诚 格
美国网络安全人才市场研究
诚 格
尽管全球各国都在倡导开放、包容、互信、合作、共赢的网络安全观,但仍掩饰不了日益严峻的网络安全威胁。从某种意义上说,网络安全战的实质是由网络安全人才主导的博弈,因此网络安全人才队伍建设正受到各国高度重视。美国兰德公司于2014年发布的一份关于美国网络安全人才市场的报告(Hackers Wanted——An Examination of the Cybersecurity Labor Market),较为详细地介绍了美国网络安全人才雇佣情况,并从经济学角度分析人才市场变化趋势,对我国了解美国网络安全人才现状,科学认知美国网络安全人才市场基本现状和变化规律,吸取美国应对人才短缺问题的对策经验等,具有非常重要的参考价值。
美国网络安全人才市场状况一直备受各方关注。2010年美国国家公共电台报道称“地球上没有一个国家比美国更容易受到大规模网络攻击。”因为美国的各行各业——金融、交通、电信乃至军事已紧密依靠数据网络。但美国的网络防御不具备迎接这一挑战的能力。在某种程度上,这是身怀必要的知识技能、能与潜在对手对抗的计算机安全专家和工程师匮乏所致。根据《华盛顿邮报》2009年的报道,美联邦政府正在努力满足社会对计算机安全人员日益增长的需求,包括技术人员和政策制定者。强烈的需求已经引发各机构之间的竞价战,以争夺部分拥有网络安全认证证书的熟练技工。这部分人的稀缺推高了薪金水平,削弱了机构能力。
企业的情况可能更糟。彭博新闻2013年5月援引负责“网络爱国者大赛”的诺斯洛普项目总监黛安·米勒的话:“我们确实遇到了用人荒,目前有700个职位空缺。”而一家移动数据安全公司准备从12人扩充到20人,却找不到足够专业的网络安全专家。该文章指出:“截止到2012年,在短短五年内网络安全职位增长了73%。比所有计算机相关职位上升速度快3.5倍。这是波士顿一家劳动力市场分析公司从22万个招聘网站获取的数据得出的结论。”报道最后引用了摩根大通银行首席执行官的话:“银行花了2亿美元来保护自己免受网络攻击,超过600名专业人员致力于确保数据的安全性,但这个数字将在以后三年里急剧增加。”2012年,著名黑客专家杰夫·莫斯在路透社一次发布会上表示:“预测看起来并不乐观,未来几年美国网络安全人才短缺数量大概在2万到4万之间。”根据致力于为信息和软件安全专业人士职业生涯提供教育及认证服务的全球性非营利组织ISC2的一项研究发现:有83%被调查的美国联邦人事经理反映,发现并聘用合格的网络安全工作人员越来越困难。 从事网络威胁和其他远程控制犯罪研究的安全厂商Damballa研究部副总裁冈特·奥尔曼表示,老资格的网络安全专家拥有更多选择权:“到这天结束之时,几乎每个人都有可能另谋高就,因为安全公司的数量在不断增长。”
上述系列报道都表达了对网络安全人才短缺的严重关切,普遍认为美国缺乏网络安全专业人才,使得保护国家网络安全问题复杂化,并可能让美国在应对网络空间冲突时准备不足。
关于网络安全人才短缺问题,美国官方和商业研究机构均已经推出了一系列报告,其中包括博思艾伦咨询公司、美国战略与国际研究中心、美国国土安全部国土安全顾问委员会等,它们的基本意见是一致的:人才短缺确实存在,有可能危及美国国家网络安全;同时也向政府提供各种解决途径,如设立奖学金,提高技术要求和鼓励黑客竞赛,所有这些报告都推崇供需平衡,但没有提出减少对此类人才需求的措施。兰德公司选择了五家美国政府机构、五个教育机构、两家安全公司、一家国防公司和一位外部专家作为调查对象。通过调查得出的主要结论如下:
首先,在相对合理的薪酬水平内发现并留住合格人才越来越难——主要指1%至5%高端人才。这些人的能力能够检测到高级潜在威胁,发现隐藏在软件和系统内的漏洞。而这些人往往要求年薪超过20万到25万美元——尽管获得这样的薪水需要天赋和其他综合能力,但也意味着必须要到三十岁以上才能拿到这样的薪金。一般网络安全人才的年薪是8万美元,而往往拥有更多经验和认证的ISC2成员的平均年薪是10万美元。一旦年薪要求超过25万美元,政府雇主的竞争力就会受到影响。从表1可见,年薪等级具有较大弹性,拿到中等薪水的人数最多,而最高与最低薪水等级的比例最小。
表1 美国联邦网络安全人才年薪等级
其次,大型机构,包括私人和公共机构已经找到应对人才市场紧缩的办法。它们很大程度上依靠内部晋升和培训来留住人才。而这种做法对小型组织不太有吸引力,它们始终要担心那些花重金培养出来的人在具备一定技能后会跳槽。大型国防承包商则享有明显优势,因为他们的大部分专业人才已经接受过技术培训,因此会有一定比例的人展露网络安全工作天赋。美国国家安全局虽然同样面临人才短缺的困难,但只有不到1%的安全职位空缺,并保持很低的人员流动率。其中一个原因是重视高级技术开发项目,确保员工保持技术水平并能不断提升,美国国家安全局在人才培养上不仅与高校合作建立学术卓越中心,而且还将人才发现延伸到大学预科,所以更多地属于内部培养而非从外部招聘人才,其80%的受雇者是本科学历,入职后经历三年之久的内部培训就能得到提升,这些因素成为吸引三成以上SFS(Scholarship-for-Service)11:由美国国家科学基金会和美国国土安全部等机构联合资助的奖学金项目,获此资助的学生毕业后将定向为政府部门或相关重要机构服务。详见美国国土安全部网站介绍:http://niccs. us-cert.gov/education/cybercorps%C2%AE-scholarship-service-sfs毕业生的原因;而中央情报局首选网络安全专业硕士,并且从机构内外部共同挖掘人才;美国网络司令部计划通过培训和认证组建一支网络防护分队,用以规定参与激烈实战、现场演练和加入后备役所需的技能和素质;同时,为了配合国防部“联合信息环境”框架的实施,出台了新的并行网络安全培训方案,达到重构网络安全战士技能要求的目的;美国空军已建立了一套有效的内部培训体系,并将网络安全人才分级,他们的网络安全人才60%来自军队,30%是平民,10%为承包商。
再者,美国大学的挑战已经上升到培养网络安全专家。过去几年,课程项目有所增多,也有更多学生在学习现有课程,寻找合格教授似乎也不是问题。人才缺乏的部分原因是对信息技术需求从2000年互联网时代巅峰下滑,留下相当多的闲置产能。据调查,计算机系的平均招生人数从鼎盛时期的400人降到2007年的200人,随后在2012年又反弹至300人。2007年至2012年,美国计算机系的数量从176个上升到189个。最高峰的2001年至2003年,毕业生约2万人,2009年下降到1万人以下,预计2013年不到1.5万人。1995年到2003年间博士的产出量一直停留在约900人/年,2008年增加了一倍,2012年达到最高峰。60%的博士生非美国本土居民,只有10%去往海外工作。SFS(Scholarship-for-Service)是美国最大的政府资助奖学金项目,目的是为联邦或政府投资部门培养网络安全人才,每年毕业生大概120名。但其中许多毕业生最后会选择解约,转而为政府承包商工作。
图1:SFS网络安全毕业生流向比例示意
近年来,面对人才供不应求的问题,美国网络安全业界提出了一些措施建议,但仍存在诸多问题,例如:
第一是希望雇佣更多外籍人员。也就是设法让那些高学历者更容易留在美国工作和生活。尽管这样的想法很有价值,但也很容易夸大其实际作用。因为他们中许多人已经想方设法留在了美国;部分网络安全工作同样可以在海外进行;为满足国家安全需要,要求从业者需持美国国籍,这样就限制了外国技术人才的数量。
第二是建议在必要时开设一个两年制(专科)的紧凑型教育项目。问题是那些有天赋成为高层次网络安全人才的人不可能只满足专科学历。这种教育模式也只是造就了一大批受强化式训练的人群,一旦网络安全工作能力要求发生较大变化,这些人仍将很难被聘用。
第三是主张对信息安全工作进行精确分工。尽管该建议对任务规划很有价值,但对协调网络安全人才供需问题无法起太大作用,因为所受教育与所擅长工作之间关联性并不是特别直接。
第四是要求优先利用公务员和退伍军人来平衡供给。但没有理由相信这种做法能对网络安全人才市场有什么特别之处,除非美国联邦政府雇佣网络安全专家的同时削减其他专业人才。
第五是强调用国民警卫队和预备役部队来充实人才市场。这样的做法可以,但并不全面。对于大多数网络安全任务(取证除外)而言,有效的网络安全防御需要熟悉被入侵的系统,而兼职人员在这方面的工作做得并不好。
可见,上述对策在解决网络安全人才尤其是高级人才短缺问题上显然不是最有效的。
通过考察网络安全人才市场的最新发展,发现网络安全人才需求的快速增长一直伴随薪酬大幅上升,这符合一般的经济学原理。原因是在短期内,高薪对网络安全人才的供给作用相当迟缓,因为公司需要花时间让更多员工具备必要技能。从长期来看,今天的高薪将会吸引新人进入。因此,未来网络安全人才供给就会持续增加,而薪酬的增长会逐步减速。
有各种因素使网络安全人才市场变得复杂化。首先,依靠增强网络安全意识改善人才供给可能需要一定时间。虽说在一系列网络攻击发生后对网络安全人才的需求有所上涨,但考虑到雇佣或解雇员工的成本,一些雇主可能不愿立即增加招聘数量;第二,从人力资本角度讲,网络安全人才之间存在重要差异。那些有能力取证、写代码、进行红队测试的高层次网络安全人才在当今劳动力市场是最难雇佣到的,而更加困难的是需要准确识别求职者是否具备能完成这些任务的天赋;第三,在雇佣网络安全人才上,政府机构相比私营公司面临更多挑战。其中,员工薪酬水平或许是最主要的影响因素,与高级人才的关系也最为密切。因此,政府会发现很难雇到足够高层次人才,而解决方法是重点招聘入门级员工,然后再为其提供大量培训。第四,从地理上看,机构招聘人才时更多围绕其所在的地区,这使得在其周边地区孕育出更多的网络安全学院和网络安全专业。这就产生了“加厚”本地人才市场的效应。这样的市场可以形成对人才的竞争,导致更高的生产率、更显著的工资不平等以及更高的技能,并使“高品质”员工和“高品质”企业更相匹配。
图2:网络安全专业人才劳动力市场简化视图
如图2网络安全专业人才劳动力市场简化视图所示。该图将2007年作为基准年,网络安全人才供给与需求相交于点A。点A显示供需平衡,并且人才所获薪酬与其学历和技能没有较大差距。此后,诸多因素导致人才需求上升,比如网络链接加强,网络更易受袭,人们认识到黑客攻击造成的损失和网络安全意识增强。其中,需求曲线从D1到D2向右推移,变化也暗示了许多雇主愿意花更高的价钱雇佣与2007年以前相比在质量和类型上没什么改进的人才;S1与S2为人才供给曲线,随着需求的上升在点B达到了新的平衡。这时,薪酬大幅度增加,而人才供给增加的却很少。点B表示短期平衡。从长期来看人才供给曲线很可能因多种因素改变。比如,出现更多不同薪酬等级员工,如成立大批网络安全学校和组织机构积极培训内部员工。此外,高薪也会吸引其他相关专业人才进入网络安全领域。这些都促成了各薪酬级别员工数量上升。这样,人才供给曲线从S1移动到S2。从长期来看,供需在点C达到了新的平衡。这时,薪酬水平低于当今的市场,而人才数量则更大。因此,长期人才供给曲线是联结点A和点C的直线。长期供给曲线比短期供给曲线更有弹性(对薪酬的敏感性)。
