两会的这个提案,跟每个“白帽黑客”都息息相关
神秘、冷酷,这是黑客帝国中主角Neo给观众留下的印象。对于大众而言,“黑客”这个词却自带负面标签,如“网络入侵”、“企业勒索”、“信息窃取”等,让人不寒而栗。
然而,在互联网时代的安全江湖中,有一群武功高强、行侠仗义的“白帽黑客”。他们热衷于研究网络与计算机,善于发现安全漏洞,并及时将漏洞提交给企业协助修复,在锻炼自己能力的同时也能获取企业反馈的奖励与致谢。
很显然,人们印象中的“黑客”被污名化了。“白帽黑客”这群人对于网络空间的发展不但“无过”,还“有功”。换言之,“白帽黑客”是网络安全行业的特殊人才。
根据Freebuf发布的《2020中国白帽子调查报告》数据显示,2020年国内白帽子总数已超过14万人。截至报告发布前,国内的白帽子们已经帮助超过6000个客户组织发现并修复了超过70万个漏洞,共获取超过3000万元漏洞赏金。
然而,在网络威胁层出不穷、勒索病毒及其变种频繁出现的严峻态势下,网络安全行业快速发展、市场规模逐年攀升,人才的补给却“跟不上步伐”。
在攻防升级的过程中,这群特殊人才亦是“重金难求”。今年两会期间,全国政协委员,360集团创始人、董事长周鸿祎为这群人“发声”,提交了关于网络安全行业特殊人才的提案。
高级别攻防对抗人才遇稀缺“鸿沟”
网络安全行业是一块“大蛋糕”,企业都想从中分一杯羹却又谈何容易,因为人才奇缺。
福布斯数据显示,2020年全球网络安全市场规模突破1700亿元,近几年年均增速8%左右。自2012年以来,网络安全市场规模呈现稳步提升态势,年均增速8.33%左右。
2012年至2026年全球网络安全市场规模 来源:Forbes
网络安全行业的膨胀式增长,市场出现供需不平衡。据专业机构测算,2020年我国网络安全从业人员需求数量为150万人,2027年为300万人。当前培养的网络安全人才数量远远不能满足需求。
此外,网络安全的发展早已从传统的“合规防御”形式演变成高级别的“攻防对抗”视角。对于这类高级别的攻防实战人才,企业往往求贤若渴。
在周鸿祎看来,网络安全顶尖人才即这群“白帽黑客”,通常具有过人的网络安全天赋和能力,在网络安全对抗、维护国家网络安全中能够发挥特殊作用。他们多数是怪才、偏才,特立独行,散落在社会和企业各处。
据前文数据显示,“白帽黑客”通过漏洞挖掘这种方式帮助企业抵御网络安全风险,提醒企业及时修复漏洞。被誉为拥有“东半球最强白帽子军团”的360,在网络安全人才挖掘与培养中积攒了大量经验与成果。截至目前,360已在全球范围内挖掘主流厂商CVE漏洞2000多个,曾包揽了苹果、谷歌、微软等巨头厂商的漏洞致谢。
发现漏洞并得到修复,这时便是“白帽黑客”的高光时刻。
除此以外,CTF也是“白帽黑客”的“战场”,各种CTF比赛让人们可以一览白帽风采,也让“白帽黑客”这个群体的价值为人们所关注,比如Pwn2Own、DEFCON等比赛。
“天府杯”2020国际网络安全大赛暨2020天府国际网络安全高峰论坛
在比赛中输出自己的能力,攻克安全难点,如去年360在“天府杯”国际网络安全大赛中凭借攻破Chrome、Firefox、VMWare ESXi、Samsung Galaxy S20、CentOS 8、KVM-qemu、Adobe PDF Reader、iPhone11pro、TPlink项目。事实上,每一次的CTF比赛都让场外之人看到了他们难以掩盖的激情和技术能力。
特殊人才难有“特殊待遇”?
