◎ 战略支援部队信息工程大学 王永娟 袁庆军
随着信息化程度的日益提高,网络空间成为继陆、海、空、天之后的第五大主权争夺空间。只有培养足够优秀的网络专业技术人才,才能保证国家在未来的网络空间战争中获得优势。因此,世界各国将网络空间安全人才培养工作提升到国家战略层次,投入巨量财力物力,建设完备的网络安全人才培养体系。本文对目前世界网络强国的人才培养现状做了系统的阐述,结合我国如今网络安全人才培养的不足,提出了相应建议。
习近平总书记在首届世界互联网大会上指出,“没有网络安全就没有国家安全,没有信息化就没有现代化”。随着物联网、人工智能、大数据和工业4.0时代的到来,网络技术越来越深入到国民生活中,信息化程度日益提高,网络空间成为继陆、海、空、天之后的第五大主权争夺空间。网络空间安全的核心在于人,只有培养足够优秀的网络专业技术人才,才能保证国家在未来的网络空间战争中获得优势。因此,世界各国纷纷将网络空间人才培养工作提升到国家战略层次,投入巨量财力物力,建设完备的网络安全人才培养体系。早在2002年,美国就提出了专项教育计划,用以培养专业的网络安全人才。然而,目前全球网络安全人才仍然存在着数量约60万的缺口,估计到2020年,这一数字将达到惊人的200万。据中国信息安全测评中心发布的数据显示,目前我国网络安全专业的毕业生人数约有不到10万人,70%的信息安全从业者仅仅是接受了简单的培训就上岗工作。
网络安全关系到国家安全、社会稳定、经济发展、人民生活等各个方面,为了国家安定与繁荣发展,必须确保我国的网络空间安全,要建设国家网络空间安全保障体系,政府、部队、企业等重要部门,以及金融、能源等重要基础设施等都需要大量专业的网络安全人才。
目前,美国是毋庸置疑的网络空间最强国,在网络攻击和防御方面具有绝对的话语权,其网络安全人才培养数量和质量也优于其余国家,其完备的人才培养体系值得我国借鉴,同时英、法、德、日、韩、俄、以等网络空间强国依托自身国家实际,培育了网络安全人才,如著名的8200部队和俄国黑客,其人才培养体系也值得我国学习。
美国作为网络技术最强国,在网络安全人才培养方面具有起步早、战略方向清晰、覆盖全面、培养方式多样等诸多特质,在网络安全人才培养数量和质量上取得了明显优于其他国家的成绩,截止到2014年,美国网络安全人才数量为20.9万,预计在2018年底达到31.9万人。在战略层面上,美国先后发布了《网络空间人才计划》(2002)、《美国网络空间安全教育计划》(2010)、《美国网络安全教育计划战略规划:构建数字美国》(2011)、《联邦网络安全人才战略》(2016)等多个网络安全战略,详尽地规定了从高等院校教育、尖端科技企业培训到社会人才发掘、高中生尖子选拔,再到网络安全人才“掐尖”(即以丰厚的条件吸引全球网络安全人才),多层次、大力度地建设网络安全人才体系。在学历教育方面,将网络安全教育融入到从幼儿到青少年阶段的学校活动中,着重培养安全意识和兴趣,发掘青少年网络安全人才,政府部门和部队甚至提供了面向高中生的网络安全岗位实习机会。在高等院校教育阶段,侧重专业技能和科研能力的协同发展。在专业课程设置上,以网络行动卓越中心发布的专业课程要求为指导,突破了以计算机理论课程为中心的教育框架,设置了密码学、网络攻防、网络编程、通信原理、网络安全管理等多方面课程,有效融合了多学科知识,贴近网络安全岗位需求。在培养方式上,建立了政府、研究中心、高校、军队、企业的多部门联合培养机制,政府为大学生设立了“政府服务奖学金”,鼓励大学生进入政府、科技企业进行岗位实习,同时,尖端科技研发中心也向大学生开放,与高校协同研发网络安全技术。在吸引人才上,一方面加大资源投入,在2017年,美国投入了190亿美元用于网络安全建设,特别强调“保证网络安全人才的招纳与保留”;一方面建立了科学的评价体系和完善的人才晋升体系,对网络安全人才进行技术分级和认证,企业自发设立了“首席信息安全官”,并得到了政府部门和大部分500强企业的认可。美国在网络安全人才体系建设方面取得了全球领先的成绩,其战略和政策广泛的被其他国家借鉴,尤其欧洲各国和日韩等网络强国,普遍加强了网络人才培养的战略高度、深度和广度。
