1. 软件产业的金字塔开发模式
国内网络安全开发,短期内硬件方面还是以跟踪追随国外产品为主,创新工作应主要在软件层面展开,因此,现阶段网络安全的人才培养重点应放在网络安全软件开发技术领域将才(以下简称“软件技术将才)之上。而要制定正确的软件技术将才培养策略,首先应了解软件技术将才的类型和特点。
软件技术将才类型是由软件产业和网络安全领域的技术开发模式决定的。要了解软件技术将才的类型以及各类型的特点,就要首先了解软件产业的技术开发模式。
软件产业是一种高度协作的产业,整个行业各家公司都在自觉不自觉地合作开展工作。对我国现阶段而言,理想的软件产业人才模式是一种三层金字塔式的人才模式。
金字塔顶端是少量高手进行软件系统架构设计、操作系统、虚拟机等核心软件设计,带队完成不同环境下可用的核心软件,规划不同领域下的信息系统软件体系架构,并组织各方制定各种体系架构的接口规范。以目前国内信息安全产业的现状来看,核心软件应走开源的途径,其接口需要标准化,并由科研学术界管理,大公司可通过贡献代码来引导核心软件的发展,并通过参与标准制定的途径获得自己的利益。
金字塔第二层是一批经验丰富的开发者提供支撑,包括核心软件组件的开发,核心软件与各系统的接口,各具体机制的模块化实现,通用应用软件、工具软件、测试软件的开发以及各种解决方案示例等。这部分的开发成果一般不直接面向用户,而是为具体应用的开发提供支持。这部分应该是开源开发和封闭开发相结合,通过开源开发让开发者可以以较低的门槛进入,各公司可以在特定方向深入开发,并通过发售闭源产品获得利润。金字塔顶层人才制定的各项标准和开发者之间的习惯约定则用来保障不同机制可以无障碍地集成。
金字塔最底层是大量经过基本训练的程序员和少量应用架构师组成的一个个开发团队。他们依托金字塔第一层的核心软件和第二层的支撑软件,遵循架构规范,开发直接面向用户的应用,为用户提供各种解决方案。这部分应该由开源的示例应用和大量开源或封闭开发的实际应用组成,直接面向市场,构成整个软件产业生态环境的土壤。
网络安全的软件开发模式基本上符合信息产业的普遍规律。特别是近年来,通过各种安全机制的体系化集成来应对安全威胁,已经成为云计算、物联网等现代信息系统中安全防护思路的共识。而安全虚拟机管理器、操作系统核心安全机制、可信基础软件、网络安全设备操作系统、等软件部件将是网络安全体系中的核心软件部件,主导开发这些核心部件以及依托这些部件设计安全体系架构的人员处于金字塔第一层。核心软件的开发者,边界防护、访问控制、恶意代码防护、入侵检测、审计等具体安全机制的实现者,安全测评专家,以及使用这些安全机制规划解决方案并开发示例的安全设计师则处于金字塔第二层。利用具体安全机制,参照示例组织开发示范应用的人员则处于金字塔第三层。
2. 网络安全的三种软件技术将才及其特点。
网络安全软件开发的模式决定了软件技术将才的特点。在金字塔的不同层面,有不同的将才需求。简单概括的话,金字塔顶端需要的是“大将之才”,金字塔第二层需要的是“锋将之才”,金字塔底层则需要“守将之才”。
金字塔顶端的软件技术将才,其担负的任务是规划设计核心软件及依托核心软件的网络安全体系架构。这些核心软件及架构涉及到网络安全的多个方面,并起到引导整个网络安全技术产品方向的作用。因此,在这个层面的将才,可比作网络安全各集团军的统帅。其技术背景应包括丰富的开发和团队合作经验,宽广的知识面,对网络安全发展方向和趋势的了解以及对国内现状的准确把握,其技术能力应包括对体系架构的创新设计、层次化组织和模块分解能力,技术各方面开发成本和团队技术水平的估算能力,对大规模开发过程的掌控能力以及对核心软件及体系架构在未来发展状况的前瞻能力。具备这种技术上全局掌控能力的人才,就是技术上的“大将之才”。
