就业市场对网络安全人才的需求分析
——基于企业招聘广告的内容分析
2020-03-24刘崇瑞王洪杰孙宝云
刘崇瑞,王洪杰,王 聪,孙宝云
(1.北京电子科技学院管理系,北京 100070; 2.北京城市学院经济管理学部,北京 100083)
1 研究背景
党的十九大报告明确指出要坚持总体国家安全观,网络强国思想足以彰显网络安全已成为国家安全的战略保障。网络安全的竞争归根结底是网络安全人才的竞争,然而目前我国网络安全人才队伍的建设情况不容乐观。从2016年6月中央六部委发布的《关于加强网络安全学科建设和人才培养的意见》,2017年12月全国人大执法检查组发布的《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》(简称“一法一决定”)实施情况报告看,目前我国网络安全人才数量与质量均无法满足建设网络强国的战略要求。2018年4月习近平总书记在全国网络安全和信息化工作会议上强调,要“研究制定网信领域人才发展整体规划,推动人才发展体制机制改革”。可见,科学的网络安全人才培养模式已成为我国网络安全人才队伍建设的重要支撑[1]。
国内学术界与实践界对于网络安全人才培养的研究尚处于起步阶段,且以分析国外相关实践为主。已有研究主要集中于以下方面:一是有关国内网络安全人才培养模式与路径方面的研究,如结合时代背景从教育体系、社会培训体系、人才评价体系出发,整合网络空间安全人才培养体系与模式[2]、提出网络信息安全方向协同育人机制[3]、网络安全人才培养创新机制等[4];二是开展网络安全人才队伍建设的国别研究,重点介绍国外经验及对国内的启示,包括美国高校网络安全专业的发展特点[5]、美国、日本等国家的网络安全人才培养机制[6-8]、专业教育实践等[1,9];三是聚焦国内网络安全人才队伍建设现状、问题及对策研究[10-11];四是发布网络安全相关报告。如《中国信息安全从业人员现状调研报告(2017年度)》《网络安全人才市场状况研究报告》《2018网络安全人才发展白皮书》提供了我国网络安全从业人员的基本构成和分布、人才供需和结构、能力提升、职业发展等方面的基础数据[12-14]。
我国《国家网络空间安全战略》的发布反映了国家层面对网络安全本土化治理的实践诉求,因此,立足我国现实情境,实证探究我国网络安全人才培养模式,是实现网络安全人才培养契合实践需求的重要保障。本文以510条企业招聘广告为样本,运用内容分析法,从企业视角实证探索我国就业市场对网络安全人才的任职需求,以期促进网络安全人才培养模式与现实需求的良好对接,进一步推动《国家网络空间安全战略》的落地。
2 研究设计
2.1 研究方法
本文采用内容分析法对企业的招聘广告进行分析,该方法被广泛运用于学术研究,如潘香笑等[15]运用该方法分析了企业信息咨询职业的核心技能需求;周晓燕等[16]运用该方法对大数据管理人才的知识结构进行了归纳。借鉴已有研究的做法,本文通过对招聘广告的内容进行分析,将文本内容转化为量化数据,以揭示企业对网络安全人才任职要求的内容及特征。
内容分析法主要遵循以下步骤:明确分析对象、选择研究样本、构建类目体系、文件分类与编码、数据分析、信度检验[17]。本文将严格遵循以上步骤,对企业的招聘广告内容进行分析,以获取企业对网络安全人才的任职要求。
2.2 数据提取与处理
2.2.1 明确分析对象
企业招聘广告包括招聘岗位的工作职责及任职要求等信息,客观反映了企业对任职者的工作要求。由于企业招聘广告会明确提出任职者的胜任信息,当某一胜任特征出现的频次越高,表明该胜任特征在就业市场被广泛需求。
2.2.2 选择研究样本