欧盟:2013年2月,欧盟发布《网络安全战略》,要求各成员国展开网络与信息安全教育。其实早在2011年,英国发布《网络安全国家战略》,强调要“加强网络安全技能教育”,德国发布《德国网络安全战略》,强调“提高公众对互联网风险的认识,加强专业人才培养”,法国发布《信息系统防御与安全:法国战略》,提出建立网络防御研究中心,从事专业人才的培训,增加年轻信息安全人才的比重。欧洲各国普遍重视硕士和博士学历教育,并建立了针对在校高学历人才的专业评估授权认证。在专业人才认证方面,建立了CCT和CCP专业认证项目,确定具有专业技能的网络安全人才等级并给予相应待遇。
日韩:日本自2011年始,每年支出约一亿日元用于网络安全人才培养,包括向国外大学输送人才,进入信息安全相关机构进修,参加日美IT论坛。2013年6月出台的《日本赛博安全战略》中提出,为了培养、发掘掌握创新方法和技术的优秀人才,应当:1)强化学历教育网络化转型,主张中高等学历教育向信息安全领域倾斜;2)举办各类信息安全竞赛,发掘社会上的网络安全人才;3)大力支持留学深造。韩国更是举全国之力培养网络安全人才,其BOB计划提供了无上限的资金和资源。
俄罗斯:俄罗斯发布数版《信息安全学说》,指导推进信息安全建设和人才培养工作。信息学是俄罗斯中学阶段的一门核心课程,其内容包括信息技术、网络技术、算法和编程语言,据统计,每年有6万中学生注册参加AP计算机科学考试,为俄罗斯培育了超60万计算机相关技术人才,这其中就包括了大量的世界知名的黑客,如两大著名黑客组织“悠悠荡荡”和“匿名国际”,以及被指控干涉了2016年美国总统大选Evgeny Bogachev。同时俄罗斯在部队系统内大力培养网络安全人才,2015年,国防部设立了IT技术武备学校,用于培养专门的网络部队后备人才。
另外一个值得注意的情况是,目前至少46个国家已经组建网络空间部队,其中美、英、韩、俄、以等国家的部队人数和技术实力领先于各国。这些国家中,网络安全人才的培养也依托于部队和地方机构的协同合作。美国海军、陆军、空军向大学和研究机构拨付大量资金进行网络攻防技术研发,并将空军研究实验室向后备军官和普通大学生开放;韩国国防部与忠清大学在2014年设立专业系,为韩国网军培育网络安全人才;日本2017年预算七千万日元,用于委托美军进行信息系统人才培养;以色列的网络战部队8200部队更是拥有优先在高中生中招收人才的权利。
早在1999年,美国就发布了《国家信息安全战略框架》,特别提到了建立网络安全教育体系,在此后的近二十年中,又提出了强化国家网络安全人才培养的数个战略文件,用极细的粒度规定了网络安全人才体系建设的方方面面和应采取的措施。英、法、德、俄、日、韩、以等网络强国在2010年前后将建设网络人才培养体系写入国家战略,将网络安全建设和网络安全人才储备提升到国家重点工作层面,财政投入也连年增加。据统计,美国用于网络安全建设的总投入已经从2012年的34亿美元提升到2017年的190亿美元,目前还有增加的趋势,欧盟和日韩等国家更是投入了巨额经费进行网络安全建设。相应地,民间科技企业也增加了用于网络安全建设的预算,微软在网络安全建设方面的投入达到了每年10亿美元,以色列企业在网络安全方面的投入更是占到了全世界的13%。
在世界各国的培养体系中,网络安全人才的培养不是由高等教育院校和高技术研究中心的独立完成的任务,高学历教育也无法填补巨大的人才缺口,网络安全教育已经融合到了从幼儿到博士的全教育体系中,包括社区大学和成人教育。美国公民在少儿时期就会接触到网络安全教育相关内容,建立网络安全意识,部分高中开通了计算机类相关课程;在俄罗斯,从小学起即设置信息学为核心课程,培养学生的编程能力和网络技术,大量高中生在毕业就参加了AP计算机考试;英国2013年在小学设置了计算机相关课程,目的是“让孩子从5岁起明白如何在网上保护自身安全”;日韩也注重培养中小学生的网络安全教育,开设了相应的课程。在这些国家,由于早早地培养了青少年对网络安全的兴趣和打开了知识面,大量高中生在毕业时会选取网络安全类相关专业。
高等教育阶段是培养网络安全人才的主要途径,世界各国普遍重视高等学历教育,近年来,多个国家设立了网络安全专业,并根据岗位需求和新的研发方向优化专业设置。美国率先跳出了以计算机理论基础为核心的网络安全课程设置,优化为融合多方向,贴近新需求的学科体系;韩国高丽大学的网络安全课程设置了程序设计、密码学、数据结构、网络攻击、漏洞识别等多知识面的学科体系,培养网络安全人才更贴近实际需求;英国根据工作重点将网络安全人才细分为七类,并依照《信息安全保障专业人员认证》框架,对人员进行全面的培养。
