文|位华
一、网络安全人才是经济发展和国家安全重要资源
人类社会经历了农业革命、工业革命,正在经历信息革命。数字化、网络化、智能化快速推进,经济社会运行与网络空间深度融合,从根本上改变了人们生产生活方式,重塑了社会发展的新格局。网信代表着新的生产力、新的发展方向。新一轮产业升级和生产力飞跃过程中,人才作为第一位的资源将发挥关键作用。
从全球范围来看,网络安全带来的风险正变得日益突出,并不断向政治、经济、文化、社会、国防等领域传导渗透。网络安全对国家安全牵一发而动全身,已成为国家安全体系的重要组成部分。网络空间的竞争,归根结底是人才竞争。信息化发达国家无不把网络安全人才视为重要资产,大力加强网络安全人才队伍的建设,满足自身发展要求和加强网络空间国际竞争力。建设网络强国需要聚天下英才而用之,要有世界水平的科学家、网络科技领军人才、卓越工程师、高水平创新团队提供智力支持。在这个关键时期,能否充分认识网络安全人才和人才工作的重要性并付诸行动,关系着我们能否抓住信息化发展历史机遇,充分发挥中国人民在网络空间的聪明才智,实现网络强国战略的宏伟目标,推动实现中华民族伟大复兴中国梦。
二、国外网络安全人才队伍建设
随着信息技术快速发展,各国普遍将网络安全人才建设作为维护国家网络空间安全的核心需求。美国、俄罗斯、英国、德国、以色列、澳大利亚、日本、韩国等在网络安全投入上排名全球前列的国家都高度重视网络安全人才发展,把网络安全人才队伍建设列为国家的优先要务。
(一)世界网络强国高度重视网络安全人才建设
作为互联网的发源地和网络实力最强的国家,美国深谙网络安全人才的极端重要性,把公共领域和私营领域的网络安全人才队伍定位为保护美国国土安全和经济繁荣、确保美国竞争优势的基础。2010年美国就启动了“国家网络安全教育(NICE)”计划,要求从专业人才、储备人才以及社会公众三个层面提升整个国家的网络安全能力水平。特朗普总统执政以后奉行“美国优先”的施政纲领,国家安全战略重新转向大国竞争,人才也成为其霸权护持的一项重要战略举措。为了维持美国在网络空间的绝对优势,特朗普政府提出了新的人才建设总目标,要在激烈竞争的网络空间“建设更有优势的网络安全人才队伍”,以避免敌对国家通过网络安全人才发展“威胁美国的长期竞争力”。
在网络空间“一超多强”力量格局下,其他信息化发达国家也普遍将人才建设作为网络安全战略中的重要组成部分。英国《国家网络安全战略(2016-2021年)》要求政府将立即采取行动,解决关键的网络安全专业人士供需之间不断扩大的缺口,为该领域的教育和培训注入新的活力。澳大利亚《网络安全战略》提出要建设国家网络安全人员能力,指出人才是澳大利亚实现其网络安全国家战略各项目标的基础。俄罗斯《国家信息安全学说》强调了信息安全保障人员欠缺的问题,要求发挥信息安全保障和应用信息技术领域人员的潜力。德国网络安全战略把联邦政府网络安全人事发展作为十大战略目标措施之一,要求进一步加强人员的培训,提升部门间人员合作。日本也制定了网络安全人才培养计划,设立“网络安全与信息化审议官”一职以统管人才培养工作,要求以东京奥运会为契机大力培养网络安全专家。
(二)国外网络安全人才建设的政策举措和启示
以美国为代表的发达国家在网络安全人才建设方面起步较早,在网络安全这一非传统领域培养专业人才进行了很多探索。从借鉴先行者经验的角度,有很多做法值得我们参考。首先美国对网络安全人才问题的重要性和紧迫性认识比较深刻,促使国会和联邦政府持续推出各种立法和行政手段进行应对。比如FISMA法案明确联邦政府部门负责人要对本部门的网络安全负总责,对安全岗位人员必须进行培训。美国由国家标准与技术研究院(NIST)牵头的国家网络安全教育(NICE)计划已经实施了十年,持续协调政产学各方面共同建设网络安全教育的生态网络。国家安全局(NSA)和国土安全部(DHS)主导的网络安全卓越学术中心(CAE)计划实施已有二十年时间,迄今已对300多所高校的网络防御、网络行动教学和研究能力进行了认定。即便如此,美国的人才危机意识依然很强,认为自己的人才缺口还在逐年增大。美国统计的网络安全岗位人才缺口2017年约为30万,到2020年已经超过47万。为此,美国政府责任署(GAO)已经连续二十年把网络安全人才问题列为联邦政府的一项高风险领域问题,要求未来还要进一步加大人才工作力度。
