闫桂勋,王超
(1.国家信息中心信息与网络安全部;2.中国电子信息产业发展研究院网络安全研究所)
随着信息时代发展,网络空间日益成为继陆、海、空、天之后的“第五空间”,“没有网络安全就没有国家安全”已经成为全世界多数国家的共识。网络空间的竞争归根结底是人才的竞争,人才是网络安全发展的基石,构建完整合理的网络安全人才培养模式意义重大。
近年来,国家对网络安全重视程度不断提升,但是由于国内网络安全人才培养基础薄弱,再加上人才培养本身具有滞后性和跨多个领域的特点,因此,培养出符合国家和社会要求的高质量人才任重道远。本文基于国内外网络安全人才缺口巨大的现实情况,并从国家战略、学历教育、认证评价、实践培训和全民宣传等多个视角阐述国内外网络安全人才培养的现状,提出了加强网络安全人才培养的对策建议。
随着全球数字化进程不断加快,网络安全市场不断发展壮大,带来网络安全岗位需求的大幅增加。根据网络安全公司Cybersecurity Ventures发布的《全球网络安全市场报告》(2021年),2013年至2021年间,全球网络安全空缺职位的数量从100万增长至350万。Cyber Seek统计数据显示,美国网络安全从业人员已经超过105万,但仍有近60万的职位空缺,网络安全工程师、网络安全分析师和网络安全经理是缺口最大的职位。
随着网络安全逐步上升到国家战略层面,我国网络安全产业发展进入快车道,在带动网络安全市场高速发展的同时,也加大了对网络安全人才的需求。数据显示,国内网络安全行业人才平均供求比约为1∶2,存在140万的人才缺口。根据2021年《网络安全产业人才发展报告》白皮书,国内网络安全人才短缺情况突出表现在:缺乏精通网络和应用系统的渗透攻防技术研究的安全研究人才,缺乏具有丰富实战攻防经验的核心技术研发人才,以及缺乏具有行业和政策视野的安全管理人才。加强研究型和应用型网络安全人才培养迫在眉睫。
以美国为首的发达国家在网络安全人才培养上起步较早,构建起完备的人才培养体系。下面从以下几个维度对国外网络安全人才培养措施进行分析。
(1)国家战略。美欧等发达国家和地区将网络人才培养纳入国家战略规划,将网络安全人才队伍建设放到国家重点工作层面。
美国的网络安全人才培养起步早、战略明确,从1995年成立信息安全学术人才中心起,先后发布了多项战略计划,覆盖了学历教育、社会培训、人才发掘引进和培养等多个层次,全方位地建设完善的网络安全人才体系(见表1)。
表1 美国网络安全战略计划相关文件
欧盟在2013年发布《网络安全战略》,要求各成员国在国家层面重视网络安全教育与培训,强调对计算机科学专业学生进行网络安全、网络软件开发以及个人数据保护的培训,对公务员进行网络安全培训;欧盟2019年发布《数字教育行动计划》,提出网络安全教学倡议。
英国发布《政府网络安全战略2022—2030》,提出“培养正确的网络安全技能、知识和文化”,要求“政府吸引并留住具有弹性所需的多元化网络安全劳动力,并不断发展其网络安全人员,以确保其拥有并保留所需的技能”。
2020年8月,澳大利亚内政部发布《2020年网络安全战略》,提出投资16.7亿美元加强澳大利亚网络安全中心(ACSC)和联合网络中心(JCSC)建设,加强网络人才体系建设,制定《网络安全劳动力增长计划》。其中,拨款630万美元支持澳大利亚网络安全中心的教育和培训计划,1490万美元强化学生和老师的网络技能等。
(2)学历教育。美国高校对网络安全的教育不局限于以计算机理论课程为中心,而是以提高学生的专业技能和科研能力为目标,融合计算机网络、网络编程、网络攻防、密码学、安全管理等多方面课程,更贴近于网络安全职业的需求。在培养方式上,政府、高校、军队、研究机构、企业也建立了联合培养机制,政府、美国国家科学基金会、网络安全企业等各方都为大学生设立了专门的网络安全奖学金,鼓励学生进入政府、部队和企业进行岗位实习。
英、日、俄等国家除了在高校加强网络安全专业教育以外,在小学就设立了计算机相关课程,培养学生的能力和兴趣,通过提前培养青少年对网络安全的兴趣,吸引高中生在毕业时选取网络安全相关专业。
