美国网络安全人才政策综述

（中国信息安全测评中心，北京100085）

信息时代，网络威胁层出不穷，安全态势日益严峻，网络安全人才肩负网络安全保障重任，其重要性不言自明。人才培养在任何一个国家都是网络安全战略中的重要议题，美国成为网络强国，很大程度上得益于对网络安全人才培养的高度重视和大规模投入。美国在网络安全人才培养措施与人才发展制度建设方面进行了诸多开创性实践，相关经验值得关注并对我国有一定借鉴意义。

1 美国对网络安全人才问题的战略定位

美国对网络安全人才的重视，充分体现在近几届美国政府高度一致且不断强化的网络安全人才政策中。理念决定行动，了解美国对网络安全人才问题的战略定位，有助于我们理解其相关政策出台的内在逻辑和核心驱动力。

1.1 网络安全人才问题是美国历次国家网络安全战略中最优先、最重要的议题之一

自美国发布首部国家网络安全战略以来，就始终把网络安全人才培养作为一项重要的优先要务，历次文件都使用大量篇幅进行人才工作部署。克林顿政府2000年发布的《信息系统保护国家计划》[1]提出了21世纪初期国家信息安全发展十大计划，其中有两项计划旨在加强人才建设，分别是“培训并雇佣足够数量的信息安全专家”和“提升全美公众网络安全意识”。小布什政府2003年《网络空间安全国家战略》[2]提出的五项优先计划中，第三项为“国家级网络安全意识和培训计划”；2008年《国家网络安全综合计划（CNCI）》[3]的12项计划中，第8项计划要求制定一个专门的国家级网络安全教育计划。奥巴马政府2009年《网络空间政策评估》[4]共六章，第二章“构建数字化国家的能力”要求提高公众意识、加强网络安全教育、扩充联邦信息技术人员队伍。特朗普政府2017年13800号总统行政令《加强联邦政府网络与关键基础设施网络安全》[5]分为4条工作线，第4条线即“网络安全人才发展”，要求给出系列网络安全人才发展评估结论和建议报告。

1.2 网络安全人才持续发展是美国保持其网络空间全球领先地位的基础和先决条件

美国2008年在其历史性的CNCI计划中明确了当局对人才工作的战略定位，使之成为美国网络安全人才政策发展中的重要节点。CNCI第8项计划“扩大网络教育”指出，“美国政府已花费数十亿美元用于网络空间安全技术，但是决定成败的是运用这些技术的人是否具备充足的知识、技能和能力。然而，当前联邦政府或私营领域均没有足够的网络安全专家来落实CNCI计划”；该计划提出要效仿美国20世纪50年代的科学和数学教育战略，制定一个“专门的国家级网络安全教育计划，以保持美国的技术领先性和网络安全性”。这里对标的是美国于上世纪50年代冷战时期所倡导的科学教育，是在美国教育史上具有里程碑意义的人才战略计划。当时美国为保持其军事优势，将高等教育和国防关联起来，大力推广科学、数学等学科的教育，作为强化其国际竞争力的保障。CNCI时期，美国为保持网络时代的领先优势，决定掀起一场新的网络安全教育革命，从而催生了2010年正式启动的美国“国家网络安全教育计划（NICE）”。

NICE计划的首个纲领性文件《NICE战略规划》（2012版）[6]将其愿景描绘为，“通过逐渐推进创新的网络安全教育、培训和意识活动，满足网络安全的全方位需求，建立一个安全的数字国家，推动美国的经济繁荣和国家安全”。相关工作实施近十年，网络安全人才的基础性作用已得到了进一步强化。这在特朗普13800号行政令中可以得到充分体现，该命令的内容分为四条线，分别是联邦政府网络安全、关键基础设施网络安全、威慑及国际合作，以及网络安全人才发展。文件明确指出，“网络安全专业人才队伍的持续增长是实现美国在网络空间各项目标的基础”。为落实行政令要求，美国商务部（DoC）和国土安全部（DHS）于2018年5月30日联合发布人才工作评估报告《支持国家网络安全人才持续发展——为美国更安全的未来构建基础》[7]，将美国公、私领域网络安全人才队伍建设的愿景确定为“未来能否成功保护美国国土安全和经济繁荣、确保美国竞争优势的基础”。在这样一以贯之的深刻认识和战略定位基础上，美国必然把人才问题作为当务之急和重中之重，采取系列非常规的手段开展网络安全人才建设工作。

