360譚曉生：AI時代，人才是最好的“安全帶 ”

互聯(lián)網不只有短視頻、外賣、打車，網絡安全的熱度同樣在升溫。

首先是習主席4月底在全國網絡安全和信息化工作會議上的講話這段時間被各界人士仔細研讀，掀起了學習熱潮；再就是6月1日兒童節(jié)這天，除了朋友圈刷屏的兒時回憶，《網絡安全法》剛好頒布一周年。

而就在6月2日，EOS1．0正式版發(fā)布，同一時間，EOS官方就近期出現(xiàn)的一系列高危漏洞做出回應，向發(fā)現(xiàn)漏洞的360公司安全團隊公開致謝，對其中3個漏洞分別給出1萬美元的賞金，要知道這是EOS官方首次向安全機構發(fā)布賞金致謝。

在網絡安全威脅持續(xù)蔓延時，安全問題已經從企業(yè)層面提升到國家層面。對從業(yè)者而言，或許如芯片行業(yè)一樣開始了一場盛宴。只是，這個行當多年來一直存在的人才匱乏尚未得到妥善解決，在移動互聯(lián)網如火如荼、求職者趨之若鶩時，安全領域要找到批量的合適人才卻不那么容易。

一些“老玩家”已經開始主動嘗試拓展人才渠道。5月29日，360校園俱樂部名校行活動首站走進清華大學，包括技術總裁兼首席安全官譚曉生、獨角獸安全團隊創(chuàng)始人楊卿等悉數(shù)到場。其中，有國內安全領域的領軍人物之稱的譚曉生先生在“網絡安全行業(yè)全解析”的主題演講中直言不諱地表示，2019年千億量級的信息安全行業(yè)將面臨百萬人才缺口，不能補上缺口將嚴重制約信息安全產業(yè)的發(fā)展。

紅衣教主的安全江湖，正在尋求打通人才這道關卡，其做法或許也能窺見行業(yè)的一些人才邏輯。

本就嚴峻的安全形勢，又有了AI的“負加持”

網絡安全本來是一個老生常談的話題，在PC互聯(lián)網早期就已經產生。某種程度上，移動互聯(lián)網既方便了人們的生活，也為互聯(lián)網黑產提供了舞臺。

1、除了廣泛性，安全問題的危害性正在進一步升級

關于信息泄露造成的騷擾電話，坊間流傳一句話，“你的信息100％被泄露了，你沒有接到騷擾電話是因為騙子打電話要一個個來，還沒輪到你”。

毋庸置疑，徐玉玉案只是網絡黑產的一個典型代表，其背后是全民信息泄露的狂潮，網絡安全問題不只是天邊的事物，它帶來的危害已經發(fā)生在每一個人身邊。

而且，除了這種廣泛性，安全問題的嚴重性也開始升級，超越了以WannaCry為代表的最嚴重的虛擬安全，開始走向現(xiàn)實安全的威脅。例如，近來有些攻擊者開始瞄上了金融、能源、電力、通信、交通等領域，造成例如烏克蘭電網攻擊、美國東部大面積斷網等嚴重事件，甚至伊朗核設施都停擺，現(xiàn)實世界的安全受到嚴重威脅。

2、AI可以促進社會進步，也可以“負加持”

與互聯(lián)網在全球處于領先地位對應的是，中國網絡犯罪團伙也處于全球領先水平?！?018守護者計劃大會”上，某BAT大佬甚至表示，用AI神經網絡幫助破解網絡登錄驗證碼已經是中國團伙的拿手好戲，同時，AI技術也“幫助”犯罪分子加快了從從企業(yè)數(shù)據(jù)庫中竊取用戶數(shù)據(jù)的速度。

菜刀可切菜，亦可殺人。AI本身只是不帶傾向的工具，在金融服務、安全防護、智能生活、醫(yī)療影像等方面能做出有價值的貢獻，轉手被不法分子利用，就會產生同等的破壞力。

AI技術越是發(fā)展（AI當然不能不發(fā)展），這種“負加持”的風險就越高，帶給網絡安全的壓力就越大。

安全人才不僅有數(shù)量問題，還有結構問題

一邊是嚴峻的形勢，另一邊是人才的匱乏——不僅僅是數(shù)量，結構問題亦十分嚴重。

1、缺口龐大是首要表現(xiàn)

在這次清華活動上，360譚曉生介紹了一組數(shù)據(jù)：目前我國網絡安全人才面臨的人才缺口2017年已經高達70萬，缺口率95％，到2020年這一數(shù)據(jù)將增長至140萬，而與之對應的是，現(xiàn)階段我國高等院校學歷教育培養(yǎng)的人才只有區(qū)區(qū)3萬人左右。

