说一说网络安全人才培养

我8月9日在西安四叶草网络安全学院举办的高校网络安全人才培养研讨会上做了半小时的分享，主题是《我那个时代的攻防世界与人才培养》。其实我有很多想说的没来得及展开，由于当时在座的很多都是高校的老师，有些话也不好意思直接说，就写一篇文章来喷一喷。

在喷之前，先说说四叶草这家公司。四叶草公司可以说是我看着成长起来的，从2012年创立到今天已经成为了西北地区的领头安全企业了。我跟四叶草创始人马坤先生是10几年的好朋友，他也是我们红盟的成员之一，当初跟他在COG2011会议上见过一面。2012年时，有一天他跟我说他要开始创业了，主要是听了我的演讲，想出来为行业做点事情，特意过来征求下我的意见。我对此当然很是赞同并支持，后来我们还开玩笑的说到，如果赚了5000万给我一半。我在2016年参加了他们举行的第一次SSC峰会，今年第五届将与全国信息安全企业家高峰论坛一起举办，我也将继续支持。在这里给兄弟的公司打个广告，欢迎大家参与，更多内容请看。 《议题征集令！相约古城西安，共话安全未来》。如果有想见我又难得见到我的小伙伴们一起来吧，10月14日我们西安不见不散。

网络安全的本质

得懂网络安全，才能去教别人有关网络安全的知识。那么必须得先掌握中国网络安全行业的整个发展过程与它的特点与本质。

我在上篇文章 《中国黑客起源：致那永不熄灭的火焰》梳理中国互联网的发展历程中提到“网络安全的本质就是攻与防。50年代60年代出生的人，怎么可能会懂得97年才在中国萌芽的网络安全呢？”网络安全其实是70后之后的人，才慢慢开始接触到的新鲜事物。无奈的是，现实中自有网络安全概念这20多年以来，大多数的把控方向、制定行业政策、规划项目、掌握经费等等的权力都是在这些50后60后人的手中，而真正懂得网络安全的年轻人还根本上不了位。所以20年多过去了，网络安全产业还是没有太大的创新和发展，10几年前的产品换个壳继续卖。这几天甚至爆出了有些安全厂商膨胀了，只顾着追逐利益丧心病狂的把没有经过自检自测的产品就拿出来大卖一通，存在众多低级严重漏洞造成严重安全事件。。。希望以后随着越来越多懂网络安全的人上位和对安全的重视，会越来越好吧。

居于网络安全的本质，网络安全人才培养的要点是在攻与防上。而高校的攻防基本都是只局限于CTF比赛，而CTF比赛我在《安全与江湖》中称之为表演、套路、花拳绣腿。这类CTF攻方面还能说是花拳绣腿，防方面那就什么都说不上了。这样培养出来的CTF选手，大多数出来只能拿扫描器扫一扫肉鸡找一些口子，技术能力离实战还差十万八千里。即是完全掌握了web渗透，对实战来说也才是刚入门而已。在没有保命术的情况下，如果真的在一线战场，分分钟上名单，可以参考一下前段时间那两个被爆菊花的。

不过庆幸的是在研讨会上看到西安电子科技大学在跟公安部门合作搞电子数据取证的比赛，总算是看到有了一些从攻转防的导向。对高校来说，网络安全属于新兴的事物，师资及相关经验都不足，拿CTF比赛当成宝，也是实属无奈。所以我当初在2011年重组红盟时，就想走”让高校教授理论知识，我们来培养实战经验、举办赛事并建立技能培训及证书体系、定向培养等“这种能力互补的人才培养模式，我觉得现在更是大有前途。

学习网络安全的关键点

中国最早的那批安全人其实都是自学的，因为走在了前面，可以获得的公开资料很少。然后物以类聚、人以群分，一群志同道合的、水平相差不远的人组成一个交流圈子，可以互相交流、互相学习、互相成长。最后先进入安全行业的人技术能力成长起来了，就有了拜师学艺这种途径来进行学习的了。

我带过几次团队，一直给他们说要培养自学能力。因为专业知识更新很快，如果没有很强的自学能力根本跟不上。再就是，技术研究到了最后站在了顶段，可能连一份资料都找不到，只能自己去开拓。所以自学能力的大小，决定了一个人将能达到的最高成就。

鼓励组建小组，在水平差不多的成员之间互相交流、互相监督，这样成长提高速度会非常快。因为一个人的思维能力和知识体系是很局限的，要知道三人行必有我师。能找到有经验的人带新人的机会是比较少的，找学长来带带会是个好的途径。除了个人对知识的积累和梳理外，还需要建立团队的安全知识库，新人就不用自己辛苦去找资料了，直接扔链接过去就行。前段时间朋友圈被三本红队的书刷屏了，从中可以看出知识积累的重要性。而这只是安全中红队的知识体系而已，安全的其他方面也完全可以积累整合的。

最后就是多动手实践，多参加比赛和抓住参与项目实战的机会，比如HW。正如光看编程的书不动手永远学不会编程，网络安全也一样。按10000个小时理论，每天学习10小时，个人技术体系的成熟大概要3年。

