图片展示

NISP官网|国家信息安全水平考试NISP一级安全运营全国独家运营中心|NISP二级全国运营中心!

国家信息安全水平考试NISP官网

NISP一级

国家信息安全水平考试

 

立即报名

NISP二级

国家信息安全水平考试

 

立即报名

NISP三级

国家信息安全水平考试


立即报名

CISP

注册信息安全专业人员

 

立即报名

图片展示
搜索

NISP一级考试预约

 

图片展示

2021第二届全国⼤学⽣⽹络安全精英赛赛事介绍

 

       2021第二届全国⼤学⽣⽹络安全精英赛,指导单位为中国信息安全测评中⼼,主办⽅为国家⽹络空间安全⼈才培养基地。⼤赛以普及知识、挖掘⼈才为⼰任,⾯向全国⼤学⽣普及信息安全意识、传播信息安全知识、挖掘信息安全⼈才。

       本次比赛分为3个阶段,参赛学员均已个人赛形式参加比赛。第一阶段为全国线上初赛,主要考察学生的信息安全知识水平;第二阶段为全国线上复赛,主要考察学生网络安全基础知识和基本技能;第三阶段为全国线下总决赛;具体如下:

1.1.全国初

初赛主要考察学生信息安全知识水平,资格赛为线上答题形式。

☑ 比赛时间:7月1日-9月10日报名,9月13日-17日全国初赛

☑ 参赛资格:全国各类高、中等院校在校学生

☑ 比赛形式:初赛由各个参赛院校组织学生至大赛官网自主报名,由当地承办机构组织安排初赛时间。

☑ 比赛题型:初赛为50道单选题。

☑ 比赛内容:内容包含:信息安全概述、信息安全法律法规、信息安全基础技术、网络安全防护技术、操作系统安全防护技术、应用安全、移动智能终端安全防护、信息安全管理。

☑ 通过条件:满分100分,竞赛成绩达到70分及以上。

 

1.2.全国复赛

全国复赛主要考察参赛选手网络安全基础知识和基本技能。

☑ 比赛时间:9月24日全国复赛

☑ 比赛形式:复赛为线上答题形式进行,参赛条件为初赛成绩达70分以上。

☑ 比赛题型:复赛为100道单选题,

☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发。

☑ 通过条件:全国前100名通过参加线下总决赛

 

1.3.全国总决赛

全国总决赛为线下知识竞赛形式。

☑ 比赛时间:10月11日全国线下总决赛

☑ 比赛形式:决赛为线下知识答题赛,参赛条件为复赛全国成绩前100名。

☑ 比赛题型:总决赛为100道单选题,

☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发等。

☑ 获奖条件:根据总决赛最终成绩排名,产生大学生网络安全竞赛金奖:10人;银奖:10人;铜奖:20人。

 

1.4.奖项设置

2021年第二届大学生网络安全竞赛共设奖金20万元。

金奖:10人,奖金10000元/人

银奖:10人,奖金5000元/人

铜奖:20人,奖金2500元/人

获得⼤赛⾦银铜牌的选⼿,可获得⼤赛协办单位腾讯安全、卓朗科技、 深信服等信息安全知名企业签约⼯作机会。

 

4. 大赛同期其他活动

本次大赛同期将进行一系列与相关的活动,主要活动如下:

1.1大学生网络安全知识精英赛校园大使招募

第二届全国大学生网络安全精英赛即将于2021年7月1日启动报名,9月网络安全周期间开赛。现在面向全国在校大学生招募校园大使。招募规则如下:

 1.1.1.招募标准

具备⼀定的信息安全基础知识,擅长通过talkshow⼩段子、音乐创作、创意剪辑等各种才艺、方法传播信息安全知识、宣传网络安全精英赛的在校大学生。

1.1.2.招募平台

抖音APP

1.1.3.报名方式

1、开通抖音账号,并关注抖音官方号“网安精英赛”。

2、活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单

3、拍摄与网络安全相关的短视频添加话题#网络安全精英赛#在抖音发布,并@网安精英赛 官方账号。

4、发动同学为自己的短视频点赞。

1.1.4.评选

大赛组委会邀请评委会评选作品,筛选出符合招募要求的作品,并按照点赞数排序,最终前十名入选的创作者将成为本届大学生网络安全精英赛校园大使。

1.1.5.公布

最终入选名单将在精英赛官网(https://www.nisp.org.cn/ds)公布。

1.1.6.表彰

成功当选校园大使的创作者,精英赛组委会将颁发聘书,并奖励华为 Mate 40E 手机一台(京东官方价4199元)。

 

