一、引言
2019年,美国通过“国家网络安全教育计划(NICE)”进行体系化的网络安全人才建设工作已进入第十个年头。5月2日,美国总统特朗普签署《关于美国网络安全人才队伍的行政令》,要求在现有的网络安全教育培训工作“最大化”基础上,启动若干新的网络安全人才计划,以维持美国在网络空间的领先优势。其中最受关注的新计划包括设立联邦政府网络安全人才轮岗机制、开展“总统杯”网络安全竞赛,以及向优秀的网络安全人才颁发规格空前的“总统级”嘉奖等内容。这份最新指令显示,美国在网络安全人才队伍建设方面正在进入全面优化升级的新阶段。
二、美网络安全人才队伍建设重点新举措
最新发布的网络安全人才行政令正是特朗普针对此前提出的一系列网络安全人才相关战略、政令和表态所做的具体工作部署,其中的重点新举措主要包括以下几个方面。
1. 加强网络安全人才的流动配置力度
行政令要求,美国政府必须加强网络安全人员的流动性,以改进美国的国家网络安全。行政令称,“在网络安全从业人员的职业生涯中,他们将为不同的、多样的实体服务,承担多种角色。美国政府的政策必须促进网络安全从业人员在公共领域和私营领域之间的顺畅流动,充分发挥他们的技能、经验和才华,实现对国家贡献的最大化”。这种流动性将包括两个方面,一是在联邦政府各部门之间流动,二是在联邦政府内部和外部之间流动。在行政令发布90天之内,国土安全部部长应与管理预算办公室(OMB)主任和人事管理办公室(OPM)主任磋商,并向总统提交一份关于轮岗制的报告,就网络安全人员轮岗制度的计划方案、现有资源以及实施建议进行汇报。与此同时,一项关于联邦政府网络安全人员轮岗制度的法案也在参议院初步通过,其中规定网络安全专职人员可以申请派至其他部门执行为期180天到1年的临时任务。
加强人员流动性是美联邦政府为应对网络安全人才严重不足问题给出的最新解决方案。美国一直以来都在不断强调联邦政府自身网络安全人才队伍的重要性,但政府部门对网络安全人才的吸引力始终难以同私营领域竞争。网络安全人才缺口大、薪酬待遇有限、招聘流程冗长复杂、高端人才留不住等问题已成为美国网络安全人才发展工作中被诟病最多的痛点问题。在增量人才有限的情况下,美国转而在已经进入联邦政府工作的存量人才上做文章,通过轮岗使网络安全人才获得更多的练兵机会,同时使规模较小、网络安全实力有限的部门也能得到专业人士的支援。事实上,联邦政府各部门之间已经时有借调网络安全专家或团队处理网络风险管理、网络安全应急等工作的情况,未来通过行政命令和法律方式把这种轮岗制度固化后,预计将提高网络安全人才的效用,降低整体的用人成本。
2. 召开“总统杯”网络安全年度竞赛
行政令要求国土安全部部长应与国防部部长、科技政策办公室主任、OMB主任,以及相关部门负责人磋商,制定一个针对联邦政府文职和军职雇员的“总统杯网络安全竞赛”计划。竞赛的目标是选拔、锻炼和奖励美国政府在网络安全攻、防两方面最优秀的网络安全从业人员和团队。首届竞赛应在2019年12月31日前举行,之后每年举行一次。按照行政令中要求开发的竞赛相关参数指标,未来的“总统杯网络安全竞赛”类别和项目都非常丰富,不仅包括个人和团体赛,还覆盖了软件逆向工程和利用、网络行动、取证、大数据分析、网络分析、网络防御、网络利用、安全编程、代码混淆、信息物理融合系统等各种竞赛项目。
开展网络安全竞赛是选拔和锻炼实战人才最直接、最有效的方法。美国军队内部有很多网络安全竞赛、网络演习、靶场等对抗演练活动。此次行政令中提出的“总统杯网络安全竞赛”独特之处在于,牵头规划的部门是国土安全部,参赛人员为来自联邦政府的各个部门军人和文职人员,包括联邦政府雇员、文职部门的军职人员,以及国防部的现役军职人员、文职人员,以及在武装部队预备役或国民警卫队中训练的预备人员,也可能会有联邦政府以外的人员直接参赛或到场观摩。该竞赛的具体方案还在规划之中,有可能会参考“全美大学生网络防御大赛”、大西洋协会“网络9/12战略挑战赛”等成熟竞赛的模式。如此看来,这项比赛的赛事规格、大赛规模和覆盖人群在美国公共领域都是空前的。
