从“应对网络空间的史普尼克危机”到“建设更有优势的网安人才队伍”
——美国网络安全人才战略发展趋势简析
美国确立其全球唯一超级大国地位的过程中,互联网发挥了关键作用。美国积极寻求在网络空间实现与陆、海、空、天相同的主导权。为实现这一目标,美国把网络安全人才视为重要的战略资源,把网安人才建设作为美国网络安全战略中的优先要务。特朗普总统上台以来,秉持“美国优先”的执政理念,大国竞争再次成为美国国家安全战略焦点。在此背景下,美国的网络安全战略呈现出攻击性更强的新范式,并将网安人才建设作为网络霸权护持的一项重点战略举措。
从2017年特朗普责令情报总监牵头评估美网安人才建设的国际竞争力以来,美国所有的人才相关战略和政令开始重点强调国际竞争因素,认为竞争国家正在进行“影响美国长期网络安全竞争力的人才发展实践”,美国的网安人才霸主地位可能受到威胁。对此,美国制定了雄心勃勃的人才发展新目标,要“建设更有优势(superior)的网络安全人才队伍”,以维持其在网络空间的领先地位和绝对优势。本文回顾了美国最近三任总统执政期间的网络安全人才战略的发展路径,分析了其中的发展趋势以及特朗普政府网安人才发展目标调整可能产生的影响。
一、小布什时期:应对网络空间的史普尼克危机
作为互联网的起源地,美国在意识到信息安全风险的同时,就已经认识到了信息安全人才的重要作用。早在20世纪九十年代后期,美国的军队和情报部门就联合高等教育学校,开始了系统的信息安全人才培养工作。美国当局认为网络安全人才是全球竞争力的关键,随着人才短缺等问题的日益突出,要保持美国的技术领先优势就必须进一步提高对人才的重视程度,制定一项国家级的网络安全教育计划。
2008年,时任美国总统小布什发布了国家安全54号/国土安全23号(NSPD-54/HSPD-23)联合总统令《国家网络安全综合计划(CNCI)》。CNCI是美国网络安全的全局重大计划,当时尚属于保密文件。根据后来解密的内容,CNCI第8计划题为“扩大网络教育”,提出“美国政府已花费数十亿美元用于网络空间安全技术,但是决定成败的是运用这些技术的人是否具备充足的知识、技能和能力。然而,当前联邦政府或私营领域均没有足够的网络安全专家来落实CNCI计划”。在对当前的网络安全人才危机和未来的人才需求做出判断之后,CNCI 第8计划提出要效仿美国20世纪50年代的科学和数学教育计划,“建立一支技术领先的网络安全人才队伍,以保持美国的技术领先性和网络安全性”。
CNCI计划中提出的这个“20世纪50年代”的对标对象,指的是美国在冷战时期为应对“史普尼克危机”所采取的国防教育战略。1957年,苏联成功发射人类第一颗人造卫星“史普尼克号(Sputnik)”,美国受到极大震动,深感科技落后的威胁,史称“史普尼克危机”。美国反思认为,自己被赶超是因为缺乏苏联那样的国防科技人才,根本原因在于美国科技教育的不足。全美上下一致认为,美国必须立即着手进行教育改革,才能同苏联继续进行竞争。1958年美国迅速通过教育史上具有划时代意义的《国防教育法》,投入巨资推广科学、数学等学科的教育,广泛培养和吸引天下英才开展科技攻关。1969年,美国率先实现登月计划,在美苏争霸中维持了领先优势,成为教育改革的标志性成果。值得注意的是,美国的国防教育并不是指开展国防方面内容的教育,而是通过改造教育系统来实现美国的国家安全目标,保持其国际竞争力。
至21世纪,人类已进入信息技术快速发展的时代。美国2008年在进行CNCI网络安全布局时,把当时网络安全人才短缺带来的挑战类比为20世纪的“史普尼克危机”,把即将发起的网络安全教育计划类比为美20世纪50年代采取的国防教育计划,可见其目标的远大。美国了解网络与信息系统中的漏洞是不可避免的,因此希望在网络空间引领一场新的教育革命,建立一支高水平的网络安全人才队伍消减信息基础设施中的漏洞,以维持其技术领先优势和第一网络强国的地位。
二、奥巴马时期:启动国家级网络安全教育计划