其次美国在人才建设方面秉承标准化思路,对各种分工的网络安全人员都有明确的教育培训、考核和管理的规范。比如美国标准与技术研究院于2017年发布了SP800-181《国家网络安全人力框架》,对各类网络安全角色对应的任务,应该具备的知识、技能和能力都进行了给出了相应的描述。国防部所有承担信息保障职责的人员都需要根据国防部8570号令的要求进行培训和认证,六个月内拿不到资质的人员将无法承担相关岗位的工作。美国网络司令部最精锐的网络行动部队(CMF)更是制定了严格的网络安全培训与认证标准,对队伍进行训练并保持其战备状态。这些标准的背后是通过美国防务领域顶级的技术水平和深厚的网络安全产业基础来维系的,体现出的是美国对全频谱网络安全人才专业能力的洞察。各类人才标准互相关联和映射,体系性比较强,而且能够及时进行动态更新。通过标准化的方法,可以使高质量的人才培养模式得到复制和扩张,实现人才队伍的专业化和规模化发展。
三是注重保障重点领域的人才需求,美国在军队、政府部门制定了很多吸引人才、培养人才和留住人才的办法,启用了非常规手段优先解决重点要害部门的网安人才紧缺问题。例如国防部、国家科学基金会(NSF)都针对高校设立了多项奖学金,吸引优秀的在校生攻读网络安全相关专业,鼓励其毕业后进入军队或政府部门工作。其中国防部的网络安全奖学金计划(CySP,原名信息保障奖学金计划IASP)从 2001年开始实施,截至目前已经提供了9200万美元的奖学金和教育资助经费。此外,网络安全人才短缺是各国都需要面对的难题,美国公共领域也需要同资本市场争夺高水平网络安全人才。美国军队和联邦政府部门都在设法使用一些破格用人、加强鼓励激励的措施。如,急需的网络安全人才可以通过非竞争性条件进行招聘,网络安全岗位人员破格提高薪酬和福利待遇等。
三、我国网络安全人才队伍建设
(一)网络安全人才培养具有优良传统和积累
我国的信息安全应用可以追溯至革命战争年代的密码工作。在信息安全人才培养方面,我国也有着悠久的历史。1959年,西安电子科技大学就在钱学森的指示下在全国率先开展密码学研究。70年代之前,已有专业性院校如军事院校设置信息安全相关专业,培养以密码学为主的技术人才。世纪交替之际,多所高校开始设立信息安全相关专业。1999年,北京理工大学、西安电子科技大学等四所高校建立了信息对抗本科专业;2001年,武汉大学建立了信息安全本科专业。与此同时,国家权威信息安全测评机构中国信息安全测评中心于2002年推出“注册信息安全专业人员(CISP)”,为党政机关、国家重要信息系统和基础信息网络的安全保障提供专业信息安全培训和人员资质认定。自此以后,我国信息安全学历教育和职业培训稳步发展,人才培养体系日趋完善。
(二)网络安全人才队伍建设进入快速增长期
党的十八大以来,国家就网络安全人才发展做出一系列重要部署,推出多项有力措施,取得了有目共睹的成就。网络安全学科专业设置、院系建设、学历教育方面取得突破性进展。目前,全国高校网络安全相关本科专业布点233个,网络安全相关专业建设院校超过130所。2018年共招收本科生9231人,比上年增长15.8%。共有42所高校成立了专门的网络空间安全学院或研究院;西安电子科技大学、东南大学、武汉大学、华中科技大学、北京邮电大学等11所高校入选一流网络安全学院建设示范项目。与此同时,针对网络安全专业人员的在职培训工作也取得了快速发展,中国信息安全测评中心CISP人员资质业务近年来每年增长速度超过50%,累计培养信息安全专业人员数万人,为党政机关、通信、金融、能源、教育等重要行业持续输送信息安全骨干人才,已成为信息安全领域人才识别和能力评价的重要依据。
(三)网络安全人才发展事业将释放巨大潜力
