邁入2019年，網絡安全風險加劇，網絡安全人才缺口也不斷加大。根據普華永道的報告，2019年網絡安全人才缺口可能達到150萬。如此龐大的數量對于企業而言已經不僅僅是挑戰，甚至快趕上災難了。但是除了焦慮，大家似乎也沒找到有效的方法來解決這個問題。人們往往覺得，人才缺口就是沒有合適的人才導致的。而事實也許并非完全如此。

[[258307]]

網絡安全人才發展現狀

參照邁克菲針對澳大利亞網絡安全從業者的調研報告，當前網絡安全人才的發展呈現出一定的特點和趨勢：

大多數受訪者對于優秀網絡安全從業者應當具備的素質有著共識。例如：通俗易懂地解釋技術概念;分析能力;團隊協作能力;良好的溝通交流能力等。但是，27%的受訪者無法列舉出優秀網絡安全從業者必備的某項具體技能。這表明，業內對于合格或優秀網絡安全從業者的技能定義還不夠明確、對于真正多樣化且優秀的網絡安全團隊也缺乏精準定義。這種狀況實際上會影響全面、高效的網絡安全隊伍建設。

此外，大多數網絡安全從業者(84%的受訪者)都具備中學以上的教育學歷(其中49%的人是工程或IT專業、通信或網絡安全專業;而49%的人完全沒有任何網絡安全專業資質)，僅16%的受訪者表示曾經在其他行業工作或者從事過與網絡安全無關的工作。網絡安全人才招聘僅限于行業內部并不利于行業的多樣性發展，在科技和行業都迅速發展的今天，這樣的招聘模式可能也或帶來潛在的局限性。

大多數網絡安全從業者的工作內容是運營或管理，而涉及安全策略、安全教育或安全咨詢的從業者較少。這樣的結果其實也反映了國內網絡安全從業人員現狀。《中國信息安全從業人員現狀調查報告》(2017年度)顯示，當前網絡安全領域最缺乏的就是戰略規劃、架構設計類人才。34%的受訪者認為自己花費了一半以上的時間處理網絡安全工作;57%的管理者認為招聘員工很困難，其中安全運營的人才最難找。這些數據表明，很多從業者都曲解了網絡安全職責，將其與其他工作內容混雜，甚至會自我設限，導致企業的應急響應受限。這同樣給企業敲響了警鐘：應當引進更多的自動化技術產品，將員工從技術和應急響應中解放出來，投入到策略性、整體性的工作中去。

當前形勢下，以網絡安全為專業或者具備網絡安全從業經驗的人員數量的確不足以填補缺口。但對于需求方而言，真正的人才不能僅僅靠經驗或專業、證書等條件來評判。網絡安全企業在人才建設過程中，除了單純的招聘與團隊擴充，也可以考慮利用多種方式激發內部員工潛能，或讓其他行業有潛力的人才開啟網絡安全職業生涯，為未來發展開辟更多道路。

緩解網絡安全人才短缺問題

一、提升招聘成功率

[[258308]]

1.擴展招聘渠道

對于企業而言，填補人才缺口的首要選擇就是加大招聘力度。但有時候，單純增加職位需求或增加薪酬福利并不能找到理想的人才。有時候，還需要擴展招聘渠道，尋找更多目標群體。除了計算機專業、科研院所的人才，還可以考慮其他專業或社群。通俗來說，也就是尋找業內所說的民間力量。很多白帽子或漏洞獵人通常利用業余時間涉足網絡安全。他們也許并非從事網絡安全行業，專業或職業背景五花八門，但他們都對網絡安全有濃厚興趣，且自我驅動力強、善于學習。如果能找到這樣一群人并將其轉化為具有豐富經驗的人員，將為網絡安全行業和企業帶來新的觀點、經驗與思路，為抵御風險提供更多可能性。

2.合理描述職位需求

很多企業招聘時，對于一個崗位的要求太多太嚴格，會讓應聘者望而生畏。還有一些企業只注重要求而沒有展示企業能給員工帶來的成長與收獲，很容易會流失一些優秀種子。一般來說，可以找專業寫手撰寫招聘文章，好的文案就是成功招聘的一半。一般來說，職位名稱要準確、職位描述要精簡且突出重點，還要突出企業優勢與福利，才能吸引到人才。

3.建設包容性、多樣化的企業文化

曾有報告顯示，在網絡安全從業者中，女性僅占11%。此外，外行對于網絡安全職業的不理解以及行業內部存在的一些種族不平等、學歷不對等、薪酬差距等問題，也是網絡安全人才培養所面臨的一大挑戰。

當然，這些大環境因素的影響并非個別企業憑借自身之力就能應對。但是，企業可以通過增加環境和文化的多樣性，來緩解短缺的問題：

A.與附近的高等教育機構合作推進培訓項目，引進新鮮血液;

B.設立內部政策，解決企業內部存在的問題;消除偏見、促進平等也很重要;

C.必要時候可以通過當地的招聘機構，專門從女性群體或少數群體中尋找人才;

