李晓伟 中国信息通信研究院安全研究所工程师
陈诗洋 中国信息通信研究院安全研究所工程师
从发展历程来看:网络信息安全产业发展较好的国家,对网络信息安全人才的培养政策都经历了一个系统性逐步细化的过程,发现人才的渠道逐步拓宽、培养人才的目标逐步分层、留住人才的方式逐步丰富。美国、欧盟和英国都经历了这样一个发展过程,从美国的人才培养政策来看(见表1),首先是通过促进高校加入信息安全学术中心来培养网络信息安全人才;接着在战略层面上重视网络安全人才培养,并启动相应的配套培养计划;同时启动符合网络信息安全特点的精英人才培养计划;最后形成非常系统的“基础教育、高等教育、培训认证、人力管理、网络安全竞赛”全方位培养体系。欧盟从更加宏观的层面上滚动式推出网络信息安全人才培养战略,逐步细化人才培养政策。从英国人才政策来看(见表2),首先是通过研究院确定网络信息安全人才的分类培养目标,然后是推进学科体系建设、包括小学到硕士等学历教育,同时通过竞赛发掘和锻炼人才,并加强黑客的引导利用,逐步建立一套学历教育、职业培训和黑客培养多层次培养渠道。这些国家和地区既关注培育普通大众的信息安全意识,也加强专业人才的发掘和培养,并重视对从业人员进行岗位培训。
从政策特点来看:一是将网络与信息安全人才队伍建设纳入国家网络安全战略。欧盟在《网络安全战略》中明确要求各成员国在国家层面开展网络与信息安全方面的教育与培训;英国在《网络安全国家战略》中强调应“加强网络安全技能与教育,确保政府和行业提高网络安全领域需要的技能和专业知识”;俄罗斯在《国家信息安全学说》中指出,需构建从学历教育到在职教育的信息安全人才培养体系。二是出台网络安全人才发展战略。2016年,美国首份《联邦网络安全人员战略》,将网络信息安全人才工作内容从之前的“意识提升、学历教育、人力结构、人员培训和职业发展”4项工作内容转变为“K12(幼儿园到中学的基础教育)、高等教育、培训认证、人力管理、网络安全竞赛”5方面并行作部署。特朗普政府在其首份网络空间安全政策文件13800号行政令中也再次强调要加强网络安全人才培养。英国在《国家网络安全战略(2016—2021年)》中把填补网络安全人才缺口确定为一项长期且具有变革意义的目标,并提出制定专门的网络安全人才技能战略。
学校教育是各国培养网络信息安全人才的主要方式,部分发达国家在学校教育上的主要做法有以下几个方面:一是在教育体系中设置网络信息安全相关基础或专业课程。英国把网络信息安全纳入学术教育体系中,涵盖从初中到博士学位的相关课程,英国教育部设置新课程确保儿童从5岁开始接受网络安全教育;美国则在高中开展理论计算机科学教育作为网络安全专业学习的先导和基础,大学和研究生阶段开展网络安全专业教育。日本的网络空间安全人才培养体系以高等教育为主,并形成以公立大学为主、私立大学为辅的模式。新西兰高校的网络空间安全教育已相当普及,几乎所有大学都开设了相关课程,研究生层面教育更为突出,开设课程分为必修课与选修课。二是制定明确的专业方向并及时调整更新。英国将网络信息安全人才划分为7个方向,并于2014年和2015年各增加6个网络安全硕士专业认证;美国在2012年颁布D0D 8140号指令,对2005年颁布的D0D8570号指令进行了更新,将网络信息安全专业划分从4大类8个方向调整到7大类30个方向。三是针对“超常”和“精英”设置教育计划或方案。以色列采取了超常教育计划,支持网络信息安全领域“天才儿童”和“大学精英”的培养;美国和英国都有针对“精英”的教育计划及相应的配套课程体系。
