文 | 中國信息安全測評(píng)中心主任 彭濤

當(dāng)今世界正經(jīng)歷百年未有之大變局，網(wǎng)絡(luò)空間面臨前所未有的安全挑戰(zhàn)。網(wǎng)絡(luò)安全漏洞作為網(wǎng)絡(luò)空間的核心資源，正成為各國經(jīng)略網(wǎng)絡(luò)空間、升級(jí)網(wǎng)絡(luò)防御的戰(zhàn)略焦點(diǎn)，打造系統(tǒng)、高效的漏洞治理新范式也成為筑牢網(wǎng)絡(luò)安全防線的關(guān)鍵舉措。網(wǎng)絡(luò)攻防核心在于漏洞，漏洞治理核心在于人才。黨的二十屆三中全會(huì)《決定》就“深化人才發(fā)展體制機(jī)制改革”做出了明確部署。在建設(shè)網(wǎng)絡(luò)強(qiáng)國的關(guān)鍵期，在實(shí)現(xiàn)國家治理能力現(xiàn)代化的攻堅(jiān)期，加強(qiáng)網(wǎng)絡(luò)安全漏洞人才建設(shè)，打造漏洞治理新范式，是構(gòu)建網(wǎng)絡(luò)安全新格局，加快推進(jìn)網(wǎng)絡(luò)強(qiáng)國建設(shè)的重要方面。

一、加強(qiáng)網(wǎng)絡(luò)安全漏洞人才建設(shè)，激發(fā)網(wǎng)絡(luò)安全創(chuàng)新活力

漏洞人才作為網(wǎng)絡(luò)安全前線的“偵察隊(duì)”，應(yīng)急響應(yīng)的“主力軍”，通過主動(dòng)發(fā)現(xiàn)并報(bào)告漏洞，可及時(shí)修補(bǔ)網(wǎng)絡(luò)安全資產(chǎn)的安全弱點(diǎn)，遏制威脅擴(kuò)散。因此，培養(yǎng)一支高素質(zhì)的網(wǎng)絡(luò)安全漏洞人才隊(duì)伍，對(duì)于提升國家整體網(wǎng)絡(luò)安全水平具有不可估量的價(jià)值。

（一）加強(qiáng)網(wǎng)絡(luò)安全漏洞人才建設(shè)是應(yīng)對(duì)網(wǎng)絡(luò)空間攻防新形勢的基本要求

當(dāng)前，網(wǎng)絡(luò)形勢復(fù)雜交織，網(wǎng)絡(luò)攻防深刻演化。漏洞已成為網(wǎng)絡(luò)犯罪的首要工具和大國網(wǎng)空博弈的重要資源。

一方面，基于漏洞的網(wǎng)絡(luò)攻擊成為常態(tài)。千里之堤，毀于蟻穴。重要網(wǎng)絡(luò)和信息系統(tǒng)，可癱廢于漏洞。2024 年以來，我國重要工業(yè)、金融、交通、國防、醫(yī)療和信息技術(shù)等領(lǐng)域的安全漏洞呈爆發(fā)之勢。根據(jù)國家信息安全漏洞庫（CNNVD）統(tǒng)計(jì)，2024 年收錄的漏洞總數(shù)為 40034 條，比 2023 年（28691 條）增長 39.54%，其中，超危漏洞 2883 條，高危漏洞 9994 條。漏洞泛濫使網(wǎng)空形勢更趨復(fù)雜。

另一方面，基于漏洞資源的爭奪成為大國博弈的重要內(nèi)容。美國將漏洞視為重要戰(zhàn)略資源進(jìn)行嚴(yán)格管控，從政策、立法和程序上構(gòu)建了國家層面統(tǒng)一的網(wǎng)絡(luò)安全漏洞披露協(xié)調(diào)和決策機(jī)制，同時(shí)嚴(yán)格控制漏洞資源的出口，在 2022 年完成對(duì)包括入侵軟件等在內(nèi)的網(wǎng)絡(luò)安全物項(xiàng)的出口管制立法，重創(chuàng)全球網(wǎng)絡(luò)安全漏洞的共享。此外，無論是斯諾登的爆料，還是方程式組織的武器泄露，美國大范圍囤積漏洞打造網(wǎng)絡(luò)武器已是不爭的事實(shí)。