2 美国网络安全人才发展政策及相关举措

NICE计划的对象、范围和内容充分显示了美国网络安全人才工作通盘考虑、提升整体能力的思路。该计划主要面向三类人群：对于公众，需要提升其网络安全意识；对于在校学生，需要加强教育，构建一支网络安全储备力量；对于从业人员，要持续提升其能力水平，完成美国网络空间安全保障任务。人才发展的主要问题即严格意义上的“网络安全劳动力开发（Cybersecurity Workforce Development）”，或称为“从业人员队伍建设”问题，既包括人员的供给，如怎样扩大人员输入的方式和渠道；也包括队伍的持续发展，即怎样做好从业人员的终身学习，以及做好选、育、用、留职业生命周期各阶段的工作。为保障美国国家网络安全，NICE尤其关注关键基础设施网络安全人员的培养和发展问题。由于美国大部分关键基础设施由私营领域所有和运营，NICE既要覆盖公共领域，也要覆盖私营领域；在公共领域既要包括政府正式工作人员，也包括外包合同厂商。可见，这是一项面向各类人群、覆盖人员职业生命周期各个阶段、重点关注关键基础设施领域的综合性人才工程。

2.1 加强统筹协调

美国“国家网络安全教育（NICE）计划”于2010年4月启动，这是美国为落实CNCI部署，出台的一项旨在加强政、产、学各界合作，关注网络安全教育、培训和人力开发的国家级计划。按照2016年最新版本的《NICE战略规划》，其三大具体目标分别是①加快学习和技能的开发；②培养多样化的学习群体；③指导职业发展和人才队伍规划。该计划由美国商务部国家标准与技术研究院（NIST）牵头，国土安全部（DHS）、国防部（DoD）、教育部（ED）等十余个政府部门共同参与，协调了政、 产、学、研、用各利益相关方，实现网络安全人才工作的有序推进。其中，NIST负责总体牵头和协调；学历教育工作主要由NSA和DHS负责；编制人员标准的工作由DHS、DoD和NIST共同负责；人员职业发展、人力资源管理相关方法论、模型和工具的开发主要都是由DHS负责。

2.2 完善学历教育

美国的高等教育体系“去中心化”特点明显，教育部的角色相对弱化，高校对于专业设置和课程设计都有较大的自主权，可根据需要设置信息保障、信息技术安全、网络安全、信息战等各种名称的专业。美国“学科专业目录（CIP）”只对高校开设的专业进行统计备案，不做审批和规范。但这并不意味着高校的课程和教学无人把关。美国在上世纪九十年代就开始在高校培养信息安全和信息保障人才，由美国国家安全系统委员会（CNSS）发布系列标准对高校的网络安全课程进行认证。1998年，国家安全局（NSA）启动卓越学术中心（CAE）计划，后与国土安全部（DHS）共同领导该计划。CAE的目标是设置课程知识体系和教学标准对高校进行认证，推进高等教育机构网络安全的教学和研究，增加网络安全专业人员的供给，进而削减美国国家信息基础设施中的漏洞。2015年，全美共有186所院校获得CAE认定；到现在美国已有46个州的231所高校获得CAE认定。

为帮助联邦政府招募高水平网络安全专业人才，美国人事管理办公室（OPM）和国家科学基金会（NSF）推出了面向高校学生的“网络兵团：服役奖学金”（SFS）计划，为学生减免助学贷款或提供补贴，同时要求接受资助的学生在规定的时间到政府实习或工作。目前大约已有93%的学生通过SFS计划进入120余个联邦政府部门从事全职或实习工作。此外各高校积极探索游戏教学、竞赛选拔、联合培养、训练营等模式，为学生提供与实际需求紧密结合的知识体系和能力训练，帮助解决大学教学与实际应用难以匹配的问题。

