APP下载

从美国网络安全人才政策谈我国网络安全人才发展策略

2015-08-02范佳佳

信息安全与通信保密 2015年3期
关键词:网络安全人才培训

范佳佳

从美国网络安全人才政策谈我国网络安全人才发展策略

范佳佳

网络安全是一个动态性和竞争性的概念,其核心是掌握网络攻防技能专业人才之间的比拼。对于我国而言,只有不断加大新一代网络安全专业人才队伍的建设,才能有效应对和化解不断升级的各类网络安全威胁,不断提升国家的经济和政治实力。2014年2月27日,中央网络安全和信息化领导小组的成立开启了我国网络安全全新格局,其中关于建立高素质的网络安全和信息化人才队伍,培养造就世界水平的科学家、网络科技领军人才、卓越工程师、高水平创新团队等一系列重要指示,彰显网络安全人才建设的重要性,关系国家网络安全的全局和未来。本文通过对美国网络安全人才政策现状和特点的介绍,对照我国网络人才发展的现状和问题,提出推动我国网络安全人才发展的相关策略。

一、美国网络安全人才政策扫描

1.美国网络安全人才政策的总体现状

长期以来,美国政府和军方高度重视网络安全人才的教育培养,伴随网络安全发展形势不断出台相应政策,标志性的政策举措包括:1995年,美国国家安全局成立信息安全学术人才中心;1999年,美国制定《国家信息安全战略框架》,启动国家网络安全教育培训计划(NIETP)。2002年,美国通过《网络空间人才(Cyber corps)计划》和“网络安全研究与开发法案”;2010年,美国国家标准技术研究院发布《美国网络空间安全教育计化(NICE)》。2013年,美国国土安全部为信息安全队伍建设提出五项目标,等等。在上述政策推动下,一个多层次、广覆盖的网络安全人才发展体系在美国已经基本形成。

在学历教育方面,美国高度重视通过正规学校系统教育培养网络安全人才。根据2011年8月美国国家标准与技术研究院发布了《美国网络安全教育计划战略规划:构建数字美国》的要求,美国已经将网络安全教育体系嵌入到不同学龄,甚至到幼儿阶段,加强对青少年网络安全人才的培养和发掘是美国网络安全人才的基本理念。与此同时,高等学校在培养专业人才的同时,注重对网络安全科学研究能力的培养,形成了教学与科研双轮驱动的教育模式。

在社会培训方面,美国政府早在1998年就开始实施针对信息系统和网络基础设施安全保障的培训和认证计划,从多方面介入网络安全培训和教育工作。目前,美国社会已建成面向不同领域的培训体系,主要包括国家培训、政府部门培训、行业协会培训、高校培训、企业厂商培训、军队培训等。其认证与培训标准包括国家安全协会的CNSS4011联邦安全认证和培训标准以及SP800系列标准等。

在宣传推广上,美国在2004年启动了“国家网络安全意识月”活动,每年10月举办,至2014年已连续举办了11届。主要面向家庭、学校、企业、政府等各类互联网用户开展大规模的信息安全意识宣传、教育和培训活动。美国网络安全宣传推广活动大致由政府部门、行业协会、高校和企业等牵头组织。

总体来看,美国网络安全人才的相关政策取得了较好实效。根据美国兰德公司的研究,尽管美国网络安全人才仍存在一定短缺,但多年来在政府相关人才政策的推动下,私人机构和公共部门已经具备了应对网络人才短缺的办法,依靠现有的市场机制可以基本满足强劲的网络安全人才需求。

2.美国网络安全人才政策的主要特色

(1)系统的人才发展战略

美国网络安全人才发展政策战略导向明确,系统性强。其中,代表性的《美国网络安全教育计划战略规划:构建数字美国》对国家信息安全意识普及、正规的网络安全教育、网络安全人才框架、网络安全人才培训和职业发展等做出了详细的描述和规划。除此之外,美国政府还不断补充和强化重点领域网络安全人才培养规划。例如,奥巴马在2015年国情咨文中进一步提出,2015年网络安全改革的目标包括加强私有企业与政府之间的信息共享,提升反间谍能力和扩大联邦政府的网络空间培训。更加系统且有重点的网络安全人才发展战略为美国网络安全人才中长期发展指明了方向。