针对不同的岗位需求进行从业资质认证,进行基本的准入条件限制,加强从业后的技能培训,这是多数国家培养网络信息安全人才的重要措施之一。主要的做法经验有:一是管理部门联合确定网络信息安全岗位职责及能力要求。早在1998年,美国政府就开始实施针对信息系统和网络基础设施安全保障的培训和认证计划,联邦政府多个部门都介入了相关工作;在2012年9月,美国商务部国家标准与技术研究院(NIST)牵头,联合国土安全部(DHS)、国防部(DOD)、教育部(DoED)等11个政府部门通过《NICE战略计划》,建立网络安全职业发展标准和指南,其中国家网络安全人力框架(NCWF)已成为国家网络安全人才标准(SP 800-181);2011年3月,英国国家信息安全保障技术管理局(CESG)发布《信息安全保障专业人员认证框架》,规定了政府公共部门及其合同厂商的信息保障专业人员职责和技术能力要求,明确信息保障人员的遴选、培训和管理办法。二是明确网络信息安全人力评估要求,美国2004年就发布了8570号令《信息保障培训、认证和人员管理》要求信息保障岗位人员必须进行培训并获取相应资质,2015年,国防部又发布了旨在取代8570号令的8140号令《网络空间人员管理政策》,该指令从人力资源管理的角度进一步理顺网络安全岗位人员职业发展路径;《2015年联邦网络安全人力评估法案》提供了网络安全人力评估的基本要求;2017年7月《关键信息基础设施安全保护条例》要求,关键信息基础设施运营者应当组织从业人员进行网络安全教育培训。三是政府授权开展业界认可的规范执业资质认证。英国国家信息安全保障技术管理局指定认证机构对安全人员进行能力评估,对信息安全从业人员进行资质管理;美国拥有世界权威的网络安全职业认证资质,包括国际注册信息系统安全师(CISSP)、国际注册信息系统审计师(CISA)等。
表2 英国信息安全人才培养政策
职业培训是各国提升网络信息安全人才技能水平的重要途径,主要发达国家也建立了各自的职业技能培训认证系统,主要有以下几种情况:一是政府直接或指导建立培训机构。美国政府机构或部分研究中心规范培训的标准和要求,也通过军队系统加强网络信息安全培训;欧盟早在2004年就成立“欧洲网络与信息安全局”,组织、协调各成员国采取有效措施提升网民信息安全素养;英国在2011年《网络安全国家战略》中部署英国情报中心协助建立网络安全研究院,开展人才教育培训;新加坡政府根据《信息通信安全总体规划(2008—2013)》携手业界共建信息安全专业人员协会。二是行业组织开展多种培训工作。美国部分网络信息相关的协会都开展系列培训;英国IT行业技能组织与多家技术公司合作,发起网络安全培训,提升专业人才实践能力;新加坡公益组织已成为政府推进网络素养教育的重要合作伙伴,其中“父母网络顾问组”作为最早的公益组织,自1999年起开始创建网络交流平台,开办网络安全讲习班,举行安全上网主题巡展等活动。三是企业积极参与课程设置、职能培训和资质认定。以色列科技部和洛克希德马丁公司签署了一份协议,合作制定科学与技术专业的教育课程规划;美国的NICE计划将各权威网络安全培训和资质认定项目同人力框架完成初步对应,微软、思科、趋势科技等公司都可以提供网络信息安全资质认证,并在全球都具有一定的权威性和影响力。