(3)认证评价。开展认证评价是网络安全人才队伍建设的重要形式之一,能够为相关人员提供能力或资格的证明。
美国对网络安全从业人员的认证开展较早,包括CISSP、CISA、CISM、CompTIA Security+等顶尖的网络安全认证,覆盖了法律法规、网络防御、渗透测试、应急响应处置、安全管理、安全审计、安全开发等各种类型。围绕支撑对网络安全从业人员的评价工作,美国国家标准与技术研究院(NIST)研究发布了SP800-181《NICE网络安全人才框架》,规定了人才框架结构,对网络安全从业人员角色进行了划分,明确了不同人员应掌握的知识和技能。
英国以《信息安全保障专业人才认证》框架为基础,开展人才认证与管理。通过构建全面的网络安全人才认证管理体系,对网络安全人才实行认证,颁发相应的证书,并按照网络安全从业人员的职责进行分类,包括安全审计、风险咨询、安全架构等多种类型,根据专业技能进一步展开评价,根据人员能力划分多个不同等级。
(4)实践培训。实践培训既可以提升人才技术水平,也能提升各方的协作能力,国外对网络安全人才的工作实践非常重视。一方面,政府、高校、军队、研究机构、企业建立联合培养机制,为高校学生提供网络安全实践机会。美国通过设立“政府服务奖学金”,鼓励高校学生进入政府进行岗位实习,思科等企业以及军队也向学生开放提供实习机会;英国政府和企业合作推出“信息安全保障技术”培训项目,加强对网络安全人才的培训;日本、韩国等国也为网络安全人才的实习和培训提供机会和便利。另一方面,为了提升网络安全从业人员的攻防技能以及合作水平,国外各类组织和企业组织了各类网络安全竞赛。国外竞赛主要由民间组织和企业主办,以攻防实战和技术交流展示为主,获胜者能获得丰厚的现金奖励,比较出名的竞赛包括Pwn2Own、DEFCON、Black Hat等。
(5)全民宣传。美国从2004年开始,由国土安全部牵头,多个部门和组织共同协作,在每年10月举办国家网络安全意识月(National Cybersecurity Awareness Month),提升网络安全关注度,培养企业和公民的网络安全风险意识以及网络使用的责任心,吸引更多年轻人学习网络安全知识和从事相关职业。
欧盟从2011年开始,每年10月,由欧洲网络与信息安全局、欧盟委员会等多家单位共同举办网络安全月(ECSM),通过宣传教育引导企业和公民聚焦网络安全,提升公民网络安全威胁防范意识和能力。首次举办以来,网络安全月对欧盟整体网络安全战略的推动发挥了巨大作用。
以色列自2011年以来,由国家网络局联合政府、学校、企业等举办网络周(Cyber Week)活动,以色列总理多次出席并致辞。网络周举办国际网络安全会议,吸引了来自全球的网络安全专家、企业家、投资者参加,对最新的网络安全威胁、网络安全技术和行业发展趋势展开探讨。
日本在每年2月举办网络安全月活动,引导政府、企业、团体等积极开展网络安全研讨、培训等,并开展一系列知识普及活动。在此期间,日本政府发布一系列防范网络犯罪宣传手册、读本以及网络安全启蒙教育节目,建立多种多样的网络安全意识教育网站,并通过与卡通动漫联动的方式扩大对公众的影响。
国内网络安全人才培养起步虽然较晚,但是在人才培养上也取得了一定的成就。
(1)国家战略。从“十五”计划起,国家对网络安全的重视程度不断提升。从“十五”计划初步提出信息网络安全,到国家“十四五”规划明确要加强网络安全宣传教育和人才培养,再到2022年政府工作报告中明确网络安全的重点发展方向,国家对于网络安全特别是网络安全人才的重视程度不断提升,目标也不断明确,网络安全人才培养成为国家重点工作。
