網絡安全法正式實施5年了。這5年，是網絡安全法治化體系化日趨完善的5年，也是我國網絡安全產業黃金發展的5年。賽迪顧問數據顯示，2016年，我國網絡安全市場規模為336.2億元；而2021年，市場規模達到900多億元。

然而，在這5年近3倍的高速增長背后，卻是網絡安全行業人才供需失衡——如今，國內網絡安全專業人才累計缺口超140萬人，首席安全官（CSO）更是整個網絡安全行業中的極度稀缺人才。

網絡攻擊并不遙遠

在大多數人眼中，網絡攻擊似乎是個遙遠的詞匯。但事實上，近年來針對民生領域的網絡攻擊時有發生，尤其關鍵基礎設施成為首要攻擊目標。

4月28日，北京健康寶在使用高峰期間就曾遭受到“境外網絡攻擊”。

事后據360網絡安全研究院披露，這是一起典型的網絡拒絕服務攻擊（DDoS攻擊）事件，攻擊者利用大量被入侵的網絡設備，比如，個人電腦、服務器等，向被攻擊對象服務器發送海量的網絡流量，影響其正常服務。

為北京健康寶提供網絡安全服務的是北京東方棱鏡科技有限公司。該公司保障團隊進行了及時有效應對，受攻擊期間北京健康寶相關服務未受影響。

北京東方棱鏡科技有限公司董事長何華，全國工商聯大數據（網絡安全）委員會委員，涉足網安行業已近30年。

何華對《法治周末》記者回憶，1992年，他進入網安行業時，國內還沒有單獨的網絡安全行業，市面上只有殺毒軟件，包括公安部出的kill軟件、江民出的kv系列軟件等。

那時整個信息化軟件行業都剛剛開始，軟件還是DOS時代，硬盤、內存還是按兆計算的，每個人都可以創造創新，都可以獨立改變時代，高手都用匯編語言寫程序，軟件逆向破解很有市場。何華就是從軟件逆向破解、編寫殺毒軟件入行的。因為有了網絡安全相關的法律法規要求，當前軟件破解行為成了敏感內容。

1997年，何華發現微軟Foxpro軟件漏洞并匯報給微軟，當年開始獨立創業。之后在啟明星辰(19.730, -0.23, -1.15%)公司擔任研發負責人、專家團專家直到2014年，然后就創辦了現在的棱鏡科技公司。

1999年，美國轟炸中國駐南聯盟大使館事件，民族情緒激增，促使中美紅客網絡大戰，何華也是主要參與者之一。2000年以后，我國也開始重視網絡安全行業了，2004年9月，公安部聯合國家保密局、國家密碼管理委員會辦公室、國務院信息化工作辦公室共同發布了公通字【2004】66號文《關于信息安全等級保護工作的實施意見》，這份法規文件的發布標志著等級保護工作在我們國家已開始正式推動實施。

時代滾滾向前，30年后的網絡發展，已非30年前所能想象。

“如今，世界大國都將網絡作為謀求戰略優勢的新手段，對內不斷加強頂層設計、能力建設和安全審查，對外搶抓網絡空間控制權、規則制定權和話語權。”中國網絡空間安全協會人才培養專家組常務副組長、國科華盾（北京）科技有限公司高級副總裁潘彭丹對《法治周末》記者說。

隨著網絡安全強國建設目標在國家戰略層面的高度不斷提升，網絡安全能力提升成為我國“十四五”期間的重點工作任務，網安能力提升將是我國快速實現數字經濟轉型的重要能力支撐。

“國家相繼頒布了網絡安全法、數據安全法、個人信息保護法、網絡安全審查辦法等法律法規和規范性文件，對企業的信息安全能力建設提出了更高的要求，也進一步壓實了企業的網絡安全責任。”潘彭丹說。

人與人之間的攻防對抗

“網絡安全行業的本質是人與人之間的攻防對抗。”河南金盾信安檢測評估中心有限公司董事長、河南省法學會網絡與信息法學研究會常務副會長兼學術委員會主任梁宏對《法治周末》記者說，隨著信息技術的快速發展，國家、企業層面的網絡安全空間競爭越演越烈，歸根到底是人才的競爭。人才隊伍建設是整個網絡安全行業合規管理機制建立健全的核心。

如今的計算機網絡安全技術不僅包括計算機硬件設備的抑制和防止電磁泄漏（即TEMPEST技術）、防盜、防自然災害等技術，還包括數據加密、智能卡及防火墻技術等訪問控制及信息保密策略設計。

