简析网络安全竞赛建设明日的网络安全人才队伍

　　网络安全竞赛是网络安全人才发现、培养和选拔的重要手段，也是完善网络安全教育培训体系中的关键部分。2016年底，美国国家网络安全教育计划（NICE）工作组下属网络安全竞赛工作组发布名为《网络安全竞赛建设明日的网络安全人才队伍》（CybersecurityGames：BuildingTomorrowsWorkforce）的白皮书。白皮书围绕当前现有各类网络安全竞赛的效果、网络安全竞赛升级扩容存在的挑战与机遇和政产学各界扩大网络安全竞赛的范围三个核心问题进行了深入分析，探讨了网络安全竞赛在网络安全意识提升、教育强化、吸引资源，以及缩小人才缺口等方面如何发挥作用等问题。现将白皮书主要内容摘译如下，以供参考。
　　网络安全竞赛特点和作用
　　网络安全竞赛最早起源于DEFCON创始人JeffMoss于1993年发起的一次BBS黑客竞赛。此后，在各界的广泛参与下，各类网络安全竞赛蓬勃发展。当前，网络安全竞赛类别主要包括：夺旗赛（CTF）、运维赛、取证赛、论文赛，以及政策赛等。
　　网络安全竞赛的特点在于：一是模拟真实场景，能够有效提升参赛人员的技术、沟通、领导、协调等各方面能力；二是环境安全可控，不会造成实际破坏和损失。
　　网络安全竞赛对参与各方均有积极作用：对于政府来说，网络安全竞赛是提升保卫国家、行业及公民能力的手段；对于行业资质认定机构来说，网络安全竞赛越来越多地被视为资质维持所需的相关工作经验；对于专业人员来说，网络安全竞赛能够锻炼和展示专业技能、评估人员能力、提升意识和士气，进而提高生产效率；对于学生来说，中学和大学开展各种级别的竞赛，在教学中补充动手实训课程，能够丰富学习形式；对于整个网络安全领域来说，开展网络安全竞赛有利于在技术和战术层面，以及在攻防两个方面促进创新，推动知识、技术、技能和实践的共享。
　　网络安全竞赛的讨论和观点
　　网络安全竞赛是进行网络安全人才队伍建设的途径之一，可以考虑采用类似体育赛事中标准化和职业化的方法扩大网络安全竞赛的吸引力、覆盖面和参与度。但是，在如何利用网络安全竞赛帮助解决安全人才缺口问题方面，网络安全竞赛领域专家也秉持多种不同观点。
　　技术技能VS软技能
　　专家认为，在团队合作中，软技能和技术技能一样重要。这两类技能在网络安全竞赛中均能得以充分体现。人们普遍认为，当前的网络安全竞赛参赛人员和网络安全从业人员都应接受过技术培训，或至少对网络威胁和恶意软件拥有基本的认知。网络安全岗位招聘时，最受欢迎的专业为计算机科学和计算机工程。但是，领导力、沟通能力（将技术内容转化为业务语言）、批判性分析性思维的能力、团队合作能力，以及创新能力也是网络安全人员需要具备的特点，这也是用人单位通过竞赛进行招聘时非常看重的特质。网络教育常被用来和STEM（科学、技术、工程和数学）教育进行对比，这种类比是否准确尚不可知。如果软技能对于网络安全从业人员确实和技术技能一样重要，那么开展网络教育的紧迫性将远远大于STEM教育，应该采取更迅速、更广泛的措施开展网络安全教育。
　　个人技能VS团队技能
　　在网络安全竞赛中，关于个人作用和团队作用孰轻孰重的问题，一直存在着比较对立的观点。竞赛是网络安全人才的一大来源，但是网络安全专业人员被用人单位录用后，必然要参与到团队合作中。有专家提出，白衣骑士或单打独斗的网络战士只是好莱坞影视作品塑造出的形象。也有观点认为，针对个人开展的网络安全培训和资质认定有可能加深这种印象。还有专家指出，网络安全竞赛中决定胜负的不仅仅是个人的技能还包括团队成员之间如何沟通、运用软技能发挥团队作用的能力。当前，对人员能力的需求在整体上还无法完全满足，因此，有必要通过模拟真实环境场景，以团队为对象加强相关技能的培训和演练。
