【网络强国这十年】动画｜摆脱纸上谈兵！带你看看网络安全实战精兵需要哪些“必杀技”******

　　当前 ，网络空间安全面临 的形势复杂多变 ，以窃取敏感数据 、破坏关键信息基础设施为目标 的有组织网络攻击愈演愈烈 。我国正在迎来数字经济 的发展浪潮 ，千行百业的数字化转型 ，都需要有网络安全 的坚实保障 。

　　网络空间的竞争 ，归根结底 是人才 的竞争。数据显示，到2027年 ，我国网络安全人员缺口将达327万，而高校人才培养规模仅为3万/年 。在网络安全人才缺口中 ，实战型人才缺乏的问题更为突出。有高达92%的企业认为其缺乏网络安全实战人才 。这也成为整个数字化转型过程中亟需解决的重要命题。

　　网络安全人才要有综合实战能力

　　在2022年国家网络安全宣传周期间发布 的《网络安全人才实战能力白皮书》从当前国内网络安全人才状况 、人才的攻防实战能力、用人单位 的实战能力需求 、如何提升人才的攻防实战能力、如何评价提升人才的攻防实战能力 、“政 、企、学、研”如何共同培养实战人才等方面 ，通过翔实数据和面向不同群体调研，以及各领域专家学者 的认真编撰，为党政机关 、重要行业 、企事业单位及高校等单位 的人才建设战略提供重要参考。

　　从业务需求出发 ，将网络安全人才实战能力归纳为“攻防实战能力”“漏洞挖掘能力”“工程开发能力”“战效评估能力”四种类型。

　　其中，本次白皮书将重点聚焦的攻防实战能力定义为 ，在真实业务场景中，利用网络空间安全技术和工具开展安全监测与分析、风险评估、渗透测试事件研判 、安全运维、应急响应等工作 的能力 。这需要网络安全人才掌握各类安全标准的落地实践经验 ，可以熟练使用网络安全技术和工具 ，为具体业务开展风险评估，提供安全落地规划指导和建议。

　　同时，网络安全人才还应具备一定 的调查取证能力，能够在受到攻击后收集、处理 、保存、分析并呈现计算机攻击相关证据，为后续的攻击溯源或案件侦查提供帮助 。

　　网络安全人才市场供需仍不匹配

　　白皮书显示，从人才的需求侧来看，网络安全攻防实战人才面临严重缺口。以往很多用人单位不仅专业岗位人员配置不足，还有很多岗位是“兼职人员”，实战能力严重匮乏。数据显示 ，当前对网络安全人才的需求 ，能源行业 的需求量位列第一，在细分行业中占比为21% ，其次 是通信 、政法、金融 、交通、医疗卫生、网安企业等行业。

　　预计未来3至5年内 ，具备实战技能的安全运维人员与高水平网络安全专家，将成为网络安全人才市场中最为稀缺和抢手的资源 ，加强网络安全攻防实战人才的培养已成为行业共识 。

　　人才培养从实践中来往实战中去

　　网络安全竞赛 、实网攻防演练 、众测与应急响应 ，都是近年来我国广泛开展的网络安全实践模式。其中 ，网络安全竞赛具有强实践性、创新性 、对抗性的特点 ，近年已成为全面检验和提升攻防实战能力 的重要方式之一，“以赛促学、以赛代练”理念也帮助一线人员摆脱“纸上谈兵”的困境，在实际工作场景中更加得心应手。

　　科学系统地培养攻防实战人才，应首先建立统一的网络安全攻防实战能力框架，同时通过“竞赛选拔 、分类提高 、职业引导” 的方式，将竞赛 、众测、攻防演练、技术分享等方式相结合，形成常态化的攻防人才成长通道 。

　　同时 ，网络安全 是一门综合性学科，借鉴国外经验，提出ASK-P模型 ，将网络安全人才培养分为意识（Awareness） 、技能（Skill） 、知识（Knowledge） 、实践（Practice）四个维度，旨在培养多学科融会贯通 ，具备综合实战能力的复合型人才。

　　监制 ：张宁 李政葳  策划：孔繁鑫 制作 ：刘昊

你的隐私 ，大数据怎知道 ？我们又该如何自我保护？******

　　在网络上 ，每个人都会或多或少 ，或主动或被动地泄露某些碎片信息。这些信息被大数据挖掘，就存在隐私泄露 的风险，引发信息安全问题 。面对汹涌而来的5G时代，大众对自己的隐私保护感到越来越迷茫，甚至有点不知所措 。那么，你 的隐私 ，大数据 是怎么知道的呢？大家又该如何自我保护呢？

