【编者按】当前,以美国为首的西方发达国家在培养网络安全人才问题上主要依托其人才队伍建设工作体系。实践证明,基于该建设工作体系,世界各国逐渐走出了一条科学合理的网络安全人才成长路线,这为我国构建网络安全人才培养体系指明了方向,提供了实践指导。本文基于网络安全人才培养的现状,理论结合实际,对构建网络安全培养体系进行了全面系统的研究。

基于网络安全人才培养体系构建的培养模式研究

空军工程大学 刘奕彬

现阶段下,利用社会力量开展专业人才大规模培养是短期内保障网络安全人才供应的有效措施。通过鼓励网络安全企业开办教育培训机构,聘请具有丰富实战经验的高技术人才担任讲师,结合网络安全行业日新月异的需求,在网络安全企业之间进行实战演练,建立效能高、规模化培养实战型网络安全人才的机制。同时政府在办学资质审批、资金、场地、税收等方面提供一定的便利和优惠政策,为培养机制落实营造良好政策氛围。

一、网络安全人才培养的现状分析

党的十八大以来, 我国网络安全人才培养的问题得到了前所未有的重视,国家密集出台一系列战略、政策、法规,统一把网络安全人才队伍建设视为必不可少的一项基础工作。各项人才措施全面推进,得到了全社会的热烈响应。实施网络安全人才工程,需要以科学的态度深刻把握网络安全领域以及网络安全人才的特殊性,找准现阶段安全人才队伍建设中的重难点问题,进而为国家的网络安全人才大计提出有针对性的对策与建议。

(一)影响网络安全人才培养的主要因素

网络安全是技术更新迭代最快的行业之一,网络安全从业人员需要不断更新知识储备,学习掌握新的技能,跟进前沿网络安全态势。

当前,持续教育是贯穿网络安全从业人员职业生涯不变的主题。根据《中国信息安全》表明,在各项专业技能中,网络安全从业人员最希望提升的技能方向是网络攻防(70.7%),其次分别是安全管理(50.6%)、安全架构(47.1%),以及安全审计(44.8%)。在网络安全技术领先的国家中,用人单位能否为员工支付教育培训和资质认定的费用已成为招聘和留住网络安全人才的重要因素之一。

从人才队伍的来源来看,网络安全从业人员的来源一是各类院校培养的专业人员,二是I T人员乃至非专业科班的人员转化而来。

加强网络安全从业人员队伍建设,需要学历教育、职业培训、用人单位内部培训等多种方式共同发力。但目前的现状是,学历教育不仅需要经过长达4年的人才培养周期,而且每年仅能输出1.5万名毕业生,况且目前仍存在着偏重理论学习、实践门槛较高、与产业实践脱节等问题,短期之内无法满足社会各界对网络安全人才的需求。职业培训则有周期短、针对性强、紧跟业界前沿趋势等特点,是从业人员和准从业人员理想的能力提升方式。然而仍然存在用人单位疏于培养自身人才,不能积极投入足够的资源开展内训或进行专业培训等情况。网络安全从业人员在所属单位能够得到定期的、有计划目标的培训人群仅占22.8%。而根据国外调研结果显示,仅有44%的受访者能得到适宜的培训,但组织流程与培训效果仍然被认为有待加强。

(二)制约网络安全人才供需的主要矛盾

网络安全从业人员的供需矛盾不仅体现在从业人员绝对数量的不足上,更体现在不同类型人才供给和需求之间的错位。

目前的网络安全从业人员中从事运营与维护、技术支持、管理、风险评估与测试的人员比例占据绝大部分,而战略规划、架构设计、网络安全法律等方面的从业人员相对较少;根据相关资料显示,在各类人才均存在缺口的前提下,战略规划(49.2%)和架构设计(46.8%)方面的岗位人才短缺情况最为突出,运营维护(16.1%)和技术支持(14.5%)岗位人才短缺情况相对较为缓和。人才队伍结构呈现底部过大,顶部过小的结构,“重产品,轻服务,重技术,轻管理”的现象依旧十分普遍。人的作用不能得到有效发挥,对于技术和管理能力兼备人才的需要则显得更为迫切。根据社会调查显示,42.8%的网络安全从业人员认为核心信息基础设施运营单位有必要设置其专职化的网络安全管理岗位,如首席网络安全官(CISO),更有54.2%的从业人员认为所有单位存在设立该岗位的必要。

(三)桎梏网络安全人才发展的主要问题

近年来,我国网络安全人才培养取得重要进展。“网络空间安全”学科被国务院学位委员会和教育部增设为一级学科,这一举措为我国网络安全高层次人才培养迈出了重要一步。但我国现行体制与打造网络安全强国的要求相比仍然存在较大差距,人才培养体系亟待逐步完善,发展中存在的问题仍需解决。

1.高校人才培养与网络安全实战需求存在差距

一方面由于我国针对网络安全的相关教育起步较晚,高校网络安全实践型人才储备不足,缺乏精通尖端网络安全技术的专业教师团队,师资力量亟待加强。另一方面,高校对于网络安全实践场景普遍缺乏,导致学生普遍存在理论知识多而实战能力弱的特点,出现毕业后难以满足用人单位要求的问题。

2.网络安全职业培训质量提升空间大

为适应新时代网络安全的需求,一些民办网络安全培训机构正在积极制定人才培养计划,但其在课程规划合理性、讲师与辅导教师授课水平、课件制作水平、实验环境真实性方面仍存在较大不足,部分机构甚至仅仅以取得资格证书为目的,忽视了实战能力的提高和用人单位的实际需求,暴露出了培训机构重效益轻能力培养的不良现象。