（二）加強(qiáng)網(wǎng)絡(luò)安全漏洞人才建設(shè)是打造網(wǎng)絡(luò)漏洞治理新范式的應(yīng)有之義

隨著社會(huì)網(wǎng)絡(luò)化、數(shù)字化、智能化程度的不斷提高，網(wǎng)絡(luò)安全漏洞治理體系改革的緊迫性日益增強(qiáng)。加快網(wǎng)絡(luò)安全漏洞人才建設(shè)，對(duì)于構(gòu)建網(wǎng)絡(luò)漏洞治理新范式、推進(jìn)國家漏洞治理能力和體系現(xiàn)代化具有重要意義。

強(qiáng)化網(wǎng)絡(luò)安全漏洞人才培養(yǎng)是突破漏洞治理瓶頸的關(guān)鍵。近年來，隨著網(wǎng)絡(luò)安全形勢日趨復(fù)雜，漏洞發(fā)現(xiàn)難、漏洞處理效率低的問題日益凸顯，其背后的核心問題仍然是網(wǎng)絡(luò)安全漏洞人才培養(yǎng)未跟上形勢發(fā)展的需要。部分國家已將漏洞治理提升到國家安全層面統(tǒng)一部署，將培養(yǎng)網(wǎng)絡(luò)安全漏洞人才作為完善漏洞生態(tài)建設(shè)的重要抓手，在網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)收集、驗(yàn)證評(píng)估、修復(fù)消控等漏洞治理全流程，通過培養(yǎng)高素質(zhì)網(wǎng)絡(luò)安全漏洞人才，提升漏洞處理效率。

提升網(wǎng)絡(luò)安全漏洞人才能力是應(yīng)對(duì)“網(wǎng)數(shù)智”時(shí)代網(wǎng)安挑戰(zhàn)的重點(diǎn)。隨著物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、人工智能等技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)安全漏洞治理變得更加復(fù)雜。傳統(tǒng)的網(wǎng)絡(luò)安全漏洞治理手段已經(jīng)難以有效應(yīng)對(duì)新型攻擊。因此，需要更加專業(yè)、高素質(zhì)的網(wǎng)絡(luò)安全漏洞人才應(yīng)對(duì)新型挑戰(zhàn)。雖然當(dāng)前人工智能的發(fā)展推動(dòng)了漏洞研究的智能化，但是一些復(fù)雜隱蔽的漏洞挖掘和消控仍高度依賴安全人員的經(jīng)驗(yàn)。這對(duì)新技術(shù)背景下網(wǎng)絡(luò)安全漏洞人才的能力培養(yǎng)提出了更高的要求。

（三）加強(qiáng)網(wǎng)絡(luò)安全漏洞人才建設(shè)是助力網(wǎng)絡(luò)強(qiáng)國的重要舉措

加強(qiáng)網(wǎng)絡(luò)安全漏洞人才建設(shè)是完善我國漏洞治理體系，落實(shí)網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略的重要一環(huán)。

加強(qiáng)網(wǎng)絡(luò)安全漏洞人才建設(shè)，可進(jìn)一步完善我國漏洞治理體系。近年來，我國在漏洞治理方面取得了顯著進(jìn)展。國家級(jí)漏洞庫的建立，為漏洞信息的收集、分析、發(fā)布和修復(fù)提供了重要平臺(tái)。同時(shí)，我國還頒布了一系列漏洞治理相關(guān)政策和技術(shù)標(biāo)準(zhǔn)，旨在規(guī)范漏洞的發(fā)現(xiàn)、報(bào)告、修復(fù)和通報(bào)流程。舉措的落實(shí)關(guān)鍵在于人，當(dāng)務(wù)之急是要構(gòu)建系統(tǒng)化的網(wǎng)絡(luò)安全漏洞人才培養(yǎng)機(jī)制，推動(dòng)漏洞治理體系的不斷完善。

