先进国家网络安全人才培养机制分析及启示
2020-07-10封亚辉毛圣兵王磊
◎封亚辉 毛圣兵 王磊
(1.南京海关工业产品检测中心;2.中国网络安全审查技术与认证中心)
网络空间已成为继海、陆、空、天后的第五大战略空间,具有攻击隐蔽性强、攻击损失大、攻击技术先进等特点。网络空间安全的竞争,归根到底是网络安全人才的竞争。本文主要介绍了美国、俄罗斯、日本、英国等主要网络强国在网络安全人才培养机制上的政策措施,并进行了分析和比较,总结我国可以借鉴的经验,探索对我国网络安全人才培养方法的启示。
网络空间已成为继海、陆、空、天后的第五大战略空间,具有攻击隐蔽性强、攻击损失大、攻击技术先进等特点。因此,引起了政府的高度重视,将网络安全上升到国家安全的战略层面[1]。习近平在中央网络安全和信息化领导小组第一次会议上的讲话中指出:“没有网络安全就没有国家安全,没有信息化就没有现代化。”2018 年11 月,一种比“震网”更加恐怖的病毒袭击了伊朗,由于该病毒的攻击,伊朗境内的核设施网络全面瘫痪,基础设施和军方网络也遭受了巨大的破坏[2]。2019 年3 月,位于委内瑞拉的古里(Guri)水电站遭遇网络攻击,由于重要供电系统遭到破坏,包括首都加拉加斯在内多个城市的地铁和公交停运,移动通信也都中断[3]。一个网络安全漏洞导致了巨大损失,随着世界信息化的发展,网络安全在今后将扮演着更加重要的角色。网络安全人才决定了网络是否安全,从世界发展的趋势以及我国的发展态势来看,只有拥有大量优秀网络安全人才才能赢得未来,因此就需要系统地培养大量的相关人才。
为了在新世纪赢得战略先机,部分国家对网络安全人才的培养已经有了较为成熟的体系。美国在网络安全人才的培养道路上进行了积极的探索,采用标准先行的方式,在其颁布的国家网络安全教育计划(NICE)指导下,正在加紧培养网络安全人才。俄罗斯采用军民结合的方式,其国防部与联邦安全局等部门的下属学院培养了大量可服务于网络空间战的网络安全人才。日本英国等国寻求差异化发展,力求做好本国的防御工作,而非直接争做世界网络强国。
我国也已出台了一系列的政策,来引导社会培养网络安全人才[4]。2015 年6 月,国务院学位委员会发布了《关于增设网络空间安全一级学科的通知》,旨在实施国家安全战略,加快网络空间安全高层次人才培养[5]。2016 年7 月,中央网信办发布了《关于加强网络安全学科建设和人才培养的意见》,提出要加快网络安全学科专业和院系建设、加强网络安全教材建设、加强网络安全从业人员在职培训等意见,旨在支持网络安全学院学科专业建设,加快网络安全人才培养,为实施网络强国战略、维护国家网络安全提供强大的人才保障[6]。
本文将对当今世界几个主要网络强国的网络安全人才培养机制进行分析,再从中寻找对于我国可以借鉴的经验,最终探索出一条符合我国特色的网络安全人才培养机制道路。
一、多国政府网络安全人才培养机制分析
(一)美国网络安全人才培养机制
美国作为互联网信息技术的起源地,在网络安全人才培养方面起步也较早,对培养人才的战略目标、相关制度进行了积极探索,在战略层面上发布了较多文件。2002 年至2018 年9 月期间,美国依次发布了《网络空间人才计划》、《国家网络安全教育计划》、《国家网络安全教育战略规划:构建数字美国》、《联邦网络安全人才战略》和《国家网络战略》。这些战略方针详细地规定了从高等院校教育、尖端科技企业培训到社会人才发掘、高中生尖子选拔,再到网络安全人才“掐尖”(即以丰厚的条件吸引全球网络安全人才),以多层次、大力度的特点建设网络安全人才培养体系,表明美国政府对网络安全的高度重视[7-8]。
