【编者按】新加坡把网络安全定调为“国家议题”,网络安全指数全球第一。近年来,新加坡主要通过政府主导、院校培养、企业投入等多维度扶持,不断加强政府-学术界-企业界之间的密切联系,持续推动网络安全人才建设;采取搭建教学平台、设置教学科目、发展对外合作、颁发奖励基金等一系列措施办法,增强从业人员网络安全意识,提升专业技术水平,提高网络攻击防御能力。人才是网络安全第一资源,新加坡高度重视网络安全人才培养,其培养方法与建设路径值得参考借鉴。
新加坡网络安全人才培养模式研究及启示
战略支援部队信息工程大学 卢青 曾剑飞
国际电信联盟《2017 年全球网络安全指数》调查报告显示,新加坡在193个国际电信联盟成员国中,网络安全指数排名第一。然而,新加坡并非网络攻击的绝缘地,一直以来都是网络攻击的重点目标。2017 年 5 月,美国云端服务公司阿卡迈技术公司做了调查统计,新加坡在 2017 年第一季度共遭到 450 万次互联网应用攻击,被列为全球遭受攻击最多的 10 个国家之一。新加坡致力于建设成为一个“安全的网络国家”,把网络安全定调为“国家议题”。早在 1997 年,新加坡就成立了国家计算机应急反应队伍;2005 年发布国家首个《信息安全总体规划(2005—2007)》;2008 年和 2013 年,先后推出第二、第三部《信息安全总体规划》;2009 年成立资讯通信科技安全局,主要负责监管和保障关键信息基础设施领域的网络安全问题;2011 年 4 月 13 日举办首个网络安全意识日活动,旨在提升全民网络安全意识;2015 年成立网络安全局(CSA),统筹政府各部门的网络安全事宜;2016 年推出《新加坡网络安全策略》;2017 年 10 月,发布《网络安全法案 2017》(草案)。随着网络安全威胁的每一次升级,新加坡的网络安全策略也不断升级,历时二十余年锤炼,其取得的成就得到国际社会认可。网络空间的竞争,归根结底是人才竞争。新加坡积极促进政府机构、学术界、研究机构和企业的相互合作,实现效能最大化,持续加大网络安全人才建设力度。
一、政府部门积极推进
在新加坡的互联网发展与管理中,政府一直处于主导地位。新加坡政府认为,作为国家利益和公众利益的代表,政府必须积极介入互联网管理。新加坡政府充分发挥公共政策和基础设施领域领导者的职能作用,从国家层面规划人才培养计划,推动网络安防研究工程建设,与专业机构强强联合打造专业人才队伍。
(一)不断推新培养计划
新加坡政府推出一系列政策计划,吸引、培训与保留网络安全专业技术人才,为其搭建清晰的职业途径。例如,新加坡网络安全局和资讯通信发展管理局(IDA)于 2016 年合力推出“网络安全技术及伙伴计划”,拥有三年工作经验的资讯通信科技职员,可通过参加为期六个月的培训,转而从事网络安全方面的工作。同年 10 月,新加坡网络安全局与国际信息系统安全认证联盟(Information Security Certication)签署了一项三年合作备忘录,以解决各领域缺乏网络安全人才问题。再如,2017年3月出台的国家级“网络安全专才服务计划”,允许加入计划的公共服务人员可在通信、银行与金融、能源等 11 个关键信息基础设施领域,以及不同的公共机构任职,也可选择在政府部门内部,深化网络安全设计咨询、网络验证等方面的专业技术能力,该计划的实施将使新加坡政府在近年内,将公共领域负责网络安全的工作人员数量扩充至 600 余人。又如,2018 年 3 月,政府推出名为 Innovation Cybersecurity Ecosystem( 简称 ICE71) 的孵化计划,这是新加坡首个专门着重在网络安全领域的孵化计划,由新加坡网络安全局资讯和通信媒体发展局联合资助,计划两年内为 100 人提供培训,孵化起步公司 40 家,以巩固新加坡在网络安全领域的优势。