　　1.“已知 、未知”大数据都知道

　　大数据时代 ，每个人都有可能成为安徒生童话中那个“穿新衣”的皇帝。在大数据面前 ，你说过什么话，它知道；你做过什么事 ，它知道；你有什么爱好，它知道 ；你生过什么病 ，它知道；你家住哪里，它知道；你 的亲朋好友都有谁，它也知道……总之，你自己知道的，它几乎都知道 ，或者说它都能够知道 ，至少可以说 ，它迟早会知道 ！

　　甚至，连你自己都不知道的事情 ，大数据也可能知道。例如，它能够发现你的许多潜意识习惯：集体照相时你喜欢站哪里呀 ，跨门槛时喜欢先迈左脚还是右脚呀 ，你喜欢与什么样的人打交道呀 ，你的性格特点都有什么呀 ，哪位朋友与你的观点不相同呀……

　　再进一步说，今后将要发生的事情，大数据还 是有可能知道 。例如 ，根据你“饮食多 、运动少”等信息 ，它就能够推测出，你可能会“三高” 。当你与许多人都在独立地购买感冒药时 ，大数据就知道：流感即将暴发了 ！其实 ，大数据已经成功地预测了包括世界杯比赛结果 、股票 的波动、物价趋势 、用户行为 、交通情况等。

　　当然，这里 的“你”并非仅仅指“你个人”，包括但不限于，你的家庭，你的单位，你 的民族 ，甚至你 的国家等。至于这些你知道 的、不知道 的或今后才知道的隐私信息，将会把你塑造成什么 ， 是英雄还是狗熊？这却难以预知。

　　2.数据挖掘就像“垃圾处理”

　　什么 是大数据 ？形象地说，所谓大数据，就 是由许多千奇百怪 的数据 ，杂乱无章地堆积在一起。例如 ，你在网上说 的话 、发 的微信 、收发 的电子邮件等，都 是大数据的组成部分 。在不知道 的情况下被采集的众多信息，例如被马路摄像头获取的视频、手机定位系统留下 的路线图、驾车的导航信号等被动信息，也都 是大数据 的组成部分 。还有 ，各种传感器设备自动采集的有关温度 、湿度 、速度等万物信息，仍然 是大数据的组成部分 。总之，每个人、每种通信和控制类设备 ，无论它 是软件还是硬件 ，其实都 是大数据之源 。

　　大数据利用了一种名叫“大数据挖掘” 的技术 ，采用诸如神经网络、遗传算法 、决策树 、粗糙集 、覆盖正例排斥反例、统计分析 、模糊集等方法挖掘信息 。大数据挖掘的过程，可以分为数据收集 、数据集成、数据规约 、数据清理 、数据变换 、挖掘分析、模式评估、知识表示等八大步骤。

　　不过 ，这些听起来高大上 的大数据产业 ，几乎等同于垃圾处理和废品回收。

　　这并不 是在开玩笑 。废品收购和垃圾收集，可算作“数据收集”；将废品和垃圾送往集中处理场所，可算作“数据集成” ；将废品和垃圾初步分类 ，可算作“数据规约” ；将废品和垃圾适当清洁和整理，可算作“数据清理”；将破沙发拆成木、铁、布等原料，可算作“数据变换”；认真分析如何将这些原料卖个好价钱，可算作“数据分析”；不断总结经验，选择并固定上下游卖家和买家 ，可算作“模式评估”；最后 ，把这些技巧整理成口诀，可算作“知识表示”。

　　再看原料结构 。大数据具有异构特性 ，就像垃圾一样千奇百怪。如果非要在垃圾和大数据之间找出本质差别的话 ，那就在于垃圾是有实体 的 ，再利用的次数有限 ；而大数据是虚拟的，可以反复处理 ，反复利用 。例如 ，大数据专家能将数据(废品)中挖掘出的旅客出行规律交给航空公司，将某群体 的消费习惯卖给百货商店等 。总之 ，大数据专家完全可以“一菜多吃” ，反复利用，而且时间越久，价值越大 。换句话说，大数据 是很值钱 的“垃圾” 。

　　3.大数据挖掘永远没有尽头

　　大数据挖掘，虽然能从正面创造价值 ，但是也有其负面影响 ，即存在泄露隐私的风险 。隐私是如何被泄露的呢 ？这其实很简单 ，我们先来分解一下“人肉搜索”是如何侵犯隐私 的吧 ！

　　一大群网友 ，出于某种目 的 ，利用自己的一切资源渠道 ，尽可能多地收集当事人或物 的所有信息；然后，将这些信息按照自己的目 的提炼成新信息 ，反馈到网上与别人分享 。这就完成了第一次“人肉迭代”。