1.2大学生网络安全知识精英赛答题接龙活动

校园大使招募活动同时,大赛组委会举办“网络安全精英赛·答题接龙”活动。

活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单

参与在校大学生可登陆精英赛官网(https://www.nisp.org.cn/ds)学习网络安全辅导课程,并练习模拟题。

在抖音APP上传短视频,内容为回答一道网络安全模拟题,指定同学接龙。并以“大学生网络安全精英赛,你也来答题吧~”结尾。@网安精英赛 官方账号,参与抽奖。

奖品为华为WATCH GT 2 Pro 智能手表,共十个获奖名额(京东官网价2388元)。

 

NISP-PT线上班测验申请

  • 姓名 *

  • 手机号 *

  • 学历 *

  • 专业 *

  • 年龄 *

  • 提交申请

    • 验证码
    看不清?换一张
    取消
    确定

  • 报名咨询
  • 登录学习

免费领取渗透测试线上班试听课

  • 姓名 *

  • 手机号 *

  • 微信号

  • 立即领取

    • 验证码
    看不清?换一张
    取消
    确定

图片展示

图片展示

图片展示

国家信息安全水平考试NISP报名表

  • 姓名 *

  • 手机号 *

  • 身份证号 *

  • 院校名称 *

  • 专业 *

  • 证书类型 *

    证书类型 *

  • 支付金额:¥0

    支付方式:

  • 立即报名

    • 验证码
    看不清?换一张
    取消
    确定
nisp|国家信息安全水平考试

【NISP官网】中国信息安全测评中心主任彭涛:筑牢网络安全漏洞人才基石,打造漏洞治理新范式

作者:NISP官网 来源:国家信息安全水平考试NISP官网
文 | 中国信息安全测评中心主任 彭涛
当今世界正经历百年未有之大变局,网络空间面临前所未有的安全挑战。网络安全漏洞作为网络空间的核心资源,正成为各国经略网络空间、升级网络防御的战略焦点,打造系统、高效的漏洞治理新范式也成为筑牢网络安全防线的关键举措。网络攻防核心在于漏洞,漏洞治理核心在于人才。党的二十届三中全会《决定》就“深化人才发展体制机制改革”做出了明确部署。在建设网络强国的关键期,在实现国家治理能力现代化的攻坚期,加强网络安全漏洞人才建设,打造漏洞治理新范式,是构建网络安全新格局,加快推进网络强国建设的重要方面。


一、加强网络安全漏洞人才建设,激发网络安全创新活力

漏洞人才作为网络安全前线的“侦察队”,应急响应的“主力军”,通过主动发现并报告漏洞,可及时修补网络安全资产的安全弱点,遏制威胁扩散。因此,培养一支高素质的网络安全漏洞人才队伍,对于提升国家整体网络安全水平具有不可估量的价值。