2.3 强化在职培训

由于网络安全领域知识、技能更新较快，为保持职业竞争力，网络安全从业人员保持终生学习已是行业共识。一些政府部门也对网络安全人员入职、上岗提出培训和相关资质要求。为满足政府、公共领域及产业界的这些需求，“国际信息系统安全认证联盟”（（ISC）2）、ISACA（前身为“国际信息系统审计和控制协会”，现仅使用缩写名称ISACA）、“全球信息保障资质”（GIAC）等非政府组织以第三方机构身份进入网络安全在职培训领域，提供相应的课程并颁发各种网络安全细分方向资质证书，建立了具有规模的专业人员培训和资质认定产业。

美国当局认为，同国家平均劳动力水平、乃至同STEM（科学、技术、工程、数学）行业相比，当前网络安全从业人员中女性、少数族裔、退伍军人等群体所占比例都低得多，而一支成熟的网络安全团队中必须具备拥有各类技能的人群。因此联邦政府、各州及地方政府也启动了大量计划和项目，鼓励少数群体通过二次培训进入网络安全领域。其中针对退伍军人的措施效果较为显著，美国国防部现已有大量由退伍军人转而从事网络安全工作的人员。

2.4 明确人员分类标准

NICE计划的一项重要基础性工作是为网络空间安全这一新兴领域制定一个框架性的人员标准，使用通用的术语和词汇来描述人员的类别、应具备的知识技能、职业路径等。为此，该计划于2011年9月公布了《NICE网络安全人力框架》，将网络空间安全专业领域划分为7个大类，31个专业领域。经过多次修订，该框架已于2017年8月正式成为NIST SP800-181标准，将网络安全从业人员分为7个大类、33个专业领域和52个工作角色，并对每个角色给出了应执行的任务（Task），以及应具备的知识、技能和能力（KSA）。

目前NICE人力框架已在美联邦政府各个部门开始落地使用，成为网络安全人员盘点、确定技能缺口和人员培训需求的重要依据。通过NICE人力框架，美国网络安全人才队伍建设生态中的各项主要工作以及各利益相关方都紧密联系在一起：学历教育方面，CAE网络安全课程标准“知识单元（KU）”与人力框架之间实现了教育内容和人才类别之间的映射，可以为在校生提供学习的目标；职业培训方面，各主要网络安全培训和资质认定项目同人力框架之间正在进行对应，并将作为NICE计划未来职业培训工作一大重点继续推进；此外网络安全人才的各类供需匹配工具以及网络安全竞赛都在寻求与人力框架兼容匹配，以提升效率和加强协调。

2.5 提升人事管理水平

美联邦政府高度重视自身网络安全保护和网络安全人才发展的问题，并采取了各项优先措施，以建设一支能满足其网络安全保障需求的人员队伍。2015年8月，美国通过《2015联邦网络安全人力评估法案》[8]，旨在加快联邦政府雇用高水平网络安全人才的进度。2016年7月，OPM和OMB联合发布了《联邦网络安全人才战略》[9]，要求联邦政府采取一系列行动以应对网络安全人力问题，包括：①确认网络安全人力需求；②通过教育培训扩大网络安全人员队伍；③招募、聘用高水平的网络安全人才；④留住、发展高水平人才。为满足这些要求，美联邦政府采取了系列措施。

在人员识别方面，美国认为有必要将NICE人力框架应用在政府部门，以便对网络安全岗位人员进行准确的盘点和描述。按照《联邦网络安全人力战略》和《2015联邦网络安全人力评估法案》要求，联邦政府各部门须完成当前网络安全人员数量和质量的评估；之后再确认哪些类型的人才最为急需紧缺。要完成这项工作，首先要进行网络安全人员的识别。OPM在SP800-181基础上编制了一套网络安全岗位编码办法，并制定了联邦政府文职网络安全岗位的编码确定规程，要求各部门对其已有的、以及空缺的网络安全岗位进行编码。目前这项工作已基本完成，各部门都按照OPM的要求给网络安全人员初步确定了专门的岗位编码。

