网络安全视域下我国人才队伍建设的思考
2019-09-09闫育芸杨向东马卓元杨帆赵首花
闫育芸 杨向东 马卓元 杨帆 赵首花
[摘 要] 网络空间安全问题已成为全球各国无法回避并被严肃对待的国家安全问题,专业人才是网络安全工作的第一资源,各国采取多种方式培养网安人才。随着网络信息安全技术产业规模的不断扩大,我国网安人才队伍面临信息安全技术更迭快、专业技能培训难跟进、从业人员能力提升不理想等问题,通过不断健全人才培养体系化保障,加强从业人员专业认证评价,突出重点、点面兼顾,多种培养机制相关协同,以期促进网络安全行业发展更加规范,提高我国网络安全保障能力。
[关键词] 网络空间安全;人才培养;认证评价
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2019. 15. 081
[中图分类号] C961.9 [文献标识码] A [文章编号] 1673 - 0194(2019)15- 0183- 02
1 引 言
全球化时代,国与国之间围绕网络空间的争夺日益激烈,重视网络安全空间已经成为全球性的热点问题,网络安全关乎公共秩序的构建,维护网络安全是保障国家安全的基石,而做好网络安全工作的关键在于“人”,归根结底是人才的竞争。我国确立了网络强国战略思想,把网络安全和信息化工作摆在全局工作的重要位置,做出了一系列重大部署,相继出台《网络安全法》、《国家网络空间安全战略》等政策,“网络空间安全学院”在多所大学落地,职业培训专业认证为培养和造就我国网络信息安全人才探索了一条有效途径。信息安全技术产业规模不断扩大,相继催生出更多的细分领域,网络安全是个实战性非常强的专业,信息安全行业需求侧对网络安全人才专业技能在不断地提出更高的要求,面对信息安全技术更迭快、从业人员高能力输出需求、人才评价机制不断创新等因素,健全人才培养体系化保障,有利于推进网络安全行业人才培养的体系化、规模化和质量化。
2 国内外网络信息安全人才培养情况
2.1 国外主要做法
国外发达国家通过制定人才培养政策、开设网络信息安全相关学科、加强从业后技能培训、组织重大竞赛发现人才等方面采取了类似措施,不断加强网络信息安全人才培养。
第一,制定人才培养相关政策规划。信息安全产业发展较好的国家,人才培养政策具有系统性、逐步细化的特点,并将人才队伍建设纳入国家网络安全战略。普遍立足国家战略高度,多部门配合、联合制定国家信息安全战略、人才计划、教育计划、专业认证等相关政策规划,普遍形成了学历教育、职业培训、人员管理等多方式的培养体系。
第二,教育体系涉及网络信息安全学科。学校教育是各国培养网络信息安全人才的主要方式,多数国家政府指导高校设置网络信息安全学科体系,并根据实际情况及时调整。多数国家在教育体系中设置网络信息安全相关基础或专业课程,如美国从小学开始培养网络安全意识,高中教育起涉及理论计算机科学教育;英国从初中至博士教育将网络信息安全纳入学术教育体系,并对高校的硕士学位进行评估认证,博士方面建立博士的培训中心[1];日本网络空间安全人才培养体系以高等教育为主,侧重宽度教育,内容较全面,教材更新频率高,从小学到大学都可反映出国际信息技术发展的最新成果。
第三,多部门加强从业人员技能培训。政府明确人才职业培训要求,加强从业后技能培训。多数国家多部门联合确定网络信息安全岗位职责和能力要求,明确人力评估要求,如美国、英国;另外,建立施行业界认可的规范执业资质认证,如具有权威性的美国的国际注册信息系统安全师(CISSP)、国际注册信息系统审计师(CISA)[2]受到全球广泛认可。
第四,持续引导、发掘专业人才。政府直接或指导建立培训机构,行业组织开展多种培训工作,企业积极参与课程设置、职能培训和资质认定,政府、行业和企业发挥各自作用,联合提高从业人員职业技能;多方组织重大竞赛发现人才、锻炼人才[2],加强黑客引导人才也是各国不断加强网络信息安全人才储备的有效途径。
2.2 我国基本情况
同建设网络强国战略目标相比,我国在网络安全保障体系建设、网络安全细分领域发展、技术人才储备机制等方面建设起步相对较晚,但在学科设置、职业培训、专业认证方面也采取了不少措施。
第一,加快专业学科建设。自20世纪70年代以前,我国只有少数专业性院校(如军事院校)设置信息安全相关专业,主要依托于密码学。70年代开始,普通高校开始培养信息安全相关人才,2001年正式设置信息安全本科专业。截至2013年底,全国共有93所高校设置信息安全类本科专业,一些“985”“211”院校培养相应专业的博士、硕士,一些职业技术学院也开办技能型信息安全专业[3]。2015年国家正式设立网络空间安全一级学科[4],与信息安全专业相比,网络空间安全专业理论性、技术性要求高,实践性要求强,网络安全人才包括立法、治理、战略、技术和理论研发、安全规划、宣传和教育、运维、防御等。从行业应用来看,网络信息安全从业岗位校招人员培育周期长、偏理论,而此行业对风险的低容忍度决定了从业人员须具备的技术能力需求[5]。那么高校探索如何准确把握不同层次教育、学科间关系,如何有效地利用各类教育资源,培养出多层次、具备多学科理论和技术专业知识的复合型的人才,值得深思。
