卡飯技術代表嚴佳：引入安全人才，企業應遵循S.L.E.E.P、S.T.A.R法則

5月24日，首屆中國網絡安全提速論壇在中關村軟件園召開。本活動議題為“如何建立安全人才快速培養機制？”，來自百度、CSDN、卡飯論壇、IDF威懾防御實驗室等多位專家圍繞該議題展開深入探討。

卡飯技術代表 嚴佳

卡飯技術代表嚴佳在主題演講中表示，在安全人才的引入機制上，企業應針對不同閱歷的人才遵循不同的原則。高校畢業生的技術能力及知識點都比較薄弱，所以企業不應對他們提出過高的技術要求，同時要提供多元化的培養及豐富的自學資源。在該類人才的引入上，企業應參照S.L.E.E.P法則，即他們要有分享的能力與心愿；快速掌握復雜知識的能力；良好的英語閱讀與溝通能力；娛樂能力及行動力。

而對于有社會閱歷的人才來說，他們需要好的晉升機制，喜歡邊工作邊學習新的技術，需要更好的團隊協作氛圍及周末和脫產的培訓。對于該類人才，企業應遵循S.T.A.R法則，即他們要有團隊協作能力；輔導其他同事的能力；協助上司及同事解決問題的能力；具有良好的聲譽。

以下為演講實錄：

 嚴佳：尊敬的各位來賓，大家下午好！非常高興有這么一個機會給大家做一個“網絡安全人才培養雜談”這樣的分享。

根據之前各位前輩嘉賓們、老師們分析的一些結果，我們中國現在互聯網時代的安全人才引入機制應該說面臨著一個前所未有的挑戰。在這么一個網絡安全形勢如此嚴峻的大背景下面我們如何通過盡可能少的成本來培養出最佳、最合適的網絡人才，作為一個網絡安全的人才他們對于他們所期望的工作環境又會有怎樣的要求或者期望呢？今天請允許我給大家做一個簡單的分享。

移動互聯網時代，人才引入機制較之前已大大不同

 首先，我們現在面臨的是一個全面的互聯網時代，十年前可能我們更多的是用單機PC，可能我們使用的是56K的撥號上網，在網上進行非常簡單的瀏覽或者即時聊天一些簡單的網絡應用，那個時候在有限的網速和有限的資源下，我相信網絡游戲、在線購物或者網絡社交這塊當時并不是我們使用網絡里面的主要應用，但是如今這些應用已經漸漸的變成主流了，同樣的傳統的單機PC也無法滿足我們現在的需求。現在我相信，我們在座的各位同學、各位朋友們，大家每人手上都會有一部智能手機，我們可以通過智能手機或者通過其他的平板電腦以及更多的移動設備進行我們互聯網上的一些操作。比如說現在智能手機已經可以給我們打車了，智能手機可以給我們在微信上面、在微博上面發表自己的一些感想、心得，甚至智能手機也可以幫助我們在線購物，手機淘寶、支付寶現在已經用的很普遍了。總體來說，我們現在的互聯網、我們現在的移動終端設備已經日益的成為了主流，對于我們人才引進和培養自然會有不同的要求。

 我們首先先介紹一下本次分享的范疇。首先，我們會簡單的介紹一下對于有志于服務網絡安全行業人才期待著有著怎樣的準入機制。對于此類人才，就我個人的工作和生活經驗來談，我分為兩類，一種是高校畢業生，一種是有一定社會閱歷的人才。

 就像我們剛剛所說的，如今的網絡安全不僅僅局限于PC安全，包括手機安全、平板電腦安全、在線計算的交互安全。我相信大家都知道，除了我們前面提到的平板和智能手機外，我們現在的3G網絡已經非常普及了，甚至有一些運營商4G業務已經如火如荼的進行中了。為了迎合我們互聯網發展，移動設備發展，為了迎合這個大趨勢，作為我們網絡人才、網絡安全人才所需要的學習面和信息面是多么的巨大。不知道在座的各位有沒有同感？大家會不會發現使用智能手機的時候，現在中國光運營商就有三個，我們中國有三個基礎運營商，而且三個基礎運營商所持有的技術和設備都是不一樣的，您作為網絡人才是不是首先三個技術得精通，作為一個網絡安全人才。而且現在全球主流的智能手機平臺也有三個，IOS、Windows Phone、Android等等，我們的學習面、信息面是要求是巨大的，所以對于網絡安全人才來說這方面將會是非常大的考驗。

