美国等网络强国网安人才建设举措及启示

来源:中国信息安全测评中心   作者:位华 王星   时间:2017-05-17

 “网络空间的竞争,归根结底是人才竞争”。加强网络安全人才队伍建设,已成为维护国家网络安全和建设网络强国任务的核心需求。过去二十余年,我国在网络和信息安全人才培养和管理方面积累了一定的经验,尤其是中央网信办成立以来,人才队伍建设工作速度明显加快。无论是从一级学科的设立,还是各种法律文件的颁布等相关工作部署下,我国网络安全人才建设战略被推上前所未有的高度。综合来看,在网络强国建设进程中“后发”和“跟跑”的地位,决定了当前我国网络安全人才队伍在数量、质量和结构等方面仍存在较大不足,无法满足信息化快速发展和国际网络空间博弈的基本需求,人才队伍建设的相关政策措施同世界网络强国相比还存在很大差距。因此,有必要研究借鉴网络强国的人才战略举措,为进一步加快推进我国网络安全人才队伍建设提供经验启示和指导建议。

    美国等网络强国网络安全人才队伍建设总方略

    一个国家网络安全人才队伍的规模、能力和发展速度与国家对网络安全的重视程度以及投入水平息息相关,越重视、投入越多的国家越有资源培养和争取到优秀的网络安全人才。在当前网络空间“一超多强”的力量格局下,美国凭借其雄厚的综合国力、傲视全球的网络安全产业体量、顶级人才和教育资源汇聚的天然优势,体现了一个国家网络安全人才整体能力的最高水平。美国开展了大量开创性的工作,不仅在国际上最为领先,同时也最成体系。俄罗斯、英国、德国、以色列、澳大利亚、日本、韩国等或因自身发展要求,或因政治军事方面的特殊需求,均高度重视网络安全人才的发展,并通过非常规的战略措施加以推进,这些国家共同构成了国际网络安全人才队伍建设的第一梯队。

    1. 美国网络安全人才队伍建设战略

    美国历年主要的网络安全战略文件,无一例外均囊括“提升网络安全意识、加强网络安全教育”的内容。真正实现质的飞跃是2008年《国家网络安全综合计划》(CNCI)的第8项计划“扩大网络教育”,明确提出将效仿20世纪50年代美国科学和数学教育战略,制定一个国家级的网络安全人才教育战略。20世纪50年代战略指的是美国开始将发展教育作为国家的战略重点,出台一系列法案和报告,明确了高等教育和国防的关系,要求强化科学、数学等学科的教育,以满足国际竞争需要。该战略在美国教育史上具有划时代意义,CNCI提出制定同等规格的网络安全教育战略,本质上相当于网络时代启动一次新的教育革命,深刻反映了美国对网络安全全民教育和专业人才队伍能力提升的战略关切。

为落实CNCI第8项计划,2010年美国首个跨部委的“国家网络安全教育计划”(NICE)应运而生。该计划的总体纲领性文件《NICE战略计划》于2012年9月正式发布,随着计划的落实和推进,更新的第二版于2016年4月发布。两相对比(见下表),新版《NICE战略计划》内容标志着美国网络安全人才队伍建设进入一个新阶段,反映出美国网络安全人才工作从上一阶段的开创探索转为铺开落实,这体现在:一是总体目标的转变,从网络安全人才队伍的“规模化发展”转向“多样化和可持续化发展”;二是工作内容的转变,从之前“意识提升、学历教育、人力结构、人员培训和职业发展”四项工作内容转变为当前“K12(幼儿园到中学的基础教育)、高等教育、培训认证、人力管理、网络安全竞赛”五个工作组并行的工作部署。这种动态转变也表明,美国NICE计划实施数年来,网络安全人才发展工作取得了实质性进展,关键性的人才分类标准(即“人力结构”的工作要求)已基本完成,各项成果正在逐步显现,一个稳定的人才生态正初步成型。

