网络安全人才标准化研究

王惠莅 王秉政 杨 杰

1(中国电子技术标准化研究院 北京 100007) 2(重庆海关技术中心 重庆 400025)

人是构成生产力的基本要素之一，是社会发展的内在动力基础.同样，在网络安全方面，人的能力很大程度上决定了国家网络安全的发展水平，网络空间的竞争归根结底是人才竞争.建设和维护一支高水平的、有竞争力的网络安全人才队伍是维护我国网络安全乃至国家安全的关键所在.美国、英国等国家也高度重视网络安全人才的培养，制定和实施了网络安全人才培养战略，并发布了相应的标准.美国国土安全部于2011年发布了《网络安全人才框架》V1.0；2014年发布了V2.0版本，后与NIST合作进一步完善形成NIST SP800-181[1]，并于2017年发布第1版；2020年发布了第1版修订[2].在第1版中，给出了网络安全从业人员框架，并分成了7大类、33个专业领域和52个角色，在第1版修订中进一步完善了构建网络安全人才框架的方法论.英国政府通信总部(GCHQ)主要负责网络安全人才职业化、培训以及教育等方面的工作；2011年3月，GCHQ下属的英国国家信息安全保障技术管理局(CESG)发布了《信息安全保障专业人员认证》框架，该框架规定了政府公共部门及其合同厂商的信息保障专业人员的职责和技术能力要求；2016年10月发布了该框架的V5.3版本[3]，提出了5类的网络安全角色、9类的安全技能.而我国目前尚未有关于网络安全从业人员的分类标准.本文主要分析了美国、英国和中国的网络安全人才分类和能力要求相关标准，并提出我国网络安全人才标准化工作建议.

图1 NICE框架组件及关系图

1 美国SP 800-181

1.1 发布背景

美国把网络安全人才视为重要的战略资源，把网络安全人才队伍建设作为网络安全战略中的优先要务[4].自2008年发布《国家网络安全综合计划(CNCI)》[5]后，美国发布多份总统令、倡议、战略、计划、行政令、法案等，持续推进美国网络安全人才队伍建设.其中，网络空间安全人才教育计划(NICE)[6]是CNCI的进一步落实，实施范围从原计划的“仅限联邦政府”扩大到了整个国家，教育培训对象从公职人员扩大到了全社会所有网络安全专业人员、储备人员和普通民众.NICE中明确了主要任务之一就是制定美国的网络安全人才框架标准.2011年9月，美国在NICE战略计划下，公开发布了《网络安全人才框架(草案)》；2014年5月，该框架发布了2.0版本；2017年8月7日NIST正式公布了SP800-181《NICE网络安全人才框架》.

1.2 构建网络安全人才框架的方法论

NICE框架由类别、专业领域、工作角色、知识、技能、能力和任务等组件构成，框架组件的关系如图1所示.类别提供了框架的总体组织结构，每项类别包含多个网络安全工作分组，即多个专业领域.工作角色是网络安全和相关工作中最详细的组合，包括知识、技能和能力.知识是直接应用于功能表现的一组信息，技能通常被定义为执行可观察到的学习型心理行为的能力.能力是指可观察行为或导致可观察到产品行为的能力.任务是一项具体定义的工作，与其他确定的任务相结合，组成了特定专业领域或工作角色的工作.

1.3 网络安全人才分类

框架将网络安全人才分为安全合规、运行维护、监督治理、防护防御、研究分析、采集加工和调查取证共7个大类别，同时将7大类人才根据工作内容不同分为了33个专业领域、52个角色，并给出了每个角色的具体描述和能力要求.美国联邦政府在网络安全岗位设置时也参考了此框架.表1给出了网络安全人才框架的7个大类.

表1 网络安全人才分类

1.4 构建网络安全人才框架方法论的演变

随着NICE计划的更新[7]，2020年11月16日NIST发布了框架第1版修订，为了突出框架的灵活性和模块化的特点，对原版本进行了简化，删除了类别(例如安全供应、监督和管理、保护和防御、分析等)和专业领域(例如事件响应、威胁分析、网络安全管理等).新版框架采用了回归基本的方法，将重点放在劳动力框架的模块构建上，提出了积木式构建模块的方法，如图2所示.新版框架为相关组织内部和各组织间协同使用提供了一种通用语言，这种灵活的方法还允许组织根据其独特的操作环境实现定制化的框架.

图2 网络安全人才框架积木式构建模块法

新版框架描述了任务、知识和技能的几种用途，包括在创建工作角色时如何应用.原版框架中的工作角色仍然有效，且将工作角色与知识、技能相关联.相对而言，新版框架将知识和技能与各种任务进行关联，任务是指一项旨在实现组织机构目标的活动，知识指记忆中可检索的概念集合，技能指执行可观察行动的能力.其中，完成一项任务可能需要多项知识和技能，一项知识或技能可用于完成多项不同的任务.

