卡饭技术代表严佳：引入安全人才，企业应遵循S.L.E.E.P、S.T.A.R法则

5月24日，首届中国网络安全提速论坛在中关村软件园召开。本活动议题为“如何建立安全人才快速培养机制？”，来自百度、CSDN、卡饭论坛、IDF威慑防御实验室等多位专家围绕该议题展开深入探讨。

卡饭技术代表 严佳

卡饭技术代表严佳在主题演讲中表示，在安全人才的引入机制上，企业应针对不同阅历的人才遵循不同的原则。高校毕业生的技术能力及知识点都比较薄弱，所以企业不应对他们提出过高的技术要求，同时要提供多元化的培养及丰富的自学资源。在该类人才的引入上，企业应参照S.L.E.E.P法则，即他们要有分享的能力与心愿；快速掌握复杂知识的能力；良好的英语阅读与沟通能力；娱乐能力及行动力。

而对于有社会阅历的人才来说，他们需要好的晋升机制，喜欢边工作边学习新的技术，需要更好的团队协作氛围及周末和脱产的培训。对于该类人才，企业应遵循S.T.A.R法则，即他们要有团队协作能力；辅导其他同事的能力；协助上司及同事解决问题的能力；具有良好的声誉。

以下为演讲实录：

 严佳：尊敬的各位来宾，大家下午好！非常高兴有这么一个机会给大家做一个“网络安全人才培养杂谈”这样的分享。

根据之前各位前辈嘉宾们、老师们分析的一些结果，我们中国现在互联网时代的安全人才引入机制应该说面临着一个前所未有的挑战。在这么一个网络安全形势如此严峻的大背景下面我们如何通过尽可能少的成本来培养出最佳、最合适的网络人才，作为一个网络安全的人才他们对于他们所期望的工作环境又会有怎样的要求或者期望呢？今天请允许我给大家做一个简单的分享。

移动互联网时代，人才引入机制较之前已大大不同

 首先，我们现在面临的是一个全面的互联网时代，十年前可能我们更多的是用单机PC，可能我们使用的是56K的拨号上网，在网上进行非常简单的浏览或者即时聊天一些简单的网络应用，那个时候在有限的网速和有限的资源下，我相信网络游戏、在线购物或者网络社交这块当时并不是我们使用网络里面的主要应用，但是如今这些应用已经渐渐的变成主流了，同样的传统的单机PC也无法满足我们现在的需求。现在我相信，我们在座的各位同学、各位朋友们，大家每人手上都会有一部智能手机，我们可以通过智能手机或者通过其他的平板电脑以及更多的移动设备进行我们互联网上的一些操作。比如说现在智能手机已经可以给我们打车了，智能手机可以给我们在微信上面、在微博上面发表自己的一些感想、心得，甚至智能手机也可以帮助我们在线购物，手机淘宝、支付宝现在已经用的很普遍了。总体来说，我们现在的互联网、我们现在的移动终端设备已经日益的成为了主流，对于我们人才引进和培养自然会有不同的要求。

 我们首先先介绍一下本次分享的范畴。首先，我们会简单的介绍一下对于有志于服务网络安全行业人才期待着有着怎样的准入机制。对于此类人才，就我个人的工作和生活经验来谈，我分为两类，一种是高校毕业生，一种是有一定社会阅历的人才。

 就像我们刚刚所说的，如今的网络安全不仅仅局限于PC安全，包括手机安全、平板电脑安全、在线计算的交互安全。我相信大家都知道，除了我们前面提到的平板和智能手机外，我们现在的3G网络已经非常普及了，甚至有一些运营商4G业务已经如火如荼的进行中了。为了迎合我们互联网发展，移动设备发展，为了迎合这个大趋势，作为我们网络人才、网络安全人才所需要的学习面和信息面是多么的巨大。不知道在座的各位有没有同感？大家会不会发现使用智能手机的时候，现在中国光运营商就有三个，我们中国有三个基础运营商，而且三个基础运营商所持有的技术和设备都是不一样的，您作为网络人才是不是首先三个技术得精通，作为一个网络安全人才。而且现在全球主流的智能手机平台也有三个，IOS、Windows Phone、Android等等，我们的学习面、信息面是要求是巨大的，所以对于网络安全人才来说这方面将会是非常大的考验。

我们首先先看一下作为应届毕业生、应届高校生，他们对于网络安全人才所希望的一些内容，也就是说他们所希望未来他们服务的用人单位能够给予他们哪些资源。

应届毕业生的引入应遵循SLEEP法则

 我跟论坛的朋友私聊得到以下这么一些资源，首先应届毕业生可能他们刚刚从院校毕业出来，可能他们的知识点或者对于现今最前沿技术的掌握程度可能未必是最新的，大家都知道，在大学里面，尤其是在中国的大学，我们更多的是使用传统的教科书方式进行传授和教学，相对来说实践比较缺乏，而且教科书本身教材更新速度可能会落后于我们技术发展的速度，对于高校毕业生他们踏上社会的时候必须重新学习、补习最新的技术，所以对于高校毕业生来说相对较低的技术门槛是他们所希望的，如果技术门槛过高势必会拒绝掉一部分人才。