(一)加强网络安全漏洞人才建设是应对网络空间攻防新形势的基本要求
当前,网络形势复杂交织,网络攻防深刻演化。漏洞已成为网络犯罪的首要工具和大国网空博弈的重要资源。
一方面,基于漏洞的网络攻击成为常态。千里之堤,毁于蚁穴。重要网络和信息系统,可瘫废于漏洞。2024 年以来,我国重要工业、金融、交通、国防、医疗和信息技术等领域的安全漏洞呈爆发之势。根据国家信息安全漏洞库(CNNVD)统计,2024 年收录的漏洞总数为 40034 条,比 2023 年(28691 条)增长 39.54%,其中,超危漏洞 2883 条,高危漏洞 9994 条。漏洞泛滥使网空形势更趋复杂。
另一方面,基于漏洞资源的争夺成为大国博弈的重要内容。美国将漏洞视为重要战略资源进行严格管控,从政策、立法和程序上构建了国家层面统一的网络安全漏洞披露协调和决策机制,同时严格控制漏洞资源的出口,在 2022 年完成对包括入侵软件等在内的网络安全物项的出口管制立法,重创全球网络安全漏洞的共享。此外,无论是斯诺登的爆料,还是方程式组织的武器泄露,美国大范围囤积漏洞打造网络武器已是不争的事实。
(二)加强网络安全漏洞人才建设是打造网络漏洞治理新范式的应有之义
随着社会网络化、数字化、智能化程度的不断提高,网络安全漏洞治理体系改革的紧迫性日益增强。加快网络安全漏洞人才建设,对于构建网络漏洞治理新范式、推进国家漏洞治理能力和体系现代化具有重要意义。
强化网络安全漏洞人才培养是突破漏洞治理瓶颈的关键。近年来,随着网络安全形势日趋复杂,漏洞发现难、漏洞处理效率低的问题日益凸显,其背后的核心问题仍然是网络安全漏洞人才培养未跟上形势发展的需要。部分国家已将漏洞治理提升到国家安全层面统一部署,将培养网络安全漏洞人才作为完善漏洞生态建设的重要抓手,在网络安全漏洞的发现收集、验证评估、修复消控等漏洞治理全流程,通过培养高素质网络安全漏洞人才,提升漏洞处理效率。
提升网络安全漏洞人才能力是应对“网数智”时代网安挑战的重点。随着物联网、云计算、大数据、人工智能等技术的广泛应用,网络安全漏洞治理变得更加复杂。传统的网络安全漏洞治理手段已经难以有效应对新型攻击。因此,需要更加专业、高素质的网络安全漏洞人才应对新型挑战。虽然当前人工智能的发展推动了漏洞研究的智能化,但是一些复杂隐蔽的漏洞挖掘和消控仍高度依赖安全人员的经验。这对新技术背景下网络安全漏洞人才的能力培养提出了更高的要求。
(三)加强网络安全漏洞人才建设是助力网络强国的重要举措
加强网络安全漏洞人才建设是完善我国漏洞治理体系,落实网络强国战略的重要一环。
加强网络安全漏洞人才建设,可进一步完善我国漏洞治理体系。近年来,我国在漏洞治理方面取得了显著进展。国家级漏洞库的建立,为漏洞信息的收集、分析、发布和修复提供了重要平台。同时,我国还颁布了一系列漏洞治理相关政策和技术标准,旨在规范漏洞的发现、报告、修复和通报流程。举措的落实关键在于人,当务之急是要构建系统化的网络安全漏洞人才培养机制,推动漏洞治理体系的不断完善。
加强网络安全漏洞人才建设,可带动整个网络安全领域的人才培养和发展。习近平总书记强调:“网络空间的竞争,归根结底是人才竞争。”在网络空间中,漏洞人才是网络安全人才的“领头雁”。培养高素质的网络安全漏洞人才,可以激发更多人对网络安全领域的兴趣和热情,进而推动整个行业的人才队伍建设。


二、我国网络安全漏洞人才建设亟需解决的关键问题

当前,以生成式人工智能技术为代表的新兴技术发展带来网络安全范式转变,给漏洞人才建设既带来了机遇,也形成了挑战。因此,要全面把握当前我国网络安全漏洞人才建设面临的难点和挑战,抓住关键问题重点解决,切实提升培养效力。

(一)最突出的难题是人才能力难以满足形势发展要求
基于网络漏洞的利用已成为网络攻击的主要凭借手段,攻击者利用漏洞的方式在升级,方法在演化,但高水平的网络安全漏洞人才缺口却在不断增大。
一是实践型人才不够。在培养环节,高校和科研院所作为网络安全漏洞人才培养的主要阵地,虽然近几年在课程设置、校企合作等方面进行了不少探索,但仍未建立系统的漏洞研究环境,漏洞挖掘、漏洞验证、漏洞消控等课程较为缺失,导致学生知识结构滞后和实践实战能力不足。在实践环节,我国大部分 IT 产业甚至安全行业,还未建立专门的漏洞研究部门,漏洞人才培养的生态系统还未建立。
二是需求对接不佳。当前,我国网络安全漏洞人才培育与服务国家重大需求还有一定差距,针对重要关键基础设施部门的漏洞发现能力不足,容易因“漏洞不明”加剧“底数不清”,也缺少对国际主流产品设备的漏洞研究,难以应对复杂的国际网络安全形势变化。
三是综合能力不足。漏洞研究是一项复杂的系统工程,不仅涉及软硬件、编程、逆向等技术领域,更需要攻防易位的思路方法。因此,有效的漏洞治理需要综合性、复合型人才。但现有的人才培养主要停留在漏洞应用研究方面,缺少研究深度、广度和思路方法的创新。
(二)最现实的挑战是激励措施缺失致使漏洞人才活力难以释放
漏洞报送奖励是国际通行做法,建立公开透明且具有可操作性的漏洞奖励计划,可充分依赖民间社区,及时发现和修复漏洞,推动负责任的漏洞披露,提升漏洞治理效度。当前,我国部分机构和企业已经建立了漏洞激励机制,但透明性和规范性不足,导致一些人员在发现漏洞后,由于奖励不足或缺乏明确的激励机制,选择不公开或延迟公开漏洞信息。另一方面,民间漏洞市场奖励繁杂,一些厂商或平台存在审核不严、奖励标准不明确等问题,导致漏洞市场乱象丛生。
(三)最根本的问题是网络安全漏洞人才体制机制还有待完善
目前,我国已建立了完善的网络安全保障体系,形成了全面的网络安全人才培养体系,但是针对网络安全漏洞人才的系统培养尚处于起步阶段,人才发展仍面临统筹规划、协调发展的机制性障碍。
一是统筹协调不足。从总体上来看,国家、组织、个人利益协同一致的漏洞共享机制尚不健全,漏洞人才培养还未形成合力,产学研用人才链相互割裂,高精尖专人才分布较为零散,未能建立从整体上把握全局、分层分类推进的人才培养模式。
二是与时俱进不够。当前,新一代人工智能、量子计算和物联网等技术快速发展,安全环境迭代升级,对网络安全漏洞人才能力提出了更高的要求。特别是随着生成式人工智能赋能网络安全,漏洞利用与治理已迈向“智能化对抗”阶段,并衍生“智能化替代”浪潮,不断倒逼网络安全漏洞人才在专业性上精进,提升应变能力和创新能力。
三是法律保障欠缺。如何平衡技术探索与合法合规之间的关系,是网络安全漏洞人才培养过程中的一大难题。一方面,漏洞挖掘与利用需要严格的法律指导,特别是应引导年轻人才对法律法规的理解,在漏洞处理工作中将国家安全考量放在首位。另一方面,针对担忧漏洞披露的法律责任而合作意愿低的情况,亟需建立完善的法律保障,明确免责款项。


