具體到網絡安全業務能力中，由于掌握安全核心技術的人員供不應求，導致企業也普遍欠缺相應的逆向分析、滲透測試、漏洞挖掘，木馬與病毒分析等業務能力。與此同時，隨著新興技術的

120、創新發展和新基建產業的加速布局，云、G、AI、區塊鏈等新興領域的安全業務能力也存在較大的缺口。圖-顯示了各單位普遍欠缺的網絡安全業務能力的情況。圖4-28 各單位普遍欠缺的網絡安全業務能力其他工程開發各方向均不欠缺安全研究電子取證追蹤溯源安全管理中間件安全安全開發加解密算法研究數據庫安全操作系統安全代碼審計云、G、AI、區塊鏈等新興安全領域Web安全病毒與木馬分析漏洞挖掘、分析和利用滲透測試逆向分析35%33%27%26%22%22%22%17%16%15%15%14%13%13%12%11%8%8%5%企業內部通常采用多種方法培養安全從業人員，例如，建立以老帶新的導師制、邀請專家進行授課、定

121、制攻防實戰平臺、定期組織攻防演練活動、舉辦企業內部網絡安全競賽、鼓勵員工參加外界舉辦的網絡安全競賽等。大部分集團型企業網絡和安全頂級企業都組建網絡安全實驗室或戰隊，并組織其參與一些國家級別的網安競賽，一方面以賽代練，磨煉技藝；另一方面宣傳自身實力，收獲榮譽。如騰訊的eee戰隊在年首屆“網鼎杯”網絡安全大賽上獲得冠軍，在年“強網杯”網絡安全挑戰賽上獲得特等獎，奇安信集團的虎符戰隊在年第二屆“網鼎杯”網絡安全大賽上獲得冠軍，中國移動的守望者衡山隊、上海觀安無相實驗室、國家電網的護網先鋒隊和赤霄隊獲得二等獎。在年首屆以防為主的網絡安全大賽“隴劍杯”中，南網電網、中國移動等集團旗下的多個戰隊表現不錯，

122、取得多個獎項。長亭科技組建的戰隊也曾獲得年“強網杯”網絡安全挑戰賽一等獎、年“網鼎杯”網絡安全大賽二等獎和年中國網絡安全技術對抗賽一等獎等。由此可見，在國家重要關鍵行業及大型互聯網企業中，組建一支頂尖的，具有實戰經驗的戰隊已是常態，同時也反應出大型企業對于整體網絡安全專業人員攻防實戰能力的重視度越來越高。除比賽外，由于數據泄露、病毒勒索等網絡攻擊對企業造成重大損失的事件頻有發生，組織網絡攻防演習也成為許多企業培養員工網絡安全意識與攻防能力的重要方式。通過這類活動，企業能查出自身短板漏洞，提高網絡、系統以及設備等的安全能力，并培養員工的攻防實踐能力?？傮w而言，對于員工能力的培養，其中以老帶新的導

123、師制最為普遍。但也依舊存在網絡空間安全人才攻防實戰能力提升分析圖4-29 各單位采取哪些措施提升員工的實戰能力圖4-30 學生對知識掌握情況完全掌握課程內容，學習游刃有余基本掌握課程內容，學習相對輕松掌握部分基礎知識，學習較為吃力課程內晦澀難懂，完全跟不上部分單位沒有采取任何的措施來培養從業人員。各單位采取的提升措施如圖-所示。%.%.%.%.%以老帶新，導師制%定制演訓平臺組織線上學習定期邀請實戰專家進行線下授課鼓勵員工參與外界舉辦的網絡安全競賽定期舉辦集團內部網絡安全競賽定期組織攻防演練活動實戰演練已形成常態化機制單位沒有相關措施效果均不佳其他4.3 人才培養效果分析4.3.1院校培養效果

124、分析在開設網絡空間安全專業的院校中，據能查閱到的官方數據顯示，就業率都超過%。其中有的院校培養成果突出，例如西北工業大學，每年培養數量人，年畢業生就業率高達%；北京郵電大學屆本科畢業生人就業率高達.%，碩士人就業率高達%。經調研，院校培養的相關專業學生大部分認為能完全掌握課程內容，學習游刃有余，相對輕松，如圖-所示。雖然目前院校就業率、學生掌握情況良好，但在培養過程中仍存在一些問題。部分在校學生認為老師教學方法單一、重理論輕實踐，學校培養方案與社會需求脫節、培養目標定位不準確等。這些問題需引起重視，學校要在今后的教育教學中逐步克服，完善教學方法，以培養更能滿足社會需要、理論和實際相結合的網絡安

125、全新人才。4.3.2培訓機構培養效果分析根據調研數據統計顯示，在培訓課程難度控制和學員的接受程度上，大部分的學員能夠良好理解和掌握課程中的知識，但仍有部分學員表示，當前的課程設置是對他們而言是有較大難度的。從圖-可以看到，目前學員對課程總體的接受度是比較好的，難度設置合理適中。%圖4-31 網絡安全培訓機構學員對課程的掌握情況基本掌握完全掌握部分掌握難以掌握圖4-32 網絡安全培訓機構學員對課程的實用性評價課程體系完善，注重實操，實用性強在培訓機構的課程實用性評價方面，約三分之二的受調查人員表示培訓課程體系完善，注重實際操作實踐，具有較強的實用性。有四分之一的被調查人員表示課程的體系較為完善但

126、并不注重實際操作。從圖-可以看到，總體上大部分的培訓機構的課程都具有不錯的實用性，但仍有部分培訓課程體系設計不合理，缺乏對學員在動手實操能力方面的培養。%課程體系完善，但不注重實操，實用性較弱課程體系不完善，且不注重實操實用性弱網絡空間安全人才攻防實戰能力提升分析圖4-33 網絡安全培訓機構學員的就業狀況圖4-34 網絡安全培訓機構學員未來期望提升的能力在畢業學員的就業情況上，不同培訓機構的學員表現出不同的結果。有少部分培訓機構在培養學員的信譽上得到一些企業的高度認可，剛開班時就有企業前去預定學員；大部分培訓機構的學員會在培訓結束前就有一部分已經有簽約單位，在培訓結束后，學員們基本都能找到就業

