等保资讯

文 | 中国信息安全测评中心主任 彭涛

当今世界正经历百年未有之大变局，网络空间面临前所未有的安全挑战。网络安全漏洞作为网络空间的核心资源，正成为各国经略网络空间、升级网络防御的战略焦点，打造系统、高效的漏洞治理新范式也成为筑牢网络安全防线的关键举措。网络攻防核心在于漏洞，漏洞治理核心在于人才。党的二十届三中全会《决定》就“深化人才发展体制机制改革”做出了明确部署。在建设网络强国的关键期，在实现国家治理能力现代化的攻坚期，加强网络安全漏洞人才建设，打造漏洞治理新范式，是构建网络安全新格局，加快推进网络强国建设的重要方面。

一、加强网络安全漏洞人才建设，激发网络安全创新活力

漏洞人才作为网络安全前线的“侦察队”，应急响应的“主力军”，通过主动发现并报告漏洞，可及时修补网络安全资产的安全弱点，遏制威胁扩散。因此，培养一支高素质的网络安全漏洞人才队伍，对于提升国家整体网络安全水平具有不可估量的价值。

（一）加强网络安全漏洞人才建设是应对网络空间攻防新形势的基本要求

当前，网络形势复杂交织，网络攻防深刻演化。漏洞已成为网络犯罪的首要工具和大国网空博弈的重要资源。

一方面，基于漏洞的网络攻击成为常态。千里之堤，毁于蚁穴。重要网络和信息系统，可瘫废于漏洞。2024 年以来，我国重要工业、金融、交通、国防、医疗和信息技术等领域的安全漏洞呈爆发之势。根据国家信息安全漏洞库（CNNVD）统计，2024 年收录的漏洞总数为 40034 条，比 2023 年（28691 条）增长 39.54%，其中，超危漏洞 2883 条，高危漏洞 9994 条。漏洞泛滥使网空形势更趋复杂。

另一方面，基于漏洞资源的争夺成为大国博弈的重要内容。美国将漏洞视为重要战略资源进行严格管控，从政策、立法和程序上构建了国家层面统一的网络安全漏洞披露协调和决策机制，同时严格控制漏洞资源的出口，在 2022 年完成对包括入侵软件等在内的网络安全物项的出口管制立法，重创全球网络安全漏洞的共享。此外，无论是斯诺登的爆料，还是方程式组织的武器泄露，美国大范围囤积漏洞打造网络武器已是不争的事实。

（二）加强网络安全漏洞人才建设是打造网络漏洞治理新范式的应有之义

随着社会网络化、数字化、智能化程度的不断提高，网络安全漏洞治理体系改革的紧迫性日益增强。加快网络安全漏洞人才建设，对于构建网络漏洞治理新范式、推进国家漏洞治理能力和体系现代化具有重要意义。

强化网络安全漏洞人才培养是突破漏洞治理瓶颈的关键。近年来，随着网络安全形势日趋复杂，漏洞发现难、漏洞处理效率低的问题日益凸显，其背后的核心问题仍然是网络安全漏洞人才培养未跟上形势发展的需要。部分国家已将漏洞治理提升到国家安全层面统一部署，将培养网络安全漏洞人才作为完善漏洞生态建设的重要抓手，在网络安全漏洞的发现收集、验证评估、修复消控等漏洞治理全流程，通过培养高素质网络安全漏洞人才，提升漏洞处理效率。

提升网络安全漏洞人才能力是应对“网数智”时代网安挑战的重点。随着物联网、云计算、大数据、人工智能等技术的广泛应用，网络安全漏洞治理变得更加复杂。传统的网络安全漏洞治理手段已经难以有效应对新型攻击。因此，需要更加专业、高素质的网络安全漏洞人才应对新型挑战。虽然当前人工智能的发展推动了漏洞研究的智能化，但是一些复杂隐蔽的漏洞挖掘和消控仍高度依赖安全人员的经验。这对新技术背景下网络安全漏洞人才的能力培养提出了更高的要求。

（三）加强网络安全漏洞人才建设是助力网络强国的重要举措

加强网络安全漏洞人才建设是完善我国漏洞治理体系，落实网络强国战略的重要一环。

加强网络安全漏洞人才建设，可进一步完善我国漏洞治理体系。近年来，我国在漏洞治理方面取得了显著进展。国家级漏洞库的建立，为漏洞信息的收集、分析、发布和修复提供了重要平台。同时，我国还颁布了一系列漏洞治理相关政策和技术标准，旨在规范漏洞的发现、报告、修复和通报流程。举措的落实关键在于人，当务之急是要构建系统化的网络安全漏洞人才培养机制，推动漏洞治理体系的不断完善。