三、加快推进网络安全漏洞人才建设的几点建议

网络安全漏洞人才培养既需要持续深化的体制改革,又要政府、企业、学术界和社会各界共同努力,用好激励机制,做好法律保障,不断创新人才培养模式、优化人才成长环境、激发人才创新潜力。

(一)合作是关键,汇聚网络安全漏洞人才培养合力
漏洞人才的培养是构建网络安全生态的关键一环,需要政府、企业、教育机构及社会各界共同努力,形成合力。
一是要凝聚共识通力合作。漏洞资源的战略性已成业界共识,当务之急是要建立健全漏洞治理体制机制。进一步扩大政府机构、科研机构、关基单位、安全企业间的密切合作,通过项目扶持、定向培养等方式,支持网络安全漏洞相关的专业教育与基础研究,不断充实优秀后备人才。
二是要加强统筹协同推进。漏洞治理的关键和根本,是要依赖国家层面统一部署的工作机制,漏洞人才培养亦如是。需要在国家层面培养基础研究、发现检测、风险评估等各个环节的专业人才,统筹推进漏洞治理体系建设,实现漏洞风险有效管控。
(二)机制是保障,构建网络安全漏洞人才培养生态
进一步打造我国漏洞治理生态的重要基础设施,以机制为牵引,完善漏洞人才的发现、培养、协同合作等环节。
一是探索建立国家网络安全漏洞人才库。破解网络安全漏洞人才零散分布在各行业领域、无法形成合力的问题,依托国家漏洞库、行业产业漏洞平台和高校研究机构的资源,构画和共享漏洞人才能力图谱,充分释放漏洞人才资源和能力潜力。
二是完善安全漏洞众测机制。众测机制能够为网络安全漏洞人才提供真实的网络环境和实践机会,使其能够在实战中锻炼技能,发现和解决实际的网络安全问题。此外,众测机制往往涉及多种类型的漏洞和实践手段,能够促使漏洞人才不断学习和掌握新的技能,适应不断变化的网络安全威胁。
三是举办网络安全人才竞赛。以竞赛为牵引,实现以赛促学、以赛促教、以赛促用,发现并吸引更多有识之士投入漏洞治理工作,推动漏洞人才的培养和产学研用生态发展。
四是成立漏洞技术研究联盟。以联盟为驱动,邀请来自不同领域的行业专家,交流漏洞分析、渗透测试、应急响应等基础知识,探讨实战实操演练和案例分析,培养既有理论背景又具备实践能力的专门性人才。积极鼓励“白帽子社区”交流,共同探讨技术经验与前沿方法,发挥好技术上的引领和传承作用。
(三)教育是基础,夯实网络安全漏洞人才培养体系
通过加强教育,强化人才的思想根基,锤炼实践技能,有效提高漏洞人才能力。
一是完善培养体系。加快构建多形式、多维度培训体系,通过学历教育、职业培训、用人单位内训等多种方式共同发力,构建理论与实践相结合的漏洞人才培养体系。加强高校与企业、科研单位合作,以国家重点需求和专项研究任务为牵引,为国育才。
二是搭建实训平台。建立网络安全攻防实验室,积极利用网络靶场,为人才培养提供在真实业务场景运用网络安全技术和工具的环境,提升监测与分析、风险评估以及应急响应等能力。
三是加强对“人工智能+漏洞”的研究与运用。加强漏洞研究与人工智能领域的交叉人才培养,强化与科研机构、高校和企业的合作,共同推进“人工智能+漏洞”技术的基础研究和应用研发,提升漏洞治理的智能化水平。
(四)激励是助力,促进网络安全漏洞人才培养良性循环
对在我国网络安全漏洞预警及风险消控工作中发挥了积极作用的组织或个人加大奖励力度,激发漏洞人才的积极性,面向需求形成更多高价值漏洞成果。一方面,规范漏洞奖励机制,设立明确的奖励标准,根据漏洞的严重程度、影响范围以及发现者的贡献程度给予相应的奖励。另一方面,畅通漏洞报送渠道,鼓励民间力量向国家报送高质量漏洞,引导网络安全漏洞人才参与国家漏洞治理。同时,漏洞接收部门需完善审核制度,对上报的漏洞进行及时的核实和评估,确保奖励的公平性和准确性。
网络安全漏洞人才培养是一项长期性、系统性工作,任重道远。“育才造士,为国之本”。新时代新征程,我们要以习近平新时代中国特色社会主义思想为根本遵循,始终坚持人才引领发展战略地位,拧紧“引才、育才、留才”的高质量人才工作链条,筑牢网络安全漏洞人才基石,为以中国式现代化全面推进强国建设、民族复兴伟业贡献力量。