1、人才培养战略及框架
由政府、学术界和私营企业三方一起合作,美国商务部国家标准与技术研究院(NIST)领导的国家网络安全教育计划(NICE)致力于网络安全教育培训和员工队伍发展。该计划主要针对三类人员:1)公众,需要提升网络安全意识;2)在校学生,需要加强教育,方便构建一支网络安全储备力量;3)从业人员,需要持续提高能力水平,完成保障国家安全的任务[9]。最新版NICE 的三大目标为:1)加快学习和技能发展——激发公共和私营部门的紧迫感,以解决经验丰富网络安全工作者的短缺问题;2)培育多元化的学习社区——加强整个生态系统的教育和培训,以强调学习,衡量成果和使网络安全劳动力多样化;3)指导职业发展和劳动力规划——支持雇主满足市场需求并增强网络安全人才的招聘、雇用、开发和保留。
NICE 工作组(NICEWG)的建立是为了提供一种机制,这种机制让公共和私营部门的参与者可以在其中制定概念,设计策略,并采取可促进网络安全教育、培训和劳动力发展的行动。目前为止NICEWG 共有六个成员组,分别为学徒制组、合议制组、竞赛项目组、K-12 组、培训与认证组、劳动力管理组。这六个组独立于NICEWG 开会,并在每个月的第四个星期三一起开会交流[10]。
NICE 网络安全劳动力框架(NCWF)是面向全国的文件,通过分类和通用词典来描述网络安全工作和工作者。该框架规定了从业人员的所需能力要求,帮助国家、社会可量化的培训网络安全人才。新版框架主要包括专业领域、工作角色、任务、技能、知识、能力六个部分。专业领域把常见网络安全类别划分成了七类,包括:分析、收集与操作、调查、操作和维护、监督和管理、保护与保卫、安全供应。共包含33 个专业领域,例如威胁分析、网络运营计划。对各个领域的角色再次进行划分,共52 个角色,例如网络讲师、安全架构师等角色。同时也对某个角色所需要的技能(374 项)、知识(628 项)、能力(176 项)进行详细的划分[11]。
2、联合高校培养
美国国家安全局和国土安全部联合高校建立了国家网络防御学术卓越中心(CAE-CD)和国家网络运营学术卓越中心(CAE-CO)[12]。
CAE-CD 的目标是通过促进网络防御方面的高等教育和研究,培养具有网络防御专长的专业人员,减少国家信息基础架构中的脆弱性。在美国,所有获得地区认可的两年制、四年制和研究生水平的机构都有资格申请成为CAE-CD 学校。符合严格标准的学校将被指定,并可以选择专门研究几个重点领域。CAE-CD 机构因参与该计划而获得了美国政府的正式认可。国家安全局和国土安全部不向CAE 学校提供资金,但学校可以从其他渠道(例如美国国家科学基金会)获得资金机会[13]。
CAE-CO 计划是对现有CAE-CD 计划的补充,特别强调了与网络运营(例如收集,利用和响应)有关的技术,以增强美国国家安全态势。这些技术被授权可以进行搜集特殊的情报,对军事和执法组织至关重要。截止2020 年1 月,共有21 所大学获得了认定。
除了设立学术中心,美国政府也向高校提供项目、资金等支持。国家科学基金会的前沿科技教育项目(ATE)用于支持高科技领域技术人员的教育,其中也包括网络安全,进而驱动美国经济。ATE 通过提供资金来开发和评估创新活动,尤其是在社区大学和中学提升技术人员的教育[14]。国家科学基金会、国土安全部及人事管理办公室联合资助的“服务奖学金”项目,旨在增加和加强联邦干部的信息保障专业化。该奖学金包括学费、生活费与教育相关的费用。但是作为回报,接受该奖学金的学生需要到联邦、州、地方服务,该制度与我国的定向生制度比较相似。
3、设立在线课程
