今天是一个互联网+ 的时代,斯诺登事件的影响虽然广泛深远,暴露了信息强国的优势和技术威慑的能力,但互联网全球化产业的格局并没有因此改变或延迟。相反,随着云计算、物联网、电子商务以及社会创新的发展,传统安全边界正被快速淹没,未来社会对安全的需求必然迎来一个强劲的增长。目前,社会公众对信息安全的影响虽然日益关注但还是缺乏途径或者方式深刻理解、参与和体验。这也影响了全社会对于信息安全人才的需求和认识,也使我国未来的信息安全产业和相关互联网+领域与产业对于安全人才的投入和储备存在总量不足和需求偏差的隐忧。
我个人现在家里做智能家庭改造试验: 目前已部署了包括光伏离网太阳能电站、业余数字无线电、全户WIFI和家庭云存储,所有电源、空气质量检测、家庭气象站、家庭监控、远程视频、植物传感器已采用支持WiFi的APP控制,家庭成员特别是孩子,也配备了可以进行位置跟踪和情景交流的可穿戴设备。但这些智能设备大多在安全设计和隐私保护方面存在一定隐患。而熟悉硬件和软件特别是有业务思维的“跨界”安全人才目前还属于稀缺资源。如果对于产业变革与发展的迅猛对于未来安全人才的潜在需求视而不见,那我们的所有发展路径都将被我们今天的短视埋设了巨大的不定时炸弹。
所以,在我们开始关注安全人才的需求变化的同时,我们需要对未来的安全有一个迭代的认识提升:
第一,有业务思想的基础安全。过去的安全由于市场的产品导向,往往聚焦于普世技术,如防火墙、入侵检测、加密、防病毒等。以往高校的安全教程、课本,往往也是如此。这样的结果,是安全工程化和重产品轻运维,用户的体验和认知较差。融合进业务思想的基础安全才能充分满足社会和行业的针对性需求,从而为信息安全融入社会安全,成为社会发展中的充分必要因素创造条件。
第二,有态度的信息安全。所谓的有态度是相对于安全对于今日的社会影响力衍生和延伸。比如某个政府提供公众服务的网站被黑或者挂马,可能没有给社会带来比较直接的物质损失,但却严重损害了政府的公信力,令社会质疑政府的信息化投入和内容可信度。这种安全态度,将影响公众对政府提供信息服务的能力与可靠性认知。
第三,有效益的社会安全。今天的信息安全的确不仅仅是一个技术层面的话题,它的社会效益甚至远超信息价值本身。社会信息的安全,比如隐私泄露,已经不仅仅是数据本身,而在于数据背后的巨大社会价值和风险。比如酒店的开房数据泄露,带来的损失的不仅仅是酒店客人的信息本身可能被滥用,而且还可能给酒店客人带来欺诈和社会关系动荡的风险。信息安全,未来势必将成为社会稳定和成熟度的重要标志之一。
第四,真实和美的传播安全。不知从什么年代起,信息安全的传播,已在相当多的人群里被误解成“恐怖吓唬”的模式。由于安全效益的可视性相对不显著以及个别厂商追求短期利益不负责任博出位抢眼球的做法,导致过去的安全传播给社会以“狼来的”的错觉。未来的安全不可能全部以免费和托管的方式来替代全社会的重视和参与以及网民安全基础防范能力的提升,所以安全教育的传播需要回归其真实的本质,并结合传播方式的变化与手段而展现安全之美,改善社会对安全的认知和体验,无论是代码还是系统架构,都要努力让安全文化成为我国社会文化中最精致的元素。
第五,无边界、有权责的数据安全。随着云计算、大数据以及产业融合的加剧,信息资产的物理边界日渐模糊,但对于信息资产的数据权责和权限要求也在日益复杂。电子证据正式进入刑诉法后,过去基于虚拟资产的定义越来越面临来自现实应用和影响的挑战。数据的价值在未来社会的比重日益提升,迟早要成为社会权益的重要组成部分。
