2024年，全球網絡安全人才缺口擴大到400萬，但網絡安全企業卻紛紛裁員過冬。網絡安全行業到底缺不缺人？在矛盾的現象和數據背后，隱藏著哪些真相？網絡安全教育培訓體系出現了哪些重大問題？

2024年對于企業CISO和網絡安全從業者來說可謂機遇和挑戰并存。一方面，人才短缺、技能差距在不斷擴大，企業需要更多優秀網絡安全人才應對新興和未知威脅；另一方面，經濟不確定性導致的裁員、預算縮減正在給企業網絡安全帶來前所未有的挑戰。

在網絡犯罪規模化、地緣政治沖突的推動下，2024年全球網絡安全威脅態勢正在快速惡化，根據CybersecurityVentures的報告，2024年網絡攻擊造成的經濟損失將超過10.5萬億美元，這意味著網絡犯罪已經成為“第三大經濟體”。

然而，面對日益猖獗的網絡犯罪，全球企業卻面臨著嚴峻的網絡安全人才短缺難題。根據世界經濟論壇和ISC²的報告，目前全球網絡安全專業人才缺口高達400萬人。但是頗為諷刺的是，2023年以來，網絡安全行業并未逃脫全球性的科技行業裁員浪潮。

Observe的調查報告顯示，2023年近半數企業準備縮減安全人員編制“降本增效”。調查顯示，過去一年中47%的網絡安全團隊經歷了裁員、預算縮減或招聘凍結。22%的受訪個人遭遇過裁員，31%的受訪者預測2024年企業還將進一步裁員。

眾所周知，人是最關鍵的網絡安全要素。即使擁有最昂貴最可靠的網絡安全解決方案，人手短缺/技能差距和人為疏忽依然是企業安全防線的最大軟肋。

在人手短缺（導致的過勞）和技能差距的影響下，網絡安全人員容易犯錯，例如忽略警報、誤讀數據等導致數據泄露或安全漏洞的錯誤。卡巴斯基近期的一項研究表明，過去兩年間，由于缺乏合格網絡安全人員，企業至少經歷過一次網絡安全事件。

近日，卡巴斯基在調查了全球3500名網絡安全人士后發布了《現代信息安全專業人士畫像》報告，分析了全球網絡安全人才短缺背后的真相，并深入研究了網絡安全教育體系和當前勞動力市場的現狀與問題。

以下為報告中的一些主要發現：

41%的網絡安全團隊人手不足，近一半(48%)聲稱需要六個月以上才能填補空缺職位。全球網絡安全團隊人員短缺最嚴重的國家和地區是俄羅斯，其次是拉丁美洲、亞太地區和中東/非洲：

政府、電信、醫療、零售、化工能源、酒店是網絡安全人才短缺最嚴重的行業：

信息安全研究和惡意軟件分析是全球人才短缺最為嚴重的職位（39%）：

調查表明，專家需求量最大的三個專業是信息安全分析師、威脅情報和惡意軟件研究。另一方面，人們對網絡安全、SOC和安全評估等領域的興趣較低。在我看來，這種差異表明市場對后三個領域的無知在未來將變得顯而易見。

——卡巴斯基美洲區董事總經理克勞迪奧·馬丁內利(Claudio Martinelli)

企業尋找和雇傭合格網絡安全人才面臨的主要挑戰（除技術和威脅快速發展、雇傭成本、時間緊迫、全球競爭、特殊崗位、背景調查外為應聘者面臨的問題）：

企業招聘網絡安全人才時最看重的因素（更重視安全認證而非大學學位）：

入職前已參加網絡安全/信息安全/數據安全方面的專業課程培訓/認證的比例（歐洲最少）：

大多數（63%）網絡安全專家認為安全人才的“軟技能”和“硬技能”同等重要：

安全人士參加網絡安全/信息安全/數據安全專業課程/認證的原因：

如何看待高等教育（學院/大學）中以網絡安全/信息安全為重點的課程的總體可用性：

半數受訪信息安全專業人士表示，正規高等教育中網絡安全或信息安全課程的可用性要么很差，要么非常差。擁有兩到五年經驗的專業人士對高校網絡安全課程持否定態度的比例高達83%。

高等教育中網絡安全課程可用性評價最低的國家和地區是中東/非洲、亞太和歐洲：

只有44%的網絡安全專業人士認為大學中獲得的理論知識對履行工作職責很有用。按工作經驗年限和職位劃分的人群中，75%的擁有2-5年工作經驗的安全專業人士認為“大學理論知識無用”：

現有網絡安全教育體系與行業脫節的最主要原因是缺乏具有網絡安全實際經驗的教學人員，中東/非洲、俄羅斯和亞太地區的高等教育體系最缺乏具備企業經驗的培訓師/講師：

拉丁美洲網絡安全高等教育綜合評分最高，非洲/中東和歐洲表現最差：

調查顯示，高校網絡安全教育的理論知識與實踐脫節：

• 半數受訪者認為，他們在大學或學院獲得的理論知識在實際工作中幾乎無用。
• 不到一半的受訪者表示他們在大學或學院獲得了動手實踐的經驗。
• 許多受訪者認為，獲取最新技術和設備以及實習質量是大多數地區網絡安全教育最薄弱的方面。

教育體系面臨的挑戰：

• 快速變化的網絡威脅使得教育課程難以跟上最新形勢，導致理論知識與實際脫節。
• 缺乏具有行業實踐經驗的合格教師進一步加劇了教育與行業的脫鉤。
• 正式的網絡安全培訓計劃的創建和審批速度緩慢，也阻礙了將前沿技術領域納入IT教育計劃。

結論：網絡安全教育體系亟需改革

調查結果表明，當前的網絡安全教育體系未能滿足行業需求。為了培養出合格的網絡安全人才，需要進行以下方面的改革：

• 縮小理論知識與實踐之間的差距，提供更多動手實踐的學習機會。
• 聘請具有行業經驗的教師，使課程內容與實際工作更加貼近。
• 加快更新課程內容，緊跟網絡威脅的最新發展趨勢。
• 加強與行業的合作，提供實習機會，讓學生將理論知識應用于實踐。
• 只有通過不斷改革和創新，教育體系才能為網絡安全行業輸送合格人才，共同應對日益嚴峻的網絡安全挑戰。