0
上一篇 : 【NISP官网】2025年网络安全十大发展趋势发布下一篇 : 【NISP官网】HW岗位需求激增,国家基地实战课赋能,助你满载而归!
NISP管理中心
  1. 首页
  2. >
  3. 国内外重大事件
  4. >
  5. 【NISP官网】中国信息安全测评中心主任彭涛:筑牢网络安全漏洞人才基石,打造漏洞治理新范式

【NISP官网】中国信息安全测评中心主任彭涛:筑牢网络安全漏洞人才基石,打造漏洞治理新范式

作者:NISP官网 浏览: 发表时间:2025-02-27 09:10:34 来源:国家信息安全水平考试NISP官网
文 | 中国信息安全测评中心主任 彭涛
当今世界正经历百年未有之大变局,网络空间面临前所未有的安全挑战。网络安全漏洞作为网络空间的核心资源,正成为各国经略网络空间、升级网络防御的战略焦点,打造系统、高效的漏洞治理新范式也成为筑牢网络安全防线的关键举措。网络攻防核心在于漏洞,漏洞治理核心在于人才。党的二十届三中全会《决定》就“深化人才发展体制机制改革”做出了明确部署。在建设网络强国的关键期,在实现国家治理能力现代化的攻坚期,加强网络安全漏洞人才建设,打造漏洞治理新范式,是构建网络安全新格局,加快推进网络强国建设的重要方面。


一、加强网络安全漏洞人才建设,激发网络安全创新活力

漏洞人才作为网络安全前线的“侦察队”,应急响应的“主力军”,通过主动发现并报告漏洞,可及时修补网络安全资产的安全弱点,遏制威胁扩散。因此,培养一支高素质的网络安全漏洞人才队伍,对于提升国家整体网络安全水平具有不可估量的价值。