第六,风险导向的金融安全。安全的另类定义就是:安全本质是一个不断降低风险的过程,最后使残余的风险可以接受就称为安全。金融是国家重器,又是深刻受到全球化和实体经济影响的国家与社会核心利益所在。不断的降低风险,保持对于安全需求的持续改进,确保残余的风险可以被行业和社会所接受,是关系到国家稳定社会幸福的红线。所以紧密跟踪外部环境、业务和用户需求变化,客观评估和正视风险,围绕风险变化与重心确保金融安全是关系到国家产业命运的保障。
新安全人才观:视野、跨界、平衡、传播、实战
综上所述,我觉得安全人才的培养和观念应予以与时具进的突破与创新。需要早期要像中国武术学功夫一样,在培养中必须高度重视我们对于安全人才教育的初衷、责权教育和实战基础。学武之道强调攻守兼备,同时要可以修身养性,言传声教。特别是从事安全还要面对黑产黑金的诱惑,如何出淤泥而不染,就像莲花一样,安全人才必须要经历一个快速成长又不失操守的过程。
视野:信息安全本质是一个跨学科、前瞻性和实用性表现强烈的新领域。对社会性、新技术、人性的发展与变化都要有着强烈的好奇心。所以视野可以影响一个安全人员的可塑性和适应性。一些特定领域的安全人才的垂直深度可以决定其专业能力,但视野可以保障更多安全运营和管理人才得以在更广阔的领域教育社会和紧跟产业的变化与发展。
跨界:互联网+ 必然带来各个行业加速融合和迭代升级。信息安全人才的广义不仅仅是服务于信息安全产业本身,而是包括任何产业在信息化和互联网化中的安全设计。所以安全人才需要有主动跨界的意识和能力,才能不再总是从事着亡羊补牢或者头疼医头的被动角色,而是有机会参与到未雨绸缪的业务与新技术设计中来,甚至使安全直接成为全社会广泛接受的服务产品。在家庭智能监控、儿童安全保护、无线热点等领域我们已经看到了这样的趋势。
平衡:安全是平衡的艺术一直是业界的经典表述。未来社会的多样性和复杂性对于信息安全人才的需求和期望必然会日益提高。信息安全人才和从业者要充分认识到自己的使命不是为了安全而安全,而是将安全常态化和生活化,让安全成为平衡产业发展与社会治理的核心要素,从而为安全得到最广泛的社会认同与共识创造条件。
传播:过去基于种种原因,安全行业强调“低调”,流行所谓的“闷声发财”。但是基于态度和社会效益的需求,以及互联网+带来的产业剧变,安全教育必须深入群众,深入各行各业。所以未来的信息安全人才,传播与表达能力也是必须重视的一面。今天我们可以看到,一些优秀的安全程序员或者研究者,其良好的语言和文字表达能力,有助于安全行业的科普和社会认知,让安全从业者出现明星和粉丝,让内行来演绎对安全这一看似枯燥的专业传播,对信息社会的进步与健康的意义同样深远。
实战:信息安全像军事一样,是在攻守演绎中不断提升和被社会认知的,没有全社会的参与和演习,信息安全产业的实效就会像水中花、镜中月一样华丽而脆弱。未来的信息安全人才,需要更加强调在实战中学习,在学习中演练。目前各种安全竞赛如火如荼,这是一个好的趋势和开始,但未来还需要更多和行业特点、业务模式、社会生活安全场景的结合。一方面可以提升信息安全人才的社会关注度和实战水平,吸引媒体和社会关注,一方面要基于预先发现问题、勇于曝光行业弱点、及时修补安全隐患用于实践,从而为吸收、发现、挖掘更多实战型安全人才创造条件。
当前从世界各国,特别是美、日、韩等信息发达国家,信息安全人才的迭代与创新,特别是年轻人的大量涌现已经成为潮流。在互联网+的时代潮流下,我们必须有防微杜渐、未雨绸缪、协同创新的积极态度和信心,探索信息安全人才培养的突破之路。
中国的信息安全产业起步稍晚,基础也不雄厚,所以更需要相互支持,风雨同舟,我们需要更多的安全人才才能改变我们整体的行业生态:请永远不要怀疑,一小拨有思想、不懈追求目标的中国人,可以改变世界。事实上,改变从来就是这样发生的。”(作者:共青团中央新媒体协会理事 万涛)