github安全教育(github 网络安全)
从国家战略的角度来说,国家执行自主可控的战略,有利于我们建立自己的操作系统和应用软件体系,这些基础体系为后续发展自主可控的安全体系奠定了基础。因为安全技术本身的迭代和升级也受制于系统的发展,现在多数系统都是国外的,我们想要发展安全体系,跟操作系统、应用软件商合作,目前我们和他们的合作是有受限的,国外厂商不会单独为我们定制安全机制,所以安全升级会受制于他们。如果我们能够做到自主可控,战略上会有非常深远的影响。
观察者网:你们在实践当中有没有碰到过自主可控的系统,比如中国电子搞的一些软硬件体系?它的实际安全程度怎样?
张雪松:我们实战过程中确实发现,自主可控的系统发生的安全事件本身会少于通用系统。但也还是有的,这也是因为我国现在的自主可控技术还没有完全成熟,处于一个成熟过程当中,还是用到了部分与国外技术有关的引擎和内核。而这些引擎和内核的逐步自主化,还是一个比较漫长的过程,所以针对这些内核和底层的一些漏洞进行攻击,还会生效,但是对于一些应用层或表现层,包括一些组件、插件进行攻击的话,大部分都会失效。
观察者网:您对于中国网络安全行业的发展水平如何评价?我国的网络安全体系目前是否够用?
张雪松:目前总体来看,整个中国的网络安全行业仍处于高速发展期,还达不到成熟期,发达国家安全行业已经成熟,我们还有3-5年的差距。
中国信息安全人才十分紧缺,据我们调研统计,在中国网络攻防领域的专家大致在15万左右,但整个行业对攻防专家的需求量在30万左右,缺口比较大。网络攻防专家必须熟悉黑客技术,懂攻才能懂防,但是这类人才成熟化的培养路径不专业、不统一,没有专门学科,多数黑客专家都是通过自学,在攻防实战中摸索技术,甚至通过网上的一些技巧分享成长起来的,所以他们的成长路径实际上不稳定,这也导致人才缺口的出现。
同时,在攻防技术研究方面,国外确实略领先,因为他们也有发展优势,目前主流的操作系统、应用软件,都是国外品牌和技术,编程语言也是英语语系的,所以国外的技术研究人员有得天独厚的优势,他们的研究会略领先于国内。
但是,现在国内也有一些优势,首先,国内的信息安全人才基数相对更大,这是因为我国高素质人口基数比较大;其次,国内信息安全公司数量也相对较大,比国外国家要多,这也为未来的安全发展奠定了基础,激烈的行业竞争会加速行业发展。第三,中国的互联网高速发展,应用场景更多,面临的安全问题也更多,安全实战经验积累会更快。
观察者网:某种意义上来说,市场体量更大。
张雪松:是的,市场体量也造就了一个中国网络安全的发展优势,所以总体综合来看,中国和外国的网络安全实力是旗鼓相当的。
5月14日,东芝欧洲业务遭黑客入侵
观察者网:前面提到的网络安全人才培养体系的问题,从你们来看,有没有解决办法或者建议?
张雪松:我们一直在研究和分析黑客技术人才的成长路径,我们本身也在做黑客专家平台,通过平台吸纳的用户基本上都是这个领域的人才,从大数据的角度来说,他们的年龄构成非常年轻,80%以上都是在20岁以下,16岁左右的人数最多。
首先,这个人群对网络安全的兴趣非常浓厚,他们在高中、大学或者一些专科学校读书,也有不少没有进入正常工作岗位,是一些无业的网络爱好者,他们有能力和精力来学习网络安全技术,也没有太多的社会负担。
我觉得从行业人才培养角度来说,首先建议国家层面鼓励整个教育领域来关注网络安全,一是看国家本身是否能够提供相应的学科和相应的兴趣引导,让我们的在校学生早一点接触到相关内容,甚至从小学就可以接触,这个非常关键,因为兴趣是安全技术人才成长非常重要的因素,如果能及早发现和培养人才,中国会诞生大量的安全专家。
第二,社会层面,疫情之后网络教育变得非常成熟,应该有更多导师开设网络课程,建立更加体系化的安全人才培养路径。当然这样的过程必须辅以安全普法教育,避免培养“坏人”。