(一)加强网络安全漏洞人才建设是应对网络空间攻防新形势的基本要求
当前,网络形势复杂交织,网络攻防深刻演化。漏洞已成为网络犯罪的首要工具和大国网空博弈的重要资源。
一方面,基于漏洞的网络攻击成为常态。千里之堤,毁于蚁穴。重要网络和信息系统,可瘫废于漏洞。2024 年以来,我国重要工业、金融、交通、国防、医疗和信息技术等领域的安全漏洞呈爆发之势。根据国家信息安全漏洞库(CNNVD)统计,2024 年收录的漏洞总数为 40034 条,比 2023 年(28691 条)增长 39.54%,其中,超危漏洞 2883 条,高危漏洞 9994 条。漏洞泛滥使网空形势更趋复杂。
另一方面,基于漏洞资源的争夺成为大国博弈的重要内容。美国将漏洞视为重要战略资源进行严格管控,从政策、立法和程序上构建了国家层面统一的网络安全漏洞披露协调和决策机制,同时严格控制漏洞资源的出口,在 2022 年完成对包括入侵软件等在内的网络安全物项的出口管制立法,重创全球网络安全漏洞的共享。此外,无论是斯诺登的爆料,还是方程式组织的武器泄露,美国大范围囤积漏洞打造网络武器已是不争的事实。
(二)加强网络安全漏洞人才建设是打造网络漏洞治理新范式的应有之义
随着社会网络化、数字化、智能化程度的不断提高,网络安全漏洞治理体系改革的紧迫性日益增强。加快网络安全漏洞人才建设,对于构建网络漏洞治理新范式、推进国家漏洞治理能力和体系现代化具有重要意义。
强化网络安全漏洞人才培养是突破漏洞治理瓶颈的关键。近年来,随着网络安全形势日趋复杂,漏洞发现难、漏洞处理效率低的问题日益凸显,其背后的核心问题仍然是网络安全漏洞人才培养未跟上形势发展的需要。部分国家已将漏洞治理提升到国家安全层面统一部署,将培养网络安全漏洞人才作为完善漏洞生态建设的重要抓手,在网络安全漏洞的发现收集、验证评估、修复消控等漏洞治理全流程,通过培养高素质网络安全漏洞人才,提升漏洞处理效率。
提升网络安全漏洞人才能力是应对“网数智”时代网安挑战的重点。随着物联网、云计算、大数据、人工智能等技术的广泛应用,网络安全漏洞治理变得更加复杂。传统的网络安全漏洞治理手段已经难以有效应对新型攻击。因此,需要更加专业、高素质的网络安全漏洞人才应对新型挑战。虽然当前人工智能的发展推动了漏洞研究的智能化,但是一些复杂隐蔽的漏洞挖掘和消控仍高度依赖安全人员的经验。这对新技术背景下网络安全漏洞人才的能力培养提出了更高的要求。
(三)加强网络安全漏洞人才建设是助力网络强国的重要举措
加强网络安全漏洞人才建设是完善我国漏洞治理体系,落实网络强国战略的重要一环。
加强网络安全漏洞人才建设,可进一步完善我国漏洞治理体系。近年来,我国在漏洞治理方面取得了显著进展。国家级漏洞库的建立,为漏洞信息的收集、分析、发布和修复提供了重要平台。同时,我国还颁布了一系列漏洞治理相关政策和技术标准,旨在规范漏洞的发现、报告、修复和通报流程。举措的落实关键在于人,当务之急是要构建系统化的网络安全漏洞人才培养机制,推动漏洞治理体系的不断完善。
加强网络安全漏洞人才建设,可带动整个网络安全领域的人才培养和发展。习近平总书记强调:“网络空间的竞争,归根结底是人才竞争。”在网络空间中,漏洞人才是网络安全人才的“领头雁”。培养高素质的网络安全漏洞人才,可以激发更多人对网络安全领域的兴趣和热情,进而推动整个行业的人才队伍建设。


二、我国网络安全漏洞人才建设亟需解决的关键问题

当前,以生成式人工智能技术为代表的新兴技术发展带来网络安全范式转变,给漏洞人才建设既带来了机遇,也形成了挑战。因此,要全面把握当前我国网络安全漏洞人才建设面临的难点和挑战,抓住关键问题重点解决,切实提升培养效力。