127、單位。但仍有少部分受調查人員表示，在培訓結束后，多數學員遲遲沒有意向單位?？傮w來看，受培訓學員的就業前景良好。剛開班，就有企業前來預定學員培訓班結束后，學員基本完成了意向簽署培訓班結束前，多數學員已有意向單位培訓班結束后，多數學員遲遲意向單位培訓班結束前，少數學員已有意向單位在未來期望提升的能力方面，主流意見為期望在滲透測試、漏洞挖掘、分析和利用、逆向分析、Web安全、病毒與木馬分析等方向做進一步的提升學習。此外，在一些近年興起的網絡安全新方向，例如云、G、AI、區塊鏈等安全領域，也成為了培訓學員未來計劃提升的方向。滲透測試漏洞挖掘、分析和利用Web安全中間件安全代碼審計追蹤溯源云、G、AI、

128、區塊鏈等新興安全領域加解密算法研究逆向分析病毒與木馬分析操作系統安全數據庫安全電子取證安全開發%參加常態化實戰演練參加網絡安全競賽自學參與社會培訓參與單位內部培訓考取證書其他%4.3.3企業培養效果分析對于不同的培養措施，其培養效果也會存在相應差異。其中，以老帶新的導師制，由于具有工作經驗豐富的導師指導學習與教授知識，往往培養效果最好；此外，通過定制演訓平臺組織線上學習、定期邀請實戰專家線下授課、參與安全競賽等手段也具有較好的效果。從業人員認為對于提升實戰能力最有效的培養措施，如圖-所示。圖4-35 各單位哪些措施對于提升實戰能力最實用有效網絡空間安全人才攻防實戰能力提升分析5.1 網絡安全人

129、才攻防實戰能力評價現狀網絡空間安全攻防實戰能力評價的目的是評判從業人員是否達到網絡空間安全專業技術人員獨立從事某種網絡空間安全專業技術工作知識、技術和能力的要求。5.1.1主流評價方式目前，國內外主要評價方式包括崗位/職業認證、等級認證、（企業）產品培訓認證、等級積分等。主要網絡安全相關技能認證由政府、大學（研究機構）、行業協會和各大公司等提出。.崗位/職業認證如國際信息系統安全認證聯盟(ISC)的CISSP（注冊信息系統安全師）認證、CCSP（注冊云安全師）認證，信息系統審計與管控協會ISACA（Information System Audit and Control Association

130、）的CISA（注冊信息系統審計師）認證，中國信息安全測評中心的CISP（注冊信息安全專業人員）認證，各地網信辦和人社部組織的網絡信息安全工程技術人員職稱評審等。.等級認證如公安部的網絡安全等級測評師認證，國際電子商務顧問局EC-Council的CEH（道德駭客）認證、CPENT（認證滲透測試專家）。.（企業）產品培訓認證比較典型的是Cisco公司的Cisco Certified Network系列安全認證，中國信息安全認證中心ISCCC的CISAW（信息安全保障人員認證），華為的HCIE-Security認證，華三的H3CSE-Security認證等。.等級評價常見于各類安全競賽、企業安全響應

131、中心（Security Response Center,SRC）的白帽認證。在各類安全競賽中，往往按賽隊進行排名評價，一般分為一、二、三等獎或一、二、三名。如教育部高等學校網絡空間安全專業教學指導委員會舉辦的全國大學生信息安全競第五章網絡安全人才攻防實戰能力評價分析第五章賽創新實踐能力賽，根據參賽隊伍的線下賽得分，評選出一、二、三等獎。中央網信辦指導的“強網杯”全國網絡安全挑戰賽，線上賽和線下賽的前名分別獲一、二、三等獎。公安部指導舉辦的網鼎杯網絡安全大賽，依據參賽隊伍成績評出一、二、三等獎，根據隊伍積分，面向單位頒發金鼎、銀鼎、銅鼎，面向個人會頒發“網絡安全優秀人才”、“網絡安全高端人才”等

132、證書。企業SRC一般對個人能力進行等級評價。阿里安全響應中心根據一段時間（天）內“白帽”提交有效漏洞的貢獻值將SRC平臺的白帽等級分為江湖少俠、武林高手、一代宗師三個級別。i春秋、漏洞盒子等平臺則將白帽的等級從低到高依次分為：青銅、白銀、黃金、鉑金、鉆石等段位。奇安信在年月發布的 中國實戰化白帽人才能力白皮書中表示，經調研，.%的白帽子處于“無證上崗”的狀態。5.1.2 有效評價方式網絡攻防實戰能力評價分為攻和防兩方面。一般而言，攻擊能力往往呈現實踐性，防御人才往往首先呈現學術性。因而有效的評價方式應該要體現學術性和實踐性兩者的結合。目前我國幾個全國級攻防實戰類的競賽或典型的攻防能力認證中，都

133、對學術、實踐兩方面能力有所考慮。如在全國大學生信息安全競賽創新實踐能力賽中，初賽采用在線答題形式，包括知識問答環節和場景實操環節兩個環節，題目覆蓋多種創新實踐能力基礎技能，復賽采用AWD或AWD+攻防賽模式，決賽采用半開放命題的攻防競賽形式，由Build（創新安全應用開發）、Break&Fix（攻擊、防御綜合對抗）兩個環節組成，各占權重比例分別為%：%，考察較為全面。強網杯的線上賽采用在線解題（Jeopardy）模式，線下賽采用采取攻防對抗（KOH）+實戰解題（Realworld）模式。網鼎杯則采用奪旗賽（CTF）、攻防賽（AWD PLUS）、靶場賽（ISW）、實景防御賽（RDG）、人工智能漏

134、洞挖掘賽（RHG）等多種模式相結合的方式。在由全國網絡空間安全教指委舉辦的全國大學生信息安全競賽實踐賽中，根據參賽隊伍的線下賽得分，評選出一、二、三等獎。在公安部指導舉辦的網鼎杯網絡安全大賽中，依據網鼎個人積分對參賽人員進行網鼎杯網絡安全人員能力評定，分為初級、中級、高級三個級別。典型的攻防能力認證，如國際電子商務顧問局EC-Council的CEH（道德黑客）認證，針對個人能力進行評價，分為兩個級別：CEH認證和CEH大師認證。CEH認證為知識評價，需要參加為時小時的考試，完成共個選擇題；CEH大師認證要在通過CEH認證的基礎上，參加時長小時的實踐挑戰，在iLabs網絡靶場中解決個類似于真實場

135、景的實踐挑戰。5.1.3 存在問題但上述的攻防類競賽或攻防類認證用于網絡安全人才攻防實戰能力評價方面還存在一些問題。一方面兩者都沒有形成標準化的可推廣的評價體系。另一方面在分級評價方面各有網絡安全人才攻防實戰能力評價分析短板。各類攻防類安全競賽進行攻防能力評價存在的普遍問題在于：競賽得到的是相對評價，采取被評價人/團隊之間互為參照的方式進行評價，即參賽人員水平決定了競賽結果的含金量；大多只進行團隊評價，較少進行個人評價。我們發現，近幾年有關部門對個人評價也重視了起來，例如“網鼎杯”大賽有專門面向個人的獎項設置。攻防類認證項目，CEH（道德駭客）認證將理論和實踐技能完全獨立進行考核，無法實現對攻

