摘要:在当今数字化时代,网络安全已成为关乎国家安全、企业发展和个人隐私的关键领域。白帽人才作为专业的网络安全人员,通过对评测目标的网络和系统进行授权渗透测试,发现安全问题并提出改进建议,使网络和系统免受恶意攻击,是网络安全实战人才的核心力量。
文 | 上海斗象信息科技有限公司 曾裕智
在当今数字化时代,网络安全已成为关乎国家安全、企业发展和个人隐私的关键领域。白帽人才作为专业的网络安全人员,通过对评测目标的网络和系统进行授权渗透测试,发现安全问题并提出改进建议,使网络和系统免受恶意攻击,是网络安全实战人才的核心力量。
随着网络安全形势日益严峻,相关政策法规逐步健全和完善,促使网络安全众测产业蓬勃兴起,在这一进程中,我国白帽力量得到了显著发展。一方面,人力资源和社会保障部在 2022 年发布的《中华人民共和国职业分类大典》中,明确了“信息安全测试员”这一职业,为白帽人才赋予了正式的官方名称,并对其主要工作任务及相关工种作出了明确规定。另一方面,《网络产品安全漏洞管理规定》《信息安全技术网络安全漏洞管理规范》《网络安全众测服务要求》等一系列文件标准的相继出台,为漏洞管理和白帽人才提供了明确的规范与指引,确保漏洞发现与处置在合法合规的框架内进行。此外,各类高水平众测竞赛、网络安全会议以及企业漏洞奖励计划吸引了众多白帽人才积极参与。通过参与这些活动,白帽人才不仅能够在实践中不断提升实战技能,同时也增强了社会各界对他们价值的认可。白帽人才凭借其专业技术和敏锐洞察力,能够及时发现并协助企业修复信息系统中的安全漏洞,有效预防了数据泄露事件的发生,减少了网络犯罪带来的损失,因此受到了众多企业的高度重视。
一、中国白帽群体特征与发展现状
根据漏洞盒子测试平台的调研及相关数据分析,我国白帽群体的显著特征与发展现状体现在以下五个方面。一是年轻化特征明显,30 岁以下人员占比高达 91.1%。调研结果表明,目前我国白帽群体初具规模,在性别方面以男性为主,占比逾 90%。该群体呈现出明显的年轻化特征,其中 30 岁以下的人员占比达 91.1%。二是活跃白帽的分布与数字经济发达地区重合,北上广川浙占比达 64.5%。调研数据显示,我国白帽群体最活跃的前五个区域依次为北京(20.7%)、广东(17.1%)、四川(10.5%)、上海(8.2%)以及浙江(8.2%)。白帽人才规模的发展与数字经济规模高度相关,即数字化程度越高的地区,白帽人才的占比越大。三是教育程度稳步提高,本科及以上占比 67.4%。调研显示,白帽群体的教育程度以本专科为主。其中,本科占比 60.0%,大专生占比 26.8%,硕士及以上学历者占比 7.4%,高中及以下学历者占比 5.8%。在所学专业方面,计算机相关但非网络安全方向专业占比 52.5%,信息安全或网络安全对口专业占比 29.9%,其他专业占比17.6%。四是兼职人员为主,在校学生占比呈现逐年扩大趋势。数据显示,在职企业员工在白帽人才中占比过半,其中从事安全岗位的占比为 49.0%。近三年来,在校学生在白帽群体中的比例持续攀升,分别为23.7%、27.6% 和 34.5%。此外,自由职业人员也呈现出逐年增长态势。五是白帽技能日趋多元化,涵盖漏洞挖掘和多样化攻防等方面。调研显示,白帽人才的技能方向以黑盒漏洞挖掘为主,占比达到 34.4%。其他技能包括内网渗透/攻防(20.1%)、白盒代码审计(16.6%)、CTF(12.0%)、安全开发(7.4%)以及逆向分析(6.0%)等。
随着行业需求的不断增长,白帽的专业技能已从单一的安全众测平台漏洞挖掘,扩展至内网渗透、攻防演练、实网对抗、威胁情报搜集、安全运营等更多样化的安全服务领域,展现了其技能的日益多样化与全面性。
二、白帽人才运营创新实践