(一)最突出的难题是人才能力难以满足形势发展要求
基于网络漏洞的利用已成为网络攻击的主要凭借手段,攻击者利用漏洞的方式在升级,方法在演化,但高水平的网络安全漏洞人才缺口却在不断增大。
一是实践型人才不够。在培养环节,高校和科研院所作为网络安全漏洞人才培养的主要阵地,虽然近几年在课程设置、校企合作等方面进行了不少探索,但仍未建立系统的漏洞研究环境,漏洞挖掘、漏洞验证、漏洞消控等课程较为缺失,导致学生知识结构滞后和实践实战能力不足。在实践环节,我国大部分 IT 产业甚至安全行业,还未建立专门的漏洞研究部门,漏洞人才培养的生态系统还未建立。
二是需求对接不佳。当前,我国网络安全漏洞人才培育与服务国家重大需求还有一定差距,针对重要关键基础设施部门的漏洞发现能力不足,容易因“漏洞不明”加剧“底数不清”,也缺少对国际主流产品设备的漏洞研究,难以应对复杂的国际网络安全形势变化。
三是综合能力不足。漏洞研究是一项复杂的系统工程,不仅涉及软硬件、编程、逆向等技术领域,更需要攻防易位的思路方法。因此,有效的漏洞治理需要综合性、复合型人才。但现有的人才培养主要停留在漏洞应用研究方面,缺少研究深度、广度和思路方法的创新。
(二)最现实的挑战是激励措施缺失致使漏洞人才活力难以释放
漏洞报送奖励是国际通行做法,建立公开透明且具有可操作性的漏洞奖励计划,可充分依赖民间社区,及时发现和修复漏洞,推动负责任的漏洞披露,提升漏洞治理效度。当前,我国部分机构和企业已经建立了漏洞激励机制,但透明性和规范性不足,导致一些人员在发现漏洞后,由于奖励不足或缺乏明确的激励机制,选择不公开或延迟公开漏洞信息。另一方面,民间漏洞市场奖励繁杂,一些厂商或平台存在审核不严、奖励标准不明确等问题,导致漏洞市场乱象丛生。
(三)最根本的问题是网络安全漏洞人才体制机制还有待完善
目前,我国已建立了完善的网络安全保障体系,形成了全面的网络安全人才培养体系,但是针对网络安全漏洞人才的系统培养尚处于起步阶段,人才发展仍面临统筹规划、协调发展的机制性障碍。
一是统筹协调不足。从总体上来看,国家、组织、个人利益协同一致的漏洞共享机制尚不健全,漏洞人才培养还未形成合力,产学研用人才链相互割裂,高精尖专人才分布较为零散,未能建立从整体上把握全局、分层分类推进的人才培养模式。
二是与时俱进不够。当前,新一代人工智能、量子计算和物联网等技术快速发展,安全环境迭代升级,对网络安全漏洞人才能力提出了更高的要求。特别是随着生成式人工智能赋能网络安全,漏洞利用与治理已迈向“智能化对抗”阶段,并衍生“智能化替代”浪潮,不断倒逼网络安全漏洞人才在专业性上精进,提升应变能力和创新能力。
三是法律保障欠缺。如何平衡技术探索与合法合规之间的关系,是网络安全漏洞人才培养过程中的一大难题。一方面,漏洞挖掘与利用需要严格的法律指导,特别是应引导年轻人才对法律法规的理解,在漏洞处理工作中将国家安全考量放在首位。另一方面,针对担忧漏洞披露的法律责任而合作意愿低的情况,亟需建立完善的法律保障,明确免责款项。


三、加快推进网络安全漏洞人才建设的几点建议

网络安全漏洞人才培养既需要持续深化的体制改革,又要政府、企业、学术界和社会各界共同努力,用好激励机制,做好法律保障,不断创新人才培养模式、优化人才成长环境、激发人才创新潜力。

