美国网络安全产业人才培养的标准化趋势
——《网络安全人力框架》解析

（61646部队工程师）

编者按：2017年8月，美国商务部国家标准与技术研究院（NIST）发布了《国家网络安全教育计划—网络安全人力框架》。该框架作为美国网络安全产业人才发展的标准文件，反映出美国网络安全关键性的人才分类标准基本完成，人才培养从“规模化”转向“多样化、标准化和可持续化”的发展格局初步成型，正在形成一个稳定的人才培养生态体系，有助于持续提升美国网络空间战略竞争力。这对于我们推进国内网络安全人才体系建设具有重要的借鉴意义。

1.美《网络安全人力框架》基本情况

1.1 服务对象涵盖广泛

美国《国家网络安全教育计划—网络安全人力框架》（简称《NICE框架》）提出“网络安全人力”包括所有能对组织机构保护其数据、系统和业务的能力产生影响的人员。[3]从人员类别来看，该框架服务对象非常广泛，既包括从事网络安全的专业人员，也包括其他与网络安全相关的从业人员，如企业雇主、求职者、在岗工作人员、教育和培训人员以及技术供应商等。《NICE框架》为社会上的各类组织机构和人员提供了一个统一的网络安全工作分类和描述的参考标准，所有参考《NICE框架》的用户能够根据自身需求灵活开展网络安全人才相关工作，将大幅提升网络安全人才甄别、招募、培训以及需求规划和发展的有效性。

1.2 标准结构专业细致

《NICE框架》对网络安全人才的类别和能力标准进行了详细而专业的划分，以适应不同层次和不同岗位人员的需求。整个框架标准结构由7个部分组成，即工作类别、专业领域、工作角色、任务以及所需的知识、技能和能力，它们之间的关系层层递进。具体而言，框架定义了7种工作类别、33个专业领域、52个工作角色。此外，NICE框架还列出了共1007项与工作角色相对应的“任务”、630项从事网络安全工作所需的“知识”、374项“技能”和176项“能力”。其中工作类别是总体划分，每个类别由多个专业领域组成，每个专业领域又包含一个或多个工作角色，每个工作角色包含需完成的工作任务以及完成工作任务所需的多个知识、技能和能力。可以说，这个庞大的框架体系几乎涵盖了当前网络安全工作的各个方面。

1.3 框架使用关联配套

《NICE框架》关联性和适用性很强，有关组织部门可以利用其开发或者衍生出其他专门领域的网络安全框架，为形成统一的多类型、多领域、多行业网络安全人才培养指导性文件奠定基础。如，NIST的《改进关键基础设施网络安全框架》基本采用了《NICE框架》的类别和标准划分；美国土安全部“网络安全人力发展工具包”采用了NICE框架中的专业领域、任务以及知识、技能和能力（KSA）等。2017年1月4日，美国人事管理局（OPM）发布了一份有关信息技术和网络安全职位的备忘录，要求OPM执行《NICE框架》的标准，以确定信息技术、网络安全或其他网络相关功能的所有联邦文职职位。

2.主要特点

2.1 以提升未来网络竞争力优势为核心目的

《NICE框架》开篇强调了发布文件的目的，即要致力于培养具有全球竞争力的综合网络安全人才队伍，为保护美国免受现有和新兴的网络安全挑战做好准备。文件认为，由于利用美国网络基础设施漏洞的威胁在不断地发展和演变，一个综合的网络安全产业人才队伍必须能够设计、开发、实施和维护防御性进攻性网络战略。因此，美国实行全国网络安全教育计划（NICE）,希望通过促进政府、学术界和私营部门之间的合作，推动在全国范围采取举措以增加拥有相应知识、技能和能力的人才数量，激励建立网络安全教育、培训和人才发展的强大网络生态系统，促进变革和创新，提供领导力和愿景，保持美国国家安全和经济竞争力。 NICE计划覆盖了全美普通公众、在校学生、网络安全专业人员等群体，调动了网络安全人才生态中的各种角色和资源，取得了良好的成果。[2]

