产品介绍

kok电竞体育
地址: 北京市朝阳区观音惠园1号楼

 北京市海淀西三环北路50号豪柏大厦C2座18—19层

电话: 010 - 88518768
传真: 010 - 88518513
网站: www.zjdmt.com
邮件:ms-gb@www.zjdmt.com
邮编:100048

培养软件开发安全人才缓解网安人才百万缺口

【发布时间:2021-12-03 09:09:04】

来源:kok电竞网页 作者:kok电竞下载

  随着2020年的疫情冲击,公共与商业服务的数字化规模逐渐扩大。网络安全不再承担着业务辅助的角色,而成为了公共与企业运营的核心保障。

  产业增长带来了相关职位的需求上涨,据猎聘网《2020网络安全人才发展白皮书》显示,在网络安全行业中,技术岗位从业人员占到41.3%;研究和管理岗位,分别占比20%和18%。与此相应,白皮书认为即使技术岗位人员较多,但相应需求量依旧处于最高位:44.14%,而研究与管理则只占了34.08%和14.67%。

  因此,关于网络安全行业人才紧缺的相关报道不绝于耳。但通过对产业规模及行业发展的调研可发现,该行业人才需求似乎并没有表面上看起来那么简单。

  据中国信通院《中国网络安全产业白皮书(2020年)》显示,2019年我国网络安全产业规模达到1563.59亿元,较2018年增长17.1%,预计2020年产业规模将超为1702亿元,较2015年翻了一番,平均增速远超国际平均水平。

  今年7月,工信部关于《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》中也认为,到2023年网络安全产业规模将超过2500亿元,年复合增长率超过15%。

  据Boss直聘《2021网络安全人才趋势报告》显示,每年网络安全相关专业的高校毕业生规模仅2万余人。数据显示,在多个行业受到疫情冲击,招聘规模明显缩减的大背景下,2020年网络安全人才需求量仍较2019年同比增长47.5%。

  同时,该报告还显示,网络安全相关专业高校毕业生从事计算机/互联网技术研发工作的平均比例为59%。进一步分析发现,这59%的人群中,仅有10%的专业对口人才直接进入到网络安全领域工作。可见相关专业毕业生直接入行的人数并不多。

  其中原因,有专家表示,目前我国的网络安全产业面临着人才短缺和“不好用”的问题,需要拉近网络安全人员与产业之间的距离。学校的理论学习,越发难以满足企业实际的安全需求。

  面对行业的高速增长,人才需求越发强烈,而高校每年培养的人才却不见增长,供需差距愈发加大。很多报道也一直在强调人才缺口的严峻性,数量从70万到140万不等。如此巨大的人才缺口,是否真是如此?

  去年6月,中国网络空间安全协会发布的《2020年中国网络安全产业统计报告》显示,2019年网络安全从业人员约为10万人。

  根据之前中国信通院的预计,2020年网络安全产业规模突破1700亿,假设从业人员依然保持2019年10万人的水平,可以计算出人均产值为170万元,由此可见网络安全行业确实有大量的人才需求。

  这里乐观假设一下,按照工信部预测,2023年网络安全产业规模超过2500亿,对于人才的需求也随着产业规模的增长而大幅增长,补齐了100万的人才缺口,那2023年的人均产值约为25万元,相比之下降幅巨大。

  而且随着大量人员的涌入,会冲击原本的薪酬水平。据BOSS直聘《2021网络安全人才趋势报告》显示,2021年一季度,网络安全领域的平均招聘薪酬达到18627元/月,属于较高水准。但另一份《2020年三季度人才吸引力报告》显示,此薪资并未高于其他信息技术岗位,或许这也是网络安全专业的毕业生没有直接进入该行业的一个原因。

  此外,从业务需求角度来讲,企业需要大量网络安全人才的根本原因在于企业有大量的安全需求。据国家互联网应急中心《2020年中国互联网网络安全报告》显示,国家信息安全漏洞共享平台全年新增收录通用软硬件漏洞数量创历史新高,达20704个,同比增长27.9%;近5年来新增收录漏洞数量呈显著增长态势,年均增长率为17.6%。经抽样检测发现,利用安全漏洞针对境内主机进行扫描探测、代码执行等的远程攻击行为日均超过2176.4万次。