加强网络安全漏洞人才建设，可带动整个网络安全领域的人才培养和发展。习近平总书记强调：“网络空间的竞争，归根结底是人才竞争。”在网络空间中，漏洞人才是网络安全人才的“领头雁”。培养高素质的网络安全漏洞人才，可以激发更多人对网络安全领域的兴趣和热情，进而推动整个行业的人才队伍建设。

二、我国网络安全漏洞人才建设亟需解决的关键问题

当前，以生成式人工智能技术为代表的新兴技术发展带来网络安全范式转变，给漏洞人才建设既带来了机遇，也形成了挑战。因此，要全面把握当前我国网络安全漏洞人才建设面临的难点和挑战，抓住关键问题重点解决，切实提升培养效力。

（一）最突出的难题是人才能力难以满足形势发展要求

基于网络漏洞的利用已成为网络攻击的主要凭借手段，攻击者利用漏洞的方式在升级，方法在演化，但高水平的网络安全漏洞人才缺口却在不断增大。

一是实践型人才不够。在培养环节，高校和科研院所作为网络安全漏洞人才培养的主要阵地，虽然近几年在课程设置、校企合作等方面进行了不少探索，但仍未建立系统的漏洞研究环境，漏洞挖掘、漏洞验证、漏洞消控等课程较为缺失，导致学生知识结构滞后和实践实战能力不足。在实践环节，我国大部分 IT 产业甚至安全行业，还未建立专门的漏洞研究部门，漏洞人才培养的生态系统还未建立。

二是需求对接不佳。当前，我国网络安全漏洞人才培育与服务国家重大需求还有一定差距，针对重要关键基础设施部门的漏洞发现能力不足，容易因“漏洞不明”加剧“底数不清”，也缺少对国际主流产品设备的漏洞研究，难以应对复杂的国际网络安全形势变化。

三是综合能力不足。漏洞研究是一项复杂的系统工程，不仅涉及软硬件、编程、逆向等技术领域，更需要攻防易位的思路方法。因此，有效的漏洞治理需要综合性、复合型人才。但现有的人才培养主要停留在漏洞应用研究方面，缺少研究深度、广度和思路方法的创新。

（二）最现实的挑战是激励措施缺失致使漏洞人才活力难以释放

漏洞报送奖励是国际通行做法，建立公开透明且具有可操作性的漏洞奖励计划，可充分依赖民间社区，及时发现和修复漏洞，推动负责任的漏洞披露，提升漏洞治理效度。当前，我国部分机构和企业已经建立了漏洞激励机制，但透明性和规范性不足，导致一些人员在发现漏洞后，由于奖励不足或缺乏明确的激励机制，选择不公开或延迟公开漏洞信息。另一方面，民间漏洞市场奖励繁杂，一些厂商或平台存在审核不严、奖励标准不明确等问题，导致漏洞市场乱象丛生。

（三）最根本的问题是网络安全漏洞人才体制机制还有待

完善目前，我国已建立了完善的网络安全保障体系，形成了全面的网络安全人才培养体系，但是针对网络安全漏洞人才的系统培养尚处于起步阶段，人才发展仍面临统筹规划、协调发展的机制性障碍。

一是统筹协调不足。从总体上来看，国家、组织、个人利益协同一致的漏洞共享机制尚不健全，漏洞人才培养还未形成合力，产学研用人才链相互割裂，高精尖专人才分布较为零散，未能建立从整体上把握全局、分层分类推进的人才培养模式。

二是与时俱进不够。当前，新一代人工智能、量子计算和物联网等技术快速发展，安全环境迭代升级，对网络安全漏洞人才能力提出了更高的要求。特别是随着生成式人工智能赋能网络安全，漏洞利用与治理已迈向“智能化对抗”阶段，并衍生“智能化替代”浪潮，不断倒逼网络安全漏洞人才在专业性上精进，提升应变能力和创新能力。

三是法律保障欠缺。如何平衡技术探索与合法合规之间的关系，是网络安全漏洞人才培养过程中的一大难题。一方面，漏洞挖掘与利用需要严格的法律指导，特别是应引导年轻人才对法律法规的理解，在漏洞处理工作中将国家安全考量放在首位。另一方面，针对担忧漏洞披露的法律责任而合作意愿低的情况，亟需建立完善的法律保障，明确免责款项。

三、加快推进网络安全漏洞人才建设的几点建议

网络安全漏洞人才培养既需要持续深化的体制改革，又要政府、企业、学术界和社会各界共同努力，用好激励机制，做好法律保障，不断创新人才培养模式、优化人才成长环境、激发人才创新潜力。