136、防實戰能力的評價區分度；而其他公司類認證會將理論和實踐結合來考核，但一般考察點基本圍繞公司產品及其功能展開，有產品依賴性。5.2 網絡安全人才攻防實戰能力評價分級基于對網絡安全人才攻防實戰能力的理解和分析，考慮到網絡安全攻防人才長遠發展的需要，我們提出了知識評價與技能評價相結合的網絡安全人才攻防實戰能力分組評價體系。5.2.1能力分級說明網絡安全人才攻防實戰能力的評價，可分為初級、中級、高級三個層次，形成由低至高的階梯成長路徑。初級人員：熟悉網絡攻防實戰的基本概念和流程，并能在他人指導下得以應用，有一定獨立工作能力和實踐經驗，能夠對常規化、結構化的情況進行安全評估和防護。中級人員：對網絡攻防實

137、戰的基本概念和流程有充分的了解，能獨立完成較為復雜的網絡攻防實戰任務，具備指導他人工作的能力，具有一定實踐經驗，能夠對非常規、較為復雜的情況進行安全評估并給出結論和處置建議。高級人員：對攻防實戰相關的先進概念和流程有深入的了解，并能夠獨立加以應用，精通關鍵的網絡攻防專業技能，能夠對非結構化的復雜情況進行安全評估、成功處置，具有豐富的實踐經驗，可以為他人提供指導和建議。5.2.2 能力評價內容對網絡安全人才攻防實戰能力的評價包括知識和技能兩方面內容，兩方面評價內容的具體組成與下圖所示。圖5-1攻防實戰能力評價內容組成示意知識技能攻防專業知識網絡安全職業素養（道德）培訓指導能力攻防專業技能網絡安全

138、基礎知識知識評價涉及網絡安全職業素質（道德）、網絡安全基礎知識和攻防專業知識三方面。在評價人才攻防實戰能力時必須注重考察其職業素質。因為網絡安全人才職責本身是為了保護和營造良好的網絡生態環境，推動互聯網行業的健康發展。而攻防實戰人才擁有一定破壞性技能，更應該自覺規范職業行為、加強職業道德、強化法律意識。對知識的評價主要通過筆試或答辯等方式進行。技能評價涉及攻防專業技能和培訓指導技能兩個方面。對技能的評價主要通過實戰、演練或取得相應證書等方式進行。攻防實戰能力評價的核心內容，攻防專業知識和攻防專業技能，包括六方面內容的考察，其中，網絡安全監測與分析、應急響應考察應急響應能力，漏洞發現與分析、滲透

139、測試考察網絡攻擊能力，攻擊事件研判、攻擊樣本及情報分析考察網絡防御能力。.網絡安全監測與分析對設備日志、網絡流量等安全數據以及安全態勢進行監測和分析，發現威脅并進行報警、響應。.應急響應針對信息、信息系統、信息基礎設施和網絡進行分析，制定安全事件應急響應預案，對突發安全事件進行分析、處理，完成快速應急響應。.漏洞發現與分析對信息、信息系統、信息基礎設施和網絡進行分析，發掘未知漏洞，對現有漏洞和安全威脅進行評估，評估風險水平，制定或推薦適當的加固措施。.滲透測試對目標信息、信息系統、信息基礎設施和網絡進行模擬滲透攻擊，以檢驗和測試其安全性。.攻擊事件研判在日常運行和攻防演練中，對各類系統應用的安

140、全事件進行研判分析，快速準確地進行事件確認、定級、問題定位、溯源分析，提供可靠的遏制和恢復方案。網絡安全人才攻防實戰能力評價分析.攻擊樣本及情報分析對攻擊樣本進行逆向分析，通過分析程序代碼、進程反編譯，發現惡意攻擊程序與行為；收集網絡安全威脅情報，對獲取的情報數據歸類分析，及時發現網絡威脅。5.2.3 評價標準不同層次的網絡安全人才在知識和技能方面的要求是不同的。初級更側重于知識的理解，高級更側重于技能的應用。各級評價中兩者的權重表，如表-所示。表5-2知識要求占比權重表表5-1 評價權重表圖5-2 網絡安全人才攻防實戰能力評價權重占比級別知識技能初級中級高級%初級知識中級高級技能不同層次的人

141、才在其知識和技能的掌握要求、掌握重點也是不同的。在知識評價方面，隨著由低到高的級別提升，對職業素質（道德）的要求是一致的，對專業知識的要求占比會有所提高，其中對操作性的知識掌握會降低，對攻擊研判、樣本分析等分析性的知識掌握要求逐步提高，如表-所示。項目初級中級高級網絡安全職業素質（道德）網絡安全基礎知識攻防專業知識網絡安全監測與分析應急響應漏洞發現與分析滲透測試攻擊事件研判攻擊樣本與情報分析合計圖5-3知識要求占比權重示意表5-3技能要求占比權重表圖5-4技能要求占比權重示意項目初級中級高級網絡安全監測與分析應急響應攻防專業技能漏洞發現與分析滲透測試攻擊研判樣本與情報分析合計培訓指導能力初級中

142、級高級職業道德網絡安全監測與分析漏洞發現與分析攻擊事件研判應急響應滲透測試攻擊樣本與情報分析基礎知識在技能評價方面，隨著由低到高的級別提升，除了在漏洞分析、攻擊研判、樣本與情報分析等高階攻防實戰技能的要求逐步提升外，對中級和高級人員還應該相應地具備培訓、指導他人開展攻防實戰的能力，如表-所示。網絡安全監測與分析初級中級高級應急響應攻擊研判漏洞發現與分析樣本與情報分析滲透測試培訓指導網絡安全人才攻防實戰能力評價分析5.3 網絡安全人才攻防實戰能力提升與評價方式網絡安全人才攻防實戰能力提升的有效方式包括：安全競賽、專業培訓/認證、安全會議、眾測項目、攻防演練等。5.3.1 安全競賽安全競賽，是檢測