　　攻击VS防守
　　网络安全教育和网络安全竞赛中是否应包含攻击内容一直是比较有争议的话题。多数网络竞赛组织者认为，针对中学生和大学生的网络安全竞赛应该限制在防守范围内。在维基解密和国家级攻击时代，有人认为，实践攻击活动可能培养出恶意攻击者。与之对应的观点则认为，在网络空间对抗中未知攻，焉知防，了解攻击者的思维至关重要，攻防双方应轮流交换位置。这也是网络安全竞赛较之于传统教育的优势，它能够迫使参赛人员使用批判性思维和逆向思维，切换攻防双方视角，将基础技能运用在实践中，这些体验都是在书本或教室中无法得到的。
　　私营领域VS公共领域
　　军方和国防部门对网络安全竞赛高度关注，并投入了大量资源。多数专家认为，网络安全竞赛和爱国主义是息息相关的。来自公共领域的经费能够为网络安全竞赛项目提供种子资金，帮助其快速发展。网络爱国者竞赛（CyberPatriot）、全美大学生网络防御大赛（NCCDC）等大型网络安全竞赛均与政府或国防部门相关，包括美国武装部队协会（ArmedForcesAssociation）、国土安全部（DHS）、国家安全局（NSA），以及国防合同厂商诺斯洛普格鲁门公司（NorthropGrumman）、雷神公司（Raytheon）等。美国95的关键基础设施均由私营企业运营，网络安全竞赛快速扩张后多由私营业赞助。私营领域投入网络安全竞赛的方式主要包括提供赞助、提供专业人员开发竞赛场景、担任教练和讲师等。多数专家认为，网络安全竞赛初期可能由政府推动，但是私营企业的介入才是竞赛规模化发展的关键。
　　短期需求VS长期需求
　　在讨论网络安全竞赛在中学、大学以及从业人员教育中的作用时，需考虑到短期和长期的各类不同需求和预期。长期的目标是重构教育系统，扩大网络安全人才供应。实现这一目标需要采取比STEM教育更加进取的策略。STEM教育是为了扭转美国经济在全球中地位不断下降的状况，而网络安全教育则是为了解决美国当前必须直面的、真实的攻击威胁。有专家讲述了20世纪80年代电气工程师紧缺时引发的人才大战和人才培养情况，人才在各方面的需求均能得到满足：高校修改课程，美国系统网络安全学会（SANS）介入，人才待遇大幅提升。而对于短期需求来说，多数专家认为，可以采取以下措施促进人才培养：加强意识宣传，强调人才需求；扩大专业竞赛规模，提升人员能力；创建培训项目，应对人才缺口等。
　　人力发展VS课外活动
　　网络安全竞赛不仅是在校学生的课外活动，也可以作为现在、未来网络安全专业人员的人力发展工具。鼓励在校学生参与、培养网络安全储备人才属于长远目标，与此同时，面向从业人员的短期目标也亟待得到回应。绝大多数专家支持通过专业竞赛的方式提升从业人员的技能和能力。对于CISSP等资质证书提供方，可以将网络安全竞赛作为持证人员的积分项，供其维持证书使用。对于企业来说，可以将网络安全竞赛整合进自己的人力发展计划，成为一项标准流程。如通用电气（GE）公司的GhostRed竞赛最初只是一项内部自发发起的夺旗比赛，现在已经发展成为公司人才招聘的正式流程。
　　教师VS学生
　　教育系统中存在一项显著不足，即由于教师数量和质量的制约，学生认识不到网络安全是一个专门的研究领域或一条职业发展路径。在这样的现状下，有必要对教师、家长、教练，以及其他教育角色加强培训，提高其网络安全意识水平。在典型的企业环境中，高层管理人员和董事会成员往往也不了解企业面临的网络安全威胁、安全防护必要性，以及应该采取什么样的应对措施。改变学校的教育系统是很困难的，很多学校的教育系统遵从的都是风险规避原则，而且需要在大量互相冲突的目标中进行权衡。但是，如果教育的目的是优先教授最关键的技能，学校教育体系就应该输出社会需求最迫切的人才。当务之急是首先对教师进行培训，所有的教育人员都应该对网络安全具备整体上的认知。