当前我国面临的网络安全威胁和风险日益严峻复杂,个人信息泄露、网络诈骗、网络攻击等事件与日俱增;通信、金融、能源、交通、水利、公共服务、电子政务等关键信息基础设施安全遭受威胁;网络失窃密事件时有发生。为避免巨大的经济损失和严重后果,各类企事业单位已不得不重视网络安全问题,不得不重视人才,以应对这些网络安全威胁和风险。与此同时,我国网络安全法律体系的逐步建立和完善,《网络安全法》及与之配套的一系列密码管理、关键信息基础设施保护、网络安全等级保护、网络安全审查、数据出境评估、个人信息保护、数据安全保护等重要法律法规政策的影响正在今后一个时期逐步显现。全社会向网络安全制度规范化过渡的过程中,人才的关键作用将日益突出。网络安全人才不到位,就无法满足相关法律法规政策的合规要求。根据工信部《关于促进网络安全产业发展的指导意见(征求意见稿)》制定的目标,我国的网络安全产业规模到2025年将超过2000亿。在未来的安全保障业务需求和政策法规合规需求推动下,网络安全人才建设的工作必将出现跨越式发展,进一步释放出巨大潜力。
四、当前网络安全人才建设存在的问题
我国无论是信息化还是网络安全的发展,整体来看都属于“后发”国家,网络安全人才队伍建设也存在较大的不足。中央网信办等六部门发布《关于加强网络安全学科建设和人才培养的意见》,认为“我国网络安全人才还存在数量缺口较大、能力素质不高、结构不尽合理等问题,与维护国家网络安全、建设网络强国的要求不相适应。”全国人大常委会在《网络安全法》实施后的首次执法检查报告中指出,“不管是经济发达地区还是相对落后地区,网络安全技术人才都比较匮乏”。此次检查发现,网络安全人才短缺的情况主要包括网络运营单位技术人才多侧重于使用和维护,风险监控、应急处置和综合防护能力不足;关键信息基础设施核心业务系统虽然安装了防护系统,但由于缺乏高水平的安全技术人才,产品难以有效发挥作用;不少政府门户网站没有专门的网络安全技术人才,网站管理人员没有接受过系统的网络安全技能培训;受到编制、职务、薪资等因素制约,网络安全主管部门专业人才也明显不足。
网络安全人才是民生急需和国家安全战略必争领域的重要资源,需要及时掌握人才现状,对存在的问题和短板进行分析研究。结合网络安全自身特点和网络安全人才发展规律,当前我国网络安全人才队伍建设还存在以下突出问题。
(一)网络安全从业人员全方位短缺
网络安全工作贯穿信息化建设的各个环节,无论是在数据、应用、系统、网络等工作层面,还是涉及规划、研发、建设、运营、管理、生产等业务流程,都需要有人承担网络安全职责。但目前我国网络安全从业人员整体呈现全方位短缺的态势,一是网络安全人员规模总量不足,除专业安全服务企业、特大型企业集团,以及大型互联网企业建立有规模化的网络安全人才梯队外,多数单位的网络安全人员无法满足当前工作需要。二是大量信息安全工作以“非专职”方式完成,多数网络安全从业人员需要承担非安全内容的工作,政府机关事业单位里需要“身兼数职”的现象最为显著。三是各类安全工作角色均存在人才缺口,根据《中国信息安全从业人员现状调研报告(2018-2019年度)》显示,在人才普遍短缺的前提下,从事安全建设和规划管理类的人才相对更加紧缺。
(二)信息安全职业化尚处于初级阶段
职业化是现代社会分工协作体系的结果,是行业发展到一定程度的标志。网络安全的职业化主要体现在对网络安全从业人员专业知识、能力和行为准则建立标准化规范,由专人专岗负责专门工作。我国《网络安全法》已对关键信息基础设施运营者“设置专门安全管理机构和安全管理负责人”做出了明确规定,同时鼓励其他网络运营者自愿参与关键信息基础设施保护体系。但目前网络安全的职业化总体来看还处在发展初级阶段。一是网络安全目前还没有统一的职业标准,对从业人员如何分级分类、应具备何种专业知识和能力水平等问题尚未建立标准规范,各用人单位的信息安全岗位设置和能力要求各行其是,差别较大。二是信息安全“人岗不匹配”情况普遍,专门的网络安全管理部门和岗位中的人员从事的不是网络安全工作,或是人员专业能力达不到岗位要求。三是社会对信息安全职业意识普遍不强,尤其是用人单位高层,或是对信息安全工作以及信息安全人才重要性的认知有待提升,或是对人才工作的重要性只有原则上的认同,在如何科学有效地加强信息安全队伍建设方面缺乏工作抓手。
