张红艳，武 威

（1.石河子大学 师范学院／兵团教育学院，新疆 石河子 832003；2.江西交通职业技术学院 党委组织部，江西 南昌 330013）

美国作为计算机和网络技术的源起国，在高度应用、依赖网络的同时，也成为网络安全事故的高发国家。网络攻击曾导致包括国务院、国防部在内的多个联邦政府部门丢失了海量信息，白宫以及工业和安全局曾遭受到不明黑客入侵，深深威胁到美国的国家安全。[1]早在2008 年奥巴马政府就将网络安全视为一个国家面临的严重的经济和国家安全挑战，就任后立即对网络安全现状开展调查，其后公布的调查报告《网络空间政策评估》（Cyberspace Policy Review）指出，“美国面临双重挑战，既要维护促进创新、开放互联互通、经济繁荣、自由贸易和自由的环境，又要确保公共安全、安全、公民自由和隐私”，并提出“提升公民的网络安全意识和数字素养，建设满足21 世纪需求的数字化员工队伍”的建议。[2]在保障国家安全和经济发展的双重呼唤下，开展面向全民专门性的网络安全教育活动迫在眉睫。美国2008 年制定的《国家网络安全综合计划》（Comprehensive National Cybersecurity Initiative，CNCI）指出，虽然美国投入了大量资金用于网络安全技术的提升，但拥有足够知识、能力和技能的网络安全人才才是实现网络安全的关键因素。面对人才紧缺现状，有必要效法20 世纪50 年代提升数学与科学教育的国家战略，通过“拓展网络安全教育”建设全球领先的网络安全人才队伍。[3]奥巴马也曾发表讲话称：“美国面临的最紧迫的挑战莫过于让我们的孩子准备好在全球经济中竞争”。[4]网络安全教育成为国际竞争的新赛道，美国力争头筹。

一、美国网络安全教育的演进趋势

美国国家标准与技术研究院于2012 年、2016年和2020 年发布的三份《国家网络安全教育战略规划》，通过阐述和设立阶段性教育愿景、目标、任务和价值观，指导开展网络安全教育实践。整体上呈现出由综合统筹到重点部署，再到细化完善的演进趋势。

（一）愿景：从宏大远虑到聚焦繁荣，再到卓越发展

2012 版《NICE 战略》是世界上首个国家级的网络安全教育战略，具有开创性意义。该版战略愿景为“通过循序渐进的网络安全教育、培训和意识活动以满足全方位的网络安全需求，促进美国成为一个经济繁荣和安全的数字国家”。由此可见，网络安全教育战略诞生伊始便呈类型化设计。网络安全教育类型划分以受教育者与网络空间互动程度与承担维护网络空间安全职责的差异为基础，一是面向大众的意识提升型教育活动（awareness）；二是针对学生群体开展的学校正规教育活动（education）；三是面向从业人员进行的人才培养型教育活动（train）。

2016 年愿景更新为“由知识渊博、技能娴熟的网络安全人才推动的数字经济”，没有提及保护国家安全的一面，只阐述了网络安全教育对经济的影响。2020 版愿景进一步更新为“准备、发展和维持一支可保卫和促进美国国家安全和经济发展的网络安全人才队伍”。最新版战略在特朗普任期内发布，其愿景是特朗普对美国网络安全现状重新研判的结果，再次明确了网络安全教育对保护国家的重要性，进一步提升了网络安全人才的战略地位。2012 年与2020 年出台的两版战略愿景虽然都强调国家安全及经济繁荣，但新版战略重心明显向网安人才的培养与发展倾移。可见当前美国不仅意在通过网络安全教育保卫国家安全与促进经济发展，更意在通过高精尖人才的培养应对激烈的全球竞争，在国际网络空间中取得优势地位。与此同时，NICE 战略制定了阶段性的使命以支持实现愿景。教育使命从最初肩负“提升国家整体网络安全的态势”，到中长期内构建“集网络安全教育、培训和人才发展于一体”的生态系统，网络安全教育定位虽然出现了收缩但具有相对一致性。