随着新网络技术、新安全理论的出现,网络安全的涵义和技术要点也在不断的进行扩充,它不仅具有理论性,还具有一定的实操性。因此,培养一个合格的网络安全人才不是在学校里照本宣科的修习理论知识,还需要深入到网络安全工作的实践中去。世界各国也很重视丰富网络安全人才工作实践,建立了院校、高技术研究中心、政府部门、部队和民办企业的联动培养模式,为大学生提供网络安全实践平台。美国政府设立了“政府服务奖学金”,鼓励大学生进入政府、科技企业进行岗位实习,尖端科技研发中心也提供了奖学金,鼓励大学生进入研发中心参与高新技术研发工作,另外,部分空军和海军实验中心也向后备军官和大学生开放;英国政府推出了“信息安全保障技术”培训项目,由APM集团负责运营,旨在提供高水平的网络安全人才培训项目;俄罗斯组建了由大学生组成的科技连,负责俄罗斯信息基础设施的安全;日本组建的网络自卫队也为在校大学生设置了实习通道,以此在大学生中招收专业的信息安全人才。各大互联网公司组织了各类信息安全类竞赛,以奖金吸引在校大学生和网络安全人才参加,并从中遴选网络安全人才。
建立完善的人才评价机制和激励制度,是留住网络安全人才必要措施,以美国为首的网络发达国家以此工作作为重点,并积极地从其他国家招纳网络安全人才。英国更是建立了全面细致的网络安全人才认证管理体系。2011年,英国政府通信总部发布了《信息安全保障专业人才认证框架》。在此框架中,根据职责不同,将网络安全人才分为认证人员、审计人员、机构人员、风险咨询人员、计算机安全人员、通信安全人员和攻击渗透人员;根据专业能力和素质,又将每种人员划分了三到四个不同的等级。该框架对网络安全人才实行注册制,并颁发相应的专业认证证书;在美国同样有CISSP认证体系,为考试通过的人颁发认证证书,该证书在500强企业中具有公信力。
目前,我国网络空间安全人才培养方面存在着政策法规不健全、学科建设规划不成熟、产学研结合不紧密、人才评价机制不完善等诸多问题。纵观国外网络强国在网络空间安全人才培养方面的先进经验,本文对我国网络空间安全人才培养提出以下建议:
2016年11月7日,全国人大表决通过了《中国人民共和国网络安全法》,这是我国在网络安全发展上的又一个重要里程碑。但是从另一个角度来看,网络安全专业教育仍未被高度重视,网络安全人才的培养仍不是被关注的重点。目前,我国对于网络安全专业教育的投入仍处于一个较低水平,政府应加大对网络安全专业教育尤其是网络安全专业人才培养的投入,并将财政资源有计划、有目的、有权重地分配到网络安全专业教育的各个领域。在保证充足财政投入的前提下,既要做到投入的计划性,避免财政投入的盲目性,对于网络安全专业教育的投入要做到切实有据;又要做到投入的可控性,避免投入资金的缺失和滥用,形成有效的监管体系。国家应该颁布并实施全国性的网络安全专业教育政策和有关法规,在宏观层面为全国网络安全专业教育工作的开展提供依据和支撑;地方政府应制定适合当地教育情况的网络安全专业教育战略与体系,双向互动,全方位培养网络安全人才。
网络空间安全的竞争,归根到底是人才的竞争。大学生是网络安全人才的重要储备军,相关专业学生的数量、质量和结构直接决定了我国网络安全人才的总体水平。因此,我国必须重视高等院校网络安全专业学科建设和专业设置的重要性。2015年,国务院学位委员会、教育部发布了《关于增设网络空间安全一级学科的通知》,旨在全面提升网络空间安全学科建设水平。2016年,中央网信办发布了《关于加强网络安全学科建设和人才培养的意见》,旨在加强网络安全学院学科专业建设和人才培养。各高等院校在进行网络安全专业教育过程中,应当以政府政策为支撑点和着力点,加强网络安全学科建设和专业设置,合理规划网络安全专业课程。国内已有29个高校设立网络安全一级学科。2017年,中央网信办、教育部共同组织,确定西南电子科技大学、东南大学、武汉大学、四川大学、中国科学技术大学、北京航空航天大学、战略支援部队信息工程大学等7所高校作为首批一流网络安全建设示范项目。在此基础上,加强网络安全学科专业建设,充分发挥其带动和引领作用,开展具有较高水平的网络安全研究,从招生到培养,形成专业化、系统化的人才培养模式,从社会的实际需求与学校的实际情况出发,真正培养出市场所需要的人才。