2. 其他网络强国网络安全人才队伍建设战略

网络强国深谙网络安全战略的重要性和非对称对抗的本质属性,普遍将人才队伍建设作为其整体网络安全战略中的关键内容。

欧盟2013年发布的网络安全战略要求,各成员国应在国家层面开展网络与信息安全方面的教育与培训,2014年在学校引入网络与信息安全培训;针对专业为计算机科学的学生进行网络与信息安全、安全软件开发以及个人数据保护等学科知识的培训;针对公务人员进行网络与信息安全方面的基本培训。

英国政府更新国家网络安全战略,以确保在全球网络空间的优势地位:2013年版战略要求加强网络安全技能与教育,确保政府和行业提高网络安全领域所需的技能和专业知识;2016年最新版战略要求大力培养网络人才、发展最新技术,跟上全球互联网技术发展的步伐。

德国2011年网络安全战略把联邦政府网络安全人事发展作为十大战略目标措施之一,要求进一步加强人员的培训,提升部门间人员合作。

俄罗斯2000年《国家信息安全学说》要求,在信息安全和信息技术领域建立统一的干部培训系统;2016年新版《国家信息安全学说》也强调了信息安全保障人员欠缺的问题,要求发挥信息安全保障和应用信息技术领域人员的潜力。

澳大利亚2016年网络安全战略要求政府在各级教育系统中改进网络安全教育,确保澳大利亚网络安全人才队伍拥有专业技能和能力。

韩国2010年《国防白皮书》提出,国防部与其他部门共享信息,培训专业人员;2011年的《国家网络安全总体规划》要求,提升公众的网络安全意识;2016年《韩国ICT2020》五年战略规划提出,将创建1.9万个网络安全岗位。

日本2016年网络安全战略总部会议正式敲定网络安全人才培养计划,设立“网络安全与信息化审议官”一职,以统管人才培养工作,以2020年东京奥运会为契机,在4年内培养近千名专家。

网络强国网络安全人才队伍建设政策措施的特点

1. 全盘统筹规划,为国家网络安全人员整体能力提升提供组织保障

美国2010年4月启动“国家网络安全教育计划”(NICE),其初衷是统筹协调政、产、学、研各利益相关方,全盘布局、加强协调,实现网络安全人才工作的有序推进。该计划由美国商务部国家标准与技术研究院(NIST)牵头,国土安全部(DHS)、国防部(DOD)、教育部(DoED)等十余个部委共同参与、各司其职。实施7年来,国家安全局(NSA)、DHS主责的学历教育工作打造了网络安全高等教育的黄金标准,培养和输送了大量网络安全储备人才;DHS主责编制的国家网络安全人力框架(NCWF)已成为国家网络安全人才标准(SP 800-181),目前正进行联邦政府各部门人员定岗编码工作;DHS和DOD主责的职业发展工作推出了《网络安全职业和研究国家倡议》(NICCS),汇聚大量职业培训资源为美国联邦政府及关键基础设施网络安全人才能力提升提供支持;DHS主责开发的网络安全人力管理方法论、模型以及工具已在美联邦政府各部委广泛应用。NICE计划覆盖了全美普通公众、在校学生、网络安全专业人员三大群体,调动了网络安全人才生态中的各种角色和资源,这些成果均是在NICE统一指挥下取得的成果。

2. 善用立法工具,为优先发展网络安全人才队伍提供法律保障

多数网络强国法制化程度较高,法律体系相对完备,普遍要求加强网络安全教育立法,其中覆盖最全面具体的是美国。为保证网络安全人才队伍建设工作的战略优先级别,美国一些关键的人才举措都是通过法律手段,提出明确的要求和时间期限来确保落实。在联邦政府网络安全人员评估方面,《2013年国土安全部网络安全人力评估法案》要求,国土安全部在法案生效后9个月内,对其现有的网络安全岗位人员进行编码,法案生效后18个月内至2021年,每年都对最紧缺的网络安全人员技能领域进行评估;《2015年联邦网络安全人力评估法案》规定了与上述法案类似的要求,覆盖范围扩展到了联邦政府各个部委,同时提供了网络安全人力评估的基本要求,包括网络安全岗位人员中持有行业认可资质证书人员所占比例、无资质证书人员获得相应资质的进度等。在网络安全岗位招聘和薪酬待遇方面,《1997年国防授权法案》中最初旨在为特殊情报岗位提供破格“非竞争性”招聘流程和灵活薪酬的条文,也被用于招录网络安全岗位人员;《2016年国防授权法案》针对网络司令部网络安全岗位人员做出了同上述法案一样的规定。