D.在公司網站中專門設立頁面，展示公司的包容性與多樣性，例如成功的招聘案例、員工的發展與成長、公司為行業發展做出的貢獻等。

對比國內外網絡安全行業的企業官網，可以看出國內外網絡安全企業在文化層面以及行業發展層面都存在一些不同。一方面，國外企業普遍注重企業文化建設，在官網通常都會專門設置頁面展示企業文化、員工發展建設活動與案例，以促進人才招聘與培養，樹立良好的企業形象。很多網絡安全公司也是如此。而國內只有部分大企業注意到了這一點。另一方面，與國外相比，國內網絡安全公司起步與發展都較晚，較為注重技術、產品等核心業務，尚無暇體系化地建設企業文化、樹立企業形象。這一步通常要在企業發展成熟之后考慮，但如果日常業務中有意識地逐步建設，則有助于吸引人才、培養人才。而隨著網絡安全行業不斷發展成熟，整個行業的包容性與多樣性(包括減少歧視、促進平等)也會不斷增強。

二、加強網絡安全教育與培訓

普通企業的安全需求一般分為網絡安全、終端安全、惡意軟件分析、加密等四大類。此外還有威脅溯源、應急響應(包括網絡流量分析、惡意軟件逆向、終端檢測等)等多種技能要求。這些技能并非一朝一夕可以掌握，但在院校多年培養的有經驗的人才數量不足的情況下，普通員工通過項目培訓、考證以及在職工作積累和學習，也能逐漸勝任一些基礎的網絡安全工作。

具體說來，可以從以下三個方面加強網絡安全教育與培訓，緩解網絡安全人才短缺問題：

1.校企合作加強網絡安全人才教育

企業可以與高等院校合作，結合實際情況，參與課程設置，建立實踐基地，進行項目合作、培訓認證、學習實踐、培訓及推廣交流等。從多個方面培養具備理論知識和實踐經驗的網絡安全人才。

2.培訓與認證

如今網絡安全相關的網站、文章、課程等層出不窮，為網絡安全知識的培訓與普及提供了豐富資源。At&T、安永、普華永道以及國內的一些網絡安全公司都提供安全培訓和服務。此外，CISSP、CISP等證書認證考試也有完善的教育和培訓過程。這些都有助于培養網絡安全從業人員。

3.安全意識培訓

對于普通的員工的安全意識培訓也不可或缺。讓員工意識到數據安全的重要性，讓員工在密碼設置、訪問認證、內外網連接、郵件收發、移動辦公等過程中遵守規則、合理操作，形成企業內良好的安全氛圍，有助于降低安全風險，減輕安全人員的壓力。這部分具體的內容，我們在另一篇文章中曾有提及，感興趣的讀者可以點擊查看。卡巴斯基近期推出了一款安全意識培訓平臺，主打自動化和靈活性，很適合小企業使用，也可作為一個參考。

通過合適的培訓，甚至還可以將其他行業的人才發展為網絡安全人才，如刑偵警察、游戲玩家等……這跟前文提到的擴展招聘渠道可以同步實踐。

網絡安全人才招聘與培養四問四答

本文的結尾，以網絡安全人才招聘與培養四問作結。

1.我們究竟需要什么樣的人才?

根據《中國信息安全從業人員現狀調查報告》(2017年度)，我國網絡安全行業最緊缺的是戰略規劃、架構設計類人才。根據《2017 年全球信息安全人員研究報告》，全球網絡安全行業最緊缺的是運行和安全管理和事件/威脅管理以及取證類人才。

而總體來說，除了具備網絡安全知識、技能，能夠應對安全問題的人才外，有全局觀、能給出企業級安全解決方案的專家級人才，是整個行業最渴求的。

2.如何為行業輸送人才?

在高校的網絡安全教育中，高校教師既要做講師和教練，還做引跑者。在學生學習過程的不同階段，為學生梳理在不同階段需要學習的知識點，同時因材施教。對于網絡安全專業的學生，可以以需求為導向，支持多層次的競賽工作，以賽促練。同時，還要注重學生與普通民眾的安全通識教育。

企業在安全崗位建設中，以市場需求為導向，合理設置網絡安全保障工作內容，明確各崗位的能力要求。設置不同從業資質的指標，建立從業標準，并與學校或培訓機構合作，參考資質要求和標準，共同培養具備相應能力的人才。

3.如何讓整個行業變得更具有吸引力?

當前形勢下，整個網絡安全行業前景大好，政府、企業、全民對網絡 安全的重視程度提高，也在一定程度上促進了整個行業的影響力。提升企業內部以及整個行業對網絡安全的重視程度，才能讓從業者感受到工作的價值與意義。同時，讓網絡安全員工合理地參與到公司的業務流程，了解業務策略、IT架構以及安全架構，有助于安全工作有效進展。此外，尊重在職網絡安全人才的發展與成長，提供培訓、提供繼續教育支持、提供明確晉升通道和良好工作、學習氛圍等，不僅能提升員工能力和積極性，也能更好地應對不斷出現的安全威脅。當然，合理的薪酬福利也是提升吸引力的關鍵。

4.是否找對了人?是否用對了人?

在網絡安全行業，威脅評估、風險管理、運營、分析等不同的工作對應著不同的崗位，也有著不同的技能要求。想找到合適的人才，就要明確各個崗位的職責和要求。例如，要想讓安全運營中心良好運轉，就要找既懂技術也懂應急響應的員工，而不能找只懂風險的員工。因為他們不僅要知道風險的閾值，還要知道可以緩解或增加風險因素，還要知道如何從技術層面控制風險。也就是說，企業一定要明確自身對網絡安全的具體需求，明確所招聘人才的角色定位，同時在單位內部建立完善的網絡安全管理制度，才能用對人，用好人。