網(wǎng)絡(luò)安全知識(shí)并非來(lái)自學(xué)校:在實(shí)踐中提升自我的四項(xiàng)途徑

責(zé)任編輯:editor005

作者:核子可樂(lè)譯

2016-12-19 14:20:22

摘自:51CTO

網(wǎng)絡(luò)安全正受到世界各國(guó)政府及企業(yè)的高度關(guān)注,其渴望構(gòu)建安全產(chǎn)品并保障敏感數(shù)據(jù)免遭入侵。企業(yè)可以考慮鼓勵(lì)員工參加夏令營(yíng)、研討會(huì)、兼職課程以及專業(yè)進(jìn)修課程等活動(dòng),以提升自身網(wǎng)絡(luò)安全水平。

網(wǎng)絡(luò)安全知識(shí)并非來(lái)自學(xué)校:在實(shí)踐中提升自我的四項(xiàng)途徑

網(wǎng)絡(luò)安全正受到世界各國(guó)政府及企業(yè)的高度關(guān)注,其渴望構(gòu)建安全產(chǎn)品并保障敏感數(shù)據(jù)免遭入侵。惟一的難題在于,網(wǎng)絡(luò)安全屬于一類相對(duì)較新的技能,且市場(chǎng)上可供選擇的人才還非常有限。

英特爾與美國(guó)戰(zhàn)略與國(guó)際研究中心(簡(jiǎn)稱CSIS)共同調(diào)查了775名IT決策者,其中82%表示其目前正面臨著網(wǎng)絡(luò)安全技能短缺的問(wèn)題。正因?yàn)槿绱?,美?guó)政府設(shè)立了國(guó)家網(wǎng)絡(luò)安全研究計(jì)劃(簡(jiǎn)稱NIC),旨在通過(guò)從中學(xué)階段引入網(wǎng)絡(luò)安全課程的方式解決市場(chǎng)對(duì)專業(yè)人才日益增長(zhǎng)的需求。

然而我們必須承認(rèn),網(wǎng)絡(luò)安全的前景呈現(xiàn)出愈發(fā)迅猛的變化態(tài)勢(shì),且復(fù)雜度亦在不斷提高。這意味著“今天學(xué)習(xí)的知識(shí)可能無(wú)法解決明天出現(xiàn)的問(wèn)題,”金融服務(wù)行業(yè)技術(shù)供應(yīng)商Sungard公司全球CSO Shawn Burke表示。

實(shí)踐出真知

Rook Security公司應(yīng)用與產(chǎn)品開發(fā)負(fù)責(zé)人Michael Taylor指出,網(wǎng)絡(luò)安全知識(shí)并不一定能夠通過(guò)本科教育掌握。Taylor曾在普渡大學(xué)與印第安州立大學(xué)擔(dān)任網(wǎng)絡(luò)安全課程導(dǎo)師,其結(jié)合自身經(jīng)歷指出,學(xué)生們普通缺乏實(shí)踐經(jīng)驗(yàn)。

學(xué)生們可能學(xué)會(huì)了如何編程及開發(fā)應(yīng)用,但卻很少貫穿整個(gè)開發(fā)流程考慮安全問(wèn)題。相反,這部分內(nèi)容的引入太過(guò)滯后。他建議稱,這種實(shí)踐經(jīng)驗(yàn)的缺失導(dǎo)致學(xué)生無(wú)法“在畢業(yè)之后立即為團(tuán)隊(duì)貢獻(xiàn)扎實(shí)可靠的代碼成果。”

他同時(shí)表示,“一般來(lái)講,學(xué)生們能夠很好地把握計(jì)算機(jī)科學(xué)中的算法、數(shù)據(jù)結(jié)構(gòu)及其它主題,但卻很難理解如何令程序更經(jīng)久耐用、容錯(cuò)且安全。”

像黑客那樣思考

Taylor表示,學(xué)生們需要學(xué)會(huì)“像黑客那樣思考”,從而充分把握構(gòu)建安全應(yīng)用的訣竅。這種思維方式能夠讓學(xué)生們更加了解其需要對(duì)抗的目標(biāo),而企業(yè)正需要這種能力以幫助自身節(jié)約成本。

“在生產(chǎn)環(huán)境下修復(fù)安全漏洞的成本遠(yuǎn)高于立足開發(fā)或者分段環(huán)境時(shí)進(jìn)行解決。教會(huì)開發(fā)人員如何以安全方式開發(fā)應(yīng)用,能夠顯著降低解決數(shù)據(jù)泄露以及生產(chǎn)問(wèn)題的相關(guān)成本,”Taylor指出。

