|【退出】

杜跃进:网络安全对抗赛是人才培养的未来

2015-08-28 中国教育网络

  安全人才培养的话题近两年很热,为什么会热?这是因为安全人才培养出了问题。越来越多的人发现人才不够用。

  安全对抗就是一部孙子兵法 

  安全人才的困境原因多种,究其原因是安全的对抗属性。网络安全本身的一个最大特点就是蓄意对抗。我经常开玩笑说,在网络安全领域里最重要的是孙子兵法,因为对方是故意的,情况复杂多变,对方会寻找一切我们的薄弱点来达到目的。这个挑战巨大。体现在:

  第一,新技术发展迅速,业务发展迅速,不同的领域、系统越来越复杂。今天的信息系统已经不是过去简单的计算机系统,今天的安全要解决的问题也不是防护某一个硬盘里的一个数据,而是在互联网业务系统的安全,所以客观上看,网络安全越来越复杂。

  第二,主观上,我们的对手非常聪明并不断寻找我们的弱点。举个简单的例子,就如同现代医学面临的越来越复杂的病毒变异,是一样的道理。

  关于人才认定的问题。很多非常出名的安全工作者,落不了户口,我们寄希望于国企能为安全撑起一片天,但这些人才,并不能进入国家队。甚至连个职称都没有。这是一个很重要的问题,我们如何来衡量安全人才?安全是一个对抗的过程,变化莫测,拳坛上的拳击手今天是世界巅峰,明天可能就一文不值。对人才标准的调整以及认定人才的能力维持,如何保持高的竞技水平都是要考虑的问题。今天来看,认定变成一些机构的金饭碗,那么,认定的方法是什么?有多少拿了证书的人去想维持这个证书的水平?我没有答案。

  此外,人才使用的问题,安全人才如果没有用对,本身就是一个浪费,有些用人单位并没有意识到这一点。最后是人才缺口的问题。究竟我们缺哪些人?做安全只需要白帽子吗?这都需要仔细思考。有些人理解偏了,白帽子非常重要,但是对于用人单位来说,安全只有白帽子就走到另外一个错误的方向。我们到底缺哪些人?解答这个问题并不容易,今天所面临的业务环境变化太快,并且是不停在变。

  一级学科解决不了现实问题 

  安全人才培养有客观培养和社会培养两条线。

  客观培养,即高校科班培养。这是近几年讨论非常多的一个问题,高等教育培养出来的人才,用人单位总觉得不好用。2004年起,全国很多高校设立了安全专业,到今天信息安全一级学科终于成立,这是否意味着网络空间安全人才培养就没有问题了?不可能。这仅仅意味着这个工作刚刚开始。因为过去存在了许多年的问题,今天依然得不到解决。

  简单地说,如果师资、教材以及资源与环境的问题,这三个问题没有得到有效解决,那么,我们和2004年时并没有区别。

  首先是师资。2004年很多高校成立了信息安全专业,但是老师在哪里?没有那么多有经验的老师,怎么可能教出好的学生?我们如何培养优秀的信息安全教师?

  第二是教材。技术变化非常快,而且非常复杂,主观上对手变化更快,我们的教材如何适应?很多基础学科的教育,其教材甚至是很多年一成不变的,然而安全领域,这是完全不可行的,教材如何跟得上形势变化,非常关键。

  第三,资源和环境。今天人人都说未来安全是大数据,但是大数据在哪里?学校里有吗?存得下来吗?有条件计算吗?会计算吗?太多真实的网络信息安全的场景,高校里是没有机会接触到的,这种状况如何能培养出好的学生?

  这些问题一直摆在我们面前,如果不能解决,网络空间安全成为一级学科也解决不了困局。

  另一个问题是社会培养的问题。众所周知,这个圈子里有很多不是科班出身的人,一切都是兴趣,他们的兴趣得到了健康的成长,在这个过程中得到了能力的培养,但是在今天,环境越来越严苛,像过去那样科班之外的人是很难成长起来的。

  对抗赛打造开放真实的环境 

  安全竞赛有三类,每一种竞赛的立意并不相同。

  第一类是挑战赛。这类比赛在于寻找真实系统真实存在的问题,它的价值在于找到真实的问题,想办法去解决它。这个过程中,展现的可能是背后团队的能力,仅在个人身上表现出来。因此,严格地说,这类比赛发现人才只是辅助的价值,主要的价值是发现新问题。

  第二类是创意赛。即发现新方法。比较好的创意赛如DAPAR的竞赛,设定一个话题,大家八仙过海,各显其能,方法不限。最佳的创意赛是用客观的方法来评价的。

  第三类是对抗赛,我觉得CTF是目前成熟的一种,目的是发现人才,在同等的条件下展现能力,是综合的展现。

  竞赛的最关键原则是,公正和公平。说起来容易,做起来太难了。如何做?在很大的原则中,提出一个问题,如何做到这一点?是一个开放的组织环境。组委会、技术委员会,监督委员会,各司其职,形成一个开放的组织体系。天然地判定不公正,这是一个客观的社会心态,要想尽一切办法,来打消这个顾虑。

  关于XCTF的前身和未来,我们主要的目的是将它打造成为中国网络安全对抗赛的“NBA”,我们希望打造一个联盟。XCTF是什么意思?就是有越来越多的CTF,采用统一的理念统一的标准,用一致的步调,实现类似于NBA的联盟。我们的愿景,是让XCTF成为世界级的CTF平台。

  当然,XCTF包含有人为的环境在内,这与人才培养中所说的真实环境是有差距的,那么,有没有可能更加开放,来吸引更多的人参与到比赛环境设计制作中,让对抗环境更好地贴近真实环境?这是我们下一步需要努力达到的目标。(本文根据阿里巴巴集团安全部副总裁杜跃进在Whitehat网络安全技术论坛上的演讲录音整理)