143、和提升人員實戰能力的重要方式?！耙再惔俳?、以賽促學、以賽促練”，在貼近真實的對抗環境中發現自身不足，切磋彼此技藝，提升人才攻防技術水平和團隊協作能力，是網絡安全競賽舉辦的初衷。網絡安全競賽最早起源于DEF CON創始人Jeff Moss于年發起的一次BBS黑客競賽。此后，在各界的廣泛參與下，各類網絡安全競賽蓬勃發展。當前，網絡安全競賽類別主要包括：奪旗賽（CTF）、攻防賽、靶場賽、漏洞挖掘賽、運維賽、取證賽以及政策賽等。目前國內安全比賽數量眾多，適合于全方位安全知識的入門提升。經過年左右的發展，如今每年的高水平國際安全競賽有近百個，以美國、德國、俄羅斯、韓國、日本為代表的國家組織的安全競賽由于

144、其高水平的賽題，受到了全球對計算機和網絡安全感興趣的學生和安全行業從業者的熱烈參與和推崇，一批批安全人才在激烈的比賽中成長起來。作為發現人才、培養人才的有效途徑，近幾年國內各類網絡安全賽事也蓬勃發展。每年的高水平國家級競賽也有幾十場，各大部委均有發起官方賽事，僅年在全國各地已經舉辦或即將舉辦的國家級賽事中，就有由中央網信辦指導的第六屆強網杯全國網絡安全挑戰賽、公安部直接指導的第三屆“網鼎杯”網絡安全大賽以及教育部高等學校網絡空間安全專業教學指導委員會舉辦的全國大學生信息安全競賽實踐等知名賽事品牌，均受到了各行各業愛好或從事網絡安全相關工作的群體關注與參與。其中許多在校大學生通過大量賽事訓練，在

145、網站安全滲透測試、二進制漏洞挖掘與利用、密碼學等許多網絡信息安全相關的實踐技能方面獲得了很大的提高。網絡安全競賽的特點在于：一是模擬真實場景，能夠有效提升參賽人員的技術、溝通、領導、協調等各方面能力；二是環境安全可控，不會造成實際破壞和損失。網絡安全競賽對參與各方均有積極作用：-對于政府來說，網絡安全競賽是提升保衛國家、行業及公民能力的手段；-對于行業資質認定機構來說，網絡安全競賽越來越多地被視為資質維持所需的相關工作經驗；-對于專業人員來說，網絡安全競賽能夠鍛煉和展示專業技能、評估人員能力、提升意識和士氣，進而提高生產效率；-對于學生來說，中學和大學開展各種級別的競賽，在教學中補充動手實訓課

146、程，能夠豐富學習形式；-對于整個網絡安全領域來說，開展網絡安全競賽有利于在技術和戰術層面，以及在攻防兩個方面促進創新，推動知識、技術、技能和實踐的共享。網絡安全競賽也能夠給不能層次的人在技術上帶來提高：沒有網絡信息安全基礎的學生通過競賽，建立了安全攻防的概念；有初步基礎的學生，通過高質量賽題的實踐練習，提升了實戰能力；已經學有所成的學生，通過國際競賽和國際強隊比拼，開闊了視野。長遠來看，網絡安全專業競賽，不僅對于網絡安全人才攻防能力的提升大有助益，也能為前沿研究儲備人才，更能夠推動安全行業的發展。5.3.2 安全會議積極參與各類安全會議也是網絡安全人才提升攻防實戰能力的一種有效方法。在網絡安全

147、會議舉行的同時，不僅會有最新研究成果的發布，還可以與同行進行技術交流，有的會議還會組織與最新技術相關的技術培訓。每年夏季在美國拉斯維加斯舉行的BlackHat黑帽大會和DEF CON大會是網絡安全相關專業研究人員心中的盛會。能作為Speaker（演講者）登上黑帽大會或DEF CON大會，展示在網絡攻防領域的最新研究成果是許多安全研究團隊的夢想。近年來，上海交大、騰訊、盤古等多個中國安全研究團隊的議題登上黑帽大會的講臺。大會期間，除了邀請研究人員發布安全漏洞破解和安全技術研究成果外，還會交流和討論攻防技術、策略，為參會人員提供專業安全訓練，是網絡安全人才了解攻防技術趨勢，提升攻防能力的絕好機會。

148、5.3.3 培訓認證政府、大學和研究機構，專業組織和商業機構等針對網絡安全人才攻防能力的培訓和認證活動包括：提供培訓課程、會議、產品技術的專業認證等。目前，具有較高的權威性和認可度的網絡空間安全攻防能力相關的國際培訓和認證包括：.美國國家網絡安全學術卓越中心計劃（NCAE-C）美國國家網絡安全學術卓越中心計劃（NCAE-C，National Centers of Academic Excellence in Cybersecurity）由美國國安局聯合美國網絡安全和基礎設施安全局（CISA）推出，旨在指導美國社區學院、學院和大學等學術機構，建立網絡安全課程和學術卓越標準，組織網絡安全實踐，提升

149、全國網絡安全教育，培養下一代網絡安全專家。該計劃是一種對教育機構從事網絡安全人才培養能力的認證，分為三類認證：CAE-CD，國家網絡防御學術卓越中心（National Centers of Academic Excellence in Cyber Defense）CAE-R，國家網絡研究學術卓越中心（National Centers of Academic Excellence in Cyber Research）CAE-CO，國家網絡運營學術卓越中心（National Centers of Academic Excellence in Cyber Operations）目前美國已經有多所院校

150、通過CAE-CD認證，所院校通過CAE-R認證，所院校通過CAE-CO認證。.國際信息系統安全認證聯盟(ISC)（International Information Systems Security Certification Consortium）網絡安全人才攻防實戰能力評價分析 CISSP（注冊信息系統安全師）CCSP（注冊云安全師）.信息系統審計與管控協會ISACA（Information System Audit and Control Associa-tion）CISA（注冊信息系統審計師）.國際電子商務顧問局 EC-Council（International Council of

151、E-Commerce Consul-tants）道德黑客 CEH（Certificated Ethical Hacker）CPENT（認證滲透測試專家）.美 國 計 算 機 行 業 協 會 CompTIA（Computing Technology Industry Associa-tion）CompTIA Security+.思科Cisco公司 CCIE(Cisco Certified Internetwork Expert)-Security國內認可度較高的網絡安全攻防能力相關培訓認證有：.中國信息安全測評中心認證 CISP（注冊信息安全專業人員）CISE（注冊信息安全工程師）.公安部的網絡