(三)人员能力提升需求难以得到满足
战略性的人力资源管理核心在于把人看作重要的资产,通过教育培训等投入,持续提高其知识、技能和素质水平,更好地达成用人单位的业务目标。用人单位能否提供足够的培训、持续提升人才专业能力、帮助其完成自我价值实现,将在“引才”和“留才”中发挥越来越重要的作用。当前人员能力提升需求普遍难以得到满足,一是从业人员能力提升需求旺盛,新入职人员在学历教育之后普遍需要进行“二次培训”,已从业的人员也需要持续教育和终身学习。中国信息安全测评中心调研显示,当前从业人员最希望提升大数据安全、云安全、安全管理和渗透测试等方向的专业能力。二是从业人员期望获得专业资质,作为证明自己具备一定知识、能力和工作经验的凭证。调研数据显示未来一年内,有83.7%的从业人员期望获得信息安全资质证书,其中希望获取CISP证书的人员占比最高,达到68.9%。三是尽管从业人员的学习热情很高,但用人单位教育培训投入不够,对信息安全人员普遍存在“使用多、培养少”的情况,用人单位资助从业人员接受职业培训的意愿和力度也不高。
(四)网络安全人才体制机制存在障碍
网络安全作为跨界、交叉、融合的非传统行业,唯有在鼓励创新发展的体制机制下,才能让人才的创造活力竞相迸发、聪明才智充分涌流。当前网络安全人才发展还存在一系列制度性障碍,一是对安全从业人员考核评价手段不足,信息安全工作不易直接量化考核,信息安全成果和价值难以直接得到体现。二是人员鼓励激励机制不健全,上升空间有限,从业人员难以得到与工作投入相匹配的职业回报。三是缺乏向关键领域的人才引导机制,从业人员在职业流动中对福利性因素和发展性因素均十分看重,但当前大量关键信息基础设施运营单位在“待遇引人”、“事业留人”等方面均面临挑战,甚至自有人才流失的现象也比较严重。
五、对策建议
网络安全是技术更新最快的领域之一,网络空间的竞争,归根到底是人才的竞争;建设网络强国,最关键的资源是人才。建议要以现有的学历教育和职业培训工作为基础,明确人才建设的总体战略方向,充分利用各种工作机制,最大限度地加强网络安全人力资源开发力度,为国家网络安全保障提供有力的人才支撑。
(一)建立体系化的网络安全人才发展规划
习近平总书记在2018年全国网络安全和信息化工作会议上提出,要研究制定网信领域人才发展整体规划,推动人才发展体制机制改革,让人才的创造活力竞相迸发、聪明才智充分涌流。总书记的指示高屋建瓴,体现了对网信人才重要性和当前重点任务的深刻认识。人才建设是长期性、战略性、基础性工作,建立网络安全人才发展整体规划至关重要。对国家网络安全人才发展全局进行系统性的超前规划部署,才能争取主动局面,建设具有全球竞争力的网络安全人才队伍,为网络强国建设夯实基础。
一是要构建网络安全国民教育和持续教育体系,为各类网络安全意识提升、基础教育、高等教育、职业培训、持续教育提供总体指导,为包括网络安全从业人员、后备人员以及普通公众在内的社会全体成员信息安全能力、防护技能的提升提供支撑。
二是统筹推进网络安全人才发展整体工作,通盘规划网络安全人才培养、管理和使用等各项工作,明确主要任务和阶段性目标,加快网络安全人才管理体制以及人员流动配置、培养开发、考核评价和激励保障等工作机制改革。
三是多主体协同共建网络安全人才生态,提高相关主管领导部门、产业界、学术界、科研院所、用人单位等相关各方的支持配合力度,有力整合资源,完善配套措施,形成推进合力,共同构建良好的网络与信息安全人才发展生态。
(二)科学推进信息安全人才的职业化发展
在网络安全从业人员全方位短缺的严峻形势下,职业化手段有助于明确信息安全职业的正当性、改进网络安全教育培训的针对性、促进网络安全人才供需匹配、提升网络安全职业吸引力。但作为新兴的非传统领域,网络安全的职业化不宜对不同类型从业人员简单采用“一刀切”的职业许可方式进行管理。
一是要深入开展网络安全人才发展基础理论和前沿实践研究,探寻网络安全人才成长规律,形成科学的网络安全从业人员测评标准,作为安全人才职业化的发展依据,为制定人员教育培训目标、完善人才管理体系提供支撑。