(一)合作是关键,汇聚网络安全漏洞人才培养合力
漏洞人才的培养是构建网络安全生态的关键一环,需要政府、企业、教育机构及社会各界共同努力,形成合力。
一是要凝聚共识通力合作。漏洞资源的战略性已成业界共识,当务之急是要建立健全漏洞治理体制机制。进一步扩大政府机构、科研机构、关基单位、安全企业间的密切合作,通过项目扶持、定向培养等方式,支持网络安全漏洞相关的专业教育与基础研究,不断充实优秀后备人才。
二是要加强统筹协同推进。漏洞治理的关键和根本,是要依赖国家层面统一部署的工作机制,漏洞人才培养亦如是。需要在国家层面培养基础研究、发现检测、风险评估等各个环节的专业人才,统筹推进漏洞治理体系建设,实现漏洞风险有效管控。
(二)机制是保障,构建网络安全漏洞人才培养生态
进一步打造我国漏洞治理生态的重要基础设施,以机制为牵引,完善漏洞人才的发现、培养、协同合作等环节。
一是探索建立国家网络安全漏洞人才库。破解网络安全漏洞人才零散分布在各行业领域、无法形成合力的问题,依托国家漏洞库、行业产业漏洞平台和高校研究机构的资源,构画和共享漏洞人才能力图谱,充分释放漏洞人才资源和能力潜力。
二是完善安全漏洞众测机制。众测机制能够为网络安全漏洞人才提供真实的网络环境和实践机会,使其能够在实战中锻炼技能,发现和解决实际的网络安全问题。此外,众测机制往往涉及多种类型的漏洞和实践手段,能够促使漏洞人才不断学习和掌握新的技能,适应不断变化的网络安全威胁。
三是举办网络安全人才竞赛。以竞赛为牵引,实现以赛促学、以赛促教、以赛促用,发现并吸引更多有识之士投入漏洞治理工作,推动漏洞人才的培养和产学研用生态发展。
四是成立漏洞技术研究联盟。以联盟为驱动,邀请来自不同领域的行业专家,交流漏洞分析、渗透测试、应急响应等基础知识,探讨实战实操演练和案例分析,培养既有理论背景又具备实践能力的专门性人才。积极鼓励“白帽子社区”交流,共同探讨技术经验与前沿方法,发挥好技术上的引领和传承作用。
(三)教育是基础,夯实网络安全漏洞人才培养体系
通过加强教育,强化人才的思想根基,锤炼实践技能,有效提高漏洞人才能力。
一是完善培养体系。加快构建多形式、多维度培训体系,通过学历教育、职业培训、用人单位内训等多种方式共同发力,构建理论与实践相结合的漏洞人才培养体系。加强高校与企业、科研单位合作,以国家重点需求和专项研究任务为牵引,为国育才。
二是搭建实训平台。建立网络安全攻防实验室,积极利用网络靶场,为人才培养提供在真实业务场景运用网络安全技术和工具的环境,提升监测与分析、风险评估以及应急响应等能力。
三是加强对“人工智能+漏洞”的研究与运用。加强漏洞研究与人工智能领域的交叉人才培养,强化与科研机构、高校和企业的合作,共同推进“人工智能+漏洞”技术的基础研究和应用研发,提升漏洞治理的智能化水平。
(四)激励是助力,促进网络安全漏洞人才培养良性循环
对在我国网络安全漏洞预警及风险消控工作中发挥了积极作用的组织或个人加大奖励力度,激发漏洞人才的积极性,面向需求形成更多高价值漏洞成果。一方面,规范漏洞奖励机制,设立明确的奖励标准,根据漏洞的严重程度、影响范围以及发现者的贡献程度给予相应的奖励。另一方面,畅通漏洞报送渠道,鼓励民间力量向国家报送高质量漏洞,引导网络安全漏洞人才参与国家漏洞治理。同时,漏洞接收部门需完善审核制度,对上报的漏洞进行及时的核实和评估,确保奖励的公平性和准确性。
网络安全漏洞人才培养是一项长期性、系统性工作,任重道远。“育才造士,为国之本”。新时代新征程,我们要以习近平新时代中国特色社会主义思想为根本遵循,始终坚持人才引领发展战略地位,拧紧“引才、育才、留才”的高质量人才工作链条,筑牢网络安全漏洞人才基石,为以中国式现代化全面推进强国建设、民族复兴伟业贡献力量。


【NISP官网】中国信息安全测评中心主任彭涛:筑牢网络安全漏洞人才基石,打造漏洞治理新范式
当今世界正经历百年未有之大变局,网络空间面临前所未有的安全挑战。网络安全漏洞作为网络空间的核心资源,正成为各国经略网络空间、升级网络防御的战略焦点,打造系统、高效的漏洞治理新范式也成为筑牢网络安全防线的关键举措。网络攻防核心在于漏洞,漏洞治理核心在于人才。党的二十届三中全会《决定》就“深化人才发展体制机制改革”做出了明确部署。在建设网络强国的关键期,在实现国家治理能力现代化的攻坚期,加强网络安全漏洞人才建设,打造漏洞治理新范式,是构建网络安全新格局,加快推进网络强国建设的重要方面。
长按图片保存/分享
0
上一篇 : 【NISP官网】2025年网络安全十大发展趋势发布下一篇 : 【NISP官网】HW岗位需求激增,国家基地实战课赋能,助你满载而归!
文章推荐
【NISP官网】NISP二级价值更趋显现,赋能就业,助力学员破茧成蝶 NISP-PT渗透测试工程师线下就业班第七期开班了!! 【NISP官网】NISP一级2023年8月考试通过名单 关于报考NISP二级的紧急通知 NISP-SO网络安全运维工程师证书 —从业真“证”有实力!

 

网安世纪科技有限公司-国家信息安全水平考试(NISP)管理中心 © 2001-2020  ICP备案号:京ICP备18045154号-6

网站地图

全部课程

在线客服
联系方式
投诉电话
010-8858 6366
紧急投诉
18510808999
投诉邮箱
luyao@nishr.cn
在线客服
添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了
京ICP备18045154号-6