　　接着 ，大家又在第一次人肉迭代的基础上，互相取经 ，再接再厉，交叉重复进行信息 的收集 、加工、整理等工作，于是 ，便诞生了第二次“人肉迭代” 。如此循环往复 ，经过多次不懈迭代后，当事人或物的画像就跃然纸上了 。如果构成“满意画像”的素材确实已经证实 ，至少主体是事实 ，“人肉搜索”就成功了 。

　　几乎可以断定 ，只要参与“人肉搜索” 的网友足够多，时间足够长 ，大家 的毅力足够强 ，那么任何人都可能无处遁形 。

　　其实，所谓 的大数据挖掘，在某种意义上说 ，就 是由机器自动完成的特殊“人肉搜索”而已。只不过，这种搜索的目 的，不再限于抹黑或颂扬某人，而 是有更加广泛的目的 ，例如，为商品销售者寻找最佳买家、为某类数据寻找规律、为某些事物之间寻找关联等 。总之 ，只要目 的明确 ，那么 ，大数据挖掘就会有用武之地 。

　　如果将“人肉搜索”与大数据挖掘相比，网友被电脑所替代；网友们收集 的信息，被数据库中 的海量异构数据所替代；网友寻找各种人物关联 的技巧 ，被相应的智能算法替代；网友们相互借鉴 、彼此启发的做法，被各种同步运算所替代。

　　各次迭代过程仍然照例进行 ，只不过机器 的迭代次数更多，速度更快，每次迭代其实就是机器 的一次“学习”过程 。网友们 的最终“满意画像” ，被暂时的挖掘结果所替代 。之所以说 是暂时，那是因为对大数据挖掘来说，永远没有尽头 ，结果会越来越精准，智慧程度会越来越高 ，用户只需根据自己的标准 ，随时选择满意的结果就行了 。

　　当然，除了相似性外，“人肉搜索”与“大数据挖掘”肯定也有许多重大 的区别。例如 ，机器不会累，它们收集的数据会更多 、更快 ，数据 的渠道来源会更广泛 。总之，网友 的“人肉搜索”，最终将输给机器 的“大数据挖掘” 。

　　4.隐私保护与数据挖掘“危”“机”并存

　　必须承认 ，就当前的现实情况来说 ，大数据隐私挖掘的“杀伤力”，已经远远超过了大数据隐私保护 的能力；换句话说，在大数据挖掘面前 ，当前人类有点不知所措 。这确实是一种意外 。自互联网诞生以后 ，在过去几十年，人们都不遗余力地将碎片信息永远留在网上。其中的每个碎片虽然都完全无害，可谁也不曾意识到 ，至少没有刻意去关注，当众多无害碎片融合起来 ，竟然后患无穷 ！

　　不过，大家也没必要过于担心。在人类历史上，类似的被动局面已经出现过不止一次了 。从以往 的经验来看 ，隐私保护与数据挖掘之间总是像“走马灯”一样轮换的——人类通过对隐私的“挖掘” ，获得空前好处，产生了更多需要保护 的“隐私” ，于是 ，不得不再回过头来，认真研究如何保护这些隐私 。当隐私积累得越来越多时，“挖掘”它们就会变得越来越有利可图，于是 ，新一轮的“挖掘”又开始了。历史地来看 ，人类在自身隐私保护方面 ，整体处于优势地位 ，在网络大数据挖掘之前，“隐私泄露”并不 是一个突出 的问题。

　　但 是，现在人类需要面对一个棘手的问题——对过去遗留在网上的海量碎片信息，如何进行隐私保护呢？单靠技术 ，显然不行 ，甚至还会越“保护”，就越“泄露隐私”。

　　因此，必须多管齐下。例如从法律上，禁止以“人肉搜索”为目的的大数据挖掘行为；从管理角度，发现恶意 的大数据搜索行为，对其进行必要的监督和管控。另外 ，在必要的时候 ，还需要重塑“隐私”概念，毕竟“隐私”本身就是一个与时间、地点、民族 、文化等有关的约定俗成的概念 。

　　对于个人的网络行为而言，在大数据时代 ，应该如何保护隐私呢 ？或者说 ，至少不要把过多包含个人隐私 的碎片信息遗留在网上呢 ？答案只有两个字：匿名 ！只要做好匿名工作，就能在一定程度上 ，保护好隐私了 。也就 是说，在大数据技术出现之前 ，隐私就是把“私”藏起来，个人身份可公开，而大数据时代，隐私保护则是把“私”公开(实际上是没法不公开)，而把个人身份隐藏起来，即匿名 。

　　(作者 ：杨义先、钮心忻，均为北京邮电大学教授)