（二）目标：从全面铺开到专门部署，再到精准提升

2012 版《NICE 战略》根据三种教育类型分别确立了不同的教育目标。一是面向普通群众，提高公众对网络空间风险的认识；二是面向在校学生开展学校正规教育，扩充网络安全劳动力队伍的人力储备；三是针对网络安全领域从业人员，培养其国际竞争力。分类化的教育目标设计提升了网络安全教育实践的可操作性，为促进网络安全劳动力的规模化发展提供可能。

由于网络安全人才培养周期长，如若考虑到特定行业对员工额外经验能力的要求，网络安全人才短缺将会持续存在，因此必须从教育和培训系统着手改善。[5]2016 版战略的三个目标均以人才培养为导向，意在从教育和培训两方面加快实现网络安全队伍的多样化与专业化发展。目标一为加快学习和技能发展，激发公私部门的紧迫感，进而解决工作熟练网络安全劳动力的短缺问题；二为培育多元化的学习社区，来加强整个生态系统的教育和培训，以强调学习、衡量成果并使网络安全人才队伍多样化。三为指导职业发展和劳动力规划，支持雇主解决市场需求，加强网络安全人才的招募、雇佣、发展和留用。三个目标分别从影响网安人才发展的“上游”学校教育段、“中游”职业培训段和“下游”的人才使用段三向发力，缩短人才培养周期并扩大人才来源。

2020 版战略提出五点目标，将影响人才培养和发展的多环节纳入考虑，全方位打造世界一流网安人才队伍。目标一是促进网络安全职业和多种途径的发展；二是转变学习方式以建立和维持多样化和熟练的员工队伍；三是现代化人才管理流程，以解决网络安全技能差距；四是扩大网络安全劳动力框架（Workforce Framework for Cybersecurity）的使用；五是驱动关于有效建设网安人才队伍实践的研究。最新版战略在延续、细化前期目标的基础上，有三点创新与突破。一是重视人力资源管理要素，力图为网络安全人才营造良好的职业培训与发展环境。二是强调开展事关网络安全教育的科学研究，重视循证教育，并利用研究结果支持与改进当前的教育活动。三是首次把细化完善、并大力推广网络安全劳动力框架设为主要战略目标。该框架在广泛收集网络安全行业、学术界和政府专家意见的基础上，经过实践验证至今已经更新至第四版。[6]NICE 战略积极推进该框架与美国政府开发的其他网络安全框架诸如计算机安全培训指南、隐私框架、信息时代技能框架等相对接，为网络安全人才培养和发展起到重要的支撑作用。从一开始面向全民进行类型化铺排，到聚焦潜在、现有劳动力群体进行具体设计，再到促进其标准化和持续化发展，三版战略的教育目标层层递进。

（三）价值观：从模糊单一到形式多元，再到进阶深化

NICE 计划需要利益攸关者的协作推进。NICE战略通过树立统一的价值观作为开展网络安全教育活动时所需坚守的基本准则，加强了利益攸关者间的联系和共同度。2012 版战略虽未把价值观作为独立内容板块，但在战略主题部分指出“利益攸关者的支持是实现NICE 目标的核心”，而“凝聚共识是确保机构间倡议（NICE）持续成功的一种方式”，为后续战略价值观的确立指明了核心要义所在。

2016 版战略与2020 版战略的价值观基本一致，主要围绕两方面所设立。一方面聚焦于利益攸关方如何开展网络安全教育活动，强调“促进沟通、增进协作、共享和利用资源与示范包容”的价值观。由于NICE 本质上是一个多方参与的协调机制，以上价值观可促进该机制的良好运行。促进沟通指提高利益攸关者对网络安全教育和网络安全人才重要性的认识，鼓励多主体加大开放，即提供教育资源的力度以建立信任；增进协作指将不同利益相关者对网络安全知识和技能的多种观点和方法结合起来，以实现最佳的教育结果；共享和利用资源指利益攸关者支持NICE 内部委员会开发的教育方法和问题解决方案；示范包容指倡导和促进来自多元背景和持不同观点的利益攸关者的参与。