另外,實(shí)現(xiàn)網(wǎng)絡(luò)安全還需要學(xué)生們充分利用各類創(chuàng)造性方法,而非單純著眼于技術(shù)角度?,F(xiàn)實(shí)情況是,即使擁有全部正確的“硬技能”,要了解如何防范尚未出現(xiàn)的威脅,我們?nèi)匀恍枰浜习l(fā)散思維。

“盡管某些從業(yè)者可能對(duì)于安全技術(shù)與概念擁有深入了解,但他們可能不清楚如何在業(yè)務(wù)背景下應(yīng)用這些安全邏輯。解決方案已經(jīng)變得更為復(fù)雜,所以我們需要更多具有創(chuàng)造性的問(wèn)題解決能力,”Burke表示。

擁抱軟技能

根據(jù)白帽學(xué)院創(chuàng)始人兼非營(yíng)利性組織Opportunity@Work CTO Fletcher Heisler的說(shuō)法,網(wǎng)絡(luò)安全專業(yè)人員還需要良好的溝通及人際關(guān)系處理技巧,而這些顯然是高校教育所無(wú)法給予的。

“對(duì)于大多數(shù)網(wǎng)絡(luò)安全職位,從業(yè)者需要了解能夠保護(hù)企業(yè)的可行政策,組織社交工程攻擊應(yīng)對(duì)培訓(xùn),同時(shí)使用用戶友好度相對(duì)較高的系統(tǒng),這往往比特定技術(shù)知識(shí)更加重要,”Heisler指出。

軟技能對(duì)于IT領(lǐng)導(dǎo)者同樣重要,因?yàn)槠湫枰獏f(xié)調(diào)預(yù)算、就威脅狀況進(jìn)行有效溝通并向其他高層管理者傳達(dá)網(wǎng)絡(luò)安全趨勢(shì)。這亦意味著對(duì)最終用戶抱持同情及理解的心態(tài),確保始終使用用戶友好型系統(tǒng),從而順利引導(dǎo)那些并不精通技術(shù)的員工,他解釋稱。

挖掘人才儲(chǔ)備

很明顯,人才培訓(xùn)是一種周期性工作,因此企業(yè)在空檔期內(nèi)需要盡可能挖掘現(xiàn)有人才。一般來(lái)講,我們的隊(duì)伍中已經(jīng)擁有理想的人選,企業(yè)方面需要想辦法“為這些人才提供時(shí)間與資金投入,”Heisler表示。

企業(yè)可以考慮鼓勵(lì)員工參加夏令營(yíng)、研討會(huì)、兼職課程以及專業(yè)進(jìn)修課程等活動(dòng),以提升自身網(wǎng)絡(luò)安全水平。行業(yè)專家們建議,專項(xiàng)培訓(xùn)計(jì)劃將成為未來(lái)網(wǎng)絡(luò)安全教育中的重要組成部分。

斯坦福大學(xué)網(wǎng)絡(luò)倡議項(xiàng)目執(zhí)行董事Allison Berke博士認(rèn)為,學(xué)生們應(yīng)該以項(xiàng)目需求為核心組織學(xué)習(xí)流程。如果他們對(duì)機(jī)器學(xué)習(xí)抱有興趣,則應(yīng)允許他們參加相關(guān)研討會(huì)、對(duì)話以及現(xiàn)場(chǎng)教學(xué)活動(dòng)。其中一部分需求亦可通過(guò)在線培訓(xùn)及認(rèn)證課程形式實(shí)現(xiàn),從而幫助學(xué)生們像專業(yè)人員那樣選擇特定技能進(jìn)行學(xué)習(xí)及提升。

“去年冬季,美國(guó)司法部聯(lián)邦檢察官Kathryn Haun就曾經(jīng)針對(duì)Silk Road(某暗網(wǎng)黑市)進(jìn)行了一堂數(shù)字化貨幣與網(wǎng)絡(luò)犯罪應(yīng)對(duì)知識(shí)教學(xué)。未來(lái)的教育工作應(yīng)該以傳統(tǒng)課堂與網(wǎng)絡(luò)教學(xué)、研討會(huì)、分組討論以及會(huì)議相結(jié)合的形式存在,幫助學(xué)生們與行業(yè)乃至政府機(jī)構(gòu)對(duì)接,共同探討目前存在的問(wèn)題,”她表示。

原文標(biāo)題:Cybersecurity skills aren’t taught in college,作者:Sarah K. White

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)