(二)重点建设研究工程
加大投入,建设网络安全实验室和专业研究学院。2014 年,隶属内政部的新加坡资讯通信科技安全局,与淡马锡理工学院合作成立“先进网络安全培训中心”,为攻读网络与数码安全等相关科系的学生提供实践平台,使其通过真实的训练强化网络防卫技能,除了淡马锡理工学院学生外,其他高等教育学府攻读网络安全的学生也可使用该项设施。新加坡网络安全局于 2016 年 3 月成立网络验证室(Cyber Forensics Laboratory),每次可容纳多达80名网络安全分析师,以便应对可能在同时间爆发的多起网络攻击事件,除了能应对网络攻击,还能对手机和平板电脑等移动设备系统进行分析。2017 年3月,新加坡政府投资840万新元(约合593万美元)在新加坡国立大学成立网络安全实验室,为学术及产业相关人士的网络安全研究和测试提供支持。该实验室支持多个科研机构和业界人士的项目,主要研究软件安全性、云数据存储和城市交通系统问题;能够模拟1000余台计算机同时执行多项制造网络安全事件的任务,拥有大型恶意软件数据库,可用于研究和教育等用途;能为网络安全测试和数据提供即用型工具,便于研究人员利用这些工具来支持其研究;同时,为学生和行业专业人士提供系统漏洞的实践培训。这一国家级项目建设意在推动网络安全研究工作及能力建设,同时,加强数字基础设施建设。在网络威胁日趋复杂的趋势下,为培养新一批网络安全专家,新加坡网络安全局于2017年9月开始建设网络安全学院,旨在为负责政府和关键信息基础设施(Critical Information Infrastructure,简称 CII)的工作人员提供培训,培训课程主要集中在专项领域。
(三)大力拓展技术合作
与世界先进技术力量合作,实现强强联合。新加坡网络安全局与国际信息系统审计协会(ISACA)展开合作,于 2017 年 9月签署了谅解备忘录(MOU),共同提高新加坡的网络安全能力和专业人员队伍。利用 ISACA 的网络安全 Nexus(CSX)培训平台,提升专业人员的实践技能;双方还在物联网、人工智能和机器学习等新技术领域开展合作研究,共享资源;ISACA 拥有专业的认证资质和评估模型(CMMI),用于衡量组织内的流程成熟度和人员能力,科学指导业务开展。前文所提的 ICE71 孵化计划,合作伙伴是欧洲史上首个面向网络安全领域、以英国伦敦为基地的网安创新公司 CyLon(Cyber London 的缩写 )。双方重点在管理安全服务、咨询服务、物联网保安、身份验证和通行管理等 5 个领域开展合作研究,在这项合作下,双方提供一系列的开放学习平台,通过“五天前期孵化训练营”“三个月孵化计划”“创新一个基地”三个步骤,推动网络安全起步公司进军亚太区市场。
二、院校机构合力发展
新加坡强调,大学在国家的研发体系中处于中心位置,掌握新兴前沿技术,拥有专业师资教学力量,在培养人才方面担负重要职责。
(一)加强专业学科建设
除高等院校陆续开设网络安全相关专业,新加坡各院校还在网络安全方面都设置了自己的专属领域。隶属总理公署的新加坡国立研究基金会拨款资助成立新加坡网络安全联合会(Singapore Cyber Security Consortium),由新加坡国立大学领导,联络各大专学府,分成金融科技、软体安全和移动通讯安全等六个专注在不同领域网络安全需求的小组。新加坡科技与设计大学专注于网络物理系统,该大学于 2017 年 9 月新开设了网络安全防御与设计硕士课程,针对金融、通讯、国防和能源等领域,培训相关网络安全人才。新加坡管理大学资讯系统学院于 2017 年 8 月更新课纲,本科生从三年级起就可以专攻金融科技或移动互联网安全等新兴领域。以计算机专业著称的新加坡私立大学“英华美学院”也开设网络与计算机安全高级大专课程,主要培养防止电脑入侵、侵犯信息资产以及网络管理等领域的高级人才,毕业后可从事网络管理员、IT 安全专家、系统管理员、网络专家、网络及数据通讯分析师等职业。此外,新加坡网络安全局协议南洋理工学院和新加坡理工大学两大学府,共同开发成体系的网络安全人才培训课程,研讨培训方案。
