转载

网络安全知识并非来自学校:在实践中提升自我的四项途径

网络安全知识并非来自学校:在实践中提升自我的四项途径

【51CTO.com快译】网络安全正受到世界各国政府及企业的高度关注,其渴望构建安全产品并保障敏感数据免遭入侵。惟一的难题在于,网络安全属于一类相对较新的技能,且市场上可供选择的人才还非常有限。

英特尔与美国战略与国际研究中心(简称CSIS)共同调查了775名IT决策者,其中82%表示其目前正面临着网络安全技能短缺的问题。正因为如此,美国政府设立了国家网络安全研究计划(简称NIC),旨在通过从中学阶段引入网络安全课程的方式解决市场对专业人才日益增长的需求。

然而我们必须承认,网络安全的前景呈现出愈发迅猛的变化态势,且复杂度亦在不断提高。这意味着“今天学习的知识可能无法解决明天出现的问题,”金融服务行业技术供应商Sungard公司全球CSO Shawn Burke表示。

实践出真知

Rook Security公司应用与产品开发负责人Michael Taylor指出,网络安全知识并不一定能够通过本科教育掌握。Taylor曾在普渡大学与印第安州立大学担任网络安全课程导师,其结合自身经历指出,学生们普通缺乏实践经验。

学生们可能学会了如何编程及开发应用,但却很少贯穿整个开发流程考虑安全问题。相反,这部分内容的引入太过滞后。他建议称,这种实践经验的缺失导致学生无法“在毕业之后立即为团队贡献扎实可靠的代码成果。”

他同时表示,“一般来讲,学生们能够很好地把握计算机科学中的算法、数据结构及其它主题,但却很难理解如何令程序更经久耐用、容错且安全。”

像黑客那样思考

Taylor表示,学生们需要学会“像黑客那样思考”,从而充分把握构建安全应用的诀窍。这种思维方式能够让学生们更加了解其需要对抗的目标,而企业正需要这种能力以帮助自身节约成本。

“在生产环境下修复安全漏洞的成本远高于立足开发或者分段环境时进行解决。教会开发人员如何以安全方式开发应用,能够显著降低解决数据泄露以及生产问题的相关成本,”Taylor指出。

另外,实现网络安全还需要学生们充分利用各类创造性方法,而非单纯着眼于技术角度。现实情况是,即使拥有全部正确的“硬技能”,要了解如何防范尚未出现的威胁,我们仍然需要配合发散思维。

“尽管某些从业者可能对于安全技术与概念拥有深入了解,但他们可能不清楚如何在业务背景下应用这些安全逻辑。解决方案已经变得更为复杂,所以我们需要更多具有创造性的问题解决能力,”Burke表示。

拥抱软技能

根据白帽学院创始人兼非营利性组织Opportunity@Work CTO Fletcher Heisler的说法,网络安全专业人员还需要良好的沟通及人际关系处理技巧,而这些显然是高校教育所无法给予的。

“对于大多数网络安全职位,从业者需要了解能够保护企业的可行政策,组织社交工程攻击应对培训,同时使用用户友好度相对较高的系统,这往往比特定技术知识更加重要,”Heisler指出。

软技能对于IT领导者同样重要,因为其需要协调预算、就威胁状况进行有效沟通并向其他高层管理者传达网络安全趋势。这亦意味着对最终用户抱持同情及理解的心态,确保始终使用用户友好型系统,从而顺利引导那些并不精通技术的员工,他解释称。

挖掘人才储备

很明显,人才培训是一种周期性工作,因此企业在空档期内需要尽可能挖掘现有人才。一般来讲,我们的队伍中已经拥有理想的人选,企业方面需要想办法“为这些人才提供时间与资金投入,”Heisler表示。

企业可以考虑鼓励员工参加夏令营、研讨会、兼职课程以及专业进修课程等活动,以提升自身网络安全水平。行业专家们建议,专项培训计划将成为未来网络安全教育中的重要组成部分。

斯坦福大学网络倡议项目执行董事Allison Berke博士认为,学生们应该以项目需求为核心组织学习流程。如果他们对机器学习抱有兴趣,则应允许他们参加相关研讨会、对话以及现场教学活动。其中一部分需求亦可通过在线培训及认证课程形式实现,从而帮助学生们像专业人员那样选择特定技能进行学习及提升。

“去年冬季,美国司法部联邦检察官Kathryn Haun就曾经针对Silk Road(某暗网黑市)进行了一堂数字化货币与网络犯罪应对知识教学。未来的教育工作应该以传统课堂与网络教学、研讨会、分组讨论以及会议相结合的形式存在,帮助学生们与行业乃至政府机构对接,共同探讨目前存在的问题,”她表示。

原文标题:Cybersecurity skills aren’t taught in college,作者:Sarah K. White

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

原文  http://netsecurity.51cto.com/art/201612/525286.htm
正文到此结束
Loading...