Pwn2Own中国战队耀眼表现背后的人才争夺战

北京时间3月19日凌晨，来自温哥华的Pwn2Own2015第一手战报，犹如春雷般震醒了还在睡梦中的安全业界各路人士，笔者所在的安全圈微信群也随之沸腾！

两支中国战队携手报捷

在Pwn2Own2015设置的6个奖项中（Windows环境下Chrome浏览器、IE浏览器、Firefox浏览器、运行在IE中的Adobe Reader 、运行在IE中的Adobe Flash，Mac OS X环境下 Safari浏览器）Keen Team 联合腾讯电脑管家拿下运行在IE中的Adobe Reader、Flash两项冠军。

今年的Pwn2Own注定要成为中国人表演的舞台，值得一提的是，除了Keen Team之外，首次参加该赛事的360Vulcan Team，将挑战对象瞄准了号称史上最难打的Win8.1+64位IE11最高级别“独角兽”防护，取得领先。

赛程过半，中国战队已经斩获17万美元的奖金。

透过喧嚣看清背后人才争夺战

Keen、360 Vulcan两个战队捷报传到国内，振动了整个安全圈，成为今天早晨热议的话题，笔者加入的各个安全圈微信群都在谈论这个事情，一时热闹非凡，有的甚至起哄让获胜者发红包。

Keen、360 Vulcan成功的背后，其实折射的却是人才争夺战的战果。众所周知，去年以BAT3为代表的互联网企业在信息安全领域挖人、收购、投资动作不断，将顶尖的信息安全人才收归旗下，千万级年薪挖人的案例层出不穷，比如Keen Team获得腾讯投资、有“TK教主”被腾讯聘用……互联网公司的这一波攻势，改变了国内信息安全人才的格局，一时间顶尖人才、团队成为各大公司的“香饽饽”、争相抢夺的对象。

另一方面，海外也成为国内顶尖信息安全人才流向的目的地，每年的Black Hat、DEF CON黑客大会，都可以看到中国人的身影，但其身份大多数是代表着供职的海外公司。国外信息安全企业所能提供的岗位和待遇，与国内相比差距依然不小。“国内愿意花大价钱请这些人去做安全的企业，屈指算算也就那几家互联网巨头，毕竟岗位有限。”一位业内资深人士如此评价，他认识的几位技术大牛如今很多在海外发展。

信息安全人才深度观察

信息安全向来是一个“厚积薄发“的行业，一个成熟的信息安全人才需要十多年潜心修行，才有可能一朝成名。处在顶尖位置的人才便成了各类财力雄厚企业争抢的对象。人才争夺战便成为当前信息安全领域的一种“新常态”，针对这样的现状，笔者认为：

1、人才培养不能一挖了之

某互联网公司高管曾说过：“没有墙角硬不硬，只有锄头勤不勤！”这是互联网企业的常见思维，通过挥动资本的大旗，引得各路人马纷纷来投。这对于辛苦耕耘了多年的国内传统安全厂商来说是极其致命的，某技术积淀浓厚的传统安全厂商多员骨干被挖走，顶尖人才竞相被挖，在业界就引起了很大的影响，甚至之后出现了互联网公司相互挖人、跳槽风潮的混乱局面。

这种挖人的现象，从表面来看提升了安全专业人员的薪资待遇，但从企业经营的角度来看，这却推升了企业的用人成本，导致一些中小创新安全企业因为雇佣不起尖端人才，而面临发展困局。通过市场的杠杆进行人才争夺，本也无可非议，但是忽视人才培养一味挖人的话，却不利于整体行业的发展。

