前言
眾所周知,全球目前都面臨著一個問題,那就是網(wǎng)絡(luò)安全人才的短缺。根據(jù)(ISC)2網(wǎng)絡(luò)安全與教育中心的2017年全球信息安全勞動力調(diào)查結(jié)果顯示,預(yù)計到2022年,全球具有從業(yè)資質(zhì)的網(wǎng)絡(luò)安全專業(yè)人才赤字將達(dá)到一百八十萬。
很多業(yè)內(nèi)分析人士認(rèn)為,導(dǎo)致這一問題出現(xiàn)的主要原因是因為高中、大學(xué)、研究生以及已就業(yè)人士缺乏應(yīng)有的網(wǎng)絡(luò)安全技能教育。雖然網(wǎng)絡(luò)安全教育已經(jīng)逐漸成熟,而且相應(yīng)的制度也在逐步完善,但我們?nèi)匀挥泻荛L的路要走。比如說,我們怎樣才能吸引有天賦的青少年從事網(wǎng)絡(luò)安全工作呢?實際上,在網(wǎng)絡(luò)人才教育方面,很多組織都在做出自己的貢獻(xiàn)。接下來,就讓我們一起來看一看到底如何才能更好地培育出下一代網(wǎng)絡(luò)安全人才。
培養(yǎng)興趣,要從“娃娃”抓起
IBM Security的全球執(zhí)行安全顧問Diana Kelley認(rèn)為,很多人在選擇某個行業(yè)之前肯定是要對這個行業(yè)感興趣,所以他才會選擇在上學(xué)的時候著重學(xué)習(xí)這個方面。網(wǎng)絡(luò)安全也是一樣,但網(wǎng)絡(luò)安全這個領(lǐng)域的學(xué)習(xí)周期可能比其他行業(yè)要更加長久一些。
IBM從2011年開始,就一直在努力通過讓高中生親手打代碼的形式來嘗試激發(fā)出他們對技術(shù)的興趣(P-TECH計劃)。在這個時間長達(dá)六年的計劃里,技術(shù)合作企業(yè)、政府機構(gòu)、當(dāng)?shù)貙W(xué)校以及社區(qū)學(xué)院不僅給廣大信息安全愛好者提供了一對一指導(dǎo)、有嘗實習(xí)崗位和免費的副學(xué)士學(xué)位(美國大學(xué)修滿二年課程的肄業(yè)證書),而且還給成績優(yōu)秀的學(xué)生提供了科技公司的入職機會。
在2014年,也就是P-TECH計劃實施的第三年,有150名來自紐約頂尖高校的精英參加了這個網(wǎng)絡(luò)安全技術(shù)培訓(xùn)計劃。他們在實踐過程中學(xué)習(xí)了很多操作技能,例如網(wǎng)絡(luò)管理技術(shù)和信息取證分析等等。他們不僅學(xué)會了如何管理一臺Unix服務(wù)器,而且也學(xué)會了通過檢查日志文件來了解系統(tǒng)曾經(jīng)發(fā)生過什么事情。除此之外,他們甚至還深入學(xué)習(xí)了網(wǎng)絡(luò)安全法律的發(fā)展進(jìn)程以及法律條款。Kelley表示,他們還希望這些優(yōu)秀的學(xué)生在畢業(yè)之后能夠進(jìn)入IBM的網(wǎng)絡(luò)安全部門工作。
有待改進(jìn)的地方
雖然我們的教學(xué)內(nèi)容以及課程是非常有實用價值的,但是我們可能會忽略非常重要的一點,即學(xué)生對科學(xué)技術(shù)感興趣這并不等同于他們對信息安全感興趣。因此,我們應(yīng)該傳遞給年輕人的信息是:網(wǎng)絡(luò)安全不僅是一個令人興奮的行業(yè),而且也是一份非常穩(wěn)定的工作。除此之外,有些年輕聰明的孩子在學(xué)會了這些網(wǎng)絡(luò)安全技術(shù)之后,很可能會誤入歧途,因此我們需要讓這些孩子站在正義的這一邊,這樣他們才可以成為我們今后與網(wǎng)絡(luò)威脅作斗爭的核心力量。
菜鳥訓(xùn)練營-網(wǎng)絡(luò)安全的速成班
實際上,網(wǎng)絡(luò)安全行業(yè)需要的不是你的學(xué)位,而是你的技術(shù)。那些能夠在網(wǎng)絡(luò)安全行業(yè)做到優(yōu)秀的人,往往是那些敢于探索的人、能夠解決問題的人、以及有著強烈道德觀念的人,但這一切的前提是你必須擁有足夠優(yōu)秀的技術(shù)能力。
網(wǎng)絡(luò)安全速成班不僅可以給那些來自其它領(lǐng)域的專業(yè)人士提供技能培訓(xùn),而且還可以給那些沒有機會去上四年大學(xué)的退伍軍人或千禧一代提供教育機會。這些網(wǎng)絡(luò)安全菜鳥訓(xùn)練營的培訓(xùn)計劃時長一般在三到六個月內(nèi),主要通過實際操作網(wǎng)絡(luò)安全工具來學(xué)習(xí)網(wǎng)絡(luò)安全技術(shù),這樣可以在固定的時間里以最快的速度學(xué)到更多的新知識和新技能。
