实战化漏洞安全人才培养 为新质生产力保驾护航

文 | 中国移动网络与信息安全管理部徐一

随着数字化进程的持续推进，各类信息系统和数字资产的大规模建设与广泛应用，带来了日益增多的漏洞安全风险。当前，网络安全形势日趋严峻，外部环境的不确定性进一步加剧，对各类系统应用的安全构成了持续威胁。漏洞作为攻击入侵的重要突破口，同时也是网络安全防护工作的基础，而人才作为这一基础的核心要素，如何培养并打造具备实战化能力的漏洞安全人才，已成为网络安全防护领域的重要课题。

一、漏洞的危害及漏洞人才的特点

网络安全漏洞是指在系统设计、实现或配置中存在的缺陷，这些缺陷可能被攻击者利用，从而获取未经授权的信息访问权限或执行权限。此类漏洞的存在不仅威胁到用户的个人隐私，还可能导致整个系统崩溃或被恶意控制，对企业尤其是关键信息基础设施带来重大危害，严重影响国家安全、经济发展和社会稳定。此外，由于漏洞天然存在的特性，其防护难度大且复杂。攻击者通过扫描、测试、模拟、渗透等手段发现已知漏洞，甚至零日漏洞，进而利用这些漏洞实现大规模破坏性攻击，窃取权限和数据。

漏洞挖掘人才首先需要了解漏洞的相关危害和漏洞利用攻击的典型方法，从技术操作与思维方式等方面建立并培养漏洞挖掘的意识和基本技能。从技术操作层面来看，需要具备扎实的编程能力和对操作系统、网络协议、应用程序及其安全性的深入理解。通常需要熟练运用如 C、C++、Python 等编程语言，并掌握逆向工程、模糊测试（fuzzing）及静态/动态分析等工具，用于发现和利用漏洞。从思维方式层面来看，漏洞挖掘人才通常需要具备较强的逆向思维能力，能够从攻击者视角探寻系统中的弱点和潜在攻击路径。在特定情境下，对业务和流程的了解和掌握有助于全面、深入地发现逻辑相关的漏洞。

（一）漏洞是各类入侵的重要突破口

企业业务上云、远程办公模式的普及、分支机构的扩展以及合作伙伴数量的增加，无形中增加了企业的互联网暴露面。从黑客攻击的角度来看，攻击者通常会先对与该企业相关联的互联网资产进行细致观察，寻找并攻击其最薄弱的环节。大多数边界安全突破口均源于企业对外业务资产（或非直接业务用途但暴露在互联网上的资产）存在的漏洞。每当新的安全漏洞出现，攻击者会迅速采取行动，对互联网或特定目标进行扫描，以识别易受攻击的系统及应用。随后，攻击者再利用各类攻击工具加载攻击载荷，迅速实施漏洞利用，实现边界侧的打点突破。漏洞挖掘人才需要具备信息收集和资产梳理的能力，借助各类开源工具和信息情报，分析目标的互联网暴露面，为漏洞挖掘提供资产基础。

（二）漏洞造成数据泄露和服务中断

漏洞的存在极大地增加了数据泄露和服务中断的风险。如果漏洞被恶意攻击者探测并有效利用，就能够侵入甚至控制受漏洞影响的系统，这不仅可能导致机密信息（如用户个人资料和商业机密）的泄露，还可能引发对服务的持续攻击。例如，网站漏洞可能被黑客利用进行水坑攻击网络钓鱼和恶意软件攻击，导致用户的个人信息泄露和网站服务中断。数据中心的服务器也可能因为漏洞而遭受各类攻击，导致服务可用性的丧失。漏洞挖掘人才需要了解并掌握因漏洞造成的数据泄露等风险，通过回溯和复盘各类真实案例，了解攻击者利用漏洞的攻击目标，并从攻击者视角寻找存在潜在漏洞的资产或业务逻辑。