奥巴马政府执政之初,其网络安全人才建设思路延续了小布什政府CNCI第8计划中做出的规划。奥巴马2009年发布首份网络空间报告《网络空间政策评估》,其中依旧引用了史普尼克危机来描述网络安全人才现状和挑战。报告称,“同1957年10月‘史普尼克号’人造卫星发射后的时期类似,美国正身处数学和科学技能的全球竞赛中”。而要在网络时代的竞赛中立于不败之地,“美国需要一支网络安全技术领先的人才队伍,以保持在21世纪经济中的竞争力。”为达到这一目标,报告明确了四项计划:提高公众网络安全风险意识、加强网络安全教育、扩大联邦政府信息技术人才队伍、推动网络安全领导责任制。
此时,美国的首个国家级网络安全教育计划已经呼之欲出。但国家网络安全教育具体怎么开展,人才工作覆盖多大的范围,当时一度存在较大的分歧。从CNCI第8计划的初衷来看,其目的是为了提高联邦政府自身人员的网络安全水平,教育培训的范围仅限现有的政府人员。有文献显示在当时的跨部门工作讨论中,部分利益攸关方认为联邦政府除了要加强政府工作人员的网络安全教育,还应该承担起提高整个国家公众网络安全意识、培养网络安全专业人员等责任,因此这项教育计划应该把意识提升、K-12、大学和研究生阶段的网络安全教育也全部纳入覆盖范围。从后来历史的走向来看,显然是后一种观点占了上风。2010年美国“国家网络安全教育计划(NICE)”正式启动,实施范围从原计划的“仅限联邦政府”扩大到了整个国家,教育培训对象从公职人员扩大到了全社会所有网络安全专业人员、储备人员和普通民众。
NICE计划正式启动之后,其愿景和目标也不断进行调整,大约每5年进行一次更新。2011年,NICE计划发布了首个纲领性文件的草案《网络安全教育计划(NICE)战略规划——建设数字化国家(草案)》,开篇即称“我们的国家正处于危险之中”,指政府部门和关键基础设施中的网络安全漏洞给国家安全、公共安全以及经济发展造成了风险,当前有必要启动一项专门的国家级网络安全意识提升、教育培训以及专业人才开发计划。网络安全人才队伍是美国确保国家网络安全的中坚力量,该计划在这部分人才培养方面锚定了远大的目标,要“建设并维持一支无可匹敌的(unrivaled)、具有全球竞争力的网络安全人才队伍”。2012年NICE对草案进行了修改,发布了正式版的NICE战略规划。对比这两个版本,它们在愿景中都强调了网安人才对经济发展和国家安全的重要性,但新版规划对专业人才建设目标进行了调整,仅保留了“建设一支具有全球竞争力的网络安全人才队伍”提法。到2016年,NICE计划战略规划再次更新。这也是NICE目前在用的指导文件,它把NICE计划的愿景描述为“提高网络安全人才的知识和技能以促进数字经济”。这一表述只强调了网安人才对经济发展的作用,没有阐述促进国家安全的一面,实际上是对NICE计划规划之初人才定位的收缩。文件的具体内容也极为精简平实,更侧重于如何开发具体教育培训手段和提高网安人员多样性,而不像此前一样强调要维持美国的竞争力。
三、特朗普时期:建设更有优势的网络安全人才队伍
特朗普政府执政之后,美国对其网络安全人才发展状况做出了新的判断,对网安人才重要性明确了新的定位,给未来人才工作制定了雄心勃勃的新目标,提出要建设更有优势的网络安全人才队伍,以保持美国的网络空间安全优势。
(一)13800号行政令:评估美网安人才工作国际竞争力
2017年5月,特朗普总统签署了第13800号总统行政令《加强联邦政府网络与关键基础设施网络安全》,为其网络安全政策定下了基调。该命令把网络安全人才发展作为美网络安全保障的重要工作条线进行规划,明确提出“网络安全专业人才队伍的发展和维持是实现美国在网络空间各项目标的基础”。行政令责令美网安人才工作相关的几个政府部门开展一系列评估任务,包括:商务部长与国土安全部长牵头对美国网络安全人员教育培训工作的范围及成效进行评估;国家情报总监牵头对“潜在的、可能影响美国长期网络安全竞争力的外国网络安全人力发展实践”进行评估;国防部长协同商务部长、国土安全部长及国家情报总监,对“美国保持或提升其国家安全相关网络能力优势所开展工作的范围及成效进行评估”。这几项命令中,情报总监牵头的任务是评估外国网安人才工作对美带来的威胁,国防部长牵头的任务是评估本国国家安全领域网安人才建设实力,也就是包含网军在内的国防部网安人才建设工作。这些部署都清晰地表明,美当局已经把网安人才在美网络空间竞争力中的关键作用提高到前所未有的地位。尤其是总统要求国家情报总监牵头评估国际人才竞争形势,这在美国此前的网安人才政策上是没有的。