第二,建立职业培训机制。在国家授权下,国内面向网络信息安全保障领域推出了多种方向成熟、专业、体系化的认证体系[6],夯实了从业人员理论基础和应用技能,如网络信息安全建设、分析、综合协调能力等,中国信息安全测评中心“注册信息安全专业专家”资质认证、中国网络安全审查技术与认证中心信息安全保障人员认证体系受到广泛认可。但行业人才供需失衡,不同类型人才供需间存在错位,人才队伍呈现底部过大、顶部过小的结构,加之网络空间安全技术更新迭代快,出现云安全、移动安全、测评认证等重点关注、新兴领域,如此形势下,对复合型网络安全人才需求是目前现有职业培训知识体系较难满足的。
第三,创新人才发掘培养方式。通过会议研讨、内训也是提升專业技能的途径之一,但大部分人员对其效果并不满意。实战类网络竞赛(包括高校、国内、国际赛事)已作为人才专业技能培养、选拔的又一重要形式,职业培训和实战类网络竞赛结合,会加快技术的快速成长以及技术尖端人才的显现。而网络安全作为一个职业缺乏能够有效“衡量人才的尺子”,专业特殊人才、行业岗位、角色分类标准及考核评价标准不明晰。
3 我国网络信息安全人才培养的几点建议
第一,加强统筹协调。加强主管领导部门统筹协调职责,按照中网办发文〔2016〕4号文件要求,明确职能部门权责,加强院校、互联网企业、行业机构等协作,发挥各类非国家行为体的积极作用,共同建立适应网络安全人才特点的队伍建设工作体系,加强学科专业建设,规范职业培训,不断健全具有全球竞争力的人才培养制度体系。
第二,加强人才精细化培养。搭建人才队伍梯队,以高层人才为引领、中层人才攻坚、基层人才执行,将战略目标拆解到可实现该目标的工作职责上,如战略与法规、开发与集成、安全测试与运维等,以适应网络空间安全技术快速发展深化,为安全战略落地提供全方面的专业技术支撑。换位思考人员选育留,注重专才能力转化,分类管理分工不同的人员,实现管理经验丰富、具有扎实技术、政治思想过硬、懂法律能力强的不同层级复合型人才队伍建设,增强网安人才储备能力。
第三,注重教育应用实践效果。高校建立完善网络安全教材体系,从培养目标、教材编制、实验室建设、实践教学及联合培养基地等环节与企业加强合作。职业培训衔接学历教育,有效弥补高校教育与产业脱节短板。政府、企业内部加强人员能力持续提升,结合实际采取“线上线下”方式,及时开展针对性的职业培训,避免人才技能与岗位需求不匹配问题,满足人员在网络安全细分、前沿领域能力提升需求,助力人才培养向专精层面发展。以专才培养为补充,吸纳特殊人才、高精尖人才,提高我国网络安全人才储备保障能力。
第四,优化人才认证评价标准。网络空间是所有信息系统的集合,是复杂的巨系统,着眼网络空间安全问题,推行信息系统安全测试人员能力认证犹如安全测试领域“专业身份证”。网络安全岗位分类规范及能力标准有待进一步明确,针对现有专项领域和精细化岗位,开展个性化、针对性认证,细化资格、水平认证,培养高素质网络空间安全人才,避免出现“木桶效应”。强化对认证机构的常态化监管,不断提高认证评价质量,持续做好专业认证、管理维持等工作,确保认证体系完整规范,使人员培养机制有章可循,行之有效,促进网络安全行业发展更加规范,形成网络安全人才队伍建设发展的良性生态链。
4 总结展望
为进一步推进网络信息安全人才队伍建设,我国在战略层面、教育培训、能力认证、创新机制等方面的工作已取得了一定成效,特别是认证评价促使各项机制有机契合与相辅相成,整体成效提升。不断探索我国网络信息安全人才队伍建设的科学化、精细化发展,才能牢牢抓住人才培养创新驱动的潜能,为网络安全事业发展注入源源不断的活力,实现保障能力由大变强的转变,为推进网络强国建设和维护网络空间安全提供更好支撑。
主要参考文献
[1]周新丽,刘月琴,牛雯,等.中、美、英三国网络空间安全人才机制培养比较研究[J].计算机教育,2016(9):27-31.
[2]王远桂,李晓伟,陈诗洋.国外信息安全人才培养政策经验及启示[J].信息通信技术与政策,2018(9):69-73.
[3]封化民.人才培养:网络空间安全保障体系的关键环节[J].信息安全与通信保密,2014(5):20-25.
[4]中华人民共和国教育部.国务院学位委员会 教育部关于增设网络空间安全一级学科的通知(学位〔2015〕11号)[Z].2015.
[5]吕毅.谈银行业网络安全人才观[J].中国信息安全,2018(12):60-61.
[6]曹雅斌.网络信息安全专业人员培训认证探讨与实践[J].信息安全研究,2018,4(12):1124-1126.