金字塔第二层的软件技术将才,其担负的任务是突破现有的技术门槛,为我国网络安全技术和产业开辟新的发展空间。这些技术门槛往往关联到一些我国技术基础不足的领域,需要他们创造条件,强行突破。因此,这个层面的将才,可比作网络安全集团军中在各方向冲锋陷阵的先锋官。其技术背景应包括较丰富的相关领域开发经验,在特定领域技术上的深入钻研以及对该领域标准规范和实际应用情况的了解把握。其技术能力应包括在特定领域的技术创新能力,国际先进技术的学习理解能力,较高难度软件功能的攻关突破能力,以及研究方向相关领域的系统集成能力。具备这种技术上突破创新能力的人才,就是技术上的“锋将之才”。
金字塔第三层的软件技术将才,其担负的任务是在已突破的技术领域,迅速将技术成果实用化,产品化,占领并守住这些技术领域。在技术成果产品化的过程中,实现速度和成本是关键,需要他们在竞争中获取这方面的优势,抢占地盘并稳守自己的领地。因此,这个领域的将才,是网络安全集团军中的主力部队,网络安全各领域的守卫将领。其技术背景应包括较丰富的开发经验和团队合作经验,最好具备带领团队进行产品化开发的经验。其技术能力应包括对开发进度的掌控能力,对开发成本的估算和控制能力,开发团队的组织能力、对用户需求的理解与引导能力,以及产品层面的集成能力。具备这种将技术产品化能力的人才,就是技术上的“守将之才”。
软件技术将才不是凭空出现的,而是在开发实践中脱颖而出。特别是成为大将之才的,大多是先成为“锋将之才”,之后又进一步成长起来的。而兼具“锋将之才”和“守将之才”的软件技术将才,具有更大的几率成为“大将之才”。
软件技术将才应尽量用在刀刃上,让他们在技术上发挥优势,切忌求全。人员管理,财务、行政等工作对软件技术将才来讲,多数情况下是负担,应考虑另派人员配合软件技术将才完成。另外,多数情况下,我们无法找到各方面都比较优秀的软件技术将才,此时可考虑具有不同长处的软件技术将才密切配合,取长补短,以完成任务,并通过互相学习来提高自己。
3. 设立网络安全国家创新工程基金,为技术将才提供用武之地
将才是在战场上成长的。要让将才发挥作用,除了给他上战场的机会外,还需要为他做好支持工作。首先要为他提供军队,其次要做好后勤。所谓“巧妇难为无米之炊”、“兵马未动,粮草先行”。
目前,高校和科研院所本应是网络安全创新的主力军,但现有的唯SCI的学术评价标准在科研人员、资金使用和项目申请三个方面,可以说都不适应网络安全科研工作的发展。
在科研人员方面,高校和科研院所本应是老师带领学生进行科研攻关工作。但现在教师和科研人员的主要精力忙于申请项目和验收项目,做各种表面文章,甚至于不得不把大量精力用于财务核算,设备管理等工作,难以真正去指导学生。而学生们一入学就背负着发文章毕业的压力,宁愿走短、平、快的研发路线,不能安下心来做科研工作。这样的体制,即使有软件技术将才,没有良好的环境,也只能是“无兵可用”。
在资金使用上,现有的纵向项目资金管理体制要求申报者在项目之初就确定资金的比例用途,并且要细致到每一个设备,这种要求仅金字塔第三层的开发模式勉强可以满足。金字塔第一层、第二层的开发模式需要灵活调拨资源以满足创新和攻坚的需要,却被这种资金管理机制牢牢捆住了手脚,导致在真正的攻坚战役中没有任何资源使用的灵活性,往往空有资金盘子却处于“无粮可调”的困境。
在项目申请上,现有的纵向项目申请机制审批过程冗长,对理论研究和工程实践项目采取一刀切的规则,未考虑网络安全领域高风险性、发展变化迅速和机会稍纵即逝的特点。在项目验收时,像自然科学基金项目、973等前瞻性研究项目偏重于论文成果,863、重大科技专项等项目则偏重已完成产品和市场效果,却对网络安全技术本身缺少验收措施,使得大量国内急需的,但非学术研究热点或者产品化需要过程的网络安全技术难以申请项目,大量技术突破机遇来不及获得项目支撑而白白流逝,已进行的研发工作难以根据技术发展情况进行灵活的方向调整。因此,在网络安全真正需要突破的领域,很多团队却因得不到纵向项目支持而处于“无仗可打”的窘境。