152、安全等級測評師認證.華為公司安全工程師職業技術認證 HCIA-Security（工程師）HCIP-Security（高級工程師）HCIE-Security（專家）.杭州華三通信技術有限公司H3CSE-Security（安全技術高級工程師）認證5.3.4 安全眾測安全眾測是一種新興的網絡安全測試方法,它依靠網絡上的工作者幫助完成測試任務，具有成本低、效果好、速度快的特點。網絡安全眾測是通過互聯網平臺聚集安全人才對特定目標系統開展安全測試的新型安全服務模式，是一種指向性明確的、開放的、經授權的滲透測試。網絡安全眾測作為蓬勃發展的網絡安全產業應用，在許多重要行業領域如金融、通信、工業等均有強烈的應用

153、需求。在網絡安全眾測任務中，廠商或平臺將測試目標資產及相應的規則（比如禁止DDoS攻擊，禁止修改數據，禁止高強度掃描行為等）在特定的人員和時間范圍內進行公示并設立相應的獎項和酬金，公開招募安全人員對其進行安全測試并反饋安全漏洞信息，按照實際的測試效果對安全人員進行激勵。這種開放式安全測試模式能夠有效突破原先在封閉式環境下由有限的測試人員和工具進行安全測試的局限性，大幅提高了測試人員的數量和效率，從而能夠在有限的資金和時間投入下，實現安全測試效果的最佳化。網絡安全眾測遵循開放、公平、公正的原則，主要適用于面向公網開放的信息系統的安全測試工作，采用預先設定測試目標和獎勵辦法，先提交者先得獎勵，漏洞

154、等級越高獎勵越高，安全測試查找漏洞過程的同時也是各個接受測試任務的安全人員比速度、比能力的競賽過程。年月美國國防部（DoD）宣布，邀請名白帽子參與“黑進五角大樓”的漏洞賞金計劃，體現了美國最高國防機關對網絡安全眾測的開放態度。從年月日至月日，在短短的一個月內，共有約位安全人員報告了五角大樓存在的漏洞隱患，最終有人被確認符合獎勵資格，并獲取了到,美金不等的獎金。據統計，該計劃共為此支付了多達,美元的獎金。在這次漏洞賞金計劃中，最年輕的獲獎者年僅歲?？梢姳姕y項目對于年輕的網絡安全愛好者來說，是個極好的鍛煉和嶄露頭角的機會。在我國，i春秋、補天、漏洞盒子等眾測平臺以及企業的SRC等平臺通過等級貢獻表

155、、排行榜、積分獎勵以及各類挑戰活動、技術分享會等線上和線下活動等方式，也吸引了不少年輕的白帽，是網絡安全人才成才成長的平臺。在i春秋的白帽成長體系中，把白帽由低到高分為青銅、白銀、黃金、鉑金、鉆石、星耀等等級。5.3.5 攻防演練網絡安全攻防演練是以獲取指定目標系統的管理權限為目標的攻防演練，由攻防領域經驗豐富的紅隊專家組成攻擊隊，在保障業務系統穩定運行的前提下，采用不限攻擊路徑，不限制攻擊手段的貼合實戰方式，而形成的有組織的網絡攻擊行動。攻防演練通常是真實網絡環境下對參演單位目標系統進行全程可控、可審計的實戰攻擊，擬通過演練檢驗參演單位的安全防護和應急處置能力，提高網絡安全的綜合防控能力?！?/p>

156、網絡風暴”（Cyber Storm）是美國網絡安全和基礎設施安全局（CISA）舉行的國家級網絡活動，是全美范圍最廣的網絡安全對抗演習，始于年，每兩年在美國本土舉行一次?！熬W絡風暴”演習將政府(聯邦、州政府)、行業機構、國際合作伙伴以及私營企業（如關鍵基礎設施類企業以及高科技企業）聚集在一起，一般以先前發生的真實事件為基礎，模擬對影響國家關鍵基礎設施的網絡危機的響應，通過演練最新的應急響應政策、流程和程序，加強美國在應對影響范圍波及多個行業的網絡攻擊的網絡安全戰備和應急處置能力?！熬W絡歐洲”(Cyber Europe)是由歐盟網絡與信息安全局（ENISA）主辦的由歐盟國家、歐洲自由貿易區（EFT

157、A）以及歐盟各機構與部門參與的全歐范圍的網絡安全攻防演習，每兩年舉辦一次，用于測試并培養成員國攜手并解決跨境網絡事件的能力。剛剛結束的Cyber Europe涉及對歐洲醫療基礎設施的模擬攻擊，來自歐盟個國家和歐洲自由貿易區(EFTA)以及歐盟機構和機構的多名網絡安全專家參與了演習。年開始，我國對網絡攻防演練的重視和實戰提上日程，并且在近幾年不斷常態化，民間機構、各大企業也嘗試開展日?；墓シ姥菥?，而網絡靶場產品的涌現和應用則進一步推動了攻擊演練的發展。護網行動是由公安部組織的國家級網絡安全攻防演練，每年舉辦一次，針對機關和企事業單位的網絡安全領域的真刀實槍式的攻防演練，用以評估企事業單位的網絡

158、安全網絡安全人才攻防實戰能力評價分析活動。攻防演練主要目標涵蓋國家重要行業的關鍵信息基礎設施，每年覆蓋行業、單位、系統都在逐漸擴大。公安部組織進攻方在一段時間內（一般半個月）內對防守方發動網絡攻擊，檢測出防守方（演練目標）存在的安全漏洞。通過真實網絡中的攻防演練，可以全面評估目標所在網絡的整體安全防護能力，檢驗防守方安全監測、防護和應急響應機制及措施的有效性，鍛煉應急響應隊伍提升安全事件處置的能力，更能夠鍛煉和快速提升網絡安全人才的攻防能力，有助于形成一支訓練有素、經驗豐富的應急響應團隊。5.4 網絡安全人才攻防實戰能力提升路徑人才培養的途徑包括院校培養、企業培養、機構培訓、個人自學等方式。如

159、何將這幾種方式合理結合或打通，形成有效的網絡安全人才攻防實戰能力提升路徑，促進人才的不斷涌現？建議首先建立統一的網絡安全攻防實戰能力框架，形成對人才培養的指導，進一步對網絡安全攻防實戰能力相關課程/培訓進行認證認可，同時通過“競賽選拔、分類提高、職業引導”的方式，將競賽、眾測、攻防演練、技術分享等方式相結合，形成常態化攻防人才成長通道。5.4.1統一的網絡安全攻防實戰能力框架建議參照美國的“國家網絡空間安全教育計劃”（National Initiative of Cybersecuri-ty Education，NICE），首先由國家有關機構主導，建立統一、公開的“網絡安全人才隊伍框架”或“網

