11月3日,“2022补天白帽大会”在上海召开。来自政府、厂商、研究机构嘉宾以及“白帽”人才(编者注:“白帽”与“网络黑客”相对)汇聚一堂,围绕培养实战化网络安全人才、构建多元化人才培养体系进行深入探讨,并分享先进白帽技术在实战场景中的应用。
共建实验室揭牌探讨安全人才培养新模式
做好漏洞风险防范治理和人才培养工作,是维护国家安全、保障网络空间稳定的必然要求。“政产学研用”各方对这一观点达成了共识。
中国信息通信研究院副院长魏亮表示,当前,培养白帽子等漏洞人才、做好漏洞资源管理,已成为各国的共同选择和发力方向。希望通过各方携手共建,做好漏洞管理及漏洞人才队伍建设,打造漏洞治理新范式,为漏洞治理和人才培养持续贡献更大力量。
相关法律法规也为漏洞治理和人才培养指明了方向。就此,上海市通信管理局副局长王天广表示,希望奇安信和补天平台充分发挥领军企业和第三方平台的定位和作用,按照《网络产品安全漏洞管理规定》和《网络产品安全漏洞收集平台备案管理办法》的指引,引导白帽人才发展、做好网络安全人才培养、打造良好的白帽生态,助力国家网络安全技术能力和人才队伍的整体提升。
科技创新和人才培养的需求,对高校和企业都提出了更高要求。会上,奇安信集团与上海交通大学现场签署了合作协议,并为信息系统安全联合实验室揭牌。
上海交通大学党委书记杨振斌表示,上海交大和奇安信联合建立信息系统安全共建实验室,正逢其时。联合实验室的建设,将为推动相关领域的技术进步和产业升级发挥积极的作用,在服务国家重大需求的同时,实现合作双方的互惠共赢,为推动我国信息安全领域的发展作出应有贡献。
奇安信集团董事长齐向东表示,网络安全实战化时代,高水平的网络安全人才已经成为稀缺资源、抢手资源。联合实验室将发挥校企双方优势,共同培养国家高水平网络安全人才。补天大会也将持续激活白帽力量,引导白帽子用实际行动守护网络安全。
聚焦实战报告描绘白帽人才画像
“政企机构亟需大量实战型网络安全人才来支撑网络安全运行。”奇安信集团总裁吴云坤表示。他介绍,北京冬奥会的网络安全保障,离不开充足的、高水平的网络安全工作人员,但当前,面向实战安全运行的运维人员、安全分析人员、攻防渗透人员全面短缺。在国家实网演习中,防守单位需要借助第三方安全公司的力量,来弥补人员和能力的不足。大型企业搭建网络安全运行体系,也需要借助第三方安全公司的安全运行服务,来弥补相应不足。
吴云坤表示,“补天漏洞响应平台”将监管机构、厂商、白帽人才汇聚在一起,在漏洞挖掘数量、人才培养、知识交流等方面,打造全新的众创模式,培养攻防人才。
针对当前我国白帽人才特点及实战化能力现状,补天漏洞响应平台联合奇安信行业安全研究中心,联合发布了《2022中国白帽人才能力与发展状况调研报告》与《2022中国实战化白帽人才能力白皮书》。报告显示:当前,我国白帽人才实力整体提升、10后崭露头角,但高水平实战化白帽人才稀缺。
报告显示,国内白帽人才平均每人每年向各大漏洞平台提交的安全漏洞数量为69个,较2021年增长46.8%;每年人均提交有效漏洞数超300个的“超级挖掘机”约占6.6%,白帽子的漏洞挖掘能力普遍提升。白帽人才的年轻化趋势愈发明显,00后、10后崭露头角。相比于2021年,80后、90后占比均有所下降,而00后、10后白帽数量增加,占比之和近44%,成为一支强势崛起的“新势力”。
《2022中国实战化白帽人才能力白皮书》则将“实战化白帽人才能力图谱”进行了拓展。最新调研成果显示,在“实战化白帽人才能力图谱”所关注的3个级别、14大类、87项具体的实战化能力中,各项能力总体的平均掌握率从2020年末的38.8%,提升至2022年7月的45.4%,提升了6.6个百分点,整体水平有所提升;但拥有高阶能力的实战化白帽人才比例出现了小幅下降。这也是必须引起重视的一个现状:在当前和未来一段时间里,高水平的实战化白帽人才仍然较为稀缺。