加強(qiáng)網(wǎng)絡(luò)安全漏洞人才建設(shè)，可帶動(dòng)整個(gè)網(wǎng)絡(luò)安全領(lǐng)域的人才培養(yǎng)和發(fā)展。習(xí)近平總書記強(qiáng)調(diào)：“網(wǎng)絡(luò)空間的競爭，歸根結(jié)底是人才競爭?！痹诰W(wǎng)絡(luò)空間中，漏洞人才是網(wǎng)絡(luò)安全人才的“領(lǐng)頭雁”。培養(yǎng)高素質(zhì)的網(wǎng)絡(luò)安全漏洞人才，可以激發(fā)更多人對(duì)網(wǎng)絡(luò)安全領(lǐng)域的興趣和熱情，進(jìn)而推動(dòng)整個(gè)行業(yè)的人才隊(duì)伍建設(shè)。

二、我國網(wǎng)絡(luò)安全漏洞人才建設(shè)亟需解決的關(guān)鍵問題

當(dāng)前，以生成式人工智能技術(shù)為代表的新興技術(shù)發(fā)展帶來網(wǎng)絡(luò)安全范式轉(zhuǎn)變，給漏洞人才建設(shè)既帶來了機(jī)遇，也形成了挑戰(zhàn)。因此，要全面把握當(dāng)前我國網(wǎng)絡(luò)安全漏洞人才建設(shè)面臨的難點(diǎn)和挑戰(zhàn)，抓住關(guān)鍵問題重點(diǎn)解決，切實(shí)提升培養(yǎng)效力。

（一）最突出的難題是人才能力難以滿足形勢發(fā)展要求

基于網(wǎng)絡(luò)漏洞的利用已成為網(wǎng)絡(luò)攻擊的主要憑借手段，攻擊者利用漏洞的方式在升級(jí)，方法在演化，但高水平的網(wǎng)絡(luò)安全漏洞人才缺口卻在不斷增大。

一是實(shí)踐型人才不夠。在培養(yǎng)環(huán)節(jié)，高校和科研院所作為網(wǎng)絡(luò)安全漏洞人才培養(yǎng)的主要陣地，雖然近幾年在課程設(shè)置、校企合作等方面進(jìn)行了不少探索，但仍未建立系統(tǒng)的漏洞研究環(huán)境，漏洞挖掘、漏洞驗(yàn)證、漏洞消控等課程較為缺失，導(dǎo)致學(xué)生知識(shí)結(jié)構(gòu)滯后和實(shí)踐實(shí)戰(zhàn)能力不足。在實(shí)踐環(huán)節(jié)，我國大部分 IT 產(chǎn)業(yè)甚至安全行業(yè)，還未建立專門的漏洞研究部門，漏洞人才培養(yǎng)的生態(tài)系統(tǒng)還未建立。

二是需求對(duì)接不佳。當(dāng)前，我國網(wǎng)絡(luò)安全漏洞人才培育與服務(wù)國家重大需求還有一定差距，針對(duì)重要關(guān)鍵基礎(chǔ)設(shè)施部門的漏洞發(fā)現(xiàn)能力不足，容易因“漏洞不明”加劇“底數(shù)不清”，也缺少對(duì)國際主流產(chǎn)品設(shè)備的漏洞研究，難以應(yīng)對(duì)復(fù)雜的國際網(wǎng)絡(luò)安全形勢變化。

三是綜合能力不足。漏洞研究是一項(xiàng)復(fù)雜的系統(tǒng)工程，不僅涉及軟硬件、編程、逆向等技術(shù)領(lǐng)域，更需要攻防易位的思路方法。因此，有效的漏洞治理需要綜合性、復(fù)合型人才。但現(xiàn)有的人才培養(yǎng)主要停留在漏洞應(yīng)用研究方面，缺少研究深度、廣度和思路方法的創(chuàng)新。