另一方面落脚于开展什么样网络安全教育活动，对此战略提出“追求行动、循证行事、激励创新、挑战假设、测量评估和改进”。这五条价值观的内涵分别为：为实现网络安全教育使命和目标制定具体步骤，实现可交付的结果；寻求客观可靠的信息来源，并使用数据为教育行动或决策提供信息；启发尝试新方法，寻找可能颠覆或挑战现状的创造性和创新性解决方案；检查过去和现在应用于网络安全教育、培训和劳动力方法中的基本原理，将关键分析应用于未来的解决方案；通过定量和定性的方法来评估教育结果的有效性，进而提高效率。2020 版战略在2016 版战略的基础上，将“拥抱变革”与“激励创新”的价值内涵进行了合并，并把“测量结果”更新为“评估与改进”，是对原有价值观在教育进程中的进一步凝练与深化。

二、美国网络安全教育的特征

（一）构筑利益攸关者协同参与的双层组织架构，形成教育合力

NICE 战略设计下形成了内外双层的组织架构来开展教育工作，分别由NICE 内部委员会和政学工三界的外部利益攸关方共同构成。NICE 内部委员利用外部利益攸关方的人员、经费、政策、设施等多种支持，开发专业的网络安全教育资源和工具。同时征集、协调多方诉求制定NICE 战略以指导教育活动的开展，记录评估教育活动并推广先进经验，多方共享网络安全教育成果。

1.政—学—工构成的外部组织架构

2012 版战略率先明确了NICE 的外部组织架构，表明利益攸关者通常包括州、地方、部落和领地政府、非营利组织、学术机构、行业协会、社区团体和其他私营部门，并就达成不同教育目标的牵头联邦政府部门及其任务进行了划分。首先，普通公民的网络安全意识教育责成部门为国土安全部（Department of Homeland Security，DHS）；其次，学校正式教育由教育部（Department of Education，ED）和国家科学基金会（National Science Foundation，NSF）合作开展；最后，DHS、人事管理办公室（Office of Personnel Management，OPM）、国防部（Department of Defense，DoD）和国家情报总监办公室（Office of the Director of National Intelligence，ODNI）协同负责网安人才培养及其专业化发展。在人才培养和专业化发展方面，其中DHS 牵头负责网安人力规划、专业化、招聘和留用，而DHS、DoD 和ODNI 共同领导制定和采用网络安全劳动力框架，满足人员分类、培训和发展的需求。

2.NICE 的内部组织架构

NICE 由NIST 直接领导，2012 版指出NIST 须通过以下方式为NICE 提供支持：通过制定规划文件并就NICE 战略和活动达成共识；促进各牵头机构间的跨职能合作；通过协调会议、促进讨论和传播信息的方式增进牵头机构间的沟通；在全国范围内的网络安全活动中宣传NICE 及其活动；计划并主办年度研讨会，以促进和支持网安教育中不断变化的问题；协调与NICE 相关的其他联邦政府倡议和活动；维护和更新NICE 门户网站。2016 版战略进一步明确了内部组织架构及其职能。设立机构间协调委员会对接联邦政府，获取政府支持并就相关政策建议进行磋商，为战略的周期性更新提供意见。同时设立NICE 工作组，负责联合政府、学界和企业共同制定概念、设计战略和采取行动以推进网络安全教育、培训和劳动力发展。在2020 年，社区协调委员会接替原有工作小组的工作并进一步扩大教育支持。当前设置了现代化人才管理、促进职业发现和转变学习过程三个工作小组，分别对接不同的战略目标。此外社区还组织建设四个在线兴趣学习社区，分别聚焦网络安全学徒、网络安全技能竞赛、K-12 网络安全教育和网安劳动力框架用户，为需求多元的学习者提供多样化的学习资源、经验信息以及知识技能。[7]

（二）采取以人才培养为核心的多样化教育举措，增强教育实效

虽然三份《国家网络安全教育战略计划》出台时面临的战略环境不同，不论核心目的为了保护国家安全、还是实现经济繁荣抑或是赢得大国竞争，人才培养始终为重中之重。为建设一支更有优势的网络安全人才队伍，战略制定者制定了差异性、多样化的教育举措。

1.将网络安全纳入教育系统，奠定网络安全人才培养的基础

重新设计教育系统以开发网络安全人才管道是一个可长期采纳的选择。[8]NICE 战略指出，教育系统为组成国家正规教育的教学团体（教育工作者、学生和机构）和学术机制（课程、资源、培训、奖励和竞赛）。因此培养网络安全预备人才的教育举措围绕教学团体与学术机制展开。

