索洛悖论,又称生产率悖论。1987年诺贝尔经济学奖得主罗伯特·索洛(Robert solow)提出了一个问题——计算机无处不在,除了在生产率统计方面。信息技术的应用和发展是否能提高生产力值得怀疑。
这是个问题吗?真相是,自2008年金融危机以来,世界经济出现了一个奇怪的现象,即在大数据、人工智能、虚拟现实、无人驾驶等领域的技术创新和产业发展的同时,,按传统统计方法计算的全球生产率明显放缓。
“索洛悖论”至今仍有争论,但有了新的共识,即新兴技术转化为生产力需要与组织形态的提升相匹配,尤其是人力资本水平的提升。
在网络安全领域,“索罗悖论”同样具有启发性。网络安全行业的发展不缺乏理论创新、技术应用和产品实践,但最大的难点和重点是人力资本的层面,也就是我们一直谈论的网络安全人才的培养。
不平衡的人才状况
“中国网络安全人才紧缺,缺口高达50万到100万。有人说差距是70万到140万。目前高校每年输出2万多名专业人才,非常缺乏实用型人才。”
这大致是过去三五年的行业共识。在网络安全人才匮乏的共识下,人才分布的低洼、行业的吸引、市场需求的导向造成了诸多特点。认清这些特征,有助于我们完善科学的人才培养体系,输出高可用、高匹配的人才类型,形成可持续的教育实践。
萧条时期的人才分布
洼地是指通过发挥政策和环境优势,营造吸引天下人才的人才环境,形成人才流入门槛较低、流入成本较低、人才环境良好的人才聚集地。
城市化、产业发展和人才流动密切相关。就业方面,泛珠三角、泛长三角、泛渤海湾是数字人才的主要就业地。2019届从事互联网、计算机和数据处理职业的本科生中,在这三个区域经济体就业的比例分别为29.7%、27.5%和19.0%。
2019年国内“独角兽”企业分布数据显示,北京、上海、深圳、杭州的独角兽企业数量占全国的71.6%,低于2018年的77.2%。说明越来越多的城市注重营造创新创业生态,培育和引进创新型企业。独角兽的分布和扩散,高新技术产业从特大城市向一流城市的扩散,释放了巨大的人才吸引力。这将缓解人才在地域分布上的不平衡。
注:独角兽企业的评选标准需要满足四个条件:在中国注册并具有法人资格的企业;成立不超过十年;获得私募股权投资,尚未上市;公司估值超过10亿美元。
行业吸引力
调查显示,大部分网络安全专业毕业生在选择就业时仍然首选互联网行业,“独角兽”企业对安全人员的吸引力更大。另一方面,大部分毕业生由于认知不足和认知偏差,不倾向于进入传统行业。在一些领域,传统行业的工作岗位数量有限,“制度福利”仍然是影响就业决策的重要因素。
这种趋势会导致人才流入的行业竞争激烈,他们会选择最好的。其他行业会长期缺乏网络安全人才。
安全厂商对网络安全人才的需求非常迫切。安防行业经历了爆发式增长,逐渐形成了相对稳定的行业格局,有助于行业管理、技术和服务能力的提升。另一方面,由于传统行业的安保人才流入量较低,产生了大量的安保外包需求,这将促进安保服务业务的发展。
渗透测试等最常见的安全外包服务,全球市场份额预计将以23.7%的年复合增长率从2016年的5.947亿美元增长到2021年的17.243亿美元。新业态的形成会调整人才的流动。
市场需求导向
2020年7月,社会科学文献出版社和麦可思研究院联合发布《就业蓝皮书》。指出就业率、薪酬和就业满意度综合得分较高的“绿牌专业”分别是信息安全、软件工程和网络工程。行业需求是打造绿色品牌专业的主要因素。随着数字化转型的深入发展,数字化人才需求将不断释放。
同时,我们也注意到,对于不同类型的安全人才,缺乏完整的引导机制。大众传媒资源更看重优秀的研究人才,过度追求“光环效应”。对市场需求最大的应用型安全人才群体缺乏足够的重视。提高应用型人才的技术能力和专业水平是当前人才培养的重要课题。只有从这个维度出发,才能相对缓解人才分布的影响和行业的吸引力。
从人才在萧条中的分布、行业吸引力、市场需求导向来看,三种力量是一致的,“马太效应”非常明显。就像索洛悖论的讨论一样,网络安全的本质是人与人之间的对抗。建立以人为本的网络安全体系是产业发展的关键,意识和技能的缺失会让最先进的安全设备形同虚设。
网络安全人才培养的关键是以产业发展、商业实践和市场需求为驱动力和准绳,形成政府机构、学校、企业的紧密合作和共同参与。
人才培养的创新实践
随着技术场景的不断发展,5G、大数据、人工智能、区块链的安全问题永远不可能一刀切解决。网络空是一门交叉学科。跨学科学习、社会实践和教学发展特征的整合是关键。事实上,我们已经看到高等教育的一些创新。
甘肃政法大学根据西北网络安全产业发展特点,实现网络安全基础研究与应用实践的平衡。网络空安全学院结合法学优势学科,确定了信息内容安全和网络安全两个学科,突出网络威胁情报分析和网络犯罪调查取证的特色。解决网络安全、舆情分析、网络取证等问题。存在于社会综合治理的法律体系中。
