網(wǎng)絡(luò)安全法正式實施5年了。

這5年，是網(wǎng)絡(luò)安全法治化體系化日趨完善的5年，也是我國網(wǎng)絡(luò)安全產(chǎn)業(yè)黃金發(fā)展的5年。

賽迪顧問數(shù)據(jù)顯示，2016年，我國網(wǎng)絡(luò)安全市場規(guī)模為336.2億元；而2021年，市場規(guī)模達到900多億元。

然而，在這5年近3倍的高速增長背后，卻是網(wǎng)絡(luò)安全行業(yè)人才供需失衡——如今，國內(nèi)網(wǎng)絡(luò)安全專業(yè)人才累計缺口超140萬人，首席安全官（CSO）更是整個網(wǎng)絡(luò)安全行業(yè)中的極度稀缺人才。

網(wǎng)絡(luò)攻擊并不遙遠

在大多數(shù)人眼中，網(wǎng)絡(luò)攻擊似乎是個遙遠的詞匯。但事實上，近年來針對民生領(lǐng)域的網(wǎng)絡(luò)攻擊時有發(fā)生，尤其關(guān)鍵基礎(chǔ)設(shè)施成為首要攻擊目標。

4月28日，北京健康寶在使用高峰期間就曾遭受到“境外網(wǎng)絡(luò)攻擊”。

事后據(jù)360網(wǎng)絡(luò)安全研究院披露，這是一起典型的網(wǎng)絡(luò)拒絕服務(wù)攻擊（DDoS攻擊）事件，攻擊者利用大量被入侵的網(wǎng)絡(luò)設(shè)備，比如，個人電腦、服務(wù)器等，向被攻擊對象服務(wù)器發(fā)送海量的網(wǎng)絡(luò)流量，影響其正常服務(wù)。

為北京健康寶提供網(wǎng)絡(luò)安全服務(wù)的是北京東方棱鏡科技有限公司。該公司保障團隊進行了及時有效應(yīng)對，受攻擊期間北京健康寶相關(guān)服務(wù)未受影響。

北京東方棱鏡科技有限公司董事長何華，全國工商聯(lián)大數(shù)據(jù)（網(wǎng)絡(luò)安全）委員會委員，涉足網(wǎng)安行業(yè)已近30年。

何華對《法治周末》記者回憶，1992年，他進入網(wǎng)安行業(yè)時，國內(nèi)還沒有單獨的網(wǎng)絡(luò)安全行業(yè)，市面上只有殺毒軟件，包括公安部出的kill軟件、江民出的kv系列軟件等。

那時整個信息化軟件行業(yè)都剛剛開始，軟件還是DOS時代，硬盤、內(nèi)存還是按兆計算的，每個人都可以創(chuàng)造創(chuàng)新，都可以獨立改變時代，高手都用匯編語言寫程序，軟件逆向破解很有市場。何華就是從軟件逆向破解、編寫殺毒軟件入行的。因為有了網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)要求，當(dāng)前軟件破解行為成了敏感內(nèi)容。

1997年，何華發(fā)現(xiàn)微軟Foxpro軟件漏洞并匯報給微軟，當(dāng)年開始獨立創(chuàng)業(yè)。之后在啟明星辰(19.730, -0.23, -1.15%)公司擔(dān)任研發(fā)負責(zé)人、專家團專家直到2014年，然后就創(chuàng)辦了現(xiàn)在的棱鏡科技公司。

1999年，美國轟炸中國駐南聯(lián)盟大使館事件，民族情緒激增，促使中美紅客網(wǎng)絡(luò)大戰(zhàn)，何華也是主要參與者之一。2000年以后，我國也開始重視網(wǎng)絡(luò)安全行業(yè)了，2004年9月，公安部聯(lián)合國家保密局、國家密碼管理委員會辦公室、國務(wù)院信息化工作辦公室共同發(fā)布了公通字【2004】66號文《關(guān)于信息安全等級保護工作的實施意見》，這份法規(guī)文件的發(fā)布標志著等級保護工作在我們國家已開始正式推動實施。

時代滾滾向前，30年后的網(wǎng)絡(luò)發(fā)展，已非30年前所能想象。

“如今，世界大國都將網(wǎng)絡(luò)作為謀求戰(zhàn)略優(yōu)勢的新手段，對內(nèi)不斷加強頂層設(shè)計、能力建設(shè)和安全審查，對外搶抓網(wǎng)絡(luò)空間控制權(quán)、規(guī)則制定權(quán)和話語權(quán)。”中國網(wǎng)絡(luò)空間安全協(xié)會人才培養(yǎng)專家組常務(wù)副組長、國科華盾（北京）科技有限公司高級副總裁潘彭丹對《法治周末》記者說。

隨著網(wǎng)絡(luò)安全強國建設(shè)目標在國家戰(zhàn)略層面的高度不斷提升，網(wǎng)絡(luò)安全能力提升成為我國“十四五”期間的重點工作任務(wù)，網(wǎng)安能力提升將是我國快速實現(xiàn)數(shù)字經(jīng)濟轉(zhuǎn)型的重要能力支撐。