白帽人才是网络安全实战中不可或缺的组成部分,如何有效地运营、调度好白帽人才,对于完善国家及企业的网络安全防护体系至关重要。在白帽人才运营方面,漏洞盒子测试平台创新实践聚焦于发现人才、选拔精英、有效激励、持续培养、实战检验、全面评价。
(一)发现人才与选拔精英
漏洞盒子基于白帽年轻化特征,通过进阶式、成长导向的白帽等级体系、智能派单机制和多元化任务系统,有效发现并选拔白帽人才。
白帽等级体系从技能、经验和实战产出多方面进行综合评估,设立见习白帽、初级白帽、中级白帽、高级白帽、精英白帽和S级白帽等多个层级。白帽通过在平台上完成各类漏洞挖掘和实战任务获得积分,进而实现等级晋升。此外,平台的任务系统设计旨在激发白帽的学习兴趣,鼓励他们完成不同技能等级任务。这不仅为白帽规划了清晰的能力发展路径,也有效激励了个人技能的提升。
智能派单则是基于大数据分析和人工智能算法,根据项目难度、类型、紧急程度以及白帽的技能专长、历史项目完成情况等因素,实现“千人千面”的任务智能分配。鉴于在校学生占比呈现逐年扩大趋势,在任务设计方面针对学生白帽进行单独设计,形成了阶梯型任务体系。同时,通过智能派单产出结果,逐步提升对白帽的产出期望值,从而选拔出在各领域、各技能方向表现卓越的白帽精英。
(二)有效激励与持续培养
激励是白帽的第一生产驱动力,对于兼职白帽及在校学生而言,它是促进自我提升的关键因素。近年来,随着白帽技能日益多样化,如何为白帽人才提供多样化的激励措施,已成为白帽运营工作的核心。一是赏金激励。白帽提交漏洞成果后,能够获得直接的赏金激励。二是荣誉激励。建立完善的荣誉成就体系,包括信誉分、S级白帽能力证书、排行榜荣誉、TOP白帽专属的“盒子梦想趴”高端游学名额等。这些荣誉不仅是对白帽个人能力的认可,还助力他们在行业内赢得声誉和尊重,从而增强了白帽的归属感与成就感,引导其形成健康的价值观,正向发展。
在持续培养方面,一方面平台构建了丰富的在线培训课程体系,包括公开课和收费课等多种教学模式。课程内容涵盖法律法规、技能提升等多个方面。其中,法律法规课程旨在帮助白帽明确行为边界、增强法律意识,确保其工作在合法合规的框架内开展;技能提升课程邀请平台顶尖白帽、外部优秀讲师以及业界专家授课。另一方面,定期举办线下沙龙活动,旨在为白帽人才提供面对面的技术交流专业平台,不仅促进了行业内最新技术趋势和实践经验的分享,还搭建了深度技术沟通学习的桥梁,持续推动行业技术创新和人才培养。
(三)实战检验与全面评价
在网络安全领域,实战是检验白帽人才的重要标准。随着白帽技能的多样化,对各类业务场景的实战检验与认可需求愈加强烈。为检验白帽人才的实力,我们采取了三方面策略:一是通过派单让白帽参与到各领域的众测漏洞挖掘、安全运营、应急响应等各类实战任务。为可信、可用、可管的白帽提供充分的训练与考察机会。同时,充分发挥白帽多元社会身份和灵活劳动用工机制的优势,如让他们以安全测试员身份参与安全众测,以安全技术人员身份参与重大活动网络安全保障,以应急专家身份参与网络安全实战对抗、安全运营任务等。二是探索创新型的网络安全赛事“漏洞马拉松”。白帽人才基于用户授权的真实业务环境,进行现场漏洞挖掘和设备破解比赛。与传统 CTF 比赛相比,“漏洞马拉松”更侧重于实战能力,要求参与者在真实复杂的业务环境中发现并利用漏洞,而不仅仅是理论知识和解题技巧的较量。三是构建了全面的白帽人才评价体系。漏洞盒子联合第三方机构,共同推进网络安全实战人才能力评价相关规范,旨在全面呈现我国网络安全实战人才能力评价的重点要素,为实战人才评价提供指引和规范。
针对白帽人才,我们推出了相关培训认证体系,涵盖渗透测试、威胁分析、应急响应、安全运维、安全开发等多个方向。通过严格的认证考试和培训课程,对白帽人才的专业能力进行系统评估和提升,为行业提供了具有权威性和公信力的人才评价标准。这不仅有助于白帽人才提高自身的技能水平和明确发展方向,也为企业选拔和任用合格的网络安全人才提供了重要参考依据。
来源:中国信息安全