这样学校就形成了差异化的学科,实现了专业的发展。为社会培养多层次的网络空安全人才。另一方面,随着学校教学模式的创新,教师的角色也在发生变化。教学实践提倡从课本到实践。教师的角色从单纯的传播知识转变为项目负责人,带领学生实践和创造。将实践融入教学,形成项目是该课程教学思想的转变。
目前国内很多高校的网络安全学科都在致力于自身的教学创新。此外,高校人才培养领域的经验也逐渐向行业输出,为行业提供了人才选拔、预防和培养的宝贵经验。
选拔有竞争力的人才
随着企业对网络安全人才的渴求,相关人力资本逐渐处于优先投资地位,人力资本的投资带动资产增长和投资回报。
从当期损益来看,人力资本的先期投入会增加短期成本,雇佣大量人员会增加工资和期间费用,可能会降低公司当期效益;但从长远来看,我们会抓住机会,创造机会,增加企业的长期效益和价值。从XCTF国际联盟在网络安全专业人才方面的合作趋势可以看出大型企业对人力资本的重视。
注:人力资本的概念主要包括员工的受教育程度、智力、技能和学习能力、创造力、团队合作生产率和员工人数。
XCTF国际联赛由清华大学、上海交通大学、福州大学、赛宁网安等高校和企业发起,旨在营造国内高校培养网络安全人才的氛围和环境,逐步形成带动效应,推动网络安全赛事在国内的普及,形成一批高质量的网络安全赛事。
CTF竞赛是培养网络安全人才的有效途径。雇主们对CTF参与者非常青睐,甚至不惜重金举办网络安全竞赛来招募安全人才。在企业内部,CTF是一种让团队保持状态的方式。大约54%的安全专家表示,他们每年都会参加一次或多次CTF竞赛。这种模式要求参与者具备一定的经验和技能,比如技术专长、逻辑能力、理解能力、团队合作能力等等。
近年来,在行业网络攻防大赛中,企业参赛人员的感受是与自身工作关联度低,缺乏实际目标导向,导致学习和参与积极性不高。比如在金融行业的培训中,员工希望能够结合金融行业的相关制度和业务,学以致用。重点放在技术上的Java而不是PHP,通信上的业务逻辑,防篡改而不是一些PWN漏洞,密码学等等。大部分竞赛范围都是从高校人才培养演变而来,逐渐形成了产业化、场景化、实用化的综合竞赛演练平台。
赛宁网安竞赛靶场AD-5联合人才选拔
从人才需求来看,“懂行业、有技能、会实践”是用人单位争夺的关键人才。着眼于从技术视角向场景视角的转变,着力培养具有场景应用能力的人才。
华为BG与哈工大合作XMan冬令营,打造场景应用人才最佳实践。持续培养三年移动安全领域的人才。首先通过比赛选拔在移动安全领域有一定基础的大学生。邀请高校和企业的专家、讲师进行定向培训,讲授和探讨移动安全领域的课题。并以华为的产品家族为实践对象。三年来,不断为华为和移动安全行业输出优秀的研究人才。
XMan的模式创新基于以下三个方面:
第一,个体的学习过程是在行为过程中学习,也就是在实践中学习。在教学过程中充分利用教学场景、实验和靶场演练。
二是找到优秀的导师。起初,个体的学习往往是一个模仿的过程,模仿的对象主要是周围环境中他人的行为。在教学过程中,华为的技术工程师带领6-8名学生,选择指定产品作为练习对象。在一周的时间里,取得了惊人的成绩。
第三个方面是学习趋于稳定和刻板。随着一定时期学习过程的积累,个体会形成知识结构和思维方式。通过这种模式,企业吸引了一批符合企业价值观的优秀人才。
数据显示,XMan毕业生加入华为的人数排名第一,许多学生加入了阿里巴巴、腾讯和字节跳动等互联网公司,一些学生加入了Chianxin和安恒等网络安全公司。一些学生活跃在其他国家的各种研究机构和政府部门。
靶场人才的融合
近年来,网络靶场方兴未艾,促进了网络安全实用人才的培养。在高校中,网络靶场应用的主要价值在于课程教学、实验环境、场景建设、技术测试、安全竞赛等方面。而企业生产中缺乏场景,比如防御模式、安全策略、安全配置、攻击面分析等等。
虽然企业拥有最真实的场景,最多样化最复杂的安全设备和工具,但持续的人才培养终究不是企业的强项。校企合作方面,通过网络靶场建设融合区。
网络靶场最大的特点就是容错,成本最低,是一个非常好的试验田。通过校企合作,可以快速弥补短板,构建新的竞争力。通过高校射击场形成“实验机床”,发挥人才优势,验证合作企业新产品新技术,在项目中学习,在实践中成长;企业可以通过靶场搭建自己的“虚拟仿真”,不用担心开放带来的安全隐患,形成具有企业特色的训练场。
参考资料和材料:
周瑜《组织重构与人力资源数字化转型》
全要素生产率放缓或拖累全球经济复苏步伐陈
脉脉数据研究院人才流动与迁移报告2020
麦可思研究院《2020年中国大学生就业报告》