梁宏說，這意味著，成為一名網絡安全技術專家不僅要懂得計算機硬件設備，還需了解各類軟件程序上的漏洞，并要對潛在的安全隱患進行過濾。

換句話說，網絡安全崗位并非傳統概念上只要略懂計算機操作就能勝任的，網絡安全人才非常稀缺。

何華告訴《法治周末》記者，網絡安全從業人員的功力可類比武林高手，有用刀的、有做刀的，也有不用任何現成武器的高手。

在2000年的某次著名對抗中，由國內網絡安全人士通過網絡自發形成虛擬戰隊，何華就是虛擬戰隊成員之一，屬于提供網絡武器的角色（做刀的）。虛擬戰隊攻克對手國網站，掛國旗，宣誓主權，宣泄對對方的憤怒。為了便于伙伴們更迅速地攻城拔寨，何華相繼開發了利用Solaris系統漏洞的提權工具、WIN2000系統的漏洞利用工具，破解了DEC小型機的管理工具等，通過利用這些工具，戰友才能順利地把國旗掛在對方的網站上，宣誓我們的網絡攻擊成果。

何華認為，網絡安全行業更是年輕人的天下，年輕時容易培養逆向思維，網絡安全工作很多方面需要在攻防、對抗角度去思考問題。

這與近幾年發布的《網絡安全產業人才發展報告》統計數據相吻合。數據顯示，近兩年來八成以上的網絡安全從業人員集中于25歲至40歲之間的中青年，過半都是35歲以下的，年齡在30歲至35歲之間的占比最高，約為35%。

結合工作年限來看，從業5年至10年的人數最多，為34.58%，10年至15年和不到5年的從業人數占比次之，分別為27.16%和18.5%，反映了網絡安全領域從業人群的年輕化現象。

“這說明網絡安全領域對青年人才存在較高的吸引力，但資深人才儲備不足，以及新人培養和留育難度大，將成為企業普遍面臨的挑戰。”潘彭丹說。

在何華看來，現在很多年輕人不愛當碼農，但喜歡安服崗位，因為有挑戰，工作新奇，道高一尺，魔高一丈，網絡安全態勢日新月異，攻防、滲透工作每天都有新東西，與網絡對端看不見的陌生人對抗，經過4年至5年的歷練，一般可以獨立作戰了。

“網絡安全行業的魅力在于與看不見的對手斗爭，你來我往，就像帶兵打仗一樣。”何華理解，這才是網絡安全行業從業人員的核心工作。

在網絡安全攻防滲透方面，博士不一定就是高手，初/高中生也不一定就不行，有的初/高中生安服攻防滲透能力遠超本科、碩士、博士。“天分，悟性，逆向思維，經驗積累，機遇無處不在。”何華說。

何華表示，網絡安全行業比較敏感，可以亦魔亦道。有的人在國家隊為國家各行業單位網絡安全保駕護航，有的人進入上市企業成為正規部隊，有的在創業企業摸爬滾打，但也有大量黑灰產業鏈上的從業者。而黑灰產業從業人員是需要當今網絡安全行業主管部門重點整治的。

網安人才供給“青黃不接”

隨著國家從立法層面和政策指導層面持續提升對網絡安全的重視程度，我國網絡安全產業迎來快速發展。據中國網絡安全產業聯盟（CCIA）數據統計，2021年上半年，我國共有4525家公司開展網絡安全業務，相比上一年增長27%。

值得關注的是，雖然2021年我國網絡安全市場規模實現了20%以上的高速增長，但網絡安全人才供給卻并未保持同步增長。官方數據顯示，2021年，網絡安全人才缺口達140萬人，預計2027年缺口將進一步擴大到300萬人。

潘彭丹指出，網絡安全人才十分稀缺，而每年網絡安全相關專業的高校畢業生規模僅兩萬余人，由此可見，我國網絡安全人才供給存在“青黃不接”的情況，人才成長和培養速度顯著落后于技術與社會變革的整體速度。

“網絡安全人才供需嚴重失衡，不僅體現在數量，更體現在不同類型人才供給和需求之間的錯位。”潘彭丹說。

現階段由于行業發展特點，人才隊伍呈現底部過大，頂部過小的結構，即從事運營與維護、技術支持、風險評估與測試的人員相對較多，從事戰略規劃、架構設計的人員相對較少，尤其缺乏既懂業務懂政策、又懂技術懂管理的高端綜合型人才。