(2)充足的政府经费投入

美国政府在网络安全领域的投入逐年加大。2012年美国国防部在网络安全方面的投资达34亿美元,2014年美国政府各部门在网络安全技术研发方面的经费占整个信息技术研发投入的1/4,达到130亿美元。2015年奥巴马又提议在2016年的预算中增加140亿美元以加强美国网络空间建设。持续增加的经费投入直接或间接地面向网络安全专业人才,为美国网络安全人才队伍建设提供了坚实基础。

(3)良好的职业晋升制度

随着网络安全事件频发,美国政府和企业对网络安全人才重视程度在不断提升,原先隶属于首席信息官、首席技术官范畴的网络安全工作领域不断拓展,重要性不断提高,网络安全人才的晋升通道也被全面打开,包括“首席安全官(CSO)”、“首席信息安全官”(CISO)等职位已经成为美国诸多大型企业公司治理的基本制度,包括JP摩根、洛克希德马丁公司、百事、Cardinal Health Inc以及“联合服务汽车协会”在内的多家美国《财富》500强公司都在公开招聘“首席信息安全官”。

(4)高效的人才挖掘机制

美国对网络安全人才发现和遴选更加务实高效。除了常规的人才输送模式,近年来,通过内部培养、外部竞赛以及全球掐尖等方式,美国企业不拘一格地发掘各类网络安全人才。其中,许多企业组织通过入职测试发现具有潜质的非安全专业的人才,依靠内部培训机制将其培养成为专业网络安全人才,以弥补专业人才的不足;举办各类网络安全竞赛也是专业人才发现的重要平台,如美国国土安全部(DHS)国家保护和计划局(NPPD)网络安全教育办公室(CEO)推出的网络竞赛项目(CCP),微软、谷歌、苹果、Zero Day Initiative等举办的世界顶级安全赛事Pwn2own等,均已成为美国政府和企业发现尖端人才的主要平台;同时,凭借优厚的薪金和良好的环境,大量美国企业开始面向全球尤其是中国、印度等发展中国家实施网络安全专业人才的掐尖战略。

(5)多元的教育培养模式

美国将网络安全知识渗透到各专业,建立了高校、企业、军队的多场景互动教学模式,以及网络安全产、学、研合作培养机制。为网络安全人才学校教育探索出一条理论与实践相结合、人才技能满足岗位需求的培养思路。如美国国家安全局(NSA)2014年7月22号宣布:选中5所学校开设专门的网络作战计划学术中心,以为自己培养一支高素质的大学生队伍。5所学校包括纽约大学、陶森大学、美国陆军军官学校、辛辛那提大学,以及新奥尔良大学。这种有的放矢点对点的人才培养模式,打造了符合NSA需求的技术人才;又如,美国国防高级研究计划局(DARPA)在企业和私立大学设立资助项目,以项目带动人才培养,这种技术外包的灵活工作方式,不仅减轻了养活行政人员的负担,也搭建了与企业和高校的合作联盟,实现双赢。

(6)权威的培训认证标准

美国企业或行业协会也积极参与开发国家级网络安全人才培训标准。如美国国家安全协会CNSS4011联邦安全认证和培训标准与政府标准具有同样的权威。行业协会制定的培训标准保障了网络安全人才培养的专业性,为人才认证认可和职业发展提供有力杠杆。

(7)广泛的全民意识宣传

美国全面网络安全起步早、涉及面甚广且形式多样,包括知识竞赛、研讨会、在线游戏、公益宣传等各类形式,旨在面向家庭、学校、企业、政府等各类互联网用户开展大规模信息安全意识宣传,增强全民信息安全意识,促进网络安全普及教育。

二、我国网络安全人才建设现状和主要问题

长期以来,我国网络安全人才建设总体滞后于信息化发展。虽然网络安全人才广泛分布于各行各业,人才队伍初具规模,但从数量和质量上看,和美欧等发达国家存在明显差距。近年来,由于网络安全事件频发和不断升级,国家对网络安全重视程度不断提高,网络安全专业人才队伍建设开始全面提速。