二、网络安全人才培养的目标构建

落实国家网络安全人才战略就需要综合提升各类人群的网络安全意识与能力,其中包括各级领导干部、核心信息基础设施运营者、网络安全从业人员、高校和中小学学生,以及普通公众等,进而构造起良好的人才培养氛围。

(一)网络安全人才培养目标的主要原则

社会各类人群中关键的是网络安全从业人员以及准备进入行业的储备人员,因为他们既是完成各项网络安全保障任务的主力军,也是有望在网络安全核心技术中取得突破的关键力量。

1.网络安全从业人员培养原则

在网络安全从业人员培养过程中,必须充分满足他们在网络安全细分领域与尖端领域能力提升的需要。通过注册信息安全专业人员职业培训体系能够及时掌握人员培训需求,至2018年知识体系已全面升级,细分领域培训也全线铺开,完整覆盖渗透测试、安全审计、安全开发、工控安全,及互联网等人才紧缺的方向,为我国重要行业、关键信息基础设施运营单位以及大中型企业的人员培训提供完备的保障。

2.网络安全相关专业学生培养原则

针对网络安全相关专业学生,需要采用创新人才培养模式,解决传统教育与产业技术脱节的关键问题。我国目前由中国网络安全测评中心主办的网络安全铁人三项赛活动,致力于打造常态化的训练营,把网络安全对抗融入教学各个环节,以比赛驱动学习和提升,较好地为探索产教融合的网络安全教育改革提供了重要参考范本。

3.坚持双管齐下的原则

网络安全人才培养体系必须遵循学历教育与职业培训双管齐下的原则,进而通过规模化培养解决最为突出的网络安全人才供需矛盾,再之通过专业化培养填补网络安全细分领域的人才缺口。

(二)网络安全人才培养模式的基本内容

现阶段,我国国内著名高校与知名企业致力于合作建立网络安全创新研究院,并计划在三个方面展开合作:

1.教师互聘交流

聘用国内知名企业的员工到学校担任老师,同时让学校老师去国内知名企业工作体验,实际接触产业第一线,打通产学研教师与人力资源的互通交流渠道。

2.共享课程与教材研发

在今后开展的网络课程中,由国内知名企业提供资料与设备环境,企业教师负责讲授一部分实验和课程,学校教师再讲授另一部分,进而达到理论紧贴实际的良好效果,提高学员毕业后的实践操作能力。

3.同企业合作申请国家项目

针对就业方面,国内著名高校同样采用产学融合的教育理念,通过采取与企业共建实习基地等方式满足人才输送的需求,同时鼓励在校学生将自身创意转化成实际产业,配合国家发展历程共同推进我国双创机制。不仅如此,我国著名高校将联合企业进行了非全日制专业硕士的培养。西安电子科技大学网络与网络安全学院院长李晖对此表示:希望能够探讨更大的机制,进行既能够为企业服务,又能进行高层次的研究生学历教育。由此可见,与企业合作将成为人才培养计划的关键一步。

三、网络安全人才培养的对策措施

基于信息化迅猛发展的当前环境,网络安全最关键的要素不再是硬件或软件,而是人才。为尽快弥补我国网络安全人才缺口,进而满足建设网络强国的需要,将建议内容归结如下:

(一)鼓励网络安全企业设立教育培训机构

纵观我国巨大的网络安全人才缺口状况,可以发现其中绝大部分是对于防御型人才的需要。相比于进攻型、研究型人才不同,防御型人才可以采取开展职业培训的形式进行大批量培养。充分依靠社会力量开展职业教育将成为迅速填补我国网络安全人才缺口的有效举措,建议倡导网络安全企业开设相关教育培训机构,邀请具有充足实战经验的技术专家进行专业辅导,基于网络安全行业的最新需求,围绕网络安全这一主题搭建实践平台,组织人才队伍之间进行实战演练,建立高效化、规模化培养实战型网络安全人才的体系架构,从而使人才培养队伍更好地适应复杂的现代网络安全环境。

(二)联合建设网络安全学科

针对提高网络安全高等教育的实战水平和技术能力这一核心目标,建议我国高校和科研院所同高端网络安全企业合作建设网络安全学院,打造网络安全专业学科。实现双边共同开发课程计划、共建共享学科实验室,并在企业内规划设立实习基地,实现学生培养、课堂教学、实习实践三方面的有机统一,进而不断提升网络安全学科水平与学生就业综合竞争力。

(三)将网络安全纳入职业技能评价体系

建议政府机构与优秀网络安全企业联合启动网络安全职业技能标准的制定计划,对于网络安全从业人员进行必要的专业水平评价,进而培养更多高素质人才满足行业需求。在通过权威部门认可的相关机构职业培训之后,向网络安全从业人员颁发初级、中级或高级网络安全资格证书,以此规范从事网络安全工作的从业环境,为未来网络安全人才营造优质就业氛围。

四、结语

网络安全人才的短缺已经成为全球性问题。随着威胁局势日益严峻,网络安全行业的人才供不应求,网络安全人才可谓炙手可热。政府与企业的技术安全日益受到重视。若要解决网络安全问题,人才培养体系的研究必须提高到战略层面。网络安全人才培养体系作为未来新型网络安全人才培养的重要平台,具有重要的理论价值和实践意义。

本文刊登于《网信军民融合》杂志2019年4月刊

声明:本文来自网信军民融合,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。