160、絡安全攻防實踐能力框架”（以下簡稱為“能力框架”），明確網絡安全人才攻防實戰能力的具體要求。在該能力框架的指導下，各院校、企業、個人學習者都可以找到適合自身的內容加以建設，或找到合適的定位和發展方向。美國國家網絡安全教育計劃（NICE）由美國國家標準技術研究院NIST 牽頭，國土安全局（DHS）、國防部（DoD）、教育部（ED）、美國國家科學基金會（NSF）、國家情報總監辦公室（ODNI）、美國聯邦人事管理局（OPM）等共同領導。該計劃于年計劃啟動，年正式發布 NICE網絡安全人才隊伍框架（NICE Cybersecurity Workforce Framework，NIST SP-）（以下簡

161、稱“NCWF框架”）。該文件提出了網絡安全人才角色分類、知識能力框架，可用于評估工作人員的專業化水平，為預測未來網絡安全需求推薦最佳的實踐活動，為招募和挽留人才制定國家策略。NCWF框架通過對行業內分析各類組織的職位描述的分析（包括公開渠道、DoD 和聯邦政府內部數據），并通過廣泛、充分的行業內討論對安全行業內的工作類型、專業領域、工作角色、知識、技能、能力和任務進行了體系化的梳理。該框架用類別（Category）、專業領域（Specialty Area）和工作角色（Work Role）來描述網絡空間安全工作，每個工作角色由大量獨立的工作任務（Task）和與之對應的 KSA（知識、技能、能力的

162、統稱）組成，見-。圖5-4 NCWF框架圖5-5 ASK-P框架不可否認的是，網絡安全作為一門實踐性極強的學科，對人員攻防實戰能力的評價離不開基礎知識、基本技能以及能力水平等維度的考核。而面對日益復雜的網絡環境，如何更有效地規避各類網絡安全風險，除了知識與技能的必要保證，最根本的人員安全意識恰恰是最容易被忽略、也是最可能以低成本減少安全風險的版塊。NCWF框架的工作角色（WorkRole）中對“能力”的檢驗需要通過具體實踐（Practice）來衡量，同時實踐也是提升與檢驗知識和技能最好的方式，更能直接衡量培養效果。而學習知識（Knowledge）、具備技能（Skill）的前提是意識（Aware

163、ness），所謂意識決定行為，有了良好的意識才能主動學習知識，積極提升技能，有參與實踐的能力和意愿，才會有更高的積極性去了解行業規范及所需能力等。這里將網絡安全人才培養模型分為意識、技能、知識、實踐四個維度，每個維度對應的子模塊示意如圖-所示。網絡安全人才攻防實戰能力評價分析從模型來看，K（知識）是最容易獲得的，S（技能）需要持續訓練，在實際工作的工程實踐中才能獲得綜合P（實踐），而A（意識）是貫穿始終的。安全意識體系-提升安全意識（A）首先，要讓網絡安全從業人員建立一個良好的職業素養，從意識上先認可并重視網絡安全相關崗位。安全意識獲取是主觀認知，用來判斷價值、影響行為，個人在網絡設備使用和網

164、絡系統使用過程中的操作或活動對網絡安全風險的感知意識、防范意識和行為意識，這些都涉及人的態度和情緒。安全意識的形成至少要經過價值判斷和情緒反應兩個階段，除了直接影響安全的行為因素，也包含品德、職業精神，對工作的負責程度等間接影響因素。所以安全意識培訓是要讓大家認識到“為什么學安全”，了解本崗位知識及技能需求，從價值判斷上知道安全意識培訓的價值和自我成長的價值，從而建立良好的職業素養。安全技能體系-提升應用技能（S）其次，在安全崗位中需要人員具備實際操作能力，不管處于什么崗位，都要能承擔起崗位職責，要具備處理崗位工作的技能。在具備高度安全意識前提下，加強技能的訓練，以滿足項目與工作的需求。安全技

165、能的獲取是實操訓練，通過網絡安全技能提升實驗、仿真環境專業實訓、實操演練等培訓方式，提升技術能力、實操技巧、協作溝通能力等，以做到能夠將技能學以致用。安全知識體系-掌握專業知識（K）再次，根據網絡安全崗位的人才等級需要具備的知識體系開發系列課程，知識域可分為安全知識、專業知識、拓展知識、設備與工具知識等內容，確保具備崗位的專業知識，并為后續的綜合實踐打下理論基礎。安全知識的獲取是客觀記憶，而網絡安全又是一個交叉學科，除了涉及數學、通信、計算機等自然科學知識外，還涉及法律、心理學等社會科學知識，對于網絡安全知識的學習是要建立一個多領域的復雜知識系統。知識可以體系化主動學習，也可以從經驗中直接獲得

166、，也可以通過他人傳授間接獲得，認知心理學對大腦的研究發現，知識在人的大腦中是以分類樹狀結構存儲的。所以想要掌握安全知識靠的是學習和思考。安全實踐體系-進行崗位實踐（P）最后，通過攻防實戰演練、攻防競賽等實踐形式，進行業務能力提升的崗位實踐。將知識與技能融會貫通，綜合利用各種技術和非技術手段，動態提升實戰攻防的工程實踐能力，挖掘前沿技術，發現安全風險趨勢，輸出知識沉淀內容，繼而形成新一輪培訓的良性循環。網絡安全是強調實戰能力的實踐性學科，尤其面對現在“萬物互聯”的復雜網絡空間環境，我們面對的網絡安全威脅可能來自技術的和非技術的攻擊手段，比如利用“電腦漏洞”發起的技術攻擊和利用“人腦漏洞”發起的社

167、會工程學攻擊。不能僅僅孤立的掌握安全意識、安全知識和安全技能，還需要將意識、知識、技能融會貫通，具備綜合實踐能力。5.4.2網絡安全攻防實戰能力課程/培訓認可高等院校培養，包括普通大學、高職高專、民辦高校等，是人才批量化培養的主要方式，也是為人才提供基礎知識儲備、系統性理論支撐教育的重要保證。但院校培養體系在具備系統化、理論化和學術化等特點的同時，在針對性、實用性、靈活性、技能性方面存在不足。企業培訓一般圍繞特定崗位或任務展開，針對性、實用性強、靈活度高，強調技能實操，但缺少系統理論上的指導，人才發展后勁不足。機構社會化培訓方面，參與培訓人員往往以取得證書或者提升能力實現就業為目標。在網絡安全