根据2014年赛迪智库的调研报告,我国已形成一个完整的网络安全学士、硕士、博士高等教育培养体系,全国25个省市87所高校设置了网络安全类本科专业。教育部69个信息科学领域重点实验室中有8个与网络安全密切相关。我国网络安全人才学历结构以本科为主,占总人数的61.8%;硕士研究生及以上学历占9.6%;大专学历约占25.2%,截止2013年底我国网络安全类专业高校毕业生人数约为5万人,在校生约2万人。此外,我国25个省市108所高职院校设置了网络安全专业,至2013年,网络安全高职教育毕业生人数约2万人,在校生约0.7万人。

在师资上,我国共有网络安全专业教师3115人,中高级职称占绝大部分,其中正高级和副高级职称的比例为58%,高于全国高校教师平均水平17个百分点。教师学历以博士和硕士为主,拥有博士学历的占57%,高于全国高校教师平均水平39个百分点。

网络安全人才的年龄结构呈现年轻化趋势,30岁及以下占比最高,约为总量的67.2%;人才主要分布在工业(特别是电子制造业),其次是公共管理、社会保障行业,在金融和旅游业的需求量也较大。

在社会培训方面,我国已形成以政府为主导的网络安全认证培训、依托自身优势的网络安全企业培训和独立第三方网络安全培训。除了外部培训外,用人单位普遍进行新员工入职培训,积极开展在职人员业务培训,基本形成“干中学”的培养模式。

从上述数据来看,目前我国已经初步建立了网络安全人才培养体系,但是,我国网络安全人才在数量和能力上不能满足实际需求也是不争的事实,主要存在以下问题:

1. 人才数量明显短缺

据相关统计,截止到2013年我国已培养网络安全专业本专科人才约7万人,但是仍无法满足政府、部队和其他行业部门的人才需求。以对网络安全要求较高的重要信息系统等级保护工作为例,我国41.2%的单位未配备专职安全管理员,而由网络运维人员兼任。根据2014年11月上海网络安全“人才相亲会”的调查,国内大量企业急需网络安全人才,甚至百度、腾讯、阿里巴巴、360、京东、小米等知名互联网企业也公开表示企业存在网络安全人才的巨大缺口。

2. 人才能力水平不足

长期以来,微软、思科、苹果等一批美国IT巨头掌控着全球网络空间的核心技术和商业生态,关键性的技术和产品受制于人导致我国网络安全人才能力也存在先天不足。从“美诉我军人”、“棱镜门”等事件来看,我国网络安全人才的能力水平与发达国家存在差距,无论在网络安全技术的创新研发能力,还是在对进口技术和产品的检测方面,甚至在深层次安全漏洞的发现和堵截等方面看,我国网络安全专业人才能力的赶超将是一个漫长而艰难的过程。除了高精尖的专业技术人才,我国还缺少既懂技术又懂管理的复合型人才。技术、管理、科研领域的领军人才的匮乏成为阻碍我国网络安全快速发展的重要障碍。

3.培养与社会需求脱节

近年来,我国网络安全人才培养在学历教育方面已初成规模,能够完成一定数量的人才输出总量,但由于高校网络安全专业受我国长期以来形成的教育体制影响,存在“重课程设置,轻教学内容,重概念方法、轻动手实践”,以及课程内容严重滞后等问题,使得网络安全专业人才很难与现实需要相适应,与用人单位的人才实际需求相脱节。大量应届生进入岗位面临长期的再学习过程。此外,在非学历教育的社会培训方面,由于培训机构鱼龙混杂,同时国家又缺乏较为权威的培训标准,培训效果并不明显,证书的获取与能力的提升并不匹配。

4.人才分布面临失衡

人才分布的失衡现象突出表现在地域和企业类型两个方面。根据调研发现,我国存在网络安全人才从西部偏远地区向东部发达地区转移、从东部中小型城市向特大型城市迁徙的现象,这与我国产业梯度转移的进程相悖。从长期来看,东部与西部地区人才分布的失衡将对我国网络安全保障总体形势带来不利影响。与此同时,随着大型互联网公司的全面崛起,大量优秀的网络安全人才开始流向大型互联网公司从事运维保障工作,导致国家重要基础性领域(国防、交通、能源)专业人才不足,而一大批中小型网络安全研发型公司更是面临专业化人才匮乏的困境。