（三）漏洞导致经济和声誉损失

当企业的安全漏洞被攻击者利用时，在用户层面，最直接的影响便是引发不安和恐慌情绪，进而导致客户信任的丧失，最终可能引发企业或个人的经济损失，包括数据泄露、系统恢复成本、业务中断所带来的损失等。此外，漏洞也会损害企业的声誉，降低用户对产品或服务的信任度，影响企业的市场份额和竞争力。与此同时，漏洞引发的安全事件会对企业的公众形象造成损害，进一步导致客户流失及潜在业务机会的缩减，从而影响企业的长期发展。漏洞挖掘的价值与漏洞导致的损失息息相关，不同等级的漏洞（低、中、高）给企业带来的影响也不同。漏洞挖掘人才应通过了解和分析漏洞对业务的影响，帮助调整漏洞挖掘的思路，优化精力投入方向，对影响大、覆盖广的潜在漏洞重点突破。

（四）漏洞带来法律与合规风险

我国已发布《数据安全法》《个人信息保护法》，越来越多的国家和地区也纷纷出台相关法令，明确规定企业在生产经营中负有保护用户的个人信息和数据安全的法律义务。当恶意攻击者利用企业存在的安全漏洞进行非法活动时，此类行为不仅触犯了相关法律法规，还可能导致企业面临诉讼和罚款的严重后果。从国家和行业监管视角来看，若企业未能及时修复已知漏洞，将存在被攻击利用的风险隐患，同时也表明其未履行网络安全防护的职责与义务，可能面临监管通报、触发合规风险。漏洞挖掘人才的所有操作均应在合法合规的前提下进行，充分了解漏洞可能引发的法律风险，并严格遵守相关法律法规的要求。在确保安全合规、风险可控的条件下，方可开展漏洞挖掘任务。

（五）漏洞地下交易增加了防护的不确定性

攻击者及网络犯罪分子常与暗网交易平台或论坛进行沟通交流、买卖漏洞信息。这些漏洞被视为有价商品，尤其是那些尚未公开的零日漏洞，可被用来制造恶意软件或实施针对性的网络攻击。此类交易活动不仅助长了网络犯罪的蔓延，还对全球网络安全构成了严重威胁，极大地加剧了企业在安全防护方面所面临的不确定性。因此，漏洞挖掘人才除了在技术和工具层面掌握漏洞挖掘的基础能力外，还应具备情报收集和分析能力，了解相关情报平台的使用，及时掌握相关漏洞情报信息。

二、从漏洞挖掘和治理的视角看人才培养

从软件系统自身层面分析，即便开发者具备高超的技术能力和丰富的经验，仍难以完全规避错误和遗漏的出现。开发人员的疏忽、对需求的误解、设计考虑的不周或编码实现的偏差，均可能导致漏洞的产生。从业务流程和对外接口来看，系统可能包含数十万乃至数百万行代码，这些代码基于 SDK 并与多个 API 或其他系统集成，形成了复杂的业务流程和接口。在此情境下，即使是微小的错误或遗漏，也可能在系统的某个关键环节引发安全漏洞（包括逻辑漏洞）。此现象揭示了漏洞天然存在的特性。因此，对于安全从业者和研究人员而言，应当通过持续的测试、监控及更新手段，发现、管理和修补漏洞。

（一）漏洞挖掘人才基本能力要求

2023 年 3 月，我国首个国家级网络安全从业人员能力要求标准《信息安全技术网络安全从业人员能力基本要求》（GB/T 42446-2023）正式发布。该标准的实施，对于推动网络安全行业的整体发展、保障国家网络安全和信息安全具有重大的战略意义和社会价值。该标准明确了网络安全从业人员的分类，并详细规定了从业人员应具备的知识和技能，为网络安全行业持续、健康发展奠定了坚实的基础。

基于标准的要求，漏洞挖掘人才“工作类别”归属“网络安全审计和评估”范畴，主要承担网络安全审计、网络安全测试、网络安全评估等工作任务。标准中明确规定了数据安全知识、网络安全开发、测试及攻防技术知识，网络安全产品与应用知识等方面的知识要求，为提升从业人员的专业能力提供了有力的指导。

