前言
衆所周知,全球目前都面臨着一個問題,那就是網絡安全人才的短缺。根據(ISC)²網絡安全與教育中心的2017年全球資訊安全勞動力調查結果顯示,預計到2022年,全球具有從業資質的網絡安全專業人才赤字将達到一百八十萬。
很多業内分析人士認為,導緻這一問題出現的主要原因是因為高中、大學、研究所學生以及已就業人士缺乏應有的網絡安全技能教育。雖然網絡安全教育已經逐漸成熟,而且相應的制度也在逐漸完善,但我們仍然有很長的路要走。比如說,我們怎樣才能吸引有天賦的青少年從事網絡安全工作呢?實際上,在網絡人才教育方面,很多組織都在做出自己的貢獻。接下來,就讓我們一起來看一看到底如何才能更好地培育出下一代網絡安全人才。
培養興趣,要從“娃娃”抓起
IBM Security 的全球執行安全顧問Diana Kelley認為,很多人在選擇某個行業之前肯定是要對這個行業感興趣,是以他才會選擇在上學的時候着重學習這個方面。網絡安全也是一樣,但網絡安全這個領域的學習周期可能比其他行業要更加長久一些。
IBM從2011年開始,就一直在努力通過讓高中生親手打代碼的形式來嘗試激發出他們對技術的興趣(P-TECH計劃)。在這個時間長達六年的計劃裡,技術合作企業、政府機構、當地學校以及社群學院不僅給廣大資訊安全愛好者提供了一對一指導、有嘗實習崗位和免費的副學士學位(美國大學修滿二年課程的肄業證書),而且還給成績優秀的學生提供了科技公司的入職機會。
在2014年,也就是P-TECH計劃實施的第三年,有150名來自紐約頂尖高校的精英參加了這個網絡安全技術教育訓練計劃。他們在實踐過程中學習了很多操作技能,例如網絡管理技術和資訊驗證分析等等。他們不僅學會了如何管理一台Unix伺服器,而且也學會了通過檢查日志檔案來了解系統曾經發生過什麼事情。除此之外,他們甚至還深入學習了網絡安全法律的發展程序以及法律條款。Kelley表示,他們還希望這些優秀的學生在畢業之後能夠進入IBM的網絡安全部門工作。
有待改進的地方
雖然我們的教學内容以及課程是非常有實用價值的,但是我們可能會忽略非常重要的一點,即學生對科學技術感興趣這并不等同于他們對資訊安全感興趣。是以,我們應該傳遞給年輕人的資訊是:網絡安全不僅是一個令人興奮的行業,而且也是一份非常穩定的工作。除此之外,有些年輕聰明的孩子在學會了這些網絡安全技術之後,很可能會誤入歧途,是以我們需要讓這些孩子站在正義的這一邊,這樣他們才可以成為我們今後與網絡威脅作鬥争的核心力量。
菜鳥訓練營-網絡安全的速成班
實際上,網絡安全行業需要的不是你的學位,而是你的技術。那些能夠在網絡安全行業做到優秀的人,往往是那些敢于探索的人、能夠解決問題的人、以及有着強烈道德觀念的人,但這一切的前提是你必須擁有足夠優秀的技術能力。
網絡安全速成班不僅可以給那些來自其它領域的專業人士提供技能教育訓練,而且還可以給那些沒有機會去上四年大學的榮民或千禧一代提供教育機會。這些網絡安全菜鳥訓練營的教育訓練計劃時長一般在三到六個月内,主要通過實際操作網絡安全工具來學習網絡安全技術,這樣可以在固定的時間裡以最快的速度學到更多的新知識和新技能。
在面對美國高失業率的情況下,網絡安全菜鳥訓練營也可以幫助對失業勞工進行再教育。像美國俄亥俄州和密歇根州這樣的地方有着大量的藍領勞工,他們再汽車工業或制造業領域有着極其豐富的經驗和技術。經過三到六個月的教育訓練,聰明的他們肯定能夠掌握一定的網絡安全技術,而等待着他們的很可能就是一個中上層階級的高薪工作。除此之外,美國國防部以及國土安全部也已經在采用這種訓練營模式了。不過他們的效率相對較高,他們可以在不到六個月的時間裡将受訓人員教育訓練成為一個能夠掌握最新網絡安全技術和工具的人。
有待改進的地方
我們希望在未來能看到越來越多的由政府資助的網絡安全訓練營出現,雖然當這些人完成了學業之後,将至少需要為聯邦政府工作一年,但是這種教育訓練計劃不僅可以為國家輸送安全技術人才,而且也将有利于私營企業。
行業證書也許比學位更加重要
對于某些公司來說,職業資格證書比學位要更有價值。因為我們可以看到,很多學生雖然沒有拿到學位證書,但他們如果通過了網絡安全行業的資格認證,那麼他們同樣可以找到一份好工作。
在2014年到2015年,(ISC)²總共頒發了9017份證書,而在2015年到2016年,(ISC)²總共頒發了10130份證書。越來越多的人選擇參加(ISC)²的資格教育訓練課程了,他們在通過了(ISC)²的考試之後就可以拿到由(ISC)²所頒發的副學士學位。考慮到很多公司對求職人員有工作經驗的要求,是以我們也給他們提供了一年以上的實踐機會,他們隻需要再經過一年左右的學習和實踐,就可以成為一名合格的網絡安全從業人員,而工作經驗不會再成為他們求職道路上的攔路虎。
有待改進的地方
整個行業需要更多的非營利機構以及私營企業能夠認可這些網絡安全證書,目前全球有一百多個國家組織都在頒發自己的網絡安全證書,簡單來說,我們希望所有的這些證書能夠實作全球通用。因為所有的證書都是受訓人員努力學習的成果,是以我們應該提出一種公平、公正的認證模型,而這必須是一種全球都認可的網絡安全認證模式。
網絡安全學位和研究所學生課程的蓬勃發展
現在,越來越多的高等院校都開設了網絡安全課程,而且還有很多學校得到了聯邦機構的捐款資助,這就相當于是政府與學校的聯合辦學。很多英國、歐洲和美國地區的高等院校借鑒了美國國家标準及技術研究所(NIST)以及英國網絡情報中心的教育訓練模式,并且能夠給學生提供碩士級别的網絡安全教育訓練課程。
但是對于企業的首席資訊安全官來說,他們幾乎不可能送自己公司安全崗位的員工去大學進修一年,尤其是在目前安全人才緊缺的時候。進修确實可以幫助他們學習到更多的技能,但這個成本是企業負擔不起的。因為安全威脅的變化是非常快的,而安全技能也很容易過時。更加重要的是,很多公司都想從其他公司挖走頂尖的網絡安全專家。是以一旦你允許他們去參加教育訓練,那麼他們就有可能跳槽,而作為公司CISO的你卻什麼都沒有得到。
有待改進的地方
雖然越來越多的高等院校開始為學生提供網絡安全方面的課程,但是我們希望能夠有更多的人坐在教室裡的凳子上學習這些課程,接受這些教育。因為光開設課程還遠遠不夠,我們需要的是更多的參與。
總結
這篇文章大緻描述了美國目前的網絡安全教育情況,并且也讨論了其中有待改進的地方,我們希望大家可以由此反思一下我們國内的安全教育情況。盡管國内越來越多的機構開始提供網絡安全教育訓練課程了,但我們的網絡安全現狀以及人才培養的情況是否達到了我們的預期呢?