我們首先先看一下作為應屆畢業生、應屆高校生，他們對于網絡安全人才所希望的一些內容，也就是說他們所希望未來他們服務的用人單位能夠給予他們哪些資源。

應屆畢業生的引入應遵循SLEEP法則

 我跟論壇的朋友私聊得到以下這么一些資源，首先應屆畢業生可能他們剛剛從院校畢業出來，可能他們的知識點或者對于現今最前沿技術的掌握程度可能未必是最新的，大家都知道，在大學里面，尤其是在中國的大學，我們更多的是使用傳統的教科書方式進行傳授和教學，相對來說實踐比較缺乏，而且教科書本身教材更新速度可能會落后于我們技術發展的速度，對于高校畢業生他們踏上社會的時候必須重新學習、補習最新的技術，所以對于高校畢業生來說相對較低的技術門檻是他們所希望的，如果技術門檻過高勢必會拒絕掉一部分人才。

 既然高校應屆畢業生他們技術的能力相對來說并不是很強，他們的知識點相對來說可能并不那么豐富，作為我們用人單位來說首先以下內容是需要包含在培訓當中的。比如說操作系統的培訓，當然我相信對于我們很多在大學里面學習計算機安全的同學們，他們可能對Windows系統非常了解和熟悉了，但是對于主流的操作系統，為什么把Android放在第一位，首先Android擁有全球數量最大的用戶基數，Android覆蓋了高端、中端和低端，第二更重要的是開源，他的安全隱患自然是最多的，世界上有很多調查報告確實證明了，全球有79%的安全威脅發自于Android平臺。對于iOS平臺來說，可能他的用戶確實很多，但是iOS相對封閉，而且蘋果的審查機制導致安全性可能比Android更好，Windows Phone目前還沒有發現更多的安全問題。所以操作系統的培訓，既然我們網絡安全的人才需要進行網絡安全產品的技術開發和研討，他們自然需要掌握這些操作系統原理，所以操作系統的培訓必須。

 第二，除了IP和TCP網絡之外其他的通信網絡也是我們需要學習的，當然以前的GSM、CDMA網絡大家可能都已經熟悉了，但是我們的3G網絡，以及即將進入注入的4G網絡及LTE網絡，也是我們需要的。

 最后，在業余生活當中我們也可以提供一些非常有用的自學資源，比如說類似于CSDN、MSDN、TechNet，就我個人的經驗，有一些綜合大學做的非常好，他們在學習的課余互動時間可以利用學校的在線資源，利用這些網站上面自己創造一個貫于本學科的論壇，類似于卡飯，學生可以在這個論壇上面發表帖子、發表問題，師生共同參與討論，其實對于學生培訓來說是非常有作用的。

 這是我們的學習資源，就是作為應屆高校畢業生他們所希望我們用人單位能夠給他提供的一些資源。作為用人單位來說，他們的人才準入機制又是怎樣，他們又希望他們所期待已久的網絡安全人才是什么樣的呢？對于應屆畢業生，我這邊總結出了一個SLEEP法則，這個插圖就是作為SLEEP的字面意思，就是睡覺，當然我們用人單位肯定不希望招來的人是用來睡覺的，不是這個意思。我們把SLEEP法則拆成五個單詞，這五個單詞反映了一個網絡安全人才，特別是作為網絡安全入門級別的人才所應具有的素質。