通过比较后发现,智联招聘网站的职位检索性能与检索结果等信息更合理、全面,本文最终选择智联招聘作为招聘广告的来源。在智联招聘网页界面进入高级检索,设置的检索条件为:行业类别、公司性质、公司规模、职位类别、工作经验、学历要求、月薪范围不限;据《网络安全人才市场状况研究报告》显示,北京、上海、深圳、广州、成都的网络安全人才需求量共占全国总需求的50.6%,因此本文的工作地点选定这五个城市[14]。数据收集时间为 2017年12月24 日。职位类型=全职,发布时间=所有时间,采取全文检索途径,当关键词职位=网络安全专业,得到招聘广告123 条,当关键词职位=信息安全专业1),得到招聘广告631条,共计754条招聘广告。将每条招聘广告按照企业规模、企业性质、工作地点、职位类别、学历、工作年限、工作内容、任职要求等内容进行整理,同时,为确保数据的稳定性,本文事先对搜索结果进行网页保存以便脱机浏览。
最终遵循以下标准对754条招聘广告进行整理与筛选:(1)任职要求中写明需要网络安全专业或信息安全专业;(2)对相同企业发布相似职位的招聘广告进行去重,确保所选样本可全面反映企业对网络安全专业人才的任职要求,通过以上方式,最终确定510条招聘广告为内容分析对象。
2.2.3 构建类目体系
在510条招聘广告中,每条招聘广告都包含以下基本内容:企业规模、企业性质、工作地点、职位类别、学历、工作年限,以上内容构成了组织及任职者的基本信息。同时,每条招聘广告较详细写明了任职要求,本文据此构建统计类目体系并进行深入挖掘。
构建类目体系前,为保证类目体系的客观性与完整性,本文在确保招聘广告内容的完整性的基础上进行了如下处理:减少具体行业或具体职位的特殊要求,力图呈现各类网络安全职业的通用胜任特征;将相似职位归为一类,如将“IT销售经理”“IT销售主管”归为IT销售类。最后通过统计所有岗位的频数及所占总数的比例,了解企业对相关岗位的需求情况。
本文从510条有效招聘广告中随机抽取了75 条招聘广告为数据基础进行内容分析,并初步建立网络安全专业人才的任职资格类目体系(表1),然后将该体系运用到剩余的435条招聘广告中予以试验和优化。
表1 网络安全专业人才的任职资格体系
表1(续)
2.2.4 分类编码及信度检验
本文首先解读、提炼招聘广告中的任职要求,通过记录某项具体要求的出现频数以评估企业对各项任职要求的重视程度。具体操作为,某项具体要求出现一次即记1分,否则记0分。为保证招聘信息的类目体系划分的客观性、稳定性和一致性,确定类目标准后,两名研究者同时对随机抽取的75个招聘广告信息进行分别编码,然后对比二者的编码结果。本文依据霍斯提的一致性百分比公式检验本文构建的类目体系的信度,经计算本次编码的信度为98%,表明信度满足理论要求,信度检验结果符合标准。
3 网络安全人才的需求分析
3.1 企业维度
从企业所在地看,招聘数量由高到低依次为北京(54%)、上海(17%)、广州(11%)、深圳(9%)和成都(9%),可见目前国内对网络安全人才需求量最大的地区主要集中在北京。从企业性质看,民企占企业总量的近一半比例(44%),国企占企业总量的18%,两类企业对网络安全人才的需要超过总需求的60%,需要指出的是,本样本所包含的事业单位较少,这在一定程度上由于我国事业单位主要通过在机构官网上发布招聘信息,因此未被本次网站抽样包含,因此本文所指的就业市场基本指企业;从企业规模看,企业规模为100人以下的企业占27%,100~499人的企业占38%,500~999人的企业占12%,1 000人以上的企业占23%,其中500人以下的中小型企业对网络安全人才的需求占总样本的65%,是需求网络安全人才的主力军。
3.2 职位维度
职位名称直观反映了企业所需网络安全人才的职位性质与职位定位,通过初步分析招聘广告内容,本文将职位性质归纳为四大类:IT类、市场类、安全认证类、咨询教育类(图1)。该结论一定程度上与胡旻[18]对我国网络安全人才的需求分类一致,胡旻[18]按照实际应用场景,将我国就业市场对网络安全人才的需求类型归纳为技术支持类、安全等级评估类、研究分析类等。
