簡析網絡安全競賽論文
網絡安全競賽是網絡安全人才發現、培養和選拔的重要手段,也是完善網絡安全教育培訓體系中的關鍵部分。2016年底,美國國家網絡安全教育計劃(NICE)工作組下屬網絡安全競賽工作組發布名為《網絡安全競賽——建設明日的網絡安全人才隊伍》(Cybersecurity Games:Building Tomorrow's Workforce)的白皮書。白皮書圍繞“當前現有各類網絡安全競賽的效果”、“網絡安全競賽升級擴容存在的挑戰與機遇”和“政產學各界擴大網絡安全競賽的范圍”三個核心問題進行了深入分析,探討了網絡安全競賽在網絡安全意識提升、教育強化、吸引資源,以及縮小人才缺口等方面如何發揮作用等問題。現將白皮書主要內容摘譯如下,以供參考。
網絡安全競賽特點和作用
網絡安全競賽最早起源于DEFCON創始人Jeff Moss于1993年發起的一次“BBS駭客競賽”。此后,在各界的廣泛參與下,各類網絡安全競賽蓬勃發展。當前,網絡安全競賽類別主要包括:奪旗賽(CTF)、運維賽、取證賽、論文賽,以及政策賽等。
網絡安全競賽的特點在于:一是模擬真實場景,能夠有效提升參賽人員的技術、溝通、領導、協調等各方面能力;二是環境安全可控,不會造成實際破壞和損失。
網絡安全競賽對參與各方均有積極作用:對于政府來說,網絡安全競賽是提升保衛國家、行業及公民能力的手段;對于行業資質認定機構來說,網絡安全競賽越來越多地被視為資質維持所需的相關工作經驗;對于專業人員來說,網絡安全競賽能夠鍛煉和展示專業技能、評估人員能力、提升意識和士氣,進而提高生產效率;對于學生來說,中學和大學開展各種級別的競賽,在教學中補充動手實訓課程,能夠豐富學習形式;對于整個網絡安全領域來說,開展網絡安全競賽有利于在技術和戰術層面,以及在攻防兩個方面促進創新,推動知識、技術、技能和實踐的共享。
網絡安全競賽的討論和觀點
網絡安全競賽是進行網絡安全人才隊伍建設的途徑之一,可以考慮采用類似體育賽事中標準化和職業化的方法擴大網絡安全競賽的吸引力、覆蓋面和參與度。但是,在如何利用網絡安全競賽幫助解決安全人才缺口問題方面,網絡安全競賽領域專家也秉持多種不同觀點。
技術技能VS軟技能
專家認為,在團隊合作中,軟技能和技術技能一樣重要。這兩類技能在網絡安全競賽中均能得以充分體現。人們普遍認為,當前的網絡安全競賽參賽人員和網絡安全從業人員都應接受過技術培訓,或至少對網絡威脅和惡意軟件擁有基本的認知。網絡安全崗位招聘時,最受歡迎的專業為計算機科學和計算機工程。但是,領導力、溝通能力(將技術內容轉化為業務語言)、批判性/分析性思維的能力、團隊合作能力,以及創新能力也是網絡安全人員需要具備的特點,這也是用人單位通過競賽進行招聘時非常看重的特質。網絡教育常被用來和STEM(科學、技術、工程和數學)教育進行對比,這種類比是否準確尚不可知。如果軟技能對于網絡安全從業人員確實和技術技能一樣重要,那么開展網絡教育的緊迫性將遠遠大于STEM教育,應該采取更迅速、更廣泛的措施開展網絡安全教育。
個人技能VS團隊技能
在網絡安全競賽中,關于個人作用和團隊作用孰輕孰重的問題,一直存在著比較對立的觀點。競賽是網絡安全人才的一大來源,但是網絡安全專業人員被用人單位錄用后,必然要參與到團隊合作中。有專家提出,“白衣騎士”或“單打獨斗的網絡戰士”只是好萊塢影視作品塑造出的形象。也有觀點認為,針對個人開展的網絡安全培訓和資質認定有可能加深這種印象。還有專家指出,網絡安全競賽中決定勝負的不僅僅是個人的技能還包括團隊成員之間如何溝通、運用軟技能發揮團隊作用的能力。當前,對人員能力的需求在整體上還無法完全滿足,因此,有必要通過模擬真實環境場景,以團隊為對象加強相關技能的培訓和演練。
攻擊VS防守