（二）从攻击研究视角看漏洞挖掘

鉴于漏洞天然存在的特性，当高危漏洞（尤其零日漏洞）爆发时，攻击者会迅速利用这些漏洞进行未经授权的访问或破坏行为。为有效降低被攻击的风险，必须在攻击者之前发现、识别并迅速修复这些漏洞。主动挖掘和分析系统脆弱性对网络安全攻防实战具有重要意义。

漏洞挖掘过程可以分为两个主要阶段，分别是漏洞发现和漏洞分析。在漏洞发现阶段，需运用多种技术和工具对未知漏洞进行探索，以期最大限度地识别软件或操作流程中的潜在缺陷。而漏洞分析阶段则专注于对已识别的漏洞进行详尽的应用层面分析，包括漏洞利用的可行性、价值评估以及修补和缓解措施等。

从技术实现的角度来看，漏洞发现可分为基于源码和基于目标代码两种方式。基于源码的方式需要访问源代码，适用于开源项目及企业自研开发项目等。但对于大多数商业系统软件而言，源码难以获取，因此通常采用基于目标代码的方式，涉及对编译器、指令系统和文件格式等的复杂分析，对各类程序语言的掌握要求较高。漏洞分析技术包括静态代码分析，动态分析，模糊测试（fuzzing）和逆向工程等，这些技术各有优势，通常需结合使用提高分析的效果和准确性。

（三）从防护运营视角看漏洞管理

从防护角度，可分为已知漏洞的防护和零日漏洞的防护，覆盖监测发现、评估处置、缓解修复等重要环节。

针对已知漏洞的防护，可通过部署 Web 应用防火墙（WAF）、网络流量分析（NTA）、主机入侵检测（HIDS）等必要的安全防护产品，从互联网边界侧到流量侧再到主机终端侧实现纵深防御和持续监测，发现如各类组件/中间件等漏洞利用的攻击行为。此过程需持续监控和更新，及时更新安全产品的规则策略和特征库，通过自定义规则策略和业务适配实现精细化防御，及时发现并果断处置攻击利用，降低风险。针对零日漏洞的防护，除上述措施外，还需及时对信息系统资产进行补丁和更新。应充分借助智能语义分析和大模型等先进技术，实现基于流量上下文逻辑的攻击检测，用算法的迭代改变规则防护现状，实现降低误报率，基于行为特征大幅提升 0day 漏洞利用的发现和防护。

从运营角度，为提高漏洞管理的效率和效果，可采用自动化工具，例如资产脆弱性评估系统，辅助实现快速漏洞发现、自动分类、优先级排序和修复推送等工作。通过定期的漏洞扫描和风险评估，企业可了解安全缺陷并制定相应的防御策略。通过开展常态化网络安全漏洞威胁监测和扫描活动，有效降低网络安全隐患，全面提升网络安全主动防护能力和水平。

此外，未公开的漏洞可以在非法渠道实现交易。除必要的持续监控外，企业可通过组织漏洞悬赏、众测等方式，激励白帽子合法报告并帮助修复漏洞，提前防范被恶意利用的风险。

三、漏洞安全人才培养与实践

中国移动深入学习贯彻落实习近平总书记关于网信安全工作的重要指示精神，认真落实上级单位部署要求，将安全人才作为集团公司四项重点人才工程之一，构建“六大领域”和“七个能力层级”的网信安全人才能力体系，涵盖安全规划与管理、安全创新与研究、安全工程、安全运营、安全产品与服务、安全审计与评估等六大方向。在网信安全人才体系中，漏洞安全人才扮演着关键角色，主要集中在安全运营（漏洞检测与分析、应急响应）、安全工程（需求分析与架构设计、开发与测试）、安全创新与研究（漏洞挖掘与研究、新技术应用）。通过系统的培养和实践，不断提升其专业能力和实战水平。

（一）强化网信安全专业人才技能专项培训

组织各类网络安全专家技能培训，通过内部讲师选拔与外部专家协同，挑选并培养一批有潜力、理论扎实且实战经验丰富的网络安全专业人员。从基础能力培养、进阶能力锻造和专项能力深耕这三个维度持续开展培训提升能力，并通过理论基础、实操考评和行业认证等方式多维度评估人才培养效果。此外，通过打造综合实训基地，建设“漏洞实战演训平台”，提供网络安全实训、竞赛演练和网络安全仿真三大功能，应用于日常培训、攻防对抗、综合渗透，保障网信安全专业人才梯队持续培养与发展。