 首先，S，Sharing，分享。我們在座很多都是來自卡飯以及來自很多用人單位的，我們一直很崇尚一點就是互助分享，你有什么知識、你有什么能力我們都希望你能分享出來，讓大家一起學習，讓大家一起進步。而且更何況網絡安全的知識遍布的范疇實在太大了，作為一個應屆畢業生來說，同時掌握這些內容基本上不太可能的，所以希望我們所聘用的應屆畢業生他們有分享的能力和心愿。

 第二，L，Learning，覺醒。因為你的信息或者被其他的同事或者其他的地方獲取掉之后首先學習能力是最主要的，什么時候在最短的時間內掌握最快速、最復雜的知識，這也是對于應屆畢業生來說非常重要的特質，并不是說我大學畢業了學習就完成了。

 第三，S，English，英文。為什么把英文能力列為很重要的要求呢？因為大家都知道，現在我們很多的技術都是國外的，不管是操作系統，還是網絡安全技術，包括我們的3G、4G技術好多東西都是在高通手上的，都是在國外廠商手上的，所以如果你的英文能力不好，如果你的閱讀能力或者溝通能力有限的話，相信您的學習成本相對來說會更高。

 第四，E，Entertaining，娛樂。為什么把娛樂能力列為主要的資質考核呢？并不是說我們鼓勵大家去玩、鼓勵大家不務正業，而是你能夠玩出興趣，自然會花時間去發現，我們為什么在卡飯上能夠活出自己的精彩，能夠取得一定的進步，最初的原因我注冊卡飯的時候我的動機就是為了學習，所以在座的卡飯會員，各位在現實工作中有一定成就的朋友們，我相信你們也是通過娛樂產生了興趣，產生了興趣再花時間學習，然后才有今天的成就，所以娛樂能力也是非常重要的指標。

 第五，P，Passion，行動力。我記得在微軟，微軟現在的口號已經不太用了，微軟曾經有一個口號是“您的潛力，我們的動力”，關心微軟的朋友可能會清楚。為什么我把這個P說成是Passion而不是Potential，就是說你會不會把你的夢想轉化為現實，你有了Passion才會做，如果沒有Passion的話只是有潛力的侯選者，所以這個P我們把它總結成是Passion行動力

所以SLEEP法則就是，分享能力，學習能力，英語能力，娛樂能力，行動力。

社會人才的引入應遵循 STAR法則

 接下來我們一起來看看我們對于社會人才的期待。

 社會人才和應屆畢業生有很多的不同，有非常多的不同。社會人才他們可能是在一個工作崗位上面工作了兩三年、三四年甚至十年都有可能，他們對于一個網絡安全相當的要求就會和應屆畢業生不一樣，首先對于社會人才來說，他們的事業已經到了一定的程度，所以他們首先需要的是一個晉升機制，假如你作為一個用人單位，我一個表現再好的員工不給他升值、不給他加薪，我相信不管在網絡安全行當，在所有行當都會是一個不讓人滿意的狀況。

 第二點很重要，對于有一定社會閱歷的人才來說，他們更喜歡的是邊工作邊學習新的技術。就是說你對于一個在社會上工作過一到兩年甚至三到四年的社會人員來說，您再讓他們去進行一個脫產的全職培訓有時候有個別的一些人才他們的心理落差可能會跟應屆畢業生不一樣，他們可能會感覺說自己又回到了一個非常初級的水平，所以有一些人可能會產生不滿，所以他們喜歡邊工作邊學習新的技術。

 這邊給大家分享一個例子，比如說在我以前的一份現實工作當中，我們平時如果需要跟美國同事或者國外同事進行聯絡的時候，我們更多的是通過IP電話進行聯絡，IP電話可以接入第三方通話，現在我到了新的公司，同時進行第三方通話的時候采用的一個產品是link，除了實現和電話一樣的效果之外還可以進行屏幕信息的分享。這就是同樣達到這樣一個目的，但是我們得到的是一個新的技術，從此我對這個產品就產生了興趣，從此我就愿意花時間再進行鉆研。所以也就是說，新鮮感是可以產生一份興趣的，新鮮感也可以激發一個人學習的動力。