168、方面，尤其是網絡攻防領域，新技術、新方法層出不窮，也較容易形成熱點，培訓機構蜂擁而上，導致各類培訓證書層出不窮，魚龍混雜，難斷高下。建議在統一的“能力框架”的基礎上，形成一批高校、企業、培訓機構的認證（認可）課程或認證（認可）證書。各高校、企業、培訓機構在相關課程培訓中，如果內容覆蓋有“能力框架”中足夠的知識點、技能點，可以向有關機構進行報備獲得認可（類似于學歷認證）。根據不同領域、不同專業的要求，覆蓋知識點、技能點的情況，獲得足夠的認可證書或通過足夠的認可課程，相當于取得了相應級別的能力認證。相應的課程、證書也可以成為企業人才招聘的依據之一。5.4.3常態化攻防人才成長通道建議借鑒美國網絡挑

169、戰賽（USCC，US Cyber Challenge）的模式，通過建立常態化的“競賽選拔、分類提高、職業引導”的培養方式來打通院校和企業實際需求之間的網絡攻防人才成長通道。美國網絡挑戰賽（USCC，US Cyber Challenge）https:/www.uscyberchallenge.org/是由國土安全部支持的一項國家計劃，面向高中、大學和研究生開展競賽和現場培訓，旨在尋找和支持有才華的年輕美國人，發展他們的技能，獲得高級培訓，并獲得獎學金、實習和工作的認可，是美國挑選、吸引、培訓、招聘和吸納新一代網絡安全相關專業人員的重要項目。USCC由兩個計劃組成：Cyber Quests競賽以及

170、Cyber Camp計劃。Cyber Quests競賽一般每年舉行次，分別在春季和秋季，是一整套的在線挑戰，測試信息安全的基礎知識和動手能力，涵蓋從安全編碼到網絡監控任務。根據Cyber Quests的表現，參與者被邀請參加USCC組織的某一個Cyber Camp。Cyber Camps一般暑期舉行，安排在全國各大學或研究機構，是為期一周的線下研討會（年線上舉行），內容包括動手實驗、黑客競賽，會由領先的大學和行業頂級的專業人士介紹新概念和安全技術，并在滲透測試、偽數據包制作、網絡戰，甚至職業發展道路等方面進行指導。.競賽選拔：競賽選拔可以采用多種方式，如在線CTF、眾測、漏洞挖掘等，或多個賽道

171、，目的是要讓更多的自主參賽人員有進一步的上升途徑。讓他們體會到，競賽不是少數人的游戲、多數人的圍觀，而是得以進入到一個更大更廣的成長空間的入場券。網絡安全人才攻防實戰能力評價分析可以仿效DEF CON，設立一些授權外卡賽，或國內春秋杯通過春秋積分進行個人能力評定的春秋認證模式，取得相應外卡或積分的人員方可以申請進入下階段的培訓提高。在選拔過程中，應注意以下幾點：要實現競賽選拔人才與制定的“能力框架”之間的對應；要注意不同競賽之間，以及參賽個人和團體評價考核的標準化；要針對不同年齡階段、不同技術水平參與者設置不同的聯盟，形成競賽梯隊。.分類提高對通過競賽選拔出來的不同賽道、不同技術水平、不同年齡

172、階段的優秀人員分配進入每年夏季舉辦相應的全國性訓練營或研討會，或進行不同主題的集中培訓，著重加強某方面攻防實戰能力的提升。.職業指導在培訓的同時，選派資深的企業人員對參訓人員進行職業發展道路、成長路徑等方面的引導，還可以通過推薦實習、項目實踐等方式引導網絡安全人員提早進入專業/職業軌道，投身于網絡安全事業。通過這樣每年相對固定時間、常態化的“競賽選拔、分類提高、職業引導”的方式，可以吸引更多更廣泛的學生或社會人員投身于網絡安全事業，專注于攻防能力的提升，對于我國網絡安全人才的培養必然會形成良性循環。于各行業、各領域的從業人員而言，匹配其對應的崗位實踐進行能力提升無疑更為重要。與學生群體不同的是

173、，在這一方面，無論是從業人員自發性進行個人能力提升的行為，亦或是其所在企業單位創造或提供的各種能力提升途徑，均代表了從業人員這一群體的個人成長通道。概言之，以“實踐選拔、梯隊建設、價值引領”為核心的培養方式不僅能夠促進從業人員整體能力的提升，同時也能達到人才培養與企業發展相輔相成、彼此成就的最終目的。.實踐選拔從業人員與學生群體在進行個人能力提升時最大的不同在于所處的崗位與職責，而這些也是實踐經驗的一部分。企業通過組織一系列攻防演練與競賽比武等實踐活動，進行常態化人員檢驗與磨礪。既能發現并及時處置安全風險，有效檢驗整體網絡安全防護水平和應急處置能力，又能鍛煉隊伍，選拔人才。此外，作為企業員工通

174、過積極參與內外部的安全競賽、攻防演練，甚至眾測等實踐活動，在提升自身實踐能力的同時，取得的成績也可以作為有效選拔的依據，證明自身的能力價值。.梯隊建設通過各種實踐方式對不同部門、不同崗位、不同方向的網絡安全從業人員進行分級分類，建設多層次專業化的網絡安全人員梯隊，按照實踐經驗與擅長技能分別進行人員與工作崗位的專業匹配。員工根據自身的職業發展可以明確成長路徑，進行針對性的能力提升。.價值引領一方面企業承認員工在實踐過程中取得的榮譽，并通過晉升、調薪等直接有效的方式給予認可；另一方面，各地方、各單位針對網絡安全技術人才陸續出臺的福利政策，對從業人員的積極性有極大的促進作用。作為從業人員自身而言，無

175、論是出于企業硬性規定與要求進行自我學習與提升，還是基于未來發展與規劃而做的努力，都可看做是個人成長道路上的價值引領。微觀層面上，每一個從業人員不同的訴求、不同的價值驅動，體現在宏觀層面上，其產生的結果均是在結合知識、技能與在崗經驗的協調與平衡后，個人能力提升與企業穩健發展的良性互動。網絡安全人才攻防實戰能力評價分析6.1 院校人才培養體系建設建議 6.1.1 理論教學體系建設網絡安全學科是一門實踐性極強的學科，面向網絡安全人才實戰能力的培養，院校的人才培養體系應開設針對性的實踐性課程，同時開設攻防實戰相關課程及培訓，這對課程內容的深度和系統性應有更高的要求，培養學生能理論結合實際應用綜合分析問