在能力要求方面，美国联邦政府内部对于国防部从事网络安全工作的军职人员，主要是通过8570号令进行管理。2004年8月，国防部发布的8570号指令《信息保障培训、认证和人员管理》是国防部信息保障人员队伍培训、资质认定和管理的重要依据文件。该指令要求所有信息保障岗位要明确化，并配备合格的人员；所有信息保障人员须进行培训，并在入职后6个月内通过基线资质要求。对于国防部以外的联邦政府文职部门，主要是按照《2015联邦网络安全人员基线评估法案》的要求，由各个部门对从事网络安全工作的人员进行整体能力评估，具体方案是统计持有行业权威资质证书的网络安全工作人员在所有人员中所占的比例。从这一点来看，美联邦政府对文职部门人员网络安全整体能力进行评估的方法也在向军队的“基线资质要求”靠拢。

在鼓励激励方面，美国网络安全职位的薪酬大部分情况下高于其他职位平均水平。但在很多领域，包括联邦政府，网络安全薪酬低于吸引必要的人才所需要的水平。按照《联邦网络安全人才战略》的要求，美国政府应通过提升专业能力和薪酬待遇等激励手段，实现网络安全人才的留用和发展，具体措施包括开发绩效管理、人才发展，以及灵活的薪酬机制等方面的最佳实践等。目前联邦政府已采用了若干特殊授权或破格措施，可以给网络安全岗位招聘和薪酬待遇提供一定的灵活性。如，针对特定急需紧缺岗位的“直聘（Direct-hire）”授权，针对长期短缺岗位的“Schedule A”类职位授权等。《1997年国防授权法案》中最初旨在为特殊情报岗位提供破格“非竞争性”招聘流程和灵活薪酬的条文，可以用于争取网络安全岗位人员；《2016年国防授权法案》针对网络司令部网络安全岗位人员也可以提供更有竞争力的待遇。

2.6 创新性“网安学徒”举措

2018年3月，美国NICE计划在原“高校工作组”、“竞赛工作组”、“K12工作组”、“培训认证工作组”、“人力管理工作组”五个工作组基础上，设立了一个新的“学徒制工作组”。这个工作组是按照《NICE计划战略规划》目标1.4成立的，该目标要求“探索利用学徒制和联合教育培养项目，快速培养一支学习和工作并重的队伍，应对（网络安全）技能短缺问题”。NICE“学徒制工作组”的建立是继2017年6月15日美国总统特朗普签署一份在全美力推学徒制的行政令之后，将劳工部牵头的“学徒制”和商务部牵头的NICE计划相结合的一项重要工作。

美国的学徒制包含五项核心要素：用人单位的参与、结构化的在职学习、导师指导、可获得工作报酬，以及可获得国家职业证书。据美国劳工部统计数字显示，91%的学徒完成学徒计划后可以就业，平均起薪在5万美元/年以上。现代学徒制是用人单位获得所需技能人才的重要方式，特点是门槛低、起薪不高，但适合快速培养实用技能。美国启动网络安全学徒制相关工作，可以看作是在NICE框架下，在针对学生的长期规划和针对从业人员的短期规划之间加入了一个“半工半学”人员的计划，进一步丰富了网络安全人员队伍的来源。

3 美国未来网络安全人才政策动向

特朗普在去年的13800号行政令《加强联邦政府网络与关键基础设施网络安全》中要求，商务部长与国土安全部长须共同评估美国网络安全人员教育培训工作的范围及成效，并提交一份在公私领域如何维持和促进国家网络安全人才发展的评估结论和建议报告。2018年5月30日，这份报告公开发布，得出的结论是“美国需要立即、持续改进其网络安全人员队伍状况”。这一判断反应了美国未来的网络安全人才工作的走向，显示美国在人才政策方面还将继续加码。

报告对未来网络安全人才队伍的愿景是：美国公共领域和私营领域的网络安全人才队伍是未来能否成功保护美国国土安全和经济繁荣、确保美国竞争优势的基础。承担网络安全工作的人，以及培养网络安全人员的教育、培训和用人单位，都必须做好充足的准备，才能使美国在网络安全领域保持世界领先地位。国家应宣布并倡导一项大胆而宏伟的愿景，准备、建设和维持一支能够保护和促进美国国家安全和经济繁荣的网络安全人员队伍。报告给出的主要建议包括：

