从网络安全师资竞赛看网络安全培训

本文分两部分，第一部分是在2020年12月1日武汉海泰方圆杯网络安全师资竞赛颁奖仪式的发言稿整理修订而成，完整发言未准备PPT和讲稿，是根据竞赛最后的结果的一个总结和感想；第二部分是针对上述发言的一个概述和总结。供各位读者阅读，仅为个人观点，欢迎交流和拍砖。因众所周知的因素，内容有删节。

从师资培养看网络安全教育与培训

本发言稿是在2020年12月1日武汉海泰方圆杯网络安全师资竞赛颁奖仪式的发言稿整理修订而成，版权归作者所有，未经许可不得修改、引用、剽窃相关内容，转载请注明出处。有关著作权相关内容请参阅《中华人民共和国著作权法相关条款》

今天我们为什么要讲到师资培训，2014年韩国遭受过一波大规模的逆向工程攻击。我相信大家应该知道这个事件。随后美国政府开启了一个计划，要在未来三年内培养3000名逆向工程讲师。当时以为我看错，然后，我特意把这个原文找出来又翻译了一遍，他的确是要培养3000名逆向工程讲师。后来我去分析一个问题，为什么是培养讲师而不是工程师呢？后来我发现原来他要用3000讲师作为根，通过可信的根连建立一个庞大的生态链，当这3000枝根扎下去，会产生一个庞大的连锁反应。我们按一个讲师三年培养10名学生来计算，也就是说未来3年，美国将产生30000名优秀的逆向工程人员。

我从2015年开始，连续三年在国内组织过总共15场师资交流活动。因为当时只能算是以非官方形式的组织，经费、场地、活动的宣传都不足，参加会议的人数有多少呢？我大概做过一个统计，15场师资的交流活动中500人。而市场需要的培训讲师数量是多少呢？不少于2000人。

大家想过没有，没有老师。你讲什么？所以这次由大学生网络安全尖锋训练营主办，武汉赛博网络安全人才研究中心承办海泰方圆杯网络安全师资能力大赛非常有价值，价值在哪里。

首先，这是全国第一次针对网络安全培训师资的大赛，我们有各种网络安全竞赛，但是唯一没有搞过师资竞赛。但是讲师是根。职业教育和我们传统的学历教育最大的不同之处是学历教育有专业老师。但是我们职业培训教育呢。我们没有专业老师。不管是在座的每一位师资是做什么的，有一点必须明确，你们没有接受过真正的教育领域的培训学习，更没有学过教育学、心理学，教材教法等教育类专业课程。所以，从本质而言，我们不能称之为“讲师”，我们只能是“师”。

所以这次课程设计，这次竞赛我们所做的三个层次。第一个是课程设计能力。那么第二个是我们的课件开发能力。第三个是我们的授课能力。三项进行评估，所以说实话难度非常大。我们可以把整个教学过程看成是一个系统工程，而我们这三项就是系统工程中三个必须的工程过程。按照严格的要求，我估计第一轮就能把参赛的将近200名参赛选手全部淘汰。原因在哪里？每一个能讲的不一定能写，能写的不一定能挖掘需求，能挖掘需求的不一定能够把需求形成针对性。这就是职业培训老师的最大桎梏所在。我们很大程度是活在自己的世界里猜想需求，而缺乏一种交互的能力和态度。

其次，我记得我以前的老师说过一句话，他说我要给你一杯水，我得有一桶水。这里面也就意味着我们的老师不光要有深厚的理论基础，还要有实际的实战能力。你是大海，你的学生会成为江河，当江河汇聚就会形成深蓝之海；如果你是沟渠，你的学生只能成为瞬间蒸发于自然的蒸汽，一事无成。

高校和职业教育里面所形成的一个对撞和冲突。我们高校的老师理论能力非常强，但是怎样将理论和组织/企业的业务场景搭建起。这是高校很难实现的。学以致用，高校需要培养理论性人才，但是更多的是务实的执行人员，没有了业务场景的融合，理论变得晦涩和难以理解；厂商，培训机构，专业讲师而言对于专业领域，业务实践很有经验，一旦涉及到基础理论。发现自己的基础不足难以将实现具体技术的理论知识讲透，使得在很多产品的具体实现中产生很多不应该出现的错误和缺陷。所以既要懂技术理论，又要懂业务实战，这类讲师才是我们现在真正所需要的。