2.2 以政府统筹、部门联合为长期推进手段

美国将网络安全人才培养作为长期战略加以落实，早于2010年4月就启动“国家网络安全教育计划”（NICE），其初衷是统筹协调政、产、学、研各利益相关方，全盘布局、加强协调，实现网络安全人才工作的有序推进。该计划由美国商务部国家标准与技术研究院（NIST）牵头，国土安全部（DHS）、国防部（DOD）、教育部（DoED）等十余个部门共同参与、各司其职。实施7年来， DHS主责编制的国家网络安全人力框架已成为国家网络安全人才标准（SP 800-181）。第一个NICE框架于2012年9月公开征询意见，并于2013年4月作为国家网络安全人力框架1.0版发布，2.0版于2014年4月发布，目前新一版《NCWF框架》）最终版草案也于2017年8月公布。[3]

2.3 以标准化、体系化为可持续化发展思路

网络安全工作覆盖多种不同的技能和角色，据美国人事管理办公室（OPM）评估，美联邦政府内的网络安全工作涉及100多个联邦岗位序列。没有统一的定义和标准化的岗位能力规范，就难以对网络安全人才队伍数量、质量以及能力缺口进行评估。因此，美NICE计划将编制“国家网络安全人力框架”作为一项重要的基础性工作，其基本思路在于以统一的标准贯穿人才培养、管理、使用和评价等各大环节，以不同的人才分类施策适用不同的教育培训内容和评价管理方式。通过人力框架标准，美国网络安全人才队伍建设生态中的各项主要工作以及各利益相关方都紧密联系在一起。此外，网络安全人才的各类供需配套措施以及网络安全竞赛都在寻求与人力框架兼容匹配，以提升效率和加强协调。[2]

3.对我启示

近年来，中国国内已认识到网络安全人才严重不足的问题，政府、学术界和行业均在积极探索网络安全人才的教育、培养和培训机制。《网络安全法》规定，国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流；关键信息基础设施的运营者应设置专门安全管理机构和安全管理负责人，定期对从业人员进行网络安全教育、技术培训和技能考核。《国家网络空间安全战略》也指出，要实施网络安全人才工程，加强网络安全学科专业建设，打造一流网络安全学院和创新园区，形成有利于人才培养和创新创业的生态环境。[5]在这种大背景下，借鉴美国《NICE框架》，对于从体系发展角度设计中国网络安全人才标准结构，整体推动中国网络安全人才发展战略具有重要的牵引和指导作用。

3.1 加快标准建设，构建中国网络安全人才框架

美国《NICE框架》的建立依托于多个政府部门和机构、私营部门以及学术界对网络安全市场的广泛了解，经过多年的不断修订和完善，已经形成比较科学、完备和有价值的人才标准体系。当前，中国国内应以落实《国家网络空间安全战略》和《网络安全法》对网络安全人才培养的要求为抓手，参考美国《NICE框架》做法，充分认识网络安全岗位分类规范及能力标准的基础性作用，结合中国网络安全产业和人才发展现状，研究中国从事网络安全工作应具备的技能和学术素养，加快推进网络安全人才标准体系的研究和编制工作[2]，尽快构建中国网络安全人才培养的标准文件，实现对网络安全人才的分类施策，并将其作为教育、培训、评价和管理的基本参照依据。

3.2 借鉴国外标准，推动国内网络安全学科建设

2017年8月8日，网信办和教育部向各大高校印发《一流网络安全学院建设示范项目管理办法》，提出经过十年努力，形成4-6所国内公认、国际上具有影响力和知名度的网络安全学院。而目前美国《NICE框架》的人才标准划分已经趋于成熟，列举了详细的实际网络安全工作领域和岗位应具备的知识、技能和能力。为此，在推动国内高校网络安全学院建设的过程中，可以积极借鉴国外现有标准成果，以NICE框架为重要参考进行学科、专业和课程设置，针对性培养能够适应社会需求、多向全面、结构合理的人才队伍。

3.3 政府统筹主导，制定多领域网络安全人才培养指导文件

网络安全人才覆盖领域广、涉及行业众多，为避免多领域、多部门网络安全人才培养标准交叉矛盾、不相统一，应充分发挥政府部门的主导作用，积极与高等院校和私营企业开展有效合作，基于具体实际情况开展多领域网络安全人才培养战略文件的起草工作，以应对解决人才发展的差异性问题，使网络安全人才框架真正成为社会各层面网络安全人才队伍建设的实用手册。同时，通过各类行政和立法手段制定并落实专门的网络安全人才队伍培养方案，把有关人才标准要求贯彻进去，持续推动网络安全从业人员队伍标准化、体系化发展。