9月6日，国内首部聚焦网络安全人才实战能力的白皮书——《网络安全人才实战能力白皮书》（下称《白皮书》）在2022年国家网络安全宣传周上正式发布。据《白皮书》主要撰稿人之一，教育部高等学校网络空间安全专业教学指导委员会副主任委员、中国科学技术大学网络安全学院执行院长俞能海介绍，《白皮书》聚焦实战，着重从网络安全人才实战能力方面展开研究，为党政机关、重要行业、企事业单位及高校等单位的人才建设战略提供重要参考。
　　当前我国网络安全人才缺口巨大
　　当前，网络空间安全面临的形势复杂多变，对抗趋势越发凸显。以窃取敏感数据、破坏关键信息技术设施为目标的有组织网络攻击愈演愈烈，零日漏洞、供应链攻击、数据泄露等重大安全事件层出不穷。俞能海表示，面对新形势，网络安全的战略地位和重要性已经得到全社会的认可。网络空间的竞争，归根结底是人才的竞争。但当前我国网络安全人才缺口巨大，已经成为制约我国相关产业发展的主要瓶颈。据《白皮书》数据，到2027年，我国网络安全人才缺口将达327万，而高校人才培养规模仅为3万人/年。
　　同时，网络安全是一个非常特殊的领域，其主要工作就是在网络空间这个数字“战场”进行实打实的攻防对抗，发现和解决安全风险。但在网络安全人才缺口中，实战型人才缺乏的问题更为突出。据《白皮书》调查数据显示，有高达92%的企业认为自己缺乏网络安全实战人才，这也成为整个数字化转型过程中急需解决的重要命题。
　　攻防实战人才成为行业“刚需”
　　据悉，《白皮书》基于420余场不同领域的专业网络安全赛事中超过85000条实战数据，889份调研问卷，从实战人才的供给侧及用人单位的需求侧，全面呈现我国网络安全实战型人才的供需现状、培养现状、评价方式及发展建议。
　　何为“实战”能力？《白皮书》从业务需求出发，将网络安全人才实战能力归纳为“攻防实战能力”“漏洞挖掘能力”“工程开发能力”“战效评估能力”四种类型。
　　其中，本次《白皮书》将重点聚焦的攻防实战能力定义为：在真实业务场景中，利用网络空间安全技术和工具开展安全监测与分析、风险评估、渗透测试事件研判、安全运维、应急响应等工作的能力。这需要网络安全人才掌握各类安全标准的落地实践经验，可以熟练使用网络安全技术和工具，为具体业务开展风险评估，提供安全落地规划指导和建议。同时，网络安全人才还应具备一定的调查取证能力，能够在受到攻击后收集、处理、保存、分析并呈现计算机攻击相关证据，为后续的攻击溯源或案件侦查提供帮助。
　　《白皮书》数据显示，当前对网络安全人才的需求中，能源行业的需求量位列第一，在细分行业中占比为21%，其次是通信、政法、金融、交通、医疗卫生等行业。预计未来3~5年内，具备实战技能的安全运维人员与高水平网络安全专家，将成为网络安全人才市场中最为稀缺和抢手的资源，加强网络安全攻防实战人才的培养已成为行业共识。
　　科学规划网安实战人才培养路径
　　《白皮书》给出了明确的网络安全攻防实战人才的培养路径。围绕网络安全人才实战的四种能力和三种验证方式，《白皮书》提出网络安全人才实战能力培养的“4+3模型”。
　　对如何科学系统地培养攻防实战人才，《白皮书》建议，首先建立统一的网络安全攻防实战能力框架，同时通过“竞赛选拔、分类提高、职业引导”的方式，将竞赛、众测、攻防演练、技术分享等方式相结合，形成常态化的攻防人才成长通道。同时，网络安全是一门综合性学科，借鉴国外经验，《白皮书》提出ASK-P模型，将网络安全人才培养分为意识、技能、知识、实践四个维度，旨在培养多学科融会贯通、具备综合实战能力的复合型人才。
　　《白皮书》还面向网安实战人才培养，从学校课程教学体系优化、产教融合、政策扶持等方面提出了诸多可行建议。《白皮书》就如何培养攻防对抗人才，从技能知识、实践场景、梯队建设、联合培养等多个角度给出了已经验证的可行性路径，对人才的培养方、需求方都极具参考价值。新安晚报安徽网大皖新闻记者叶晓