(二)注重多方技术合作
新加坡院校机构开展网络安全培训尤其注重向外合作,强强联合,吸取先进技术。在院校与院校合作方面,新加坡南洋理工大学和以色列本古里安大学于 2017 年 2 月签署联合研究协定,由南洋理工大学网络安全研究中心负责领导,借助两所大学各自在硬件和软件研究上的优长,共同研发新型网络安全技术,以对抗高端网络威胁(Advanced Persistent Threat)。该合作项目获得新加坡国立研究基金会资助,通过全国网络安全研发计划发放资金,加上两所大学拨款,合作项目所获资金总额达300万元。在院校与技术公司合作方面,新加坡理工学院的网络安全学院与 eCop、欧盟理事会、Ixia 公司和新科电子(训练与仿真)于 2013 年 10 月共同建立网络靶场,旨在通过网络军事战争游戏将IT 专业人士置身于真实的攻击场景中,目的是帮助他们开发和磨练自己的网络安全技能。Ixia 公司的 Breaking Point Storm 项目在世界各大网络靶场广泛使用 ( 如美国国防部高级研究计划局国家靶场 ),具备产生数百万用户互联网规模的场景和流量的能力,能提供真实的仿真环境。企业也可以利用网络靶场来测试和验证他们的系统,以确保他们的网络基础架构和运营拥有更大的弹性。隶属新加坡网络安全局的网络安全学院与美国网络安全公司 FireEye 展开合作,该公司能够提供特别订制的培训课程,包括如何紧急应对网络攻击以及分析恶意软件,提高人员技能水平 , 更好地应对网络袭击,协助政府机构及关键信息基础设施建立起有效预防网络攻击的能力。此外,新加坡南洋理工学院与新加坡武装部队、新加坡科技电子有限公司三方签署网络安全培训谅解备忘录,以强化新加坡武装部队的网络安全培训工作。新加坡科技电子有限公司网络安全中心主要为新加坡军方提供专业的网络安全培训,以上三方主要从提供标准的专业课程、合作开发网络防御课程、附属项目、协作研究和开发、开发专业网络、推进信息共享六个方面展开合作。
三、企业公司大力支持
新加坡希望成为全球网络安全产业最发达的国家,一方面吸引更多的高科技网络安全公司进入当地市场,增加本地市场的活力;另一方面支持本土的企业研发全球领先的技术和服务标准,支持个人在网络安全领域创业,并且提供国内网络安全产业的经济机会,从而在全球市场中扩大“新加坡制造”(Made-in-Singapore)的网络安全解决方案。每家企业都有可能面对网络威胁,因此,在网络安全方面投入关注和资金至关重要。
(一)成立专业培训机构
企业联合学校能够共同打造既能长远发展,又能满足现实需求的人才。新加坡最大的电信公司新电信(Singtel)是首个加入网络安全伙伴与专才计划的公司,2016 年 4 月该公司成立了自己的网络安全学院,成为亚太地区首个结合网络安全技能训练及网络袭击模拟测试的培训机构。该学院除普通技能培训外,还能模拟网络袭击以测试公司与机构防备能力。同时,新电信与全球知名网络安全公司FireEye 联合成立先进保安运作中心(Singtel-FireEye Advanced Security Operations Centre),主要研究全球网络攻击趋势,观察黑客组织的网络举动,预测可能会发生的网络攻击。
(二)设置奖励激励项目