二是要建立兼具相对稳定性和动态灵活性的网络安全知识体系,综合网络安全专业能力图谱中核心和通用的部分,维持一个相对稳定的基础知识体系;针对细分方向和前沿领域的部分,建立动态调整的知识子域,为网络安全职业化夯实基础。以CISP为例,其知识体系大约每三年进行一次更新,既维持了稳定的知识体系结构和主要知识要点,保障了培训体系的连贯性,同时能够及时反应网络安全新技术新应用的发展趋势,确保培训内容的时效性和实用性。为响应社会的迫切需求,CISP根据技术发展趋势推出了安全开发、信息系统审计、渗透测试、大数据安全等十余个专业方向,为行业细分领域提供更加聚焦的专业培训内容,建立了日益丰富而全面的网络安全人才培养体系。
三是要推进权威机构的网络和信息安全专业人才资质认定工作,有公信力的机构开展资质认定工作能够有效证明从业人员具备了相应的专业知识和能力、工作经验和业绩以及较高的职业道德水平,从而为网络与信息安全人才评价考核、选拔任用、职业晋阶提供参考依据。CISP经过多年的发展,已经建立了全面的知识体系、完备的教材体系、科学的培训方法、稳健的工作模式以及强大的师资队伍,成为行业内评价网络与信息安全专业人员综合能力的必备资质。
(三)着力提升网络安全从业人员规模能力
以经济社会发展和国家安全需求为导向,加强人才培养体系建设工作的前瞻性和针对性,建立贯穿网络安全从业人员学习工作全过程的终身教育制度,提高网络安全人才队伍的数量规模和整体能力。
一是加大教育培训投入和工作力度,既要利用好成熟的职业培训体系,快速培养网络安全急需人才;也要在基础教育、高等教育和职业院校中深入推进网络安全教育,积极培养网络安全后备人才;全面优化教育培训的内容、类别、层次结构和行业布局,着力解决网络安全人才总量不足的突出问题。
二是分类施策建设网络安全人才梯队,对于社会对网络安全基层人员的需求,开展规模化培养,尽快解决当前用人需求;对于卓越工程师和高水平研究人才的需求,在工程和科研项目基础上加强专业化培训,打造网络安全攻坚团队和骨干力量;对于网络安全核心技术人才和特殊人才的需求,探索专项培养选拔方案,塑造网络安全核心关键能力。
三是结合领域特点推进网络安全教育培训供给侧改革,探索网络安全体系化知识更新与碎片化学习方式的结合、线下系统培训和线上交互培训的结合、理论知识理解和实践操作磨练的结合、金字塔层次化梯队培养和能揭榜挂帅的网络专才选拔的结合,加强专业资质测评在人才队伍建设中的引领和导向作用,创新人才培养模式,深化产教融合,贯通后备人才到从业人员的通道,推动各类学校、专业培训机构和企业通过校园教育、现代学徒制培训、任职培训、在职培训、岗位练兵、攻防竞赛、技术比武等方式,推动网络安全人才工作的高质量发展。
(四)持续优化网络安全人才发展整体环境
网络安全是信息技术的尖端领域,是智力最密集、最需要创新活力的领域。坚持以用为本、急用先行的原则,加快网络安全人才发展体制机制创新,制定适应网络安全特点的人才政策,让人才的创造活力竞相迸发,聪明才智充分涌流。一是提高各级党政领导干部的网安意识和网安人才意识,在干部培训中将网络安全作为必修课程,引导其积极适应时代要求,强化网络安全思维,提高对人才工作重要性的认识,真正尊重人才、爱才惜才,为人才发展创造良好条件。
二是加快创新网络安全从业人员评价激励机制,参考企业中激发网络安全人才活力效果最好的管理实践和经验,创新发展适应网络安全特点的薪酬制度、评价指标和鼓励激励措施,让网络安全人才价值得到尊重和体现,名正言顺地提高从业人员的经济待遇和社会地位。
三是建立重点领域网络安全人才引导和优先保障机制,采取特殊政策,完善配套措施,引导和鼓励网络安全人才向国家党政机关、要害部门、重要行业、关键信息基础设施运营单位流动,确保重点领域能够招得进、用得好、留得住网络安全高端人才和紧缺人才。
(本文刊登于《中国信息安全》杂志2020年第4期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