這個缺口遠遠大于歐美國家。根據(jù)《2017年全球信息安全人力資源研究》顯示，歐洲在2022年才面臨35萬名網絡安全人才缺口。很明顯，“領先也是有代價的”，龐大的缺口不補上，安全問題會變得更棘手。

2、“不爽”加劇人才缺口

馬云曾說，員工不愿意干，要么是給得不夠，要么是做得不爽。

安全這個行當，從薪資來說并不特別差，但做得“不爽”卻是實實在在的。它包括以下幾個方面：

A、學習周期長。安全是一門需要極強綜合能力的計算機學科，而且需要非常豐富的實踐經驗，理論與現(xiàn)實相差甚遠，成長周期十分漫長。一些人幾年都可能未入門，反之，一些編程速成班，180天就能培養(yǎng)一個擔當一面的程序員。

B、“保安”化。在非專業(yè)的安全公司里，安全部門是典型的非核心部門，需要的時候用一下，平時默默做維護，價值觀顯露很少，如同現(xiàn)實守門的保安一樣，一些時候，還不得不為廣域攻擊背鍋。

C、重復式工作無激情。一看到360某大拿拿了國際大獎，很多人覺得安全是一件時刻充滿激情和創(chuàng)新的工作。其實不然，很多時候網絡安全是一件重復而繁瑣的勞動，只有這樣才能發(fā)現(xiàn)最細微的安全問題。

3、“偏科”問題讓人才缺口比實際更嚴重

就如中國經濟總量大，但還是在談結構性改革一樣，即便在網絡安全的人才存量池子里，人才的分布也存在偏科問題，結構化失衡讓缺口實際上比看起來的更嚴重。

這種失衡包括：

A、重攻輕防。安全人才總數(shù)不夠的情況下，防守人才更是缺乏。攻擊技術的確重要，高價值漏洞可以成為戰(zhàn)略武器，但就如10枚核彈和100枚核彈毀滅力差別不大都夠用，而反導系統(tǒng)卻越完善越好一樣。

B、重單點輕系統(tǒng)。網絡人才往往以“發(fā)現(xiàn)問題”自詡，也成了工作的主要方向，這固然沒錯，但相對于“千里之堤，潰于蟻穴”的螞蟻，業(yè)界更需要的是為生態(tài)授粉、創(chuàng)造自然奇跡的蜜蜂，更需要的是安全體系化建設。正如360譚曉生在演講中所說，未來的網絡空間安全將會是多線作戰(zhàn)，網絡安全從業(yè)者將會面對與網絡犯罪、網絡恐怖主義、網絡戰(zhàn)爭、網絡意識形態(tài)競爭的持久抗爭，一招一式、拳腳相搏的古典式攻防將被替代，未來的網絡攻防將以上帝視角統(tǒng)籌全局。

C、重反向輕正向。買輛汽車拆解仿造是早期我國汽車工業(yè)的普遍做法，夾生飯造成整車性能遠不如原版。而國內安全人才很多都是從滲透、逆向、分析漏洞入門，卻在防止?jié)B透、防止逆向、設計沒有漏洞系統(tǒng)方面能力缺乏，很明顯，人才的正向能力才真正體現(xiàn)安全防護的水平。

安全人才不止要“培養(yǎng)”，還需“意識＋培養(yǎng)＋留住”三位一體

從安全人才的數(shù)量和結構化問題來看，僅僅“培養(yǎng)”安全人才顯然是不夠的，而應當是“意識＋培養(yǎng)＋留住”三位一體的過程。

1、意識：用足球運動邏輯，建立“意識”激發(fā)興趣人群

中國足球之所以“難堪大任”，不少評論家認為是大眾層面的預備人才不足，雖然人口基數(shù)大，能供人才孕育的池子卻不大。網絡安全其實面臨同樣的問題，雖然很多人在感性層面了解到網絡安全形勢的嚴峻，但并未真正去理解什么是網絡安全、如何應對網絡安全。

包括紅衣教主在內，360多年來各種“走穴”，除了這次進校園活動，各種互聯(lián)網峰會、安全峰會上，很多時候都能看到360“賣力”普及網絡安全形勢的身影。

固然，這種行為出于公益的目的，也有品牌宣傳的成分，但這種安全意識的提升對增加安全人才的潛在備選人群意義無疑十分重大。例如，這次360進清華的活動上，譚曉生解析安全產業(yè)發(fā)展現(xiàn)狀、介紹安全人才就業(yè)狀況、回答清華學子關于職業(yè)發(fā)展、專業(yè)領域等問題，讓“網絡安全”這個概念變得立體。此外，楊卿展示的IOT網絡多場景的攻防演練，又使得復雜的攻防技術能夠以直觀的方式展現(xiàn)出來，對避免枯燥、激發(fā)興趣十分有利。