3. 向优秀人才颁发“总统级”嘉奖
为落实《国家网络战略》中“利用行政权重点突出和奖励人才”的要求,行政令提出“美国政府还必须对国家最优秀的从业人员和团队进行认可和奖励”。表彰和奖励的对象主要包括联邦政府内部和外部的网络安全优秀人才。对于联邦政府内的表彰,行政令要求政府各部门应确保在现有的军职和文职人员军功及奖励机制下,网络安全和网络行动领域的杰出表现也能够得到认可,包括依据1957年1月10日第10694号行政令(授权陆军、海军、空军部队的部长以美国总统之名向在行动中表现杰出的部队授奖)颁发嘉奖令,或提供同等级别的军功及奖励。在必要和适当情况下,各部门应创建新的军功及奖励,对网络安全和网络行动领域中的杰出表现和成就进行表彰。
上文中所提到的跨部门执行临时任务以及参加“总统杯网络安全竞赛”等也在网络安全嘉奖范围之内。行政令强调,总统的国家安全事务助理可向政府各部门推荐在国家安全危机、事件或工作中有重大突出表现的网络联合协调团队或类似的临时跨机构组织,提名其获得相应的军功及奖励。对于“总统杯”参赛人员,国土安全部部长正在按照行政令要求研究制定参赛激励手段,届时参赛者不仅可以获得不低于25000美元的现金奖励,政府各部门还将通过颁发荣誉称号、现金奖励、休假奖励、破格晋升等方式鼓励人员积极参赛。对于联邦政府以外的奖励对象,行政令要求在1年之内设立一个“总统网络安全教育奖”,每年奖励小学和中学教育者各一人,并重点强调该奖项奖励的是教育者的教育成就,而非研究水平、学术水平或技术开发能力。
4. 网络安全教育培训最大化
在全国网络安全教育培训方面,行政令总的要求是要“实现网络安全人才和美国劳动者能力的最大化——尤其是在这些人才和能力有利于促进国家和经济安全的时候”,同时就几个方面进行了重点强调。一方面是强调了要优先填补国家安全和关键基础设施领域的网络安全人才缺口,“为加强国家发现和消减关键基础设施、防务系统,尤其是信息物理融合系统(其安全性和可靠性依赖于安全控制系统)中网络安全漏洞的能力”,国防部部长须牵头“确认并评估联邦政府和非联邦政府的网络安全人员技能缺口,特定关键基础设施行业、国防关键基础设施以及国防部信息技术平台的培训缺口”,并提出相关的培训建议和课程推荐。另一方面是强调了要建立最广泛的协商机制应对网络安全人才问题,“商务部部长和国土安全部部长应制定一项咨询性的工作机制,由联邦、州、属地和地方政府、学术界、私营领域利益相关方,以及其他相关方面共同就如何解决国家网络安全人才队伍需求、加强人才流动性等问题进行评估、提出对策建议”。
三、结语
特朗普政府自发布《国家网络战略》以来,明确了要“建设一支超群的网络安全人才队伍”的人才总要求。最新的人才行政令再次强调,“一支超群的网络安全人才队伍能促进美国的经济繁荣,维护和平稳定”,“无论是受雇于公共领域还是私营领域,他们都是我们国家和经济安全的卫士”。而为了建设这样一支队伍,行政令提出了多项引人关注的网络安全人才新举措。系列政令要求进一步加大已经开展的网络安全教育培训工作的力度,首先是体现了特朗普政府对前两届政府的网络安全人才工作整体继承的态度,这显示美国在涉及网络安全人才问题时政策比较统一,也少有党派争议,已经形成了很强的共识;其次是就一些长期以来尚未得到解决的人才痛点问题做出了新的部署,尤其是联邦政府部门网络安全人才缺口大、招聘难的问题,提出了“轮岗制”的要求,其实施效果值得关注;第三是就特朗普《国家网络战略》中关于加强人才奖励的要求快速响应,提出了要开展“总统杯”网络安全竞赛、颁发系列“总统级”嘉奖等要求,如此旗帜鲜明地对网络安全优秀人才进行表彰和奖励必然能极大地提升从事网络安全工作的荣誉感,具体能在多大程度上增加公共领域的人才吸引力同样值得关注。(王星)
(本文刊登于《中国信息安全》杂志2019年第5期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。