網絡安全教育和網絡安全競賽中是否應包含攻擊內容一直是比較有爭議的話題。多數網絡競賽組織者認為,針對中學生和大學生的網絡安全競賽應該限制在防守范圍內。在“維基解密”和“國家級攻擊”時代,有人認為,實踐攻擊活動可能培養出惡意攻擊者。與之對應的觀點則認為,在網絡空間對抗中“未知攻,焉知防”,了解攻擊者的思維至關重要,攻防雙方應輪流交換位置。這也是網絡安全競賽較之于傳統教育的優勢,它能夠迫使參賽人員使用批判性思維和逆向思維,切換攻防雙方視角,將基礎技能運用在實踐中,這些體驗都是在書本或教室中無法得到的。
私營領域VS公共領域
軍方和門對網絡安全競賽高度關注,并投入了大量資源。多數專家認為,網絡安全競賽和愛國主義是息息相關的。來自公共領域的經費能夠為網絡安全競賽項目提供種子資金,幫助其快速發展。網絡愛國者競賽(Cyber Patriot)、全美大學生網絡防御大賽(NCCDC)等大型網絡安全競賽均與政府或門相關,包括美國武裝部隊協會(Armed Forces Association)、國土安全部(DHS)、國家安全局(NSA),以及國防合同廠商諾斯洛普·格魯門公司(Northrop Grumman)、雷神公司(Raytheon)等。美國95%的關鍵基礎設施均由私營企業運營,網絡安全競賽快速擴張后多由私營業贊助。私營領域投入網絡安全競賽的方式主要包括提供贊助、提供專業人員開發競賽場景、擔任教練和講師等。多數專家認為,網絡安全競賽初期可能由政府推動,但是私營企業的介入才是競賽規模化發展的關鍵。
短期需求VS長期需求
在討論網絡安全競賽在中學、大學以及從業人員教育中的作用時,需考慮到短期和長期的各類不同需求和預期。長期的目標是重構教育系統,擴大網絡安全人才供應。實現這一目標需要采取比STEM教育更加進取的策略。STEM教育是為了扭轉美國經濟在全球中地位不斷下降的狀況,而網絡安全教育則是為了解決美國當前必須直面的、真實的攻擊威脅。有專家講述了20世紀80年代電氣工程師緊缺時引發的人才大戰和人才培養情況,人才在各方面的需求均能得到滿足:高校修改課程,美國系統網絡安全學會(SANS)介入,人才待遇大幅提升。而對于短期需求來說,多數專家認為,可以采取以下措施促進人才培養:加強意識宣傳,強調人才需求;擴大專業競賽規模,提升人員能力;創建培訓項目,應對人才缺口等。
人力發展VS課外活動
網絡安全競賽不僅是在校學生的課外活動,也可以作為現在、未來網絡安全專業人員的人力發展工具。鼓勵在校學生參與、培養網絡安全儲備人才屬于長遠目標,與此同時,面向從業人員的短期目標也亟待得到回應。絕大多數專家支持通過專業競賽的方式提升從業人員的技能和能力。對于CISSP等資質證書提供方,可以將網絡安全競賽作為持證人員的積分項,供其維持證書使用。對于企業來說,可以將網絡安全競賽整合進自己的人力發展計劃,成為一項標準流程。如通用電氣(GE)公司的Ghost Red競賽最初只是一項內部自發發起的奪旗比賽,現在已經發展成為公司人才招聘的正式流程。
教師VS學生
教育系統中存在一項顯著不足,即由于教師數量和質量的制約,學生認識不到網絡安全是一個專門的研究領域或一條職業發展路徑。在這樣的現狀下,有必要對教師、家長、教練,以及其他教育角色加強培訓,提高其網絡安全意識水平。在典型的企業環境中,高層管理人員和董事會成員往往也不了解企業面臨的網絡安全威脅、安全防護必要性,以及應該采取什么樣的應對措施。改變學校的教育系統是很困難的,很多學校的教育系統遵從的都是風險規避原則,而且需要在大量互相沖突的目標中進行權衡。但是,如果教育的目的是優先教授最關鍵的技能,學校教育體系就應該輸出社會需求最迫切的人才。當務之急是首先對教師進行培訓,所有的教育人員都應該對網絡安全具備整體上的認知。
標準化VS創新速度