如果作为老师，没有往这些方面来引导，那么不好意思，光靠课本和CTF比赛，你的学生不会有多大的成就，毕业后可能连个螺丝钉都当不了。带团队也是一样。

网络安全行业的现状

我把网络安全这个圈子比喻成安全江湖，专门写了一个《安全江湖之侠客行》来进行描述，并说了一些我的观点。有兴趣的可以去补一补课，我个人认为值得一看。

如果用一句话来概括中国网络安全行业的现状，那么就是“黑白道”。四叶草网络安全学院的朱院长给我取这个议题名字时，本意是让我给老师们讲讲早期的攻防世界，并让老师们知道他们培养的都是正义之士。遗憾的是，我想说他们培养的并非都是正义之士，因为这个圈子是黑白道。我们来看看。

2003年开始，大批安全人的去向成为了不能说的秘密。

2004年后网络黑产开始崭露头角。

2011年前后几年是中国互联网的黑暗时期。最近几年《网络安全法》实施，但黑产规模比黑暗时期只大不小。更多背景材料，可以看我在《安全江湖之侠客行》行为篇 里的内容。

2015年网络空间安全成为一级学科。大批不知道什么是网络安全的人，奔着高薪、就业前景而选择了这个专业，跟这之前的安全人一般是靠兴趣来进入这个行业的形成了一个明显的分界线。而这个分界线，造成的影响将会是非常大的。因为这个网络安全行业技术上的成就，是努力加上天赋才能大成的，缺一不可。如果连学习的兴趣都不存在了，那么成就将非常有限。

今年第二批本科生已经毕业了，以后每年都会有大批的正规学习培训出来的安全专业人员毕业。攻防对抗的形式只会越来越严峻。现在的人欲望这么高，刚毕业就敢要2、3万的工资。基本每个班级都会有一些比较拔尖的人，这些人大都是一些大厂要去了，拿着高薪。 技术不拔尖，找个安全岗位也可以混混。但一般的人都会向这些拔尖的人进行攀比，凭什么同一个班出来的，人家毕业就拿3万的工资而自己只能拿5000？这样就会心理不平衡。欲望太高的，很多就会铤而走险投身黑产行业。他们不知道人家能拿高薪是因为人家付出了努力投入了精力，是用消耗着生命换回来的，因为这个行业是吃青春饭的。所以作为老师，必须得对手下的学生好好地做好心理引导，引导学生形成正确的价值观，起码要有做人做事的原则和底线。

人才的定义

看各种关于人才培养的文章报告，一上来就什么技术人才、高端人才、战略人才、领军人才、创新人才。。。等等满天的某某人才名目，让人眼花缭乱，不知所云。

首先来说说什么是人才？

比如学历高、专业知识学得好、专业技能强，就是常人口中说的人才了。在网络安全行业来说就是技术高手。但技术好就是人才吗？我看未必。这只是人才的基本条件之一。

因为网络安全技术是一把双刃剑，要看你用在什么地方。掌握再高的技术如果是把技术用在灰黑产上面，用在违法犯罪上面，这种人我称之为武林败类。准确的说，这不是对社会有用的人才。虽然在以前的文章喷过了，这里我还是要一字不差的再说一下：现在的这些搞网络安全教育和培训班的、包括CTF比赛还有那些安全媒体安全会议，一上来就教、就讨论怎么渗透，教会人家开锁而没灌输正确的人生价值观，绝对不是什么好事。还有，网络安全难道就只剩渗透测试了？攻防，为啥老是把目光引向怎么攻击渗透，咋不见你们多研究多教授别人怎么防御？为啥不多培养些安全运维、安全开发、计算机取证之类的安全防御人才？为啥不多搞些防御产品的研究讨论和项目孵化，把锁造得更安全一些？这就是现在攻防力量失衡、攻的力量远大于防，以及防御体系得不到发展的根本原因。

再比如清华北大等等，这些用全国资源堆出来的名牌大学，培养出来的肯定几乎都是常人口中说的人才了。但他们80%都出国了，大多数都一去不复回，甚至是拿到绿卡后入了别国国籍。所以他们是为其他国家培养的人才，并不是为国为民的人才。即使培养出再多这些人才，如不能为国家服务、为人民服务，那有什么用？还不如街上卖菜的老大妈。看看数据吧。

而对安全行业来说除了从事灰黑产的，还有更隐蔽的一批人。我在我的文章《紧急预警：给所有安全从业人员的一些建议》说混乱的安全圈中提到过，有一批人是拿着境外机构的线人钱的。有公安部门的人看了文章后给我反馈了一个数据，说经过初步摸查后，这部分人占了10%以上。是的，中国从不缺汉奸。这种人技术能力越强，对中国危害越大，能被称之为人才吗？