  由此可见,网络安全行业缺人才是真,但若真的补齐所谓的百万人才缺口,对行业而言会是最好的解决方案吗?不见得。

  在10万人就业、人均170多万元产值的情况下,如果企业线万元的薪酬将被众多的新生人员所稀释,降低了该职位对人才的吸引力,恶性循环之下,或将使得企业更加难以招到相应的人才来应对现实的安全需求。

  这样看来,补齐100万新生人员并不是最佳的方案。但企业实际上又确实面临许多安全问题,需要相关的人才,这其中的矛盾该如何真正解决?

  根据前瞻产业研究院的数据显示,2019年至2021年中国政府与大型企业“上云率”逐渐由38%升至49%。

  工信部发布的《中国云计算产业发展与应用白皮书》也预测到2023年中国云计算产业规模将超过3000亿元,政府和企业上云率将超过60%。

  随着企业数字化转型和信息化建设的进一步加强,基础设施和服务逐渐转为云端,传统的硬件安全、网络安全与数据安全等逐步云化,应用软件本身的安全问题愈加凸显,逐渐受到重视。

  我们选取了国家信息安全漏洞共享平台(CNVD)今年1月、3月与6月的月度报告,从中我们可以看出有68%~82%的漏洞都集中分布于应用程序和WEB应用。

  网安加云课堂曾在多家世界五百强企业做过调研,根据以往的经验数据表明,即使在信息化和数字化水平十分先进的企业中,软件开发者也缺乏相应的安全意识与安全实施能力。

  有业内人士向我们表示:“多数项目初期在需求分析时,就缺乏对安全需求的考虑,以至于随后的系统功能规划与设计开发时,无法保障结果能满足安全需求。软件开发市场最常见的现象,就是不断添加产品功能,在安全问题出现后再进行修复,这样做的成本异常高昂。”

  大企业如此,小企业更甚,这不仅是项目进度紧的原因。由于要争夺客户资源,抢占市场份额,开发人员往往很重视软件功能,但却很少以“攻击者”的角度来考虑软件安全的全局性问题。

  回到软件安全开发,就不得不提起近年来兴起的S-SDLC与DevSecOps,这是大家普遍认可的两种软件安全开发的方法模型,适用场景不同,区别在于:如果说敏捷是特种兵作战模式强调灵活应变,那么瀑布模式就是集团军作战模式,要求周密的计划和控制。不管是S-SDLC还是DevSecOps,都强调安全前置或者安全左移,就是更早的在软件开发生命周期嵌入安全动作,就能更容易的收敛安全漏洞问题,保障软件的安全性。

  但实际上,企业要推进S-SDLC或者DevSecOps并不容易,将安全理念贯穿到软件设计、开发、测试、运维全生命周期,不仅是业务和部门整合问题,更重要的是安全开发文化在企业的推广与实施。不是简单将开发团队与安全团队进行合并,更重要的是要每一个开发者都充分理解安全的重要性,开发人员必须要懂安全。

  可见,解决软件开发安全的根本途径是让安全赋能开发,让开发者更懂安全。否则,单纯招聘大量的安全人员,将其强行切入开发环境,开发人员难以理解软件安全的重要性,安全人员也不一定能深入理解软件开发中的细节与难处,两边相互不理解,难以沟通,不仅影响业务进度,而且会极大增加企业内耗成本,实非明智之举。

  从成本角度,应该利用现有的开发者资源,从根源上防止问题的出现。将安全特性内置于软件开发的全生命周期之中,不断为开发人员提供安全意识与安全技能的培训,使开发人员在软件开发过程中对安全漏洞保持随时的警惕性与敏感度,针对已知或潜在的风险及时进行分析并反馈,商讨补救办法,减少安全漏洞的产生。

  这样项目管理者可掌控软件开发全局的信息,兼顾软件开发效能与安全,也可大大缓解人才的缺口问题,不仅为企业节省了不必要的成本,而且能进一步推动业务发展,保障业务安全。返回搜狐,查看更多

在线客服
请Q我吧:10892204
请Q我吧:1011057695
请Q我吧:17206935
请Q我吧:2893423048
在线客服