当前,世界各国面临的网络安全风险与挑战复杂多变,网络对抗趋势愈发明显,以窃取敏感数据、破坏关键信息技术设施以及影响敌方认知为目标的有组织的网络攻防成为重要手段,特别是俄格战争中实施网络战以后,让人们认识到网络攻防可以融入并军事行动并提供增益。而在乌克兰危机中,俄乌双方也多次实施网络攻防。可以看到,全球视域下的网络战,作战时空更加广阔,作战方式更加灵活,作战手段更加隐蔽。网络空间的竞争,核心是网络安全的竞争,但说到底还是网络安全人才的竞争。以美国为首的西方发达国家高度重视“控网权”,积极抢占网络安全技术和人才制高点。

网络安全人才力量发展现状

注重从战略上重视网络安全人才培养和发展。美国作为世界头号强国,其网络能力也处于世界前沿,也是最早意识到网络风险的国家之一,早在21世纪初就把网络网络安全人才培养作为战略布局的一部分。而随着世界格局不断变化和网络技术飞速发展,网络安全人才培养对美国国家安全战略起到的作用更加关键。自1997年到2021年的15年间,网络安全一直被美政府确定为高风险领域,与此同时,美政府各部门以及专家智库、各行各业甚至大型企业都大力呼吁加强网络安全人才建设。在此基础上,美国自2008年起开始发展建设网络安全人才,发布了《国家网络安全综合计划(CNCI)》并首次提出网络安全人才这一说法,这可以说是美国网络人才发展的关键节点。从克林顿时期到特朗普时期,美政府都十分重视网络安全人才建设,不断加强顶层规划设计。特别是在拜登政府上台后,网络安全人才议题已经成为优先要务,并逐步推出力度更大的实质性举措,从而实现其领先优势的战略目标。

注重从多渠道多路径招募网络安全人才。从全世界范围看,各个军事强国网络安全人才选拔范围都在不断拓展。美军方面,从2004年开始,美国土安全部就与美国安局(NSA)合作实施国家学术精英中心计划。2012年开始,美政府、军队开始借助RSA、BlackHat和DEFCON等国际性安全会议和安全演习招募网络安全人才,而这种将政府与民间结合招募人才的方式,成为美军网络安全人才的重要来源。同时,美国将非院校、军队等领域的一些其他具有潜力优势的人才也作为网络安全人才的重要来源之一。俄军方面,一方面,在大学生中直接选拔网络安全人才进入军队服役;另一方面,直接从各类黑客竞赛中进行招募。

美国从黑客竞赛中直接招募人才

注重分层次分阶段系统规划网络安全人才培养模式。在教育培养方面,美政府的网络安全人才培养管理体系较为系统科学。首先,有一套成熟的标准化框架。美国在人才培养方面十分强调人才专业能力标准,特别是在网络人才培养方面,注重对照网络安全人才需要的知识、技术和能力标准,实施分类培养。2011年,美国土安全部和人力资源办公室共同提出《网络安全人才队伍框架(草案)》,成为网络安全专业化人才队伍建设的指导性文件,该文件明确了网络安全专业领域的定义、任务以及从事人员应具备的各项能力指标。2012年,美国通过细化网络安全人才知识、技术和能力等方面的要求,区分7个分类、31个具体专业领域,构建了网络安全人才体系,形成了《国家网络安全人才框架》。其次,加强教育培训。2018年,成立联邦网络培训学院,定期向联邦政府输送网络完全学员,主要进行政府网络安全有关的职业培训,扩充联邦信息技术人员队伍。欧洲国家主要以专业教育和全民普及相结合的方式进行培训。2019年5月,美政府要求在强化现有网络安全教育培训的基础上,可以采取到其他机构执行任务或培训的方式进一步提升相关专业知识和技术能力。

注重通过实践锻炼进一步提升网络攻防实战能力。美国通过网络风暴系列演习提升应急响应能力。网络风暴系列演习始于2006年,从2006年的300余人参与到2010年的2000余人参与,一直到2018年也持续在1000人左右,参与机构逐渐增加,参与力量也不断壮大,这其中包括大量民事机构、ICT企业、学术界代表和军队,呈现了全民参与的态势,有效提高了整个国家、地区间的应急响应能力。而在这方面,以色列军队也十分注重提升实践能力。在培养网络安全人才中,更具实战性和对抗性。例如,通过网络攻击模拟实验室、恶意软件分析室、移动安全实验室等先进设备进行训练,并结合其他实践训练课程,提升实践训练能力。

网络安全人才面临的形势与挑战

目前,全球已经有一百多个国家成立了网络部队,在这场网络安全的高烈度竞赛中,人才或许是最稀缺的资源之一。主要体现在以下几个方面。

网络安全人员数量无法满足需求。为抵御网络空间的威胁,需要大量网络完全人员进入职位。而无论在民用领域还是军队,各国可用网络安全人才数量都远远无法满足需求,这也给许多国家的国家安全和经济构成严重威胁。据统计,2013年—2021年,全球网络安全空缺职位数量增长了350%,从100万增加到350万,而空缺数量过大的形势在未来仍将是常态。以美国为例,截止到2021年,在民用领域,全美网络安全岗位空缺的数量约为60万,美联邦政府网络安全岗位空缺数量约为3.9万;美国防部也面临着现役网络安全人员短缺的问题,而这方面的缺口需要很长时间才能改善。