在面對美國高失業(yè)率的情況下,網(wǎng)絡(luò)安全菜鳥訓(xùn)練營也可以幫助對失業(yè)工人進(jìn)行再教育。像美國俄亥俄州和密歇根州這樣的地方有著大量的藍(lán)領(lǐng)工人,他們再汽車工業(yè)或制造業(yè)領(lǐng)域有著極其豐富的經(jīng)驗和技術(shù)。經(jīng)過三到六個月的培訓(xùn),聰明的他們肯定能夠掌握一定的網(wǎng)絡(luò)安全技術(shù),而等待著他們的很可能就是一個中上層階級的高薪工作。除此之外,美國國防部以及國土安全部也已經(jīng)在采用這種訓(xùn)練營模式了。不過他們的效率相對較高,他們可以在不到六個月的時間里將受訓(xùn)人員培訓(xùn)成為一個能夠掌握最新網(wǎng)絡(luò)安全技術(shù)和工具的人。
有待改進(jìn)的地方
我們希望在未來能看到越來越多的由政府資助的網(wǎng)絡(luò)安全訓(xùn)練營出現(xiàn),雖然當(dāng)這些人完成了學(xué)業(yè)之后,將至少需要為聯(lián)邦政府工作一年,但是這種培訓(xùn)計劃不僅可以為國家輸送安全技術(shù)人才,而且也將有利于私營企業(yè)。
行業(yè)證書也許比學(xué)位更加重要
對于某些公司來說,職業(yè)資格證書比學(xué)位要更有價值。因為我們可以看到,很多學(xué)生雖然沒有拿到學(xué)位證書,但他們?nèi)绻ㄟ^了網(wǎng)絡(luò)安全行業(yè)的資格認(rèn)證,那么他們同樣可以找到一份好工作。
在2014年到2015年,(ISC)2總共頒發(fā)了9017份證書,而在2015年到2016年,(ISC)2總共頒發(fā)了10130份證書。越來越多的人選擇參加(ISC)2的資格培訓(xùn)課程了,他們在通過了(ISC)2的考試之后就可以拿到由(ISC)2所頒發(fā)的副學(xué)士學(xué)位??紤]到很多公司對求職人員有工作經(jīng)驗的要求,所以我們也給他們提供了一年以上的實踐機會,他們只需要再經(jīng)過一年左右的學(xué)習(xí)和實踐,就可以成為一名合格的網(wǎng)絡(luò)安全從業(yè)人員,而工作經(jīng)驗不會再成為他們求職道路上的攔路虎。
有待改進(jìn)的地方
整個行業(yè)需要更多的非營利機構(gòu)以及私營企業(yè)能夠認(rèn)可這些網(wǎng)絡(luò)安全證書,目前全球有一百多個國家組織都在頒發(fā)自己的網(wǎng)絡(luò)安全證書,簡單來說,我們希望所有的這些證書能夠?qū)崿F(xiàn)全球通用。因為所有的證書都是受訓(xùn)人員努力學(xué)習(xí)的成果,所以我們應(yīng)該提出一種公平、公正的認(rèn)證模型,而這必須是一種全球都認(rèn)可的網(wǎng)絡(luò)安全認(rèn)證模式。
網(wǎng)絡(luò)安全學(xué)位和研究生課程的蓬勃發(fā)展
現(xiàn)在,越來越多的高等院校都開設(shè)了網(wǎng)絡(luò)安全課程,而且還有很多學(xué)校得到了聯(lián)邦機構(gòu)的捐款資助,這就相當(dāng)于是政府與學(xué)校的聯(lián)合辦學(xué)。很多英國、歐洲和美國地區(qū)的高等院校借鑒了美國國家標(biāo)準(zhǔn)及技術(shù)研究所(NIST)以及英國網(wǎng)絡(luò)情報中心的培訓(xùn)模式,并且能夠給學(xué)生提供碩士級別的網(wǎng)絡(luò)安全培訓(xùn)課程。
但是對于企業(yè)的首席信息安全官來說,他們幾乎不可能送自己公司安全崗位的員工去大學(xué)進(jìn)修一年,尤其是在目前安全人才緊缺的時候。進(jìn)修確實可以幫助他們學(xué)習(xí)到更多的技能,但這個成本是企業(yè)負(fù)擔(dān)不起的。因為安全威脅的變化是非??斓模踩寄芤埠苋菀走^時。更加重要的是,很多公司都想從其他公司挖走頂尖的網(wǎng)絡(luò)安全專家。所以一旦你允許他們?nèi)⒓优嘤?xùn),那么他們就有可能跳槽,而作為公司CISO的你卻什么都沒有得到。
有待改進(jìn)的地方
雖然越來越多的高等院校開始為學(xué)生提供網(wǎng)絡(luò)安全方面的課程,但是我們希望能夠有更多的人坐在教室里的凳子上學(xué)習(xí)這些課程,接受這些教育。因為光開設(shè)課程還遠(yuǎn)遠(yuǎn)不夠,我們需要的是更多的參與。
總結(jié)
這篇文章大致描述了美國目前的網(wǎng)絡(luò)安全教育情況,并且也討論了其中有待改進(jìn)的地方,我們希望大家可以由此反思一下我們國內(nèi)的安全教育情況。盡管國內(nèi)越來越多的機構(gòu)開始提供網(wǎng)絡(luò)安全培訓(xùn)課程了,但我們的網(wǎng)絡(luò)安全現(xiàn)狀以及人才培養(yǎng)的情況是否達(dá)到了我們的預(yù)期呢?
* 參考來源:networkworld, FB小編Alpha_h4ck編譯,轉(zhuǎn)載請注明來自FreeBuf.COM