目前，大多數企業只設置了1至2人負責公司網絡安全工作，而且大部分都是IT技術人員兼著相關網絡安全工作，這些人員盡管有一定的技術基礎，但是缺少對網絡安全、數據安全的專業、系統性知識和技能儲備。“重產品、輕服務、重技術、輕管理”的現象仍很普遍，導致人才的供需矛盾不斷加深。

潘彭丹認為，網絡安全負責人一直都是數字化業務的關鍵推動者，要時刻把企業安全和企業業務相融合，明確幫助公司或高級管理層實現戰略目標或保障其利益，確保幫助業務，并制定基于業務、可量化、可衡量的工作目標，而不是單一依靠相關軟件或設備來對本單位的網絡安全進行風險應對和管理。

梁宏也指出，針對網絡安全的管理，多數企業都是被動式的應急和管理，缺少對本單位整體網絡安全、數據安全的頂層設計和長遠規劃，從而導致本單位時常遭到外部網絡攻擊，造成公司及客戶信息泄露、設備無法正常運轉等現象時有發生，給企業正常生產經營造成重大影響和損失。

沒有人才梯隊儲備，一切都是空談

隨著企業對網絡安全的戰略定位升級，對具有戰略思維、高精尖網安技術、豐富實戰經驗的復合型網絡安全人才需求迫切，例如，首席安全官正是為企業培育打造的網絡安全專業復合型人才。

國際上，1995年，一名黑客闖入了花旗銀行的計算機系統，竊取了超過1000萬美元的資金。隨后，信息安全專家斯蒂夫·凱茨（Steve Katz）加入花旗銀行，并被任命為首席信息安全官，被公認為全球第一個首席信息安全官。1999年，美國通過“格雷姆-里奇-比利雷法案”，即金融現代化法案，要求金融企業的董事會任命一名首席信息安全官，并每年讓首席信息安全官向董事會報告安全狀況。這一法案再次推動了首席信息安全官的設立與普及。

據調查，2018年至2019年期間，擁有首席安全官的全球機構數量增加了6%。Gartner數據預計，到2025年，40%的公司將擁有一個由董事會成員監督的專門網絡安全委員會。而根據Forrester公司2020年的研究報告，已有13%的首席安全官被認為是最高層管理人員，這一數字遠遠高于幾年前的5%或6%。

我國首席安全官制度于2015年在上海率先推行，提出了通過聘請具有豐富網絡安全管理經驗的人士擔任首席安全官。

潘彭丹認為，未來社會對網絡安全從業人員的需求定位已不再是扮演“救火隊員”的角色，更多地是希望員工向網絡安全專家（如首席安全官）的角色發展。“救火隊員”向首席安全官的轉化，是階梯式的能力進階。

然而，一個尷尬的事實是，供給端的不足導致人才難尋。據《法治周末》記者了解，曾有游戲公司以年薪300萬元聘請首席安全官，卻沒能招攬來。

“沒有人才梯隊儲備，一切都是空談。”何華對《法治周末》記者表示，網絡安全行業將來面臨應用領域拓展、場景化應用爆發，人才儲備將更加捉襟見肘。

何華指出，我們整個網絡安全行業普遍缺乏對客戶業務的理解，這個是通病，也是后面網絡行業遲早要解決的事情，當然也與我們的人才儲備和培養導向有關系。

隨著數字化轉型的深入，首席安全官目前正面臨一大關鍵時刻：如果能夠支撐數字化轉型，首席安全官將真正成為企業發展戰略的重要推動者?！栋灿?021年首席執行官研究報告》顯示，68%的首席執行官正規劃未來12個月內在數據和技術方面進行重大投資，這也將刺激對首席安全官等高端崗位的需求快速增長。

與此相對應的是，近年來，隨著國家網絡安全強國建設的大力推進，各地政府及各行業的企業也開始重視對網絡安全人才的培養，首席安全官、首席數據官等職業發展迅速。當前，上海、浙江、江蘇等地已陸續開展首席安全官培訓和首席安全官高峰論壇等活動。

2021年年底，中國網絡空間安全協會在北京舉辦了全國性的首期首席安全官高級研修班，邀請了業內知名專家作為講師，學員大部分為中信、國家電網等央企的網絡安全負責人及網絡安全公司的CTO、COO等，效果明顯，在業內也產生了一定影響力。

潘彭丹相信，首席安全官絕對不是網絡安全從業人員的職業“天花板”，未來網安人員的發展空間潛力無限。

來源：信息安全與通訊保密雜志社、《法治周末》