文/张晓菲 李斌 中国信息安全测评中心

挑战与机遇并存2014-2015年度中国信息安全从业人员状况调查

文/张晓菲 李斌 中国信息安全测评中心

信息安全专业人才是保障网络空间安全的主力军，人才素质和规模是国家间网络安全和信息化领域竞争的焦点。深入调查并分析我国信息安全人才队伍状况，有助于不断完善专业人才的培养、管理和使用机制，建立高素质的网络安全人才队伍，保障国家网络空间安全。

一、 信息安全从业人员现状

我国信息安全从业人员主要分布于政府、金融、交通、能源、海关、税务等重要行业及信息技术相关企业，我们通过问卷调查、专家访谈等方式对近千名从业人员进行了调研。调查显示，我国安全从业人员以男性为主，占比超过70%，60%以上的从业人员具有本科学历，近30%的从业人员拥有硕士以上学历，40岁以下的从业人员占比超过80%，70%以上的从业人员安全领域工作时间不超过10年，其中，5年以下工作经验的从业人员约占40%，5-10年工作经验的从业人员约占30%。信息安全专业人员队伍主要具有以下五个方面的特点。

1. 信息安全人员整体素质提升

经多年积累，我国信息安全产业进入深化发展时期，安全人员的技术理念和实力有较大幅度提高。90%的单位加大了安全从业人员投入，其中，在职培训人数增长了30%。安全人员从单一安全问题解决和单一产品应用，逐步转向技术与管理相结合的综合保障策略下整体安全解决方案的实现，安全产品与服务朝着专业化、标准化的方向发展。

2. 信息安全人员岗位分工多样化随着信息安全产业的发展，信息安全从业人员的岗位分工逐步细化，不同领域专业人员分工合作成为趋势。2014年5月，美国国家标准与技术研究院等部门联合制定发布的《网络空间安全人才队伍框架（草案）》更新版将网络安全划分为七大类（分析、网络攻防、调查、运营与维护、监督与发展、保护与防御、安全存储）32个专业岗位。

国内单位及企业安全人员需求较大的前三个岗位分别是运行维护、技术开发和保护防御，此外，安全管理和研究分析类人才也有较高需求。分析显示，外资企业安全人员需求较大的前三个岗位分别是技术开发、保护防御和安全信息搜集，运行维护人员需求低于国内单位及企业。

3. 信息安全从业人员薪酬上升

我国网络安全产业正迎来黄金发展时期，信息安全从业人员薪酬整体呈上升趋势，63%的安全从业人员薪酬上涨。统计分析显示，私营企业和外资企业安全人员薪酬上涨幅度较大，且薪酬上涨与工作年限相关性不高，专业经验和能力是影响薪酬的主要因素，政府、科研院所及国有企业信息安全专业人员的工资调整需遵循国家职称评定等相关政策要求，上涨幅度相对较小。未来一段时间，安全领域薪酬将更具市场竞争力。

4. 信息安全职业发展渠道较为畅通

一般学历教育培养出来的安全人员还需要经过岗位锻炼，才能逐步成为具有一定经验和实践能力的成熟安全人才。目前，70%的安全从业人员认为本单位或企业内晋升渠道较为畅通，超过五成的安全人员会参与单位战略发展规划。其中，外资、合资及私营企业从业人员

职业晋升渠道满意度较高。

5. 信息安全从业人员自我提升意识强

在工作中，信息安全从业人员需要不断丰富理论知识，持续提高实践能力，以适应网络安全技术发展的需要。38%和32%的从业人员分别选择通过在职培训、专家授课的方式获得专业知识，提升管理水平，增强竞争力，以实现个人职业发展目标。从业人员对在职学历教育、在线教育等也有一定需求。统计显示，54%的从业人员最期望参加“网络攻防”培训，从业人员也密切关注新技术、新应用安全，迫切希望通过培训获得大数据、云计算和移动应用安全方面的知识。

二、 信息安全从业人员存在的问题

目前，我国安全从业人员队伍总体上处于稳步发展的态势，但在当前国际网络空间安全形势严峻的情况下，距离满足国家网络空间安全保障的需求还存在一定差距，主要表现在以下三个方面。

1. 信息安全从业人员缺口较大

安全人才短缺是各国网络安全发展普遍面临的问题。与信息技术发达国家相比，我国信息安全教育起步较晚，近年来，网络空间安全得到国家高度重视，一系列重大安全事件和漏洞曝光后，政府及企业的安全管理力度不断加大，信息安全人才需求快速增长。

74 %的受访者认为市场信息安全从业人员需求较大，其中，85%的国有企业和76%的政府机构受访者认为本单位信息安全岗位存在人员缺口。由于我国经济和信息化发展不均衡，信息安全人员地域分布不均，信息化发达地区安全人员较为集中，层次相对较高，信息化欠发达的中西部地区，安全人员匮乏。

2. 高端安全技术人才流动性较强

我国安全技术人员及团队需求较大，掌握前沿热点技术的人才供不应求，学历教育和社会化培训等方式培养的人员需要经过大量实践锻炼才能逐步成长为安全技术人才，用人单位以高薪等方式争夺高端人才的现象严重，高流动性成为必然。此外，地区发展不平衡、机会不均等原因进一步加剧了人才流动。兰德公司《劳动力市场考察》报告指出， 在美国1%至5%的信息安全领域高端人才年薪要求一般超过20万甚至25万美金，在这个年薪标准上，高端人才流动性较强。

3. 综合战略型人才短缺

综合战略型人才具备丰富行业经验，能力覆盖安全管理、专业技术等方面，能兼顾宏观策略制定和微观管理，参与组织战略发展决策，负责制定组织网络安全策略，保障内部网络安全事务有效运行。综合战略型人才产生的经济效益一般难以直接评估，其在安全风险防范等方面的作用不可忽视。

国外综合战略型人才使用体系已逐步完善，首席信息安全官成为美国政府和私营部门的必设岗位。与美国相比，我国综合战略人才短缺，已经成为信息安全产业发展的短板。

三、 信息安全从业人员状况思考

安全从业人才队伍建设伴随着网络安全发展呈现出不断强化、细化的趋势，与国家战略、技术进步和市场规模等因素密切相关

安全从业人才队伍建设伴随着网络安全发展呈现出不断强化、细化的趋势，与国家战略、技术进步和市场规模等因素密切相关。我国亟需理顺人才培养、管理和使用环节，解决专业人才发展的瓶颈问题。

第一，加强人才队伍的规模化和专业化建设。重视推进政府、科研院所和产业界的深入交流与合作，大力培养以实际需求为导向的复合型人才和掌握前沿热点技术的专业人才，全面系统提升信息安全从业人员的专业能力。建立信息安全从业人员全职业周期的教育体系，加强尖端、战略型人才培养，缓解安全人才短缺的局面。

第二，建立并完善配套机制，优化安全从业人员职业发展路径。统筹各方力量，制定信息安全从业人员能力框架，规范岗位要求，引导政府及重要行业逐步落实人员能力框架，解决人员能力差异大、水平参差不齐等问题，进一步激发其活力，提升安全专业人才发展空间。

第三，制定适合我国国情的信息安全人员从业管理办法。政府及关键领域重点部门信息基础设施的安全从业人员除了需要具备专业技术能力外，还需要具有良好的政治素质，对关键岗位人员进行背景审查，解决安全从业人员的可信问题。同时，通过发放安全许可证、建立从业人员信息库等途径来加强人员管理，使其更好地支撑国家安全目标和整体发展战略的实现。