总之,在目前的纵向项目支撑体制下,只有少数优秀团队可以通过团队内部的合理组织、分工和协作达到项目要求和工程开发兼顾,大多数团队因得不到项目支持而“无仗可打”,一些得到支持的团队也因为项目验收的趋向性以及在开发上“无兵可用”、“无粮可调”的状况而导致其工作往往规避风险,偏理论而轻实践,使得网络安全方面的纵向项目资金投入与产出严重不对等,浪费了国家经费,影响了科研氛围。在这种状况下,大多数软件技术将才和潜在的将才难寻用武之地。
要想让软件技术将才真正发挥作用,就要在项目和资金支持上顺应网络安全软件开发模式。现有的各种纵向资金机制在网络安全领域都有这样那样的不适应之处,因此,我建议,针对网络安全软件开发的特点,在纵向项目支持上大胆改革,建立网络安全国家创新工程基金(以下简称“创新工程基金”),为软件技术将才提供真正的支持
创新工程基金可根据网络安全软件开发的三层模式,分别设立专项基金,重点基金和面上基金。专项基金支持“大将之才”在核心软件和体系架构上的开发以及标准的制定;重点基金支持“锋将之才”在关键技术领域的突破和创新;面上基金支持“守将之才”的产品化开发和创业工作。
核心软件和体系架构设计投入大,周期长,因此提供支持的专项资金在技术审批方面仍可沿用以往的经验,但在资金使用上,必须给项目负责人放权,让他可以根据情况,灵活调动资金,集中力量解决关键问题。在财务审核上,不要搞事先申请,应多采取事后审核的机制,只要资金确实用在项目上而不是牟取私利,就应该绿灯通过。在合作单位选择和开发方式上,也应给负责人以主动权,不要让“大将之才”在战场上被捆住了手脚。而在最后验收的时候,应以系统及系统中实现的关键技术为核心验收对象,而不要过于偏重论文、市场接受程度等内容,必须考虑到论文的评判标准与系统不同,而市场接受新事物需要一个过程。
在标准制定方面需要特别做些说明。西方的标准制定工作,一般是大公司在现有技术基础上为达到产品通用性而进行的规范化工作,同时伴随着技术话语权的争夺。而我国现阶段很多领域还未发展起来,标准往往超前于平均技术水平,且有引导国内相关领域技术和产品发展的重要作用。因此,本建议把标准制定工作也归为专项领域,并认为标准的制定必须慎重,特别要重视标准与国情的适合情况,以及标准的可落地性。建议标准申报时,将技术成熟度也列为一个重要指标,并在申报时落实标准落地的执行单位及落地要求。对技术成熟度不够又急需制定的标准,则在申报时需结合技术攻关任务,并给予必要的资金支持。
关键技术领域的突破和创新只能采取“广种薄收”的模式,在多个方向尝试,但只能期待部分方向能够获得突破,对有希望突破的领域,还需要追加投入才能看到效果。因此,支持关键技术领域突破的重点基金,其支持模式不能采用传统方式,而应该采用一种“滚动式”的支持方式,简化项目申请手续,根据项目特点,以三个月、半年等短时间段为限,仅拨付该时间段的经费,并在到期后以快速通道检查项目进度和研发成果,达到目标或确有重要进展的追加支持,并可适当提升支持额度,以避免资金浪费,保障经费能够投入到关键领域。另外将项目运营经费和设备购置经费分离,设备购置由学校、科研院所、公司等集中购买,专人维护,项目运营时则以使用或租用的模式利用这些设备,既可以提高设备的利用率,也可以降低科研人员维护设备的成本。总之,对冲锋陷阵的“锋将之才”,一定要为他们做好后勤,不能让他们战斗在第一线时,还为各种杂事牵肠挂肚。
产品化开发和创业工作则需要成本上的精打细算,最终要看到实实在在的产品,以及其相关的性能,成本等各方面参数。支持这些领域的面上基金,仅仅起到一个启动资金的作用,待产品和创业完成自我造血能力后即可退出。因此,这方面的项目审批,其判断标准就是产品和市场开拓情况,资金支持模式也应是以低息或无息贷款的方式进行,在项目盈利后即可回收资金。为降低创业者的风险,对产品市场化不顺利的项目,可以通过国家收购其产品专利和技术的方式抵扣贷款。总之,对占领市场的“守将之才”,可通过基金支持协助他们启动,并通过技术收购适当降低风险,且对资金去向进行必要审计,不宜提出太多额外的要求。