2012年,国务院发布《关于大力推进信息化发展和切实保障信息安全的若干意见》,提出支持信息安全与保密学科师资队伍、专业院系、学科体系、重点实验室建设,为高校的网络安全学科建设提供了政策支持。2014年,中央网络安全与信息化领导小组成立,明确提出把网络安全人才队伍建设作为战略任务。2015年国家设立网络空间安全一级学科,进一步加强网络安全人才学历教育。2016年,中央网信办等六部门联合印发《关于加强网络安全学科建设和人才培养的意见》,要求加快网络安全学科专业和院系建设,创新网络安全人才培养机制,强化网络安全师资队伍建设,进一步明确了网络安全学科建设和人才培养方向。2017年,中央网信办在武汉市启动国家网络安全人才与创新基地创建工作,为网络安全人才、技术和产业融合发展带来重大战略发展机遇。之后发布的《国家网络空间安全战略》以及多部网络安全相关法律法规都将网络安全人才培养作为重要内容之一。
(2)学历教育。大学学历教育是国内网络安全人才培养的主要途径。武汉大学于2001年设立了我国第一个信息安全专业,后续其它工科及军事院校也陆续培养信息对抗等相关专业人才,直到2015年,网络安全才作为正式的专业学科进入校园。截至2021年,开设网络空间安全专业的一级硕士点院校有73所,有近200所职业类院校开设相关专业,为国家培养了大量的研究型、应用型以及实用型人才。目前,国内网络安全人才的学历比例基本稳定,本科及以上网络安全人才的占比在82%左右。
相比国外,国内网络空间安全学历教育起步晚,仅有部分高等院校和职业院校设立网络安全相关专业,课程体系、培养方式尚不完善,理论学习和产业脱节的情况还比较普遍,并且缺乏发现“专才”“偏才”的机制,对国家网络安全人才需求的支撑能力还需提升。
(3)认证评价。国内多家网络安全主管单位已经构建网络安全从业人员认证体系,其中以中国信息安全测评中心的注册信息安全专业人员(CISP)系列认证、中国网络安全审查技术与认证中心的信息安全保障人员认证(CISAW)最具代表性。CISP系列认证根据人员职能分工分为三类,包括注册信息安全工程师(CISE)、注册信息安全管理人员(CISO)和注册信息安全审核员(CISA);CISAW以国际标准ISO/IEC 17024《人员认证机构通用要求》为基础,根据技术方向、岗位和应用领域划分为安全集成、安全软件、应急服务、渗透测试、安全运维等多个认证方向。
为了做好网络安全人才评价工作,各单位也发布了一些标准规范作为指引。例如,工业和信息化部在2022年初正式发布《网络信息安全产业人才岗位能力要求》,用于指导相关单位开展网络安全人才培养、人才评价、人才招聘、人才引进等工作。国家标准《网络安全从业人员能力基本要求》于2022年初公开征求意见,该标准参考了我国人社部职业分类大典、网络安全实际就业情况、信安标委研究项目《网络安全从业人员专业能力评价指南》和《网络空间安全人员岗位分类与能力要求》以及美国NICE框架等内容,适用于对网络安全从业人员的识别、培养和管理。
目前,国内网络安全人才分类和能力要求的标准规范,一是还需要时间在网络安全人才培养、招聘、引进和管理等方面形成规范,同时需要补充对人才能力评价的标准。
(4)实践培训。根据2021年《网络安全产业人才发展报告》,积极参与一线工作实习、参加社会类培训、参加网络安全竞赛及实战演练等方式,已经成为网络安全从业人员的主要选择。国内网络安全的实习机会主要由企业提供,企业和学校合作联合培养或者由来自网络安全知名企业的优秀专家作为企业导师,负责企业实践及创新活动的指导。网络安全培训主要由从业人员所在单位、企业或者培训机构提供,培训内容主要以认证考试和针对性的技术培训为主。2021年,由中央网信办指导,武汉市人民政府、中国互联网发展基金会、中国信息安全认证中心、中国信息安全测评中心、国家计算机网络应急技术处理协调中心等多单位发起的网络安全万人培训资助计划启动,计划在2025年前培养1万名以上的网络安全人才。
在赛事上,国内的网络安全赛事分为综合类和专题类两类:综合类的主要是各类CTF赛事(Capture The Flag),包括A&D(Attack & Defense)、真实网络攻防等赛事;专题类的如取证、破解等赛事,知名的赛事有XCTF、强网杯网络安全挑战赛等。国内也有许多单位以真实网络和应用场景开展网络攻防实践,比如公安部牵头组织的“护网行动”攻防演练、电力行业的网络攻防实战演习等。