现在各个公司都在搞网安学院，各个高校都在搞网络安全专业及院校。好不好呢？很好很有价值。但是反过头我们再去想想。你搞起来了，谁来讲？这才是我们所需要面临的问题。那么在这次做这次比赛过程中，一些情况具有共性的问题是比较有趣的。我们发现在整个课程设计里面，因为不懂教材教法，所以设计课程的时候都会以自己的理解去写课程设计。但是在以你的理解写课程设计的时候，那么这里面就带来另外一个问题，你是否具备你讲你写的东西的能力，你讲给谁听？有没有材料和案例来支撑你的课程设计。最终为自己成功的挖了一个坑。什么坑呢？写了一个非常优秀的课程设计，突然发现完了我不会讲。怎么办？大学会不会有这种情况的，课程设计非常优秀，设计完之后出现一个问题，谁来讲？我找谁来讲？以及如何讲？这个是一个非常有趣的环节。因此课程设计本身他所行成的贯穿性、连续性，还有适用性，构成设计本身的难题。

那么课件制作怎么去做，课件制作指的并不单纯的写PPT。是什么？一方面我要有课件，另一方面要考虑需不需要有实验素材，还有一方面我可能在没有实验的情况下，去截取一些视频和过去一些相关资源。比如说像脱敏的案例。这就是一个难度，难在没做过项目，拿不出案例。我们在很多使用场景中，会形成两个分离。比如说高校，你有实验环境，你会不会发现你的实验环境和实际的业务环境存在差异化。我们就拿一个最典型CTF来说吧。这几年我一直在说CTF的问题，什么问题呢？我是一个企业，你来攻击我。如果我是管理员，你打了我一天，我都没发现。我们就不用再打了，管理员可以辞职走人了。动态的对抗才是构成我们实战的真正要素。但是在动态可以看到里面，组织构建有层层防护，有包过滤防火墙，有IDS，可能还有各种的保密机制，检测机制，以及响应机制。按照正常行为来讲攻击发生开始，组织可能在10分钟到15分钟之内，管理人员就已经开始响应了。那么在我们的CTF场景中，你能够进入场景的。关联响应之后，还要看是阻断还是要溯源，还是要去对这个攻击进行限制。但是设计这种场景的老师，除非经历过这种工作或活动，具备这种实战能力，否则很难设计出这种场景。因为不同的场景下，你所形成的捕捉方式，对抗方式都有很大的不同。更多的时候，当我们集中在外部人为攻击的场景的时候，软硬件故障、通信问题、电力问题以及内部人员误操作或恶意操作的问题却很少在我们的课程体系种得到展现，要知道，这些问题才是组织最广泛的安全问题。

那么除了这个能力之外，紧接着就是授课能力。

其实圈子里边有很多非常优秀的工程师。但是会有一个很大的问题有技术能力的不一定会讲课。有些优秀的工程师的确有能力，但是的确讲不出来。我记得去年前年我去山西有一个老师。考核讲师，然后的讲课他真讲不出来。后来我说你别讲了，我们俩聊天吧，聊点你如何实施测评，评估项目。他开始跟我说起项目实施过程及遇到的问题，非常流畅。我始终在笑，他说了10分钟，发现不对，然后问我你笑什么，我说你这就是讲课。所以有时候我们的很多这种非专业讲师，他最大的问题就在这，没有接受过专业的讲师训练。但是一旦突破这个瓶颈打破穿这层窗户纸，那么你会发现他真是一个优秀的讲师。

所以说在整个培训里面我们所带来的问题就是如何去解决这些东西。一个老师你不但要有正确的知识，而且还必须具备能够引导学生是具有挑战权威的思想和能力。永远没有权威，也没有永远的专家，权威和专家是用来被挑战的。当能够挑战专家，那么你就可以成为专家。但是我们的老师，你有没有这种心态让你的学生去挑战你，以及挑战比你更高的专家。这种能力就在于说作为一个讲师是否敢于被嘲讽。

2018年以前搞讲师活动的时候，很多人都说你吃饱撑的。搞这种活动没钱，没名，还有可能会培养一堆抢自己饭碗的同行。但是，他们想过没有，培训机构没有了讲师你靠什么生存？你以为你有客户，你就能生存了，你错了，未来的培训市场靠的不是商务关系，靠的是讲师。很多时候不是讲师讲的不好，而是说讲师所形成的针对性，以及与用户的需求之间所行的差异，导致培训流产。但是实际上我们再去想想。大家也都听过培训的。培训的目的上来获得知识。培训的价值在于而不是获得那张证书（纸）。当你传递的是一张纸，那么讲师本身就失去了价值。当你传递的是知识，这才是你体现无比的价值所在。 