“國家相繼頒布了網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個人信息保護法、網(wǎng)絡(luò)安全審查辦法等法律法規(guī)和規(guī)范性文件，對企業(yè)的信息安全能力建設(shè)提出了更高的要求，也進一步壓實了企業(yè)的網(wǎng)絡(luò)安全責(zé)任?！迸伺淼ふf。

人與人之間的攻防對抗

“網(wǎng)絡(luò)安全行業(yè)的本質(zhì)是人與人之間的攻防對抗。”河南金盾信安檢測評估中心有限公司董事長、河南省法學(xué)會網(wǎng)絡(luò)與信息法學(xué)研究會常務(wù)副會長兼學(xué)術(shù)委員會主任梁宏對《法治周末》記者說，隨著信息技術(shù)的快速發(fā)展，國家、企業(yè)層面的網(wǎng)絡(luò)安全空間競爭越演越烈，歸根到底是人才的競爭。人才隊伍建設(shè)是整個網(wǎng)絡(luò)安全行業(yè)合規(guī)管理機制建立健全的核心。

如今的計算機網(wǎng)絡(luò)安全技術(shù)不僅包括計算機硬件設(shè)備的抑制和防止電磁泄漏（即TEMPEST技術(shù)）、防盜、防自然災(zāi)害等技術(shù)，還包括數(shù)據(jù)加密、智能卡及防火墻技術(shù)等訪問控制及信息保密策略設(shè)計。

梁宏說，這意味著，成為一名網(wǎng)絡(luò)安全技術(shù)專家不僅要懂得計算機硬件設(shè)備，還需了解各類軟件程序上的漏洞，并要對潛在的安全隱患進行過濾。

換句話說，網(wǎng)絡(luò)安全崗位并非傳統(tǒng)概念上只要略懂計算機操作就能勝任的，網(wǎng)絡(luò)安全人才非常稀缺。

何華告訴《法治周末》記者，網(wǎng)絡(luò)安全從業(yè)人員的功力可類比武林高手，有用刀的、有做刀的，也有不用任何現(xiàn)成武器的高手。

在2000年的某次著名對抗中，由國內(nèi)網(wǎng)絡(luò)安全人士通過網(wǎng)絡(luò)自發(fā)形成虛擬戰(zhàn)隊，何華就是虛擬戰(zhàn)隊成員之一，屬于提供網(wǎng)絡(luò)武器的角色（做刀的）。虛擬戰(zhàn)隊攻克對手國網(wǎng)站，掛國旗，宣誓主權(quán)，宣泄對對方的憤怒。為了便于伙伴們更迅速地攻城拔寨，何華相繼開發(fā)了利用Solaris系統(tǒng)漏洞的提權(quán)工具、WIN2000系統(tǒng)的漏洞利用工具，破解了DEC小型機的管理工具等，通過利用這些工具，戰(zhàn)友才能順利地把國旗掛在對方的網(wǎng)站上，宣誓我們的網(wǎng)絡(luò)攻擊成果。

何華認為，網(wǎng)絡(luò)安全行業(yè)更是年輕人的天下，年輕時容易培養(yǎng)逆向思維，網(wǎng)絡(luò)安全工作很多方面需要在攻防、對抗角度去思考問題。

這與近幾年發(fā)布的《網(wǎng)絡(luò)安全產(chǎn)業(yè)人才發(fā)展報告》統(tǒng)計數(shù)據(jù)相吻合。數(shù)據(jù)顯示，近兩年來八成以上的網(wǎng)絡(luò)安全從業(yè)人員集中于25歲至40歲之間的中青年，過半都是35歲以下的，年齡在30歲至35歲之間的占比最高，約為35%。

結(jié)合工作年限來看，從業(yè)5年至10年的人數(shù)最多，為34.58%，10年至15年和不到5年的從業(yè)人數(shù)占比次之，分別為27.16%和18.5%，反映了網(wǎng)絡(luò)安全領(lǐng)域從業(yè)人群的年輕化現(xiàn)象。

“這說明網(wǎng)絡(luò)安全領(lǐng)域?qū)η嗄耆瞬糯嬖谳^高的吸引力，但資深人才儲備不足，以及新人培養(yǎng)和留育難度大，將成為企業(yè)普遍面臨的挑戰(zhàn)?！迸伺淼ふf。

在何華看來，現(xiàn)在很多年輕人不愛當(dāng)碼農(nóng)，但喜歡安服崗位，因為有挑戰(zhàn)，工作新奇，道高一尺，魔高一丈，網(wǎng)絡(luò)安全態(tài)勢日新月異，攻防、滲透工作每天都有新東西，與網(wǎng)絡(luò)對端看不見的陌生人對抗，經(jīng)過4年至5年的歷練，一般可以獨立作戰(zhàn)了。