国内的网络安全培训虽然具备一定规模,但是质量有待提升。专业培训机构数量不足,多数机构的人员培训规模小,培训课程过于僵化零散不成体系且缺乏实践,教学水平难以保障,人才产出数量少、质量低,单位对其培训结果认可度低。
(5)全民宣传。2015年新的国家安全法规定了包含网络安全在内11个领域的国家安全,并明确“每年4月15日为全民国家安全教育日”,网络安全作为其中一个宣传方向,各单位会组织法律政策解读、安全知识宣传等活动开展宣传教育。
自2014年以来,中央网信办、教育部等多个部门连续9年举办网络安全宣传周活动,加强全民宣传教育。网络安全宣传周加强了网络安全法律法规的普及宣传,展示了最新政策和发展趋势,提升了公民应对常见网络安全威胁的能力。
虽然近几年国家加大了对网络安全的宣传力度,但是和国外相比,在宣传的力度和宣传的范围上还有所不足,需要加大宣传力度、拓展网络安全宣传的路径。
国内网络安全人才培养起步较晚,在政府、高校、企业等多方的共同努力下,网络安全人才匮乏状况得到明显的改善,但由于人才培养本身具有滞后性,再加上基础薄弱、数字化转型飞速发展,还存在人才数量缺口较大、能力素质不高、结构不尽合理等问题,建议从以下几个方面加强网络安全人才培养,构建产学研融合发展的网络安全人才培养机制。
要加强对网络安全战略创新型、研究型、实战型人才等多层级人才的教育,优化人才教育结构。一是加强一流网络安全学院建设。高校联合国内研究机构、企事业单位开展网络空间安全学科体系建设工作;强化一流网络安全教师队伍建设,吸引高精尖团队和优秀教师。建立人才分级培养体系,本科阶段培养实战型人才,硕士阶段培养实战型与研究型人才,博士阶段培养战略与创新型人才。二是加强产教融合机制建设。高校吸纳优势企业、科研院所等多方办学,开发实践性强的网络安全实训课程;建立企业讲师制,鼓励行业专家到高校任教。三是加强网络安全人才职业教育。着力于加强网络安全实战型人才培养,高校应联合网络安全优势企业以产业学院等方式共建网络安全相关专业,积极推进1+X证书制度;网络安全高等职业院校毕业的学生可优先到相关的网络安全企业实习、就业,畅通高职应用型人才培养、输出路径。四是普及网络安全宣传教育。将宣传教育纳入从幼儿到青少年阶段的学校教育中,从小培养学生的能力和兴趣,为网络安全人才的培养提供良好的土壤。
社会培训作为人才培养和能力提升的重要途径,需要进一步扩大规模、规范培训流程。一是加强培训机构管理,提升培训质量。加强对网络安全社会培训机构的监督管理,推动培训机构的市场化、专业化和规范化运营,鼓励和支持地方引进优质社会教育培训机构开设培训点;机构联合高校、科研院所和企业开发拥有自主知识产权的培训课程体系,建设培训师资库,围绕培训需求,开展教学能力、教材开发能力等专项培训;依托自主知识产权课程体系,授权培训机构在主管部门指导下开展行业网络安全岗位能力培训、执业资格培训和认定等工作。二是加强对网络安全社会培训的支持。鼓励并支持优质的网络安全培训机构面向社会人员和高校学生进行培训;鼓励并支持社会人员和高校学生参与各类网络安全培训;联合专业培训机构和企业,针对目前学历教育理论学习和产业脱节的情况,开展知识普及、技术能力认证和提升等方面的培训。
破除人才流动的障碍,改变人才考核和评价的现状,需要建设完善的人才考核评价体系。一是健全网络安全人才评价体系。结合国内网络安全人才需求,合理划分网络安全岗位类型,形成岗位能力画像;研究网络安全人才评价模型,形成具有可操作性的评价方法,以实际能力为衡量标准,开发自动化与专家干预相结合的网络安全人才评价系统;研究行业技能认证体系,开展网络安全从业人员岗位与能力认证等方面的标准研究与应用。二是依托网络安全人才评价体系,加强人才引进。鼓励从国家层面、地方层面围绕发展需求,重点引进培养一批支撑企业创新发展的高端管理人才和高端技能人才;创新网络安全人才发现机制,将具有网络安全专业知识技能的院士专家、企业高级专家、高校优秀教师等纳入国家网络安全顶尖专家库;建立以竞赛为主的特殊人才发现和追踪机制,及时追踪国内外各类网络安全能力竞赛,将参与竞赛的高水平人才纳入网络安全特殊人才国家储备库。