上海社科院信息研究所/信息安全研究中心联合上海市信息安全行业协会，在2014年进行的《中国信息安全专业人才调研报告》显示，仅以我国信息安全等级保护重要信息系统为例，初步统计网络和信息安全专门人才的需求量高达数百万人，而据有关部门统计截止到2013年6月，我国当年已培养信息安全人才约为5万人。虽然经过一年多继续培养，整体数字有所上升，但仍然无法满足政府、部队和其它行业的人才需求，人才缺口高达50万人。而且今后5年内，社会对信息安全人才的需求仍将以每年2万人的数量增加，对我国信息安全人才供给提出了新的要求。

信息安全的人才培养、人才供给是整个信息安全业界无法抛开的一个问题，重视人才培养才是当务之急，而不是一挖了之，否则雇佣不到安全人才的企业用户将面临安全的威胁。

2、坚持与回报的关系，对年轻“黑客”的提示

Keen Team团队今天的成功，与其一直的坚守是分不开的。Keen Team从成立之初就坚持不碰“黑产”这条底线，严格地将自身定性为信息安全研究机构。这个10多个人的小团队，每年一千多万的收入，可能只是“黑产”一个月的收入。在巨大的利益诱惑面前，Keen Team选择了在阳光下站着挣钱，那一份坚持显得更为难能可贵。

当今的安全领域早已被“黑产”给侵蚀了，一个个“好苗子”经不住诱惑选择了加入“黑产”大军。很多高手选择从“黑产”“下海”之后，很快就摇身一变，开上了宝马、保时捷，甚至发出感叹：“原来生活是可以这样的！”从此过上奢靡的生活，另一方面却又担心哪一天事发被抓，在忐忑中过着见不得光的日子。

一个被公安部门抓到的黑客高手，当有人问他：“像你这么厉害的人，为什么还要去写木马、做黑客呢？”该黑客说：自己是中专毕业，去找工作都没有人要，为了生存，只能干这个。诚然，每个人都有自己的难处，但年轻的“黑客”们，请在夜深人静的时候，别忘了和心灵来一次对话：“当初学信息技术是为了什么？”坚持那一份初心，将带给你更大的回报。

针对信息安全人才面临的这种境况，国内越来越多的信息安全竞赛为他们提供了一个展示自我的平台，通过参加竞赛将他们从荧屏幕后推到了台前，让其自身的价值在竞赛中得到体现。前不久我们整理并发布的《信息安全竞赛，“热”从何来》系列报道中，我们梳理了国内外一系列信息安全竞赛，这些赛事都在一定程度上帮助坚守者实现自身价值的升华。

以上海已经举办六届的ISG(信息安全技能竞赛)为例，就是本着“发现人才，体现价值”为宗旨，在竞赛过程中设置了人才“相亲会”环节，目的就是给在比赛中脱颖而出的选手和用人单位之间搭建一个桥梁。

3、政府、资本市场应关注信息安全人才培养

我国信息安全人才培养在学历教育方面已初成规模，能够完成一定数量的人才输出。但是我国信息安全技术人才在培养上存在所学与所用脱节的问题，而且非学历教育和人才培养质量方面做得还不够。例如，非学历教育的社会培训、在职员工培训因为缺乏自主产权的培训标准，培训效能相比美国、欧盟等国家处于较低水平。

美国面向全民实施信息安全教育，从基础教育到大学教育，再到职业教育，拥有一套完整的教育体系，并且明确人才培养的目标与任务，在完整的信息安全专业知识领域内培养各类人才。由此可见，美国政府非常重视信息安全人才的培养，取得显著的效果。在各个信息安全培养的环节，尤其是职业教育方面，资本市场也充分参与其中，并从中收益。

在亚洲，韩国政府也同样高度重视信息安全人才培养，从事信息安全的人员在韩国有很高的地位，具体体现在：黑客竞赛成果可抵高考成绩、信息安全公司雇员可免兵役，甚至到了以举国之力塑造信息安全强者的地步。这些举措都值得我们进行借鉴。

从我国目前信息安全人才巨大缺口的现状来看，资本市场应关注信息安全人才培养，及早介入职业培训，未来将大有可为。

稿源：张林才（信息安全竞赛）