（一）合作是关键，汇聚网络安全漏洞人才培养合力

漏洞人才的培养是构建网络安全生态的关键一环，需要政府、企业、教育机构及社会各界共同努力，形成合力。

一是要凝聚共识通力合作。漏洞资源的战略性已成业界共识，当务之急是要建立健全漏洞治理体制机制。进一步扩大政府机构、科研机构、关基单位、安全企业间的密切合作，通过项目扶持、定向培养等方式，支持网络安全漏洞相关的专业教育与基础研究，不断充实优秀后备人才。

二是要加强统筹协同推进。漏洞治理的关键和根本，是要依赖国家层面统一部署的工作机制，漏洞人才培养亦如是。需要在国家层面培养基础研究、发现检测、风险评估等各个环节的专业人才，统筹推进漏洞治理体系建设，实现漏洞风险有效管控。

（二）机制是保障，构建网络安全漏洞人才培养生态

进一步打造我国漏洞治理生态的重要基础设施，以机制为牵引，完善漏洞人才的发现、培养、协同合作等环节。

一是探索建立国家网络安全漏洞人才库。破解网络安全漏洞人才零散分布在各行业领域、无法形成合力的问题，依托国家漏洞库、行业产业漏洞平台和高校研究机构的资源，构画和共享漏洞人才能力图谱，充分释放漏洞人才资源和能力潜力。

二是完善安全漏洞众测机制。众测机制能够为网络安全漏洞人才提供真实的网络环境和实践机会，使其能够在实战中锻炼技能，发现和解决实际的网络安全问题。此外，众测机制往往涉及多种类型的漏洞和实践手段，能够促使漏洞人才不断学习和掌握新的技能，适应不断变化的网络安全威胁。

三是举办网络安全人才竞赛。以竞赛为牵引，实现以赛促学、以赛促教、以赛促用，发现并吸引更多有识之士投入漏洞治理工作，推动漏洞人才的培养和产学研用生态发展。

四是成立漏洞技术研究联盟。以联盟为驱动，邀请来自不同领域的行业专家，交流漏洞分析、渗透测试、应急响应等基础知识，探讨实战实操演练和案例分析，培养既有理论背景又具备实践能力的专门性人才。积极鼓励“白帽子社区”交流，共同探讨技术经验与前沿方法，发挥好技术上的引领和传承作用。

（三）教育是基础，夯实网络安全漏洞人才培养体系

通过加强教育，强化人才的思想根基，锤炼实践技能，有效提高漏洞人才能力。

一是完善培养体系。加快构建多形式、多维度培训体系，通过学历教育、职业培训、用人单位内训等多种方式共同发力，构建理论与实践相结合的漏洞人才培养体系。加强高校与企业、科研单位合作，以国家重点需求和专项研究任务为牵引，为国育才。

二是搭建实训平台。建立网络安全攻防实验室，积极利用网络靶场，为人才培养提供在真实业务场景运用网络安全技术和工具的环境，提升监测与分析、风险评估以及应急响应等能力。

三是加强对“人工智能+漏洞”的研究与运用。加强漏洞研究与人工智能领域的交叉人才培养，强化与科研机构、高校和企业的合作，共同推进“人工智能+漏洞”技术的基础研究和应用研发，提升漏洞治理的智能化水平。

（四）激励是助力，促进网络安全漏洞人才培养良性循环

对在我国网络安全漏洞预警及风险消控工作中发挥了积极作用的组织或个人加大奖励力度，激发漏洞人才的积极性，面向需求形成更多高价值漏洞成果。一方面，规范漏洞奖励机制，设立明确的奖励标准，根据漏洞的严重程度、影响范围以及发现者的贡献程度给予相应的奖励。另一方面，畅通漏洞报送渠道，鼓励民间力量向国家报送高质量漏洞，引导网络安全漏洞人才参与国家漏洞治理。同时，漏洞接收部门需完善审核制度，对上报的漏洞进行及时的核实和评估，确保奖励的公平性和准确性。

网络安全漏洞人才培养是一项长期性、系统性工作，任重道远。“育才造士，为国之本”。新时代新征程，我们要以习近平新时代中国特色社会主义思想为根本遵循，始终坚持人才引领发展战略地位，拧紧“引才、育才、留才”的高质量人才工作链条，筑牢网络安全漏洞人才基石，为以中国式现代化全面推进强国建设、民族复兴伟业贡献力量。

（本文刊登于《中国信息安全》杂志2024年第11期）