从个人隐私保护到国家战略安全,都与网络空间安全密切相关,网络空间已成为继海、陆、空、外太空之后的“第五空间”。各国对于网络空间安全重视也不断升级。信息安全产业也因此快速发展,前瞻产业研究院发布的《中国信息安全行业发展前景预测与投资战略规划分析报告》显示 ,2019年,中国信息安全行业规模将达到千亿量级。
但是,硬币的另一面也值得注意。教育部高等学校信息安全专业教学指导委员会秘书长封化民曾在“网络安全人才培养和创新创业”分论坛上说,截至2014年,我国重要行业信息系统和信息基础设施需要各类网络安全人才70余万人,到2020年这一数字将达140万人。
巨大的人才缺口已成为制约我国信息安全产业发展的关键因素之一。如此巨大的人才缺口是怎样形成的?该如何解决这样巨大的人才缺口问题?近日,在中国网络安全与信息产业峰会(SCCI)上,多位学界和业界的专家共同探讨当前中国信息安全人才培养存在的问题,为中国信息安全人才培养寻找“出路”。
信息安全人才培养难
作为信息安全人才培养最重要的一环,师资力量亟待加强。
2015年,教育部批准网络空间安全学科为一级学科。从此,高校申报网络空间安全学科或专业越来越多。与此同时,相关专业师资力量却令人担忧。
西南石油大学计算机科学学院副院长王杨坦言,今年,西南石油大学在申报网络空间安全学科和专业时,他发现,真正从事网络空间安全的老师非常少。
高校在师资引进方面陷入了“人才引进难”和“人才留不住”的两难之中。每年网络空间安全毕业的专业人才很少,行业中的平均薪资被抬得很高,这使得经费有限的高校,引进人才的机会变得更为渺茫。成都信息工程大学信息安全工程学院副院长张仕斌就受过经费的憋。2017年,他想要引入一个信息安全方面的人才,前后跟踪了半年多,欲以20万元年薪引进,结果,另外一所大学直接以年薪百万将人挖走,经费有限导致他只能眼睁睁地看着人才“溜”走。
当前一些高校的人才评价机制也让注重实践的信息安全人才“留不住”。电子科技大学网络空间安全研究中心主任张小松说,一些高校对于人才的评判标准首先看论文数量和质量,过分强调以论文评价人才,可能间接导致很多具有实践能力的老师,在学校里缺乏发展空间而离职。
信息安全领域很多奇才怪才都在民间,“这种高手如何引进到大学里来,大学的门槛很高,各个学校的(进人)要求都很多,这是一个两难的事。”王杨说,实践型师资的缺乏,以及高校缺乏一定的场景,导致高校培养出来的学生虽然具有较好的理论功底,但实战能力却较弱,毕业之后很难满足企业的要求。
摸清业界需求 才能“对症下药”
“我们要摸清产业对人才有多大规模的需求,对人才培养方面有什么要求。”四川省华迪信息技术有限公司董事长朱军认为,通过这样的方式,信息安全产业的人才培养才能“有的放矢”。
企业需要怎样的信息安全人才?峰会上,上海三零卫士信息安全有限公司战略市场部总经理干露提出了自己用人的标准。“人靠谱比较重要。”干露表示,信息安全领域的企业大都拥有自己的核心技术,企业对员工的忠诚度要求比较高,一个人不论是毕业于高等职业学校还是高校,学历只是一块敲门砖,而人品才是一个人能够走得长远的最重要的因素。
“企业是注重效益的,你过来,我养着,你必须给我创造价值。”干露表示,过硬的专业技能必不可少,技能好才能创造价值。“企业不会专门为了培养(人才)而培养,培养只是在创造价值的过程中,看你能不能被我们所培养,这是一个双向的过程,也是残酷的市场化过程,毕竟我们不是高校。”
除了专业技能,信息安全人才还需具备最基本的沟通能力。干露指出,企业培养信息人才的方式是“以练代带”,让新员工直接进入一个项目,让他与对方进行反复沟通,不断改进,快速成长。
深圳昂楷科技有限公司销售经理罗建南表示,信息安全领域是一个需要持续学习的领域,他们在招聘时重点关注一个人的学习能力。公司以能力作为优先项,然后在工作中进行培养。“现阶段我们都是自己培养(人才)。”他说。
根据2018年中国信息安全测评中心发布的《中国信息安全从业人员现状调研报告(2017年度)》,我国信息安全从业人员从事运营与维护、技术支持、管理、风险评估与测试的人员相对较多,而战略规划、架构设计、信息安全法律相关从业人员相对较少。战略规划和架构设计岗位人才的短缺情况最为突出,尤其缺乏能力全面且具有全局把握能力的“将才”。
创新培养模式 建立职业资格鉴定
面对当前企业招不到人,高校培养出来的人才难以满足企业实践需求的现状,朱军认为,加大校、企在人才培养方面的合作是一个必然趋势。企业和高校在人才培养上都有其独到的作用,可以通过校、企合作,创新信息安全人才培养模式。一方面,企业可以向高校输送实践型的师资,在一定程度上弥补高校实践型师资短缺的问题;另一方面,可以将高校的理论优势与企业的前瞻性优势结合起来,为业界输送更优秀的人才。
“企业面对市场第一线,最知道市场需要什么人才。”西南科技大学计算机科学与技术学院副院长吴亚东提出“一个专业+一个企业+一个实习基地”的信息安全人才培养方案,即依托一个系统挑选一个有活力的信息安全领域的企业,企业可以通过课程植入到学校的实践培训中,从而逐步转变信息安全人才的整体培养方案。
张仕斌认为,在学生成绩考核制度上似乎也可以进行一些新尝试。不同于以论文为主的考核方式,他提出了过程化考核方案,比如,学生的平时成绩占总成绩的百分之七八十,而非期末考试成绩,更加注重学生平时表现和实践能力。
“企业对人才的需求是多层次的。”朱军表示,业界对于不同层次的人才的需求是呈金字塔型的,越是高端的人才需求越少,业界的需求大多为应用型、技能型的人才。所以,信息安全人才的培养是要分层的,不同层级的人才培养的标准不同。高职院校、高等院校、培训机构等都是信息安全人才的输送方,不同的机构或组织定位不同,那么培养的标准和模式也就不同,培养出的人才也是不一样的。
由于信息安全领域细分方向众多,技术快速更新,目前信息安全领域仍缺乏人员分类和评价的标准,这也导致人才的职业发展路径不明确的问题。中国信息安全测评中心发布的《中国信息安全从业人员现状调研报告(2017年度)》显示,超过四分之一的信息安全从业人员在技术职称序列上没有清晰的归属。张小松表示,当前用于网络安全人才的职业资格鉴定还不够全面,在这方面,高校需要与企业以及相关机构进行合作,制订符合信息安全行业发展的人才鉴定标准,帮助人才厘清职业发展路径。