发布时间:2024-07-06 来源:杏彩体育官网
“索洛悖论”,又称为“生产率悖论”。1987年诺贝尔经济学奖获得者罗伯特·索洛提出一个质疑——计算机无处不在,除了在生产率的统计上。对信息技术的应用与发展到底能不能提升生产率产生疑问。
这是个问题吗?线年金融危机以来,世界经济出现奇怪现象,即在大数据、人工智能、虚拟现实、无人驾驶等领域技术创新与产业高质量发展的同时,依照传统统计方法计算的全球生产率却明显减速。
“索洛悖论”直到今天依然被争论,但有一个新的共识,即新兴技术转化为生产率,需要配合组织形态(生产关系),尤其是人力资本水平的提高。
在网络安全领域,“索洛悖论”同样具有启发意义。网络安全产业发展不缺乏理论创新、技术应用、产品实践,但面临最大的难点和关键点,就是人力资本水平,也就是我们老生常谈的网络安全人才教育培训。
“我国网络安全人才紧缺,缺口高达50万到100万人,也有人说缺口在70万到140万。目前高校每年输出专业人才在2万余人,非常缺乏实战型的人才。”
这大致就是近三五年来的行业共识。在网络安全人才缺乏的共识之下,人才洼地分布、行业吸引力、市场需求导向造成诸多特点,认识到这些特点,有助于我们完善科学的人才培养体系,输出高可用、高匹配的人才类型,形成可持续发展的教育实践。
人才洼地是指通过发挥政策、环境的优势,着力营造广纳八方英才的人才环境,形成人才流入门槛降低、流入成本减少、人才环境良好的人才聚集地。
城市化进程、产业高质量发展与人才流动的关系紧密相关。就业方面,泛珠江三角洲、泛长江三角洲、泛渤海湾三大区域经济体是数字化人才的主要就业地。2019届从事互联网、计算机、数据处理类职业的本科生中,在这三大区域经济体就业的占比分别是29.7%、27.5%、19.0%。
2019年国内“独角兽”企业分布数据中发现,北京、上海、深圳和杭州四个城市的独角兽公司数全国占比71.6%,与2018年的77.2%相比会降低。表明慢慢的变多的城市注重营造创新创业生态,培育和引进创新型企业。独角兽企业的分布扩散,高科技产业由特大城市向一类城市扩散,释放出巨大的人才吸引力。这将缓解地理分布上人才不均的状况。
注:独角兽企业评选标准需要满足四个条件:在中国境内注册的,具有法人资格的企业;成立时间不超过十年;获得过私募投资且尚未上市;企业估值超过(含)10亿美金。
调研发现,多数网络安全毕业生选择就业依然倾向于互联网行业,并且“独角兽”企业对安全人员更具有吸引力。另一方面,由于对传统行业的认知不足和认知偏见,所以大多数毕业生并不倾向于进入传统行业。在一些领域,传统行业招聘岗位数量有限,“体制福利”仍然是影响就业决策的重要因素。
这种趋势将造成人才流入的行业,竞争非常激烈,择优入取。另外的一些行业将长期存在缺乏网络安全人才的局面。
安全厂商对网络安全人才需求迫切。安全产业经过爆发式增长并逐渐形成较为稳定的行业格局,这有助于产业经营、技术和服务能力的提升。另外一方面由于传统行业的安全人才流入量低,产生了大量的安全外包需求,这将对安全服务业务起到推动作用。
最为常见的安全外包服务例如渗透测试,全球的市场占有率预计以23.7%的复合年增长率从2016年的5.947亿美元增长至2021年17.243亿美元。新兴业态的形成将对人才流向进行调整。
2020年7月,社科文献出版社与麦可思研究院联合发布就业蓝皮书。指出就业率、薪资和就业满意度综合评分较高的“绿牌专业”分别是信息安全、软件工程、网络工程。行业需求是造就绿牌专业的重要的因素,随着数字化转型的深入发展,对数字化人才的需求将不断释放。
同时我们也注意到,对于不一样的安全人才,缺乏完备的导向机制(如培训实践、职业发展、岗位发展等)。大众媒体资源更加关注优秀的研究型人才,过度追逐“光环效应”。对于市场需求量最大的应用型安全人才群体,缺乏足够的关注。提升应用型人才技术能力和职业水平是目前人才培养的一个重要课题。只有从这个维度,才能相对缓和人才洼地分布、行业吸引力两方面带来的影响。
从人才洼地分布、行业吸引力、市场需求导向,三者的作用力是一致的,“马太效应”十分明显。正如对“索洛悖论”讨论,网络安全本质是人与人之间的对抗,以人为本的网络安全体系的建立是产业高质量发展的关键,意识和技能的缺乏会让再先进的安全设备也形同虚设。
网络安全人才教育培训关键还是以产业高质量发展、商业实践、市场需求为动力和准则,形成政府机构、学校、企业三方的紧密协作,共同参与。
随着技术场景的持续不断的发展,5G、大数据、人工智能、区块链的安全问题绝不可能一刀切来解决,互联网空间安全学科作为一门“交叉学科”。跨学科学习、社会实践与教学发展特色相融合是关键。实际上我们已看到在高校教育中的一些创新。
