知行合一：网络靶场赋能实战型网络安全人才建设

“知行合一”是明代思想家王阳明提出的重要哲学理念，强调认识与实践的统一，即“知是行的开始，行是知的成果，而真切笃实的行已自有明觉精察的知在起作用了”。

在当下的网络安全人才培养的场景中，“知行合一”理念同样能够发挥重要的现实指导意义，其中，“知”是：我们要培养怎样的人？是认知，是标准，也是目标；“行”是我们在标准指导下的实践，“行”可以校验和精进“知”，双方共同作用力下达成更有效的教学成果。但在实践过程中，真正的要做到“知行合一”并不容易。

长期以来我国存在网络安全人才短缺的问题，而教育机构、社会组织、企业所培养的网络安全人才，又存在缺乏实战能力的现象，即“难以在实际工作岗位上发挥应有作用”，根源就在于没有达成“知行合一”。

在网络安全人才培养领域，以网络仿真为核心技术的网络靶场产品，通过复现高度仿真的虚拟网络环境，供人员进行网络安全攻防知识的学习、实操，已经成为主流工具。如何利用网络靶场更好的在人才培养中实现“知行合一”？丈八网安作为网络仿真技术及应用服务提供商，通过创新型网络靶场产品和技术提供了行之有效的解决方案。

首先，我们要知道网安人才培养的“知”到底是什么？也就是我们要培养什么样的人？他们要具备怎样的能力？

2023年10月1日，国家标准《信息安全技术 网络安全从业人员能力基本要求》(GB/T 42446-2023) 正式实施，为网络安全从业人员的识别、培养和管理提供了指导。国标可以作为指导实践的“知”。

在有明确“知”的前提下，丈八网安的新型网络靶场平台，通过在其自主研发的网络仿真操作系统上，灵活“插嵌”多款功能性APP，用技术手段将“知”的指导价值贯穿到所有与“行”相关的APP上，实现科学指导、数据联通、综合评估，践行“知行合一”，最终达成“实战型”网络安全人才的建设目标。以下，为解决方案的概况及案例：

某高校为推进产教融合示范基地建设，采用了丈八网络靶场平台所提供的人才培养解决方案，通过“人员能力评估”、“授课教学”、“考试测评”、“HVV”、“攻防演练”五款APP，进行匹配国家标准《信息安全技术 网络安全从业人员能力基本要求》的人才培养。

知：依托基于国标的TKS模型生成专属培养方案

以其中数据安全保护人员为例，数据安全保护人员TKS模型中的T来源于其实际岗位需求，岗位描述为：确保组织内重要数据的保护。包括制定和执行数据保护政策和流程，与组织内部的各个部门合作，确保数据在存储、传输和处理过程中受到适当的保护，监控数据的访问权限，定期对数据备份进行验证和测试等。要完成该岗位的实际工作内容，该人员需要承担的T为：网络安全需求分析、网络数据安全保护、个人信息保护。

不同岗位目标人员的T各不相同，往往存在多个T。T又对应了网络安全基础知识、数据安全知识、专项领域知识等24项K，以及通用技能、网络安全需求分析技能等9项S。

根据数据安全保护人员的TKS模型要求，系统生成培养方案，教学人员也可依据实际需求对方案进行动态调整。学员们则根据培养方案在“授课教学”APP进行相关知识和技能的汲取；在“考试评测”、“HVV”、“实战演练”APP进行理论、技术、实战等考核。教学人员随时掌握沉淀在“人员能力评估”APP中的学员数据，根据数据分析情况修订学习计划，进行新一轮的学习和考核。

行：理论+实战 助力知识、技能深度获取

“授课教学”APP是一款综合性培训教学应用，提供管理端与用户端两版本，管理端由教师角色使用，侧重内容、排课等管理功能，用户端由学生角色使用，亦支持自由、自主学习和排课，系统同时提供丰富的课程库、教案库，提供理论学习、实验实操、教学管理等功能。两端用户可实现实时互动与协作推进学习。

案例中，以“数据安全保护人员”为岗位目标的学员们利用此平台进行《信息安全意识》《信息安全工程》《网络安全基础技术》《OWASP漏洞详解》等理论课和实操课的学习，实现对K和S的掌握。

“考试测评”APP是一款教学成果评测工具，也可用于学习初期对学员情况的摸底，支持多种试题类型，如单选、多选、判断、填空等客观题，简答等主观题，以及flag、自动裁决等实验题。教师可以根据目标规划灵活组卷。丈八知识库也提供海量试题资源供用户直接调动。判分过程支持自动化与人工判分，同时有防作弊系统保障考试的权威与公正。

案例中用户经过在“授课教学”APP中的系统性学习后，阶段性通过考试测评进行学习成果的测试，包括涉及信息安全意识信息安全工程、渗透测试、网络安全基础技术、安全法规、安全标准等内容。

演练类、竞赛类APP均可用于定期或阶段性的实战技能考核，案例中用户选择了“攻防演练”，该APP中的场景大部分为教学场景定制，提供“有剧本”的演练模式，打造基于固定剧本的红蓝对抗、渗透攻击、防御训练，实现指引式对抗演练模拟。学员通过参与相应攻防场景的演练，理解组织业务，识别网络安全管理基本知识等K，掌握对风险管理、供应链安全管理、运营管理、应急管理、业务连续性、管理体系、认证认可、漏洞管理基本知识等S。

“攻防演练”内置海量剧本供用户进行编排，用户可选择“剧本”中的攻击方或防守方，另一方则由“数字人”扮演，自动发起攻击或防御，帮助用户完成双向训练。

目前，丈八网安的靶场平台提供“CTF”、“AWD”和“HVV”模式赛事APP，支持线上、线下开展竞技，提供灵活的活动创建编排模式，支持用户按需进行新型赛事的自定义创建，其中“HVV”是创新型竞赛模式，支持打造实网级场景及操作方式、竞赛规则，可以从根本上解决传统竞赛模式重知识、轻技能，和实战脱节的问题。

案例中客户选用HVV，体验了大规模网络架构和业务场景模拟仿真环境下的逼真对抗，在此过程中充分发挥所学K和S，酣战淋漓。

评：智能指导，打造实战型精英

案例中，学生在“授课教学”、“考试测评”、“实战演练”以及“HVV”等APP中的行为，均沉淀为相应的TKS数值。这些宝贵数据被统一集成至“人员能力评估”中，通过算法深度挖掘，形成每位人员详尽、多维且不断更新的TKS画像。此画像经过和预设的“数据安全保护人员”岗位TKS理想模型进行智能对比，即时获取能力差距与短板。

基于此对比分析，引导用户进入新一轮的PDCA循环，直至个人TKS画像与国标TKS高度匹配，标志着个人学习目标的圆满达成。

此外，“人员能力评估”还提供了灵活的模型定制功能，用户既可选用符合国家标准的基础TKS模型作为起点，快速搭建培养计划；也可依据自身业务特点，深度定制岗位画像，构建出既专业又具针对性的评估模型。这种灵活性与精准性相结合的设计，确保了每位员工都能在最适合自己的道路上快速成长为能够胜任岗位需求的实战型人才。