 既然高校应届毕业生他们技术的能力相对来说并不是很强，他们的知识点相对来说可能并不那么丰富，作为我们用人单位来说首先以下内容是需要包含在培训当中的。比如说操作系统的培训，当然我相信对于我们很多在大学里面学习计算机安全的同学们，他们可能对Windows系统非常了解和熟悉了，但是对于主流的操作系统，为什么把Android放在第一位，首先Android拥有全球数量最大的用户基数，Android覆盖了高端、中端和低端，第二更重要的是开源，他的安全隐患自然是最多的，世界上有很多调查报告确实证明了，全球有79%的安全威胁发自于Android平台。对于iOS平台来说，可能他的用户确实很多，但是iOS相对封闭，而且苹果的审查机制导致安全性可能比Android更好，Windows Phone目前还没有发现更多的安全问题。所以操作系统的培训，既然我们网络安全的人才需要进行网络安全产品的技术开发和研讨，他们自然需要掌握这些操作系统原理，所以操作系统的培训必须。

 第二，除了IP和TCP网络之外其他的通信网络也是我们需要学习的，当然以前的GSM、CDMA网络大家可能都已经熟悉了，但是我们的3G网络，以及即将进入注入的4G网络及LTE网络，也是我们需要的。

 最后，在业余生活当中我们也可以提供一些非常有用的自学资源，比如说类似于CSDN、MSDN、TechNet，就我个人的经验，有一些综合大学做的非常好，他们在学习的课余互动时间可以利用学校的在线资源，利用这些网站上面自己创造一个贯于本学科的论坛，类似于卡饭，学生可以在这个论坛上面发表帖子、发表问题，师生共同参与讨论，其实对于学生培训来说是非常有作用的。

 这是我们的学习资源，就是作为应届高校毕业生他们所希望我们用人单位能够给他提供的一些资源。作为用人单位来说，他们的人才准入机制又是怎样，他们又希望他们所期待已久的网络安全人才是什么样的呢？对于应届毕业生，我这边总结出了一个SLEEP法则，这个插图就是作为SLEEP的字面意思，就是睡觉，当然我们用人单位肯定不希望招来的人是用来睡觉的，不是这个意思。我们把SLEEP法则拆成五个单词，这五个单词反映了一个网络安全人才，特别是作为网络安全入门级别的人才所应具有的素质。

 首先，S，Sharing，分享。我们在座很多都是来自卡饭以及来自很多用人单位的，我们一直很崇尚一点就是互助分享，你有什么知识、你有什么能力我们都希望你能分享出来，让大家一起学习，让大家一起进步。而且更何况网络安全的知识遍布的范畴实在太大了，作为一个应届毕业生来说，同时掌握这些内容基本上不太可能的，所以希望我们所聘用的应届毕业生他们有分享的能力和心愿。

 第二，L，Learning，觉醒。因为你的信息或者被其他的同事或者其他的地方获取掉之后首先学习能力是最主要的，什么时候在最短的时间内掌握最快速、最复杂的知识，这也是对于应届毕业生来说非常重要的特质，并不是说我大学毕业了学习就完成了。

 第三，S，English，英文。为什么把英文能力列为很重要的要求呢？因为大家都知道，现在我们很多的技术都是国外的，不管是操作系统，还是网络安全技术，包括我们的3G、4G技术好多东西都是在高通手上的，都是在国外厂商手上的，所以如果你的英文能力不好，如果你的阅读能力或者沟通能力有限的话，相信您的学习成本相对来说会更高。

 第四，E，Entertaining，娱乐。为什么把娱乐能力列为主要的资质考核呢？并不是说我们鼓励大家去玩、鼓励大家不务正业，而是你能够玩出兴趣，自然会花时间去发现，我们为什么在卡饭上能够活出自己的精彩，能够取得一定的进步，最初的原因我注册卡饭的时候我的动机就是为了学习，所以在座的卡饭会员，各位在现实工作中有一定成就的朋友们，我相信你们也是通过娱乐产生了兴趣，产生了兴趣再花时间学习，然后才有今天的成就，所以娱乐能力也是非常重要的指标。

 第五，P，Passion，行动力。我记得在微软，微软现在的口号已经不太用了，微软曾经有一个口号是“您的潜力，我们的动力”，关心微软的朋友可能会清楚。为什么我把这个P说成是Passion而不是Potential，就是说你会不会把你的梦想转化为现实，你有了Passion才会做，如果没有Passion的话只是有潜力的侯选者，所以这个P我们把它总结成是Passion行动力

所以SLEEP法则就是，分享能力，学习能力，英语能力，娱乐能力，行动力。

社会人才的引入应遵循 STAR法则

 接下来我们一起来看看我们对于社会人才的期待。

 社会人才和应届毕业生有很多的不同，有非常多的不同。社会人才他们可能是在一个工作岗位上面工作了两三年、三四年甚至十年都有可能，他们对于一个网络安全相当的要求就会和应届毕业生不一样，首先对于社会人才来说，他们的事业已经到了一定的程度，所以他们首先需要的是一个晋升机制，假如你作为一个用人单位，我一个表现再好的员工不给他升值、不给他加薪，我相信不管在网络安全行当，在所有行当都会是一个不让人满意的状况。