其中,IT类所占比例最大,相关职位主要分布在IT运维/技术支持、软件/互联网开发/系统集成、IT管理/项目协调三类职业中,市场类职位分布于售前/售后技术支持、销售业务/管理两大类职位中,可见网络安全相关的市场类职位仍以技术性支持为主;安全认证类职位主要分布于质量管理/安全防护中;咨询教育类职位主要分布在咨询顾问/教育培训类中。该结果对高校网络安全专业建设的启示在于,高校网络安全专业培养方向应基于就业单位需求与学校自身定位灵活匹配,在招生规模与专业方向分布方面应根据市场需求适时调节,以避免网络安全人才市场的结构性矛盾。
图1 职位类型分布
3.3 任职要求维度
通过编码,本文得出企业对任职者的具体需求在510条招聘广告中出现的频次,根据频次的高低进行分析,频次越高说明该项要求越重要。
3.3.1 基本资历要求
企业对任职者的基本资历要求包括专业、学历和工作经验三类。其中,通过分析招聘广告中的专业需求,发现明确要求信息安全相关专业的广告为407条,明确要求网络安全相关专业的广告为68条,明确要求为信息安全或网络安全相关专业的广告为35条,虽然目前企业界存在“网络安全”“信息安全”两种名称,但通过对广告内容的深度分析,发现两种名称同指“网络安全”,这正如我国学者王世伟[19]指出,国内对“信息安全”与“网络安全”并未作严格区分。
从职位的学历要求看,要求学历为大专及以下的职位占34%,要求学历为本科的职位占59%、要求学历为研究生的职位占7%。可见,企业对网络安全任职者的学历要求普遍不高,主要集中于本科及以下学历,这在一定程度上源于网络安全专业作为近年来的新兴学科,其成熟与发展需要一个过程。
从职位的工作经验要求看,工作经验不限的职位占34% ,28%的职位要求1~3年的工作经验,29%的职位要求3~5年的工作经验 ,9%的职位要求5~10年的工作经验。这表明,企业对任职者的工作经验要求较低,这也从侧面反映了“网络安全人才荒”这一现实问题的严重性。近1/3的企业对工作年限没有要求,可见工作年限不是网络安全专业应届生求职的最大门槛。
3.3.2 知识要求
510条招聘广告中有245条提出了知识要求,知识要求主要包括以下四个方面:网络安全专业理论知识、网络安全产品知识、网络安全政策法规/标准、计算机基本知识(图2)。具体而言,网络安全专业理论知识主要包括攻防理论、密码与算法等专业性较强的理论知识;网络安全产品知识包括国内外主流网络安全产品如防火墙、加密认证类设备等相关知识,可见,企业对任职者的实践性知识具有一定要求,这也为网络安全人才培养提出了新要求,应注重与实际结合,培养学有所用、学以致用的人才。网络安全政策法规/标准主要包括等级保护、分级保护相关的政策法规与具体标准,说明企业要求任职者熟悉该专业领域内相关政策法规与标准。计算机基本知识主要有计算机操作系统、数据库、计算机软/硬件、编程语言、计算机网络及通信协议,可见企业要求网络安全人才掌握较全面的计算机基础知识,这也是必备的专业基础知识。
图2 网络安全人才的知识要求
3.3.3 技能要求
根据调查内容,将网络安全人员所需的工作技能分为专业技能、计算机基础技能、人际技能三类,专业技能指在网络安全相关岗位中运用专门技能,计算机基础技能是网络安全专业作为一门理工科背景专业所必须的一般技能,人际技能指能妥善处理人际关系的能力。2013年美国政府在“Professionalizing the Nation's Cybersecurity Workforee? Criteria for Decision-Making”报告中提出,网络安全职业不仅要求技术这种“硬技能”,也要求团队合作、团队沟通等“软技能”。因此本文将人际技能纳入到网络安全人才的技能要求。这三种技能不仅能使工作顺利完成,同时也构成了衡量网络安全人才的标准。