企业设立奖学金和激励奖项,鼓励学校培养企业需要的人才,这不仅有利于毕业生就业,更利于企业的长远发展。2015 年 1 月,新电信与新加坡理工学院以及新加坡共和理工学院合作推出新电信学员奖学金计划,每年颁发 90 份共计 200 多万元的奖学金给学生,协助培养工程学、网络安全与客户服务方面的人才,为学生提供更系统化的职业发展渠道。新加坡资讯通信专才协会(Association of Information Security Professionals, 简 称 AISP) 也同新加坡网络安全局和其他业界机构推出网络安全奖,认可杰出网络安全专家、机构和学生对本地网络安全系统的贡献。
(三)提供课程设置建议
企业参与课程设置具有长远和现实意义。新加坡电信集团每年都会吸收来自新加坡理工学院和新加坡共和理工学院的实习生,除了推出新的奖学金计划,与其他企业一样,新电信也面对劳动队伍老龄化的问题。电信领域不断演变,公司为了保持实力,不断吸引人才加入。除了提供奖学金,新电信还为新加坡理工学院的电脑工程课程提供建议,在教学内容中增加企业的最佳作业程序等知识。
四、思考与启示
综上所述,新加坡政府高度重视网络安全人才培养建设,一方面注重与国内高等教育学府合作,共同开发相关课程,让学生在离开院校进入劳动力市场前,能够掌握专业知识;一方面密切与企业公司合作,确保这些专业人才有较好的任职机会,能够在政府部门和企业公司之间无障碍流动。而我国网络安全人才,从总体上看,还存在数量缺口较大、能力素质不高、结构不尽合理等问题,与维护国家网络安全、建设网络强国的要求还不相适应。随着信息化的快速发展,网络安全问题更加突出,迫切需要加大投入力度,多措并举加快网络安全人才培养,为维护国家网络安全提供强大的人才保障。
一是加强顶层设计,完善人才培养制度与方法路子。在国家政策引导下,吸收各方优势资源,创新网络安全人才培养机制,营造有利于网络安全培训产业的政策环境,高等院校、科研机构根据自身需求和特色,拓展网络安全专业方向,搭建人才综合培养平台,对网络安全人才培养和学科建设加强指导扶持;建立常态化的在职培训制度,提升网络安全从业人员安全意识和专业技能,制定网络安全类专业人才培养标准和能力标准;在人才使用和评价方面,以实际能力为衡量标准,建立灵活的激励机制。
二是完善培训体系,强化教学软硬件力量与实战技能。网络安全培训对于从业人员学习掌握前沿知识、提升安全实战技能非常重要。要加大经费投入,加快学科建设,完善大学教育和在职培训网络安全人才培养体系,开展高精尖技术研究,加强一流网络空间学科院校建设,打造具有品牌的网络安全认证培训机构,提升师资力量和培训教学水平;根据技术变化和市场需求改变实际教学过程,解决学院与社会对人才培养期望的差异。鼓励学院与企业、科研机构在网络安全人才培养方面开展合作。
三是加大资源投入,鼓励企业深度参与网络安全人才培养工作。我国 2017 年 11 月 7 日出台的《网络安全法》第二十条明确,“国家支持企业和高等院校、职业学校等教育培训机构开展网络安全相关教育和培训,采取多种方式培养网络安全人才,促进网络安全人才交流。”通过政策引导,充分调动社会资源,促进高校和行业企业、科研院所合作育人、协调创新。从培养目标、课程设置、教材编制、实验室建设、实践教学、课题研究及联合培养基地等环节,加强企业与高等院校合作,提高网络安全人才培养质量。努力扩大人才供给,利用好社会资源和奖励,以企业为主建设网络安全创新园区,探索形成网络安全人才培养、技术创新、产业发展的良性生态体系。启动人才社区、孵化器等基础设施及配套项目建设,策划成立网络安全人才与创新基金。企业还可以通过在学科竞赛方面的合作来与学校联合培养学科人才。
本文刊登于《网信军民融合》杂志2019年4月刊
声明:本文来自网信军民融合,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