5.优秀人才流失严重

在美国等国对我国IT优秀人才掐尖战略的背景下,国内许多优秀的毕业生和企业人才外流到国外。此外,随着网络黑色产业的发展,一批网络安全专业人才选择进入黑产或灰产。据《中国互联网信息安全地下产业链调研报告》显示,按中国互联网信息安全地下产业链总体赢利已超过50亿元人民币推算,目前地下黑市参与者多达9万余人,人才向海外和非法渠道的流失进一步加剧我国人才短缺局面,对我国网络安全构成严峻挑战。

三、我国网络安全人才上展对策分析

正如习近平总书记提出的,建设网络强国必须要有高素质的网络安全和信息化人才队伍。当前,我国网络安全人才建设应积极借鉴美国等发达国家经验,秉承不拘一格发掘人才、动态科学评定人才、全生命周期培养人才的理念,坚定不移为网络强国战略大局服务。本文根据不同人才发展层次,对我国网络安全人才队伍建设提出相关建议:

1.在普通高等教育领域。首先,“网络空间安全”一级学科的建设应成为我国网络安全人才建设的重要保障。围绕一级学科建设,将有自然科学、工程科学和社会科学等分支下的更多学科的融入,进一步扩大人才教育培养的规模,细化岗位专门分工,为我国网络安全的多层次人才体系发展创造基本条件。其次,我国人才教育必须遵循网络安全的特点,深化产学研人才共建模式,秉持“走出去,请进来”的办学理念,加大培养学生实践动手能力和创新精神,实现供需的有效对接。最后,需要建立奖学金制度,吸收美国专类奖学金制度的经验,吸引更多的学生投身网络安全专业。

2.在高职高专教育领域。鉴于高职高专招生和培养方案自由度较大的特点,须充分鼓励相关学校开设网络安全相关专业,并推动教学培养和就业机制方面的大胆创新。学校的课程设置应当充分满足企业用人需要,努力建立校企合作机制,将企业需求引入课程开发和教学实践,开启高职高专网络安全专业培养和输送的新格局。

3.在社会继续教育领域。我国网络安全继续教育已初步规模。目前需要依托现有基础资源,对接国家战略和城市保障的需要,在课程改革、培训标准和认证制度上有所创新;要构建社会化的人才评价机制,将认证认可与人才职业发展相结合;同时需加强企业内部培养。可以借鉴美国的经验,将内部培养作为解决人才市场供需问题的重要途径;此外,需要高度重视战略管理型人才的培养,在政府和重要企业推广首席信息安全官制度。

4.在人才发现挖掘方面。国家应发挥社会多元力量,推动并规范各地、各类网络安全技能竞赛平台的繁荣发展,通过市场化竞争打造具有国际水准和影响力的网络安全技能竞赛;政府还需制定专门政策创新机制,努力吸纳民间黑客为政府和军队的网络安全服务。

5.在人才创业扶持方面。积极鼓励国内外网络安全人才的自主创业。在国家各类人才扶持和创业政策的基础上,进一步加大网络安全与信息化人才的创业扶持力度,为网络安全人才创造更为优越的创业环境,尤其重视鼓励支持海外优秀人才和民间特殊人才的创业。

6.在重点领域人才队伍建设方面。为保障国家重点领域和设施的安全,国家必须强力推动重点部门网络安全人才队伍的建设,包括关键岗位网络人才的标准化和全生命周期培养,深化重要岗位人才认证认可体系,全面夯实网络安全重点领域的人才队伍建设。

综上所述,我国正在努力打造网络安全人才发展新局面,政府决策者和产业管理者必须树立正确的网络安全人才发展观,深刻认识网络安全在国家经济发展和社会稳定中的战略性地位,制定面向网络强国的人才发展政策和产业促进政策;需要明确网络安全教育培养对象不仅涵盖技术性人才,还包括战略管理人才、智库研究人才等;需要克服传统教育模式的不足,打通学校教育、专业培训、岗位成才等各种渠道,形成一个终身教育、终身学习的良好社会环境和教育培养体系,推动多层次、高水平、广覆盖、强集聚的网络安全人才队伍的建设。

南京大学信息管理学院)

猜你喜欢

网络安全人才培训
人才云
培训通知
CIT培训学院2020线上培训正式启航
从五方面做好引导培训
网络安全
网络安全人才培养应“实战化”
忘不了的人才之策
上网时如何注意网络安全?
留住人才要走心
“人才争夺战”