网络安全人才框架为组织机构提供了一种通过将知识和技能陈述与个人或群体相关联来描述学员的方法.通过运用知识和技能，学员可以完成任务来实现组织机构目标.通过描述工作和学员，网络安全人才框架为组织机构提供了一种通用的语言来描述网络安全工作和人才.网络安全人才框架一部分描述了组织机构工作环境(任务)，另一部分描述了学员环境(知识和技能).最后，网络安全人才框架的积木式构建模块法使组织机构得以将2个环境联系在一起.此外，网络安全人才框架还提供了一种机制，可以使用相同的构建模块在对等级别、部门级别、州级别、国家级别或国际级别的组织机构之间进行沟通交流.沟通交流可以推动针对共同挑战制定的创新解决方案，降低新组织机构和个人的进入壁垒，并促进人才流动.

1.5 框架的使用

原版框架为组织提供了一个共同一致的应用词典，对网络安全工作进行分类和描述,任何网络安全工作或职位都可以通过识别框架中1个或多个组件进行对应描述，以帮助组织运营者确定职位说明、资格和培训要求、制定职业路径等.当前和以后将从事网络安全工作的人员可以对比其中的角色和知识、技能和能力要求，以对自己进行准确定位或者参加提升自身能力的培训；网络安全培训机构可依据框架开发相关课程，开展知识技能培训等.

在新版框架中，不仅仅可以延续老版的使用方法，同时提升了框架的灵活性.

首先，框架不仅提供了一套通用的构建模块，而且，框架提供了可以定制化实现特定需求的方法.组织可以使用已有的部分或者全部的任务、知识和技能，也可以使用框架提供的任务、知识和技能描述方式，开发新的任务、知识和技能，以便符合本身独特的要求.但是，在开发新的任务、知识和技能时不能修改已有的相关描述.

其次，框架提供了为组织机构创建能力指标评估人员的机制.此外，能力指标使教育和培训提供者能够通过开发学习经验来帮助学员发展、锻炼能力，从而响应雇主或部门需求.能力指标由名称、能力描述、评估方法以及一组相关的任务-知识-技能陈述组成.对能力的评估可以在招聘时通过岗位进行，通过岗位职责提出能力指标，具备能力指标来完成工作任务.能力指标还可以通过证书的方式对人员进行评估.取得某项证书就意味着符合某些能力指标要求，具备相应的知识和技能.可使用现有的知识和技能来进行能力评估，也可以新增或者删减某些知识和技能来进行某些能力评估.

最后，新版框架中仍然提到了工作角色，工作角色与模块构建的关系如图3所示.工作角色是描述某人负责一系列工作的一种方式.工作角色由构成待完成工作的任务组成；任务包括代表学员执行这些任务的潜力的相关知识和技能陈述.一个工作角色可能对应多个工作岗位，多个工作角色也可能对应多个工作岗位.可以使用老版的工作角色，也可以根据需要开发新的工作角色，同时，在实际工作中，还可以通过工作角色或者能力指标来创建工作团队.

图3 工作角色与模块构建的关系

2 英国《网络信息安全保障专业人员认证框架》

2.1 发布背景

2011年，英国发布了《网络安全国家战略》[8]，强调“加强网络安全技能与教育，确保政府和行业提高网络安全领域需要的技能和专业知识”，并提出了“通过建立认证培训方案，提升从事信息保障和网络安全专业人员的技能水平”等具体要求[9].2011年3月，英国政府通信总部GCHQ下属的英国国家信息安全保障技术管理局(CESG)发布了《信息安全保障专业人员认证》框架，成为英国对网络安全人才认证和管理的重要依据.2016年发布的第5.3版名称改为《网络空间/信息安全保障专业人员认证》框架.

2.2 框架构成

框架作为主要应用于人员认证的标准，其实用性较强，在V5.3中将人分成了6大类：认可人员、网络空间安全/信息保障审计人员、网络空间安全/信息保障架构人员、安全和信息风险咨询人员、IT安全人员、通信安全人员.每类人员分为3个等级：初级、中级和高级.在对每类人员描述时，首先描述了该类角色的作用及职责，接下来分别描述初级、中级和高级人员的主要任务和应完成的活动，最后，给出了该类角色初级、中级和高级人员应具备的技能.框架如图4所示.

在对每类角色进行分级时，其初级、中级和高级的主要任务和应完成的活动分别对应英国2010年就已经发布的《信息时代技能框架》(skills framework for the information age, SFIA)的不同级别[10]，SFIA描述了在信息和通信技术、数字化转型和软件工程方面的专业人员所需的技能和能力.在SFIA中，根据人员的自主性、影响力、复杂性、知识和业务技能对人员进行分级，由低到高分为了7级.