3. 围绕从业人员队伍,出台各级政令应对人才职业发展全周期问题

网络强国开展教育培训的对象包括普通公众、在校学生,更大的关注点则放在承担网络安全保障任务的从业人员群体上。学历教育往往需要数年的人才培养周期,而严峻的网络安全威胁和风险却迫在眉睫。美国联邦政府各部委均有义务保护各自系统和网络的安全性,DOD和DHS等特殊部门则承担着更大的职责。为实现这些安全目标,美联邦政府及各部委采取了以下人才措施:一是各部委均实行首席信息安全官(CISO)制度,由CISO作为第一责任人推动落实各项安全工作,2016年美国还任命了史上首位联邦级别的CISO负责网络安全统筹协调;二是制定网络安全人才发展战略、人员管理计划或其他政令,对联邦政府或各部委网络安全岗位人员的招聘、培训、录用等给出具体规范要求。2016年首份《联邦网络安全人员战略》要求为美联邦政府确定、招募、培养、录用“最优秀、最聪明以及最多样化的网络安全人才”。2013年《国防部网络空间人员战略》要求加强人才工作以维护美国的国家安全利益和在网络空间的战略优势。在人员能力提升和保障方面,国防部在2004年就发布了8570号令《信息保障培训、认证和人员管理》,要求信息保障岗位人员必须进行培训并获取相应资质。2015年,国防部又发布了旨在取代8570号令的8140号令《网络空间人员管理政策》,该指令从人力资源管理的角度进一步理顺网络安全岗位人员职业发展路径,并同NICE计划的人才标准实现全面兼容。

4. 国家机器掌控关键环节,人才资源的驱动和牵引效果明显

网络安全人才培养工作以满足国家安全需求为一大优先目标,为国防和情报机构培养专业人员。现在美国的NICE计划中,NSA、DHS及国家情报总监办公室(ODNI)等安全机构掌握着网络安全人才培养和选拔的关键环节,可以说既是人才工作最有力的牵头实施者,也是收获顶级人才的最大获益者。这方面工作主要体现在安全机构对学历教育标准的控制上,美国的网络安全学历教育主要是由NSA和DHS联合发起的“卓越学术中心”(CAE)计划引领、强化和保障。CAE为高校提供信息保障、网络安全教育的标准和指导,是网络安全高等教育领域的黄金标准,目前已有二百多所高校获得CAE认证。在网络安全教学方面,国家安全系统委员会(CNSS)制定了六项培训标准,CAE发布了专门的知识单元(Knowledge Unit),要求高校的教学和课程设置须符合相应标准要求。

英国作为美国的情报共享盟国,其网络安全人才培养机制与美国如出一辙,主要是由英国情报机构政府通信总部(GCHQ)负责对高校进行严格审核,强化对网络安全学位的评估和认证。该机构还启动了名为“网络优先”的计划,旨在搜寻顶尖网络安全人才,培养“下一代网络安全专家”。鉴于网络安全特殊的攻防属性,军队和情报机构的人员能力往往代表着一个国家的最高水平,此类机构在安全人才培养和录用上不遗余力。以美国NSA为例,其在人才资源的经费投入上不计成本,新入职网络安全人员培训期可达三年之久,网络安全岗位空缺率不到1%。

韩国军队与高丽大学签署协议,最优秀的学生学习网络安全可获全额奖学金,毕业后为军队服务。高丽大学2000年成立了信息安全研究生院,2012年成立了网络国防学院,而在2014年以前,高丽大学网络防御专业的课程设置都是保密的。