 第三點，更好的團隊協作氛圍。大家都知道，在網絡安全這么一個世界當中，研發一個網絡安全產品或者修補一個網絡安全漏洞絕對不是一個人做的，而更多的是幾方在一個團隊下面少則四五人、多則三四十人甚至幾百個人的項目都會有，更多的就是一個團隊協作的氛圍。就像剛才我們提到過，網絡安全所涉及到的知識面、所涉及到的技術層面和知識面實在是太廣，非常的廣，所以團隊協作的時候也需要大家在團隊協作的過程當中相互分享、相互學習，而不是說共事不多、扯皮不少。

 最后，周末和脫產的培訓。因為網絡安全技術的革新速度非常之快，所以一些適當的培訓、一些充電也是必須的。這是對于一個社會人才他們所希望的網絡安全服務公司的這么一個工作氛圍的希望。 

 STAR法則，和前面的SLEEP法則不一樣，STAR的意思就是星，對于在社會上有一定工作成就的人，特別是事業上求發展的人來說，成為一顆星這對于你的事業來說是最大的鼓舞，這里面我列出的法則就是STAR，明星的意思。STAR四個字母我拆成了其他的內容。

 第一，S，Sharing。既然是團隊協作，既然是在職場上有過一定經驗的人，他一定有過一些經歷，無論是業務上的經歷、處事的經歷都可以分享出來幫助其他同事，尤其是幫助新同事提高，所以Sharing在我看來是必不可缺的能力。

 第二，T，Tutoring，輔導。就是說我在幫助其他同事和他進行一起協作的同時看看有什么東西我能夠輔導他的，而不是說我站在上面高高在上向他傳授一個課程，所以本質上也是一個相互協作的過程。

 第三，A，Assisting，并不僅僅說我Assisting新同事，同時Assisting一些資格比你老甚至行政地位比你高的同事，或者老板、管理人員，因為你在Assisting的時候，同樣打個比方，特別是像在谷歌或者是在蘋果這樣的一些大公司里面、一些全球性的大企業里面，如果你的網絡安全產品或者產品出現了安全問題，并且這個安全問題非常廣，可能到時候會被追問到的人就并不是說作為一個團隊最底層的人員，打個比方，可能您的上司或者一些資質比較老的員工經常會被這樣那樣的郵件、電話影響到，這個時候作為你來說，你作為一個網絡安全的人才，這個時候你Assisting他們其實也是一個需要思考的問題，什么時候你通過最快的速度來解決你上司或者同事的煩惱，這個Assisting同樣的也包括了解決技術問題，你技術問題解決了，當然您的上司他們的煩惱也就沒了，同樣的，如果一個技術問題可能他需要花時間來解決，怎么去安撫好這些來自外界的質疑，同樣也是需要考慮的。

 第四，R，Reputation。所有這些都是幫你贏得一個更積極的Reputation，你的名聲，一個公司在職場上生存下來Reputation永遠是非常重要必不可少的東西，你的名聲、你的聲譽，如果你協助好你的團隊、你能協助你其他的人員、協助好你的老板，你的Reputation就非常重要。

 最后請允許我對今天我這個主題演講做一個大致的總結。網絡安全的技術是日益革新的，明天都在變，傳統的教科書的方法可能已經并不適用于我們現在網絡安全技術上的革新，所以培訓、學習始終是我們一個網絡安全人才需要時時刻刻擁有的素質，也是他們在職場上對于用人單位要求和期待。但是閱歷不同對于準入機制和環境需求肯定也不一樣，應屆生有應屆生的希望，對于社會人員有社會人員的希望，SLEEP和STAR是可以用于我們參考非常好的法則，同樣這兩個法則前者是可以轉為后者的，SLEEP法則運用黨了最后會變成STAR。最后我想說的是，工作環境、團隊互動、知識深造、協作共贏，就是我們對于現今網絡人才的基本要求，同時也是對于網絡安全人才的期待。

生活不易，碼農辛苦
如果您覺得本網站對您的學習有所幫助,可以手機掃描二維碼進行捐贈