“網(wǎng)絡(luò)安全行業(yè)的魅力在于與看不見的對手斗爭，你來我往，就像帶兵打仗一樣?！焙稳A理解，這才是網(wǎng)絡(luò)安全行業(yè)從業(yè)人員的核心工作。

在網(wǎng)絡(luò)安全攻防滲透方面，博士不一定就是高手，初/高中生也不一定就不行，有的初/高中生安服攻防滲透能力遠超本科、碩士、博士?！疤旆?，悟性，逆向思維，經(jīng)驗積累，機遇無處不在。”何華說。

何華表示，網(wǎng)絡(luò)安全行業(yè)比較敏感，可以亦魔亦道。有的人在國家隊為國家各行業(yè)單位網(wǎng)絡(luò)安全保駕護航，有的人進入上市企業(yè)成為正規(guī)部隊，有的在創(chuàng)業(yè)企業(yè)摸爬滾打，但也有大量黑灰產(chǎn)業(yè)鏈上的從業(yè)者。而黑灰產(chǎn)業(yè)從業(yè)人員是需要當(dāng)今網(wǎng)絡(luò)安全行業(yè)主管部門重點整治的。

網(wǎng)安人才供給“青黃不接”

隨著國家從立法層面和政策指導(dǎo)層面持續(xù)提升對網(wǎng)絡(luò)安全的重視程度，我國網(wǎng)絡(luò)安全產(chǎn)業(yè)迎來快速發(fā)展。據(jù)中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟（CCIA）數(shù)據(jù)統(tǒng)計，2021年上半年，我國共有4525家公司開展網(wǎng)絡(luò)安全業(yè)務(wù)，相比上一年增長27%。

值得關(guān)注的是，雖然2021年我國網(wǎng)絡(luò)安全市場規(guī)模實現(xiàn)了20%以上的高速增長，但網(wǎng)絡(luò)安全人才供給卻并未保持同步增長。官方數(shù)據(jù)顯示，2021年，網(wǎng)絡(luò)安全人才缺口達140萬人，預(yù)計2027年缺口將進一步擴大到300萬人。

潘彭丹指出，網(wǎng)絡(luò)安全人才十分稀缺，而每年網(wǎng)絡(luò)安全相關(guān)專業(yè)的高校畢業(yè)生規(guī)模僅兩萬余人，由此可見，我國網(wǎng)絡(luò)安全人才供給存在“青黃不接”的情況，人才成長和培養(yǎng)速度顯著落后于技術(shù)與社會變革的整體速度。

“網(wǎng)絡(luò)安全人才供需嚴重失衡，不僅體現(xiàn)在數(shù)量，更體現(xiàn)在不同類型人才供給和需求之間的錯位?！迸伺淼ふf。

現(xiàn)階段由于行業(yè)發(fā)展特點，人才隊伍呈現(xiàn)底部過大，頂部過小的結(jié)構(gòu)，即從事運營與維護、技術(shù)支持、風(fēng)險評估與測試的人員相對較多，從事戰(zhàn)略規(guī)劃、架構(gòu)設(shè)計的人員相對較少，尤其缺乏既懂業(yè)務(wù)懂政策、又懂技術(shù)懂管理的高端綜合型人才。

目前，大多數(shù)企業(yè)只設(shè)置了1至2人負責(zé)公司網(wǎng)絡(luò)安全工作，而且大部分都是IT技術(shù)人員兼著相關(guān)網(wǎng)絡(luò)安全工作，這些人員盡管有一定的技術(shù)基礎(chǔ)，但是缺少對網(wǎng)絡(luò)安全、數(shù)據(jù)安全的專業(yè)、系統(tǒng)性知識和技能儲備。“重產(chǎn)品、輕服務(wù)、重技術(shù)、輕管理”的現(xiàn)象仍很普遍，導(dǎo)致人才的供需矛盾不斷加深。

潘彭丹認為，網(wǎng)絡(luò)安全負責(zé)人一直都是數(shù)字化業(yè)務(wù)的關(guān)鍵推動者，要時刻把企業(yè)安全和企業(yè)業(yè)務(wù)相融合，明確幫助公司或高級管理層實現(xiàn)戰(zhàn)略目標或保障其利益，確保幫助業(yè)務(wù)，并制定基于業(yè)務(wù)、可量化、可衡量的工作目標，而不是單一依靠相關(guān)軟件或設(shè)備來對本單位的網(wǎng)絡(luò)安全進行風(fēng)險應(yīng)對和管理。

梁宏也指出，針對網(wǎng)絡(luò)安全的管理，多數(shù)企業(yè)都是被動式的應(yīng)急和管理，缺少對本單位整體網(wǎng)絡(luò)安全、數(shù)據(jù)安全的頂層設(shè)計和長遠規(guī)劃，從而導(dǎo)致本單位時常遭到外部網(wǎng)絡(luò)攻擊，造成公司及客戶信息泄露、設(shè)備無法正常運轉(zhuǎn)等現(xiàn)象時有發(fā)生，給企業(yè)正常生產(chǎn)經(jīng)營造成重大影響和損失。

沒有人才梯隊儲備，一切都是空談