2024年，全球網(wǎng)絡(luò)安全人才缺口擴大到400萬，但網(wǎng)絡(luò)安全企業(yè)卻紛紛裁員過冬。網(wǎng)絡(luò)安全行業(yè)到底缺不缺人？在矛盾的現(xiàn)象和數(shù)據(jù)背后，隱藏著哪些真相？網(wǎng)絡(luò)安全教育培訓體系出現(xiàn)了哪些重大問題？

2024年對于企業(yè)CISO和網(wǎng)絡(luò)安全從業(yè)者來說可謂機遇和挑戰(zhàn)并存。一方面，人才短缺、技能差距在不斷擴大，企業(yè)需要更多優(yōu)秀網(wǎng)絡(luò)安全人才應(yīng)對新興和未知威脅；另一方面，經(jīng)濟不確定性導(dǎo)致的裁員、預(yù)算縮減正在給企業(yè)網(wǎng)絡(luò)安全帶來前所未有的挑戰(zhàn)。

在網(wǎng)絡(luò)犯罪規(guī)?；?、地緣政治沖突的推動下，2024年全球網(wǎng)絡(luò)安全威脅態(tài)勢正在快速惡化，根據(jù)CybersecurityVentures的報告，2024年網(wǎng)絡(luò)攻擊造成的經(jīng)濟損失將超過10.5萬億美元，這意味著網(wǎng)絡(luò)犯罪已經(jīng)成為“第三大經(jīng)濟體”。

然而，面對日益猖獗的網(wǎng)絡(luò)犯罪，全球企業(yè)卻面臨著嚴峻的網(wǎng)絡(luò)安全人才短缺難題。根據(jù)世界經(jīng)濟論壇和ISC²的報告，目前全球網(wǎng)絡(luò)安全專業(yè)人才缺口高達400萬人。但是頗為諷刺的是，2023年以來，網(wǎng)絡(luò)安全行業(yè)并未逃脫全球性的科技行業(yè)裁員浪潮。

Observe的調(diào)查報告顯示，2023年近半數(shù)企業(yè)準備縮減安全人員編制“降本增效”。調(diào)查顯示，過去一年中47%的網(wǎng)絡(luò)安全團隊經(jīng)歷了裁員、預(yù)算縮減或招聘凍結(jié)。22%的受訪個人遭遇過裁員，31%的受訪者預(yù)測2024年企業(yè)還將進一步裁員。

眾所周知，人是最關(guān)鍵的網(wǎng)絡(luò)安全要素。即使擁有最昂貴最可靠的網(wǎng)絡(luò)安全解決方案，人手短缺/技能差距和人為疏忽依然是企業(yè)安全防線的最大軟肋。

在人手短缺（導(dǎo)致的過勞）和技能差距的影響下，網(wǎng)絡(luò)安全人員容易犯錯，例如忽略警報、誤讀數(shù)據(jù)等導(dǎo)致數(shù)據(jù)泄露或安全漏洞的錯誤。卡巴斯基近期的一項研究表明，過去兩年間，由于缺乏合格網(wǎng)絡(luò)安全人員，企業(yè)至少經(jīng)歷過一次網(wǎng)絡(luò)安全事件。

近日，卡巴斯基在調(diào)查了全球3500名網(wǎng)絡(luò)安全人士后發(fā)布了《現(xiàn)代信息安全專業(yè)人士畫像》報告，分析了全球網(wǎng)絡(luò)安全人才短缺背后的真相，并深入研究了網(wǎng)絡(luò)安全教育體系和當前勞動力市場的現(xiàn)狀與問題。

以下為報告中的一些主要發(fā)現(xiàn)：

41%的網(wǎng)絡(luò)安全團隊人手不足，近一半(48%)聲稱需要六個月以上才能填補空缺職位。全球網(wǎng)絡(luò)安全團隊人員短缺最嚴重的國家和地區(qū)是俄羅斯，其次是拉丁美洲、亞太地區(qū)和中東/非洲：

政府、電信、醫(yī)療、零售、化工能源、酒店是網(wǎng)絡(luò)安全人才短缺最嚴重的行業(yè)：

信息安全研究和惡意軟件分析是全球人才短缺最為嚴重的職位（39%）：

調(diào)查表明，專家需求量最大的三個專業(yè)是信息安全分析師、威脅情報和惡意軟件研究。另一方面，人們對網(wǎng)絡(luò)安全、SOC和安全評估等領(lǐng)域的興趣較低。在我看來，這種差異表明市場對后三個領(lǐng)域的無知在未來將變得顯而易見。