对于这些人，我要说的是：这些人都丢了一个根本，那就是丢了爱国精神。而热爱祖国是每一个中国人的根本底线。他们忘了自己是中国人。我们来看看习近平主席是怎么说的。

那么什么才是真正的有用的人才？

热爱祖国、为国为民、遵纪守法的技术高手，才是我们想要培养出来的网络安全人才。

培为基、重在养

既然谈到人才培养，刚才说了人才的定义。现在来说说培养。培养的培字，拆开看是由一个土字、一个口字、一个立字组成，意象很明显，土里挖个坑，立在上面，很形象。养的话，包括养料、养份、养育、养成、养护等等。对老师“园丁”来说，就是把树苗什么的立在里面，给它浇水、施肥、养护。

只是在培与养，现在的教育基本都停留在了培上，而没有在养上下功夫。培养应该重点在于长期跟踪、养护的过程。比如在上面说的：

有没有遇到学习、就业、技术、经济等上的困难？

有没有进行心理引导，做法律普及？

有没有建立从业人员的底线和原则？

有没有树立正确的人生价值观，比如“君子爱财，取之有道”？

有没有为人民服务，成为对社会对祖国有用的人才？

有没有违法犯罪搞灰黑产，或者去当汉奸？

。。。

除了要把人培养成热爱祖国、为国为民、遵纪守法的技术高手之外，还有一个最重要的点，那就是要有健康的身体。我说现在的安全人，有侠客的心和技术，却没有了侠客的身体。安全人经常熬夜，包括我也是至今10几年，只要一坐到电脑前就不知不觉天亮了，这个习惯是很不好的。技术并不等于一切，一定要养成良好的生活作息习惯，要不然习惯养成要去改就很难了。身体才是根本，靠青春换饭吃，是不可能长久的。网上关于IT行业猝死、早逝的事件报道也时有发生。前几天新闻报道，35岁一些大厂就开始劝退。所以平时一定要注意加强身体的锻炼与保养，甚至可以跟我一样也去练练武功什么的。

我在《人生目标与职业规划（一）》 里关于人生目标中提到：我在40年人生的学习生涯中，有一种对真正自由的描述我最认同，那就是“获得身、心、财务的真正自由。” 也就是三种自由都缺一不可，都要同时获得了才算是真正的自由。如果你不是想要得到真正的自由，那么你这么努力是为了啥？

回家吧

最后讲个故事吧（为了不打扰别人，我重新修改尽量隐藏了一些个人信息）。早期的红盟有三个技术上的代表人物，人称“三剑客”。其中一个是我，另外的暂叫B君、C君吧，可以说B君和C君都是我的左膀右臂。B君擅长二进制分析，每当微软月事放出了严重漏洞的补丁后，B君几乎当天就能分析出利用代码，功底可谓是国内首屈一指。自己挖洞更是牛，挖了不少0day，如ms08-067。算是当之无愧的漏洞挖掘大牛了。基本上，他挖出了漏洞，也会给我共享。当时他挖洞、写漏洞利用，我写后门、工具、搞渗透，我们搭配得可以说是天衣无缝。

2006年那段时间，安全焦点里的好几个人跑到美国工作或创业去了。也就是在那一年我们对当时的一些现状比较失望，在被一些事情寒了心之后，我淡出了安全圈，选择去从事股票交易。我当时有想过趁牛市赚一笔后找个地方投资移民算了。B君选择了在网上给一家公司兼职做病毒和补丁分析，并准备去国外，好像就是安焦的某君牵的线。由于这些原因，我们的关系也渐渐淡了。后来2007年底股灾，我顺利地被当成韭菜收割了，投资移民的念头彻底破灭了。B君如愿去了国外讨生活。我与B君就成了两个世界的人了，一个这么优秀的人才就此流失了。

如今离2006年已经10多年过去了，中国各方面都得到了巨大的发展，她正在日益强大。虽然我也曾经对一些事情和现状失望、寒心，但我也很庆幸当初没有出国去当二等公民。从最近的疫情表现可以看出中国具有其他西方国家不具有的优势，国外的月亮并没有比中国的圆。。。现在，中国的信息行业还是很落后，我们的操作系统、工业软件、编程语言、芯片等等都还受制于人，还根本达不到国产化替代的程度。最近国际形势突变，在这生死存亡的时刻，更是迫切需要各方面的人才。。。

我想对他以及所有在海外的游子们说，祖国需要你们。只要你们还没变成别国的国籍，就还是中国人，中国才是你们的家。再远的旅程，总有结束的一天，总是要回家的。我身为客家人，就知道在外一天终是客，都只是外人。所以客家人从西晋、唐末、北宋多次逃亡至今已1000多年了，不管在那个地区呆得再久，我们这群人至今仍被称做客家。当你们学业有成、有所成就、想念亲人、受了委屈、困了累了，那么都就回家吧。你们还来得及赶上最后一趟末班车。中国腾飞在即，你们感觉到了吗？如果有你们，她将飞得更快、更高、更稳。

回家吧，游子们。

镀了一层金的“海归”，他不香吗？

朋友提醒，现在微信公众号是按交互算法而不是按更新时间来推送了，很多人会收不到更新。由于我是不定时更新，大家如有持续关注的可以点右上角的省略号，把公众号设置为星标，以便能及时收到更新推送。

长按二维码关注公众号

你若欢喜，请点“在看”