国家网络安全职业和研究计划(NICCS)是美国的网络安全培训在线资源课程。美国对NICCS 之类的计划进行了巨额投资,可帮助公民找到他们所需的教育和培训资源,以促进其职业发展并缩小网络安全劳动力的技能差距。NICCS为国家提供了必要的工具,以确保公民和员工拥有更全面的网络安全技能,并且每门课程都可以映射到国家网络安全劳动力框架。
NICCS 的课程主要分为三类:人力发展、培训、正规教育。培训资源提供了3000 多种与网络安全相关的课程,这些课程所涉及的能力、知识、技能与NICEWF 中分类一致,能够提供相关课程的组织、学术机构均能申请成为提供商。学习人员可以通过关键词、位置、距离、专业领域、提供者、熟练等级综合搜索课程[15]。联邦虚拟培训环境(FedVTE)是针对政府人员和退伍军人的免费在线按需网络安全培训系统。FedVTE 包含800 多个小时的培训,涉及从初学者到专家级别的黑客、监视、风险管理以及恶意软件分析等课程。
正规教育资源主要由国土安全部为教育工作者提供,该资源使学生能够以安全的方式学习技术,使他们成为数字化网络安全劳动力的一员。国土安全部提供的各种资源,包括大学课程以及课堂外继续教育资源。教育工作者可以找到各种课程资源,以帮助学生掌握成为网安人才所需的技能和知识[16]。
人力发展资源主要为培养经验丰富的网络安全人才提供标准,比如NICE 网络安全劳动力框架,NICE 框架映射工具、网络安全资源[17]。
到目前为止,NICE 的建设工作进入第十年。2019 年5 月2 日,特朗普新签署了《关于美国网络安全人才队伍的行政令》[18],这表明美国在网络安全人才队伍建设过程中的决心,建设进入了全面优化升级的新阶段。
(二)俄罗斯网络安全人才培养机制
俄罗斯也出台了一系列网络安全人才培养的政策措施,其主要通过教育培训储备网络空间站人才、通过选拔招募扩充网络空间站人才等途径培养相关人才[19]。
俄罗斯国防部、联邦安全局、内政部等机构对网络安全人才的培养都非常重视,都采取了教育培训的方式,通过建设相关学科与专业来系统化、批量化地培养人才。俄罗斯联邦国防部下属的军事通信学院,该院开设了中等职业教育、高等教育(专业、硕士、博士)等学历教育。其中高等教育(专业)包括信息通信技术、特殊通信系统、特种自动化系统运用等专业,学生在这里主要学习各种通信系统与网络应用,特种操作系统的应用,自动化信息处理技术,特种软件开发等技能。该学院的毕业生被授予军衔“中尉”和“工程师”,并颁发国家文凭[20]。与国防部相比,联邦安全局的所属院校在其学科专业设置更加完备。密码通信与信息研究所拥有密码学、信息系统安全分析、计算机系统信息安全、计算机安全、信息安全自动化系统、反情报技术等专业。所有专业都是为期5 年的学习时间,在学习完成后,毕业生会获得“信息系统专家”的资质认证[21]。不管是军队部门还是其他部门,都采取了通过教育培训的方式来获取高质量网络安全人才。
除了由院校培养网络安全人才外,俄罗斯军方也很重视通过选拔招募扩充网络空间战人才。一种是国防部以“科学连”的形式从在校大学生中直接选拔网络安全人才服役,另一是直接招聘或从各类“黑客”竞赛中直接招募[22]。科学连制度的目的就是为了吸引在校优秀人员到军队中服务,在已组建的连队中,许多与网络空间安全直接相关,比如特种通信方法研究、相关软件的开发,这些工作对未来的网络攻防战都十分的重要。俄罗斯联邦国防部特别发展中心曾公开招聘软件工程师,电子工程师。对软件工程师要求基本的数学基础知识,丰富的计算机知识(优化方法,现代算法,编码和压缩算法);掌握C++,C#,Java,Matlab 等编程语言;具有逆向分析软件工具的技能、数据库经验(Oracle,MySQL)、网络协议方面的经验[23]。除了从社会招聘,俄国防部既参与举办全国性、地方性的各类网络安全比赛来发现人才,也自己主办比赛[24],大大提高相关人员的技术水平。