（二）最現(xiàn)實(shí)的挑戰(zhàn)是激勵(lì)措施缺失致使漏洞人才活力難以釋放

漏洞報(bào)送獎(jiǎng)勵(lì)是國際通行做法，建立公開透明且具有可操作性的漏洞獎(jiǎng)勵(lì)計(jì)劃，可充分依賴民間社區(qū)，及時(shí)發(fā)現(xiàn)和修復(fù)漏洞，推動(dòng)負(fù)責(zé)任的漏洞披露，提升漏洞治理效度。當(dāng)前，我國部分機(jī)構(gòu)和企業(yè)已經(jīng)建立了漏洞激勵(lì)機(jī)制，但透明性和規(guī)范性不足，導(dǎo)致一些人員在發(fā)現(xiàn)漏洞后，由于獎(jiǎng)勵(lì)不足或缺乏明確的激勵(lì)機(jī)制，選擇不公開或延遲公開漏洞信息。另一方面，民間漏洞市場獎(jiǎng)勵(lì)繁雜，一些廠商或平臺(tái)存在審核不嚴(yán)、獎(jiǎng)勵(lì)標(biāo)準(zhǔn)不明確等問題，導(dǎo)致漏洞市場亂象叢生。

（三）最根本的問題是網(wǎng)絡(luò)安全漏洞人才體制機(jī)制還有待

完善目前，我國已建立了完善的網(wǎng)絡(luò)安全保障體系，形成了全面的網(wǎng)絡(luò)安全人才培養(yǎng)體系，但是針對(duì)網(wǎng)絡(luò)安全漏洞人才的系統(tǒng)培養(yǎng)尚處于起步階段，人才發(fā)展仍面臨統(tǒng)籌規(guī)劃、協(xié)調(diào)發(fā)展的機(jī)制性障礙。

一是統(tǒng)籌協(xié)調(diào)不足。從總體上來看，國家、組織、個(gè)人利益協(xié)同一致的漏洞共享機(jī)制尚不健全，漏洞人才培養(yǎng)還未形成合力，產(chǎn)學(xué)研用人才鏈相互割裂，高精尖專人才分布較為零散，未能建立從整體上把握全局、分層分類推進(jìn)的人才培養(yǎng)模式。

二是與時(shí)俱進(jìn)不夠。當(dāng)前，新一代人工智能、量子計(jì)算和物聯(lián)網(wǎng)等技術(shù)快速發(fā)展，安全環(huán)境迭代升級(jí)，對(duì)網(wǎng)絡(luò)安全漏洞人才能力提出了更高的要求。特別是隨著生成式人工智能賦能網(wǎng)絡(luò)安全，漏洞利用與治理已邁向“智能化對(duì)抗”階段，并衍生“智能化替代”浪潮，不斷倒逼網(wǎng)絡(luò)安全漏洞人才在專業(yè)性上精進(jìn)，提升應(yīng)變能力和創(chuàng)新能力。

三是法律保障欠缺。如何平衡技術(shù)探索與合法合規(guī)之間的關(guān)系，是網(wǎng)絡(luò)安全漏洞人才培養(yǎng)過程中的一大難題。一方面，漏洞挖掘與利用需要嚴(yán)格的法律指導(dǎo)，特別是應(yīng)引導(dǎo)年輕人才對(duì)法律法規(guī)的理解，在漏洞處理工作中將國家安全考量放在首位。另一方面，針對(duì)擔(dān)憂漏洞披露的法律責(zé)任而合作意愿低的情況，亟需建立完善的法律保障，明確免責(zé)款項(xiàng)。

三、加快推進(jìn)網(wǎng)絡(luò)安全漏洞人才建設(shè)的幾點(diǎn)建議

網(wǎng)絡(luò)安全漏洞人才培養(yǎng)既需要持續(xù)深化的體制改革，又要政府、企業(yè)、學(xué)術(shù)界和社會(huì)各界共同努力，用好激勵(lì)機(jī)制，做好法律保障，不斷創(chuàng)新人才培養(yǎng)模式、優(yōu)化人才成長環(huán)境、激發(fā)人才創(chuàng)新潛力。