通过研究可选策略,包括最重要的策略——“什么都不做”,更准确的说法是“不再做什么”得出以下结论:
第一,人才需求突然猛增带来了人才的稀缺、竞争和危机。每次人才需求的迅速增长都带动了具有非凡技术和高学历要求的职业发展。根据经济理论表明,快速上涨的职工薪酬和强劲的用人竞争是可以预期的。
第二,各种教育举措已在努力满足网络安全人才需求。为了尽早应对迅速增长的网络安全人才需求,美国已经增加了大量教育项目,特别是政府支持的教育项目,并且计算机专业数量也在增加。
第三,人才市场滞后于需求和教育计划是完全正常的。理论与经验都证实,市场可能需要很长时间才能适应需求的突然增加。许多大型组织已找到一种短期内满足网络安全人才需求的创新方法,即内部招聘和培训,但仍然面临雇佣和留住高级网络安全人才等方面难题。
第四,最佳措施可能已经实施。在网络安全求职者中找到合格的人这一难题很可能会自行解决。因为目前通过教育流水线打造的网络安全人员数量在增加,且市场也达到了稳定和长期平衡状态。
需要补充的建议是:取消公务员相关规则中禁止联邦机构雇佣天才级网络安全人才的规定,至少应该将国家安全局不采纳这一规定的做法推广到所有部门;将适度的资金(也许是配套资金)注入网络安全教育项目,让学校为学生购买必要的软件许可证和计算机或网络设备;通过完善测试来识别可能会在网络安全职业中成功的求职者,应投资于改进人才测试仪器的研发项目,用以评估个人是否有天赋去学习和理解网络领域知识;从长远看,采用更多方法吸引女性从事该职业也会增加长期人才供给。总的来说,从长远上更鼓励通过自由市场运行机制和按照原有政府规划来解决强劲的网络安全人才需求问题。
通过研究美国网络安全劳动力市场报告不难看出,美国虽属网络强国,但同样面临网络安全人才短缺现状,尤其高层次人才匮乏问题十分突出。虽然与一般国家相比美国人才供不应求的程度并不相同,但也可以看出美国对网络安全人才的高度重视,将其视为影响国家网络安全的关键性要素。
进入2015年,美国在网络安全人才方面动作频频。如奥巴马在2015年国情咨文中进一步提出提升反间谍能力和扩大联邦政府的网络空间培训;2015年2月25日,奥巴马下令成立一个由50人组成的“网络威胁情报整合中心(CTIIC)”,旨在协调整合美国现有机构搜集的网络情报,将针对美国的外国网络威胁和影响美国国家利益的网络事件等有关情况“串联”起来,为决策者提供基于各个来源的分析报告,加强美国应对网络威胁的能力。逆水行舟,不进则退,这些趋势无不警示我国需要加快网络安全人才队伍建设,缓解我国正面临的网络安全人才短缺现状。
根据美国网络安全人才研究表明,人才市场会按照经济规律自然调节,教育流水线政策将为人才供给做出贡献,机构内部培训和招聘将成为解决高层次人才聘用难的首选措施,增加政府经费投入和人才教育项目是长期的选项。这些建议可以因地制宜移植到我国人才政策当中,对照我国的实际情况我们认为,我国政府在网络安全教育方面还应继续加大投入,各级各类人才教育项目还需增加,通过鼓励机构内部培训持续提升人才技能,使其不断进阶成为高级人才不失为一种不错的选择。将市场运行机制和政府战略规划有机结合起来是解决我国网络安全人才的根本之道。
上海社会科学院信息研究所)