美国网络数据安全人才队伍建设对我国交通运输行业的启示

康厚荣 董翔 魏彬 刘宏宇 彭鸿

一、我国交通行业网络数据安全面临的严峻挑战

（一）交通行业网络数据安全人才体系面临挑战

交通行业已有信息化人员队伍严重不足，网络数据安全岗位鲜有设置，网络数据安全专业技能与知识储备匮乏。《中国交通信息化发展报告（2020）》显示，2020年末，被调查的部分省厅直系统的信息化技术人员总数（含兼职）3728人，信息化职能部门主持开展的技术培训总数4448人次；《2021中国统计年鉴》显示，2020年末，上述被调查省份的公路水路从业人员为215.4万人；可见，信息化技术人员占比从业人员比例不足千分之二，信息化技术培训人均仅1.2人次。考虑到网络数据安全基本由信息化技术人员兼职，网络数据安全专职人员数量极少，主要依靠外部安全厂商提供安全服务与产品，缺乏真正能研判事件、验证漏洞的自身信息化技术人员。

交通行业专精于网络数据安全方向且融合产学研用各方优势资源的数字交通研究院、研发中心、高职院校基本为空白。一方面，各类数字交通研究院组织，以及交通运输行业研发中心、重点实验室等研究型组织，以数字交通前沿技术开展跟踪与应用研究为主。仅有的交通运输部2017年认定的交通运输网络安全技术行业研发中心和2020年认定的网络安全攻防训练基地，各自分头在推进安全技术推广、人才攻防实训，尚未真正凝聚资源、形成合力。另一方面，全国1489所高职院校仅不到10%开设“网络数据安全专业”；全国56所双高院校中，无一家具有交通行业背景的职业院校开设“网络数据安全专业”，网络数据安全人才实训基地更是完全空白。

（二）交通行业网络数据安全的管理与技术体系挑战

面对重保、检查、合规压力越来越大，交通行业安全管理和检查评估方式已严重落后。据Splunk发布的《2022年全球网络安全态势报告》显示，全球1200多名安全领导受访者中，28%受访者表示“团队花太多时间处理安全紧急情况”，26%受访者表示“团队熟练安全人员过少”，26%受访者表示“团队疲于应对管理安全、安全检查”。交通行业面临重保（两会、国庆等），检查（公安、网信、交通运输部等分头组织的攻防演练、技术检测、扫雷行动、数据泄露检查等），合规（并网检测、等保测评、商密测评、数据合规评估等）等压力。

国家和交通运输部既有的网络数据安全政策制度、标准规范，在范围、对象和实践思路上不完全适用于各省本地工作，不能完全照搬复用，亟需研究出台各省本地管理制度、实施细则和标准规范。《中华人民共和国网络安全法（2016年11月）》《中华人民共和国数据安全法（2021年6月）》《中华人民共和国个人信息保护法（2021年8月）》和国家互联网信息办公室即将出台的《网络数据安全管理条例》（后称“三法一条例”），是行业数据安全工作的重要宏观指导和合规驱动力。交通运输部出台的《交通运输部网络安全管理办法（2021年1月）》《交通运输政务数据共享管理办法（2021年4月）》是交通行业网络数据安全工作的具體细化要求。同时，经统计，网络安全领域的国家标准超50个、交通行业标准超15个，数据安全领域的国家标准超10个、交通行业标准超2个，商用密码应用安全领域的国家标准超40个、交通行业标准超2个。“上面千条线、下面一根针”，“三法一条例”和上位标准规范，无法直接指导交通行业各省本地工作落地。

二、美国网络数据安全人才队伍建设关键举措

作为互联网的发源地和网络实力最强的国家，美国深谙网络数据安全人才的重要性，把网络数据安全人才队伍定位为保护美国国土安全和经济繁荣、确保美国竞争优势的基础。

（一）人才体系：美国网络安全卓越中心计划和人才框架

美国国家安全局和国土安全部联合主导的网络安全卓越中心计划实施已有二十年时间，主要为高校、学术机构提供关于网络安全课程和师资的指导，协助高校、学术机构改进网络安全基础课程，为高校、学术机构提供政府单位资源、在全美范围内加强网络安全教育，建立高校、学术机构、企业、政府单位多场景互动教学模式，建立网络安全产、学、研、用培养机制等。