同时,网络安全专业设置与课程优化是一个系统性工程,并不是简单地调整专业、增设课程就可以达到预期的目标。一方面,网络安全专业属于交叉学科领域,在制定学科范围与培养计划时也应考虑与计算机科学以外的管理学、法学等多学科基础课程相结合,培养复合型的网络安全专业人才;另一方面,专业设置与课程优化必须要有高水平、高质量的师资队伍作为依托。我国应该通过有效的政策引导,培养专业化的网络安全师资队伍,同时积极利用好民间资源和国外资源,聘请优秀的民间人士和外国专家,共同致力于网络安全专业人才教育体系的建设。
网络空间安全是新工科的典型学科。网络安全不仅具有一定的理论性、科学性,而且具有实践性强、高度系统化、工程化的特点。提高网络安全人才的实践操作能力,必须在网络安全人才培养过程中建立健全实践教育模式,高度重视实践教学环节,促进网络安全实验室的建立与规范,搭建网络安全仿真模拟平台,为学生提供充足的实践机会,提升学生知识转化能力特别是应对网络安全突发事件的能力,从而提高网络安全实践化教学水平。同时,应不断完善网络安全专业教育基础设施,推进网络安全专业教育的硬件设备及软件设施的建设,充分利用模拟科学实验室、主题竞赛活动、网络安全演练等创新教育方式,着力培养、构建具有较强实践能力和创新能力的网络安全人才队伍,将我国的网络安全专业教育提升到更高层次。
我国在开展网络安全专业教育的过程中应调动各方力量,在政府部门的引领下,充分发挥高等院校的平台建设作用、科研机构的学术带头作用以及社会企业的支持促进作用等。通过军民融合发挥网络空间安全教育在国防、军事、国家安全等领域的作用。作为承担人才培养的重要基地,高校应注意融合多方力量,包括政府政策引导、社会企业的资金支持以及社会公众的监督,进一步规范系统化、专业化的网络安全专业教育模式,推进网安全学科建设和专业改革;同时应该积极争取社会企业为网络安全专业教育提供资金支持,主要用于网络安全技术的研发及网络安全实验室的建设等;在网络安全专业教育的各个环节加强社会各方的合作,产学研有机结合,形成良性循环,不仅能够充分发挥政府的带头作用,减轻政府和高校的财政负担,还能够激发企业等相关主体的社会活力。
近几年,我国信息安全竞赛逐渐增多,通过这种方式可让安全企业、政府机构发现更多具有天赋的信息安全人才。在诸多信息安全竞赛中,2016年6月由中国信息安全测评中心指导的“信息安全铁人三项赛”最具特色。该项竞赛由国内7家安全企业与国内参赛高校分别组队,采用“企业导师+学生团队”的方式,采用安全产业界的人才培养对接高校和研究机构有潜力的学生团队,积极探索网络空间安全人才培养模式,多种方式发现和培养人才。
美国CAE-CD和CAE-CO两个项目的认证体系可以很好地填补信息安全领域中学院派和工业派间的鸿沟。网络空间安全人才的培养与国家安全战略休戚相关,可谓时不我待。建议有关部门积极促进在网络空间安全基础学科建设方面有积累的一流大学,率先启动ABET工程教育专业认证,以推动网络空间安全学科的发展。值得关注的是,清华大学于2014年启动了ABET工程教育专业认证,2016年8月份已有4个本科专业通过。建议国内已设立网络空间安全一级学科的高校及研究机构,认真学习相关成功经验,积极探索“申请国际专业认证”的方式,从而推动我国网络安全学科之发展。
针对网络空间安全高端人才培养,建议有关部门研究并建立符合网络空间安全自身特色的高端人才评价体系。不可唯SCI、影响因子马首是瞻,因为网络空间安全领域更看重在顶级会议上发表成果。另外,社会上很多具有很强网络空间安全实战技能的工程人员,是工作在第一线的网络安全工作者,也是网络空间安全的真正防御者,将这部分人才进行合理评价,才能真正完善网络空间安全评价体系。对此,沈昌祥院士在不同场合多次表示:“培养一流的网络空间安全人才,需要改革创新,从国家安全战略急需的角度,特事特办。”
网络空间安全一级学科和一流网络空间安全学院试点工程的设立,体现了我国对保护网络空间安全的重视和对培养一流网络安全专业人才的迫切需求。然而,专业人才的培养不是一朝一夕就能完成的,需要建设符合我国国情和市场需求的人才培养体系,并长久坚持。目前我国的专业人才培养体系仍然需要改进,当以世界各国为借鉴,取长补短,从学科建设、多部门联动和人才评价与激励机制方面入手,在培养数量和质量上满足国家需求,同时,也能通过合理的评价和晋升空间留住人才。