图4 信息安全保障专业人员认证框架

对于每类角色的作用、职责及每个级别应具备的技能，则使用信息安全专业人员协会(Institute of Information Security Professionals, IISP)定义的技能[11]，在框架中不再定义新的技能.IISP则包括了6方面的技能：治理、策略和标准、法律法规环境、信息保障方法论、调查、审计和重审，每方面的技能又对需具备的知识提出了要求，并且每方面的技能又分为了4级.因此，对于每类角色的不同级别又对应了IISP中不同级别的技能要求.

2.3 人员分类

英国网络空间/信息安全保障专业人员分类及人员描述如表2所示:

表2 人员分类及描述

3 中 国

目前，在我国国家标准中尚无网络安全人才分类标准.在职业技能方面，由人力资源和社会保障部(简称人社部)牵头编制并维护《中华人民共和国职业分类大典》[12]，且组织开发国家职业技能标准.我国也已发布GB/T 6565—2015《职业分类与代码》[13].截至2021年2月，人社部发布的直接涉及网络安全相关的职业包括：信息安全工程技术人员(2-02-10-07)、网络与信息安全管理员[14](4-04-04-02)、信息安全测试员(4-04-04-04)、电子数据取证分析师(4-04-05-08)和密码技术应用员(4-07-05-06)[15].其中，信息安全工程技术人员、网络与信息安全管理人员相关国家职业技能标准已制定并发布，信息安全测试员等国家职业技能标准正在研制中.另外，在网络安全教育培训方面，国内各相关部门从实际工作需求与职责出发，都对网络安全专业人员能力和资质提出了不同要求，各培训机构根据市场需求开发相应的培训课程[16].

总的来看，我国目前缺乏系统的人员分类和能力要求的标准规范，这使得我国在网络安全岗位设置、人才招募、培训及考核等方面未能形成规范化实施环境.2017年，全国信息安全标准化技术委员会成功立项《网络空间安全人员岗位分类与能力要求》《网络安全从业人员专业能力评价指南》2项国家标准研究项目并形成标准草案，为后续网络安全人才相关标准的研制奠定了良好基础.

4 美国、英国、中国网络安全从业人员标准对比

综合美英等国和我国网络安全人才标准现状，对标准适用范围、标准化人员分类、人员分级及政府部门应用等方面进行对比分析.对比情况如表3所示.

表3 美国、英国、中国网络安全从业人员标准对比

5 网络安全人才标准化启示

目前，我国在网络安全人才发展方面作出一系列重要部署，推出多项有力措施，网络安全人才建设取得了重要进展.但目前，网络安全人才标准化工作尚存在缺口，尤其是网络安全从业人员的分类和培训、认证等标准的缺失使得我国网络安全从业人员的管理存在一定问题，同保障国家网络安全、推进网络强国建设的要求还存在一定差距，参考分析美国网络安全人才队伍建设实施情况，对我国网络安全人才标准化方面启示如下：

1) 尽快启动网络安全从业人员分类和能力要求等基础标准的研制.研究制定适应我国国情的《网络安全从业人员分类和能力要求》等国家标准，具体化网络安全人才概念，明确适合我国的网络安全从业人员分类以及基本要求.

2) 网络安全从业人员分类的适用范围应普遍适应于我国党政机关、企业、社会团体等从事网络安全工作的相关人员，应具有基础性和普适性，同时，从业人员的分类可考虑模块化的构建方法，以便于工作角色的后续拓展.

3) 网络安全从业人员的分类可考虑从覆盖信息系统生命周期的方式.分类后可首先考虑提出每类人员的基本要求，从每类工作角色应完成的工作任务着手，从知识和技能等方面提出最小要求.

4) 对网络安全从业人员的分级及能力评价，可考虑制定《网络安全从业人员能力评估》等标准，同时，要与我国现在已开展的网络安全相关人员的级别相互映射.

5) 从国家层面依据网络安全从业人员标准规划和管理网络安全人才队伍，为国家分析掌握网安人才整体状况提供定量评估基础，指导人才的职业规划和发展以及培训教育等工作，为企业人才招录提供指导.

6) 进一步研究其余标准化需求.目前，美国和英国制定的网络安全人才标准都是通用性的标准，对于目前特殊行业或者领域的需求虽然覆盖，但并没有细化，例如数据安全人员、个人信息保护人员等.因此，我国需要从人才分类分级管理、人才能力评价与资质认定、培训机构管理、新技术从业人员能力要求等各方面，系统规划网络安全人才能力标准研制工作，以确保标准化布局的全面性和完整性.

6 结 语

人才是网络安全建设的核心资源，人才的数量、质量、结构和作用的发挥，直接关系到网络安全建设水平的高低和保障能力的强弱.本文主要研究分析了美国、英国和中国的网络安全人才主要标准进展和作用，并在此基础上得出对我国网络安全人才标准化工作的启示，以供我国网络安全人才标准化工作参考.