——卡巴斯基美洲區(qū)董事總經(jīng)理克勞迪奧·馬丁內(nèi)利(Claudio Martinelli)

企業(yè)尋找和雇傭合格網(wǎng)絡(luò)安全人才面臨的主要挑戰(zhàn)（除技術(shù)和威脅快速發(fā)展、雇傭成本、時間緊迫、全球競爭、特殊崗位、背景調(diào)查外為應(yīng)聘者面臨的問題）：

企業(yè)招聘網(wǎng)絡(luò)安全人才時最看重的因素（更重視安全認證而非大學學位）：

入職前已參加網(wǎng)絡(luò)安全/信息安全/數(shù)據(jù)安全方面的專業(yè)課程培訓/認證的比例（歐洲最少）：

大多數(shù)（63%）網(wǎng)絡(luò)安全專家認為安全人才的“軟技能”和“硬技能”同等重要：

安全人士參加網(wǎng)絡(luò)安全/信息安全/數(shù)據(jù)安全專業(yè)課程/認證的原因：

如何看待高等教育（學院/大學）中以網(wǎng)絡(luò)安全/信息安全為重點的課程的總體可用性：

半數(shù)受訪信息安全專業(yè)人士表示，正規(guī)高等教育中網(wǎng)絡(luò)安全或信息安全課程的可用性要么很差，要么非常差。擁有兩到五年經(jīng)驗的專業(yè)人士對高校網(wǎng)絡(luò)安全課程持否定態(tài)度的比例高達83%。

高等教育中網(wǎng)絡(luò)安全課程可用性評價最低的國家和地區(qū)是中東/非洲、亞太和歐洲：

只有44%的網(wǎng)絡(luò)安全專業(yè)人士認為大學中獲得的理論知識對履行工作職責很有用。按工作經(jīng)驗?zāi)晗藓吐毼粍澐值娜巳褐校?5%的擁有2-5年工作經(jīng)驗的安全專業(yè)人士認為“大學理論知識無用”：

現(xiàn)有網(wǎng)絡(luò)安全教育體系與行業(yè)脫節(jié)的最主要原因是缺乏具有網(wǎng)絡(luò)安全實際經(jīng)驗的教學人員，中東/非洲、俄羅斯和亞太地區(qū)的高等教育體系最缺乏具備企業(yè)經(jīng)驗的培訓師/講師：

拉丁美洲網(wǎng)絡(luò)安全高等教育綜合評分最高，非洲/中東和歐洲表現(xiàn)最差：

調(diào)查顯示，高校網(wǎng)絡(luò)安全教育的理論知識與實踐脫節(jié)：

• 半數(shù)受訪者認為，他們在大學或?qū)W院獲得的理論知識在實際工作中幾乎無用。
• 不到一半的受訪者表示他們在大學或?qū)W院獲得了動手實踐的經(jīng)驗。
• 許多受訪者認為，獲取最新技術(shù)和設(shè)備以及實習質(zhì)量是大多數(shù)地區(qū)網(wǎng)絡(luò)安全教育最薄弱的方面。

教育體系面臨的挑戰(zhàn)：

• 快速變化的網(wǎng)絡(luò)威脅使得教育課程難以跟上最新形勢，導(dǎo)致理論知識與實際脫節(jié)。
• 缺乏具有行業(yè)實踐經(jīng)驗的合格教師進一步加劇了教育與行業(yè)的脫鉤。
• 正式的網(wǎng)絡(luò)安全培訓計劃的創(chuàng)建和審批速度緩慢，也阻礙了將前沿技術(shù)領(lǐng)域納入IT教育計劃。

結(jié)論：網(wǎng)絡(luò)安全教育體系亟需改革

調(diào)查結(jié)果表明，當前的網(wǎng)絡(luò)安全教育體系未能滿足行業(yè)需求。為了培養(yǎng)出合格的網(wǎng)絡(luò)安全人才，需要進行以下方面的改革：

• 縮小理論知識與實踐之間的差距，提供更多動手實踐的學習機會。
• 聘請具有行業(yè)經(jīng)驗的教師，使課程內(nèi)容與實際工作更加貼近。
• 加快更新課程內(nèi)容，緊跟網(wǎng)絡(luò)威脅的最新發(fā)展趨勢。
• 加強與行業(yè)的合作，提供實習機會，讓學生將理論知識應(yīng)用于實踐。
• 只有通過不斷改革和創(chuàng)新，教育體系才能為網(wǎng)絡(luò)安全行業(yè)輸送合格人才，共同應(yīng)對日益嚴峻的網(wǎng)絡(luò)安全挑戰(zhàn)。