(二)人才工作评估报告:美应立即改进网安人才队伍状况
为落实13800号行政令的要求,美国商务部部长和国土安全部部长于2018年5月发布了向总统提交的人才建设现状评估报告《支持国家网络安全人才持续发展——为美国更安全的未来构建基础》。这份报告既是人才评估任务的结论,也是未来改进人才工作的计划书。报告开篇处两位部长在致总统的呈报函中着重强调,“网络安全从业者和教育者对国家安全意义重大——尤其是其他国家正在投入更多精力关注自身的网络安全人才队伍需求和对手国家的网络安全弱点。”报告重申了本国网安人才的战略定位,“美国公共领域和私营领域的网络安全人才队伍是未来能否成功保护美国国土安全和经济繁荣、确保美国竞争优势的基础。承担网络安全工作的人,以及培养网络安全人员的教育、培训和用人单位,都必须做好充足的准备,才能使美国在网络安全领域保持世界领先地位。”经过对公私领域网安教育现状的评估,报告得出一个充满危机意识的结论:“美国需要立即、持续改进其网络安全人才队伍状况”,“国家应该制定和秉持一个大胆而宏伟(bold and ambitious)的愿景,准备、建设和维持一支能够保护和促进美国国家安全和经济繁荣的网络安全人才队伍。”
(三)《国家网络战略》:建设更有优势的网络安全人才队伍
做出国际网络安全人才发展竞争日益激烈的判断后,美国网络安全人才队伍建设的目标又上了一个新台阶,不仅要求加强人才培养工作支持经济发展,改善本国的网络空间安全,更注重在人才建设的国际竞赛中不落人后,继续扩大领先优势。2018年9月20白宫发布了十五年来美国首份内容全面的《国家网络战略》,对包括人才建设在内的网络重大战略进行了规划。这份《战略》文件将高水平的网络安全人才队伍定性为“一项战略性国家安全优势”,并将国际网安人才建设态势描述为“我们的竞争国家正在实施可能有损美国网络安全长期竞争力的人才发展计划”。对此,《战略》提出了新的网安人才发展总要求,“建设一支更有优势(superior)的网络安全人才队伍”。除了要充分开发美国自身的网络安全人力资源以外,报告还首次提出了引进外国人才扩充美国网络安全队伍的倡议,表示“将引进海外最优秀、最聪慧,且持有与美国同样价值观的人才”。在具体如何开展网络安全人才建设工作方面,报告提出了四项优先行动,希望通过建立和维持人才通道、为美国劳动者增加再培训和再教育的机会、加强联邦政府网络安全人才建设,和加强人才奖励和表彰来全面落实美国各项网络安全人才工作。
(四)13870号行政令:以人才维持美网络空间竞争优势
为落实《国家网络战略》部署的网络安全人才建设系列要求,特朗普总统于2019年5月2日又签署了13870号《关于美国网络安全人才队伍的行政令》,要求在“最大限度强化现有的网络安全教育培训”工作基础上,启动若干新的人才计划,以维持美国在网络空间的领先优势。在强调网安人才重要性时,行政令表示“美国的网络安全人才队伍是保护美国人民、国土,以及美国生活方式的战略性资产”。在人才建设目标上,行政令继续沿用了《国家网络战略》中的人才建设总目标,指出“一支更有优势(superior)的网络安全人才队伍能促进美国的经济繁荣,维护和平稳定”。行政令的具体内容主要是要求落实好美国已有的大量网络安全人才行政、立法方面的举措,同时在此基础上提出了若干补充要求,包括加强网络安全人才在公私领域的流动性、推动教育培训创新和人才相关工具开发,以及提高网络安全人才奖励表彰力度等。行政令提出了一系列高规格的鼓励措施,如开展“总统杯”网络安全竞赛并对获胜团队和个人进行表彰,向优秀网络安全人才和教师颁发“总统级”嘉奖等。这份行政令作用是进一步完善了全方位的人才部署,动用了一切可以动用的手段加强网络安全人力资源的开发,通过人才建设工作的最大化来实现美国网络安全人员能力的最大化。
四、美国网络安全人才战略发展趋势分析
回顾美国最近三任总统关于网络安全人才的战略布局,可以清晰地看到美国网络安全人才战略的发展路径。网络安全属于美国两党政治中少有分歧的议题,无论哪个政党上台对网络安全人才建设整体上都非常重视。但在不同党派施政纲领、不同时期战略重心的影响下,美国的网安人才战略在各个时期也呈现出不同的特点。
