新思路：从退伍军人中培养网络安全人才

众所众知，网络安全虽然在我国出现较早，各细分领域也逐渐步入成熟，但对于外行人来说，网络安全到底是一份怎样的工作，无人知晓。这几年，网络安全人才缺口越来越大，不少企业安全负责人和资深大佬都在讲人才匮乏，背靠互联网行业、相对较高的薪资却吸引不来人才，这有点“别太荒谬”。

实际上，网络安全缺乏人才有几方面原因，第一是高校招生力度不大，网络安全行业成为高校一级学科还不到十年，科班出身的安全人才供不应求；第二是门槛较高，相对于开发，网络安全需要的相关技能较为全面，同时还需要攻防及企业运营经验；最后是外界认知较少，网络安全群体主要以小圈子为主，无法向外界统一阐述网络安全领域的整体形象。

那么，对于刚就读网络安全专业的大学生和渴望从事网络安全相关岗位的求职者来说，网络安全从业者应该具备哪些特质或是技能呢？

退伍军人更适合网络安全？

约翰娜·伍德（Johanna Wood）是加拿大陆军军团斯特拉斯科纳勋爵（Lord Strathcona‘s Horse）的一名装甲船员。乍一看，伍德的军事角色似乎与网络安全格格不入，但伍德认为，她在军团的工作经验让她在进入网络安全行业时拥有显著优势。她表示，在军团入伍时，她接受了全方位的侦察训练，这使她在网络安全领域工作时，能够更具侦察思维，能够善于发现不寻常或不应该存在的东西。

伍德于2007年至2012年服役，离开军队后在公共关系部门工作了几年。2017年之前，她一直是一名全职妈妈，而现在，她正通过非营利性的退伍军人培训机构为就职网络安全做好准备。起初，伍德想要学习网络开发，但在通过能力测试及导师的建议后，她认为网络安全似乎更适合她，因此，她改变了课程。

其他从事网络安全工作的老兵也有类似的观点。奥斯汀·伯格拉斯（Austin Berglas），一位在美国陆军服役六年的上尉表示，他在军队期间学习的东西非常宝贵，退伍后，他在联邦调查局（FBI）从事网络安全工作，现在是BlueVoyant专业服务的全球负责人，负责事件响应、法务团队以及相关的咨询服务。

伯格拉斯认为，网络安全团队需要专业，有纪律以及“当你需要成为领导者时，知道如何成为领导者，当你需要作为追随者时，知道怎样成为追随者”，而这些能力都可以在军事经验中获得。

另一位来自美国空军的退役军人莱斯利·卡哈特表示，她所经历的军事演习等让他知道了民用网络安全的重要性，并对网络攻击所带来的危险有了更高的认识。“我意识到网络安全事件的物理影响，当关键信息基础设施被网络攻击时，我了解会在现实中发生什么。”目前，她是Dragos的事件应对主管

作为退伍军人群体的一员，伯格拉斯和卡哈特主张将退伍军人视为网络安全的重要人才资源。他们和其他从业者认为，军事训练和军事经验为退伍军人提供了在网络安全方面有价值的观点，这些观点很难在办公室中形成。此外，他们表示，加大培训和招募退伍军人的力度，有助于缓解困扰网络安全领域的持续人才短缺问题。

伯格拉斯表示，退伍军人更容易理解网络安全是国家安全利益。他表示，平民并非没有保护国家利益的意识，但退伍军人对恶意利用敏感信息有着更深的理解。

实际上，这也层面反映出网络安全从业者需要的能力。作为一门需要对抗的行业，网络安全从业者应具备军人一般的意志和勇气，并对网络安全保持高度的警惕。只有人挑专业，没有专业挑人。任何人只要对网络安全抱有兴趣，就可以通过学习、工作的过程中贴合网络安全从业者的职业习惯。

在这个过程中，网络安全从业者需要具备以下素养：

首先是逻辑性 ， 网络安全指的是整个局域网的安全防护，包括防火墙、安全网关、入侵检测、入侵防御、加密机等。层峦叠嶂般的防护体系需要从业者拥有缜密的逻辑，以便将这些安全技术和工具按照先后顺序、连贯性及重要程度展开相应的工作。