 第二点很重要，对于有一定社会阅历的人才来说，他们更喜欢的是边工作边学习新的技术。就是说你对于一个在社会上工作过一到两年甚至三到四年的社会人员来说，您再让他们去进行一个脱产的全职培训有时候有个别的一些人才他们的心理落差可能会跟应届毕业生不一样，他们可能会感觉说自己又回到了一个非常初级的水平，所以有一些人可能会产生不满，所以他们喜欢边工作边学习新的技术。

 这边给大家分享一个例子，比如说在我以前的一份现实工作当中，我们平时如果需要跟美国同事或者国外同事进行联络的时候，我们更多的是通过IP电话进行联络，IP电话可以接入第三方通话，现在我到了新的公司，同时进行第三方通话的时候采用的一个产品是link，除了实现和电话一样的效果之外还可以进行屏幕信息的分享。这就是同样达到这样一个目的，但是我们得到的是一个新的技术，从此我对这个产品就产生了兴趣，从此我就愿意花时间再进行钻研。所以也就是说，新鲜感是可以产生一份兴趣的，新鲜感也可以激发一个人学习的动力。

 第三点，更好的团队协作氛围。大家都知道，在网络安全这么一个世界当中，研发一个网络安全产品或者修补一个网络安全漏洞绝对不是一个人做的，而更多的是几方在一个团队下面少则四五人、多则三四十人甚至几百个人的项目都会有，更多的就是一个团队协作的氛围。就像刚才我们提到过，网络安全所涉及到的知识面、所涉及到的技术层面和知识面实在是太广，非常的广，所以团队协作的时候也需要大家在团队协作的过程当中相互分享、相互学习，而不是说共事不多、扯皮不少。

 最后，周末和脱产的培训。因为网络安全技术的革新速度非常之快，所以一些适当的培训、一些充电也是必须的。这是对于一个社会人才他们所希望的网络安全服务公司的这么一个工作氛围的希望。 

 STAR法则，和前面的SLEEP法则不一样，STAR的意思就是星，对于在社会上有一定工作成就的人，特别是事业上求发展的人来说，成为一颗星这对于你的事业来说是最大的鼓舞，这里面我列出的法则就是STAR，明星的意思。STAR四个字母我拆成了其他的内容。

 第一，S，Sharing。既然是团队协作，既然是在职场上有过一定经验的人，他一定有过一些经历，无论是业务上的经历、处事的经历都可以分享出来帮助其他同事，尤其是帮助新同事提高，所以Sharing在我看来是必不可缺的能力。

 第二，T，Tutoring，辅导。就是说我在帮助其他同事和他进行一起协作的同时看看有什么东西我能够辅导他的，而不是说我站在上面高高在上向他传授一个课程，所以本质上也是一个相互协作的过程。

 第三，A，Assisting，并不仅仅说我Assisting新同事，同时Assisting一些资格比你老甚至行政地位比你高的同事，或者老板、管理人员，因为你在Assisting的时候，同样打个比方，特别是像在谷歌或者是在苹果这样的一些大公司里面、一些全球性的大企业里面，如果你的网络安全产品或者产品出现了安全问题，并且这个安全问题非常广，可能到时候会被追问到的人就并不是说作为一个团队最底层的人员，打个比方，可能您的上司或者一些资质比较老的员工经常会被这样那样的邮件、电话影响到，这个时候作为你来说，你作为一个网络安全的人才，这个时候你Assisting他们其实也是一个需要思考的问题，什么时候你通过最快的速度来解决你上司或者同事的烦恼，这个Assisting同样的也包括了解决技术问题，你技术问题解决了，当然您的上司他们的烦恼也就没了，同样的，如果一个技术问题可能他需要花时间来解决，怎么去安抚好这些来自外界的质疑，同样也是需要考虑的。

 第四，R，Reputation。所有这些都是帮你赢得一个更积极的Reputation，你的名声，一个公司在职场上生存下来Reputation永远是非常重要必不可少的东西，你的名声、你的声誉，如果你协助好你的团队、你能协助你其他的人员、协助好你的老板，你的Reputation就非常重要。

 最后请允许我对今天我这个主题演讲做一个大致的总结。网络安全的技术是日益革新的，明天都在变，传统的教科书的方法可能已经并不适用于我们现在网络安全技术上的革新，所以培训、学习始终是我们一个网络安全人才需要时时刻刻拥有的素质，也是他们在职场上对于用人单位要求和期待。但是阅历不同对于准入机制和环境需求肯定也不一样，应届生有应届生的希望，对于社会人员有社会人员的希望，SLEEP和STAR是可以用于我们参考非常好的法则，同样这两个法则前者是可以转为后者的，SLEEP法则运用党了最后会变成STAR。最后我想说的是，工作环境、团队互动、知识深造、协作共赢，就是我们对于现今网络人才的基本要求，同时也是对于网络安全人才的期待。

生活不易，码农辛苦
如果您觉得本网站对您的学习有所帮助,可以手机扫描二维码进行捐赠