（一）合作是關(guān)鍵，匯聚網(wǎng)絡(luò)安全漏洞人才培養(yǎng)合力

漏洞人才的培養(yǎng)是構(gòu)建網(wǎng)絡(luò)安全生態(tài)的關(guān)鍵一環(huán)，需要政府、企業(yè)、教育機(jī)構(gòu)及社會(huì)各界共同努力，形成合力。

一是要凝聚共識(shí)通力合作。漏洞資源的戰(zhàn)略性已成業(yè)界共識(shí)，當(dāng)務(wù)之急是要建立健全漏洞治理體制機(jī)制。進(jìn)一步擴(kuò)大政府機(jī)構(gòu)、科研機(jī)構(gòu)、關(guān)基單位、安全企業(yè)間的密切合作，通過項(xiàng)目扶持、定向培養(yǎng)等方式，支持網(wǎng)絡(luò)安全漏洞相關(guān)的專業(yè)教育與基礎(chǔ)研究，不斷充實(shí)優(yōu)秀后備人才。

二是要加強(qiáng)統(tǒng)籌協(xié)同推進(jìn)。漏洞治理的關(guān)鍵和根本，是要依賴國家層面統(tǒng)一部署的工作機(jī)制，漏洞人才培養(yǎng)亦如是。需要在國家層面培養(yǎng)基礎(chǔ)研究、發(fā)現(xiàn)檢測、風(fēng)險(xiǎn)評(píng)估等各個(gè)環(huán)節(jié)的專業(yè)人才，統(tǒng)籌推進(jìn)漏洞治理體系建設(shè)，實(shí)現(xiàn)漏洞風(fēng)險(xiǎn)有效管控。

（二）機(jī)制是保障，構(gòu)建網(wǎng)絡(luò)安全漏洞人才培養(yǎng)生態(tài)

進(jìn)一步打造我國漏洞治理生態(tài)的重要基礎(chǔ)設(shè)施，以機(jī)制為牽引，完善漏洞人才的發(fā)現(xiàn)、培養(yǎng)、協(xié)同合作等環(huán)節(jié)。

一是探索建立國家網(wǎng)絡(luò)安全漏洞人才庫。破解網(wǎng)絡(luò)安全漏洞人才零散分布在各行業(yè)領(lǐng)域、無法形成合力的問題，依托國家漏洞庫、行業(yè)產(chǎn)業(yè)漏洞平臺(tái)和高校研究機(jī)構(gòu)的資源，構(gòu)畫和共享漏洞人才能力圖譜，充分釋放漏洞人才資源和能力潛力。

二是完善安全漏洞眾測機(jī)制。眾測機(jī)制能夠?yàn)榫W(wǎng)絡(luò)安全漏洞人才提供真實(shí)的網(wǎng)絡(luò)環(huán)境和實(shí)踐機(jī)會(huì)，使其能夠在實(shí)戰(zhàn)中鍛煉技能，發(fā)現(xiàn)和解決實(shí)際的網(wǎng)絡(luò)安全問題。此外，眾測機(jī)制往往涉及多種類型的漏洞和實(shí)踐手段，能夠促使漏洞人才不斷學(xué)習(xí)和掌握新的技能，適應(yīng)不斷變化的網(wǎng)絡(luò)安全威脅。

三是舉辦網(wǎng)絡(luò)安全人才競賽。以競賽為牽引，實(shí)現(xiàn)以賽促學(xué)、以賽促教、以賽促用，發(fā)現(xiàn)并吸引更多有識(shí)之士投入漏洞治理工作，推動(dòng)漏洞人才的培養(yǎng)和產(chǎn)學(xué)研用生態(tài)發(fā)展。

四是成立漏洞技術(shù)研究聯(lián)盟。以聯(lián)盟為驅(qū)動(dòng)，邀請來自不同領(lǐng)域的行業(yè)專家，交流漏洞分析、滲透測試、應(yīng)急響應(yīng)等基礎(chǔ)知識(shí)，探討實(shí)戰(zhàn)實(shí)操演練和案例分析，培養(yǎng)既有理論背景又具備實(shí)踐能力的專門性人才。積極鼓勵(lì)“白帽子社區(qū)”交流，共同探討技術(shù)經(jīng)驗(yàn)與前沿方法，發(fā)揮好技術(shù)上的引領(lǐng)和傳承作用。

