知行合一:丈八网络靶场平台赋能“实战型”网络安全人才建设
导语:丈八网安作为网络仿真技术及应用服务提供商,通过创新型网络靶场产品和技术提供了行之有效的解决方案。
"知行合一"是明代思想家王阳明提出的重要哲学理念,强调认识与实践的统一,即“知是行的开始,行是知的成果,而真切笃实的行已自有明觉精察的知在起作用了”。在当下的网络安全人才培养的场景中,“知行合一”理念同样能够发挥重要的现实指导意义,其中,“知”是:我们要培养怎样的人?是认知,是标准,也是目标;“行”是我们在标准指导下的实践,“行”可以校验和精进“知”,双方共同作用力下达成更有效的教学成果。但在实践过程中,真正的要做到“知行合一”并不容易。
长期以来我国存在网络安全人才短缺的问题,而教育机构、社会组织、企业所培养的网络安全人才,又存在缺乏实战能力的现象,即“难以在实际工作岗位上发挥应有作用”,根源就在于没有达成“知行合一”。
在网络安全人才培养领域,以网络仿真为核心技术的网络靶场产品,通过复现高度仿真的虚拟网络环境,供人员进行网络安全攻防知识的学习、实操,已经成为主流工具。如何利用网络靶场更好的在人才培养中实现“知行合一”?丈八网安作为网络仿真技术及应用服务提供商,通过创新型网络靶场产品和技术提供了行之有效的解决方案。
首先,我们要知道网安人才培养的“知”到底是什么?也就是我们要培养什么样的人?他们要具备怎样的能力?2023年10月1日,国家标准《信息安全技术 网络安全从业人员能力基本要求》(GB/T 42446-2023) 正式实施,为网络安全从业人员的识别、培养和管理提供了指导。国标可以作为指导实践的“知”。
在有明确“知”的前提下,丈八网安的新型网络靶场平台,通过在其自主研发的网络仿真操作系统上,灵活“插嵌”多款功能性APP,用技术手段将“知”的指导价值贯穿到所有与“行”相关的APP上,实现科学指导、数据联通、综合评估,践行“知行合一”,最终达成“实战型”网络安全人才的建设目标。以下,为解决方案的概况及案例:
首先,丈八网安提取国标中最重要的TKS元素,也就是对应岗位任职要求或人才培养目标拆解出来的,需要学员完成的任务(Task,简称T),及对应的知识(Knowledge,简称K)和技能(Skill,简称S),将复杂的TKS做出映射关系,形成TKS模型,也就是将“知”具象化、模型化了,并将TKS模型内置在丈八知识库中,实现对后续所有“行”的连贯式指导。
这里,丈八人才培养解决方案中的核心APP——“人员能力评估”在实现有效的“知行合一”过程中发挥了重要作用。它调用丈八知识库中的TKS模型,在模型指导下进行初步的学习路径、培养方案设计,去制定每个阶段的学习和行动计划,涉及到后续会关联到哪些教学类APP的使用,具体使用哪些内容,比重如何等等,在这款APP中,我们可以看到“知”到底如何在指导“行”。
然后,根据初步学习路径、方案指导,通过与“行”有关的APP:“授课教学”、“考试测评”、“攻防演练”、“创新竞赛”等,完成专项理论知识、实战技能、综合习题的学习和考核。培训过程以“计划-执行-检查-行动”(Plan-Do-Check-Act Cycle)的循环方式进行,过程中所涉及的每一款APP,都在“知”的指导下分配了不同比例的TKS,比如在“授课教学”APP中K的比重更大,而竞赛APP中S的比重更大,学员的每一次实践都会累积相应的TKS数据,这些数据会连贯的沉淀在“人员能力评估”APP中,逐步形成动态的人员能力图谱,作为差距分析的依据辅助学习方案的更新,直至人员能力与岗位需求高度匹配。
这便是丈八网络靶场平台不断地以真切笃实的“行”对“知”进行明觉精察,最终达到“知行合一”的网络安全人才培养解决方案。
在具体实践中,某高校为推进产教融合示范基地建设,采用了丈八网络靶场平台所提供的这套人才培养解决方案,进行匹配国家标准《信息安全技术 网络安全从业人员能力基本要求》的人才培养。以其中数据安全保护人员为例,该岗位TKS模型要求人员承担网络安全需求分析等三项T,网络安全基础知识、数据安全知识等24项K,通用技能、网络安全需求分析技能等9项S。根据该TKS模型要求,系统生成培养方案,涉及“人员能力评估”、“授课教学”、“考试测评”、“HVV”、“攻防演练”五款APP的使用。
其中,“授课教学”APP是一款综合性培训教学应用,可供教师进行内容、排课管理,学员进行自由、自主学习和排课,系统同时提供丰富的课程库、教案库,提供理论学习、实验实操、教学管理等功能。两端用户可实现实时互动与协作推进学习。
图:以“数据安全保护人员”为岗位目标的学员们进行相关课程学习
“考试测评”APP是一款教学成果评测工具,也可用于学习初期对学员情况的摸底,支持多种试题类型,如单选、多选、判断、填空等客观题,简答等主观题,以及flag、自动裁决等实验题。教师可以根据目标规划灵活组卷。丈八知识库也提供海量试题资源供用户直接调动。判分过程支持自动化与人工判分,同时有防作弊系统保障考试的权威与公正。
图:在考试评测APP教师端,教师进行相应的考试管理
“攻防演练”APP提供“有剧本”的演练模式,打造基于固定剧本的红蓝对抗、渗透攻击、防御训练,实现指引式对抗演练模拟。学员通过参与相应攻防场景的演练,理解组织业务,识别网络安全管理基本知识等K,掌握对风险管理、供应链安全管理、运营管理、应急管理、业务连续性、管理体系、认证认可、漏洞管理基本知识等S。
“HVV”APP提供创新型竞赛模式,支持打造实网级场景及操作方式、竞赛规则,可以从根本上解决传统竞赛模式重知识、轻技能,和实战脱节的问题。学员体验了大规模网络架构和业务场景模拟仿真环境下的逼真对抗,在此过程中充分发挥所学K和S,酣战淋漓。
该案例中,学生在“授课教学”、“考试测评”、“实战演练”以及“HVV”等APP中的行为,均沉淀为相应的TKS数值。这些宝贵数据被统一集成至“人员能力评估”中,通过算法深度挖掘,形成每位人员详尽、多维且不断更新的TKS画像。此画像经过和预设的“数据安全保护人员”岗位TKS理想模型进行智能对比,即时获取能力差距与短板。
图:通过对比分析,引导用户进入新一轮的PDCA循环
可以说,丈八网安以网络靶场产品为舞台,通过技术手段有效实现“知行合一”,为逐步填补我国网络安全人才缺口而努力。在科技赋能与标准引领的双重驱动下,一个培养实战型网络安全精英的新时代正缓缓拉开序幕。未来,我们有理由相信,更多具备高度实战能力的网络安全人才将不断涌现,为守护网络空间安全贡献智慧与力量。
发表评论