在专业技能方面,基于执业资格认证的专业技能需求较多,179条招聘广告提出了执业资格认证需求。网络安全执业资格认证类型按认证部门性质可分为政府认证执业资格、企业认执业资格证、协会认证执业资格三类,结果表明,146条招聘广告明确要求任职者具有政府认证执业资格,主要集中于CISP/CISAW(125条);106条招聘广告明确要求任职者具有企业认证执业资格,主要集中于思科认证执业资格如CCNP/A、CCSP/A/E、CCIE(95条);177条招聘广告明确要求任职者具有协会认证执业资格,主要集中于CISSP(101条)、CISA(59条)。可见,企业对于三类执业资格均有需求,相比而言对协会类认证执业资格需求最大。
就具体专业技能而言,本文根据国家信息系统安全等级保护基本标准(GBT22239-2008)对招聘广告中所提及的专业技能进行了分类,结果表明,出现频次最高的专业技能为网络安全技能、系统运维技能、系统建设技能。其中网络安全技能的出现频次最高,主要包括安全审计、入侵防范、网络设备防护等,毋容置疑这是对网络安全专业人才最基本的技能需求;其次是系统运维技能,包括设备管理、网络安全管理、系统安全管理等;系统建设技能包括软件开发、等级测评、设备调试等。
计算机基础技能是网络安全专业人才必备的基本技能。本次招聘广告样本中,操作系统、编程语言与数据库是出现频次最高的基本技能,这也是任职者展开网络安全工作的必备技能。网络协议与办公自动化技能的出现频次次之,显然,这两项技能作为网络安全职业的核心必备技能,已成为企业隐含的基本要求。
在人际技能方面,企业中绝大多数职位都对任职者的人际技能提出了不同要求(图3),出现频次最高的三种技能为沟通能力、团队合作与组织协调能力。其中,510条招聘广告中,301条要求具有团队合作或团队意识,160条广告要求沟通能力,141条广告要求组织能力或协调能力,这对网络安全人才培养的启发在于,虽然网络空间安全为理工科专业,但仅侧重技术层面的培养并不能满足实践需求,企业对任职者的人际技能也具有较高要求。
3.3.4 职业素养要求
相比工作技能,企业对任职者的职业素养提出的要求更为具体。职业素养比较隐性,但它对网络安全工作的影响不容忽视。通过分析510条招聘广告发现,大部分企业对网络安全人才提出职业素养要求(图3),比较突出的是责任心、积极主动,可以反映出企业对任职者的工作态度要求。值得一提的是,从招聘广告看,虽然对任职者的职业道德提出明确要求的企业较少,但网络安全职业作为一门新兴的安全类职业,职业道德是确保网络安全的重要前提,且公安部与人事部联合发布的《信息网络安全专业技术人员继续教育培训教材培训大纲》中明确提出以提高政治素质与职业道德为培训目的,可见职业道德是网络安全人才必备的隐性职业素养。表达能力、思维逻辑能力、文档撰写能力与学习能力出现频次较高,反映了企业对网络安全人才的认知能力需求。此外,出差、抗压力出现频次较高,这反映了工作性质对职业素养要求。
综上所述,可以大体上明确网络安全人才的市场需求状况,同时也可总结网络安全人才的培养方向。网络安全人才是典型的复合型人才,要构建以基本资历结构、知识结构、技能结构和职业素养为主的网络安全人才能力结构模型: 具备网络安全专业的本科学历,掌握扎实的网络安全理论知识、网络安全产品知识、计算机基本知识,熟悉网络安全政策法规与标准,具备专业技能、计算机基础技能与人际技能,具有积极负责的工作态度、较强的职业道德与职业认知能力、抗压耐压的心理状态。只有具备这些内涵要素,才能成为一名符合企业要求的网络安全从业者。
图3 网络安全人才的人际技能与职业素
4 结论与启示
4.1 研究结论