（三）教育是基礎(chǔ)，夯實(shí)網(wǎng)絡(luò)安全漏洞人才培養(yǎng)體系

通過加強(qiáng)教育，強(qiáng)化人才的思想根基，錘煉實(shí)踐技能，有效提高漏洞人才能力。

一是完善培養(yǎng)體系。加快構(gòu)建多形式、多維度培訓(xùn)體系，通過學(xué)歷教育、職業(yè)培訓(xùn)、用人單位內(nèi)訓(xùn)等多種方式共同發(fā)力，構(gòu)建理論與實(shí)踐相結(jié)合的漏洞人才培養(yǎng)體系。加強(qiáng)高校與企業(yè)、科研單位合作，以國家重點(diǎn)需求和專項(xiàng)研究任務(wù)為牽引，為國育才。

二是搭建實(shí)訓(xùn)平臺(tái)。建立網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)室，積極利用網(wǎng)絡(luò)靶場，為人才培養(yǎng)提供在真實(shí)業(yè)務(wù)場景運(yùn)用網(wǎng)絡(luò)安全技術(shù)和工具的環(huán)境，提升監(jiān)測與分析、風(fēng)險(xiǎn)評(píng)估以及應(yīng)急響應(yīng)等能力。

三是加強(qiáng)對(duì)“人工智能+漏洞”的研究與運(yùn)用。加強(qiáng)漏洞研究與人工智能領(lǐng)域的交叉人才培養(yǎng)，強(qiáng)化與科研機(jī)構(gòu)、高校和企業(yè)的合作，共同推進(jìn)“人工智能+漏洞”技術(shù)的基礎(chǔ)研究和應(yīng)用研發(fā)，提升漏洞治理的智能化水平。

（四）激勵(lì)是助力，促進(jìn)網(wǎng)絡(luò)安全漏洞人才培養(yǎng)良性循環(huán)

對(duì)在我國網(wǎng)絡(luò)安全漏洞預(yù)警及風(fēng)險(xiǎn)消控工作中發(fā)揮了積極作用的組織或個(gè)人加大獎(jiǎng)勵(lì)力度，激發(fā)漏洞人才的積極性，面向需求形成更多高價(jià)值漏洞成果。一方面，規(guī)范漏洞獎(jiǎng)勵(lì)機(jī)制，設(shè)立明確的獎(jiǎng)勵(lì)標(biāo)準(zhǔn)，根據(jù)漏洞的嚴(yán)重程度、影響范圍以及發(fā)現(xiàn)者的貢獻(xiàn)程度給予相應(yīng)的獎(jiǎng)勵(lì)。另一方面，暢通漏洞報(bào)送渠道，鼓勵(lì)民間力量向國家報(bào)送高質(zhì)量漏洞，引導(dǎo)網(wǎng)絡(luò)安全漏洞人才參與國家漏洞治理。同時(shí)，漏洞接收部門需完善審核制度，對(duì)上報(bào)的漏洞進(jìn)行及時(shí)的核實(shí)和評(píng)估，確保獎(jiǎng)勵(lì)的公平性和準(zhǔn)確性。

網(wǎng)絡(luò)安全漏洞人才培養(yǎng)是一項(xiàng)長期性、系統(tǒng)性工作，任重道遠(yuǎn)。“育才造士，為國之本”。新時(shí)代新征程，我們要以習(xí)近平新時(shí)代中國特色社會(huì)主義思想為根本遵循，始終堅(jiān)持人才引領(lǐng)發(fā)展戰(zhàn)略地位，擰緊“引才、育才、留才”的高質(zhì)量人才工作鏈條，筑牢網(wǎng)絡(luò)安全漏洞人才基石，為以中國式現(xiàn)代化全面推進(jìn)強(qiáng)國建設(shè)、民族復(fù)興偉業(yè)貢獻(xiàn)力量。

（本文刊登于《中國信息安全》雜志2024年第11期）