多样化的网络安全工作人员必须具备技术专长和解决问题的能力

与以往的国家危机一样，美国面临着具有特定先进技术技能的人才短缺。根据信息安全和隐私研究中心波纳蒙研究所(Ponemon Institute) 2014年的一项研究，公共和私营部门对网络安全专业人员的需求远远超过供应。我们需要具备计算机科学、数学、编程、电气工程和逻辑方面的专业知识的人才，同时也需要具备一系列技术和非技术问题解决能力的人才。

网络安全是一个年轻的、快速发展的领域，包括许多不同的工作和角色。美国劳工统计局(Bureau of Labor Statistics) 2010年的一份报告估计，“信息安全分析师”这一职业类别大约有72670人，这还不包括所有的网络安全职位。美国对网络安全专业人员的需求(远远大于需求，即实际的职位空缺)是惊人的，考虑到大约有600万家企业和9万个地方政府和学区，所有这些都必须在某种程度上保护他们的数据和网络。

网络安全领域的工作热潮是否意味着女性的机会?普渡大学(Purdue University)计算机科学教授尤金·斯帕福德(Eugene Spafford)博士认为，网络安全领域的包容性是必须的，而吸引和留住女性对于找到所需的技术人才至关重要。他说，当女性被拒之门外或离开这个领域时，她们的优势就会丧失，这个行业也会受到影响。斯帕福德博士也是普渡大学信息保障与安全教育与研究中心的执行主任，他说:“如果设计团队中有女性，就更有可能讨论隐私副作用和人机界面等问题。拥有多样化的观点和经验总是会带来更好的结果。”

应用计算机安全协会(ACSA)的长期董事会成员杰里米·爱泼斯坦(Jeremy Epstein)对此表示赞同。ACSA是一个有30年历史的非营利组织，其使命是提高对网络安全理论和实践的理解。它赞助网络安全研究会议，包括ACSAC(年度计算机安全应用会议)和NSPW(新安全范式研讨会)。爱泼斯坦从事网络安全专业工作已有25年，她说:“历史上，女性在计算机科学和计算机安全领域的代表性非常低。25年前，当我开始从事计算机安全工作时，该领域的女性比例为20%至30%。现在在5%到10%之间。这显然是在朝着错误的方向前进。”

爱泼斯坦受到这种趋势的困扰，说服ACSA董事会为想要学习网络安全并需要经济帮助的女性提供奖学金。

第一批奖学金于2012年颁发。从那时起，ACSA通过与惠普和计算机研究协会的妇女在计算机研究中的地位委员会(CRA-W)合作，能够增加奖项的数量。在2014-2015学年，有11名奖学金获得者，包括本科生和硕士研究生，他们来自美国各地的学院和大学。

美国国家科学基金会(NSF)还设有网络安全教育奖项，包括网络军团服务奖学金(SFS)计划，该计划为学术网络安全课程的学生提供全额奖学金。此外，国家科学基金会还支持跨学科的、与网络安全相关的研究和教育项目，如国家科学基金会/英特尔网络物理系统安全和隐私伙伴关系(CPS-Security)和安全和值得信赖的网络空间(SaTC)。

为了满足对规模更大、技术水平更高的网络安全人才的需求，越来越多的大学，甚至一些社区大学，都在增加网络安全课程。在美国国家科学基金会20万美元的资助下，克利夫兰州立大学和凯斯西储大学(CWRU)的电气工程系和计算机科学系正在合作开设一门本科网络安全课程。这一系列课程包括硬件、软件和信息安全。硬件课的期末考试是一个黑客练习，学生们入侵同学的电脑，并保护自己的电脑。尽管作为一种有争议的教学方法，利用系统弱点的黑客攻击是学习如何识别和补救这些弱点的一种方法。CWRU教授Swarup Bhunia博士认为，实际操作的模拟攻击和防御课程使学生能够提出解决方案，以应对他们在工作场所遇到的特定安全漏洞。

发明家、未来学家和黑客帕布罗斯·霍尔曼(Pablos Holman)在TedXMidwest的一次演讲中说:“黑客的头脑是为发现而优化的。”他指出，黑客有条不紊地试图破坏系统防御的各个方面，“只是为了看看会有什么落入他们的圈套。”然而，黑客思维模式可以以一种道德的方式应用于其他类型的问题。霍尔曼是智力风险实验室一个多学科科学家团队的成员，该团队正在分析疟疾寄生虫的生命周期。通过了解疟疾的每个阶段并寻找弱点，该团队提出了一些控制这种疾病的新想法，这种疾病每年导致数十万人死亡，其中大多数是非洲儿童。

陆地、海洋、空中和网络空间

凯莉·盖茨博士是戴尔公司的首席科学家，专门从事安全研究。戴尔为企业和政府客户提供防火墙、身份管理系统、数据泄露预防、加密技术以及入侵检测和预防等网络安全产品。盖茨博士负责确定如何改进这些产品，以及可以开发哪些新的安全技术。她关注学术研究的趋势和发现，这些趋势和发现可能会应用到产品中。