本文通过对510条招聘广告进行内容分析,发现企业对网络安全人才的任职要求大致包括基本资历、知识、技能、职业素养四个方面。就基本资历要求而言,企业对任职者的学历要求以本科为主,专业要求集中于信息安全相关专业,工作年限以0~3年为主;知识要求不仅包含网络安全专业理论知识与计算机基础知识等理论知识,也包括网络安全产品知识、网络安全政策法规与标准体系等实践知识;技能要求包括专业技能、计算机基础技能与人际技能三个方面,专业技能要求从业者能够熟练运用网络攻防、入侵防范、漏洞修复等具体专业技能与职业资格认证;计算机基础技能侧重对操作系统、数据库、计算机网络与协议、编程语言、软硬件维护等基础技能的要求;人际技能则侧重沟通能力、团队合作、组织协调能力。网络安全人才的职业素养日益受企业重视。从企业对职业素养要求的分析结果看,职业态度方面强调责任心与积极主动;职业认知能力方面强调表达能力、思维逻辑能力、文档撰写能力与学习能力;职业性质方面强调抗压力、出差。
综上,目前我国企业对于网络安全人才的任职需求呈以下特点:
(1)理论知识与实践知识同等重视。通过调查结果可见,企业不但要求任职者具备网络安全专业理论知识与计算机基本知识,也同样要求国内外主流网络安全产品知识及国内外网络安全政策法规与标准等知识,这反映了企业要求网络安全人员不但具备网络安全相关理论性知识,也要熟悉实践中的常用产品知识及现行政策法规与标准。
(2)硬技能与软技能并重。通过对招聘信息的分析发现,计算机基本技能与专业技能是工科专业任职者必备的硬技能,任职者的软技能——人际技能也日益受到就业单位的重视。通过对招聘广告的内容分析发现,企业对任职者的团队合作、沟通能力、组织协调能力等软技能最为重视。由此可见,就业市场不但要求网络安全从业者具备专业相关技能,对其人际技能也同样重视。
(3)职业素养备受关注。研究发现,网络安全职位对任职者的职业素养也提出了较具针对性的要求。具体而言,工作性质方面的职业素养强调可接受出差、抗压力,工作内容方面的职业素养强调学习能力、逻辑思维能力、表达能力与文档撰写能力,工作态度方面的职业素养强调责任心、积极主动。
4.2 对网络安全人才培养的启示
企业对网络安全人才的综合要求反映了就业市场对网络安全专业教育的期望与定位,本文分析结果对我国网络安全人才培养的启示在于:
4.2.1 加强理论课程与实践课程的融合
网络安全职业的特殊性对理论教学与实践教学相融合提出了更高要求,但目前我国网络安全人才培养与培训的课程内容设置仍以理论课程为主,难以契合网络安全职业注重实操性的这一特殊要求。因此要加快网络安全人才培养的课程体系改革,突破以计算机理论课程为中心的教育框架,通过多学科知识的融合将理论课程与实践课程相结合,如在教学过程中可将实战演练纳入到授课体系中,通过多种授课方法如情景模拟法,让学生更贴近现实场景,通过在理论课程内容中纳入更多实践操作环节,从而培养理论知识高、实践能力强的网络安全人才。
4.2.2 制定兼顾软技能的人才培养方案
本文的研究结果表明,目前就业市场对网络安全人才的要求也并非仅仅是“懂理论、会技术”,网络安全人才的人际技能同样备受重视,尤其在本文的类目体系中出现频次较高的团队合作、沟通能力、组织协调等技能。国外也日益重视网络安全人才的软技能开发,如美国国家标准与技术研究所于2014年正式发布的NCWF 2.0,在NCWF1.0的基础上增加了网络安全职业应具备的软技能(如个人效能管理能力等。因此,未来我国网络安全人才培养方向要兼顾软技能的提升。
4.2.3 注重提升职业素养
相比基本资历、知识、技能,职业素养显得比较隐形,但它对网络安全工作的影响不容忽视。结果表明,企业对于网络安全人才的职业素养高度重视,可见目前就业市场对网络安全人才的职业素养要求已初具雏形,这为网络安全人才培养的方向提供了重要参考。基于网络安全职业的特殊性,我国政府部门制定的《信息网络安全专业技术人员继续教育培训教材培训大纲》中明确提出以提高网络安全人才的政治素质与职业道德为培训目的。因此,职业素养的提升要作为网络安全人才培养的重要导向。