美国是最早重视网络风险的国家之一

网络安全专家人才储备面临巨大挑战。在当前网络安全人才急缺的情况下,网络安全人才储备问题也是下步各国面临的主要问题之一。特别是网络安全中的顶尖人才,各国的人才库“储值”都比较小。美国公共服务合作组织总裁兼首席执行官马克斯·斯蒂尔表示:“吸引和雇佣高技能工人,确保联邦计算机网络的安全,并建立防御机制,抵御每年发生的数千起网络攻击,对我们的政府来说至关重要。”而从俄罗斯来看,在社会领域,近年来网络犯罪导致的经济损失逐年增加,俄联邦储蓄银行董事局副主席库兹涅佐夫认为目前俄罗斯拥有的高水平网络安全专家十分匮乏,甚至不足以与网络罪犯作斗争。

网络安全人才招募政策缺乏吸引力。美军为了保持在网络安全领域特别是对战略竞争对手始终具有领先优势,采取了一系列措施,吸引和保留网络安全人才。但由于网络安全人才是军民互通的行业,各大公司对此也十分重视,且该行业在美国失业率基本为零,因此,对于美军方而言,薪酬成为招募和留住网络人才的一个重大障碍,虽然除了基本工资以外,军人还可以获得其他方面的补助,但对于许多公司所提供的条件相比,总的薪金仍然不具备可比性。虽然美陆军为了增强对其他军种和行业的竞争力,正考虑向应征参军的网络安全人才授予更高军衔,但低薪酬对于军队吸引和留住顶尖网络人才显得非常无助,这也增加了美军招募网络安全人才的难度。

网络安全人才培养趋势的思考

未来战争复杂多变,特别是在人工智能、云计算、信息技术和网络安全技术高速发展,以及各类硬件装备、软件的更新迭代的背景下,对网络安全人才培养提出了巨大挑战,需要建设一直精细化、专业化的网络安全人才队伍。

建立多维度人才培养通道。一方面,继续采取院校教育的方式提升基础能力,突出网络安全知识向专业知识的转变。为应对强敌,各个国家都可能在军事高等院校开设相关专业,加强网络攻防、网络设备维护、网络战争设计等方面的人才培养,打造符合自身实际的网络人才培养品牌。比如,俄军十分重视网络空间安全相关学科、专业的建设,许多网络安全知识在高等军事院校可以学习,并在毕业后授予军衔,从事相关工作。除此之外,俄国防部还通过在中等军事院校开设“IT技术武备学校”,进一步扩大网络安全人才培养规模。另一方面,加大职业培训力度,注重提升人才的专业素质。随着网络技术的不断发展更新,许多从事网络安全工作的人员必须采取职业培训的方式提升自身能力,可以依托从事网络运营、信息通信技术的企业为依托,建立合作伙伴关系,为政府和军队培养网络安全人才。以美国为例,在过去的20年中,思科公司已经组织了网络安全人才培训200万人次,同时将在未来三年为美国额外培训20万人。2022年,IBM也承诺将在未来三年额外为15万人提供网络安全技能培训。另外,许多国家还会通过移民的方式增加对网络人才的吸引力。

很多国家都面临着网络安全人员短缺的问题

完善网络人才培养配套政策。首先,根据未来网络战争特点进一步健全能力指标体系。未来的网络攻防可谓是“软硬兼施”,对人才的整体素质要求更高、分工也更加明确,因此,亟需制定一个包括对人员基础教育、资质评定、能力测评和管理使用的体系标准,对每个岗位、每个角色应具备的知识储备和技术能力都进行量化细化,并且根据技术发展和演变进行持续调整,为人才建设发展提供有力指导。同时,由于网络安全涉及的外延越来越广,包含了人工智能、数据算法、软件开发等内容,因此也需要将培养体系向其他领域延伸。此外,应加强对网络人员管理,出台并持续推进相关政策法规。其次,推动人才培养整体措施落地。人才招募上要继续多渠道培养,通过基础教育培训、军方地方交流互动、征召社会甚至国际的网络精英等方式选拔挑选与岗位需求相适应的人才,当然,需要在各个阶段提供丰厚的奖学金、高额的薪金等鼓励激励性措施,以保证在人员正常更迭的情况下,网络安全人才数量和质量相对稳定。这方面,美军采取了依托国防部信息安全保障金资助相关专业的高校生,用高薪酬加快文职人员招募力度等方式,进一步为整个国防部网络专业人员的招聘、留用和发展提供灵活性。未来,美还计划发展军职和文职网络安全人员约20万人。最后,还要完善审查和考核措施。一方面,把好入门关口,由于网络安全人才职业的特殊性,在招募过程中需要提升审查门槛,相较于其他类科技人才,对人员社会背景、安全背景等方面要更加严格。另一方面,需要通过人力资源部门根据相关数据和绩效指标,对人才招聘、岗位调整进行考核分析,为政府更好使用网络人才提供决策支持。

不断开展各类竞赛提升综合能力。通过开展竞赛特别是通过军地联合的网络攻防竞赛和对抗演习,发现和锻炼人才是美国的常用做法,美国家安全局和能源部组织的年度网络演习竞赛、密码破译者挑战赛和第四届网络部队竞赛等,为美国培养、锻炼了大量网络安全人才。2022年,美国民警卫队组织开展网络盾牌演习,美网络司令部举行网络旗帜22演习,进一步把网络攻防能力向普通民众、其他国家和部队延伸,进一步提升普通公民能力素质,提升与其他国家的网络交互能力。2022年,北约组织开展了锁盾网络演习,展示了来自北约和乌克兰技术专家开展复杂网络攻击的能力。可以看到,开展跨地区、跨域的演习将成为下一步世界各个国家开展网络攻防训练的主要方式。下一步,随着军地双方科研机构对网络安全领域的重视,以及新型演训平台的开发应用,将会进一步培训和检验网络人才质量,进一步提升从事网络攻防人员的综合能力水平。

版权声明:本文刊于2023年 11 期《军事文摘》杂志,作者:刘琦琦如需转载请务必注明“转自《军事文摘》”。

声明:本文来自军事文摘,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。