所以在很多培训过程中，我们完全可以去突破常规的一种教学教法。

我搞教育比较早。98年我就带过职高。我讲FoxBase编程，第一天讲怎么画流程图，第一周讲动词和基本语法。从第二周开始。黑板上写了一黑板代码。然后告诉学生把每一行代码的解释给我写出来。第二件事，把每一行代码的动词和参数给换掉。然后去上机。一个月之后给了一个最基本的课题，每人给编一个通讯录程序出来。自己建库，自己选择功能我只要结果，但是不许抄。你要抄可以把你抄的代码每一行注释写出来。

这个价值不在于他考的成绩高，而在于说他们出去之后，能有一技之长，能具备分析能力、构造能力和编码能力。这是通过常规去搞教育很难实现的，不管是学历教育吧，还是职业教育，为什么要讨论这个问题，很多时候我们要能够为讲师制定一个能力成熟体系。通过体系来度量一个讲师的水平。

昨天我边在做评审，我边在想这个问题，然后按照能力程度模型，大概写了这么一个东西。把讲师的能力的成熟成为三种能力，课程设计能力、课件开发能力、授课能力。那么怎么样定义成熟度呢？

从课程的设计能力来讲，首先你要能够根据。自己的理解来设计一个课程大纲树。就是最基本的。比如说我这次收到的课件，这个课程大纲基本上只能达到这个级别。那么第二级别能够依据用户的需求设计课程大纲。这个成熟度是在前一级的基础上，要能够去和用户去做碰撞，去做沟通。所以我昨天跟有些考生也说了，你为什么不问我呢？我是甲方你是乙方，你在做需求时，你连甲方都不问，你就自己去做需求。你觉得需求会满足我的要求吗？你可以把我当成一个很挑剔的甲方。这就是场景，这就是实战。第三级能力，能够结合自己的知识，然后为用户设计预期的需求。课程设计的好坏在很大层面上和的知识底蕴有关的。你懂的，你可以去写，你不懂的或者你不知道的，你是不可能写出来的。我写一个3天的内训大纲，大概要写两天？首先我会去根据需求去找国际标准，比如：ISO、美国NIST的标准，欧盟组织相关文档以及国家、行业标准。然后在相关文档里面去看人家是怎么干的，人家这么理解的，我完成这一部分之后，我才会去写。但是真正去写的时候两个小时。而且你一旦基于这种模式写完大纲之后，你会发现你的课件的模型就已经出来了。所有的资源的出处形成了从这里面直接抽样。然后结合案例完成。第四级能够根据用户的业务风险设计课程。用户本身想听的是能够为他解决问题的内容，而不是问题本身。你天天告诉用户，今天你会被攻击，明天你会被入侵，用户知道他天天都可能产生安全问题，就因为这个问题他才要通过培训来了解如何降低安全问题。然后你告诉我，我只能跟你讲，你会被黑你会怎么被黑，所以说怎么能不让你黑，对不起，买产品。这不叫培训，他只能增加安全的恐惧感兼销售产品。那么最后一个层次能够结合网络的安全发展趋势，为用户设计体系化的需求。什么叫体系化培训？不是针对一个群体。组织有高层，业务层，有全员，有技术层。覆盖所有组织成员的叫体系化。我曾经去一家银行给他们做内训。内训之前，他们打算跟我沟通需求，在电话沟通时，对方有4名成员每个人都在提自己的想法，每个人的视角和观点都不同，后来我阻止了他们自己的争论，问他们，你是不是a部门的，你是不是b部门的，你是不是c部门的，你是不是d部门？他们当时很纳闷，问我怎么知道，因为每个人关注点不一样，就意味着他的角色不一样，感觉是不一样。每个岗位都有自己的需求，因此相同的课程设计不可能满足他们的总体要求。这时候怎么办呢？后来，根据他们的总培训时长为每个部门设计一个0.5天的课程纲要，然后根据他们的侧重点和总时间做加法。在参训时，仅要求本部门课程必听，其他部门课程选听。所以到最后这个项目在客户极大的压力下完成了整个课程活动。

你大纲的目的就是要拿他去生成可见的。因为我连你写的东西和你的课件都不一致，那你觉得你怎么去讲的？第一级，能够编写课件、第二级，能够全面覆盖大纲来编写课件；第三级能够根据课件制作演示/案例来补充课件；第四级能够结合用户的业务场景制作演示并准备案例；第五级能够充分利用已有的教学设备（如：白板、电子屏）和技术措施（如：实验环境、虚拟机）等多种手段来辅助教学课件。

最后一个能力是能是授课能力。第一级能够讲授课件；第二级能够解释课件内容；第三级能够解读课件内容，并提出自己的见解；第四级能够从多角度解读课件；第五级能够根据不同的用户和部门解读课件，并提供对应的策略.