（二）以赛代练实战化人才培养

中国移动高度重视漏洞专业人才的培养与提升，通过强化实战理论、开展实战模拟以及实施以赛代练三个方面提升安全人才漏洞实战能力。通过“活水计划”加强网信安全人员交流，系统梳理安全专业关键能力角色，并开展结构化、标准化培训，确保打牢实战理论。同时，打造网络安全实训基地，建设集基础设施安全性测试、风险分析及特定网络攻防技术研发与验证功能于一体的集团级靶场，全面开展实战模拟。此外，每季度定期开展风险检测专项活动，培养和选拔优秀人才，积极参与各类国家级安全技能竞赛。截至目前，已有 24 人入选国家“网络安全高端人才”，切实践行以赛代练。

（三）积极开展漏洞众测专项激励

通过薪酬资源的牵引和驱动，强化价值贡献的激励导向，鼓励各单位网络安全漏洞人才运用渗透测试、安全扫描等技术，发现自有业务系统中潜在的漏洞安全风险，激发人才活力。同时，通过打造众测管理平台，为网络安全保障提供有力的人才支撑。实施专项激励活动，通过对表现突出的集体与专家进行专项激励，进一步激发安全人才的积极性与主动性，强化漏洞监测工作的人才保障。

（四）引进高层次安全人才

坚持“内培外引”并重，积极引入高潜力、高层次的网信安全专业人才，激发人才队伍的能力和活力，壮大网络安全科技力量，推动公司科技创新。通过“金种子计划”，针对优秀毕业生进行校园招聘，打造高层次科技人才的“生力军”、核心专家人才的“预备队”以及人才队伍转型的“新动能”。

通过“拔尖计划”，面向社会引进成熟的高层次人才，加快补齐转型急需领域的能力短板，强化高素质、专业化、高潜力的优秀青年科技人才的前瞻储备。截至目前，已累计引进清华、北大博士生 200 余人，以及以互联网头部企业和科研院所为主的核心人才 230 余人，高端人才梯队建设成果显著。

四、思考与展望

面对日益复杂多变的网络安全威胁，构建开放的漏洞安全人才培养机制至关重要。该机制应以国家安全为导向，以漏洞挖掘和治理为目标，打造前瞻性和针对性的漏洞专业人才培养体系，为国家网络安全保障提供坚实的人才储备。

（一）建设漏洞安全人才生态系统

加大培养力度，持续投入资源，夯实漏洞安全人才基础。同时，加强交流合作，促进人才相互合作借鉴，构建互联互通、协同进步的培养生态，激发创新思维，提升人才培养质量。

（二）创新激励，助力人才持续提升

推动重点行业将人才评价认证结果作为绩效、岗级评价的重要参考，让人才有感知、得实利。同时，对通过认证的人才和专家进行分级资源倾斜，通过创新激励机制，实现人才自主提升，并满足用人单位对网信安全人才的需求，形成互利双赢的局面。

（三）争取政策支持，释放人才红利

积极与上级单位沟通，争取更多网信安全人才培养和激励的政策倾斜。全力发挥网信安全人才的激励作用，激发人才潜力、释放人才红利，将有助于实现技能提升、安全防护水平提高，确保业务可靠零风险，形成正向循环。

未来，随着人工智能、机器学习等技术的不断发展与应用，漏洞安全战略也将趋向自动化和智能化。漏洞安全人才的培养需顺应技术变革，加强对数据分析、自动化工具开发和智能响应策略的研究和培训。通过持续的教育和完善的职业发展规划，助力安全人才紧跟行业前沿，从容应对安全挑战，构建企业可持续发展的安全内核，为我国新质生产力发展保驾护航。

（本文刊登于《中国信息安全》杂志2024年第11期）

更多资讯信息

长按二维码关注

注册信息安全专业人员（CISP）官方公众账号