此外,以色列的情报部门8200部队,享有招聘优秀高中生的优先权。

5. 践行分类施策原则,通过网络安全人才标准规范各项人才工作

网络安全工作覆盖多种不同的技能和角色。据美国人事管理办公室(OPM)评估,美联邦政府内的网络安全工作涉及100多个联邦岗位序列。没有统一的定义和标准化的岗位能力规范,就难以对网络安全人才队伍数量、质量以及能力缺口进行评估,因此,美NICE计划第一阶段将编制“国家网络安全人力框架”(NCWF)作为一项重要的基础性工作。2011年,NCWF形成第一版草案,几经修订后于2016年底由NIST发布,成为国家标准。该框架将网络安全人员分为7个大类、30多个专业领域、50多种工作角色,并给出了每种角色应具备的知识、技能和能力(KSA)。它堪称一部网络安全从业人员的职业字典,在美国人才工作中起到核心作用。其基本思想在于以统一的标准贯穿人才培养、管理、使用和评价等各大环节,不同的人才分类施策适用不同的教育培训内容和评价管理方式。通过人力框架标准,美国网络安全人才队伍建设生态中的各项主要工作以及各利益相关方都紧密联系在一起:学历教育方面,CAE网络安全课程标准“知识单元”与人力框架之间实现了教育内容和人才类别之间的映射,为在校生提供学习目标;职业培训方面,各权威网络安全培训和资质认定项目同人力框架之间完成初步对应,并将作为NICE计划未来职业培训工作重点继续推进;人才管理和评价方面,联邦政府各部委以人力框架作为各自网络安全人才战略或管理方案的基础框架,同时OPM已根据该框架编制了网络安全岗位编码方案,目前正在联邦各部委推广应用;此外,网络安全人才的各类供需匹配工具以及网络安全竞赛都在寻求与人力框架兼容匹配,以提升效率和加强协调。

英国则是由通信总部(GCHQ)下属国家信息安全保障技术管理局(CESG)发布《信息安全保障专业人员认证》框架,作为对网络安全人才进行认证和管理的重要依据。该框架将信息保障专业人员分为七大类别,根据不同职责,每个类别又分为三至四个等级。CESG指定的认证机构对安全保障人员进行能力评估,以认定其是否具备相应资质。

日本的“信息安全普及与启蒙计划”提出,要针对不同群体开展有针对性的信息安全教育。

启示和建议

网络安全人才队伍建设和产业发展密切相关,网络安全产业发展可以聚集人才,优秀的网络安全人才引领产业发展。根据IDC数据,2016年,美国网络安全市场规模达到315亿美元,是我国的十几倍。我国目前还处于网络强国建设的初期阶段,各种投入明显不足,基础安全产业缺失,包括人才在内的网络安全市场需求尚未得到有效释放。

2014网络安全元年之后,我国网络安全事业进入快速发展期,网络安全人才环境快速转暖。《网络安全法》规定:国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流;关键信息基础设施的运营者应设置专门安全管理机构和安全管理负责人,定期对从业人员进行网络安全教育、技术培训和技能考核。《国家网络空间安全战略》指出,要实施网络安全人才工程,加强网络安全学科专业建设,打造一流网络安全学院和创新园区,形成有利于人才培养和创新创业的生态环境。

当前,我国应抓紧落实《国家网络空间安全战略》和《网络安全法》对网络安全人才培养的要求,并在工作中借鉴网络安全强国人才队伍建设工作带来的经验启示,吸纳其先进做法。具体建议包括:一是要进一步提升国家对网络安全人才及人才工作的战略重视程度,通过各类行政和立法手段为网络安全人才队伍建设提供实施保障,各级政府、关键信息基础设施运营者,应加快推进网络安全岗位人员规模和能力的测评工作,制定并落实专门的网络安全人才队伍建设方案;二是要充分认识网络安全岗位分类规范及能力标准的基础性作用,加快推进网络安全人才评价指标体系的研究和编制工作,积极实现对网络安全人才的分类施策,并将其作为教育、培训、评价和管理的重要依据;三是要重点关注网络安全从业人员群体,树立国家引导的网络安全职业培训品牌,完善职业培训体系,持续提升网络安全从业人员队伍整体能力。



主办单位:国家信息中心 京ICP备05063309号 技术支持:中国经济信息网

地址:北京市西城区三里河路58号 邮政编码:100045 电话:010-68557000 传真:010-68533919