2、培養(yǎng)：從出頂尖人才的野路子到出正規(guī)軍的制式化

自學成才是網絡安全大拿的普遍經歷。歐美奇聞中經常爆出年僅十幾歲的青少年惡作劇式地入侵了銀行或大型企業(yè)的信息化系統(tǒng)，造成嚴重的威脅。中國網絡安全市場上活躍的大拿，也有不少是野路子出身。

如果說過去突發(fā)但不頻繁的網絡安全問題可以由野路子的“尖峰技術”來創(chuàng)造奇跡，那么現(xiàn)在危害普遍而嚴重的形勢下，只有正規(guī)軍才能實現(xiàn)長久、穩(wěn)定地防御和對抗，這就需要高校的大力配合。

然而，最終選擇網絡安全職業(yè)的畢業(yè)生，大多數(shù)都是“相關專業(yè)”出身，以名校云集的廣東省為例，目前開設網絡安全專業(yè)的僅有暨南大學，高校的短板可見一斑，360譚曉生介紹高校每年才3萬人才輸出就是例證。

作為國內老牌互聯(lián)網安全企業(yè)，可能已經感受到人才焦慮，360對信息安全行業(yè)的人才培養(yǎng)一直比較重視。此次的名?；顒?，本身就是所謂“新青年·安全觀”系列活動的組成部分，據(jù)稱后續(xù)還將在全國各大高校陸續(xù)舉辦，推動高校網絡安全學科建設、提前搶占正規(guī)軍的意圖十分明顯。

3、留?。撼舜?，安全人才還有群聚效應

如前文所言，網絡安全人才在薪資上并不落后，據(jù)稱一些剛剛畢業(yè)的優(yōu)質安全專業(yè)的人才，就可以拿到20K－50K的月薪。

從留住人的角度，安全人才需求方可能更應該思考“環(huán)境”的問題。這種環(huán)境既包括通常意義上所有類型職業(yè)都希望的人文環(huán)境，例如360周鴻祎有時候跑去主持知名員工MJ0011的婚禮，而為了拉某ark工具作者加入360，周鴻祎和hr負責人飛了兩趟南京上門去請，甚至360內部還有不少以前大罵過360但因技術過硬被挖來的員工。

更重要的是，安全人才往往有群聚效應。例如，雖然人民總是懷念周鴻祎炮轟BAT，但周鴻祎本人卻還有安全專家這重身份，其對安全的理解超過大多數(shù)專業(yè)安全人員。之所以在知乎上360在人才方面能夠受到好評，原因在于從事安全行業(yè)的人大都有藐視權威并且渴望戰(zhàn)斗的某種心理特征，越是聚集，就越能產生共同應對網絡安全的氛圍。技術大拿聚集，加上360的江湖氣息，可能反而更適合留住網絡安全人才。

安全產業(yè)化是安全人才最終保障

作為一個產業(yè)，現(xiàn)在的黑灰產已經形成了一個完整的鏈條，每個環(huán)節(jié)都有大量的從業(yè)者各司其職，據(jù)稱規(guī)模已達千億。而業(yè)內人士透露，這些黑灰產使用的技術都是相對基礎的，并不是什么高精尖的技術，即便如此仍然有大量網站被簡單的注入或者弱口令攻破，無數(shù)個人信息都在地下黑市被販賣。

有些諷刺的是，目前和網絡安全市場的規(guī)模也剛剛與黑灰產的市場規(guī)模相當，亦為千億級別。

所以，半嚴肅地說，網絡安全人才也應該與黑灰產對應，至少有1：1的“人才”規(guī)模，才能讓這種對抗顯得相對公平。

換句話說，產業(yè)化的成功，才是行業(yè)吸引人才、給予人才發(fā)展空間的根本保障，黑灰產都是如此，正面的網絡安全沒有理由不這樣。

安全是個技術對抗非常激烈的領域，但這并不代表技術高超就是一切，所以360仍然在用技術之外的“世俗”方式不斷擴展市場，做大規(guī)模，而且要回國上市修正市值?；蛟S360明白，沒有產業(yè)化的網絡安全，至少在人才方面的努力最終會是一場空。

生成海報

（免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）