网络安全人才这类特殊人才,如今却面临着职业发展的阻碍。
据《2020中国白帽子调查报告》数据显示,“白帽黑客”群体呈现出年轻化的特点,58.4%的人群集中于18-25岁。按理说,年轻化意味着有更多的发展机会,“白帽黑客”却不然。从以下图表可以看到,“白帽黑客”漏洞赏金差距大,且部分人群无固定收入。
两会期间,周鸿祎就在接受媒体采访时表示,网络安全行业特殊人才往往由于学历不高,没有承担过国家科研项目,没有发表过论文,评不了职称、落不了户、子女入学也可能面临困难。虽然这几年多方努力做了不少工作,但这些问题还没有得到彻底解决。
比如360某白帽在成为安全研究员之前因学历不高曾是一名轮胎制造厂的工人,之后由于自己对卫星的热爱和激情,产出了自己独有的卫星安全研究成果,从而进入了安全行业。因为学历低,无法走国家人才培养的体系流程,这往往也让 “白帽黑客”在安全这条道路上踟蹰不前。
去年底,人社部和公安部正式颁布了首个网络安全行业职业技能国家标准——“网络与信息安全管理员”国家职业技能标准,填补了职业空白,但对这个领域的人才培养路径和顶尖人才认定等的特殊性考虑还不够,尚难以对他们的技能和贡献进行充分而全面的评价。
此外,周鸿祎还表示,这些人还有一个共同特点,就是对网络安全行业充满了激情和热爱。他们有很深的安全研究能力,不断帮助企业和各单位发现漏洞、做攻防实战演练、做安全保障服务,是国家网络安全的宝贵资源。
的确如此,在数字化时代,网络安全发展道阻且长,“白帽黑客”的激情和热爱也是不断推动他们学习和进步的驱动力,不断地适应当前的威胁变化和实战攻防。
因此,国家关注和重视“白帽黑客”就变得尤为重要,激励和驱动这类人群在网络安全行业中大放异彩,并推动整个安全行业跨入新的发展阶段。
为“白帽黑客”发声,国家应采取激励政策
周鸿祎在此次两会中提出,近年来,国家成立了众多网络安全学院,用来加快人才培养步伐,但人才缺口仍十分巨大,特别是网络安全顶尖人才依旧十分匮乏。
针对这类特殊人才,周鸿祎建议采取特殊人才认定和激励政策,提高社会对这个群体的理解和认可,也增强他们对国家的认同感,更多吸引他们为网络强国建设做贡献,在重大国家网络安全事件的关键时刻能够挺身而出。周鸿祎从三个方面入手,提出了具体建议。
首先,制定专门的网络安全特殊人才认定政策。以何为标准、如何进行认定?
1、以能力为导向、成果为标尺的网络安全特殊人才认定标准;
2、针对性的职称评定机构和制度,并明确所设置的职称体系。
其次,对符合条件的网络安全人才给予个人税收优惠政策。减少个税,增加了收入,对白帽黑客而言是更为实质的激励措施。建议增加针对网络安全特殊人才的个税减免项,对突出贡献所得收入,也给予个税减免。对于符合条件的网络安全新兴领域创业人员和早期员工,对他们的股票和期权比照“资本利得”征税原理,在实际变现环节按照财产转让所得缴纳个人所得税,激发他们的创业积极性,鼓励创新发展。
最后,对符合认定条件的网络安全特殊人才予以必要激励。建议开辟网络安全行业特殊人才引进绿色通道,在落户、购车、购房和子女入学等方面予以特殊照顾,对有突出贡献者发放特殊津贴。
周鸿祎的两会提案注重的是改善国内白帽的人才培养待遇。然而,法律缺乏、管理机制不健全和“白帽黑客”自身的能力培养仍是全球要面临的挑战。
因此,笔者认为应该深入行业,建立健全管理机制,建立国家网络安全人才储备,加强政府部门与企业之间的协同,扩大人才招募、拓宽人才培养路径。
总结
正如周鸿祎所言,“白帽黑客”更像是数字化时代、信息化时代的“网络侠客”,可以协助国家和企业抵御不断变化的网络威胁。因此,国家应重视并激励“白帽黑客”在安全对抗和维护网络安全中发挥的价值。同时,相信被誉为实战型安全人才 “黄埔军校”的360,也会以培养安全人才作为己任,助力国家培养更多网络安全实战型人才, 推动数字经济在安全保障下高速发展。