4. 在网络安全生态环境中建立软件技术将才的上升通道
软件技术将才不是凭空产生,而是逐渐成长起来的。最普遍的成长途径是学生—网络安全软件从业人员—“锋将之才”或“守将之才”—“大将之才”。因此,要想培养足够多的软件技术将才,就要重视将才们的成长,为他们设计合理的上升通道。
在国内发展网络安全产业首先要建立良好的网络安全生态环境,这已成为国内多数网络安全公司的共识。而软件技术将才的选拔,其最好的考场也正是在网络安全生态环境当中。
网络安全生态环境的建立也需要一个过程,这个过程的主体是网络安全业界公司,而国家层面能够对其提供的支持主要是促成学校和科研单位与公司的协同创新,对公司间协同合作的引导和支持,以及在教育、培训、职称评定、基金资助和人员奖励等方面构建网络安全人才的培训和上升通道,既解决软件技术将才的培养问题,又为将才准备足够多的高质量士兵。
对网络安全从业人员的培训需要学校和企业的配合执行。在学校和企业的协同创新方面,2011工程已经开了一个好头。但从人员培养的角度来看,企业和学校的协同创新应当与教学结合起来。首先,企业与学校合作建立的开发环境,最好既对企业开放,也对学生开放,让学生有机会近距离体验实际开发环境,并鼓励合作教师开设相关环境的实验课程。其次,学生的工程实践环节和毕业设计过程也可结合协同创新项目进行,并制定完整的培养计划,首先在学校中进行针对性的知识学习和考核,再在公司实践中进行针对性训练,最后在毕业设计中完成相关工作,以使学生在学校中就获得工程实践,毕业后即可成为合格的开发人员,成为网络安全产业的合格士兵。
在软件技术将才的选拔和培养方面,国家方面主要是通过职称评定和项目支持的途径进行的。因此,必须针对网络安全开发特点,加强实际系统在职称评定中的分量,并制定教学、科研、组织管理等不同人才的评价标准,对有特长的人才,以其特长方向为主要评价指标,让人才能够在自己擅长的方向发展,并鼓励人才间的协作。而不是让人才必须兼顾各个方面,按照一个模子培养,磨掉其棱角,最后让人才变得面面俱到,面面不精,难以担负创新性工作的任务。
在人员的评价和激励上,“大将之才”已到达金字塔的顶端,往往不缺地位和激励,“守将之才”可以通过成功的开发运营自我激励。因此,比较难以评价,又需要激励的主要对象是需要投入大量资源和精力进行研发,但成果的应用可能又受到种种制约的“锋将之才”。对他们的评价和激励,需要和他们突破的技术相关联,但又不能只看短期的情况。可以考虑“技术经营代理”和“追踪评价”的模式,让市场来完成最终评价:当关键技术突破/创新项目研发完成并通过验收后,除非项目负责人自己融资买断,否则这一技术将交由国家网络安全创新工程基金进行管理。技术对非盈利的科研行为开放,管理方仅收取必要的服务费用。而有公司将技术用于商业目的时,管理方则收取授权费用,费用为项目投资额乘以一个折扣系数,授权费用应足够低廉以便于技术的推广,而收取的授权费则进入下一期创新工程基金盘子。对应用范围较小又非常重要的技术,则可以“竞标买断”的方式,由感兴趣的公司买断一段时间内技术在商业领域的独家使用权。独家使用权时限不能过长,以免大公司对该技术进行垄断。学术评价机构可追踪技术的市场应用情况,并以此作为项目负责人学术水平的重要评价指标。当授权费用超过项目投入时,一定比例的授权费用可返还回来,作为项目负责人和参与者的个人奖励。
技术开发切忌闭门造车。国家对网络安全领域的各项支持措施,应当最终体现在网络安全生态环境的改善上,而对软件技术将才的选拔,也应最后落实到他们在网络安全软件生态环境的贡献上。在明确的指导目标和合理的制度支持下,我们可以预见到国内网络安全软件技术将才的井喷式发展,并可以预期国内网络安全生态环境的发展,以及我国对网络安全软件技术的真正掌控。
最后以一首七律来作为全篇的总结
“物”里“云”端看网安,国门内外遍烽烟。
正是封坛拜将日,岂因求全失诸贤?
琢磨莫望成完壁,辨才本应自少年。
幸喜朝中集众智,野人采芹献微言。
来源:大潘点点微信