美国应制定一个宏伟的愿景和行动计划，“准备、建设和维持一支能够保护和促进美国国家安全和经济繁荣的网络安全人才队伍”。

联邦政府应牵头启动一个高规格的国家级行动计划，提升网络安全意识，调动公私领域资源，以应对网络安全人员需求。

本届政府应在其预算提案中对高质量、高效率的网络安全教育和人才发展项目给予高度关注、推荐、长期授权，以及充足的拨款。

联邦政府各部门必须快速行动，应对网络安全雇员招募、发展、留用中的主要需求，并继续落实《联邦网络安全人力战略》以及《2015联邦网络安全人力评估法案（FCWAA）》。

私营领域需要转化、提升、维持建设一支动态化、多样化网络安全人员队伍的学习环境，具体包括加强二次培训、强化动手实训、利用虚拟化环境、鼓励激励教职人员、提供教育培训补贴等。

私营领域和公共领域需要把教育培训同用人单位的网络安全人员需求对应起来，改进协调，为人员终身学习做好准备。

私营领域和公共领域须制定和利用能够证明网络安全人力投资有效性和作用的各类措施。

在政府自身网络安全人才建设方面，2018年6月25日白宫最新发布的《改革计划与重组建议》[10]认为，美国联邦政府“对于政府各部门需要建设哪方面的网络安全能力、哪些网络安全岗位招聘工作最具有紧迫性，缺乏全面的、基于风险的理解”；政府各部门网络安全人员培训和人才发展工作存在各自为战、方法不一、缺乏持续的战略性投资等问题。报告要求解决联邦政府网络安全人员短缺的问题，责成国土安全部（DHS）和管理预算办公室（OMB）制定一个适用于联邦政府各部门的网络安全人才招募与留用的方案，以便在全政府范围内进行统一的网络安全能力建设。DHS、DoD、OPM、OMB等相关部门将制定更有竞争力和创新性的网络安全薪酬体系，缩短人员获取安全许可证和入职的时间，并力争提高人员流动性，以此增加政府部门对网络安全人员的吸引力。

4 小结与启示

美国以NICE计划为主的人才发展工作实施数年来，已经取得了一定的实质性进展，各项成果正在逐步显现。同2012年版《NICE战略规划》相比，2016年更新版NICE战略规划标志着美国网络安全人才队伍建设进入一个新阶段，反映出美国人才工作从开创探索转为铺开落实,体现在：一是总体目标的转变，从网络安全人才队伍的规模化发展转向“多样化和持续化发展”；二是工作内容的转变，从“意识提升、学历教育、人力结构、人员培训和职业发展”四项工作内容转变为当前“K12（幼儿园到中学的基础教育）、高等教育、培训认证、人力管理、网络安全竞赛”五个工作组并行的工作部署，并在2018年又新增了“学徒制工作组”，各个方向全面推进。

然而当前美国对其内外部网络安全人才态势的判断仍然充满危机意识：对内，特朗普政府认为美国在网络安全人才数量和质量上都存在较大缺口，政府部门人才短缺尤甚，面对无休止的网络威胁和隐患应接不暇；对外，美国认为与后起之国在网络人才建设方面的差距正在缩小，不利于美国保持在网络空间的竞争优势和领先地位。因此，美国不但将延续一直以来的人才政策，还将进一步制定更加“大胆而宏伟的愿景，准备、建设和维持一支能够保护和促进美国国家安全和经济繁荣的网络安全人员队伍”。

美国深谙人才发展给网络强国建设带来的益处，其网络安全人才政策举措对我国具有如下启示：一是须进一步提升网络安全人才及人才工作在国家网络安全保障中的战略地位，做好全盘的人才发展顶层设计，制定人才培养长期、中期和近期的发展目标。不仅要覆盖校园教育和学科建设，同时也应大力倡导社会办学和在职培训，多管齐下，提高填补网络安全能力缺口的效率。二是加强协调，发动人才生态中各利益相关方共同推进，确保工作成效。主管领导部门强化统筹协调职责，政、产、学、研、用、投、协会等多方力量共同参与，共同建立适应网络安全领域特点的人才队伍建设体系，提升国家网络安全整体能力。三是积极开展制度创新，建立有利于关键信息基础设施保护的人才引导机制。鼓励先行先试，探索利用市场化手段，研究建立特殊人才培养和管理制度，推动网络安全人才发展体制机制改革，做好国家重点部门及关键信息基础设施运营单位网络安全人才的选、育、用、留。