　　标准化VS创新速度
　　在网络安全以及安全竞赛领域，标准化并不是人人称道的做法。因为这个领域的核心特点在于快速变化、不断创新，标准化可能阻碍创新的进程。在创建、实施、扩大网络安全竞赛方面，采取标准化的方法则有助于提升效率，实现规模经济。网络安全竞赛中适用标准化的领域包括：一是工具，赛事进度跟踪、个人计分以及团队表现评价等工作可以使用自动化解决方案，如脸谱（Facebook）的夺旗平台、Leidos的CyberNXUS、通用电气的GhostRed，以及空军协会的网络爱国者（CyberPatriot）竞赛引擎等。二是场景，竞赛需要不断创建新的场景挑战参赛人员，合作开发场景、采用标准术语有助于提高场景创建效率。三是专家资源，有挑战性的竞赛往往是专家资源密集的，赛事扩容必须考虑人员需求，网络安全专家在完成竞赛开发工作后，也可以红队身份参与比赛。四是评价体系，不同竞赛的比分和结果之间很难进行比较，在招聘过程中这个问题尤为突出。目前，CyberCompEx。org已启动一项工作，目标是在各种竞赛和相应的技能之间建立起对应关系。五是术语，在网络安全人才领域，无论是在网络安全竞赛中，还是在从业人员中，对于标准化的人员角色和定义都有着极大的需求。从人力资源角度来说，明确定义人员角色有助于不同行业、不同组织之间以通用语言进行沟通。
　　比赛趣味性VS目的手段
　　网络安全竞赛的趣味性来自于参赛人员完成挑战、学到新的技能、团队协同合作、与对手及赛事组织者的互动，以及最终获胜带来的成就感。但是，竞赛的目的不仅限于教育和学习，而且也是人才发现和选拔的重要手段。尤其是大学生和专业人员级别的竞赛已成为政府、国防部门，以及私营领域发现人才的理想场所，网络安全竞赛优胜者往往受到多方争夺。过去几年，美国网络安全竞赛参与人数增长了40。2009年，西部大学生网络防御赛（CCDC）的赞助商波音公司曾在比赛现场招募了加州理工大学波莫纳校区（calpolypomona）的整个参赛团队。2010年，某参赛人员在比赛最后一天被多家赛事赞助商争夺，事实上，他在当天早餐时已接受某单位的工作。在网络安全竞赛的发展过程中，加强标准化、提升比赛规模都有助于竞赛更好地发挥人才培养、评价以及招募的作用。
　　网络安全竞赛发展目标建议
　　网络安全竞赛涉及的各利益相关方应加强彼此间的对话，这几方力量包括：美国主要网络安全竞赛的创建者及长期资助者；国家安全局、国土安全部和教育部等负责开发网络技能政府部门；联邦、州及学区等各级别的教育系统；在网络竞赛中进行大量投入的国防合同厂商；面临严重人才短缺问题的私营领域。
　　上述各方之间的对话应实现以下目标：
　　1。明确如何通过协同合作和标准化措施推动网络安全竞赛扩大范围，跨越地域、年龄、学区，以及公私领域的界限，又不至于阻碍创新。
　　2。探索如何通过技术和流程方面的共享，弥补和促进网络安全竞赛在资源（人）和赞助（经费）上的不足。
　　3。加快网络安全竞赛（乃至整个网络安全人才队伍）在以下几方面工作的进展。
　　不同竞赛之间参赛个人和团体评价考核的标准化
　　实现竞赛和NICE网络安全人才框架之间的对应
　　开发、共享竞赛平台
　　开发攻防场景
　　明确竞赛团队成员或网络安全专业人员的角色和职责
　　针对培训者进行培训，提升教育技能
　　在网络安全职业路径问题上，针对学生、教育者、导师以及家长开展工作提升意识
　　针对不同年龄阶段、不同技术水平参与者设置不同的联盟，形成竞赛梯队
　　将网络安全竞赛发展为一项新的运动