网络攻击可以被认为是传统军事侵略的新变种。过去，各国在陆地、海上或空中发动攻击，但网络攻击没有地理上的界限;它们不会发生在物理空间中。一般来说，攻击不是出于政治动机就是出于经济动机。“政治攻击的有趣之处在于，”盖茨博士说，“它们可以由不受雇于某个民族国家的个人实施。这造成了比我们过去看到的更广泛的威胁。”

保卫网络领域的政治和经济目标需要一种新的思维模式和一套新的技能。网络攻击可以有多种形式;它们可以针对硬件、网络和软件发射。攻击者可能会以意想不到的方式进行操作，例如在不被发现的情况下逐渐渗透到组织中，然后等待发起攻击。网络攻击的策略不同于传统的政治侵略。例如，攻击者可能会窃取信息以了解对手的能力，开发假冒技术，勒索某人，甚至索要赎金。

拥有计算机科学博士学位的盖茨承认，网络安全是一个非常专业的领域。“但不一定是因为这是一个计算机科学领域，”她说。“要在网络安全领域取得成功，我们不仅需要计算机科学和计算机工程;我们需要背景广泛的人。例如，心理学和社会学使我们能够了解攻击者的动机。能够将广泛的背景知识——社会科学、统计学和数学——应用于专门的安全问题的人是非常有价值的。”

虽然盖茨博士说，作为女性，这个行业一直很欢迎她，但她敏锐地意识到，不同机构对女性的环境差异很大。“我认为在这个领域有巨大的可能性——在政府、工业、运营、研究和软件领域——至少在机会方面对女性是平等的。”有好胜的性格也是一种财富。她说:“如果你喜欢玩游戏，喜欢智胜别人，这个领域就是适合你的。”“你是在和一个对手较量，这可能非常有趣。”

安全、隐私、公共政策

Susan Landau博士，拥有理论计算机科学博士学位的研究员，是国际公认的网络安全政策专家。她早期在代数算法方面的工作应用于符号计算、密码学和计算几何。她目前是伍斯特理工学院(WPI)社会科学与政策研究系的教员。她曾是谷歌的高级员工隐私分析师，以及Sun Microsystems的杰出工程师。兰道博士是多本关于网络安全的书籍的作者，包括监视或安全:新窃听技术带来的风险(麻省理工学院出版社，2011年)和(与Whitfield Diffie，公钥密码学的发明者)隐私悬于一线:窃听和加密的政治(麻省理工学院出版社，1998;修订,2007)。

就像许多似乎已经成为头条新闻的问题一样，网络安全是专家们多年来一直在表达的担忧。“至少从20世纪90年代中期开始，就有关于我们需要如何保护网络基础设施的论文，”兰多博士说。

20世纪70年代公钥密码学的发明改变了这一点，这是一种计算机算法，允许在没有共享秘密的情况下交换信息。公钥密码学使电子商务成为可能，并引发了关于访问和隐私的争议，有时被称为“加密战争”。这种争议一直持续到20世纪90年代，当时电子商务的爆发需要新的、更先进的加密标准。

兰道博士这样描述加密战争:“这是执法部门进行调查的能力与私营部门保护自己免受盗窃、间谍活动和勒索等犯罪活动侵害的能力之间的冲突。这通常被认为是安全和隐私之间的冲突，但我认为这是安全和安全之间的冲突，或者是安全和监控之间的冲突。”

然而，网络安全并不是一个二元问题。在建立安全系统时，需要考虑多个“威胁模型”、许多涉众和各种各样的利益。例如，政府、父母、企业主和医疗机构都有不同的想要保护的东西。

兰道博士解释说:“我们一开始认为网络安全是一个纯粹的技术问题，但其中涉及到社会问题。这不是万能的。还有经济方面的问题，比如工程成本和产品延迟。还有一些心理学问题:你如何设计可用的隐私?这是人类学的问题:不同的群体对待安全和风险的方式不同。”

作为科学技术领域女性的长期倡导者，兰道博士创办了“研究人员”，这是学术界、工业界和政府实验室的女性计算机科学研究人员的邮件列表，还与Elaine Weyuker博士一起创建了ACM-W雅典娜讲师职位，以表彰杰出的女性研究人员。

Landau博士与Terry Benzel和Hilarie Orman一起组织了GREPSEC II，将于2015年5月举行。第一次迭代，GREPSEC I在2013年进行。在NSF和CRA-W/CDC的支持下，本次研讨会面向对计算机安全研究感兴趣的女性和代表性不足的群体。

“一方面，这个领域正在飞速发展，”兰道博士说。“但它的女性很少，少数族裔也很少，比密码学、机器学习或理论计算机科学等其他计算机科学领域的女性要少得多。这对女性和少数族裔都造成了一种寒冷的气氛。”

她对工程师和对网络安全感兴趣的工科学生有什么建议?选修一些本专业以外的课程，比如法律、公共政策或社会科学。“你会更好地理解你正在实施的系统，”兰多博士说。“从我在谷歌的经验来看，能说多种语言的工程师——我指的不是法语或普通话;我指的是与律师、用户和政策制定者交谈的能力——这些是最有效的工程师。”

点击此处查看原文。由CFE Media数字项目经理Anisa Samarxhiu编辑，asamarxhiu@cfemedia.com

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。