176、題、對前沿技術的探索、攻防博弈思想的理解及綜合構建知識體系的能力，以提高學生的網絡安全實戰能力。企業講師進駐理論和實踐課堂，為學生帶來企業一線的最新內容、實時內容。鼓勵企業深度參與院校網絡安全人才培養工作，從培養目標、課程設置、教材編制、實驗室建設、實踐教學、課題研究及聯合培養基地等各個環節加強同院校的合作。企業根據學校制定的教學大綱和計劃，與教師進行教材編制、配套實踐教學內容設計，讓理論教學與實際需求結合的更加緊密。以知識點需求和應用為主線，采用經典+前沿的方式對各個技術領域進行系統性介紹，確保教材內容的完整性和前沿性，同步開展實驗資源與教學互動平臺建設，提升課程建設質量。6.1.2 實踐教

177、學體系建設網絡安全人才的實戰能力與行業企業需求仍然不匹配，解決實際問題能力仍然不足。需要推動校企合作，參與網絡安全課程建設，建立校外實習實訓基地，將實戰需求與課程學習有機結合。通過師生走進企業、企業進入校園等多種方式，共同培養符合企業用人需求的、高水平的網絡安全實戰人才。建立聯合創新研發機構，加快產業技術轉化，共享技術研發成果。廣泛開展院校與企業的項目合作，開展建設合作項目。廣泛深入開展協同育人項目，設立優質聯合創新研發實驗室，建立校企協同創新中心，通過協同創新，加快推進科研成果產業化，助力相關產業高質量發展。院校與網絡安全企業合作，進行各種形式校企合作，引導行業企業加入創新創業人總結和建議第

178、六章才培養體系，從培養目標、課程設置、教材編制、實驗室建設、實踐教學、課題研究及聯合培養基地等各個環節加強同院校的合作。積極探尋學生與院?？蒲袌F隊的合作模式，使學生在科研過程中體驗實際科研團隊的工作，真正真實地參與實際科研活動，豐富學生自己的網絡安全技能，在此過程中全面提升網絡安全工程及攻防實戰能力。推進科教融合，不僅包括高等院校與科研院所的聯合，還包括高校內部科研活動與教學活動的融合。實現科研與教育的有機融合，推動科技創新全過程與人才培養全過程的緊密結合，把科研創新成果轉化為教學內容,把科研項目轉化為學生工程實踐案例，把一流的科研平臺與科研設施轉化為學生學習平臺與實踐環境。推進產教融合，既充

179、分發揮企業的工程實踐主體作用，又緊密對接社會對人才的需求。深化產教融合，實施校企合作，改革人才培養模式，創新考核機制，創新合作模式，總結在實施過程中存在的問題和不足，進一步創新提升專業人才培養質量為核心的“產學研一體”任務化教學人才培養模式，以及以企業真實項目為任務的教學模式，將教、學、產、創等教學環節相結合相融通，是提升學生學習效果、實際上手操作能力、學生職業素養的更好方式，更加有利于培養學生的創新實踐能力和綜合應用能力。6.2 企業單位人才培養建設建議企業單位的人才培養建設包括人員培訓、競賽演習、高校深造、高校聯合培養等方式。需要將這幾種方式持續執行并有機結合，形成企業單位的網絡安全人才攻

180、防實戰能力提升路徑，促進網絡安全人才的培養，成長與涌現。加強人員培訓和培養，定期開展網絡安全攻防實戰，網絡安全管理等方面的專題培訓講座，在完成培訓后，可以對人員進行網絡安全知識的考核，強化企業單位人員的網絡安全意識。通過培訓、教育、考核等諸多措施，實現企業單位網絡安全人員應對網絡安全風險的能力。在培訓中，選派資深的網絡安全人員對參訓人員進行職業發展成長等方面的引導，對企業的網絡安全人才的培養形成良性循環。開展網絡安全類攻防競賽演習訓練和競賽活動，組織員工參加國家級網絡安全競賽，在實戰中評估企業單位網絡安全水平，在實戰中挖掘，檢驗并培養網絡安全人才，提升企業單位網絡安全實戰能力和水平。支持高等院

181、校引進企業單位的網絡安全領域高端人才，支持網絡安全領域人才赴高校培訓進修。以此結合理論與實踐的結合，改善參訓的企業單位網絡安全人才的知識結構，進一步提升他們的網絡安全攻防實戰能力。鼓勵企業單位參與高校網絡安全人才培養工作，校企共同合作，共同設立人才培養項目，構建“頂尖人才引進+基礎人才培育+實用人才培訓”的梯度人才體系，打造良性的，可持續發展的網絡安全人才梯隊建設。鼓勵企業單位參與高校人才培養工作，統籌各自優勢資源配置，積極完善網絡安全學科布局，培訓不同崗位的專項人才，培養“學術型+應用型”復合人才，推進形成以產業需求為導向、以崗位能力為基礎的人才培育模式，加快培育高層次、跨領域、創新型、實用

182、型的人才和團隊?？偨Y和建議打造具有豐富行業企業經驗與教學經驗的雙師型團隊是提升院校與企業合作水平極為重要的舉措。按照企業需要，實施校內+企業聯合培養；企業導師，案例加實踐分享；建立企業與高校雙導師制，突出人才培養的實用性和實效性，培養復合型人才。6.3 政府扶持政策建議對于網絡安全人才的培養體系，政府配套的扶持政策要扮演重要的角色，各級政府需要積極參與引導，政府作為外部力量逐步將重心轉移到對整個校企合作的規范性建設，推動在法律、標準框架以及產學平臺和聯盟的制定與搭建，作為學校和企業的自身局限性的外部支撐和保障，同時也是整個合作有序運轉，促進雙方內生性動力所必須的適配性環境。政府應該在政策上制定

183、更加有利的政策和制度。如科學規劃、營造氛圍、鼓勵創業，簡化公司注冊的程序，舉辦一些活動促成企業與高校的聯合，進行輿論引導等等。建議政府大力增加職業教育的財政投入，支持院校有序改善條件，適應產業發展和市場用工的需求。引導、鼓勵、支持企業參與大學教育，關鍵是能出臺相關的政策、規定，提高企業參與的主動性和積極性。各級政府從地方經濟社會發展的高度，規劃職業學校和企業的發展，統籌校企合作，將校企合作任務作為推動區域經濟發展的重要手段，建立政府主導、職業學校和企業為主體、行業協會為中介的校企合作發展新機制。校企合作只有在政府統籌和支持下，部門、企業和學校才能在校企合作上建立有效的合作模式與機制，校企合作才能夠真正實現，達到雙贏的目的。各級政府必須從地方經濟社會發展的高度，規劃職業學校和企業的發展，統籌校企合作，將校企合作任務作為推動區域經濟發展的重要手段，建立政府主導、職業學校和企業為主體、行業協會為中介的校企合作發展新機制。堅持產教融合、教產合作、校企一體和工學結合的改革方向，提升職業教育服務區域經濟發展和改善民生的能力。