(三)日本网络安全人才培养机制
日本政府2019 年用于网络安全的预算申请总额为852.8 亿日元,与2018 年相比增长了约38.16%[25]。而前两年的增长率分别为5.73%,3.1%,说明日本政府开始重点加强网络安全的建设。其中用于加强网络安全人才培养的经费主要用于建设国家网络培训中心和协助大学等教育机构培养符合业界需求的信息安全人才[26]。
2013 年6 月,日本政府发布了《日本赛博安全战略》,改文件要求从三个方面培训网络安全相关的优秀人才:1)强化学历教育网络化转型,主张中高等学历教育向信息安全领域倾斜;2)举办各类网络安全类的竞赛;3)大力支持留学深造[7]。
日本在高等教育学历方面开设了网络安全专业。同时设立涉及《网络安全基本法》与企业遭受网络攻击案例的课程作为初学者的必修课程,达到全面普及的目的[27]。
(四)英国网络安全人才培养机制
英国作为发展互联网较早的国家之一,通过互联网实现了国家综合实力的大幅度增强,政府也高度重视网络空间安全的发展。英国培养网络安全人才大致可以分为三个阶段,布朗政府时期的探索起步阶段、卡梅伦政府时期的全面发展阶段、特普莎政府时期的完善提升阶段[28]。
在探索阶段的主要工作为提升公民的网络安全意识和加强专业人员的技术能力,通过设立保证青少年安全上网的法律法规和制定网络安全人才认证标准框架来实现。在全面发展阶段,英国政府将重心放在了学历教育上,通过学历评估、设立专项基金、校企联合共建研究所等措施,显著提升了网络安全人才的质量。在全面发展时期,英国建成了国家网络安全中心,该中心成为英国最权威的网络安全机构,该中心主要负责制定、推进未来的国家网络安全战略。
对于人才的培养方式,英国主要有四种:1)传统的学历教育;2)专业认证与竞赛;3)行业协会联合大型企业联合培养;4)特殊渠道发现培养[29]。除了本科外,英国也重视硕博士的高等学历教育,对硕士学位进行评估认证,2013 年还建立了两个博士培训中心。CCT 认证主要针对安全和信息风险咨询项目,CCP 认证主要针对信息保障架构项目。英国的行业协会e-skills 与多家技术公司联合培养安全专家、渗透测试员、安全架构师等人员。
表1 多国政府培养机制对比表
(五)多国机制对比
见表1,多国政府培养机制对比表。
二、对我国的启示
随着全球信息化趋势的发展,制定国家网络安全战略已成为绝大部分国家的共识,其中网络安全人才培养势必是战略重要部署之一。因此,本文的第一部分主要对部分欧美亚国家的网络安全人才培养机制进行调研分析,为后续为我国网络安全人才培养机制的制定提供参考与借鉴价值。
(一)制订总体培养方向,提供相关认证标准
美国先后发布了《国家网络安全教育计划》《NICE 教育规划》《网络安全职业和研究国家倡议》《国家网络安全人才框架》等战略性文件,表明了美国在网络安全人才培养方面的系统性、全面性[30]。而中国起步较晚,虽然目前已经发布了部分网络安全战略规划文件,但在网络安全人才培养方面上还缺乏相对应的顶层设计和政策,这就需要政府重点关注和解决,以快速推动网络安全人才培养工作。
在设计总体战略规划的同时,也要设计好相应的认证评估标准,避免人才与实际需要的不对口问题出现。网络安全涉及公众隐私、政治安全、国家安全,因此相关从业人员需要非常好的职业素养才能胜任。可以借鉴律师、医生、会计等行业规则,从事网络安全行业的人员要经过专业的认证才能工作。