在網絡安全以及安全競賽領域,標準化并不是人人稱道的做法。因為這個領域的核心特點在于快速變化、不斷創新,標準化可能阻礙創新的進程。在創建、實施、擴大網絡安全競賽方面,采取標準化的方法則有助于提升效率,實現規模經濟。網絡安全競賽中適用標準化的領域包括:一是工具,賽事進度跟蹤、個人計分以及團隊表現評價等工作可以使用自動化解決方案,如臉譜(Facebook)的奪旗平臺、Leidos的Cyber NXUS、通用電氣的Ghost Red,以及空軍協會的網絡愛國者(Cyber Patriot)競賽引擎等。二是場景,競賽需要不斷創建新的場景挑戰參賽人員,合作開發場景、采用標準術語有助于提高場景創建效率。三是專家資源,有挑戰性的競賽往往是專家資源密集的,賽事擴容必須考慮人員需求,網絡安全專家在完成競賽開發工作后,也可以“紅隊”身份參與比賽。四是評價體系,不同競賽的.比分和結果之間很難進行比較,在招聘過程中這個問題尤為突出。目前,CyberCompEx。org已啟動一項工作,目標是在各種競賽和相應的技能之間建立起對應關系。五是術語,在網絡安全人才領域,無論是在網絡安全競賽中,還是在從業人員中,對于標準化的人員角色和定義都有著極大的需求。從人力資源角度來說,明確定義人員角色有助于不同行業、不同組織之間以通用語言進行溝通。
比賽趣味性VS目的手段
網絡安全競賽的趣味性來自于參賽人員完成挑戰、學到新的技能、團隊協同合作、與對手及賽事組織者的互動,以及最終獲勝帶來的成就感。但是,競賽的目的不僅限于教育和學習,而且也是人才發現和選拔的重要手段。尤其是大學生和專業人員級別的競賽已成為政府、門,以及私營領域發現人才的理想場所,網絡安全競賽優勝者往往受到多方爭奪。過去幾年,美國網絡安全競賽參與人數增長了40%。2009年,西部大學生網絡防御賽(CCDC)的贊助商波音公司曾在比賽現場招募了加州理工大學波莫納校區(cal poly pomona)的整個參賽團隊。2010年,某參賽人員在比賽最后一天被多家賽事贊助商爭奪,事實上,他在當天早餐時已接受某單位的工作。在網絡安全競賽的發展過程中,加強標準化、提升比賽規模都有助于競賽更好地發揮人才培養、評價以及招募的作用。
網絡安全競賽發展目標建議
網絡安全競賽涉及的各利益相關方應加強彼此間的對話,這幾方力量包括:美國主要網絡安全競賽的創建者及長期資助者;國家安全局、國土安全部和教育部等負責開發網絡技能政府部門;聯邦、州及學區等各級別的教育系統;在網絡競賽中進行大量投入的國防合同廠商;面臨嚴重人才短缺問題的私營領域。
上述各方之間的對話應實現以下目標:
1。明確如何通過協同合作和標準化措施推動網絡安全競賽擴大范圍,跨越地域、年齡、學區,以及公私領域的界限,又不至于阻礙創新。
2。探索如何通過技術和流程方面的共享,彌補和促進網絡安全競賽在資源(人)和贊助(經費)上的不足。
3。加快網絡安全競賽(乃至整個網絡安全人才隊伍)在以下幾方面工作的進展。
●不同競賽之間參賽個人和團體評價考核的標準化
●實現競賽和NICE網絡安全人才框架之間的對應
●開發、共享競賽平臺
●開發攻防場景
●明確競賽團隊成員或網絡安全專業人員的角色和職責
●針對培訓者進行培訓,提升教育技能
●在網絡安全職業路徑問題上,針對學生、教育者、導師以及家長開展工作提升意識
●針對不同年齡階段、不同技術水平參與者設置不同的聯盟,形成競賽梯隊
●將網絡安全競賽發展為一項新的運動
【簡析網絡安全競賽論文】相關文章:
簡析管理與文秘論文02-21
簡析莫扎特C大調的論文01-01
簡析高職英語語音教學論文04-14
繼母在影視中的形象簡析論文12-24
簡析教與學之中的樂趣論文01-06
簡析新課改理念與教師教學論文01-09
簡析稅法的脫法性論文12-10
簡析電影《香水》的泅渡與解脫論文12-05
簡析大學特色的本質論文02-19