甘肃政法大学根据西北网络安全产业高质量发展特点,实现网络安全基础研究和应用实践之间的平衡。互联网空间安全学院结合法学优势学科,确定了“内容信息安全”和“网络安全”两个学科方向、突出“网络威胁情报分析”和“网络犯罪侦查取证”特色。重点解决社会法治综合治理中存在的网络安全、舆情分析、网络取证等问题。
这样一来,学校形成了差异化学科、实现了专业化发展。为社会培养了多层次互联网空间安全人才。另一方面,随着学校教学模式创新,教师角色也在转变。教学实践上提倡从课本到实践。教师角色也从单纯传播知识,变为项目带头人,带领学生一共进行实践和创造。将实践融于教学之中,形成项目即为课程的教学思想转变。
目前国内众多高校的网络安全学科都在致力于自身教学革新。除此之外,高校人才教育培训领域的经验逐渐向产业输出,为产业提供了极具价值的人才选拔防范和培养经验。
随着企业对网络安全人才的渴求,相关的人力资本逐渐处于优先的投入地位,以人力资本的投入带动资产增长和投资回报。
从当期的损益来看,人力资本的超前投入会增加短期的成本,大量招人会增加工资支出和期间费用支出,有可能减少公司的当期效益;但从长久来看,会把握机会、创造机会,增加企业的长期效益和价值。从XCTF国际联赛在网络安全专业人才合作趋势,能够正常的看到大规模的公司对人力资本的重视程度。
注:人力资本的概念,最重要的包含员工的教育水平、智力、技能和学习能力、创造力、团队合作生产力和员工数量等。
最早由清华大学、上海交通大学、福州大学、赛宁网安等高校和企业发起的XCTF国际联赛,旨在打造国内高校网络安全人才培养的氛围和环境,逐渐形成带动效应,推动了网络安全竞赛在国内的流行,形成了一批高质量的网络安全赛事。
CTF(夺旗)竞赛是培养网络安全人才行之有效的方法。雇主单位十分青睐CTF参与者,甚至不惜重金举办网络安全竞赛来招聘安全人才。在企业内部,CTF是保持团队状态的一种方法。大约54%的安全专家这样认为每年参与一次或者多次的CTF竞赛。这种模式需要参与者具备一定的经验和技能,例如技术专长、逻辑能力、理解能力、团队协作等等。
近几年行业网络攻防比赛中,企业参与人员感受是与自身工作关联度低,缺乏实际的目标导向,导致学习和参与热情不高。在例如在金融行业培训中,从业人员希望可以结合金融行业相关系统、业务,能学以致用。在技术方面侧重Java而不是PHP、通信侧重业务逻辑、防篡改而不是一些PWN漏洞、密码学等。竞赛靶场多是由高校人才培养演变而来,逐渐形成了产业化、场景化、实战型的综合竞赛演练平台。
从人才需求的角度来看,“懂行业、有技术、能实践”是企业争夺的重点人才。围绕从技术视角向场景视角的转变,着力培养具有场景应用能力的人才。
华为消费者BG与哈尔滨工业大学合作XMan冬令营,打造场景应用人才的最佳实践。持续三年进行移动安全领域的人才教育培训。首先通过竞赛形式选拔在移动安全领域有一定基础的大学生。邀请高校、企业的专家和讲师进行定向培养,以移动安全领域的课题进行授课和探究。并将华为的产品家族作为实践对象。,三年持续为华为以及移动安全产业领域输出了优秀的研究型人才。
第一是个人学习过程是在行为过程中的学习,即在实践中学。通过在教学过程中,充分运用靶场教学场景、实验与演练。
第二是找优秀的导师。个体的学习最初往往是一种模仿过程,模仿的对象主要是周围环境中其他人的行为。教学过程中,华为技术工程师带领6-8人学生,选择指定产品作为靶标进行实践。在一个周的时间里,取了令人惊讶的成效。
第三个方面是学习稳定化、定型化的倾向。一定时期学习过程的积累,个体会形成知识结构和思维方法。企业通过这一种模式吸引了一批与企业价值观相契合的优秀人才。
数据显示,XMan毕业生入职华为的学员数量位居榜首,很多学员入职了阿里巴巴、腾讯、字节跳动等互联网公司,部分学员入职网络安全企业,如奇安信、安恒等。还有部分同学活跃在各类研究院及其他几个国家政府单位。
近几年,网络靶场方兴未艾,对网络安全实战型人才培养起到推动作用。在高校侧,网络靶场应用主要价值在于课程教学、实验环境、构建场景、技术测试、安全竞赛等。但缺乏公司制作中的场景,例如防御模式、安全策略、安全配置、攻击面分析等。
企业虽然具备了最为真实的场景,最为多元化和复杂的安全设备和工具,但持续进行人才教育培训毕竟不是企业强项。在校企合作方面,利用互联网靶场来构建融合地带。
网络靶场最大特点是用最低成本来容错,是非常好的一块试验田。通过校企合作,来快速弥补短板,构建新型竞争力。高校通过靶场形成“实验机床”,发挥人才优势,对合作企业的新产品、新技术做验证,做到在项目中学习,在实践中成长;企业通过靶场构建自身的“虚拟仿真”,无须担心开放性带来的安全风险,形成企业特点的练兵场。