一是通过重大竞赛发现和锻炼人才。2016年公布的美国首份《联邦网络安全人员战略》,将网络安全竞赛与基础教育、高等教育、培训认证、人力管理同步部署,以全面加强网络信息安全人才培养。2015年,英国英国情报机构政府通信总部实施CyberFirst计划,邀请11~17岁的青少年参加,通过网络安全挑战赛、国家数学竞赛等各类竞赛挖掘潜在人才,培养“下一代网络安全专家”,该计划一直延续至2017年2月14日NCSC成立后;2018年,NCSC又在格洛斯特郡新建了两个网络学校中心的试点,将网络安全技能这一学科领域作为关键,提供各类教育资源,拓展人才发展渠道,以满足英国未来的网络安全需求。二是加强黑客的正确引导和使用。英国已被定罪的计算机黑客通过安全审查后可在联合网络储备局任职;澳大利亚秘密情报部门在全国招收网络高手和黑客参与国家网络安全防护;印度政府专门招募了一支由数十名年轻“黑客”组成的网络警察部队,以网络顾问的身份为软件公司网络信息安全提供技术支持。三是拓展安全人才应用技能提高的途径。新加坡安全部门与RSA合作推出培训计划,参与者可被派驻到RSA位于以色列的反欺诈指挥中心学习;以色列则通过鼓励产业园孵化创新及促进研究产业化,多种途径激发人才潜力,也是加强人才应用技能提高的有效手段。
贯彻落实习总书记对网络信息安全人才的培养要求和《网络安全法》的规定,针对网络信息安全人才专业性和技术性要求高,保密性强等特点,以及我国网络信息安全人才培养目前存在供需缺口大、供需结构不匹配、应用型人才缺乏等问题,提出以下几方面的建议。
一是建议主管部门牵头,相关部门协同统筹编制网络信息安全人才战略,基于已经出台的《关于加强网络安全学科建设和人才培养的意见》(中网办发文〔2016〕4号),在人才专项战略中提出扶持政策和具体实施细则,在战略层面将网络信息安全人才培养的职责落实到各分管部门;确定每年人才培养总体规模、各类人才数量;衔接有关部门确定和调整学科设置要求,分类人才的知识结构要求;确定学校、培训机构等在人才培养体系中的任务分工等。二是明确各分管部门在人才培养中的职责并赋予相应自主权,如指导行业分管领域的教育课程设置,规范分管领域职业培训等。三是设置各分管部门的统筹协调机制,合力推进人才培养。
一是建议搭建网络信息安全人才对接平台,通过平台实现网络信息安全人才的需求和供给信息即时互动,根据平台提供的需求信息确定网络信息安全人才分类,以及每一类人才的技术能力要求,并根据情况进行3-5年为周期的调整更新;根据平台的供给信息对应调整高校、职业培训机构的人才规模和知识结构等。二是发挥人力资源池网络安全人才储备功能,包括不同领域,尤其是关键任务技能方面,建立不同技能水平的个体数据库,保障紧急情况下快速找到匹配专业人员。三是设置网络信息安全首席科学家办公室类似的机构,通过这个机构协调网络信息安全人才培养跨部门事务,也通过对部分网络信息安全的关键技术研发和创新支持培养高端人才。
一是建议以学历教育为主干,加大资源投入,汇聚优质师资、吸纳优秀学生、强化交叉课程、增加国际交流,完善网络信息安全学历培养体系。二是以职业培训为辅助,为培训机构和企业搭建平台,加强人才市场供需对接;提高市场对人才资质认证的认可度,避免人才技能与网络信息安全岗位需求不匹配;强化对培训机构的抽查监督,提高培训质量。三是以专才培养为补充,拓展发现和利用特殊人才的渠道,以竞赛为契机发掘人才、培养道德黑客,利用IGF、iCAN等国际竞赛平台锤炼高精尖人才。四是依托其他学科领域,如计算机等,或者单独建立网络信息安全人才职业上升通道,形成长效的人才激励机制。
一是建议支持高校建立网络信息安全实验室,为培养学生实践能力提供条件;鼓励企业网络信息安全高端人才到高校兼职任教,为高校提供实践经验丰富的师资力量;支持高校与企业联合,在网络信息安全领域,本科阶段引入更多的实践课学分。二是鼓励行业分管部门授权职业培训和资质认证机构,弥补分管行业领域在专业领域的培训及资质认证不足,开展专项领域人才职业培训和资质认证。三是鼓励企业在满足国家规定要求下,根据企业产品开发和市场拓展的需要,开展网络信息安全的职业培训和资质认证。