其次是冒险精神 ， 网络安全及信息安全主要围绕着安全防护，其目的是保障组织或关键基础设施被非授权泄露、更改、破坏或使信息被非法的系统辨识、控制。而围绕着这些防护所产生的的工作极具挑战性，从业者需要不断发现漏洞，修复漏洞，长此以往。网络安全从业者的抗压能力和攻坚能力都会有一定的提高。

第三是耐心 ， 网络安全离不开程序和代码，也离不开bug。一壶茶，一包烟，一个bug修一天不是戏言，修复bug不仅要耗费大量的时间，对人的精力和耐心也是很大的挑战，因此，从业者需要保持耐心，坚持解决任何问题。

第四是善于交流 ， 网络安全不是一个人的工作，特别是在一些大集团或大的组织中，网络安全往往会组建团队，这就需要团队合作。在这个团队中，从业者不仅要和其他同事交流技术经验，还要对客户、供应商以及企业内其他部门进行沟通交流。因此，从业者需要顺畅的表达个人的想法和观点，并以此获得管理方面的能力。

最后也是最重要的思想端正 ， 互联网对政治、经济、社会和文化的影响不言而喻，保障信息安全成为各国重要议题。网络攻击从最初的自发式、分散式的攻击转向专业化的有组织行为，呈现出攻击工具专业化、目的商业化、行为组织化的特点。所以我国高度重视信息安全产业的发展，信息安全专业毕业之后从事的工作，会涉及到公司信息安全甚至国家信息安全。信息安全从业者肩负的不仅是公司的信任，还有保卫国家的责任，所以更要注重道德底线与法律底线。

北京赛博英杰科技有限公司创始人谭晓生 表示，首席信息安全官必须深刻理解企业的愿景、战略和业务方向，采取一切必要步骤，确保信息资产得到适当保护，确保组织的安全态势与业务愿景保持一致；要多沟通，善于与公司内外的各利益相关方建立并保持协同、共生的关系是首席信息安全官成功的关键因素；要有远见和前瞻性。如果没有高瞻远瞩，那就只能亡羊补牢，疲于奔命应对各种安全风险。首席信息安全官需要适应不断变化的网络空间威胁环境，适应不断变化的业务要求；要不断持续学习。技术每天都在变化，信息安全格局和网络威胁每天都在演变。首席信息安全官需要拥抱变化，抱着始终是学生的心态；要塑造企业安全文化。首席信息安全官可以搭建最好的安全团队班子，但如果忽视打造企业安全文化，员工仅仅是未及时升级修补系统漏洞，或不经意间点击了一封邮件中的一个链接或附件，就有可能葬送掉安全团队的全部努力。首席信息安全官应该在最高管理层的有力支持下，监督、促进和鼓励组织内的安全行为习惯与最佳安全实践。

某人才招聘企业负责人 表示，从各大IT企业的招聘信息来看，信息安全工程师需要掌握以下能力：

▶ 数据库原理、常用数据库开发;

▶ 数据挖掘相关技术、算法，了解主流数据挖掘、商业智能产品;

▶ 防火墙、入侵检测、网络流量识别控制等信息安全产品相关技术;

▶ 独立解决技术难题的能力。

▶ B/S架构系统架构、开发流程及相关技术;

▶ 编程开发能力，熟悉C、C++或者JAVA程序开发语言;

▶ 网络协议、网络编程及相关网络产品开发技术。

某信息安全专家 表示，对安全有着较大兴趣、有一颗恒心、遵纪守法的人适合学习信息安全。首先，从事信息安全工作的底线是遵守法律，如果一个人对国家相关法律没有一颗敬畏的心，最终他只会害人害己。其次，信息安全涉及面非常广，技术更新迭代迅速，你必须一直学习，提升自己的技能，如果你想找出一个漏洞，那你得懂得漏洞怎么产生，在研究漏洞产生过程中，你就要去学习相关的背景知识，而且很多时候你是在探索一个未知的世界，相当于你在一个黑盒里摸索，有时候还无法获得成果，你得依然保持着激情，不放弃，不气馁，才可以继续前进。

信息安全在高校专业或求职市场中或许还存在质疑声，但随着行业的进一步发展，人们对信息安全的认知也会越加清晰，到那时，信息安全人才紧缺才会彻底得到解决。希望每一位从业者都能坚守本心，为信息安全事业发展添砖加瓦。