在教学团体方面，NICE 将学生视作预备人才，2020 版战略中明确指出教育系统的工作者是网络安全人才队伍的组成者，要支持其职业发展与认同。教育工作者不仅可以传授网络安全知识与技能，更会影响到学生的职业选择，因此要向其提供有关网络安全职业的相关信息和工具。帮助教师在小学阶段激发学生的网络安全职业意识，中学阶段鼓励学生进行网络安全职业探索，高中阶段使学生做好从事网络安全行业的准备。

在学术机制方面，2012 版战略对此做出详尽规划。一是通过加强网络安全教育与STEM 教育的联系，注重数学和计算思维的培养，逐步将网络安全纳入学前到K-12 学段。二是通过增加课程设置和研究机会的多样性和数量，诸如高中计算机科学课程、本科生和研究生的网络安全课程，提高学生对计算机科学和网络安全的兴趣。三是开发相关培训材料，支持网络安全竞赛的开展。2016年美国发布的《网络安全竞赛：建造明天的劳动力》白皮书指出，网安劳动力需求不仅应从人员数量上达到满足，还必须通过提高他们的多项能力如信任、沟通和团队协作来满足，而网络安全竞赛在提升劳动力质量这一任务中发挥关键作用。[9]由于网络安全竞赛具有可以提高学生对网络竞争的认识、补充学校课程、探索和发挥学生才华、改造和推广特定的网络培训策略、帮助雇主招聘和识别人才等多种特性，长期被视为挖掘和培养有能之士的必要举措。四是鼓励公共和私人奖学金和赠款项目，吸引学生从事网络安全行业。例如美国国家科学基金会赞助的服务奖学金计划（SFS），为本科生和研究生提供了接受网络安全教育的机会。五是通过协调利益攸关方，开发诸如虚拟网络安全实验室的资源推进网络安全教育和研究。通过以上教育实践，NICE 战略充分推动网络安全与国家教育系统相融合，为人才的进一步培养奠定坚实基础。

2.高等教育与科技研究并重，提高网络安全人才培养质量

美国在网络技术领域处于世界领先位置，很大程度依赖于其拥有高精尖人才。2012 版战略提出NICE 将促进和扩大研发机会，并鼓励研究生将网络安全作为学习的重点，与此同时这一做法还将为未来网络安全专业的学生培养教授。并提出要“在网络安全研究和开发方面取得卓越成绩”的战术路径。为此，NICE 与联合利益攸关方推进成立了国家网络安全学术卓越中心网络操作学术项目（National Centers of Academic Excellence in Cyber Operations program，CAE-CO），后与CAE网络防御学术项目（CAE in Cyber Defense，CAECD）合并。CAE 项目为联邦政府通过与愿意推进网络安全研究的学院、大学合作，促进网络安全高等教育和研究的发展，对于专家型人才的培养具有重要意义。[10]正如美国国家密码学院的校长黛安·雅诺丝克（Diane Janosek）指出，“CAE 正在教育国家网络的急救人员，在一个严重依赖网络技术的世界里这是一个至关重要的角色。”[11]美国高度重视尖端人才的培养，2017 年商务部与国土安全部联袂发布的《支持国家网络安全人才持续发展》报告提出联邦政府应制定立法提案，将CAE项目修订入《网络安全增强法》中；并且行政当局应将对CAE 的拨款经费列入总统的预算，以支持对今后网络安全劳动力数量增长至关重要的机构。[12]

3.招募多元背景的受教育者，丰富网络安全人才的来源

在任何存在数字网络的地方都需要网络安全，它涵盖了广泛的行业、领域与技术。因此需要扩大网络安全受教育机会，加强对受教育者多样性价值的关注，并将其转化为优势人力资源。而根据美国2011 年劳工部（Department of Labor，DOL）的统计数据显示，网安行业中女性占比约为8%，少数族裔占比同样较低。[13]网安人才队伍结构不均衡，不利于多元技能和思想的整合，也不利于优秀人才的挖掘。对此，2016 版战略提出要增加妇女、少数族裔、退伍军人和残疾人，以及网络安全劳动力中其他代表性不足的人群的数量。2020 版战略进一步提出，探索有效的做法，以再培训的方式解决失业、就业不足、在职员工以及退伍军人职业过度的问题，为他们从事网络安全职业做好准备。再培训作为一种教育形式，可使大量可用且未得到充分利用的人力资源从事网安领域工作，有效地缩小人才缺口。