小布什执政时期,美国在国家网络安全综合计划(CNCI)中指出网络安全的关键不在于技术和装备,而在于“运用这些技术的人”。CNCI第8计划对标曾在冷战时期帮助美国在美苏争霸中保住竞争优势的国防教育计划,提出要制定一项国家级的网络安全教育计划,通过发动一场网络安全教育革命,来应对网络空间的“史普尼克危机”。可见这个网络安全人才计划规格之高,目标远大,并且在酝酿伊始就带有强烈的竞争意味。
奥巴马执政初期,美国正式启动了“国家网络安全教育计划(NICE)”,并就国家网络安全教育工作的实施范围统一了思想,明确了唯有提高美国全社会的网络安全意识和专业能力水平,才能维持美国在21世纪的竞争力。NICE计划的前两个五年规划都是在奥巴马当政期间制定的,对比第一个五年规划文件的草案(2011年)和定稿(2012年)以及第二个规划文件(2016年)的文本,可以看出NICE计划的目标范围在实际执行过程中存在收窄的趋势,国家安全的因素逐步下降。
究其原因,这种变化与美国网络安全政策的变迁是一致的。奥巴马刚上任时,在网安人才方面还沿用了小布什在CNCI计划中那种带有冷战风格的“应对史普尼克危机”提法。随着奥巴马网络主义日益成型,其网络安全主张重视提高网络开放性和创新性,倾向于对对手进行“塑造(shape)”,避免网络军事化扩张和冲突升级。这种克制的态度反映在网安人才战略中,表现为网安人才建设的目的更强调如何实现数字扫盲并促进数字经济发展,而不是保障国家安全和维护网络空间优势。另一方面,NICE计划属于商务部下属的国家标准与技术研究院(NIST)牵头、多部门参与的协调机制。NICE在具体执行过程中可能对国防部、情报界等强力参与部门的实际资源调动能力相对有限,致使NICE计划的纲领日益倾向于促进经济发展目标,偏离支持国家安全目标。
特朗普政府执政后,政策很快转向。2017年发布的13800号行政令要求情报总监牵头对国际上网络安全人才发展态势进行新的评估。评估报告虽然没有公开,但在随后的一系列报告中可以明显看出结论的导向。2018年国土安全部和商务部长联合发布的评估报告和美国十五年来首份全面的《国家网络战略》中都声称,其他竞争国家正在投入更大精力进行网安人才建设,对美国的网络安全长期竞争力构成了威胁。国际竞争成为美国所有网络安全人才相关战略和政令文件中的关键词,这种转变显然不是孤立存在的,需要在特朗普政府整体国家安全战略框架下审视。在传统共和党保守主义和特朗普“美国优先”执政理念影响下,美国对其国家安全战略进行调整,带动网络安全战略随之转向。现在美国的网络安全战略强调大国竞争的威胁,重视发展网络军事力量,以期维持美国的网络空间优势或称制网权(cyberspace superiority)。
与此同时,美国网络安全人才战略更加强调国际竞争因素,《国家网络战略》将网安人才发展总目标升格为“建设一支更有优势(superior)的网络安全人才队伍”。同奥巴马执政时期相比,特朗普治下的网安人才战略更具有国家安全导向,更强调网络安全人才作为“战略性国家安全优势”的重要作用;从保持竞争优势的层面,特朗普的网安人才战略和小布什“应对网络空间史普尼克危机”的倡议遥相呼应。当前,无论是提升美国全社会人员的整体网络安全能力,还是加强前沿网络作战部队的行动能力,“建设更有优势的网络安全人才队伍”已成为特朗普政府网络霸权护持的重要战略举措。为了实现这个目标,美国的网安人才政策不断加码,相关各方持续要求加大投入,有助于提高美国在网络安全人才队伍的整体能力。但从另一方面来看,美国的网络安全战略正在“持续交手”和“防御前置”思想主导下愈发激进、进攻性不断增强,美国谋求“建设更有优势的网络安全人才队伍”意味着这支队伍前端的网络军事和情报人员能力建设将得到进一步加强,其行动范围不断扩大,限制不断减少,或将导致全球网络空间的不确定性因素增加和整体网络安全环境的进一步恶化。(王星)
(本文刊登于《中国信息安全》杂志2020年第4期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
