安全人才培養(yǎng)的話題近兩年很熱，為什么會熱？這是因為安全人才培養(yǎng)出了問題。越來越多的人發(fā)現(xiàn)人才不夠用。

安全對抗就是一部孫子兵法

安全人才的困境原因多種，究其原因是安全的對抗屬性。網(wǎng)絡(luò)安全本身的一個最大特點就是蓄意對抗。我經(jīng)常開玩笑說，在網(wǎng)絡(luò)安全領(lǐng)域里最重要的是孫子兵法，因為對方是故意的，情況復(fù)雜多變，對方會尋找一切我們的薄弱點來達到目的。這個挑戰(zhàn)巨大。體現(xiàn)在：

第一，新技術(shù)發(fā)展迅速，業(yè)務(wù)發(fā)展迅速，不同的領(lǐng)域、系統(tǒng)越來越復(fù)雜。今天的信息系統(tǒng)已經(jīng)不是過去簡單的計算機系統(tǒng)，今天的安全要解決的問題也不是防護某一個硬盤里的一個數(shù)據(jù)，而是在互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)的安全，所以客觀上看，網(wǎng)絡(luò)安全越來越復(fù)雜。

第二，主觀上，我們的對手非常聰明并不斷尋找我們的弱點。舉個簡單的例子，就如同現(xiàn)代醫(yī)學(xué)面臨的越來越復(fù)雜的病毒變異，是一樣的道理。

關(guān)于人才認定的問題。很多非常出名的安全工作者，落不了戶口，我們寄希望于國企能為安全撐起一片天，但這些人才，并不能進入國家隊。甚至連個職稱都沒有。這是一個很重要的問題，我們?nèi)绾蝸砗饬堪踩瞬牛堪踩且粋€對抗的過程，變化莫測，拳壇上的拳擊手今天是世界巔峰，明天可能就一文不值。對人才標準的調(diào)整以及認定人才的能力維持，如何保持高的競技水平都是要考慮的問題。今天來看，認定變成一些機構(gòu)的金飯碗，那么，認定的方法是什么？有多少拿了證書的人去想維持這個證書的水平？我沒有答案。

此外，人才使用的問題，安全人才如果沒有用對，本身就是一個浪費，有些用人單位并沒有意識到這一點。最后是人才缺口的問題。究竟我們?nèi)蹦男┤耍孔霭踩恍枰酌弊訂幔窟@都需要仔細思考。有些人理解偏了，白帽子非常重要，但是對于用人單位來說，安全只有白帽子就走到另外一個錯誤的方向。我們到底缺哪些人？解答這個問題并不容易，今天所面臨的業(yè)務(wù)環(huán)境變化太快，并且是不停在變。

一級學(xué)科解決不了現(xiàn)實問題

安全人才培養(yǎng)有客觀培養(yǎng)和社會培養(yǎng)兩條線。

客觀培養(yǎng)，即高校科班培養(yǎng)。這是近幾年討論非常多的一個問題，高等教育培養(yǎng)出來的人才，用人單位總覺得不好用。2004年起，全國很多高校設(shè)立了安全專業(yè)，到今天信息安全一級學(xué)科終于成立，這是否意味著網(wǎng)絡(luò)空間安全人才培養(yǎng)就沒有問題了？不可能。這僅僅意味著這個工作剛剛開始。因為過去存在了許多年的問題，今天依然得不到解決。

簡單地說，如果師資、教材以及資源與環(huán)境的問題，這三個問題沒有得到有效解決，那么，我們和2004年時并沒有區(qū)別。

首先是師資。2004年很多高校成立了信息安全專業(yè)，但是老師在哪里？沒有那么多有經(jīng)驗的老師，怎么可能教出好的學(xué)生？我們?nèi)绾闻囵B(yǎng)優(yōu)秀的信息安全教師？

第二是教材。技術(shù)變化非常快，而且非常復(fù)雜，主觀上對手變化更快，我們的教材如何適應(yīng)？很多基礎(chǔ)學(xué)科的教育，其教材甚至是很多年一成不變的，然而安全領(lǐng)域，這是完全不可行的，教材如何跟得上形勢變化，非常關(guān)鍵。

第三，資源和環(huán)境。今天人人都說未來安全是大數(shù)據(jù)，但是大數(shù)據(jù)在哪里？學(xué)校里有嗎？存得下來嗎？有條件計算嗎？會計算嗎？太多真實的網(wǎng)絡(luò)信息安全的場景，高校里是沒有機會接觸到的，這種狀況如何能培養(yǎng)出好的學(xué)生？

這些問題一直擺在我們面前，如果不能解決，網(wǎng)絡(luò)空間安全成為一級學(xué)科也解決不了困局。

另一個問題是社會培養(yǎng)的問題。眾所周知，這個圈子里有很多不是科班出身的人，一切都是興趣，他們的興趣得到了健康的成長，在這個過程中得到了能力的培養(yǎng)，但是在今天，環(huán)境越來越嚴苛，像過去那樣科班之外的人是很難成長起來的。

對抗賽打造開放真實的環(huán)境

安全競賽有三類，每一種競賽的立意并不相同。

第一類是挑戰(zhàn)賽。這類比賽在于尋找真實系統(tǒng)真實存在的問題，它的價值在于找到真實的問題，想辦法去解決它。這個過程中，展現(xiàn)的可能是背后團隊的能力，僅在個人身上表現(xiàn)出來。因此，嚴格地說，這類比賽發(fā)現(xiàn)人才只是輔助的價值，主要的價值是發(fā)現(xiàn)新問題。

第二類是創(chuàng)意賽。即發(fā)現(xiàn)新方法。比較好的創(chuàng)意賽如DAPAR的競賽，設(shè)定一個話題，大家八仙過海，各顯其能，方法不限。最佳的創(chuàng)意賽是用客觀的方法來評價的。

第三類是對抗賽，我覺得CTF是目前成熟的一種，目的是發(fā)現(xiàn)人才，在同等的條件下展現(xiàn)能力，是綜合的展現(xiàn)。