此外，2016 版战略还提出探索利用“学徒制”计划，将个人的学习需求与雇主的业务需求联系起来，使在职培训和课堂学习相结合。根据《保护未来：发展最快的网络安全技能》报告显示，风险管理和威胁情报技能在未来增长需求较大，分别为60%和41%。[14]这些技能对于网络安全分析师、安全情报分析师和漏洞分析员等入门级职位非常重要，且对于保护组织关键基础设施具有重要的意义。[15]这些职位对从业者学历和工作经验的要求相对较低，学徒制作为一种“半工半读”的教育模式，可以较好地满足从事相关职位劳动者的教育需求。同时由于学历和工作经验门槛的降低，也使更多具有多元社会背景的学习者进入网安行业，进而扩大了人才来源。

4.打造终身学习的教育环境，更新网络安全人才的知识体系

网络技术日新月异，网络安全人才为保证行业竞争力、实现从初级职位到高阶职位的流动须持续更新知识与技能，这要求网络安全人才能够实现终身学习。[16]雇主作为终身学习环境的提供者，有必要提升其对网安人才重要性的认识，为人才的可持续发展营造良好的终生教育环境。2012版战略提出在分析其他职业领域的招聘和留用策略的基础上，为雇主提供可借鉴的最佳实践案例，帮助其招聘和留住网络安全专业人员。2016 版战略提出推广能够帮助雇主招募、雇佣、发展和留用网安人才的工具。2020 版战略指出要鼓励雇主发现和探索网络安全职业机会以及基于工作的学习经验；私营组织和部门要增强自身能力，有效地实现人才的选、育、用、留；鼓励并支持员工的持续发展和培训，例如轮岗和交流计划，以培养和保留具有各种技能和经验的现有人才。

2012 版战略指出，国家网络安全研究所（National Institute for Cybersecurity Studies，NICS）门户网站为网安人才提供了大量的专门培训机会与教育资源，确保人才具备履行职责所需的技能、资源和可信度。NICS 满足了网安人才不断变化的学习需求，为其营造了良好的在线教育环境。

（三）开发推广标准化的人力资源发展支持工具，提升教育竞争力

网络安全工作内容包括设计、构建、保护和实施数据、网络和系统，极具复杂性，另一方面，公、私部门内部的网络安全保护方法以及劳动力培训、发展计划经常各自为战，未形成统一标准。多种因素导致学习者的学习内容与学习目标不明确进而影响网络安全教育成效，正如2012 版战略对网络安全行业所述，“当前全国各领域内网安劳动力所掌握的知识与能力让人感到担忧，且网络安全作为新兴的行业，很多方面并未被定义”。虽然标准化的不利之处在于可能会减缓劳动力增长速度，但如果使网络安全教育处于自然步调发展，将永远无法在短期和长期内充分解决国家对网络安全劳动力日益强化的需求。[17]因此需要采取一种能够最大限度发挥影响的方式，即开发、采用、推广统一且具有权威性的标准——网络安全劳动力框架（Workforce Framework for Cybersecurity，下文简称“网安劳力框架”），使全国范围内在网络安全教育内容方面达成一致，进而满足国家对网安劳动力在质量和数量上的双重需求。

2012 版战略提出“鼓励开发和采用网安劳力框架”的战略子目标，并指出衡量NICE 的成功指标之一为“公共和私营部门在描述任何需要网络安全知识和能力的信息技术(IT)职位时，都会参考网安劳力框架”。2016 版战略提出“发布且提高对框架的认识，并鼓励采用”。在前期基础上，2020版战略进一步提出扩大网安劳力框架应用的若干方法，一是记录并传播成功推广框架的方法，资源和工具；二是推进框架与其他网络安全框架相对接；三是建立定期审查，改进和更新框架的流程；四是探索开发新工具或将框架数据集成到已有工具中，以增加访问与互操作性；五是识别并强调框架中可能通过自动化技术执行的组件（任务，知识和技能陈述）；六是促进框架的国际推广，并记录其他国家的使用方法。