同时，2011年9月，美国国土安全部和人力资源办公室发布《NICE网络数据安全人才队伍框架（草案）》，明确了7大门类、31个网络安全特定专业领域不同工作角色所需履行的任务职责及胜任该职责所需具备的知识、技能和能力。美国人事管理办公室2015年2月评估结果显示，美国联邦政府内的网络安全工作涉及100 多个联邦岗位序列。系统梳理不同专业领域网络安全工作的角色分类，明确各角色的工作职责和专业技术能力要求，有助于确立客观的网络数据安全人才评价基准。2017年8月，美国商务部国家标准与技术研究院发布最新版本的《NICE 网络数据安全人才队伍框架》，界定了网络安全角色及工作，为不同行业领域网络数据安全人才队伍实施标准化培养和管理奠定了根基，目前已贯穿于美国联邦政府网络数据安全人才需求规划、能力评估、职业培训等核心人才培养环节。

（二）管理与技术体系：美国联邦政府网络安全公校企良性互动

美国国防部在2010年就开始推动“信息技术交流项目”，旨在以政府、企业短期人才交流的方式促进信息技术人员分享技术实践经验；在2014年设立了“国防部长企业研究员计划”，派遣军官赴科技企业学习工作，以期提升军事技术人才的网络战实战能力。2015年，美国前总统奥巴马在国情咨文中进一步提出：2015年网络安全改革的目标包括加强私有企业与政府之间的信息共享。伴随着美国对网络数据安全人才的高度重视，所开展的各类项目除了政府部门参与外，都有高校、学术机构、企业加入，如美国国家基金会、国家安全局、国土安全部所开展的各类伙伴计划，都将企业、学术机构、高校等各类组织纳入计划。

三、我国交通行业加强网络数据安全建设的启示

参考美国网络数据安全建设的人才队伍关键举措，整合产、学、研、用各方优势资源，以“做好交通行业网络数据安全服务”为目标，以人才体系研究与培养为基础和核心，以管理体系研究与应用（建章立制）为保障，以关键技术研究与推广应用为关键，打造交通行业网络数据安全的人才、管理、技术“三大体系”

（一）人才体系：交通行业网络数据安全人才体系研究与实训

做好网络数据安全工作，人才体系研究与培养为基础和核心。以理实融合、技能为主打造“真实项目、真实设备、真实岗位、真实场景、真实环境”网络数据安全实训基地，组织开展交通行业网络数据安全人才实训，参加国内外交通行业职业技术大赛和网络数据安全大赛等，使人才队伍真正掌握网络数据安全技能，提升人才队伍发现问题、分析问题、解决问题的网络数据安全基本功，为交通行业网络数据安全工作夯实人才基础。

（二）管理与技术体系：交通行业网络数据安全管理与技术体系研究与推广应用

做好网络数据安全工作，管理体系研究与应用（建章立制）是保障。结合网络数据安全较成熟的国家法律法规和行业管理制度、标准规范，加快面向交通行业落地应用；依据制度标准，为交通行业提供“事前、事中、事后”全天候、全场景、全链路的管理评估服务，切实验证网络数据安全建设合规性和防护体系完整性。例如面向交通行业提供等保备案咨询、网络安全体系规划、网络安全体系设计、数据安全体系规划、数据安全体系设计、网络与数据安全应急预案设计等“事前”咨询服务，提供资产梳理、漏洞扫描、基线核查、渗透测试等“事中”基础评估服务，安全差距评估、安全风险评估、系统上线安全检测、数据安全风险评估、数据安全能力成熟度评估等“事后”风险评估服务。

做好网络数据安全工作，加强技术防护与推广应用是关键。“研究与推广应用”并行，加强公校企良性互动，结合网络数据安全较成熟的技术，加快面向交通行业的推广应用、成果转化；结合网络数据安全正研究攻关的卡脖子关键技术，做好技术攻关储备、逐步推广。

作者单位：康厚荣、董翔 贵州省交通运输厅

魏彬、刘宏宇 深信服科技股份有限公司

彭鸿 贵州交通职业技术学院