(二)产学研多方位共同培养网络安全人才
当前我国网络安全人才数量缺口高,预计到2020 年将超过140 万。教育部网络空间安全专业教学指导委员会秘书长封化民指出:“网络空间安全人才培养的数量远远满足不了社会需求,目前每年网络安全学历人才培养数量不足1.5 万[31]。”
2015 年,教育部将“网络空间安全”设为一级学科。目前来看,通过高校培养是我国培养网络空间安全人才的主要方式,但高校更加注重理论教学,缺乏参与产业实践的机会。学校教学与社会所需脱节,必将造成所耗资源的浪费,我国应打破政企壁垒,通过产学研联合进行人才培养,来提升人才培养效率,降低人才培养成本[32]。首先企业应起带头作用,明确所需网络安全人才的需求。其次通过校企联合进行培养,使在校学习理论的学生得到丰富的实践机会,提高学生的实践能力。同时企业也可以将自身所遇到的问题与高校等科研机构进行分享,共同解决。通过高校与企业的结合,采用产学研多方位共同培养的方式,可以同时提高高校网络安全人才的理论水平和实践能力,大幅度提升人才的综合素质。
(三)提供社会职业培训机制
学校培养人才需要一个较长的周期,面对我国网络安全人才短缺的问题,学历教育是难以解决该问题的,因此需要提供社会上的职业培训机制。
通常可以采取两种方式,一种是在线教育,一种是培训班教育。在线教育灵活方便,已工作的人难以有大量时间学习某种知识,利用空余时间学习成为首选方式。因此政府可以设立专门的网络安全网站提供学习资源,同时具有相关资质的公司也可以该网站上开设课程。对于培训班教育,主要是面向零基础、想快速进入网络安全行业的人员。通过几个月的系统学习,学员可以快速掌握网络安全知识,掌握行业要求的技能。
对于社会职业培训的难点在于如何保证课程资源的全面、成体系,如何避免不良培训公司为了盈利而不顾教学质量。为了克服这些问题,也需要出台一系列政策保证职业培训机制的推进。
(四)提高国民宣传力度
通过举办类似于“国家网络安全宣传周”这种活动,可以让更多公众了解网络安全,认识其重要性,提高国民的整体网络安全素质。当后备人才足够多时,通过一定的引导即可将他们培养成高质量人才。
通过举办一系列高质量比赛,让参与者与举办方都受益。对参与者来说,比赛是锻炼其技术的一个平台,不用冒着违法风险去攻击他人网站,同时也可以增进自己在网络安全方面的知识;对政府、公司等举办方来说,可以发掘一批民间高手,增加其网络安全人才队伍。甚至模仿数学、物理等课程科目,建设成中小学的专业竞赛项目,形成不同年龄段的网络安全后备人才。
(五)小结
通过顶层战略设计出一个完善的网络安全人才培养方向,既符合社会需要,又符合社会实情。学历教育主要负责系统地、长期地培养人才,职业培训主要是在短期内培养人才。最终都通过一定的标准认证,保证人才的高质量,高价值。这样既有长期机制,也有短期机制,多层次多方位共同培养人才,可以解决我国当前人才缺口的问题,也有利于为未来培养大量的人才。
三、结语
本文主要介绍了美国、俄罗斯、日本、英国等国家在网络安全人才培养机制上的政策措施。其中美国的培养机制最为完善,在顶层设计、具体体系、未来发展方向都有详尽的保证。俄罗斯主要为其军队培养网络空间战人才。英国、日本等国主要为通过学历教育来培养人才。
各个国家为在网络空间上占得优势,都在尽力发展技术,培养人才。为了保证国家安全,必须保证网络安全,人才是一切保证的根本,因此重点培养一批有知识、有能力的网络安全人才成为我国现在与未来的重要任务。在自身发展的同时,我们也要充分借鉴其他国家的经验优势,不断完善人才培养机制,赢得未来的人才。