NICE 战略与网安劳力框架把学生、求职者、员工或劳动力中的其他人，均视为处于不同学习生命周期的终身学习者。网络安全的学习生命周期具体涉及个人入职前接受的教育或培训、职中持续培训、自学或职业发展计划等。该框架使用通用术语描述网安职位的同时，明确了胜任该工作需要掌握的知识、技能和能力(Knowledge、Skill、Ability，KSA)。因此此框架可以有效地实现学习者的知识与技能缺口盘点，为个人和组织提供学习参考。同时也可以作为网安人才发展过程中的“能力基线”参考，既可以检视教育与培训需求，又可以明确差距，进而改善教育活动。此外，框架虽然作为教育和培训标准，但也具有敏捷性、灵活性、可操作性等特征，可及时应对充满变化与创新的网络安全领域对从业者能力提升的需求。

三、美国网络安全教育对我国的启示

（一）加强顶层设计，制定出台周期性的专项教育政策

美国出台的《国家网络安全教育战略计划》将网络安全教育提升至国家战略高度予以规划，并出台法律保护保证了网络安全教育活动的权威性与合法性。并以五年为周期进行更新，使战略内容可根据社会环境和教育现状的变更及时进行调整，为网络安全教育实践提供更适切的指导。当前，我国开展的网络安全教育受到《网络安全法》的保障，2020 年底已基本完成大众意识教育、专业人才培养和学校正规教育组成的类型化布局。但从网安人才培养的全过程来看，网络安全教育体系的整体化和一贯性设计有待加强。反映在网络安全教育政策层面，应以《国家网络安全宣传周活动方案》《关于加强网络安全学科建设和人才培养的意见》和《大中小学国家安全教育指导纲要》等长期政策为依托，制定出台短期的网络安全教育专项政策。将网络安全人才培养的各个环节纳入考虑，并进行定期更新。设定阶段性的教育目标、教育任务、为完成任务可采取的方法以及衡量教育结果的指标，以供教育提供者和相关单位检视教育进展情况，进而改进教育活动，加强教育实效。

（二）完善教育机制，推动形成网络安全产学研用联盟

NICE 战略是美国政、学、工为代表多方凝聚共识的对话结果，将网络安全人才教育、科学技术研究和劳动力培养紧密结合起来，从网络安全生态链角度实现了产学研的紧密结合。NICE 战略的有效落实得益于科学的协调机制以及NICE 内部委员会对该机制的良性运作，使产学研相关利益者切实参与到网络安全教育的各环节。网络安全人才是实现网络强国的保证，建立产学研用联盟是培养卓越网安人才的关键举措。当前我国通过“卓越工程师教育培养计划”探索建立高校与行业企业联合培养人才机制，然而面对着我国网络安全人才培养、技术创新、产业发展拥有各自目标、考核标准和发展体系的现实困境，[18]教育行政部门应发挥好协调和指导作用，创新教育管理体制和组织协调机制，探索发展符合现实国情的、多元主体参与的产学研用联盟。在释放学界和工业界在人才培养中的活力的同时，整合成功的试点实践案例加大推广，加固完善网络安全生态链中教育这一环。

（三）树立全员教育的理念，不断缩小不同群体、地区间网安教育机会与资源需求的差距

NICE 战略在受教育者中特别关注到少数族裔、女性、军人、残疾人等在网络安全行业中的弱势群体，虽然是以促进开发多样化的人力资源价值为目的，但不乏教育公平的价值取向蕴含其中。我国在发展网络安全教育时有必要加强公平的价值引导。一方面随着不同行业与网络联系的日益紧密几乎每个人都会成为网络安全工作者，因此要保证网络安全教育机会公平，使每一个人都能学习到网络安全知识与技能。另一方面，受经济发展水平、网络安全教育观念、高等院校分布、网络安全产业分布等多重因素影响，我国东部地区网络安全教育资源丰富度远大于西部地区。[19]因此，应在网络安全教育政策与财政上予以西部及经济欠发达地区一定的倾斜，发掘中西部地区的有潜力人才，缓解人才分布失衡状况，使我国网络安全总体保障向良好形式发展。