书不一定都是对的，所以要从挑战书的角度去理解，培训才能让用户和你产生共鸣。这就是我简单给大家谈一下我对讲师在整个培训发展中的一个理解。谢谢大家。

从网络安全师资竞赛看网络安全培训

老烦的草根安全观

随着网络安全在国家安全中的地位发展，网络安全人才培养成为一个热门话题。一个原本寂寥的行业一夜之间成为关注的焦点。转瞬间，安全培训机构如雨后春笋一般走向市场，作为安全培训的核心-讲师始终是各个培训机构之最大的痛。

培训的基础是课程设计，培训的核心是优秀的师资，整个培训产业是一个体系化的产物而不是一个公式化的产品。但是长期以来，我们国家、行业并没有为网络安全培训提供一种有借鉴价值的师资培训和考核体系，使得网络安全培训工作始终处于一种低成熟度的过程，培训质量的高低完全取决于讲师自身的能力，高质量的培训不仅需要高质量的讲师还需要高质量的课程设计和展示。因此，客观地评价网络安全师资活动成为当务之急。

2020网络安全师资竞赛为这种评价提供了这种机会。作为全国首次为网络安全师资举办的大赛，通过课程设计、课件制作、授课能力三个层次展开。竞赛的目的首先为讲师提供一个展示自己的舞台，同时也可以在竞赛中通过和专家、同行的交流相互提升和相互促进。培训的核心是人，再好的课程没有好的讲师也是形同虚设，人的培训确实整个培训环节中最大的短板。我们可以去培训从业人员，我们可以去授课，但是授课的讲师该如何培养却是行业的难题。培训不同于教育，专业院校参与教育的教师都是专业院校毕业并受过专业训练，而我们的培训讲师却很难接受这样的过程，使得很多讲师具有很强的实战能力却缺乏授课的技巧和水平。使得最终培训活动的效果大打折扣。评价、竞赛不仅仅是一种活动，活动中需要每一个参与者通过自我设计、定制设计课程、完善课程、实施课程熟悉和掌握培训的完整过程，作为一种成熟度模型来评价自身作为讲师的能力级别。

竞赛本身也是为国内培训机构、企业提供一种选择合适讲师的途径，没有万能讲师，也不可能有全科讲师，培训需要学院派同样需要实战派。培训的初衷是为参训者提供一种获取知识的快速途径。既然是快速，也就意味着这是一个在极短的时间（短则0.5-1天，长则3-5天）完成一项或若干项知识的掌握以便运用在日常工作中。培训面临一个很大的症结在于参加培训的成员可能是一无所知的白丁，也可能是经验丰富的专家。最初参加培训的目的是为了凑数或者把培训当成休假的一个理由，所以培训成为一个跳板。所以实施培训工作的大多无需专业训练或者具备专业的教育经历即可从事培训工作。培训质量本身不是考核培训的主要目标，简单的考试替代了考核。因此，大多数情况下，培训怎么做并不是一个市场需求。竞赛本身的参与就是能力的一种体现，客观的评价为这种能力提供背书。

培训最大的枳桍课程设计，传统认证课程将逐渐走向平稳，新的认证课程和定制培训课程需求将越来越大，一个合格的讲师不仅能授课更主要能编制设计课程。培训是一个以人为本的行业，但是一切活动从工程理论而言，首先需要的是架构和体系。培训的基础是内容，而内容是为参加培训的参训者而制定，从宏观到微观，从浅到深，如何设计培训课程才是培训的基础。随着信息安全事件的不断产生，组织对信息安全技能要求越来越多，而培训的目的性和针对性也越来越强，本阶段培训工作开始以甲方需求为主导，尽可能的以贴合甲方需求为主设计课程，课程的体系化不够强，更多的是能够解决一些日常工作中的安全问题为主，但是这种培训对组织而言往往是治标不治本，有时更多的是通用性安全技术和工具的使用；直到2010年以后，定制企业培训才在中国慢慢兴起，但是很遗憾的是大多数情况是能设计课程的不具备授课能力，而具有授课能力的对课程的理解问题导致授课质量不能得到满足。课程设计能力也是当前务须解决的问题，对于培训机构而言，要想在内训市场中获得竞争能力首先要解决的就是课程设计能力。因此黄鹤杯的评价是从全方位对讲师能力的考核和评价。

江山代有人才出，长江后浪推前浪。作为一位网络安全培训的老人，扶植新生力量加入这个行业，为中国网络安全行业贡献力量。同时也希望本次竞赛能够为各方各取所需。